本发明专利技术公开了一种分布式认证方法与认证模型。认证方法有别于一般的分布式认证模型中信任就进行交易,不信任就拒绝交易的方法;所述方法对信任度不小于阈值的节点进行交易,并把信任度和可以交易的有效信息量进行挂钩。所述方法的信任度由直接信任度和间接信任度组成,而间接信任度的计算借鉴了金融领域的担保方式,由邻居节点对目的节点的担保信任度确定。本发明专利技术还提供了一种分布式认证模型,包括身份认证模块、担保模块、信任度计算模块、有效信息量授权模块、担保节点奖罚模块。本发明专利技术的分布式认证有利于阻止有害信息的传播,并使得网络系统的风险可控,从而大大提高了系统的安全性。
【技术实现步骤摘要】
一种分布式认证方法与认证模型
本专利技术涉及网络安全领域,尤其涉及一种分布式认证方法与模型。
技术介绍
网络认证技术是最重要的网络安全技术之一。认证技术主要包括信息认证与信息认证两个方面的内容,其中信息认证用于保证信息的完整性与不可否认性(不可否认性是指用户事后不能否认自己的行为)身份认证则用于鉴别用户身份,限制非法用户访问网路资源。常用的身份认证技术主要分为集中式认证方法和分布式认证方法。常用的PKI认证体系就是集中式认证体系,该体系采用层次化的信任模型,在模型的顶层只有一个根节点,用作认证服务器,因而其原理、设计、管理都比较简单。然而,随着用户的节点的不断增多,单一认证服务器越来越难以承受不断加大的认证压力;此外,由于该根节点是PKI认证体系的核心,一旦由于硬件故障、通信中断、恶意攻击等因素导致CA某个节点无法访问,就会导致相对应的认证功能完全失效,整个PKI面临瘫痪。也就是说,集中式认证中,认证中心容易成为技术瓶颈。分布式认证方法的核心思想将原来单一认证服务器的私钥SK根据门限秘密共享的分成n个子密钥,并把n个子密钥分别发给n个证书服务节点,这n个证书节点共享签发证书的能力。节点获取证书只需n个节点中的任意t个节点签名证书,组合起来就形成了一份由私钥SK签名的完整证书。这种分布式认证方案的安全性由门限t的大小决定,t取值越大系统越安全,相应的系统的实现也会越复杂。虽然这种分布式认证方法能克服单点失效的问题;但是也存在服务节点分布不均匀以及节点认证工作中的通信开销大且成功率不高的问题。
技术实现思路
本专利技术所要解决的技术问题是提供一种分布式认证方法,阻止有害信息的扩散,保护网络的安全。本专利技术涉及到的相关概念包括:定义1.节点,计算机网络是由一系列的终端节点构成的,他们之间互为平等关系,他们既可以是服务提供者也可以是服务消费者;在某次交易中作为服务提供者的节点在另一次交易中可能是服务消费者,反之亦然。定义2.评价信息,是指交易完成后,服务消费者根据服务提供者提供服务的质量和真实性等综合给出的评价,同时也是服务消费者计算服务提供者的直接信任度的基础和依据。定义3.直接信任度,是服务消费者根据与服务提供者的历史交易评价计算出来的,是服务消费者判断服务提供者是否可靠的重要依据。定义4.间接信任度,是服务消费者根据邻居节点对服务提供者的直接信任度计算出来的,是服务消费者根据其他节点提供的信息推测服务提供者是否可靠的依据之一,在自身与服务提供者的历史交易经验足够丰富的情况下不需要计算间接信任度。定义5.信任度,由直接信任度和间接信任度计算得到,代表某节点的可信程度,决定了某次交易能提供或获得的有效信息量。定义6.有效信息量,表示网络资源对用户的信息价值。如果是垃圾信息、浏览者没有兴趣的信息,那么有效信息量为零;若是浏览者有兴趣并且含有新知识,那么能吸收的新知识就是有效信息量。本专利技术提供的一种分布式认证方法,其包括:两节点要进行交易,不仅要通过双向身份认证即确定节点真伪,还要通过双向权限认证即确定节点对对方的信任度;节点把交易对方的信任度转化为可以交易的有效信息量,通过权限认证进行风险控制;信任度由直接信任度和间接信任度构成,直接信任度由历史交易评价决定,间接信任度则由担保节点的担保信任度决定;交易结束后,交易节点根据交易服务情况对交易对方节点和担保节点给出评价,并更新各节点的信任度信息。进一步地,所述身份认证具体包括:每个节点有一个名字,并把名字和自身的公钥组成身份标识;服务消费者把资源申请请求和身份标识用私钥进行数字签名,并把资源申请请求、身份标识以及数字签名一起发送给服务提供者;服务提供者收到消息后对数字签名进行解密认证,然后把认证结果及自身的身份标识用私钥进行数字签名,并把数字签名、认证结果及身份标识返回给服务消费者;服务消费者收到服务提供者返回的消息后对数字签名进行解密认证;任一方的身份未通过验证都会使交易中断。进一步地,所述权限认证具体包括:节点计算交易对方当前的信任度,若信任度小于阈值,则拒绝本次交易;否则,把交易对方的信任度转化为本次交易的有效信息量;其中,信任度T与有效信息量I的对应关系为:I=W*TW为有效信息量和信任度的比例实数,不同节点的W能不一样。进一步地,通过改变有效信息量和信任度的比例实数W来进行风险控制。进一步地,所述信任度由直接信任度和间接信任度构成具体包括:信任度计算公式为:T=a*Dt+b*Rt其中,直接信任度Dt的权重a比间接信任度Rt权重b大,并且a随着历史交易次数k的增大而增大,b随着历史交易次数的增大而减小。进一步地,所述直接信任度由历史交易评价决定,具体包括:每个节点在本地保存每次交易的评价信息;其中,评价信息的结构为(ID,fRankT,fScore,sRankT,sScore),ID代表交易的统一标识符,用它可以找到任意一次交易;fRankT和fScore分别代表交易后第一次评价的时间以及给出的评价分数;sRankT和sScore分别代表追加评论的时间及给出的评价分数;其中,直接信任度的计算方式如下:其中,Dt代表直接信任度;Ri是交易后根据交易对方综合表现而给出的评价;Wi是各次交易评价所占的权重,随着i的增大而变小;i代表从当前时间往回数的第i次交易,每次的交易评价按照评价时间进行排序,若有sRankT则以sRankT为准。进一步地,所述间接信任度由担保节点的担保信任度计算得到具体包括:每个节点在本地保存所有交易过的节点的直接信任度,并按直接信任度从高到低对所有节点进行排序;节点向直接信任度排在前n的n个邻居节点发送担保请求信息(n与节点交易过的节点的数量有关,有上限阈值nth。即,若交易过的节点数量大于nth,则n=nth,否则n为交易过的节点的数量);邻居节点收到担保请求信息后根据自身对被担保节点的直接信任度决定是否做担保,若确认做担保则把被担保节点的直接信任度返回,返回的直接信任度之后称为担保信任度;节点把反馈回来的担保信任度进行筛选,并把选中的担保信任度的节点加入担保列表E,间接信任度由担保信任度确定,计算公式为:Rt=∑m∈FUm*Dtms,其中,m代表担保列表E中节点,c代表担保申请节点,s代表被c计算信任度的节点,Dtcm代表担保申请节点c对担保节点m的直接信任度,Dtms代表担保节点m对被计算信任度的节点s的直接信任度,Um代表节点m的担保信任度在间接信任度Rt中所占的比重。进一步地,所述交易结束后,交易节点根据交易服务情况对交易对方节点和担保节点给出评价,并更新各节点的信任度信息,具体包括:交易结束后,交易节点根据交易服务情况对交易对方节点和担保节点给出评价;并把评价信息加入本地保存的评价信息列表;更新各节点的直接信任度;评价后若发现评价有误可随时更新评价信息。本专利技术还提供一种分布式认证模型,所述分布式认证模型包括:身份认证模块,用于接收资源申请或身份认证消息、验证申请者的身份信息、把节点的身份标识和数字签名发送给申请者;担保模块,用于向邻居节点发送担保请求信息,并把反馈回来的担保信任度进行筛选,将选中的担保信任度的节点加入担保列表E;信任度计算模块,用于从担保列表E中取出担保信任度来计算间接信任度,再结合间接信任度和本地保存的直接本文档来自技高网...
【技术保护点】
一种分布式认证方法,其特征在于包括:两节点要进行交易,不仅要通过双向身份认证即确定节点真伪,还要通过双向权限认证即确定节点对对方的信任度;节点把交易对方的信任度转化为可以交易的有效信息量,通过权限认证进行风险控制;信任度由直接信任度和间接信任度构成,直接信任度由历史交易评价决定,间接信任度则由担保节点的担保信任度决定;交易结束后,交易节点根据交易服务情况对交易对方节点和担保节点给出评价,并更新各节点的信任度信息。
【技术特征摘要】
1.一种分布式认证方法,其特征在于包括:两节点要进行交易,不仅要通过双向身份认证即确定节点真伪,还要通过双向权限认证即确定节点对对方的信任度;节点把交易对方的信任度转化为可以交易的有效信息量,通过权限认证进行风险控制;信任度由直接信任度和间接信任度构成,直接信任度由历史交易评价决定,间接信任度则由担保节点的担保信任度决定;交易结束后,交易节点根据交易服务情况对交易对方节点和担保节点给出评价,并更新各节点的信任度信息。2.根据权利要求1所述的分布式认证方法,其特征在于,所述身份认证具体包括:每个节点有一个名字,并把名字和自身的公钥组成身份标识;服务消费者把资源申请请求和身份标识用私钥进行数字签名,并把资源申请请求、身份标识以及数字签名一起发送给服务提供者;服务提供者收到消息后对数字签名进行解密认证,然后把认证结果及自身的身份标识用私钥进行数字签名,并把数字签名、认证结果及身份标识返回给服务消费者;服务消费者收到服务提供者返回的消息后对数字签名进行解密认证;任一方的身份未通过验证都会使交易中断。3.根据权利要求1所述的分布式认证方法,其特征在于,所述权限认证具体包括:节点计算交易对方当前的信任度,若信任度小于阈值,则拒绝本次交易;否则,把交易对方的信任度转化为本次交易的有效信息量;其中,信任度T与有效信息量I的对应关系为:I=W*TW为有效信息量和信任度的比例实数,不同节点的W能不一样。4.根据权利要求3所述的分布式认证方法,其特征在于,通过改变有效信息量和信任度的比例实数W来进行风险控制。5.根据权利要求1所述的分布式认证方法,其特征在于,所述信任度由直接信任度和间接信任度构成具体包括:信任度计算公式为:T=a*Dt+b*Rt其中,直接信任度Dt的权重a比间接信任度Rt权重b大,并且a随着历史交易次数k的增大而增大,b随着历史交易次数的增大而减小。6.根据权利要求1所述的分布式认证方法,其特征在于,所述直接信任度由历史交易评价决定,具体包括:每个节点在本地保存每次交易的评价信息;其中,评价信息的结构为(ID,fRankT,fScore,sRankT,sScore),ID代表交易的统一标识符,用它可以找到任意一次交易;fRankT和fScore分别代表交易后第一次评价的时间以及给出的评价分数;sRankT和sScore分别代表追加评论的时间及给出的评价分数;其中,直接信任度的计算方式如下:其中,Dt代表直接信任度;Ri是交易后根据交易对方综...
【专利技术属性】
技术研发人员:陆以勤,甘玉宇,覃健诚,翟静,
申请(专利权)人:华南理工大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。