专利名称:实体标识符分配系统、溯源、认证方法及服务器的制作方法
技术领域:
本发明实施例涉及网络技术领域,尤其是一种实体标识符分配系统、溯源、认证方法及服务器。
背景技术:
在当前互联网的体系结构下,IP地址既是网络接入实体(如主机和使用者)的身份标识,又是网络接入实体的定位标识。在实际应用中,由于网络接入实体经常变换接入位置,IP地址也会随之发生变化,这使得网络接入实体无法获得相对固定的实体标识。为此,电气禾口电子工程师协会(Institute of Electrical and Electronics Engineers,简称 IEEE)提出了 64 位扩展唯一标识符(64-bit extended unique identifier,简称IEEE-EUI64),IEEE-EUI64是一种利用主机MAC地址生成IPv6地址后64 位的地址生成方式。该地址生成方式中,IPv6地址的路由前缀(IPv6地址的前64位)通过链路上路由器(通常是第一跳路由器)的路由通告得到,接口 ID (IPv6地址的后64位) 由48位的MAC地址转换得到。由于MAC地址是由IEEE分配给网卡制造商的,伴随着网卡的销售而完成分配的,因此MAC地址天然地缺乏管理体系,存在以下问题1)难以溯源尽管MAC地址的分配也独立于互联网服务提供商(Internet Service Provider, 简称ISP),但IEEE-EUI64的设计初衷是为了提供“即插即用”功能,并无太多身份认证上的考量。MAC地址没有IP地址那样的注册机制和公共的解析系统,其对应的主机信息和使用者信息无法查询。MAC地址也没有与互联网的行为主体有安全的绑定机制,MAC可以任由用户伪造。2) IEEE-EUI64方式的地址生成方式缺乏验证机制该方式不能提供对IP地址真实性的验证,因此主机使用者可以通过修改MAC地址来无限制地构造IP地址。密钥生成地址(Cryptographically Generated Addresses,简称 CGA)是另一种基于IPv6自配置机制的地址生成机制,CGA地址的后64位由地址使用者的公钥哈希生成。 CGA尽管可以用来验证IP地址的真实性,但使用者的身份信息无法解析。也就是说,使用者可以在不同时间使用不同的公钥构造不同的CGA地址来隐藏自己的身份。另外,还有标识符定位网络协议(Identifier-Locator Network Protocol,简称ILNP)等一些改进技术,其中部分技术还需要对IP的工作机制加以修改,可行性差。在实现本发明的过程中,发明人发现现有技术中网络接入实体获得相对固定标识的方法无法同时满足可溯源和使用者身份可验证的需求。
发明内容
本发明实施例提供一种实体标识符分配系统、溯源、认证方法及服务器,以解决现有技术中网络接入实体获得相对固定标识的方法无法同时满足可溯源和使用者身份可验证的需求的问题。一方面,本发明实施例提供了一种实体标识符分配系统,包括树状连接的实体标识符EI分配根节点、中间级EI分配节点和叶子EI分配节点;所述EI分配根节点,用于对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;所述中间级EI分配节点,用于向上一级EI分配节点请求分配EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;所述叶子EI分配节点,用于向上一级EI分配节点请求EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI的网络接入实体进行身份验证,验证通过后向所述网络接入实体分配EI以使所述网络接入实体根据所述EI生成IP地址,生成所述网络接入实体的授权信息。另一方面,本发明实施例提供了一种基于上述实体标识符分配系统的溯源方法, 包括基于待溯源的EI,溯源设备向EI分配根节点查询所述EI分配对象的授权信息;所述EI分配根节点向所述溯源设备返回下一级EI分配节点的标识,所述下一级 EI分配节点从所述EI分配根节点分配得到的EI资源包含所述EI ;所述溯源设备向所述下一级EI分配节点查询分配所述EI分配对象的授权信息, 直至接收到叶子EI分配节点的标识,所述叶子EI分配节点分配得到的EI资源包含所述 EI ;所述溯源设备向所述叶子EI分配节点查询所述EI分配对象的授权信息;所述叶子EI分配节点确定分配得到所述EI的EI分配对象的授权信息,并将所述 EI分配对象的授权信息发送给所述溯源设备。另一方面,本发明实施例提供了一种基于上述实体标识符分配系统的接入认证方法,包括接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的实体标识符EI ;从所述EI分配系统获取所述EI分配对象的授权信息;根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。另一方面,本发明实施例提供了一种接入认证服务器,与如上所述的实体标识符分配系统交互,包括接收模块,用于接收网络接入实体发送的接入认证请求,所述接入认证请求的源 IP地址包含所述网络接入实体的实体标识符EI ;获取模块,用于从所述EI分配系统获取所述EI分配对象的授权信息;认证模块,用于根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。以上多个技术方案中的一个技术方案具有如下优点或有益效果
本发明实施例采用树形的实体标识符EI分配系统,除EI分配根节点之外的各EI 分配节点/网络接入实体都需进行身份验证后才能从上一级分配节点分配得到EI资源/ EI,生成了各EI分配节点/网络接入实体的授权信息,可以在使用分配得到的EI构造IP 地址的网络接入实体请求接入网络时根据EI分配系统中的该EI的授权信息对网络接入实体进行身份验证,使得在网络接入实体获得相对固定标识的基础上,同时满足可溯源和使用者身份可验证的需求。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种实体标识符EI分配系统实施例的结构示意图。图2为图1所示实施例的一种应用示意图。图3为本发明实施例提供的一种基于EI分配系统的溯源方法实施例的流程示意图。图4为本发明实施例提供的一种基于EI分配系统的接入认证方法实施例的流程示意图。图5为本发明实施例提供的一种基于EI分配系统的接入认证服务器实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明实施例提供的一种实体标识符(Entity Identif ier,简称ΕΙ)分配系统实施例的结构示意图。如图1所示,该系统包括EI分配根节点11、中间级EI分配节点12和叶子EI分配节点13 ;EI分配根节点11,用于对请求分配EI资源的下一级EI分配节点进行身份验证, 验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;中间级EI分配节点12,用于向上一级EI分配节点请求分配EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;叶子EI分配节点13,用于向上一级EI分配节点请求EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI的网络接入实体进行身份验证,验证通过后向所述网络接入实体分配EI以使所述网络接入实体根据所述EI生成IP地址,生成所述网络接入实体的授权信息。应用中,中间级EI分配节点12可能有一级或多级,EI的分配层次的划分也不是固定的,EI分配系统中各个子树可以根据实际情况进行调整。本实施例对此不作限定。举例来说,若中间级EI分配节点有两级,与EI分配根节点11直接连接的可以称为顶级EI分配节点,与叶子EI分配节点直接连接的可以称为次级EI分配节点。在EI分配系统中,分配上游对EI的分配对象进行身份验证,验证通过后向其下游授权EI资源,负责维护EI或者EI 段的分配信息。如图2所示,EI分配根节点将前缀为40/8的EI资源分配给了顶级EI分配节点A,其中40/8表示以0x40开头的EI前缀,代表一段标识聚合的EI资源,EI分配根节点将前缀为41/8的EI资源分配给了顶级EI分配节点B,将前缀为4F/8的EI资源分配给了顶级EI分配节点X ;顶级EI分配节点B将前缀为410001/M的EI其资源分配给次级EI分配结构A,将前缀为41FFFF/24的EI其资源分配给次级EI分配结构X ;次级EI分配机构A 将前缀为4100010001/40的EI资源分配给了 EI分配代理A(即叶子EI分配节点),将前缀为410001FFFF/40的EI资源分配给了 EI分配代理X ;EI分配代理X将410001FFFFAB5678 的EI分配给了网络接入实体H1,将410001FFFF5EF987的EI分配给了网络接入实体H2。这里的授权信息通常可以包含EI资源分配对象分配得到的EI资源的标识,所述 EI资源分配对象的标识、公钥,所述EI资源分配者的标识等信息。其中,所述EI资源通常以EI前缀来标识,若所述EI资源分配对象为网络接入实体,授权信息可选地还包含所述EI 的有效期。当然,授权信息的内容可以根据实际应用的需求进行删减或扩展,本实施例对此不作限定。在本发明的一个可选的实施例中,为了方便第三方对EI资源/EI的分配情况及授权信息进行查询,所述系统还包括EI信息根服务器21、中间级EI信息服务器22和叶子EI信息服务器23 ;EI信息根服务器21,与EI分配根节点11对应,用于存储EI分配根节点11的EI 资源分配对象的授权信息,EI分配根节点11的EI资源分配对象的授权信息包括EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和EI分配根节点11的标识;中间级EI信息服务器22,与中间级EI分配节点12 —一对应,用于存储对应的中间级EI分配节点12的EI资源分配对象的授权信息,所述中间级EI分配节点的EI资源分配对象的授权信息包括所述EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和中间级EI分配节点12的标识;叶子EI信息服务器23,与叶子EI分配节点13—一对应,用于存储对应的叶子EI 分配节点13的EI分配对象的授权信息,所述叶子EI分配节点的EI分配对象的授权信息包括所述EI分配对象分配得到的EI,所述EI分配对象的身份信息、公钥,叶子EI分配节点 13的标识;EI分配根节点11具体用于,验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的授权信息和私钥,并将所述下一级EI分配节点的授权信息发送给EI信息根服务器21 ;中间级EI分配节点12具体用于,接收上一级EI分配节点发送的所述中间级EI分配节点的授权信息和私钥,并在验证通过后向所述下一级EI分配节点发送所述下一级EI 分配节点的私钥,并将所述下一级EI分配节点的授权信息发送给对应的中间级EI信息服务器22 ;叶子EI分配节点13具体用于,接收上一级EI分配节点发送的所述叶子EI分配节点的授权信息和私钥,并在验证通过后向所述网络接入实体发送所述网络接入实体的私钥,并将所述网络接入实体的授权信息发送给对应的叶子EI信息服务器23。这里的私钥是与授权信息中所述EI资源/EI分配对象的公钥对应的,EI资源/EI 分配对象用私钥签名过的信息,可以用授权信息中的公钥进行验证。当然,可以在颁发公钥的同时颁发私钥,也可以是EI资源/EI分配对象(如网络接入实体)自身生成公钥和私钥, 然后将公钥告知EI资源/EI分配者,本实施例对此不作限定。应用中,各EI信息服务器还可以保存自身的授权信息。表1给出了一种可能的EI资源授权信息,表2给出了单个粒度的EI授权信息示例。表1 EI资源的授权信息示例表
EI前缀分配对象EI信息服务器的寻址信息公钥分配者41/8顶级EI授权机构B2001:1234:5678:FFEE::1EI分配4艮节占 卜、、表2 EI的授权信息示例表
EI网络接入实体身份信息公钥有效期分配者410001FFF0AB5678身份ID或法人信息2010-9-16EI分配代理 X需要说明的是,网络接入实体获得叶子EI分配节点分配的EI后,可以根据所述EI 生成IP地址,该IP地址作为该网络接入实体接入网络的标识。应用中,由于IP地址的前缀用于标识网络接入实体的接入位置,所以IP地址的位置相关性在现有互联网体系结构下无法改变,基于EI的IPv6地址寻求在IPv6地址非路由标识部分携带网络接入实体的身份标识。基于EI的IPv6地址结构可以如表3所示。表 3
网络前缀(64bits)实体标识符EI(64bits)~
如表3所示,网络前缀是网络接入实体的位置标识,同传统意义上的IPv6地址前缀没有区别。EI是一个64比特的位串,例如0x332277880101FFFF,它充当网络接入实体的稳定身份标识,不随网络接入实体的位置和归属者的变化而变化。EI的不同分配者决定了 EI的有效范围,表4给出了 EI分配系统的管理者与其分配的EI有效范围的关系的示例。 主机在不同接入域之间漫游时,接入网控制实体,如第一跳路由器或者动态主机设置协议 (Dynamic Host Configuration Protocol,简称DH(P)服务器,向主机提供IPv6地址的网络前缀部分,即IPv6地址的前64位,主机将64位的网络前缀部分和分配得到的EI组成可路由的IPv6地址。表4中提到的两种EI管理方式是基于EI的IPv6地址的两种实现方式, 也是本实施例的两种实施场景,其中互联网基础资源分配机构可以是互联网数字分配机构 (Internet Assigned Numbers Authority,简称 I ANA)等。表 权利要求
1.一种实体标识符分配系统,其特征在于,包括树状连接的实体标识符EI分配根节点、中间级EI分配节点和叶子EI分配节点;所述EI分配根节点,用于对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;所述中间级EI分配节点,用于向上一级EI分配节点请求分配EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;所述叶子EI分配节点,用于向上一级EI分配节点请求EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI的网络接入实体进行身份验证,验证通过后向所述网络接入实体分配EI以使所述网络接入实体根据所述EI生成IP地址,生成所述网络接入实体的授权信息。
2.根据权利要求1所述的系统,其特征在于,还包括EI信息根服务器、中间级EI信息服务器和叶子EI信息服务器;所述EI信息根服务器,与所述EI分配根节点对应,用于存储所述EI分配根节点的EI 资源分配对象的授权信息,所述EI分配根节点的EI资源分配对象的授权信息包括EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和所述EI分配根节点的标识;所述中间级EI信息服务器,与所述中间级EI分配节点一一对应,用于存储对应的中间级EI分配节点的EI资源分配对象的授权信息,所述中间级EI分配节点的EI资源分配对象的授权信息包括所述EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和所述中间级EI分配节点的标识;所述叶子EI信息服务器,与所述叶子EI分配节点一一对应,用于存储对应的叶子EI 分配节点的EI分配对象的授权信息,所述叶子EI分配节点的EI分配对象的授权信息包括所述EI分配对象分配得到的EI,所述EI分配对象的身份信息、公钥,所述叶子EI分配节点的标识;所述EI分配根节点具体用于,验证通过后向所述下一级EI分配节点发送所述下一级 EI分配节点的授权信息和私钥,并将所述下一级EI分配节点的授权信息发送给所述EI信息根服务器;所述中间级EI分配节点具体用于,接收上一级EI分配节点发送的所述中间级EI分配节点的授权信息和私钥,并在验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的私钥,并将所述下一级EI分配节点的授权信息发送给对应的中间级EI信息服务器;所述叶子EI分配节点具体用于,接收上一级EI分配节点发送的所述叶子EI分配节点的授权信息和私钥,并在验证通过后向所述网络接入实体发送所述网络接入实体的私钥, 并将所述网络接入实体的授权信息发送给对应的叶子EI信息服务器。
3.根据权利要求2所述的系统,其特征在于,所述叶子EI分配节点的EI分配对象的授权信息还包括所述EI的有效期。
4.一种基于权利要求1 3任一所述的实体标识符分配系统的溯源方法,其特征在于, 包括基于待溯源的EI,溯源设备向EI分配根节点查询所述EI分配对象的授权信息; 所述EI分配根节点向所述溯源设备返回下一级EI分配节点的授权信息,所述下一级 EI分配节点从所述EI分配根节点分配得到的EI资源包含所述EI ;所述溯源设备向所述下一级EI分配节点查询分配所述EI分配对象的授权信息,直至接收到叶子EI分配节点的授权信息,所述叶子EI分配节点分配得到的EI资源包含所述 EI ;所述溯源设备向所述叶子EI分配节点查询所述EI分配对象的授权信息; 所述叶子EI分配节点确定分配得到所述EI的EI分配对象的授权信息,并将所述EI 分配对象的授权信息发送给所述溯源设备。
5.根据权利要求4所述的方法,其特征在于,所述溯源设备向EI分配根节点查询所述 EI分配对象的授权信息具体包括溯源设备向EI分配根节点对应的EI信息根服务器查询所述EI分配对象的授权信息; 所述EI分配根节点向所述溯源设备返回下一级EI分配节点的授权信息具体包括 所述EI信息根服务器向所述溯源设备返回下一级EI分配节点的授权信息; 所述溯源设备向所述下一级EI分配节点查询分配所述EI分配对象的授权信息具体包括所述溯源设备向所述下一级EI分配节点对应的下一级EI信息服务器查询分配所述EI 分配对象的授权信息;所述溯源设备向所述叶子EI分配节点查询所述EI分配对象的授权信息具体包括 所述溯源设备向所述叶子EI分配节点对应的叶子EI信息服务器查询所述EI分配对象的授权信息;所述叶子EI分配节点确定分配得到所述EI的EI分配对象的授权信息,并将所述EI 分配对象的授权信息发送给所述溯源设备具体包括所述叶子EI信息服务器确定所述EI分配对象的授权信息,并将所述EI分配对象的授权信息发送给所述溯源设备。
6.一种基于权利要求1 3任一所述的实体标识符分配系统的接入认证方法,其特征在于,包括接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的实体标识符EI ;从所述EI分配系统获取所述EI分配对象的授权信息; 根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。
7.根据权利要求6所述的方法,其特征在于,所述从所述EI分配系统获取所述EI分配对象的授权信息具体包括从所述网络接入实体获取所述网络接入实体的授权信息;解析所述网络接入实体的授权信息,确定分配所述EI的叶子EI分配节点;从所述叶子EI分配节点对应的叶子EI信息服务器获取用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息。
8.根据权利要求6所述的方法,其特征在于,所述从所述EI分配系统获取所述EI分配对象的授权信息具体包括向EI信息根服务器查询所述EI分配对象的授权信息;接收所述EI信息根服务器返回的所述EI分配根节点的下一级EI分配节点的授权信息,所述下一级EI分配节点的可分配EI资源包含所述EI ;向所述下一级EI分配节点对应的下一级EI信息服务器查询所述EI分配对象的授权信息,直至接收到所述叶子EI分配节点的上一级EI分配节点对应的上一级EI信息服务器返回的所述叶子EI分配节点的授权信息;从所述叶子EI分配节点对应的叶子EI信息服务器获取用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息。
9.根据权利要求7或8所述的方法,所述根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证之前还包括若所述叶子EI分配节点在信任列表中,则从所述信任列表获取所述叶子EI分配节点的公钥,所述信任列表包含至少一个信任的EI分配节点以及对应的公钥,所述EI分配节点为EI分配根节点、中间级EI分配节点或叶子EI分配节点。
10.根据权利要求7或8所述的方法,其特征在于,所述根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证之前还包括若所述叶子EI分配节点不在所述信任列表中,则确定所述叶子EI分配节点的上一级 EI分配节点;若所述上一级EI分配节点在所述信任列表中,则从所述信任列表获取所述上一级EI 分配节点的公钥,并从所述上一级EI分配节点对应的上一级EI信息服务器获取用所述上一级EI分配节点的私钥签名过所述叶子EI分配节点的授权信息;根据所述上一级EI分配节点的公钥对用所述上一级EI分配节点的私钥签名过的所述叶子EI分配节点的授权信息进行签名验证;验证通过后,解析所述叶子EI分配节点的授权信息,确定所述叶子EI分配节点的公钥。
11.根据权利要求10所述的方法,其特征在于,所述验证通过后还包括 将所述叶子EI分配节点加入到所述信任列表中。
12.根据权利要求9 11任一所述的方法,其特征在于,所述接入认证请求还包含所述网络接入实体的私钥对所述接入认证请求的签名,所述根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证具体包括根据所述叶子EI分配节点的公钥对用所述叶子EI分配节点的私钥签名过的所述EI 分配对象的授权信息进行签名验证;验证通过后,解析所述EI分配对象的授权信息,确定所述EI分配对象的公钥; 根据所述EI分配对象的公钥对所述接入认证请求进行签名验证。
13.根据权利要求12所述的方法,其特征在于,所述EI分配对象的授权信息还包括所述EI的有效期,还包括对所述接入认证请求的签名验证通过后,根据所述EI的有效期对所述接入认证请求进行有效期验证。
14.根据权利要求10所述的方法,其特征在于,还包括若所述上一级EI分配节点不在所述信任列表中,确定所述上一级EI分配节点是否为 EI分配根节点,若为EI分配根节点且所述EI分配根节点不在所述信任列表中,则验证不通过,结束。
15.一种接入认证服务器,其特征在于,与如权利要求1 3任一所述的实体标识符EI 分配系统交互,包括接收模块,用于接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的实体标识符EI ;获取模块,用于从所述EI分配系统获取所述EI分配对象的授权信息;认证模块,用于根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。
全文摘要
本发明实施例提供一种实体标识符分配系统、溯源、认证方法及服务器。本发明实施例采用树形的实体标识符EI分配系统,除EI分配根节点之外的各EI分配节点/网络接入实体都需进行身份验证后才能从上一级分配节点分配得到EI资源/EI,生成了各EI分配节点/网络接入实体的授权信息,可以在使用分配得到的EI构造IP地址的网络接入实体请求接入网络时根据EI分配系统中的该EI的授权信息对网络接入实体进行身份验证,使得在网络接入实体获得相对固定标识的基础上,同时满足可溯源和使用者身份可验证的需求。
文档编号H04L29/06GK102255983SQ201110210819
公开日2011年11月23日 申请日期2011年7月26日 优先权日2011年7月26日
发明者沈烁, 王伟, 王利明, 田野, 马迪 申请人:中国科学院计算机网络信息中心