一种面向互联网数据分发的身份验证和数据加密方法

一种面向互联网数据分发的身份验证和数据加密方法
【专利摘要】一种面向互联网数据分发的身份验证和数据加密方法，主要包括四个过程：（1）客户端发出服务请求；（2）Tracker服务器根据客户端信息对其进行身份验证；（3）向目的节点发送加密过的原始数据和解密密钥，同时，向授权节点发送加密数据；（4）目的节点收到全部加密数据并进行解密。本发明方法首先对节点进行身份验证，对于具有权限的目的节点发送加密数据和解密密钥，对于授权节点发送数据以提高分发效率，屏蔽未授权节点保证数据安全。本发明方法在P2P环境下的互联网数据安全受控分发领域里具有广泛地实用价值和应用前景。
【专利说明】一种面向互联网数据分发的身份验证和数据加密方法
【技术领域】
[0001]本发明属于互联网数据传输领域，涉及一种BitTorrent环境下互联网数据安全受控分发方法。
【背景技术】
[0002]近年来，随着互联网、移动互联网以及云计算的规模和应用激增，直接导致了数据量的产生与日俱增。BT应用的飞速发展使得对互联网数据分发安全性的要求不断增加，现有的BT网络安全性成为了主要关注的问题。如何加入有效的安全受控分发机制，为节点间的通信提供安全保障，已成为热点。
[0003]目前，已经有学者针对可能破坏BT网络的行为进行了研究并提出了一些改进方案。例如,在AntiLiar的方案中，每个节点通过维护一个”progress log”可以独立地检测欺骗攻击，同时网络米用非对称传输，在信息丢失时，合法的peer会再次传输丢失的信息直到成功。利用单向哈希函数的私钥来签名，使得送出信息方不可否认。在此方案中，秘钥的生成和分发、节点之间的数据跟踪、日志记录的比对和查找，都会同时提升服务器与节点的运算负担，不适用于互联网数据的分发。另有一部分研究人员在如何利用和改造现有的密码学体制并将其运用在数据交流频繁的P2P网络中进行了研究，并提出了多密钥分部加密体制。但在互联网环境下，每个数据块加密和解密的时间过长，且tracker服务器需要为存储密钥提供很大空间，所以这种体制也不适用于互联网数据的安全受控分发。

【发明内容】

[0004]本发明的技术解决问题是:克服现有技术的不足，提供了一种P2P环境下互联网数据分发的身份验证和数据加密方法，通过过滤节点和服务器授权来进行身份验证，之后对数据进行加密并对解密密钥严加管理，可以有效防止来历不明的节点加入到专网中，同时也保证非目标节点即使获得了数据也无法获得有价值的信息，从而达到了互联网数据在P2P环境下安全受控分发的目的。
[0005]本发明的技术解决方案是:一种面向互联网数据分发的身份验证和数据加密方法，包括如下步骤:
[0006](I)建立节点权限配置表并存储在Tracker服务器上；所述的节点权限配置表中包含网络中的节点IP、节点用户名及用户密码、节点权限级别信息；
[0007](2)数据上传客户端将要上传的数据文件进行加密以后向Tracker服务器发出文件上传请求，同时数据上传客户端在本地生成种子信息并保存,然后将种子信息以及对加密文件进行解密时所用的解密密匙传送给Tracker服务器；所述的上传请求中包括节点用户名和用户密码信息；
[0008](3)Tracker服务器监听来自数据上传客户端的上传请求，在Tracker服务器上的种子列表中添加上传请求中包含的种子信息,并通过审核种子信息所标识文件的安全级别设定种子的权限值；[0009](4)数据下载客户端在本地生成用于数据安全传输的传输密匙后向Tracker发出下载请求，所述的下载请求包括传输密匙以及数据下载客户端的节点用户名及用户密码；
[0010](5)Tracker服务器查询节点权限配置表，利用数据下载客户端的节点用户名及用户密码对数据下载客户端进行身份验证；对于未通过验证的数据下载客户端，Tracker服务器驳回下载请求；对于通过验证的数据下载客户端，Tracker服务器进一步确定数据下载客户端的权限，如果数据下载客户端的权限高于或者同于种子的权限值，则Tracker服务器接受下载请求，利用传输密匙将解密密匙以及可以为种子信息所标识文件的下载提供中继的各节点信息一同传送给数据下载客户端，如果数据下载客户端的权限低于种子的权限值，Tracker服务器驳回下载请求；
[0011](6)下载请求被驳回后，数据下载流程结束；下载请求未被驳回，则开始数据下载，Tracker服务器端根据收到的请求信息，更新节点权限配置表的信息；
[0012](7)数据下载客户端处理可以提供中继的各节点信息，选择这些中继节点中的某些节点建立连接，进行种子信息所对应的加密文件传输；
[0013](8)数据请求客户端用本地的解密公钥对传输密匙进行解密，获取加密密钥，然后利用加密密匙解密收到的加密文件，从而得到源数据。
[0014]本发明与现有技术相比的优点在于:本发明是一种P2P环境下互联网数据分发的身份验证和数据加密方法，主要优点在于:
[0015](I)通过客户的IP、用户名和密码等信息完成身份验证，确保合法客户端可以加入到专网中来，拒绝非法客户端的加入；
[0016](2)根据节点权限表确定用户权限级别，然后比对种子文件的权限级别，对拥有权限的节点返回邻居节点列表，使得数据权限和用户权限分离，服务器端具有管理权限、验证身份的能力，以保证客户下载到合法的、权限范围内的数据；
[0017](3)对数据进行加密处理，使数据在非明文的条件下传输，并只向目的节点发送解密密钥，使其节点即便拿到数据也无法验证其完整性，无法解密数据，保证了数据安全；
[0018](4)对加密密钥进行加密传输，保证了其他节点即使得到加密密钥也无法对其进行解密，进一步保证了数据的安全性。
【专利附图】

【附图说明】
[0019]图1为本发明的具有身份验证的BT传输协议的节点组成结构示意图；
[0020]图2为本发明的身份验证和数据加密流程图一；
[0021]图3为本发明的身份验证和数据加密流程图二 ；
[0022]图4为本发明未通过身份验证的节点与服务器交互示意图；
[0023]图5为本发明方法的流程图。
【具体实施方式】
[0024]本发明方法主要是采用在BT协议中添加身份验证的过滤机制，并在数据传输时以对称加密、点对点分发密钥的方式来对数据进行保护，从而实现了在安全受控的条件下对互联网数据高效分发的目的，使数据在专网中受控地安全传播。
[0025]如图1所示，BitTorrent环境下数据分发节点的组成主要包括Tracker服务器、数据中心、网络中的其他客户节点(授权节点、目的节点或者未授权节点)，其中Tracker服务器与数据中心可以位于或不位于同一地点。Tracker服务器主要负责节点信息、文件信息的控制和分发，节点的验证和授权，并保存数据中心给予的解密密钥；数据中心作为特殊的“客户节点”，提供加密过的原始数据，并掌握解密密钥；除数据中心外的客户节点是需求方，目的节点是经过授权的合法节点，可以下载相应数据并解密数据，可以向Tracker服务器请求解密密钥；授权节点作为数据的中继节点，与Tracker服务器、目的节点建立连接，以提升数据传播速度；未授权节点是未经过确认的非法节点，不可以获得任何数据。
[0026]具体架构包括=Tracker服务器负责权限配置、身份授权、身份验证、文件信息跟踪，以及密钥存储；Tracker服务器与所有的节点(peer客户端)建立TCP连接；Peer客户端在与Tracker服务器建立连接后,提交自己的身份信息，根据种子文件向Tracker服务器发送下载请求，获取当前拥有合法数据资源的节点列表，并与这些节点建立连接、从这些节点处下载相应数据。
[0027]Tracker服务器端维护的数据包括:所有已知节点的权限配置，已发布的种子文件，与Tracker服务器保持连接的节点信息；Peer客户端持有的数据包括:拥有可下载文件的节点列表，与其它节点建立的连接信息。
[0028]本发明方法的数据交互过程如下:
[0029]步骤301.由系统管理员编制节点权限配置表，节点权限配置表中包含节点IP、节点用户名及密码、节点权限级别三种信息，结构如下表所示。
[0030]节点权限配置表
[0031]
【权利要求】
1.一种面向互联网数据分发的身份验证和数据加密方法，其特征在于包括如下步骤: (O建立节点权限配置表并存储在Tracker服务器上；所述的节点权限配置表中包含网络中的节点IP、节点用户名及用户密码、节点权限级别信息； (2)数据上传客户端将要上传的数据文件进行加密以后向Tracker服务器发出文件上传请求，同时数据上传客户端在本地生成种子信息并保存，然后将种子信息以及对加密文件进行解密时所用的解密密匙传送给Tracker服务器；所述的上传请求中包括节点用户名和用户密码信息； (3)Tracker服务器监听来自数据上传客户端的上传请求，在Tracker服务器上的种子列表中添加上传请求中包含的种子信息,并通过审核种子信息所标识文件的安全级别设定种子的权限值； (4)数据下载客户端在本地生成用于数据安全传输的传输密匙后向Tracker发出下载请求，所述的下载请求包括传输密匙以及数据下载客户端的节点用户名及用户密码； (5)Tracker服务器查询节点权限配置表，利用数据下载客户端的节点用户名及用户密码对数据下载客户端进行身份验证；对于未通过验证的数据下载客户端，Tracker服务器驳回下载请求；对于通过验证的数据下载客户端，Tracker服务器进一步确定数据下载客户端的权限，如果数据下载客户端的权限高于或者同于种子的权限值，则Tracker服务器接受下载请求，利用传输密匙将解密密匙以及可以为种子信息所标识文件的下载提供中继的各节点信息一同传送给数据下载客户端，如果数据下载客户端的权限低于种子的权限值，Tracker服务器驳回下载请求； (6)下载请求被驳回后，数据下载流程结束；下载请求未被驳回，则开始数据下载，Tracker服务器端根据收到的请求信息，更新节点权限配置表的信息； (7)数据下载客户端处理可以提供中继的各节点信息，选择这些中继节点中的某些节点建立连接，进行种子信息所对应的加密文件传输； (8)数据请求客户端用本地的解密公钥对传输密匙进行解密，获取加密密钥，然后利用加密密匙解密收到的加密文件，从而得到源数据。
【文档编号】H04L9/32GK103427998SQ201310364533
【公开日】2013年12月4日 申请日期:2013年8月20日 优先权日:2013年8月20日
【发明者】谭东宇, 祝明发, 徐春杰, 李明泉, 王守信, 肖利民, 秦广军, 伍彦飞, 刘华, 田季, 王智尧 申请人:航天恒星科技有限公司