技術領域

本發明涉及通信領域，更具體的涉及一種保障對等網絡(Peer-to-Peer，簡稱P2P)數據安全的方法及系統。

背景技術

P2P網絡是一種在IP網絡之上的應用層的分布式網絡，網絡的參與者即對等節點(peer)共享所擁有的一部分硬件資源。P2P網絡中的這些共享資源提供的服務和內容可以提供給P2P網絡中的節點，節點進行網絡訪問時不需要經過P2P網絡外的其它中間實體。P2P網絡中的對等節點既是資源提供者，又是資源獲取者。

數據傳輸安全是指為保證網絡中數據傳輸的安全(包括保密性、可用性等)，在發送端和接收端分別對消息進行加密和解密。其中涉及到的內容包括：加解密算法的選擇、密鑰協商、密鑰更新、密鑰撤銷等。

P2P數據安全的典型方案如：

(1)Internet工程任務組(Internet?Engineering?Task?Force，簡稱IETF)的P2P會話發起協議(Session?Initiation?Protocol，簡稱SIP)工作組在其草案(draft-ietf-p2psip-base-08)中，綜合采用證書認證機制和傳輸層安全/數據報傳輸層安全(Transport?Layer?Security/Datagram?Transport?Layer?Security，簡稱TLS/DTLS)協議機制實現P2P數據傳輸安全。TLS/DTLS機制是指：在需要安全數據傳輸的任意兩個節點之間分別建立TLS安全通信信道。TLS/DTLS機制不能適應P2P網絡的動態變化，在節點頻繁變化的P2P網絡環境下，需要經常進行TLS連接的拆除和建立，這樣會影響會話時延，并且，TLS不能根據網絡中節點狀態及時做出調整，無法對網絡的整體安全狀況進行實時管理和控制，不能適應大規模組網的需求。

(2)基于對等網絡的大規模視頻安全組播協議(P2P-SMP)。該協議將密鑰更新消息嵌于流調度協議在節點間通過接力的方式傳遞，不需構建專門的密鑰分發網絡。但該方案僅適用于流媒體組播場景，不具有廣泛適用性。

P2PSIP工作組提出的數據安全方案綜合利用了預分配密鑰的管理方式以及兩點之間直接協商密鑰的管理方式。通過證書認證機制實現節點公鑰的預先分配，為下一步機密資料傳輸做準備。TLS/DTLS方案實現在兩個節點之間直接協商密鑰，具有靈活易部署的優點。但上述方案無法對整個P2P網絡的安全狀況進行監控和管理。

發明內容

本發明要解決的技術問題是提供一種在P2P網絡中建立公共安全通道以實現數據傳輸安全的方法和系統，提高P2P網絡的安全性以及可管理性。

為了解決上述技術問題，本發明提供了一種保障對等網絡數據安全的方法，包括：屬于同一公共安全通道的對等網絡節點間進行信息交互時均使用與此公共安全通道對應的同一密鑰。

進一步地，上述方法還可以具有以下特點：

節點在初始化過程中獲取節點證書后，完成在密鑰管理服務器上的密鑰初始化過程，所述密鑰初始化過程包括：所述節點向密鑰管理服務器發送密鑰初始化請求消息，攜帶節點標識和所述節點支持的加密算法集；所述密鑰管理服務器收到所述密鑰初始化請求消息后，對所述節點進行登記。

進一步地，上述方法還可以具有以下特點：

在所述密鑰初始化過程中，所述節點在所述密鑰初始化請求消息中還攜帶節點請求加入的公共安全通道的標識和/或節點是否需要作為主節點建立公共安全通道的信息；所述密鑰管理服務器根據所述節點的節點證書判斷所述節點是否有權限加入所述節點請求加入的公共安全通道或者所述節點是否有權限作為主節點建立公共安全通道，并將判斷結果通知至所述節點。

進一步地，上述方法還可以具有以下特點：

所述密鑰管理服務器獲知所述節點的節點證書的方式是以下方式中的一種：所述節點在所述密鑰初始化請求消息中攜帶節點證書，或者，所述密鑰管理服務器向證書服務器獲取所述節點的節點證書。

進一步地，上述方法還可以具有以下特點：

具有作為主節點建立公共安全通道權限的節點在加入對等網絡后需要建立公共安全通道時，向所述密鑰管理服務器發送公共安全通道建立請求消息，所述密鑰管理服務器驗證所述節點的節點證書有效后，創建公共安全通道并為此公共安全信道生成對應的密鑰，將此公共安全通道的標識及密鑰通知至所述節點。

進一步地，上述方法還可以具有以下特點：