基于隐匿网关的通信方法、装置、设备及介质制造方法及图纸

本发明专利技术提供一种基于隐匿网关的通信方法、装置、设备及介质，应用于第一隐匿网关，方法包括：在从第一隐匿网关的内网网卡接收到来自第一网络设备的第一初始数据包的情况下，解析第一初始数据包中的第一信息；基于预先设置的网络拓扑变换算法，在第一初始数据包中将第一信息变换为第二信息，得到第一中间数据包；基于第二信息，在预先设置的策略表项中确定用于传输第一中间数据包的第一安全参数表项；基于第一安全参数表项，将第一中间数据包隐匿封装为第一传输数据包；通过第一隐匿网关的外网网卡和第二隐匿网关，将第一传输数据包发送至第二网络设备。本发明专利技术实施例提供的隐匿网关相较于相关技术中的VPN网关，有效提高了网络通信的安全性。安全性。安全性。

【技术实现步骤摘要】
基于隐匿网关的通信方法、装置、设备及介质


[0001]本专利技术涉及安全网关
，尤其涉及一种基于隐匿网关的通信方法、装置、设备及介质。

技术介绍

[0002]虚拟专用网(Virtual Private Network，VPN)技术提供了组织各分支机构、成员或合作伙伴等在网际互连协议(Intellectual Property，IP)网络上安全访问或互联成虚拟内网来通信的安全解决方案；技术实现主要采用多协议标签交换(Multi
‑
Protocol Label Switching，MPLS)、安全套接字协议(Secure Sockets Layer，SSL)和互联网安全协议(Internet Protocol Security，IPsec)等协议；方案实施通常需要在其内网到外网出口处部署带VPN功能的安全网关软硬件设备，甚至与防火墙和路由器等集成在一起。
[0003]目前，网络攻击技术日新月异，VPN网关也已成为密集攻击对象，并成为渗透VPN的突破口，设备自身安全性需要加固；另外，流量分析手段不断发展，密文检测分析技术应用加速，各种VPN协议的设计和实现并未关注到这方面的应对措施，对通信行为敏感的组织来说其安全性有待改进；综上，目前VPN网关的安全性低。

技术实现思路

[0004]本专利技术提供一种基于隐匿网关的通信方法、装置、设备及介质，用以解决现有技术中VPN网关安全性低的问题。
[0005]本专利技术提供一种基于隐匿网关的通信方法，应用于第一隐匿网关，所述第一隐匿网关的内网网卡连接于第一网络设备，用于与所述第一网络设备传输数据，所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据，所述方法包括：
[0006]在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下，解析所述第一初始数据包中的第一信息；
[0007]基于预先设置的网络拓扑变换算法，在所述第一初始数据包中将所述第一信息变换为第二信息，得到第一中间数据包；其中，所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系；
[0008]基于所述第二信息，在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项；
[0009]基于所述第一安全参数表项，将所述第一中间数据包隐匿封装为第一传输数据包；
[0010]通过所述外网网卡和所述第二隐匿网关，将所述第一传输数据包发送至所述第二网络设备。
[0011]根据本专利技术提供的一种基于隐匿网关的通信方法，所述方法还包括：
[0012]在从所述外网网卡接收到第二传输数据包的情况下，解析所述第二传输数据包中的第三信息；
[0013]在基于所述第三信息，确定所述第三信息属于预先设置的安全传输隐匿格式的情况下，基于所述第三信息，在所述策略表项中确定所述第三信息对应的第二安全参数表项；
[0014]基于所述第二安全参数表项，将所述第二传输数据包解隐匿封装为第二中间数据包；
[0015]基于所述网络拓扑变换算法，在所述第二中间数据包中将所述第三信息逆变换为第四信息，得到第二初始数据包；其中，所述网络拓扑变换算法包括所述第三信息和所述第四信息之间的对应关系；
[0016]将所述第二初始数据包发送至所述第一网络设备。
[0017]根据本专利技术提供的一种基于隐匿网关的通信方法，所述在从所述外网网卡接收到第二传输数据包的情况下，解析所述第二传输数据包中的第三信息之后，所述方法还包括：
[0018]在基于所述第三信息，确定所述第三信息不属于预先设置的安全传输隐匿格式的情况下，基于所述第三信息，在所述策略表项中确定所述第三信息对应的处理动作；
[0019]在所述处理动作为旁路的情况下，将所述第二传输数据包作为所述第二中间数据包；
[0020]在所述处理动作为丢弃的情况下，丢弃所述第二传输数据包；
[0021]在不存在所述第三信息对应的处理动作的情况下，丢弃所述第二传输数据包。
[0022]根据本专利技术提供的一种基于隐匿网关的通信方法，所述第一隐匿网关还包括N个异构的数据隐匿封装模块，N为大于1的整数；
[0023]所述基于所述第二信息，在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项之前，所述方法还包括：
[0024]基于预先设置的分发控制策略，在N个异构的数据隐匿封装模块中选择至少一个目标数据隐匿封装模块；
[0025]所述基于所述第二信息，在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项，包括：
[0026]基于所述第二信息，在与所述目标数据隐匿封装模块对应的目标策略表项中，确定用于传输所述第一中间数据包的目标安全参数表项，作为所述第一安全参数表项。
[0027]根据本专利技术提供的一种基于隐匿网关的通信方法，所述方法还包括：
[0028]以预先设置的周期，清洗并更换各所述数据隐匿封装模块。
[0029]根据本专利技术提供的一种基于隐匿网关的通信方法，所述基于所述第一安全参数表项，将所述第一中间数据包隐匿封装为第一传输数据包，包括：
[0030]基于所述第一安全参数表项，对所述第一中间数据包中预先设置的规定段进行隐匿处理，并将隐匿处理后的数据包封装为所述第一传输数据包。
[0031]本专利技术还提供一种基于隐匿网关的通信装置，应用于第一隐匿网关，所述第一隐匿网关的内网网卡连接于第一网络设备，用于与所述第一网络设备传输数据，所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据，所述装置包括：
[0032]解析模块，用于在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下，解析所述第一初始数据包中的第一信息；
[0033]变换模块，用于基于预先设置的网络拓扑变换算法，在所述第一初始数据包中将所述第一信息变换为第二信息，得到第一中间数据包；其中，所述网络拓扑变换算法包括所
述第一信息和所述第二信息之间的对应关系；
[0034]确定模块，用于基于所述第二信息，在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项；
[0035]隐匿封装模块，用于基于所述第一安全参数表项，将所述第一中间数据包隐匿封装为第一传输数据包；
[0036]发送模块，用于通过所述外网网卡和所述第二隐匿网关，将所述第一传输数据包发送至所述第二网络设备。
[0037]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述基于隐匿网关的通信方法。
[0038]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述基于隐匿网关的通信方法。
[0039]本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于隐匿网关的通信方法，其特征在于，应用于第一隐匿网关，所述第一隐匿网关的内网网卡连接于第一网络设备，用于与所述第一网络设备传输数据，所述第一隐匿网关的外网网卡用于通过第二隐匿网关与第二网络设备传输数据，所述方法包括：在从所述内网网卡接收到来自所述第一网络设备的第一初始数据包的情况下，解析所述第一初始数据包中的第一信息；基于预先设置的网络拓扑变换算法，在所述第一初始数据包中将所述第一信息变换为第二信息，得到第一中间数据包；其中，所述网络拓扑变换算法包括所述第一信息和所述第二信息之间的对应关系；基于所述第二信息，在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项；基于所述第一安全参数表项，将所述第一中间数据包隐匿封装为第一传输数据包；通过所述外网网卡和所述第二隐匿网关，将所述第一传输数据包发送至所述第二网络设备。2.根据权利要求1所述的基于隐匿网关的通信方法，其特征在于，所述方法还包括：在从所述外网网卡接收到第二传输数据包的情况下，解析所述第二传输数据包中的第三信息；在基于所述第三信息，确定所述第三信息属于预先设置的安全传输隐匿格式的情况下，基于所述第三信息，在所述策略表项中确定所述第三信息对应的第二安全参数表项；基于所述第二安全参数表项，将所述第二传输数据包解隐匿封装为第二中间数据包；基于所述网络拓扑变换算法，在所述第二中间数据包中将所述第三信息逆变换为第四信息，得到第二初始数据包；其中，所述网络拓扑变换算法包括所述第三信息和所述第四信息之间的对应关系；将所述第二初始数据包发送至所述第一网络设备。3.根据权利要求2所述的基于隐匿网关的通信方法，其特征在于，所述在从所述外网网卡接收到第二传输数据包的情况下，解析所述第二传输数据包中的第三信息之后，所述方法还包括：在基于所述第三信息，确定所述第三信息不属于预先设置的安全传输隐匿格式的情况下，基于所述第三信息，在所述策略表项中确定所述第三信息对应的处理动作；在所述处理动作为旁路的情况下，将所述第二传输数据包作为所述第二中间数据包；在所述处理动作为丢弃的情况下，丢弃所述第二传输数据包；在不存在所述第三信息对应的处理动作的情况下，丢弃所述第二传输数据包。4.根据权利要求1所述的基于隐匿网关的通信方法，其特征在于，所述第一隐匿网关还包括N个异构的数据隐匿封装模块，N为大于1的整数；所述基于所述第二信息，在预先设置的策略表项中确定用于传输所述第一中间数据包的第一安全参数表项之前...

【专利技术属性】
技术研发人员：曾俊杰，孟慧平，李文萃，孙贺，王安琪，舒新建，陆继钊，吴阳阳，贾洪勇，张建辉，
申请(专利权)人：郑州大学国网河南省电力公司国家电网有限公司，
类型：发明
国别省市：