CN110662218A - 数据摆渡装置及其方法 - Google Patents
数据摆渡装置及其方法 Download PDFInfo
- Publication number
- CN110662218A CN110662218A CN201910910472.3A CN201910910472A CN110662218A CN 110662218 A CN110662218 A CN 110662218A CN 201910910472 A CN201910910472 A CN 201910910472A CN 110662218 A CN110662218 A CN 110662218A
- Authority
- CN
- China
- Prior art keywords
- data
- gateway
- ferry
- key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Abstract
本公开提供了一种数据摆渡装置,包括:第一网关;第二网关;以及数据摆渡服务器;第一网关被配置为接收来自第一设备的第一数据包,第一数据包包括第一设备标识、第一密钥加密的第二设备标识和密文密钥加密的有效载荷数据,使用第一密钥解密第一数据包,以获得第二设备标识;以及向数据摆渡服务器发送包括第二设备标识和有效载荷数据的第二数据包;数据摆渡服务器被配置为基于第二设备标识确定与有效载荷数据相关联的第二网关;以及向所确定的第二网关发送包括第二设备标识和有效载荷数据的第三数据包;第二网关被配置为使用第二密钥向第二设备加密发送包括有效载荷数据的第四数据包。
Description
技术领域
本公开涉及计算机网络技术领域,更具体地,涉及一种数据摆渡装置及其方法。
背景技术
随着移动技术的不断深入发展,移动办公也逐渐得到越来越多企业用户的认可和支持。众多企业已经或正在部署各种类型的移动办公软件,其中包括通用协同软件、行业专用软件,以及自主研发的专用软件等。有了移动办公的支持,企业管理人员能够随时随地了解公司动态,做出重要决策;金融业务员可以在咖啡馆为用户提供财务咨询和借贷服务;应急指挥中心的救灾人员可以在现场发回图片资料,上报灾情;普通员工也可以在旅途中处理报销申请等琐碎的日常事务。移动办公对企业管理者、商务人士、政府工作人员提供了极大的工作便利,为企业和政府的信息化建设提供了全新的思路和方向。
在办公移动化过程中,突出的问题是移动化实施方需要保证接入安全、防护内网安全。
发明内容
根据本公开的第一方面,提供了一种数据摆渡装置,包括:
第一网关;
第二网关;以及
数据摆渡服务器;其中
所述第一网关被配置为
接收来自第一设备的第一数据包,所述第一数据包包括第一设备标识、经第一密钥加密的第二设备标识和经密文密钥加密的有效载荷数据,
使用第一密钥解密所述第一数据包,以获得所述第二设备标识;以及
向所述数据摆渡服务器发送包括所述第二设备标识和所述有效载荷数据的第二数据包;
所述数据摆渡服务器被配置为
基于所述第二设备标识确定第二网关;以及
向所确定的第二网关发送包括所述第二设备标识和所述有效载荷数据的第三数据包;
所述第二网关被配置为使用第二密钥向所述第二设备加密发送包括所述有效载荷数据的第四数据包。
根据本公开的实施例,其中,所述第一密钥是所述第一设备和所述数据摆渡装置之间的密钥,所述第二密钥是所述第二设备和所述数据摆渡装置之间的密钥,所述密文密钥是所述第一设备和所述第二设备之间的密钥。
根据本公开的实施例,其中,所述第一数据包和所述第四数据包基于第一通信协议传输,所述第二数据包和所述第三数据包基于第二通信协议传输。
根据本公开的实施例,所述数据摆渡装置还包括激活服务器,所述激活服务器被配置为分别向所述第一设备和所述第二设备分配所述第一设备标识和所述第二设备标识,以及与所述第一设备协商所述第一密钥,与所述第二设备协商所述第二密钥,以及促进所述第一设备和所述第二设备协商所述密文密钥。
根据本公开的实施例,所述激活服务器被配置为:
当接收到所述第二设备的激活请求时,向所述第二设备分配所述第二设备标识;
接收和保存由所述第二设备提供的允许与所述第二设备通信的第一设备的编码;
当接收到第一设备的激活请求时,检查所述第一设备的编码是否被包括在所述第二设备提供的编码中;
如果是,向所述第一设备分配所述第一设备标识;以及
保存所述第一设备标识和所述第二设备标识之间的对应关系,并同步到所述数据摆渡服务器。
根据本公开的实施例,所述激活服务器还被配置为向所述第一设备提供第一网关列表和连接策略,以及向所述第二设备提供第二网关列表和连接策略,并同步到所述数据摆渡服务器;
所述数据摆渡服务器还被配置为基于所述第一网关列表和连接策略,确定所述第一设备标识和所述第一网关的对应关系;以及基于所述第二网关列表和连接策略,确定所述第二设备标识和所述第二网关的对应关系。
根据本公开的实施例,所述激活服务器还被配置为向所述第一网关提供第一设备标识列表;所述第一网关还被配置为如果所述第一数据包中的第一设备标识不在所述第一设备标识列表中,拒绝所述第一数据包。
根据本公开的实施例,其中,所述经密文密钥加密的有效载荷数据进一步被所述第一密钥加密。
根据本公开的实施例,其中,所述第一数据包包括第一连接标识,所述第一连接标识用于导出所述第一设备标识;所述第一数据包还包括第二连接标识,所述第二连接标识和所述有效载荷数据一起被所述第一密钥加密,所述第二连接标识用于导出所述第二设备标识。
根据本公开的实施例,其中,所述数据摆渡服务器保持所述第一设备标识和所述第二设备标识的对应关系,所述数据摆渡服务器还被配置为:如果所述第一数据包中的第一设备标识和第二设备标识不满足所述对应关系,拒绝所述第一数据包。
根据本公开的实施例,其中,所述数据摆渡服务器保持所述第二设备标识和所述第二网关的对应关系,所述数据摆渡服务器还被配置为:基于所述对应关系确定与所述有效载荷数据相关联的第二网关。
根据本公开的实施例,所述第一设备是移动终端,所述第二设备是内网的接入网关。
根据本公开的第二方面,提供了一种用于数据摆渡装置的方法,所述数据摆渡装置包括第一网关、第二网关和数据摆渡服务器,所述方法包括:
在第一网关处接收来自第一设备的第一数据包,所述第一数据包包括第一设备标识、经第一密钥加密的第二设备标识和经密文密钥加密的有效载荷数据;
使用第一密钥解密所述第一数据包,以获得所述第二设备标识;
向所述数据摆渡服务器发送包括所述第二设备标识和所述有效载荷数据的第二数据包;
基于所述第二设备标识确定与第二网关;
向所确定的第二网关发送包括所述第二设备标识和所述有效载荷数据的第三数据包;以及
在所述第二网关处使用第二密钥向所述第二设备加密发送包括所述有效载荷数据的第四数据包。
根据本公开的实施例,所述第一密钥是所述第一设备和所述数据摆渡装置之间的密钥,所述第二密钥是所述第二设备和所述数据摆渡装置之间的密钥,所述密文密钥是所述第一设备和所述第二设备之间的密钥。
根据本公开的实施例,其中,所述第一数据包和所述第四数据包基于第一通信协议传输,所述第二数据包和所述第三数据包基于第二通信协议传输。
根据本公开的实施例,所述方法还包括:分别向所述第一设备和所述第二设备分配所述第一设备标识和所述第二设备标识,以及与所述第一设备协商所述第一密钥,与所述第二设备协商所述第二密钥,以及促进所述第一设备和所述第二设备协商所述密文密钥。
根据本公开的实施例,所述方法还包括:当接收到所述第二设备的激活请求时,向所述第二设备分配所述第二设备标识;接收和保存由所述第二设备提供的允许与所述第二设备通信的第一设备的编码;当接收到第一设备的激活请求时,检查所述第一设备的编码是否被包括在所述第二设备提供的编码中;如果是,向所述第一设备分配所述第一设备标识;以及保存所述第一设备标识和所述第二设备标识之间的对应关系,并同步到所述数据摆渡服务器。
根据本公开的实施例,所述方法还包括:向所述第一设备提供第一网关列表和连接策略,以及向所述第二设备提供第二网关列表和连接策略,并同步到所述数据摆渡服务器;基于所述第一网关列表和连接策略,确定所述第一设备标识和所述第一网关的对应关系;以及基于所述第二网关列表和连接策略,确定所述第二设备标识和所述第二网关的对应关系。
根据本公开的实施例,所述方法还包括:向所述第一网关提供第一设备标识列表,所述第一网关还被配置为如果所述第一数据包中的第一设备标识不在所述第一设备标识列表中,拒绝所述第一数据包。
根据本公开的实施例,所述经密文密钥加密的有效载荷数据进一步被所述第一密钥加密。
根据本公开的实施例,其中,所述第一数据包包括第一连接标识,所述第一连接标识用于导出所述第一设备标识,所述第一数据包还包括第二连接标识,所述第二连接标识和所述有效载荷数据一起被所述第一密钥加密,所述第二连接标识用于导出所述第二设备标识。
根据本公开的实施例,所述方法还包括:保持所述第一设备标识和所述第二设备标识的对应关系,如果所述第一数据包中的第一设备标识和第二设备标识不满足所述对应关系,拒绝所述第一数据包。
根据本公开的实施例,所述方法还包括:保持所述第二设备标识和所述第二网关的对应关系,以及基于所述对应关系确定与所述有效载荷数据相关联的第二网关。
根据本公开的实施例,其中,所述第一设备是移动终端,所述第二设备是内网的接入网关。
根据本公开的第三方面,提供了一种发送数据包的通信方法,所述数据包用于第一设备经由数据摆渡装置向第二设备传输有效载荷数据,所述数据包包括:第一连接标识;第二连接标识;以及所述有效载荷数据;
其中,所述有效载荷数据被所述第一设备和所述第二设备之间的密文密钥加密,使得所述有效载荷数据对所述数据摆渡装置隐藏;
所述密文密钥加密的有效载荷数据与所述第二连接标识一起被第一密钥加密,所述第一密钥是所述第一设备和所述数据摆渡装置之间的密钥;
所述第一连接标识用于由所述数据摆渡装置导出所述第一设备的标识,所述第二连接标识用于由所述数据摆渡装置导出所述第二设备的标识。
根据本公开的实施例,其中,所述第一设备的标识和所述第二设备的标识用于由所述数据摆渡装置确定是否拒绝所述数据包或者用于确定从所述第一设备到所述第二设备的路由。
根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有可执行指令,所述可执行指令被处理器执行时使得所述处理器执行如本公开第二方面所述的方法。
根据本公开的第五方面,提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,所述一个或多个程序在被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如本公开第二方面所述的方法。
本发明通过反向接入、数据摆渡的方式来实现移动终端接入到企业内网以及移动终端和企业内网之间的通信传输,不需要企业内网开设任何对外端口及防火墙,降低了安全风险,不必调整现在网络架构,减少了接入成本。同时,本发明在数据摆渡过程中通过双层加密结合保证了通信安全,使得有效载荷数据对网络中心也是不可见,数据摆渡中心机制保证了无法追踪移动终端访问内网服务器的网络路由,隐藏了内网位置。
附图说明
图1A和图1B示出了现有技术的从外网接入到内网的连接技术。
图2示出了根据本公开实施例的通信系统。
图3示出了根据本公开另一实施例的通信系统。
图4示出了根据本公开实施例的移动终端、数据摆渡中心和接入网关之间的加密机制。
图5示出了根据本公开又一实施例的通信系统。
图6示出了根据本公开实施例的将移动终端的数据包摆渡到接入网关的流程图。
图7示出了根据本公开实施例的从移动终端传输的数据包的格式的示意图。
图8示出了用于实现本发明的实施例的电子设备的结构示意图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。这里使用的词语“一”、“一个(种)”和“该”等也应包括“多个”、“多种”的意思,除非上下文另外明确指出。此外,在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
图1A和图1B示出了现有技术的从外网接入到内网的连接技术,其中外网和内网由企业防火墙隔开。常见的安全接入方式主要包括:
·图1A所示的外部网络直接连接内网:在企业内网防火墙103上开放映射端口,允许移动设备101从公网直接连接内网服务器102;
·图1B的通过接入网关跳转:接入网关104常常部署在隔离区(demilitarizedzone:DMZ),起到认证用户身份、隔离非法请求的作用。例如,可以在DMZ区部署专用堡垒机、专用转发服务器(未示出),或者在DMZ区部署IPSec VPN/SSL VPN等通用网关。
然而,现有的内网接入方案无论是直接连接的方式还是IPSec等接入网关的方式,提出了这些要求
(1)开放防火墙端口,设定防火墙访问规则;
(2)调整现有的网络架构适应接入网关的要求;
(3)暴露外网地址。
这些方案有以下缺点:在公网暴露内网服务或者控制器,带来复杂性和安全风险;以及,随着企业等移动化应用数量增加和使用人数的扩大,迅速带来维护扩容成本和难度。为了解决或至少缓解上述问题,提出了本公开的技术。
图2示出了根据本公开实施例的通信系统200,其基于反向接入和中间数据摆渡的方式实现了移动终端201对内网服务器202的接入。在移动终端201和内网服务器202的路由路径上,增加了网络中心205作为数据摆渡方。该网络中心205位于外网,如互联网。而且,在从移动终端201到网络中心205,以及从网络中心205到内网服务器202的路由路径上,使用网络中心205分配给内网服务器202的标识符,因此隐藏了内网服务器202的地址信息,具有更好的安全性。
具体地,移动终端201作为接入通信的发起方,网络中心205作为移动终端201与接入网关204之间的数据摆渡方;接入网关204作为移动终端201接入数据的接收方,代理转发数据给内网服务器202;内网服务器202作为移动终端201接入访问的服务器。
如图2所示,区别于现有通常做法,移动终端201并不直接访问作为接入网关204,移动终端201连接到网络中心205。这时,区别于通常做法,作为通信代理方的接入网关204并不接收任何外部连接,接入网关204反向连接到网路中心205。网络中心205将移动终端201的数据摆渡给接入网关204;反之亦然,也可以将内网服务器202的数据从接入网关204摆渡到移动终端201(图2未示出该箭头方向)。从而实现移动终端201与内网服务器202间的数据通信。移动终端201与接入网关204不存在直接链路。
这里,总体上呈现了一种反向接入或反向代理技术。在前向接入技术中,服务器向移动终端传输数据,但只知道与移动终端对应的代理的IP地址而不知道客户端的IP地址。与此不同,反向接入是作为服务器端的代理使用,而不是客户端。移动终端通过反向代理访向内网的内部服务器,只能看到反向代理的IP地址和端口号,内部服务器对于外部网络来说是完全不可见。反向代理上没有保存任何的信息资源,所有数据都保存在内部服务器上,对反向代理的攻击并不能使真的内网信息系统受到破坏,这就提高了内部服务器的安全性。就本发明来说,引入了网络中心205作为反向代理,移动终端201只能向网络中心205传输数据包,不知晓接入网关204和内网服务器202的具体路由(如IP地址和端口号)。
图3示出了根据本公开另一实施例的通信系统300。通信系统300包括移动终端301、接入网关302、网络中心303。网络中心303可以部署在诸如互联网的外网,并且接入网关302可以位于内网,连接到一个或多个内网服务器(未示出)。在通信系统300中,移动终端301和接入网关302经由网络中心303传输数据。
网络中心303可以包括激活中心304和数据摆渡中心305,激活中心可以包括一个或多个分布式部署的激活服务器(未示出),作为移动终端301、接入网关302是否允许连接网络中心303的控制中心;数据摆渡中心305可以包括数据摆渡服务器、连接到移动终端的摆渡前置网关和连接到接入网关的摆渡后置网关,下文将详述。这里,图3的虚线框表示网路中心可以是分布式部署的,即,激活中心304(或若干个激活服务器)和数据摆渡中心305可以是地理位置上彼此远离的。
数据摆渡中心305用于摆渡移动终端301、接入网关302的数据。因此,数据摆渡中心305具有如下功能:移动终端301、接入网关302分别与数据摆渡中心305有网络连接存在;数据摆渡中心305保持移动终端301与接入网关302的对应关系;为了数据安全,移动终端301、接入网关302与数据摆渡中心305的数据传输需要加密。
激活中心304可以用于实现上述功能。激活中心304控制移动终端301、接入网关302是否有权访问数据摆渡中心305和建立连接。例如,接入网关302可以连接到激活中心304,用证书表明身份,在通过验证后,向激活中心304提供允许与该接入网关通信的移动终端的编码(pincode)。也就是说,为了提高安全性,接入网关302可以限制允许与其通信的移动终端,使得仅指定的移动终端(例如,白名单)能够与接入网关302的内网服务器通信。移动终端的编码可以是移动终端号码(如手机号)的hash值。
在一个实施例中,接入网关302向激活中心304的激活服务器发送激活请求,激活请求可以包括接入网关的证书和移动终端编码的列表。在接收到接入网关302的激活请求后,激活中心304验证接入网关302的合法性,验证通过后为接入网关302分配标识(HostID)作为该接入网关302在网络中心303的唯一识别符。
然后,移动终端301可以向激活中心304的激活服务器发送激活请求,激活请求可以包括该移动终端的编码和其想要接入的接入网关名。在接收到移动终端301的激活请求后,激活中心304可以将该移动终端的编码与从相应接入网关302接收到的移动终端编码的列表进行比对,以确定是否允许该移动终端301与接入网关302通信。如果在移动终端编码的列表中查找到移动终端301的编码,则同意该激活请求,并且为移动终端301分配标识(Host ID),作为该移动终端301在网络中心303的唯一识别符。
在此基础上,激活中心304可以创建移动移动终端301和接入网关302的关联表。该关联表包括激活中心304分配给移动终端301和接入网关302的标识之间的对应关系,并且可以以安全方式同步到数据摆渡中心304或共享。激活中心304可以管理该关联表,例如,包括添加、删除、修改。
激活中心304还可以向接入网关302提供网络中心的网关列表(如下文描述的摆渡后置网关,其可以形成为集群)和连接这些网关的策略。例如,接入网关302可以定期更新与其连接的网络中心的网关,从而更好地隐藏自己的网络地址。类似地,激活中心304还可以向移动终端301提供网络中心的网关列表(如下文描述的摆渡前置网关,其可以形成为集群)和连接这些网关的策略。例如,移动终端301可以定期更新与其连接的网络中心的网关,从而更好地隐藏从移动终端到接入网关的路由。网络列表和连接策略可以从激活中心提供到数据摆渡中心305,从而数据摆渡中心305确定与移动终端、接入网关连接的网络中心的网关。
另外,在激活过程中,激活中心304可以向数据摆渡中心305(或其网关)提供移动终端301的标识及其路由信息、接入网关302的标识及其路由信息。这些信息将用于后续由数据摆渡中心305在移动终端301和接入网关302之间摆渡数据。
激活中心304还可以分配移动终端301、接入网关302分别访问数据摆渡中心305的密钥(Key),并与数据摆渡中心305保持同步。例如,激活中心304为移动终端301分配第一密钥,该第一密钥用于数据摆渡中心305和移动终端301之间的加密通信。激活中心304为接入网关302分配第二密钥,该第二密钥用于数据摆渡中心305和接入网关302之间的加密通信。分配第一密钥和第二密钥的方法可以是例如基于RSA或ECDH的密钥交换算法。另外,激活中心304还可以促进移动终端301和接入网关302协商密文密钥,密文密钥用于加密移动终端和接入网关之间的应用数据,使得对数据摆渡中心305不机密和不可见,以下将详述第一密钥、第二密钥以及密文密钥的使用。
图4示出了根据本公开实施例的移动终端、数据摆渡中心和接入网关之间的加密机制。数据摆渡中心403用作移动终端401和接入网关402之间的数据摆渡方,可能是不可信的。因此,移动终端401和接入网关402之间传输的有效载荷数据对其应该是透明的、机密的。为此,在数据摆渡过程中采用了双层加密机制。
所示的层1(L1)是接入层,承载协议可以为UDP。即,图3说明中提到的移动终端、接入网关分别与数据摆渡中心有网络连接存在。根据本公开实施例,激活中心为移动终端401分配第一密钥,第一密钥用于移动终端和数据摆渡中心403之间连接的层1加密。另外,激活中心为接入网关402分配第二密钥,第二密钥用于接入网关402和数据摆渡中心403之间连接的层1加密.
根据本公开实施例,在层1的基础上,还增加层2(L2)作为层1的数据层。层2可以由移动终端401基于层1向接入网关402激活,与接入网关402协商层2使用的密钥,即密文密钥。移动终端401在发送、接收层2数据时使用该密文密钥加密、解密,接入网关402采取同样机制,这保证了数据摆渡过程中的数据安全性。需要说明是,尽管层2加密通信的密文密钥可能是经由数据摆渡中心403的连接进行协商的,但密文密钥对数据摆渡中心403来说机密的。因此,即使移动终端401和接入网关402的有效载荷数据路由经过了数据摆渡中心403,有效载荷数据对数据摆渡中心来说是机密且不可见的。
图5示出了根据本公开又一实施例的通信系统500。类似地,通信系统500包括移动终端501、接入网关502、网络中心503,其中,网络中心503包括激活中心504和数据摆渡中心505。如图所示,数据摆渡中心505包括摆渡前置网关506、数据摆渡服务器507和摆渡后置网关508,其中,摆渡前置网关506作为移动终端501接入数据摆渡中心505的网关,摆渡后置网关508作为接入网关502接入数据摆渡中心505的网关。
摆渡前置网关506、摆渡后置网关508负责协议验证、数据加密、数据解密,从而对非法数据进行拦截、过滤,保护数据摆渡服务器507。例如,摆渡前置网关506可以配置有认证移动终端的标识的列表,当摆渡前置网关506接收到非认证移动终端的数据包时,可以直接拒绝和丢弃该数据包。
数据摆渡服务器507负责具体的数据摆渡,从移动终端501和接入网关502接收数据包,并发送到对端。摆渡前置网关506、摆渡后置网关508与数据摆渡服务器507可以采用不同于移动终端501、接入网关502与前后端网关的通信协议。例如,可以在数据摆渡服务器507与前后网关506、508之间采用TCP协议,在移动终端506和接入网关502与前后网关506、508之间采用UDP协议,不限于此。
尽管图5框图方式示出了一个摆渡前置网关、一个数据摆渡服务器和一个摆渡后置网关,但是它们的数目可以多个,数据摆渡中心505包括可以包括M个前置网关、N个后置网关、K个数据摆渡服务器,形成前置网关集群、后置网关集群和数据摆渡服务器集群。这是,数据包在数据摆渡中心503内的路由路径可以高达M×N×L个,这样可以更好地隐藏路由信息。
另外,在激活过程中,激活中心504可以向摆渡前置网关506提供移动终端501的标识及其路由信息、向摆渡后置网关508提供接入网关502及其路由信息,以及向数据摆渡服务器507提供移动终端501和前置接入网关502的对应关系、接入网关502和摆渡后置网关508的对应关系。这些信息被保持,用于在移动终端501和接入网关502之间摆渡数据。
图6示出了根据本公开实施例的将移动终端的数据包摆渡到接入网关的流程图。如图6所示,数据包1从移动终端601发出,依次经由摆渡前置网关606、数据摆渡服务器607和摆渡后置网关608,被发送到接入网关602。
具体地,数据包1基于移动终端601与摆渡前置网关606的UDP协议进行传输,数据包1包括层1、层2、应用数据(即,有效载荷数据)。应用数据首先进行了层2的加密,即,使用移动终端601和接入网关602之间的密文密钥加密,然后再进行层1的加密,即,使用移动终端601和数据摆渡中心之间的第一密钥,对层2和应用数据进一步加密,形成数据包1
数据包2基于摆渡前置网关606与数据摆渡服务器607的TCP协议进行传输。数据包2由摆渡前置网关606用第一密钥解密数据包1,去除层1,并且进行TCP协议封装而形成。
数据包3基于数据摆渡服务器607与摆渡后置网关608的TCP协议进行传输。数据包3与数据包2保持一致,其中数据摆渡服务器607根据其保持的接入网关602标识和摆渡后置网关608的对应关系,确定数据包2将被发送的摆渡后置网关608,并发送。
数据包4基于摆渡后置网关608与接入网关602的UDP协议进行传输。数据包4包括层1、层2、应用数据。摆渡后置网关608使用接入网关602和数据摆渡中心之间的第二密钥加密数据包3,增加层1,形成数据包4。
这里,在数据摆渡中心的外部和内部使用了不同的协议栈,可以将对数据摆渡中心的UDP攻击,终止在摆渡前置网关,攻击无法向接入网关及内网蔓延,进而保护内网安全。
图7示出了根据本公开实施例的从移动终端传输的数据包的格式的示意图。
图7的最左侧列C1示出了数据包的构成,数据包1包括UDP首部(UDP Header)、L1首部(L1 Header)及其报文(Datagram)、L2首部(L2 Header)及其报文、以及应用数据(Application Data)。列C2-C4更详细说明了数据包1各部分的具体内容,列C5-C6说明了加密属性。例如,列C3和C4说明了L1首部包括加密部分(Encrypted)和公开部分(PublicHeader),L2首部也包括加密部分(Encrypted)和公开部分(Public Header)。这里,L1首部和L2首部分别包括连接ID(ConnectionID),这两个连接ID可用于确定移动终端和接入网关的数据摆渡中心中的标识,以便将数据包从摆渡前置网关路由到摆渡后置网关,下面将详述。
列C5揭示了层2加密部分(L2 Cipher payload),即,使用移动终端和接入网关之间的密文密钥加密的部分,包括Application Data、Datagram、L2 Header的加密部分,这部分内容对于数据摆渡中心来说是机密的。C6揭示了L1加密部分(L1 Cipher Payload),即,使用移动终端和数据摆渡中心之间的第一密钥加密的部分,包括L2加密部分、Datagram、L2Header的公开部分和L1 Header的加密部分,这部分内容对于数据摆渡中心来说是可见和可用的。
以下结合图6和图7更详细地描述从移动终端向接入网关传输数据包,以及数据包在流程中被处理的过程。
首先,移动终端601按照UDP协议向摆渡前置网关606发送数据包1,移动终端601向数据包1的UDP Header中指出了源IP地址和端口(Source IP/Port)、目的地IP地址和端口(Dest IP/Port)、数据长(Data Length)和校验和(Checksum)。根据目的地IP地址和端口,数据包1按照UDP协议从移动终端601被发送到相应的摆渡前置网关606。
当摆渡前置网关606接收到数据包1后,可以从L1首部提取连接标识(ConnectionID),称为L1连接标识,该L1连接标识可以用于导出移动终端601的标识(HostID)。例如,移动终端标识可以是L1连接标识的一部分,比如,充填在连接标识的指定位。然而,本领域技术人员应理解,从连接标识导出移动终端标识的方式不限于此。如上所述,在移动终端和接入网关的激活过程中,激活中心可以向摆渡前置网关可以向摆渡前置网关606提供移动终端601的标识及其路由信息、向摆渡后置网关608提供接入网关602及其路由信息。如果从L1连接标识导出的移动终端601的标识是未激活的,例如,不是激活中心提供的移动终端标识,则摆渡前置网关606可以直接拒绝数据包,结束流程。
然后,摆渡前置网关606可以使用移动终端601和数据摆渡中心之间的第一密钥解密数据包1,去除层1,按照TCP协议向数据摆渡服务器607发送数据包2。由于数据包1已经去除了层1的加密,所以数据摆渡中心607可以获取L2首部中的连接标识(ConnectionID),称为L2连接标识,该L2连接标识可以用于导出接入网关603的标识(HostID)。例如,L2连接标识的指定位可以由接入网关603的标识填充的,或者L2连接标识可以由移动网关601的标识和接入网关603的标识计算得到,如异或运算。由此,数据摆渡中心607可以获得作为数据包1目的地的接入网关603的标识。
另外,数据摆渡中心607也可以获得移动设备601的标识,用于判断是否继续传输数据包。如上所述,在激活过程中,创建了移动终端和接入网关的关联表,其中包括激活中心分配给移动终端和接入网关的标识之间的对应关系。因此,数据摆渡服务器607可以保持移动终端标识和接入网关标识的对应关系,并且可以根据移动设备601的标识和接入网关602的标识是否满足该对应关系来确定是否继续传输数据包。如果不满足对应关系,拒绝数据包2或不处理;如果满足对应关系,数据摆渡中心607可以确定与接入网关602对应的摆渡后置网关608。
具体地,如上所述,在激活过程中,激活中心向数据摆渡服务器607提供了移动终端601和前置接入网关602的对应关系、接入网关602和后置接入网关608的对应关系。因此,数据摆渡中心507保持该对应关系,并且可以基于从数据包2导出的接入网关603的标识,确定与该接入网关602对应的后置接入网关608,以便经由该后置网关608进一步传输数据包。
然后,数据摆渡中心607向所确定的后置接入网关608发送数据包3,与数据包2一致,数据包3也是按照TCP协议发送,包括对数据摆渡服务器607机密的应用数据和层2加密部分。
摆渡后置网关608在接收到数据包3后,使用第二密钥,即数据摆渡中心和接入网关之间的密钥进行加密,在数据包3的基础上进一步增加层1,形成数据包4。然后,基于保持的接入网关602的标识及其路由信息,按照UDP协议向接入网关602发送数据包4。
与图6所述的过程类似,可以从接入网关602向移动终端601摆渡数据包。
由上可见,移动终端和接入网关的网络地址、端口信息,只能在L1层连接可见,移动终端与摆渡前置网关连接、接入网关与摆渡后置网关的连接包含这些信息。然而,移动终端与接入网关间的连接信息只包含连接标识(Connection ID),并不包含实际目标接入网关的实际地址、端口信息等,反之亦然。这样即使移动终端被攻破,也无法获知内网接入网关的位置,而且,由于在数据摆渡中心内仅使用激活中心分配的标识(HostID)来识别移动设备和接入网关并确定路由,因此,也无法追踪移动终端访问内网服务器的网络路由。
本发明通过反向接入、数据摆渡的方式来实现移动终端接入到企业内网以及移动终端和企业内网之间的通信传输。根据本发明,不需要企业内网开设任何对外端口及防火墙,降低了安全风险,不必调整现在网络架构,减少了接入成本。同时,本发明在数据摆渡过程中通过双层加密结合保证了通信安全,使得有效载荷数据对网络中心也是不可见;数据摆渡中心机制保证了无法追踪移动终端访问内网服务器的网络路由,隐藏了内网位置。
图8示出了用于实现本发明的实施例的电子设备的结构示意图。如图8所示,电子设备800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行各种适当的动作和处理。在RAM 803中,还存储有电子设备800操作所需的各种程序和数据。CPU 801、ROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
以下部件连接至I/O接口805:包括键盘、鼠标等的输入部分806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807;包括硬盘等的存储部分808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,包括承载指令的在计算机可读介质,在这样的实施例中,该指令可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。在该指令被中央处理单元(CPU)801执行时,执行本发明中描述的各个方法步骤。
尽管已经描述了示例实施例,但是对于本领域技术人员来说显而易见的是,在不脱离本发明构思的精神和范围的情况下,可以进行各种改变和修改。因此,应当理解,上述示例实施例不是限制性的,而是说明性的。
Claims (10)
1.一种数据摆渡装置,包括:
第一网关;
第二网关;以及
数据摆渡服务器;其中
所述第一网关被配置为接收来自第一设备的第一数据包,所述第一数据包包括第一设备标识、经第一密钥加密的第二设备标识和经密文密钥加密的有效载荷数据,
使用第一密钥解密所述第一数据包,以获得所述第二设备标识;以及
向所述数据摆渡服务器发送包括所述第二设备标识和所述有效载荷数据的第二数据包;
所述数据摆渡服务器被配置为基于所述第二设备标识确定第二网关;以及
向所确定的第二网关发送包括所述第二设备标识和所述有效载荷数据的第三数据包;
所述第二网关被配置为使用第二密钥向所述第二设备加密发送包括所述有效载荷数据的第四数据包。
2.如权利要求1所述的数据摆渡装置,其中,所述第一密钥是所述第一设备和所述数据摆渡装置之间的密钥,所述第二密钥是所述第二设备和所述数据摆渡装置之间的密钥,所述密文密钥是所述第一设备和所述第二设备之间的密钥。
3.如权利要求1所述的数据摆渡装置,其中,所述第一数据包和所述第四数据包基于第一通信协议传输,所述第二数据包和所述第三数据包基于第二通信协议传输。
4.如权利要求1所述的数据摆渡装置,还包括激活服务器,所述激活服务器被配置为分别向所述第一设备和所述第二设备分配所述第一设备标识和所述第二设备标识,以及与所述第一设备协商所述第一密钥,与所述第二设备协商所述第二密钥,以及促进所述第一设备和所述第二设备协商所述密文密钥。
5.如权利要求4所述的数据摆渡装置,所述激活服务器还被配置为:
当接收到所述第二设备的激活请求时,向所述第二设备分配所述第二设备标识;
接收和保存由所述第二设备提供的允许与所述第二设备通信的第一设备的编码;
当接收到第一设备的激活请求时,检查所述第一设备的编码是否被包括在所述第二设备提供的编码中;
如果是,向所述第一设备分配所述第一设备标识;以及
保存所述第一设备标识和所述第二设备标识之间的对应关系,并同步到所述数据摆渡服务器。
6.如权利要求4所述的数据摆渡装置,其中,
所述激活服务器还被配置为向所述第一设备提供第一网关列表和连接策略,以及向所述第二设备提供第二网关列表和连接策略,并同步到所述数据摆渡服务器;
所述数据摆渡服务器还被配置为基于所述第一网关列表和连接策略,确定所述第一设备标识和所述第一网关的对应关系;以及
基于所述第二网关列表和连接策略,确定所述第二设备标识和所述第二网关的对应关系。
7.如权利要求4所述的数据摆渡装置,其中,
所述激活服务器还被配置为向所述第一网关提供第一设备标识列表,
所述第一网关还被配置为如果所述第一数据包中的第一设备标识不在所述第一设备标识列表中,拒绝所述第一数据包。
8.一种用于数据摆渡装置的方法,所述数据摆渡装置包括第一网关、第二网关和数据摆渡服务器,所述方法包括:
在第一网关处接收来自第一设备的第一数据包,所述第一数据包包括第一设备标识、经第一密钥加密的第二设备标识和经密文密钥加密的有效载荷数据;
使用第一密钥解密所述第一数据包,以获得所述第二设备标识;
向所述数据摆渡服务器发送包括所述第二设备标识和所述有效载荷数据的第二数据包;
基于所述第二设备标识确定第二网关;
向所确定的第二网关发送包括所述第二设备标识和所述有效载荷数据的第三数据包;以及
在所述第二网关处使用第二密钥向所述第二设备加密发送包括所述有效载荷数据的第四数据包。
9.一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,所述一个或多个程序在被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求8所述的方法。
10.一种计算机可读存储介质,其上存储有可执行指令,所述可执行指令被处理器执行时使得所述处理器执行如权利要求8所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910910472.3A CN110662218B (zh) | 2019-09-25 | 2019-09-25 | 数据摆渡装置及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910910472.3A CN110662218B (zh) | 2019-09-25 | 2019-09-25 | 数据摆渡装置及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110662218A true CN110662218A (zh) | 2020-01-07 |
| CN110662218B CN110662218B (zh) | 2021-06-08 |
Family
ID=69039160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910910472.3A Active CN110662218B (zh) | 2019-09-25 | 2019-09-25 | 数据摆渡装置及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110662218B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111447061A (zh) * | 2020-04-21 | 2020-07-24 | 南京珥仁科技有限公司 | 用于档案数据摆渡的数据防泄密和数据可信验证方法 |
| CN116094828A (zh) * | 2023-02-14 | 2023-05-09 | 深圳市利谱信息技术有限公司 | 一种基于物理隔离的动态协议网关系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895525A (zh) * | 2009-05-22 | 2010-11-24 | 华为技术有限公司 | 一种多接入的数据连接管理方法、系统及相关设备 |
| CN102231702A (zh) * | 2011-06-23 | 2011-11-02 | 中国人民解放军国防科学技术大学 | 一种跨公共网络的标识网络间的端到端的通信方法和系统 |
| JP2015023578A (ja) * | 2013-07-17 | 2015-02-02 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | 無線通信システムにおける保安データ伝送装置および方法 |
| CN105721509A (zh) * | 2016-04-28 | 2016-06-29 | 上海趣医网络科技有限公司 | 一种服务器系统 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN105808987A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种移动数据交互方法及设备 |
| CN105897711A (zh) * | 2016-04-07 | 2016-08-24 | 周文奇 | 一种将工业控制系统与管理网络进行隔离的系统 |
| CN106789874A (zh) * | 2016-11-11 | 2017-05-31 | 浙江中烟工业有限责任公司 | 一种基于主机虚拟化技术实现网络协议隔离的方法 |
| CN107666386A (zh) * | 2016-07-27 | 2018-02-06 | 复凌科技(上海)有限公司 | 一种数据安全传输方法及装置 |
| CN107800722A (zh) * | 2017-12-05 | 2018-03-13 | 英赛克科技(北京)有限公司 | 隔离工控设备与外部网络服务器的方法及装置 |
| CN108063751A (zh) * | 2017-10-20 | 2018-05-22 | 国网宁夏电力有限公司 | 一种用于新能源电厂的公网安全接入方法 |
| CN108109625A (zh) * | 2017-12-21 | 2018-06-01 | 北京华夏电通科技有限公司 | 手机语音识别内外网传输系统及方法 |
| CN108900540A (zh) * | 2018-08-10 | 2018-11-27 | 南方电网科学研究院有限责任公司 | 一种基于双重加密的配电终端的业务数据处理方法 |
| CN109818956A (zh) * | 2019-01-22 | 2019-05-28 | 武汉光谷信息技术股份有限公司 | 一种内外网数据共享系统及方法 |
-
2019
- 2019-09-25 CN CN201910910472.3A patent/CN110662218B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895525A (zh) * | 2009-05-22 | 2010-11-24 | 华为技术有限公司 | 一种多接入的数据连接管理方法、系统及相关设备 |
| CN102231702A (zh) * | 2011-06-23 | 2011-11-02 | 中国人民解放军国防科学技术大学 | 一种跨公共网络的标识网络间的端到端的通信方法和系统 |
| JP2015023578A (ja) * | 2013-07-17 | 2015-02-02 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | 無線通信システムにおける保安データ伝送装置および方法 |
| CN105808987A (zh) * | 2014-12-30 | 2016-07-27 | 中国移动通信集团公司 | 一种移动数据交互方法及设备 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN105897711A (zh) * | 2016-04-07 | 2016-08-24 | 周文奇 | 一种将工业控制系统与管理网络进行隔离的系统 |
| CN105721509A (zh) * | 2016-04-28 | 2016-06-29 | 上海趣医网络科技有限公司 | 一种服务器系统 |
| CN107666386A (zh) * | 2016-07-27 | 2018-02-06 | 复凌科技(上海)有限公司 | 一种数据安全传输方法及装置 |
| CN106789874A (zh) * | 2016-11-11 | 2017-05-31 | 浙江中烟工业有限责任公司 | 一种基于主机虚拟化技术实现网络协议隔离的方法 |
| CN108063751A (zh) * | 2017-10-20 | 2018-05-22 | 国网宁夏电力有限公司 | 一种用于新能源电厂的公网安全接入方法 |
| CN107800722A (zh) * | 2017-12-05 | 2018-03-13 | 英赛克科技(北京)有限公司 | 隔离工控设备与外部网络服务器的方法及装置 |
| CN108109625A (zh) * | 2017-12-21 | 2018-06-01 | 北京华夏电通科技有限公司 | 手机语音识别内外网传输系统及方法 |
| CN108900540A (zh) * | 2018-08-10 | 2018-11-27 | 南方电网科学研究院有限责任公司 | 一种基于双重加密的配电终端的业务数据处理方法 |
| CN109818956A (zh) * | 2019-01-22 | 2019-05-28 | 武汉光谷信息技术股份有限公司 | 一种内外网数据共享系统及方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111447061A (zh) * | 2020-04-21 | 2020-07-24 | 南京珥仁科技有限公司 | 用于档案数据摆渡的数据防泄密和数据可信验证方法 |
| CN111447061B (zh) * | 2020-04-21 | 2020-11-17 | 南京珥仁科技有限公司 | 用于档案数据摆渡的数据防泄密和数据可信验证方法 |
| CN116094828A (zh) * | 2023-02-14 | 2023-05-09 | 深圳市利谱信息技术有限公司 | 一种基于物理隔离的动态协议网关系统 |
| CN116094828B (zh) * | 2023-02-14 | 2023-11-17 | 深圳市利谱信息技术有限公司 | 一种基于物理隔离的动态协议网关系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110662218B (zh) | 2021-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9654453B2 (en) | Symmetric key distribution framework for the Internet | |
| US7774837B2 (en) | Securing network traffic by distributing policies in a hierarchy over secure tunnels | |
| US7386881B2 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
| US7346770B2 (en) | Method and apparatus for traversing a translation device with a security protocol | |
| US20200389437A1 (en) | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter | |
| US8752162B2 (en) | Secure sharing of transport layer security session keys with trusted enforcement points | |
| US6996842B2 (en) | Processing internet protocol security traffic | |
| US8082574B2 (en) | Enforcing security groups in network of data processors | |
| US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
| US20060182103A1 (en) | System and method for routing network messages | |
| EP1396979A2 (en) | System and method for secure group communications | |
| US11277381B2 (en) | Multi-channel based just-in-time firewall control | |
| CA2327531A1 (en) | Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same | |
| US9444807B2 (en) | Secure non-geospatially derived device presence information | |
| CN104272674A (zh) | 多隧道虚拟专用网络 | |
| US11539747B2 (en) | Secure communication session resumption in a service function chain | |
| US20080072280A1 (en) | Method and system to control access to a secure asset via an electronic communications network | |
| US20100031337A1 (en) | Methods and systems for distributed security processing | |
| KR100839941B1 (ko) | IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법 | |
| CN110662218B (zh) | 数据摆渡装置及其方法 | |
| US10158610B2 (en) | Secure application communication system | |
| JP2001022665A (ja) | ソフトウェアコンポーネント間の通信のセキュリティを確保できる情報処理システム | |
| US20080222693A1 (en) | Multiple security groups with common keys on distributed networks | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| KR20150060050A (ko) | 네트워크 장치 및 네트워크 장치의 터널 형성 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |