CN110933197A

CN110933197A - 一种分布式代理网络

Info

Publication number: CN110933197A
Application number: CN201911177660.6A
Authority: CN
Inventors: 朱翔
Original assignee: Taicang T&W Electronics Co Ltd
Current assignee: Taicang T&W Electronics Co Ltd
Priority date: 2019-11-27
Filing date: 2019-11-27
Publication date: 2020-03-27
Anticipated expiration: 2039-11-27
Also published as: CN110933197B

Abstract

本发明公开了一种分布式代理网络，包括多个节点，每个节点的所有客户端同时扮演着服务器和中继的角色，网络中各个节点是对等的；当一个节点中的客户端需要访问目标节点中的内网服务时，所述节点需要通过libP2P及所在网络，发现较近的相临节点，然后通过相邻节点的引导发现其他节点，在所述节点与所述目标节点需要NAT穿透才能直接连接时，所述的其他节点和/或相邻节点可以引导所述节点与所述目标节点进行打洞；当所述节点与所述目标节点处于无法打洞的对称NAT中时，采用中间节点充当中继进行数据流转发。本发明利用现有公共资源建立P2P连接，通过标准代理协议将外网客户端请求代理到内网服务器中，使得访问内网服务变得简单。

Description

一种分布式代理网络

技术领域

本发明涉及通信技术领域，具体是指一种分布式代理网络。

背景技术

随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。为了解决IP地址匮乏的问题，就产生了NAT技术。

NAT不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。同时，也对P2P这种端到端连接的应用造成了困扰。在不同局域网中的主机无法直接互联，虽然可以通过设置网关的端口映射和虚拟主机来向外网暴露一部分内网的服务，但并不是任何人都有对他所在局域网的网关配置的权限，并且向公网直接暴露内网的主机也存在一定的安全隐患。为了在不需要配置网关的情况下也能与内网的主机相连，产生了内网穿透技术。

内网穿透主要有反向代理和NAT打洞两种方式。反向代理通过内网服务器事先连接外网服务器再通过外网服务器将其他主机的请求转发给内网服务器实现内网穿透。NAT打洞则需要外网服务器协调两端进行打洞。但是无论是反向代理还是NAT打洞都必须事先有一台外网服务器。

正因为如此想在两个不同内网中的主机互联变得非常繁琐。特别是当你没有权限配置网关时，你还需要经过一台第三方的服务器才能建立与内网的连接，无形中又增加了安全隐患。

发明内容

本发明为解决上述技术问题，提供了一种一种分布式代理网络,其能够在不需要特定第三方服务器的情况下，利用现有公共资源建立P2P连接。

为了实现上述目的，本发明采取的技术方案如下：

一种分布式代理网络，包括多个节点，每个节点的所有客户端同时扮演着服务器和中继的角色，网络中各个节点是对等的；

当一个节点中的客户端需要访问目标节点中的内网服务时，所述节点需要通过libP2P及所在网络，发现较近的相临节点，然后通过相邻节点的引导发现其他节点，在所述节点与所述目标节点需要NAT穿透才能直接连接时，所述的其他节点和/或相邻节点可以引导所述节点与所述目标节点进行打洞；当所述节点与所述目标节点处于无法打洞的对称NAT中时，采用中间节点充当中继进行数据流转发。

进一步的，数据流转发时，节点与节点之间传递的数据流需要经过了加密，并通过公钥进行身份验证；各个节点通过公钥的hash值peerId作为每个节点的标识，通过peerId指定代理目标网络。

更进一步的，peerId是libP2P的一部分，且全网唯一，代理节点使用peerId来明确指定代理的目标节点。

更进一步的，当节点与节点之间传递的数据流经过加密，并通过公钥进行身份验证时，身份验证和数据数据加密通道的建立过程，如下：在任何2个节点连接时，2个节点交换公钥，所述节点是能知道对方的peerId的，peerId是通过节点的公钥hash值生成的，2个节点交换公钥后通过再次计算公钥的hash就可以初步确定peerId是否为伪造；在验证了peerId和公钥的关系后，还需要验证对方是否用于公钥对应的私钥，所述节点会随机生成一段数据，通过对方的公钥加密并发送给对方要求对方解密后再送回；用公钥加密的数据只能通过相应的私钥解密，所述节点通过对比解密后的数据是否正确来判断对方是否持有公钥对应的私钥，完成对公钥的验证；公钥被认证后，也就能确定节点的身份；如果两个节点的通讯需要经过中继节点，则只需要校验公钥的hash和peerId是否相同就可以判断公钥是否是伪造的；

节点的公钥验证通过后，节点之间可以建立连接，通过对方公钥加密用于对称加密的AES密钥，用于后续数据流的加密。

进一步的，所述节点发现相邻的节点是通过random-walk或bootstrap-list协议进行的。

进一步的，引导所述节点与所述目标节点进行打洞的所述其他节点是基于libP2P框架的任何节点。

进一步的，所述节点与所述目标节点进行打洞的具体过程为：所述节点首先通过random-walk或bootstrap-list协议发现相邻的libP2P节点，所述相邻的libP2P节点作为引导节点，通过所述相邻的libP2P节点的引导，代理网络节点之间能够知道对方的公网IP以及对方UDP报文经过NAT转换后的端口号，并由所述引导节点协调两端向对方公网地址发送目的端口为对方NAT转换后端口号的UDP报文，然后所述节点向所述引导节点反馈结果，即可。

与现有技术相比，本发明所取得的有益效果如下：

本发明通过设置基于libP2P框架的多个对等的节点，将每个节点的所有客户端同时扮演着服务器和中继的角色，在不需要特定第三方服务器的情况下利用现有公共资源建立P2P连接，在P2P连接的基础上通过标准代理协议将外网客户端请求代理到内网服务器中，使得访问内网中的服务变得简单。并且拥有身份鉴权机制，用户拥有完全的控制权限。

附图说明

图1为本发明一个实施例中分布式代理网络的网络拓扑图；

图2为本发明另一个实施例中代理网络节点间打洞的过程图；

图3为本发明另一个实施例中节点间身份验证和加密通道的建立过程图。

具体实施方式

如图1～3所示的一种分布式代理网络，包括多个节点，每个节点的所有客户端同时扮演着服务器和中继的角色，网络中各个节点是对等的；

当一个节点中的客户端需要访问目标节点中的内网服务时，所述节点需要通过libP2P及其已经存在的网络，发现较近的相临节点，然后通过相邻节点的引导发现其他节点，在所述节点与所述目标节点需要NAT穿透才能直接连接时，所述的其他节点和/或相邻节点可以引导所述节点与所述目标节点进行打洞；当所述节点与所述目标节点处于无法打洞的对称NAT中时，采用中间节点充当中继进行数据流转发。

为了能够更清楚地理解本发明内容，特举以下实施例详细说明。

图1示出了本发明一种分布式代理网络的一个实施例，包括4个节点，其中节点1、节点3，节点4均为代理节点，节点2可以为代理节点，也可以为基于libP2P框架实现的节点；其中，节点3和节点4所在的内网中部署了一些内网服务，当节点1中的客户端想要访问节点3中的一些内网服务时，节点1需要寻找节点3、节点1都可以直接发现相邻节点，本实施例为相邻节点为节点2，通过节点2引导所述节点1和节点3的实现内网穿透，由于节点2在一个主流的锥形NAT中，因此，节点2可以通过UDP打洞来实现内网穿透；当节点1中的客户端想要访问节点4中的一些内网服务时，由于节点4是网络上无法直接通过公网IP直接访问的节点，因此节点1需要通过节点3或节点2作为中继转发数据来实现内网穿透。

在该实施例中，节点2的行为与一台引导内网穿透的服务器相似，但节点2并不是一台预设的服务器，它可以是基于libP2P框架的任何节点，由于libP2P本身是IPFS项目的延伸，并且已被用于多个区块链项目如Polkadot、Ethereum 2.0和Substrate；所有节点在多个项目中可以复用，因此实际上节点2并不需要一定是一个代理网络的节点，它只需要是一个基于libP2P框架实现的节点，即可。

作为本发明一种分布式代理网络的另一个实施例，如图2所示，所述节点1与节点3之间打洞的过程如下：所述节点1首先通过random-walk、bootstrap-list等相关协议发现相邻的libP2P节点，即节点2，所述节点2作为引导节点，通过所述节点2的引导，代理网络节点之间能够知道对方的公网IP以及对方UDP报文经过NAT转换后的端口号，并由所述引导节点协调两端向对方公网地址发送目的端口为对方NAT转换后端口号的UDP报文，然后所述节点向所述引导节点反馈结果，例如：节点1先往节点3的NAT公网地址发送UDP报文，虽然此时节点3的NAT会拦截此报文，但是它会在节点1的NAT上留下该端口号的会话记录，当节点3再往节点1发送UDP报文时，由于节点3的源IP和源端口在节点1的NAT上已经留下了记录，所以该UDP报文能够穿透NAT到达节点1，而节点3的NAT在节点3往节点1发送报文时也留下了相关记录，此时节点1再往节点3发送报文时就能穿透节点3的NAT，之后两个节点间就可以建立基于UDP之上的P2P连接了，然后节点1向引导节点即节点2反馈结果，即可；当如果NAT打洞失败，引导节点即节点2将退化为中继节点转发节点1和节点3之间的数据流实现内网穿透。假设节点1和节点3所在的NAT都是锥形NAT，在对称NAT中每个会话都会被NAT映射成一个新的端口号，无法在外部预测NAT转换后的端口号，而在锥形NAT中从同一私网地址发出的同一目的端口号，无论它的目的地址是多少，都会被NAT转换成相同端口号。

作为本发明一种分布式代理网络的另一个实施例，当节点2作为中继节点进行数据流转发时，节点1与节点3之间传递的数据流需要经过了加密，并通过公钥进行身份验证；各个节点通过公钥的hash值peerId作为每个节点的标识，通过peerId指定代理目标网络。本发明由于peerId是公钥的hash，所以其他节点无法发起中间人攻击，因为其他节点没有该公钥对应的私钥而伪造公钥又会导致公钥的hash发生变化因此无法通过身份验证。

作为本发明一种分布式代理网络的另一个实施例，如图3所示，当节点与节点之间传递的数据流经过加密，并通过公钥进行身份验证时，身份验证和数据加密通道的建立过程如下：

在任何2个节点连接时，2个节点交换公钥，所述节点是能知道对方的peerId的，peerId是通过节点的公钥hash值生成的，2个节点交换公钥后通过再次计算公钥的hash就可以初步确定peerId是否为伪造；相同的公钥生成的hash永远是一样的；如果公钥是中间人自行生成的，那hash计算的结果就会发生变化，在验证了peerId和公钥的关系后，还需要验证对方是否用于公钥对应的私钥，所述节点会随机生成一段数据，通过对方的公钥加密并发送给对方要求对方解密后再送回；由于用公钥加密的数据只能通过相应的私钥解密，所述节点通过对比解密后的数据是否正确来判断对方是否持有公钥对应的私钥，完成对公钥的验证；公钥被认证后，也就能确定节点的身份；如果两个节点的通讯需要经过中继节点，中继节点是无法从中解析出密钥的，因为密钥被公钥加密只有持有对应私钥的节点才能进行解密，中继节点也无法在密钥交换过程中通过伪造公钥的方式解密密钥，因为两端的节点都知道自己正在与谁通信，则只需要校验公钥的hash和peerId是否相同就可以判断公钥是否是伪造的，从而避免中间人攻击的发生。peerId作为每个节点的身份唯一表示，peerId也可以作为访问权限控制的依据，在一个开放的分布式网络中，任何节点都可以访问其他节点，但是你可以通过判断peerId限制或允许一部分peerId的访问，禁止其他peerId的访问，因为代理节点是运行在用户可以完全控制的环境中的，用户可以随意决定其他节点的访问权限。

节点的公钥验证通过后，节点之间可以建立类似TLS的连接，通过对方公钥加密用于对称加密的AES密钥，用于后续数据流的加密。

以上所述实施方式仅为本发明的优选实施例，而并非本发明可行实施的穷举。对于本领域一般技术人员而言，在不背离本发明原理和精神的前提下对其所作出的任何显而易见的改动，都应当被认为包含在本发明的权利要求保护范围之内。

Claims

1.一种分布式代理网络，其特征在于，包括多个节点，每个节点的所有客户端同时扮演着服务器和中继的角色，网络中各个节点是对等的；

2.根据权利要求1所述的一种分布式代理网络，其特征在于，数据流转发时，节点与节点之间传递的数据流需要经过了加密，并通过公钥进行身份验证；各个节点通过公钥的hash值peerId作为每个节点的标识，通过peerId指定代理目标网络。

3.根据权利要求2所述的一种分布式代理网络，其特征在于，peerId是libP2P的一部分，且全网唯一，代理节点使用peerId来明确指定代理的目标节点。

4.根据权利要求1所述的一种分布式代理网络，其特征在于，所述节点发现相邻的节点是通过random-walk或bootstrap-list协议进行的。

5.根据权利要求1所述的一种分布式代理网络，其特征在于，引导所述节点与所述目标节点进行打洞的所述其他节点是基于libP2P框架的任何节点。

6.根据权利要求5所述的一种分布式代理网络，其特征在于，所述节点与所述目标节点进行打洞的具体过程为：所述节点首先通过random-walk或bootstrap-list协议发现相邻的libP2P节点，所述相邻的libP2P节点作为引导节点，通过所述相邻的libP2P节点的引导，代理网络节点之间能够知道对方的公网IP以及对方UDP报文经过NAT转换后的端口号，并由所述引导节点协调两端向对方公网地址发送目的端口为对方NAT转换后端口号的UDP报文，然后所述节点向所述引导节点反馈结果，即可。