TWI221979B

TWI221979B - Secured and access controlled peer-to-peer resource sharing method and apparatus

Info

Publication number: TWI221979B
Application number: TW092105336A
Authority: TW
Inventors: Brian D Goodman; John W Rooney; Ramesh Subramanian; William C Sweeney
Original assignee: Ibm
Priority date: 2002-03-15
Filing date: 2003-03-12
Publication date: 2004-10-11
Also published as: US20070016655A1; CN100542166C; KR20040089664A; JP4363520B2; US7475139B2; JP2005521143A; WO2003079635A1; KR100702427B1; TW200401201A; AU2003207337A1; CN1762138A; IL164065A0; US20030177186A1; CA2477197A1; US7120691B2

Description

1221979 玫、發明說明：與相關申請案之交互參照本申請案於發明人於提出本申請案之同日所提出之「CENTRALLY ENHANCED PEER-TO-PEER RESOURCE SHARING METHOD AND APPRATUS」（序號_，目前_)有關，且與此一同轉讓予國際商務機器公司。部份著作權放棄聲明本專利申請案中之所有内容均受美國及其他國家之著作權法的著作權保護。從本申請案之第一有效提出日期開始，其内容即以未出版内容之形式受到保護。然而，著作權所有人特此同意在下列情況下，允許複製本内容：任何專利文件說明或專利揭示人員將本申請案之内容傳真複製，若出現於美國專利與商標局之專利檔案或記錄中，則著作權所有人無異議，但除此之外保留任何其他著作權權利。【發明所屬之技術領域】本發明與點對點網路領域有關。【先前技術】一直到最近為止，全球性或其他大型組織在發佈公司資料與内容時，都是藉由集中式内容資料貯藏庫來複製及發佈此種資料與内容。也就是說，資料係於全球散佈，但吾人使用一集中式伺服器，負責向某一地理區域位置内的客戶端伺服内容資料，俾使該資料可該位置内取得。點對點（P2P)計算的出現已改變了此種途徑。重點已從 83843 1221979 將内容資料儲存於集中式伺服器，並從該處伺服」轉變為「將至少部份的内容資料儲存於用戶端，並從該處伺服」。在此P2P模型中，内容資料提供者管理本地用戶端的内容資料，並與任何取用該内容資料的用戶分享内容資料。在此模型中，&容資料的建立、儲存與安全性均倚賴於用戶端。 /匕種P2P途徑有幾項《。將内容資科的責任轉移到用戶端’伺服器端對各種資源管理可以大幅減少。飼服器管理者不需要負責内容資料的完整性。這樣可以避免由^内容資料的集中式發佈而引起的問題。點對點資源分享系、統的架構至少有三種途徑。具有集中式的P2P、不含集中式控制的純P2P，以及混合這兩種方式之某些方面的混合途徑。具有集中式控制器之P2P的範例之―，是—個叫做他卿的系統。Napster系統使用—部中央㈣器來維護—份連線用戶端的清單。矣^ _阳匕上山、击Μ π丨丄 _ 母用戶^連、、泉到中央伺服器，中央伺服器則掃描用戶端的磁碟，以尋找、 ^ 寸代，、予貝源，並維護共享資源的目錄與索引。搜暴| 一咨、杲貝7原的用戶端會在中央伺服器維護的目錄和索引中勒彡、中執仃搜* ° —旦用戶端曉得到哪裡尋找它要搜寻的資源（亦即哪一用白 V J Ρ丨用戶崎擁有它尋找的檔案），它會直接連線到適當的用戶端，並傳輸資源。

Napster並非以網路a其枯备為基％，也不在瀏覽器中執行。它是 -個獨立的應用程式’在各用戶端執行，並使用簡㈣行資料通訊與資料傳輸。由於Nap伽主要是依靠充當資料 83843 1221979 收集者與調節者的中央伺服器，因此不保證用戶端的匿名性。若中央伺服器故障，則Napster系統也很脆弱。不含集中式控制之純P2P良好範例之一，是一個叫做 Gnutella的系統。Gnutella是一個通稱，用來識別使用 Gnutella通訊協定的P2P系統。然而，以Gnutella為基礎的系統中呈現出某些共同的要素。其中最主要的是Gnutella不使用中央伺服器。在此系統中，每一個用戶端都會偵測系統中已知的用戶端，不斷地追蹤其他的用戶端。分散式搜尋會從一個用戶端傳播到最接近的鄰居，範圍不斷地擴大，直到找到答案，或搜尋逾時為止。搜尋回應將以同樣的方式傳回搜尋者。以Gnutella為基礎的系統就像Napster—樣，也不以網路為基礎，而且是以用戶端環境中之應用程式的形式執行。 Gnutella是真正的匿名式資源分享系統。該系統中不使用任何伺服器來協助搜尋，用戶端必須建立直接點對點形式的同類端點資訊。搜尋者不知道回應者的身份，反之亦然。因此並沒有身份確認和權限檢查，暗中已假定對彼此的信任。以Gnutella為基礎的系統有一個嚴重的問題，亦即它們是出了名地不穩定。由於缺少可記錄哪些用戶端有連線，哪些則否的中央伺服器’故用戶端無法得知它的鄰居是否都有回應且正在連線。這樣會導致效能不可靠。 P2P系統的第三條途徑稱為web Mk。與其說它是一個參際的產品，不如說它是一種途徑。該途徑描述於一篇討論 83843 1221979 P2P計算之出現，且標題為「The Emergence of Distributed Content Management and Peer-to-Peer Content Networks」的 Gartner報告（2001年一月份）。該報告藉此以參照方式併入本文。此乃以網路為基礎的途徑，使用網路伺服器與網路瀏覽器。使用者將可設定網路瀏覽器，並整合資源分享功能。伺服器將維護多重索引，並允許取用不同的資料形式。此

種類型的系統將使用軟體代理程式或自主代理程式（Bot程式），以提供多重資源的萃取與統合、聊天功能及通知變更等服務。搜尋要求可儲存於伺服器中，並設定為即時執行或以批次程序執行，同時向適當的用戶端通知結果。吾人需要一套可以採納P2P網路的優點，同時解決目前 P2P系統之缺點的系統。吾人需要的是一個P2P網路，能善加利用純P2P網路對中央伺服器之要求降低的優點，但不犧牲中央伺服器的效率。吾人還需要一個能提供安全存取及對用戶端資源之控制，但不需要中央伺服器的P2P網路。

【發明内容】本發明的一較佳具體實施例提供一種方法，可在一點對點網路中安全地執行由一用戶端提出的資源搜尋，該資源搜尋包含一搜尋要求，其中具有可指示第一用戶端的憑證信號。該方法包含下列步騾：將搜尋要求從第一用戶端傳遞到第二用戶端、將搜尋要求從第二用戶端傳遞到第三用戶端，第三用戶端具有複數個第三資源，複數個第三資源中的每一資源都具有至少一個對應的存取屬性；以及在第三用戶端，回應憑證信號與複數個第三資源中每一資源之 83843 1221979 至少一個屬性的比較，而選擇性地搜尋複數個第三資源。本發明的另一較佳具體實施例提供一用戶端，此用戶端包含於具有複數個用戶端的點對點網路。用戶端包今一點 •'子點網路分派器，俾從複數個用戶端的第二用戶端接收〜資源搜尋要求，該搜尋要求是由複數個用戶端之中的起私用戶端提出，搜尋要求包含一憑證信號，其中具有可指示提出要求之用戶端的識別碼信號。用戶端亦包含—記憶體，以儲存複數個資源，複數個資源中的每一資源均具^ 至少一個對應的存取屬性，以及一個搜尋引擎，此引擎會回應憑證信號與複數個資源中每一資源之至少一個存取^ 性的比較，而選擇性地搜尋複數個資源之中至少—個資源"。本發明的另一具體實施例提供在點對點網路中安全地執行由一第一用戶端發起之資源搜尋的方法，資源搜尋包今 -搜尋要求，具有可指示第—用戶端的憑證信號。該方: ^含將搜尋要求從第一用戶端傳遞到第二用戶端的步驟， =二用戶端具有複數個第二資源，該複數個第二資源中的每:資源均具有至少一個對應的存取屬性。該方法尚包含在第二用卢端回應憑證信號與複數個第二資源中每—資^ 〈至少-個對應存取屬性的比較，而選擇性地搜尋複數個第二資源的步驟。該方法尚包含將搜尋要求從第二用戶端傳遞到第三用戶端的步驟，第三用戶端具有複數個第三資源，該複數個第三資源中的每一資源均具有至少—個對應的存取屬性。該方法尚包含在第三用戶端回應憑證信號與複數個第三資源中每—資源之至少—個對應存取屬性的比 83843 -10- 1221979 較’而選擇性地搜尋複數個第三資源的步驟。請注意這些具时制只是此仙㈣料之運用的範例，這-隸重要。-般而n申請案之脉二所作的陳述不―定會限制任何等償及宣告為中請專利範圍的各種發明。此外’某些陳述可能適用於某些具有創造性的特性，但不適用於其他特性。一般而t，除非另外指不，單數的元件可能為複數，反之亦，然，而不失去其一般性。較佳具體實施例係針對在—公司内部網路環境下的點對點（Ρ2Ρ)資源分享。較佳具體實施例為-用於P2P資源分享的混合系'统。它是由-伺服器與—用戶端組件構成的。它支援上述三種Ρ2Ρ架構的特徵，以及其他额外的特徵。用戶端為一在用戶端電腦上執行的應用程式，並充當一修改過的純P2P用戶端。系統包括可靠的ιρ野藏庫，透過企業系統進行安全性整合’—個功能增強的資料庫，可得到更理想的搜尋結果，並降低一些基本網路活動。這些特性一同提供適合公司環境的P2P服務。幸父佳具體實施例的特徵包括：可靠的ip貯藏庫一每一用戶端首先向伺服器「通報它自己」，並要求一份連線用戶端之IP位址的清單。伺服器會寄出一份連線用戶端的種子清單(吾人使用「種子清單」這個術浯，因為每一用戶端只需要知道有限數目的其他連線用戶端）。伺服器維護一份用戶端清單，並定期偵測每一用戶端，以維護一目前連線用戶端的清單。 83843 -11 - 1221979 身份確認與權限檢查一與每一資源有關的詮釋資料包含檔案描述，以及安全性與存取控制資訊。安全性檢查可基於本地帳號或基於公司階層安全性。功此加強的用戶端資料庫一每一用戶端維護它所分享之資源的資料庫。資料庫最好不僅含有檔案的名稱與特徵，也含有使用者所定義，用於描述檔案的詮釋資料。 · 網路活動降低一此系統不像純P2P網路，用戶端不需要連系貝不斷地偵測其他用戶端。相反地，用戶端定期從伺服器鲁下載IP位址的清單，俾能持續地瞭解哪些用戶端已連線。每一用戶端將一握手信號送給其所收到之清單中的各用戶端。若從另一用戶端收到接收完成信號，該用戶端會被加入原先的用戶端清單内。基於純P2P協定一像大部分的封包通訊一樣，各用戶端之間使用類似純P2P通訊協定的一種通訊協定，以完成搜尋及搜尋回應。此種途徑可以使用P2P環境内的中央伺服器觀念，其結果修為大幅增強的P2P資源分享系統。故此系統係建立於現有的 P2P途徑之上，並提供額外的功能。，【實施方式】圖1顯示根據本發明較隹具體實施例操作之P2P網路及系統的方塊圖。企業内部骨幹網路1〇〇將P2P伺服器102及身份確認與權限檢查程序104耦合至複數個用戶端1一γ 106-120。每一用戶端具有一可指示該用戶端的對應位址，如IP 1到IP Y所示。企業内部網路100亦協助用戶端之間的通訊，藉此 83843 -12- 1221979 使p2p通訊得以實現。、圖2顯示根據本發明較佳具體實施例操作之p2p網路及系統’其"f司服器的方播闰 , ,、 ▲圖。伺服器102透過網路介面202耦合至企業内部骨幹網路100’該介面可協助企業内部網路與用戶端之間的通訊。當一用戶端連線到企業内部網路時，網路介面202會接收到—好端連線信號，並由好端連線功月色2 0 4 理，該功能| p 、击合此θ將已連線又用戶端的位址加入連線用戶场:早206。種子清單產生器㈣會產生連線用戶端的種子清單，以回應連線信號。種子清單乃是飼服器提供給用戶端的複數個種子清簞2 1 0 ; 士口目早210心中的—員。在較佳具體實施例 •中，種子清單係顯示為儲料—具有全部種子清單的記憶體内。記憶體儲存並非必要。種子清單可隨機產生或回應些條件而產生。此條件的S例包括地理特徵與用戶端特徵。例如，種子清單可限制為在—特定國家或區域（例如美國或歐洲）内的連線用戶端。另外，種子清單可限制為业享相同屬性的連線用戶端類型’例如工程部門或業務部門。亦可根據與用戶端之間的距離產生種子清單，該距離包括網路回應時間’其中最接近的用戶端會被包含於種子清單内。在另-具體實施例中，亦可回應先前的種子清單而產生種子清單，俾於在一定搜尋時間内搜尋最多個用户端的努力中，產生最佳的網路連線。此種方法尚可用來在Ρ2Ρ 網路内產生「搜尋島峡」。储器1G2也會測試來自連線用戶端的預期應答信號，以維護連線用戶端位址。若未收到應答信號，則從清單206中移除該用戶端位址。伺服器最好 83843 -13 - 1221979 定期將PING信號送到連線的用戶端，若在預定時間内未收到應答的PONG信號，則伺服器判定用戶端已斷線，並從清單206中移除該用戶端的位址。圖3顯示根據本發明較佳具體實施例操作之p2p網路及系統，其身份確認與權限檢查程序的方塊圖。身份確認與權限檢查程序104最好屬於一獨立的網路安全性伺服器，但亦可屬於伺服器102。身份確認與權限檢查程序透過一網路介面302耦合至企業内部骨幹網路1〇〇，該介面可協助企業内邵網路與用戶端之間的通訊。用戶端執行資源搜尋之前，用戶‘可旎會要求身份確認與權限檢查程序提供資源搜尋的身份確認及/或權限檢查。右需要身份確認，用戶端會將身份確認要求信號送到程序104。網路介面302會接收身份確認要求，並將其傳遞到身份確認憑證檢查304。憑證信號可指示發起SEARCH要求的用戶端，且包含於SEARCH要求信號内。用戶端收到 SEARCH要求，並希望確認提出要求之用戶端的身份時，憑證信號會被傳遞到程序104。憑證信號最好包含發起搜尋之用戶端的用戶端ID與對應的密碼。程序104擁有一份預先決疋的用戶端識別碼與密碼的表格。若用戶端ID 3〇6與密碼與身份確認要求信號中所含的資訊相符，則提出要求的用戶端通過驗證，程序104會將身份確認信號傳回提出要求的用戶端。熟悉本技藝之人士將瞭解有許多種已知的其他身份確認程序，並可取代以上所述的身份確認程序。若需要權限檢查，用戶端會將權限檢查要求信號送出程 83843 -14- 1221979 序1〇4。網路介面3〇2會接收權限檢查要求，並將其傳遞到權限檢查程序310。憑證信號可指示發起SEARCH要求的用戶* ’且包含於search要求信號内。用戶端收到SEARCH 要求，並希望決定提出要求的用戶端具有權限存取哪些資源時，憑證信號會被傳遞到程序104。憑證信號最好包含發起搜尋之用戶端的用戶端ID。程序1〇4擁有一份預先決定的用戶^識別碼3 12與存取控制314的表格。程序1 〇4會將一具有對應之存取控制信號的權限信號送回提出要求的用戶端。存取控制信號314可指示一用戶端被允許在其同類端點上搜尋的資源類型或用戶端類別。各種存取控制或用戶端類別的範例包括工程資源、行銷資源與管理資源。每一存取控制可能具有一些子類別，例如工程類別可能包括網路和随電路和作業系統子類別。每一用戶端可能具有各子類別的特有存取權限。例如，工程部門的用戶端可能沒有權限搜尋與人事問題有關的管理資源或工程方面的積體電路資源，但有權限搜尋工程方面的網路及作業系統資源。在較佳具體實施例中，身份確認與權限檢查程序均由來自用戶端的單一要求信號執行，並可針對犯八11(：：11和（}£1兩種要求而執行。在另一具體實施例中，只能使用權限檢查或身份確認。再者，身份認證及/或權限檢查可儲存於用戶端的快取記憶體，以避免後續SEARCH&GET要求的重複身份認證及/或權限檢查，因此可降低網路流量。圖4顯示根據本發明較佳具體實施例操作之p2p網路及系統，其用戶端的方塊圖。用戶端最好為一在耦合至企業内部骨幹網路100之個人電腦上操作的程序。在其他具體實施 83843 -15 - 1221979

例中，該程序可在其他計算裝置（例如一筆記型電腦、掌上型電腦及互動式消費者裝置，如電視上網機、電視機、立體音響、手機或其他類型的資源儲存裝置）中操作。分派器及網路介面402透過企業内部骨幹網路100，可協助與伺服器的通訊、身份確認與權限檢查程序與其他用戶端。分派器會回應至少三種在企業内部骨幹網路上接收到的信號。這三種信號是PING、SEARCH和GET。用戶端也可以發出 PING、SEARCH和GET指令，與伺服器102及身份確認與權限檢查程序104通訊。分派器402回應指令時，會將PING指令發送到ping/pong程序404，此程序以一應答的PONG指令回應PING指令的接收。分派器402會將SEARCH和GET指令發送到搜尋處理器405及取得處理器406。然而，在處理 SEARCH或GET指令之前，身份確認與權限檢查程序408會先計算該指令的值。程序408具有至少三種組件，這些組件均非必需。權限檢查的第一個組件為預先決定，且係根據提出要求之用戶端的識別碼。此具體實施例不需要外部身份確認程序104。第二和第三組件為外部身份確認與權限檢查104執行的身份確認與權限檢查。這三個組件的各種組合可以實現許多種具體實施例。身份確認與權限檢查也包含一選擇性的快取記憶體，用於儲存具有權限之用戶端識別碼及/或與一用戶端ID 412有關的存取控制。儲存這些資訊於快取記憶體410中，以降低重覆授權及/或對圖3所示處理之授權要求。若一 SEARCH要求未通過身份確認，則不需要傳播到P2P 系統中後續的同類端點，故可降低網路流量。再者，身份 83843 -16 - 確認失敗不需要傳給提出要求的用戶端，故可遏止外界非法入侵企業内部網路，因為要求搜尋者將無法得知為何該搜尋未產生任何結果一不是找不到資源，就是搜尋者未通過身份確認。若SEARCH要求通過身份確認，則搜尋用戶端的記憶體320，以尋找符合SEARCH要求的資源422。搜尋資源時，最好搜尋包括存取控制與資源屬性的詮釋資料424。搜尋程序將權限存取控制與各資源相關的存取控制比較，以決定要搜尋哪些資源。若彼此相符，則可搜尋該資源。搜尋時最好搜尋資源的屬性，此屬性包括檔案類型、檔案大小、日期或作者。屬性亦可包括例如由作者手動產生的註釋或摘要，提供有關資源的額外資訊，以利進行關键字搜尋。另外，亦可針對資源本身進行更徹底的搜尋。若找到符合的資源，則將一正面信號傳回提出搜尋的用戶端。 GET要求典型上是由曾經提出SEARCH要求，並從接收到該GET要求的用戶端獲得一正面搜尋結果的用戶端發出。 GET程序406執行GET要求之前，可能已同時進行過權限檢查及/或身份確認。之後，GET要求指示的特定資源會傳遞給提出要求的用戶端。請注意分派器402直接發送PING指令，然而SEARCH和 GET要求實際上隱藏在客戶的防火牆408後面。對任何其他的用戶端而言，所有的要求、PING、SEARCH和GET似乎都可以使用。然而，用戶端沒有回應也可能表示GET或 SEARCIi受到安全措施保護。例如，搜尋失敗並不會傳回厂找不到任何項目」信號。因此，若一用戶端搜尋時未獲得回 83843 -17- 1221979 應，該用戶端無法得知是因為那些項目已被保護，還是它們根本就不存在。圖4的用戶端亦可發出SEARCH與GET要求。當一 SEARCH 要求被發出時，典型上會從用戶端的操作員接收到搜尋詞彙。SEARCH與GET要求處理器430將搜尋辭彙與用戶端的憑證信號432 (包括用戶端ID、密碼及其IP位址）包裝在一起。然後搜尋要求會被傳遞到IP位址在該用戶端之種子清單434中的用戶端，具有IP位址的種子清單434則是從伺服器102接收。憑證信號432是在上述身份確認與權限檢查程序中使用。若某一特定用戶端的某一特定資源為吾人所需要的搜尋結果，則SEARCH與GET要求處理器430將資源識別碼與憑證資訊一起包裝於一 GET要求内，並將GET要求傳送到對應的用戶端。搜尋程序405所處理的SEARCH要求也會傳遞到種子清單 434中所包含的其他位址，這是P2P搜尋傳播程序的其他部份。這樣可提供用於將資源搜尋轉送給種子清單上中用戶端位址的點對點網路搜尋分派器。然而，若發生逾時或身份確認程序未通過，SEARCH要求可能不會傳播下去。圖5顯示一程序流程圖，包括根據本發明較佳具體實施例的用戶端與伺服器為產生及維護種子清單而發生的互動。為清晰起見，在用戶端内執行的程序在左邊，在伺服器内執行的程序則在右邊。從步騾500開始，用戶端停在步騾 500，直到它連上網路。連線最好是執行一可協助與P2P網路之耦合的程式。桌上型個人電腦用戶端的電源打開後， 83843 -18 - 1221979 I在其中執行此一程式。同樣地，一可攜帶之膝上型電腦實體搞合至骨幹網路時，亦可在其中執行此一程式。、後在步驟5G2 ’用戶端會將—包含用 > 端位址的連線信號傳送到伺服器。在步驟训，伺服器接收到連線信號，並於步驟5G6將用戶端位址加人連線的用戶端位址清單。步驟綱使用任何方法（包含上述種子清單產生方法）產生一用戶端的種子清單。在步驟51Q ’此種子清單㈣服器送出，並於步驟512由用戶端接收。步驟512尚包括將一簡g信號傳达到種子清單上的用戶端，以證實它們連線到網路。在步驟522,未應答的用戶端將從種子㈣钟好端已斷線，該程序將返时驟連線。斷線隨時可能發生，且是各種不同事件的結果，例如用戶端的電源被關閉’或操作員終止了用戶端的P2P程式。用戶端不需要主動通知何服器它已從網路斷線。若用戶端仍在連線中’則於步驟516，它會應答接收到的任何 PING信號。PING信射從籠器或任制戶端收到，且通常以PONG信號應答。步驟別與執行piNG、search或啦要求的其他用戶端通訊。若種子清單上的用戶端不回應 _ G SEARCH或GET信號，或就其他方面而言可能並未耦合或並未連接，則於步驟522，該用戶端將被判定已經盘網路斷線，並從種子清單中移除。步驟Μ4蚊種子清單是否應予更新，若為是，則於步驟526向伺服器送出更新種子清單的要求。種子清單可在數種理由下被更新，其中包括在步驟522移除-個或多個用戶端。另外，種子清單亦可回應 83843 -19- 1221979 操作員的特定輸入、新搜尋的發出，或在某—段作的時間之後進行更新。在其他具體實新可為全部或部分更新。例如，若-種子清單二::；丨。個用戶$，且吾人判定其中的四個用戶端已斷線：= 子清單更新可要求四個新的用戶端位址。另外，若第:! 發出的搜尋與工程資源有關，第二次笋人源有關，則整個種子、、土單了〜、χ 寻㈣售資刑之们…… 被取代’俾使不同類 = 取佳化。在步驟528，祠服器維護連線的用袖位址清單。飼服器可定期將ping信號傳送到連線清單 =用戶端’以完成此動作。若未從用戶端接收到預期的 ^信號（例如P〇NG信號），則該用戶端將從連線用戶清單中移除。接著步驟53G決定飼服器是否接收到種子清單更新要求，若舰器未接收到，則返时驟5()4。否則，在步驟 532，飼服器從連線用戶端Ip位址清單產生一種子清單^ 新，並於步驟534將種子清單送給提出要求的用戶端。在步驟536,用戶端接收到更新後的種子清單，並將削g传號送給新的用戶端。在步驟522，會把任何未應答的新用戶端從種子清單中移除。藉由圖5的程序，種子清單是在用戶端建互與維護’連線用戶端IP位址則於伺服器維護。吾人應瞭解在其他具體實施例中，飼服器可回應任何無應答的幻兄 (包括對PING信號無回應），將用戶端從連線清單中移除。例如’用戶端可以定期傳送-應答信號，而不需要從伺服器發出PING信號，且若在就時間内未收到某用戶端的應 83843 -20- 1221979 答信號，則步驟528將該用戶端從連線清單十移除。此外，若情況允許，用戶端可以主動送出斷線信號，且伺服器會回應該信號，將該用戶端從清單巾㈣。較意在較佳具體實施例巾，種子清單上的用戶端不會定期送出顺G要求，因為步驟512與536的PING要求已足夠。這樣具有大幅降低分散式搜尋P2P網路之網路流量的優點。圖6顯示根據本發明之較佳具體實施例，由一用戶端處理的覆G、SEARCH和GET要求的程序流程圖。在步驟6〇〇，若一用户端收到一 PING信號，則於步驟6〇2, 一舰G信號。在步糊，若收到—請⑶要求戶; 驟6〇6執行身份確認，並於步驟6崎查是否搜尋逾時。以下將更詳細地描述身份確認。若通過身份確認，且搜尋尚未逾時，則步驟61G會將該搜尋要求轉送到種子清單中的其他用戶⑶。步驟612決定要求或提出搜尋的用戶端可以搜尋 F 一貝源纟驟614在所選出或獲得授權之資源中搜尋資源的全釋讀’以找出是否有符合搜尋要求的資源。在步驟 61:，若有符合的資源，則於步驟618，用戶端以一可指示相付資源的信號答覆，並傳回提出要求的電腦。該程序可攸步U4、606、608、616或618中的任何步驟前進到步驟 620’以判斷是否收到啦要求。啦要求典型上是由「提出search要求之後，收到步驟618所產生之相符信號」的用戶端提出。若收到啦要求，則步驟622蚊提出要求的用戶端是否具有接收該資源的權限。若用戶端具有該權限’則步驟624將資源傳送到提出啦要求的用戶端。吾人 83843 1221979 應瞭解，為回應在步騾608的逾時，或回應在步騾6〇6的身份確認失敗，搜尋將不再傳播下去。熟悉本技藝之人士應進一步瞭解，步騾606的身份確認程序可與步騾612的決策私序結合，並回應身份確認失敗，禁止搜尋的傳播。圖7顯示一身份確認程序的程序流程圖，該程序不需要與用戶端外部的身份確認程序通訊。圖7的程序是在圖6的步 .驟612和622中，在用戶端發生的。步騾7〇〇檢查提出搜尋要求 < 用戶端的識別憑證。憑證檢查可以是將用戶端ι〇與一預疋清單進行簡單的比較、決定提出要求之用戶端的巧位址、檢查加總值的檢驗、加密技術、安全性驗證或其他在回應SEARCH或GET要求時不需要透過用戶端外部的程序進行身份確認的方法。在步騾7〇2，資源存取限制將與提出要求之用戶端的憑澄仏號比較。例如，吾人可能預先決定用戶端丨可以存取資源2和3,用戶端2則可存取資源5和6。此外，吾人亦可能預先決定來自某一lp閘道的用戶端，其存取權限有限，其他用戶端的資源存取權限則無限制。在回應時，步騾704決定可以搜尋哪些特定資源，或將其傳送到提出要求的用戶端。圖7所示的程序具有以下的優點··可在分散式P2P網路中提供選擇性資源分享的功能，而不需要外部的權限檢查及/或身份確認程序’其中該選擇係回應可指示提出要求之用戶端的憑證信號。圖8顯示根據本發明之較佳具體實施例，一用戶端與該用戶端外邵之身份確認程序間之通訊的程序流程圖。為清晰起見’用戶端程序出現於圖8的左邊，外部身份確認程序則 83843 -22- 1221979 出現万；圖8的右邊。圖8的程序提供圖6所示步騾6i2或a]之程序的細即。步騾800檢查用戶端快取記憶體中是否有在先 W之SEARCH或GET要求中執行過的先前識別憑證身份確 ⑽。如果沒有先前的身份確認，則步驟8〇2將識別憑證傳送到一外部身份確認程序，例如W1的程序1〇4。在步騾8〇4, 外部身份確認程序接收到憑證，並判斷包含於憑證中的名稱與密碼是否符合儲存於身份確認程序中的某—名稱與密碼。右有符合的名稱與密碼，則於步騾8〇6將身份確認信號傳回用戶端。否則身份確認即被拒絕。在步驟8〇8，用戶端接收到身份確認信號，並於步驟81〇將該信號與在search j GET要求中接收到的憑證一起儲存於用戶端快取記憶把。< 後，在步騾812，資源存取控制將與識別憑證比較。例如，吾人可能預先決定用戶端i可以存取資源2和3，用戶崎2則可存取資源5和6。此外，吾人亦可能預先決定來自某一 IP閘道的用戶端，其存取權限有限，其他用戶端的資源存取權限則典限制。步驟8丨4決定可以搜尋哪些資源，或將其傳送到提出要求的用戶端。圖8所示的程序具有以下的優點：使用集中式控制的身份確認程序，在分散式p2p網路中棱供選擇性資源分旱的功能。在一經常雇用與解雇員工的大型組織中，身份確認的集中控制使吾人能夠安全地控制哪些使用者可以在分散式P2p網路系統中執行搜尋。再者，將先别的身份確認結果儲存於快取記憶體，可大幅降低身份確認的網路流量。圖9顯示根據本發明之較佳具體實施例，一用戶端與該用 83843 -23 · 戶端外部之權限檢查程序間起f，、又通訊的秸序流程圖。為清晰用戶端程序出現於圖9的力、喜 . qy的左邊，外邵權限檢查程序則出見於圖9的右邊。圖9的程戽楹祉序#疋仏圖6所示步騾612或622之 :::細節。步驟900檢查用戶端快取記憶體中，是否具有 SEARCH或GET要求中執行過的該ID憑證的先前 γ存取限制。如果沒有先前的權限檢查結果，則步驟9〇2 將識別憑證傳送到—外部權限檢查程序，例如圖！的程序 1〇4 °在步驟’’外部權限檢查程序接收到憑證，並決定該識別憑證與何種存取控制有關。在回應時，於步驟9〇6, 授權存取控制仏號將傳回用戶端。在步驟9〇8，用戶端接收到扠裱存取控制信號，並於步驟91〇將該信號與在 SEARCH或GET要求中接收到的憑證—起儲存利戶端快取記憶體。之後，在步驟912,與提出要求之用戶端有關的授權存取控制將與資源存取控制比較。步驟914決定可以搜尋哪些 >貝源，或將其傳送到提出要求的用戶端。圖9所示的孝王序具有以下的優點：使用集中式控制的權限檢查程序，在分散式P2P網路中提供選擇性資源分享的功能。在一大型組織中，若員工經常更換工作職務，因此需要存取不同類型的資訊’權限檢查的集中控制使吾人能夠安全地控制使用者可以在分散式P2P網路系統中搜尋的資源類型。再者，將先前的權限檢查結果儲存於快取記憶體，可大幅降低權限檢查的網路流量。因此，吾人提供一系統，可採納P2P網路的優點，同時解決目前P2P系統的缺點。P2P網路善加利用純P2P網路對中央 83843 -24- 1221979 伺服器之需求降低的特點，而不犧牲中央伺服器的效率。再者，P2P網路提供用戶端資源的安全性存取與控制，但不需要中央伺服器。伺服器功能與安全性功能可以獨立運行。例如，圖1的P2P網路在沒有身份確認與權限檢查功能 1〇4的情況下亦可操作，並提供伺服器增強的p2p搜尋傳播。此外，圖1的P2P網路在沒有伺服器1〇2的情況下亦可操作，並k供具有身份確認及/或權限檢查功能的P2p搜尋傳播。祠服器102及身份確認與權限檢查功能1〇4兩者組合時，可產生有效及安全的P2P搜尋傳播網路。在全球性或其他大型組織的企業内部網路應用中，可發現此種組合系統的有利應用。本發明可以硬體或軟體，或以硬體與軟體之組合的形式製造，如熟悉本技藝之人士所知悉。根據與較佳具體實施例一同揭示的創造性原理，此系統或方法可在單一電腦系統中製造，其中該電腦系統具有獨立元件，可執行本文中所描述或宣告為申請專利範圍的個別功能或步驟，或具有 —個或多㈤「可組合本文中所描述或宣告為中請專利範圍 :任何功能或步驟之效能」m牛；或安排於—分散式電細系統中’並由任何適當的構件互連，如熟悉本技藝之人士所知悉。 "" $根據與較佳具體實施例一同揭示的創造性原理，本發明、绝性原理並不限於任何特殊種類的電腦，而是可以使用於被安排成可執行本文中所描述之功能與方法步驟的任何—般用途電腦中，如熟悉本技藝之人士所知悉。如以上 83843 -25- 1221979 所描述的此種電腦，其操作可根據一包含於一用來操作或控制該電腦之媒體上的電腦程式，如熟悉本技藝之人士所知悉。用來儲存或包含該電腦程式產品的電腦媒體可為電腦的固定設備（例如嵌入式記憶體），或在一可攜式媒體（例如磁片）上，如熟悉本技藝之人士所知悉。本發明不限於任何特殊的電腦程式、邏輯、語言或指令，而可以任何適當的此種程式、邏輯、語言或指令來實施，如熟悉本技藝之人士所知悉。在不限制所揭示本發明之原理的情況下，任何此種計算系統可特別包含至少一種可由電腦讀取的媒體，使電腦得以從該項可由電腦讀取的媒體中讀取資料、指令、訊息、訊息封包，或其他可由電腦讀取的資訊。可由電腦讀取的媒體可能包括非易失性記憶體，例如ROM、快閃記憶體、磁片、磁碟機記憶體、CDROM 與其他永久性儲存器。此外，可由電腦讀取的媒體可能包括易失性記憶體，例如RAM、緩衝區記憶體、快取記憶體與網路電路。再者，可由電腦讀取的媒體可能包含任何在一暫態媒體内，並可由電腦讀取的資訊，例如允許電腦讀取此種可由電腦讀取之資訊的網路鏈結及/或網路介面（包括有線網路或無線網路）。雖然本文已揭示本發明的某一特定具體實施例，熟悉本技藝之人士將瞭解：此一特定具體實施例可進行更改，而不偏離本發明的精神與範圍。因此，本發明的範圍並非被限制於該特定具體實施例，且本文後附加的申請專利範 83843 -26- 1221979 圍，其目的係為涵蓋任何與所有屬於本發明之範圍内的此種應用、修改與具體實施例。【圖式簡單說明】圖1顯示根據本發明較佳具體實施例操作之P2P網路及系統的方塊圖。圖2顯示根據本發明較佳具體實施例操作之P2P網路及系統，其伺服器的方塊圖。圖3顯示根據本發明較佳具體實施例操作之P2P網路及系統，其身份確認與權限檢查程序的方塊圖。圖4顯示根據本發明較佳具體實施例操作之P2P網路及系統，其用戶端的方塊圖。圖5顯示根據本發明之較佳具體實施例的程序流程圖，其中包含用戶端與伺服器之間為建立與維護種子清單而產生的互動。圖6顯示根據本發明之較佳具體實施例，由一用戶端處理的PING、SEARCH和GET要求的程序流程圖。圖7顯示一身份確認程序的程序流程圖，該程序不需要與用戶端外部的身份確認程序通訊。圖8顯示根據本發明之較佳具體實施例，一用戶端與該用戶端外部之身份確認程序間之通訊的程序流程圖。圖9顯示根據本發明之較佳具體實施例，一用戶端與該用戶端外部之權限檢查程序間之通訊的程序流程圖。 83843 -27- 1221979 【圖式代表符號說明】 100 企業内部骨幹網路 102 P2P伺服器 104,408 身份確認與權限檢 106, 108, 110, 112 114, 116, 118, 120 用戶端 202, 302 網路介面 204 用戶端連線信號 206 連線用戶端IP位址 208 種子清單產生器 210, 434 種子清單 304 身份確認憑證檢查 306, 312, 412 用戶端ID 308 密碼 310 權限檢查 314 存取 402 分派器與網路介面 404 PING/PONG 405 SEARCH程序 406 GET程序 410 快取記憶體 420 記憶體 422 資源 424 詮釋資料 83843 -28- 憑證用戶端已連線至網路？將連線信號傳送到伺服器收到連線信號？加入連線用戶端IP位址從連線用戶端IP位址產生種子清單傳送種子清單接收種子清單，並偵測用戶端用戶端已斷線？應答任何伺服器的PING信號偵測連線的用戶端

與種子清單上的用戶端通訊：PING、 SEARCH、GET 將未應答的用戶端從種子清單移除更新種子清單？要求種子清單更新將未應答的用戶端從連線用戶端IP位址清單移除種子清單更新要求？從連線用戶端IP位址產生種子清單更新傳送種子清單更新接收種子清單更新，並彳貞測新用戶端收到PING信號？送出PONG信號 -29- 1221979 604 收到搜尋要求？ 606 身份確認？ 608 搜尋逾時？ 610 將搜尋要求轉送到種子清單中的用戶 612 決疋提出要求者可以搜尋哪些資源 614 搜哥所選擇之資源的詮釋資料 616 資源相符？ 618 以相符之資源的識別碼答覆 620 收到GET要求？ 622 决走#疋出要求者是否可以接收資源 624 將資源傳送給提出要求者 700 檢查包含於搜尋要求内的識別憑證 702 比較資源存取限制與憑證 704, 814, 914 決定哪些資源可供提出要求者搜尋或傳送 800 用戶端快取記憶體指示具有該識別螞憑證的先前身份確認結果？ 802, 902 將識別憑證傳送到身份確認程序 804 識別憑證名稱與密碼符合？ 806 將身份確認信號傳送到用戶端 808 收到身份確認信號 810 將身份確認結果儲存於用戶端快取記憶體 812 比較資源存取控制與識別憑證

83843 -30- 9001221979 904 906 908 910 912 用戶端快取記憶體指示具有該識別碼憑證的先前權限檢查結果？決定識別憑證相關的權限存取控制將權限存取控制傳送到用戶端收到權限存取控制將權限存取控制儲存於用戶端快取記憶體比較資源存取控制與權限存取控制 83843 -31 -

Claims

05336號專利申請案 . · 睛專利範圍替換本(93年6月） •利範圍修生^申請專： 1. 一種在一點對點網路中 τ女全地執行由一第一用戶端起始之資源搜尋的方法，該资、呢祕9二貝/原搜哥包含一搜尋要求，該搜尋要求具有可指示第一 6 A ^ ^、用戶、的憑證信號，該方法包含下列步驟：將搜尋要求從第一用白Μ # 4 用戶味傳遞到一第二用戶端，第二用戶端具有複數個第-咨、、店、、、 u弟一貝源，孩複數個第二資源中的每一資源均具有至少一個對應的存取屬性；在第二用戶端回應憑證信號與複數個第二資源中每- 貝源< 土 -個對應存取屬性的比較，而選擇性地搜尋複數個第二資源；將搜尋要求從第二用戶端傳遞到一第三用戶端，第三用戶端具有複數個第三資源，該複數個第三資源中的每一資源均具有至少一個對應的存取屬性；以及在第二用戶端回應憑證信號與複數個第三資源中每一資源之至少一個對應存取屬性的比較，而選擇性地搜尋複數個第三資源。 2·如申請專利範圍第丨項之方法，尚包含下列步驟：在第三用戶端，回應該選擇性地搜尋複數個第三資源 I步驟，決定一符合之資源；以及將可指示有符合之資源的相符信號從第三用戶端傳遞到第一用戶端。 3·如申請專利範圍第1項之方法，其中該憑證信號包含一可指示第一用戶端的識別碼信號，且 83843-930601.doc 1221979 第二和第三資源的存取屬性包含一權限信號，可指示複數個用戶端之中至少一個，其中該複數個用戶端包含第一用戶端，此外，若識別碼信號實質符合包含於對應存取屬性的權限信號，則該選擇性地搜尋第二複數個資源之步驟會搜尋第二複數個資源其中之一，以及若識別碼^號貫質付合包含於對應存取屬性的權限信號，則該選擇性地搜尋第三複數個資源之步騾會搜尋第三複數個資源其中之一。 4·如申請專利範圍第1項之方法，其中該憑證信號包含一可指示第一用戶端的識別碼信號，且第二和第三資源的存取屬性包含一權限信號，可指示複數個用戶端之中至少一個，其中該複數個用戶端包含第一用戶端，其中孩選擇性地搜尋第二複數個資源之步驟，尚包含下列步驟：將識別碼信號從第二用戶端傳遞到第一、第二和第三用戶端外部的身份確認程序；回應以上步驟，從身份確認程序接收—可指示第一用戶端的身份確認通過信號；以及若身份確認通過信號實質符合包含於對應存取屬性的權限信號’則搜尋第二複數個資源其中之一，且該選擇性地搜尋第三複數個資源之m，尚包含下列步驟： 83843-930601.doc -2- 1221979 將識別碼信號從第三用戶端傳遞到身份確認程序；回應以上步驟，從身份確認程序接收一可指示第一用戶端的身份確認通過信號；以及若身份確認通過信號實質符合包含於對應存取屬性的權限信號，則搜尋第三複數個資源其中之一。 5·如申請專利範圍第4項之方法，尚包含下列步驟：在第二用戶端，將識別碼信號與接收到的身份確認通過信號儲存於第二用戶端的快取記憶體中；且在琢從第二用戶端傳遞到身份確認程序的步騾之前，在第二用戶端的快取記憶體中搜尋識別碼信號與接收到的身份確認信號，其中若該搜尋快取記憶體的步驟找到儲存於其中的識別碼信號與接收到的身份確認信號，則不執行該從第二用戶端傳遞到身份確認程序的步驟，以及该搜咢第二複數個資源其中之一的步驟使用儲存於快取記憶體中的身份確認通過信號，故可降低第二用戶端與身份確認程序之間的通訊量。 6.如申請專利範圍第4項之方法，尚包含下列步驟：在第三用戶端，將識別碼信號與接收到的身份確認通過信號儲存於第三用戶端的快取記憶體中；且在泫k第二用戶端傳遞到身份確認程序的步驟之前，在第三用戶端的快取記憶體中搜尋識別碼信號與接收到的身份確認信號，其中若該搜尋快取記憶體的步驟找到儲存於其中的識別碼 83843-930601.doc 1221979 用戶信號與接收到的身份確認信號，則个執行該從第端傳遞到身份確認程序的步驟，以及該搜尋第三複數個資源其中之—的的步驟使用儲存於快取記憶體中的身份確認通過信號，故人J降低罘三用戶端與身份確認程序之間的通訊量。

7.如申請專利範圍第4項之方法，其中若第二用戶端未從身份確認程序接收到身份確認信號，則不執行將搜尋2求從第二用戶端傳遞到第三用戶端的該步驟，以及選擇性地搜尋複數個第三資源的步驟。 8·如申請專利範圍第1項之方法，其中該憑證信號包含一可指示第一用戶端的識別碼信號，且第一和第二資源的存取屬性包含一權限信號，可指示複數個用戶端類別之中至少一個，其中該選擇性地搜尋第二複數個資源之步驟，尚包含下列步驟：

將識別碼信號從第二用戶端傳遞到第二用戶端外部的權限檢查程序；從權限檢查程序接收一用戶端類別信號，該信號指示複數個用戶端類別中有哪些與該識別碼信號有關；以及若用戶端類別信號實質符合包含於對應存取屬性的權限信號，則搜尋第二複數個資源其中之一，且該選擇性地搜尋第三複數個資源之步驟，尚包含下列步驟： 83843-930601.doc 將識別碼信號從第三用戶端傳遞到第三用戶端外部的權限檢查程序；從權限檢查程序接收一用戶端類別信號，該信號指不複數個用戶端類別中有哪些與該識別碼信號有關；以及右用戶端類別信號實質符合包含於對應存取屬性的權限信號，則搜尋第三複數個資源其中之一。如申凊專利範圍第8項之方法，尚包含下列步驟：在第二用戶端，將識別碼信號與接收到的用戶端類別信號错存於第二用戶端的快取記憶體中；且在泫從第二用戶端傳遞到權限檢查程序的步驟之前，在第二用戶端的快取記憶體中搜尋識別碼信號與接收到的用戶端快取信號，其中若該搜尋快取記憶體的步驟找到儲存於其中的識別碼信號與接收到的用戶端類別信號，則不執行該從第二用戶端傳遞到權限檢查程序的步驟，以及該搜尋第二複數個資源其中之一的步驟使用儲存於快取記憶體中的用戶端類別信號，故可降低第二用戶端與權限檢查私序之間的通訊量。 10_如申請專利範圍第8項之方法，尚包含下列步驟：在第三用戶端，將識別碼信號與接收到的用戶端類別信號儲存於第三用戶端的快取記憶體中；且在該從第三用戶端傳遞到權限檢查程序的步驟之前，在第三用戶端的快取記憶體中搜尋識別碼信號與接收到 83843-930601.doc 的用戶端類別信號，其中到儲存於其中的識別碼，則不執行該從第三用以及若该搜尋快取記憶體的步驟找信號與接收到的用戶端類別信號戶端傳遞到權限檢查程序的步驟 1 /哪成川爾孖於你 =記憶體中的用戶端類別信號，故可降低第三用戶端虚權限檢查程序之間的通訊量。人 11. 如中請專利㈣第1項之方法，其中該點對點網路尚包各複數個用卢端（包含第―、第二和第三用戶端）及一㈣器，該複數個用戶端中的每-個用戶端皆具有唯—的用戶端位址’該飼服器則具有—份用戶端位址清單，該方法尚包含下列步驟：將包含用戶端位址清單之第—部分的第一種子清單從伺服器傳遞到第一用戶端；且 -將。包含用戶端位址清單之第：部分的第二種予清單從伺服咨傳遞到第二用戶端，第—種子清單包含對應於第 ^Μ的第三用戶端位址’且第二種子清於第三用戶端的第三用卢端位址，其+ a 將搜寻要求從第-用戶端傳遞到第二用戶端的該步 “曰回應包含於第—種子清單的第二用戶端位址，而傳遞到第二用戶端，以及第二用戶端的該步二用戶端位址，而將搜尋要求從第二用戶端傳遞到驟，會回應包含於第二種子清單的第傳遞到第三用戶端。 83843-93060l.doc 12. 如申請專利範圍第丨1項之方法，其中該複數個用戶端中的每一個用戶端可隨時連線至點對點網路或斷線，且該方法尚包含下列步驟：在伺服咨端決定複數個用戶端中的哪些用戶端連線至點對點網路；回應該決定步驟，在伺服器端產生一份連線用戶端位址清單；以及在伺服备端’從連線用戶端位址清單產生第一和第一種子清單。 13·如申請專利範圍第12項之方法，尚包含下列步驟：回應複數個連線至點對點網路之用戶端的其中之一，將一連線信號從複數個用戶端其中之一傳遞到伺服器；以及回應以上步騾，在伺服器端將對應於複數個用戶端其中之一的新近連線用戶端位址加入連線用戶端位址清 acr 早。 14· 一種用戶端，包含於一具有複數個用戶端的點對點網路中，該用戶端包含：一點對點網路分派器，用於從複數個用戶端之中的第一用戶端接收一資源搜尋要求，該搜尋要求係從複數個用戶端之中的啟始用戶端提出，該搜尋要求包含一具有可指示起始用戶端之識別碼信號的憑證信號；一冗憶體’用於儲存複數個資源，該複數個資源中的每一資源均具有至少一個對應的存取屬性；以及 83843-930601.doc A一搜尋引擎，用相應憑證信號與複數個資源中每一資源之至少一個存取屬性的比較，而選擇性地搜尋複數個資源之中至少一個資源。 15·如申凊專利範圍第14項之用戶端，且其中該點對點網路分派器將識別碼信號傳遞到一用戶端外部的身份確認㈣，且若身份確認程相定制碼:序通過身份確認，則接收一身份確認通過信號，以及右未從身份確認程序接收到身份確認通過信號，則該搜尋引擎不搜尋該複數個資源之中的任何資源。 16·如申睛專利範圍第丨5項之用戶端，且其中若從身份確認程序接收到身份確認通過信號，則該點對點網路分派器將資源搜尋要求傳遞到該複數個用戶端 <中的一第二用戶端，若未從身份確認程序接收到身份確認通過信號，則不將資源搜尋要求傳遞到第三用戶端。口·如申請專利範圍第14項之用戶端，且其中存取屬性可指不被允許存取對應資源的用戶端類別， ?茨點對點網路分派器將識別碼信號傳遞到用戶端外部的權限檢查程序，並回應此步驟，收一用戶端類別信號，以及孩搜尋引擎會回應用戶端類別信號與複數個資源中每一貝源之至少一個存取屬性的比較，而選擇性地搜尋複數個資源之中至少一個資源。 18·如申請專利範圍第14項之用戶端，其中該點對點網路尚包含一伺服备，且複數個用戶端之中的每一用戶端均具 83843-930601.doc 1221979 有唯一的用戶端位址，該用戶端尚包含一種子清單接收器，用於從伺服器接收用戶端位址的種子清單及儲存該清單，以及該點對點網路搜尋分派器將資源搜尋要求轉送到種子清單上的用戶端位址。 19. 一種在一點對點網路中安全地執行由一第一用戶端起始之資源搜尋的方法，該資源搜尋包含一搜尋要求，該搜尋要求具有可指示第一用戶端的憑證信號，該方法包含下列步驟：將搜尋要求從第一用戶端傳遞到一第二用戶端；將搜尋要求從第二用戶端傳遞到一第三用戶端，第三用戶端具有複數個第三資源，該複數個第三資源中的每一資源均具有至少一個對應的存取屬性；在第三用戶端回應憑證信號與複數個第三資源中每一資源之至少一個對應存取屬性的比較，而選擇性地搜尋複數個第三資源。 20. 如申請專利範圍第19項之方法，其中該點對點網路尚包含複數個用戶端（包含第一、第二和第三用戶端）及一伺服器，該複數個用戶端中的每一個用戶端皆具有唯一的用戶端位址，該伺服器則具有一份用戶端位址清單，該方法尚包含下列步驟：將包含用戶端位址清單之第一部分的第一種子清單從伺服器傳遞到第一用戶端；且將包含用戶端位址清單之第二部分的第二種子清單從 83843-930601.doc 1221979 伺服器傳遞到第二用戶端，第一種子清單二用戶端的第二用戶端位址，且第二種子於第三用戶端的第三用戶端位址，其中將搜尋要求從第一用戶端傳遞到第二驟，會回應包含於第一種子清單的第二用傳遞到第二用戶端，以及將搜尋要求從第二用戶端傳遞到第三驟，會回應包含於第二種子清單的第三用傳遞到第三用戶端。 -10- 包含對應於第清單包含對應用戶端的該步戶端位址，而同戶端的該步戶端位址，而 83843-930601.doc