[发明专利]基于端口控制的网络安全隧道建立方法

权利要求书

1.一种基于端口控制的网络安全隧道建立方法，其特征在于，包括：

在远程客户端和网络映射器之间建立桥接主控；

远程客户端与桥接主控建立安全连接；

应用程序连接网络映射器，网络映射器收到连接请求后，查询配置信息，获得目标远程客户端ID和目标名TargetName或目标地址TargetAddress，网络映射器与桥接主控建立安全连接；

网络映射器向桥接主控发送映射请求命令，桥接主控对该命令进行权限检测，并检测远程客户端ID是否连接；

桥接主控为当前的网络映射器请求连接动态生成包含对应关系的随机数，向对应远程客户端的命令通道发送启动连接命令，并等待远程客户端连接；

远程客户端接收到桥接主控发送的启动连接命令，向目标地址TargetAddress发起连接；

连接成功后，远程客户端与桥接主控建立新的连接，桥接主控将远程客户端新创建的数据连接与之前网络映射器发起的数据连接逻辑上关联起来，并负责为两个连接进行数据转发。

2.根据权利要求1所述的基于端口控制的网络安全隧道建立方法，其特征在于，所述应用程序通过TCP协议连接网络映射器。

3.根据权利要求1所述的基于端口控制的网络安全隧道建立方法，其特征在于，所述应用程序通过UDP协议连接网络映射器。

4.根据权利要求3所述的基于端口控制的网络安全隧道建立方法，其特征在于，所述应用程序向网络映射器映射的本地端口发送UDP数据包，网络映射器获取该数据包的源信息，维护一个内存映射表，记录该UDP源与安全隧道的关系，如果已经存在，那么获取该隧道句柄，如果不存在，查询配置信息，获得目标远程客户端ID和对应目标地址。

5.根据权利要求4所述的基于端口控制的网络安全隧道建立方法，其特征在于，所述远程客户端为每一个创建的UDP应用程序提供一个接受超时记录，当该UDP应用程序在单位时间内没有接收到数据的情况下，将强制关闭远程客户端与桥接主控建立的新连接。

6.根据权利要求2或3所述的基于端口控制的网络安全隧道建立方法，其特征在于，所述远程客户端与桥接主控建立安全连接时，远程客户端发送包含远程客户端ID和密码的登录命令，桥接主控通过验证后发送验证成功回复，并保持这个连接并把该远程客户端ID和隧道的网络通讯句柄保存在内存记录中，作为该远程客户端的命令通道。

7.根据权利要求2或3所述的基于端口控制的网络安全隧道建立方法，其特征在于，所述远程客户端或网络映射器与桥接主控建立安全连接时，包括如下步骤：

客户端向桥接主控指定端口创建连接；

客户端利用RSA算法动态生成客户端密钥和客户端公用密钥；

客户端使用服务器密钥对客户端公用密钥加密，获得客户端公用密钥编码；

将握手标识附加客户端公用密钥编码的二进制序列作为初次握手数据包以DP数据包发送给桥接主控；

桥接主控收到初次接收到的DP数据包对握手标识进行检测，并使用客户端密钥解密客户端公用密钥编码获取客户端公用密钥；

桥接主控随机生成8字节的关键密钥作为DES算法的密钥，桥接主控使用客户公用密钥对关键密钥进行加密，生成关键密钥编码；

桥接主控使用服务器密钥对关键密钥编码进行签名生成关键密钥签名；

桥接主控将关键密钥编码和关键密钥签名的二进制序列拼接并以DP数据包返回客户端；

客户端收到后使用客户端公用密钥和关键密钥签名对关键密钥编码进行校验，并使用客户端密钥解密关键密钥编码，获得关键密钥；

安全隧道初始完成，客户端和桥接主控都拥有关键密钥，后续所有的DP数据包都必须使用关键密钥按照DES算法进行加密或解密。