一種安全快速的匿名網(wǎng)絡通信方法及系統(tǒng)的制作方法
【技術(shù)領域】
[0001 ] 本發(fā)明屬于網(wǎng)絡安全通信技術(shù)領域�,具體涉及一種安全快速的匿名網(wǎng)絡通信方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著計算機網(wǎng)絡通信技術(shù)的發(fā)展����,網(wǎng)絡已深入到個人生活和商業(yè)行為中�����,如個人社交應用���,個人網(wǎng)上支付��,公司商業(yè)來往通信等�����,于是網(wǎng)絡通信安全問題就變得愈發(fā)重要���。為此廣大的網(wǎng)絡通信技術(shù)人員開始采用像VPN�����,TBSG等傳統(tǒng)的信息加密手段來實現(xiàn)信息的加密通信���,這在一定程度上保障了大多數(shù)網(wǎng)絡應用的通信數(shù)據(jù)的安全,但是無法隱藏通信雙方的關(guān)系�。于是怎樣隱藏通信雙方的關(guān)系,變成了當前網(wǎng)絡安全問題的一個新的分支��。
[0003]隨著斯諾登事件的爆發(fā),另一個安全領域的工具Tor (The On1n Router)聞名于世����,然而Tor的實現(xiàn)方式是基于大范圍的混淆流量和分布全球的匿名接點來增加網(wǎng)絡追蹤的復雜程度,從而實現(xiàn)相對的匿名通信�。但是通信鏈路的穩(wěn)定性較差,鏈路通信的路徑隨機��,無法實現(xiàn)單向傳輸����,通信端口固定等問題這在一定程度上降低了匿名通信系統(tǒng)針對不同需求的可用性,同時由于Tor的所有網(wǎng)絡資源秉承我為人人����,人人為我的思想,對于想要構(gòu)建可信的快速的匿名網(wǎng)絡系統(tǒng)而言并不適合���。
[0004]目前基于小范圍的匿名通信大都通過Tor或者采用多跳VPN實現(xiàn)���,Tor網(wǎng)絡穩(wěn)定性較差,傳輸速度較慢��,通信鏈路無法指定依賴于目錄服務器子網(wǎng)絡資源的自動規(guī)劃且無法實現(xiàn)單向傳輸�����,對于普通想要構(gòu)建可控匿名通信系統(tǒng)的用戶而言并不合適。多跳VPN通信鏈路定向�,構(gòu)建繁瑣,網(wǎng)絡外層協(xié)議特征明顯�����,反向追蹤難度較低�,同時無法實現(xiàn)多向混淆流量等問題,其安全性也較弱�����。
【發(fā)明內(nèi)容】
[0005]針對現(xiàn)有的匿名通信方法存在的問題��,本發(fā)明提出了一種安全快速的匿名通信系統(tǒng)���,該系統(tǒng)對網(wǎng)絡中的所有資源進行授權(quán)管理,所有接入該系統(tǒng)的網(wǎng)絡資源必須首先進行授權(quán)認證�,同控制中心的通信采用公眾郵件通信實現(xiàn)其內(nèi)網(wǎng)部署,剝離掉中繼器直接向控制中心上報其狀態(tài)��,采用監(jiān)控中心進行主動探測���,通信鏈路采用基于多向的UDP (UserDatagram Protocol��,用戶數(shù)據(jù)報協(xié)議)穿透實現(xiàn)�����,實現(xiàn)通信端口的隨機變化�,采用鏈路多向聚合策略實現(xiàn)通信加速和混淆流量等措施。從而實現(xiàn)相對安全的��,快速的匿名通信系統(tǒng)���。
[0006]本發(fā)明還提出了一種安全快速的匿名通信方法�,上網(wǎng)設備和控制中心雙向認證后����,控制中心根據(jù)上網(wǎng)設備的需求為其規(guī)劃出匿名鏈路,并將鏈路加密后發(fā)給上網(wǎng)設備���。上網(wǎng)設備解密鏈路后同中繼器集群進行鏈路協(xié)商創(chuàng)建����,每個中繼器均需要與上網(wǎng)設備進行雙向認證,中繼器與上網(wǎng)設備協(xié)商出會話密鑰和會話端口�。
[0007]本發(fā)明采用如下技術(shù)方案:
一種安全快速的匿名網(wǎng)絡通信方法,包括以下步驟�,
S1:上網(wǎng)設備通過安全網(wǎng)關(guān)同控制中心進行雙向認證,認證均通過后����,控制中心將自身存儲的鏈路服務描述信息通過安全網(wǎng)關(guān)發(fā)送給上網(wǎng)設備;上網(wǎng)設備根據(jù)鏈路服務描述信息�,選擇符合自己要求的信息通過安全網(wǎng)關(guān)提交給控制中心,控制中心為其規(guī)劃出鏈路后�,將鏈路數(shù)據(jù)加密后通過安全網(wǎng)關(guān)發(fā)給上網(wǎng)設備;
52:上網(wǎng)設備使用鏈路加密數(shù)據(jù)解密后�����,同中繼器集群進行鏈路協(xié)商創(chuàng)建���,首先同第一中繼器進行雙向認證,認證通過后進行會話密鑰和會話端口的協(xié)商�����,協(xié)商成功后返回DH密鑰和UDP端口給上網(wǎng)設備�����;
53:上網(wǎng)設備通過同第一中繼器的協(xié)商的UDP會話端口,使用UDP繼續(xù)向下進行鏈路創(chuàng)建�,第一中繼器接收到向下創(chuàng)建的數(shù)據(jù)包后同第二中繼器進行步驟S2的操作協(xié)商出第一中繼器和第二中繼器的DH密鑰和UDP端口,并將DH密鑰和UDP端口返還給上網(wǎng)設備���,以此類推�,繼續(xù)向下創(chuàng)建鏈路直到完成鏈路創(chuàng)建并開啟數(shù)據(jù)流會話����;
同時,步驟S2和步驟S3的至少一個步驟中�����,在通信過程中隨機切換UDP端口和協(xié)商新的共享DH密鑰�。
[0008]進一步的,還包括步驟S4:監(jiān)控中心通過安全網(wǎng)關(guān)向控制中心進行授權(quán)認證����,認證成功后,控制中心將自己同中繼器集群的交互數(shù)據(jù)加密后通過安全網(wǎng)關(guān)傳給監(jiān)控中心����,監(jiān)控中心不作解密直接轉(zhuǎn)發(fā)給中繼器集群,中繼器集群處理完成后將數(shù)據(jù)加密交由監(jiān)控中;L.、代為傳輸給控制中;L.�、。
[0009]更進一步的�,步驟S1中控制中心部署在非公網(wǎng)環(huán)境。
[0010]一種安全快速的匿名網(wǎng)絡通信系統(tǒng)�,包括控制中心、監(jiān)控中心��、安全網(wǎng)關(guān)�����、上網(wǎng)設備和中繼器集群����,上網(wǎng)設備通過安全網(wǎng)關(guān)與控制中心進行雙向數(shù)據(jù)通信,控制中心經(jīng)過安全網(wǎng)關(guān)與監(jiān)控中心進行雙向數(shù)據(jù)通信�,監(jiān)控中心與中繼器集群進行雙向數(shù)據(jù)通信,上網(wǎng)設備與中繼器集群雙向數(shù)據(jù)通信��;
上網(wǎng)設備通過安全網(wǎng)關(guān)向控制中心發(fā)送認證信息且對控制中心進行認證���,上網(wǎng)設備根據(jù)控制中心為其規(guī)劃出的匿名鏈路,同中繼器集群進行匿名鏈路協(xié)商創(chuàng)建��;
控制中心對上網(wǎng)設備進行認證,認證通過后發(fā)送自身認證信息給上網(wǎng)設備�,控制中心通過安全網(wǎng)關(guān)向上網(wǎng)設備發(fā)送創(chuàng)建匿名鏈路所需要的中繼器節(jié)點信息,及根據(jù)上網(wǎng)設備反饋的要求��,為其規(guī)劃匿名鏈路����;
監(jiān)控中心同控制中心進行授權(quán)認證,認證成功后���,控制中心將自己同中繼器集群的交互數(shù)據(jù)加密后通過安全網(wǎng)關(guān)傳給監(jiān)控中心����,監(jiān)控中心不作解密直接轉(zhuǎn)發(fā)給中繼器集群��,中繼器集群處理完成后將數(shù)據(jù)加密交由監(jiān)控中心代為傳輸給控制中心��;
安全網(wǎng)關(guān)用于抵御DD0S攻擊����,對網(wǎng)絡訪問作審計,保障網(wǎng)絡訪問資源的合法性和可控性�,對網(wǎng)絡訪問產(chǎn)生憑證;
中繼器集群包括多個中繼器�,每個中繼器會事先在控制中心注冊其服務節(jié)點�����,其部署和維護采用被動方式�。
[0011]進一步的�,控制中心部署在非公網(wǎng)環(huán)境,采用A類通信同外部網(wǎng)絡資源進行通信����,這在物理層級保障了控制中心的相對安全和隱蔽性。
[0012]進一步的����,監(jiān)控中心具有靜默和激活兩種模式,支持定時和人工切換任務狀態(tài)的功能�����,當控制中心有部署或者維護任務通過A類通信下達時���,監(jiān)控中心開始工作���。
[0013]更進一步的,監(jiān)控中心是可移動的部署在一切可以接入互聯(lián)網(wǎng)的環(huán)境下�,或固定下來通過變換VPN撥號服務器開始同中繼器集群的部署和維護任務。
[0014]進一步的�,安全網(wǎng)關(guān)設備還具有基于TCP代理認證機制的令牌訪問功能。
[0015]進一步的����,上網(wǎng)設備通過A類通信接入到該匿名網(wǎng)絡通信系統(tǒng)。
[0016]本發(fā)明提出了一種安全快速的匿名網(wǎng)絡系統(tǒng)��,該系統(tǒng)采用系統(tǒng)資源統(tǒng)一集中授權(quán)管理�����,保證網(wǎng)絡資源的合法性����,同時能夠靈活的管理用戶和中繼節(jié)點。并采用基于UDP穿透的思想��,大大提高了小范圍自建匿名系統(tǒng)的安全性及反追蹤的防護能力�����,同時采用通信端口的隨機變化��,以及鏈路多向聚合策略�,實現(xiàn)相對安全的匿名通信系統(tǒng)�����。從不同用戶實戰(zhàn)應用中通過調(diào)整網(wǎng)絡通信手段和部署方式實現(xiàn)了網(wǎng)絡節(jié)點的隱藏����。對于自建匿名安全網(wǎng)絡���;對整體匿名網(wǎng)絡的安全性和私密性要求較高的領域���,此系統(tǒng)都能得到很好的應用。
[0017]本發(fā)明的方法應用于上述系統(tǒng)�����,采用本發(fā)明