本发明专利技术提供了一种基于socks5的传输层代理通信方法,该方法包括:将所有移动虚拟专网账户中协商安全规则的集合设置为账户群组;在新账户加入账户群组时创建安全规则,为账户下载和更新密钥;存储生成的安全规则与所有账户的ID、公钥信息,对多播数据的认证提供认证信息;采用RSA算法对进入/外出的数据进行签名认证;获取Socks5的安全规则,发送被签名和认证的数据流。本发明专利技术提出了一种基于socks5的传输层代理通信方法,实现了不同账户密钥和规则的安全集中管理和多点之间的无隧道连接,支持大规模扩展,并且能够保证大流量环境下的通信质量。
【技术实现步骤摘要】
基于socks5的传输层代理通信方法
本专利技术涉及计算机网络,特别涉及一种基于socks5的传输层代理通信方法。
技术介绍
移动虚拟专网正在变成一个相互连接的将整个移动用户和贸易伙伴连接到一起的网络;它将成为一个以更安全便捷高速的方式为客户以及企业提供他们所需要服务的业务平台。现在的企业主要从三点出发对移动虚拟专网进行改进发展:首先是安全,保证数据的传输安全有效;其次QoS;最后通过嵌入式集成化目录与公共和私有化目录交互,从而实现对远程和移动用户信息进行管理和控制。随着移动虚拟专网在用户间的应用也越来越普遍,但是它仍然暴露出来一些缺点。首先在账户-服务器和账户-账户之间全部建立隧道需要在路由设备上进行n2次的网络配置与管理,工作量巨大且维护成本高;其次假设已经成功建立好移动虚拟网络,在智能业务越来越发达的今天,移动虚拟专网缺乏对多播和路由技术的支持,在企业级用户需要一些高质量的信息交互时,无法真正发挥作用。
技术实现思路
为解决上述现有技术所存在的问题,本专利技术提出了一种基于socks5的传输层代理通信方法,包括:将所有移动虚拟专网账户中协商安全规则的集合设置为账户群组;在新账户加入账户群组时创建安全规则,为账户下载和更新密钥;存储生成的安全规则与所有账户的ID、公钥信息,对多播数据的认证提供认证信息;采用RSA算法对进入/外出的数据进行签名认证;获取Socks5的安全规则,用于发送被签名和认证的数据流。优选地,所述密钥密钥包括两种类型:加密报文的密钥PK,由群组内的所有账户共享,用于加密账户之间的报文;加密密钥的密钥EK:由组内的所有账户共享,用于加密账户服务器向账户发送的重加密消息。优选地:所述账户在本地配置访问列表并从账户服务器下载访问列表,账户优先匹配本地的访问列表,再匹配下载的访问列表。优选地:在账户对报文的封包处理中,只有成功匹配了访问列表的报文才能进行封包处理。优选地,对查找不到访问列表的报文,对本机发送的协商报文不做处理。优选地,在对报文进行封包处理时,如果Socks5群组账户的封包模式为隧道模式,则设置外层封包的IP头的源目的地址与内层IP头相同;当满足报文的大小超过Socks5群组账户的最大封包长度、报文没有设置DF标记的条件后,账户先对待封包的报文进行分片,然后再封包处理。优选地,对于报文的解包处理,如果是转发的报文,则优先匹配账户服务器分发的访问列表,匹配规则时忽略上层协议和端口号;如果匹配到访问列表的拒绝规则,则需要继续匹配,直到没有匹配的允许规则再出现于报文;如果是到本机的报文,则直接查找Socks5群组账户对报文进行解包;如果接收到的报文是明文,则先匹配本地访问列表,然后再匹配账户服务器分发的访问列表。优选地,在账户登录成功后,根据账户服务器分发的Socks5群组账户密钥和重加密密钥的有效期计算出重登录的时间并刷新该登录定时器;如果在该定时器超时时间内账户没有接收到账户服务器发送的重加密报文,则账户重新向该账户服务器进行登录并获取新的密钥信息;其中Socks5群组账户密钥重登录时间的计算方法为:8.1先分别计算保护每一条数据流的所有Socks5群组账户中最大的有效期,再从中获取最小的有效期做为当前账户组中的Socks5群组账户有效期;8.2如果Socks5群组账户密钥的有效期大于预定义最大阈值,则重登录时间=群组账户密钥有效期-(60+0到(Socks5群组账户密钥有效期*10%-60)/2)之间的随机值);8.3如果Socks5群组账户密钥的有效期在预设最小阈值和最大阈值之间,则重登录时间=Socks5群组账户密钥有效期-60到75之间的随机值;8.4如果Socks5群组账户的有效期小于预设最小阈值时,则重登录时间=Socks5群组账户生命周期有效期-1到30之间的随机值。本专利技术相比现有技术,具有以下优点:本专利技术提出了一种基于socks5的传输层代理通信方法,实现了不同账户密钥和规则的安全集中管理和多点之间的无隧道连接,支持大规模扩展,并且能够保证大流量环境下的通信质量。附图说明图1是根据本专利技术实施例的基于socks5的传输层代理通信方法的流程图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定,并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。本专利技术的一方面提供了一种基于socks5的传输层代理通信方法。图1是根据本专利技术实施例的基于socks5的传输层代理通信方法流程图。本专利技术针对移动虚拟专网安全加密,结合socks5协议实现对密钥和规则的集中管理与分发,从而实现点到点的无隧道连接。Socks5在协议栈的TCP层上运行,是介于传输层和应用层之间的中介层协议,是为了让使用TCP和UDP的客户/服务器应用程序更方便安全地使用网络防火墙所提供的服务而设计。对于上层应用层协议来说,Socks代理只是简单地传递数据包,而不必关心是何种应用协议(比如FTP,HTTP请求)。Socks5协议的工作原理与应用代理相似,作为网络边界上的Socks服务器接收客户的请求,并代理外部的应用服务器,使得客户与外部的联系实质上是Socks客户与Socks服务器之间的联系;而外部的应用服务器所接受的请求是来自Socks服务器的外部接口,也就是说Socks服务器对内部网络的客户来说是服务器,对外部网络的应用服务器来说是客户。本专利技术建立账户服务器来实现Socks5信道协商建立阶段的密钥信息和安全规则的集中管理。将所有移动虚拟专网账户中协商安全规则的集合设置为账户群组,一个群组中的账户共享用来协商的密钥和安全规则信息。一个账户服务器及它的冗余备份账户服务器用来划分账户群组,不同的账户服务器管理不同的密钥和安全规则,即一个专网中通过不同的账户服务器来划分不同的群组;账户服务器产生和管理的密钥和安全规则分发给同组的账户来实现多播过程。账户通过和账户服务器的协商来加入不同的账户群组中,形成群组账户。账户负责对同组之间账户数据报文加密和解密,数据报文的转发发生在同一个群组的账户之间,账户就是基于账户服务器分发的规则和安全规则来加密通信报文。账户服务器为整个账户群组维护安全规则、创建和维护密钥信息。它有两个功能:响应账户的登录请求,以及发送重加密消息。具体账户服务器与账户的交互工作过程分为两种情况:账户通过配置登录信息向账户服务器进行登录,账户服务器收到账户的登录信息将密钥和安全规则分发;在密钥设定的有效期超时前,账户服务器会产生重加密信息,通过这个重加密信息通知所有账户替换新的密钥。密钥包括两种类型:PK加密报文的密钥:由群组内的所有账户共享,用于加密账户之间的报文;EK加密密钥的密钥:由组内的所有账户共享,用于加密账户服务器向账户发送的重加密消息。账户通过账户服务器来共享相同安全规则和密钥。同一个账户群组的账户在通过账户服务器登录成功之后,两两之间便可以协商建立Socks5信道。账户在向账户服务器登录时提供这个群组的ID来进行身份认证,身份认本文档来自技高网...
【技术保护点】
一种基于socks5的传输层代理通信方法,用于在移动虚拟专网的IP网络设备中配置账户服务器和账户,其特征在于,包括:将所有移动虚拟专网账户中协商安全规则的集合设置为账户群组;在新账户加入账户群组时创建安全规则,为账户下载和更新密钥;存储生成的安全规则与所有账户的ID、公钥信息,对多播数据的认证提供认证信息;采用RSA算法对进入/外出的数据进行签名认证;获取Socks5的安全规则,发送被签名和认证的数据流。
【技术特征摘要】
1.一种基于socks5的传输层代理通信方法,用于在移动虚拟专网的IP网络设备中配置账户服务器和账户,其特征在于,包括:将所有移动虚拟专网账户中协商安全规则的集合设置为账户群组;在新账户加入账户群组时创建安全规则,为账户下载和更新密钥;存储生成的安全规则与所有账户的ID、公钥信息,对多播数据的认证提供认证信息;采用RSA算法对进入/外出的数据进行签名认证;获取Socks5的安全规则,发送被签名和认证的数据流。2.根据权利要求1所述的方法,其特征在于,所述密钥密钥包括两种类型:加密报文的密钥PK,由群组内的所有账户共享,用于加密账户之间的报文;加密密钥的密钥EK:由组内的所有账户共享,用于加密账户服务器向账户发送的重加密消息。3.根据权利要求1所述的方法,其特征在于,还包括:所述账户在本地配置访问列表并从账户服务器下载访问列表,账户优先匹配本地的访问列表,再匹配下载的访问列表。4.根据权利要求3所述的方法,其特征在于,还包括:在账户对报文的封包处理中,只有成功匹配了访问列表的报文才能进行封包处理。5.根据权利要求3所述的方法,其特征在于,还包括,对查找不到访问列表的报文,对本机发送的协商报文不做处理。6.根据权利要求3所述的方法,其特征在于,还包括,在对报文进行封包处理时,如果Socks5群组账户的封包模式为隧道模式,则设置外层封包的IP头的源目的地址与内层IP头相同;当满足报文的大小超过Socks5群组账户的最大封包长度、报文没有设置DF标记的条件后,账户先对待封包的报文进行分片,然后再封包处理。...
【专利技术属性】
技术研发人员:陈云川,
申请(专利权)人:成都极玩网络技术有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。