专利名称:网关节点匿名化的方法、设备和系统的制作方法
技术领域:
本发明涉及物联网领域,特别涉及一种网关节点匿名化的方法、设备和系统。
背景技术:
有智能物体接入的互联网称为物联网,它通过RFID (Radio Frequency
Identification,射频识别)、红外感应器、全球定位系统、激光扫描器等信息传感设备, 按照约定的协议,把任何物体与互联网连接起来,进行信息交换和通讯,以实现智能化 识别、定位、跟踪、监控和管理的一种网络。物联网中常使用RFID标签作为物体与阅读器通信的方式,不同机构的阅读器自 组为ad-hoc (自组网)网络,网络边缘节点与物体交互,物体可通过该ad-hoc网络接入互 联网。物体通过ad-hoc网络和互联网与中心服务器进行数据交互,具体包括当物体向中心服务器发送数据包时,物体将数据包发送到相应的ad-hoc网络, ad-hoc网络通过自身的网关节点将数据包发送给中心服务器。相应的,当中心服务器向 物体发送数据包时,中心服务器将数据包发送特定的网关节点,网关节点通过自身所在 的ad-hoc网络将数据包发送给物体,从而完成物体与中心服务器之间的数据交互。在实现本发明的过程中,发明人发现现有技术至少存在以下问题网关节点的位置是静止不变的,其网络地址和位置的映射是稳定的,攻击者可 以监听中心服务器周围的通信链路,从收发的数据包中解析出网关节点的网络地址,从 而可以确定物体所在的ad-hoc网络,进而在相应的ad-hoc网络中继续监听,就可以获 知物体的精确位置。因此,现有的物联网中还没有一种能够保护物体位置隐私的有效方 法。
发明内容
为了保护物体的位置隐私,本发明实施例提供了一种网关节点匿名化的方法、 设备和系统。所述技术方案如下一种网关节点匿名化的方法,所述方法包括从中转服务器机群中随机选择一个中转服务器;将数据包通过所述选中的中转服务器转发给对端设备。进一步的,所述从中转服务器机群中随机选择一个中转服务器包括;向调度服务器发送查询请求,所述查询请求携带目的网关节点的网络地址;所述调度服务器接收到所述查询请求后,根据所述网络地址获取相应的目的网 关节点;获取所述中转服务器机群的第一集合;产生第一随机数,将所述第一随机数与 预设概率比较;当所述第一随机数小于等于所述预设概率时,从所述第一集合中选出与 所述目的网关节点的网络距离最近的预设个数的中转服务器,作为所述中转服务器机群 的第二集合;当所述第一随机数大于所述预设概率时,将所述第一集合作为所述中转服 务器机群的第二集合;从所述第二集合中随机选择一个中转服务器,并返回所述选中的中转服务器;接收所述调度服务器返回的所述选中的中转服务器。进一步的,所述将数据包通过所述选中的中转服务器转发给对端设备包括将所述数据包通过加密通道发送给所述选中的中转服务器;所述选中的中转服务器将所述数据包转发给所述目的网关节点。进一步的,所述从中转服务器机群中随机选择一个中转服务器包括从自身缓存中获取所述中转服务器机群的第一集合;产生第二随机数,将所述第二随机数与预设概率比较;当所述第二随机数小于 等于所述预设概率时,从所述第一集合中选出与自身的网络距离最近的预设个数的中转 服务器,作为所述中转服务器机群的第二集合;当所述随机数大于所述预设概率时,将 所述第一集合作为所述中转服务器机群的第二集合;从所述第二集合中随机选择一个中 转服务器。进一步的,所述从自身缓存中获取所述中转服务器机群的第一集合之前包括从调度服务器获取所述中转服务器机群,并存储到自身缓存。进一步的,所述将数据包通过所述选中的中转服务器转发给对端设备包括将所述数据包发送给所述选中的中转服务器;所述选中的中转服务器将所述数据包通过加密通道转发给中心服务器。一种中心服务器,所述中心服务器包括第一选择模块,用于从中转服务器机群中随机选择一个中转服务器;第一转发模块,用于将数据包通过所述选中的中转服务器转发给目的网关节
点ο进一步的,所述第一选择模块包括请求单元,用于向调度服务器发送查询请求,所述查询请求携带目的网关节点 的网络地址;使所述调度服务器接收到所述查询请求后,根据所述网络地址获取相应的 目的网关节点;获取所述中转服务器机群的第一集合;产生第一随机数,将所述第一随 机数与预设概率比较;当所述第一随机数小于等于所述预设概率时,从所述第一集合中 选出与所述目的网关节点的网络距离最近的预设个数的中转服务器,作为所述中转服务 器机群的第二集合;当所述第一随机数大于所述预设概率时,将所述第一集合作为所述 中转服务器机群的第二集合;从所述第二集合中随机选择一个中转服务器,并返回所述 选中的中转服务器;接收单元,用于接收所述调度服务器返回的所述选中的中转服务器。进一步的,所述第一转发模块,具体用于将所述数据包通过加密通道发送给所 述选中的中转服务器,使所述选中的中转服务器将所述数据包转发给所述目的网关节
点ο一种网关节点,所述网关节点包括第二选择模块,用于从中转服务器机群中随机选择一个中转服务器;第二转发模块,用于将数据包通过所述选中的中转服务器转发给中心服务器。进一步的,所述第二选择模块包括获取单元,用于从自身缓存中获取所述中转服务器机群的第一集合;
选择单元,用于产生第二随机数,将所述第二随机数与预设概率比较;当所述 第二随机数小于等于所述预设概率时,从所述第一集合中选出与自身的网络距离最近的 预设个数的中转服务器,作为所述中转服务器机群的第二集合;当所述随机数大于所述 预设概率时,将所述第一集合作为所述中转服务器机群的第二集合;从所述第二集合中 随机选择一个中转服务器。进一步的,所述网关节点还包括存储模块,用于从调度服务器获取所述中转 服务器机群,并存储到自身缓存。进一步的,所述第二转发模块,具体用于将所述数据包发送给所述选中的中转 服务器,使所述选中的中转服务器将所述数据包通过加密通道转发给所述中心服务器。一种网关节点匿名化的系统,所述系统包括中心服务器、中转服务器机群和 网关节点;所述中心服务器,用于从所述中转服务器机群中随机选择一个中转服务器,将 数据包通过所述选中的中转服务器转发给所述网关节点;或者,所述网关节点,用于从所述中转服务器机群中随机选择一个中转服务 器,将数据包通过所述选中的中转服务器转发给所述中心服务器。进一步的,所述中心服务器包括第一选择模块和第一转发模块;所述第一选择模块包括请求单元和接收单元;所述请求单元,用于向调度服务器发送查询请求,所述查询请求携带网关节点 的网络地址;使所述调度服务器接收到所述查询请求后,根据所述网络地址获取相应的 网关节点;获取所述中转服务器机群的第一集合;产生第一随机数,将所述第一随机数 与预设概率比较;当所述第一随机数小于等于所述预设概率时,从所述第一集合中选出 与所述网关节点的网络距离最近的预设个数的中转服务器,作为所述中转服务器机群的 第二集合;当所述第一随机数大于所述预设概率时,将所述第一集合作为所述中转服务 器机群的第二集合;从所述第二集合中随机选择一个中转服务器,并返回所述选中的中 转服务器;所述接收单元,用于接收所述调度服务器返回的所述选中的中转服务器;所述第一转发模块,用于将所述数据包通过加密通道发送给所述选中的中转服 务器,使所述选中的中转服务器将所述数据包转发给所述网关节点。进一步的,所述网关节点包括第二选择模块和第二转发模块;所述第二选择模块包括获取单元和选择单元;所述获取单元,用于从自身缓存中获取所述中转服务器机群的第一集合;所述选择单元,用于产生第二随机数,将所述第二随机数与预设概率比较;当 所述第二随机数小于等于所述预设概率时,从所述第一集合中选出与自身的网络距离最 近的预设个数的中转服务器,作为所述中转服务器机群的第二集合;当所述随机数大于 所述预设概率时,将所述第一集合作为所述中转服务器机群的第二集合;从所述第二集 合中随机选择一个中转服务器;所述第二转发模块,用于将所述数据包发送给所述选中的中转服务器,使所述 选中的中转服务器将所述数据包通过加密通道转发给所述中心服务器。进一步的,所述网关节点还包括存储模块,用于从调度服务器获取所述中转
7服务器机群,并存储到自身缓存。本发明实施例提供的技术方案带来的有益效果是中心服务器或网关节点通过从中转服务器机群中随机选择一个中转服务器,将 数据包通过该选中的中转服务器转发给对端设备,这种随机数据中转的方法将一条原本 固定的链路拉伸为不规则的多条临时链路,使攻击者无法获知数据的去向,从而在互联 网中隐藏了目的网关节点的位置,进而保护了目的网关节点后面的物体的位置隐私。
图1是本发明实施例
图2是本发明实施例
图3是本发明实施例
图4是本发明实施例
图5是本发明实施例
图6是本发明实施例
图7是本发明实施例
图8是本发明实施例
1中提供的网关节点匿名化的方法流程图; 1中提供的网关节点匿名化的网络架构示意图; 1中提供的中心服务器向网关节点发送数据包流程图 1中提供的调度服务器选择中转服务器流程图; 1中提供的网关节点向中心服务器发送数据包流程图 2中提供的中心服务器结构示意图; 3中提供的网关节点结构示意图; 4中提供的网关节点匿名化的系统示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施 方式作进一步地详细描述。实施例1参见图1,本实施例提供了一种网关节点匿名化的方法,包括101 从中转服务器机群中随机选择一个中转服务器;102将数据包通过该选中的中转服务器转发给对端设备。具体的,本方法具体可由中心服务器或网关节点执行,相应的,对端设备分别 为网关节点、中心服务器。本实施例提供的方法,中心服务器或网关节点通过从中转服务器机群中随机选 择一个中转服务器,将数据包通过该选中的中转服务器转发给对端设备,这种随机数据 中转的方法将一条原本固定的链路拉伸为不规则的多条临时链路,使攻击者无法获知数 据的去向,从而在互联网中隐藏了目的网关节点的位置,进而保护了目的网关节点后面 的物体的位置隐私。下面结合网关节点匿名化的网络架构,从中心服务器向网关节点发送数据包、 以及网关节点向中心服务器发送数据包两方面,介绍网关节点匿名化的具体实现过程。参见图2,网关节点匿名化的网络架构分为两层,上层为互联网应用,下层为物 理环境。互联网应用包括门户服务器、中心服务器、中转服务器和调度服务器等,其 向上与逻辑主体的用户交互,向下与物理主体的阅读器网络交互。物理环境是指阅读器 网络,由不同机构部署的阅读器组成,其向上与应用主体的服务交互,向下与物理主体 的设备标签交互。阅读器网络通常为ad-hoc网络,各个阅读器为ad-hoc网络中的节点。 阅读器可以与物体的设备标签交互,包括指示位置功能的地标阅读器和负责转发数据的数据阅读器,将与互联网直接相连、充当互联网与物理环境之间数据中转角色的数据阅 读器,称为ad-hoc网关节点,简称网关节点。基于上述网络架构,参见图3,中心服务器向网关节点发送数据包具体过程包 括201 中心服务器向调度服务器发送查询请求;其中,查询请求携带目的网关节点的网络地址。202调度服务器选择中转服务器、并返回选中的中转服务器给中心服务器;其中,参见图4,调度服务器选择中转服务器具体包括202a调度服务器根据查询请求携带的目的网关节点的网络地址,获取相应的 目的网关节点;202b调度服务器根据各个中转服务器的负载情况,获取中转服务器机群的第
一集合A;具体的,调度服务器从中转服务器机群中选出不大于预设个数ρ、且负载小于预 设负载b的中转服务器,将其作为第一集合A。202c 调度服务器产生第一随机数,将第一随机数与预设概率比较;具体的,当第一随机数小于等于所述预设概时,执行步骤202d;当第一 随机数大于预设概率时,执行步骤202e。其中,预设概率用于反映中转服务器与网关节点之间网络距离与物理距离的 不一致性,越不一致,攻击者越不能通过网络距离猜测实际的物理距离,就可以选择更 多网络距离近的中转服务器,故a可以越大,反之,越一致,a可以越小。根据预设概率
选择中转服务器,可以兼顾网络传输效率和隐私性。202d 从第一集合A中选出与目的网关节点的网络距离最近的预设个数m的中 转服务器,作为中转服务器机群的第二集合B;202e 将第一集合A作为中转服务器机群的第二集合B ;202f从第二集合B中随机选择一个中转服务器。203中心服务器与选中的中转服务器建立加密通道;以DH(Diffie-Hellman)交换为例,双方相向传输两个大质数Y和Z,则双方的
对称密钥为YZ。204中心服务器将要发送给网关节点的整个数据包加密,封装一个新的数据 包,将密文放入新数据包的payload(负载)字段中,然后将新数据包通过加密通道发送给 中转服务器;205中转服务器接收到数据包后,解密获得目的网关节点;206中转服务器将解密后的数据包转发给目的网关节点。基于上述网络架构,参见图5,网关节点向中心服务器发送数据包具体过程包 括301 网关节点从自身缓存中获取中转服务器机群的第一集合A ;本步骤之前,网关节点从调度服务器获取中转服务器机群,并存储到自身缓存。302网关节点产生第二随机数,将第二随机数与预设概率比较;
具体的,当第二随机数小于等于所述预设概率时,执行步骤303;当所述随机 数大于所述预设概率时,执行步骤304。其中,预设概率用于反映中转服务器与网关节点之间网络距离与物理距离的 不一致性,越不一致,攻击者越不能通过网络距离猜测实际的物理距离,就可以选择更 多网络距离近的中转服务器,故a可以越大,反之,越一致,a可以越小。根据预设概率
选择中转服务器,可以兼顾网络传输效率和隐私性。303 网关节点从第一集合中选出与自身的网络距离最近的预设个数m的中转服 务器,作为所述中转服务器机群的第二集合;304网关节点将第一集合作为中转服务器机群的第二集合;305网关节点从第二集合中随机选择一个中转服务器,并将数据包发送给选中 的中转服务器;306中转服务器接收数据包后,与中心服务器建立一个加密通道;307中转服务器将该数据包加密后填入新的数据包的payload字段,通过加密 通道发送给中心服务器;308中心服务器接收到加密数据包后,解密获得原数据包。本实施例提供的方法,中心服务器或网关节点通过从中转服务器机群中随机选 择一个中转服务器,将数据包通过该选中的中转服务器转发给对端设备,这种随机数据 中转的方法将一条原本固定的链路拉伸为不规则的多条临时链路,使攻击者无法获知数 据的去向,从而在互联网中隐藏了目的网关节点的位置,进而保护了目的网关节点后面 的物体的位置隐私。实施例2参见图6,本实施例提供了一种中心服务器,包括第一选择模块401,用于从中转服务器机群中随机选择一个中转服务器;第一转发模块402,用于将数据包通过选中的中转服务器转发给目的网关节点。其中,第一选择模块401包括请求单元,用于向调度服务器发送查询请求,查询请求携带目的网关节点的网 络地址;使调度服务器接收到查询请求后,根据网络地址获取相应的目的网关节点;获 取中转服务器机群的第一集合;产生第一随机数,将第一随机数与预设概率比较;当 第一随机数小于等于预设概率时,从第一集合中选出与目的网关节点的网络距离最近的 预设个数的中转服务器,作为中转服务器机群的第二集合;当第一随机数大于预设概率 时,将第一集合作为中转服务器机群的第二集合;从第二集合中随机选择一个中转服务 器,并返回选中的中转服务器;接收单元,用于接收调度服务器返回的选中的中转服务器。其中,第一转发模块402,具体用于将数据包通过加密通道发送给选中的中转服 务器,使选中的中转服务器将数据包转发给目的网关节点。本实施例提供的中心服务器,与方法实施例的中心服务器属于同一构思,其具 体实现过程详见方法实施例,这里不再赘述。本实施例提供的中心服务器,通过从中转服务器机群中随机选择一个中转服务 器,将数据包通过该选中的中转服务器转发给目的网关节点,这种随机数据中转的方法
10将一条原本固定的链路拉伸为不规则的多条临时链路,使攻击者无法获知数据的去向, 从而在互联网中隐藏了目的网关节点的位置,进而保护了目的网关节点后面的物体的位 置隐私。另外,根据预设概率选择中转服务器,可以兼顾网络传输效率和隐私性。实施例3参见图7,本实施例提供了一种网关节点,包括第二选择模块501,用于从中转服务器机群中随机选择一个中转服务器;第二转发模块502,用于将数据包通过该选中的中转服务器转发给中心服务器。其中,第二选择模块501包括获取单元,用于从自身缓存中获取中转服务器机群的第一集合;选择单元,用于产生第二随机数,将第二随机数与预设概率比较;当第二随机 数小于等于预设概率时,从第一集合中选出与自身的网络距离最近的预设个数的中转服 务器,作为中转服务器机群的第二集合;当随机数大于预设概率时,将第一集合作为中 转服务器机群的第二集合;从第二集合中随机选择一个中转服务器。其中,网关节点还包括存储模块,用于从调度服务器获取中转服务器机群, 并存储到自身缓存。其中,第二转发模块502,具体用于将数据包发送给选中的中转服务器,使选中 的中转服务器将数据包通过加密通道转发给中心服务器。本实施例提供的网关节点,与方法实施例的网关节点属于同一构思,其具体实 现过程详见方法实施例,这里不再赘述。本实施例提供的网关节点,通过从中转服务器机群中随机选择一个中转服务 器,将数据包通过该选中的中转服务器转发给中心服务器,这种随机数据中转的方法将 一条原本固定的链路拉伸为不规则的多条临时链路,使攻击者无法获知数据的去向,从 而在互联网中隐藏了目的网关节点的位置,进而保护了目的网关节点后面的物体的位置 隐私。另外,根据预设概率选择中转服务器,可以兼顾网络传输效率和隐私性。实施例4参见图8,本实施例提供了一种网关节点匿名化的系统,包括中心服务器 601、中转服务器机群602和网关节点603 ;中心服务器601,用于从中转服务器机群602中随机选择一个中转服务器,将数 据包通过选中的中转服务器转发给网关节点603 ;或者,网关节点603,用于从中转服务器机群602中随机选择一个中转服务器, 将数据包通过选中的中转服务器转发给中心服务器601。其中,中心服务器601包括第一选择模块和第一转发模块;第一选择模块包括请求单元和接收单元;请求单元,用于向调度服务器发送查询请求,查询请求携带网关节点的网络地 址;使调度服务器接收到查询请求后,根据网络地址获取相应的网关节点;获取中转服 务器机群的第一集合;产生第一随机数,将第一随机数与预设概率比较;当第一随机数 小于等于预设概率时,从第一集合中选出与网关节点的网络距离最近的预设个数的中转 服务器,作为中转服务器机群的第二集合;当第一随机数大于预设概率时,将第一集合 作为中转服务器机群的第二集合;从第二集合中随机选择一个中转服务器,并返回选中
11的中转服务器;接收单元,用于接收调度服务器返回的选中的中转服务器;第一转发模块,用于将数据包通过加密通道发送给选中的中转服务器,使选中 的中转服务器将数据包转发给网关节点。其中,网关节点603包括第二选择模块和第二转发模块;第二选择模块包括获取单元和选择单元;获取单元,用于从自身缓存中获取中转服务器机群的第一集合;选择单元,用于产生第二随机数,将第二随机数与预设概率比较;当第二随机 数小于等于预设概率时,从第一集合中选出与自身的网络距离最近的预设个数的中转服 务器,作为中转服务器机群的第二集合;当随机数大于预设概率时,将第一集合作为中 转服务器机群的第二集合;从第二集合中随机选择一个中转服务器;第二转发模块,用于将数据包发送给选中的中转服务器,使选中的中转服务器 将数据包通过加密通道转发给中心服务器。其中,网关节点603还包括存储模块,用于从调度服务器获取中转服务器机 群,并存储到自身缓存。本实施例提供的系统,与方法实施例属于同一构思,其具体实现过程详见方法 实施例,这里不再赘述。本实施例提供的系统,中心服务器或网关节点通过从中转服务器机群中随机选 择一个中转服务器,将数据包通过该选中的中转服务器转发给对端设备,这种随机数据 中转的方法将一条原本固定的链路拉伸为不规则的多条临时链路,使攻击者无法获知数 据的去向,从而在互联网中隐藏了目的网关节点的位置,进而保护了目的网关节点后面 的物体的位置隐私。另外,根据预设概率选择中转服务器,可以兼顾网络传输效率和隐 私性。以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现,其软 件程序存储在可读取的存储介质中,存储介质例如计算机中的硬盘、光盘或软盘。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神 和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之 内。
权利要求
1.一种网关节点匿名化的方法,其特征在于,所述方法包括从中转服务器机群中随机选择一个中转服务器;将数据包通过所述选中的中转服务器转发给对端设备。
2.如权利要求1所述的方法,其特征在于,所述从中转服务器机群中随机选择一个中 转服务器包括向调度服务器发送查询请求,所述查询请求携带目的网关节点的网络地址;所述调度服务器接收到所述查询请求后,根据所述网络地址获取相应的目的网关节 点;获取所述中转服务器机群的第一集合;产生第一随机数,将所述第一随机数与预设 概率比较;当所述第一随机数小于等于所述预设概率时,从所述第一集合中选出与所述 目的网关节点的网络距离最近的预设个数的中转服务器,作为所述中转服务器机群的第 二集合;当所述第一随机数大于所述预设概率时,将所述第一集合作为所述中转服务器 机群的第二集合;从所述第二集合中随机选择一个中转服务器,并返回所述选中的中转 服务器;接收所述调度服务器返回的所述选中的中转服务器。
3.如权利要求2所述的方法,其特征在于,所述将数据包通过所述选中的中转服务器 转发给对端设备包括将所述数据包通过加密通道发送给所述选中的中转服务器;所述选中的中转服务器将所述数据包转发给所述目的网关节点。
4.如权利要求1所述的方法,其特征在于,所述从中转服务器机群中随机选择一个中 转服务器包括从自身缓存中获取所述中转服务器机群的第一集合;产生第二随机数,将所述第二随机数与预设概率比较;当所述第二随机数小于等于 所述预设概率时,从所述第一集合中选出与自身的网络距离最近的预设个数的中转服务 器,作为所述中转服务器机群的第二集合;当所述随机数大于所述预设概率时,将所述 第一集合作为所述中转服务器机群的第二集合;从所述第二集合中随机选择一个中转服 务器。
5.如权利要求4所述的方法,其特征在于,所述从自身缓存中获取所述中转服务器机 群的第一集合之前包括从调度服务器获取所述中转服务器机群,并存储到自身缓存。
6.如权利要求4所述的方法,其特征在于,所述将数据包通过所述选中的中转服务器 转发给对端设备包括将所述数据包发送给所述选中的中转服务器;所述选中的中转服务器将所述数据包通过加密通道转发给中心服务器。
7.—种中心服务器,其特征在于,所述中心服务器包括第一选择模块,用于从中转服务器机群中随机选择一个中转服务器;第一转发模块,用于将数据包通过所述选中的中转服务器转发给目的网关节点。
8.如权利要求7所述的中心服务器,其特征在于,所述第一选择模块包括请求单元,用于向调度服务器发送查询请求,所述查询请求携带目的网关节点的网 络地址;使所述调度服务器接收到所述查询请求后,根据所述网络地址获取相应的目的网关节点;获取所述中转服务器机群的第一集合;产生第一随机数,将所述第一随机数 与预设概率比较;当所述第一随机数小于等于所述预设概率时,从所述第一集合中选出 与所述目的网关节点的网络距离最近的预设个数的中转服务器,作为所述中转服务器机 群的第二集合;当所述第一随机数大于所述预设概率时,将所述第一集合作为所述中转 服务器机群的第二集合;从所述第二集合中随机选择一个中转服务器,并返回所述选中 的中转服务器;接收单元,用于接收所述调度服务器返回的所述选中的中转服务器。
9.如权利要求7所述的中心服务器,其特征在于,所述第一转发模块,具体用于将所 述数据包通过加密通道发送给所述选中的中转服务器,使所述选中的中转服务器将所述 数据包转发给所述目的网关节点。
10.—种网关节点,其特征在于,所述网关节点包括第二选择模块,用于从中转服务器机群中随机选择一个中转服务器;第二转发模块,用于将数据包通过所述选中的中转服务器转发给中心服务器。
11.如权利要求10所述的网关节点,其特征在于,所述第二选择模块包括获取单元,用于从自身缓存中获取所述中转服务器机群的第一集合;选择单元,用于产生第二随机数,将所述第二随机数与预设概率比较;当所述第二 随机数小于等于所述预设概率时,从所述第一集合中选出与自身的网络距离最近的预设 个数的中转服务器,作为所述中转服务器机群的第二集合;当所述随机数大于所述预设 概率时,将所述第一集合作为所述中转服务器机群的第二集合;从所述第二集合中随机 选择一个中转服务器。
12.如权利要求11所述的网关节点,其特征在于,所述网关节点还包括存储模 块,用于从调度服务器获取所述中转服务器机群,并存储到自身缓存。
13.如权利要求10所述的网关节点,其特征在于,所述第二转发模块,具体用于将所 述数据包发送给所述选中的中转服务器,使所述选中的中转服务器将所述数据包通过加 密通道转发给所述中心服务器。
14.一种网关节点匿名化的系统,其特征在于,所述系统包括中心服务器、中转服 务器机群和网关节点;所述中心服务器,用于从所述中转服务器机群中随机选择一个中转服务器,将数据 包通过所述选中的中转服务器转发给所述网关节点;或者,所述网关节点,用于从所述中转服务器机群中随机选择一个中转服务器,将 数据包通过所述选中的中转服务器转发给所述中心服务器。
15.如权利要求14所述的系统,其特征在于,所述中心服务器包括第一选择模块 和第一转发模块;所述第一选择模块包括请求单元和接收单元;所述请求单元,用于向调度服务器发送查询请求,所述查询请求携带网关节点的网 络地址;使所述调度服务器接收到所述查询请求后,根据所述网络地址获取相应的网关 节点;获取所述中转服务器机群的第一集合;产生第一随机数,将所述第一随机数与预 设概率比较;当所述第一随机数小于等于所述预设概率时,从所述第一集合中选出与所 述网关节点的网络距离最近的预设个数的中转服务器,作为所述中转服务器机群的第二集合;当所述第一随机数大于所述预设概率时,将所述第一集合作为所述中转服务器机 群的第二集合;从所述第二集合中随机选择一个中转服务器,并返回所述选中的中转服 务器;所述接收单元,用于接收所述调度服务器返回的所述选中的中转服务器;所述第一转发模块,用于将所述数据包通过加密通道发送给所述选中的中转服务 器,使所述选中的中转服务器将所述数据包转发给所述网关节点。
16.如权利要求14所述的系统,其特征在于,所述网关节点包括第二选择模块和 第二转发模块;所述第二选择模块包括获取单元和选择单元;所述 获取单元,用于从自身缓存中获取所述中转服务器机群的第一集合;所述选择单元,用于产生第二随机数,将所述第二随机数与预设概率比较;当所述 第二随机数小于等于所述预设概率时,从所述第一集合中选出与自身的网络距离最近的 预设个数的中转服务器,作为所述中转服务器机群的第二集合;当所述随机数大于所述 预设概率时,将所述第一集合作为所述中转服务器机群的第二集合;从所述第二集合中 随机选择一个中转服务器;所述第二转发模块,用于将所述数据包发送给所述选中的中转服务器,使所述选中 的中转服务器将所述数据包通过加密通道转发给所述中心服务器。
17.如权利要求16所述的系统,其特征在于,所述网关节点还包括存储模块,用 于从调度服务器获取所述中转服务器机群,并存储到自身缓存。
全文摘要
本发明公开了一种网关节点匿名化的方法、设备和系统,属于物联网领域。所述方法包括从中转服务器机群中随机选择一个中转服务器;将数据包通过所述选中的中转服务器转发给对端设备。所述中心服务器包括第一选择模块和第一转发模块。所述网关节点包括第二选择模块和第二转发模块。所述系统包括中心服务器、中转服务器机群和网关节点。本发明通过随机数据中转的方法将一条原本固定的链路拉伸为不规则的多条临时链路,使攻击者无法获知数据的去向,从而在互联网中隐藏了目的网关节点的位置,进而保护了目的网关节点后面的物体的位置隐私。
文档编号H04L29/06GK102014115SQ201010228678
公开日2011年4月13日 申请日期2010年7月9日 优先权日2010年7月9日
发明者刘文懋, 方滨兴, 杨树强, 殷丽华, 谭霜, 贾焰 申请人:中国人民解放军国防科学技术大学, 北京合天智汇信息技术有限公司, 北京哈工大计算机网络与信息安全技术研究中心