专利名称:一种匿名通信的溯源方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种匿名通信的溯源方法及系统。
背景技术:
目前,因特网广泛使用的TCP/IP(传输控制协议/因特网互联协议)协议中IP地 址具有双重功能,既作为网络层的通信终端主机网络接口在网络拓扑中的位置标识,又作 为传输层主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况。但 是,当主机移动越来越普遍时,这种IP地址的语义过载缺陷日益明显。当主机的IP地址发 生变化时,不仅路由要发生变化,通信终端主机的身份标识也发生变化,这样会导致路由负 载越来越重,而且主机标识的变化会导致应用和连接的中断。提出身份标识和位置标识分离的目的是解决IP地址的语义过载和路由负载严重 以及安全性等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态 重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。现有技术中有关身份标识和位置分离的解决方案主要有两种,一种是基于主机的 实现,另一种是基于路由器的实现,每种实现中又有相关的多种技术进行支持.基于主机 的现有的主要协议是主机标识协议(Host IdentityProtocol,简称HIP),基于路由的现有 主要协议是地址身份分离协议(Locator/ID Separation Protocol,简称LISP)等。HIP是一种主机移动性关联协议,HIP将IP地址分离为端标识与位置标识。HIP 的基本思想是在第三层网络层和第四层传输层之间引入了 3. 5层的主机标识层(Host Identity Layer,简称HIL),即在域名空间和IP地址空间之间引入了主机标识(Host Identity,简称HI)空间。主机标识层将原来紧密耦合的传输层和网络层分开,IP地址不 再扮演标识主机的角色,其只负责数据包的路由转发,即仅用作定位符,主机名称由主机标 识符来表示。HIL在逻辑上位于网络层与传输层之间,传输层使用传输层标识符,由主机标 识符层完成数据包中的主机标识符和IP地址转换。网络层对于传输层是屏蔽的,网络层的 任何变化(例如,在通信过程中主机IP地址的变化)不会影响传输层链路,除非服务质量 发生变化。基于HIP协议的传输层的连接建立在主机标识之上,IP地址只用于网络层路由, 而不再用于标识主机身份。HIP的关键思想就是断开网络层和传输层的紧密耦合,使应用层 和传输层的连接不受IP地址变化的影响。当IP地址在一个连接中变化时,HI保持不变, 由此保证了连接的不中断。在支持HIP的主机中,IP地址只是用于路由和寻址功能,而HI 则用来标识一个连接所对应的终端主机,代替连接套接字中所使用的IP地址。LISP重用了路由技术,对现有的路由拓扑结构有了一定的改变,结合现有的传送 网,利用最小的改造优化了现有的路由传送技术。主机使用IP地址,在LISP系统中称为EID (Endpoint Identifiersjj^gK)来跟 踪socket (套接字)、建立连接、发送和接收数据包。路由器基于IP目的地址RLOCs (Routing Locators,路由地址)传递数据包。
在LISP系统中引入了隧道路由,在发起主机包时封装LISP并且在最终传递到目 的地前对数据包进行解封装。在LISP数据包中“外层报头”的IP地址是RLOCs。在两个 网络的主机之间进行端到端的包交换过程中,ITRangress Tunnel Router,入口隧道路由 器)为每个包封装一个新LISP头,在出口通道路由剥去新头。ITR执行EID-to-RLOC查找 以确定到ETR (EgressTunnel Router,出口隧道路由器)的路由路径,ETR以RLOC作为它的 一个地址。LISP为基于网络的协议,只影响网络部分,更确切的是只影响现有hternet baclAone (骨干网络)部分,不影响现有网络的接入层和用户主机,对主机是完全透明的。在上述现有的身份标识和位置标识分离的解决方案中,都必须以用户的身份标识 查找对应的位置标识。该身份标识必须是通信节点的真实身份,身份标识必须在通讯节点 之间传递,否则无法确定通讯节点的位置标识,无法建立通信节点间的联系。出于安全性和业务特点的考虑,现有hternet网络中大量的应用业务以匿名方 式开展,在身份标识和位置标识分离的解决方案中,用户申请了匿名通信业务后,网络一般 将用户的用户名或者身份标识替换为一个匿名标识,通信对端无法根据这个匿名标识获知 信息发送者的身份。但是,网络上的非法信息和垃圾信息也经常采用匿名通信,会破坏网络安全,对于 国家信息监管部门或者个人,有时需要对匿名通信进行溯源,以定位非法信息和垃圾信息 的来源。在传统hternet网上,现有溯源方法都是根据数据包中的源IP地址进行溯源,根 据源IP地址查找到该IP地址所属网段的三层交换机和二层交换机,查询二层和三层交换 机的物理地址表,定位到二层和三层交换机的端口号。现有hternet网络的溯源方法存在严重不足由于IP地址经常是动态分配的,溯 源找到的二和三层交换机的端口号只是临时有效,并且hternet网上的IP地址是可以被 恶意篡改的,这种情况下根据IP地址溯源将完全失效。
发明内容
本发明要解决的技术问题是提供一种匿名通信的溯源方法及系统,解决IP地址 溯源无效的问题,实现身份标识和位置标识分离网络中对匿名通信的溯源。为解决上述技术问题,本发明的一种匿名通信的溯源方法,包括节点向所接入的接入节点发送溯源查询请求,在该溯源查询请求中携带匿名身份 标识;接入节点接收到溯源查询请求后,根据该匿名身份标识查询对应的真实身份标 识;并将查询到的真实身份标识发送给节点。进一步地,接入节点通过向映射节点发送身份查询请求查询对应的真实身份标 识,在该身份查询请求中携带匿名身份标识;映射节点接收到身份查询请求后,从所保存的真实身份标识-匿名身份标识映射 表中查询对应的真实身份标识,并将查询到的真实身份标识返回给接入节点。进一步地,映射节点查询到真实身份标识后,还从所保存的身份标识-位置标识 映射表中查询该真实身份标识对应的位置标识,并将该位置标识返回给接入节点;
接入节点将该接收到的位置标识发送给节点。进一步地,身份标识采用接入标识(AID),位置标识采用路由标识(RID)。进一步地,接入节点接收到溯源查询请求后,查询对应的真实身份标识前,还向认 证中心查询节点是否具备溯源业务权限;认证中心确认节点具有权限后,向接入节点返回确认消息,接入节点接收到确认 消息后,执行根据该匿名身份标识查询对应的真实身份标识的操作。进一步地,一种匿名通信的溯源系统,包括节点和该节点接入的接入节点,其 中节点,用于向接入节点发送溯源查询请求,在该溯源查询请求中携带匿名身份标 识;接入节点,用于在接收到溯源查询请求后,根据该匿名身份标识查询对应的真实 身份标识;并将查询到的真实身份标识发送给节点。进一步地,该系统还包括映射节点;接入节点通过向映射节点发送身份查询请求查询对应的真实身份标识,在该身份 查询请求中携带匿名身份标识;映射节点,用于在接收到身份查询请求后,从所保存的真实身份标识-匿名身份 标识映射表中查询对应的真实身份标识,并将查询到的真实身份标识返回给接入节点。进一步地,映射节点,还用于在查询到真实身份标识后,从所保存的身份标识-位 置标识映射表中查询该真实身份标识对应的位置标识,并将该位置标识返回给接入节点;接入节点,还用于将该接收到的位置标识发送给节点。进一步地,身份标识采用接入标识(AID),位置标识采用路由标识(RID)。进一步地,该系统还包括认证中心;接入节点,还用于在接收到溯源查询请求后,查询对应的真实身份标识前,向认证 中心查询节点是否具备溯源业务权限;并在接收到认证中心的确认消息后,执行根据该匿 名身份标识查询对应的真实身份标识的操作。认证中心,用于在确认节点具有权限后,向接入节点返回确认消息。进一步地,一种匿名通信的溯源方法,应用于身份标识与位置标识分离的网络架 构中,该网络架构包括第一节点、第二节点和第二节点接入的第二接入节点,其中,第一节 点已开通匿名通信业务并已分配有匿名身份标识,该方法包括第一节点向第二节点发送数据报文,该数据报文中包含第一节点的匿名身份标 识;第二节点接收到数据报文后,向第二接入节点发送溯源查询请求,在该溯源查询 请求中携带第一节点的匿名身份标识;第二接入节点接收到溯源查询请求后,根据该匿名身份标识查询第一节点的真实 身份标识;并将查询到的真实身份标识发送给第二节点。进一步地,网络架构还包括映射节点,该映射节点中保存有真实身份标识-匿名 身份标识映射表;第二接入节点通过向映射节点发送身份查询请求查询第一节点的真实身份标识, 在该身份查询请求中携带匿名身份标识;
映射节点接收到身份查询请求后,从真实身份标识-匿名身份标识映射表中查询 对应的真实身份标识,并将查询到的真实身份标识返回给第二接入节点。进一步地,一种匿名通信的溯源系统,该系统包括第一节点、第二节点和第二节 点接入的第二接入节点,其中,第一节点已开通匿名通信业务并已分配有匿名身份标识;第一节点,用于向第二节点发送数据报文,该数据报文中包含第一节点的匿名身 份标识;第二节点,用于在接收到数据报文后,向第二接入节点发送溯源查询请求,在该溯 源查询请求中携带第一节点的匿名身份标识;第二接入节点,用于在接收到溯源查询请求后,根据该匿名身份标识查询第一节 点的真实身份标识;并将查询到的真实身份标识发送给第二节点。进一步地,该系统还包括映射节点,该映射节点中保存有真实身份标识-匿名身 份标识映射表;第二接入节点通过向映射节点发送身份查询请求查询第一节点的真实身份标识, 在该身份查询请求中携带匿名身份标识;映射节点,用于在接收到身份查询请求后,从真实身份标识-匿名身份标识映射 表中查询对应的真实身份标识,并将查询到的真实身份标识返回给第二接入节点。综上所述,本发明考虑到IP地址可以动态分配可以被篡改,溯源到IP地址并不能 代表定位到用户,而AID是用户的真实身份,无论用户在什么位置,AID都是唯一的,定位到 AID即定位到用户,而RID是用户的位置标识,也标识接入用户的边缘路由器,定位到RID即 查到用户所处的位置,并且,在身份标识和位置标识分离的网络中核心层和接入层相互隔 离,用户不能访问核心层,也就无法在数据传输过程中篡改数据包的AID和RID,保证了溯 源到的用户AID和RID的真实有效性。
图1是基于身份位置分离架构的网络拓扑示意图;图2是本发明匿名通信的溯源方法的流程图。
具体实施例方式基于身份标识和位置分离的网络架构有多种,图1为本发明实施例的身份标识和 位置分离架构的网络拓扑示意图,其中示出了与本发明相关的系统架构的关键网元/功能 实体。如图1所示,本实施例所述的基于身份位置分离架构(以下称本架构)中,将网络 划分为接入网和骨干网,接入网位于骨干网的边缘,负责所有终端的接入。骨干网负责不同 通过接入网接入的终端的路由。接入服务节点(Access Service Node,简称ASN)位于骨干 网和接入网的分界点,与接入网接口,与骨干网接口。ASN用于为终端提供接入服务、维护用 户连接以及转发用户数据等。接入网与骨干网在拓扑关系上没有重叠。本架构网络中有两种标识类型,接入标识(Access Identif ier,简称AID)和路由 标识(Routing-Location Identif ier,简称RID)。其中AID是为网络中每个用户终端分配 的唯一的身份标识,在接入层使用,且在用户终端的移动过程中始终保持不变;本架构网络内部的用户终端间使用AID标识对端,用户终端间只需使用对端的AID进行通信。在优选实施例中,骨干网在组网时分为两个平面映射转发平面,广义转发平面。广义转发平面的主要功能是根据数据报文中的路由标识RID进行选路和转发数 据报文。广义转发平面内的数据路由转发行为与传统IP网络一致。映射转发平面的主要功能是保存移动节点身份位置的映射信息(即RID-AID之间 的映射信息)、处理移动节点的登记注册流程、处理通信对端的位置查询流程,以及路由并 转发以接入标识AID为目的地址的数据报文。本实施例的基于网络的身份标识和位置分离架构中,涉及的主要网元和功能实体 如下用户终端本架构中,接入的用户终端可以是移动节点、固定节点及游牧节点中的 一种或多种。接入网用于为用户终端提供二层(物理层和链路层)接入服务。接入网可以是基 站系统,如 BSS (Base Station Subsystem,基站子系统),RAN (Radio Access Network,无线 接入网),eNodeB(evolved Node B,演进的节点 B)等,也可以是xDSL(Digital Subscriber Line,数字用户线)、AP (Access Point,无线访问接入点)等。ASN:维护终端与骨干网的连接关系,为终端分配RID,处理切换流程,处理登记注 册流程,计费/鉴权,维护/查询通讯对端的AID-RID映射关系,封装、路由并转发送达终端 或终端发出的数据报文。ASN收到终端发来的数据报文时,根据报文中的CN的AID在本地查找其对应的 RID 如果查到对应的AID-RID映射条目,则在数据报文中以RID替换AID的方式、或者以封 装RID的方式将数据报文转发到骨干网;如果没有查到对应的AID-RID映射条目,则向ILR 发出查询流程,以获取AID-RID映射表条目,然后在相关数据报文中以RID替换AID的方 式、或者以封装RID的方式将数据报文转发出去;或是在向ILR发出查询的同时将数据报文 转发到骨干网进行路由转发,在收到ILR返回的CN的AID-RID映射关系后,在本地缓存保 存CN的AID-RID映射;ASN在收到网络发往终端的数据报文时,剥离外层的RID封装后,发给终端。CR(Common Router,通用路由器)路由并转发以RID格式为源地址/目的地址的 数据报文。认证中心负责记录本架构网络的用户属性,包括用户类别、鉴权信息、用户服务 等级等信息,产生用于鉴权、完整性保护和加密的用户安全信息,在用户接入时进行合法性 认证和授权。认证中心支持本架构网络与用户间的双向鉴权。ILR/PTF(Identity Location Register/Packet Transfer Function,身份位置寄 存器/分组转发功能)ILR和PTF可以为同一实体上的两个功能模块,位于骨干网的映射 转发平面中。ILR负责维护/保存基于网络的身份标识和位置分离架构中用户的AID-RID映射 关系,实现登记注册功能,处理通信对端的位置查询流程。具体地,当终端(Mobile Node,简 称MN)开机或者发生位置变化时,将通过所在的ASN向ILR发起注册过程,这样ILR中就保 存了丽的实时AID-RID的映射关系。PTF在收到ASN送达的数据报文后,由PTF根据目的AID路由并转发。映射转发平面内PTF节点向ILR查到目的AID-RID的映射关系后,在数据报文头部封装查到的RID信 息并转发到广义转发平面内路由到通信对端所在的ASN。在上述基于身份标识和位置标识分离的架构中,有效合法存续期间的终端用户的 接入标识AID始终保持不变,路由标识RID标识当前所在的ASN的位置。端到端通信过程 中,需要将源端的接入识别AID作为源地址在数据报文中携带到通信对端,通信对端能够 根据数据报文携带的源地址获知源端身份。网络通过对用户身份的鉴权以网络信用保证用户身份的真实可靠,在网络中构建 了一个信任域。网络对用户身份的鉴权方法根据不同的网络体制采用不同的方法,可以是 对用户接入标识AID直接鉴权;也可以对网络中识别用户的其它用户标识(例如,国际移动 用户标识IMSI和网络用户标识NAI等)进行鉴权,网络设备将保存该用户标识与AID之间 的对应信息。现有接入网(RAN)部分能够保证二层连接安全性,保证终端用户接入网络时数据 报文不被篡改。例如CDMA无线接入采用码分多址方式;ADSL采用专线或VLAN隔离方式; GSM采用频分多址方式。所有的终端用户都是通过鉴权认证的有效合法用户。终端用户在 接入网络时,将建立终端用户与网络的ASN间的点到点连接关系。ASN将终端用户的AID绑 定在终端与ASN间的端到端用户连接上,如果从该用户连接上发出报文的源地址与该用户 的AID不匹配,ASN将丢弃数据报文,这样,基于身份位置分离的架构将能够保证终端用户 的AID不被仿冒和更改。ASN以及从源ASN到目的ASN之间的通信设备,包括ILR/PTF、CR和认证中心等, 由网络运营和管理方提供,由网络信用保证数据报文传输的安全性,保证数据报文真实可 靠。因此,基于身份位置分离的架构将能够在网络中以网络信用构建一个信任域,保证进行 数据通信的两端身份的真实可靠。出于安全性和业务特点的考虑,现有hternet网大量的应用业务以匿名方式开 展,身份标识和位置分离的解决方案在构建了一个实名制信任域的基础上,仍需提供匿名 通信业务,以满足业务开展的需要。在身份标识和位置标识分离的网络中,假设终端用户(MN)的身份标识为AIDm,匿 名通信的一般流程为用户在申请并启动匿名通信业务后,由认证中心为启动匿名业务的 用户终端分配一个用于匿名的身份标识(匿名身份标识AIDx),并建立AIDm-AIDx的映射 表,并将此映射表登记到ASN和ILR。在转发数据报文时,ASN接收到丽发出的数据报文 后,将数据报文的AIDm替换为AIDx,在骨干网上传输,MN的通信对端(CN)收到带匿名身份 标识AIDx的数据报文。本实施例中,出于网络安全的考虑,在网络监管部门或者个人用户想要知道匿名 终端的真实身份时,需要对匿名通信进行溯源,以定位非法信息和垃圾信息的来源,为此, 可以根据匿名身份标识AIDx,查询到匿名者的真实的AID,再进一步根据真实的AID查询到 匿名终端的位置标识。图2所示为本发明实施方式对匿名通信进行溯源的方法,假设MN已经开通匿名通 信业务并已分配匿名身份标识AIDx,该MN的接入标识为AIDm,所接入的ASNm为其分配了 RIDm,并且,ILR中保存了该丽的AIDm-RIDm映射信息和AIDm-AIDx映射表,该方法包括201 丽向通信对端CN发送数据报文,该数据报文中包含丽的匿名身份标识AIDx ;丽将数据报文发送到ASNm,ASNm将该数据报文的AIDm替换为AIDx,通过骨干网 发送给CN接入的ASN(ASNc),ASNc将数据报文转发给CN。202 通信对端CN接收到MN的数据报文后,向接入的ASNc发起溯源查询请求,在 该请求中携带参数AIDx;203 =ASNc向认证中心查询CN是否具备溯源业务权限;204 认证中心认证通过后向ASNc发出确认消息;步骤203和204根据运营需要为可选步骤。205 =ASNc向ILR发起身份查询请求,在该请求中携带参数AIDx ;206 =ILR接收到该查询请求后,根据AIDx查询AIDm-AIDx映射表,查找到MN真实 身份标识AIDm ;207 ILR根据AIDm查询AIDm-RIDm映射表,查找到丽的位置标识RIDm ;208 JLR 将查到的 AIDm 和 RIDm 返回给 ASNc ;209 =ASNc将接收到的丽的AIDm和RIDm返回给终端用户CN。本发明还提供了一种匿名通信的溯源系统,包括节点、该节点接入的接入节点、 映射节点和认证中心,其中节点,用于向接入节点发送溯源查询请求,在该溯源查询请求中携带匿名身份标 识;接入节点,用于在接收到溯源查询请求后,向认证中心查询节点是否具备溯源业 务权限;并在接收到认证中心的确认消息后,向映射节点发送身份查询请求查询对应的真 实身份标识,在该身份查询请求中携带匿名身份标识;并将查询到的真实身份标识发送给 节点;还将该接收到的位置标识发送给节点。映射节点,用于在接收到身份查询请求后,从真实身份标识-匿名身份标识映射 表中查询对应的真实身份标识,并将查询到的真实身份标识返回给接入节点;并在查询到 真实身份标识后,从身份标识-位置标识映射表中查询该真实身份标识对应的位置标识, 并将该位置标识返回给接入节点;认证中心,用于在确认节点具有权限后,向接入节点返回确认消息。上述身份标识采用AID,位置标识采用RID。本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本 领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都 应属于本发明所附的权利要求的保护范围。
权利要求
1.一种匿名通信的溯源方法,应用于身份标识与位置标识分离的网络中,其特征在于, 包括节点向所接入的接入节点发送溯源查询请求,在该溯源查询请求中携带匿名身份标识;所述接入节点接收到所述溯源查询请求后,根据该匿名身份标识查询对应的真实身份 标识;并将查询到的真实身份标识发送给所述节点。
2.如权利要求1所述的方法,其特征在于,所述接入节点通过向映射节点发送身份查询请求查询对应的真实身份标识,在该身份 查询请求中携带所述匿名身份标识;所述映射节点接收到所述身份查询请求后,从所保存的真实身份标识-匿名身份标识 映射表中查询对应的真实身份标识,并将查询到的真实身份标识返回给所述接入节点。
3.如权利要求2所述的方法,其特征在于,所述映射节点查询到所述真实身份标识后,还从所保存的身份标识-位置标识映射表 中查询该真实身份标识对应的位置标识,并将该位置标识返回给所述接入节点;所述接入节点将该接收到的位置标识发送给所述节点。
4.如权利要求3所述的方法,其特征在于,所述身份标识采用接入标识(AID),所述位 置标识采用路由标识(RID)。
5.如权利要求1所述的方法,其特征在于,所述接入节点接收到所述溯源查询请求后,查询对应的真实身份标识前,还向认证中 心查询所述节点是否具备溯源业务权限;所述认证中心确认所述节点具有权限后,向接入节点返回确认消息,所述接入节点接 收到确认消息后,执行所述根据该匿名身份标识查询对应的真实身份标识的操作。
6.一种匿名通信的溯源系统,应用于身份标识与位置标识分离的网络中,包括节点 和该节点接入的接入节点,其中所述节点,用于向所述接入节点发送溯源查询请求,在该溯源查询请求中携带匿名身 份标识;所述接入节点,用于在接收到所述溯源查询请求后,根据该匿名身份标识查询对应的 真实身份标识;并将查询到的真实身份标识发送给所述节点。
7.如权利要求6所述的系统,其特征在于,该系统还包括映射节点;所述接入节点通过向所述映射节点发送身份查询请求查询对应的真实身份标识,在该 身份查询请求中携带所述匿名身份标识;所述映射节点,用于在接收到所述身份查询请求后,从所保存的真实身份标识-匿名 身份标识映射表中查询对应的真实身份标识,并将查询到的真实身份标识返回给所述接入 节点。
8.如权利要求7所述的系统,其特征在于,所述映射节点,还用于在查询到所述真实身份标识后,从所保存的身份标识-位置标 识映射表中查询该真实身份标识对应的位置标识,并将该位置标识返回给所述接入节点;所述接入节点,还用于将该接收到的位置标识发送给所述节点。
9.如权利要求8所述的系统,其特征在于,所述身份标识采用接入标识(AID),所述位置标识采用路由标识(RID)。
10.如权利要求6所述的系统,其特征在于,该系统还包括认证中心;所述接入节点,还用于在接收到所述溯源查询请求后,查询对应的真实身份标识前,向 认证中心查询所述节点是否具备溯源业务权限;并在接收到所述认证中心的确认消息后, 执行所述根据该匿名身份标识查询对应的真实身份标识的操作。所述认证中心,用于在确认所述节点具有权限后,向接入节点返回确认消息。
11.一种匿名通信的溯源方法,应用于身份标识与位置标识分离的网络架构中,该网络 架构包括第一节点、第二节点和第二节点接入的第二接入节点,其中,所述第一节点已开 通匿名通信业务并已分配有匿名身份标识,该方法包括第一节点向第二节点发送数据报文,该数据报文中包含第一节点的匿名身份标识;所述第二节点接收到所述数据报文后,向所述第二接入节点发送溯源查询请求,在该 溯源查询请求中携带所述第一节点的匿名身份标识;所述第二接入节点接收到所述溯源查询请求后,根据该匿名身份标识查询所述第一节 点的真实身份标识;并将查询到的真实身份标识发送给所述第二节点。
12.如权利要求11所述的方法,其特征在于,所述网络架构还包括映射节点,该映射 节点中保存有真实身份标识-匿名身份标识映射表;所述第二接入节点通过向所述映射节点发送身份查询请求查询所述第一节点的真实 身份标识,在该身份查询请求中携带所述匿名身份标识;所述映射节点接收到所述身份查询请求后,从所述真实身份标识-匿名身份标识映射 表中查询对应的真实身份标识,并将查询到的真实身份标识返回给所述第二接入节点。
13.—种匿名通信的溯源系统,应用于身份标识与位置标识分离的网络中,该系统包 括第一节点、第二节点和第二节点接入的第二接入节点,其中,所述第一节点已开通匿名 通信业务并已分配有匿名身份标识;所述第一节点,用于向第二节点发送数据报文,该数据报文中包含第一节点的匿名身 份标识;所述第二节点,用于在接收到所述数据报文后,向所述第二接入节点发送溯源查询请 求,在该溯源查询请求中携带所述第一节点的匿名身份标识;所述第二接入节点,用于在接收到溯源查询请求后,根据该匿名身份标识查询所述第 一节点的真实身份标识;并将查询到的真实身份标识发送给所述第二节点。
14.如权利要求13所述的系统,其特征在于,该系统还包括映射节点,该映射节点中 保存有真实身份标识-匿名身份标识映射表;所述第二接入节点通过向所述映射节点发送身份查询请求查询所述第一节点的真实 身份标识,在该身份查询请求中携带所述匿名身份标识;所述映射节点,用于在接收到所述身份查询请求后,从所述真实身份标识-匿名身份 标识映射表中查询对应的真实身份标识,并将查询到的真实身份标识返回给所述第二接入 节点。
全文摘要
本发明公开了一种匿名通信的溯源方法,包括节点向所接入的接入节点发送溯源查询请求,在该溯源查询请求中携带匿名身份标识;接入节点接收到溯源查询请求后,根据该匿名身份标识查询对应的真实身份标识;并将查询到的真实身份标识发送给节点。本发明考虑到IP地址可以动态分配可以被篡改,溯源到IP地址并不能代表定位到用户,而AID是用户的真实身份,无论用户在什么位置,AID都是唯一的,定位到AID即定位到用户,而RID是用户的位置标识,也标识接入用户的边缘路由器,定位到RID即查到用户所处的位置。
文档编号H04L9/32GK102045163SQ20091018082
公开日2011年5月4日 申请日期2009年10月15日 优先权日2009年10月15日
发明者孙翼舟 申请人:中兴通讯股份有限公司