CN108259461A - 一种在分布式网络中实现可信匿名访问的方法和系统 - Google Patents

Abstract

本发明涉及一种在分布式网络中实现可信匿名访问的方法和系统。该方法中客户端向代理服务器发送数据包，代理服务器将数据包转发给服务提供商的服务器，并在转发过程中隐藏客户端的源地址；代理服务器接收到服务提供商的服务器返回的计算结果后将其转发给客户端。该方法使用Verify和Shutoff协议来应对安全问题，对数据包所属的服务进行验证，如果来源不明则可以将数据包丢弃和停止转发；如果遇到恶意的攻击，则及时报告、关停发送行为。本发明不仅注重用户的隐私保护，同时关注如何有效约束用户的行为，可以实现对用户恶意行为的问责，使得使用者进行匿名访问时行为是可以得到约束的，能够实现可信匿名访问。

Description

一种在分布式网络中实现可信匿名访问的方法和系统

技术领域

本发明属于网络技术、信息安全技术领域，具体涉及一种在分布式网络中实现可信匿名 访问的方法和系统。

背景技术

伴随着网络的快速发展，越来越多的商务行为需要通过计算机网络，使用强大的计算能 力来完成。例如，很多公司选择使用云服务、云计算来完成自己的业务。云计算是一个典型 的分布式网络，很多服务器(超级计算机)共同完成一项计算任务，并把结果返回给客户公 司(提出服务请求的公司)。

在使用云计算或分布式计算服务的时候，客户(例如银行)可以将数据交给计算服务商 处理，但是不希望计算服务商知道自己的真实身份，即把数据和机构关联起来。这个过程， 通过加密技术只能保证数据内容的安全，无法有效隐匿用户(例如银行)的身份信息。

现有的可用于用户身份隐私保护的方法主要是使用洋葱路由网络，即Tor网络(Dingledine R,Mathewson N,and Syverson P,“Tor:The second generation onionrouter,”in Proc.USENIX SSYM’04,303-320,2004.)。在Tor网络中，用户首先获取Tor网络的节点信息，之后客户机 随机选择一条路径，将数据加密后(不影响发送者发送数据时自己对数据加密)依次通过3 个Tor网络的节点，之后将数据解密后发送给目的节点(例如可以提供计算服务的服务器)。

Tor网络的机制不适合用于在分布式网络中保护用户的隐私，主要有以下几个因素：

1)Tor机制属于应用层的方法，因此效率不高，在使用时会有较大的开销，也会造成一 定的时延。

2)如果用户(企业，例如银行)需要将数据发给多台服务器协同处理(共同完成)计算 任务，则需要分别建立链接。这也将造成大量的网络开销。

3)Tor机制仅关注用户隐私的保护，不考虑如果出现恶意行为，如何及时阻止恶意行为 的持续发生。

尽管企业，尤其是有一定规模的企业信誉通常较好，但是需要防范他们的恶意行为。此 外，即便这些公司不是恶意用户，但他们的主机、服务器可能被恶意用户控制，从而对计算 服务提供商(云服务提供商)发起攻击，因此有必要及时发现攻击来源，并阻止攻击的持续。 因此，在保护用户隐私的同时，有必要考虑新方法应该具备一定的行为问责能力。

发明内容

本发明针对上述问题，提供一种在分布式网络中实现可信匿名访问的方法和系统，能够 实现分布式网络的可问责的隐私保护。

本发明采用的技术方案如下：

一种在分布式网络中实现可信匿名访问的方法，其步骤包括：

1)客户端请求代理服务器提供隐私保护服务，代理服务器对客户端进行验证后实现客户 端的注册；

2)客户端向代理服务器发送数据包，代理服务器将数据包转发给服务提供商的服务器， 并在转发过程中隐藏客户端的源地址；代理服务器接收到服务提供商的服务器返回的计算结 果后将其转发给客户端；

3)在客户端向代理服务器发送数据包的过程中，代理服务器和/或位于客户端和代理服 务器之间的路由器将对数据包所属的服务的验证请求发送给客户端，如果通过验证则路由器、 代理服务器转发客户端发送的数据包，如果未通过验证则丢弃数据包；

4)在代理服务器将数据包转发给服务提供商的服务器的过程中，服务提供商的服务器和 /或位于代理服务器和服务提供商的服务器之间的路由器将对数据包所属的服务的验证请求 发送给代理服务器，如果通过验证则路由器转发数据包，服务提供商的服务器接收数据包； 如果未通过验证则路由器停止转发数据包，服务提供商的服务器停止接收数据包。

进一步地，代理服务器、位于客户端和代理服务器之间的路由器、位于代理服务器和服 务提供商的服务器之间的路由器、或者服务提供商的服务器，在判断某服务属于恶意攻击后， 关停代理服务器对该服务的后续验证，进而阻止数据包的发送。

进一步地，步骤1)包括：

1-1)客户端向代理服务器发送请求，请求代理服务器提供隐私保护服务；

1-2)客户端将其准备使用的服务提供商和服务标识符告知代理服务器；

1-3)代理服务器对服务标识符进行验证，验证服务标识符的真伪以及客户端的真实性。

进一步地，步骤1-2)所述服务标识符的生成方法是：

其中，H是哈希算法，||代表并列关系，Timestamp是服务请求开始的时间，用于区分同 一个客户端的不同服务；是客户端的公钥，用于实现服务标识符的自验证，并用于区 别开同一个代理服务器的不同客户端。

进一步地，步骤2)的整个过程进行加密处理，使代理服务器无法知道具体的数据内容。

进一步地，步骤2)所述隐藏客户端的源地址的方法是：a)客户端发送数据包给代理服 务器，该过程的源地址是客户端的地址，目的地址是代理服务器的地址；b)代理服务器将数 据包转发给服务提供商的服务器，该过程的源地址为代理服务器的地址，目的地址为服务提 供商的服务器的地址，从而隐藏客户端的源地址。

进一步地，所述代理服务器维护一个服务映射表，所述服务映射表中包括服务标识符、 客户端信息、服务提供商信息的对应关系；对于恶意行为，代理服务器通过举报者发送的 Shutoff信息，查询所述服务映射表中的客户端信息，确定攻击的来源和攻击者的身份，进而 实现行为问责。

一种代理服务器，其包括：

注册模块，用于接收客户端的请求提供隐私保护服务的请求，并对客户端进行验证后实 现客户端的注册；

数据包转发模块，用于接收客户端发送的数据包，将该数据包转发给服务提供商的服务 器，在转发过程中隐藏客户端的源地址；并在接收到服务提供商的服务器返回的计算结果后 将其转发给客户端；

验证模块，用于在接收客户端发送的数据包的过程中，将对数据包所属的服务的验证请 求发送给客户端，如果通过验证则由所述数据包转发模块转发客户端发送的数据包，如果未 通过验证则丢弃数据包；以及在将数据包转发给服务提供商的服务器的过程中，接收服务提 供商的服务器和/或位于代理服务器和服务提供商的服务器之间的路由器发送的对数据包所 属的服务的验证请求，并进行验证，以便路由器和/或服务提供商的服务器根据验证结果决定 是否转发或接收数据包。

进一步地，所述代理服务器还包括行为问责模块，用于维护一个服务映射表，其中包括 服务标识符、客户端信息、服务提供商信息的对应关系；对于恶意行为，所述行为问责模块 通过举报者发送的Shutoff信息，查询所述服务映射表中的客户端信息，确定攻击的来源和攻 击者的身份，进而实现行为问责。

一种在分布式网络中实现可信匿名访问的系统，包括客户端、代理服务器和服务提供商 的服务器：

代理服务器接收客户端的请求提供隐私保护服务的请求，并对客户端进行验证后实现客 户端的注册；

客户端向代理服务器发送数据包，代理服务器将数据包转发给服务提供商的服务器，并 在转发过程中隐藏客户端的源地址；代理服务器接收到服务提供商的服务器返回的计算结果 后将其转发给客户端；

在客户端向代理服务器发送数据包的过程中，代理服务器和/或位于客户端和代理服务器 之间的路由器将对数据包所属的服务的验证请求发送给客户端，如果通过验证则路由器、代 理服务器转发客户端发送的数据包，如果未通过验证则丢弃数据包；

在代理服务器将数据包转发给服务提供商的服务器的过程中，服务提供商的服务器和/或 位于代理服务器和服务提供商的服务器之间的路由器将对数据包所属的服务的验证请求发送 给代理服务器，如果通过验证则路由器转发数据包，服务提供商的服务器接收数据包；如果 未通过验证则路由器停止转发数据包，服务提供商的服务器停止接收数据包。

目前，没有专门针对分布式网络设计的用于实现可问责的隐私保护方法(可用于平衡隐 私和问责的方法)。相较于使用传统网络中隐私保护的机制，例如使用Tor网络，本发明主要 有以下优势：

1)本发明是网络层的协议。相较于应用层的方案，网络层的方法具有更高的效率和更高 的安全性(Blaze M,Ioannidis J,Keromytis AD,“Trust Management andNetwork Layer Security Protocols,”International Workshop on SecurityProtocols.Springer,103-118,1999)。

2)本发明不仅注重用户的隐私保护，同时关注如何有效约束用户的行为，可以实现对用 户恶意行为的问责。

3)通过采集、分析中国科技网(CSTNet)的路由器数据，评估了本发明的开销。结果显示，本发明具有较小的网络开销。例如，相较于不使用本发明，在数据传输过程仅需要增加10MB左右的存储空间，增加的带宽开销平均仅5Mbps。需要注意的是该数据采集自一个运营商级别网络的边界路由器。如果网络规模较小，所需要的开销将会更小。

附图说明

图1是在用户和服务提供商之间设置代理的示意图。

图2是注册过程和传输过程整体流程图。

图3是注册过程示意图。

图4是传输过程示意图。

具体实施方式

下面通过具体实施例和附图，对本发明做进一步详细说明。

如图1所示，在用户(Client，如银行等企业，见图1中的A、B、C)和服务提供商(Service Provider，如提供云计算服务的企业，见图1中的D、E、F)中间经过的部分可以称为代理 (Delegate)。其目的是断掉用户和数据的关联关系(即保护用户的身份信息不被计算服务商/ 计算中心获知)，隐匿用户的地址信息，对数据的来源进行“混淆”。该代理可通过代理服务 器实现，下文简称为“代理”。

本方案主要分为两个过程，即：注册过程(Registration)和传输过程(Transmission)。 该机制的架构和流程如图2所示。

1.注册过程/Registration

注册过程如图3所示，可以分为三个步骤：

1)用户/客户(Client)发送请求(Request)给代理(Delegate)，告诉代理自己想使用它 的服务，帮助隐藏自己的地址，即请求代理提供隐私保护服务。如果代理接受了请求，则将 自己可以合作的服务提供商列表发给客户。该过程仅当客户第一次与代理联系的时候需要(故 是用虚线表示)，或者过一段时间请求一次，以便获取最新的服务提供商列表。即，并非每一 次都需要。

2)客户通知代理自己使用哪一个服务提供商提供的服务。同时，客户将本次服务将使用 的SID发送(告知)代理。其中，SID是Service ID，即服务标识符。

3)代理将验证SID的真伪，验证SID是否是盗用的服务标识符，以及客户的真实性。该 过程使用标识符自验证技术实现(Mazieres D，Kaminsky M，Kaashoek MF，and WitchelE， “Separating key management from file system security，”SIGOPS OperatingSystems Review，33(5)， 124-139，1999.)。

通过这一系列过程，代理将维护一个服务映射表(Service Mapping Table)，该服务映射表 的示例如表1所示。

表1.服务映射表

Service ID	Client Information	Provider Information
			SID1	202.196.96.***	159.226.192.***
SID2	128.2.42.***	159.226.186.***/......
			SID3	101.227.175.***	Tencent Cloud
SID4	client ID	CSTNet Cloud
			......	......	......

其中，Client Information是指有关用户的信息，例如用户的地址，或者用户的名称、代号 (即表中的client ID)等信息；Provider Information是指计算服务提供商(计算中心)的信息， 如地址、名称、代号。由于在分布式网络中，同一个任务可能发给多台服务器进行运算，因 此Provider Information可能有多条信息(多条IP地址)同时存在，他们同属于一个服务提供 商。

Service ID(SID)是本机制的关键设计，具有自验证的特性，即无需第三方的参与，可 以验证该标识符是否属于声称的拥有者。Service ID将用于标识同一个用户不同批次的服务请 求，Service ID的生成方法是：

H是哈希算法，||代表并列关系(并存、和的意思)。Timestamp(时间戳)是服务请求开 始的时间；是客户/用户的公钥。其中，Timestamp用于区分同一个用户(数据发送者) 的不同服务。一方面为了实现标识符SID的自验证，另外可以用于区别开同一个代理 的不同客户(即很多客户共用一个代理的时候，需要区分开，使得产生的标识符不同)。

2.传输过程/Transmission

传输过程如图4所示，该过程包括四个步骤：

1)客户发送数据给代理，在此过程中，数据包的源地址(Source Address)是客户的地 址，目的地址(Destination Address)是代理的地址。

2)代理将数据包转发给服务提供商的服务器(Server)。这个过程，源地址为代理的地址， 目的地址为服务器的地址。通过这个过程，成功隐藏了客户的源地址。

3)服务提供商的服务器计算结果，并返回给代理。

4)代理将计算的结果返回给客户。

在这个过程中，数据(Data)全程加密(可以使用对称加密或者非对称加密算法)，因此 代理无法知道具体的数据/内容。代理只知道哪个客户使用了哪家服务而已。服务映射表在这 个过程中起到映射作用，使得可以顺利的转发数据，并在结果返回后转发给客户。

3.应对恶意行为

在本架构中，可以使用Verify和Shutoff协议来应对安全问题。Verify即验证数据包所属 的服务(Service)是否来源可查。如果来源不明，即无法通过某种方式(例如代理)找到发 送者，则可以将数据包丢弃，停止转发。如果遇到恶意的攻击，可以通过Shutoff协议来及时 报告、关停发送行为。

路由器(中间节点)、代理、接收者可以发送Verify请求。可表示为：

其中，Verify(service)表示验证该服务(Service)是否存在，是否有代理为它的行为担保 的过程；P_header为数据包的头部，MAC(Message Authentication Code)可用于验证发送的内容 是否被篡改，K_verify为验证者使用的密钥，用于确保验证者发送的内容没有被篡改。

该过程分为两种情况：

第一种情况出现在数据传输位于客户和代理之间。Verify是由路由器、代理等节点将验证 请求发送给客户，即数据包的发送者(Sender)。如果通过验证，则路由器、代理转发数据包， 否则，丢弃数据包，后续携带该SID的数据包也将被丢弃。

第二种情况出现在代理和服务提供商的服务器之间。即数据在代理发给服务提供商的过 程中。此时，路由器、服务提供商的Verify请求将发送给代理。代理需要确认携带该SID的 数据包是不是自己转发的。如果是，路由器正常转发，服务商安心接收。如果不是，说明是 中间某些恶意节点盗用标识符(SID)，或者发起了攻击，路由器停止转发，服务提供商停止 接收数据。

如果代理通过核实，证实了该服务是自己的客户注册过的，并且没有被其他节点(如接 收者)举报过，则告知验证者，该服务通过了验证。验证者将继续转发数据包。如果没有收 到，则将数据包丢弃，并停止后续对该服务所有数据包的转发。因为该服务是“来源不明” 的，没有代理为之担保，是不可信的。

验证者不需要对每一个数据包均进行验证，而是可以间隔性地对某一服务进行验证。例 如，在通过某个服务中的一个数据包完成对该服务的验证后，一段时间内认为该服务是可信 的、安全的。在过了这段时间(可以自行设置验证有效期，例如30秒)之后，如果该服务还 在继续发送数据包，则继续利用其中的一个数据包来完成验证。

代理、数据的接收者(计算服务提供商)可以在判断遭到恶意攻击后发送Shutoff消息， 关停、阻止数据包的发送。可表示为：

其中，Shutoff(service)表示举报者告知代理某用户发送的数据为恶意数据的过程，在收 到Shutoff信息并核实之后，代理将暂时关停对该服务(Service)的后续验证，这样可以达到 阻止该服务所包含的后续数据(数据包)被转发的目的，从而实现及时阻止恶意行为持续进 行的目的。因为一旦关停对该服务的验证，则后续的验证者再发送验证请求的时候，将得不 到验证通过的答复，从而后续的数据包将不会再被转发。进而实现了阻止恶意行为持续的目 的。duration为关停验证的时间，可根据情况自行设定。

本发明提供的Shutoff协议可以及时阻止恶意行为的持续进行，对于危害较小的恶意行为， 目的已经达到。对于危害较大的恶意行为，例如对于造成了重大的经济损失的行为，代理可 以通过举报者发送的Shutoff信息，查询服务映射表(上文提及)的ClientInformation，确定 攻击的来源和攻击者的身份，例如属于哪一个公司、机构，甚至来自于该公司的哪一台主机。 之后，可以根据实际需要，通过法律等手段，进一步追责。

4.关于代理(Delegate)的部署方式

代理可以由可信第三方(如政府机构、非营利组织、企业组成的联盟等)负责运行和维 护。代理可以位于用户和服务提供商之间的位置。建议在靠近服务提供商的地方，或者服务 提供商较为集中的区域。这样，可以汇聚更多的匿名请求、提供更多匿名服务，同时可以有 效降低开销。即，避免绕远。

代理可以根据实际需要，分区域部署。用户可以综合考虑服务质量、服务效率、安全性、 可靠性等因素，自主选择代理。

除了以上方式外，用户也可以经过多个代理(例如2个)，来实现对自己的身份的加强保 护。在这种情况下，主要过程与上文介绍的方法一致，经过的第2个代理相当于一个接收者， 仅知道数据来自哪个代理，而不知道数据来自哪个客户。然后数据再转发给真正的目的地。 在第2个代理转发数据的时候，第1个代理相当于发送者的身份。Verify和Shutoff协议的组 成与上文描述的相同。

5.开销评估

在本发明方法的实现过程中，需要增加带宽的开销。因为与传统的网络协议相比，需要 在数据包头部增加SID标识符字段。每个开销20bytes。本发明采集了中国科技网(CSTNet) 某台边界路由器的NetFlow数据，结果显示，在注册过程中带宽平均增加165Kbps，在数据 传输过程中带宽平均增加5Mbps。这对于一个运营商级别的网络而言，是很小的。因此，本 发明的机制/协议的开销增加有限，可以在现网中部署。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可 以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保 护范围应以权利要求书所述为准。

Claims (11)

1.一种在分布式网络中实现可信匿名访问的方法，其步骤包括：

1)客户端请求代理服务器提供隐私保护服务，代理服务器对客户端进行验证后实现客户端的注册；

2)客户端向代理服务器发送数据包，代理服务器将数据包转发给服务提供商的服务器，并在转发过程中隐藏客户端的源地址；代理服务器接收到服务提供商的服务器返回的计算结果后将其转发给客户端；

3)在客户端向代理服务器发送数据包的过程中，代理服务器和/或位于客户端和代理服务器之间的路由器将对数据包所属的服务的验证请求发送给客户端，如果通过验证则路由器、代理服务器转发客户端发送的数据包，如果未通过验证则丢弃数据包；

4)在代理服务器将数据包转发给服务提供商的服务器的过程中，服务提供商的服务器和/或位于代理服务器和服务提供商的服务器之间的路由器将对数据包所属的服务的验证请求发送给代理服务器，如果通过验证则路由器转发数据包，服务提供商的服务器接收数据包；如果未通过验证则路由器停止转发数据包，服务提供商的服务器停止接收数据包。

2.如权利要求1所述的方法，其特征在于，代理服务器、位于客户端和代理服务器之间的路由器、位于代理服务器和服务提供商的服务器之间的路由器、或者服务提供商的服务器，在判断某服务属于恶意攻击后，关停代理服务器对该服务的后续验证，进而阻止数据包的发送。

3.如权利要求1所述的方法，其特征在于，步骤1)包括：

1-1)客户端向代理服务器发送请求，请求代理服务器提供隐私保护服务；

1-2)客户端将其准备使用的服务提供商和服务标识符告知代理服务器；

1-3)代理服务器对服务标识符进行验证，验证服务标识符的真伪以及客户端的真实性。

4.如权利要求3所述的方法，其特征在于，步骤1-1)中代理服务器接受客户端的请求后，将自己合作的服务提供商列表发给客户端。

5.如权利要求3所述的方法，其特征在于，步骤1-2)所述服务标识符的生成方法是：

其中，H是哈希算法，||代表并列关系，Timestamp是服务请求开始的时间，用于区分同一个客户端的不同服务；是客户端的公钥，用于实现服务标识符的自验证，并用于区别开同一个代理服务器的不同客户端。

6.如权利要求1所述的方法，其特征在于，步骤2)的整个过程进行加密处理，使代理服务器无法知道具体的数据内容。

7.如权利要求1所述的方法，其特征在于，步骤2)所述隐藏客户端的源地址的方法是：

a)客户端发送数据包给代理服务器，该过程的源地址是客户端的地址，目的地址是代理服务器的地址；

b)代理服务器将数据包转发给服务提供商的服务器，该过程的源地址为代理服务器的地址，目的地址为服务提供商的服务器的地址，从而隐藏客户端的源地址。

8.如权利要求1所述的方法，其特征在于，所述代理服务器维护一个服务映射表，所述服务映射表中包括服务标识符、客户端信息、服务提供商信息的对应关系；对于恶意行为，代理服务器通过举报者发送的Shutoff信息，查询所述服务映射表中的客户端信息，确定攻击的来源和攻击者的身份，进而实现行为问责。

9.一种代理服务器，其特征在于，包括：

注册模块，用于接收客户端的请求提供隐私保护服务的请求，并对客户端进行验证后实现客户端的注册；

数据包转发模块，用于接收客户端发送的数据包，将该数据包转发给服务提供商的服务器，在转发过程中隐藏客户端的源地址；并在接收到服务提供商的服务器返回的计算结果后将其转发给客户端；

验证模块，用于在接收客户端发送的数据包的过程中，将对数据包所属的服务的验证请求发送给客户端，如果通过验证则由所述数据包转发模块转发客户端发送的数据包，如果未通过验证则丢弃数据包；以及在将数据包转发给服务提供商的服务器的过程中，接收服务提供商的服务器和/或位于代理服务器和服务提供商的服务器之间的路由器发送的对数据包所属的服务的验证请求，并进行验证，以便路由器和/或服务提供商的服务器根据验证结果决定是否转发或接收数据包。

10.如权利要求9所述的代理服务器，其特征在于，还包括行为问责模块，用于维护一个服务映射表，其中包括服务标识符、客户端信息、服务提供商信息的对应关系；对于恶意行为，所述行为问责模块通过举报者发送的Shutoff信息，查询所述服务映射表中的客户端信息，确定攻击的来源和攻击者的身份，进而实现行为问责。

11.一种在分布式网络中实现可信匿名访问的系统，其特征在于，包括客户端、代理服务器和服务提供商的服务器：

代理服务器接收客户端的请求提供隐私保护服务的请求，并对客户端进行验证后实现客户端的注册；

客户端向代理服务器发送数据包，代理服务器将数据包转发给服务提供商的服务器，并在转发过程中隐藏客户端的源地址；代理服务器接收到服务提供商的服务器返回的计算结果后将其转发给客户端；

在客户端向代理服务器发送数据包的过程中，代理服务器和/或位于客户端和代理服务器之间的路由器将对数据包所属的服务的验证请求发送给客户端，如果通过验证则路由器、代理服务器转发客户端发送的数据包，如果未通过验证则丢弃数据包；

在代理服务器将数据包转发给服务提供商的服务器的过程中，服务提供商的服务器和/或位于代理服务器和服务提供商的服务器之间的路由器将对数据包所属的服务的验证请求发送给代理服务器，如果通过验证则路由器转发数据包，服务提供商的服务器接收数据包；如果未通过验证则路由器停止转发数据包，服务提供商的服务器停止接收数据包。