为了在包括提供网络(100)功能的普通对等端(0、7、10、15、20、28)的对等网络(100)内提供安全性,至少一个监视对等端(4、9、23)被添加到网络(100)中。所述至少一个监视对等端(4、9、23)在网络(100)内提供安全性,并且由管理对等端(0、4、7、9、10、15、20、23、28)的认证和定位的中央认证授权机构(110)进行认证。
【技术实现步骤摘要】
本专利技术涉及包括提供网络功能的普通对等端(peer)的对等网络。
技术介绍
对等网络基于计算能力、带宽以及其他资源,所述资源分布在 多个终端和对等端上。对等端是平等的成员,因此在对等网络中不 存在客户端和服务器架构。对等端在所谓的重叠网络中进行组织, 也即,对等端以路由/分支表(finger table)的形式维护一组到所有 其他对等端的链路。类似CHORD的结构化对等网络具有已定义的 结构,也即,它们的路由和查找表是已经定义好的。网络协议CHORD 基于分布式哈希表创建重叠网络拓朴。对等网络可以随着对等端数 量的增加而扩展,由此已定义的稳定化处理管理对等端的快速加入 或离开。由于对等网络的低成本、自配置、鲁棒性以及可扩展性, 对等网络被用于实现基于IP的语音(VoIP)以及多媒体解决方案。 开放、标准化、结构化以及自组织的对等网络形成了公共电信系统、 互联网上的协同/团体服务、语音/多媒体会议、即时消息、 一键通 (push-to-talk)应用、运营商和企业的信息/文件共享的基础。这些具有最低限度中心化基础设施的对等网络仍然存在若干未解决的安全问题。当今的对等网络架构或者根据限制分类,或者采用信誉机制来在对等端之间建立安全性和信任。在受限应用的情况下,软件代码被加密以防止以创建恶意代码为目的的滥用。网络架构和通信协议被阻止全面流传。信誉机制或者是基于用户的,其中对等端评价其他对等端;或者是基于事务的,其中基于某一对等端 与其他对等端已执行的所有事务来计算信任值。所述已建立的安全机制不能应用到开放、标准化的公共电信系统。受限应用要求封闭的系统,因为只有在将秘密保持为保密时,才能够保证安全。信誉 机制的使用被提出并进行了研究,但是其还不能解决安全威胁。用 于公共通信系统的、机器对机器的信誉系统必须基于对等端的事务 和消息行为,而不是基于用户的行为。在对等网络中实施的自组织机制创建了鲁棒的拓朴,并且确保 所存储数据的一致性。智能安全机制的使用应当保护对等端(也即, 网络参与者)、网络拓朴和所存储的数据以抵抗恶意对等端以及恶 意代码的流传。
技术实现思路
因此,本专利技术的一个目的是提供一种用于开放和标准化公共电 信系统的安全才几制。根据本专利技术,通过向对等网络添加至少一个监视(police)对等 端来实现此目的,其中所述至少一个监视对等端提供该网络内的安 全性,并且由管理对等端的认证和定位的中央认证授权机构所认证。该至少 一 个监视对等端作为授权系统的 一 个扩展分支工作,并 且其提供/或支持对等网络内的安全性。中央认证授权机构管理网络 内的监视对等端。不过这些监视对等端应当具有足够智能以独立运 行以及与其他监视对等端协作运行。监视对等端由类似认证授权机构的中央单元进行认证、创建和 布置。因此,所有的监视对等端可以被识别和验证,因为所有监视 对等端的证书是由中央认证授权机构签署的。监视对等端的数量由 中央认证授权机构管理。监视对等端可以进行如下操作.能够胜任网络内的任何角色以完成其任务;存储数据、转发消息);.能够被其他对等端请求以分析网络问题,诸如其他恶意对等端 的攻击;.分析情形并着手调查以定位恶意对等端,必要时与其他监视对等端协作;.通过附加的重叠网络相互连接以提供协作、安全数据存储和通信;.能够使恶意对等端从网络隔离,例如,通过撤回证书来实现; .应当是选择自一组具有保证的可靠性的对等端; .可以是代表中央单元执行的可扩展组的一部分,例如响应证书 验证请求;.可以是用于各种信任相关服务的对等端,例如引导程序对等端 和NAT遍历机制(TURN, STUN)。在本专利技术的一个优选实施方式中,4又在新对等端的加入过程期 间,对等端才与认证授权机构通信。认证授权机构仅在必须签署新 证书或者已有证书过期时才被涉及。所谓的混合方法降低了对认证 授权机构的要求,并且避免了中央认证授权机构对网络的可扩展性 的影响。为了确保网络内所有对等端的鉴定和认证,提出一种中心 化鉴定结构。在任何情况下,监视对等端自身必须由中央认证授权机构认证 和指派,如所提出的混合授权系统。这对于防止恶意对等端冒充监 视对等端是必须的,由于开放和标准化协议的特定要求,这在公共 电信系统中是有可能的。混合授权系统包括位于互联网中的认证授 权机构,用于管理对等端的认证和定位以及由监一见授权机构提供的 安全性。此监视授权机构由网络中的监视对等端表示,其作为认证 授权机构的 一 个扩展分支。优选地,对等网络具有结构化的重叠,例如网络协议CHORD所 提供的环形结构。本专利技术对等网络的进一步开发的特征在于,所述 至少 一个监视对等端的证书包含普通对等端的普通签名以及附加的 监视签名。这允许监视对等端暗中进行调查。在多个监视对等端添 加到网络中的情况下,监视对等端优选地在附加的重叠网络中相互 连接。本专利技术的范围还包括 一 种方法,用于在包括普通对等端的对等网络中提供安全性。至少一个监视对等端在网络内提供安全性,中 央认证授权机构管理对等端的认证和定位。从而,由该至少一个监 视对等端管理和/或执行本专利技术方法的三个步骤。在第一步骤,检查 可能的恶意对等端的功能。如果证实了该恶意对等端的危害,则在 第二步骤中,认证授权机构宣布该恶意对等端的证书无效,并且要 求该恶意对等端断开网络。如果该恶意对等端没有断开连接,则接 着在第三步骤中,其他所有对等端关闭它们与该恶意对等端的连接。 本专利技术方法的一个优选变型的特征在于,在第一步骤中,可能的恶 意对等端被多个监视对等端所包围。本专利技术的范围还包括一种实施本专利技术方法的计算机程序产品。 本专利技术进一 步的优点可以从说明书和附图中提炼。根据本专利技术,到的实施方式不应当理解为穷尽性列举,而是为了描述本专利技术而进 行的举例说明。附图说明本专利技术的对等网络以及本专利技术方法的步骤在附图中示出。其中:图1是新对等端加入期间的示例性对等网络;图2是新对等端加入之后的对等网络;图3是对等网络以及监视对等端的附加的重叠网络;图4是根据图3的示出了监视对等端功能的网络;图5是检查可能的恶意对等端期间的对等网络;以及图6a和图6b是执行恶意对等端隔离的对等网络。具体实施例方式图l示出了对等网络100,包括位于以环形结构布置的网络位置 处的对等端0、 4、 10、 15、 20、 23、 28。对等端0、 4、 7、 10、 15、 20、 23、 28的认证和定位由认证授权机构110管理。为了确保网络 100内所有对等端0、 4、 7、 10、 15、 20、 23、 28的鉴定和认证,提出一种中心化的混合鉴定结构。为了验证对等端0、 4、 7、 10、 15、 20、 23、 28的身份以及在对等端0、 4、 7、 10、 15、 20、 23、 28之 间建立信任,鉴定是必须的。提出一种混合方法以使对系统可扩展 性的影响最小化。这意味着仅在必须指派新的证书给对等端0、 4、 7、 10、 15、 20、 23、 28时,才请求中央认证授权机构100。如果新的 对等端7加入系统,或者已有的对等端O、 4、 10、 15、 20、 23、 28 需要新的证书,这是必须的。证书包含证书的有效期、对等端的位 置、认证授权机构110的公钥以及验证该证书的签本文档来自技高网...
【技术保护点】
一种对等网络(100),包括: 在所述网络(100)的结构化重叠中的普通对等端(0、7、10、15、20、28)以及至少一个监视对等端(4、9、23),该至少一个监视对等端(4、9、23)通过检查可能的恶意对等端(7)的功能来在网络( 100)内提供安全性,以及 中央认证授权机构(110),用于管理该网络(100)的结构化重叠中的对等端(0、4、7、9、10、15、20、23、28)的认证和定位。
【技术特征摘要】
EP 2007-11-5 07291326.21. 一种对等网络(100),包括在所述网络(100)的结构化重叠中的普通对等端(0、7、10、15、20、28)以及至少一个监视对等端(4、9、23),该至少一个监视对等端(4、9、23)通过检查可能的恶意对等端(7)的功能来在网络(100)内提供安全性,以及中央认证授权机构(110),用于管理该网络(100)的结构化重叠中的对等端(0、4、7、9、10、15、20、23、28)的认证和定位。2. 根据权利要求1所述的对等网络,其特征在于所述对等端(...
【专利技术属性】
技术研发人员:M皮尔,M托姆苏,A赫特莱,
申请(专利权)人:阿尔卡特朗讯,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。