CN114268499B - 数据传输方法、装置、系统、设备和存储介质 - Google Patents

数据传输方法、装置、系统、设备和存储介质 Download PDF

Info

Publication number
CN114268499B
CN114268499B CN202111590142.4A CN202111590142A CN114268499B CN 114268499 B CN114268499 B CN 114268499B CN 202111590142 A CN202111590142 A CN 202111590142A CN 114268499 B CN114268499 B CN 114268499B
Authority
CN
China
Prior art keywords
forwarding
tunnel
data
designated
tunnel forwarding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111590142.4A
Other languages
English (en)
Other versions
CN114268499A (zh
Inventor
王启超
张首斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111590142.4A priority Critical patent/CN114268499B/zh
Publication of CN114268499A publication Critical patent/CN114268499A/zh
Application granted granted Critical
Publication of CN114268499B publication Critical patent/CN114268499B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种数据传输方法、装置、系统、设备和存储介质,该方法包括:接收终端对目标服务器发起的数据流量包,所述数据流量包为加密处理后的密文数据;按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点;通过所述指定隧道转发节点解密所述数据流量包,并通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器;通过所述代理服务器将所述数据流量包转发至所述目标服务器。本申请通过使用多次转发代理和数据加密来提高网络通信的安全性,提高数据传输系统的稳定性和转发策略的灵活性。

Description

数据传输方法、装置、系统、设备和存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种数据传输方法、装置、系统、设备和存储介质。
背景技术
随着网络的不断发展和网络服务应用的越来越多样化,网络代理服务在复杂的网络环境中正扮演着越来越重要的角色。代理服务器的功能就是代理网络用户去取得网络信息。形象地说,它是网络信息的中转站。有了代理服务之后,网络中断后不是直接到服务器去取回网络资源而是向代理服务器发出请求,由代理服务器来取回终端所需要的信息并传送给用户终端。而且,大部分代理服务器都具有缓冲的功能,就好像一个大容量缓存,它有很大的存储空间,不断将新取得数据储存到服务器本机的存储器上,这样就能显著提高资源获取的效率,也能够丰富获取资源的手段。
但是随着网络信息技术的高速发展,网络安全问题越来越凸显出来。不管是正常的访问网络信息还是通过代理去访问,都有可能存在着信息窃取、病毒传播以及网络犯罪等安全隐患,从而泄漏自己的安全隐私。使用代理时存在明显的交互特征,比如存在握手通讯步骤,或者存在暴露数据的情况等,这样做的结果将使得特征流量被非法人员识别和捕获,从而切断通讯或盗取网络数据,导致通讯失败和信息安全问题。
发明内容
本申请实施例的目的在于提供一种数据传输方法、装置、系统、设备和存储介质,通过使用多次转发代理和数据加密来提高网络通信的安全性,提高数据传输系统的稳定性和转发策略的灵活性。
本申请实施例第一方面提供了一种数据传输方法,包括:接收终端对目标服务器发起的数据流量包,所述数据流量包为加密处理后的密文数据;按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点;通过所述指定隧道转发节点解密所述数据流量包,并通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器;通过所述代理服务器将所述数据流量包转发至所述目标服务器。
于一实施例中,所述隧道转发策略中包括:多个隧道转发节点和所述多个隧道转发节点之间的转发路径;所述按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点,包括:每个所述隧道转发节点分别对所述数据流量包进行独立的加密处理和混淆处理,并按照所述多个隧道转发节点之间的转发路径将处理后的所述数据流量包转发至所述指定隧道转发节点。
于一实施例中,在所述接收终端对目标服务器发起的数据流量包,所述数据流量包为加密处理后的密文数据之前,还包括:在所述终端初次连接所述指定隧道转发节点时,与所述终端进行密钥协商,确定后续数据加解密的密钥。
于一实施例中,所述通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器,包括:判断所述指定隧道转发节点是否是第一次接收到所述终端的数据流量包;若所述指定隧道转发节点是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至本次指定的代理服务器。
于一实施例中,所述通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器,还包括:若所述指定隧道转发节点不是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至历史记录中的代理服务器。
于一实施例中,还包括:通过所述代理服务器接收来自所述目标服务器针对所述数据流量包的响应数据,并将所述响应数据转发给所述指定隧道转发节点;通过所述指定隧道转发节点加密所述响应数据;按照所述隧道转发策略,通过所述转发隧道将加密后的所述响应数据转发至所述终端。
本申请实施例第二方面提供了一种数据传输装置,包括:第一接收模块,用于接收终端对目标服务器发起的数据流量包,所述数据流量包为加密处理后的密文数据;第一转发模块,用于按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点;第二转发模块,用于通过所述指定隧道转发节点解密所述数据流量包,并通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器;代理模块,用于通过所述代理服务器将所述数据流量包转发至所述目标服务器。
于一实施例中,所述隧道转发策略中包括:多个隧道转发节点和所述多个隧道转发节点之间的转发路径;所述第一转发模块用于:每个所述隧道转发节点分别对所述数据流量包进行独立的加密处理和混淆处理,并按照所述多个隧道转发节点之间的转发路径将处理后的所述数据流量包转发至所述指定隧道转发节点。
于一实施例中,还包括:协商模块,用于在所述在终端对目标服务器发起的数据流量包时,对所述数据流量包进行加密处理之前,在所述终端初次连接所述指定隧道转发节点时,与所述终端进行密钥协商,确定后续数据加解密的密钥。
于一实施例中,所述第二转发模块用于:判断所述指定隧道转发节点是否是第一次接收到所述终端的数据流量包;若所述指定隧道转发节点是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至本次指定的代理服务器。
于一实施例中,所述第二转发模块还用于:若所述指定隧道转发节点不是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至历史记录中的代理服务器。
于一实施例中,还包括:第二接收模块,用于通过所述代理服务器接收来自所述目标服务器针对所述数据流量包的响应数据,并将所述响应数据转发给所述指定隧道转发节点;加密模块,用于通过所述指定隧道转发节点加密所述响应数据;第三转发模块,用于按照所述隧道转发策略,通过所述转发隧道将加密后的所述响应数据转发至所述终端。
本申请实施例第三方面提供了一种数据传输系统,包括:终端,用于对目标服务器发起数据流量包;转发隧道,连接所述终端,包括多个隧道转发节点,用于按照预设的隧道转发策略将所述数据流量包转发至指定隧道转发节点;代理服务器,连接所述指定隧道转发节点,用于将所述数据流量包转发至所述目标服务器;目标服务器,连接所述代理服务器,用于响应于所述数据流量包,返回响应数据至所述代理服务器;所述代理服务器还用于将所述响应数据转发给所述指定隧道转发节点;所述转发隧道还用于按照所述隧道转发策略,将所述响应数据转发至所述终端。
本申请实施例第四方面提供了一种电子设备,包括:存储器,用以存储计算机程序;处理器,用以执行所述计算机程序,以实现本申请实施例第一方面及其任一实施例的方法。
本申请实施例第五方面提供了一种非暂态电子设备可读存储介质,包括:程序,当其藉由电子设备运行时,使得所述电子设备执行本申请实施例第一方面及其任一实施例的方法。
本申请提供的数据传输方法、装置、系统、设备和存储介质,终端可以选择多个隧道转发节点来进行隧道加密代理,可以指定代理服务器进行明文代理。终端发出的数据流量包加密后进入转发隧道,经由转发隧道发送至指定隧道转发节点,指定隧道转发节点将数据流量包解密后转发至代理服务器,代理服务器将明文的数据流量包转发至目标服务器,过程中,隧道结点之间通过密文转发数据流量包,增强流量包在隧道传输中的安全性,流量包经过多次转发隐蔽性强不易被溯源。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请一实施例的电子设备的结构示意图;
图2为本申请一实施例的数据传输系统示意图;
图3为本申请一实施例的数据传输方法的流程示意图;
图4为本申请一实施例的数据传输方法的流程示意图;
图5为本申请一实施例的数据传输方法的时序示意图;
图6为本申请一实施例的数据传输装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如图1所示,本实施例提供一种电子设备1,包括:至少一个处理器11和存储器12,图1中以一个处理器为例。处理器11和存储器12通过总线10连接,存储器12存储有可被处理器11执行的指令,指令被处理器11执行,以使电子设备1可执行下述的实施例中方法的全部或部分流程,以通过使用多次转发代理和数据加密来提高网络通信的安全性,提高数据传输系统的稳定性和转发策略的灵活性。
于一实施例中,电子设备1可以是手机、笔记本电脑、台式计算机、或者多台计算机组成的运算系统等设备。
随着网络信息技术的高速发展,网络安全问题越来越凸显出来。不管是正常的访问网络信息还是通过代理去访问,都有可能存在着信息窃取、病毒传播以及网络犯罪等安全隐患,从而泄漏自己的安全隐私。使用代理时存在明显的交互特征,比如存在握手通讯步骤,或者存在暴露数据的情况等,这样做的结果将使得特征流量被非法人员识别和捕获,从而切断通讯或盗取网络数据,导致通讯失败和信息安全问题。
针对现有技术的上述缺陷,本申请实施例通过使用多次转发代理和数据加密、协议混淆来提高网络通信的安全性,可指定多个VPN代理节点和可选的socks5代理节点,提高系统的稳定性和转发策略的灵活性。
请参看图2,其为本申请一实施例的一种数据传输系统200,包括:终端、转发隧道、代理服务器和目标服务器30,其中:
终端可以包括多个,图2中以2个终端A和终端B为例,用于对目标服务器30发起数据流量包。
转发隧道连接终端,包括多个隧道转发节点,图2中以三个隧道转发节点X、隧道转发节点Y,隧道转发节点Z为例,隧道转发节点是具有加密、解密、转发数据包功能的网络结点,转发隧道用于按照预设的隧道转发策略将数据流量包转发至指定隧道转发节点。
代理服务器连接指定隧道转发节点,用于将数据流量包转发至目标服务器30。图2中以基于socks5的代理服务器为例。
目标服务器30连接代理服务器,用于响应于数据流量包,返回响应数据至代理服务器。目标服务器30可以有多个,不同的终端可以指定对不同的目标服务器30发起数据流量包。
代理服务器还用于将响应数据转发给指定隧道转发节点。转发隧道还用于按照隧道转发策略,将响应数据转发至终端。
如此,终端可以选择多个隧道转发节点来进行隧道加密代理,可以指定代理服务器进行明文代理。终端发出的数据流量包加密后进入转发隧道,经由转发隧道发送至指定隧道转发节点,指定隧道转发节点将数据流量包解密后转发至代理服务器,代理服务器将明文的数据流量包转发至目标服务器30,过程中,隧道结点之间通过密文转发数据流量包,增强流量包在隧道传输中的安全性,流量包经过多次转发隐蔽性强不易被溯源。
下面结合图例进一步对本申请实施例的方法进行详细描述。
请参看图3,其为本申请一实施例的数据传输方法,该方法可由图1所示的电子设备1来执行,并可以应用于如图2所示的数据传输系统200的数据传输场景中,以通过使用多次转发代理和数据加密来提高网络通信的安全性,提高数据传输系统200的稳定性和转发策略的灵活性。该方法包括如下步骤:
步骤301:接收终端B对目标服务器30发起的数据流量包,数据流量包为加密处理后的密文数据。
在本步骤中,以上述终端B为例,可以将数据传输功能的客户端装载在终端B上,终端B可以用户数据传输客户端发起对目标服务器30发起的数据流量包,此处数据流量包可以是对目标服务器30的数据请求包,为了数据传输安全,进入转发隧道前的数据流量包是经过加密处理后的密文数据。
步骤302:按照预设的隧道转发策略,通过转发隧道将加密后的数据流量包转发至指定隧道转发节点。
在本步骤中,终端B可以通过数据传输客户端选择多个隧道转发节点来进行隧道加密代理,形成预设的隧道转发策略,客户端发出的流量包首先进行加密进入转发隧道,转发隧道按照预设的隧道转发策略发送密文的数据流量包至隧道转发节点,隧道转发节点根据指定的转发规则将数据流量包发送至下一个隧道转发节点,隧道转发节点之间可以对流量包进行独立的加密和协议混淆处理,增强流量包在隧道传输中的安全性。指定隧道转发节点可以是隧道转发策略中最后一跳的隧道转发节点。
步骤303:通过指定隧道转发节点解密数据流量包,并通过指定隧道转发节点将解密后的数据流量包转发至代理服务器。
在本步骤中,终端B也可以通过数据传输客户端指定一个代理服务器进行明文代理,代理服务器可以是基于socks5的代理服务器。数据流量包发送至最后一跳隧道转发节点后,通过指定隧道转发节点对数据流量包进行解密。得到明文负载转发至socks5代理服务器。
步骤304:通过代理服务器将数据流量包转发至目标服务器30。
在本步骤中,通过socks5代理服务器进行远程服务代理,通过socks5代理服务器将数据流量包转发至目标服务器30。目标服务器30发送的响应数据也可以通过相同的流程转发至终端B。
上述数据传输方法,数据流量进行两种代理,即隧道加密代理和socks5明文代理。两种代理共同保护了终端B,大幅降低了终端B被溯源的风险。隧道代理对数据流量包进行了两类独立的加密并使用了混淆协议技术,大幅增强了数据的安全性。Socks5代理服务器易部署、更经济的特点使其可以对隧道转发节点产生保护作用,减少了最后一跳隧道转发节点被溯源的风险。多层次代理架构,提升了整体的安全性,提高了代理结点部署的灵活性。
请参看图4,其为本申请一实施例的数据传输方法,该方法可由图1所示的电子设备1来执行,并可以应用于如图2所示的数据传输系统200的数据传输场景中,以通过使用多次转发代理和数据加密来提高网络通信的安全性,提高数据传输系统200的稳定性和转发策略的灵活性。该方法包括如下步骤:
步骤401:在终端B初次连接指定隧道转发节点时,与终端B进行密钥协商,确定后续数据加解密的密钥。
在本步骤中,假设最后一跳的隧道转发节点为指定隧道转发节点,以基于socks5的代理服务器为例,由于指定隧道转发节点会与代理服务器直接通信,因此可以在指定隧道转发节点安装Socks5客户端,指定隧道转发节点可以为具有外网权限的设备,与终端B不在同一网段。
如图5所示,在终端B上安装数据传输客户端后,初始化数据传输客户端配置,连接到管控中心40。可以通过管控中心40为客户端生成一份加密配置,其中包含根据用户名和密码生成的唯一公钥,终端B通过数据传输客户端导入配置后,连接接入点(第一跳隧道转发节点A)来接入网络,向接入点查询管控中心40的路由转发标签,发送认证信息到管控中心40来认证身份。
在终端B初次连接安装有socks5客户端的指定隧道转发节点B时,会先与socks5客户端进行握手,握手过程中socks5客户端会校验终端B的密钥,确认终端B是否合法。同时双方会通过公私钥进行加密密钥协商,用于后续的数据加解密。在握手和数据通讯过程中所有流量数据都经过算法(比如算法curve25519、算法xsalsa20、算法poly1305)加密以及协议混淆(比如srt传输协议,rtp传输协议,btudp传输协议),保证数据的安全性。
步骤402:接收终端B对目标服务器30发起的数据流量包,数据流量包为加密处理后的密文数据。详细参见上述实施例中对步骤301的描述。
步骤403:每个隧道转发节点分别对数据流量包进行独立的加密处理和混淆处理,并按照多个隧道转发节点之间的转发路径将处理后的数据流量包转发至指定隧道转发节点B。
在本步骤中,转发隧道可以是基于VPN(Virtual Private Network,虚拟专用网络)隧道。如图5所示,在终端B与管控中心40认证后,可以通过管控中心40根据终端B的ipv4地址的地理位置,为终端B推送一批网络连接最优的socks5代理服务器,终端B可以从中选择一个代理服务器,用于生成隧道转发策略。隧道转发策略中包括:多个隧道转发节点和多个隧道转发节点之间的转发路径。即策略包含指定跳数的隧道转发节点和一个socks5代理服务器节点,终端B与socks5客户端节点(客户指定的最后一跳隧道转发节点B)之间可以通过VPN隧道进行通信(为UDP流量)。图5中转发隧道以两个隧道转发节点为例,即隧道转发节点A和隧道转发节点B。
可以通过路由中心50存储和管理隧道转发策略,终端B可以向第一跳的隧道转发节点A询问路由中心50的路径,获得路径后向路由中心50查询到达装载有socks5客户端的最后一跳隧道转发节点B的路由标签,路由标签中就包含了隧道转发策略,用于数据流量包在隧道转发节点之间路由转发。
具体地,终端B发出的流量包首先基于前述与指定隧道转发节点B协商的密钥进行加密,加密后进入转发隧道,转发隧道按照预设的隧道转发策略发送密文的数据流量包至隧道转发节点,隧道转发节点根据隧道转发策略指定的转发规则将数据流量包发送至下一个隧道转发节点,隧道转发节点之间可以对流量包进行独立的加密处理和混淆处理,增强流量包在隧道传输中的安全性。
于一实施例中,混淆处理包含但不限于:协议混淆、长度混淆、时间混淆等,以增强流量传输中的安全性。
于一实施例中,隧道通信不仅限于VPN,也可以通过其他隧道协议如PTP协议、L2F协议、L2TP协议等实现。
于一实施例中,socks5支持对TCP(Transmission Control Protocol,传输控制协议)和UDP(User Datagram Protocol,用户数据包协议)的代理,其中TCP的代理涉及到最后一跳隧道转发节点B处理终端B发来的SYN(Synchronize Sequence Numbers,同步序列编号)数据包,建立起与终端B的TCP连接,用于之后向终端B发送响应数据。
步骤404:通过指定隧道转发节点B解密数据流量包。
在本步骤中,即通过隧道转发策略中最后一跳的隧道转发节点B,基于前述与终端B协商的密钥,对数据流量包进行解密处理,得到明文的数据流量包。
步骤405:判断指定隧道转发节点B是否是第一次接收到终端B的数据流量包。若是,进入步骤406,否则进入步骤407。
在本步骤中,由于指定隧道转发节点B初次与代理服务器连接时,需要进行认证过程,认证成功后才可以将数据流量包转发给代理服务器,因此当一个终端B经由转发隧道转发过数据包后,可以记录下转发历史,以便于下一次使用,因此初次转发与再次转发过程会不一样,需要区分指定隧道转发节点B是否是第一次接收到终端B的数据流量包,如果是,进入步骤406,否则进入步骤407。
步骤406:通过指定隧道转发节点B将数据流量包转发至本次指定的代理服务器。然后进入步骤408。
在本步骤中,若指定隧道转发节点B是第一次接收到终端B的数据流量包,由于没有历史转发记录,因此需要按照终端B指定代理服务器进行转发,指定隧道转发节点B通过Socks5客户端向本次终端B指定的socks5代理服务器发起异步连接的socks5认证请求,认证方式可以是:无认证或者用户名密码认证,认证成功后将终端B的数据流量包发送给socks5代理服务器。若指定隧道转发节点B与socks5代理服务器之间socks5认证失败,或通信中断,指定隧道转发节点B可以重新选择一个新的socks5代理服务器进行连接。
步骤407:通过指定隧道转发节点B将数据流量包转发至历史记录中的代理服务器。然后进入步骤408。
在本步骤中,若指定隧道转发节点B不是第一次接收到终端B的数据流量包,对于已经通过指定隧道转发节点B转发过数据流量包的终端B,会有历史转发记录,历史转发记录中会记载该终端B上一次指定的代理服务器,可以直接按照历史转发记录中的代理服务器做本次数据流量包的转发,以节约指定隧道转发节点B与代理服务器之间的认证连接时间。
步骤408:通过代理服务器将数据流量包转发至目标服务器30。详细参见上述实施例中对步骤304的描述。
步骤409:通过代理服务器接收来自目标服务器30针对数据流量包的响应数据,并将响应数据转发给指定隧道转发节点B。
在本步骤中,如图5所示,socks5代理服务器响应来自指定隧道转发节点B的socks5请求,然后将数据流量包转发到目标服务器30,并将目标服务器30的响应数据发送给指定隧道转发节点B。
步骤410:通过指定隧道转发节点B加密响应数据。
在本步骤中,由指定隧道转发节点B基于前述协商的密钥对响应数据进行加密处理和混淆处理,保证进入转发隧道的响应数据是密文数据,以保证数据传输的安全性。
步骤411:按照隧道转发策略,通过转发隧道将加密后的响应数据转发至终端B。
在本步骤中,可以按照终端B指定的隧道转发策略,通过转发隧道将密文的响应数据转发至终端B,即按照数据流量包的转发路径,原路返回响应数据,完成一次数据通讯。
于一实施例中,以公司内网研发环境需要访问外网目标服务器30为例:公司内部研发人员在开发过程中需要访问外网进行资料查询,为保护公司研发机器,不被非法分子入侵,从而获取公司重要内部资料,可使用上述数据传输此方法访问外网,从而达到保护内部重要资料的效果。过程如下:
环境部署:
终端B:研发机器。
socks5客户端安装在指定隧道转发节点B:为公司具有外网权限的机器非研发机器,与研发机器非同一网段。
socks5代理服务器:为网络中免费或者商业的socks5服务器。
按照上述数据传输方法,具体的流程可以如下:
1.研发机器安装数据传输户端,并由管理员(通过管控中心40)为其分配密钥及一个或多个socks5客户端。
2.研发人员可通过数据传输客户端自由选择某一个socks5客户端所在的机器作为指定隧道转发节点B,通过VPN隧道与其建立通讯。
3.研发机器发起对外网目标服务器30的网页请求,数据经过数据处理模块将数据进行加密以及协议混淆后,通过出隧道发送到socks5客户端上面,socks5客户端通过隧道收到信息后,先经过数据处理模块对数据进行解密,开始与socks5代理服务器进行TCP连接,并开始身份认证。
4.指定隧道转发节点B通过socks5客户端与代理服务器认证成功后,将解密后的数据发送到socks5代理服务器,后者支持对tcp及udp数据的代理功能,将数据转发到目标服务器30,并将目标服务器30的响应数据转发回至安装有sock5客户端的指定隧道转发节点B。socks5客户端将响应数据加密进入隧道发回到数据传输客户端(即公司研发机器),完成一次数据通信。
上述数据传输方法,通过对流量包进行加密并通过VPN代理结点进行指定次数的转发,流量包到达最后一跳隧道转发结点B后,连接socks5代理服务器进行身份认证,认证成功后将流量包负载发送至socks5代理服务器进行代理。提供了可指定多次VPN代理加密转发和可选的socks5代理相结合的代理方案,使流量包从客户端经过加密处理、协议封装等技术在多个隧道转发节点间安全传输,并最终通过可选的socks5代理发送至目标服务器30,流量包经过多次转发隐蔽性强不易被溯源。负责VPN代理的隧道转发节点根据私有协议中的标签进行转发,并对流量包进行加密、协议混淆、长度混淆、时间混淆等处理,增强流量传输中的安全性。将socks5代理技术结合到传统代理方案中,使socks5代理服务器作为整条代理链路的最后代理结点,不仅提供了对源客户端的保护,并且提供了对其他代理结点的反溯源功能,提高系统稳定性。
请参看图5,其为本申请一实施例的数据传输装置600,该装置应用于图1所示的电子设备1,并可以应用于如图2所示的数据传输系统200的数据传输场景中,以通过使用多次转发代理和数据加密来提高网络通信的安全性,提高数据传输系统200的稳定性和转发策略的灵活性。该装置包括:第一接收模块601、第一转发模块602、第二转发模块603和代理模块604,各个模块的原理关系如下:
第一接收模块601,用于接收终端B对目标服务器30发起的数据流量包,数据流量包为加密处理后的密文数据。第一转发模块602,用于按照预设的隧道转发策略,通过转发隧道将加密后的数据流量包转发至指定隧道转发节点。第二转发模块603,用于通过指定隧道转发节点解密数据流量包,并通过指定隧道转发节点将解密后的数据流量包转发至代理服务器。代理模块604,用于通过代理服务器将数据流量包转发至目标服务器30。
于一实施例中,隧道转发策略中包括:多个隧道转发节点和多个隧道转发节点之间的转发路径。第一转发模块602用于:每个隧道转发节点分别对数据流量包进行独立的加密处理和混淆处理,并按照多个隧道转发节点之间的转发路径将处理后的数据流量包转发至指定隧道转发节点。
于一实施例中,还包括:协商模块605,用于在在终端B对目标服务器30发起的数据流量包时,对数据流量包进行加密处理之前,在终端B初次连接指定隧道转发节点时,与终端B进行密钥协商,确定后续数据加解密的密钥。
于一实施例中,第二转发模块603用于:判断指定隧道转发节点是否是第一次接收到终端B的数据流量包。若指定隧道转发节点是第一次接收到终端B的数据流量包,则通过指定隧道转发节点将数据流量包转发至本次指定的代理服务器。
于一实施例中,第二转发模块603还用于:若指定隧道转发节点不是第一次接收到终端B的数据流量包,则通过指定隧道转发节点将数据流量包转发至历史记录中的代理服务器。
于一实施例中,还包括:第二接收模块606,用于通过代理服务器接收来自目标服务器30针对数据流量包的响应数据,并将响应数据转发给指定隧道转发节点。加密模块607,用于通过指定隧道转发节点加密响应数据。第三转发模块608,用于按照隧道转发策略,通过转发隧道将加密后的响应数据转发至终端B。
上述数据传输装置600的详细描述,请参见上述实施例中相关方法步骤的描述。
本发明实施例还提供了一种非暂态电子设备可读存储介质,包括:程序,当其在电子设备上运行时,使得电子设备可执行上述实施例中方法的全部或部分流程。其中,存储介质可为磁盘、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccess Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等。存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (14)

1.一种数据传输方法,其特征在于,包括:
接收终端对目标服务器发起的数据流量包,所述数据流量包为加密处理后的密文数据;
按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点;所述转发隧道包括多个隧道转发节点,所述隧道转发节点是具有加密、解密、转发数据包功能的网络结点;所述指定隧道转发节点是隧道转发策略中最后一跳的隧道转发节点;
通过所述指定隧道转发节点解密所述数据流量包,并通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器;
通过所述代理服务器将所述数据流量包转发至所述目标服务器;
其中,所述隧道转发策略中包括:多个隧道转发节点和所述多个隧道转发节点之间的转发路径;所述按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点,包括:
每个所述隧道转发节点分别对所述数据流量包进行独立的加密处理和混淆处理,并按照所述多个隧道转发节点之间的转发路径将处理后的所述数据流量包转发至所述指定隧道转发节点。
2.根据权利要求1所述的方法,其特征在于,在所述接收终端对目标服务器发起的数据流量包,所述数据流量包为加密处理后的密文数据之前,还包括:
在所述终端初次连接所述指定隧道转发节点时,与所述终端进行密钥协商,确定后续数据加解密的密钥。
3.根据权利要求1所述的方法,其特征在于,所述通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器,包括:
判断所述指定隧道转发节点是否是第一次接收到所述终端的数据流量包;
若所述指定隧道转发节点是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至本次指定的代理服务器。
4.根据权利要求3所述的方法,其特征在于,所述通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器,还包括:
若所述指定隧道转发节点不是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至历史记录中的代理服务器。
5.根据权利要求1所述的方法,其特征在于,还包括:
通过所述代理服务器接收来自所述目标服务器针对所述数据流量包的响应数据,并将所述响应数据转发给所述指定隧道转发节点;
通过所述指定隧道转发节点加密所述响应数据;
按照所述隧道转发策略,通过所述转发隧道将加密后的所述响应数据转发至所述终端。
6.一种数据传输装置,其特征在于,包括:
第一接收模块,用于接收终端对目标服务器发起的数据流量包,所述数据流量包为加密处理后的密文数据;
第一转发模块,用于按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点;所述转发隧道包括多个隧道转发节点,所述隧道转发节点是具有加密、解密、转发数据包功能的网络结点;所述指定隧道转发节点是隧道转发策略中最后一跳的隧道转发节点;
第二转发模块,用于通过所述指定隧道转发节点解密所述数据流量包,并通过所述指定隧道转发节点将解密后的所述数据流量包转发至代理服务器;
代理模块,用于通过所述代理服务器将所述数据流量包转发至所述目标服务器;
其中,所述隧道转发策略中包括:多个隧道转发节点和所述多个隧道转发节点之间的转发路径;所述按照预设的隧道转发策略,通过转发隧道将加密后的所述数据流量包转发至指定隧道转发节点,包括:
每个所述隧道转发节点分别对所述数据流量包进行独立的加密处理和混淆处理,并按照所述多个隧道转发节点之间的转发路径将处理后的所述数据流量包转发至所述指定隧道转发节点。
7.根据权利要求6所述的装置,其特征在于,所述隧道转发策略中包括:多个隧道转发节点和所述多个隧道转发节点之间的转发路径;所述第一转发模块用于:
每个所述隧道转发节点分别对所述数据流量包进行独立的加密处理和混淆处理,并按照所述多个隧道转发节点之间的转发路径将处理后的所述数据流量包转发至所述指定隧道转发节点。
8.根据权利要求6所述的装置,其特征在于,还包括:
协商模块,用于在所述在终端对目标服务器发起的数据流量包时,对所述数据流量包进行加密处理之前,在所述终端初次连接所述指定隧道转发节点时,与所述终端进行密钥协商,确定后续数据加解密的密钥。
9.根据权利要求6所述的装置,其特征在于,所述第二转发模块用于:
判断所述指定隧道转发节点是否是第一次接收到所述终端的数据流量包;
若所述指定隧道转发节点是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至本次指定的代理服务器。
10.根据权利要求9所述的装置,其特征在于,所述第二转发模块还用于:
若所述指定隧道转发节点不是第一次接收到所述终端的数据流量包,则通过所述指定隧道转发节点将所述数据流量包转发至历史记录中的代理服务器。
11.根据权利要求6所述的装置,其特征在于,还包括:
第二接收模块,用于通过所述代理服务器接收来自所述目标服务器针对所述数据流量包的响应数据,并将所述响应数据转发给所述指定隧道转发节点;
加密模块,用于通过所述指定隧道转发节点加密所述响应数据;
第三转发模块,用于按照所述隧道转发策略,通过所述转发隧道将加密后的所述响应数据转发至所述终端。
12.一种数据传输系统,其特征在于,包括:
终端,用于对目标服务器发起数据流量包;
转发隧道,连接所述终端,包括多个隧道转发节点,用于按照预设的隧道转发策略将所述数据流量包转发至指定隧道转发节点;所述转发隧道包括多个隧道转发节点,所述隧道转发节点是具有加密、解密、转发数据包功能的网络结点;所述指定隧道转发节点是隧道转发策略中最后一跳的隧道转发节点;
代理服务器,连接所述指定隧道转发节点,用于将所述数据流量包转发至所述目标服务器;
目标服务器,连接所述代理服务器,用于响应于所述数据流量包,返回响应数据至所述代理服务器;
所述代理服务器还用于将所述响应数据转发给所述指定隧道转发节点;所述转发隧道还用于按照所述隧道转发策略,将所述响应数据转发至所述终端;
其中,所述隧道转发策略中包括:多个隧道转发节点和所述多个隧道转发节点之间的转发路径;按照预设的隧道转发策略将所述数据流量包转发至指定隧道转发节点,包括:
每个所述隧道转发节点分别对所述数据流量包进行独立的加密处理和混淆处理,并按照所述多个隧道转发节点之间的转发路径将处理后的所述数据流量包转发至所述指定隧道转发节点。
13.一种电子设备,其特征在于,包括:
存储器,用以存储计算机程序;
处理器,用以执行所述计算机程序,以实现如权利要求1至6中任一项所述的方法。
14. 一种非暂态电子设备可读存储介质, 其特征在于,包括:程序,当其藉由电子设备运行时,使得所述电子设备执行权利要求1至6中任一项所述的方法。
CN202111590142.4A 2021-12-23 2021-12-23 数据传输方法、装置、系统、设备和存储介质 Active CN114268499B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111590142.4A CN114268499B (zh) 2021-12-23 2021-12-23 数据传输方法、装置、系统、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111590142.4A CN114268499B (zh) 2021-12-23 2021-12-23 数据传输方法、装置、系统、设备和存储介质

Publications (2)

Publication Number Publication Date
CN114268499A CN114268499A (zh) 2022-04-01
CN114268499B true CN114268499B (zh) 2024-03-12

Family

ID=80829236

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111590142.4A Active CN114268499B (zh) 2021-12-23 2021-12-23 数据传输方法、装置、系统、设备和存储介质

Country Status (1)

Country Link
CN (1) CN114268499B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491169A (zh) * 2016-01-26 2016-04-13 苏州蜗牛数字科技股份有限公司 一种数据代理方法与系统
CN109756501A (zh) * 2019-01-02 2019-05-14 中国科学院信息工程研究所 一种基于http协议的高隐匿网络代理方法及系统
CN110971498A (zh) * 2018-09-30 2020-04-07 北京京东尚科信息技术有限公司 通信方法、通信装置、电子设备及存储介质
CN112565217A (zh) * 2020-11-26 2021-03-26 北京天融信网络安全技术有限公司 基于协议的混淆通信方法及客户终端、服务器、存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491169A (zh) * 2016-01-26 2016-04-13 苏州蜗牛数字科技股份有限公司 一种数据代理方法与系统
CN110971498A (zh) * 2018-09-30 2020-04-07 北京京东尚科信息技术有限公司 通信方法、通信装置、电子设备及存储介质
CN109756501A (zh) * 2019-01-02 2019-05-14 中国科学院信息工程研究所 一种基于http协议的高隐匿网络代理方法及系统
CN112565217A (zh) * 2020-11-26 2021-03-26 北京天融信网络安全技术有限公司 基于协议的混淆通信方法及客户终端、服务器、存储介质

Also Published As

Publication number Publication date
CN114268499A (zh) 2022-04-01

Similar Documents

Publication Publication Date Title
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
US10652210B2 (en) System and method for redirected firewall discovery in a network environment
CN110870277B (zh) 将中间盒引入到客户端与服务器之间的安全通信中
US7702901B2 (en) Secure communications between internet and remote client
US9100370B2 (en) Strong SSL proxy authentication with forced SSL renegotiation against a target server
JP5948001B2 (ja) 所要のノード経路と暗号署名とを用いたセキュアなパケット送信のためのポリシー
US9219709B2 (en) Multi-wrapped virtual private network
US7917939B2 (en) IPSec processing device, network system, and IPSec processing program
US20080028225A1 (en) Authorizing physical access-links for secure network connections
US20110016309A1 (en) Cryptographic communication system and gateway device
Ellard et al. Rebound: Decoy routing on asymmetric routes via error messages
Parthasarathy Protocol for carrying authentication and network access (PANA) threat analysis and security requirements
CN114938312B (zh) 一种数据传输方法和装置
CN105763318A (zh) 一种预共享密钥获取、分配方法及装置
CN106559779B (zh) 一种数据传输方法、装置以及系统
CN105591748A (zh) 一种认证方法和装置
CN109450849B (zh) 一种基于区块链的云服务器组网方法
CN114268499B (zh) 数据传输方法、装置、系统、设备和存储介质
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
Burgstaller et al. Anonymous communication in the browser via onion-routing
CN105610599B (zh) 用户数据管理方法及装置
CN109361684B (zh) 一种vxlan隧道的动态加密方法和系统
Nandhini et al. VPN blocker and recognizing the pattern of IP address
JP2007281918A (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
CN114222296B (zh) 一种无线网的安全接入方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant