CN114866220A - 一种基于协议混淆规则伪装的数据传输装置及方法 - Google Patents
一种基于协议混淆规则伪装的数据传输装置及方法 Download PDFInfo
- Publication number
- CN114866220A CN114866220A CN202210628239.8A CN202210628239A CN114866220A CN 114866220 A CN114866220 A CN 114866220A CN 202210628239 A CN202210628239 A CN 202210628239A CN 114866220 A CN114866220 A CN 114866220A
- Authority
- CN
- China
- Prior art keywords
- data
- transmitted
- proxy server
- client
- network request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/001—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于协议混淆规则伪装的数据传输装置及方法。所述数据传输装置至少包括客户端、代理服务器群和目标服务器。客户端能够基于混淆协议对待传输数据进行伪装并形成第一数据。代理服务器群由多台代理服务器组成。所述代理服务器能够根据所述混淆协议对所述第一数据进行解析以获取所述第一数据中的与所述待传输数据相对应的真实的网络请求地址。目标服务器能够获取所述代理服务器所转发的所述第一数据。所述目标服务器能够基于所述混淆协议对所述代理服务器所转发的所述第一数据进行解析,并从所述第一数据中获取所述待传输数据,以至少实现对所述待传输数据的保护。所述方法能够应用于所述装置。
Description
技术领域
本发明涉及数据传输技术领域,尤其涉及一种基于协议混淆规则伪装的数据传输装置及方法。
背景技术
随着科技的不断进步,互联网中涌现出种类繁多的应用程序,从而导致在互联网中用于数据传输的流量变得复杂多样。利用互联网传输文件/资料已经成为人们工作/生活中不可或缺的一部分。但是目前被广泛应用的网络传输协议所能做到的数据安全防护有限,因而仅仅适用于普通的数字化办公,无法满足国家的一些涉密单位和/或人员之间进行数据传输的安全防护要求。目前网络应用协议已由以往的HTTP、FTP、SMTP、POP3等传统协议为主过渡到以HTTPS、SSL、VoIP等协议为主。现有的HTTPS、SSL、VoIP的加密传输协议实质上均使用密钥加密通信数据、对数据完整性校验以及双向认证等技术手段来保证数据传输的安全。
然而在现有技术中,处于数据传输通道中的数据包的结构、流量速率以及访问地址等都是固定的且有规律可循的,并且在上述处于数据传输通道中的数据中也不会混淆参杂入其他应用程序的数据流量,从而上述数据包容易被一些不法分子分析和/或定位而存在信息泄露的安全风险。因此针对现有技术的不足有必要进行改进。
此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于申请人做出本发明时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本发明不具备这些现有技术的特征,相反本发明已经具备现有技术的所有特征,而且申请人保留在背景技术中增加相关现有技术之权利。
发明内容
在基于现有HTTPS协议通信的客户端与服务端之间进行数据传输时,加密数据的传输依赖于HTTPS、SSL和加密传输协议。但是,若加密数据的访问网络地址、数据包的结构以及流量等特征是固定的或有规律可循的,则加密数据会很容易被一些不法分子破译。加密数据一旦被不法分子分析破译就有可能造成国家的一些涉密单位/部门/人员之间的数据传输通道出现极大的安全隐患,即存在信息泄露的风险。一旦加密数据发生泄露,则后果不堪设想。
针对现有技术之不足,本发明提供了一种基于协议混淆规则伪装的数据传输装置。所述数据传输装置至少包括客户端、代理服务器群和目标服务器。
客户端能够基于混淆协议对待传输数据进行伪装并形成第一数据。
客户端能够利用多种算法组合随机地变换待传输数据的访问地址(比如客户端伪装生成的伪装的网络请求地址)以保证待传输数据的访问地址的随机性。
代理服务器群由多台代理服务器组成。所述代理服务器能够根据所述混淆协议对所述第一数据进行解析以获取在所述第一数据中与所述待传输数据相对应的真实的网络请求地址。与此同时,客户端还能够利用相关的脚本将待传输数据伪装成与其他应用程序的数据包的结构相同或相似的数据包,并且待传输数据与所述代理服务器不定时的交互而形成多频次Bit流量伪装传输的假象,而真实的待传输数据则被分批次地夹藏于上述伪装生成的数据包之中,使得真实的待传输数据被随机地转发至代理服务器群,从而迷惑不法分子,防止待传输数据被追踪分析,并且最终达到在多维度上保证待传输数据的安全性的技术效果。
目标服务器能够获取所述代理服务器所转发的所述第一数据。
在所述代理服务器能够基于所述真实的网络请求地址将所述第一数据转发至与所述真实的网络请求地址相对应的目标服务器的情况下,所述目标服务器能够基于所述混淆协议对所述代理服务器所转发的所述第一数据进行解析,并且从所述第一数据中获取所述待传输数据,从而至少实现对所述待传输数据的保护。
本发明通过采用多节点流量混淆操作,即客户端基于所述混淆协议所随机生成的伪装网络的请求地址将第一数据转发至代理服务器群中的与伪装网络的请求地址相对应的代理服务器,以确保每次第一数据/待传输数据所访问的代理服务器都是随机的,从而实现第一数据/待传输数据的数据包的结构和流量速率、填充入待传输数据中的应用数据(比如填充数据包)和待传输数据所访问的代理服务器的地址(比如伪装的网络请求地址)等均是随机的,并且通过伪装的网络请求地址隐藏与待传输数据相对应的真实的网络请求地址,最终做到对待传输数据的绝对混淆而提高数据传输的安全性。
简而言之,通过上述配置方式,即通过对原有的https加密传输协议进行二次封装、加入多服务器节点(比如代理服务器群)、对待传输数据进行随机填充和/或多频次Bit流量伪装传输等技术手段使得在传输待传输数据过程中产生的流量、频率、包结构等均无规律可循,多服务器节点将迷惑不法分子,进而使不法分子无法找到待传输数据所对应的真正的目标服务器,最终通过以上多种策略防止待传输数据被不法分子分析而发生泄露,并且从多维度上确保数据传输者的身份安全、位置安全和数据安全。
根据一个优选实施方式,所述混淆协议至少包括对所述待传输数据进行伪装的方法和/或对所述客户端、代理服务器以及目标服务器之间传输所述待传输数据的数据传输通道进行切换的方法。通过上述方法对处于所述数据传输通道内的所述待传输数据进行混淆而实现对所述待传输数据的保护。
根据一个优选实施方式,所述第一数据至少包括待传输数据、伪装的网络请求地址和标识符,与所述待传输数据中的真实的网络请求地址相对应的所述伪装的网络请求地址是由所述客户端基于所述混淆协议生成的,所述标识符用于标识所述客户端在生成所述伪装的网络请求地址的过程中所使用的伪装算法,其中,所述客户端能够基于所述伪装的网络请求地址将所述第一数据发送至所述代理服务器群中的至少一台与所述伪装的网络请求地址相对应的代理服务器。
根据一个优选实施方式,所述对待传输数据进行伪装的方法包括:
所述客户端通过所述伪装算法生成所述伪装的网络请求地址,将与所述待传输数据相对应的真实的网络请求地址隐藏;
所述客户端将所述待传输数据、伪装的网络请求地址以及与所述伪装算法相对应的标识符合并为所述第一数据。
根据一个优选实施方式,所述对待传输数据进行伪装的方法还包括:
所述客户端对所述待传输数据中的待传输信息进行随机填充和/或多频次Bit流量的伪装传输,从而对所述待传输数据进行混淆并防止被不法分子破译。
根据一个优选实施方式,所述客户端对所述待传输数据中的所述待传输信息进行随机填充的步骤包括:
判断所述待传输数据是否满足触发随机填充的触发条件;
将所述待传输信息随机地分为多个子数据包;
生成需要填充的填充数据包;
将所述填充数据包随机地参杂在多个所述子数据包之中;
分批次地将包含填充数据包的所述子数据包发送至所述代理服务器或目标服务器。
根据一个优选实施方式,所述客户端对所述待传输数据中的待传输信息进行多频次Bit流量的伪装传输的步骤包括:
判断所述待传输数据是否满足触发多频次Bit流量的伪装传输的触发条件;
解析目标应用程序的数据包的格式;
基于目标应用程序的数据包的格式将所述待传输信息伪装成所述目标应用程序的数据包;
将经过伪装的待传输数据发送至所述代理服务器或目标服务器。
根据一个优选实施方式,在所述目标服务器已获取所述待传输数据的情况下,所述目标服务器能够向所述代理服务器发送第二数据,其中,所述第二数据至少包括与所述第一数据中的待传输数据相对应的回传数据,所述代理服务器能够获取所述第二数据,并且基于所述混淆协议将所述第二数据伪装成第三数据。
本发明还提供一种基于协议混淆规则伪装的数据传输方法。所述方法包括:
客户端基于混淆协议对待传输数据进行伪装并形成第一数据;
代理服务器根据所述混淆协议对所述第一数据进行解析以获取所述第一数据与所述待传输数据相对应的真实的网络请求地址;
目标服务器获取所述代理服务器所转发的第一数据。
根据一个优选实施方式,所述方法还包括:
所述代理服务器基于所述真实的网络请求地址将所述第一数据转发至与所述真实的网络请求地址相对应的目标服务器;
所述目标服务器基于所述混淆协议对所述代理服务器所发送的所述第一数据进行解析,并且从所述第一数据中获取所述待传输数据,以至少实现对所述待传输数据的保护。
附图说明
图1是本发明提供的一种优选实施方式的简化模块连接关系示意图。
附图标记列表
1:客户端2:代理服务器群3:目标服务器;
200:代理服务器。
具体实施方式
下面结合附图进行详细说明。
图1示出一种基于协议混淆规则伪装的数据传输装置。上述数据传输装置至少包括客户端1、代理服务器群2和目标服务器3。
客户端1被配置为能够基于混淆协议对待传输数据进行伪装并形成第一数据。
代理服务器群2由多台代理服务器200组成。代理服务器200能够获取客户端1所发送的第一数据。代理服务器200被配置为能够根据混淆协议对第一数据进行解析以获取在第一数据中的与待传输数据相对应的真实的网络请求地址。
目标服务器3能够获取代理服务器200所转发的第一数据。
在代理服务器200能够基于真实的网络请求地址将第一数据转发至与真实的网络请求地址相对应的目标服务器3的情况下,目标服务器3被配置为能够基于混淆协议对代理服务器200所转发的第一数据进行解析,并且从第一数据中获取待传输数据,以至少实现对待传输数据的保护。
根据一个优选实施方式,混淆协议至少包括对待传输数据进行伪装的方法和/或对客户端1、代理服务器200与目标服务器3之间传输待传输数据的数据传输通道进行切换的方法。混淆协议通过上述方法对处于数据传输通道内的待传输数据进行混淆而实现对待传输数据的保护。
由于客户端1与目标服务器3之间的数据传输通道的安全性不够高,因此本发明提出一种对处于数据传输通道中的待传输数据进行保护的规则,即混淆协议。
混淆协议对数据传输通道进行切换的目的是利用混淆协议所生成的伪装的网络请求地址将待传输数据经过与随机生成的伪装的网络请求地址相对应的代理服务器200转发至目标服务器3,即通过多节点(比如代理服务器群2)对待传输数据进行传输和混淆。代理服务器群2包括多台代理服务器200,并且待传输数据能够由代理服务器群2中的任意一台代理服务器200转发至目标服务器3,因此客户端1与目标服务器3之间的数据传输通道是任意变化的,进而最终实现待传输数据的数据传输通道无任何规律可循而实现对待传输数据的保护。
混淆协议还能够包括对待传输数据/第一数据进行二次加密的加密方法。上述加密方法可以为非对称加密和/或对称加密算法。
处于数据传输通道内的数据至少包括待传输数据。
处于数据传输通道内的数据还可以包括第一数据。
根据一个优选实施方式,第一数据至少包括待传输数据、伪装的网络请求地址和标识符,与待传输数据中的真实的网络请求地址相对应的伪装的网络请求地址是由客户端1基于混淆协议生成的,标识符用于标识客户端1在生成伪装的网络请求地址的过程中所使用的伪装算法。客户端1能够基于伪装的网络请求地址将第一数据发送至代理服务器群2中的至少一台与伪装的网络请求地址相对应的代理服务器200。
待传输数据至少包括真实的网络请求地址。真实的网络请求地址为待传输数据需被传送到的目标服务器3的地址。
待传输数据还可以包括但不限于:基于真实的网络请求地址(比如HTTPS网络请求)而返回的密文、CA数字证书签名公钥、身份信息、随机数、量子密钥和待传输信息等数据中的一种或多种。
伪装的网络请求地址是由客户端1对待传输数据中的真实的网络请求地址进行伪装而随机生成的与任意一台代理服务器200相对应的地址。
待传输信息的种类可以根据实际应用场景进行添加或删减。
例如,待传输数据可以包括待传输信息和真实的网络请求地址;此时,第一数据则包括待传输信息、真实的网络请求地址和伪装的网络请求地址。
客户端1、代理服务器200和目标服务器3均能够基于HTTPS协议和混淆协议对待传输数据进行传输。
根据一个优选实施方式,对待传输数据进行伪装的方法包括:
客户端1通过伪装算法生成伪装的网络请求地址,将与待传输数据相对应的真实的网络请求地址隐藏;
客户端1将待传输数据、伪装的网络请求地址以及与伪装算法相对应的标识符合并为第一数据。
优选地,代理服务器200和目标服务器3均能够基于混淆协议对待传输数据中的真实的网络请求地址进行伪装。
为了保证数据传输的效率,HTTPS协议在证书验证成功之后进行的数据传输均使用的是对称加密,即HTTPS协议仅在证书验证阶段使用了非对称加密。若不法分子(比如黑客)截取了在上述数据传输中的待传输数据,由于对称加密所采用的密钥均是伪随机数,并且当前计算机技术正处于快速发展的阶段,因此待传输数据在被截取之后的一定时间内极有可能被不法分子破译。
因此,本发明在上述待传输数据已进行对称加密的基础上再进行一次非对称加密。上述操作不仅不会显著地影响待传输数据进行传输的效率,而且还能极大地提高数据传输的安全性,即,即使不法分子(比如黑客)截取到上述经过对称加密和非对称加密的待传输数据也无法对上述待传输数据进行破解。
在客户端1向代理服务器200发送待传输数据之前,客户端1先通过非对称加密和对称加密算法对待传输数据进行加密,然后客户端1对待传输数据中的真实的网络请求地址进行重写以对真实的网络请求地址进行伪装/隐藏,并且生成伪装的网络请求地址。
伪装的网络请求地址是由客户端1使用伪装算法随机生成的。
上述伪装算法在混淆协议中具有特定的标识符。
特别优选地,第一数据还能够包括:客户端1对当次的待传输数据进行伪装所使用的伪装算法的标识符。
标识符可以采用数字和字母等符号中的一种或多种。
例如,若标识符为“A”,则表示客户端1对当次的待传输数据进行伪装所使用的伪装算法是第一伪装算法;若标识符为“B”,则客户端1对当次的待传输数据进行伪装所使用的伪装算法是第二伪装算法,以此类推。
伪装算法可以根据实际应用场景的需求而灵活地选定。伪装算法可以为消息摘要算法、安全散列算法、消息认证码算法、切割算法、并行拼接算法等,当待传输信息的发送方的客户端1的伪装请求使用所述伪装算法进行伪装后发送给服务器2群中的一台服务器后,服务器2根据第一伪装数据中包含的伪装算法标识符找到相应的待传输信息发送方的客户端1使用的伪装算法,再基于所述伪装算法解析出待传输信息接收方的客户端1的真实地址,之后,所述服务器2根据解析得到的待传输信息接收方的客户端1的真实地址将第一伪装数据发送至对应的待传输信息接收方客户端1。
例如,当目标服务器3的数量仅为一台时,伪装的网络请求地址表示第一数据经代理服务器群2中的某一台代理服务器200被转发至目标服务器3;当目标服务器3的数量多于一台时,伪装的网络请求地址表示第一数据经哪一台代理服务器200转发至哪一台目标服务器3。
客户端1对待传输数据中的真实的网络请求地址进行的伪装是通过重写网络请求的接口来实现。
客户端1基于伪装的网络请求地址将第一数据发送至与伪装的网络请求地址相对应的代理服务器200。与伪装的网络请求地址相对应的代理服务器200能够基于混淆协议对第一数据进行解析以获取与待传输数据相对应的真实的网络请求地址。
例如,某个待传输数据相对应的目标服务器3的地址(即真实的网络请求地址)为www.cloudfront.com。伪装的网络请求地址可以采用a.com、b.net和c.org等伪装地址中的任意一个或多个。
在代理服务器群2中的与伪装的网络请求地址相对应的代理服务器200接收到客户端1所发送的第一数据之后,上述代理服务器200能够基于混淆协议获取第一数据中的标识符,并且通过上述标识符解析出当次的第一数据所对应的客户端1所使用的伪装算法,再基于上述伪装算法从第一数据(比如在第一数据中的伪装的网络请求地址)中解析出与待传输数据所对应的真实的网络请求地址。之后,上述一台或多台代理服务器200基于与待传输数据所对应的真实的网络请求地址将第一数据分批次地转发至与真实的网络请求地址所对应的目标服务器3。
优选地,代理服务器200和目标服务器3可以采用相同型号的服务器。
优选地,代理服务器200和目标服务器3所承担的工作职责能够相互切换。例如,目标服务器3可以作为代理服务器群2中的某一台代理服务器200;代理服务器群2中的某一台代理服务器200也可以作为目标服务器3。
通过上述配置方式,客户端1可以利用多种算法对待传输数据中的真实的网络请求地址进行伪装,并且能够在第一数据中加入经伪装算法随机生成的伪装的网络请求地址,从而确保客户端1所访问的代理服务器200/目标服务器3的随机性,同时避免待传输数据被不法分子分析得出与待传输数据相对应的真实的网络请求地址以及与真实的网络请求地址相对应的目标服务器3;与此同时,客户端1和代理服务器200均可以基于混淆协议对待传输数据中的真实的网络请求地址进行伪装,并且通过随机生成的伪装的网络请求地址将第一数据经与伪装的网络请求地址相对应的代理服务器200转发至与真实的网络请求地址相对应的目标服务器3,以将待传输数据的真实的网络请求地址进行隐藏而防止泄露待传输数据。
在现有技术中客户端1所传输的数据的访问地址往往是固定的。而本发明中的客户端1所发出的待传输数据是经过代理服务器群2中的任意一台或多台代理服务器200传输至目标服务器3的。由于待传输数据所对应的第一数据能够经过随机的一台代理服务器200而被转发至与真实的网络请求地址相对应的目标服务器3,因此用于传输待传输数据的数据传输通道并不是固定的,即本发明中的数据传输通道是无规律可循的,从而防止不法分子获取待传输数据(比如真实的网络请求地址)或者从固定的数据传输通道中获取待传输数据的相关信息。
在只有一台代理服务器200的情况下,尽管待传输数据的传输路径不能被随机地变换,但是流量伪装和随机填包的方法依然能够被客户端1、代理服务器200和目标服务器3应用于待传输数据,以对待传输数据进行保护。
根据一个优选实施方式,对待传输数据进行伪装的方法还包括:
客户端1对待传输数据中的待传输信息进行随机填充和/或多频次Bit流量的伪装传输,以对待传输数据进行混淆而防止被不法分子破译。
客户端1能够利用脚本将待传输数据伪装成与待传输数据的结构不同的数据包(例如视频音乐应用程序的数据包),并且与代理服务器200不定时地进行交互,以形成多频次的Bit流量伪装传输的假象。与此同时,客户端1还能够将其他应用程序的数据随机地参杂到待传输数据之中,即在待传输数据被分为多个子数据包之后,将多个子数据包分批次地隐藏于其他应用程序的数据包之中,并且将其他应用程序的数据包分段地传输至代理服务器200或目标服务器3,从而对待传输数据进行混淆以防止待传输数据被不法分子破译。
现有技术对待传输数据的传输并不会在待传输数据参杂入其他应用程序的数据流量,并且待传输数据在传输过程中的结构和流量速率等也都是有规律可循的,因而上述待传输数据容易被不法分子分析出待传输数据的相关规律,从而导致待传输数据发生泄露。本发明使用了混淆协议,即对待传输数据中的待传输信息进行随机填充和/或多频次Bit流量的伪装传输,以使得待传输数据在传输过程中的结构和流量速率等特征均无规律可循,从而实现对待传输数据的混淆而防止待传输数据被不法分子破译。
根据一个优选实施方式,客户端1对在待传输数据中的待传输信息进行随机填充的步骤包括:
S11:判断待传输数据是否满足触发随机填充的触发条件;
S12:将待传输信息随机地分为多个子数据包;
S13:生成需要填充的填充数据包;
S14:将填充数据包随机地参杂到多个子数据包之中;
S15:分批次地将包含填充数据包的多个子数据包发送至代理服务器200或目标服务器3。
S11:客户端1判断待传输数据是否满足触发随机填充的触发条件。触发条件可以根据实际应用场景而灵活地设定。例如,客户端1可以通过在待传输数据中加入特定的触发标识符。若客户端1对待传输数据进行识别,发现在第一数据中具有上述触发标识符,则上述待传输数据被客户端1识别为满足触发随机填充的触发条件的待传输数据;若客户端1对待传输数据进行识别,发现在第一数据中不具有上述触发标识符,则上述待传输数据被客户端1识别为未满足触发随机填充的触发条件的待传输数据。
上述触发条件可以由相应的算法随机生成,即客户端1对待传输数据进行随机填包传输的操作是随机的。
S12:将待传输信息随机地分为多个子数据包。通过此设置方式,可以使得子数据包的大小和数量等特征也是无规律可循的。
S13:生成需要填充的填充数据包。若客户端1对待传输数据进行分析并判断得出当次的待传输数据已满足触发预设的触发条件,则客户端1根据相应的算法生成用于填充待传输数据/第一数据的填充数据包。填充数据包可以为与其他应用程序(如视频、音乐等应用程序)的结构相同/相似的数据包。上述结构相同/相似是指数据包的结构、流量和频率等特征相同或相似。
S14:将填充数据包随机地参杂到多个子数据包之中。被填充在两个子数据包之间的填充数据包的数量是随机的。
S15:分批次地将包含填充数据包的子数据包发送至代理服务器200或目标服务器3。客户端1将包含填充数据包的子数据包发送至代理服务器200或目标服务器3的时间也可以是随机的。
优选地,代理服务器200或目标服务器3能够以分段接收的方式接收多个子数据包,以将多个子数据包重新组装为第一数据。
通过上述配置方式,将真实的待传输数据随机地参杂到其他应用程序的数据包之中,并不定时(比如第一数据的发送时间也是通过随机算法随机设置的)地将第一数据分批次地转发至一台或多台代理服务器200,使得所传输的第一数据的数据包的结构和流量速率等特征无规律可循而达到迷惑不法分子的目的。
根据一个优选实施方式,客户端1对待传输数据中的待传输信息进行多频次Bit流量的伪装传输的步骤包括:
S21:判断待传输数据是否满足触发多频次Bit流量伪装传输的触发条件;
S22:解析目标应用程序的数据包的格式;
S23:基于目标应用程序的数据包的格式将待传输信息伪装成目标应用程序的数据包;
S24:将经过伪装的待传输数据发送至代理服务器200或目标服务器3。
S21:客户端1判断当次的待传输数据是否满足触发Bit流量伪装传输的触发条件。触发条件可以根据实际应用场景人为地设定。例如,客户端1可以通过在待传输数据中加入特定的触发标识符。若客户端1对待传输数据进行识别,并发且现第一数据中具有上述触发标识符,则上述待传输数据被客户端1识别为满足利用Bit流量的伪装传输的触发条件的待传输数据;若客户端1对待传输数据进行识别,并发现第一数据中不具有上述触发标识符,则上述待传输数据被客户端1识别为未达到利用Bit流量伪装传输的触发条件的待传输数据。
上述触发条件可以由相应的算法随机生成,即客户端1对待传输数据进行Bit流量伪装传输的操作是随机的。
客户端1/代理服务器200/目标服务器3可以采用流量填充、流量规范化和流量掩饰等方法对需要传输的数据包的流量进行伪装。
客户端1/代理服务器200/目标服务器3也可以采用重路由、添加垃圾包、丢包、包含并、包分片、包乱序、流混杂、流分割和流合并等方法对需要传输的数据包的流量进行伪装。
特别优选地,本发明的客户端1/代理服务器200/目标服务器3对待传输数据进行伪装所采用的方法是将经过加密的待传输数据伪装成与其他应用程序(比如视频、音乐等应用程序)的数据包的格式/结构相同或相似的数据包。
例如,客户端1需要将本次的待传输数据伪装成目标应用程序(比如某个音乐应用程序)的数据包的格式,则客户端1可以先解析该目标应用程序的数据包的格式/结构,再将待传输数据伪装成该音乐应用程序的数据包的格式/结构,使得不法分子无法识别出经过伪装的待传输数据,最终达到混淆数据窃听者的目的。
通过上述配置方式,当客户端1/代理服务器200/目标服务器3传输待传输数据或第一数据时,将加密后的待传输数据或第一数据的数据包伪装成与其他应用程序的结构相同/相似的数据包,和/或加密后的待传输数据或第一数据的数据包藏匿于其他应用程序的数据包中,再分批次地转发至代理服务器200,以达到迷惑数据窃听者的目的。
根据一个优选实施方式,在目标服务器3已获取待传输数据的情况下,目标服务器3能够向代理服务器200发送第二数据。第二数据中至少包括与第一数据中的待传输数据相对应的回传数据,代理服务器200能够获取第二数据,并且基于混淆协议将第二数据伪装成第三数据。
优选地,待传输数据用于向目标服务器3请求第二数据。
第三数据至少包括与待传输数据相对应的回传数据。
在响应于待传输数据的情况下,目标服务器3能够向代理服务器200发送与第一数据相对应的回传数据。
目标服务器3还能够基于混淆协议对回传数据进行伪装以生成第二数据。
代理服务器200能够获取第二数据,并且基于混淆协议将第二数据伪装成第三数据。
第三数据能够被代理服务器200传输至客户端1。
优选地,第二数据还可以包括但不限于:CA数字证书签名公钥、身份信息、随机数、量子密钥和本次目标服务器3所使用的伪装算法的标识符等。
优选地,待传输数据用于向目标服务器3请求第二数据。
优选地,目标服务器3也能够以非对称加密和对称加密的方式对第二数据进行加密。
第三数据中至少包括与第一数据中的待传输数据相对应的回传数据。
优选地,第三数据还可以包括但不限于:CA数字证书签名公钥、身份信息、随机数、量子密钥、本次代理服务器200所使用的伪装算法的标识符等。
第二数据、第三数据的伪装和传输过程与第一数据的伪装和传输过程相同,因此此处不再对第二数据、第三数据的伪装和传输过程进行赘述。
本发明还提供一种基于协议混淆规则伪装的数据传输方法。方法包括:
客户端1基于混淆协议对待传输数据进行伪装并形成第一数据;
代理服务器200根据混淆协议对第一数据进行解析以获取在第一数据中的与待传输数据相对应的真实的网络请求地址;
目标服务器3获取代理服务器200所转发的第一数据。
根据一个优选实施方式,方法还包括:
代理服务器200基于真实的网络请求地址将第一数据转发至与真实的网络请求地址相对应的目标服务器3,
目标服务器3基于混淆协议对代理服务器200所发送的第一数据进行解析,并且从第一数据中获取待传输数据,以至少实现对待传输数据的保护。
需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。本发明说明书包含多项发明构思,诸如“优选地”、“根据一台优选实施方式”或“可选地”均表示相应段落公开了一台独立的构思,申请人保留根据每项发明构思提出分案申请的权利。
Claims (10)
1.一种基于协议混淆规则伪装的数据传输装置,其特征在于,至少包括:
客户端(1),被配置为能够基于混淆协议对待传输数据进行伪装并形成第一数据;
代理服务器群(2),由多台代理服务器(200)组成,所述代理服务器(200)被配置为能够根据所述混淆协议对所述第一数据进行解析以获取所述第一数据中的与所述待传输数据相对应的真实的网络请求地址;
目标服务器(3),能够获取所述代理服务器(200)所转发的所述第一数据;
其中,在所述代理服务器(200)能够基于所述真实的网络请求地址将所述第一数据转发至与所述真实的网络请求地址相对应的目标服务器(3)的情况下,
所述目标服务器(3)被配置为能够基于所述混淆协议对所述代理服务器(200)所转发的所述第一数据进行解析,并从所述第一数据中获取所述待传输数据,以至少实现对所述待传输数据的保护。
2.根据权利要求1所述的装置,其特征在于,所述混淆协议至少包括对所述待传输数据进行伪装的方法和/或对所述客户端(1)、代理服务器(200)与目标服务器(3)之间传输所述待传输数据的数据传输通道进行切换的方法,以通过所述方法对处于所述数据传输通道内的所述待传输数据进行混淆而实现对所述待传输数据的保护。
3.根据权利要求1或2所述的装置,其特征在于,所述第一数据至少包括待传输数据、伪装的网络请求地址和标识符,与所述待传输数据中的真实的网络请求地址相对应的所述伪装的网络请求地址是由所述客户端(1)基于所述混淆协议生成的,所述标识符用于标识所述客户端(1)在生成所述伪装的网络请求地址的过程中所使用的伪装算法,其中,所述客户端(1)能够基于所述伪装的网络请求地址将所述第一数据发送至所述代理服务器群(2)中的至少一台与所述伪装的网络请求地址相对应的代理服务器(200)。
4.根据权利要求3所述的装置,其特征在于,所述对待传输数据进行伪装的方法包括:
所述客户端(1)通过所述伪装算法生成所述伪装的网络请求地址,以将与所述待传输数据相对应的真实的网络请求地址隐藏;
所述客户端(1)将所述待传输数据、伪装的网络请求地址以及与所述伪装算法相对应的标识符合并为所述第一数据。
5.根据权利要求4所述的装置,其特征在于,所述对待传输数据进行伪装的方法还包括:
所述客户端(1)对所述待传输数据中的待传输信息进行随机填充和/或多频次Bit流量伪装传输,以对所述待传输数据进行混淆而防止被不法分子破译。
6.根据权利要求5所述的装置,其特征在于,所述客户端(1)对所述待传输数据中的所述待传输信息进行随机填充的步骤包括:
判断所述待传输数据是否满足触发随机填充的触发条件;
将所述待传输信息随机地分为多个子数据包;
生成需要填充的填充数据包;
将所述填充数据包随机地参杂到多个所述子数据包之中;
分批次地将包含填充数据包的所述子数据包发送至所述代理服务器(200)或目标服务器(3)。
7.根据权利要求5所述的装置,其特征在于,所述客户端(1)对所述待传输数据中的待传输信息进行多频次Bit流量伪装传输的步骤包括:
判断所述待传输数据是否满足触发多频次Bit流量伪装传输的触发条件;
解析目标应用程序的数据包的格式;
基于目标应用程序的数据包的格式将所述待传输信息伪装成所述目标应用程序的数据包;
将经过所述伪装的待传输数据发送至所述代理服务器(200)或目标服务器(3)。
8.根据权利要求7所述的装置,其特征在于,在所述目标服务器(3)已获取所述待传输数据的情况下,所述目标服务器(3)能够向所述代理服务器(200)发送第二数据,其中,所述第二数据中至少包括与所述第一数据中的待传输数据相对应的回传数据,所述代理服务器(200)能够获取所述第二数据,并基于所述混淆协议将所述第二数据伪装成第三数据。
9.一种基于协议混淆规则伪装的数据传输方法,其特征在于,所述方法包括:
客户端(1)基于混淆协议对待传输数据进行伪装并形成第一数据;
代理服务器(200)根据所述混淆协议对所述第一数据进行解析以获取所述第一数据中的与所述待传输数据相对应的真实的网络请求地址;
目标服务器(3)获取所述代理服务器(200)所转发的第一数据。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述代理服务器(200)基于所述真实的网络请求地址将所述第一数据转发至与所述真实的网络请求地址相对应的目标服务器(3);
所述目标服务器(3)基于所述混淆协议对所述代理服务器(200)所发送的所述第一数据进行解析,并从所述第一数据中获取所述待传输数据,以至少实现对所述待传输数据的保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210628239.8A CN114866220A (zh) | 2022-06-02 | 2022-06-02 | 一种基于协议混淆规则伪装的数据传输装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210628239.8A CN114866220A (zh) | 2022-06-02 | 2022-06-02 | 一种基于协议混淆规则伪装的数据传输装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114866220A true CN114866220A (zh) | 2022-08-05 |
Family
ID=82624847
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210628239.8A Pending CN114866220A (zh) | 2022-06-02 | 2022-06-02 | 一种基于协议混淆规则伪装的数据传输装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866220A (zh) |
-
2022
- 2022-06-02 CN CN202210628239.8A patent/CN114866220A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6732279B2 (en) | Anti-virus protection system and method | |
| US8737624B2 (en) | Secure email communication system | |
| WO2021109756A1 (zh) | 一种基于同态加密方案的代理型匿名通信方法 | |
| CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
| CN101558599B (zh) | 客户端设备、邮件系统、程序以及记录介质 | |
| Tian et al. | A survey of key technologies for constructing network covert channel | |
| CN109714370B (zh) | 一种基于http协议端云安全通信的实现方法 | |
| Lucena et al. | Syntax and semantics-preserving application-layer protocol steganography | |
| Danezis | Better anonymous communications | |
| Malekzadeh et al. | A new security model to prevent denial‐of‐service attacks and violation of availability in wireless networks | |
| CN107483429B (zh) | 一种数据加密方法和装置 | |
| GB2488753A (en) | Encrypted communication | |
| Rana et al. | Common security protocols for wireless networks: A comparative analysis | |
| CN111934888B (zh) | 一种改进软件定义网络的安全通信系统 | |
| Gnatyuk et al. | Improved Secure Stream Cipher for Cloud Computing. | |
| Tian et al. | A Survey on Data Integrity Attacks and DDoS Attacks in Cloud Computing | |
| CN115150076A (zh) | 一种基于量子随机数的加密系统及方法 | |
| US20040049676A1 (en) | Methods and protocols for intrusion-tolerant management of collaborative network groups | |
| CN116743470A (zh) | 业务数据加密处理方法及装置 | |
| Schulz et al. | d 2 Deleting Diaspora: Practical attacks for profile discovery and deletion | |
| CN114866220A (zh) | 一种基于协议混淆规则伪装的数据传输装置及方法 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
| RU2449361C2 (ru) | Способ защиты вычислительной сети с выделенным сервером | |
| Saxena et al. | BAS-VAS: A novel secure protocol for value added service delivery to mobile devices | |
| Varshney et al. | Cyber crime awareness and corresponding countermeasures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |