CN114567492B - 基于dht网络的控制器隐藏方法、装置、系统及存储介质 - Google Patents

Abstract

本发明公开了基于DHT网络的控制器隐藏方法、装置、系统及存储介质，方法应用于DHT网络，DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，包括：接收客户端发送的查找报文，查找报文包括查找标识；利用查找标识及逻辑距离算法，确定至少一个目标邻居节点；根据目标邻居节点及查找报文进行分布式查找，确定查找标识的查找结果；将查找结果返回至客户端，以实现客户端与SDP控制器的鉴权认证。本发明使得攻击者不能得知控制器的确切所在，使控制器完美隐藏起来，借此规避客户端所在的网络攻击者针对控制器的抓包识别及连环攻击，如果要加以攻击，则需要攻击所有的目标邻居节点，大大增加精力开销，或带宽开销。

Description

基于DHT网络的控制器隐藏方法、装置、系统及存储介质

技术领域

本发明涉及电力业务零信任系统软件定义边界控制器隐身防护技术领域，尤其涉及一种基于DHT网络的控制器隐藏方法、装置、系统及存储介质。

背景技术

云安全联盟(CSA)推出的标准零信任软件定义边界(SDP)架构，其核心思想是通过SDP架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。基于“先认证、再连接”的单包认证(Single Packet Authorization，SPA)技术，实现来访端的所有报文默认不信任状态下，进一步对首报文进行校验，首报文合法后进一步实现来访端的身份校验及权限授权。此机制有效实现了在SDP架构中的控制器和网关的网络接入点隐身性，进一步实现了后端业务资源的访问入口收敛或者消失。但是，在此业务实现过程中，合法来访端在进行第一阶段校验时，相同网络中的攻击者仍然可能通过监听终端的出入口流量，捕获目标控制器地址信息，并进一步发起攻击(如DDOS攻击使带宽消耗殆尽)造成控制器无法接入。

因此，亟需一种控制器隐藏方法，防止控制器地址被捕获等原因，使得控制器被恶意攻击。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述存在的问题，提出了本发明。本发明的主要目的在于提供一种基于DHT网络的控制器隐藏方法、装置、系统及存储介质，可以解决现有技术中由于控制器地址被捕获等原因，控制器被恶意攻击的问题。

为实现上述目的，本发明提供一种基于DHT网络的控制器隐藏方法，所述方法包括，

接收查找报文，所述查找报文包括查找标识；

利用所述查找标识或查找报文，确定目标节点或报文信息；

接收查找结果，实现客户端与SDP控制器的隐身鉴权认证接入以及自身入口防御。

为实现上述目的，本发明第一方面提供一种基于DHT网络的控制器隐藏方法，所述方法应用于DHT网络，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，所述方法包括：

接收客户端发送的查找报文，所述查找报文包括查找标识；

利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点；

根据所述目标邻居节点及所述查找报文进行分布式查找，确定所述查找标识的查找结果；

将所述查找结果返回至所述客户端，以实现所述客户端与SDP控制器的鉴权认证。

在一种可行实现方式中，所述利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点，包括：

将所述查找标识与所述DHT网络中各个所述DHT节点的节点标识进行异或运算，确定所述查找标识与各个所述节点标识之间对应的逻辑距离；

将所述逻辑距离最小的至少一个所述DHT节点，确定为所述目标邻居节点。

在一种可行实现方式中，所述根据所述目标邻居节点、所述查找报文，确定所述查找标识的查找结果，包括：

获取至少一个所述目标邻居节点的节点目录，所述节点目录包括若干与所述目标邻居节点相近的DHT节点信息；

利用所述查找标识以及所述节点目录，确定所述节点目录中是否存在与所述查找标识对应的DHT节点信息；

若不存在与所述查找标识对应的DHT节点信息，则将所述查找标识及查找标识信息保存至所述节点目录；并利用所述目标邻居节点的节点标识作为所述查找标识返回执行所述利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点的步骤，直至确定所述查找标识的查找结果。

为实现上述目的，本发明第二方面提供一种基于DHT网络的控制器隐藏方法，所述方法应用于客户端，所述方法包括：

获取查找报文，所述查找报文包括查找标识；

利用所述查找标识及所述客户端中存储的已知节点，确定所述已知节点中是否存在与所述查找标识对应的目标节点；

若不存在所述目标节点，则将所述查找报文发送至DHT网络，以在所述DHT网络中搜索所述查找标识，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点；

接收所述DHT网络返回的查找结果，以实现与控制器的鉴权认证。

为实现上述目的，本发明第三方面提供一种基于DHT网络的控制器隐藏方法，所述方法应用于部署在所述DHT网络中，且集成了SDP控制器协议的DHT节点，所述方法包括：

接收所述DHT网络发送的查找报文，所述查找报文包括查找标识；

利用所述SDP控制器协议识别所述查找报文，确定所述查找报文中是否包含SPA报文信息；

在所述查找报文中包含所述SPA报文信息时，对所述查找报文进行单包认证，得到所述查找报文的鉴权结果；在所述鉴权结果为合法时，将所述鉴权结果确定为所述查找标识的查找结果，并将所述查找结果返回至客户端，以及将所述鉴权结果通知网关；

在所述查找报文中不包含所述SPA报文信息时，丢弃所述查找报文。

为实现上述目的，本发明第四方面提供一种基于DHT网络的控制器隐藏装置，所述装置应用于DHT网络，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，所述装置包括：

报文接收模块：用于接收客户端发送的查找报文，所述查找报文包括查找标识；

节点确定模块：用于利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点；

结果确定模块：用于根据所述目标邻居节点、所述查找报文进行分布式查找，确定所述查找标识的查找结果；

结果返回模块：用于将所述查找结果返回至所述客户端，以实现所述客户端与SDP控制器的鉴权认证。

为实现上述目的，本发明第五方面提供一种基于DHT网络的控制器隐藏装置，所述装置应用于客户端，所述装置包括：

报文获取模块：用于获取查找报文，所述查找报文包括查找标识；

节点查询模块：用于利用所述查找标识及所述客户端中存储的已知节点，确定所述已知节点中是否存在与所述查找标识对应的目标节点；

报文发送模块：用于若不存在所述目标节点，则将所述查找报文发送至DHT网络，以在所述DHT网络中搜索所述查找标识，所述DHT网络部署有集成了至少一个SDP控制器协议的DHT节点；

结果接收模块：用于接收所述DHT网络返回的查找结果，以实现与SDP控制器的鉴权认证。

为实现上述目的，本发明第六方面提供一种基于DHT网络的控制器隐藏装置，所述装置应用于部署在所述DHT网络中，且集成了SDP控制器协议的DHT节点，所述装置包括：

数据接收模块：用于接收所述DHT网络发送的查找报文，所述查找报文包括查找标识；

信息确定模块：用于利用所述SDP控制器协议识别所述查找报文，确定所述查找报文中是否包含SPA报文信息；

数据处理模块：用于在所述查找报文中包含所述SPA报文信息时，对所述查找报文进行单包认证，得到所述查找报文的鉴权结果；在所述鉴权结果为合法时，将所述鉴权结果确定为所述查找标识的查找结果，并将所述查找结果返回至客户端，以及将所述鉴权结果通知网关；在所述查找报文中不包含所述SPA报文信息时，丢弃所述查找报文。

为实现上述目的，本发明第七方面提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如第一方面及任一可行实现方式中任一项所示步骤、如第二方面所示步骤或者如第三方面所示步骤。

为实现上述目的，本发明第八方面提供一种基于DHT网络的控制器隐藏系统，所述系统包括：客户端、部署有集成了SDP控制器协议的DHT节点的DHT网络、网关、存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如第一方面及任一可行实现方式中任一项所示步骤、如第二方面所示步骤或者如第三方面所示步骤。

本发明的有益效果：通过提供一种基于DHT网络的控制器隐藏方法，方法应用于DHT网络，DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，方法包括：接收客户端发送的查找报文，查找报文包括查找标识；利用查找标识及逻辑距离算法，确定至少一个目标邻居节点；根据目标邻居节点及查找报文进行分布式查找，确定查找标识的查找结果；将查找结果返回至客户端，以实现客户端与SDP控制器的鉴权认证。通过查找标识与逻辑距离算法得到至少一个目标邻居节点，攻击者不能得知控制器的确切所在，使控制器完美隐藏起来，借此规避客户端所在的网络攻击者针对控制器的抓包识别及连环攻击，如果要加以攻击，则需要攻击所有的目标邻居节点，大大增加精力开销，或者带宽开销。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：

图1为本发明实施例中一种基于DHT网络的控制器隐藏方法的应用环境图；

图2为本发明实施例中一种基于DHT网络的控制器隐藏方法的流程图；

图3为本发明实施例中一种基于DHT网络的控制器隐藏方法的另一流程图；

图4为本发明实施例中一种基于DHT网络的控制器隐藏方法的又一流程图；

图5为本发明实施例中一种基于DHT网络的控制器隐藏方法的再一流程图；

图6为本发明实施例中一种基于DHT网络的控制器隐藏装置的结构框图；

图7为本发明实施例中一种基于DHT网络的控制器隐藏装置的另一结构框图；

图8为本发明实施例中一种基于DHT网络的控制器隐藏装置的又一结构框图；

图9为本发明实施例中计算机设备的结构框图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发

明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。

本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。

同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

参照图1，为本发明的一个实施例，提供了一种基于DHT搜索的SDP控制器隐藏方法应用环境，该基于DHT网络的控制器隐藏方法应用于一种基于DHT网络的控制器隐藏系统。该系统包括客户端110、DHT网络服务器120以及网关。客户端110和DHT网络服务器120通过DHT网络连接，客户端110具体可以是台式终端或移动终端，移动终端具体可以是手机、平板电脑、笔记本电脑等中的至少一种。DHT网络服务器120可以用独立的服务器或者是多个服务器组成的服务器集群来实现。客户端110用于发送查找报文，以及接收DHT网络服务器返回的所述查找报文的查找结果，DHT网络服务器120中包括若干的DHT节点，且部署有至少一个集成了SDP控制器协议的DHT节点，用于接收查找报文，返回查找结果至客户端，以实现所述客户端与SDP控制器的鉴权认证。

实施例2

参照图2～5，为本发明的一个实施例，提供了一种基于DHT网络的控制器隐藏方法，包括，接收查找报文，所述查找报文包括查找标识；利用所述查找标识或查找报文，确定目标节点或报文信息；接收查找结果，实现客户端与SDP控制器的隐身鉴权认证接入以及自身入口防御。

该方法可以应用于客户端。该基于DHT网络的控制器隐藏方法具体包括如下步骤：

201、获取查找报文，所述查找报文包括查找标识；

需要说明的是，客户端获取用户在客户端上发出的查找报文，其中，该客户端也可称为来访端，用于基于用户查找请求在DHT网络上发出查找报文，进而实现客户端与SDP控制器之间通信的建立，使得客户端具备获得网关业务资源的资格；客户端通过DHT网络发起IDtarget查找的数据报文，该IDtarget查找报文携带有与控制器认证的SPA单包信息以及查找标识(IDtarget)，也就是说，查找报文中不包括控制器IP。其中，SPA单包信息包括但不限于客户端账号密码、客户端指纹信息、客户端硬件网卡信息、客户端MAC地址、客户端IP等等。其中，DHT网络有查找子协议，将IDtarget信息进行加密之后，编码成DHT网络中查找子协议中的查找目标，就可以构造成符合DHT协议的查找报文，该报文中包括查找目标的查找标识(IDtarget)。IDtarget多数都是整数，例如KAD(Kademlia)网络中的各个node ID是符合160bit的整数，可以方便的进行逻辑距离的计算。进一步的，该IDtarget为一虚拟构建的虚拟节点，该虚拟节点符合DHT协议，但由于该节点为虚拟构建的因此该虚拟节点不存在，即该虚拟节点处于不在线状态。

202、利用所述查找标识及所述客户端中存储的已知节点，确定所述已知节点中是否存在与所述查找标识对应的目标节点；

可以理解的是，客户端中会存储一些已知节点的节点信息，因此，首先可以先，利用查找标识及一些已知节点的节点信息，确定是否存在与查找标识对应的目标节点。通过在已知范围内先进行该查找标识的查找，可以得到初步的查找结果。其中，该节点信息包括Key-vaule目录，通过查找标识在该Key-vaule目录中进行遍历，确定该Key-vaule目录中是否存在与查找标识对应的目标节点。

203、若不存在所述目标节点，则将所述查找报文发送至DHT网络，以在所述DHT网络中搜索所述查找标识，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点；

进一步的，由于该IDtarget为虚拟节点，因此客户端从它已知节点中找不到IDtarget对应的目标节点，也就无法知道该IDtarget的ip地址，因为该IDtarget不存在于已知节点的Key-vaule目录中，则将包括查找标识的查找报文发送至DHT网络，利用DHT网络的转发逻辑进行转发。

其中，DHT全称为Distributed Hash Table，中文翻译为分布式哈希表。它是一种去中心化的分布式系统，特点主要有自动去中心化，强大的容错能力，支持扩展。哈希表：也称散列表。根据关键码值(Key value)而直接进行访问的数据结构。这个映射函数叫哈希函数，存放记录的数组叫哈希表。

204、接收所述DHT网络返回的查找结果，以实现与控制器的鉴权认证。

进一步的，客户端接收DHT网络返回的查找报文的查找结果，以实现与控制器的鉴权认证。可以理解的是，DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，零信任客户端无需存储和主动连接任何控制器，通过连接虚拟IDtarget的方式，将查找报文在DHT网络中传播，同时由于集成了SDP控制器协议的DHT节点存储了去往IDtarget的较近路径，所以查找报文最终会在DHT网络的转发查找的过程中经过该集成了SDP控制器协议的DHT节点也即控制器节点，使得控制器节点可以基于SDP控制器协议自动识别SPA报文信息，实现SPA认证过程，使得DHT网络可以返回的查找报文的查找结果，以实现与控制器的鉴权认证。

本发明提供一种基于DHT网络的控制器隐藏方法，方法应用于客户端，方法包括：获取查找报文，查找报文包括查找标识；利用查找标识及客户端中存储的已知节点，确定已知节点中是否存在与查找标识对应的目标节点；若不存在目标节点，则将查找报文发送至DHT网络，以在DHT网络中搜索查找标识，DHT网络部署有至少一个集成了SDP控制器协议的DHT节点；接收DHT网络返回的查找结果，以实现与控制器的鉴权认证。通过将查找报文发送至集成了SDP控制器协议的DHT节点的DHT网络，在DHT网络中利用查找标识与逻辑距离算法得到至少一个目标邻居节点，攻击者不能得知控制器的确切所在，使控制器完美隐藏起来，借此规避客户端所在的网络攻击者针对控制器的抓包识别及连环攻击，如果要加以攻击，则需要攻击所有的目标邻居节点，大大增加精力开销，或者带宽开销。进而实现隐身鉴权与认证的SDP认证过程。

如图3所示，提供了一种基于DHT网络的控制器隐藏方法。所述方法应用于DHT网络，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，所述方法包括：

301、接收客户端发送的查找报文，所述查找报文包括查找标识；

可以理解的是，由于IDtarget查找报文中的IDtarget为虚拟构建的节点，因此，在客户端从已知节点中无法确定与该查找标识对应的目标节点后，会将该查找报文发送至DHT网络，以实现对该IDtarget的查找。需要说明的是，图4所示步骤401中部分内容与图2所示步骤201内容相似，为避免重复，此处不作赘述，具体可参考前述图2所示步骤201内容。

302、利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点；

需要说明的是，DHT网络具有逻辑距离算法，使得任一节点在DHT网络中进行传播都遵循该逻辑距离算法进行传播，该逻辑距离算法用于通过两个基点之间的标识值计算两个节点之间的逻辑距离，以决定是否将查找报文交给另一个节点进行查找，其中，目标邻居节点为与查找标识符合该逻辑距离算法的DHT节点。其中，该目标邻居节点可以为在DHT网络中离IDtarget最近的DHT网络节点。

303、根据所述目标邻居节点及所述查找报文进行分布式查找，确定所述查找标识的查找结果；

可以理解的是，该目标邻居节点可以为一个或多个，可以通过该目标邻居节点及查找报文进行分布式查找，确定查找标识的查找结果。

304、将所述查找结果返回至所述客户端，以实现所述客户端与SDP控制器的鉴权认证。

其中，该DHT网络由于集成了SDP控制器协议的DHT节点，且该集成了SDP控制器协议的DHT节点存储了去往IDtarget的较近路径，所以查找报文最终会在DHT网络的转发查找过程中经过控制器，使得控制器可以自动识别SPA报文信息，使得DHT网络可以返回的查找报文的查找结果，以实现与控制器的鉴权认证，则该步骤将持续转发至离IDtarget更近的DHT节点；如果该节点隐藏了控制器也即该节点为集成了SDP控制器协议的DHT节点，则该节点将会自动进行查找报文中的SPA报文信息的识别。

本发明提供一种基于DHT网络的控制器隐藏方法，方法应用于DHT网络，DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，方法包括：接收客户端发送的查找报文，查找报文包括查找标识；利用查找标识及逻辑距离算法，确定至少一个目标邻居节点；根据目标邻居节点及查找报文进行分布式查找，确定查找标识的查找结果；将查找结果返回至客户端，以实现客户端与SDP控制器的鉴权认证。通过查找标识与逻辑距离算法得到至少一个目标邻居节点，攻击者不能得知控制器的确切所在，使控制器完美隐藏起来，借此规避客户端所在的网络攻击者针对控制器的抓包识别及连环攻击，如果要加以攻击，则需要攻击所有的目标邻居节点，大大增加精力开销，或者带宽开销。

如图4所示，提供了一种基于DHT网络的控制器隐藏方法。所述方法应用于DHT网络，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，所述方法包括：

401、接收客户端发送的查找报文，所述查找报文包括查找标识；

需要说明的是，图4所示步骤401中部分内容与图3所示步骤301内容相似，为避免重复，此处不作赘述，具体可参考前述图3所示步骤301内容。

402、将所述查找标识与所述DHT网络中各个所述DHT节点的节点标识进行异或运算，确定所述查找标识与各个所述节点标识之间对应的逻辑距离；

示例性的，DHT网络有网络逻辑距离的算法，例如Kademlia算法，简称KAD，通过两个节点标识(node值)的异或计算(exclusive OR，xor)得到两个节点的逻辑距离，不同网络也有对应的逻辑距离算法。进而，通过将查找标识与节点标识进行异或计算，可以得到每个节点标识与该查找标识之间对应的逻辑距离。

403、将所述逻辑距离最小的至少一个所述DHT节点，确定为所述目标邻居节点；

其中，DHT网络基于各个逻辑距离，选出几个逻辑距离最小的DHT节点，作为目标邻居节点，在DHT网络中，由于每个节点均会存储一些以及，每个DHT节点上会存储入口节点(well known node)以及与自己距离较近的邻居节点(cached node)的节点信息，节点信息包括但不限于节点标识(node id)和节点地址(ip:port)。因此，可以通过逻辑距离计算得到的目标邻居节点进行查找报文的查找。其中，逻辑距离指的是节点值之间的异或距离。node id为节点id，节点包含了网络ip地址和端口号，由唯一的节点id指向这一个节点，节点id为160位的二进制表示。key是网络中的资源名索引和资源名以key-value键值对的形式表示，资源名经过哈希函数计算，转为160位的key。进一步的，异或距离：也就是对两个id进行异或运算得到的逻辑距离，可以是利用node id与node id，定位节点计算得到；或者利用node id与key，定位资源计算得到，在此不做限定。

404、根据所述目标邻居节点及所述查找报文进行分布式查找，确定所述查找标识的查找结果；

需要说明的是，图4所示步骤404中部分内容与图3所示步骤303内容相似，为避免重复，此处不作赘述，具体可参考前述图3所示步骤303内容。

需要说明的是，如果目标邻居节点收到IDtarget查找报文后，在自己保存的节点well known node或者cached node里面有该IDtarget的节点信息(node信息)，那么自己就可以对查找报文进行分布式查找，以应答查询报文给出查询结果，其中，well known node为知名节点，知名节点由一个或多个入口节点等特殊节点构成，cached node为缓存节点，缓存节点由一个或多个缓存的节点构成。

进一步的，步骤404具体可以包括步骤A、B及C：

A、获取至少一个所述目标邻居节点的节点目录，所述节点目录包括若干与所述目标邻居节点相近的DHT节点信息；

可以理解的是，获取每个目标邻居节点的节点目录，该节点目录中存储了若干目标邻居节点的已知节点信息，该已知节点信息包括与目标邻居节点相近的DHT节点信息，该节点目录由已知节点的若干Key-value条目构成。

B、利用所述查找标识以及所述节点目录，确定所述节点目录中是否存在与所述查找标识对应的DHT节点信息；

需要说明的是，该目标邻居节点对应的节点目录中存储有与该目标邻居节点距离近的节点信息，而目标邻居节点通过逻辑距离算法确定的与查找标识距离最近的节点，因此，通过查找标识在节点目录中确定是否存在该查找标识对应的DHT节点信息。其中，由上述的两个id，把资源放置在node id与key的距离相近的节点上，就能实现资源的定位。也就是我们可以根据key去匹配距离相近的node id，然后找到在该节点上与key对应的资源value。

C、若不存在与所述查找标识对应的DHT节点信息，则将所述查找标识及查找标识信息保存至所述节点目录；并利用所述目标邻居节点的节点标识作为所述查找标识返回执行所述利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点的步骤，直至确定所述查找标识的查找结果。

进一步的，在不存在查找标识对应的DHT节点信息时，会要求当前的邻居节点包括该IDtarget节点的节点信息，也即Key-value条目。并且该目标邻居节点会找该目标邻居节点的已知节点中是否存在比该目标邻居节点距离更近的节点，以此，继续转交查询报文，得到查找结果。具体可以为以目标邻居节点的节点标识得到与目标邻居节点最近的节点标识，并将查找报文转发该目标邻居节点距离更近的节点，直至在转发的过程中经过部署有SDP控制器节点时，SDP控制器节点自动识别查找报文中的SPA报文信息，并返回查找结果。

需要说明的是，由于IDtarget为虚拟节点，因此该IDtarget节点的必定不在该与节点目录中，因此，查找报文必定会被转发，而在DHT网络中部署有控制器节点，随着不断转发则查找报文一定会经过控制器节点，使得控制器可以识别出SPA报文以返回查找结果即认证结果，以实现客户端和控制器之间的鉴权认证。客户端的查找报文到达下一个网络节点时，如果不是IDtarget，则会要求当前的DHT网络节点保存key-value条目；同时数据包将进一步进行转发。DHT网络中，每个节点有一个自身的ID，两个节点，通过两个ID间位运算的结果得到节点之间的距离，间位运算包括但不限于异或运算。

405、将所述查找结果返回至所述客户端，以实现所述客户端与SDP控制器的鉴权认证。

进一步的，查找报文中存在SPA报文信息，因此，在经过集成了SDP控制器协议的DHT节点时，不仅会基于DHT协议进行逻辑转发，SDP控制器协议还会自动识别该查找报文中存在SPA报文信息，对客户端进行鉴权认证。

本发明提供一种基于DHT网络的控制器隐藏方法，方法应用于DHT网络，DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，方法包括：接收客户端发送的查找报文，查找报文包括查找标识；将查找标识与DHT网络中各个DHT节点的节点标识进行异或运算，确定查找标识与各个节点标识之间对应的逻辑距离；将逻辑距离最小的至少一个DHT节点，确定为目标邻居节点；根据目标邻居节点及查找报文进行分布式查找，确定查找标识的查找结果；将查找结果返回至客户端，以实现客户端与SDP控制器的鉴权认证。通过查找标识与逻辑距离算法得到至少一个目标邻居节点，攻击者不能得知控制器的确切所在，使控制器完美隐藏起来，借此规避客户端所在的网络攻击者针对控制器的抓包识别及连环攻击，如果要加以攻击，则需要攻击所有的目标邻居节点，大大增加精力开销，或者带宽开销。

如图5所示，在一个实施例中，提供了一种基于DHT网络的控制器隐藏方法。所述方法应用于部署在所述DHT网络中，且集成了SDP控制器协议的DHT节点，所述方法包括：

501、接收所述DHT网络发送的查找报文，所述查找报文包括查找标识；

可以理解的是，在查找报文被DHT网络持续转发的过程中，将会遇到某DHT节点集成了SDP控制器协议也即具备SDP控制器功能的DHT节点，因此，该集成了SDP控制器协议的DHT节点会接收到DHT网络发送的查找报文。

需要说明的是，图5所示步骤501中部分内容与图2所示步骤201内容相似，为避免重复，此处不作赘述，具体可参考前述图2所示步骤201内容。

502、利用所述SDP控制器协议识别所述查找报文，确定所述查找报文中是否包含SPA报文信息；

进一步的，当该集成了SDP控制器协议的DHT节点，该节点由于不存在，还是会被转发，而在接收到key-value条目存储的要求时，该集成了SDP控制器协议的DHT节点可以识别出该数据存储要求包含报文信息，从而可以确定查找报文中是否包含SPA报文信息，该SPA报文信息至少包括SPA单包敲门的信息。

503、在所述查找报文中包含所述SPA报文信息时，对所述查找报文进行单包认证，得到所述查找报文的鉴权结果；在所述鉴权结果为合法时，将所述鉴权结果确定为所述查找标识的查找结果，并将所述查找结果返回至客户端，以及将所述鉴权结果通知网关；

504、在所述查找报文中不包含所述SPA报文信息时，丢弃所述查找报文。

其中，步骤503及504，通过DHT协议继续确定查找报文的目标邻居节点，通过SDP控制器协议识别查找报文的报文信息，在协议解析结果中若存在SPA报文信息，或者可以实现对该查找报文的解密，则可以确定查找报文中包含所述SPA报文信息，并进一步利用SDP控制器协议对查找报文进行单包认证，在鉴权结果为合法时，返回得到所述查找报文的鉴权结果。如果单包认证通过，则进行认证鉴权，并实现用户授权下发及告知网关信息。客户端实现了隐藏控制器的连接与鉴权。并在查找报文合法时，对客户端身份进行认证，在合法且认证通过时，返回客户端及网关。

需要说明的是，集成了SDP控制器协议的DHT节点，还需要正常处理DHT网络中的其他查找请求，否则该集成了SDP控制器协议的DHT节点(简称控制器节点)会被认定为异常节点，而遭到DHT网络的删除，因此，在未识别出SPA报文信息的查找报文会被控制器节点丢弃，使得控制器节点隐身在DHT网络中。

其中，DHT网络部署了若干个控制器节点，这些节点完全遵循DHT网络规范，但是另外有控制器代码检查每个DHT查询是否是封装了SPA请求，是的话，除了正常的DHT处理逻辑之外，还会将这个DHT查询解包进行SDP处理，使得在查找IDtarget的过程中实现了客户端与控制器的鉴权认证，还进一步使得控制器隐藏在DHT网络中。控制器节点通过DHT网络的特性，隐藏在客户端寻找其他目标(如IDtarget)的过程路径中，以寻找IDtarget的名义实现中间过程中控制器的单包认证的同时，防止控制器被其他非法者识别出来。控制器同时拥有DHT网络节点的身份，所以对于控制器的攻击，在SPA单包认证带来的网络隐身基础上，将会叠加巨大的DHT网络节点消耗，通过多DHT节点抵抗各类攻击而不暴露控制器。其中，控制器节点负责控制网关(gateway)或者其他组件允许客户端(client)连接，并不需要和client直接建立连接，因此通过DHT网络间接获取client的SPA请求报文即可，可以持续保持隐身状态，而不暴露自身IP。

示例性的，本发明实施例的系统实现流程可以参考下述简要表述：

S1.设定一个虚拟的节点，即有一个IDtarget但是没有目标节点在线；

S2.提供一个或者多个控制器(controller)节点，其中部分距离IDtarget很近，部分距离IDtarget比较进但是稍远；

S3.客户端要寻找控制器建立连接时的时候，通过DHT网络搜索IDtarget，由于IDtarget为虚拟建立，因此该IDtarget不存在，所以按照DHT网络搜索特性，请求最终都被送到逻辑距离与IDtarget比较近的controller节点；

S4.客户端会要求比较近的节点保存key-value条目，而为了实现SPA的鉴权过程，在key-value条目中实际上包含了SPA报文的敲门信息。

S5.而在一个或者多个controller节点由于距离近，总是会收到存储请求，实际上就收到了敲门包，因此可以完成敲门过程，便可以实现SPA认证，以鉴权客户端是否有资格与网关连接。

本发明实施例公开了一种基于DHT网络的控制器隐藏方法，方法应用于部署在DHT网络中，且集成了SDP控制器协议的DHT节点，方法包括：接收DHT网络发送的查找报文，查找报文包括查找标识；利用SDP控制器协议识别查找报文，确定查找报文中是否包含SPA报文信息；在查找报文中包含SPA报文信息时，对查找报文进行单包认证，得到查找报文的鉴权结果；在鉴权结果为合法时，将鉴权结果确定为查找标识的查找结果，并将查找结果返回至客户端，以及将鉴权结果通知网关；在查找报文中不包含SPA报文信息时，丢弃查找报文。基于原有SDP架构和单包认证机制，提供一种全新的方法实现零信任控制器隐身，通过在单包认证环节引入DHT网络报文传输和寻址特性，与单包认证结合，在不影响用户端安全接入的前提下，可以进一步将控制器隐藏在emule，或者比特流(bittorrent)或者区块链的DHT网络中，攻击者不能得知控制器的确切所在，如果要加以攻击，则需要所有和IDtarget距离较近的服务器，大大增加非分布式拒绝服务攻击(非ddos类型的攻击)的精力开销，或者分布式拒绝服务攻击(Distributed denial of service attack，ddos)的带宽开销。

实施例3

参照图6-9，提供了一种基于DHT网络的控制器隐藏装置。所述装置应用于客户端，所述装置包括：

报文获取模块601：用于获取查找报文，所述查找报文包括查找标识；

节点查询模块602：用于利用所述查找标识及所述客户端中存储的已知节点，确定所述已知节点中是否存在与所述查找标识对应的目标节点；

报文发送模块603：用于若不存在所述目标节点，则将所述查找报文发送至DHT网络，以在所述DHT网络中搜索所述查找标识，所述DHT网络部署有集成了至少一个SDP控制器协议的DHT节点；

结果接收模块604：用于接收所述DHT网络返回的查找结果，以实现与SDP控制器的鉴权认证。

需要说明的是，图6所示各个模块作用，与图2所示方法步骤内容相似，为避免重复，此处不作赘述，具体可参考前述图2所示方法步骤内容。

本发明提供一种基于DHT网络的控制器隐藏装置，装置应用于客户端，装置包括：报文获取模块：用于获取查找报文，查找报文包括查找标识；节点查询模块：用于利用查找标识及客户端中存储的已知节点，确定已知节点中是否存在与查找标识对应的目标节点；报文发送模块：用于若不存在目标节点，则将查找报文发送至DHT网络，以在DHT网络中搜索查找标识，DHT网络部署有集成了至少一个SDP控制器协议的DHT节点；结果接收模块：用于接收DHT网络返回的查找结果，以实现与SDP控制器的鉴权认证。通过将查找报文发送至集成了SDP控制器协议的DHT节点的DHT网络，在DHT网络中利用查找标识与逻辑距离算法得到至少一个目标邻居节点，攻击者不能得知控制器的确切所在，使控制器完美隐藏起来，借此规避客户端所在的网络攻击者针对控制器的抓包识别及连环攻击，如果要加以攻击，则需要攻击所有的目标邻居节点，大大增加精力开销，或者带宽开销。进而实现隐身鉴权与认证的SDP认证过程。

如图7所示，在一个实施例中，提供了一种基于DHT网络的控制器隐藏装置。所述装置应用于DHT网络，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，所述装置包括：

报文接收模块701：用于接收客户端发送的查找报文，所述查找报文包括查找标识；

节点确定模块702：用于利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点；

结果确定模块703：用于根据所述目标邻居节点、所述查找报文进行分布式查找，确定所述查找标识的查找结果；

结果返回模块704：用于将所述查找结果返回至所述客户端，以实现所述客户端与SDP控制器的鉴权认证。

需要说明的是，图7所示各个模块作用，与图3所示方法步骤内容相似，为避免重复，此处不作赘述，具体可参考前述图3所示方法步骤内容。

本发明提供一种基于DHT网络的控制器隐藏装置法，装置应用于DHT网络，DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，装置包括：报文接收模块701：用于接收客户端发送的查找报文，查找报文包括查找标识；节点确定模块702：用于利用查找标识及逻辑距离算法，确定至少一个目标邻居节点；结果确定模块703：用于根据目标邻居节点、查找报文进行分布式查找，确定查找标识的查找结果；结果返回模块704：用于将查找结果返回至客户端，以实现客户端与SDP控制器的鉴权认证。通过查找标识与逻辑距离算法得到至少一个目标邻居节点，攻击者不能得知控制器的确切所在，使控制器完美隐藏起来，借此规避客户端所在的网络攻击者针对控制器的抓包识别及连环攻击，如果要加以攻击，则需要攻击所有的目标邻居节点，大大增加精力开销，或者带宽开销。

如图8所示，在一个实施例中，提供了一种基于DHT网络的控制器隐藏装置。所述装置应用于部署在所述DHT网络中，且集成了SDP控制器协议的DHT节点，所述装置包括：

数据接收模块801：用于接收所述DHT网络发送的查找报文，所述查找报文包括查找标识；

信息确定模块802：用于利用所述SDP控制器协议识别所述查找报文，确定所述查找报文中是否包含SPA报文信息；

数据处理模块803：用于在所述查找报文中包含所述SPA报文信息时，对所述查找报文进行单包认证，得到所述查找报文的鉴权结果；在所述鉴权结果为合法时，将所述鉴权结果确定为所述查找标识的查找结果，并将所述查找结果返回至客户端，以及将所述鉴权结果通知网关；在所述查找报文中不包含所述SPA报文信息时，丢弃所述查找报文。

需要说明的是，图8所示各个模块作用，与图5所示方法步骤内容相似，为避免重复，此处不作赘述，具体可参考前述图5所示方法步骤内容。

本发明实施例公开了一种基于DHT网络的控制器隐藏装置，装置应用于部署在DHT网络中，且集成了SDP控制器协议的DHT节点，装置包括：数据接收模块：用于接收DHT网络发送的查找报文，查找报文包括查找标识；信息确定模块：用于利用SDP控制器协议识别查找报文，确定查找报文中是否包含SPA报文信息；数据处理模块：用于在查找报文中包含SPA报文信息时，对查找报文进行单包认证，得到查找报文的鉴权结果；在鉴权结果为合法时，将鉴权结果确定为查找标识的查找结果，并将查找结果返回至客户端，以及将鉴权结果通知网关；在查找报文中不包含SPA报文信息时，丢弃查找报文。基于原有SDP架构和单包认证机制，提供一种全新的方法实现零信任控制器隐身，通过在单包认证环节引入DHT网络报文传输和寻址特性，与单包认证结合，在不影响用户端安全接入的前提下，可以进一步将控制器隐藏在emule，或者bittorrent或者区块链的DHT网络中，攻击者不能得知控制器的确切所在，如果要加以攻击，则需要所有和IDtarget距离较近的服务器，大大增加非分布式拒绝服务攻击(非ddos类型的攻击)的精力开销，或者分布式拒绝服务攻击(Distributed denialof service attack，ddos)带宽开销。

一种基于DHT网络的控制器隐藏系统，所述系统包括：客户端、部署有集成了SDP控制器协议的DHT节点的DHT网络、网关、存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如图2、图3、图4及图5任一所示方法的步骤。

图9示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是终端，也可以是服务器。如图9所示，该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统，还可存储有计算机程序，该计算机程序被处理器执行时，可使得处理器实现上述方法。该内存储器中也可储存有计算机程序，该计算机程序被处理器执行时，可使得处理器执行上述方法。本领域技术人员可以理解，图9中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提出了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如图2、图3、图4及图5任一所示方法的步骤。

在一个实施例中，提出了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如图2、图3、图4及图5任一所示方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种基于DHT网络的控制器隐藏方法，其特征在于，所述方法包括，

接收查找报文，所述查找报文包括查找标识；

利用所述查找标识或查找报文，确定目标节点或报文信息；

接收查找结果，实现客户端与标准零信任软件定义边界架构(SDP)控制器的隐身鉴权认证接入以及自身入口防御；

所述方法应用于部署在分布式哈希表(DHT)网络中且集成了SDP控制器协议的DHT节点，所述方法包括：

接收所述DHT网络发送的查找报文，所述查找报文包括查找标识；

利用所述SDP控制器协议识别所述查找报文，确定所述查找报文中是否包含单包认证(SPA)报文信息；

在所述查找报文中包含所述SPA报文信息时，对所述查找报文进行单包认证，得到所述查找报文的鉴权结果；在所述鉴权结果为合法时，将所述鉴权结果确定为所述查找标识的查找结果，并将所述查找结果返回至客户端，以及将所述鉴权结果通知网关；

在所述查找报文中不包含所述SPA报文信息时，丢弃所述查找报文。

2.根据权利要求1所述方法，其特征在于，所述方法应用于DHT网络，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，所述方法包括：

接收客户端发送的查找报文，所述查找报文包括查找标识；

利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点；

根据所述目标邻居节点及所述查找报文进行分布式查找，确定所述查找标识的查找结果；

将所述查找结果返回至所述客户端，以实现所述客户端与SDP控制器的鉴权认证。

3.根据权利要求2所述方法，其特征在于，所述利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点，包括：

将所述查找标识与所述DHT网络中各个所述DHT节点的节点标识进行异或运算，确定所述查找标识与各个所述节点标识之间对应的逻辑距离；

将所述逻辑距离最小的至少一个所述DHT节点，确定为所述目标邻居节点；

所述根据所述目标邻居节点、所述查找报文，确定所述查找标识的查找结果，包括：

获取至少一个所述目标邻居节点的节点目录，所述节点目录包括若干与所述目标邻居节点相近的DHT节点信息；

利用所述查找标识以及所述节点目录，确定所述节点目录中是否存在与所述查找标识对应的DHT节点信息；

若不存在与所述查找标识对应的DHT节点信息，则将所述查找标识及查找标识信息保存至所述节点目录；并利用所述目标邻居节点的节点标识作为所述查找标识返回执行所述利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点的步骤，直至确定所述查找标识的查找结果。

4.根据权利要求1所述方法，其特征在于，所述方法应用于客户端，所述方法包括：

获取查找报文，所述查找报文包括查找标识；

利用所述查找标识及所述客户端中存储的已知节点，确定所述已知节点中是否存在与所述查找标识对应的目标节点；

若不存在所述目标节点，则将所述查找报文发送至DHT网络，以在所述DHT网络中搜索所述查找标识，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点；

接收所述DHT网络返回的查找结果，以实现与控制器的鉴权认证。

5.一种应用于如权利要求1所述的基于DHT网络的控制器隐藏方法的装置，其特征在于，所述装置应用于DHT网络，所述DHT网络部署有至少一个集成了SDP控制器协议的DHT节点，所述装置包括：

报文接收模块：用于接收客户端发送的查找报文，所述查找报文包括查找标识；

节点确定模块：用于利用所述查找标识及逻辑距离算法，确定至少一个目标邻居节点；

结果确定模块：用于根据所述目标邻居节点、所述查找报文进行分布式查找，确定所述查找标识的查找结果；

结果返回模块：用于将所述查找结果返回至所述客户端，以实现所述客户端与SDP控制器的鉴权认证。

6.一种应用于如权利要求1所述的基于DHT网络的控制器隐藏方法的装置，其特征在于，所述装置应用于客户端，所述装置包括：

报文获取模块：用于获取查找报文，所述查找报文包括查找标识；

节点查询模块：用于利用所述查找标识及所述客户端中存储的已知节点，确定所述已知节点中是否存在与所述查找标识对应的目标节点；

报文发送模块：用于若不存在所述目标节点，则将所述查找报文发送至DHT网络，以在所述DHT网络中搜索所述查找标识，所述DHT网络部署有集成了至少一个SDP控制器协议的DHT节点；

结果接收模块：用于接收所述DHT网络返回的查找结果，以实现与SDP控制器的鉴权认证。

7.一种应用于如权利要求1所述的基于DHT网络的控制器隐藏方法的装置，其特征在于，所述装置应用于部署在所述DHT网络中且集成了SDP控制器协议的DHT节点，所述装置包括：

数据接收模块：用于接收所述DHT网络发送的查找报文，所述查找报文包括查找标识；

信息确定模块：用于利用所述SDP控制器协议识别所述查找报文，确定所述查找报文中是否包含SPA报文信息；

数据处理模块：用于在所述查找报文中包含所述SPA报文信息时，对所述查找报文进行单包认证，得到所述查找报文的鉴权结果；在所述鉴权结果为合法时，将所述鉴权结果确定为所述查找标识的查找结果，并将所述查找结果返回至客户端，以及将所述鉴权结果通知网关；在所述查找报文中不包含所述SPA报文信息时，丢弃所述查找报文。

8.一种应用于如权利要求1所述的基于DHT网络的控制器隐藏方法的系统，其特征在于，所述系统包括：客户端、部署有集成了SDP控制器协议的DHT节点的DHT网络、网关、存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如权利要求1所述方法的步骤。

9.一种应用于如权利要求1所述的基于DHT网络的控制器隐藏方法的计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，使得所述处理器执行如权利要求1所述方法的步骤。