The invention relates to a method and system for realizing trusted anonymous access in a distributed network. In this method, the client sends the packet to the proxy server, the proxy server forwarded the packet to the service provider's server and hides the source address of the client during the forwarding process; the proxy server receives the results returned by the server's server and forward it to the client. This method uses Verify and Shutoff protocol to deal with security problems, verify the service of the data packet, if the source is unknown, the packet can be discarded and stopped forwarding; if a malicious attack is encountered, it will report and shut down the sending behavior in time. This invention not only pays attention to the user's privacy protection, but also pays attention to how to effectively restrain the user's behavior, and can realize the responsibility for the malicious behavior of the user, so that the user can get the constraint when the user is anonymously visited, and can realize the trusted anonymous access.
【技术实现步骤摘要】
一种在分布式网络中实现可信匿名访问的方法和系统
本专利技术属于网络技术、信息安全
,具体涉及一种在分布式网络中实现可信匿名访问的方法和系统。
技术介绍
伴随着网络的快速发展,越来越多的商务行为需要通过计算机网络,使用强大的计算能力来完成。例如,很多公司选择使用云服务、云计算来完成自己的业务。云计算是一个典型的分布式网络,很多服务器(超级计算机)共同完成一项计算任务,并把结果返回给客户公司(提出服务请求的公司)。在使用云计算或分布式计算服务的时候,客户(例如银行)可以将数据交给计算服务商处理,但是不希望计算服务商知道自己的真实身份,即把数据和机构关联起来。这个过程,通过加密技术只能保证数据内容的安全,无法有效隐匿用户(例如银行)的身份信息。现有的可用于用户身份隐私保护的方法主要是使用洋葱路由网络,即Tor网络(DingledineR,MathewsonN,andSyversonP,“Tor:Thesecondgenerationonionrouter,”inProc.USENIXSSYM’04,303-320,2004.)。在Tor网络中,用户首先获取Tor网络的节点信息,之后客户机随机选择一条路径,将数据加密后(不影响发送者发送数据时自己对数据加密)依次通过3个Tor网络的节点,之后将数据解密后发送给目的节点(例如可以提供计算服务的服务器)。Tor网络的机制不适合用于在分布式网络中保护用户的隐私,主要有以下几个因素:1)Tor机制属于应用层的方法,因此效率不高,在使用时会有较大的开销,也会造成一定的时延。2)如果用户(企业,例如银行)需要将数据发给多 ...
【技术保护点】
1.一种在分布式网络中实现可信匿名访问的方法,其步骤包括:1)客户端请求代理服务器提供隐私保护服务,代理服务器对客户端进行验证后实现客户端的注册;2)客户端向代理服务器发送数据包,代理服务器将数据包转发给服务提供商的服务器,并在转发过程中隐藏客户端的源地址;代理服务器接收到服务提供商的服务器返回的计算结果后将其转发给客户端;3)在客户端向代理服务器发送数据包的过程中,代理服务器和/或位于客户端和代理服务器之间的路由器将对数据包所属的服务的验证请求发送给客户端,如果通过验证则路由器、代理服务器转发客户端发送的数据包,如果未通过验证则丢弃数据包;4)在代理服务器将数据包转发给服务提供商的服务器的过程中,服务提供商的服务器和/或位于代理服务器和服务提供商的服务器之间的路由器将对数据包所属的服务的验证请求发送给代理服务器,如果通过验证则路由器转发数据包,服务提供商的服务器接收数据包;如果未通过验证则路由器停止转发数据包,服务提供商的服务器停止接收数据包。
【技术特征摘要】
1.一种在分布式网络中实现可信匿名访问的方法,其步骤包括:1)客户端请求代理服务器提供隐私保护服务,代理服务器对客户端进行验证后实现客户端的注册;2)客户端向代理服务器发送数据包,代理服务器将数据包转发给服务提供商的服务器,并在转发过程中隐藏客户端的源地址;代理服务器接收到服务提供商的服务器返回的计算结果后将其转发给客户端;3)在客户端向代理服务器发送数据包的过程中,代理服务器和/或位于客户端和代理服务器之间的路由器将对数据包所属的服务的验证请求发送给客户端,如果通过验证则路由器、代理服务器转发客户端发送的数据包,如果未通过验证则丢弃数据包;4)在代理服务器将数据包转发给服务提供商的服务器的过程中,服务提供商的服务器和/或位于代理服务器和服务提供商的服务器之间的路由器将对数据包所属的服务的验证请求发送给代理服务器,如果通过验证则路由器转发数据包,服务提供商的服务器接收数据包;如果未通过验证则路由器停止转发数据包,服务提供商的服务器停止接收数据包。2.如权利要求1所述的方法,其特征在于,代理服务器、位于客户端和代理服务器之间的路由器、位于代理服务器和服务提供商的服务器之间的路由器、或者服务提供商的服务器,在判断某服务属于恶意攻击后,关停代理服务器对该服务的后续验证,进而阻止数据包的发送。3.如权利要求1所述的方法,其特征在于,步骤1)包括:1-1)客户端向代理服务器发送请求,请求代理服务器提供隐私保护服务;1-2)客户端将其准备使用的服务提供商和服务标识符告知代理服务器;1-3)代理服务器对服务标识符进行验证,验证服务标识符的真伪以及客户端的真实性。4.如权利要求3所述的方法,其特征在于,步骤1-1)中代理服务器接受客户端的请求后,将自己合作的服务提供商列表发给客户端。5.如权利要求3所述的方法,其特征在于,步骤1-2)所述服务标识符的生成方法是:其中,H是哈希算法,||代表并列关系,Timestamp是服务请求开始的时间,用于区分同一个客户端的不同服务;是客户端的公钥,用于实现服务标识符的自验证,并用于区别开同一个代理服务器的不同客户端。6.如权利要求1所述的方法,其特征在于,步骤2)的整个过程进行加密处理,使代理服务器无法知道具体的数据内容。7.如权利要求1所述的方法,其特征在于,步骤2)所述隐藏客户端的源地址的方法是:a)客户端发送数据包给代理服务器,该过程的源地址是客户端的地址,目的地址是代理服务器的地址;b)代理服务器将数据包转发给服务提供商的服务器,该过程的源地址为代理服务器的地址,目的地址为服务提供商的服务器的地址,从而隐藏客户端的源地址。8....
【专利技术属性】
技术研发人员:葛敬国,马宇翔,吴玉磊,李佟,游军玲,鄂跃鹏,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。