[发明专利]安全多链路加密代理的方法及系统

权利要求书

1.一种安全多链路加密代理的方法，其特征在于，包括以下步骤：

S1：创建多条加密链路：创建1条或多条加密链路，每条加密链路均包含入口代理节点、中继代理节点、出口代理节点，各加密链路的入口代理节点、中继代理节点平行不相关，各加密链路共享同一个出口代理节点，进行多链路数据加密通讯；步骤S1包括以下子步骤：

S1-1：获取加密链路的代理节点列表，控制服务器提供的代理节点列表数量大于等于3；

S1-2：选举入口代理节点及出口代理节点；

S1-3：组织加密链路；

S1-4：发送创建加密链路指令；

S1-5：代理节点解析，创建加密链路指令，

S1-6：判断加密链路是否创建成功，若是则将该加密链路的信息存储链路数组中，否则进入步骤S1-1，重新创建；

S1-7：判断是否所有加密链路全部创建完毕，若是，则创建完毕，否则进入步骤S1-1；

S2：进行请求数据报文处理，读取请求数据网络报文，通过创建的加密链路将数据发送给网站服务器；步骤S2包括以下子步骤：

S2-1：读取请求数据网络报文，判断该会话是否为新连接，如果为新连接则以入口代理节点的IP和端口作为Value创建NAT对照信息，并保存到Map中，然后进入S2-2，否则，直接进入S2-2；

S2-2：使用链路数据加密密钥以及AES算法加密传输的数据内容；

S2-3：通过随机算法选择加密链路数组中的其中一个加密链路，并发送加密的数据到入口代理节点，入口代理节点利用创建好的加密链路逐级转发加密数据；

S2-4：出口代理节点使用保存的链路数据加密密钥DataKey解密数据为明文数据并发送给网站服务器；

S2-5：提取报文的源IP、源端口作为KEY判断该会话是否为新连接，如果为新连接则以上级代理节点的IP和端口作为Value，创建此次通讯NAT信息并保存到Map中，否则转发数据到网站服务器；

S3：进行响应数据报文处理，读取网站服务器的响应数据网络报文，通过创建的加密链路接收数据；步骤S3包括以下子步骤：

S3-1:出口代理节点读取网站服务器的响应数据网络报文，提取报文的目的IP、目的端口作为KEY查找Map中保存的NAT信息，如果存在NAT信息，则提取上级代理节点的IP和端口；否则丢弃该数据报文；

S3-2：出口代理节点使用链路数据加密密钥DataKey以及AES算法加密传输的数据内容；

S3-3：出口代理节点将加密数据发送到上级代理节点的IP和端口并逐级传递加密数据；

S3-4：代理客户端接收入口代理节点的数据，使用保存的链路数据加密密钥DataKey解密数据为明文数据；

S3-5：代理客户端提取报文的目的IP、目的端口作为KEY，查找Map中的NAT信息，若存在NAT信息则提取NAT信息中请求者的IP和端口并转发明文数据，否则丢弃该报文；

S4：防端口探测：绕过操作系统的SOCKET表示层，并在SYN网络数据报文中添加身份鉴权信息，丢弃鉴权失败的网络扫描数据报文。

2.根据权利要求1所述的安全多链路加密代理的方法，其特征在于，所述步骤S1-3中：代理节点按照先后顺序串行排列，组成一个代理节点列表，其中入口代理节点作为第1级代理节点，中继代理节点作为第2-N级代理节点，出口代理节点作为N+1级代理节点，N为自然数，N的最大值为5。

3.根据权利要求2所述的安全多链路加密代理的方法，其特征在于，所述步骤S1-4中：使用Random随机算法产生链路数据加密密钥DataKey；对排列好的代理节点，使用代理节点密钥、RSA加密算法加密下一级代理节点的IP和端口信息，其中出口代理节点加密固定IP为127.0.0.1、端口为0以及链路数据加密密钥DataKey；将加密信息依据代理节点排列顺序依次追加到指令链表NodeList中形成链路创建指令；创建代理客户端和入口代理节点的网络连接SOCKET，通过SOCKET发送链路创建指令到入口代理节点。