[发明专利]网络代理账户控制方法

说明书

技术领域

本发明涉及计算机网络，特别涉及一种网络代理账户控制方法。

背景技术

移动虚拟专网正在变成一个相互连接的将整个移动用户和贸易伙伴连接到一起的网络；它将成为一个以更安全便捷高速的方式为客户以及企业提供他们所需要服务的业务平台。现在的企业主要从三点出发对移动虚拟专网进行改进发展：首先是安全，保证数据的传输安全有效；其次QoS；最后通过嵌入式集成化目录与公共和私有化目录交互，从而实现对远程和移动用户信息进行管理和控制。随着移动虚拟专网在用户间的应用也越来越普遍，但是它仍然暴露出来一些缺点。首先在账户-服务器和账户-账户之间全部建立隧道需要在路由设备上进行n²次的网络配置与管理，工作量巨大且维护成本高；其次假设已经成功建立好移动虚拟网络，在智能业务越来越发达的今天，移动虚拟专网缺乏对多播和路由技术的支持，在企业级用户需要一些高质量的信息交互时，无法真正发挥作用。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种网络代理账户控制方法，包括：

建立账户服务器，集中管理Socks5信道建立阶段的密钥信息和安全规则；

针对移动虚拟专网，将协商安全规则的集合设置为账户群组，群组中的账户共享用来协商的密钥和安全规则；

结合socks5协议实现对密钥和规则的分发，实现点到点连接。

优选地，不同的账户服务器管理不同的密钥和安全规则，即一个专网中通过不同的账户服务器来划分不同的群组；

账户服务器产生和管理的密钥和安全规则分发给同组的账户来实现多播过程。

优选地，每个账户基于账户服务器分发的规则和安全规则来加密通信报文。

优选地，所述账户服务器用于为整个账户群组维护安全规则、创建和维护密钥信息；

账户服务器与账户的交互工作过程分为两种情况：账户通过配置登录信息向账户服务器进行登录，账户服务器收到账户的登录信息将密钥和安全规则分发；在密钥设定的有效期超时前，账户服务器会产生重加密信息，通过这个重加密信息通知所有账户替换新的密钥。

优选地，所述密钥包括两种类型：

加密报文的密钥PK：由群组内的所有账户共享，用于加密账户之间的报文；

加密密钥的密钥EK：由组内的所有账户共享，用于加密账户服务器向账户发送的重加密消息。

优选地，同一个账户群组的账户在通过账户服务器登录成功之后，两两之间协商建立Socks5信道；

账户在向账户服务器登录时提供这个群组的ID来进行身份认证，身份认证成功后账户服务器根据组ID进行密钥和安全规则的分发。

优选地，所述协商建立Socks5信道，进一步包括：

第一阶段协商过程需要交换6条消息，最终协商出来安全规则：

7.1.通信双方特征Hash值交换，发起方产生Hash-I；应答方产生hash-R，并与hash-I一起发送，这一对hash在整个安全规则协商中不变；

7.2.发起者产生RSA的秘密值x_i；在选定的RSA组中产生公开数值g^x_i；产生随机数N_i；在报文载荷中发送N_i，g^x_i；在收到响应者的消息后，计算RSA的对称密钥g^x_y；最后用g^x_y、N_i、N_r计算安全密钥Z；

7.3.应答者产生RSA的秘密值x_r；在选定的RSA组中产生公开数值g^x_r；产生随机数N_r；在报文载荷中送出N_r，g^x_r；在收到发起者的信息之后，计算RSA的对称密钥g^x_y；用g^x_y、N_r、N_i计算安全密钥Z，计算出来安全密钥Z后再应用RSA算法计算出以下三个参数：

SKID_d:在Socks5协议阶段协商使用，通过这个参数来计算协议产生的密钥资源；

SKID_a:散列算法预分发密钥信息，通过这个参数实现对协商数据的完整性认证；

SKID_e:一个加密参数，通过它对下一阶段信息、数据、预分发密钥和Socks协议协商过程进行加密。