1.一种基于STiP模型的安全路由方法,其特征在于,包括:
本端路由器接收本端数据包,其中,所述本端数据包封装有源路由位置标识和目的路由位置标识,所述源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为所述全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;
本端路由器将本端待转发数据包发送至所述对端路由器,其中,所述本端待转发数据包至少包括所述本端数据包以及本端签名,所述本端签名为所述本端路由器利用本端路由器的私钥对所述本端数据包进行签名得到的;
所述对端路由器接收所述本端待转发数据包,查询本地映射表,获取与所述本端路由器的路由位置标识绑定的绑定信息,其中,所述与所述本端路由器的路由位置标识绑定的绑定信息至少包括:所述本端路由器的路由位置标识以及本端路由器的公钥;
所述对端路由器利用所述本端路由器的公钥验证所述本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,所述对端数据包至少包括所述本端数据包。
2.根据权利要求1所述的方法,其特征在于,所述本端路由器接收本端数据包包括:
前端路由器接收前端数据包,将前端待转发数据包发送至所述本端路由器,其中,所述前端待转发数据包至少包括前端数据包以及前端签名,所述前端签名为所述前端路由器利用前端路由器的私钥对所述前端数据包进行签名得到的;
所述本端路由器接收所述前端待转发数据包,查询本地映射表,获取与所述前端路由器的路由位置标识绑定的绑定信息,其中,所述与所述前端路由器的路由位置标识绑定的绑定信息至少包括:所述前端路由器的路由位置标识以及前端路由器的公钥;
所述本端路由器利用所述前端路由器的公钥验证所述前端待转发数据包的真伪,若检验通过,则至少将所述前端数据包作为所述本端数据包。
3.根据权利要求1或2所述的方法,其特征在于,所述对端路由器将对端数据包外发包括:
所述对端路由器将对端待转发数据包发送至所述后端路由器,其中,所述对端待转发数据包至少包括所述对端数据包以及对端签名,所述对端签名为所述对端路由器利用对端路由器的私钥对所述对端数据包进行签名得到的;
所述后端路由器接收所述对端待转发数据包,查询本地映射表,获取与所述对端路由器的路由位置标识绑定的绑定信息,其中,所述与所述对端路由器的路由位置标识绑定的绑定信息至少包括:所述对端路由器的路由位置标识以及对端路由器的公钥;
所述后端路由器利用所述对端路由器的公钥验证所述对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,所述后端数据包至少包括所述对端数据包。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
全局的路由节点中任意一个路由器接收所述全局的路由节点中任意另一个路由器发送的操作请求,向所述全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向所述全局路由节点中的每个路由器发送与所述操作请求对应的事务提交通知;
所述全局路由节点中的每个路由器在本地提交所述事务。
5.根据权利要求4所述的方法,其特征在于,
所述全局的路由节点中任意一个路由器接收所述全局的路由节点中任意另一个路由器发送的操作请求包括:
所述全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在所述操作请求中发送至全局路由节点中的任意一个路由器,其中,所述全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与所述全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;
所述全局路由节点中的每个路由器在本地提交所述事务包括:
所述全局路由节点中的每个路由器在本地提交所述全局的路由节点中任意另一个路由器的绑定信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;
所述全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与所述全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。
7.一种基于STiP模型的安全路由系统,其特征在于,包括:
本端路由器,用于接收本端数据包,其中,所述本端数据包封装有源路由位置标识和目的路由位置标识,所述源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为所述全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;将本端待转发数据包发送至所述对端路由器,其中,所述本端待转发数据包至少包括所述本端数据包以及本端签名,所述本端签名为所述本端路由器利用本端路由器的私钥对所述本端数据包进行签名得到的;
所述对端路由器,用于接收所述本端待转发数据包,查询本地映射表,获取与所述本端路由器的路由位置标识绑定的绑定信息,其中,所述与所述本端路由器的路由位置标识绑定的绑定信息至少包括:所述本端路由器的路由位置标识以及本端路由器的公钥,利用所述本端路由器的公钥验证所述本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,所述对端数据包至少包括所述本端数据包。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:前端路由器;
所述本端路由器,通过如下方式接收本端数据包:
所述前端路由器,用于接收前端数据包,将前端待转发数据包发送至所述本端路由器,其中,所述前端待转发数据包至少包所述前端数据包以及前端签名,所述前端签名为所述前端路由器利用前端路由器的私钥对所述前端数据包进行签名得到的;
所述本端路由器,还用于接收所述前端待转发数据包,查询本地映射表,获取与所述前端路由器的路由位置标识绑定的绑定信息,其中,所述与所述前端路由器的路由位置标识绑定的绑定信息至少包括:所述前端路由器的路由位置标识以及前端路由器的公钥,利用所述前端路由器的公钥验证所述前端待转发数据包的真伪,若检验通过,则至少将所述前端数据包作为所述本端数据包。
9.根据权利要求7或8所述的系统,其特征在于,所述系统还包括:后端路由器;
所述对端路由器通过如下方式将对端数据包外发包括:
所述对端路由器,还用于将对端待转发数据包发送至所述后端路由器,其中,所述对端待转发数据包至少包括所述对端数据包以及对端签名,所述对端签名为所述对端路由器利用对端路由器的私钥对所述对端数据包进行签名得到的;
所述后端路由器,用于接收所述对端待转发数据包,查询本地映射表,获取与所述对端路由器的路由位置标识绑定的绑定信息,其中,所述与所述对端路由器的路由位置标识绑定的绑定信息至少包括:所述对端路由器的路由位置标识以及对端路由器的公钥,利用所述对端路由器的公钥验证所述对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,所述后端数据包至少包括所述对端数据包。
10.根据权利要求7至9任一项所述的系统,其特征在于,全局的路由节点中任意一个路由器,用于接收所述全局的路由节点中任意另一个路由器发送的操作请求,向所述全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向所述全局路由节点中的每个路由器发送与所述操作请求对应的事务提交通知;
所述全局路由节点中的每个路由器,用于在本地提交所述事务。
11.根据权利要求10所述的系统,其特征在于,
所述全局的路由节点中任意一个路由器通过如下方式接收所述全局的路由节点中任意另一个路由器发送的操作请求:
所述全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在所述操作请求中发送至全局路由节点中的任意一个路由器,其中,所述全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与所述全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;
所述全局路由节点中的每个路由器通过如下方式在本地提交所述事务:
所述全局路由节点中的每个路由器在本地提交所述全局的路由节点中任意另一个路由器的绑定信息。
12.根据权利要求7所述的系统,其特征在于,
所述全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;
所述全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与所述全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。