網絡通信主體確認方法及系統的製作方法

2023-05-27 18:16:31 1

網絡通信主體確認方法及系統的製作方法
【專利摘要】本發明提供一種網絡通信主體確認方法，包括：當甲方向乙方發起TCP連接時，截獲甲方待發送的SYN數據包，對SYN數據包進行等長度的加密，然後將SYN數據包發送給乙方；在乙方收到SYN數據包後，對SYN數據包進行解密；當乙方向甲方發送ACK數據包時，截獲乙方待發送的ACK數據包，對ACK數據包進行等長度加密，然後將ACK數據包發送給甲方；在甲方收到ACK數據包後，對ACK數據包進行解密；在甲方向乙方發送ACK數據包時，截獲甲方待發送的ACK數據包，對ACK數據包進行等長度加密，然後將ACK數據包發送給乙方；在乙方收到ACK數據包後，對ACK數據包進行解密。本發明在握手階段實現對數據包的認證與防護。
【專利說明】網絡通信主體確認方法及系統
【技術領域】
[0001]本發明涉及計算機網絡安全領域，尤其涉及一種網絡通信主體確認方法及系統。【背景技術】
[0002]網絡安全防護是一種網絡安全技術，指致力於解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。
[0003]TCP (Transmission Control Protocol)傳輸控制協議,提供可靠的連接服務。
[0004]TCP標誌位(即位碼)有6種標識:SYN(synchronous建立連接)、ACK (acknowledgement 確認)、PSH (push 傳送)、FIN (finish 結束)、RST (reset 重置)、URG(urgent緊急)。另外，還有兩個術語為順序號碼(sequence number)和確認號碼(acknowledge number)。
[0005]TCP採用三次握手確認建立一個連接；例如主機A與主機B之間的連接:
[0006]第一次握手:主機A發送位碼為syn=l,隨機產生seq number =(主機A的seq)的數據包到伺服器，主機B由syn=l知道，A要求建立連接；
[0007]第二次握手:主機B收到請求後要確認連接信息，向A發送ack number =(主機A的 seq+1), syn=l, ack=l,隨機產生 seq number =(主機 B 的 seq)的包；
[0008]第三次握手:主機A收到後檢查ack number是否正確，即第一次發送的seqnumber+1,以及位碼ack是否為I,若正確,主機A會再發送ack number=(主機B的seq+Ι),ack=l,主機B收到後確認seq值與ack=l則連接建立成功。
[0009]完成三次握手，主機A與主機B開始傳送數據。
[0010]上述握手過程易受到網絡攔截，以至於惡意程序偽裝成通信主體與目標主體進行通信，不利於網絡安全防護。

【發明內容】

[0011]本發明要解決的技術問題是，針對現有技術的不足，提供一種網絡通信主體確認方法及系統，在握手階段實現對數據包的認證與防護，實現網絡通信主體確認。
[0012]根據本發明一個方面，提供一種請求方的網絡通信主體確認方法，其中，網絡通信主體中的請求方簡稱甲方，網絡通信主體中的被請求方簡稱乙方，該方法包括:
[0013]截獲甲方待發送的SYN數據包，對SYN數據包或SYN數據包中的序號欄位進行等長度的加密，然後將SYN數據包發送給乙方；
[0014]在收到來自乙方的ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層；
[0015]截獲甲方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給乙方。
[0016]根據本發明另一個方面，提供一種被請求方的網絡通信主體確認方法，其中，網絡通信主體中的請求方簡稱甲方，網絡通信主體中的被請求方簡稱乙方，該方法包括:
[0017]對乙方收到的SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據向上發送給本機的協議層；
[0018]截獲乙方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給甲方；
[0019]對從甲方接收的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層。
[0020]根據本發明另一個方面，提供一種網絡通信主體確認方法，其中，網絡通信主體中的請求方簡稱甲方，網絡通信主體中的被請求方簡稱乙方，該方法包括:
[0021]當甲方向乙方發起TCP連接時，截獲甲方待發送的SYN數據包，對SYN數據包或SYN數據包中的序號欄位進行等長度的加密，然後將SYN數據包發送給乙方；
[0022]在乙方收到SYN數據包後，對SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據向上發送給本機的協議層；
[0023]當乙方向甲方發送ACK數據包時，截獲乙方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給甲方；
[0024]在甲方收到ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給本機的協議層；
[0025]在甲方向乙方發送ACK數據包時，截獲甲方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給乙方；
[0026]在乙方收到ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層。
[0027]根據本發明另一個方面，提供一種請求方的網絡通信主體確認裝置，包括:
[0028]數據包截獲單元，與驅動單元耦接，適於截獲待發送的SYN數據包和ACK數據包；
[0029]請求方加解密單元，分別與數據包截獲單元和驅動單元耦接，適於對SYN數據包或SYN數據包中的序號欄位、對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，還適於對被請求方發送的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元；
[0030]數據包收發單元，分別與請求方加解密單元和網卡耦接，適於將請求方加解密單元加密後的數據包通過網卡發送給被請求方，還適於將網卡接收到的被請求方的ACK數據包發送給請求方加解密單元。
[0031]根據本發明另一個方面，提供一種被請求方的網絡通信主體確認裝置，包括:
[0032]數據包截獲單元,與驅動單元稱接,適於截獲待發送的ACK數據包；
[0033]被請求方加解密單元，分別與數據包截獲單元和驅動單元耦接，適於對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密；還適於對請求方的SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元，如果解密失敗，SYN數據包就會被丟棄；還適於對請求方的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元；
[0034]數據包收發單元，分別與被請求方加解密單元和網卡耦接，適於將被請求方加解密單元加密後的數據包通過網卡發送給請求方，還適於將網卡接收到的請求方的ACK數據包或SYN數據包發送給被請求方加解密單元。
[0035]根據本發明另一個方面，提供一種網絡通信主體確認系統，包括:上述請求方的網絡通信主體確認裝置；和上述被請求方的網絡通信主體確認裝置。
[0036]與現有技術相比，本發明公開的實施例在握手階段實現對數據包的認證與防護，實現網絡通信主體確認。
【專利附圖】

【附圖說明】
[0037]圖1是根據本發明一個實施例提供的TCP通信握手階段示意圖；
[0038]圖2是根據本發明一個實施例提供的網絡通信主體確認方法流程圖；
[0039]圖3是根據本發明一個實施例提供的計算設備網絡層次示意圖；
[0040]圖4是根據本發明一個實施例提供的請求方客戶端；
[0041]圖5是根據本發明一個實施例提供的被請求方客戶端。
【具體實施方式】
[0042]為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖，對本發明進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，並不用於限定本發明。
[0043]通信握手過程
[0044]發明人經分析發現，如圖1所示:
[0045]其中，請求方簡稱甲方，被請求方簡稱乙方；
[0046](I)在TCP通訊開始時，甲方會發送一個控制位(即位碼)syn為1，並包含本機隨機序號(即順序號碼)seq=x的數據包，給乙方；
[0047](2)乙方接收到控制位syn為I的數據包後，將構造一個ack的數據包，其中，序號欄位是乙方隨機生成的序號seq=y，並將甲方的序號加I後填寫到確認序號(即確認號碼)欄位ACK=x+l，並將控制位syn和ack均置為1，發送給甲方；
[0048](3)甲方接收到乙方發送來的控制位syn和ack均置為I的數據包後，將構造一個ack數據包，其中，序號欄位是自己隨機產生的序號值加1，而將乙方發生過來的序號欄位加I寫入確認序號欄位ACK=y+l，並將控制位ack置為1，發送給乙方。
[0049]此時，三次握手結束。
[0050]發明人經研究發現:如果在握手階段實現對數據包的認證與防護，能夠實現網絡通信主體確認，從而提高網絡安全防護的能力。
[0051]網絡通信主體確認過程
[0052]基於上述分析和發現，根據本發明一個實施例，發明人設計了如下的網絡通信主體確認過程:
[0053]其中，請求方簡稱甲方，被請求方簡稱乙方；
[0054]P11、當甲方準備向乙方發起TCP連接時，甲方對待發送的SYN數據包中的本機生成的序號欄位進行等長度的加密，然後將SYN數據包發送給乙方；
[0055]具體的，當甲方準備向乙方發起TCP連接時，甲方會產生一個請求數據包(即SYN數據包)，並且請求方會隨機產生一個本機的序號,稱為本機的初始序號,用於標識本次TCP連接後雙方發送字節數計數的一個起始值。此初始序號會填寫到請求數據包中的相應數據域中。
[0056]另外，在甲方將SYN數據包發送給乙方後，等待接收被請求方發送確認數據包(又稱為第二握手包)。
[0057]P12、乙方收到SYN數據包後，對數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據根據協議(即TCP/IP協議)向上發送給應用程式，如果解密失敗，SYN數據包就會被丟棄；
[0058]P13、乙方對待發送給甲方的ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給甲方；
[0059]具體的，乙方組裝一個ACK數據包(又稱為確認數據包、第二握手包)，生成一個本機的序號，填寫到確認數據包中的本機序號欄位。同時，將請求方發送來的本機序號加1，填寫到確認序號欄位中，最後對被請求方產生的本機序號和確認序號欄位的兩個欄位值進行加密。
[0060]然後，乙方等待接收甲方發送確認數據包(又稱為第三握手包)。
[0061]P14、甲方收到乙方發送來的ACK數據包後，對ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給應用程式，如果解密失敗，ACK數據包就會被丟棄；
[0062]具體的，甲方的應用程式(即本機的協議層)接收到乙方的ACK數據包後，會產生一個確認數據包(又稱為第三握手包)，包括本地序號和確認序號，其中，確認序號是取自乙方發送來的ACK數據包中的本機序號欄位加1，填寫到確認序號欄位中。
[0063]P15、甲方對待發送給乙方的ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給乙方；
[0064]P16、乙方收到甲方發送來的ACK數據包後，對其中的序號欄位和確認序號欄位進行解密，並向上層發送給應用程式；如果解密成功，則將解密後的數據根據協議向上發送給應用程式，如果解密失敗，ACK數據包就會被丟棄；
[0065]此時，握手包的防護處理完畢；上述過程在握手階段實現對數據包的認證與防護，實現網絡通信主體確認，提高了網絡通信的安全性。
[0066]根據本發明一個實施例，上述等長度加密算法為異或算法，例如，以一個32位長度的數值為例，等長度加密的過程描述如下:
[0067](I)假設數值 ULONG uNum=0xFlAB9759 ；
[0068](2)使用數值0x39作為異或值的種子；
[0069](3)對uNum進行逐字節的異或處理；
[0070](4)得到新的一個值 uNumNew:OxC892AE6O。
[0071]此時，完成了對原始數值uNum的等長度的加密工作。
[0072]根究本發明另一個實施例，上述各個步驟中對數據包中某個欄位進行加解密的方法可以適用於對於整個數據包進行加解密的過程。例如，在Pll中，甲方對待發送的SYN數據包進行等長度加密，然後將加密後的SYN數據包發送給乙方；在？12中，乙方收到SYN數據包後，對數據包進行解密。[0073]網絡通信主體確認方法
[0074]根據上述的網絡通信主體確認過程，根據本發明一個實施例，提供一種網絡通信主體確認方法。如圖2所示，該方法包括:
[0075]其中，請求方簡稱甲方，被請求方簡稱乙方；
[0076]SI 1、當甲方向乙方發起TCP連接時，截獲甲方待發送的SYN數據包，對SYN數據包或SYN數據包中的序號欄位進行等長度的加密，然後將SYN數據包(又稱為第一握手包)發送給乙方；
[0077]S12、在乙方收到SYN數據包後，對SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據向上發送給本機的協議層，如果解密失敗，SYN數據包就會被丟棄；
[0078]S13、當乙方向甲方發送ACK數據包時，截獲乙方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包(又稱為第二握手包)發送給甲方；
[0079]S14、在甲方收到ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議(即TCP/IP協議)向上發送給本機的協議層，如果解密失敗，ACK數據包就會被丟棄；
[0080]S15、在甲方向乙方發送ACK數據包時(又稱為第三握手包)，截獲甲方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給乙方；
[0081]S16、在乙方收到ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層，如果解密失敗，ACK數據包就會被丟棄。
[0082]此時，TCP連接建立成功。
[0083]經過上面的步驟，(I)通過對握手包的加解密，可以確認通信雙方的主體為真實主體；(2)通過等長度加密，不會改變現有的TCP/IP協議內容和現存的應用軟體；(3)其他在網絡上對握手階段數據包進行攔截的惡意程序無法再冒充通信主體。
[0084]請求方方法
[0085]基於上述網絡通信主體確認方法，根據本發明一個實施例，提供一種請求方的網絡通信主體確認方法。該方法包括:
[0086]其中，請求方簡稱甲方，被請求方簡稱乙方；
[0087]S21、截獲甲方待發送的SYN數據包，對SYN數據包或SYN數據包中的序號欄位進行等長度的加密，然後將SYN數據包(又稱為第一握手包)發送給乙方；
[0088]S22、在收到來自乙方的ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給本機的協議層，如果解密失敗，ACK數據包就會被丟棄；
[0089]S23、截獲甲方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給乙方。
[0090]被請求方方法
[0091]基於上述網絡通信主體確認方法，根據本發明一個實施例，提供一種被請求方的網絡通信主體確認方法。該方法包括:
[0092]其中，請求方簡稱甲方，被請求方簡稱乙方；
[0093]S31、對乙方收到的SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據向上發送給本機的協議層，如果解密失敗，SYN數據包就會被丟棄；
[0094]S32、截獲乙方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給甲方；
[0095]S33、對從甲方接收的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層，如果解密失敗，ACK數據包就會被丟棄。
[0096]計算設備運行環境
[0097]為了更好的理解本發明，根據本發明一個實施例，提供一種計算設備網絡層次示意圖。如圖3所示，計算設備網絡層次從底向上依次包括:
[0098]物理層34、鏈路層33、網絡層32和應用層31 ；
[0099]具體的，網絡層32包括協議驅動321和頂驅動322 (在作業系統內核部分實現)，鏈路層33包括miniport驅動331 (在作業系統內核部分實現)，物理層34包括網卡341。其中，IM驅動為中間媒介層驅動(或簡稱中間層驅動)，miniport驅動為微埠驅動(或小埠驅動)。
[0100]根據本發明一個實施例，上述如圖2所示的網絡通信主體確認方法可以通過修改TCP/IP協議來實現，即由協議驅動321完成網絡通信主體確認方法。
[0101]為了不影響網絡通信協議的內容，根據本發明一個實施例，上述如圖2所示的網絡通信主體確認方法可以通過頂驅動322完成，即在頂驅動322中實現。
[0102]為了不影響網絡通信協議的內容，根據本發明另一個實施例，上述如圖2所示的網絡通信主體確認方法可以通過miniport驅動331完成，即在miniport驅動331中實現。
[0103]為了不影響現有計算機層次結構和實現方式，根據本發明另一個實施例，上述如圖2所示的網絡通信主體確認方法由單獨的驅動程序實現，並在頂驅動322或miniport驅動331中添加對該驅動程序的調用。
[0104]本領域技術人員可以理解，上述網絡通信主體確認方法也可以在其他合適的計算機層次模塊中實現，本發明不再一一列舉。
[0105]網絡通信主體確認裝置
[0106]與上述方法相應地，根據本發明一個實施例，提供一種請求方客戶端。如圖4所示，該請求方客戶端包括:
[0107]數據包截獲單元41，與驅動單元401耦接，適於截獲待發送的SYN數據包和ACK數據包；
[0108]請求方加解密單元42，分別與數據包截獲單元41和驅動單元401耦接，適於對SYN數據包或SYN數據包中的序號欄位、對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，還適於對被請求方發送的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元401，如果解密失敗，ACK數據包就會被丟棄；
[0109]數據包收發單元43，分別與請求方加解密單元42和網卡402耦接，適於將請求方加解密單元42加密後的數據包通過網卡402發送給被請求方，還適於將網卡402接收到的被請求方的ACK數據包發送給請求方加解密單元42。
[0110]與上述方法相應地，根據本發明另一個實施例，提供一種被請求方客戶端。如圖5所示，該被請求方客戶端包括:
[0111]數據包截獲單元51，與驅動單元501耦接，適於截獲待發送的ACK數據包；
[0112]被請求方加解密單元52，分別與數據包截獲單元51和驅動單元501耦接，適於對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密；還適於對請求方的SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元501,如果解密失敗,SYN數據包就會被丟棄；還適於對請求方的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元501，如果解密失敗，ACK數據包就會被丟棄；
[0113]數據包收發單元53，分別與被請求方加解密單元52和網卡502耦接，適於將被請求方加解密單元52加密後的數據包通過網卡502發送給請求方，還適於將網卡502接收到的請求方的ACK數據包或SYN數據包發送給被請求方加解密單元52。
[0114]根據本發明一個實施例，上述驅動單元401、501為miniport驅動單元(即上述miniport 驅動 331)。
[0115]根據本發明另一個實施例，上述驅動單元401、501為頂驅動單元(即上述頂驅動322),此時,數據包收發單元43、53與miniport驅動單元(即上述miniport驅動331)耦接，而不再是網卡。相應地，本領域技術人員可以理解，數據包收發單元43、53的功能描述與miniport驅動單元相關,這裡不再贅述。
[0116]根據本發明另一個實施例，上述驅動單元401、501為協議驅動單元(即上述協議驅動321)，此時，數據包收發單元43、53與頂驅動耦接。相應地，本領域技術人員可以理解，數據包收發單元43、53的功能描述與頂驅動相關，這裡不再贅述。
[0117]根據本發明另一個實施例，上述請求方加解密單元42不與驅動單元401耦接，通過數據包截獲單元41轉發上傳數據包。
[0118]根據本發明另一個實施例，上述被請求方加解密單元52不與驅動單元501耦接，通過數據包截獲單元51轉發上傳數據包。
[0119]根據本發明另一個實施例，上述請求方客戶端和被請求方客戶端可以融合為一種客戶端，稱為網絡通信主體確認客戶端，更方便在網絡設備上部署。
[0120]網絡通信主體確認系統
[0121 ] 基於上述請求方客戶端和被請求方客戶端,根據本發明一個實施例,提供一種包含上述請求方客戶端和被請求方客戶端的網絡通信主體確認系統。
[0122] 應該注意到並理解，在不脫離後附的權利要求所要求的本發明的精神和範圍的情況下，能夠對上述詳細描述的本發明做出各種修改和改進。因此，要求保護的技術方案的範圍不受所給出的任何特定示範教導的限制。
【權利要求】
1.一種請求方的網絡通信主體確認方法，其中，網絡通信主體中的請求方簡稱甲方，網絡通信主體中的被請求方簡稱乙方，其特徵在於，該方法包括: 截獲甲方待發送的SYN數據包，對SYN數據包或SYN數據包中的序號欄位進行等長度的加密，然後將SYN數據包發送給乙方； 在收到來自乙方的ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層； 截獲甲方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給乙方。
2.一種被請求方的網絡通信主體確認方法，其中，網絡通信主體中的請求方簡稱甲方，網絡通信主體中的被請求方簡稱乙方，其特徵在於，該方法包括: 對乙方收到的SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據向上發送給本機的協議層； 截獲乙方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給甲方； 對從甲方接收的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層。
3.—種網絡通信主體確認方法，其中，網絡通信主體中的請求方簡稱甲方，網絡通信主體中的被請求方簡稱乙方，其特徵在於，該方法包括: 當甲方向乙方發起TCP連接時，截獲甲方待發送的SYN數據包，對SYN數據包或SYN數據包中的序號欄位進行等長度的加密，然後將SYN數據包發送給乙方； 在乙方收到SYN數據包後，對SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據向上發送給本機的協議層； 當乙方向甲方發送ACK數據包時，截獲乙方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給甲方；在甲方收到ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給本機的協議層； 在甲方向乙方發送ACK數據包時，截獲甲方待發送的ACK數據包，對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，然後將ACK數據包發送給乙方；在乙方收到ACK數據包後，對ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據根據協議向上發送給協議層。
4.一種請求方的網絡通信主體確認裝置，其特徵在於，包括: 數據包截獲單元，與驅動單元耦接，適於截獲待發送的SYN數據包和ACK數據包； 請求方加解密單元，分別與數據包截獲單元和驅動單元稱接，適於對SYN數據包或SYN數據包中的序號欄位、對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密，還適於對被請求方發送的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元； 數據包收發單元，分別與請求方加解密單元和網卡耦接，適於將請求方加解密單元加密後的數據包通過網卡發送給被請求方，還適於將網卡接收到的被請求方的ACK數據包發送給請求方加解密單元。
5.根據權利要求4所述的請求方的網絡通信主體確認裝置，其特徵在於，所述驅動單元為miniport驅動單元。
6.根據權利要求4所述的請求方的網絡通信主體確認裝置，其特徵在於，所述驅動單元為IM驅動單元或協議驅動單元。
7.一種被請求方的網絡通信主體確認裝置，其特徵在於，包括: 數據包截獲單元，與驅動單元稱接，適於截獲待發送的ACK數據包； 被請求方加解密單元，分別與數據包截獲單元和驅動單元耦接，適於對ACK數據包或ACK數據包中的序號欄位和確認序號欄位進行等長度加密；還適於對請求方的SYN數據包或SYN數據包中的序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元，如果解密失敗,SYN數據包就會被丟棄；還適於對請求方的ACK數據包或者ACK數據包中的序號欄位和確認序號欄位進行解密，如果解密成功，則將解密後的數據發送給驅動單元； 數據包收發單元，分別與被請求方加解密單元和網卡耦接，適於將被請求方加解密單元加密後的數據包通過網卡發送給請求方，還適於將網卡接收到的請求方的ACK數據包或SYN數據包發送給被請求方加解密單元。
8.根據權利要求6所述的被請求方的網絡通信主體確認裝置，其特徵在於，所述驅動單元為miniport驅動單元。
9.根據權利要求6所述的被請求方的網絡通信主體確認裝置，其特徵在於，所述驅動單元為IM驅動單元或協議驅動單元。
10.一種網絡通信主體確認系統，其特徵在於，包括: 如權利要求4所述的請求方的網絡通信主體確認裝置； 如權利要求7所述的被請求方的網絡通信主體確認裝置。
【文檔編號】H04L29/06GK103546475SQ201310518278
【公開日】2014年1月29日 申請日期:2013年10月29日 優先權日:2013年10月29日
【發明者】馮麗娟 申請人:馮麗娟