一种信息安全传输代理系统的制作方法
【技术领域】
[0001]本发明涉及信息安全领域,更具体地说,涉及一种信息安全传输代理系统。
【背景技术】
[0002]开放环境之下,信息在传输过程中主要面临三个方面的安全问题,即信息泄露、信息篡改以及伪造身份。当信息经过代理前端(如客户端)与代理末端(如应用服务器)之间的安全代理设备传输时,此类问题更为严重,因为一旦代理设备被攻破控制,那么客户端经过代理设备传输的所有信息将可能被截获、复制、篡改等。对此,传统的解决方案是对传输信息进行加密、压缩后再加密(例如HTTPS,HTPP协议),因而即使代理设备被攻破,攻击者只能得到一堆加密过的信息。
[0003]然而,现有加密压缩等技术仍然存在以下两方面的严重问题:
[0004]1)当代理前端与代理末端进行公私钥认证时,认证信息需经过代理设备进行传输。如果代理设备被攻击,则其不仅可以窃取该认证信息,也可以对该认证信息进行修改。例如,被攻击的代理设备可以分别与代理前端和代理末端进行公私钥认证,而此时代理前端和代理末端则均以为和对方进行了认证,从而会形成“中间人攻击”(Man-1n-the-MiddleAttack,简称“MITM攻击”),即,被攻击的代理设备同时具备代理前端和代理末端的私钥,那么整个信息传输过程对于被攻击的代理设备来说已经和明文传输没有任何区别了。对此,现有技术仅有对Μ頂T攻击的预防措施,但并没有从根本上解决此类攻击问题,例如,对于DNS欺骗,现有技术首先检查本机的HOSTS文件,以免被攻击者加了恶意站点进去;然后确认使用的DNS服务器是否由ISP服务器提供,因为目前ISP服务器的安全性能比较好,一般水平的攻击者无法成功进入。但是,这样的预防措施对于“代理中间人攻击”而言难以见效,因为代理设备本身就是一个“中间人”角色,攻击者无需进行任何欺骗就能与受害者连接,而且代理设备不涉及MAC等因素,因而一般的防范措施均不起作用。
[0005]2)性能问题,例如,客户端的每一次请求均需与应用服务器协商传输私钥的过程,大大增加了应用服务的响应时间,使得客户端的用户体验大大降低(例如用户打开一个复杂网页需等半分钟以上时间)。
[0006]针对以上问题,中国专利申请《应用安全代理方法以及应用安全代理系统》实现了安全代理系统规模的动态扩展、性能的动态扩展和服务端多台安全代理设备的流量均衡,从而实现了安全代理系统整体的高安全性、高稳定性和高性能。其缺点是:同一个客户端请求一个服务时,需通过同一个代理设备,所以一旦该代理设备被攻击控制,那么用户的所有传输信息将被截获。此外,美国专利《Proxy for tolerating faults in high-securitysystems))公开的高安全系统中的容错代理能够提高代理系统的整体安全性,但是一旦代理系统被攻击控制,则其传输的信息仍可能被截获、更改、复制等。
【发明内容】
[0007]针对现有技术中的不足,本发明提供一种信息安全传输代理系统,其基于异构冗余、信息传输随机化、动态化设计思想,实现信息传输在代理系统中的高完整性、高保密性和高安全性的目的。
[0008]为了实现上述目的,本发明采用如下技术方案:
[0009]—种信息安全传输代理系统,连接在一发送端与一接收端之间,所述系统包括一信息传输模块、一安全监测模块、一数据库模块、一网络接口模块以及一调度控制模块,其中:
[0010]所述信息传输模块包括若干功能等价、结构相异的子传输节点,其中,各所述子传输节点两两相连并分别连接在所述发送端与所述接收端之间;
[0011]所述安全监测模块连接在所述信息传输模块与所述数据库模块之间,其设置为监测所述信息传输模块的安全状态信息,并根据所述安全状态信息生成对应于各所述子传输节点的安全情况报告并将所述安全情况报告存储至所述数据库模块中,同时定期对所述数据库模块中的安全情况报告进行分析,并在所述安全情况报告中出现预定的异常情况时向所述调度控制模块输出相应的警报报告;
[0012]所述数据库模块还与所述信息传输模块、网络接口模块和调度控制模块连接,以向所述信息传输模块、网络接口模块和调度控制模块提供所述安全情况报告;所述信息传输模块根据所述安全情况报告选择一个或多个子传输节点将所述发送端输出的信息传输至所述接收端;
[0013]所述网络接口模块还与所述发送端连接,其设置为根据所述安全情况报告随机选择一个所述子传输节点,以使所述发送端输出的信息传输至对应的所述子传输节点;
[0014]所述调度控制模块还与所述安全监测模块相连,其设置为根据所述安全情况报告和所述警报报告对所述信息传输块中对应的所述子传输节点进行相应的调度控制处理。
[0015]优选地,所述安全状态信息包括各所述子传输节点对应的接收信息个数、转发信息个数、以及是否对经过的信息进行修改、复制操作,还包括整个所述信息传输模块的接收信息总量和转发信息总量。
[0016]优选地,所述调度控制模块还设置为在所述安全监测模块输出的警报报告数量超出预定阈值时,对所述安全监测模块进行所述调度控制处理。
[0017]进一步地,所述调度控制处理包括停机、清洗、升级更新和/或重启处理。
[0018]优选地,所述网络接口模块基于webservice技术实现。
[0019]综上所述,本发明的主要特点在于信息的传输路径不确定性、系统级动态调控、元件级动态变化以及元件异构性。与现有技术相比,本发明提高了信息经过代理系统的高安全性、高保密性和高可靠性。而且即使在少量子传输节点被攻破控制的情况下,攻击者得到全部传输信息的可能性非常低(除非整个代理系统在短时间内全部被攻破控制)。
【附图说明】
[0020]图1为本发明的信息安全传输代理系统的结构示意图;
[0021]图2为图1中的信息传输模块的结构示意图;
[0022]图3为本发明一个实施例中信息正常传输的示意图;
[0023]图4为本发明另一个实施例中信息正常传输的示意图;
[0024]图5为本发明又另一个实施例中信息被拦截、篡改的示意图。
【具体实施方式】
[0025]下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进。这些都属于本发明的保护范围。
[0026]如图1所示,本发明的信息安全传输代理系统包括一信息传输模块1、一网络接口模块2、一安全监测模块3、一数据库模块4以及一调度控制模块5,该信息传输模块1连接在一发送端10与一接收端20之间。
[0027]下面分别对上述各个模块进行详细描述:
[0028]信息传输模块1包括若干功能等价结构相异的子传输节点组,且每个子传输节点组又包括若干完全相同的子传输节点。如图2所示的实施例中,信息传输模块1包括子传输节点SP1、SP2、…、SPn,其中,相同的图形代表完全相同的子传输节点(如SP1、SP2和SP7),它们属于同一个子传输节点组;不同的图形代表功能等价结构相异的子传输节点(如SP1和SP3),它们属于不同的子传输节点组。在此,功能等价结构相异的子传输节点体现了异构冗余的思想,在一个实施例中,可以通过使子传输节点的编程语言不同实现,例如,有的采用Java语言,有的采用Python语言,有的直接使用Nginx作为正向代理。应该理解,各子传输节点构成为完全有向拓扑结构(即两两相连)并分别连接在发送端10与接收端20之间,当发送端10输出的信息进入信息传输模块1后将以不可预测的路径转发至输出端。不可预测的路径是指参与的子传输节点有哪些不确定,转发顺序也不确定。
[0029]具体来说,当发送端10输出一信息时,该信息首先传输至由网络接口模块2 (在下文中详述)随机选择的一子传输节点;然后该子传输节点根据安全监测模块3(在下文中详述)反馈的其自身的安全系数,在一个合理的区间内相对随机地选择下一个子传输节点或者直接将信息传输给接收端20。为了提高安生性,当一子传输节点的安全系数较高时,那么信息传输给此子传输节点的概率可能比传输给比其安全系数较低的子传输节点的概率更高(例如占3/5)。从而,经过安全系数较高的子传输节点转发的信息量比经过安全系数较低的子传输节点转发的信息量更多。当然,为了不出现两极分化的现象,可以进行合理的区间控制,例如限制信息传输给安全系数较高的子传输节点的概率不会超过一定阈值(例如4/5) ο
[0030]图3和图4分别示出了信息正常传输的两个不同实施例,表明了信息经过的路径是不确定的。当系统安全系数较低时,信息经过的子传输节点的个数可能会较多,如图3 ;当系统安全系数较高时,可能经过的子传输节点较少,如图4。
[0031]在具体实现时,可以通过概率来相对控制信息经过子传输节点的个数,比如,接收到信息的子传输节点随机生成一个1到10之间的数,如果这个数大于4,则此子传输节点将信息转发给接收端20,否则转发给下一个子传输节点;这样信息经过一个子传输节点的概率为