WO2010048838A1

WO2010048838A1 - 网络认证方法、客户端请求认证的方法、客户端和装置

Info

Publication number: WO2010048838A1
Application number: PCT/CN2009/073885
Authority: WO
Inventors: 蒋武
Original assignee: 成都市华为赛门铁克科技有限公司
Priority date: 2008-10-27
Filing date: 2009-09-11
Publication date: 2010-05-06
Also published as: US20110202972A1; CN101729513A; EP2343851A4; EP2343851A1; US8453208B2; EP2343851B1; US20130219467A1; US8800001B2; CN101729513B

Description

网络认证方法、客户端请求认证的方法、客户端和装置

本申请要求于 2008 年 10 月 27 日提交中国专利局、申请号为 200810217107.6、发明名称为 "网络认证方法和装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络认证方法、客户端请求认证的方法、客户端和装置。

背景技术

网络上出现了大量的分布式拒绝服务（ DDOS , Distributed Denial of Service )攻击，俗称洪水攻击，被攻击主机或服务器上有大量等待的传输控制协议 (TCP , Transmission Control Protocol)连接网络中充斥着大量的无用的数据包，攻击者通过制造高流量无用数据，利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求，造成网络拥塞，严重时会造成系统死机。同步洪水 (SYN Flood , Synchronize Flood)是 DDoS的主要攻击手段之一， SYN Flood利用了 TCP/互联网协议 (IP , Internet Protocol ) 的固有漏洞，面向连接的 TCP三次握手是 S YN Flood存在的基础。假设一个用户向服务器发送了 SYN报文后突然死机或掉线，那么服务器在发出同步应答 (SYN_ACK, synchronize acknowledge )数据包后是无法收到客户端的确认 ACK数据包的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送 SYN_ACK数据包给客户端）并等待一段时间后丟弃这个未完成的连接，这段时间的长度我们称为同步延迟（SYN Timeout ), 一般来说这个时间是分钟的数量级（大约为 30秒 -2分钟）；一个用户出现异常导致服务器的一个线程等待 1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源，即使是筒单的保存并遍历也会消耗非常多的中央处理器 CPU时间和内存，何况还要不断对这个列表中的 IP进行 SYN_ACK 的重试。实际上如果服务器的 TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃。即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的 TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况称作服务器端受到了 SYN Flood攻击（ SYN洪水攻击）。

如图 1所示，现有技术一提供了一种防止 DDOS攻击的认证方法，该方法利用网关进行认证防护，网关设备收到 SYN 数据包后，向客户端发送 SYC-ACK数据包， S YN_ACK数据包内的顺序号（SEQ , sequence number)是网关根据客户端的 IP等信息构造的。客户端收到 SYN_ACK数据包后会回应一个其应答 SEQ为 S YN_ACK数据包的 SEQ加 1的 ACK数据包。当网关收到这个 ACK数据包，则把客户端的源 IP记入白名单中，并发送一个 RST数据包给客户端，客户端收到后则断开连接。当客户端在一定时间内再次发送 SYN数据包请求连接的时候，只要在白名单的老化时间之内，则可以直接访问受保护的服务器。现有技术一虽然一定程度上可以保护服务器，但防护设备必须发两次回包，浪费资源。

现有技术二提出了一种防火墙降低洪水攻击的方法，防火墙接收到客户端发送的包括顺序号 ("SEQ")的 SYN数据包，向客户端发送 SYN_ACK数据包，所述 SYN_ACK数据包包括顺序号 SEQ和确认顺序号 ACK_SEQUENCE值 ("ACK"),其中 SYN_ACK分组的 ACK不等于 SYN数据包的 SEQ+1 ;客户端接收到包含错误的 ACK的 SYN_ACK数据包后，按照 TCP/IP协议规定，会向防火墙发送 RST数据包，正常情况下 RST数据包的 SEQ与 SYN_ACK数据包的 ACK—致。防火墙检验 RST数据包中的 SEQ是否与 SYN_ACK数据包的 ACK匹配，并且如果匹配，则指定与服务器的连接作为授权的连接。该方法防火墙只需要向客户端发送一次包就可以实现认证。

发明人在实现本发明的过程中发现，现有技术二至少存在如下的缺陷：防火墙通过检验 RST数据包中的 SEQ是否与 SYN_ACK数据包的 ACK 匹配进行认证，那么防火墙需要在发送 SYN_ACK数据包之后存储 SYN_ACK 数据包中的 ACK值。一旦网络异常或受到洪水攻击时，网络中存在大量的半连接，防火墙需要保存并维护大量的 ACK值，占用了存储资源。发明内容

本发明实施例提供了一种网络认证方法、客户端请求认证的方法、客户端和装置，可以减少网络认证时占用的存储资源。

一种网络认证方法，包括：

接收客户端发送的同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；

向客户端发送响应所述 SYN 数据的同步确认 SYN_ACK数据，所述

SYN_ACK数据包括确认号 ACK2, ACK2的值为根据所述 SYN数据的网络参数进行函数变换得到的值；

接收客户端响应所述 SYN_ACK数据而发送的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 SEQ3或 ACK3的值与 ACK2 的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；

根据 RST数据的网络参数进行所述函数变换，得到校验值 CHK;

若 CHK与 SEQ3或 ACK3匹配，则通过对所述客户端的认证。

一种网络认证装置，包括：

第一接收单元，用于接收客户端发送的同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；

发送单元，用于向客户端发送响应所述第一接收单元接收的 SYN数据的同步确认 SYN—ACK数据，所述 SYN—ACK数据包括确认号 ACK2, ACK2的值为根据所述 SYN数据的网络参数进行函数变换得到的值；

第二接收单元，用于接收客户端响应所述发送单元发送的 SYN_ACK数据而发送的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 ACK3的值与 SEQ3或 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；

计算单元，用于根据所述第二接收单元接收的 RST数据的网络参数进行所述函数变换，得到校验值 CHK ；

认证单元，用于在所述计算单元计算得到的 CHK与所述 RST数据的 SEQ3 或 ACK3匹配时，通过对所述客户端的认证。

一种客户端请求认证的方法，所述方法包括：

向网关发送同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；接收网关发送响应所述 SYN 数据的同步确认 SYN_ACK数据，所述 SYN_ACK数据包括确认号 ACK2, ACK2的值为根据所述 SYN数据的网络参数进行函数变换得到的值；

若判断 ACK2的值与期望值不同，则向网关发送响应所述 SYN_ACK数据的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3, 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；并指示网关根据 RST数据，以及 SEQ3或 ACK3对客户端进行认证。

一种客户端，所述客户端包括：

发送单元，用于向网关发送同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；

接收单元，用于接收网关发送响应所述 SYN数据的同步确认 SYN_ACK 数据，所述 SYN_ACK数据包括确认号 ACK2, ACK2的值为根据所述 SYN 数据的网络参数进行函数变换得到的值；

判断单元，用于判断 ACK2的值是否与期望值相同，并在 ACK2的值是与期望值不同时，向网关发送响应所述 SYN_ACK数据的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3, 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；并指示网关根据 RST数据，以及 SEQ3或 ACK3对客户端进行认证。

由以上技术方案可知，本发明实施例提供的方法、装置和客户端，在每次认证时无需存储 SYN_ACK数据包的确认号的值，而是在校验时通过相同的函数计算得到并进行认证，减少了对存储资源的占用。另外，在客户端接收到 SYN_ACK数据，应判断 SYN_ACK数据的 ACK2是否与期望值相同，如果不相同，向网关发送 RST数据，以便于网关对该客户端的认证。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提供的网络认证方法流程示意图；图 2为本发明实施例三提供的网络认证方法的流程示意图；

图 3为本发明实施例提供的网络认证装置结构示意图；

图 4为本发明实施例提供的客户端请求认证的方法的流程图；

图 5为本发明实施例提供的客户端的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。实施例一

如图 1所示，为本发明实施例一提供的网络认证方法流程示意图，包括： Sll、接收客户端发送的 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；

本实施例以 TCP/IP协议为例，因此本文所指的数据表现为符合 TCP/IP协议规范的格式。 IP数据包首部的结构内容包括如下信息：版本号（Version ), 服务类型（ Type of Service )、总长度（ Total Length )、标识（ ID, Identification )、标志（ Flags )、头偏移（ Fragment Offset )、生存时间（TTL, Time to Live )上层协议类型（ Protocol )、头部校验 ( Header Checksum )、源 IP地址（ SIP, Source Address ), 目的 IP地址 ( DIP, Destination Address )、选项（Options )和数据 ( Padding )。

TCP数据包首部的结构包括以下内容：源端口（SPORT, Source Port): 呼叫端口的编号；目的端口（DPORT , Destination Port)：被叫端口的编号；顺序号（SEQ, Sequence Number): 发送端发出的每个 TCP数据包的编号，依次递增 1 , 初始值是随机的；确认号 (ACK, Acknowledgment Number): 期望的对端发送过来的 TCP数据包顺序号（隐含确认已收到的 TCP 包）；报头长度 (HLEN): 以 32字节为单位的报头的长度；保留域 (Reserved): 设置为 0; 编码位 (Code Bits):用于控制段的传输（如会话的建立和中止），包括： URG、 ACK、 PSH、 RST、 SYN, ΠΝ六个位；窗口大小 (Window): 接收方能够继续接收的字节数；校验和 (Checksum): 包括 TCP报头和数据在内的校验和；紧急指针 (Urgent Pointer): 当前顺顺序号到紧急数据位置的偏移量；选项 (Option); 数据 (Data): 上层协议数据。在应用层中， TCP数据包是封装于 IP数据包的。

同步 (SYN, synchronize)数据包是 TCP连接的第一个包，用来发起 TCP 连接请求。 TCP连接的建立需要经过三次握手，例如 A要和 B建立 TCP连接，则 A向 B发送 SYN数据包，顺序号 SEQ是 X； B向 A发送 SYN_ACK数据包，顺序号是 y, 确认号是 x+1 ; 最后 A向 B再发送 ACK数据包，确认号是 y+1 , 如此则 A和 B成功建立 TCP连接。

512、向客户端发送响应所述 SYN数据的同步确认 SYN_ACK数据，所述 S YN_ACK数据包括确认号 ACK2 , ACK2的值为根据所述 S YN数据的网络参数进行函数变换得到的值，且 ACK2的值不等于 SEQ1加 1 ;

在接收到客户端发送的包括顺序号 SEQ1的 SYN数据包之后，进行认证防护的网关需要向客户端发送 SYN_ACK数据包，此时发送的确认号不是 SEQ1+1 , 而是根据客户端发送的 SYN数据包中携带的网络参数，根据某特定的函数构造一个确认号 ACK2。

513、接收客户端响应所述 SYN_ACK数据而发送的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；

步骤 S12中，由于客户端接收到的 ACK2值与期望值的不同，根据 TCP/IP 协议的规定，客户端将发送重置连接 RST ( RESET )数据包，其顺序号 SEQ3 或确认号 ACK3的值等于 SYN_ACK数据包的确认号 ACK2的值。通常情况下， RST数据包的顺序号 SEQ3和确认号 ACK3可以相等，并等于 ACK2的值；或者也可以 SEQ3或 ACK3中任一个与 ACK2的值相等，相应的认证的时候，采用 SEQ3或 ACK3进行认证。

S14、根据 RST数据的网络参数进行所述函数变换，得到校验值 CHK; 具体地，可以将 RST数据包携带的网络参数进行所述 FUNC函数变换，得到校验值 CHK; 比较 CHK与 SEQ3或 ACK3是否匹配，若匹配，则通过对所述客户端的认证。

由于 RST数据包的确认号 ACK3的值与 S YN_ACK数据包的确认号 ACK2 的值相同，因此，在认证的时候，只需要对回包 RST数据包携带的网络参数进行相同的函数变换，计算得到的值与 RST数据包的顺序号 SEQ3或确认号 ACK3的值进行比较，如果两者是匹配的，则认为发送 SYN数据包与发送 RST 数据包的客户端相同，因此认证成功，否则认证失败。

该网络参数包括 TCP/IP数据包头结构中的源 IP地址 SIP、源端口 SPORT、目的 IP地址 DIP、目的端口 DPORT、协议类型 protocol和生命周期 TTL等中的一项或多项。如果发送 SYN包和发送 RST包是同一台主机的话，通常两个包中携带的上面这些网络参数都是相同的，因此认证的时候将 RST包携带的网络参数进行相同的函数变换得到的校验值 CHK, 与 RST包的顺序号 SEQ3 或确认号 ACK3 (即 SYN包携带的网络参数经过所述相同的函数变换得到 ) 进行比较，如果 CHK等于 SEQ3或 ACK3的值，那么通过客户端的认证；如果 CHK不等于 SEQ3或 ACK3的值，则认为认证失败。

上述的 FUNC函数变换，可以是 HASH函数或任意函数，只要满足网络参数的变量值经过函数变换后，变量值与函数值具有——对应的关系即可，即相同的网络参数计算得到的函数值结果相同，不同的网络参数计算得到的函数结果不同。例如 FUNC函数为 Func=Hash(SIP, SPORT), 表示对数据包中携带的源 IP地址和源端口 SPORT进行 hash变换得到的值。

若客户端通过认证，则可以将客户端的 IP地址等信息记入白名单中，下次客户端再请求连接的时候，在白名单记录的有效期内，可以不必认证，允许客户端直接访问受保护的服务器。例如，白名单的内容可以包括：源 IP地址、创建时间、最新时间、生存时间 TTL和有效标记；其中，创建时间表示创建客户端记录的时间，最新时间是最近一次会话发生的时间， TTL表示该 IP数据包实际达到该设备所记录的 TTL数值，有效标记表示记录是否有效。

本发明实施例中，网关在向客户端发送 SYN_ACK数据包时，其中包含的确认号 ACK是通过对客户端发送的 SYN数据包携带的网络参数进行特定的函数计算得到的，因此，在校验的时候，对客户端返回的 RST数据包携带的网络参数进行相同的函数计算，将计算得到的值与 RST数据包中的 SEQ值进行比较，判断客户端是否认证通过。因此，本发明实施例提供的方法在每次认证时无需存储 SYN_ACK的值，而是在校验时通过相同的函数计算得到并进行认证，减少了对存储资源的占用。实施例二

本实施例可以进一步防止攻击者伪造虚假 IP进行洪水攻击。

若有一台攻击主机伪造另外一台主机的 IP地址，由于被伪造的主机发起请求，攻击主机收到错误序号的 SYN_ACK包都会回复 RST包，且 RST包与被伪造主机发的 RST包无明显差异，则网关根据接收到的 RST无法区分是发 RST包得主机与发 SYN包的主机是否同一主机。也就是说，在这种情况下，无论是攻击主机或被伪造主机发的 RST数据包，其携带的网络参数如源 IP地址 SIP、源端口地址 SPORT、目的 IP地址 DIP、目的端口 DPORT、协议类型 protocol等是相同的，生命周期 TTL跟操作系统类型和路由跳数有关，如果攻击主机和被伪造主机同一局域网内，那么它们到网关的路由跳数是相同的，因此其攻击主机数据包的 TTL与被伪造主机数据包的 TTL数值也是相同的。这样网关根据 RST数据包携带的上面的网络参数进行函数变换的值是相同的，因此是无法识别虚支 IP的。例如，若发 SYN的主机是被伪造主机，而回复 RST包的主机是攻击主机，则网关仍然认为认证成功，那么攻击主机就可以发大量的被网关认为正常的数据包去攻击服务器。

为了使网关可以识别虚假 IP的情形，本实施例与实施例一不同之处在于，在进行函数变换时采用的网络参数包括有 IP 数据包首部中的标识 ID ( Identification )。 ID字段表示 IP数据包在同一主机系统发包的次序，每发一个数据包， ID自动加 1 ; 因此在同一时间两台不同主机，其发包的 ID几乎不可能一样或接近。也就是说，如果网关在一定时间内接收到的 SYN数据包和 RST数据包是同一主机发的，那 ID值相差不远；如果是不同主机发的，那么 ID值会相差较远，网关利用这个特性可以进行虚假 IP的识别。具体地，在进行实施例一所述的函数变换时，将包括 ID值在内的网络参数进行函数变换作为 SYN_ACK 包的确认号；认证时也基于相同的网络参数进行相同的函数变换。在比较 CHK与 ACK3是否匹配时，具体的可以比较 CHK与 ACK3是否在设定的范围内，如果是则认为认证成功，否则认证失败。实施例三

如图 2所示为本发明实施例三提供的网络认证方法的流程示意图，本实施例描述一个应用实例，保护服务器的是防火墙。

步骤 21、客户端向网关发送 SYN数据包，请求建立与服务器的连接，该服务器受防火墙的保护。到达防火墙的 SYN数据包的顺序号 SEQ1值为 100, 标识 ID的值为 232, 生存时间 TTL的值为 58;

步骤 22、防火墙响应 SYN数据包，向客户端发送 SYN_ACK数据包，该 SYN_ACK数据包的确认号 ACK2的值等于 FUNC(ID,TTL) =FUNC( 232, 58 ), 且 ACK2的值不等于（SEQ1+1 ) 即不等于 101 ;

步骤 23、客户端接收到包含错误的确认号 ACK2的 SYN_ACK数据包后，向防火墙发送重置请求的 RST数据包，该 RST数据包的确认号 ACK3的值与防火墙发送的 SYN_ACK数据包的确认号的值一致，即为 FUNC ( 232, 58 ), SEQ3并不作限定，可以是 FUNC ( 232, 58 )也可以是客户端选定的其他数值。 RST数据包的标识 ID，值为 233 , 生存时间 TTL，值为 58。

步骤 24、防火墙收到 RST数据包之后，需要对客户端的身份进行校验，比较 RST数据包携带的确认号 ACK3的数值与根据 RST携带的标识 ID，和生存时间 TTL，进行函数变换后的数值是否匹配，即比较 FUNC( 232, 58 )与 FUNC ( 233 , 58 )的差值是否处于允许的窗口 WINDOWS范围内。如果是，则通过客户端的认证，则允许客户端直接与服务器进行通信。

上面的函数仅以 ID和 TTL为变量进行计算，也可以综合考虑多个变量构造 FUNC函数，例如，可以取：

FUNC(TTL,ID,SIP,SPORT,DIP,DPORT,PROTOCOL)

= (x * TTL+ y * ID + z * HASH(SIP,SPORT,DIP,DPORT,PROTOCOL)) Mod

M

其中， x,y,z 为三个常量参数， Mod表示取余数， M表示模 65536, hash 表示哈希函数，其他符号含义同前面的描述一致。

对于 SYN_ACK包的确认号 ACK和 RST包的确认号，他们的 HASH 结果是相同的。而对于真实的主机，不同的是 ID数值，通常 ID相差 1或很小的数，因此， SYN_ACK包和 RST包携带的网络参数经过 FUNC函数变换算出来的值会在相应的窗口范围之内。例如，可以使 x,y,z分为 1 , 1 , 1 , 则差值不会大于 10, 那么可以取窗口为 10。

对于伪造真实主机而发起的请求，则虽然 HASH结果是相同的，但其 TTL和 ID通常不同，因为在同一时间两台不同主机，其发包的 ID几乎不可能一样或接近。而 TTL的数值是和操作系统版本以及路由的跳数有关，很难殳定真实主机到网关的 TTL与攻击主机到网关的 TTL一致，因此计算后的两个 FUNC数值艮难一致，从而实现了认证。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ROM, Read-Only Memory )或随机存储记忆体 ( RAM, Random Access Memory )等。实施例四网络认证装置

图 3 为本发明实施例提供的网络认证装置结构示意图，网络认证装置包括：

第一接收单元 31 , 用于接收客户端发送的同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；

发送单元 33 , 用于向客户端发送响应所述第一接收单元 31接收的 SYN 数据的 S YN—ACK数据，所述 S YN—ACK数据包括确认号 ACK2 , ACK2的值为根据所述 SYN数据的网络参数进行函数变换得到的值，且 ACK2的值不等于 SEQ1+1 ;

第二接收单元 35 , 用于接收客户端响应所述发送单元 33发送的同步确认 SYN_ACK数据而发送的重置请求数据 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST 数据还包括与 SYN数据相同的网络参数；

计算单元 37,用于根据所述第二接收单元 35接收的 RST数据的网络参数进行所述函数变换，得到校验值 CHK ；

认证单元 39, 用于在所述计算单元 37计算得到的 CHK与所述 RST数据包的 SEQ3或 ACK3匹配时，通过对所述客户端的认证。

若所述网络参数包括：数据包 IP 包头中的源 IP地址 SIP、源端口地址 SPORT、目的 IP地址 DIP、目的端口 DPORT、协议类型 protocol或生命周期 TTL中的一项或多项 ,则所述认证单元 39用于在所述计算单元 37计算得到的 CHK与所述 RST数据的 SEQ3或 ACK3相等时，通过对所述客户端的认证，具体地，用于比较 CHK与 SEQ3或 ACK3的值是否相等，若是，则通过对所述客户端的认证。若所述网络参数包括标识 ID, 则所述认证单元 39用于在所述计算单元 37计算得到的 CHK与所述 RST数据的 SEQ3或 ACK3的差值在预设的范围时，通过对所述客户端的认证，具体地，用于比较 CHK与 SEQ3 或 ACK3的差值是否在设定的范围内，若是，则通过对所述客户端的认证。实施例五

本发明实施例还提供一种客户端请求认证的方法，其结构示意图详见图 4, 所述方法包括：

步骤 401 : 客户端向网关发送同步 SYN数据，所述 SYN数据包括顺序号

SEQ1和网络参数；

步骤 402:客户端接收网关发送响应所述 SYN数据的同步确认 SYN_ACK 数据，所述 SYN_ACK数据包括确认号 ACK2, ACK2的值为根据所述 SYN 数据的网络参数进行函数变换得到的值，且 ACK2的值不等于 SEQ1加 1 ; 步骤 403: 客户端若判断 ACK2的值与期望值不同，则向网关发送响应所述 SYN_ACK数据的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；并指示网关根据 RST数据，以及 SEQ3或 ACK3对客户端进行认证。

也就是说，网关在接收到以便于客户端发送的重置请求 RST数据后，根据该重置请求 RST数据中的 RST数据，以及 SEQ3或 ACK3对客户端进行认证；即网关根据 RST数据的网络参数进行所述函数变换，得到校验值 CHK; 若 CHK与 SEQ3或 ACK3的值匹配，则通过对所述客户端的认证。

其中，所述 CHK与 SEQ3或 ACK3的值匹配具体包括：若 CHK与 SEQ3 或 ACK3相等，则通过对所述客户端的认证。或者若 CHK与 SEQ3或 ACK3 的差值在设定的范围内，则通过对所述客户端的认证。

优选的，所述网络参数包括：数据包 IP包头中的源 IP地址 SIP、源端口 SPORT、目的 IP地址 DIP、目的端口 DPORT、协议类型 Protocol和生存时间 TTL中的一项或多项。

优选的，所述网络参数包括： IP包头中的身份标识 ID。

优选的，所述函数为哈希函数。实施例六

基于上述方法的实现过程，本发明实施例还提供一种客户端，其结构示意图详见图 5 , 所述客户端包括：发送单元 51、接收单元 52和判断单元 53 , 其中，发送单元 51 , 用于向网关发送同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；接收单元 52, 用于在发送单元 51向网关发送同步 SYN 数据后，接收网关发送响应所述 SYN数据的同步确认 SYN_ACK数据，所述 SYN_ACK数据包括确认号 ACK2 , ACK2的值为根据所述 SYN数据的网络参数进行函数变换得到的值，且 ACK2的值不等于 SEQ1加 1 ; 判断单元 53 , 用于判断 ACK2的值是否与期望值相同，并在 ACK2的值是与期望值不同时，向网关发送响应所述 SYN_ACK数据的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；并指示网关根据 RST数据，以及 SEQ3或 ACK3对客户端进行认证。

所述客户端中各个单元的实现过程详见上述方法中对应的实现过程，在此不再赘述。

本发明实施例提供的网络认证装置可以用于执行实施例一至三提供的网络认证方法，网络认证装置在向客户端发送 SYN_ACK数据包时，其中包含的确认号 ACK是通过对客户端发送的 SYN数据包携带的网络参数进行特定的函数计算得到的，因此，在校验的时候，对客户端返回的 RST数据包携带的网络参数进行相同的函数计算，将计算得到的值与 RST数据包中的 ACK值或 SEQ值进行比较，判断客户端是否认证通过。因此，本发明实施例提供的网络认证装置在每次认证时无需存储 SYN_ACK数据包的确认号的值，而是在校验时计算得到并进行认证，减少了对存储资源的占用。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ROM, Read-Only Memory )或随机存储记忆体 ( RAM, Random Access Memory )等。

以上本发明实施例提供网络认证装置，泛指用于加强安全防护软件或硬件实体，用于保护服务器、私有网络等以免非授权用户的非法连接、恶意攻击等，在实际产品中可能是组成防火墙、网关、路由器等的一部分或全部；也可以用于作为客户机的一部分，防护客户机免受攻击等。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求

1、一种网络认证方法，其特征在于，包括：

向客户端发送响应所述 SYN 数据的同步确认 SYN_ACK数据，所述

根据 RST数据的网络参数进行所述函数变换，得到校验值 CHK;

若 CHK与 SEQ3或 ACK3的值匹配，则通过对所述客户端的认证。

2、如权利要求 1所述的方法，其特征在于，所述网络参数包括：数据包 IP包头中的源 IP地址 SIP、源端口 SPORT、目的 IP地址 DIP、目的端口 DPORT、协议类型 Protocol和生存时间 TTL中的一项或多项。

3、如权利要求 2所述的方法，其特征在于，所述若 CHK与 SEQ3或 ACK3 匹配，则通过对所述客户端的认证的步骤包括：

若 CHK与 SEQ3或 ACK3相等，则通过对所述客户端的认证。

4、如权利要求 1所述的方法，其特征在于，所述网络参数包括： IP包头中的身份标识 ID。

5、如权利要求 4所述的方法，其特征在于，所述若 CHK与 SEQ3或 ACK3 匹配，则通过对所述客户端的认证的步骤包括：

若 CHK与 SEQ3或 ACK3的差值在设定的范围内，则通过对所述客户端的认证。

6、如权利要求 1至 5任一项所述的方法，其特征在于，所述函数为哈希函数。

7、一种网络认证装置，其特征在于，包括：

第一接收单元，用于接收客户端发送的同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；发送单元，用于向客户端发送响应所述第一接收单元接收的 SYN数据的同步确认 SYN—ACK数据，所述 SYN—ACK数据包括确认号 ACK2, ACK2的值为根据所述 SYN数据的网络参数进行函数变换得到的值；

8、如权利要求 7所述的装置，其特征在于，所述网络参数包括：数据包 IP包头中的源 IP地址 SIP、源端口地址 SPORT、目的 IP地址 DIP、目的端口 DPORT、协议类型 protocol和生命周期 TTL中的一项或多项。

9、如权利要求 8所述的装置，其特征在于，所述认证单元具体用于在所述计算单元计算得到的 CHK与所述 RST数据的 SEQ3或 ACK3相等时，通过对所述客户端的认证。

10、如权利要求 7所述的装置，其特征在于，所述网络参数包括： IP 包头中的标识 ID。

11、如权利要求 10所述的装置，其特征在于，所述认证单元具体用于在所述计算单元计算得到的 CHK与所述 RST数据的 SEQ3或 ACK3的差值在预设的范围时，通过对所述客户端的认证。

12、一种客户端请求认证的方法，其特征在于，包括：

向网关发送同步 SYN数据，所述 SYN数据包括顺序号 SEQ1和网络参数；接收网关发送响应所述 SYN 数据的同步确认 SYN_ACK数据，所述

若判断 ACK2的值与期望值不同，则向网关发送响应所述 SYN_ACK数据的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；并指示网关根据 RST数据，以及 SEQ3或 ACK3对客户端进行认证。

13、一种客户端，其特征在于，包括：

发送单元，用于向网关发送同步 S YN数据，所述 SYN数据包括顺序号

SEQ1和网络参数；

判断单元，用于判断 ACK2的值是否与期望值相同，并在 ACK2的值是与期望值不同时，向网关发送响应所述 SYN_ACK数据的重置请求 RST数据，所述 RST数据包括顺序号 SEQ3或确认号 ACK3 , 且 SEQ3或 ACK3的值与 ACK2的值相同，所述 RST数据还包括与 SYN数据相同的网络参数；并指示网关根据 RST数据，以及 SEQ3或 ACK3对客户端进行认证。