本申请是申请日为2021年7月12日,申请号为202110786330.8,发明名称为“用于数据安全传输的认证方法、数据安全传输方法和系统”的专利申请的分案申请。
发明内容
针对现有技术中存在的问题,本发明提供一种用于数据安全传输的认证方法、数据安全传输方法和系统,基于对MAC地址和/或IP地址的编译实现信息的安全传输。
本发明的一方面,提供一种用于数据安全传输的认证方法,该方法包括以下步骤:
位于数据发送方侧的第一网络安全设备通过劫持方式从数据发送方获取数据包,所述第一网络安全设备存储有通信双方地址复写策略;
所述第一网络安全设备基于所述通信双方地址复写策略,对数据包中发送方的源MAC地址和/或源IP地址的特定字段进行复写,生成替代所述源MAC地址和/或源IP地址的虚拟化的MAC地址和/或虚拟化的IP地址;
所述第一网络安全设备向接收方发送携带所述虚拟化的MAC地址和/或虚拟化的IP地址的数据包,以便由位于接收方侧的第二网络安全设备基于预先存储的通信双方地址复写策略来解析并识别所述虚拟化的MAC地址和/或虚拟化的IP地址,以使得第二网络安全设备能够基于解析和识别结果来对发送方进行认证;
所述第一网络安全设备接收第二网络安全设备发送的来自接收方的数据包,基于所述通信双方地址复写策略来解析并识别接收的数据包中接收方的虚拟化MAC地址和/或虚拟化IP地址,并基于解析和识别结果来对接收方进行认证。
在本发明一些实施例中,所述通信双方地址复写策略包括通信双方的虚拟化的MAC地址和/或虚拟化的IP地址的特定字段与各自的原MAC地址和/或IP地址的对应关系;所述对应关系以映射表的形式进行存储。
在本发明一些实施例中,
所述通信双方地址复写策略还包括发送方和接收方的虚拟化的MAC地址和/或虚拟化的IP地址与其携带的认证信息的对应关系,该对应关系以映射表的形式进行存储;
所述解析并识别接收的数据包中接收方的虚拟化MAC地址和/或虚拟化IP地址还包括:解析接收方的虚拟化MAC地址和/或虚拟化IP地址并识别解析的MAC地址和/或IP地址携带的认证信息。
在本发明一些实施例中,所述第一特定信息包括以下信息中的一种或多种:操作指令、认证方式、机构名称、用户组标识、访问者标识、访问目标位置和发起方位置;所述虚拟化的MAC地址和/或虚拟化的IP地址为与发送方的源MAC地址和/或源IP地址所在网段的已有相应地址不冲突的地址。
在本发明一些实施例中,所述虚拟化的MAC地址或所述虚拟化的IP地址还携带主动发起方或被动发起方标识。
在本发明一些实施例中,所述第一网络安全设备和所述第二网络安全设备为网关,二者通过路由或广播进行通信。
根据本发明的另一方面,本发明还提供数据安全传输方法,所述方法包括以下步骤:
第一网络安全设备通过劫持方式从数据发送方获取数据包,所述第一网络安全设备存储有通信双方地址复写策略,所述通信双方地址复写策略包括通信双方的虚拟化的MAC地址和/或虚拟化的IP地址的特定字段与各自的原MAC地址和/或IP地址的对应关系,还包括虚拟化的MAC地址和/或虚拟化的IP地址与其携带的特定信息的对应关系;
所述第一网络安全设备基于所述通信双方地址复写策略,将至少一条第一特定信息写入数据包中发送方的源MAC地址和/或源IP地址的特定字段,生成替代所述源MAC地址和/或源IP地址的虚拟化的MAC地址和/或虚拟化的IP地址;
所述第一网络安全设备向接收方发送携带所述虚拟化的MAC地址和/或虚拟化的IP地址的数据包,以便由位于接收方侧的第二网络安全设备基于预先存储的与通信双方地址复写策略从所述虚拟化的MAC地址和/或虚拟化的IP地址中识别出所述第一特定信息,从而获得所述第一特定信息;
其中,所述第一网络安全设备的物理接口不具有IP地址和MAC地址。
在本发明一些实施方式中,所述方法还包括:所述第一网络安全设备接收经所述第二网络安全设备发送的来自接收方的数据包,基于预先存储的通信双方地址复写策略来识别接收的数据包中接收方的虚拟化MAC地址和/或虚拟化IP地址对应的至少一条第二特定信息,从而获得所述第二特定信息。
在本发明一些实施例中,所述第一网络安全设备和第二网络安全设备间传输的数据包为经加密的数据包。
本发明的另一方面,还提供了一种网络安全设备,所述网络安全设备的物理接口不具有IP地址和MAC地址,所述网络安全设备包括处理器和存储器,所述存储器中存储有计算机指令和通信双方地址复写策略,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时实现如下步骤:
通过劫持方式从本端的消息发起方获取数据包;
基于通信双方地址复写策略,将至少一条第一特定信息写入数据包中源MAC地址和/或源IP地址的特定字段,生成虚拟化的MAC地址和/或虚拟化的IP地址,并向通信对端发送携带所述虚拟化的MAC地址和/或虚拟化的IP地址的数据包;
接收来自通信对端的数据包,基于所述通信双方地址复写策略识别接收的数据包中虚拟化MAC地址和/或虚拟化IP地址对应的至少一条第二特定信息。
在本发明一些实施例中,所述通信双方地址复写策略包括通信双方的虚拟化的MAC地址和/或虚拟化的IP地址的特定字段与各自的原MAC地址和/或IP地址的对应关系,还包括虚拟化的MAC地址和/或虚拟化的IP地址与其携带的特定信息的对应关系。
根据本发明的另一方面,还提供了一种数据安全系统,所述数据安全系统包括第一网络安全设备和第二网络安全设备,所述第一网络安全设备和第二网络安全设备均包括处理器和存储器,所述存储器中存储有通信双方地址复写策略和计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时实现如前所述的方法的步骤;
其中,所述第一网络安全设备的物理接口不具有IP地址和MAC地址。
在另一方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前所述方法的步骤。
本发明提供的用于数据安全传输的认证方法,通过将认证数据混淆到第一网络安全设备的MAC地址标识中和第一网络安全设备的IP地址寻址标识中,而实现到第二网络安全设备通信过程的安全认证,从而保证了数据传输的安全性。此外,本发明提供的数据安全传输方法,通过基于编译后的MAC地址和/或IP地址实现特定信息的安全传输。本发明的系统同样可以提高数据通信的安全性。
本领域技术人员将会理解的是,能够用本发明实现的目的和优点不限于以上具体所述,并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
在此,还需要说明的是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
应该强调,术语“包括/包含/具有”在本文使用时指特征、要素、步骤或组件的存在,但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
为了解决现有网络通信过程中通信内容被非法监听或暴力破解等导致的数据传输安全难以保证的问题,本发明提供了一种用于数据安全传输的认证方法和数据安全传输方法,其是基于IP地址和/或MAC地址利用发起方一端的编译器进行地址转换后将所要认证的信息或其他信息写入到要传递的IP地址和/或MAC地址中。也即,本发明通过进行地址编译转换,按照诸如映射表之类的体现要传递的数据内容与编译后的IP地址和/或MAC地址之间的映射关系的地址复写策略对源IP地址和/或源MAC地址进行编译转换,将所需要传递的数据内容(认证数据或其他信息)映射至编译后的IP地址和/或MAC地址,即将需要传递的数据内容置于数据链路层MAC地址和/或IP地址中,然后将携带编译后的IP地址和/或MAC地址的数据包传输到目的编译器,由目的编译器利用预先存储的同样体现了数据内容与编译后IP地址和/或MAC地址之间的映射关系的、与地址复写策略对应的信息识别策略来解析收到IP地址和/或MAC地址,来获得所需要的数据,从而达到数据安全传输的目的,大大提高了数据传输的安全性。
传统的IP地址/MAC地址是用于网络中标识设备控制子网运行,如逻辑编址分组交换和路由选择使用,而本发明实施例中将IP地址/MAC地址用于认证和/或传递信息。
图1所示为本发明实施例中能够实现网络安全认证和数据安全传输的系统的结构示意图。如图1所示,该系统可包括客户端设备100和服务器端设备200,其中,客户端设备100可包括客户端计算机(如PC、移动终端等)和与客户端计算机连接的、用于对IP地址/MAC地址进行地址编译的第一网络安全编译设备;服务器端设备200包括服务器和与服务器连接的、用于对IP地址/MAC地址进行解析的第二网络安全编译设备。在本发明实施例中,第一网络安全编译设备和第二网络安全编译设备用作网络安全设备来实现本发明实时例的数据安全传输和网络安全认证,二者也可分别简称为第一网络安全设备和第二网络安全设备。在一示例中,第一网络安全编译设备和第二网络安全编译设备均为设有编译器的网关,第一网络安全编译设备为发送方侧的网关设备,第二网络安全编译设备为接收方侧的网关设备。除了网关之外,第一网络安全编译设备和第二网络安全编译设备还可以是工业模组或嵌入式芯片,且本发明不限于此。为了便于描述,下面第一网络安全编译设备可以简称为网关A,第二网络安全编译设备可以简称为网关B。在客户端计算机主动向服务器发送数据的情况下,客户计算机为通信的主动发起方,服务器为通信的被动发起方。
在图1所示的系统中,由于网关内设有编译器(地址编译器),在依托通用网络通信的基础上,网关A利用编译器可按照预定义的地址复写策略(或称地址编译策略)对发送方数据包中的源MAC地址和/或源IP地址的部分标识位进行复写(更改),可得到并不真实存在的、承载有要传递的第一特定信息的虚拟化的MAC地址和/或虚拟化的IP地址。然后将更改后的MAC地址和/或IP地址随着数据包传输到目标服务器,与目标服务器连接的网关B接收到更改后的MAC地址和/或IP地址后,根据与网关A中的地址复写策略对应的、能够识别出第一特定信息的信息识别策略对更改后的MAC地址和/或更改后的IP地址进行第一特定信息的识别和验证,并基于验证结果来对发送方进行认证;同样,网关B利用编译器可按照预定义的地址复写策略(或称地址编译策略)对接收方数据包中的源MAC地址和/或源IP地址的部分标识位进行复写(更改),可得到并不真实存在的、承载有要传递的第二特定信息的虚拟化的MAC地址和/或虚拟化的IP地址。然后将更改后的MAC地址和/或IP地址随着数据包传输到作为客户端设备,与客户端设备连接的网关A接收到更改后的MAC地址和/或IP地址后,根据与网关B中的地址复写策略对应的、能够识别出第二特定信息的信息识别策略对更改后的MAC地址和/或更改后的IP地址进行第二特定信息的识别和验证,并基于验证结果来对接收方进行认证。此外,本发明通过利用信息识别策略对更改后的MAC地址和/或更改后的IP地址进行特定信息的识别和翻译,可得到所述特定信息的内容,从而实现重要数据的安全传输。下面结合图1所示的系统来描述本发明实施例的用于数据安全传输的认证方法和数据安全传输方法。
图2所示为本发明一实施例中用于数据安全传输的认证方法的流程示意图。如图2所示,该认证方法包括以下步骤:
步骤S110,发送方网关设备(网关A)劫持数据发送方发出的数据包。
也即,发送方网关设备(网关A)利用劫持技术从数据发送方获取数据包。
本发明实施例中的网关设备的物理接口无需独立的IP地址和MAC地址,其靠劫持数据报文来获取发送方发出的数据,并通过路由方式或广播方式将数据发送出去。
更具体地,网关A可利用hook劫持技术通过hook函数来劫持通信中的数据包。例如,可通过劫持全局流量的方式将原有通信的MAC地址和IP地址替换成将数据转换编译后的虚拟化MAC地址和虚拟化IP地址注入到通信发起方发起的相应通信应用进程中,来实现数据安全传输认证的功能。
由于用于进行数据包的监测和劫持的hook劫持技术为现有成熟技术,在此不再详细描述。
本发明实施例中,不仅可以采用hook劫持技术来获得数据发送方发出的数据包,也可以采用现有的或将来出现的其他劫持技术来实现。
发送方网关设备劫持到数据发送方发出的数据包之后,可以从劫持的数据包中获得发送方的源MAC地址和源IP地址。
步骤S120,发送方网关设备基于预定的地址复写策略,对数据包中发送方的源MAC地址和/或源IP地址的特定字段进行复写,生成替代所述源MAC地址和/或源IP地址的虚拟化的MAC地址和/或虚拟化的IP地址。
发送方网关设备可预先存储有的通信双方的地址复写策略,该通信双方地址复写策略可包括通信双方的虚拟化的MAC地址和/或虚拟化的IP地址的特定字段与各自的原MAC地址和/或IP地址的对应关系。该对应关系可以以映射表的形式进行存储。此外,所述通信双方地址复写策略还可包括发送方和接收方的虚拟化的MAC地址和/或虚拟化的IP地址与其携带的特定信息(如认证信息)的对应关系,该对应关系可同样以映射表的形式进行存储。
基于预先存储的通信双方的地址复写策略,发送方网关设备可对数据包中发送方的源MAC地址和/或源IP地址的特定字段进行复写,例如将至少一条第一特定信息写入数据包中发送方的源MAC地址和/或源IP地址的特定字段,从而生成替代所述源MAC地址和/或源IP地址的虚拟化的MAC地址和/或虚拟化的IP地址。
在此,虚拟化的MAC地址和/或虚拟化的IP地址是指与发送方的源MAC地址和/或源IP地址所在网段的已有相应地址不冲突的地址,虚拟化的MAC地址和/或虚拟化的IP地址为非真实存在的物理地址,这样就不会与真实的地址产生冲突。
本步骤中,可以将预先定义的地址复写策略存储在网关A中,这样,网关A就可以利用编译器基于预先定义的地址复写策略来对数据包中发送方的源MAC地址和/或源IP地址的部分字段来进行复写,从而生成新的虚拟化的MAC地址和/或IP地址。本发明实施例中,既可以仅对MAC地址和IP地址中的任一个进行复写,也可以对二者同时进行复写。下面将分别对MAC地址和IP地址的复写进行描述。
当前的MAC地址,通常用十六进制数表示,共六个字节(48位)。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号或者横杠隔开,如:48:89:E7:D5:23:7A就是一个MAC地址,其中前6位16进制数(即前3个字节,高位24位)代表网络硬件制造商的编号,它由IEEE的注册管理机构(RegistrationAuthority,RA)分配,而后6位16进制数(即后3个字节,低位24位)代表该制造商所制造的某个网络产品(如网卡)的系列号。
在对MAC地址进行复写时,可以将MAC地址的间隔开的6个字段(每个字段对应1个字节)中的一个或多个特定字段进行地址的重新编译(复写),以通过复写后的各个字段来携带一条或多条特定信息(如认证信息或其他信息)。也即,虚拟化的MAC地址的采用一个或多个字段携带特定信息,在采用多个字段携带特定信息的情况下,不同字段可携带不同特定信息,当然,同一字段也可以携带一种以上的特定信息,例如,可利用某一字段的值来标识第一特定信息,可利用该字段的值的奇偶性来表示第二特定信息。在本发明实施例中,要在复写的字段中携带的一条或多条特定信息可以包括以下信息中的一种或多种:操作指令、认证方式(如用户密码认证、数字证书认证或其他认证方式)、发起方机构名称、发起方用户组标识、发起方访问者标识、访问目标坐标值和发起方源坐标值等,这些信息仅为示例,本发明并不限于此。
针对MAC地址的复写,地址复写策略可包括一条或多台特定信息与虚拟化的MAC地址的一个或多个特定字段的对应关系,该对应关系可以以特定字段的值与特定信息的映射表的形式进行存储。例如,基于存储的映射表,网关A的编译器可以将MAC地址的第4个字段复写为发起方的X坐标值,将MAC地址的第5个字段复写为发起方的Y坐标值,MAC地址的第6个字段例如可以被复写为访问者标识等。该复写方式仅为示例,本发明并不限于此。
对于IP地址来说,IP地址的长度为32位,分为4段(可理解为4个字段),每段8位,用十进制数字表示,每段数字范围为0~255,段与段之间用点隔开。本发明实施例中,对IP地址的复写与对MAC地址的复写类似,可以将IP地址的间隔开的4个字段中的一个或多个特定字段进行地址的重新编译(复写),以通过复写后的一个或多个字段来携带一条或多条特定信息(如认证信息或其他信息)。也即,虚拟化的IP地址的采用一个或多个字段携带特定信息,在采用多个字段携带特定信息的情况下,不同字段可携带不同特定信息,当然,同一字段也可以携带一种以上的特定信息,例如,可利用某一字段的值来标识第一特定信息,可利用该字段的值的奇偶性来表示第二特定信息。在本发明实施例中,要在复写的字段中携带的一条或多条特定信息可以包括以下信息中的一种或多种:操作指令、认证方式、机构名称、用户组标识、访问者标识、访问目标坐标值和发起方源坐标值等,此处用户组标识可表示用户终端所属的用户组,这些信息仅为示例,本发明并不限于此。除了以上信息外,虚拟化的MAC地址或虚拟化的IP地址还可携带有用于标识主动发起方(发送方,如用户终端)或被动发起方(接收方,如服务器端)的主动发起方或被动发起方标识。
针对IP地址的复写,地址复写策略同样可包括一条或多台特定信息与虚拟化的IP地址的一个或多个特定字段的对应关系,该对应关系可以以特定字段的值与特定信息的映射表的形式进行存储。例如,基于存储的映射表,网关A的编译器可以将IP地址的第2个字段复写为发起方的经度(或X坐标值),将IP地址的第3个字段复写为发起方的纬度(或Y坐标值),IP地址的第4个字段例如可以被复写为访问者标识或发起方的高度等。该复写方式仅为示例,本发明并不限于此。
与所述发送方相对应地,在数据接收方(如目标服务器端)的网关同样存储有通信双方地址复写策略,以使得数据接收方的网关在收到数据包后,可以基于复写后的MAC地址和/或IP地址识别出作为认证信息或其他信息的特定信息。
步骤S130,发送方网关设备向接收方发送携带虚拟化的MAC地址和/或虚拟化的IP地址的数据包。
通过由发送方网关设备向接收方发送携带虚拟化的MAC地址和/或虚拟化的IP地址的数据包,可以在不影响原有网络结构或路由信息更改的条件下进行网络部署,第一网络安全设备(发送方网关)和第二网络安全设备(接收方网关)之间形成自定义的虚拟化网络,因此对虚拟化的MAC地址和虚拟化的IP地址不受影响。
接收到发送方网关设备发送的数据包后,接收方的网关设备可基于预先存储的通信双方地址复写策略来解析并识别虚拟化的MAC地址和/或虚拟化的IP地址,基于识别结果来判断源数据是否为已认证可知的网关设备进行发送,以达到认证源发送方的认证效果。
步骤S140,发送方网关设备接收由接收方网关设备发送的来自接收方的数据包,基于所述通信双方地址复写策略来解析并识别接收的数据包中接收方的虚拟化MAC地址和/或虚拟化IP地址,并基于解析和识别结果来对接收方进行认证。
发送方网关劫持到的数据包中可携带有目的节点(接收方,如服务器)的IP地址,在这种情况下,发送方网关可以通过路由方式向接收方发送携带虚拟化的MAC地址和/或虚拟化的IP地址的数据包。在本发明另选实施例中,发送方网关可以通过广播的形式来发送携带虚拟化的MAC地址和/或虚拟化的IP地址的数据包。
在实际的应用场景中,接收方与发送方应为彼此信任的关系,因此在进行网络配置时,发送方网关和接收方网关(网关B)都会预先存储有双方的地址复写策略,从而使得接收方网关在接收到带有虚拟化的MAC地址和/或虚拟化的IP地址的数据包时,可以利用存储的地址复写策略进行特定信息的识别,从而可以实现与发送方之间的验证。在本发明一实施例中,地址复写策略可以为包括特定信息(第一特定信息或第二特定信息)与虚拟化的MAC地址和/或虚拟化的IP地址的特定字段的对应关系的映射表,但本发明并不限于此。
在本发明实施例中,接收方网关和发送方网关之间可以通过现有的二层网络交换协议或路由协议进行地址寻址来实现数据通信,但本发明并不限于此。将发起方的一些特定信息写入到IP地址或MAC地址的一个或多个字段的主要作用是为了网络安全的控制,网关A发出的数据报文经过N(N≥1)个节点的交换或路由后到达网关B后,网关B可以通过与地址复写策略对应的信息识别策略进行二次效验,以验证源发起方是否为真实的授权者,网关A和网关B编译器可通过单独机制进行数据交换,以保证两端设备同步相关信息的一致性。如果网关B中存储的信息识别策略与网关A中存储的地址复写策略内容相一致,则网关B可以基于信息识别策略从接收的数据包中识别出用于认证的第一特定信息,网关B的校验结果为校验通过,说明源发起方是否为真实的授权者,此时可以通过确认虚拟MAC地址信息结合确认虚拟IP地址信息进行还原验证编译内容的方式向网关A反馈验证结果。如果验证不通过,说明源发起方不是真正的授权者,于是丢弃接收到的数据包。在认证成功的情况下,网关B将来自发送方的数据包传送给接收方,由接收方可接收并处理接收的数据包。
发送方和接收方之间的认证过程例如可以通过三次握手或四次握手过程来实现。图4为本发明一实施例中用于数据安全传输的认证方法的时序图,图4所示为三次握手的认证示例,但本发明并不限于此。如图4所示,该认证过程包括如下步骤:
步骤1.客户端向服务器端发送客户问候(Client hello)消息。
步骤2.网关A通过hook劫持获取客户端发出的数据,并通过预先存储的体现了通信双方源地址(源IP地址和/或源MAC地址)和虚拟地址(虚拟IP地址和/或虚拟MAC地址)映射关系的地址复写映射表对消息中的IP地址和/或MAC地址进行复写,生成虚拟的IP地址和/或MAC地址。
步骤3.网关A通过广播或路由将带有虚拟IP地址和/或MAC地址的客户问候消息发送给网关B。
步骤4.网关B基于存储的体现客户端虚拟地址的特定字段和用于认证的第一特定信息的映射关系的映射表,来识别第一特定信息,以基于对第一特定信息的识别结果来对发送方进行验证。如果验证通过,证明发送方是经授权而被信任的源,从而网关B基于存储的地址复写映射表对虚拟IP地址和/或MAC地址进行翻译(还原),还原为客户端真实的IP地址和/或MAC地址,从而将地址还原后的消息传送给目标服务器。如果验证没有通过,则网关B直接将接收的消息丢弃,不再传送给目标服务器。
步骤5.目标服务器接收到客户端的消息后,返回确认消息。
步骤6.服务器返回的确认消息被网关B通过hook劫持获得,并利用存储的地址复写策略进行地址的编译,并将携带编译后的虚拟IP地址和/或MAC地址的确认消息发送给网关A。
步骤7.网关A基于存储的映射表,来识别编译后的虚拟IP地址和/或MAC地址中的第二特定信息,以基于对第二特定信息的识别结果来对发送方进行验证。如果验证通过,证明接收方(目标服务器)是经授权而被信任的源,从而网关A基于存储的地址复写映射表对虚拟IP地址和/或MAC地址进行翻译(还原),还原为服务器真实的IP地址和/或MAC地址,从而将地址还原后的消息传送给客户端。
步骤11.客户端接收到确认消息后,基于步骤1-5类似的流程,在网关B验证后还原客户端的IP地址和/或MAC地址,并将带有还原后的地址的确认消息发送给服务器。
由此客户端和服务器之间可以进行数据的传输。
本发明实施例中,通过基于编译后的MAC地址和/或IP地址得到认证数据而实现通信过程的安全认证。由于网关不具备独立的IP地址,并且通过地址编译将发送方的IP地址和/或MAC地址进行复写来携带认证信息,黑客等非法用户即便获取到数据包,其也无法基于消息中的IP地址和/或MAC判断消息的真正来源,更无法完成认证过程。其试图攻击服务器时,同样由于不能通过认证,则无法进行访问操作,从而保证了数据安全。
图3所示为本发明一实施例中数据安全传输方法的示意图。如图3所示,该数据安全传输方法包括以下步骤:
步骤S310,发送方网关设备(网关A)劫持数据发送方发出的数据包。
该步骤与步骤S110相同,在此不再赘述。
步骤S320,发送方网关设备基于预定的通信双方地址复写策略,将至少一条第一特定信息写入数据包中发送方的源MAC地址和/或源IP地址的特定字段,生成替代源MAC地址和/或源IP地址的虚拟化的MAC地址和/或虚拟化的IP地址。
该步骤可以与步骤S120相同,也可以略有不同。针对略有不同的情况,不同之处可以是地址复写策略的不同。在本实施例中,通信双方地址复写策略不仅可以包括所述至少一条特定信息与虚拟化的MAC地址和/或虚拟化的IP地址的特定字段的对应关系,另选地还可以包括将特定信息写至特定字段的地址复写算法。
步骤S330,发送方网关设备向接收方发送携带虚拟化的MAC地址和/或虚拟化的IP地址的数据包,以使得接收方网关设备基于存储的通信双方地址复写策略从虚拟化的MAC地址和/或虚拟化的IP地址中识别出第一特定信息,从而获得特定信息。
与前述步骤S130的不同之处在于,本步骤是为了获得第一特定信息本身的传输,而不是为了自动基于特定信息实现发送方和接收方之间的认证。
在本发明优选实施例中,为了进一步保障数据传输的安全,发送方网关设备和接收方网关设备间传输的数据包为经过加密的数据包,通过数据的加密进一步提高了数据的安全性。
本发明实施例的数据安全传输方法基于通用网络进行地址交换或路由通信,网关A通过使用将数据内容与MAC地址和/或IP地址映射后的虚拟化的MAC地址和/或IP地址进行通信,通过此地址交换到目的网关B,目的网关B设备收到后根据地址与数据的映射表还原回原始数据以达到防止非法监听的目的。
本实施例方法,通过基于编译后的MAC地址和/或IP地址实现特定信息向目标地址的安全传输,从而保证了数据传输的安全性。在本发明提出的方法重新定义了网络通信,不同于通用技术方法,将数据封装于OSI七层参考模型的应用层中,而是将需要传输的认证信息或其他重要数据封装在MAC地址和/或IP地址中,也即,利用预定的地址复写策略对MAC地址和/或IP地址进行改写,以将MAC地址和/或IP地址的部分字段改写为带有至少一条特定信息,该至少一条特定信息可以是用于认证的认证信息或其他要传递给接收方的信息。
与上述用于数据安全传输的认证方法相应地,本发明还提供了一种数据安全系统,该数据安全系统可包括网络安全设备(如设有地址编译器的网关),所述网络安全设备包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时实现如前所述的用于数据安全传输的认证方法的步骤。
与上述数据安全传输方法相应地,本发明还提供了一种数据安全系统,该数据安全系统可包括网络安全设备(如设有地址编译器的网关),所述网络安全设备包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时实现如前所述的数据安全传输方法的步骤。
相应地,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现如前所述方法的步骤。
本发明的上述方法和系统,尤其适用于信息保密性强的场景和行业,如对信息宝兴性有特殊要求的行业的单位内部用户终端与服务器之间的通信,可以有效防止黑客的监听。
本领域普通技术人员应该可以明白,结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法,能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如全国电子政务网、工业专网、城域网、金融保险行业客户专用网络、局域网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
本发明中,针对一个实施方式描述和/或例示的特征,可以在一个或更多个其它实施方式中以相同方式或以类似方式使用,和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。