的方法,能够实现相对安全、快速匿名通信。
【附图说明】
[0018]图1是本发明的实施例的系统结构示意图;
图2是本发明的实施例的链路创建示意图。
【具体实施方式】
[0019]为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
[0020]现结合附图和【具体实施方式】对本发明进一步说明,如图1所示,本发明的一种安全快速的匿名网络通信系统,包括控制中心、监控中心、安全网关、上网设备和中继器集群。上网设备通过安全网关与控制中心进行双向数据通信,控制中心经过安全网关与监控中心进行双向数据通信,监控中心与中继器集群进行双向数据通信,上网设备与中继器集群双向数据通信。
[0021]上网设备通过安全网关向控制中心发送认证信息,认证通过后且对控制中心的认证也通过,向控制中心发送链路服务请求。控制中心将自身存储的链路服务描述信息通过安全网关发送给上网设备;上网设备接收到链路服务描述信息,选择符合自己要求的链路跳转数、跨越国家数和出口国家等信息同规划链路请求一并通过安全网关提交给控制中心,控制中心规划出符合上网设备要求的匿名链路后,将链路数据加密后通过安全网关发给上网设备。在使用该匿名网络前上网设备已向控制中心注册取得了授权信息,使用匿名网络时通过安全网关向控制中心提交认证信息。
[0022]需要说明的是,该实施例对控制中心规划出的链路数据加密方式为类洋葱的封包方式。本领域技术人员可知,还可采用其他的加密方式对链路数据进行加密。
[0023]上网设备是可移动的部署在可以接入互联网的任何环境之下,通过A类通信接入到该匿名网络通信系统,控制中心首先会通过安全网关对上网设备进行授权认证,认证通过后给与链路或者令牌,链路数据采用类似于洋葱封包的方式层层加密,需由各个通信子节点解密后方能串行拨号整个匿名链路。
[0024]控制中心接收到上网设备认证信息后,对认证信息进行认证,认证通过后,控制中心将自身的认证信息发送给上网设备进行认证,认证也通过后。控制中心通过安全网关向上网设备发送创建匿名链路所需要的中继器节点信息,并及根据上网设备的要求,为其规划匿名链路。控制中心是整个匿名网络通信系统的大脑,用于管理整个系统的匿名通信节点、安全网关设备和上网设备等所有元素。实现对中继器节点的授权管理,上网设备、安全网关的注册授权,匿名链路规划和对链路进行智能调整。控制中心通过安全网关与监控中心进行双向通信,控制中心利用监控中心将交互数据传递给中继器集群,对中继器集群进行安装部署、授权认证、状态维护和证书更新等操作。控制中心部署在非公网(内网)环境,采用A类通信(邮件或者反向代理)同外部网络资源进行通信,这在物理层级保障了控制中心的相对安全和隐蔽性。
[0025]控制中心管理着上网设备和中继器集群的所有信息,它可对每个上网设备和中继器集群中的每个中继器进行禁用、激活等各种操作,灵活控制着整个匿名网络通信系统。控制中心为每个上网设备规划链路,故控制中心掌握着中继器集群中的每个中继器的使用时间和使用次数等信息,故控制中心可综合考虑中继器集群的使用情况,为上网设备规划出最合理的链路。
[0026]监控中心通过安全网关向控制中心进行授权认证,认证成功后,控制中心将自己同中继器集群的交互数据加密后通过安全网关传给监控中心,监控中心不作解密直接转发给中继器集群,中继器集群处理完成后将数据加密交由监控中心代为传输给控制中心。控制中心不直接与中继器集群进行通信,使用监控中心作为中转站。控制中心将中继器节点的更新维护信息加密后通过安全网关发送给监控中心,监控中心连接中继器节点,中继器节点和监控中心双向认证通过后,监控中心将控制中心发送的关于该中继器节点的更新维护信息不作解密直接发送给对应的中继器节点,中继器节点解密处理完成后,将结果加密发送给监控中心代为传送给控制中心。
[0027]监控中心具有静默和激活两种模式,支持定时和人工切换任务状态的功能,当控制中心有部署或者维护任务通过A类通信下达时,监控中心开始工作。监控中心是可移动的部署在一切可以接入互联网的环境下,它可以随时随地移动变换,也可以固定下来通过变换VPN拨号服务器开始同中继器的部署和维护任务。由于采用这样的一系列安全策略策略,有效的保障了整个系统资源的安全。
[0028]安全网关可以抵御DDOS (Distributed Denial of Service,分布式拒绝服务)攻击,对所有的网络访问作审计,保障网络访问资源的合法性和可控性,对网络访问产生凭证。当所有A类通信采用反向代理链接的时候其充当的是反向代理服务器的角色,当采用邮件通信时其充当安全加密角色,当采用其他第三方服务器中转时其可以直接重定向到第三方资源服务器。安全网关设备针对小型可控匿名网络而言还可以充当防火墙的角色。同时为了兼容不同平台的硬件设备,安全网关设备可以提供基于TCP代理认证机制的令牌访问功能。控制中心与上网设备和监控中心进行双向数据通信均经过安全网关,确保网络通信的安全性。
[0029]中继器集群部署在公网环境下,每个中继器会事先在控制中心注册其服务节点,其部署和维护采用被动方式,当匿名链路创建开始,每个中继器会对其服务信息进行强验证,验证通过后协商出一个变换的UDP通信端口,由于采用UDP穿透思想在通信过程中可以随机变换中继器两两之间的通信端口而网络数据传输不受影响。每当中继器同上网设备完成一组会话密钥协商后中继器,后续均采用类洋葱的封包方式进行通信,针对单包可以采用路由自由抉择思想,均衡的使用分支链路进行传输。实现多通道加密传输及混淆流量。
[0030]再次参阅图1所示,图中中继器R2至中继器R9匿名链路采用分支和聚合思想。创建链路到中继器R2节点后会自动分支成为两条辅助通道,再由中继器R9闭合。这样做可以有效避免流量定向检测手段对于链路路径的侦听和研判。同时由于采用UDP通信,多向分支可以对网络通信进行加速实现类似与P2P的加速策略。
[0031]参考图2所示,本实施例提出一种安全快速的匿名网络通信方法,运用于上述系统,包括以下步骤:
S1:上网设备通过安全网关同控制中心进行双向认证,认证均通过后,控制中心将自身存储的链路服务描述信息通过安全网关发送给上网设备;上网设备根据链路服务描述信息,选择符合自己要求的信息通过安全网关提交给控制中心,控制中心为其规划出链路后,采用类洋葱的封包方式将链路数据通过安全网关发给上网设备。
[0032]S2:上网设备使用链路加密数据解密后开始同中继器集群进行链路协商创建,首先同中继器1进行双向认证,认证通过后进行会话密钥和会话端口的协商,协商成功后返回DH密钥和UDP端口给上网设备。