CN109413089A - 分布式网络匿名通信方法、装置及存储介质 - Google Patents
分布式网络匿名通信方法、装置及存储介质 Download PDFInfo
- Publication number
- CN109413089A CN109413089A CN201811380158.0A CN201811380158A CN109413089A CN 109413089 A CN109413089 A CN 109413089A CN 201811380158 A CN201811380158 A CN 201811380158A CN 109413089 A CN109413089 A CN 109413089A
- Authority
- CN
- China
- Prior art keywords
- block
- information
- onion
- signing messages
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2539—Hiding addresses; Keeping addresses anonymous
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种分布式网络匿名通信方法、装置及存储介质。所述方法包括:为发送方的IP地址分配假名,将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;将各初始信息块及各签名信息块反馈给发送方,以使发送方在利用初始信息块和签名信息块通过验证后,确定通信路径;对通信路径中的洋葱路由器进行封装获得洋葱包,洋葱包中封装有初始信息块和签名信息块;根据洋葱包进行匿名通信,并在通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;根据接收方的匿名撤销请求,利用假名和最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。本发明实现了对匿名通信发送方IP地址的恢复。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种分布式网络匿名通信方法、装置及存储介质。
背景技术
随着信息化向大整合、高共享、深度应用大步迈进,信息资源的种类和数量迅速增加,信息集中度和敏感度明显提高,信息应用和共享方式日趋复杂,信息安全工作面临极大挑战。通常使用加密技术保护通信双方通信信息,使攻击者很难知道通信的内容,但是却不能防止攻击者通过跟踪数据包发现通信双方的一些连接信息进而得到通信双方的身份信息。如果没有一些防范措施,攻击者很容易就可以得到通信双方的身份信息。因此出现了一种可以保护通信者身份信息的通信协议,这种可以防止通信量分析且不暴露通信者身份信息的通信方式称为匿名通信。匿名通信技术相较于加密技术,实现保密通信之外,还隐藏了通信实体身份和通信关系,在保护个人隐私和为国防军事部门提供安全通信具有实际意义。
但是目前匿名通信技术是保护通信双方身份信息,由于其匿名性,使得匿名通信被滥用,而无法追踪匿名滥用者的恶意攻击。为了实现匿名通信,代理路由器在封装洋葱包时隐匿了包的源IP地址,而中间洋葱路由器也只是简单地进行洋葱包的解密和传递,因此,当主机受到匿名滥用者的恶意攻击时,无法知道攻击者的信息,无法实施通信者的源IP地址的恢复、追踪与防范。
发明内容
本发明实施例提供一种分布式网络匿名通信方法、装置及计算机可读存储介质,用以解决现有技术中存在的无法对通信者的源IP地址进行恢复、追踪的问题。
第一方面,本发明实施例提供一种分布式网络匿名通信方法,所述方法包括以下步骤:
为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;
将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
对所述通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
可选的,所述为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块,具体包括:
将洋葱路由器划分成若干组,并为各组洋葱路由器增设对应的组管理实体;
依据组管理实体的个数对IP地址进行划分,获得与组管理实体数量一致的初始信息块;
将所述假名以及各初始信息块一一对应分发给各组管理实体,以供各组管理实体对信息块进行签名,获得签名信息块。
可选的,所述对IP地址进行划分的方法为:
采用Asmuth-Bloom秘密共享方案将IP地址进行划分成n个初始信息块,IP1~IPn,具体包括如下步骤:
构建(t,n)Asmuth-Bloom序列p0,p1,pt…,pn,使得gcd(pi,pj)=1(0≤i,j≤n,i≠j),且p0pn-t+2…pn<p1…pt;其中n为组管理实体的个数,t为恢复发送者IP地址需要的最少组管理实体的个数。
将IP地址作为共享秘密,计算每个初始信息块IPi=(IP+a·p0)modpi,其中a为随机整数,且IP+a·p0∈Zp1…pt。
可选的,所述将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径,具体包括:
将各所述初始信息块及各所述签名信息块反馈给发送方后,洋葱路由器接收发送方发送的各初始信息块和各签名信息块,并由所述洋葱路由器所在的组管理实体的公钥对各签名信息块中的与该组管理实体对应的签名信息块进验证;
验证通过后,采用源路由的方法选择通信路径。
可选的,所述对通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块,具体包括:
沿着所述数据传输的反向,对所述通信路径中各洋葱路由器的路由信息以及与各洋葱路由器对应的组管理实体中的初始信息块和签名信息块进行层层加密封装,获得洋葱包。
可选的,所述根据所述洋葱包进行匿名通信,具体包括:所述通信路径中的洋葱路由器收到洋葱包后,用所述洋葱路由器的私钥解开洋葱包的对应外层,并利用所述洋葱路由器所在组的组管理实体的公钥验证洋葱包中的初始信息块和签名信息块,验证通过后得出的下一跳洋葱路由器的地址,进行洋葱包的转发。
可选的,所述根据接收方的恢复请求,利用所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复,具体包括:
接收接收方发送的恢复请求,并接收组管理实体依据所述恢复请求上传的初始信息块和与所述初始信息块对应的假名;
将所述假名发送给各其它组管理实体,并接收各其它组管理实体依据所述假名上传的信息块;
根据接收到的所有的信息块对发送方的IP地址进行恢复,获得IP地址。
可选的,所述根据接收到的所有的初始信息块对发送方的IP地址进行恢复,获得IP地址,具体包括:依据Asmuth-Bloom秘密共享方案恢复策略,对接收到的所有初始信息块进行求解同余方程组处理,获得IP地址。
第二方面,本发明实施例提供一种分布式网络匿名通信装置,包括:
划分模块,用于为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;
确定模块,用于将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
签名模块,用于对通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
通信模块,用于根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
匿名撤销模块,用于根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
第三方面,本发明实施例提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如下方法步骤:
为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;
将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
对所述通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
本发明实施例通过可以利用全局管理实体为发送方的IP地址分配假名、并将发送方的IP地址划分出若干初始信息块,将初始信息块及签名信息块封装在洋葱包中,并在通信完成后将洋葱包中的初始信息块和签名信息块保存在最后一个洋葱路由器中,当需要对发送方的IP地址进行恢复时,只需将最后一个洋葱路由器中的初始信息块和签名信息块上传,利用初始信息块和签名信息块以及假名便可查找获得所有初始信息块,实现对源IP地址的恢复。由此解决了现有技术中无法对匿名攻击者的IP地址进行恢复的问题。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明第一实施例分布式网络匿名通信方法流程图;
图2为本发明第二实施例分布式网络匿名通信方法流程图;
图3为本发明第三实施例分布式网络匿名通信装置结构框图;
图4为本发明第五实施例分布式网络匿名通信过程示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明第一实施例提供一种分布式网络匿名通信方法,如图1所示,包括以下具体步骤:
步骤S101,为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;本步骤中执行主体可以为全局管理实体。
步骤S102,将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
步骤S103,对所述通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
步骤S104,根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
步骤S105,根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
本发明实施例中通过在最后一个洋葱路由器中保存发送方的初始信息块,当接收方收到匿名攻击、需要恢复发送方的IP地址时,可以将保存在最后一个洋葱路由器中的初始信息块进行上传,获得假名,并利用假名获得所有初始信息块,再对初始信息块进行重组恢复获得发送方的IP地址,在保证匿名通信的前提下,实现对匿名滥用攻击者的匿名撤销。
本发明第二实施例提供一种分布式网络匿名通信方法,如图2所示,包括以下具体步骤:
步骤S201,将洋葱路由器划分成若干组,并为各组洋葱路由器增设对应的组管理实体;
步骤S201,依据组管理实体的个数对IP地址进行划分,获得与组管理实体数量一致的初始信息块;本步骤中,述对IP地址进行划分的方法为:采用Asmuth-Bloom(t,n)秘密共享方案将IP地址进行划分成n个初始信息块,IP1~IPn,具体包括如下步骤:构建(t,n)Asmuth-Bloom序列p0,p1,pt…,pn,使得gcd(pi,pj)=1(0≤i,j≤n,i≠j),且p0pn-t+2…pn<p1…pt;其中n为组管理实体的个数,t为恢复发送者IP地址需要的最少组管理实体的个数;将IP地址作为共享秘密,计算每个初始信息块IPi=(IP+a·p0)modpi,其中a为随机整数,且IP+a·p0∈Zp1…pt。
步骤S203,将所述假名以及各初始信息块一一对应分发给各组管理实体,以利用各组管理实体对初始信息块进行签名,获得签名信息块。
步骤S204,将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;本步骤中确定路径的具体方法为将各所述初始信息块及各所述签名信息块反馈给发送方后,洋葱路由器接收发送方发送的各初始信息块和各签名信息块,并由所述洋葱路由器所在的组管理实体的公钥对各签名信息块中的与该组管理实体对应的签名信息块进验证;验证通过后,采用源路方法的选择通信路径。
步骤S205,对所述通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;本步骤中获得洋葱包的具体方法为:沿着所述数据传输的反向,对所述通信路径中各洋葱路由器的路由信息以及与各洋葱路由器对应的组管理实体中的初始信息块和签名信息块进行层层加密封装,获得洋葱包。
步骤S206,根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;具体的通信方法为:通信路径中的洋葱路由器收到洋葱包后,用所述洋葱路由器的私钥解开洋葱包的对应外层,并利用所述洋葱路由器所在组的组管理实体的公钥验证洋葱包中的初始信息块和签名信息块,验证通过后得出的下一跳洋葱路由器的地址,进行洋葱包的转发。
步骤S207根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。本步骤中,根据接收方的恢复请求,利用所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复,具体包括:接收接收方发送的恢复请求,并接收组管理实体依据所述恢复请求上传的初始信息块和与所述初始信息块对应的假名;将所述假名发送给各其它组管理实体,并接收各其他组管理实体依据所述假名上传的信息块;根据接收到的所有的初始信息块对发送方的IP地址进行恢复,具体为:依据Asmuth-Bloom秘密共享方案恢复策略,对接收到的所有初始信息块进行求解同余方程组处理,获得IP地址。
本发明实施例通过利用全局管理实体为发送方的IP地址分配假名、并将发送方的IP地址划分成若干初始信息块,将初始信息块及签名信息块封装在洋葱包中,并在通信完成后将洋葱包中的初始信息块和签名信息块保存在最后一个洋葱路由器中,当需要对发送方的IP地址进行恢复时,只需将最后一个洋葱路由器中的初始信息块和签名信息块上传给对应的组管理实体,该组管理实体依据签名信息块获得对应的假名,并将假名和初始信息块上传给全局管理实体,全局管理实体将假名发送给其它组管理实体,并接收其他组管理实体上传的初始信息块,依据获得的所有信息块对发送方的IP地址进行恢复。
本发明第三实施例提供一种分布式网络匿名通信装置,如图3所示,包括:
划分模块1,用于为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;
确定模块2,用于将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
签名模块3,用于对通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
通信模块4,用于根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
匿名撤销模块5,用于根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
本发明第四实施例提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如如下方法步骤:
步骤一、为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;
步骤二、将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
步骤三、对所述通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
步骤四、根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
步骤五、根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
本发明第五实施例提供一种分布式网络匿名通信方法,包括,将洋葱路由器平分为n组,并为各组洋葱路由器增设组管理实体,同时设置与各组管理实体通信连接全局管理实体,如图4所示,为具有12个洋葱路由器的洋葱路由拓扑结构;通信过程如下:
1)建立连接阶段
首先,发送者A将IP地址发给全局管理实体T,T给A分配一个假名PA,并采用Asmuth-Bloom(t,n)秘密共享方案将发送者的IP地址分成n个IP信息块,IP1~IPn。具体划分方法如下:
构建(t,n)Asmuth-Bloom序列p0,p1,…,pn,使得gcd(pi,pj)=1(0≤i,j≤n,i≠j),且p0pn-t+2…pn<p1…pt。
将发送者IP地址作为共享秘密,计算每个信息块IPi=(IP+a·p0)modpi,其中a为随机整数,且IP+a·p0∈Zp1…pt。
全局管理实体T将假名PA和IP1~IPn,对应分发组管理实体M1、M2、…、Mn进行签名。
Mj保存PA和IPj,并使用组管理实体的私钥PVMj对IPj签名,获得SignMj(IPj),并将SignMj(IPj)返回给T,T将j、IPj(j=l~n)和SignMj(IPj)(j=1~n)返回给发送者A。
然后,发送者A随机选择S(洋葱路由器)进行匿名通信,将j、IPj(j=l~n)和SignMj(IPj)(j=1~n)发送给S,由S使用所在组的组管理实体MEl的公钥PBMl验证SignMl(IP1),验证通过后采用源路由的方式,随机选择路径,并根据路径中沿数据包所经过的路由站点从终点开始,逆向对路径中所有的路由信息使用中间路由器i的公钥Pki进行层层加密。洋葱包中封装了发送者A的部分IPj和SignMj(IPj),用来验证信息包的完整性和有效性,防止非授权洋葱包在匿名网络中传输,还可以作为跟踪信息追踪匿名滥用者的源IP地址。
具体的,在洋葱包传送过程中,中间洋葱路由器i收到洋葱包后,用自己的私钥解开洋葱包的对应外层,用所在组的组管理实体Mj的公钥验证IPj和SignMj(IPj),如果验证通过,并根据得出的下一跳路由器的地址,进行数据包的转发;否则说明是非法洋葱包,则丢弃。最后一个洋葱路由器保存IPj和SignMj(IPj),以备匿名撤销时使用。
为了使攻击者无法从入出信息包的长度上推断出它们的连接关系,中间洋葱路由器在解开洋葱包外层后,添加上填充符使输出的数据包具有相同的长度。
2)匿名数据传输阶段
发送者A与接收者B之间的匿名连接建立后,使用连接阶段的会话密钥KAB进行加密。本跳洋葱路由器收到上一跳送来的数据包时,用(路由器的)会话密钥进行解密,并根据数据包中的匿名连接符,查找下一条路由,并使用两者间的回话密钥重新打包加密,输出到下一洋葱路由器。
3)清除连接阶段
采用特殊的信息包发出清除请求,洋葱路由器接收到之后,一方面向前传,另一方面回送确认包,并且不再在该匿名连接上发信息包,接到确认包的洋葱路由器释放该连接,即将该路径记录删除。最后一个洋葱路由器将继续保存IPj和SignMj(IPj),直到接收者B发出清除请求。
4)匿名撤销过程
当接收者B发现受到匿名滥用者攻击时,向全局管理实体T以及洋葱路由器R发出撤销匿名的请求,要求获得发送者A的源IP地址。首先,接收者向T和代理洋葱路由器R发出撤销请求,R(设在k组内)将IPk发送给对应的组管理实体Mk,Mk将IPk和假名PA发送给T;T收到B发出的撤销匿名请求和Mk送来的IPk和PA后,将PA转发给其他的Mj(j=(1,n),j≠k),Mj根据假名PA查找出对应的IPj,然后将PA和IPj传送给T。T根据收到大于等于t个IPj,基于Asmuth-Bloom(t,n)秘密共享方案恢复策略,求解同余方程组,即可恢复出信息发送者A的IP。T恢复出IP后,进行攻击确认后,将IP发送给接收者B。
本发明实施例是秘密共享策略在可追踪匿名通信的一个有效方法,解决了匿名通信被滥用的关键问题。同时秘密共享策略离散对数难解的PN问题为安全基础,可有效抵抗多方密谋攻击,使得本技术具有将强的健壮性和抗攻击性。同时秘密共享策略家族还有多秘密共享、多等级共享等成员,可有效支撑未来匿名通信对匿名撤销的系列需求。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种分布式网络匿名通信方法,其特征在于,所述方法包括以下步骤:
为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;
将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
对所述通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
2.如权利要求1所述的分布式网络匿名通信方法,其特征在于,所述为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块,具体包括:
将洋葱路由器划分成若干组,并为各组洋葱路由器增设对应的组管理实体;
依据组管理实体的个数对IP地址进行划分,获得与组管理实体数量一致的初始信息块;
将所述假名以及各初始信息块一一对应分发给各组管理实体,以供各组管理实体对信息块进行签名,获得签名信息块。
3.如权利要求2所述的分布式网络匿名通信方法,其特征在于,所述对IP地址进行划分的方法为:
采用Asmuth-Bloom秘密共享方案将IP地址进行划分成n个初始信息块,IP1~IPn,具体包括如下步骤:
构建(t,n)Asmuth-Bloom序列p0,p1,pt…,pn,使得gcd(pi,pj)=1(0≤i,j≤n,i≠j),且p0pn-t+2…pn<p1…pt;其中n为组管理实体的个数,t为恢复发送者IP地址需要的最少组管理实体的个数
将IP地址作为共享秘密,计算每个初始信息块IPi=(IP+a·p0)modpi,其中a为随机整数,且IP+a·p0∈Zp1…pt。
4.如权利要求2所述的分布式网路匿名通信方法,其特征在于,所述将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径,具体包括:
将各所述初始信息块及各所述签名信息块反馈给发送方后,洋葱路由器接收发送方发送的各初始信息块和各签名信息块,并由所述洋葱路由器所在的组管理实体的公钥对各签名信息块中的与该组管理实体对应的签名信息块进验证;
验证通过后,采用源路由的方法选择通信路径。
5.如权利要求2所述的分布式网络匿名通信方法,其特征在于,所述对通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块,具体包括:
沿着所述数据传输的反向,对所述通信路径中各洋葱路由器的路由信息以及与各洋葱路由器对应的组管理实体中的初始信息块和签名信息块进行层层加密封装,获得洋葱包。
6.如权利要求2所述的分布式网络匿名通信方法,其特征在于,所述根据所述洋葱包进行匿名通信,具体包括:所述通信路径中的洋葱路由器收到洋葱包后,用所述洋葱路由器的私钥解开洋葱包的对应外层,并利用所述洋葱路由器所在组的组管理实体的公钥验证洋葱包中的初始信息块和签名信息块,验证通过后得出的下一跳洋葱路由器的地址,进行洋葱包的转发。
7.如权利要求2所述的分布式网络匿名通信方法,其特征在于,所述根据接收方的恢复请求,利用所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复,具体包括:
接收接收方发送的恢复请求,并接收组管理实体依据所述恢复请求上传的初始信息块和与所述初始信息块对应的假名;
将所述假名发送给各其它组管理实体,并接收各其它组管理实体依据所述假名上传的信息块;
根据接收到的所有的信息块对发送方的IP地址进行恢复,获得IP地址。
8.如权利要求7所述的分布式网络匿名通信方法,其特征在于,所述根据接收到的所有的初始信息块对发送方的IP地址进行恢复,获得IP地址,具体包括:依据Asmuth-Bloom秘密共享方案恢复策略,对接收到的所有初始信息块进行求解同余方程组处理,获得IP地址。
9.一种分布式网络匿名通信装置,其特征在于,其特征在于,包括:
划分模块,用于为发送方的IP地址分配假名,并将IP地址分成若干初始信息块,以对各初始信息块签名,获得若干签名信息块;
确定模块,用于将各所述初始信息块及各所述签名信息块反馈给发送方,以使发送方在利用所述初始信息块和所述签名信息块通过验证后,确定通信路径;
签名模块,用于对通信路径中的洋葱路由器进行封装获得洋葱包,其中所述洋葱包中封装有初始信息块和签名信息块;
通信模块,用于根据所述洋葱包进行匿名通信,并在所述通信路径中的最后一个洋葱路由器中保存初始信息块和签名信息块;
匿名撤销模块,用于根据接收方的清除请求,清除所述最后一个洋葱路由器中保存的初始信息块和签名信息块;或者,根据接收方的匿名撤销请求,利用所述假名和所述最后一个洋葱路由器中保存的初始信息块和签名信息块对发送方的IP地址进行恢复。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-8中任意一项所述分布式网络匿名通信方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811380158.0A CN109413089A (zh) | 2018-11-20 | 2018-11-20 | 分布式网络匿名通信方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811380158.0A CN109413089A (zh) | 2018-11-20 | 2018-11-20 | 分布式网络匿名通信方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109413089A true CN109413089A (zh) | 2019-03-01 |
Family
ID=65474148
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811380158.0A Pending CN109413089A (zh) | 2018-11-20 | 2018-11-20 | 分布式网络匿名通信方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109413089A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110784321A (zh) * | 2019-11-06 | 2020-02-11 | 曲阜师范大学 | 一种新的基于公私钥密码机制的安全匿名通信协议 |
CN111885042A (zh) * | 2020-07-20 | 2020-11-03 | 北京沃东天骏信息技术有限公司 | 访问网站的处理方法、装置、设备及存储介质 |
CN113572727A (zh) * | 2021-06-08 | 2021-10-29 | 深圳市国电科技通信有限公司 | 一种基于p2p网络路由节点的数据安全隐蔽传输方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6952769B1 (en) * | 2000-04-17 | 2005-10-04 | International Business Machines Corporation | Protocols for anonymous electronic communication and double-blind transactions |
CN101635918A (zh) * | 2009-08-19 | 2010-01-27 | 西安电子科技大学 | 分层洋葱环路由方法 |
CN102572822A (zh) * | 2010-12-15 | 2012-07-11 | 中国科学技术大学 | 一种实现安全路由的方法和装置 |
CN105847235A (zh) * | 2016-03-14 | 2016-08-10 | 安徽大学 | 一种车联网环境下基于身份的高效匿名批认证方法 |
CN106453428A (zh) * | 2016-12-15 | 2017-02-22 | 中国科学院上海微系统与信息技术研究所 | 一种适用于manet网络层的匿名安全通信方法 |
-
2018
- 2018-11-20 CN CN201811380158.0A patent/CN109413089A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6952769B1 (en) * | 2000-04-17 | 2005-10-04 | International Business Machines Corporation | Protocols for anonymous electronic communication and double-blind transactions |
CN101635918A (zh) * | 2009-08-19 | 2010-01-27 | 西安电子科技大学 | 分层洋葱环路由方法 |
CN102572822A (zh) * | 2010-12-15 | 2012-07-11 | 中国科学技术大学 | 一种实现安全路由的方法和装置 |
CN105847235A (zh) * | 2016-03-14 | 2016-08-10 | 安徽大学 | 一种车联网环境下基于身份的高效匿名批认证方法 |
CN106453428A (zh) * | 2016-12-15 | 2017-02-22 | 中国科学院上海微系统与信息技术研究所 | 一种适用于manet网络层的匿名安全通信方法 |
Non-Patent Citations (2)
Title |
---|
段桂华等: "一种基于洋葱路由的可撤销匿名通信方案", 《计算机工程与应用》 * |
谷利泽等: "《现代密码学教程》", 31 March 2015 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110784321A (zh) * | 2019-11-06 | 2020-02-11 | 曲阜师范大学 | 一种新的基于公私钥密码机制的安全匿名通信协议 |
CN110784321B (zh) * | 2019-11-06 | 2022-03-29 | 曲阜师范大学 | 一种新的基于公私钥密码机制的安全匿名通信方法 |
CN111885042A (zh) * | 2020-07-20 | 2020-11-03 | 北京沃东天骏信息技术有限公司 | 访问网站的处理方法、装置、设备及存储介质 |
CN113572727A (zh) * | 2021-06-08 | 2021-10-29 | 深圳市国电科技通信有限公司 | 一种基于p2p网络路由节点的数据安全隐蔽传输方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhou et al. | Securing ad hoc networks | |
Rathore et al. | Real-time secure communication for Smart City in high-speed Big Data environment | |
Memon | A secure and efficient communication scheme with authenticated key establishment protocol for road networks | |
CN110891066B (zh) | 一种基于同态加密方案的代理型匿名通信方法 | |
CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
CN112039872A (zh) | 基于区块链的跨域匿名认证方法及系统 | |
CN107579979A (zh) | 基于区块链技术的电子病历的共享查询方法 | |
TWI292273B (en) | Apparatus of using watermarking to reduce communication overhead and method for the same | |
CN113194469A (zh) | 基于区块链的5g无人机跨域身份认证方法、系统及终端 | |
CN112199726A (zh) | 一种基于区块链的联盟信任分布式身份认证方法及系统 | |
CN107078898A (zh) | 一种在多路径网络上建立安全私人互连的方法 | |
CN109413089A (zh) | 分布式网络匿名通信方法、装置及存储介质 | |
CN109510832A (zh) | 一种基于动态黑名单机制的通信方法 | |
Chen | TCABRP: a trust-based cooperation authentication bit-map routing protocol against insider security threats in wireless ad hoc networks | |
US20130219172A1 (en) | System and method for providing a secure book device using cryptographically secure communications across secure networks | |
Zhang et al. | A privacy-preserving and secure framework for opportunistic routing in DTNs | |
Wang et al. | Anonymous sensory data collection approach for mobile participatory sensing | |
EP2154822A2 (en) | Securing multicast data | |
CN109951298A (zh) | 访问服务器的方法、设备及计算机可读存储介质 | |
US11582201B1 (en) | Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers | |
CN102572822A (zh) | 一种实现安全路由的方法和装置 | |
ShenTu et al. | Transaction remote release (TRR): A new anonymization technology for bitcoin | |
Daniels | Reference models for the concealment and observation of origin identity in store-and-forward networks | |
Raheem et al. | A secure authentication protocol for IP-based wireless sensor communications using the Location/ID Split Protocol (LISP) | |
Wang et al. | A consortium blockchain-based model for data sharing in Internet of Vehicles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190301 |