本发明专利技术公开了一种网络靶场中数据传输控制方法与系统,在网络靶场中增加中转服务器,用于转发指挥中心与控制节点之间的通信数据;指挥中心与控制节点网络隔离;发送端生成数据文件以及标识K,将写入标识K的数据文件加密后上传到中转服务器,同时备份数据文件;接收端从中转服务器下载数据文件后,解密数据文件并取出标识K,生成带标识K的确认消息文件,将消息文件加密后上传到中转服务器;发送端从中转服务器下载消息文件后,进行状态更新;定时判断发送端与接收端之间的传输通道是否正常,在必要时利用备份数据文件重新发送。本发明专利技术能够降低指挥中心被敌方攻破的安全风险,保护指挥中心的数据安全和稳定运行,保证指挥中心通信的有效性。的有效性。的有效性。
【技术实现步骤摘要】
一种网络靶场中数据传输控制方法与系统
[0001]本专利技术涉及一种网络靶场中数据传输控制方法与系统,属于计算机软件、网络安全
技术介绍
[0002]网络靶场是通过虚拟化技术,模拟仿真出真实网络空间攻防作战环境,能够支撑作战能力研究和武器装备验证的试验平台。常规方式部署的网络靶场如图1所示,网络靶场通过多个多种实体网络设备连接控制节点、计算节点、互联网,网络靶场通过虚拟化技术在计算节点构建演练场景的虚拟机及虚拟网络。指挥中心制定作战任务,将任务发送到靶场控制节点,控制节点接收作战任务后,在靶场计算节点为所有作战小队队员创建虚拟机作为作战用操作机,然后作战队员通过靶场控制节点的虚拟机接入管理模块远程控制操作机,虚拟机接入管理模块记录队员所有操作日志,指挥中心可以通过操作日志观察所有作战小队的战斗情况。
[0003]现有部署方式中,指挥中心和计算节点之前没有网络隔离,导致指挥中心有被攻破的潜在安全风险;假如敌方将计算节点
‑
A的靶场操作机
‑
1(即虚拟机
‑
1)攻破,可通过靶场操作机
‑
1直接攻击指挥中心,指挥中心存在被攻击的安全风险。常规网络隔离可采用专用通道、双向网闸等,但存在成本高,缺乏灵活性,无法实现隔离服务高可用,发送失败导致数据丢失等问题,难以适用网络靶场实战演练场景。
技术实现思路
[0004]专利技术目的:针对上述现有技术存在的问题,本专利技术目的在于提供一种新的网络靶场部署方案以及相应的数据传输控制机制,能够实现靶场指挥中心与控制节点及计算节点的网络隔离,降低指挥中心被攻破的安全风险。
[0005]技术方案:为实现上述专利技术目的,本专利技术采用如下技术方案:一种网络靶场中数据传输控制方法,在网络靶场中增加中转服务器,用于转发指挥中心与控制节点之间的通信数据;所述指挥中心与控制节点之间是网络隔离的,指挥中心为发送端时,控制节点为接收端,控制节点为发送端时,指挥中心为接收端;发送端与接收端之间的数据传输控制方法,包括如下步骤:发送端生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;发送端将数据文件加密后上传到中转服务器,同时备份数据文件;接收端从中转服务器下载数据文件后,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;接收端将消息文件加密后上传到中转服务器;发送端从中转服务器下载消息文件后,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;发送端定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数
据文件重新发送。
[0006]作为优选,所述中转服务器上部署有文件传输服务,根据传输文件的业务不同,在文件传输服务的指定目录下创建不同的文件夹,发送端和接收端按照约定的规则在对应的文件夹下上传或下载文件。
[0007]作为优选,在存在多个发送端或接收端时,在中转服务器上为每一对通信双方创建一个文件目录,文件目录名称包括发送端标识和接收端标识。
[0008]作为优选,所述发送端在生成待发送的数据文件时,在文件名中加上创建文件的时间戳,接收端从中转服务器下载数据文件后,根据文件名中的时间戳按增序排序并解析。
[0009]作为优选,设置多台中转服务器构成中转服务集群,发送端和接收端保存中转服务集群所有节点连接信息,发送端发送数据文件时通过负载均衡算法选出要上传的中转服务器;接收端通过轮询所有节点下载数据文件。
[0010]作为优选,设置多台中转服务器构成中转服务链,发送端将数据文件发送到中转服务链上的第一台中转服务器,中转服务链上下一台中转服务器从上一台中转服务器上下载文件,直到接收端从中转服务链上最后一台中转服务器下载到文件。
[0011]一种网络靶场中数据传输控制系统,包括中转服务器、数据发送装置与数据接收装置;所述中转服务器用于转发指挥中心与控制节点之间的通信数据,所述指挥中心与控制节点之间是网络隔离的,指挥中心上的数据发送装置通过中转服务器将数据文件发送到控制节点上的数据接收装置,控制节点上的数据发送装置通过中转服务器将数据文件发送到指挥中心上的数据接收装置;所述数据发送装置,包括数据生成模块,用于生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;数据发送模块,用于将数据文件加密后上传到中转服务器,同时备份数据文件;状态更新模块,用于从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;以及定时检测模块,用于定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送;所述数据接收装置,用于从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;以及消息发送模块,用于将消息文件加密后上传到中转服务器。
[0012]作为优选,所述中转服务器上部署有文件传输服务,根据不同业务类型对存储的文件进行分类管理,所述数据发送装置在被上层业务调用时,根据业务类型参数将生成的数据文件上传到中转服务器上相应的文件夹下。
[0013]一种网络靶场系统,包括作为网络靶场控制节点的第一服务器,作为网络靶场计算节点的第二服务器,以及作为网络靶场指挥中心的第三服务器,所述第二服务器上创建有多台虚拟机供靶场作战队员使用,所述第一服务器和第二服务器网络连通;所述第三服务器与第一服务器以及第二服务器之间的网络是隔离的,第一服务器与第三服务器之间的通信数据通过中转服务器转发;所述第一服务器、第二服务器、第三服务器和中转服务器均包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序;所述第一服务器和第三服务器上的计算机程序均包括发送端程序和接收端程序;
所述发送端程序被加载至处理器时实现如下步骤:生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;将数据文件加密后上传到中转服务器,同时备份数据文件;从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;定时排查发送数据文件后是否收到对应的确认消息文件,以判断传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送;所述接收端程序被加载至处理器时实现如下步骤:从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;将消息文件加密后上传到中转服务器。
[0014]有益效果:与现有技术相比,本专利技术具有如下优点:1、本专利技术在靶场指挥中心和控制节点添加中转服务器,实现了网络隔离,能够降低指挥中心被敌方攻破的安全风险,保护指挥中心的数据安全和稳定运行。2、通过本专利技术的数本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络靶场中数据传输控制方法,其特征在于,在网络靶场中增加中转服务器,用于转发指挥中心与控制节点之间的通信数据;所述指挥中心与控制节点之间是网络隔离的,指挥中心为发送端时,控制节点为接收端,控制节点为发送端时,指挥中心为接收端;发送端与接收端之间的数据传输控制方法,包括如下步骤:发送端生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;发送端将数据文件加密后上传到中转服务器,同时备份数据文件;接收端从中转服务器下载数据文件后,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;接收端将消息文件加密后上传到中转服务器;发送端从中转服务器下载消息文件后,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;发送端定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送。2.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,所述中转服务器上部署有文件传输服务,根据传输文件的业务不同,在文件传输服务的指定目录下创建不同的文件夹,发送端和接收端按照约定的规则在对应的文件夹下上传或下载文件。3.根据权利要求2所述的网络靶场中数据传输控制方法,其特征在于,在存在多个发送端或接收端时,在中转服务器上为每一对通信双方创建一个文件目录,文件目录名称包括发送端标识和接收端标识。4.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,所述发送端在生成待发送的数据文件时,在文件名中加上创建文件的时间戳,接收端从中转服务器下载数据文件后,根据文件名中的时间戳按增序排序并解析。5.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,设置多台中转服务器构成中转服务集群,发送端和接收端保存中转服务集群所有节点连接信息,发送端发送数据文件时通过负载均衡算法选出要上传的中转服务器;接收端通过轮询所有节点下载数据文件。6.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,设置多台中转服务器构成中转服务链,发送端将数据文件发送到中转服务链上的第一台中转服务器,中转服务链上下一台中转服务器从上一台中转服务器上下载文件,直到接收端从中转服务链上最后一台中转服务器下载到文件。7.一种网络靶场中数据传输控制系统,其特征在于,包括中转服务器、数据发送装置与数据接收装置;所述中转服务器用于转发指挥中心与控制节点之间的通信数据,所述指挥中心与控制节点之间是网络隔离的,指挥中心上的数据发送装置通过中转服务器将数据文件发送到控制节点上的数据接收装置,控制节点上的数据发送装置通过...
【专利技术属性】
技术研发人员:王彦龙,谢峥,高庆官,史崯,
申请(专利权)人:南京赛宁信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。