本發(fā)明屬于網(wǎng)絡(luò)安全，具體涉及一種面向多維標(biāo)識(shí)融合網(wǎng)絡(luò)的設(shè)備對(duì)象標(biāo)識(shí)生成方法。

背景技術(shù)：

1、近年來(lái)，互聯(lián)網(wǎng)的飛速普及以及相關(guān)技術(shù)進(jìn)步使得網(wǎng)絡(luò)業(yè)務(wù)逐漸走向泛在化、多媒體化、移動(dòng)化。互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)和工作模式全部依托于網(wǎng)絡(luò)標(biāo)識(shí)，現(xiàn)階段在ip網(wǎng)絡(luò)標(biāo)識(shí)的基礎(chǔ)上構(gòu)建出的技術(shù)體系存在網(wǎng)絡(luò)結(jié)構(gòu)僵化、承載單一、未知威脅難以抑制等基礎(chǔ)性問(wèn)題，難以保障網(wǎng)絡(luò)的安全性和可靠性，無(wú)法應(yīng)對(duì)復(fù)雜軍事場(chǎng)景下各類(lèi)通信對(duì)端多變的通信模式，移動(dòng)性支持方面效能低下。

2、針對(duì)上述問(wèn)題，多維標(biāo)識(shí)融合網(wǎng)絡(luò)體系涵蓋了設(shè)備、內(nèi)容、服務(wù)、特定組等多種網(wǎng)絡(luò)對(duì)象，維護(hù)了多維統(tǒng)一標(biāo)識(shí)與多維屬性描述及網(wǎng)絡(luò)連接標(biāo)識(shí)三種信息之間的映射關(guān)系，將網(wǎng)絡(luò)對(duì)象中靜態(tài)的固有屬性和動(dòng)態(tài)的網(wǎng)絡(luò)屬性進(jìn)行分離，實(shí)現(xiàn)網(wǎng)絡(luò)資源靈活搜索、服務(wù)智慧定位的功能，賦予網(wǎng)絡(luò)除數(shù)據(jù)承載外更豐富的資源感知能力，滿足了多維標(biāo)識(shí)融合網(wǎng)絡(luò)系下基于多維屬性的通信需求。

3、針對(duì)上述網(wǎng)絡(luò)體系，現(xiàn)有的互聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)生成方法如下：

4、(1)數(shù)據(jù)鏈路層標(biāo)識(shí)mac

5、mac地址是網(wǎng)絡(luò)設(shè)備(如計(jì)算機(jī)、手機(jī)、路由器等)中的硬件地址，用于在網(wǎng)絡(luò)中唯一標(biāo)識(shí)設(shè)備。它通常由48位二進(jìn)制數(shù)表示，通常以十六進(jìn)制格式顯示。mac地址的作用是在局域網(wǎng)中唯一標(biāo)識(shí)網(wǎng)絡(luò)設(shè)備，以便在數(shù)據(jù)幀傳輸過(guò)程中識(shí)別目的地址和源地址。這樣可以確保數(shù)據(jù)包只被發(fā)送到正確的目標(biāo)設(shè)備，而不是被廣播到整個(gè)網(wǎng)絡(luò)。每個(gè)網(wǎng)絡(luò)設(shè)備的mac地址都是唯一的，因此可以確保在局域網(wǎng)中不會(huì)出現(xiàn)重復(fù)的地址。mac地址是設(shè)備的硬件級(jí)別標(biāo)識(shí)，不受操作系統(tǒng)或軟件配置的影響，因此在網(wǎng)絡(luò)通信中具有高度可靠性。

6、在該方法中，數(shù)據(jù)鏈路層標(biāo)識(shí)mac只能在同一局域網(wǎng)中唯一標(biāo)識(shí)設(shè)備，在跨網(wǎng)絡(luò)通信時(shí)無(wú)法直接使用，不適用于跨網(wǎng)絡(luò)通信。與ip地址不同，mac地址通常是固定的，并且無(wú)法動(dòng)態(tài)改變。因此，在某些情況下，例如設(shè)備更換網(wǎng)絡(luò)接口卡或者需要匿名性的應(yīng)用場(chǎng)景下，mac地址可能不夠靈活。

7、(2)網(wǎng)絡(luò)層標(biāo)識(shí)ip

8、ip地址是傳統(tǒng)互聯(lián)網(wǎng)唯一的統(tǒng)一標(biāo)識(shí)，用于唯一標(biāo)識(shí)和定位設(shè)備或主機(jī)。每個(gè)連接到互聯(lián)網(wǎng)的設(shè)備都被分配一個(gè)唯一的ip地址，通過(guò)這個(gè)地址，數(shù)據(jù)包可以準(zhǔn)確地路由到目標(biāo)設(shè)備。通過(guò)ip地址，用戶可以訪問(wèn)遠(yuǎn)程服務(wù)器、瀏覽網(wǎng)頁(yè)、發(fā)送電子郵件等。因此，ip地址被視為互聯(lián)網(wǎng)中設(shè)備和主機(jī)的唯一標(biāo)識(shí)符，它在網(wǎng)絡(luò)通信中起著至關(guān)重要的作用。

9、上述網(wǎng)絡(luò)層標(biāo)識(shí)ip的設(shè)計(jì)存在位置屬性和身份屬性的二義性問(wèn)題，既代表用戶身份信息，又代表用戶位置信息，造成諸多問(wèn)題，如移動(dòng)性支持、安全和位置隱私、多家鄉(xiāng)連接、路由規(guī)模可擴(kuò)展性問(wèn)題等。

10、(3)應(yīng)用層標(biāo)識(shí)uri

11、互聯(lián)網(wǎng)在應(yīng)用層采用層次語(yǔ)義化的uri對(duì)服務(wù)和內(nèi)容資源進(jìn)行統(tǒng)一描述，uri是一種通用的標(biāo)識(shí)符，用于唯一標(biāo)識(shí)互聯(lián)網(wǎng)上的資源，包括網(wǎng)頁(yè)、文件、服務(wù)等。uri通常具有層次結(jié)構(gòu)，可以由多個(gè)部分組成，包括協(xié)議標(biāo)識(shí)符、主機(jī)名、路徑等。為了將uri轉(zhuǎn)換為實(shí)際的網(wǎng)絡(luò)地址，互聯(lián)網(wǎng)使用dns(域名系統(tǒng))系統(tǒng)進(jìn)行uri與ip地址之間的映射查詢(xún)。dns系統(tǒng)將uri中的主機(jī)名轉(zhuǎn)換為對(duì)應(yīng)的ip地址，使用戶可以通過(guò)uri來(lái)訪問(wèn)相應(yīng)的資源。dns系統(tǒng)通過(guò)分布式的域名服務(wù)器來(lái)提供域名解析服務(wù)，用戶可以向這些服務(wù)器發(fā)送查詢(xún)請(qǐng)求，獲取相應(yīng)主機(jī)名對(duì)應(yīng)的ip地址。用戶可以通過(guò)uri來(lái)訪問(wèn)互聯(lián)網(wǎng)上的各種資源，不需要直接操作ip地址，實(shí)現(xiàn)了更加方便和統(tǒng)一的網(wǎng)絡(luò)訪問(wèn)。

12、該方法通過(guò)dns系統(tǒng)進(jìn)行uri與ip地址之間的映射查詢(xún)，這種設(shè)計(jì)使得服務(wù)內(nèi)容與網(wǎng)絡(luò)位置捆綁在在一起，造成資源依賴(lài)于所在位置，靈活性差，傳輸效率低，難以適應(yīng)視頻流快速增長(zhǎng)的需求。

13、(4)傳輸層缺少獨(dú)立標(biāo)識(shí)

14、互聯(lián)網(wǎng)傳輸層沒(méi)有獨(dú)立的名字空間，采用(ip+端口)形式來(lái)標(biāo)識(shí)連接，在傳輸層，每個(gè)網(wǎng)絡(luò)連接都被分配一個(gè)唯一的端口號(hào)，以及對(duì)應(yīng)的目標(biāo)ip地址。這個(gè)端口號(hào)用于標(biāo)識(shí)不同的應(yīng)用程序或服務(wù)，而ip地址則用于標(biāo)識(shí)目標(biāo)設(shè)備或主機(jī)。這種連接標(biāo)識(shí)方式使傳輸層的名字空間依賴(lài)于網(wǎng)絡(luò)層的名字空間，在進(jìn)行網(wǎng)絡(luò)通信時(shí)需要確保網(wǎng)絡(luò)層和傳輸層之間的一致性，以確保數(shù)據(jù)包能夠正確地路由到目標(biāo)設(shè)備和應(yīng)用程序。

15、在上述方法中：

16、數(shù)據(jù)鏈路層標(biāo)識(shí)mac只能在同一局域網(wǎng)中唯一標(biāo)識(shí)設(shè)備，在跨網(wǎng)絡(luò)通信時(shí)無(wú)法直接使用，不適用于跨網(wǎng)絡(luò)通信。與ip地址不同，mac地址通常是固定的，并且無(wú)法動(dòng)態(tài)改變。因此，在某些情況下，例如設(shè)備更換網(wǎng)絡(luò)接口卡或者需要匿名性的應(yīng)用場(chǎng)景下，mac地址可能不夠靈活。

17、網(wǎng)絡(luò)層標(biāo)識(shí)ip的設(shè)計(jì)存在位置屬性和身份屬性的二義性問(wèn)題，既代表用戶身份信息，又代表用戶位置信息，造成諸多問(wèn)題，如移動(dòng)性支持、安全和位置隱私、多家鄉(xiāng)連接、路由規(guī)?？蓴U(kuò)展性問(wèn)題等。

18、應(yīng)用層標(biāo)識(shí)uri通過(guò)dns系統(tǒng)進(jìn)行uri與ip地址之間的映射查詢(xún)，這種設(shè)計(jì)使得服務(wù)內(nèi)容與網(wǎng)絡(luò)位置捆綁在在一起，造成資源依賴(lài)于所在位置，靈活性差，傳輸效率低，難以適應(yīng)視頻流快速增長(zhǎng)的需求。

19、互聯(lián)網(wǎng)傳輸層沒(méi)有獨(dú)立的名字空間，采用(ip+端口)形式來(lái)標(biāo)識(shí)連接，使得傳輸層的名字空間依賴(lài)于網(wǎng)絡(luò)層名字空間。這種設(shè)計(jì)影響了多家鄉(xiāng)技術(shù)和多路徑并行傳輸技術(shù)的實(shí)現(xiàn)。另外，由于缺少支持上層用戶需求和下層網(wǎng)絡(luò)狀態(tài)的動(dòng)態(tài)適配，難以支持網(wǎng)絡(luò)智慧化通信。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)現(xiàn)有技術(shù)中的上述不足，本發(fā)明提供的面向多維標(biāo)識(shí)融合網(wǎng)絡(luò)的設(shè)備對(duì)象標(biāo)識(shí)生成方法解決了現(xiàn)有標(biāo)識(shí)命名方法存在的位置屬性與身份屬性的二義性問(wèn)題，以及自愿依賴(lài)于所在位置，網(wǎng)絡(luò)靈活性差，傳輸效率低，安全和隱私問(wèn)題無(wú)法保障的問(wèn)題。

2、為了達(dá)到上述發(fā)明目的，本發(fā)明采用的技術(shù)方案為：一種面向多維標(biāo)識(shí)融合網(wǎng)絡(luò)的設(shè)備對(duì)象標(biāo)識(shí)生成方法，包括以下步驟：

3、s1、將網(wǎng)絡(luò)設(shè)備接入到多維標(biāo)識(shí)融合網(wǎng)絡(luò)；

4、s2、基于部署在控制器中多維標(biāo)識(shí)融合網(wǎng)絡(luò)的網(wǎng)絡(luò)層解析映射服務(wù)器提供的屬性信息生成網(wǎng)絡(luò)設(shè)備的完整私鑰；

5、s3、通過(guò)網(wǎng)絡(luò)層解析映射服務(wù)器根據(jù)網(wǎng)絡(luò)設(shè)備的多維屬性信息，并結(jié)合私鑰，動(dòng)態(tài)生成長(zhǎng)度可變的唯一設(shè)備對(duì)象標(biāo)識(shí)，并將其發(fā)送至對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備中。

6、進(jìn)一步地，所述步驟s2中，所述網(wǎng)絡(luò)層解析映射服務(wù)器提供的屬性信息包括接入網(wǎng)絡(luò)設(shè)備的ip地址、控制器的id以及控制器的ip地址。

7、進(jìn)一步地，所述步驟s2中，所述網(wǎng)絡(luò)設(shè)備的完整私鑰由網(wǎng)絡(luò)設(shè)備生成的第一私鑰部分qu，以及由密鑰生成中心生成的第一私鑰部分du。

8、進(jìn)一步地，所述步驟s2具體為：

9、s21、生成系統(tǒng)參數(shù)params＝{q,g1,g2,e,p,ppub,h1,h2}；

10、其中，q為大素?cái)?shù)，g1為可加循環(huán)群，g2為可乘循環(huán)群，p為元，且p∈g1，e為雙線性對(duì)，h1和h2為兩個(gè)安全的哈希函數(shù)；

11、s22、將網(wǎng)絡(luò)層解析映射服務(wù)器提供的屬性信息進(jìn)行哈希計(jì)算生成隨機(jī)數(shù)t，并選擇隨機(jī)數(shù)xu∈z*q作為t的秘密值，進(jìn)而結(jié)合系統(tǒng)參數(shù)由網(wǎng)絡(luò)設(shè)備生成第一私鑰部分qu＝h1(t,xu)；其中，xu為私鑰部分，xu＝xu·p；

12、s23、根據(jù)第一部分私鑰qu，由密鑰生成中心生成第二私鑰部分du＝z·qu；其中，z為密鑰生成中心的主密鑰；

13、s24、根據(jù)第一私鑰部分qu和第二私鑰部分du生成網(wǎng)絡(luò)設(shè)備的完整私鑰sku＝xu·du。

14、進(jìn)一步地，所述步驟s3中，所述網(wǎng)絡(luò)設(shè)備的多維屬性信息為描述所述網(wǎng)絡(luò)設(shè)備與其位置信息分離的來(lái)源、身份以及從屬關(guān)系的信息。

15、進(jìn)一步地，所述步驟s3具體為：

16、s31、當(dāng)用戶發(fā)起通信請(qǐng)求時(shí)，通過(guò)邊界網(wǎng)絡(luò)設(shè)備向控制器發(fā)送攜帶多維屬性信息的packet-in消息，通過(guò)網(wǎng)絡(luò)層解析映射服務(wù)器將packet-in消息解析，生成與其身份信息相關(guān)的二進(jìn)制集合m；

17、s32、根據(jù)二進(jìn)制集合m與完整私鑰sku，生成唯一網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)duid＝e(sku·h2(m),p)；其中，h2(m)表示對(duì)二進(jìn)制集合m應(yīng)用的哈希函數(shù)；

18、s33、將攜帶唯一網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)duid＝e(sku·h2(m),p)的packet-out消息發(fā)送至對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備中。

19、進(jìn)一步地，所述唯一設(shè)備對(duì)象標(biāo)識(shí)的長(zhǎng)度不超過(guò)32字節(jié)。

20、本發(fā)明的有益效果為：

21、(1)本發(fā)明通過(guò)生成唯一的設(shè)備對(duì)象標(biāo)識(shí)，對(duì)用戶身份相關(guān)信息進(jìn)行標(biāo)識(shí)和表征，使其獨(dú)立于用戶所處位置，旨在解決現(xiàn)有標(biāo)識(shí)命名方法存在的位置屬性與身份屬性的二義性問(wèn)題，以及自愿依賴(lài)于所在位置，網(wǎng)絡(luò)靈活性差，傳輸效率低，安全和隱私問(wèn)題無(wú)法保障；通過(guò)duid對(duì)用戶的標(biāo)識(shí)和表征，使身份信息與用戶所處位置分離，從而實(shí)現(xiàn)對(duì)移動(dòng)性的天然支持以及安全性的內(nèi)生保障。

22、(2)通過(guò)本發(fā)明生成的設(shè)備對(duì)象標(biāo)識(shí)來(lái)確定通信實(shí)體的身份，不會(huì)因?yàn)樵O(shè)備移動(dòng)等因素發(fā)生變化，保證了通信過(guò)程的長(zhǎng)效性與穩(wěn)定性。

23、(3)本發(fā)明方法中，基于無(wú)公密碼學(xué)的思想，設(shè)計(jì)的分布式設(shè)備對(duì)象標(biāo)識(shí)udid的生成方案具有保證接入網(wǎng)絡(luò)設(shè)備的安全、生成復(fù)雜度低的特點(diǎn)。