基于多跳安全通信的防溯源方法、装置及可读存储介质与流程

本技术涉及计算机网络安全，特别是一种基于多跳安全通信的防溯源方法、装置及可读存储介质。

背景技术：

1、目前，已有的防溯源方案一般有两种：一、采用现有成熟vpn通信协议，主要有pptp、l2tp或者openvpn等，通过在私有服务器搭建vpn接入服务，并通过对应的客户端程序连接，实现匿名访问远程网络资源。二、基于socks5等代理协议开源软件进行针对性修改开发，添加转发节点部署成代理服务，并在客户端通过专有硬件设备或客户端程序进行远程代理访问，实现基本的防溯源功能。

2、现有技术方案普遍存在访问过程透明、直连代理、通信加密协议为开源方案，开源加密协议容易被分析捕获等安全隐患。同时常见的网络跟踪技术和代理风险主要有以下几点：

3、1、对直连代理，通过直接攻破代理服务或者通过代理数据包的ip信息，以溯源本地ip信息。

4、2、转发级数少，通常不超过3层转发，转发节点固定，通信延迟高。

5、3、访问过程透明和开源加密通信协议，流量特征明显，容易被深度报文检测，检测和捕获，通过抓取记录异常流量和异常访问行为，对流量信息进行解密，进行解析，获取相关联的域名和ip。

6、4、通信加密密钥生成后长期使用，时效性差。在长时间使用过程中存在被第三方获取后解密通信数据和进行中间人攻击的风险。

技术实现思路

1、本发明的主要目的在于提出一种基于多跳安全通信的防溯源方法、系统及可读存储介质，旨在解决现有防溯源方案普遍存在访问过程透明、直连代理、通信加密协议为开源方案，开源加密协议容易被分析捕获等安全隐患的技术问题。

2、为了解决上述技术问题，本发明提供了第一方面提供一种基于多跳安全通信的防溯源方法，该方法包括：

3、调用加密通信协议执行动态路由建链，构建包括接入客户端、入口节点、隔离节点、出口节点的安全通信链路，并随机在入口节点、隔离节点以及出口节点集群中选择至少三个中继节点；

4、向随机通信节点发起连接请求，连接成功后进入加密数据通信状态；采用rsa公钥加密算法非对称加密体制对所述安全通信链路中的对会话报文进行加密、解密；

5、在所述接入客户端和所述入口节点的服务器端之间构建双向身份校验机制，所述接入客户端校验所述入口节点的服务端的数字证书信息，所述入口节点的服务端校验所述接入客户端的账号口令。

6、进一步的，所述方法还包括：

7、当加密数据通信状态的连接断开后，重新构建新的安全通信链路，并且原来的安全通信链路即时销毁。

8、进一步的，所述采用rsa公钥加密算法非对称加密体制对所述安全通信链路中的对会话报文进行加密、解密具体包括：

9、采用rsa公钥加密算法非对称加密体制传输所述安全通信链路中的会话密钥，在出口节点的服务器和接入客户端均预先设置由证书公钥，所述接入客户端使用安全传输层协议tls连接上入口节点的服务器后，直接使用tls安全通道获取会话密钥参数，所述出口节点的服务器在所述安全通信链路建立时，使用rsa非对称加密体制与所述接入客户端之间协商所述会话密钥。

10、进一步的，所述出口节点的服务器在所述安全通信链路建立时，使用rsa非对称加密体制协商所述会话密钥之后，所述方法还包括：

11、所述出口节点的服务器与所述接入客户端之间按照预设时间周期强制重新进行密钥协商，所述会话密钥参数由两端随机产生。

12、进一步的，所述调用加密通信协议执行动态路由建链之前，所述方法还包括：

13、调制所述加密通信协议，所述加密通信协议是基于数据封包投递的端到端加密通信协议，所述加密通信协议内置多跳通信支持；所述加密通信协议的底层使用异步通信库接口进行通信，所述加密通信协议的上层使用统一数据包读写接口以及异步回调接口，支持最大单包64kb数据包文收发，支持设置不同底层数据通信协议udp/tcp/tls，所述加密通信协议内置包括aes256、aes128以及chacha20的多种加密算法对数据包进行全程加密，支持通过参数配置不同的加密套件。

14、进一步的，所述采用rsa公钥加密算法非对称加密体制对所述安全通信链路中的对会话报文进行加密、解密包括：

15、所述接入客户端使用数字证书通过tls连接到所述入口节点的服务器，请求建立到指定所述出口节点的服务器路由链路；

16、所述入口节点的服务器根据路由策略随机生成路由链路表，同时生成随机数a，向下发出包含所述随机数a的链路建立请求；

17、当出口节点的服务器接收到包含所述随机数a的数据包后生成连接参数，并使用公钥将连接参数以rsa4096加密后顺着链路回传给所述入口节点的服务器；

18、所述入口节点的服务器接收到从所述出口节点的服务器发来的数据包后，以私钥解开获取所述连接参数；

19、所述入口节点的服务器将所述随机数a和所述连接参数通过tls发往所述接入客户端；

20、所述接入客户端和所述出口节点的服务器分别利用sha256算法对所述随机数a和所述连接参数进行散列运算生成会话密钥；

21、所述接入客户端和所述出口节点的服务器利用对称加密算法和会话秘钥，对会话报文进行加密、解密。

22、可选的，所述入口节点的服务器根据路由策略随机生成路由链路表，同时生成随机数a，向下发出包含所述随机数a的链路建立请求的步骤之后，所述方法包括：

23、请求建立链路过程中，若链路中有中间节点不可达，则进入超时并重新开始建立链路流程；

24、若链路中有中间节点均可达，包含随机数a的数据包到达出口节点的服务器后，所述出口节点的服务器生成连接参数，并使用公钥将连接参数以rsa4096加密后顺着链路回传给所述入口节点的服务器；

25、可选的，所述对称加密算法是包括aes256、aes128以及chacha20在内的其中一种加密算法。

26、本发明实施例第二方面提供了一种基于多跳安全通信的防溯源装置，所述装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现以下：

27、调用加密通信协议执行动态路由建链，构建包括接入客户端、入口节点、隔离节点、出口节点的安全通信链路，并随机在入口节点、隔离节点以及出口节点集群中选择至少三个中继节点；

28、向随机通信节点发起连接请求，连接成功后进入加密数据通信状态；采用rsa公钥加密算法非对称加密体制对所述安全通信链路中的对会话报文进行加密、解密；

29、在所述接入客户端和所述入口节点的服务器端之间构建双向身份校验机制，所述接入客户端校验所述入口节点的服务端的数字证书信息，所述入口节点的服务端校验所述接入客户端的账号口令。

30、本发明实施例第三方面提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有基于多跳安全通信的防溯源程序，所述基于多跳安全通信的防溯源程序被处理器执行时实现上述的基于多跳安全通信的防溯源方法的步骤。

31、本发明技术方案的有益效果：

32、本发明实施例的基于多跳安全通信的防溯源方法、装置及其计算机可读存储介质，通过调制后私有加密通信协议，降低特征包被检测和记录的风险，避免被拦截，同时内置aes256、aes128以及chacha20三种加密算法对数据包进行全程加密，支持不同用户使用不同算法进行数据加密。对用户通信数据报文全程执行密文转发，支持对tcp/udp/icmp通信协议的数据透明代理；通信数据全程使用aes256（默认）、aes128以及chacha20加密算法加密；客户端和服务器进行双向身份认证，客户端与服务器之间通过账密口令和证书进行认证，避免第三方恶意接入服务器。

33、