專利名稱:一種匿名通信的溯源方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種匿名通信的溯源方法及系統(tǒng)。
背景技術(shù):
目前��,因特網(wǎng)廣泛使用的TCP/IP(傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)協(xié)議中IP地 址具有雙重功能��,既作為網(wǎng)絡(luò)層的通信終端主機網(wǎng)絡(luò)接口在網(wǎng)絡(luò)拓撲中的位置標(biāo)識,又作 為傳輸層主機網(wǎng)絡(luò)接口的身份標(biāo)識。TCP/IP協(xié)議設(shè)計之初并未考慮主機移動的情況�。但 是�����,當(dāng)主機移動越來越普遍時,這種IP地址的語義過載缺陷日益明顯����。當(dāng)主機的IP地址發(fā) 生變化時,不僅路由要發(fā)生變化����,通信終端主機的身份標(biāo)識也發(fā)生變化,這樣會導(dǎo)致路由負 載越來越重,而且主機標(biāo)識的變化會導(dǎo)致應(yīng)用和連接的中斷����。提出身份標(biāo)識和位置標(biāo)識分離的目的是解決IP地址的語義過載和路由負載嚴(yán)重 以及安全性等問題,將IP地址的雙重功能進行分離�,實現(xiàn)對移動性、多家鄉(xiāng)性���、IP地址動態(tài) 重分配�、減輕路由負載及下一代互聯(lián)網(wǎng)中不同網(wǎng)絡(luò)區(qū)域之間的互訪等問題的支持。現(xiàn)有技術(shù)中有關(guān)身份標(biāo)識和位置分離的解決方案主要有兩種���,一種是基于主機的 實現(xiàn)����,另一種是基于路由器的實現(xiàn)��,每種實現(xiàn)中又有相關(guān)的多種技術(shù)進行支持.基于主機 的現(xiàn)有的主要協(xié)議是主機標(biāo)識協(xié)議(Host IdentityProtocol�����,簡稱HIP)�,基于路由的現(xiàn)有 主要協(xié)議是地址身份分離協(xié)議(Locator/ID Separation Protocol,簡稱LISP)等�。HIP是一種主機移動性關(guān)聯(lián)協(xié)議,HIP將IP地址分離為端標(biāo)識與位置標(biāo)識����。HIP 的基本思想是在第三層網(wǎng)絡(luò)層和第四層傳輸層之間引入了 3. 5層的主機標(biāo)識層(Host Identity Layer,簡稱HIL)�����,即在域名空間和IP地址空間之間引入了主機標(biāo)識(Host Identity��,簡稱HI)空間���。主機標(biāo)識層將原來緊密耦合的傳輸層和網(wǎng)絡(luò)層分開��,IP地址不 再扮演標(biāo)識主機的角色�����,其只負責(zé)數(shù)據(jù)包的路由轉(zhuǎn)發(fā)�,即僅用作定位符����,主機名稱由主機標(biāo) 識符來表示。HIL在邏輯上位于網(wǎng)絡(luò)層與傳輸層之間��,傳輸層使用傳輸層標(biāo)識符�,由主機標(biāo) 識符層完成數(shù)據(jù)包中的主機標(biāo)識符和IP地址轉(zhuǎn)換。網(wǎng)絡(luò)層對于傳輸層是屏蔽的�,網(wǎng)絡(luò)層的 任何變化(例如,在通信過程中主機IP地址的變化)不會影響傳輸層鏈路���,除非服務(wù)質(zhì)量 發(fā)生變化�?;贖IP協(xié)議的傳輸層的連接建立在主機標(biāo)識之上,IP地址只用于網(wǎng)絡(luò)層路由�, 而不再用于標(biāo)識主機身份。HIP的關(guān)鍵思想就是斷開網(wǎng)絡(luò)層和傳輸層的緊密耦合���,使應(yīng)用層 和傳輸層的連接不受IP地址變化的影響�。當(dāng)IP地址在一個連接中變化時����,HI保持不變���, 由此保證了連接的不中斷。在支持HIP的主機中�,IP地址只是用于路由和尋址功能,而HI 則用來標(biāo)識一個連接所對應(yīng)的終端主機�,代替連接套接字中所使用的IP地址。LISP重用了路由技術(shù)�����,對現(xiàn)有的路由拓撲結(jié)構(gòu)有了一定的改變���,結(jié)合現(xiàn)有的傳送 網(wǎng)�,利用最小的改造優(yōu)化了現(xiàn)有的路由傳送技術(shù)���。主機使用IP地址��,在LISP系統(tǒng)中稱為EID (Endpoint Identifiersjj^gK)來跟 蹤socket (套接字)���、建立連接、發(fā)送和接收數(shù)據(jù)包�。路由器基于IP目的地址RLOCs (Routing Locators,路由地址)傳遞數(shù)據(jù)包�����。
在LISP系統(tǒng)中引入了隧道路由,在發(fā)起主機包時封裝LISP并且在最終傳遞到目 的地前對數(shù)據(jù)包進行解封裝��。在LISP數(shù)據(jù)包中“外層報頭”的IP地址是RLOCs����。在兩個 網(wǎng)絡(luò)的主機之間進行端到端的包交換過程中��,ITRangress Tunnel Router���,入口隧道路由 器)為每個包封裝一個新LISP頭��,在出口通道路由剝?nèi)バ骂^��。ITR執(zhí)行EID-to-RLOC查找 以確定到ETR (EgressTunnel Router,出口隧道路由器)的路由路徑��,ETR以RLOC作為它的 一個地址���。LISP為基于網(wǎng)絡(luò)的協(xié)議,只影響網(wǎng)絡(luò)部分����,更確切的是只影響現(xiàn)有hternet baclAone (骨干網(wǎng)絡(luò))部分���,不影響現(xiàn)有網(wǎng)絡(luò)的接入層和用戶主機,對主機是完全透明的����。在上述現(xiàn)有的身份標(biāo)識和位置標(biāo)識分離的解決方案中,都必須以用戶的身份標(biāo)識 查找對應(yīng)的位置標(biāo)識�����。該身份標(biāo)識必須是通信節(jié)點的真實身份��,身份標(biāo)識必須在通訊節(jié)點 之間傳遞����,否則無法確定通訊節(jié)點的位置標(biāo)識,無法建立通信節(jié)點間的聯(lián)系�。出于安全性和業(yè)務(wù)特點的考慮,現(xiàn)有hternet網(wǎng)絡(luò)中大量的應(yīng)用業(yè)務(wù)以匿名方 式開展���,在身份標(biāo)識和位置標(biāo)識分離的解決方案中����,用戶申請了匿名通信業(yè)務(wù)后,網(wǎng)絡(luò)一般 將用戶的用戶名或者身份標(biāo)識替換為一個匿名標(biāo)識����,通信對端無法根據(jù)這個匿名標(biāo)識獲知 信息發(fā)送者的身份。但是���,網(wǎng)絡(luò)上的非法信息和垃圾信息也經(jīng)常采用匿名通信�����,會破壞網(wǎng)絡(luò)安全,對于 國家信息監(jiān)管部門或者個人����,有時需要對匿名通信進行溯源,以定位非法信息和垃圾信息 的來源����。在傳統(tǒng)hternet網(wǎng)上,現(xiàn)有溯源方法都是根據(jù)數(shù)據(jù)包中的源IP地址進行溯源�,根 據(jù)源IP地址查找到該IP地址所屬網(wǎng)段的三層交換機和二層交換機,查詢二層和三層交換 機的物理地址表��,定位到二層和三層交換機的端口號?�,F(xiàn)有hternet網(wǎng)絡(luò)的溯源方法存在嚴(yán)重不足由于IP地址經(jīng)常是動態(tài)分配的,溯 源找到的二和三層交換機的端口號只是臨時有效����,并且hternet網(wǎng)上的IP地址是可以被 惡意篡改的,這種情況下根據(jù)IP地址溯源將完全失效��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種匿名通信的溯源方法及系統(tǒng)��,解決IP地址 溯源無效的問題�,實現(xiàn)身份標(biāo)識和位置標(biāo)識分離網(wǎng)絡(luò)中對匿名通信的溯源。為解決上述技術(shù)問題���,本發(fā)明的一種匿名通信的溯源方法�,包括節(jié)點向所接入的接入節(jié)點發(fā)送溯源查詢請求�,在該溯源查詢請求中攜帶匿名身份 標(biāo)識;接入節(jié)點接收到溯源查詢請求后�����,根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的真實身份標(biāo) 識��;并將查詢到的真實身份標(biāo)識發(fā)送給節(jié)點����。進一步地�,接入節(jié)點通過向映射節(jié)點發(fā)送身份查詢請求查詢對應(yīng)的真實身份標(biāo) 識�����,在該身份查詢請求中攜帶匿名身份標(biāo)識����;映射節(jié)點接收到身份查詢請求后,從所保存的真實身份標(biāo)識-匿名身份標(biāo)識映射 表中查詢對應(yīng)的真實身份標(biāo)識���,并將查詢到的真實身份標(biāo)識返回給接入節(jié)點����。進一步地���,映射節(jié)點查詢到真實身份標(biāo)識后,還從所保存的身份標(biāo)識-位置標(biāo)識 映射表中查詢該真實身份標(biāo)識對應(yīng)的位置標(biāo)識��,并將該位置標(biāo)識返回給接入節(jié)點�;
接入節(jié)點將該接收到的位置標(biāo)識發(fā)送給節(jié)點。進一步地���,身份標(biāo)識采用接入標(biāo)識(AID)�����,位置標(biāo)識采用路由標(biāo)識(RID)�。進一步地,接入節(jié)點接收到溯源查詢請求后�,查詢對應(yīng)的真實身份標(biāo)識前,還向認 證中心查詢節(jié)點是否具備溯源業(yè)務(wù)權(quán)限���;認證中心確認節(jié)點具有權(quán)限后���,向接入節(jié)點返回確認消息,接入節(jié)點接收到確認 消息后����,執(zhí)行根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的真實身份標(biāo)識的操作。進一步地��,一種匿名通信的溯源系統(tǒng)�����,包括節(jié)點和該節(jié)點接入的接入節(jié)點����,其 中節(jié)點���,用于向接入節(jié)點發(fā)送溯源查詢請求,在該溯源查詢請求中攜帶匿名身份標(biāo) 識����;接入節(jié)點,用于在接收到溯源查詢請求后��,根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的真實 身份標(biāo)識���;并將查詢到的真實身份標(biāo)識發(fā)送給節(jié)點�����。進一步地��,該系統(tǒng)還包括映射節(jié)點��;接入節(jié)點通過向映射節(jié)點發(fā)送身份查詢請求查詢對應(yīng)的真實身份標(biāo)識,在該身份 查詢請求中攜帶匿名身份標(biāo)識���;映射節(jié)點�����,用于在接收到身份查詢請求后���,從所保存的真實身份標(biāo)識-匿名身份 標(biāo)識映射表中查詢對應(yīng)的真實身份標(biāo)識��,并將查詢到的真實身份標(biāo)識返回給接入節(jié)點��。進一步地�����,映射節(jié)點�����,還用于在查詢到真實身份標(biāo)識后��,從所保存的身份標(biāo)識-位 置標(biāo)識映射表中查詢該真實身份標(biāo)識對應(yīng)的位置標(biāo)識��,并將該位置標(biāo)識返回給接入節(jié)點�����;接入節(jié)點�����,還用于將該接收到的位置標(biāo)識發(fā)送給節(jié)點����。進一步地,身份標(biāo)識采用接入標(biāo)識(AID)�,位置標(biāo)識采用路由標(biāo)識(RID)。進一步地����,該系統(tǒng)還包括認證中心;接入節(jié)點���,還用于在接收到溯源查詢請求后���,查詢對應(yīng)的真實身份標(biāo)識前,向認證 中心查詢節(jié)點是否具備溯源業(yè)務(wù)權(quán)限�����;并在接收到認證中心的確認消息后���,執(zhí)行根據(jù)該匿 名身份標(biāo)識查詢對應(yīng)的真實身份標(biāo)識的操作。認證中心��,用于在確認節(jié)點具有權(quán)限后,向接入節(jié)點返回確認消息��。進一步地�,一種匿名通信的溯源方法,應(yīng)用于身份標(biāo)識與位置標(biāo)識分離的網(wǎng)絡(luò)架 構(gòu)中�����,該網(wǎng)絡(luò)架構(gòu)包括第一節(jié)點�����、第二節(jié)點和第二節(jié)點接入的第二接入節(jié)點��,其中��,第一節(jié) 點已開通匿名通信業(yè)務(wù)并已分配有匿名身份標(biāo)識����,該方法包括第一節(jié)點向第二節(jié)點發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中包含第一節(jié)點的匿名身份標(biāo) 識�;第二節(jié)點接收到數(shù)據(jù)報文后,向第二接入節(jié)點發(fā)送溯源查詢請求��,在該溯源查詢 請求中攜帶第一節(jié)點的匿名身份標(biāo)識����;第二接入節(jié)點接收到溯源查詢請求后����,根據(jù)該匿名身份標(biāo)識查詢第一節(jié)點的真實 身份標(biāo)識�����;并將查詢到的真實身份標(biāo)識發(fā)送給第二節(jié)點��。進一步地�����,網(wǎng)絡(luò)架構(gòu)還包括映射節(jié)點�����,該映射節(jié)點中保存有真實身份標(biāo)識-匿名 身份標(biāo)識映射表�;第二接入節(jié)點通過向映射節(jié)點發(fā)送身份查詢請求查詢第一節(jié)點的真實身份標(biāo)識, 在該身份查詢請求中攜帶匿名身份標(biāo)識����;
映射節(jié)點接收到身份查詢請求后,從真實身份標(biāo)識-匿名身份標(biāo)識映射表中查詢 對應(yīng)的真實身份標(biāo)識,并將查詢到的真實身份標(biāo)識返回給第二接入節(jié)點��。進一步地�����,一種匿名通信的溯源系統(tǒng)�,該系統(tǒng)包括第一節(jié)點���、第二節(jié)點和第二節(jié) 點接入的第二接入節(jié)點��,其中�,第一節(jié)點已開通匿名通信業(yè)務(wù)并已分配有匿名身份標(biāo)識��;第一節(jié)點�,用于向第二節(jié)點發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中包含第一節(jié)點的匿名身 份標(biāo)識�;第二節(jié)點,用于在接收到數(shù)據(jù)報文后����,向第二接入節(jié)點發(fā)送溯源查詢請求,在該溯 源查詢請求中攜帶第一節(jié)點的匿名身份標(biāo)識�����;第二接入節(jié)點,用于在接收到溯源查詢請求后��,根據(jù)該匿名身份標(biāo)識查詢第一節(jié) 點的真實身份標(biāo)識�;并將查詢到的真實身份標(biāo)識發(fā)送給第二節(jié)點。進一步地�,該系統(tǒng)還包括映射節(jié)點,該映射節(jié)點中保存有真實身份標(biāo)識-匿名身 份標(biāo)識映射表�����;第二接入節(jié)點通過向映射節(jié)點發(fā)送身份查詢請求查詢第一節(jié)點的真實身份標(biāo)識��, 在該身份查詢請求中攜帶匿名身份標(biāo)識���;映射節(jié)點�����,用于在接收到身份查詢請求后���,從真實身份標(biāo)識-匿名身份標(biāo)識映射 表中查詢對應(yīng)的真實身份標(biāo)識,并將查詢到的真實身份標(biāo)識返回給第二接入節(jié)點�����。綜上所述,本發(fā)明考慮到IP地址可以動態(tài)分配可以被篡改����,溯源到IP地址并不能 代表定位到用戶,而AID是用戶的真實身份��,無論用戶在什么位置����,AID都是唯一的�,定位到 AID即定位到用戶,而RID是用戶的位置標(biāo)識�,也標(biāo)識接入用戶的邊緣路由器,定位到RID即 查到用戶所處的位置��,并且���,在身份標(biāo)識和位置標(biāo)識分離的網(wǎng)絡(luò)中核心層和接入層相互隔 離�����,用戶不能訪問核心層�����,也就無法在數(shù)據(jù)傳輸過程中篡改數(shù)據(jù)包的AID和RID�,保證了溯 源到的用戶AID和RID的真實有效性。
圖1是基于身份位置分離架構(gòu)的網(wǎng)絡(luò)拓撲示意圖���;圖2是本發(fā)明匿名通信的溯源方法的流程圖����。
具體實施例方式基于身份標(biāo)識和位置分離的網(wǎng)絡(luò)架構(gòu)有多種�����,圖1為本發(fā)明實施例的身份標(biāo)識和 位置分離架構(gòu)的網(wǎng)絡(luò)拓撲示意圖�����,其中示出了與本發(fā)明相關(guān)的系統(tǒng)架構(gòu)的關(guān)鍵網(wǎng)元/功能 實體�����。如圖1所示�,本實施例所述的基于身份位置分離架構(gòu)(以下稱本架構(gòu))中,將網(wǎng)絡(luò) 劃分為接入網(wǎng)和骨干網(wǎng)����,接入網(wǎng)位于骨干網(wǎng)的邊緣����,負責(zé)所有終端的接入���。骨干網(wǎng)負責(zé)不同 通過接入網(wǎng)接入的終端的路由����。接入服務(wù)節(jié)點(Access Service Node�����,簡稱ASN)位于骨干 網(wǎng)和接入網(wǎng)的分界點�����,與接入網(wǎng)接口�,與骨干網(wǎng)接口����。ASN用于為終端提供接入服務(wù)、維護用 戶連接以及轉(zhuǎn)發(fā)用戶數(shù)據(jù)等����。接入網(wǎng)與骨干網(wǎng)在拓撲關(guān)系上沒有重疊��。本架構(gòu)網(wǎng)絡(luò)中有兩種標(biāo)識類型�,接入標(biāo)識(Access Identif ier�����,簡稱AID)和路由 標(biāo)識(Routing-Location Identif ier�����,簡稱RID)�����。其中AID是為網(wǎng)絡(luò)中每個用戶終端分配 的唯一的身份標(biāo)識����,在接入層使用,且在用戶終端的移動過程中始終保持不變�����;本架構(gòu)網(wǎng)絡(luò)內(nèi)部的用戶終端間使用AID標(biāo)識對端���,用戶終端間只需使用對端的AID進行通信��。在優(yōu)選實施例中�,骨干網(wǎng)在組網(wǎng)時分為兩個平面映射轉(zhuǎn)發(fā)平面,廣義轉(zhuǎn)發(fā)平面���。廣義轉(zhuǎn)發(fā)平面的主要功能是根據(jù)數(shù)據(jù)報文中的路由標(biāo)識RID進行選路和轉(zhuǎn)發(fā)數(shù) 據(jù)報文����。廣義轉(zhuǎn)發(fā)平面內(nèi)的數(shù)據(jù)路由轉(zhuǎn)發(fā)行為與傳統(tǒng)IP網(wǎng)絡(luò)一致��。映射轉(zhuǎn)發(fā)平面的主要功能是保存移動節(jié)點身份位置的映射信息(即RID-AID之間 的映射信息)�、處理移動節(jié)點的登記注冊流程、處理通信對端的位置查詢流程�����,以及路由并 轉(zhuǎn)發(fā)以接入標(biāo)識AID為目的地址的數(shù)據(jù)報文�����。本實施例的基于網(wǎng)絡(luò)的身份標(biāo)識和位置分離架構(gòu)中���,涉及的主要網(wǎng)元和功能實體 如下用戶終端本架構(gòu)中�����,接入的用戶終端可以是移動節(jié)點��、固定節(jié)點及游牧節(jié)點中的 一種或多種��。接入網(wǎng)用于為用戶終端提供二層(物理層和鏈路層)接入服務(wù)��。接入網(wǎng)可以是基 站系統(tǒng)��,如 BSS (Base Station Subsystem����,基站子系統(tǒng))�,RAN (Radio Access Network,無線 接入網(wǎng))���,eNodeB(evolved Node B���,演進的節(jié)點 B)等,也可以是xDSL(Digital Subscriber Line���,數(shù)字用戶線)���、AP (Access Point�,無線訪問接入點)等�。ASN:維護終端與骨干網(wǎng)的連接關(guān)系,為終端分配RID�����,處理切換流程��,處理登記注 冊流程����,計費/鑒權(quán),維護/查詢通訊對端的AID-RID映射關(guān)系����,封裝、路由并轉(zhuǎn)發(fā)送達終端 或終端發(fā)出的數(shù)據(jù)報文�����。ASN收到終端發(fā)來的數(shù)據(jù)報文時�,根據(jù)報文中的CN的AID在本地查找其對應(yīng)的 RID 如果查到對應(yīng)的AID-RID映射條目���,則在數(shù)據(jù)報文中以RID替換AID的方式�、或者以封 裝RID的方式將數(shù)據(jù)報文轉(zhuǎn)發(fā)到骨干網(wǎng);如果沒有查到對應(yīng)的AID-RID映射條目��,則向ILR 發(fā)出查詢流程��,以獲取AID-RID映射表條目�����,然后在相關(guān)數(shù)據(jù)報文中以RID替換AID的方 式�、或者以封裝RID的方式將數(shù)據(jù)報文轉(zhuǎn)發(fā)出去;或是在向ILR發(fā)出查詢的同時將數(shù)據(jù)報文 轉(zhuǎn)發(fā)到骨干網(wǎng)進行路由轉(zhuǎn)發(fā)�,在收到ILR返回的CN的AID-RID映射關(guān)系后,在本地緩存保 存CN的AID-RID映射�����;ASN在收到網(wǎng)絡(luò)發(fā)往終端的數(shù)據(jù)報文時�,剝離外層的RID封裝后,發(fā)給終端��。CR(Common Router�,通用路由器)路由并轉(zhuǎn)發(fā)以RID格式為源地址/目的地址的 數(shù)據(jù)報文。認證中心負責(zé)記錄本架構(gòu)網(wǎng)絡(luò)的用戶屬性,包括用戶類別�����、鑒權(quán)信息�、用戶服務(wù) 等級等信息,產(chǎn)生用于鑒權(quán)�����、完整性保護和加密的用戶安全信息�,在用戶接入時進行合法性 認證和授權(quán)。認證中心支持本架構(gòu)網(wǎng)絡(luò)與用戶間的雙向鑒權(quán)�。ILR/PTF(Identity Location Register/Packet Transfer Function,身份位置寄 存器/分組轉(zhuǎn)發(fā)功能)ILR和PTF可以為同一實體上的兩個功能模塊,位于骨干網(wǎng)的映射 轉(zhuǎn)發(fā)平面中��。ILR負責(zé)維護/保存基于網(wǎng)絡(luò)的身份標(biāo)識和位置分離架構(gòu)中用戶的AID-RID映射 關(guān)系�����,實現(xiàn)登記注冊功能�,處理通信對端的位置查詢流程。具體地����,當(dāng)終端(Mobile Node,簡 稱MN)開機或者發(fā)生位置變化時�����,將通過所在的ASN向ILR發(fā)起注冊過程���,這樣ILR中就保 存了麗的實時AID-RID的映射關(guān)系�。PTF在收到ASN送達的數(shù)據(jù)報文后���,由PTF根據(jù)目的AID路由并轉(zhuǎn)發(fā)�����。映射轉(zhuǎn)發(fā)平面內(nèi)PTF節(jié)點向ILR查到目的AID-RID的映射關(guān)系后��,在數(shù)據(jù)報文頭部封裝查到的RID信 息并轉(zhuǎn)發(fā)到廣義轉(zhuǎn)發(fā)平面內(nèi)路由到通信對端所在的ASN�。在上述基于身份標(biāo)識和位置標(biāo)識分離的架構(gòu)中�����,有效合法存續(xù)期間的終端用戶的 接入標(biāo)識AID始終保持不變�,路由標(biāo)識RID標(biāo)識當(dāng)前所在的ASN的位置。端到端通信過程 中�,需要將源端的接入識別AID作為源地址在數(shù)據(jù)報文中攜帶到通信對端��,通信對端能夠 根據(jù)數(shù)據(jù)報文攜帶的源地址獲知源端身份�����。網(wǎng)絡(luò)通過對用戶身份的鑒權(quán)以網(wǎng)絡(luò)信用保證用戶身份的真實可靠���,在網(wǎng)絡(luò)中構(gòu)建 了一個信任域。網(wǎng)絡(luò)對用戶身份的鑒權(quán)方法根據(jù)不同的網(wǎng)絡(luò)體制采用不同的方法��,可以是 對用戶接入標(biāo)識AID直接鑒權(quán)�����;也可以對網(wǎng)絡(luò)中識別用戶的其它用戶標(biāo)識(例如���,國際移動 用戶標(biāo)識IMSI和網(wǎng)絡(luò)用戶標(biāo)識NAI等)進行鑒權(quán)��,網(wǎng)絡(luò)設(shè)備將保存該用戶標(biāo)識與AID之間 的對應(yīng)信息?,F(xiàn)有接入網(wǎng)(RAN)部分能夠保證二層連接安全性��,保證終端用戶接入網(wǎng)絡(luò)時數(shù)據(jù) 報文不被篡改����。例如CDMA無線接入采用碼分多址方式��;ADSL采用專線或VLAN隔離方式�����; GSM采用頻分多址方式。所有的終端用戶都是通過鑒權(quán)認證的有效合法用戶��。終端用戶在 接入網(wǎng)絡(luò)時�����,將建立終端用戶與網(wǎng)絡(luò)的ASN間的點到點連接關(guān)系����。ASN將終端用戶的AID綁 定在終端與ASN間的端到端用戶連接上,如果從該用戶連接上發(fā)出報文的源地址與該用戶 的AID不匹配����,ASN將丟棄數(shù)據(jù)報文,這樣�,基于身份位置分離的架構(gòu)將能夠保證終端用戶 的AID不被仿冒和更改。ASN以及從源ASN到目的ASN之間的通信設(shè)備����,包括ILR/PTF���、CR和認證中心等, 由網(wǎng)絡(luò)運營和管理方提供���,由網(wǎng)絡(luò)信用保證數(shù)據(jù)報文傳輸?shù)陌踩?�,保證數(shù)據(jù)報文真實可 靠���。因此,基于身份位置分離的架構(gòu)將能夠在網(wǎng)絡(luò)中以網(wǎng)絡(luò)信用構(gòu)建一個信任域���,保證進行 數(shù)據(jù)通信的兩端身份的真實可靠�����。出于安全性和業(yè)務(wù)特點的考慮�����,現(xiàn)有hternet網(wǎng)大量的應(yīng)用業(yè)務(wù)以匿名方式開 展���,身份標(biāo)識和位置分離的解決方案在構(gòu)建了一個實名制信任域的基礎(chǔ)上,仍需提供匿名 通信業(yè)務(wù)���,以滿足業(yè)務(wù)開展的需要��。在身份標(biāo)識和位置標(biāo)識分離的網(wǎng)絡(luò)中���,假設(shè)終端用戶(MN)的身份標(biāo)識為AIDm�����,匿 名通信的一般流程為用戶在申請并啟動匿名通信業(yè)務(wù)后,由認證中心為啟動匿名業(yè)務(wù)的 用戶終端分配一個用于匿名的身份標(biāo)識(匿名身份標(biāo)識AIDx)����,并建立AIDm-AIDx的映射 表,并將此映射表登記到ASN和ILR�����。在轉(zhuǎn)發(fā)數(shù)據(jù)報文時���,ASN接收到麗發(fā)出的數(shù)據(jù)報文 后�,將數(shù)據(jù)報文的AIDm替換為AIDx����,在骨干網(wǎng)上傳輸�,MN的通信對端(CN)收到帶匿名身份 標(biāo)識AIDx的數(shù)據(jù)報文����。本實施例中,出于網(wǎng)絡(luò)安全的考慮��,在網(wǎng)絡(luò)監(jiān)管部門或者個人用戶想要知道匿名 終端的真實身份時���,需要對匿名通信進行溯源����,以定位非法信息和垃圾信息的來源��,為此���, 可以根據(jù)匿名身份標(biāo)識AIDx����,查詢到匿名者的真實的AID���,再進一步根據(jù)真實的AID查詢到 匿名終端的位置標(biāo)識�。圖2所示為本發(fā)明實施方式對匿名通信進行溯源的方法,假設(shè)MN已經(jīng)開通匿名通 信業(yè)務(wù)并已分配匿名身份標(biāo)識AIDx���,該MN的接入標(biāo)識為AIDm����,所接入的ASNm為其分配了 RIDm,并且���,ILR中保存了該麗的AIDm-RIDm映射信息和AIDm-AIDx映射表�����,該方法包括201 麗向通信對端CN發(fā)送數(shù)據(jù)報文�,該數(shù)據(jù)報文中包含麗的匿名身份標(biāo)識AIDx �����;麗將數(shù)據(jù)報文發(fā)送到ASNm���,ASNm將該數(shù)據(jù)報文的AIDm替換為AIDx,通過骨干網(wǎng) 發(fā)送給CN接入的ASN(ASNc)��,ASNc將數(shù)據(jù)報文轉(zhuǎn)發(fā)給CN��。202 通信對端CN接收到MN的數(shù)據(jù)報文后,向接入的ASNc發(fā)起溯源查詢請求�����,在 該請求中攜帶參數(shù)AIDx;203 =ASNc向認證中心查詢CN是否具備溯源業(yè)務(wù)權(quán)限��;204 認證中心認證通過后向ASNc發(fā)出確認消息�;步驟203和204根據(jù)運營需要為可選步驟。205 =ASNc向ILR發(fā)起身份查詢請求����,在該請求中攜帶參數(shù)AIDx ;206 =ILR接收到該查詢請求后����,根據(jù)AIDx查詢AIDm-AIDx映射表,查找到MN真實 身份標(biāo)識AIDm ��;207 ILR根據(jù)AIDm查詢AIDm-RIDm映射表��,查找到麗的位置標(biāo)識RIDm ����;208 JLR 將查到的 AIDm 和 RIDm 返回給 ASNc ;209 =ASNc將接收到的麗的AIDm和RIDm返回給終端用戶CN���。本發(fā)明還提供了一種匿名通信的溯源系統(tǒng)���,包括節(jié)點��、該節(jié)點接入的接入節(jié)點�、 映射節(jié)點和認證中心��,其中節(jié)點,用于向接入節(jié)點發(fā)送溯源查詢請求,在該溯源查詢請求中攜帶匿名身份標(biāo) 識�����;接入節(jié)點,用于在接收到溯源查詢請求后���,向認證中心查詢節(jié)點是否具備溯源業(yè) 務(wù)權(quán)限����;并在接收到認證中心的確認消息后���,向映射節(jié)點發(fā)送身份查詢請求查詢對應(yīng)的真 實身份標(biāo)識,在該身份查詢請求中攜帶匿名身份標(biāo)識�����;并將查詢到的真實身份標(biāo)識發(fā)送給 節(jié)點;還將該接收到的位置標(biāo)識發(fā)送給節(jié)點����。映射節(jié)點,用于在接收到身份查詢請求后���,從真實身份標(biāo)識-匿名身份標(biāo)識映射 表中查詢對應(yīng)的真實身份標(biāo)識���,并將查詢到的真實身份標(biāo)識返回給接入節(jié)點;并在查詢到 真實身份標(biāo)識后��,從身份標(biāo)識-位置標(biāo)識映射表中查詢該真實身份標(biāo)識對應(yīng)的位置標(biāo)識��, 并將該位置標(biāo)識返回給接入節(jié)點����;認證中心,用于在確認節(jié)點具有權(quán)限后���,向接入節(jié)點返回確認消息����。上述身份標(biāo)識采用AID,位置標(biāo)識采用RID�。本發(fā)明還可有其他多種實施例,在不背離本發(fā)明精神及其實質(zhì)的情況下����,熟悉本 領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都 應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護范圍�。
權(quán)利要求
1.一種匿名通信的溯源方法,應(yīng)用于身份標(biāo)識與位置標(biāo)識分離的網(wǎng)絡(luò)中�����,其特征在于�����, 包括節(jié)點向所接入的接入節(jié)點發(fā)送溯源查詢請求��,在該溯源查詢請求中攜帶匿名身份標(biāo)識���;所述接入節(jié)點接收到所述溯源查詢請求后�����,根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的真實身份 標(biāo)識���;并將查詢到的真實身份標(biāo)識發(fā)送給所述節(jié)點。
2.如權(quán)利要求1所述的方法���,其特征在于���,所述接入節(jié)點通過向映射節(jié)點發(fā)送身份查詢請求查詢對應(yīng)的真實身份標(biāo)識,在該身份 查詢請求中攜帶所述匿名身份標(biāo)識���;所述映射節(jié)點接收到所述身份查詢請求后�,從所保存的真實身份標(biāo)識-匿名身份標(biāo)識 映射表中查詢對應(yīng)的真實身份標(biāo)識���,并將查詢到的真實身份標(biāo)識返回給所述接入節(jié)點�����。
3.如權(quán)利要求2所述的方法��,其特征在于�,所述映射節(jié)點查詢到所述真實身份標(biāo)識后���,還從所保存的身份標(biāo)識-位置標(biāo)識映射表 中查詢該真實身份標(biāo)識對應(yīng)的位置標(biāo)識����,并將該位置標(biāo)識返回給所述接入節(jié)點;所述接入節(jié)點將該接收到的位置標(biāo)識發(fā)送給所述節(jié)點����。
4.如權(quán)利要求3所述的方法,其特征在于�,所述身份標(biāo)識采用接入標(biāo)識(AID),所述位 置標(biāo)識采用路由標(biāo)識(RID)���。
5.如權(quán)利要求1所述的方法����,其特征在于���,所述接入節(jié)點接收到所述溯源查詢請求后����,查詢對應(yīng)的真實身份標(biāo)識前�,還向認證中 心查詢所述節(jié)點是否具備溯源業(yè)務(wù)權(quán)限;所述認證中心確認所述節(jié)點具有權(quán)限后��,向接入節(jié)點返回確認消息,所述接入節(jié)點接 收到確認消息后���,執(zhí)行所述根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的真實身份標(biāo)識的操作。
6.一種匿名通信的溯源系統(tǒng)���,應(yīng)用于身份標(biāo)識與位置標(biāo)識分離的網(wǎng)絡(luò)中�����,包括節(jié)點 和該節(jié)點接入的接入節(jié)點�,其中所述節(jié)點��,用于向所述接入節(jié)點發(fā)送溯源查詢請求�����,在該溯源查詢請求中攜帶匿名身 份標(biāo)識���;所述接入節(jié)點�,用于在接收到所述溯源查詢請求后����,根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的 真實身份標(biāo)識;并將查詢到的真實身份標(biāo)識發(fā)送給所述節(jié)點�。
7.如權(quán)利要求6所述的系統(tǒng)���,其特征在于,該系統(tǒng)還包括映射節(jié)點�����;所述接入節(jié)點通過向所述映射節(jié)點發(fā)送身份查詢請求查詢對應(yīng)的真實身份標(biāo)識�,在該 身份查詢請求中攜帶所述匿名身份標(biāo)識;所述映射節(jié)點���,用于在接收到所述身份查詢請求后���,從所保存的真實身份標(biāo)識-匿名 身份標(biāo)識映射表中查詢對應(yīng)的真實身份標(biāo)識,并將查詢到的真實身份標(biāo)識返回給所述接入 節(jié)點�����。
8.如權(quán)利要求7所述的系統(tǒng)�����,其特征在于��,所述映射節(jié)點,還用于在查詢到所述真實身份標(biāo)識后�,從所保存的身份標(biāo)識-位置標(biāo) 識映射表中查詢該真實身份標(biāo)識對應(yīng)的位置標(biāo)識,并將該位置標(biāo)識返回給所述接入節(jié)點�;所述接入節(jié)點,還用于將該接收到的位置標(biāo)識發(fā)送給所述節(jié)點����。
9.如權(quán)利要求8所述的系統(tǒng)����,其特征在于,所述身份標(biāo)識采用接入標(biāo)識(AID)�,所述位置標(biāo)識采用路由標(biāo)識(RID)。
10.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于�,該系統(tǒng)還包括認證中心;所述接入節(jié)點�,還用于在接收到所述溯源查詢請求后,查詢對應(yīng)的真實身份標(biāo)識前�,向 認證中心查詢所述節(jié)點是否具備溯源業(yè)務(wù)權(quán)限;并在接收到所述認證中心的確認消息后���, 執(zhí)行所述根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的真實身份標(biāo)識的操作���。所述認證中心����,用于在確認所述節(jié)點具有權(quán)限后����,向接入節(jié)點返回確認消息。
11.一種匿名通信的溯源方法����,應(yīng)用于身份標(biāo)識與位置標(biāo)識分離的網(wǎng)絡(luò)架構(gòu)中,該網(wǎng)絡(luò) 架構(gòu)包括第一節(jié)點�����、第二節(jié)點和第二節(jié)點接入的第二接入節(jié)點���,其中��,所述第一節(jié)點已開 通匿名通信業(yè)務(wù)并已分配有匿名身份標(biāo)識����,該方法包括第一節(jié)點向第二節(jié)點發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中包含第一節(jié)點的匿名身份標(biāo)識����;所述第二節(jié)點接收到所述數(shù)據(jù)報文后,向所述第二接入節(jié)點發(fā)送溯源查詢請求��,在該 溯源查詢請求中攜帶所述第一節(jié)點的匿名身份標(biāo)識����;所述第二接入節(jié)點接收到所述溯源查詢請求后,根據(jù)該匿名身份標(biāo)識查詢所述第一節(jié) 點的真實身份標(biāo)識���;并將查詢到的真實身份標(biāo)識發(fā)送給所述第二節(jié)點。
12.如權(quán)利要求11所述的方法�����,其特征在于�����,所述網(wǎng)絡(luò)架構(gòu)還包括映射節(jié)點��,該映射 節(jié)點中保存有真實身份標(biāo)識-匿名身份標(biāo)識映射表�;所述第二接入節(jié)點通過向所述映射節(jié)點發(fā)送身份查詢請求查詢所述第一節(jié)點的真實 身份標(biāo)識���,在該身份查詢請求中攜帶所述匿名身份標(biāo)識;所述映射節(jié)點接收到所述身份查詢請求后��,從所述真實身份標(biāo)識-匿名身份標(biāo)識映射 表中查詢對應(yīng)的真實身份標(biāo)識��,并將查詢到的真實身份標(biāo)識返回給所述第二接入節(jié)點���。
13.—種匿名通信的溯源系統(tǒng)�����,應(yīng)用于身份標(biāo)識與位置標(biāo)識分離的網(wǎng)絡(luò)中�����,該系統(tǒng)包 括第一節(jié)點����、第二節(jié)點和第二節(jié)點接入的第二接入節(jié)點�,其中,所述第一節(jié)點已開通匿名 通信業(yè)務(wù)并已分配有匿名身份標(biāo)識�����;所述第一節(jié)點,用于向第二節(jié)點發(fā)送數(shù)據(jù)報文����,該數(shù)據(jù)報文中包含第一節(jié)點的匿名身 份標(biāo)識;所述第二節(jié)點����,用于在接收到所述數(shù)據(jù)報文后,向所述第二接入節(jié)點發(fā)送溯源查詢請 求�����,在該溯源查詢請求中攜帶所述第一節(jié)點的匿名身份標(biāo)識��;所述第二接入節(jié)點�,用于在接收到溯源查詢請求后�,根據(jù)該匿名身份標(biāo)識查詢所述第 一節(jié)點的真實身份標(biāo)識;并將查詢到的真實身份標(biāo)識發(fā)送給所述第二節(jié)點�����。
14.如權(quán)利要求13所述的系統(tǒng)�����,其特征在于,該系統(tǒng)還包括映射節(jié)點�,該映射節(jié)點中 保存有真實身份標(biāo)識-匿名身份標(biāo)識映射表;所述第二接入節(jié)點通過向所述映射節(jié)點發(fā)送身份查詢請求查詢所述第一節(jié)點的真實 身份標(biāo)識�����,在該身份查詢請求中攜帶所述匿名身份標(biāo)識��;所述映射節(jié)點�����,用于在接收到所述身份查詢請求后����,從所述真實身份標(biāo)識-匿名身份 標(biāo)識映射表中查詢對應(yīng)的真實身份標(biāo)識,并將查詢到的真實身份標(biāo)識返回給所述第二接入 節(jié)點�����。
全文摘要
本發(fā)明公開了一種匿名通信的溯源方法��,包括節(jié)點向所接入的接入節(jié)點發(fā)送溯源查詢請求���,在該溯源查詢請求中攜帶匿名身份標(biāo)識��;接入節(jié)點接收到溯源查詢請求后��,根據(jù)該匿名身份標(biāo)識查詢對應(yīng)的真實身份標(biāo)識���;并將查詢到的真實身份標(biāo)識發(fā)送給節(jié)點�。本發(fā)明考慮到IP地址可以動態(tài)分配可以被篡改����,溯源到IP地址并不能代表定位到用戶,而AID是用戶的真實身份���,無論用戶在什么位置�����,AID都是唯一的��,定位到AID即定位到用戶,而RID是用戶的位置標(biāo)識����,也標(biāo)識接入用戶的邊緣路由器,定位到RID即查到用戶所處的位置��。
文檔編號H04L9/32GK102045163SQ20091018082
公開日2011年5月4日 申請日期2009年10月15日 優(yōu)先權(quán)日2009年10月15日
發(fā)明者孫翼舟 申請人:中興通訊股份有限公司