主机认证方法、数据包发送方法和接收方法

摘要

本发明提出一种网络系统中的主机认证方法、数据包发送方法和接收方法。在所述网络系统中包括至少一个注册主机，为所述至少一个注册主机的每个预先设置防火墙策略，所述防火墙策略包括认证主机记录的列表，所述认证主机记录包括允许与所述注册主机相互通信的另一注册主机的IP地址、加密密钥和标识所述另一注册主机的物理特征的机器指纹。所述主机认证方法包括：网络中的注册主机每次发起会话时，使用预先配置的防火墙设置与会话的接收方对该会话进行认证，以确保只有注册的主机才能访问网络。

主权项

一种网络系统中的主机认证方法，在所述网络系统中包括至少一个注册主机，为所述至少一个注册主机的每个预先设置防火墙策略，所述防火墙策略包括认证主机记录的列表，所述认证主机记录包括允许与所述注册主机相互通信的另一注册主机的IP地址、加密密钥和标识所述另一注册主机的物理特征的机器指纹，所述主机认证方法包括：当作为所述至少一个注册主机之一的第一主机试图与作为所述至少一个注册主机之一的第二主机建立会话连接时，a)在网络层，第一主机从本机防火墙策略搜索第二主机的认证主机记录，如果找到所述第二主机的认证主机记录，则第一主机在用于发起会话的TCP或UDP会话连接数据包中插入本机的机器指纹，将所述会话连接数据包发送给第二主机，并且为所述会话连接建立包括该会话连接的会话隧道以及会话认证状态为“发起方等待认证”的第一会话认证跟踪记录；b)第二主机在接收到所述会话连接数据包后，从本机防火墙策略搜索第一主机的认证主机记录，并且如果找到所述第一主机的认证主机记录并且所述第一主机的认证主机记录中的机器指纹与所述会话连接数据包中携带的机器指纹相同，则第二主机产生用于标识此次会话认证的随机数，建立包括该会话连接的会话隧道、所述随机数以及会话认证状态为“接收方等待认证”的第二会话认证跟踪记录，使用所述第一主机的认证主机记录中的加密密钥将所述随机数加密，构建包括加密随机数的认证请求包，并且将所述认证请求包发送给第一主机，然后从所述会话连接数据包中去除携带的机器指纹，并且将所述会话连接数据包交给协议栈上层处理；c)第一主机在接收到来自第二主机的所述认证请求包后，从所述认证请求包提取加密随机数，使用第一主机自身的解密密钥将加密随机数解密，构建包括所述解密随机数的认证回应包，将所述认证回应包发送给第二主机，并且将所述第一会话认证跟踪记录中的会话认证状态设置为“认证成功”；和d)第二主机在接收到来自第一主机的所述认证回应包后，将从所述认证回应包提取的解密随机数和存储在相应于所述会话的第二会话认证跟踪记录中的随机数进行比较，如果所述两个随机数相等，则将所述第二会话认证跟踪记录中的会话认证状态设置为“认证成功”，如果所述两个随机数不相等，则删除所述第二会话认证跟踪记录。