專利名稱:獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法
技術領域:
本發(fā)明涉及網(wǎng)絡通信技術領域��,尤其涉及一種獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法。
背景技術:
隨著Internet(互聯(lián)網(wǎng))規(guī)模的不斷增大����,各種各樣的網(wǎng)絡服務爭相涌現(xiàn),先進的多媒體系統(tǒng)層出不窮����。由于實時業(yè)務對網(wǎng)絡傳輸時延、延時抖動等特性較為敏感���,當網(wǎng)絡上有突發(fā)性高的FTP(文件傳輸協(xié)議)或者含有圖像文件的HTTP(超文本傳輸協(xié)議)等業(yè)務時���,實時業(yè)務就會受到很大影響。而且���,多媒體業(yè)務如果占去了大量的帶寬��,則現(xiàn)有網(wǎng)絡要保證的關鍵業(yè)務就難以得到可靠的傳輸�。
為此�,各種QoS技術應運而生。IETF已經(jīng)建議了很多服務模型和機制����,以滿足QoS的需求。目前業(yè)界比較認可的是在網(wǎng)絡的接入和邊緣使用Int-Serv(綜合業(yè)務模型),在網(wǎng)絡的核心使用Diff-serv(區(qū)分業(yè)務模型)���。
其中��,所述的Diff-serv僅設定優(yōu)先等級保障QoS措施�,具有線路利用率高的特點���,但具體的效果難以預測�����。因此�����,業(yè)界開始為骨干網(wǎng)區(qū)分業(yè)務Diff-Serv引入一個獨立的承載控制層�����,建立一套專門的Diff-Serv QoS信令機制。
例如��,為了推動Diff-Serv的應用���,IETF和一些廠商以及研究機構共同推動的Qbone(服務骨干實驗網(wǎng))上�����,使用BB(Bandwidth Broker�,帶寬代理器)模型來實現(xiàn)網(wǎng)絡資源和拓撲管理�����。還有其他一些廠商提出了類似的QoS服務器/資源管理器技術來管理拓撲資源和協(xié)調各個區(qū)分業(yè)務Diff-Serv區(qū)域的QoS能力�。
在上述方法中�,都是為區(qū)分服務Diff-Serv網(wǎng)絡專門建立一個資源管理層,管理網(wǎng)絡的拓撲資源���,由于傳統(tǒng)的Diff-Serv定義具有局限性���,為了不引起混淆,可以將上述資源管理區(qū)分服務Diff-Serv模型改稱為具有獨立承載控制層(或集中資源控制層)的網(wǎng)絡模型��。
在有獨立的承載控制層的網(wǎng)絡模型中,承載網(wǎng)控制服務器(包括帶寬代理器或者QoS服務器/資源管理器)配置了管理規(guī)則和網(wǎng)絡拓撲�����,為客戶的業(yè)務帶寬申請分配資源��。每個管理域的承載網(wǎng)控制服務器相互之間通過信令傳遞客戶的業(yè)務帶寬申請請求和結果���,以及承載網(wǎng)資源管理器為業(yè)務申請分配的路徑信息等����。
當承載控制層處理用戶的業(yè)務帶寬申請時����,將確定用戶業(yè)務的路徑。承載網(wǎng)資源管理器會通知邊緣路由器按照指定的路徑轉發(fā)業(yè)務流��。
承載網(wǎng)如何根據(jù)承載控制層確定的路徑實現(xiàn)用戶業(yè)務流按指定路由轉發(fā)�,目前業(yè)界現(xiàn)有的技術主要是利用MPLS(多協(xié)議標簽交換)技術,使用資源預留方式沿著承載控制層指定的業(yè)務流路徑建立LSP(標簽交換路徑)�,使用RSVP-TE(資源預留協(xié)議-流量工程)或CR-LDP(基于約束路由的標簽分配協(xié)議)的顯式路由機制建立端到端的LSP。
上述方法能夠嚴格保證業(yè)務所需求的端到端QoS��。然而����,目前網(wǎng)絡中各信令功能實體間還沒有一種方法可以用于確定相鄰的信令實體位置���,同時����,也沒有考慮相鄰實體間連接的對端是否合法,因此,容易被非法實體接入�,給網(wǎng)絡的安全性能帶來隱患。
也就是說���,在具有獨立承載控制層的網(wǎng)絡中�����,QoS信令在各功能實體(業(yè)務控制功能SCF���,策略決定功能PDF���,承載控制功能BCF及承載傳輸功能TPF等)中交互。目前在各功能實體間建立信令連接時沒有明確相互的發(fā)現(xiàn)和信任問題����,因此,非法運營者或黑客有可能通過外接非法設備非法接入該信令網(wǎng)絡�,導致網(wǎng)絡存在安全隱患。
為此��,需要在網(wǎng)絡中����,使相鄰信令功能實體間能相互發(fā)現(xiàn)、認證���,并不同程度地提高節(jié)點間信令交互的安全性�����。但是�,目前還沒有提供一種可以實現(xiàn)相鄰信令功能實體間相互發(fā)現(xiàn)����、認證的實現(xiàn)方案����。
發(fā)明內容
鑒于上述現(xiàn)有技術所存在的問題�����,本發(fā)明的目的是提供一種獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法�,可以在具有獨立承載控制層網(wǎng)絡中����,保證相鄰實體間的信令交互的安全性。
本發(fā)明的目的是通過以下技術方案實現(xiàn)的本發(fā)明提供了一種獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法�,該方法包括A、保存獨立承載控制層網(wǎng)絡的各實體的相鄰實體的認證信息和地址信息���,各實體利用保存的地址信息在相鄰實體間建立信令連接��;B����、當獨立承載控制層網(wǎng)絡中的實體收到相鄰實體發(fā)來的消息時�,根據(jù)保存的相鄰實體的認證信息對發(fā)來消息的相鄰實體進行合法性認證;C、當認證通過時���,則與相鄰實體間建立連接并進行信息交互��。
所述的步驟A包括在獨立承載控制層網(wǎng)絡的各實體中�����,靜態(tài)配置并保存相鄰實體的認證信息和地址信息����;或者�,在獨立承載控制層網(wǎng)絡的某個管理服務器上預先注冊各信令實體及相鄰關系的信息,保存各個實體及其對應的相鄰實體的認證信息和地址信息��,實體在起動后通過訪問管理服務器獲得相鄰實體的信息���;或者�����,
獨立承載控制層網(wǎng)絡的實體自動發(fā)現(xiàn)相鄰實體�,并保存所述相鄰節(jié)點的地址信息和認證信息��。
所述的認證信息包括身份信息和/或地址信息,且所述的身份信息可以唯一識別相應的實體��。
所述的步驟B包括B1���、獨立承載控制層網(wǎng)絡的實體收到相鄰實體發(fā)來建立連接請求消息�,消息中承載著相鄰實體的認證信息���;B2、所述的實體根據(jù)消息中承載的認證信息��,及其保存的相鄰實體的認證信息對所述相鄰實體的合法性進行認證�。
所述的步驟B還包括當所述實體根據(jù)設置的信息確定需要對相鄰實體進行合法性認證時,則執(zhí)行步驟B2��。
所述的步驟B2還包括判斷針對相鄰實體的合法性認證通過時�����,則執(zhí)行步驟C��,否則�����,拆除與相鄰實體間的連接信息。
所述的步驟B2包括根據(jù)所述建立連接請求消息中載的地址信息或身份信息����,以及保存的合法的相鄰實體的地址信息或身份信息對發(fā)來消息的相鄰實體進行合法性認證。
所述的步驟B2還包括當本端實體合法性認證通過后����,向對端實體返回響應消息,所述響應消息中攜帶著本端的地址信息或身份信息���;對端收到所述的響應消息后,根據(jù)所述消息中載的地址信息或身份信息��,及其保存的合法的相鄰實體的地址信息或身份信息對相鄰實體進行合法性認證���,并在認證通過后�����,執(zhí)行步驟C�。
所述的步驟B2具體包括第一實體獲取相鄰實體通過建立信令連接請求消息發(fā)來的隨機碼,并將其與第一實體的身份信息合并進行加密處理���,獲得處理后的密文���;將所述密文發(fā)送給第二實體,并由第二實體將所述密文根據(jù)自身保存的隨機碼及第一實體的身份信息�����,以及收到的密文的內容信息對所述第一實體進行合法性認證。
所述的認證信息通過信令網(wǎng)在本端實體和對端實體間傳輸�,且所述的信令網(wǎng)可以采用物理獨立或邏輯獨立的信令網(wǎng),或者采用與數(shù)據(jù)傳輸網(wǎng)共用的信令網(wǎng)�����。
由上述本發(fā)明提供的技術方案可以看出,本發(fā)明通過實體間相互認證的方式�����,解決了在采用獨立承載控制層實體的網(wǎng)絡中���,各相鄰的信令實體間的相互發(fā)現(xiàn)�����、信任的問題�����,以避免因非法實體設備的接入影響網(wǎng)絡的安全�����;因此����,本發(fā)明可以方便地實現(xiàn)實體間的安全互通����,保證相鄰實體間信令交互的安全性�,從而有效提高了網(wǎng)絡承載業(yè)務的安全性����。
圖1為具有獨立的承載控制層的網(wǎng)絡模型示意圖;圖2為3G UMTS網(wǎng)絡與外部IP網(wǎng)絡互通示意圖�����;圖3為本發(fā)明中所述的認證過程示意圖���;圖4為本發(fā)明中身份認證過程示意圖具體實施方式
本發(fā)明提供了具有獨立承載控制層的網(wǎng)絡(簡稱BCF網(wǎng)絡)中各資源請求信令實體間互通時發(fā)現(xiàn)對方和相互認證�����,提高安全性的技術方案,所述的信令實體包括應用功能實體AF�����,策略決定實體PDF�,承載控制功能實體BCF,策略與計費控制節(jié)點實體PCCN等需要發(fā)起資源請求的實體等等���。
如圖1所示�,本發(fā)明具體是在AF與PDF/BCF1之間、PDF/BCF1與PDF/BCF2之間��、PDF/BCF1與TPF/ER之間進行相互發(fā)現(xiàn)和認證����。
在圖1中,所述的策略決定功能PDF和承載控制功能BCF可以在同一物理實體中����,也可在不同物理實體中,或者也可以在網(wǎng)絡中只有一種邏輯形態(tài)存在�。本發(fā)明的實現(xiàn)與具體協(xié)議無關,可以采用但不限于Diameter�����,COPS(通用開放策略服務協(xié)議)�,H.248等協(xié)議,可以在協(xié)議消息頭中攜帶實現(xiàn)�����,也可以通過新增協(xié)議消息或信息單元實現(xiàn)。
下面將結合附圖對本發(fā)明所述的方法的具體實現(xiàn)方式作進一步的說明��。
為實現(xiàn)本發(fā)明�����,首先需要進行信令網(wǎng)的組建����,利用所述信令網(wǎng)可以進行相鄰實體間認證的信令的傳輸。
所述信令網(wǎng)具體為傳輸信令的網(wǎng)絡���,包括信令節(jié)點實體����,中間的傳輸實體等�;在實際部署中,信令網(wǎng)可采用三種方式組建一種是采用物理上獨立的方式�,該方式中,信令網(wǎng)采用與媒體流傳輸網(wǎng)絡隔離的物理實體組建單獨的信令網(wǎng)���,由于信令網(wǎng)絡不與外部網(wǎng)絡相連,非法用戶將無法接入信令網(wǎng)�,這樣信令傳遞的安全性可以得到最大保證;第二種是物理上與媒體流傳輸網(wǎng)絡共用�,邏輯上獨立����,如采用VPN(虛擬專用網(wǎng))等方式����,在該方式中,通過良好的安全手段也可以使信令網(wǎng)的安全得到較好保證�����;第三種是完全與媒體流傳輸網(wǎng)絡共用���,這種方式中���,信令傳輸?shù)陌踩圆钜恍?br>
組建了相應的信令網(wǎng)后,便需要為獨立承載控制層網(wǎng)絡中各實體確定合法的相鄰節(jié)點����。
具體可以通過靜態(tài)配置、注冊或動態(tài)協(xié)議等方式為各個實體確定合法的相鄰節(jié)點�,并獲得各相鄰實體的地址信息和認證信息,其中(1)所述的靜態(tài)配置方式為運營商根據(jù)事先的規(guī)劃安排在設備上靜態(tài)配置相鄰節(jié)點的域名FQDN或地址�����,如IP地址、E.164或其它地址等�����,如可根據(jù)自身管理域的承載邊界設備相鄰的節(jié)點設備的歸屬情況配置需要與自己進行信令互通的其它信令節(jié)點設備���。
例如在圖2所示3G網(wǎng)絡中����,管理與GGSN相連的網(wǎng)關設備(GWRouter)的BCF地址是BCF1����,則可在PDF中配置BCF1的FQDN或IP地址作為相鄰節(jié)點;當然也可以任意設定網(wǎng)絡中某個BCF地址作為相鄰節(jié)點�,通過BCF自身的尋源及路由機制找到正確的BCF。如果有多個相鄰節(jié)點���,則可根據(jù)運營商的冗余�、分擔策略配置相鄰節(jié)點和/或根據(jù)網(wǎng)絡拓撲配置將不同的目的地址網(wǎng)段對應不同的相鄰節(jié)點�����,資源請求時根據(jù)目的地址網(wǎng)段與相鄰節(jié)點的對應關系即可發(fā)現(xiàn)想要的相鄰節(jié)點���。
(2)所述的注冊方式為事先在專門�、可靠的注冊服務器上登記注冊某個信令實體對應的相鄰節(jié)點及查找關系�����,在設備運行時通過查找專門的注冊服務器找到自己的相鄰節(jié)點����。
(3)所述的動態(tài)協(xié)議方式為采用專門或通用的信令協(xié)議自動發(fā)現(xiàn)相鄰節(jié)點。
以上方式對于具體設備一般選擇一種使用即可����。
確定了各實體的合法的相鄰節(jié)點后,還需要進行合法的相鄰節(jié)點的地址信息和認證信息的配置�����,以便于實體進行相鄰節(jié)點合法性檢查�,具體配置方法包括對于靜態(tài)配置或注冊的方式發(fā)現(xiàn)相鄰節(jié)點的設備,配置或查找到的相鄰節(jié)點的FQDN或地址對應的節(jié)點即是合法的相鄰節(jié)點���,無需另外配置����。
對于采用動態(tài)協(xié)議的方式發(fā)現(xiàn)相鄰節(jié)點的設備,則需要另外配置合法相鄰節(jié)點列表�,以保存合法的相鄰節(jié)點的地址信息和認證信息。
此外�,可根據(jù)需要配置實體自身和相鄰節(jié)點認證信息,所述的認證信息可以包括相鄰節(jié)點(即相鄰實體)的身份信息和/或地址信息��,具體的信息內容由運營商自行確定��。
配置了合法性的相鄰節(jié)點的認證信息和地址信息后��,便可以進行信令連接的建立和相互認證的處理過程��。也就是說��,運營商部署好網(wǎng)絡�����,設備開通并進行了上述配置處理后�,各相鄰設備間采用約定的方式利用保存的地址信息在相鄰實體間建立信令連接,所述相鄰設備即為相鄰實體�,如圖1中的PDF/BCF1和PDF/BCF2間即為相鄰實體,建立信令連接可根據(jù)雙方約定����,比如按節(jié)點地址大小約定地址大或小的節(jié)點為信令連接的發(fā)起方��,信令連接采用的傳輸協(xié)議可以是TCP/IP或SCTP/IP���。
當獨立承載控制層網(wǎng)絡中的實體設備根據(jù)自己的功能與相鄰實體設備建立TCP/IP或SCTP/IP連接時�����,則在該連接的基礎上進行QoS信令實體間連接的建立����,連接建立過程中首先根據(jù)需要判斷相鄰實體間是否需要進行相應的認證(1)如果運營商認為各實體之間不存在信任問題,則可不執(zhí)行認證過程�����,此時�,在實體設備中無需配置合法相鄰節(jié)點和身份、認證參數(shù)信息��。在這種情況下�,當收到PDF/BCF1發(fā)送的信令連接建立請求協(xié)議消息后,PDF/BCF2直接返回連接建立成功響應����。后續(xù)信令消息即可在建立成功的連接上交互���。
(2)如果確定需要進行相鄰實體間的認證,則根據(jù)具體的需要進行相應的地址認證或身份認證���。
(21)若進行地址認證�����,則相應的處理過程如下如圖1和圖3所示�,具體包括步驟31由PDF/BCF1向PDF/BCF2發(fā)送信令連接建立請求協(xié)議消息�����,所述消息中包含有自身的地址信息���;
步驟32PDF/BCF2在收到該信息后根據(jù)自身存儲的合法相鄰節(jié)點的地址信息對其進行認證�����;步驟33如果PDF/BCF2對PDF/BCF1的認證成功�,則PDF/BCF2向PDF/BCF1返回認證響應消息�����,消息中同樣帶有PDF/BCF2的地址信息;步驟34PDF/BCF1在收到所述響應信息后根據(jù)自身存儲的合法相鄰節(jié)點的地址信息對其進行認證�;PDF/BCF1對PDF/BCF2的認證成功后,表明連接是合法的��,可以進行后續(xù)的信令交互工作�����;如果任何一步認證失敗���,則拆除設備間的連接并輸出告警信息。
在上述步驟中�����,如果PDF/BCF1發(fā)送的信令消息中不帶地址信息�,則可用TCP/IP或SCTP/IP中的地址信息,而且�����,當直接使用TCP/IP或SCTP/IP地址進行認證時��,可以不需要專門的QoS信令實體間連接的建立請求消息,直接在TCP/IP或SCTP/IP建立后核對對方的地址即可�����。
(22)若進行身份認證���,則相應的認證過程包括兩種���,分別如圖3和圖4所示,具體描述如下首先����,仍如圖1和圖3所示,第一種處理方式具體包括以下步驟參見步驟31��,在PDF/BCF1發(fā)給PDF/BCF2的信令建立消息中帶有關PDF/BCF1的身份信息��,所述的信息中可以包含但不限于包含PDF/BCF1的地址或域名���,約定的身份信息����,或者某種算法的認證字或密碼信息等;步驟32PDF/BCF2在收到該信息后根據(jù)自身存儲的有關PDF/BCF1的認證信息����,通過約定采用的算法進行核對;步驟33如果認證成功�����,PDF/BCF2向PDF/BCF1返回認證響應消息�����,消息中帶有PDF/BCF2的認證信息���;同樣,所述認證信息中可以包含但不限于包含PDF/BCF2的地址或域名�,約定的身份信息,或者某種算法的認證字或密碼信息等��;
步驟34PDF/BCF1在收到該信息后根據(jù)自身存儲的有關PDF/BCF2的認證信息�,通過約定采用的算法進行核對,如果認證成功��,則表明連接是合法的�����,可以進行后續(xù)的信令交互工作;當然����,如果其中任何一步失敗,即認證失敗����,則拆除兩相鄰實體設備間的連接并輸出告警信息。
另外�����,參見圖1和圖4所示��,另一種處理方式具體包括以下步驟步驟41PDF/BCF1向PDF/BCF2發(fā)送建立節(jié)點信令連接請求消息�;在該步驟中,首先需要在PDF/BCF1中產(chǎn)生并記錄一組隨機碼�,然后當向PDF/BCF2發(fā)送建立節(jié)點信令連接請求消息時攜帶所述隨機碼;步驟42PDF/BCF2收到所述隨機碼后與自身的身份信息合并�����,并通過一定的如MD5等加密算法進行加密處理��,獲得加密后的密文;步驟43將加密后的內容信息��,即所述密文通過節(jié)點信令建立認證中間消息返回給實體設備PDF/BCF1�;所述的中間消息中還承載著PDF/BCF2上生成并記錄的隨機碼信息,用于PDF/BCF1對其進行認證處理����;步驟44PDF/BCF1收到所述消息后,將自身存儲的隨機碼與存儲的對方(即PDF/BCF2)身份信息以約定的算法進行加密處理獲得的密文�,與收到的PDF/BCF2發(fā)來的密文內容進行比較,從而對PDF/BCF2的合法性進行認證���;當然�����,如果密碼可通過密鑰解密��,也可以將收到的內容解密與自身存儲的隨機碼和存儲的對方身份信息分別比較,如果相同則表明PDF/BCF2是合法的���;步驟45由于在PDF/BCF2返回消息的過程中�����,在同一消息或不同的消息中還攜帶有PDF/BCF2產(chǎn)生并存儲的隨機碼����,因此,PDF/BCF1收到所述的隨機碼后還需要將其與自身的身份信息合并��,通過一定的加密算法(如MD5或其它)進行加密���,即進行相應的加密處理獲得相應的密文���,并將加密后的密文返回給PDF/BCF2;步驟46PDF/BCF2收到所述的響應消息后�����,將自身存儲的隨機碼與存儲的對方身份信息合并�,并以約定的算法進行加密處理獲得相應的密文,然后將獲得的密文與收到的PDF/BCF1發(fā)來的密文的內容進行比較��,從而對PDF/BCF1的合法性進行認證���;同樣�,如果密碼可通過密鑰解密����,也可以將收到的內容解密與自身存儲的隨機碼和存儲的對方身份信息分別比較�,如果相同則表明PDF/BCF1是合法的�����;認證成功后�����,即確定相鄰實體合法時����,則建立信令連接,并進行相應的信令交互�,從而使得在網(wǎng)絡中可以通過信令交互提供相應QoS的服務。
同樣���,如果其中任何一步失敗���,即認證過程失敗,則拆除相鄰實體設備間的連接并輸出告警信息����。
至此完成了PDF/BCF1和PDF/BCF2的相互身份認證。
本發(fā)明所述的方法在具體實現(xiàn)過程中�����,為保證認證過程中傳輸內容的安全性����,還需要對傳輸?shù)膬热葸M行加密處理。
具體為將某些已有的安全及加密措施應用在本體系架構上�,通過AAA認證頭、傳輸層安全協(xié)議(TLS或SSL)或者IPSec等安全及加密協(xié)議對傳輸?shù)男帕钕热葸M行加密�����,達到防止被截獲�、攻擊或非法接入的目的。但由于這些算法對設備的性能要求極高����,可能會影響QoS會話連接的建立速度,同時使互通變得復雜�����。
上述不同的認證方法是逐步增強的���,可以分別達到實現(xiàn)不同程度的身份提供���,相互信任和安全方面的目的�,可以根據(jù)實際需要使用一種或多種組合一起使用���。
綜上所述����,本發(fā)明解決了在采用獨立承載控制層實體的網(wǎng)絡中各相鄰信令實體間的相互發(fā)現(xiàn)�、信任的問題,可方便實現(xiàn)實體間的互通�����,提高了網(wǎng)絡承載業(yè)務的安全性����。
以上所述,僅為本發(fā)明較佳的具體實施方式
�����,但本發(fā)明的保護范圍并不局限于此�,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內����,可輕易想到的變化或替換�,都應涵蓋在本發(fā)明的保護范圍之內�����。因此����,本發(fā)明的保護范圍應該以權利要求的保護范圍為準。
權利要求
1.一種獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法���,其特征在于����,包括A�、保存獨立承載控制層網(wǎng)絡的各實體的相鄰實體的認證信息和地址信息,各實體利用保存的地址信息在相鄰實體間建立信令連接�;B、當獨立承載控制層網(wǎng)絡中的實體收到相鄰實體發(fā)來的消息時����,根據(jù)保存的相鄰實體的認證信息對發(fā)來消息的相鄰實體進行合法性認證��;C���、當認證通過時,則與相鄰實體間建立連接并進行信息交互����。
2.根據(jù)權利要求1所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法,其特征在于�,所述的步驟A包括在獨立承載控制層網(wǎng)絡的各實體中,靜態(tài)配置并保存相鄰實體的認證信息和地址信息�����;或者���,在獨立承載控制層網(wǎng)絡的某個管理服務器上預先注冊各信令實體及相鄰關系的信息���,保存各個實體及其對應的相鄰實體的認證信息和地址信息,實體在起動后通過訪問管理服務器獲得相鄰實體的信息���;或者����,獨立承載控制層網(wǎng)絡的實體自動發(fā)現(xiàn)相鄰實體,并保存所述相鄰節(jié)點的地址信息和認證信息�。
3.根據(jù)權利要求1所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法,其特征在于�����,所述的認證信息包括身份信息和/或地址信息��,且所述的身份信息可以唯一識別相應的實體�����。
4.根據(jù)權利要求1��、2或3所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法�,其特征在于�,所述的步驟B包括B1、獨立承載控制層網(wǎng)絡的實體收到相鄰實體發(fā)來建立連接請求消息�����,消息中承載著相鄰實體的認證信息�����;B2、所述的實體根據(jù)消息中承載的認證信息����,及其保存的相鄰實體的認證信息對所述相鄰實體的合法性進行認證。
5.根據(jù)權利要求4所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法���,其特征在于�����,所述的步驟B還包括當所述實體根據(jù)設置的信息確定需要對相鄰實體進行合法性認證時�,則執(zhí)行步驟B2�。
6.根據(jù)權利要求4所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法,其特征在于����,所述的步驟B2還包括判斷針對相鄰實體的合法性認證通過時,則執(zhí)行步驟C���,否則�,拆除與相鄰實體間的連接信息����。
7.根據(jù)權利要求4所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法�,其特征在于�����,所述的步驟B2包括根據(jù)所述建立連接請求消息中載的地址信息或身份信息��,以及保存的合法的相鄰實體的地址信息或身份信息對發(fā)來消息的相鄰實體進行合法性認證�。
8.根據(jù)權利要求7所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法,其特征在于�����,所述的步驟B2還包括當本端實體合法性認證通過后��,向對端實體返回響應消息��,所述響應消息中攜帶著本端的地址信息或身份信息��;對端收到所述的響應消息后��,根據(jù)所述消息中載的地址信息或身份信息�����,及其保存的合法的相鄰實體的地址信息或身份信息對相鄰實體進行合法性認證���,并在認證通過后�����,執(zhí)行步驟C��。
9.根據(jù)權利要求4所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法�,其特征在于�����,所述的步驟B2具體包括第一實體獲取相鄰實體通過建立信令連接請求消息發(fā)來的隨機碼�����,并將其與第一實體的身份信息合并進行加密處理��,獲得處理后的密文����;將所述密文發(fā)送給第二實體,并由第二實體將所述密文根據(jù)自身保存的隨機碼及第一實體的身份信息����,以及收到的密文的內容信息對所述第一實體進行合法性認證���。
10.根據(jù)權利要求1、2或3所述的獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法����,其特征在于,所述的認證信息通過信令網(wǎng)在本端實體和對端實體間傳輸�,且所述的信令網(wǎng)可以采用物理獨立或邏輯獨立的信令網(wǎng),或者采用與數(shù)據(jù)傳輸網(wǎng)共用的信令網(wǎng)���。
全文摘要
本發(fā)明涉及一種獨立承載控制層網(wǎng)絡中實體間信息交互的實現(xiàn)方法��。該方法主要包括首先,保存獨立承載控制層網(wǎng)絡的各實體的相鄰實體的認證信息��;然后��,當獨立承載控制層網(wǎng)絡中的實體收到相鄰實體發(fā)來的消息時�����,則可以根據(jù)保存的相鄰實體的認證信息對發(fā)來消息的相鄰實體進行合法性認證�;并在認證通過后��,與相鄰實體間建立連接���,以進行信息交互。因此���,本發(fā)明解決了在采用獨立承載控制層實體的網(wǎng)絡中各相鄰信令實體間的相互發(fā)現(xiàn)��、信任的問題���,從而可以方便實現(xiàn)實體間的互通,提高了網(wǎng)絡承載業(yè)務的安全性�����。
文檔編號H04L12/28GK1841999SQ200510059649
公開日2006年10月4日 申請日期2005年3月30日 優(yōu)先權日2005年3月30日
發(fā)明者何蕓谷, 范靈源, 鄒婷 申請人:華為技術有限公司