一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法
【專(zhuān)利摘要】本發(fā)明提供了一種一體化標(biāo)識(shí)網(wǎng)絡(luò)基于連接標(biāo)識(shí)的傳輸方法��,引入連接標(biāo)識(shí)的概念��,隱蔽端到端傳輸過(guò)程中的地址和端口信息���,該方法包括如下內(nèi)容:1)在數(shù)據(jù)通信前����,在通信雙方之間安全地交互通信過(guò)程使用的地址和端口信息����;2)根據(jù)交互的信息,為此次數(shù)據(jù)通信中建立的邏輯連接生成連接標(biāo)識(shí)����;3)為通信雙方分發(fā)生成的連接標(biāo)識(shí)及其附屬信息;4)提供基于連接標(biāo)識(shí)及其附屬信息的數(shù)據(jù)通信流程��。本發(fā)明是一種基于連接標(biāo)識(shí)的傳輸方法�,該方法可以提高端到端數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?br>
【專(zhuān)利說(shuō)明】一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】,涉及一種一體化標(biāo)識(shí)網(wǎng)絡(luò)基于連接標(biāo)識(shí)的傳輸方法���,提高了端到端通信的安全性和可靠性���。
【背景技術(shù)】
[0002]在傳統(tǒng)互聯(lián)網(wǎng)中�����,典型的傳輸協(xié)議包括傳輸控制協(xié)議(TCP)和用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UDP)���。無(wú)論是面向連接的TCP或是面向非連接的UDP,在傳輸過(guò)程中都包含邏輯連接信息���,包括源地址��,目的地址�����,源端口和目的端口��。它的傳輸協(xié)議存在著固有的缺陷���,它缺乏對(duì)傳輸過(guò)程的管理,它本身存在著嚴(yán)重的安全隱患�。這些問(wèn)題的根源在于傳統(tǒng)互聯(lián)網(wǎng)設(shè)計(jì)之初,在面對(duì)惡意攻擊時(shí)���,無(wú)法提供端到端傳輸?shù)墓芾砗桶踩煽勘WC�。
[0003]一體化標(biāo)識(shí)網(wǎng)絡(luò)的設(shè)計(jì)方案提供了安全,可靠����,可控���,可管的端到端傳輸?shù)目赡苄?���。連接標(biāo)識(shí)存在的目的就是為數(shù)據(jù)的端到端傳輸過(guò)程提供信息隱蔽���,同時(shí)為網(wǎng)絡(luò)對(duì)數(shù)據(jù)傳輸?shù)墓芾硖峁┝丝赡苄?����,提供了通信雙方之間的端到端通信的安全性和可靠性��。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法�����,以使一體化標(biāo)識(shí)網(wǎng)絡(luò)能夠提供更加安全可靠地端到端數(shù)據(jù)包傳送�。在數(shù)據(jù)傳輸協(xié)議中引入連接標(biāo)識(shí)的概念,就可以保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩浴?br>
[0005]為此����,根據(jù)本發(fā)明,提供了一種安全交互地址和端口信息的方法�����,其特征在于:在傳輸?shù)倪^(guò)程中����,隱藏主機(jī)提供的端口信息和提供服務(wù)的地址信息,只有接收到含有CID的數(shù)據(jù)包����,同時(shí)它來(lái)自于該CID認(rèn)可的通信發(fā)起者,就可以實(shí)現(xiàn)數(shù)據(jù)包信息的替換和處理�。
[0006]根據(jù)本發(fā)明,通過(guò)交互的信息生成連接標(biāo)識(shí)���,提供了避免沖突和沖突退避的方法����。避免連接標(biāo)識(shí)的沖突主要是通過(guò)哈希值添加時(shí)間戳和隨機(jī)數(shù),從而降低沖突的概率����。當(dāng)連接標(biāo)識(shí)沖突時(shí),沖突退避的方法是對(duì)連接標(biāo)識(shí)的重新生成�����,通過(guò)換時(shí)間戳和隨機(jī)數(shù)的方法��。哈希的結(jié)果是160-bit的字符串����,沖突概率已經(jīng)接近零�,這個(gè)是經(jīng)過(guò)各種嚴(yán)苛網(wǎng)絡(luò)條件下的大規(guī)模數(shù)據(jù)傳輸場(chǎng)景測(cè)試下得出的結(jié)論。假設(shè)連接標(biāo)識(shí)發(fā)生沖突��,本通信方法也是提供了沖突檢測(cè)和退避的方法�。
[0007]根據(jù)本發(fā)明,連接標(biāo)識(shí)及其附屬信息分發(fā)至通信雙方��,完成對(duì)數(shù)據(jù)的間接通信���。在數(shù)據(jù)包傳送前��,將連接標(biāo)識(shí)及其附屬信息分發(fā)至通信雙方及其相應(yīng)地接入交換路由器�。連接標(biāo)識(shí)及其附屬信息形成的映射條目只有通過(guò)安全傳輸才能保證條目不被竊聽(tīng)。
[0008]根據(jù)本發(fā)明���,提供了一種安全可靠地端到端數(shù)據(jù)通信模式�。數(shù)據(jù)包在發(fā)送時(shí)攜帶連接標(biāo)識(shí)����,當(dāng)攜帶連接標(biāo)識(shí)的數(shù)據(jù)包經(jīng)過(guò)儲(chǔ)存連接標(biāo)識(shí)映射條目的路由器時(shí),按照附屬信息進(jìn)行填充數(shù)據(jù)包相應(yīng)的信息的操作�,完成對(duì)數(shù)據(jù)的間接通信。在通信雙方的主機(jī)上實(shí)現(xiàn)對(duì)端口信息的填充����,之后遞交上層處理。因此�,在通信的過(guò)程中源和目的地址不再同一個(gè)數(shù)據(jù)包中同時(shí)出現(xiàn),同時(shí)端口信息只有在相應(yīng)的主機(jī)上才能獲得����,因而在端到端數(shù)據(jù)包的傳送過(guò)程中隱藏了通信雙方地址和端口信息?���!緦?zhuān)利附圖】
【附圖說(shuō)明】
[0009]圖1為本發(fā)明的一體化標(biāo)識(shí)網(wǎng)絡(luò)連接標(biāo)識(shí)的生成過(guò)程;
[0010]圖2為一體化標(biāo)識(shí)網(wǎng)絡(luò)中連接標(biāo)識(shí)及其映射條目的定義示意圖;
[0011]圖3為本發(fā)明具體實(shí)施例的連接標(biāo)識(shí)及其附屬信息的分發(fā)流程��;
[0012]圖4為本發(fā)明具體實(shí)施例的基于連接標(biāo)識(shí)的端到端通信的流程�����。
【具體實(shí)施方式】
[0013]有關(guān)本發(fā)明的技術(shù)內(nèi)容及詳細(xì)說(shuō)明��,現(xiàn)配合【專(zhuān)利附圖】
【附圖說(shuō)明】如下:
[0014]圖1為本發(fā)明的連接標(biāo)識(shí)生成過(guò)程的示意圖����。如圖1所示,連接標(biāo)識(shí)的生成過(guò)程的原始元素包括服務(wù)發(fā)起方地址��,服務(wù)提供方地址���,時(shí)間戳和隨機(jī)數(shù)。連接標(biāo)識(shí)的生成結(jié)果是服務(wù)發(fā)起方地址和服務(wù)提供方地址的哈希值���,再結(jié)合時(shí)間戳和隨機(jī)數(shù)的ieobit的隨機(jī)數(shù)��。在數(shù)據(jù)傳輸?shù)倪^(guò)程中����,隱藏傳輸?shù)年P(guān)鍵信息如端口號(hào)等。
[0015]連接標(biāo)識(shí)的生成方法本身已經(jīng)具備減少?zèng)_突的功能�,它的實(shí)現(xiàn)是基于時(shí)間戳和隨機(jī)數(shù),以及哈希值極小的沖突概率��。沖突退避的方案主要是在檢測(cè)到?jīng)_突時(shí)����,替換沖突的連接標(biāo)識(shí),形成一個(gè)新的連接標(biāo)識(shí)�����,從而避免連接標(biāo)識(shí)的沖突�����。
[0016]圖2為連接標(biāo)識(shí)及其附屬信息映射條目定義的示意圖���。連接標(biāo)識(shí)的信息及其附屬信息�����,可以歸結(jié)為ieobit的傳輸標(biāo)識(shí)��,通信雙方的源和目的地址��,源和目的端口信息����。連接標(biāo)識(shí)的映射條目是指導(dǎo)數(shù)據(jù)端到端傳輸?shù)囊罁?jù),同時(shí)對(duì)管理端到端的數(shù)據(jù)傳輸過(guò)程起到了重要作用�。連接標(biāo)識(shí)及其附屬信息的目的是為了完成對(duì)數(shù)據(jù)端到端通信安全可靠的基礎(chǔ)。
[0017]連接標(biāo)識(shí)映射條目的定義包括了連接標(biāo)識(shí)及其標(biāo)識(shí)的邏輯連接信息和資源����。這些邏輯連接的基本信息決定了數(shù)據(jù)傳輸?shù)姆较蚝蛡鬏旉P(guān)鍵信息,該映射條目的查詢(xún)和儲(chǔ)存能夠在傳輸?shù)倪^(guò)程中幫助避免數(shù)據(jù)包攜帶連接標(biāo)識(shí)相關(guān)信息��,從而提高端到端傳輸過(guò)程的安全可靠�。尤其是對(duì)通信對(duì)端和端口信息的攻擊類(lèi)型可以通過(guò)本發(fā)明中的傳輸協(xié)議方法在很大程度上避免。
[0018]圖3為連接標(biāo)識(shí)及其附屬信息的分發(fā)流程的示意圖����。連接標(biāo)識(shí)的分發(fā)過(guò)程主要是連接標(biāo)識(shí)映射服務(wù)器獲悉通信雙方地址和與通信雙方連接的接入交換路由器。接入交換路由器上的連接標(biāo)識(shí)及其附屬信息中的源地址和目的端地址�,主要是完成對(duì)數(shù)據(jù)包傳遞過(guò)程中的源地址和目的地址的替換�����。分發(fā)的流程分為兩類(lèi)�,一類(lèi)是分發(fā)到與通信源端和目的端相連的接入交換路由器上�,該信息包括連接標(biāo)識(shí)及連接標(biāo)識(shí)對(duì)應(yīng)的源地址和目的地址��;另一類(lèi)是分發(fā)到源地址和目的地址的信息��,它包括連接標(biāo)識(shí)��、源端口和目的端口���,源地址和目的地址的映射關(guān)系�����。完成這兩類(lèi)信息的分發(fā)��,就結(jié)束了端到端數(shù)據(jù)通信的準(zhǔn)備工作���。
[0019]圖4為基于連接標(biāo)識(shí)的端到端通信流程的示意圖。當(dāng)通信發(fā)起方發(fā)起服務(wù)請(qǐng)求時(shí)�,攜帶分配的連接標(biāo)識(shí),傳送至與其相連的接入交換路由器�����。在數(shù)據(jù)通信的過(guò)程中�����,根據(jù)路由器上儲(chǔ)存的連接標(biāo)識(shí)映射條目,完成對(duì)數(shù)據(jù)包的源地址和目的地址的替換�。當(dāng)數(shù)據(jù)包發(fā)送到通信對(duì)端時(shí),查詢(xún)連接標(biāo)識(shí)和端口信息的映射關(guān)系��,將端口信息添加到數(shù)據(jù)包中對(duì)應(yīng)位置�����,之后將數(shù)據(jù)包傳遞至上層進(jìn)行處理��。
[0020]因此�����,縱觀數(shù)據(jù)包的傳送過(guò)程�����,在數(shù)據(jù)包發(fā)送的源端�����,無(wú)法截取數(shù)據(jù)包的目的地址���;在一體化標(biāo)識(shí)網(wǎng)絡(luò)的核心網(wǎng)中截獲數(shù)據(jù)包時(shí)�,只有交換路由標(biāo)識(shí)��,無(wú)法確定接入標(biāo)識(shí)即源和目的地址���;在數(shù)據(jù)包的目的端�,無(wú)法截獲數(shù)據(jù)包的源地址�����。在數(shù)據(jù)包發(fā)送前����,根據(jù)傳輸過(guò)程的邏輯連接信息將端口信息隱藏;在數(shù)據(jù)包到達(dá)目的地址后���,查詢(xún)目的端的連接標(biāo)識(shí)映射信息����,將端口信息填充到數(shù)據(jù)包中�,遞交上層,處理數(shù)據(jù)包���。由于信息的隱藏和替換���,包跟蹤技術(shù)基本成為不可能的事件��。在數(shù)據(jù)包的傳遞過(guò)程中�����,連接標(biāo)識(shí)起到了對(duì)數(shù)據(jù)包信息的隱藏功能����,主要是對(duì)數(shù)據(jù)傳輸過(guò)程安全可靠的保證�。
[0021]最后應(yīng)說(shuō)明的是:顯然,上述實(shí)施例僅僅是為清楚地說(shuō)明本發(fā)明所作的舉例����,而并非對(duì)實(shí)施方式的限定。對(duì)于所屬領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)����,在上述說(shuō)明的基礎(chǔ)上還可以做出其它不同形式的變化或變動(dòng)。這里無(wú)需也無(wú)法對(duì)所有的實(shí)施方式予以窮舉��。而由此所引申出的顯而易見(jiàn)的變化或變動(dòng)仍處于本發(fā)明的保護(hù)范圍之中。
【權(quán)利要求】
1.一種基于連接標(biāo)識(shí)的一體化標(biāo)識(shí)網(wǎng)絡(luò)傳輸方法����,其特征在于: 基于連接標(biāo)識(shí)的傳輸協(xié)議方法���,隱藏了通信雙方的地址和端口信息����,所述方法包括: 1)在數(shù)據(jù)通信前����,通信雙方安全地交互地址和端口信息,提供安全交互地址和端口信息的流程�����; 2)根據(jù)交互的信息以及連接標(biāo)識(shí)的生成方法���,為此次邏輯連接生成連接標(biāo)識(shí)及其附屬信息�����; 3)為通信雙方提供一種分發(fā)生成的連接標(biāo)識(shí)及其附屬信息的方法���; 4)為通信雙方提供一種基于連接標(biāo)識(shí)及其附屬信息的數(shù)據(jù)通信方法����,從而保證該傳輸?shù)陌踩院涂煽啃浴?br>
2.根據(jù)權(quán)利要求1所述方法��,其特征在于����,所述安全交互地址和端口信息的流程包括下列步驟: 當(dāng)通信發(fā)起方發(fā)起服務(wù)請(qǐng)求時(shí),服務(wù)請(qǐng)求信息被傳送到服務(wù)標(biāo)識(shí)映射服務(wù)器���,隨后����,月艮務(wù)標(biāo)識(shí)映射服務(wù)器反饋該服務(wù)所在的地址和端口信息����,這些信息經(jīng)加密后傳送到通信發(fā)起方,通信發(fā)起方接收到加密消息后�,解密該消息獲得地址信息。
3.根據(jù)權(quán)利要求1所述方法���,其特征在于��,所述連接標(biāo)識(shí)的生成過(guò)程包含下列步驟: 在通信發(fā)起方接收服務(wù)提供者的地址和端口信息后�����,結(jié)合發(fā)起方的地址和端口生成連接標(biāo)識(shí)及其附屬信息���,將對(duì)應(yīng)的條目存放于通信發(fā)起方; 通信發(fā)起方發(fā)送數(shù)據(jù)包時(shí)����,攜帶連接標(biāo)識(shí),在接入標(biāo)識(shí)映射節(jié)點(diǎn)路由器上根據(jù)連接標(biāo)識(shí)查詢(xún)相應(yīng)地通信對(duì)端地址�����,將數(shù)據(jù)傳輸?shù)皆撨B接標(biāo)識(shí)對(duì)應(yīng)的對(duì)端地址�����,當(dāng)數(shù)據(jù)到達(dá)對(duì)端地址時(shí)����,解密數(shù)據(jù)包,保存連接標(biāo)識(shí)及其附屬信息�。
4.根據(jù)權(quán)利要求1所述方法,其特征在于,所述連接標(biāo)識(shí)及其附屬信息的分發(fā)過(guò)程包括下列步驟: 連接標(biāo)識(shí)及其附屬信息在網(wǎng)絡(luò)中的分發(fā)過(guò)程包括通信雙方和通信雙方接入的接入交換路由器��,分發(fā)是在通信終端和與它相連的接入交換路由器之間進(jìn)行���,在通信終端生成連接標(biāo)識(shí)信息后�,將連接標(biāo)識(shí)和附屬信息關(guān)聯(lián)起來(lái)����。
5.根據(jù)權(quán)利要求1所述方法,其特征在于��,所述基于連接標(biāo)識(shí)的端到端數(shù)據(jù)通信過(guò)程如下: 連接標(biāo)識(shí)及其附屬信息條目存儲(chǔ)在相應(yīng)地通信雙方和相關(guān)接入交換路由器上后�����,通信發(fā)起方發(fā)送數(shù)據(jù)包時(shí)攜帶連接標(biāo)識(shí)����,在數(shù)據(jù)包到達(dá)接入交換路由器時(shí),替換源和目的地址���,發(fā)送至對(duì)端的接入交換路由器��,在對(duì)端接入交換路由器上���,根據(jù)CID的信息替換源和目的地址��,將數(shù)據(jù)包送到通信對(duì)端�,在確定接收的數(shù)據(jù)包的類(lèi)型后����,替換數(shù)據(jù)包的端口信息之后處理并遞交數(shù)據(jù)包。
【文檔編號(hào)】H04L29/06GK103561009SQ201310513942
【公開(kāi)日】2014年2月5日 申請(qǐng)日期:2013年10月25日 優(yōu)先權(quán)日:2013年10月25日
【發(fā)明者】宋飛, 高陽(yáng)陽(yáng), 姚琳元, 朱世佳, 李曉倩, 秦雅娟, 張宏科 申請(qǐng)人:北京交通大學(xué)