专利名称:一种对等网络的访问控制方法
技术领域:
本发明涉及对等网络相关技术领域,特别是一种对等网络的访问控制方法
背景技术:
对等网络(Peer to Peer简称P2P)是计算机网络研究中最重要、最热点的课题之一,有着极大的开发和应用价值。对等网络突破了传统的客户端/服务器端(C/S)的模式,每个成员在网络中的地位是均等的,既是资源的提供者同时又是资源的获取者。对等网络有着C/S模式无法比拟的特点,这些特点是对等网络受到全世界重视和取得巨大发展的原因。对等网络的特点包括如下几方面
无中心性对等网络是一种分布式的体系结构,网络中的资源和服务分散在所有的成员上,每个成员既是服务器又是客户机。网络中信息和服务通过点对点的直接通信传输,而无须经过中心服务器。这种体系结构使得对等网络具有很好的健壮性。健壮性由于对等网络的资源和服务是分散在所有的成员上的,所以可以有效的避免传统C/S模式中因为服务器的单点失败而导致网络瘫痪的情况。而且即使网络中部分成员或网络遭到破坏,对等网络也能通过重整拓扑结构来保持成员的连通性。可扩展性随着成员的增加,网络中对服务的需求和系统整体的资源和服务能力都在同步的增加,因为在对等网络中成员既是资源的请求者又是资源的提供者。所以对对等网络来说不存在明显的“瓶颈”问题。隐私保护因为对等网络中的成员是直接通信而不用经过中间环节或中心服务器,所有的隐私信息均保存在成员中,大大降低了隐私信息被窃听和泄露的可能性。高性价比随着个人计算机性能的提高,对等网络中的成员往往会有大量的闲置计算能力和存储空间,这时可以把一些高性能的计算和海量存储的任务分配给网络中的成员,从而可以降低完成这些任务的成本。然而这些上述的这些特点给对等网络带来巨大发展的同时,也给系统的安全性带来了巨大的挑战,使用传统的安全机制很难应付对等网络复杂多变的环境。因此,对等网络需要建立一种新的分布式安全机制。目前,国内对等网络安全机制的研究多集中于信任管理和密钥管理等问题,作为另外的一个非常重要的机制一访问控制机制,则一直没有受到应有的重视。一个安全高效的访问控制机制可以有效的防止非法成员进入网络,防止合法成员传播恶意信息和防止合法成员获取权限以外的信息和服务等情况。相比较国外在对等网络访问控制机制方面的研究,2003年国外学者发表了《Admission Control in Peer Groups》,《On the Utility of Distributed Cryptographyin P2P and Manets:The Case of Membership Control》等文章。这些文章将传统的集中认证中心对成员进行资格审核的服务,分散到整个对等网络中,由网络中的每个成员分担加入审核。如成员获得网络中一定阈值的成员批准,则该成员就成为网络的合法成员,享有与其它网络结点同等的权力然而,这种安全机制只完成了新成员进入网络过程的控制,并没有给出成员进入对等网络后,如何追溯、评估网络成员的行为,如何废除恶意成员等。
发明内容
本发明提供一种对等网络的访问控制方法,以解决现有技术没有给出完善的对网络成员的访问控制机制,未能完善的追溯、评估网络成员的行为及废除恶意成员的技术问
题。 采用的技术方案如下
一种对等网络的访问控制方法,所述对等网络包括可信中心以及一个或多个簇结构,所述簇结构包括簇头以及一个或多个成员,可信中心与第m个簇结构的簇头分别共享第m个簇间加密密钥,第m个簇结构的簇头与其对应的簇结构中的第i个成员共享第i个簇内加密密钥,所述对等网络的访问控制方法包括
步骤(I ),可信中心选择一个三元的t次多项式f (X,y, z),所述t为大于或等于I的任意整数;
步骤(2),可信中心利用三元多项式为第m个簇结构的簇头计算一个二元多项式Sm (X,y)=f (X,y, GHm) ,GHm为第m个簇结构的簇头的标识,sm (x, y)为第m个簇结构的簇头对应的二元多项式,可信中心选择一个随机的簇间整数#,然后把二元多项式和簇间整数^采用第m个簇间加密密钥加密并发送给第m个簇结构的簇头;
步骤(3),第m个簇结构的簇头采用第m个簇间加密密钥进行解密,得到二元多项式和簇间整数 ;
步骤(4),第m个簇结构的簇头为第m个簇结构的第i个成员计算一个一元函数Ici (x)=
Si (X,IDi),其中ki(x)为第i个成员对应的一元函数,/A=为第i个成员对应的标识,采用
第i个簇内加密密钥对所述一元函数进行加密并发送给第i个成员,同时选择一个随机的簇内整数<r,并构造一个访问控制函数,并向第m个簇结构的所有成员发送所述访问控制函数,所述访问控制函数由簇内整数及簇内所有成员对应的一元函数构造而成;
步骤(5),第i个成员采用第i个簇内加密密钥进行解密,得到一元函数,根据一元函数和访问控制函数计算得到簇内整数。进一步的,所述第m个簇间加密密钥为可信中心根据第m个簇头的公钥及可信中心的私钥计算得出或者为第m个簇头根据可信中心的公钥及第m个簇头的私钥计算得出;所述第i个簇内加密密钥为第m个簇头根据第i个成员的公钥及第m个簇头的私钥计算得出或者为第i个成员根据第m个簇头的公钥及第i个成员的私钥计算得出。进一步的,所述对等网络的访问控制方法还包括同一簇内第i个成员Iii与第j个成员r^_的通讯方法,具体包括
步骤(31),第i个成员随机选择第i个簇内通讯随机数计算出
A^hik.llD^lD.JD^,然后把A、IDi和ri发送给第j个成员,其中h表示进行单向
哈希运算,ki为第i个成员对应的一元函数,」ΓΑ-为第i个成员的标识,idJ为第j个成员的标识,O'为所述的簇内整数;步骤(32),第j个成员收到第i个成员的消息后,计1;pf,验
证A是否等于A’,如果相等,则第j个成员计算簇内会话密钥^ =,并且随机
选择第j个簇内通讯随机数计算5,然后把B、IDj和rj发送
给第i个成员;
步骤(33),第i个成员收到第j个成员的消息后,计算疋,
验证B是否等于B’,如果相等,则第i个成员计算簇内会话密钥* =,并采用
所述的簇内会话密钥加密通讯请求信息并发送到第j个成员;
步骤(34),第j个成员对收到的请求信息采用簇内会话密钥进行解密,第j个成员为第i个成员提供资源或服务。更进一步的,每个成员设有可信值,第m个簇结构的簇头维护第m个簇结构的每个成员的可信值,所述步骤(34)具体包括
第j个成员向第m个簇结构的簇头发送消息请求第i个成员的可信值;
第m个簇结构的簇头采用第j个簇内加密密钥加密第i个成员的可信值并发送给第j个成员;
第j个成员采用第j个簇内加密密钥解密得到第i个成员的可信值,并根据第i个成员的可信值为第i个成员提供相应等级的资源或服务;
第i个成员与第j个成员通讯完成后,对第j个成员的可信值进行评估得到第j个成员的新可信值,并发送给第m个簇结构的簇头,第j个成员与第i个成员通讯完成后,对第i个成员的可信值进行评估得到第i个成员的新可信值,并发送给第m个簇结构的簇头;
第m个簇结构的簇头收到第i个成员和第j个成员的新可信值后分别更新第i个成员和第j个成员的可信值;
第i个成员可信值的更新方法为
令第i个成员的原可信值=第i个成员未进行更新时的可信值;
第i个成员更新后的可信值=(第i个成员的原可信值+第i个成员的新可信值)/
2 ;
若更新后的第i个成员的可信值低于预设的第m簇结构的可信值阈值,则第m个簇结构的簇头将第i个成员放入黑名单并从第m个簇结构中废除;
第j个成员可信值的更新方法为
令第j个成员的原可信值=第j个成员未进行更新时的可信值;
第j个成员更新后的可信值=(第j个成员的原可信值+第j个成员的新可信值)/
2 ;
若更新后的第j个成员的可信值低于预设的第m簇结构的可信值阈值,则第m个簇结构的簇头将第j个成员放入黑名单并从第m个簇结构中废除。进一步的,所述对等网络的访问控制方法还包括第m个簇结构的第a个成员与第 η个簇结构的第b个成员的通讯方法,具体包括
步骤(51),第m个簇结构的第a个成员采用第a个簇内加密密钥对第η个簇结构的第b个成员的请求信息进行加密后发送到第m个簇结构的簇头;
步骤(52),第m个簇结构的簇头采用第a个簇内加密密钥对所述请求信息进行解密,
然后选择随机数^^计算
权利要求
1.一种对等网络的访问控制方法,所述对等网络包括可信中心以及一个或多个簇结构,所述簇结构包括簇头以及一个或多个成员,可信中心与第m个簇结构的簇头分别共享第m个簇间加密密钥,第m个簇结构的簇头与其对应的簇结构中的第i个成员共享第i个簇内加密密钥,其特征在于,所述对等网络的访问控制方法包括 步骤(I),可信中心选择一个三元的t次多项式f (X,y, z),所述t为大于或等于I的任意整数; 步骤(2 ),可信中心利用三元多项式为第m个簇结构的簇头计算一个二元多项式Sm (X,y) =f (X,y, GHm), GHm为第m个簇结构的簇头的标识,sm(x,y)为第m个簇结构的簇头对应的二元多项式,可信中心选择一个随机的簇间整数#,然后把二元多项式和簇间整数 采用第m个簇间加密密钥加密并发送给第m个簇结构的簇头; 步骤(3),第m个簇结构的簇头采用第m个簇间加密密钥进行解密,得到二元多项式和 簇间整数 ; 步骤(4),第m个簇结构的簇头为第m个簇结构的第i个成员计算一个一元函数Ici (x)=Si (X,IDi),其中ki(x)为第i个成员对应的一元函数,为第i个成员对应的标识,采用第i个簇内加密密钥对所述一元函数进行加密并发送给第i个成员,同时选择一个随机的簇内整数《■,并构造一个访问控制函数,并向第m个簇结构的所有成员发送所述访问控制函数,所述访问控制函数由簇内整数及簇内所有成员对应的一元函数构造而成; 步骤(5),第i个成员采用第i个簇内加密密钥进行解密,得到一元函数,根据一元函数和访问控制函数计算得到簇内整数^。
2.根据权利要求I所述的对等网络的访问控制方法,其特征在于,所述第m个簇间加密密钥为可信中心根据第m个簇头的公钥及可信中心的私钥计算得出或者为第m个簇头根据可信中心的公钥及第m个簇头的私钥计算得出;所述第i个簇内加密密钥为第m个簇头根据第i个成员的公钥及第m个簇头的私钥计算得出或者为第i个成员根据第m个簇头的公钥及第i个成员的私钥计算得出。
3.根据权利要求I所述的对等网络的访问控制方法,其特征在于,所述对等网络的访问控制方法还包括同一簇内第i个成员Hi与第j个成员的通讯方法,具体包括 步骤(31),第i个成员随机选择第i个簇内通讯随机数计算出A^kiki(IDj),Ti),然后把A、IDi和ri发送给第j个成员,其中h表示进行单向哈希运算,Iii为第i个成员对应的一元函数,/Di为第i个成员的标识,为第j个成员的标识,O·为所述的簇内整数; 步骤(32),第j个成员收到第i个成员的消息后,计IiPf =,验证A是否等于Α’,如果相等,则第j个成员计算簇内会话密钥% =,并且随机选择第j个簇内通讯随机数计算5(TJDrJDj,^,然后把B、iDj和rj发送给第i个成员;步骤(33),第i个成员收到第j个成员的消息后,计算,验证B是否等于B’,如果相等,则第i个成员计算簇内会话密钥Irf =,并采用所述的簇内会话密钥加密通讯请求信息并发送到第j个成员; 步骤(34),第j个成员对收到的请求信息采用簇内会话密钥进行解密,第j个成员为第i个成员提供资源或服务。
4.根据权利要求3所述的对等网络的访问控制方法,其特征在于,每个成员设有可信值,第m个簇结构的簇头维护第m个簇结构的每个成员的可信值,所述步骤(34)具体包括 第j个成员向第m个簇结构的簇头发送消息请求第i个成员的可信值; 第m个簇结构的簇头采用第j个簇内加密密钥加密第i个成员的可信值并发送给第j个成员; 第j个成员采用第j个簇内加密密钥解密得到第i个成员的可信值,并根据第i个成员的可信值为第i个成员提供相应等级的资源或服务; 第i个成员与第j个成员通讯完成后,对第j个成员的可信值进行评估得到第j个成员的新可信值,并发送给第m个簇结构的簇头,第j个成员与第i个成员通讯完成后,对第i个成员的可信值进行评估得到第i个成员的新可信值,并发送给第m个簇结构的簇头; 第m个簇结构的簇头收到第i个成员和第j个成员的新可信值后分别更新第i个成员和第j个成员的可信值; 第i个成员可信值的更新方法为 令第i个成员的原可信值=第i个成员未进行更新时的可信值; 第i个成员更新后的可信值=(第i个成员的原可信值+第i个成员的新可信值)/2 ; 若更新后的第i个成员的可信值低于预设的第m个簇结构的可信值阈值,则第m个簇结构的簇头将第i个成员放入黑名单并从第m个簇结构中废除; 第j个成员可信值的更新方法为 令第j个成员的原可信值=第j个成员未进行更新时的可信值; 第j个成员更新后的可信值=(第j个成员的原可信值+第j个成员的新可信值)/2 ; 若更新后的第j个成员的可信值低于预设的第m个簇结构的可信值阈值,则第m个簇结构的簇头将第j个成员放入黑名单并从第m个簇结构中废除。
5.根据权利要求I所述的对等网络的访问控制方法,其特征在于,所述对等网络的访问控制方法还包括第m个簇结构的第a个成员与第η个簇结构的第b个成员的通讯方法,具体包括 步骤(51),第m个簇结构的第a个成员采用第a个簇内加密密钥对第η个簇结构的第b个成员的请求信息进行加密后发送到第m个簇结构的簇头; 步骤(52),第m个簇结构的簇头采用第a个簇内加密密钥对所述请求信息进行解密,然后选择随机数匕,计算=Ji),然后把16 和4发送给第η个簇结构的簇头,其中h表示进行单向哈希运算, 为第m个簇结构的簇头对应的二元多项式,为第m个簇结构的簇头的标识,CHm为第n个簇结构的簇头的标识,I为所述的簇间整数; 步骤(53),第η个簇结构的簇头计算『=,并验证W是否等于r,如果相等,则第η个簇结构的簇头计算共享的簇间会话密钥,然后第η个簇结构的簇头选择随机数4,计算人&),然后把[6 和tn发送给第m个簇结构的簇头; 步骤(54),第m个簇结构的簇头计算,并验证E是否等于E’,如果相等,计算共享的簇间会话密钥,然后采用簇间会话密钥把所述请求信息和第η个簇结构的第b个成员的标识和第a个成员的可信值进行加密并发送给第η个簇结构的簇头; 步骤(55),第η个簇结构的簇头采用簇间会话密钥进行解密得到所述请求信息和第η个簇结构的第b个成员的标识和第m个簇结构的第a个成员的可信值,第η个簇结构的簇头采用第b个簇内加密密钥对所述请求信息和第m个簇结构的第a个成员的可信值进行加密并发送给第b个成员; 步骤(56),第b个成员接收到第η个簇结构的簇头的消息后,采用第b个簇内加密密钥进行解密得到所述请求信息,第b个成员为第a个成员提供资源或服务。
6.根据权利要求5所述的对等网络的访问控制方法,其特征在于,每个成员设有可信值,第m个簇结构的簇头维护第m个簇结构的每个成员的可信值,第η个簇结构的簇头维护第η个簇结构的每个成员的可信值; 所述步骤(54)具体包括 第m个簇结构的簇头计算=(己,并验证E是否等于E’,如果相等,计算共享的簇间会话密钥L=说Cff J,然后采用簇间会话密钥把所述请求信息、第η个簇结构的第b个成员的标识和第a个成员的可信值进行加密并发送给第η个簇结构的簇头; 第a个成员与第b个成员通讯完成后,对第b个成步骤(55)具体包括 第η个簇结构的簇头采用簇间会话密钥进行解密得到所述请求信息、第η个簇结构的第b个成员的标识和第a个成员的可信值,第η个簇结构的簇头采用第b个簇内加密密钥对所述请求信息及第a个成员的可信值进行加密并发送给第b个成员; 步骤(56)具体包括 第b个成员接收到第η个簇结构的簇头的消息后,采用第b个簇内加密密钥进行解密得到所述请求信息及第a个成员的可信值,第b个成员根据第a个成员的可信值为第a个成员提供相应等级的资源或服务;员的可信值进行评估,并发送给第m个簇结构的簇头,第m个簇结构的簇头把第b个成员的新可信值发送给第η个簇结构的簇头,第η个簇结构的簇头收到第b个成员的新可信值后更新第b个成员的可信值; 第b个成员可信值的更新方法为令第b个成员的原可信值=第b个成员未进行更新时的可信值; 第b个成员更新后的可信值=(第b个成员的原可信值+第b个成员的新可信值)/2 ; 若更新后的第b个成员的可信值低于预设的第η簇结构的可信值阈值,则第η个簇结构的簇头将第b个成员放入黑名单并从第η个簇结构中废除; 第b个成员与第a个成员通讯完成后,对第a个成员的可信值进行评估,并发送给第η个簇结构的簇头,第η个簇结构的簇头把第a个成员的新可信值发送给第m个簇结构的簇头,第m个簇结构的簇头收到第a个成员的新可信值后更新第a个成员的可信值; 第a个成员可信值的更新方法为 令第a个成员的原可信值=第a个成员未进行更新时的可信值; 第a个成员更新后的可信值=(第a个成员的原可信值+第a个成员的新可信值)/2 ; 若更新后的第a个成员的可信值低于预设的第m簇结构的可信值阈值,则第m个簇结构的簇头将第a个成员放入黑名单并从第m个簇结构中废除。
7.根据权利要求I所述的对等网络的访问控制方法,其特征在于,所述对等网络的访问控制方法还包括新成员加入第m个簇结构的方法,具体包括 新成员广播加入请求消息给第m个簇结构的簇头,所述加入请求消息包括新成员的公钥,成员标识IDmw和簇标识; 第m个簇结构的簇头收到的加入请求信息后,根据新成员的公钥为新成员计算对应的簇内加密密钥及新成员对应的一元函数K4=,采用簇内加密密钥对U¢4进行加密并发送给新成员,同时根据簇内整数、簇内所有成员对应的一元函数及新成员对应的一元函数构造新的访问控制函数,把新的访问控制函数发送给包括新成员的第m个簇结构的所有成员,同时簇头为新成员的可信值赋一个初值并存储在簇头中; 新成员根据对应的簇内加密密钥解密得到新成员对应的一元函数,并根据一元函数和访问控制函数计算得到簇内整数σ。
8.根据权利要求I所述的对等网络的访问控制方法,其特征在于,如果第m个簇结构的簇头检测到第m个簇结构的第P个成员有非法行为,则第m个簇结构的簇头对第P个成员执行废除操作,所述的废除操作具体如下 第m个簇结构的簇头选择一个新的簇内随机数《%由新的簇内随机数及簇内除了第P个成员以外的所有成员对应的一元函数构造新的访问控制函数,并把新的访问控制函数发送给簇内除了第P个成员以外的所有成员; 簇内除了第P个成员以外的所有成员根据其对应的一元函数及新的访问控制函数计算新的随机数。
9.根据权利要求8所述的对等网络的访问控制方法,其特征在于,所述的非法行为包括泄露会话密钥、攻击其他成员和/或提供质量差的服务和资源。
10.根据权利要求I所述的对等网络的访问控制方法,其特征在于,所述的第m个簇结构< ·的访问控制函数^(1)采用如下方式得到\ω=£7+1Ρ(χ______其巾为-个随机整数,其中h表示进行单向哈希运** λ 算,/ 为所述对等网络的标识。
全文摘要
本发明涉及对等网络相关技术领域,特别是一种对等网络的访问控制方法,包括可信中心选择一个三元的多项式;利用三元多项式为簇头计算一个二元多项式并选择一个随机的簇间整数,并发送给簇头;簇头为成员计算一个一元函数,并发送给成员,同时选择一个随机的簇内整数,并构造一个访问控制函数;成员根据一元函数和访问控制函数计算得到簇内整数。簇头利用一元函数和访问控制函数来控制成员的加入和废除。成员加入对等网络后,引进可信值机制,实现了对成员行为的追踪评估。本发明提供了一个基于簇结构的两层访问控制策略,实现对对等网络的安全访问控制。从而解决了非法成员进入网络,追溯、评估网络成员的行为,恶意成员的废除等安全问题。
文档编号H04L9/08GK102624748SQ20121011035
公开日2012年8月1日 申请日期2012年4月16日 优先权日2012年4月16日
发明者徐帅文, 林艳纯, 王晓明 申请人:暨南大学