专利名称:匿名通信的方法、注册方法、信息收发方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种匿名通信的方法、注册方法、信息收发方 法及系统。
背景技术:
现有因特网广泛使用的TCP/IP (Transmission Control Protocol/Internet Protocol,传输控制协议/互联网络协议)协议中IP地址具有双重功能,既作为网络层的 通信终端主机网络接口在网络拓扑中的位置标识,又作为传输层主机网络接口的身份标 识。TCP/IP协议设计之初并未考虑主机移动的情况。但是,当主机移动越来越普遍时,这种 IP地址的语义过载缺陷日益明显。当主机的IP地址发生变化时,不仅路由要发生变化,通 信终端主机的身份标识也发生变化,这样会导致路由负载越来越重,而且主机标识的变化 会导致应用和连接的中断。身份标识和位置分离问题提出的目的是为了解决IP地址的语 义过载和路由负载严重等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、 IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支 持。现有技术中有关身份标识和位置分离的解决方案主要有两种,一种是基于主机的 实现,另一种是基于路由器的实现,每种实现中又有相关的多种技术进行支持.基于主机 的现有的主要协议是主机标识协议(Host Identity Protocol,简称HIP),基于路由的现有 主要协议是地址身份分离协议(Locator/ID Separation Protocol,简称LISP)等。HIP是一种主机移动性关联协议,HIP将IP地址分离为端标识与位置标识。HIP 的基本思想是在第三层网络层和第四层传输层之间引入了 3. 5层的主机标识层(Host Identity Layer,简称HIL),即在域名空间和IP地址空间之间引入了主机标识(Host Identity,简称HI)空间。主机标识层将原来紧密耦合的传输层和网络层分开,IP地址不 再扮演标识主机的角色,其只负责数据包的路由转发,即仅用作定位符,主机名称由主机标 识符来表示。HIL在逻辑上位于网络层与传输层之间,传输层使用传输层标识符,由主机标 识符层完成数据包中的主机标识符和IP地址转换。网络层对于传输层是屏蔽的,网络层的 任何变化(例如,在通信过程中主机IP地址的变化)不会影响传输层链路,除非服务质量 发生变化。基于HIP协议的传输层的连接建立在主机标识之上,IP地址只用于网络层路由, 而不再用于标识主机身份。HIP的关键思想就是断开网络层和传输层的紧密耦合,使应用层 和传输层的连接不受IP地址变化的影响。当IP地址在一个连接中变化时,HI保持不变, 由此保证了连接的不中断。在支持HIP的主机中,IP地址只是用于路由和寻址功能,而HI 则用来标识一个连接所对应的终端主机,代替连接套接字中所使用的IP地址。LISP重用了路由技术,对现有的路由拓扑结构有了一定的改变,结合现有的传送 网,利用最小的改造优化了现有的路由传送技术。主机使用IP地址,在LISP系统中称为EID (Endpoint Identifiersjj^gK)来跟踪socket (套接字)、建立连接、发送和接收数据包。路由器基于IP目的地址RLOCs (Routing Locators,路由地址)传递数据包。在LISP系统中引入了隧道路由,在发起主机包时封装LISP并且在最终传递到目 的地前对数据包进行解封装。在LISP数据包中“外层报头”的IP地址是RLOCs。在两个 网络的主机之间进行端到端的包交换过程中,ITRangress Tunnel Router,入口隧道路由 器)为每个包封装一个新LISP头,在出口通道路由剥去新头。ITR执行EID-to-RLOC查找 以确定到ETR(Egress Tunnel Router,出口隧道路由器)的路由路径,ETR以RLOC作为它 的一个地址。LISP为基于网络的协议,只影响网络部分,更确切的是只影响现有hternet baclAone (骨干网络)部分,不影响现有网络的接入层和用户主机,对主机是完全透明的。在上述现有的身份标识和位置分离的解决方案中,都必须以用户的身份标识查找 对应的位置标识。该身份标识必须是通信节点的真实身份,身份标识必须在通讯节点之间 传递,否则无法确定通讯节点的位置标识,无法建立通信节点间的联系。出于安全性和业务特点的考虑,现有hternet网大量的应用业务以匿名方式开 展,而现有身份标识和位置分离的解决方案无法满足以匿名方式的业务开展的需要。
发明内容
本发明要解决的技术问题是提供一种匿名通信的方法、注册方法、信息收发方法 及系统,在身份标识和位置分离架构下构建实名制信任域的基础上,提供一个匿名制的空 间,以满足匿名方式业务开展的需要。为了解决上述问题,本发明提供了一种匿名通信的方法,应用于身份标识和位置 分离架构网络,包括所述网络接收到终端发起的匿名通信请求后,为所述终端分配匿名身份标识,并 将所述终端的状态记录为匿名通信状态;当所述终端处于匿名通信状态下时,所述终端所在的接入网关设备在收到所述终 端发出的数据报文时,将所述数据报文中的源接入标识替换为所述匿名身份标识;在收到 发往所述终端的数据报文时,将其中的匿名身份标识替换为所述终端的接入标识。进一步地,由所述网络中的映射服务器、或所述终端所在的接入网关设备为所述 终端分配所述匿名身份标识。进一步地,所述终端所在的接入网关设备为所述终端分配所述匿名身份标识时, 将分配的所述匿名身份标识向所述映射服务器进行登记。进一步地,所述方法还包括所述终端所在的接入网关设备在接收到所述匿名通信请求时,向认证中心发起鉴 权流程,在确认所述终端具备匿名通信业务权限后,将所述终端记录为匿名通信状态。进一步地,所述方法还包括所述终端所在的接入网关设备在接收到所述终端的取消匿名通信请求后,将所述 终端的状态由匿名通信状态改变为正常通信状态。进一步地,所述方法还包括所述终端所在的接入网关设备将所述终端的状态由匿名通信状态改变为正常通信状态后,在进行所述终端的数据报文的收发时,取消所述匿名身份标识的替换。进一步地,所述终端发起的所述匿名通信请求中携带时间段信息;所述终端所在的接入网关设备在接收到所述匿名通信请求时,将所述终端的状态 记录为匿名通信状态,并根据其中的所述时间段信息设置匿名通信定时器;并在所述定时 器到达定时周期后将所述终端的状态由匿名通信状态改变为正常通信状态。本发明还提供了一种数据报文的转发方法,包括源端节点向目的节点发送数据报文,所述数据报文中包含目的地址和第一源地 址;源端接入节点接收到所述数据报文时,将其中包含的所述第一源地址替换成为所 述终端分配的第二源地址,并根据所述目的地址将所述数据报文转发至目的接入节点;所述目的接入节点收到所述数据报文中后转发给所述目的节点。进一步地,所述目的节点收到所述数据报文后,以所述第二源地址作为目的地址 向所述源端节点回应数据报文;所述目的接入节点根据所述第二源地址将所述数据报文转发至所述源端接入节占.^ \\\ 所述源端节点收到所述数据报文后,将其中包含的所述第二源地址替换成对应的 所述第一源地址,转发给所述源端节点。进一步地,所述方法应用于身份标识与位置分离架构网络,所述第一源地址为所 述终端的接入标识。本发明还提供了一种匿名通信的注册方法,应用于身份标识与位置标识分离的架 构网络中,所述架构网络至少包括有第一节点、认证中心、第一接入节点及第一分配节点, 其中,所述第一节点分配有一实际身份标识,包括第一节点经由第一接入节点向认证中心发送匿名通信请求;所述认证中心接受所述匿名通信请求并判断所述第一节点是否具备匿名通信权 限;在第一节点具备匿名通信权限的情况下,所述第一接入节点向第一分配节点发送 匿名身份标识分配请求,第一分配节点为第一节点分配一匿名身份标识,并保存该第一节 点匿名身份标识与第一节点实际身份标识的对应关系,或第一节点的匿名身份标识与第一 节点实际身份标识以及位置标识的对应关系。进一步地,所述方法还包括第一分配节点记录第一节点处于匿名通信状态,并将 所述匿名身份标识发送至第一接入节点。进一步地,所述方法还包括所述匿名请求中包括时间段信息;所述第一接入节点收到所述匿名请求时,根据所述时间段信息设置匿名通信定时 器;并在所述定时器到达定时周期后将所述终端的状态由匿名通信状态改变为正常通信状 态。进一步地,所述匿名身份标识自一预定用于匿名身份标识的标识群组中选择,或 自一预定群组中选择。本发明还提供了另一种匿名通信的注册方法,应用于身份标识与位置标识分离的7架构网络中,所述架构网络至少包括有第一节点、第一接入节点及第一存储节点,其中,所 述第一节点分配有一实际身份标识,包括第一节点经由第一接入节点向认证中心发送匿名通信请求;所述认证中心接受所述匿名通信请求并判断所述第一节点是否具备匿名通信权 限;在第一节点具备匿名通信权限的情况下,所述第一接入节点为第一节点分配一匿 名身份标识,同时向第一存储节点登记该第一节点匿名身份标识与第一节点实际身份标识 的对应关系,或第一节点的匿名身份标识与第一节点实际身份标识以及位置标识的对应关系。进一步地,所述方法还包括第一接入节点记录第一节点处于匿名通信状态。进一步地,所述方法还包括所述匿名请求中包括时间段信息;所述第一接入节点收到所述匿名请求时,根据所述时间段信息设置匿名通信定时 器;并在所述定时器到达定时周期后将所述终端的状态由匿名通信状态改变为正常通信状 态。本发明还提供了一种信息的发送方法,包括第一节点经由第一节点归属地的第一接入节点发送一信息至第二节点,所述信息 至少包括有第一节点第一标识及第二节点第一标识;第一节点归属地的第一接入节点替换第一节点第一标识为第一节点更新后第一 标识后,采用第一节点第二标识及第二节点第二标识封装所述第一节点更新后的第一标识 及第二节点第一标识,并发送至第二节点归属地的第二接入节点,并经由该第二节点归属 地的第二接入节点解封后发送该信息至第二节点。进一步地,第一标识为身份标识,第二标识为位置标识,所述第一节点更新后的第 一标识和/或第一节点第二标识及第二节点第二标识为第一接入节点本地获取,或自第一 接入节点外的另一节点获取。进一步地,所述方法还包括,在第一接入节点接受所述信息时,还包括一判断所述 信息发送是否触发替换程序的步骤。本发明还提供了一种用以实现信息收发的系统,应用于身份与位置分离的架构网 络中,包括接受单元,用以接受第一节点发送至第二节点的信息,其中所述信息至少包括有 所述第一节点及第二节点的身份标识;更新单元,用以更新第一节点的身份标识为一匿名的身份标识;封装单元,用以封装第一节点和第二节点的位置标识在所述匿名身份标识及第二 节点的身份标识外,以供身份与位置分离架构网络实现路由转发以发送信息至第二节点; 其中,所述接受单元还用以在接受第二节点发送至第一节点的信息时,更新匿名的身份 标识为第一节点的身份标识,并转发信息至第一节点。本发明还提供了另一种用以实现信息收发的系统,应用于身份与位置分离的架构 网络中,所述系统包括有第一系统及第二系统,其中,
第一系统包括第一收发单元,用以接受第一节点发送至第二节点的第一信息,其中,所述第一信 息包括有第一节点和第二节点的身份标识;及,用以接受第二系统第二收发单元发送的第 二信息,其中,第二信息包括有第一节点的匿名身份标识及第二节点的身份标识;第一替换单元,用以在第一节点向第二节点发送第一信息时,更新第一节点的身 份标识为匿名身份标识,以及在第二节点发送第二信息至第一节点时,更新匿名身份标识 为第一节点的身份标识;第二系统包括第二收发单元,用以接受第一信息并转发至第一节点;及用以向第一节点转发自 第二节点的第二信息,其中,第二信息包括有第一节点的匿名身份标识及第二节点的身份 标识。进一步地,在第一节点发送第一信息至第二节点时,第一节点的匿名身份标识用 以标识信息的发送方,第二节点的身份标识用以标识信息的接受方,在第二节点发送第二 信息至第一节点时,第一节点的匿名身份标识用以标识信息的接受方,第二节点的身份标 识用以标识信息的发送方。与现有技术相比,上述实施方案至少具有如下有益效果提出一种身份标识和位 置分离架构下匿名通信的解决方案,可以实现在构建了一个实名制信任域的基础上,提供 一个匿名制的空间,以满足匿名业务开展的需要,在身份标识和位置分离架构下,实名制信 任域由网络信用保证,匿名制空间由网络根据业务授权开展业务。
图1是基于身份位置分离架构的网络拓扑示意图;图2是本发明实施例的匿名通信流程;图3是终端用户登录接入流程;图4本发明实施案例一的终端用户发起匿名通信信令流程;图5是本发明实施案例一的建立端到端匿名通信流程;图6是本发明实施案例一的终端用户取消匿名通信信令流程;图7是本发明实施案例二的终端用户发起匿名通信信令流程。
具体实施例方式本发明的核心思想是在身份标识和位置分离架构下,由接入网关设备和/或映 射服务器为启动匿名业务的用户终端分配一个用于匿名的身份识别AID,在数据报文转发 时使用该AID替换该用户的真实身份识别,以实现与通信对端的匿名通信。下面结合附图及具体实施例对本发明作进一步详细描述。基于网络的身份标识和位置分离架构有多种,图1为本发明实施例的身份标识和 位置分离架构的网络拓扑示意图,其中示出了与本发明相关的系统架构的关键网元/功能 实体。如图1中所示,本实施例所述的基于身份位置分离架构(以下称本架构)中,将网 络划分为接入网和骨干网,接入网位于骨干网的边缘,负责所有终端的接入。骨干网负责不同通过接入网接入的终端的路由。接入服务节点(Access Service Node,简称ASN)位于骨 干网和接入网的分界点,与接入网接口,与骨干网接口。ASN用于为终端提供接入服务、维护 用户连接以及转发用户数据等。接入网与骨干网在拓扑关系上没有重叠。本架构网络中有两种标识类型,接入标识(Access Identif ier,简称AID)和路由 标识(Routing-Location Identif ier,简称RID)。其中AID是为网络中每个用户终端分配 的唯一的身份标识,在接入层使用,且在用户终端的移动过程中始终保持不变;本架构网络 内部的用户终端间使用AID标识对端,用户终端间只需使用对端的AID进行通信。参见图1,在优选实施例中,骨干网在组网时分为两个平面映射转发平面,广义 转发平面。广义转发平面的主要功能是根据数据报文中的路由标识RID进行选路和转发数 据报文。广义转发平面内的数据路由转发行为与传统IP网络一致。映射转发平面的主要功能是保存移动节点身份位置的映射信息(即RID-AID之间 的映射信息)、处理移动节点的登记注册流程、处理通信对端的位置查询流程,以及路由并 转发以接入标识AID为目的地址的数据报文。参见图1,本实施例的基于网络的身份标识和位置分离架构中,涉及的主要网元和 功能实体如下用户终端本架构中,接入的用户终端可以是移动节点、固定节点及游牧节点中的 一种或多种。接入网用于为用户终端提供二层(物理层和链路层)接入服务。接入网可以是基 站系统,如 BSS (Base Station Subsystem,基站子系统),RAN (Radio Access Network,无线 接入网),eNodeB(evolved Node B,演进的节点 B)等,也可以是xDSL(Digital Subscriber Line,数字用户线)、AP (Access Point,无线访问接入点)等。ASN:维护终端与骨干网的连接关系,为终端分配RID,处理切换流程,处理登记注 册流程,计费/鉴权,维护/查询通讯对端的AID-RID映射关系,封装、路由并转发送达终端 或终端发出的数据报文。ASN收到终端发来的数据报文时,根据报文中的CN的AID在本地查找其对应的 RID 如果查到对应的AID-RID映射条目,则在数据报文中以RID替换AID的方式、或者以封 装RID的方式将数据报文转发到骨干网;如果没有查到对应的AID-RID映射条目,则向ILR 发出查询流程,以获取AID-RID映射表条目,然后在相关数据报文中以RID替换AID的方 式、或者以封装RID的方式将数据报文转发出去;或是在向ILR发出查询的同时将数据报文 转发到骨干网进行路由转发,在收到ILR返回的CN的AID-RID映射关系后,在本地缓存保 存CN的AID-RID映射;ASN在收到网络发往终端的数据报文时,剥离外层的RID封装后,发给终端。CR (Common Router,通用路由器)路由并转发以RID格式为源地址/目的地址的 数据报文。认证中心负责记录本架构网络的用户属性,包括用户类别、鉴权信息、用户服务 等级等信息,产生用于鉴权、完整性保护和加密的用户安全信息,在用户接入时进行合法性 认证和授权。认证中心支持本架构网络与用户间的双向鉴权。ILR/PTF(Identity Location Register/Packet Transfer Function,身份位置寄存器/分组转发功能):ILR和PTF可以为同一实体上的两个功能模块,位于骨干网的映射 转发平面中。ILR负责维护/保存基于网络的身份标识和位置分离架构中用户的AID-RID映射 关系,实现登记注册功能,处理通信对端的位置查询流程。具体地,当终端(Mobile Node,简 称MN)开机或者发生位置变化时,将通过所在的ASN向ILR发起注册过程,这样ILR中就保 存了丽的实时AID-RID的映射关系。PTF在收到ASN送达的数据报文后,由PTF根据目的AID路由并转发。映射转发平 面内PTF节点向ILR查到目的AID-RID的映射关系后,在数据报文头部封装查到的RID信 息并转发到广义转发平面内路由到通信对端所在的ASN。在上述架构中,有效合法存续期间的终端的接入标识(AID)始终保持不变。路由 标识(RID)标示终端当前所在的ASN位置。根据业务需要,ASN可以为一个终端分配专用 的一个或多个RID并注册登记到映射转发平面中的ILR/PTF ;ASN也可为多个终端分配相同 的RID。终端接入网络时,通过认证中心鉴权保证用户身份的真实性,ILR保存了各接入终 端的AID-RID映射信息。接入网部分采用AID区别不同终端,广义交换平面采用RID路由 数据报文。建立端到端的通信过程需要通过AID查找对应的RID。端到端通信过程中,需要 将本端的AID作为源端地址在数据报文中携带到通信对端。通信对端能够从数据报文携带 的源端地址获得源端身份。本架构网络通过对用户身份的鉴权,以网络信用保证了用户身份的真实可靠,在 网络中构建了一个信任域。网络对用户身份的鉴权方法根据不同的网络体制可采用不同的 方法,可以对用户接入标识AID直接鉴权;也可以对网络中标识用户的其他类型的用户识 别(例如国际移动用户识别IMSI、网络用户识别NAI等)进行鉴权,网络设备将保存该用户 识别与AID之间的对应关系。现有接入网RAN部分能够保证二层连接安全性,保证终端接入网络时数据报文不 被篡改。例如=CDMA无线接入采用码分多址方式,ADSL采用专线或VLAN隔离方式,GSM采 用频分多址方式。所有的终端都是通过鉴权认证的有效合法用户。终端在接入网络时,将 建立终端与网络的ASN间的点到点连接关系。ASN将终端的AID绑定在终端与ASN间的端 到端用户连接上,如果从该用户连接上发出报文的源地址与该用户的AID不匹配,ASN将丢 弃数据报文,这样,能够保证本架构中终端的AID不被仿冒和更改。ASN,以及从源端ASN到目的端ASN之间的通信设备如ILR/PTF,CR,认证中心等,由 网络运营和管理方提供,由网络信用保证数据报文传输的安全性,保证数据报文真实可靠。从而,基于身份位置分离架构将能够在网络中以网络信用构建一个信任域,保证 进行数据通信的两端身份的真实可靠。出于安全性和业务特点的考虑,现有hternet网大量的应用业务以匿名方式开 展,这就需要在网络信用担保的信任域中,提供一个匿名制的空间,以满足业务开展的需要。以下将结合上述身份标识和位置分离架构下的若干实施案例对本发明如何提供 匿名制的空间的具体实施方案进行详细说明。本实施例中,是以基于网络的身份标识和位 置分离架构为例进行说明,但本发明技术方案所基于的架构网络还可以是基于LISP及其 他多种身份标识和位置分离架构。
实施案例一在身份标识和位置分离架构下,实名制信任域由网络信用保证,匿名制空间由网 络根据设置的业务授权开展。如图2所示,其具体实现流程如下步骤1. MN发起登录请求,请求接入本架构网络,认证中心对MN进行合法性认证和 授权,记录的用户属性,如果MN在本架构网络开通了匿名数据业务,则存储在MN的用户属 性中;MN接入本架构网络的流程如图3所示,其中MN的合法性认证及鉴权等可采用现有 流程,并且,本架构网络中支持双向认证,即丽还可以对网络的合法性进行认证。步骤2. MN接入本架构网络,丽所在的ASN为其分配RID,并向归属ILR注册映射 关系,ILR将保存丽的AID-RID映射信息;步骤3. MN申请数据通信采用匿名方式;图4所示为终端用户发起匿名通信的流程示意图,具体包括丽通过其所在的ASN发起匿名通信请求;认证中心确认丽具备匿名通信业务权限后,向ASN发出确认;(该步骤根据运营 需要为可选步骤。)丽所在的ASN向归属ILR发起匿名AID分配请求,归属ILR收到该请求消息后,记 录MN为匿名通信状态,并为MN分配一个新的接入标识AID作为匿名AID,归属ILR可以从 专用于匿名AID的号段中选取,也可以从号段中选取一个空闲的AID ;并将该匿名AID保存 在归属ILR存储的丽的记录中,例如记录对应关系AID-匿名AID-RID ;归属ILR向ASN发出匿名通信响应消息,携带匿名AID的信息,例如AID-匿名AID 的对应关系,ASN收到该消息后,从消息中读取匿名AID的信息,保存在MN对应的数据区中, 并记录MN为匿名通信状态,在匿名通信状态期间,MN与其所有通信对端的通信均采用匿名 方式;ASN向丽发出匿名通信确认消息。步骤4.丽与CN建立端到端匿名数据通信;如图5所示,丽与CN建立端到端匿名通信的流程如下丽与CN建立端到端通信,在丽与源ASN之间的接口上,收发的数据报文格式为 (源AID,目的AID),即源地址目的地址分别为双方用户的身份识别。MN所在的ASN判断该 用户匿名数据业务有效后,将发出的数据报文中的源AID替换为匿名AID,并查找对应的源 RID/目的RID并封装在数据报文中,通过骨干网发往CN所在的ASN ;其中,在源ASN与目的ASN之间的接口上传送的数据报文格式为(源RID,匿名 AID,目的 RID,目的 AID)。CN所在的目的ASN收到数据报文后,剥离RID封装,将数据报文发往CN,数据报文 格式为(匿名AID,目的AID);CN所在的ASN收到CN回应的数据报文,数据报文格式为(源AID,匿名AID),即 源地址为CN的AID,目的地址为匿名AID ;CN所在的ASN将数据报文增加RID封装,封装后的数据报文格式为(源RID,源 AID,目的RID,匿名AID),通过骨干网将数据报文发往丽所在的ASN ;丽所在的ASN收到CN发出的数据报文后,剥离RID封装,并将数据报文中的匿名AID替换为丽的AID,发送给丽。由上述流程可见,在丽与CN的通信期间,CN看到的丽的身份识别是匿名AID,而 不是接入AID。步骤5.丽取消匿名通信方式。图6为终端用户取消匿名通信的流程示意图,具体流程如下MN发起取消匿名数据通信请求;认证中心确认丽具备匿名通信业务权限后,向ASN发出确认;(该步骤根据运营 需要为可选步骤。)ASN删除丽数据区中的AID-匿名AID对应关系,将丽的匿名通信状态改为正常 通信状态;ASN向归属ILR发起取消匿名AID对应关系流程,ILR将删除丽的AID-匿名 AID-RID的对应关系,保存MN的AID-RID映射关系,并将MN的匿名通信状态改为正常通信 状态,向ASN发送取消匿名通信响应消息;ASN向丽发送取消匿名通信响应消息。后续ASN在进行MN的数据报文收发时,将不再进行AID与匿名AID的替换。实施案例二本实施案例与实施案例一的流程基本相同,二者的主要区别在于,本实施例中,作 为上述匿名AID分配流程的替代步骤,如图7所示,也可以由ASN按以下流程自行完成匿名 AID的分配流程丽通过其所在的ASN发起匿名通信请求;认证中心确认丽具备匿名通信业务权限后,向ASN发出确认;(该步骤根据运营 需要为可选步骤。)MN所在的ASN收到鉴权认证中心匿名业务权限确认后,ASN为MN分配匿名AID, 保存在MN对应的数据区中,并记录MN为匿名通信状态;ASN向归属ILR发起匿名AID登记流程,归属ILR将保存丽的AID-匿名AID-RID 的对应关系,并记录MN为匿名通信状态;此处,归属ILR保存匿名AID的对应关系后,后续CN向MN发送数据报文时,可以 根据丽的匿名AID查询到丽的RID。ASN向丽发送匿名通信确认消息。后续丽进行数据通信的过程中,ASN如果判断出丽处于匿名通信状态,则在进行 MN的数据报文收发时,将负责进行AID与匿名AID的替换。实施案例三本实施案例与前述实施案例的流程基本相同,其主要区别在于前述案例中,MN 通过发起匿名通信请求申请匿名通信方式,后续需要取消匿名通信方式时,MN通过发起取 消匿名通信请求取消通信匿名方式。而在本实施案例中(未图示),MN申请匿名通信方式时,在发起匿名通信请求中, 携带时间段信息,表示在该时间段内,丽处于匿名通信状态中;ASN收到该匿名通信请求 时,设置匿名通信定时器,在匿名通信定时器到时前,ASN将进入如前述实施案例所述的匿 名通信处理流程。13
本实施案例中,MN将无需发起取消匿名通信的流程,匿名通信定时器到时即可取 消本次匿名方式通信,MN由匿名通信状态改变为正常通信状态。由上可知,本发明提出了一种身份标识和位置分离架构下匿名通信的方法,基于 本发明的身份标识和位置分离架构下的匿名通信方法,可以实现在构建实名制信任域的基 础上,提供一个匿名制的空间,以满足业务开展的需要。在身份标识和位置分离框架下,实 名制信任域由网络信用保证,匿名制空间由网络根据业务授权开展业务。本发明实施例中还提供了一种数据报文的转发方法,包括源端节点向目的节点发送数据报文,所述数据报文中包含目的地址和第一源地 址;源端接入节点接收到所述数据报文时,将其中包含的所述第一源地址替换成为所 述终端分配的第二源地址,并根据所述目的地址将所述数据报文转发至目的接入节点;所述目的接入节点收到所述数据报文中后转发给所述目的节点。进一步地,所述目的节点收到所述数据报文后,以所述第二源地址作为目的地址 向所述源端节点回应数据报文;所述目的接入节点根据所述第二源地址将所述数据报文转发至所述源端接入节点。所述源端节点收到所述数据报文后,将其中包含的所述第二源地址替换成对应的 所述第一源地址,转发给所述源端节点。进一步地,所述方法应用于身份标识与位置分离架构网络,所述第一源地址为所 述终端的接入标识。此外,本发明实施例中还提供了一种匿名通信的注册方法,应用于身份标识与位 置标识分离的架构网络中,所述架构网络至少包括有第一节点、认证中心、第一接入节点及 第一分配节点,其中,所述第一节点分配有一实际身份标识,包括第一节点经由第一接入节点向认证中心发送匿名通信请求;所述认证中心接受所述匿名通信请求并判断所述第一节点是否具备匿名通信权 限;在第一节点具备匿名通信权限的情况下,所述第一接入节点向第一分配节点发送 匿名身份标识分配请求,第一分配节点为第一节点分配一匿名身份标识,并保存该第一节 点匿名身份标识与第一节点实际身份标识的对应关系,或第一节点的匿名身份标识与第一 节点实际身份标识以及位置标识的对应关系。进一步地,所述方法还包括第一分配节点记录第一节点处于匿名通信状态,并将 所述匿名身份标识发送至第一接入节点。进一步地,所述匿名身份标识自一预定用于匿名身份标识的标识群组中选择,或 自一预定群组中选择。本发明实施例中还提供了另一种匿名通信的注册方法,应用于身份标识与位置标 识分离的架构网络中,所述架构网络至少包括有第一节点、第一接入节点及第一存储节点, 其中,所述第一节点分配有一实际身份标识,包括第一节点经由第一接入节点向认证中心发送匿名通信请求;所述认证中心接受所述匿名通信请求并判断所述第一节点是否具备匿名通信权限;在第一节点具备匿名通信权限的情况下,所述第一接入节点为第一节点分配一匿 名身份标识,同时向第一存储节点登记该第一节点匿名身份标识与第一节点实际身份标识 的对应关系,或第一节点的匿名身份标识与第一节点实际身份标识以及位置标识的对应关系。进一步地,所述方法还包括第一接入节点记录第一节点处于匿名通信状态。此外,本发明实施例还提供了一种信息的发送方法,包括第一节点经由第一节点归属地的第一接入节点发送一信息至第二节点,所述信息 至少包括有第一节点第一标识及第二节点第一标识;第一节点归属地的第一接入节点替换第一节点第一标识为第一节点更新后第一 标识后,采用第一节点第二标识及第二节点第二标识封装所述第一节点更新后的第一标识 及第二节点第一标识,并发送至第二节点归属地的第二接入节点,并经由该第二节点归属 地的第二接入节点解封后发送该信息至第二节点。进一步地,第一标识为身份标识,第二标识为位置标识,所述第一节点更新后的第 一标识和/或第一节点第二标识及第二节点第二标识为第一接入节点本地获取,或自第一 接入节点外的另一节点获取。进一步地,所述方法还包括,在第一接入节点接受所述信息时,还包括一判断所述 信息发送是否触发替换程序的步骤。本发明实施例中还提供了一种用以实现信息收发的系统,应用于身份与位置分离 的架构网络中,包括接受单元,用以接受第一节点发送至第二节点的信息,其中所述信息至少包括有 所述第一节点及第二节点的身份标识;更新单元,用以更新第一节点的身份标识为一匿名的身份标识;封装单元,用以封装第一节点和第二节点的位置标识在所述匿名身份标识及第二 节点的身份标识外,以供身份与位置分离架构网络实现路由转发以发送信息至第二节点; 其中,所述接受单元还用以在接受第二节点发送至第一节点的信息时,更新匿名的身份 标识为第一节点的身份标识,并转发信息至第一节点。本发明实施例中还提供了另一种用以实现信息收发的系统,应用于身份与位置分 离的架构网络中,其特征在于所述系统包括有第一系统及第二系统,其中,第一系统包括第一收发单元,用以接受第一节点发送至第二节点的第一信息,其中,所述第一信 息包括有第一节点和第二节点的身份标识;及,用以接受第二系统第二收发单元发送的第 二信息,其中,第二信息包括有第一节点的匿名身份标识及第二节点的身份标识;第一替换单元,用以在第一节点向第二节点发送第一信息时,更新第一节点的身 份标识为匿名身份标识,以及在第二节点发送第二信息至第一节点时,更新匿名身份标识 为第一节点的身份标识;第二系统包括第二收发单元,用以接受第一信息并转发至第一节点;及用以向第一节点转发自第二节点的第二信息,其中,第二信息包括有第一节点的匿名身份标识及第二节点的身份 标识。 进一步地,在第一节点发送第一信息至第二节点时,第一节点的匿名身份标识用 以标识信息的发送方,第二节点的身份标识用以标识信息的接受方,在第二节点发送第二 信息至第一节点时,第一节点的匿名身份标识用以标识信息的接受方,第二节点的身份标 识用以标识信息的发送方。
权利要求
1. 一种匿名通信的方法,应用于身份标识和位置分离架构网络,其特征在于,包括所述网络接收到终端发起的匿名通信请求后,为所述终端分配匿名身份标识,并将所 述终端的状态记录为匿名通信状态;当所述终端处于匿名通信状态下时,所述终端所在的接入网关设备在收到所述终端发 出的数据报文时,将所述数据报文中的源接入标识替换为所述匿名身份标识;在收到发往 所述终端的数据报文时,将其中的匿名身份标识替换为所述终端的接入标识。
2.如权利要求1所述的方法,其特征在于,由所述网络中的映射服务器、或所述终端所在的接入网关设备为所述终端分配所述匿 名身份标识。
3.如权利要求2所述的方法,其特征在于,所述终端所在的接入网关设备为所述终端分配所述匿名身份标识时,将分配的所述匿 名身份标识向所述映射服务器进行登记。
4.如权利要求1、2或3所述的方法,其特征在于,所述方法还包括所述终端所在的接入网关设备在接收到所述匿名通信请求时,向认证中心发起鉴权流 程,在确认所述终端具备匿名通信业务权限后,将所述终端记录为匿名通信状态。
5.如权利要求4所述的方法,其特征在于,所述方法还包括所述终端所在的接入网关设备在接收到所述终端的取消匿名通信请求后,将所述终端 的状态由匿名通信状态改变为正常通信状态。
6.如权利要求5所述的方法,其特征在于,所述方法还包括所述终端所在的接入网关设备将所述终端的状态由匿名通信状态改变为正常通信状 态后,在进行所述终端的数据报文的收发时,取消所述匿名身份标识的替换。
7.如权利要求1所述的方法,其特征在于,所述终端发起的所述匿名通信请求中携带时间段信息;所述终端所在的接入网关设备在接收到所述匿名通信请求时,将所述终端的状态记录 为匿名通信状态,并根据其中的所述时间段信息设置匿名通信定时器;并在所述定时器到 达定时周期后将所述终端的状态由匿名通信状态改变为正常通信状态。
8.一种数据报文的转发方法,其特征在于,包括源端节点向目的节点发送数据报文,所述数据报文中包含目的地址和第一源地址;源端接入节点接收到所述数据报文时,将其中包含的所述第一源地址替换成为所述终 端分配的第二源地址,并根据所述目的地址将所述数据报文转发至目的接入节点;所述目的接入节点收到所述数据报文中后转发给所述目的节点。
9.如权利要求8所述的方法,其特征在于,所述目的节点收到所述数据报文后,以所述第二源地址作为目的地址向所述源端节点 回应数据报文;所述目的接入节点根据所述第二源地址将所述数据报文转发至所述源端接入节点;所述源端节点收到所述数据报文后,将其中包含的所述第二源地址替换成对应的所述 第一源地址,转发给所述源端节点。
10.如权利要求8或9所述的方法,其特征在于,所述方法应用于身份标识与位置分离架构网络,所述第一源地址为所述终端的接入标识。
11.一种匿名通信的注册方法,应用于身份标识与位置标识分离的架构网络中,所述架 构网络至少包括有第一节点、认证中心、第一接入节点及第一分配节点,其中,所述第一节 点分配有一实际身份标识,其特征在于,包括第一节点经由第一接入节点向认证中心发送匿名通信请求; 所述认证中心接受所述匿名通信请求并判断所述第一节点是否具备匿名通信权限; 在第一节点具备匿名通信权限的情况下,所述第一接入节点向第一分配节点发送匿名 身份标识分配请求,第一分配节点为第一节点分配一匿名身份标识,并保存该第一节点匿 名身份标识与第一节点实际身份标识的对应关系,或第一节点的匿名身份标识与第一节点 实际身份标识以及位置标识的对应关系。
12.如权利要求11所述的方法,其特征在于,所述方法还包括第一分配节点记录第一 节点处于匿名通信状态,并将所述匿名身份标识发送至第一接入节点。
13.如权利要求12所述的方法,其特征在于,所述方法还包括 所述匿名请求中包括时间段信息;所述第一接入节点收到所述匿名请求时,根据所述时间段信息设置匿名通信定时器; 并在所述定时器到达定时周期后将所述终端的状态由匿名通信状态改变为正常通信状态。
14.如权利要求11、12或13所述的方法,其特征在于,所述匿名身份标识自一预定用于 匿名身份标识的标识群组中选择,或自一预定群组中选择。
15.一种匿名通信的注册方法,应用于身份标识与位置标识分离的架构网络中,所述架 构网络至少包括有第一节点、第一接入节点及第一存储节点,其中,所述第一节点分配有一 实际身份标识,其特征在于,包括第一节点经由第一接入节点向认证中心发送匿名通信请求; 所述认证中心接受所述匿名通信请求并判断所述第一节点是否具备匿名通信权限; 在第一节点具备匿名通信权限的情况下,所述第一接入节点为第一节点分配一匿名身 份标识,同时向第一存储节点登记该第一节点匿名身份标识与第一节点实际身份标识的对 应关系,或第一节点的匿名身份标识与第一节点实际身份标识以及位置标识的对应关系。
16.如权利要求15所述的方法,其特征在于,所述方法还包括第一接入节点记录第一 节点处于匿名通信状态。
17.如权利要求16所述的方法,其特征在于,所述方法还包括 所述匿名请求中包括时间段信息;所述第一接入节点收到所述匿名请求时,根据所述时间段信息设置匿名通信定时器; 并在所述定时器到达定时周期后将所述终端的状态由匿名通信状态改变为正常通信状态。
18.一种信息的发送方法,其特征在于第一节点经由第一节点归属地的第一接入节点发送一信息至第二节点,所述信息至少 包括有第一节点第一标识及第二节点第一标识;第一节点归属地的第一接入节点替换第一节点第一标识为第一节点更新后第一标识 后,采用第一节点第二标识及第二节点第二标识封装所述第一节点更新后的第一标识及第 二节点第一标识,并发送至第二节点归属地的第二接入节点,并经由该第二节点归属地的 第二接入节点解封后发送该信息至第二节点。
19.如权利要求18所述的方法,其特征在于,第一标识为身份标识,第二标识为位置标 识,所述第一节点更新后的第一标识和/或第一节点第二标识及第二节点第二标识为第一 接入节点本地获取,或自第一接入节点外的另一节点获取。
20.如权利要求18或19所述的方法,其特征在于,所述方法还包括,在第一接入节点接 受所述信息时,还包括一判断所述信息发送是否触发替换程序的步骤。
21.一种用以实现信息收发的系统,应用于身份与位置分离的架构网络中,其特征在于接受单元,用以接受第一节点发送至第二节点的信息,其中所述信息至少包括有所述 第一节点及第二节点的身份标识;更新单元,用以更新第一节点的身份标识为一匿名的身份标识;封装单元,用以封装第一节点和第二节点的位置标识在所述匿名身份标识及第二节点 的身份标识外,以供身份与位置分离架构网络实现路由转发以发送信息至第二节点;其中,所述接受单元还用以在接受第二节点发送至第一节点的信息时,更新匿名的身份标识 为第一节点的身份标识,并转发信息至第一节点。
22.—种用以实现信息收发的系统,应用于身份与位置分离的架构网络中,其特征在 于所述系统包括有第一系统及第二系统,其中,第一系统包括第一收发单元,用以接受第一节点发送至第二节点的第一信息,其中,所述第一信息包 括有第一节点和第二节点的身份标识;及,用以接受第二系统第二收发单元发送的第二信 息,其中,第二信息包括有第一节点的匿名身份标识及第二节点的身份标识;第一替换单元,用以在第一节点向第二节点发送第一信息时,更新第一节点的身份标 识为匿名身份标识,以及在第二节点发送第二信息至第一节点时,更新匿名身份标识为第 一节点的身份标识;第二系统包括第二收发单元,用以接受第一信息并转发至第一节点;及用以向第一节点转发自第二 节点的第二信息,其中,第二信息包括有第一节点的匿名身份标识及第二节点的身份标识。
23.如权利要求22所述的系统,其特征在于,在第一节点发送第一信息至第二节点时, 第一节点的匿名身份标识用以标识信息的发送方,第二节点的身份标识用以标识信息的接 受方,在第二节点发送第二信息至第一节点时,第一节点的匿名身份标识用以标识信息的 接受方,第二节点的身份标识用以标识信息的发送方。
全文摘要
本发明公开了一种匿名通信的方法、注册方法、信息收发方法及系统,其中匿名通信的方法包括网络接收到终端发起的匿名通信请求后,为终端分配匿名身份标识,并将终端的状态记录为匿名通信状态;当终端处于匿名通信状态下时,终端所在的接入网关设备在收到终端发出的数据报文时,将数据报文中的源接入标识替换为匿名身份标识;在收到发往终端的数据报文时,将其中的匿名身份标识替换为终端的接入标识。本发明满足了终端开展匿名方式业务的需求。
文档编号H04L29/06GK102045314SQ200910205328
公开日2011年5月4日 申请日期2009年10月10日 优先权日2009年10月10日
发明者吴强 申请人:中兴通讯股份有限公司