本发明提供了一种基于暗网寻路的跨域安全通信传输系统及方法,包括若干个网关设备,以及与若干个网关设备通信连接的若干个公网服务器;若干个网关设备,用于处理跨域业务数据的内容语义转换、数据加密以及选择隐藏传输通路,且若干个网关设备部署于不同信息业务域的网络边界出口;若干个公网服务器,用于承担基于暗网寻路的跨域业务在公网中的传输中转服务,且若干个公网服务器部署于现有跨域公网中。本申请能够有效的隐藏跨域数据通信目标、隐藏数据行为、规避中间人分析及可规划通信节点的技术,实现不同信息域之间的业务,在公网传输过程中隐藏传输节点、转化数据语义以及节点间通信的安全算法,从而保证在现有网络环境下跨域数据的安全传输。
1.一种基于暗网寻路的跨域安全通信传输系统,其特征在于,包括:若干个网关设备,以及与所述若干个网关设备通信连接的若干个公网服务器;
所述若干个网关设备,用于处理跨域业务数据的内容语义转换、数据加密以及选择隐藏传输通路,且所述若干个网关设备部署于不同信息业务域的网络边界出口;
所述若干个公网服务器,用于承担基于暗网寻路的跨域业务在公网中的传输中转服务,且所述若干个公网服务器部署于现有跨域公网中,其中,基于暗网寻路的跨域安全通信传输过程如下:对网关设备进行业务配置,并通过配置邻居公网服务器,对外通告网关设备对外提供的服务能力;
对公网服务器配置上下行邻居关系,并进行邻居双向认证自组网,并学习邻居的服务能力以及向邻居通告服务能力;
由网关设备获取本域内跨域业务数据,并根据所述本域内跨域业务数据判断是否有其他业务域的服务能力,若是,则对本域内跨域业务数据进行通信加密、语义转换以及封装处理,并转发至公网服务器,否则,丢弃该域内的跨域业务数据;
剥离语义转换协议头,并利用公网服务器中邻居认证得到的证书进行解密,得到实际的跨域业务数据;
判断接收实际跨域业务数据的设备类型是否为公网服务器,若是,则判断是否有匹配的邻居服务能力,否则,接收实际跨域业务数据的设备类型为网关设备,并将所述实际跨域业务数据在本域内进行转发,完成基于暗网寻路的跨域安全通信传输;
判断是否有匹配的邻居服务能力的具体过程为:判断是否有匹配的邻居服务能力,若是,则进行数据加密和语义转换,封装完整个数据后,将加密转义后的数据发往下一个邻居,否则,丢弃所述实际的跨域业务数据,完成基于暗网寻路的跨域安全通信传输。
2.一种基于暗网寻路的跨域安全通信传输方法,其特征在于,包括以下步骤:S1、对网关设备进行业务配置,并通过配置邻居公网服务器,对外通告网关设备对外提供的服务能力;
S2、对公网服务器配置上下行邻居关系,并进行邻居双向认证自组网,并学习邻居的服务能力以及向邻居通告服务能力;
S3、由网关设备获取本域内跨域业务数据,并根据所述本域内跨域业务数据判断是否有其他业务域的服务能力,若是,则进入步骤S4,否则,丢弃该域内的跨域业务数据,并重复步骤S3;
S4、对本域内跨域业务数据进行通信加密、语义转换以及封装处理,并转发至公网服务器;
S5、剥离语义转换协议头,并利用公网服务器中邻居认证得到的证书进行解密,得到实际的跨域业务数据;
S6、判断接收实际跨域业务数据的设备类型是否为公网服务器,若是,进入步骤S7,否则,接收实际跨域业务数据的设备类型为网关设备,并将所述实际跨域业务数据在本域内进行转发,完成基于暗网寻路的跨域安全通信传输;
S7、判断是否有匹配的邻居服务能力,若是,则进行数据加密和语义转换,封装完整个数据后,将加密转义后的数据发往下一个邻居,否则,丢弃所述实际的跨域业务数据,完成基于暗网寻路的跨域安全通信传输。
3.根据权利要求2所述的基于暗网寻路的跨域安全通信传输方法,其特征在于,所述步骤S1中对外通告的服务包括:提供服务IP、服务类型以及设备自身IP。
4.根据权利要求2所述的基于暗网寻路的跨域安全通信传输方法,其特征在于,所述步骤S2包括以下步骤:S201、对公网服务器配置上下行邻居关系,并进行邻居双向认证自组网;
S202、利用公网服务器从邻居中学习对方的服务能力,并将学习到的服务能力转换为自身服务能力;
5.根据权利要求2所述的基于暗网寻路的跨域安全通信传输方法,其特征在于,所述步骤S3包括以下步骤:S301、由网关设备获取本域内跨域业务数据,并分析本域内跨域通信服务数据的目标IP和业务类型;
S302、将分析得到的目标IP和业务类型与由网关设备从邻居处学习到的外部服务支撑进行对比;
S303、根据对比结果判断是否有其他业务域的服务能力,若是,则进入步骤S4,否则,丢弃该域内的跨域业务数据,并重复步骤S3。
一种基于暗网寻路的跨域安全通信传输系统和方法
技术领域
[0001] 本发明属于通信技术领域,尤其涉及一种基于暗网寻路的跨域安全通信传输系统和方法。
背景技术
[0002] 在大数据、5G以及军民融合产业的大背景下,经济社会中越来越高的信息化程度,业务融合势必带来信息产业的飞速发展。原本相互独立的业务信息,通过信息融合能够为人们提供更加便利、智能、人性化的服务,从而可以满足日益增长的多元化需求。相应的信息融合势必引入数据融合通信带来的通信安全风险。
[0003] 现有的网络通信安全主要通过三方面去保证,依次为环境安全、数据安全、行为安全。在现有基础设施的环境下,对环境安全已经能够得到保证,因此在此基础上如何保证通信安全,就需要考虑在现有通信安全体制下如何加强数据安全和行为安全,现有的网络数据通信安全领域集中在几大类:防火墙、网闸、堡垒机、网关等,但是这几种主流通信安全设备存在技术原理公开、中间人截获、来源可追溯、数据可统计等问题。随着数字产业信息经济利益越来越大的情况,必然会对一些不法从业者带来更大的诱惑,这样对网络信息传输带来更大的挑战。因此我们需要提出一种脱离现有安全通信体制下的一种跨域安全通信传输方法,从而应对日益严苛的网络安全通信环境下的数据安全和行为安全。
发明内容
[0004] 针对现有技术中的上述不足,本发明提供的一种基于暗网寻路的跨域安全通信传输系统和方法,实现不同信息域之间的业务在公网传输过程中隐藏传输节点、转化数据语义以及节点间通信的安全算法。
[0005] 为了达到以上目的,本发明采用的技术方案为:
[0006] 本方案提供一种基于暗网寻路的跨域安全通信传输系统,包括:若干个网关设备,以及与所述若干个网关设备通信连接的若干个公网服务器;
[0007] 所述若干个网关设备,用于处理跨域业务数据的内容语义转换、数据加密以及选择隐藏传输通路,且所述若干个网关设备部署于不同信息业务域的网络边界出口;
[0008] 所述若干个公网服务器,用于承担基于暗网寻路的跨域业务在公网中的传输中转服务,且所述若干个公网服务器部署于现有跨域公网中。
[0009] 基于上述系统,本发明还提供了一种基于暗网寻路的跨域安全通信传输方法,包括以下步骤:
[0010] S1、对网关设备进行业务配置,并通过配置公网服务器邻居对外通告网关设备对外提供的服务能力;
[0011] S2、对公网服务器配置上下行邻居关系,并进行邻居双向认证自组网,并学习邻居的服务能力以及向邻居通告服务能力;
[0012] S3、由网关设备获取本域内跨域业务数据,并根据所述本域内跨域业务数据判断是否有其他业务域的服务能力,若是,则进入步骤S4,否则,丢弃该域内的跨域业务数据,并重复步骤S3;
[0013] S4、对本域内跨域业务数据进行通信加密、语义转换以及封装处理,并转发至公网服务器;
[0014] S5、剥离语义转换协议头,并利用公网服务器中邻居认证得到的证书进行解密,得到实际的跨域业务数据;
[0015] S6、判断接收实际的跨域业务数据的设备类型是否为公网服务器,若是,进入步骤S7,否则,接收实际的跨域业务数据的设备类型为网关设备,并将所述实际的跨域业务数据在本域内进行转发,完成基于暗网寻路的跨域安全通信传输;
[0016] S7、判断是否有匹配的邻居服务能力,若是,则返回步骤S4,否则,丢弃所述实际的跨域业务数据,完成基于暗网寻路的跨域安全通信传输。
[0017] 进一步地,所述步骤S1中邻居学习和对外通告的服务包括:提供服务IP、服务类型以及设备自身IP。
[0018] 再进一步地,所述步骤S2包括以下步骤:
[0019] S201、对公网服务器配置上下行邻居关系,并进行邻居双向认证自组网;
[0020] S202、利用公网服务器从邻居中学习对方的服务能力,并将学习到的服务能力转换为自身服务能力;
[0021] S203、向的邻居通告自身服务能力。
[0022] 再进一步地,所述步骤S3包括以下步骤:
[0023] S301、由网关设备获取本域内跨域业务数据,并分析本域内跨域通信服务数据的目标IP和业务类型;
[0024] S302、将分析得到的目标IP和业务类型与由网关设备从邻居处学习到的外部服务支撑进行对比;
[0025] S303、根据对比结果判断是否有其他业务域的服务能力,若是,则进入步骤S4,否则,丢弃该域内的跨域业务数据,并重复步骤S3。
[0026] 本发明的有益效果:
[0027] (1)本发明通过在公网部署的服务器在网络管理者和使用者看来其就是普通的服务器,但从公网管理维护和业务防护角度来看,这些服务器对攻击者来说是透明的,具有较好的伪装性;
[0028] (2)本发明中跨域业务之间的通信不再是业务主体的点到点之间的通信,而是采用逐级落地,逐级防护的方式来实现,其有效地实现了隐藏了数据传输真实目的的效果,很好的规避了在网络中存在的溯源攻击方式;
[0029] (3)本发明中在业务整体类型的传输上采用的数据加密及语义转换的方式,使攻击者无法辨认跨网数据的真实业务类型,其有效地隐藏了跨域业务行为目的,使其无法对数据进行内容分析和行为分析;
[0030] (4)本发明中通过网关设备与公网服务器建立了一套基于现有网络路由之上的一套基于业务的寻路转发机制,使其有更好的隐蔽性和安全性。
附图说明
[0031] 图1为本发明的系统部署组网图。
[0032] 图2为本发明的方法流程图。
[0033] 图3为本实施例中跨域数据通信传输流程图。
[0034] 图4为本实施例中的建立邻居以及邻居能力学习的流程图。
[0035] 图5为本实施例中建立邻居关系的流程图。
[0036] 图6为本实施例中暗网寻路的跨域安全通信传输流程图。
具体实施方式
[0037] 下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
[0038] 实施例1
[0039] 如图1所示,本发明提供了一种基于暗网寻路的跨域安全通信传输系统,包括:若干个网关设备,以及与若干个网关设备通信连接的若干个公网服务器;若干个网关设备,用于处理跨域业务数据的内容语义转换、数据加密以及选择隐藏传输通路,保证数据在公网传输过程中的安全性,且若干个网关设备部署于不同信息业务域的网络边界出口;若干个公网服务器,用于承担基于暗网寻路的跨域业务在公网中的传输中转服务,且若干个公网服务器部署于现有跨域公网中,通过对隐藏服务器进行邻居配置,使公网中的若干服务器自行组网,形态一套在公网中的安全隐藏服务平台。
[0040] 实施例2
[0041] 如图2‑图3所示,本发明还提供了一种基于暗网寻路的跨域安全通信传输方法,包括以下步骤:
[0042] S1、对网关设备进行业务配置,并通过配置公网服务器邻居对外通告网关设备对外提供的服务能力;
[0043] S2、对公网服务器配置上下行邻居关系,并进行邻居双向认证自组网,并学习邻居的服务能力以及向邻居通告服务能力,其实现方法如下:
[0044] S201、对公网服务器配置上下行邻居关系,并进行邻居双向认证自组网;
[0045] S202、利用公网服务器从邻居中学习对方的服务能力,并将学习到的服务能力转换为自身服务能力;
[0046] S203、向邻居通告自身服务能力;
[0047] S3、由网关设备获取本域内跨域业务数据,并根据本域内跨域业务数据判断是否有其他业务域的服务能力,若是,则进入步骤S4,否则,丢弃该域内的跨域业务数据,并重复步骤S3,其实现方法如下:
[0048] S301、由网关设备获取本域内跨域业务数据,并分析本域内跨域通信服务数据的目标IP和业务类型;
[0049] S302、将分析得到的目标IP和业务类型与由网关设备从邻居处学习到的外部服务支撑进行对比;
[0050] S303、根据对比结果判断是否有其他业务域的服务能力,若是,则进入步骤S4,否则,丢弃该域内的跨域业务数据,并重复步骤S3;
[0051] S4、对本域内跨域业务数据进行通信加密、语义转换以及封装处理,并转发至公网服务器;
[0052] S5、剥离语义转换协议头,并利用公网服务器中邻居认证得到的证书进行解密,得到实际的跨域业务数据;
[0053] S6、判断接收实际的跨域业务数据的设备类型是否为公网服务器,若是,进入步骤S7,否则,接收实际的跨域业务数据的设备类型为网关设备,并将实际的跨域业务数据在本域内进行转发,完成基于暗网寻路的跨域安全通信传输;
[0054] S7、判断是否有匹配的邻居服务能力,若是,则返回步骤S4,否则,丢弃实际的跨域业务数据,完成基于暗网寻路的跨域安全通信传输。
[0055] 本实施例中,网关设备通过业务配置,表明其对外提供本域内业务服务的IP地址以及业务服务类型,再通过配置公网服务器邻居,向外通告本设备对外提供的服务能力。如图4所示,公网服务器通过配置上下行邻居,进行邻居双向认证自组网,在自组网过程中,公网服务器仅从邻居中学习到对方的服务能力,并将学习到的业务能力转变为自身能力通告给其他邻居,网关设备与公网服务器在进行跨域业务自组网过程中,邻居学习、向外通告的服务主要包括:提供服务IP、服务类型、设备自身IP等主要行为参数。
[0056] 本实施例中,如图5所示,在网关设备与公网服务器配置完业务邻居后,其首先是与各自邻居设备进行双向自组网认证,建立起各自的邻居可信关系。在邻居关系建立后,向外通告其自身能力,让邻居学习到其所提供的业务能力,通过邻居间的两两通告,公网服务器进行全网信息的学习。
[0057] 本实施例中,如图6所示,网关设备和公网服务器完成邻居建立和学习业务服务能力后,就具备提供跨域安全通信服务的能力了。网关设备在收到本域内跨域通信服务数据后,通过分析跨域数据的目标IP(dstIP)和业务类型(协议+端口号)与网关设备从邻居处学习到的外部服务支撑能力进行对比,判断是否有其他业务域提供此种服务。如果网关设备没有学习到该业务的外部服务支撑,则直接丢弃该跨域通信服务数据。如果学习到该业务的外部支撑,则对整个数据实体进行基于证书的通信加密,并对该业务数据进行语义转换,根据配置转换成其他协议,如:https协议,做到对业务类型的隐藏。做完数据加密和转换语义后,将数据进行转发,转发的目的地是能够提供该实际业务类型的邻居设备,如公网服务器。公网服务器在收到数据后,通过判断该数据的通信来源,剥离语义转换协议头,通过邻居认证得到的证书进行数据实体解密,本地得到实际的跨域业务数据内容。公网服务器得到实际跨域业务数据后,同样进行对比邻居的业务服务提供能力,以及数据加密和语义转换,做完整个数据封装后,将加密转义后的数据发往自己的下一个邻居。
[0058] 本实施例中,当另外一个网关收到数据后,整个跨域数据内容已经从业务源头的边界网关,发送到了目标边界网关,目标边界网关通过语义剥离和数据解密后得到真实的跨域数据,并在本域内对跨域数据进行实际目标转发。
[0059] 本发明中通过网关设备与公网服务器建立了一套基于现有网络路由之上的一套基于业务的寻路转发机制,能够有效的隐藏跨域数据通信目标、隐藏数据行为、规避中间人分析及可规划通信节点的技术,实现不同信息域之间的业务,在公网传输过程中隐藏传输节点、转化数据语义以及节点间通信的安全算法,从而保证在现有网络环境下跨域数据的安全传输。
