一种安全快速的匿名网络通信方法及系统的制作方法

一种安全快速的匿名网络通信方法及系统的制作方法
【技术领域】
[0001 ] 本发明属于网络安全通信技术领域，具体涉及一种安全快速的匿名网络通信方法及系统。
【背景技术】
[0002]随着计算机网络通信技术的发展，网络已深入到个人生活和商业行为中，如个人社交应用，个人网上支付，公司商业来往通信等，于是网络通信安全问题就变得愈发重要。为此广大的网络通信技术人员开始采用像VPN，TBSG等传统的信息加密手段来实现信息的加密通信，这在一定程度上保障了大多数网络应用的通信数据的安全，但是无法隐藏通信双方的关系。于是怎样隐藏通信双方的关系，变成了当前网络安全问题的一个新的分支。
[0003]随着斯诺登事件的爆发，另一个安全领域的工具Tor (The On1n Router)闻名于世，然而Tor的实现方式是基于大范围的混淆流量和分布全球的匿名接点来增加网络追踪的复杂程度，从而实现相对的匿名通信。但是通信链路的稳定性较差，链路通信的路径随机，无法实现单向传输，通信端口固定等问题这在一定程度上降低了匿名通信系统针对不同需求的可用性，同时由于Tor的所有网络资源秉承我为人人，人人为我的思想，对于想要构建可信的快速的匿名网络系统而言并不适合。
[0004]目前基于小范围的匿名通信大都通过Tor或者采用多跳VPN实现，Tor网络稳定性较差，传输速度较慢，通信链路无法指定依赖于目录服务器子网络资源的自动规划且无法实现单向传输，对于普通想要构建可控匿名通信系统的用户而言并不合适。多跳VPN通信链路定向，构建繁琐，网络外层协议特征明显，反向追踪难度较低，同时无法实现多向混淆流量等问题，其安全性也较弱。

【发明内容】

[0005]针对现有的匿名通信方法存在的问题，本发明提出了一种安全快速的匿名通信系统，该系统对网络中的所有资源进行授权管理，所有接入该系统的网络资源必须首先进行授权认证，同控制中心的通信采用公众邮件通信实现其内网部署，剥离掉中继器直接向控制中心上报其状态，采用监控中心进行主动探测，通信链路采用基于多向的UDP (UserDatagram Protocol，用户数据报协议)穿透实现，实现通信端口的随机变化，采用链路多向聚合策略实现通信加速和混淆流量等措施。从而实现相对安全的，快速的匿名通信系统。
[0006]本发明还提出了一种安全快速的匿名通信方法，上网设备和控制中心双向认证后，控制中心根据上网设备的需求为其规划出匿名链路，并将链路加密后发给上网设备。上网设备解密链路后同中继器集群进行链路协商创建，每个中继器均需要与上网设备进行双向认证，中继器与上网设备协商出会话密钥和会话端口。
[0007]本发明采用如下技术方案:
一种安全快速的匿名网络通信方法，包括以下步骤，
S1:上网设备通过安全网关同控制中心进行双向认证，认证均通过后，控制中心将自身存储的链路服务描述信息通过安全网关发送给上网设备；上网设备根据链路服务描述信息，选择符合自己要求的信息通过安全网关提交给控制中心，控制中心为其规划出链路后，将链路数据加密后通过安全网关发给上网设备；
52:上网设备使用链路加密数据解密后，同中继器集群进行链路协商创建，首先同第一中继器进行双向认证，认证通过后进行会话密钥和会话端口的协商，协商成功后返回DH密钥和UDP端口给上网设备；
53:上网设备通过同第一中继器的协商的UDP会话端口，使用UDP继续向下进行链路创建，第一中继器接收到向下创建的数据包后同第二中继器进行步骤S2的操作协商出第一中继器和第二中继器的DH密钥和UDP端口，并将DH密钥和UDP端口返还给上网设备，以此类推，继续向下创建链路直到完成链路创建并开启数据流会话；
同时，步骤S2和步骤S3的至少一个步骤中，在通信过程中随机切换UDP端口和协商新的共享DH密钥。
[0008]进一步的，还包括步骤S4:监控中心通过安全网关向控制中心进行授权认证，认证成功后，控制中心将自己同中继器集群的交互数据加密后通过安全网关传给监控中心，监控中心不作解密直接转发给中继器集群，中继器集群处理完成后将数据加密交由监控中;L.、代为传输给控制中;L.、。
[0009]更进一步的，步骤S1中控制中心部署在非公网环境。
[0010]一种安全快速的匿名网络通信系统，包括控制中心、监控中心、安全网关、上网设备和中继器集群，上网设备通过安全网关与控制中心进行双向数据通信，控制中心经过安全网关与监控中心进行双向数据通信，监控中心与中继器集群进行双向数据通信，上网设备与中继器集群双向数据通信；
上网设备通过安全网关向控制中心发送认证信息且对控制中心进行认证，上网设备根据控制中心为其规划出的匿名链路，同中继器集群进行匿名链路协商创建；
控制中心对上网设备进行认证，认证通过后发送自身认证信息给上网设备，控制中心通过安全网关向上网设备发送创建匿名链路所需要的中继器节点信息，及根据上网设备反馈的要求，为其规划匿名链路；
监控中心同控制中心进行授权认证，认证成功后，控制中心将自己同中继器集群的交互数据加密后通过安全网关传给监控中心，监控中心不作解密直接转发给中继器集群，中继器集群处理完成后将数据加密交由监控中心代为传输给控制中心；
安全网关用于抵御DD0S攻击，对网络访问作审计，保障网络访问资源的合法性和可控性，对网络访问产生凭证；
中继器集群包括多个中继器，每个中继器会事先在控制中心注册其服务节点，其部署和维护采用被动方式。
[0011]进一步的，控制中心部署在非公网环境，采用A类通信同外部网络资源进行通信，这在物理层级保障了控制中心的相对安全和隐蔽性。
[0012]进一步的，监控中心具有静默和激活两种模式，支持定时和人工切换任务状态的功能，当控制中心有部署或者维护任务通过A类通信下达时，监控中心开始工作。
[0013]更进一步的，监控中心是可移动的部署在一切可以接入互联网的环境下，或固定下来通过变换VPN拨号服务器开始同中继器集群的部署和维护任务。
[0014]进一步的，安全网关设备还具有基于TCP代理认证机制的令牌访问功能。
[0015]进一步的，上网设备通过A类通信接入到该匿名网络通信系统。
[0016]本发明提出了一种安全快速的匿名网络系统，该系统采用系统资源统一集中授权管理，保证网络资源的合法性，同时能够灵活的管理用户和中继节点。并采用基于UDP穿透的思想，大大提高了小范围自建匿名系统的安全性及反追踪的防护能力，同时采用通信端口的随机变化，以及链路多向聚合策略，实现相对安全的匿名通信系统。从不同用户实战应用中通过调整网络通信手段和部署方式实现了网络节点的隐藏。对于自建匿名安全网络；对整体匿名网络的安全性和私密性要求较高的领域，此系统都能得到很好的应用。
[0017]本发明的方法应用于上述系统，采用本发明