专利名称:一种可运营的安全p2p业务系统及实现方法
技术领域:
本发明涉及一种网络通信技术,尤其涉及的是一种P2P技术的安全可运营的系统及实现方法。
背景技术:
P2P技术(Peer to peer,点对点通信)是一种用于不同PC用户之间、不经过中继设备直接交换数据或服务的技术,其网络通信方式如图1所示,普通用户可以通过网络服务器,也可以相互之间直接传输数据。它打破了传统的Client/Server模式,在P2P网络(也称对等网络)中,每个节点的地位都是相同的,具备客户端和服务器双重特性,可以同时作为服务使用者和服务提供者。
由于P2P技术的飞速发展,互联网的存储模式将由目前的“内容位于中心”模式转变为“内容位于边缘”模式,改变Internet现在的以大网站为中心的状态,重返“非中心化”,将权力交还给用户。
经过多年的发展和演进,目前P2P技术所蕴藏的巨大的创造力和应用前景正在逐步展现,正吸引着越来越多的企业投入到这方面的研究中。P2P应用在为用户带来便利和效率的同时,也同时带来了多重的负面效应P2P的大量使用为企业带来了很多安全方面的困扰,主要是使企业的网络边界进一步模糊化。如果没有有效的、针对性的安全管理措施,企业内网将等同于互联网,重重设防的企业边界在P2P流行的年代里将逐渐变得形同虚设,P2P给最终用户、企业网络和电信网络带来多方面的安全威胁。通常来说,这些安全威胁包括●防火墙等边界安全措施被短路,使防火墙形同虚设因为P2P技术是IP层技术,传统防火墙是放在企业网甚至电信网的边界的重要安全设备,一旦这种P2P流量突破防火墙,对防火墙而言就其是透明的,因此会对网络造成各种潜在的安全威胁;正常的数据传输和共享,通过P2P可以有效利用分部的计算机资源,但同时却存在控制上的难题;同时,另一方面,如果进入网络的数据流量是病毒木马等破坏性代码,其传播也势必难以控制,将造成巨大安全风险。对于其他潜在的威胁,例如其他未知的损害程序可能随时传输进来,都难以检测过滤和管理,而无法有效实施监控。
●;知识产权容易受到极大的损害,例如带有版权的内容,包括音乐、影视作品等等被随意的P2P传输,造成对权利人的损害。没有有效的知识产权保护手段,也使权利人丧失了盈利的渠道,不利于相关产业的健康发展。
P2P技术的应用给电信运营商网络带来的安全威胁不止于上述的安全威胁,更为重要是基本电信业务收入,现在情况是,P2P应用占用了甚至半数以上的网络带宽资源,电信运营商却没有办法从中收费。带宽利用方面,因为无法对P2P带宽占用情况进行控制,也造成高端用户带宽资源无法保证,整体带宽资源的管理和整和很困难,也难以优化网络资源。因此P2P技术带给电信行业的不仅是信息安全管理问题,而是多方位、深层次影响。
因此,现有技术存在缺陷,而有待于改进和发展。
发明内容
本发明的目的在于提供一种可运营的安全P2P业务系统及其实现方法,用以建立一个安全的、可运营的P2P网络系统架构,解决现有P2P技术中监控、管理困难的问题,同时解决潜在的安全隐患、带宽占用等问题,提出可运营的P2P新技术。
本发明的技术方案包括
一种可运营的安全P2P业务系统,其包括联网的多个用户,其中,所述系统还包括认证服务器、目录服务器和计费服务器组件,各用户分别连接本网域内的认证服务器,通过所述认证服务器连接所述目录服务器,所述目录服务器与所述计费服务器通讯连接;所述认证服务器用于根据用户提供的相关请求资料和用户协商认证方式,并对用户进行认证;所述计费服务器用于根据用户使用不同服务的类型、时间和流量提供计费功能;所述认证服务器认证用户通过后通知所述目录服务器,所述目录服务器用于将用户及所使用的P2P业务类型加入目录服务器的用户目录,并通知计费服务器计费。
所述的系统,其中,还包括一用户资料库,用于保存用户认证、定制业务情况和账户资料内容,并在认证中为认证服务器提供用户资料。
所述的系统,其中,所述认证服务器支持用户名密码、双因素、PAP、CHAP、证书强认证、生物认证的认证机制。
一种可运营的安全P2P业务实现方法,其包括以下步骤A、用户申请登陆使用某个P2P服务,向认证服务器发起服务请求;B、所述认证服务器结合用户资料库中用户资料对用户进行认证;C、根据目录服务器的用户目录以及P2P业务类型的不同,用户建立共享对象间的信任链,进行P2P业务服务。
所述的方法,其中,还包括步骤B后的步骤D、认证结束后,所述认证服务器通知用户认证结果;如果认证失败,则通知用户重新登陆申请;如果用户认证通过,同时通知目录服务器将用户加入其用户目录中。
所述的方法,其中,还包括步骤E、所述目录服务器通知所述计费服务器根据提供业务情况进行计费;
F、退出服务时,用户向目录服务器发出退出请求,停止相应P2P业务,所述目录服务器将通知所述计费服务器停止计费,同时删除用户相应条目。
所述的方法,其中,还包括步骤G、在服务进行过程中,所述目录服务器定期轮询目录服务器中用户状态,如果发现服务中途失败,则删除用户目录中相应的目录,并同时通知计费服务器停止计费。
所述的方法,其中,所述认证服务器定期轮询目录服务器中用户,查看服务进行情况。
所述的方法,其中,所述用户定期轮询用户目录中相应的用户条目,查看服务提供进行情况。
所述的方法,其中,所述步骤F还包括将退出情况通知给对端用户。
所述的方法,其中,所述步骤C的P2P业务还包括会话密钥交换、加密、数字摘要或签名。
所述的方法,其中,所述认证服务器的认证方式包括用户名密码、双因素、PAP、CHAP、证书强认证和生物认证的认证机制。
本发明所提供的一种可运营的安全P2P业务系统及实现方法,由于采用新的P2P架构实现了P2P技术中监控和管理,同时实现了安全可运营管理,但又不影响P2P提供业务的性能,是一个安全的、可运营的P2P解决方案。
图1为现有技术的P2P通信方式系统结构示意图;图2为本发明系统的P2P应用网络组件关系结构示意图;图3为本发明方法的用户使用P2P业务流程示意图。
具体实施例方式
以下结合附图,将对本发明的各较佳实施例进行更为详细的说明。
本发明系统及其实现方法提出了一种安全的、可运营P2P业务模式,建立安全的、可运营P2P业务核心就是确保用户\设备的可信,即对用户\设备进行认证。为了既发挥P2P对等分布式的优点,同时又确保服务可管理性和安全性,本发明要求对用户的接入认证采用集中式管理、而对P2P业务使用采用非集中式管理使用方式。
本发明系统的主要组件包括认证服务器、目录服务器、计费服务器和用户资料库等组件,组件间的关系结构图如图2所示,在各用户11、12、13和用户21、22、23分别处于不同网域中,此不同网域可以属于不同的运营商,各用户分别连接本网域内的认证服务器,通过认证服务器连接所述用户资料库和目录服务器,所述目录服务器与所述计费服务器通讯连接。
所述认证服务器是一个能够处理用户访问请求的服务器程序,提供验证用户身份服务。所述计费服务器是一个为服务使用用户根据用户使用不同服务的类型、时间和流量等提供计费功能的服务器。认证服务器和计费服务器的功能可以一起由AAA服务器实现。AAA服务器是一个能够处理用户访问请求的服务器程序。提供认证、授权以及账户服务。通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。所述目录服务器负责实时更新P2P在线用户,保存与P2P业务相关的其它信息等。所述用户资料库是一个负责保存用户认证、定制业务情况和账户资料等内容的数据库。
在本发明的P2P应用系统实施例中,通过增加认证服务器、计费服务器、目录服务器和用户资料库来实现的。
其中,所述认证服务器用于负责根据用户提供相关请求资料和用户协商认证方式,并对用户进行认证,支持用户名密码、双因素、PAP、CHAP、证书强认证、生物认证等多种认证机制。所述计费服务器用于负责根据用户使用不同服务的类型、时间和流量等提供计费功能的服务器。所述用户资料库用于负责保存用户认证、定制业务情况和账户资料等内容,并在认证中为认证服务器提供用户资料。
所述认证服务器用于认证用户通过后通知目录服务器,所述目录服务器用于将用户及所使用的P2P业务类型加入目录服务器的用户目录,然后通知计费服务器计费。用户可以根据用户目录中的用户资料建立共享对象间的信任链,进行会话密钥交换/加密/数字摘要/签名,进行P2P业务服务。
本发明系统中用户退出P2P业务时,目录服务器删除用户目录中对应的用户资料,并通知计费服务器停止计费,通知用户服务停止。在服务进行过程中,所述认证服务器或者目录服务器定期轮询用户目录中的用户,或者用户定期轮询用户目录中相应用户条目,查看服务进行情况。如果服务中途失败,则删除相应的用户资料。
为了说明本发明系统及方法中用户使用P2P服务的过程,如图3所示的实施例中说明了本发明实现方法的步骤,但是显然不限于图3所示的实施例,其他实现方式和流程依然是本发明的保护对象。
如图3所示,本发明的P2P应用提供服务的具体流程如下A、用户申请登陆使用某个P2P服务,提供认证资料和申请业务类型等相关资料,向认证服务器发起服务请求。
B、所述认证服务器根据用户提供相关请求资料和用户协商认证方式,并结合用户资料库中用户资料对用户进行认证。可以根据具体情况选择认证方式,认证方式可以支持用户名密码、双因素、PAP、CHAP、证书强认证、生物认证等多种认证机制。所谓双因素认证是指用户名密码+其他任意一种认证方式。上述认证服务器的相关认证方式是本领域技术人员所熟知的技术内容,因此不再赘述。
C、认证结束后,所述认证服务器通知用户认证结果。如果认证失败,则通知用户重新登陆申请;如果用户认证通过,同时要通知目录服务器将用户加入其用户目录中。然后,D、根据目录服务器的用户目录以及P2P业务类型的不同,用户建立共享对象间的信任链,进行会话密钥交换/加密/数字摘要/签名,进行P2P业务服务。同时,E、所述目录服务器通知所述计费服务器根据提供业务情况进行计费。
F、退出服务时,用户向目录服务器发出退出请求,停止相应P2P业务,所述目录服务器将通知所述计费服务器停止计费,同时删除用户相应条目,可以将退出情况通知对端用户。
G、另外,在服务进行过程中,所述目录服务器定期轮询目录服务器中用户状态,如果发现服务中途失败,则删除用户目录中相应的目录,并同时通知计费服务器停止计费。
在所述P2P应用提供服务的具体流程中所述步骤G中,所述认证服务器也可以定期轮询目录服务器中用户,查看服务进行情况。同时用户也可以实现定期轮询用户目录中相应的用户条目,查看服务提供进行情况。如果发现服务提供中途失败,则删除用户目录中相应的目录,并同时通知计费服务器停止计费。
本发明所提出的新的P2P架构解决了现有P2P技术中监控、管理困难的问题,同时解决了潜在的安全隐患、带宽占用等问题,但又不影响P2P提供业务的性能,是一个安全的、可运营的P2P解决方案。
应当理解的是,上述针对具体实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。
权利要求
1.一种可运营的安全P2P业务系统,其包括联网的多个用户,其特征在于,所述系统还包括认证服务器、目录服务器和计费服务器组件,各用户分别连接本网域内的认证服务器,通过所述认证服务器连接所述目录服务器,所述目录服务器与所述计费服务器通讯连接;所述认证服务器用于根据用户提供的相关请求资料和用户协商认证方式,并对用户进行认证;所述计费服务器用于根据用户使用不同服务的类型、时间和流量提供计费功能;所述认证服务器认证用户通过后通知所述目录服务器,所述目录服务器用于将用户及所使用的P2P业务类型加入目录服务器的用户目录,并通知计费服务器计费。
2.根据权利要求1所述的系统,其特征在于,还包括一用户资料库,用于保存用户认证、定制业务情况和账户资料内容,并在认证中为认证服务器提供用户资料。
3.根据权利要求2所述的系统,其特征在于,所述认证服务器支持用户名密码、双因素、PAP、CHAP、证书强认证、生物认证的认证机制。
4.一种可运营的安全P2P业务实现方法,其包括以下步骤A、用户申请登陆使用某个P2P服务,向认证服务器发起服务请求;B、所述认证服务器结合用户资料库中用户资料对用户进行认证;C、根据目录服务器的用户目录以及P2P业务类型的不同,用户建立共享对象间的信任链,进行P2P业务服务。
5.根据权利要求4所述的方法,其特征在于,还包括步骤B后的步骤D、认证结束后,所述认证服务器通知用户认证结果;如果认证失败,则通知用户重新登陆申请;如果用户认证通过,同时通知目录服务器将用户加入其用户目录中。
6.根据权利要求5所述的方法,其特征在于,还包括步骤E、所述目录服务器通知所述计费服务器根据提供业务情况进行计费;F、退出服务时,用户向目录服务器发出退出请求,停止相应P2P业务,所述目录服务器将通知所述计费服务器停止计费,同时删除用户相应条目。
7.根据权利要求6所述的方法,其特征在于,还包括步骤G、在服务进行过程中,所述目录服务器定期轮询目录服务器中用户状态,如果发现服务中途失败,则删除用户目录中相应的目录,并同时通知计费服务器停止计费。
8.根据权利要求7所述的方法,其特征在于,所述认证服务器定期轮询目录服务器中用户,查看服务进行情况。
9.根据权利要求7所述的方法,其特征在于,所述用户定期轮询用户目录中相应的用户条目,查看服务提供进行情况。
10.根据权利要求6至9任意所述的方法,其特征在于,所述步骤F还包括将退出情况通知给对端用户。
11.根据权利要求4至9任意所述的方法,其特征在于,所述步骤C的P2P业务还包括会话密钥交换、加密、数字摘要或签名。
12.根据权利要求4至9任意所述的方法,其特征在于,所述认证服务器的认证方式包括用户名密码、双因素、PAP、CHAP、证书强认证和生物认证的认证机制。
全文摘要
本发明提供了一种可运营的安全P2P业务系统,其包括联网的多个用户,其中,所述系统还包括认证服务器、目录服务器、计费服务器和用户资料库组件,各用户分别连接本网域内的认证服务器,通过所述认证服务器连接所述用户资料库和目录服务器,所述目录服务器与所述计费服务器通讯连接;所述认证服务器用于根据用户提供的相关请求资料和用户协商认证方式,并对用户进行认证;所述计费服务器用于根据用户使用不同服务的类型、时间和流量提供计费功能。本发明系统及实现方法由于采用新的P2P架构实现了P2P技术中监控和管理,同时实现了安全可运营管理,但又不影响P2P提供业务的性能,是一个安全的、可运营的P2P解决方案。
文档编号H04L12/14GK1859399SQ20061003269
公开日2006年11月8日 申请日期2006年1月4日 优先权日2006年1月4日
发明者位继伟, 落红卫, 李超 申请人:华为技术有限公司