一种匿名访问控制方法及系统与流程

本发明涉及网络访问权限，尤其涉及一种匿名访问控制方法及系统。

背景技术：

1、大数据计算、人工智能、区块链等技术的不断进步，为互联网的发展提供无限可能。但是，基于传统网络协议的互联网逐渐展现出其中心化的弊端。由于缺乏匿名性，ip和mac地址使定位用户、分析用户数据、攻击用户电脑等恶意行为变得愈发常见。因此，为了防止用户隐私数据泄露，匿名传输交互成为重要的需求。

技术实现思路

1、本发明提供一种匿名访问控制方法及系统，采用星际文件系统(ipfs)和区块链网络，基于非对称加密算法的公私钥对，使用已订阅的ipfs pubsub服务发布更新星际文件系统cid，从而更新星际文件系统传输数据，同时使用区块链网络匿名传递密钥，能够实现匿名访问，从而达到匿名访问、去中心化的传输的目的，防止用户隐私数据泄露。

2、为了实现上述目的，本发明实施例提供了一种匿名访问控制方法，应用于网关，所述方法包括：

3、接收到用户终端通过已订阅的星际文件系统发布/订阅模式发送的第一访问码的发布请求时，获取所述用户终端的星际文件系统地址、当前星际文件系统地址和所述第一访问码的第一星际文件系统地址；

4、根据所述星际文件系统地址、所述当前星际文件系统地址和所述第一星际文件系统地址，判断所述用户终端与网关之间的当前通讯连接是否安全；若是，则从所述发布请求中获取所述第一访问码；

5、根据所述第一访问码获取所述用户终端的加密请求数据；采用网关对称密码样本对所述加密请求数据进行解密得到所述用户终端的原始请求数据；将所述原始请求数据发送给目标服务器；

6、接收到所述目标服务器在响应所述原始请求数据后返回的响应数据时；使用所述网关对称密码样本对所述响应数据进行加密，得到加密响应数据；

7、将所述加密响应数据上传至星际文件系统后，得到第二访问码，将所述第二访问码的发布请求通过所述已订阅的星际文件系统发布/订阅模式发送给所述用户终端。

8、作为上述方案的改进，当所述网关与所述用户终端建立首次通讯连接时，所述方法还包括：

9、接收到用户终端通过区块链网络发送的连接请求时，创建非对称加密公私钥对；将所述非对称加密公私钥对的公钥通过所述区块链网络传输给所述用户终端；

10、接收到所述用户终端通过所述区块链网络传输的对称密码时，使用所述非对称加密公私钥对的私钥对所述对称密码进行解密，得到对称加密密码，存储所述对称加密密码，得到网关对称密码样本；

11、创建随机字符串，将所述随机字符串作为星际文件系统发布/订阅模式的主题名称进行订阅，得到已订阅的星际文件系统发布/订阅模式；

12、使用所述对称加密密码加密所述随机字符串和所述网关的星际文件系统地址，得到所述随机字符串的加密字符串和所述星际文件系统地址的加密星际文件系统地址；

13、通过所述区块链网络将所述加密字符串和所述加密星际文件系统地址传输给所述用户终端；

14、接收到所述用户终端通过所述区块链网络传输的加密用户星际文件系统地址时，使用所述对称加密密码解密所述加密用户星际文件系统地址，得到所述用户终端的星际文件系统地址。

15、作为上述方案的改进，当所述网关与所述用户终端建立首次通讯连接时，所述方法还包括：

16、通过hmac算法生成hmac密钥，并通过所述对称加密密码加密所述hmac密钥，得到密文；

17、将所述密文通过所述区块链网络传输至所述用户终端。

18、作为上述方案的改进，所述根据所述星际文件系统地址、所述当前星际文件系统地址和所述第一星际文件系统地址，判断所述用户终端与网关之间的当前通讯连接是否安全；若是，则从所述发布请求中获取所述第一访问码，具体包括：

19、判断所述当前星际文件系统地址和所述第一星际文件系统地址是否相同，若不相同，则关闭所述用户终端与网关之间的当前通讯连接；若相同，判断所述当前星际文件系统地址和所述星际文件系统地址是否相同；

20、若相同，则所述用户终端与网关之间的当前通讯连接为安全，从所述发布请求中获取所述第一访问码。

21、作为上述方案的改进，所述方法还包括：

22、定时通过所述区块链网络向所述用户终端发送一个不包含数据的无数据交易；

23、接收到所述用户终端通过所述区块链网络传输的第一哈希值时，将所述无数据交易的交易确认时间戳与所述hmac密钥输入到所述hmac算法中，生成第二哈希值；

24、将所述第二哈希值与所述第一哈希值进行对比；若所述第二哈希值与所述第一哈希值不相符，则认为所述当前通讯连接不安全，断开所述当前通讯连接；

25、若所述第二哈希值与所述第一哈希值相符，则认为所述当前通讯连接安全，正常处理数据。

26、为实现上述目的，本发明实施例还提供了一种匿名访问控制方法，应用于用户终端，所述方法包括：

27、将原始请求数据使用用户对称密码样本进行加密，得到加密请求数据；将所述加密请求数据上传至星际文件系统后，得到第一访问码；将所述第一访问码的发布请求通过已订阅的星际文件系统发布/订阅模式发送给网关；

28、接收到所述网关通过所述已订阅的星际文件系统发布/订阅模式发送的第二访问码的发布请求时，获取所述网关的星际文件系统地址和当前星际文件系统地址以及所述第二访问码的第二星际文件系统地址；

29、根据所述网关的星际文件系统地址和当前星际文件系统地址以及所述第二星际文件系统地址，判断所述用户终端与网关之间的当前通讯连接是否安全；若是，从所述发布请求中获取所述第二访问码；

30、根据所述第二访问码获取所述网关的加密响应数据，采用用户对称密码样本解密所述加密响应数据得到所述网关的响应数据。

31、作为上述方案的改进，当所述网关与所述用户终端建立首次通讯连接时，所述方法还包括：

32、通过区块链网络发送连接请求给网关；

33、接收到所述网关通过所述区块链网络传输的非对称加密公私钥对的公钥时，创建随机字节的对称加密密码，存储所述对称加密密码得到用户对称密码样本；使用所述公钥加密所述对称加密密码得到对称密码；

34、通过所述区块链网络向所述网关传输所述对称密码；

35、接收到所述网关通过所述区块链网络传输的加密字符串和加密星际文件系统地址时，使用所述对称加密密码解密所述加密字符串和所述加密星际文件系统地址，得到随机字符串和所述网关的星际文件系统地址；

36、将所述网关的星际文件系统地址连接的网关节点作为对等网关节点后，再将所述随机字符串作为星际文件系统发布/订阅模式的主题名称进行订阅，得到已订阅的星际文件系统发布/订阅模式；

37、采用所述对称加密密码加密所述用户终端的星际文件系统地址，得到加密用户星际文件系统地址，通过所述区块链网络向所述网关传输所述加密用户星际文件系统地址。

38、作为上述方案的改进，当所述网关与所述用户终端建立首次通讯连接时，所述方法还包括：

39、接收到所述网关通过所述区块链网络传输的密文时，通过所述对称加密密码解密所述密文，得到hmac密钥。

40、作为上述方案的改进，所述方法还包括：

41、定时从分布式哈希表dht获取完整的对等网关节点列表；根据所述网关的星际文件系统地址与所述对等网关节点列表中各个对等网关节点的星际文件系统地址，判断所述用户终端与网关之间的当前通讯连接是否安全；若否，则关闭所述当前通讯连接；

42、接收到所述网关通过所述区块链网络发送一个不包含数据的无数据交易时，将所述无数据交易的交易确认时间戳与所述hmac密钥输入到hmac算法中，生成第一哈希值；

43、将所述第一哈希值通过所述区块链网络传输至所述网关。

44、作为上述方案的改进，所述定时从分布式哈希表dht获取完整的对等网关节点列表；根据所述网关的星际文件系统地址与所述对等网关节点列表中各个对等网关节点的星际文件系统地址，判断所述用户终端与网关之间的当前通讯连接是否安全；若否，则关闭所述当前通讯连接，具体包括：

45、q1，定时从分布式哈希表dht获取完整的对等网关节点列表，将所述网关的星际文件系统地址与所述对等网关节点列表中各个对等网关节点的星际文件系统地址进行异或运算，得到所述各个对等网关节点与网关节点的异或距离；

46、q2，根据所述异或距离，得到距离所述网关节点最近的若干个对等网关节点，询问所述若干个对等网关节点关于所述网关节点的信息，根据所述信息返回与所述网关节点的异或距离相近的附近节点；

47、q3，根据所述附近节点扩充所述对等网关节点列表；

48、q4，若所述附近节点中不包括所述网关节点，排除已询问的所述若干个对等网关节点；

49、q5，递归步骤q1-q4，直至在所述对等网关节点列表中发现所述网关节点，统计递归次数；

50、q6，比较前一次验证的递归次数与本次验证的递归次数的差值，若所述差值过大，则说明所述用户终端与网关之间的当前通讯连接不安全，关闭当前通讯连接；若所述差值不大，则正常处理数据。

51、为实现上述目的，本发明实施例还提供了一种匿名访问控制系统，所述系统至少包括用户终端、网关和目标服务器；

52、所述用户终端包括：

53、数据加密传输模块，用于将原始请求数据使用用户对称密码样本进行加密，得到加密请求数据；将所述加密请求数据上传至星际文件系统后，得到第一访问码；将所述第一访问码的发布请求通过已订阅的星际文件系统发布/订阅模式发送给网关；

54、第二地址获取模块，用于接收到所述网关通过所述已订阅的星际文件系统发布/订阅模式发送的第二访问码的发布请求时，获取所述网关的星际文件系统地址和当前星际文件系统地址以及所述第二访问码的第二星际文件系统地址；

55、第二安全验证模块，用于根据所述网关的星际文件系统地址和当前星际文件系统地址以及所述第二星际文件系统地址，判断所述用户终端与网关之间的当前通讯连接是否安全；若是，从所述发布请求中获取所述第二访问码；

56、响应数据获取模块，用于根据所述第二访问码获取所述网关的加密响应数据，采用用户对称密码样本解密所述加密响应数据得到所述网关的响应数据；

57、所述网关包括：

58、第一地址获取模块，用于接收到用户终端通过已订阅的星际文件系统发布/订阅模式发送的第一访问码的发布请求时，获取所述用户终端的星际文件系统地址、当前星际文件系统地址和所述第一访问码的第一星际文件系统地址；

59、第一安全验证模块，用于根据所述星际文件系统地址、所述当前星际文件系统地址和所述第一星际文件系统地址，判断所述用户终端与网关之间的当前通讯连接是否安全；若是，则从所述发布请求中获取所述第一访问码；

60、数据获取解密模块，用于根据所述第一访问码获取所述用户终端的加密请求数据；采用网关对称密码样本对所述加密请求数据进行解密得到所述用户终端的原始请求数据；将所述原始请求数据发送给所述目标服务器；

61、响应数据加密模块，用于接收到所述目标服务器在响应所述原始请求数据后返回的响应数据时；使用所述网关对称密码样本对所述响应数据进行加密，得到加密响应数据；

62、响应数据传输模块，用于将所述加密响应数据上传至星际文件系统后，得到第二访问码，将所述第二访问码的发布请求通过所述已订阅的星际文件系统发布/订阅模式发送给所述用户终端；

63、所述目标服务器包括：

64、接收模块，用于接收所述网关发送的所述原始请求数据；

65、发送模块，用于响应所述原始请求数据，得到响应数据，并将所述响应数据发送给所述网关。

66、与现有技术相比，本发明实施例公开的一种匿名访问控制方法及系统，在用户终端与目标服务器之间通过网关进行数据传输，用户终端与网关之间基于非对称和对称加密算法通过星际文件系统和区块链网络对原始请求数据传输过程进行加密和解密处理，用户终端通过星际文件系统和区块链网络向网关传输加密后的原始请求数据，网关通过网关对称密码样本解密得到原始请求数据发送给目标服务器，以使所述目标服务器在收到所述原始请求数据后返回响应数据给所述网关，网关将响应数据采用网关对称密码样本加密后通过星际文件系统和区块链网络传输给用户终端，用户终端采用用户对称密码样本解密得到响应数据，完成用户终端匿名访问服务器的过程。本发明实施例使用已订阅的星际文件系统发布/订阅模式更新星际文件系统访问码，从而更新星际文件系统传输数据，同时使用区块链网络匿名传递密钥，能够匿名访问，用户无需信任网关，避免网关获取用户隐私数据，实现数据的全过程匿名传输；从而达到匿名访问、去中心化的传输的目的，防止用户隐私数据泄露。