CN114244621B - 一种多层级碎片化的高安全强度通信系统 - Google Patents
一种多层级碎片化的高安全强度通信系统 Download PDFInfo
- Publication number
- CN114244621B CN114244621B CN202111597300.9A CN202111597300A CN114244621B CN 114244621 B CN114244621 B CN 114244621B CN 202111597300 A CN202111597300 A CN 202111597300A CN 114244621 B CN114244621 B CN 114244621B
- Authority
- CN
- China
- Prior art keywords
- fragmentation
- user
- connection
- tunnel
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 70
- 238000004891 communication Methods 0.000 title claims abstract description 69
- 238000013467 fragmentation Methods 0.000 title claims abstract description 68
- 238000006062 fragmentation reaction Methods 0.000 title claims abstract description 68
- 238000012544 monitoring process Methods 0.000 claims abstract description 24
- 238000012545 processing Methods 0.000 claims abstract description 13
- 238000005516 engineering process Methods 0.000 claims abstract description 10
- 238000012423 maintenance Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 15
- 230000032683 aging Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- CKRLIWFOVCLXTP-UHFFFAOYSA-N 4-phenyl-1-propyl-3,6-dihydro-2h-pyridine Chemical compound C1N(CCC)CCC(C=2C=CC=CC=2)=C1 CKRLIWFOVCLXTP-UHFFFAOYSA-N 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000875 corresponding effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 101150012579 ADSL gene Proteins 0.000 description 2
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 2
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
- H04L41/0253—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using browsers or web-pages for accessing management information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种多层级碎片化的高安全强度通信系统,改善了现有技术中网络通信的完整性和机密性仍待改进的问题。该发明含有系统运维管理模块,负责对系统的管理配置、状态监控与日志管理,其中控制模块,负责对系统进行控制平面处理;连接碎片化模块,负责系统基于多种连接碎片化算法,调度用户不同连接上的数据报文到不同的VPN隧道;报文碎片化模块,负责系统基于多种报文碎片化算法,调度不同数据报文到多种接入链路;远端服务器模块,通过支持的多种链路接入方式与多个远端服务器同时建立多条加密隧道连接。该技术动态适应复杂网络环境,实时检测所有链路的故障状态,保证用户通信的稳定性和可靠性。
Description
技术领域
本发明涉及网络通信安全领域,特别是涉及一种多层级碎片化的高安全强度通信系统。
背景技术
传统网络通信系统的建设过程中,为了解决通信完整性和机密性的问题,通常一般都采用VPN方案,通过建立一个安全隧道,采用高级的数字加密协议(RSA、DES等)对通信过程中的整个报文或会话进行加密,采用数字签名等技术进行身份验证。
常用的VPN方案有OpenVPN、PPTP、L2TP/IPSec等。每种VPN方案都有各自的优缺点,如PPTP方案速度快、易部署、适用平台广,但是安全性较差;OpenVPN方案安全性较高,但是配置困难、延迟较大;L2TP/IPSec方案安全性较高、易部署,但是速度较慢,没有一个完美的方案能解决所有问题。
传统的网络通信系统通常采用单一的互联网接入方式以及单一的VPN方案,一旦出现故障,无法保证业务的正常开展,而且无法避免可能存在的漏洞后门,存在被破解的可能,更有甚的是现有的若干VPN方案被发现存有恶意软件,。
VPN本身的技术劣势使其容易遭受窃听、伪装、中间人等方式的攻击。传统网络通信系统通常采用静态的互联网接入方式,数据加密、身份验证方式基本也采用固定的算法,网络安全设备一般也采用固定的安全策略,因此在互联网环境中通信流量特征较明显,容易被溯源,容易遭受APT等新型网络攻击。
传统的网络通信系统单一性、静态性、固定性的特点使其存在各种安全缺陷,通信系统流量特征明显,易溯源,单一的互联网接入方式、静态的加密认证算法、固定的网络安全策略,流量特征较明显,容易被网络攻击者监测溯源,难以抵御各种新型的网络攻击方式,不利于高安全性业务的开展。
发明内容
本发明改善了现有技术中网络通信的完整性和机密性仍待改进的问题,提供一种同时在多种维度上实现动态变换,传输安全性高的多层级碎片化的高安全强度通信系统。
本发明的技术解决方案是,提供一种具有以下步骤的多层级碎片化的高安全强度通信系统:含有系统运维管理模块,负责对系统的管理配置、状态监控与日志管理,其中控制模块,负责对系统进行控制平面处理;连接碎片化模块,负责系统基于多种连接碎片化算法,调度用户不同连接上的数据报文到不同的VPN隧道;报文碎片化模块,负责系统基于多种报文碎片化算法,调度不同数据报文到多种接入链路;远端服务器模块,通过支持的多种链路接入方式与多个远端服务器同时建立多条加密隧道连接。
优选地,所述系统运维管理模块包含以下工作步骤,
步骤1、对整个系统的安全和碎片化算法进行配置;步骤2、通过web管理界面或SSH连接到设备实现对系统状态的实时监控及查询,包含CPU、内存、网络接口的使用状态的监控;步骤3、通过web管理界面连接到设备实现对日志信息的实时监控及查询,日志信息包含用户上下线日志、操作日志、隧道故障日志和隧道链路切换日志。
优选地,系统基于特定的碎片化算法进行连接碎片化及报文碎片化处理,碎片化算法分为以下几种:
1、简单轮询算法,将用户流量以连接为单位依次分配到各个加密隧道上,以数据包为单位依次分配到各个接入链路中,保证多个加密隧道承载的连接数大致相等、各个接入链路承载的数据包个数大致相等;2、加权轮询算法,将用户流量以连接为单位按照一定权重比依次分配到各个加密隧道上,以数据包为单位按照一定权重比依次分配到各个接入链路中,保证多个加密隧道承载的连接数、多各个接入链路承载的数据包个数与自己的权重比正相关;3、随机法,将用户流量以连接为单位随机分配到各个加密隧道上,以数据包为单位随机分配到各个接入链路中。
优选地,所述控制模块包含以下工作步骤:
步骤1、实现隧道的添加、修改、删除,负责对设备隧道链路状态的全面监测、隧道故障告警、故障隧道的自切换和故障隧道的自恢复;步骤2、实现链路的添加、修改、删除,负责对设备接入链路状态的全面监测、链路故障告警、故障链路的自切换和故障隧道的自恢复;步骤3、实现对接入本设备用户信息的实时获取,包含用户IP,MAC,会话数,发送速率,接收速率信息,同时对用户状态信息进行实时监控,实现用户的上线、更新和老化操作;步骤4、实现对第一次接入本身的用户进行身份认证。
优选地,所述连接碎片化模块包含以下工作步骤:基于多种VPN技术与远端服务器模块建立多个加密VPN隧道,系统充当多个VPN客户端,同时与多个VPN服务器建立连接;系统接收到用户数据报文后,以连接为粒度,系统基于多种连接碎片化算法,调度用户不同连接上的数据报文到不同的VPN隧道。
优选地,所述报文碎片化模块包含以下工作步骤:基于多种接入链路技术接入目标网络,基于连接碎片化模块,实现用户多个连接上的数据报文基于多个加密隧道进行碎片化处理后,针对同一个连接的多个数据报文,系统基于多种报文碎片化算法,调度不同数据报文到多种接入链路。
优选地,所述远端服务器模块包含以下工作步骤:与系统建立多个加密隧道,系统充当多个VPN客户端,通过支持的多种链路接入方式与多个远端服务器同时建立多条加密隧道连接。
与现有技术相比,本发明多层级碎片化的高安全强度通信系统具有以下优点:
1、系统对网络通信数据包进行多层级碎片化处理,自动将用户通信会话数据碎片化后进行加密安全传输,隐藏了网络通信流量的特征,攻击者只能监测到用户部分的网络通信数据,无法监测到用户的完整通信数据,使得用户通信数据在传输链路上会话过程、内容、通信行为等无法被监测还原,有效保护用户的个人隐私。
2、系统实现了接入链路及加密隧道等多维度的动态变换,可以隐藏用户的真实位置,实现用户业务分组隔离,可以有效保护内部网络用户的隐私属性,同时能够防范针对单一技术方案的漏洞后门,能够防御各种新型的网络攻击。
3、系统整合主流运营商的多种异构接入链路、以及专用接入链路通道,与跨地域的VPN服务器节点建立加密通信隧道,为用户提供透明的跨物理地域、跨运营商的异地加密安全接入服务,为用户提供稳定的安全防护,即使在极端被控条件下,也可以保护用户隐私属性。同时可以动态适应复杂网络环境,实时检测所有链路的故障状态,保证用户通信的稳定性和可靠性。
附图说明
图1是本发明的系统架构图;
图2是本发明的工作原理图;
图3是本发明中系统部署网络的结构图;
图4是本发明中系统工作过程的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本方案,下面将结合本实施例中的附图,对本实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本一部分的实施例,而不是全部的实施例。基于本中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本保护的范围。
下面结合附图和具体实施方式对本发明多层级碎片化的高安全强度通信系统作进一步说明:本实施例中基于现有的VPN技术,采用异构多链路技术,同时基于多种接入方式(ADSL、专线、4G、5G)以及多种安全加密隧道(PPTP、OpenVPN)构建网络,对网络通信数据包进行多层级碎片化处理,数据包层面可以将属于同一个连接的多个数据包基于多种接入方式进行碎片化处理,连接层面可以将同一个用户的多个连接基于多种加密隧道进行碎片化处理,自动将用户通信会话数据碎片化后进行加密安全传输,使得用户通信数据在传输链路上内容、会话过程、通信行为等无法被监测还原。
本发明对应方案架构如图1所示。多层级碎片化高强度通信设备包含系统运维管理模块、控制模块、连接碎片化模块、报文碎片化模块以及远端服务器模块:
1)系统运维管理模块:负责对系统的管理配置、状态监控与日志管理,系统配置包含对整个系统的安全配置、碎片化算法配置等;状态监控模块通过web管理界面或SSH连接到设备实现对系统状态的实时监控及查询,包含CPU、内存、网络接口的使用状态等;日志管理模块通过web管理界面连接到设备实现对日志信息的实时监控及查询,包含用户上下线日志、操作日志、隧道故障日志、隧道链路切换日志等
2)控制模块:负责对系统进行控制平面处理:包含以下子模块:隧道监控,隧道监控模块实现隧道的添加、修改、删除,负责对设备隧道链路状态的全面监测、隧道故障告警、故障隧道的自切换、故障隧道的自恢复。
链路监控,链路监控模块实现链路的添加、修改、删除,负责对设备接入链路状态的全面监测、链路故障告警、故障链路的自切换、故障隧道的自恢复。
用户监控,用户监控模块实现对接入本设备用户信息的实时获取,包含用户IP,MAC,会话数,发送速率,接收速率等信息,同时对用户状态信息进行实时监控,实现用户的上线、更新、老化等操作。
用户认证,用户认证模块实现对第一次接入本身的用户进行身份认证。
3)连接碎片化模块:
系统首先基于多种VPN技术与远端服务器模块建立多个加密VPN隧道,系统充当多个VPN客户端,同时与多个VPN服务器建立连接。系统接收到用户数据报文后,以连接为粒度,系统基于多种连接碎片化算法,调度用户不同连接上的数据报文到不同的VPN隧道,比如:用户连接a上对应数据报文从PPTP隧道上发送,用户连接b上对应数据报文从OpenVPN隧道上发送,从而实现多个连接基于多种加密隧道进行碎片化处理。
4)报文碎片化模块:
系统首先基于多种接入链路技术接入目标网络,基于连接碎片化模块,系统实现用户多个连接上的数据报文可以基于多个加密隧道进行碎片化处理后,针对同一个连接的多个数据报文,系统基于多种报文碎片化算法,调度不同数据报文到多种接入链路,比如数据报文a基于4G网络发送,数据报文b基于ADSL发送,从而实现同一连接的多个数据报文基于多种链路接入方式进行碎片化处理。
5)远端服务器模块:
负责与系统建立多个加密隧道。系统充当多个VPN客户端,可以通过支持的多种链路接入方式与多个远端服务器同时建立多条加密隧道连接。
系统工作原理如图2所示,在连接层面和报文层面对网络通信流量进行碎片化处理,连接层面可以将同一个用户的多个连接基于多种加密隧道进行碎片化处理,报文层面可以将属于同一个连接的多个数据包基于多种接入方式进行碎片化处理。系统基于特定的碎片化算法进行连接碎片化及报文碎片化处理,用户可以根据自己的业务需求选择适合的碎片化算法。碎片化算法分为以下几种:
简单轮询算法,将用户流量以连接为单位依次分配到各个加密隧道上,以数据包为单位依次分配到各个接入链路中,保证多个加密隧道承载的连接数大致相等、各个接入链路承载的数据包个数大致相等。
加权轮询算法,将用户流量以连接为单位按照一定权重比依次分配到各个加密隧道上,以数据包为单位按照一定权重比依次分配到各个接入链路中,保证多个加密隧道承载的连接数、多各个接入链路承载的数据包个数与自己的权重比正相关。
随机法,将用户流量以连接为单位随机分配到各个加密隧道上,以数据包为单位随机分配到各个接入链路中。
系统部署网络结构图如图3所示,系统支持串接的方式部署在二层设备和三层设备之间,靠近终端设备,内部用户通过身份认证接入设备LAN口,多种异构线路接入设备WAN口。
系统基于用户访问web网页的工作过程如图4所示,以下过程中“通信保护设备”指代“多层次碎片化通信保护设备”。
1)DNS解析流程
a.用户发送DNS查询请求到通信保护设备;
b.通信保护设备解析DNS报文,依据碎片化算法,选择隧道a作为数据包的加密通信隧道,选择链路1作为数据包的网络接入链路;
c.通信保护设备通过链路1转发DNS请求报文到目的VPN服务器a,再被vpn服务器转发到最终目标服务器;
d.目标服务器回复DNS响应报文到VPN服务器a,VPN服务器a再把报文转发到通信转发设备;
e.通信转发设备通过链路1接收到DNS响应报文,再转发到用户,完成DNS解析流程。
2)获取图片流程
a.用户发起建立TCP连接流程,发送TCP syn报文到通信保护设备;
b.通信保护设备解析TCP报文,依据碎片化算法,选择隧道b作为数据包的加密通信隧道,选择链路2作为数据包的网络接入链路;
c.通信保护设备通过链路2转发TCP syn报文到目的VPN服务器b,再被vpn服务器转发到最终目标服务器;
d.目标服务器回复TCP syn+ack报文到VPN服务器b,VPN服务器b再把报文转发到通信转发设备;
e.通信转发设备通过链路2接收到TCP syn+ack报文,再转发到用户;
f.用户发送TCP ACK报文到通信保护设备;
g.通信保护设备解析TCP报文,依据碎片化算法,由于是属于同一个会话,继续选择隧道b作为数据包的加密通信隧道,选择链路1作为数据包的网络接入链路;
h.通信保护设备通过链路1转发TCP ACK报文到目的VPN服务器b,再被vpn服务器转发到最终目标服务器,完成TCP的三次握手;
i.后续属于同一个会话的TCP报文继续选择隧道b作为数据包的加密通信隧道,网络接入链路可以根据响应的碎片化算法进行切换;
3)获取视频流程
a.用户重新发起建立TCP连接流程,发送TCP syn报文到通信保护设备;
b.通信保护设备解析TCP报文,依据碎片化算法,由于是新会话,切换隧道,选择隧道a作为数据包的加密通信隧道,选择链路1作为数据包的网络接入链路;
c.通信保护设备通过链路1转发TCP syn报文到目的VPN服务器a,再被vpn服务器转发到最终目标服务器;
d.目标服务器回复TCP syn+ack报文到VPN服务器a,VPN服务器a再把报文转发到通信转发设备;
e.通信转发设备通过链路1接收到TCP syn+ack报文,再转发到用户;
f.用户发送TCP ACK报文到通信保护设备;
g.通信保护设备解析TCP报文,依据碎片化算法,由于是属于当前同一个会话,继续选择隧道a作为数据包的加密通信隧道,选择链路2作为数据包的网络接入链路;
h.通信保护设备通过链路2转发TCP ACK报文到目的VPN服务器b,再被vpn服务器转发到最终目标服务器,完成TCP的三次握手;
i.后续属于同一个会话的TCP报文继续选择隧道b作为数据包的加密通信隧道,网络接入链路可以根据响应的碎片化算法进行切换。
以上所述仅是本的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本的保护范围。
Claims (7)
1.一种多层级碎片化的高安全强度通信系统,其特征在于:含有系统运维管理模块,负责对系统的管理配置、状态监控与日志管理,其中
控制模块,负责对系统进行控制平面处理;
连接碎片化模块,负责系统基于多种连接碎片化算法,调度用户不同连接上的数据报文到不同的VPN隧道;
报文碎片化模块,负责系统基于多种报文碎片化算法,调度不同数据报文到多种接入链路;
远端服务器模块,通过支持的多种链路接入方式与多个远端服务器同时建立多条加密隧道连接。
2.根据权利要求1所述的多层级碎片化的高安全强度通信系统,其特征在于:所述系统运维管理模块包含以下工作步骤,
步骤1、对整个系统的安全和碎片化算法进行配置;
步骤2、通过web管理界面或SSH连接到设备实现对系统状态的实时监控及查询,包含CPU、内存、网络接口的使用状态的监控;
步骤3、通过web管理界面连接到设备实现对日志信息的实时监控及查询,日志信息包含用户上下线日志、操作日志、隧道故障日志和隧道链路切换日志。
3.根据权利要求2所述的多层级碎片化的高安全强度通信系统,其特征在于:系统基于特定的碎片化算法进行连接碎片化及报文碎片化处理,碎片化算法分为以下几种:
(1)、简单轮询算法,将用户流量以连接为单位依次分配到各个加密隧道上,以数据包为单位依次分配到各个接入链路中,保证多个加密隧道承载的连接数大致相等、各个接入链路承载的数据包个数大致相等;
(2)、加权轮询算法,将用户流量以连接为单位按照一定权重比依次分配到各个加密隧道上,以数据包为单位按照一定权重比依次分配到各个接入链路中,保证多个加密隧道承载的连接数、各个接入链路承载的数据包个数与自己的权重比正相关;
(3)、随机法,将用户流量以连接为单位随机分配到各个加密隧道上,以数据包为单位随机分配到各个接入链路中。
4.根据权利要求1所述的多层级碎片化的高安全强度通信系统,其特征在于:所述控制模块包含以下工作步骤:
步骤1、实现隧道的添加、修改、删除,负责对设备隧道链路状态的全面监测、隧道故障告警、故障隧道的自切换和故障隧道的自恢复;
步骤2、实现链路的添加、修改、删除,负责对设备接入链路状态的全面监测、链路故障告警、故障链路的自切换和故障隧道的自恢复;
步骤3、实现对接入本设备用户信息的实时获取,包含用户IP,MAC,会话数,发送速率,接收速率信息,同时对用户状态信息进行实时监控,实现用户的上线、更新和老化操作;
步骤4、实现对第一次接入本身的用户进行身份认证。
5.根据权利要求1所述的多层级碎片化的高安全强度通信系统,其特征在于:所述连接碎片化模块包含以下工作步骤:基于多种VPN技术与远端服务器模块建立多个加密VPN隧道,系统充当多个VPN客户端,同时与多个VPN服务器建立连接;系统接收到用户数据报文后,以连接为粒度,系统基于多种连接碎片化算法,调度用户不同连接上的数据报文到不同的VPN隧道。
6.根据权利要求1所述的多层级碎片化的高安全强度通信系统,其特征在于:所述报文碎片化模块包含以下工作步骤:基于多种接入链路技术接入目标网络,基于连接碎片化模块,实现用户多个连接上的数据报文基于多个加密隧道进行碎片化处理后,针对同一个连接的多个数据报文,系统基于多种报文碎片化算法,调度不同数据报文到多种接入链路。
7.根据权利要求1所述的多层级碎片化的高安全强度通信系统,其特征在于:所述远端服务器模块包含以下工作步骤:与系统建立多个加密隧道,系统充当多个VPN客户端,通过支持的多种链路接入方式与多个远端服务器同时建立多条加密隧道连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111597300.9A CN114244621B (zh) | 2021-12-24 | 2021-12-24 | 一种多层级碎片化的高安全强度通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111597300.9A CN114244621B (zh) | 2021-12-24 | 2021-12-24 | 一种多层级碎片化的高安全强度通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244621A CN114244621A (zh) | 2022-03-25 |
| CN114244621B true CN114244621B (zh) | 2023-11-28 |
Family
ID=80762524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111597300.9A Active CN114244621B (zh) | 2021-12-24 | 2021-12-24 | 一种多层级碎片化的高安全强度通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244621B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117439765A (zh) * | 2023-09-08 | 2024-01-23 | 重庆数智融合创新科技有限公司 | 基于应用感知的数据存储转发方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101686180A (zh) * | 2008-09-28 | 2010-03-31 | 华为技术有限公司 | 数据传输方法及网络节点和数据传输系统 |
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试系统及多代理负载均衡方法 |
| CN103036782A (zh) * | 2012-12-20 | 2013-04-10 | 盛科网络(苏州)有限公司 | 网络通信方法及系统 |
| CN109639650A (zh) * | 2018-11-21 | 2019-04-16 | 中国电子科技集团公司第三十研究所 | 基于分组纵向随机剖分与路径分离传输的保密通信方法 |
| CN109690985A (zh) * | 2016-09-14 | 2019-04-26 | 华为技术有限公司 | 使用超信道实现高效网络利用的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210105275A1 (en) * | 2016-03-28 | 2021-04-08 | Zscaler, Inc. | Adaptive multipath tunneling in cloud-based systems |
-
2021
- 2021-12-24 CN CN202111597300.9A patent/CN114244621B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101686180A (zh) * | 2008-09-28 | 2010-03-31 | 华为技术有限公司 | 数据传输方法及网络节点和数据传输系统 |
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试系统及多代理负载均衡方法 |
| CN103036782A (zh) * | 2012-12-20 | 2013-04-10 | 盛科网络(苏州)有限公司 | 网络通信方法及系统 |
| CN109690985A (zh) * | 2016-09-14 | 2019-04-26 | 华为技术有限公司 | 使用超信道实现高效网络利用的方法和装置 |
| CN109639650A (zh) * | 2018-11-21 | 2019-04-16 | 中国电子科技集团公司第三十研究所 | 基于分组纵向随机剖分与路径分离传输的保密通信方法 |
Non-Patent Citations (1)
| Title |
|---|
| 电子政务网络移动安全接入体系及关键技术研究;邹翔;;信息网络安全(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244621A (zh) | 2022-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8904532B2 (en) | Method, apparatus and system for detecting botnet | |
| WO2022088405A1 (zh) | 一种网络安全防护方法、装置及系统 | |
| GB2449852A (en) | Monitoring network attacks using pattern matching | |
| CN106375261B (zh) | 一种跨网络数据传输方法和系统 | |
| KR101553264B1 (ko) | 네트워크 침입방지 시스템 및 방법 | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| Zhang et al. | Deployment of intrusion prevention system based on software defined networking | |
| CN114244621B (zh) | 一种多层级碎片化的高安全强度通信系统 | |
| CN109245982B (zh) | 一种基于单向分光的无状态端到端连接的内外网数据实时交换系统 | |
| CN104660572A (zh) | 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置 | |
| Narayana et al. | An Adaptive Threat Defence Mechanism Through Self Defending Network to Prevent Hijacking in WiFi Network | |
| Seliem et al. | IoTeWay: A secure framework architecture for 6LoWPAN based IoT applications | |
| CN100376092C (zh) | 防火墙与入侵检测系统联动的方法 | |
| Basem et al. | Multilayer secured SIP based VoIP architecture | |
| Liu et al. | Design of APT attack defense system based on dynamic deception | |
| Yan et al. | Design and Application of Security Gateway for Transmission Line Panoramic Monitoring Platform based on Microservice Architecture | |
| CN112351044A (zh) | 一种基于大数据的网络安全系统 | |
| CN108777680B (zh) | 一种在物联网中基于多点防御的ssdp反射攻击的防御方法与防御装置 | |
| Yu et al. | SymBiosis: Anti-censorship and anonymous Web-browsing ecosystem | |
| Kumar et al. | An analysis of tcp syn flooding attack and defense mechanism | |
| Yang et al. | Fast deployment of botnet detection with traffic monitoring | |
| CN111131172B (zh) | 一种内网主动调用服务的方法 | |
| Li | 5G Wireless Communication Network Security System Encryption based on DES Algorithm | |
| Xia et al. | Cids: Adapting legacy intrusion detection systems to the cloud with hybrid sampling | |
| Prasad et al. | An efficient flash crowd attack detection to internet threat monitors (itm) using honeypots |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |