基于STiP模型的安全终端标识及认证方法及系统与流程

本发明涉及通信领域，尤其涉及一种基于STiP(安全可信网络协议，Secure and Trusted internet Protocol)模型的通信方法及系统。

背景技术：

随着人们对于终端可移动性的需求的日益增长，可移动设备被越来越广泛的被使用，例如笔记本电脑、智能手机以及平板电脑等设备。同时，为了避免有线网络连接的局限性，无线网络也日益普及。而随着可移动设备越来越广泛的被使用，伴随而来的是可移动设备由于其移动性带来的安全隐患，同时，由于现有的TCP/IP协议不具备地址真实性鉴别等内在的安全机制，导致攻击源头和攻击者身份难以追查。

技术实现要素：

本发明旨在至少克服上述缺陷之一提供一种基于STiP模型的安全终端标识及认证方法及系统，以保证本端终端主机接入的安全性。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明的一个方面提供了一种基于STiP模型的安全终端标识及认证方法，包括：本端终端主机利用本端终端主机的私钥将包含有源安全主机标识符和目的安全主机标识符的数据包原文进行签名，得到待发送数据包，将待发送数据包发送至接入认证服务器，其中，待发送数据包包括数据包原文以及签名，源安全主机标识符为本端终端主机的唯一标识，目的安全主机标识符为对端终端主机的唯一标识；接入认证服务器接收待发送数据包，在本地映射缓存表中未查找到与源安全主机标识符绑定的绑定信息的情况下，向本地映射解析器发送查询与源安全主机标识符绑定的绑定信息的请求，其中，与源安全主机标识符绑定的绑定信息至少包括源安全主机标识符、与源安全主机标识符绑定的公钥以及本端终端主机接入的本端接入路由器的路由位置标识；本地映射解析器解析查询与源安全主机标识符绑定的绑定信息的请求，在本地查询与源安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与源安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器、顶级映射解析器以及权限映射解析器进行迭代查询，并从权限映射解析器获取与源安全主机标识符绑定的绑定信息，并将与源安全主机标识符绑定的绑定信息发送至接入认证服务器；接入认证服务器接收与源安全主机标识符绑定的绑定信息，利用与源安全主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，将待转发数据包发送至本端接入路由器，其中，待转发数据包至少包括数据包原文；本端接入路由器接收待转发数据包，在本地映射缓存表中未查找到与目的安全主机标识符绑定的绑定信息的情况下，向本地映射解析器发送查询与目的安全主机标识符绑定的绑定信息的请求，其中，与目的安全主机标识符绑定的绑定信息至少包括目的安全主机标识符、与目的安全主机标识符绑定的公钥以及对端终端主机接入的对端接入路由器的路由位置标识；本地映射解析器解析查询与目的安全主机标识符绑定的绑定信息的请求，在本地查询与与目的安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与目的安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器、顶级映射解析器以及权限映射解析器进行迭代查询，并从权限映射解析器获取与目的安全主机标识符绑定的绑定信息，并将与目的安全主机标识符绑定的绑定信息发送至本端接入路由器；本端接入路由器将源路由位置标识以及目的路由位置标识封装到待转发数据包，将封装后的待转发数据包发送至对端接入路由器，其中，源路由位置标识为本端接入路由器的路由位置标识，目的路由位置标识为对端接入路由器的路由位置标识；对端接入路由器接收封装后的待转发数据包，将封装后的待转发数据包进行解封装，得到待转发数据包，并将待转发数据包发送至对端终端主机。

另外，接入认证服务器接收与源安全主机标识符绑定的绑定信息之后，方法还包括：接入认证服务器将与源安全主机标识符绑定的绑定信息保存在本地映射缓存表中。

另外，本地映射缓存表中还存储有与源安全主机标识符绑定的绑定信息的缓存时间长度；方法还包括：接入认证服务器在缓存时间长度到时后，删除与源安全主机标识符绑定的绑定信息。

另外，源安全主机标识符和目的安全主机标识符是按照预设结构命名的。

另外，根映射解析器、顶级映射解析器以及权限映射解析器组成树状的拓扑结构。

另外，根映射解析器、顶级映射解析器以及权限映射解析器组成去中心化的拓扑结构。

另外，接入认证服务器接收待发送数据包之后，将待转发数据包发送至本端接入路由器之前，方法还包括：接入认证服务器使用哈希算法对源安全主机标识符和目的安全主机标识符进行运算，获得源安全主机标识标签和目的安全主机标识标签，将源安全主机标识标签和目的安全主机标识标签替换数据包原文中的源安全主机标识符和目的安全主机标识符。

本发明另一方面提供了一种基于STiP模型的安全终端标识及认证系统，包括：本端终端主机，用于利用本端终端主机的私钥将包含有源安全主机标识符和目的安全主机标识符的数据包原文进行签名，得到待发送数据包，将待发送数据包发送至接入认证服务器，其中，待发送数据包包括数据包原文以及签名，源安全主机标识符为本端终端主机的唯一标识，目的安全主机标识符为对端终端主机的唯一标识；接入认证服务器，用于接收待发送数据包，在本地映射缓存表中未查找到与源安全主机标识符绑定的绑定信息的情况下，向本地映射解析器发送查询与源安全主机标识符绑定的绑定信息的请求，其中，与源安全主机标识符绑定的绑定信息至少包括源安全主机标识符、与源安全主机标识符绑定的公钥以及本端终端主机接入的本端接入路由器的路由位置标识；本地映射解析器，用于解析查询与源安全主机标识符绑定的绑定信息的请求，在本地查询与源安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与源安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器、顶级映射解析器以及权限映射解析器进行迭代查询，并从权限映射解析器获取与源安全主机标识符绑定的绑定信息，并将与源安全主机标识符绑定的绑定信息发送至接入认证服务器；接入认证服务器，还用于接收与源安全主机标识符绑定的绑定信息，利用与源安全主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，将待转发数据包发送至本端接入路由器，其中，待转发数据包至少包括数据包原文；本端接入路由器，用于接收待转发数据包，在本地映射缓存表中未查找到与目的安全主机标识符绑定的绑定信息的情况下，向本地映射解析器发送查询与目的安全主机标识符绑定的绑定信息的请求，其中，与目的安全主机标识符绑定的绑定信息至少包括目的安全主机标识符、与目的安全主机标识符绑定的公钥以及对端终端主机接入的对端接入路由器的路由位置标识；本地映射解析器，还用于解析查询与目的安全主机标识符绑定的绑定信息的请求，在本地查询与与目的安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与目的安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器、顶级映射解析器以及权限映射解析器进行迭代查询，并从权限映射解析器获取与目的安全主机标识符绑定的绑定信息，并将与目的安全主机标识符绑定的绑定信息发送至本端接入路由器；本端接入路由器，还用于将源路由位置标识以及目的路由位置标识封装到待转发数据包，将封装后的待转发数据包发送至对端接入路由器，其中，源路由位置标识为本端接入路由器的路由位置标识，目的路由位置标识为对端接入路由器的路由位置标识；对端接入路由器，用于接收封装后的待转发数据包，将封装后的待转发数据包进行解封装，得到待转发数据包，并将待转发数据包发送至对端终端主机。

另外，接入认证服务器，还用于在接收与源安全主机标识符绑定的绑定信息之后，将与源安全主机标识符绑定的绑定信息保存在本地映射缓存表中。

另外，本地映射缓存表中还存储有与源安全主机标识符绑定的绑定信息的缓存时间长度；接入认证服务器，还用于在缓存时间长度到时后，删除与源安全主机标识符绑定的绑定信息。

另外，源安全主机标识符和目的安全主机标识符是按照预设结构命名的。

另外，根映射解析器、顶级映射解析器以及权限映射解析器组成树状的拓扑结构。

另外，根映射解析器、顶级映射解析器以及权限映射解析器组成去中心化的拓扑结构。

另外，接入认证服务器，还用于在接收待发送数据包之后，将待转发数据包发送至本端接入路由器之前，使用哈希算法对源安全主机标识符和目的安全主机标识符进行运算，获得源安全主机标识标签和目的安全主机标识标签，将源安全主机标识标签和目的安全主机标识标签替换数据包原文中的源安全主机标识符和目的安全主机标识符。

由上述本发明提供的技术方案可以看出，通过本发明实施例提供的基于STiP模型的安全终端标识及认证方法及系统，可以从源头上解决源地址欺骗、身份安全等网络安全问题，从而有利于构建自主可控、安全可信的互联网环境。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的基于STiP模型的安全终端标识及认证系统的结构示意图；

图2为本发明实施例提供的基于STiP模型的安全终端标识及认证方法的流程图。

具体实施方式

下面结合附图对本发明的实施方式进行详细说明。

图1示出了本发明实施例提供的一种基于STiP模型的安全终端标识及认证系统的结构示意图，参见图1，本发明实施例提供的基于STiP模型的安全终端标识及认证系统，包括：IP地址相互独立的接入网10以及骨干网20，其中，接入网10包括多个终端主机(其中至少包括本端终端主机101以及对端终端主机103)以及至少一个接入认证服务器(其中至少包括与本端终端主机101连接的本端接入认证服务器102)。当然作为本发明的一种可选实施方式，至少一个接入认证服务器还还可以包括与对端终端主机103连接的对端接入认证服务器(图中未示出)。骨干网20包括多个接入路由器(其中至少包括本端接入路由器201以及对端接入路由器202)、本地映射解析器203、根映射解析器204、顶级映射解析器205以及权限映射解析器206，本端接入路由器201连接本端接入认证服务器102，对端接入路由器202连接对端终端主机103(在具有对端接入认证服务器的情况下，对端接入路由器202连接对端接入认证服务器)，本地映射解析器203、根映射解析器204、顶级映射解析器205以及权限映射解析器206依次连接。本领域技术人员可以理解的是，上述连接可以为有线连接也可以为无线连接，这在本发明中不做具体限制。以下，对本发明实施例提供的基于STiP模型的安全终端标识及认证系统进行详细说明：

本端终端主机101，用于利用本端终端主机的私钥将包含有源安全主机标识符和目的安全主机标识符的数据包原文进行签名，得到待发送数据包，将待发送数据包发送至接入认证服务器102，其中，待发送数据包包括数据包原文以及签名，源安全主机标识符为本端终端主机101的唯一标识，目的安全主机标识符为对端终端主机103的唯一标识；

接入认证服务器102，用于接收待发送数据包，在本地映射缓存表中未查找到与源安全主机标识符绑定的绑定信息的情况下，向本地映射解析器203发送查询与源安全主机标识符绑定的绑定信息的请求，其中，与源安全主机标识符绑定的绑定信息至少包括源安全主机标识符、与源安全主机标识符绑定的公钥以及本端终端主机接入的本端接入路由器201的路由位置标识；

本地映射解析器203，用于解析查询与源安全主机标识符绑定的绑定信息的请求，在本地查询与源安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与源安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器204、顶级映射解析器205以及权限映射解析器206进行迭代查询，并从权限映射解析器206获取与源安全主机标识符绑定的绑定信息，并将与源安全主机标识符绑定的绑定信息发送至接入认证服务器102；

接入认证服务器102，还用于接收与源安全主机标识符绑定的绑定信息，利用与源安全主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，将待转发数据包发送至本端接入路由器201，其中，待转发数据包至少包括数据包原文；

本端接入路由器201，用于接收待转发数据包，在本地映射缓存表中未查找到与目的安全主机标识符绑定的绑定信息的情况下，向本地映射解析器203发送查询与目的安全主机标识符绑定的绑定信息的请求，其中，与目的安全主机标识符绑定的绑定信息至少包括目的安全主机标识符、与目的安全主机标识符绑定的公钥以及对端终端主机接入的对端接入路由器的路由位置标识；

本地映射解析器203，还用于解析查询与目的安全主机标识符绑定的绑定信息的请求，在本地查询与与目的安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与目的安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器204、顶级映射解析器205以及权限映射解析器206进行迭代查询，并从权限映射解析器获取与目的安全主机标识符绑定的绑定信息，并将与目的安全主机标识符绑定的绑定信息发送至本端接入路由器201；

本端接入路由器201，还用于将源路由位置标识以及目的路由位置标识封装到待转发数据包，将封装后的待转发数据包发送至对端接入路由器202，其中，源路由位置标识为本端接入路由器201的路由位置标识，目的路由位置标识为对端接入路由器202的路由位置标识；

对端接入路由器202，用于接收封装后的待转发数据包，将封装后的待转发数据包进行解封装，得到待转发数据包，并将待转发数据包发送至对端终端主机103。

由此可见，通过本发明实施例提供的基于STiP模型的安全终端标识及认证系统，可以从源头上解决源地址欺骗、身份安全等网络安全问题，从而有利于构建自主可控、安全可信的互联网环境。

具体地，接入网10可以完成终端主机的接入，在本发明实施例提供的STiP模型基础上，使用全局唯一的SHI(安全主机标识符，Secure Host Identifier)来标识网络中接入的每台终端主机，该安全主机标识不参与全局路由。骨干网20可以实现数据路由，本地映射解析器203、根映射解析器204、顶级映射解析器205以及权限映射解析器206可以配置为一个服务器，例如一个映射服务器，也可以配置为一个服务器集群，这在本发明中不做限制。

同时，接入网10与骨干网20使用独立的地址空间：接入网10使用安全终端标识符转发数据，骨干网20使用IP地址路由和转发数据包。由于终端主机不能直接访问接入路由器，因此，可有效防止终端主机对接入路由器的攻击。从而使得本发明实施例提供的STiP模型中接入网10和骨干网20分离架构这一设计可保证未来终端接入技术与骨干网架构分别独立地演进。

在接入网10中，由接入认证服务器来验证终端主机的真实性。具体地，在使用前，各个终端主机会被例如映射服务器分配一对公私钥，该公私钥与终端主机标识进行绑定，即公私钥与SHI进行绑定，同时，还将SHI与接入路由器的RLOC(路由位置标识，Routing Locator)进行绑定，即，映射服务器可以记录为各个终端主机绑定的三元组，该三元组包括SHI、与SHI绑定的公钥，SHI接入的接入路由器的RLOC。源终端主机使用私钥对数据包进行签名，接入认证服务器可以通过查询例如映射服务器获取和源SHI绑定的公钥，对来自源终端主机的数据包进行鉴别。以下提供一种具体实现方案，但本发明并不局限于此，在STiP模型中，当一个站点的终端主机向另外一个站点的终端主机发送数据时，即当本端终端主机101向对端终端主机103发送数据时，当数据到达接入认证服务器102后，如果在本端接入认证服务器的本地映射缓存表中没有找到SHI-to-RLOC(即本端终端主机的安全主机标识符与本端接入路由的路由位置标识的映射关系)的映射表项，会向LMR(本地映射解析器，Local Map Resolver)发送报文，请求获取SHI-to-RLOC的映射关系；LMR收到接入认证服务器102的请求后开始解析该请求报文，首先在本地查找与本端终端主机的SHI绑定的绑定信息，如果SHI记录不存在，LMR会向RMR(根映射解析器，Root Map Resolver)发起迭代查询，本地映射解析器经过根映射解析器、TMR(顶级映射解析器，Top-level Map Resolver)和AMR(权限映射解析器，Authoritative Map Resolver)的三次迭代查询后从权限映射解析器得到接入认证服务器102查询的SHI的绑定信息，即SHI-Public Key-RLOC(与SHI绑定的公钥)。在接入认证服务器102将数据包发送至本端接入路由器201后，本端接入路由器201获取对端终端主机103的SHI绑定的RLOC地址，然后本端接入路由器201以自己的RLOC为源地址，以对端接入路由器202的RLOC为目的地址封装报文。对端接入路由器202接收到数据包后解封装报文，再将报文发送到对端终端主机103。

接入网20中接入认证服务器102要验证接入的终端主机不是伪造和冒充的具体可以通过如下方式实现：本端终端主机101将报文X经过摘要运算后得到很短的报文摘要H1，再用自己的私钥对H1进行D运算，即数字签名。得出签名D(H1)后，将其附加在报文X后面发送出去，接入认证服务器102收到报文后首先把签名D(H1)和报文X分离，再用本端终端主机101的公钥对D(H1)进行E运算，得出报文摘要H1，再对报文X进行摘要运算，得出报文摘要H2。如果H1等于H2，接入认证服务器102就能断定收到的报文是真实的；否则就不是。

作为本发明实施例的一个可选实施方式，接入认证服务器102，还用于在接收与源安全主机标识符绑定的绑定信息之后，将与源安全主机标识符绑定的绑定信息保存在本地映射缓存表中。具体地，接入认证服务器102每次查询请求得到响应后，会将响应报文中携带的绑定信息保存在本地映射缓存表中，以方便后续使用而无需再次去查询，提高处理效率。

作为本发明实施例的一个可选实施方式，本地映射缓存表中还存储有与源安全主机标识符绑定的绑定信息的缓存时间长度；接入认证服务器，还用于在缓存时间长度到时后，删除与源安全主机标识符绑定的绑定信息。具体地，在本地映射缓存表存储的缓存记录可以设置一个TTL(Time-To-Live)值，即一条绑定信息缓存的时间长度，从而保证在一定时间内提高效率的同时，在超出该时间内需要重新获取绑定信息以提高安全性。

作为本发明实施例的一个可选实施方式，源安全主机标识符和目的安全主机标识符是按照预设结构命名的。具体地，本发明实施例提供的安全主机标识符均可以采用有层次结构的主机标识命名方案来命名，从而可以保证SHI的全局唯一性和聚合性。

作为本发明实施例的一个可选实施方式，根映射解析器204、顶级映射解析器205以及权限映射解析器206组成树状的拓扑结构。由此，从顶至下的迭代查询可保证每一次的映射解析都是最短搜索路径，这样既可以保证SHI的全局唯一性和聚合性，也可以控制每一层映射解析器的映射表规模。

作为本发明实施例的一个可选实施方式，根映射解析器204、顶级映射解析器205以及权限映射解析器206组成去中心化的拓扑结构。由于映射关系的更新频率主要受终端主机位置移动和可达状态的影响，本发明通过建立的层次树状的映射解析体系可以快速响应映射关系的注册、更新、查询和删除请求，映射关系的更新频率和更新消息的通信量不会成为各层映射解析器的性能瓶颈，因为映射关系的维护是状态收敛的，映射查询延迟和映射状态规模是可控的。

具体地，例如SHI名字结构示例如下：facility.scheme.bistu.edu.cn，解析facility.scheme.bistu.edu.cn的映射关系的迭代查询步骤如下：

A、本地映射解析器分析全名，确定需要对cn映射解析器具有权威性控制的服务器的位置，请求并获取响应；

B、请求对cn映射解析器查询获取edu.cn服务器的参考信息；

C、请求对edu.cn映射解析器查询获取bistu.edu.cn服务器的参考信息；

D、请求bistu.edu.cn映射解析器，获取scheme.bistu.edu.cn的服务器的参考信息；

E、请求scheme.bistu.edu.cn映射解析器，获取facility.scheme.bistu.edu.cn的绑定信息响应。

作为本发明实施例的一个可选实施方式，接入认证服务器102，还用于在接收待发送数据包之后，将待转发数据包发送至本端接入路由器201之前，使用哈希算法对源安全主机标识符和目的安全主机标识符进行运算，获得源安全主机标识标签和目的安全主机标识标签，将源安全主机标识标签和目的安全主机标识标签替换数据包原文中的源安全主机标识符和目的安全主机标识符。由于安全主机标识符SHI是全局唯一的，为了增加骨干网20内传输的数据包中源主机标识符的私密性，具体实现中可以考虑在接入认证服务器102使用哈希算法对不定长的安全主机标识符生成固定长度的SHIT(安全主机标识标签，Secure Host Identifier Tag)，然后将原始数据包中的源主机标识符替换为该哈希值。

图2示出了本发明实施例提供的一种基于STiP模型的安全终端标识及认证方法的流程图，本发明实施例提供的基于STiP模型的安全终端标识及认证方法应用于上述系统，以下仅对本发明实施例提供的基于STiP模型的安全终端标识及认证方法进行简单说明，其他未尽事宜，具体参见上述系统的相关说明。参见图2，本发明实施例提供的基于STiP模型的安全终端标识及认证方法包括：

S201，本端终端主机利用本端终端主机的私钥将包含有源安全主机标识符和目的安全主机标识符的数据包原文进行签名，得到待发送数据包，将待发送数据包发送至接入认证服务器，其中，待发送数据包包括数据包原文以及签名，源安全主机标识符为本端终端主机的唯一标识，目的安全主机标识符为对端终端主机的唯一标识；

S202，接入认证服务器接收待发送数据包，在本地映射缓存表中未查找到与源安全主机标识符绑定的绑定信息的情况下，向本地映射解析器发送查询与源安全主机标识符绑定的绑定信息的请求，其中，与源安全主机标识符绑定的绑定信息至少包括源安全主机标识符、与源安全主机标识符绑定的公钥以及本端终端主机接入的本端接入路由器的路由位置标识；

S203，本地映射解析器解析查询与源安全主机标识符绑定的绑定信息的请求，在本地查询与源安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与源安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器、顶级映射解析器以及权限映射解析器进行迭代查询，并从权限映射解析器获取与源安全主机标识符绑定的绑定信息，并将与源安全主机标识符绑定的绑定信息发送至接入认证服务器；

S204，接入认证服务器接收与源安全主机标识符绑定的绑定信息，利用与源安全主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，将待转发数据包发送至本端接入路由器，其中，待转发数据包至少包括数据包原文；

S205，本端接入路由器接收待转发数据包，在本地映射缓存表中未查找到与目的安全主机标识符绑定的绑定信息的情况下，向本地映射解析器发送查询与目的安全主机标识符绑定的绑定信息的请求，其中，与目的安全主机标识符绑定的绑定信息至少包括目的安全主机标识符、与目的安全主机标识符绑定的公钥以及对端终端主机接入的对端接入路由器的路由位置标识；

S206，本地映射解析器解析查询与目的安全主机标识符绑定的绑定信息的请求，在本地查询与与目的安全主机标识符绑定的绑定信息，在本地映射解析器未查找到与目的安全主机标识符绑定的绑定信息的情况下，依次向根映射解析器、顶级映射解析器以及权限映射解析器进行迭代查询，并从权限映射解析器获取与目的安全主机标识符绑定的绑定信息，并将与目的安全主机标识符绑定的绑定信息发送至本端接入路由器；

S207，本端接入路由器将源路由位置标识以及目的路由位置标识封装到待转发数据包，将封装后的待转发数据包发送至对端接入路由器，其中，源路由位置标识为本端接入路由器的路由位置标识，目的路由位置标识为对端接入路由器的路由位置标识；

S208，对端接入路由器接收封装后的待转发数据包，将封装后的待转发数据包进行解封装，得到待转发数据包，并将待转发数据包发送至对端终端主机。

由此可见，通过本发明实施例提供的基于STiP模型的安全终端标识及认证方法，可以从源头上解决源地址欺骗、身份安全等网络安全问题，从而有利于构建自主可控、安全可信的互联网环境。

作为本发明实施例的一个可选实施方式，接入认证服务器接收与源安全主机标识符绑定的绑定信息之后，方法还包括：接入认证服务器将与源安全主机标识符绑定的绑定信息保存在本地映射缓存表中。具体地，接入认证服务器每次查询请求得到响应后，会将响应报文中携带的绑定信息保存在本地映射缓存表中，以方便后续使用而无需再次去查询，提高处理效率。

作为本发明实施例的一个可选实施方式，本地映射缓存表中还存储有与源安全主机标识符绑定的绑定信息的缓存时间长度；方法还包括：接入认证服务器在缓存时间长度到时后，删除与源安全主机标识符绑定的绑定信息。具体地，在本地映射缓存表存储的缓存记录可以设置一个TTL(Time-To-Live)值，即一条绑定信息缓存的时间长度，从而保证在一定时间内提高效率的同时，在超出该时间内需要重新获取绑定信息以提高安全性。

作为本发明实施例的一个可选实施方式，源安全主机标识符和目的安全主机标识符是按照预设结构命名的。具体地，本发明实施例提供的安全主机标识符均可以采用有层次结构的主机标识命名方案来命名，从而可以保证SHI的全局唯一性和聚合性。

作为本发明实施例的一个可选实施方式，根映射解析器、顶级映射解析器以及权限映射解析器组成树状的拓扑结构。由此，从顶至下的迭代查询可保证每一次的映射解析都是最短搜索路径，这样既可以保证SHI的全局唯一性和聚合性，也可以控制每一层映射解析器的映射表规模。

作为本发明实施例的一个可选实施方式，根映射解析器、顶级映射解析器以及权限映射解析器组成去中心化的拓扑结构。由于映射关系的更新频率主要受终端主机位置移动和可达状态的影响，本发明通过建立的层次树状的映射解析体系可以快速响应映射关系的注册、更新、查询和删除请求，映射关系的更新频率和更新消息的通信量不会成为各层映射解析器的性能瓶颈，因为映射关系的维护是状态收敛的，映射查询延迟和映射状态规模是可控的。

作为本发明实施例的一个可选实施方式，接入认证服务器接收待发送数据包之后，将待转发数据包发送至本端接入路由器之前，方法还包括：接入认证服务器使用哈希算法对源安全主机标识符和目的安全主机标识符进行运算，获得源安全主机标识标签和目的安全主机标识标签，将源安全主机标识标签和目的安全主机标识标签替换数据包原文中的源安全主机标识符和目的安全主机标识符。由于安全主机标识符SHI是全局唯一的，为了增加骨干网20内传输的数据包中源主机标识符的私密性，具体实现中可以考虑在接入认证服务器102使用哈希算法对不定长的安全主机标识符生成固定长度的SHIT(安全主机标识标签，Secure Host Identifier Tag)，然后将原始数据包中的源主机标识符替换为该哈希值。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上的实施例仅是对本发明的优选实施方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通工程技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明的权利要求书确定的保护范围内。