亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

端口控制協議快速恢復方法和裝置的制作方法

文檔序號:7889353閱讀:295來源:國知局
專利名稱:端口控制協議快速恢復方法和裝置的制作方法
技術領域
本發(fā)明涉及通信領域,尤其涉及一種端口控制協議快速恢復方法和裝置。
背景技術
端口控制協議(PortControl Protocol, PCP)提供了 IPv6 (Internet Protocol version 6,互聯網協議第6版)或IPv4 (Internet Protocol version 4,互聯網協議第4 版)主機控制網絡地址轉換器(Network Address Translator, NAT)和防火墻設備如何轉換和轉發(fā)IPv6或IPv4分組的機制。PCP允許應用創(chuàng)建從外部IP地址和端口到內部IP地址和端口的映射。這些映射對于位于NAT或防火墻后的設備的正常通信是必須的。PCP協議中提供了快速恢復機制,在主用PCP服務器出現故障后,另外一個備份 PCP服務器會接替出現故障的PCP服務器,快速建立起映射關系,從而保持正常的通信。但現有的快速恢復機制存在安全缺陷,惡意攻擊者可以利用安全缺陷對網絡進行攻擊,從而對正常的通信造成很大影響。

發(fā)明內容
本發(fā)明的實施方式提供的方法和裝置,解決目前PCP協議中快速恢復機制中的安全缺陷問題。本發(fā)明實施例提供一種端口控制協議快速恢復方法,該方法包括備份PCP服務器通知用戶發(fā)生PCP服務器切換;所述備份PCP服務器接收所述用戶發(fā)送的令牌Token ;所述備用PCP服務器根據接收到的所述令牌Token生成新的映射信息。本發(fā)明實施例提供一種端口控制協議快速恢復裝置,該裝置包括主用PCP服務器接收用戶發(fā)送的PCP映射請求;所述主用PCP服務器生成映射信息,根據所述映射信息生成令牌Token ;所述主用PCP服務器將生成的所述令牌Token發(fā)送給所述用戶。與現有技術相比,本發(fā)明實施方式提供的技術方案通過對映射信息進行保護得到令牌Token,并在進行PCP快速恢復時使用得到的令牌Token驗證用戶身份的合法性,從而在主用PCP服務器發(fā)生故障時,安全可靠地完成主備用PCP服務器地快速切換,保證了用戶通信業(yè)務的正常進行。


圖I是本發(fā)明實施例提供的一種端口控制協議快速恢復方法的流程示意圖;圖2是本發(fā)明實施例提供的一種令牌Token實例的示意圖;圖3是本發(fā)明實施例提供的另一種端口控制協議快速恢復方法的流程示意圖;圖4是本發(fā)明實施例提供的再一種端口控制協議快速恢復方法的流程示意圖;圖5是本發(fā)明實施例提供的一種端口控制協議快速恢復裝置的結構示意圖6是本發(fā)明實施例提供的另一種端口控制協議快速恢復裝置的結構示意圖;圖7是本發(fā)明實施例提供的再一種端口控制協議快速恢復系統(tǒng)的結構示意圖。
具體實施例方式以下結合具體實施方式
來說明本發(fā)明的實現過程。本發(fā)明的實施例通過對映射信息進行保護得到令牌Token,并在進行PCP快速恢復時使用得到的令牌Token驗證用戶身份的合法性,從而在主用PCP服務器發(fā)生故障時,安全可靠地完成主備用PCP服務器地快速切換,保證了用戶通信業(yè)務的正常進行。實施例一根據本發(fā)明實施例的一個方面,提供了一種PCP快速恢復方法,包括100,備份PCP服務器通知用戶發(fā)生PCP服務器切換;具體地,當正在工作的主用PCP服務器發(fā)生故障,備份PCP服務器接替發(fā)生故障的主用PCP服務器,并通知用戶發(fā)生PCP服務器切換,用戶收到通知后向備份PCP服務器提交 PCP映射請求。例如,網絡感受到主用PCP服務器發(fā)生故障后,通知備份PCP服務器接替發(fā)生故障的主用PCP服務器工作,或者備份PCP服務器檢測主用PCP服務器的狀態(tài),當發(fā)現主用PCP服務器發(fā)生故障后接替主用PCP服務器工作。102,備份PCP服務器接收用戶發(fā)送的令牌Token ;用戶接收到備份PCP服務器發(fā)送的PCP服務器發(fā)生切換的通知后,向備份PCP服務器發(fā)送一個令牌Token請求建立映射。舉例來說,該令牌Token可以通過如下方式獲得 在用戶通過主用PCP服務器建立映射時,主用PCP服務器對生成的映射信息進行簽名或者采用消息驗證碼(Message Authentication Code, MAC)對映射消息進行保護,得到令牌 Token,并將得到的令牌Token發(fā)送給用戶,用戶對令牌Token進行保存。進行簽名的算法例如可以為通用關鍵字密碼算法(Revest-Shamir-Adleman algorithm,RSA),MAC保護的算法例如可以為基于哈希算法的消息驗證碼(Hashed-Base Message Authentication Code, HMAC)、MAC-SHAl (Secure Hash Algorithm,安全散列算法)或者 MAC-SHA2 等。舉例來說,用戶向主用PCP服務器發(fā)送建立映射的請求,主用PCP服務器同意用戶發(fā)送的建立映射的請求,并對生成的映射信息使用本地保存的密鑰進行保護,從而得到對應該映射信息的令牌Token。上述密鑰可以為簽名公鑰私鑰對或者MAC對稱密鑰,這個密鑰由PCP主備服務器共享。令牌Token的一個實例如圖2所示。其中,該令牌Token實例中的參數意義如下Option Code,選項碼,用于標識選項類型;Reserved,保留字段;取值可以由用戶和PCP服務器約定,例如可以設為全O ;Option Length,選項長度字段,表示從Protocol字段到Signature or MAC字段的總的長度,以字節(jié)為單位;Protocol,指示與映射信息相關的上層協議,取值可以遵循因特網地址分配組織 (Internet Assigned Number Authority, IANA)協議注冊表,例如當該字段取值為6時代表傳輸控制協議(Transmission Control Protocol,TCP) !Algorithm,對映射信息簽名和MAC 保護所使用的算法,用序號表示。舉例來說,可以使用序號I來表示簽名算法RSA,用序號2 來表示MAC算法HMAC,用序號3表示MAC算法MAC-SHAl,用序號4表示MAC算法MAC-SHA2
5等;Internal Port,映射的內部端口的端口號,長度為16比特;Assigned External Port :分配的外部端口的端口號,長度為16比特;Assigned External IP Address,分配的外部端口的端口號,長度為128比特;Remote Peer Port,遠端通信節(jié)點的端口號,長度為16比特;Reserved (16bits),保留字段,取值可以由用戶和PCP服務器約定,例如可以設為全0 ;Remote Peer IP Address,遠端通信節(jié)點的端口號,長度為128比特;Signature or MAC,簽名值或者 MAC 值。上述字段中的參數除了 Signature or MAC字段以外的參數的意義和取值均可以遵循PCP協議的規(guī)定。舉例來說,當生成Token的時候,PCP服務器從生成的PCP映射信息中得到上述 Token實例中的相應參數值并填入Token的相應字段,然后在Algorithm字段插入簽名算法或者MAC算法的編號,將Signature or MAC字段填滿零(也可以填滿其他取值的數字), 然后按照Algorithm字段對應的算法生成簽名值或者MAC值,將簽名值或者MAC值填入 Signature or MAC字段,從而得到一個完整的Token。104,備用PCP服務器根據接收到的token生成新的映射信息。備用PCP服務器接收到用戶發(fā)送的token,利用本地保存的密鑰對Token進行簽名驗證或者MAC驗證,如果驗證通過,則從驗證通過的Token中得到映射相關信息從而生成新的映射信息。備用PCP服務器生成新的映射信息后,用戶即可和外部通信節(jié)點進行正常的通信。實施例二參見圖3,根據本發(fā)明實施例的另一個方面,提供了一種PCP快速恢復方法,包括300,主用PCP服務器接收用戶發(fā)送的PCP映射請求;302,主用PCP服務器生成映射信息,根據映射信息生成令牌Token ;304,主用PCP服務器將生成的令牌Token發(fā)送給用戶。舉例來說,主用PCP服務器根據用戶發(fā)送的映射請求生成映射信息,然后對生成的映射信息進行簽名或MAC保護,從而生成令牌Token,并將令牌Token發(fā)送給用戶。用戶將令牌Token保存起來供發(fā)生主備PCP服務器切換時使用。進行簽名的算法例如可以為通用關鍵字密碼算法(Revest-Shamir-Adleman algorithm, RSA), MAC保護的算法例如可以為基于哈希算法的消息驗證碼(Hashed-Base Message Authentication Code, HMAC)、 MAC-SHAl (Secure Hash Algorithm,安全散列算法)或者MAC-SHA2等。舉例來說,用戶向主用PCP服務器發(fā)送建立映射的請求,主用PCP服務器同意用戶發(fā)送的建立映射的請求,并對生成的映射信息使用本地保存的密鑰進行保護,從而得到對應該映射信息的令牌Token。 上述密鑰可以為簽名公鑰私鑰對或者MAC對稱密鑰,這個密鑰由PCP主備服務器共享。生成的令牌Token的一個實施如圖2,其中的參數的含義和取值和實施例一中相同,在此不再贅述。實施例三參見圖4,根據本發(fā)明實施例的另一個方面,提供了一種PCP快速恢復方法,包括
400,主用PCP服務器接收用戶發(fā)送的PCP映射請求;402,主用PCP服務器生成映射信息,根據映射信息生成令牌Token ;舉例來說,主用PCP服務器根據用戶發(fā)送的映射請求生成映射信息,然后對生成的映射信息進行簽名或MAC保護,從而生成令牌Token,并將令牌Token發(fā)送給用戶。進行簽名的算法例如可以為通用關鍵字密碼算法(Revest-Shamir-Adleman algorithm, RSA), MAC保護的算法例如可以為基于哈希算法的消息驗證碼(Hashed-Base Message Authentication Code, HMAC) > MAC-SHAl (Secure Hash Algorithm,安全散列算法)或者 MAC-SHA2等。舉例來說,用戶向主用PCP服務器發(fā)送建立映射的請求,主用PCP服務器同意用戶發(fā)送的建立映射的請求,并對生成的映射信息使用本地保存的密鑰進行保護,從而得到對應該映射信息的令牌Token。上述密鑰可以為簽名公鑰私鑰對或者MAC對稱密鑰,這個密鑰由PCP主備服務器共享。生成的令牌Token的一個實施如圖2,其中的參數的含義和取值和實施例一中相同,在此不再贅述。404,將令牌Token發(fā)送給用戶;406,備份PCP服務器通知用戶發(fā)生PCP服務器切換;具體地,當正在工作的主用PCP服務器發(fā)生故障,備份PCP服務器接替發(fā)生故障的主用PCP服務器,并通知用戶發(fā)生PCP服務器切換。例如,網絡感受到主用PCP服務器發(fā)生故障后,通知備份PCP服務器接替發(fā)生故障的主用PCP服務器工作,或者備份PCP服務器檢測主用PCP服務器的狀態(tài),當發(fā)現主用PCP服務器發(fā)生故障后接替主用PCP服務器工作。408,備份PCP服務器接收用戶發(fā)送的令牌Token ;用戶接收到備份PCP服務器發(fā)送的PCP服務器發(fā)生切換的通知后,向備份PCP服務器發(fā)送保存的令牌Token請求建立映射。410,備用PCP服務器根據接收到的token生成新的映射信息。備用PCP服務器接收到用戶發(fā)送的token,利用本地保存的密鑰對Token進行簽名驗證或者MAC驗證,如果驗證通過,則從驗證通過的Token中得到映射相關信息從而生成新的映射信息。備用PCP服務器生成新的映射信息后,用戶即可和外部通信節(jié)點進行正常的通信。本發(fā)明實施例提供的端口控制協議快速恢復方法,通過對映射信息進行保護得到令牌Token,并在進行PCP快速恢復時使用得到的令牌Token驗證用戶身份的合法性,從而在主用PCP服務器發(fā)生故障時,安全可靠地完成主備用PCP服務器地快速切換,保證了用戶通信業(yè)務的正常進行。實施例四參見圖5,本發(fā)明實施例還提供一種PCP快速恢復裝置50,該裝置50例如可以是 PCP協議中的服務器,該裝置50包括通知單元501,用于在主用PCP服務器故障后通知用戶發(fā)生PCP服務器切換;令牌Token接收單元502,用于接收用戶發(fā)送的令牌Token ;映射信息生成單元503,用于根據接收到的令牌Token生成新的映射信息。進一步地,裝置50還可以包括主用PCP服務器故障檢測單元,用于檢測主用PCP 服務器發(fā)生故障或者接收主用PCP服務器發(fā)生故障的通知。進一步地,映射信息生成單元503具體包括
簽名驗證子單元,用于對接收到的用戶發(fā)送的令牌Token進行簽名驗證;映射信息生成子單元,用于從簽名驗證子單元簽名驗證通過的Token中得到映射相關信息從而生成新的映射信息?;蛘撸成湫畔⑸蓡卧?03具體包括MAC驗證子單元,用于對接收到的用戶發(fā)送的令牌Token進行MAC驗證;映射信息生成子單元,用于從MAC驗證子單元MAC驗證通過的Token中得到映射相關信息從而生成新的映射信息。本發(fā)明實施例提供的PCP快速恢復裝置50可以具體用于執(zhí)行實施例一對應的方法,其實現原理和技術效果類似,此處不再贅述。實施例五參見圖6,本發(fā)明實施例還提供一種PCP快速恢復裝置60,該裝置60包括映射請求接收單元601,用于接收用戶發(fā)送的PCP映射請求;令牌Token生成單元602,用于生成映射信息,根據映射信息生成令牌Token ;令牌Token發(fā)送單元603,用于將令牌Token發(fā)送給用戶。進一步地,所述令牌Token生成單元602具體包括映射信息生成子單元,用于生成映射信息;簽名生成子單元,用于對映射信息生成子單元生成的映射信息進行簽名得到令牌 Token?;蛘撸隽钆芓oken生成單元602具體包括映射信息生成子單元,用于生成映射信息;消息驗證碼MAC生成子單元,用于對映射信息生成子單元生成的所述映射信息進行消息驗證碼MAC得到所述令牌Token。本發(fā)明實施例提供的PCP快速恢復裝置60可以具體用于執(zhí)行實施例二對應的方法,其實現原理和技術效果類似,此處不再贅述。實施例六參見圖7,本發(fā)明實施例還提供一種PCP快速恢復系統(tǒng)70,該系統(tǒng)70包括如實施例四中所述的快速恢復裝置50和實施例五中所述的快速恢復裝置60。本發(fā)明實施例提供的PCP快速恢復系統(tǒng)60可以具體用于執(zhí)行實施例三對應的方法,其實現原理和技術效果類似,此處不再贅述。本發(fā)明實施例提供的端口控制協議快速恢復裝置和系統(tǒng),通過對映射信息進行保護得到令牌Token,并在進行PCP快速恢復時使用得到的令牌Token驗證用戶身份的合法性,從而在主用PCP服務器發(fā)生故障時,安全可靠地完成主備用PCP服務器地快速切換,保證了用戶通信業(yè)務的正常進行。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍和不脫離本發(fā)明的技術思想范圍內,可輕易想到的變化或替換,都應涵蓋在本發(fā)明的保護范圍之內。因此,本發(fā)明的保護范圍應該以權利要求的保護范圍為準。
權利要求
1.一種端口控制協議PCP快速恢復方法,其特征在于,包括備份PCP服務器通知用戶發(fā)生PCP服務器切換;所述備份PCP服務器接收所述用戶發(fā)送的令牌Token ;所述備用PCP服務器根據接收到的所述令牌Token生成新的映射信息。
2.如權利要求I所述的方法,其特征在于,所述令牌Token由主用PCP服務器對映射信息進行簽名或者進行消息驗證碼MAC保護得到。
3.如權利要求I所述的方法,其特征在于,所述備份PCP服務器通知用戶發(fā)生PCP服務器切換具體為當正在工作的主用PCP服務器發(fā)生故障,所述備份PCP服務器接替發(fā)生故障的所述主用PCP服務器,并通知所述用戶發(fā)生PCP服務器切換。
4.如權利要求1-3任意一項所述的方法,其特征在于,所述備用PCP服務器根據接收到的令牌Token生成新的映射信息具體為所述備用PCP服務器接收到所述用戶發(fā)送的令牌Token,對Token進行簽名驗證或者 MAC驗證,如果驗證通過,則從驗證通過的Token中得到映射相關信息從而生成新的映射信息O
5.如權利要求4所述的方法,其特征在于,所述備份PCP服務器通知用戶發(fā)生PCP服務器切換之前,所述方法進一步包括主用PCP服務器接收用戶發(fā)送的PCP映射請求;所述主用PCP服務器生成映射信息,根據所述映射信息生成令牌Token ;所述主用PCP服務器將生成的所述令牌Token發(fā)送給所述用戶。
6.一種端口控制協議PCP快速恢復方法,其特征在于,包括主用PCP服務器接收用戶發(fā)送的PCP映射請求;所述主用PCP服務器生成映射信息,根據所述映射信息生成令牌Token ;所述主用PCP服務器將生成的所述令牌Token發(fā)送給所述用戶。
7.如權利要求6所述的方法,其特征在于,所述令牌Token由主用PCP服務器對映射信息進行簽名或者進行消息驗證碼MAC保護得到。
8.—種端口控制協議PCP快速恢復裝置,其特征在于,包括通知單元,用于在主用PCP服務器發(fā)生故障后通知用戶發(fā)生PCP服務器切換;令牌Token接收單元,用于接收所述用戶發(fā)送的令牌Token ;映射信息生成單元,用于根據接收到的所述令牌Token生成新的映射信息。
9.如權利要求8所述的裝置,其特征在于,所述映射信息生成單元具體包括簽名驗證子單元,用于對接收到的所述用戶發(fā)送的令牌Token進行簽名驗證;映射信息生成子單元,用于從所述簽名驗證子單元簽名驗證通過的令牌Token中得到映射相關信息從而生成新的映射信息。
10.如權利要求8所述的裝置,其特征在于,所述映射信息生成單元具體包括消息驗證碼MAC驗證子單元,用于對接收到的所述用戶發(fā)送的令牌Token進行MAC驗證;映射信息生成子單元,用于從所述消息驗證碼MAC驗證子單元MAC驗證通過的令牌 Token中得到映射相關信息從而生成新的映射信息。
11.一種端口控制協議PCP快速恢復裝置,其特征在于,包括映射請求接收單元,用于接收用戶發(fā)送的PCP映射請求;令牌Token生成單元,用于生成映射信息,根據所述映射信息生成令牌Token ;令牌Token發(fā)送單元,用于將所述令牌Token發(fā)送所述給用戶。
12.如權利要求11所述的裝置,其特征在于,所述令牌Token生成單元具體包括 映射信息生成子單元,用于生成映射信息;簽名生成子單元,用于對所述映射信息進行簽名得到所述令牌Token。
13.如權利要求10所述的裝置,其特征在于,所述令牌Token生成單元具體包括 映射信息生成子單元,用于生成映射信息;消息驗證碼MAC生成子單元,用于對所述映射信息進行消息驗證碼MAC得到所述令牌 Token。
14.一種端口控制協議PCP快速恢復系統(tǒng),其特征在于,所述系統(tǒng)包括權利要求8-10任意一項所述的快速恢復裝置和權利要求11-13任意一項所述的快速恢復裝置。
全文摘要
本發(fā)明實施例提供一種端口控制協議快速恢復方法,該方法中備份PCP服務器通知用戶發(fā)生PCP服務器切換,備份PCP服務器接收所述用戶發(fā)送的令牌Token,并根據接收到的令牌Token生成新的映射信息。本發(fā)明實施方式提供的技術方案在進行PCP快速恢復時使用令牌Token驗證用戶身份的合法性,使得主備用PCP服務器安全可靠地完成快速切換,保證了用戶通信業(yè)務的正常進行。
文檔編號H04L9/08GK102611571SQ201210031610
公開日2012年7月25日 申請日期2012年2月13日 優(yōu)先權日2012年2月13日
發(fā)明者張大成 申請人:華為技術有限公司
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1