CN117201409A - 流量传输方法、装置、电子设备及存储介质 - Google Patents
流量传输方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117201409A CN117201409A CN202311182374.5A CN202311182374A CN117201409A CN 117201409 A CN117201409 A CN 117201409A CN 202311182374 A CN202311182374 A CN 202311182374A CN 117201409 A CN117201409 A CN 117201409A
- Authority
- CN
- China
- Prior art keywords
- node
- encryption
- traffic
- flow
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 137
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000002159 abnormal effect Effects 0.000 claims description 58
- 238000012544 monitoring process Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000007711 solidification Methods 0.000 description 3
- 230000008023 solidification Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种流量传输方法、装置、电子设备及存储介质。该方法包括:获取加密流量的加密需求标识,所述加密需求标识根据所述加密流量的传输信息和加密需求信息设置,所述传输信息表征所述加密流量的待传输节点,所述加密需求信息表征对所述待传输节点的加密方式;根据加密需求标识,确定所述加密流量的流转信道、以及所述流转信道的加密算法,其中,所述流转信道包括第一节点和第二节点,所述第一节点为所述第二节点的上一传输节点;根据所述加密算法,对所述流转信道中的所述第一节点和所述第二节点进行加密,得到加密流转信道;根据所述加密流转信道,对所述加密流量进行传输。本申请的方法,提高了流量传输安全性,满足了不同加密需求。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种流量传输方法、装置、电子设备及存储介质。
背景技术
随着网络的发展和数据体量的增大,数据安全也越发重要,因此针对目前网络数据安全防护现状,提升数据流转的安全能力,保障流量传输安全具有重要意义。
目前网络交互的流程均是按照标准的协议交互流程来执行,对于可信的建立也存在固定的模式,认定某一节点或者某一平台是固定的可信点,作为流量传输的基础。
然而现有的流量传输方法存在流程固化、灵活性不足,无法满足不同加密需求的问题。
发明内容
本申请提供一种流量传输方法、装置、电子设备及存储介质,用以解决现有的流量传输方法存在流程固化、灵活性不足,无法满足不同加密需求的问题。
第一方面,本申请提供一种流量传输方法,应用于流量传输系统,包括:
获取加密流量的加密需求标识,加密需求标识根据加密流量的传输信息和加密需求信息设置,传输信息表征加密流量的待传输节点,加密需求信息表征对待传输节点的加密方式;
根据加密需求标识,确定加密流量的流转信道、以及流转信道的加密算法,其中,流转信道包括第一节点和第二节点,第一节点为第二节点的上一传输节点;
根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道;
根据加密流转信道,对加密流量进行传输。
在本申请中,获取加密流量的加密需求标识,包括:
获取数据流量、以及数据流量的待传输节点;
若数据流量的待传输节点无异常,则确定数据流量为初始目标流量;
若初始目标流量满足基线值要求,则确定初始目标流量为目标流量,基线值要求表征加密流量完成目标业务的数据量要求;
响应于用户对目标流量的加密请求操作,确定目标流量为加密流量,并获取加密流量的传输信息和加密需求信息;
根据传输信息和加密需求信息,对加密流量进行标记,得到加密流量的加密需求标识。
在本申请中,在获取数据流量、以及数据流量的待传输节点之后,方法还包括:
若数据流量的待传输节点异常,则确定数据流量为第一异常流量并确定备用加密流转信道;
将备用加密流转信道作为加密流量的流转信道,并重新执行获取数据流量、以及数据流量的待传输节点的步骤。
在本申请中,若初始目标流量满足基线值要求,则确定初始目标流量为目标流量,包括:
确定初始目标流量的数据包、数据包中的非格式数据、以及基线值要求;
比对基线值要求和非格式数据,得到比对结果;
若比对结果表征非格式数据满足基线值要求,则确定初始目标流量满足基线值要求,并确定初始目标流量为目标流量。
在本申请中,在比对基线值要求和非格式数据,得到比对结果之后,方法还包括:
若比对结果表征非格式数据未满足基线值要求,则确定初始目标流量为未满足基线值要求的第二异常流量;
根据第二异常流量,停止加密流量的传输进程。
在本申请中,在根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道之前,方法还包括:
根据加密需求信息,在第一节点和第二节点中存储密钥,密钥为与加密算法对应的密钥;
调整第一节点和第二节点为初始可信节点;
在调整第一节点和第二节点为初始可信节点后,控制第一节点以第一预设时间和预设的频率向第二节点发起认证请求,得到第一认证结果;
控制第二节点以第二预设时间和预设的频率向第一节点发起认证请求,得到第二认证结果;
根据第一认证结果和第二认证结果,确定第一节点和第二节点为可信节点,以执行根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道的步骤。
在本申请中,方法还包括:
若第一认证结果表征第二节点未回应第一节点的认证请求,则确定第二节点为处于异常状态的非可信节点;
在确定第二节点为处于异常状态的非可信节点后,向流量传输系统中的管理监测平台发送告警信息,并对第二节点进行下线处理;
若第二认证结果表征第一节点未回应第二节点的认证请求,则第一节点为处于异常状态的非可信节点;
在确定第一节点为处于异常状态的非可信节点后,向流量传输系统中的管理监测平台发送告警信息,并对第一节点进行下线处理。
在本申请中,方法还包括:
当加密流量传输至第一节点时,第一节点停止向第二节点发送认证请求;
当加密流量传输至第二节点时,第二节点停止向第一节点发送认证请求。
第二方面,本申请提供一种流量传输装置,包括:
获取模块,用于获取加密流量的加密需求标识,加密需求标识根据加密流量的传输信息和加密需求信息设置,传输信息表征加密流量的待传输节点,加密需求信息表征对待传输节点的加密方式;
确定模块,用于根据加密需求标识,确定加密流量的流转信道、以及流转信道的加密算法,其中,流转信道包括第一节点和第二节点,第一节点为第二节点的上一传输节点;
得到模块:根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道;
传输模块:根据加密流转信道,对加密流量进行传输。
第三方面,本申请提供一种电子设备,包括:处理器,以及与处理器通信连接的存储器;
存储器存储计算机执行指令;
处理器执行存储器存储的计算机执行指令,以实现本申请的方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现本申请的方法。
本申请提供的流量传输方法、装置、电子设备及存储介质,应用于流量传输系统,通过获取加密流量的加密需求标识,加密需求标识根据加密流量的传输信息和加密需求信息设置,传输信息表征加密流量的待传输节点,加密需求信息表征对待传输节点的加密方式;根据加密需求标识,确定加密流量的流转信道、以及流转信道的加密算法,其中,流转信道包括第一节点和第二节点,第一节点为第二节点的上一传输节点;根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道;根据加密流转信道,对加密流量进行传输的手段,可以通过获取加密流量的加密需求标识,并通过加密需求标识,确定待传输节点、以及待传输节点的加密方式,因此可以确定用户的加密需求,从而可以在加密流量传输时,对用于加密流量传输的流转信道进行加密,并使用加密后的流转信道对加密流量进行传输,因此,可以在不同加密场景下,根据加密需求标识来选择不同的加密算法,从而提高了流量传输过程中选择加密方式的灵活性,更有利地防止攻击者利用加密流量为载体实施攻击,提高了流量传输的安全性,同时,因为采取信道加密的方式,对流转信道上的所有待传输节点进行加密,而不是采用信源加密的方式,打破了原有的固化传输流程,优化了交互协议流程,因此可以解决数据流量安全传输效率低的问题,实现了保障流量在流转过程中的安全,满足用户不同加密需求的效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的流量传输方法的流程示意图;
图2为本申请实施例提供的另一种流量传输方法的流程示意图;
图3为本申请实施例提供的流量传输方法的场景示意图;
图4为本申请实施例提供的流量传输装置的结构示意图;
图5为本申请实施例提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
现有技术中,在进行网络交互时均是按照标准协议交互流程来执行的,执行过程中对于建立可信节点或可信平台也是固定的,因此这种流量传输方式存在灵活性不足,无法满足不同加密需求的问题。
为了解决上述问题,本申请提供的一种流量传输方法,可以通过获取加密流量的加密需求标识,加密需求标识根据加密流量的传输信息和加密需求信息设置,传输信息表征加密流量的待传输节点,加密需求信息表征对待传输节点的加密方式;根据加密需求标识,确定加密流量的流转信道、以及流转信道的加密算法,其中,流转信道包括第一节点和第二节点,第一节点为第二节点的上一传输节点;根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道;根据加密流转信道,对加密流量进行传输,由于设置了加密需求标识,因此可以通过加密需求标识确定加密流量的待传输节点和待传输节点的加密方式,并确定加密流量的流转信道和流转信道的加密算法,由此可以对流转信道的第一节点和第二节点进行加密,待传输节点的加密方式可以是多种算法的叠加,因此可以提高流量传输方法的灵活性,而且通过对第一节点和第二节点进行加密,得到了加密流转信道,采取信道加密的方式可以防止攻击者利用加密流量为载体进行攻击,并根据加密流转信道,对加密流量进行传输,而不是采用信源加密的方式,使得提高数据流量安全传输效率,保证流量流转信道的安全性,实现了满足用户不同加密需求的效果。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
本申请实施例提供的流量传输方法、装置、电子设备及存储介质的执行主体可以是服务器。其中,服务器可以为电脑、手机、平板等设备。本实施例对执行主体的实现方式不做特别限制,只要该执行主体能够获取加密流量的加密需求标识,加密需求标识根据加密流量的传输信息和加密需求信息设置,传输信息表征加密流量的待传输节点,加密需求信息表征对待传输节点的加密方式;根据加密需求标识,确定加密流量的流转信道、以及流转信道的加密算法,其中,流转信道包括第一节点和第二节点,第一节点为第二节点的上一传输节点;根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道;根据加密流转信道,对加密流量进行传输即可。
其中,加密可以指使用加密算法将明文的信息进行处理变成不能够被识别的密文的方法,加密通常要使用加密算法,其中,加密算法可以包括国家商用密码算法和国际算法,其中,国家商用密码算法可以指国密算法,是由国家密码管理局认定和公布的密码算法标准及其应用规范,国际算法可以指由国外安全局发布的密码算法。
图1为本申请实施例提供的流量传输方法的流程示意图,该流量传输方法的执行主体可以为服务器,如图1所示,该流量传输方法可以包括:
S101、获取加密流量的加密需求标识,加密需求标识根据加密流量的传输信息和加密需求信息设置,传输信息表征加密流量的待传输节点,加密需求信息表征对待传输节点的加密方式。
其中,加密流量可以指用户根据自身需求选择的需要进行加密保护传输的数据流量,用户根据自身需求可以指用户根据待传输的数据流量的重要性判断数据流量是可公开的数据流量还是需要加密的数据流量。
加密需求标识可以指用户根据自身需求选择的加密流量的加密算法所对应的算法标识,用户根据自身需求可以指待传输的数据流量重要性极大,需要进行加密传输,则选择加密算法对加密流量进行保护,算法标识可以指由加密算法类别对应的密码算法标识和具体密码算法所对应的标识组成,其中,国家商用密码算法标识为1,国际算法标识为0。
传输信息可以指加密流量的待传输节点,对于有加密需求的流量,管理监测平台能够接收加密流量的加密需求标识,加密需求标识表征加密流量的待传输节点和待传输节点的加密方式,因此可以确定加密流量的流转信道,并确定流转信道上所有待传输节点,包括目的地址,并获取传输信息。
目的地址可以指接收流量的IP地址。
待传输节点可以指通信网络端点,通信网络端点通过物理或逻辑连接与其他的通信网络端点相连,形成流转信道,通过流转信道进行发送、接收或转发数据,所有通信网络端点均与管理监测平台互相联通。
加密需求信息可以指根据加密需求所触发的待传输信道上的全部节点的加密方式,其中,加密方式可以为多种加密算法的叠加,多种加密算法时提前设置的,用户根据自身需求,通过选择算法对应的标签,可以生成标识,使得管理监测平台可以根据加密需求标识选择对应的加密算法,由此获取加密需求信息。
其中,在本申请实施例中,获取加密流量的加密需求标识,包括:
获取数据流量、以及数据流量的待传输节点;
若数据流量的待传输节点无异常,则确定数据流量为初始目标流量;
若初始目标流量满足基线值要求,则确定初始目标流量为目标流量,基线值要求表征加密流量完成目标业务的数据量要求;
响应于用户对目标流量的加密请求操作,确定目标流量为加密流量,并获取加密流量的传输信息和加密需求信息;
根据传输信息和加密需求信息,对加密流量进行标记,得到加密流量的加密需求标识。
其中,数据流量的待传输节点无异常可以指根据数据流量的传输信息表征的待传输节点所确定的数据流向,与用户预先存储在管理监测平台中的流量传输目的地址进行比对,若相同,则判断数据流量的待传输节点无异常。
基线值可以指用户根据自身需求所要完成的某项业务数据部分实际大小,用户根据自身需求可以指用户的目标业务对流量传输的需求,目标业务可以指用户期望完成的通信类业务,而业务的数据包包括固定格式部分和数据部分,固定格式部分可以指包头和段偏移量,数据部分可以指业务数据量,其中,业务数据量的大小通常处于固定范围之内,即所能承载的业务数据量的大小是固定的,由此,将这个固定范围设置为基线值,存储在管理监测平台中,与初始目标流量进行比对,得到比对结果。
若初始目标流量满足基线值要求可以指将初始目标流量的数据包大小与所设置的固定范围的基线值进行比对,得到比对结果,若初始目标流量的数据包大小处于所设置的固定范围内,则判断初始目标流量满足基线值要求。
基线值要求表征加密流量完成目标业务的数据量要求可以指加密流量的数据包大小是否处于目标业务的数据量大小范围之内,若处于,则说明可以完成目标业务,加密流量满足目标业务的数据量要求,即满足基线值要求。
加密请求操作可以指用户根据目标流量的重要性判断是否为加密流量,若是,则在加密流量进行传输之前对其添加加密需求标识,并向管理监测平台传递一个加密请求,管理监测平台收到加密请求后获取加密流量的加密需求标识,完成加密流量传输过程。
根据传输信息和加密需求信息,对加密流量进行标记,得到加密流量的加密需求标识可以指根据传输信息和加密需求信息,确定加密流量的传输节点和待传输节点的加密方式,以及具体的加密算法,其中,加密需求标识由加密算法类别对应的密码算法标识和具体密码算法所对应的标识组成,并将标识加载在流量数据包头部。
关于加密需求标识由加密算法类别对应的密码算法标识和具体密码算法所对应的标识组成的步骤,举例如下:例如,加密流量使用国家商用密码算法标识,则标识为1,其中,具体的国密算法可以指ZUC(祖冲之算法)、SM2(椭圆曲线公钥密码算法)、SM3(杂凑算法)、SM4(对称算法)、SM9(标识密码算法),则具体的国密算法对应的标识为0、2、3、4、9,向管理监测平台传递加密请求时表示10、12、13、14、19,并将标识加载在流量数据包头部,使监测管理平台收到加密请求后获取加密流量的加密需求标识,完成加密流量传输过程。
其中,在本申请实施例中,在获取数据流量、以及数据流量的待传输节点之后,方法还包括:
若数据流量的待传输节点异常,则确定数据流量为第一异常流量并确定备用加密流转信道;
将备用加密流转信道作为加密流量的流转信道,并重新执行获取数据流量、以及数据流量的待传输节点的步骤。
其中,待传输节点异常可以指根据数据流量的传输信息表征的待传输节点所确定的数据流向,与用户以期的流量传输目的地址不相同,包括数据流量的目的IP地址错误、违规,不具有IP的备案信息等情况。
流转信道可以指流量传输过程流转通过的信道,加密流转信道可以指信道上的待传输节点启用了加密算法的流转信道。
备用加密流转信道可以指与加密流转信道的目的地址一致但信道上待传输节点不同的加密流转信道,由管理监测平台根据目的地址调换待传输节点重新发起广播信道。
其中,在本申请实施例中,若初始目标流量满足基线值要求,则确定初始目标流量为目标流量,包括:
确定初始目标流量的数据包、数据包中的非格式数据、以及基线值要求;
比对基线值要求和非格式数据,得到比对结果;
若比对结果表征非格式数据满足基线值要求,则确定初始目标流量满足基线值要求,并确定初始目标流量为目标流量。
其中,初始目标流量的数据包可以指流量传输的基本单位,数据包包括固定格式部分和数据部分,其中,固定格式部分可以指包头和段偏移量,数据部分可以指非格式数据,非格式数据可以指数据包所传输的实际数据部分,即负载。
关于比对基线值要求和非格式数据,得到比对结果,若比对结果表征非格式数据满足基线值要求,则确定初始目标流量满足基线值要求,并确定初始目标流量为目标流量的步骤,举例如下:例如完成用户要求的某一项业务的数据包通常大小为4个字节,上下浮动1字节,则基线值要求为3至5个字节,而流量数据包中的非格式数据大小为4个字节,满足基线值要求,则确定初始目标流量为目标流量。
其中,在本申请实施例中,在比对基线值要求和非格式数据,得到比对结果之后,方法还包括:
若比对结果表征非格式数据未满足基线值要求,则确定初始目标流量为未满足基线值要求的第二异常流量;
根据第二异常流量,停止加密流量的传输进程。
关于若比对结果表征非格式数据未满足基线值要求,则确定初始目标流量未满足基线值要求,并确定初始目标流量为第二异常流量,根据第二异常流量,停止加密流量的传输进程的步骤,举例如下:例如完成用户要求的某一项业务的数据包通常大小为4个字节,上下浮动1字节,则基线值要求为3至5个字节,而流量数据包中的非格式数据大小为10个字节,远超基线值要求,则确定初始目标流量为第二异常流量,停止加密流量的传输进程。
S102、根据加密需求标识,确定加密流量的流转信道、以及流转信道的加密算法,其中,流转信道包括第一节点和第二节点,第一节点为第二节点的上一传输节点。
其中,第一节点可以指加密流量在加密流转信道上进行传输时所通过的第一个待传输节点。第二节点可以指加密流量在加密流转信道上进行传输时所通过的第二个待传输节点。
其中,在本申请实施例中,在根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道之前,方法还包括:
根据加密需求信息,在第一节点和第二节点中存储密钥,密钥为与加密算法对应的密钥;
调整第一节点和第二节点为初始可信节点;
在调整第一节点和第二节点为初始可信节点后,控制第一节点以第一预设时间和预设的频率向第二节点发起认证请求,得到第一认证结果;
控制第二节点以第二预设时间和预设的频率向第一节点发起认证请求,得到第二认证结果;
根据第一认证结果和第二认证结果,确定第一节点和第二节点为可信节点,以执行根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道的步骤。
其中,密钥可以指一种在将明文转换为密文或将密文转换为明文的算法过程中所输入的参数。
初始可信节点可以指将流转信道中能够支持加密流量所发起的所有加密算法并存储密钥,可以对加密流量进行加密或者解密的节点,将这些节点看作初始可信节点,以完成后续对初始可信节点的认证检验。
第一预设时间可以指在加密流量传输通过第一节点进行加密之前的某一时刻,第二预设时间可以指在加密流量传输通过第一节点进行加密之前的某一另外时刻,预设的频率可以指任意频率。
关于在调整第一节点和第二节点为初始可信节点后,控制第一节点以第一预设时间和预设的频率向第二节点发起认证请求,得到第一认证结果;控制第二节点以第二预设时间和预设的频率向第一节点发起认证请求,得到第二认证结果的步骤,举例如下:例如流量在上午十点通过第一节点和第二节点进行加密传输,则第一节点在上午八点开始以每五分钟的频率向第二节点发起认证请求进行认证,得到第一认证结果,第二节点则在上午九点开始以同一频率向第一节点发起认证请求进行认证,得到第二认证结果。
认证请求可以指第一节点向第二节点以预设时间和预设频率发起的,用于验证节点的可信度的请求,认证包括第一节点和第二节点的证书的相互认证,证书有效期,节点可以使用的算法列表,其他任意节点的状态,其中,节点证书可以指节点的身份凭证,节点由证书可以生成并保存密钥,节点可以使用的算法列表可以指节点所保存的密钥对应的发起的加密算法,其他任意节点的状态可以指第一节点和第二节点是否能够正常接收认证请求并进行回应,回应可以指第一节点和第二节点接收认证请求后向对方也发送认证请求,若进行接收和发送认证请求状态正常,则完成对节点的可信度验证,若进行接受和发送认证请求状态不正常,则说明节点为非可信节点。
其中,在本申请实施例中,方法还包括:
若第一认证结果表征第二节点未回应第一节点的认证请求,则确定第二节点为处于异常状态的非可信节点;
在确定第二节点为处于异常状态的非可信节点后,向流量传输系统中的管理监测平台发送告警信息,并对第二节点进行下线处理;
若第二认证结果表征第一节点未回应第二节点的认证请求,则第一节点为处于异常状态的非可信节点;
在确定第一节点为处于异常状态的非可信节点后,向流量传输系统中的管理监测平台发送告警信息,并对第一节点进行下线处理。
其中,非可信节点可以指不具有证书,证书超过有效期,所保存的密钥无法支持发起的加密算法的节点,当第一节点向第二节点发起认证请求后,若未接收到第二节点向第一节点回应发起的认证请求,则说明第二节点为非可信节点,确定第二节点作为异常节点。
下线处理可以指管理监测平台收到认证结果后,确认节点为异常节点,则清除传输信道上的异常节点,防止后续步骤中流量在异常节点上传输。
关于若第一认证结果表征第二节点未回应第一节点的认证请求,则第二节点为非可信节点,则确定第二节点作为异常节点;在第二节点确定为异常节点后,向流量传输系统中的管理监测平台输出告警信息,对第二节点进行下线处理的步骤,举例如下:例如第一节点向第二节点发起认证请求,第二节点接收认证请求但并未向第一节点回应发起认证请求,第一节点未收到第二节点的回应,则管理监测平台接收认证结果,确定第二节点为异常节点,针对异常节点进行告警,并清除第二节点,防止后续步骤中流量在异常节点上传输。
其中,在本申请实施例中,方法还包括:
当加密流量传输至第一节点时,第一节点停止向第二节点发送认证请求;
当加密流量传输至第二节点时,第二节点停止向第一节点发送认证请求。
其中,当加密流量传输至第一节点时,第一节点停止向第二节点发送认证请求可以指第二节点向第一节点发起认证请求,第一节点接收并向第二节点回应发起认证请求,得到第二认证结果,完成认证过程,则确定第一节点为可信节点,则保证了第一节点的可信度,因此流量能够在第一节点进行加密,由此,当加密流量传输至第一节点时,第一节点可以停止向第二节点发送认证请求。
S103、根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道。
其中,加密流转信道可以指对第一节点和第二节点进行加密后所得到的由加密节点组成的传输信道,所有数据流量流经节点均建立加密流转信道,具有加密流转信道建立效率高的特点,且加密流转信道中节点的加密可以采用不同加密算法的叠加,因此也保障了数据的安全性。
S104、根据加密流转信道,对加密流量进行传输。
其中,对加密流量进行传输可以指通过前述步骤确认无异常的流量,通过加密流转信道上的第一节点和第二节点进行加密。
当流量分别通过加密流转信道上的第一节点和第二节点进行加密后,从第二节点传输到达目的IP地址,完成流量传输过程。
本申请提供的流量传输方法,通过根据加密流量的加密需求信息,确定加密流量的流转信道、以及流转信道的加密算法,在第一节点和第二节点中存储加密算法对应的密钥,控制第一节点以第一预设时间和预设的频率向第二节点发起认证请求,第二节点接收认证请求并回应第一节点,第二节点以第二预设时间和预设的频率向第一节点发送认证请求,第一节点接收认证请求并回应第二节点,确定第一节点和第二节点为可信节点,以执行对流转信道中的第一节点和第二节点进行加密,得到加密流转信道,最后对加密流量进行传输,由此,省去了管理监测平台对第一节点和第二节点的认证,避免了管理监测平台权限过大造成负荷较高,管理混乱,优化了管理监测平台的处理能力,而以任意节点为可信节点,其他任意节点为验证对象,不断相互认证,直至流量传输通过节点,增强了节点的安全可信能力,筑牢了网络安全防线。
图2为本申请实施例提供的另一种流量传输方法的流程示意图,如图2所示,该方法可以包括:
S201、收到数据流量,查看流量的基本信息是否正确,目的IP是否正确、合规,是否具有IP的备案信息。
其中,若目的IP地址异常,则判断为异常流量。
S202、若目的IP地址正确,则查看数据包权重。
S203、结合实际业务情况,按照实际业务产生的数据包大小,划定基线值,将数据流量灵活字段部分的数值与基线值比较,若数据包大小无异常,则认定为正常流量。
其中,灵活字段部分可以指数据部分,即业务数据量的大小。
若数据包大小远超或低于基线值,则认定为异常流量。
S204、将正常流量是否需要传输加密分为加密流量及非加密流量。
其中,加密均指信道加密,里面包含已信源加密的数据,但均不影响该方法的继续实施,对无加密需求的流量直接按照常规方法进行数据流量的流转即可。
S205、对有加密需求的流量,则会在流转到下一节点前添加加密需求标识,同时传递一个需要加密的信息给总部网络安全管理与监测平台,平台会同时以广播信道的方式,让与该流量相关的节点上均同时启用加密,直至流量传至目的IP。
其中,加密需求标识可以指该流量可按照自身需求选择加密算法,做出加密算法对应的加密需求标识。
S206、每一个节点均可作为可信节点,以一定的频率向其他节点发起认证请求,认证结果传回网络安全管理与监测平台,让平台时刻掌握节点动向,对出现异常的积点及时处理,如强制下线。
其中,选定节点1为可信节点,它以每5分钟的频率随机向其他任意节点发起验证请求,包括证书的相互认证,证书有效期,节点可以使用的算法列表,其他任意节点的状态等,同理,节点2也可以作为可信节点发起认证请求,但需按照一定的频率与上一节点发起的认证请求错开,如节点1是时间是上午8点,则可设定节点2时间为9点或者更晚,保障节点能够错峰发起流动可信认证。
其中,网络安全管理与监测平台包括广播信道管理模块、流动可信管理模块以及安全态势监测模块,广播信道管理主要是处理广播信道加密相关的功能,包括广播信道的建立,密码算法的广播;流动可信管理模块主要是对各个路由节点的安全管理,包括节点间的相互认证(包括证书版本、协议、有效期等关键属性)、节点算法、认证结果管理等,认证结果主要用于安全态势监测的数据来源;安全监测平台主要对节点认证结果的态势监测展示,对异常节点能够及时预警,提升系统维护效率。
本申请实施例提供的另一种流量传输方法,通过将在不同场景下,对流量需求采取不同的处理方式,利用广播加密思想,以建立公共信道为基础,缩减交互协商流程,同时泛化可信概念,以任何节点的可信为基础,结合动态监测管理手段,强化可信管理,实现流量全路由的可信传输,另一方面以数据流量为监测对象,监测数据包权重、流量数据流向等关键特征,识别异常流量,因此保障流量在流转过程中的安全。
图3为本申请实施例提供的流量传输方法的场景示意图,如图3所示,该场景可以为流量传输系统,流量传输系统可以包括:
收到数据流,对数据流进行加密需求判定,在此对无加密需求的非加密流量不作阐述,对于有加密需求的加密流量,由网络安全管理与监测平台根据数量流的加密需求,对该数据流流转至目的A的广播信道1、流转至目的B的广播信道2、流转至目的C的广播信道3上的所有待传输节点分别同时发起信道加密,其中,广播信道1采用SM4加密算法,广播信道2采用SM3加密算法,广播信道3采用SM2加密算法。
图4为本申请实施例提供的流量传输装置的结构示意图。如图4所示,该流量传输装置40包括:获取模块401、确定模块402、得到模块403、传输模块404。其中:
获取模块401,用于获取加密流量的加密需求标识,加密需求标识根据加密流量的传输信息和加密需求信息设置,传输信息表征加密流量的待传输节点,加密需求信息表征对待传输节点的加密方式;
确定模块402,用于根据加密需求标识,确定加密流量的流转信道、以及流转信道的加密算法,其中,流转信道包括第一节点和第二节点,第一节点为第二节点的上一传输节点;
得到模块403,用于根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道;
传输模块404,用于根据加密流转信道,对加密流量进行传输。
在本申请实施例中,获取模块401还可以具体用于:
获取数据流量、以及数据流量的待传输节点;
若数据流量的待传输节点无异常,则确定数据流量为初始目标流量;
若初始目标流量满足基线值要求,则确定初始目标流量为目标流量,基线值要求表征加密流量完成目标业务的数据量要求;
响应于用户对目标流量的加密请求操作,确定目标流量为加密流量,并获取加密流量的传输信息和加密需求信息;
根据传输信息和加密需求信息,对加密流量进行标记,得到加密流量的加密需求标识。
在本申请实施例中,确定模块402还可以具体用于:
若数据流量的待传输节点异常,则确定数据流量为第一异常流量并确定备用加密流转信道;
将备用加密流转信道作为加密流量的流转信道,并重新执行获取数据流量、以及数据流量的待传输节点的步骤。
在本申请实施例中,确定模块402还可以具体用于:
确定初始目标流量的数据包、数据包中的非格式数据、以及基线值要求;
比对基线值要求和非格式数据,得到比对结果;
若比对结果表征非格式数据满足基线值要求,则确定初始目标流量满足基线值要求,并确定初始目标流量为目标流量。
在本申请实施例中,确定模块402还可以具体用于:
若比对结果表征非格式数据未满足基线值要求,则确定初始目标流量为未满足基线值要求的第二异常流量;
根据第二异常流量,停止加密流量的传输进程。
在本申请实施例中,确定模块402还可以具体用于:
根据加密需求信息,在第一节点和第二节点中存储密钥,密钥为与加密算法对应的密钥;
调整第一节点和第二节点为初始可信节点;
在调整第一节点和第二节点为初始可信节点后,控制第一节点以第一预设时间和预设的频率向第二节点发起认证请求,得到第一认证结果;
控制第二节点以第二预设时间和预设的频率向第一节点发起认证请求,得到第二认证结果;
根据第一认证结果和第二认证结果,确定第一节点和第二节点为可信节点,以执行根据加密算法,对流转信道中的第一节点和第二节点进行加密,得到加密流转信道的步骤。
在本申请实施例中,确定模块402还可以具体用于:
若第一认证结果表征第二节点未回应第一节点的认证请求,则确定第二节点为处于异常状态的非可信节点;
在确定第二节点为处于异常状态的非可信节点后,向流量传输系统中的管理监测平台发送告警信息,并对第二节点进行下线处理;
若第二认证结果表征第一节点未回应第二节点的认证请求,则第一节点为处于异常状态的非可信节点;
在确定第一节点为处于异常状态的非可信节点后,向流量传输系统中的管理监测平台发送告警信息,并对第一节点进行下线处理。
在本申请实施例中,确定模块402还可以具体用于:
当加密流量传输至第一节点时,第一节点停止向第二节点发送认证请求;
当加密流量传输至第二节点时,第二节点停止向第一节点发送认证请求。
图5为本申请实施例提供的电子设备的结构示意图。如图5所示,该电子设备50包括:
该电子设备50可以包括一个或者一个以上处理核心的处理器501、一个或一个以上计算机可读存储介质的存储器502、通信部件503等部件。其中,处理器501、存储器502以及通信部件503通过总线504连接。
在具体实现过程中,至少一个处理器501执行存储器502存储的计算机执行指令,使得至少一个处理器501执行如上的流量传输方法。
处理器501的具体实现过程可参见上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
在上述的图5所示的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速存储器(Random Access Memory,RAM),也可能还包括非易失性存储器(Non-volatile Memory,NVM),例如至少一个磁盘存储器。
总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
在一些实施例中,还提出一种计算机程序产品,包括计算机程序或指令,该计算机程序或指令被处理器执行时实现上述任一种流量传输方法中的步骤。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的任一种流量传输方法中的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种流量传输方法中的步骤,因此,可以实现本申请实施例所提供的任一种流量传输方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (11)
1.一种流量传输方法,其特征在于,应用于流量传输系统,所述方法包括:
获取加密流量的加密需求标识,所述加密需求标识根据所述加密流量的传输信息和加密需求信息设置,所述传输信息表征所述加密流量的待传输节点,所述加密需求信息表征对所述待传输节点的加密方式;
根据加密需求标识,确定所述加密流量的流转信道、以及所述流转信道的加密算法,其中,所述流转信道包括第一节点和第二节点,所述第一节点为所述第二节点的上一传输节点;
根据所述加密算法,对所述流转信道中的所述第一节点和所述第二节点进行加密,得到加密流转信道;
根据所述加密流转信道,对所述加密流量进行传输。
2.根据权利要求1所述的方法,其特征在于,所述获取加密流量的加密需求标识,包括:
获取数据流量、以及所述数据流量的待传输节点;
若所述数据流量的待传输节点无异常,则确定所述数据流量为初始目标流量;
若所述初始目标流量满足基线值要求,则确定所述初始目标流量为目标流量,所述基线值要求表征所述加密流量完成目标业务的数据量要求;
响应于用户对所述目标流量的加密请求操作,确定所述目标流量为所述加密流量,并获取所述加密流量的传输信息和加密需求信息;
根据所述传输信息和所述加密需求信息,对所述加密流量进行标记,得到所述加密流量的加密需求标识。
3.根据权利要求2所述的方法,其特征在于,在所述获取数据流量、以及所述数据流量的待传输节点之后,所述方法还包括:
若所述数据流量的待传输节点异常,则确定所述数据流量为第一异常流量并确定备用加密流转信道;
将所述备用加密流转信道作为所述加密流量的流转信道,并重新执行所述获取数据流量、以及所述数据流量的待传输节点的步骤。
4.根据权利要求2所述的方法,其特征在于,所述若所述初始目标流量满足基线值要求,则确定所述初始目标流量为目标流量,包括:
确定所述初始目标流量的数据包、所述数据包中的非格式数据、以及基线值要求;
比对所述基线值要求和所述非格式数据,得到比对结果;
若所述比对结果表征所述非格式数据满足所述基线值要求,则确定所述初始目标流量满足基线值要求,并确定所述初始目标流量为目标流量。
5.根据权利要求4所述的方法,其特征在于,在比对所述基线值要求和所述非格式数据,得到比对结果之后,所述方法还包括:
若所述比对结果表征所述非格式数据未满足所述基线值要求,则确定所述初始目标流量为未满足基线值要求的第二异常流量;
根据所述第二异常流量,停止所述加密流量的传输进程。
6.根据权利要求1所述的方法,其特征在于,在所述根据所述加密算法,对所述流转信道中的所述第一节点和所述第二节点进行加密,得到加密流转信道之前,所述方法还包括:
根据所述加密需求信息,在所述第一节点和所述第二节点中存储密钥,所述密钥为与所述加密算法对应的密钥;
调整所述第一节点和所述第二节点为初始可信节点;
在调整所述第一节点和所述第二节点为初始可信节点后,控制所述第一节点以第一预设时间和预设的频率向所述第二节点发起认证请求,得到第一认证结果;
控制所述第二节点以第二预设时间和预设的频率向所述第一节点发起认证请求,得到第二认证结果;
根据所述第一认证结果和所述第二认证结果,确定所述第一节点和所述第二节点为可信节点,以执行所述根据所述加密算法,对所述流转信道中的所述第一节点和所述第二节点进行加密,得到加密流转信道的步骤。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述第一认证结果表征所述第二节点未回应所述第一节点的认证请求,则确定所述第二节点为处于异常状态的非可信节点;
在确定所述第二节点为处于异常状态的非可信节点后,向所述流量传输系统中的管理监测平台发送告警信息,并对所述第二节点进行下线处理;
若所述第二认证结果表征所述第一节点未回应所述第二节点的认证请求,则所述第一节点为处于异常状态的非可信节点;
在确定所述第一节点为处于异常状态的非可信节点后,向所述流量传输系统中的管理监测平台发送告警信息,并对所述第一节点进行下线处理。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当所述加密流量传输至所述第一节点时,所述第一节点停止向所述第二节点发送认证请求;
当所述加密流量传输至所述第二节点时,所述第二节点停止向所述第一节点发送认证请求。
9.一种流量传输装置,其特征在于,包括:
获取模块,用于获取加密流量的加密需求标识,所述加密需求标识根据所述加密流量的传输信息和加密需求信息设置,所述传输信息表征所述加密流量的待传输节点,所述加密需求信息表征对所述待传输节点的加密方式;
确定模块,用于根据加密需求标识,确定所述加密流量的流转信道、以及所述流转信道的加密算法,其中,所述流转信道包括第一节点和第二节点,所述第一节点为所述第二节点的上一传输节点;
得到模块:根据所述加密算法,对所述流转信道中的所述第一节点和所述第二节点进行加密,得到加密流转信道;
传输模块:根据所述加密流转信道,对所述加密流量进行传输。
10.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至8中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至8任一项所述的流量传输方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311182374.5A CN117201409A (zh) | 2023-09-13 | 2023-09-13 | 流量传输方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311182374.5A CN117201409A (zh) | 2023-09-13 | 2023-09-13 | 流量传输方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117201409A true CN117201409A (zh) | 2023-12-08 |
Family
ID=88993873
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311182374.5A Pending CN117201409A (zh) | 2023-09-13 | 2023-09-13 | 流量传输方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117201409A (zh) |
-
2023
- 2023-09-13 CN CN202311182374.5A patent/CN117201409A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681540B2 (en) | Communication network system, transmission node, reception node, and message checking method | |
JP7421771B2 (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
US10171235B2 (en) | User-initiated migration of encryption keys | |
CN111869249A (zh) | 针对中间人攻击的安全ble just works配对方法 | |
WO2006129934A1 (en) | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method | |
EP4258593A1 (en) | Ota update method and apparatus | |
US10699031B2 (en) | Secure transactions in a memory fabric | |
US9049012B2 (en) | Secured cryptographic communication system | |
US11245699B2 (en) | Token-based device access restriction systems | |
CN111314269B (zh) | 一种地址自动分配协议安全认证方法及设备 | |
CN113207322A (zh) | 通信的方法和通信装置 | |
CN114500064A (zh) | 一种通信安全验证方法、装置、存储介质及电子设备 | |
US7966662B2 (en) | Method and system for managing authentication and payment for use of broadcast material | |
CN113115309A (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 | |
CN112968910A (zh) | 一种防重放攻击方法和装置 | |
CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
CN112242976B (zh) | 一种身份认证方法及装置 | |
CN117201409A (zh) | 流量传输方法、装置、电子设备及存储介质 | |
WO2022018095A1 (en) | Method and vehicle bus system to forward asil relevant information from a data source to a data sink | |
CN116569516A (zh) | 防止移动终端的认证序列号泄露的方法 | |
KR101900861B1 (ko) | 웨어러블 디바이스를 이용한 타원 곡선 전자 서명 알고리즘의 분산 키 관리 시스템 및 방법 | |
CN113079506A (zh) | 网络安全认证方法、装置及设备 | |
CN116208949B (zh) | 通信报文的加密传输方法、系统及发送终端、接收终端 | |
CN115580403B (zh) | 一种基于pki的计算节点接入控制方法 | |
WO2022183694A1 (zh) | 主叫信息认证方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |