[发明专利]一种分布式认证方法与认证模型

说明书

本发明公开了一种分布式认证方法与认证模型。认证方法有别于一般的分布式认证模型中信任就进行交易，不信任就拒绝交易的方法；所述方法对信任度不小于阈值的节点进行交易，并把信任度和可以交易的有效信息量进行挂钩。所述方法的信任度由直接信任度和间接信任度组成，而间接信任度的计算借鉴了金融领域的担保方式，由邻居节点对目的节点的担保信任度确定。本发明还提供了一种分布式认证模型，包括身份认证模块、担保模块、信任度计算模块、有效信息量授权模块、担保节点奖罚模块。本发明的分布式认证有利于阻止有害信息的传播，并使得网络系统的风险可控，从而大大提高了系统的安全性。

技术领域

本发明涉及网络安全领域，尤其涉及一种分布式认证方法与模型。

背景技术

网络认证技术是最重要的网络安全技术之一。认证技术主要包括信息认证与信息认证两个方面的内容，其中信息认证用于保证信息的完整性与不可否认性(不可否认性是指用户事后不能否认自己的行为)身份认证则用于鉴别用户身份，限制非法用户访问网路资源。常用的身份认证技术主要分为集中式认证方法和分布式认证方法。

常用的PKI认证体系就是集中式认证体系，该体系采用层次化的信任模型，在模型的顶层只有一个根节点，用作认证服务器，因而其原理、设计、管理都比较简单。然而，随着用户的节点的不断增多，单一认证服务器越来越难以承受不断加大的认证压力；此外，由于该根节点是PKI认证体系的核心，一旦由于硬件故障、通信中断、恶意攻击等因素导致CA某个节点无法访问，就会导致相对应的认证功能完全失效，整个PKI面临瘫痪。也就是说，集中式认证中，认证中心容易成为技术瓶颈。

分布式认证方法的核心思想将原来单一认证服务器的私钥SK根据门限秘密共享的分成n个子密钥，并把n个子密钥分别发给n个证书服务节点，这n个证书节点共享签发证书的能力。节点获取证书只需n个节点中的任意t个节点签名证书，组合起来就形成了一份由私钥SK签名的完整证书。这种分布式认证方案的安全性由门限t的大小决定，t取值越大系统越安全，相应的系统的实现也会越复杂。虽然这种分布式认证方法能克服单点失效的问题；但是也存在服务节点分布不均匀以及节点认证工作中的通信开销大且成功率不高的问题。

发明内容

本发明所要解决的技术问题是提供一种分布式认证方法，阻止有害信息的扩散，保护网络的安全。

本发明涉及到的相关概念包括：

定义1.节点，计算机网络是由一系列的终端节点构成的，他们之间互为平等关系，他们既可以是服务提供者也可以是服务消费者；在某次交易中作为服务提供者的节点在另一次交易中可能是服务消费者，反之亦然。

定义2.评价信息，是指交易完成后，服务消费者根据服务提供者提供服务的质量和真实性等综合给出的评价，同时也是服务消费者计算服务提供者的直接信任度的基础和依据。

定义3.直接信任度，是服务消费者根据与服务提供者的历史交易评价计算出来的，是服务消费者判断服务提供者是否可靠的重要依据。

定义4.间接信任度，是服务消费者根据邻居节点对服务提供者的直接信任度计算出来的，是服务消费者根据其他节点提供的信息推测服务提供者是否可靠的依据之一，在自身与服务提供者的历史交易经验足够丰富的情况下不需要计算间接信任度。

定义5.信任度，由直接信任度和间接信任度计算得到，代表某节点的可信程度，决定了某次交易能提供或获得的有效信息量。

定义6.有效信息量，表示网络资源对用户的信息价值。如果是垃圾信息、浏览者没有兴趣的信息，那么有效信息量为零；若是浏览者有兴趣并且含有新知识，那么能吸收的新知识就是有效信息量。

本发明提供的一种分布式认证方法，其包括：

两节点要进行交易，不仅要通过双向身份认证即确定节点真伪，还要通过双向权限认证即确定节点对对方的信任度；