一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法
【專利摘要】本發(fā)明提供了一種一體化標(biāo)識(shí)網(wǎng)絡(luò)基于連接標(biāo)識(shí)的傳輸方法����,引入連接標(biāo)識(shí)的概念,隱蔽端到端傳輸過程中的地址和端口信息���,該方法包括如下內(nèi)容:1)在數(shù)據(jù)通信前��,在通信雙方之間安全地交互通信過程使用的地址和端口信息�����;2)根據(jù)交互的信息�����,為此次數(shù)據(jù)通信中建立的邏輯連接生成連接標(biāo)識(shí)���;3)為通信雙方分發(fā)生成的連接標(biāo)識(shí)及其附屬信息;4)提供基于連接標(biāo)識(shí)及其附屬信息的數(shù)據(jù)通信流程�����。本發(fā)明是一種基于連接標(biāo)識(shí)的傳輸方法�,該方法可以提高端到端數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?br>
【專利說明】一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,涉及一種一體化標(biāo)識(shí)網(wǎng)絡(luò)基于連接標(biāo)識(shí)的傳輸方法�,提高了端到端通信的安全性和可靠性。
【背景技術(shù)】
[0002]在傳統(tǒng)互聯(lián)網(wǎng)中���,典型的傳輸協(xié)議包括傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)��。無論是面向連接的TCP或是面向非連接的UDP�,在傳輸過程中都包含邏輯連接信息,包括源地址�,目的地址,源端口和目的端口��。它的傳輸協(xié)議存在著固有的缺陷�����,它缺乏對(duì)傳輸過程的管理����,它本身存在著嚴(yán)重的安全隱患��。這些問題的根源在于傳統(tǒng)互聯(lián)網(wǎng)設(shè)計(jì)之初����,在面對(duì)惡意攻擊時(shí),無法提供端到端傳輸?shù)墓芾砗桶踩煽勘WC�����。
[0003]一體化標(biāo)識(shí)網(wǎng)絡(luò)的設(shè)計(jì)方案提供了安全,可靠�����,可控��,可管的端到端傳輸?shù)目赡苄?��。連接標(biāo)識(shí)存在的目的就是為數(shù)據(jù)的端到端傳輸過程提供信息隱蔽���,同時(shí)為網(wǎng)絡(luò)對(duì)數(shù)據(jù)傳輸?shù)墓芾硖峁┝丝赡苄裕峁┝送ㄐ烹p方之間的端到端通信的安全性和可靠性���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法����,以使一體化標(biāo)識(shí)網(wǎng)絡(luò)能夠提供更加安全可靠地端到端數(shù)據(jù)包傳送�。在數(shù)據(jù)傳輸協(xié)議中引入連接標(biāo)識(shí)的概念,就可以保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩浴?br>
[0005]為此���,根據(jù)本發(fā)明����,提供了一種安全交互地址和端口信息的方法,其特征在于:在傳輸?shù)倪^程中���,隱藏主機(jī)提供的端口信息和提供服務(wù)的地址信息���,只有接收到含有CID的數(shù)據(jù)包,同時(shí)它來自于該CID認(rèn)可的通信發(fā)起者�����,就可以實(shí)現(xiàn)數(shù)據(jù)包信息的替換和處理���。
[0006]根據(jù)本發(fā)明��,通過交互的信息生成連接標(biāo)識(shí)�,提供了避免沖突和沖突退避的方法���。避免連接標(biāo)識(shí)的沖突主要是通過哈希值添加時(shí)間戳和隨機(jī)數(shù),從而降低沖突的概率����。當(dāng)連接標(biāo)識(shí)沖突時(shí),沖突退避的方法是對(duì)連接標(biāo)識(shí)的重新生成����,通過換時(shí)間戳和隨機(jī)數(shù)的方法�����。哈希的結(jié)果是160-bit的字符串�����,沖突概率已經(jīng)接近零��,這個(gè)是經(jīng)過各種嚴(yán)苛網(wǎng)絡(luò)條件下的大規(guī)模數(shù)據(jù)傳輸場景測試下得出的結(jié)論���。假設(shè)連接標(biāo)識(shí)發(fā)生沖突,本通信方法也是提供了沖突檢測和退避的方法�。
[0007]根據(jù)本發(fā)明,連接標(biāo)識(shí)及其附屬信息分發(fā)至通信雙方�����,完成對(duì)數(shù)據(jù)的間接通信�����。在數(shù)據(jù)包傳送前,將連接標(biāo)識(shí)及其附屬信息分發(fā)至通信雙方及其相應(yīng)地接入交換路由器����。連接標(biāo)識(shí)及其附屬信息形成的映射條目只有通過安全傳輸才能保證條目不被竊聽。
[0008]根據(jù)本發(fā)明�����,提供了一種安全可靠地端到端數(shù)據(jù)通信模式��。數(shù)據(jù)包在發(fā)送時(shí)攜帶連接標(biāo)識(shí)�����,當(dāng)攜帶連接標(biāo)識(shí)的數(shù)據(jù)包經(jīng)過儲(chǔ)存連接標(biāo)識(shí)映射條目的路由器時(shí)����,按照附屬信息進(jìn)行填充數(shù)據(jù)包相應(yīng)的信息的操作,完成對(duì)數(shù)據(jù)的間接通信�。在通信雙方的主機(jī)上實(shí)現(xiàn)對(duì)端口信息的填充,之后遞交上層處理����。因此,在通信的過程中源和目的地址不再同一個(gè)數(shù)據(jù)包中同時(shí)出現(xiàn)�,同時(shí)端口信息只有在相應(yīng)的主機(jī)上才能獲得,因而在端到端數(shù)據(jù)包的傳送過程中隱藏了通信雙方地址和端口信息�����?���!緦@綀D】
【附圖說明】
[0009]圖1為本發(fā)明的一體化標(biāo)識(shí)網(wǎng)絡(luò)連接標(biāo)識(shí)的生成過程;
[0010]圖2為一體化標(biāo)識(shí)網(wǎng)絡(luò)中連接標(biāo)識(shí)及其映射條目的定義示意圖����;
[0011]圖3為本發(fā)明具體實(shí)施例的連接標(biāo)識(shí)及其附屬信息的分發(fā)流程;
[0012]圖4為本發(fā)明具體實(shí)施例的基于連接標(biāo)識(shí)的端到端通信的流程��。
【具體實(shí)施方式】
[0013]有關(guān)本發(fā)明的技術(shù)內(nèi)容及詳細(xì)說明��,現(xiàn)配合【專利附圖】
【附圖說明】如下:
[0014]圖1為本發(fā)明的連接標(biāo)識(shí)生成過程的示意圖���。如圖1所示���,連接標(biāo)識(shí)的生成過程的原始元素包括服務(wù)發(fā)起方地址,服務(wù)提供方地址�,時(shí)間戳和隨機(jī)數(shù)。連接標(biāo)識(shí)的生成結(jié)果是服務(wù)發(fā)起方地址和服務(wù)提供方地址的哈希值�����,再結(jié)合時(shí)間戳和隨機(jī)數(shù)的ieobit的隨機(jī)數(shù)。在數(shù)據(jù)傳輸?shù)倪^程中���,隱藏傳輸?shù)年P(guān)鍵信息如端口號(hào)等����。
[0015]連接標(biāo)識(shí)的生成方法本身已經(jīng)具備減少?zèng)_突的功能����,它的實(shí)現(xiàn)是基于時(shí)間戳和隨機(jī)數(shù),以及哈希值極小的沖突概率��。沖突退避的方案主要是在檢測到?jīng)_突時(shí)�����,替換沖突的連接標(biāo)識(shí)����,形成一個(gè)新的連接標(biāo)識(shí),從而避免連接標(biāo)識(shí)的沖突�����。
[0016]圖2為連接標(biāo)識(shí)及其附屬信息映射條目定義的示意圖。連接標(biāo)識(shí)的信息及其附屬信息���,可以歸結(jié)為ieobit的傳輸標(biāo)識(shí),通信雙方的源和目的地址���,源和目的端口信息����。連接標(biāo)識(shí)的映射條目是指導(dǎo)數(shù)據(jù)端到端傳輸?shù)囊罁?jù)���,同時(shí)對(duì)管理端到端的數(shù)據(jù)傳輸過程起到了重要作用�����。連接標(biāo)識(shí)及其附屬信息的目的是為了完成對(duì)數(shù)據(jù)端到端通信安全可靠的基礎(chǔ)�。
[0017]連接標(biāo)識(shí)映射條目的定義包括了連接標(biāo)識(shí)及其標(biāo)識(shí)的邏輯連接信息和資源��。這些邏輯連接的基本信息決定了數(shù)據(jù)傳輸?shù)姆较蚝蛡鬏旉P(guān)鍵信息��,該映射條目的查詢和儲(chǔ)存能夠在傳輸?shù)倪^程中幫助避免數(shù)據(jù)包攜帶連接標(biāo)識(shí)相關(guān)信息��,從而提高端到端傳輸過程的安全可靠���。尤其是對(duì)通信對(duì)端和端口信息的攻擊類型可以通過本發(fā)明中的傳輸協(xié)議方法在很大程度上避免��。
[0018]圖3為連接標(biāo)識(shí)及其附屬信息的分發(fā)流程的示意圖����。連接標(biāo)識(shí)的分發(fā)過程主要是連接標(biāo)識(shí)映射服務(wù)器獲悉通信雙方地址和與通信雙方連接的接入交換路由器。接入交換路由器上的連接標(biāo)識(shí)及其附屬信息中的源地址和目的端地址��,主要是完成對(duì)數(shù)據(jù)包傳遞過程中的源地址和目的地址的替換��。分發(fā)的流程分為兩類���,一類是分發(fā)到與通信源端和目的端相連的接入交換路由器上�,該信息包括連接標(biāo)識(shí)及連接標(biāo)識(shí)對(duì)應(yīng)的源地址和目的地址�����;另一類是分發(fā)到源地址和目的地址的信息�,它包括連接標(biāo)識(shí)、源端口和目的端口���,源地址和目的地址的映射關(guān)系����。完成這兩類信息的分發(fā),就結(jié)束了端到端數(shù)據(jù)通信的準(zhǔn)備工作�����。
[0019]圖4為基于連接標(biāo)識(shí)的端到端通信流程的示意圖���。當(dāng)通信發(fā)起方發(fā)起服務(wù)請(qǐng)求時(shí),攜帶分配的連接標(biāo)識(shí)�,傳送至與其相連的接入交換路由器。在數(shù)據(jù)通信的過程中��,根據(jù)路由器上儲(chǔ)存的連接標(biāo)識(shí)映射條目����,完成對(duì)數(shù)據(jù)包的源地址和目的地址的替換。當(dāng)數(shù)據(jù)包發(fā)送到通信對(duì)端時(shí)�����,查詢連接標(biāo)識(shí)和端口信息的映射關(guān)系�����,將端口信息添加到數(shù)據(jù)包中對(duì)應(yīng)位置��,之后將數(shù)據(jù)包傳遞至上層進(jìn)行處理。
[0020]因此����,縱觀數(shù)據(jù)包的傳送過程,在數(shù)據(jù)包發(fā)送的源端���,無法截取數(shù)據(jù)包的目的地址�;在一體化標(biāo)識(shí)網(wǎng)絡(luò)的核心網(wǎng)中截獲數(shù)據(jù)包時(shí)�����,只有交換路由標(biāo)識(shí)����,無法確定接入標(biāo)識(shí)即源和目的地址;在數(shù)據(jù)包的目的端��,無法截獲數(shù)據(jù)包的源地址���。在數(shù)據(jù)包發(fā)送前���,根據(jù)傳輸過程的邏輯連接信息將端口信息隱藏;在數(shù)據(jù)包到達(dá)目的地址后,查詢目的端的連接標(biāo)識(shí)映射信息���,將端口信息填充到數(shù)據(jù)包中���,遞交上層,處理數(shù)據(jù)包��。由于信息的隱藏和替換����,包跟蹤技術(shù)基本成為不可能的事件。在數(shù)據(jù)包的傳遞過程中��,連接標(biāo)識(shí)起到了對(duì)數(shù)據(jù)包信息的隱藏功能���,主要是對(duì)數(shù)據(jù)傳輸過程安全可靠的保證。
[0021]最后應(yīng)說明的是:顯然���,上述實(shí)施例僅僅是為清楚地說明本發(fā)明所作的舉例�����,而并非對(duì)實(shí)施方式的限定�����。對(duì)于所屬領(lǐng)域的普通技術(shù)人員來說����,在上述說明的基礎(chǔ)上還可以做出其它不同形式的變化或變動(dòng)。這里無需也無法對(duì)所有的實(shí)施方式予以窮舉���。而由此所引申出的顯而易見的變化或變動(dòng)仍處于本發(fā)明的保護(hù)范圍之中��。
【權(quán)利要求】
1.一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法���,其特征在于: 基于連接標(biāo)識(shí)的傳輸協(xié)議方法,隱藏了通信雙方的地址和端口信息���,所述方法包括: 1)在數(shù)據(jù)通信前���,通信雙方安全地交互地址和端口信息,提供安全交互地址和端口信息的流程�; 2)根據(jù)交互的信息以及連接標(biāo)識(shí)的生成方法,為此次邏輯連接生成連接標(biāo)識(shí)及其附屬信息����; 3)為通信雙方提供一種分發(fā)生成的連接標(biāo)識(shí)及其附屬信息的方法; 4)為通信雙方提供一種基于連接標(biāo)識(shí)及其附屬信息的數(shù)據(jù)通信方法,從而保證該傳輸?shù)陌踩院涂煽啃浴?br>
2.根據(jù)權(quán)利要求1所述方法�����,其特征在于���,所述安全交互地址和端口信息的流程包括下列步驟: 當(dāng)通信發(fā)起方發(fā)起服務(wù)請(qǐng)求時(shí)����,服務(wù)請(qǐng)求信息被傳送到服務(wù)標(biāo)識(shí)映射服務(wù)器��,隨后��,月艮務(wù)標(biāo)識(shí)映射服務(wù)器反饋該服務(wù)所在的地址和端口信息�,這些信息經(jīng)加密后傳送到通信發(fā)起方,通信發(fā)起方接收到加密消息后����,解密該消息獲得地址信息��。
3.根據(jù)權(quán)利要求1所述方法����,其特征在于,所述連接標(biāo)識(shí)的生成過程包含下列步驟: 在通信發(fā)起方接收服務(wù)提供者的地址和端口信息后,結(jié)合發(fā)起方的地址和端口生成連接標(biāo)識(shí)及其附屬信息���,將對(duì)應(yīng)的條目存放于通信發(fā)起方�����; 通信發(fā)起方發(fā)送數(shù)據(jù)包時(shí)���,攜帶連接標(biāo)識(shí),在接入標(biāo)識(shí)映射節(jié)點(diǎn)路由器上根據(jù)連接標(biāo)識(shí)查詢相應(yīng)地通信對(duì)端地址���,將數(shù)據(jù)傳輸?shù)皆撨B接標(biāo)識(shí)對(duì)應(yīng)的對(duì)端地址����,當(dāng)數(shù)據(jù)到達(dá)對(duì)端地址時(shí)����,解密數(shù)據(jù)包,保存連接標(biāo)識(shí)及其附屬信息�����。
4.根據(jù)權(quán)利要求1所述方法�����,其特征在于,所述連接標(biāo)識(shí)及其附屬信息的分發(fā)過程包括下列步驟: 連接標(biāo)識(shí)及其附屬信息在網(wǎng)絡(luò)中的分發(fā)過程包括通信雙方和通信雙方接入的接入交換路由器����,分發(fā)是在通信終端和與它相連的接入交換路由器之間進(jìn)行,在通信終端生成連接標(biāo)識(shí)信息后���,將連接標(biāo)識(shí)和附屬信息關(guān)聯(lián)起來����。
5.根據(jù)權(quán)利要求1所述方法�����,其特征在于�����,所述基于連接標(biāo)識(shí)的端到端數(shù)據(jù)通信過程如下: 連接標(biāo)識(shí)及其附屬信息條目存儲(chǔ)在相應(yīng)地通信雙方和相關(guān)接入交換路由器上后�,通信發(fā)起方發(fā)送數(shù)據(jù)包時(shí)攜帶連接標(biāo)識(shí)���,在數(shù)據(jù)包到達(dá)接入交換路由器時(shí)���,替換源和目的地址����,發(fā)送至對(duì)端的接入交換路由器�����,在對(duì)端接入交換路由器上�����,根據(jù)CID的信息替換源和目的地址����,將數(shù)據(jù)包送到通信對(duì)端,在確定接收的數(shù)據(jù)包的類型后�,替換數(shù)據(jù)包的端口信息之后處理并遞交數(shù)據(jù)包。
【文檔編號(hào)】H04L29/06GK103561009SQ201310513942
【公開日】2014年2月5日 申請(qǐng)日期:2013年10月25日 優(yōu)先權(quán)日:2013年10月25日
【發(fā)明者】宋飛, 高陽陽, 姚琳元, 朱世佳, 李曉倩, 秦雅娟, 張宏科 申請(qǐng)人:北京交通大學(xué)