1.一种基于数字签名的点对点流量控制方法,其特征在于,包括:
点对点P2P客户端启动后发送待上传媒体流前,确定待上传媒体流的流量特征数据,所述流量特征数据包括分配给发送待上传媒体流的所述P2P客户端的端口的端口号;
所述P2P客户端的应用程序以公私密钥对中的私钥,对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备,所述公私密钥对通过数字签名技术产生;
所述网关设备通过所述公私密钥对中的公钥对所述数字签名消息解密,识别所述P2P客户端的应用程序的身份,得到所述流量特征数据;
所述网关设备根据所述流量特征数据配置流量管理策略;
所述P2P客户端的应用程序向所述网关设备发送所述待上传媒体流,所述待上传媒体流中包括所述流量特征数据;
所述网关设备查询所述流量管理策略中是否存在待上传媒体流中的流量特征数据;
若不存在待上传媒体流中的流量特征数据,所述网关设备丢弃所述待上传媒体流;
若存在待上传媒体流中的流量特征数据,所述网关设备从所述流量管理策略中获取所述流量特征数据对应的流量控制策略,并以所述流量控制策略对所述待上传媒体流进行流量控制。
2.根据权利要求1所述的方法,其特征在于,还包括:
通过数字签名技术产生所述公私密钥对,将所述公私密钥对中的私钥配置在所述P2P客户端侧,将所述公私密钥对中的公钥配置在所述网关设备侧。
3.根据权利要求2所述的方法,其特征在于,将所述公私密钥对中的私钥配置在所述P2P客户端侧包括:将所述公私密钥对中的私钥存储在所述P2P客户端中,或者内置到所述P2P客户端的应用程序中;或者
将所述公私密钥对中的公钥配置在所述网关设备侧包括:将所述公私密钥对中的公钥配置在所述网关设备中,或者存储在所述网关设备通信连接的服务器上。
4.根据权利要求3所述的方法,其特征在于,所述流量特征数据还包括协议号和/或互联网协议IP地址。
5.根据权利要求1至4任意一项所述的方法,其特征在于,所述流量管理策略包括:是否转发所述待上传媒体流、是否根据所述待上传媒体流中携带的服务质量QoS标记对所述待上传媒体流进行转发处理与是否对所述待上传媒体流进行转码处理中的任意一种或多种。
6.一种基于数字签名的点对点流量控制系统,包括P2P客户端与网关设备,其特征在于,所述P2P客户端用于在启动后发送待上传媒体流前,确定待上传媒体流的流量特征数据,所述流量特征数据包括分配给发送待上传媒体流的所述P2P客户端的端口的端口号;
所述P2P客户端的应用程序以公私密钥对中的私钥,对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备,所述公私密钥对通过数字签名技术产生;以及通过所述应用程序向所述网关设备发送所述待上传媒体流,所述待上传媒体流中包括所述流量特征数据;
所述网关设备用于通过所述公私密钥对中的公钥对所述数字签名消息解密,识别所述P2P客户端的应用程序的身份,得到所述流量特征数据,根据所述流量特征数据配置流量管理策略;以及查询所述流量管理策略中是否存在待上传媒体流中的流量特征数据;若不存在待上传媒体流中的流量特征数据,丢弃所述待上传媒体流;若存在待上传媒体流中的流量特征数据,从所述流量管理策略中获取所述流量特征数据对应的流量控制策略,并以所述流量控制策略对所述待上传媒体流进行流量控制。
7.根据权利要求6所述的系统,其特征在于,所述P2P客户端的应用程序中配置有所述公私密钥对中的私钥,或者,所述P2P客户端中单独存储有所述公私密钥对中的私钥;
所述网关设备中配置有所述公私密钥对中的公钥,或者所述网关设备用于从服务器获取所述公私密钥对中的公钥。
8.根据权利要求6或7所述的系统,其特征在于,所述流量特征数据进一步包括协议号和/或IP地址。
基于数字签名的点对点流量控制方法与系统\n技术领域\n[0001] 本发明涉及网络流量控制技术,尤其是一种基于数字签名的点对点流量控制方法与系统。\n背景技术\n[0002] 点对点(peer to peer,以下简称:P2P)技术是一种对等互联网络技术,在采用P2P技术的P2P网络中,安装有P2P软件的每个节点的地位都是对等的,既是服务器端又是客户端,每个节点在享受其它节点提供服务的同时,也在为其它节点提供服务,因此,即是流量的消费方,又是流量的生产方。\n[0003] 由于P2P技术充分利用了各节点的计算能力和共享能力等能力,因而它在扩展性、建设成本等方面存在极大的优势。近年来,文件共享、流媒体等各种基于P2P技术的互联网应用发展迅速,P2P下载流量已经占据全球互联网总数据流量的70%以上,P2P技术技术已经成为宽带互联网重要的媒体交付技术,在互联网上出现了许多基于P2P技术实现的P2P视频应用网站。\n[0004] 在P2P网络中,P2P终端由于既是客户端也是服务器端,并且由于P2P业务中的电波和直播实时性要求非常高,而P2P的终端处理能力受很多的限制。尤其是应用于移动网络的P2P终端软件,受移动终端的处理能力和带宽的限制更多,所以考虑对P2P终端进行处理控制不仅是终端P2P业务的需要,也是终端自身安全保护的需要,因此,有必要对P2P终端进行负荷控制,以避免终端出现流量拥塞。\n[0005] 在实现本发明的过程中,发明人发现:\n[0006] 统计显示,目前P2P节点生产的上行流量与网络数据中心(Internet data center,以下简称:IDC)出口的流量基本相当,占据互联网流量的重要组成部分。因此,对P2P节点的上行流量进行控制,即可以减少注入网络的流量,也是控制下行流量的杠杆。但是,目前尚无法依据P2P节点中应用程序的个性化需求,来实现对P2P节点中应用程序上行流量的控制。从而为P2P节点中应用程序提供差异化服务。\n发明内容\n[0007] 本发明实施例所要解决的技术问题是:提供一种基于数字签名的点对点流量控制方法与系统,以依据P2P节点中应用程序的个性化需求,来实现对P2P节点中应用程序上行流量的控制,从而为P2P节点中应用程序提供差异化服务。\n[0008] 为解决上述技术问题,本发明实施例提供的一种基于数字签名的点对点流量控制方法,包括:\n[0009] P2P客户端启动后,所述P2P客户端的应用程序以公私密钥对中的私钥,对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备,所述公私密钥对通过数字签名技术产生;\n[0010] 所述网关设备通过所述公私密钥对中的公钥对所述数字签名消息解密,识别所述P2P客户端的应用程序的身份,得到所述流量特征数据;\n[0011] 所述网关设备根据所述流量特征数据配置流量管理策略,以便根据所述流量管理策略对所述待上传媒体流进行流量控制。\n[0012] 本发明实施例提供的一种基于数字签名的点对点流量控制系统,包括P2P客户端与网关设备,所述P2P客户端用于在启动后,所述P2P客户端的应用程序以公私密钥对中的私钥,对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备,所述公私密钥对通过数字签名技术产生;\n[0013] 所述网关设备用于通过所述公私密钥对中的公钥对所述数字签名消息解密,识别所述P2P客户端的应用程序的身份,得到所述流量特征数据,根据所述流量特征数据配置流量管理策略,以便根据所述流量管理策略对所述待上传媒体流进行流量控制。\n[0014] 基于本发明上述实施例提供的基于数字签名的点对点流量控制方法与系统,在P2P客户端启动后,其中的应用程序以通过数字签名技术产生的私密钥对中的私钥对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备,网关设备以公私密钥对中的公钥对数字签名消息解密,识别P2P客户端的应用程序的合法身份,与现有技术相比,实现了对P2P客户端的应用程序身份的有效识别;另外,依据流量特征数据实现流量管理策略的动态配置,后续便可以通过流量管理策略,根据发送待上传媒体流的P2P客户端的应用程序身份,对其传输的媒体流进行流量控制,与现有技术相比,实现了依据P2P节点中应用程序的个性化需求,对P2P节点中应用程序进行上行流量的控制,从而为P2P节点中应用程序提供了差异化服务。\n[0015] 下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。\n附图说明\n[0016] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。\n[0017] 图1为本发明基于数字签名的P2P流量控制方法一个实施例的流程图;\n[0018] 图2为本发明方法基于数字签名的P2P流量控制方法另一个实施例的流程图;\n[0019] 图3为本发明基于数字签名的P2P流量控制系统一个实施例的结构示意图。\n具体实施方式\n[0020] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。\n[0021] 数字签名技术中,通过采用非对称加密技术对待传输的数据进行加解密,也就是,加密与和解密分别采用公私密钥对中的一个。如果采用公私密钥对中的私钥对待传输的数据进行加密,则采用公私密钥对中的公钥对加密数据进行解密。通过数字签名技术,可以认证数据传输方的合法身份,从而区别数据传输方。\n[0022] 图1为本发明方法一个实施例的流程图。如图1所示,该实施例基于数字签名的点对点流量控制方法包括以下流程:\n[0023] 步骤101,P2P客户端启动后,P2P客户端的应用程序以公私密钥对中的私钥,对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备。其中的公私密钥对通过数字签名技术产生。\n[0024] 作为本发明的一个具体实施例,其中的流量特征数据可以包括端口号,例如:互联网协议(Internet Protocol,以下简称:IP)端口号、传输控制协议(Transmission Control Protocol,以下简称:TCP)端口号、用户数据报协议(User Datagram Protocol,以下简称:\nUDP)端口号等。另外,流量特征数据也可以根据实际需要,进一步包括协议号和/或互联网协议IP地址。\n[0025] 步骤102,网关设备通过公私密钥对中的公钥对数字签名消息解密,识别P2P客户端的应用程序的身份,得到流量特征数据。\n[0026] 步骤103,网关设备根据流量特征数据配置流量管理策略,以便根据流量管理策略对待上传媒体流进行流量控制。\n[0027] 本发明上述实施例提供的基于数字签名的点对点流量控制方法,在P2P客户端启动后,其中的用程序以通过数字签名技术产生的私密钥对中的私钥对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备,网关设备以公私密钥对中的公钥对数字签名消息解密,对P2P客户端的应用程序进行身份认证,与现有技术相比,实现了对P2P客户端的应用程序身份的有效识别;另外,依据流量特征数据实现流量管理策略的动态配置,后续便可以通过流量管理策略,根据发送待上传媒体流的P2P客户端的应用程序身份,对其传输的媒体流进行流量控制,与现有技术相比,实现了依据P2P节点中应用程序的个性化需求,对P2P节点中应用程序进行上行流量的控制,从而为P2P节点中应用程序提供了差异化服务。\n[0028] 作为本发明的一个具体实施例,在步骤103中,可以根据实际需求,设置流量管理策略为:是否转发待上传媒体流、是否根据待上传媒体流中携带的服务质量(Quality of Service,以下简称:QoS)标记对待上传媒体流进行转发处理与是否对待上传媒体流进行转码处理中的任意一种或多种。另外,根据本发明的具体实施例,可以设置流量管理策略中存在的流量特征数据对应的应用程序非法,不进行任何转发处理。\n[0029] 如下表1所示,为流量管理策略的一个具体内容实例:\n[0030] 表1 流量管理策略的一个具体内容实例\n[0031] \n[0032] 根据表1,流量管理策略为:对于后续接收到的P2P客户端发送媒体流的特征数据包括:端口号为4、IP地址为1.1.1.1、传输媒体流采用协议的协议号为1002000的媒体流不予上传;对于后续接收到的P2P客户端发送媒体流的特征数据包括:端口号为2、IP地址为1.1.1.0、传输媒体流采用协议的协议号为2001000的媒体流按照QoS等级为1进行转发,无论该媒体流中携带的QoS标记要求的QoS等级为多少。其中的端口号为源端口号,IP地址为源IP地址。在本发明图1所示的基于数字签名的点对点流量控制方法实施例之前,运营商的公钥基础设施(Public Key Infrastructure,以下简称:PKI)可以通过数字签名技术产生公私密钥对,并向P2P客户端的应用程序签发数字证书,其中包括公私密钥对。可以将公私密钥对中的私钥分发给P2P节点厂商,由P2P节点厂商将公私密钥对中的私钥配置在P2P客户端侧,具体地,可以是将私钥内置在P2P客户端的应用程序中,或将私钥以文件的方式单独存放在P2P客户端内,为了保证私钥的安全性,可以P2P客户端的应用程序对该私钥文件进行加密,在使用时再对加密的私钥文件进行解密获得私钥。另外,将公私密钥对中的公钥配置在网关设备侧,具体地,将公私密钥对中的公钥配置在网关设备中,例如:\n配置在宽带接入服务器(Broadband Remote Access Server,以下简称:BRAS)中,或者,将公钥存储在网关设备通信连接的其它服务器上,在需要使用时从其它服务器上获取。之后,可以通过本发明实施例基于数字签名的点对点流量控制方法进行P2P流量控制。\n[0033] 图2为本发明基于数字签名的P2P流量控制方法另一个实施例的流程图。如图2所示,该实施例基于数字签名的点对点流量控制方法包括以下流程:\n[0034] 步骤201,P2P客户端每次启动后发送待上传媒体流前,确定端口号等流量特征数据。\n[0035] 由于不同的端口分配给不同的客户端,因此,通过端口号可以获知通过该端口号对应的端口发送媒体流的P2P客户端。\n[0036] 步骤202,P2P客户端的应用程序以内置的或读取到的通过数字签名技术产生的公私密钥对中的私钥,对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备。\n[0037] 步骤203,网关设备以公私密钥对中的公钥对数字签名消息解密,并确认是否可以正确解密得到流量特征数据,从而识别P2P客户端的应用程序的身份是否合法。若通过公钥可以正确解密得到流量特征数据,说明加密得到数字签名消息的私钥正确,P2P客户端的应用程序的身份合法,执行步骤204。否则,若通过公钥无法对数字签名消息进行解密,则说明加密得到数字签名消息时采用的私钥错误,P2P客户端的应用程序的身份非法,此时,不再执行本实施例的后续流程。\n[0038] 步骤204,网关设备根据解密得到的流量特征数据,配置流量管理策略,实现了对网关设备上流量管理策略的动态配置。\n[0039] 步骤205,P2P客户端的应用程序向网关设备发送待上传媒体流,该待上传媒体流中包括流量特征数据。\n[0040] 步骤206,网关设备查询流量管理策略中是否存在待上传媒体流中流量特征数据。\n若存在,执行步骤207;否则,丢弃待上传媒体流,不对该待上传媒体流进行转发处理。\n[0041] 步骤207,网关设备从流量管理策略中获取待上传媒体流中流量特征数据对应的流量控制策略,并以流量控制策略对待上传媒体流进行流量控制,例如:是否转发待上传媒体流、是否根据待上传媒体流中携带的QoS标记对待上传媒体流进行转发处理、是否对待上传媒体流进行转码处理以适应对端的播放器参数。\n[0042] 图3为本发明基于数字签名的P2P流量控制系统一个实施例的结构示意图。该实施例基于数字签名的P2P流量控制系统可用于实现本发明上述各基于数字签名的P2P流量控制方法流程。如图3所示,其包括P2P客户端1与网关设备2。其中,P2P客户端1用于在启动后,P2P客户端1的应用程序以公私密钥对中的私钥,对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备。其中的公私密钥对通过数字签名技术产生。网关设备2用于以公私密钥对中的公钥对数字签名消息解密,得到流量特征数据,根据流量特征数据,对P2P客户端1的应用程序进行身份认证,并在P2P客户端1的应用程序通过身份认证后,依据流量特征数据配置流量管理策略,以便根据流量管理策略对待上传媒体流进行流量控制。\n[0043] 基于本发明上述实施例提供的基于数字签名的点对点流量控制系统,在P2P客户端启动后,其中的应用程序以通过数字签名技术产生的私密钥对中的私钥对待上传媒体流的流量特征数据进行加密,形成数字签名消息并发送给网关设备,网关设备以公私密钥对中的公钥对数字签名消息解密,识别P2P客户端的应用程序的合法身份,实现了对P2P客户端的应用程序身份的有效识别;另外,依据流量特征数据实现流量管理策略的动态配置,后续便可以通过流量管理策略,根据发送待上传媒体流的P2P客户端的应用程序身份,对其传输的媒体流进行流量控制,实现了依据P2P节点中应用程序的个性化需求,对P2P节点中应用程序进行上行流量的控制,从而为P2P节点中应用程序提供了差异化服务。\n[0044] 作为本发明基于数字签名的P2P流量控制系统的另一个实施例,在图3所示基于数字签名的P2P流量控制系统中,P2P客户端1具体通过应用程序向网关设备2发送待上传媒体流,该待上传媒体流中包括流量特征数据。网关设备2具体用于从流量管理策略中获取流量特征数据对应的流量控制策略,并以流量控制策略对待上传媒体流进行流量控制。\n[0045] 作为本发明基于数字签名的P2P流量控制系统的另一个实施例,P2P客户端1的应用程序中配置有公私密钥对中的私钥,或者,P2P客户端1中单独存储有公私密钥对中的私钥。相应的,网关设备2中配置有公私密钥对中的公钥,或者网关设备2用于从服务器获取公私密钥对中的公钥。\n[0046] 作为本发明基于数字签名的P2P流量控制系统的又一个实施例,其中的流量特征数据可以包括端口号,还可以进一步包括协议号和/或IP地址。\n[0047] 本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。\n[0048] 本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。\n[0049] 本发明实施例以公私密钥对中的公钥对数字签名消息解密,识别P2P客户端的应用程序的合法身份,实现了对P2P客户端的应用程序身份的有效识别;另外,依据流量特征数据实现流量管理策略的动态配置,后续通过流量管理策略,根据发送待上传媒体流的P2P客户端的应用程序身份,对其传输的媒体流进行流量控制,实现了依据P2P节点中应用程序的个性化需求,对P2P节点中应用程序进行上行流量的控制,从而为P2P节点中应用程序提供了差异化服务。\n[0050] 本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
法律信息
- 2013-11-13
- 2011-05-04
实质审查的生效
IPC(主分类): H04L 29/06
专利申请号: 201010534862.4
申请日: 2010.11.08
- 2011-02-23
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2010-03-10
|
2008-09-04
| | |
2
| |
2008-11-19
|
2008-06-27
| | |
3
| |
2008-11-12
|
2008-07-08
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |