CN116389369A - 一种网络流量隔离方法、系统、设备和介质 - Google Patents

一种网络流量隔离方法、系统、设备和介质 Download PDF

Info

Publication number
CN116389369A
CN116389369A CN202310447986.6A CN202310447986A CN116389369A CN 116389369 A CN116389369 A CN 116389369A CN 202310447986 A CN202310447986 A CN 202310447986A CN 116389369 A CN116389369 A CN 116389369A
Authority
CN
China
Prior art keywords
data
target
node
network
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310447986.6A
Other languages
English (en)
Inventor
简玮侠
周祥峰
李永健
刘思麟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Zhongshan Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Zhongshan Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Zhongshan Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202310447986.6A priority Critical patent/CN116389369A/zh
Publication of CN116389369A publication Critical patent/CN116389369A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络流量隔离方法、系统、设备和介质,本发明通过响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据,并将待传输数据输入预设的目标DHT网络;通过目标DHT网络读取待传输数据对应的时域信息;采用目标DHT网络对应的节点数据和时域信息构建目标DHT网络的路径选择函数;按照路径选择函数对应的传输路径队列传输待传输数据;采用传输路径队列对应的节点的密钥对对待传输数据进行加密和解密,生成目标解密传输数据;将目标解密传输数据输送至接收端。解决了传统横向隔离、纵向隔离装置带宽有限问题。本发明实现流量隔离网络自组网,增强流量隔离网络的有效带宽,并避免发生的中间人攻击。

Description

一种网络流量隔离方法、系统、设备和介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络流量隔离方法、系统、设备和介质。
背景技术
计算机网络是当今社会最为重要的信息设施,随着社会的高速发展,人们对计算机网络安全的要求也越来越高。而网络攻击手段也层出不穷,导致计算机网络经常被攻击。
然而,通常是采用网络流量隔离技术来确保网络通信的安全,网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,保证数据发送端和接收端的数据安全交换。但是现有的网络隔离技术都是以MAC、RBAC、ABAC等为策略,对网络进行物理隔离,并定义相关约束和规则来保障网络的安全强度,存在针对产品的0day漏洞难题,攻占其中一台流量隔离设备即可窃取数据,对网络安全带来极大隐患。
发明内容
本发明提供了一种网络流量隔离方法、系统、设备和介质,解决了现有的网络隔离技术都是以MAC、RBAC、ABAC等为策略,对网络进行物理隔离,并定义相关约束和规则来保障网络的安全强度,存在针对产品的0day漏洞难题,攻占其中一台流量隔离设备即可窃取数据,对网络安全带来极大隐患的技术问题。
本发明第一方面提供的一种网络流量隔离方法,包括:
响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据,并将所述待传输数据输入预设的目标DHT网络;
通过所述目标DHT网络读取所述待传输数据对应的时域信息;
采用所述目标DHT网络对应的节点数据和所述时域信息构建所述目标DHT网络的路径选择函数;
按照所述路径选择函数对应的传输路径队列传输所述待传输数据;
采用所述传输路径队列对应的节点的密钥对对所述待传输数据进行加密和解密,生成目标解密传输数据;
将所述目标解密传输数据输送至接收端。
可选地,所述响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据,并将所述待传输数据输入预设的目标DHT网络的步骤,包括:
响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据;
按照所述网络流量隔离请求编制初始DHT网络节点;
采用预设算法设置多个密钥对,将各所述密钥对分别输入各所述初始DHT网络节点,生成更新节点;
初始化各所述更新节点,生成待启动节点;
启动各所述待启动节点,生成目标节点;
将相邻两个所述目标节点进行连接,生成初始DHT网络;
将所述初始DHT网络的各目标节点对应的密钥对的公钥传送至邻接节点,生成目标DHT网络;
将所述待传输数据输入所述目标DHT网络。
可选地,所述通过所述目标DHT网络读取所述待传输数据对应的时域信息的步骤,包括:
通过所述目标DHT网络的节点上设有的网络过滤器对所述待传输数据进行过滤,生成目标待传输数据;
通过所述目标DHT网络的节点读取所述目标待传输数据对应的时域信息,并获取所述时域信息的ID数据。
可选地,所述采用所述目标DHT网络对应的节点数据和所述时域信息构建所述目标DHT网络的路径选择函数的步骤,包括:
采用所述目标DHT网络对应的节点数据和所述时域信息的ID数据,生成各所述节点对应的状态向量;
采用各所述节点对应的状态向量、各所述节点数据、各所述节点数据相邻的节点数据和所述状态向量对应的状态转换函数,构建所述目标DHT网络的路径选择函数。
可选地,所述采用所述传输路径队列对应的节点的密钥对对所述待传输数据进行加密和解密,生成目标解密传输数据的步骤,包括:
在所述传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对所述待传输数据进行加密,生成加密传输数据并输入所述第I+1个节点;其中,所述I为正整数;
通过所述第I+1个节点的密钥对对应的私钥对所述加密传输数据进行解密,生成解密传输数据;
判断所述第I+1个节点是否为所述传输路径队列的最末端节点;
若是,则将所述解密传输数据确定为目标解密传输数据;
若否,则跳转执行所述在所述传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对所述待传输数据进行加密,生成加密传输数据并输入所述第I+1个节点;其中,所述I为正整数的步骤。
可选地,还包括:
采用所述目标解密传输数据的网络层信息、所述传输路径队列和所述目标DHT网络的最末端节点对应的哈希函数,生成哈希码;
将所述哈希码存储至区块链。
可选地,还包括:
通过预设语言编辑所述目标DHT网络的各个节点,对传输至所述节点的待传输数据进行整理和变换。
本发明第二方面提供的一种网络流量隔离系统,包括:
目标DHT网络模块,用于响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据,并将所述待传输数据输入预设的目标DHT网络;
时域信息模块,用于通过所述目标DHT网络读取所述待传输数据对应的时域信息;
路径选择函数模块,用于采用所述目标DHT网络对应的节点数据和所述时域信息构建所述目标DHT网络的路径选择函数;
传输待传输数据模块,用于按照所述路径选择函数对应的传输路径队列传输所述待传输数据;
目标解密传输数据模块,用于采用所述传输路径队列对应的节点的密钥对对所述待传输数据进行加密和解密,生成目标解密传输数据;
输送至接收端模块,用于将所述目标解密传输数据输送至接收端。
本发明第三方面提供的一种电子设备,包括存储器及处理器,所述存储器中储存有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如上述任一项所述的网络流量隔离方法的步骤。
本发明第四方面提供的一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现如上述任一项所述的网络流量隔离方法。
从以上技术方案可以看出,本发明具有以下优点:
本发明通过响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据,并将待传输数据输入预设的目标DHT网络;通过目标DHT网络读取待传输数据对应的时域信息;采用目标DHT网络对应的节点数据和时域信息构建目标DHT网络的路径选择函数;按照路径选择函数对应的传输路径队列传输待传输数据;采用传输路径队列对应的节点的密钥对对待传输数据进行加密和解密,生成目标解密传输数据;将目标解密传输数据输送至接收端。解决了现有的网络隔离技术都是以MAC、RBAC、ABAC等为策略,对网络进行物理隔离,并定义相关约束和规则来保障网络的安全强度,存在针对产品的0day漏洞难题,攻占其中一台流量隔离设备即可窃取数据,对网络安全带来极大隐患的技术问题。
本发明实现流量隔离网络自组网,增强流量隔离网络的有效带宽,并避免发生的中间人攻击(MITMA,Man in the middle attack),保护数据的有效性和传输的私密性。同时解决传统横向隔离、纵向隔离装置带宽有限问题,并把采取细胞自动机为基础的共识协议,把数据传输证据保存在DHT网络的区块当中。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例一提供的一种网络流量隔离方法的步骤流程图;
图2为本发明实施例二提供的一种网络流量隔离方法的步骤流程图;
图3为本发明实施例二提供的一种基于DHT的去中心化网络搭建的结构框图;
图4为本发明实施例二提供的一种发送端和接收端通信步骤的结构框图;
图5为本发明实施例三提供的一种网络流量隔离系统的结构框图。
具体实施方式
本发明实施例提供了一种网络流量隔离方法、系统、设备和介质,用于解决现有的网络隔离技术都是以MAC、RBAC、ABAC等为策略,对网络进行物理隔离,并定义相关约束和规则来保障网络的安全强度,存在针对产品的0day漏洞难题,攻占其中一台流量隔离设备即可窃取数据,对网络安全带来极大隐患的技术问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例一提供的一种网络流量隔离方法的步骤流程图。
本发明提供的一种网络流量隔离方法,包括以下步骤:
步骤101、响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据,并将待传输数据输入预设的目标DHT网络。
需要说明的是,网络流量隔离请求指的是创建网络流量隔离的请求。
待传输数据指的是需要传输到接收端的tcp或udp数据包,数据包中包括源IP、源端口、协议、目标IP和目标端口五要素等。
目标DHT网络指的是基于可定制liunx的流量隔离方法,完全去中心化的网络传输平台网络,实现私密且安全可靠的“无中央服务器”通信。
在本发明实施例中,当接到到网络流量隔离请求时,获取网络流量隔离请求需要传输的待传输数据,将待传输数据输入到预设的目标DHT网络进行传输。
步骤102、通过目标DHT网络读取待传输数据对应的时域信息。
需要说明的是,时域信息指的是待传输数据的session信息。
在本发明实施例中,当目标DHT网络的任意节点接收到待传输数据后,读取待传输数据的session信息。
步骤103、采用目标DHT网络对应的节点数据和时域信息构建目标DHT网络的路径选择函数。
需要说明的是,节点数据指的是目标DHT网络中各节点的状态向量、目标DHT网络中的节点数和当前节点的邻接节点和节点的状态转换函数等。
时域信息指的是session ID等信息。
session ID是状态向量参数的一部分。
路径选择函数指的是按照目标DHT网络的传输路径进行传输的函数。
在本发明实施例中,当目标DHT网络的当前节点接收到待传输数据时,结合目标DHT网络中各节点的状态向量、目标DHT网络的节点数、当前节点的邻接节点以及节点的状态转换函数,构建目标DHT网络的路径选择函数。
步骤104、按照路径选择函数对应的传输路径队列传输待传输数据。
需要说明的是,传输路径队列指的是目标DHT网络中各节点组成的传输队列。
在本发明实施例中,按照路径选择函数对应的传输路径队列的传输顺序将待传输数据进行传输。
步骤105、采用传输路径队列对应的节点的密钥对对待传输数据进行加密和解密,生成目标解密传输数据。
需要说明的是,密钥对指的是管理员用开源算法或者国密算法产生的密钥对,把公钥和使用组织内申请的端口,拷贝至目标DHT网络中的各个节点,设置可接受连接的公钥列表(如不设置,则默认接受任何拥有公钥的节点连接)。
在本发明实施例中,当待传输数据传输至路径队列的当前节点时,如当前节点为首段节点时,使用下一节点的公钥对待传输数据进行加密,生成加密传输数据,并传输到下一节点,采用这下一节点的私钥对加密传输数据进行解密,得到目标解密传输数据。
步骤106、将目标解密传输数据输送至接收端。
需要说明的是,接收端指的是接收数据的设备。
在本发明实施例中,将目标解密传输数据输送至接收端。
本发明通过响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据,并将待传输数据输入预设的目标DHT网络;通过目标DHT网络读取待传输数据对应的时域信息;采用目标DHT网络对应的节点数据和时域信息构建目标DHT网络的路径选择函数;按照路径选择函数对应的传输路径队列传输待传输数据;采用传输路径队列对应的节点的密钥对对待传输数据进行加密和解密,生成目标解密传输数据;将目标解密传输数据输送至接收端。解决了现有的网络隔离技术都是以MAC、RBAC、ABAC等为策略,对网络进行物理隔离,并定义相关约束和规则来保障网络的安全强度,存在针对产品的0day漏洞难题,攻占其中一台流量隔离设备即可窃取数据,对网络安全带来极大隐患的技术问题。
本发明实现流量隔离网络自组网,增强流量隔离网络的有效带宽,并避免发生的中间人攻击(MITMA,Man in the middle attack),保护数据的有效性和传输的私密性。同时解决传统横向隔离、纵向隔离装置带宽有限问题,并把采取细胞自动机为基础的共识协议,把数据传输证据保存在DHT网络的区块当中。
请参阅图2-4,图2为本发明实施例二提供的一种网络流量隔离方法的步骤流程图。
本发明提供的一种网络流量隔离方法,包括以下步骤:
步骤201、响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据,并将待传输数据输入预设的目标DHT网络。
可选地,步骤201包括以下步骤S11-S18:
S11、响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据;
S12、按照网络流量隔离请求编制初始DHT网络节点;
S13、采用预设算法设置多个密钥对,将各密钥对分别输入各初始DHT网络节点,生成更新节点;
S14、初始化各更新节点,生成待启动节点;
S15、启动各待启动节点,生成目标节点;
S16、将相邻两个目标节点进行连接,生成初始DHT网络;
S17、将初始DHT网络的各目标节点对应的密钥对的公钥传送至邻接节点,生成目标DHT网络;
S18、将待传输数据输入目标DHT网络。
需要说明的是,如图3所示,初始DHT网络指的是管理员通过安装专用的加密硬件模块或通过c语言编制专用软件加密模块,定制的所有DHT网络节点操作系统。其中,软件加密方法使用定制linux用户空间程序方式实现。
初始DHT网络节点指的是定制后仍未输入其他设置的初始节点。
预设算法指的是开源算法或者是国密算法,管理员按照实际情况选择适合的算法。
更新节点指的是已加入密钥对的DHT网络节点。
待启动节点指的是在更新节点的基础上进行初始化的DHT网络节点。
目标节点指的是经过启动后的待启动节点。
在本发明实施例中,当接收到网络流量隔离请求时,在获取网络流量隔离请求对应的待传输数据的同时,如图4所示,按照网络流量隔离请求编制初始DHT网络的首个节点,管理员用开源算法或者国密算法产生的密钥对中的公钥和使用组织内申请的端口拷贝至初始DHT网络的首个节点,然后初始化并启动初始DHT网络的首个节点,生成目标节点。重复执行编制初始DHT网络的节点的步骤,得到多个初始DHT网络节点,为剩余的初始DHT网络节点申请一对密钥对,如果系统未提供则默认自动生成,然后根据管理员指定的端口,或随机选择的端口,将各密钥对和端口分别输入各初始DHT网络节点,生成更新节点,初始化更新节点,得到待启动节点,并启动待启动节点,生成目标节点;将各个目标节点连接到初始DHT网络的首个节点,连接成功后,生成目标DHT网络,目标DHT网络的每个节点把其公钥传送给其邻接节点,任意两节点的通信,均使用对方公钥进行单独加密后再传输。将待传输数据输入到目标DHT网络,使用DHT网络的任意节点的邻接节点的公钥对待传输数据进行加密再传输。
步骤202、通过目标DHT网络的节点上设有的网络过滤器对待传输数据进行过滤,生成目标待传输数据。
需要说明的是,网络过滤器指的是可以将待传输数据中涉及敏感字的内容或信息进行过滤丢弃。
在本发明实施例中,通过目标DHT网络的节点上设有的网络过滤器对待传输数据中涉及敏感字的内容或信息进行过滤丢弃,或者是按照源IP、源端口、协议、目标IP和目标端口五要素过来无效数据包,从而避免收到DDos攻击,避免遭受黑客的网络探测和渗透。
步骤203、通过目标DHT网络的节点读取目标待传输数据对应的时域信息,并获取时域信息的ID数据。
在本发明实施例中,当目标DHT网络的节点读取目标待传输数据对应的时域信息时,提取时域信息的ID数据。
步骤204、采用目标DHT网络对应的节点数据和时域信息构建目标DHT网络的路径选择函数。
可选地,步骤204包括以下步骤S21-S22:
S21、采用目标DHT网络对应的节点数据和时域信息的ID数据,生成各节点对应的状态向量;
S22、采用各节点对应的状态向量、各节点数据、各节点数据相邻的节点数据和状态向量对应的状态转换函数,构建目标DHT网络的路径选择函数。
需要说明的是,状态向量指的是状态变量在某一时刻的值,称为系统在时刻的状态。
在本发明实施例中,路径选择函数为DHTPathFunc=(State,NodeNum,NeighborSet,StateFunc),其中,State代表目标DHT网络中各节点的状态向量,NodeNum代表目标DHT网络中节点数,NeighborSet代表当前节点的邻接节点,StateFunc代表节点的状态转换函数。
具体地,时域信息的ID数据也就是session ID,是路径选择函数DHTPathFunc中State参数的一部分,因而,结合目标DHT网络对应的节点数据和session ID即可生成各节点对应的状态向量。
具体地,在本发明中,每个目标DHT网络节点加入DHT网络后,按照Chord协议使用相容哈希作为哈希算法(默认使用SHA-1算法)。哈希算法会产生一个2160的空间,每项为一个16字节(160bit)的大整数。可以认为这些整数首尾相连形成一个环,称之为Chord环。整数在Chord环上按大小顺时针排列,Node(机器上的IP地址和Port)与Key(资源标识)都被哈希映射到Chord环上,整个P2P网络的状态为一个虚拟的环。在查询的过程中,查询节点将请求发送到与chord环键值最接近的节点上。收到查询请求的节点,如果发现自身存储了被查询的信息,可以直接回应查询节点(与一致性哈希完全相同);如果被查询的信息不在本地,就根据查询表将请求转发到与键值最接近的节点上。这样的过程一直持续到找到相应的节点为止。
步骤205、按照路径选择函数对应的传输路径队列传输待传输数据。
在本发明实施例中,步骤205的具体实施过程与步骤104类似,在此不再赘述。
步骤206、采用传输路径队列对应的节点的密钥对对待传输数据进行加密和解密,生成目标解密传输数据。
可选地,步骤206包括以下步骤S31-S35:
S31、在传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对待传输数据进行加密,生成加密传输数据并输入第I+1个节点;其中,I为正整数;
S32、通过第I+1个节点的密钥对对应的私钥对加密传输数据进行解密,生成解密传输数据;
S33、判断第I+1个节点是否为传输路径队列的最末端节点;
S34、若是,则将解密传输数据确定为目标解密传输数据;
S35、若否,则跳转执行在传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对待传输数据进行加密,生成加密传输数据并输入第I+1个节点;其中,I为正整数的步骤。
需要说明的是,如第I个节点为当前节点,则第I+1个节点则为当前节点的下一个节点。
加密传输数据指的是在当前节点中,采用下一节点的公钥对待传输数据进行加密的数据。
解密传输数据指的是如传输到下一节点时,使用其私钥进行解密的数据。
在本发明实施例中,在传输路径队列的首个节点中,通过首个节点的邻接节点,也就是下一节点的密钥对对应的公钥对待传输数据进行加密,生成加密传输数据并输入到首个节点的邻接节点,也就是下一节点。
当下一节点接收到加密传输数据时,使用其私钥进行解密,生成解密传输数据。判断当前节点是不是传输路径队列的最末端节点,如果不是,就重复用当前节点的下一节点的密钥对的公钥对解密传输数据进行加密,生成更新加密传输数据,然后再传输到当前节点的下一节点,重复当下一节点接收到加密传输数据时,使用其私钥进行解密,生成解密传输数据这步操作,直到传输到最末端节点。
如果当前节点是传输路径队列的最末端节点,将解密传输数据确定为目标解密传输数据。
步骤207、将目标解密传输数据输送至接收端。
可选地,本方法还包括以下步骤S41-S42:
S41、采用目标解密传输数据的网络层信息、传输路径队列和目标DHT网络的最末端节点对应的哈希函数,生成哈希码;
S42、将哈希码存储至区块链。
需要说明的是,网络层信息包括源IP、源端口、协议、目标IP、目标端口和数据hash。
在本发明实施例中,去除目标解密传输数据的有效数据后,采用目标解密传输数据的网络层信息(即源IP、源端口、协议、目标IP、目标端口和数据hash)和传输路径队列,通过传输路径队列的最末端节点的哈希函数生成哈希码,通过共识函数将哈希码记录在区块链中,作为数据传输不可抵赖的证明。
可选地,本方法还包括以下步骤S51:
S51、通过预设语言编辑目标DHT网络的各个节点,对传输至节点的待传输数据进行整理和变换。
需要说明的是,预设语言指的是使用c语言、go语言、lua等编写各个节点,用于各个节点对传输的数据进行整理、变换,例如涉及敏感字的则过滤丢弃。
在本发明实施例中,任何的目标DHT网络的节点均可随时离开或加入目标DHT网络,每个传输至本目标DHT网络的节点的待传输数据均可以通过节点加以处理。当目标解密传输数据均去除有效载荷内容后,按照发送端和接收端的公钥和数据自身的哈希函数结果,再通过DHT网络节点的内置哈希函数生成传输凭证,存在DHT网络的区块链数据中,以证明该目标解密传输数据是经过本DHT网络传输。
本发明通过响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据,并将待传输数据输入预设的目标DHT网络;通过目标DHT网络读取待传输数据对应的时域信息;采用目标DHT网络对应的节点数据和时域信息构建目标DHT网络的路径选择函数;按照路径选择函数对应的传输路径队列传输待传输数据;采用传输路径队列对应的节点的密钥对对待传输数据进行加密和解密,生成目标解密传输数据;将目标解密传输数据输送至接收端。解决了现有的网络隔离技术都是以MAC、RBAC、ABAC等为策略,对网络进行物理隔离,并定义相关约束和规则来保障网络的安全强度,存在针对产品的0day漏洞难题,攻占其中一台流量隔离设备即可窃取数据,对网络安全带来极大隐患的技术问题。
本发明实现流量隔离网络自组网,增强流量隔离网络的有效带宽,并避免发生的中间人攻击(MITMA,Man in the middle attack),保护数据的有效性和传输的私密性。同时解决传统横向隔离、纵向隔离装置带宽有限问题,并把采取细胞自动机为基础的共识协议,把数据传输证据保存在DHT网络的区块当中。
请参阅图5,图5为本发明实施例三提供的一种网络流量隔离系统的结构框图。
本发明提供的一种网络流量隔离系统,包括:
目标DHT网络模块501,用于响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据,并将待传输数据输入预设的目标DHT网络;
时域信息模块502,用于通过目标DHT网络读取待传输数据对应的时域信息;
路径选择函数模块503,用于采用目标DHT网络对应的节点数据和时域信息构建目标DHT网络的路径选择函数;
传输待传输数据模块504,用于按照路径选择函数对应的传输路径队列传输待传输数据;
目标解密传输数据模块505,用于采用传输路径队列对应的节点的密钥对对待传输数据进行加密和解密,生成目标解密传输数据;
输送至接收端模块506,用于将目标解密传输数据输送至接收端。
可选地,目标DHT网络模块501包括:
待传输数据子模块,用于响应接收到的网络流量隔离请求,获取网络流量隔离请求对应的待传输数据;
初始DHT网络节点子模块,用于按照网络流量隔离请求编制初始DHT网络节点;
更新节点子模块,用于采用预设算法设置多个密钥对,将各密钥对分别输入各初始DHT网络节点,生成更新节点;
待启动节点子模块,用于初始化各更新节点,生成待启动节点;
目标节点子模块,用于启动各待启动节点,生成目标节点;
初始DHT网络子模块,用于将相邻两个目标节点进行连接,生成初始DHT网络;
目标DHT网络子模块,用于将初始DHT网络的各目标节点对应的密钥对的公钥传送至邻接节点,生成目标DHT网络;
输入目标DHT网络子模块,用于将待传输数据输入目标DHT网络。
可选地,时域信息模块502包括:
目标待传输数据子模块,用于通过目标DHT网络的节点上设有的网络过滤器对待传输数据进行过滤,生成目标待传输数据;
ID数据子模块,用于通过目标DHT网络的节点读取目标待传输数据对应的时域信息,并获取时域信息的ID数据。
可选地,路径选择函数模块503包括:
状态向量子模块,用于采用目标DHT网络对应的节点数据和时域信息的ID数据,生成各节点对应的状态向量;
路径选择函数子模块,用于采用各节点对应的状态向量、各节点数据、各节点数据相邻的节点数据和状态向量对应的状态转换函数,构建目标DHT网络的路径选择函数。
可选地,目标解密传输数据模块505包括:
加密传输数据子模块,用于在传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对待传输数据进行加密,生成加密传输数据并输入第I+1个节点;其中,I为正整数;
解密传输数据子模块,用于通过第I+1个节点的密钥对对应的私钥对加密传输数据进行解密,生成解密传输数据;
判断子模块,用于判断第I+1个节点是否为传输路径队列的最末端节点;
确定目标解密传输数据子模块,用于若是,则将解密传输数据确定为目标解密传输数据;
跳转子模块,用于若否,则跳转执行在传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对待传输数据进行加密,生成加密传输数据并输入第I+1个节点;其中,I为正整数的步骤。
可选地,本系统还包括:
哈希码子模块,用于采用目标解密传输数据的网络层信息、传输路径队列和目标DHT网络的最末端节点对应的哈希函数,生成哈希码;
存储子模块,用于将哈希码存储至区块链。
可选地,本系统还包括:
整理子模块,用于通过预设语言编辑目标DHT网络的各个节点,对传输至节点的待传输数据进行整理和变换。
本发明实施例四还提供了一种电子设备,包括存储器及处理器,存储器中储存有计算机程序;计算机程序被处理器执行时,使得处理器执行如上述任一实施例的网络流量隔离方法。
本发明实施例五还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被执行时实现如上述任一实施例的网络流量隔离方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种网络流量隔离方法,其特征在于,包括:
响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据,并将所述待传输数据输入预设的目标DHT网络;
通过所述目标DHT网络读取所述待传输数据对应的时域信息;
采用所述目标DHT网络对应的节点数据和所述时域信息构建所述目标DHT网络的路径选择函数;
按照所述路径选择函数对应的传输路径队列传输所述待传输数据;
采用所述传输路径队列对应的节点的密钥对对所述待传输数据进行加密和解密,生成目标解密传输数据;
将所述目标解密传输数据输送至接收端。
2.根据权利要求1所述的网络流量隔离方法,其特征在于,所述响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据,并将所述待传输数据输入预设的目标DHT网络的步骤,包括:
响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据;
按照所述网络流量隔离请求编制初始DHT网络节点;
采用预设算法设置多个密钥对,将各所述密钥对分别输入各所述初始DHT网络节点,生成更新节点;
初始化各所述更新节点,生成待启动节点;
启动各所述待启动节点,生成目标节点;
将相邻两个所述目标节点进行连接,生成初始DHT网络;
将所述初始DHT网络的各目标节点对应的密钥对的公钥传送至邻接节点,生成目标DHT网络;
将所述待传输数据输入所述目标DHT网络。
3.根据权利要求1所述的网络流量隔离方法,其特征在于,所述通过所述目标DHT网络读取所述待传输数据对应的时域信息的步骤,包括:
通过所述目标DHT网络的节点上设有的网络过滤器对所述待传输数据进行过滤,生成目标待传输数据;
通过所述目标DHT网络的节点读取所述目标待传输数据对应的时域信息,并获取所述时域信息的ID数据。
4.根据权利要求3所述的网络流量隔离方法,其特征在于,所述采用所述目标DHT网络对应的节点数据和所述时域信息构建所述目标DHT网络的路径选择函数的步骤,包括:
采用所述目标DHT网络对应的节点数据和所述时域信息的ID数据,生成各所述节点对应的状态向量;
采用各所述节点对应的状态向量、各所述节点数据、各所述节点数据相邻的节点数据和所述状态向量对应的状态转换函数,构建所述目标DHT网络的路径选择函数。
5.根据权利要求1所述的网络流量隔离方法,其特征在于,所述采用所述传输路径队列对应的节点的密钥对对所述待传输数据进行加密和解密,生成目标解密传输数据的步骤,包括:
在所述传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对所述待传输数据进行加密,生成加密传输数据并输入所述第I+1个节点;其中,所述I为正整数;
通过所述第I+1个节点的密钥对对应的私钥对所述加密传输数据进行解密,生成解密传输数据;
判断所述第I+1个节点是否为所述传输路径队列的最末端节点;
若是,则将所述解密传输数据确定为目标解密传输数据;
若否,则跳转执行所述在所述传输路径队列的第I个节点中,通过第I+1个节点的密钥对对应的公钥对所述待传输数据进行加密,生成加密传输数据并输入所述第I+1个节点;其中,所述I为正整数的步骤。
6.根据权利要求1所述的网络流量隔离方法,其特征在于,还包括:
采用所述目标解密传输数据的网络层信息、所述传输路径队列和所述目标DHT网络的最末端节点对应的哈希函数,生成哈希码;
将所述哈希码存储至区块链。
7.根据权利要求1所述的网络流量隔离方法,其特征在于,还包括:
通过预设语言编辑所述目标DHT网络的各个节点,对传输至所述节点的待传输数据进行整理和变换。
8.一种网络流量隔离系统,其特征在于,包括:
目标DHT网络模块,用于响应接收到的网络流量隔离请求,获取所述网络流量隔离请求对应的待传输数据,并将所述待传输数据输入预设的目标DHT网络;
时域信息模块,用于通过所述目标DHT网络读取所述待传输数据对应的时域信息;
路径选择函数模块,用于采用所述目标DHT网络对应的节点数据和所述时域信息构建所述目标DHT网络的路径选择函数;
传输待传输数据模块,用于按照所述路径选择函数对应的传输路径队列传输所述待传输数据;
目标解密传输数据模块,用于采用所述传输路径队列对应的节点的密钥对对所述待传输数据进行加密和解密,生成目标解密传输数据;
输送至接收端模块,用于将所述目标解密传输数据输送至接收端。
9.一种电子设备,其特征在于,包括存储器及处理器,所述存储器中储存有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1-7任一项所述的网络流量隔离方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1-7任一项所述的网络流量隔离方法。
CN202310447986.6A 2023-04-23 2023-04-23 一种网络流量隔离方法、系统、设备和介质 Pending CN116389369A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310447986.6A CN116389369A (zh) 2023-04-23 2023-04-23 一种网络流量隔离方法、系统、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310447986.6A CN116389369A (zh) 2023-04-23 2023-04-23 一种网络流量隔离方法、系统、设备和介质

Publications (1)

Publication Number Publication Date
CN116389369A true CN116389369A (zh) 2023-07-04

Family

ID=86963405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310447986.6A Pending CN116389369A (zh) 2023-04-23 2023-04-23 一种网络流量隔离方法、系统、设备和介质

Country Status (1)

Country Link
CN (1) CN116389369A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230122504A1 (en) * 2021-10-20 2023-04-20 Dell Products L.P. Common Access Management Across Role-Based Access Control and Attribute-Based Access Control
CN116633702A (zh) * 2023-07-25 2023-08-22 广东广宇科技发展有限公司 一种基于对称加密的数据传输方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230122504A1 (en) * 2021-10-20 2023-04-20 Dell Products L.P. Common Access Management Across Role-Based Access Control and Attribute-Based Access Control
CN116633702A (zh) * 2023-07-25 2023-08-22 广东广宇科技发展有限公司 一种基于对称加密的数据传输方法
CN116633702B (zh) * 2023-07-25 2023-10-31 广东广宇科技发展有限公司 一种基于对称加密的数据传输方法

Similar Documents

Publication Publication Date Title
Lan et al. Embark: Securely outsourcing middleboxes to the cloud
Ristic Bulletproof SSL and TLS: Understanding and deploying SSL/TLS and PKI to secure servers and web applications
Al-Shaer Toward network configuration randomization for moving target defense
Ning et al. PrivDPI: Privacy-preserving encrypted traffic inspection with reusable obfuscated rules
Fan et al. Spabox: Safeguarding privacy during deep packet inspection at a middlebox
RU2621182C1 (ru) Устройство совместного использования ключа и система для его конфигурации
CN116389369A (zh) 一种网络流量隔离方法、系统、设备和介质
US7574603B2 (en) Method of negotiating security parameters and authenticating users interconnected to a network
JP6841324B2 (ja) 通信装置、システム、方法及びプログラム
CN101529805A (zh) 中间设备
Datta et al. {spine}: Surveillance protection in the network elements
WO2010124014A2 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
CN114448730B (zh) 基于区块链网络的报文转发方法及装置、交易处理方法
Lucena et al. Syntax and semantics-preserving application-layer protocol steganography
Ristić Bulletproof SSL and TLS
Lai et al. Practical encrypted network traffic pattern matching for secure middleboxes
Chan et al. Anonymous ae
Touil et al. Secure and guarantee QoS in a video sequence: a new approach based on TLS protocol to secure data and RTP to ensure real-time exchanges
Guo et al. Enabling privacy-preserving header matching for outsourced middleboxes
CN109067774B (zh) 一种基于信任令牌的安全接入系统及其安全接入方法
GB2488753A (en) Encrypted communication
US20100242112A1 (en) System and method for protecting network resources from denial of service attacks
Keerthi Taxonomy of SSL/TLS attacks
Prakash et al. Data security in wired and wireless systems
WO2014029951A1 (en) A cryptography system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination