本發(fā)明屬于網(wǎng)絡(luò)安全，具體涉及一種面向多維標識融合網(wǎng)絡(luò)的設(shè)備對象標識生成方法。

背景技術(shù)：

1、近年來，互聯(lián)網(wǎng)的飛速普及以及相關(guān)技術(shù)進步使得網(wǎng)絡(luò)業(yè)務(wù)逐漸走向泛在化、多媒體化、移動化。互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)和工作模式全部依托于網(wǎng)絡(luò)標識，現(xiàn)階段在ip網(wǎng)絡(luò)標識的基礎(chǔ)上構(gòu)建出的技術(shù)體系存在網(wǎng)絡(luò)結(jié)構(gòu)僵化、承載單一、未知威脅難以抑制等基礎(chǔ)性問題，難以保障網(wǎng)絡(luò)的安全性和可靠性，無法應(yīng)對復(fù)雜軍事場景下各類通信對端多變的通信模式，移動性支持方面效能低下。

2、針對上述問題，多維標識融合網(wǎng)絡(luò)體系涵蓋了設(shè)備、內(nèi)容、服務(wù)、特定組等多種網(wǎng)絡(luò)對象，維護了多維統(tǒng)一標識與多維屬性描述及網(wǎng)絡(luò)連接標識三種信息之間的映射關(guān)系，將網(wǎng)絡(luò)對象中靜態(tài)的固有屬性和動態(tài)的網(wǎng)絡(luò)屬性進行分離，實現(xiàn)網(wǎng)絡(luò)資源靈活搜索、服務(wù)智慧定位的功能，賦予網(wǎng)絡(luò)除數(shù)據(jù)承載外更豐富的資源感知能力，滿足了多維標識融合網(wǎng)絡(luò)系下基于多維屬性的通信需求。

3、針對上述網(wǎng)絡(luò)體系，現(xiàn)有的互聯(lián)網(wǎng)設(shè)備標識生成方法如下：

4、(1)數(shù)據(jù)鏈路層標識mac

5、mac地址是網(wǎng)絡(luò)設(shè)備(如計算機、手機、路由器等)中的硬件地址，用于在網(wǎng)絡(luò)中唯一標識設(shè)備。它通常由48位二進制數(shù)表示，通常以十六進制格式顯示。mac地址的作用是在局域網(wǎng)中唯一標識網(wǎng)絡(luò)設(shè)備，以便在數(shù)據(jù)幀傳輸過程中識別目的地址和源地址。這樣可以確保數(shù)據(jù)包只被發(fā)送到正確的目標設(shè)備，而不是被廣播到整個網(wǎng)絡(luò)。每個網(wǎng)絡(luò)設(shè)備的mac地址都是唯一的，因此可以確保在局域網(wǎng)中不會出現(xiàn)重復(fù)的地址。mac地址是設(shè)備的硬件級別標識，不受操作系統(tǒng)或軟件配置的影響，因此在網(wǎng)絡(luò)通信中具有高度可靠性。

6、在該方法中，數(shù)據(jù)鏈路層標識mac只能在同一局域網(wǎng)中唯一標識設(shè)備，在跨網(wǎng)絡(luò)通信時無法直接使用，不適用于跨網(wǎng)絡(luò)通信。與ip地址不同，mac地址通常是固定的，并且無法動態(tài)改變。因此，在某些情況下，例如設(shè)備更換網(wǎng)絡(luò)接口卡或者需要匿名性的應(yīng)用場景下，mac地址可能不夠靈活。

7、(2)網(wǎng)絡(luò)層標識ip

8、ip地址是傳統(tǒng)互聯(lián)網(wǎng)唯一的統(tǒng)一標識，用于唯一標識和定位設(shè)備或主機。每個連接到互聯(lián)網(wǎng)的設(shè)備都被分配一個唯一的ip地址，通過這個地址，數(shù)據(jù)包可以準確地路由到目標設(shè)備。通過ip地址，用戶可以訪問遠程服務(wù)器、瀏覽網(wǎng)頁、發(fā)送電子郵件等。因此，ip地址被視為互聯(lián)網(wǎng)中設(shè)備和主機的唯一標識符，它在網(wǎng)絡(luò)通信中起著至關(guān)重要的作用。

9、上述網(wǎng)絡(luò)層標識ip的設(shè)計存在位置屬性和身份屬性的二義性問題，既代表用戶身份信息，又代表用戶位置信息，造成諸多問題，如移動性支持、安全和位置隱私、多家鄉(xiāng)連接、路由規(guī)?？蓴U展性問題等。

10、(3)應(yīng)用層標識uri

11、互聯(lián)網(wǎng)在應(yīng)用層采用層次語義化的uri對服務(wù)和內(nèi)容資源進行統(tǒng)一描述，uri是一種通用的標識符，用于唯一標識互聯(lián)網(wǎng)上的資源，包括網(wǎng)頁、文件、服務(wù)等。uri通常具有層次結(jié)構(gòu)，可以由多個部分組成，包括協(xié)議標識符、主機名、路徑等。為了將uri轉(zhuǎn)換為實際的網(wǎng)絡(luò)地址，互聯(lián)網(wǎng)使用dns(域名系統(tǒng))系統(tǒng)進行uri與ip地址之間的映射查詢。dns系統(tǒng)將uri中的主機名轉(zhuǎn)換為對應(yīng)的ip地址，使用戶可以通過uri來訪問相應(yīng)的資源。dns系統(tǒng)通過分布式的域名服務(wù)器來提供域名解析服務(wù)，用戶可以向這些服務(wù)器發(fā)送查詢請求，獲取相應(yīng)主機名對應(yīng)的ip地址。用戶可以通過uri來訪問互聯(lián)網(wǎng)上的各種資源，不需要直接操作ip地址，實現(xiàn)了更加方便和統(tǒng)一的網(wǎng)絡(luò)訪問。

12、該方法通過dns系統(tǒng)進行uri與ip地址之間的映射查詢，這種設(shè)計使得服務(wù)內(nèi)容與網(wǎng)絡(luò)位置捆綁在在一起，造成資源依賴于所在位置，靈活性差，傳輸效率低，難以適應(yīng)視頻流快速增長的需求。

13、(4)傳輸層缺少獨立標識

14、互聯(lián)網(wǎng)傳輸層沒有獨立的名字空間，采用(ip+端口)形式來標識連接，在傳輸層，每個網(wǎng)絡(luò)連接都被分配一個唯一的端口號，以及對應(yīng)的目標ip地址。這個端口號用于標識不同的應(yīng)用程序或服務(wù)，而ip地址則用于標識目標設(shè)備或主機。這種連接標識方式使傳輸層的名字空間依賴于網(wǎng)絡(luò)層的名字空間，在進行網(wǎng)絡(luò)通信時需要確保網(wǎng)絡(luò)層和傳輸層之間的一致性，以確保數(shù)據(jù)包能夠正確地路由到目標設(shè)備和應(yīng)用程序。

15、在上述方法中：

16、數(shù)據(jù)鏈路層標識mac只能在同一局域網(wǎng)中唯一標識設(shè)備，在跨網(wǎng)絡(luò)通信時無法直接使用，不適用于跨網(wǎng)絡(luò)通信。與ip地址不同，mac地址通常是固定的，并且無法動態(tài)改變。因此，在某些情況下，例如設(shè)備更換網(wǎng)絡(luò)接口卡或者需要匿名性的應(yīng)用場景下，mac地址可能不夠靈活。

17、網(wǎng)絡(luò)層標識ip的設(shè)計存在位置屬性和身份屬性的二義性問題，既代表用戶身份信息，又代表用戶位置信息，造成諸多問題，如移動性支持、安全和位置隱私、多家鄉(xiāng)連接、路由規(guī)?？蓴U展性問題等。

18、應(yīng)用層標識uri通過dns系統(tǒng)進行uri與ip地址之間的映射查詢，這種設(shè)計使得服務(wù)內(nèi)容與網(wǎng)絡(luò)位置捆綁在在一起，造成資源依賴于所在位置，靈活性差，傳輸效率低，難以適應(yīng)視頻流快速增長的需求。

19、互聯(lián)網(wǎng)傳輸層沒有獨立的名字空間，采用(ip+端口)形式來標識連接，使得傳輸層的名字空間依賴于網(wǎng)絡(luò)層名字空間。這種設(shè)計影響了多家鄉(xiāng)技術(shù)和多路徑并行傳輸技術(shù)的實現(xiàn)。另外，由于缺少支持上層用戶需求和下層網(wǎng)絡(luò)狀態(tài)的動態(tài)適配，難以支持網(wǎng)絡(luò)智慧化通信。

技術(shù)實現(xiàn)思路

1、針對現(xiàn)有技術(shù)中的上述不足，本發(fā)明提供的面向多維標識融合網(wǎng)絡(luò)的設(shè)備對象標識生成方法解決了現(xiàn)有標識命名方法存在的位置屬性與身份屬性的二義性問題，以及自愿依賴于所在位置，網(wǎng)絡(luò)靈活性差，傳輸效率低，安全和隱私問題無法保障的問題。

2、為了達到上述發(fā)明目的，本發(fā)明采用的技術(shù)方案為：一種面向多維標識融合網(wǎng)絡(luò)的設(shè)備對象標識生成方法，包括以下步驟：

3、s1、將網(wǎng)絡(luò)設(shè)備接入到多維標識融合網(wǎng)絡(luò)；

4、s2、基于部署在控制器中多維標識融合網(wǎng)絡(luò)的網(wǎng)絡(luò)層解析映射服務(wù)器提供的屬性信息生成網(wǎng)絡(luò)設(shè)備的完整私鑰；

5、s3、通過網(wǎng)絡(luò)層解析映射服務(wù)器根據(jù)網(wǎng)絡(luò)設(shè)備的多維屬性信息，并結(jié)合私鑰，動態(tài)生成長度可變的唯一設(shè)備對象標識，并將其發(fā)送至對應(yīng)的網(wǎng)絡(luò)設(shè)備中。

6、進一步地，所述步驟s2中，所述網(wǎng)絡(luò)層解析映射服務(wù)器提供的屬性信息包括接入網(wǎng)絡(luò)設(shè)備的ip地址、控制器的id以及控制器的ip地址。

7、進一步地，所述步驟s2中，所述網(wǎng)絡(luò)設(shè)備的完整私鑰由網(wǎng)絡(luò)設(shè)備生成的第一私鑰部分qu，以及由密鑰生成中心生成的第一私鑰部分du。

8、進一步地，所述步驟s2具體為：

9、s21、生成系統(tǒng)參數(shù)params＝{q,g1,g2,e,p,ppub,h1,h2}；

10、其中，q為大素數(shù)，g1為可加循環(huán)群，g2為可乘循環(huán)群，p為元，且p∈g1，e為雙線性對，h1和h2為兩個安全的哈希函數(shù)；

11、s22、將網(wǎng)絡(luò)層解析映射服務(wù)器提供的屬性信息進行哈希計算生成隨機數(shù)t，并選擇隨機數(shù)xu∈z*q作為t的秘密值，進而結(jié)合系統(tǒng)參數(shù)由網(wǎng)絡(luò)設(shè)備生成第一私鑰部分qu＝h1(t,xu)；其中，xu為私鑰部分，xu＝xu·p；

12、s23、根據(jù)第一部分私鑰qu，由密鑰生成中心生成第二私鑰部分du＝z·qu；其中，z為密鑰生成中心的主密鑰；

13、s24、根據(jù)第一私鑰部分qu和第二私鑰部分du生成網(wǎng)絡(luò)設(shè)備的完整私鑰sku＝xu·du。

14、進一步地，所述步驟s3中，所述網(wǎng)絡(luò)設(shè)備的多維屬性信息為描述所述網(wǎng)絡(luò)設(shè)備與其位置信息分離的來源、身份以及從屬關(guān)系的信息。

15、進一步地，所述步驟s3具體為：

16、s31、當用戶發(fā)起通信請求時，通過邊界網(wǎng)絡(luò)設(shè)備向控制器發(fā)送攜帶多維屬性信息的packet-in消息，通過網(wǎng)絡(luò)層解析映射服務(wù)器將packet-in消息解析，生成與其身份信息相關(guān)的二進制集合m；

17、s32、根據(jù)二進制集合m與完整私鑰sku，生成唯一網(wǎng)絡(luò)設(shè)備標識duid＝e(sku·h2(m),p)；其中，h2(m)表示對二進制集合m應(yīng)用的哈希函數(shù)；

18、s33、將攜帶唯一網(wǎng)絡(luò)設(shè)備標識duid＝e(sku·h2(m),p)的packet-out消息發(fā)送至對應(yīng)的網(wǎng)絡(luò)設(shè)備中。

19、進一步地，所述唯一設(shè)備對象標識的長度不超過32字節(jié)。

20、本發(fā)明的有益效果為：

21、(1)本發(fā)明通過生成唯一的設(shè)備對象標識，對用戶身份相關(guān)信息進行標識和表征，使其獨立于用戶所處位置，旨在解決現(xiàn)有標識命名方法存在的位置屬性與身份屬性的二義性問題，以及自愿依賴于所在位置，網(wǎng)絡(luò)靈活性差，傳輸效率低，安全和隱私問題無法保障；通過duid對用戶的標識和表征，使身份信息與用戶所處位置分離，從而實現(xiàn)對移動性的天然支持以及安全性的內(nèi)生保障。

22、(2)通過本發(fā)明生成的設(shè)備對象標識來確定通信實體的身份，不會因為設(shè)備移動等因素發(fā)生變化，保證了通信過程的長效性與穩(wěn)定性。

23、(3)本發(fā)明方法中，基于無公密碼學(xué)的思想，設(shè)計的分布式設(shè)備對象標識udid的生成方案具有保證接入網(wǎng)絡(luò)設(shè)備的安全、生成復(fù)雜度低的特點。