CN102457476A - 对等网络安全防御方法及系统 - Google Patents
对等网络安全防御方法及系统 Download PDFInfo
- Publication number
- CN102457476A CN102457476A CN2010105138749A CN201010513874A CN102457476A CN 102457476 A CN102457476 A CN 102457476A CN 2010105138749 A CN2010105138749 A CN 2010105138749A CN 201010513874 A CN201010513874 A CN 201010513874A CN 102457476 A CN102457476 A CN 102457476A
- Authority
- CN
- China
- Prior art keywords
- node
- security
- layer
- safe class
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000001514 detection method Methods 0.000 claims abstract description 56
- 230000007123 defense Effects 0.000 claims abstract description 11
- 238000012360 testing method Methods 0.000 claims description 20
- 238000011156 evaluation Methods 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 18
- 230000015572 biosynthetic process Effects 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 16
- 230000007246 mechanism Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000012550 audit Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 3
- 238000003786 synthesis reaction Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000036544 posture Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种对等网络安全防御方法及系统,P2P网络检测节点的Underlay层安全性能,根据检测结果对所述节点进行安全等级评估;所述P2P网络根据所述节点的安全等级,按照Overlay层安全策略决策是否允许所述节点加入Overlay层;其中,所述节点的安全等级信息存储在对等网络节点安全等级证书中。通过本发明,建立了一种P2P网络中Overlay层与Underlay层融合的安全防御体系,使P2P网络Overlay层能够感知节点Underlay层的安全性能。
Description
技术领域
本发明涉及安全领域,更具体地,涉及一种对等(Peer-to-Peer,简称为P2P)网络安全防御方法及系统。
背景技术
在传统网络中,节点的安全主要是通过安全域、边界防护及等级保护这些传统的安全技术来防护的。
例如,在传统的IP网络中的防火墙和NGN(Next Generation Network,下一代网络)或VoIP(Voice over Internet Protocol,IP电话)网络中的会话边界控制。但是在P2P网络中,由于覆盖层(Overlay层)与底层(Underlay)的安全机制完全脱离,Overlay层无法感知节点在底层上的安全防护强度,安全域、边界防护及等级保护这些传统安全机制在P2P网络中不再适用。
P2P网络的安全问题已经受到越来越多的重视,但目前对于P2P Overlay网络安全问题的研究大多局限于Overlay层本身,即主要研究由于Overlay自身的行为特点所造成的多种安全威胁及防御措施,如信任机制、接入控制、流量控制等安全机制。
(1)信任机制:对每个P2P节点评定信誉度,在多个节点可选的情况下,信誉度高的节点成为首选。信任机制的实施可能采用本地推荐方式、PKI(Public Key Infrastructure,公用密钥基础结构)方式、名誉方式和基于角色方式来实现。
(2)接入控制:根据用户已经通过的认证身份或者用户信息来确定用户的接入访问权限。如果用户试图访问非授权资源或者使用不正确的方式访问已授权资源,接入控制拒绝这种尝试并且报告该事件。控制功能可能基于如下因素:接入控制信息库(存储节点实体的接入权限)、认证信息(该认证信息包括授予权限)、能力(P2P节点拥有或者表现的接入能力)、安全标签(根据安全策略授予用户的标签)、接入尝试次数、接入尝试路由、接入时长和尝试接入的物理位置。
(3)流量控制:确保P2P网络在传送数据和消息时不发生拥塞现象,主要针对中间节点资源受限而设置的。
由于Overlay网络架设在Underlay网络之上,组成Overlay网络的节点会受操作系统、网络协议等基础设施条件影响,因此,若Underlay层的安全防护措施较弱,则攻击者会从底层攻陷节点,从而进一步发起对Overlay层的攻击。
综上所述,现有P2P网络的安全防御机制存在如下技术问题:现有安全机制大都针对Overlay层上的安全,但是一个在Overlay层上可信的节点,在Underlay层可能安全性能很弱,如一个节点可能连基本的防病毒等都没有装,这些在底层存在安全缺陷的节点通过Overlay路径的传播将破坏Overlay层的整体安全。因此,节点在Underlay层安全机制的强弱将直接影响到Overlay网络的安全态势。
发明内容
本发明解决的技术问题是提供一种对等网络安全防御方法及系统,建立P2P网络的Overlay层与Underlay层融合的安全防御措施。
为解决上述技术问题,本发明提供了一种对等网络安全防御方法,包括:
对等网络(P2P Network)检测节点的底层(Underlay层)安全性能,根据检测结果对所述节点进行安全等级评估;
所述P2P网络根据所述节点的安全等级,按照覆盖层(Overlay层)安全策略决策是否允许所述节点加入Overlay层;
其中,所述节点的安全等级信息存储在对等网络节点安全等级证书中。
进一步地,所述P2P网络检测节点的Underlay层安全性能,包括:
所述P2P网络对申请加入Overlay层的节点的Underlay层安全性能进行检测;和/或
所述P2P网络定期对Overlay层中现有节点的Underlay层安全性能进行检测。
进一步地,所述Overlay层安全策略包括:
设置节点安全等级列表,允许所述节点安全等级列表中列出的安全等级的节点加入Overlay层;
或者,设置Overlay层安全等级阈值,允许高于所述Overlay层安全等级阈值的安全等级的节点加入Overlay层。
进一步地,所述检测结果,是指:所述P2P网络对所述节点的Underlay层安全要素进行检测后,形成的节点检测报告;
所述P2P网络根据所述检测结果对所述节点进行安全等级评估,是指:所述P2P网络根据所述节点检测报告,按照预先设置的Underlay层各安全要素在等级划分中所占的权重值,对检测的各安全要素进行加权计算,根据计算结果评估出所述节点的安全等级。
进一步地,对所述节点的如下Underlay层安全要素的一种或其任意组合进行检测:防火墙、安全防护软件、操作系统、安全漏洞、恶意插件。
进一步地,所述方法还包括:
预先设置并调整所述Underlay层各安全要素在等级划分中所占的权重值。
进一步地,所述节点安全等级证书中还包含以下信息:证书编号、节点ID、证书发布者信息。
本发明还提供了一种对等网络安全防御系统,所述系统包括:
检测子系统,用于检测节点的Underlay层安全性能;
评估子系统,用于根据所述检测子系统的检测结果对所述节点进行安全等级评估;
证书管理子系统,用于将所述节点的安全等级信息存储在节点安全等级证书中;
决策子系统,用于根据所述节点的安全等级证书中的安全等级信息,按照Overlay层安全策略决策是否允许所述节点加入Overlay层。
此外,所述检测子系统进一步用于,对申请加入Overlay层的节点的Underlay层安全性能进行检测;和/或定期对Overlay层中现有节点的Underlay层安全性能进行检测。
此外,所述决策子系统进一步用于,设置并调整所述Overlay层安全策略,所述Overlay层安全策略包括:
设置节点安全等级列表,允许所述节点安全等级列表中列出的安全等级的节点加入Overlay层;
或者,设置Overlay层安全等级阈值,允许高于所述Overlay层安全等级阈值的安全等级的节点加入Overlay层。
此外,所述检测子系统进一步用于,对所述节点的Underlay层的安全要素进行检测后,形成节点检测报告;
所述评估子系统进一步用于,根据所述节点检测报告,按照预先设置的Underlay层各安全要素在等级划分中所占的权重值,对检测的所述各安全要素进行加权计算,根据计算结果评估出所述节点的安全等级;
其中,所述安全要素包括以下安全要素的一种或其任意组合:防火墙、安全防护软件、操作系统、安全漏洞、恶意插件。
此外,所述系统还包括控制子系统,
所述控制子系统用于,预先设置并调整所述Underlay层各安全要素在等级划分中所占的权重值。
通过本发明,建立了一种P2P网络中Overlay层与Underlay层融合的安全防御体系,使Overlay层能够感知节点Underlay层的安全性能。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为依据本发明实施例的P2P对等网络安全防御系统的结构示意图;
图2为依据本发明实施例的对新节点进行检测和安全等级评估的流程示意图;
图3为依据本发明实施例的对Overlay网络现有节点进行定期检测的流程示意图。
具体实施方式
本发明的核心思想在于,建立一种P2P网络中Overlay层与Underlay层融合的安全防御机制,通过该机制构建统一的节点Underlay层安全等级评价体系,根据节点底层的安全性能划分安全等级,并以安全等级证书的形式使Overlay层可感知Underlay层的安全性能,进而保证P2P网络的安全。
基于上述思想,本发明提供一种P2P网络安全防御方法,具体采用如下技术方案:
P2P网络检测节点的Underlay层安全性能,根据检测结果对所述节点进行安全等级评估;
所述P2P网络根据所述节点的安全等级,按照Overlay层安全策略决策是否允许所述节点加入Overlay网络;
其中,所述节点的安全等级信息存储在对等网络节点安全等级证书中。
其中,所述P2P网络检测节点的Underlay层安全性能,包括:
所述P2P网络对申请加入Overlay网络的节点的Underlay层安全性能进行检测;和/或
所述P2P网络定期对Overlay网络的现有节点的Underlay层安全性能进行检测。
P2P网络按照Overlay层安全策略,根据节点安全等级高低控制节点加入Overlay,即只允许满足Overlay安全策略的节点加入并参与存储和路由;不满足Overlay安全策略的节点不能加入,但可以接入Overlay网络获取相应等级的服务。
其中,所述Overlay层安全策略可以包括:设置节点安全等级列表,允许所述节点安全等级列表中列出的安全等级的节点加入Overlay层;
或者,设置Overlay层安全等级阈值,允许高于所述Overlay层安全等级阈值的安全等级的节点加入Overlay层。
进一步地,所述P2P网络对所述节点的Underlay层的安全要素进行检测后,得出的所述检测结果,是指:形成节点检测报告;
所述P2P网络根据检测结果对所述节点进行安全等级评估,是指:所述P2P网络根据所述节点检测报告,按照预先设置的Underlay层各安全要素在等级划分中所占的权重值,对检测的各安全要素进行加权计算,根据计算结果对所述节点划分安全等级。
P2P网络综合评估节点Underlay层安全要素,所述安全要素包括但不限于:防火墙、防病毒软件、操作系统、安全漏洞、恶意插件等,并根据Overlay层具体应用场景调整Underlay层各安全要素在等级划分中所占权重,对节点划分安全等级。
进一步地,所述方法还包括:所述P2P网络根据Overlay层的不同具体应用,预先设置并调整所述Underlay层安全要素在等级划分中所占的权重值;并且,对应Overlay层的不同具体应用,所设置的Underlay层安全要素在等级划分中所占的权重值也不同。
进一步地,所述P2P网络评估出所述节点的安全等级后,根据节点ID及节点安全等级等信息,生成节点安全等级证书,节点安全等级证书是节点Underlay安全性能的凭证。节点安全等级证书的内容至少包括节点ID、节点安全等级,还可以包括:证书编号、证书发布者信息(如证书发布者的唯一标识符、证书发布者的签名值)等。
相应地,本发明还提供了一种对等网络安全防御系统,所述系统主要包括:
检测子系统,用于检测节点的Underlay层安全性能;
评估子系统,用于根据所述检测子系统的检测结果对所述节点进行安全等级评估;
证书管理子系统,用于将所述节点的安全等级信息存储在节点安全等级证书中;
决策子系统,用于根据所述节点的安全等级证书中的安全等级信息,按照Overlay层安全策略决策是否允许所述节点加入Overlay层。
此外,所述检测子系统进一步用于,对申请加入Overlay层的节点的Underlay层安全性能进行检测;和/或定期对Overlay层中现有节点的Underlay层安全性能进行检测。
此外,所述决策子系统进一步用于,设置并调整所述Overlay层安全策略,所述Overlay层安全策略包括:设置节点安全等级列表,允许所述节点安全等级列表中列出的安全等级的节点加入Overlay层;或者,设置Overlay层安全等级阈值,允许高于所述Overlay层安全等级阈值的安全等级的节点加入Overlay层。
此外,所述检测子系统进一步用于,对所述节点的Underlay层的安全要素进行检测后,形成节点检测报告;
所述评估子系统进一步用于,根据所述节点检测报告,按照预先设置的Underlay层各安全要素在等级划分中所占的权重值,对检测的所述各安全要素进行加权计算,根据计算结果评估出所述节点的安全等级;
其中,所述安全要素包括以下安全要素的一种或其任意组合:防火墙、安全防护软件、操作系统、安全漏洞、恶意插件。
此外,所述系统还包括控制子系统,所述控制子系统用于,预先设置并调整所述Underlay层各安全要素在等级划分中所占的权重值。
为了便于阐述本发明,以下将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1示出了本发明实施例的一种P2P网络安全防御系统,实现对节点Underlay层的安全性能进行安全评级评估,安全等级证书的分发、管理、撤销,以及节点加入Overlay网络的策略控制等。
如图1所示,该系统包括主要包括:检测评估模块、认证模块、策略控制模块。
其中,检测评估模块,主要负责检测新加入节点的Underlay层安全性能,以及Overlay现有节点的定期安全检测,并根据Overlay具体应用场景对节点Underlay层安全性能进行安全等级评估,并将评级结果发送给认证模块;
认证模块,负责根据节点安全等级信息,生成并颁发安全等级证书,以及节点退出Overlay网络时安全等级证书的撤销,节点安全等级发生变化时对安全等级证书进行修改/更新;
策略控制模块,负责根据不同应用场景Overlay网络的安全需求,制度Overlay层安全策略,决定允许哪些等级的节点可以加入Overlay网络参与存储、路由,哪些等级的节点不能加入Overlay网络,对于不能加入Overlay网络的节点,可以接入Overlay网络,获取相应等级的服务。
参见图1,本实施例中,检测评估模块分为四个子模块,分别是检测子模块、评估子模块、控制子模块和漏洞库,其中:
所述检测子模块,负责对申请加入Overlay网络的节点进行安全检测,包括是否安装必要的防护软件以及节点漏洞扫描(操作系统、软件漏洞等),形成节点检测报告发送给评估子模块;此外,检测子模块还负责对Overlay现有节点进行定期安全检测,包括节点漏洞扫描以及防护软件、操作系统等是否升级,形成节点检测报告发送给评估子模块;
所述评估子模块,负责对收到的节点检测报告进行综合分析,对各个因素通过加权计算获得节点Underlay等级(此处各个安全要素的权重根据不同应用场景有所区别),并将节点等级信息形成节点安全等级报告,发送给认证模块;
所述控制子模块,负责控制漏洞库的实时更新,保证漏洞库的完备性;控制评估子模块的分级策略,即根据Overlay网络的不同应用场景调节节点Underlay层各安全要素在等级划分中所占权重。
认证模块进一步包括证书管理子模块和证书库,其中,证书管理模块负责根据节点安全等级信息,生成并颁发节点安全等级证书,同时负责该证书的更新、撤销、查询等管理;证书库则用于保存节点的安全等级证书。
策略控制模块进一步包括评价子模块和决策子模块,其中,评价子模块负责根据应用场景对节点申请加入的Overlay网络安全需求进行评估;决策子模块负责根据Overlay网络的安全需求决定允许哪些等级的节点加入该Overlay网络。
参见图1,结合上述实施例的安全防御系统,本发明实施例提供的P2P对等网络安全防御方法具体描述如下:
步骤101:检测评估模块获得新节点主动报告的已安装的防护软件种类、版本号,操作系统类型、版本号等基本信息(对Overlay网络现有节点定期检测时则不需要此步骤);
步骤102:检测评估模块对节点进行全面的安全漏洞扫描;
步骤103:检测评估模块将检测结果与漏洞库进行匹配,确定节点Underlay存在的安全漏洞;
步骤104:检测评估模块将匹配结果发送至评估子模块进行安全等级划分;
步骤105:控制子模块根据Overlay网络具体应用场景,控制各安全要素所占权重,协助评估子模块完成节点安全等级划分;
步骤106:控制子模块定期对漏洞库进行更新;
步骤107:评估子模块将节点安全等级信息发送给认证模块进行审核;
步骤108:认证模块中的证书管理子模块审核节点身份和安全等级信息,若未通过审核返回步骤102重新进行扫描;若通过审核则向节点发放安全等级证书;
此处,若节点未通过审核,即节点身份和安全等级信息不匹配,则怀疑在检测评估过程中相关信息被恶意篡改,因此需重新扫描。
步骤109:将安全等级证书保存在证书库中;
步骤110:将安全等级证书发送给策略决策模块进行判决;
步骤111:策略决策模块的评价子模块根据Overlay具体应用场景,调整允许加入Overlay网络的节点等级,并发送给决策子模块;
步骤112:策略决策模块的决策子模块判决是否允许节点加入Overlay网络,并将判决结果通知节点。
图2为依据本发明实施例的新节点申请加入Overlay网络时的检测分级以及证书分发流程,该流程具体描述如下:
1、检测评估过程
步骤201:主动报告,即新节点连接到安装有检测评估模块的服务器后,将自己已安装的防护软件种类、版本号,操作系统类型、版本号以消息形式主动报告给检测子模块,检测子模块接收到后,形成节点描述文件;
其中,形成的节点描述文件中包含新节点报告的防护软件种类、版本号,操作系统类型、版本号等信息。
步骤202:被动扫描,检测子模块收到新节点的主动报告消息后,开始对新节点进行下一步更全面的安全漏洞扫描;
步骤203:检测子模块将检测结果与漏洞库进行匹配,确定节点Underlay存在的安全漏洞,形成漏洞检测报告;
步骤204:检测子模块将检测结果(包括节点描述文件和漏洞检测报告)发送给评估子模块;
步骤205:评估子模块确认收到检测结果后,根据Overlay应用场景为节点划分安全等级;
步骤206(可选步骤):控制子模块调整各安全要素所占权重后,发送给评估子模块;
其中,该步骤206与步骤205之间并无一定的先后顺序。该步骤206可以不作为每次评估的必须过程,并且与步骤205是独立的过程,控制子模块可以根据具体应用为各安全要素(包括但不限于:防火墙、安全防护软件、操作系统,安全漏洞等)配置初始权重,并在需要时调整各安全要素所占权重。
步骤207:评估子模块将节点安全等级信息发送给证书管理子模块进行审核;
步骤208:证书管理子模块确认收到节点安全等级信息;
2、认证过程
步骤209:证书管理子模块审核节点身份和安全等级信息,具体分为两种情况:
(1)未通过审核,则返回步骤202重新评定安全等级;
(2)通过审核,则生成并颁发安全等级证书;
步骤210:本实施例中,假设审核通过,则在证书库中保存该证书;
步骤211:证书管理子模块将节点安全等级证书发送给决策子模块;
3、策略决策过程
步骤212,评价子模块根据Overlay网络的应用场景,确定该Overlay网络的安全等级阈值N,并通知决策子模块;
步骤213,决策子模块根据收到的节点安全等级证书,以及该Overlay网络的安全等级阈值N,对是否允许该节点加入Overlay网络进行决策控制,并向该节点返回决策信息,具体分为如下两种情况:
(1)该节点安全等级大于等于Overlay层的安全等级阈值N,则该节点以普通的bootstrap(引导)过程加入该Overlay,并获得相应的负载和路由表;
(2)该节点安全等级小于Overlay层的安全等级阈值N,则该节点不能加入该Overlay,但仍可通过Super node(超级节点)接入Overlay获取相应等级的服务。
图3为依据本发明实施例的对Overlay现有节点进行定期检测的流程,该流程主要包括如下步骤:
步骤301:检测子模块定期对Overlay节点进行漏洞扫描;
步骤302:检测子模块将检测结果与漏洞库进行匹配,确定节点Underlay存在的安全漏洞,形成漏洞检测报告;
步骤303:检测子模块将检测结果即漏洞检测报告发送给评估子模块;
步骤304:评估子模块确认收到检测结果后,根据Overlay应用场景,综合分析检测结果,为节点划分安全等级;
步骤305:(可选步骤):控制子模块调整各安全要素所占权重后,发送给评估子模块;
其中,该步骤305与步骤304是独立的过程,两者之间并无一定的先后顺序,控制子模块可以根据具体应用为各安全要素配置初始权重,并在需要时调整各安全要素所占权重。
步骤306:评估子模块将节点安全等级信息发送给证书管理子模块进行审核;
步骤307:证书管理子模块确认收到节点安全等级信息;
步骤308:认证模块从证书库调用节点安全等级证书,提供给证书管理子模块;
步骤309:证书管理子模块审核节点身份和安全等级信息,将本次评定的安全等级与原证书中的安全等级进行对比,具体分为两种情况:
(1)节点安全等级保持不变,则标记本次检测评估时间,结束本次定期检测;
(2)节点安全等级改变,修改证书中的安全等级信息;
步骤310:本实施例中假设节点安全等级改变,则证书管理子模块对证书库中保存的证书进行更新;
步骤311:证书管理子模块将节点安全等级证书发送给决策子模块;
步骤312:评价子模块根据Overlay网络的应用场景,确定该Overlay网络的安全等级阈值N,并通知决策子模块;
步骤313,决策子模块根据收到的节点安全等级证书,以及该Overlay网络的安全等级阈值N,对是否允许该节点加入Overlay网络进行决策控制,并向该节点返回决策信息,具体分为如下两种情况:
(1)节点安全等级大于等于Overlay层的安全等级阈值N,则节点不做改变;
(2)节点安全等级小于Overlay层的安全等级阈值N,则节点以正常方式退出该Overlay,但仍可通过Super node接入Overlay获取相应等级的服务。
以上仅为本发明的优选实施案例而已,并不用于限制本发明,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
Claims (12)
1.一种对等网络安全防御方法,其特征在于,包括:
对等网络(P2P Network)检测节点的底层(Underlay层)安全性能,根据检测结果对所述节点进行安全等级评估;
所述P2P网络根据所述节点的安全等级,按照覆盖层(Overlay层)安全策略决策是否允许所述节点加入Overlay层;
其中,所述节点的安全等级信息存储在对等网络节点安全等级证书中。
2.如权利要求1所述的方法,其特征在于,所述P2P网络检测节点的Underlay层安全性能,包括:
所述P2P网络对申请加入Overlay层的节点的Underlay层安全性能进行检测;和/或
所述P2P网络定期对Overlay层中现有节点的Underlay层安全性能进行检测。
3.如权利要求1所述的方法,其特征在于,所述Overlay层安全策略包括:
设置节点安全等级列表,允许所述节点安全等级列表中列出的安全等级的节点加入Overlay层;
或者,设置Overlay层安全等级阈值,允许高于所述Overlay层安全等级阈值的安全等级的节点加入Overlay层。
4.如权利要求1、2或3所述的方法,其特征在于,
所述检测结果,是指:所述P2P网络对所述节点的Underlay层安全要素进行检测后,形成的节点检测报告;
所述P2P网络根据所述检测结果对所述节点进行安全等级评估,是指:所述P2P网络根据所述节点检测报告,按照预先设置的Underlay层各安全要素在等级划分中所占的权重值,对检测的各安全要素进行加权计算,根据计算结果评估出所述节点的安全等级。
5.如权利要求4所述的方法,其特征在于,
对所述节点的如下Underlay层安全要素的一种或其任意组合进行检测:防火墙、安全防护软件、操作系统、安全漏洞、恶意插件。
6.如权利要求4所述的方法,其特征在于,所述方法还包括:
预先设置并调整所述Underlay层各安全要素在等级划分中所占的权重值。
7.如权利要求1所述的方法,其特征在于,
所述节点安全等级证书中还包含以下信息:证书编号、节点ID、证书发布者信息。
8.一种对等网络安全防御系统,其特征在于,所述系统包括:
检测子系统,用于检测节点的Underlay层安全性能;
评估子系统,用于根据所述检测子系统的检测结果对所述节点进行安全等级评估;
证书管理子系统,用于将所述节点的安全等级信息存储在节点安全等级证书中;
决策子系统,用于根据所述节点的安全等级证书中的安全等级信息,按照Overlay层安全策略决策是否允许所述节点加入Overlay层。
9.如权利要求8所述的系统,其特征在于,
所述检测子系统进一步用于,对申请加入Overlay层的节点的Underlay层安全性能进行检测;和/或定期对Overlay层中现有节点的Underlay层安全性能进行检测。
10.如权利要求8所述的系统,其特征在于,
所述决策子系统进一步用于,设置并调整所述Overlay层安全策略,所述Overlay层安全策略包括:
设置节点安全等级列表,允许所述节点安全等级列表中列出的安全等级的节点加入Overlay层;
或者,设置Overlay层安全等级阈值,允许高于所述Overlay层安全等级阈值的安全等级的节点加入Overlay层。
11.如权利要求8、9或10所述的系统,其特征在于,
所述检测子系统进一步用于,对所述节点的Underlay层的安全要素进行检测后,形成节点检测报告;
所述评估子系统进一步用于,根据所述节点检测报告,按照预先设置的Underlay层各安全要素在等级划分中所占的权重值,对检测的所述各安全要素进行加权计算,根据计算结果评估出所述节点的安全等级;
其中,所述安全要素包括以下安全要素的一种或其任意组合:防火墙、安全防护软件、操作系统、安全漏洞、恶意插件。
12.如权利要求11所述的系统,其特征在于,所述系统还包括控制子系统,
所述控制子系统用于,预先设置并调整所述Underlay层各安全要素在等级划分中所占的权重值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010513874.9A CN102457476B (zh) | 2010-10-15 | 2010-10-15 | 对等网络安全防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010513874.9A CN102457476B (zh) | 2010-10-15 | 2010-10-15 | 对等网络安全防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102457476A true CN102457476A (zh) | 2012-05-16 |
| CN102457476B CN102457476B (zh) | 2015-04-01 |
Family
ID=46040144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010513874.9A Active CN102457476B (zh) | 2010-10-15 | 2010-10-15 | 对等网络安全防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102457476B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933361A (zh) * | 2016-07-13 | 2016-09-07 | 何钟柱 | 基于可信计算的大数据安全防护云系统 |
| CN106131489A (zh) * | 2016-07-13 | 2016-11-16 | 杨林 | 一种多源数据电厂巡检管理系统 |
| CN113037758A (zh) * | 2021-03-12 | 2021-06-25 | 中国建设银行股份有限公司 | 安全漏洞扫描方法、装置以及计算机可读介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1557984A1 (en) * | 2004-01-22 | 2005-07-27 | Lucent Technologies Inc. | Network architecture and related methods for surviving denial of service attacks |
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
| CN1921389A (zh) * | 2006-08-15 | 2007-02-28 | 杭州华为三康技术有限公司 | 客户端安全检测方法和权限控制系统 |
| CN101146305A (zh) * | 2006-09-13 | 2008-03-19 | 中兴通讯股份有限公司 | 安全策略的配置方法 |
-
2010
- 2010-10-15 CN CN201010513874.9A patent/CN102457476B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1557984A1 (en) * | 2004-01-22 | 2005-07-27 | Lucent Technologies Inc. | Network architecture and related methods for surviving denial of service attacks |
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
| CN1921389A (zh) * | 2006-08-15 | 2007-02-28 | 杭州华为三康技术有限公司 | 客户端安全检测方法和权限控制系统 |
| CN101146305A (zh) * | 2006-09-13 | 2008-03-19 | 中兴通讯股份有限公司 | 安全策略的配置方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933361A (zh) * | 2016-07-13 | 2016-09-07 | 何钟柱 | 基于可信计算的大数据安全防护云系统 |
| CN106131489A (zh) * | 2016-07-13 | 2016-11-16 | 杨林 | 一种多源数据电厂巡检管理系统 |
| CN105933361B (zh) * | 2016-07-13 | 2017-02-22 | 广西电网有限责任公司 | 基于可信计算的大数据安全防护云系统 |
| CN106131489B (zh) * | 2016-07-13 | 2018-12-28 | 江苏汇智达信息科技有限公司 | 一种多源数据电厂巡检管理系统 |
| CN113037758A (zh) * | 2021-03-12 | 2021-06-25 | 中国建设银行股份有限公司 | 安全漏洞扫描方法、装置以及计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102457476B (zh) | 2015-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210105295A1 (en) | Trust topology selection for distributed transaction processing in computing environments | |
| Grover | Security of Vehicular Ad Hoc Networks using blockchain: A comprehensive review | |
| VivinSandar et al. | Economic denial of sustainability (edos) in cloud services using http and xml based ddos attacks | |
| CN109698819B (zh) | 一种网络中的威胁处置管理方法及系统 | |
| Almaiah | A new scheme for detecting malicious attacks in wireless sensor networks based on blockchain technology | |
| EP2545680B1 (en) | Behavior-based security system | |
| Kolokotronis et al. | On blockchain architectures for trust-based collaborative intrusion detection | |
| US20130031625A1 (en) | Cyber threat prior prediction apparatus and method | |
| US10798115B2 (en) | Apparatus and method for detecting malicious device based on swarm intelligence | |
| CN106899561B (zh) | 一种基于acl的tnc权限控制方法和系统 | |
| Ma et al. | A survey on trust management for intelligent transportation system | |
| CN106027463A (zh) | 一种数据传输的方法 | |
| Chanana et al. | Blockchain based secure model for sensor data in wireless sensor network | |
| CN114553540A (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| CN102457476B (zh) | 对等网络安全防御方法及系统 | |
| Raponi et al. | Beyond SolarWinds: The Systemic Risks of Critical Infrastructures, State of Play, Future Directions. | |
| Ahmed et al. | Security & privacy in software defined networks, issues, challenges and cost of developed solutions: a systematic literature review | |
| Li et al. | Towards securing challenge-based collaborative intrusion detection networks via message verification | |
| Pérez et al. | Building a reputation-based bootstrapping mechanism for newcomers in collaborative alert systems | |
| Shi et al. | Continuous trust evaluation of power equipment and users based on risk measurement | |
| Linker et al. | ADEM: An authentic digital emblem | |
| Ramamohanarao et al. | The curse of ease of access to the internet | |
| Li et al. | Collaborative intrusion detection in the era of IoT: Recent advances and challenges | |
| D’Antonio et al. | Increasing security and protection through infrastructure resilience: the INSPIRE project | |
| Chikhaoui et al. | Towards a privacy preserving and flexible scheme for assessing the credibility and the accuracy of safety messages exchanged in VANETs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 518029 room 535, building 518-520, two Bagua Road, Shenzhen, Guangdong, Futian District Patentee after: SHENZHEN I-TECH ENGINEERING CONSULTING AND SUPERVISION CO.,LTD. Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee before: ZTE Corp. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 518000 room 518-520, 5th floor, building 535, baguaer Road, Futian District, Shenzhen City, Guangdong Province Patentee after: Shenzhen Aitaike Engineering Consulting Co.,Ltd. Address before: 518029, Room 518-520, Building 535, Bagua Second Road, Futian District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN I-TECH ENGINEERING CONSULTING AND SUPERVISION CO.,LTD. |