【技术实现步骤摘要】
本申请各实施例属网络安全,尤其涉及基于加密协议伪装的隐蔽通信方法及装置。
技术介绍
1、自互联网的诞生以来,网络安全问题逐渐引发关注,特别是在数据通信的机密性和完整性方面。各种攻击和窃密技术不断出现,如数据劫持、密钥泄露等。现有的安全代理虽然能够提供一定程度的安全性,但通常缺乏隐蔽性,并可能因为重复加密而导致效率降低问题。
技术实现思路
1、为了解决或缓解现有技术中存在的技术问题,第一方面,本申请实施例提供了一种基于加密协议伪装的隐蔽通信方法,包括:
2、在网络代理客户端和网络代理服务端之间建立通信连接;
3、在隐蔽通信客户端和隐蔽通信服务端之间建立基于隐蔽通信协议的通信隧道,所述隐蔽通信协议包括:代理界面协议、虚假握手协议、和传输协议;
4、通过网络代理客户端接收访问请求数据,并通过所述网络代理服务端将访问请求转发至网络代理客户端,其中,所述隐蔽通信客户端、网络代理客户端和网络代理服务端设置在本地;
5、通过所述隐蔽通信客户端判断访问请求使用的协议是否为所述隐蔽通信协议的伪装目标;
6、如果是,所述隐蔽通信客户端对所述访问请求数据中占流量主要部分的应用数据流量不进行任何处理,通过所述隐蔽通信客户端将所述访问请求数据通过隐蔽通信协议的通信隧道发送至隐蔽通信服务端;随后通过所述隐蔽通信服务端将所述访问请求数据转发至目标应用进行具体访问。
7、作为本申请一优选实施例,所述在隐蔽通信客户端和隐蔽通信服务端之间建立基于
8、确定所述隐蔽通信客户端和隐蔽通信服务端之间进行通信的隐蔽通信协议中可利用第一字段和第二字段;
9、分别构造所述第一字段的参数和第二字段的参数;
10、将所述第一字段的参数和第二字段的参数填充至所述隐蔽通信客户端向所述隐蔽通信服务端发送的第一数据包的预留位置;
11、所述隐蔽通信服务端收到第一数据包后提取第一字段并验证所述隐蔽通信客户端身份;
12、所述隐蔽通信客户端身份验证通过后,所述隐蔽通信服务端向隐蔽通信客户端发送第二数据包后以在所述隐蔽通信客户端和隐蔽通信服务端之间建立基于所述隐蔽通信协议的通信隧道;
13、如果所述隐蔽通信客户端身份验证不通过,则所述隐蔽通信服务端发出警告。
14、作为本申请一优选实施例,所述第一数据包和第二数据包均包括第一字段和第二字段;所述分别构造所述第一字段的参数和第二字段的参数,包括:
15、将((时间戳, 剩余数据), 预共享密钥)作为第一字段的参数,其中,所述剩余数据为所述隐蔽通信客户端向隐蔽通信服务端发送第一数据包中除协议头中的第一字段和第二字段之外的所有数据;
16、将预设字节的随机值作为挑战值,所述挑战值为第二字段的参数。
17、作为本申请一优选实施例,所述隐蔽通信服务端收到第一数据包后提取第一字段并验证所述隐蔽通信客户端身份,包括:
18、所述隐蔽通信服务端通过等式:第一字段 =第一消息认证码进行验证,所述第一消息认证码的参数为((时间戳, 剩余数据), 预共享密钥);
19、所述隐蔽通信客户端通过等式:“第一数据包 = 第一消息认证码”&& “响应 = 第二消息认证码”,所述第一消息认证码的参数为(剩余数据, 预共享密钥),所述第二消息认证码的参数为(挑战值,会话密钥);
20、如果所述隐蔽通信客户端和隐蔽通信服务端均验证通过,则所述网络代理客户端身份验证通过。
21、作为本申请一优选实施例,所述隐蔽通信服务端收到第一数据包后提取第一字段并验证所述隐蔽通信客户端身份,包括:
22、将证书哈希值用会话密钥加密后通过隐蔽通信客户端发送至隐蔽通信服务端;
23、所述隐蔽通信服务端收到加密证书哈希值后验证证书哈希值,所述证书哈希值验证通过后,所述隐蔽通信服务端再进一步交换完整证书校验信任链并防止被攻击,若所述信任链校验失败,则所述隐蔽通信客户端和隐蔽通信服务端之间通信终止。
24、作为本申请一优选实施例,所述方法还包括:
25、所述隐蔽通信客户端和隐蔽通信服务端利用隐蔽通信协议本身固有的密钥交换字段进行密钥交换,生成所述隐蔽通信客户端和隐蔽通信服务端加密通信的会话密钥。
26、作为本申请一优选实施例,所述方法还包括:
27、将会话id、源端口、目标端口嵌入到应用数据的嵌入应用数据包的载荷数据开头,在后续通信中取出所述载荷数据开头相关字段作为多路复用的控制信息;
28、作为本申请一优选实施例,所述通过所述隐蔽通信客户端判断访问请求使用的协议是否为所述隐蔽通信协议的伪装目标,包括:
29、确定所述隐蔽通信客户端向隐蔽通信服务端发送的第一数据包是否为隐蔽通信协议的客户端握手包,确定所述隐蔽通信服务端向隐蔽通信客户端发送的第二数据包是否为隐蔽通信协议的服务端握手包,如果均是,则访问请求使用的协议为所述隐蔽通信协议的伪装目标。
30、作为本申请一优选实施例,如果所述访问请求使用的协议为所述隐蔽通信协议的伪装目标,则还需要判断访问请求所使用的通信协议是否为加密协议,所述方法还包括:若所述访问请求所使用的协议为加密通信协议,则所述隐蔽通信客户端将第一数据包之后通信中的应用数据数据包直接转发至隐蔽通信服务端;
31、所述隐蔽通信服务端判断接收的应用数据数据包是否为经所述隐蔽通信客户端处理后得到的应用数据数据包还是原始应用数据;针对其他类型的数据包,所述隐蔽通信服务端不进行判断,直接将所述其他类型的数据包加密后嵌入应用数据数据包转发至目标应用;
32、若所述访问请求所使用的协议为非加密通信协议,所述隐蔽通信客户端对针对第一数据包之后通信中的所有数据包直接加密;所述隐蔽通信服务端解密后转发到目标应用。
33、作为本申请一优选实施例,所述方法还包括:
34、在各个通讯节点中安装sdn控制器和sdn交换机,用于收集分布式部署的节点通信情况并生成路由规则;
35、根据所述路由规则由所述sdn交换机自动控制网络拓扑关系,以实现代理节点间流量的动态负载均衡,所述sdn控制器上的路由规则生成通过dijkstra算法得到。
36、与现有技术相比,本申请实施例提供了一种基于加密协议伪装的隐蔽通信方法,具体在网络代理客户端和网络代理服务端之间建立通信连接;在隐蔽通信客户端和隐蔽通信服务端之间建立基于隐蔽通信协议的通信隧道;通过网络代理客户端接收访问请求数据,并通过所述网络代理服务端将访问请求转发至网络代理客户端,其中,所述隐蔽通信客户端、网络代理客户端和网络代理服务端设置在本地;通过所述隐蔽通信客户端判断访问请求使用的协议是否为所述隐蔽通信协议的伪装目标;如果是,所述隐蔽通信客户端对所述访问请求数据中占流量主要部分的应用数据流量不进行任何处本文档来自技高网...
【技术保护点】
1.一种基于加密协议伪装的隐蔽通信方法,其特征在于,包括:
2.如权利要求1所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述在隐蔽通信客户端和隐蔽通信服务端之间建立基于隐蔽通信协议的通信隧道,包括:
3.如权利要求2所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述第一数据包和第二数据包均包括第一字段和第二字段;所述分别构造所述第一字段的参数和第二字段的参数,包括:
4.如权利要求3所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述隐蔽通信服务端收到第一数据包后提取第一字段并验证所述隐蔽通信客户端身份,包括:
5.如权利要求3所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述隐蔽通信服务端收到第一数据包后提取第一字段并验证所述隐蔽通信客户端身份,包括:
6.如权利要求1所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述方法还包括:
7.如权利要求1所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述方法还包括:
8.如权利要求1所述的一种基于加密协议
9.如权利要求8所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,如果所述访问请求使用的协议为所述隐蔽通信协议的伪装目标,则还需要判断访问请求所使用的通信协议是否为加密协议,所述方法还包括:
10.一种基于加密协议伪装的隐蔽通信装置,其特征在于,包括:
...【技术特征摘要】
1.一种基于加密协议伪装的隐蔽通信方法,其特征在于,包括:
2.如权利要求1所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述在隐蔽通信客户端和隐蔽通信服务端之间建立基于隐蔽通信协议的通信隧道,包括:
3.如权利要求2所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述第一数据包和第二数据包均包括第一字段和第二字段;所述分别构造所述第一字段的参数和第二字段的参数,包括:
4.如权利要求3所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述隐蔽通信服务端收到第一数据包后提取第一字段并验证所述隐蔽通信客户端身份,包括:
5.如权利要求3所述的一种基于加密协议伪装的隐蔽通信方法,其特征在于,所述隐蔽通信服务端收到第一数据包后提取...
【专利技术属性】
技术研发人员:吕英豪,朱文雷,崔勤,
申请(专利权)人:北京长亭科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。