[发明专利]基于socks5的传输层代理通信方法

权利要求书

1.一种基于socks5的传输层代理通信方法，用于在移动虚拟专网的IP网络设备中配置账户服务器和账户，其特征在于，包括：

将所有移动虚拟专网账户中协商安全规则的集合设置为账户群组；

在新账户加入账户群组时创建安全规则，为账户下载和更新密钥；

存储所创建的安全规则与所有账户的ID，对多播数据的认证提供认证信息；

采用RSA算法对进入和外出的数据进行签名认证；

获取所存储的安全规则，发送被签名和认证的数据流；

该方法还包括：所述账户在本地配置访问列表并从账户服务器下载访问列表，账户优先匹配本地的访问列表，再匹配下载的访问列表；

在对报文进行封包处理时，如果Socks5群组账户的封包模式为隧道模式，则设置外层封包的IP头的源目的地址与内层IP头相同；

当满足报文的大小超过Socks5群组账户的最大封包长度、报文没有设置DF标记的条件后，账户先对待封包的报文进行分片，然后再封包处理；

对于报文的解包处理，如果是转发的报文，则优先匹配账户服务器分发的访问列表，匹配规则时忽略上层协议和端口号；如果匹配到访问列表的拒绝规则，则需要继续匹配，直到没有匹配的允许规则再出现于报文；

如果是到本机的报文，则直接查找Socks5群组账户对报文进行解包；如果接收到的报文是明文，则先匹配本地访问列表，然后再匹配账户服务器分发的访问列表；

在账户登录成功后，根据账户服务器分发的Socks5群组账户密钥和重加密密钥的有效期计算出重登录的时间并刷新登录定时器；如果在该定时器超时时间内账户没有接收到账户服务器发送的重加密报文，则账户重新向该账户服务器进行登录并获取新的密钥信息；其中Socks5群组账户密钥重登录时间的计算方法为：

步骤1，先分别计算保护每一条数据流的所有Socks5群组账户中最大的有效期，再从中获取最小的有效期做为当前账户组中的Socks5群组账户有效期；

步骤2，如果Socks5群组账户密钥的有效期大于预定义最大阈值，则重登录时间＝群组账户密钥有效期-(60+0到(Socks5群组账户密钥有效期*10％-60)/2)之间的随机值)；

步骤3，如果Socks5群组账户密钥的有效期在预设最小阈值和最大阈值之间，则重登录时间＝Socks5群组账户密钥有效期-60到75之间的随机值；

步骤4，如果Socks5群组账户的有效期小于预设最小阈值时，则重登录时间＝Socks5群组账户生命周期有效期-1到30之间的随机值。

2.根据权利要求1所述的方法，其特征在于，所述密钥包括两种类型：

加密报文的密钥PK，由群组内的所有账户共享，用于加密账户之间的报文；

加密密钥的密钥EK：由群组内的所有账户共享，用于加密账户服务器向账户发送的重加密消息。

3.根据权利要求2所述的方法，其特征在于，还包括：在账户对报文的封包处理中，只有成功匹配了访问列表的报文才能进行封包处理。