实现标识网络通信的方法、边缘路由器及系统的制作方法

文档序号:7887614阅读:117来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:实现标识网络通信的方法、边缘路由器及系统的制作方法
技术领域
本发明实施例涉及网络技术领域,尤其涉及一种实现标识网络通信的方法、边缘路由器及系统。
背景技术
以传输控制协议(Transmission Control Protocol,简称TCP)/因特网互联协议(Internet Protocol,简称IP)体系为基础的传统网络,如hternet以及绝大多数的企业网络或政府部门网络,具有组网简单、接入方便、通用性好等优点,但在接入控制、互联控制、服务发布、用户识别等方面缺乏有效手段,导致网络黑客攻击、木马植入等安全问题突出。目前采取的安全防护措施主要是采用打补丁的方式,而打补丁的方式代价高、安全效能低,在安全性、可用性、可管理性等方面存在诸多问题。为了适应互联网技术可管可控和安全可信等方面的需求,国际上从学术界到产业界纷纷推出面向未来互联网需求甚至是军用需求的网络体系研究项目,例如中国863计划“高可信互联网”重大专项等。目前,标识网络、新型网络协议主要从协议体系结构、协议设计等方面进行研究,但是由于商业等原因,目前难以大规模部署。因此,将多个小规模的标识网络通过TCP/IP协议的公共网络互连,是目前一种较为可行的部署方式。在这种互连模式下,需要解决跨TCP/IP协议的标识网络间的通信问题。跨不同协议网络的通信主要的采用IP隧道,但由于标识网络采用位置/身份分离的通信模式,采用IP隧道无法实现跨TCP/IP网络的标识网络间安全可控的通信。

发明内容
鉴于上述目的,本发明实施例提供一种实现标识网络通信的方法、边缘路由器及系统,用以解决现有技术无法实现跨TCP/IP网络的标识网络间安全可控的通信问题。本发明实施例提供了一种实现标识网络通信的方法,包括第一边缘路由器接收其它标识网络的第二边缘路由器发送的通信请求,所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内;根据本地标识映射表,确定所述目标节点为本地节点,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点;在所述目标节点与所述源节点之间建立通信连接。本发明实施例还提供一种边缘路由器,包括接收模块,用于接收其它标识网络的边缘路由器发送的通信请求,所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内;第一确定模块,用于根据本地标识映射表,确定所述目标节点为本地节点,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点;连接模块,用于在所述目标节点与所述源节点之间建立通信连接。
本发明实施例还提供一种实现标识网络通信的系统,包括第一边缘路由器和第二边缘路由器,且位于不同的标识网络;所述第一边缘路由器和所述第二边缘路由器各采用上述的边缘路由器;所述系统还包括授权服务器,用于接收所述第一边缘路由器发送的通信请求,根据所述通信请求中包括的所述源节点标识和所述目标节点标识,确定所述源节点和所述目标节点是否可以通信,若是,则将所述目标节点与所述源节点之间的标识映射信息发送给所述第一边缘路由器,所述目标节点与所述源节点之间的标识映射信息包括所述目标节点标识、所述目标节点标识对应的边缘路由器IP地址、所述源节点标识、所述源节点标识对应的边缘路由器 IP地址,允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址,且允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址。本发明实施例的边缘路由器接收到其它标识网络的边缘路由器发送的通信请求时,通过查询本地标识映射表,若确定本地标识映射表中存在所述通信请求中包含的目标节点标识,且确定与所述目标节点标识匹配的其它标识网络的节点标识包括所述通信请求中包含的源节点标识,则在所述目标节点和所述源节点之间建立通信连接,能够实现跨 TCP/IP网络的标识网络间的安全可控的通信。


图1为本发明实施例一提供的实现标识网络通信的方法的流程示意图;图2为本发明实施例二提供的实现标识网络通信的方法的流程示意图;图3为本发明实施例三提供的边缘路由器的结构示意图;图4为本发明实施例四提供的边缘路由器的结构示意图;图5为本发明实施例五提供的实现标识网络通信的系统的结构示意图。
具体实施例方式图1为本发明实施例一提供的实现标识网络通信的方法的流程示意图。如图1所示,包括步骤101、第一边缘路由器接收其它标识网络的第二边缘路由器发送的通信请求, 所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内。步骤102、根据本地标识映射表,确定所述目标节点为本地节点,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点。本实施例中,本地标识映射表是标识网络系统中的授权服务器预先在各个标识网络的边缘路由器中配置的,所述本地标识映射表包括本地节点标识、所述本地节点标识对应的边缘路由器IP地址、允许所述边缘路由器访问的其它标识网络的边缘路由器IP地址和允许访问所述边缘路由器的其它标识网络的边缘路由器IP地址。授权服务器通过边缘路由器的标识映射信息的最后两个字段的值,为边缘路由器配置该标识网络的内部哪些节点可以被其它标识网络访问,哪些内部节点对应的边缘路由器可以访问其它标识网络的, 并将允许该边缘路由器访问的标识网络的边缘路由器IP地址、允许访问该边缘路由器的标识网络的边缘路由器IP地址,通告给该边缘路由器。因此,本地标识映射表中的本地节点标识对应的本地节点是通过授权服务器认证的安全可信的节点。本实施例中,若所述本地标识映射表的本地节点标识中包括所述目标节点标识, 且所述目标节点标识对应的边缘路由器IP地址为所述第一边缘路由器的IP地址,则确定所述目标节点为本地节点,也就是说所述目标节点为安全可信的节点。若允许所述第一边缘路由器访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述第一边缘路由器的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,则确定所述源节点为与所述目标节点匹配的其它标识网络的节点。步骤103、在所述目标节点与所述源节点之间建立通信连接。本发明实施例的边缘路由器接收到其它标识网络的边缘路由器发送的通信请求时,通过查询本地标识映射表,若确定本地标识映射表中存在所述通信请求中包含的目标节点标识,且确定与所述目标节点标识匹配的其它标识网络的节点标识包括所述通信请求中包含的源节点标识,则在所述目标节点和所述源节点之间建立通信连接,能够实现跨 TCP/IP网络的标识网络间的安全可控的通信。图2为本发明实施例二提供的实现标识网络通信的方法的流程示意图。在图1所示方法实施例的基础上的进一步扩展,如图2所示,包括步骤201、第一边缘路由器接收其它标识网络的第二边缘路由器发送的通信请求。本实施例中,所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内。步骤202、根据本地标识映射表,确定所述目标节点是否为本地节点,若是,则执行步骤203,否则执行步骤205。本实施例中,若所述本地标识映射表的本地节点标识中包括所述目标节点标识, 且所述目标节点标识对应的边缘路由器IP地址是所述第一边缘路由器的IP地址,则确定所述目标节点是本地节点,且所述目标节点为安全可信的节点。若所述本地标识映射表的本地节点标识中不包括所述目标节点标识,或者所述目标节点标识对应的边缘路由器IP 地址不是所述第一边缘路由器的IP地址,则确定所述目标节点不是本地节点。步骤203、确定所述源节点是否为与所述目标节点匹配的其它标识网络的节点,若是,则执行步骤204,否则执行步骤205。本实施例中,若允许所述第一边缘路由器访问的其它标识网络的边缘路由器IP 地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述第一边缘路由器的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,则确定所述源节点为与所述目标节点匹配的其它标识网络的节点,即所述源节点和所述目标节点为安全可信的节点,且可以互相通信。步骤204、在所述目标节点与所述源节点之间建立通信连接。步骤205、查询标识映射系统,确定所述标识映射系统是否包括所述目标节点的标识映射信息;若是,则执行步骤206,否则执行步骤208。其中,标识映射系统包括多个位于不同标识网络的具有标识映射功能的边缘路由器,所述多个位于不同标识网络的具有标识映射功能的边缘路由器包括所述第一边缘路由器,所述多个位于不同标识网络的具有标识映射功能的边缘路由器之间可以互相通信。举例来说,本实施例的第一边缘路由器根据通信请求中包含的目标节点标识,若确定目标节点不是本地节点,则查询标识映射系统中其他边缘路由器的本地标识映射表, 确定其他边缘路由器的本地标识映射表中是否包含所述目标节点的标识映射信息,若是, 则确定所述标识映射系统包括所述目标节点的标识映射信息。步骤206、确定所述源节点是否为与所述目标节点匹配的其它标识网络的节点; 若是,执行步骤207,否则执行步骤208。本实施例中,所述目标节点的标识映射信息举例来说可以包括目标节点标识、目标节点标识对应的边缘路由器IP地址、允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址;若允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的第二边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的第二边缘路由器IP地址,则确定所述源节点为与所述目标节点匹配的其它标识网络的节点。步骤207、将所述通信请求发送给所述目标节点标识对应的边缘路由器,以使所述目标节点标识对应的边缘路由器在所述目标节点和所述源节点之间建立通信连接。步骤208、将所述通信请求发送给授权服务器,以使所述授权服务器确定所述目标节点与所述源节点是否可以进行通信。本实施例中,授权服务器根据访问规则、节点认证等信息,若确定源节点和目标节点为安全可信的节点,则确定源节点与目标节点之间可以进行通信,将所述目标节点与所述源节点之间的标识映射信息发送给第一边缘路由器;若确定源节点或目标节点是恶意节点,则确定源节点与目标节点之间不能进行通信。步骤209、接收所述授权服务器发送的所述目标节点与所述源节点之间的标识映
射信息。本实施例中,所述目标节点与所述源节点之间的标识映射信息举例来说可以包括所述目标节点标识、所述目标节点标识对应的边缘路由器IP地址、所述源节点标识、所述源节点标识对应的边缘路由器IP地址,且允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址。步骤210、将所述目标节点与所述源节点之间的标识映射信息发送给所述源节点标识对应的第二边缘路由器,以使所述第二边缘路由器在所述目标节点与所述源节点之间建立通信连接。需要说明的是,本实施例中的标识映射系统举例来说可以是基于信任等级构建的标识映射系统,因此,可以不需要额外部署标识映射服务器,而是采用具有标识映射功能的边缘路由器作为标识映射服务器。具体来说,将多个标识网络的具有标识映射功能的边缘路由器构成一个基于分布式哈希表(DistHbuted Hash Table,简称DHT)逻辑环,具有标识映射功能的边缘路由器的节点标识作为逻辑环节点ID(key),具有标识映射功能的边缘路由器的地址作为逻辑环节点值(value) ο为了方便描述,将第一边缘路由器对应的标识网络简称为第一标识网络,所述第一边缘路由器为具有标识映射功能的边缘路由器,假设当某一节点欲通过第一边缘路由器将该节点的标识映射信息向标识映射系统注册时,具体步骤如下1、节点向直连的接入路由器发送包含自己标识的注册报文,该接入路由器为第一标识网络中的;2、该接入路由器收到该注册报文后,首先查找该接入路由器的本地标识映射表中是否有该节点标识对应的表项,如果有,则进一步确认该节点标识对应的边缘路由器IP地址是否为第一边缘路由器IP地址,如果是,则更新接入路由器的本地标识映射表中对应表项的相关属性,即确定该节点为第一边缘路由器的本地标识映射表中的本地节点,注册结束,否则,为该节点分配一个第一标识网络内地址,并在该接入路由器的本地标识映射表中保存该节点标识与新分配地址的映射关系;3、该接入路由器触发第一标识网络内的映射更新过程,第一边缘路由器和第一标识网络内的其他接入路由器分别在本地保存该节点标识以及该节点标识与接入路由器地址的映射关系;4、由于该节点是新加入第一标识网络的节点,第一边缘路由器向授权服务器发送授权查询请求,授权服务器根据访问规则、节点认证信息等向第一边缘路由器返回该节点的标识映射信息的最后两个字段值,即该节点可以被哪些标识网络的哪些节点访问以及该节点可以访问哪些标识网络的哪些节点。5、第一边缘路由器对外发布该节点的标识映射信息,具体为使用特定的哈希函数 (SHA-1哈希算法)对该节点标识进行哈希,得到的哈希值与逻辑环节点ID (key)的哈希值匹配,找到差值最小的逻辑环节点,将该节点的标识映射信息存储在该逻辑环上与该节点哈希值匹配的逻辑环节点的标识映射表中;其中,该节点的标识映射信息举例来说可以包括节点标识、该节点标识对应的边缘路由器的IP地址、允许该节点访问的其他标识网络的边缘路由器IP地址和允许访问该节点的其他标识网络的边缘路由器IP地址等。6、节点注册过程结束。本实施例中,若第一边缘路由器确定目标节点不是本地节点之后,查询所述标识映射系统的逻辑环节点的标识映射表,所述逻辑环节点为所述标识映射系统中具有标识映射功能的边缘路由器,包括第一边缘路由器。确定所述逻辑环节点的标识映射表中是否包含所述目标节点的标识映射信息,若是,则确定所述标识映射系统包括所述目标节点的标识映射信息,否则确定所述标识映射系统不包括所述目标节点的标识映射信息。本发明实施例的边缘路由器接收到的其它标识网络的边缘路由器发送的通信请求时,若确定本地标识映射表中不包括所述目标节点标识,则进一步查询标识映射系统,若确定标识映射系统中存在与所述目标节点标识对应的标识映射信息,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点,则将通信请求发送给所述目标节点标识对应的边缘路由器,以使其在所述目标节点和所述源节点之间建立通信连接;若确定标识映射系统的标识映射信息表中不存在与所述目标节点标识对应的标识映射信息,则将所述通信请求发送给授权服务器,以使所述授权服务器确定所述源节点与所述目标节点是否可以进行通信。因此,本发明实施例能够实现跨TCP/IP网络的标识网络间安全可控的通信连接, 同时,本发明实施例采用基于DHT的标识映射系统用来存储节点标识与对应的边缘路由器地址之间的映射关系,充分利用DHT的自组织、自维护、可扩展性好、延迟低、可靠性高等优
点ο图3为本发明实施例三提供的边缘路由器的结构示意图,设置在标识网络中,如图3所示,包括接收模块31、第一确定模块32、连接模块33。其中,接收模块31,用于接收其它标识网络的边缘路由器发送的通信请求,所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内;第一确定模块32,用于根据本地标识映射表,确定所述目标节点为本地节点,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点;连接模块33,用于在所述目标节点与所述源节点之间建立通信连接。本实施例的装置具体应用于图1所示方法实施例的方法,其工作原理和技术效果不再赘述。图4为本发明实施例四提供的边缘路由器的结构示意图,设置在标识网络中,如图4所示,本实施例的装置是在图3所示实施例的装置的基础上进一步的扩展。所述本地标识映射表包括本地节点标识、所述本地节点标识对应的边缘路由器IP 地址、允许所述边缘路由器访问的其它标识网络的边缘路由器IP地址和允许访问所述边缘路由器的其它标识网络的边缘路由器IP地址,所述第一确定模块32包括第一确定单元321,用于若确定所述本地标识映射表的本地节点标识中包括所述目标节点标识,且所述目标节点标识对应的边缘路由器IP地址为所述边缘路由器的IP地址,则确定所述目标节点为本地节点。第二确定单元322,用于若确定允许所述边缘路由器访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述边缘路由器的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址, 则确定所述源节点为与所述目标节点匹配的其它标识网络的节点。所述边缘路由器还包括查询模块34和第二确定模块35 ;查询模块34,用于若所述本地标识映射表的本地节点标识中不包括所述目标节点标识,或所述目标节点对应的边缘路由器IP地址不是所述第一边缘路由器的IP地址,则查询标识映射系统;第二确定模块35,用于若确定所述标识映射系统包括所述目标节点的标识映射信息,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点,则将所述通信请求发送给所述目标节点标识对应的边缘路由器,以使其在所述目标节点和所述源节点之间建立通信连接。其中,所述标识映射系统举例来说可以包括多个位于不同标识网络的具有标识映射功能的边缘路由器,所述多个位于不同标识网络的具有标识映射功能的边缘路由器包括所述边缘路由器;第二确定模块35包括第三确定单元351,用于查询所述标识映射系统中其他边缘路由器的本地标识映射表,确定所述其他边缘路由器的本地标识映射表中是否包含所述目标节点的标识映射信息,若是,则确定所述标识映射系统包括所述目标节点的标识映射信息。其中,所述目标节点的标识映射信息举例来说可以包括目标节点标识、目标节点标识对应的边缘路由器IP地址、允许所述目标节点访问的其它标识网络的边缘路由器IP 地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址;第四确定单元352,用于若允许所述目标节点访问的其它标识网络的边缘路由器 IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,则确定所述源节点为与所述目标节点匹配的其它标识网络的节点。所述边缘路由器包括发送模块36,用于若确定所述标识映射系统不包括所述目标节点的标识映射信息,则将所述通信请求发送给授权服务器,以使所述授权服务器确定所述目标节点与所述源节点是否可以进行通信;接收模块31,还用于接收所述授权服务器发送的所述目标节点与所述源节点之间的标识映射信息,所述目标节点与所述源节点之间的标识映射信息包括所述目标节点标识、所述目标节点标识对应的边缘路由器IP地址、所述源节点标识、所述源节点标识对应的边缘路由器IP地址,允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址,且允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址;发送模块36,还用于将所述目标节点与所述源节点之间的标识映射信息发送给所述源节点标识对应的边缘路由器,以使所述源节点标识对应的边缘路由器在所述目标节点与所述源节点之间建立通信连接。本实施例的装置具体应用于图2所示方法实施例的方法,其工作原理和技术效果不再赘述。图5为本发明实施例五提供的实现标识网络通信的系统的结构示意图,如图5所示,包括第一边缘路由器51和第二边缘路由器52,所述第一边缘路由器51和第二边缘路由器52相互通信,且位于不同的标识网络;所述第一边缘路由器51和第二边缘路由器52各采用实施例三或实施例四所述的边缘路由器。所述系统还包括授权服务器53,用于接收所述第一边缘路由器发送的所述通信请求,根据所述通信请求中包括的所述源节点标识和所述目标节点标识,确定所述源节点和所述目标节点是否可以通信,若是,则将所述目标节点与所述源节点之间的标识映射信息发送给所述第一边缘路由器,所述目标节点与所述源节点之间的标识映射信息包括所述目标节点标识、所述目标节点标识对应的边缘路由器IP地址、所述源节点标识、所述源节点标识对应的边缘路由器IP地址,允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址,且允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址。本实施例的系统具体应用于图1或图2所示方法实施例的方法,其工作原理和技术效果不再赘述。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种实现标识网络通信的方法,其特征在于,包括第一边缘路由器接收其它标识网络的第二边缘路由器发送的通信请求,所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内;根据本地标识映射表,确定所述目标节点为本地节点,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点;在所述目标节点与所述源节点之间建立通信连接。
2.根据权利要求1所述的方法,其特征在于,所述本地标识映射表包括本地节点标识、 所述本地节点标识对应的边缘路由器IP地址、允许所述第一边缘路由器访问的其它标识网络的边缘路由器IP地址和允许访问所述第一边缘路由器的其它标识网络的边缘路由器 IP地址;所述确定所述目标节点为本地节点具体包括若所述本地标识映射表的本地节点标识中包括所述目标节点标识,且所述目标节点标识对应的边缘路由器IP地址为所述第一边缘路由器的IP地址,则确定所述目标节点为本地节点;所述确定所述源节点为与所述目标节点匹配的其它标识网络的节点具体包括 若允许所述第一边缘路由器访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的第二边缘路由器IP地址,且允许访问所述第一边缘路由器的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的第二边缘路由器IP地址,则确定所述源节点为与所述目标节点匹配的其它标识网络的节点。
3.根据权利要求2所述的方法,其特征在于,还包括若所述本地标识映射表的本地节点标识中不包括所述目标节点标识,或所述目标节点对应的边缘路由器IP地址不是所述第一边缘路由器的IP地址,则查询标识映射系统;若确定所述标识映射系统包括所述目标节点的标识映射信息,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点,则将所述通信请求发送给所述目标节点标识对应的边缘路由器,以使所述目标节点标识对应的边缘路由器在所述目标节点和所述源节点之间建立通信连接,所述目标节点的标识映射信息包括目标节点标识、目标节点标识对应的边缘路由器IP地址、允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址。
4.根据权利要求3所述的方法,其特征在于,所述标识映射系统包括多个位于不同标识网络的具有标识映射功能的边缘路由器,所述多个位于不同标识网络的具有标识映射功能的边缘路由器包括所述第一边缘路由器;所述确定所述标识映射系统包括所述目标节点的标识映射信息具体包括 查询所述标识映射系统中其他边缘路由器的本地标识映射表,确定所述其他边缘路由器的本地标识映射表中是否包含所述目标节点的标识映射信息,若是,则确定所述标识映射系统包括所述目标节点的标识映射信息;所述确定所述源节点为与所述目标节点匹配的其它标识网络的节点具体包括 若允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的第二边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器 IP地址包括所述源节点标识对应的第二边缘路由器IP地址,则确定所述源节点为与所述目标节点标识匹配的其它标识网络的节点。
5.根据权利要求4所述的方法,其特征在于,还包括所述第一边缘路由器若确定所述标识映射系统不包括所述目标节点的标识映射信息, 则将所述通信请求发送给授权服务器,以使所述授权服务器确定所述目标节点与所述源节点是否可以进行通信;接收所述授权服务器发送的所述目标节点与所述源节点之间的标识映射信息,所述目标节点与所述源节点之间的标识映射信息包括所述目标节点标识、所述目标节点标识对应的边缘路由器IP地址、所述源节点标识、所述源节点标识对应的第二边缘路由器IP地址、 允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址,且允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的第二边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的第二边缘路由器IP地址;所述第一边缘路由器将所述目标节点与所述源节点之间的标识映射信息发送给所述源节点标识对应的第二边缘路由器,以使所述第二边缘路由器在所述目标节点与所述源节点之间建立通信连接。
6.一种边缘路由器,设置在标识网络中,其特征在于,包括接收模块,用于接收其它标识网络的边缘路由器发送的通信请求,所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内;第一确定模块,用于根据本地标识映射表,确定所述目标节点为本地节点,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点;连接模块,用于在所述目标节点与所述源节点之间建立通信连接。
7.根据权利要求6所述的边缘路由器,其特征在于,所述本地标识映射表包括本地节点标识、所述本地节点标识对应的边缘路由器IP地址、允许所述边缘路由器访问的其它标识网络的边缘路由器IP地址和允许访问所述边缘路由器的其它标识网络的边缘路由器IP 地址;所述第一确定模块包括第一确定单元,用于若确定所述本地标识映射表的本地节点标识中包括所述目标节点标识,且所述目标节点标识对应的边缘路由器IP地址为所述边缘路由器的IP地址,则确定所述目标节点为本地节点;第二确定单元,用于若确定允许所述边缘路由器访问的其它标识网络的边缘路由器IP 地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述边缘路由器的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,则确定所述源节点为与所述目标节点匹配的其它标识网络的节点。
8.根据权利要求7所述的边缘路由器,其特征在于,还包括查询模块,用于若所述本地标识映射表的本地节点标识中不包括所述目标节点标识, 或所述目标节点对应的边缘路由器IP地址不是所述边缘路由器的IP地址,则查询标识映射系统;第二确定模块,用于若确定所述标识映射系统包括所述目标节点的标识映射信息,且确定所述源节点为与所述目标节点匹配的其它标识网络的节点,则将所述通信请求发送给所述目标节点标识对应的边缘路由器,以使其在所述目标节点和所述源节点之间建立通信连接;所述标识映射系统包括多个位于不同标识网络的具有标识映射功能的边缘路由器,所述多个位于不同标识网络的具有标识映射功能的边缘路由器包括所述边缘路由器;所述第二确定模块包括第三确定单元,用于查询所述标识映射系统中其他边缘路由器的本地标识映射表,确定所述其他边缘路由器的本地标识映射表中是否包含所述目标节点的标识映射信息,若是,则确定所述标识映射系统包括所述目标节点的标识映射信息;所述目标节点的标识映射信息包括目标节点标识、目标节点标识对应的边缘路由器IP 地址、允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址;第四确定单元,用于若允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,则确定所述源节点为与所述目标节点标识匹配的其它标识网络的节点。
9.根据权利要求8所述的边缘路由器,其特征在于,还包括发送模块,用于若确定所述标识映射系统不包括所述目标节点的标识映射信息,则将所述通信请求发送给授权服务器,以使所述授权服务器确定所述目标节点与所述源节点是否可以进行通信;所述接收模块,还用于接收所述授权服务器发送的所述目标节点与所述源节点之间的标识映射信息,所述目标节点与所述源节点之间的标识映射信息包括所述目标节点标识、 所述目标节点标识对应的边缘路由器IP地址、所述源节点标识、所述源节点标识对应的边缘路由器IP地址,允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址,且允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址;所述发送模块,还用于将所述目标节点与所述源节点之间的标识映射信息发送给所述源节点标识对应的边缘路由器,以使所述源节点标识对应的边缘路由器在所述目标节点与所述源节点之间建立通信连接。
10.一种实现标识网络通信的系统,其特征在于,包括第一边缘路由器和第二边缘路由器,且位于不同的标识网络;所述第一边缘路由器和所述第二边缘路由器均为如权利要求6-9中任一项所述的边缘路由器;所述系统还包括授权服务器,用于接收所述第一边缘路由器发送的通信请求,根据所述通信请求中包括的所述源节点标识和所述目标节点标识,确定所述源节点和所述目标节点是否可以通信,若是,则将所述目标节点与所述源节点之间的标识映射信息发送给所述第一边缘路由器,所述目标节点与所述源节点之间的标识映射信息包括所述目标节点标识、所述目标节点标识对应的边缘路由器IP地址、所述源节点标识、所述源节点标识对应的边缘路由器IP 地址,允许所述目标节点访问的其它标识网络的边缘路由器IP地址和允许访问所述目标节点的其它标识网络的边缘路由器IP地址,且允许所述目标节点访问的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址,且允许访问所述目标节点的其它标识网络的边缘路由器IP地址包括所述源节点标识对应的边缘路由器IP地址。
全文摘要
本发明实施例公开了一种实现标识网络通信的方法、边缘路由器及系统,其中,所述方法包括边缘路由器接收其它标识网络的边缘路由器发送的通信请求,所述通信请求包括源节点标识和目标节点标识,所述源节点和所述目标节点位于不同的标识网络内;查询本地标识映射表,确定所述本地标识映射表是否包括所述目标节点标识;若是,则进一步确定与所述目标节点标识匹配的其它标识网络的节点标识是否包括所述源节点标识;若是,则在所述目标节点与所述源节点之间建立通信连接。因此,本发明实施例可以实现跨TCP/IP协议的标识网络间的安全可控的通信。
文档编号H04L12/56GK102571591SQ20121001609
公开日2012年7月11日 申请日期2012年1月18日 优先权日2012年1月18日
发明者侯婕, 刘亚萍, 廖海宁, 张晓哲, 张硕, 王宝生, 胡宁, 陈晓梅 申请人:中国人民解放军国防科学技术大学
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:刘亚萍;王宝生;张硕;张晓哲;胡宁;陈晓梅;廖海宁;侯婕
  • 技术所有人:中国人民解放军国防科学技术大学
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
什么是边缘路由器相关技术
边缘路由器相关技术
多业务边缘路由器相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2