CN110784489A - 安全通信系统及其方法 - Google Patents
安全通信系统及其方法 Download PDFInfo
- Publication number
- CN110784489A CN110784489A CN201911098254.0A CN201911098254A CN110784489A CN 110784489 A CN110784489 A CN 110784489A CN 201911098254 A CN201911098254 A CN 201911098254A CN 110784489 A CN110784489 A CN 110784489A
- Authority
- CN
- China
- Prior art keywords
- gateway
- relay server
- terminal
- target relay
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000004891 communication Methods 0.000 title claims abstract description 49
- 230000004044 response Effects 0.000 claims abstract description 7
- 238000013507 mapping Methods 0.000 claims description 84
- 230000008569 process Effects 0.000 abstract description 18
- 230000005540 biological transmission Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Abstract
本公开实施例提供一种安全通信系统及其方法,涉及通信技术领域,用以解决外网设备在访问内部的服务和资源的过程中,出现安全性较低的问题。本方案为:第一注册中心被配置为响应于接收到网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息;目标中继服务器被配置为响应于接收到网关发送的会话连接请求,建立目标中间服务器与网关的网关侧会话连接;第二注册中心被配置为响应于接收到终端发送的包括网关标识的接入请求,确定与网关标识对应的目标中继服务器地址,并向终端返回包括目标中继服务器地址的回复消息;目标中继服务器还被配置为响应于接收到终端发送的会话连接请求,建立目标中继服务器与终端的终端侧会话连接。
Description
技术领域
本公开涉及通信技术领域,具体地,涉及一种安全通信系统及其方法。
背景技术
随着移动互联网的发展,原先的计算机网络业务逐渐被迁移到移动互联网的终端上,例如邮件、即时信息、浏览器、多媒体播放器等。用户可以使用移动设备访问防火墙内的局域网上的服务和资源,企业员工能够随时随地访问公司内网,个人用户可以随时访问家庭网络、车载设备。
外网设备要访问局域网内部的服务和资源,必须要外网设备知道到达该局域网设备的路径,也就是路由,而且内部局域网的防火墙要允许外部IP地址访问内网设备和资源才可以,否则也是无法访问的。然而,防火墙允许外部地址访问会暴露局域网的服务和资源,大大降低内部局域网的安全性。而目前通过端口映射、VPN、专线等技术实现外网对内网的访问。由于VPN和专线技术部署复杂,价格昂贵使得外网设备访问内部的服务和资源的成本较高。
外网设备在访问内部的服务和资源的过程中,突出的问题是需要保证访问过程中的安全、可靠。
发明内容
有鉴于此,本公开实施例的目的在于提供一种安全通信系统及其方法,用以解决外网设备在访问内部的服务和资源的过程中,出现安全性较低的问题。
根据本公开的第一方面,提供了一种安全通信系统,包括:由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心;其中:所述第一注册中心,被配置为响应于接收到网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;所述目标中继服务器,被配置为响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;所述第二注册中心,被配置为响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及所述目标中继服务器,还被配置为响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
在一个可能的实施例中,所述目标中继服务器还被配置为使用所述第一映射表和所述第二映射表,经由所述终端侧会话连接和所述网关侧会话连接在所述终端和所述网关之间传输消息。
在一个可能的实施例中,所述第二注册中心还被配置为:从所述第一注册中心或所述目标中继服务器接收网关和目标中继服务器的对应关系,并且存储到所述网关信息表。
在一个可能的实施例中,所述目标中继服务器还被配置为:协商确定所述目标中继服务器和所述网关之间的第一密钥;协商确定所述目标中继服务器和所述终端之间的第二密钥;以及促进协商确定所述终端和所述网关之间的第三密钥。
在一个可能的实施例中,所述网关还被配置为:向所述第一注册中心或所述目标中继服务器提供其授权访问的授权终端列表,并且所述授权终端列表被存储到所述第二注册中心的网关信息表;以及所述第二注册中心还被配置为:若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,拒绝所述接入请求。
根据本公开的第二方面,提供一种安全通信系统,包括:由多个中继服务器组成的服务器集群以及控制中心;其中:所述服务器集群中的任意一个中继服务器,被配置为响应于接收到的网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;所述目标中继服务器,被配置为响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;所述控制中心,被配置为响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及所述目标中继服务器,还被配置为响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
在一个可能的实施例中,其中,所述目标中继服务器还被配置为使用所述第一映射表和所述第二映射表,经由所述终端侧会话连接和所述网关侧会话连接在所述终端和所述网关之间传输消息。
在一个可能的实施例中,所述控制中心还被配置为:从所述目标中继服务器接收网关标识和目标中继服务器地址的对应关系,并存储到所述网关信息表。
在一个可能的实施例中,所述目标中继服务器还被配置为:协商确定所述目标中继服务器和所述网关之间的第一密钥;协商确定所述目标中继服务器和所述终端之间的第二密钥;以及促进协商确定所述终端和所述网关之间的第三密钥。
在一个可能的实施例中,所述网关还被配置为:向所述目标中继服务器提供其授权访问的授权终端列表,并且所述授权终端列表被存储到所述控制中心的网关信息表;以及所述控制中心还被配置为:若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,拒绝所述接入请求。
根据本公开的第三方面,提供一种用于安全通信系统的方法,所述系统包括由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心,所述方法包括:
所述第一注册中心,响应于接收到网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;
所述目标中继服务器,响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;
所述第二注册中心,响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及所述目标中继服务器,响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
在一个可能的实施例中,所述方法还包括:所述目标中继服务器使用所述第一映射表和所述第二映射表,经由所述终端侧会话连接和所述网关侧会话连接在所述终端和所述网关之间传输消息。
在一个可能的实施例中,所述方法还包括:所述第二注册中心从所述第一注册中心或所述目标中继服务器接收网关标识和目标中继服务器地址的对应关系,并存储到所述网关信息表。
在一个可能的实施例中,所述方法还包括:所述目标中继服务器协商确定所述目标中继服务器和所述网关之间的第一密钥;协商确定所述目标中继服务器和所述终端之间的第二密钥;以及促进协商确定所述终端和所述网关之间的第三密钥。
在一个可能的实施例中,所述方法还包括:所述网关向所述第一注册中心或所述目标中继服务器提供其授权访问的授权终端列表,并且所述授权终端列表被存储到所述第二注册中心的网关信息表;以及若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,所述第二注册中心拒绝所述接入请求。
根据本公开的第四方面,提供一种用于安全通信系统的方法,所述系统包括:由多个中继服务器组成的服务器集群以及控制中心;所述方法包括:所述服务器集群中的任意一个中继服务器,响应于接收到的网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;所述目标中继服务器,响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;所述控制中心,响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及所述目标中继服务器,响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
在一个可能的实施例中,所述方法还包括:所述目标中继服务器使用所述第一映射表和所述第二映射表,经由所述终端侧会话连接和所述网关侧会话连接在所述终端和所述网关之间传输消息。
在一个可能的实施例中,所述方法还包括:所述控制中心从所述目标中继服务器接收网关标识和目标中继服务器地址的对应关系,并存储到所述网关信息表。
在一个可能的实施例中,所述方法还包括:所述目标中继服务器协商确定所述目标中继服务器和所述网关之间的第一密钥;协商确定所述目标中继服务器和所述终端之间的第二密钥;以及促进协商确定所述终端和所述网关之间的第三密钥。
在一个可能的实施例中,所述方法还包括:所述网关向所述目标中继服务器提供其授权访问的授权终端列表,并且所述授权终端列表被存储到所述控制中心的网关信息表;以及若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,所述控制中心拒绝所述接入请求。
根据本公开的第五方面,提供了一种电子设备,包括处理器以及存储器,其中所述存储器存储有指令,所述指令在被执行时使得所述处理器执行如本公开的第三或第四方面所述的方法。
根据本公开的第六方面,提供了一种计算机可读存储介质,所述介质存储有指令,所述指令在被执行时实现如本公开的第三或第四方面所述的方法。
本公开实施例提供的安全通信系统及其方法,该安全通信系统包括:由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心,第一注册中心被配置为响应于接收到网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息,目标中继服务器是从服务器集群中选择的中继服务器;目标中继服务器,被配置为响应于接收到所述网关发送的会话连接请求,获取网关的网关标识和网关地址,创建包括网关标识和所述网关地址之间的对应关系的第一映射表,并建立目标中间服务器与网关的网关侧会话连接;这样能够通过接入网关实现反向连接,且通过第一注册中心在服务器集群中为接入网关分配中继服务器,使得该接入网关与中继服务器间建立动态的连接,从而提高网络安全性。第二注册中心被配置为响应于接收到终端发送的包括网关标识的接入请求,确定与网关标识对应的目标中继服务器地址,并向终端返回包括目标中继服务器地址的回复消息,网关信息表包括网关标识和目标中继服务器地址的对应关系;以及目标中继服务器,还被配置为响应于接收到终端发送的会话连接请求,获取终端的终端标识和终端地址,创建包括终端标识和终端地址之间的对应关系的第二映射表,并建立目标中继服务器与终端的终端侧会话连接;这样使得终端在发起访问接入网关的请求时,目标中继服务器能够根据第一映射表和第二映射表实现安全访问,从而提高终端访问内部服务和资源的安全性。
为使本公开实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对本公开实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开实施例提供的一种安全通信系统结构示意图;
图2示出了本公开实施例提供的又一种安全通信系统结构示意图;
图3示出了为本公开实施例提供的一种用于安全通信系统的方法的流程图;
图4示出了本公开实施例提供的又一种用于安全通信系统的方法的流程图;
图5示出了本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能或作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本文中术语“包括/包含”在本文使用时指特征、要素或组件的存在,但并不排除一个或更多个其它特征、要素或组件的存在或附加。
本公开实施例中提及的终端包括但不限于:计算机以及手持设备。本申请实施例对此不作任何限定。例如,手持设备可以是智能手机,计算机可以是个人数字助理(personal digital assistant,PDA)电脑、平板型电脑以及膝上型电脑(laptopcomputer)等。此外,所述终端可以有不同的名称,例如用户设备(user equipment,UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端以及移动设备等。
本公开实施例提供的安全通信系统,该安全通信系统包括:由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心,第一注册中心被配置为响应于接收到网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息,目标中继服务器是从服务器集群中选择的中继服务器;目标中继服务器,被配置为响应于接收到所述网关发送的会话连接请求,获取网关的网关标识和网关地址,创建包括网关标识和所述网关地址之间的对应关系的第一映射表,并建立目标中间服务器与网关的网关侧会话连接;这样能够通过接入网关实现反向连接,且通过第一注册中心在服务器集群中为接入网关分配中继服务器,使得该接入网关与中继服务器间建立动态的连接,从而提高网络安全性。第二注册中心被配置为响应于接收到终端发送的包括网关标识的接入请求,根据网关信息表确定与网关标识对应的目标中继服务器地址,并向终端返回包括目标中继服务器地址的回复消息,网关信息表包括网关标识和目标中继服务器地址的对应关系;以及目标中继服务器,还被配置为响应于接收到终端发送的会话连接请求,获取终端的终端标识和终端地址,创建包括终端标识和终端地址之间的对应关系的第二映射表,并建立目标中继服务器与终端的终端侧会话连接;这样使得终端在发起访问接入网关的请求时,目标中继服务器能够根据第一映射表和第二映射表实现安全访问,从而提高终端访问内部服务和资源的安全性。以下将结合附图来详细描述本公开的实施例及其优点。
如图1所示,为本公开实施例提供的一种安全通信系统结构示意图,包括由多个中继服务器组成的服务器集群11、第一注册中心12、以及第二注册中心13,其中:所述服务器集群11分别与第一注册中心12和第二注册中心13连接,此外,第一注册中心12可以连接多个网关,第二注册中心13可以连接多个终端。其中:
第一注册中心12,被配置为响应于接收到网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息,目标中继服务器是从服务器集群11中选择的中继服务器;目标中继服务器,被配置为响应于接收到网关发送的会话连接请求,获取网关的网关标识(ID)和网关地址,创建包括网关ID和网关地址之间的对应关系的第一映射表,并建立目标中间服务器与所述网关的网关侧会话连接;第二注册中心13,被配置为响应于接收到终端发送的包括网关ID的接入请求,根据网关信息表确定与网关ID对应的目标中继服务器地址,并向终端返回包括目标中继服务器地址的回复消息,网关信息表包括网关标识和目标中继服务器地址的对应关系;以及目标中继服务器,还被配置为响应于接收到终端发送的会话连接请求,获取终端的终端ID和终端地址,创建包括终端ID和终端地址之间的对应关系的第二映射表,并建立目标中继服务器与终端的终端侧会话连接。
示例性的,上述的第一注册中心12具体被配置为根据网关的地理位置以及中继服务器的地理位置、和/或服务器集群11中各中继服务器的资源占用情况确定目标中继服务器。该资源占用情况包括但不限于中继服务器的资源占用情况包括中继服务器的传输速率和/或带宽。例如,可以在服务器集群11中选择一个距离网关的地理位置最近的中继服务器作为目标中继服务器,也可以是在服务器集群11中选择一个传输速率最快或者剩余带宽最大的中继服务器作为目标中继服务器,还可以是在服务器集群11中选择一个距离网关的地理位置最近且传输速率最快/剩余带带宽最大的中继服务器作为目标中继服务器,这样使得选择的目标中继服务器在进行消息或数据传输的时候的速率能够最快,从而提升通信速度。
示例性的,上述的第一注册中心12还被配置为在其设备上运行用于分配目标服务器的算法程序,根据算法从服务器集群11中确定目标中继服务器。例如,将服务器集群11中每个中继服务器的配置信息(中继服务器ID)输入至第一注册中心12,第一注册中心12根据每个中继服务器ID利用其上运行的算法程序选择出其中的一个中继服务器ID,即为目标中继服务器,这里对于具体算法不进行限定,只要能够实现分配即可,可以是随机算法或其他算法。
本公开实施例中的第一注册中心每次在接收到网关发送的接入请求时,均会为网关分配一个目标中继服务器,使得第一注册中心为网关分配目标中继服务器的是一个动态变化的过程,而非静态不变的过程,从而增加通信的安全性,此外,该目标中继服务器是通过第一注册中心根据一定的筛选条件(例如,地理位置)或者分配算法(随机算法)从服务器集群中选择的中继服务器,由于服务器集群中存在多个中继服务器,因此每个中继服务器都有可能成为目标中继服务器,从而使得该目标中继服务器具有随机性,使得目标中服务器随着不同网关发起的连接请求而变化,进而也能够增加通信的安全性。
示例性的,上述的网关信息表包括网关ID和目标中继服务器地址间的对应关系,即不同的网关ID对应不同的目标中继服务器地址。其中网关ID可以用其设备上的唯一编码,而该目标中继服务器的地址可以为该目标中继服务器的媒体存取控制位址(MediaAccess Control Address:MAC)地址或者互联网协议(InternetProtocol:IP)地址。如下表1所示。该表1中仅以示例性的示出三个网关对应的目标中继服务器以表示网关ID和目标中继服务器地址间的对应关系,且该表1存储在第二注册中心。
表1
| 序号 | 网关ID | 目标中继服务器地址 |
| 1 | 866228039486750 | 11.168.36.9 |
| 2 | 866228039650220 | 112.168.36.2 |
| 3 | 866228039150291 | 90.168.36.5 |
示例性的,上述的第一映射表包括网关ID和网关地址间的对应关系,其中网关ID可以用其设备上的唯一编码,而该网关地址可以为该网关的MAC地址IP地址。如下表2所示。该表2中仅以示例性的示出三个网关以表示网关ID和网关地址间的对应关系,且该表2存储在目标中继服务器。
表2
| 序号 | 网关ID | 网关地址 |
| 1 | 866228039486750 | 80.168.36.1 |
| 2 | 866228039650220 | 120.168.36.3 |
| 3 | 866228039150291 | 90.168.36.4 |
示例性的,上述的第二映射表包括终端ID和终端地址间的对应关系,其中终端ID可以用其设备上的唯一编码,而该终端地址可以为该终端的MAC地址IP地址。如下表3所示。该表3中仅以示例性的示出三个终端以表示终端ID和终端地址间的对应关系,且该表2存储在目标中继服务器。
表3
| 序号 | 终端ID | 终端地址 |
| 1 | 866228039489816 | 11.168.0.170 |
| 2 | 866228039652141 | 132.168.0.171 |
| 3 | 866228039158986 | 205.168.0.172 |
需要说明的是上述的表1-表3中的网关ID、网关地址、目标中继服务器地址、终端ID以及终端地址仅仅是作为示例进行说明第一映射表、第二映射表以及网关信息表。其表1-3中的网关ID、网关地址、目标中继服务器地址、终端ID以及终端地址并非对应实际中的ID和地址。
可选的,目标中继服务器还被配置为使用第一映射表和第二映射表,经由终端侧会话连接和网关侧会话连接在终端和网关之间传输消息。示例性的,终端还被配置为向目标中继服务器发送包括要访问的网关ID的会话请求;目标服务器在第一映射表中查找该网关ID对应的网关地址,并将该会话请求发送至网关。
可选的,第二注册中心13还被配置为从第一注册中心或目标中继服务器接收网关和目标中继服务器的对应关系,并存储到网关信息表中。示例性的,在目标中继服务器与网关建立连接后,第二注册中心13还被配置为接收目标中继服务器发送的网关ID,并建立网关ID和目标中继服务器地址间的关系,形成网关信息表并存储。或者,在第一注册中心12向网关发送目标中继服务器地址时,第二注册中心13被配置为接收第一注册中心12发送的网关ID和目标中继服务器地址,并建立网关ID和目标中继服务器地址的关系,形成网关信息表并存储。
可选的,上述的目标中继服务器还被配置接收终端发送的由第二密钥加密的第一数据包,第一数据包包括终端ID、网关ID以及经第三密钥加密的有效荷载数据;使用第二密钥解密第一数据包,以获得网关ID,并在第一映射表中查找网关ID对应的网关地址;向网关发送由第一密钥加密的第二数据包,第二数据包包括目标中继服务器ID、网关地址以及经第三密钥加密的有效荷载数据。
示例性的,上述的第一密钥、第二密钥以及第三密钥可以是数字证书或加密密钥等,上述的第一密钥为网关与目标中继服务器间的密钥,在建立网关侧会话连接时协商确定;第二密钥为目标中继服务器与终端间的密钥,在建立终端侧会话连接时协商确定;第三密钥为终端和网关间的密钥,在终端侧会话连接和网关侧会话连接都建立好后,经由目标中继服务器,由终端和网关协商确定。密码协商算法可以是例如DH密钥交换算法、RSA、国密SM1、SM2、SM3、SM4等,不限于此。
通过上述的第一密钥、第二密钥以及第三密钥实现了数据传输中的双层加密,目标中继服务器和网关之间采用第一密钥加密传输数据,终端和目标中继服务器之间采用第二密钥加密传输数据,使得黑客无从下手;此外,终端和网关之间采用第三密钥加密传输数据,目标中继服务器也无法解密终端和接入网关之间传输的数据,进一步保证了数据传输的安全性。此外,在进行数据传输的过程中,终端无需知道网关地址,这样就无需暴露内网地址,从而提高访问时的安全性。
示例性的,上述的网关还可以被配置为向第一注册中心12或目标中继服务器提供其授权访问的授权终端列表,并且授权终端列表被存储到第二注册中心13的网关信息表;以及第二注册中心13还被配置为若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,拒绝接入请求。通过上述的终端授权列表能够拒绝部分未授权的用户通过目标中继服务器访问接入网关,从而提高访问内网服务和资源的安全性。
如图2所示,为本公开实施例提供的一种安全通信系统结构示意图,包括:由多个中继服务器组成的服务器集群21以及与服务器集群21连接的控制中心22;其中:所述服务器集群21可以连接多个网关,控制中心22可以连接多个终端。其中:所述服务器集群21中的任意一个中继服务器,被配置为响应于接收到的网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息,目标中继服务器是从服务器集群中选择的中继服务器;目标中继服务器,被配置为响应于接收到网关发送的会话连接请求,获取网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立目标中间服务器与网关的网关侧会话连接;控制中心22,被配置为响应于接收到终端发送的包括网关标识的接入请求,根据网关信息表确定与网关标识对应的目标中继服务器地址,并向终端返回包括所述目标中继服务器地址的回复消息,网关信息表包括网关标识和目标中继服务器地址的对应关系;以及目标中继服务器,还被配置为响应于接收到终端发送的会话连接请求,获取终端的终端标识和终端地址,创建包括终端标识和终端地址之间的对应关系的第二映射表,并建立目标中继服务器与终端的终端侧会话连接。
示例性的,上述的服务器集群21中的任意一个中继服务器具体被配置为根据网关的地理位置以及中继服务器的地理位置、和/或服务器集群21中各中继服务器的资源占用情况确定目标中继服务器。该资源占用情况包括但不限于中继服务器的资源占用情况包括中继服务器的传输速率和/或带宽。例如,可以是在服务器集群21中选择一个距离网关的地理位置最近的中继服务器作为目标中继服务器,也可以是在服务器集群21中选择一个传输速率最快或者剩余带宽最大的中继服务器作为目标中继服务器,还可以是在服务器集群21中选择一个距离网关的地理位置最近且传输速率最快/剩余带带宽最大的中继服务器作为目标中继服务器,这样使得选择的目标中继服务器在进行消息或数据传输的时候的速率能够最快,从而提升通信速度。
示例性的,上述的服务器集群21中的任意一个中继服务器具体被配置为在其设备上运行用于分配目标服务器的算法程序,根据算法从服务器集群21中确定目标中继服务器。例如,将服务器集群21中每个中继服务器的配置信息(中继服务器ID)输入至服务器集群21中的任意一个中继服务器,服务器集群21中的任意一个中继服务器根据每个中继服务器ID利用其上运行的算法程序选择出其中的一个中继服务器ID,即为目标中继服务器,这里对于具体算法不进行限定,只要能够实现分配即可,可以是随机算法或其他算法。
本公开实施例中的服务器集群中的任意一个中继服务器每次在接收到网关发送的接入请求时,均会为网关分配一个目标中继服务器,使得服务器集群中的任意一个中继服务器为网关分配目标中继服务器的是一个动态变化的过程,而非静态不变的过程,从而增加通信的安全性,此外,该目标中继服务器是通过服务器集群中的任意一个中继服务器根据一定的筛选条件(例如,地理位置)或者分配算法(随机算法)从服务器集群中选择的中继服务器,由于服务器集群中存在多个中继服务器,因此每个中继服务器都有可能成为目标中继服务器,从而使得该目标中继服务器具有随机性,使得目标中服务器随着不同网关发起的连接请求而变化,进而也能够增加通信的安全性。
上述的网关信息表、第一映射表以及第二映射表的内容与上文描述图1中涉及的内容一致,具体参见表1-表3的内容。与上文的区别在于,图2对应的系统中,上述的网关信息表存储于控制中心22,而第一映射表和第二映射表同样也存储于目标中继服务器中。
可选的,控制中心22还被配置为从目标中继服务器接收网关标识和目标中继服务器地址的对应关系,并存储到网关信息表。示例性的,上述的内容可以通过以下方式来实现:在目标中继服务器与网关建立连接后,控制中心22还被配置为接收目标中继服务器发送的网关ID,并建立网关ID和目标中继服务器地址间的关系,形成网关信息表并存储。或者,在服务器集群21中的某个中继服务器向网关发送目标中继服务器地址时,控制中心22被配置为接收服务器集群21中的某个中继服务器发送的网关ID和目标中继服务器地址,并建立网关ID和目标中继服务器地址的关系,形成网关信息表并存储。
示例性的,上述的目标中继服务器还被配置为协商确定目标中继服务器和网关之间的第一密钥;协商确定目标中继服务器和终端之间的第二密钥;以及促进协商确定终端和网关之间的第三密钥。
通过上述的第一密钥、第二密钥以及第三密钥实现了数据传输中的双层加密,目标中继服务器和网关之间采用第一密钥加密传输数据,终端和目标中继服务器之间采用第二密钥加密传输数据,使得黑客无从下手;此外,终端和网关之间采用第三密钥加密传输数据,目标中继服务器也无法解密终端和接入网关之间传输的数据,进一步保证了数据传输的安全性。此外,在进行数据传输的过程中,终端无需知道网关地址,这样就无需暴露内网地址,从而提高访问时的安全性。
示例性的,上述的网关还可以被配置为向目标中继服务器提供其授权访问的授权终端列表,并且授权终端列表被存储到控制中心的网关信息表;以及若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,控制中心还被配置为拒绝所述接入请求。通过上述的终端授权列表能够拒绝部分未授权的用户通过目标中继服务器访问接入网关,从而提高访问内网服务和资源的安全性。
本公开实施例提供的安全通信系统,该安全通信系统包括:由多个中继服务器组成的服务器集群以及控制中心,所述服务器集群中的任意一个中继服务器,被配置为响应于接收到的网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息,目标中继服务器是从服务器集群中选择的中继服务器;目标中继服务器,被配置为响应于接收到网关发送的会话连接请求,获取网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立目标中间服务器与网关的网关侧会话连接;这样能够通过接入网关实现反向连接,且通过第一注册中心在服务器集群中为接入网关分配中继服务器,使得该接入网关与中继服务器间建立动态的连接,从而提高网络安全性。控制中心,被配置为响应于接收到终端发送的包括网关标识的接入请求,根据网关信息表确定与网关标识对应的目标中继服务器地址,并向终端返回包括所述目标中继服务器地址的回复消息,网关信息表包括网关标识和目标中继服务器地址的对应关系;以及目标中继服务器,还被配置为响应于接收到终端发送的会话连接请求,获取终端的终端标识和终端地址,创建包括终端标识和终端地址之间的对应关系的第二映射表,并建立目标中继服务器与终端的终端侧会话连接;这样使得终端在发起访问接入网关的请求时,目标中继服务器能够根据第一映射表和第二映射表实现安全访问,从而提高终端访问内部服务和资源的安全性。
下面将基于图1对应的安全通信系统的实施例中的相关描述对本公开实施例提供的一种用于安全通信系统的方法进行介绍。以下实施例中与上述实施例相关的技术术语、概念等的说明可以参照上述的实施例。
如图3所示,为本公开实施例提供的一种用于安全通信系统的方法的流程图,所述系统包括由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心,该方法包括:
301、网关向第一注册中心发送接入请求。
302、第一注册中心向网关返回包括目标中继服务器地址的回复消息。
其中,上述的目标中继服务器是从服务器集群中选择的中继服务器。
303、网关向目标中继服务器发送会话连接请求。
304、目标中继服务器获取网关ID和网关地址,创建第一映射表。
其中,上述的第一映射表包括网关ID和网关地址之间的对应关系。
305、建立目标中继服务器与网关的网关侧会话连接。
306、终端向第二注册中心发送包括网关ID的接入请求。
307、第二注册中心根据网关信息表确定与网关ID对应的目标中继服务器地址。
其中,上述的网关信息表包括网关ID和目标中继服务器地址的对应关系。
308、向终端返回包括目标中继服务器地址的回复消息。
309、终端向目标中继服务器会话连接请求。
310、目标中继服务器获取终端ID和终端地址,创建第二映射表。
其中,上述的第二映射表包括终端ID和终端地址的之间的对应关系的。
311、建立目标中继服务器与终端的终端侧会话连接
312、终端向目标中继服务器发送包含网关ID的会话连接请求。
313、目标中继服务器在第一映射表中查找网关ID对应的网关地址。
314、向网关发送会话访问请求。
可选的,上述的方法还包括:第一注册中心根据网关的地理位置以及中继服务器的地理位置、和/或服务器集群中各中继服务器的资源占用情况确定目标中继服务器。该资源占用情况包括但不限于中继服务器的资源占用情况包括中继服务器的传输速率和/或带宽。例如,第一注册中心可以在服务器集群中选择一个距离网关的地理位置最近的中继服务器作为目标中继服务器,也可以是在服务器集群中选择一个传输速率最快或者剩余带宽最大的中继服务器作为目标中继服务器,还可以是在服务器集群中选择一个距离网关的地理位置最近且传输速率最快/剩余带带宽最大的中继服务器作为目标中继服务器,这样使得选择的目标中继服务器在进行消息或数据传输的时候的速率能够最快,从而提升通信速度。
可选的上述的方法还包括:第一注册中心根据分配算法从服务器集群中确定目标中继服务器。例如,将服务器集群中每个中继服务器的配置信息(中继服务器ID)输入至第一注册中心,第一注册中心根据每个中继服务器ID利用其上运行的分配算法选择出其中的一个中继服务器ID,即为目标中继服务器,这里对于具体算法不进行限定,只要能够实现分配即可,可以是随机算法或其他算法。
本公开实施例中的第一注册中心每次在接收到网关发送的接入请求时,均会为网关分配一个目标中继服务器,使得第一注册中心为网关分配目标中继服务器的是一个动态变化的过程,而非静态不变的过程,从而增加通信的安全性,此外,该目标中继服务器是通过第一注册中心根据一定的筛选条件(例如,地理位置)或者分配算法(随机算法)从服务器集群中选择的中继服务器,由于服务器集群中存在多个中继服务器,因此每个中继服务器都有可能成为目标中继服务器,从而使得该目标中继服务器具有随机性,使得目标中服务器随着不同网关发起的连接请求而变化,进而也能够增加通信的安全性。
示例性的,上述的网关信息表包括网关ID和目标中继服务器地址间的对应关系,即不同的网关ID对应不同的目标中继服务器地址。其中网关ID可以用其设备上的唯一编码,而该目标中继服务器的地址可以为该目标中继服务器的媒体存取控制位址(MediaAccess Control Address:MAC)地址或者互联网协议(InternetProtocol:IP)地址。如下表4所示。该表4中仅以示例性的示出三个网关对应的目标中继服务器以表示网关ID和目标中继服务器地址间的对应关系,且该表4存储在控制中心。
表4
| 序号 | 网关ID | 目标中继服务器地址 |
| 1 | 866228039486750 | 11.168.36.9 |
| 2 | 866228039650220 | 112.168.36.2 |
| 3 | 866228039150291 | 90.168.36.5 |
示例性的,上述的第一映射表包括网关ID和网关地址间的对应关系,其中网关ID可以用其设备上的唯一编码,而该网关地址可以为该网关的MAC地址IP地址。如下表5所示。该表5中仅以示例性的示出三个网关以表示网关ID和网关地址间的对应关系,且该表5存储在目标中继服务器。
表5
| 序号 | 网关ID | 网关地址 |
| 1 | 866228039486750 | 80.168.36.1 |
| 2 | 866228039650220 | 120.168.36.3 |
| 3 | 866228039150291 | 90.168.36.4 |
示例性的,上述的第二映射表包括终端ID和终端地址间的对应关系,其中终端ID可以用其设备上的唯一编码,而该终端地址可以为该终端的MAC地址IP地址。如下表6所示。该表6中仅以示例性的示出三个终端以表示终端ID和终端地址间的对应关系,且该表6存储在目标中继服务器。
表6
| 序号 | 终端ID | 终端地址 |
| 1 | 866228039489816 | 11.168.0.170 |
| 2 | 866228039652141 | 132.168.0.171 |
| 3 | 866228039158986 | 205.168.0.172 |
需要说明的是上述的表4-表6中的网关ID、网关地址、目标中继服务器地址、终端ID以及终端地址仅仅是作为示例进行说明第一映射表、第二映射表以及网关信息表。其表4-6中的网关ID、网关地址、目标中继服务器地址、终端ID以及终端地址并非对应实际中的ID和地址。
可选的,所述方法还包括:目标中继服务器使用第一映射表和第二映射表,经由终端侧会话连接和网关侧会话连接在终端和网关之间传输消息。
可选的,上述的方法还包括:第二注册中心从第一注册中心或目标中继服务器接收网关标识和目标中继服务器地址的对应关系,并存储到所述网关信息表。示例性的,在目标中继服务器与网关建立连接后,第二注册中心接收目标中继服务器发送的网关ID,并建立网关ID和目标中继服务器地址间的关系,形成网关信息表并存储。或者,在第一注册中心向网关发送目标中继服务器地址时,第二注册中心接收第一注册中心发送的网关ID和目标中继服务器地址,并建立网关ID和目标中继服务器地址的关系,形成网关信息表并存储。
可选的,上述的方法还包括:目标中继服务器接收终端发送的由第二密钥加密的第一数据包,第一数据包包括终端ID、网关ID以及经第三密钥加密的有效荷载数据;使用第二密钥解密第一数据包,以获得网关ID,并在第一映射表中查找网关ID对应的网关地址;向网关发送由第一密钥加密的第二数据包,第二数据包包括目标中继服务器ID、网关地址以及经第三密钥加密的有效荷载数据。
示例性的,上述的第一密钥、第二密钥以及第三密钥可以是数字证书或加密密钥等,上述的第一密钥为网关与目标中继服务器间的密钥,在建立网关侧会话连接时协商确定;第二密钥为目标中继服务器与终端间的密钥,在建立终端侧会话连接时协商确定;第三密钥为终端和网关间的密钥,在终端侧会话连接和网关侧会话连接都建立好后,经由目标中继服务器,由终端和网关协商确定;第一密钥和第二密钥是由目标中继服务器协商确定的,第三密钥是由目标中继服务器促进协商确定的。密码协商算法可以是例如DH密钥交换算法、RSA、国密SM1、SM2、SM3、SM4等,不限于此。
通过上述的第一密钥、第二密钥以及第三密钥实现了数据传输中的双层加密,目标中继服务器和网关之间采用第一密钥加密传输数据,终端和目标中继服务器之间采用第二密钥加密传输数据,使得黑客无从下手;此外,终端和网关之间采用第三密钥加密传输数据,目标中继服务器也无法解密终端和接入网关之间传输的数据,进一步保证了数据传输的安全性。此外,在进行数据传输的过程中,终端无需知道网关地址,这样就无需暴露内网地址,从而提高访问时的安全性。
可选的,上述的方法还包括:网关向第一注册中心或目标中继服务器提供其授权访问的授权终端列表,并且授权终端列表被存储到第二注册中心的网关信息表;以及若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,第二注册中心拒绝接入请求。通过上述的终端授权列表能够拒绝部分未授权的用户通过目标中继服务器访问接入网关,从而提高访问内网服务和资源的安全性。
本公开实施例提供的用于安全通信系统的方法,该安全通信系统包括:由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心,第一注册中心响应于接收到网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息,目标中继服务器是从服务器集群中选择的中继服务器;目标中继服务器响应于接收到所述网关发送的会话连接请求,获取网关的网关标识和网关地址,创建包括网关标识和所述网关地址之间的对应关系的第一映射表,并建立目标中间服务器与网关的网关侧会话连接;这样能够通过接入网关实现反向连接,且通过第一注册中心在服务器集群中为接入网关分配中继服务器,使得该接入网关与中继服务器间建立动态的连接,从而提高网络安全性。第二注册中心响应于接收到终端发送的包括网关标识的接入请求,根据网关信息表确定与网关标识对应的目标中继服务器地址,并向终端返回包括目标中继服务器地址的回复消息,网关信息表包括网关标识和目标中继服务器地址的对应关系;以及目标中继服务器响应于接收到终端发送的会话连接请求,获取终端的终端标识和终端地址,创建包括终端标识和终端地址之间的对应关系的第二映射表,并建立目标中继服务器与终端的终端侧会话连接;这样使得终端在发起访问接入网关的请求时,目标中继服务器能够根据第一映射表和第二映射表实现安全访问,从而提高终端访问内部服务和资源的安全性。
下面将基于图2对应的安全通信系统的实施例中的相关描述对本公开实施例提供的一种用于安全通信系统的方法进行介绍。以下实施例中与上述实施例相关的技术术语、概念等的说明可以参照上述的实施例。
如图4所示,为本公开实施例提供的一种用于安全通信系统的方法的流程图。所述系统包括:由多个中继服务器组成的服务器集群以及控制中心;该方法包括:
401、网关向服务器集群中的任意一个中继服务器发送接入请求。
402、向网关返回包括目标中继服务器地址的回复消息。
其中,上述的目标中继服务器是从服务器集群中选择的中继服务器。
403、网关向目标中继服务器发送会话连接请求。
404、目标中继服务器获取网关ID和网关地址,创建第一映射表。
其中,上述的第一映射表包括网关ID和网关地址之间的对应关系。
405、建立目标中继服务器与网关的网关侧会话连接
406、终端向控制中心发送包括网关ID的接入请求。
407、控制中心根据网关信息表确定与网关ID对应的目标中继服务器地址。
其中,上述的网关信息表包括网关ID和目标中继服务器地址的对应关系。
408、向终端返回包括目标中继服务器地址的回复消息。
409、终端向目标中继服务器会话连接请求。
410、目标中继服务器获取终端ID和终端地址,创建第二映射表。
其中,上述的第二映射表包括终端ID和终端地址的之间的对应关系的。
411、建立目标中继服务器与终端的终端侧会话连接。
412、终端向目标中继服务器发送包含网关ID的会话连接请求。
413、目标中继服务器在第一映射表中查找网关ID对应的网关地址。
414、向网关发送会话访问请求。
示例性的,该方法还包括:服务器集群中的任意一个中继服务器根据网关的地理位置以及中继服务器的地理位置、和/或服务器集群中各中继服务器的资源占用情况确定目标中继服务器。该资源占用情况包括但不限于中继服务器的资源占用情况包括中继服务器的传输速率和/或带宽。例如,可以是在服务器集群中选择一个距离网关的地理位置最近的中继服务器作为目标中继服务器,也可以是在服务器集群中选择一个传输速率最快或者剩余带宽最大的中继服务器作为目标中继服务器,还可以是在服务器集群中选择一个距离网关的地理位置最近且传输速率最快/剩余带带宽最大的中继服务器作为目标中继服务器,这样使得选择的目标中继服务器在进行消息或数据传输的时候的速率能够最快,从而提升通信速度。
示例性的,该方法还包括:服务器集群中的任意一个中继服务器根据分配算法从服务器集群中确定目标中继服务器。例如,将服务器集群中每个中继服务器的配置信息(中继服务器ID)输入至服务器集群中的任意一个中继服务器,服务器集群中的任意一个中继服务器根据每个中继服务器ID利用其上运行的算法程序选择出其中的一个中继服务器ID,即为目标中继服务器,这里对于具体算法不进行限定,只要能够实现分配即可,可以是随机算法或其他算法。
本公开实施例中的服务器集群中的任意一个中继服务器每次在接收到网关发送的接入请求时,均会为网关分配一个目标中继服务器,使得服务器集群中的任意一个中继服务器为网关分配目标中继服务器的是一个动态变化的过程,而非静态不变的过程,从而增加通信的安全性,此外,该目标中继服务器是通过服务器集群中的任意一个中继服务器根据一定的筛选条件(例如,地理位置)或者分配算法(随机算法)从服务器集群中选择的中继服务器,由于服务器集群中存在多个中继服务器,因此每个中继服务器都有可能成为目标中继服务器,从而使得该目标中继服务器具有随机性,使得目标中服务器随着不同网关发起的连接请求而变化,进而也能够增加通信的安全性。
上述的网关信息表、第一映射表以及第二映射表的内容与上文描述图3中涉及的内容一致,具体参见表1-表3的内容。与上文的区别在于,上述的网关信息表存储于控制中心,而第一映射表和第二映射表同样也存储于目标中继服务器中。
可选的,该方法还包括:控制中心从目标中继服务器接收网关标识和目标中继服务器地址的对应关系,并存储到网关信息表。示例性的,上述的内容可以通过以下方式来实现:在目标中继服务器与网关建立连接后,控制中心接收目标中继服务器发送的网关ID,并建立网关ID和目标中继服务器地址间的关系,形成网关信息表并存储。或者,在服务器集群中的某个中继服务器向网关发送目标中继服务器地址时,控制中心接收服务器集群中的某个中继服务器发送的网关ID和目标中继服务器地址,并建立网关ID和目标中继服务器地址的关系,形成网关信息表并存储。
可选的,该方法还包括:目标中继服务器协商确定目标中继服务器和网关之间的第一密钥;协商确定目标中继服务器和终端之间的第二密钥;以及促进协商确定终端和网关之间的第三密钥。
通过上述的第一密钥、第二密钥以及第三密钥实现了数据传输中的双层加密,目标中继服务器和网关之间采用第一密钥加密传输数据,终端和目标中继服务器之间采用第二密钥加密传输数据,使得黑客无从下手;此外,终端和网关之间采用第三密钥加密传输数据,目标中继服务器也无法解密终端和接入网关之间传输的数据,进一步保证了数据传输的安全性。此外,在进行数据传输的过程中,终端无需知道网关地址,这样就无需暴露内网地址,从而提高访问时的安全性。
示例性的,该方法还包括:网关向目标中继服务器提供其授权访问的授权终端列表,并且授权终端列表被存储到控制中心的网关信息表;以及若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,控制中心拒绝所述接入请求。通过上述的终端授权列表能够拒绝部分未授权的用户通过目标中继服务器访问接入网关,从而提高访问内网服务和资源的安全性。
本公开实施例提供的用于安全通信系统的方法,该安全通信系统包括:由多个中继服务器组成的服务器集群以及控制中心,所述服务器集群中的任意一个中继服务器响应于接收到的网关发送的接入请求,向网关返回包括目标中继服务器地址的回复消息,目标中继服务器是从服务器集群中选择的中继服务器;目标中继服务器响应于接收到网关发送的会话连接请求,获取网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立目标中间服务器与网关的网关侧会话连接;这样能够通过接入网关实现反向连接,且通过第一注册中心在服务器集群中为接入网关分配中继服务器,使得该接入网关与中继服务器间建立动态的连接,从而提高网络安全性。控制中心响应于接收到终端发送的包括网关标识的接入请求,根据网关信息表确定与网关标识对应的目标中继服务器地址,并向终端返回包括所述目标中继服务器地址的回复消息,网关信息表包括网关标识和目标中继服务器地址的对应关系;以及目标中继服务器响应于接收到终端发送的会话连接请求,获取终端的终端标识和终端地址,创建包括终端标识和终端地址之间的对应关系的第二映射表,并建立目标中继服务器与终端的终端侧会话连接;这样使得终端在发起访问接入网关的请求时,目标中继服务器能够根据第一映射表和第二映射表实现安全访问,从而提高终端访问内部服务和资源的安全性。
如图5所示,为本公开实施例提供的一种电子设备的结构示意图,包括:处理器(CPU)501、存储器(ROM)502以及存储在存储器上并可在处理器上运行的计算机程序,所述CPU 501执行所述程序时实现如图3或4所示的方法。CPU 501可以根据存储在只读存储器ROM502中的程序或者从存储部分708加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有电子设备500操作所需的各种程序和数据。CPU501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
本公开实施例提供一种计算机存储介质,包括计算机指令,当所述计算机指令在计算机上运行时,使得所述计算机执行如上所述的方法流程。示例性的,计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质,(例如,软盘,硬盘、磁带)、光介质(例如,DVD)或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
Claims (10)
1.一种安全通信系统,包括:由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心;其中:
所述第一注册中心,被配置为响应于接收到网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;
所述目标中继服务器,被配置为响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;
所述第二注册中心,被配置为响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及
所述目标中继服务器,还被配置为响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
2.根据权利要求1所述的系统,所述目标中继服务器还被配置为:
使用所述第一映射表和所述第二映射表,经由所述终端侧会话连接和所述网关侧会话连接在所述终端和所述网关之间传输消息。
3.根据权利要求1所述的系统,所述第二注册中心还被配置为:
从所述第一注册中心或所述目标中继服务器接收网关标识和目标中继服务器地址的对应关系,并存储到所述网关信息表。
4.根据权利要求1所述的系统,所述目标中继服务器还被配置为:
协商确定所述目标中继服务器和所述网关之间的第一密钥;
协商确定所述目标中继服务器和所述终端之间的第二密钥;以及
促进协商确定所述终端和所述网关之间的第三密钥。
5.根据权利要求1所述的系统,所述网关还被配置为:
向所述第一注册中心或所述目标中继服务器提供其授权访问的授权终端列表,并且所述授权终端列表被存储到所述第二注册中心的网关信息表;以及
所述第二注册中心还被配置为:
若来自终端的接入请求中的终端标识不在相应网关的授权终端列表中,拒绝所述接入请求。
6.一种安全通信系统,包括:由多个中继服务器组成的服务器集群以及控制中心;其中:
所述服务器集群中的任意一个中继服务器,被配置为响应于接收到的网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;
所述目标中继服务器,被配置为响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;
所述控制中心,被配置为响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及
所述目标中继服务器,还被配置为响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
7.一种用于安全通信系统的方法,所述系统包括由多个中继服务器组成的服务器集群、第一注册中心以及第二注册中心,所述方法包括:
所述第一注册中心,响应于接收到网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;
所述目标中继服务器,响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;
所述第二注册中心,响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及
所述目标中继服务器,响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
8.一种用于安全通信系统的方法,所述系统包括:由多个中继服务器组成的服务器集群以及控制中心;所述方法包括:
所述服务器集群中的任意一个中继服务器,响应于接收到的网关发送的接入请求,向所述网关返回包括目标中继服务器地址的回复消息,所述目标中继服务器是从所述服务器集群中选择的中继服务器;
所述目标中继服务器,响应于接收到所述网关发送的会话连接请求,获取所述网关的网关标识和网关地址,创建包括所述网关标识和所述网关地址之间的对应关系的第一映射表,并建立所述目标中间服务器与所述网关的网关侧会话连接;
所述控制中心,响应于接收到终端发送的包括所述网关标识的接入请求,根据网关信息表确定与所述网关标识对应的目标中继服务器地址,并向所述终端返回包括所述目标中继服务器地址的回复消息,所述网关信息表包括网关标识和目标中继服务器地址的对应关系;以及
所述目标中继服务器,响应于接收到所述终端发送的会话连接请求,获取所述终端的终端标识和终端地址,创建包括所述终端标识和所述终端地址之间的对应关系的第二映射表,并建立所述目标中继服务器与所述终端的终端侧会话连接。
9.一种电子设备,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令在被执行时使得所述处理器执行权利要求7或8所述的方法。
10.一种计算机可读存储介质,所述介质存储有指令,所述指令在被执行时实现权利要求7或8所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911098254.0A CN110784489B (zh) | 2019-11-12 | 2019-11-12 | 安全通信系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911098254.0A CN110784489B (zh) | 2019-11-12 | 2019-11-12 | 安全通信系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110784489A true CN110784489A (zh) | 2020-02-11 |
| CN110784489B CN110784489B (zh) | 2020-07-10 |
Family
ID=69390359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911098254.0A Active CN110784489B (zh) | 2019-11-12 | 2019-11-12 | 安全通信系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110784489B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172946A (zh) * | 2021-12-06 | 2022-03-11 | 京东科技信息技术有限公司 | 请求结果发送方法、装置、电子设备和计算机可读介质 |
| CN114760360A (zh) * | 2020-12-29 | 2022-07-15 | 网神信息技术(北京)股份有限公司 | 请求响应方法、装置、电子设备及计算机可读存储介质 |
| CN116599773A (zh) * | 2023-07-14 | 2023-08-15 | 杭州海康威视数字技术股份有限公司 | 自适应设备安全风险评估方法、装置、设备及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030131258A1 (en) * | 2002-01-04 | 2003-07-10 | Kadri Seemab Aslam | Peer-to-peer communication across firewall using internal contact point |
| US20080056288A1 (en) * | 2000-04-06 | 2008-03-06 | The Distribution Systems Research Institute | Terminal-to-terminal communication connection control method using IP transfer network |
| CN102090032A (zh) * | 2008-06-24 | 2011-06-08 | 微软公司 | 用于管理中继服务器之间的通信的技术 |
| CN102469171A (zh) * | 2010-11-10 | 2012-05-23 | 中国移动通信集团公司 | 实现不同ip域中两个终端节点互通的方法、系统和设备 |
| CN102638711A (zh) * | 2011-02-10 | 2012-08-15 | Lg电子株式会社 | 具有频道扫描接口的多功能显示装置及其控制方法 |
| CN103636173A (zh) * | 2011-07-11 | 2014-03-12 | 村田机械株式会社 | 中继服务器以及中继通信系统 |
| CN104205118A (zh) * | 2011-12-27 | 2014-12-10 | 讯宝科技公司 | 用于保护在移动设备上的软件应用的方法和装置 |
| CN105306483A (zh) * | 2015-11-13 | 2016-02-03 | 厦门安胜网络科技有限公司 | 一种安全快速的匿名网络通信方法及系统 |
| CN107251510A (zh) * | 2014-09-08 | 2017-10-13 | 沃兹艾普公司 | 建立并且保持voip呼叫 |
-
2019
- 2019-11-12 CN CN201911098254.0A patent/CN110784489B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080056288A1 (en) * | 2000-04-06 | 2008-03-06 | The Distribution Systems Research Institute | Terminal-to-terminal communication connection control method using IP transfer network |
| US20080253359A1 (en) * | 2000-04-06 | 2008-10-16 | The Distribution Systems Research Institute | Terminal-to-terminal communication connection control method using IP transfer network |
| US20030131258A1 (en) * | 2002-01-04 | 2003-07-10 | Kadri Seemab Aslam | Peer-to-peer communication across firewall using internal contact point |
| CN102090032A (zh) * | 2008-06-24 | 2011-06-08 | 微软公司 | 用于管理中继服务器之间的通信的技术 |
| CN102469171A (zh) * | 2010-11-10 | 2012-05-23 | 中国移动通信集团公司 | 实现不同ip域中两个终端节点互通的方法、系统和设备 |
| CN102638711A (zh) * | 2011-02-10 | 2012-08-15 | Lg电子株式会社 | 具有频道扫描接口的多功能显示装置及其控制方法 |
| CN103636173A (zh) * | 2011-07-11 | 2014-03-12 | 村田机械株式会社 | 中继服务器以及中继通信系统 |
| CN104205118A (zh) * | 2011-12-27 | 2014-12-10 | 讯宝科技公司 | 用于保护在移动设备上的软件应用的方法和装置 |
| CN107251510A (zh) * | 2014-09-08 | 2017-10-13 | 沃兹艾普公司 | 建立并且保持voip呼叫 |
| CN105306483A (zh) * | 2015-11-13 | 2016-02-03 | 厦门安胜网络科技有限公司 | 一种安全快速的匿名网络通信方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| MIHARA: ""Development of a System for Transferring Images via a Network: Supporting a Regional Liaison"", 《STUDIES IN HEALTH TECHNOLOGY AND INFORMATICS》 * |
| 叶舒: ""多媒体通信中网络边界穿越技术应用研究"", 《计算机与数字工程》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114760360A (zh) * | 2020-12-29 | 2022-07-15 | 网神信息技术(北京)股份有限公司 | 请求响应方法、装置、电子设备及计算机可读存储介质 |
| CN114760360B (zh) * | 2020-12-29 | 2023-12-22 | 奇安信网神信息技术(北京)股份有限公司 | 请求响应方法、装置、电子设备及计算机可读存储介质 |
| CN114172946A (zh) * | 2021-12-06 | 2022-03-11 | 京东科技信息技术有限公司 | 请求结果发送方法、装置、电子设备和计算机可读介质 |
| CN116599773A (zh) * | 2023-07-14 | 2023-08-15 | 杭州海康威视数字技术股份有限公司 | 自适应设备安全风险评估方法、装置、设备及系统 |
| CN116599773B (zh) * | 2023-07-14 | 2023-09-19 | 杭州海康威视数字技术股份有限公司 | 自适应设备安全风险评估方法、装置、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110784489B (zh) | 2020-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110191031B (zh) | 网络资源访问方法、装置、电子设备 | |
| US10042665B2 (en) | Customer premises equipment (CPE) with virtual machines for different service providers | |
| CN110784489B (zh) | 安全通信系统及其方法 | |
| US9118718B2 (en) | Techniques to monitor connection paths on networked devices | |
| EP2499787B1 (en) | Smart client routing | |
| US8862753B2 (en) | Distributing overlay network ingress information | |
| US20120297031A1 (en) | Anonymous Signalling | |
| CN114745724B (zh) | 访问处理方法及装置、电子设备、计算机可读介质 | |
| WO2017124965A1 (zh) | 多操作系统终端接入网络的方法及多操作系统终端 | |
| WO2022173882A1 (en) | Secure network protocol and transit system to protect communications deliverability and attribution | |
| US20220294771A1 (en) | Secure Virtual Personalized Network | |
| US11363060B2 (en) | Email security in a multi-tenant email service | |
| CN106533894A (zh) | 一种全新的安全的即时通信体系 | |
| CN109644178A (zh) | Rcs始发分叉 | |
| CN114697388B (zh) | 数据传输方法及装置 | |
| EP4187878A1 (en) | Service continuity event notification method and apparatus | |
| CN110430478B (zh) | 组网通信方法、装置、终端设备及存储介质 | |
| CN109479060A (zh) | Rcs始发分叉 | |
| US8036218B2 (en) | Technique for achieving connectivity between telecommunication stations | |
| CN115086425B (zh) | 消息传输方法、装置、程序产品、介质及电子设备 | |
| CN113452722B (zh) | 一种用户隔离方法、数据传输方法、计算设备及存储介质 | |
| US11949593B2 (en) | Stateless address translation at an autonomous system (AS) boundary for host privacy | |
| US11201856B2 (en) | Message security | |
| CN115550322A (zh) | 基于网络安全协议的用户注册方法、装置、电子设备及介质 | |
| CN115914389A (zh) | 云服务控制系统、方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201120 Address after: Room 02-a078, 2 / F, block B, No. 22, information road, Haidian District, Beijing 100082 Patentee after: Information technology (Beijing) Co.,Ltd. Address before: No. a-2012-061, 17th floor, building 1, No. 18, Zhongguancun East Road, Haidian District, Beijing 100000 Patentee before: Beijing Fengxin Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240311 Address after: Room 1601, 13th Floor, Building 4, No. 5 Jinghui East Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing, 100176 Patentee after: Beijing Huawu Communication Technology Co.,Ltd. Country or region after: China Address before: Room 02-A078, 2nd Floor, Building B, No. 22 Information Road, Haidian District, Beijing, 100082 Patentee before: Information technology (Beijing) Co.,Ltd. Country or region before: China |