專利名稱:標(biāo)識分配和分離存儲方法���、標(biāo)識替換傳輸方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種標(biāo)識分配和分離存儲方法���、標(biāo)識替換傳
輸方法及系統(tǒng)�����。
背景技術(shù):
隨著移動通信技術(shù)的飛速發(fā)展���,很多無線網(wǎng)絡(luò)被標(biāo)準(zhǔn)化和商業(yè)化,諸如3G�����、 WLAN、
WiMAX等���。但是這些網(wǎng)絡(luò)基本上是一種網(wǎng)絡(luò)支撐一種主要服務(wù)的模式�����,他們有不同的覆蓋范
圍和帶寬�,并且有各自的網(wǎng)絡(luò)架構(gòu)和接入認(rèn)證技術(shù)����, 一時還難以相互取代�����。因此在普遍使用
和高質(zhì)量的服務(wù)需求下��,異構(gòu)網(wǎng)絡(luò)之間的融合顯得頗為重要�。在現(xiàn)有的無線通信設(shè)施基礎(chǔ)
上,可以利用通用的智能終端接入各種網(wǎng)絡(luò)平臺�����,來滿足不同的應(yīng)用業(yè)務(wù)需求�。 在目前異構(gòu)無線網(wǎng)絡(luò)的接入認(rèn)證和通信過程中�����,終端標(biāo)識冗余問題比較嚴(yán)重對
于將終端的身份標(biāo)識和地址標(biāo)識合一的情況而言�,比如IP地址同時標(biāo)識終端的身份和地
址���,會造成標(biāo)識功能上的冗余��。為了解決標(biāo)識功能上的冗余����,可以采用將終端的身份標(biāo)識和
地址標(biāo)識功能分離��,比如IP地址只作為終端的地址標(biāo)識��,終端的身份用IMSI��、終端名等標(biāo)
識�,但在現(xiàn)網(wǎng)中通常是將終端的身份標(biāo)識和地址標(biāo)識、真實身份標(biāo)識和臨時身份標(biāo)識在網(wǎng)
絡(luò)中綁定使用����、存儲和傳輸,這種標(biāo)識的綁定不僅存在標(biāo)識數(shù)量上的冗余�����,造成資源浪費,
而且會在網(wǎng)絡(luò)中泄漏終端敏感信息���,帶來一系列安全問題��。另一方面��,目前不同的異構(gòu)無線
網(wǎng)絡(luò)間往往采用不同的接入認(rèn)證技術(shù)�����,終端必須要維護(hù)多套不同格式的認(rèn)證標(biāo)識�,從而在
接入異構(gòu)網(wǎng)絡(luò)時才能提供相應(yīng)的認(rèn)證信息��,實現(xiàn)異構(gòu)網(wǎng)絡(luò)間的垂直切換�,這不僅帶來標(biāo)識
形式上的冗余���,也會導(dǎo)致終端在移動漫游時的切換延時加大���,大大影響無縫漫游的效果。 因此異構(gòu)無線網(wǎng)絡(luò)迫切需要一種針對異構(gòu)無線網(wǎng)絡(luò)接入認(rèn)證的特點的無冗余的
終端標(biāo)識的分配���、存儲和傳輸機(jī)制��,從體系架構(gòu)和標(biāo)識使用機(jī)制上提高異構(gòu)無線網(wǎng)絡(luò)的安
全防護(hù)能力�����。
發(fā)明內(nèi)容
本發(fā)明提供的標(biāo)識分配和分離存儲方法���、標(biāo)識替換傳輸方法及系統(tǒng)�,以實現(xiàn)針對 異構(gòu)無線網(wǎng)絡(luò)接入認(rèn)證的特點的無冗余的終端標(biāo)識的分配���、存儲和傳輸��,從而提高異構(gòu)無 線網(wǎng)絡(luò)的安全防護(hù)能力���。 本發(fā)明提供一種標(biāo)識分配和分離存儲方法,將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶 域����、接入域、服務(wù)域和歸屬域����;其中���,服務(wù)域包括至少一個接入域,接入域包括至少一個用戶 域��,且在本地服務(wù)時���,所述歸屬域與所述服務(wù)域為同一網(wǎng)絡(luò)�����,所述方法包括
在終端認(rèn)證成功后���,歸屬域為該終端分配歸屬域標(biāo)識HID (HomeIdentity),并發(fā)送 包括HID的認(rèn)證成功消息至服務(wù)域���; 服務(wù)域為該終端分配服務(wù)域標(biāo)識SID (Service Identity)�,存儲從所述認(rèn)證成功 消息中獲取的HID與SID映射關(guān)系�,并發(fā)送包括HID和SID的認(rèn)證成功消息至接入域�����;
接入域為該終端分配接入域標(biāo)識AID (Access Identity)����,存儲從所述認(rèn)證成功消息中獲取的SID與AID映射關(guān)系�,并發(fā)送包括HID和AID的認(rèn)證成功消息至用戶域�;
用戶域從所述認(rèn)證成功消息中獲取HID和AID,存儲HID�����、 AID與終端真實身份標(biāo) 識RID(Real Identity)映射關(guān)系�����,所述RID為終端簽約該歸屬域時歸屬域分配的���。
優(yōu)選的�,所述終端認(rèn)證成功后還包括歸屬域與終端協(xié)商會話密鑰�����;則
用戶域存儲HID之前還包括利用所述會話密鑰解密從所述認(rèn)證成功消息中獲取 的HID�����。 優(yōu)選的,所述終端向歸屬域發(fā)送認(rèn)證請求中還包括初始HID��,所述初始HID為終端 簽約所述歸屬域時歸屬域分配給該終端的�;則終端向歸屬域發(fā)送請求具體為
終端將所述請求經(jīng)接入域發(fā)送至服務(wù)域; 所述服務(wù)域解析所述初始HID獲取所述歸屬域的地址信息���,并根據(jù)所述地址信息 將所述請求發(fā)送至所述歸屬域�。 優(yōu)選的����,所述終端向歸屬域發(fā)送認(rèn)證請求中還包括終端的真實身份標(biāo)識RID ;
利用歸屬域的公鑰加密所述RID ;所述歸屬域的公鑰為終端簽約所述歸屬域時歸 屬域分發(fā)給該終端的。 優(yōu)選的�,當(dāng)HID生命期滿時,所述方法還包括 歸屬域生成新HID�,向服務(wù)域發(fā)送包括新HID的HID更新消息; 服務(wù)域從所述HID更新消息中獲取新HID��,并轉(zhuǎn)發(fā)所述HID更新消息至用戶域�; 用戶域從所述HID更新消息中獲取新HID,將更新當(dāng)前HID為新HID�,并向服務(wù)域
發(fā)送更新成功消息; 服務(wù)域更新HID與SID的映射關(guān)系����,并向歸屬域轉(zhuǎn)發(fā)所述更新成功消息; 歸屬域更新HID與RID的映射關(guān)系�����。 優(yōu)選的��,當(dāng)SID生命期滿時����,所述方法還包括 服務(wù)域生成新SID,向接入域發(fā)送包括新SID的SID更新消息��; 接入域從所述SID更新消息中獲取新SID��,更新SID與AID的映射關(guān)系��,并向服務(wù)
域發(fā)送更新成功消息�����; 服務(wù)域更新SID與HID的映射關(guān)系�。 優(yōu)選的,當(dāng)AID生命期滿時�����,所述方法還包括 接入域生成新AID,向用戶域發(fā)送包括新AID的AID更新消息; 用戶域從所述AID更新消息中獲取新AID���,更新AID與RID的映射關(guān)系���,并向接入
域發(fā)送更新成功消息; 接入域更新AID與SID的映射關(guān)系�。 優(yōu)選的,當(dāng)接入域發(fā)生改變且服務(wù)域不變時���,所述方法還包括
終端向新的接入域發(fā)起AID更新請求�,所述更新請求中包括所述終端的舊AID ;
新的接入域向原接入域發(fā)送包括所述終端舊AID的服務(wù)域標(biāo)識請求消息���,原接入 域回復(fù)包括所述終端SID的應(yīng)答消息�����; 新的接入域生成新AID,向用戶域返回包括新AID的更新響應(yīng)消息����;
終端向原接入域發(fā)起AID刪除請求�; 原接入域刪除其存儲的AID與SID映射關(guān)系,向用戶域返回刪除成功消息��;
用戶域?qū)ID與RID的映射關(guān)系中的AID更新為所述新AID,并向新的接入域發(fā)送更新成功消息���; 新的接入域存儲所述新AID與SID的映射關(guān)系����。 優(yōu)選的��,當(dāng)接入域和服務(wù)域都發(fā)生改變時��,所述方法還包括 終端經(jīng)新的接入域向新的服務(wù)域發(fā)送更新請求��,所述更新請求中包括所述終端的
HID ; 新的服務(wù)域生成新SID�,向新的接入域發(fā)送包括新SID的更新信息���;
新的接入域生成新AID,向用戶域發(fā)送包含新AID的更新信息�����;
終端經(jīng)原接入域向原服務(wù)域發(fā)送刪除請求�����; 原服務(wù)域刪除其存儲的HID與SID的映射關(guān)系���,向原接入域返回刪除成功消息�����;
原接入域刪除其存儲的SID與AID的映射關(guān)系��,向用戶域返回刪除成功消息�;
用戶域?qū)ID與RID的映射關(guān)系中的AID更新為所述新AID���,向新的接入域發(fā)送更新成功消息�����; 新的接入域存儲所述新AID與新SID的映射關(guān)系����,向新的服務(wù)域發(fā)送更新成功消息���; 新的服務(wù)域存儲所述新SID與HID的映射關(guān)系��。 本發(fā)明還提供了一種基于上述方法實現(xiàn)標(biāo)識替換傳輸?shù)姆椒?����,包?當(dāng)需要發(fā)送數(shù)據(jù)包時�����,向目的域發(fā)送包括目的域已知域標(biāo)識的數(shù)據(jù)包��; 當(dāng)接收到數(shù)據(jù)包時���,解析所述數(shù)據(jù)包中的域標(biāo)識,驗證其真實性����;若還需繼續(xù)轉(zhuǎn)發(fā)
數(shù)據(jù)包,則在驗證成功后���,利用預(yù)存的域標(biāo)識映射關(guān)系得到目標(biāo)域已知域標(biāo)識�����,將數(shù)據(jù)包中
的當(dāng)前域標(biāo)識替換為目標(biāo)域已知域標(biāo)識��,轉(zhuǎn)發(fā)出去��。 本發(fā)明還提供了一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識分配和分離存儲系統(tǒng)��,該系統(tǒng)將異構(gòu)無線網(wǎng)絡(luò)根據(jù)服務(wù)功能劃分為用戶域���、接入域�、服務(wù)域和歸屬域�����,每個域都配置一個標(biāo)識映射服務(wù)器����,用于生成本域標(biāo)識和存儲更新本域已知域標(biāo)識間映射關(guān)系,其中
所述標(biāo)識映射服務(wù)器���,包括 第一發(fā)送單元���,用于將認(rèn)證成功消息發(fā)送給目的域的標(biāo)識映射服務(wù)器,該請求消息中包括本域已分配的域標(biāo)識�����; 第一接收單元�����,用于在接收到所述認(rèn)證成功消息后,從中提取出攜帶的所述已分配的域標(biāo)識�����; 標(biāo)識生成單元�,用于為所述終端生成一個唯一的本域標(biāo)識;以及 標(biāo)識存儲單元�����,用于在沒有保存所述認(rèn)證成功消息中的域標(biāo)識與本域新生成的域
標(biāo)識間的映射關(guān)系時���,將該映射關(guān)系保存,以及設(shè)定該映射關(guān)系的生命期����。 優(yōu)選的,所述標(biāo)識映射服務(wù)器��,還包括 第二發(fā)送單元�����,用于當(dāng)生命期到達(dá)時�����,或當(dāng)終端的接入域和/或服務(wù)域發(fā)生改變時,向相關(guān)域的標(biāo)識映射服務(wù)器發(fā)送標(biāo)識更新消息��; 第二接收單元��,用于接收相關(guān)域的標(biāo)識映射服務(wù)器發(fā)送的標(biāo)識更新消息�����。
優(yōu)選的��,所述標(biāo)識映射服務(wù)器����,還包括 標(biāo)識更新單元,用于當(dāng)生命期到達(dá)時對相應(yīng)的標(biāo)識映射關(guān)系進(jìn)行更新���,或在收到標(biāo)識更新消息時對相應(yīng)的映射關(guān)系進(jìn)行更新�。 本發(fā)明還提供了一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識替換傳輸系統(tǒng)��,其特征在于��,該系統(tǒng)將異構(gòu)無線網(wǎng)絡(luò)根據(jù)服務(wù)功能劃分為用戶域、接入域���、服務(wù)域和歸屬域�����,每個域都配置一個標(biāo)識映射服務(wù)器����,用于檢索和替換本域已知的終端標(biāo)識���;該系統(tǒng)包含源終端和至少一個目的端���,以及源終端所在域的標(biāo)識映射服務(wù)器;
所述源終端包括 請求消息發(fā)送單元���,用于將請求消息發(fā)送給本域標(biāo)識映射服務(wù)器,所述請求消息中包括本域已知的域標(biāo)識�����; 回復(fù)消息接收單元�,用于接收本域標(biāo)識映射服務(wù)器的回復(fù)消息,所述回復(fù)消息中包括目的端所在域的已知域標(biāo)識;以及 數(shù)據(jù)包發(fā)送單元���,用于向所述目的端發(fā)送數(shù)據(jù)包���,所述數(shù)據(jù)包包括目的端所在域
的已知域標(biāo)識; 所述目的端包括 數(shù)據(jù)包接收單元�����,用于當(dāng)接收到數(shù)據(jù)包時�,解析所述數(shù)據(jù)包中的域標(biāo)識,驗證其真實性���; 所述源終端的標(biāo)識映射服務(wù)器�,用于在接收到所述源終端請求消息發(fā)送單元發(fā)送
的請求消息后����,從預(yù)先保存的終端的域標(biāo)識映射關(guān)系中查找出與本域已知的域標(biāo)識相對應(yīng)
的目的端所在域的已知域標(biāo)識,并發(fā)送回復(fù)消息至所述回復(fù)消息接收單元�。 本發(fā)明提供的標(biāo)識分配和分離存儲方法、標(biāo)識替換傳輸方法及系統(tǒng)���,有益效果
是 將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域�、接入域、服務(wù)域和歸屬域����,為每個終端分配一套可進(jìn)行雙向認(rèn)證的唯一標(biāo)識RID、 AID�、 SID、 HID�,分別表示該終端的真實身份、接入域�����、服務(wù)域��、歸屬域的身份標(biāo)識�����,這樣����,將終端的身份標(biāo)識分離存儲在各域中,確保每個域中沒有冗余的標(biāo)識�,另外����,標(biāo)識的分段定義和存儲的方法也可以方便的支持終端在不同范圍的移動性�。而且���,在異構(gòu)無線網(wǎng)絡(luò)中���,擁有終端真實身份標(biāo)識RID信息的主體只有用戶域中的終端和歸屬域中的認(rèn)證服務(wù)器,其他的任何一個網(wǎng)絡(luò)中間節(jié)點設(shè)備均僅擁有該終端的部分域標(biāo)識信息�,確保了認(rèn)證過程的安全性和可信性。另外���,標(biāo)識信息在用戶域��,接入域���,服務(wù)域和歸屬域的傳遞過程中,通過在各域間的檢索與替換���,及在不同標(biāo)識映射服務(wù)器的動態(tài)更新��,可以有效隱藏終端的真實身份和位置信息��,增強(qiáng)了異構(gòu)無線網(wǎng)絡(luò)的可信接入和移動性問題安全防護(hù)能力�。在數(shù)據(jù)通信過程中,采用身份標(biāo)識逐域替換的策略����,實現(xiàn)對終端真實身份的隱藏,當(dāng)數(shù)據(jù)從一個域傳遞到另一個域時��,替換使用不同的標(biāo)識����,有效抑制了惡意主體的竊聽行為和欺騙行為,同時���,降低了惡意網(wǎng)絡(luò)策略性攻擊帶來的風(fēng)險�。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實施例提供的一種標(biāo)識分配和分離存儲的方法流程 圖2為本發(fā)明實施例提供的另一種標(biāo)識分配和分離存儲的方法流程 圖3為本發(fā)明實施例中HID生命期滿時標(biāo)識更新流程8
圖4為本發(fā)明實施例中SID生命期滿時標(biāo)識更新流程圖����; 圖5為本發(fā)明實施例中AID生命期滿時標(biāo)識更新流程圖����; 圖6為本發(fā)明實施例中接入域發(fā)生改變且服務(wù)域不變時標(biāo)識更新流程圖; 圖7為本發(fā)明實施例中接入域和服務(wù)域都發(fā)生改變時標(biāo)識更新流程圖����; 圖8為本發(fā)明實施例提供一種標(biāo)識替換傳輸?shù)姆椒鞒虉D; 圖9為終端向歸屬域發(fā)送數(shù)據(jù)的方法流程圖�; 圖10為本發(fā)明實施例提供一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識分配和分離存儲系統(tǒng)框圖; 圖11為本發(fā)明實施例提供一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識替換傳輸系統(tǒng)框圖��。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例����,而不是全部的實施例�����?���;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護(hù)的范圍�����。 為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明實施方
式作進(jìn)一步地詳細(xì)描述���。 實施例一 參見圖l���,本發(fā)明實施例提供了一種標(biāo)識分配和分離存儲的方法。
S101 :將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域�����、接入域、服務(wù)域和歸屬域��,其中����,服
務(wù)域包括至少一個接入域����,接入域包括至少一個用戶域,且在本地服務(wù)時�����,所述歸屬域與所
述服務(wù)域為同一網(wǎng)絡(luò)���。
其中 用戶域主要是智能終端(包括標(biāo)識映射服務(wù)模塊)�,能接入不同的接入網(wǎng)絡(luò)���,像3G����、 WLAN、 WiMAX等�����。該域終端的終端標(biāo)識RID是其真實身份標(biāo)識��。 接入域主要是接入網(wǎng)絡(luò)的基站��、無線接入點�����、接入服務(wù)器����、標(biāo)識映射服務(wù)器等實體。該域為每個終端分配一個接入域標(biāo)識AID來唯一標(biāo)識��。 服務(wù)域主要是終端移動漫游時候的當(dāng)?shù)胤?wù)網(wǎng)絡(luò)��,為本域內(nèi)的終端提供業(yè)務(wù)和服務(wù)�,包括路由器、認(rèn)證服務(wù)器�、標(biāo)識映射服務(wù)器等實體。該域為每個終端分配一個服務(wù)域標(biāo)識SID來唯一標(biāo)識。 歸屬域主要是跟終端簽約的運(yùn)營商服務(wù)網(wǎng)絡(luò)���,與服務(wù)域一樣�����,也包括路由器�、認(rèn)證服務(wù)器�����、標(biāo)識映射服務(wù)器等實體��,只不過他們存儲的信息不同�����。該域為每個終端分配一個歸屬域標(biāo)識HID來唯一標(biāo)識����。 通常���,將異構(gòu)無線網(wǎng)絡(luò)預(yù)先進(jìn)行劃分�,而無需每次執(zhí)行標(biāo)識分配時都對異構(gòu)無線網(wǎng)絡(luò)進(jìn)行重新劃分。 S102 :在終端認(rèn)證成功后�����,歸屬域為該終端分配歸屬域標(biāo)識HID�,并發(fā)送包括HID的認(rèn)證成功消息至服務(wù)域。 S103 :服務(wù)域為該終端分配服務(wù)域標(biāo)識SID�����,存儲從所述認(rèn)證成功消息中獲取的HID與SID映射關(guān)系�,并發(fā)送包括HID和SID的認(rèn)證成功消息至接入域。
S104:接入域為該終端分配接入域標(biāo)識AID�����,存儲從所述認(rèn)證成功消息中獲取的SID與AID映射關(guān)系��,并發(fā)送包括HID和AID的認(rèn)證成功消息至用戶域���。
S105 :用戶域從所述認(rèn)證成功消息中獲取HID和AID���,存儲AID與終端真實身份標(biāo)識RID映射關(guān)系,所述RID為終端簽約該歸屬域時歸屬域分配的�。 可見����,通過本發(fā)明提供的標(biāo)識分配方法����,將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域、接入域�����、服務(wù)域和歸屬域�,為每個終端分配一套可進(jìn)行雙向認(rèn)證的唯一標(biāo)識RID、AID��、SID�����、HID����,分別表示該終端的真實身份����、接入域、服務(wù)域、歸屬域的臨時身份標(biāo)識�,這樣,將終端的身份標(biāo)識分離存儲在各域中��,確保每個域中沒有冗余的標(biāo)識����,另外,標(biāo)識的分段定義和存儲的方法也可以方便的支持終端在不同范圍的移動性��。而且��,在異構(gòu)無線網(wǎng)絡(luò)中�����,擁有終端真實身份標(biāo)識RID信息的主體只有用戶域中的終端和歸屬域中的認(rèn)證服務(wù)器��,其他的任何一個網(wǎng)絡(luò)中間節(jié)點設(shè)備均僅擁有該終端的部分域標(biāo)識信息��,確保了認(rèn)證過程的安全性和可信性�����。 實施例二 參見圖2��,本發(fā)明實施例提供了一種標(biāo)識分配和分離存儲的方法。 S201 :將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域�����、接入域�����、服務(wù)域和歸屬域���,其中�����,服
務(wù)域包括至少一個接入域����,接入域包括至少一個用戶域�����,且在本地服務(wù)時�,所述歸屬域與所
述服務(wù)域為同一網(wǎng)絡(luò)����。 通常���,將異構(gòu)無線網(wǎng)絡(luò)預(yù)先進(jìn)行劃分,而無需每次執(zhí)行標(biāo)識分配時都對異構(gòu)無線網(wǎng)絡(luò)進(jìn)行重新劃分�����。 S202 :終端發(fā)起認(rèn)證請求����,所述認(rèn)證請求包括終端真實身份標(biāo)識RID和初始HID。 所述初始HID為終端簽約所述歸屬域時歸屬域分配給該終端的����。 優(yōu)選的,所述認(rèn)證請求中包括的RID為利用歸屬域的公鑰加密得到的��;所述歸屬
域的公鑰為終端與該歸屬域簽約時歸屬域分發(fā)給該終端的���。 S203 :所述認(rèn)證請求經(jīng)接入域發(fā)送至服務(wù)域�。 S204 :服務(wù)域解析所述初始HID獲取所述歸屬域的地址信息��,并根據(jù)所述地址信息將所述認(rèn)證請求發(fā)送至所述歸屬域����。 S205 :歸屬域接收到終端發(fā)送的認(rèn)證請求后�����,對終端進(jìn)行認(rèn)證�����,當(dāng)認(rèn)證成功后執(zhí)行步驟S206�����,否則結(jié)束��。 S206 :歸屬域為該終端分配歸屬域標(biāo)識HID ;與終端進(jìn)行會話密鑰協(xié)商�;用服務(wù)域的公鑰加密HID�,發(fā)送包括經(jīng)加密的HID的認(rèn)證成功消息至服務(wù)域。 S207 :服務(wù)域生成SID并分配給該終端���;從認(rèn)證成功消息中獲取HID��,用私鑰解密HID,存儲HID與SID映射關(guān)系���;發(fā)送認(rèn)證成功消息至接入域�����,其中認(rèn)證成功消息包括SID和經(jīng)會話密鑰加密的HID�。 S208 :接入域生成AID并分配給該終端;從認(rèn)證成功消息中獲取SID����,存儲AID與SID映射關(guān)系;發(fā)送認(rèn)證成功消息至接入域�����,其中認(rèn)證成功消息包括AID和經(jīng)加密的HID���。
S209 :用戶域從所述認(rèn)證成功消息中獲取AID和經(jīng)加密的HID���,利用所述會話密鑰解密HID,并存儲HID��、AID與終端真實身份標(biāo)識RID映射關(guān)系��,所述RID為終端簽約該歸屬域時歸屬域分配給該終端的�。優(yōu)選的���,將從所述認(rèn)證成功消息中獲取的HID替換初始HID。
本發(fā)明實施例中��,各域為某終端分配的一套標(biāo)識RID����、 AID、 SID�����、 HID在各域的存
儲狀態(tài)如表1所示
表l
用戶域RID���、AID��、HID
接入域AID�����、SID
服務(wù)域SID��、HID
歸屬域HID����、RID 可見,通過本發(fā)明提供的標(biāo)識分配和分離存儲方法��,將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域����、接入域�����、服務(wù)域和歸屬域�,為每個終端分配一套可進(jìn)行雙向認(rèn)證的唯一標(biāo)識RID、 AID����、 SID、 HID���,分別表示該終端的真實身份標(biāo)識�、接入域�、服務(wù)域、歸屬域的身份標(biāo)識�,
這樣,將終端的身份標(biāo)識分離存儲在各域中,確保每個域中沒有冗余的標(biāo)識��,另外���,標(biāo)識的分段定義和存儲的方法也可以方便的支持終端在不同范圍的移動性��。而且�,在異構(gòu)無線網(wǎng)絡(luò)中��,擁有終端真實身份標(biāo)識RID信息的主體只有用戶域中的終端和歸屬域中的認(rèn)證服務(wù)器��,其他的任何一個網(wǎng)絡(luò)中間節(jié)點設(shè)備均僅擁有該終端的部分域標(biāo)識信息���,確保了認(rèn)證過程的安全性和可信性��。另外��,標(biāo)識信息在用戶域���,接入域,服務(wù)域和歸屬域的傳遞過程中�����,通過在各域間的檢索與替換,及在不同標(biāo)識映射服務(wù)器的動態(tài)更新��,可以有效隱藏終端的真實身份和位置信息��,增強(qiáng)了異構(gòu)無線網(wǎng)絡(luò)的可信接入和移動性問題安全防護(hù)能力�。
在實際應(yīng)用中,RID屬于永久標(biāo)識�;而AID�����、 SID和HID都屬于臨時身份標(biāo)識�,它們分別有自己的生命期限,且僅在各自被分發(fā)的域內(nèi)有效�����,需要根據(jù)時間的推移和地域的變化進(jìn)行更新�����,以保持其新鮮性����。AID���、SID和HID的更新主要有兩種觸發(fā)情況一是AID、SID和HID生命期滿時需要對其進(jìn)行更新��;二是接入域和/或服務(wù)域改變時需要對相應(yīng)的域標(biāo)識進(jìn)行更新���。 進(jìn)一步的�,參見圖3��,當(dāng)HID生命期滿時�����,所述方法還包括 S301 :歸屬域生成新HID�,向服務(wù)域發(fā)送包括新HID的HID更新消息; S302 :服務(wù)域從所述HID更新消息中獲取新HID���,并轉(zhuǎn)發(fā)所述HID更新消息至用戶
域���; S303 :用戶域從所述HID更新消息中獲取新HID,更新當(dāng)前HID為新HID�����,并向服務(wù)域發(fā)送更新成功消息; S304 :服務(wù)域更新HID與SID的映射關(guān)系����,并向歸屬域轉(zhuǎn)發(fā)所述更新成功消息; S305 :歸屬域更新HID與RID的映射關(guān)系�。 進(jìn)一步的,參見圖4��,當(dāng)SID生命期滿時�����,所述方法還包括 S401 :服務(wù)域生成新SID����,向接入域發(fā)送包括新SID的SID更新消息����; S402 :接入域從所述SID更新消息中獲取新SID,更新SID與AID的映射關(guān)系����,并
向服務(wù)域發(fā)送更新成功消息; S403 :服務(wù)域更新SID與HID的映射關(guān)系���。
11
進(jìn)一步的��,參見圖5����,當(dāng)AID生命期滿時,所述方法還包括 S501 :接入域生成新AID,向用戶域發(fā)送包括新AID的AID更新消息�; S502 :用戶域從所述AID更新消息中獲取新AID,更新AID與RID的映射關(guān)系��,并
向接入域發(fā)送更新成功消息���; S503 :接入域更新AID與SID的映射關(guān)系���。 進(jìn)一步的,參見圖6�����,當(dāng)接入域發(fā)生改變且服務(wù)域不變時����,所述方法還包括
S601 :終端向新的接入域發(fā)起AID更新請求,所述更新請求中包括所述終端的舊AID ; S602 :新的接入域向原接入域發(fā)送包括所述終端舊AID的服務(wù)域標(biāo)識請求消息�;
S603 :原接入域回復(fù)包括所述終端SID的應(yīng)答消息���; S604 :新的接入域生成新AID,向用戶域返回包括新AID的更新響應(yīng)消息;
S605 :終端向原接入域發(fā)起AID刪除請求����; S606 :原接入域刪除其存儲的AID與SID映射關(guān)系,向用戶域返回刪除成功消息�;
S607 :用戶域?qū)ID與RID的映射關(guān)系中的AID更新為所述新AID,并向新的接入域發(fā)送更新成功消息; S608 :新的接入域存儲所述新AID與SID的映射關(guān)系�����。 進(jìn)一步的���,參見圖7���,當(dāng)接入域和服務(wù)域都發(fā)生改變時��,所述方法還包括 S701 :終端經(jīng)新的接入域向新的服務(wù)域發(fā)送更新請求�,所述更新請求中包括所述
終端的HID ; S702 :新的服務(wù)域生成新SID,向新的接入域發(fā)送包括新SID的更新信息�;
S703 :新的接入域生成新AID,向用戶域發(fā)送包含新AID的更新信息;
S704 :終端經(jīng)原接入域向原服務(wù)域發(fā)送刪除請求���; S705 :原服務(wù)域刪除其存儲的HID與SID的映射關(guān)系�����,向原接入域返回刪除成功消息��; S706 :原接入域刪除其存儲的SID與AID的映射關(guān)系�,向用戶域返回刪除成功消息; S707 :用戶域?qū)ID與RID的映射關(guān)系中的AID更新為所述新AID,向新的接入域發(fā)送更新成功消息����; S708 :新的接入域存儲所述新AID與新SID的映射關(guān)系,向新的服務(wù)域發(fā)送更新成功消息�; S709 :新的服務(wù)域存儲所述新SID與HID的映射關(guān)系。
實施例三 參見圖8����,本發(fā)明實施例還提供了一種基于上述標(biāo)識分配和分離存儲方法實現(xiàn)標(biāo)識替換傳輸?shù)姆椒ǎ? S801 :當(dāng)需要發(fā)送數(shù)據(jù)包時����,向目的域發(fā)送包括目的域已知域標(biāo)識的數(shù)據(jù)包;
S802 :當(dāng)接收到數(shù)據(jù)包時�����,解析所述數(shù)據(jù)包中的域標(biāo)識,驗證其真實性��;若還需繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)包���,則在驗證成功后�����,利用預(yù)存的域標(biāo)識映射關(guān)系得到目標(biāo)域已知域標(biāo)識����,將數(shù)據(jù)包中的當(dāng)前域標(biāo)識替換為目標(biāo)域已知域標(biāo)識����,轉(zhuǎn)發(fā)出去。 實際應(yīng)用中��,數(shù)據(jù)包可以是由終端向歸屬域發(fā)送���,當(dāng)然也可以是任意兩個域之間發(fā)送,本發(fā)明實施例對此并不限制����。 參見圖9���,以終端向歸屬域發(fā)送數(shù)據(jù)為例進(jìn)行詳細(xì)描述 S901 :在終端中存儲有RID與AID的映射關(guān)系,數(shù)據(jù)包攜帶AID發(fā)送到接入域����;
S902 :接入域中存儲有AID與SID的映射關(guān)系,通過標(biāo)識映射服務(wù)器的解析映射���,將數(shù)據(jù)包中的AID替換成SID��,將數(shù)據(jù)包發(fā)送到服務(wù)域����; S903 :服務(wù)域中存儲著SID和HID的映射關(guān)系���,通過標(biāo)識映射服務(wù)器的解析映射���,將數(shù)據(jù)包中的SID替換成相應(yīng)的歸屬域的HID,將數(shù)據(jù)包發(fā)送到歸屬域���;
S904 :歸屬域中存在HID與RID的映射關(guān)系���,通過標(biāo)識映射服務(wù)器的解析映射����,就可知道終端的真實身份標(biāo)識RID�����。 可見�,本發(fā)明提供的標(biāo)識替換傳輸方法,在數(shù)據(jù)通信過程中���,采用身份標(biāo)識逐域替
換的策略�����,實現(xiàn)對終端真實身份的隱藏���,當(dāng)數(shù)據(jù)從一個域傳遞到另一個域時,替換使用不同
的標(biāo)識���,有效抑制了惡意主體的竊聽行為和欺騙行為����,同時���,降低了惡意網(wǎng)絡(luò)策略性攻擊帶
來的風(fēng)險���。 實施例四 參見圖IO,本發(fā)明實施例提供一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識分配和分離存儲系統(tǒng)�,該系統(tǒng)將異構(gòu)無線網(wǎng)絡(luò)根據(jù)服務(wù)功能劃分為用戶域、接入域�、服務(wù)域和歸屬域,每個域都配置一個標(biāo)識映射服務(wù)器�,用于生成本域標(biāo)識和存儲更新本域已知域標(biāo)識間映射關(guān)系,其中 所述標(biāo)識映射服務(wù)器�����,包括 第一發(fā)送單元1001��,用于將認(rèn)證成功消息發(fā)送給目的域的標(biāo)識映射服務(wù)器�����,該請求消息中包括本域已分配的域標(biāo)識��; 第一接收單元1002��,用于在接收到所述認(rèn)證成功消息后,從中提取出攜帶的所述已分配的域標(biāo)識�; 標(biāo)識生成單元1003,用于為所述終端生成一個唯一的本域標(biāo)識����; 以及,標(biāo)識存儲單元1004�,用于在沒有保存所述認(rèn)證成功消息中的域標(biāo)識與本域
新生成的域標(biāo)識間的映射關(guān)系時,將該映射關(guān)系保存�����,以及設(shè)定該映射關(guān)系的生命期���。 進(jìn)一步的�,所述標(biāo)識映射服務(wù)器還包括 第二發(fā)送單元���,用于當(dāng)生命期到達(dá)時��,或當(dāng)終端的接入域和/或服務(wù)域發(fā)生改變時�,向相關(guān)域的標(biāo)識映射服務(wù)器發(fā)送標(biāo)識更新消息���; 第二接收單元�,用于接收相關(guān)域的標(biāo)識映射服務(wù)器發(fā)送的標(biāo)識更新消息。
進(jìn)一步的���,所述標(biāo)識映射服務(wù)器還包括 標(biāo)識更新單元��,用于當(dāng)生命期到達(dá)時對相應(yīng)的標(biāo)識映射關(guān)系進(jìn)行更新,或在收到標(biāo)識更新消息時對相應(yīng)的映射關(guān)系進(jìn)行更新��。 可見�����,通過本發(fā)明提供的標(biāo)識分配和分離存儲方法���,將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域����、接入域�����、服務(wù)域和歸屬域���,為每個終端分配一套可進(jìn)行雙向認(rèn)證的唯一標(biāo)識RID��、 AID����、 SID、 HID����,分別表示該終端的真實身份標(biāo)識、接入域�、服務(wù)域、歸屬域的身份標(biāo)識�����,
這樣����,將終端的身份標(biāo)識分離存儲在各域中,確保每個域中沒有冗余的標(biāo)識�����,另外�,標(biāo)識的分段定義和存儲的方法也可以方便的支持終端在不同范圍的移動性。而且���,在異構(gòu)無線網(wǎng)絡(luò)中�,擁有終端真實身份標(biāo)識RID信息的主體只有用戶域中的終端和歸屬域中的認(rèn)證服務(wù)器,其他的任何一個網(wǎng)絡(luò)中間節(jié)點設(shè)備均僅擁有該終端的部分域標(biāo)識信息���,確保了認(rèn)證過程的安全性和可信性��。另外�,標(biāo)識信息在用戶域��,接入域��,服務(wù)域和歸屬域的傳遞過程中�,通過在各域間的檢索與替換�����,及在不同標(biāo)識映射服務(wù)器的動態(tài)更新����,可以有效隱藏終端的真實身份和位置信息,增強(qiáng)了異構(gòu)無線網(wǎng)絡(luò)的可信接入和移動性問題安全防護(hù)能力��。
實施例五 參見圖ll���,本發(fā)明實施例提供了一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識替換傳輸系統(tǒng)�,該系統(tǒng)將異構(gòu)無線網(wǎng)絡(luò)根據(jù)服務(wù)功能劃分為用戶域、接入域�����、服務(wù)域和歸屬域����,每個域都配置一個標(biāo)識映射服務(wù)器,用于檢索和替換本域已知的終端標(biāo)識�����;該系統(tǒng)包含源終端100和至少一個目的端200��,以及源終端所在域的標(biāo)識映射服務(wù)器104 ;
所述源終端100包括 請求消息發(fā)送單元101����,用于將請求消息發(fā)送給本域標(biāo)識映射服務(wù)器,所述請求消息中包括本域已知的域標(biāo)識���; 回復(fù)消息接收單元102���,用于接收本域標(biāo)識映射服務(wù)器的回復(fù)消息��,所述回復(fù)消息中包括目的端所在域的已知域標(biāo)識�����;以及 數(shù)據(jù)包發(fā)送單元103����,用于向所述目的端發(fā)送數(shù)據(jù)包��,所述數(shù)據(jù)包包括目的端所在
域的已知域標(biāo)識���; 所述目的端200包括 數(shù)據(jù)包接收單元201,用于當(dāng)接收到數(shù)據(jù)包時�,解析所述數(shù)據(jù)包中的域標(biāo)識,驗證其真實性����; 所述源終端的標(biāo)識映射服務(wù)器104,用于在接收到所述源終端請求消息發(fā)送單元
發(fā)送的請求消息后��,從預(yù)先保存的終端的域標(biāo)識映射關(guān)系中查找出與本域已知的域標(biāo)識相
對應(yīng)的目的端所在域的已知域標(biāo)識���,并發(fā)送回復(fù)消息至所述回復(fù)消息接收單元���。 需要說明的是�����,在本文中�����,術(shù)語"包括"��、"包含"或者其任何其他變體意在涵蓋非排
他性的包含��,從而使得包括一系列要素的過程����、方法�、物品或者設(shè)備不僅包括那些要素,而
且還包括沒有明確列出的其他要素����,或者是還包括為這種過程、方法����、物品或者設(shè)備所固有
的要素��。在沒有更多限制的情況下��,由語句"包括一個......"限定的要素����,并不排除在包
括所述要素的過程���、方法�����、物品或者設(shè)備中還存在另外的相同要素��。 本領(lǐng)域普通技術(shù)人員可以理解�����,實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成,所述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中��,該程序在執(zhí)行時���,包括若干指令用以執(zhí)行本發(fā)明各個實施例所述的方法���。這里所述的存儲介質(zhì)����,如ROM/RAM����、磁碟、光盤等�����。 以上所述僅為本發(fā)明的較佳實施例而已���,并非用于限定本發(fā)明的保護(hù)范圍��。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�����、等同替換���、改進(jìn)等�����,均包含在本發(fā)明的保護(hù)范圍內(nèi)����。
權(quán)利要求
一種標(biāo)識分配和分離存儲方法��,其特征在于���,將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域��、接入域��、服務(wù)域和歸屬域���;其中,服務(wù)域包括至少一個接入域���,接入域包括至少一個用戶域����,且在本地服務(wù)時�����,所述歸屬域與所述服務(wù)域為同一網(wǎng)絡(luò)����,所述方法包括在終端認(rèn)證成功后,歸屬域為該終端分配歸屬域標(biāo)識HID���,并發(fā)送包括HID的認(rèn)證成功消息至服務(wù)域�;服務(wù)域為該終端分配服務(wù)域標(biāo)識SID���,存儲從所述認(rèn)證成功消息中獲取的HID與SID映射關(guān)系����,并發(fā)送包括HID和SID的認(rèn)證成功消息至接入域�;接入域為該終端分配接入域標(biāo)識AID,存儲從所述認(rèn)證成功消息中獲取的SID與AID映射關(guān)系���,并發(fā)送包括HID和AID的認(rèn)證成功消息至用戶域��;用戶域從所述認(rèn)證成功消息中獲取HID和AID�����,存儲HID����、AID與終端真實身份標(biāo)識RID映射關(guān)系,所述RID為終端簽約該歸屬域時歸屬域分配的����。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述終端認(rèn)證成功后還包括歸屬域與終 端協(xié)商會話密鑰��;則用戶域存儲HID之前還包括利用所述會話密鑰解密從所述認(rèn)證成功消息中獲取的HID��。
3. 根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述終端向歸屬域發(fā)送認(rèn)證請求中還包 括初始HID����,所述初始HID為終端簽約所述歸屬域時歸屬域分配給該終端的��;則終端向歸屬 域發(fā)送請求具體為終端將所述請求經(jīng)接入域發(fā)送至服務(wù)域;所述服務(wù)域解析所述初始HID獲取所述歸屬域的地址信息���,并根據(jù)所述地址信息將所 述請求發(fā)送至所述歸屬域���。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述終端向歸屬域發(fā)送認(rèn)證請求中還包 括終端的真實身份標(biāo)識RID ;利用歸屬域的公鑰加密所述RID ;所述歸屬域的公鑰為終端簽約所述歸屬域時歸屬域 分發(fā)給該終端的���。
5. 根據(jù)權(quán)利要求1所述的方法����,其特征在于����,當(dāng)HID生命期滿時,所述方法還包括 歸屬域生成新HID�����,向服務(wù)域發(fā)送包括新HID的HID更新消息; 服務(wù)域從所述HID更新消息中獲取新HID�����,并轉(zhuǎn)發(fā)所述HID更新消息至用戶域���; 用戶域從所述HID更新消息中獲取新HID�����,將更新當(dāng)前HID為新HID�����,并向服務(wù)域發(fā)送更新成功消息�;服務(wù)域更新HID與SID的映射關(guān)系���,并向歸屬域轉(zhuǎn)發(fā)所述更新成功消息����; 歸屬域更新HID與RID的映射關(guān)系�����。
6. 根據(jù)權(quán)利要求1所述的方法,其特征在于��,當(dāng)SID生命期滿時�����,所述方法還包括 服務(wù)域生成新SID���,向接入域發(fā)送包括新SID的SID更新消息;接入域從所述SID更新消息中獲取新SID�,更新SID與AID的映射關(guān)系,并向服務(wù)域發(fā) 送更新成功消息��;服務(wù)域更新SID與HID的映射關(guān)系��。
7. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,當(dāng)AID生命期滿時����,所述方法還包括 接入域生成新AID,向用戶域發(fā)送包括新AID的AID更新消息;用戶域從所述AID更新消息中獲取新AID,更新AID與RID的映射關(guān)系����,并向接入域發(fā) 送更新成功消息;接入域更新AID與SID的映射關(guān)系�����。
8. 根據(jù)權(quán)利要求1所述的方法���,其特征在于�,當(dāng)接入域發(fā)生改變且服務(wù)域不變時���,所述 方法還包括終端向新的接入域發(fā)起AID更新請求���,所述更新請求中包括所述終端的舊AID ; 新的接入域向原接入域發(fā)送包括所述終端舊AID的服務(wù)域標(biāo)識請求消息,原接入域回 復(fù)包括所述終端SID的應(yīng)答消息���;新的接入域生成新AID,向用戶域返回包括新AID的更新響應(yīng)消息��; 終端向原接入域發(fā)起AID刪除請求��;原接入域刪除其存儲的AID與SID映射關(guān)系�,向用戶域返回刪除成功消息; 用戶域?qū)ID與RID的映射關(guān)系中的AID更新為所述新AID��,并向新的接入域發(fā)送更新 成功消息�����;新的接入域存儲所述新AID與SID的映射關(guān)系����。
9. 根據(jù)權(quán)利要求1所述的方法,其特征在于����,當(dāng)接入域和服務(wù)域都發(fā)生改變時��,所述方 法還包括終端經(jīng)新的接入域向新的服務(wù)域發(fā)送更新請求���,所述更新請求中包括所述終端的HID ;新的服務(wù)域生成新SID��,向新的接入域發(fā)送包括新SID的更新信息���; 新的接入域生成新AID,向用戶域發(fā)送包含新AID的更新信息; 終端經(jīng)原接入域向原服務(wù)域發(fā)送刪除請求�;原服務(wù)域刪除其存儲的HID與SID的映射關(guān)系��,向原接入域返回刪除成功消息��; 原接入域刪除其存儲的SID與AID的映射關(guān)系����,向用戶域返回刪除成功消息�; 用戶域?qū)ID與RID的映射關(guān)系中的AID更新為所述新AID,向新的接入域發(fā)送更新成 功消息���;新的接入域存儲所述新AID與新SID的映射關(guān)系��,向新的服務(wù)域發(fā)送更新成功消息����; 新的服務(wù)域存儲所述新SID與HID的映射關(guān)系��。
10. —種基于權(quán)利要求1-9任一項所述方法實現(xiàn)標(biāo)識替換傳輸?shù)姆椒?��,其特征在于�,包括?dāng)需要發(fā)送數(shù)據(jù)包時���,向目的域發(fā)送包括目的域已知域標(biāo)識的數(shù)據(jù)包�; 當(dāng)接收到數(shù)據(jù)包時,解析所述數(shù)據(jù)包中的域標(biāo)識��,驗證其真實性���;若還需繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)包���,則在驗證成功后,利用預(yù)存的域標(biāo)識映射關(guān)系得到目標(biāo)域已知域標(biāo)識�����,將數(shù)據(jù)包中的當(dāng)前域標(biāo)識替換為目標(biāo)域已知域標(biāo)識���,轉(zhuǎn)發(fā)出去。
11. 一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識分配和分離存儲系統(tǒng)����,其特征在于,該系統(tǒng)將異構(gòu)無 線網(wǎng)絡(luò)根據(jù)服務(wù)功能劃分為用戶域�、接入域、服務(wù)域和歸屬域����,每個域都配置一個標(biāo)識映射 服務(wù)器�,用于生成本域標(biāo)識和存儲更新本域已知域標(biāo)識間映射關(guān)系�����,其中所述標(biāo)識映射服務(wù)器����,包括第一發(fā)送單元,用于將認(rèn)證成功消息發(fā)送給目的域的標(biāo)識映射服務(wù)器�����,該請求消息中 包括本域已分配的域標(biāo)識���;第一接收單元��,用于在接收到所述認(rèn)證成功消息后���,從中提取出攜帶的所述已分配的 域標(biāo)識;標(biāo)識生成單元���,用于為所述終端生成一個唯一的本域標(biāo)識��;以及標(biāo)識存儲單元����,用于在沒有保存所述認(rèn)證成功消息中的域標(biāo)識與本域新生成的域標(biāo)識 間的映射關(guān)系時,將該映射關(guān)系保存�,以及設(shè)定該映射關(guān)系的生命期。
12. 根據(jù)權(quán)利要求11所述系統(tǒng)�,其特征在于,所述標(biāo)識映射服務(wù)器���,還包括 第二發(fā)送單元��,用于當(dāng)生命期到達(dá)時�����,或當(dāng)終端的接入域和/或服務(wù)域發(fā)生改變時���,向相關(guān)域的標(biāo)識映射服務(wù)器發(fā)送標(biāo)識更新消息;第二接收單元�,用于接收相關(guān)域的標(biāo)識映射服務(wù)器發(fā)送的標(biāo)識更新消息���。
13. 根據(jù)權(quán)利要求11所述系統(tǒng)�,其特征在于�����,所述標(biāo)識映射服務(wù)器,還包括 標(biāo)識更新單元���,用于當(dāng)生命期到達(dá)時對相應(yīng)的標(biāo)識映射關(guān)系進(jìn)行更新�����,或在收到標(biāo)識更新消息時對相應(yīng)的映射關(guān)系進(jìn)行更新����。
14. 一種異構(gòu)無線網(wǎng)絡(luò)中終端標(biāo)識替換傳輸系統(tǒng)��,其特征在于���,該系統(tǒng)將異構(gòu)無線網(wǎng) 絡(luò)根據(jù)服務(wù)功能劃分為用戶域�����、接入域�、服務(wù)域和歸屬域���,每個域都配置一個標(biāo)識映射服務(wù) 器�����,用于檢索和替換本域已知的終端標(biāo)識��;該系統(tǒng)包含源終端和至少一個目的端���,以及源終 端所在域的標(biāo)識映射服務(wù)器��;所述源終端包括請求消息發(fā)送單元�,用于將請求消息發(fā)送給本域標(biāo)識映射服務(wù)器����,所述請求消息中包 括本域已知的域標(biāo)識;回復(fù)消息接收單元��,用于接收本域標(biāo)識映射服務(wù)器的回復(fù)消息�����,所述回復(fù)消息中包括 目的端所在域的已知域標(biāo)識��;以及數(shù)據(jù)包發(fā)送單元�,用于向所述目的端發(fā)送數(shù)據(jù)包�����,所述數(shù)據(jù)包包括目的端所在域的已 知域標(biāo)識;所述目的端包括數(shù)據(jù)包接收單元�����,用于當(dāng)接收到數(shù)據(jù)包時�����,解析所述數(shù)據(jù)包中的域標(biāo)識���,驗證其真實性����;所述源終端的標(biāo)識映射服務(wù)器�,用于在接收到所述源終端請求消息發(fā)送單元發(fā)送的請 求消息后,從預(yù)先保存的終端的域標(biāo)識映射關(guān)系中查找出與本域已知的域標(biāo)識相對應(yīng)的目 的端所在域的已知域標(biāo)識����,并發(fā)送回復(fù)消息至所述回復(fù)消息接收單元。
全文摘要
本發(fā)明公開一種標(biāo)識分配和分離存儲方法����、標(biāo)識替換傳輸方法及系統(tǒng)��,涉及網(wǎng)絡(luò)安全領(lǐng)域�����。所述標(biāo)識分配和分離存儲方法包括將異構(gòu)無線網(wǎng)絡(luò)按服務(wù)功能分為用戶域����、接入域����、服務(wù)域和歸屬域;服務(wù)域包括至少一個接入域����,接入域包括至少一個用戶域,且在本地服務(wù)時�����,歸屬域與服務(wù)域為同一網(wǎng)絡(luò)����;在終端認(rèn)證成功后�����,歸屬域、服務(wù)域和接入域逐域分配域標(biāo)識�����。本發(fā)明在異構(gòu)無線網(wǎng)絡(luò)接入認(rèn)證的基礎(chǔ)上���,提出標(biāo)識分配��、分離存儲和替換傳輸機(jī)制�����。域標(biāo)識在用戶域��,接入域���,服務(wù)域和歸屬域的傳遞過程中,通過在各域間的檢索與替換���,及在不同標(biāo)識映射服務(wù)器的動態(tài)更新�����,可以有效隱藏終端的真實身份和位置信息��,增強(qiáng)了異構(gòu)無線網(wǎng)絡(luò)的可信接入和移動性問題安全防護(hù)能力�����。
文檔編號H04W12/00GK101754219SQ20091026115
公開日2010年6月23日 申請日期2009年12月28日 優(yōu)先權(quán)日2009年12月28日
發(fā)明者張晨, 張汝云, 彭建華, 李橋龍, 楊梅樾, 楊紅杰, 王玉紅, 許明艷, 趙華, 郭淑明, 黃開枝 申請人:中國人民解放軍信息工程大學(xué)