控制對(duì)reload網(wǎng)絡(luò)中的資源的寫(xiě)入訪問(wèn)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及用于向資源定位和發(fā)現(xiàn)基礎(chǔ)(RELOAD)網(wǎng)絡(luò)中的資源寫(xiě)入數(shù)據(jù)的方法 和裝置。更具體地�����,本發(fā)明涉及用于通過(guò)除了資源擁有者之外的節(jié)點(diǎn)向RELOAD網(wǎng)絡(luò)中的資 源寫(xiě)入數(shù)據(jù)的方法和裝置�����。
【背景技術(shù)】
[0002] 互聯(lián)網(wǎng)工程任務(wù)組(IETF)的點(diǎn)對(duì)點(diǎn)(P2P)會(huì)話發(fā)起協(xié)議(SIP)工作組(P2PSIP WG)正在指定用于基于點(diǎn)對(duì)點(diǎn)(P2P)技術(shù)構(gòu)建分布式系統(tǒng)的RELOAD基礎(chǔ)協(xié)議�����。特別地,由 該工作組承擔(dān)的大部分工作集中于分布式哈希表(DHT)�����。DHT提供分布式存儲(chǔ)服務(wù)�����,其中資 源被存儲(chǔ)在一個(gè)對(duì)等點(diǎn)處�����,該對(duì)等點(diǎn)與其他對(duì)等點(diǎn)一起形成重疊網(wǎng)絡(luò)(overlay network)��。
[0003] 資源基于資源-ID而被存儲(chǔ)��,資源-ID通常是擁有該資源的節(jié)點(diǎn)的經(jīng)哈?��;挠?戶名。類(lèi)別-ID指定了可以被存儲(chǔ)在資源處的數(shù)據(jù)的類(lèi)別���。
[0004] 在RELOAD中�,資源能夠由知道該資源的資源-ID的任何節(jié)點(diǎn)讀?����。ɡ纾褂锰?取請(qǐng)求)�����。然而���,出于安全并且為了限制節(jié)點(diǎn)能夠存儲(chǔ)到網(wǎng)絡(luò)中的信息量�����,RELOAD定義了多 種訪問(wèn)控制策略來(lái)控制哪些實(shí)體能夠創(chuàng)建資源和向資源寫(xiě)入數(shù)據(jù)���。
[0005] RELOAD中定義的標(biāo)準(zhǔn)訪問(wèn)控制策略是基于用戶-ID(例如,USER-MATCH)或者節(jié) 點(diǎn)_ID(例如��,NODE-MATCH)的�。節(jié)點(diǎn)的用戶-ID和節(jié)點(diǎn)-ID被包括在該節(jié)點(diǎn)的證書(shū)中。通 常��,節(jié)點(diǎn)由中央登記當(dāng)局(central enrolment authority)指配一個(gè)或多個(gè)節(jié)點(diǎn)-ID��,盡管 也可以使用其他方法����,諸如信任Web類(lèi)型的模型���。用戶-ID和節(jié)點(diǎn)-ID兩者連同節(jié)點(diǎn)的公 共密鑰一起被放置在節(jié)點(diǎn)證書(shū)中。
[0006] 利用RELOAD訪問(wèn)控制策略�,通常資源僅能夠由單個(gè)節(jié)點(diǎn)創(chuàng)建、寫(xiě)入或者重寫(xiě)入����, 該單個(gè)節(jié)點(diǎn)被稱(chēng)為該資源的"擁有者",通常是創(chuàng)建該資源的節(jié)點(diǎn)����。
[0007] 使得多個(gè)節(jié)點(diǎn)能夠在相同資源中進(jìn)行寫(xiě)入的訪問(wèn)控制策略是USER-N0DE-MATCH, 其允許任何節(jié)點(diǎn)向字典資源寫(xiě)入單個(gè)條目�����,該字典資源的資源-ID必須對(duì)應(yīng)于節(jié)點(diǎn)-ID���。 USER-N0DE-MATCH僅可以與字典資源一起使用。
[0008] 在REL0AD-ACL中����,定義了新的訪問(wèn)控制策略,被稱(chēng)為USER-CHAIN-ACL,其允許資 源的擁有者將寫(xiě)入許可與其他節(jié)點(diǎn)共享�����。這通過(guò)將訪問(wèn)控制列表(ACL)與所共享的資源相 關(guān)聯(lián)并且明確地列出具有針對(duì)該資源的寫(xiě)入許可的所有用戶和/或節(jié)點(diǎn)來(lái)完成�����。
[0009] 上面所提到的兩種策略具有一些缺陷���。USER-NODE-MATCH僅能夠被應(yīng)用到字典資 源并且允許RELOAD網(wǎng)絡(luò)中具有有效證書(shū)的任何節(jié)點(diǎn)在任何字典資源中寫(xiě)入一個(gè)條目��。因 此����,為了保護(hù)它自己的資源�����,對(duì)等點(diǎn)通常將會(huì)限制這樣的字典資源的大小���。這允許了拒絕 服務(wù)(Denial of Service���,DoS)攻擊的可能性����,因?yàn)榫哂幸粋€(gè)或多個(gè)有效證書(shū)的攻擊者節(jié) 點(diǎn)能夠向字典資源存儲(chǔ)高容量的數(shù)據(jù)����,從而超出它的大小限制。這阻止了合法用戶存儲(chǔ)數(shù) 據(jù)��。在USER-CHAIN-ACL中�����,僅有由資源的擁有者(經(jīng)由ACL)明確允許的用戶才能夠?qū)懭?數(shù)據(jù)���。然而����,這要求擁有者節(jié)點(diǎn)事先知道合法用戶的列表�����。此外����,資源不能由任意數(shù)目的用 戶共享,這歸因于在管理ACL以及所有相關(guān)聯(lián)的證書(shū)中在負(fù)責(zé)該資源的對(duì)等點(diǎn)上所施加的 負(fù)擔(dān)���。因此�����,ACL的大小將被向其進(jìn)行存儲(chǔ)的對(duì)等點(diǎn)所限制���,特別是因?yàn)锳CL資源由相同地 址空間內(nèi)的所有USER-CHAIN-ACL資源所共享。
【發(fā)明內(nèi)容】
[0010] 為了至少減輕上文所識(shí)別的問(wèn)題����,在本文中提供了用以允許不是資源的原始擁有 者的節(jié)點(diǎn)對(duì)資源進(jìn)行寫(xiě)入的方法和裝置。
[0011] 根據(jù)本發(fā)明的一個(gè)方面��,提供了一種網(wǎng)絡(luò)設(shè)備���,該網(wǎng)絡(luò)設(shè)備被配置作為負(fù)責(zé)資源 定位和發(fā)現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源的對(duì)等點(diǎn)�����。該網(wǎng)絡(luò)設(shè)備包括:通信器�����,被配置為接收起始 于擁有該資源的節(jié)點(diǎn)的消息��。該消息包括使用該網(wǎng)絡(luò)設(shè)備的公共密鑰加密的寫(xiě)入密鑰���。該 通信器進(jìn)一步被配置為接收用以在該資源處存儲(chǔ)數(shù)據(jù)的請(qǐng)求����。該請(qǐng)求起始于一個(gè)或多個(gè)訪 問(wèn)節(jié)點(diǎn)并且包括使用寫(xiě)入密鑰進(jìn)行簽名的數(shù)據(jù)��,該一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)不同于擁有該資源 的節(jié)點(diǎn)��。該網(wǎng)絡(luò)設(shè)備包括:解密器����,被配置為使用該網(wǎng)絡(luò)設(shè)備的私有密鑰來(lái)解密經(jīng)加密的寫(xiě) 入密鑰。該網(wǎng)絡(luò)設(shè)備還包括:訪問(wèn)控制器�,被配置為基于寫(xiě)入密鑰和所接收的經(jīng)簽名的數(shù)據(jù) 來(lái)控制由該一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)對(duì)該資源的寫(xiě)入訪問(wèn)。
[0012] 可選地�����,訪問(wèn)控制器被配置為��,如果已經(jīng)使用寫(xiě)入密鑰對(duì)所接收的數(shù)據(jù)進(jìn)行了簽 名�����,則向該資源寫(xiě)入所接收的數(shù)據(jù)����。
[0013] 可選地,起始于擁有該資源的節(jié)點(diǎn)的消息進(jìn)一步包括將由該一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn) 在對(duì)數(shù)據(jù)進(jìn)行簽名時(shí)使用的簽名算法����。訪問(wèn)控制器可以進(jìn)一步被配置為,如果已經(jīng)使用該 簽名算法和寫(xiě)入密鑰對(duì)所接收的數(shù)據(jù)進(jìn)行了簽名�,則向該資源寫(xiě)入所接收的數(shù)據(jù)。
[0014] 可選地�����,該網(wǎng)絡(luò)設(shè)備進(jìn)一步包括:復(fù)制器�����,被配置為通過(guò)向RELOAD網(wǎng)絡(luò)的另一對(duì) 等點(diǎn)發(fā)送存儲(chǔ)請(qǐng)求消息來(lái)在該另一對(duì)等點(diǎn)處復(fù)制該資源���。該復(fù)制器可以被配置為����,利用所 獲得的該另一對(duì)等點(diǎn)的公共密鑰來(lái)加密寫(xiě)入密鑰并且在存儲(chǔ)請(qǐng)求消息中將經(jīng)加密的寫(xiě)入 密鑰發(fā)送給該另一對(duì)等點(diǎn)。
[0015] 根據(jù)本發(fā)明的一個(gè)方面�,提供了一種網(wǎng)絡(luò)設(shè)備,該網(wǎng)絡(luò)設(shè)備被配置作為擁有資源 定位和發(fā)現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源的節(jié)點(diǎn)���。該網(wǎng)絡(luò)設(shè)備包括:通信器�����,被配置為與RELOAD網(wǎng) 絡(luò)內(nèi)的一個(gè)或多個(gè)節(jié)點(diǎn)進(jìn)行通信���,以獲得負(fù)責(zé)該資源的對(duì)等點(diǎn)的公共密鑰。該網(wǎng)絡(luò)設(shè)備還 包括:加密器�����,被配置為使用所獲得的公共密鑰來(lái)加密寫(xiě)入密鑰����。該通信器進(jìn)一步被配置 為,向負(fù)責(zé)該資源的對(duì)等點(diǎn)發(fā)送經(jīng)加密的寫(xiě)入密鑰�,以用于控制對(duì)該資源的寫(xiě)入訪問(wèn)。
[0016] 可選地�,通信器進(jìn)一步被配置為向負(fù)責(zé)該資源的對(duì)等點(diǎn)發(fā)送簽名算法,以識(shí)別應(yīng) 當(dāng)由請(qǐng)求對(duì)該資源的寫(xiě)入訪問(wèn)的一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)使用的該簽名算法。
[0017] 可選地���,通信器被配置為在定義StoreKindData結(jié)構(gòu)的存儲(chǔ)請(qǐng)求消息中發(fā)送經(jīng)加 密的寫(xiě)入密鑰和/或簽名算法。
[0018] 可選地�,該網(wǎng)絡(luò)設(shè)備被嵌入在計(jì)算機(jī)系統(tǒng)內(nèi)并且進(jìn)一步包括指令處理器,該指令 處理器被配置為經(jīng)由該資源從一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)接收指令����。
[0019] 可選地,該指令處理器被配置為在不同時(shí)間輪詢?cè)撡Y源以取回指令��。
[0020] 可選地��,該網(wǎng)絡(luò)設(shè)備進(jìn)一步被配置為在生成計(jì)數(shù)器翻轉(zhuǎn)之前改變寫(xiě)入密鑰�,該生 成計(jì)數(shù)器與該資源中存儲(chǔ)的值相關(guān)聯(lián)。
[0021] 根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種車(chē)輛���,包括如上文所描述的被配置作為擁有 資源的節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備��。
[0022] 根據(jù)本發(fā)明的一個(gè)方面���,提供了一種網(wǎng)絡(luò)設(shè)備�,該網(wǎng)絡(luò)設(shè)備被配置作為用于向資 源定位和發(fā)現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源寫(xiě)入數(shù)據(jù)的訪問(wèn)節(jié)點(diǎn)�。該資源由一個(gè)不同的節(jié)點(diǎn)所擁 有。該網(wǎng)絡(luò)設(shè)備包括:簽名器�����,被配置為使用寫(xiě)入密鑰來(lái)對(duì)將被寫(xiě)入到該資源的數(shù)據(jù)進(jìn)行簽 名����。該網(wǎng)絡(luò)設(shè)備還包括:通信器,被配置為生成用以向不由該網(wǎng)絡(luò)設(shè)備所擁有的該資源寫(xiě)入 經(jīng)簽名的數(shù)據(jù)的請(qǐng)求并且將該請(qǐng)求發(fā)送給負(fù)責(zé)該資源的對(duì)等點(diǎn)����。
[0023] 可選地,簽名器被配置為使用寫(xiě)入密鑰和預(yù)定的簽名算法來(lái)對(duì)數(shù)據(jù)進(jìn)行簽名�。
[0024] 可選地,通信器被配置為生成并且發(fā)送存儲(chǔ)請(qǐng)求���。
[0025] 可選地����,存儲(chǔ)請(qǐng)求包括該資源的資源-ID����。
[0026] 根據(jù)本發(fā)明的一個(gè)方面�,提供了一種控制網(wǎng)絡(luò)設(shè)備的方法����,該網(wǎng)絡(luò)設(shè)備被配置作 為負(fù)責(zé)資源定位和發(fā)現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源的對(duì)等點(diǎn)。該方法包括�����,在該網(wǎng)絡(luò)設(shè)備處����,接 收起始于擁有該資源的節(jié)點(diǎn)的消息����。該消息包括使用該網(wǎng)絡(luò)設(shè)備的公共密鑰加密的寫(xiě)入密 鑰。該方法進(jìn)一步包括���,在該網(wǎng)絡(luò)設(shè)備處���,接收用以在該資源處存儲(chǔ)數(shù)據(jù)的請(qǐng)求。該請(qǐng)求起 始于一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)并且包括使用寫(xiě)入密鑰進(jìn)行簽名的數(shù)據(jù)�����,該一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn) 不同于擁有該資源的節(jié)點(diǎn)。該方法進(jìn)一步包括��,在該網(wǎng)絡(luò)設(shè)備處��,使用該網(wǎng)絡(luò)設(shè)備的私有密 鑰來(lái)解密經(jīng)加密的寫(xiě)入密鑰����。該方法進(jìn)一步包括,在該網(wǎng)絡(luò)設(shè)備處�����,基于寫(xiě)入密鑰和所接收 的數(shù)據(jù)來(lái)控制由該一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)對(duì)該資源的寫(xiě)入訪問(wèn)�����。
[0027] 根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種控制網(wǎng)絡(luò)設(shè)備的方法�,該網(wǎng)絡(luò)設(shè)備被配置作 為擁有資源定位和發(fā)現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源的節(jié)點(diǎn)。該方法包括�,在該網(wǎng)絡(luò)設(shè)備處���,與 RELOAD網(wǎng)絡(luò)內(nèi)的一個(gè)或多個(gè)節(jié)點(diǎn)進(jìn)行通信,以獲得負(fù)責(zé)該資源的對(duì)等點(diǎn)的公共密鑰��。該方 法進(jìn)一步包括�����,在該網(wǎng)絡(luò)設(shè)備處��,使用所獲得的公共密鑰來(lái)加密寫(xiě)入密鑰�。該方法進(jìn)一步包 括��,在該網(wǎng)絡(luò)設(shè)備處��,將經(jīng)加密的寫(xiě)入密鑰發(fā)送給負(fù)責(zé)該資源的對(duì)等點(diǎn)��,以用于控制對(duì)該資 源的寫(xiě)入訪問(wèn)�。
[0028] 根據(jù)本發(fā)明的一個(gè)方面,提供了一種控制網(wǎng)絡(luò)設(shè)備的方法��,該網(wǎng)絡(luò)設(shè)備被配置作 為用于向資源定位和發(fā)現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源寫(xiě)入數(shù)據(jù)的訪問(wèn)節(jié)點(diǎn)���,其中該資源由一個(gè) 不同的節(jié)點(diǎn)所擁有��。該方法包括�����,在該網(wǎng)絡(luò)設(shè)備處����,使用寫(xiě)入密鑰來(lái)對(duì)將被寫(xiě)入到該資源的 數(shù)據(jù)進(jìn)行簽名。該方法進(jìn)一步包括�����,在該網(wǎng)絡(luò)設(shè)備處���,生成用以向不由該網(wǎng)絡(luò)設(shè)備所擁有的 該資源寫(xiě)入經(jīng)簽名的數(shù)據(jù)的請(qǐng)求�。該方法進(jìn)一步包括�,在該網(wǎng)絡(luò)設(shè)備處,將該請(qǐng)求發(fā)送給負(fù) 責(zé)該資源的對(duì)等點(diǎn)�。
[0029] 根據(jù)本發(fā)明的一個(gè)方面,提供了一種用于控制由一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)對(duì)資源定位 和發(fā)現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源的寫(xiě)入訪問(wèn)的系統(tǒng)�。該系統(tǒng)包括:節(jié)點(diǎn),擁有該資源并且被配 置為獲得負(fù)責(zé)該資源的對(duì)等點(diǎn)的公共密鑰���、使用所獲得的公共密鑰來(lái)加密寫(xiě)入密鑰����、并且 將經(jīng)加密的寫(xiě)入密鑰發(fā)送給負(fù)責(zé)該資源的對(duì)等點(diǎn)。負(fù)責(zé)該資源的對(duì)等點(diǎn)被配置為對(duì)經(jīng)加密 的寫(xiě)入密鑰進(jìn)行解密�。該系統(tǒng)進(jìn)一步包括:訪問(wèn)節(jié)點(diǎn),被配置為使用寫(xiě)入密鑰對(duì)將被寫(xiě)入到 該資源的數(shù)據(jù)進(jìn)行簽名����,并且向負(fù)責(zé)該資源的對(duì)等點(diǎn)發(fā)送請(qǐng)求以向該資源寫(xiě)入經(jīng)簽名的數(shù) 據(jù)。負(fù)責(zé)該資源的對(duì)等點(diǎn)進(jìn)一步被配置為����,基于經(jīng)解密的寫(xiě)入密鑰和經(jīng)簽名的數(shù)據(jù)來(lái)控制 對(duì)該資源的寫(xiě)入訪問(wèn)。
[0030] 根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種控制由一個(gè)或多個(gè)訪問(wèn)節(jié)點(diǎn)對(duì)資源定位和發(fā) 現(xiàn)RELOAD網(wǎng)絡(luò)內(nèi)的資源的寫(xiě)入訪問(wèn)的方法�����。該方法包括��,在擁有該資源的節(jié)點(diǎn)處�����,獲得負(fù) 責(zé)該資源的對(duì)等點(diǎn)的公共密鑰�、使用所獲得的公共密鑰來(lái)加密寫(xiě)入密鑰、并且將經(jīng)加密的 寫(xiě)入密鑰發(fā)送給負(fù)責(zé)該資源的對(duì)等點(diǎn)����。該方法進(jìn)一步包括,在負(fù)責(zé)該資源的對(duì)等點(diǎn)處�����,解密 寫(xiě)入密鑰�����。該方法進(jìn)一步包括���,在訪問(wèn)節(jié)點(diǎn)處���,使用寫(xiě)入密鑰對(duì)將被寫(xiě)入到該資源的數(shù)據(jù)進(jìn) 行簽名,并且