凑
350-建立加密密钥
360-分散加密密钥
370-压缩数据
380-解压数据
400-本地代理服务器
410-构造并发送网络数据包
420-解构网络数据包
430-节点连接器
440-节点切换器
500-安全云通信器
510-可用节点列表
600-具有数据包过滤功能的本地防火墙 700-服务器计算机
710-加密引擎
711-加密数据
712-解密数据
713-建立加密密钥
714-分散加密密钥
715-压缩数据
716-解压数据
720-协议无关代理服务器
921-加密密钥
922-唯一服务器节点识别符
923-网络接口控制器
924-设备
925-网络数据包 926-数据包终点
927-驱动器
928-公共互联网
929-加密数据包
930-节点IP变量
931-未加密数据包
[0036]参考图2,客户端设备924可包括处理器(如CPU) 200、输入设备202、网络接口控制器923以及存于存储器(未示出)中的拦截驱动器927。路由服务器700可包括处理器(如CPU) 220、随机存取存储器(RAM) 222及网络接口控制器923。
[0037]参考图1和图2,本发明的实施例包括一种用于安全连接因特网上的设备和计算机以形成安全虚拟云网络的技术。首先,一具有数据包过滤功能的包含有拦截驱动器的防火墙600监控并拦截所有网络接口控制器923上的数据包;其允许用户拦截设备及计算机上的全部网络流量。数据包由包括加密和压缩的多元化保障保护。所保护的数据包包含隐藏及分散的加密密钥序列。它们通过包括连接于因特网的远端服务器计算机700的多层代理服务器400安全地进行路由发送。服务器计算机700接收并读取受保护的数据包,而加密密钥未暴露。
[0038]更具体地,仍参考图1和图2,拦截驱动器拦截出站网络数据包并将其转发至本地代理服务器400,本地代理服务器400处理并加密数据包。该拦截驱动器保持连接为开放的,当其采用中止数据包(the halted packet)的加密内容创立新数据包并通过本地代理服务器400发送至服务器计算机700时。服务器计算机700解密接收到的内容,收集来自原始请求端的数据并将其返回至以加密形式请求该数据的客户端设备或计算机。具有保持开放的开放连接的数据包被注入接收自代理服务器的响应。每个个体数据包被修改、加密和压缩。所修改的数据包包含隐藏并分散的加密密钥序列。
[0039]现参考图3,当本地代理服务器进程接收到指令“connect node (连接节点)”连同必要参量“unique node identificat1n (唯一节点识别)”时,连接至节点430的进程被触发。在第一步中,连接至节点430的进程查询可用节点列表510。在安全网络上取得及返回全部可用服务器节点510的列表的进程通过用“list nodes(列出节点)”指令调用安全云通信器进程被触发。节点连接器430与网络服务器通信并取回(retrieves)网络上的全部可用节点列表连同“unique node identificat1n (唯一节点识别)”数位及可用连接的入站IP地址阵列。第二步返回构造的列表作为所述进程的结果。本地安全云通信器500为软件组件或脚本,其安装并运行于用户的设备上。其周期性地或手动地根据需要连接至网路服务器并根据发布的指令设置或获取数据。安全云通信器500用于认证设备上的本地用户并取得(fetch)可用节点列表。在安全网络上的取得及返回全部可用服务器节点510的列表的进程是通过用指令“list nodes (列出节点)”调用安全云通信器进程500触发的。节点连接器430与网络服务器通信并取回(retrieves)网络上全部可用节点的列表,连同“unique node identificat1n(唯一节点识别)”数位及可用连接的入站IP地址阵列。第二步返回构造的列表作为进程的结果。可用节点进程列表510返回可用IP地址阵列以将其连接并存储于一临时变量“A”。随机IP地址在变量“A”的阵列中选取,并设置为全局节点IP变量930。全局节点IP变量930为设置在软件中的全局设置变量,其中包含了被用于连接路由的节点服务器的IP地址。到节点的连接被建立。
[0040]现参考图4,网络数据包925通过本地网络发出并被具有数据包过滤功能600的本地防火墙截获。具有数据包过滤功能600的本地防火墙需要网络接口控制器923上的专用数据包拦截驱动器927的安装,以便拦截数据包并将其转发至本地代理服务器400用于进一步处理。网络接口控制器923为将计算机连接至计算机网络的计算机硬件组件。拦截驱动器927为操作及控制923网络接口控制器的计算机程序,且被定制为与应用层上的本地代理服务器400进行通信。本地代理服务器400为软件组件或脚本,其安装并运行于用户设备上。其监听来自于此处描述的进程、此处描述的驱动器、以及其他使用进程间通信的软件的指令。其配置为按路线发送所拦截的出站网络数据包的流量,发送及接收网络数据包,切换连接节点,检测最佳节点位置以按路线发送数据,以及随机化节点和/或连接节点的出站IP地址。代理服务器连接并转发流量至在930中描述的全局节点IP变量中定义的服务器节点IP地址。全局节点IP变量930为软件中的全局设置变量,其包含被用于连接路由的节点服务器的IP地址。
[0041]现参考图5的实施例,当本地代理服务器接收到指令“construct (构造)”连同必要参量“packet A (数据包A) ”以及“destinat1n IP address (目的IP地址)”时,构造网络数据包410的进程被触发。构造网络数据包410的结果为新网络数据包“packet B (数据包B)”的创立。“数据包B”头文件(headers)被设为按路线发送至“destinat1n IPaddress (目的IP地址)”。未离开设备的“packet A(数据包A)”保持活着(alive),直到接收到响应并将该响应注入其内部。在参量“packet A(数据包A)”中通过的整个数据包使用加密引擎及320中描述的进程加密,并存储在临时变量“A”中。当加密引擎300进程接收动作指令“encrypt data(加密数据)”连同必要参量“data(数据)”及“unique targetidentificat1n (唯一目标识别)”时,加密数据320的进程被触发。加密引擎300为软件组件或脚本,其安装并运行于用户设备上。其监听来自于此处描述的进程、此处描述的驱动器、以及其他使用进程间通信的软件的指令。其配置为加密出站数据包的内容、解密进站数据包的数据、生成随机加密密钥、分散加密密钥及为动态加密重构加密密钥以及生成密码杂凑。数据参量存储于临时变量“A”中并在成功完成数据加密后清空。唯一目标终点存储于临时变量“B”中并在数据加密成功完成后清空。
[0042]在第一步中,构造并发送网络数据包进程410在内部与进程310通信并存储所生成的加密密钥至变量“C”中。如果加密引擎进程接收到动作指令“generate key(生成密钥)”,创立随机加密密钥310的进程会被触发。通过使用Unix时间戳、32位随机数及鼠标熵(mouse entropy)生成加密密钥。该值被存储并组合至临时变量“Z”中。变量“Z”通过使用内部进程340进行密码杂凑。当加密引擎进程300接收到指令“hash(杂凑)”连同必要的参量“value (值)”时,生成密码杂凑340的进程被触发。该值(value)的参量存储于临时变量“Z”中。在这个进程成功完成后,临时变量“Z”的值被清空并从存储器中删除。加密引擎300使用由全局系统(SHA-2,SHA-3)定义的不可逆密码杂凑方法中的一个进行变量“Z”的值的杂凑,并将其返回作为这个进程的结果。变量的值被清空并从存储器中删除。密码杂凑的值返回作为最终结果。
[0043]在第二步中,构造及发送网络数据包进程410使用加密算法(AES、RSA、Sperpent、Two-fish)定义的系统从变量“C”中使用加密密钥加密变量“A”。加密数据返回并储存于变量“D”中。
[0044]在第三步中,构造及发送网络数据包进程410与进程360进行内部通信,并在取决于唯一目的识别符的预定义模式下分散加密密钥于变量“D”中。变量“D”的值被更新。
[0045]在第四步中,构造及发送网络数据包进程410与压缩变量“D”的分散的值至较小值的进程370进行内部通信。变量“D”的值被更新。压缩变量“D”作为加密进程的结果返回。变量从系统存储器中清空并删除。这完成了数据加密进程。加密变量“A”用作新构造的“packet B(数据包B)”的数据和/或内容参量。该进程的结果是在下个分散加密密钥360进程中必要变量的创建的发送(dispatch)。
[0046]现参考图6,当加密引擎进程接收到指令“scatter key(分散密钥)”连同必要参量 “encrypted data(加密的数据)” 929、“encrypt1n key (加密密钥)”921 及 “uniquetarget identificat1n (唯一目标识别)”922时,分散加密密钥的进程360被触发。加密密钥921用于加密和解密网络数据包的二进制值。加密密钥生成于310进程之中。唯一服务器节点识别922为字符串,其唯一地识别服务器节点。唯一服务器节点识别922用作逻辑模式,用于在加密引擎内分散及建立加密密钥。分散加密密钥进程360通过使用来自“unique target identificat1n (唯一目标识别)”参量的逻辑模式划分加密密钥并将其分散于加密数据内。在一些实施例中,唯一服务器节点识别(唯一标识