CN111131145A - 一种隐匿通信关键节点的管理查询系统及方法 - Google Patents
一种隐匿通信关键节点的管理查询系统及方法 Download PDFInfo
- Publication number
- CN111131145A CN111131145A CN201911085165.2A CN201911085165A CN111131145A CN 111131145 A CN111131145 A CN 111131145A CN 201911085165 A CN201911085165 A CN 201911085165A CN 111131145 A CN111131145 A CN 111131145A
- Authority
- CN
- China
- Prior art keywords
- key node
- key
- user
- node set
- query
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于信息安全技术领域,公开了一种隐匿通信关键节点的管理查询系统及方法。该系统包含关键节点集管理查询服务器、网络用户终端以及关键节点终端。关键节点集管理查询服务器可为网络用户终端提供注册和分发密钥服务、生成与管理关键节点集与用户集、监测带宽异常节点、为网络用户终端提供关键节点集查询服务;网络用户终端可以向关键节点集管理查询服务器发送加密的查询服务请求;关键节点终端在向客户端发送回传数据时采用基于UDP协议的数据回传混淆策略,生成混淆目标,向真实客户端与混淆目标同时发送数据。本发明实现了关键节点的管理查询以及一种有效的数据回传混淆方案,提高了用户身份的隐匿性,用于加强隐匿通信系统安全性。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种隐匿通信关键节点的管理查询系统及方法。
背景技术
目前,最接近的现有技术:随着"棱镜门"事件的曝光,网络用户的身份隐私泄露问题成为人们关注的焦点。现代匿名通信系统可以追溯到Chaum提出的 Mix-Net设计。在随后的发展过程中,基于中继的匿名通信系统逐渐发展为两个方向,一种是以Babel,Mix-master,和Mixminion为代表的含有较大延迟的高性能匿名系统,另一种是以交互网络流量匿名为目的的低延迟匿名系统。
目前低延迟匿名通信系统在世界范围内使用较为广泛。其通信架构主要采用多节点转发数据、数据包分层加密等技术手段,其中通信链路的节点作为隐匿通信的重要组成一直是攻击者的重点攻击目标。隐匿通信系统的节点可分为三类:入口节点,负责直接与客户端交互的节点;中继节点,负责接收入口节点转发的数据并将其转发至下一节点;出口节点,负责接收中继节点转发的数据并将其发送至客户端需要发送的真实地址。虽然数据在转发过程中采用分层加密,单一节点无法获取完整链路的节点组成信息,数据管理查询,但是入口节点作为直接与客户端进行通信的节点,了解并掌握客户端的真实IP等相关网络信息,导致的技术问题:1.如果入口节点是攻击者在网络中部署的恶意节点,那么攻击者就可以掌握所有使用该入口节点的用户真实IP地址,攻击者可以结合流量关联攻击、时延统计等技术对用户进行去匿名化攻击,因此需要有效的关键节点管理分配方案降低网络中这些恶意节点对用户的影响范围;是隐匿通信网络中的关键节点。因此对关键节点的有效管理与利用是隐匿通信系统安全的重要保障。
目前现有的低延迟隐匿通信系统为保证用户的使用流畅性,在为用户分配入口节点时采用基于带宽和在线时间的权重随机分配方式,同时延长了入口节点的使用周期。
综上所述,现有技术存在的问题是:
1)根据节点选择分配算法,大量用户会选择具有高性能入口节点,但是仍有少部分用户会选择性能较为普通的入口节点,由于使用性能较弱的入口节点的用户数量较少,结合地域分布、使用时间等因素,难以保障这些用户的身份隐匿性。
2)现有的节点集管理方案存在重大缺陷,并未考虑攻击者可以通过改变恶意节点带宽的方式实现降低攻击成本与妥协关键节点集。
3)现有的隐匿通信系统均未考虑如何抵抗具有监控AS网络级别的攻击者发起的流量劫持、转发、关联攻击,缺少一种有效的针对AS级别攻击者的防御方案。
解决上述技术问题的意义:解决上述问题可以大幅提高现有低延迟匿名通信系统的安全性,模糊用户的节点使用特征,增加攻击者在网络中部署恶意节点的攻击成本、降低攻击效率;改善原有系统在设计上未充分考虑如何对抗具有可监控大范围网络的攻击者的设计缺陷。
发明内容
针对现有技术存在的问题,本发明提供了一种隐匿通信关键节点的管理查询系统及方法。
本发明是这样实现的,一种隐匿通信关键节点的管理查询方法所述隐匿通信关键节点的管理查询方法包括以下步骤:
第一步,网络用户终端注册,关键节点集管理查询服务器分发密钥;
第二步,关键节点集数据初始化,用户集管理模块初始化;
第三步,关键节点集异常点检测,关键节点集动态维护,用户终端产生服务查询请求;
第四步,用户终端发送查询器请求给关键节点集管理查询服务器,关键节点集管理查询服务器验证请求并提供查询服务;
第五步,关键节点集查询服务器发送结果给用户终端,用户终端验证查询信息,用户终端获取查询信息。
进一步,所述隐匿通信关键节点的管理查询方法的系统参数初始化包括:
1.1)关键节点集管理查询服务器选择一个安全参数κ,该安全参数κ越大,则系统的安全性能越好,同时系统的计算开销也越大;
1.2)关键节点集管理查询服务器采用国密SM2算法作为其非对称加密算法 ESM2(),根据安全参数生成长度为32位的私钥SKS;
1.3)关键节点集管理查询服务器根据生成的私钥SKS生成对应的公钥对 PKSer_PUX与PKSer_PUY;
1.4)关键节点集管理查询服务器使用国密SM3算法作为签名使用的杂凑函数HSM3();
1.5)关键节点集管理查询服务器保存自己的私钥SKS,公开系统参数 <PKSer_PUX,PKSer_PUY,ESM2(),HSM3()>;
所述隐匿通信关键节点的管理查询方法的网络用户终端注册包括:
进一步,所述隐匿通信关键节点的管理查询方法的所述隐匿通信关键节点的关键节点集数据初始化具体包括:
1)关键节点集管理查询服务器获取当前网络关键节点的最新参数信息;
2)数据存储模块存储关键节点集内各关键节点加入时所标识的带宽初始值;
3)关键节点集管理查询服务器将关键节点按照可用带宽大小进行降序排列;
4)关键节点集管理查询服务器将关键节点kn的带宽与关键节点集带宽阈值BWthreshold进行比对,计算,其中表示待增加的关键节点集带宽,其初始值为0。如果,则将关键节点gn加入到关键节点集Seti,生成独立身份标识Set_identity,同时将置0;如果,则按序选择下一个关键节点,当满足关键节点集带宽阈值标准时,将所选的数个关键节点加入到关键节点集,生成独立身份标识 Set_identity,同时将置0;
5)循环4),直至无关键节点可用或剩余关键节点可用带宽无法满足关键节点集带宽阈值;
6)关键节点集管理查询服务器将关键节点集与网络用户终端按照满二叉树的结构进行存储,关键节点集存储于树状结构的中间层,且必须覆盖所有叶子节点,叶子节点到根节点的所有路径中必须经过一个关键节点集;关键节点集采用随机分配的方式选择结点存储位置;关键节点加入关键节点集后除非关键节点集被删除否则不再更换关键节点集;
所述隐匿通信关键节点的管理查询方法的用户集管理模块初始化包括:
1)用户集管理模块获取生成的关键节点集数量;
2)用户集管理模块生成相应数量的用户集User_seti,为每个用户集随机生成独立身份标识User_identity;
4)用户集管理模块将用户随机分配至用户集;
5)用户集管理模块更新用户集用户容量;
6)用户集管理模块检索每个用户集中用户最后一次登录时间,如果距当前时间超过三个月,则将该用户从用户集中删除,当该用户再次使用时重新为其分配用户集;
7)用户集管理模块更新用户集用户容量;
8)用户集管理模块计算用户集平均用户容量,根据平均容量,计算各用户集与平均容量的倍率。表示为其中Ratei表示为用户集User_seti与平均用户集容量之间的倍率,表示用户集Useri的总用户量, Sumaverage表示用户集平均用户量。如果Ratei≥0.8,则将用户集Useri划分至选择权重为0.2的用户集组中,反之则将其划分至选择权重为0.8的用户集组中;
9)用户集管理模块采用基于权重的随机分配方式,为新用户计算分配用户集。
进一步,所述隐匿通信关键节点的管理查询方法的关键节点集异常节点检测包括:
1)关键节点集管理查询服务器获取关键节点相关状态参数信息;
2)关键节点集管理查询服务器更新带宽异常节点名单,移除其中限制期解除的异常节点;
3)关键节点集管理查询服务器比对带宽异常结点名单,移除名单内的关键节点;
4)数据存储模块根据关键节点带宽降序存储其相关信息;
5)关键节点集管理查询服务器计算关键节点集内各关键节点带宽变化率,表示为:其中ΔBW表示关键节点带宽变化率,BWnew表示当前共识文档所标明的关键节点带宽,BWoriginal表示该关键节点加入关键节点集时的初始带宽;
7)被加入带宽异常节点名单的关键节点将被移除关键节点标识,3个月内不再对其拒绝其关键节点标识申请,在此期间该节点仅作为中继节点使用;
所述隐匿通信关键节点的管理查询方法的关键节点集动态维护包括:
1)关键节点集管理查询服务器对当前关键节点集可用带宽BWi进行检测,当 BWi≤0.6BWthreshold,开始对该关键节点集Seti补充带宽;
3)关键节点集管理查询服务器从数据存储模块获取备用关键节点名单,根据备用关键节点带宽对其进行降序排序;
1)如果被删除关键节点集在树状存储结构中的兄弟节点也是一个关键节点集,则将此兄弟节点填充至父节点;如果它的兄弟节点不是一个关键节点集,寻找具有共同祖先的最低层关键节点集,并使用创建时间最新的关键节点集替换已删除的关键节点集;
2)将被删除的关键节点集所对应的用户集映射关系改为其存储位置中的兄弟节点集或替代节点集;
3)将删除的关键节点集所包含的关键节点加入备用关键节点名单,使用K-means聚类算法对其进行聚类;
3.2)遍历列表,计算关键节点带宽值距离质心的平方欧式距离,表示为: Dk=(BWi-BWk)2,其中Dk表示关键节点与第k个质心的平方欧式距离,BWi表示关键节点gi的带宽,BWk表示第k个质心的带宽值。选择计算出最小平方欧氏距离的质心,将关键节点加入该质心所对应的分组;
3.4)判断再次分组后质心值是否变化,如果未变化则分组结束,如果变化则继续分组。
进一步,所述隐匿通信关键节点的管理查询方法的用户终端生成服务查询请求包括:
1)用户终端根据当前需求生成服务查询内容,添加随机数、时间戳安全要素构成发送数据包;
3)用户终端将数据包发送至关键节点集管理查询服务器;
所述所述隐匿通信关键节点的管理查询方法的关键节点集管理查询服务器验证请求并提供查询服务包括:
2)关键节点集管理查询服务器确认请求内容,如果请求有效,生成请求结果;否则拒绝请求;
3)关键节点集管理查询服务器根据请求内容生成请求结果,添加随机数、时间戳等安全要素构成发送数据包;
5)关键节点集管理查询服务器将数据包发送给用户端;
所述所述隐匿通信关键节点的管理查询方法用户终端接收请求结果包括:
1)用户终端使用私钥SKs对接收到的关键节点集管理查询服务器请求响应数据包进行解密,同时使用关键节点集管理查询服务器的公钥对PKSer_PUX与 PKSer_PUY对其身份进行验证;
2)确认响应无误后处理请求结果内容;
用户终端根据接收到的数据挑选关键节点构建所需的安全传输路径。
进一步,所述隐匿通信关键节点的管理查询方法的隐匿通信关键节点集管理查询方法包括如下步骤:
第一步,关键节点客户端列表动态维护;
1)关键节点接收客户端链路构建连接请求;
2)关键节点将客户端IP地址、连接端口、连接开始时间等信息加入客户端列表;
4)当列表遍历完成后,计时器等待2min,之后继续下一轮动态维护。
第二步,关键节点混淆回传数据
1)关键节点从中继节点接收客户端Ci回传数据;
3)若筛选出的客户端数量满足,则关键节点从中随机选择两个客户端Ch与Ck作为客户端Ci的混淆目标,该混淆过程将持续至客户端Ci不再使用当前关键节点;若筛选出的客户端数量满足,则直接满足将满足条件的客户端Ch与Ck作为客户端Ci的混淆目标;若未筛选出满足条件的客户端,则将步骤2中的筛选条件修改为Ti-Tj<6min,并重复步骤3的判断步骤;若修改条件后依然无法筛选出合适的客户端作为混淆目标,则使用非混淆回传策略回传数据;
4)初始化混淆数据包,复制真实数据包,将复制数据包的IP地址与端口号修改为混淆目标的IP地址与端口号;
5)修改数据包负载标志位部分,结合具体发送情况,更新标志位信息,重新使用数据接收目标的对称秘钥进行加密;
6)随机生成数据回传顺序,根据顺序使用UDP协议发送数据。
本发明的另一目的在于提供一种实施所述隐匿通信关键节点的管理查询方法的隐匿通信关键节点的管理查询系统,所述隐匿通信关键节点的管理查询系统包括:关键节点集管理查询服务器和网络用户终端两大模块;
关键节点集管理查询服务器,完成系统初始化,并为用户提供注册,存储当前网络中可用关键节点相关参数状态信息,初始化关键节点集,监测关键节点带宽变化状态并对其进行动态管理,初始化用户集并分为用户分配用户集,接收用户终端发送的服务查询请求,计算查询响应结果,并发送给用户终端;
网络用户终端,发送加密的服务查询请求给关键节点集管理查询服务器,接收关键节点集管理查询服务器发送的查询响应结果,并对该响应结果执行解密操作,获得查询结果;
所述关键节点集管理查询服务器包括:系统初始化及注册模块、数据存储模块、关键节点集动态管理模块、用户集管理模块、服务器安全支持模块、请求响应模块;
数据存储模块,用于存储使用现有网络中可供使用的关键节点相关状态参数信息、存储带宽异常节点名单目录、存储关键节点集详细信息、存储用户集详细信息;
关键节点集动态管理模块,包括四个子模块:关键节点集创建子模块、关键节点集带宽维持子模块、关键节点集删除子模块、关键节点带宽监测子模块。其中关键节点集创建子模块,用于关键节点集初始化、根据备用关键节点带宽数量创建新的关键节点集;关键节点集带宽维持子模块用于确保关键节点集能够维持网络用户的正常使用,在关键节点集带宽低于设定阈值时及时从备用关键节点列表中获取可用关键节点并将其加入关键节点集;关键节点集删除子模块用于删除无法维持最低带宽标准的关键节点集,并对整体关键节点集的存储结构进行调整;关键节点带宽监测子模块用于检测关键节点集中带宽变动出现异常的关键节点;
用户集管理模块,用于生成用户集与关键节点集的映射关系,管理用户集内用户组成,为新用户分配用户集;
服务器安全支持模块,用于提供安全关键节点集服务器所需的加密算法和哈希算法;
请求响应模块:用于接用户终端发送的服务查询请求,生成查询响应结果,并将该查询响应结果发送给用户终端;
所述网络用户终端包括:查询请求模块、请求数据处理模块、用户端安全支持模块;
所述关键节点终端包括:混淆目标列表动态维护模块、混淆目标生成模块、混淆数据包生成模块;
查询请求模块,包括三个子模块:用户认证子模块、数据加密子模块、数据解密子模块;用户认证子模块,用于完成注册,对数据加密子模块发送的公钥加密的密文查询信息进行签名,生成服务查询请求发送给关键节点集管理查询服务器,并对接收到的关键节点集管理查询服务器发送的查询响应结果进行验证,将通过验证的查询响应结果发送给数据解密子模块;数据加密子模块,用于根据信息生成密文查询信息,使用关键节点集管理查询服务器公钥加密该密文查询信息,并将该加密的密文查询信息发送给医疗用户认证子模块;数据解密子模块,用于对用户认证子模块发送的通过验证的查询响应结果进行解密,获得查询结果;
用户安全支持模块,用于提供用户所需的加密算法和哈希算法。
本发明的另一目的在于提供一种实现所隐匿通信关键节点的管理查询方法的信息数据处理终端。
本发明的另一目的在于提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行所述的隐匿通信关键节点的管理查询。
综上所述,本发明的优点及积极效果为:本发明提出隐匿通信关键节点集的构建管理策略和基于UDP协议的数据回传混淆策略。关键节点集的构建管理策略包含关键节点集的生成策略、管理策略、基于带宽变化检测的异常节点管理策略、用户集生成与管理策略和网络用户的分配策略;数据回传混淆策略包含混淆目标列表管理策略、混淆数据生成策略和混淆目标选择策略。根据以上策略构建一种隐匿通信关键节点管理查询系统,提高用户抗指纹攻击与统计攻击的能力。本发明与现有理论方案的主要差异点在于提出一种基于带宽变化检测的异常节点管理策略、一种基于K-means聚类的备用关键节点随机选择策略、一种基于权重的用户集分配策略、一种基于UDP协议的数据回传混淆策略、构建出一套完整的隐匿通信关键节点管理查询服务器系统。本发明解决了无法有效抵抗具有监控AS级别网络的攻击者发起的流量关联攻击;动态监测关键节点的带宽异常变化,避免攻击者在加入关键节点集后通过改变带宽来降低攻击成本或控制关键节点集这一问题。
本发明的优势在于可以有效增加攻击者的攻击成本,防止攻击者部署的恶意节点在加入关键节点集后通过降低带宽的方式节省攻击者的开销,避免因关键节点集内关键节点正常流失后恶意节点通过提高自身带宽最终完全控制关键节点集;本发明采用混淆策略回传数据,提高对具有监控AS级别网络的攻击者所发起的流量关联攻击的防护能力。本发明可用于在网络身份隐私保护的背景下提供可靠高效的匿名服务,实现生成、管理与分配隐匿通信网络中的关键节点和用户集,增加攻击者的攻击成本,提高对流量关联攻击的防护能力。
与现有技术相比,本发明具有以下优势:
(1)大幅增加了攻击者的攻击成本。本发明中关键节点集管理查询服务器采用基于带宽变化检测的异常节点管理策略,通过监测关键节点集内的关键节点带宽变化,防止攻击者部署的恶意节点在加入关键节点集后通过降低带宽的方式节省开销。针对带宽异常变化的节点,将其移除关键节点集并在一定时间内取消其关键节点标识,有效降低了恶意节点的影响。
(2)提高了关键节点选择的灵活性与安全性。本发明中关键节点集管理查询服务器为保证关键节点集内关键节点性能相似,在关键节点集修补过程中采用更为合理的基于K-means聚类匹配随机选择算法,避免了原始方案中单纯依靠带宽降序排列后的依次选择所带来的节点之间性能差距过大的情况,同时提高了节点选择的安全性,避免恶意节点对特定守卫集的攻击。
(3)提高了用户分配的合理性。本发明中采用对长期不活跃用户的定时检测以及对新用户采用基于权重的随机分配,降低了用户集的冗余性,提高了用户分配的合理性、减小了因为关键节点集删除所带来的关键节点集负载过重的情况。
(4)提高了抵抗具有AS级别攻击者发起的流量关联攻击的安全性。本发明中采用基于UDP小范围广播的消息回传混淆策略,AS级别的攻击者即使能够监控关键节点的连接情况,但是由于混淆目标的存在,其发起的流量模式关联攻击无法有效定位真实用户IP。
附图说明
图1是本发明实施例提供的隐匿通信关键节点的管理查询系统的结构示意图。
图2是本发明实施例提供的隐匿通信关键节点的管理查询的方法流程图。
图3是本发明实施例提供的隐匿通信关键节点的管理查询的方法实现流程图。
图4是本发明实施例提供的关键节点集初始化子流程图。
图5是本发明实施例提供的用户集初始化子流程图。
图6是本发明实施例提供的带宽异常节点检测子流程图。
图7是本发明实施例提供的关键节点集修补子流程图。
图8是本发明实施例提供的关键节点集删除子流程图。
图9是本发明实施例提供的关键节点混淆模块客户端列表动态管理子流程图。
图10是本发明实施例提供的关键节点混淆模块回传数据子流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种隐匿通信关键节点的管理查询系统及方法,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的隐匿通信关键节点的管理查询系统包括:关键节点集管理查询服务器和网络用户终端两大模块。其中:
关键节点集管理查询服务器,完成系统初始化,并为用户提供注册,存储当前网络中可用关键节点相关参数状态信息,初始化关键节点集,监测关键节点带宽变化状态并对其进行动态管理,初始化用户集并分为用户分配用户集,接收用户终端发送的服务查询请求,计算查询响应结果,并发送给用户终端;
网络用户终端,发送加密的服务查询请求给关键节点集管理查询服务器,接收关键节点集管理查询服务器发送的查询响应结果,并对该响应结果执行解密操作,获得查询结果;
所述关键节点集管理查询服务器包括:系统初始化及注册模块、数据存储模块、关键节点集动态管理模块、用户集管理模块、服务器安全支持模块、请求响应模块。
该系统初始化及注册模块,首先完成系统初始化,即关键节点集管理查询服务器选择一个安全参数,采用国密SM2算法作为其非对称加密算法,采用 SM3作为其杂凑函数算法,生成对应的公钥与私钥。关键节点集管理查询服务器保存自己的私钥,公开公钥、加密算法、杂凑函数算法等系统参数。然后为用户提供注册及密钥分发,即当关键节点集管理查询服务器收到网络用户终端发送的公钥后,对该公钥进行签名,并将签名后的公钥信息发送给网络用户终端;
该数据存储模块,用于存储使用现有网络中可供使用的关键节点相关状态参数信息、存储带宽异常节点名单目录、存储关键节点集详细信息、存储用户集详细信息;
该关键节点集动态管理模块,包括四个子模块:关键节点集创建子模块、关键节点集带宽维持子模块、关键节点集删除子模块、关键节点带宽监测子模块。其中关键节点集创建子模块,用于关键节点集初始化、根据备用关键节点带宽数量创建新的关键节点集;关键节点集带宽维持子模块用于确保关键节点集能够维持网络用户的正常使用,在关键节点集带宽低于设定阈值时及时从备用关键节点列表中获取可用关键节点并将其加入关键节点集;关键节点集删除子模块用于删除无法维持最低带宽标准的关键节点集,并对整体关键节点集的存储结构进行调整;关键节点带宽监测子模块用于检测关键节点集中带宽变动出现异常的关键节点;
该用户集管理模块,用于生成用户集与关键节点集的映射关系,管理用户集内用户组成,为新用户分配用户集;
服务器安全支持模块,用于提供安全关键节点集服务器所需的加密算法和哈希算法;
请求响应模块:用于接用户终端发送的服务查询请求,生成查询响应结果,并将该查询响应结果发送给用户终端;
所述网络用户终端包括:查询请求模块、请求数据处理模块、用户端安全支持模块;
所述关键节点终端包括:混淆目标列表动态维护模块、混淆目标生成模块、混淆数据包生成模块;
查询请求模块,包括三个子模块:用户认证子模块、数据加密子模块、数据解密子模块。其中用户认证子模块,用于完成注册,对数据加密子模块发送的公钥加密的密文查询信息进行签名,生成服务查询请求发送给关键节点集管理查询服务器,并对接收到的关键节点集管理查询服务器发送的查询响应结果进行验证,将通过验证的查询响应结果发送给数据解密子模块;数据加密子模块,用于根据信息生成密文查询信息,使用关键节点集管理查询服务器公钥加密该密文查询信息,并将该加密的密文查询信息发送给医疗用户认证子模块;数据解密子模块,用于对用户认证子模块发送的通过验证的查询响应结果进行解密,获得查询结果。
该用户安全支持模块,用于提供用户所需的加密算法和哈希算法。
如图2所示,本发明实施例提供的隐匿通信关键节点的管理查询方法包括以下步骤:
S201:网络用户终端注册,关键节点集管理查询服务器分发密钥;
S202:关键节点集数据初始化,用户集管理模块初始化;
S203:关键节点集异常点检测,关键节点集动态维护,用户终端产生服务查询请求;
S204:用户终端发送查询器请求给关键节点集管理查询服务器,关键节点集管理查询服务器验证请求并提供查询服务;
S205:关键节点集查询服务器发送结果给用户终端,用户终端验证查询信息,用户终端获取查询信息。
下面结合附图对本发明的技术方案作进一步的描述。
如图3所示,本发明实施例提供的隐匿通信关键节点的管理查询方法包括以下步骤:
步骤一,系统参数初始化。
1.1)关键节点集管理查询服务器选择一个安全参数κ,该安全参数κ越大,则系统的安全性能越好,同时系统的计算开销也越大;
1.2)关键节点集管理查询服务器采用国密SM2算法作为其非对称加密算法 ESM2(),根据安全参数生成长度为32位的私钥SKs;
1.3)关键节点集管理查询服务器根据生成的私钥SKs生成对应的公钥对 PKSer_PUX与PKSer_PUY;
1.4)关键节点集管理查询服务器使用国密SM3算法作为签名使用的杂凑函数HSM3();
1.5)关键节点集管理查询服务器保存自己的私钥SKs,公开系统参数 <PKSer_PUX,PKSer_PUY,ESM2(),HSM3()>。
步骤二,网络用户终端注册。
步骤三,关键节点集管理查询服务器分发密钥。
步骤四,关键节点集数据初始化。
如图4所示,本步骤的具体实现如下:
2.1)关键节点集管理查询服务器获取当前网络关键节点的最新参数信息;
2.2)数据存储模块存储关键节点集内各关键节点加入时所标识的带宽初始值;
2.3)关键节点集管理查询服务器将关键节点按照可用带宽大小进行降序排列;
2.4)关键节点集管理查询服务器将关键节点kn的带宽与关键节点集带宽阈值BWthreshold进行比对,计算,其中表示待增加的关键节点集带宽,其初始值为0。如果,则将关键节点gn加入到关键节点集Seti,生成独立身份标识Set_identity,同时将置0;如果,则按序选择下一个关键节点,当满足关键节点集带宽阈值标准时,将所选的数个关键节点加入到关键节点集,生成独立身份标识Set_identity,同时将置0;
2.5)循环步骤(2.4),直至无关键节点可用或剩余关键节点可用带宽无法满足关键节点集带宽阈值;
2.6)关键节点集管理查询服务器将关键节点集与网络用户终端按照满二叉树的结构进行存储,关键节点集存储于树状结构的中间层,且必须覆盖所有叶子节点,叶子节点到根节点的所有路径中必须经过一个关键节点集;关键节点集采用随机分配的方式选择结点存储位置;关键节点加入关键节点集后除非关键节点集被删除否则不再更换关键节点集。
步骤五,用户集管理模块初始化。
如图5所示,本步骤的具体实现如下:
3.1)用户集管理模块获取生成的关键节点集数量;
3.2)用户集管理模块生成相应数量的用户集User_seti,为每个用户集随机生成独立身份标识User_identity;
3.4)用户集管理模块将用户随机分配至用户集;
3.5)用户集管理模块更新用户集用户容量;
3.6)用户集管理模块检索每个用户集中用户最后一次登录时间,如果距当前时间超过三个月,则将该用户从用户集中删除,当该用户再次使用时重新为其分配用户集;
3.7)用户集管理模块更新用户集用户容量;
3.8)用户集管理模块计算用户集平均用户容量,根据平均容量,计算各用户集与平均容量的倍率。表示为其中Ratei表示为用户集User_seti与平均用户集容量之间的倍率,表示用户集Useri的总用户量,Sumaverage表示用户集平均用户量。如果Ratei≥0.8,则将用户集Useri划分至选择权重为0.2的用户集组中,反之则将其划分至选择权重为0.8的用户集组中;
3.9)用户集管理模块采用基于权重的随机分配方式,为新用户计算分配用户集。
步骤六,关键节点集异常节点检测。
如图6所示,本步骤的具体实现如下:
4.1)关键节点集管理查询服务器获取关键节点相关状态参数信息;
4.2)关键节点集管理查询服务器更新带宽异常节点名单,移除其中限制期解除的异常节点;
4.3)关键节点集管理查询服务器比对带宽异常结点名单,移除名单内的关键节点;
4.4)数据存储模块根据关键节点带宽降序存储其相关信息;
4.5)关键节点集管理查询服务器计算关键节点集内各关键节点带宽变化率,表示为:其中ΔBW表示关键节点带宽变化率,BWnew表示当前共识文档所标明的关键节点带宽,BWoriginal表示该关键节点加入关键节点集时的初始带宽;
4.7)被加入带宽异常节点名单的关键节点将被移除关键节点标识,3个月内不再对其拒绝其关键节点标识申请,在此期间该节点仅作为中继节点使用;
步骤七,关键节点集动态维护。
如图7、图8所示,本步骤的具体实现如下:
5.1)关键节点集管理查询服务器对当前关键节点集可用带宽BWi进行检测,当BWi≤0.6BWthreshold,开始对该关键节点集Seti补充带宽;
5.3)关键节点集管理查询服务器从数据存储模块获取备用关键节点名单,根据备用关键节点带宽对其进行降序排序;
5.6.1)如果被删除关键节点集在树状存储结构中的兄弟节点也是一个关键节点集,则将此兄弟节点填充至父节点;如果它的兄弟节点不是一个关键节点集,寻找具有共同祖先的最低层关键节点集,并使用创建时间最新的关键节点集替换已删除的关键节点集;
5.6.2)将被删除的关键节点集所对应的用户集映射关系改为其存储位置中的兄弟节点集或替代节点集;
5.6.3)将删除的关键节点集所包含的关键节点加入备用关键节点名单,使用K-means聚类算法对其进行聚类;
5.6.3.2)遍历列表,计算关键节点带宽值距离质心的平方欧式距离,表示为: Dk=(BWi-BWk)2,其中Dk表示关键节点与第k个质心的平方欧式距离,BWi表示关键节点gi的带宽,BWk表示第k个质心的带宽值。选择计算出最小平方欧氏距离的质心,将关键节点加入该质心所对应的分组;
5.6.3.4)判断再次分组后质心值是否变化,如果未变化则分组结束,如果变化则继续分组。
步骤八,用户终端生成服务查询请求。
6.1)用户终端根据当前需求生成服务查询内容,添加随机数、时间戳等安全要素构成发送数据包;
6.3)用户终端将数据包发送至关键节点集管理查询服务器。
步骤九,关键节点集管理查询服务器验证请求并提供查询服务
7.2)关键节点集管理查询服务器确认请求内容,如果请求有效,生成请求结果;否则拒绝请求;
7.3)关键节点集管理查询服务器根据请求内容生成请求结果,添加随机数、时间戳等安全要素构成发送数据包;
7.5)关键节点集管理查询服务器将数据包发送给用户端。
步骤十,用户终端接收请求结果。
8.1)用户终端使用私钥SKs对接收到的关键节点集管理查询服务器请求响应数据包进行解密,同时使用关键节点集管理查询服务器的公钥对PKSer_PUX与 PKSer_PUY对其身份进行验证。
8.2)确认响应无误后处理请求结果内容;
用户终端根据接收到的数据挑选关键节点构建所需的安全传输路径。
本发明实施例的隐匿通信关键节点集管理查询方法,如图9和图10所示,包括如下步骤:
步骤十一,关键节点客户端列表动态维护。
9.1)关键节点接收客户端链路构建连接请求;
9.2)关键节点将客户端IP地址、连接端口、连接开始时间等信息加入客户端列表。
ΔTi≥12min,则将客户端Ci的信息从客户端列表中删除,否则对列表中下一个客户端进行判断;
9.4)当列表遍历完成后,计时器等待2min,之后继续下一轮动态维护。
步骤十二,关键节点混淆回传数据
10.1)关键节点从中继节点接收客户端Ci回传数据;
10.3)若筛选出的客户端数量满足,则关键节点从中随机选择两个客户端Ch与Ck作为客户端Ci的混淆目标,该混淆过程将持续至客户端Ci不再使用当前关键节点;若筛选出的客户端数量满足,则直接满足将满足条件的客户端Ch与Ck作为客户端Ci的混淆目标;若未筛选出满足条件的客户端,则将步骤10.2中的筛选条件修改为Ti-Tj<6min,并重复步骤10.3的判断步骤;若修改条件后依然无法筛选出合适的客户端作为混淆目标,则使用非混淆回传策略回传数据;
10.4)初始化混淆数据包,复制真实数据包,将复制数据包的IP地址与端口号修改为混淆目标的IP地址与端口号;
10.5)修改数据包负载标志位部分,结合具体发送情况,更新标志位信息,重新使用数据接收目标的对称秘钥进行加密;
10.6)随机生成数据回传顺序,根据顺序使用UDP协议发送数据。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种隐匿通信关键节点的管理查询方法,其特征在于,所述隐匿通信关键节点的管理查询方法包括以下步骤:
第一步,网络用户终端注册,关键节点集管理查询服务器分发密钥;
第二步,关键节点集数据初始化,用户集管理模块初始化;
第三步,关键节点集异常点检测,关键节点集动态维护,用户终端产生服务查询请求;
第四步,用户终端发送查询器请求给关键节点集管理查询服务器,关键节点集管理查询服务器验证请求并提供查询服务;
第五步,关键节点集查询服务器发送结果给用户终端,用户终端验证查询信息,用户终端获取查询信息。
2.如权利要求1所述的隐匿通信关键节点的管理查询方法,其特征在于,所述隐匿通信关键节点的管理查询方法的系统参数初始化包括:
1.1)关键节点集管理查询服务器选择一个安全参数κ,该安全参数κ越大,则系统的安全性能越好,同时系统的计算开销也越大;
1.2)关键节点集管理查询服务器采用国密SM2算法作为其非对称加密算法ESM2(),根据安全参数生成长度为32位的私钥SKs;
1.3)关键节点集管理查询服务器根据生成的私钥SKs生成对应的公钥对PKSer_PUX与PKSer_PUY;
1.4)关键节点集管理查询服务器使用国密SM3算法作为签名使用的杂凑函数HSM3();
1.5)关键节点集管理查询服务器保存自己的私钥SKs,公开系统参数<PKSer_PUX,PKSer_PUY,ESM2(),HSM3()>;
所述隐匿通信关键节点的管理查询方法的网络用户终端注册包括:
3.如权利要求1所述的隐匿通信关键节点的管理查询方法,其特征在于,所述隐匿通信关键节点的管理查询方法的所述隐匿通信关键节点的关键节点集数据初始化具体包括:
1)关键节点集管理查询服务器获取当前网络关键节点的最新参数信息;
2)数据存储模块存储关键节点集内各关键节点加入时所标识的带宽初始值;
3)关键节点集管理查询服务器将关键节点按照可用带宽大小进行降序排列;
4)关键节点集管理查询服务器将关键节点kn的带宽与关键节点集带宽阈值BWthreshold进行比对,计算其中表示待增加的关键节点集带宽,其初始值为0;如果则将关键节点gn加入到关键节点集Seti,生成独立身份标识Set_identity,同时将置0;如果则按序选择下一个关键节点,当满足关键节点集带宽阈值标准时,将所选的数个关键节点加入到关键节点集,生成独立身份标识Set_identity,同时将置0;
5)循环4),直至无关键节点可用或剩余关键节点可用带宽无法满足关键节点集带宽阈值;
6)关键节点集管理查询服务器将关键节点集与网络用户终端按照满二叉树的结构进行存储,关键节点集存储于树状结构的中间层,且必须覆盖所有叶子节点,叶子节点到根节点的所有路径中必须经过一个关键节点集;关键节点集采用随机分配的方式选择结点存储位置;关键节点加入关键节点集后除非关键节点集被删除否则不再更换关键节点集;
所述隐匿通信关键节点的管理查询方法的用户集管理模块初始化包括:
1)用户集管理模块获取生成的关键节点集数量;
2)用户集管理模块生成相应数量的用户集User_seti,为每个用户集随机生成独立身份标识User_identity;
4)用户集管理模块将用户随机分配至用户集;
5)用户集管理模块更新用户集用户容量;
6)用户集管理模块检索每个用户集中用户最后一次登录时间,如果距当前时间超过三个月,则将该用户从用户集中删除,当该用户再次使用时重新为其分配用户集;
7)用户集管理模块更新用户集用户容量;
8)用户集管理模块计算用户集平均用户容量,根据平均容量,计算各用户集与平均容量的倍率;表示为其中Ratei表示为用户集User_seti与平均用户集容量之间的倍率,表示用户集Useri的总用户量,Sumaverage表示用户集平均用户量;如果Ratei≥0.8,则将用户集Useri划分至选择权重为0.2的用户集组中,反之则将其划分至选择权重为0.8的用户集组中;
9)用户集管理模块采用基于权重的随机分配方式,为新用户计算分配用户集。
4.如权利要求1所述的隐匿通信关键节点的管理查询方法,其特征在于,所述隐匿通信关键节点的管理查询方法的关键节点集异常节点检测包括:
1)关键节点集管理查询服务器获取关键节点相关状态参数信息;
2)关键节点集管理查询服务器更新带宽异常节点名单,移除其中限制期解除的异常节点;
3)关键节点集管理查询服务器比对带宽异常结点名单,移除名单内的关键节点;
4)数据存储模块根据关键节点带宽降序存储其相关信息;
5)关键节点集管理查询服务器计算关键节点集内各关键节点带宽变化率,表示为:其中ΔBW表示关键节点带宽变化率,BWnew表示当前共识文档所标明的关键节点带宽,BWoriginal表示该关键节点加入关键节点集时的初始带宽;
7)被加入带宽异常节点名单的关键节点将被移除关键节点标识,3个月内不再对其拒绝其关键节点标识申请,在此期间该节点仅作为中继节点使用;
所述隐匿通信关键节点的管理查询方法的关键节点集动态维护包括:
1)关键节点集管理查询服务器对当前关键节点集可用带宽BWi进行检测,当BWi≤0.6BWthreshold,开始对该关键节点集Seti补充带宽;
3)关键节点集管理查询服务器从数据存储模块获取备用关键节点名单,根据备用关键节点带宽对其进行降序排序;
1)如果被删除关键节点集在树状存储结构中的兄弟节点也是一个关键节点集,则将此兄弟节点填充至父节点;如果它的兄弟节点不是一个关键节点集,寻找具有共同祖先的最低层关键节点集,并使用创建时间最新的关键节点集替换已删除的关键节点集;
2)将被删除的关键节点集所对应的用户集映射关系改为其存储位置中的兄弟节点集或替代节点集;
3)将删除的关键节点集所包含的关键节点加入备用关键节点名单,使用K-means聚类算法对其进行聚类;
3.2)遍历列表,计算关键节点带宽值距离质心的平方欧式距离,表示为:Dk=(BWi-BWk)2,其中Dk表示关键节点与第k个质心的平方欧式距离,BWi表示关键节点gi的带宽,BWk表示第k个质心的带宽值,选择计算出最小平方欧氏距离的质心,将关键节点加入该质心所对应的分组;
3.4)判断再次分组后质心值是否变化,如果未变化则分组结束,如果变化则继续分组;
6.如权利要求1所述的隐匿通信关键节点的管理查询方法,其特征在于,所述隐匿通信关键节点的管理查询方法的用户终端生成服务查询请求包括:
1)用户终端根据当前需求生成服务查询内容,添加随机数、时间戳安全要素构成发送数据包;
3)用户终端将数据包发送至关键节点集管理查询服务器;
所述隐匿通信关键节点的管理查询方法的关键节点集管理查询服务器验证请求并提供查询服务包括:
2)关键节点集管理查询服务器确认请求内容,如果请求有效,生成请求结果;否则拒绝请求;
3)关键节点集管理查询服务器根据请求内容生成请求结果,添加随机数、时间戳等安全要素构成发送数据包;
5)关键节点集管理查询服务器将数据包发送给用户端;
所述隐匿通信关键节点的管理查询方法用户终端接收请求结果包括:
1)用户终端使用私钥SKs对接收到的关键节点集管理查询服务器请求响应数据包进行解密,同时使用关键节点集管理查询服务器的公钥对PKSer_PUX与PKSer_PUY对其身份进行验证;
2)确认响应无误后处理请求结果内容;
用户终端根据接收到的数据挑选关键节点构建所需的安全传输路径。
7.如权利要求1所述的隐匿通信关键节点的管理查询方法,其特征在于,所述隐匿通信关键节点的管理查询方法的隐匿通信关键节点集管理查询方法包括如下步骤:
第一步,关键节点客户端列表动态维护;
1)关键节点接收客户端链路构建连接请求;
2)关键节点将客户端IP地址、连接端口、连接开始时间等信息加入客户端列表;
4)当列表遍历完成后,计时器等待2min,之后继续下一轮动态维护;
第二步,关键节点混淆回传数据
1)关键节点从中继节点接收客户端Ci回传数据;
3)若筛选出的客户端数量满足则关键节点从中随机选择两个客户端Ch与Ck作为客户端Ci的混淆目标,该混淆过程将持续至客户端Ci不再使用当前关键节点;若筛选出的客户端数量满足则直接满足将满足条件的客户端Ch与Ck作为客户端Ci的混淆目标;若未筛选出满足条件的客户端,则将步骤2)中的筛选条件修改为Ti-Tj<6min,并重复步骤3)的判断步骤;若修改条件后依然无法筛选出合适的客户端作为混淆目标,则使用非混淆回传策略回传数据;
4)初始化混淆数据包,复制真实数据包,将复制数据包的IP地址与端口号修改为混淆目标的IP地址与端口号;
5)修改数据包负载标志位部分,结合具体发送情况,更新标志位信息,重新使用数据接收目标的对称秘钥进行加密;
6)随机生成数据回传顺序,根据顺序使用UDP协议发送数据。
8.一种实施权利要求1~7任意一项所述隐匿通信关键节点的管理查询方法的隐匿通信关键节点的管理查询系统,其特征在于,所述隐匿通信关键节点的管理查询系统包括:关键节点集管理查询服务器和网络用户终端两大模块;
关键节点集管理查询服务器,完成系统初始化,并为用户提供注册,存储当前网络中可用关键节点相关参数状态信息,初始化关键节点集,监测关键节点带宽变化状态并对其进行动态管理,初始化用户集并分为用户分配用户集,接收用户终端发送的服务查询请求,计算查询响应结果,并发送给用户终端;
网络用户终端,发送加密的服务查询请求给关键节点集管理查询服务器,接收关键节点集管理查询服务器发送的查询响应结果,并对该响应结果执行解密操作,获得查询结果;
所述关键节点集管理查询服务器包括:系统初始化及注册模块、数据存储模块、关键节点集动态管理模块、用户集管理模块、服务器安全支持模块、请求响应模块;
数据存储模块,用于存储使用现有网络中可供使用的关键节点相关状态参数信息、存储带宽异常节点名单目录、存储关键节点集详细信息、存储用户集详细信息;
关键节点集动态管理模块,包括四个子模块:关键节点集创建子模块、关键节点集带宽维持子模块、关键节点集删除子模块、关键节点带宽监测子模块;其中关键节点集创建子模块,用于关键节点集初始化、根据备用关键节点带宽数量创建新的关键节点集;关键节点集带宽维持子模块用于确保关键节点集能够维持网络用户的正常使用,在关键节点集带宽低于设定阈值时及时从备用关键节点列表中获取可用关键节点并将其加入关键节点集;关键节点集删除子模块用于删除无法维持最低带宽标准的关键节点集,并对整体关键节点集的存储结构进行调整;关键节点带宽监测子模块用于检测关键节点集中带宽变动出现异常的关键节点;
用户集管理模块,用于生成用户集与关键节点集的映射关系,管理用户集内用户组成,为新用户分配用户集;
服务器安全支持模块,用于提供安全关键节点集服务器所需的加密算法和哈希算法;
请求响应模块:用于接用户终端发送的服务查询请求,生成查询响应结果,并将该查询响应结果发送给用户终端;
所述网络用户终端包括:查询请求模块、请求数据处理模块、用户端安全支持模块;
所述关键节点终端包括:混淆目标列表动态维护模块、混淆目标生成模块、混淆数据包生成模块;
查询请求模块,包括三个子模块:用户认证子模块、数据加密子模块、数据解密子模块;用户认证子模块,用于完成注册,对数据加密子模块发送的公钥加密的密文查询信息进行签名,生成服务查询请求发送给关键节点集管理查询服务器,并对接收到的关键节点集管理查询服务器发送的查询响应结果进行验证,将通过验证的查询响应结果发送给数据解密子模块;数据加密子模块,用于根据信息生成密文查询信息,使用关键节点集管理查询服务器公钥加密该密文查询信息,并将该加密的密文查询信息发送给医疗用户认证子模块;数据解密子模块,用于对用户认证子模块发送的通过验证的查询响应结果进行解密,获得查询结果;
用户安全支持模块,用于提供用户所需的加密算法和哈希算法。
9.一种实现权利要求1~7任意一项所隐匿通信关键节点的管理查询方法的信息数据处理终端。
10.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-7任意一项所述的隐匿通信关键节点的管理查询。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911085165.2A CN111131145B (zh) | 2019-11-08 | 2019-11-08 | 一种隐匿通信关键节点的管理查询系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911085165.2A CN111131145B (zh) | 2019-11-08 | 2019-11-08 | 一种隐匿通信关键节点的管理查询系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111131145A true CN111131145A (zh) | 2020-05-08 |
CN111131145B CN111131145B (zh) | 2021-07-13 |
Family
ID=70495724
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911085165.2A Active CN111131145B (zh) | 2019-11-08 | 2019-11-08 | 一种隐匿通信关键节点的管理查询系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111131145B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111682961A (zh) * | 2020-05-18 | 2020-09-18 | 杜晓楠 | 剔除i2p网络中低带宽节点的方法、计算机可读存储介质和i2p网络 |
CN113255007A (zh) * | 2021-06-25 | 2021-08-13 | 蓝象智联(杭州)科技有限公司 | 一种安全隐匿三要素查询方法 |
CN113987584A (zh) * | 2021-11-11 | 2022-01-28 | 建信金融科技有限责任公司 | 一种隐匿查询方法及系统 |
CN113987583A (zh) * | 2021-11-11 | 2022-01-28 | 建信金融科技有限责任公司 | 一种隐匿查询方法及系统 |
CN114611152A (zh) * | 2022-05-10 | 2022-06-10 | 富算科技(上海)有限公司 | 查询方法和查询系统 |
CN115242674A (zh) * | 2022-07-25 | 2022-10-25 | 上海交通大学 | 一种基于Tor协议时序特性的隐藏服务追踪系统 |
CN115242534A (zh) * | 2021-03-17 | 2022-10-25 | 北京安天网络安全技术有限公司 | 异常节点识别方法、安全查询方法和装置 |
CN115292378A (zh) * | 2022-08-16 | 2022-11-04 | 北京冲量在线科技有限公司 | 一种基于可信执行环境和不经意传输的隐匿查询系统 |
CN115473895A (zh) * | 2022-09-01 | 2022-12-13 | 北京大数据先进技术研究院 | 泛在环境下的数字对象仓库节点共识组划分方法和装置 |
CN116015814A (zh) * | 2022-12-19 | 2023-04-25 | 武汉大学 | 一种k匿名地理位置隐私保护方法、系统及电子设备 |
CN116522404A (zh) * | 2023-07-05 | 2023-08-01 | 北京数牍科技有限公司 | 数据处理方法、装置、设备及计算机存储介质 |
CN116599696A (zh) * | 2023-04-13 | 2023-08-15 | 京信数据科技有限公司 | 一种基于同态加密的双重隐匿查询装置及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102711107A (zh) * | 2012-05-17 | 2012-10-03 | 北京工业大学 | 基于关键节点的无线传感器网络入侵检测方法 |
CN105577368A (zh) * | 2016-01-14 | 2016-05-11 | 西安电子科技大学 | 双向隐私保护的医疗诊断服务查询系统及方法 |
CN106411533A (zh) * | 2016-11-10 | 2017-02-15 | 西安电子科技大学 | 双向隐私保护的在线指纹认证系统及方法 |
CN109347809A (zh) * | 2018-09-25 | 2019-02-15 | 北京计算机技术及应用研究所 | 一种面向自主可控环境下的应用虚拟化安全通信方法 |
CN109963279A (zh) * | 2019-03-08 | 2019-07-02 | 中国科学院上海微系统与信息技术研究所 | 一种应用于动态自组网的混合加密方法 |
-
2019
- 2019-11-08 CN CN201911085165.2A patent/CN111131145B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102711107A (zh) * | 2012-05-17 | 2012-10-03 | 北京工业大学 | 基于关键节点的无线传感器网络入侵检测方法 |
CN105577368A (zh) * | 2016-01-14 | 2016-05-11 | 西安电子科技大学 | 双向隐私保护的医疗诊断服务查询系统及方法 |
CN106411533A (zh) * | 2016-11-10 | 2017-02-15 | 西安电子科技大学 | 双向隐私保护的在线指纹认证系统及方法 |
CN109347809A (zh) * | 2018-09-25 | 2019-02-15 | 北京计算机技术及应用研究所 | 一种面向自主可控环境下的应用虚拟化安全通信方法 |
CN109963279A (zh) * | 2019-03-08 | 2019-07-02 | 中国科学院上海微系统与信息技术研究所 | 一种应用于动态自组网的混合加密方法 |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111682961B (zh) * | 2020-05-18 | 2023-03-07 | 杜晓楠 | 剔除i2p网络中低带宽节点的方法、计算机可读存储介质和i2p网络 |
CN111682961A (zh) * | 2020-05-18 | 2020-09-18 | 杜晓楠 | 剔除i2p网络中低带宽节点的方法、计算机可读存储介质和i2p网络 |
CN115242534A (zh) * | 2021-03-17 | 2022-10-25 | 北京安天网络安全技术有限公司 | 异常节点识别方法、安全查询方法和装置 |
CN115242534B (zh) * | 2021-03-17 | 2024-01-02 | 北京安天网络安全技术有限公司 | 节点状态安全查询方法、系统和装置 |
CN113255007A (zh) * | 2021-06-25 | 2021-08-13 | 蓝象智联(杭州)科技有限公司 | 一种安全隐匿三要素查询方法 |
CN113987583A (zh) * | 2021-11-11 | 2022-01-28 | 建信金融科技有限责任公司 | 一种隐匿查询方法及系统 |
CN113987584A (zh) * | 2021-11-11 | 2022-01-28 | 建信金融科技有限责任公司 | 一种隐匿查询方法及系统 |
CN114611152A (zh) * | 2022-05-10 | 2022-06-10 | 富算科技(上海)有限公司 | 查询方法和查询系统 |
CN115242674A (zh) * | 2022-07-25 | 2022-10-25 | 上海交通大学 | 一种基于Tor协议时序特性的隐藏服务追踪系统 |
CN115242674B (zh) * | 2022-07-25 | 2023-08-04 | 上海交通大学 | 一种基于Tor协议时序特性的隐藏服务追踪系统 |
CN115292378A (zh) * | 2022-08-16 | 2022-11-04 | 北京冲量在线科技有限公司 | 一种基于可信执行环境和不经意传输的隐匿查询系统 |
CN115292378B (zh) * | 2022-08-16 | 2023-12-05 | 北京冲量在线科技有限公司 | 基于可信执行环境和不经意传输的隐匿查询系统及其方法 |
CN115473895B (zh) * | 2022-09-01 | 2023-09-12 | 北京大数据先进技术研究院 | 泛在环境下的数字对象仓库节点共识组划分方法和装置 |
CN115473895A (zh) * | 2022-09-01 | 2022-12-13 | 北京大数据先进技术研究院 | 泛在环境下的数字对象仓库节点共识组划分方法和装置 |
CN116015814A (zh) * | 2022-12-19 | 2023-04-25 | 武汉大学 | 一种k匿名地理位置隐私保护方法、系统及电子设备 |
CN116015814B (zh) * | 2022-12-19 | 2024-04-05 | 武汉大学 | 一种k匿名地理位置隐私保护方法、系统及电子设备 |
CN116599696A (zh) * | 2023-04-13 | 2023-08-15 | 京信数据科技有限公司 | 一种基于同态加密的双重隐匿查询装置及方法 |
CN116599696B (zh) * | 2023-04-13 | 2024-01-02 | 京信数据科技有限公司 | 一种基于同态加密的双重隐匿查询装置 |
CN116522404B (zh) * | 2023-07-05 | 2023-09-22 | 北京数牍科技有限公司 | 数据处理方法、装置、设备及计算机存储介质 |
CN116522404A (zh) * | 2023-07-05 | 2023-08-01 | 北京数牍科技有限公司 | 数据处理方法、装置、设备及计算机存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111131145B (zh) | 2021-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131145B (zh) | 一种隐匿通信关键节点的管理查询系统及方法 | |
Judge et al. | Security issues and solutions in multicast content distribution: A survey | |
Maniatis et al. | Preserving peer replicas by rate-limited sampled voting | |
CN109983752A (zh) | 带有编码dns级信息的网络地址 | |
CN108173827B (zh) | 基于区块链思维的分布式sdn控制平面安全认证方法 | |
US20110047610A1 (en) | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication | |
CN109190384B (zh) | 一种多中心区块链熔断保护系统及方法 | |
CN110830520B (zh) | 一种物联网的健壮可靠的边缘存储方法及系统 | |
CN109685505B (zh) | 基于关联环签名的拜占庭容错共识优化方法 | |
CN114139203B (zh) | 基于区块链的异构身份联盟风险评估系统、方法及终端 | |
Karnwal et al. | A filter tree approach to protect cloud computing against XML DDoS and HTTP DDoS attack | |
CN111464503A (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
US11546340B2 (en) | Decentralized access control for authorized modifications of data using a cryptographic hash | |
JP2006236349A (ja) | ピアツーピアネットワーク情報 | |
CN114826652A (zh) | 一种基于双区块链的可溯源访问控制方法 | |
CN112019481A (zh) | 基于有向无环图架构的区块链设备管理和数据传输系统 | |
GB2555183A (en) | Method for secure data management in a computer network | |
WO2013172743A1 (ru) | Способ защищенного взаимодействия устройства клиента с сервером по сети интернет | |
CN110868446A (zh) | 一种后ip的主权网体系架构 | |
CN113489732B (zh) | 一种抵御串谋攻击的内容共享隐私保护方法 | |
US10154045B2 (en) | Method of communicating between secured computer systems as well as computer network infrastructure | |
Jeong et al. | An efficient management scheme of blockchain-based cloud user information using probabilistic weighting | |
JP4133215B2 (ja) | データ分割方法及びデータ復元方法並びにプログラム | |
Kim et al. | A secret sharing-based distributed cloud system for privacy protection | |
He et al. | FASE: Fine-grained accountable and space-efficient access control for multimedia content with in-network caching |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |