技術領域

?本發明涉及一種互聯網的數據交換方法，特別是P2P網絡中對等用戶結點間安全的加密通信方法。

背景技術

P2P(Peer?to?Peer，點對點)網絡也被稱為對等網絡，與當前互聯網上常見的S／C(服務器／客戶端)模式相比，網絡中每個結點可以自由地加入或退出網絡，結點之間的關系都是對等的，各個結點間可以更好地共享資源。P2P網絡在用戶間的直接通信、文件交換以及分布計算方面都有廣泛的應用前景。

然而，P2P網絡是非中心化網絡，結點之間數據交換方便，資源分享頻繁，各個結點可以自由地加入或退出，病毒、木馬很容易通過網絡傳播，所以用戶數據在傳輸過程中遭遇竊聽、篡改、重放、中間人等多種攻擊。為了避免上述問題，需要一種安全的信息通信機制實現對P2P通信的安全保護。

在現有技術中，P2P的通信往往是數據明文傳輸，缺乏對數據的安全保護。已有的加密通信方法如SSL/TLS和IKE應用在P2P網絡傳輸上過于龐大復雜，并且SSL/TLS和IKE本身又有安全缺陷，容易遭到中間人攻擊。具體來說，SSL/TLS協議證書完全是明文傳輸，各戶節點的身份很容易被竊聽，IKE的nonce隨機數也是明文發送，容易被中間人截獲，因而迫切需要一套解決方案來保護端對端的數據傳輸。

目前對于P2P網絡用戶節點的認證已經提出了切實可行的方法，通過認證服務器對用戶頒發數字證書，認證時交換證書實現認證，可是沒有考慮認證后數據的安全傳輸。網絡用戶的認證歸根結底是為了實現數據的安全交換，所以非常需要一種能夠從認證開始，到數據的傳輸都能保障P2P網絡中對等用戶結點間的安全通信的方法。

發明內容

本發明所要解決的技術問題是為了克服P2P網絡中對等用戶結點通信中的安全問題，而設計出從認證開始到數據傳輸的安全通信方法。

本發明為解決上述技術問題，采用如下技術方案：

一種P2P網絡中對等用戶結點間的加密安全數據交換方法，包括如下步驟：

步驟1：網絡中任意兩個對等用戶結點A、B通過認證服務器登錄網絡獲取公鑰證書，證書由認證服務器的私鑰對用戶結點公鑰的數字簽名產生；

步驟2：用戶節點A向用戶節點?B發送用戶結點A的公鑰證書，結點B驗證結點A的公鑰證書獲得結點A的公鑰；

步驟3：用戶結點B向用戶結點A發送結點B的公鑰證書和隨機數N_B用結點A的公鑰加密，用戶結點A用自身私鑰解密用戶結點B發來公鑰證書和隨機數N_B，驗證結點B的證書獲得結點B的公鑰；

步驟4：用戶結點A向用戶結點B發送自身的隨機N_A，用B的公鑰加密，用戶結點B用自身的私鑰解密用戶結點A發來的隨機數N_A。

步驟5：結點A擁有自身的隨機數N_A和結點B發來的隨機數N_B，結點B擁有自身的隨機數N_B和結點A發來的隨機數N_A，應用加密算法用戶結點A和用戶結點B形成加密通道，進行數據加密傳輸。

所述的步驟1中，P2P網絡中對等用戶結點間的公鑰證書產生包括如下步驟：

步驟1-1：對于信任域的任意用戶結點先下載有認證服務器的公鑰，然后用戶結點在登錄時生成自身的公、私密鑰對，將其中的公鑰與登錄時所輸入的用戶名、密碼一起用認證服務器的公鑰加密，發送到認證服務器；????

步驟1-2：認證服務器用自身的私鑰解密所接收到的加密的用戶名、密碼信息后，核對登錄用戶結點的用戶名、密碼，核對成功則該用戶結點登錄成功；

步驟1-3：認證服務器用自身的私鑰對用戶結點的公鑰進行數字簽名，得到該用戶結點的公鑰證書；

步驟1-4：用戶結點的公鑰證書采用該用戶結點的公鑰加密后發送給該用戶結點，該用戶結點利用私鑰解密后保存所得到的公鑰證書。

所述步驟1-1中用戶結點在各次登錄時所生成的自身的公、私密鑰對互不相同。

所述的P2P網絡中對等用戶結點間的加密安全數據交換方法，其特征在于：所述步驟5所述加密算法為DH加密算法。

本發明實現了下列有益效果

1、本發明提出了對等用戶建立安全通信的方法，不僅僅建立互相的認證，還考慮了通信過程中的加密傳輸。

2、將認證和加密通信的建立緊密地結合起來，通過認證獲得的對方公鑰，立即用于加密通道的建立。