不期望网络业务的控制制造技术

根据本发明专利技术的实施例，对包括主机和网络节点的具有隐私保护的网络实体执行信任评估以确定不期望业务源。信任评估基于来自主机的检测报告和来自网络节点的监控报告。网络节点不知道检测报告的内容，而执行信任评估的实体不知道主机和网络节点的真实标识符。

Undesired control of network services

According to an embodiment of the present invention, a trust assessment is performed on a network entity that includes a host and a network node with a privacy protection to determine the undesired business source. The trust assessment is based on the detection reports from the host and the monitoring reports from the network nodes. The network node does not know the content of the detection report, and the entity that performs the trust evaluation does not know the real identifier of the host and the network nodes.

【技术实现步骤摘要】
【国外来华专利技术】不期望网络业务的控制
本专利技术涉及网络安全领域，更具体地，涉及基于信任管理的不期望网络业务的控制。
技术介绍
随着网络技术的快速发展和广泛应用，在因特网或各种通信网络中已经提供了大量的服务或应用以使用户从中获益。然而，在因特网中仍存在大量的不期望业务，例如垃圾邮件、恶意软件、恶意入侵等。这样的不期望业务给用户带来了麻烦，导致在网络传输上的沉重负担，并影响网络安全。因此，在因特网或包括已有或未来的移动/无线网络的通信网络中控制不期望业务的有效解决方案是必须且关键的。为了控制不期望网络业务，例如防火墙、网络监控和入侵检测系统(IDS)的技术被广泛开发并用于控制垃圾邮件、恶意软件或分布式拒绝服务(DDoS)攻击。另一种用于控制不期望网络业务的技术是基于信任和信誉管理，即，对每个网络实体的信任评估。近几年，已经提出了许多经由信任和信誉管理来控制不期望业务的方案以用于不同类型的不期望业务，例如电子邮件垃圾、即时通信垃圾(spim)、基于互联网电话的垃圾(SPIT)和网页垃圾。但是，信任和信誉管理涉及由诸如网络主机或网络终端的报告者进行不期望业务检测报告或入侵报告，这可能需要报告者的隐私信息，因此，报告者的隐私受到影响并不能被保护。随着网络主机的隐私保护受到越来越多的关注，期望新的具有隐私保护的信任管理用于不期望业务控制。
技术实现思路
下文呈现了本专利技术的简要概述以提供本专利技术的一些方面的基本理解。该概述不是本专利技术的广泛综述。它并不旨在标识本专利技术的关键或重要因素，也不旨在描述本专利技术的范围。以下的概述仅以简洁的形式呈现本专利技术的一些概念，作为下面提供的更详细描述的序言。本专利技术旨在用于不期望业务的控制的方法及其装置。根据一个实施例，提供一种用于不期望网络业务的控制的方法。在该方法中，检测流经签约网络节点的主机的不期望业务。用网络节点未知的同态加密密钥对不期望业务的检测结果进行加密。然后，生成检测报告，其包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果。最后，利用主机的公钥基础设施(PKI)公钥/私钥对，对检测报告进行签名。根据另一个实施例，提供一种用于不期望网络业务的控制的方法。在该方法中，在网络节点处，从签约网络节点的主机接收具有数字签名的检测报告，其中，检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及不期望业务的加密检测结果，并且加密检测结果基于网络节点未知的同态加密密钥。验证各检测报告的数字签名。然后，通过应用基于同态的算法来聚合与同一源主机有关的检测报告的加密检测结果，并基于聚合结果来确定将要被监控的可疑源主机。根据另一个实施例，提供一种用于不期望网络业务的控制的方法。在该方法中，从网络节点接收报告。响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符，其中加密检测结果基于网络节点未知的同态加密密钥，用与同态加密密钥成对的同态解密密钥来解密聚合结果。然后，基于所解密的聚合结果，确定源主机是否是将要被监控的可疑源主机，并且将确定结果和源主机的匿名标识符发送到网络节点。响应于报告是具有数字签名的监控报告，其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果，验证数字签名。然后，用同态解密密钥来对加密检测结果进行解密。基于检测结果和监控结果，评估可疑源主机的全局信任。响应于全局信任满足第四条件，确定可疑源主机是真正的不期望业务源。最后，将全局信任和真正的不期望业务源的标识符发送到网络节点。在该方法中，第三标识符是网络节点的匿名标识符，第四标识符是可疑源主机的匿名标识符。根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行：检测流经签约网络节点的主机的不期望业务；使用网络节点未知的同态加密密钥，对不期望业务的检测结果进行加密；生成检测报告，其包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果；以及利用主机的公钥基础设施(PKI)公钥/私钥对来对检测报告进行签名。根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行：在网络节点处，从签约网络节点的主机接收具有数字签名的检测报告，其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及不期望业务的加密检测结果，其中加密检测结果基于网络节点未知的同态加密密钥；验证各检测报告的数字签名；聚合与同一源主机有关的检测报告的加密检测结果；以及基于聚合结果来确定将要被监控的可疑源主机。根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括至少一个处理器和包括计算机程序代码的至少一个存储器，至少一个存储器和计算机程序代码被配置为与至少一个处理器一起使该装置至少执行：从网络节点接收报告；响应于报告包含与同一源主机有关的加密检测结果的聚合结果和源主机的匿名标识符，其中加密检测结果基于网络节点未知的同态加密密钥，用与同态加密密钥成对的同态解密密钥来解密聚合结果；基于所解密的聚合结果，确定源主机是否是将要被监控的可疑源主机；将确定结果和源主机的匿名标识符发送到网络节点；响应于报告是具有数字签名的监控报告，其中监控报告包含网络节点的第三标识符、可疑源主机的监控结果、可疑源主机的第四标识符、以及关于可疑源主机的加密检测结果，验证数字签名；用同态解密密钥来对加密检测结果进行解密；基于所解密的检测结果和监控结果，评估可疑源主机的全局信任；响应于全局信任满足第四条件，确定可疑源主机是真正的不期望业务源；以及将全局信任和真正的不期望业务源的标识符发送到网络节点。在该装置中，第三标识符是网络节点的匿名标识符，第四标识符是可疑源主机的匿名标识符。根据另一个实施示例，提供一种计算机程序产品，其包括一个或多个指令的一个或多个序列，所述指令在由一个或多个处理器执行时使装置至少执行上述的用于不期望网络业务的控制的方法的步骤。根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括：用于检测流经签约网络节点的主机的不期望业务的装置；用于使用网络节点未知的同态加密密钥来对不期望业务的检测结果进行加密的装置；用于生成检测报告的装置，其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容标识符、以及所加密的检测结果；以及用于利用主机的公钥基础设施(PKI)公钥/私钥对来对检测报告进行签名的装置。根据另一个实施例，提供一种用于不期望网络业务的控制的装置。该装置包括：用于在网络节点处从签约网络节点的主机接收具有数字签名的检测报告的装置，其中检测报告包含主机的第一标识符、向主机发送不期望业务的源主机的第二标识符、标识不期望业务的内容的内容本文档来自技高网...

【技术保护点】
一种方法，包括：检测流经主机的不期望业务，其中所述主机签约网络节点；使用所述网络节点未知的同态加密密钥，对所述不期望业务的检测结果进行加密；生成检测报告，其中，所述检测报告包含所述主机的第一标识符、向所述主机发送所述不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所加密的检测结果；以及利用所述主机的公钥基础设施(PKI)公钥/私钥对，对所述检测报告进行签名。

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：检测流经主机的不期望业务，其中所述主机签约网络节点；使用所述网络节点未知的同态加密密钥，对所述不期望业务的检测结果进行加密；生成检测报告，其中，所述检测报告包含所述主机的第一标识符、向所述主机发送所述不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所加密的检测结果；以及利用所述主机的公钥基础设施(PKI)公钥/私钥对，对所述检测报告进行签名。2.根据权利要求1所述的方法，其中，检测不期望业务包括：监控所述主机的进入业务；响应于业务监控结果满足第一条件，检查所述进入业务的内容的相似性；监控所述主机在处理所述进入业务中的行为；以及基于所述业务监控结果、所述内容的相似性以及行为监控结果，获得检测结果。3.根据权利要求1所述的方法，其中，所述第一标识符是标识所述主机的真实标识符或所述主机的匿名标识符，所述第二标识符是标识所述源主机的真实标识符或所述源主机的匿名标识符，所述内容标识符是所述内容的散列代码。4.根据权利要求3所述的方法，其中，所述匿名标识符是真实标识符的散列代码。5.根据权利要求1所述的方法，其中，响应于所述检测结果满足第二条件，对所述检测结果进行加密。6.一种方法，包括：在网络节点处，从签约所述网络节点的主机接收具有数字签名的检测报告，其中，所述检测报告包含所述主机的第一标识符、向所述主机发送不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所述不期望业务的加密检测结果，其中，所述加密检测结果基于所述网络节点未知的同态加密密钥；验证各检测报告的数字签名；聚合与同一源主机有关的检测报告的加密检测结果；以及基于聚合结果，确定将要被监控的可疑源主机。7.根据权利要求6所述的方法，进一步包括：监控流经所述可疑源主机的业务；响应于监控结果满足第三条件，生成监控报告，所述监控报告包含所述网络节点的第三标识符、所述可疑源主机的监控结果、所述可疑源主机的第四标识符、以及与所述可疑源主机有关的加密检测结果；以及利用所述网络节点的公钥基础设施(PKI)公钥/私钥对，对所述监控报告进行签名；其中，所述第三标识符是所述网络节点的匿名标识符，其中，所述第四标识符是所述可疑源主机的匿名标识符。8.根据权利要求6的所述方法，其中，所述第一标识符是标识所述主机的真实标识符或所述主机的匿名标识符，所述第二标识符是标识所述源主机的真实标识符或所述源主机的匿名标识符，所述内容标识符是所述内容的散列代码。9.根据权利要求6或7所述的方法，其中，所述匿名标识符是真实标识符的散列代码。10.根据权利要求6所述的方法，其中，基于聚合结果确定将要被监控的可疑源主机包括：向不同于所述网络节点的实体发送所述聚合结果和所述源主机的匿名标识符；从所述实体接收表明所述源主机是否是可疑源主机的确定结果和所述源主机的匿名标识符；以及检查所述可疑源主机是否签约所述网络节点。11.根据权利要求7所述的方法，其中，监控流经签约所述网络节点的所述可疑源主机的业务包括：监控所述可疑源主机的出站业务；检查所述出站业务的内容的相似性；以及基于业务监控结果和所述内容的相似性，获得监控结果。12.一种方法，包括：从网络节点接收报告；响应于所述报告包含与同一源主机有关的加密检测结果的聚合结果和所述源主机的匿名标识符，其中所述加密检测结果基于所述网络节点未知的同态加密密钥，用与所述同态加密密钥成对的同态解密密钥来解密所述聚合结果；基于所解密的聚合结果，确定所述源主机是否是将要被监控的可疑源主机；向所述网络节点发送确定结果和所述源主机的匿名标识符；响应于所述报告是具有数字签名的监控报告，其中所述监控报告包含所述网络节点的第三标识符、可疑源主机的监控结果、所述可疑源主机的第四标识符、以及关于所述可疑源主机的加密检测结果，验证所述数字签名；用所述同态解密密钥来对所述加密检测结果进行解密；基于所解密的检测结果和监控结果，评估所述可疑源主机的全局信任；响应于所述全局信任满足第四条件，确定所述可疑源主机是真正的不期望业务源；以及向所述网络节点发送所述全局信任和所述真正的不期望业务源的标识符；其中，所述第三标识符是所述网络节点的匿名标识符，其中，所述第四标识符是所述可疑源主机的匿名标识符。13.根据权利要求12所述的方法，进一步包括：基于所述真正的不期望业务源的全局信任，评估所述网络节点的检测信任；基于所述真正的不期望业务源的全局信任，评估提供所述加密检测结果的各主机的检测信任；以及向所述网络节点发送所述检测信任。14.根据权利要求12所述的方法，其中，基于所解密的结果，确定所述源主机是否是将要被监控的可疑源主机包括：响应于所解密的结果满足第五条件，确定所述源主机是所述可疑源主机；以及响应于所解密的结果不满足第五条件，确定所述源主机不是所述可疑源主机。15.根据权利要求12所述的方法，其中，评估所述可疑源主机的全局信任包括：聚合所述检测结果；聚合关于同一可疑源主机的来自不同的网络节点的监控结果；以及基于所述检测结果的聚合结果和所述监控结果的聚合结果，计算所述全局信任。16.根据权利要求13所述的方法，其中，评估所述网络节点的检测信任包括：检查所述网络节点的监控结果是否与所述真正的不期望业务源的全局信任相匹配；响应于所述网络节点的监控结果与所述真正的不期望业务源的全局信任相匹配，增加所述网络节点的检测信任；以及响应于所述网络节点的监控结果与所述真正的不期望业务源的全局信任不匹配，降低所述网络节点的检测信任。17.根据权利要求13所述的方法，其中，评估提供所述加密检测结果的各主机的检测信任包括：检查所述主机的检测结果是否与所述真正的不期望业务源的全局信任相匹配；响应于所述主机的检测结果与所述真正的不期望业务源的全局信任相匹配，增加所述网络节点的检测信任；以及响应于所述主机的检测结果与所述真正的不期望业务源的全局信任不匹配，降低所述网络节点的检测信任。18.一种装置，包括：至少一个处理器；以及包括计算机程序代码的至少一个存储器；其中，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少执行：检测流经主机的不期望业务，其中所述主机签约网络节点；使用所述网络节点未知的同态加密密钥，对所述不期望业务的检测结果进行加密；生成检测报告，其中，所述检测报告包含所述主机的第一标识符、向所述主机发送所述不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所加密的检测结果；以及利用所述主机的公钥基础设施(PKI)公钥/私钥对，对所述检测报告进行签名。19.根据权利要求18所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置与所述至少一个处理器一起使所述装置通过以下操作来检测不期望业务：监控所述主机的进入业务；响应于业务监控结果满足第一条件，检查所述进入业务的内容的相似性；监控所述主机在处理所述进入业务中的行为；以及基于所述业务监控结果、所述内容的相似性、以及行为监控结果，获得检测结果。20.根据权利要求18所述的装置，其中，所述第一标识符是标识所述主机的真实标识符或所述主机的匿名标识符，所述第二标识符是标识所述源主机的真实标识符或所述源主机的匿名标识符，所述内容标识符是所述内容的散列代码。21.根据权利要求18所述的装置，其中，所述匿名标识符是真实标识符的散列代码。22.根据权利要求18所述的装置，其中，响应于所述检测结果满足第二条件，对所述检测结果加密。23.一种装置，包括：至少一个处理器；以及包括计算机程序代码的至少一个存储器；所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使所述装置至少执行：在网络节点处，从签约所述网络节点的主机接收具有数字签名的检测报告，其中，所述检测报告包含所述主机的第一标识符、向所述主机传输不期望业务的源主机的第二标识符、标识所述不期望业务的内容的内容标识符、以及所述不期望业务的加密检测结果，其中，所述加密检测结果基于所述网络节点未知的同态加密密钥；验证各检测报告的数字签名；聚合与同一源主机有关的检测报告的加密检测结果；以及基于聚合结果，确定...

【专利技术属性】
技术研发人员：闫峥，
申请(专利权)人：诺基亚技术有限公司，
类型：发明
国别省市：芬兰,FI