[发明专利]TCP连接的预认证方法、装置和系统

说明书

本申请涉及TCP连接的预认证方法、装置和系统，所述方法包括：在TCP SYN报文通过TCP协议栈被发送到服务端口之前，抓取TCP SYN报文；其中，TCP SYN报文中携带客户端发送给服务端口的TCP选项；对抓取的TCP SYN报文进行校验匹配，验证TCP SYN报文是否认证通过；若判断为认证通过，将TCP SYN报文送回TCP协议栈，完成后续的建链流程。本发明通过对报文预认证，丢弃不匹配规则报文解决采用单包授权(SPA)方法认证报文，建立TCP连接的方法存在的安全风险高、运维改造的难度大、无法让敲门报文穿透等问题。

技术领域

本申请涉及通信技术领域，特别是涉及TCP连接的预认证方法、装置和系统。

背景技术

基于网络安全体系架构上，传统企业除了部署物理防火墙外，也会部署安全网关或者软件防火墙来进行外网的访问控制；按照此部署可以在防火墙上通过打开指定端口对外提供必要服务，但是会带来被攻击的风险；相反如果关闭服务端所有公网端口能够保障安全，但无法对外提供服务。为了兼顾应用性和安全性，需要提供一种端口默认关闭场景下保证内部应用能够被可信终端安全访问的方案。

业界普遍采用单包授权(SPA)方法来实现：通过默认关闭服务端口，实现服务端网络隐身，从网络上无法连接、无法扫描。如果需要使用服务，则通过特定客户端发送认证报文信息给服务器，服务器认证该报文后，对该客户端打开相关的服务，建立TCP连接。然而，这样的处理方式至少存在以下缺陷：

1、授权信息承载在TCP/UDP报文之上，服务器端仍然需要打开传输层的端口来接受单包授权报文，增加安全风险。对于外部访问组织内部资源服务起时，需要在组织的边界出口防火强增加端口规则，这样会增加运维改造的难度

2、应用服务前部署LB，WAF类安全设备之后，敲门报文无法穿透这类设备，通过单包方式无法实现服务端口打开。

目前针对相关技术中采用单包授权(SPA)方法认证报文，建立TCP连接的方法存在的安全风险高、运维改造的难度大、无法让敲门报文穿透等问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了TCP连接的预认证方法、装置和系统，以至少解决采用单包授权(SPA)方法认证报文，建立TCP连接的方法存在的安全风险高、运维改造的难度大、无法让敲门报文穿透等问题。

第一方面，本申请实施例提供了TCP连接的预认证方法，所述方法包括：在TCP SYN报文通过TCP协议栈被发送到服务端口之前，抓取TCP SYN报文；其中，TCP SYN报文中携带客户端发送给服务端口的TCP选项；对抓取的TCP SYN报文进行校验匹配，验证TCP SYN报文是否认证通过；若判断为认证通过，将TCP SYN报文送回TCP协议栈，完成后续的建链流程。

在其中一些实施例中，对抓取的TCP SYN报文进行校验匹配，验证TCP SYN报文是否认证通过包括：解密：对抓取的TCP SYN报文进行识别处理，若识别结果为合法，对TCPSYN报文进行解密，提取出认证信息；认证：对认证信息进行各维度校验；控制：对终端设备的业务访问放行和控制，其中，终端设备包括当前发起TCP连接的服务端。

在其中一些实施例中，TCP SYN报文中携带客户端发送给服务端口的TCP选项，解密过程包括：检查TCP选项是否携带快速标识，若携带，根据预设规则将TCP选项拆分成密文和HMAC；通过服务器存储的秘钥对密文进行数字签名，验证HMAC是否匹配，若匹配，通过秘钥对密文进行解密，得到认证信息、携带的摘要；对认证信息进行摘要计算，比对计算得到的摘要与携带的摘要是否相同；若相同，提取出认证信息。

在其中一些实施例中，认证信息包括随机数、硬件特征码、用户ID、服务端端口信息的一种或多种；认证过程包括以下步骤的一种或多种：比对提取出的随机数与服务端存储的映射是否冲突；若不冲突，对设备特征码(硬件特征码)和用户ID进行用户访问认证；若认证通过，将服务端端口信息与TCP SYN报文的目的端口进行匹配，得到匹配结果。