一種標識網(wǎng)業(yè)務訪問控制方法
【專利摘要】本發(fā)明公開了一種標識網(wǎng)業(yè)務訪問控制方法,基于標識網(wǎng)的訪問控制系統(tǒng)包括業(yè)務客戶端�����、業(yè)務服務器���、AR��、MS和ACS�����;業(yè)務客戶端發(fā)送對業(yè)務服務器的連接請求�����,AR收到連接請求后向MS發(fā)送業(yè)務服務器的EID和RLOC間的映射請求���,MS向ACS查詢該業(yè)務客戶端是否有對業(yè)務服務器具備訪問權(quán)限�,ACS根據(jù)預設的訪問權(quán)限進行響應�����,MS根據(jù)訪問權(quán)限查詢結(jié)果向AR拒絕或應答�,AR據(jù)此將連接請求包丟棄,或?qū)⒖蛻舳说倪B接請求進行隧道封裝發(fā)往業(yè)務服務器�����;AR上映射緩存表項包含了源EID和源EID必要性標記��,使得針對該業(yè)務服務器的映射緩存表項只對當前發(fā)起連接的客戶端有效���,以實現(xiàn)針對各客戶端對該業(yè)務服務器的連接訪問控制。
【專利說明】一種標識網(wǎng)業(yè)務訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種標識網(wǎng)業(yè)務訪問控制方法�����,在網(wǎng)絡層面實現(xiàn)標識網(wǎng)服務提供的可管可控性���,屬于通信網(wǎng)絡技術(shù)��。
【背景技術(shù)】
[0002]傳統(tǒng)的TCP/IP網(wǎng)絡(如互聯(lián)網(wǎng)以及絕大多數(shù)行業(yè)網(wǎng)絡��、企業(yè)網(wǎng)絡或政府部門網(wǎng)絡)����,具有組網(wǎng)簡單、接入方便���、通用性好等優(yōu)點�,但在用戶對業(yè)務(服務)的訪問控制���、以及多部門��、多用戶對服務數(shù)據(jù)的共享訪問上缺乏有效手段�����,黑客攻擊����、木馬植入等安全問題突出。傳統(tǒng)TCP/IP網(wǎng)絡可以通過高層訪問控制進行保護�,例如使用具有認證和密碼的基于角色的訪問,但是這種基于應用層的訪問控制方法存在用戶名密碼易泄露�、易受攻擊的風險。
[0003]為了適應互聯(lián)網(wǎng)��、行業(yè)專網(wǎng)可管可控性和安全可信等方面的需求�,國際上從學術(shù)界到產(chǎn)業(yè)界紛紛開展面向新型IP承載網(wǎng)技術(shù)的研究。其中����,將位置與身份分離,重新構(gòu)建網(wǎng)絡路由機制的標識網(wǎng)技術(shù)成為研究熱點���,例如LISP和HIP等技術(shù)?��,F(xiàn)有有關(guān)身份標識和位置分離的解決方案主要有兩種,一種是基于主機的實現(xiàn)����,另一種是基于網(wǎng)絡的實現(xiàn)。
【發(fā)明內(nèi)容】
[0004]發(fā)明目的:為了克服現(xiàn)有技術(shù)中存在的不足��,本發(fā)明提供一種標識網(wǎng)業(yè)務訪問控制方法����,建立在基于網(wǎng)絡的實現(xiàn)基礎(chǔ)上,在新型IP網(wǎng)絡中(尤其在行業(yè)應用網(wǎng)絡中)實現(xiàn)業(yè)務可管可控和多部門業(yè)務數(shù)據(jù)安全高效共享���。
[0005]技術(shù)方案:為實現(xiàn)上述目的�����,本發(fā)明采用的技術(shù)方案為:
[0006]一種標識網(wǎng)業(yè)務訪問控制方法���,基于標識網(wǎng)的訪問控制系統(tǒng)進行業(yè)務訪問控制,所述標識網(wǎng)的訪問控制系統(tǒng)包括網(wǎng)絡設備和終端/服務設備���;所述網(wǎng)絡設備包括邊緣接入路由器AR和映射服務器MS��,邊緣接入路由器AR跨接邊緣標識網(wǎng)和核心網(wǎng)����,邊緣接入路由器AR連接核心網(wǎng)的端口使用傳統(tǒng)IP地址�����,映射服務器MS位于核心網(wǎng)���、使用傳統(tǒng)IP地址����;所述終端/服務設備包括業(yè)務客戶端、業(yè)務服務器和業(yè)務訪問控制服務器ACS���,業(yè)務客戶端和業(yè)務服務器位于邊緣標識網(wǎng)內(nèi)����、擁有EID (終端標識)�,業(yè)務訪問控制服務器ACS位于核心網(wǎng)內(nèi)、使用傳統(tǒng)IP地址�����;以上傳統(tǒng)IP地址也稱為RLOC (位置標識)�。
[0007]所述業(yè)務訪問控制具體包括如下步驟:
[0008](I)業(yè)務客戶端向邊緣接入路由器AR發(fā)送對業(yè)務服務器的連接請求(包括業(yè)務數(shù)據(jù)等);源地址為業(yè)務客戶端的EID���,稱之為源EID ���;目的地址為業(yè)務服務器的EID,稱之為目的EID ;進入步驟⑵��;
[0009](2)邊緣接入路由器AR收到連接請求后�����,在本地的標識映射緩存表中查詢是否有該業(yè)務服務器的標識映射:若有該標識映射���,則進入步驟(6);若無該標識映射�����,則由邊緣接入路由器AR向映射服務器MS發(fā)送目的EID和目的RLOC間的映射查詢請求����,進入步驟
(3)��;
[0010](3)映射服務器MS在映射查詢表中進行映射查詢��,若未查詢到����,則對邊緣接入路由器AR響應拒絕包,進入步驟(7);若查詢到�,則判斷在映射查詢表中目的EID地址映射是否事先設置為受控:若不受控(即常規(guī)的、不涉及業(yè)務訪問控制的EID-RLOC映射)���,則映射服務器MS直接對響應邊緣接入路由器AR進行映射查詢響應�,進入步驟(5);若受控(與業(yè)務訪問控制相關(guān)的EID-RLOC映射),則映射服務器MS發(fā)送業(yè)務訪問控制查詢請求到業(yè)務訪問控制服務器ACS�����,進入步驟(4);
[0011 ] (4)業(yè)務訪問控制服務器ACS根據(jù)預設的訪問權(quán)限設置向映射服務器MS反饋業(yè)務訪問控制查詢響應包:若源EID有權(quán)訪問目的EID�����,則授權(quán)映射服務器MS對邊緣接入路由器AR進行映射查詢響應���,進入步驟(5);若源EID無權(quán)訪問目的EID�����,則指示映射服務器MS對邊緣接入路由器AR響應拒絕包�����,進入步驟(7)����;
[0012](5)邊緣接入路由器AR將映射服務器MS返回的映射查詢響應更新至本地的標識映射緩存表中����,進入步驟(6)����;
[0013](6)邊緣接入路由器AR根據(jù)目的EID和目的RLOC間的映射關(guān)系�,將業(yè)務客戶端的連接請求進行隧道封裝發(fā)往業(yè)務服務器��,隧道的源IP地址為邊緣接入路由器AR核心網(wǎng)端口的RL0C����,目的IP地址為查詢到的目的RLOC ;邊緣接入路由器AR后續(xù)收到的該業(yè)務客戶端向該業(yè)務服務器發(fā)送的業(yè)務數(shù)據(jù)可使用邊緣接入路由器AR更新后的本地的標識映射緩存表;
[0014](7)映射查詢請求被MS拒絕時���,邊緣路由器AR丟棄業(yè)務客戶端對業(yè)務服務器的訪問請求�����。
[0015]優(yōu)選的�����,所述邊緣接入路由器AR中本地的標識映射緩存表����,每一個表項中的內(nèi)容均包括:目的EID、源EID�����、目的RLOC和源EID必要性標記����,其中源EID必要性標記的初始值為I ;在步驟(2)中,對是否有該業(yè)務服務器的標識映射進行判斷時���,當源EID必要性標記為I時��,目的EID和源EID兩項內(nèi)容必須全部匹配����,才能夠確認有標識映射�,并可以使用標識映射緩存表;當源EID必要性標記為O時�����,僅需匹配目的EID���,就能夠確認有標識映射�,并可以使用標識映射緩存表。
[0016]優(yōu)選的���,所述步驟(2)中���,邊緣接入路由器AR向映射服務器MS發(fā)送的映射查詢請求中,包括目的EID和源EID�。
[0017]優(yōu)選的,所述步驟(3)和步驟(4)中�����,映射服務器MS對邊緣接入路由器AR進行映射查詢響應��,包括目的EID��、源EID���、目的RLOC和源EID必要性標記;步驟(3)中�,映射服務器MS直接對響應邊緣接入路由器AR進行映射查詢響應,源EID必要性標記為O ;步驟(4)中��,映射服務器MS對響應邊緣接入路由器AR進行映射查詢響應�����,源EID必要性標記為I。
[0018]所述業(yè)務訪問控制服務器ACS可由網(wǎng)絡運營商管理設置��,即網(wǎng)絡運營商可在業(yè)務訪問控制服務器ACS上對業(yè)務服務器的訪問權(quán)限進行設置�����,為多部門���、多用戶對業(yè)務服務器的共享訪問設置相應的訪問權(quán)限�����。
[0019]有益效果:本發(fā)明提供的標識網(wǎng)業(yè)務訪問控制方法����,具有如下兩方面的優(yōu)勢:
[0020]1��、安全的業(yè)務訪問控制:傳統(tǒng)的基于高層的鑒權(quán)認證機制�,密鑰易丟失、服務器易受攻擊�,而本發(fā)明中業(yè)務訪問的權(quán)限控制由核心網(wǎng)內(nèi)的ACS實現(xiàn),由于無法在邊緣直接訪問核心網(wǎng),因此ACS的安全性有保障�����,權(quán)限控制有保障��;通過ACS進行訪問控制的業(yè)務服務器�,其RLOC不會被非法用戶獲得,因此業(yè)務服務器的安全性高���;
[0021]2����、安全高效的多源業(yè)務數(shù)據(jù)多部門共享分發(fā):傳統(tǒng)的多源業(yè)務數(shù)據(jù)多部門共享�,基于業(yè)務服務器來實現(xiàn)�����,即來自多個源的業(yè)務數(shù)據(jù)收集到一臺公用業(yè)務服務器�,不同行業(yè)不同部門訪問公用業(yè)務服務器,在公用業(yè)務服務器上通過高層的鑒權(quán)認證機制實現(xiàn)不同行業(yè)不同部門的不同訪問權(quán)限����,公用業(yè)務服務器易受攻擊,可靠性低、效率低���;采用本發(fā)明�����,可通過在業(yè)務控制服務器上設置不同行業(yè)�、不同部門���、不同用戶對多個源的訪問權(quán)限�,業(yè)務的安全分發(fā)完全在網(wǎng)絡層實現(xiàn)���,不需要公用業(yè)務服務器��,安全性�、可靠性��、效率都得到了有力的保障��。
【專利附圖】
【附圖說明】
[0022]圖1為本發(fā)明中業(yè)務訪問控制系統(tǒng)組成示例圖����;
[0023]圖2為本發(fā)明中業(yè)務訪問控制通信流程圖����。
【具體實施方式】
[0024]下面結(jié)合附圖對本發(fā)明作更進一步的說明��。
[0025]如圖1所 示為一種基于標識網(wǎng)的訪問控制系統(tǒng)�����,包括網(wǎng)絡設備和終端/服務設備����。
[0026]所述網(wǎng)絡設備包括邊緣接入路由器AR和映射服務器MS等,邊緣接入路由器AR跨接邊緣標識網(wǎng)和核心網(wǎng)�,邊緣接入路由器AR連接核心網(wǎng)的端口使用傳統(tǒng)IP地址,映射服務器MS位于核心網(wǎng)���、使用傳統(tǒng)IP地址����;以上傳統(tǒng)IP地址也稱為RLOC (位置標識)�����。����。
[0027]所述終端/服務設備包括業(yè)務客戶端、業(yè)務服務器和業(yè)務訪問控制服務器ACS等��,業(yè)務客戶端和業(yè)務服務器位于邊緣標識網(wǎng)內(nèi)����、擁有EID,業(yè)務訪問控制服務器ACS位于核心網(wǎng)內(nèi)�����、使用傳統(tǒng)IP地址�。
[0028]如圖1所示,本例中���,業(yè)務服務器為分布于各邊緣標識網(wǎng)的監(jiān)控攝像頭���,業(yè)務客戶端為位于各視頻監(jiān)控中心的視頻監(jiān)控終端,如視頻監(jiān)控中心A的視頻監(jiān)控終端Al等�。
[0029]如圖2所示,為基于上述基于標識網(wǎng)的訪問控制系統(tǒng)的業(yè)務訪問控制方法���,具體包括如下步驟:
[0030](I)業(yè)務客戶端向邊緣接入路由器AR發(fā)送對業(yè)務服務器的連接請求(包括業(yè)務數(shù)據(jù)等)�����;源地址為業(yè)務客戶端的EID�����,稱之為源EID �����;目的地址為業(yè)務服務器的EID�����,稱之為目的EID ;進入步驟⑵��。
[0031]在本實施例中�����,視頻監(jiān)控終端Al發(fā)出的視頻連接請求數(shù)據(jù)包的結(jié)構(gòu)如表1所示�。
[0032]表1視頻連接申請數(shù)據(jù)包的結(jié)構(gòu)
【權(quán)利要求】
1.一種標識網(wǎng)業(yè)務訪問控制方法,其特征在于:基于標識網(wǎng)的訪問控制系統(tǒng)進行業(yè)務訪問控制����,所述標識網(wǎng)的訪問控制系統(tǒng)包括網(wǎng)絡設備和終端/服務設備;所述網(wǎng)絡設備包括邊緣接入路由器AR和映射服務器MS����,邊緣接入路由器AR跨接邊緣標識網(wǎng)和核心網(wǎng),邊緣接入路由器AR連接核心網(wǎng)的端口使用傳統(tǒng)IP地址��,映射服務器MS位于核心網(wǎng)��、使用傳統(tǒng)IP地址��;所述終端/服務設備包括業(yè)務客戶端��、業(yè)務服務器和業(yè)務訪問控制服務器ACS����,業(yè)務客戶端和業(yè)務服務器位于邊緣標識網(wǎng)內(nèi)、擁有EID���,業(yè)務訪問控制服務器ACS位于核心網(wǎng)內(nèi)����、使用傳統(tǒng)IP地址��;以上傳統(tǒng)IP地址也稱為RLOC���。 所述業(yè)務訪問控制具體包括如下步驟: (1)業(yè)務客戶端向邊緣接入路由器AR發(fā)送對業(yè)務服務器的連接請求�����;源地址為業(yè)務客戶端的EID�����,稱之為源EID �;目的地址為業(yè)務服務器的目的EID ;進入步驟(2); (2)邊緣接入路由器AR收到連接請求后,在本地的標識映射緩存表中查詢是否有該業(yè)務服務器的標識映射:若有該標識映射��,則進入步驟(6);若無該標識映射�����,則由邊緣接入路由器AR向映射服務器MS發(fā)送目的EID和目的RLOC間的映射查詢請求��,進入步驟(3); (3)映射服務器MS在映射查詢表中進行映射查詢����,若未查詢到,則對邊緣接入路由器AR響應拒絕包���,進入步驟(7);若查詢到���,則判斷在映射查詢表中目的EID地址映射是否事先設置為受控:若不受控,則映射服務器MS直接對響應邊緣接入路由器AR進行映射查詢響應��,進入步驟(5);若受控����,則映射服務器MS發(fā)送業(yè)務訪問控制查詢請求到業(yè)務訪問控制服務器ACS,進入步驟(4); (4)業(yè)務訪問控制服務器ACS根據(jù)預設的訪問權(quán)限設置向映射服務器MS反饋業(yè)務訪問控制查詢響應包:若源EID有權(quán)訪問目的EID��,則授權(quán)映射服務器MS對邊緣接入路由器AR進行映射查詢響應�,進入步驟(5);若源EID無權(quán)訪問目的EID,則指示映射服務器MS對邊緣接入路由器AR響應拒絕包�,進入步驟(7); (5)邊緣接入路由器AR將映射服務器MS返回的映射查詢響應更新至本地的標識映射緩存表中����,進入步驟(6); (6)邊緣接入路由器AR根據(jù)目的EID和目的RLOC間的映射關(guān)系�����,將業(yè)務客戶端的連接請求進行隧道封裝發(fā)往業(yè)務服務器�����,隧道的源IP地址為邊緣接入路由器AR核心網(wǎng)端口的RL0C,目的IP地址為查詢到的目的RLOC ;邊緣接入路由器AR后續(xù)收到的該業(yè)務客戶端向該業(yè)務服務器發(fā)送的業(yè)務數(shù)據(jù)可使用邊緣接入路由器AR更新后的本地的標識映射緩存表; (7)映射查詢請求被MS拒絕時��,邊緣路由器AR丟棄業(yè)務客戶端對業(yè)務服務器的訪問請求�����。
2.根據(jù)權(quán)利要求1所述的標識網(wǎng)業(yè)務訪問控制方法�����,其特征在于:所述邊緣接入路由器AR中本地的標識映射緩存表����,每一個表項中的內(nèi)容均包括:目的EID、源EID�、目的RLOC和源EID必要性標記,其中源EID必要性標記的初始值為I ;在步驟(2)中�����,對是否有該業(yè)務服務器的標識映射進行判斷時��,當源EID必要性標記為I時�����,目的EID和源EID兩項內(nèi)容必須全部匹配,才能夠確認有標識映射��,并可以使用標識映射緩存表�;當源EID必要性標記為O時,僅需匹配目的EID����,就能夠確認有標識映射���,并可以使用標識映射緩存表����。
3.根據(jù)權(quán)利要求1所述的標識網(wǎng)業(yè)務訪問控制方法�����,其特征在于:所述步驟(2)中��,邊緣接入路由器AR向映射服務器MS發(fā)送的映射查詢請求中��,包括目的EID和源EID���。
4.根據(jù)權(quán)利要求1所述的標識網(wǎng)業(yè)務訪問控制方法�,其特征在于:所述步驟(3)和步驟(4)中,映射服務器MS對邊緣接入路由器AR進行映射查詢響應��,包括目的EID��、源EID���、目的RLOC和源EID必要性標記��;步驟(3)中���,映射服務器MS直接對響應邊緣接入路由器AR進行映射查詢響應,源EID必要性標記為O ;步驟(4)中�����,映射服務器MS對響應邊緣接入路由器AR進行映射查詢響應�����,源E ID必要性標記為I�����。
【文檔編號】H04L29/08GK103986769SQ201410214626
【公開日】2014年8月13日 申請日期:2014年5月20日 優(yōu)先權(quán)日:2014年5月20日
【發(fā)明者】王霄峻, 陳曉曙 申請人:東南大學