CN101499903A - 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 - Google Patents
防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 Download PDFInfo
- Publication number
- CN101499903A CN101499903A CN 200810006832 CN200810006832A CN101499903A CN 101499903 A CN101499903 A CN 101499903A CN 200810006832 CN200810006832 CN 200810006832 CN 200810006832 A CN200810006832 A CN 200810006832A CN 101499903 A CN101499903 A CN 101499903A
- Authority
- CN
- China
- Prior art keywords
- node
- peer
- identity
- authentication
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种在对等网络中防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点,涉及叠加网络领域,解决了开销大、时延长的问题。本发明实施例采用的方法包括:客户节点找到服务对等节点后,客户节点或对等节点至少一方进行身份认证;认证通过后,客户节点或对等节点建立对方的身份防伪记录表。本发明实施例采用的装置,包括认证单元,用于检测身份的合法性;存储单元,用于建立并存储身份防伪记录表;识别单元,用于识别恶意节点。客户节点、对等节点或汇聚点包括认证单元、存储单元和识别单元。本发明实施例采用的系统,包括所述对等节点和客户节点。本发明可广泛应用于对等网络中网络设备的身份认证中。
Description
技术领域
本发明涉及一种叠加网络领域,尤其是涉及防止网络设备伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点。
背景技术
叠加网络(Overlay Network)是一种在一个或者多个已经存在的下层网络(例如:物理网络或者逻辑网络)之上建立的虚拟网络,可以实现下层网络难以实现的某些特定功能,例如:消息路由或者拓扑维护等。
P2P(Peer to Peer)叠加网络,即对等网络,它是在现有的互联网基础上,采用P2P模式建立的叠加网络。所述对等网络能够在现有的互联网(例如:客户节点/服务器类型的网络)基础上,实现对等网络中对等节点(Peer)之间地位对等,以及各对等节点间的资源共享等功能。
对等网络存在对等节点和客户节点两种实体。对等节点除了具有资源共享的功能外,它还需要参与对等网络的组织和维护,包括路由、存储等功能。客户节点的功能相对简单,它需要通过对等节点将请求转发到网络中,且不具备路由功能,即网络中的路由不经过客户节点。
对等网络中,每个对等节点和客户节点都有一个身份。路由通过对等节点身份(Peer ID)存储或读取网络中的资源标记(key)和该标记对应的资源(value),客户节点则根据其客户节点身份接收对等节点提供的服务。对等节点身份和客户节点身份都是按照一定的规则获取的,如,前者采用哈希算法得到,后者由管理服务器分配得到。
但是,恶意节点很容易伪造对等节点身份和客户节点身份,恶意节点通过伪造对等节点身份来攻击网络,或者非法获取网络资源;通过伪造其它客户节点身份来规避网络资源的使用费用。
为防止身份伪造,目前常用的方法是:每个客户节点在进入网络之前,由第三方的机构或者组织对客户节点身份进行认证,通过认证的客户节点可以获得进入网络的证书;客户节点根据证书的私钥对自己生成的消息进行签名,同时对接收的消息进行认证签名。
上述方式将证书和客户节点绑定在一起,以有效防止身份伪造,但成本较高:首先,该方式需要在网络上部署一个公钥基础设施(PKI,Public KeyInfrastructure)系统,该部署本身成本很高,而且系统维护成本也较大;其次,客户节点需要对发送和接收的每个消息进行签名,所以,会给网络中消息路由带来较大的延时,这样,在时延要求较高的流媒体业务中,所述方法不一定能满足需求;再次,在某些简单的应用环境中,即使客户节点和对等节点双方都有证书,该证书也不一定用来对消息进行认证,只要进行身份认证即可。
发明内容
一方面,本发明的实施例提供了一种在对等网络中防止节点伪造身份的方法,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题;同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。
为达到上述目的,本发明实施例在对等网络中防止节点伪造身份的方法实施例采用如下步骤:
客户节点找到为自己服务的对等节点后,客户节点或对等节点至少一方作为认证发起方,对对方的身份进行认证;
认证通过后,作为认证发起方的客户节点或对等节点在本地建立并存储对方的身份防伪记录表。
本发明实施例提供的防止节点伪造身份的方法中,对等节点或客户节点通过在自己本地存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。利用该身份防伪记录表识别恶意节点,只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
另一方面,本发明实施例提供了一种在对等网络中防止节点伪造身份的装置,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题;同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。
为达到上述目的,本发明在对等网络中防止节点伪造身份的装置实施例采用如下技术方案,包括认证单元、存储单元和识别单元:
所述认证单元,用于检测节点的身份的合法性;
所述存储单元,用于建立并存储所述被检测的节点的身份防伪记录表;
所述识别单元,根据身份防伪记录表识别恶意节点。
本发明实施例提供的防止节点伪造身份的装置中,对等节点或客户节点通过在自己本地存储单元存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。识别单元利用该身份防伪记录表识别恶意节点,认证单元只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
本发明实施例提供了一种客户节点,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题;同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。
为达到上述目的,本发明的客户节点实施例采用如下技术方案,所述客户节点包括认证单元、存储单元和识别单元:
所述认证单元,用于对对等节点的身份的合法性进行认证;
所述存储单元,用于根据所述认证单元的认证结果建立并存储所述对等节点的身份防伪记录表;
所述识别单元,用于根据发送消息的对等节点的信息及存储单元存储的身份防伪记录表识别恶意对等节点。
本发明实施例提供客户节点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。客户节点识别单元利用该身份防伪记录表识别恶意对等节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。客户节点识别单元利用该身份防伪记录表识别恶意对等节点,客户节点认证单元只需要对对等节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
本发明实施例提供了一种网络对等节点,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题;同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。
为达到上述目的,本发明的网络对等节点实施例采用如下技术方案,所述对等节点包括认证单元、存储单元和识别单元:
所述认证单元,用于对客户节点的身份的合法性进行认证;
所述存储单元,用于根据所述认证单元的认证结果建立并存储所述客户节点的身份防伪记录表;
所述识别单元,用于根据发送消息的客户节点信息及存储单元存储的身份防伪记录表识别恶意客户节点。
本发明实施例提供对等节点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。对等节点识别单元利用该身份防伪记录表识别恶意客户节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。对等节点识别单元利用该身份防伪记录表识别恶意客户节点,对等节点认证单元只需要对客户节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
本发明实施例提供了一种网络汇聚点,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题;同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。
为达到上述目的,本发明的网络汇聚点实施例采用如下技术方案,所述汇聚点包括认证单元、存储单元和识别单元:
所述认证单元,用于对被检测节点的身份的合法性进行认证;
所述存储单元,用于根据认证单元的认证结果建立并存储所述被检测节点的身份防伪记录表;
所述识别单元,用于根据消息发送节点信息及存储单元存储的身份防伪记录表识别恶意节点。
本发明实施例提供汇聚点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。汇聚点识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。汇聚点识别单元利用该身份防伪记录表识别恶意节点,汇聚点认证单元只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
再一方面,本发明的实施例提供了一种在对等网络中防止节点伪造身份的系统,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题;同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。
为达到上述目的,本发明在对等网络中防止节点伪造身份的系统实施例采用如下技术方案,包括对等节点和客户节点:
所述客户节点用于找到为自己服务的对等节点并与其建立连接;
所述对等节点用于与向自己发起服务请求的客户节点建立连接;
所述客户节点或对等节点至少一方作为认证发起方,对对方的身份进行认证;
认证通过后,作为认证发起方的客户节点或对等节点在本地建立并存储对方的身份防伪记录表。
本发明实施例提供的防止节点伪造身份的系统中,对等节点或客户节点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。对等节点和客户节点的识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。对等节点和客户节点的识别单元利用该身份防伪记录表识别恶意节点,认证单元只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
附图说明
图1为本发明实施例防止节点伪造身份的方法的流程图;
图2为本发明实施例利用汇聚点防止节点伪造身份的方法示意图;
图3为本发明实施例防止节点伪造身份的装置组成结构示意图;
图4为本发明实施例防止节点伪造身份的系统结构示意图。
具体实施方式
在对等网络中,为了解决现有防止对等节点欺骗的方法开销大,时延长的问题,本发明实施例提供了一种防止节点伪造身份的方法。下面结合附图对本发明防止节点伪造身份的方法实施例进行详细描述。
如图1所示,本发明实施例提供的防止节点伪造身份的方法包括如下步骤:
11、客户节点找到为自己服务的对等节点后,客户节点或对等节点至少一方作为认证发起方,对对方的身份进行认证;
认证包括单向认证和双向认证。
单向认证是指:认证的发起方,既可以是客户节点也可以是对等节点,即客户节点对对等节点的身份进行认证,或者对等节点对客户节点的身份进行认证。
双向认证是指:客户节点对对等节点的身份进行认证;同时,对等节点也对客户节点的身份进行认证。
具体认证过程为现有技术,不再赘述。
12、认证通过后,作为认证发起方的客户节点或对等节点在本地建立并存储对方的身份防伪记录表。
在单向认证的情况下,认证的发起方是客户节点。该客户节点在本地建立对等节点的身份防伪记录表。该身份防伪记录表包括:对等节点的身份和物理地址,以及对等节点身份和物理地址的映射关系。
在单向认证的情况下,认证的发起方是对等节点。该对等节点在本地建立客户节点的身份防伪记录表。该身份防伪记录表包括:客户节点的身份和物理地址,以及客户节点身份和物理地址的映射关系。
在双向认证的情况下,对等节点在本地建立客户节点的身份防伪记录表;该客户节点在本地建立对等节点的身份防伪记录表。
所述对等节点身份包括对等节点的标识;所述客户节点身份包括客户节点标识或对等节点标识;所述物理地址可以是节点的MAC地址、IP地址、异端传输模式虚路径标识符/异端传输模式虚通道标识符(ATM VPI/VCI,AsynchronousTransfer Mode Virtual Path Identifier/Virtual Channel Identifier)、虚拟局域网号(VLAN ID,Virtual Local Area Network ID)等,也可以是客户节点和对等节点间的物理连接的地址。一个对等节点可以与至少两个物理地址存在映射关系。
节点在本地建立并存储对方的身份防伪记录表,并通过该身份防伪记录表识别恶意节点。当节点为客户节点时,该客户节点识别恶意节点的过程具体如下:
21、客户节点接收到对等节点发送的消息后,作为认证发起方,对对等节点的身份和物理地址的映射关系进行认证;
22、当对等节点的身份和物理地址的映射关系,与发起方拥有的身份防伪记录表中的记录一致时,该对等节点不是恶意节点;否则,为恶意节点:当节点为对等节点时,该对等节点识别恶意节点的具体过程如下:
31、对等节点当接收到客户节点发送的消息后,作为认证发起方,对客户节点的身份和物理地址的映射关系进行认证;
32、当客户节点的身份和物理地址的映射关系,与发起方拥有的身份防伪记录表中的记录一致时,该客户节点不是恶意节点;否则,为恶意节点:
本发明实施例提供的防止节点伪造身份的方法中,对等节点或客户节点通过在自己本地存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。利用该身份防伪记录表识别恶意节点,只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
当对等节点的物理地址改变后,客户节点要将该对等节点的身份防伪记录在身份防伪记录表中删除;
当对等节点获得新的物理地址后,所述客户节点对该对等节点进行重新认证;
认证通过后,客户节点将该对等节点的的身份和新物理地址的映射关系存储在自己本地的身份防伪记录表里。
当所述为客户节点服务的对等节点离开对等网络时,该对等节点将客户节点的身份和物理地址的映射关系通知给代理对等节点;同时通知客户节点由代理对等节点继续为其提供服务;
客户节点在接受代理对等节点为其提供服务之前,先对代理对等节点进行身份认证;
认证通过后,所述客户节点将代理对等节点的身份和物理地址的映射关系添加到本地的身份防伪记录表中;
然后,客户节点接受代理对等节点为其提供的服务。
在某些应用场景中,如图2所示,在对等网络中连接有能感知对等网络中消息流量的汇聚点,各对等节点通过所述汇聚点连接到对等网络,对等节点上还可以连接客户节点。对等节点间的消息通过某一个汇聚点转发到对等网络。这些汇聚点具有基本的消息解析功能,通过深度报文检测(DPI,deep packerinspection)方法对接收到的消息流量进行解析,得到消息内容,提取消息中对等节点的身份和物理地址的映射关系,并建立该对等节点的身份防伪记录表。
本发明实施例同时提供了一种在对等网络中防止节点伪造身份的装置,如图3所示,包括认证单元1、存储单元2和识别单元3:
认证单元1,用于检测节点的身份的合法性;
存储单元2,用于建立并存储所述被检测的节点的身份防伪记录表;
识别单元3,根据身份防伪记录表识别恶意节点。
所述节点包括客户节点和对等节点,当所述节点为客户节点时,所述节点的身份防伪记录表包括:对等节点的身份和物理地址,以及该身份和物理地址的映射关系;所述对等节点身份包括对等节点标识;当所述节点为对等节点时,所述节点的身份防伪记录表包括:客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
根据身份防伪记录表识别恶意节点的过程在方法中已经详细说明,此处不再赘述。
本发明实施例提供的防止节点伪造身份的装置中,所述节点通过在自己本地存储单元存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。识别单元利用该身份防伪记录表识别恶意节点,认证单元只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
本发明实施例还提供了一种客户节点,该客户节点包括认证单元、存储单元和识别单元:
认证单元,用于对对等节点的身份的合法性进行认证;;
存储单元,用于根据所述认证单元的认证结果建立并存储所述对等节点的身份防伪记录表;
识别单元,用于根据发送消息的对等节点的信息及存储单元存储的身份防伪记录表识别恶意对等节点。
对等节点的身份防伪记录表包括:对等节点的身份和物理地址,以及该身份和物理地址的映射关系。
该客户节点能够识别恶意对等节点,识别恶意对等节点的具体过程在方法中已经详细说明,此处不再赘述。
本发明实施例提供客户节点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。客户节点识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。客户节点识别单元利用该身份防伪记录表识别恶意对等节点,客户节点认证单元只需要对对等节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
本发明实施例还提供了一种网络对等节点,其特征在于所述对等节点包括认证单元、存储单元和识别单元:
认证单元,用于对客户节点的身份的合法性进行认证;
存储单元,用于根据所述认证单元的认证结果建立并存储所述客户节点的身份防伪记录表;
识别单元,用于根据发送消息的客户节点信息及存储单元存储的身份防伪记录表识别恶意客户节点。
客户节点的身份防伪记录表包括:客户节点的身份和物理地址;以及该身份和物理地址的映射关系。
该对等节点能够识别恶意客户节点,识别恶意客户节点的具体过程在方法中已经详细说明,此处不再赘述。
本发明实施例提供网络对等节点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。对等节点识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。对等节点识别单元利用该身份防伪记录表识别恶意客户节点,对等节点认证单元只需要对客户节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
本发明实施例还提供了一种网络汇聚点,其特征在于所述汇聚点包括认证单元、存储单元和识别单元:
认证单元,用于对被检测对等节点的身份的合法性进行认证;
存储单元,用于根据认证单元的认证结果建立并存储所述被检测对等节点的身份防伪记录表;
识别单元,用于根据消息发送节点信息及存储单元存储的身份防伪记录表识别恶意节点。
对等节点身份防伪记录表包括客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
该对汇聚点能够识别恶意节点,具体过程在方法中已经详细说明,此处不再赘述。
本发明实施例提供网络汇聚点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。汇聚点识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。汇聚点识别单元利用该身份防伪记录表识别恶意节点,汇聚点认证单元只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
本发明实施例还提供了一种在对等网络中防止节点伪造身份的系统,如图4所示,包括对等节点和客户节点:
客户节点用于找到为自己服务的对等节点并与其建立连接;
该对等节点用于与向自己发起服务请求的客户节点建立连接;
客户节点或对等节点至少一方作为认证发起方,对对方的身份进行认证;
认证通过后,作为认证发起方的客户节点或对等节点在本地建立并存储对方的身份防伪记录表。
对等节点身份防伪记录表包括:对等节点的身份和物理地址,以及该身份和物理地址的映射关系;客户节点的身份防伪记录表包括:客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
在某些应用场景中,本发明实施例提供的在对等网络中防止节点伪造身份的系统,还可以包括汇聚点,所述汇聚节点连接至少一个对等节点,所述对等节点连接客户节点。
对等节点用于找到为自己服务的汇聚点并与其建立连接;
所述汇聚点用于与向自己发起服务请求的对等节点建立连接;
所述汇聚点作为认证发起方,对该对等节点的身份进行认证;
认证通过后,作为认证发起方的汇聚点在本地建立并存储该对等节点的身份防伪记录表。
所述节点为客户节点或对等节点,当所述节点为客户节点时,所述节点身份防伪记录表包括对等节点的身份和物理地址,以及该身份和物理地址的映射关系;当所述节点为对等节点时,所述节点身份防伪记录表包括客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
该系统能够识别恶意节点,识别恶意节点的具体过程在方法中已经详细说明,此处不再赘述。
本发明实施例提供的防止节点伪造身份的系统中,对等节点、客户节点或汇聚点通过在自己本地存储器存储身份防伪记录表,解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施,造成部署、维护开销大的问题。对等节点、客户节点或汇聚点利用身份防伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时,解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名,造成消息路由时延长的问题。对等节点、客户节点或汇聚点利用身份防伪记录表识别恶意节点,只需要对节点的身份进行验证,不用对每个发送和接收消息进行验证签名,减少了路由时延。
Claims (17)
1、一种在对等网络中防止节点伪造身份的方法,所述对等网络包括对等节点和客户节点;其特征在于包括如下步骤:
客户节点找到为自己服务的对等节点后,客户节点或对等节点至少一方作为认证发起方,对对方的身份进行认证;
认证通过后,作为认证发起方的客户节点或对等节点在本地建立并存储对方的身份防伪记录表。
2、根据权利要求1所述的在对等网络中防止节点伪造身份的方法,所述节点为客户节点或对等节点,其特征在于:
当所述节点为客户节点时,所述节点身份防伪记录表包括对等节点的身份和物理地址,以及该身份和物理地址的映射关系;
当所述节点为对等节点时,所述节点身份防伪记录表包括客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
3、根据权利要求1所述的在对等网络中防止节点伪造身份的方法,其特征在于:
当所述节点为客户节点时,还包括如下步骤:
所述客户节点接收对等节点发送的消息后,作为认证发起方,对该对等节点的身份和物理地址的映射关系进行认证;
当所述对等节点的身份和物理地址的映射关系,与所述客户节点拥有的身份防伪记录表中的记录一致时,该对等节点不是恶意节点;否则,为恶意节点;
当所述节点为对等节点时,还包括如下步骤:
所述对等节点接收客户节点发送的消息后,作为认证发起方,对该客户节点的身份和物理地址的映射关系进行认证;
当所述客户节点的身份和物理地址的映射关系,与所述对等节点拥有的身份防伪记录表中的记录一致时,该客户节点不是恶意节点;否则,为恶意节点。
4、根据权利要求2或3所述的在对等网络中防止节点伪造身份的方法,其特征在于还包括:
当对等节点的物理地址改变后,所述客户节点将该对等节点的身份防伪记录删除;
所述客户节点对该对等节点进行重新认证;
认证通过后,将该对等节点的的身份和新物理地址的映射关系存储在本地的身份防伪记录表里。
5、根据权利要求1所述的在对等网络中防止节点伪造身份的方法,其特征在于还包括:
当所述为客户节点服务的对等节点离开对等网络时,该对等节点将客户节点的身份和物理地址的映射关系通知给代理对等节点;同时通知客户节点由代理对等节点继续为其提供服务;
客户节点对代理对等节点进行身份认证;
认证通过后,所述客户节点将代理对等节点的身份和物理地址的映射关系添加到本地的身份防伪记录表中;
客户节点接受代理对等节点为其提供的服务。
6、根据权利要求2所述的在对等网络中防止节点伪造身份的方法,其特征在于所述身份和物理地址的映射关系为:一个对等节点与至少两个物理地址存在映射关系。
7、根据权利要求1所述的在对等网络中防止节点伪造身份的方法,所述对等网络还包括连接至少一个对等节点的汇聚点,其特征在于包括如下步骤:
对等节点找到为自己服务的汇聚点后,汇聚点对该对等节点的身份进行认证;
认证通过后,汇聚点在本地建立并存储该对等节点的身份防伪记录表。
8、根据权利要求7所述的在在对等网络中防止节点伪造身份的方法,所述节点为客户节点或对等节点,其特征在于:
当所述节点为客户节点时,所述节点身份防伪记录表包括对等节点的身份和物理地址,以及该身份和物理地址的映射关系;
当所述节点为对等节点时,所述节点身份防伪记录表包括客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
9、根据权利要求7所述的在对等网络中防止节点伪造身份的方法,其特征在于,所述节点找到为自己服务的汇聚点后,汇聚点对节点的身份进行认证的步骤包括:
所述汇聚点接收所述节点发送的消息后,采用深度报文检测方法检测消息流量;
从消息中提取该节点的身份和物理地址。
10、一种在对等网络中防止节点伪造身份的装置;其特征在于包括认证单元、存储单元和识别单元:
所述认证单元,用于检测节点的身份的合法性;
所述存储单元,用于建立并存储所述被检测的节点的身份防伪记录表;
所述识别单元,根据身份防伪记录表识别恶意节点。
11、根据权利要求10所述的在对等网络中防止节点伪造身份的装置,所述节点为客户节点或对等节点,其特征在于:
当所述节点为客户节点时,所述节点身份防伪记录表包括对等节点的身份和物理地址,以及该身份和物理地址的映射关系;
当所述节点为对等节点时,所述节点身份防伪记录表包括客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
12、一种客户节点,其特征在于所述客户节点包括认证单元、存储单元和识别单元:
所述认证单元,用于对对等节点的身份的合法性进行认证;
所述存储单元,用于根据所述认证单元的认证结果建立并存储所述对等节点的身份防伪记录表;
所述识别单元,用于根据发送消息的对等节点的信息及存储单元存储的身份防伪记录表识别恶意对等节点。
13、一种网络对等节点,其特征在于所述对等节点包括认证单元、存储单元和识别单元:
所述认证单元,用于对客户节点的身份的合法性进行认证;
所述存储单元,用于根据所述认证单元的认证结果建立并存储所述客户节点的身份防伪记录表;
所述识别单元,用于根据发送消息的客户节点信息及存储单元存储的身份防伪记录表识别恶意客户节点。
14、一种网络汇聚点,其特征在于所述汇聚点包括认证单元、存储单元和识别单元:
所述认证单元,用于对被检测对等节点的身份的合法性进行认证;
所述存储单元,用于根据认证单元的认证结果建立并存储所述被检测的对等节点的身份防伪记录表;
所述识别单元,用于根据发送消息的对等节点信息及存储单元存储的身份防伪记录表识别恶意节点。
15、一种在对等网络中防止节点伪造身份的系统,包括对等节点和客户节点,其特征在于:
所述客户节点用于找到为自己服务的对等节点并与其建立连接;
所述对等节点用于与向自己发起服务请求的客户节点建立连接;
所述客户节点或对等节点至少一方作为认证发起方,对对方的身份进行认证;
认证通过后,作为认证发起方的客户节点或对等节点在本地建立并存储对方的身份防伪记录表。
16、根据权利要求15所述的在对等网络中防止节点伪造身份的系统,其特征在于:
当所述节点为客户节点时,所述节点身份防伪记录表包括对等节点的身份和物理地址,以及该身份和物理地址的映射关系;
当所述节点为对等节点时,所述节点身份防伪记录表包括客户节点的身份和物理地址,以及该身份和物理地址的映射关系。
17、根据权利要求15所述的在对等网络中防止节点伪造身份的系统,它还包括连接在对等网络中的汇聚点,所述汇聚点连接至少一个对等节点,其特征在于:
所述对等节点用于找到为自己服务的汇聚点并与其建立连接;
所述汇聚点用于与向自己发起服务请求的对等节点建立连接;
所述汇聚点作为认证发起方,对该对等节点的身份进行认证;
认证通过后,作为认证发起方的汇聚点在本地建立并存储该对等节点的身份防伪记录表。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200810006832 CN101499903B (zh) | 2008-02-02 | 2008-02-02 | 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 |
PCT/CN2008/072875 WO2009097721A1 (zh) | 2008-02-02 | 2008-10-29 | 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 |
KR1020107018635A KR101227620B1 (ko) | 2008-02-02 | 2008-10-29 | 노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점 |
ES08872189T ES2404175T3 (es) | 2008-02-02 | 2008-10-29 | Método, dispositivo, sistema, nodo cliente, nodo homólogo y punto de convergencia para evitar la falsificación de identidad de nodos |
EP08872189A EP2239883B1 (en) | 2008-02-02 | 2008-10-29 | Method, device, system, client node, peer node and convergent point for preventing node from forging identity |
EP12195638A EP2568684A1 (en) | 2008-02-02 | 2008-10-29 | Method, device, system, client node, peer node and convergent point for preventing node from forging identity |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200810006832 CN101499903B (zh) | 2008-02-02 | 2008-02-02 | 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101499903A true CN101499903A (zh) | 2009-08-05 |
CN101499903B CN101499903B (zh) | 2012-11-21 |
Family
ID=40946796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200810006832 Active CN101499903B (zh) | 2008-02-02 | 2008-02-02 | 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 |
Country Status (5)
Country | Link |
---|---|
EP (2) | EP2239883B1 (zh) |
KR (1) | KR101227620B1 (zh) |
CN (1) | CN101499903B (zh) |
ES (1) | ES2404175T3 (zh) |
WO (1) | WO2009097721A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010069177A1 (zh) * | 2008-12-18 | 2010-06-24 | 华为技术有限公司 | 一种对等p2p网络中控制资源发布的方法、系统和设备 |
CN102668450A (zh) * | 2009-12-02 | 2012-09-12 | 微软公司 | 基于身份的网络策略实现 |
CN104079326A (zh) * | 2013-03-25 | 2014-10-01 | 华为终端有限公司 | 一种设备识别方法及相关设备 |
CN104660722A (zh) * | 2013-11-21 | 2015-05-27 | 倚强科技股份有限公司 | 网络连线方法及其网络系统 |
CN107426253A (zh) * | 2017-09-26 | 2017-12-01 | 武汉斗鱼网络科技有限公司 | 一种数据校验方法及客户端 |
CN108599960A (zh) * | 2018-05-08 | 2018-09-28 | 厦门集微科技有限公司 | 一种信息获取方法及网络节点 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8009586B2 (en) * | 2004-06-29 | 2011-08-30 | Damaka, Inc. | System and method for data transfer in a peer-to peer hybrid communication network |
EP1905191B1 (en) * | 2005-07-20 | 2014-09-03 | Verimatrix, Inc. | Network user authentication system and method |
US20070097986A1 (en) * | 2005-11-02 | 2007-05-03 | Abu-Amara Hosame H | Peer-to-peer communication architecture and terminals |
CN101009567A (zh) * | 2006-01-26 | 2007-08-01 | 西门子通信技术(北京)有限公司 | 一种利用对等网络实体提供网络服务的方法及系统 |
CN100502339C (zh) * | 2007-08-31 | 2009-06-17 | 华为技术有限公司 | 对等网络自治的方法、节点装置和系统 |
-
2008
- 2008-02-02 CN CN 200810006832 patent/CN101499903B/zh active Active
- 2008-10-29 KR KR1020107018635A patent/KR101227620B1/ko active IP Right Grant
- 2008-10-29 EP EP08872189A patent/EP2239883B1/en not_active Not-in-force
- 2008-10-29 EP EP12195638A patent/EP2568684A1/en not_active Withdrawn
- 2008-10-29 WO PCT/CN2008/072875 patent/WO2009097721A1/zh active Application Filing
- 2008-10-29 ES ES08872189T patent/ES2404175T3/es active Active
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010069177A1 (zh) * | 2008-12-18 | 2010-06-24 | 华为技术有限公司 | 一种对等p2p网络中控制资源发布的方法、系统和设备 |
CN102668450A (zh) * | 2009-12-02 | 2012-09-12 | 微软公司 | 基于身份的网络策略实现 |
CN102668450B (zh) * | 2009-12-02 | 2014-11-26 | 微软公司 | 基于身份的网络策略实现方法 |
CN104079326A (zh) * | 2013-03-25 | 2014-10-01 | 华为终端有限公司 | 一种设备识别方法及相关设备 |
WO2014154089A1 (zh) * | 2013-03-25 | 2014-10-02 | 华为终端有限公司 | 一种设备识别方法及相关设备 |
CN104079326B (zh) * | 2013-03-25 | 2017-08-04 | 华为终端有限公司 | 一种设备识别方法及相关设备 |
CN104660722A (zh) * | 2013-11-21 | 2015-05-27 | 倚强科技股份有限公司 | 网络连线方法及其网络系统 |
CN107426253A (zh) * | 2017-09-26 | 2017-12-01 | 武汉斗鱼网络科技有限公司 | 一种数据校验方法及客户端 |
CN107426253B (zh) * | 2017-09-26 | 2022-06-21 | 武汉斗鱼网络科技有限公司 | 一种数据校验方法及客户端 |
CN108599960A (zh) * | 2018-05-08 | 2018-09-28 | 厦门集微科技有限公司 | 一种信息获取方法及网络节点 |
Also Published As
Publication number | Publication date |
---|---|
KR101227620B1 (ko) | 2013-01-30 |
CN101499903B (zh) | 2012-11-21 |
EP2568684A1 (en) | 2013-03-13 |
EP2239883A1 (en) | 2010-10-13 |
EP2239883A4 (en) | 2011-09-07 |
EP2239883B1 (en) | 2013-02-20 |
KR20100103713A (ko) | 2010-09-27 |
WO2009097721A1 (zh) | 2009-08-13 |
ES2404175T3 (es) | 2013-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9819688B2 (en) | Peer enrollment method, route updating method, communication system, and relevant devices | |
CN101499903B (zh) | 防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点 | |
US20100088399A1 (en) | Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP | |
US8880891B2 (en) | Method, system and apparatus for establishing communication | |
CN109714370B (zh) | 一种基于http协议端云安全通信的实现方法 | |
CN103701700A (zh) | 一种通信网络中的节点发现方法及系统 | |
CN112637183B (zh) | 数据报文的传输方法和装置 | |
CN105577618A (zh) | 认证方法及装置 | |
CN101637004B (zh) | 用于通信系统中的前缀可达性的方法 | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
CN102573111A (zh) | 传输控制协议资源的释放方法及装置 | |
CN112615854A (zh) | 终端准入控制方法、装置、准入服务器及存储介质 | |
KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
CN106027555A (zh) | 一种采用sdn技术改善内容分发网络安全性的方法及系统 | |
CN107835168A (zh) | 一种基于端信息扩展序列矩阵转置相乘的认证方法 | |
CN115296826B (zh) | 多边共管多标识天地一体化智能网联汽车高安全专网系统 | |
CN113965425A (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
CN103139774B (zh) | 短消息业务处理方法与短消息业务处理系统 | |
CN105610667B (zh) | 建立虚拟专用网通道的方法和装置 | |
CN111541710B (zh) | 一种网络中数据内容的鉴授权方法和计算机可读存储介质 | |
CN102769621A (zh) | 一种面向真实用户身份的主机移动方法 | |
Ma et al. | A flow-level architecture for balancing accountability and privacy | |
CN103618769A (zh) | 一种冗余配置的方法、系统以及相关设备 | |
Giridhar et al. | Cluster based certificate authority scheme in WSN | |
JP5398579B2 (ja) | アドレス集約システム、及びメッセージ送信元認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |