CN112511553B - 层次化的互联网信任度分享方法 - Google Patents

层次化的互联网信任度分享方法 Download PDF

Info

Publication number
CN112511553B
CN112511553B CN202011443888.8A CN202011443888A CN112511553B CN 112511553 B CN112511553 B CN 112511553B CN 202011443888 A CN202011443888 A CN 202011443888A CN 112511553 B CN112511553 B CN 112511553B
Authority
CN
China
Prior art keywords
node
domain
data
central
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011443888.8A
Other languages
English (en)
Other versions
CN112511553A (zh
Inventor
徐恪
吴建平
王晓亮
李琦
***
付松涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202011443888.8A priority Critical patent/CN112511553B/zh
Publication of CN112511553A publication Critical patent/CN112511553A/zh
Application granted granted Critical
Publication of CN112511553B publication Critical patent/CN112511553B/zh
Priority to US17/544,935 priority patent/US20220182375A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2471Distributed queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Physics (AREA)
  • Fuzzy Systems (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提出一种层次化的互联网信任度分享方法,包括:按照管理域划分网络层次实现身份与对应信任度数据管理,域内由域中心集中管理身份与信任度数据,域间通过域中心建立分布式信任关系。身份管理采用证书管理信息交互类业务,中心证书管理模块组成联盟链,发布自身证书用于验证中心身份,每个中心集中管理所属域内通信节点证书;采用真实地址过滤查询类业务,根据用户真实地址过滤非法流量。信任度数据管理,通过分级存储兼顾域内和域间信任度管理,域间对一定时间范围内数据建立分布式信任,域内采用中心化方式建立集中信任度管理机制;信任度查询,采用域间中心代理集中式查询和域内节点分布式查询结合,提升信任度数据准确性和查询效率。

Description

层次化的互联网信任度分享方法
技术领域
本申请属于计算机网络领域,涉及节点间信任度数据共享,尤其涉及一种层次化的互联网信任度分享方法。
背景技术
互联网具有“核心简单,边缘复杂”的特点,导致其传输路径节点行为不可信,从而带来路由劫持、流量窃听等安全问题。为对节点信任度进行管理,相关技术中,提出一种信任管理***框架,***设计了信誉度存储方案,建立了基于局部信誉信息的信任度管理模型和基于全局的信任度管理模型,基于局部信誉信息的管理模型扩展性较强,但其实用范围局限,难以应用于互联网等需要在全局范围内实现端到端节点信任度共享的场景;基于全局信任度的管理模型评价更为准确,但现有机制通信负载过大,导致模型可用性降低。
发明内容
本申请旨在至少在一定程度上解决上述的技术问题之一。
为此,本申请的一个目的在于提出一种层次化的互联网信任度分享方法,可以解决现有技术中为对节点信任度进行管理而使用的模型可用性低的问题,解决大规模网络范围内用户间信任度数据共享时面临的有效性和可靠性问题,特别适用于管理互联网节点行为偏离度。
为达上述目的,本申请一方面实施例提出了一种层次化的互联网信任度分享方法,包括:
步骤1,在管理域的中心节点和所述管理域内的通信节点配置真实地址管理模块,将真实地址用于查询类业务的身份认证,在所述管理域的中心节点配置身份认证模块,包括本中心证书申请和通信节点证书管理;
步骤2,在所述管理域的中心节点配置中心数据管理模块,所述管理域内的通信节点配置本地数据管理模块,并为数据增加、删除、更新提供与所述身份认证模块的连接;
步骤3,所述中心节点收集域内通信节点临时数据,统一评估出节点信任度评价值并向通信节点下发;
步骤4,所述中心节点将本时间间隔数据形成格式化文件,并将文件摘要通过域间中心节点验证,向区块链发布;
步骤5,所述域内通信节点直接从本域获取数据,验证通信节点身份后,通信节点从另一通信节点获取数据,并获取其余域节点数据,所述中心节点维护所述其余域节点原始数据及上链的数据摘要,验证通信节点身份向通信节点发送;
步骤6,每隔T个时间间隔,区块链自动删除时间间隔1到(N-T-1)时刻数据,保留区块链头部信息;其中,N为所述区块链中区块的数量。
本申请实施例的方法,通过建立分级身份认证机制,查询类通信基于真实地址建立域内通信,更新类通信进一步通过证书实现身份验证,通过区块链实现域中心节点证书管理,然后通过中心节点管理域内通信节点证书,形成分层证书管理平台。同时,在信任度存储和分享方面也采用层次化架构,信任度存储方面,通过分级存储兼顾域内和域间信任度管理,域间对一定时间范围内数据建立分布式信任,域内采用中心化方式建立集中信任度管理机制;信任度查询方面,采用域间由中心代理集中式查询和域内节点分布式查询结合,确保信任度数据准确性的基础上提升查询效率。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本申请实施例的层次化信任度分享模块的示例图;
图2为本申请实施例所提供的一种层次化的互联网信任度分享方法的流程示意图;
图3为本申请实施例的中心/节点证书管理及身份验证流程的示例图;
图4为本申请实施例的域间集中式查询与域内分布式查询的示例图;
图5为本申请实施例的证书管理模块的示例图;
图6为本申请实施例的中心/节点证书管理及身份验证流程的示例图;
图7为本申请实施例的区块链保留部分全节点示意图;
图8为本申请实施例的分级存储管理的示例图;以及
图9为本申请实施例的评价管理及查询流程的示例图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
需要说明的是,互联网具有“核心简单,边缘复杂”的特点,导致其传输路径节点行为不可信,从而带来路由劫持、流量窃听等安全问题。为对节点信任度进行管理,相关技术中,提出一种信任管理***框架,***设计了信誉度存储方案,建立了基于局部信誉信息的信任度管理模型和基于全局的信任度管理模型,基于局部信誉信息的管理模型扩展性较强,但其实用范围局限,难以应用于互联网等需要在全局范围内实现端到端节点信任度共享的场景;基于全局信任度的管理模型评价更为准确,但现有机制通信负载过大,导致模型可用性降低。同时,上述基于局部信誉信息的信任度管理模型和基于全局的信任度管理模型,都基于签名机制实现身份验证和信息完整性保证,带来较大的开销。此外,在分层架构方面,现有技术中建立了一种互联网层次化架构,并在后续研究中通过证书等实现全局认证,但并没有提供一种信任度评价值的全局共享机制。因此,在节点信任度评价方面,还缺乏一种在大规模范围内具有灵活身份认证方式,高效数据共识策略和较低存储量的方案。
为此,本申请实施例提供了一种层次化的互联网信任度分享方法,采用基于真实身份的网络信任度数据共享机制,为提升行为偏离度等数据分享时在身份认证、数据共识和数据查询上更具适应能力的解决方案。具体地,下面参考附图描述本申请实施例的层次化的互联网信任度分享方法。
首先,需要说明的是,在本申请实施例中,如图1所示,为层次化信任度分享模块的示意图,立足互联网实际情况,基于管理域(如多个AS(Autonomous System,自治域)组成一个管理域)将互联网分为域间和域内两层,其中,域间由中心节点构成分布式信任关系,域内由中心节点对本域通信节点进行管理。
图2为本申请实施例所提供的一种层次化的互联网信任度分享方法的流程示意图。如图2所示,该层次化的互联网信任度分享方法可以包括如下步骤。
在步骤201中,在管理域的中心节点和管理域内的通信节点配置真实地址管理模块,将真实地址用于查询类业务的身份认证,在管理域的中心节点配置身份认证模块,包括本中心证书申请和通信节点证书管理。
在本申请实施例中,身份认证模块基于证书的认证由网关、CA(CertificationAuthority,数字证书认证中心)、区块链和通信节点组成。其中,中心节点的证书通过区块链达成共识,中心节点根据身份ID生成公私钥,并向CA提交身份证明、IP地址、公钥和签名。CA对申请真实性进行验证后,生成包含CA签名的数字证书,并将终端地址、公钥、证书发送到区块链主链,通过共识机制形成在用公钥数据库。其中,证书上链过程可如图3中的’A.中心证书形成共识’所在行所示出的流程。
在本申请实施例中,域内通信节点证书由管理域中心统一管理,由中心域内证书管理模块实现证书发放,更新和删除,通信节点通过中心签名信息验证证书;其中,节点通过分配的入网信息(如身份信息和密码等)向真实管理体系发起申请,真实地址管理模块验证其合法性,为其分配带有身份标识后缀的真实地址,得到真实地址的通信节点向中心证书管理服务器申请证书,其中,节点获取证书过程可如图3中’B.节点获取证书’所在行所示出的流程。
在本申请实施例中,通信节点之间的验证流程如图3中’C.身份验证’所在行所示出的流程。源端通信节点通过私钥发送签名信息,目的端通信节点从区块链获取中心公钥,验证源端证书正确性,并从中得到公钥,验证源端签名,确认身份。对中心节点发往通信节点的数据更新请求,其身份验证过程也是一致的。中心节点通过私钥附带签名,以使通信节点接收中心签名,通过区块链查询到中心公钥,对数据包签名进行认证,认证通过后响应访问请求,实现对中心节点的身份认证。
在一些实施例中,域内由中心节点的真实地址管理模块生成真实地址,基于真实地址的通信,各通信节点具备过滤非法源地址流量的能力,其中真实地址后64位为节点动态标识,对端节点通过与交换机端口绑定基于真实地址对伪造地址信息进行过滤,在路由器基于IP前缀对伪造地址前缀进行过滤,该方案作为两级身份认证的第一层,用于数据查询等业务。
在步骤202中,在管理域的中心节点配置中心数据管理模块,管理域内的通信节点配置本地数据管理模块,并为数据增加、删除、更新提供与身份认证模块的连接。
在本申请实施例中,在管理域的中心节点配置中心数据管理模块,如图1所示,组成层次化的结构。在中心节点间通过区块链对发布数据形成共识,通信节点由本域中心节点集中管理数据。数据更新、增加、删除类业务提供基于证书的身份验证,查询类业务通过中心下发的基于真实地址的ACL(Access Control Lists,访问控制列表)规则绑定过滤恶意流量。
在步骤203中,中心节点收集域内通信节点临时数据,统一评估出节点信任度评价值并向通信节点下发。
在本申请实施例中,中心节点每隔预设时间间隔收集各通信节点上报的临时数据,并根据数据形成对各节点的评估,并将当前域内各节点数据形成格式化文件,以实现域内数据的建立。
在步骤204中,中心节点将本时间间隔数据形成格式化文件,并将文件摘要通过域间中心节点验证,向区块链发布。
在一些实施例中,中心节点在每个时间间隔将本域信任度文件生成数据摘要,并由中心节点间组建联盟链,审核通过后向区块链发布,以实现域间数据更新。
在步骤205中,域内通信节点直接从本域获取数据,验证通信节点身份后,通信节点从另一通信节点获取数据,并获取其余域节点数据,中心节点维护其余域节点原始数据及上链的数据摘要,验证通信节点身份向通信节点发送。
在本申请实施例中,如图4所示,通信节点可直接从域内通信节点获取数据,并从中心节点获取验证,由于通过真实地址对传输数据进行接入网过滤和IP前缀过滤,可以确保数据获取过程的安全性。
作为一种可能实现方式的示例,域间数据获取过程如下,其中域内数据通过真实地址过滤,域间数据通过证书实现认证:
1)通信节点向中心发起请求,请求内容包括节点及所处的域。
2)中心节点检查本地是否有该域数据,若有该域数据,则直接进入步骤104;否则,中心节点向对应中心节点发送请求,得到该域通信节点信任度数据。
3)中心节点查询本地是否存在该域当前阶段相应的摘要文件,如存在则直接验证,否则向区块链读取摘要文件验证。
4)中心节点向本域节点传送查询节点信任度数据。
在步骤206中,每隔T个时间间隔,区块链自动删除时间间隔1到(N-T-1)时刻数据,保留区块链头部信息;其中,N为区块链中区块的数量。
可选地,每个时间段结束,每隔T个时间间隔,区块链自动删除时间间隔1到(N-T-1)时刻数据,只保留区块链头部信息,以实现上链摘要管理。
综上所述,本申请实施例通过身份认证模块和数据管理模块完成基于真实身份的域内信任度数据共享。其中,身份认证模块包括真实地址管理及证书管理模块,如图5所示,拥有真实地址的终端根据身份ID由终端生成公私钥,向CA提交身份证明、IP地址、公钥和签名,CA对申请真实性进行验证后,生成包含CA签名的数字证书,将终端地址、公钥、证书等信息发送到区块链,通过共识机制形成在用公钥数据库。域内通信节点证书由管理域中心进行颁发管理,通信节点可从区块链下载中心节点证书验证中心身份,如图6所示,通信节点通过线下分发等方式获取属于自己的身份和密码申请真实地址,中心节点为通信节点分配IP地址,该地址与真实身份关联,即地址后缀嵌入动态标识识别节点身份,中心将真实地址过滤方案下发到各通信节点,实现域内恶意流量过滤。中心节点之间对证书形成共识,通信节点获取证书及身份验证过程如图3所示。
在本申请实施例中,通信节点生成数据,中心处理并上链,域内域间查询过程如图7所示。如图8所示,通过分级存储管理,域内一定范围内中心集中管理,域间上传摘要信息至区块链用于验证。域内通过节点在一定时间范围内提交信任度数据,每个时间段结束后由中心集中评估计算,得到各节点信任度评价值,域间通过发布信任度评价文件及文件摘要记录入区块链的方式,实现数据全局可验证,本***采用截断区块链的方式,即只保留T个时间间隔的文件摘要数据,其余的数据全部只保留区块链头部,减少存储空间需求。
为了方便本领域技术人员更加清楚地了解本申请,下面将提供一个采用本申请实施例的层次化的互联网信任度分享方法的管理域行为偏离度共享实施例,主要参数如下:
本实施例中,如图1所示,各管理域分别设为A、B、C,域内节点分别为(a1,a2,a3…an),(b1,b2,b3…bn),(c1,c2,c3…cn),设IP前缀为64位分配值,管理域A为2001::0000,B为2002::0000,C为2003::0000。
本实施例中,更新时间间隔设置为300秒,每个时间间隔内,本地数据库保存临时数据,临时数据包括当前时间间隔时间戳,以及地址后缀及相应的行为评价值。行为评价值量化为0-100,其中0为评价值下限,表示节点完全不可信,100为上限,表示节点行为可信。区块链保留全节点时间间隔T=5。
本实施例中,中心证书放置于区块链,可供所有节点查询,通信节点证书由中心颁发,通信节点可通过中心签名验证。
本实施例中,通信节点进入管理域,获取地址和证书后,根据通信过程得到对应节点的行为评价值,作为临时数据,每隔300秒时间间隔与中心同步。
如图9所示,本申请实施例的层次化的互联网信任度分享方法,所采用的评价管理及查询流程可如下:
步骤1)证书管理:各中心服务器组建联盟链,每个中心服务器自己生成公钥、私钥,向CA列表里的CA发送,CA进行审核,当达到5个CA(5个及以上,实际中可灵活选取参数)审核通过后,向各中心服务器发送带有5个CA签名的证书,包含有效日期等信息,各中心服务器验证签名,达成一致后,将证书信息添加到区块链,生成可供全网查询的证书记录。
中心能够根据节点信息,以节点地址为公钥,生成对应的私钥,并将私钥和证书传送至节点,节点使用私钥签名,其余节点验证通信节点证书里中心的签名,确认通信节点证书来自中心颁发,通信过程中根据证书里的公钥验证通信节点身份。
步骤2)数据更新过程身份管理:中心节点A与节点(a1,a2,a3…an)间更新数据时,通过身份验证模块进行基于证书的身份验证。基于真实地址的流量过滤策略由中心真实地址管理服务器统一在接入网交换机及路由器配置,其中A中路由器配置相应前缀2001::0000通过,其余流量被过滤掉,如a1得到地址2001::0001,则与对应的接***换机绑定,过滤除该地址外其余地址。
步骤3)域内数据建立:通信节点a1,a2,a3,分别得到各自的64位地址后缀,2001::0001,2001::0002,2001::0003,2001::0004。每个时间间隔(300S)内,节点之间保存相互的行为评价值,如a1与a2通信,相互的评价值为90,a2与a3通信,a2对a3的评价值为70,a3对a2的评价值为80,在每隔时间段结束时,各节点将所有的临时数据向中心节点A发送,A经过计算,得到各节点该时间段信任度数据:
DATA:(a1:s1,a1:s2,a3:s3…an:sn)
其中sn为节点对应的信任度值。
步骤4)域间数据更新。域A将该时间段时间间隔编号TS,及DATA数据计算摘要如下:
DigestA:SHA256(TS||DATA)
其中||表示字符串相加,节点A将DigestA发布,节点B、C等进行审核,如规定5个域中心节点全审核通过后,发布内容附带审核中心节点签名SignN(DigestA),即发布内容为:
Info:(DigestA||Sign1||Sign2||Sign3||Sign4||Sign5)
该消息向区块链发布,可供全局查询。
步骤5)数据查询与验证。包括域内节点和域外节点数据获取与验证。
在本步骤中,包括域内节点数据获取和域间数据获取。具体如下:
1.域内节点数据获取,所有通信节点可以通过真实地址过滤方式获取节点以标准格式存储的文件,并根据中心同步的最后一阶段时间间隔该节点验证信息,验证从通信节点获取数据是否正确。
2.域间数据获取
(1)通信节点向中心发起请求,请求内容包括节点及所处的域,如请求域B的节点b2,b3,域C节点c2则格式为:
Requirement:(B||b2||b3,C||c2)
(2)中心节点检查本地是否有该域数据,若只有域B数据,则读取并存储;并向域C获取当前时间间隔数据,域C回复当前数据DATA及签名信息。
(3)中心节点查询本地是否存在域C当前阶段相应的摘要文件DigestA,如存在则直接验证,否则向区块链读取Info验证,验证审核节点签名后存储于本地,并验证获取的域C信任度文件。
(4)中心节点向本域节点传送查询节点信任度数据:
Answer:(B||b2:s1||b3:s3,C||c2:s3)
步骤6)每个时间间隔结束后,区块链加入新的区块,则在保留当前有5个完整区块的基础上,其余区块均保持区块头。查询节点可以查询区块从创世区块到最新时间间隔区块头并验证;同时,各中心节点可保持自己的摘要数据和默克尔树验证路径,必要时可以与历史区块链头的树根结合验证,以证明自己在历史阶段提供数据的真实性。
因此可以看出,本申请充分考虑大规模网络以管理域(每个管理域包括一个或多个自治域)为管理单元的特点,引入了身份管理和数据管理框架,通过分层次的身份管理,实现了有效、可靠域内信任度数据共享管理。
综上所述,本申请实施例提出的层次化的互联网信任度分享方法,和现有技术相比,本申请的优势至少在于:本申请采用分级身份验证兼顾效率和可靠性,通过联盟链实现证书管理,通过嵌入真实身份的IP地址实现流量过滤;本申请采用分级存储兼顾域内和域间信任度管理,域间对一定范围内数据建立分布式信任,域内采用中心化方式建立集中信任度管理机制;本申请采用集中式管理和分布式查询结合,确保信任度数据准确性的基础上提升查询效率。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (9)

1.一种层次化的互联网信任度分享方法,其特征在于,包括:
步骤1,在管理域的中心节点和所述管理域内的通信节点配置真实地址管理模块,将真实地址用于查询类业务的身份认证,在所述管理域的中心节点配置身份认证模块,包括本中心证书申请和通信节点证书管理;
步骤2,在所述管理域的中心节点配置中心数据管理模块,所述管理域内的通信节点配置本地数据管理模块,并为数据增加、删除、更新提供与所述身份认证模块的连接;
步骤3,所述中心节点收集域内通信节点临时数据,统一评估出节点信任度评价值并向通信节点下发,其中,临时数据包括当前时间间隔时间戳,以及地址后缀及相应的行为评价值;
步骤4,所述中心节点将本时间间隔数据形成格式化文件,并将文件摘要通过域间中心节点验证,向区块链发布;
步骤5,所述域内通信节点直接从本域获取数据,验证通信节点身份后,通信节点从另一通信节点获取数据,并获取其余域节点数据,所述中心节点维护所述其余域节点原始数据及上链的数据摘要,验证通信节点身份向通信节点发送;
步骤6,每隔T个时间间隔,区块链自动删除时间间隔1到(N-T-1)时刻数据,保留区块链头部信息;其中,N为所述区块链中区块的数量。
2.根据权利要求1所述的方法,其特征在于,所述身份认证模块基于证书的认证由网关、数字证书认证中心CA、区块链和通信节点组成;其中,
所述中心节点的证书通过区块链达成共识,所述中心节点根据身份ID生成公私钥,并向所述CA提交身份证明、IP地址、公钥和签名;
所述CA对申请真实性进行验证后,生成包含CA签名的数字证书,并将终端地址、公钥、证书发送到区块链主链,通过共识机制形成在用公钥数据库。
3.根据权利要求2所述的方法,其特征在于,所述域内通信节点证书由管理域中心统一管理,由中心域内证书管理模块实现证书发放,更新和删除,通信节点通过中心签名信息验证证书;其中,节点通过分配的入网信息向真实管理体系发起申请,所述真实地址管理模块验证其合法性,为其分配带有身份标识后缀的真实地址,得到真实地址的通信节点向中心证书管理服务器申请证书。
4.根据权利要求3所述的方法,其特征在于,还包括:
源端通信节点通过私钥发送签名信息,目的端通信节点从区块链获取中心公钥,验证源端证书正确性,并从中得到公钥,验证源端签名,确认身份;
对中心节点发往通信节点的数据更新请求,其中,所述中心节点通过私钥附带签名,以使通信节点接收中心签名,通过区块链查询到中心公钥,对数据包签名进行认证,认证通过后响应访问请求,实现对所述中心节点的身份认证。
5.根据权利要求1所述的方法,其特征在于,域内由所述中心节点的真实地址管理模块生成真实地址,基于真实地址的通信,各通信节点具备过滤非法源地址流量的能力,其中真实地址后64位为节点动态标识,对端节点通过与交换机端口绑定基于真实地址对伪造地址信息进行过滤,在路由器基于IP前缀对伪造地址前缀进行过滤。
6.根据权利要求1所述的方法,其特征在于,所述步骤2具体包括:
在中心节点间通过区块链对发布数据形成共识,通信节点由本域中心节点集中管理数据;其中,数据更新、增加、删除类业务提供基于证书的身份验证,查询类业务通过中心下发的基于真实地址的访问控制列表ACL规则绑定过滤恶意流量。
7.根据权利要求1所述的方法,其特征在于,所述步骤3具体包括:
所述中心节点每隔预设时间间隔收集各通信节点上报的临时数据,并根据数据形成对各节点的评估,并将当前域内各节点数据形成格式化文件。
8.根据权利要求1所述的方法,其特征在于,所述步骤4具体包括:
所述中心节点在每个时间间隔将本域信任度文件生成数据摘要,并由中心节点间组建联盟链,审核通过后向区块链发布。
9.根据权利要求1所述的方法,其特征在于,所述步骤5具体包括:
通信节点向中心节点发起请求,其中,请求内容包括节点及所处的域;
所述中心节点检查本地是否有所述域的数据,若有所述域的数据,则直接进入所述步骤4;否则,所述中心节点向对应中心节点发送请求,得到所述域通信节点信任度数据;
所述中心节点查询本地是否存在所述域当前阶段相应的摘要文件,若存在则直接验证,否则向区块链读取摘要文件验证;
所述中心节点向本域节点传送查询节点信任度数据。
CN202011443888.8A 2020-12-08 2020-12-08 层次化的互联网信任度分享方法 Active CN112511553B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202011443888.8A CN112511553B (zh) 2020-12-08 2020-12-08 层次化的互联网信任度分享方法
US17/544,935 US20220182375A1 (en) 2020-12-08 2021-12-08 Method for hierarchical internet trust sharing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011443888.8A CN112511553B (zh) 2020-12-08 2020-12-08 层次化的互联网信任度分享方法

Publications (2)

Publication Number Publication Date
CN112511553A CN112511553A (zh) 2021-03-16
CN112511553B true CN112511553B (zh) 2021-12-07

Family

ID=74971053

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011443888.8A Active CN112511553B (zh) 2020-12-08 2020-12-08 层次化的互联网信任度分享方法

Country Status (2)

Country Link
US (1) US20220182375A1 (zh)
CN (1) CN112511553B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363362B (zh) * 2021-11-26 2024-05-14 深圳供电局有限公司 数据处理方法、装置、服务器及可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070644A (zh) * 2016-12-26 2017-08-18 北京科技大学 一种基于信任网络的去中心化公钥管理方法和管理***

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9635000B1 (en) * 2016-05-25 2017-04-25 Sead Muftic Blockchain identity management system based on public identities ledger
CN108737436B (zh) * 2018-05-31 2020-02-21 西安电子科技大学 基于信任联盟区块链的跨域服务器身份认证方法
CN109639406B (zh) * 2018-12-24 2022-03-04 国泰君安证券股份有限公司 基于区块链和ipfs的高效信任解决方法
CN110569674B (zh) * 2019-09-10 2023-11-17 腾讯科技(深圳)有限公司 基于区块链网络的认证方法及装置
CN110572398B (zh) * 2019-09-10 2021-08-31 腾讯科技(深圳)有限公司 区块链网络的管控方法、装置、设备及存储介质
CN111405011B (zh) * 2020-03-07 2022-11-25 北京工业大学 基于区块链的vanet中节点可信加入方法
AU2020102543A4 (en) * 2020-09-30 2020-11-19 Aggarwal, Vibha DR Iot based trust modeling approach for cooperative autonomous driving and intelligent transport systems (its)

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070644A (zh) * 2016-12-26 2017-08-18 北京科技大学 一种基于信任网络的去中心化公钥管理方法和管理***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"区块链技术与信任世界的构建";郭彬、于飞、陈劲;《企业管理》;20161115(第11期);全文 *

Also Published As

Publication number Publication date
US20220182375A1 (en) 2022-06-09
CN112511553A (zh) 2021-03-16

Similar Documents

Publication Publication Date Title
CN112311530B (zh) 一种基于区块链的联盟信任分布式身份凭证管理认证方法
Lepinski et al. An infrastructure to support secure internet routing
CN109327562B (zh) 一种基于区块链的域名存储***及方法
CN113824563B (zh) 一种基于区块链证书的跨域身份认证方法
JP2022530601A (ja) ブロックチェーンネットワークにおいてアイデンティティ証明書を取り換える方法、装置、記憶媒体及びコンピュータ機器
EP0862105A3 (en) Method of and apparatus for providing secure distributed directory services and public key infrastructure
US20100154040A1 (en) Method, apparatus and system for distributed delegation and verification
CN110730081B (zh) 基于区块链网络的证书吊销方法、相关设备及介质
US20020099668A1 (en) Efficient revocation of registration authorities
CN113228560A (zh) 用于发行的发行设备和方法以及用于请求数字证书的请求设备和方法
CN114338242A (zh) 一种基于区块链技术的跨域单点登录访问方法及***
CN112511553B (zh) 层次化的互联网信任度分享方法
CN112132581B (zh) 基于iota的pki身份认证***及方法
CN114205162A (zh) 一种基于区块链pki互信认证的方法和***
US20220294647A1 (en) Distributed ledger-based methods and systems for certificate authentication
KR102146914B1 (ko) 블록체인 기반 IoT 기기 펌웨어 배포 시스템
CN112564958B (zh) 域内信任度数据共享***
CN113993129B (zh) 一种pdu会话建立方法、终端及计算机可读存储介质
Forne et al. Certificate status validation in mobile ad hoc networks
CN115021930B (zh) 一种基于资源公钥基础设施区块链的路由器证书颁发方法
CN112769817B (zh) 一种基于可信网络的区块链网络、构建方法及构建***
KR102506432B1 (ko) 인증서 폐기 리스트 관리 방법 및 이를 위한 시스템
KR102565970B1 (ko) 블록체인을 활용한 인증서 발급 방법 및 이를 위한 시스템
CN114500051B (zh) 一种基于区块链的证书管理方法及***
KR102506431B1 (ko) 블록체인을 활용한 인증서 관리 방법 및 이를 위한 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant