一、什么是原网安全智能互联系统？

1.当前互联技术的缺陷

在互联网飞速发展的今天，组网的便利性和安全性依然存在缺陷。无论通过光纤、WIFI 或 3G/4G，只要接入到互联网络就可以被窃听、伪造、欺骗。用户在访问互联网时缺乏安全保障，在自己的局域网内，也同样存在各种被攻击的危险。

隧道技术、专线、VPN、SD-WAN 为企业用户带来各种跨地域组网技术方案，但是在成本和灵活性上依然不够，普通用户仍然难以灵活访问家中或者是办公室里的电脑。云存储、即时通讯、在线办公等，使用方便，可是用户隐私和数字资产被掌握在第三方服务商手里，隐私数据不但容易泄露，而且一旦第三方服务停止，还将永远失去这些数字资产。

[出自:jiwo.org]

2.新一代的互联网技术：原网安全智能互联系统

原网的目标是为企业和个人提供一种便捷、安全、易用、廉价的互联技术方案。得益于原网在地址、路由和加密算法上的创新，用户可以轻易的在互联网中铺设一张可无限伸缩规模的全加密覆盖网络。在原网中，用户可以任意连接计算设备，服务器、PC、笔记本、手机、摄像头、存储均可以通过原网直接进行点对点通讯；在原网中，用户无论在何时何地均可以自由安全的访问这些设备；在原网中，用户的数据将获得全程加密保护，黑客将失去传统的攻击入口。

无需特别专业技能支持，用户通过在普通电脑、手机上安装原网连接客户端，即可自由构建属于自己的私有互联网络。我们提供基于 SDN（软件定义网络）思想的管控软件，用户可以如同搭积木一般维护私有的互联网络或建立和其他原网系统的连接。

原网安全智能互联系统是在云时代里为用户提供的最好的私有连接解决方案。

二、原网的技术原理

1.原网的 IP 地址和节点标识

原网是一种新型的基于公私钥的流量端到端加密网络系统，原网内节点使用 IPv6 地址作为节点标识，该 IPv6 地址由节点公钥通过算法生成，免去了中心化的公私钥分配架构部署开销。支持隧道技术，在隧道内同时支持

IPv4 和 IPv6 网络流量，允许通过离岸点让原网内节点访问外部网络，也可以让外部节点通过离岸点访问原网内节点。

2.类 Internet 网络拓扑

原网的网络拓扑采用了类似 Internet 的联网方式，整个网络拥有密集的可管控和扩展的网络核心节点，核心节点之间可使用三角连接，最大保证网络的可用性和冗余性，然后随着网络的扩展，边缘节点呈树状扩展。最后形成的网络总拓扑图上，是可管控的大网络。

使用超级节点维护全网的路由寻址。可大大降低为了维护 P2P 网络路由协议单纯使用 Gossip 协议的网络流量开销，除了超级路由节点外，其他节点只需要维护邻居节点路由信息更新的流量开销。

3.源路由协议

增量更新，路由信息是增量更新，节点在邻居节点出现了上下线、新邻居出现的情况下只是将与之相关的路由信息更新给超级路由节点，只有本节点上下线的情况下才会向超级路由节点汇报完整路由信息外，其他情况则是采用心跳包形式维护日常的状态。

使用标签路由，减少了数据包头中路由信息的大小，每个数据包都携带下一跳的路径信息，但路径出现问题后，可以直接将故障节点路径返回给发起方。

4.链路加密安全

原网在链路连接上采用基于 ED25519 标准的加密算法标准，在每个节点之间的协商和数据交换环节都确保有效信息处于加密状态。任意数据都包含两层加密，第一层加密为出发节点到目标节点之间的加密，第二层加密为相邻两节点之间的加密。由于地址和密钥之间的对应关系，使得任何基于密钥中间人的攻击方法都无法进行，从而确保了网络的高度安全。

5.访问规则控制

在原网引擎内部实现了基于包过滤防火墙规则控制，因此无论原网安装与何种操作系统，均无需考虑外部操作系统的安全规则。利用原网内地址信任关系，可以轻松构建集中控制系统，实现对大批量节点的安全管控。

三、原网的功能特点

基于原网的技术原理，原网提供了许多强大的功能特性，主要功能特点如下：

1.组建无限伸缩规模的私有 VPN 网络

传统 VPN 往往基于预先规划的拓扑进行部署，管理员在部署 VPN 之前要精心规划 IP 地址段，并根据权限访问规则不同安全区域。在原网安全智能互联系统内，用户完全不用关心地址规划问题，只要带宽资源许可，用户可以不停的扩展整个网络，依据密钥生成的 IPV6 地址在全网中是唯一的，并且所有地址之间会自动形成路由关系，在原网内的资源服务器将根据用户的IP 地址所对应的用户身份，设定相应的安全规则。

基于原网，用户建立的不仅仅是一个虚拟局域网，它可以长期动态变化成长，在网内形成一个互联网的生态圈，可以构建域名、资源、各种不同的安全区域，可以和其他的原网生态圈交错联合，形成更大的连接圈；用户可以将各种不同的计算设备接入到这个生态圈中，形成一个高度安全且隐私的新型互联网络。

2.无差别对等安全网络

移动互联网、物联网、跨地域互联应用和层出不穷的内网泄密和 APT 攻击早已让传统的网络安全边界破绽百出。原网的 IP 地址特性决定了原网的网络空间不存在基于地址范围的边界划分，每个地址与地址之间必须通过单一的安全策略进行对等防御，在原网体系内，任意节点之间均以不信任对方为基础建立安全准则，以此原则建立的网络安全体系，深深的契合了当前零信任网络安全原理，使得任意节点的崩塌均无法损害整体网络安全特性。

原网在节点连接的链路上嵌入了基于规则的访问控制引擎，使得原网可以无视操作系统外部环境，建立无差别的安全控制机制。

3.阻断大多数传统网络攻击方式

原网由于采用了全加密覆盖连接，使得大量传统网络攻击手段失效，比如传统的 DDOS，网络窃听，中间人， DNS 污染，地址欺骗等攻击手段均失效，几乎所有七层以下的网络攻击手段均无用武之地，这将大大提升网络入侵的难度。

4.不可抵赖的入侵检测功能

在原网内在七层以下的网络攻击手段失效的同时，在七层以上的网络攻 击也将变得寸步难行，由于原网地址和密钥的对应关系，每个地址均是唯一的，因此一旦有人试图在七层上直接发动攻击试探，传统的入侵检测工具将进行精确的甄别并阻拦，传统入侵检测工具由于误报引起的缺陷将不复存在。

5.传统应用无需改造即可获得超高安全性

一些通讯应用在实现时，并未考虑协议加密的问题。只要部署在原网之内，即可获得天然的安全性。例如，普通的 http 服务，无需任何改造，即可变成超安全性的加密 web 服务。

6.强管理网络

传统的对等网络，往往被大规模的用于类似于洋葱网的用途，由于多方共建，可以达到比较好的匿名效果。但是原网强调对于节点身份的可信和不可抵赖特性的挖掘，利用原网，可以进行强网络管理，在强网络管理下，每个用户的访问权限、访问记录均可被记录并且不可抵赖，从而形成一个坚强的网络安全基石。

7.可编程动态链路控制

在原网内，两点之间可以存在多条路径，管理员可以通过获取指定链路的特定信息条件，通过编码控制两点间的路径规划，并递交给路由服务器， 从而实现动态链路切换控制。利用这样的特性可以建立高可靠性的连接网络。

四、国内外同技术领域产品

1.洋葱网络

基本概念

洋葱网络是一种在计算机网络上进行匿名通信的技术。通信数据先进行多层加密然后在由若干个被称为洋葱路由器组成的通信线路上被传送。每个洋葱路由器去掉一个加密层，以此得到下一条路由信息，然后将数据继续发往下一个洋葱路由器，不断重复，直到数据到达目的地。这就防止了那些知道数据发送端以及接收端的中间人窃得数据内容。

技术理论

洋葱网络实现以上目标的根据是Chaum的“混合瀑布”理论：消息在从发送端发送，通过一系列的代理（“洋葱路由器”），到接收端的过程中，在一条不可预测的路径上不断的重新路由转向。同时为了防止中间人窃得消息内容，消息在路由器之间传送的过程中是经过加密的。洋葱网络（或者通常称为混合瀑布）的优点是它没有必要去信任每一个合作的中间节点，如果一个或更多的中间节点被恶意操控，通信的匿名性仍然可以得到。这是因为洋葱网络中的每一个中间节点收到消息，重新加密，然后传送给下一个洋葱路由器。一个能够监视洋葱网络中所有洋葱路由器的攻击者或许有能力跟踪消息的传递路径，但如果攻击者只能监视有限数量的洋葱路由器，那么跟踪消息的具体传送路径将变得非常困难。

原网与此技术的区别

除了综上所述之外，洋葱网络在使用方式上主要强调的是使用者的匿名性。而原网系统路由技术部分在使用方式上主要强调的是实名性和不可抵赖等特征。其他的技术目标和技术成果大致相似。

2.VPN技术（虚拟专用网络）

基本概念

VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。

让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。

技术理论

通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

通过上述说明可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

原网与此技术的区别

在原网内我们应用了相关技术并且实现了与VPN作用相当的功能。并且在拥有VPN相关基础功能的情况下更加优化了使用方式和更多便捷的功能性。由于此功能是原网内置的，所以不仅可以省去昂贵的VPN建设费用、还可以在原网所创建的新型的网络通讯规则和身份认证规则以及原网的底层安全技术下实现远程办公和异地互联需求。

六、原网的应用场景

1.为特定用户群体建立敏感信息交流网

原网非常适合帮助特定用户群体建立一个高度自由但规范的安全交流网络，在这个网络中，用户可以参与建设路由节点，使用路由节点。在这个网络里面，有区别于互联网的域名系统，可以用传统互联网技术建立各种服

务网站，这些网站只为特定用户群体服务。

和强调匿名性的洋葱网络不同，由于接入该网络的用户在身份上有据可查，因此原网虽然保护了用户通讯的安全和隐私，但是一旦出现非法内容时， 非常容易进行溯源追踪，因此如果有不法分子试图利用原网来达到非法的目的目标是行不通的，同样试图在原网内攻击其他用户也是困难的。

利用原网建立敏感信息交流网，弥补了现有互联网在先天上的一些缺陷， 在保持有限范围内开放的同时，保证了信息的安全和隐私，是未来互联网发 展的一个方向。

2.为企业建立全加密安全组网

我们已经利用原网技术，对一些企业进行了联网改造。对于传统网络设备齐全的公司，原网可以构建在其互联基础之上，对于新组建公司，无需购买各种复杂的网络设备，使用简单的网络交换机即可完成高安全组网。

经过原网改造的企业，任意设备之间通讯全程加密，企业可以选择在全球任意节点访问互联网，企业的核心资源设施，建立细颗粒度的访问控制， 在一些复杂场景下，可以做到公司每一个人访问的资源权限均不相同，在这样的网络下，单一成员被黑客攻击无法蔓延到公司的整体网络，网络设备的安全漏洞也无法影响到公司的整体网络安全。

所有以上这些功能，我们为企业用户定制了原网的强管控制设施，管理员可以在管控页面上动态监控全网拓扑，以软件定义网络的方式灵活划分安全边界，将企业联网安全程度和便利程度提升到了传统联网技术难以企及的高度。

3.提供安全互联服务

原网可以为中小企业团队，以服务的方式提供安全互联服务，在这种模式下，原网类似于“安全运营商”，企业用户无需购买专有的网络安全设备， 只需要在电脑和笔记本中安装原网虚拟网卡，即可接入到原网中。用户可以在无需专有 IT 支持人员的前提下，实现 7×24 小时，跨地域、跨设备不间断安全联网。

企业所需要的协同服务器，可以在原网内动态部署，得益于原网地址的特性，企业应用服务器可以无需规划动态部署使用，安装和撤销如同在手机上安装 APP 那样简单，如果考虑到数据隐私需要，用户可以将特定的服务器安装到用户私有区域，完全无需担心数据被传统的云服务商窥视的可能。

用户可以选择在全世界各地安全访问互联网，并且在出口网关上享用统一部署的内容清洗和杀毒服务。

七、 原网的产品表现形式

原网整体产品由原网控制服务器，原网扩展器和原网客户端三部分组成， 用户可以根据自己的需要自由搭配组合使用。各部分定义如下：

1.原网控制服务器

原网控制服务器是原网的核心控制设备，它包含原网的管控后台、域名服务器、接入子设备和离岸子设备。用户可以根据实际情况，采用原网控制服务器单一组网或者和多个接入自设备、离岸自设备进行混合组网。

原网控制服务器以硬件和云镜像两种方式发布，原网服务器硬件可以灵活的部署在企业内外网中，根据用户的使用规模可以选择不同性能的服务器硬件。原网控制服务器兼容目前大多数国内云运营商主机，可灵活部署在阿里、腾讯、UCloud 等国内知名的云平台中。  

2.原网客户端

原网客户端以软件的方式安装在需要接入到原网的终端或服务器设备中，目前原网客户端支持 Windows、Linux、MacOS、Android 等常见操作系统，涵盖 X86、Arm、Mips 等硬件平台。对于有特殊需求的客户，原网的客户支持中心同时也为用户提供特定硬件的移植服务，可为用户提供摄像头、无线路由器等嵌入式硬件设备的接入移植方案。

安装原网客户端的计算设备，将无缝接入到原网中，为用户提供全加密通讯网络，用户可以使用其内置的语音、视频即时通讯工具进行放心聊天， 安全传输文件。也可部署用户自己的服务设备，供加密网络内访问。

3.原网扩展器

对于跨地域，复杂的组网用户，我们提供原网扩展器。利用原网扩展器， 用户可以无限延展自建原网的规模，可以建立多个原网的接入或离岸节点。原网扩展器同样以硬件和云镜像的方式提供，用户可以根据组网需要进行灵活部署。原网扩展器部署以后，通过原网控制服务器集中统一管理。