一种在互联网中实现信令可信传输的方法和互联网通信架构
技术领域
本发明属于通信领域,尤其涉及一种在互联网中实现信令可信传输的方法和互联网通信架构。
背景技术
互联网的出现堪称是人类通信技术的一次革命,世界各地的人们可以利用互联网进行信息交流和资源共享,这就需要涉及到互联网数据传输的安全问题。
目前各种各样的互联网安全技术都重点在“内容安全”层面作文章,以图1A所示的客户端(Client)-服务端(Server)之间以及图1B所示的局域网-局域网之间的数据传输为例,在Client-Server这种点到点之间的数据传输多采用安全套接层(Secure Socket Layer,SSL)协议来提高内容的安全性,其原理是Client和Server通过一个与其他端口物理隔离的专用端口(443端口)进行内容的传输,但也正因为如此,理论上直接攻击该专用端口即可获取所传输的数据内容,从某种意义上讲“专用端口”反而成为了安全的隐患;而在局域网-局域网之间的数据传输多采用虚拟专用网络(Virtual Private Network,VPN)协议来提高内容的安全性,其原理同样是采用与其他端口物理隔离的专用端口进行内容的传输,同样具备上述安全隐患。
总之,以上的SSL技术和VPN技术均只限于固定点与点之间的“内容安全”层面,而且安全系数也不会太高,对个人隐私的保护力度并不强。
发明内容
本发明实施例的目的在于提供一种在互联网中实现信令可信传输的方法,旨在使互联网的通信行为具备可信性。
本发明实施例是这样实现的,一种在互联网中实现信令可信传输的方法,包括以下步骤:
在互联网通信双方之间建立一可信的信令通道;
利用所述可信的信令通道传输通信系统的信令,所述信令为下达的指令;
所述可信的信令通道由多个独立的可信隧道随机连接而成,其中每一个可信隧道由两个可信的信令平台以逻辑隔离方式建立,当主叫方发出通信连接请求时,每一个信令平台根据通信连接请求随机向下一个信令平台建立一个可信隧道,直至所建立的信令通道接通至被叫方;所述可信的信令通道与现有互联网上传输的所有内容同在一个物理空间但在逻辑上相互隔离。
本发明实施例还提供了一种互联网通信架构,包括进行通信的主叫方和被叫方;还包括:
多个可信的信令平台,用于在所述主叫方有通信连接请求时,其中的若干个信令平台在所述主叫方和所述被叫方之间随机连接形成一可信的信令通道,所述信令通道用于传输通信系统的信令,所述信令为下达的指令;
所述可信的信令通道由多个独立的可信隧道随机连接而成,其中每一个可信隧道由两个可信的信令平台以逻辑隔离方式建立,当主叫方发出通信连接请求时,每一个信令平台根据通信连接请求随机向下一个信令平台建立一个可信隧道,直至所建立的信令通道接通至被叫方;所述可信的信令通道与现有互联网上传输的所有内容同在一个物理空间但在逻辑上相互隔离。
本发明实施例中,当有通信连接请求时首先在互联网上为通信双方随机建立一与现有互联网上传输的所有内容逻辑隔离的可信的信令通道,然后通过该可信的信令通道来传输通信系统的信令,可以确保信令的可信以及相应的通信行为可信。
附图说明
图1A是现有技术提供的互联网中客户端-服务端之间数据传输的示意图;
图1B是现有技术提供的互联网中局域网-局域网之间数据传输的示意图;
图2是本发明实施例提供的在互联网中实现信令可信传输的方法的实现流程图;
图3是本发明实施例提供的互联网通信架构的逻辑原理图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例中,在互联网上为通信双方设置一与现有互联网上传输的所有内容相逻辑隔离的可信的信令通道,通过该可信的信令通道传输通信系统的信令,以确保信令的可信。
图2示出了本发明实施例提供的在互联网中实现信令可信传输的方法的实现流程,详述如下:
步骤S201,在互联网通信双方之间建立一可信的信令通道。
本发明实施例中,为使通信双方的通信行为可信,首先确保两者之间的信令可信,具体又采用在可信的信令通道内传输信令来确保信令的可信。其中该可信的信令通道由多个独立的可信隧道随机连接而成,而每一个可信隧道又由两个可信的信令平台连接而成,上述可信的信令通道与现有互联网上传输的所有内容同在一个物理空间但在逻辑上相互隔离。
进一步地,由于上述建立可信的信令隧道的随机性,考虑到有在局部几个信令平台之间循环建立可信隧道从而陷入死循环的可能,本发明实施例中在信令通道的建立过程中设置一数量阈值,在所建立的信令通道接通至被叫方之前,若当前所建立的信令通道上的信令平台的数量超过预设的数量阈值,则重新开始在通信双方之间建立信令通道。
作为本发明的又一个实施例,还可以设置一时间阈值来防止在局部几个信令平台之间循环建立可信隧道从而陷入死循环的可能,在所建立的信令通道将通信双方接通之前,若建立信令通道持续的时间超过预设的时间阈值,则重新开始在通信双方之间建立信令通道。
应当理解,上述通过数量阈值和时间阈值来避免信令通道建立时出现死循环的技术可以单独实施,也可以两者同时实施,先达到其中的任何一个阈值, 均可触发重新开始在通信双方之间建立信令通道。
步骤S202中,利用该可信的信令通道传输通信系统的信令。
其中信令即为下达的指令,可用于完成某种行为、许可或限制某种行为、记录某种行为等。
图3示出了本发明实施例提供的互联网通信架构的逻辑原理,为了便于描述,仅示出了与本实施例相关的部分。
参照图3,在互联网通信架构3中包括有进行通信的主叫方A和被叫方B,当主叫方A有通信连接请求时,需在主叫方A和被叫方B之间建立一可信的信令通道,该可信的信令通道与现有互联网上传输的所有内容同在一个物理空间但在逻辑上相互隔离,用于传输通信系统的信令,其中信令即为下达的指令,可用于完成某种行为、许可或限制某种行为、记录某种行为等。
本发明实施例提供的互联网通信架构中还包括多个可信的信令平台,在图3中以“S/S1/S2/S3/S4/S5(switch)”表示,其中的任何一个信令平台以及主叫方A和被叫方B均属于可信的信令平台集的成员,信令平台集中的每一个成员之间以逻辑隔离方式建立的可信隧道和以此建立的信令通道均被认为可信。
本实施例中,为使通信双方的通信行为不容易被发现,采用随机多点交换的方式来建立信令通道,当主叫方A发出通信连接请求时,其中的每一个信令平台根据通信连接请求随机向下一个信令平台建立一个与现有互联网上传输的所有内容相逻辑隔离的可信隧道,直至所建立的信令通道接通至被叫方B。本实施例中,信令通道由多个独立的可信隧道随机连接而成,而每一个可信隧道又由两个可信的信令平台连接而成,参照图3,例如主叫方A随机向信令平台S1建立可信隧道T0,信令平台而S1根据主叫方A的通信连接请求又随机与信令平台S2之间建立可信隧道T1,信令平台S2又随机与信令平台S2之间建立可信隧道T2,依此类推,最终在主叫方A和被叫方B之间随机建立起一条由可信隧道T0、T1、T2、T3、T4、T5构成的可信的信令通道。
上述可信的信令平台可以以芯片的形式内置于互联网中的终端和运营端 中,由这些终端和运营端作为可信的信令平台的载体,当然,进行通信的主叫方和被叫方也须内置该可信的信令平台,主叫方和被叫方可以为互联网中的终端或者运营端。内置于终端的信令平台和内置于运营端的信令平台的结构相同,但角色和通信性能上存在不同,内置于终端的信令平台实现终端的通信接入和对终端的通信管理,在性能上需要支持终端的通信。而内置于运营端的信令平台在性能上要达到运营级的要求,需要同时支持大数量级的终端的通信接入,并对终端进行管理,具体实现时可以多个信令平台级联,以增强其通信性能。其中信令平台的具体结构以及工作原理请参考本申请人之前申请的“申请号为CN200910190361.6”的说明书,此处不再赘述。
本发明实施例中,当有通信连接请求时,在互联网中为通信双方随机建立可信的信令通道来传输信令,可保证通过该通道传输的信令以及相应的通信行为可信,而与通过该“可信的信令通道”建立起来的可信行为下的通过其他方式传输的内容是否安全无关,同时由于信令通道建立过程中的随机性,使得该可信的信令通道被发现而遭到攻击的可能性为零,进而使得通信双方的权益得到保证,而在此前提下,无需再在“内容安全”层面上投入太多技术成本,在一定程度上实现兼顾国家安全和个人隐私保护的效果。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。