CN111970245B - 一种异构分层的匿名通信网络构建方法及装置 - Google Patents

一种异构分层的匿名通信网络构建方法及装置 Download PDF

Info

Publication number
CN111970245B
CN111970245B CN202010699574.8A CN202010699574A CN111970245B CN 111970245 B CN111970245 B CN 111970245B CN 202010699574 A CN202010699574 A CN 202010699574A CN 111970245 B CN111970245 B CN 111970245B
Authority
CN
China
Prior art keywords
node
aggregation
guard
ring
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010699574.8A
Other languages
English (en)
Other versions
CN111970245A (zh
Inventor
时金桥
王学宾
陈牧谦
高悦
马争
石瑞生
王东滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202010699574.8A priority Critical patent/CN111970245B/zh
Publication of CN111970245A publication Critical patent/CN111970245A/zh
Application granted granted Critical
Publication of CN111970245B publication Critical patent/CN111970245B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请中一个或多个实施例提供一种异构分层的匿名通信网络构建方法及装置,包括:获取初始守卫节点和若干个守卫节点;构建环状通路的守卫环;选取待构建的聚合环的若干个聚合节点,使每个聚合节点与其他的聚合节点生成共享的聚合对称密钥;生成层级加密数据包,根据层级加密数据包连接聚合节点以构建环形通路的聚合环;生成利用聚合对称密钥加密的聚合混淆消息以保护聚合环上的消息;基于聚合环和守卫环间的信息交互构建匿名通信网络,利用匿名通信网络执行匿名通信。本申请能够发挥不同节点的特点,利用守卫环保护消息的发送者和接收者,利用聚合环防止消息泄露,提升整体网络匿名性。

Description

一种异构分层的匿名通信网络构建方法及装置
技术领域
本申请中一个或多个实施例涉及匿名通信技术领域,尤其涉及一种异构分层的匿名通信网络构建方法及装置。
背景技术
现有技术中匿名通信实现机制包括:基于源重写技术的、基于DC-Net问题的以及基于广播多播技术的匿名实现机制,其中基于源重写技术的匿名通信网络由一系列转发节点构成,消息在发送者与接收者之间通过若干中间转发节点进行传输,每个转发节点对消息进行加解密、随机延时等处理,从而隐藏消息的地址信息、长度信息等。现有匿名通信网络在转发节点的消息处理协议设计上均采取同构设计的思想,但是,这种同构设计思想缺乏对实际环境中匿名通信网络组网节点多样性的考虑,无法发挥不同来源的组网节点的特点和优势,整个网络的整体匿名性差。
发明内容
有鉴于此,本申请中一个或多个实施例的目的在于提出一种异构分层的匿名通信网络构建方法及装置,以解决现有技术中不考虑不同来源的组网节点的特点和优势导致整体网络匿名性差的问题。
基于上述目的,本申请中一个或多个实施例提供了一种异构分层的匿名通信网络构建方法,包括:
获取权威目录服务器的网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点;
连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点;
从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥;
生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环;
生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息;
基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信。
可选的,所述连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,包括:
所述初始守卫节点从所述权威目录服务器下载守卫公钥并创建层级加密消息;
所述初始守卫节点沿待构建的所述守卫环的建环路径为每个所述守卫节点初始化与所述初始守卫节点共享的守卫密钥;
所述初始守卫节点采取嵌套加密的方式加密所述层级加密消息,并和所述待构建的守卫环的建环路径上的第一个守卫节点建立连接并发送所述层级加密消息;
所述第一个守卫节点利用所述守卫公钥解密所述层级加密消息获得该守卫节点的守卫密钥、下一跳守卫节点的地址信息和守卫环ID;
每个所述守卫节点解密所述层级加密消息后与下一跳守卫节点建立连接并发送解密后的层级加密消息至所述下一跳守卫节点,直至所述层级加密消息发送至最后一个守卫节点,所述最后一个守卫节点与第一个守卫节点建立连接以构建所述守卫环。
可选的,还包括:
从所述网络节点中选取待构建的守卫环的临时守卫节点;
使用选取的所述临时守卫节点、至少一个守卫节点和初始守卫节点构建环形掩护路径,所述环形掩护路径用于混淆所述初始守卫节点和临时守卫节点以防止所述初始守卫节点被攻击。
可选的,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点,包括:
选择助手守卫节点,所述助手守卫节点为任意一个所述守卫节点;
所述助手守卫节点获得守卫混淆参数,并根据所述守卫混淆参数生成若干条加密的守卫混淆消息,每条所述守卫混淆消息被助手守卫节点利用所述守卫密钥解密后发送至所述下一跳守卫节点;
所有所述守卫节点依次利用自己的守卫密钥解密上一跳守卫节点发送的所述守卫混淆消息,直至所述守卫混淆消息通过全部所述守卫节点后回到所述助手守卫节点,所述助手守卫节点丢弃所述守卫混淆消息,根据所述守卫混淆参数生成新的守卫混淆消息,再次通过全部所述守卫节点循环发送。
可选的,还包括:
所述初始守卫节点选择出环节点,所述出环节点为任意一个所述守卫节点;
所述初始守卫节点将接收的所述守卫混淆消息替换为真实消息,并依次利用所述初始守卫节点与所述出环节点之间所有守卫节点的守卫密钥以及所述出环节点的发送密钥加密所述真实消息,并沿所述守卫环的构建路径发送至所述出环节点,所述真实消息被所述初始守卫节点与出环节点之间所有守卫节点依次解密,所述出环节点解密接收到的所述真实消息后将所述真实消息发送至所述聚合环。
可选的,所述生成层级加密数据包,包括:
每个所述聚合节点与其他所述聚合节点生成共享的聚合对称密钥,所述权威目录服务器生成与各聚合节点的非对称秘钥,并保存各所述聚合节点返回的公钥;
对于具有r个节点的所述聚合环得到r层加密的数据包时,生成所述层级加密数据包的第1层信息,利用所述聚合环中的最后一个聚合节点的公钥加密以下信息:所述聚合环中的最后一个聚合节点在所述聚合环中的下一跳聚合节点的地址信息、聚合环中最后一个节点的标识信息和聚合环ID,所述聚合环中的最后一个聚合节点在聚合环中的下一跳聚合节点为聚合环中的第1个聚合节点;
当r>i>1时,生成所述层级加密数据包的第i层信息时,利用所述聚合环中的第r-i+1个聚合节点的公钥,加密以下信息:所述聚合环中第r-i+1个聚合节点在聚合环中的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第i-1层信息;
生成所述层级加密数据包的第r层信息时,利用聚合环中的第1个聚合节点的公钥,加密以下信息:聚合环中第1个聚合节点在聚合环中的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第r-1层信息。
可选的,还包括:
所述聚合环的第1个聚合节点利用本聚合节点的所述非对称秘钥中的私钥对所述层级加密数据包中第r层信息进行解密,获得以下信息:所述聚合环的第1个聚合节点的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID、和已经生成的第r-1层信息;
所述聚合环的第1个聚合节点根据解密出的聚合环中非最后一个聚合节点的标识信息和下一跳聚合节点的地址信息将所述第r-1层信息继续向聚合环的第1个聚合节点的下一跳聚合节点发送;
当1<i<r时,所述聚合环的第i个聚合节点利用本聚合节点非对称秘钥中的私钥对所述层级加密数据包中第r+1-i层信息进行解密,获得以下信息:所述聚合环的第i个聚合节点的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第r-i层信息;
所述聚合环的第i个聚合节点根据解密出的标识信息聚合环中非最后一个聚合节点的标识信息和下一跳聚合节点的地址信息将第r-i层信息继续向所述聚合环的第i个聚合节点的下一跳聚合节点发送;
所述聚合环的第r个聚合节点利用本聚合节点的非对称秘钥中的私钥对所述层级加密数据包中第1层信息进行解密,获得以下信息:所述聚合环的第r个聚合节点的下一跳聚合节点的地址信息、聚合环中最后一个聚合节点的标识信息和聚合环ID;
所述聚合环的第r个聚合节点根据解密出的聚合环中最后一个聚合节点的标识信息,确定本聚合节点为最后一个聚合节点,存储下一跳聚合节点的地址信息。
可选的,所述生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息,包括:
所述聚合环选择目标聚合节点和脱环聚合节点;
所述目标聚合节点生成脱环混淆消息数据包并利用聚合对称密钥加密所述脱环混淆消息数据包,所述目标聚合节点指定所述脱环混淆消息数据包转发的跳数,所述脱环混淆消息数据包包括:所述目标聚合节点信息和脱环混淆消息;
所述目标聚合节点根据指定的所述跳数沿聚合环的建环路径发送所述脱环混淆消息数据包至下一跳聚合节点,直至所述脱环混淆消息数据包被转发至所述脱环聚合节点,每一个转发所述脱环混淆消息数据包的聚合节点利用本聚合节点的所述聚合对称密钥解密所述脱环混淆消息数据包后利用所述公钥加密所述脱环混淆消息数据包;
所述脱环聚合节点解密所述脱环混淆消息数据包获得所述目标节点信息,生成脱环信息数据包,利用所述公钥加密所述脱环信息数据包并将所述脱环信息数据包发送至所述目标聚合节点,所述脱环信息数据包包括:脱环信息;
所述目标聚合节点解密接收到的所述脱环信息数据包,获得所述脱环信息,将所述脱环信息发送至环外。
可选的,还包括:
所述聚合环选择回环聚合节点,所述回环聚合节点为任意一个所述聚合节点;
所述回环聚合节点生成回环混淆消息,利用所述聚合对称密钥加密所述回环混淆消息;
所述回环聚合节点沿聚合环建环路径的逆时针方向逐跳发送所述回环混淆消息直至所述回环混淆消息转发至所述回环聚合节点,每一个转发所述回环混淆消息的聚合节点利用本聚合节点的所述聚合对称密钥解密所述回环混淆消息后利用所述聚合对称密钥加密所述回环混淆消息;
所述回环聚合节点解密接收到的所述回环混淆消息,并回收所述回环混淆消息。
基于同一发明构思,本申请中一个或多个实施例还提出了一种异构分层的匿名通信网络构建装置,包括:
第一选取模块,被配置为获取权威目录服务器的网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点;
第一构建模块,被配置为连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点;
第二选取模块,被配置为从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥;
第二构建模块,被配置为生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环;
生成模块,被配置为生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息;
执行模块,被配置为基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信。
从上面所述可以看出,本申请中一个或多个实施例提供的一种异构分层的匿名通信网络构建方法及装置,首先从权威目录服务器中获取网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点;然后连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点;接着,从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥;再生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环;生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息,从而保护聚合环上的信息不会被攻击者攻击;最后基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信,利用权威服务器中的不同网络节点构建守卫环和聚合环,充分利用不同网络节点的特点和优势,使得不同来源的网络节点分别在守卫环和聚合环中发挥特点,通过守卫环和聚合环上层级加密和层级解密的转发方式,提高了匿名网络通信中的整体匿名性。
附图说明
为了更清楚地说明本申请中一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请中一个或多个实施例中异构分层的匿名通信网络构建方法的流程示意图;
图2为本申请中一个或多个实施例中守卫环的结构示意图;
图3为本申请中一个或多个实施例中聚合环的结构示意图;
图4为本申请中一个或多个实施例中匿名通信网络执行匿名通信的示意图;
图5为本申请中一个或多个实施例中真实消息在全局中的全局消息封装格式的示意图;
图6为本申请中一个或多个实施例中异构分层的匿名通信网络构建装置的示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本申请中一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本申请中一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
本申请中一个或多个实施例提供了一种基于供应链大数据的资源分配方法。
发明人通过研究发现现有技术中匿名通信网络针对各种不同性能的组网节点采用同构的协议设计,没有针对高性能组网节点进行针对性协议设计,现有技术中匿名通信实现机制包括:基于源重写技术的、基于DC-Net问题的以及基于广播多播技术的匿名实现机制,其中基于源重写技术的匿名通信网络由一系列转发节点构成,消息在发送者与接收者之间通过若干中间转发节点进行传输,每个转发节点对消息进行加解密、随机延时等处理,从而隐藏消息的地址信息、长度信息等。现有匿名通信网络在转发节点的消息处理协议设计上均采取同构设计的思想,但是,这种同构设计思想缺乏对实际环境中匿名通信网络组网节点多样性的考虑,尤其是组网节点的来源呈现出的多样性,比如Tor、I2P网络的组网转发节点由志愿者节点提供,这其中提供节点的有普通用户的个人主机,也有大型企业的专用服务器,不同来源的节点的在线时间、系统稳定性均有所不同;而且组网节点的网路状况、计算性能也呈现多样性,在不同运行环境下的网络节点特点也是不同的,为了更好地支持大型服务接入,充分发挥各类节点的优势和特点,同时提高网络的整体匿名性和可用性,本申请中一个或多个实施例提供了一种异构分层的匿名通信网络构建方法及装置。
参考图1,因此本申请中一个或多个实施例提供的一种基于供应链大数据的资源分配方法,包括以下步骤:
S101获取权威目录服务器的网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点。
本实施例中,权威目录服务器从维护的节点信息中,根据信息发送用户或信息接收用户的需求,选择初始守卫节点,初始守卫节点既是待构建的守卫环的建立者,也是待构建的守卫环的用户,初始守卫节点在权威目录服务器提供的网络节点信息中随机选择若干节点作为守卫节点,初始守卫节点知道所有守卫节点的构建信息,构建信息包括:守卫节点的IP、身份和对称密钥等信息,但是守卫节点只知道相邻两个节点的IP信息。作为一个可选的实施例,参考图1,除了已经选择的守卫节点,初始守卫节点还会从网络节点中选择临时守卫节点,选取初始守卫节点和至少一个守卫节点与临时守卫节点逐个连接以形成临时掩护路径,例如待构建的守卫环的初始守卫节点Alice,选取两个临时守卫节点B和C,初始守卫节点Alice、临时守卫节点B、临时守卫节点C、守卫节点D和守卫节点I逐个连接形成了临时掩护路径,其中临时守卫节点B和临时守卫节点C的节点ID与初始守卫节点和守卫节点的节点ID不同,构建的临时掩护路径用于混淆初始守卫节点和临时守卫节点,使得攻击者无法分辨哪个节点是真正的初始守卫节点,哪个环形路径是构建的守卫环,从而防止初始守卫节点被攻击者攻击。
S102连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点。
参考图2,本实施例中,初始守卫节点从权威目录服务器中下载守卫公钥,将选中的守卫节点编排成一条建环路径,确定路径汇交点处的守卫节点为守卫环的闭合处,并创建层级加密消息,每层加密消息包括:本守卫节点的守卫密钥、下一跳守卫节点的地址信息和守卫环ID,对于有N个节点的守卫环而言,第N层加密消息还包括闭合守卫环标签;初始守卫节点沿待构建的守卫环的建环路径为每个守卫节点初始化与初始守卫节点共享的对称密钥和守卫环ID,具体地,初始守卫节点Alice为建环路径上每个守卫节点初始化守卫环ID,以及一个和初始守卫节点Alice共享的对称密钥;然后初始守卫节点采取嵌套加密的方式生成数据报文,并和待构建的守卫环的建环路径上的第一个守卫节点建立连接并发送层级加密消息;第一个守卫节点利用守卫公钥解密层级加密消息并获得第一个守卫节点的守卫密钥、下一跳守卫节点(即第二个守卫节点)的地址信息和守卫环ID,然后第一个守卫节点和下一跳节点(即第二个守卫节点)建立连接,并将经过第一次解密后的层级加密消息发送至下一跳节点(即第二个守卫节点)。其中,规定任意守卫节点的顺时针前序守卫节点为上游守卫节点,后序守卫节点为下游守卫节点。每个守卫节点依次解密上一跳守卫节点发送的解密后的层级加密消息,在获得该守卫节点的守卫密钥、下一跳守卫节点的地址信息和守卫环ID后,与下一跳守卫节点建立连接并发送本守卫节点解密后的层级加密信息至下一跳守卫节点,直至层级加密信息发送至闭合处守卫节点(闭合守卫节点),闭合守卫节点解密层级加密信息后获得闭合守卫节点的守卫密钥、下一跳守卫节点(即初始守卫节点)地址信息、守卫环ID和闭合守卫环标签,当闭合守卫节点识别到闭合守卫环标签时,守卫环构建成功。
作为一个可选的实施例,初始守卫节点在守卫环中选择任意一个守卫节点作为助手守卫节点,助手守卫节点获得初始守卫节点发送的守卫混淆参数,并根据守卫混淆参数的内容以特定频率生成若干条守卫混淆消息并加密,每条守卫混淆消息利用助手守卫节点的守卫密钥解密后发送至下一跳守卫节点;所有守卫节点依次利用自己的守卫密钥解密上一跳守卫节点发送的守卫混淆消息,直至守卫混淆消息通过全部守卫节点后回到助手守卫节点,助手守卫节点丢弃守卫混淆消息,并在T1间隔后根据守卫混淆参数生成新的守卫混淆消息,再次通过全部守卫节点循环发送。作为一个可选的实施例,守卫混淆消息的生成与转发具体包括以下步骤:
助手守卫节点E根据守卫混淆参数的参数内容以用户规定的频率生成若干条守卫混淆消息并加密,记录每条守卫混淆消息的哈希值,每条守卫混淆消息表示为GR_DMsg=RandString|“d”|r1;
助手守卫节点E利用守卫密钥KE解密每条守卫混淆消息后发送至下游守卫节点F,即DkE(GR_DMsg)→F;
守卫节点F在收到守卫节点E解密后的守卫混淆消息后,利用守卫密钥KF解密每条守卫混淆消息后发送至下游守卫节点G,即DkF(DkE(GR_DMsg))→G;
守卫节点G在收到守卫节点F解密后的守卫混淆消息后,利用守卫密钥KG解密每条守卫混淆消息后发送至下游守卫节点H,即DkG(DkF(DkE(GR_DMsg)))→H;
守卫节点H在收到守卫节点G解密后的守卫混淆消息后,利用守卫密钥KH解密每条守卫混淆消息后发送至下游守卫节点(即初始守卫节点)Alice,即DkH(DkG(DkF(DkE(GR_DMsg))))→Alice;
Alice接收到消息后,由于其知道E-Alice中间经过的所有守卫节点的顺序以及相应守卫密钥,则Alice利用环上[E-Alice)阶段路径守卫节点的守卫密钥对守卫混淆消息逆时针多重加密,直至识别混淆消息类型,进而获得守卫混淆消息内容,即GR_DMsg=EkE(EkF(EkG(EkH(DkH(DkG(DkF(DkE(GR_DMsg)))))))),然后将GR_DMsg替换成RandString|“d”|r2,然后再利用(Alice-E]中间守卫节点的对称密钥逆时针加密消息后,发送给下一跳守卫节点I,即EkI(EkD(EkE(GR_DMsg’)))→I,加密后的信息表示为GR_DMsg’=GR_DMsg(r1->r2);
守卫节点I在收到初始守卫节点Alice加密后的混淆消息后,利用守卫密钥KI解密每条守卫混淆消息后发送至下游守卫节点D,即DkI(EkI(EkD(EkE(GR_DMsg’))))=EkD(EkE(GR_DMsg’))→D;
守卫节点D在收到守卫节点I加密后的混淆消息后,利用守卫密钥KD解密每条守卫混淆消息后发送至下游守卫节点(即助手守卫节点)E,即DkD(EkD(EkE(GR_DMsg’)))=EkE(GR_DMsg’)→E;
助手守卫节点E收到最终消息,利用守卫密钥KE解密每条守卫混淆消息后,识别混淆消息类型,进而获得混淆消息内容,根据标记对比哈希值后,丢弃消息,再根据用户预设的T1间隔后根据守卫混淆参数内容生成新的守卫混淆消息,再次通过全部守卫节点循环发送。
作为一个可选的实施例,守卫混淆消息的发送是在发送者守卫环的初始守卫节点发送真实消息之前开始执行的,当守卫混淆消息发送至发送者守卫环的初始守卫节点后,发送者守卫环的初始守卫节点将守卫混淆消息的内容替换为真实消息的内容,继续沿守卫环的路径进行转发,对于攻击者而言,所有守卫节点都在做消息的转发工作,所以攻击者无法分辨哪个守卫节点是发送真实消息的初始守卫节点,从而保护真实消息的发送者(即发送者守卫环的初始守卫节点)不被攻击者攻击。对于接收消息的守卫环而言,当真实消息被转发进入接收者守卫环之前,接收者守卫环以相同方法生成守卫混淆消息,当真实消息被转发至接收者守卫环的初始守卫节点时,接收者守卫环的初始守卫节点将真实消息接收后继续沿守卫环的路径转发真实消息,对于攻击者而言,所有守卫节点都在做消息的转发工作,所以攻击者无法分辨哪个守卫节点是接收真实消息的初始守卫节点,从而保护真实消息的接收者(即接收者守卫环的初始守卫节点)不被攻击者攻击。
作为一个可选的实施例,根据守卫环的构建过程,可以构建若干个守卫环,并组成守卫环池,对于多环信息的维护,需要用户预先初始化多个守卫环,并维护由多个守卫环构成的守卫环池,向权威目录服务器发布多个守卫环信息,用户收发消息可以采用不同的守卫环传递消息,任意一个守卫环都可以作为发送信息的守卫环,任意一个守卫环都可以作为接收信息的守卫环,一个守卫环可以同时作为发送信息的守卫环并接收来自环外的信息。当出现某个守卫环失效的情况时,重新建立新的守卫环,确保守卫环池中守卫环的个数保持稳定。
作为一个可选的实施例,一个守卫环的结构为Alice-B-C-D-Alice的环形结构,初始守卫节点Alice发送一个消息至守卫节点D,首先初始守卫节点Alice利用守卫节点B的对称密钥加密消息,再利用守卫节点C的对称密钥加密消息,最后利用守卫节点D的对称密钥加密消息,将加密后的消息发送至守卫节点B。守卫节点B收到消息后,利用自己的对称密钥解密消息,并将经过一次解密后的消息发送至守卫节点C;守卫节点C收到消息后,利用自己的对称密钥解密消息,并将经过两次解密后的消息发送至守卫节点D;守卫节点D收到消息后,利用自己的对称密钥解密消息,从而得到最内部的原始消息。
作为一个可选的实施例,守卫环上利用最小匿名集合保护初始守卫节点,具体地,除了初始守卫节点以外,至少有一个好的守卫节点时,初始守卫节点与好的守卫节点组成最小匿名集合,在攻击者看来,最小匿名集合中的守卫节点都是在对消息进行转发,所以这些守卫节点的行为完全相同,攻击者无法区分哪一个守卫节点是初始守卫节点,由于初始守卫节点是消息的真实发送者或者消息的真实接收者,所以攻击者无法对消息的真实发送者或者消息的真实接收者进行攻击,从而保护了消息的真实发送者和消息的真实接收者。其中,好的守卫节点是指不会发起任何去匿名化攻击的守卫节点,好的守卫节点会遵循守卫环与匿名通信网络的协议转发消息。
S103从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥。
本实施例中,权威目录服务器从维护的网络节点信息中,基于聚合环节点选择随机算法选择若干个聚合节点,收集选择的聚合节点的公钥和IP端口等信息。聚合节点为高速稳定的高性能节点,一般为权威目录服务器选择的大玩家或者志愿者提供的高性能节点,其中大玩家节点是比普通用户能力强大的节点,比如百度,谷歌这类公司运营的节点,它们提供的节点带宽大、性能高并且比普通的节点更加稳定。权威目录服务器将所有聚合节点随机排列为初始化环形路径,所有聚合节点依次与其余聚合节点生成聚合对称密钥,并保存各聚合节点返回的公钥。具体地,以任意一个聚合节点为例,权威目录服务器向该聚合节点发送聚合环ID,该聚合节点获取聚合环ID后生成一对聚合对称密钥,该聚合节点将生成的聚合对称密钥中的公钥返回至权威目录服务器,当所有聚合节点都将自己的公钥返回至权威目录服务器后,权威目录服务器将保存各聚合节点返回的公钥。
作为一个可选的实施例,权威目录服务器根据各聚合节点的公钥,协助各聚合节点分别与其余聚合节点通过密钥交换协议建立共享的聚合对称密钥,对于有r个聚合节点的聚合环,生成r(r-1)个聚合对称密钥,每个聚合节点通过与其他聚合节点生成聚合对称密钥的顺序,可以获取聚合环上各聚合节点的排列顺序。例如聚合环上聚合节点排列顺序为A-B-C-D,聚合节点A获取的排列顺序为B-C-D,聚合节点B获取的排列顺序为C-D-A,以此类推,剩余聚合节点获取各节点的排列顺序。
S104生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环。
本实施例中,对于具有r个节点的聚合环,权威目录服务器生成的r层加密的数据包是逐层加密的,每个聚合节点加密一层数据包,直到第一个聚合节点至最后一个聚合节点均对数据包进行一次加密后,得到r层加密的数据包,具体包括以下步骤:
首先生成层级加密数据包的第1层信息,利用聚合环中的最后一个聚合节点的公钥加密以下信息:聚合环中的最后一个聚合节点在聚合环中的下一跳聚合节点的地址信息、聚合环中最后一个节点的标识信息和聚合环ID,聚合环中的最后一个聚合节点在聚合环中的下一跳聚合节点为聚合环中的第1个聚合节点;
当r>i>1时,生成层级加密数据包的第i层信息时,利用聚合环中的第r-i+1个聚合节点的公钥,加密以下信息:聚合环中第r-i+1个聚合节点在聚合环中的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第i-1层信息;
生成层级加密数据包的第r层信息时,利用聚合环中的第1个聚合节点的公钥,加密以下信息:聚合环中第1个聚合节点在聚合环中的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第r-1层信息。
在生成逐层加密后的层级加密数据包后,权威目录服务器将层级加密数据包发送至聚合环中第一个聚合节点,由第一个聚合节点解密后将层级加密数据包发送至下一跳聚合节点,各聚合节点依次对层级加密数据包进行解密,获取各层级加密的信息。具体包括以下步骤:
聚合环的第1个聚合节点利用本聚合节点的非对称秘钥中的私钥对层级加密数据包中第r层信息进行解密,获得以下信息:聚合环的第1个聚合节点的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID、和已经生成的第r-1层信息;
聚合环的第1个聚合节点根据解密出的聚合环中非最后一个聚合节点的标识信息和下一跳聚合节点的地址信息将第r-1层信息继续向聚合环的第1个聚合节点的下一跳聚合节点发送;
当1<i<r时,聚合环的第i个聚合节点利用本聚合节点非对称秘钥中的私钥对层级加密数据包中第r+1-i层信息进行解密,获得以下信息:聚合环的第i个聚合节点的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第r-i层信息;
聚合环的第i个聚合节点根据解密出的标识信息聚合环中非最后一个聚合节点的标识信息和下一跳聚合节点的地址信息将第r-i层信息继续向聚合环的第i个聚合节点的下一跳聚合节点发送;
聚合环的第r个聚合节点利用本聚合节点的非对称秘钥中的私钥对层级加密数据包中第1层信息进行解密,获得以下信息:聚合环的第r个聚合节点的下一跳聚合节点的地址信息、聚合环中最后一个聚合节点的标识信息和聚合环ID;
聚合环的第r个聚合节点根据解密出的聚合环中最后一个聚合节点的标识信息,确定本聚合节点为最后一个聚合节点,存储下一跳聚合节点的地址信息。
例如,生成5层的层级加密数据包,聚合环中的聚合节点包括:节点A、节点B、节点C、节点D和节点E,当聚合节点A收到层级加密数据包后,利用聚合节点A的非对称秘钥中的私钥对层级加密数据包的最外层进行解密,得到下一跳聚合节点B的地址信息、聚合节点E的标识信息、聚合环ID和已经生成的第4层信息,聚合节点A根据聚合节点E的标识信息确定本节点为聚合环中的非最后一个聚合节点,从而继续转发层级加密数据包,聚合节点A根据聚合节点B的地址信息,与聚合节点B建立连接,并将经过一次解密后的层级加密数据包转发至聚合节点B,以此类推,直至层级加密数据包转发至聚合节点E。聚合节点E利用聚合节点E的非对称秘钥中的私钥对层级加密数据包解密,得到下一跳聚合节点,即聚合节点A的地址信息、聚合节点E的标识信息和聚合环ID,聚合节点E根据聚合节点E的标识信息确定本聚合节点为聚合环中的最后一个节点,不再转发层级加密数据包,存储聚合节点A的地址信息,根据聚合节点A的地址信息与聚合节点A建立连接。
作为一个可选的实施例,各聚合节点通过上述步骤解密得到的下一跳聚合节点的地址信息,依次与下一跳聚合节点建立连接,从而形成环状通路的聚合环。作为一个可选的实施例,在层级加密数据包的最内层信息中设置建环标记,当最后一个聚合节点解密最内层信息后得到一个建环标记,如果得到的建环标记与设置的建环标记相同,则完成聚合环的建立;如果得到的建环标记与设置的建环标记不同,则聚合环建立失败。聚合环中第一个聚合节点将聚合环建立成功与否的结果发送至权威目录服务器,如果建立失败,则由权威目录服务器决定是否重新建立聚合环。得到的聚合环结构参考图3,聚合环中的任意聚合节点只知道相邻两个聚合节点的地址信息。
S105生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息。
本实施例中,聚合环各节点能够生成并转发回环混淆消息和脱环混淆消息,其中转发脱环混淆消息的同时能够将需要转发至环外的真实消息转发至环外,并且通过脱环混淆消息为真实消息提供掩护,混淆攻击者,使得攻击者无法得知转发至环外的消息是否为真实消息。生成并转发脱环混淆消息包括以下步骤:
聚合环上的聚合节点每隔T2间隔判定一次是否需要发送脱环混淆消息;
如果聚合环上有需要转发至环外的真实消息,则判定需要发送脱环混淆消息;
聚合环随机选择目标聚合节点,并指定脱环聚合节点;
目标聚合节点生成脱环混淆消息数据包并利用聚合对称密钥加密脱环混淆消息数据包{target_addr|target_circ_id|“PADDING”|random_bytes},目标聚合节点指定脱环混淆消息数据包转发的跳数,脱环混淆消息数据包包括:目标聚合节点信息和脱环混淆消息,其中脱环混淆消息使用使用目标聚合节点的公钥加密;
目标聚合节点根据指定的跳数沿聚合环的建环路径逐跳发送脱环混淆消息数据包至下一跳聚合节点,直至脱环混淆消息数据包被转发至脱环聚合节点,每一个转发脱环混淆消息数据包的聚合节点利用本聚合节点的聚合对称密钥解密脱环混淆消息数据包后利用公钥加密脱环混淆消息数据包;
脱环聚合节点解密脱环混淆消息数据包获得目标节点信息,生成脱环信息数据包[00|“GLAND”|“PADDING”|random_bytes],利用公钥加密脱环信息数据包并将脱环信息数据包发送至目标聚合节点,脱环信息数据包包括:脱环信息;
目标聚合节点解密接收到的脱环信息数据包,获得脱环信息“PADDING”|random_bytes,如果检测到PADDING信息,则直接丢弃,如果获得脱环信息中不包含PADDING信息,则将脱环信息发送至环外。
作为一个可选的实施例,生成并转发回环混淆消息,包括以下步骤:
聚合环上的聚合节点每隔T3间隔判定一次是否需要发送回环混淆消息;
如果聚合环上接收到环外转发至环上聚合节点的真实信息,则判定需要发送回环混淆消息;
聚合环随机选择回环聚合节点,任意一个聚合节点都可以作为回环聚合节点,同时任意聚合节点都是回环聚合节点,能够同时发送回环混淆消息;
回环聚合节点生成回环混淆消息,利用聚合对称密钥加密回环混淆消息,生成回环混淆消息数据包{“Circle”|random_bytes};
回环聚合节点沿聚合环建环路径的逆时针方向逐跳发送回环混淆消息数据包直至回环混淆消息数据包转发至回环聚合节点,每一个转发回环混淆消息数据包的聚合节点利用本聚合节点的聚合对称密钥解密回环混淆消息数据包后获得下一跳聚合节点的地址信息,利用聚合对称密钥加密回环混淆消息数据包;
回环聚合节点解密回环混淆消息数据包后接收到的回环混淆消息,回收聚合节点监测到回环混淆消息数据包为一个回环数据包,即监测到回环混淆消息数据包中的Circle信息,则回收回环混淆消息。
作为一个可选的实施例,真实消息能够通过任意一个聚合节点转发至聚合环上,不同的真实消息在聚合环上转发的路径不同,而每条真实消息的转发路径由消息发送者确定,当不同的真实消息的转发路径出现重叠时,则通过流量叠加对不同的真实消息进行掩护。具体地,聚合环结构为A-B-C-D-E-F-G-A,消息发送者P选择真实消息P1从聚合节点A进入聚合环,最终通过聚合节点D被转发至环外,真实消息P1的转发路径为A-B-C-D;消息发送者Q选择真实消息Q1从聚合节点B进入聚合环,最终通过聚合节点F被转发至环外,真实消息Q1的转发路径为B-C-D-E-F,则真实消息P1和真实消息Q1在转发路径B-C-D上实现了流量叠加,攻击者无法判断在转发路径B-C-D上是属于哪一个真实消息的片段,从而避免攻击者攻击真实消息。
作为一个可选的实施例,聚合环上任何消息的转发在经过每一跳聚合节点时都在发生变化,从而除了消息发送者指定的第一跳聚合节点和最后一跳聚合节点外,任何聚合节点都无法得到完整的真实消息,同时,真实消息经过第一跳聚合节点和最后一跳聚合节点时,聚合节点都仅仅是将回环混淆消息或脱环混淆消息中的信息替换为真实消息进行转发,使得攻击者从环外只能得知环上一直存在消息在转发,而不能知晓哪个聚合节点进行了真实消息的接收或发送。具体地,聚合环的通信是基于两两聚合节点之间的共享的聚合对称密钥,例如,聚合环的结构为A-B-C-A,当通过聚合节点A发送消息至聚合节点C时,聚合节点A首先通过聚合节点B和聚合节点C之间共享的聚合对称密钥对消息进行加密,再发送至聚合节点B;当聚合节点B收到消息后,会利用聚合节点B和聚合节点A之间共享的聚合对称密钥对消息进行解密,再发送至聚合节点C;当聚合节点C收到消息后,会利用聚合节点C和聚合节点A之间共享的聚合对称密钥对消息进行解密,最终获得聚合节点A发送至聚合节点C的原始消息,从而使得每一跳聚合节点都在做解密操作,消息在每一跳聚合节点上都在发生变化,从而保护被转发的原始消息不会被所有转发的聚合节点获取,提高原始信息在转发过程中的安全性。
S106基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信。
本实施例中,从守卫环池中任意选择一个或多个守卫环作为发送者守卫环,执行真实消息的发送,从守卫环池中任意选择一个或多个守卫环作为接收者守卫环,执行真实消息的接收,至少选择一个聚合环,与发送者守卫环和接收者守卫环执行信息交互,从而构建出能够执行匿名通信的匿名通信网络。作为一个可选的实施例,具体地,参考图4,从守卫环池中任意选择一个守卫环作为发送者守卫环G1,执行真实消息的发送,发送者守卫环的初始守卫节点为Alice,从守卫环池中任意选择一个守卫环作为接收者守卫环G2,执行真实消息的接收,接收者守卫环的初始守卫节点为Bob,选择两个聚合环R1和R2,与发送者守卫环和接收者守卫环共同构建匿名通信网络。真实消息由G1上的节点Alice发送至G1上,同时,Alice生成守卫混淆消息并在G1上转发以掩护真实消息,Alice选择出环节点N0,真实消息被Alice通过步骤S102层级加密,在真实消息转发至N0的过程中,每一个转发真实消息的守卫节点都通过守卫密钥对真实消息进行解密,当真实消息和守卫混淆消息发送至N0时,N0将守卫混淆消息替换为真实消息并发送至R1环;真实消息发送者选择R1环上的一个聚合节点作为多阶段路径头节点N1,真实消息转发至R1环的同时,N1生成回环混淆消息和脱环混淆消息并开始转发,真实消息发送者选择真实消息在R1环上转发的跳数,真实消息被转发至发送者选择的最后一跳聚合节点的过程中,真实消息通过步骤S105被N1利用转发路径上的聚合节点两两共享的聚合对称密钥进行层级加密,然后在转发过程中通过步骤S105被每个转发真实消息的聚合节点通过两两聚合节点共享的聚合对称密钥对真实消息进行解密,直至真实消息被转发至发送者选择的最后一跳聚合节点,最后一跳聚合节点将脱环混淆消息替换为真实消息,并转发至R2环;真实消息发送者选择R2环上的一个聚合节点作为多阶段路径头节点N2,真实消息转发至R2环的同时,N2生成回环混淆消息和脱环混淆消息并开始转发,真实消息发送者选择真实消息在R2环上转发的跳数,真实消息被转发至发送者选择的最后一跳聚合节点的过程中,真实消息通过步骤S105被N2利用转发路径上的聚合节点两两共享的聚合对称密钥进行层级加密,然后在转发过程中通过步骤S105被每个转发真实消息的聚合节点通过两两聚合节点共享的聚合对称密钥对真实消息进行解密,直至真实消息被转发至发送者选择的最后一跳聚合节点,最后一跳聚合节点将脱环混淆消息替换为真实消息,并转发至G2环;G2环的初始守卫节点Bob选择入口节点Ni,同时,Bob生成守卫混淆消息并在G2上转发以掩护真实消息,真实消息被Bob通过步骤S102层级加密,在真实消息转发至Bob的过程中,每一个转发真实消息的守卫节点都通过守卫密钥对真实消息进行解密,当真实消息和守卫混淆消息发送至Bob时,Bob接收真实消息后继续在G2环上转发真实消息。参考图5,真实消息在全局中的全局消息封装格式为四次非对称加密,其中真实消息在转发至N1和N2时分别被R1环和R2环的临时公钥进行非对称加密,真实消息在被转发至Ni时分别被Ni处的公钥和Bob的临时公钥进行非对称加密。
从上面所述可以看出,本申请中一个或多个实施例提供的一种异构分层的匿名通信网络构建方法及装置,首先从权威目录服务器中获取网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点;然后连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点;接着,从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥;再生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环;生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息,从而保护聚合环上的信息不会被攻击者攻击;最后基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信,利用权威服务器中的不同网络节点构建守卫环和聚合环,充分利用不同网络节点的特点和优势,使得不同来源的网络节点分别在守卫环和聚合环中发挥特点,通过守卫环和聚合环上层级加密和层级解密的转发方式,提高了匿名网络通信中的整体匿名性。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,本发明一个或多个实施例还提供了一种基于供应链大数据的资源分配装置,包括:第一选取模块、第一构建模块、第二选取模块、生成模块、第二构建模块和执行模块。
参考图6,本装置中包括:
第一选取模块,被配置为获取权威目录服务器的网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点;
第一构建模块,被配置为连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点;
第二选取模块,被配置为从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥;
第二构建模块,被配置为生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环;
生成模块,被配置为生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息;
执行模块,被配置为基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本发明一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请中一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
本申请中一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请中一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (8)

1.一种异构分层的匿名通信网络构建方法,其特征在于,包括:
获取权威目录服务器的网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点;
连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点;所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点,包括:
选择助手守卫节点,所述助手守卫节点为任意一个所述守卫节点;
所述助手守卫节点获得守卫混淆参数,并根据所述守卫混淆参数生成若干条加密的守卫混淆消息,每条所述守卫混淆消息被助手守卫节点利用守卫密钥解密后发送至下一跳守卫节点;
所有所述守卫节点依次利用自己的守卫密钥解密上一跳守卫节点发送的所述守卫混淆消息,直至所述守卫混淆消息通过全部所述守卫节点后回到所述助手守卫节点,所述助手守卫节点丢弃所述守卫混淆消息,根据所述守卫混淆参数生成新的守卫混淆消息,再次通过全部所述守卫节点循环发送;
从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥;
生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环;
生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息;所述生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息,包括:
所述聚合环选择目标聚合节点和脱环聚合节点;
所述目标聚合节点生成脱环混淆消息数据包并利用聚合对称密钥加密所述脱环混淆消息数据包,所述目标聚合节点指定所述脱环混淆消息数据包转发的跳数,所述脱环混淆消息数据包包括:所述目标聚合节点信息和脱环混淆消息;
所述目标聚合节点根据指定的所述跳数沿聚合环的建环路径发送所述脱环混淆消息数据包至下一跳聚合节点,直至所述脱环混淆消息数据包被转发至所述脱环聚合节点,每一个转发所述脱环混淆消息数据包的聚合节点利用本聚合节点的所述聚合对称密钥解密所述脱环混淆消息数据包后利用下一个聚合节点的公钥加密所述脱环混淆消息数据包;
所述脱环聚合节点解密所述脱环混淆消息数据包获得目标节点信息,生成脱环信息数据包,利用下一个聚合节点的公钥加密所述脱环信息数据包并将所述脱环信息数据包发送至所述目标聚合节点,所述脱环信息数据包包括:脱环信息;
所述目标聚合节点解密接收到的所述脱环信息数据包,获得所述脱环信息,将所述脱环信息发送至环外;
基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信。
2.根据权利要求1所述的方法,其特征在于,所述连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,包括:
所述初始守卫节点从所述权威目录服务器下载守卫公钥并创建层级加密消息;
所述初始守卫节点沿待构建的所述守卫环的建环路径为每个所述守卫节点初始化与所述初始守卫节点共享的守卫密钥;
所述初始守卫节点采取嵌套加密的方式加密所述层级加密消息,并和所述待构建的守卫环的建环路径上的第一个守卫节点建立连接并发送所述层级加密消息;
所述第一个守卫节点利用所述守卫公钥解密所述层级加密消息获得该守卫节点的守卫密钥、下一跳守卫节点的地址信息和守卫环ID;
每个所述守卫节点解密所述层级加密消息后与下一跳守卫节点建立连接并发送解密后的层级加密消息至所述下一跳守卫节点,直至所述层级加密消息发送至最后一个守卫节点,所述最后一个守卫节点与第一个守卫节点建立连接以构建所述守卫环。
3.根据权利要求1所述的方法,其特征在于,还包括:
从所述网络节点中选取待构建的守卫环的临时守卫节点;
使用选取的所述临时守卫节点、至少一个守卫节点和初始守卫节点构建环形掩护路径,所述环形掩护路径用于混淆所述初始守卫节点和临时守卫节点以防止所述初始守卫节点被攻击。
4.根据权利要求1所述的方法,其特征在于,还包括:
所述初始守卫节点选择出环节点,所述出环节点为任意一个所述守卫节点;
所述初始守卫节点将接收的所述守卫混淆消息替换为真实消息,并依次利用所述初始守卫节点与所述出环节点之间所有守卫节点的守卫密钥以及所述出环节点的发送密钥加密所述真实消息,并沿所述守卫环的构建路径发送至所述出环节点,所述真实消息被所述初始守卫节点与出环节点之间所有守卫节点依次解密,所述出环节点解密接收到的所述真实消息后将所述真实消息发送至所述聚合环。
5.根据权利要求1所述的方法,其特征在于,所述生成层级加密数据包,包括:
每个所述聚合节点与其他所述聚合节点生成共享的聚合对称密钥,所述权威目录服务器生成与各聚合节点的非对称秘钥,并保存各所述聚合节点返回的公钥;
对于具有r个节点的所述聚合环得到r层加密的数据包时,生成所述层级加密数据包的第1层信息,利用所述聚合环中的最后一个聚合节点的公钥加密以下信息:所述聚合环中的最后一个聚合节点在所述聚合环中的下一跳聚合节点的地址信息、聚合环中最后一个节点的标识信息和聚合环ID,所述聚合环中的最后一个聚合节点在聚合环中的下一跳聚合节点为聚合环中的第1个聚合节点;
当r>i>1时,生成所述层级加密数据包的第i层信息时,利用所述聚合环中的第r-i+1个聚合节点的公钥,加密以下信息:所述聚合环中第r-i+1个聚合节点在聚合环中的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第i-1层信息;
生成所述层级加密数据包的第r层信息时,利用聚合环中的第1个聚合节点的公钥,加密以下信息:聚合环中第1个聚合节点在聚合环中的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第r-1层信息。
6.根据权利要求5所述的方法,其特征在于,还包括:
所述聚合环的第1个聚合节点利用本聚合节点的所述非对称秘钥中的私钥对所述层级加密数据包中第r层信息进行解密,获得以下信息:所述聚合环的第1个聚合节点的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID、和已经生成的第r-1层信息;
所述聚合环的第1个聚合节点根据解密出的聚合环中非最后一个聚合节点的标识信息和下一跳聚合节点的地址信息将所述第r-1层信息继续向聚合环的第1个聚合节点的下一跳聚合节点发送;
当1<i<r时,所述聚合环的第i个聚合节点利用本聚合节点非对称秘钥中的私钥对所述层级加密数据包中第r+1-i层信息进行解密,获得以下信息:所述聚合环的第i个聚合节点的下一跳聚合节点的地址信息、聚合环中非最后一个聚合节点的标识信息、聚合环ID和已经生成的第r-i层信息;
所述聚合环的第i个聚合节点根据解密出的标识信息聚合环中非最后一个聚合节点的标识信息和下一跳聚合节点的地址信息将第r-i层信息继续向所述聚合环的第i个聚合节点的下一跳聚合节点发送;
所述聚合环的第r个聚合节点利用本聚合节点的非对称秘钥中的私钥对所述层级加密数据包中第1层信息进行解密,获得以下信息:所述聚合环的第r个聚合节点的下一跳聚合节点的地址信息、聚合环中最后一个聚合节点的标识信息和聚合环ID;
所述聚合环的第r个聚合节点根据解密出的聚合环中最后一个聚合节点的标识信息,确定本聚合节点为最后一个聚合节点,存储下一跳聚合节点的地址信息。
7.根据权利要求1所述的方法,其特征在于,还包括:
所述聚合环选择回环聚合节点,所述回环聚合节点为任意一个所述聚合节点;
所述回环聚合节点生成回环混淆消息,利用所述聚合对称密钥加密所述回环混淆消息;
所述回环聚合节点沿聚合环建环路径的逆时针方向逐跳发送所述回环混淆消息直至所述回环混淆消息转发至所述回环聚合节点,每一个转发所述回环混淆消息的聚合节点利用本聚合节点的所述聚合对称密钥解密所述回环混淆消息后利用所述聚合对称密钥加密所述回环混淆消息;
所述回环聚合节点解密接收到的所述回环混淆消息,并回收所述回环混淆消息。
8.一种异构分层的匿名通信网络构建装置,其特征在于,包括:
第一选取模块,被配置为获取权威目录服务器的网络节点,从所述网络节点中选取用于构建守卫环的初始守卫节点,所述初始守卫节点从所述网络节点中选取其他用于构建所述守卫环的若干个守卫节点;
第一构建模块,被配置为连接所述初始守卫节点和守卫节点以构建环状通路的守卫环,所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点;所述守卫环利用所述守卫节点混淆所述初始守卫节点以保护所述初始守卫节点,包括:
选择助手守卫节点,所述助手守卫节点为任意一个所述守卫节点;
所述助手守卫节点获得守卫混淆参数,并根据所述守卫混淆参数生成若干条加密的守卫混淆消息,每条所述守卫混淆消息被助手守卫节点利用守卫密钥解密后发送至下一跳守卫节点;
所有所述守卫节点依次利用自己的守卫密钥解密上一跳守卫节点发送的所述守卫混淆消息,直至所述守卫混淆消息通过全部所述守卫节点后回到所述助手守卫节点,所述助手守卫节点丢弃所述守卫混淆消息,根据所述守卫混淆参数生成新的守卫混淆消息,再次通过全部所述守卫节点循环发送;
第二选取模块,被配置为从所述网络节点中选取用于构建聚合环的若干个聚合节点,使每个所述聚合节点与其他的所述聚合节点生成共享的聚合对称密钥;
第二构建模块,被配置为生成层级加密数据包,根据所述层级加密数据包连接所述聚合节点以构建环形通路的聚合环;
生成模块,被配置为生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息;所述生成利用所述聚合对称密钥加密的聚合混淆消息以保护所述聚合环上的消息,包括:
所述聚合环选择目标聚合节点和脱环聚合节点;
所述目标聚合节点生成脱环混淆消息数据包并利用聚合对称密钥加密所述脱环混淆消息数据包,所述目标聚合节点指定所述脱环混淆消息数据包转发的跳数,所述脱环混淆消息数据包包括:所述目标聚合节点信息和脱环混淆消息;
所述目标聚合节点根据指定的所述跳数沿聚合环的建环路径发送所述脱环混淆消息数据包至下一跳聚合节点,直至所述脱环混淆消息数据包被转发至所述脱环聚合节点,每一个转发所述脱环混淆消息数据包的聚合节点利用本聚合节点的所述聚合对称密钥解密所述脱环混淆消息数据包后利用下一个聚合节点的公钥加密所述脱环混淆消息数据包;
所述脱环聚合节点解密所述脱环混淆消息数据包获得目标节点信息,生成脱环信息数据包,利用下一个聚合节点的公钥加密所述脱环信息数据包并将所述脱环信息数据包发送至所述目标聚合节点,所述脱环信息数据包包括:脱环信息;
所述目标聚合节点解密接收到的所述脱环信息数据包,获得所述脱环信息,将所述脱环信息发送至环外;
执行模块,被配置为基于所述聚合环和守卫环间的信息交互构建匿名通信网络,利用所述匿名通信网络执行匿名通信。
CN202010699574.8A 2020-07-20 2020-07-20 一种异构分层的匿名通信网络构建方法及装置 Active CN111970245B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010699574.8A CN111970245B (zh) 2020-07-20 2020-07-20 一种异构分层的匿名通信网络构建方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010699574.8A CN111970245B (zh) 2020-07-20 2020-07-20 一种异构分层的匿名通信网络构建方法及装置

Publications (2)

Publication Number Publication Date
CN111970245A CN111970245A (zh) 2020-11-20
CN111970245B true CN111970245B (zh) 2021-07-20

Family

ID=73361733

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010699574.8A Active CN111970245B (zh) 2020-07-20 2020-07-20 一种异构分层的匿名通信网络构建方法及装置

Country Status (1)

Country Link
CN (1) CN111970245B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157713B (zh) * 2021-10-09 2023-06-16 北京邮电大学 一种捕获隐藏服务流量的方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101635918A (zh) * 2009-08-19 2010-01-27 西安电子科技大学 分层洋葱环路由方法
CN102098318A (zh) * 2011-03-23 2011-06-15 电子科技大学 多跳网络的端到端匿名安全通信方法
CN105357113A (zh) * 2015-10-26 2016-02-24 南京邮电大学 一种基于重路由匿名通信路径的构建方法
CN109698791A (zh) * 2018-11-29 2019-04-30 北京天元特通科技有限公司 一种基于动态路径的匿名接入方法
CN111314336A (zh) * 2020-02-11 2020-06-19 中国科学院信息工程研究所 一种面向抗追踪网络的动态传输路径构建方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594569B (zh) * 2012-03-24 2014-10-08 成都大学 一种建立Tor匿名通道时所采用的无证书密钥协商方法
CN104168265B (zh) * 2014-07-16 2018-01-05 南京邮电大学 一种基于分布式哈希表网络的匿名通信方法
CN104539598B (zh) * 2014-12-19 2017-10-03 厦门市美亚柏科信息股份有限公司 一种改进Tor的安全匿名网络通信系统及方法
US10652215B2 (en) * 2017-10-31 2020-05-12 Charter Communication Operating, LLC Secure anonymous communications methods and apparatus

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101635918A (zh) * 2009-08-19 2010-01-27 西安电子科技大学 分层洋葱环路由方法
CN102098318A (zh) * 2011-03-23 2011-06-15 电子科技大学 多跳网络的端到端匿名安全通信方法
CN105357113A (zh) * 2015-10-26 2016-02-24 南京邮电大学 一种基于重路由匿名通信路径的构建方法
CN109698791A (zh) * 2018-11-29 2019-04-30 北京天元特通科技有限公司 一种基于动态路径的匿名接入方法
CN111314336A (zh) * 2020-02-11 2020-06-19 中国科学院信息工程研究所 一种面向抗追踪网络的动态传输路径构建方法及系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
Ferris wheel: A ring based onion circuit for hidden services;Hakem Beitollahi;Geert Deconinck;《Computer Communications》;20120401;第35卷(第7期);829-841页 *
Post-Quantum Forward-Secure Onion Routing;Satrajit Ghosh;Aniket Kate;《ACNS 2015: Applied Cryptography and Network Security》;20160109;263-286页 *
分层基于地理多样性的低延迟匿名通信架构;陈新;胡华平;刘波;肖枫涛;黄遵国;《通信学报》;20090531;第30卷(第5期);54-60页 *
匿名系统Tor的软件架构与伪流量研究;孟浩;《中国优秀硕士学位论文全文数据库 信息科技辑》;20190815;I139-55页 *
基于洋葱路由的双向匿名秘密通信协议;赵梦瑶;李晓宇;《计算机科学》;20190430;第46卷(第4期);164-171页 *

Also Published As

Publication number Publication date
CN111970245A (zh) 2020-11-20

Similar Documents

Publication Publication Date Title
US10903984B2 (en) Device and method for resonant cryptography
CN110808837B (zh) 一种基于树形qkd网络的量子密钥分发方法及系统
CN110048986B (zh) 一种保证环网协议运行安全的方法及装置
JP2005525047A (ja) セキュアな無線ローカルエリアネットワーク又は無線メトロポリタンエリアネットワーク、及び関連する方法
CN110855438B (zh) 一种基于环形qkd网络的量子密钥分发方法及系统
CN111970245B (zh) 一种异构分层的匿名通信网络构建方法及装置
CN112019501B (zh) 一种用户节点匿名通信方法与装置
CN109347836B (zh) 一种IPv6网络节点身份安全保护方法
Alzahrani et al. Key management in information centric networking
El Mougy et al. Preserving privacy in wireless sensor networks using onion routing
Muthavhine et al. An Application of the Khumbelo Function on the Camellia Algorithm to Prevent Attacks in IoT Devices
Chakrabarty et al. Black routing and node obscuring in IoT
Al-Shargabi et al. An Improved DNA based Encryption Algorithm for Internet of Things Devices
CN105376240B (zh) 一种不需可信第三方的匿名提交系统
Narayanan et al. TLS cipher suite: Secure communication of 6LoWPAN devices
Bakiras et al. An anonymous messaging system for delay tolerant networks
Shaila et al. LKSR: link strength keymatch secure routing in heterogeneous wireless sensor networks
Li Exploring the Application of Data Encryption Technology in Computer Network Security
Nachammai et al. Securing data transmission in MANET using an improved cooperative bait detection approach
Kong Formal notions of anonymity for peer-to-peer networks
Jeba et al. Reliable anonymous secure packet forwarding scheme for wireless sensor networks
Khiani et al. Designing a secure and reliable node disjoint multipath routing algorithm and a survey on existing techniques
Elizabeth et al. Self Healing Certificate-Less Hybrid Encryption (SHCL-HE)
Choudhury et al. A new multi-language encryption technique for MANET
Khan et al. Location identity based content security scheme for content centric networking

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant