CN101594339A - 管理和查询映射信息的方法、设备及通信系统 - Google Patents
管理和查询映射信息的方法、设备及通信系统 Download PDFInfo
- Publication number
- CN101594339A CN101594339A CNA2008100285354A CN200810028535A CN101594339A CN 101594339 A CN101594339 A CN 101594339A CN A2008100285354 A CNA2008100285354 A CN A2008100285354A CN 200810028535 A CN200810028535 A CN 200810028535A CN 101594339 A CN101594339 A CN 101594339A
- Authority
- CN
- China
- Prior art keywords
- signature
- mapping
- trade mark
- signature mapping
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 174
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004891 communication Methods 0.000 title claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims abstract description 33
- 230000001360 synchronised effect Effects 0.000 claims abstract description 10
- 238000007689 inspection Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 8
- 238000012217 deletion Methods 0.000 claims description 5
- 230000037430 deletion Effects 0.000 claims description 5
- 230000003760 hair shine Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 2
- 230000008520 organization Effects 0.000 description 45
- 238000010586 diagram Methods 0.000 description 5
- XKQBJDHJRVDQBU-DHLVSJIASA-N 5-[(3as,5r,6r,6as)-6-[(e,3s)-7-(3-azidophenyl)-3-hydroxyhept-1-enyl]-5-hydroxy-1,3a,4,5,6,6a-hexahydropentalen-2-yl]pentanoic acid Chemical compound C([C@H](O)\C=C\[C@@H]1[C@H]2CC(CCCCC(O)=O)=C[C@H]2C[C@H]1O)CCCC1=CC=CC(N=[N+]=[N-])=C1 XKQBJDHJRVDQBU-DHLVSJIASA-N 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101000896740 Solanum tuberosum Cysteine protease inhibitor 9 Proteins 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000005316 response function Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/46—Cluster building
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种管理和查询映射信息的方法、设备及通信系统,其中,所述管理映射信息的方法包括:利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;向传输网络中的注册代理提交所述签名映射对;所述注册代理通过数据同步与其它注册代理共享所述签名映射对。通过实施本发明的一种管理映射信息的方法、数据发送方法、设备及通信系统,实现了网络路由中映射信息的注册、查询及同步安全。
Description
技术领域
本发明涉及通信网络数据传输技术,尤其涉及一种管理和查询映射信息的方法、设备及通信系统。
背景技术
目前,随着多归属网络(multi-homing)和流量工程(traffic engineering)的广泛部署,Internet路由数量增长迅速。一方面由于需要更大容量的路由表存储芯片导致路由器设备成本上升,另一方面导致路由收敛变的更加缓慢。
为了缓解上述路由数量激增导致路由表过大的问题,如图1所示,将因特网(Internet)分为两部分,一部分为传输(transit)网络,处于网络的中心位置;另一部分为边界(edge)网络,通过边界路由器(border router,BR)连接到transit网络。BR知道其所连接的edge网络和transit网络中的路由信息,但是不会相互渗透。
边界网络内部的路由前缀信息不扩散到传输网络,而是由edge网络的BR负责将edge网络中的前缀信息(prefix)注册到transit网络中的注册代理(registrationagent,以下简称为RA)上,所述prefix和注册该prefix的BR的映射关系信息称为映射信息,每个RA维护一个保存映射信息的数据库,称为映射信息数据库。Transit网络中的多个RA通过通信协议(比如:BGP协议扩展)来同步各自映射信息数据库中的信息,使得各个数据库保持同步,维持一样的映射信息记录。同步完成之后,Transit网络中的任何一个RA都知道到达其中一个prefix需要通过哪个BR进行中转。例如:在图1中,Edge网络A到达edge网络B的流量,将首先到达连接edge网络A的BR-A,BR-A然后到RA查询与目的IP地址最长匹配的prefix的映射信息,得到注册该映射信息的BR的信息,即BR-B,然后BR-A通过到达BR-B的隧道(如MPLS隧道,IP in IP,GRE等各种隧道均可)将数据包转发到BR-B。BR-B知道它所连接的edge网络内部的路由信息,因此在Edge网络内部根据路由表进行转发,最终数据包到达目的地。这种转发方案称为转发和查找分离方案,即RA只完成映射信息查询的响应功能,edge之间的流量不需要经过RA中转。
发明人在实现本发明的过程中发现,在上述分离方案中存在一些潜在的安全问题:
映射信息注册安全:攻击者可能会仿冒他人身份向RA注册错误的映射信息,比如注册不属于自己的prefix。
映射信息查询安全:攻击者可能会假冒RA向查询者提供错误的映射信息,RA也可能会出于某种目的篡改某些映射信息对中的信息,如前缀长度或入口地址,比如在图1示例的场景中,将Edge B网络的入口从BR-B改成BR-B’。
映射信息数据库同步安全:在各个RA同步映射信息数据库时,某些RA可能会发布不真实的映射信息,比如修改已有映射信息记录的前缀长度然后再发布,或者干脆伪造不存在的映射信息对。
发明内容
本发明实施例的目的在于提供一种管理网络路由中映射信息的方法、一种查询映射信息的方法、一种边界网络设备、一种注册代理设备以及一种通信系统,实现网络路由中映射信息的注册、查询及同步安全。
为此,本发明实施例提出了一种管理网络路由中映射信息的方法,包括:
利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;
向传输网络中的注册代理提交所述签名映射对;
所述注册代理通过数据同步与其它注册代理共享所述签名映射对。
本发明实施例提出了一种查询映射信息的方法,包括:
第一边界网络所有者根据第二边界网络所有者的前缀查询注册代理,并获取注册代理反馈的第二边界网络所有者的签名映射对;
第一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效;
当通过所述检查确定所述签名映射对有效后,第一边界网络所有者提取所述签名映射对中的映射信息。
相应地,本发明实施例提出了一种边界网络设备,包括:
签名映射对生成单元,用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;
提交单元,用于将所述签名映射对提交给传输网络中的注册代理。
本发明实施例提出了一种注册代理设备,包括:
接收单元,用于接收边界网络所有者提交的签名映射对;
签名映射对数据库单元,用于保存所述接收单元接收的签名映射对;
同步单元,用于将所述签名映射对数据库单元保存的签名映射对同步到其它注册代理。
相应地,本发明实施例还提出了一种通信系统,包括:
边界网络设备,用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对,并将该签名映射对提交给注册代理设备;
所述注册代理设备,用于接收所述边界网络设备提交的签名映射对,通过数据同步与其它注册代理共享所述签名映射对。
通过实施本发明实施例提出的一种管理映射信息的方法、查询映射信息的方法、设备及通信系统,通过利用证书私钥对映射信息对进行签名,保证了映射信息在注册、查询及同步中的可靠性,消除了现有技术的安全隐患,相应地,提高了通信网络或系统的可靠性。
附图说明
图1是现有的因特网架构示意图;
图2是本发明实施例提供的一种管理映射信息的方法主流程图;
图3是本发明实施例提供的前缀以及证书分配示意图;
图4是本发明实施例提供的一种应用场景示意图;
图5是本发明的一种管理映射信息的方法中实施例一;
图6是本发明的一种管理映射信息的方法实施例二;
图7是本发明的一种查询映射信息的方法的流程图;
图8是本发明的一种管理映射信息的方法实施例三;
图9是本发明实施例中Organization A的证书的示意图;
图10是本发明实施例中传输网络所有者的证书的示意图;
图11是本发明实施例提出的一种通信系统的结构框图;
图12是本发明的一种边界网络设备的实施例一;
图13是本发明的一种边界网络设备的实施例二;
图14是本发明的一种边界网络设备的实施例三;
图15是本发明的一种边界网络设备的实施例四;
图16是本发明的一种注册代理设备的实施例一;
图17是本发明的一种注册代理设备的实施例二;
图18是本发明的一种注册代理设备的实施例三;
图19是本发明的一种注册代理设备的实施例四。
具体实施方式
为了清楚、完整地展现本发明实施例的技术方案,下面将结合附图详细阐述本发明实施例提出的一种管理网络路由中映射信息的方法、一种查询映射信息的方法、一种边界网络设备、一种注册代理设备以及一种通信系统。
在对技术方案进行阐述之前,需要说明的是,在本发明实施例的描述中,边界网络所有者(Organization)与边界网络设备指同一对象;注册代理(RA)与注册代理设备指同一对象;第一边界网络所有者和Organization A指同一对象,第二边界网络所有者和Organization B指同一对象。
参考图2,图示了本发明实施例的一种管理网络路由中映射信息的方法的注流程图,所述方法包括:
S101,利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;
其中,所述映射信息对至少包括以下信息:前缀、传输网络的IP地址、映射控制信息。
所述签名映射对至少包括以下信息:前缀、传输网络的IP地址、映射控制信息、签名控制信息、签名;所述签名控制信息包括:用于签名的证书信息、本签名映射对撤回点、有效日期、签名算法信息。
S102,向传输网络中的注册代理提交所述签名映射对;
S103,所述注册代理通过数据同步与其它注册代理共享所述签名映射对,具体地,注册代理(RA)可以设置单独的签名映射对数据库来保存签名对。
各个RA以签名映射对为基本的记录单位来同步各自的签名映射对数据库,并响应查询对外提供签名映射对。每个签名映射对都内嵌了生命有效期信息,超出生命期的签名映射对应该被丢弃,RA不应该接受和分发超出生命期范围的签名映射对。当查询者接收到签名映射对后,根据其中的证书信息和签名算法信息对这个映射对进行签名检查,通过后才会进行后续的处理。
需要说明的是,步骤S101~S102可以由下述方式实现:
a、利用所述前缀对应的证书的私钥对该前缀和传输网络的自治系统编号进行签名,生成第一签名映射对,并提交给所述传输网络所有者;
b、所述传输网络所有者利用包含有所述自治系统编号的证书对所述第一签名映射对进行签名,生成第二签名映射对,并提交给网络中的注册代理。
以上从整体上对本发明实施例的一种管理网络路由中映射信息的方法进行了阐述,本领域的技术人员应该理解,本发明实施例通过利用证书私钥对映射信息对进行签名,保证了映射信息在注册、查询及同步中的可靠性,消除了现有技术的安全隐患。
下面以采用公钥基础设施(Public Key Infrastructure,PKI)证书为例,具体阐述本发明实施例的技术方案。如图3所示,国际上顶级前缀和AS管理机构是国际因特网地址分配委员会(Internet Assigned Numbers Authority,IANA),下设五个一级地区代理,对应亚太地区的代理是亚太互联网信息中心(Asia-Pacific Network Information Center,APNIC)。这样,亚太地区的运营商,如:中国移动、中国电信、中国网通等,以及各个需要网络前缀和自治系统编号(AS#)的组织,如:中国教育网,就可以向APNIC提出IP地址前缀和AS#申请。运营商也可以承担其网络所覆盖范围的代理功能,比如中国网通可以受理北京地区范围内的各个组织的前缀申请。图3以10.0.0.0/8网段为例,示范了从IANA到终端组织的前缀分配过程,以及相应的资源证书验证路径。
图3中担任认证中心(Certificate Authority,CA)的分别是IANA、APNIC、中国网通和中国电信,获得资源证书的是中国教育网、第一边界网络所有者(Organization A)和第二边界网络所有者(Organization B)。中国网通和中国电信因为有自己实际运行的transit网络,需要分配实际的IP前缀和AS#,所以他们会根据需要给自身的transit网络也分配相应的资源证书。各个资源证书的前缀和AS#是互相排斥的,即:如图3中,中国网通已经将前缀10.2.1.0/24分配给Organization A,那么就不能再分配给Organization B,也不能分配中国网通自己的transit网络。用户网络也可以直接从IANA申请运营商独立的IP地址段,当用户更换接入运营商,不需要对内部网络地址重新编址(renumbering)。
下面在图4所述的一种网络架构下,下面结合图5、图6、图7、图8所示的方法步骤,具体详细阐述本发明实施例的技术方案。
在本例中假设采用PKI中的X.509 v3证书格式,如图9所示,OrganizationA按照图3所述证书分发方式获得的证书。假设OrganizationA和B按照图4的方式分别连接到中国网通和中国电信的transit网络,那么Organization A和B的前缀将不会分发到transit网络中,Organization A的前缀10.2.1.0/24将映射到transit网络中的192.168.1.2地址,Organization B的前缀10.3.1.0/24将映射到transit网络中的192.168.2.2地址。如图5所示,Organization A和Organization B注册和同步映射信息的步骤包括:
S200,根据前缀以及前缀对应的出口ID生成映射信息对。
其中,Organization A对应的映射信息对为:{prefix=10.2.1.0/24,transit IP=192.168.1.2,映射控制信息};Organization B对应的映射信息对为:{prefix=10.3.1.0/24,transit IP=192.168.2.2,映射控制信息}
S201,Organization A用其资源证书对应的私钥为其映射信息对签名并生成签名映射对:{prefix=10.2.1.0/24,transit IP=192.168.1.2,映射控制信息,签名控制信息,SignatureA};
相应地,Organization B也用同样的方法生成签名映射对:{prefix=10.3.1.0/24,transit IP=192.168.2.2,映射控制信息,签名控制信息,SignatureB};
S202,向传输网络中的注册代理提交所述签名映射对;
优选地,提交到就近的RA,如:Organization A的签名映射对就近提交到RA1,Organization B的签名映射对就近提交到RA2。
S203,所述注册代理通过数据同步与其它注册代理共享所述签名映射对,具体地,RA1和RA2进行数据库同步,最终RA1的签名映射数据库将拥有Organization B的签名映射对,RA2的数据库也拥有Organization A的签名映射对。
需要说明的是,在具体实施时,步骤S201~S203具体可以采用下述方式实现,下面以Organization A为例,Organization B与此相同,如图6所示,包括:
S301,Organization A利用映射信息对中的前缀(10.2.1.0/24)对应证书的私钥对{10.2.1.0/24,100},生成签名映射对1:{prefix=10.2.1.0/24,AS#=100,签名控制信息1,signature1},提交给transit网络所有者(图4的中国网通传输网络);
S302,中国网通传输网络利用包含自己AS#(100)的资源证书(证书格式如图10所示)对Organization A提交的签名映射对1进行签名,生成签名映射对2:{{prefix=10.2.1.0/24,AS#=100,签名控制信息1,signature1},transit IP=192.168.1.2,映射控制信息,签名控制信息2,signature2},提交给RA1。
S303,RA1通过数据同步与其它注册代理(RA2)共享签名映射对2。
根据图6所述的技术方案,降低了管理的耦合性,提高了重分配边界路由器在transit网络中可路由地址方面的灵活性:Organizations只需要知道自己所授权的transit网络的AS#即可,这个AS#一般不会频繁改变;而具体的边界路由器的在transit network中可路由的地址完全由transit网络自己决定,而且可以多次动态重分配,只要AS#不变,就不需要前缀拥有者重新签名。
相应地,本发明实施例提出了一种查询映射信息的方法,下面结合图7详细阐述。
当Organization A要向Organization B网络发送数据时,首先检测边界路由器A(BR-A)是否有Organization B的前缀所对应的映射信息,若有,则直接根据所述映射信息向Organization B发送数据,否则,执行图7所述的步骤:
S401,Organization A根据Organization B的前缀(10.3.1.0/24)查询RA1,并获取RA1反馈的Organization B的签名映射对:{prefix=10.3.1.0/24,transit IP=192.168.2.2,映射控制信息,签名控制信息,SignatureB};实际上,此处Organization A根据Organization B的前缀(10.3.1.0/24)查询RA1或RA2均可获取Organization B的签名映射对。
S402,Organization A根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效,具体地,包括:
检查证书的格式是否合格;
检查该签名映射对的有效期是否过期;
检查Organization B的证书是否可信和是否过期;
利用Organization B的证书中的公钥验证该签名映射对的签名字段是否有效;
只有上述都通过检查,BR-A才认为所述签名映射对有效。
S403,当通过所述检查确定所述签名映射对有效后,Organization A根据所述签名映射对中的映射信息向所述Organization B发送数据。
由上述可知,本发明实施例提出的一种查询映射信息的方法,通过利用X.509v3证书的私钥对映射信息对进行签名,在查询映射信息时,通过对签名映射对进行签名验证,只有通过验证的签名映射对才有效,避免攻击者假冒RA向查询者提供错误信息,同时也解决了RA篡改映射信息的问题,提高了映射信息查询的可靠性,消除了现有技术的安全隐患,相应地,提高了通信网络或系统的可靠性。
在本发明实施例提出的一种管理网络路由的方法中,边界网络所有者可以对其注册到RA上的签名映射对撤回处理,具体地,以OrganizationA为例,如图8所示,包括:
S501,边界网络所有者(Organization A)生成签名映射对撤回记录,基本形式如下:{{prefix=10.2.1.0/24,transit IP=192.168.1.2,映射控制信息},撤回签名控制信息,RevocationSignatureA};
S502,Organization A将生成的签名映射对撤回记录就近发送到RA1的签名映射对撤回数据库;实际上,此处Organization A将生成的签名映射对撤回记录发送到RA1或RA2的签名映射对撤回数据库均可。
S503,RA1将该签名映射对记录对应的签名映射对从签名映射对数据库中删除,并将撤回记录同步到其它RA(如RA2)签名映射对撤回数据库,RA(如RA2)将记录对应的签名映射对从其签名映射对数据库中删除。
若Organization B要撤回自己的签名映射对,将执行与上述类似的步骤,这里不再赘述。
通过实施本发明实施例提出的一种管理映射信息的方法,通过利用X.509v3证书的私钥对映射信息对进行签名,保证了映射信息在注册、查询及同步中的可靠性,消除了现有技术的安全隐患,相应地,提高了通信网络或系统的可靠性。
基于上述实施例的一种管理和查询映射信息的方法,本发明实施例提出了一种通信系统,如图11所示,包括:
边界网络设备,用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对,并将该签名映射对提交给注册代理设备;
所述注册代理设备,用于接收所述边界网络设备提交的签名映射对,通过数据同步与其它注册代理共享所述签名映射对。
其中,如图12所示,图示了本发明的一种边界网络设备的实施例一,其包括:
签名映射对生成单元1100,用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;
提交单元1200,用于将所述签名映射对提交给传输网络中的注册代理。
在具体实施时,如图13所示,图示了本发明的一种边界网络设备的实施例二,其除了具有签名映射对生成单元1100和提交单元1200外,还包括:
查询单元1300,用于根据第二边界网络所有者的前缀信息查询注册代理,并获取该注册代理反馈的第二边界网络所有者的签名映射对;
检查单元1400,与所述查询单元1300耦接,用于检查所述第二边界网络所有者的签名映射对是否有效;
数据发送单元1500,用于当所述检查单元1400确定所述签名映射对有效后,根据所述签名映射对中的映射信息向所述第二边界网络所有者发送数据。
在具体实施时,如图14所示,图示了本发明的一种边界网络设备的实施例三。在边界网络设备实施例三中,所述边界网络设备除了具有与边界网络设备实施例二相同的结构外,还包括:
撤回记录生成单元1600,用于生成签名映射对撤回记录;
撤回记录提交单元1700,用于将所述签名映射对撤回记录提交给注册代理以撤回该签名映射对撤回记录对应的签名映射对。
在具体实施时,如图15所示,图示了本发明的一种边界网络设备的实施例四。在边界网络设备实施例四中,所述边界网络设备除了具有与边界网络设备实施一相同的结构外,还可以包括撤回记录生成单元1600和撤回记录提交单元1700。
其中,如图16所示,图示了本发明的一种注册代理设备的实施例一,所述注册代理设备包括:
接收单元2100,用于接收边界网络所有者提交的签名映射对;
签名映射对数据库单元2200,用于保存所述接收单元2100接收的签名映射对;
同步单元2300,用于将所述签名映射对数据库单元2200保存的签名映射对同步到其它注册代理。
在具体实施时,如图17所示,图示了本发明的一种注册代理设备的实施例二,除了包括接收单元2100、签名映射对数据库单元2200和同步单元2300外,还包括:
查询响应单元2400,用于根据边界网络所有者提供的前缀查询与所述前缀信息相对应的签名映射对,并反馈给所述边界网络所有者。
在具体实施时,如图18所示,图示了本发明的一种注册代理设备的实施例三,在注册代理设备实施例三中,所述注册代理设备除了与注册代理设备实施例二具有相同结构外,还包括:
撤回响应单元2500,用于根据边界网络所有者提供的签名映射对撤回记录从所述签名映射对数据库单元中删除所述签名映射对撤回记录对应的签名映射对,并将所述签名映射对撤回记录同步到其它注册代理;
撤回记录数据库单元2600,用于保存被撤回响应单元2500删除的签名映射对。
如图19所示,图示了本发明的一种注册代理设备的实施例四,在实施例四中,所述注册代理设备除了与注册代理设备实施例一具有相同结构外,还包括撤回响应单元2500和撤回记录数据库单元2600。
综上所述,本发明实施例提出的一种管理映射信息的方法、查询映射信息的方法、设备及通信系统,通过利用证书私钥对映射信息对进行签名,保证了映射信息在注册、查询及同步中的可靠性,消除了现有技术的安全隐患,相应地,提高了通信网络或系统的可靠性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (22)
1、一种管理网络路由中映射信息的方法,其特征在于,包括:
利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;
向传输网络中的注册代理提交所述签名映射对;
所述注册代理通过数据同步与其它注册代理共享所述签名映射对。
2、如权利要求1所述的方法,其特征在于,所述映射信息对至少包括以下信息:前缀、传输网络的IP地址、映射控制信息。
3、如权利要求1所述的方法,其特征在于,所述签名映射对至少包括以下信息:前缀、传输网络的IP地址、映射控制信息、签名控制信息、签名。
4、如权利要求3所述的方法,其特征在于,所述签名控制信息包括:用于签名的证书信息、所述签名映射对撤回点、有效日期、签名算法信息。
5、如权利要求1所述的方法,其特征在于,所述利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对,具体包括:
利用所述前缀对应的证书的私钥对该前缀和传输网络的自治系统编号进行签名,生成第一签名映射对,并提交给传输网络所有者;
所述传输网络所有者利用包含有所述自治系统编号的证书对所述第一签名映射对和所述传输网络的IP地址进行签名,生成第二签名映射对,后转到向所述传输网络中的注册代理提交所述签名映射对的步骤。
6、如权利要求5所述的方法,其特征在于,所述第一签名映射对至少包括以下信息:前缀、自治系统编号、第一签名控制信息、第一签名。
7、如权利要求6所述的方法,其特征在于,第一签名控制信息包括:所述边界网络所有者的证书信息、第一签名映射对撤回点、有效日期、签名算法信息。
8、如权利要求5所述的方法,其特征在于,所述第二签名映射对至少包括以下信息:第一签名映射对、所述传输网络的IP地址、映射控制信息、第二签名控制信息、第二签名。
9、如权利要求8所述的方法,其特征在于,所述第二签名控制信息包括:所述传输网络所有者的证书信息、所述第二签名映射对的撤回点、有效日期、签名算法信息。
10、如权利要求1或5所述的方法,其特征在于,进一步包括:
边界网络所有者生成签名映射对撤回记录;
将生成的所述签名映射对撤回记录提交给传输网络中的注册代理;
所述注册代理将所述签名映射对撤回记录对应的签名映射对删除,并将所述签名映射对撤回记录同步到其它注册代理。
11、如权利要求10所述的方法,其特征在于,所述签名映射对撤回记录包括:前缀、可用的传输网络IP地址、映射控制信息、撤回签名控制信息、撤回签名。
12、一种查询映射信息的方法,其特征在于,包括:
第一边界网络所有者根据第二边界网络所有者的前缀查询注册代理,并获取注册代理反馈的第二边界网络所有者的签名映射对;
第一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效;
当通过所述检查确定所述签名映射对有效后,第一边界网络所有者提取所述签名映射对中的映射信息。
13、如权利要求12所述的方法,其特征在于,所述第一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名映射对的有效性包括:
检查证书的格式是否合格;
检查该签名映射对的有效期是否过期;
检查第二边界网络所有者的证书是否可信和是否过期;
利用第二边界网络所有者的证书中的公钥验证该签名映射对的签名字段是否有效。
14、一种边界网络设备,其特征在于,包括:
签名映射对生成单元,用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;
提交单元,用于将所述签名映射对提交给传输网络中的注册代理。
15、如权利要求14所述的边界网络设备,其特征在于,还包括:
查询单元,用于根据第二边界网络所有者的前缀信息查询注册代理,并获取该注册代理反馈的第二边界网络所有者的签名映射对;
检查单元,与所述查询单元耦接,用于检查所述第二边界网络所有者的签名映射对是否有效;
数据发送单元,用于当所述检查单元确定所述签名映射对有效后,根据所述签名映射对中的映射信息向所述第二边界网络所有者发送数据。
16、如权利要求14或15所述的边界网络设备,其特征在于,还包括:
撤回记录生成单元,用于生成签名映射对撤回记录;
撤回记录提交单元,用于将所述签名映射对撤回记录提交给注册代理以撤回该签名映射对撤回记录对应的签名映射对。
17、一种注册代理设备,其特征在于,包括:
接收单元,用于接收边界网络所有者提交的签名映射对;
签名映射对数据库单元,用于保存所述接收单元接收的签名映射对;
同步单元,用于将所述签名映射对数据库单元保存的签名映射对同步到其它注册代理。
18、如权利要求17所述的注册代理设备,其特征在于,还包括:
查询响应单元,用于根据边界网络所有者提供的前缀查询与所述前缀信息相对应的签名映射对,并反馈给所述边界网络所有者。
19、如权利要求17或18所述的注册代理设备,其特征在于,还包括:
撤回响应单元,用于根据边界网络所有者提供的签名映射对撤回记录从所述签名映射对数据库单元中删除所述签名映射对撤回记录对应的签名映射对,并将所述签名映射对撤回记录同步到其它注册代理;
撤回记录数据库单元,用于保存被撤回响应单元删除的签名映射对。
20、一种通信系统,其特征在于,包括:
边界网络设备,用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对,并将该签名映射对提交给注册代理设备;
所述注册代理设备,用于接收所述边界网络设备提交的签名映射对,通过数据同步与其它注册代理共享所述签名映射对。
21、如权利要求20所述的通信系统,其特征在于,所述边界网络设备包括:
签名映射对生成单元,用于映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名,生成签名映射对;
提交单元,用于将所述签名映射对提交给所述注册代理设备。
22、如权利要求20所述的通信系统,其特征在于,所述注册代理设备包括:
接收单元,用于接收边界网络所有者提交的签名映射对;
签名映射对数据库单元,用于保存所述接收单元接收的签名映射对;
同步单元,用于将所述签名映射对同步到其它注册代理。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100285354A CN101594339B (zh) | 2008-05-29 | 2008-05-29 | 管理和查询映射信息的方法、设备及通信系统 |
| PCT/CN2009/071660 WO2009143739A1 (zh) | 2008-05-29 | 2009-05-06 | 管理和查询映射信息的方法、设备及通信系统 |
| EP09753457.2A EP2276206B1 (en) | 2008-05-29 | 2009-05-06 | A method, device and communication system for managing and inquiring mapping information |
| ES09753457.2T ES2614853T3 (es) | 2008-05-29 | 2009-05-06 | Un método, un dispositivo y un sistema de comunicación para gestionar y solicitar información de mapeado |
| US12/955,658 US8539100B2 (en) | 2008-05-29 | 2010-11-29 | Method, device, and communications system for managing querying mapping information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100285354A CN101594339B (zh) | 2008-05-29 | 2008-05-29 | 管理和查询映射信息的方法、设备及通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101594339A true CN101594339A (zh) | 2009-12-02 |
| CN101594339B CN101594339B (zh) | 2012-07-04 |
Family
ID=41376596
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100285354A Expired - Fee Related CN101594339B (zh) | 2008-05-29 | 2008-05-29 | 管理和查询映射信息的方法、设备及通信系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8539100B2 (zh) |
| EP (1) | EP2276206B1 (zh) |
| CN (1) | CN101594339B (zh) |
| ES (1) | ES2614853T3 (zh) |
| WO (1) | WO2009143739A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103975552A (zh) * | 2011-12-06 | 2014-08-06 | 思科技术公司 | 经由经认证的路由器的数据交换 |
| CN104778382A (zh) * | 2014-01-13 | 2015-07-15 | 三星电子株式会社 | 对应用包重新签名的设备和方法和运行应用包的终端设备 |
| CN106416190A (zh) * | 2014-06-25 | 2017-02-15 | 西门子公司 | 对可通过数据网络调用的内容的访问的控制 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8621093B2 (en) * | 2007-05-21 | 2013-12-31 | Google Inc. | Non-blocking of head end initiated revocation and delivery of entitlements non-addressable digital media network |
| US11469903B2 (en) * | 2019-02-28 | 2022-10-11 | Microsoft Technology Licensing, Llc | Autonomous signing management operations for a key distribution service |
| CN114172838A (zh) * | 2021-11-10 | 2022-03-11 | 中盈优创资讯科技有限公司 | 一种虚假ip路由实时监测方法及装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6192051B1 (en) * | 1999-02-26 | 2001-02-20 | Redstone Communications, Inc. | Network router search engine using compressed tree forwarding table |
| US7162539B2 (en) * | 2000-03-16 | 2007-01-09 | Adara Networks, Inc. | System and method for discovering information objects and information object repositories in computer networks |
| US6871236B2 (en) * | 2001-01-26 | 2005-03-22 | Microsoft Corporation | Caching transformed content in a mobile gateway |
| US7406526B2 (en) * | 2001-09-28 | 2008-07-29 | Uri Benchetrit | Extended internet protocol network address translation system |
| EP1505780B1 (en) * | 2003-08-06 | 2011-03-23 | Motorola, Inc. | A method of validated communication |
| US7646775B2 (en) * | 2005-03-08 | 2010-01-12 | Leaf Networks, Llc | Protocol and system for firewall and NAT traversal for TCP connections |
| EP1764970A1 (en) * | 2005-09-19 | 2007-03-21 | Matsushita Electric Industrial Co., Ltd. | Multiple interface mobile node with simultaneous home- and foreign network connection |
| EP2011300B1 (en) * | 2006-04-25 | 2010-12-01 | Telefonaktiebolaget LM Ericsson (publ) | Ip mobility within a communication system |
| US7853687B2 (en) * | 2007-03-05 | 2010-12-14 | Alcatel Lucent | Access control list generation and validation tool |
| CN101340356B (zh) * | 2007-07-05 | 2012-07-11 | 华为技术有限公司 | 转发信息的方法和信息转发设备 |
| CN101123536B (zh) * | 2007-09-19 | 2010-12-15 | 北京交通大学 | 实现一体化网络位置管理的方法 |
-
2008
- 2008-05-29 CN CN2008100285354A patent/CN101594339B/zh not_active Expired - Fee Related
-
2009
- 2009-05-06 EP EP09753457.2A patent/EP2276206B1/en not_active Not-in-force
- 2009-05-06 WO PCT/CN2009/071660 patent/WO2009143739A1/zh active Application Filing
- 2009-05-06 ES ES09753457.2T patent/ES2614853T3/es active Active
-
2010
- 2010-11-29 US US12/955,658 patent/US8539100B2/en active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103975552A (zh) * | 2011-12-06 | 2014-08-06 | 思科技术公司 | 经由经认证的路由器的数据交换 |
| CN103975552B (zh) * | 2011-12-06 | 2017-06-20 | 思科技术公司 | 经由经认证的路由器的数据交换 |
| CN104778382A (zh) * | 2014-01-13 | 2015-07-15 | 三星电子株式会社 | 对应用包重新签名的设备和方法和运行应用包的终端设备 |
| US9692600B2 (en) | 2014-01-13 | 2017-06-27 | Samsung Electronics Co., Ltd. | Device and method for re-signing application package, and terminal device for running application package |
| CN106416190A (zh) * | 2014-06-25 | 2017-02-15 | 西门子公司 | 对可通过数据网络调用的内容的访问的控制 |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2614853T3 (es) | 2017-06-02 |
| US8539100B2 (en) | 2013-09-17 |
| US20110072157A1 (en) | 2011-03-24 |
| EP2276206A4 (en) | 2011-05-04 |
| WO2009143739A1 (zh) | 2009-12-03 |
| EP2276206B1 (en) | 2016-11-23 |
| CN101594339B (zh) | 2012-07-04 |
| EP2276206A1 (en) | 2011-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106936589B (zh) | 一种无中心的许可链平行分片方法及交易方法 | |
| Yue et al. | DataClouds: Enabling community-based data-centric services over the Internet of Things | |
| CN101960814B (zh) | Ip地址委派 | |
| CN101902474B (zh) | 基于标签替换的自治域间IPv6真实源地址验证方法 | |
| CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
| CN101754219B (zh) | 标识分配和分离存储方法、标识替换传输方法及系统 | |
| CN101667916A (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
| CN102045413A (zh) | 经过dht扩展的dns映射系统及其实现dns安全的方法 | |
| CN101848085B (zh) | 通信系统、验证设备、报文身份的验证及签名方法 | |
| CN101594339A (zh) | 管理和查询映射信息的方法、设备及通信系统 | |
| CN102014114A (zh) | 物联网中保护物体位置隐私的方法和装置 | |
| CN101834864B (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
| CN106790296A (zh) | 域名记录验证方法及装置 | |
| CN115189913B (zh) | 数据报文的传输方法和装置 | |
| KR102156206B1 (ko) | 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 | |
| CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
| CN101517986B (zh) | 用于在加密的通信关系中编址和路由的方法和系统 | |
| CN101425919B (zh) | 主机标识标签的生成、分配方法和设备、网络 | |
| CN108989270B (zh) | 认证方法、设备以及系统 | |
| Liu et al. | Secure name resolution for identifier-to-locator mappings in the global internet | |
| CN108833113A (zh) | 一种基于雾计算的增强通讯安全的认证方法及系统 | |
| CN105376230B (zh) | 一种面向多层MAP的HMIPv6网络双向接入认证方法 | |
| CN100536483C (zh) | 一种宽带无线城域网中基站标识符的分配与安全传送方法 | |
| CN116684869B (zh) | 一种基于IPv6的园区无线网可信接入方法、系统及介质 | |
| Wang et al. | A secure IPv6 address configuration protocol for vehicular networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 |