CN107070953B - 基于动态规划的链路防护系统及其方法 - Google Patents

Abstract

本发明公开了一种基于动态规划的链路防护系统及其方法，涉及信息安全领域。本系统包括链路管控中心（100）、中转链路服务器集群（200）、用户终端（300）和目标服务器（400）；链路管控中心（100）和中转链路服务器集群（200）交互，中转链路服务器集群（200）分别与用户终端（300）和目标服务器（400）交互。本方法包括：①动态规划方法；②数据转发方法。本发明具有下列优点和积极效果：①时效性强；②动态规划路径算法简单高效；③系统安全性高；④系统可扩展；⑤防止IP溯源。

Description

基于动态规划的链路防护系统及其方法

技术领域

本发明涉及信息安全领域，尤其涉及一种基于动态规划的链路防护系统及其方法。

背景技术

伴随着网络技术的发展，网络已成为人们生活和工作的主要方式。据中国互联网络信息中心第38次《中国互联网络发展状况统计报告》显示，截至2016年6月，中国网民规模达到7.1亿，互联网络普及率达到51.7％，超过全球平均水平3.1个百分点，超过亚洲平均水平8.1个百分点。网络技术的蓬勃发展也带来了一系列安全性的问题，其中最主要的就是链路节点上的流量劫持。所谓流量劫持，是指通过一定技术手段，控制用户的上网行为，让你打开不想打开的网页，看到不想看的广告，而这些都会给劫持者带来源源不断的收入。

不久前，乌云网发布的一则《疑似某基于运营商流量的APK劫持推广系统存漏洞(每天高达百万计的劫持数据统计)》的公告再次将“流量劫持”推到了风口浪尖。流量劫持泛指网上的流量被窃取、刺探和控制，在收到用户的流量后，还可以分析窃取用户隐私。我们上网时使用的电脑是客户端，请求访问的目标是服务器，从你发生请求到看到网页，速度很快，中间却要经过网络链路及设备，而链路上的点和设备都可以被人做手脚，对流量进行恶意分析窃取。特别是在网络节点中转过程中，节点服务器被攻击成肉鸡后，很容易进行DNS劫持，被黑客利用进行木马植入和流量分析，最终对于个人而言会泄露隐私，对于涉密企业和政府而言，涉密数据的泄露会影响公司的发展和国家的信息安全。

因此，对于涉密企业和政府机关在构建数据回传交互系统时，需要进行多节点的跳转，构建动态规划数据交互路径，可以有效地防止数据泄密，同时防止溯源，保证交互链路的安全。

发明内容

本发明的目的就在于提供一种基于动态规划的链路防护系统及其方法，主要应用在对数据安全级别要求较高的企事业单位、政府机关、公安和军队等单位，构建应用系统的动态的数据交互链路，防止单一节点被劫持后带来的损失，保障数据传输的安全。

实现本发明目的技术方案是：

本发明通过以下3种方式实现链路防护系统安全性：

①服务器节点威胁性分析

实时采集中转链路服务器节点网络信息，通过对中间节点服务器的网络信息比对，判断目标服务器是否运行正常，是否存在恶意攻击行为，保证中间节点的系统安全；

②定时规划链路路径

链路管控中心会定时根据中转链路服务器上报的网络信息进行综合分析，剔除掉宕机和具有威胁性的中转服务器节点，在保证最优延迟的前提下，动态规划回传的路径，同时下发给各中转服务器和交互终端；

③交互文件单向传输

中转服务器节点不保存任何管控中心的帐号密码，链路管控中心以单向FTP方式和中转服务器进行交互，实现数据单向传输，即使中间节点出现被劫持情况，也不会泄露链路管控中心的帐号信息。

本发明采用基于动态规划路径、服务器威胁检测、单向FTP传输方式构建了链路防护系统，可以有效地保证数据安全性传输，降低数据被劫持的风险，防止IP溯源等方面，提升系统和终端的安全性。

具体地说：

一、基于动态规划的链路防护系统(简称系统)

本系统包括链路管控中心、中转链路服务器集群、用户终端和目标服务器；

链路管控中心和中转链路服务器集群交互，中转链路服务器集群分别与用户终端和目标服务器交互；

所述的链路管控中心包括依次交互的中转服务器管理模块、链路动态规划模块和链路数据交互模块；

所述的中转链路服务器集群包括第1、2……N中转服务器，N是自然数，2≤N≤100；

每个中转服务器包括远程交互模块、链路节点采集模块和数据转发模块，链路节点采集模块和数据转发模块均与远程交互模块交互。

本发明具有下列优点和积极效果：

①时效性强：本发明采用动态链路计算算法，链路管控中心会定时根据中转服务器上报的网络信息进行综合分析，剔除掉宕机和具有威胁性的节点服务器，在保证最优延迟的前提下，动态规划回传的路径，同时下发给中转链路服务器和交互终端；

②动态规划路径算法简单高效：路径规划算法结合最短路径算法和动态调整节点技术，保证了数据回传速率的同时，动态变化路径；

③系统安全性高：服务器节点威胁性分析，实时采集中转链路服务器节点网络信息，通过对中间节点服务器的网络信息比对，判断目标服务器是否运行正常，是否存在恶意攻击行为，保证中间节点的系统安全；即使中间服务器节点被劫持，也不会带来数据的很大损失；

④系统可扩展：基于松耦合架构技术，结合链路管控中心，可以弹性扩展节点，提升系统的弹性和扩展性；

⑤防止IP溯源：动态规划链路能保证数据实时性，同时保证链路动态生成，可以有效地防止溯源。

附图说明

图1是本系统的结构方框图。

图中：

100—链路管控中心，

110—中转服务器管理模块；

120—链路动态规划模块；

130—链路数据交互模块。

200—中转链路服务器集群，

210—第1中转服务器；

211—第1远程交互模块；

212—第1链路节点采集模块；

213—第1数据转发模块；

220—第2中转服务器

221—第2远程交互模块；

222—第2链路节点采集模块；

223—第2数据转发模块；

……

2N0—第N中转服务器；

2N1—第N远程交互模块；

2N2—第N链路节点采集模块；

2N3—第N数据转发模块；

300—用户终端；

400—目标服务器。

英译汉

1、FTP：File Transfer Protocol，文件传输协议；

2、Ngnix：engine x，是一个高性能的HTTP和反向代理服务器；

3、CPU：Central Processing Unit，中央处理器；

4、IP：Internet Protocol，网络之间互连的协议。

具体实施方式

下面结合附图和实施例详细说明：

一、系统

1、总体

如图1，本系统包括链路管控中心100、中转链路服务器集群200、用户终端300和目标服务器400；

链路管控中心100和中转链路服务器集群200交互，中转链路服务器集群200分别与用户终端300和目标服务器400交互；

所述的链路管控中心100包括依次交互的中转服务器管理模块110、链路动态规划模块120和链路数据交互模块130；

所述的中转链路服务器集群200包括第1、2……N中转服务器210、220……2N0，N是自然数，2≤N≤100；

每个中转服务器包括远程交互模块、链路节点采集模块和数据转发模块，链路节点采集模块和数据转发模块均与远程交互模块交互。

2、功能模块

1)链路管控中心100

链路管控中心100包括依次交互的中转服务器管理模块110、链路动态规划模块120和链路数据交互模块130。

链路管控中心100负责整个系统的中转链路服务器集群200的每台中转服务器的管理功能，通过中转服务器管理模块110和链路数据交互模块130，获取每个中转服务器的基本信息，提供给链路动态规划模块120，进行链路动态规划，同时以单向传输的方式下发最新路径给中转链路服务器集群200。

(1)中转服务器管理模块110

中转服务器管理模块110在系统建设后，初始化中转链路服务器集群200中的每台中转服务器的FTP帐号、口令、IP、路径、CPU、内存、硬盘、网卡和显卡信息，提供给链路数据交互模块130进行远程连接、数据收集和路径下发。

(2)链路动态规划模块120

链路动态规划模块120根据服务器状态、服务器各节点间的上下行速率和结合图计算方式，实现对路径的动态规划，以单向FTP文件方式下发每台中转服务器。

(3)链路数据交互模块130

链路数据交互模块130基于FTP方式，周期读取每台中转服务器的设备状态，节点间的上下行速率等信息，提供给链路动态规划模块120计算路径。

链路管控中心100其工作流程是：

①中转服务器管理模块110在系统建设后，初始化中转链路服务器集群(200)中的每台中转服务器的FTP帐号、口令、IP、路径、CPU、内存、硬盘、网卡、显卡和应用信息，提供给链路动态规划模块120；

②链路数据交互模块130基于FTP协议定期读取中转服务器的设备状态和节点间的上下行速率的信息，提供给链路动态规划模块120计算路径；

③链路动态规划模块120根据中转服务器的状态和各节点间上下行的速率，结合图计算方式，实现对路径的动态规划，在保证最短延迟的前提下动态更改交互路径，路径规划成功后以文件的方式通过单向FTP协议下发到各个中转服务器；

④链路管控中心100与中转链路服务器集群200交互以单向FTP协议传输，中转链路服务器集群200中不保存链路管控中心100的IP、远程账户和密码的任何信息；

a、中转服务器上报的信息保存在本地FTP目录中，链路管控中心100通过FTP协议单向读取数据文件；

b、链路管控中心100规划路径后，通过链路数据交互模块130以FTP文件方式，分发到中转链路服务器集群200各个节点的FTP目录。

2)中转链路服务器集群200

中转链路服务器集群200包括第1、2……N中转服务器210、220……2N0。

该集群保证了数据在该集群链路中跳转。

(1)第1中转服务器210；

第1中转服务器210是链路回传的子节点，功能上负责节点服务器基本信息采集，读取链路管控中心100下发的转发路径，基于第1数据转发模块213实现网络数据的转发。

A、第1远程交互模块211

第1远程交互模块211是和链路管控中心100交互的接口，负责将链路数据保存在本地FTP目录下，同时负责将链路管控中心100规划的路径提供给第1数据转发模块213进行转发配置。

B、第1链路节点采集模块212

第1链路节点采集模块212负责采集中转服务器的IP、路径、CPU、内存、硬盘、网卡、显卡、节点间的上下行速率等信息，提供给第1远程交互模块211。

C、第1数据转发模块213

第1数据转发模块213根据链路管控中心100规划的路径，对用户终端300发送来的数据进行转发。

中转链路服务器集群(200)其其工作流程是：

①中转链路服务器集群(200)包含多个中转服务器,每个中转服务器只保留下个转发节点的信息；

②每个中转服务器的链路节点采集模块，负责采集中转服务器的设备状态和节点间上下行速率的信息，提供给远程交互模块；

③每个中转服务器的远程交互模块，负责将链路数据保存在本地FTP目录下，同时负责将链路管控中心(100)规划的路径提供给每个中转服务器的数据转发模块进行转发配置；

④每个中转服务器的数据转发模块根据路径规划信息，对用户终端(300)发送来的数据进行转发。

3)用户终端300

用户终端300是数据发送的起始路径，负责将数据发送到中转链路服务器集群200的规划路径的起始节点服务器。

4)目标服务器400

目标服务器400是数据发送的结束路径，负责将数据通过中转链路服务器集群200跳转后回到目标服务器400。

3、本系统的工作机理

①链路管控中心100提供对中转链路服务器集群200的注册管理工作，并通过中转链路服务器集群200上报的集群状态，进行路径的动态规划，同时以单向FTP文件方式，将规划路径同步到中转链路服务器集群200中，告知下行转发节点；

②中转链路服务器集群200在获取到链路管控中心100规划的路径后，自动设置数据转发模块，将收到的数据自动转发到下个节点服务器；

③中转链路服务器集群200基于文件方式，将链路状态、连接速率等信息记录到本地，提供给远端的链路管控中心100进行单向提取；

④用户终端300初始化时通过链路管控中心100获取初始链路节点，数据经初始节点后进入中转链路服务器集群200跳转转发，最终到达目标服务器400，当路径发生变化后，将自动告知用户终端300更改请求服务器。

二、方法

1、动态规划方法

①链路动态规划模块120根据中转服务器管理模块110提供的中转服务器的FTP帐号、口令、IP、路径、CPU、内存、硬盘、网卡和显卡的信息，以及中转链路服务器集群200提供的中转服务器各节点间的上下行速率，结合图计算方式，实现对路径的动态规划，以单向FTP文件方式下发各个中转服务器；

②获取可用的中转服务器列表集合，并按照中转服务器延迟速率进行升序排序，形成集合[1，M]，筛选掉有故障中转服务器；

③链路动态规划模块120根据中转服务器管理模块110提供的各个节点上下行速率，计算中转服务器平均延迟速率，并按照延迟速率进行由低到高的排序，获取加权中转服务器的集合；

④考虑到网络环境的影响，中转链路服务器集群200可能出现路径相同的情况，因此在[1，K]集合选择上采取如下策略，剔除掉环境对路径影响；

a、根据管控中心策略筛选出前K个平均延迟速率低的跳转节点[1，K],保证最优化的传输路径；

b、在集合[1，K]中随机取出K/3个节点，形成新的替换集合[1,K/3]；

c、在[K，M]非最短路径集合中同样取出K/3个节点，逐一替换掉最短路径集合，生成新的策略集合[1,K]；

⑤基于动态规划路径生成的新的路径集合[1,K]，根据节点间的延迟权重，形成图形计算模型，利用尾递归方式，计算经过所有节点的路径，伪代码如下；

⑥将计算的最短路径，下发到各个中转服务器中进行初始化，同时将路径规则通过交互信息下发到终端，更新终端回传链路中起始中转服务器的位置；

M为当前可用的中转服务器数量，为自然数，2≤M≤100；K为系统使用者配

置需要跳转的节点数量，为自然数，2≤K≤M。

2、数据转发方法

①利用Ngnix反向代理技术，根据路径规划信息，对用户终端300发送来的数据进行转发，经过集群后到达目标服务器400；

②系统初始化后，各个中转服务器的数据转发模块默认配置转发节点为目标服务器400；

③各个中转服务器的数据转发模块在动态路径规划成功后，确定转发规则、数据源IP1和目的IP2，最终更新到配置文件nginx.conf；

④nginx.conf文件更新后，各个中转服务器的数据转发模块将重启Nginx反向代理程序；

⑤当网络数据经过上一节点跳转到当前中转服务器后，Nginx反向代理接受客户机请求，找到server_name为IP1的server节点，根据proxy_pass对应的http路径，将请求转发到IP2上；

⑥链路数据最终经过多个中转服务器，到达目标服务器400。

Claims (3)

1.一种基于动态规划的链路防护系统，

包括链路管控中心(100)、中转链路服务器集群(200)、用户终端(300)和目标服务器(400)；

链路管控中心(100)和中转链路服务器集群(200)交互，中转链路服务器集群(200)分别与用户终端(300)和目标服务器(400)交互；

所述的链路管控中心(100)包括依次交互的中转服务器管理模块(110)、链路动态规划模块(120)和链路数据交互模块(130)；

所述的中转链路服务器集群(200)包括第1、2……N中转服务器(210、220……2N0)，N是自然数，2≤N≤100；

每个中转服务器包括远程交互模块、链路节点采集模块和数据转发模块，链路节点采集模块和数据转发模块均与远程交互模块交互；

其特征在于：

所述的链路管控中心(100)其工作流程是：

①中转服务器管理模块(110)在系统建设后，初始化中转链路服务器集群(200)中的每台中转服务器的FTP帐号、口令、IP、路径、CPU、内存、硬盘、网卡、显卡和应用信息，提供给链路动态规划模块(120)；

②链路数据交互模块(130)基于FTP协议定期读取中转服务器的设备状态和节点间的上下行速率的信息，提供给链路动态规划模块(120)计算路径；

③链路动态规划模块(120)根据中转服务器的状态和各节点间上下行的速率，结合图计算方式，实现对路径的动态规划，在保证最短延迟的前提下动态更改交互路径，路径规划成功后以文件的方式通过单向FTP协议下发到各个中转服务器；

④链路管控中心(100)与中转链路服务器集群(200)交互以单向FTP协议传输，中转链路服务器集群(200)中不保存链路管控中心(100)的IP、远程账户和密码的任何信息；

a、中转服务器上报的信息保存在本地FTP目录中，链路管控中心(100)通过FTP协议单向读取数据文件；

b、链路管控中心(100)规划路径后，通过链路数据交互模块(130)以FTP文件方式，分发到中转链路服务器集群(200)各个节点的FTP目录；

所述的中转链路服务器集群(200)其工作流程是：

①中转链路服务器集群(200)包含多个中转服务器,每个中转服务器只保留下个转发节点的信息；

②每个中转服务器的链路节点采集模块，负责采集中转服务器的设备状态和节点间上下行速率的信息，提供给远程交互模块；

③每个中转服务器的远程交互模块，负责将链路数据保存在本地FTP目录下，同时负责将链路管控中心(100)规划的路径提供给每个中转服务器的数据转发模块进行转发配置；

④每个中转服务器的数据转发模块根据路径规划信息，对用户终端(300)发送来的数据进行转发。

2.基于权利要求1所述链路防护系统的动态规划方法，其特征在于：

①链路动态规划模块(120)根据中转服务器管理模块(110)提供的中转服务器的FTP帐号、口令、IP、路径、CPU、内存、硬盘、网卡和显卡的信息，以及中转链路服务器集群(200)提供的中转服务器各节点间的上下行速率，结合图计算方式，实现对路径的动态规划，以单向FTP文件方式下发各个中转服务器；

②获取可用的中转服务器列表集合，并按照中转服务器延迟速率进行升序排序，形成集合[1，M]，筛选掉有故障中转服务器；

③链路动态规划模块(120)根据中转服务器管理模块(110)提供的各个节点上下行速率，计算中转服务器平均延迟速率，并按照延迟速率进行由低到高的排序，获取加权中转服务器的集合；

④考虑到网络环境的影响，中转链路服务器集群(200)可能出现路径相同的情况，因此在[1，K]集合选择上采取如下策略，剔除掉环境对路径影响；

a、根据管控中心策略筛选出前K个平均延迟速率低的跳转节点[1，K],保证最优化的传输路径；

b、在集合[1，K]中随机取出K/3个节点，形成新的替换集合[1,K/3]；

c、在[K，M]非最短路径集合中同样取出K/3个节点，逐一替换掉最短路径集合，生成新的策略集合[1,K]；

⑤基于动态规划路径生成的新的路径集合[1,K]，根据节点间的延迟权重，形成图形计算模型，利用尾递归方式，计算经过所有节点的路径，伪代码如下；

⑥将计算的最短路径，下发到各个中转服务器中进行初始化，同时将路径规则通过交互信息下发到终端，更新终端回传链路中起始中转服务器的位置；

M为当前可用的中转服务器数量，为自然数，2≤M≤100；K为系统使用者配置需要跳转的节点数量，为自然数，2≤K≤M。

3.基于权利要求1所述链路防护系统的数据转发方法，其特征在于：

①利用Ngnix反向代理技术，根据路径规划信息，对用户终端(300)发送来的数据进行转发，经过集群后到达目标服务器(400)；

②系统初始化后，各个中转服务器的数据转发模块默认配置转发节点为目标服务器(400)；

③各个中转服务器的数据转发模块在动态路径规划成功后，确定转发规则、数据源IP1和目的IP2，最终更新到配置文件nginx.conf；

④nginx.conf文件更新后，各个中转服务器的数据转发模块将重启Nginx反向代理程序；

⑤当网络数据经过上一节点跳转到当前中转服务器后，Nginx反向代理接受客户机请求，找到server_name为IP1的server节点，根据proxy_pass对应的http路径，将请求转发到IP2上；

⑥链路数据最终经过多个中转服务器，到达目标服务器(400)。