一种标识网业务访问控制方法

一种标识网业务访问控制方法
【专利摘要】本发明公开了一种标识网业务访问控制方法，基于标识网的访问控制系统包括业务客户端、业务服务器、AR、MS和ACS；业务客户端发送对业务服务器的连接请求，AR收到连接请求后向MS发送业务服务器的EID和RLOC间的映射请求，MS向ACS查询该业务客户端是否有对业务服务器具备访问权限，ACS根据预设的访问权限进行响应，MS根据访问权限查询结果向AR拒绝或应答，AR据此将连接请求包丢弃，或将客户端的连接请求进行隧道封装发往业务服务器；AR上映射缓存表项包含了源EID和源EID必要性标记，使得针对该业务服务器的映射缓存表项只对当前发起连接的客户端有效，以实现针对各客户端对该业务服务器的连接访问控制。
【专利说明】一种标识网业务访问控制方法
【技术领域】
[0001]本发明涉及一种标识网业务访问控制方法，在网络层面实现标识网服务提供的可管可控性，属于通信网络技术。
【背景技术】
[0002]传统的TCP/IP网络(如互联网以及绝大多数行业网络、企业网络或政府部门网络)，具有组网简单、接入方便、通用性好等优点，但在用户对业务(服务)的访问控制、以及多部门、多用户对服务数据的共享访问上缺乏有效手段，黑客攻击、木马植入等安全问题突出。传统TCP/IP网络可以通过高层访问控制进行保护，例如使用具有认证和密码的基于角色的访问，但是这种基于应用层的访问控制方法存在用户名密码易泄露、易受攻击的风险。
[0003]为了适应互联网、行业专网可管可控性和安全可信等方面的需求，国际上从学术界到产业界纷纷开展面向新型IP承载网技术的研究。其中，将位置与身份分离，重新构建网络路由机制的标识网技术成为研究热点，例如LISP和HIP等技术。现有有关身份标识和位置分离的解决方案主要有两种，一种是基于主机的实现，另一种是基于网络的实现。

【发明内容】

[0004]发明目的:为了克服现有技术中存在的不足，本发明提供一种标识网业务访问控制方法，建立在基于网络的实现基础上，在新型IP网络中(尤其在行业应用网络中)实现业务可管可控和多部门业务数据安全高效共享。
[0005]技术方案:为实现上述目的，本发明采用的技术方案为:
[0006]一种标识网业务访问控制方法，基于标识网的访问控制系统进行业务访问控制，所述标识网的访问控制系统包括网络设备和终端/服务设备；所述网络设备包括边缘接入路由器AR和映射服务器MS，边缘接入路由器AR跨接边缘标识网和核心网，边缘接入路由器AR连接核心网的端口使用传统IP地址，映射服务器MS位于核心网、使用传统IP地址；所述终端/服务设备包括业务客户端、业务服务器和业务访问控制服务器ACS，业务客户端和业务服务器位于边缘标识网内、拥有EID (终端标识)，业务访问控制服务器ACS位于核心网内、使用传统IP地址；以上传统IP地址也称为RLOC (位置标识)。
[0007]所述业务访问控制具体包括如下步骤:
[0008](I)业务客户端向边缘接入路由器AR发送对业务服务器的连接请求(包括业务数据等)；源地址为业务客户端的EID，称之为源EID ；目的地址为业务服务器的EID，称之为目的EID ;进入步骤⑵；
[0009](2)边缘接入路由器AR收到连接请求后，在本地的标识映射缓存表中查询是否有该业务服务器的标识映射:若有该标识映射，则进入步骤(6);若无该标识映射，则由边缘接入路由器AR向映射服务器MS发送目的EID和目的RLOC间的映射查询请求，进入步骤
(3)；
[0010](3)映射服务器MS在映射查询表中进行映射查询，若未查询到，则对边缘接入路由器AR响应拒绝包，进入步骤(7);若查询到，则判断在映射查询表中目的EID地址映射是否事先设置为受控:若不受控(即常规的、不涉及业务访问控制的EID-RLOC映射)，则映射服务器MS直接对响应边缘接入路由器AR进行映射查询响应，进入步骤(5);若受控(与业务访问控制相关的EID-RLOC映射)，则映射服务器MS发送业务访问控制查询请求到业务访问控制服务器ACS，进入步骤(4);
[0011 ] (4)业务访问控制服务器ACS根据预设的访问权限设置向映射服务器MS反馈业务访问控制查询响应包:若源EID有权访问目的EID，则授权映射服务器MS对边缘接入路由器AR进行映射查询响应，进入步骤(5);若源EID无权访问目的EID，则指示映射服务器MS对边缘接入路由器AR响应拒绝包，进入步骤(7)；
[0012](5)边缘接入路由器AR将映射服务器MS返回的映射查询响应更新至本地的标识映射缓存表中，进入步骤(6)；
[0013](6)边缘接入路由器AR根据目的EID和目的RLOC间的映射关系，将业务客户端的连接请求进行隧道封装发往业务服务器，隧道的源IP地址为边缘接入路由器AR核心网端口的RL0C，目的IP地址为查询到的目的RLOC ;边缘接入路由器AR后续收到的该业务客户端向该业务服务器发送的业务数据可使用边缘接入路由器AR更新后的本地的标识映射缓存表；
[0014](7)映射查询请求被MS拒绝时，边缘路由器AR丢弃业务客户端对业务服务器的访问请求。
[0015]优选的，所述边缘接入路由器AR中本地的标识映射缓存表，每一个表项中的内容均包括:目的EID、源EID、目的RLOC和源EID必要性标记，其中源EID必要性标记的初始值为I ;在步骤(2)中，对是否有该业务服务器的标识映射进行判断时，当源EID必要性标记为I时，目的EID和源EID两项内容必须全部匹配，才能够确认有标识映射，并可以使用标识映射缓存表；当源EID必要性标记为O时，仅需匹配目的EID，就能够确认有标识映射，并可以使用标识映射缓存表。
[0016]优选的，所述步骤(2)中，边缘接入路由器AR向映射服务器MS发送的映射查询请求中，包括目的EID和源EID。
[0017]优选的，所述步骤(3)和步骤(4)中，映射服务器MS对边缘接入路由器AR进行映射查询响应，包括目的EID、源EID、目的RLOC和源EID必要性标记；步骤(3)中，映射服务器MS直接对响应边缘接入路由器AR进行映射查询响应，源EID必要性标记为O ;步骤(4)中，映射服务器MS对响应边缘接入路由器AR进行映射查询响应，源EID必要性标记为I。
[0018]所述业务访问控制服务器ACS可由网络运营商管理设置，即网络运营商可在业务访问控制服务器ACS上对业务服务器的访问权限进行设置，为多部门、多用户对业务服务器的共享访问设置相应的访问权限。
[0019]有益效果:本发明提供的标识网业务访问控制方法，具有如下两方面的优势:
[0020]1、安全的业务访问控制:传统的基于高层的鉴权认证机制，密钥易丢失、服务器易受攻击，而本发明中业务访问的权限控制由核心网内的ACS实现，由于无法在边缘直接访问核心网，因此ACS的安全性有保障，权限控制有保障；通过ACS进行访问控制的业务服务器，其RLOC不会被非法用户获得，因此业务服务器的安全性高；
[0021]2、安全高效的多源业务数据多部门共享分发:传统的多源业务数据多部门共享，基于业务服务器来实现，即来自多个源的业务数据收集到一台公用业务服务器，不同行业不同部门访问公用业务服务器，在公用业务服务器上通过高层的鉴权认证机制实现不同行业不同部门的不同访问权限，公用业务服务器易受攻击，可靠性低、效率低；采用本发明，可通过在业务控制服务器上设置不同行业、不同部门、不同用户对多个源的访问权限，业务的安全分发完全在网络层实现，不需要公用业务服务器，安全性、可靠性、效率都得到了有力的保障。
【专利附图】

【附图说明】
[0022]图1为本发明中业务访问控制系统组成示例图；
[0023]图2为本发明中业务访问控制通信流程图。
【具体实施方式】
[0024]下面结合附图对本发明作更进一步的说明。
[0025]如图1所 示为一种基于标识网的访问控制系统，包括网络设备和终端/服务设备。
[0026]所述网络设备包括边缘接入路由器AR和映射服务器MS等，边缘接入路由器AR跨接边缘标识网和核心网，边缘接入路由器AR连接核心网的端口使用传统IP地址，映射服务器MS位于核心网、使用传统IP地址；以上传统IP地址也称为RLOC (位置标识)。。
[0027]所述终端/服务设备包括业务客户端、业务服务器和业务访问控制服务器ACS等，业务客户端和业务服务器位于边缘标识网内、拥有EID，业务访问控制服务器ACS位于核心网内、使用传统IP地址。
[0028]如图1所示，本例中，业务服务器为分布于各边缘标识网的监控摄像头，业务客户端为位于各视频监控中心的视频监控终端，如视频监控中心A的视频监控终端Al等。
[0029]如图2所示，为基于上述基于标识网的访问控制系统的业务访问控制方法，具体包括如下步骤:
[0030](I)业务客户端向边缘接入路由器AR发送对业务服务器的连接请求(包括业务数据等)；源地址为业务客户端的EID，称之为源EID ；目的地址为业务服务器的EID，称之为目的EID ;进入步骤⑵。
[0031]在本实施例中，视频监控终端Al发出的视频连接请求数据包的结构如表1所示。
[0032]表1视频连接申请数据包的结构
【权利要求】
1.一种标识网业务访问控制方法，其特征在于:基于标识网的访问控制系统进行业务访问控制，所述标识网的访问控制系统包括网络设备和终端/服务设备；所述网络设备包括边缘接入路由器AR和映射服务器MS，边缘接入路由器AR跨接边缘标识网和核心网，边缘接入路由器AR连接核心网的端口使用传统IP地址，映射服务器MS位于核心网、使用传统IP地址；所述终端/服务设备包括业务客户端、业务服务器和业务访问控制服务器ACS，业务客户端和业务服务器位于边缘标识网内、拥有EID，业务访问控制服务器ACS位于核心网内、使用传统IP地址；以上传统IP地址也称为RLOC。 所述业务访问控制具体包括如下步骤: (1)业务客户端向边缘接入路由器AR发送对业务服务器的连接请求；源地址为业务客户端的EID，称之为源EID ；目的地址为业务服务器的目的EID ;进入步骤(2); (2)边缘接入路由器AR收到连接请求后，在本地的标识映射缓存表中查询是否有该业务服务器的标识映射:若有该标识映射，则进入步骤(6);若无该标识映射，则由边缘接入路由器AR向映射服务器MS发送目的EID和目的RLOC间的映射查询请求，进入步骤(3); (3)映射服务器MS在映射查询表中进行映射查询，若未查询到，则对边缘接入路由器AR响应拒绝包，进入步骤(7);若查询到，则判断在映射查询表中目的EID地址映射是否事先设置为受控:若不受控，则映射服务器MS直接对响应边缘接入路由器AR进行映射查询响应，进入步骤(5);若受控，则映射服务器MS发送业务访问控制查询请求到业务访问控制服务器ACS，进入步骤(4); (4)业务访问控制服务器ACS根据预设的访问权限设置向映射服务器MS反馈业务访问控制查询响应包:若源EID有权访问目的EID，则授权映射服务器MS对边缘接入路由器AR进行映射查询响应，进入步骤(5);若源EID无权访问目的EID，则指示映射服务器MS对边缘接入路由器AR响应拒绝包，进入步骤(7)； (5)边缘接入路由器AR将映射服务器MS返回的映射查询响应更新至本地的标识映射缓存表中，进入步骤(6)； (6)边缘接入路由器AR根据目的EID和目的RLOC间的映射关系，将业务客户端的连接请求进行隧道封装发往业务服务器，隧道的源IP地址为边缘接入路由器AR核心网端口的RL0C，目的IP地址为查询到的目的RLOC ;边缘接入路由器AR后续收到的该业务客户端向该业务服务器发送的业务数据可使用边缘接入路由器AR更新后的本地的标识映射缓存表; (7)映射查询请求被MS拒绝时，边缘路由器AR丢弃业务客户端对业务服务器的访问请求。
2.根据权利要求1所述的标识网业务访问控制方法，其特征在于:所述边缘接入路由器AR中本地的标识映射缓存表，每一个表项中的内容均包括:目的EID、源EID、目的RLOC和源EID必要性标记，其中源EID必要性标记的初始值为I ;在步骤(2)中，对是否有该业务服务器的标识映射进行判断时，当源EID必要性标记为I时，目的EID和源EID两项内容必须全部匹配，才能够确认有标识映射，并可以使用标识映射缓存表；当源EID必要性标记为O时，仅需匹配目的EID，就能够确认有标识映射，并可以使用标识映射缓存表。
3.根据权利要求1所述的标识网业务访问控制方法，其特征在于:所述步骤(2)中，边缘接入路由器AR向映射服务器MS发送的映射查询请求中，包括目的EID和源EID。
4.根据权利要求1所述的标识网业务访问控制方法，其特征在于:所述步骤(3)和步骤(4)中，映射服务器MS对边缘接入路由器AR进行映射查询响应，包括目的EID、源EID、目的RLOC和源EID必要性标记；步骤(3)中，映射服务器MS直接对响应边缘接入路由器AR进行映射查询响应，源EID必要性标记为O ;步骤(4)中，映射服务器MS对响应边缘接入路由器AR进行映射查询响应，源E ID必要性标记为I。
【文档编号】H04L29/08GK103986769SQ201410214626
【公开日】2014年8月13日 申请日期:2014年5月20日 优先权日:2014年5月20日
【发明者】王霄峻, 陈晓曙 申请人:东南大学