一种基于动态黑名单机制的通信方法技术

本发明专利技术提供一种基于动态黑名单机制的通信方法，采用动态黑名单机制来完成组网，每个节点通过对接收到的数据包的解密是否成功来判断该节点是否合法，同时每个节点解密成功，只能得到当前节点的下游节点对应的随机数与IP地址，以及上游节点对应的随机数与IP地址，而不知道完整的路径，实现路径匿名，能够保障用户在访问网络时的匿名性，安全性和高效性。

A Communication Method Based on Dynamic Blacklist Mechanism

The invention provides a communication method based on dynamic blacklist mechanism, which uses dynamic blacklist mechanism to complete networking. Each node determines whether the node is legitimate or not by successfully decrypting the received data packets. At the same time, each node succeeds in decrypting, only the random number corresponding to the downstream node and IP address of the current node and the random number corresponding to the upstream node can be obtained. And IP address, but do not know the complete path, to achieve path anonymity, can protect users in access to the network anonymity, security and efficiency.

【技术实现步骤摘要】
一种基于动态黑名单机制的通信方法
本专利技术属于匿名通信网络
，尤其涉及一种基于动态黑名单机制的通信方法。
技术介绍
在1981年Chaum,D.L.首次提出匿名通信的概念，从国内外目前发展现状来看，研究在大规模网络环境下的匿名通信技术的应用和可部署于网络上的匿名通信系统非常有必要。通过研究匿名网络通信，可以增强国家军事领域、安全领域和重点基础环境领域等网络抗攻击的能力，也可以维护现实通信世界中用户的隐私权，还可以有效保护用户的网络商业传输和行为，最终对互联网整体信息安全起到一定的积极影响作用。匿名通信的重要目的是隐藏通信参与者的身份，防止被其合作伙伴及其第三方发现，使得用户的个人隐私及通信内容的安全性得到更好保护。一般来说，在一次通信过程中，有三种匿名性：发送者匿名、接收者匿名，以及发送者和接受者之间通信连接的匿名。例如：用户a和b通过某种网络通信方式进行通信，如果b和网络上的用户都不知道a的身份，那么这种情况就是发送者匿名。如果网络上的其他用户都不知道b的身份，那么这种情况就是接受者匿名。如果网络上的用户都不知道发送者a和接收者b进行了一次消息发收，那么这种情况就是发送者和接受者之间通信连接的匿名。现代技术中比较著名的匿名通信技术叫做洋葱路由技术(Theonionrouting,Tor)，在洋葱路由网络中，来自发送者的消息通过一连串代理，最后到达目的接收端，这种中间代理被称为洋葱路由器。Tor系统在用户通信前，首先要建立一条通过公开网络的虚电路，虚电路中的转发节点只知道自己的直接前驱和直接后继，而不知道路径中的其它节点，外部观测者看到的IP数据包中的地址并不是通信发起者和接收者的地址，而是路径中前后节点的地址，由此通信发起者和接收者被匿名。由于Tor系统是开放的系统，成员加入的形式未采用严格的认证机制进行限制，也就是说任意节点经过签名认证之后，便成为Tor匿名系统中的成员。从理论上来看，通过系统目录服务器可以查到任意一个已经注册的参与节点的实体信息，事实上系统资源的发布机制无法对节点信息的全局匿名性提供任何保护，任意用户都可以获取当前状态下的匿名网络提供的所有网络通信资源。因此，系统中很有可能存在一部分恶意成员，这样就会造成很多匿名通信系统遭到攻击的可能性。
技术实现思路
为解决上述问题，本专利技术提供一种基于动态黑名单机制的通信方法，能够保障用户在访问网络时的匿名性，安全性和高效性。一种基于动态黑名单机制的通信方法，包括以下步骤：建立转发路径，其中，所述转发路径第一个节点为入口节点、中间为两个以上的中间节点、最后一个节点为出口节点，且所述入口节点、中间节点以及出口节点的IP地址分别对应一个随机数；将转发路径上所有节点对应的随机数按照与其在路径上相反的顺序逐层附加在用户向入口节点发送的原始数据包的头部，得到消息，其中，出口节点的随机数附加在原始数据包头部的层数为两层；入口节点将所述消息通过转发路径的中间节点转发给出口节点后，出口节点将消息发送给目标，实现通信；其中，所述入口节点、中间节点以及出口节点均具备各自的私钥，所述入口节点和出口节点还具备一对对称秘钥，且所述入口节点、中间节点以及出口节点在接收所述消息之后且在消息转发出去前，执行动态黑名单检测操作；所述动态黑名单检测操作包括以下步骤：S101：当前节点收到一个消息，检测接收到的消息的源IP地址是否在黑名单中：如果是，则将该消息丢弃；如果否，则进入步骤S102，其中，初始的黑名单为空名单；S102：查询所述消息携带的当前第一个随机数是否存在于随机数与IP地址对应关系表中，如果否，进入步骤S103，如果是，进入步骤S104；其中，初始的随机数与IP地址对应关系表为空表；S103：采用当前节点对应的私钥解密消息中当前第一个随机数的所在层：如果解密失败，则将消息的源IP地址加入所述黑名单；如果解密成功，则得到当前节点的下游节点的IP地址对应的随机数，进而得到当前节点的下游节点的IP地址，然后将随机数与IP地址加入所述随机数与IP地址对应关系表中，并将解密后的消息转发给下游节点；S104：检测所述第一个随机数对应的IP地址是否为当前节点所在的IP地址，如果是，则说明当前节点为出口节点，则使用对称秘钥对消息中的原始数据包进行解密，并将解密后的消息转发给目标，如果否，将剥除当前第一个随机数所在层的消息转发给下游节点。进一步地，所述建立转发路径包括以下步骤：S201：用户选取一条转发路径，入口节点执行加密操作得到路径初始化消息，其中，所述加密操作具体为：入口节点采用所述转发路径上的每个中间节点自身的公钥，加密各中间节点的上游节点对应的随机数和IP地址以及下游节点对应的随机数和IP地址，得到各中间节点的路段加密结果；入口节点采用转发路径中出口节点自身的公钥，加密最后一个中间节点对应的随机数和IP地址、入口节点的对称秘钥以及所述转发路径上所有节点对应的随机数序列，得到出口节点的路段加密结果；入口节点将各中间节点的路段加密结果以及出口节点的路段加密结果依次进行拼接，得到路径初始化消息；S202：入口节点将路径初始化消息转发给第一个中间节点，第一个中间节点采用自身的私钥解密所述路径初始化消息的第一个路段加密结果，得到第一个中间节点的上游节点的随机数与IP地址、下游节点的随机数与IP地址，然后将解密后的路径初始化消息转发给下游节点；以此类推，转发路径的后续节点分别采用自身的私钥解密所述路径初始化消息的各路段加密结果，直到所有节点均获取自身上游节点的随机数与IP地址，下游节点的随机数与IP地址，出口节点将转发路径建立成功的反馈信息逆着所述转发路径发送到入口节点，完成转发路径的建立。进一步地，若所述转发路径中的入口节点与出口节点为第一次组合，则所述入口节点执行加密操作得到路径初始化消息前，还执行以下步骤：入口节点为出口节点生成一个随机的对称秘钥，其中，该对称秘钥使用出口节点的公钥加密，入口节点私钥签名；入口节点将所述对称秘钥通过中间节点发送给出口节点，出口节点验证签名后安装所述对称秘钥，并生成一个随机秘钥，其中，该随机秘钥使用入口节点的公钥加密，出口节点的私钥签名；出口节点将所述随机秘钥通过中间节点发送给入口节点，入口节点安装所述随机秘钥。进一步地，所述入口节点建立转发路径后，得到消息前，还执行以下步骤：入口节点使用自身的对称秘钥加密所述原始数据包。进一步地，步骤S104中所述出口节点使用对称秘钥对消息中的原始数据包进行解密，并将解密后的消息转发给目标，具体为：出口节点使用入口节点的对称秘钥解密消息中的原始数据包，并向目标发送通信请求；目标接收到所述通信请求后接收所述消息并生成目标响应，然后将所述目标响应发送给出口节点；出口节点使用自身对称秘钥加密所述目标响应，然后将加密后的目标响应通过中间节点发送给入口节点；入口节点使用出口节点的对称秘钥解密所述目标响应，然后将解密后的目标响应发送给用户，实现通信。有益效果：本专利技术提供一种基于动态黑名单机制的通信方法，采用动态黑名单机制来完成组网，每个节点通过对接收到的数据包的解密是否成功来判断该节点是否合法，同时每个节点解密成功，只能得到当前节点的下游节点对应的随机数与IP地址，以及上游节点对应的随机数与IP地址，而不知道完整本文档来自技高网...

【技术保护点】
1.一种基于动态黑名单机制的通信方法，其特征在于，包括以下步骤：建立转发路径，其中，所述转发路径第一个节点为入口节点、中间为两个以上的中间节点、最后一个节点为出口节点，且所述入口节点、中间节点以及出口节点的IP地址分别对应一个随机数；将转发路径上所有节点对应的随机数按照与其在路径上相反的顺序逐层附加在用户向入口节点发送的原始数据包的头部，得到消息，其中，出口节点的随机数附加在原始数据包头部的层数为两层；入口节点将所述消息通过转发路径的中间节点转发给出口节点后，出口节点将消息发送给目标，实现通信；其中，所述入口节点、中间节点以及出口节点均具备各自的私钥，所述入口节点和出口节点还具备一对对称秘钥，且所述入口节点、中间节点以及出口节点在接收所述消息之后且在消息转发出去前，执行动态黑名单检测操作；所述动态黑名单检测操作包括以下步骤：S101：当前节点收到一个消息，检测接收到的消息的源IP地址是否在黑名单中：如果是，则将该消息丢弃；如果否，则进入步骤S102，其中，初始的黑名单为空名单；S102：查询所述消息携带的当前第一个随机数是否存在于随机数与IP地址对应关系表中，如果否，进入步骤S103，如果是，进入步骤S104；其中，初始的随机数与IP地址对应关系表为空表；S103：采用当前节点对应的私钥解密消息中当前第一个随机数的所在层：如果解密失败，则将消息的源IP地址加入所述黑名单；如果解密成功，则得到当前节点的下游节点的IP地址对应的随机数，进而得到当前节点的下游节点的IP地址，然后将随机数与IP地址加入所述随机数与IP地址对应关系表中，并将解密后的消息转发给下游节点；S104：检测所述第一个随机数对应的IP地址是否为当前节点所在的IP地址，如果是，则说明当前节点为出口节点，则使用对称秘钥对消息中的原始数据包进行解密，并将解密后的数据转发给目标，如果否，将剥除当前第一个随机数所在层的消息转发给下游节点。...

【技术特征摘要】
1.一种基于动态黑名单机制的通信方法，其特征在于，包括以下步骤：建立转发路径，其中，所述转发路径第一个节点为入口节点、中间为两个以上的中间节点、最后一个节点为出口节点，且所述入口节点、中间节点以及出口节点的IP地址分别对应一个随机数；将转发路径上所有节点对应的随机数按照与其在路径上相反的顺序逐层附加在用户向入口节点发送的原始数据包的头部，得到消息，其中，出口节点的随机数附加在原始数据包头部的层数为两层；入口节点将所述消息通过转发路径的中间节点转发给出口节点后，出口节点将消息发送给目标，实现通信；其中，所述入口节点、中间节点以及出口节点均具备各自的私钥，所述入口节点和出口节点还具备一对对称秘钥，且所述入口节点、中间节点以及出口节点在接收所述消息之后且在消息转发出去前，执行动态黑名单检测操作；所述动态黑名单检测操作包括以下步骤：S101：当前节点收到一个消息，检测接收到的消息的源IP地址是否在黑名单中：如果是，则将该消息丢弃；如果否，则进入步骤S102，其中，初始的黑名单为空名单；S102：查询所述消息携带的当前第一个随机数是否存在于随机数与IP地址对应关系表中，如果否，进入步骤S103，如果是，进入步骤S104；其中，初始的随机数与IP地址对应关系表为空表；S103：采用当前节点对应的私钥解密消息中当前第一个随机数的所在层：如果解密失败，则将消息的源IP地址加入所述黑名单；如果解密成功，则得到当前节点的下游节点的IP地址对应的随机数，进而得到当前节点的下游节点的IP地址，然后将随机数与IP地址加入所述随机数与IP地址对应关系表中，并将解密后的消息转发给下游节点；S104：检测所述第一个随机数对应的IP地址是否为当前节点所在的IP地址，如果是，则说明当前节点为出口节点，则使用对称秘钥对消息中的原始数据包进行解密，并将解密后的数据转发给目标，如果否，将剥除当前第一个随机数所在层的消息转发给下游节点。2.如权利要求1所述的一种基于动态黑名单机制的通信方法，其特征在于，所述建立转发路径包括以下步骤：S201：用户选取一条转发路径，入口节点执行加密操作得到路径初始化消息，其中，所述加密操作具体为：入口节点采用所述转发路径上的每个中间节点自身的公钥，加密各中间节点的上游节点对应的随机数和IP地址以及下游节点对应的随机数和IP地址，得到各中间节点的路段加密结果；...

【专利技术属性】
技术研发人员：匡凡，张晓宁，赵恩让，陈文贤，杨金良，贾强，张子中，
申请(专利权)人：北京天元特通信息技术股份有限公司，
类型：发明
国别省市：北京,11