[发明专利]网络通信主体确认方法及系统

说明书

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种网络通信主体确认方法及系统。

背景技术

网络安全防护是一种网络安全技术，指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

TCP(Transmission Control Protocol)传输控制协议，提供可靠的连接服务。

TCP标志位(即位码)有6种标识：SYN(synchronous建立连接)、ACK(acknowledgement确认)、PSH(push传送)、FIN(finish结束)、RST(reset重置)、URG(urgent紧急)。另外，还有两个术语为顺序号码(sequence number)和确认号码(acknowledge number)。

TCP采用三次握手确认建立一个连接；例如主机A与主机B之间的连接：

第一次握手：主机A发送位码为syn=1，随机产生seq number=(主机A的seq)的数据包到服务器，主机B由syn=1知道，A要求建立连接；

第二次握手：主机B收到请求后要确认连接信息，向A发送ack number=(主机A的seq+1)，syn=1，ack=1，随机产生seq number=(主机B的seq)的包；

第三次握手：主机A收到后检查ack number是否正确，即第一次发送的seq number+1，以及位码ack是否为1，若正确，主机A会再发送ack number=(主机B的seq+1)，ack=1，主机B收到后确认seq值与ack=1则连接建立成功。

完成三次握手，主机A与主机B开始传送数据。

上述握手过程易受到网络拦截，以至于恶意程序伪装成通信主体与目标主体进行通信，不利于网络安全防护。

发明内容

本发明要解决的技术问题是，针对现有技术的不足，提供一种网络通信主体确认方法及系统，在握手阶段实现对数据包的认证与防护，实现网络通信主体确认。

根据本发明一个方面，提供一种请求方的网络通信主体确认方法，其中，网络通信主体中的请求方简称甲方，网络通信主体中的被请求方简称乙方，该方法包括：

截获甲方待发送的SYN数据包，对SYN数据包或SYN数据包中的序号字段进行等长度的加密，然后将SYN数据包发送给乙方；

在收到来自乙方的ACK数据包后，对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密，如果解密成功，则将解密后的数据根据协议向上发送给协议层；

截获甲方待发送的ACK数据包，对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密，然后将ACK数据包发送给乙方。

根据本发明另一个方面，提供一种被请求方的网络通信主体确认方法，其中，网络通信主体中的请求方简称甲方，网络通信主体中的被请求方简称乙方，该方法包括：

对乙方收到的SYN数据包或SYN数据包中的序号字段进行解密，如果解密成功，则将解密后的数据向上发送给本机的协议层；

截获乙方待发送的ACK数据包，对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密，然后将ACK数据包发送给甲方；

对从甲方接收的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密，如果解密成功，则将解密后的数据根据协议向上发送给协议层。

根据本发明另一个方面，提供一种网络通信主体确认方法，其中，网络通信主体中的请求方简称甲方，网络通信主体中的被请求方简称乙方，该方法包括：

当甲方向乙方发起TCP连接时，截获甲方待发送的SYN数据包，对SYN数据包或SYN数据包中的序号字段进行等长度的加密，然后将SYN数据包发送给乙方；

在乙方收到SYN数据包后，对SYN数据包或SYN数据包中的序号字段进行解密，如果解密成功，则将解密后的数据向上发送给本机的协议层；

当乙方向甲方发送ACK数据包时，截获乙方待发送的ACK数据包，对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密，然后将ACK数据包发送给甲方；

在甲方收到ACK数据包后，对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密，如果解密成功，则将解密后的数据根据协议向上发送给本机的协议层；