CN105978909A - 基于传输层封包的数据传输方法、数据传输装置及系统 - Google Patents
基于传输层封包的数据传输方法、数据传输装置及系统 Download PDFInfo
- Publication number
- CN105978909A CN105978909A CN201610539378.8A CN201610539378A CN105978909A CN 105978909 A CN105978909 A CN 105978909A CN 201610539378 A CN201610539378 A CN 201610539378A CN 105978909 A CN105978909 A CN 105978909A
- Authority
- CN
- China
- Prior art keywords
- packet
- security gateway
- layer
- security
- data transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 102
- 230000005540 biological transmission Effects 0.000 title claims abstract description 85
- 238000005538 encapsulation Methods 0.000 title claims abstract description 30
- 230000008569 process Effects 0.000 claims abstract description 69
- 238000002372 labelling Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000005194 fractionation Methods 0.000 claims description 4
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 102000057593 human F8 Human genes 0.000 claims description 3
- 229940047431 recombinate Drugs 0.000 claims description 3
- 230000006854 communication Effects 0.000 abstract description 14
- 238000004891 communication Methods 0.000 abstract description 10
- 238000005516 engineering process Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000009933 burial Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于传输层封包的数据传输方法,其中,第一安全网关根据安全策略处理接收到的数据包,得到处理后数据包,在传输层对处理后数据包进行封包得到封包后数据包,之后通过网络系统中多条可用路径分别将封包后数据包转发至第二安全网关,对数据包进行封包包括对处理后数据包的载荷部分构造包头元数据空间,将包头元数据空间用于编码自定义封包语意,自定义封包语意用于标记被处理的数据包的安全策略信息。通过在传输层封包,自定义包头标记处理数据包的安全策略信息,能够支持更多的上层协议,并将数据包按多个路径转发,能够保证多条路径传输的独立和可靠,提高数据传输过程的安全性,保证客户端之间通信安全。
Description
技术领域
本发明属于计算机信息安全技术领域,尤其涉及基于传输层封包的数据传输方法、装置及系统。
背景技术
一般而言,常规的网络环境中,客户端设备之间通信是通过交换机或路由器来转发,常规的通信过程使用单一路径传输全部数据,攻击者对此路径攻击成功即可截获全部数据,导致严重的数据安全风险;因此需要多路径的数据包传输编码和解码,而编码解码所需的信息可通过改造应用层(例如HTTP)完成,这需要改造应用系统,这种方式支持的应用层协议类型有限制。
在现有技术中,尽管在网络传输技术中存在利用封包的技术,但是这些现有技术与本发明所涉及的技术思想以及所要解决的技术问题完全不同,下面简要说明。
比如,现有技术1公开了一种具有防火墙网络隧道与位置透明性的通信方法,尽管提到通过传输层通讯程序来传输通讯封包,但是该传输层通讯程序与网络七层构架中的传输层的含义并不相同,而且封包的是HTTP通讯封包。现有技术1中的技术尽管能够防火墙网络隧道与位置透明性,但是并不能避免户数据被恶意获取,无法从根本上解决数据通信安全的问题。
此外,现有技术2公开了一种网络装置及其处理封包的方法,该现有技术2的技术方案是:一种网络装置,位于第一网络,用于将该第一网络内的封包转发至第二网络,该网络装置包括封装模块、判断模块、添加模块以及转发模块,封装模块用于将第二网络信息封装至待转发封包内,形成第二封包;判断模块用于判断所述第二封包内部是否包含传输层协议信息;添加模块用于在所述第二封包内部包含传输层协议信息时,添加所述传输层协议信息到所述第二封包头部,形成第三封包;转发模块用于转发所述第三封包至所述第二网络。根据现有技术2的图3以及图4可以清楚准确地理解得到,根据现有技术2的技术方案中,尽管采用了对数据包进行封包的方案,但是该方案是TCP或者UDP数据段之前添加网络信息,进而能够对封包进行处理,添加相应的地址信息以及传输层协议信息,从而便于实现后续对封包的快速转发,节省时间,提高转发效率。但是现有技术2中没有对TCP或者UDP数据段的处理,也没涉及对TCP或者UDP包头的处理,即没有对TCP或UDP的数据做任何处理,因此现有技术2也并没有涉及安全性提高方面的考虑。
现有技术1:CN101282327A
现有技术2:CN 105577578 A
因此,现有技术中的数据方案数据传输安全性差,容易导致用户数据被恶意获取,对用户造成严重损失。
发明内容
针对相关技术中的存在的技术问题,本发明提出一种基于传输层封包的数据传输方法,所述方法包括以下步骤:
S1:接收数据包步骤,第一安全网关接收源客户端发送的数据包;
S2:封包步骤,所述第一安全网关根据安全策略处理接收到的所述数据包,得到处理后数据包,在传输层对所述处理后数据包进行封包得到封包后数据包,之后通过网络系统中多条可用路径分别将所述封包后数据包转发至第二安全网关,其中,对所述处理后数据包进行封包包括对所述处理后数据包的载荷部分构造包头元数据空间,将所述包头元数据空间用于编码自定义封包语意,所述自定义封包语意用于标记被处理的数据包的安全策略信息;以及
转发步骤S3:转发步骤,所述第二安全网关接收所述处理后数据包,并且获取所述安全策略,根据所述安全策略处理接收到的所述处理后数据包并转发给目标客户端。
更进一步地,在所述接收数据包步骤S1之前还包括:
S0:初始化步骤,所述第一安全网关和所述第二安全网关在开机时读取配置文件,并获取当前网络环境的状态及可用路径来进行初始化,其中,所述配置文件用于所述第一安全网关和所述第二安全网关在网络系统中广播自身状态及所述可用路径的信息。
更进一步地,所述第一安全网关和所述第二安全网关为多路径数据传输安全网关,所述第一安全网关和所述第二安全网关能够互为源安全网关以及目标安全网关。
更进一步地,所述处理后数据包包括外层的数据链路层包或外层的网络层包和内层的数据链路层包或内层的网络层包,其中,所述外层的数据链路层或所述外层的网络层包用作所述多路径数据传输安全网关传输数据,不同的数据链路层包头分别通过不同路径发送;所述内层的数据链路层包或所述内层的网络层包是客户端实际发送的数据包。
更进一步地,初始化步骤S0包括:
S01:配置文件读取步骤,所述第一安全网关和所述第二安全网关读取所述配置文件;
S02:自身状态以及可用路径读取步骤,所述第一安全网关和所述第二安全网关获取所述自身状态及多条可用路径的信息;
S03:多路径信息表构建步骤,所述第一安全网关和所述第二安全网关基于所述配置文件、所述自身状态及所述多条可用路径的信息来建立多路径信息表;
S04:广播步骤,所述第一安全网关和所述第二安全网关在网络系统定时广播自身状态及所述多条可用路径的信息;
S05:其它安全网关信息接收步骤,所述第一安全网关和所述第二安全网关接收网络系统中除了自身安全网关之外的其它安全网关的状态及多路径信息的广播;以及
S06:多路径信息表更新步骤,所述第一安全网关和所述第二安全网关根据自身状态及多条可用路径的信息变化,更新所述多路径信息表。
更进一步地,所述安全策略至少包括以下其中之一:
对数据包进行直通或阻断;
对数据包进行加密或解密;以及
对数据包进行拆分或重组。
更进一步地,所述对数据包进行直通或阻断包括:
在不需要对数据包按多条路径转发时,通过一条路径直接转发数据包;
通过预先设置的匹配规则,阻断判定为异常的数据包,
所述对数据包进行加密或解密包括:
所述第一安全网关检查是否有可用的会话密钥,若没有可用的会话密钥,则通过预设的主路径协商会话密钥,使用会话密钥对数据包进行加密或解密,
所述对数据包进行拆分或重组包括:对发送的数据包根据数据块或字节进行拆分并写入对应内存空间;对接收的数据包根据对应的拆分方式,进行重组。
本发明还提出一种基于传输层封包的数据传输装置,所述装置包括以下模块:
接收数据包模块:第一安全网关接收源客户端发送的数据包;
封包模块:所述第一安全网关根据安全策略处理接收到的所述数据包,得到处理后数据包,在传输层对所述处理后数据包进行封包得到封包后数据包,之后通过网络系统中多条可用路径分别将所述封包后数据包转发至第二安全网关,其中,对所述数据包进行封包包括对所述处理后数据包的载荷部分构造包头元数据空间,将所述包头元数据空间用于编码自定义封包语意,所述自定义封包语意用于标记被处理的数据包的安全策略信息;以及
转发模块:所述第二安全网关接收所述处理后的数据包,并且获取所述安全策略,根据所述安全策略处理接收到的所述处理后数据包并转发给目标客户端。
进一步地,所述处理后数据包包括外层的数据链路层包或外层的网络层包和内层的数据链路层包或内层的网络层包,其中,所述外层的数据链路层或所述外层的网络层包用作所述多路径数据传输安全网关传输数据,不同的数据链路层包头分别通过不同路径发送;所述内层的数据链路层包或所述内层的网络层包是客户端实际发送的数据包。
本发明还提出一种基于传输层封包的数据传输系统,包括:基于前述传输层封包的数据传输装置、源客户端以及目标客户端,所述源客户端与所述目标客户端之间通过至少两个所述数据传输装置相连接。
本发明有益的技术效果:通过包头用以标记处理数据包的安全策略信息,能够支持任意上层协议,并将数据包按多个路径转发数据包,能够保证多条路径传输的独立和可靠,提高数据传输过程的安全性,保证客户端之间通信安全。
附图说明
图1是本发明的基于传输层封包的数据传输方法的流程图;
图2是本发明的第一安全网关和第二安全网关初始化的流程图;
图3是本发明的第一安全网关处理源客户端数据包的流程图;
图4是本发明的第二安全网关处理来自的第一安全网关的数据包的流程图;
图5是本发明的基于传输层封包的数据传输装置的结构图;
图6是本发明的一种基于传输层封包的数据传输装置的功能进一步细化的结构图;
图7是本发明的基于传输层封包的数据传输系统的结构图。
具体实施方式
下面,结合附图1至图7来具体地说明本发明的基于传输层封包的数据传输方法、装置以及系统。
图1是本发明的基于传输层封包的数据传输方法的流程图,该基于传输层封包的数据传输方法包括:
接收数据包步骤S1:第一安全网关接收源客户端发送的数据包;
封包步骤S2:第一安全网关根据安全策略处理接收到的数据包,得到处理后数据包,在传输层对处理后数据包进行封包得到封包后数据包,之后通过网络中多条可用路径分别将封包后的数据包转发至第二安全网关,其中,对处理后数据包进行封包包括对处理后数据包的载荷部分构造包头元数据空间,将包头元数据空间用于编码自定义封包语意,自定义封包语意用于标记被处理的数据包的安全策略信息;以及
转发步骤S3:第二安全网关接收所述处理后的数据包,并且获取安全策略,根据安全策略处理接收到的所述处理后的数据包并转发给目标客户端。
换而言之,封包步骤S2中的第一安全网关根据安全策略处理接收到的数据包具体为:在数据包的载荷部分构建自定义的包头元数据用于编码自定义封包语意,自定义封包语意用于标记被处理的数据包的安全策略信息。
传输层包含但不限于TCP/IP模型中的传输层(Transport Layer),封包方式包含但不限于UDP(User Datagram Protocol)封包等,其可以支持属于传输协议包括但不限于TCP(Transmission Control Protocol传输控制协议)、UDP(User Datagram Protocol用户数据包协议)、ICMP(Internet ControlMessage Protocol Internet控制消息协议)、HTTP(Hyper Text TransferProtocol超文本传输协议)、HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer以安全为目标的HTTP通道)、POP3(Post OfficeProtocol-Version 3邮局协议-版本3)、SMTP(Simple Mail Transfer Protocol简单邮件传输协议)、IMAP(Internet Message Access Protocol交互邮件访问协议)等。
此外,举例而言,根据选择的安全策略信息处理数据包,如加密处理,安全网关加密处理完成之后,再封包的操作过程中,将加密标志置为1,表明此数据包是加密后的数据包,发送给目标安全网关。目标安全网关读取包头加密标志的信息,若标志位为1,则解密数据包,将加密标志置为0,再转发数据包到目标客户端;若标志位为0,目标安全网关直接转发数据包到目标客户端。需要注意的是,在此处列举了安全策略信息处理数据包,但是本领域技术人员能够根据需要,自定义地选择安全策略信息,经过这样自定义过的安全策略信息,目标安全网关可以根据策略信息采取相应的方式处理数据包。
客户端包括但不限于服务器、PC机、移动终端设备等等,客户端可以与安全网关对内接口直接连接,也可以通过交换机或路由器连接。
根据本发明的基于传输层封包的数据传输方法,第一网关首先根据安全策略处理接收到的数据包,同时在传输层对数据包进行封包,之后再利用网络环境中的多条可用路径分别将封包后的数据包转发至第二安全网关,因为此处的策略处理能够根据网络的实际情况进行选择,或者由用户根据网络情况在网络中进行配置,不仅如此,在传输层对数据包进行封包也能够根据用户的实际需要进行配置,选择加密、拆分等方式,即便此时通过安全网关转发的数据包被劫持,由于数据包已经经过第一安全网关安全处理,能够最大可能地保证数据传输安全性,避免对用户造成严重损失。即,通过在网络底层自定义包头用以标记处理数据包的安全策略信息,能够支持更多的上层协议,并将数据包按多个路径转发数据包,能够保证多条路径传输的独立和可靠,提高数据传输过程的安全性,保证客户端之间通信安全。
此处,需要强调的是,在本申请中,无需限定具体的安全策略以及在传输层对数据进行封包的具体方式,只要能够是符合网络数据传输条件的、能够为用户所选择的具体方式均包含着本申请中。
为了使数据传输正常工作,在数据传输前通常需要进行初始化操作,因此,在接收数据包步骤S1之前还可以包括:
初始化步骤S0:第一安全网关和第二安全网关在开机时读取配置文件并获取当前网络环境的状态及可用路径来进行初始化,其中,配置文件用于第一安全网关和第二安全网关在网络系统广播自身状态及可用路径的信息。通过读取配置文件来进行初始化,能够使安全网关开机即用,提供网络系统的应用便利性。配置文件的格式不限,例如可以是XML格式的文件、CSV格式的文件、TXT格式的文本文件或者INI格式的文本文件,在其中记载的项目可以包括自身安全网关的一些常用配置信息,例如物理地址等。在本申请中,读取配置文件来进行初始化的主要目的在于供各个安全网关定时地或者在系统初始化时,能够在网络系统中广播自身状态及可用路径的信息,使得系统的其它安全网关能够或者正在初始化的安全网关的状态。同时,该配置中也不限于设置上述列举的物理地址等项目,例如还可以是用于网络系统的用户需要在网关起动初始化的任何项目,即能够根据用户实际的需要来进行配置。
图2是本发明的第一安全网关和第二安全网关初始化的流程图,如图2所示,初始化的具体步骤包括:
配置文件读取步骤S01:第一安全网关和第二安全网关读取配置文件信息;
自身状态以及可用路径读取步骤S02:第一安全网关和第二安全网关获取自身状态及多路径信息;
多路径信息表构建步骤S03:第一安全网关和第二安全网关建立多路径信息表;
广播步骤S04:第一安全网关和第二安全网关定时广播自身状态及多路径信息;
其它安全网关信息接收步骤S05:第一安全网关和第二安全网关接收其它网关状态及多路径信息广播;
多路径信息表更新步骤S06:第一安全网关和第二安全网关根据状态及多路径信息的变化,来更新多路径信息表。
通过维护多路径信息表,能够实时监控每条路径状态,及时发现不可用路径并提示用户检查路径,这样,用户就会及时发现网络系统中存在的问题,进而提升用户的用户体验,增强网络通信系统的健壮性。
第一安全网关和第二安全网关为多路径数据传输安全网关,第一安全网关和第二安全网关能够互为源安全网关以及目标安全网关。关于多路径数据传输安全网关更详细的说明参见后述部分。
处理后的数据包包含两层(内层和外层)数据链路层包或两层(内层和外层)网络层包,其中,外层的数据链路层包或外层的网络层包用作多路径数据传输安全网关传输数据,不同的数据链路层包头分别通过不同的路径发送;内层的数据链路层包或内层的网络层包是客户端实际发送的数据包。
采用这种数据封包技术,将客户端包含数据链路层的数据包封装成传输层的数据部分,通过这种在网络底层的封包方式,可以更好的兼容客户端的多种协议。与此相对,常规的通信过程使用单一路径传输全部数据,攻击者对此路径攻击成功即可截获全部数据,导致严重的数据安全风险,使用安全网关将数据通过多条路径传输,能够有效的降低数据安全风险。
在本申请中,每个多路径数据传输安全网关有多个数据链路层MAC地址(物理地址)和多个网络层IP地址。
下面,结合具体的处理步骤,来详细地说明第一安全网关处理源客户端数据包和第二安全网关处理来自的第一安全网关的数据包的处理流程。
图3是本发明的第一安全网关处理源客户端数据包的流程图,如图3所示,第一安全网关处理源客户端数据包具体可以细化为包括:
S21:第一安全网关等待接收源客户端的数据包;
S22:第一安全网关根据安全策略处理源客户端发送的数据包;
S23:在数据包的载荷部分构造自定义的包头元数据用以标识安全策略信息;以及
S24:第一安全网关按多条路径转发处理后的数据包到第二安全网关。
图4是本发明的第二安全网关处理来自的第一安全网关的数据包的流程图,如图4所示,第二安全网关处理来自第一安全网关的数据包具体可以细化为包括:
S31:第二安全网关等待接收数据包;
S32:若接收到第一安全网关发来的处理后的数据包,第二安全网关读取自定义的包头元数据以获取安全策略;
S33:第二安全网关根据安全策略处理处理后的数据包;
S34:转发处理完成的数据包到目标客户端。
优选本发明中所采用的安全策略至少包括以下其中之一:对数据包进行直通或阻断;对数据包进行加密或解密;对数据包进行拆分或重组。用户能够根据实际场景需求,灵活选择适用的一种或多种安全策略,提高数据传输过程中的安全性。
对数据包进行直通或阻断包括:在不需要对数据包按多条路径转发时,通过一条路径直接转发数据包;通过预先设置的匹配规则,阻断判定为异常的数据包。
对数据包进行加密或解密包括:第一安全网关检查是否有可用的会话密钥,若没有可用的会话密钥,则通过预设的主路径协商会话密钥,使用会话密钥对数据包进行加密或解密。
对数据包进行拆分或重组包括:对发送的数据包根据数据块或字节进行拆分并写入对应内存空间;对接收的数据包根据对应的拆分方式,进行重组。如,被处理的数据包包含但不限于自定义大小的数据块、或字节;拆分后的子数据包包含按字节、或按比特、或按自定义大小的数据块;拆分规则包含平均拆分、自定义比例拆分。例如:按数据块拆分时,根据路径条数n,把数据包拆分成n份进行传输;按字节拆分时,根据路径条数n,申请n块内存空间,逐字节将数据包拆分,写入对应内存空间;
本发明的方法可以通过计算机程序实现。应注意,本发明所描述的进程步骤和指令可体现在软件、固件或硬件中,并且当体现在软件中时,可被下载以驻留在实时网络操作系统所使用的不同平台上并且从其进行操作。
如图5所示,本发明还提供一种基于传输层封包的数据传输装置,包括以下模块:
接收数据包模块51:第一安全网关接收源客户端发送的数据包;
封包模块52:第一安全网关根据安全策略处理接收到的数据包,得到处理后数据包,在传输层对处理后数据包进行封包得到封包数据包,之后通过网络系统中多条可用路径分别将封包后数据包转发至第二安全网关,其中,对数据包进行封包包括对第一安全网关根据安全策略处理接收到的数据包(处理后数据包)的载荷部分构造包头元数据空间,将包头元数据空间用于编码自定义封包语意,自定义封包语意用于标记被处理的数据包的安全策略信息;以及
转发模块53:第二安全网关接收处理后的数据包,并且获取安全策略,根据安全策略处理接收到的处理后的数据包并转发给目标客户端。
此外,从功能划分的角度出发,能够将该基于传输层封包的数据传输装置进一步地分为,如图6所示那样的多路径数据传输安全装置(网关)1,其中,包括:
初始化模块11,用于开机启动时,通过读取配置文件初始化多路径数据传输安全网关;
设备感知模块12,用于生成并维护多路径信息表,并维持各条路径的状态信息;
发送模块13,用于通过多条路径转发处理后的数据包给第二安全网关或转发数据包给目标客户端;
接收模块14,用于接受源客户端发送的数据包或接收第一安全网关从多条路径转发的数据包。
安全处理模块15,用于对接收到的数据包做直通或阻断、加密或解密、拆分或重组处理;
封包模块16,接收到安全处理模块处理完的数据包后,对处理后的数据包在包头添加自定义的标识信息用于标识安全策略;
拆包模块17,用于接收第一安全网关处理后的数据包,根据包头中的自定义的标识信息发送至安全处理模块。
该多路径数据传输安全网关1可以接入到网络通信系统中,但至少要成对的出现。
根据该基于传输层封包的数据传输装置,因为采用了与基于传输层封包的数据传输方法相同的技术方案,因此也自然能够得到提高数据传输安全的效果。
本发明还涉及执行文中操作的网关,能够根据所要求的目的来具体地构建该网关,或者它可包括被存储在计算机中的出于计算机程序选择性来激活或重新配置的通用计算机。这样的计算机程序可存储在计算机可读的储存介质中,例如但不限于包含软盘、光盘、CD-ROM、磁光盘、只读存储器(ROM)、随机访问存储器(RAM)、EPROM、EEPROM、磁卡或光卡、专用集成电路(ASIC)或适于存储电子指令的任何类型的介质的任何类型的磁盘,并且每种磁盘可耦合至计算机系统总线。此外,说明书中所提及的计算机可包括单个处理器或针对增加的计算能力所设计的多个处理器的体系架构。
如图7所示,本发明还提出一种基于传输层封包的数据传输系统,包括:源客户端61、目标客户端62,源客户端61与目标客户端62之间通过至少两个多路径数据传输安全装置(网关)(63,64)相连接,多路径数据传输安全网关为附图5或者图6中所示的多路径数据传输安全网关。
根据本发明基于传输层封包的数据传输系统,无需客户端做任何改造,在安全网关中简单配置即可完成客户端之间的安全通信。
源客户端61、目标客户端62可以是通过交换机或路由器连接的多个服务器、PC机或移动智能终端。路由1、2、3组成了安全网关的多路径,数据包经过多路径转发到另一个安全网关,可以是由更多的路由组成的多路径,即多个安全网关的每两个安全网关均可能会成为对方的源安全网关或者目标安全网关。每个路由之前是一个单独的网络,每个网络可以是有线网络也可以是无线网络,可包括个人域网(PAN)、局域网(LAN)、校园域网(CAN)、城域网(MAN)、外联网、内联网、互联网、广域网(WAN)——集中式和/或分布式——和/或他们的任何组合、置换和/或聚集的利用。
根据本发明的基于传输层封包的数据传输装置以及系统,因为采用与基于传输层封包的数据传输方法相同的技术方案,因此也能够获得相同的技术效果,即,通过包头用以标记处理数据包的安全策略信息,可以支持任意上层协议,并将数据包按多个路径转发数据包,能够保证多条路径传输的独立和可靠,提高数据传输过程的安全性,保证客户端之间通信安全。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种基于传输层封包的数据传输方法,其特征在于,所述数据传输方法包括以下步骤:
S1:接收数据包步骤,第一安全网关接收源客户端发送的数据包;
S2:封包步骤,所述第一安全网关根据安全策略处理接收到的所述数据包,得到处理后数据包,在传输层对所述处理后数据包进行封包得到封包后数据包,之后通过网络系统中多条可用路径分别将所述封包后数据包转发至第二安全网关,其中,对所述处理后数据包进行封包包括对所述处理后数据包的载荷部分构造包头元数据空间,将所述包头元数据空间用于编码自定义封包语意,所述自定义封包语意用于标记被处理的数据包的安全策略信息;以及
S3:转发步骤,所述第二安全网关接收所述处理后数据包,并且获取所述安全策略,根据所述安全策略处理接收到的所述处理后数据包并转发给目标客户端。
2.根据权利要求1所述的数据传输方法,其特征在于,在所述接收数据包步骤S1之前还包括:
S0:初始化步骤,所述第一安全网关和所述第二安全网关在开机时读取配置文件,并获取当前网络环境的状态及可用路径来进行初始化,其中,所述配置文件用于所述第一安全网关和所述第二安全网关在网络系统中广播自身状态及所述可用路径的信息。
3.根据权利要求1所述的数据传输方法,其特征在于,所述第一安全网关和所述第二安全网关为多路径数据传输安全网关,所述第一安全网关和所述第二安全网关能够互为源安全网关以及目标安全网关。
4.根据权利要求1所述的数据传输方法,其特征在于:所述处理后数据包包括外层的数据链路层包或外层的网络层包和内层的数据链路层包或内层的网络层包,其中,所述外层的数据链路层或所述外层的网络层包用作所述多路径数据传输安全网关传输数据,不同的数据链路层包头分别通过不同路径发送;所述内层的数据链路层包或所述内层的网络层包是客户端实际发送的数据包。
5.根据权利要求2所述的数据传输方法,其特征在于,所述初始化步骤包括:
S01:配置文件读取步骤,所述第一安全网关和所述第二安全网关读取所述配置文件;
S02:自身状态以及可用路径读取步骤,所述第一安全网关和所述第二安全网关获取所述自身状态及多条可用路径的信息;
S03:多路径信息表构建步骤,所述第一安全网关和所述第二安全网关基于所述配置文件、所述自身状态及所述多条可用路径的信息来建立多路径信息表;
S04:广播步骤,所述第一安全网关和所述第二安全网关在网络系统定时广播自身状态及所述多条可用路径的信息;
S05:其它安全网关信息接收步骤,所述第一安全网关和所述第二安全网关接收网络系统中除了自身安全网关之外的其它安全网关的状态及多路径信息的广播;以及
S06:多路径信息表更新步骤,所述第一安全网关和所述第二安全网关根据自身状态及多条可用路径的信息变化,更新所述多路径信息表。
6.根据权利要求1所述的数据传输方法,其特征在于,所述安全策略至少包括以下其中之一:
对数据包进行直通或阻断;
对数据包进行加密或解密;以及
对数据包进行拆分或重组。
7.根据权利要求6所述的数据传输方法,其特征在于,所述对数据包进行直通或阻断包括:
在不需要对数据包按多条路径转发时,通过一条路径直接转发数据包;
通过预先设置的匹配规则,阻断判定为异常的数据包,
所述对数据包进行加密或解密包括:
所述第一安全网关检查是否有可用的会话密钥,若没有可用的会话密钥,则通过预设的主路径协商会话密钥,使用会话密钥对数据包进行加密或解密,
所述对数据包进行拆分或重组包括:对发送的数据包根据数据块或字节进行拆分并写入对应内存空间;对接收的数据包根据对应的拆分方式,进行重组。
8.一种基于传输层封包的数据传输装置,其特征在于,所述装置包括以下模块:
接收数据包模块:第一安全网关接收源客户端发送的数据包;
封包模块:所述第一安全网关根据安全策略处理接收到的所述数据包,得到处理后数据包,在传输层对所述处理后数据包进行封包得到封包后数据包,之后通过网络系统中多条可用路径分别将所述封包后数据包转发至第二安全网关,其中,对所述数据包进行封包包括对所述处理后数据包的载荷部分构造包头元数据空间,将所述包头元数据空间用于编码自定义封包语意,所述自定义封包语意用于标记被处理的数据包的安全策略信息;以及
转发模块:所述第二安全网关接收所述处理后的数据包,并且获取所述安全策略,根据所述安全策略处理接收到的所述处理后数据包并转发给目标客户端。
9.根据权利要求8所述的数据传输装置,其特征在于,
所述处理后数据包包括外层的数据链路层包或外层的网络层包和内层的数据链路层包或内层的网络层包,其中,所述外层的数据链路层或所述外层的网络层包用作所述多路径数据传输安全网关传输数据,不同的数据链路层包头分别通过不同路径发送;所述内层的数据链路层包或所述内层的网络层包是客户端实际发送的数据包。
10.一种基于传输层封包的数据传输系统,其特征在于,包括:数据传输装置、源客户端以及目标客户端,所述源客户端与所述目标客户端之间通过至少两个所述数据传输装置相连接,所述数据传输装置为根据权利要求8或者9所述的基于传输层封包的数据传输装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610539378.8A CN105978909B (zh) | 2016-07-08 | 2016-07-08 | 基于传输层封包的数据传输方法、数据传输装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610539378.8A CN105978909B (zh) | 2016-07-08 | 2016-07-08 | 基于传输层封包的数据传输方法、数据传输装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105978909A true CN105978909A (zh) | 2016-09-28 |
| CN105978909B CN105978909B (zh) | 2019-01-22 |
Family
ID=56952030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610539378.8A Active CN105978909B (zh) | 2016-07-08 | 2016-07-08 | 基于传输层封包的数据传输方法、数据传输装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105978909B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411963A (zh) * | 2016-12-16 | 2017-02-15 | 北京元心科技有限公司 | 即时通讯消息的传输方法及装置 |
| CN108243177A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信有限公司研究院 | 一种数据传输方法及装置 |
| CN108738078A (zh) * | 2018-06-25 | 2018-11-02 | 北斗地网(重庆)科技集团有限公司 | 一种数据传输方法装置、设备及可读存储介质 |
| CN109450930A (zh) * | 2018-12-14 | 2019-03-08 | 南方电网科学研究院有限责任公司 | 一种数据传输方法及装置 |
| CN109819274A (zh) * | 2019-02-27 | 2019-05-28 | 聚好看科技股份有限公司 | 数据传输方法、数据处理方法及装置 |
| CN114915455A (zh) * | 2022-04-24 | 2022-08-16 | 华控清交信息科技(北京)有限公司 | 一种密文数据传输方法、装置和用于密文数据传输的装置 |
| CN115277200A (zh) * | 2022-07-27 | 2022-11-01 | 北京国领科技有限公司 | 一种链路层透明加密系统多节点密钥自动协商管理的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| JP2007135035A (ja) * | 2005-11-11 | 2007-05-31 | Nippon Telegr & Teleph Corp <Ntt> | 通信装置及びパケット処理方法 |
| CN101267395A (zh) * | 2008-03-13 | 2008-09-17 | 华为技术有限公司 | 数据传输方法及装置 |
| CN101834879A (zh) * | 2010-02-09 | 2010-09-15 | 北京中科大洋科技发展股份有限公司 | 一种适应不同网络环境的智能高效视音频数据传输方法 |
| CN104023022A (zh) * | 2014-06-13 | 2014-09-03 | 杭州华三通信技术有限公司 | 一种IPSec SA的获取方法和装置 |
-
2016
- 2016-07-08 CN CN201610539378.8A patent/CN105978909B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007135035A (ja) * | 2005-11-11 | 2007-05-31 | Nippon Telegr & Teleph Corp <Ntt> | 通信装置及びパケット処理方法 |
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
| CN101267395A (zh) * | 2008-03-13 | 2008-09-17 | 华为技术有限公司 | 数据传输方法及装置 |
| CN101834879A (zh) * | 2010-02-09 | 2010-09-15 | 北京中科大洋科技发展股份有限公司 | 一种适应不同网络环境的智能高效视音频数据传输方法 |
| CN104023022A (zh) * | 2014-06-13 | 2014-09-03 | 杭州华三通信技术有限公司 | 一种IPSec SA的获取方法和装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411963A (zh) * | 2016-12-16 | 2017-02-15 | 北京元心科技有限公司 | 即时通讯消息的传输方法及装置 |
| CN106411963B (zh) * | 2016-12-16 | 2019-06-25 | 北京元心科技有限公司 | 即时通讯消息的传输方法及装置 |
| CN108243177A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信有限公司研究院 | 一种数据传输方法及装置 |
| CN108738078A (zh) * | 2018-06-25 | 2018-11-02 | 北斗地网(重庆)科技集团有限公司 | 一种数据传输方法装置、设备及可读存储介质 |
| CN109450930A (zh) * | 2018-12-14 | 2019-03-08 | 南方电网科学研究院有限责任公司 | 一种数据传输方法及装置 |
| CN109819274A (zh) * | 2019-02-27 | 2019-05-28 | 聚好看科技股份有限公司 | 数据传输方法、数据处理方法及装置 |
| CN114915455A (zh) * | 2022-04-24 | 2022-08-16 | 华控清交信息科技(北京)有限公司 | 一种密文数据传输方法、装置和用于密文数据传输的装置 |
| CN115277200A (zh) * | 2022-07-27 | 2022-11-01 | 北京国领科技有限公司 | 一种链路层透明加密系统多节点密钥自动协商管理的方法 |
| CN115277200B (zh) * | 2022-07-27 | 2023-08-15 | 北京国领科技有限公司 | 一种链路层透明加密系统多节点密钥自动协商管理的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105978909B (zh) | 2019-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105978909A (zh) | 基于传输层封包的数据传输方法、数据传输装置及系统 | |
| CN202206418U (zh) | 流量管理设备、系统和处理器 | |
| US9838362B2 (en) | Method and system for sending a message through a secure connection | |
| CN104272674B (zh) | 多隧道虚拟专用网络 | |
| US7797411B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
| US20060182103A1 (en) | System and method for routing network messages | |
| Misra et al. | Introduction to IoT | |
| CN107453861B (zh) | 一种基于ssh2协议的数据采集方法 | |
| US20150207729A1 (en) | Tying data plane paths to a secure control plane | |
| CN109906625A (zh) | 无线局域网上的安全链路层连接的方法 | |
| CN104184646B (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| CN103458046B (zh) | 一种基于核心网络的数据秘密共享系统及方法 | |
| CN107306198A (zh) | 报文转发方法、设备和系统 | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| CN102932359B (zh) | 流媒体服务请求方法、装置和系统 | |
| CN105635076B (zh) | 一种媒体传输方法和设备 | |
| CN116015943B (zh) | 一种基于多级隧道混淆的隐私保护方法 | |
| Castilho et al. | Proposed model to implement high-level information security in internet of things | |
| CN115348118B (zh) | 一种基于密码技术的网络地址和端口号隐藏方法 | |
| CN109962902A (zh) | 一种防网络追踪及实现匿名安全访问的方法及系统 | |
| CN115225414A (zh) | 基于ipsec的加密策略匹配方法、装置及通信系统 | |
| Sheikhi et al. | DDoS attack detection using unsupervised federated learning for 5G networks and beyond |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Data transmission method, data transmission device and system based on transport layer packet Effective date of registration: 20220630 Granted publication date: 20190122 Pledgee: Beijing Zhongguancun bank Limited by Share Ltd. Pledgor: BEIJING LIANSHI NETWORKS TECHNOLOGY CO.,LTD. Registration number: Y2022990000390 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20230811 Granted publication date: 20190122 Pledgee: Beijing Zhongguancun bank Limited by Share Ltd. Pledgor: BEIJING LIANSHI NETWORKS TECHNOLOGY CO.,LTD. Registration number: Y2022990000390 |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240228 Address after: 100089, 5th Floor, Building 7, Courtyard A2, West Third Ring North Road, Haidian District, Beijing Patentee after: Zhongguancun Technology Leasing Co.,Ltd. Country or region after: China Address before: 100028 901, building 5, yard 106, Kexing West Road, Changping District, Beijing Patentee before: BEIJING LIANSHI NETWORKS TECHNOLOGY CO.,LTD. Country or region before: China |