CN101175067A - 一种网络安全实现系统及方法 - Google Patents
一种网络安全实现系统及方法 Download PDFInfo
- Publication number
- CN101175067A CN101175067A CNA2006100635058A CN200610063505A CN101175067A CN 101175067 A CN101175067 A CN 101175067A CN A2006100635058 A CNA2006100635058 A CN A2006100635058A CN 200610063505 A CN200610063505 A CN 200610063505A CN 101175067 A CN101175067 A CN 101175067A
- Authority
- CN
- China
- Prior art keywords
- address
- user
- router
- couple
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种实现网络安全的系统及方法,所述方法包括步骤:根据用户的权限信息确认接受所述用户的接入请求后,为所述用户分配接入地址和路由地址,并且建立所述用户的端系统标识、接入地址和路由地址之间的映射关系;根据所述用户的端系统标识、接入地址和路由地址之间的映射关系,对数据包的地址进行替换后,发送数据包。本发明的实施例通过为每一个接入用户分配唯一且不变的标识,并使用标识来建立传输层连接,还通过加入接入控制和鉴权功能、接入地址和路由地址分离聚合映射、提高了网络的安全性和用户的隐私性。
Description
技术领域
本发明涉及通信技术领域,具体地说,涉及一种网络安全实现系统及方法。
背景技术
现有互联网是基于IP(Internet Protocol,互联网协议)的无连接网络技术建立的,其无连接的传输机制在安全方面存在隐患。在数据报文从源地址传送到目的地址的过程中,需要经过许多中间网络,其中包括不受发送方和接收方控制的中间路由器。一些网络探测工具就能够通过中间路由器捕获网上传输的数据包,并将数据包的内容信息分析出来。这些网络探测工具从一定意义上使得网络上传输的数据变得可见,能够观察到一些网络用户正在进行的操作和传输的数据,这样,由于数据报文能在中途被截获,数据安全性得不到保障。并且根据截获的信息,通过控制中间路由器可以冒充已被授权的用户,获得访问权。例如,当服务器试图使用源鉴别来鉴别请求是否由合法用户发出时,源鉴别要求服务器检查每个传来的数据报文的源IP地址,只接受从授权列表中的计算机发出的请求,而当数据报文在中间路由器被截获时,源鉴别很容易被破坏,所以它并不完全可靠,中间路由器可以观察发送到服务器以及从服务器发出的通信量,记录合法用户的IP地址,之后,中间路由器就可以制造一个请求,使用同样的源地址传输数据,并截获应答。因此,在不安全的互联网中,使用远程机器的IP地址进行源鉴别的授权计划不足以满足需求。
针对互联网通信的安全性问题,现有技术提供了一套IPSec协议(IPsecurity,IP网络安全协议),该协议在IP层提供鉴别和保密功能。但是,由于IPSec采用3DES(Data Encryption Standard,数据加密标准)算法进行加密和解密的过程需要耗费一定的时间,因此会降低数据传输的速度,使网络吞吐量下降;并且IPSec也无法完全解决目前广泛存在的DoS(Denial of Service,拒绝服务)攻击。
另外,由于数据报文有可能在中间路由器被截获,网络用户的隐私性也不能得到保证。一些网络用户在传递数据时,出于各种原因,不希望数据接收者之外的其他用户知道数据的发送者,然而,由于用户源IP地址始终包括在数据报文中,而数据报文又可以在中间路由器被截获,用户源地址很容易被分析出来,网络用户的隐私很难得到保障。
现有技术针对用户隐私性问题,也提出了一种解决方案,使信息发送方的源地址可以使用定时改变的临时IP地址,以使窃听者无法跟踪发信方的活动规律。这种使用临时地址的方法,可以在一定程度上防止窃听者依据源IP地址来判断信息的发送者,但目的地址仍是长期固定不变的,因为如果目的地址也可以随意改变,数据包将难以寻址。因此窃听者仍然可以依据数据报文的目的地址来识别感兴趣的跟踪对象,并通过对数据报文内容的解密得知发送人及通信内容。并且现有技术的这种方案,也会破坏源地址的全球唯一性,而这种唯一性曾经是人们所期望的,这种破坏将对IP协议的灵活性带来潜在的问题,带来复杂化。同时,源地址在通信过程中的变化也为跟踪和定位运行中的问题带来困难,给调试和故障处理带来困难,这种做法将要求节点设备在域名服务器中除了注册域名、正式IP地址外,还必须注册可能使用的全部临时地址,否则在查询时会遇到问题。
现在这种基于无连接方式的互联网架构使用“端到端透明”的方式设计,这种设计方式把复杂性推向网络边缘(终端设备),使得互联网的可扩展性得到极大提高,但是,互联网的“端到端透明”设计原则同时也方便了安全攻击、病毒和其他有害信息的传播。对于互联网服务运营商来说,“端到端透明”的设计方式使得他们很难对用户群体的行为进行有效的控制和管理,从而难以从网络的层面上遏制层出不同的安全问题。
针对现有的互联网架构由于采用“端到端透明”的设计方式产生的安全性和隐私性问题,现有技术提出了一种实现网络安全的方法,该方法采用了主机地址和路由地址分离的方法。如图1所示,为主机地址与路由地址独立的示意图。通信对端的接入路由器(Access Router,AR)收到发给移动终端的数据包(数据包的目的地址就是移动终端的主机地址),所述接入路由器根据映射机制将数据包的目的地址从主机地址改变为路由地址,这一处理过程是由路由管理者管理的,然后接入路由器通过查询路由表,将该数据包发送给移动终端的接入路由器,移动终端的接入路由器在接收到数据包后再将数据包的目的地址从路由地址改变为主机地址,再转发目的地址是IP主机地址的数据包到移动终端。
当一个移动终端从接入路由器1移动到接入路由器2时,路由管理者被接入层的路由接入控制触发启动,接入路由器2分配给移动终端一个新的路由地址,并且向路由管理者通告这一情况,路由管理者更新路由缓存,并且在接入路由器2中创建一条新的路由信息以便移动终端的接入。
但是,现有技术提供的这种实现网络安全的方法,是假设在主机的移动过程中,主机地址不发生变化,这点在实际应用中很难成立。在主机的移动过程中,随着其接入位置变化,使用的IP地址前缀必然不同,所以其和接入路由器通信的主机地址必然要发生变化,如果强制主机地址不发生变化,就要采用其他复杂的方法,在核心网接入路由器上使用这些方法是不现实的,将大大降低路由器的处理效率。并且这种网络安全的实现方法不支持对接入用户的鉴别和身份验证。
发明内容
本发明的目的在于提供一种实现网络安全的系统及方法,以解决现有技术的网络安全实现方法假设主机地址不发生变化的应用局限性以及不支持对接入用户的鉴别和身份验证的缺陷。
本发明实施例通过以下技术方案实现:一种实现网络安全的系统,包括接入路由器、身份解析器、地址管理器和认证模块;
所述身份解析器,用于管理用户的端系统标识、接入地址和路由地址的映射关系;
所述地址管理器,用于管理网络中的接入地址池和路由地址池;
所述认证模块,用于存储用户的权限信息;
所述接入路由器,用于根据所述用户的权限信息确认接受用户的接入请求后,为所述用户分配接入地址和路由地址,并根据所述用户的端系统标识、接入地址和路由地址的映射关系将数据包的地址进行替换后,转发数据包。
一种实现网络安全的方法,包括步骤:
A、根据用户的权限信息确认接受所述用户的接入请求后,为所述用户分配接入地址和路由地址,并且建立所述用户的端系统标识、接入地址和路由地址之间的映射关系;
B、根据所述用户的端系统标识、接入地址和路由地址之间的映射关系,对数据包的地址进行替换后,发送数据包。
本发明的实施例通过为每一个接入用户分配唯一且不变的标识,并使用标识来建立传输层连接,还通过加入接入控制和鉴权功能、接入地址和路由地址分离聚合映射、提高了网络的安全性和用户的隐私性。
附图说明
图1为现有技术实现网络安全的方法的示意图;
图2为本发明实施例的系统结构示意图;
图3为本发明实施例的方法流程图;
图4为图3中步骤S31的一个具体实施例的方法流程图;
图5为本发明实施例用户在不同接入路由器间移动的示意图;
图6为图3中步骤S31的另一个具体实施例的方法流程图;
图7为图3中步骤S32的一个具体实施例的方法流程图。
具体实施方式
本发明的实施例的核心思想是:将网络划分为接入层和核心层,为网络中的每个用户分配唯一的端系统标识,并且所述端系统标识在移动过程中始终保持不变;网络中有两种地址类型:接入地址和路由地址,其中接入地址只能在接入层使用,路由地址只能在核心层使用;整个网络的协议控制消息可以划分为两种类型:接入层协议控制消息和核心层协议控制消息,其中接入层协议控制消息使用接入地址传输,核心层协议控制消息使用路由地址传输。
下面通过实施例结合附图详细说明本发明实施例的技术方案。
如图2所示,本发明系统20的实施例包括:接入路由器21、身份解析器22、地址管理器23和认证模块24;
所述身份解析器22,用于管理用户的端系统标识、接入地址和路由地址的映射关系;
所述地址管理器23,用于管理网络中的接入地址池和路由地址池;所述接入地址池,用于存储未用的接入地址;所述路由地址池,用于存储未用的路由地址;
所述认证模块24,用于存储用户的类别、权限等信息;
所述接入路由器21,用于根据所述用户的权限信息确认接受用户的接入请求后,为所述用户分配接入地址和路由地址,并根据所述用户的端系统标识、接入地址和路由地址的映射关系将数据包的地址进行替换后,发送数据包。
其中所述接入路由器21包括用于存储源地址映射表和目的地址映射表的存储单元211。所述源地址映射表,用于存储用户的接入地址和路由地址的对应关系;所述目的地址映射表,用于存储通信对端用户的接入地址和路由地址的对应关系。
所述接入路由器还包括接入请求确认单元212、地址分配单元213、地址替换单元214和数据转发单元215;
所述接入请求确认单元,用于对用户的接入请求确认后,接收所述的用户接入请求;
所述地址分配单元213,用于为接入网络核心层的用户分配接入地址和路由地址;
所述地址替换单元214,用户将所述用户的接入地址和路由地址进行替换;
所述数据转发单元215,用于转发地址替换后的数据包。
如图3本发明的实施例还提供的一种实现网络安全的方法,包括以下步骤:
S31、根据所述用户的权限信息确认接受用户的接入请求后,为用户分配接入地址和路由地址,并且建立所述用户的端系统标识、接入地址和路由地址之间的映射关系;
S32、根据所述用户的端系统标识、接入地址和路由地址之间的映射关系,对数据包的地址进行替换后,发送数据包。
如图4所示,其中所述步骤S31具体包括步骤:
S401、用户向核心层的接入路由器发送接入请求,所述接入请求包含该用户的端系统标识;
S402、接入路由器接收到所述用户的接入请求后,根据所述用户的端系统标识对所述用户进行认证,决定是否接受用户的接入请求,如果认证通过,则执行步骤S403,否则执行步骤S404;
接入路由器将所述用户的端系统标识发送给认证模块,认证模块根据所述用户的端系统标识,判断用户的类别、权限等信息,并将所述用户的类别、权限等信息发送给所述接入路由器,接入路由器根据所述用户的类别、权限等信息决定是否接收用户的接入请求;
S403、接入路由器接受用户的接入请求,为用户分配接入地址和路由地址;
接入路由器为用户分配未用的接入地址和路由地址,如果没有未用的接入地址或路由地址,接入路由器也可以向网络系统管理员报告,同时可选地向用户发送一个无可用地址消息,向用户通告当前没有可用的接入地址或路由地址,即网络当前处于系统忙状态,向网络系统管理员报告的原因是,如果这种情况频繁出现,可以考虑增加接入地址池或路由地址池的容量,向网络系统管理员和用户报告消息是一个可选设置项;
S404、接入路由器拒绝用户的接入请求;
S405、接入路由器将所述用户的端系统标识和为用户分配的接入地址和路由地址发送给身份解析器;
S406、所述身份解析器存储所述用户的端系统标识、接入地址和路由地址之间的映射关系后,发送确认消息给接入路由器;
S407、接入路由器接收到所述确认消息后,将为用户分配的所述接入地址发送给所述用户;
S408、所述用户根据所述接入地址接入核心层网络。
如果用户需要更新接入地址,则本发明方法的实施例还可以包括以下步骤:
接入路由器通知所述用户使用原来的接入地址。如果成功,则接入路由器发送成功消息给所述用户,在这种情况下,接入路由器不需要为用户重新分配接入地址和路由地址,但接入路由器需要更新源地址映射表寄存器,并向身份解析器发送计时器更新消息;如果原来的接入地址已经失效或者已经被其它用户使用,则接入路由器发送失败消息给用户,并要求所述用户重新发送接入请求,在这种情况下,接入路由器需要更新源地址映射表,并向身份解析器通告所述用户的路由信息,身份解析器也需要更新所述接入路由器上的目的地址映射信息。
如果接入路由器接收到用户的拒绝消息,说明用户发现刚刚从接入路由器获得的接入地址已经被其它用户使用了,这时接入路由器重新把所述接入地址放回接入地址池,同时将分配的路由地址放回路由地址池。如果接入地址和路由地址的相关信息已经汇报给身份解析器,则还发送请求给身份解析器,请求申请解析器取消已经建立的所述用户的映射信息,同时接入服务器还同时向网络管理者汇报错误。如果接入路由器接收到用户的地址释放消息,或者检测到用户离开所述接入路由器的覆盖区域,处理方法同接入路由器接收到用户的拒绝消息一样,在此不再赘述。
下面以通信过程中的通信对端发生了移动为例,具体阐述本发明实施例在用户需要更新接入地址的情况下,为用户分配接入地址和路由地址,并且建立所述接入地址和路由地址之间的映射关系的技术方案。
如图5所示,通信对端的用户原来通过接入路由器2接入网络核心层,移动后通过接入路由器3接入网络核心层。如图6所示,步骤S31具体包括步骤:
S601、接入路由器2检测到用户B从接入路由器2离开后,向地址管理器发送地址更新消息,通告用户B的离开,并同时向身份解析器发送路由更新消息,通知所述身份解析器取消用户B的路由地址;
S602、所述地址管理器收到所述地址更新消息后,在其数据库中将所述用户B的地址信息删除,并发送地址确认消息给接入路由器2;
S603、所述身份解析器收到路由更新消息后,在其数据库中将所述用户B的端系统标识、接入地址和路由地址的映射关系信息删除,并在预定的一段延时时间后,确认没有收到新的路由更新消息,发送路由确认消息给接入路由器2,同时向用户A的接入路由器1发送路由更新消息;
所述步骤S602和所述步骤S603不分先后;
S604、所述接入路由器2接收所述地址确认消息后,删除源地址映射表中所述用户B的映射信息;
S605、所述接入路由器1收到所述路由更新消息后,在其目的地址映射表中删除所述用户B的映射信息;
所述步骤S604和所述步骤S605不分先后;
S606、用户B向接入路由器3发送接入请求,所述接入请求包含该用户的端系统标识;
S607、接入路由器3接收到所述用户B的接入请求后,根据所述用户B的端系统标识对所述用户B进行认证,决定是否接受用户B的接入请求,如果认证通过,则执行步骤S609,否则执行步骤S608;
接入路由器3将所述用户B的端系统标识发送给认证模块,认证模块根据所述用户B的端系统标识,判断用户B的类别、权限等信息,并将所述用户B的类别、权限等信息发送给所述接入路由器3,接入路由器3根据所述用户B的类别、权限等信息决定是否接收用户B的接入请求;
S608、接入路由器3拒绝用户B的接入请求;
S609、接入路由器3向所述地址管理器发送地址汇报消息,通知所述地址管理器,用户B接入核心层网络;
S610、所述地址管理器接收所述地址汇报消息后,在其数据库中记录所述用户B的地址信息,并发送确认消息给所述接入路由器3;
S611、接入路由器3接收用户B的接入请求,为用户B分配新的接入地址和路由地址;
S612、接入路由器3将所述用户B的端系统标识和为用户B分配的新接入地址和路由地址发送给身份解析器;
S613、所述身份解析器存储所述用户B的端系统标识、接入地址和路由地址之间的映射关系后,发送确认消息给接入路由器3,同时发送所述用户B的新路由地址给所述接入路由器1;
S614、接入路由器3将所述新的接入地址和路由地址存储到源地址映射表中,建立所述新的接入地址和路由地址的对应关系,同时将为用户B分配的所述新的接入地址发送给所述用户B;
S615、所述接入路由器1将所述用户B的新接入地址和路由地址存储到目的地址映射表中,用户B重新接入网络核心层。
如图7所示,其中所述步骤S32具体包括步骤:
S701、所述用户接入核心层网络后,利用端系统标识与通信对端建立传输层连接,将数据包发送给所述用户的接入路由器,其中所述数据包的源地址是所述用户的接入地址,目的地址是通信对端的接入地址;
S702、所述用户的接入路由器向身份解析器发送通信对端的路由地址查询请求;
S703、所述身份解析器查询所述通信对端的路由地址,如果查询得到所述通信对端的路由地址,执行步骤S710,否则,执行步骤S704;所述身份解析器通过所述通信对端的接入地址查询所述通讯对端的接入地址对应的所述通信对端的路由地址;
S704、所述身份解析器向地址管理器通告未查询得到所述通信对端的路由地址;所述身份解析器通告未查询得到所述通信对端的接入地址所对应的所述通信对端的路由地址;
S705、所述地址管理器通知所述通信对端的接入路由器为所述通信对端的用户分配接入地址和路由地址;
S706、所述通信对端的接入路由器为所述通信对端的用户分配接入地址和路由地址;
S707、所述通信对端的接入路由器将所述通信对端的用户的端系统标识和为所述通信对端的用户分配的接入地址和路由地址发送给身份解析器;
S708、所述身份解析器存储所述通信对端的用户的端系统标识、接入地址和路由地址之间的映射关系后,发送确认消息给所述通信对端的接入路由器;
S709、所述通信对端的接入路由器接收到所述确认消息后,将为所述通信对端的用户分配的接入地址发送给所述通信对端的用户,所述通信对端的用户根据接入地址接入核心层网络。
S710、所述身份解析器将所述通信对端的路由地址发送给所述用户的接入路由器;
S711、所述用户的接入路由器将数据包的源地址(即所述用户的接入地址)和目的地址(即所述通信对端的接入地址)分别转换成所述用户的路由地址和所述通信对端的路由地址,并重新计算修改所述数据包的IP头校验和以及TCP校验和后,将所述数据包通过网络核心层发送给所述通信对端的接入路由器;
S712、所述通信对端的接入路由器接收所述数据包,将所述数据包的源地址替换成所述用户的接入地址,将所述数据包的目的地址替换成通信对端的接入地址后,将所述数据包发送给通信对端。
本发明的实施例通过为每一个接入用户分配唯一且不变的标识,并使用标识来建立传输层连接,还通过加入接入控制和鉴权功能、接入地址和路由地址分离聚合映射、提高了网络的安全性和用户的隐私性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (19)
1.一种实现网络安全的系统,其特征在于,包括接入路由器、身份解析器、地址管理器和认证模块;
所述身份解析器,用于管理用户的端系统标识、接入地址和路由地址的映射关系;
所述地址管理器,用于管理网络中的接入地址池和路由地址池;
所述认证模块,用于存储用户的权限信息;
所述接入路由器,用于根据所述用户的权限信息确认接受用户的接入请求后,为所述用户分配接入地址和路由地址,并根据所述用户的端系统标识、接入地址和路由地址的映射关系将数据包的地址进行替换后,发送数据包。
2.根据权利要求1所述的系统,其特征在于,所述接入路由器包括接入请求确认单元、地址分配单元、地址替换单元和数据转发单元;
所述接入请求确认单元,用于对用户的接入请求确认后,接收所述的用户接入请求;
所述地址分配单元,用于为接入网络核心层的用户分配接入地址和路由地址;
所述地址替换单元,用于将所述用户的接入地址与路由地址进行替换;
所述数据转发单元,用于转发地址替换后的数据包。
3.根据权利要求2所述的系统,其特征在于,所述接入路由器还包括存储单元;
所述存储单元,用于存储源地址映射表和目的地址映射表;
所述源地址映射表,用于存储用户的接入地址和路由地址的对应关系;
所述目的地址映射表,用于存储通信对端用户的接入地址和路由地址的对应关系。
4.一种实现网络安全的方法,其特征在于,包括步骤:
A、根据用户的权限信息确认接受所述用户的接入请求后,为所述用户分配接入地址和路由地址,并且建立所述用户的端系统标识、接入地址和路由地址之间的映射关系;
B、根据所述用户的端系统标识、接入地址和路由地址之间的映射关系,对数据包的地址进行替换后,发送数据包。
5.根据权利要求4所述的方法,其特征在于,所述步骤A具体包括步骤:
A1、根据用户的权限信息对所述用户进行认证;
A2、为通过认证的用户分配接入地址和路由地址;
A3、建立所述接入地址和路由地址之间的映射关系;
A4、所述通过认证的用户接入网络核心层。
6.根据权利要求5所述的方法,其特征在于,所述A1具体包括步骤:
A11、用户向核心层的接入路由器发送接入请求,所述接入请求包括所述用户的端系统标识;
A12、所述接入路由器根据所述用户的接入请求对所述用户进行认证,决定是否接收用户的接入请求,如果认证通过,执行步骤A3,否则执行步骤A4;
A13、接受所述用户的接入请求;
A14、拒绝所述用户的接入请求。
7.根据权利要求5所述的方法,其特征在于,所述步骤A3具体包括步骤:
A31、所述接入路由器将所述用户的端系统标识和为所述用户分配的接入地址和路由地址发送给身份解析器;
A32、所述身份解析器存储所述用户的端系统标识、接入地址和路由地址之间的映射关系。
8.根据权利要求5所述的方法,其特征在于,所述步骤A4具体包括步骤:
A41、所述接入路由器将为所述用户分配的接入地址发送给所述用户;
A42、所述用户根据所述接入地址接入核心层网络。
9.根据权利要求4所述的方法,其特征在于,所述方法还包括步骤:
A1′、第一接入路由器检测到用户从第一接入路由器离开后,向地址管理器发送地址更新消息,通告所述用户的离开,并同时向身份解析器发送路由更新消息,通知所述身份解析器取消所述用户的路由地址;
A2′、所述用户通过第二接入路由器接入网络核心层。
10.根据权利要求9所述的方法,其特征在于,所述步骤A2′具体包括步骤:
A2′-1、所述第二接入路由器根据所述用户的权限信息对所述用户进行认证;
A2′-2、所述第二接入路由器为通过认证的用户分配新的接入地址和路由地址;
A2′-3、所述第二接入路由器建立所述新的接入地址和路由地址之间的映射关系;
A2′-4、所述通过认证的用户接入网络核心层。
11.根据权利要求10所述的方法,其特征在于,所述步骤A2′-1具体包括步骤:
A2′-11、所述用户向第二接入路由器发送接入请求,所述接入请求包含所述用户的端系统标识;
A2′-12、所述第二接入路由器根据所述用户的接入请求对所述用户进行认证,决定是否接受所述用户的接入请求,如果认证通过,则执行步骤A2′-14,否则执行步骤A2′-13;
A2′-13、拒绝所述用户的接入请求;
A2′-14、所述第二接入路由器向所述地址管理器发送地址汇报消息,通知所述地址管理器,所述用户接入核心层网络;
A2′-15、所述地址管理器接收所述地址汇报消息后,在其数据库中记录所述用户新的地址信息,并发送确认消息给所述第二接入路由器;
A2′-16、所述第二接入路由器接收所述用户的接入请求。
12.根据权利要求10所述的方法,其特征在于,所述步骤A2′-3具体包括步骤:
A2′-31、所述第二接入路由器将所述用户的端系统标识和为所述用户分配的新的接入地址和路由地址发送给身份解析器;
A2′-32、所述身份解析器存储所述用户的端系统标识、新的接入地址和路由地址之间的映射关系后,发送确认消息给所述第二接入路由器,同时发送所述用户的新的路由地址给通信对端的接入路由器;
A2′-33、所述第二接入路由器将所述新的接入地址和路由地址存储到源地址映射表中,建立所述新的接入地址和路由地址的对应关系。
13.根据权利要求10所述的方法,其特征在于,所述步骤A2′-4具体包括步骤:
A2′-41、所述第二接入路由器将为所述用户分配的所述新的接入地址发送给所述用户;
A2′-42、所述通信对端的接入路由器将所述用户的新接入地址和路由地址存储到目的地址映射表中;
A2′-43、所述用户根据所述新的接入地址接入网络核心层。
14.根据权利要求9所述的方法,其特征在于,所述步骤A1′中向地址管理器发送地址更新消息通告所述用户的离开的步骤具体包括步骤:
A1′-1、所述第一接入路由器向地址管理器发送地址更新消息;
A1′-2、所述地址管理器收到所述地址更新消息后,在其数据库中将所述用户的地址信息删除,并发送地址确认消息给所述第一接入路由器;
A1′-3、所述第一接入路由器接收所述地址确认消息后,删除源地址映射表中所述用户的映射信息。
15.根据权利要求9所述的方法,其特征在于,所述步骤A1′中向身份解析器发送路由更新消息通知所述身份解析器取消所述用户的路由地址的步骤具体包括步骤:
A1′-1′、所述第一接入路由器向身份解析器发送路由更新消息;
A1′-2′、所述身份解析器收到所述路由更新消息后,在其数据库中将所述用户的端系统标识、接入地址和路由地址的映射关系信息删除,并在预定的一段延时时间后,确认没有收到新的路由更新消息,发送路由确认消息给所述第一接入路由器,同时向通信对端的接入路由器发送路由更新消息;
A1′-3′、所述通信对端的接入路由器收到所述路由更新消息后,在目的地址映射表中删除所述用户的映射信息。
16.根据权利要求4所述的方法,其特征在于,所述步骤B具体包括步骤:
B1、所述用户接入核心层网络后,利用端系统标识与通信对端建立传输层连接,将数据包发送给所述用户的接入路由器;
B2、所述用户的接入路由器获取通信对端的路由地址;
B3、所述用户的接入路由器将数据包的源地址和目的地址分别转换成所述用户的路由地址和所述通信对端的路由地址后,将所述数据包通过网络核心层发送给所述通信对端的接入路由器。
17.根据权利要求16所述的方法,其特征在于,所述步骤B还包括步骤:
B4、所述通信对端的接入路由器接收所述数据包,将所述数据包的源地址替换成所述用户的接入地址,将所述数据包的目的地址替换成通信对端的接入地址后,将所述数据包发送给通信对端。
18.根据权利要求16所述的方法,其特征在于,所述步骤B2具体包括步骤:
B21、所述用户的接入路由器向身份解析器发送通信对端的路由地址查询请求;
B22、所述身份解析器查询所述通信对端的路由地址,如果查询得到所述通信对端的路由地址,执行步骤B3,否则,执行步骤B23;
B23、所述身份解析器向地址管理器通告未查询得到所述通信对端的路由地址;
B24、所述地址管理器通知所述通信对端的接入路由器为所述通信对端的用户分配接入地址和路由地址;
B25、所述通信对端的接入路由器为所述通信对端的用户分配接入地址和路由地址,并建立所述接入地址和路由地址的映射关系。
19.根据权利要求18所述的方法,其特征在于,所述步骤B25具体包括步骤:
B251、所述通信对端的接入路由器将所述通信对端的用户的端系统标识和为所述通信对端的用户分配的接入地址和路由地址发送给身份解析器;
B252、所述身份解析器存储所述通信对端的用户的端系统标识、接入地址和路由地址之间的映射关系后,发送确认消息给所述通信对端的接入路由器;
B253、所述通信对端的接入路由器接收到所述确认消息后,将为所述通信对端的用户分配的接入地址发送给所述通信对端的用户,所述通信对端的用户根据接入地址接入核心层网络。
B254、所述身份解析器将所述通信对端的路由地址发送给所述用户的接入路由器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100635058A CN101175067A (zh) | 2006-11-02 | 2006-11-02 | 一种网络安全实现系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100635058A CN101175067A (zh) | 2006-11-02 | 2006-11-02 | 一种网络安全实现系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101175067A true CN101175067A (zh) | 2008-05-07 |
Family
ID=39423326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100635058A Pending CN101175067A (zh) | 2006-11-02 | 2006-11-02 | 一种网络安全实现系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101175067A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010020099A1 (zh) * | 2008-08-19 | 2010-02-25 | Sun Ningjun | 一种嵌入式终端获取互联网上数据的方法及系统 |
| CN101986665A (zh) * | 2010-11-04 | 2011-03-16 | 中国电信股份有限公司 | Ipv6地址分配方法和系统 |
| WO2011035618A1 (zh) * | 2009-09-27 | 2011-03-31 | 北京易恒信认证科技有限公司 | 路由地址的安全处理方法和系统 |
| WO2011044791A1 (zh) * | 2009-10-13 | 2011-04-21 | 中兴通讯股份有限公司 | 互通业务报文的发送方法以及接入支持节点 |
| CN102088390A (zh) * | 2009-12-08 | 2011-06-08 | 中兴通讯股份有限公司 | 用户移动性的实现方法 |
| CN102130887A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN101593340B (zh) * | 2009-04-15 | 2012-01-18 | 北京易路联动技术有限公司 | 互联网个人数据银行技术的信息交互方法及系统 |
| CN101730101B (zh) * | 2009-04-15 | 2012-07-04 | 中兴通讯股份有限公司 | 身份标识与位置分离的实现方法、系统及装置 |
| CN105547313A (zh) * | 2015-12-09 | 2016-05-04 | 上海安吉星信息服务有限公司 | 一种车辆导航方法及装置 |
| CN107071075A (zh) * | 2016-11-16 | 2017-08-18 | 国家数字交换系统工程技术研究中心 | 网络地址动态跳变的装置及方法 |
| CN108352103A (zh) * | 2015-09-07 | 2018-07-31 | 诺基亚技术有限公司 | 隐私保护监测 |
| CN110800268A (zh) * | 2017-07-20 | 2020-02-14 | 华为技术有限公司 | 支持端主机内部传输层的移动性和多归属 |
| CN113905364A (zh) * | 2021-10-25 | 2022-01-07 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
| CN114079644A (zh) * | 2021-10-09 | 2022-02-22 | 中国互联网络信息中心 | 一种网络路由管理方法及装置 |
-
2006
- 2006-11-02 CN CNA2006100635058A patent/CN101175067A/zh active Pending
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010020099A1 (zh) * | 2008-08-19 | 2010-02-25 | Sun Ningjun | 一种嵌入式终端获取互联网上数据的方法及系统 |
| CN101547194B (zh) * | 2008-08-19 | 2012-06-13 | 孙宁军 | 一种嵌入式终端获取互联网上数据的方法及系统 |
| CN101593340B (zh) * | 2009-04-15 | 2012-01-18 | 北京易路联动技术有限公司 | 互联网个人数据银行技术的信息交互方法及系统 |
| CN101730101B (zh) * | 2009-04-15 | 2012-07-04 | 中兴通讯股份有限公司 | 身份标识与位置分离的实现方法、系统及装置 |
| WO2011035618A1 (zh) * | 2009-09-27 | 2011-03-31 | 北京易恒信认证科技有限公司 | 路由地址的安全处理方法和系统 |
| WO2011044791A1 (zh) * | 2009-10-13 | 2011-04-21 | 中兴通讯股份有限公司 | 互通业务报文的发送方法以及接入支持节点 |
| CN102088390B (zh) * | 2009-12-08 | 2014-12-10 | 中兴通讯股份有限公司 | 用户移动性的实现方法 |
| WO2011069383A1 (zh) * | 2009-12-08 | 2011-06-16 | 中兴通讯股份有限公司 | 用户移动性的实现方法 |
| CN102088390A (zh) * | 2009-12-08 | 2011-06-08 | 中兴通讯股份有限公司 | 用户移动性的实现方法 |
| CN102130887A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN101986665A (zh) * | 2010-11-04 | 2011-03-16 | 中国电信股份有限公司 | Ipv6地址分配方法和系统 |
| CN108352103A (zh) * | 2015-09-07 | 2018-07-31 | 诺基亚技术有限公司 | 隐私保护监测 |
| CN105547313A (zh) * | 2015-12-09 | 2016-05-04 | 上海安吉星信息服务有限公司 | 一种车辆导航方法及装置 |
| CN107071075A (zh) * | 2016-11-16 | 2017-08-18 | 国家数字交换系统工程技术研究中心 | 网络地址动态跳变的装置及方法 |
| CN107071075B (zh) * | 2016-11-16 | 2020-07-21 | 国家数字交换系统工程技术研究中心 | 网络地址动态跳变的装置及方法 |
| CN110800268A (zh) * | 2017-07-20 | 2020-02-14 | 华为技术有限公司 | 支持端主机内部传输层的移动性和多归属 |
| CN110800268B (zh) * | 2017-07-20 | 2021-09-07 | 华为技术有限公司 | 支持端主机内部传输层的移动性和多归属 |
| CN114079644A (zh) * | 2021-10-09 | 2022-02-22 | 中国互联网络信息中心 | 一种网络路由管理方法及装置 |
| CN114079644B (zh) * | 2021-10-09 | 2023-07-11 | 中国互联网络信息中心 | 一种网络路由管理方法及装置 |
| CN113905364A (zh) * | 2021-10-25 | 2022-01-07 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
| CN113905364B (zh) * | 2021-10-25 | 2023-07-04 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101175067A (zh) | 一种网络安全实现系统及方法 | |
| US12095812B2 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks | |
| US7827291B2 (en) | System for providing security for ad hoc networked computerized devices | |
| US10491561B2 (en) | Equipment for offering domain-name resolution services | |
| CN1682516B (zh) | 用于防止网络地址盗用的方法和装置 | |
| US6067620A (en) | Stand alone security device for computer networks | |
| US6212636B1 (en) | Method for establishing trust in a computer network via association | |
| US5822434A (en) | Scheme to allow two computers on a network to upgrade from a non-secured to a secured session | |
| CN101919221B (zh) | 用于属于不同机构的用户的无需证书复制的认证方法 | |
| US8214482B2 (en) | Remote log repository with access policy | |
| Wu et al. | A source address validation architecture (SAVA) testbed and deployment experience | |
| JP3813571B2 (ja) | 境界ルータ装置、通信システム、ルーティング方法、及びルーティングプログラム | |
| AU7951598A (en) | Method and arrangement relating to communications systems | |
| CN107948124A (zh) | 一种arp条目更新管理方法、装置及系统 | |
| RU2163745C2 (ru) | Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования | |
| WO2020083384A1 (zh) | 责任人定位方法、数据发送方法、装置、设备及存储介质 | |
| JP4572086B2 (ja) | ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 | |
| AU2018304187B2 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks | |
| KR20170097457A (ko) | 식별자와 위치자가 분리된 네트워크에서의 접근제어를 위한 네트워크 장치와 시스템 및 그 방법 | |
| Wu et al. | RFC 5210: A Source Address Validation Architecture (SAVA) Testbed and Deployment Experience | |
| CN116170401A (zh) | 基于区块链的分布式邮箱系统 | |
| KR20210051207A (ko) | 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080507 |