会话密钥协商方法、网络系统、认证服务器及网络设备技术方案

本发明专利技术公开了一种会话密钥协商方法，应用于Ｐ２Ｐ网络中，包括：接收来自会话请求实体的认证请求；对会话请求实体以及会话请求目标实体进行认证，如果认证成功，则生成所述会话请求实体与所述会话目标实体的会话密钥；向所述认证请求实体返回携带有所述会话密钥的认证响应。同时本发明专利技术还公开一种认证服务器、会话请求实体、会话目标实体以及Ｐ２Ｐ网络，提供了集中、安全、易管理的会话密钥协商机制。

【技术实现步骤摘要】

本专利技术涉及网络通信
，具体涉及一种会话请求实体、认证服务器、会话目标实体、P2P网络及会话密钥协商方法。
技术介绍
对等网(P2P：peer-to-peer)技术是目前国际计算网络
研究的一个热点，越来越得到了人们的认可。P2P网络提供了一种资源共享的方法，在P2P网络环境，成前上万台彼此连接的计算机都处于对等的地位，每台主机既可能是资源请求者(Client)的同时，还可能是资源提供者(Server)，能够对其他计算机的请求做出响应，自愿提供资源与服务，故对等网中的各个节点可称之为Peer对等节点。P2P是一套与SIP相关的协议，其使用P2P技术解析SIP请求的目标(Resource)，提供SIP消息传输以及其他与SIP相关的服务，互联网工程任务组(IETF)于2007年2月8日成立了P2P工作组。P2P技术可以用于支撑多种应用，并可能成为许多网络系统的核心协议，一些电信设备开始关注P2P技术，并对其开展研究，P2P的典型应用包括P2P VOIP、核心网等，其有可能成为未来的电信核心网中的一个关键协议。参考图1，是现有技术的基于SIP协议的P2P网络的一种典型结构示意图，包括互连的各个peer节点，如用户代理节点(Proxy peer E)、重定向节点(Redirectpeer R)、中继节点(Relay peer Q)、语音服务节点(VM peer S)、代理节点(Proxy peerP)、网关节点(Gateway peer G)、防火墙穿透节点(STUN peer F)等。在上述基于SIP协议的P2P网络系统中，为了保证系统安全，需要建立相应的安全机制，为此，在[]I-D.lowekamp-P2P-dsip-security]草案中，提出了一种在P2P网络中基于共享密钥的端到端的认证机制。P2P网络中的各个实体(节点、用户、资源)通过带外机制(通过P2P网络外的传送方法，如电话通知，-->口头转达，邮件传送等)事先得到一个共享密钥(shared secret)。当某个实体发起消息时，对消息各字段(from/to/contact/date/call-id/cseq/message-body)利用共享密钥和HMAC-SHA1算法生成的值作为Identity认证头域，并在Identity-info头域中带上算法参数。消息接收方利用事先知道的共享密钥和Identity-info头域中得到的算法参数对消息的各字段重新计算，如果计算的值和Identity头域带的值一样，则验证通过，验证通过后，消息接收方回复响应消息，通过同样的方法生成Identity和Identity头域，最初的消息发起方也通过同样的方法验证响应消息，会话双方一次会话交互完成。在上述在[]I-D.lowekamp-P2PSIP-dsip-security]草案中规定的安全机制，在小规模的网络环境中具备一定的可行性，但在大规模的网络环境下，通过带外机制传递和分配共享密钥是不安全也不容易实现的。
技术实现思路
有鉴于此，本专利技术实施例所要解决的技术问题在于，提供一种应用于P2P网络中的会话密钥协商方法，实现在P2P网络中提供集中、安全、易管理的会话密钥协商机制。为了解决上述技术问题，本专利技术实施例提出了一种会话密钥协商方法，应用于P2P网络中，包括：接收来自会话请求实体的认证请求；对会话请求实体以及会话请求目标实体进行认证，如果认证成功，则生成所述会话请求实体与所述会话目标实体的会话密钥；向所述认证请求实体返回携带有所述会话密钥的认证响应。相应地，本专利技术实施例还提出了一种认证服务器，包括：认证请求接收单元，用于接收来自会话请求实体的认证请求；认证单元，用于在所述认证请求接收单元接收到所述认证请求后，对所述会话请求实体以及会话目标实体进行认证，认证通过后，生成所述会话请求实体与所述会话目标实体的会话密钥；-->认证响应发送单元，用于向所述会话请求实体发送携带有会话密钥的认证响应。相应地，本专利技术还提出了一种会话请求实体，包括：认证请求单元，用于向认证服务其发送认证请求；认证响应接收单元，用于接收来自于所述认证服务器的认证响应；会话密钥获取单元，用于从所述认证响应中获取所述会话密钥；会话请求单元，用于向会话请求目标实体发送携带有认证信息的会话请求。相应地，本专利技术提出了一种会话目标实体，包括：检测单元，用于检测来自于会话请求实体的会话请求是否携带有认证信息；会话密钥协商获得单元，用于在所述检测单元检测到来自于会话请求实体的会话请求携带有认证信息时，与所述会话请求实体交互信息，以获得所述会话密钥。相应地，本专利技术提出了一种签名代理实体，包括：检测单元，用于检测来自于会话请求实体的签名服务请求是否携带有认证信息；会话密钥获取单元，用于在所述检测单元检测到来自于会话请求实体的签名服务请求携带有认证信息时，与所述会话请求实体交互信息，以获取会话密钥；票据生成单元，用于基于所述会话密钥生成对应所述签名服务请求的签名票据；发送单元，用于向所述会话请求实体发送所述签名票据。进一步地，本专利技术还提出了一种P2P网络，其特征在于，所述P2P网络包括会话请求实体，会话目标实体及认证服务器，其中：会话请求实体，用于向所述认证服务器发送认证请求，并在接收到来自于-->所述认证服务器的认证响应后，从所述认证响应中获取会话密钥，以及用于向所述会话目标实体发送携带有认证信息的会话请求。认证服务器，用于在接收到来自于所述会话请求实体的所述认证请求后，对所述会话请求实体以及所述会话目标实体进行认证，认证通过后，生成所述会话请求实体与所述会话目标实体的会话密钥，并用于向所述会话请求实体发送携带有所述会话密钥的认证响应；会话目标实体，用于在检测到来自于所述会话请求实体的会话请求携带有认证信息时，与所述会话请求实体交互信息，以获取所述会话密钥。实施本专利技术实施例，在P2P网络中增加认证服务器，通过所述认证服务器对会话请求实体以及会话目标实体进行认证，认证通过后，生成会话请求实体与会话目标实体的会话密钥，所述会话请求实体以及所述会话目标实体基于该会话密钥进行会话，在P2P网络中，保证了会话密钥协商过程的安全性，实现了在P2P网络中提供集中、安全、易管理的会话密钥协商机制。附图说明图1是现有技术的P2P网络的一种典型结构示意图；图2是本专利技术实施例的一种P2P网络组成示意图；图3是本专利技术实施例的一种认证服务器的组成示意图；图4是本专利技术实施例的一种会话请求实体的组成示意图；图5是本专利技术实施例的一种会话目标实体的组成示意图；图6是本专利技术实施例的一种签名代理实体的组成示意图；图7是本专利技术实施例的会话密钥协商流程示意图；图8是本专利技术实施例的P2P节点加入流程示意图；图9是本专利技术的用户注册第一实施例流程示意图；图10是本专利技术的用户注册第二实施例流程示意图；图11是本专利技术实施例的呼叫流程示意图；-->图12是本专利技术实施例的服务注册流程示意图；图13是本专利技术实施例的用户申请增值业务流程示意图；图14是本专利技术实施例的VM语音服务主叫留言流程示意图；图15是本专利技术实施例的VM语音服务被叫收听流程示意图。具体实施方式以下本专利技术实施例所要描述的P2P网络为基于SIP协议的P2P网络，本
的本文档来自技高网...

【技术保护点】
一种会话密钥协商方法，其特征在于，应用于Ｐ２Ｐ网络中，包括：　认证服务器接收来自会话请求实体的认证请求；　认证服务器对会话请求实体以及会话请求目标实体进行认证，如果认证通过，则生成所述会话请求实体与所述会话目标实体的会话密钥；　 　认证服务器向所述会话请求实体返回携带有所述会话密钥的认证响应。

【技术特征摘要】
1、一种会话密钥协商方法，其特征在于，应用于P2P网络中，包括：认证服务器接收来自会话请求实体的认证请求；认证服务器对会话请求实体以及会话请求目标实体进行认证，如果认证通过，则生成所述会话请求实体与所述会话目标实体的会话密钥；认证服务器向所述会话请求实体返回携带有所述会话密钥的认证响应。2、如权利要求1所述的方法，其特征在于，还包括：会话目标实体与会话请求实体交互信息，以获得所述会话密钥。3、如权利要求2所述的方法，其特征在于，所述认证请求中包括会话请求实体标识信息和会话目标实体标识信息；所述认证服务器对会话请求实体以及会话请求目标实体进行认证，如果认证通过，则生成所述会话请求实体与所述会话目标实体的会话密钥的步骤包括：认证服务器根据所述会话请求实体标识信息、所述会话目标实体标识信息分别对所述会话请求实体、所述会话目标实体进行认证；如果认证通过，则生成所述会话请求实体与所述会话目标实体的会话密钥，用认证服务器与所述会话请求实体的共享密钥加密所述会话密钥，生成对应会话请求实体的第一认证票据，用认证服务器与所述会话目标实体的共享密钥加密所述会话密钥，生成对应会话目标实体的第二认证票据。4、如权利要求3所述的方法，其特征在于，所述认证响应中包括所述第一认证票据，所述会话目标实体与会话请求实体交互信息，以获得所述会话密钥的步骤包括：所述会话请求实体用与认证服务器的共享密钥解密所述第一认证票据，以获取所述会话密钥。5、如权利要求4所述的方法，其特征在于，所述认证响应中包括所述第二认证票据，所述会话目标实体与会话请求实体交互信息，以获得所述会话密钥的步骤包括：会话请求实体向会话请求目标实体发送携带有认证信息的会话请求；会话目标实体接收到所述会话请求后，与所述会话请求实体交互信息，以获得所述第二认证票据；会话目标实体用与所述认证服务器的共享密钥解密所述第二认证票据，以获取所述会话密钥。6、如权利要求2所述的方法，其特征在于，所述P2P网络还包括签名代理实体，所述认证请求中包括会话请求实体标识信息、会话目标实体标识信息、以及签名代理实体标识信息，所述认证服务器对会话请求实体以及会话请求目标实体进行认证，如果认证通过，则生成所述会话请求实体与所述会话目标实体的会话密钥的步骤包括：认证服务器根据所述会话请求实体标识信息、会话目标实体标识信息、签名代理实体标识信息分别对所述会话请求实体、会话目标实体、签名代理实体标识进行认证；如果认证通过，则生成对应所述会话请求实体与所述会话目标实体的会话密钥，生成对应所述会话请求实体与所述签名代理实体的会话密钥，用认证服务器与所述会话请求实体的共享密钥加密所述对应所述会话请求实体与所述会话目标实体的会话密钥，生成对应会话请求实体的第三认证票据；用认证服务器与所述会话目标实体的共享密钥加密所述对应所述会话请求实体与所述会话目标实体的会话密钥，生成对应会话目标实体的第四认证票据；加密所述对应所述会话请求实体与所述签名代理实体的会话密钥，生成对应签名代理实体的第五认证票据。7、如权利要求6所述的方法，其特征在于，所述认证响应中包括所述对应会话请求实体的认证票据，所述会话请求者接收到所述认证响应后，根据与所述认证服务器的共享密钥解密所述第三认证票据，以获取所述会话密钥。8、如权利要求7所述的方法，其特征在于，所述认证响应中包括所述第五认证票据，在所述会话目标实体与会话请求实体交互信息，以获得所述会话密钥的步骤之前进一步包括：所述会话请求实体向所述签名代理实体发送携带有认证信息的签名请求消息；所述签名代理实体接收到所述签名请求消息后，与所述会话请求实体交互信息，以获取所述第五认证票据；所述签名代理实体解密所述第五认证票据，以获取所述对应所述会话请求实体与所述签名代理实体的会话密钥，用该会话密钥解密所述认证信息，生成对所述签名请求消息的签名票据；所述签名代理实体向所述会话请求实体返回所述签名票据。9、如权利要求8所述的方法，其特征在于，所述认证响应中携带有所述第四认证票据，所述会话目标实体与会话请求实体交互信息，以获得所述会话密钥的步骤包括：会话请求实体向会话请求目标实体发送携带有所述签名票据以及认证信息...

【专利技术属性】
技术研发人员：金洪波，刘经及，朱贤，李朋，吕晓雨，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]