在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统技术方案

本发明专利技术涉及一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统。该方法在内容请求者的网络域中设置本地代理装置，在内容提供者的网络域中设置源代理装置；本地代理装置接收内容请求者发出的请求数据包的摘要信息；源代理装置接收内容提供者发出的内容数据包的摘要信息；本地代理装置或源代理装置接收中间节点发起的验证请求，通过存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。如果内容发送者的行为造成了恶劣影响或者巨大损失，可以实现行为问责。本发明专利技术能够在以内容传输为主的网络中实现平衡隐私保护和行为问责的目的。

Methods and systems to balance privacy protection and behavior accountability in content based networks

The invention relates to a method and system for balancing privacy protection and behavior accountability in a content transmission oriented network. This method sets up local agent in the network domain of the content requester, sets the source proxy device in the network domain of the content provider; the local agent receives the summary information of the request packets sent by the content requester; the source agent receives the summary information of the internal volume packets sent by the content provider; the local agent The device or source agent receives the authentication request initiated by the intermediate node. Through the stored summary information, it verifies whether the content requester or content provider sends the corresponding request packet or content packet, and verifies that the request packet or the content packet has been reported as a malicious request or malicious content. If the content sender's behavior causes bad effects or huge losses, it can achieve behavioral accountability. The invention can achieve the goal of balancing privacy protection and behavior accountability in a network mainly based on content transmission.

【技术实现步骤摘要】
在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统
本专利技术属于网络安全
，具体涉及一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统。
技术介绍
随着互联网的迅速发展，网络安全逐渐得到广泛关注。其中，对用户行为监管并“问责”是网络的服务提供商和内容提供者最关心的问题之一。换而言之，当用户发送恶意请求(或恶意内容)的时候，运营商及接收者(请求的接收者或内容的接收者)需要找到并惩罚恶意用户(BenderA,SpringN,LevinD,etal.,“Accountabilityasaservice,”inProc.IEEESRUTI’07,1-6,2007.)。但另一方面，网络用户希望保护自己的隐私，即在发送或请求内容的时候个人的地址信息不被其他网络节点知道。当前的网络也有许多这方面的需求，例如：不记名投票，匿名举报等。Tor，Crowds，AHP等网络技术、协议的出现，对此类应用提供了有力支持(GhaderiJandSrikantR,“Towardsatheoryofanonymousnetworking,”inProc.IEEEINFOCOM’10,15-19,2010.)。如何保护网络参与者的隐私，同时可以在需要的时候找到恶意的参与者并追责，是一个看似矛盾的目标。2014年，卡内基梅隆大学的David等人提出了APIP架构(NaylorD,MukerjeeMKandSteenkisteP“Balancingaccountabilityandprivacyinthenetwork,”inProc.ACMSIGCOMM’14,75-86,2014.)，通过设置独立第三方，来尝试解决这个问题。但APIP仅支持一对一的通信模式，因为在该架构中，用于验证的数据包指纹(fingerprint)是基于网络流(Networkflow)信息生成的，因此，同一个发送者发送同样的内容给不同的接收者，将产生不同的验证信息。随着互联网的发展，网络的应用模式也在发生改变。网络的主要需求已由主机到主机的通信演进为主机到网络的海量信息访问，即请求并获取内容的模式。为应对不断增长的信息访问要求，P2P(peer-to-peer)、CDN(contentdeliverynetwork)等数据分发技术相继得到广泛应用。根据CiscoVisualNetworkingIndex的预测，2021年每秒钟将有一百万分钟的视频内容在网络中传输，届时全网流量的71％将由CDN技术承载(VisualNetworkingIndex,“Forecastandmethodology,2016-2021whitepaper,”Cisco,2017.)。如何在基于内容(content-based)的网络中实现对内容的追踪，进而高效实现问责，是个颇具挑战的问题。
技术实现思路
本专利技术针对上述问题，提供一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统。该方案提出了一种新的网络架构，能够在以内容传输为主的网络中实现平衡隐私保护和行为问责的目的。本专利技术采用的技术方案如下：一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法，其特征在于，包括以下步骤：1)在内容提供者的网络域中设置代理装置，称为源代理装置；在内容请求者的网络域中设置代理装置，称为本地代理装置；2)内容请求者发出请求数据包，用以向内容提供者请求内容，并将请求数据包的摘要信息发送给本地代理装置；3)内容提供者发出内容数据包，用以向内容请求者提供内容，并将内容数据包的摘要信息发送给源代理装置；4)中间节点向本地代理装置或源代理装置发起验证请求，通过本地代理装置或源代理装置中存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。进一步地，如果中间节点发现当前的数据包传输行为属于恶意的，或者接收者发现收到的内容是有害的，则向本地代理装置或源代理装置举报恶意请求或者恶意内容，本地代理装置或源代理装置停止后续对被举报的请求或被举报的内容的验证。进一步地，如果内容发送者的行为造成了恶劣影响或者巨大损失，则通过本地代理装置或源代理装置找到真实的发送者，并采取问责措施。进一步地，所述代理装置为服务器或者是软件定义网络中的控制器。进一步地，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址隐藏在请求数据包中，进而内容提供者将内容直接发送给内容请求者；如果内容提供者不知道内容请求者的地址，则内容提供者将内容发送给本地代理装置，由本地代理装置转发给内容请求者。进一步地，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址经加密处理后隐藏在请求数据包中；内容提供者将内容发送给内容请求者的过程使用加密方式，使得中间节点不知道内容请求者所请求的内容。进一步地，使用NID:HID:CID的形式表示目的地址、代理地址、返回地址，其中NID为网络标识符，HID为主机标识符，CID为内容标识符。进一步地，步骤4)进行的验证过程包括以下三种情况：a)如果本地代理装置中没有验证结果，则将验证请求转发给源代理装置；b)如果本地代理装置中缓存了源代理装置返回的验证结果，则将直接返回该验证结果，验证请求无需转发给源代理装置；c)如果本地代理装置和源代理装置中均没有验证结果，则源代理装置转发验证请求给发送者，寻求验证；如果发送者也无法核实自己是否发送过该内容，则该内容将被视为不可信的，接收者可考虑丢弃已经收到的数据包并重新请求该内容。一种在以内容传输为主的网络中平衡隐私保护与行为问责的系统，包括设置于内容请求者的网络域中的本地代理装置，以及设置于内容提供者的网络域中的源代理装置；所述本地代理装置接收内容请求者发出的请求数据包的摘要信息；所述源代理装置接收内容提供者发出的内容数据包的摘要信息；所述本地代理装置或源代理装置接收中间节点发起的验证请求，通过存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。本专利技术的有益效果如下：1、采用本专利技术的方法，验证过程的往返时延(RTT)能够降低78.67％。2、采用本专利技术的方法，用于存储验证结果的存储空间能够降低83.4％。3、采用本专利技术的方法，89.34％的验证过程可以在本地完成，现有技术不可以在本地完成验证(0％)。4、由于可以在本地完成验证(第3条)，意味着可以尽快发现问题(问题是指网络攻击等恶意行为)、举报问题、阻止恶意行为的继续，即本专利技术具有更高的安全性。大量验证在本地完成又可以降低位于源端的代理的服务压力，即本专利技术有更高的稳定性。这种分布式的设计，也使得本专利技术具有更高的可扩展性(可以根据实际需要，在不同区域部署，比如可以在某一个楼部署，或者某一个、某几个公司共享一个代理)。附图说明图1是本专利技术的网络架构示意图。图2是本专利技术方法的请求及验证过程示意图。图3是缓存验证信息所需存储空间的示意图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本专利技术做进一步详细说明。一、架构设计为了在以内容传本文档来自技高网...

【技术保护点】
1.一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法，其特征在于，包括以下步骤：1)在内容提供者的网络域中设置代理装置，称为源代理装置；在内容请求者的网络域中设置代理装置，称为本地代理装置；2)内容请求者发出请求数据包，用以向内容提供者请求内容，并将请求数据包的摘要信息发送给本地代理装置；3)内容提供者发出内容数据包，用以向内容请求者提供内容，并将内容数据包的摘要信息发送给源代理装置；4)中间节点向本地代理装置或源代理装置发起验证请求，通过本地代理装置或源代理装置中存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。

【技术特征摘要】
1.一种在以内容传输为主的网络中平衡隐私保护与行为问责的方法，其特征在于，包括以下步骤：1)在内容提供者的网络域中设置代理装置，称为源代理装置；在内容请求者的网络域中设置代理装置，称为本地代理装置；2)内容请求者发出请求数据包，用以向内容提供者请求内容，并将请求数据包的摘要信息发送给本地代理装置；3)内容提供者发出内容数据包，用以向内容请求者提供内容，并将内容数据包的摘要信息发送给源代理装置；4)中间节点向本地代理装置或源代理装置发起验证请求，通过本地代理装置或源代理装置中存储的摘要信息，验证内容请求者或内容提供者是否发送了相应的请求数据包或内容数据包，并验证请求数据包或内容数据包是否已被举报为恶意请求或恶意内容。2.如权利要求1所述的方法，其特征在于，如果中间节点发现当前的数据包传输行为属于恶意的，或者接收者发现收到的内容是有害的，则向本地代理装置或源代理装置举报恶意请求或者恶意内容，本地代理装置或源代理装置停止后续对被举报的请求或被举报的内容的验证。3.如权利要求1所述的方法，其特征在于，如果内容发送者的行为造成了恶劣影响或者巨大损失，则通过本地代理装置或源代理装置找到真实的发送者，并采取问责措施。4.如权利要求1所述的方法，其特征在于，所述代理装置为服务器，或者是软件定义网络中的控制器。5.如权利要求1所述的方法，其特征在于，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址隐藏在请求数据包中，进而内容提供者将内容直接发送给内容请求者；如果内容提供者不知道内容请求者的地址，则内容提供者将内容发送给本地代理装置，由本地代理装置转发给内容请求者。6.如权利要求5所述的方法，其特征在于，如果内容请求者允许内容提供者知道自己的真实身份，则内容请求者将自己的真实地址经加密处理后隐藏在请求数据包中；内容提供...

【专利技术属性】
技术研发人员：葛敬国，马宇翔，吴玉磊，弭伟，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11