[发明专利]基于CDN和P2P的混合型内容网络的用户接入系统及认证方法

说明书

技术领域

本发明涉及网络接入及认证技术，具体的说，是涉及一种基于CDN(内容分发网络)和P2P（对等）的混合型内容网络的用户接入系统及接入认证方法。

背景技术

P2P与CDN技术的融合，造就一种新的混合型内容网络，这种网络一方面可以互补自身先天计算模型的缺陷，对CDN或者P2P传统架构进行改造；一方面P2P的扩展能力和CDN的可靠性、可管理性也可完美结合。这两方面都为实现一个能够承载电信级超大规模内容分发传送应用的内容分发平台提供了机会。

在这种复杂的混合网络中，如何保证合法用户能安全接入，阻止非法用户优先或越权接入网络，以及如何保证传送的数据的完整性，成为网络平台运营商必须考虑到的技术难题。

发明内容

本发明所要解决的技术问题是：提出一种基于CDN和P2P的混合型内容网络的用户接入系统及认证方法，保证在复杂的网络环境下用户接入的合法性，以及数据传输的安全性和完整性。

本发明解决上述技术问题所采用的方案是：基于CDN和P2P的混合型内容网络的用户接入系统，包括：

主域节点，通过设立证书签发机构CA，签发子域证书、对各个子域证书进行鉴权和管理，通过识别、验证子域及接入网络的身份，并对子域证书进行签名，以确保证书持有者的身份和公钥的拥有权；

子域节点，通过设立证书签发机构MCA，签发客户端证书、对各个客户端证书进行鉴权和管理，通过识别、验证客户端的身份，并对客户端证书进行签名，以确保证书持有者的身份和公钥的拥有权；

客户端，向子域节点进行注册，获取子域节点签发的客户端证书，此后，在向子域节点服务器申请资源时，首先向子域节点的证书签发机构MCA提供自身的客户端证书，由MCA鉴权客户端证书信息，记录该客户端的相关信息，并提供资源文件的下载地址；或，该客户端以P2P的方式从其它客户端处获取相应资源。

进一步，所述子域证书中包括了子域节点的相关信息：节点名、接入时间、有效期、签名算法、资源发布的权限。

进一步，所述主域节点对子域证书进行鉴权的内容包括：验证证书是否为自己签发、验证证书的有效性、验证此证书是否拥有某项资源或服务的权限。

进一步，所述主域节点对子域证书进行管理包括了对该子域证书的吊销管理：如果主域节点需要吊销某一子域节点，CA会向整个网络的所有子域节点发送吊销列表，吊销列表里包含了主域节点吊销子域节点的名单，各子域节点在收到吊销列表后，即可知道主域节点是否同意子域节点的网络接入，已吊销的子域节点服务器如果向主域节点申请某一资源或服务，则主域节点会不予受理；且若某一子域节点的子域证书被吊销，则该子域下的所有客户端均被吊销，将无法使用系统的资源。

进一步，所述主域节点对子域证书进行签名的具体方式为：当主域节点向各子域节点发布资源或服务，对发布的资源全部或某一部分做MD5或SHA1计算，获得计算值MD，并通过数字签名算法的私钥对MD加密处理，完成对数据的合法签名。

进一步，所述子域节点的证书签发机构MCA根据该子域节点的子域证书和私钥生成客户端证书。

进一步，所述客户端证书中包括了客户端的相关信息及拥有权限，所述客户端的相关信息包括：该客户端的地址、端口、申请资源的情况。

进一步，所述子域节点对客户端证书进行管理包括了对该客户端证书的吊销管理：子域节点的证书签发机构MCA向各个客户端发送吊销列表，吊销列表里包含了相应客户端的客户端证书信息，各个客户端收到吊销列表后，会记录被吊销的客户端证书信息；如果被吊销的客户端向子域节点服务器申请某一资源或服务，则子域节点服务器会不予受理；如果被吊销的客户端向其所在子域的其它客户端申请资源，其它客户端会检查吊销列表里是否包含申请资源的客户端的相关信息，当检查到该申请资源的客户端的相关信息处于吊销列表中时，不予向该客户端提供资源。

本发明的另一目的，还在于提出一种基于CDN和P2P的混合型内容网络的用户接入认证方法，该方法包括以下步骤：

a.子域节点与主域节点之间的认证：

a1.主域节点的证书签发机构CA向子域节点签发包括子域节点相关信息的子域证书；

a2.当子域节点需要获取某一资源时，向主域节点发出申请，并向证书签发机构CA提供自身的子域证书；

a3.证书签发机构CA对该子域证书进行鉴权；

a4.在鉴权通过后，主域节点向该子域节点传送资源；

b.客户端与子域节点之间的认证：