[发明专利]TCP连接的预认证方法、装置和系统

权利要求书

1.一种TCP连接的预认证方法，其特征在于，用于在TCP SYN报文通过TCP协议栈被发送到服务端口之前确定是否允许客户端的接入，该方法包括：

在TCP SYN报文通过TCP协议栈被发送到服务端口之前，抓取TCP SYN报文；其中，TCPSYN报文中携带客户端发送给服务端口的TCP选项，TCP选项封装有验证客户端信息的认证信息以及验证认证信息是否被篡改的摘要；

对抓取的TCP SYN报文进行校验匹配，验证TCP SYN报文是否认证通过；其中，校验匹配包括：对TCP SYN报文所携带的TCP选项中封装的认证信息进行认证校验；

若判断为认证通过，将TCP SYN报文送回TCP协议栈，完成后续的建链流程；

若判断为认证不通过，将TCP SYN报文丢弃。

2.根据权利要求1所述的TCP连接的预认证方法，其特征在于，对抓取的TCP SYN报文进行校验匹配，验证TCP SYN报文是否认证通过包括：

解密：对抓取的TCP SYN报文进行识别处理，若识别结果为合法，对TCP SYN报文进行解密，提取出认证信息；

认证：对认证信息进行各维度校验；

控制：对终端设备的业务访问放行和控制，其中，终端设备包括当前发起TCP连接的服务端。

3.根据权利要求2所述的TCP连接的预认证方法，其特征在于，TCP SYN报文中携带客户端发送给服务端口的TCP选项，

解密过程包括：

检查TCP选项是否携带快速标识，若携带，根据预设规则将TCP选项拆分成密文和HMAC；通过服务器存储的秘钥对密文进行数字签名，验证HMAC是否匹配，若匹配，通过秘钥对密文进行解密，得到认证信息、携带的摘要；

对认证信息进行摘要计算，比对计算得到的摘要与携带的摘要是否相同；

若相同，提取出认证信息。

4.根据权利要求2所述的TCP连接的预认证方法，其特征在于，认证信息包括随机数、硬件特征码、用户ID、服务端端口信息；

认证过程包括以下步骤：

比对提取出的随机数与服务端存储的映射是否冲突；

若不冲突，对硬件特征码和用户ID进行用户访问认证；

若认证通过，将服务端端口信息与TCP SYN报文的目的端口进行匹配，得到匹配结果。

5.根据权利要求2所述的TCP连接的预认证方法，其特征在于，对终端设备的业务访问放行和控制具体为：

在解密、认证过程中，若规则不匹配，直接丢弃TCP SYN报文，不作任何响应；

否则，将TCP SYN报文送回TCP协议栈。

6.根据权利要求1所述的TCP连接的预认证方法，其特征在于，所述方法还包括：

获取客户端的认证信息；

将认证信息进行哈希计算得到摘要，对认证信息和摘要进行加密得到密文；

为密文添加HMAC，将密文和HMAC作为TCP选项封装在TCP SYN报文中，发送给服务端。

7.一种TCP连接的预认证装置，其特征在于，用于在TCP SYN报文通过TCP协议栈被发送到服务端口之前确定是否允许客户端的接入包括：

获取模块，用于在TCP SYN报文通过TCP协议栈被发送到服务端口之前，抓取TCP SYN报文；其中，TCP SYN报文中携带客户端发送给服务端口的TCP选项，TCP选项封装有验证客户端信息的认证信息以及验证认证信息是否被篡改的摘要；

预认证模块，用于对抓取的TCP SYN报文进行校验匹配，验证TCP SYN报文是否认证通过；其中，校验匹配包括：对TCP SYN报文所携带的TCP选项中封装的认证信息进行认证校验；

处理模块，用于当判断为认证通过后，将TCP SYN报文送回TCP协议栈，完成后续的建链流程；

若判断为认证不通过，将TCP SYN报文丢弃。