CN113765765B - 数据传输系统 - Google Patents
数据传输系统 Download PDFInfo
- Publication number
- CN113765765B CN113765765B CN202110920894.6A CN202110920894A CN113765765B CN 113765765 B CN113765765 B CN 113765765B CN 202110920894 A CN202110920894 A CN 202110920894A CN 113765765 B CN113765765 B CN 113765765B
- Authority
- CN
- China
- Prior art keywords
- target
- team
- information
- tunnel
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
Abstract
本公开提供一种数据传输系统,涉及电子信息技术领域,能够解决在客户端访问目标地址的过程中因为客户端的地址信息泄露造成的安全问题,以及在传输过程中更换IP地址、获取流量日志、阻断流量控制访问等管理问题。具体技术方案为:当客户端的目标队伍请求访问目标地址时,通过双传输隧道向目标地址转发该目标队伍的流量,并传输过程中在隐藏了该请求的地址信息。本公开用于数据传输的管理。
Description
技术领域
本公开涉及电子信息技术领域,尤其涉及数据传输系统。
背景技术
随着网络空间的边界不断扩展,对网络安全人才的需求也随之飞速增长。随之产生了用于人才培养与攻防演练的网络攻防演练系统。类似于军事领域的红蓝军对抗,网络安全中,红蓝军对抗则是一方扮演攻击方(蓝军),一方扮演防御者(红军)。网络红蓝军对抗的目的就是用来评估企业安全性,有助于找出企业安全中最脆弱的环节,提升企业安全能力的建设。
在实际应用中,为模拟真实环境中的攻防行为,蓝军通常需要隐藏其IP,而红军可以禁止蓝军的来源IP地址。在被禁止的情况下,蓝军需要及时更换其IP地址以进行正常的演练。在演练中,组织方需要提供这种IP地址隐藏功能,并且在整个演习过程中能够记录蓝军的流量日志及IP使用历史,以便于溯源。
现有的IP地址隐藏技术,有HTTP(s)/Socks代理、PPPOE拨号上网、多个VPN(虚拟专用网络)服务切换等技术,但是上述的技术在隐藏数据传输的地址信息时,都会造成信息泄露的隐患。
具体的,例如,HTTP(s)/Socks代理方式:其缺点在于支持的协议限于TCP/UDP协议,无法支持ICMP、ARP等协议。并且并非所有的应用都支持使用代理。另一方面,代理的切换在用户端完成,难以跟踪与溯源。对于演练队过程中,同一个队伍里流量要从同一个出口出去,也不能满足要求。
又比如,VPN支持的协议因流量加密,其对于代理切换支持能力弱。多VPN服务之间的账户同步同样是较为困难的事情。如果从客户端切换,则用户体验较差,并且同样无法满足同一队伍统一出口的要求。
再比如,PPPOE功能需要运营商支持。虽然可以实现同一队伍走同一出口,但当队员之间处于不同的物理位置时,这种切换却是无法达成的。并且,PPPEO可能会影响同一网络里的其他用户,这大大局限了这种方式的运用场景。另外每个队伍一个PPPOE账户,其成本过高。
发明内容
本公开实施例提供一种数据传输系统,能够解决在客户端访问目标地址的过程中因为客户端的地址信息泄露造成的问题。所述技术方案如下:
根据本公开实施例的第一方面,提供一种数据传输系统,该系统包括:客户端和控制节点、转发节点,该控制节点部署于网络服务端;
该客户端与控制节点相连接;
该控制节点与至少一个转发节点相连接;
客户端,用于获取目标队伍的访问请求信息,该访问请求信息用于请求访问目标地址,该访问请求信息至少包括:目标队伍的特征信息、目标队伍的流量和目标地址信息;
根据该目标队伍的特征信息,在至少一个控制节点中确定与该目标队伍相匹配的目标控制节点;
通过第一传输隧道,向该目标控制节点发送该目标队伍的流量,该第一传输隧道用于汇集目标队伍中不同队员的流量;
该目标控制节点,用于接收该目标队伍的流量;
根据该目标队伍的特征信息,确定该目标队伍的目标转发节点;
通过第二传输隧道,向目标转发节点传输该目标队伍的流量,该第二传输隧道用于转发目标队伍中不同队员的流量,并隐藏该不同队员流量的源地址信息;
该目标转发节点,用于获取目标队伍的流量;
向该目标地址转发该目标队伍的流量。
在一个实施例中,该系统还包括管理节点,
该管理节点,用于获取至少一个队伍的特征信息,该特征信息至少包括每个队员的源地址信息或每个队员的身份信息;
根据该至少一个队伍的特征信息,确定至少一个队伍中每个队伍对应的目标控制节点;
根据该至少一个队伍的特征信息,确定至少一个队伍中每个队伍对应的目标转发节点。
在一个实施例中,该系统中的控制节点用于通过该管理节点,获取目标队伍的特征信息和权限信息;
获取至少一个隧道的配置信息;
根据目标队伍的特征信息和权限信息、隧道的配置信息,创建第一传输隧道及第二传输隧道。
在一个实施例中,该系统中的目标控制节点还用于
该目标控制节点,通过该目标转发节点,确定该第二传输隧道的入口地址;
根据该目标地址信息,确定该第二传输隧道的出口地址。
在一个实施例中,该系统中的控制节点还用于通过该客户端获取切换出口请求,该切换出口请求包括更新后的地址信息;
根据该更新后的地址信息,设置该第二传输隧道的出口地址。
在一个实施例中,该系统中的控制节点还用于通过防火墙获取所述第一传输隧道或者第二传输隧道中目标队伍的流量,并生成流量日志;
向所述管理节点发送所述流量日志。
在一个实施例中,该系统中的控制节点还用于通过防火墙切断所述第一传输隧道或者第二传输隧道中目标队伍的流量传输。
在一个实施例中,该系统中的目标转发节点,用于获取通过该管理节点确定与该目标队伍相匹配的目标控制节点;
获取该目标控制节点的配置信息和网络信息;
根据该目标控制节点的配置信息和网络信息,配置该第二传输隧道的目标路由器。
在一个实施例中,该系统中的目标路由器,还用于
获取该控制节点发送的目标队伍的流量;
确定该目标队伍相匹配的目标转发节点;
配置该目标队伍中每个队员的地址信息,以使得隐藏该数据的源地址信息;
根据该目标队伍中每个队员的地址信息,向该目标转发节点发送该目标队伍的流量。
在一个实施例中,该系统中的转发节点,还用于
获取数据返回请求,该数据返回请求用于请求返回该目标队伍的目标数据;
通过路由转发功能,再按照请求路径原路返回。
在一个实施例中,该系统中的转发节点,还用于获取目标队伍的权限信息;
根据所述目标队伍的权限信息,确定是否向所述目标地址转发所述目标队伍的流量。
在一个实施例中,该系统中的控制节点部署于私有云或者公有云;
该管理节点部署于私有云或者公有云;
该转发节点部署于私有云或者公有云。
在一个实施例中,该系统中的第一传输隧道至少包括VPN隧道、VLAN隧道、或者VXLAN中的一种;
第二传输隧道至少包括IPIP隧道、GRE隧道或者VPN隧道中的一种。
本公开实施例提供的数据传输系统,当客户端的目标队伍请求访问目标地址时,通过双传输隧道向目标地址转发该目标队伍的流量,并传输过程中在隐藏了该请求的地址信息。具体的第一个传输隧道用来汇集流量,第二个传输隧道用来转发流量。第一传输隧道与第二传输隧道之间,由路由实现流量转发。流量从第二传输隧道右端出口出来,而后经过本系统中的路由与网络地址转换,经过出口网卡设备访问互联网,从而实现隐藏目标队伍的源地址信息,提高了数据传输的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是本公开实施例提供的一种数据传输系统的结构图;
图2是本公开实施例提供的一种数据传输系统的逻辑结构示意图1;
图3是本公开实施例提供的一种数据传输系统的交互图;
图4是本公开实施例提供的一种数据传输系统的逻辑结构示意图2;
图5是本公开实施例提供的一种数据传输系统的部署示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本公开实施例提供一种数据传输系统,如图1所示,该系统包括:客户端101和控制节点102、转发节点103,该控制节点部署于网络服务端;
该客户端101与控制节点102相连接,具体的,每个客户端可与相匹配的一个控制节点进行单独连接;
该控制节点102与至少一个转发节点103相连接;
客户端101,用于获取目标队伍的访问请求信息,该访问请求信息用于请求访问目标地址,该访问请求信息至少包括:目标队伍的特征信息、目标队伍的流量和目标地址信息;
根据该目标队伍的特征信息,在至少一个控制节点中确定与该目标队伍相匹配的目标控制节点;
通过第一传输隧道,向该目标控制节点发送该目标队伍的流量,该第一传输隧道用于汇集目标队伍中不同队员的流量;
该目标控制节点102,用于接收该目标队伍的流量;
根据该目标队伍的特征信息,确定该目标队伍的目标转发节点;
通过第二传输隧道,向目标转发节点传输该目标队伍的流量,该第二传输隧道用于转发目标队伍中不同队员的流量,并隐藏该不同队员流量的源地址信息;
该目标转发节点103,用于获取目标队伍的流量;
向该目标地址转发该目标队伍的流量。
在实际的部署中,上述的服务端的控制节点102:用于汇集流量,控制流量的走向、记录日志;控制用户与队伍的访问权限;以及负责创建隧道左端,将流量发送到转发节点。服务节点可以横向扩展,即部署一个或多个。一个服务端可以连接1到N个转发节点(N>=2)。
在实际的部署中,上述的转发节点103用于将流量转发出去,是流量的出口。
在实际的部署中,上述的客户端是流量的发起者,该客户端可以是硬件设备如手机端,或者软件程序。
在可选实施例中本公开所提及的系统中的各个节点均是可横向扩展的节点:管理节点、服务节点、转发节点,通过对节点的可横向扩容,以增加攻防演练系统支持的队伍/用户上限。
在可选实施例中本公开所提及的系统可以通过在部署与设置阶段,预先组建好虚拟网络的方式,减少了用户使用时的程序流程,节省了时间,提高用户体验。
在可选实施例中本公开所提及的系统在各个节点建立关联关系后,节点之间即可自动协商组件起完整可用的虚拟网络。
如图2所示,此处列举示例本公开所提供系统中双隧道传输请求的流量的过程:如下图所示,仅对于单个终端用户的单次请求:
客户端通过第一个隧道将各个队伍成员的流量,通过客户端的虚拟网络设备收集并发送到服务端。
服务端通过第二传输隧道为流量转发隧道将路由分发后的流量传送到转发节点。
在可选实施例中,本公开所提及的客户端还用于:
获取至少一个队员的认证信息;
通过该认证信息登录,并连接到管理节点或VPN。
在可选实施例中,本公开所提及的客户端还用于:
通过使用操作系统的任意具有网络功能的软件,发起访问请求信息。
在可选实施例中,本公开所提及的客户端还用于:
当检测到队员需要切换IP时,登录到管理节点,生成切换请求信息,请求切换出口地址。
本公开所提及的系统中还包括管理节点,该管理节点用于获取至少一个队伍的特征信息,该特征信息至少包括每个队员的源地址信息或每个队员的身份信息;
根据该至少一个队伍的特征信息,确定至少一个队伍中每个队伍对应的目标控制节点;
根据该至少一个队伍的特征信息,确定至少一个队伍中每个队伍对应的目标转发节点。
进一步的,每个队伍中的每个队员可以有不同的转发节点。
在实践过程中的管理节点在部署时,为了方便人员对整个系统的管理,具有一个可视化的交互界面。
一个管理节点可以连接1到N个服务端(N>=2)。
此处列举具体的示例,阐述本系统的搭建过程:
使用预构建虚拟网络的方式,达到终端用户登录即可使用,并且允许快速切换出口地址的目的。构建过程如图3所示:
用户通过登录客户端,管理节点获取客户端发送的队伍的特征信息,创建队伍,向管理节点发送数据;
管理节点上线后,初始化处理,其中初始化处理包括创建队伍与转发节点,队伍和控制节点之间的对应关系;
控制节点上线后,初始化处理:
转发节点上线后,初始化处理:
客户端通过第一传输隧道向控制节点传输队伍的流量,控制节点通过第二传输隧道向转发节点传输该队伍的流量。
参照附图3,详细讲解管理节点(manager)、服务端(控制节点server)、转发节点(forward)每个节点的处理流程如下:
针对于管理节点的处理流程,可以包括以下步骤:
步骤1.启动服务;
步骤2.等待控制节点上线;等待转发节点上线;
步骤3.根据客户端发送的队伍信息,添加队伍;
步骤4.关联队伍与控制节点,也即是为队伍分配控制节点;
步骤5.关联转发节点与队伍,也即是为队伍分配转发节点;
步骤6.根据客户端的请求,添加队员信息;
步骤7.根据客户端的请求,切换出口的转发节点;
步骤8.根据客户端的请求,修改权限设置。
针对于服务节点的流程可以分为初始化阶段和系统启动后两个阶段:
初始化阶段的处理流程,可以包括以下步骤:
步骤1.解析设置参数;
步骤2.上线到管理节点,并从管理节点获取隧道类型等配置;
步骤3.根据配置信息,设置隧道的权限,如,可以访问哪些地址不可以访问哪些地址,是否能访问内网地址、服务地址等等权限;
步骤4.遍历所有的子网信息,加载各个隧道。
系统启动后的处理流程,可以包括以下步骤:
步骤1.等待转发节点上线,当转发节点上线后,根据转发节点设置第二传输隧道的左端;
步骤2.根据队伍信息创建第一传输隧道,设置子网路由;
步骤3.根据切换出口请求,切换对应的隧道出口。
转发节点在系统启动后的处理流程,可以包括以下步骤:
步骤1.上线到管理节点;
步骤2.等待分配给队伍,获取队伍的信息;
步骤3.根据该队伍的特征信息,通过管理节点上线到与该队伍关联的控制节点;
步骤4.通过控制节点获取子网信息,设置第二传输隧道;
步骤5.设置第二传输隧道的路由,通过该路由转发数据;
步骤6.通过心跳检查传输隧道的连通性。
客户端的处理流程,可以包括以下步骤:
步骤1.队员根据认证信息,登录并连接到VPN;
步骤2.使用操作系统的任意具有网络功能的软件,发起请求;
步骤3.当需要切换IP时,登录到管理节点请求切换出口地址。
上述各个节点的处理步骤仅为示例性阐述,部署可以根据实际需求进行适配型设置。
在可选实施例中,本公开所提及的系统中控制节点用于通过该管理节点,获取目标队伍的特征信息和权限信息;
获取至少一个隧道的配置信息;
根据目标队伍的特征信息和权限信息、隧道的配置信息,创建第一传输隧道及第二传输隧道。
本系统所提供的双隧道结构:第一个隧道用来汇集流量,第二个隧道用来转发流量。第一传输隧道与第二传输隧道之间,由路由实现流量转发。流量从隧道右端出口出来,而后经过本机路由与网络地址转换,经过出口网卡设备访问互联网。从而达到IP隐藏的目的。
具体的,第一传输隧道为流量汇总隧道。其作用是将各个队伍成员的流量,通过客户端的虚拟网络设备收集并发送到服务端。在部署过程中该第一传输隧道为VPN隧道,是客户端与VPN控制节点之间建立的隧道;也可以是VLAN、VXLAN组成的连接通道,只要其能起到流量汇集作用。VPN隧道包括但不限于OpenVPN、IPSec VPN、WireGuard等VPN服务端与客户端之间形成的VPN连接。
具体的,第二个隧道为流量转发隧道。其作用是将路由分发后的流量传送到转发节点,而后将转发节点代理请求的流量,按照请求路径返回给隧道左端。
本公开所提供的系统可以支持多队伍/多用户的传输请求:通过设置路由将不同队伍/用户的流量从输入网卡中分流到不同的隧道,从而可以在同一系统上支持多个队伍/用户的IP隐藏。
本公开所提供的系统可以实现目标地址可控的访问:不同队伍使用不同的网络与隧道通讯来隔离请求,并通过赋予权限进行访问控制,确保相互之间不会产生干扰。
在可选实施例中,本公开所提及的系统中的目标控制节点还用于
通过该目标转发节点,确定该第二传输隧道的入口地址;
根据该目标地址信息,确定该第二传输隧道的出口地址。
通过该客户端获取切换出口请求,该切换出口请求包括更新后的地址信息;
根据该更新后的地址信息,设置该第二传输隧道的出口地址。
本公开实施例所提供的系统可以实现目标地址的动态切换:在不改变整个系统其它设置的情况下,包括虚拟网络结构,通过切换第二传输隧道的右端出口,即可完成目标地址切换。例如,可以实现达到1s内快速切换地址的效果从而达到切换IP不中断连接的效果。
在可选实施例中,本公开所提及的系统中服务端控制节点还用于
通过防火墙获取所述第一传输隧道或者第二传输隧道中目标队伍的流量,并生成流量日志;
向所述管理节点发送所述流量日志。
对传输过程中的流量进行记录,具体的可以使用软件或者防火墙设备进行流量记录。并上报给管理节点,方便管理。
在可选实施例中,本公开所提及的系统中控制节点还用于通过防火墙切断所述第一传输隧道或者第二传输隧道中目标队伍的流量传输,从而提高了数据传输的可控性和安全性。
在可选实施例中,本公开所提及的系统中服务端控制节点和转发节点,均可通过设置传输隧道的权限信息,从而允许访问或者禁止访问特定的地址,提高安全性和适配性。
在可选实施例中,本公开所提及的系统中的目标转发节点,用于获取通过该管理节点确定与该目标队伍相匹配的目标控制节点;
获取该目标控制节点的配置信息和网络信息;
根据该目标控制节点的配置信息和网络信息,配置该第二传输隧道的目标路由器。
第一传输隧道与第二传输隧道之间,由虚拟路由组件实现流量转发,将不同队伍的流量,转发到本机的不同的虚拟网络设备上,即隧道左端。其中每个队伍归属于一个独立的网络,每个队员拥有一个此网络里的独立的IP地址。每个网段转发到一个单独的虚拟网络设备上,具体的,如图4所示:可以为tun1分配两个独立的IP地址:IP1和IP2。
在可选实施例中,本公开所提及的系统中的转发节点,还用于获取目标队伍的权限信息;
根据所述目标队伍的权限信息,确定是否向所述目标地址转发所述目标队伍的流量。
通过转发节点对传输隧道的权限管理,能够确定是否允许访问或者禁止访问访问某些地址,从而提高了数据传输的安全性。在可选实施例中,本公开所提及的系统中目标路由器,还用于
获取该控制节点发送的目标队伍的流量;
确定该目标队伍相匹配的目标转发节点;
配置该目标队伍中每个队员的地址信息,以使得隐藏该数据的源地址信息;
根据该目标队伍中每个队员的地址信息,向该目标转发节点发送该目标队伍的流量。
在可选实施例中,通过配置目标路由器可以实现向虚拟机网卡转发流量访问互联网。
在可选实施例中,本公开所提及的系统中转发节点,还用于
获取数据返回请求,该数据返回请求用于请求返回该目标队伍的目标数据;
通过路由转发功能,再按照请求路径原路返回。
在可选实施例中,本公开所提及的系统中的该控制节点部署于私有云或者公有云;
该管理节点部署于私有云或者公有云;
该转发节点部署于私有云或者公有云。
本公开所提供的系统支持多种部署模式,包括公有云,私有云+公有云,公有云+私有云,以及私有云部署。通过调整不同是设置及部署方式即可实现不同的架构。
在可选实施例中,本公开所提及的系统中的第一传输隧道至少包括VPN隧道、VLAN隧道、或者VXLAN中的一种;
第二传输隧道至少包括IPIP隧道、GRE隧道或者VPN隧道中的一种。
本公开所提供的系统因分布式结构灵活,可以根据实际网络需求进行部署,
在简化了防火墙、网关等设备后的简化本系统部署结构如图5所示:
客户端中的队伍先与服务端的控制节点相连接,向服务端控制节点传输流量,再通过转发节点接入互联网,访问目标地址。
管理节点与服务端控制节点相连接,负责建立队伍与服务端控制节点之间的映射,以及服务端与控制节点之间的映射。
具体的,可以包括以下四种部署方案:
第一传输路线和第二传输路线均部署于公有云中;
第一传输路线部署于私有云且第二传输路线部署于私公有云;
第一传输路线部署于私公有云且第二传输路线部署于私私有云;
第一传输路线和第二传输路线均部署于私有云部署。
不同的部署结构,需设置不同的环境、选用不同的隧道,这在系统中可以通过修改配置文件达成。
当第一传输路线和第二传输路线均部署于公有云,服务端、管理节点、转发节点中所有的节点有公网IP地址,并能相互联通,则第一传输隧道使用VPN隧道,第二传输隧道可以使用任意种类隧道。
当第一传输路线部署于私公有云且第二传输路线部署于私私有云:服务端、管理节点位于私有云位于NAT后,转发节点位于公有云,只有转发节点有公网IP地址。第一传输隧道使用VPN隧道或者VLAN/VXLAN,第二传输隧道可以使用IPIP/GRE over VPN等。
当第一传输路线部署于私公有云且第二传输路线部署于私私有云:服务端、管理节点位于公有云,转发节点位于私有云位于NAT后,只有服务端、管理节点有公网IP地址。第一传输隧道使用VPN隧道,第二传输隧道可以使用IPIP/GRE over VPN等。
当第一传输路线和第二传输路线均部署于私有云部署:所有节点均在私有云在NAT后。第一传输隧道使用VPN隧道或者VLAN/VXLAN,第二传输隧道可以使用任意种类隧道。
本公开实施例提供的系统通过虚拟网卡收集流量,支持多种的协议类型,提高了系统的适用性。
本公开实施例提供的数据传输系统,当客户端的目标队伍请求访问目标地址时,通过双传输隧道向目标地址转发该目标队伍的流量,并传输过程中在隐藏了该请求的地址信息。具体的第一个传输隧道用来汇集流量,第二个传输隧道用来转发流量。第一传输隧道与第二传输隧道之间,由路由实现流量转发。流量从第二传输隧道右端出口出来,而后经过本系统中的路由与网络地址转换,经过出口网卡设备访问互联网,从而实现隐藏目标队伍的源地址信息,提高了数据传输的安全性。
本公开实施例提供的系统可以应用于演练组织方,提供了一种IP隐藏与切换技术,并提供了流量溯源、流量阻断、完备权限管理等功能,从而确保了攻防演练系统的高可用及安全可控;具体的体现在以下方面:攻防演练中,每个队伍各自统一使用一个流量出口地址;每个队伍的队员之间不限制地理位置,皆可统一出口;不同队伍之间流量隔离;传输过程中支持多种协议;切换地址速度快,可在1s内完成地址切换;可控的地址池管理,包括分配、禁用地址等;传输过程中的流量可控,并且传输过程可溯源、可阻断;灵活的分布式横向扩展能力,节点均可横向扩展;节点可自动协商,方便快速部署与扩容;支持多种部署架构,兼容公有云、私有云及混合云等各种网络环境;系统的成本可控,降低了部署的难度。
基于上述图1对应的实施例中所描述的数据传输系统,本公开实施例还提供一种计算机可读存储介质,例如,非临时性计算机可读存储介质可以是只读存储器(英文:ReadOnly Memory,ROM)、随机存取存储器(英文:Random Access Memory,RAM)、CD-ROM、磁带、软盘和光数据存储装置等。该存储介质上存储有计算机指令,用于执行上述图1对应的实施例中所描述的数据传输系统,此处不再赘述。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
Claims (13)
1.一种数据传输系统,其特征在于,所述系统包括:客户端和控制节点、转发节点,所述控制节点部署于网络服务端;
所述客户端与控制节点相连接;
所述控制节点与至少一个转发节点相连接;
客户端,用于获取目标队伍的访问请求信息,所述访问请求信息用于请求访问目标地址,所述访问请求信息至少包括:目标队伍的特征信息、目标队伍的流量和目标地址信息,所述目标队伍的特征信息至少包括所述目标队伍的源地址信息或所述目标队伍的身份信息;
根据所述目标队伍的特征信息,在至少一个控制节点中确定与所述目标队伍相匹配的目标控制节点;
通过第一传输隧道,向所述目标控制节点发送所述目标队伍的流量,所述第一传输隧道用于汇集目标队伍中不同队员的流量;
所述目标控制节点,用于接收所述目标队伍的流量;
根据所述目标队伍的特征信息,确定所述目标队伍的目标转发节点;
通过第二传输隧道,向目标转发节点传输所述目标队伍的流量,所述第二传输隧道用于转发目标队伍中不同队员的流量,并隐藏所述不同队员流量的源地址信息;
所述目标转发节点,用于获取目标队伍的流量;
向所述目标地址转发所述目标队伍的流量。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括管理节点,
所述管理节点,用于获取至少一个队伍的特征信息,所述特征信息至少包括每个队员的源地址信息或每个队员的身份信息;
根据所述至少一个队伍的特征信息,确定至少一个队伍中每个队伍对应的目标控制节点;
根据所述至少一个队伍的特征信息,确定至少一个队伍中每个队伍对应的目标转发节点。
3.根据权利要求2所述的系统,其特征在于,所述系统中的控制节点用于通过所述管理节点,获取目标队伍的特征信息和权限信息;
获取至少一个隧道的配置信息;
根据目标队伍的特征信息和权限信息、隧道的配置信息,创建第一传输隧道及第二传输隧道。
4.根据权利要求1所述的系统,其特征在于,所述系统中的目标控制节点还用于
通过所述目标转发节点,确定所述第二传输隧道的入口地址;
根据所述目标地址信息,确定所述第二传输隧道的出口地址。
5.根据权利要求1所述的系统,其特征在于,所述系统中的控制节点还用于通过所述客户端获取切换出口请求,所述切换出口请求包括更新后的地址信息;
根据所述更新后的地址信息,设置所述第二传输隧道的出口地址。
6.根据权利要求2所述的系统,其特征在于,所述系统中的控制节点还用于通过防火墙获取所述第一传输隧道或者第二传输隧道中目标队伍的流量,并生成流量日志;
向所述管理节点发送所述流量日志。
7.根据权利要求1所述的系统,其特征在于,所述系统中的控制节点还用于通过防火墙切断所述第一传输隧道或者第二传输隧道中目标队伍的流量传输。
8.根据权利要求2所述的系统,其特征在于,所述系统中所述目标转发节点,用于获取通过所述管理节点确定与所述目标队伍相匹配的目标控制节点;
获取所述目标控制节点的配置信息和网络信息;
根据所述目标控制节点的配置信息和网络信息,配置所述第二传输隧道的目标路由器。
9.根据权利要求8所述的系统,其特征在于,所述目标路由器,还用于
获取所述控制节点发送的目标队伍的流量;
确定所述目标队伍相匹配的目标转发节点;
配置所述目标队伍中每个队员的地址信息,以使得隐藏所述数据的源地址信息;
根据所述目标队伍中每个队员的地址信息,向所述目标转发节点发送所述目标队伍的流量。
10.根据权利要求1所述的系统,其特征在于,所述转发节点,还用于获取数据返回请求,所述数据返回请求用于请求返回所述目标队伍的目标数据;
通过路由转发功能,再按照请求路径原路返回。
11.根据权利要求1所述的系统,其特征在于,所述转发节点,还用于获取目标队伍的权限信息;
根据所述目标队伍的权限信息,确定是否向所述目标地址转发所述目标队伍的流量。
12.根据权利要求2所述的系统,其特征在于,所述系统中的所述控制节点部署于私有云或者公有云;
所述管理节点部署于私有云或者公有云;
所述转发节点部署于私有云或者公有云。
13.根据权利要求12所述的系统,其特征在于,所述系统中的第一传输隧道至少包括VPN隧道、VLAN隧道、或者VXLAN中的一种;
第二传输隧道至少包括IPIP隧道、GRE隧道或者VPN隧道中的一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110920894.6A CN113765765B (zh) | 2021-08-11 | 2021-08-11 | 数据传输系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110920894.6A CN113765765B (zh) | 2021-08-11 | 2021-08-11 | 数据传输系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113765765A CN113765765A (zh) | 2021-12-07 |
| CN113765765B true CN113765765B (zh) | 2023-04-07 |
Family
ID=78789009
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110920894.6A Active CN113765765B (zh) | 2021-08-11 | 2021-08-11 | 数据传输系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765765B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116389105B (zh) * | 2023-03-30 | 2023-12-01 | 广东省城乡规划设计研究院有限责任公司 | 一种远程接入管理平台及管理方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248540A (zh) * | 2013-05-27 | 2013-08-14 | 济南大学 | 基于多分形小波模型的fpga网络流量发生系统及方法 |
| CN107995324A (zh) * | 2017-12-04 | 2018-05-04 | 北京奇安信科技有限公司 | 一种基于隧道模式的云防护方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0877314A4 (en) * | 1996-01-23 | 2005-10-19 | Global Media Online Inc | INFORMATION DISPLAY SYSTEM |
| US7653746B2 (en) * | 2002-08-02 | 2010-01-26 | University Of Southern California | Routable network subnet relocation systems and methods |
| CN100592265C (zh) * | 2003-11-11 | 2010-02-24 | 塞特里克斯网关公司 | 路由分组通信量来确保通信安全的方法、系统和计算机系统 |
| WO2006125454A1 (en) * | 2005-05-23 | 2006-11-30 | Telefonaktiebolaget L.M. Ericsson (Publ.) | Traffic diversion in an ethernet-based access network |
| CN105337808B (zh) * | 2015-11-30 | 2019-01-04 | 网宿科技股份有限公司 | 数据传输的方法、装置及系统 |
| CN107624233B (zh) * | 2016-11-24 | 2020-05-15 | 深圳前海达闼云端智能科技有限公司 | 一种vpn传输隧道调度方法、装置以及vpn客户端服务器 |
| CN108259461B (zh) * | 2017-11-28 | 2020-07-14 | 中国科学院信息工程研究所 | 一种在分布式网络中实现可信匿名访问的方法和系统 |
| CN111885046B (zh) * | 2020-07-21 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种基于Linux的透明内网访问方法及装置 |
-
2021
- 2021-08-11 CN CN202110920894.6A patent/CN113765765B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248540A (zh) * | 2013-05-27 | 2013-08-14 | 济南大学 | 基于多分形小波模型的fpga网络流量发生系统及方法 |
| CN107995324A (zh) * | 2017-12-04 | 2018-05-04 | 北京奇安信科技有限公司 | 一种基于隧道模式的云防护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113765765A (zh) | 2021-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10523514B2 (en) | Secure cloud fabric to connect subnets in different network domains | |
| CN113949573B (zh) | 一种零信任的业务访问控制系统及方法 | |
| US10015046B2 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
| US9467327B2 (en) | Server-mediated setup and maintenance of peer-to-peer client computer communications | |
| US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
| US20190182155A1 (en) | Distributed Network Sharing And Traffic Isolation | |
| US9374341B2 (en) | Establishing secure remote access to private computer networks | |
| USRE48102E1 (en) | Implicit population of access control lists | |
| US9838261B2 (en) | Method, apparatus, and system for providing network traversing service | |
| JP2018515974A (ja) | グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法 | |
| JP2013500518A (ja) | コンピュータネットワークの動的な移行 | |
| CN109450905B (zh) | 传输数据的方法和装置及系统 | |
| CN108063761A (zh) | 网络处理方法、云平台和软件定义网络sdn控制器 | |
| CN110661858A (zh) | 基于websocket的内网穿透方法及系统 | |
| CN113765765B (zh) | 数据传输系统 | |
| CN105516397A (zh) | 多操作系统终端接入网络的方法及多操作系统终端 | |
| Taylor et al. | Whole home proxies: Bringing enterprise-grade security to residential networks | |
| US20140181279A1 (en) | Virtual Console-Port Management | |
| CN109587028B (zh) | 一种控制客户端流量的方法和装置 | |
| US11909808B2 (en) | Non-HTTP layer 7 protocol applications running in the browser | |
| EP3836487A1 (en) | Internet access behavior management system, device and method | |
| JP2012044668A (ja) | Udpブロードキャストのトンネリングのための様々な方法および装置 | |
| US10979490B1 (en) | Systems and methods for implementing an on-demand computing network environment utilizing a bridge device | |
| KR20210156949A (ko) | 단말기의 선택적 vpn 연결 기능을 갖는 공유기 및 이를 이용한 단말기의 vpn 연결 방법 | |
| US11258672B1 (en) | Network appliance for providing configurable virtual private network connections |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |