专利名称:在分散式网络中控制网络元件的方法和装置的制作方法
在分散式网络中控制网络元件的方法和装置在现有技术中公知分散式网络,在该分散式网络中,所连接的网 络元件的主要部分给其它网络元件提供功能和业务而另一方面可以使 用由其它网络元件所提供的功能和业务,而不必为此设置中央控制实 体。换言之,所观察的网络元件相对于另一网络元件按具体情况据有 作为服务器的角色或作为客户端的角色。与分散式网络相连接的网络 元件在通用的客户端-服务器分类的界限中也经常被称为"对等体(Peer)"。因此,这种分散式网络也被称为对等(Peer-to-Peer ) 网络或者被简称为P2P网络。此外,分散式网络的概念界限一般不排除存在中央实体。分散式 网络或P2P网络的名称也涉及其中某些任务被转移到中央实体或服务 器上的混合形式的网络,只要在这些网络中没有维持通过其能管理两 个网络元件之间的任何通信关系的服务器。在分散式网络中不是由中央实体而是在单个网络元件之间提供业 务。例如,网络元件执行接入控制,并且向中央服务器申请所要求的 业务的计费,或者互相计算该计费。以下示范性地考察了以分布式散列表(Distributed Hash Table, DHT)的原理所组织的分散式网络,其中,资源可以分散地提 供使用。概念"资源"在此包括诸如信息、文件、业务等等的所有类 型的数据。为了构成分布式散列表而采用散列函数。将该散列函数应 用到资源上或者应用到密钥概念上提供了用于给资源加索引的明确的 散列值或索引值。一种用于将资源映射成数字索引值的其它的加索引方法提供了基 于应用平面曲线(空间填充曲线(Space Filling Curve) , SFC )的 所谓的SQUID算法。在所述类型的网络中,资源分散地被存储在那些网络元件中,这 些网络元件的"P2P地址,,(也就是例如由网络元件的IP地址(网际 协议(Internet Protocol))和端口号所构成的散列值)最好与资 源的索引值(例如搜索概念等等的散列值)一致。该分散式网络的网络元件通过数字签名和证书来证实自己和由其 所促使的数据交换。这些证书由值得信赖的中央认证机构(Certification Authority, CA )预先出具并作为资源被维持在分 散式网络中。
在于2004年1月29日交德国专利和商标局保管的申请中,已建 议一种用于在分散式网络中维持证书的方法,该申请的申请档案号为 10 2004 004 606. 9且题目为"Schaltungsanordnung und Verfahren zur Kommunikationssicherheit innerhalb vonKommunikationsnetzen (用于通信网之内的通信安全性的电路装置和 方法)",此外,该用于在分散式网络中维持证书的方法的特征还在 于,在持续运行中有利地不必要用于提供所制订的和所存储的证书的 服务器。
此外,有效证书的存在还用作由认证机构向有权限的网络元件所 发放的授权证明。有权限的网络元件例如是由进行付费的客户所使用 的计算机系统。在于2004年8月12日交欧洲专利局保管的申请中,已建议一种 用于撤销证书的方法,该申请的申请档案号为04019230. 4且题目为 "Verfahren zur Sicherstellung von Authentizitaet und/oder Vertraulichkeit in einem P2P-Netzwerk (在P2P网络中用于确保 真实性和/或保密的方法)"。该方法的特征在于,将证书撤销列表作 为资源维持在分散式网络中。
如果应将诸如网络元件的应用者简档的数据或者给缺席的网络元 件的消息作为资源引入分散式网络中,则必须由产生的网络元件对这 些数据进行数字式签名。网络元件为此计算出这些数据的索引值(例 如散列值),并且随后用私钥给该索引值进行签名,该私钥与来自网 络元件的证书的公钥相对应。因此,除了完整性保护之外也确保,只 有所授权的和所鉴权的网络元件可以在分散式网络中放置数据。
也可以为了进行计费而向收集站传输该数据组。为此,在于2004 年8月23日交德国专利和商标局保管的申请中,已提交了一种用于检 测结算数据的方法,该申请的申请档案号为10 2004 040 766. 5且题 目为 "Verfahren und Anordnung zur Vergebuehrung in einem dezentralen Netzwerk (用于在分散式网络中进行计费的方法和装 置),,。
如果一个网络元件想从另一个网络元件获得诸如外界的应用者简 档、为他所存储的消息等等的某些资源,则该网络元件必须提出已签 名的询问,以便进行授权和鉴权。该询问同样被用于进行计费。因此, 既能对网络进行接入控制又能进行涉及消费的计费。但是,这种分散式体系结构的缺点是能操纵分散式网络元件。尤 其是在纯基于软件的对等体中,通过研究和修改机器可读的软件指令或通过"反工程(Reverse Engineering),,能容易i也进行操纵。以 下示出了若干可能的恶意操纵1. 更换认证机构的"根证书"该操纵导致,用户利用相应被操 纵的对等软件建立了自己的并行网络。于是,与最初的网络的通信不 再可能。使用被操纵的对等软件情况下的该并行网络在数据交换方面 几乎与"合法的"网络不能区分。合法的对等软件的提供商可能采用网络元件,以便找出具有被操纵的对等软件的其它网络元件,并且对 于这些对等软件的用户启动法律步骤。为了找出被操纵的对等软件的 其它的源,提供商能找出在其上提供被操纵的软件的下载地址。2. 避开或去活计费功能对等体此外还将其数据和业务提供给第 三方使用,但是不产生计费信息或不转交这些计费信息。3. 避开或去活接入控制功能对等体将业务提供给第三方使用, 而不检验这些第三方的资格,也就是不执行对网络的接入控制,尽管 这些第三方可能无权接收业务。4. 避开或去活协议功能如果对等体获得无效询问或出现了其它 问题,则该对等体抑制了报警信息和记录信息的通知或者转发。记录 功能的关断本身不是网络的直接的损害,但是可以用于准备其它的操 纵。自动检测在这方面被操纵的对等软件是费事的,因为必须记录网 络元件的整个数据交换。在自己的网络元件上避开或去活计费功能(上述的第2点)和/或 避开或去活接入控制功能(第3点)给该网络元件的用户本身没有带 来自己的好处。但是,如果越来越多的用户使用了这样操纵的对等软 件,则计费和接入控制逐渐失效。因此,禁止这样操纵的对等软件关 系到对等网络运营商的合理利益。为此以可观的工作量适于,在分散 式网络中找出具有被操纵的对等软件的网络元件,撤销其证书,以及
对于其用户采取适当的措施。用于防止被操纵的软件的所有被阐述的对策的共同之处在于,仅 仅特别在大量采用调查人力措施的情况下才能采用这些对策。在现有 技术中,目前不公知用于采用未被授权的对等软件的可自动进行的对策。本发明的任务因而是,说明用于执行针对采用被操纵的对等软件 的对策的改善的措施,利用这些对策来避免从现有技术中公知的缺点。在具有权利要求1所述的特征的通信系统中,在其方法方面,通 过一种具有该权利要求所述的特征的方法,而在其装置方面,通过一种具有权利要求14所述的特征的网络元件,来实现该任务的解决方 案。此外,通过一种具有权利要求15所述的特征的计算机程序产品来 解决该任务。根据本发明的用于在分散式网络中控制网络元件的方法在第一步 设置通过第一网络元件来选出要控制的第二网络元件,在该分散式网 络中,网络元件中的至少一个笫一部分对于网络元件中的至少一个第 二部分至少临时提供了业务。在公知的对等任务分配的意义上,第一 网络元件是一种否则正常工作的网络元件,或者但是也是一种被判定 的(dezidiert)控制对等体,该控制对等体的任务在于例如循环控制 其它的网络元件或对等体。第二网络元件是要检验的网络元件。例如 按照一种循环的控制方案,或者在处理含有可疑工作的网络元件的列 表(黑名单)或也以抽样方式来实现第二网络元件的选择。此外,能 按照任何任意的准则来进行选择。在第二方法步骤中,实现要分配给 询问消息的参数的定义。这些参数是所模拟的参数,例如是第一网络 元件的为了所企图的控制目的而预定的发送者地址(虚构地址),该 发送者地址不一定必须与第一网络元件的实际的发送者地址一致。其 它的参数例如包括证书、询问签名、时间戳等等。在下一方法步骤中, 实现将如此定义的询问消息传送给第二网络元件,并且在最后的方法 步骤中,实现应答该询问消息的至少 一 个应答消息的分析。本发明方法的主要优点在于,根据本发明所建议的自动分析借助 询问消息和应答消息利用就地检验被操纵的对等软件而省去了迄今必 要的费时和费人力的特别措施。 由于进行控制的对等体是否则以通常的方式和等级工作的对等 体,所以为了转化本发明方法而有利地不需要改变网络的体系结构并 且不需要进一步干预其它网络元件的软件。在从属权利要求中说明了本发明的有利的扩展方案。借助以前被存储在第 一 网络元件中的参数和被包含在至少 一个应 答消息中的参数,以有利的方式来实现分析。该存储尤其是在以下进 一步阐述的具有有效参数的询问消息的改进方案中是适当的,以便基 于应答消息与询问消息的内容相比的内容来制订分析。本发明的有利的改进方案涉及具有诸如合乎规定的签名、证书、 时间戳等等的有效参数的询问消息的改进方案。进行控制的第 一 网络 元件有权实施这些询问并且期待相应合乎规定的应答。要控制的网络 元件将该询问消息视为合乎规定的,并且促使相应合乎规定的应答。 在被模拟地请求必须承担费用的业务时,对业务的计费是必要的。进 行控制的网络元件检查该合乎规定的计费,该计费能由收集站或计费 站来确认。如果第一网络元件没有得到有效的应答消息或者(在被模 拟地请求必须承担费用的业务的情况下)没有得到计费站的确认,则 以高概率已操纵了所检验的第二网络元件的对等软件。分析的结果在 这种情况下是否定的。如果网络中的数据传输是不可靠的,并且消息(UDP分组等等)可能丟失,则必要时应多次重复该检验。本发明的有利的改进方案涉及一种具有无效的或者有差错的参数 的询问消息的改进方案。有差错的参数例如是到期的和/或被撤销的和 /或无效的证书,或者是由在分散式网络中未被承认的其它认证机构所 出具的证书。此外,有差错的参数是错误的询问签名、具有到期的时 间戳的过时的询问等等。具有未被操纵的对等软件的正确工作的网络元件必须拒绝应答这 样的无效的询问消息。如果仍然应答了询问,则已找到了具有被操纵 的对等软件的网络元件。可是,如果不应答询问,则进行控制的第一 网络元件因此附加地检查,所测试的网络元件的报警消息是否在收集 站(例如所谓的"记录系统(Logging-System)")处出现。这种才艮 警消息的缺失能以相同方式表明被操纵的对等软件。如果可能丟失消 息,则这里必要时也能设置重复检验。以下借助附图
来详细阐述本发明的具有其它优点的实施例和改进 方案。附图在此示出了用于示意性描述分散式网络的结构图。分散式网络P2P包括一个第一网络元件PX以及两个其它的网络元 件P1、 P2。上述网络元件P1、 P2、 PX中的每一个均持有证书Cl、 C2、 CX。第一网络元件PX的证书CX在此为了控制目的能被调节或能被改变。第一和第二收集站SV1、 SV2要么(如所示的那样)被布置在分散 式网络P2P之外要么也(未示出)被布置在分散式网络P2P之内。现在从以下情况出发,即应该利用由进行检查的网络元件PX所促 使的合乎规定的询问消息VRQ ("有效请求(Valid Request ),,)来 检验要检验的网络元件Pl。所模拟的询问消息配备了有效的签名、有 效的证书CX、当前的时间戳等等。对于这里所假设的要检验的网络元件P1正确工作的情况,在紧随 此后的时刻,有效的应答消息VRP("有效应答(ValidResponse)") 到达进行检查的网络元件PX。进行检查的网络元件PX在给中央计费站 SV1的询问REQ中控制了对由要检验的网络元件所请求的业务的正确 计费。如果计费站SV1的表明正确计费的应答RSP到达,则有关要检 验的网络元件C1的分析的结果是肯定的。可选地向(未示出的)收集 站传输分析的结果。以下从下述情况出发,即应该利用由进行检查的网络元件PX所促 使的有差错的或者无效的询问消息IRQ ("无效请求(Invalid Request)")检验另 一要检验的网络元件P2。所模拟的询问消息IRQ 例如含有到期的和/或撤销的和/或无效的证书或者含有由在分散式网 络中未被承认的其它认证机构所出具的证书CX。此外,有差错的参数 是错误的询问签名、具有到期的时间戳的过时的询问等等。具有没有 被操纵的对等软件的正确工作的网络元件必须拒绝肯定地应答无效的 询问消息IRQ。在本情况下,假设在要检验的网络元件P2上运行被操纵的对等软 件,因此仍然用应答消息IRP ("无效应答(Invalid Response ),,) 来应答无效的询问消息IRQ。分析的结果因此是否定的,并且可选地被 传输给(未示出的)收集站。如果无效的应答消息没有达到,则进行控制的第 一 网络元件PX附
加地检查,所测试的网络元件的报警消息是否到达收集站(例如所谓 的"记录系统")。这种报警消息的缺失以相同方式表明了被操纵的 对等软件。利用本发明方法能在网络P2P中以抽样方式检验所有网络元件或 对等体P1、 P2。被操纵的对等体P2的分量越大,则越快速地找到这种 对等体P2。如果仅存在很少的被操纵的对等体P2,则发现概率虽然很 微小,但是这些对等体P2也造成更微小的损害,并且(视网络管理的 政策而定)可以暂时被容忍。
权利要求
1.用于在分散式网络(P2P)中控制网络元件(C1,C2,CX)的方法,在该分散式网络(P2P)中,网络元件中的至少一个第一部分(C1)对于网络元件中的至少一个第二部分(C2)至少临时提供业务,该方法包括以下步骤a)通过第一网络元件(CX)选出要控制的第二网络元件(C1,C2),b)定义要分配给询问消息(VRQ,IRQ)的参数,c)将所述询问消息(VRQ,IRQ)传送给所述第二网络元件(C1,C2),和d)分析应答所述询问消息(VRQ,IRQ)的至少一个应答消息(VRP,IRP,RSP)。
2. 按权利要求1所述的方法,其特征在于,在步骤b)中将所述参数存储在第一网络元件(CX)中,和 借助被存储在第一网络元件(CX)中的参数和被包含在至少一个应答消息(VRP, IRP, RSP)中的参数来实现在步骤d)中所实现的分析。
3. 按权利要求1或2之一所述的方法,其特征在于,在所述第一 网络元件(CX)上接收所述的至少一个应答消息(VRP, IRP, RSP)。
4. 按以上权利要求之一所述的方法,其特征在于,在所述分散式 网络(P2P)中的收集站(SV1, SV2)上,接收所述的至少一个应答消息。
5. 按以上权利要求之一所述的方法,其特征在于,在所述分散式 网络(P2P)中设立所述收集站(SV1, SV2),用于接受报警消息和/ 或计费信息和/或证书数据。
6. 按以上权利要求之一所述的方法,其特征在于,根据步骤b )来 实现对要分配给所述询问消息(VRQ)的参数的定义,以致制订了有效 的询问消息(VRQ)。
7. 按权利要求6所述的方法,其特征在于,所述参数包含有效签 名、有效证书和有效的时间戳。
8. 按权利要求6或7之一所述的方法,根据步骤d )由计费站(SV1 ) 检验第二网络元件(Cl)的有效应答消息(VRP)的到达和/或表明合 乎规定的计费的应答消息(RSP)的到达。
9. 按权利要求8所述的方法,评价所述控制的结果,并且将该结 果发送给收集站(SV2 )。
10. 按权利要求1、 3和5之一所述的方法,根据步骤b)来实现对 要分配给所述询问消息(IRQ)的参数的定义,以致制订无效的询问消 息(IRQ)。
11. 按权利要求IO所述的方法,所述参数包含无效的签名和/或无 效的证书和/或无效的时间戳。
12. 按权利要求10或ll之一所述的方法,根据步骤d)由计费站 (SV1)检验第二网络元件(C2)的应答消息(IRP)的到达和/或表明合乎规定的计费的应答消息(RSP)的到达。
13. 按权利要求10至12之一所述的方法,评价所述控制的结果, 并且将该结果发送给收集站(SV2)。
14. 网络元件(CX),其具有用于执行按以上权利要求之一所述的 方法的装置。
15. 计算机程序产品,如果该计算机程序产品在网络元件(CX)上 得到实施,则该计算机程序产品具有用于执行按以上权利要求之一所 述的方法的装置。
全文摘要
在诸如对等(P2P)网络的分散式网络中,不是由中央单元提供业务,而是在网络元件(对等体)之间提供业务。这些网络元件也执行接入控制并且向中央服务器申请所要求的业务的计费。根据本发明建议,通过适当的有效询问消息或无效的询问消息以抽样方式来监控,对等体是否履行其在计费和接入控制方面的任务。
文档编号H04L29/06GK101112066SQ200680003763
公开日2008年1月23日 申请日期2006年1月30日 优先权日2005年2月1日
发明者G·沃尔克曼, J·-U·巴瑟 申请人:诺基亚西门子通信有限责任两合公司