CN102857497B - 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法 - Google Patents

基于cdn和p2p的混合型内容网络的用户接入系统及认证方法 Download PDF

Info

Publication number
CN102857497B
CN102857497B CN201210284447.7A CN201210284447A CN102857497B CN 102857497 B CN102857497 B CN 102857497B CN 201210284447 A CN201210284447 A CN 201210284447A CN 102857497 B CN102857497 B CN 102857497B
Authority
CN
China
Prior art keywords
certificate
sub
client
domain
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210284447.7A
Other languages
English (en)
Other versions
CN102857497A (zh
Inventor
肖建
孟庆康
刘威
刘建飞
文斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201210284447.7A priority Critical patent/CN102857497B/zh
Publication of CN102857497A publication Critical patent/CN102857497A/zh
Application granted granted Critical
Publication of CN102857497B publication Critical patent/CN102857497B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及网络接入及认证技术,其公开了一种基于CDN和P2P的混合型内容网络的用户接入系统,保证在复杂的网络环境下用户接入的合法性,以及数据传输的安全性和完整性。该系统包括:主域节点、子域节点和客户端三个部分,在主域节点中设立了证书签发机构CA,用于签发子域证书和对子域证书进行鉴权和管理,在子域节点中设立了证书签发机构MCA,用于签发客户端证书和对客户端证书进行鉴权和管理,子域节点和主域节点之间通过子域证书的鉴权完成接入认证,客户端和子域节点之间通过客户端证书的签权完成接入认证。本发明适用于混合内容网络。

Description

基于CDN和P2P的混合型内容网络的用户接入系统及认证方法
技术领域
本发明涉及网络接入及认证技术,具体的说,是涉及一种基于CDN(内容分发网络)和P2P(对等)的混合型内容网络的用户接入系统及接入认证方法。
背景技术
P2P与CDN技术的融合,造就一种新的混合型内容网络,这种网络一方面可以互补自身先天计算模型的缺陷,对CDN或者P2P传统架构进行改造;一方面P2P的扩展能力和CDN的可靠性、可管理性也可完美结合。这两方面都为实现一个能够承载电信级超大规模内容分发传送应用的内容分发平台提供了机会。
在这种复杂的混合网络中,如何保证合法用户能安全接入,阻止非法用户优先或越权接入网络,以及如何保证传送的数据的完整性,成为网络平台运营商必须考虑到的技术难题。
发明内容
本发明所要解决的技术问题是:提出一种基于CDN和P2P的混合型内容网络的用户接入系统及认证方法,保证在复杂的网络环境下用户接入的合法性,以及数据传输的安全性和完整性。
本发明解决上述技术问题所采用的方案是:基于CDN和P2P的混合型内容网络的用户接入系统,包括:
主域节点,通过设立证书签发机构CA,签发子域证书、对各个子域证书进行鉴权和管理,通过识别、验证子域及接入网络的身份,并对子域证书进行签名,以确保证书持有者的身份和公钥的拥有权;
子域节点,通过设立证书签发机构MCA,签发客户端证书、对各个客户端证书进行鉴权和管理,通过识别、验证客户端的身份,并对客户端证书进行签名,以确保证书持有者的身份和公钥的拥有权;
客户端,向子域节点进行注册,获取子域节点签发的客户端证书,此后,在向子域节点服务器申请资源时,首先向子域节点的证书签发机构MCA提供自身的客户端证书,由MCA鉴权客户端证书信息,记录该客户端的相关信息,并提供资源文件的下载地址;或,该客户端以P2P的方式从其它客户端处获取相应资源。
进一步,所述子域证书中包括了子域节点的相关信息:节点名、接入时间、有效期、签名算法、资源发布的权限。
进一步,所述主域节点对子域证书进行鉴权的内容包括:验证证书是否为自己签发、验证证书的有效性、验证此证书是否拥有某项资源或服务的权限。
进一步,所述主域节点对子域证书进行管理包括了对该子域证书的吊销管理:如果主域节点需要吊销某一子域节点,CA会向整个网络的所有子域节点发送吊销列表,吊销列表里包含了主域节点吊销子域节点的名单,各子域节点在收到吊销列表后,即可知道主域节点是否同意子域节点的网络接入,已吊销的子域节点服务器如果向主域节点申请某一资源或服务,则主域节点会不予受理;且若某一子域节点的子域证书被吊销,则该子域下的所有客户端均被吊销,将无法使用系统的资源。
进一步,所述主域节点对子域证书进行签名的具体方式为:当主域节点向各子域节点发布资源或服务,对发布的资源全部或某一部分做MD5或SHA1计算,获得计算值MD,并通过数字签名算法的私钥对MD加密处理,完成对数据的合法签名。
进一步,所述子域节点的证书签发机构MCA根据该子域节点的子域证书和私钥生成客户端证书。
进一步,所述客户端证书中包括了客户端的相关信息及拥有权限,所述客户端的相关信息包括:该客户端的地址、端口、申请资源的情况。
进一步,所述子域节点对客户端证书进行管理包括了对该客户端证书的吊销管理:子域节点的证书签发机构MCA向各个客户端发送吊销列表,吊销列表里包含了相应客户端的客户端证书信息,各个客户端收到吊销列表后,会记录被吊销的客户端证书信息;如果被吊销的客户端向子域节点服务器申请某一资源或服务,则子域节点服务器会不予受理;如果被吊销的客户端向其所在子域的其它客户端申请资源,其它客户端会检查吊销列表里是否包含申请资源的客户端的相关信息,当检查到该申请资源的客户端的相关信息处于吊销列表中时,不予向该客户端提供资源。
本发明的另一目的,还在于提出一种基于CDN和P2P的混合型内容网络的用户接入认证方法,该方法包括以下步骤:
a.子域节点与主域节点之间的认证:
a1.主域节点的证书签发机构CA向子域节点签发包括子域节点相关信息的子域证书;
a2.当子域节点需要获取某一资源时,向主域节点发出申请,并向证书签发机构CA提供自身的子域证书;
a3.证书签发机构CA对该子域证书进行鉴权;
a4.在鉴权通过后,主域节点向该子域节点传送资源;
b.客户端与子域节点之间的认证:
b1.客户端向子域节点注册,由子域节点的证书签发机构MCA根据其子域证书和私钥生成包括客户端相关信息的客户端证书,签发给相应客户端;
b2.当客户端需要获取某一资源时,向子域节点发出申请,并向证书签发机构MCA提供自身的客户端证书;
b3.证书签发机构MCA对该客户端证书进行鉴权;
b4.在鉴权通过后,子域节点向该客户端提供资源的下载地址或由该客户端从该子域内的其它客户端处以P2P的方式获取相应资源。
进一步,在步骤a4中,在鉴权通过后,为保证资源传输的完整性和安全性,在向该子域节点传送资源前,对资源的全部或部分做MD5或SHA1计算,获得计算值MD,并通过数字签名算法对计算值MD进行加密处理生成签名值,将这个签名值连同资源数据一起传送给子域节点,子域节点在接收到资源数据和签名值后,利用公钥解密签名值,还原出计算值MD,并对资源数据做相应的MD5或SHA1计算得到计算值MD1,比较MD1和MD,只有当二者相同时,才说明子域节点接收到的资源数据是完整有效的。
本发明的有益效果是:可以方便、有效、安全、  合理地实现在各种环境下,CDN,P2P混合网络的用户接入,防止数据的丢失,保证数据传输的完整性和安全性。
附图说明
图1为本发明中的用户接入系统构架示意图。
具体实施方式
从具体实施上来讲,本发明中的基于CDN和P2P的混合型内容网络的用户接入系统,包括:主域节点(中心网络)、子域节点(边缘网络)和客户端三大部分;其中,
主域节点,通过设立证书签发机构CA,签发子域证书、对各个子域证书进行鉴权和管理,通过识别、验证子域及接入网络的身份,并对子域证书进行签名,以确保证书持有者的身份和公钥的拥有权;
子域节点,通过设立证书签发机构MCA,签发客户端证书、对各个客户端证书进行鉴权和管理,通过识别、验证客户端的身份,并对客户端证书进行签名,以确保证书持有者的身份和公钥的拥有权;
客户端,向子域节点进行注册,获取子域节点签发的客户端证书,此后,在向子域节点服务器申请资源时,首先向子域节点的证书签发机构MCA提供自身的客户端证书,由MCA鉴权客户端证书信息,记录该客户端的相关信息,并提供资源文件的下载地址;或,该客户端以P2P的方式从其它客户端处获取相应资源。
CA是子域证书的签发机构,它是PKI的核心,负责签发子域证书、认证各个子域证书、管理已颁发子域证书的机关,它要制定政策和具体步骤来识别、验证子域及接入网络的身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。因为整个系统是分布式的网络架构,不同的地域的网络根据网络接口协议都可以接入到中心网络,本地域的网络就如同是CDN的边缘节点,中心网络即主域把资源或服务分发到各个子区域,各子域的CDN边缘节点负责本地客户端就近访问某种资源或服务。
各子域节点在接入到中心网络之前,为了合理有效的管理某子域的节点,CA会向各子域节点颁发子域证书(二级证书),子域证书里是有关CDN边缘节点的相关信息,比如节点名,接入时间,有效期,签名算法,资源发布的权限等,当中心网络向各边缘节点(子域)发布某一资源或服务的时候,CDN边缘节点为了获得相应的资源或服务时候会向中心网络提出申请,并向CA提供自己的子域证书,CA收到证书后即对证书鉴权,鉴权内容有:验证证书是否是自己签发,验证证书的有效性,此证书是否拥有某项资源或服务的权限等。如果CA验证通过后,中心网络就可以把资源或服务下发到子域的边缘节点,这样就实现网络的接入和认证。如果中心网络需要吊销某一边缘节点,CA会向整个网络的边缘节点发吊销列表,吊销列表里包含了中心网络吊销边缘节点的名单,各边缘节点收到吊销列表,即可知道中心网络是否同意边缘节点接入,已吊销的边缘节点服务器如果申请中心网络某一资源或服务时候,中心网络会不予受理。
中心网络资源或服务签名认证过程:
为了防止中心网络的资源或服务在传输过程中被第三方截取,篡改,需要对中心网络发布的资源或服务做数字签名具体数字签名过程如下:
当中心网络向各子域发布资源或服务,需要对发布的资源全部或某一部分做MD5或SHA1计算,获得计算值MD是边缘节点服务器验证数据是否完整的凭证,为了保护这个计算值MD,通过数字签名算法(比如RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir)的私钥对计算值加密处理,完成对数据的合法“签名”。这个签名值连同发送的数据一起传给边缘服务器节点,
边缘节点服务器节点利用公钥解密签名值得到MD,这个MD与发送的数据做MD5或SHA1计算的值MD1比较,如果相同,确定发送的资源数据时完整有效的。
客户端接入边缘节点服务器的认证过程:
客户端的资源访问可以通过两种方式获得:一从边缘节点服务器提供的资源访问,二从其他客户端已经拥有的资源去访问,因此客户端如果要有效合理的分配,访问资源,防止非法用户接入,也需要对合法用户认证授权。
客户端与边缘节点之间的认证方式如下:
各边缘节点建立客户端证书签发机构MCA,负责签发客户端证书、认证各个客户端证书、管理已颁发客户端证书的机关,它要制定政策和具体步骤来验证、识别客户端,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
由于各边缘服务器节点都拥有中心网络签发的二级证书(SecondCRT),PrivateKEY(密钥),根据SecondCRT,PrivateKEY生成客户端证书(三级证书)。合法客户端如果要接入网络获取资源都需要获得MCA颁发的客户端证书,通过这个客户端证书来识别客户端的合法性,是否有效,拥有的各种获取资源的权限,或者P2P方式转发下载上传数据的权限等。
下面分步说明具体实现过程:
1、客户端注册
客户端如果在本地域内申请某种资源,需要向本地边缘节点服务器注册,本地边缘节点服务器的MCA会向客户端发放客户端的软件证书,注明客户端相关信息,及拥有相关权限。
2、客户端认证
客户端申请向边缘服务器申请某种资源文件,申请前会向MCA提供自己的证书,MCA鉴权证书的信息,并记录客户端相关信息,比如地址,端口,申请资源文件的相关情况,并提供资源文件的下载地址,或P2P方式拥有客户端需要资源的其他客户端信息的链表。
3、客户端吊销
子域节点的吊销:如果中心网络吊销某一节点,那么这一节点下面的客户端用户都会被吊销,首先,中心网络向各子域发送吊销列表,吊销列表里包换吊销子域的二级证书,如果边缘节点收到吊销列表,并确认吊销列表里包含了该子域的二级证书,那么该二级证书将会自动被吊销,该域所在的MCA也将会被吊销,MCA也就不会颁发客户端证书(三级证书),也不会鉴权证书信息,因此该域的客户端都将会被吊销,不能使用系统的资源。
具体某个客户端的吊销:如果需要在该区域内吊销某一客户端,MCA可以向各个客户端发放软件证书吊销列表,列表里包含了客户端证书信息,各个客户端收到吊销列表后,会记录吊销的客户端证书信息。如果有吊销列表的客户端向其他客户端申请资源时候,其他客户端会检查吊销列表里是否包含客户端的相关信息,以判断是否向该客户端提供该资源;即如果申请资源的客户端的相关信息在吊销列表中,那么说明该客户端已经被吊销,则其它客户端就不会向该客户端提供相应资源。

Claims (9)

1.基于CDN和P2P的混合型内容网络的用户接入系统,其特征在于,包括:
主域节点,通过设立证书签发机构CA,签发子域证书、对各个子域证书进行鉴权和管理,通过识别、验证子域及接入网络的身份,并对子域证书进行签名,以确保证书持有者的身份和公钥的拥有权;
子域节点,通过设立证书签发机构MCA,签发客户端证书、对各个客户端证书进行鉴权和管理,通过识别、验证客户端的身份,并对客户端证书进行签名,以确保证书持有者的身份和公钥的拥有权;
客户端,向子域节点进行注册,获取子域节点签发的客户端证书,此后,在向子域节点服务器申请资源时,首先向子域节点的证书签发机构MCA提供自身的客户端证书,由MCA鉴权客户端证书信息,记录该客户端的相关信息,并提供资源文件的下载地址;或,该客户端以P2P的方式从其它客户端处获取相应资源;
所述主域节点对子域证书进行管理包括了对该子域证书的吊销管理:如果主域节点需要吊销某一子域节点,CA会向整个网络的所有子域节点发送吊销列表,吊销列表里包含了主域节点吊销子域节点的名单,各子域节点在收到吊销列表后,即可知道主域节点是否同意子域节点的网络接入,已吊销的子域节点服务器如果向主域节点申请某一资源或服务,则主域节点会不予受理;且若某一子域节点的子域证书被吊销,则该子域下的所有客户端均被吊销,将无法使用系统的资源。
2.如权利要求1所述的基于CDN和P2P的混合型内容网络的用户接入系统,其特征在于,所述子域证书中包括了子域节点的相关信息:节点名、接入时间、有效期、签名算法、资源发布的权限。
3.如权利要求1或2所述的基于CDN和P2P的混合型内容网络的用户接入系统,其特征在于,所述主域节点对子域证书进行鉴权的内容包括:验证证书是否为自己签发、验证证书的有效性、验证此证书是否拥有某项资源或服务的权限。
4.如权利要求1或2所述的基于CDN和P2P的混合型内容网络的用户接入系统,其特征在于,所述主域节点对子域证书进行签名的具体方式为:当主域节点向各子域节点发布资源或服务,对发布的资源全部或某一部分做MD5或SHA1计算,获得计算值MD,并通过数字签名算法的私钥对MD加密处理,完成对数据的合法签名。
5.如权利要求1或2所述的基于CDN和P2P的混合型内容网络的用户接入系统,其特征在于,所述子域节点的证书签发机构MCA根据该子域节点的子域证书和私钥生成客户端证书。
6.如权利要求1或2所述的基于CDN和P2P的混合型内容网络的用户接入系统,其特征在于,所述客户端证书中包括了客户端的相关信息及拥有权限,所述客户端的相关信息包括:该客户端的地址、端口、申请资源的情况。
7.如权利要求1或2所述的基于CDN和P2P的混合型内容网络的用户接入系统,其特征在于,所述子域节点对客户端证书进行管理包括了对该客户端证书的吊销管理:子域节点的证书签发机构MCA向各个客户端发送吊销列表,吊销列表里包含了相应客户端的客户端证书信息,各个客户端收到吊销列表后,会记录被吊销的客户端证书信息;如果被吊销的客户端向子域节点服务器申请某一资源或服务,则子域节点服务器会不予受理;如果被吊销的客户端向其所在子域的其它客户端申请资源,其它客户端会检查吊销列表里是否包含申请资源的客户端的相关信息,当检查到该申请资源的客户端的相关信息处于吊销列表中时,不予向该客户端提供资源。
8.基于CDN和P2P的混合型内容网络的用户接入认证方法,其特征在于,包括以下步骤:
a.子域节点与主域节点之间的认证:
a1.主域节点的证书签发机构CA向子域节点签发包括子域节点相关信息的子域证书;
a2.当子域节点需要获取某一资源时,向主域节点发出申请,并向证书签发机构CA提供自身的子域证书;
a3.证书签发机构CA对该子域证书进行鉴权;
a4.在鉴权通过后,主域节点向该子域节点传送资源;
b.客户端与子域节点之间的认证:
b1.客户端向子域节点注册,由子域节点的证书签发机构MCA根据其子域证书和私钥生成包括客户端相关信息的客户端证书,签发给相应客户端;
b2.当客户端需要获取某一资源时,向子域节点发出申请,并向证书签发机构MCA提供自身的客户端证书;
b3.证书签发机构MCA对该客户端证书进行鉴权;
b4.在鉴权通过后,子域节点向该客户端提供资源的下载地址或由该客户端从该子域内的其它客户端处以P2P的方式获取相应资源。
9.如权利要求8所述的基于CDN和P2P的混合型内容网络的用户接入认证方法,其特征在于,在步骤a4中,在鉴权通过后,为保证资源传输的完整性和安全性,在向该子域节点传送资源前,对资源的全部或部分做MD5或SHA1计算,获得计算值MD,并通过数字签名算法对计算值MD进行加密处理生成签名值,将这个签名值连同资源数据一起传送给子域节点,子域节点在接收到资源数据和签名值后,利用公钥解密签名值,还原出计算值MD,并对资源数据做相应的MD5或SHA1计算得到计算值MD1,比较MD1和MD,只有当二者相同时,才说明子域节点接收到的资源数据是完整有效的。
CN201210284447.7A 2012-08-10 2012-08-10 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法 Active CN102857497B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210284447.7A CN102857497B (zh) 2012-08-10 2012-08-10 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210284447.7A CN102857497B (zh) 2012-08-10 2012-08-10 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法

Publications (2)

Publication Number Publication Date
CN102857497A CN102857497A (zh) 2013-01-02
CN102857497B true CN102857497B (zh) 2015-07-15

Family

ID=47403691

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210284447.7A Active CN102857497B (zh) 2012-08-10 2012-08-10 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法

Country Status (1)

Country Link
CN (1) CN102857497B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104348798B (zh) * 2013-07-31 2019-03-15 深圳市腾讯计算机系统有限公司 一种分配网络的方法、装置、调度服务器和系统
CN106685710B (zh) * 2016-12-21 2019-11-05 海南大学 一种基于中间件的服务失败迁移方法
CN110324290B (zh) * 2018-03-30 2022-02-01 贵州白山云科技股份有限公司 网络设备认证的方法、网元设备、介质及计算机设备
CN115150112B (zh) * 2021-03-31 2024-04-19 贵州白山云科技股份有限公司 一种安全认证方法、装置、系统、介质及设备
CN114268632B (zh) * 2021-11-08 2024-06-25 北京中合谷投资有限公司 一种服务广电网络的混合cdn业务构架和方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
姚一兆.数字证书认证系统的设计与实现.《上海交通大学硕士学位论文》.2011,第11-16页. *
王洁.基于Apache的数字证书中心分析与设计.《信息工程大学硕士学位论文》.2008,第8-10页. *

Also Published As

Publication number Publication date
CN102857497A (zh) 2013-01-02

Similar Documents

Publication Publication Date Title
US10027670B2 (en) Distributed authentication
US20100138907A1 (en) Method and system for generating digital certificates and certificate signing requests
US20090240941A1 (en) Method and apparatus for authenticating device in multi domain home network environment
US7461250B1 (en) System and method for certificate exchange
CN102823217B (zh) 证书机构
US7822974B2 (en) Implicit trust of authorship certification
US20100154040A1 (en) Method, apparatus and system for distributed delegation and verification
CN105577665A (zh) 一种云环境下的身份和访问控制管理系统及方法
KR20040013668A (ko) 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법
CN102984045B (zh) 虚拟专用网的接入方法及虚拟专用网客户端
CN105324976A (zh) 使用简单证书注册协议和相应的管理应用将证书注册到设备的方法
CN102857497B (zh) 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法
CN111756530B (zh) 量子服务移动引擎系统、网络架构及相关设备
CN108234119B (zh) 一种数字证书管理方法和平台
WO2008002081A1 (en) Method and apparatus for authenticating device in multi domain home network environment
CN108683506B (zh) 一种数字证书申请方法、系统、雾节点和证书授权中心
CN114598455A (zh) 数字证书签发的方法、装置、终端实体和系统
CN114157432A (zh) 数字证书获取方法、装置、电子设备、系统和存储介质
CN101296230A (zh) 基于PKI和PMI的Web服务安全控制机制
CN109728901B (zh) 数字签名认证方法、装置和系统
CN114092092B (zh) 基于门限签名的去中心化的数字证书管理系统及使用方法
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
JP2005348164A (ja) クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム
JP5012574B2 (ja) 共通鍵自動共有システム及び共通鍵自動共有方法
CN107172172B (zh) 一种IaaS系统中的通信方法及其系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant