专利名称:标识分配和分离存储方法、标识替换传输方法及系统的制作方法
技术领域:
本发明涉及网络安全领域,特别涉及一种标识分配和分离存储方法、标识替换传
输方法及系统。
背景技术:
随着移动通信技术的飞速发展,很多无线网络被标准化和商业化,诸如3G、 WLAN、
WiMAX等。但是这些网络基本上是一种网络支撑一种主要服务的模式,他们有不同的覆盖范
围和带宽,并且有各自的网络架构和接入认证技术, 一时还难以相互取代。因此在普遍使用
和高质量的服务需求下,异构网络之间的融合显得颇为重要。在现有的无线通信设施基础
上,可以利用通用的智能终端接入各种网络平台,来满足不同的应用业务需求。 在目前异构无线网络的接入认证和通信过程中,终端标识冗余问题比较严重对
于将终端的身份标识和地址标识合一的情况而言,比如IP地址同时标识终端的身份和地
址,会造成标识功能上的冗余。为了解决标识功能上的冗余,可以采用将终端的身份标识和
地址标识功能分离,比如IP地址只作为终端的地址标识,终端的身份用IMSI、终端名等标
识,但在现网中通常是将终端的身份标识和地址标识、真实身份标识和临时身份标识在网
络中绑定使用、存储和传输,这种标识的绑定不仅存在标识数量上的冗余,造成资源浪费,
而且会在网络中泄漏终端敏感信息,带来一系列安全问题。另一方面,目前不同的异构无线
网络间往往采用不同的接入认证技术,终端必须要维护多套不同格式的认证标识,从而在
接入异构网络时才能提供相应的认证信息,实现异构网络间的垂直切换,这不仅带来标识
形式上的冗余,也会导致终端在移动漫游时的切换延时加大,大大影响无缝漫游的效果。 因此异构无线网络迫切需要一种针对异构无线网络接入认证的特点的无冗余的
终端标识的分配、存储和传输机制,从体系架构和标识使用机制上提高异构无线网络的安
全防护能力。
发明内容
本发明提供的标识分配和分离存储方法、标识替换传输方法及系统,以实现针对 异构无线网络接入认证的特点的无冗余的终端标识的分配、存储和传输,从而提高异构无 线网络的安全防护能力。 本发明提供一种标识分配和分离存储方法,将异构无线网络按服务功能分为用户 域、接入域、服务域和归属域;其中,服务域包括至少一个接入域,接入域包括至少一个用户 域,且在本地服务时,所述归属域与所述服务域为同一网络,所述方法包括
在终端认证成功后,归属域为该终端分配归属域标识HID (HomeIdentity),并发送 包括HID的认证成功消息至服务域; 服务域为该终端分配服务域标识SID (Service Identity),存储从所述认证成功 消息中获取的HID与SID映射关系,并发送包括HID和SID的认证成功消息至接入域;
接入域为该终端分配接入域标识AID (Access Identity),存储从所述认证成功消息中获取的SID与AID映射关系,并发送包括HID和AID的认证成功消息至用户域;
用户域从所述认证成功消息中获取HID和AID,存储HID、 AID与终端真实身份标 识RID(Real Identity)映射关系,所述RID为终端签约该归属域时归属域分配的。
优选的,所述终端认证成功后还包括归属域与终端协商会话密钥;则
用户域存储HID之前还包括利用所述会话密钥解密从所述认证成功消息中获取 的HID。 优选的,所述终端向归属域发送认证请求中还包括初始HID,所述初始HID为终端 签约所述归属域时归属域分配给该终端的;则终端向归属域发送请求具体为
终端将所述请求经接入域发送至服务域; 所述服务域解析所述初始HID获取所述归属域的地址信息,并根据所述地址信息 将所述请求发送至所述归属域。 优选的,所述终端向归属域发送认证请求中还包括终端的真实身份标识RID ;
利用归属域的公钥加密所述RID ;所述归属域的公钥为终端签约所述归属域时归 属域分发给该终端的。 优选的,当HID生命期满时,所述方法还包括 归属域生成新HID,向服务域发送包括新HID的HID更新消息; 服务域从所述HID更新消息中获取新HID,并转发所述HID更新消息至用户域; 用户域从所述HID更新消息中获取新HID,将更新当前HID为新HID,并向服务域
发送更新成功消息; 服务域更新HID与SID的映射关系,并向归属域转发所述更新成功消息; 归属域更新HID与RID的映射关系。 优选的,当SID生命期满时,所述方法还包括 服务域生成新SID,向接入域发送包括新SID的SID更新消息; 接入域从所述SID更新消息中获取新SID,更新SID与AID的映射关系,并向服务
域发送更新成功消息; 服务域更新SID与HID的映射关系。 优选的,当AID生命期满时,所述方法还包括 接入域生成新AID,向用户域发送包括新AID的AID更新消息; 用户域从所述AID更新消息中获取新AID,更新AID与RID的映射关系,并向接入
域发送更新成功消息; 接入域更新AID与SID的映射关系。 优选的,当接入域发生改变且服务域不变时,所述方法还包括
终端向新的接入域发起AID更新请求,所述更新请求中包括所述终端的旧AID ;
新的接入域向原接入域发送包括所述终端旧AID的服务域标识请求消息,原接入 域回复包括所述终端SID的应答消息; 新的接入域生成新AID,向用户域返回包括新AID的更新响应消息;
终端向原接入域发起AID删除请求; 原接入域删除其存储的AID与SID映射关系,向用户域返回删除成功消息;
用户域将AID与RID的映射关系中的AID更新为所述新AID,并向新的接入域发送更新成功消息; 新的接入域存储所述新AID与SID的映射关系。 优选的,当接入域和服务域都发生改变时,所述方法还包括 终端经新的接入域向新的服务域发送更新请求,所述更新请求中包括所述终端的
HID ; 新的服务域生成新SID,向新的接入域发送包括新SID的更新信息;
新的接入域生成新AID,向用户域发送包含新AID的更新信息;
终端经原接入域向原服务域发送删除请求; 原服务域删除其存储的HID与SID的映射关系,向原接入域返回删除成功消息;
原接入域删除其存储的SID与AID的映射关系,向用户域返回删除成功消息;
用户域将AID与RID的映射关系中的AID更新为所述新AID,向新的接入域发送更新成功消息; 新的接入域存储所述新AID与新SID的映射关系,向新的服务域发送更新成功消息; 新的服务域存储所述新SID与HID的映射关系。 本发明还提供了一种基于上述方法实现标识替换传输的方法,包括 当需要发送数据包时,向目的域发送包括目的域已知域标识的数据包; 当接收到数据包时,解析所述数据包中的域标识,验证其真实性;若还需继续转发
数据包,则在验证成功后,利用预存的域标识映射关系得到目标域已知域标识,将数据包中
的当前域标识替换为目标域已知域标识,转发出去。 本发明还提供了一种异构无线网络中终端标识分配和分离存储系统,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于生成本域标识和存储更新本域已知域标识间映射关系,其中
所述标识映射服务器,包括 第一发送单元,用于将认证成功消息发送给目的域的标识映射服务器,该请求消息中包括本域已分配的域标识; 第一接收单元,用于在接收到所述认证成功消息后,从中提取出携带的所述已分配的域标识; 标识生成单元,用于为所述终端生成一个唯一的本域标识;以及 标识存储单元,用于在没有保存所述认证成功消息中的域标识与本域新生成的域
标识间的映射关系时,将该映射关系保存,以及设定该映射关系的生命期。 优选的,所述标识映射服务器,还包括 第二发送单元,用于当生命期到达时,或当终端的接入域和/或服务域发生改变时,向相关域的标识映射服务器发送标识更新消息; 第二接收单元,用于接收相关域的标识映射服务器发送的标识更新消息。
优选的,所述标识映射服务器,还包括 标识更新单元,用于当生命期到达时对相应的标识映射关系进行更新,或在收到标识更新消息时对相应的映射关系进行更新。 本发明还提供了一种异构无线网络中终端标识替换传输系统,其特征在于,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于检索和替换本域已知的终端标识;该系统包含源终端和至少一个目的端,以及源终端所在域的标识映射服务器;
所述源终端包括 请求消息发送单元,用于将请求消息发送给本域标识映射服务器,所述请求消息中包括本域已知的域标识; 回复消息接收单元,用于接收本域标识映射服务器的回复消息,所述回复消息中包括目的端所在域的已知域标识;以及 数据包发送单元,用于向所述目的端发送数据包,所述数据包包括目的端所在域
的已知域标识; 所述目的端包括 数据包接收单元,用于当接收到数据包时,解析所述数据包中的域标识,验证其真实性; 所述源终端的标识映射服务器,用于在接收到所述源终端请求消息发送单元发送
的请求消息后,从预先保存的终端的域标识映射关系中查找出与本域已知的域标识相对应
的目的端所在域的已知域标识,并发送回复消息至所述回复消息接收单元。 本发明提供的标识分配和分离存储方法、标识替换传输方法及系统,有益效果
是 将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识RID、 AID、 SID、 HID,分别表示该终端的真实身份、接入域、服务域、归属域的身份标识,这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。另外,标识信息在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。在数据通信过程中,采用身份标识逐域替换的策略,实现对终端真实身份的隐藏,当数据从一个域传递到另一个域时,替换使用不同的标识,有效抑制了恶意主体的窃听行为和欺骗行为,同时,降低了恶意网络策略性攻击带来的风险。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种标识分配和分离存储的方法流程 图2为本发明实施例提供的另一种标识分配和分离存储的方法流程 图3为本发明实施例中HID生命期满时标识更新流程8
图4为本发明实施例中SID生命期满时标识更新流程图; 图5为本发明实施例中AID生命期满时标识更新流程图; 图6为本发明实施例中接入域发生改变且服务域不变时标识更新流程图; 图7为本发明实施例中接入域和服务域都发生改变时标识更新流程图; 图8为本发明实施例提供一种标识替换传输的方法流程图; 图9为终端向归属域发送数据的方法流程图; 图10为本发明实施例提供一种异构无线网络中终端标识分配和分离存储系统框图; 图11为本发明实施例提供一种异构无线网络中终端标识替换传输系统框图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方
式作进一步地详细描述。 实施例一 参见图l,本发明实施例提供了一种标识分配和分离存储的方法。
S101 :将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,其中,服
务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,所述归属域与所
述服务域为同一网络。
其中 用户域主要是智能终端(包括标识映射服务模块),能接入不同的接入网络,像3G、 WLAN、 WiMAX等。该域终端的终端标识RID是其真实身份标识。 接入域主要是接入网络的基站、无线接入点、接入服务器、标识映射服务器等实体。该域为每个终端分配一个接入域标识AID来唯一标识。 服务域主要是终端移动漫游时候的当地服务网络,为本域内的终端提供业务和服务,包括路由器、认证服务器、标识映射服务器等实体。该域为每个终端分配一个服务域标识SID来唯一标识。 归属域主要是跟终端签约的运营商服务网络,与服务域一样,也包括路由器、认证服务器、标识映射服务器等实体,只不过他们存储的信息不同。该域为每个终端分配一个归属域标识HID来唯一标识。 通常,将异构无线网络预先进行划分,而无需每次执行标识分配时都对异构无线网络进行重新划分。 S102 :在终端认证成功后,归属域为该终端分配归属域标识HID,并发送包括HID的认证成功消息至服务域。 S103 :服务域为该终端分配服务域标识SID,存储从所述认证成功消息中获取的HID与SID映射关系,并发送包括HID和SID的认证成功消息至接入域。
S104:接入域为该终端分配接入域标识AID,存储从所述认证成功消息中获取的SID与AID映射关系,并发送包括HID和AID的认证成功消息至用户域。
S105 :用户域从所述认证成功消息中获取HID和AID,存储AID与终端真实身份标识RID映射关系,所述RID为终端签约该归属域时归属域分配的。 可见,通过本发明提供的标识分配方法,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识RID、AID、SID、HID,分别表示该终端的真实身份、接入域、服务域、归属域的临时身份标识,这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。 实施例二 参见图2,本发明实施例提供了一种标识分配和分离存储的方法。 S201 :将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,其中,服
务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,所述归属域与所
述服务域为同一网络。 通常,将异构无线网络预先进行划分,而无需每次执行标识分配时都对异构无线网络进行重新划分。 S202 :终端发起认证请求,所述认证请求包括终端真实身份标识RID和初始HID。 所述初始HID为终端签约所述归属域时归属域分配给该终端的。 优选的,所述认证请求中包括的RID为利用归属域的公钥加密得到的;所述归属
域的公钥为终端与该归属域签约时归属域分发给该终端的。 S203 :所述认证请求经接入域发送至服务域。 S204 :服务域解析所述初始HID获取所述归属域的地址信息,并根据所述地址信息将所述认证请求发送至所述归属域。 S205 :归属域接收到终端发送的认证请求后,对终端进行认证,当认证成功后执行步骤S206,否则结束。 S206 :归属域为该终端分配归属域标识HID ;与终端进行会话密钥协商;用服务域的公钥加密HID,发送包括经加密的HID的认证成功消息至服务域。 S207 :服务域生成SID并分配给该终端;从认证成功消息中获取HID,用私钥解密HID,存储HID与SID映射关系;发送认证成功消息至接入域,其中认证成功消息包括SID和经会话密钥加密的HID。 S208 :接入域生成AID并分配给该终端;从认证成功消息中获取SID,存储AID与SID映射关系;发送认证成功消息至接入域,其中认证成功消息包括AID和经加密的HID。
S209 :用户域从所述认证成功消息中获取AID和经加密的HID,利用所述会话密钥解密HID,并存储HID、AID与终端真实身份标识RID映射关系,所述RID为终端签约该归属域时归属域分配给该终端的。优选的,将从所述认证成功消息中获取的HID替换初始HID。
本发明实施例中,各域为某终端分配的一套标识RID、 AID、 SID、 HID在各域的存
储状态如表1所示
表l
用户域RID、AID、HID
接入域AID、SID
服务域SID、HID
归属域HID、RID 可见,通过本发明提供的标识分配和分离存储方法,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识RID、 AID、 SID、 HID,分别表示该终端的真实身份标识、接入域、服务域、归属域的身份标识,
这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。另外,标识信息在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。
在实际应用中,RID属于永久标识;而AID、 SID和HID都属于临时身份标识,它们分别有自己的生命期限,且仅在各自被分发的域内有效,需要根据时间的推移和地域的变化进行更新,以保持其新鲜性。AID、SID和HID的更新主要有两种触发情况一是AID、SID和HID生命期满时需要对其进行更新;二是接入域和/或服务域改变时需要对相应的域标识进行更新。 进一步的,参见图3,当HID生命期满时,所述方法还包括 S301 :归属域生成新HID,向服务域发送包括新HID的HID更新消息; S302 :服务域从所述HID更新消息中获取新HID,并转发所述HID更新消息至用户
域; S303 :用户域从所述HID更新消息中获取新HID,更新当前HID为新HID,并向服务域发送更新成功消息; S304 :服务域更新HID与SID的映射关系,并向归属域转发所述更新成功消息; S305 :归属域更新HID与RID的映射关系。 进一步的,参见图4,当SID生命期满时,所述方法还包括 S401 :服务域生成新SID,向接入域发送包括新SID的SID更新消息; S402 :接入域从所述SID更新消息中获取新SID,更新SID与AID的映射关系,并
向服务域发送更新成功消息; S403 :服务域更新SID与HID的映射关系。
11
进一步的,参见图5,当AID生命期满时,所述方法还包括 S501 :接入域生成新AID,向用户域发送包括新AID的AID更新消息; S502 :用户域从所述AID更新消息中获取新AID,更新AID与RID的映射关系,并
向接入域发送更新成功消息; S503 :接入域更新AID与SID的映射关系。 进一步的,参见图6,当接入域发生改变且服务域不变时,所述方法还包括
S601 :终端向新的接入域发起AID更新请求,所述更新请求中包括所述终端的旧AID ; S602 :新的接入域向原接入域发送包括所述终端旧AID的服务域标识请求消息;
S603 :原接入域回复包括所述终端SID的应答消息; S604 :新的接入域生成新AID,向用户域返回包括新AID的更新响应消息;
S605 :终端向原接入域发起AID删除请求; S606 :原接入域删除其存储的AID与SID映射关系,向用户域返回删除成功消息;
S607 :用户域将AID与RID的映射关系中的AID更新为所述新AID,并向新的接入域发送更新成功消息; S608 :新的接入域存储所述新AID与SID的映射关系。 进一步的,参见图7,当接入域和服务域都发生改变时,所述方法还包括 S701 :终端经新的接入域向新的服务域发送更新请求,所述更新请求中包括所述
终端的HID ; S702 :新的服务域生成新SID,向新的接入域发送包括新SID的更新信息;
S703 :新的接入域生成新AID,向用户域发送包含新AID的更新信息;
S704 :终端经原接入域向原服务域发送删除请求; S705 :原服务域删除其存储的HID与SID的映射关系,向原接入域返回删除成功消息; S706 :原接入域删除其存储的SID与AID的映射关系,向用户域返回删除成功消息; S707 :用户域将AID与RID的映射关系中的AID更新为所述新AID,向新的接入域发送更新成功消息; S708 :新的接入域存储所述新AID与新SID的映射关系,向新的服务域发送更新成功消息; S709 :新的服务域存储所述新SID与HID的映射关系。
实施例三 参见图8,本发明实施例还提供了一种基于上述标识分配和分离存储方法实现标识替换传输的方法,包括 S801 :当需要发送数据包时,向目的域发送包括目的域已知域标识的数据包;
S802 :当接收到数据包时,解析所述数据包中的域标识,验证其真实性;若还需继续转发数据包,则在验证成功后,利用预存的域标识映射关系得到目标域已知域标识,将数据包中的当前域标识替换为目标域已知域标识,转发出去。 实际应用中,数据包可以是由终端向归属域发送,当然也可以是任意两个域之间发送,本发明实施例对此并不限制。 参见图9,以终端向归属域发送数据为例进行详细描述 S901 :在终端中存储有RID与AID的映射关系,数据包携带AID发送到接入域;
S902 :接入域中存储有AID与SID的映射关系,通过标识映射服务器的解析映射,将数据包中的AID替换成SID,将数据包发送到服务域; S903 :服务域中存储着SID和HID的映射关系,通过标识映射服务器的解析映射,将数据包中的SID替换成相应的归属域的HID,将数据包发送到归属域;
S904 :归属域中存在HID与RID的映射关系,通过标识映射服务器的解析映射,就可知道终端的真实身份标识RID。 可见,本发明提供的标识替换传输方法,在数据通信过程中,采用身份标识逐域替
换的策略,实现对终端真实身份的隐藏,当数据从一个域传递到另一个域时,替换使用不同
的标识,有效抑制了恶意主体的窃听行为和欺骗行为,同时,降低了恶意网络策略性攻击带
来的风险。 实施例四 参见图IO,本发明实施例提供一种异构无线网络中终端标识分配和分离存储系统,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于生成本域标识和存储更新本域已知域标识间映射关系,其中 所述标识映射服务器,包括 第一发送单元1001,用于将认证成功消息发送给目的域的标识映射服务器,该请求消息中包括本域已分配的域标识; 第一接收单元1002,用于在接收到所述认证成功消息后,从中提取出携带的所述已分配的域标识; 标识生成单元1003,用于为所述终端生成一个唯一的本域标识; 以及,标识存储单元1004,用于在没有保存所述认证成功消息中的域标识与本域
新生成的域标识间的映射关系时,将该映射关系保存,以及设定该映射关系的生命期。 进一步的,所述标识映射服务器还包括 第二发送单元,用于当生命期到达时,或当终端的接入域和/或服务域发生改变时,向相关域的标识映射服务器发送标识更新消息; 第二接收单元,用于接收相关域的标识映射服务器发送的标识更新消息。
进一步的,所述标识映射服务器还包括 标识更新单元,用于当生命期到达时对相应的标识映射关系进行更新,或在收到标识更新消息时对相应的映射关系进行更新。 可见,通过本发明提供的标识分配和分离存储方法,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识RID、 AID、 SID、 HID,分别表示该终端的真实身份标识、接入域、服务域、归属域的身份标识,
这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。另外,标识信息在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。
实施例五 参见图ll,本发明实施例提供了一种异构无线网络中终端标识替换传输系统,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于检索和替换本域已知的终端标识;该系统包含源终端100和至少一个目的端200,以及源终端所在域的标识映射服务器104 ;
所述源终端100包括 请求消息发送单元101,用于将请求消息发送给本域标识映射服务器,所述请求消息中包括本域已知的域标识; 回复消息接收单元102,用于接收本域标识映射服务器的回复消息,所述回复消息中包括目的端所在域的已知域标识;以及 数据包发送单元103,用于向所述目的端发送数据包,所述数据包包括目的端所在
域的已知域标识; 所述目的端200包括 数据包接收单元201,用于当接收到数据包时,解析所述数据包中的域标识,验证其真实性; 所述源终端的标识映射服务器104,用于在接收到所述源终端请求消息发送单元
发送的请求消息后,从预先保存的终端的域标识映射关系中查找出与本域已知的域标识相
对应的目的端所在域的已知域标识,并发送回复消息至所述回复消息接收单元。 需要说明的是,在本文中,术语"包括"、"包含"或者其任何其他变体意在涵盖非排
他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而
且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有
的要素。在没有更多限制的情况下,由语句"包括一个......"限定的要素,并不排除在包
括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。 本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括若干指令用以执行本发明各个实施例所述的方法。这里所述的存储介质,如ROM/RAM、磁碟、光盘等。 以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
权利要求
一种标识分配和分离存储方法,其特征在于,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域;其中,服务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,所述归属域与所述服务域为同一网络,所述方法包括在终端认证成功后,归属域为该终端分配归属域标识HID,并发送包括HID的认证成功消息至服务域;服务域为该终端分配服务域标识SID,存储从所述认证成功消息中获取的HID与SID映射关系,并发送包括HID和SID的认证成功消息至接入域;接入域为该终端分配接入域标识AID,存储从所述认证成功消息中获取的SID与AID映射关系,并发送包括HID和AID的认证成功消息至用户域;用户域从所述认证成功消息中获取HID和AID,存储HID、AID与终端真实身份标识RID映射关系,所述RID为终端签约该归属域时归属域分配的。
2. 根据权利要求1所述的方法,其特征在于,所述终端认证成功后还包括归属域与终 端协商会话密钥;则用户域存储HID之前还包括利用所述会话密钥解密从所述认证成功消息中获取的HID。
3. 根据权利要求1所述的方法,其特征在于,所述终端向归属域发送认证请求中还包 括初始HID,所述初始HID为终端签约所述归属域时归属域分配给该终端的;则终端向归属 域发送请求具体为终端将所述请求经接入域发送至服务域;所述服务域解析所述初始HID获取所述归属域的地址信息,并根据所述地址信息将所 述请求发送至所述归属域。
4. 根据权利要求1所述的方法,其特征在于,所述终端向归属域发送认证请求中还包 括终端的真实身份标识RID ;利用归属域的公钥加密所述RID ;所述归属域的公钥为终端签约所述归属域时归属域 分发给该终端的。
5. 根据权利要求1所述的方法,其特征在于,当HID生命期满时,所述方法还包括 归属域生成新HID,向服务域发送包括新HID的HID更新消息; 服务域从所述HID更新消息中获取新HID,并转发所述HID更新消息至用户域; 用户域从所述HID更新消息中获取新HID,将更新当前HID为新HID,并向服务域发送更新成功消息;服务域更新HID与SID的映射关系,并向归属域转发所述更新成功消息; 归属域更新HID与RID的映射关系。
6. 根据权利要求1所述的方法,其特征在于,当SID生命期满时,所述方法还包括 服务域生成新SID,向接入域发送包括新SID的SID更新消息;接入域从所述SID更新消息中获取新SID,更新SID与AID的映射关系,并向服务域发 送更新成功消息;服务域更新SID与HID的映射关系。
7. 根据权利要求1所述的方法,其特征在于,当AID生命期满时,所述方法还包括 接入域生成新AID,向用户域发送包括新AID的AID更新消息;用户域从所述AID更新消息中获取新AID,更新AID与RID的映射关系,并向接入域发 送更新成功消息;接入域更新AID与SID的映射关系。
8. 根据权利要求1所述的方法,其特征在于,当接入域发生改变且服务域不变时,所述 方法还包括终端向新的接入域发起AID更新请求,所述更新请求中包括所述终端的旧AID ; 新的接入域向原接入域发送包括所述终端旧AID的服务域标识请求消息,原接入域回 复包括所述终端SID的应答消息;新的接入域生成新AID,向用户域返回包括新AID的更新响应消息; 终端向原接入域发起AID删除请求;原接入域删除其存储的AID与SID映射关系,向用户域返回删除成功消息; 用户域将AID与RID的映射关系中的AID更新为所述新AID,并向新的接入域发送更新 成功消息;新的接入域存储所述新AID与SID的映射关系。
9. 根据权利要求1所述的方法,其特征在于,当接入域和服务域都发生改变时,所述方 法还包括终端经新的接入域向新的服务域发送更新请求,所述更新请求中包括所述终端的HID ;新的服务域生成新SID,向新的接入域发送包括新SID的更新信息; 新的接入域生成新AID,向用户域发送包含新AID的更新信息; 终端经原接入域向原服务域发送删除请求;原服务域删除其存储的HID与SID的映射关系,向原接入域返回删除成功消息; 原接入域删除其存储的SID与AID的映射关系,向用户域返回删除成功消息; 用户域将AID与RID的映射关系中的AID更新为所述新AID,向新的接入域发送更新成 功消息;新的接入域存储所述新AID与新SID的映射关系,向新的服务域发送更新成功消息; 新的服务域存储所述新SID与HID的映射关系。
10. —种基于权利要求1-9任一项所述方法实现标识替换传输的方法,其特征在于,包括当需要发送数据包时,向目的域发送包括目的域已知域标识的数据包; 当接收到数据包时,解析所述数据包中的域标识,验证其真实性;若还需继续转发数据包,则在验证成功后,利用预存的域标识映射关系得到目标域已知域标识,将数据包中的当前域标识替换为目标域已知域标识,转发出去。
11. 一种异构无线网络中终端标识分配和分离存储系统,其特征在于,该系统将异构无 线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射 服务器,用于生成本域标识和存储更新本域已知域标识间映射关系,其中所述标识映射服务器,包括第一发送单元,用于将认证成功消息发送给目的域的标识映射服务器,该请求消息中 包括本域已分配的域标识;第一接收单元,用于在接收到所述认证成功消息后,从中提取出携带的所述已分配的 域标识;标识生成单元,用于为所述终端生成一个唯一的本域标识;以及标识存储单元,用于在没有保存所述认证成功消息中的域标识与本域新生成的域标识 间的映射关系时,将该映射关系保存,以及设定该映射关系的生命期。
12. 根据权利要求11所述系统,其特征在于,所述标识映射服务器,还包括 第二发送单元,用于当生命期到达时,或当终端的接入域和/或服务域发生改变时,向相关域的标识映射服务器发送标识更新消息;第二接收单元,用于接收相关域的标识映射服务器发送的标识更新消息。
13. 根据权利要求11所述系统,其特征在于,所述标识映射服务器,还包括 标识更新单元,用于当生命期到达时对相应的标识映射关系进行更新,或在收到标识更新消息时对相应的映射关系进行更新。
14. 一种异构无线网络中终端标识替换传输系统,其特征在于,该系统将异构无线网 络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务 器,用于检索和替换本域已知的终端标识;该系统包含源终端和至少一个目的端,以及源终 端所在域的标识映射服务器;所述源终端包括请求消息发送单元,用于将请求消息发送给本域标识映射服务器,所述请求消息中包 括本域已知的域标识;回复消息接收单元,用于接收本域标识映射服务器的回复消息,所述回复消息中包括 目的端所在域的已知域标识;以及数据包发送单元,用于向所述目的端发送数据包,所述数据包包括目的端所在域的已 知域标识;所述目的端包括数据包接收单元,用于当接收到数据包时,解析所述数据包中的域标识,验证其真实性;所述源终端的标识映射服务器,用于在接收到所述源终端请求消息发送单元发送的请 求消息后,从预先保存的终端的域标识映射关系中查找出与本域已知的域标识相对应的目 的端所在域的已知域标识,并发送回复消息至所述回复消息接收单元。
全文摘要
本发明公开一种标识分配和分离存储方法、标识替换传输方法及系统,涉及网络安全领域。所述标识分配和分离存储方法包括将异构无线网络按服务功能分为用户域、接入域、服务域和归属域;服务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,归属域与服务域为同一网络;在终端认证成功后,归属域、服务域和接入域逐域分配域标识。本发明在异构无线网络接入认证的基础上,提出标识分配、分离存储和替换传输机制。域标识在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。
文档编号H04W12/00GK101754219SQ20091026115
公开日2010年6月23日 申请日期2009年12月28日 优先权日2009年12月28日
发明者张晨, 张汝云, 彭建华, 李桥龙, 杨梅樾, 杨红杰, 王玉红, 许明艳, 赵华, 郭淑明, 黄开枝 申请人:中国人民解放军信息工程大学