安全信任处理方法及装置与流程

本发明实施例涉及通信技术领域，尤其涉及一种安全信任处理方法及装置。

背景技术：

公钥加密，也叫非对称(密钥)加密(publickeyencryption)，属于通信科技下的网络安全二级学科，指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。它解决了密钥的发布和管理问题，是目前商业密码的核心。在公钥加密体制中，没有公开的是私钥，公开的是公钥。

公钥加密体系一定程度上解决了这个问题。每个用户自己生成一对密钥：公钥和私钥。当要和另一方进行通信的时候，将自己的公钥发送给对方。为了表明自己的身份，首先用自己私钥对发过来的信息进行签名，签名后发给对方。对方收到这段签名后用对应的公钥进行验证，如果验证通过则可以认可对方。但是这个机制依赖于公钥发给对方的时候不被攻击者冒充，否则容易受到中间人攻击。

为此，安全行业提出第三方信任ca认证体系。为每一个用户发放一个有可信第三方签名的证书，任何一方可以从任何渠道获得任何人的证书，只要用ca认证中心的公钥进行签名认证就可以认可该公钥的正确性。基本思路如下：

用户a生成一个密码对，公钥pk和私钥sk。将自己的pk发送到ca中心，ca采用自己的私钥对用户的pk包括用户的标识进行签名，然后发送给用户a或者保存到任何地方。这样，任何一个人拿到别人的包含公钥的证书以后，首先用ca中心的公钥进行验证，确保该证书是经过ca签发的就可以确认该公钥不是被攻击者冒充的。

ca认证实际上也是依赖于可信第三方即ca中心的。一旦ca中心的公钥被冒充，或者ca中心的私钥丢失，则整个认证体系将崩溃。

技术实现要素：

本发明实施例提供一种安全信任处理方法及装置，以提高互联网服务的安全性。

本发明实施例的一个方面是提供一种安全信任处理方法，包括：

对等网络中的节点根据所述对等网络中传输的消息、第一随机数和历史哈希值计算第一哈希值；

若所述第一哈希值小于阈值，则所述节点将所述第一随机数、所述第一哈希值、以及第一时间戳发送给所述对等网络中的其他节点，所述第一时间戳表示所述节点的发送时刻；

所述节点存储所述对等网络中传输的消息。

本发明实施例的另一个方面是提供一种安全信任处理装置，包括：

计算模块，用于根据所述对等网络中传输的消息、第一随机数和历史哈希值计算第一哈希值；

发送模块，用于当所述第一哈希值小于阈值时，将所述第一随机数、所述第一哈希值、以及第一时间戳发送给所述对等网络中的其他节点，所述第一时间戳表示所述节点的发送时刻；

存储模块，用于存储所述对等网络中传输的消息。

本发明实施例提供的安全信任处理方法及装置，实现了一种全新的去中心化的互联网安全机制，采用去中心分布式记录的方式来分发公钥，基于此分发公钥的方式来构建一个新的互联网的安全信任机制，不依赖于任何的第三方机构或个人，用以解决现有的互联网中安全信任机制的安全性不够的问题，为用户提供安全可靠的互联网服务。

附图说明

图1为本发明实施例提供的安全信任处理方法流程图；

图2为本发明实施例提供的安全信任处理方法适用的网络架构图；

图3为本发明另一实施例提供的安全信任处理方法流程图；

图4为本发明实施例提供的安全信任处理装置的结构图；

图5为本发明另一实施例提供的安全信任处理装置的结构图。

具体实施方式

图1为本发明实施例提供的安全信任处理方法流程图；图2为本发明实施例提供的安全信任处理方法适用的网络架构图。具体的安全信任处理方法步骤如下：

步骤s101、对等网络中的节点根据所述对等网络中传输的消息、第一随机数和历史哈希值计算第一哈希值。

如图2所示，第一节点、第二节点、第三节点、第四节点构成对等网络(peertopeer,p2p)，此处只是示意性说明，并不限定对等网络的具体形式，也不限定对等网络中的节点的个数。每个节点在对等网络中是对等的，各自的消息是可以同步的，每个节点具体可以是用户终端、服务器、服务器集群等设备。每个节点上安装有互联网安全信任p2p代理模块,该代理模块首次启动，弹出一个界面，要求用户输入用户名，并根据预先约定的算法生成该用户名对应的公钥和私钥。该公钥同时可以作为该用户的用户标识用以区分其他的用户。然后该用户终端可以加入到信任的p2p网络中,加入信任的p2p网络的时候，可以通过找到p2p相邻节点的方式加入，也可以通过与p2p根节点建立连接的方式加入，如图2所示，假设第五节点原来不是p2p网络中的节点，现在可通过与其相邻节点即第三节点建立连接的方式加入该p2p网络中，也可以通过与p2p根节点建立连接的方式加入该p2p网络中。

用户终端将自己的用户名和公钥，增加本地时间戳后发布到p2p网络中。p2p网络中的任何一个节点收到该消息后，提取该报文中的用户名，如果该用户名在历史记录中没出现过，则执行本实施例所述的方法步骤，如果该用户名在历史记录中出现过，则忽略该信息。因此，本实施例的执行主体可以是p2p网络中的任何一个节点。

具体的，所述节点对所述对等网络中传输的多条消息进行排序；可选的，所述节点根据所述多条消息各自携带的时间戳，对所述对等网络中传输的多条消息进行排序。所述节点在排序后的多条消息中加入所述第一随机数；所述节点对加入所述第一随机数且排序后的多条消息，以及所述历史哈希值进行哈希运算，得到所述第一哈希值。

例如，p2p网络中的任何一个节点统计所述p2p网络中多个用户发布的n个消息，该n个消息是所述节点未经过哈希运算的消息，n可以是预先固定的一个数量，该n个消息可以分别携带有时间戳，该节点例如第一节点按照该n个消息分别携带的时间戳的大小对该n个消息进行排序，并在排序后的n个消息组成的报文的任意一个随机位置加一个随机数，该随机数记为第一随机数，并对排序后的n个消息、该随机数和历史哈希值记为hashp进行哈希运算，得到第一哈希值记为hashn。其中，历史哈希值hashp可以是hashn-1，表示p2p网络中经过哈希运算后发布的最后一个哈希值，具体可以是上一次p2p网络中经过哈希运算后发布的小于阈值的哈希值。

步骤s102、若所述第一哈希值小于阈值，则所述节点将所述第一随机数、所述第一哈希值、以及第一时间戳发送给所述对等网络中的其他节点，所述第一时间戳表示所述节点的发送时刻。

当第一哈希值hashn小于阈值时，该节点例如第一节点将第一随机数、第一哈希值hashn、以及第一时间戳发送给对等网络中的其他节点例如第二节点、第三节点、第四节点，其中，第一时间戳表示该节点例如第一节点的发送时刻，即发送第一随机数、第一哈希值hashn、以及第一时间戳的时刻。

其他节点例如第二节点收到该节点例如第一节点发送的第一随机数、第一哈希值hashn、以及第一时间戳后，对第一随机数、第一哈希值hashn、以及第一时间戳进行计算验证，如果第一哈希值hashn小于阈值，则停止第二节点本地当前进行的对第一哈希值hashn的计算，然后第二节点以第一时间戳为起点，继续统计该对等网络中的消息，并根据第一时间戳之后该对等网络中的消息、选择另一个随机数例如第二随机数、以及第一哈希值hashn进行哈希运算得到第二哈希值hashn+1，如果第二哈希值hashn+1小于阈值，则第二节点将第二随机数、第二哈希值hashn+1、第二时间戳发送给所述对等网络中的其他节点例如第一节点、第三节点、第四节点，所述第二时间戳表示第二节点的发送时刻。

步骤s103、所述节点存储所述对等网络中传输的消息。

另外，该节点例如第一节点将第一随机数、第一哈希值hashn、以及第一时间戳发送给对等网络中的其他节点之后，将对等网络中传输的消息记录在本地。

需要说明的是，本实施例中的消息可以是任何一个即将加入该对等网络中的节点发布的自己的用户名、公钥和时间戳，也可以是已经在对等网络中的节点发布的账本消息。

步骤s104、若所述第一哈希值大于阈值，则所述节点更新所述第一随机数，并根据所述对等网络中传输的消息、更新后的第一随机数和历史哈希值重新计算所述第一哈希值。

另外，当第一哈希值hashn大于阈值时，该节点例如第一节点可以更新该第一随机数，并根据所述对等网络中传输的消息、更新后的第一随机数和历史哈希值hashp重新计算所述第一哈希值hashn。

本发明实施例实现了一种全新的去中心化的互联网安全机制，采用去中心分布式记录的方式来分发公钥，基于此分发公钥的方式来构建一个新的互联网的安全信任机制，不依赖于任何的第三方机构或个人，用以解决现有的互联网中安全信任机制的安全性不够的问题，为用户提供安全可靠的互联网服务。

图3为本发明另一实施例提供的安全信任处理方法流程图。在上述实施例的基础上，还包括步骤如下：

步骤s301、所述节点接收其他节点发送的第二随机数、第二哈希值、以及第二时间戳，所述第二时间戳表示所述其他节点的发送时刻。

步骤s302、若所述第二哈希值小于阈值，则所述节点停止计算所述第二哈希值。

步骤s303、所述节点将所述第二哈希值作为所述历史哈希值，并根据所述第二时间戳之后所述对等网络中传输的消息、第三随机数和所述第二哈希值计算第三哈希值。

如图2所示，当第一节点接收到第二节点发送的第二随机数、第二哈希值hashn+1、第二时间戳时，其中，所述第二时间戳表示第二节点的发送时刻，对第二随机数、第二哈希值hashn+1、第二时间戳进行计算验证，如果第二哈希值hashn+1小于阈值，则停止第一节点本地当前进行的对第二哈希值hashn+1的计算，然后第一节点以第二时间戳为起点，继续统计该对等网络中的消息，并根据第二时间戳之后该对等网络中的消息、选择另一个随机数例如第三随机数、以及第二哈希值hashn+1进行哈希运算得到第三哈希值hashn+2，如果第三哈希值hashn+2小于阈值，则第一节点将第三随机数、第三哈希值hashn+2、第三时间戳发送给所述对等网络中的其他节点例如第二节点、第三节点、第四节点，所述第三时间戳表示第一节点发送第三随机数、第三哈希值hashn+2、第三时间戳的时刻。如此，不断重复进行。

本实施例由于以上过程全部全p2p网络公开化，并且全网的节点经过计算来确定哪个节点拥有以上n条信息的记账权，其他节点也记录有该此发布的消息和随机数，以及hashp，hashn值，因此任何人都不可以对该n条信息进行伪造，这就使得信息的安全性得到了保障。

图4为本发明实施例提供的安全信任处理装置的结构图。本发明实施例提供的安全信任处理装置可以执行安全信任处理方法实施例提供的处理流程，如图4所示，安全信任处理装置40包括计算模块41、发送模块42、存储模块43，其中，计算模块41用于根据所述对等网络中传输的消息、第一随机数和历史哈希值计算第一哈希值；发送模块42用于当所述第一哈希值小于阈值时，将所述第一随机数、所述第一哈希值、以及第一时间戳发送给所述对等网络中的其他节点，所述第一时间戳表示所述节点的发送时刻；存储模块43用于存储所述对等网络中传输的消息。

本发明实施例实现了一种全新的去中心化的互联网安全机制，采用去中心分布式记录的方式来分发公钥，基于此分发公钥的方式来构建一个新的互联网的安全信任机制，不依赖于任何的第三方机构或个人，用以解决现有的互联网中安全信任机制的安全性不够的问题，为用户提供安全可靠的互联网服务。

图5为本发明另一实施例提供的安全信任处理装置的结构图。在上述实施例的基础上，计算模块41包括：排序单元411、随机数插入单元412、计算单元413，其中，排序单元411用于对所述对等网络中传输的多条消息进行排序；随机数插入单元412用于在排序后的多条消息中加入所述第一随机数；计算单元413用于对加入所述第一随机数且排序后的多条消息，以及所述历史哈希值进行哈希运算，得到所述第一哈希值。

排序单元411具体用于根据所述多条消息各自携带的时间戳，对所述对等网络中传输的多条消息进行排序。

另外，安全信任处理装置40还包括：接收模块44，用于接收其他节点发送的第二随机数、第二哈希值、以及第二时间戳，所述第二时间戳表示所述其他节点的发送时刻；当所述第二哈希值小于阈值时，计算模块41停止计算所述第二哈希值，将所述第二哈希值作为所述历史哈希值，并根据所述第二时间戳之后所述对等网络中传输的消息、第三随机数和所述第二哈希值计算第三哈希值。

此外，安全信任处理装置40还包括：更新模块45，用于当所述第一哈希值大于阈值时，更新所述第一随机数；计算模块41用于根据所述对等网络中传输的消息、更新后的第一随机数和历史哈希值重新计算所述第一哈希值。

本发明实施例提供的安全信任处理装置可以具体用于执行上述图1所提供的方法实施例，具体功能此处不再赘述。

本发明实施例由于以上过程全部全p2p网络公开化，并且全网的节点经过计算来确定哪个节点拥有以上n条信息的记账权，其他节点也记录有该此发布的消息和随机数，以及hashp，hashn值，因此任何人都不可以对该n条信息进行伪造，这就使得信息的安全性得到了保障。

综上所述，本发明实施例实现了一种全新的去中心化的互联网安全机制，采用去中心分布式记录的方式来分发公钥，基于此分发公钥的方式来构建一个新的互联网的安全信任机制，不依赖于任何的第三方机构或个人，用以解决现有的互联网中安全信任机制的安全性不够的问题，为用户提供安全可靠的互联网服务；由于以上过程全部全p2p网络公开化，并且全网的节点经过计算来确定哪个节点拥有以上n条信息的记账权，其他节点也记录有该此发布的消息和随机数，以及hashp，hashn值，因此任何人都不可以对该n条信息进行伪造，这就使得信息的安全性得到了保障。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。