匿名上网设备及系统的制作方法

本发明涉及通信技术领域，具体而言，涉及一种匿名上网设备及系统。

背景技术：

目前，用户一般通过在上网设备(例如，电脑、手机等)上运行tor(theonionrouter)客户端，实现匿名上网，但是安装和配置tor对专业水平要求较高，大部分普通用户难以成功运行tor。此外，一些协议可能会泄露真实ip，例如用户常用的bt协议下载与上传等，但是由于tor本身没有对各种协议进行屏蔽，所以依然存在隐私泄露的风险。

技术实现要素：

为了克服现有技术中的上述不足，本发明的目的在于提供一种匿名上网设备及系统，能够降低普通用户使用tor进行匿名上网的难度，同时对在使用tor的过程中出现的可能泄露真实ip的数据包进行过滤，提高匿名上网的安全性。

为了实现上述目的，本发明较佳实施例采用的技术方案如下：

本发明较佳实施例提供一种匿名上网设备，所述匿名上网设备包括第一网口、第二网口、处理装置以及硬件开关电路，所述第一网口、第二网口以及硬件开关电路分别与所述处理装置电性连接，所述第一网口通过物理网线与上网设备电性连接，所述第二网口通过物理网线与网络端口电性连接；

所述处理装置用于监测从所述第一网口进入的数据包，并检测所述硬件开关电路的电路状态，在检测到所述电路状态为第一电路状态时，生成所述数据包发送到目的地址的过程中需要经过的tor节点组成的tor节点路径，同时判断所述tor节点路径是否满足预设安全规则，在为是时，基于所述tor节点路径将所述数据包从所述第二网口发送给所述目的地址，以访问所述目的地址所在服务器。

在本发明较佳实施例中，所述处理装置还用于在检测到所述电路状态为第二电路状态时，将所述数据包转发给所述目的地址，以访问所述目的地址所在服务器。

在本发明较佳实施例中，所述匿名上网设备还包括与所述硬件开关电路电性连接，用于控制所述硬件开关电路的电路状态的匿名控制开关。

在本发明较佳实施例中，所述匿名上网设备还包括与所述处理装置电性连接，用于与外部访问设备进行通信的通信接口，所述处理装置在检测到外部访问设备通过所述通信接口接入时，获取该外部访问设备的设备信息，并判断该外部访问设备的访问权限是否为预设权限，若是，则开启该外部访问设备对所述匿名上网设备的上网配置信息的配置权限。

在本发明较佳实施例中，所述匿名上网设备还包括与所述处理装置电性连接的存储装置，所述存储装置包括第一存储器和第二存储器，所述第一存储器中预存有所述上网配置信息，所述第二存储器中搭载有开源操作系统。

在本发明较佳实施例中，所述匿名上网设备还包括与所述处理装置电性连接的串口通信电路，所述串口通信电路用于与外部存储设备通信，以从所述外部存储设备下载更新的上网配置信息。

在本发明较佳实施例中，所述匿名上网设备还包括与外部交流电源电性连接，用于为所述匿名上网设备进行供电的供电电源。

在本发明较佳实施例中，所述处理装置判断所述tor节点路径是否满足预设安全规则的方式包括：

判断所述tor节点路径中包括的tor节点数量是否大于与所述目的地址对应的tor节点数量阈值；

若大于，则判定所述tor节点路径满足所述预设安全规则；以及

若不大于，则判定所述tor节点路径不满足所述预设安全规则。

在本发明较佳实施例中，所述处理装置采用基于嵌入式linux内核的arm控制器。

本发明较佳实施例还提供一种匿名上网系统，所述匿名上网系统包括：上网设备、网络端口以及分别与所述上网设备和所述网络端口电性连接的上述的匿名上网设备。

相对于现有技术而言，本发明具有以下有益效果：

本发明实施例提供一种匿名上网设备及系统。所述匿名上网设备包括第一网口、第二网口、处理装置以及硬件开关电路，所述第一网口、第二网口以及硬件开关电路分别与所述处理装置电性连接，所述第一网口通过物理网线与上网设备电性连接，所述第二网口通过物理网线与网络端口电性连接。所述处理装置用于监测从所述第一网口进入的数据包，并检测所述硬件开关电路的电路状态，在检测到所述电路状态为第一电路状态时，生成所述数据包发送到目的地址的过程中需要经过的tor节点组成的tor节点路径，同时判断所述tor节点路径是否满足预设安全规则，在为是时，基于所述tor节点路径将所述数据包从所述第二网口发送给所述目的地址，以访问所述目的地址所在服务器。由此，能够降低普通用户使用tor进行匿名上网的难度，通过物理网线串联在上网设备和网络端口之间，并通过硬件开关电路控制智能装置的匿名模式和正常模式的切换，从而避免正常上网时受到干扰，同时对在使用tor的过程中出现的可能泄露真实ip的数据包进行过滤，提高匿名上网的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本发明较佳实施例提供的匿名上网系统的一种结构框图；

图2为图1中所示的匿名上网设备的一种结构框图；

图3为图1中所示的匿名上网设备的另一种结构框图；

图4为图1中所示的匿名上网设备的另一种结构框图；

图5为图1中所示的匿名上网设备的另一种结构框图。

图标：10-匿名上网系统；100-匿名上网设备；110-第一网口；120-处理装置；130-第二网口；140-硬件开关电路；145-匿名控制开关；150-通信接口；160-存储装置；170-串口通信电路；200-上网设备；300-网络端口。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语"第一"、"第二"等仅用于区分描述，而不能理解为指示或暗示相对重要性。

请参阅图1，为本发明较佳实施例提供的匿名上网系统10的一种结构框图。本实施例中，所述匿名上网系统10可包括匿名上网设备100、上网设备200以及网络端口300，所述匿名上网设备100串联在所述上网设备200和所述网络端口300之间。

所述网络端口300可以是网线接口、网络设备(如路由器、交换机等)提供的网口等，本实施例对此不做限制。

所述上网设备200可以是包括硬体、软体或内嵌逻辑元件或者两个或多个此类元件的组合的电子装置，并能够执行由上网设备200实施或支援的合适的功能。所述上网设备200可以是一种具有无线收发功能的设备，包括室内或室外、手持、穿戴或车载设备。例如，所述上网设备200可以是手机(mobilephone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality，vr)上网设备200、增强现实(augmentedreality，ar)上网设备200、工业控制(industrialcontrol)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smarthome)中的无线终端等等。本申请的实施例对应用场景不做限定。

所述匿名上网设备100可包括第一网口110、第二网口130、处理装置120以及硬件开关电路140，所述第一网口110、第二网口130以及硬件开关电路140分别与所述处理装置120电性连接，所述第一网口110通过物理网线与上网设备200电性连接，所述第二网口130通过物理网线与网络端口300电性连接。

可选地，所述处理装置120可以采用基于嵌入式linux内核的arm控制器，并运行开源操作系统，支持tcp/ip协议。所述处理装置120用于监测从所述第一网口110进入的数据包，并检测所述硬件开关电路140的电路状态，在检测到所述电路状态为第一电路状态时，生成所述数据包发送到目的地址的过程中需要经过的tor节点组成的tor节点路径，同时判断所述tor节点路径是否满足预设安全规则，在为是时，基于所述tor节点路径将所述数据包从所述第二网口130发送给所述目的地址，以访问所述目的地址所在服务器。其中，从所述第一网口110进入的数据包即为访问所述目的服务器的访问流量，如http请求数据包等。

进一步地，所述处理装置120还可以用于在检测到所述电路状态为第二电路状态时，将所述数据包转发给所述目的地址，以访问所述目的地址所在服务器。其中，所述第一电路状态表示该访问请求需要匿名服务，所述第二电路状态表示该访问请求不需要匿名服务。所述第一电路状态和所述第二电路状态可以根据实际需要进行设定，例如，可以以所述硬件开关电路140的电路状态为接通状态时作为所述第一电路状态，以所述硬件开关电路140的电路状态为断开状态时作为所述第二电路状态，当然，也可以以所述硬件开关电路140的电路状态为断开状态时作为所述第一电路状态，以所述硬件开关电路140的电路状态为接通状态时作为所述第二电路状态。

本实施例中，tor(theonionrouter，洋葱路由器)是实现匿名通信的自由软件，tor是第二代洋葱路由的一种实现，用户可以通过tor可以在因特网上进行匿名交流。tor用户可以在本机运行一个洋葱代理服务器(onionproxy)，这个代理周期性地与其他tor交流，从而在tor网络中构成虚电路(virtualcircuit)。tor是在5层协议栈中的应用层进行加密。每个路由器间的传输都经过点对点密钥(symmetrickey)来加密，这样在洋葱路由器之间可以保持通讯安全。同时对于客户端，洋葱代理服务器又作为socks接口。一些应用程序就可以将tor作为代理服务器，网络通讯就可以通过tor的虚拟环路来进行。

本实施例中，所述tor节点路径可包括多层tor节点，由于目前一些协议可能会泄露真实ip，例如用户常用的bt协议下载与上传等，但是由于tor本身没有对各种协议进行屏蔽，所以依然存在隐私泄露的风险。

所述预设安全规则可包括所述目的地址对应的tor节点数量阈值，所述处理装置120首先判断所述tor节点路径中包括的tor节点数量是否大于与所述目的地址对应的tor节点数量阈值，若大于，则判定所述tor节点路径满足所述预设安全规则；若不大于，则判定所述tor节点路径不满足所述预设安全规则。例如，用户需要访问a服务器，所述处理装置120生成的tor节点路径中包括三个tor节点路，但是所述a服务器对应的tor节点数量阈值为五，此时所述处理装置120判定所述tor节点路径不满足所述预设安全规则，容易泄露隐私，则丢弃所述数据包。由此，通过对在使用tor的过程中出现的可能泄露真实ip的数据包进行过滤，提高了匿名上网的安全性。

此外，若所述a服务器对应的tor节点数量阈值为三，那么所述处理装置120则判定所述tor节点路径满足所述预设安全规则，则基于所述tor节点路径将所述数据包发送给所述目的地址，以访问所述目的地址所在服务器。

具体地，在本实施例中，所述tor节点路径可包括入口tor节点、至少一个中间tor节点以及出口tor节点，其中，所述入口tor节点与所述处理装置120进行通信，并与下一个中间tor节点进行通信，所述出口tor节点与上一个中间tor节点进行通信，并与目的地址所在服务器进行通信，在通信过程中，每个tor节点只知晓上一个tor节点的信息以及下一个tor节点的信息，并不知晓所述数据包发送到所述目的地址的过程中需要经过的tor节点组成的tor节点路径。tor依赖于层层加密，如果截获了出口节点才能知晓访问的服务器，但是无法得知需要访问该服务器的用户，而截获了入口节点虽然知晓用户信息，但是无法得知最终访问的服务器，只能看见中间节点，从而实现了隐私保护。

在所述数据包进入tor网络后，加密信息在tor路由器间层层传递，最后到达“出口节点”(exitnode)，明文数据从这个节点直接发往原来的目的地。对于目的地址对应的服务器而言，是从“出口节点”发来的数据包。具体地，所述tor节点路径的入口节点首先接收所述数据包，并对所述数据包进行点对点密钥加密后传输给下一个节点，所述下一个节点接收所述加密后的数据包，并进行点对点密钥加密后继续传输给下一个节点，然后下一个节点继续进行点对点密钥加密后再传输给下一个节点，直到所述数据包传输到出口节点后，由所述出口节点将所述数据包发送给所述目的地址。

进一步地，请参阅图2，所述匿名上网设备100还可以包括与所述硬件开关电路140电性连接，用于控制所述硬件开关电路140的电路状态的匿名控制开关145。可选地，所述匿名控制开关145可以是按压开关，例如按压奇数次则控制所述硬件开关电路140的电路状态为第一电路状态，按压偶数次则控制所述硬件开关电路140的电路状态为第二电路状态。或者，所述匿名控制开关145也可以是包括两个拨动方向的拨动开关，例如往某一个方向拨动则控制所述硬件开关电路140的电路状态为第一电路状态，往相反的另一个方向拨动则控制所述硬件开关电路140的电路状态为第二电路状态。此外，所述匿名控制开关145还可以采用其它任意开关，只要满足可以控制所述硬件开关电路140的电路状态即可。

通过上述设置，能够降低普通用户使用tor进行匿名上网的难度，通过物理网线串联在上网设备200和网络端口300之间，并通过硬件开关电路140控制智能装置的匿名模式和正常模式的切换，从而避免正常上网时受到干扰。

进一步地，请参阅图3，所述匿名上网设备100还可以包括与所述处理装置120电性连接，用于与外部访问设备进行通信的通信接口150，所述通信接口150可以通过wifi、蓝牙等方式与外部访问设备通信，也可以通过usb数据线与外部访问设备通信。具体地，所述处理装置120在检测到外部访问设备通过所述通信接口150接入时，获取该外部访问设备的设备信息，并判断该外部访问设备的访问权限是否为预设权限，若是，则开启该外部访问设备对所述匿名上网设备100的上网配置信息的配置权限。

本实施例中，所述外部访问设备的设备信息可以包括该外部访问设备的访问权限，例如，“0”表示普通用户，“1”表示管理员用户，管理员用户的访问级别高于普通用户。作为一种实施方式，当所述处理装置120判断该外部访问设备的访问权限为管理员用户权限时，则开启该外部访问设备对所述匿名上网设备100的上网配置信息的配置权限。

进一步地，请参阅图4，所述匿名上网设备100还可以包括与所述处理装置120电性连接的存储装置160。可选地，所述存储装置160包括第一存储器和第二存储器，所述第一存储器中预存有所述上网配置信息，所述第二存储器中搭载有开源操作系统。由此，可以实现系统和控制的分离，便于系统更新。

可选地，所述第一存储器可以是rom存储器，所述第二存储器可以是tf卡。

进一步地，请参阅图5，所述匿名上网设备100还可以包括与所述处理装置120电性连接的串口通信电路170，所述串口通信电路170用于与外部存储设备通信，以从所述外部存储设备下载更新的上网配置信息。

进一步地，所述匿名上网设备100还可以包括与外部交流电源电性连接，用于为所述匿名上网设备100进行供电的供电电源。

综上所述，本发明实施例提供一种匿名上网设备100及系统。所述匿名上网设备100包括第一网口110、第二网口130、处理装置120以及硬件开关电路140，所述第一网口110、第二网口130以及硬件开关电路140分别与所述处理装置120电性连接，所述第一网口110通过物理网线与上网设备200电性连接，所述第二网口130通过物理网线与网络端口300电性连接。所述处理装置120用于监测从所述第一网口110进入的数据包，并检测所述硬件开关电路140的电路状态，在检测到所述电路状态为第一电路状态时，生成所述数据包发送到目的地址的过程中需要经过的tor节点组成的tor节点路径，同时判断所述tor节点路径是否满足预设安全规则，在为是时，基于所述tor节点路径将所述数据包从所述第二网口130发送给所述目的地址，以访问所述目的地址所在服务器。由此，能够降低普通用户使用tor进行匿名上网的难度，通过物理网线串联在上网设备200和网络端口300之间，并通过硬件开关电路140控制智能装置的匿名模式和正常模式的切换，从而避免正常上网时受到干扰，同时对在使用tor的过程中出现的可能泄露真实ip的数据包进行过滤，提高匿名上网的安全性。

需要说明的是，在本文中，术语"包括"、"包含"或者其任何其它变体意在涵盖非排它性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句"包括一个……"限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其它的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。