防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点的制作方法

专利名称：防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点的制作方法
技术领域：
本发明涉及一种叠加网络领域，尤其是涉及防止网络设备伪造身份的方法、 装置、系统、客户节点、对等节点及汇聚点。
背景技术：
叠加网络(Overlay Network)是一种在一个或者多个已经存在的下层网络 (例如物理网络或者逻辑网络)之上建立的虚拟网络，可以实现下层网络难 以实现的某些特定功能，例如消息路由或者拓朴维护等。
P2P (Peer to Peer ) 叠加网络，即对等网络，它是在现有的互联网基础 上，采用P2P模式建立的叠加网络。所述对等网络能够在现有的互联网(例如 客户节点/服务器类型的网络)基础上，实现对等网络中对等节点(Peer)之间 地位对等，以及各对等节点间的资源共享等功能。
对等网络存在对等节点和客户节点两种实体。对等节点除了具有资源共享 的功能外，它还需要参与对等网络的组织和维护，包括路由、存储等功能。客 户节点的功能相对简单，它需要通过对等节点将请求转发到网络中，且不具备 路由功能，即网络中的路由不经过客户节点。
对等网络中，每个对等节点和客户节点都有一个身份。路由通过对等节点 身份(Peer ID)存储或读取网络中的资源标记(key)和该标记对应的资源 (value)，客户节点则根据其客户节点身份接收对等节点提供的服务。对等节 点身份和客户节点身份都是按照一定的规则获取的，如，前者采用哈希算法得 到，后者由管理服务器分配得到。
但是，恶意节点很容易伪造对等节点身份和客户节点身份，恶意节点通过 伪造对等节点身份来攻击网络，或者非法获取网络资源；通过伪造其它客户节点身份来规避网络资源的使用费用。
为防止身份伪造，目前常用的方法是每个客户节点在进入网络之前，由 第三方的机构或者组织对客户节点身份进行认证，通过认证的客户节点可以获 得进入网络的证书；客户节点根据证书的私钥对自己生成的消息进行签名，同 时对接收的消息进行认证签名。
上述方式将证书和客户节点绑定在一起，以有效防止身份伪造，但成本较 高首先，该方式需要在网络上部署一个公钥基础设施(PKI， Public Key Infrastructure)系统，该部署本身成本很高，而且系统维护成本也较大；其 次，客户节点需要对发送和接收的每个消息进行签名，所以，会给网络中消息 路由带来较大的延时，这样，在时延要求较高的流^泉体业务中，所述方法不一 定能满足需求；再次，在某些简单的应用环境中，即使客户节点和对等节点双 方都有证书，该证书也不一定用来对消息进行认证，只要进行身份认证即可。

发明内容
一方面，本发明的实施例提供了 一种在对等网络中防止节点伪造身份的方 法，解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部 署、维护开,大的问题；同时，解决了现有防止对等节点欺骗的技术方案需要 对每个发送和接收消息进行验证签名，造成消息路由时延长的问题。
为达到上述目的，本发明实施例在对等网络中防止节点伪造身份的方法实 施例采用如下步骤
客户节点找到为自己服务的对等节点后，客户节点或对等节点至少一方作 为认证发起方，对对方的身份进行认证；
认证通过后，作为认证发起方的客户节点或对等节点在本地建立并存储对
方的身份防伪记录表。
本发明实施例提供的防止节点伪造身份的方法中，对等节点或客户节点通
8过在自己本地存储身份防伪记录表，解决了现有防止对等节点欺骗的技术方案 需要部署公钥基础设施，造成部署、维护开销大的问题。利用该身份防伪记录 表识别恶意节点的过程简单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。利用该身份防伪记录表识别恶 意节点，只需要对节点的身份进行验证，不用对每个发送和接收消息进行验证 签名，减少了路由时延。
另 一方面，本发明实施例提供了 一种在对等网络中防止节点伪造身份的装 置，解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部
署、维护开销大的问题；同时，解决了现有防止对等节点欺骗的技术方案需要 对每个发送和接收消息进行验证签名，造成消息路由时延长的问题。
为达到上述目的，本发明在对等网络中防止节点伪造身份的装置实施例采 用如下技术方案，包括认证单元、存储单元和识别单元
所述认证单元，用于检测节点的身份的合法性；
所述存储单元，用于建立并存储所述被检测的节点的身份防伪记录表； 所述识别单元，根据身份防伪记录表识别恶意节点。
本发明实施例提供的防止节点伪造身份的装置中，对等节点或客户节点通 过在自己本地存储单元存储身份防伪记录表，解决了现有防止对等节点欺骗的 技术方案需要部署公钥基础设施，造成部署、维护开销大的问题。识别单元利 用该身份防伪记录表识别恶意节点的过程筒单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。识别单元利用该身份防伪记录 表识别恶意节点，认证单元只需要对节点的身份进行验证，不用对每个发送和 接收消息进行验证签名，减少了路由时延。
9本发明实施例提供了 一种客户节点，解决了现有防止对等节点欺骗的技术
方案需要部署公钥基础设施，造成部署、维护开销大的问题；同时，解决了现 有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名，造 成消息路由时延长的问题。
为达到上述目的，本发明的客户节点实施例采用如下技术方案，所述客户 节点包括认证单元、存储单元和识别单元
所述认证单元，用于对对等节点的身份的合法性进行认证；
所述存储单元，用于根据所述认证单元的认证结果建立并存储所述对等节 点的身份防伪记录表；
所述识别单元，用于根据发送消息的对等节点的信息及存储单元存储的身
份防伪记录表识别恶意对等节点。
本发明实施例4是供客户节点通过在自己本地存储器存储身份防伪记录表， 解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部署、 维护开销大的问题。客户节点识别单元利用该身份防伪记录表识别恶意对等节 点的过程简单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。客户节点识别单元利用该身份 防伪记录表识别恶意对等节点，客户节点认证单元只需要对对等节点的身份进 行验证，不用对每个发送和接收消息进行验证签名，减少了路由时延。
本发明实施例提供了 一种网络对等节点，解决了现有防止对等节点欺骗的 技术方案需要部署公钥基础设施，造成部署、维护开销大的问题；同时，解决 了现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签 名，造成消息路由时延长的问题。
为达到上述目的，本发明的网络对等节点实施例采用如下技术方案，所述对等节点包括认证单元、存储单元和识别单元
所述认证单元，用于对客户节点的身份的合法性进行认证； 所述存储单元，用于根据所述认证单元的认证结果建立并存储所述客户节
点的身份防伪记录表；
所述识别单元，用于根据发送消息的客户节点信息及存储单元存储的身份
防伪记录表识别恶意客户节点。
本发明实施例提供对等节点通过在自己本地存储器存储身份防伪记录表， 解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部署、 维护开销大的问题。对等节点识别单元利用该身份防伪记录表识别恶意客户节 点的过程简单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证鋈名，造成消息路由时延长的问题。对等节点识别单元利用该身份 防伪记,表识别恶意客户节点，对等节点认证单元只需要对客户节点的身份进 行验证，不用对每个发送和接收消息进行验证签名，减少了路由时延。
本发明实施例提供了一种网络汇聚点，解决了现有防止对等节点欺骗的技 术方案需要部署公钥基础设施，造成部署、维护开销大的问题；同时，解决了 现有防止对等节点欺骗的技术方案需要对每个发送和接收消息进行验证签名， 造成消息路由时延长的问题。
为达到上述目的，本发明的网络汇聚点实施例采用如下技术方案，所述汇 聚点包括认证单元、存储单元和识别单元
所述认证单元，用于对被检测节点的身份的合法性进行认证；
所述存储单元，用于根据认证单元的认证结果建立并存储所述被检测节点 的身份防伪记录表；
所述识别单元，用于根据消息发送节点信息及存储单元存储的身份防伪记录表识别恶意节点。
本发明实施例提供汇聚点通过在自己本地存储器存储身份防伪记录表，解 决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部署、维 护开销大的问题。汇聚点识别单元利用该身份防伪记录表识别恶意节点的过程 筒单、有效、，检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。汇聚点识别单元利用该身份防 伪记录表识别恶意节点，汇聚点认证单元只需要对节点的身份进行验证，不用 对每个发送和接收消息进行验证签名，减少了路由时延。
再一方面，本发明的实施例提供了 一种在对等网络中防止节点伪造身份的 系统，解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成
部署、维护开销大的问题；同时，解决了现有防止对等节点欺骗的技术方案需 要对每个发送和接收消息进行验证签名，造成消息路由时延长的问题。
为达到上述目的，本发明在对等网络中防止节点伪造身份的系统实施例采 用如下技术考案，包括对等节点和客户节点
所述客户节点用于找到为自己服务的对等节点并与其建立连接； 所述对等节点用于与向自己发起服务请求的客户节点建立连接； 所述客户节点或对等节点至少一方作为认证发起方，对对方的身份进行认
证；
认证通过后，作为认证发起方的客户节点或对等节点在本地建立并存储对
，
方的身份防伪记录表。
本发明实施例提供的防止节点伪造身份的系统中，对等节点或客户节点通 过在自己本地存储器存储身份防伪记录表，解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部署、维护开销大的问题。对等节点和客 户节点的识别单元利用该身份防伪记录表识别恶意节点的过程简单、有效、检 测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。对等节点和客户节点的识别单 元利用该身份防伪记录表识别恶意节点，认证单元只需要对节点的身份进行验 证，不用对每个发送和接收消息进行验证签名，减少了路由时延。


图1为本发明实施例防止节点伪造身份的方法的流程图； 图2为本发明实施例利用汇聚点防止节点伪造身份的方法示意图； 图3为本发明实施例防止节点伪造身份的装置组成结构示意图； 图4为本发明实施例防止节点伪造身份的系统结构示意图。
具体实施例方式
在对等网络中，为了解决现有防止对等节点欺骗的方法开销大，时延长的问 题，本发明实施例提供了一种防止节点伪造身份的方法。下面结合附图对本发 明防止节点伪造身份的方法实施例进行详细描述。
如图l所示，本发明实施例提供的防止节点伪造身份的方法包括如下步骤
11、客户节点找到为自己服务的对等节点后，客户节点或对等节点至少一
方作为认证发起方，对对方的身份进行认证； iU正包4舌单向iU正和^又向iU正。
单向认证是指认证的发起方，既可以是客户节点也可以是对等节点，即 客户节点对对等节点的身份进行认证，或者对等节点对客户节点的身份进行认 证。
. 双向认证是指客户节点对对等节点的身份进行认证；同时，对等节点也 对客户节点的身份进行认证。具体认诉过程为现有技术，不再赘述。
12、认证通过后，作为认证发起方的客户节点或对等节点在本地建立并存
储对方的身份防伪记录表。
在单向认证的情况下，认证的发起方是客户节点。该客户节点在本地建立
对等节点的身份防伪记录表。该身份防伪记录表包括对等节点的身份和物理 地址，以及对等节点身份和物理地址的映射关系。
在单向认证的情况下，认证的发起方是对等节点。该对等节点在本地建立 客户节点的身份防伪记录表。该身份防伪记录表包括客户节点的身份和物理 地址，以及客户节点身份和物理地址的映射关系。
在双向认证的情况下，对等节点在本地建立客户节点的身份防伪记录表； 该客户节点在本地建立对等节点的身份防伪记录表。
" 所述对等节点身份包括对等节点的标识；所述客户节点身份包括客户节点 标识或对等节点标识；所述物理地址可以是节点的MAC地址、IP地址、异端传 输模式虚路径标识符/异端传输模式虚通道标识符(ATMVPI/VCI, Asynchronous Transfer Mode Virtual Path Identifier/Virtual Channel Identifier )、虚 拟局域网号(VLAN ID, Virtual Local Area Network ID)等，也可以是客户 节点和对等节点间的物理连接的地址。 一个对等节点可以与至少两个物理地址
存在映射关系。
节点在本地建立并存储对方的身份防伪记录表，并通过该身份防伪记录表 识别恶意节点。当节点为客户节点时，该客户节点识别恶意节点的过程具体如 下
21、 客户节点接收到对等节点发送的消息后，作为认证发起方，对对等节 点的身份和物理地址的映射关系进行认证；
22、 当对等节点的身份和物理地址的映射关系，与发起方拥有的身份防伪 记录表中的记录一致时，该对等节点不是恶意节点；否则，为恶意节点
14当节点为对等节点时，该对等节点识別恶意节点的具体过程如下
31、 对等节点当接收到客户节点发送的消息后，作为认证发起方，对客户 节点的身份和物理地址的映射关系进行认证；
32、 当客户节点的身份和物理地址的映射关系，与发起方拥有的身份防伪 记录表中的记录一致时，该客户节点不是恶意节点；否则，为恶意节点
本发明实施例提供的防止节点伪造身份的方法中，对等节点或客户节点通 过在自己本地存储身份防伪记录表，解决了现有防止对等节点欺骗的技术方案 需要部署公钥基础设施，造成部署、维护开销大的问题。利用该身份防伪记录 表识别恶意节点的过程简单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。利用该身份防伪记录表识别恶 意节点，只需要对节点的身份进行验证，不用对每个发送和接收消息进行验证 签名，减少了路由时延。
当对等节点的物理地址改变后，客户节点要将该对等节点的身份防伪记录 在身份防伪记录表中删除；
当对等节点获得新的物理地址后，所述客户节点对该对等节点进行重新认
证；
认证通过后，客户节点将该对等节点的的身份和新物理地址的映射关系存 储在自己本地的身份防伪记录表里。
当所述为客户节点服务的对等节点离开对等网络时，该对等节点将客户节 点的身份和物理地址的映射关系通知给代理对等节点；同时通知客户节点由代 理对等节点继续为其提供服务；
客户节点在接受代理对等节点为其提供服务之前，先对代理对等节点进行 身份认证；
认证通过后，所述客户节点将代理对等节点的身份和物理地址的映射关系 添加到本地的身份防伪记录表中；
然后，客户节点接受代理对等节点为其提供的服务。在某些应用场景中，如图2所示，在对等网络中连接有能感知对等网络中
消息流量的汇聚点，各对等节点通过所述汇聚点连接到对等网络，对等节点上 还可以连接客户节点。对等节点间的消息通过某一个汇聚点转发到对等网络。
这些汇聚点具有基本的消息解析功能，通过深度报文4企测(DPI， de印packer inspection)方法对接收到的消息流量进行解析，得到消息内容，提取消息中 对等节点的身份和物理地址的映射关系，并建立该对等节点的身份防伪记录表。
本发明实施例同时提供了 一种在对等网络中防止节点伪造身份的装置，如 图3所示，包括认证单元1、存储单元2和识别单元3: 认证单元l，用于检测节点的身份的合法性；
存储单元2，用于建立并存储所述被检测的节点的身份防伪记录表； 识别单元3,根据身份防伪记录表识别恶意节点。
所述节点包括客户节点和对等节点，当所述节点为客户节点时，所述节点 的身份防伪记录表包括对等节点的身份和物理地址，以及该身份和物理地址 的映射关系；所述对等节点身份包括对等节点标识；当所述节点为对等节点时， 所述节点的身份防伪记录表包括客户节点的身份和物理地址，以及该身份和 物理地址的映射关系。
根据身份防伪记录表识别恶意节点的过程在方法中已经详细说明，此处不 再赘述。
本发明实施例提供的防止节点伪造身份的装置中，所述节点通过在自己本 地存储单元存储身份防伪记录表，解决了现有防止对等节点欺骗的技术方案需 要部署公钥基础设施，造成部署、维护开销大的问题。识别单元利用该身份防 伪记录表识别恶意节点的过程简单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。识别单元利用该身份防伪记录表识别恶意节点，认证单元只需要对节点的身份进行验证，不用对每个发送和 接收消息进行验证签名，减少了路由时延。
本发明实施例还提供了一种客户节点，该客户节点包括认证单元、存储单
元和识别单元
认证单元，用于对对等节点的身份的合法性进行认证；；
存储单元，用于根据所述认证单元的认证结果建立并存储所述对等节点的
身份防伪记录表；
识别单元，用于根据发送消息的对等节点的信息及存储单元存储的身份防 伪记录表识别恶意对等节点。
对等节点的身份防伪记录表包括对等节点的身份和物理地址，以及该身 份和物理地址的映射关系。
该客户节点能够识别恶意对等节点，识别恶意对等节点的具体过程在方法
中已经详细说明，此处不再赘述。
本发明实施例提供客户节点通过在自己本地存储器存储身份防伪记录表， 解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部署、 维护开销大的问题。客户节点识别单元利用该身份防伪记录表识别恶意节点的 过程简单、有效、检测开销小。
同时，^决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。客户节点识别单元利用该身份 防伪记录表识别恶意对等节点，客户节点认证单元只需要对对等节点的身份进 行验证，不用对每个发送和接收消息进行验证签名，减少了路由时延。
本发明实施例还提供了 一种网络对等节点，其特征在于所述对等节点包括 认证单元、存储单元和识别单元
认证单元，用于对客户节点的身份的合法性进行认证；
17存储单元，用于根据所述认证单元的认证结果建立并存储所迷客户节点的
身份防伪记录表；
识别单元，用于根据发送消息的客户节点信息及存储单元存储的身份防伪 记录表识别恶意客户节点。
客户节点的身份防伪记录表包括客户节点的身份和物理地址；以及该身 份和物理地址的映射关系。
该对等节点能够识别恶意客户节点，识别恶意客户节点的具体过程在方法
中已经详细说明，此处不再赘述。
本发明实施例提供网络对等节点通过在自己本地存储器存储身份防伪记录 表，解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部 署、维护开销大的问题。对等节点识别单元利用该身份防伪记录表识别恶意节 点的过程简单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。对等节点识别单元利用该身份 防伪记录表识别恶意客户节点，对等节点认证单元只需要对客户节点的身份进 行验证，不用对每个发送和接收消息进行验证签名，减少了路由时延。
本发明实施例还提供了 一种网络汇聚点，其特征在于所述汇聚点包括认证 单元、存储单元和识别单元
认证单元，用于对被检测对等节点的身份的合法性进行认证；
存储单元，用于根据认证单元的认证结果建立并存储所述被检测对等节点 的身份防伪记录表；
识别单元，用于根据消息发送节点信息及存储单元存储的身份防伪记录表 识别恶意节点。
对等节点身份防伪记录表包括客户节点的身份和物理地址，以及该身份和物理地址的映射关系。
该对汇聚点能够识别恶意节点，具体过程在方法中已经详细说明，此处不 再赘述。
本发明卖施例提供网络汇聚点通过在自己本地存储器存储身份防伪记录 表，解决了现有防止对等节点欺骗的技术方案需要部署公钥基础设施，造成部 署、维护开销大的问题。汇聚点识别单元利用该身份防伪记录表识别恶意节点 的过程简单、有效、检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。汇聚点识别单元利用该身份防 伪记录表识别恶意节点，汇聚点认证单元只需要对节点的身份进行验证，不用 对每个发送和接收消息进行验证签名，减少了路由时延。
本发明实施例还提供了一种在对等网络中防止节点伪造身份的系统，如图4
所示，包括对等节点和客户节点
客户节一用于找到为自己服务的对等节点并与其建立连接； 该对等节点用于与向自己发起服务请求的客户节点建立连接； 客户节点或对等节点至少一方作为认证发起方，对对方的身份进行认证； 认证通过后，作为认证发起方的客户节点或对等节点在本地建立并存储对
方的身份防伪记录表。
对等节点身份防伪记录表包括对等节点的身份和物理地址，以及该身份
和物理地址的映射关系；客户节点的身份防伪记录表包括客户节点的身份和
物理地址，以及该身份和物理地址的映射关系。
在某些应用场景中，本发明实施例提供的在对等网络中防止节点伪造身份
的系统，还可以包括汇聚点，所述汇聚节点连接至少一个对等节点，所述对等
节点连接客户节点。.对等节点用于找到为自己服务的汇聚点并与其建立连接； 所述汇聚点用于与向自己发起服务请求的对等节点建立连接； 所述汇聚点作为认证发起方，对该对等节点的身份进行认证； 认证通过后，作为认证发起方的汇聚点在本地建立并存储该对等节点的身 份防伪记录表。
所述节点为客户节点或对等节点，当所述节点为客户节点时，所述节点身 份防伪记录表包括对等节点的身份和物理地址，以及该身份和物理地址的映射 关系；当所述节点为对等节点时，所述节点身份防伪记录表包括客户节点的身 份和物理地址，以及该身^f分和物理地址的映射关系。
该系统能够识别恶意节点，识别恶意节点的具体过程在方法中已经详细i兌
明，此处不再赘述。
本发明实施例提供的防止节点伪造身份的系统中，对等节点、客户节点或 汇聚点通过在自己本地存储器存储身份防伪记录表，解决了现有防止对等节点 欺骗的技术方案需要部署公钥基础设施，造成部署、维护开销大的问题。对等 节点、客户节点或汇聚点利用身份防伪记录表识别恶意节点的过程筒单、有效、 检测开销小。
同时，解决了现有防止对等节点欺骗的技术方案需要对每个发送和接收消 息进行验证签名，造成消息路由时延长的问题。对等节点、客户节点或汇聚点 利用身份防伪记录表识别恶意节点，只需要对节点的身份进行验证，不用对每 个发送和接收消息进行验证签名，减少了路由时延。
权利要求
1、一种在对等网络中防止节点伪造身份的方法，所述对等网络包括对等节点和客户节点；其特征在于包括如下步骤客户节点找到为自己服务的对等节点后，客户节点或对等节点至少一方作为认证发起方，对对方的身份进行认证；认证通过后，作为认证发起方的客户节点或对等节点在本地建立并存储对方的身份防伪记录表。
2、 根据权利要求l所述的在对等网络中防止节点伪造身份的方法，所述节 点为客户节点或对等节点，其特征在于当所述节点为客户节点时，所述节点身份防伪记录表包括对等节点的身份 和物理地址，；以及该身份和物理地址的映射关系；当所述节点为对等节点时，所述节点身份防伪记录表包括客户节点的身份 和物理地址，以及该身份和物理地址的映射关系。
3、 根据权利要求l所述的在对等网络中防止节点伪造身份的方法，其特征 在于当所述节点为客户节点时，还包括如下步骤所述客户节点接收对等节点发送的消息后，作为认证发起方，对该对等节 点的身份和物理地址的映射关系进行认证；当所述对等节点的身份和物理地址的映射关系，与所述客户节点拥有的身 份防伪记录表中的记录一致时，该对等节点不是恶意节点；否则，为恶意节点；当所述节点为对等节点时，还包括如下步骤所述对等节点接收客户节点发送的消息后，作为认证发起方，对该客户节 点的身份和物理地址的映射关系进行认证；当所述客户节点的身份和物理地址的映射关系，与所述对等节点拥有的身份防伪记录表中的记录一致时，该客户节点不是恶意节点；否则，为恶意节点。
4、 根据权利要求2或3所述的在对等网络中防止节点伪造身份的方法，其 特征在于还包括当对等节点的物理地址改变后，所述客户节点将该对等节点的身份防伪记 录删除；所述客户节点对该对等节点进行重新认证；认证通过后，将该对等节点的的身份和新物理地址的映射关系存储在本地 的身份防伪记录表里。
5、 根据权利要求1所述的在对等网络中防止节点伪造身份的方法，其特征 在于还包括当所述为客户节点服务的对等节点离开对等网络时，该对等节点将客户节 点的身份和物理地址的映射关系通知给代理对等节点；同时通知客户节点由代 理对等节点继续为其提供服务；客户节点对代理对等节点进行身份认证；认证通过后，所述客户节点将代理对等节点的身份和物理地址的映射关系 添加到本地的身份防伪记录表中；客户节点接受代理对等节点为其提供的服务。 、
6、根据权利要求2所述的在对等网络中防止节点伪造身份的方法，其特征 在于所述身份和物理地址的映射关系为 一个对等节点与至少两个物理地址存 在映射关系。
7、根据权利要求l所述的在对等网络中防止节点伪造身份的方法，所述对 等网络还包括连接至少 一个对等节点的汇聚点，其特征在于包括如下步骤对等节点找到为自己服务的汇聚点后，汇聚点对该对等节点的身份进行认证；认证通过后，汇聚点在本地建立并存储该对等节点的身份防伪记录表。
8、 根据权利要求7所述的在在对等网络中防止节点伪造身份的方法，所述 节点为客户节点或对等节点，其特征在于当所述节点为客户节点时，所述节点身份防伪记录表包括对等节点的身份 和物理地址，以及该身^f分和物理地址的映射关系；当所述节点为对等节点时，所述节点身份防伪记录表包括客户节点的身份 和物理地址，以及该身^f分和物理地址的映射关系。
9、 根据权利要求7所述的在对等网络中防止节点伪造身份的方法，其特征 在于，所述节点找到为自己服务的汇聚点后，汇聚点对节点的身份进行认证的 步骤包括所述汇聚点接收所述节点发送的消息后，采用深度报文检测方法检测消息 流量；从消息中提取该节点的身份和物理地址。
10、 一种在对等网络中防止节点伪造身份的装置；其特征在于包括认证单 元、存储单元和识别单元所述认译单元，用于检测节点的身份的合法性；所述存储单元，用于建立并存储所述被检测的节点的身份防伪记录表；所述识别单元，根据身份防伪记录表识别恶意节点。
11、 根据权利要求10所述的在对等网络中防止节点伪造身份的装置，所述 节点为客户节点或对等节点，其特征在于当所述节点为客户节点时，所述节点身份防伪记录表包括对等节点的身份 和物理地址，以及该身^f分和物理地址的映射关系；当所述节点为对等节点时，所述节点身份防伪记录表包括客户节点的身份 和物理地址，以及该身份和物理地址的映射关系。
12、 一种客户节点，其特征在于所述客户节点包括认证单元、存储单元和 识别单元所述认证单元，用于对对等节点的身份的合法性进行认证； 所述存储单元，用于根据所述认证单元的认证结果建立并存储所述对等节点的身份防伪记录表；所述识别单元，用于根据发送消息的对等节点的信息及存储单元存储的身份防伪记录表识别恶意对等节点。
13、 一种网络对等节点，其特征在于所述对等节点包括认证单元、存储单 元和识别单元所述认证单元，用于对客户节点的身份的合法性进行认证； 所述存储单元，用于根据所述认证单元的认证结果建立并存储所述客户节点的身份防伪记录表；所述识别单元，用于根据发送消息的客户节点信息及存储单元存储的身份防伪记录表识别恶意客户节点。
14、 一种网络汇聚点，其特征在于所述汇聚点包括认证单元、存储单元和 识别单元所述认证单元，用于对被检测对等节点的身份的合法性进行认证； 所述存储单元，用于根据认证单元的认证结果建立并存储所述被检测的对等节点的身份防伪记录表；所述识别单元，用于根据发送消息的对等节点信息及存储单元存储的身份防伪记录表识别恶意节点。
15、 一种在对等网络中防止节点伪造身份的系统，包括对等节点和客户节 点，其特征在于所述客户节点用于找到为自己服务的对等节点并与其建立连接； 所述对等节点用于与向自己发起服务请求的客户节点建立连接； 所迷客户节点或对等节点至少一方作为认证发起方，对对方的身份进行认证；认证通过后，作为认证发起方的客户节点或对等节点在本地建立并存储对 方的身份防伪记录表。
16、 根据权利要求15所述的在对等网络中防止节点伪造身份的系统，其特 征在于当所述节点为客户节点时，所述节点身份防伪记录表包括对等节点的身份 和物理地址，以及该身份和物理地址的映射关系；.当所述节点为对等节点时，所述节点身份防伪记录表包括客户节点的身份 和物理地址，'以及该身份和物理地址的映射关系。
17、 根据权利要求15所述的在对等网络中防止节点伪造身份的系统，它还 包括连接在对等网络中的汇聚点，所述汇聚点连接至少一个对等节点，其特征 在于所述对等节点用于找到为自己服务的汇聚点并与其建立连接； 所述汇聚点用于与向自己发起服务请求的对等节点建立连接； 所述汇聚点作为认证发起方，对该对等节点的身份进行认证； 认证通过后，作为认证发起方的汇聚点在本地建立并存储该对等节点的身 份防伪记录表。
全文摘要
本发明实施例公开了一种在对等网络中防止节点伪造身份的方法、装置、系统、客户节点、对等节点及汇聚点，涉及叠加网络领域，解决了开销大、时延长的问题。本发明实施例采用的方法包括客户节点找到服务对等节点后，客户节点或对等节点至少一方进行身份认证；认证通过后，客户节点或对等节点建立对方的身份防伪记录表。本发明实施例采用的装置，包括认证单元，用于检测身份的合法性；存储单元，用于建立并存储身份防伪记录表；识别单元，用于识别恶意节点。客户节点、对等节点或汇聚点包括认证单元、存储单元和识别单元。本发明实施例采用的系统，包括所述对等节点和客户节点。本发明可广泛应用于对等网络中网络设备的身份认证中。
文档编号H04L9/32GK101499903SQ20081000683
公开日2009年8月5日 申请日期2008年2月2日 优先权日2008年2月2日
发明者峰 李, 江兴烽, 蒋海峰 申请人:华为技术有限公司