本發(fā)明屬于網(wǎng)絡(luò)安全，尤其涉及一種服務(wù)隱匿的多點(diǎn)安全傳輸方法與系統(tǒng)。

背景技術(shù)：

1、目前，在企業(yè)多地安全通信方面，通常采用數(shù)據(jù)專(zhuān)線或者借助于現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施構(gòu)建企業(yè)vpn網(wǎng)絡(luò)來(lái)保證企業(yè)業(yè)務(wù)的安全，所采用通信安全傳輸技術(shù)包括vpn通信、tor網(wǎng)絡(luò)等，依賴于防病毒、防火墻等系統(tǒng)等工具檢測(cè)和阻斷通過(guò)網(wǎng)絡(luò)傳輸?shù)膼阂夤艟W(wǎng)絡(luò)，形成一系列的安全防護(hù)技術(shù)手段。

2、傳統(tǒng)虛擬專(zhuān)用網(wǎng)絡(luò)（vpn）通過(guò)在公共網(wǎng)絡(luò)上創(chuàng)建加密通道，將遠(yuǎn)程用戶與企業(yè)內(nèi)部網(wǎng)絡(luò)相連接。它使用隧道協(xié)議（如ipsec、ssl/tls等）來(lái)加密數(shù)據(jù)，并確保數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性和完整性。遠(yuǎn)程用戶可以通過(guò)vpn客戶端與企業(yè)網(wǎng)絡(luò)建立安全連接，從而獲得訪問(wèn)內(nèi)部資源的權(quán)限。盡管傳統(tǒng)vpn是遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)絡(luò)的常用方法，但它存在一些安全性局限性，主要包括：一是外部攻擊問(wèn)題，應(yīng)用系統(tǒng)訪問(wèn)接口長(zhǎng)期直接暴漏到互聯(lián)網(wǎng)，容易遭受掃描探測(cè)，形成特定的網(wǎng)絡(luò)設(shè)備指紋，企業(yè)重要資產(chǎn)入口，成為黑客攻擊的重點(diǎn)目標(biāo)；二是漏洞威脅問(wèn)題，通用的網(wǎng)絡(luò)安全設(shè)備往往采用標(biāo)準(zhǔn)的ssl、ipsec等加密通信協(xié)議，通用的基礎(chǔ)加密組件，組件之間相互依賴，這些標(biāo)準(zhǔn)協(xié)議和組件被廣泛研究，更容易遭受0day漏洞和供應(yīng)鏈攻擊威脅。

3、tor網(wǎng)絡(luò)通過(guò)對(duì)稱(chēng)和非對(duì)稱(chēng)加密的結(jié)合來(lái)保護(hù)數(shù)據(jù)。數(shù)據(jù)包在通過(guò)tor網(wǎng)絡(luò)傳輸時(shí)，每經(jīng)過(guò)一個(gè)節(jié)點(diǎn)，就會(huì)被解密一層，直至到達(dá)最終目的地。tor通信的安全性主要體現(xiàn)在：一是每個(gè)tor節(jié)點(diǎn)只能解密足夠的信息來(lái)確定下一個(gè)節(jié)點(diǎn)，但無(wú)法知道原始源頭和最終目的地，這就像剝開(kāi)洋蔥的層層皮一樣；二是tor節(jié)點(diǎn)間的密鑰交換通常使用非對(duì)稱(chēng)加密，確保即使密鑰交換過(guò)程被監(jiān)聽(tīng)，通信內(nèi)容也不會(huì)泄露。然而，tor的節(jié)點(diǎn)由全球眾多志愿者維護(hù)，這種分散式的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)一步增強(qiáng)了匿名性，這對(duì)于企業(yè)來(lái)說(shuō)這種匿名性和不確定性并不是企業(yè)希望見(jiàn)到的。

技術(shù)實(shí)現(xiàn)思路

1、鑒于上述的分析，本發(fā)明旨在提供一種服務(wù)隱匿的多點(diǎn)安全傳輸方法與系統(tǒng)，使用者能夠基于本發(fā)明方法和系統(tǒng)在復(fù)雜網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)數(shù)據(jù)加密傳輸，既能確保數(shù)據(jù)傳輸?shù)陌踩苊鈦?lái)自于敵對(duì)方的攻擊，又解決了現(xiàn)有技術(shù)中的不確定性和匿名性問(wèn)題。

2、一方面，本發(fā)明提供了一種服務(wù)隱匿的多點(diǎn)安全傳輸方法，通過(guò)標(biāo)識(shí)密鑰分發(fā)管理系統(tǒng)為各網(wǎng)關(guān)設(shè)備部署獨(dú)立的軟件盾作為系統(tǒng)通信的標(biāo)識(shí)密鑰，網(wǎng)關(guān)設(shè)備兩兩之間執(zhí)行如下點(diǎn)對(duì)點(diǎn)通信進(jìn)行數(shù)據(jù)加密傳輸：

3、設(shè)備b作為通信請(qǐng)求接收方基于設(shè)備a的標(biāo)識(shí)密鑰信息驗(yàn)證設(shè)備a作為通信請(qǐng)求發(fā)起方的單包認(rèn)證消息；

4、在單包認(rèn)證通過(guò)后，設(shè)備a和設(shè)備b基于雙方的標(biāo)識(shí)密鑰信息進(jìn)行身份認(rèn)證密鑰協(xié)商，得到數(shù)據(jù)傳輸共享密鑰；

5、設(shè)備a和設(shè)備b基于所述共享密鑰構(gòu)建加密的udp通道實(shí)現(xiàn)數(shù)據(jù)加密傳輸。

6、進(jìn)一步的，所述設(shè)備b基于設(shè)備a的標(biāo)識(shí)密鑰信息驗(yàn)證設(shè)備a作為通信請(qǐng)求發(fā)起方的單包認(rèn)證消息包括：

7、設(shè)備a利用其私鑰對(duì)單包認(rèn)證消息進(jìn)行數(shù)字簽名得到第一簽名數(shù)據(jù)；

8、設(shè)備a基于單包認(rèn)證消息和第一簽名數(shù)據(jù)構(gòu)建單包認(rèn)證報(bào)文并發(fā)送給設(shè)備b；

9、設(shè)備b基于單包認(rèn)證報(bào)文獲取第一簽名數(shù)據(jù)，基于第一簽名數(shù)據(jù)驗(yàn)證設(shè)備a的單包認(rèn)證消息。

10、進(jìn)一步的，所述單包認(rèn)證消息包括設(shè)備標(biāo)識(shí)、時(shí)間戳、協(xié)議版本和隨機(jī)包序號(hào)；

11、所述利用其私鑰對(duì)單包認(rèn)證消息進(jìn)行數(shù)字簽名得到簽名數(shù)據(jù)包括：

12、；

13、其中，signa表示所述第一簽名數(shù)據(jù)，signature表示基于公鑰加密技術(shù)的數(shù)字簽名算法，apriv表示a的私鑰，hash表示哈希算法，ida表示a的標(biāo)識(shí)、timestamp表示時(shí)間戳、version表示協(xié)議版本、randid表示隨機(jī)包序號(hào)，“||”表示數(shù)據(jù)連接符號(hào)。

14、進(jìn)一步的，所述設(shè)備a和設(shè)備b基于雙方的標(biāo)識(shí)密鑰信息進(jìn)行身份認(rèn)證密鑰協(xié)商，得到數(shù)據(jù)傳輸共享密鑰包括：

15、設(shè)備a和設(shè)備b分別基于自身私鑰和對(duì)方公鑰計(jì)算得到第一共享密鑰；

16、設(shè)備a和設(shè)備b基于第一共享密鑰交換各自的身份認(rèn)證消息，包括各自產(chǎn)生的隨機(jī)數(shù)；

17、設(shè)備a和設(shè)備b分別基于雙方所述產(chǎn)生的隨機(jī)數(shù)計(jì)算得到第二共享密鑰，即數(shù)據(jù)傳輸共享密鑰。

18、進(jìn)一步的，所述設(shè)備a和設(shè)備b分別基于自身私鑰和對(duì)方公鑰計(jì)算得到第一共享密鑰的計(jì)算方法為：

19、；

20、其中，skey1表示第一共享密鑰，apriv和bpriv分別表示a的私鑰和b的私鑰，apub和bpub分別表示a的公鑰和b的公鑰；ecdh表示ecdh算法。

21、進(jìn)一步的，所述設(shè)備a和設(shè)備b基于第一共享密鑰交換各自的身份認(rèn)證消息包括：

22、設(shè)備a、b中的一方利用其私鑰對(duì)其自身的身份認(rèn)證消息數(shù)據(jù)簽名得到第二簽名數(shù)據(jù)；

23、該方基于第一共享密鑰加密其自身的身份認(rèn)證消息和第二簽名數(shù)據(jù)得到第一加密認(rèn)證密文，并發(fā)送給另一方；

24、另一方基于第一共享密鑰解密接收到的第一加密認(rèn)證密文，得到a的身份認(rèn)證消息和第二簽名數(shù)據(jù)；

25、另一方基于該方的公鑰驗(yàn)證第二簽名數(shù)據(jù)以確認(rèn)該方的身份認(rèn)證消息。

26、進(jìn)一步的，所述身份認(rèn)證消息包括設(shè)備標(biāo)識(shí)、時(shí)間戳、協(xié)議版本、隨機(jī)數(shù)；所述隨機(jī)數(shù)長(zhǎng)度為16字節(jié)。

27、進(jìn)一步的，所述設(shè)備a和設(shè)備b分別基于雙方所述產(chǎn)生的隨機(jī)數(shù)計(jì)算得到第二共享密鑰包括：

28、；

29、其中，randa表示a產(chǎn)生的隨機(jī)數(shù)，randb表示b產(chǎn)生的隨機(jī)數(shù)，表示采用哈希算法。

30、另一方面，本發(fā)明還提供了一種服務(wù)隱匿的多點(diǎn)安全傳輸系統(tǒng)，包括標(biāo)識(shí)密鑰分發(fā)管理系統(tǒng)和各網(wǎng)關(guān)設(shè)備，

31、標(biāo)識(shí)密鑰分發(fā)管理系統(tǒng)用于為各網(wǎng)關(guān)設(shè)備部署獨(dú)立的軟件盾作為系統(tǒng)通信的標(biāo)識(shí)密鑰；

32、網(wǎng)關(guān)設(shè)備兩兩之間執(zhí)行如下點(diǎn)對(duì)點(diǎn)通信進(jìn)行數(shù)據(jù)加密傳輸：設(shè)備b作為通信請(qǐng)求接收方基于設(shè)備a的標(biāo)識(shí)密鑰信息驗(yàn)證設(shè)備a作為通信請(qǐng)求發(fā)起方的單包認(rèn)證消息；在單包認(rèn)證通過(guò)后，設(shè)備a和設(shè)備b基于雙方的標(biāo)識(shí)密鑰信息進(jìn)行身份認(rèn)證密鑰協(xié)商，得到數(shù)據(jù)傳輸共享密鑰；設(shè)備a和設(shè)備b基于所述共享密鑰構(gòu)建加密的udp通道實(shí)現(xiàn)數(shù)據(jù)加密傳輸。

33、進(jìn)一步的，通信請(qǐng)求發(fā)起方設(shè)備為客戶端，通信請(qǐng)求接收方設(shè)備為服務(wù)端；

34、對(duì)于無(wú)固定ip和端口的撥號(hào)網(wǎng)絡(luò)設(shè)備，只能作為客戶端；

35、對(duì)于有固定外網(wǎng)ip和端口的網(wǎng)絡(luò)設(shè)備，既可以作為客戶端也可以作為服務(wù)端。

36、本發(fā)明至少可以實(shí)現(xiàn)下述之一的有益效果：

37、通過(guò)基于零信任網(wǎng)絡(luò)隱身思想，依托現(xiàn)有的通信基礎(chǔ)網(wǎng)絡(luò)，設(shè)計(jì)出專(zhuān)有的加密通信協(xié)議，通過(guò)標(biāo)識(shí)密鑰分發(fā)管理系統(tǒng)為各網(wǎng)關(guān)設(shè)備部署獨(dú)立的軟件盾作為系統(tǒng)通信的標(biāo)識(shí)密鑰，網(wǎng)關(guān)設(shè)備兩兩之間執(zhí)行點(diǎn)對(duì)點(diǎn)通信，在不可信網(wǎng)絡(luò)中構(gòu)建隱蔽、安全、可靠的加密傳輸機(jī)制，避免業(yè)務(wù)系統(tǒng)遭受apt網(wǎng)絡(luò)攻擊，保障傳輸?shù)陌踩?；同時(shí)，由于網(wǎng)關(guān)設(shè)備兩兩之間基于標(biāo)識(shí)密鑰分發(fā)管理系統(tǒng)分發(fā)的軟件盾實(shí)現(xiàn)加密數(shù)據(jù)傳輸，在網(wǎng)絡(luò)傳輸過(guò)程中，網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)的身份是明確可知的，解決了tor網(wǎng)絡(luò)技術(shù)存在的匿名性和不確定性問(wèn)題。

38、通過(guò)基于非安全網(wǎng)絡(luò)構(gòu)建設(shè)備地址隱藏、端口可變、默認(rèn)拒絕的通信策略，防止通信設(shè)備被掃描探測(cè)，進(jìn)而防止通信節(jié)點(diǎn)被漏洞攻擊；通過(guò)采用標(biāo)識(shí)密碼技術(shù)，實(shí)現(xiàn)單包認(rèn)證，保證網(wǎng)絡(luò)接入身份的合法性，通過(guò)基于ecdh的密鑰分發(fā)與共享算法，實(shí)現(xiàn)加密通信密鑰安全協(xié)商，通過(guò)采用udp加密通信協(xié)議實(shí)現(xiàn)數(shù)據(jù)加密防護(hù)，整體采用標(biāo)識(shí)密碼技術(shù)實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)通信安全。

39、本發(fā)明系統(tǒng)基于服務(wù)器與客戶端的雙模式，符合以互聯(lián)網(wǎng)為基礎(chǔ)設(shè)施的復(fù)雜網(wǎng)絡(luò)環(huán)境，可廣泛應(yīng)用于固定ip、撥號(hào)網(wǎng)絡(luò)等場(chǎng)景，設(shè)備靈活性更強(qiáng)，可提供按需連接的網(wǎng)絡(luò)服務(wù)，構(gòu)建更加穩(wěn)定的網(wǎng)絡(luò)通信。

40、本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述，并且，部分優(yōu)點(diǎn)可從說(shuō)明書(shū)中變得顯而易見(jiàn)，或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)說(shuō)明書(shū)、權(quán)利要求書(shū)以及附圖中所特別指出的內(nèi)容中來(lái)實(shí)現(xiàn)和獲得。