对等网络基于计算能力、带宽以及其他资源，所述资源分布在 多个终端和对等端上。对等端是平等的成员，因此在对等网络中不 存在客户端和服务器架构。对等端在所谓的重叠网络中进行组织， 也即，对等端以路由/分支表(finger table)的形式维护一组到所有 其他对等端的链路。类似CHORD的结构化对等网络具有已定义的 结构，也即，它们的路由和查找表是已经定义好的。网络协议CHORD 基于分布式哈希表创建重叠网络拓扑。对等网络可以随着对等端数 量的增加而扩展，由此已定义的稳定化处理管理对等端的快速加入 或离开。由于对等网络的低成本、自配置、鲁棒性以及可扩展性， 对等网络被用于实现基于IP的语音(VoIP)以及多媒体解决方案。 开放、标准化、结构化以及自组织的对等网络形成了公共电信系统、 互联网上的协同/团体服务、语音/多媒体会议、即时消息、一键通 (push-to-talk)应用、运营商和企业的信息/文件共享的基础。
这些具有最低限度中心化基础设施的对等网络仍然存在若干未 解决的安全问题。当今的对等网络架构或者根据限制分类，或者采 用信誉机制来在对等端之间建立安全性和信任。在受限应用的情况 下，软件代码被加密以防止以创建恶意代码为目的的滥用。网络架 构和通信协议被阻止全面流传。信誉机制或者是基于用户的，其中 对等端评价其他对等端；或者是基于事务的，其中基于某一对等端 与其他对等端已执行的所有事务来计算信任值。所述已建立的安全 机制不能应用到开放、标准化的公共电信系统。受限应用要求封闭 的系统，因为只有在将秘密保持为保密时，才能够保证安全。信誉 机制的使用被提出并进行了研究，但是其还不能解决安全威胁。用 于公共通信系统的、机器对机器的信誉系统必须基于对等端的事务 和消息行为，而不是基于用户的行为。
在对等网络中实施的自组织机制创建了鲁棒的拓扑，并且确保 所存储数据的一致性。智能安全机制的使用应当保护对等端(也即， 网络参与者)、网络拓扑和所存储的数据以抵抗恶意对等端以及恶 意代码的流传。

因此，本发明的一个目的是提供一种用于开放和标准化公共电 信系统的安全机制。
根据本发明，通过向对等网络添加至少一个监视(police)对等 端来实现此目的，其中所述至少一个监视对等端提供该网络内的安 全性，并且由管理对等端的认证和定位的中央认证授权机构所认证。
该至少一个监视对等端作为授权系统的一个扩展分支工作，并 且其提供/或支持对等网络内的安全性。中央认证授权机构管理网络 内的监视对等端。不过这些监视对等端应当具有足够智能以独立运 行以及与其他监视对等端协作运行。
监视对等端由类似认证授权机构的中央单元进行认证、创建和 布置。因此，所有的监视对等端可以被识别和验证，因为所有监视 对等端的证书是由中央认证授权机构签署的。监视对等端的数量由 中央认证授权机构管理。监视对等端可以进行如下操作：
·能够胜任网络内的任何角色以完成其任务；
·在网络内以不可见的方式完成与其他对等端相同的任务(例如 存储数据、转发消息)；
·能够被其他对等端请求以分析网络问题，诸如其他恶意对等端 的攻击；
·分析情形并着手调查以定位恶意对等端，必要时与其他监视对 等端协作；
·通过附加的重叠网络相互连接以提供协作、安全数据存储和通 信；
·能够使恶意对等端从网络隔离，例如，通过撤回证书来实现；
·应当是选择自一组具有保证的可靠性的对等端；
·可以是代表中央单元执行的可扩展组的一部分，例如响应证书 验证请求；
·可以是用于各种信任相关服务的对等端，例如引导程序对等端 和NAT遍历机制(TURN，STUN)。
在本发明的一个优选实施方式中，仅在新对等端的加入过程期 间，对等端才与认证授权机构通信。认证授权机构仅在必须签署新 证书或者已有证书过期时才被涉及。所谓的混合方法降低了对认证 授权机构的要求，并且避免了中央认证授权机构对网络的可扩展性 的影响。为了确保网络内所有对等端的鉴定和认证，提出一种中心 化鉴定结构。
在任何情况下，监视对等端自身必须由中央认证授权机构认证 和指派，如所提出的混合授权系统。这对于防止恶意对等端冒充监 视对等端是必须的，由于开放和标准化协议的特定要求，这在公共 电信系统中是有可能的。混合授权系统包括位于互联网中的认证授 权机构，用于管理对等端的认证和定位以及由监视授权机构提供的 安全性。此监视授权机构由网络中的监视对等端表示，其作为认证 授权机构的一个扩展分支。
优选地，对等网络具有结构化的重叠，例如网络协议CHORD所 提供的环形结构。本发明对等网络的进一步开发的特征在于，所述 至少一个监视对等端的证书包含普通对等端的普通签名以及附加的 监视签名。这允许监视对等端暗中进行调查。在多个监视对等端添 加到网络中的情况下，监视对等端优选地在附加的重叠网络中相互 连接。
本发明的范围还包括一种方法，用于在包括普通对等端的对等 网络中提供安全性。至少一个监视对等端在网络内提供安全性，中 央认证授权机构管理对等端的认证和定位。从而，由该至少一个监 视对等端管理和/或执行本发明方法的三个步骤。在第一步骤，检查 可能的恶意对等端的功能。如果证实了该恶意对等端的危害，则在 第二步骤中，认证授权机构宣布该恶意对等端的证书无效，并且要 求该恶意对等端断开网络。如果该恶意对等端没有断开连接，则接 着在第三步骤中，其他所有对等端关闭它们与该恶意对等端的连接。 本发明方法的一个优选变型的特征在于，在第一步骤中，可能的恶 意对等端被多个监视对等端所包围。
本发明的范围还包括一种实施本发明方法的计算机程序产品。
本发明进一步的优点可以从说明书和附图中提炼。根据本发明， 上述及以下特征可以单独使用或者以任何组合方式共同使用。所提 到的实施方式不应当理解为穷尽性列举，而是为了描述本发明而进 行的举例说明。

本发明的对等网络以及本发明方法的步骤在附图中示出。其中：
图1是新对等端加入期间的示例性对等网络；
图2是新对等端加入之后的对等网络；
图3是对等网络以及监视对等端的附加的重叠网络；
图4是根据图3的示出了监视对等端功能的网络；
图5是检查可能的恶意对等端期间的对等网络；以及
图6a和图6b是执行恶意对等端隔离的对等网络。

图1示出了对等网络100，包括位于以环形结构布置的网络位置 处的对等端0、4、10、15、20、23、28。对等端0、4、7、10、15、 20、23、28的认证和定位由认证授权机构110管理。为了确保网络 100内所有对等端0、4、7、10、15、20、23、28的鉴定和认证，提 出一种中心化的混合鉴定结构。为了验证对等端0、4、7、10、15、 20、23、28的身份以及在对等端0、4、7、10、15、20、23、28之 间建立信任，鉴定是必须的。提出一种混合方法以使对系统可扩展 性的影响最小化。这意味着仅在必须指派新的证书给对等端0、4、7、 10、15、20、23、28时，才请求中央认证授权机构100。如果新的 对等端7加入系统，或者已有的对等端0、4、10、15、20、23、28 需要新的证书，这是必须的。证书包含证书的有效期、对等端的位 置、认证授权机构110的公钥以及验证该证书的签名。网络100内 的对等端0、4、10、15、20、23、28的位置由认证授权机构110计 算，以平衡网络100以及防止恶意对等端选择有利的位置。证书的 签名使用来自认证授权机构110的私钥进行签署，并且可以使用每 个对等端0、4、10、15、20、23、28都已知的认证授权机构110的 公钥进行验证(公钥基础设施)。因此，不需要再次咨询认证授权 机构110就可以验证证书。图1示出了对等端7希望加入网络100， 并且正在向认证授权机构110请求证书(箭头120)。对等端10验 证该证书，并允许对等端7加入网络100。新对等端需要一个可靠点 来加入网络，监视对等端可以提供那些信任相关的服务。
如图2所示，对等网络100包含监视对等端10、23(实心圆圈)， 它们是平等的对等端并且完成与普通对等端0、4、7、15、20、28 相同的任务。认证授权机构110控制监视对等端10、23(箭头130a、 130b)，也即，指派包含监视签名以及普通签名的特定证书，以及 管理监视对等端10、23的位置。通过此方式，其他对等端不可能伪 装监视对等端，并且监视对等端10、23使用普通签名暗中进行调查。 对等端0、4、7、15、20、28在加入过程中获得关于最近的监视对 等端10、23的信息，在所示情形中，新对等端7被告知有关监视对 等端10的信息。
图3中绘出了监视对等端在其自己的附加重叠网络140中进行 组织。对等网络100的监视对等端4、23在该附加重叠网络140中 占据网络位置9和54。对等端在公共网络100内的位置和在监视授 权网络(也即，该附加重叠网络140)内的位置不是相等的，因为监 视对等端4、23可以在公共网络100内改变其位置，例如为了调查 而进行。附加重叠网络140，也即所谓的监视授权网络，用于存储有 关恶意对等端的信息，以及用于监视对等端之间的更好的通信和协 作。因此，所有的监视对等端4、23可以使用分布式数据库来存储 有关恶意对等端的信息，用于公共网络100侧的通信和协作。
图4示出了对等网络100以及附加重叠网络140的功能。普通 对等端15可以向监视对等端23报告已定义的错误(箭头150)，该 监视对等端23发布该错误并且在附加重叠网络140中查找更多的信 息(箭头160a、160b)。在普通对等端0、4、7、15、20、28的加 入过程期间，认证授权机构告知对等端0、4、7、15、20、28有关 最近的监视对等端4、23的信息。因此，在受到攻击或非正常情况 下，每个对等端0、4、7、15、20、28都可以通知监视对等端4、23。 如图4所示，对等端15通知监视对等端23。接收此消息的监视对等 端23继而可以使用该监视授权网络来收集更多的信息，以及与其他 监视对等端协作以找到解决方案。
图5示出了由两个监视对等端4、9提供的调查过程，由此，监 视对等端9加入在可能的恶意对等端7(方块)的后面。调查过程包 括利用诸如转发消息、查找、发布和取回数据以及提供的任何服务 之类的标准方法进行测试。监视对等端4和9分析可能的恶意终端7 的功能(箭头170a、170b、180)。为了分析情况以及定位恶意终端 7，监视对等端4、9、23可以改变它们在网络100内的位置并且与 其他监视对等端4、9、23协作。在图5中，可能的恶意对等端7被 监视对等端4、9所包围。监视对等端4、9检查对等端7的功能， 例如转发消息、存储和取回值以及提供的任何服务。
在图6a和图6b中分别示出了用于在对等网络100中提供安全性 以及隔离恶意对等端7的方法。监视对等端4通知认证授权机构110 以宣告该恶意对等端7的证书无效(箭头190)，以及发布有关该无 效证书的信息，使得其他对等端可以作出反应(箭头200)。继而， 监视对等端4要求该恶意对等端7从网络100断开(箭头210)。前 面以及后面的普通对等端28、0、10、15仍然维持它们与恶意对等 端7的(分支)连接230a、230b有效。在下一步骤中，监视对等端 23、4通知该前面和后面的普通对等端28、0、10、15关闭它们与恶 意对等端7的(分支)连接230a、230b(箭头240a、240b、240c、 240d)。结果，恶意对等端7被断开，也即从网络100隔离。现在， 对等端10是对等端4之后的下一个对等端，因此对等端7被从网络 隔离了。