一种构建交换网络的方法及交换网络

摘要

本发明公开了一种构建交换网络的方法及交换网络，以使交换服务器能够对其覆盖范围内的各通信单元进行统一的管理。本发明方法包括：交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；以及该交换服务器为通信单元生成身份信息；通信单元以所述身份信息与该交换服务器覆盖区域内的其它通信单元通信。

说明书

技术领域

本发明涉及通信领域、电子认证领域，特别是涉及一种构建交换网络的方法及交换网络。

背景技术

在现有的交换网络中常用的通信方式为通信单元之间通过交换服务器进行通信。这种通信方式基于J2EE标准中的JMS标准、Lotus Domino标准等，通常为异步传输。

基于现有交换网络架构及通信方式，通信单元之间的通信流程参见图1所示，包括下列步骤：

X1、发送方通信单元将欲发出的数据和接收方通信单元的地址生成消息，向交换服务器发出。

X2、交换服务器收到所述消息后，解析该消息中的接收方通信单元地址，并将该消息中的数据重新打包，向所述接收方通信单元的地址转发。

其中，若发送方通信单元与接收方通信单元未托管于同一本地交换服务器，则发送方通信单元通过其本地交换服务器将所述消息发送到远程交换服务器，再由远程交换服务器通过接收方通信单元托管的本地交换服务器，将所述消息转发到接收方通信单元。

其中，若发送方通信单元与接收方通信单元托管于同一本地交换服务器，则由该本地交换服务器直接进行转发。

X3、接收方通信单元收到消息后，直接解读其中携带的数据。

从上述流程可以看出，现有交换网络的构建过程中，通信单元可只要与交换服务器存在物理连接即可向其它通信单元发送消息，交换服务器只是起到转发的作用，未对其覆盖范围内的通信单元进行统一的管理。进而会造成通信单元的存在、消失不可预测；通信单元的身份不可信任。

发明内容

本发明提供了一种构建交换网络的方法及交换网络，以使交换服务器能够对其覆盖范围内的各通信单元进行统一的管理。

本发明方法包括：交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；以及该交换服务器为通信单元生成身份信息；通信单元以所述身份信息与该交换服务器覆盖区域内的其它通信单元通信。

其中，交换服务器为其覆盖区域内的每一通信单元分别生成身份信息；之后交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，所述激活文件中携带有对应的身份信息。

其中，交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；所述通信单元被成功激活后，该交换服务器为该通信单元生成身份信息。

综上所述，所述交换服务器以本服务器的证书对激活文件签名。

综上所述，所述交换服务器以待生成的激活文件指向的通信单元的证书公钥，对该激活文件加密。

其中，所述交换服务器与各通信单元在线交互，以完成对各通信单元的激活操作，包括下列步骤：交换服务器将生成的激活文件向对应的通信单元发送；通信单元收到激活文件后，以本通信单元的证书私钥对该激活文件解密；解密成功后，该通信单元对激活文件中的交换服务器的签名验证；验证通过后，该通信单元向所述交换服务器发送激活请求；交换服务器返回成功激活消息，完成在线激活操作。

进一步，所述通信单元以交换服务器为其生成的身份信息向该交换服务器发送激活请求。

其中，所述交换服务器为通信单元生成的身份信息为：在该交换服务器覆盖区域内，与该通信单元唯一对应并且与该交换服务器身份标识存在映射关系的身份标识。

其中，通信单元以所述身份信息与所述交换服务器覆盖区域内的其它通信单元通信，包括下列步骤：通信单元以所述身份信息向该交换服务器覆盖区域内的其它通信单元发出消息；所述消息被路由到该交换服务器后，该交换服务器以该消息所用的身份信息与本地保存的身份信息列表进行对照，若存在于所述身份信息列表中，则该交换服务器转发该消息；否则，拒绝转发该消息。

综上所述，所述通信单元位于至少一个交换服务器的覆盖区域内。

其中，通信单元以其证书私钥对待发出的消息签名后，再以所述身份信息向交换服务器覆盖区域内的其它通信单元发出消息；以及通信单元收到消息后检验该消息的签名，再进行后续处理。

其中，交换服务器获知其覆盖区域内的任一通信单元的状态发生变化时，通知其它通信单元。

本发明的交换网络，包括：交换服务器，用于为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；以及为通信单元生成身份信息；通信单元，用于在收到激活文件时，与交换服务器在线交互；以及以交换服务器为其生成的所述身份信息与该交换服务器覆盖区域内的其它通信单元通信。

其中，所述通信单元，还用于以其证书私钥对待发出的消息签名；以及检验收到的消息的签名。

其中，所述交换服务器，还用于获知其覆盖区域内的任一通信单元的状态发生变化时，通知其它通信单元。

本发明有益效果如下：

本发明中交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；以及所述交换服务器为通信单元生成身份信息；通信单元以所述身份信息与该交换服务器覆盖区域内的其它通信单元通信。

通过上述在线激活过程及生成身份信息的操作，实现了交换服务器对其覆盖范围内的各通信单元进行统一管理的目的。

附图说明

图1为现有的通信单元之间通信流程图；

图2为本发明方法第一种实施方式的步骤流程图；

图3为本发明方法第二种实施方式的步骤流程图；

图4为本发明实施例场景示意图；

图5为本发明实施例中生成激活文件和在线激活过程示意图。

具体实施方式

为了使交换服务器能够对其覆盖范围内的各通信单元进行统一的管理，本发明提供了一种构建交换网络的方法，该方法包括步骤：交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；以及该交换服务器为通信单元生成身份信息；通信单元以所述身份信息与该交换服务器覆盖区域内的其它通信单元通信。

根据生成身份信息的时机不同，本发明存在两种实施方式：

实施方式之一、交换服务器为其覆盖区域内的每一通信单元分别生成身份信息；之后交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，所述激活文件中携带有对应的身份信息。

实施方式之二、交换服务器为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；所述通信单元被成功激活后，该交换服务器为该通信单元生成身份信息。

上述实施方式之一，参见图2所示，包括下列主要步骤：

S11、交换服务器为其覆盖区域内的每一通信单元分别生成身份信息。

所述交换服务器为其覆盖区域内的每一通信单元分别生成身份信息，所述身份信息具体为在该交换服务器覆盖区域内，与该通信单元唯一对应并且与该交换服务器身份标识存在映射关系的身份标识。

S12、交换服务器为其覆盖区域内的每一通信单元分别生成激活文件。

本步骤中，所述激活文件中携带有该激活文件对应的通信单元的身份信息。

本步骤中，每一激活文件均以交换服务器的证书对该激活文件签名，从而保证激活文件的不可伪造性。

本步骤中，所述交换服务器还以待生成的激活文件指向的通信单元的证书公钥，对该激活文件加密，从而保证激活文件与通信单元的唯一对应关系，以及在线激活操作的可靠性。

S13、交换服务器与各通信单元在线交互，以完成对各通信单元的激活操作。

本步骤中，交换服务器将生成的激活文件向对应的通信单元发送，发送途径包括但不限于：email、移动设备、在线发送等。该通信单元收到激活文件后，以本通信单元的证书私钥对该激活文件解密，若实际接收激活文件的通信单元与该激活文件指向的通信单元不同，则实际接收激活文件的通信单元无法用其证书私钥对该激活文件解密，若相同，则可成功解密，以获取其中的身份信息、交换服务器的签名等信息；解密成功后，该通信单元对激活文件中的交换服务器的签名验证；安全验证通过后，该通信单元以所述交换服务器为其生成的身份信息向该交换服务器发送激活请求，该激活请求中包括：所述通信单元的信息(身份信息)、激活文件信息，以及通信单元的签名；交换服务器收到该激活请求后对其中的信息进行验证；若通过，则交换服务器返回成功激活消息，完成在线激活操作。

通过这种对通信单元在线激活及生成身份标识的方式，一个通信单元可以与多个交换服务器建立信任关系。

S14、通信单元以所述身份信息与交换服务器覆盖区域内的其它通信单元通信。

当通信单元以所述身份标识向所述交换服务器覆盖区域内的其它通信单元发出消息后，该消息被路由到该交换服务器，该交换服务器以该消息所用的身份信息与本地保存的身份信息列表进行对照，若存在于所述身份信息列表中，则判定发出该消息的通信单元已经被在线激活(即判定发出该消息的通信单元与本交换服务器存在信任关系)，并将所述消息转发到接收方通信单元；否则，判定发出该消息的通信单元未完成在线激活操作(即判定发出该消息的通信单元与本交换服务器不存在信任关系)，拒绝转发该消息。从而实现了交换服务器对其覆盖范围内的各通信单元进行统一的管理的目的。

上述实施方式之二，参见图3所示，包括下列主要步骤：

S21、交换服务器为其覆盖区域内的每一通信单元分别生成激活文件。

本步骤中，每一激活文件均以交换服务器的证书对该激活文件签名，从而保证激活文件的不可伪造性。

本步骤中，所述交换服务器还以待生成的激活文件指向的通信单元的证书公钥，对该激活文件加密，从而保证激活文件与通信单元的唯一对应关系，以及在线激活操作的可靠性。

S22、交换服务器与各通信单元在线交互，以完成对各通信单元的激活操作。

本步骤中，交换服务器将生成的激活文件向对应的通信单元发送，发送途径包括但不限于：email、移动设备、在线发送等。该通信单元收到激活文件后，以本通信单元的证书私钥对该激活文件解密，若实际接收激活文件的通信单元与该激活文件指向的通信单元不同，则实际接收激活文件的通信单元无法用其证书私钥对该激活文件解密，若相同，则可成功解密；解密成功后，该通信单元对激活文件中的交换服务器的签名验证；安全验证通过后，该通信单元向所述交换服务器发送激活请求，该激活请求中包括：所述通信单元的信息、激活文件信息，以及通信单元的签名；交换服务器收到该激活请求后对其中的信息进行验证；若通过，则交换服务器返回成功激活消息，完成在线激活操作。

S23、所述通信单元被成功激活后，交换服务器为该通信单元生成身份信息。

所述通信单元被成功激活后，所述交换服务器为该通信单元生成身份信息，所述身份信息具体为在该交换服务器覆盖区域内，与该通信单元唯一对应并且与该交换服务器身份标识存在映射关系的身份标识。

通过这种对通信单元在线激活后生成身份标识的方式，一个通信单元可以与多个交换服务器建立信任关系。

S24、通信单元以所述身份信息与交换服务器覆盖区域内的其它通信单元通信。

当通信单元以所述身份标识向所述交换服务器覆盖区域内的其它通信单元发出消息后，该消息被路由到该交换服务器，该交换服务器以该消息所用的身份信息与本地保存的身份信息列表进行对照，若存在于所述身份信息列表中，则判定发出该消息的通信单元已经被在线激活(即判定发出该消息的通信单元与本交换服务器存在信任关系)，并将所述消息转发到接收方通信单元；否则，判定发出该消息的通信单元未完成在线激活操作(即判定发出该消息的通信单元与本交换服务器不存在信任关系)，拒绝转发该消息。从而实现了交换服务器对其覆盖范围内的各通信单元进行统一的管理的目的。

进一步，现有技术中通信单元之间传递的消息具有一定的可欺骗性。在本发明中，通信单元以其证书私钥对待发出的每一条消息签名后，再以所述身份标识向交换服务器覆盖区域内的其它通信单元发出消息；相应的，通信单元收到消息后先检验该消息的签名，再进行后续处理，从实现防止通信单元之间传递消息的欺骗性。

进一步，基于交换服务器对其覆盖范围内的各通信单元进行统一的管理，交换服务器还可在获知其覆盖区域内的任一通信单元的状态发生变化时(例如：通信单元被删除、通信单元不可用等状况)，通知其它通信单元，从而避免其它通信单元向被删除或不可用的通信单元传递消息，以节约交换网络资源。

进一步，托管(即直接连接，不存在中间服务器)在同一本地服务器上的通信单元之间可默认存在信任关系。由此可以达到快速构建交换网络的目的。

本发明还提供了一种交换网络，其包括相连的通信单元和交换服务器。

所述交换服务器，用于为其覆盖区域内的每一通信单元分别生成激活文件，并与各通信单元在线交互，以完成对各通信单元的激活操作；以及为通信单元生成身份信息。

进一步，还用于获知其覆盖区域内的任一通信单元的状态发生变化时，通知其它通信单元。该交换服务器具有全网络唯一的、可识读的身份标识。该标识组成的方式例如：邮政编码六位+顺序码四位+保留字一位，如100085-0123-x。其中，生成的身份信息为在所述交换服务器覆盖区域内，与该通信单元唯一对应并且与该交换服务器身份标识存在映射关系的身份标识，该标识组成的方式例如：交换服务器身份标识(11位)+可变长度单位统一顺序码，顺序码理论范围4到无穷，如100085-0123-x-0D0AABC。

所述通信单元，用于在收到激活文件时，与交换服务器在线交互；以及以交换服务器为其生成的所述身份信息与该交换服务器覆盖区域内的其它通信单元通信。进一步，还用于以其证书私钥对待发出的消息签名；以及检验收到的消息的签名。

以下通过一个实施例具体描述本发明方法。本实施例参见图4所示的场景，通信单元(即终端)托管在本地交换服务器(即公文服务器)上，本地交换服务器再与远程交换服务器(即交换网关服务器)连接。由交换网关服务器对其连接的公文服务器托管的各个终端进行统一管理。

首先，交换网关服务器为其覆盖区域内的每一终端分别生成激活文件，并与各终端在线交互，以完成对各终端的激活操作。

所述生成激活文件和在线激活过程，参见图5所示。

其中交换网关服务器首先为其覆盖区域内的每一通信单元分别生成身份信息(具体为在交换网关服务器覆盖区域内，与该终端唯一对应并且与该交换网关服务器身份标识存在映射关系的身份标识)，并获取本交换网关服务器信息及与激活相关的数据；其次将待生成的激活文件对应的终端的身份信息(图中的交换点信息)、本交换网关服务器信息及与激活相关的数据打包，并以待生成的激活文件指向的终端的证书公钥，对所述打包数据加密，从而保证激活文件与终端的唯一对应关系；再以本交换网关服务器的证书对加密后的数据进行签名，从而保证激活文件的不可伪造性；最后导出激活文件。

交换网关服务器向该激活文件对应的终端发送该激活文件，通过托管所述终端的公文服务器将所述激活文件发送到终端后，该终端首先获取本端的证书私钥及与解密相关的信息；其次以本端的证书私钥对该激活文件解密，并从解密后的内容中获取交换网关服务器为其生成的身份信息、交换网关服务器信息及与激活相关的数据，完成终端侧的激活操作；之后所述终端以交换网关服务器为其生成的身份信息向该交换网关服务器发送激活请求；最后交换网关服务器收到该激活请求后，进行激活认证，若发起激活请求所用的身份信息是该交换网关服务器生成的，并且激活请求中的其它信息也符合要求，则激活认证通过，完成在线激活操作。

通过上述内容分别对各个终端完成在线激活和生成身份标识的操作后，即完成了交换网络的构建。

之后，某一终端可以所述交换网关服务器为其生成的身份标识，向该交换网关服务器覆盖区域内的其它终端发出消息，该消息通过托管该终端的公文服务器被路由到交换网关服务器。若所述公文服务器具有屏蔽远程交换服务器的功能，则终端使用本地身份与所述公文服务器交互；公文服务器将该终端使用的本地身份转换为所述交换网关服务器为其生成的身份标识；之后公文服务器以转换后的身份标识将终端发出的消息向所述交换网关服务器发送。

所述交换网关服务器以该消息所用的身份信息与本地保存的身份信息列表进行对照，若存在于所述身份信息列表中，则判定发出该消息的通信单元已经被在线激活(即判定发出该消息的通信单元与本交换网关服务器存在信任关系)，并将所述消息转发到接收方通信单元；否则，判定发出该消息的通信单元未完成在线激活操作(即判定发出该消息的通信单元与本交换网关服务器不存在信任关系)，拒绝转发该消息。从而实现了交换网关服务器对其覆盖范围内的各终端进行统一的管理的目的。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。