[发明专利]网络代理账户控制方法

权利要求书

1.一种网络代理账户控制方法，其特征在于，包括：

建立账户服务器，集中管理Socks5信道建立阶段的密钥信息和安全规则；

针对移动虚拟专网，将协商安全规则的集合设置为账户群组，群组中的账户共享用来协商的密钥和安全规则；

结合socks5协议实现对密钥和规则的分发，实现点到点连接。

2.根据权利要求1所述的方法，其特征在于：

不同的账户服务器管理不同的密钥和安全规则，即一个专网中通过不同的账户服务器来划分不同的群组；

账户服务器产生和管理的密钥和安全规则分发给同组的账户来实现多播过程。

3.根据权利要求1所述的方法，其特征在于，每个账户基于账户服务器分发的规则和安全规则来加密通信报文。

4.根据权利要求1所述的方法，其特征在于，所述账户服务器用于为整个账户群组维护安全规则、创建和维护密钥信息；

账户服务器与账户的交互工作过程分为两种情况：账户通过配置登录信息向账户服务器进行登录，账户服务器收到账户的登录信息将密钥和安全规则分发；在密钥设定的有效期超时前，账户服务器会产生重加密信息，通过这个重加密信息通知所有账户替换新的密钥。

5.根据权利要求4所述的方法，其特征在于，所述密钥包括两种类型：

加密报文的密钥PK：由群组内的所有账户共享，用于加密账户之间的报文；

加密密钥的密钥EK：由组内的所有账户共享，用于加密账户服务器向账户发送的重加密消息。

6.根据权利要求1所述的方法，其特征在于，同一个账户群组的账户在通过账户服务器登录成功之后，两两之间协商建立Socks5信道；

账户在向账户服务器登录时提供这个群组的ID来进行身份认证，身份认证成功后账户服务器根据组ID进行密钥和安全规则的分发。

7.根据权利要求6所述的方法，其特征在于，所述协商建立Socks5信道，进一步包括：

第一阶段协商过程需要交换6条消息，最终协商出来安全规则：

7.1.通信双方特征Hash值交换，发起方产生Hash-I；应答方产生hash-R，并与hash-I一起发送，这一对hash在整个安全规则协商中不变；

7.2.发起者产生RSA的秘密值x_i；在选定的RSA组中产生公开数值g^x_i；产生随机数N_i；在报文载荷中发送N_i，g^x_i；在收到响应者的消息后，计算RSA的对称密钥g^x_y；最后用g^x_y、N_i、N_r计算安全密钥Z；

7.3.应答者产生RSA的秘密值x_r；在选定的RSA组中产生公开数值g^x_r；产生随机数N_r；在报文载荷中送出N_r，g^x_r；在收到发起者的信息之后，计算RSA的对称密钥g^x_y；用g^x_y、N_r、N_i计算安全密钥Z，计算出来安全密钥Z后再应用RSA算法计算出以下三个参数：

SKID_d:在Socks5协议阶段协商使用，通过这个参数来计算协议产生的密钥资源；

SKID_a:散列算法预分发密钥信息，通过这个参数实现对协商数据的完整性认证；

SKID_e:一个加密参数，通过它对下一阶段信息、数据、预分发密钥和Socks协议协商过程进行加密。

7.4.在通过两个消息交换用户身份信息载荷和散列载荷，对对方进行验证，这两个消息都是通过加密进行的；

第二阶段对Socks5协议的某些定义进行扩展：将安全规则扩展成账户群组安全规则，其中还包括3个子规则：第一阶段协商产生的安全规则、重加密密钥、数据传输保护；其中对于重加密密钥，在一个多播群组中只存在一个重加密密钥，是通过账户服务器直接分发给群组账户；在群组账户更新时，账户服务器通过重加密密钥通知群组账户进行密钥的更新与处理；

数据传输保护通过通信双方单播协商而成，通过拉取和推送两个交换过程与账户服务器进行规则管理，账户之间通过这两个交换得到的安全规则，保证各个账户数据传输的安全性。