CN101370012A - 基于代理的对等计算信任机制构造方法 - Google Patents
基于代理的对等计算信任机制构造方法 Download PDFInfo
- Publication number
- CN101370012A CN101370012A CNA2008101235954A CN200810123595A CN101370012A CN 101370012 A CN101370012 A CN 101370012A CN A2008101235954 A CNA2008101235954 A CN A2008101235954A CN 200810123595 A CN200810123595 A CN 200810123595A CN 101370012 A CN101370012 A CN 101370012A
- Authority
- CN
- China
- Prior art keywords
- agent
- certificate
- random number
- number sequence
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
基于代理的对等计算信任机制构造方法是一种在开放网络环境中,主要用于解决基于代理(Agent)的P2P(对等计算Peer-to-Peer)网络中的信任问题的策略性方法,本方法提供了一种更加安全的信任机制,具体为:客户端向主代理发出申请,主代理对客户端身份进行验证,对已识别客户端生成证书并分配其临时代理,临时代理从客户端获取硬件地址即MAC地址,发送到主代理上,客户端将生成的随机数序列发送到主代理上,主代理调用加密代理生成加密证书,主代理加密,目标代理解密,用新证书与原证书进行比对,结果不一致则主代理回收临时代理,结果一致则进行P2P连接传输完毕,断开P2P连接,全过程结束。
Description
技术领域
本发明是一种在开放网络环境中,主要用于解决基于Agent(代理)的P2P(对等计算Peer-to-Peer)网络中的信任问题的策略性方法,本方法提供了一种更加安全的信任机制,属于Agent、对等计算和信息安全的交叉技术应用领域。
背景技术
对等计算直接将人们联系起来,让人们通过互联网直接交互。P2P技术极大地提高对Internet中信息、带宽和计算资源的利用率。P2P对等网络打破了传统的客户机/服务器模式,对等网络中每个节点的单位都是相同的,每个节点既充当服务器,为其他节点提供服务,也同时充当客户机,享用其他节点提供的服务。P2P使得网络上的沟通变得容易,共享和交互更直接,真正地消除中间商。P2P对等网络改变了互联网现在的以网站为中心的状态、重返“非中心化”,并把权力交还给用户。
Agent技术是随着互联网的发展而出现的一种新兴技术,它较好的适应了Internet的特点,有效简化分布式系统的设计、实现和维护。Agent具有自治性、社会性、反应性和能动性四种特性。
在P2P中引入Agent,使得地域上分布的P2P节点具有自适应性、计算节点可迁移性,同时大大降低了网络通信量,改善了系统性能和智能化水平,并提高了网络资源的利用效率、P2P计算的可靠性以及执行效率。
由于基于Agent的P2P的诸多优点,被广泛应用于对等计算、协同工作、搜索引擎、文件交换四大类型应用。而在上述应用中的安全机制起着至关重要的作用。现有能够实现的安全策略主要有签名加密、认证授权、代码检验等方法。
发明内容
技术问题:本发明的目的是提供一种基于代理的对等计算信任机制构造方法。该方法是复合式的安全信任策略,用来解决P2P节点之间的信任问题,与过去的安全策略不同,本方法是一种策略性方法,通过使用本发明提出的方法可以达到提高P2P节点信任机制的安全性。
技术方案:本发明的方法是一种策略性方法,通过在P2P节点间引入具有特殊功能的Agent,并结合节点上客户端软件,其目标是通过代理组合、复合式的加密技术等来动态的处理信任机制的安全问题。
下面给出几种特殊Agent的定义:
临时Agent(Temporary Agent):临时Agent是由主Agent创建的,在节点连接之前用来代替P2P节点,以保护真正的节点。
加密Agent(Encrypt Agent EAgent):加密Agent可与主Agent组合在一起形成一个整体,主要用来对P2P节点的认证信息进行加密,以保证安全信任。
验证Agent(Validate Agent VAgent):验证Agent也可以与主Agent组合,用于解决对已加密的信息解密并加以验证,保证此加密信息正确无误。
一、体系结构
图1给出了本发明的组成结构,与一般的P2P不同,原有的节点用临时Agent代替,在节点间又多了一个主Agent,其中整合了加密Agent和验证Agent。尽管增加了这些部分,但是大大提高了P2P传输前信任的安全性。
下面对几个部分做具体说明:
1、临时Agent
当P2P节点1提出要与另一节点连接时,向主Agent发出请求,请求连接目标节点的Agent(Target Agent用TAgent表示),主Agent检查节点1是否是已注册节点,确认是已注册节点后。主Agent为节点1创建(用Create函数表示)临时Agent(用Agent*表示):
Agent*=Create(Agent,IPaddress)
其中IPaddress(IP地址)表示申请连接节点1的IP地址。根据IP地址,节点1的临时Agent创建成功。此时临时Agent接收节点1的MAC地址以及其客户端软件所产生的随机数序列C,保存在临时Agent的缓存中,以供加密Agent调用。
随机数序列C={R1,R2,R3,……},一共有随机生成的128位数字组成。
2、加密Agent
加密Agent(Encrypt Agent用EAgent表示)主要用于对证书进行复合式加密。加密从临时Agent中取得节点1的MAC地址和随机数序列C。用证书(用Certificate表示)组合MAC地址(用MACaddress表示),并用随机数序列C以既定的算法进行加密。加密后生成加密证书(Encrypt Certificate用ECertificate表示)
ECertificate又进过以下步骤得到:
E(Merge(Certificate,MACaddress),C)
其中E为加密函数,Merge为组合函数。
用目标节点的公钥对随机数序列C加密生成加密随机数序列C*(用EC^):
EC*=E(C,PBKey)
其中PBKey为目标Agent公钥。
加密Agent将加密后的随机数序列C^传输给目标Agent:
3、验证Agent
目标Agent用对应的私钥对加密随机数序列C*进行解密得到随机数序列C^:
C^=D(C*,SCKey)
其中D为解密函数,SCKey为目标Agent私钥。
目标Agent将C^传输给验证Agent(Validate Agent用VAgent表示),验证Agent用解密函数结合C^和加密证书,解密得到新证书(用Certificate^):
Certificate^=D(ECertificate,C^)
用新证书与备份的原证书比对,一致后完成信任认证。接受节点1的连接申请。
二、主要工作流程:
基于代理的对等计算信任机制构造方法所包含的步骤为:
步骤1.客户端向主代理发出申请;
步骤2.主代理对客户端身份进行验证,判断是否是已注册用户;若是未注册用户转步骤12;若是已注册用户则转步骤3;
步骤3.主代理已识别客户端身份,生成证书并分配其临时代理;
步骤4.临时代理从客户端获取硬件地址即MAC地址,发送到主代理上;
步骤5.客户端将生成的随机数序列发送到主代理上;
步骤6.主代理调用加密代理,结合证书与MAC地址用随机数序列进行加密,生成加密证书;
步骤7.主代理用目标代理的公钥对随机数序列进行加密,并传递给目标代理;
步骤8.目标代理用私钥对加密后的随机数序列进行解密;
步骤9.目标代理将新的随机数序列发送给验证代理;
步骤10.验证代理用新随机数序列对加密证书进行解密,得到新证书;
步骤11.用新证书与原证书进行比对;比对结果不一致,主代理回收临时代理;比对一致,进行P2P连接;
步骤12.传输完毕,断开P2P连接,全过程结束。
有益效果:本发明提出了一种复合式的安全信任策略,主要解决在P2P网络中连接节点时的信任问题。与以前的P2P信任机制不同,在节点间加入了一个智能Agent,使用此方法的P2P连接信任机制更加安全,且传输的信息量较小。下面做具体说明:
本方法具有临时Agent,避免了两个节点认证时直接连接,降低了被攻击的可能性。一旦受到攻击,也只是攻击临时Agent不会使节点收到损害,保护了节点的安全。临时Agent是主Agent分配的,因此临时Agent的标识都被主Agent所知晓,一旦发现是恶意节点立即会收回其临时Agent。临时Agent会收集所代理的节点的MAC地址,从而唯一的确定节点的身份,使其不可抵赖。
对于申请连接的节点,客户端软件是轻量级的,软件只产生一个随机数序列,且每次申请时产生的序列都不同。这样使得加密时具有随机性,不易被人盗取或者篡改。
加密Agent将产生的给申请节点的证书加密并保存在主Agent上,与原有的策略不同的是,它生成了证书但是并不将证书发给临时Agent,而是间接的将证书的迁移到主Agent上,避免了证书在传输过程中被篡改或窃取。加密Agent只是用目标节点的公钥将随机数序列进行加密,使得从加密Agent传输到目标Agent的信息量大大减少。即使在传输过程中被人窃取,也无法知道任何信息。
验证Agent其实是将目标Agent的解密过程迁移到了中介上,从而减轻了目标Agent的负担。验证Agent上的解密函数用目标Agent解得的随机数序列将加密证书解密,若解得的证书与之前的一致,则说明信任验证成功。这样的方法避免了在从主Agent到目标Agent之间的安全问题。
本发明的方法,将整个加密和解密、认证的过程全部迁移到中介上,使得传输过程中发生错误的可能性大大降低,保证了信任的安全性。整个过程可迁移至主Agent进行,使P2P连接认证具有了Agent的特性。对于传输的数据,单独存在是没有意义的,且信息量很小,不易被破坏,传输速度快。这些优点都是以前的策略所没有的。
附图说明
图1是参考体系结构示意图。表示本发明方法包括的组件示例。
图2是流程示意图。表示本发明方法的流程示意。
具体实施方式:
第一步:申请节点想主Agent提出申请,主Agent对申请节点进行验证,审核此节点是否是已注册的节点。
第二步:判断申请节点是已注册的节点后,对其产生相对应的原证书并生成临时Agent。原证书保留在主Agent上。
第三步:临时Agent从申请节点获取MAC地址,客户端软件生成的随机数序列与MAC地址一起提交给主Agent保存。
第四步:主Agent调用加密Agent将原证书组合MAC地址,并用随机数序列进行加密得到新证书,此证书也存放在主Agent上。
第五步:主Agent将随机数序列用目标Agent的公钥加密,并发送给目标Agent。
第六步:目标Agent收到加密后的随机数序列,用私钥对其进行解密,得到新的随机数序列,并将新的序列上传给验证Agent。
第七步:验证Agent用新的序列对加密后的新证书进行解密,得到解密后的证书。将此证书与主Agent上保存的原证书进行比对,若证书比对一致,说明验证成功,同意P2P的两个节点进行连接。相反则,收回临时代理,结束验证。
为了方便描述,我们假定有如下应用实例:
一个P2P节点A要求连接已存在的节点B,此时节点B已存在Agent代理。执行步骤如下:
对于客户端:
第一步:节点A请求连接,向主Agent发送申请,主Agent验证节点A是否注册节点。假设A已是注册节点,则验证完成。
第二步:主Agent分配给节点A一个临时Agent作为其代理,并生成原证书A临时Agent自动获取节点A的MAC地址,提交给主Agent。
第三步:客户端软件生成随机数序列C,并提交给主Agent。
第四步:主Agent上的原证书和MAC地址组合,并用C对其进行加密,得到新证书B
对于目标端:
第一步:Agent将随机数序列C用目标Agent的公钥进行加密,得到新序列C*并发送给目标Agent。
第二步:目标Agent用私钥将加密的随机数序列C*进行解密得到新的随机数序列C^。将C^上传给验证Agent。
第三步:验证Agent用C^将之前保存的已加密的证书B进行解密,获得证书D。
第四步:将证书D与原证书A核对,核对一致则认为可信任,同意连接。
最后P2P两个节点进行安全连接。
Claims (1)
1.一种基于代理的对等计算信任机制构造方法,其特征在于该方法所包含的步骤为:
步骤1.客户端向主代理发出申请;
步骤2.主代理对客户端身份进行验证,判断是否是已注册用户;若是未注册用户转步骤12;若是已注册用户则转步骤3;
步骤3.主代理已识别客户端身份,生成证书并分配其临时代理;
步骤4.临时代理从客户端获取硬件地址即MAC地址,发送到主代理上;
步骤5.客户端将生成的随机数序列发送到主代理上;
步骤6.主代理调用加密代理,结合证书与MAC地址用随机数序列进行加密,生成加密证书;
步骤7.主代理用目标代理的公钥对随机数序列进行加密,并传递给目标代理;
步骤8.目标代理用私钥对加密后的随机数序列进行解密;
步骤9.目标代理将新的随机数序列发送给验证代理;
步骤10.验证代理用新随机数序列对加密证书进行解密,得到新证书;
步骤11.用新证书与原证书进行比对;比对结果不一致,主代理回收临时代理;比对一致,进行P2P连接;
步骤12.传输完毕,断开P2P连接,全过程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101235954A CN101370012B (zh) | 2008-07-09 | 2008-07-09 | 基于代理的对等计算信任机制构造方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101235954A CN101370012B (zh) | 2008-07-09 | 2008-07-09 | 基于代理的对等计算信任机制构造方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101370012A true CN101370012A (zh) | 2009-02-18 |
| CN101370012B CN101370012B (zh) | 2011-04-20 |
Family
ID=40413629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101235954A Expired - Fee Related CN101370012B (zh) | 2008-07-09 | 2008-07-09 | 基于代理的对等计算信任机制构造方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101370012B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012143930A1 (en) * | 2011-04-18 | 2012-10-26 | Hewlett-Packard Development Company, L.P. | Access control |
| CN107302544A (zh) * | 2017-08-15 | 2017-10-27 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN108234115B (zh) * | 2016-12-15 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 信息安全的验证方法、装置和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7596690B2 (en) * | 2004-09-09 | 2009-09-29 | International Business Machines Corporation | Peer-to-peer communications |
| CN101094060A (zh) * | 2006-06-19 | 2007-12-26 | 上海新纳广告传媒有限公司 | 一种基于点对点网络的授权方法 |
-
2008
- 2008-07-09 CN CN2008101235954A patent/CN101370012B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012143930A1 (en) * | 2011-04-18 | 2012-10-26 | Hewlett-Packard Development Company, L.P. | Access control |
| CN103597864A (zh) * | 2011-04-18 | 2014-02-19 | 惠普发展公司,有限责任合伙企业 | 访问控制 |
| US9294447B2 (en) | 2011-04-18 | 2016-03-22 | Hewlett-Packard Development Company, L.P. | Access control |
| CN108234115B (zh) * | 2016-12-15 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 信息安全的验证方法、装置和系统 |
| CN107302544A (zh) * | 2017-08-15 | 2017-10-27 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN107302544B (zh) * | 2017-08-15 | 2019-09-13 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101370012B (zh) | 2011-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Almadhoun et al. | A user authentication scheme of IoT devices using blockchain-enabled fog nodes | |
| US11799656B2 (en) | Security authentication method and device | |
| CN108111301B (zh) | 基于后量子密钥交换实现ssh协议的方法及其系统 | |
| CN109922077B (zh) | 一种基于区块链的身份认证方法及其系统 | |
| US20210367753A1 (en) | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption | |
| Yang et al. | Provable data possession of resource-constrained mobile devices in cloud computing | |
| GB2623015A (en) | Internet-of-vehicles communication security authentication method, system and device based on national cryptographic algorithm | |
| CN112039870B (zh) | 基于区块链的面向隐私保护的车载网认证方法及系统 | |
| JP2019507510A (ja) | 情報及び階層的で決定性の暗号化鍵のセキュアな交換のための共通秘密の決定 | |
| AU2003202511A1 (en) | Methods for authenticating potential members invited to join a group | |
| Al-Janabi et al. | Public-key cryptography enabled kerberos authentication | |
| CN110959163A (zh) | 能够在多个存储节点上安全存储大型区块链的计算机实现的系统和方法 | |
| CN111935213B (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
| Zhou et al. | EverSSDI: blockchain-based framework for verification, authorisation and recovery of self-sovereign identity using smart contracts | |
| CN114362993B (zh) | 一种区块链辅助的车联网安全认证方法 | |
| WO2014092534A1 (en) | A system and method for peer-to-peer entity authentication with nearest neighbours credential delegation | |
| CN101370012B (zh) | 基于代理的对等计算信任机制构造方法 | |
| Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
| CN117094825A (zh) | 一种基于区块链的跨链可信土地交易系统及方法 | |
| Aarella et al. | Fortified-edge: secure PUF certificate authentication mechanism for edge data centers in collaborative edge computing | |
| CN111245611B (zh) | 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及系统 | |
| CN110048852B (zh) | 基于非对称密钥池的量子通信服务站数字签密方法和系统 | |
| CN111541668A (zh) | 一种基于区块链的能源物联网信息安全传输与存储方法 | |
| CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
| CN114584975B (zh) | 一种基于sdn的抗量子卫星网络接入认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20090218 Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: Nanjing Post & Telecommunication Univ. Contract record no.: 2016320000220 Denomination of invention: Equity computation faith mechanism construction method based on proxy Granted publication date: 20110420 License type: Common License Record date: 20161121 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| EC01 | Cancellation of recordation of patent licensing contract | ||
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: Nanjing Post & Telecommunication Univ. Contract record no.: 2016320000220 Date of cancellation: 20180116 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 Termination date: 20170709 |