本发明专利技术公开了一种可信网络通信方法和系统,在区块链网络为每个通信程序注册合约账号,登记可执行文件特征值和其他版本信息,在区块链网络为每个信任机注册合约账号,对信任机功能进行扩展,增加网络驱动程序执行模块,信任机启动时,会根据不同平台加载对应版本的网络驱动程序,网络驱动程序在不改变现有网络程序通信协议情况下,通过驱动层核心转发,实现了通过双方信任机的透明代理,由于双方通信都是通过信任机透明实现的,这也就使信任机对通信程序身份识别和验证变得非常简单,通过双方信任机的安全验证和权限检查,实现了一种可信可控制的安全通信系统。信可控制的安全通信系统。
【技术实现步骤摘要】
一种可信网络通信方法和系统
[0001]本专利技术涉及一种基于区块链的可信网络通信方法和系统。
技术介绍
[0002]网络通信涉及到各种终端节点上程序之间的通信,在完全不改变现有网络通信协议的情况下,如何做到网络通信时,彼此双方可以完全可信任地通信,不仅仅要满足通信协议兼容,而且要让对方通信程序的可执行文件版本符合通信要求,如可执行文件没有被恶意篡改、感染病毒等,目前还没有更好的办法实现,一种基于区块链的物联网安全通信方法和系统(专利申请号:2020114581975),在这方面提供了一种实现途径,但该途径需要修改现有网络通信程序协议,对于已在运行的不支持代理通信配置的程序适用性有一定限制。
技术实现思路
[0003]本专利技术所要解决的技术问题是,借助区块链网络支持,每个通信程序均在区块链上注册合约账号,通过一种去中心化信任机实现方法和系统(专利申请号:2020111511913)支持,让网络通信双方均通过信任机网络进行通信,因为接入信任机网络会进行严格的身份和权限验证,这样保证通信双方能基于可视化方式进行可信任的通信,本专利技术实现了在不修改任何现有网络通信协议情况下,实现了基于信任机网络的安全通信,是对原有一种基于区块链的物联网安全通信方法和系统(专利申请号:2020114581975)一个非常巨大的改进,该专利需要通信程序支持代理配置,而本专利控制完全透明,便于快速普及推广。
[0004]为解决上述技术问题,本专利技术的技术方案如下:一种可信网络通信方法,包括以下步骤:在区块链网络为每个通信程序注册合约账号,登记可执行文件特征值和其他版本信息;在区块链网络为每个信任机注册合约账号;对信任机功能进行扩展,增加网络驱动程序执行模块,信任机启动时,会根据不同平台加载对应版本的网络驱动程序;网络驱动程序功能流程:配置网络TCP和UDP转换端口:为空则所有TCP和UDP端口都要做转换操作;配置信任机TCP和UDP转换方案:设置信任机发送给本地的包转换,发送给远程节点的包不转换;对网络通信TCP和UDP包发送接口进行转换;发送TCP包转换,检查发送地址和TCP端口,检查端口转换配置,如需要转换,在缓存中检查地址映射条目,在第一次握手连接时候,缓存是空的,这时要创建一个映射缓存条目,该条目包括{源端口,目的端口,目的IP,请求序号,确认序号,转换源端口,转换请求序号,转换确认序号},源端口加TCP字符前缀做KEY值索引,信任机会有一个固定的TCP代理端口接收地址映射转发过来的包,因此转换目的端口就不用每个条目保存,一旦完成三次握
手连接后,网络驱动程序会给信任机服务端口发送一个地址转换包,告诉信任机指定的连接需要转发的目的地址和端口,同时,信任机TCP代理端口完成三次握手后,会把从服务端口接收的地址转换包,封装到后续的每个包头中一块发送,地址转换包内容包括{目的端口,目的IP,转换源端口,TCP类型},信任机通过转换源端口加TCP字符前缀做KEY值索引,后续通信本地发送的包,都会被网络驱动程序转发给信任机,信任机再代理发送的目的信任机,由目的信任机跟目的服务程序建立连接,建起一条代理加密通道,接收到返回包以后,也是先转发到网络驱动程序,再转发到本地通信程序;发送UDP包转换,检查发送地址和UDP端口,检查端口转换配置,如需要转换,在缓存中检查地址映射条目,在第一次连接时候,缓存是空的,这时要创建一个映射缓存条目,该条目包括{源端口,目的端口,目的IP,转换源端口,UDP类型 },源端口加UDP字符前缀做KEY值索引,信任机会有一个固定的UDP代理端口接收地址映射转发过来的包,因此转换目的端口就不用每个条目保存,创建条目时候网络驱动程序会给信任机服务端口发送一个地址转换包,告诉信任机指定的连接需要转发的目的地址和端口,同时,信任机会把服务端口接收的地址转换包封装到后续的每个包头中一块发送,地址转换包内容包括{目的端口,目的IP,转换源端口,UDP类型},信任机通过转换源端口加UDP字符前缀做KEY值索引,后续通信本地发送的包,都会被网络驱动程序转发给信任机,目的信任机再发起代理连接,接收到返回包以后,也是先转发到网络驱动程序,再转发到本地通信程序;本地信任机安全检查,本地信任机收到本地通信程序代理请求后,通过本地通信端口获取到对应的进程信息,通过进程内容哈希特征值,从区块链网络获取对应的合约账号,下载合约账号登记的可执行文件特征码,跟当前可执行文件进行匹配,确认当前通信程序在区块链登记后,没有被改动或被病毒感染,保证了身份的真实可信;本地信任机权限检查,检查信任机对通信服务程序合约账号是否有访问控制,如有,确认本地通信程序合约账号是否有权限连接,确认通过才能建立连接;目的信任机TCP代理包处理,信任机接收到TCP代理包后,解析包头,检查本地缓存条目,缓存内容为{目的IP,目的端口,转换源端口,源端口,源IP,TCP类型},以源端口加TCP字符前缀为KEY值索引,如果不存在,跟本地目的端口建立连接,连接建立成功后,创建缓存条目,把代理包发送给本地服务器,把从服务器接收的信息封装到一个响应包中,该包头包含地址转换信息,发送给请求信任机,这样双方通信程序通过双方节点上的信任机就建立了一个私密的TCP通道;目的信任机UDP代理包处理,信任机接收到UDP代理包后,解析包头,检查本地缓存条目,缓存内容为{目的IP,目的端口,转换源端口,源端口,源IP },以转换源端口加UDP字符前缀为KEY值索引,把消息内容转发给对应的UDP服务端口,把从UDP服务端口接收的信息封装到一个响应包中,该包头包含地址转换信息,发送给请求信任机,这样双方通信程序通过双方节点上的信任机就建立了一个私密的UDP通道。
[0005]这样,通过信任机网络驱动程序的转发,信任机安全检查和访问权限检查,在现有通信程序不做任何改变情况下,实现了一种可信网络通信方法。
[0006]一种可信网络通信系统,包括:在区块链网络为每个通信程序注册合约账号,登记可执行文件特征值和其他版本信息,在区块链网络为每个信任机注册合约账号,对信任机功能进行扩展,增加网络驱动程序执行模块,信任机启动时,会根据不同平台加载对应版本
的网络驱动程序,网络驱动程序在不改变现有网络程序通信协议情况下,通过驱动层核心地址转换,实现了通过双方信任机的透明代理,由于双方通信都是通过信任机透明实现的,这也就使信任机对通信程序身份识别和验证变得非常简单,通过双方信任机的安全验证和权限检查,实现了一种可信可控制的安全通信系统。
附图说明
[0007]图1是本专利技术的可信网络通信方法和系统中的一次连接请求处理流程。
具体实施方式
[0008]下面根据附图,给出本专利技术的较佳实施例,并予以详细描述,使能更好地理解本专利技术的功能、特点。
[0009]程序A和程序B均在区块链网络中注册合约账号;信任机A和信任机B均在区块链网络中注册合约账号,同时配置访问权限,指明哪些程序合约账号可以通过当前信任机访问目的服务器;部署信任机网络驱动程序,信任机启动时候,会根据不同平台自动加载对应版本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可信网络通信方法,包括以下步骤:(1
‑
1) 在区块链网络为每个通信程序注册合约账号,登记可执行文件特征值和其他版本信息;(1
‑
2) 在区块链网络为每个信任机注册合约账号, 对信任机功能进行扩展,增加网络驱动程序执行模块,信任机启动时,会根据不同平台加载对应版本的网络驱动程序;(1
‑
3) 网络驱动程序增加地址转换配置接口;(1
‑
4)网络驱动层对发送的TCP和UDP包进行过滤地址转换,对于需要转换的包均会发送到本地信任机固定的TCP和UDP端口;(1
‑
5)信任机提供固定的TCP和UDP代理端口,接收到代理包后,封装消息头发送到目的信任机;(1
‑
6)目的信任机收到代理请求,解析包头,代理连接本地通信服务程序;(1
‑
7)信任机在接收代理时会做通信程序安全检查和访问权限检查;(1
‑
7)连接成功后,通信程序双方通过信任机实现了一条信任加密的透明代理通道。2.如权利要求1所述的方法,网络驱动程序增加地址转换配置接口,出于安全级别的不同要求,会对当前节点通信安全做不同的安排,安全级别最高的配置是所有TCP和UDP端口全部转换,这样节点对外只开放信任机的几个通信端口就可以,所有TCP和UDP通信都通过信任机透明代理实现,因此需要提供相应的配置接口,可以配置网络TCP和UDP转换端口,空则所有TCP和UDP端口都要做转换操作。3.如权利要求1所述的方法,网络驱动层对发送的TCP和UDP包进行过滤地址转换,包括发送TCP包转换,检查发送地址和TCP端口,检查端口转换配置,如需要转换,在缓存中检查地址映射条目,在第一次握手连接时候,缓存是空的,这时要创建一个映射缓存条目,该条目包括{源端口,目的端口,目的IP,请求序号,确认序号,转换源端口,转换请求序号,转换确认序号},源端口加TCP字符前缀做KEY值索引,信任机会有一个固定的TCP代理端口接收地址映射转发过来的包,因此转换目的端口就不用每个条目保存,一旦完成连接的三次握手后,网络驱动程序会给信任机服务端口发送一个地址转换包,告诉信任机指定的连接需要转发的目的地址和端口,同时,信任机TCP代理端口完成三次握手后,会把从服务端口接收的地址转换包,封装到后续的每个包头中一块发送,地址转换包内容包括{目的端口,目的IP,转换源端口,TCP类型},信任机通过转换源端口加TCP字符前缀做KEY值索引,后续通信本地发送的包,都会被网络驱动程序转发给信任机,信任机再代理发送的目的信任机,由目的信任机跟目的服务程序建立连接,建起一条代理加密通道,接收到返回包以后,也是先转发到网络驱动程序,再转发到本地通信程序。4.如权利要求1所述的方法,进一步包括发送UDP包转换,检查发送地址和UDP端口,检查端口转换配置,如需要转换,在缓存中检查地址映射条目,在第一次连接时候,缓存是空的,这时要创建一个映射缓存条目,该条...
【专利技术属性】
技术研发人员:赵晓波,
申请(专利权)人:赵晓波,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。