CN102487397B - 基于节点底层安全等级的数据存储和路由方法、及节点 - Google Patents

基于节点底层安全等级的数据存储和路由方法、及节点 Download PDF

Info

Publication number
CN102487397B
CN102487397B CN201010569957.XA CN201010569957A CN102487397B CN 102487397 B CN102487397 B CN 102487397B CN 201010569957 A CN201010569957 A CN 201010569957A CN 102487397 B CN102487397 B CN 102487397B
Authority
CN
China
Prior art keywords
node
data
underlying security
security grade
grade
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201010569957.XA
Other languages
English (en)
Other versions
CN102487397A (zh
Inventor
田培金
王枚
霍平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ayotte (Shenyang) Technology Co., Ltd.
Original Assignee
SHANDONG WISDOM LIFE DATA SYSTEMS Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANDONG WISDOM LIFE DATA SYSTEMS Co Ltd filed Critical SHANDONG WISDOM LIFE DATA SYSTEMS Co Ltd
Priority to CN201010569957.XA priority Critical patent/CN102487397B/zh
Publication of CN102487397A publication Critical patent/CN102487397A/zh
Application granted granted Critical
Publication of CN102487397B publication Critical patent/CN102487397B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明公开了一种基于节点底层安全等级的P2P网络中数据存储和路由方法及节点。该方法包括:确定数据的重要性等级与节点底层安全等级的对应关系,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上;对数据进行查找时,在与存储数据的节点具有相同节点底层安全等级的节点中查找数据。

Description

基于节点底层安全等级的数据存储和路由方法、及节点
技术领域
本发明涉及计算机领域,特别是涉及一种点对点(Peer to Peer,简称为P2P)网络中基于节点底层安全等级的P2P网络中数据存储和路由方法及节点。
背景技术
在相关技术中,P2P网络的安全问题已经受到越来越多的重视,但对于P2P上层(Overlay)网络安全问题的研究大多局限于Overlay层本身,即主要研究由于Overlay自身的行为特点所造成的多种安全威胁及防御措施。由于Overlay网络架设在底层(Underlay)网络之上,组成Overlay网络的节点必然受操作系统、网络协议等基础设施条件的影响。也就是说,一个在Overlay层上可信的节点,但是在Underlay层可能安全性能很弱,使得攻击者容易从底层攻陷节点,从而进一步发起对Overlay层的攻击。可见,节点在Underlay层安全机制的强弱将直接影响到Overlay网络的安全态势。
目前,现有技术中已经提出了Overlay与Underlay融合的安全防御机制。该机制构建了统一的节点Underlay层安全等级评价体系,通过综合评估节点底层安全性能,例如如防火墙、防病毒软件、操作系统等,结合overlay层具体应用场景调整各安全要素在等级划分中所占权重,对节点底层划分安全等级。
在上述技术中,为了使overlay可感知底层安全强度,P2P网络根据节点安全等级,生成节点安全等级证书,节点安全等级证书是节点underlay安全强度的凭证。P2P网络根据节点安全等级高低,控制节点加入overlay,即只允许满足overlay安全等级门限的节点加入并参与存储和路由;不满足overlay安全等级门限的节点不能加入,但可以接入overlay网络获取相应等级的服务。但是,现有技术并没有考虑上述技术方案如何在P2P网络的Overlay上实现。
发明内容
本发明提供一种基于节点底层安全等级的P2P网络中数据存储和路由方法及节点,以解决现有技术中Overlay与Underlay融合的安全防御机制方案如何在P2P网络的Overlay上实现的问题。
本发明提供一种基于节点底层安全等级的P2P网络中数据存储和路由方法,包括:
确定数据的重要性等级与节点底层安全等级的对应关系,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上;
对数据进行查找时,在与存储数据的节点具有相同节点底层安全等级的节点中查找数据。
本发明还提供了一种基于节点底层安全等级的P2P网络中的节点,包括:
数据存储模块,用于确定数据的重要性等级与节点底层安全等级的对应关系,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上;
数据查找模块,用于在对数据进行查找时,在与存储数据的节点具有相同节点底层安全等级的节点中进行查找。
本发明有益效果如下:
通过划分虚拟安全域以及增加域内路由表和域间路由表,解决了现有技术中Overlay与Underlay融合的安全防御机制方案如何在P2P网络的Overlay上实现的问题,本发明实施例的技术方案具有结构简单、维护开销低的特点。
附图说明
图1是本发明实施例的基于节点底层安全等级的P2P网络中数据存储和路由方法的流程图;
图2是本发明实施例的基于节点底层安全等级的P2P网络中的节点加入的示意图;
图3是本发明实施例的基于节点底层安全等级的P2P网络中的节点加入的流程图;
图4是本发明实施例的基于节点底层安全等级的P2P网络中的节点的结构示意图。
具体实施方式
为了解决现有技术中Overlay与Underlay融合的安全防御机制方案如何在P2P网络的Overlay上实现的问题,本发明提供了一种基于节点底层安全等级的P2P网络中数据存储和路由方法及节点,本发明基于P2P网络中underlay安全等级划分机制,提供了一种overlay与underlay融合的安全等级划分机制的具体实现,在尽量小的改变原P2P网络存储、路由机制的基础上提高P2P网络整体安全。以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
方法实施例
根据本发明的实施例,提供了一种基于节点底层安全等级的P2P网络中数据存储和路由方法,图1是本发明实施例的基于节点底层安全等级的P2P网络中数据存储和路由方法的流程图,如图1所示,根据本发明实施例的基于节点底层安全等级的P2P网络中数据存储和路由方法包括如下处理:
步骤101,确定数据的重要性等级与节点底层安全等级的对应关系,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上;
在P2P overlay网络中,假定每个节点能力相同,由于在具体应用中,P2P网络中的数据根据其用途不同重要性也各异,所以P2P网络中的数据也需要按重要性划分等级,具体的等级划分策略因应用需求各异。
P2P网络中的节点有一个重要作用就是进行数据分布式存储,从而可以方便快捷的提供服务。所以在本发明实施例中,针对节点underlay安全等级的P2P网络中的数据存储也做了特别设计,即步骤101的处理:确定数据的重要性等级与节点底层安全等级的对应关系,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上。
优选地,在本发明实施例中,可以将具有相同节点底层安全等级的节点设置在一个虚拟安全域内,即,虚拟安全域包括具有相同节点底层安全等级的节点,随后,通过域内路由表保存本虚拟安全域中所有节点的路由信息;此外,还要在传统P2P路由表上添加节点的节点底层安全等级项目,组成域间路由表。
具体地,本发明实施例提出了虚拟安全域的概念:P2P网络根据节点underlay安全等级高低,在逻辑上将现有overlay节点划分成多个虚拟安全域,每个虚拟安全域中的节点underlay安全等级相同,节点在数据存储和路由中地位也相同。
节点在加入overlay时,已经根据相应的安全等级划分机制对节点underlay划分了安全等级,假定将节点分为5个等级,从1级到5级安全性逐渐增加。因此将同一等级的节点逻辑上划分为一个虚拟安全域,不同虚拟安全域内可根据具体应用采用不同的P2P路由算法,虚拟安全域也可采用与域间路由不同的P2P路由算法,以减小路由和维护开销。
在现有技术中,分布式哈希表(Distributed Hash Table,简称为DHT)路由表既承担路由维护,又用来进行数据存储及查找,这样不仅增大了路由维护开销,还带来了安全隐患。本发明实施例对现有技术中的DHT路由表进行了修改,并增加了一个由同安全等级节点构成的域内路由表,以减少维护开销、提高网络安全性。
具体地,在虚拟安全域中,每个节点维护两个路由表,一个是增加了节点underlay安全等级项的传统P2P路由表,在本发明实施例中,称上述路由表为域间路由表;另一个是虚拟安全域路由表,即域内路由表。域内路由表保存的是本虚拟安全域中节点的路由信息,即同安全等级的节点路由信息。
节点维护的两个路由表,除了内容不同外,其各自功能也不同。域内路由表主要用来进行数据存储以及域内数据的快速查找,即域内路由表主要功能是“存”。需要说明的是,在实际应用中,也可以将两张表可以合二为一,为了便于理解,在本发明实施例中将上述两个表分开描述。表1为域内路由表示例:
表1
节点ID IP地址:端口号 节点安全等级
0x0123 59.64.132.8:2000 3
0x0400 59.64.132.0:2000 3
0x0433 59.64.132.2:2000 3
………… ………… …………
从表1可以看出,为了便于数据定位和查找,在本发明实施例中,将节点ID按从小到大的顺序排列。节点ID就是P2P网络中通过对节点IP地址用一致性哈希函数进行哈希,得到的节点唯一标识符。
综上,在步骤101中,需要根据重要性等级、对应关系和域内路由表将关键字存储在具有相应节点底层安全等级的虚拟安全域中的节点上;也就是说,本发明技术方案根据节点的安全等级进行数据存储。通过对数据信息进行哈希得到关键字,再结合数据的重要性等级、以及对应关系,将数据存储到对应安全等级的节点上,即高重要性数据存储在高安全等级节点上,低重要性数据存储在低安全等级节点上。
在步骤101中,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上包括如下处理:
1、按照分布式哈希表DHT算法对目标节点进行定位,根据数据的重要性等级以及对应关系,判断目标节点的节点底层安全等级与数据的重要性等级是否对应;
2、在判断为不对应的情况下,选择下一个与数据的关键字最接近的节点作为目标节点,再对该目标节点的节点底层安全等级与数据的重要性等级是否对应进行判断,直到确定目标节点的节点底层安全等级与数据的重要性等级相对应为止;
3、在判断为对应的情况下,将数据的关键字存储在具有相应节点底层安全等级的目标节点上。
由于P2P网络除了数据存储,更重要的是如何“用”这些数据,这就需要路由查找,即步骤102所描述的处理。
步骤102,对数据进行查找时,在与存储数据的节点具有相同节点底层安全等级的节点中查找数据;
在步骤102中,在具有相同节点底层安全等级的节点中没有查找到数据的情况下,以预定原则在与存储数据的节点具有不同节点底层安全等级的节点中查找数据。
在步骤102中,优选地,在对数据进行查找时,通过域内路由表在本虚拟安全域中查找数据,在本虚拟安全域中没有查找到数据的情况下,以预定原则通过域间路由表在其他虚拟安全域中查找数据;
上述域间路由表保存有节点的节点底层安全等级和路由信息,域间路由表主要用来进行不同等级节点间的路由查找,维护不同安全等级节点间的联系,即域间路由表的主要功能是“取”,域间路由表的具体形式根据不同DHT算法有所不同。
在步骤102中,上述预定原则为:节点底层安全等级高的节点直接利用节点底层安全等级低的节点进行路由和/或获取节点底层安全等级低的节点所维护的数据;节点底层安全等级低的节点需要经过鉴权后,在一定的权限内,通过节点底层安全等级高的节点进行路由和/或获取节点底层安全等级高的节点所维护的数据。
也就是说,路由查找原则是,优先在虚拟安全域内查找,若查找对象不在本域,再利用域间路由表进行查找。不同虚拟安全域间路由查找原则是,高安全等级节点可直接利用低安全等级节点完成路由并可直接获取低安全等级节点维护的数据;低安全等级节点则需要通过一定的权限认证,才能通过高安全等级节点路由或获取数据。
在本发明实施例中,对P2P网络的新节点加入、节点更新、节点离开流程有所修改。下面将进行详细的说明。
在有新节点加入P2P网络或加入新虚拟安全域的情况下,进行如下处理:
1、根据分布式哈希表DHT算法选取原则、以及节点底层安全等级,通过引导节点(BOOTSTRAP)确定邻近节点,即BOOTSTRAP过程,本发明实施例对传统的BOOTSTRAP过程进行了修改,新节点通过BOOTSTRAP节点定位邻近节点时,不仅要考虑DHT算法中物理距离、路由跳数等因素,还需要考虑节点安全等级,邻近节点必须和新节点同安全等级。即邻居节点的选择必须是符合DHT算法选取原则和同安全等级的节点的交集;
2、获取路由表:从邻近节点上复制域内路由表和域间路由表;
3、对获取的域内路由表和域间路由表进行更新,并将路由更新消息广播至P2P网络中的所有节点。具体地,新节点更新自己的路由表并利用分级广播机制将路由更新消息广播至P2P网络中所有节点。该广播消息中应包含:a、新节点的Node ID;b、新节点的安全等级值;c、IP地址等信息。可根据具体应用场景的节点加入/退出频繁程度,分别选择域间路由表和域内路由表的更新方式(实时更新或定期更新),以减少维护开销。
节点退出P2P overlay可以分为节点正常退出与异常退出两种情况。在考虑了underlay安全等级的P2P网络中,节点退出过程也有所不同。主要区别在于:节点退出所引起的数据迁移只在虚拟安全域中进行,并且节点正常退出的报告和节点异常退出的发现都在虚拟安全域中完成。
具体地,在有节点正常退出P2P网络或退出原虚拟安全域的情况下,包括如下处理:
1、在本虚拟安全域内对正常退出节点的数据进行搬移;例如,正常退出节点通知其域内后向节点,域内后向节点恢复自身备份的正常退出节点的数据,并根据域内路由表将该数据备份在自己的域内后向节点上。
2、正常退出节点向本虚拟安全域中所有节点发送离开消息;
3、所有接收到该离开消息的节点在自身保存的域内路由表中将与正常退出节点相关的路由信息删除;
4、本虚拟安全域中的所有节点通过定期更新的方式更新自身存储的域间路由表。
在有节点异常退出P2P网络或退出原虚拟安全域的情况下,包括如下处理:
1、在虚拟安全域中负责维护该异常退出节点的节点发现该异常退出节点离开P2P网络或退出本虚拟安全域后,在本虚拟安全域内对异常退出节点的数据进行搬移,并向本虚拟安全域中所有节点发送异常退出节点的离开消息;例如,异常退出节点的域内后向节点检测到异常退出节点异常退出,恢复自身备份的异常退出节点的数据,并根据域内路由表将该数据备份在自己的域内后向节点上,随后,异常退出节点的域内后向节点向本虚拟安全域中所有节点发送异常退出节点的离开消息;
2、所有接收到该离开消息的节点在自身保存的域内路由表中将与异常退出节点相关的路由信息删除;
3、本虚拟安全域中的所有节点通过定期更新的方式更新自身存储的域间路由表。
在本发明实施例中,节点的更新不仅指节点加入和退出时路由表的更新,还包括节点安全等级的更新。P2P网络中的节点,尤其是对于在线时间长的节点,underlay的安全性能可能会有所变化,所以节点安全等级需要定期检测评估,重新定级,具体包括如下处理:1、P2P网络中的节点定期向系统发送检测评级请求,请求检测自身的节点底层安全等级是否发生变化;2、在自身的节点底层安全等级未发生变化的情况下,记录本次检测时间;3、在自身的节点底层安全等级发生变化的情况下,记录本次检测时间,正常退出原虚拟安全域,并加入相应的新虚拟安全域,即,对应安全等级的新虚拟安全域。
下面将以结构化P2P网络中的分布式查找(CHORD)算法为例,对虚拟安全域方案中数据存储和路由查找的具体实施方式进行说明。
一、数据存储
假设P2P网络将节点underlay划分为5个安全等级,从1级到5级安全性依次增强。为了对应这5个安全等级,本发明实施例将数据按重要性也划分为5个等级,核心数据如系统数据、用户信息划分为高等级,而一些对安全性要求不高的公共数据可划分为低等级。
数据按CHORD算法在P2P网络存储时,首先通过哈希将数据信息映射为关键字,即key值。由于在CHORD算法中,每个key值都保存在它的后向节点中,即Node ID大于该key值的第一个节点。在本实施例中,对存储key值的后向节点增加了一个约束条件,即该后向节点必须是和数据同等级的节点。
图2是本发明实施例的P2P网络中的节点加入的示意图,下面将结合图2对本实施例中数据的存储进行具体说明:
重要性为3的数据通过哈希计算,首先定位到Node ID大于key值的第一个节点,但是该节点安全等级为4,不符合要求,则重新定位后向节点;第二次定位到Node ID大于key值,且未被定位过的第一个节点,即安全等级为1的节点,同样不符合要求;重复上述过程,直到定位到与数据同等级的节点为止,该节点即为保存数据key值的后向节点。
1、节点加入
图3是本发明实施例的P2P网络中的节点加入的流程图,如图3所示,包括如下处理:
步骤1,已经具有安全等级的新节点要加入P2P网络;
步骤2,BOOTSTRAP过程:定位Node ID大于新节点的第一个节点;
步骤3,判断该第一个节点的安全等级与该新节点是否相同,如果不同,则执行步骤4,否则,执行步骤5;
步骤4,重新BOOTSTRAP过程:定位Node ID大于新节点、且未被定为过的第一个节点;
步骤5,按CHORD算法,新节点加入时与同等级的后向节点建立连接,并从该后向节点出复制两个路由表(域内路由表和域间路由表);
步骤6,新节点对域内路由表进行实时更新,并将路由更新消息广播至域内所有节点;域间路由表通过定期更新方式发现新节点,并添加新节点的节点信息;
步骤7,新节点从其后向节点处转移自己应负责的key值,这些key值对应的数据将由新节点来存储和维护,并将这些key值在后向节点上进行备份。
2、节点离开
当一个节点A需要正常退出网络时。首先,节点A通知其后向节点B自己要退出网络的消息,节点B恢复自身备份的节点A的数据,并根据域内路由表将这些数据再备份到自己的域内后向节点C上。当所有的数据迁移完毕后,节点A向虚拟安全域中的所有同等级节点发送离开消息。收到离开消息的节点从自身的域内路由表中删除与该离开节点相关的路由表项。
如图2所示,当节点A异常离开网络时,其后向节点B通过Keepalive消息检测到节点异常离开后,恢复自身备份的节点A的数据,并再备份到自己的域内后向节点C上。当数据迁移完成后,由节点B向虚拟安全域中的节点广播节点A的离开消息,收到离开消息的节点从自身的域内路由表中删除与该离开节点相关的路由表项。
域间路由表通过定期更新的方式更新自己路由表,删除已离开的节点信息。
二、路由查找
假定请求节点不知道数据重要性等级。当等级为3的节点A发起查询请求时,优先利用域内路由表在虚拟安全域内查找数据,若找到则直接获取该数据。若被查询数据不在节点A所处的虚拟安全域内,则需要利用域间路由表跨域查找。域间采用CHORD算法进行路由查找,当定位到某个节点B后(节点B可以是中间节点或目的节点),若节点B的安全等级低于节点A,则直接通过节点B进行路由转发或这直接获取节点B维护的数据;若节点B的安全等级高于节点A,则需要对节点A进行一定的权限认证,判断是否为节点A提供相应服务。
通过上述处理,解决了现有技术中Overlay与Underlay融合的安全防御机制方案如何在P2P网络的Overlay上实现的问题,具有结构简单、维护开销低的特点。
装置实施例
根据本发明的实施例,提供了一种P2P网络中的节点,图4是本发明实施例的P2P网络中的节点的结构示意图,如图4所示,根据本发明实施例的P2P网络中的节点包括:数据存储模块40、数据查找模块42,以下对本发明实施例的各个模块进行详细的说明。
数据存储模块40用于确定数据的重要性等级与节点底层安全等级的对应关系,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上;
具体地,在P2P overlay网络中,假定每个节点能力相同,由于在具体应用中,P2P网络中的数据根据其用途不同重要性也各异,所以P2P网络中的数据也需要按重要性划分等级,具体的等级划分策略因应用需求各异。
P2P网络中的节点有一个重要作用就是进行数据分布式存储,从而可以方便快捷的提供服务。所以在本发明实施例中,针对节点underlay安全等级的P2P网络中的数据存储也做了特别设计,即数据存储模块40的处理:确定数据的重要性等级与节点底层安全等级的对应关系,根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上。
优选地,在本发明实施例中,设置模块可以将具有相同节点底层安全等级的节点设置在一个虚拟安全域内,即,虚拟安全域包括具有相同节点底层安全等级的节点,随后,通过域内路由表保存本虚拟安全域中所有节点的路由信息;此外,还要在(传统)P2P路由表上添加节点的节点底层安全等级项目,组成域间路由表。
具体地,本发明实施例提出了虚拟安全域的概念:P2P网络根据节点underlay安全等级高低,在逻辑上将现有overlay节点划分成多个虚拟安全域,每个虚拟安全域中的节点underlay安全等级相同,节点在数据存储和路由中地位也相同。
节点在加入overlay时,已经根据相应的安全等级划分机制对节点underlay划分了安全等级,假定将节点分为5个等级,从1级到5级安全性逐渐增加。因此将同一等级的节点逻辑上划分为一个虚拟安全域,不同虚拟安全域内可根据具体应用采用不同的P2P路由算法,虚拟安全域也可采用与域间路由不同的P2P路由算法,以减小路由和维护开销。
在现有技术中,分布式哈希表(Distributed Hash Table,简称为DHT)路由表既承担路由维护,又用来进行数据存储及查找,这样不仅增大了路由维护开销,还带来了安全隐患。本发明实施例对现有技术中的DHT路由表进行了修改,并增加了一个由同安全等级节点构成的域内路由表,以减少维护开销、提高网络安全性。
具体地,在虚拟安全域中,每个节点维护两个路由表,一个是增加了节点underlay安全等级项的传统P2P路由表,在本发明实施例中,称上述路由表为域间路由表;另一个是虚拟安全域路由表,即域内路由表。域内路由表保存的是本虚拟安全域中节点的路由信息,即同安全等级的节点路由信息。
节点维护的两个路由表,除了内容不同外,其各自功能也不同。域内路由表主要用来进行数据存储以及域内数据的快速查找,即域内路由表主要功能是“存”。需要说明的是,在实际应用中,也可以将两张表可以合二为一,为了便于理解,在本发明实施例中将上述两个表分开描述。从表1可以看出,为了便于数据定位和查找,在本发明实施例中,将节点ID按从小到大的顺序排列。节点ID就是P2P网络中通过对节点IP地址用一致性哈希函数进行哈希,得到的节点唯一标识符。
综上,数据存储模块40需要根据重要性等级、对应关系以及域内路由表将关键字存储在具有相应节点底层安全等级的虚拟安全域中的节点上,也就是说,数据存储模块40根据节点的安全等级进行数据存储。通过对数据信息进行哈希得到关键字,再结合数据的重要性等级、以及对应关系,将数据存储到对应安全等级的节点上,即高重要性数据存储在高安全等级节点上,低重要性数据存储在低安全等级节点上。
数据存储模块40根据重要性等级以及对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上包括如下处理:1、按照分布式哈希表DHT算法对目标节点进行定位,根据数据的重要性等级以及对应关系,判断目标节点的节点底层安全等级与数据的重要性等级是否对应;2、在判断为不对应的情况下,选择下一个与数据的关键字最接近的节点作为目标节点,再对该目标节点的节点底层安全等级与数据的重要性等级是否对应进行判断,直到确定目标节点的节点底层安全等级与数据的重要性等级相对应为止;3、在判断为对应的情况下,将数据的关键字存储在具有相应节点底层安全等级的目标节点上。
数据查找模块42用于在对数据进行查找时,在与存储数据的节点具有相同节点底层安全等级的节点中进行查找;
此外,在具有相同节点底层安全等级的节点中没有查找到数据的情况下,数据查找模块42以预定原则在与存储数据的节点具有不同节点底层安全等级的节点中查找数据。
优选地,数据查找模块42用于在对数据进行查找时,通过域内路由表在本虚拟安全域中查找数据,在本虚拟安全域中没有查找到数据的情况下,以预定原则通过域间路由表在其他虚拟安全域中查找数据,其中,域间路由表中保存有所有虚拟安全域中节点的节点底层安全等级和路由信息。
上述域间路由表保存有节点的节点底层安全等级和路由信息,域间路由表主要用来进行不同等级节点间的路由查找,维护不同安全等级节点间的联系,即域间路由表的主要功能是“取”,域间路由表的具体形式根据不同DHT算法有所不同。
上述预定原则为:节点底层安全等级高的节点直接利用节点底层安全等级低的节点进行路由和/或获取节点底层安全等级低的节点所维护的数据;节点底层安全等级低的节点需要经过鉴权后,在一定的权限内,通过节点底层安全等级高的节点进行路由和/或获取节点底层安全等级高的节点所维护的数据。
也就是说,数据查找模块42的路由查找原则是,优先在虚拟安全域内查找,若查找对象不在本域,再利用域间路由表进行查找。不同虚拟安全域间路由查找原则是,高安全等级节点可直接利用低安全等级节点完成路由并可直接获取低安全等级节点维护的数据;低安全等级节点则需要通过一定的权限认证,才能通过高安全等级节点路由或获取数据。
在本发明实施例中,对P2P网络的新节点加入、节点更新、节点离开流程有所修改。下面将进行详细的说明。根据本发明实施例的P2P网络中的节点还包括如下模块:
加入模块,用于根据分布式哈希表DHT算法选取原则、以及节点底层安全等级,通过引导节点(BOOTSTRAP)确定邻近节点;从邻近节点上复制域内路由表和域间路由表;对获取的域内路由表和域间路由表进行更新,并将路由更新消息广播至P2P网络中的所有节点;
具体地,在有新节点加入P2P网络或加入新虚拟安全域的情况下,加入模块需要进行如下处理:1、加入模块根据分布式哈希表DHT算法选取原则、以及节点底层安全等级,通过引导节点(BOOTSTRAP)确定邻近节点,即BOOTSTRAP过程,本发明实施例对传统的BOOTSTRAP过程进行了修改,新节点通过BOOTSTRAP节点定位邻近节点时,不仅要考虑DHT算法中物理距离、路由跳数等因素,还需要考虑节点安全等级,邻近节点必须和新节点同安全等级。即邻居节点的选择必须是符合DHT算法选取原则和同安全等级的节点的交集;
2、加入模块获取路由表:从邻近节点上复制域内路由表和域间路由表;
3、加入模块对获取的域内路由表和域间路由表进行更新,并将路由更新消息广播至P2P网络中的所有节点。具体地,新节点更新自己的路由表并利用分级广播机制将路由更新消息广播至P2P网络中所有节点。该广播消息中应包含:a、新节点的Node ID;b、新节点的安全等级值;c、IP地址等信息。可根据具体应用场景的节点加入/退出频繁程度,分别选择域间路由表和域内路由表的更新方式(实时更新或定期更新),以减少维护开销。
检测模块,用于检测本虚拟安全域中是否存在异常退出节点离开P2P网络或退出本虚拟安全域;
数据搬移模块,用于在本虚拟安全域内对正常退出节点或异常退出节点的数据进行搬移;
删除更新模块,用于在自身保存的域内路由表中将与正常退出节点或异常退出节点相关的路由信息删除,通过定期更新的方式更新自身存储的域间路由表;
退出通知模块,用于向本虚拟安全域中所有节点发送自己的离开消息或发送异常退出节点的离开消息。
节点退出P2P overlay可以分为节点正常退出与异常退出两种情况。在考虑了underlay安全等级的P2P网络中,节点退出过程也有所不同。主要区别在于:节点退出所引起的数据迁移只在虚拟安全域中进行,并且节点正常退出的报告和节点异常退出的发现都在虚拟安全域中完成。
具体地,在有节点正常退出P2P网络或退出原虚拟安全域的情况下,包括如下处理:
1、数据搬移模块在本虚拟安全域内对正常退出节点的数据进行搬移;例如,正常退出节点通知其域内后向节点,域内后向节点恢复自身备份的正常退出节点的数据,并根据域内路由表将该数据备份在自己的域内后向节点上。
2、退出通知模块向本虚拟安全域中所有节点发送离开消息;
3、删除更新模块将所有接收到该离开消息的节点在自身保存的域内路由表中将与正常退出节点相关的路由信息删除,并将本虚拟安全域中的所有节点通过定期更新的方式更新自身存储的域间路由表。
在有节点异常退出P2P网络或退出原虚拟安全域的情况下,包括如下处理:
1、检测模块发现该异常退出节点离开P2P网络或退出本虚拟安全域后,数据搬移模块在本虚拟安全域内对异常退出节点的数据进行搬移,退出通知模块向本虚拟安全域中所有节点发送异常退出节点的离开消息;例如,异常退出节点的域内后向节点检测到异常退出节点异常退出,恢复自身备份的异常退出节点的数据,并根据域内路由表将该数据备份在自己的域内后向节点上,随后,异常退出节点的域内后向节点向本虚拟安全域中所有节点发送异常退出节点的离开消息;
2、删除更新模块将所有接收到该离开消息的节点在自身保存的域内路由表中将与异常退出节点相关的路由信息删除;并将本虚拟安全域中的所有节点通过定期更新的方式更新自身存储的域间路由表。
在本发明实施例中,节点的更新不仅指节点加入和退出时路由表的更新,还包括节点安全等级的更新。P2P网络中的节点,尤其是对于在线时间长的节点,underlay的安全性能可能会有所变化,所以节点安全等级需要定期检测评估,重新定级。
具体地,等级检测更新模块,用于定期向系统发送检测评级请求,请求检测自身的节点底层安全等级是否发生变化;在自身的节点底层安全等级未发生变化的情况下,记录本次检测时间;在自身的节点底层安全等级发生变化的情况下,记录本次检测时间,正常退出原虚拟安全域,并加入相应的新虚拟安全域。
综上所述,借助于本发明实施例的技术方案,解决了现有技术中Overlay与Underlay融合的安全防御机制方案如何在P2P网络的Overlay上实现的问题,具有结构简单、维护开销低的特点。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (11)

1.一种基于节点底层安全等级的P2P网络中数据存储和路由方法,其特征在于,包括:
确定数据的重要性等级与节点底层安全等级的对应关系,根据所述重要性等级以及所述对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上;具体包括如下处理:按照分布式哈希表DHT算法对目标节点进行定位,根据所述数据的重要性等级以及所述对应关系,判断所述目标节点的节点底层安全等级与所述数据的重要性等级是否对应;在判断为不对应的情况下,选择下一个与所述数据的关键字最接近的节点作为目标节点,再对该目标节点的节点底层安全等级与所述数据的重要性等级是否对应进行判断,直到确定目标节点的节点底层安全等级与所述数据的重要性等级相对应为止;在判断为对应的情况下,将所述数据的关键字存储在具有相应节点底层安全等级的目标节点上;
对数据进行查找时,在与存储所述数据的节点具有相同节点底层安全等级的节点中查找所述数据。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在具有相同节点底层安全等级的节点中没有查找到所述数据的情况下,以预定原则在与存储所述数据的节点具有不同节点底层安全等级的节点中查找所述数据。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
将具有相同节点底层安全等级的节点设置在一个虚拟安全域内,并通过域内路由表保存本虚拟安全域中所有节点的路由信息;
在点对点P2P路由表上添加节点的节点底层安全等级项目,组成域间路由表。
4.如权利要求2所述的方法,其特征在于,所述预定原则为:
节点底层安全等级高的节点直接利用节点底层安全等级低的节点进行路由和/或获取所述节点底层安全等级低的节点所维护的数据;
节点底层安全等级低的节点需要经过鉴权后,在一定的权限内,通过节点底层安全等级高的节点进行路由和/或获取所述节点底层安全等级高的节点所维护的数据。
5.如权利要求3所述的方法,其特征在于,在有新节点加入所述P2P网络或加入新虚拟安全域的情况下,所述方法还包括:
根据分布式哈希表DHT算法选取原则、以及节点底层安全等级,通过引导节点确定邻近节点;
从所述邻近节点上复制所述域内路由表和所述域间路由表;
对获取的所述域内路由表和所述域间路由表进行更新,并将路由更新消息广播至所述P2P网络中的所有节点。
6.如权利要求3所述的方法,其特征在于,在有节点正常退出所述P2P网络或退出原虚拟安全域的情况下,所述方法还包括:
在本虚拟安全域内对所述正常退出节点的数据进行搬移;
所述正常退出节点向本虚拟安全域中所有节点发送离开消息;
所有接收到该离开消息的节点在自身保存的域内路由表中将与所述正常退出节点相关的路由信息删除;
所述本虚拟安全域中的所有节点通过定期更新的方式更新自身存储的域间路由表。
7.如权利要求3所述的方法,其特征在于,在有节点异常退出所述P2P网络或退出原虚拟安全域的情况下,所述方法还包括:
在虚拟安全域中负责维护该异常退出节点的节点发现该异常退出节点离开所述P2P网络或退出本虚拟安全域后,在本虚拟安全域内对所述异常退出节点的数据进行搬移,并向本虚拟安全域中所有节点发送所述异常退出节点的离开消息;
所有接收到该离开消息的节点在自身保存的域内路由表中将与所述异常退出节点相关的路由信息删除;
所述本虚拟安全域中的所有节点通过定期更新的方式更新自身存储的域间路由表。
8.一种基于节点底层安全等级的P2P网络中的节点,其特征在于,包括:
数据存储模块,用于确定数据的重要性等级与节点底层安全等级的对应关系,根据所述重要性等级以及所述对应关系将数据的关键字分级存储在具有相应节点底层安全等级的节点上;所述数据存储模块具体用于:
按照分布式哈希表DHT算法对目标节点进行定位,根据所述数据的重要性等级以及所述对应关系,判断所述目标节点的节点底层安全等级与所述数据的重要性等级是否对应;在判断为不对应的情况下,选择下一个与所述数据的关键字最接近的节点作为目标节点,再对该目标节点的节点底层安全等级与所述数据的重要性等级是否对应进行判断,直到确定目标节点的节点底层安全等级与所述数据的重要性等级相对应为止;在判断为对应的情况下,将所述数据的关键字存储在具有相应节点底层安全等级的目标节点上;
数据查找模块,用于在对数据进行查找时,在与存储所述数据的节点具有相同节点底层安全等级的节点中进行查找。
9.如权利要求8所述的节点,其特征在于,所述数据查找模块还用于:
在具有相同节点底层安全等级的节点中没有查找到所述数据的情况下,以预定原则在与存储所述数据的节点具有不同节点底层安全等级的节点中查找所述数据。
10.如权利要求9所述的节点,其特征在于,所述预定原则为:
节点底层安全等级高的节点直接利用节点底层安全等级低的节点进行路由和/或获取所述节点底层安全等级低的节点所维护的数据;
节点底层安全等级低的节点需要经过鉴权后,在一定的权限内,通过节点底层安全等级高的节点进行路由和/或获取所述节点底层安全等级高的节点所维护的数据。
11.如权利要求8所述的节点,其特征在于,所述节点还包括:
设置模块,用于将具有相同节点底层安全等级的节点设置在一个虚拟安全域内,通过域内路由表保存本虚拟安全域中所有节点的路由信息,并在P2P路由表上添加节点的节点底层安全等级项目,组成域间路由表;
加入模块,用于根据分布式哈希表DHT算法选取原则、以及节点底层安全等级,通过引导节点确定邻近节点;从所述邻近节点上复制所述域内路由表和所述域间路由表;对获取的所述域内路由表和所述域间路由表进行更新,并将路由更新消息广播至所述P2P网络中的所有节点;
检测模块,用于检测本虚拟安全域中是否存在异常退出节点离开所述P2P网络或退出本虚拟安全域;
数据搬移模块,用于在本虚拟安全域内对正常退出节点或所述异常退出节点的数据进行搬移;
删除更新模块,用于在自身保存的域内路由表中将与正常退出节点或异常退出节点相关的路由信息删除,通过定期更新的方式更新自身存储的域间路由表;
退出通知模块,用于向本虚拟安全域中所有节点发送自己的离开消息或发送所述异常退出节点的离开消息。
CN201010569957.XA 2010-12-02 2010-12-02 基于节点底层安全等级的数据存储和路由方法、及节点 Expired - Fee Related CN102487397B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010569957.XA CN102487397B (zh) 2010-12-02 2010-12-02 基于节点底层安全等级的数据存储和路由方法、及节点

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010569957.XA CN102487397B (zh) 2010-12-02 2010-12-02 基于节点底层安全等级的数据存储和路由方法、及节点

Publications (2)

Publication Number Publication Date
CN102487397A CN102487397A (zh) 2012-06-06
CN102487397B true CN102487397B (zh) 2016-08-10

Family

ID=46152851

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010569957.XA Expired - Fee Related CN102487397B (zh) 2010-12-02 2010-12-02 基于节点底层安全等级的数据存储和路由方法、及节点

Country Status (1)

Country Link
CN (1) CN102487397B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103401702B (zh) * 2013-07-17 2017-02-15 杭州华三通信技术有限公司 一种基于全分布式模型的tcp连接管理方法及设备
CN104426874B (zh) * 2013-08-30 2019-01-29 中兴通讯股份有限公司 一种用于泛在终端网络的认证方法和装置
CN103560965A (zh) * 2013-11-04 2014-02-05 神州数码网络(北京)有限公司 IPv6主机路由表项动态更新方法和以太网交换机
CN103560962A (zh) * 2013-11-04 2014-02-05 神州数码网络(北京)有限公司 以太网交换机主机路由表项自动更新方法及交换机
CN103905469B (zh) * 2014-04-30 2017-01-04 电子科技大学 应用于智能电网无线传感网络和云计算的安全控制系统及方法
CN104657681B (zh) * 2015-03-13 2018-11-06 深圳酷派技术有限公司 一种数据存储方法及装置
CN106716421B (zh) * 2016-12-30 2020-03-31 深圳前海达闼云端智能科技有限公司 数据查询方法、装置及节点设备
CN110120974A (zh) * 2019-04-30 2019-08-13 苏州元核云技术有限公司 多数据中心对象存储、下载、存储/下载方法及相关装置
CN110795677A (zh) * 2019-11-12 2020-02-14 成都知道创宇信息技术有限公司 一种cdn节点的分配方法及装置
CN111443870B (zh) * 2020-03-26 2021-08-03 腾讯科技(深圳)有限公司 一种数据处理的方法、设备及存储介质
CN112150312A (zh) * 2020-10-06 2020-12-29 广州云莫凡信息科技有限公司 一种建筑施工工程的质量监测数据维护方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1723675A (zh) * 2003-01-14 2006-01-18 通用仪表公司 基于安全硬件中实现的功能的主机安全等级分类
CN101251843A (zh) * 2007-11-23 2008-08-27 华中科技大学 一种用于数据网格的全分布式副本定位方法
CN101399743A (zh) * 2007-09-28 2009-04-01 华为技术有限公司 在基于分布式哈希表的对等网络中查找数据的方法和系统
CN101399778A (zh) * 2008-10-30 2009-04-01 北京邮电大学 一种无线对等网络中节点的组织方法及资源发现方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1723675A (zh) * 2003-01-14 2006-01-18 通用仪表公司 基于安全硬件中实现的功能的主机安全等级分类
CN101399743A (zh) * 2007-09-28 2009-04-01 华为技术有限公司 在基于分布式哈希表的对等网络中查找数据的方法和系统
CN101251843A (zh) * 2007-11-23 2008-08-27 华中科技大学 一种用于数据网格的全分布式副本定位方法
CN101399778A (zh) * 2008-10-30 2009-04-01 北京邮电大学 一种无线对等网络中节点的组织方法及资源发现方法

Also Published As

Publication number Publication date
CN102487397A (zh) 2012-06-06

Similar Documents

Publication Publication Date Title
CN102487397B (zh) 基于节点底层安全等级的数据存储和路由方法、及节点
CN100496004C (zh) 结构化对等网络系统及其负载查询、转移及资源查找方法
US7869349B2 (en) Method and system for deducing network routes by querying routers
Abraham et al. Practical locality-awareness for large scale information sharing
CN109617800A (zh) 一种基于平衡超立方体的数据中心网络容错安全路由方法
Cohen et al. Associative search in peer to peer networks: Harnessing latent semantics
CN101399765A (zh) 降低对等网络中热点节点负荷的方法和系统
CN102821122A (zh) 节点分布的方法与装置以及计算机程序产品
Dutta An approach for FIB construction and Interest packet forwarding in information centric network
Thar et al. Consistent hashing based cooperative caching and forwarding in content centric network
Saravanan et al. An effective model for QoS assessment in data caching in MANET environments
CN103731454B (zh) 一种在点对点网络中对请求进行响应的方法及服务器系统
Daskos et al. PePeR: A distributed range addressing space for peer-to-peer systems
CN101360055B (zh) 具有常数跳路由特性的p2p网络信息资源定位方法
CN103209207A (zh) 一种对等网络系统结构的实现方法
Renda et al. The robustness of content-based search in hierarchical peer to peer networks
Li et al. Ontology-based clustering and routing in peer-to-peer networks
Qiu et al. Overlay partition: Iterative detection and proactive recovery
Kim et al. An energy efficient filtering approach to in-network join processing in sensor network databases
Li et al. A distributed load balancing algorithm for structured P2P systems
Li et al. Localized distance-sensitive service discovery in wireless sensor networks
Biswas et al. Optimization of semantic routing table
Andreica et al. Brief announcement: decentralized construction of multicast trees embedded into P2P overlay networks based on virtual geometric coordinates
Fantar et al. Exploiting locality using geographic coordinates and semantic proximity in Chord
Chen et al. Distributed cache indexing for efficient subspace skyline computation in p2p networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20160707

Address after: Laishan Mingda road 264000 Shandong city of Yantai province No. 11

Applicant after: SHANDONG WISDOM LIFE DATA SYSTEMS CO., LTD.

Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice

Applicant before: ZTE Corporation

CB03 Change of inventor or designer information

Inventor after: Tian Peijin

Inventor after: Wang Mei

Inventor after: Huo Ping

Inventor before: Chen Shuyi

Inventor before: Li Yuan

Inventor before: Zhang Chunhong

Inventor before: Cheng Cheng

Inventor before: Qiu Xiaofeng

COR Change of bibliographic data
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20170704

Address after: Laishan Mingda road 264000 Shandong city of Yantai province No. 11

Patentee after: Shandong Aioute Investment Group Limited

Address before: Laishan Mingda road 264000 Shandong city of Yantai province No. 11

Patentee before: SHANDONG WISDOM LIFE DATA SYSTEMS CO., LTD.

CB03 Change of inventor or designer information

Inventor after: Xue Lingang

Inventor before: Tian Peijin

Inventor before: Wang Mei

Inventor before: Huo Ping

CB03 Change of inventor or designer information
TR01 Transfer of patent right

Effective date of registration: 20180117

Address after: No. 96 X-182, room No. 96, San Hao street, peace zone, Liaoning Province

Patentee after: Ayotte (Shenyang) Technology Co., Ltd.

Address before: Laishan Mingda road 264000 Shandong city of Yantai province No. 11

Patentee before: Shandong Aioute Investment Group Limited

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160810

Termination date: 20191202