CN1697424A - 一种基于十进制通信号码进行私有安全数据通信的方法 - Google Patents

Abstract

一种实现通信终端之间基于十进制数字通信码进行私有安全数据通信的方法，由通信终端、接入服务器、转发服务器组成，通信终端和接入服务器可以部署在私网内部也可以部署在公网中，转发服务器部署在公网上。每个通信终端都具有一个唯一的十进制数字通信号码，通信终端之间依据该通信号码进行相互通信，通信的寻址实现是依赖接入服务器。转发服务器进行逐级寻址实现。通信终端的MAC地址作为通信终端的身份标识信息和通信号码进行绑定，在通信过程中依赖通信终端的身份标识信息和通信报文的身份标识信息对通信报文进行加密，建立私有安全通信通道，并对通信终端的身份和通信报文的身份进行合法验证。

Description

一种基于十进制通信号码进行私有安全数据通信的方法

技术领域：

本发明涉及通信终端之间的相互通信技术，特别是一种通信终端之间基于十进制通信码进行相互数据通信的方法。属于通信技术领域。

背景技术：

随着互联网业务的发展，人们利用互联网实现通信终端之间进行相互的语音、数据和图象的需求越来越多，但是目前在互联网上实现通信终端之间的通讯机制使得两个通信终端之间建立起方便的相互连接还是比较困难，主要表现在：

1)通信终端之间只能通过基于互联网的IP地址进行访问，而大多数通信终端的互联网IP地址都是不断动态变化的。

2)往往通信双方都难以记住对方的IP地址，因此难以进行直接的通信。

3)有时一个通信终端是处于内部的局域网上，外部机器又难以直接进行寻址访问。

4)通信终端之间基于互联网进行相互之间的直接通信，很容易存在报文失密、非法访问、报文冒仿等安全问题。

为了解决上述问题，目前已经出现了一些技术：

1、象目前使用的一些通过P2P方式建立的通信终端之间的点对点访问，可以提供了通过一个即时通信号码或者名称进行访问寻址。但是该方法要求需要进行通信的通信终端必须要先登录到聊天服务器上。同时由于两个通信终端之间是以IP地址为寻址依据进行点对点通信的，所以使得通信终端的IP地址被暴露，引起安全隐患，同时对通信的监管和控制也非常困难。

2、通过将通信终端分配通信号码，并将该号码和通信终端的IP绑定，由号码查询服务器依据通信终端通信号码得到该通信终端的IP地址，并告诉需要连接的通信终端，该通信终端再通过该IP进行点到点通信。该方法实质上还是依赖IP地址在互联网上进行点对点通信，通信的安全问题还是难以得到很好解决。

要实现通信终端之间在互联网上能够进行快捷、方便、安全、可行的相互间通信，主要需要解决以下两个问题：

1)如何在互连网上随时快捷地和目的方建立起通信连接，而无须要登录到指定服务器或者要获取目的方地IP地址？

2)如何提供通信终端之间在互联网上建立起充分安全、可信的通信机制？

目前通过建立VPN方法可以解决好问题2)，但是却不能解决问题1)；而前面描述地一些方法又难以真正解决问题2)，因为它们实质都是基于P2P的通信，一般都关注在通过加密解决数据传输的安全，而对于如何提供充分的网络安全，如何提供充分的防欺骗等身份确认，如何提供能够集中监控管理的手段等方面则难以真正解决。

发明内容

本发明的目的就是提供一个基于十进制通信号码进行私有安全数据通信的方法及系统。将每个通信终端按照固定电话的模式分配一个十进制的通信号码，该通信号码一方面作为通信终端的寻址路径标识实现通信寻址，从而使得通信终端之间可以直接依赖通信号码进行相互间的通信访问，另一方面该通信号码还和通信终端的MAC地址进行绑定，实现在网络通信中对通信终端进行身份确认和身份验证，同时本发明还提供了在通信终端之间建立起私有安全通信隧道的方法。

为达到上述目的，本发明的解决方案是提供一个基于十进制通信号码进行私有安全数据通信的方法及系统。见附图1，整个通信系统由通信终端、接入服务器、转发服务器构成，通信终端和接入服务器可以位于私网内部(局域网)也可以位于互联网上，转发服务器位于互联网上。通信终端通过互连网(或者局域网)与接入服务器相接；接入服务器通过互连网与转发服务器相接；转发服务器之间则通过互联网相互相接。

一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于通信终端之间的通信具有通过十进制通信号码进行逐级分步式寻址通信的方法，其步骤如下：

(1)每个通信终端都拥有一个唯一的由十进制数字码组成的通信号码，通信终端将带有目的通信终端通信号码的数据报文送到与自已相连的接入服务器，从通信终端向与自己相连的接入服务器进行的通信寻址实现是基于事先约定的固定寻址路径进行的；一个通信终端只唯一的和与其相连的接入服务器之间建立通信连接，只向该接入服务器发送通信报文和接收来自该接入服务器的通信报文；

(2)接入服务器接收到来自源通信终端的数据报文，依据数据报文中目的通信号码将数据报文进行进一步的投递，通过目的通信号码中的网络号段和子网号段判断目的通信终端是否属于自己的接入范围，如果是接入服务器便依据目的通信号码将数据报文直接投递到目的通信终端，完成数据报文的通信；如果目的通信终端不属于自己的接入范围，接入服务器便将数据报文投送到与自己相连的转发服务器，进入步骤(3)；从接入服务器向与自己相连的转发服务器进行的通信寻址是基于约定的固定寻址路径进行的；除了和所有接入在自已范围内的所有通信终端之间的通信连接外，接入服务器还和与自己相连的转发服务器有固定的通信连接，向该转发服务器发送待转发的通信报文和接收从该转发服务器投递来的通信报文；

(3)转发服务器接收到来自源通信终端对应的接入服务器的数据报文，依据数据报文内的目的通信号码将数据报文进行进一步的投递，通过目的通信号码中的网络号段判断目的通信通信终端是否属于自己的接入范围，如果是转发服务器便依据目的通信号码将数据报文直接投递到目的通信号码对应的接入服务器上，进入步骤(4)；如果目的通信终端不属于自己的接入范围，转发服务器便依据目的通信号码将数据报文投递到目的通信号码对应的转发服务器上，由目的转发服务器再将数据报文投递到目的通信号码对应的接入服务器上，进入步骤(4)；

(4)目的通信号码对应的接入服务器接收到来自转发服务器的数据报文，依据数据报文内的目的通信号码直接将数据报文投递到目的通信终端上。

前述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于其中所述的接入服务器和转发服务器可以合在一起部署，此时通信终端便可以直接接入到转发服务器下，该转发服务器便同时又是接入服务器。

前述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于通信终端之间的通信是通过十进制的通信号码进行逐级寻址的，具体方法为：

(1)每个通信终端都拥有一个唯一属于自己的通信号码，通信号码由多位十进制数字码组成，这些十进制数字码从高位到低位依次可以分为网络号段、子网号段和终端号段三段组成；一个通信终端的通信号码从高位到低位分别由该通信终端对应的转发服务器的网络号段、该通信终端对应的接入服务器的子网号段以及该通信终端的终端号段这三段组成；通信终端的终端号段是位于通信号码中最低位的几位十进制数字码，由该通信终端所对应的接入服务器在创建通信终端时分配；

(2)在接入服务器中保存有通信终端信息表，包含但不限于该接入服务器所有接入通信终端的终端号段、通信终端的寻址路径、通信终端网口MAC地址信息，接入服务器可以依据通信终端信息表通过通信号码中的终端号段实现对其下面连接的任意通信终端进行寻址；通信终端信息表中的MAC地址是接入服务器在为通信终端创建终端号段时从通信终端获取，而寻址路径则是通信终端软件每次初始化时向接入服务器注册申报的，再由该接入服务器动态写入终端信息表中。在通信终端信息表中所有通信终端的通信号码、通信寻址路径以及MAC地址信息都是一一对应的，不同的通信号码不允许对应相同的寻址路径或者MAC地址，一个通信号码也不允许对应多个不同的寻址路径或者MAC地址；

(3)每个接入服务器都拥有自己的子网号段，子网号段在通信号码中是紧跟在网络号段后面的几位十进制数字码，一个转发服务器下所有接入服务器的子网号段都是唯一的；对于一个接入服务器，与其所连的转发服务器的网络号段和接入服务器自身的子网号段一起组成的一组十进制数字码就唯一地确定了该接入服务器的通信标识，即接入服务器的通信号段；对于一个接入服务器下面接入的所有通信终端，其通信号码的网络号段和子网号段都是相同的，都是该接入服务器的通信号段；在转发服务器中都保存有接入服务器的寻址转发表，该表包含但不限于该转发服务器下所有接入服务器的子网号段、这些接入服务器的寻址路径信息，转发服务器可以依据接入服务器的寻址转发表通过通信号码中的接入服务器子网号段实现对其下面所连接的任意接入服务器进行寻址；

(4)每个转发服务器都拥有一个唯一属于自己的网络号段，这是位于通信号码中高位的一组十进制数字码，一个转发服务器下面接入的所有通信终端的通信号码的高位组十进制数字码组都是该转发器的网络号段；转发服务器中保存转发服务器寻址转发表，包含但不限于网上所有转发服务器的网络号段、所有转发服务器的寻址路径信息，转发服务器可以依据转发服务器寻址转发表通过通信号码中的转发服务器网络号段实现对网上任意转发服务器进行通信寻址。

前述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于其中所述的转发服务器可以和接入服务器合而为一部署在一起，此时的这种转发服务器便既是转发服务器又是接入服务器，通信终端便可以直接接入在这种转发服务器下。在通信号码中子网号段的最高一位可以用来标识子网号段中数字码的数目即子网号段的长度，当子网号段的长度为1时表示子网号段只有一位长度标识位，就可以表示该通信号码对应的通信终端是直接接入在上述的这种转发服务器下面。

前述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于将通信终端的MAC地址和通信终端的通信号码进行绑定，并将通信终端MAC地址作为对参与通信的通信终端进行身份验证的依据，具体的方法为：

(1)接入服务器在为建通信终端分配通信号段时，从通信终端获取通信终端的MAC地址，并存储到通信终端信息表中；其后通信终端软件在检测到通信终端的MAC地址发生改变时将拒绝执行本发明所述的通信功能；

(2)通信终端在对发送的通信报文报文体进行加密时，将自身的MAC地址作为密钥组成信息之一创建加密密钥；接入服务器在接收到来自通信终端的通信报文后，依据通信终端通信号码通过通信终端信息表得到该通信终端的MAC地址，以该MAC地址作为密钥组成信息之一创建解密密钥对通信报文的报文体进行解密，通过验证解密的正确性来验证发送报文的通信终端身份；(4)接入服务器在将通信报文发往目的通信终端时，取依据目的通信号码从通信终端信息表中获取目的通信终端的MAC地址作为密钥组成信息之一创建加密密钥对报文体进行加密；目的通信终端在接收到来自接入服务器发送的通信报文后，将自身的MAC地址作为密钥组成信息之一创建解密密钥，对通信报文报文体进行解密，只有解密过程被验证通过后，目的通信报文才接收和处理该通信报文；

前述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于在通过管理授权控制下，只要确保一个正在有效在线使用的通信号码唯一地对应一个确定的MAC地址，一个通信号码也可以移机与另外一个MAC地址进行绑定；或者将一个通信号码映射到另外一个通信号码上。

前述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于在通信过程中的每个报文都具有唯一身份标识，并被作为通信合法验证的依据，具体的方法为：

(1)通信终端之间的相互通信过程由通信连接申请过程和正式数据通信过程组成，通信终端之间必须具有了在通信连接申请过程中建立的通信连接通道才能进行正式数据通信过程；在通信连接申请过程中，接入服务器为需要进行通信的两个通信终端之间创建一个通信连接通道，这样进行通信的两个通信终端就可以启动正式数据通信过程；在进行正式数据通信过程中，当任意一通信终端退出通信会话或者在长时间内没有任何数据通信交互时，这个正式数据通信过程所基于的通信连接通道便被销毁；

(2)通信终端在进行通信连接申请过程中发送的通信连接申请报文，都具有一个标志报文唯一性的连接申请报文号，一个确定的通信终端每次发出的通信连接申请报文的连接申请报文号都是唯一不同的，该连接申请报文号可以由通信终端与和其相连的接入服务器按照预定的算法为每次通信连接申请报文动态创建；在通信连接申请过程中，通信终端在对发送的通信连接申请报文的报文体进行加密时，将创建的连接申请报文号作为密钥组成信息之一创建加密密钥；接入服务器同样以创建的连接申请报文号作为密钥组成信息之一创建解密密钥对该通信连接申请报文的报文体进行解密，通过验证解密的正确性来验证通信连接申请报文的身份；同样地，接入服务器在发送给通信终端的通信连接申请确认报文时，以连接申请报文号作为密钥组成信息之一创建加密密钥对报文体进行加密，通信终端对接收的通信连接申请确认报文进行解密时，以连接申请报文号作为密钥组成信息之一创建解密密钥，通过验证解密的正确性来验证通信连接申请确认报文的身份；

(3)在通信连接申请过程中接入服务器为通信终端之间的正式通信过程创建的通信连接通道，都具有一个标识唯一性的通信连接标识号，对于一对确定的源和目的通信终端，它们之间每次建立的通信连接通道对应的通信连接标识号都是唯一不同的；这对通信终端在正式数据通信过程中发送的所有正式数据通信报文内都包含有该通信连接标识号，以标志这个正式数据通信报文基于的通信连接通道；

(4)通信终端在进行正式数据通信过程中发送的每个正式数据通信报文都具有一个标志报文唯一性的报文序列号，基于一个确定的通信连接通道进行的一个正式数据通信过程，在整个过程中进行的所有正式数据通信报文的报文序列号都是唯一不同的；在通信连接申请过程中，接入服务器为一个刚创建的通信连接通道约定一个确定的报文序列号创建算法，在正式数据通信过程中，参与该正式数据通信过程进行通信的通信终端和接入服务器都将依据该创建算法为每次正式数据通信报文创建一个唯一不同的报文序列号；

(5)在接入服务器中保存有终端连接信息表，在通信连接申请过程中，接入服务器都将为每一个刚创建的通信连接通道在该表中保存一条通信连接通道信信息记录，该记录包含但不限于源和目的通信号码、该通信连接通道的通信连接标识号、正式数据通信报文的报文序列号创建算法信息等；在正式数据通信过程中，接入服务器将通过终端连接信息表，对经过的所有正式数据通信报文依据报文内的通信连接标识号进行数据通信报文的通信连接通道的合法性验证；

(6)在通信终端中保存有自己的连接信息表，保存本终端目前正在进行的所有正式数据通信过程所对应的通信连接通道信息，包含但不限于目的通信号码、通信连接标识号、正式数据通信报文的报文序列号创建算法信息等；

(7)通信终端在对发送的正式数据通信报文报文体进行加密时，将报文序列号作为密钥组成信息之一创建加密密钥；接入服务器同样以报文序列号作为密钥组成信息之一创建解密密钥对该正式数据通信报文报文体进行解密，通过验证解密的正确性来验证正式数据通信报文的身份合法性，接入服务器在将正式数据通信报文发往目的通信终端时，将报文序列号作为密钥组成信息之一创建加密密钥，对正式数据通信报文体进行重新加密；目的通信终端在接收到来自接入服务器发送的通信报文后，将报文序列号作为密钥组成信息之一创建解密密钥，对正式数据通信报文报文体进行解密，只有解密过程被验证通过后，目的通信报文才接收和处理该正式数据通信报文。

一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于：

通信报文由报文头和报文体组成，报文头至少包含源和目的通信终端的通信号码、报文类型(报文通信连接申请报文或是正式数据通信报文等)、报文特征号(是由通信终端发出的报文或是由接入服务器发出的报文)等信息，对所有通信的通信报文的报文体都进行加密，加密密钥至少包含有通信终端的身份信息(MAC地址)以及通信报文的身份信息(连接申请号或者报文序列号)。

一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于：

在正式数据通信过程中传送的正式数据通信报文的报文体由报文验证信息部分和需要传送的数据包体部分组成，报文验证信息部分包含连接通道的连接号、报文序列号、对目的通信终端访问的服务端口号以及对需要传送的数据包体进行加密用的密钥信息等。对正式数据通信报文的加密是分别对报文验证信息部分和数据包体信息部分进行两次加密，对报文验证信息的加密密钥需要包含通信终端的身份信息(MAC地址)和通信报文的身份信息(报文序列号)，对数据包体的加密密钥采用在报文验证信息中携带的密钥信息。数据包体的加密由源通信终端进行，解密由目的通信终端进行；而报文验证信息部分的加密除了源通信终端解密和目的通信终端解密外，报文经过的接入服务器也都需要进行解密和重新加密。

一种基于十进制数字通信号码进行私有安全数据通信的系统装置，其特征在于：

通信系统装置由通信终端、接入服务器、转发服务器构成，通信终端和接入服务器可以位于私网内部(局域网)也可以位于互联网上，转发服务器位于互联网上；当接入服务器位于互联网上时，可以和转发服务器合而为一，部署在一起。

前述的的一种基于十进制数字通信号码进行私有安全数据通信的系统装置，其特征在于：

通信终端依次与IP网络或者局域网、接入服务器相接，通信终端只接收来自与其相连的接入服务器的通信报文，通信终端对外发送的报文都必须经过与其相连的接入服务器进行进一步的投递；接入服务器再依次与IP网络、转发服务器相接，接入服务器除了与其下接入的所有通信终端进行报文的通信外，还和与其相连的转发服务器之间具有固定的通信连接，向该转发服务器发送需要进一步投递的报文以及接收从该转发服务器下发的报文；所有转发服务器之间通过互联网进行通信连接，转发服务器通过互联网还和其下所相连的所有接入服务器之间进行通信连接。

通过本发明得到的有益效果有：

1、使用十进制的数字通信号码进行寻址使得通信终端之间的相互通信更加方便，地址方便记忆。也解决了针对现实互联网中通信终端IP地址不断变化情况下通信终端之间如何实现直接交互访问的问题。

2、通信终端的通信号码和数据终端的MAC地址进行绑定，联合确定一个唯一的通信终端，使得通信终端在通信过程中具有固定的、公开的身份，增加了通信过程的安全性和可管理性。

3、基于接入服务器、转发服务器的通信寻址机制，接入服务器既可以部署在公网上也可以部署在内部私网中，使得通信终端之间无论是处于怎样不同的内部子网上，都可以依赖互连网实现相互之间的访问，而且基于十进制通信码的寻址方式也使得通信终端之间的访问都可以不关心各自的真正IP地址。从而可以很容易实现方便的VPN。

4、在通信寻址过程中真正是基于数字通信号码进行路由寻址，可以有效减少通信终端的真正IP地址在公网上的暴露，增加了安全特性。可以使得在通信终端侧真正不用目的通信终端的IP地址，只要以目的通信终端的通信号码就可以进行寻址。

5、通过通信报文中的通信终端身份标书信息和通信报文的身份标识信息对通信终端的合法性以及通信报文的合法性进行验证，能够有效保证通信过程的安全性。

6、能够确保任意两个通信终端，无论它们部署在什么地点，它们之间的相互通信都要经过各自所连的接入服务器进行转发，这样使得通信的安全鉴权和控制管理都非常容易实现。

附图说明

图1是本发明的系统结构示意图。

具体实施方式

一、通信终端创建：

如图1所示，其中接入服务器(1)和接入服务器(2)位于私网内部，分别与公网中的转发服务器(3)和转发服务器(4)连接；接入服务器(5)位于公网(INTERNET网)中，转发服务器(4)连接；转发服务器(3)同时又是一个接入服务器，通信终端(8)和通信终端(6)直接接入在转发服务器(3)上。设定网络号段长度为4位，转发服务器(1)的网络号段为1111；转发服务器(2)的网络号段为2111。

接入服务器(1)是放置内部私网1中，通过代理与互连网中的转发服务器(1)进行通信连接，接入服务器(1)的子网号段长度为三位，具体子网号段322，接入服务器(1)通信号段为1111322；

接入服务器(2)是放置内部私网(2)中，通过代理与互连网中的转发服务器(2)进行通信连接，接入服务器(2)的子网号段长度为四位，具体子网号段4222，接入服务器(2)通信号段为21114222；

接入服务器(3)是位于互连网中，其直接通过互连网和转发服务器(2)建立连接。

接入服务器(3)的子网号段长度为三位，具体子网号段323，接入服务器(3)通信号段为2111323；

内部私网(1)中的所有通信终端都接入到接入服务器(1)上，其下所接入的所有通信终端的终端号段长度设置为5位。接入服务器(1)在初始创建通信终端(1)时，为其分配终端号段为00001，其通信号码便为111132200001；同时通信终端(1)将自己的MAC地址上报给接入服务器(1)，存储到接入服务器(1)中的通信终端信息表中。

类似的，接入服务器(1)为通信终端(2)分配终端号段是00002，通信号码便为111132200002；同时也将获得的通信终端(2)的MAC地址存储到通信终端信息表中。

类似接入服务器(1)，接入服务器(2)所连接的通信终端的终端号段长度设置为4位，对下面连接的两个通信终端分配通信号码如下：

通信终端(6)：终端号段是0001，通信号码为211142220001；

通信终端(7)：终端号段是0002，通信号码为211142220002；

并且将通信终端(6)和通信终端(7)的MAC地址保存到通信终端信息表中。

类似接入服务器(1)，接入服务器(3)下面接入的通信终端的终端号段长度位5位，具体分配为：

通信终端(4)：终端号段是00001，通信号码为211132300001；

通信终端(5)：终端号段是00002，通信号码为211132300002；并且将通信终端(4)和通信终端(5)的MAC地址保存到通信终端信息表中。

通信终端(3)和通信终端(8)是直接接入在转发服务器(1)上面的，它们的终端号码由转发服务器(1)在创建通信终端(3)和通信终端(8)时分配，分别是2000001，2000002；通信号码分别为：111112000001、111112000002。其中网络号段是1111，后面的子网号段只有1位数字1，标识子网号段只有1位长度，即没有实际的子网号段。同时转发服务器(1)获取通信终端(3)和通信终端(8)的MAC地址并保存到内部的通信终端信息表中。

二、通信终端上线注册

通信终端在启动时，向接入服务器进行注册，上报自己的IP地址，接入服务器获得通信终端上线并将其IP地址存储到通信终端信息表中。图1内部私网(1)内的IP地址如下：

通信终端(1)的IP地址为10.10.1.1

通信终端(2)的IP地址为10.10.1.2

接入服务器(1)的IP地址为10.10.1.3图1内部私网(2)内的IP地址如下：

通信终端(6)的IP地址为11.11.1.1

通信终端(7)的IP地址为11.11.1.2

接入服务器(2)的IP地址为11.11.1.3

图1互联网中的IP地址如下：

通信终端(3)的IP地址为66.68.9.12

通信终端(8)的IP地址为66.68.11.15

通信终端(4)的IP地址为79.68.10.121

通信终端(5)的IP地址为79.78.12.14

接入服务器(3)的IP地址为71.61.11.31

转发服务器(1)的IP地址为72.62.12.32

转发服务器(2)的IP地址为74.64.14.33

三、通信终端之间的寻址：

1)同一接入服务器内部的寻址：

通信终端1对通信终端(2)的寻址，通信终端在通信报文中将目的通信号码填为111132200002，源通信号码填为111132200001，目的IP地址为10.10.1.3，将通信报文发送到接入服务器(1)中。

接入服务器(1)对目的通信号码进行分析，网络号段4位是1111，子网号段3位是322，与接入服务器(1)自身的通信号段1111322一致。接入服务器(1)便通过内部的通信终端信息表，查询到通信号段为00002对应的通信终端的IP地址是10.10.1.2，便将报文投递到通信终端(2)(IP地址是10.10.1.2)上，完成了目的通信终端的寻址。

2)不同接入服务器之间的寻址：

通信终端(1)对通信终端(6)的寻址，通信终端在通信报文中将目的通信号码填为211142220001，源通信号码填为111132200001，目的IP地址为10.10.1.3，便将通信报文发送到接入服务器(1)中。

接入服务器(1)对目的通信号码进行分析，网络号段4位是2111，子网号段4位是4222，与接入服务器(1)自身的通信号段1111322不一致。接入服务器(1)便直接将报文的投递到转发服务器(1)(IP地址为72.62.12.32)上。

转发服务器(1)对目的通信号码进行分析，网络号段4位是2111，与自身的网络号段1111不一致，便通过内部的转发服务器寻址信息表得到网络号段为2111对应的转发服务器地址为74.64.14.33，便将报文投递到转发服务器(2)(IP地址为74.64.14.33)上。

转发服务器(2)对目的通信号码进行分析，网络号段4位是2111，与自身的网络号段2111一致，便通过内部的接入服务器寻址信息表得到子网号段为4222对应的接入服务器的IP地址是11.11.1.3，便将报文投递到接入服务器(2)(IP地址为11.11.1.3)上。

接入服务器(2)对目的通信号码进行分析，网络号段4位是2111，子网号段4位是4222，与接入服务器(2)自身的通信号段21114222一致。接入服务器(2)便通过内部的通信终端信息表，查询到终端号段为0001对应的通信终端的IP地址是11.11.1.1，便将报文投递到通信终端(6)(IP地址是11.11.1.1)上，完成了目的通信终端的寻址。

3)对直接接入转发服务器上的通信终端的寻址：

通信终端(1)对通信终端(3)的寻址，通信终端在通信报文中将目的通信号码填为111112000001，源通信号码填为111132200001，目的IP地址为10.10.1.3，将通信报文发送到接入服务器(1)中。

接入服务器(1)对目的通信号码进行分析，网络号段4位是1111，子网号段1位是1，与接入服务器(1)自身的通信号段1111322不一致。接入服务器(1)便直接将报文的目的IP地址修改为72.62.12.32，将报文投递到转发服务器(1)上。

转发服务器(1)对目的通信号码进行分析，网络号段4位是1111，与自身的网络号段1111一致，子网号段长度1位，表示没有实际子网号段，通信终端是直接接入在本转发服务器。于是转发服务器(1)便通过内部的通信终端信息表查询得到终端号段为2000001对应的通信终端的IP地址是66.68.9.12，便将报文投递到通信终端(3)(IP地址是66.68.9.12)上完成了目的通信终端的寻址。

4)直接接入转发服务器上的通信终端之间的寻址：

通信终端(8)对通信终端(3)的寻址，通信终端在通信报文中将目的通信号码填为111112000001，源通信号码填为111112000002，目的IP地址为72.62.12.32，将通信报文发送到转发服务器(1)中。

转发服务器(1)对目的通信号码进行分析，网络号段4位是1111，与自身的网络号段1111一致，子网号段长度1位，表示没有实际子网号段，通信终端是直接接入在本转发服务器。于是转发服务器(1)便通过内部的通信终端信息表查询得到终端号段为2000001对应的通信终端的IP地址是66.68.9.12，便将报文投递到通信终端(3)(IP地址是66.68.9.12)上完成了目的通信终端的寻址。

四、通信连接通道建立

1、通信终端(1)需要和通信终端(6)进行通信：

1)通信终端(1)按照其和接入服务器(1)之间按照协定的生成算法为这次连接申请报文创建连接申请报文号。

2)通信终端(1)准备通信连接申请请求报文，通信连接申请请求报文由报文头和报文体组成，报文头至少包含通信终端(1)通信号码、通信终端(6)的通信号码、报文类型(连接申请报文)、报文特征号(由通信终端发出)等信息，报文体包含连接请求的连接申请报文号、通信号码等信息，并对报文体进行加密，加密密钥是将通信终端(1)的MAC地址与连接申请报文号按照与接入服务器(1)协定的组合算法进行组合得到。

3)通信终端1将连接申请报文发送到接入服务器(1)，接入服务器(1)依据内部的终端连接信息表判断通信终端(1)和通信终端(6)之间是否已经有了通信连接通道，如果有将不再受理该通信申请请求报文，如果没有，通过报文头中的特征号判断出该通信连接申请报文的是由通信终端发出。

4)接入服务器1依据内部的通信终端信息表对连接申请请求报文报头中的源通信号码进行身份合法性验证，验证通过后创建生成这次连接申请报文的连接申请报文号，对通信报文的密文报文体进行解密，解密密钥采用通信终端信息表中通信终端1的MAC地址和这次连接申请报文的连接申请报文号组合得到，验证报文体加密解密的正确性。验证通过后更改原报文头中的报文特征号，将特征号标志为由接入服务器发出的转发报文，将对报文体的明文进行重新加密，加密方法可以是接入服务器之间协定的加密方法，加密文成后重新组装报文，并将报文逐级投递到通信终端(6)所连的接入服务器(2)上。

5)接入服务器(2)依据内部的终端连接信息表判断通信终端(1)和通信终端(6)之间是否已经有了通信连接通道，如果有将不再受理该通信申请请求报文，如果没有通过报文中的报文特征号得出该报文是由接入服务器转发的，便依据内部的通信终端信息表对连接申请请求报文报头中的目的通信号码进行身份合法性验证，验证通过后对通信报文的密文报文体进行解密，解密方法可以是接入服务器之间协定的解密方法，解密正确后接入服务器(2)便为这次通信连接申请请求分配一个通信连接标识号，同时为这次通信连接申请请求给出一个报文序列号的生成算法(可以是一个中间数和一个算法参数)。

6)接入服务器(2)准备发送给通信终端(6)的通信连接申请的确认报文，报文头包含源通信号码(接入服务器(2)的通信号段后追加0)、目的通信号码(通信终端(6)的通信号码)、报文类型(通信连接申请确认报文)、报文特征号(由接入服务器发起)等信息，报文体包含通信连接标识号、报文序列号生成算法信息等。再类似地组装发送给通信终端(1)的通信连接申请确认报文。

7)对发送给通信终端(6)的通信连接申请的确认报文，接入服务器(2)以通信终端(6)的MAC地址以及连接请求的连接申请报文号组合作为密钥对报文体进行加密。组装后发送到目的通信终端(6)上。通信终端(6)以本机的MAC地址以及连接请求的连接申请报文号组合作为密钥进行解密，并验证密文的正确性，解密成功后得到通信连接标识号、报文序号的算法信息保存。对发送给通信终端1的通信连接申请的确认报文，接入服务器(2)用接入服务器之间协定的加密方法对报文体进行加密，然后将报文发送给转发服务器(2)，逐级寻址投递到接入服务器(1)上。接入服务器(1)解密后以通信终端(1)的MAC地址以及连接请求的连接申请报文号组合作为密钥对报文体进行加密。组装后发送到目的通信终端(1)上，通信终端(1)以本机的MAC地址以及连接请求的连接申请报文号组合作为密钥进行解密，并验证密文的正确性，解密成功后得到通信连接标识号、报文序号的算法信息保存。

8)接入服务器(1)、接入服务器(2)都将相应的源通信号码、目的通信号码(或者目的组号)、连接申请报文号、通信连接标识号以及报文序列号生成算法信息等保存到内部的终端连接信息表中。

9)至此，通信连接申请完成，通信终端(1)和通信终端(6)之间就建立了通信连接通道，便可以在其上进行随后的数据报文的通信。

五、进行私有安全数据通信

1)通信终端(1)准备正式数据报文，正式数据报文，由报文头和报文体组成，报文头至少包含通信终端(1)通信号码、通信终端(6)的通信号码、报文类型(正式通信数据报文)、报文特征号(由通信终端发出)等信息，报文体由报文验证信息和需要传送的数据包体组成，报文验证信息包含连接通道的连接号、报文序列号、对目的通信终端访问的服务端口号以及对需要传送的数据包体进行加密用的密钥信息等。通信终端(1)对需要发送的正式通信数据报文的报文体进行加密，分别对报文体中的报文验证信息和数据包体信息进行两次加密，可以对报文验证信息的加密密钥是该通信终端(1)的MAC地址和报文序列号按照组合算法进行的组合；对数据包体的加密密钥是在报文验证信息中携带的密钥信息。完成加密后将通信终端1将正式数据通信报文发送给接入服务器(1)，转至步骤2)。

2)接入服务器(1)依据内部的终端连接信息表判断通信终端(1)和通信终端(6)之间是否有通信连接通道，如果没有将不再受理该正式数据通信报文。如果通信连接通道已经建立，通过报文头中的特征号判断得到该正式数据通信报文是由通信终端发出，接入服务器(1)便依据内部的通信终端信息表对报文的报头中源通信终端的通信号码(即通信终端1的通信号码)进行身份合法性验证(判断其是否在通信终端信息表中，并且状态为合法可用)。

3)验证通过后接入服务器(1)从通信终端信息表中得到通信终端(1)的MAC地址，计算得到本次正式数据通信报文的报文序列号，并组合得到报文体中报文验证信息的解密密钥，对报文体中的报文验证信息的密文进行解密，验证报体加密解密的正确性。

4)验证通过后，通过目的通信号码(211142220001)接入服务器(1)得到目的通信终端(通信终端6)不在自己的接入范围，接入服务器(1)便对正式数据通信报文报文体中的报文验证信息的明文重新加密，加密密钥是接入服务器之间协定算法生产的密钥，同时修改报文头中的报文特征号，标志为从接入服务器发出的报文，再将报文体密文和包头组装成报文后按照前面所述的通信寻址方法，依据目的通信号码(211142220001)接入服务器1将报文发送到通信终端(6)连接的接入服务器(2)。

5)接入服务器(2)依据内部的终端连接信息表判断通信终端(1)和通信终端(6)之间是否已经有了通信连接通道，如果没有便不再受理该通信申请请求报文，如果有通信连接通道接入服务器(2)依据数据报文中的特征号得出该正式数据通信报文是由接入服务器发出的，便依据内部的通信终端信息表对连接申请请求报文报头中的目的通信号码(通信终端6的通信号码)进行身份合法性验证。

6)验证通过后接入服务器(2)可以依据内部的终端访问权限表验证通信终端(1)对通信终端(6)的这次访问是否具有权限，如果鉴权成功便对报文体的报文验证信息明文进行重新加密，加密密钥是通信终端(6)的MAC地址和报文序列号按照组合算法进行的组合。加密完成后重新组装报文并将报文按照前面描述的寻址方法投递的通信终端(6)上。

7)通信终端(6)接收到正式数据通信报文后，依据和通信终端(1)之间连接的报文序列号算法得到这次正式数据通信报文的报文序列号，再和本终端的MAC地址组合计算得到解密密钥，对报文的报文体中报文验证信息密文进行解密，验证加密解密的正确性，验证通过后，在利用报文验证信息中携带的密钥信息对数据包体密文进行解密，解密成功后接收该报文，并转交给相应的服务处理。

上述实施例不以任何方式限定本发明，凡采取等同替换或等效变换的形式所获得的技术方案，均落在本发明的保护范围之内。

Claims (11)

1、一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于通信终端之间的通信具有通过十进制通信号码进行逐级分步式寻址通信的方法，其步骤如下：

(1)每个通信终端都拥有一个唯一的由十进制数字码组成的通信号码，通信终端将带有目的通信终端通信号码的数据报文送到与自己相连的接入服务器，从通信终端向与自己相连的接入服务器进行的通信寻址实现是基于事先约定的固定寻址路径进行的；一个通信终端只唯一的和与其相连的接入服务器之间建立通信连接，只向该接入服务器发送通信报文和接收来自该接入服务器的通信报文；

(2)接入服务器接收到来自源通信终端的数据报文，依据数据报文中目的通信号码将数据报文进行进一步的投递，通过目的通信号码中的网络号段和子网号段判断目的通信终端是否属于自己的接入范围，如果是接入服务器便依据目的通信号码将数据报文直接投递到目的通信终端，完成数据报文的通信；如果目的通信终端不属于自己的接入范围，接入服务器便将数据报文投送到与自己相连的转发服务器，进入步骤(3)；从接入服务器向与自己相连的转发服务器进行的通信寻址是基于约定的固定寻址路径进行的；除了和所有接入在自己范围内的所有通信终端之间的通信连接外，接入服务器还和与自己相连的转发服务器有固定的通信连接，向该转发服务器发送待转发的通信报文和接收从该转发服务器投递来的通信报文；

(3)转发服务器接收到来自源通信终端对应的接入服务器的数据报文，依据数据报文内的目的通信号码将数据报文进行进一步的投递，通过目的通信号码中的网络号段判断目的通信通信终端是否属于自己的接入范围，如果是转发服务器便依据目的通信号码将数据报文直接投递到目的通信号码对应的接入服务器上，进入步骤(4)；如果目的通信终端不属于自己的接入范围，转发服务器便依据目的通信号码将数据报文投递到目的通信号码对应的转发服务器上，由目的转发服务器再将数据报文投递到目的通信号码对应的接入服务器上，进入步骤(4)；

(4)目的通信号码对应的接入服务器接收到来自转发服务器的数据报文，依据数据报文内的目的通信号码直接将数据报文投递到目的通信终端上。

2、根据权利要求1所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于其中所述的接入服务器和转发服务器可以合在一起部署，此时通信终端便可以直接接入到转发服务器下，该转发服务器便同时又是接入服务器。

3、根据权利要求1或2所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于通信终端之间的通信是通过十进制的通信号码进行逐级寻址的，具体方法为：

(1)每个通信终端都拥有一个唯一属于自己的通信号码，通信号码由多位十进制数字码组成，这些十进制数字码从高位到低位依次可以分为网络号段、子网号段和终端号段三段组成；一个通信终端的通信号码从高位到低位分别由该通信终端对应的转发服务器的网络号段、该通信终端对应的接入服务器的子网号段以及该通信终端的终端号段这三段组成；通信终端的终端号段是位于通信号码中最低位的几位十进制数字码，由该通信终端所对应的接入服务器在创建通信终端时分配；

(2)在接入服务器中保存有通信终端信息表，包含但不限于该接入服务器所有接入通信终端的终端号段、通信终端的寻址路径、通信终端网口MAC地址信息，接入服务器可以依据通信终端信息表通过通信号码中的终端号段实现对其下面连接的任意通信终端进行寻址；通信终端信息表中的MAC地址是接入服务器在为通信终端创建终端号段时从通信终端获取，而寻址路径则是通信终端软件每次初始化时向接入服务器注册申报的，再由该接入服务器动态写入终端信息表中；在通信终端信息表中所有通信终端的通信号码、通信寻址路径以及MAC地址信息都是一一对应的，不同的通信号码不允许对应相同的寻址路径或者MAC地址，一个通信号码也不允许对应多个不同的寻址路径或者MAC地址；

(3)每个接入服务器都拥有自己的子网号段，子网号段在通信号码中是紧跟在网络号段后面的几位十进制数字码，一个转发服务器下所有接入服务器的子网号段都是唯一的；对于一个接入服务器，与其所连的转发服务器的网络号段和接入服务器自身的子网号段一起组成的一组十进制数字码就唯一地确定了该接入服务器的通信标识，即接入服务器的通信号段；对于一个接入服务器下面接入的所有通信终端，其通信号码的网络号段和子网号段都是相同的，都是该接入服务器的通信号段；在转发服务器中都保存有接入服务器的寻址转发表，该表包含但不限于该转发服务器下所有接入服务器的子网号段、这些接入服务器的寻址路径信息，转发服务器可以依据接入服务器的寻址转发表通过通信号码中的接入服务器子网号段实现对其下面所连接的任意接入服务器进行寻址；

(4)每个转发服务器都拥有一个唯一属于自己的网络号段，这是位于通信号码中高位的一组十进制数字码，一个转发服务器下面接入的所有通信终端的通信号码的高位组十进制数字码组都是该转发器的网络号段；转发服务器中保存转发服务器寻址转发表，包含但不限于网上所有转发服务器的网络号段、所有转发服务器的寻址路径信息，转发服务器可以依据转发服务器寻址转发表通过通信号码中的转发服务器网络号段实现对网上任意转发服务器进行通信寻址。

4、根据权利要求3所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于其中所述的转发服务器可以和接入服务器合而为一部署在一起，此时的这种转发服务器便既是转发服务器又是接入服务器，通信终端便可以直接接入在这种转发服务器下；在通信号码中子网号段的最高一位可以用来标识子网号段中数字码的数目即子网号段的长度，当子网号段的长度为1时表示子网号段只有一位长度标识位，就可以表示该通信号码对应的通信终端是直接接入在上述的这种转发服务器下面。

5、根据权利要求1所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于将通信终端的MAC地址和通信终端的通信号码进行绑定，并将通信终端MAC地址作为对参与通信的通信终端进行身份验证的依据，具体的方法为：

(1)接入服务器在为建通信终端分配通信号段时，从通信终端获取通信终端的MAC地址，并存储到通信终端信息表中；其后通信终端软件在检测到通信终端的MAC地址发生改变时将拒绝执行本发明所述的通信功能；

(2)通信终端在对发送的通信报文报文体进行加密时，将自身的MAC地址作为密钥组成信息之一创建加密密钥；接入服务器在接收到来自通信终端的通信报文后，依据通信终端通信号码通过通信终端信息表得到该通信终端的MAC地址，以该MAC地址作为密钥组成信息之一创建解密密钥对通信报文的报文体进行解密，通过验证解密的正确性来验证发送报文的通信终端身份；

(3)接入服务器在将通信报文发往目的通信终端时，取依据目的通信号码从通信终端信息表中获取目的通信终端的MAC地址作为密钥组成信息之一创建加密密钥对报文体进行加密；目的通信终端在接收到来自接入服务器发送的通信报文后，将自身的MAC地址作为密钥组成信息之一创建解密密钥，对通信报文报文体进行解密，只有解密过程被验证通过后，目的通信报文才接收和处理该通信报文。

6、根据权利要求5所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于在通过管理授权控制下，只要确保一个正在有效在线使用的通信号码唯一地对应一个确定的MAC地址，一个通信号码也可以移机与另外一个MAC地址进行绑定；或者将一个通信号码映射到另外一个通信号码上。

7、根据权利要求1所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于在通信过程中的每个报文都具有唯一身份标识，并被作为通信合法验证的依据，具体的方法为：

(1)通信终端之间的相互通信过程由通信连接申请过程和正式数据通信过程组成，通信终端之间必须具有了在通信连接申请过程中建立的通信连接通道才能进行正式数据通信过程；在通信连接申请过程中，接入服务器为需要进行通信的两个通信终端之间创建一个通信连接通道，这样进行通信的两个通信终端就可以启动正式数据通信过程；在进行正式数据通信过程中，当任意一通信终端退出通信会话或者在长时间内没有任何数据通信交互时，这个正式数据通信过程所基于的通信连接通道便被销毁；

(2)通信终端在进行通信连接申请过程中发送的通信连接申请报文，都具有一个标志报文唯一性的连接申请报文号，一个确定的通信终端每次发出的通信连接申请报文的连接申请报文号都是唯一不同的，该连接申请报文号可以由通信终端与和其相连的接入服务器按照预定的算法为每次通信连接申请报文动态创建；在通信连接申请过程中，通信终端在对发送的通信连接申请报文的报文体进行加密时，将创建的连接申请报文号作为密钥组成信息之一创建加密密钥；接入服务器同样以创建的连接申请报文号作为密钥组成信息之一创建解密密钥对该通信连接申请报文的报文体进行解密，通过验证解密的正确性来验证通信连接申请报文的身份；同样地，接入服务器在发送给通信终端的通信连接申请确认报文时，以连接申请报文号作为密钥组成信息之一创建加密密钥对报文体进行加密，通信终端对接收的通信连接申请确认报文进行解密时，以连接申请报文号作为密钥组成信息之一创建解密密钥，通过验证解密的正确性来验证通信连接申请确认报文的身份；

(3)在通信连接申请过程中接入服务器为通信终端之间的正式通信过程创建的通信连接通道，都具有一个标识唯一性的通信连接标识号，对于一对确定的源和目的通信终端，它们之间每次建立的通信连接通道对应的通信连接标识号都是唯一不同的；这对通信终端在正式数据通信过程中发送的所有正式数据通信报文内都包含有该通信连接标识号，以标志这个正式数据通信报文基于的通信连接通道；

(4)通信终端在进行正式数据通信过程中发送的每个正式数据通信报文都具有一个标志报文唯一性的报文序列号，基于一个确定的通信连接通道进行的一个正式数据通信过程，在整个过程中进行的所有正式数据通信报文的报文序列号都是唯一不同的；在通信连接申请过程中，接入服务器为一个刚创建的通信连接通道约定一个确定的报文序列号创建算法，在正式数据通信过程中，参与该正式数据通信过程进行通信的通信终端和接入服务器都将依据该创建算法为每次正式数据通信报文创建一个唯一不同的报文序列号；

(5)在接入服务器中保存有终端连接信息表，在通信连接申请过程中，接入服务器都将为每一个刚创建的通信连接通道在该表中保存一条通信连接通道信息记录，该记录包含但不限于源和目的通信号码、该通信连接通道的通信连接标识号、正式数据通信报文的报文序列号创建算法信息等；在正式数据通信过程中，接入服务器将通过终端连接信息表，对经过的所有正式数据通信报文依据报文内的通信连接标识号进行数据通信报文的通信连接通道的合法性验证；

(6)在通信终端中保存有自己的连接信息表，保存本终端目前正在进行的所有正式数据通信过程所对应的通信连接通道信息，包含但不限于目的通信号码、通信连接标识号、正式数据通信报文的报文序列号创建算法信息等；

(7)通信终端在对发送的正式数据通信报文报文体进行加密时，将报文序列号作为密钥组成信息之一创建加密密钥；接入服务器同样以报文序列号作为密钥组成信息之一创建解密密钥对该正式数据通信报文报文体进行解密，通过验证解密的正确性来验证正式数据通信报文的身份合法性，接入服务器在将正式数据通信报文发往目的通信终端时，将报文序列号作为密钥组成信息之一创建加密密钥，对正式数据通信报文体进行重新加密；目的通信终端在接收到来自接入服务器发送的通信报文后，将报文序列号作为密钥组成信息之一创建解密密钥，对正式数据通信报文报文体进行解密，只有解密过程被验证通过后，目的通信报文才接收和处理该正式数据通信报文。

8、根据权利要求7所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于：

通信报文由报文头和报文体组成，报文头至少包含源和目的通信终端的通信号码、报文类型、报文特征号等信息，报文特征号可以标识报文的源处，是由通信终端发出的还是由接入服务器或者转发服务器发出的；对通信报文的报文体进行加密使用的加密密钥至少包含通信终端的MAC地址信息以及通信报文的身份信息；报文的身份信息可以是通信连接申请报文的连接申请号或者是正式数据通信报文的报文序列号。

9、根据权利要求8所述的一种基于十进制数字通信号码进行私有安全数据通信的方法，其特征在于：

在正式数据通信过程中传送的正式数据通信报文的报文体由报文验证信息部分和需要传送的数据包体部分组成，报文验证信息部分包含连接通道的连接号、报文序列号、对目的通信终端访问的服务端口号以及对需要传送的数据包体进行加密用的密钥信息等；对正式数据通信报文的加密是分别对报文验证信息部分和数据包体信息部分进行两次加密，对报文验证信息的加密密钥需要包含通信终端的MAC地址信息和通信报文的身份信息，对数据包体的加密密钥采用在报文验证信息中携带的密钥信息；数据包体的加密由源通信终端进行，解密由目的通信终端进行；而报文验证信息部分的加密除了源通信终端解密和目的通信终端解密外，报文经过的接入服务器也都需要进行解密和重新加密。

10、一种基于十进制数字通信号码进行私有安全数据通信的系统装置，其特征在于：

通信系统装置由通信终端、接入服务器、转发服务器构成，通信终端和接入服务器可以位于局域网内部也可以位于互联网上，转发服务器位于互联网上；当接入服务器位于互联网上时，可以和转发服务器合而为一，部署在一起。

11、根据权利要求10所述的一种基于十进制数字通信号码进行私有安全数据通信的系统装置，其特征在于：

通信终端依次与IP网络或者局域网、接入服务器相接，通信终端只接收来自与其相连的接入服务器的通信报文，通信终端对外发送的报文都必须经过与其相连的接入服务器进行进一步的投递；接入服务器再依次与IP网络、转发服务器相接，接入服务器除了与其下接入的所有通信终端进行报文的通信外，还和与其相连的转发服务器之间具有固定的通信连接，向该转发服务器发送需要进一步投递的报文以及接收从该转发服务器下发的报文；所有转发服务器之间通过互联网进行通信连接，转发服务器通过互联网还和其下所相连的所有接入服务器之间进行通信连接。