CN116055145A - 基于隐匿网关的通信方法、装置、设备及介质 - Google Patents
基于隐匿网关的通信方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116055145A CN116055145A CN202211718025.6A CN202211718025A CN116055145A CN 116055145 A CN116055145 A CN 116055145A CN 202211718025 A CN202211718025 A CN 202211718025A CN 116055145 A CN116055145 A CN 116055145A
- Authority
- CN
- China
- Prior art keywords
- data packet
- information
- gateway
- hidden
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于隐匿网关的通信方法、装置、设备及介质,应用于第一隐匿网关,方法包括:在从第一隐匿网关的内网网卡接收到来自第一网络设备的第一初始数据包的情况下,解析第一初始数据包中的第一信息;基于预先设置的网络拓扑变换算法,在第一初始数据包中将第一信息变换为第二信息,得到第一中间数据包;基于第二信息,在预先设置的策略表项中确定用于传输第一中间数据包的第一安全参数表项;基于第一安全参数表项,将第一中间数据包隐匿封装为第一传输数据包;通过第一隐匿网关的外网网卡和第二隐匿网关,将第一传输数据包发送至第二网络设备。本发明实施例提供的隐匿网关相较于相关技术中的VPN网关,有效提高了网络通信的安全性。
Description
技术领域
本发明涉及安全网关技术领域,尤其涉及一种基于隐匿网关的通信方法、装置、设备及介质。
背景技术
虚拟专用网(Virtual Private Network,VPN)技术提供了组织各分支机构、成员或合作伙伴等在网际互连协议(Intellectual Property,IP)网络上安全访问或互联成虚拟内网来通信的安全解决方案;技术实现主要采用多协议标签交换(Multi-ProtocolLabel Switching,MPLS)、安全套接字协议(Secure Sockets Layer,SSL)和互联网安全协议(Internet Protocol Security,IPsec)等协议;方案实施通常需要在其内网到外网出口处部署带VPN功能的安全网关软硬件设备,甚至与防火墙和路由器等集成在一起。
目前,网络攻击技术日新月异,VPN网关也已成为密集攻击对象,并成为渗透VPN的突破口,设备自身安全性需要加固;另外,流量分析手段不断发展,密文检测分析技术应用加速,各种VPN协议的设计和实现并未关注到这方面的应对措施,对通信行为敏感的组织来说其安全性有待改进;综上,目前VPN网关的安全性低。
发明内容
本发明提供一种基于隐匿网关的通信方法、装置、设备及介质,用以解决现有技术中VPN网关安全性低的问题。
本发明提供一种基于隐匿网关的通信方法,应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据,所述方法包括:
在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
根据本发明提供的一种基于隐匿网关的通信方法,所述方法还包括:
在从所述外网网卡接收到第二传输数据包的情况下,解析所述第二传输数据包中的第三信息;
在基于所述第三信息,确定所述第三信息属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的第二安全参数表项;
基于所述第二安全参数表项,将所述第二传输数据包解隐匿封装为第二中间数据包;
基于所述网络拓扑变换算法,在所述第二中间数据包中将所述第三信息逆变换为第四信息,得到第二初始数据包;其中,所述网络拓扑变换算法包括所述第三信息和所述第四信息之间的对应关系;
将所述第二初始数据包发送至所述第一网络设备。
根据本发明提供的一种基于隐匿网关的通信方法,所述在从所述外网网卡接收到第二传输数据包的情况下,解析所述第二传输数据包中的第三信息之后,所述方法还包括:
在基于所述第三信息,确定所述第三信息不属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的处理动作;
在所述处理动作为旁路的情况下,将所述第二传输数据包作为所述第二中间数据包;
在所述处理动作为丢弃的情况下,丢弃所述第二传输数据包;
在不存在所述第三信息对应的处理动作的情况下,丢弃所述第二传输数据包。
根据本发明提供的一种基于隐匿网关的通信方法,所述第一隐匿网关还包括N个异构的数据隐匿封装模块,N为大于1的整数;
所述基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项之前,所述方法还包括:
基于预先设置的分发控制策略,在N个异构的数据隐匿封装模块中选择至少一个目标数据隐匿封装模块;
所述基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项,包括:
基于所述第二信息,在与所述目标数据隐匿封装模块对应的目标策略表项中,确定用于传输所述第一中间数据包的目标安全参数表项,作为所述第一安全参数表项。
根据本发明提供的一种基于隐匿网关的通信方法,所述方法还包括:
以预先设置的周期,清洗并更换各所述数据隐匿封装模块。
根据本发明提供的一种基于隐匿网关的通信方法,所述基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包,包括:
基于所述第一安全参数表项,对所述第一中间数据包中预先设置的规定段进行隐匿处理,并将隐匿处理后的数据包封装为所述第一传输数据包。
本发明还提供一种基于隐匿网关的通信装置,应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据,所述装置包括:
解析模块,用于在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
变换模块,用于基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
确定模块,用于基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
隐匿封装模块,用于基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
发送模块,用于通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于隐匿网关的通信方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于隐匿网关的通信方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述基于隐匿网关的通信方法。
本发明提供的基于隐匿网关的通信方法、装置、设备及介质,可以从第一隐匿网关的内网网卡接收来自第一网络设备的第一初始数据包,解析第一初始数据包中的第一信息,并基于网络拓扑变换算法,将第一初始数据包中的第一信息变换为第二信息,得到第一中间数据包,再基于第二信息,在策略表项中确定第一中间数据包对应的第一安全参数表项,以基于第一安全参数表项,将第一中间数据包隐匿封装为第一传输数据包,再通过第一隐匿网关的外网网卡和第二隐匿网关,将第一传输数据包发送至第二网络设备,以实现第一网络设备和第二网络设备之间的安全通信,相较于相关技术中的VPN网关,可以有效提高网络通信的安全性,另外,本发明实施例的隐匿技术成本低,简单易行。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于隐匿网关的通信方法所基于的网络结构示意图;
图2是本发明提供的基于隐匿网关的通信方法的流程示意图之一;
图3是本发明提供的第一隐匿网关的结构示意图;
图4是本发明提供的基于隐匿网关的虚拟专用网的结构示意图;
图5是本发明提供的基于隐匿网关的通信方法的流程示意图之二;
图6是本发明提供的基于隐匿网关的通信装置的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图描述本发明的基于隐匿网关的通信方法、装置、设备及介质。
图1是本发明提供的基于隐匿网关的通信方法所基于的网络结构示意图,如图1所示,第一隐匿网关100的内网网卡连接于第一网络设备200,用于与所述第一网络设备200传输数据,所述第一隐匿网关100的外网网卡用于通过第二隐匿网关300与第二网络设备400传输数据。
可选地,第二隐匿网关300的内网网卡连接于第二网络设备400,第二隐匿网关300的外网网卡用于与其他网络设备传输数据;
需要说明的是,第一隐匿网关100是用来对第一网络设备200所要传输的数据进行处理的,以保证第一网络设备200与其他网络设备之间的安全通信;第二隐匿网关300是用来对第二网络设备400所要传输的数据进行处理的,以保证第二网络设备400与其他网络设备之间的安全通信。
图2是本发明提供的基于隐匿网关的通信方法的流程示意图之一,如图2所示,该方法可以应用于第一隐匿网关100,方法包括步骤201至步骤205;其中:
步骤201、在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
步骤202、基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
步骤203、基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
步骤204、基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
步骤205、通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
具体地,相关技术中,网络攻击技术日新月异,VPN网关也已成为密集攻击对象,并成为渗透VPN的突破口,设备自身安全性需要加固;另外,流量分析手段不断发展,密文检测分析技术应用加速,各种VPN协议的设计和实现并未关注到这方面的应对措施,对通信行为敏感的组织来说其安全性有待改进;综上,目前VPN网关的安全性低。
针对上述问题,本发明实施例提供了一种拟态安全传输网络数据的隐匿网关设备和安全通信方法,将两个隐匿网关设备的内网网卡分别连接在两个局域网的内网出口处,通过两个隐匿网关设备的外网网卡穿过外部网络安全通信,从而达到构建单个虚拟内部网络的目的。
本发明实施例中,第一隐匿网关可以通过第一隐匿网关的内网网卡接收来自第一网络设备的第一初始数据包,并解析第一初始数据包中的第一信息;
可选地,第一信息例如为第一初始数据包中的网络信息五元组。网络信息五元组例如包括源IP、目的IP、源端口、目的端口和通信协议。
在解析出第一信息后,可以基于预先设置的网络拓扑变换算法,具体可以通过网络拓扑变换算法确定第一信息对应的第二信息,以在第一初始数据包中将第一信息变换为第二信息,得到第一中间数据包。
可选地,可以利用网络拓扑变换算法,将第一初始数据包中的网络信息五元组变换为新五元组,作为第一中间数据包。
在得到第一中间数据包后,可以基于第二信息,在预先设置的策略表项中确定用于传输第一中间数据包的第一安全参数表项,以基于第一安全参数表项,将第一中间数据包隐匿封装为第一传输数据包,再通过第一隐匿网关的外网网卡输出第一传输数据包,以将第一传输数据包通过第二隐匿网关发送至第二网络设备。
还需要说明的是,相关技术中的VPN网关,是需要有软硬件设备支持的,需要花钱购买,成本较高;而本发明实施例的隐匿网关是采用软件的思想,可以代替也可以配合现有的VPN网关使用,以增强通信安全性。
在本发明实施例提供的基于隐匿网关的通信方法中,可以从第一隐匿网关的内网网卡接收来自第一网络设备的第一初始数据包,解析第一初始数据包中的第一信息,并基于网络拓扑变换算法,将第一初始数据包中的第一信息变换为第二信息,得到第一中间数据包,再基于第二信息,在策略表项中确定第一中间数据包对应的第一安全参数表项,以基于第一安全参数表项,将第一中间数据包隐匿封装为第一传输数据包,再通过第一隐匿网关的外网网卡和第二隐匿网关,将第一传输数据包发送至第二网络设备,以实现第一网络设备和第二网络设备之间的安全通信,相较于相关技术中的VPN网关,可以有效提高网络通信的安全性,另外,本发明实施例的隐匿技术成本低,简单易行。
可选地,本发明实施例提供了第一隐匿网关接收传输数据包并处理的过程,具体步骤如下:
可以在从所述外网网卡接收到第二传输数据包的情况下,解析所述第二传输数据包中的第三信息;
在基于所述第三信息,确定所述第三信息属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的第二安全参数表项;
基于所述第二安全参数表项,将所述第二传输数据包解隐匿封装为第二中间数据包;
基于所述网络拓扑变换算法,在所述第二中间数据包中将所述第三信息逆变换为第四信息,得到第二初始数据包;其中,所述网络拓扑变换算法包括所述第三信息和所述第四信息之间的对应关系;
将所述第二初始数据包发送至所述第一网络设备。
具体地,第一隐匿网关在从第一隐匿网关的外网网卡接收到第二传输数据包的情况下,先解析第二传输数据包中的第三信息,以基于第三信息,确定第三信息是否属于预先设置的安全传输隐匿格式,这里可以理解为,确定接收的第二传输数据包是否是预先设置的第二网络设备发送的符合共同协商格式的传输数据包,若是则可以进一步处理。
具体在确定第三信息属于预先设置的安全传输隐匿格式的情况下,可以基于第三信息,在策略表项中确定第三信息对应的第二安全参数表项,以基于第二安全参数表项,将第二传输数据包解隐匿封装为第二中间数据包,再基于网络拓扑变换算法,具体基于网络拓扑变换算法中第三信息和第四信息之间的对应关系,在第二中间数据包中将第三信息逆变换为第四信息,得到第二初始数据包,并将第二初始数据包发送至第一网络设备,可以保证接收到的初始数据包的安全性。
可选地,所述在从所述外网网卡接收到第二传输数据包的情况下,解析所述第二传输数据包中的第三信息之后,可以在基于所述第三信息,确定所述第三信息不属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的处理动作;
在所述处理动作为旁路的情况下,将所述第二传输数据包作为所述第二中间数据包;
在所述处理动作为丢弃的情况下,丢弃所述第二传输数据包;
在不存在所述第三信息对应的处理动作的情况下,丢弃所述第二传输数据包。
具体地,在解析出第二传输数据包中的第三信息之后,若基于第三信息,确定第三信息不属于预先设置的安全传输隐匿格式,则可以基于第三信息,在策略表项中确定第三信息对应的处理动作,以执行相应的处理动作。
具体来说,可以分为以下3种情况:
1)在处理动作为旁路的情况下,可以将第二传输数据包作为第二中间数据包;即,不对第二传输数据包作解隐匿封装,直接作为第二中间数据包,以供后续进行逆变换;
2)在处理动作为丢弃的情况下,可以丢弃第二传输数据包;
3)在不存在第三信息对应的处理动作的情况下,可以丢弃第二传输数据包。
可选地,所述第一隐匿网关还可以包括N个异构的数据隐匿封装模块,N为大于1的整数;
所述基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项之前,可以基于预先设置的分发控制策略,在N个异构的数据隐匿封装模块中选择至少一个目标数据隐匿封装模块;
所述基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项的实现方式可以包括:
基于所述第二信息,在与所述目标数据隐匿封装模块对应的目标策略表项中,确定用于传输所述第一中间数据包的目标安全参数表项,作为所述第一安全参数表项。
具体地,第一隐匿网关在包括内网网卡和外网网卡的基础上,还可以包括N个异构的数据隐匿封装模块,N为大于1的整数。
可选地,N个异构的数据隐匿封装模块的功能可以相同,但组成成分不同,具体数据隐匿封装模块可以由容器技术实现,各数据隐匿封装模块被配置的策略表项和安全参数表项可以不同。
在对第一中间数据包进行隐匿封装之前,可以基于预先设置的分发控制策略,在N个异构的数据隐匿封装模块中选择至少一个目标数据隐匿封装模块,以将第一中间数据包分发至目标数据隐匿封装模块进行隐匿封装,具体可以基于第二信息,在与目标数据隐匿封装模块对应的目标策略表项中,确定用于传输第一中间数据包的目标安全参数表项,作为第一安全参数表项,以基于第一安全参数表项对第一中间数据包进行隐匿封装。
可选地,可以以预先设置的周期,清洗并更换各所述数据隐匿封装模块。
具体地,周期性更换当前运行的N个异构的数据隐匿封装模块,可以减少出现由于数据隐匿封装模块被攻击导致通信不安全的情况,有效提高了第一网络设备的通信安全性。
可选地,所述基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包的实现方式可以包括:
基于所述第一安全参数表项,对所述第一中间数据包中预先设置的规定段进行隐匿处理,并将隐匿处理后的数据包封装为所述第一传输数据包。
具体地,对第一中间数据包的隐匿封装处理分为隐匿和封装的步骤,先基于第一安全参数表项,对第一中间数据包中预先设置的规定段进行隐匿处理,再将隐匿处理后的数据包封装为第一传输数据包,以通过第一隐匿网关的外网网卡输出。
可选地,上述隐匿处理例如为:采用防火墙的网络地址转换方式NAT来进行IP隐匿处理。
下面举例说明本发明实施例提供的基于隐匿网关的通信方法。
一、基于隐匿网关的通信方法,具体将两个隐匿网关的内网网卡分别连接在两个局域网的内网出口处,通过两个隐匿网关的外网网卡穿过外部网络安全通信,从而达到构建单个虚拟内部网络。
本发明实施例提供的第一隐匿网关,采用了网络数据隐匿封装模块保证两个局域网的内网主机通过外部网络进行安全传输网络数据,采用拟态技术实现了网络数据隐匿封装模块的异构化,并周期性切换和自动清洗这些异构模块以加固设备自身安全性。
图3是本发明提供的第一隐匿网关的结构示意图,如图3所示,第一隐匿网关包括:内网网卡、外网网卡、网络拓扑信息隐匿模块、网络数据隐匿封装模块、拟态化模块、存储模块、控制模块和管理配置接口。
1、内网网卡
内网网卡连接网络拓扑信息隐匿模块,负责从内网接收数据包传给网络拓扑信息隐匿模块,或将来自网络拓扑信息隐匿模块的数据包发送到内网;内网网卡还连接控制模块,以接受参数设置其网卡详细信息。
2、网络拓扑信息隐匿模块
网络拓扑信息隐匿模块连接内网网卡和网络数据隐匿封装模块;
功能之一是查询连接跟踪表项,将来自内网的数据包中网络信息字段变换并替换为整个各内部网络冗余的网络信息以隐匿网络拓扑,若未查询到变换则添加该变换完整信息的连接跟踪表项,同时将新数据包传给网络数据隐匿封装模块;
功能之二是查询连接跟踪表项将来自网络数据隐匿封装模块的数据包中网络信息字段,逆变换并替换为本内部网络的网络信息,并将新数据包传给内网网卡;
网络拓扑信息隐匿模块还连接拟态化模块,以设置上述变换方法并维护连接跟踪表项。
3、网络数据隐匿封装模块
网络数据隐匿封装模块连接网络拓扑信息隐匿模块和外网网卡;
功能之一是分析来自网络拓扑信息隐匿模块的数据包,提取适当信息,并根据该信息查询模块所属策略表项,以确定是否需要隐匿封装,如果需要则继续查询模块所属安全参数表项确定具体的隐匿方法,并根据查询到的隐匿方法对数据包的规定段进行隐匿处理,按查询到的封装方法重新封装数据包后传给外网网卡;
功能之二是分析来自外网网卡的数据包提取适当信息,若非隐匿包则丢弃数据包,否则根据提取出的信息,查询模块所属安全参数表项确定具体的隐匿方法,并根据查询到的隐匿方法对数据包的规定段进行解隐匿处理,再查询模块所属策略表项以确定是否需要隐匿封装,如果需要则解封装数据包后传给网络拓扑信息隐匿模块,否则丢弃数据包;
网络数据隐匿封装模块还连接拟态化模块,以由拟态化模块确定网络数据隐匿封装模块的工作状态、策略表项和安全参数表项。
4、外网网卡
外网网卡连接网络数据隐匿封装模块,负责从外部网络接收数据包传给网络数据隐匿封装模块,或将来自网络数据隐匿封装模块的数据包发送到外部网络;外网网卡还连接控制模块,以设置其网卡详细信息。
5、拟态化模块
拟态化模块连接网络拓扑信息隐匿模块、网络数据隐匿封装模块、存储模块和控制模块;
功能之一是配置网络拓扑信息隐匿模块的具体变换方法和连接跟踪表项参数;
功能之二是根据来自控制模块的配置信息,从存储模块拉取构建设备当前运行的若干数量的异构的网络数据隐匿封装模块,并配置各网络数据隐匿封装模块的策略表项和安全参数表项;
功能之三是根据数据分发控制功能,为数据包选择特定的网络数据隐匿封装模块;
功能之四是根据来自参数配置模块的配置信息,周期性更换设备当前运行的各异构的网络数据隐匿封装模块。
6、存储模块
存储模块连接拟态化模块和控制模块,用于存储拟态化模块所需要的网络数据隐匿封装模块的异构源,并通过控制模块增删更新维护这些异构源;保存控制模块的所有配置信息。
7、控制模块
控制模块连接内网网卡、外网网卡、拟态化模块、存储模块和管理配置接口;其通过管理接口接收来自外部管理客户端的配置信息和进行维护操作;设置内网网卡和外网网卡的网卡详细信息;增删更新维护存储模块中的数据隐匿封装模块异构源;向拟态化模块设置网络拓扑信息隐匿模块的具体变换方法和连接跟踪表项参数;向拟态化模块设置各网络拓扑信息隐匿模块的策略表项、安全参数和周期性运行参数;将上述各类信息、表项和参数保存在存储模块;周期性查询各组件的状态信息,保存到日志模块。
8、管理接口
管理接口连接控制模块;在设备第一次启动后通过控制模块配置运行,设备再次启动将调取存储模块中的各类信息、表项、参数和数据隐匿封装模块异构源来自动配置运行,并可通过管理接口重新配置运行。
9、日志模块
日志模块连接控制模块;负责日志的查询、显示、导出和删除等。设备还存储配置包括路由表项、ARP(Address Resolution Protocol)表项和若干预制的网络数据隐匿封装模块的异构源等。
图4是本发明提供的基于隐匿网关的虚拟专用网的结构示意图,如图4所示,基于隐匿网关的虚拟专用网包括:局域网LAN1,第一隐匿网关GW1,主机HOST1,局域网LAN2,第二隐匿网关GW2和主机HOST2;当由HOST1等主机或服务器组成的局域网LAN1与由HOST2等主机或服务器组成的局域网LAN2要经外部网络构建虚拟专用网时,具体的方法步骤包括连接隐匿网关、配置隐匿网关和安全通信三个部分:
(一)连接隐匿网关
L1、确定欲互联的局域网对<LAN1,LAN2>;
L2、将LAN1外网出口网卡连接隐匿网关GW1的内网网卡,GW1的外网网卡连接LAN1原外网出口设备;
L3、将LAN2外网出口网卡连接隐匿网关GW2的内网网卡,GW2的外网网卡连接LAN2原外网出口设备。
(二)配置隐匿网关
S1、启动隐匿网关,连接管理接口并登录管理客户端;
S2、设置内网网卡的内部IP地址和网关等网卡详细信息;
S3、设置外网网卡的外部IP地址和网关等网卡详细信息;
S4、设置与所有内部局域网IP地址段不同的一个冗余内部IP地址段信息;
S5、设置网络拓扑变换算法;
S6、设置异构的网络数据隐匿封装模块的运行个数和切换周期;
S7、设置远程隐匿网关IP地址,远程局域网段内部IP地址段;设置策略表项;设置安全参数表项;
S8、确认保存配置;确认按新配置运行;
S9、可选配置,增删更新数据隐匿封装模块异构源;默认配置为预制数据隐匿封装模块异构源。
具体地,对欲互联的局域网对<LAN1,LAN2>,GW1和GW2均需按配置隐匿网关方法来进行操作,其中,本地和远程是互相相对的称谓;当配置GW1时,本地局域网指LAN1,本地隐匿网关指GW1,本地主机指HOST1等,其远程局域网指LAN2,远程隐匿网关指GW2,远程主机指HOST2等;当配置GW2时,本地局域网指LAN2,本地隐匿网关指GW2,本地主机指HOST2等,其远程局域网指LAN1,远程隐匿网关指GW1,远程主机指HOST1等;
可选地,在S4中“所有内部局域网”可以包括LAN1和LAN2以及与二者互联的其他内部局域网,S7中设置策略表项和安全参数表项要求GW1与GW2的设置相适应。
当局域网对<LAN1,LAN2>,LAN1和LAN2连接并配置隐匿网关后,LAN1中任意主机或服务器HOST1可以开始与LAN2中任意主机或服务器HOST2进行双向安全通信。
(三)安全通信
C1、隐匿网关GW1与GW2协商具体安全参数,并存储于存储模块,建立起若干安全通信连接隧道;
C2、LAN1中任意主机或服务器HOST1与LAN2中任意主机或服务器HOST2进行双向安全通信,步骤描述为C-i-j-序号;HOSTi发包/HOSTj收包步骤为C-i-j-序号,HOSTj发包/HOSTi收包步骤为C-j-i-序号;
C-i-j、主机或服务器HOSTi基于内部IP地址向主机或服务器HOSTj发送数据包Packet_raw,该包经隐匿网关GWi路由到隐匿网关GWj后到达HOSTj;
C-i-j-1、隐匿网关GW1的内网网卡接收数据包Packet_raw并传给网络拓扑信息隐匿模块;
C-i-j-2、网络拓扑信息隐匿模块解析出Packet_raw的网络信息五元组,根据网络拓扑变换算法变换该五元组为新五元组,用其替换Packet_raw五元组构成中间结果数据包Packet_mid,并依据新五元组分发给当前运行的若干个异构的网络数据隐匿封装模块中的特定模块;
C-i-j-3、特定的网络数据隐匿封装模块解析出数据包Packet_mid的五元组,按该五元组查询该模块策略表项给出相应的处理动作;
C-i-j-4、若前述处理动作为安全传输,按策略表项中相应索引查询安全参数表项确定本次安全传输的具体参数,并依据该具体参数将Packet_mid隐匿封装成新数据包Packet_new后传给外网网卡;
C-i-j-5、外网网卡收到Packet_new后将其发送到外部网络;
C-i-j-6、隐匿网关GW2的外网网卡接收到路由至本设备的数据包Packet_new,并传给网络数据隐匿封装模块;
C-i-j-7、网络数据隐匿封装模块解析出数据包Packet_new中网络信息五元组,若非安全传输隐匿封装格式,按该五元组查询本模块策略表项确定其旁路或丢弃两个处理动作,若没有命中处理动作,则确定为丢弃处理动作;若处理动作为旁路则将数据包Packet_new传给网络拓扑信息隐匿模块;若处理动作为丢弃则丢弃该包;
C-i-j-8、若是安全传输隐匿封装格式,按该五元组特定索引字段查询本模块安全参数表项,若查询出具体安全参数,按该参数解隐匿该数据包并提取新的网络信息五元组,再按该五元组查询本模块策略表项,若查询结果为隐匿封装且字段校验成功则解封装得到数据包Packet_mid并传给网络拓扑信息隐匿模块,否则丢弃该数据包;若查询不到具体安全参数,则丢弃该数据包;
C-i-j-9、网络拓扑信息隐匿模块解析出数据包Packet_mid的网络信息五元组,按变换算法解变换该五元组后替换之构成最终的数据包Packet_raw,将其传给内网网卡;
C-i-j-10、内网网卡将数据包Packet_raw发送到内部局域网路由设备。
需要说明的是,上述方法还包括C1的重新协商步骤,该步骤的产生与安全参数表项的时间、数据量、序列号或特定窗口等限制参数有关,当通信过程中任意一方这些参数超过某个阈值时均引发重新协商。
二、拟态的第一隐匿网关具体采用一台安装centos7和docker软件的双网卡主机;网络拓扑信息隐匿模块采用iptables的NAT(Network Address Translation)模块,网络拓扑变换算法是NAT自身实现的算法;拟态模块以多种开源IPsec软件和多种Linux操作系统为拟态化资源要素,组合成多种docker容器镜像作为网络数据隐匿封装模块异构源,并保存于作为存储模块的本地docker库;控制模块可为手工配置各开源IPsec的net2net场景配置文件。
图5是本发明提供的基于隐匿网关的通信方法的流程示意图之二,如图5所示,拟态隐匿网关运行时,设置内网网卡IP地址为本地局域网网关地址,设置外网网卡IP地址为本地局域网出口互联网IP地址;将本地局域网网段通过iptables NAT源地址随机翻译到若干个冗余私有地址;进入docker,从本地docker库拉取不同镜像创建若干个HOST模式容器;按冗余私有地址将远程局域网私有地址段分割成容器个数相等的通信地址对集合,每个集合匹配一个容器,按该集合配置该容器中IPsec软件为net2net场景模式,并保存各配置文件;启动各容器IPsec软件。
拟态隐匿网关切换实现可采用定时服务脚本;当某个容器运行周期达到时,自动按该容器保存的配置文件创建新的运行net2net场景模式IPsec服务的容器,运行该新容器并停止删除被替代的容器。
本发明实施例可保证虚拟专用网络流量穿越不可信网络的通信安全性,可以有效防范从外部网络侧明/密文检测分析内部网络间数据流,加固网关设备自身安全性。
下面对本发明提供的基于隐匿网关的通信装置进行描述,下文描述的基于隐匿网关的通信装置与上文描述的基于隐匿网关的通信方法可相互对应参照。
本发明实施例的基于隐匿网关的通信装置,可以应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据。
图6是本发明提供的基于隐匿网关的通信装置的结构示意图,如图6所示,基于隐匿网关的通信装置600包括:
解析模块601,用于在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
变换模块602,用于基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
确定模块603,用于基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
隐匿封装模块604,用于基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
发送模块605,用于通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
在本发明实施例提供的基于隐匿网关的通信装置中,解析模块可以从第一隐匿网关的内网网卡接收来自第一网络设备的第一初始数据包,并解析第一初始数据包中的第一信息,由变换模块基于网络拓扑变换算法,将第一初始数据包中的第一信息变换为第二信息,得到第一中间数据包,再由确定模块基于第二信息,在策略表项中确定第一中间数据包对应的第一安全参数表项,以由隐匿封装模块基于第一安全参数表项,将第一中间数据包隐匿封装为第一传输数据包,再由发送模块通过第一隐匿网关的外网网卡和第二隐匿网关,将第一传输数据包发送至第二网络设备,以实现第一网络设备和第二网络设备之间的安全通信,相较于相关技术中的VPN网关,可以有效提高网络通信的安全性,另外,本发明实施例的隐匿技术成本低,简单易行。
可选地,基于隐匿网关的通信装置600还包括处理模块,用于:
在从所述外网网卡接收到第二传输数据包的情况下,解析所述第二传输数据包中的第三信息;
在基于所述第三信息,确定所述第三信息属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的第二安全参数表项;
基于所述第二安全参数表项,将所述第二传输数据包解隐匿封装为第二中间数据包;
基于所述网络拓扑变换算法,在所述第二中间数据包中将所述第三信息逆变换为第四信息,得到第二初始数据包;其中,所述网络拓扑变换算法包括所述第三信息和所述第四信息之间的对应关系;
将所述第二初始数据包发送至所述第一网络设备。
可选地,处理模块还用于:
在基于所述第三信息,确定所述第三信息不属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的处理动作;
在所述处理动作为旁路的情况下,将所述第二传输数据包作为所述第二中间数据包;
在所述处理动作为丢弃的情况下,丢弃所述第二传输数据包;
在不存在所述第三信息对应的处理动作的情况下,丢弃所述第二传输数据包。
可选地,所述第一隐匿网关还包括N个异构的数据隐匿封装模块,N为大于1的整数;
处理模块还用于:基于预先设置的分发控制策略,在N个异构的数据隐匿封装模块中选择至少一个目标数据隐匿封装模块;
确定模块603具体用于:基于所述第二信息,在与所述目标数据隐匿封装模块对应的目标策略表项中,确定用于传输所述第一中间数据包的目标安全参数表项,作为所述第一安全参数表项。
可选地,处理模块还用于:以预先设置的周期,清洗并更换各所述数据隐匿封装模块。
可选地,隐匿封装模块604具体用于:基于所述第一安全参数表项,对所述第一中间数据包中预先设置的规定段进行隐匿处理,并将隐匿处理后的数据包封装为所述第一传输数据包。
图7是本发明提供的电子设备的结构示意图,如图7所示,该电子设备700可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行基于隐匿网关的通信方法,应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据,所述方法包括:
在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的基于隐匿网关的通信方法,应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据,所述方法包括:
在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的基于隐匿网关的通信方法,应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据,所述方法包括:
在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于隐匿网关的通信方法,其特征在于,应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据,所述方法包括:
在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
2.根据权利要求1所述的基于隐匿网关的通信方法,其特征在于,所述方法还包括:
在从所述外网网卡接收到第二传输数据包的情况下,解析所述第二传输数据包中的第三信息;
在基于所述第三信息,确定所述第三信息属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的第二安全参数表项;
基于所述第二安全参数表项,将所述第二传输数据包解隐匿封装为第二中间数据包;
基于所述网络拓扑变换算法,在所述第二中间数据包中将所述第三信息逆变换为第四信息,得到第二初始数据包;其中,所述网络拓扑变换算法包括所述第三信息和所述第四信息之间的对应关系;
将所述第二初始数据包发送至所述第一网络设备。
3.根据权利要求2所述的基于隐匿网关的通信方法,其特征在于,所述在从所述外网网卡接收到第二传输数据包的情况下,解析所述第二传输数据包中的第三信息之后,所述方法还包括:
在基于所述第三信息,确定所述第三信息不属于预先设置的安全传输隐匿格式的情况下,基于所述第三信息,在所述策略表项中确定所述第三信息对应的处理动作;
在所述处理动作为旁路的情况下,将所述第二传输数据包作为所述第二中间数据包;
在所述处理动作为丢弃的情况下,丢弃所述第二传输数据包;
在不存在所述第三信息对应的处理动作的情况下,丢弃所述第二传输数据包。
4.根据权利要求1所述的基于隐匿网关的通信方法,其特征在于,所述第一隐匿网关还包括N个异构的数据隐匿封装模块,N为大于1的整数;
所述基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项之前,所述方法还包括:
基于预先设置的分发控制策略,在N个异构的数据隐匿封装模块中选择至少一个目标数据隐匿封装模块;
所述基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项,包括:
基于所述第二信息,在与所述目标数据隐匿封装模块对应的目标策略表项中,确定用于传输所述第一中间数据包的目标安全参数表项,作为所述第一安全参数表项。
5.根据权利要求4所述的基于隐匿网关的通信方法,其特征在于,所述方法还包括:
以预先设置的周期,清洗并更换各所述数据隐匿封装模块。
6.根据权利要求1至5任一项所述的基于隐匿网关的通信方法,其特征在于,所述基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包,包括:
基于所述第一安全参数表项,对所述第一中间数据包中预先设置的规定段进行隐匿处理,并将隐匿处理后的数据包封装为所述第一传输数据包。
7.一种基于隐匿网关的通信装置,其特征在于,应用于第一隐匿网关,所述第一隐匿网关的内网网卡连接于第一网络设备,用于与所述第一网络设备传输数据,所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据,所述装置包括:
解析模块,用于在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下,解析所述第一初始数据包中的第一信息;
变换模块,用于基于预先设置的网络拓扑变换算法,在所述第一初始数据包中将所述第一信息变换为第二信息,得到第一中间数据包;其中,所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系;
确定模块,用于基于所述第二信息,在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项;
隐匿封装模块,用于基于所述第一安全参数表项,将所述第一中间数据包隐匿封装为第一传输数据包;
发送模块,用于通过所述外网网卡和所述第二隐匿网关,将所述第一传输数据包发送至所述第二网络设备。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述基于隐匿网关的通信方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于隐匿网关的通信方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于隐匿网关的通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211718025.6A CN116055145A (zh) | 2022-12-29 | 2022-12-29 | 基于隐匿网关的通信方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211718025.6A CN116055145A (zh) | 2022-12-29 | 2022-12-29 | 基于隐匿网关的通信方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116055145A true CN116055145A (zh) | 2023-05-02 |
Family
ID=86125836
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211718025.6A Pending CN116055145A (zh) | 2022-12-29 | 2022-12-29 | 基于隐匿网关的通信方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055145A (zh) |
-
2022
- 2022-12-29 CN CN202211718025.6A patent/CN116055145A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107911258B (zh) | 一种基于sdn网络的安全资源池的实现方法及系统 | |
US9860210B1 (en) | Multi-layered application classification and decoding | |
KR102075228B1 (ko) | 시큐리티 시스템 및 통신 제어 방법 | |
US9276907B1 (en) | Load balancing in a network with session information | |
CN107995324B (zh) | 一种基于隧道模式的云防护方法及装置 | |
CN102123076B (zh) | 网络安全设备的高可用性 | |
US7797411B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
US20060031928A1 (en) | Detector and computerized method for determining an occurrence of tunneling activity | |
US7496097B2 (en) | System, apparatus and method for establishing a secured communications link to form a virtual private network at a network protocol layer other than at which packets are filtered | |
EP3979559A1 (en) | Rule-based network-threat detection for encrypted communications | |
CA2602778C (en) | Preventing duplicate sources from clients served by a network address port translator | |
US7260833B1 (en) | One-way network transmission interface unit | |
JP2008278529A (ja) | データ処理装置間のデータトラヒックのトランスペアレント伝送のための方法及びシステム並びに当該のコンピュータプログラム製品及び当該のコンピュータ読み取り可能な記憶媒体 | |
US20050243789A1 (en) | Network security system | |
WO2002021772A2 (en) | System and method for secure dual channel communication through a firewall | |
CN109768923A (zh) | 一种安全隔离单向网闸及方法 | |
CN104394122A (zh) | 一种基于自适应代理机制的http业务防火墙 | |
WO2009058685A1 (en) | Security state aware firewall | |
Nath et al. | Tcp-ip model in data communication and networking | |
WO2012130523A1 (en) | A method for providing a firewall rule and a corresponding system | |
US9338183B2 (en) | Session hopping | |
CN116055145A (zh) | 基于隐匿网关的通信方法、装置、设备及介质 | |
CN116055586B (zh) | 分片报文的匹配方法、路由器及存储介质 | |
CN109962989B (zh) | 穿越网络地址网关的方法、装置和系统 | |
Khaing | Comparison of DOD and OSI Model in the Internet Communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |