CN103427998B - 一种面向互联网数据分发的身份验证和数据加密方法 - Google Patents
一种面向互联网数据分发的身份验证和数据加密方法 Download PDFInfo
- Publication number
- CN103427998B CN103427998B CN201310364533.3A CN201310364533A CN103427998B CN 103427998 B CN103427998 B CN 103427998B CN 201310364533 A CN201310364533 A CN 201310364533A CN 103427998 B CN103427998 B CN 103427998B
- Authority
- CN
- China
- Prior art keywords
- data
- node
- client
- request
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
一种面向互联网数据分发的身份验证和数据加密方法,主要包括四个过程:(1)客户端发出服务请求;(2)Tracker服务器根据客户端信息对其进行身份验证;(3)向目的节点发送加密过的原始数据和解密密钥,同时,向授权节点发送加密数据;(4)目的节点收到全部加密数据并进行解密。本发明方法首先对节点进行身份验证,对于具有权限的目的节点发送加密数据和解密密钥,对于授权节点发送数据以提高分发效率,屏蔽未授权节点保证数据安全。本发明方法在P2P环境下的互联网数据安全受控分发领域里具有广泛地实用价值和应用前景。
Description
技术领域
本发明属于互联网数据传输领域,涉及一种BitTorrent环境下互联网数据安全受控分发方法。
背景技术
近年来,随着互联网、移动互联网以及云计算的规模和应用激增,直接导致了数据量的产生与日俱增。BT应用的飞速发展使得对互联网数据分发安全性的要求不断增加,现有的BT网络安全性成为了主要关注的问题。如何加入有效的安全受控分发机制,为节点间的通信提供安全保障,已成为热点。
目前,已经有学者针对可能破坏BT网络的行为进行了研究并提出了一些改进方案。例如,在AntiLiar的方案中,每个节点通过维护一个”progress log”可以独立地检测欺骗攻击,同时网络采用非对称传输,在信息丢失时,合法的peer会再次传输丢失的信息直到成功。利用单向哈希函数的私钥来签名,使得送出信息方不可否认。在此方案中,秘钥的生成和分发、节点之间的数据跟踪、日志记录的比对和查找,都会同时提升服务器与节点的运算负担,不适用于互联网数据的分发。另有一部分研究人员在如何利用和改造现有的密码学体制并将其运用在数据交流频繁的P2P网络中进行了研究,并提出了多密钥分部加密体制。但在互联网环境下,每个数据块加密和解密的时间过长,且tracker服务器需要为存储密钥提供很大空间,所以这种体制也不适用于互联网数据的安全受控分发。
发明内容
本发明的技术解决问题是:克服现有技术的不足,提供了一种P2P环境下互联网数据分发的身份验证和数据加密方法,通过过滤节点和服务器授权来进行身份验证,之后对数据进行加密并对解密密钥严加管理,可以有效防止来历不明的节点加入到专网中,同时也保证非目标节点即使获得了数据也无法获得有价值的信息,从而达到了互联网数据在P2P环境下安全受控分发的目的。
本发明的技术解决方案是:一种面向互联网数据分发的身份验证和数据加密方法,包括如下步骤:
(1)建立节点权限配置表并存储在Tracker服务器上;所述的节点权限配置表中包含网络中的节点IP、节点用户名及用户密码、节点权限级别信息;
(2)数据上传客户端将要上传的数据文件进行加密以后向Tracker服务器发出文件上传请求,同时数据上传客户端在本地生成种子信息并保存,然后将种子信息以及对加密文件进行解密时所用的解密密匙传送给Tracker服务器;所述的上传请求中包括节点用户名和用户密码信息;
(3)Tracker服务器监听来自数据上传客户端的上传请求,在Tracker服务器上的种子列表中添加上传请求中包含的种子信息,并通过审核种子信息所标识文件的安全级别设定种子的权限值;
(4)数据下载客户端在本地生成用于数据安全传输的传输密匙后向Tracker发出下载请求,所述的下载请求包括传输密匙以及数据下载客户端的节点用户名及用户密码;
(5)Tracker服务器查询节点权限配置表,利用数据下载客户端的节点用户名及用户密码对数据下载客户端进行身份验证;对于未通过验证的数据下载客户端,Tracker服务器驳回下载请求;对于通过验证的数据下载客户端,Tracker服务器进一步确定数据下载客户端的权限,如果数据下载客户端的权限高于或者同于种子的权限值,则Tracker服务器接受下载请求,利用传输密匙将解密密匙以及可以为种子信息所标识文件的下载提供中继的各节点信息一同传送给数据下载客户端,如果数据下载客户端的权限低于种子的权限值,Tracker服务器驳回下载请求;
(6)下载请求被驳回后,数据下载流程结束;下载请求未被驳回,则开始数据下载,Tracker服务器端根据收到的请求信息,更新节点权限配置表的信息;
(7)数据下载客户端处理可以提供中继的各节点信息,选择这些中继节点中的某些节点建立连接,进行种子信息所对应的加密文件传输;
(8)数据请求客户端用本地的解密公钥对传输密匙进行解密,获取加密密钥,然后利用加密密匙解密收到的加密文件,从而得到源数据。
本发明与现有技术相比的优点在于:本发明是一种P2P环境下互联网数据分发的身份验证和数据加密方法,主要优点在于:
(1)通过客户的IP、用户名和密码等信息完成身份验证,确保合法客户端可以加入到专网中来,拒绝非法客户端的加入;
(2)根据节点权限表确定用户权限级别,然后比对种子文件的权限级别,对拥有权限的节点返回邻居节点列表,使得数据权限和用户权限分离,服务器端具有管理权限、验证身份的能力,以保证客户下载到合法的、权限范围内的数据;
(3)对数据进行加密处理,使数据在非明文的条件下传输,并只向目的节点发送解密密钥,使其节点即便拿到数据也无法验证其完整性,无法解密数据,保证了数据安全;
(4)对加密密钥进行加密传输,保证了其他节点即使得到加密密钥也无法对其进行解密,进一步保证了数据的安全性。
附图说明
图1为本发明的具有身份验证的BT传输协议的节点组成结构示意图;
图2为本发明的身份验证和数据加密流程图一;
图3为本发明的身份验证和数据加密流程图二;
图4为本发明未通过身份验证的节点与服务器交互示意图;
图5为本发明方法的流程图。
具体实施方式
本发明方法主要是采用在BT协议中添加身份验证的过滤机制,并在数据传输时以对称加密、点对点分发密钥的方式来对数据进行保护,从而实现了在安全受控的条件下对互联网数据高效分发的目的,使数据在专网中受控地安全传播。
如图1所示,BitTorrent环境下数据分发节点的组成主要包括Tracker服务器、数据中心、网络中的其他客户节点(授权节点、目的节点或者未授权节点),其中Tracker服务器与数据中心可以位于或不位于同一地点。Tracker服务器主要负责节点信息、文件信息的控制和分发,节点的验证和授权,并保存数据中心给予的解密密钥;数据中心作为特殊的“客户节点”,提供加密过的原始数据,并掌握解密密钥;除数据中心外的客户节点是需求方,目的节点是经过授权的合法节点,可以下载相应数据并解密数据,可以向Tracker服务器请求解密密钥;授权节点作为数据的中继节点,与Tracker服务器、目的节点建立连接,以提升数据传播速度;未授权节点是未经过确认的非法节点,不可以获得任何数据。
具体架构包括:Tracker服务器负责权限配置、身份授权、身份验证、文件信息跟踪,以及密钥存储;Tracker服务器与所有的节点(peer客户端)建立TCP连接;Peer客户端在与Tracker服务器建立连接后,提交自己的身份信息,根据种子文件向Tracker服务器发送下载请求,获取当前拥有合法数据资源的节点列表,并与这些节点建立连接、从这些节点处下载相应数据。
Tracker服务器端维护的数据包括:所有已知节点的权限配置,已发布的种子文件,与Tracker服务器保持连接的节点信息;Peer客户端持有的数据包括:拥有可下载文件的节点列表,与其它节点建立的连接信息。
本发明方法的数据交互过程如下:
步骤301.由系统管理员编制节点权限配置表,节点权限配置表中包含节点IP、节点用户名及密码、节点权限级别三种信息,结构如下表所示。
节点权限配置表
其中,用户密码可以采用哈希值(例如采用SHA-1算法)。权限级别可采用数字形式,为了便于扩展,设定权限越大的数值越小。因此,0表示最高级别,1表示第二高的级别,以此类推。数字越小,权限级别越高。权限级别高的可以获取权限级别低的数据,权限级别低的不可以获取权限级别高的数据。
步骤302.客户端(种子节点)发出上传请求。上传请求为http请求,将会加入两个新的参数:username=(用户名)、psw=(密码)。客户端在本地生成文件种子并保存在本地,将种子信息通过Upload请求上传到Tracker服务器;同时对文件进行加密,并将解密密钥传送给Tracker服务器;
步骤303.服务器端监听到来自客户端的上传请求,在对应的种子列表中添加这个种子的权限项,然后通过审核文件的安全级别设定种子的权限值。
步骤304.客户端发出下载请求。客户端向Tracker服务器除提交原始BT方案中的信息外,还需提交身份验证信息(用户名和密码哈希值);同时生成一对公钥,将公钥传输给Tracker服务器(用于传输种子节点生成的解密密钥);
步骤305.Tracker服务器查询节点权限配置表的信息,在Tracker服务器端过滤验证IP地址和用户名、密码这些信息,判断节点是否有足够权限下载文件。
节点权限配置表将只会存在于Tracker服务器中,并不为其他任何节点知晓;只有服务器管理员有权查看或修改这个文件。Tracker服务器要求节点提交请求的同时必须提交自己的身份信息。
对于通过身份验证的节点,Tracker服务器继续比较请求客户端的权限级别与被请求文件的权限级别,只有不低于被请求文件权限的请求客户端才会被允许下载被请求文件,此时Tracker服务器用收到的公钥将种子节点的解密密钥进行加密,同时连同请求端请求的邻居节点(数据的中继节点)列表一同返回给请求客户端,过程如图2和图3所示。对于未通过身份验证的节点,或者通过身份验证但权限不足的节点,Tracker服务器驳回请求不予理睬,如图4所示。
步骤306.Tracker服务器端根据收到的请求信息,更新节点权限配置表的信息,即节点的IP地址,用户名,用户密码的哈希值,用户的权限值,该用户资料最近一次更新的时间;
步骤307.请求客户端处理邻居节点列表。客户端在下载请求得到邻居节点列表后,与其全部建立连接。根据BT原有的节点选择算法,选择其中某些节点进行数据传输;
步骤308.请求客户端用本地的解密公钥对收到的加密密钥进行解密,得到数据的加密密钥,然后用其解密收到的数据,从而得到源数据。
整个方法的流程如图5所示。
本发明的身份验证管理方法可以做到在服务器的合理配置下,数据权限和用户权限分离,数据加密与权限管理分离,服务器端具有管理权限、验证身份的能力,以保证客户下载到合法的、权限范围内的数据,同时减轻数据中心的负担,在保证BT协议正常运作的情况下,保护敏感数据的安全,从而使数据安全得到保护。由于Tracker服务器与其他任何节点都有交互,故不单独做流程图进行实例说明,其功能包括但不限于以上提到的功能。
本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。
Claims (1)
1.一种面向互联网数据分发的身份验证和数据加密方法,其特征在于包括如下步骤:
(1)建立节点权限配置表并存储在Tracker服务器上;所述的节点权限配置表中包含网络中的节点IP、节点用户名及用户密码、节点权限级别信息;
(2)数据上传客户端将要上传的数据文件进行加密以后向Tracker服务器发出文件上传请求,上传请求为http请求,同时数据上传客户端在本地生成种子信息并保存,然后将种子信息以及对加密文件进行解密时所用的解密密匙传送给Tracker服务器;所述的上传请求中包括节点用户名和用户密码信息;
(3)Tracker服务器监听来自数据上传客户端的上传请求,在Tracker服务器上的种子列表中添加上传请求中包含的种子信息,并通过审核种子信息所标识文件的安全级别设定种子的权限值;
(4)数据下载客户端在本地生成用于数据安全传输的传输密匙后向Tracker服务器发出下载请求,所述的下载请求包括传输密匙以及数据下载客户端的节点用户名及用户密码;
(5)Tracker服务器查询节点权限配置表,利用数据下载客户端的节点用户名及用户密码对数据下载客户端进行身份验证;对于未通过验证的数据下载客户端,Tracker服务器驳回下载请求;对于通过验证的数据下载客户端,Tracker服务器进一步确定数据下载客户端的权限,如果数据下载客户端的权限高于或者等于种子的权限值,则Tracker服务器接受下载请求,利用传输密匙将解密密匙以及可以为种子信息所标识文件的下载提供中继的各节点信息一同传送给数据下载客户端,如果数据下载客户端的权限低于种子的权限值,Tracker服务器驳回下载请求;
(6)下载请求被驳回后,数据下载流程结束;下载请求未被驳回,则开始数据下载,Tracker服务器端根据收到的请求信息,更新节点权限配置表的信息;
(7)数据下载客户端获取提供中继的各节点信息,选择这些中继节点中的某些节点建立连接,进行种子信息所对应的加密文件传输;
(8)数据下载客户端用本地的解密公钥对传输密匙进行解密,获取解密密匙,然后利用解密密匙解密收到的加密文件,从而得到源数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310364533.3A CN103427998B (zh) | 2013-08-20 | 2013-08-20 | 一种面向互联网数据分发的身份验证和数据加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310364533.3A CN103427998B (zh) | 2013-08-20 | 2013-08-20 | 一种面向互联网数据分发的身份验证和数据加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103427998A CN103427998A (zh) | 2013-12-04 |
| CN103427998B true CN103427998B (zh) | 2016-12-28 |
Family
ID=49652206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310364533.3A Active CN103427998B (zh) | 2013-08-20 | 2013-08-20 | 一种面向互联网数据分发的身份验证和数据加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103427998B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092734A (zh) * | 2014-06-23 | 2014-10-08 | 吕志雪 | 一种数据安全下载的方法及装置 |
| CN105323295A (zh) * | 2014-08-22 | 2016-02-10 | 航天恒星科技有限公司 | 内容分发方法、内容传输方法及服务器和端节点 |
| CN104486083A (zh) | 2014-12-19 | 2015-04-01 | 小米科技有限责任公司 | 监控录像处理方法及装置 |
| CN104794408B (zh) * | 2015-04-27 | 2017-12-08 | 上海青橙实业有限公司 | 文件加密方法及终端系统 |
| CN106027583A (zh) * | 2015-09-16 | 2016-10-12 | 展视网(北京)科技有限公司 | 一种p2p相关的数据分发方法及系统 |
| CN106210064B (zh) * | 2016-07-15 | 2019-09-06 | 桂林电子科技大学 | 一种基于授权的可控p2p大规模遥感数据分发方法 |
| CN106412891B (zh) * | 2016-09-06 | 2019-12-03 | 北京汇通金财信息科技有限公司 | 一种lte专网终端提升安全性的方法及装置 |
| CN106411884A (zh) * | 2016-09-29 | 2017-02-15 | 郑州云海信息技术有限公司 | 一种数据存储加密的方法及装置 |
| CN107172007A (zh) * | 2017-03-28 | 2017-09-15 | 深圳市卓讯信息技术有限公司 | 一种多因素适配的集中授权管理方法及装置 |
| CN107465671A (zh) * | 2017-07-28 | 2017-12-12 | 杭州绿湾网络科技有限公司 | 数据传输方法和系统 |
| CN107592319B (zh) * | 2017-09-29 | 2021-05-04 | 郑州云海信息技术有限公司 | 一种文件下载方法及装置 |
| CN109446823A (zh) * | 2018-09-30 | 2019-03-08 | 天津字节跳动科技有限公司 | 预览文件方法、装置、电子设备和可读存储介质 |
| CN109327482A (zh) * | 2018-12-18 | 2019-02-12 | 陕西医链区块链集团有限公司 | P2p通讯引入身份验证防伪和非对等加密的数据传输方式 |
| CN110611668A (zh) * | 2019-09-09 | 2019-12-24 | 江西航天鄱湖云科技有限公司 | 自由可配的物联网监测方法、装置、存储介质及设备 |
| CN110647499A (zh) * | 2019-09-23 | 2020-01-03 | 东信和平科技股份有限公司 | 一种安全可配置的文件分发管理方法及系统 |
| CN111625862B (zh) * | 2020-05-26 | 2023-12-08 | 京东科技控股股份有限公司 | 基于多数据节点的数据处理方法、系统及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7711647B2 (en) * | 2004-06-10 | 2010-05-04 | Akamai Technologies, Inc. | Digital rights management in a distributed network |
| CN101155031A (zh) * | 2006-09-29 | 2008-04-02 | 珠海金山软件股份有限公司 | 在p2p文件传输中进行中央授权控制的装置及控制方法 |
| CN101425899B (zh) * | 2007-10-31 | 2011-04-13 | 北大方正集团有限公司 | 实现发布、分发的方法和系统 |
| CN101515947A (zh) * | 2009-02-17 | 2009-08-26 | 浙江大学 | 基于p2p的文件快速安全分发方法及系统 |
| US9038168B2 (en) * | 2009-11-20 | 2015-05-19 | Microsoft Technology Licensing, Llc | Controlling resource access based on resource properties |
| CN101873344B (zh) * | 2010-05-27 | 2013-04-03 | 中国科学院计算技术研究所 | 集中式块交换p2p文件共享系统及其促使节点供种的方法 |
| CN102130949A (zh) * | 2011-03-10 | 2011-07-20 | 肖智刚 | 基于用户贡献的个性化数字资源分享方法及系统 |
-
2013
- 2013-08-20 CN CN201310364533.3A patent/CN103427998B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN103427998A (zh) | 2013-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103427998B (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| US11038682B2 (en) | Communication method, apparatus and system, electronic device, and computer readable storage medium | |
| Guo et al. | Blockchain meets edge computing: A distributed and trusted authentication system | |
| CN110537346B (zh) | 安全去中心化域名系统 | |
| KR102116399B1 (ko) | 서비스 레이어에서의 콘텐츠 보안 | |
| WO2016197770A1 (zh) | 一种云存储服务平台的访问控制系统及其访问控制方法 | |
| US20030081774A1 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| US20170201382A1 (en) | Secure Endpoint Devices | |
| EP2544117A1 (en) | Method and system for sharing or storing personal data without loss of privacy | |
| CA2949847A1 (en) | System and method for secure deposit and recovery of secret data | |
| CN108848111B (zh) | 一种基于区块链技术的去中心化虚拟专用网络组建方法 | |
| CN102710605A (zh) | 一种云制造环境下的信息安全管控方法 | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| CN101605137A (zh) | 安全分布式文件系统 | |
| Ma et al. | An architecture for accountable anonymous access in the internet-of-things network | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN103905384A (zh) | 基于安全数字证书的嵌入式终端间会话握手的实现方法 | |
| CN103716280B (zh) | 数据传输方法、服务器及系统 | |
| CN108632251A (zh) | 基于云计算数据服务的可信认证方法及其加密算法 | |
| Tu et al. | A secure, efficient and verifiable multimedia data sharing scheme in fog networking system | |
| CN106657002A (zh) | 一种新型防撞库关联时间多密码的身份认证方法 | |
| CN115865320A (zh) | 一种基于区块链的安全服务管理方法及系统 | |
| CN110581829A (zh) | 通信方法及装置 | |
| Kumar et al. | Blockchain-enabled secure communication for unmanned aerial vehicle (UAV) networks | |
| Bapat et al. | Smart-lock security re-engineered using cryptography and steganography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |