(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211170024.2 (22)申请日 2022.09.26 (71)申请人 南京赛宁信息技 术有限公司 地址 211100 江苏省南京市江宁区秣周东 路12号 (72)发明人 王彦龙　谢峥　高庆官　史崯　 (74)专利代理 机构 南京苏高专利商标事务所 (普通合伙) 32204 专利代理师 孟红梅 (51)Int.Cl. H04L 9/40(2022.01) H04L 1/18(2006.01) H04L 43/0805(2022.01) (54)发明名称 一种网络靶场中数据传输控制方法与系统 (57)摘要 本发明公开了一种网络靶场中数据传输控 制方法与系统， 在网络靶场中增加中转服务器， 用于转发指挥中心与控制节点之间的通信数据； 指挥中心与控制节点网络隔离； 发送端生成数据 文件以及标识K， 将写入 标识K的数据文件加密后 上传到中转服务器， 同时备份数据文件； 接收端 从中转服务器下载数据文件后， 解密数据文件并 取出标识K， 生成带标识K的确认消息文件， 将消 息文件加密后上传到中转服务器； 发送端从中转 服务器下载消息文件后， 进行状态更新； 定时判 断发送端与接收端之间的传输通道是否正常， 在 必要时利用备份数据文件重新发送。 本发明能够 降低指挥中心 被敌方攻破的安全风险， 保护指挥 中心的数据安全和稳定运行， 保证指挥中心通信 的有效性。 权利要求书2页 说明书6页 附图2页 CN 115296925 A 2022.11.04 CN 115296925 A 1.一种网络靶场中数据传输控制方法， 其特征在于， 在网络靶场中增加中转服务器， 用 于转发指挥中心与控制节点之间的通信数据； 所述指挥中心与控制节点之间是网络隔离 的， 指挥中心 为发送端时， 控制节 点为接收端， 控制节 点为发送端时， 指挥中心 为接收端； 发 送端与接收端之间的数据传输控制方法， 包括如下步骤： 发送端生成待发送的数据文件， 以及标记文件唯一性的标识K， 并将标识K写入数据文 件中； 发送端将数据文件加密后上传到中转 服务器， 同时备份数据文件； 接收端从中转服务器下载数据文件后， 解密数据文件 并取出标识K， 生成确认消息文件 并将标识K写入消息文件中； 接收端将消息文件加密后上传到中转 服务器； 发送端从中转服务器下载消息文件后， 解密消息文件并取出标识K， 根据标识K查询对 应的数据文件， 将状态更新 为确认接收状态， 同时删除对应的备份数据文件； 发送端定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件， 以判断 发送端与接 收端之间的传输通道是否正常， 在需要重新发送数据文件时， 利用备份数据文 件重新发送。 2.根据权利要求1所述的网络靶场中数据传输控制方法， 其特征在于， 所述中转服务器 上部署有文件传输服务， 根据传输文件的业务不同， 在文件传输服务的指定目录下创建不 同的文件夹， 发送端和接收端 按照约定的规则在对应的文件夹下 上传或下 载文件。 3.根据权利要求2所述的网络靶场中数据传输控制方法， 其特征在于， 在存在多个发送 端或接收端时， 在中转服务器上为每一对通信双方创建一个文件目录， 文件目录名称包括 发送端标识和接收端标识。 4.根据权利要求1所述的网络靶场中数据传输控制方法， 其特征在于， 所述发送端在生 成待发送的数据文件时， 在文件名中加上创建文件的时间戳， 接 收端从中转服务器下载数 据文件后， 根据文件名中的时间戳按增序排序并解析。 5.根据权利要求1所述的网络靶场中数据传输控制方法， 其特征在于， 设置多台中转服 务器构成中转服务集群， 发送端和接 收端保存中转服务集群所有节点连接信息， 发送端发 送数据文件时通过负载均衡算法选出要上传的中转服务器； 接收端通过轮询所有节点下载 数据文件。 6.根据权利要求1所述的网络靶场中数据传输控制方法， 其特征在于， 设置多台中转服 务器构成中转服务链， 发送端将数据文件发送到中转服务链上的第一台中转服务器， 中转 服务链上下一台中转服务器 从上一台中转服务器上下载文件， 直到接收端从中转服务链上 最后一台 中转服务器下载到文件。 7.一种网络靶场中数据传输控制系统， 其特征在于， 包括中转服务器、 数据发送装置与 数据接收装置； 所述中转服务器用于转发指挥中心与控制节点之间的通信数据， 所述指挥 中心与控制节点之 间是网络隔离的， 指挥中心上的数据发送装置通过中转服务器将数据文 件发送到控制节点上的数据接收装置， 控制节点上的数据发送装置通过中转服务器将数据 文件发送到指挥中心上的数据接收装置； 所述数据发送装置， 包括数据生成模块， 用于生成待发送的数据文件， 以及标记文件唯 一性的标识K， 并将标识K写入数据文件中； 数据发送模块， 用于将数据文件加密后上传到中 转服务器， 同时备份数据文件； 状态更新模块， 用于从中转服务器下载消息文件， 解密消息 文件并取出标识K， 根据标识K查询对应的数据文件， 将 状态更新为确认接收状态， 同时删除权　利　要　求　书 1/2 页 2 CN 115296925 A 2对应的备份数据文件； 以及定时检测模块， 用于定时排查发送数据文件后是否 收到接收端 返回的对应的确认消息文件， 以判断发送端与接 收端之间的传输通道是否正常， 在需要重 新发送数据文件时， 利用备份数据文件重新发送； 所述数据接收装置， 用于从中转服务器下载数据文件， 解密数据文件并取出标识K， 生 成确认消息文件并将标识K写入消息文件中； 以及消息发送模块， 用于将消息文件加密后上 传到中转 服务器。 8.根据权利要求7所述的一种网络靶场中数据传输控制系统， 其特征在于， 所述中转服 务器上部署有文件传输服务， 根据不同业务类型对存储的文件进行分类管理， 所述数据发 送装置在被上层业务调用时， 根据业务类型参数将生成的数据文件上传到中转服务器上相 应的文件夹下。 9.根据权利要求7所述的一种网络靶场中数据传输控制系统， 其特征在于， 所述控制节 点和中转 服务器接入互联网， 所述指挥中心不接入互联网。 10.一种网络靶场系统， 包括作为网络靶场控制节点的第一服务器， 作为网络靶场计算 节点的第二服务器， 以及作为网络靶场指挥中心的第三服务器， 所述第二服务器上创建有 多台虚拟机供靶场作战队员使用， 所述第一服务器和第二服务器网络连通； 其特征在于， 所 述第三服务器与第一服务器以及第二服务器之 间的网络是隔离的， 第一服务器与第三服务 器之间的通信数据通过中转服务器转 发； 所述第一服务器、 第二服务器、 第三服务器和中转 服务器均包括存 储器、 处理器及存 储在存储器上并可在处 理器上运行的计算机程序； 所述第一服务器和第 三服务器上的计算机程序均包括发送端程序和接收端程序； 所述 发送端程序被加载至处 理器时实现如下步骤： 生成待发送的数据文件， 以及标记文件唯一 性的标识K， 并将标识K写入数据文件中； 将数据文件加密后上传到中转 服务器， 同时备份数据文件； 从中转服务器下载消息文件， 解密消息文件并取出标识K， 根据标识K查询对应的数据 文件， 将状态更新 为确认接收状态， 同时删除对应的备份数据文件； 定时排查发送数据文件后是否收到对应的确认消息文件， 以判断传输通道是否正常， 在需要重新发送数据文件时， 利用备份数据文件重新发送； 所述接收端程序被加载至处 理器时实现如下步骤： 从中转服务器下载数据文件， 解密数据文件并取出标识K， 生成确认消息文件 并将标识 K写入消息文件中； 将消息文件加密后上传到中转 服务器。权　利　要　求　书 2/2 页 3 CN 115296925 A 3