一種安全快速的匿名網(wǎng)絡(luò)通信方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明屬于網(wǎng)絡(luò)安全通信技術(shù)領(lǐng)域����,具體涉及一種安全快速的匿名網(wǎng)絡(luò)通信方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的發(fā)展��,網(wǎng)絡(luò)已深入到個(gè)人生活和商業(yè)行為中����,如個(gè)人社交應(yīng)用,個(gè)人網(wǎng)上支付��,公司商業(yè)來往通信等���,于是網(wǎng)絡(luò)通信安全問題就變得愈發(fā)重要�����。為此廣大的網(wǎng)絡(luò)通信技術(shù)人員開始采用像VPN�,TBSG等傳統(tǒng)的信息加密手段來實(shí)現(xiàn)信息的加密通信�,這在一定程度上保障了大多數(shù)網(wǎng)絡(luò)應(yīng)用的通信數(shù)據(jù)的安全,但是無法隱藏通信雙方的關(guān)系�。于是怎樣隱藏通信雙方的關(guān)系,變成了當(dāng)前網(wǎng)絡(luò)安全問題的一個(gè)新的分支���。
[0003]隨著斯諾登事件的爆發(fā)�����,另一個(gè)安全領(lǐng)域的工具Tor (The On1n Router)聞名于世����,然而Tor的實(shí)現(xiàn)方式是基于大范圍的混淆流量和分布全球的匿名接點(diǎn)來增加網(wǎng)絡(luò)追蹤的復(fù)雜程度,從而實(shí)現(xiàn)相對(duì)的匿名通信���。但是通信鏈路的穩(wěn)定性較差����,鏈路通信的路徑隨機(jī)����,無法實(shí)現(xiàn)單向傳輸,通信端口固定等問題這在一定程度上降低了匿名通信系統(tǒng)針對(duì)不同需求的可用性�,同時(shí)由于Tor的所有網(wǎng)絡(luò)資源秉承我為人人,人人為我的思想����,對(duì)于想要構(gòu)建可信的快速的匿名網(wǎng)絡(luò)系統(tǒng)而言并不適合��。
[0004]目前基于小范圍的匿名通信大都通過Tor或者采用多跳VPN實(shí)現(xiàn),Tor網(wǎng)絡(luò)穩(wěn)定性較差��,傳輸速度較慢��,通信鏈路無法指定依賴于目錄服務(wù)器子網(wǎng)絡(luò)資源的自動(dòng)規(guī)劃且無法實(shí)現(xiàn)單向傳輸�����,對(duì)于普通想要構(gòu)建可控匿名通信系統(tǒng)的用戶而言并不合適����。多跳VPN通信鏈路定向,構(gòu)建繁瑣����,網(wǎng)絡(luò)外層協(xié)議特征明顯,反向追蹤難度較低�����,同時(shí)無法實(shí)現(xiàn)多向混淆流量等問題���,其安全性也較弱���。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有的匿名通信方法存在的問題�����,本發(fā)明提出了一種安全快速的匿名通信系統(tǒng)�,該系統(tǒng)對(duì)網(wǎng)絡(luò)中的所有資源進(jìn)行授權(quán)管理�����,所有接入該系統(tǒng)的網(wǎng)絡(luò)資源必須首先進(jìn)行授權(quán)認(rèn)證�����,同控制中心的通信采用公眾郵件通信實(shí)現(xiàn)其內(nèi)網(wǎng)部署��,剝離掉中繼器直接向控制中心上報(bào)其狀態(tài)��,采用監(jiān)控中心進(jìn)行主動(dòng)探測(cè)�,通信鏈路采用基于多向的UDP (UserDatagram Protocol,用戶數(shù)據(jù)報(bào)協(xié)議)穿透實(shí)現(xiàn)�����,實(shí)現(xiàn)通信端口的隨機(jī)變化���,采用鏈路多向聚合策略實(shí)現(xiàn)通信加速和混淆流量等措施�。從而實(shí)現(xiàn)相對(duì)安全的��,快速的匿名通信系統(tǒng)��。
[0006]本發(fā)明還提出了一種安全快速的匿名通信方法�,上網(wǎng)設(shè)備和控制中心雙向認(rèn)證后,控制中心根據(jù)上網(wǎng)設(shè)備的需求為其規(guī)劃出匿名鏈路���,并將鏈路加密后發(fā)給上網(wǎng)設(shè)備�����。上網(wǎng)設(shè)備解密鏈路后同中繼器集群進(jìn)行鏈路協(xié)商創(chuàng)建�����,每個(gè)中繼器均需要與上網(wǎng)設(shè)備進(jìn)行雙向認(rèn)證�,中繼器與上網(wǎng)設(shè)備協(xié)商出會(huì)話密鑰和會(huì)話端口���。
[0007]本發(fā)明采用如下技術(shù)方案:
一種安全快速的匿名網(wǎng)絡(luò)通信方法��,包括以下步驟�����,
S1:上網(wǎng)設(shè)備通過安全網(wǎng)關(guān)同控制中心進(jìn)行雙向認(rèn)證�,認(rèn)證均通過后,控制中心將自身存儲(chǔ)的鏈路服務(wù)描述信息通過安全網(wǎng)關(guān)發(fā)送給上網(wǎng)設(shè)備�����;上網(wǎng)設(shè)備根據(jù)鏈路服務(wù)描述信息����,選擇符合自己要求的信息通過安全網(wǎng)關(guān)提交給控制中心,控制中心為其規(guī)劃出鏈路后��,將鏈路數(shù)據(jù)加密后通過安全網(wǎng)關(guān)發(fā)給上網(wǎng)設(shè)備��;
52:上網(wǎng)設(shè)備使用鏈路加密數(shù)據(jù)解密后�,同中繼器集群進(jìn)行鏈路協(xié)商創(chuàng)建,首先同第一中繼器進(jìn)行雙向認(rèn)證����,認(rèn)證通過后進(jìn)行會(huì)話密鑰和會(huì)話端口的協(xié)商,協(xié)商成功后返回DH密鑰和UDP端口給上網(wǎng)設(shè)備�����;
53:上網(wǎng)設(shè)備通過同第一中繼器的協(xié)商的UDP會(huì)話端口,使用UDP繼續(xù)向下進(jìn)行鏈路創(chuàng)建����,第一中繼器接收到向下創(chuàng)建的數(shù)據(jù)包后同第二中繼器進(jìn)行步驟S2的操作協(xié)商出第一中繼器和第二中繼器的DH密鑰和UDP端口,并將DH密鑰和UDP端口返還給上網(wǎng)設(shè)備���,以此類推,繼續(xù)向下創(chuàng)建鏈路直到完成鏈路創(chuàng)建并開啟數(shù)據(jù)流會(huì)話�����;
同時(shí)�,步驟S2和步驟S3的至少一個(gè)步驟中,在通信過程中隨機(jī)切換UDP端口和協(xié)商新的共享DH密鑰���。
[0008]進(jìn)一步的�,還包括步驟S4:監(jiān)控中心通過安全網(wǎng)關(guān)向控制中心進(jìn)行授權(quán)認(rèn)證�,認(rèn)證成功后,控制中心將自己同中繼器集群的交互數(shù)據(jù)加密后通過安全網(wǎng)關(guān)傳給監(jiān)控中心��,監(jiān)控中心不作解密直接轉(zhuǎn)發(fā)給中繼器集群���,中繼器集群處理完成后將數(shù)據(jù)加密交由監(jiān)控中;L.�����、代為傳輸給控制中;L.�����、��。
[0009]更進(jìn)一步的����,步驟S1中控制中心部署在非公網(wǎng)環(huán)境。
[0010]一種安全快速的匿名網(wǎng)絡(luò)通信系統(tǒng)���,包括控制中心����、監(jiān)控中心�、安全網(wǎng)關(guān)、上網(wǎng)設(shè)備和中繼器集群��,上網(wǎng)設(shè)備通過安全網(wǎng)關(guān)與控制中心進(jìn)行雙向數(shù)據(jù)通信�����,控制中心經(jīng)過安全網(wǎng)關(guān)與監(jiān)控中心進(jìn)行雙向數(shù)據(jù)通信,監(jiān)控中心與中繼器集群進(jìn)行雙向數(shù)據(jù)通信��,上網(wǎng)設(shè)備與中繼器集群雙向數(shù)據(jù)通信��;
上網(wǎng)設(shè)備通過安全網(wǎng)關(guān)向控制中心發(fā)送認(rèn)證信息且對(duì)控制中心進(jìn)行認(rèn)證�,上網(wǎng)設(shè)備根據(jù)控制中心為其規(guī)劃出的匿名鏈路,同中繼器集群進(jìn)行匿名鏈路協(xié)商創(chuàng)建����;
控制中心對(duì)上網(wǎng)設(shè)備進(jìn)行認(rèn)證���,認(rèn)證通過后發(fā)送自身認(rèn)證信息給上網(wǎng)設(shè)備��,控制中心通過安全網(wǎng)關(guān)向上網(wǎng)設(shè)備發(fā)送創(chuàng)建匿名鏈路所需要的中繼器節(jié)點(diǎn)信息�,及根據(jù)上網(wǎng)設(shè)備反饋的要求�,為其規(guī)劃匿名鏈路;
監(jiān)控中心同控制中心進(jìn)行授權(quán)認(rèn)證��,認(rèn)證成功后��,控制中心將自己同中繼器集群的交互數(shù)據(jù)加密后通過安全網(wǎng)關(guān)傳給監(jiān)控中心���,監(jiān)控中心不作解密直接轉(zhuǎn)發(fā)給中繼器集群���,中繼器集群處理完成后將數(shù)據(jù)加密交由監(jiān)控中心代為傳輸給控制中心���;
安全網(wǎng)關(guān)用于抵御DD0S攻擊,對(duì)網(wǎng)絡(luò)訪問作審計(jì)��,保障網(wǎng)絡(luò)訪問資源的合法性和可控性�����,對(duì)網(wǎng)絡(luò)訪問產(chǎn)生憑證�;
中繼器集群包括多個(gè)中繼器,每個(gè)中繼器會(huì)事先在控制中心注冊(cè)其服務(wù)節(jié)點(diǎn)�,其部署和維護(hù)采用被動(dòng)方式。
[0011]進(jìn)一步的�,控制中心部署在非公網(wǎng)環(huán)境,采用A類通信同外部網(wǎng)絡(luò)資源進(jìn)行通信��,這在物理層級(jí)保障了控制中心的相對(duì)安全和隱蔽性���。
[0012]進(jìn)一步的���,監(jiān)控中心具有靜默和激活兩種模式,支持定時(shí)和人工切換任務(wù)狀態(tài)的功能��,當(dāng)控制中心有部署或者維護(hù)任務(wù)通過A類通信下達(dá)時(shí),監(jiān)控中心開始工作�。
[0013]更進(jìn)一步的,監(jiān)控中心是可移動(dòng)的部署在一切可以接入互聯(lián)網(wǎng)的環(huán)境下��,或固定下來通過變換VPN撥號(hào)服務(wù)器開始同中繼器集群的部署和維護(hù)任務(wù)�。
[0014]進(jìn)一步的,安全網(wǎng)關(guān)設(shè)備還具有基于TCP代理認(rèn)證機(jī)制的令牌訪問功能�����。
[0015]進(jìn)一步的���,上網(wǎng)設(shè)備通過A類通信接入到該匿名網(wǎng)絡(luò)通信系統(tǒng)���。
[0016]本發(fā)明提出了一種安全快速的匿名網(wǎng)絡(luò)系統(tǒng)�,該系統(tǒng)采用系統(tǒng)資源統(tǒng)一集中授權(quán)管理,保證網(wǎng)絡(luò)資源的合法性�����,同時(shí)能夠靈活的管理用戶和中繼節(jié)點(diǎn)��。并采用基于UDP穿透的思想����,大大提高了小范圍自建匿名系統(tǒng)的安全性及反追蹤的防護(hù)能力���,同時(shí)采用通信端口的隨機(jī)變化,以及鏈路多向聚合策略��,實(shí)現(xiàn)相對(duì)安全的匿名通信系統(tǒng)�。從不同用戶實(shí)戰(zhàn)應(yīng)用中通過調(diào)整網(wǎng)絡(luò)通信手段和部署方式實(shí)現(xiàn)了網(wǎng)絡(luò)節(jié)點(diǎn)的隱藏。對(duì)于自建匿名安全網(wǎng)絡(luò)��;對(duì)整體匿名網(wǎng)絡(luò)的安全性和私密性要求較高的領(lǐng)域��,此系統(tǒng)都能得到很好的應(yīng)用���。
[0017]本發(fā)明的方法應(yīng)用于上述系統(tǒng)��,采用本發(fā)明