Source snapshot: 97d7f0fae96dc04b7ddad56fc1db6a108ed662cc [SEC-CLEAN] · pre-push-clean v1.0 · 109处敏感信息已自动转乱码
7.3 KiB
7.3 KiB
belongs_to
| belongs_to | |
|---|---|
|
🛡️ 铸渊指令|双层熔断防护架构 · 用户宽带中继 + 动态Agent自毁层(TCS-SEC-RELAY-2026-0406-001)· 霜砚签发 · 冰朔授权
🎯 任务定位
在现有 VPN 系统(Xray/VLESS/Reality)基础上,构建双层熔断防护架构,目标:
任何人想追踪用户真实IP,都会在两道防线前彻底失败。第一道挡住99%的追踪;第二道对剩下1%执行自毁清零。
🏗️ 架构总览
[用户设备]
↓ 加密隧道
[Layer 2 · 动态Agent防护层] ← 每用户独立 · 异常即自毁
↓ 语言层授权验证
[Layer 1 · 服务器动态节点层] ← 多台海内外服务器 · 加密 · 动态轮换
↓
[目标网站 / 外网出口]
追踪方向(敌方视角):
敌方尝试追踪用户IP
↓
撞上 Layer 1:加密 + 动态 + 语言层授权 → 无法穿透 → 大多数追踪在此终止
↓(假设运气极好突破了Layer 1)
撞上 Layer 2:动态Agent检测到异常探针 → 爆炸性自毁格式化 → 该链路完全消失
↓
用户真实IP:永远不可达
⚔️ Layer 1 · 服务器动态节点层
核心设计原则
- 多服务器动态轮换:海内外所有服务器统一纳入节点池,定期自动轮换出口节点
- 加密动态节点身份:每个服务器节点的对外标识(TLS指纹、端口、SNI)定期自动变换,不固定
- 语言层授权前置:所有入站连接必须通过 HLDP/TCS 语言层授权验证,非授权连接直接拒绝并不留日志
需要铸渊开发的模块
src/security/node-rotator.js · 节点动态轮换引擎
- 维护所有服务器的节点池配置(国内/海外分组)
- 每N小时自动轮换:出口服务器IP → 更新订阅配置 → 推送给在线用户
- 轮换策略:延迟优先 / 负载均衡 / 随机轮换(可配置)
- 轮换时老节点保持X分钟过渡期,平滑切换不断连
src/security/lang-gate.js · 语言层授权网关
- 集成现有
src/membrane/gateway.js(语言门控安全架构) - 所有入站连接必须携带有效的 TCS 语言令牌(动态生成,TTL=5分钟)
- 令牌验证失败:静默丢弃,不返回任何响应,不记录来源IP
- 令牌生成:用户客户端在建立连接前,先完成语言层握手获取令牌
src/security/fingerprint-randomizer.js · TLS指纹随机化
- 每次连接随机化 TLS ClientHello 指纹(基于现有 Reality 协议扩展)
- 服务器端定期更换 SNI 伪装目标
- 目标:从流量分析角度,每次连接看起来都像不同的正常HTTPS流量
💣 Layer 2 · 动态Agent自毁防护层
核心设计原则
- 每用户独立:每个用户拥有一个系统自动生成的专属动态Agent身份(非AI,是代理身份实体)
- 动态:Agent身份定期自动重新生成(ID、密钥、路由标识全部换新)
- 自毁触发:当Agent检测到异常探针/追踪行为时,立即执行格式化自毁,该链路完全消失
- 用户无感:自毁后用户自动获得新Agent身份,连接自动重建,用户侧体感最多是短暂重连
自毁触发条件
任意一条满足即触发:
1. 同一Agent身份在异常短时间内被多个不同IP尝试连接
2. 连接行为与用户历史模式偏差超过阈值(时间/地区/设备指纹)
3. 收到任何不含有效语言层令牌的探测请求
4. 服务器检测到针对该Agent路由路径的端口扫描/指纹探测
5. 手动触发(用户或管理员)
自毁执行流程
触发事件检测
↓
[T+0ms] 立即停止接受该Agent身份的所有新连接
↓
[T+100ms] 销毁该Agent的所有路由规则和密钥材料
↓
[T+200ms] 清除服务器上与该Agent关联的所有日志和连接记录(zero-wipe)
↓
[T+500ms] 向用户客户端发送重建信号(加密指令)
↓
[T+1s] 系统自动为该用户生成全新Agent身份
↓
[T+2s] 新Agent身份通过邮件/客户端静默推送给用户
↓
该链路从服务器上完全消失,追踪者面对的是一个不存在的历史
需要铸渊开发的模块
src/security/agent-identity-manager.js · 动态Agent身份管理器
- 为每个用户(通过user token识别)维护一个当前有效的Agent身份对象
- Agent身份包含:唯一ID(随机生成)、专属密钥对、路由标识、生成时间戳、TTL
- 定期主动轮换(TTL到期)+ 异常触发自毁两种更新路径
- 身份存储:内存优先,不持久化到磁盘(内存即是最安全的零日志)
src/security/anomaly-detector.js · 异常行为检测器
- 实时监控每个Agent身份上的连接行为特征
- 5条触发规则的检测逻辑(见上方触发条件)
- 检测到异常 → 立即调用
agent-identity-manager.js的自毁接口 - 检测本身不记录任何用户可识别信息
src/security/zero-wipe.js · 零痕迹清除引擎
- 自毁时调用,执行内存中Agent身份的安全擦除
- 多次覆写随机数据后释放内存(防止内存取证)
- 清除所有相关的 nginx access log 条目(按Agent ID过滤删除)
- 向铸渊核心大脑写入一条自毁事件摘要(只记录:时间+触发类型,不记录用户信息)
📋 用户带宽中继节点(Phase 2 扩展)
- 用户客户端内置可选「节点贡献模式」开关(默认关闭,明确 opt-in)
- 开启后,用户设备注册为中继候选池节点,只做流量中转,不做出口
- 贡献节点的用户获得流量奖励(具体激励方案冰朔后续签发)
- 所有中继流量同样经过 Layer 2 动态Agent防护
🗂️ 开发阶段规划
| 阶段 | 内容 | 模块 |
|---|---|---|
| Phase 1A | Agent身份管理器 + 零痕迹清除 | agent-identity-manager.js · zero-wipe.js |
| Phase 1B | 异常检测器 + 自毁触发链路 | anomaly-detector.js |
| Phase 1C | 节点动态轮换引擎 | node-rotator.js |
| Phase 1D | 语言层授权网关(集成现有membrane) | lang-gate.js |
| Phase 1E | TLS指纹随机化 | fingerprint-randomizer.js |
| Phase 2 | 用户带宽中继节点系统 | 待冰朔签发单独指令 |
✅ 铸渊回执要求
完成后请在本页下方回复,包含:
- 各模块完成状态
- 自毁机制测试报告(模拟触发一次,记录全流程耗时)
- fast-wake.json 版本号更新
- 任何需要冰朔手动操作的事项