[发明专利]语义完整的TCP连接隔离与控制方法和系统

摘要

一种保证语义完整的TCP连接隔离与控制方法和系统，属于信息安全领域。本发明方法修改后TCP处理步骤保证收到SYN报文后，将该报文特征信息通知到另外一个网络处理单元，由另外一个网络处理单元重新生成该SYN报文，发送到网络上，待另外一个网络处理单元收到ACK后，再由本协议栈生成对应的报文。本发明系统包括包括TCP握手处理模块、TCP连接检查模块、应用层数据检查模块、应用层协议处理模块、安全数据交换通道模块。本发明不仅能够隔离内外网络之间的TCP连接，进行应用层数据交换，也能够保证TCP的语义完整性，不会出现服务器关闭而客户端也能建立起TCP连接的情况。

主权项

1、一种语义完整的TCP连接隔离与控制方法，其特征在于，分为两个阶段完成，一是TCP连接建立阶段，二是应用层数据控制和交换阶段，其中：所述TCP连接建立阶段，当内网向外网发起TCP连接请求时，处理步骤如下：●内网处理单元的TCP协议栈在收到客户端发来的SYN报文后，并不立即向客户端回复ACK/SYN报文，而是将该SYN报文各种通信特征提取出来；●基于从SYN报文提取出的通信特征判断是否满足既定的安全策略，如不满足既定安全策略，则终止报文处理，同时进行相应的审计操作；●若满足既定的安全策略，则将SYN报文的通信特征通过内外处理单元的安全数据通道发送到外网处理单元；●外网处理单元接收到内网处理单元发送来的SYN报文的通信特征，通过修改的网络协议栈生成相应的SYN报文，发送到客户端所要连接的服务器及对应端口，所生成的SYN报文不要求与客户端发到内网处理单元的SYN报文的序列号相同；●外网处理单元等待外网的服务器发送回来的二次握手SYN/ACK报文，若接收到相应的二次握手报文，则提取出该报文的通信特征，然后基于内外网处理单元的安全数据通道将该通信特征发送到内网处理单元；●内网处理单元在收到外网处理单元发送来的二次握手报文特征后，根据前面从客户端接收到的SYN报文，生成相应的二次握手报文发送到内网的客户端；●内网处理单元等待内网的客户端发送回来的三次握手ACK报文，若接收到相应的三次握手报文，则表明内网处理单元已经代替外网的服务器与客户端建立起TCP连接，同时提取出该报文的通信特征，然后基于内外网处理单元的安全数据通道将该通信特征发送到外网处理单元；●外网处理单元根据收到的内网处理单元发送来的三次握手报文特征，基于前面的一次和两次握手报文，生成对应的三次握手ACK报文，发送到外网服务器的对应端口；至此，内网处理单元代替外网服务器与内网客户端建立起了TCP连接，外网处理单元代替内网客户端与服务器建立起了TCP连接，这两个TCP和内网间的安全数据通道一起构成了一个应用层数据交换通路，依据对应的安全策略开始第二阶段，即应用层数据控制和交换阶段；所述应用层数据控制和交换阶段，其数据处理步骤如下：●第一个网络处理单元从网络协议栈中接收数据包，分析出应用层数据，以及对应的TCP连接参数；●将分析出的应用层数据和TCP连接参数打包，通过内外网处理单元间的安全数据交换通道，发送到第二个网络处理单元；●第二个网络处理单元接收到第一个网络处理单元发送来的应用层数据和TCP连接参数之后，首先基于TCP连接参数判断出该数据需要通过哪个TCP连接发送出去，然后通过该TCP连接将相应的应用层数据发送出去。