基于链路选择和破碎重组的多链路传输方法及系统与流程

本发明涉及计算机信息安全技术领域，具体来说，涉及一种基于链路选择和破碎重组的多链路传输方法及系统。

背景技术：

在传统网络环境中，用户之间通信，数据包发送到交换机，并由交换机进行转发处理。如果用户发送的数据不做加密处理并发送，很可能被攻击者窃听，造成重要信息被窃取。如果用户发送的数据做了加密处理，数据以密文形式发送并在网络中传输，如果攻击者以某种方式获取到密钥并对截获的密文进行解密，仍然会造成重要信息被窃取。

针对相关技术中的问题，目前尚未提出有效的解决方案。

技术实现要素：

针对相关技术中的上述技术问题，本发明提出一种基于链路选择和破碎重组的多链路传输方法及系统，能够保证每条链路传输独立和可靠，并且兼容各类协议，具有满足用户体验和支持传统网络中的协议，最终保证用户安全的进行通信的效果。

为实现上述技术目的，本发明的技术方案是这样实现的：

一种基于链路选择和破碎重组的多链路传输方法，在用户原本网络环境中加入多链路传输设备，由所述多链路传输设备对用户数据包加解密并破碎重组转发。

进一步的，所述基于链路选择和破碎重组的多链路传输方法包括以下步骤：

S1所述多链路传输设备对用户发送的明文数据包进行加密得到密文数据包；

S2所述多链路传输设备作为发送端定时检测每条链路的状态，根据可行链路的破碎比例对所述密文数据包进行破碎转发；

S3所述多链路传输设备作为接收端接收密文数据包重组并解密完成后发送给用户。

进一步的，步骤S2包括：

S21每个多链路传输设备都会创建并维护一个设备信息表，其中包括链路状态是否可用、破碎比例；

S22从整个设备信息表里选择出状态为可用的链路信息，存放入另外一张新信息表中；

S23根据新信息表中可用链路数量，申请同样多新内存区域准备存放破碎的数据包。

进一步的，步骤S2包括：

S24根据新信息表中每条链路的破碎比例，将数据包按字节操作，每次取出各链路上破碎比例值个字节存入相应的新内存区域，直到把数据包所有字节都分配完成。

进一步的，步骤S2包括：

S25为每个破碎数据包加入包头信息，其中包括该条链路的破碎比例值、破碎数据包顺序、破碎数据包总个数信息，然后将封装好的破碎数据包发送出去。

进一步的，步骤S21包括：

如果链路状态发生变化或链路的破碎比例发生变化，则更新设备信息表。

进一步的，步骤S3包括：

S31接收端接收到每个数据包，会首先将头部信息中的数据包顺序、破碎比例值、数据包总个数存入新的内存中，然后将去掉数据包头的数据部分存入一个哈希表中。

进一步的，步骤S3包括：

S32如果定时器时间结束，数据包还没有全部接收，说明有数据包丢失，则丢弃所有收到的数据包。

进一步的，步骤S3包括：

S33如果所有破碎数据包全部接收完毕，则会根据每条链路的破碎比例值，按顺序从每个数据包中读破碎比例值个字节依次写入新的一个数据包内，直到每条链路的所有字节都写入新数据包内存；

S34将重组完成的数据包进行下一步转发。

另一方面，一种基于链路选择和破碎重组的多链路传输系统，其包括：

多链路传输设备，其被加入到用户原本网络环境中，用于对用户数据包加解密并破碎重组转发，其中，所述多链路传输设备对用户发送的明文数据包进行加密得到密文数据包；所述多链路传输设备作为发送端定时检测每条链路的状态，根据可行链路的破碎比例对所述密文数据包进行破碎转发；以及所述多链路传输设备作为接收端接收密文数据包重组并解密完成后发送给用户。

本发明的有益效果：本发明为了防止用户信息被窃取，在用户之间加入多链路传输设备转发接收用户数据，能够保证每条链路传输独立和可靠，并且兼容各类协议，具有满足用户体验和支持传统网络中的协议，最终保证用户安全的进行通信的效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例所述的基于链路选择和破碎重组的多链路传输方法的流程图；

图2是根据本发明实施例的发送端数据包破碎处理流程图；

图3是根据本发明实施例的接收端数据包重组处理流程图；

图4是根据本发明实施例的直通模式的网络拓扑图；

图5是根据本发明实施例的多链路模式的网络拓扑图；

图6是根据本发明实施例的数据包破碎重组的示意图；

图7是根据本发明实施例的基于port广播解决网络地址同步以及基于icmp包进行链路状况探测的示意图；

图8是根据本发明实施例的公网通信的网络拓扑图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。

如图1-8所示，根据本发明实施例所述的一种基于链路选择和破碎重组的多链路传输方法，在用户原本网络环境中加入多链路传输设备，由所述多链路传输设备对用户数据包加解密并破碎重组转发。

其中，所述基于链路选择和破碎重组的多链路传输方法包括以下步骤：

S1所述多链路传输设备对用户发送的明文数据包进行加密得到密文数据包；

S2所述多链路传输设备作为发送端定时检测每条链路的状态，根据可行链路的破碎比例对所述密文数据包进行破碎转发；

S3所述多链路传输设备作为接收端接收密文数据包重组并解密完成后发送给用户。

优选的，步骤S2进一步包括：

S21每个多链路传输设备都会创建并维护一个设备信息表，其中包括链路状态是否可用、破碎比例；

S22从整个设备信息表里选择出状态为可用的链路信息，存放入另外一张新信息表中；

S23根据新信息表中可用链路数量，申请同样多新内存区域准备存放破碎的数据包。

优选的，步骤S2进一步包括：

S24根据新信息表中每条链路的破碎比例，将数据包按字节操作，每次取出各链路上破碎比例值个字节存入相应的新内存区域，直到把数据包所有字节都分配完成。

优选的，步骤S2进一步包括：

S25为每个破碎数据包加入包头信息，其中包括该条链路的破碎比例值、破碎数据包顺序、破碎数据包总个数信息，然后将封装好的破碎数据包发送出去。

优选的，步骤S21进一步包括：

如果链路状态发生变化或链路的破碎比例发生变化，则更新设备信息表。

优选的，步骤S3进一步包括：

S31接收端接收到每个数据包，会首先将头部信息中的数据包顺序、破碎比例值、数据包总个数存入新的内存中，然后将去掉数据包头的数据部分存入一个哈希表中。

优选的，步骤S3进一步包括：

S32如果定时器时间结束，数据包还没有全部接收，说明有数据包丢失，则丢弃所有收到的数据包。

优选的，步骤S3进一步包括：

S33如果所有破碎数据包全部接收完毕，则会根据每条链路的破碎比例值，按顺序从每个数据包中读破碎比例值个字节依次写入新的一个数据包内，直到每条链路的所有字节都写入新数据包内存；

S34将重组完成的数据包进行下一步转发。

另一方面，一种基于链路选择和破碎重组的多链路传输系统，其包括：

多链路传输设备，其被加入到用户原本网络环境中，用于对用户数据包加解密并破碎重组转发，其中，所述多链路传输设备对用户发送的明文数据包进行加密得到密文数据包；所述多链路传输设备作为发送端定时检测每条链路的状态，根据可行链路的破碎比例对所述密文数据包进行破碎转发；以及所述多链路传输设备作为接收端接收密文数据包重组并解密完成后发送给用户。

根据发明所述的一种基于链路选择和破碎重组的多链路传输方法，多链路传输设备一方面对用户发送的明文数据包进行加密得到密文数据包，另一方面定时检测每条链路的状态，根据可行链路的破碎比例对密文数据包进行破碎转发。对端多链路设备接收密文数据包重组并解密完成后发送给用户。即使攻击者对链路进行窃听，也只是截获了破碎后的密文数据包，并且由于截获的密文数据不完整，无法进行解密，从而保护用户的重要信息不被攻击者获悉。

随着信息化的高速发展，越来越多的企业注重于通信安全以及数据安全，对企业来说，数据是企业的生命。如何保护企业的数据传输过程中不被竞争对手获取或被黑客截获曝光同时保证数据的私密性，是目前企业具有挑战性的难题。本产品对传输的数据进行破碎等安全性的处理，有效地保护了传输数据的安全，适用于对数据安全要求性高的企业。

本发明基于《一种基于文件破碎加密的文档安全保护方法》的专利技术，将破碎后数据进行多链路传输，使得链路上传输的信息无意义，提高了数据的安全性；支持多路并行传输，使得每条链路的数据均不完整，有效抵抗了链路嗅探、窃听及运营商泄密带来的安全风险；采用SM2、SM4算法对数据进行加密及身份认证；兼容众多协议，如：FTP、ICMP等；支持使用3G、4G网络组成多链路网络；支持智能组网，自动识别加入网络的产品；支持多链路模式与直通模式切换。

下面对本发明所涉及的多链路传输设备及应用方法作进一步说明：

1、直通模式

在用户原本网络环境正常通信的情况下，加入多链路数据安全传输设备后，不对用户体验或者传统网络中的TCP/IP协议应用造成影响。在直通模式下，多链路数据安全传输设备相当于在原本网络中的一个交换机。

2、多链路模式

客户机器连接到多链路数据安全传输设备的指定入网口，设备默认是开启多链路模式。在物理上，客户机与多链路安全传输设备直连，多链路数据安全传输设备在同一个网络中。客户机在与连接另一多链路数据安全传输设备的客户机数据通信时，数据均由多链路数据安全传输设备加密并破碎转发，另一端的多链路设备接收完全后，重组并解密转发给客户机。

3、密钥协商

为了保护在多链路数据安全传输设备之间传输的数据，让数据安全的在网络上传输，因此在设备上对数据进行加密，加密完成后破碎转发。本设备里，使用了符合国家密码管理局标准的硬件加密卡，使用商用密码算法加密数据。

基于TLS协议并结合加密卡，在通信双方完成了密钥协商功能，在通信的设备双方生成会话密钥。使用硬件加密卡中的公私钥对，生成证书，用于TLS协议中确认双方身份，确保通信的双方是合法的。待双方身份验证通过之后，交换必要的参数，在双方生成会话密钥。

4、破碎重组

数据在多链路数据安全设备中完成加密之后，多链路数据安全设备对密文数据进行破碎并转发。多链路数据安全设备结合各条链路的传输比例、按字节破碎。根据可用的链路数以及链路的比例，申请相应的内存空间，将破碎的字节数存放至对应的内存空间中，待破碎全部完成后，将破碎后得到的多份数据分别从对应的链路转发。

在多链路数据安全设备中的接收模块，设置一个定时器，从接收到破碎的第一个破碎的数据包开始计时，若超出定时器时间，破碎包碎片未完成到达，则会将收到的这部分碎片包丢弃。定时器时间内，收到全部的碎片包，使用按字节破碎算法的逆运算将数据重组。重组完成后，解密转发给客户机。

将数据破碎，由多条链路转发，某条链路数据被监听后，监听到的仅是破碎后的混淆、无意义的密文数据并且无法解密，通过多链路数据安全设备破碎数据，提升了数据的安全性。

5、设备感知

当用户通过用户界面或者管理员进行配置后造成网络配置发生变化,此时需要通知当前网络中所有多链路设备进行更新操作。同时由于网络会出现异常状况,需要定期检查多条链路当前状况,选择正常的链路,以避免数据包发送到不正常的链路上。

设计中，通过算法进行多链路设备之间的协商，进而确定出设备唯一编号,并在每台多链路设备上有个DHCP服务为客户端分配IP，使客户端做到即插即用，避免繁琐的IP设置影响用户体验，同时避免了由于自由度过大而需要对多链路设备后端的用户进行探测和建立复杂的映射关系。将重点集中在多链路功能性,可靠性和安全性等方面。主要工作也就是维护所有多链路设备间的网络信息。

当用户数据经过多链路设备时，由于目标IP是多链路设备分配的，所以可以根据目标IP确定数据要发送到的多链路设备，将破碎数据包分别从多链路设备的多条链路发送出去，由于网络状态的不可预知可能会导致某条或者某几条链路不能正常通信，所以必须通过一定机制让程序感知到当前所有链路网络状况，避免破碎数据包通过不正常链路发送导致数据包完整性破坏。针对上述两个问题，我们通过port广播方式来解决网络地址同步，通过发送icmp包进行链路状况探测。

6、公网通信

公网通信是为了能够使用运营商的3G/4G网络通信。在公网中搭建一台VPN Server服务器，并且在多链路设备中使用3G/4G网络连接VPN Server建立安装通道，同时获取到Server分配的虚拟IP地址，对于此虚拟网口使用方式与物理网口同样当做多链路的一条链路使用。

综上所述，借助于本发明的上述技术方案，本发明为了防止用户信息被窃取，在用户之间加入多链路传输设备转发接收用户数据，能够保证每条链路传输独立和可靠，并且兼容各类协议，具有满足用户体验和支持传统网络中的协议，最终保证用户安全的进行通信的效果。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。