专利名称:一种主机标识标签的安全保障方法及安全管理服务器的制作方法
技术领域:
本发明涉及计算机和通信领域,尤其涉及一种主机标识标签的安全保障方法及安 全管理服务器。
背景技术:
当前的互联网协议栈中,IPdnternet Protocol,互联网协议)地址有着双重 的语义,IP地址既被用来标识通信节点的网络拓扑位置,又充当着通信节点的身份标识。 IP地址的双重语义客观上造成了传输层和网络层的紧密耦合。当移动、动态IP重分配 或多归宿主等原因导致IP地址发生变化时,正在通信的连接就会因此中断。为了解决这 一问题,实现通信节点的身份标识和网络拓扑位置的分离,互联网工程任务组(Internet Engineering Task Force, IETF) ^ HIP (Host Identity Protocol,丰示iR十办il)工# 小组推出了一个综合性的解决方案。此方案在网络层和传输层之间,引入了新的主机标 识协议层和新的命名空间。由此,使得传输层和网络层分离。传输层使用主机标识(Host Identity, HI),由主机标识协议HIP完成主机标识向IP地址的转化。主机标识协议HIP所使用的通信节点的身份标识为主机标识(Host Identi-ty, HI),HI实质上是一对公、私钥对中的公钥(Public key)。由于HI的长度因公钥系统算法 的不同而千差万别,所以在实际协议中通常使用固定长度的主机标识标签(Host Identity Tag, HIT)来标识通信节点的身份。HIT为128位二进制数,由HI经过哈希算法(Hash算 法)生成。由于HIT由HI生成,当更新HI的时候,对应的HIT也会发生变化。因此,HI是 HIP的安全基础,当一个HI的安全性无法得到保障时(比如被攻击者破解,或者安全等级低 于某个门限值),就不能被继续使用。HI作为密钥投入使用之后,其安全性会随着时间流逝 而逐渐下降,从而导致HIT的安全性下降。而当前的HIP相关协议中并未考虑到HIT的安 全保障问题。
发明内容
为了保障HIP协议的HIT在通信中的安全使用,本发明实施例提供一种主机标识 标签的安全保障方法,包括在安全管理服务器中记录主机标识标签的有效期和/或主机标识标签的安全状 态,当需要通信时,向所述安全管理服务器查询需要通信的对端主机的主机标识标签的有 效期和/或所述需要通信的对端主机的主机标识标签的安全状态,根据需要通信的对端主 机的主机标识标签的有效期和/或所述需要通信的对端主机的主机标识标签的安全状态 确认是否与所述对端主机进行通信。本发明实施例还提供一种安全管理服务器,包括记录单元,用于记录主机标识标签的有效期和/或主机标识标签的安全状态;查询单元,用于提供需要通信的对 主机的主机标识标签的有效期和/或所述需 要通信的对端主机的主机标识标签的安全状态查询。
与现有技术相比,本发明实施例提供的主机标识标签的安全保障方法及安全管理 服务器通过记录HIT的有效期/或HIT的安全状态,并为主机通信提供HIT的有效期、HIT 的安全状态查询,避免HIT的安全性下降或被废弃后仍然被使用,为HIP协议的HIT在通信 中的安全使用提供了保障。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1是本发明实施例一提供的一种主机标识标签的安全保障方法的原理示意图;图2是本发明实施例二涉及的扩展入DNS RR的资源记录类型图;图3是本发明实施例二提供的一种主机标识标签的安全保障方法的原理示意图;图4是本发明实施例三提供的一种主机标识标签的安全保障方法的原理示意图;图5是本发明实施例四提供的一种安全管理服务器的原理示意图;图6是本发明实施例四提供的一种主机标识标签的安全保障方法的原理示意图。图7是本发明实施例一提供的一种安全管理服务器的结构图。图8是本发明实施例二提供的一种安全管理服务器的结构图。图9是本发明实施例三提供的一种安全管理服务器的结构图。图10是本发明实施例四提供的一种安全管理服务器的结构图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。实施例一如图1所示,本实施例提供一种主机标识标签的安全保障方法,包括步骤101 在安全管理服务器中记录HIT的有效期。步骤102 在安全管理服务器中记录HIT的安全状态。步骤103 向安全管理服务器查询需要通信的对端主机的HIT的有效期和/或所 述需要通信的对端主机的HIT的安全状态,并确认是否与所述需要通信的对端主机进行通信当。在步骤103中,当需要通信时,向所述安全管理服务器查询需要通信的对端主机 的HIT的有效期和/或所述需要通信的对端主机的HIT的安全状态,根据需要通信的对端 主机的HIT的有效期和/或所述需要通信的对端主机的HIT的安全状态确认是否与所述对 端主机进行通信。相应地,本实施例还提供一种安全管理服务器,如图7所示,所述安全管理服务器 包括
记录单元701,用于记录HIT的有效期和/或HIT的安全状态;查询单元702,用于提供需要通信的对端主机的HIT的有效期和/或所述需要通信 的对端主机的HIT的安全状态查询。优选地,所述安全管理服务器还可以包括通信确认单元703,用于根据需要通信的 对端主机的HIT的有效期和/或所述需要通信的对端主机的HIT的安全状态确认是否与所 述对端主机进行通信。实施例二 本实施例提供一种主机标识标签的安全保障方法,通过在DNS (Domain Name Server,域名服务器)服务器上扩展DNS资源记录(DNS Resource Record, DNSRR)来记录 HIT的有效期和/或HIT的安全状态,并提供所述HIT的有效期和/或HIT的安全状态的查 询机制。优选地,可在所述DNS RR中对HIP资源记录(HIPResource Record,HIP RR)进行 扩展或者重新定义。如图2中201所示,HIP RR原有类型包括HIT长度、公钥(HI)算法、 公钥(HI)长度、HIT、公钥(HI)和汇聚点服务器等资源记录类型。优选地,可在所述HIP RR 中原有资源记录类型的基础上,增加HIT的有效期和/或HIT的安全状态,将所述资源记录 类型加入所述DNS RR中。扩展后的资源记录类型如图2中202所示,包括HIT长度、公钥 (HI)算法、公钥(HI)长度、HIT、公钥(HI)、汇聚点服务器HIT的有效期和/或HIT的安全 状态。如图3所示,所述主机标识标签的安全保障方法包括步骤301 扩展DNS RR,在DNS服务器中记录HIT的有效期。在步骤301中,如所述公钥(HI)本身拥有有效期,则所述HIT的有效期应不超过 所述公钥(HI)的有效期;由于主机可能故意推迟注册和延长HIT的有效期,因此,可以根据 所述公钥(HI)的长度,在DNS服务器中规定一个默认的有效期,规定主机提供的HIT的有 效期不能长于所述默认的有效期,并规定主机更新的HIT的有效期的开始时间不能晚于该 主机的前一个HIT的有效期的截止时间。步骤302 扩展DNS RR,在DNS服务器中记录HIT的安全状态。在步骤302中,HIT的安全状态可以包括good(良好)、unknown (未知)、 revoke (废弃)。优选地,可以按如下策略定义HIT的安全状态将所述HIT经过注册验证后 的一时间段内的HIT的安全状态定义为good,所述时间段根据安全策略的严格程度确定; 将所述时间段之后至所述HIT有效期截止时间之间的HIT安全状态定义为unknown ;将超 过所述HIT有效期截止时间的HIT的安全状态定义为revoke。以1024位的公钥的有效期 为例,其有效期一般为2年,则可将注册验证后的1. 5年这一时间段内的HIT的安全状态定 义为good ;将注册验证后的1. 5年至有第2年之间的HIT安全状态定义为unknown ;将超过 注册验证后第2年的HIT的安全状态定义为revoke。步骤303 向DNS服务器查询需要通信的对端主机的HIT的有效期和/或HIT的 安全状态,并确认是否与所述需要通信的对端主机进行通信。在步骤303中,当需要通信时,用户会接收到HIT报文头,可以通过所述HIT报文 头中的domain ID(域ID)的信息向DNS服务器查询需要通信的对端主机的HIT的有效期 和/或需要通信的对端主机的HIT的安全状态,所述域名管理服务器反馈所述需要通信的 对端主机的HIT的有效期和/或需要通信的对端主机的HIT的安全状态信息。若所述用户通过查询获知所述HIT的有效期已截止,或者所述HIT的安全状态存在问题(比如,所述 HIT安全状态为revoke或者unknown,具体可以根据安全策略设定),则所述用户可选择拒 绝与所述对端主机进行通信。图3所示的方法中,所述步骤301、302无先后执行顺序。本实施例中步骤301和 步骤302可以任选其一,可不同时采用。相应地,本实施例还提供一种安全管理服务器,所述安全管理服务器包括DNS服 务器,如图8所示,所述DNS服务器包括记录单元801,用于记录HIT的有效期和/或HIT的安全状态;查询单元802,用于提供需要通信的对端主机的HIT的有效期和/或所述需要通信 的对端主机的HIT的安全状态查询。所述记录单元801包括所述DNS服务器的DNS RR。本实施例提供的主机标识标签的安全保障方法及安全管理服务器通过在DNS服 务器的DNS RR中记录HIT的有效期和/或HIT的安全状态,为用户提供HIT的有效期和/ 或HIT的安全状态的查询,提高了 HIT的安全性。实施例三本实施例提供的主机标识标签的安全保障方法基于一种分级路由架构 (Hierarchical Routing Architecture,HRA)。所述HRA中的管理域有负责对主机标 识HI进行注册的服务器ID-Server,所述ID-Server负责主机标识的注册和维护,所述 ID-Server可用于管理维护HIT的有效期和/或HIT的安全状态,并提供HIT的有效期和/ 或HIT的安全状态的查询服务。如图4所示,本实施例提供的主机标识标签的安全保障方法包括步骤401 在所述I D-Server中记录HIT的有效期。在步骤401中,如所述公钥(HI)本身拥有有效期,所述HIT的有效期应不超过所 述公钥(HI)的有效期;由于主机可能故意推迟注册和延长HIT的有效期,因此,可以根据所 述公钥(HI)的长度,在所述ID-Server中规定一个默认的有效期,规定主机提供的HIT的 有效期不能长于所述默认的有效期,并规定主机更新的HIT的有效期的开始时间不能晚于 该主机前一个HIT的有效期截止时间。步骤402 在所述ID-Server中记录HIT的安全状态。在步骤402中,HIT的安全状态可以包括good(良好)、unknown (未知)、 revoke (废弃)。优选地,可以按如下策略定义HIT的安全状态将所述HIT经过注册验证后 的一时间段内的HIT的安全状态定义为good,所述时间段根据安全策略的严格程度确定; 将所述时间段之后至所述HIT有效期截止时间之间的HIT安全状态定义为unknown ;将超 过所述HIT有效期截止时间的HIT的安全状态定义为revoke。以1024位的公钥的有效期 为例,其有效期一般为2年,则可将注册验证后的1. 5年这一时间段内的HIT的安全状态定 义为good ;将注册验证后的1. 5年至有第2年之间的HIT安全状态定义为unknown ;将超过 注册验证后第2年的HIT的安全状态定义为revoke。步骤403 用户向所述ID-Server查询需要通信的对端主机的HIT的有效期和/或 HIT的安全状态,并确认是否与所述需要通信的对端主机进行通信。在步骤403中,当需要通信时,用户向所述ID-Server发送携带有需要通信的对端主机的的HIT的请求报文,所述在ID-Server接收到所述请求报文后,回复所述需要通信的 对端主机的HIT的有效期和/或需要通信的对端主机的HIT的安全状态信息。若所述用户 通过查询获知所述HIT的有效期已截止,或者所述HIT的安全状态存在问题(比如,安全状 态为revoke或者unknown,具体可以根据安全策略设定),则所述用户可选择拒绝与发送所 述HIT报文头的主机进行通信。如图4所示,所述步骤401、402无先后执行顺序。本实施例中步骤401和步骤402 可以任选其一,可不同时采用。相应地,本实施例还提供一种安全管理服务器,所述安全管理服务器包括分级路 由架构HRA的管理域中负责对主机标识HI进行注册的服务器,如图9所示,所述服务器包 括记录单元901,用于记录HIT的有效期和/或HIT的安全状态;查询单元902,用于提供需要通信的对端主机的HIT的有效期和/或所述需要通信 的对端主机的HIT的安全状态查询;本实施例提供的主机标识标签的安全保障方法及安全管理服务器通过在分级路 由架构HRA的管理域中负责对主机标识HI进行注册的服务器中记录HIT的有效期和HIT的 安全状态,为用户提供HIT的有效期和/或HIT的安全状态的查询,提高了 HIT的安全性。实施例四本实施例提供的主机标识标签的安全保障方法涉及汇聚点服务器(Rendezvous Server, RVS),所述RVS的功能是维护HIT与相对应的IP地址的映射。当需要通信时,用户 在不知道需要通信的对端主机的IP地址时,可以将初始报文发送给所述RVS ;所述RVS根 据所述初始报文中所携带的所述需要通信的对端主机的HIT,找到对应的IP地址,然后根 据所述IP地址,将所述初始报文转发给所述需要通信的对端主机;所述需要通信的对端主 机接受到转发的报文后,可以直接与用户进行通信,具体过程如图5所示。鉴于所述RVS在 HIP协议中所承担的维护HIT与相对应的IP地址的映射功能,所述RVS可作为安全管理服 务器用于管理维护HIT的有效期和HIT的安全状态信息;且由于所述RVS中包括RVS存储 记录,可扩展所述存储记录,用于记录HIT的有效期和/或HIT的安全状态信息,并提供HIT 的有效期和/或HIT的安全状态信息的查询。如图6所示,本实施例提供的主机标识标签的安全保障方法包括步骤601 扩展RVS存储记录,在所述RVS存储记录中记录HIT的有效期。在步骤601中,如所述公钥(HI)本身拥有有效期,所述HIT的有效期应不超过所 述公钥(HI)的有效期;由于主机可能故意推迟注册和延长HIT的有效期的问题,因此,所述 可以根据所述公钥(HI)的长度在RVS中规定一个默认的有效期,规定主机提供的HIT的有 效期不能长于所述默认的有效期,并规定主机更新的HIT的有效期的开始时间不能晚于该 主机前一个HIT的有效期截止时间。步骤602 扩展RVS存储记录,在所述RVS存储记录中记录HIT的安全状态。在步骤602中,HIT的安全状态可以包括good(良好)、unknown (未知)、 revoke (废弃)。优选地,可以按如下策略定义HIT的安全状态将所述HIT经过注册验证后 的一时间段内的HIT的安全状态定义为good,所述时间段根据安全策略的严格程度确定; 将所述时间段之后至所述HIT有效期截止时间之间的HIT安全状态定义为unknown ;将超过所述HIT有效期截止时间的HIT的安全状态定义为revoke。以1024位的公钥的有效期 为例,其有效期一般为2年,则可将注册验证后的1. 5年这一时间段内的HIT的安全状态定 义为good ;将注册验证后的1. 5年至有第2年之间的HIT安全状态定义为unknown ;将超过 注册验证后第2年的HIT的安全状态定义为revoke。步骤603 用户向所述RVS查询需要通信的对端主机的HIT的有效期和/或HIT的 安全状态,并确认是否与所述需要通信的对端主机进行通信。在步骤603中,当需要通信时,用户向所述RVS发送携带有需要通信的对端主机 的HIT的请求报文,所述RVS可以对所述请求报文中携带的HIT进行检验,只有当所述HIT 的有效期未截止,或者所述HIT的安全状态符合特定条件时(所述特定条件可根据安全策 略确定,比如,当需要通信的对端主机的HIT的安全状态是good,用户的HIT的安全状态是 good或unknown时,可认为所述需要通信的对端主机的HIT的安全状态和所述用户的HIT 的安全状态符合所述特定条件)才提供报文转发服务;若所述HIT的有效期截止,或者HIT 的安全状态不符合特定条件,则直接发送报错信息。如图6所示,所述步骤601、602无先后执行顺序。必须指出的是,本实施例中步骤 601和步骤602可以任选其一,不必同时采用。相应地,本实施例还提供一种安全管理服务器,所述安全管理服务器包括汇聚点 服务器(Rendezvous Server, RVS),所述RVS的功能是维护HIT与相对应的IP地址的映射。 如图10所示,所述RVS包括记录单元1001,用于记录HIT的有效期和/或HIT的安全状态;查询单元1002,用于提供需要通信的对端主机的HIT的有效期和/或所述需要通 信的对端主机的HIT的安全状态查询。通信确认单元1003,用于根据需要通信的对端主机的HIT的有效期和/或所述需 要通信的对端主机的HIT的安全状态确认是否与所述对端主机进行通信。本实施例提供的主机标识标签的安全保障方法及安全管理服务器通过在汇聚点 服务器中记录HIT的有效期和/或HIT的安全状态,为用户提供HIT的有效期和HIT的安 全状态的查询,提高了 HIT的安全性。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应 涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
9
权利要求
一种主机标识标签的安全保障方法,其特征在于,包括在安全管理服务器中记录主机标识标签的有效期和/或主机标识标签的安全状态,当需要通信时,向所述安全管理服务器查询需要通信的对端主机的主机标识标签的有效期和/或所述需要通信的对端主机的主机标识标签的安全状态,根据需要通信的对端主机的主机标识标签的有效期和/或所述需要通信的对端主机的主机标识标签的安全状态确认是否与所述对端主机进行通信。
2.根据权利要求1所述的方法,其特征在于所述安全管理服务器为域名管理服务器。
3.根据权利要求2所述的方法,其特征在于所述域名管理服务器包括域名管理服务 器资源记录;在所述域名管理服务器资源记录中记录主机标识标签的有效期和/或主机标 识标签的安全状态,当需要通信时,向所述域名管理服务器查询所述需要通信的对端主机 的主机标识标签的有效期和/或所述需要通信的对端主机的主机标识标签的安全状态。
4.根据权利要求3所述的方法,其特征在于,所述向所述安全管理服务器查询所述需 要通信的对端主机的主机标识标签的有效期和/或所述需要通信的对端主机的主机标识 标签的安全状态,包括当用户接收到主机标识标签报文头时,通过所述主机标识标签报文头中的域标志的信 息向所述域名管理服务器查询所述域标志对应的主机标识标签的有效期和/或所述域标 志对应的主机标识标签的安全状态,所述域名管理服务器反馈所述需要通信的对端主机的 主机标识标签的有效期和/或需要通信的对端主机的主机标识标签的安全状态信息。
5.根据权利要求1所述的方法,其特征在于所述安全管理服务器为分级路由架构的 管理域中负责对主机标识进行注册的服务器。
6.根据权利要求5所述的方法,其特征在于,所述向所述安全管理服务器查询所述需 要通信的对端主机的主机标识标签的有效期和/或所述需要通信的对端主机的主机标识 标签的安全状态,包括用户向所述负责对主机标识进行注册的服务器发送携带有所要查 询的需要通信的对端主机的主机标识标签的请求报文,所述负责对主机标识进行注册的服 务器接收到所述请求报文后,回复所述需要通信的对端主机的主机标识标签的有效期和/ 或需要通信的对端主机的主机标识标签的安全状态信息。
7.根据权利要求1所述的方法,其特征在于所述安全管理服务器为汇聚点服务器。
8.根据权利要求7所述的方法,其特征在于,所述向所述安全管理服务器查询需要通 信的对端主机的主机标识标签的有效期和/或所述需要通信的对端主机的主机标识标签 的安全状态,根据需要通信的对端主机的主机标识标签的有效期和/或所述需要通信的对 端主机的主机标识标签的安全状态确认是否与所述对端主机进行通信,包括用户向所述 汇聚点服务器发送携带有需要通信的对端主机的主机标识标签的请求报文,所述汇聚点服 务器对所述请求报文中携带的主机标识标签进行检验,若所述需要通信的对端主机的主机 标识标签的有效期未截止,且/或需要通信的对端主机的主机标识标签的安全状态符合特 定条件,则提供报文转发服务;若所述需要通信的对端主机的主机标识标签的有效期截止, 且/或者需要通信的对端主机的主机标识标签的安全状态不符合特定条件,则直接发送报 错信息;所述特定条件根据安全策略确定。
9.一种安全管理服务器,其特征在于,包括记录单元,用于记录主机标识标签的有效期和/或主机标识标签的安全状态;查询单元,用于提供需要通信的对端主机的主机标识标签的有效期和/或所述需要通 信的对端主机的主机标识标签的安全状态查询。
10.根据权利要求9所述的安全管理服务器,其特征在于,还包括通信确认单元,用于 根据需要通信的对端主机的主机标识标签的有效期和/或所述需要通信的对端主机的主 机标识标签的安全状态确认是否与所述对端主机进行通信。
11.根据权利要求9所述的安全管理服务器,其特征在于所述安全管理服务器为域名 管理服务器。
12.根据权利要求9所述的安全管理服务器,其特征在于所述安全管理服务器为分级 路由架构的管理域中负责对主机标识进行注册的服务器。
13.根据权利要求9或10所述的安全管理服务器,其特征在于所述安全管理服务器 为汇聚点服务器。
全文摘要
本发明实施例提供一种主机标识标签的安全保障方法,在安全管理服务器中记录HIT的有效期和/或HIT的安全状态,当需要通信时,向所述安全管理服务器查询需要通信的对端主机的HIT的有效期和/或所述需要通信的对端主机的HIT的安全状态,根据所述主机的HIT的有效期和/或所述主机的HIT的安全状态确认是否与所述主机进行通信。本发明还提供一种安全管理服务器,包括记录单元,用于记录HIT的有效期和/或HIT的安全状态;查询单元,用于提供需要通信的对端主机的HIT的有效期和/或所述HIT的安全状态查询。通过本发明所提供的方案,可避免HIT的安全性下降后仍然被使用,为主机标识协议的HIT提供安全保障。
文档编号H04L29/06GK101964778SQ20091010913
公开日2011年2月2日 申请日期2009年7月24日 优先权日2009年7月24日
发明者张大成, 沈烁 申请人:华为技术有限公司