专利名称:一种面向真实用户身份的主机移动方法
技术领域:
本发明涉及互联网技术领域,尤其涉及一种面向真实用户身份的主机移动方法。
背景技术:
当前互联网中存在ー类支持主机移动的技术,通过为终端主机分配相对不变的标识符来維持传输层会话的持续性,同时在网络中维护标识符到IP地址的映射,来实现基于IP地址的数据传输。但在这类方法中用户可以通过伪造源标识符来达到伪造自身身份的目的,使得这类移动性方法存在一定的安全性问题。
标识/ 位置网络协议(Identifier-Locator Network Protocol,简称 ILNP)方法将IPv6地址的后64位作为主机标识,但该方法缺乏相应的安全性机制来保证该标识符的合法性。用户可以在主机上生成任意的标识并用于数据传输,从而使得伪造标识符成为可倉^:。主机标识协议(Host Identity Protocol,简称HIP)方法用ー对公私钥对中公钥的哈希值作为主机标识,并使用基于密码学的机制来保证源标识符的合法性,这种方法可以杜绝标识符的伪造现象,但所需的加密/解密过程对主机或网络设备来说开销较大。源地址认证改进(SourceAddress Validation Improvements,简称SAVI)技术通过在网络设备上对主机发送出报文的源地址进行验证,可以用于防止源地址伪造的发生,同时带来较小的验证开销。但主机标识符的获取、传播、维护等方式与IP地址相差很大,无法直接利用源地址验证技术实现标识符的验证。由此可见,需要ー种方法以解决上述问题,既能够利用标识符实现主机移动、又可以使用相对轻量级的方法来保证标识符的安全性。
发明内容
本发明所要解决的技术问题之ー是需要提供ー种既能够利用标识符实现主机移动、又可以使用相对轻量级的方法来保证标识符的安全性的、一种面向真实用户身份的主机移动方法。为了解决上述技术问题,本发明提供了一种面向真实用户身份的主机移动方法,该方法包括申请步骤,主机从离线状态接入至第一网络时,所述主机与所述第一网络中的标识符服务器进行交互以验证所述主机的用户身份是否合法,若验证结果为所述用户身份合法,则执行以下步骤所述第一网络中的标识符服务器利用所述用户身份信息生成所述主机的标识符,然后基于所述标识符以生成所述主机在第一网络中的IPv6地址;确认步骤,在所述主机从所述第一网络移动至第二网络时,所述主机与所述第二网络中的标识符服务器进行交互以验证所述主机的用户身份和所述主机的标识符是否合法,若所述用户身份和所述标识符均合法,则所述第二网络中的标识符服务器基于所述标识符以生成所述主机在第二网络中的IPv6地址。
根据本发明的另一方面的主机移动方法,在所述主机与所述第一网络中的标识符服务器进行交互以验证所述主机的用户身份是否合法的步骤中,进ー步包括以下步骤所述主机将自身的用户身份信息发送至所述第一网络中的标识符服务器;所述第一网络中的标识符服务器判断所述用户身份信息是否与数据库中的信息相匹配,其中,若判断结果为匹配,则验证结果为所述用户身份合法;否则,验证结果为所述用户身份不合法。根据本发明的另一方面的主机移动方法,所述第一网络中的标识符服务器将所述用户身份信息映射为设定长度的字符串以作为所述主机的标识符。根据本发明的另一方面的主机移动方法,将所述设定长度的字符串与第一网络的网络前缀相结合以生成所述主机在第一网络中的IPv6地址;或者,将所述设定长度的字符串与第二网络的网络前缀相结合以生成所述主机在第二网络中的IPv6地址。根据本发明的另一方面的主机移动方法,在所述第一网络中的标识符服务器将所述用户身份信息映射为设定长度的字符串以作为所述主机的标识符的步骤中,进ー步包括以下步骤利用MD5消息摘要算法对所述用户身份信息进行哈希运算以得到ニ进制字符 串;随机生成ー密钥;基于所述密钥,从所述ニ进制字符串中选取与所述设定长度相等的ニ进制字符串以作为所述主机的标识符,其中,所述密钥为ー个ニ进制字符串,其中二进制数I的个数与设定长度相等。根据本发明的另一方面的主机移动方法,在执行所述申请步骤之后,还包括存储步骤,将所述主机的标识符和所述主机的用户身份的绑定关系存储至数据库中。根据本发明的另一方面的主机移动方法,在所述主机与所述第二网络中的标识符服务器进行交互以验证所述主机的用户身份和所述主机的标识符是否合法的步骤中,所述主机将自身的所述用户身份信息和所述标识符发送至所述第二网络中的标识符服务器;所述第二网络中的标识符服务器判断所述标识符和所述用户身份的绑定关系、和所述用户身份信息是否与数据库中的信息相匹配,其中,若判断结果为匹配,则验证结果为所述用户身份和所述标识符均合法;否则,验证结果为所述用户身份和所述标志符不合法。根据本发明的另一方面的主机移动方法,还包括监听所述主机与所述标识符服务器之间的交互,将所述主机的MAC地址、所述主机连接的接入设备端口和所述标识符服务器生成的IPv6地址的绑定关系进行存储。根据本发明的另一方面的主机移动方法,其特征在于,在所述主机使用IPv6地址进行报文通信时,基于主机的MAC地址、主机连接的接入设备端口和标识符服务器生成的IPv6地址的绑定关系、来检测所述报文中的IPv6地址是否是伪造地址,其中,若检测结果为所述报文中的IPv6地址是伪造地址,则丢弃所述报文。与现有技术相比,本发明的一个或多个实施例可以具有如下优点本发明方法通过将由用户身份信息所生成的标识符嵌入IPv6地址中,以克服现有技术中的IPv6地址缺乏安全性的问题,从而防止标识符伪造的发生。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进ー步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中图I是根据本发明实施例的面向真实用户身份的主机移动方法的流程示意图;图2是根据本发明实施例的针对地址申请操作的流程示意图;图3是根据本发明实施例的针对地址确认操作的流程示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明 的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互結合,所形成的技术方案均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。需要说明的是,在本发明实施例中,部署了ー个全局数据库,该数据库用于存储用户身份信息和与用户身份信息相对应的主机标识符,同时部署了多个标识符服务器用于为主机分配主机标识符。标识符服务器能够通过与主机的交互获取其使用者的身份信息和当前使用的主机标识符,并通过与数据库的交互确认用户身份信息及主机标识符的合法性,也能够通过在本地运行ー个算法来产生新的主机标识符并下发,同时将其存入数据库。图I是根据本发明实施例的面向真实用户身份的主机移动方法的流程示意图,下面參考图1,详细说明本实施例的各个步骤。步骤S110,主机从离线状态接入至第一网络时,主机与第一网络中的标识符服务器进行交互以验证主机的用户身份是否合法。具体地,若验证结果为用户身份合法,则执行以下步骤第一网络中的标识符服务器利用用户身份信息生成主机的标识符,然后基于标识符以生成主机在第一网络中的IPv6地址。本步骤为首次接入网络的主机获取ー个新的IPv6地址,即通过与本地标识符服务器的交互获得针对该主机的面向真实用户身份的IPv6地址。此步骤是在静态场景下进行IPv6地址申请的处理,图2是根据本发明实施例的针对地址申请操作的流程示意图,下面參考图2,进ー步说明本步骤。如图2所示,首先,主机将自身的用户身份信息发送至第一网络中的标识符服务器,第一网络中的标识符服务器判断用户身份信息是否与数据库中的信息相匹配,其中,若判断结果为匹配,则验证结果为用户身份合法;否则,验证结果为用户身份不合法。具体地,主机从离线状态接入网络时,客户端主机可以通过ー个安全的认证协议(不限定具体的协议机制)将自身的用户名和密码等信息告知标识符服务器,标识符服务器获取用户身份信息后,向数据库确认其合法性。若合法,则第一网络中的标识符服务器将用户身份的信息映射为设定长度的字符串以作为主机的标识符。若不合法,则拒绝为主机分配IPv6地址。
优选地,在本发明实施例中,通过如下步骤来将用户身份的信息映射为设定长度的字符串以作为主机的标识符在利用MD5消息摘要算法对用户身份的信息进行哈希运算以得到ニ进制字符串;随机生成ー密钥;基于密钥,从ニ进制字符串中选取与设定长度相等的ニ进制字符串以作为主机的标识符,其中,密钥为一个ニ进制字符串,其中二进制数I的个数与设定长度相等。在本发明实施例中,服务器运用MD5消息摘要算法对与用户名对应的用户身份信息进行哈希运算,得到ー个128位的01比特串记为Ql,然后按顺序随机选取其中的64位作为主机的标识。优选地,可以通过随机生成一个密钥,然后根据密钥来选取Ql中的64位来作为主机的标识。具体地,例如,生成ー个128位的01比特串Q2,其中比特串Q2中随机选取64位置1,剩余64位置0,把Ql中与Q2值为I的位置对应的值取出来作为主机标识符,作为IPv6地址的第65位至128位,同时记录主机标识符与用户身份信息的对应关系,并把比特串Q2作为密钥keyl。举例而言,若用户身份信息为“41092219840310XXXX”,服务器运用MD5消息摘要算法对其运算后得到ー个128位的01比特串Ql“ 101010-0010100001100011001110111000 0011110010111010011100001101100010101101101101101111101010100001100001111000010001000000101111”,然后随机生成ー个 128 位的 01 比特串 Q2“ 11111111110100001010010001100110010111001001001100100111000011001001100001111000100100110011100000111111100000111111100001111000”,其中Q2中有64位为1,把Ql中与Q2值为I的位置相同位置上的数字取出来,即生成ー个64位的01比特串“ 1010100010010111110011001001000100111011110101100001101000100101”作为 IPv6 地址的第 65-128 位,字符串 Q2 为密钥 keyl。举例而言,标识符服务器在本地通过上述算法利用用户信息产生ー个64bit长度的串作为主机标识符,即IPv6地址的后64位,结合本地子网64bit前缀,将完整的128bit长度的IPv6地址作为主机在第一网络中的地址返回给主机。例如,得出的64bit长度的串(主机标识符)为9c91:fb50:e2ab:8410,而本地子网前缀为2001:da8:200:9002,则结合生成的完整 IPv6 地址为 2001: da8:200:9002:9c91:fb50:e2ab: 8410。然后,将该主机标识符与用户身份的对应(绑定)关系存储至数据库中。例如,标识符服务器返回给用户的IPv6地址为2001: da8:200:9002:9c91: fb50: e2ab :8410,则数据库中应维护对应的用户名与标识符(9c91:fb50:e2ab:8410)的绑定关系。通过以上步骤可以将用户身份与其IP地址关联起来,从而为实现面向用户身份的标识符认证提供基础。需要说明的是,在进行分配IPv6地址的过程中,如图2所示,通过利用SAVI设备来监听客户端主机与标识符服务器间的交互流程,并且该SAVI设备将分配的IPv6地址与该主机上连接的SAVI设备端ロ、以及该主机的MAC地址的绑定关系存储在本地过滤表中。具体地,开启SAVI功能的接入交換机(或其他接入设备,如无线接入点等)在本地维护ー张过滤表,若该设备嗅探到标识符服务器向主机下发的完整IPv6地址,则保存在开启SAVI功能的端口下,与其直接相连的主机MAC地址、上连交换机端ロ与IP地址的绑定,并据此对IP报文进行过滤。这样,在开启了 SAVI功能的子网中,SAVI设备将主机标识符与对应的MAC地址、端ロ等信息绑定起来,为过滤伪造标识符的报文提供了基础。利用SAVI等技术,通过对IPv6源地址认证,实现轻量级的标识符认证,从而防止标识符伪造的发生。步骤S120,在第一网络中,主机使用所分配的IPv6进行报文通信时,SAVI设备检测报文中所携帯的IPv6地址是否为伪造地址。具体地,如图2所示,主机获取标识符服务器分配的IPv6地址后,使用该地址进行正常的数据通信,SAVI交換机(或其他接入设备,如无线接入点等)基于主机的MAC地址、主机连接的接入设备端口和标识符服务器生成的IPv6地址的绑定关系、来检测查报文中携带的IPv6源地址是否为伪造地址,若是,则将伪造地址的报文丢弃。步骤S130,在主机从第一网络移动至第二网络时,主机与第二网络中的标识符服务器进行交互以验证主机的用户身份和主机的标识符是否合法。 具体地,若用户身份和标识符均合法,则第二网络中的标识符服务器基于标识符以生成主机在第二网络中的IPv6地址。需要说明的是,主机从ー个子网断开,并接入另ー个子网后,需通过地址确认操作来保证继续使用原主机标识符(在步骤SllO中获取的)的合法性。将所分配的IPv6地址的后64位用作主机标识符,要求主机在移动前后所使用的IPv6地址的后64位保持不变,从而支持移动场景下传输层会话的持续性。图3是根据本发明实施例的针对该步骤操作的流程示意图,下面參考图3,进ー步说明本步骤。如图3所示,主机移动接入新的子网后,再次与接入后的子网中的标识符服务器交互并完成用户身份的验证,同时向标识符服务器请求确认原有主机标识的合法性。具体地,主机将自身的用户身份信息和标识符发送至该子网中的标识符服务器,该子网中的标识符服务器判断标识符和用户身份的绑定关系、和用户身份信息是否与数据库中的信息相匹配,其中,若判断结果为匹配,则验证结果为用户身份和所述标识符均合法;否则,验证结果为用户身份和标志符不合法。若用户身份和标识符均合法,则将该标识符与该子网的前缀结合以生成主机在该子网中的IPv6地址。若用户身份不合法,或主机请求的标识符并非主机所拥有,标识符服务器拒绝为该主机分配IPv6地址。可以将该标识符作为IPv6地址的后64位,并与本地子网64位前缀结合生成完整的IPv6地址。例如,主机请求的标识符为9c91:fb50:e2ab:8410,而本地子网前缀为2001: da8:200:9001,则结合生成的完整 IPv6 地址为 2001: da8:200:9001:9c91: fb50: e2ab:8410。然后,标识符服务器将在新的子网中生成的地址返回给主机。需要说明的是,在主机移动至新的子网后进行分配IPv6地址的过程中,也需要通过利用SAVI设备来监听客户端主机与标识符服务器间的交互流程,并且该SAVI设备将分配的IPv6地址与该主机上连接的SAVI设备端ロ、以及该主机的MAC地址的绑定关系存储在本地过滤表中。步骤S140,在主机重新获取IPv6地址后,使用该地址进行数据报文通信吋,SAVI设备检测报文中所携帯的IPv6地址是否为伪造地址。如图3所示,主机重新获取标识符服务器分配的IPv6地址后,使用该地址继续进行正常的数据通信。SAVI交換机(或其他接入设备,如无线接入点等)检查报文中携帯的IPv6源地址,并将伪造地址的报文丢弃。本发明实施例通过将用户身份与主机获取的标识符进行绑定来获取IPv6地址,既可以保证主机移动后标识符的不变,又能够利用较为轻量级的方法验证标识符的合法性。本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
权利要求
1.一种面向真实用户身份的主机移动方法,其特征在于,包括 申请步骤,主机从离线状态接入至第一网络时,所述主机与所述第一网络中的标识符服务器进行交互以验证所述主机的用户身份是否合法, 若验证结果为所述用户身份合法,则执行以下步骤 所述第一网络中的标识符服务器利用所述用户身份信息生成所述主机的标识符,然后基于所述标识符以生成所述主机在第一网络中的IPv6地址; 确认步骤,在所述主机从所述第一网络移动至第二网络时,所述主机与所述第二网络中的标识符服务器进行交互以验证所述主机的用户身份和所述主机的标识符是否合法, 若所述用户身份和所述标识符均合法,则所述第二网络中的标识符服务器基于所述标识符以生成所述主机在第二网络中的IPv6地址。
2.根据权利要求I所述的主机移动方法,其特征在于,在所述主机与所述第一网络中的标识符服务器进行交互以验证所述主机的用户身份是否合法的步骤中,进一步包括以下步骤 所述主机将自身的用户身份信息发送至所述第一网络中的标识符服务器; 所述第一网络中的标识符服务器判断所述用户身份信息是否与数据库中的信息相匹配, 其中,若判断结果为匹配,则验证结果为所述用户身份合法;否则,验证结果为所述用户身份不合法。
3.根据权利要求I所述的主机移动方法,其特征在于, 所述第一网络中的标识符服务器将所述用户身份信息映射为设定长度的字符串以作为所述主机的标识符。
4.根据权利要求3所述的主机移动方法,其特征在于, 将所述设定长度的字符串与第一网络的网络前缀相结合以生成所述主机在第一网络中的IPv6地址;或者, 将所述设定长度的字符串与第二网络的网络前缀相结合以生成所述主机在第二网络中的IPv6地址。
5.根据权利要求3所述的主机移动方法,其特征在于,在所述第一网络中的标识符服务器将所述用户身份信息映射为设定长度的字符串以作为所述主机的标识符的步骤中,进一步包括以下步骤 利用MD5消息摘要算法对所述用户身份信息进行哈希运算以得到二进制字符串; 随机生成一密钥; 基于所述密钥,从所述二进制字符串中选取与所述设定长度相等的二进制字符串以作为所述主机的标识符,其中, 所述密钥为一个二进制字符串,其中二进制数I的个数与设定长度相等。
6.根据权利要求I所述的主机移动方法,其特征在于,在执行所述申请步骤之后,还包括 存储步骤,将所述主机的标识符和所述主机的用户身份的绑定关系存储至数据库中。
7.根据权利要求6所述的主机移动方法,其特征在于,在所述主机与所述第二网络中的标识符服务器进行交互以验证所述主机的用户身份和所述主机的标识符是否合法的步骤中, 所述主机将自身的所述用户身份信息和所述标识符发送至所述第二网络中的标识符服务器; 所述第二网络中的标识符服务器判断所述标识符和所述用户身份的绑定关系、和所述用户身份信息是否与数据库中的信息相匹配, 其中,若判断结果为匹配,则验证结果为所述用户身份和所述标识符均合法;否则,验证结果为所述用户身份和所述标志符不合法。
8.根据权利要求I至7任一项所述的主机移动方法,其特征在于,还包括 监听所述主机与所述标识符服务器之间的交互,将所述主机的MAC地址、所述主机连接的接入设备端口和所述标识符服务器生成的IPv6地址的绑定关系进行存储。
9.根据权利要求8所述的主机移动方法,其特征在于, 在所述主机使用IPv6地址进行报文通信时,基于主机的MAC地址、主机连接的接入设备端口和标识符服务器生成的IPv6地址的绑定关系、来检测所述报文中的IPv6地址是否是伪造地址,其中, 若检测结果为所述报文中的IPv6地址是伪造地址,则丢弃所述报文。
全文摘要
本发明公开了一种面向真实用户身份的主机移动方法,该方法包括主机从离线状态接入第一网络时,主机与第一网络中的标识符服务器进行交互以验证主机的用户身份是否合法,若合法,则第一网络中的标识符服务器利用用户身份信息生成主机的标识符,然后基于标识符生成主机在第一网络中的IPv6地址;主机从第一网络移至第二网络时,主机与第二网络中的标识符服务器进行交互以验证主机的用户身份和主机的标识符是否合法,若合法,则第二网络中的标识符服务器基于标识符生成主机在第二网络中的IPv6地址。本发明方法通过将由用户身份信息所生成的标识符嵌入IPv6地址中以克服现有技术中IPv6地址缺乏安全性的问题,防止标识符伪造的发生。
文档编号H04L29/06GK102769621SQ20121025439
公开日2012年11月7日 申请日期2012年7月20日 优先权日2012年7月20日
发明者姚广, 孙雅媛, 张宝宝, 朱树永, 毕军, 王优, 高凯 申请人:清华大学