[发明专利]会话密钥协商方法、网络系统、认证服务器及网络设备

说明书

技术领域

本发明涉及网络通信技术领域，具体涉及一种会话请求实体、认证服务器、 会话目标实体、P2P网络及会话密钥协商方法。

背景技术

对等网(P2P：peer-to-peer)技术是目前国际计算网络技术领域研究的一个 热点，越来越得到了人们的认可。P2P网络提供了一种资源共享的方法，在P2P 网络环境，成前上万台彼此连接的计算机都处于对等的地位，每台主机既可能 是资源请求者(Client)的同时，还可能是资源提供者(Server)，能够对其他计 算机的请求做出响应，自愿提供资源与服务，故对等网中的各个节点可称之为 Peer对等节点。

P2P是一套与SIP相关的协议，其使用P2P技术解析SIP请求的目标 (Resource)，提供SIP消息传输以及其他与SIP相关的服务，互联网工程任务 组(IETF)于2007年2月8日成立了P2P工作组。P2P技术可以用于支撑多种应 用，并可能成为许多网络系统的核心协议，一些电信设备开始关注P2P技术， 并对其开展研究，P2P的典型应用包括P2P VOIP、核心网等，其有可能成为未 来的电信核心网中的一个关键协议。

参考图1，是现有技术的基于SIP协议的P2P网络的一种典型结构示意图， 包括互连的各个peer节点，如用户代理节点(Proxy peer E)、重定向节点(Redirect  peer R)、中继节点(Relay peer Q)、语音服务节点(VM peer S)、代理节点(Proxy peer  P)、网关节点(Gateway peer G)、防火墙穿透节点(STUN peer F)等。

在上述基于SIP协议的P2P网络系统中，为了保证系统安全，需要建立相 应的安全机制，为此，在[]I-D.lowekamp-P2P-dsip-security]草案中，提出了一种 在P2P网络中基于共享密钥的端到端的认证机制。P2P网络中的各个实体(节 点、用户、资源)通过带外机制(通过P2P网络外的传送方法，如电话通知， 口头转达，邮件传送等)事先得到一个共享密钥(shared secret)。当某个实体发 起消息时，对消息各字段(from/to/contact/date/call-id/cseq/message-body)利用 共享密钥和HMAC-SHA1算法生成的值作为Identity认证头域，并在Identity-info 头域中带上算法参数。消息接收方利用事先知道的共享密钥和Identity-info头域 中得到的算法参数对消息的各字段重新计算，如果计算的值和Identity头域带的 值一样，则验证通过，验证通过后，消息接收方回复响应消息，通过同样的方 法生成Identity和Identity头域，最初的消息发起方也通过同样的方法验证响应 消息，会话双方一次会话交互完成。

在上述在[]I-D.lowekamp-P2PSIP-dsip-security]草案中规定的安全机制，在小 规模的网络环境中具备一定的可行性，但在大规模的网络环境下，通过带外机 制传递和分配共享密钥是不安全也不容易实现的。

发明内容

有鉴于此，本发明实施例所要解决的技术问题在于，提供一种应用于P2P 网络中的会话密钥协商方法，实现在P2P网络中提供集中、安全、易管理的会 话密钥协商机制。

为了解决上述技术问题，本发明实施例提出了一种会话密钥协商方法，应 用于P2P网络中，包括：

接收来自会话请求实体的认证请求；

对会话请求实体以及会话目标实体进行认证，如果认证成功，则生成所述 会话请求实体与所述会话目标实体的会话密钥；

向所述认证请求实体返回携带有所述会话密钥的认证响应。

相应地，本发明实施例还提出了一种认证服务器，包括：

认证请求接收单元，用于接收来自会话请求实体的认证请求；

认证单元，用于在所述认证请求接收单元接收到所述认证请求后，对所述 会话请求实体以及会话目标实体进行认证，认证通过后，生成所述会话请求实 体与所述会话目标实体的会话密钥；

认证响应发送单元，用于向所述会话请求实体发送携带有会话密钥的认证 响应。

相应地，本发明还提出了一种会话请求实体，包括：

认证请求单元，用于向认证服务其发送认证请求；

认证响应接收单元，用于接收来自于所述认证服务器的认证响应；