专利名称:节点认证的制作方法
技术领域:
本公开一般涉及网络节点认证。
背景技术:
通信节点经常通过网络互连。对等网络包括与其它通信节点通信的通信节点。节点可以彼此通信、共享信息、提供服务以及执行其它网络交互。对等网络可以是分散的,没有中心网络授权(authority)。因此,对等网络中的通信节点可以被认为是对等或者同等的节点。对等网络中的认证帮助确保网络中节点之间的内容通信更安全。在对等网络中,一个节点可以与另一节点共享信息。例如,节点A作为服务提供者可以与节点B共享本地存储的信息或数据,比如视频、音频等。然后,节点B可以从节点A 下载/传输信息/数据。在不提供认证机制的情况下,可能出现许多不期望的情况。例如, 一些节点可能仅仅获得服务并且其本身并不提供服务,一些节点可能提供恶意服务,一些节点可能破坏其它节点上的资源,并且一些恶意节点可能充当欺骗其它节点的组。
发明内容
在一个实施例中,认证方法可以包括在第一节点处接收来自第二节点的对服务的请求。此外,该认证方法可以包括基于在该对服务的请求中所包括的第二节点的通信历史来确定第二节点是否被认证。此外,该方法可以包括当确定指示第二节点被认证时,向第二节点提供服务。在可替换的实施例中,公开了一种认证方法,其可以包括第一节点从第二节点请求服务,并将通信历史作为认证凭证包括在对服务的请求中。该认证方法还可以包括基于该认证凭证从第二节点接收所请求的服务。在可替换的实施例中,公开了一种认证方法,并且其可以包括接收对于对等节点与第一节点之间的通信历史的请求。该方法还可以包括基于该通信历史评估第一节点的可信度,以及传输第一节点的通信历史和可信度的评估。在可替换的实施例中,一种装置包括认证模块,被配置为接收对服务的请求;以及服务模块,被配置为基于由认证模块执行的认证,向请求者装置提供所请求的服务。前述是发明内容,因此必然包含了对细节的简化、概括和省略;从而,本领域技术人员将认识到,此发明内容仅仅是示例性的,而并非意在以任何方式进行限制。在此处所述的教导中,在此所描述的设备和/或处理和/或其它主题的其它方面、特征和优点将变得显而易见。提供发明内容以按简化的形式引入概念的选择,其在以下具体实施方式
中进一步详细描述。此发明内容并非意在标识要求保护的主题的关键特征或重要特征,也非意在用作确定要求保护的主题的范围的帮助。
结合附图,从以下描述和所附权利要求中,本公开的前述和其它特征将变得更加明显。理解这些附图仅仅绘出了根据本公开的几个实施例,因此不应被认为是对其范围的限制,将通过使用额外的特性和细节来描述本公开。图1是根据本公开的示例实施例的对等网络环境的例子。图2图示了根据本发明的示例实施例的、安排用于认证的示例计算设备。图3是根据本公开的示例实施例的对等网络中的节点的例子。图4图示了根据本公开的示例实施例的认证模块的功能单元。图5图示了根据本公开的示例实施例的服务模块的功能单元。图6是根据本公开的示例实施例的、在提供服务的节点处的处理步骤的例子。图7是根据本公开的示例实施例的、在请求服务的节点处的处理步骤的例子。图8是根据本公开的示例实施例的、在充当对等评估者(evaluator)节点的节点处的处理步骤的例子。图9是根据本公开的示例实施例的、在两个对等节点之间的处理流程的例子。图10是根据本公开的示例实施例的α -列表(α "list)数据结构的例子。图11是根据本公开的示例实施例的列表(β-list)数据结构的例子。
具体实施例方式在以下详细描述中,参考形成了该描述的一部分的附图。在附图中,类似的标记典型地标识类似的组件,除非文中另外规定。
具体实施方式
、附图和权利要求书中所述的示例实施例并不意味限制。不脱离在此呈现的主题的精神和范围,可以利用其它实施例,可以进行其它改变。将很容易理解,如在此一般描述以及图中所示,可以以各种不同的配置安排、 替换、组合和设计本公开的方面,其全部被明确构思并构成本公开的一部分。本公开尤其涉及用于节点认证的方法、装置、系统和计算机程序。在对等网络中, 通信节点彼此通信。由于对等网络可以是分散的,没有中心网络授权,认为通信节点是对等的,并且当认证其它对等节点时,同样可能不依赖中心授权。对等网络中的通信节点功能上可以相互等效,但是可能基于它们执行的角色而不同地动作。请求服务的节点执行服务请求者节点的角色。提供所请求的服务的节点执行服务提供者节点的角色。提供对另一节点的评估的节点执行对等评估者(evaluator)的角色。因此,对等网络中的任意节点可以在各个时间执行各种功能。例如,第一节点可以从第二节点请求服务,因此执行服务请求者的角色。在该具体交互中,第二节点执行服务提供者的角色。本领域技术人员可以认识到,节点之间的角色可以颠倒。当请求者节点从服务提供者节点请求服务时,服务提供者节点可以考虑请求者节点的通信历史,以基于该通信历史确定是否认证请求者节点并向该请求者节点提供所请求的服务。可以从在过去与服务提供者节点通信的对等评估者节点获得通信历史。图1图示了对等网络的示例环境。通信节点100、102、104和106可通信地连接到网络120。尽管图1中仅绘出了四个节点,但是可以认识到,另外的节点也可以存在于示例环境内。如上所述,节点100、102、104和106功能上可以彼此等效,但是基于它们在给定服务请求/服务提供交互中的角色而执行不同的功能。网络120不限于分组切换的有线网络, 而可以是无线、专门或许多的网络拓扑和配置。可以将网络120建立为用于对等网络的双环路拓扑模型。该拓扑基于所选的对等路由算法(比如Chord、或任意其它种类的结构化的对等路由算法)而做出进一步改进。节点与网络120的可通信连接可以是有线的、无线的、 永久的、临时的或许多通信设备与网络之间的其它连接。节点之一 100可以从另一节点102请求服务。请求服务的节点100是服务请求者节点(也称为请求者节点、或者仅称为服务请求者),并且被请求服务的节点102是服务提供者节点(也称为提供者节点,或者仅称为服务提供者)。服务请求者可以将其通信历史提供至服务提供者,并且服务提供者可以基于通信历史来认证服务请求者。该通信历史可以包括在过去的预定时间段期间与请求者节点通信的其它节点104 和/或106的标识。这些其它节点104和/或106可以担当对等节点或者评估者节点(也称作对等者或者评估者)的角色。服务提供者可以向评估者节点要求它们关于服务请求者的通信历史。一个或多个对等或者评估者节点可以存储相应节点处的通信历史。如果它们与请求者节点进行了通信,则该通信历史包括关于请求者节点的信息。通信历史还可以包括节点通信的频繁程度的测量,还可以包括指示节点在其间进行通信的时间段的时间戳等。服务提供者节点可以从对等或者评估者节点询问它们对请求者节点的评估。对等或评估者节点基于它们关于请求者节点的先前的经验提供它们对请求者节点的评估。对等或请求者节点将它们各自的通信历史传送给服务提供者节点。然后服务提供者节点基于由对等或评估者节点提供的历史(和/或评估)决定是否认证请求者节点。服务提供者根据这些通信历史计算信任测量,或者确定请求者节点的可信度。信任测量用于确定是否将认证服务请求者节点。如果服务提供者确定应该认证请求者,则服务提供者将向请求者提供所请求的服务。另一方面,如果确定不应该认证服务请求者,则将不提供服务。图2是图示安排用于执行根据本公开的对等网络中的认证方法的示例通信节点 100(当描述可能的硬件实现的例子时,也称作计算设备200)的框图。可以认识到,节点 100、102、104和106可以类似地配置,或者可以实现为具有不同配置的计算设备,同时能够执行作为服务提供者节点、请求者节点和/或对等或评估者节点的角色。还可以认识到,节点100、102、104和106可以在一个时间或者另一时间执行服务提供者节点、请求者节点和/ 或对等/评估者节点的至少一个的功能。在非常基本的配置201中,计算设备200典型地包括一个或多个处理器210以及系统存储器220。存储器总线230可以用于处理器210与系统存储器220之间的通信。取决于期望的配置,处理器210可以是任意类型,包括但不限于微处理器(μ P), 微控制器(μ C)、数字信号处理器(DSP)或者其任意组合。处理器210可以包括多于一级的高速缓存器(比如1级高速缓存器211和2级高速缓存器21 、处理器内核213和寄存器214。处理器内核213可以包括算术逻辑单元(ALU)、浮点单元(FPU)、数字信号处理内核 (DSP内核)或其任意组合。还可以与处理器210 —起使用存储器控制器215,或者在一些实施方式中,存储器控制器215可以是处理器210的内部部分。取决于期望的配置,系统存储器220可以是任意类型的,包括但不限于易失性存储器(比如RAM)、非易失性存储器(比如ROM、闪存等)或其任意组合。系统存储器220典型地包括操作系统221、一个或多个应用222和程序数据224。应用222包括安排用于执行先前所描述的认证功能的认证算法223。程序数据2M包括用于当计算设备200用作服务提供者节点时提供服务的服务数据225。节点通信历史也存储在系统存储器220中,并且由认证算法使用来执行先前所描述的认证功能。在一些实施例中,可以安排应用222在操作系统221上操作程序数据224。所述的这种基本配置通过虚线201内的那些组件图示在图 2中。计算设备200可以具有另外的特征或功能性以及另外的接口,以便利于在基本配置201与任意所需的设备和接口之间的通信。例如,总线/接口控制器240可以用于便利于基本配置201与一个或多个数据存储设备250之间经由存储接口总线241的通信。数据存储设备250可以是可移除存储设备251、非可移除存储设备252或其组合。可移除存储设备和非可移除存储设备的例子包括诸如软盘驱动器和硬盘驱动器(HDD)的磁盘设备、诸如致密盘(⑶)驱动器或数字通用盘(DVD)驱动器的光盘驱动器、固态驱动器(SSD)和磁带驱动器,以列举其中一些。示例的计算机存储介质可以包括对于诸如计算机可读指令、数据结构、程序模块或其它数据的信息存储以任意方法或技术实现的易失性和非易失性的、可移除和非可移除介质。系统存储器220、可移除存储器251和非可移除存储器252都是计算机存储介质的例子。计算机存储介质包括但不限于RAM、ROM、EEPR0M、闪存或其它存储器技术、CD-ROM、数字通用盘(DVD)或其它光存储器、盒式磁带、磁带、磁盘存储器或其它磁存储器件、或可以用于存储期望的信息并可以由计算设备200访问的任意其它介质。任意这样的计算机存储介质可以是设备200的一部分。计算设备200还可以包括用于便利于从接口设备(例如输出接口、外围接口和通信接口)经由总线/接口控制器240到基本配置201的通信的接口总线M2。示例输出设备260包括图形处理单元261和音频处理单元沈2,其可以被配置为经由一个或多个A/V端口 263与诸如显示器或者扬声器的各种外部设备通信。示例外围接口 270包括串行接口控制器271或者并行接口控制器272,其可以被配置为经由一个或多个I/O端口 273与诸如输入设备(例如键盘、鼠标、笔、声音输入设备、触摸输入设备等)的外部设备或其它外围设备 (例如打印机、扫描仪等)通信。示例通信设备280包括网络控制器观1,其可以安排为便利于经由一个或多个通信端口 282与网络通信上的一个或多个其它计算设备200的通信。 通信连接是通信介质的一个例子。通信介质典型地可以由计算机可读指令、数据结构、程序模块或诸如载波或其它传输机制的调制数据信号中的其它数据来体现,并且包括任意的信息传递介质。“调制数据信号”可以是具有其特性集的一个或多个的信号,或者以将信息编码在信号中的方式而改变的信号。通过例子而非限制,通信介质可以包括诸如有线网络或者直接有线连接的有线介质以及诸如声学的、射频(RF)、红外(IR)和其它无线介质的无线介质。在此使用的术语计算机可读介质可以包括存储介质和通信介质两者。可以将计算设备200实现为诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线上网(web-watch)设备、个人头戴耳机设备、专用设备或者包括任意以上功能的混合设备的小封装(small-form factor)便携(或移动)电子设备。还可以将计算设备 200实现为包括膝上型计算机和非膝上型计算机配置两者的个人计算机。在系统的方面的硬件和软件实现之间存在很小的区别;硬件或软件的使用通常是表示成本相对效率折衷的设计选择(但在硬件和软件之间的选择会变得很重要的一些情境下,也不总是如此)。存在可以影响在此所述的处理和/或系统和/或其它技术的各种手段(vehicle)(例如硬件、软件和/或固件),以及优选的手段将随着布署处理和/或系统和/或其它技术的情境而变化。例如,如果实施者确定速度和准确性是至关重要的,则实施者可以选择主要是硬件和/或固件的手段;如果灵活性是至关重要的,则实施者可以选择主要软件的实施方式;或者,还可替换地,实施者可以选择硬件、软件和/或固件的某种组合。图3图示参与对等网络的节点100的示例实施方式。可以认识到,可以与关于节点 100的讨论类似地配置节点102、104和106。节点100包括服务模块330和认证模块320。 服务模块330被配置为向请求者节点提供服务。如本领域技术人员可以认识到的,可以在各种平台上实现节点100,而不限于任何具体实施方式
。服务模块330还可以被配置为接收由另一装置提供的服务。认证模块320被配置为从请求者节点接收对服务的请求。对服务的请求可以包括其它节点的通信历史和请求者节点对其它节点的评估,其中通信历史标识先前与请求者节点通信的其它节点。认证模块320包括图4所示的功能单元。通信历史确定单元410被配置为通过查看请求者节点的通信历史来确定在过去已经与请求者节点通信的一个或多个其它通信节点(对等节点)。当标识了对等节点时,发送器420被配置为向对等节点发送对请求者节点的评估的请求。对等节点可以将具有对请求者节点的评估的响应返回到认证模块320的接收器430。评估可以是列表的形式,其包括从对等节点分配给请求者节点的信任值。 如果对等节点不具有与请求者节点的通信历史,则其可以不向认证模块320返回对请求者节点的任何评估。认证确定单元440基于可能从对等节点接收到的任何评估来确定是否认证请求者节点。如可以认识到的,网络中的节点可以在有时充当服务提供者的角色,在另一些时间充当服务请求者的角色,并在又一些时间充当对等节点的角色。尽管节点可能在不同的时间履行不同的角色,但是这并不需要基于不同的角色而限制节点的实施方式。图5图示了根据示例实施例的节点100的服务模块330的功能单元。服务请求生成器510被配置为产生对服务的请求。对服务的请求可以响应于输入设备(诸如接收来自用户的输入的设备)的动作。服务请求生成器510将对服务的请求传递到服务请求发送器 520。服务请求发送器520可以将所产生的服务请求传送到节点100的相应认证模块320。 服务请求发送器520还可以经过网络120将服务请求直接发送到另一节点。当节点100充当服务请求者节点时,服务接收器530接收由服务提供者节点提供的所请求的服务。如图5 所示,经过网络120接收服务。服务接收器530还被配置为评估服务提供者节点的性能,并将该评估记录在通信历史存储器MO中。服务提供者也可以评估服务接收器的性能,并将该评估记录在其通信历史存储器中。认证评估接收器550从相应的认证模块320接收指示服务请求者节点是否已经被认证模块320认证的响应。如果服务请求者节点已经被认证, 则认证评估接收器550命令服务提供者560提供所请求的服务。服务提供者560在其被认证评估接收器550命令提供实际请求的服务时提供该实际请求的服务。图6图示可以在充当服务提供者节点的角色的节点处执行的步骤的例子。在步骤 S 610中,服务提供者节点从服务请求者节点接收对服务的请求。在步骤S 620中,服务提供者节点基于服务请求者的通信历史来确定是否认证服务请求者节点。在步骤S 630中, 如果确定服务请求者被认证,则服务提供者节点提供所请求的服务。图7图示可以在充当服务请求者节点的角色的节点处执行的步骤的例子。在步骤 S 710中,服务请求者节点请求服务。在步骤S 720中,服务请求者节点提供其通信历史作为认证凭证(credential)。在步骤S 730,服务请求者节点接收所请求的服务。图8图示可以在充当对等评估者节点的角色的节点处执行的步骤的例子。在步骤 S 810,对等评估者节点接收对于对等评估者节点与服务请求者节点之间的通信历史的请求。对于通信历史的该请求可以来自于服务提供者节点,其中服务请求者节点已经向该服务请求者节点请求服务。在步骤S 820,对等评估者节点基于通信历史评估服务提供者节点的可信度,并在步骤S 830发送包括对服务请求者节点的可信度评估在内的其自身的通信历史。将参考图9描述两个节点之间的交互的示例处理流程。在图9公开的例子中,节点950执行服务请求者节点的角色。节点960执行服务提供者节点的角色。此外,服务请求者节点950被指定了标识符“i”,服务提供者节点960被指定了标识符“j”。因此,“节点 i”指的是请求者节点950,“节点j”指的是服务提供者节点960。服务请求者950和服务提供者960两者都包括相应的服务模块和相应的认证模块(对应于服务请求者950的服务模块i和认证模块i,以及对应于服务提供者960的服务模块j和认证模块j)。在每个服务模块中所执行的步骤和在每个认证模块中所执行的步骤在图9中相互区分,并分别由它们在服务模块i、服务模块j、认证模块i和认证模块j内的相对布置而指定。在图9中,在步骤S 902,服务模块i产生服务请求。此外,在步骤S 904,在步骤S 902产生的服务请求被转送到认证模块i。因此,认证模块i从服务模块i接收服务请求, 在步骤S 906,认证模块i将节点i的通信历史添加到服务请求,并将包括通信历史的服务请求转送到节点j。如可以认识到的,还可以从服务模块i而不是仅从认证模块i将服务请求发送到服务提供者960。实际上,服务请求者节点950可以以不限于图9的示例实施例的多种方式将服务请求传送到服务提供者节点960。通信历史可以限制在预定时间段并因此跨越该预定时间段,比如最近的1小时、2 小时、3小时等。该预定时间段说明对等网络中给定节点的行为样式的可能改变。因此,在一个时间点上被认为可信的节点可能在稍后的时间段改变其行为并不再被认为是可信的。 相反,在某个时间点被认为不可信的节点可能改变其行为,并且由其对等节点给出的更新的评估变为可信。时间段选择使得能够使用不陈旧的评估。此外,通信历史可以包括对其它节点的评估。评估可以是对其它节点的行为的定性印象。节点的用户或者所有者可以通过例如使用滑动条、输入数字或其它类型的用户接口(如本领域技术人员认识到的)例如向另一节点分配评估。评估还可以是与其它节点的成功或失败通信尝试的定性数字。例如, 评估可以包括对两个节点之间的成功和失败通信尝试的计数。在节点j,认证模块j接收来自认证模块i的请求。但是,服务提供者960不限于仅通过认证模块i接收请求,而是可以通过未在此例子中图示的其它模块接收请求。在步骤S 909,认证模块j计算节点i的全局信任(Ti)。作为计算全局信任的一部分,节点j将从在过去与节点i通信的对等节点请求对节点i的评估。在步骤S 906中被转送到认证模块j的通信历史中包括对这些对等节点的标识。对等节点将其自身的通信历史提供给节点 j,这些通信历史由认证模块j用来计算全局信任。此外,在步骤S 911,认证模块j计算节点i的相对信任度NBRTjitl步骤S 911的输出可以是表示相对信任度的值。然后在步骤S 913将该值与预定阈值相比较。预定阈值可以对于对等网络中的每个节点单独设置,或者预定阈值也可以全局地设置为在对等网络中的所有节点之间都相等。如果在步骤S911中输出的值满足预定阈值,则认证模块j向服务模块j指示节点i被认证。因此,在步骤S 915中,服务模块j向服务模块i提供所请求的服务。在步骤S 918,服务模块i接收所提供的服务。在提供了服务后,如步骤S 917以及S920所示,服务模块j与服务模块i之间的通信结束。在通信结束后,在步骤S 923,服务模块j将与节点i的交互的评估存储为节点j的通信历史的一部分。因此,基于与节点 i的最近交互更新节点j的通信历史。在步骤S 922,服务模块i也将与节点j的交互的评估存储为节点i的通信历史的一部分。如可以认识到的,可以将每个节点的通信历史存储在相应节点上的存储器中。如果在步骤S 913中未满足阈值要求,则认证模块j向服务模块j指示节点i未被认证,并且不应该提供服务。转而,服务模块j不向服务模块i提供服务,而是在步骤S 917结束通信。服务模块j还可以通知服务模块i将不提供服务,并且服务模块i转而在步骤S 920结束通信。即使服务模块j不提供服务,服务模块j也可以在步骤S 923将与节点i的交互的记录或者评估存储在其通信历史中。在步骤S 922,服务模块i也可以将与节点j的该交互的记录或者评估存储为节点i的通信历史的一部分。可能下层(underlying)通信信道中的问题引起节点i与节点j之间的通信的长久延迟。在此情况下,节点i和节点j可能无需记录反馈。另一方面,如果已经在节点i与节点j之间发起通信,并且通信在正常对话期间突然终止,则系统可以自动产生指示失败的反馈。在实施例中,节点i的用户和节点j的用户能够确定应该给出什么反馈,并分配该反馈。例如,可以提示用户在“成功”按钮与“失败”按钮之间选择,以表达用户对通信会话的评价。可替换地,可以提供和存储数值,将其作为用户对通信会话的评价。然后可以将该评价作为反馈分配给节点。可以将通信历史存储在每个节点中,并作为如下定义的存储数据结构中的列表形式传送给其它节点。在数据结构中使用以下符号和变量的定义。Su表示节点i与节点j之间成功通信或业务的计数。Fij表示节点i与节点j之间的不成功或失败的通信或业务的计数。Iall表示P2P网络中的所有节点的集合。Ii表示已经与节点i通信的所有节点的集合。Iij = Ii η Ij,这是已经与节点i和节点j两者通信的节点。TSij = SijZi(Si^Fij),其值的范围可以是W,1],表示节点i与j之间的成功通信率,其称为由i给出的j的正信任度估计。TFij = (-1) XFijZi(Si^Fij),其值的范围是[_1,0],其称为由i给出的j的负信任度估计。节点Tu之间的局部信任度表示从节点i的单独观点看节点j的信任度,即由节点 i给出的j的局部信任度估计,Tij = TSi^TFij,其值的范围是[-1,1]。a-list(i) = {<j, Sij, Fij) | j e Ij,并且表示变量 < j,Sij, Fij)的集合,其中每个单独的元素记录节点i与节点j之间的成功和不成功通信的数量。每个节点可以维持 α-列表。例如,节点号1仅存储已经与节点号1通信的节点的通信历史。图10图示了作为存储在节点号1上的α-列表的a-Iist(I)的例子。在图10中,节点1已经与编号为 2、3、6和7的节点通信。节点号2和节点号3与节点号1的通信比其它节点更多,并且节点号3和节点号1之间的成功通信的计数大于节点号2与节点号1之间的成功通信的计数, 且节点号2与节点号1之间的失败通信的数量大于节点号3与节点号1之间的失败通信的数量。节点号6与节点号1之间的成功通信率是100%,节点号7与节点号1之间的成功通信率是0%。可以认识到,节点1、2、3、6和7可以被实现为存在于上述系统环境中的节点之α -列表还可以包括节点之间的通信频率以及通信的时间戳。因此,α -列表可以被定义为 α-list (i) = {<j, Sij, FijjFre^imeStamp) I j e Ij,其中 Fre 代表 i 与 j 之间的通信频率,timeStamp是通信的时间戳。列表用于存储节点之间的局部信任度,这是基于α-列表的计算的结果。 β -list⑴可以是包括已经与节点i通信的节点和由节点i对于那些节点给出的局部信任度的评估的二元变量的集合。β-列表被定义为β-list (i) = Kj5Tij)! j e IJ0在α -列表包括通信频率和时间戳的情况下,通信频率可以直接用作局部信任度的因子,并且时间戳可以用作用于计算某个持续时间中的信任度的过滤参数。因此,列表将被定义为 i3_list(i) = {<j, Fre^Tij) |j e Ij [timel:time2],其是时间 timel 与时间 time2 之间的局部信任度集合。图11图示了列表的例子,其中编号的节点之间的箭头表示访问关系,并且箭头上的值表示两个节点之间的相应二元变量的值。可以认识到,节点1-7可以被实现为存在于如上所述的系统环境内的节点之一。在图11的例子中,i3_list(7) = {<1,0.5>, <3,-0. 4>}表示由节点号7对节点号1给出的局部信任度的估计是0.5,而由节点号7对节点号3给出的局部信任度估计是-0. 4。图11所示的由节点1给出的局部信任的估计是基于图10所示的α-列表。因此,在此例子中,β-Iist(I) = {<2,-0. 09>,<3,0. 21>,<6, 1>,<7,-1>}。由α -列表表示的通信历史可以被记录在服务提供者以及服务接收者两者处。因此,通信历史可以是节点i与j之间的相互记录。例如,当节点i与节点j通信,并且节点 j向节点i提供服务时,节点i可以将其自身对节点j的评估发送到节点j,并且同时还将该评估存储在其通信历史中。现在将描述由认证模块执行的计算的细节。可以根据β -列表定义并获得全局信任度。节点i的全局信任度表示来自已经与节点i通信的所有节点的信任度估计的积分值。 Ti用于表示节点i的全局信任度。在本文中应用平均方法来计算全局信任度,公式如下示出ο
权利要求
1.一种认证方法,包括在第一节点处接收来自第二节点的对服务的请求;基于在该对服务的请求中所包括的第二节点的通信历史,确定第二节点是否被认证;以及当所述确定指示第二节点被认证时,向第二节点提供服务。
2.如权利要求1所述的认证方法,还包括在第一节点处从第二节点接收第二节点的通信历史,该通信历史包括已经与第二节点通信的节点的标识。
3.如权利要求2所述的认证方法,其中所述确定包括 确定属于第二节点的通信历史的一个或多个其它节点;将对第二节点的评估的请求传送到所述一个或多个其它节点; 基于对评估的请求,从所述一个或多个其它节点接收对第二节点的评估;以及基于从所述一个或多个其它节点接收的评估确定是否认证第二节点。
4.如权利要求3所述的认证方法,其中所述确定是否认证包括计算第二节点的全局信任度Ir作为由所述一个或多个其它通信节点对第二节点给出的评估的加权平均;基于全局信任度Tj和第一节点与第二节点的相似性计算相对信任度NBRTij ;以及将相对信任度与预定阈值比较。
5.如权利要求4所述的认证方法,其中基于以下公式计算相对信任度NBRTij iO(Tj <= 0)nbrt^ ={Sim(iJ),TjiTj^,其中sim(i, j)是第一节点与第二节点的相似性。
6.如权利要求5所述的认证方法,其中根据以下公式计算第一节点与第二节点的相似性., Yc^ic-RiWjc-Yj)^yic-Rf ^lu(Tjc-Rj)2其中Iu是在第一节点的通信历史和第二节点的通信历史两者中都出现的公共节点的皇A 朱η jTic是第一节点对节点C的信任评估, Tjc是第二节点对节点c的信任评估,瓦是由第一节点对第一节点的通信历史中的节点给出的规格化的平均评估,以及 f是由第二节点对第二节点的通信历史中的节点给出的规格化的平均信任评估。
7.如权利要求1所述的认证方法,还包括 提供第一节点对第二节点的评估;以及将该评估作为通信历史存储在第一节点处。
8.一种从第二节点请求服务的第一节点的认证方法,该方法包括从第二节点请求服务,包括提供标识先前已经与第一节点通信的一个或多个节点的第一节点的通信历史,作为认证凭证;以及基于该认证凭证从第二节点接收服务。
9.如权利要求8所述的认证方法,其中所述请求包括 在第一节点的服务模块中产生对服务的请求;将该对服务的请求从服务模块提供给第一节点的认证模块;以及将第一节点的通信历史添加到该对服务的请求。
10.如权利要求8所述的认证方法,还包括 基于接收的服务评估第二节点;以及基于评估更新第一节点的通信历史。
11.一种装置,包括认证模块,被配置为接收包括请求者装置的通信历史在内的、对服务的请求,以及基于该通信历史认证请求者装置;以及服务模块,被配置为基于认证向请求者装置提供服务。
12.如权利要求11所述的装置,其中请求者装置的通信历史包括已经与请求者装置通信的一个或多个其它通信装置的标识。
13.如权利要求12所述的装置,其中认证模块包括第一确定单元,被配置为确定属于请求者装置的通信历史的一个或多个其它通信装置;发送器,被配置为将对请求者装置的评价的请求发送到一个或多个其它通信装置; 接收器,被配置为响应于对评估的请求,从一个或多个其它通信装置接收对请求者装置的评估;以及第二确定单元,被配置为基于从一个或多个其它通信装置接收的评估确定是否认证请求者装置。
14.如权利要求13所述的装置,其中认证模块还包括第一计算器,被配置为计算请求者装置的全局信任度Ir作为由一个或多个其它通信装置对请求者装置给出的评估的加权平均;第二计算器,被配置为基于全局信任度Tj以及所述装置与请求者装置的相似性计算相对信任度NBRTij ;以及比较器,被配置为将相对信任度NBRTij与预定阈值比较。
15.如权利要求14所述的装置,其中第二计算器基于以下等式计算相对信任度NBRTij iO[Tj <=0)NBRT^ ={sim{i,j),TjiTj^ ,其中sim(i, j)是所述装置与请求者装置的相似性。
16.如权利要求15所述的装置,其中第二计算器基于以下等式计算所述装置与请求者装置的相似性
17.如权利要求11所述的装置,其中服务模块还被配置为产生服务请求,并将该服务请求提供给认证模块;以及认证模块还被配置为将所述装置的通信历史添加到服务请求,并将该服务请求传送到另一装置的认证模块。
18.如权利要求17所述的装置,其中服务模块还被配置为从另一装置接收所请求的服务,并基于接收请求的服务评估另一装置。
19.如权利要求11所述的装置,其中认证模块包括接收器,被配置为从认证请求者装置接收对于所述装置与另一装置之间的通信历史的请求;信任计算单元,被配置为基于所述装置与另一装置之间的通信历史计算另一装置的信任度量;以及发送器,被配置为将包括所述信任度量在内的所述装置与另一装置之间的通信历史发送到认证请求者装置。
20.如权利要求19所述的装置,其中基于等式Tij = TSyTFij计算信任度量Tij,其中TSij = SijASi^Fij),TFij = (-1) XFijZ(Sij^Fij),Sij是所述装置与另一装置之间的成功通信的计数,以及 Fij是所述装置与另一装置之间的失败通信的计数。
全文摘要
对等网络中请求服务的请求者节点向服务提供者节点发送请求。请求可以包括标识先前已经与请求者节点通信的其它节点的请求者节点的通信历史。服务提供者节点基于通信历史认证请求者节点。服务提供者节点可以向已经与请求者节点通信的其它节点要求对请求者节点的评估。其它节点可以计算请求者节点的信任度量并将该信任度量提供给服务提供者节点。服务提供者节点可以使用该信任度量结合请求者节点与服务提供者节点的相似性计算来确定是否将认证请求者节点。服务提供者节点可以评估请求者节点并将评估存储在其通信历史中。
文档编号H04L29/08GK102244577SQ20101017626
公开日2011年11月16日 申请日期2010年5月10日 优先权日2010年5月10日
发明者谭振华 申请人:东北大学技术转移中心