CN101754219B - 标识分配和分离存储方法、标识替换传输方法及系统 - Google Patents
标识分配和分离存储方法、标识替换传输方法及系统 Download PDFInfo
- Publication number
- CN101754219B CN101754219B CN200910261155XA CN200910261155A CN101754219B CN 101754219 B CN101754219 B CN 101754219B CN 200910261155X A CN200910261155X A CN 200910261155XA CN 200910261155 A CN200910261155 A CN 200910261155A CN 101754219 B CN101754219 B CN 101754219B
- Authority
- CN
- China
- Prior art keywords
- domain
- terminal
- service
- input field
- aid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种标识分配和分离存储方法、标识替换传输方法及系统,涉及网络安全领域。所述标识分配和分离存储方法包括将异构无线网络按服务功能分为用户域、接入域、服务域和归属域;服务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,归属域与服务域为同一网络;在终端认证成功后,归属域、服务域和接入域逐域分配域标识。本发明在异构无线网络接入认证的基础上,提出标识分配、分离存储和替换传输机制。域标识在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种标识分配和分离存储方法、标识替换传输方法及系统。
背景技术
随着移动通信技术的飞速发展,很多无线网络被标准化和商业化,诸如3G、WLAN、WiMAX等。但是这些网络基本上是一种网络支撑一种主要服务的模式,他们有不同的覆盖范围和带宽,并且有各自的网络架构和接入认证技术,一时还难以相互取代。因此在普遍使用和高质量的服务需求下,异构网络之间的融合显得颇为重要。在现有的无线通信设施基础上,可以利用通用的智能终端接入各种网络平台,来满足不同的应用业务需求。
在目前异构无线网络的接入认证和通信过程中,终端标识冗余问题比较严重:对于将终端的身份标识和地址标识合一的情况而言,比如IP地址同时标识终端的身份和地址,会造成标识功能上的冗余。为了解决标识功能上的冗余,可以采用将终端的身份标识和地址标识功能分离,比如IP地址只作为终端的地址标识,终端的身份用IMSI、终端名等标识,但在现网中通常是将终端的身份标识和地址标识、真实身份标识和临时身份标识在网络中绑定使用、存储和传输,这种标识的绑定不仅存在标识数量上的冗余,造成资源浪费,而且会在网络中泄漏终端敏感信息,带来一系列安全问题。另一方面,目前不同的异构无线网络间往往采用不同的接入认证技术,终端必须要维护多套不同格式的认证标识,从而在接入异构网络时才能提供相应的认证信息,实现异构网络间的垂直切换,这不仅带来标识形式上的冗余,也会导致终端在移动漫游时的切换延时加大,大大影响无缝漫游的效果。
因此异构无线网络迫切需要一种针对异构无线网络接入认证的特点的无冗余的终端标识的分配、存储和传输机制,从体系架构和标识使用机制上提高异构无线网络的安全防护能力。
发明内容
本发明提供的标识分配和分离存储方法、标识替换传输方法及系统,以实现针对异构无线网络接入认证的特点的无冗余的终端标识的分配、存储和传输,从而提高异构无线网络的安全防护能力。
本发明提供一种标识分配和分离存储方法,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域;其中,服务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,所述归属域与所述服务域为同一网络,所述方法包括:
在终端认证成功后,归属域为该终端分配归属域标识HID(HomeIdentity),并发送包括HID的认证成功消息至服务域;
服务域为该终端分配服务域标识SID(Service Identity),存储从所述认证成功消息中获取的HID与SID映射关系,并发送包括HID和SID的认证成功消息至接入域;
接入域为该终端分配接入域标识AID(Access Identity),存储从所述认证成功消息中获取的SID与AID映射关系,并发送包括HID和AID的认证成功消息至用户域;
用户域从所述认证成功消息中获取HID和AID,存储HID、AID与终端真实身份标识RID(Real Identity)映射关系,所述RID为终端签约该归属域时归属域分配的。
优选的,所述终端认证成功后还包括:归属域与终端协商会话密钥;则
用户域存储HID之前还包括利用所述会话密钥解密从所述认证成功消息中获取的HID。
优选的,所述终端向归属域发送认证请求中包括初始HID,所述初始HID为终端签约所述归属域时归属域分配给该终端的;则终端向归属域发送请求具体为:
终端将所述请求经接入域发送至服务域;
所述服务域解析所述初始HID获取所述归属域的地址信息,并根据所述地址信息将所述请求发送至所述归属域。
优选的,所述终端向归属域发送认证请求中包括终端的真实身份标识RID;
利用归属域的公钥加密所述RID;所述归属域的公钥为终端签约所述归属域时归属域分发给该终端的。
优选的,当HID生命期满时,所述方法还包括:
归属域生成新HID,向服务域发送包括新HID的HID更新消息;
服务域从所述HID更新消息中获取新HID,并转发所述HID更新消息至用户域;
用户域从所述HID更新消息中获取新HID,将更新当前HID为新HID,并向服务域发送更新成功消息;
服务域更新HID与SID的映射关系,并向归属域转发所述更新成功消息;
归属域更新HID与RID的映射关系。
优选的,当SID生命期满时,所述方法还包括:
服务域生成新SID,向接入域发送包括新SID的SID更新消息;
接入域从所述SID更新消息中获取新SID,更新SID与AID的映射关系,并向服务域发送更新成功消息;
服务域更新SID与HID的映射关系。
优选的,当AID生命期满时,所述方法还包括:
接入域生成新AID,向用户域发送包括新AID的AID更新消息;
用户域从所述AID更新消息中获取新AID,更新AID与RID的映射关系,并向接入域发送更新成功消息;
接入域更新AID与SID的映射关系。
优选的,当接入域发生改变且服务域不变时,所述方法还包括:
终端向新的接入域发起AID更新请求,所述更新请求中包括所述终端的旧AID;
新的接入域向原接入域发送包括所述终端旧AID的服务域标识请求消息,原接入域回复包括所述终端SID的应答消息;
新的接入域生成新AID,向用户域返回包括新AID的更新响应消息;
终端向原接入域发起AID删除请求;
原接入域删除其存储的AID与SID映射关系,向用户域返回删除成功消息;
用户域将AID与RID的映射关系中的AID更新为所述新AID,并向新的接入域发送更新成功消息;
新的接入域存储所述新AID与SID的映射关系。
优选的,当接入域和服务域都发生改变时,所述方法还包括:
终端经新的接入域向新的服务域发送更新请求,所述更新请求中包括所述终端的HID;
新的服务域生成新SID,向新的接入域发送包括新SID的更新信息;
新的接入域生成新AID,向用户域发送包含新AID的更新信息;
终端经原接入域向原服务域发送删除请求;
原服务域删除其存储的HID与SID的映射关系,向原接入域返回删除成功消息;
原接入域删除其存储的SID与AID的映射关系,向用户域返回删除成功消息;
用户域将AID与RID的映射关系中的AID更新为所述新AID,向新的接入域发送更新成功消息;
新的接入域存储所述新AID与新SID的映射关系,向新的服务域发送更新成功消息;
新的服务域存储所述新SID与HID的映射关系。
本发明还提供了一种基于上述方法实现标识替换传输的方法,包括:
当需要发送数据包时,向目的域发送包括目的域已知域标识的数据包;
当接收到数据包时,解析所述数据包中的域标识,验证其真实性;若还需继续转发数据包,则在验证成功后,利用预存的域标识映射关系得到目标域已知域标识,将数据包中的当前域标识替换为目标域已知域标识,转发出去。
本发明还提供了一种异构无线网络中终端标识分配和分离存储系统,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于生成本域标识和存储更新本域已知域标识间映射关系,其中:
所述标识映射服务器,包括:
第一发送单元,用于将认证成功消息发送给目的域的标识映射服务器,该认证成功消息中包括本域已分配的域标识;
第一接收单元,用于在接收到所述认证成功消息后,从中提取出携带的所述已分配的域标识;
标识生成单元,用于为所述终端生成一个唯一的本域标识;以及
标识存储单元,用于在没有保存所述认证成功消息中的域标识与本域新生成的域标识间的映射关系时,将该映射关系保存,以及设定该映射关系的生命期。
优选的,所述标识映射服务器,还包括:
第二发送单元,用于当生命期到达时,或当终端的接入域和/或服务域发生改变时,向相关域的标识映射服务器发送标识更新消息;
第二接收单元,用于接收相关域的标识映射服务器发送的标识更新消息。
优选的,所述标识映射服务器,还包括:
标识更新单元,用于当生命期到达时对相应的标识映射关系进行更新,或在收到标识更新消息时对相应的映射关系进行更新。
本发明还提供了一种异构无线网络中终端标识替换传输系统,其特征在于,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于检索和替换本域已知的终端标识;该系统包含源终端和至少一个目的端,以及源终端所在域的标识映射服务器;
所述源终端包括:
请求消息发送单元,用于将请求消息发送给本域标识映射服务器,所述请求消息中包括本域已知的域标识;
回复消息接收单元,用于接收本域标识映射服务器的回复消息,所述回复消息中包括目的端所在域的已知域标识;以及
数据包发送单元,用于向所述目的端发送数据包,所述数据包包括目的端所在域的已知域标识;
所述目的端包括:
数据包接收单元,用于当接收到数据包时,解析所述数据包中的域标识,验证其真实性;
所述源终端的标识映射服务器,用于在接收到所述源终端请求消息发送单元发送的请求消息后,从预先保存的终端的域标识映射关系中查找出与本域已知的域标识相对应的目的端所在域的已知域标识,并发送回复消息至所述回复消息接收单元。
本发明提供的标识分配和分离存储方法、标识替换传输方法及系统,有益效果是:
将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识:RID、AID、SID、HID,分别表示该终端的真实身份、接入域、服务域、归属域的身份标识,这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。另外,标识信息在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。在数据通信过程中,采用身份标识逐域替换的策略,实现对终端真实身份的隐藏,当数据从一个域传递到另一个域时,替换使用不同的标识,有效抑制了恶意主体的窃听行为和欺骗行为,同时,降低了恶意网络策略性攻击带来的风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种标识分配和分离存储的方法流程图;
图2为本发明实施例提供的另一种标识分配和分离存储的方法流程图;
图3为本发明实施例中HID生命期满时标识更新流程图;
图4为本发明实施例中SID生命期满时标识更新流程图;
图5为本发明实施例中AID生命期满时标识更新流程图;
图6为本发明实施例中接入域发生改变且服务域不变时标识更新流程图;
图7为本发明实施例中接入域和服务域都发生改变时标识更新流程图;
图8为本发明实施例提供一种标识替换传输的方法流程图;
图9为终端向归属域发送数据的方法流程图;
图10为本发明实施例提供一种异构无线网络中终端标识分配和分离存储系统框图;
图11为本发明实施例提供一种异构无线网络中终端标识替换传输系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
参见图1,本发明实施例提供了一种标识分配和分离存储的方法。
S101:将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,其中,服务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,所述归属域与所述服务域为同一网络。
其中:
用户域:主要是智能终端(包括标识映射服务模块),能接入不同的接入网络,像3G、WLAN、WiMAX等。该域终端的终端标识RID是其真实身份标识。
接入域:主要是接入网络的基站、无线接入点、接入服务器、标识映射服务器等实体。该域为每个终端分配一个接入域标识AID来唯一标识。
服务域:主要是终端移动漫游时候的当地服务网络,为本域内的终端提供业务和服务,包括路由器、认证服务器、标识映射服务器等实体。该域为每个终端分配一个服务域标识SID来唯一标识。
归属域:主要是跟终端签约的运营商服务网络,与服务域一样,也包括路由器、认证服务器、标识映射服务器等实体,只不过他们存储的信息不同。该域为每个终端分配一个归属域标识HID来唯一标识。
通常,将异构无线网络预先进行划分,而无需每次执行标识分配时都对异构无线网络进行重新划分。
S102:在终端认证成功后,归属域为该终端分配归属域标识HID,并发送包括HID的认证成功消息至服务域。
S103:服务域为该终端分配服务域标识SID,存储从所述认证成功消息中获取的HID与SID映射关系,并发送包括HID和SID的认证成功消息至接入域。
S104:接入域为该终端分配接入域标识AID,存储从所述认证成功消息中获取的SID与AID映射关系,并发送包括HID和AID的认证成功消息至用户域。
S105:用户域从所述认证成功消息中获取HID和AID,存储AID与终端真实身份标识RID映射关系,所述RID为终端签约该归属域时归属域分配的。
可见,通过本发明提供的标识分配方法,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识:RID、AID、SID、HID,分别表示该终端的真实身份、接入域、服务域、归属域的临时身份标识,这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。
实施例二
参见图2,本发明实施例提供了一种标识分配和分离存储的方法。
S201:将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,其中,服务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,所述归属域与所述服务域为同一网络。
通常,将异构无线网络预先进行划分,而无需每次执行标识分配时都对异构无线网络进行重新划分。
S202:终端发起认证请求,所述认证请求包括终端真实身份标识RID和初始HID。
所述初始HID为终端签约所述归属域时归属域分配给该终端的。
优选的,所述认证请求中包括的RID为利用归属域的公钥加密得到的;所述归属域的公钥为终端与该归属域签约时归属域分发给该终端的。
S203:所述认证请求经接入域发送至服务域。
S204:服务域解析所述初始HID获取所述归属域的地址信息,并根据所述地址信息将所述认证请求发送至所述归属域。
S205:归属域接收到终端发送的认证请求后,对终端进行认证,当认证成功后执行步骤S206,否则结束。
S206:归属域为该终端分配归属域标识HID;与终端进行会话密钥协商;用服务域的公钥加密HID,发送包括经加密的HID的认证成功消息至服务域。
S207:服务域生成SID并分配给该终端;从认证成功消息中获取HID,用私钥解密HID,存储HID与SID映射关系;发送认证成功消息至接入域,其中认证成功消息包括SID和经会话密钥加密的HID。
S208:接入域生成AID并分配给该终端;从认证成功消息中获取SID,存储AID与SID映射关系;发送认证成功消息至接入域,其中认证成功消息包括AID和经加密的HID。
S209:用户域从所述认证成功消息中获取AID和经加密的HID,利用所述会话密钥解密HID,并存储HID、AID与终端真实身份标识RID映射关系,所述RID为终端签约该归属域时归属域分配给该终端的。
优选的,将从所述认证成功消息中获取的HID替换初始HID。
本发明实施例中,各域为某终端分配的一套标识:RID、AID、SID、HID在各域的存储状态如表1所示:
表1
| 用户域 | RID、AID、HID |
| 接入域 | AID、SID |
| 服务域 | SID、HID |
| 归属域 | HID、RID |
可见,通过本发明提供的标识分配和分离存储方法,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识:RID、AID、SID、HID,分别表示该终端的真实身份标识、接入域、服务域、归属域的身份标识,这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。另外,标识信息在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。
在实际应用中,RID属于永久标识;而AID、SID和HID都属于临时身份标识,它们分别有自己的生命期限,且仅在各自被分发的域内有效,需要根据时间的推移和地域的变化进行更新,以保持其新鲜性。AID、SID和HID的更新主要有两种触发情况:一是AID、SID和HID生命期满时需要对其进行更新;二是接入域和/或服务域改变时需要对相应的域标识进行更新。
进一步的,参见图3,当HID生命期满时,所述方法还包括:
S301:归属域生成新HID,向服务域发送包括新HID的HID更新消息;
S302:服务域从所述HID更新消息中获取新HID,并转发所述HID更新消息至用户域;
S303:用户域从所述HID更新消息中获取新HID,更新当前HID为新HID,并向服务域发送更新成功消息;
S304:服务域更新HID与SID的映射关系,并向归属域转发所述更新成功消息;
S305:归属域更新HID与RID的映射关系。
进一步的,参见图4,当SID生命期满时,所述方法还包括:
S401:服务域生成新SID,向接入域发送包括新SID的SID更新消息;
S402:接入域从所述SID更新消息中获取新SID,更新SID与AID的映射关系,并向服务域发送更新成功消息;
S403:服务域更新SID与HID的映射关系。
进一步的,参见图5,当AID生命期满时,所述方法还包括:
S501:接入域生成新AID,向用户域发送包括新AID的AID更新消息;
S502:用户域从所述AID更新消息中获取新AID,更新AID与RID的映射关系,并向接入域发送更新成功消息;
S503:接入域更新AID与SID的映射关系。
进一步的,参见图6,当接入域发生改变且服务域不变时,所述方法还包括:
S601:终端向新的接入域发起AID更新请求,所述更新请求中包括所述终端的旧AID;
S602:新的接入域向原接入域发送包括所述终端旧AID的服务域标识请求消息;
S603:原接入域回复包括所述终端SID的应答消息;
S604:新的接入域生成新AID,向用户域返回包括新AID的更新响应消息;
S605:终端向原接入域发起AID删除请求;
S606:原接入域删除其存储的AID与SID映射关系,向用户域返回删除成功消息;
S607:用户域将AID与RID的映射关系中的AID更新为所述新AID,并向新的接入域发送更新成功消息;
S608:新的接入域存储所述新AID与SID的映射关系。
进一步的,参见图7,当接入域和服务域都发生改变时,所述方法还包括:
S701:终端经新的接入域向新的服务域发送更新请求,所述更新请求中包括所述终端的HID;
S702:新的服务域生成新SID,向新的接入域发送包括新SID的更新信息;
S703:新的接入域生成新AID,向用户域发送包含新AID的更新信息;
S704:终端经原接入域向原服务域发送删除请求;
S705:原服务域删除其存储的HID与SID的映射关系,向原接入域返回删除成功消息;
S706:原接入域删除其存储的SID与AID的映射关系,向用户域返回删除成功消息;
S707:用户域将AID与RID的映射关系中的AID更新为所述新AID,向新的接入域发送更新成功消息;
S708:新的接入域存储所述新AID与新SID的映射关系,向新的服务域发送更新成功消息;
S709:新的服务域存储所述新SID与HID的映射关系。
实施例三
参见图8,本发明实施例还提供了一种基于上述标识分配和分离存储方法实现标识替换传输的方法,包括:
S801:当需要发送数据包时,向目的域发送包括目的域已知域标识的数据包;
S802:当接收到数据包时,解析所述数据包中的域标识,验证其真实性;若还需继续转发数据包,则在验证成功后,利用预存的域标识映射关系得到目标域已知域标识,将数据包中的当前域标识替换为目标域已知域标识,转发出去。
实际应用中,数据包可以是由终端向归属域发送,当然也可以是任意两个域之间发送,本发明实施例对此并不限制。
参见图9,以终端向归属域发送数据为例进行详细描述:
S901:在终端中存储有RID与AID的映射关系,数据包携带AID发送到接入域;
S902:接入域中存储有AID与SID的映射关系,通过标识映射服务器的解析映射,将数据包中的AID替换成SID,将数据包发送到服务域;
S903:服务域中存储着SID和HID的映射关系,通过标识映射服务器的解析映射,将数据包中的SID替换成相应的归属域的HID,将数据包发送到归属域;
S904:归属域中存在HID与RID的映射关系,通过标识映射服务器的解析映射,就可知道终端的真实身份标识RID。
可见,本发明提供的标识替换传输方法,在数据通信过程中,采用身份标识逐域替换的策略,实现对终端真实身份的隐藏,当数据从一个域传递到另一个域时,替换使用不同的标识,有效抑制了恶意主体的窃听行为和欺骗行为,同时,降低了恶意网络策略性攻击带来的风险。
实施例四
参见图10,本发明实施例提供一种异构无线网络中终端标识分配和分离存储系统,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于生成本域标识和存储更新本域已知域标识间映射关系,其中:
所述标识映射服务器,包括:
第一发送单元1001,用于将认证成功消息发送给目的域的标识映射服务器,该请求消息中包括本域已分配的域标识;
第一接收单元1002,用于在接收到所述认证成功消息后,从中提取出携带的所述已分配的域标识;
标识生成单元1003,用于为所述终端生成一个唯一的本域标识;
以及,标识存储单元1004,用于在没有保存所述认证成功消息中的域标识与本域新生成的域标识间的映射关系时,将该映射关系保存,以及设定该映射关系的生命期。
进一步的,所述标识映射服务器还包括:
第二发送单元,用于当生命期到达时,或当终端的接入域和/或服务域发生改变时,向相关域的标识映射服务器发送标识更新消息;
第二接收单元,用于接收相关域的标识映射服务器发送的标识更新消息。
进一步的,所述标识映射服务器还包括:
标识更新单元,用于当生命期到达时对相应的标识映射关系进行更新,或在收到标识更新消息时对相应的映射关系进行更新。
可见,通过本发明提供的标识分配和分离存储方法,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域,为每个终端分配一套可进行双向认证的唯一标识:RID、AID、SID、HID,分别表示该终端的真实身份标识、接入域、服务域、归属域的身份标识,这样,将终端的身份标识分离存储在各域中,确保每个域中没有冗余的标识,另外,标识的分段定义和存储的方法也可以方便的支持终端在不同范围的移动性。而且,在异构无线网络中,拥有终端真实身份标识RID信息的主体只有用户域中的终端和归属域中的认证服务器,其他的任何一个网络中间节点设备均仅拥有该终端的部分域标识信息,确保了认证过程的安全性和可信性。另外,标识信息在用户域,接入域,服务域和归属域的传递过程中,通过在各域间的检索与替换,及在不同标识映射服务器的动态更新,可以有效隐藏终端的真实身份和位置信息,增强了异构无线网络的可信接入和移动性问题安全防护能力。
实施例五
参见图11,本发明实施例提供了一种异构无线网络中终端标识替换传输系统,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于检索和替换本域已知的终端标识;该系统包含源终端100和至少一个目的端200,以及源终端所在域的标识映射服务器104;
所述源终端100包括:
请求消息发送单元101,用于将请求消息发送给本域标识映射服务器,所述请求消息中包括本域已知的域标识;
回复消息接收单元102,用于接收本域标识映射服务器的回复消息,所述回复消息中包括目的端所在域的已知域标识;以及
数据包发送单元103,用于向所述目的端发送数据包,所述数据包包括目的端所在域的已知域标识;
所述目的端200包括:
数据包接收单元201,用于当接收到数据包时,解析所述数据包中的域标识,验证其真实性;
所述源终端的标识映射服务器104,用于在接收到所述源终端请求消息发送单元发送的请求消息后,从预先保存的终端的域标识映射关系中查找出与本域已知的域标识相对应的目的端所在域的已知域标识,并发送回复消息至所述回复消息接收单元。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括若干指令用以执行本发明各个实施例所述的方法。这里所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种标识分配和分离存储方法,其特征在于,将异构无线网络按服务功能分为用户域、接入域、服务域和归属域;其中,服务域包括至少一个接入域,接入域包括至少一个用户域,且在本地服务时,所述归属域与所述服务域为同一网络,所述方法包括:
在终端认证成功后,归属域为该终端分配归属域标识HID,并发送包括HID的认证成功消息至服务域;
服务域为该终端分配服务域标识SID,存储从所述认证成功消息中获取的HID与SID映射关系,并发送包括HID和SID的认证成功消息至接入域;
接入域为该终端分配接入域标识AID,存储从所述认证成功消息中获取的SID与AID映射关系,并发送包括HID和AID的认证成功消息至用户域;
用户域从所述认证成功消息中获取HID和AID,存储HID、AID与终端真实身份标识RID映射关系,所述RID为终端签约该归属域时归属域分配的。
2.根据权利要求1所述的方法,其特征在于,所述终端认证成功后还包括:归属域与终端协商会话密钥;则
用户域存储HID之前还包括利用所述会话密钥解密从所述认证成功消息中获取的HID。
3.根据权利要求1所述的方法,其特征在于,所述终端向归属域发送认证请求中包括初始HID,所述初始HID为终端签约所述归属域时归属域分配给该终端的;则终端向归属域发送请求具体为:
终端将所述请求经接入域发送至服务域;
所述服务域解析所述初始HID获取所述归属域的地址信息,并根据所述地址信息将所述请求发送至所述归属域。
4.根据权利要求1所述的方法,其特征在于,所述终端向归属域发送认证请求中包括终端的真实身份标识RID;
利用归属域的公钥加密所述RID;所述归属域的公钥为终端签约所述归属域时归属域分发给该终端的。
5.根据权利要求1所述的方法,其特征在于,当HID生命期满时,所述方法还包括:
归属域生成新HID,向服务域发送包括新HID的HID更新消息;
服务域从所述HID更新消息中获取新HID,并转发所述HID更新消息至用户域;
用户域从所述HID更新消息中获取新HID,将更新当前HID为新HID,并向服务域发送更新成功消息;
服务域更新HID与SID的映射关系,并向归属域转发所述更新成功消息;
归属域更新HID与RID的映射关系。
6.根据权利要求1所述的方法,其特征在于,当SID生命期满时,所述方法还包括:
服务域生成新SID,向接入域发送包括新SID的SID更新消息;
接入域从所述SID更新消息中获取新SID,更新SID与AID的映射关系,并向服务域发送更新成功消息;
服务域更新SID与HID的映射关系。
7.根据权利要求1所述的方法,其特征在于,当AID生命期满时,所述方法还包括:
接入域生成新AID,向用户域发送包括新AID的AID更新消息;
用户域从所述AID更新消息中获取新AID,更新AID与RID的映射关系,并向接入域发送更新成功消息;
接入域更新AID与SID的映射关系。
8.根据权利要求1所述的方法,其特征在于,当接入域发生改变且服务域不变时,所述方法还包括:
终端向新的接入域发起AID更新请求,所述更新请求中包括所述终端的旧AID;
新的接入域向原接入域发送包括所述终端旧AID的服务域标识请求消息,原接入域回复包括所述终端SID的应答消息;
新的接入域生成新AID,向用户域返回包括新AID的更新响应消息;
终端向原接入域发起AID删除请求;
原接入域删除其存储的AID与SID映射关系,向用户域返回删除成功消息;
用户域将AID与RID的映射关系中的AID更新为所述新AID,并向新的接入域发送更新成功消息;
新的接入域存储所述新AID与SID的映射关系。
9.根据权利要求1所述的方法,其特征在于,当接入域和服务域都发生改变时,所述方法还包括:
终端经新的接入域向新的服务域发送更新请求,所述更新请求中包括所述终端的HID;
新的服务域生成新SID,向新的接入域发送包括新SID的更新信息;
新的接入域生成新AID,向用户域发送包含新AID的更新信息;
终端经原接入域向原服务域发送删除请求;
原服务域删除其存储的HID与SID的映射关系,向原接入域返回删除成功消息;
原接入域删除其存储的SID与AID的映射关系,向用户域返回删除成功消息;
用户域将AID与RID的映射关系中的AID更新为所述新AID,向新的接入域发送更新成功消息;
新的接入域存储所述新AID与新SID的映射关系,向新的服务域发送更新成功消息;
新的服务域存储所述新SID与HID的映射关系。
10.一种基于权利要求1-9任一项所述方法实现标识替换传输的方法,其特征在于,包括:
当需要发送数据包时,向目的域发送包括目的域已知域标识的数据包;
当接收到数据包时,解析所述数据包中的域标识,验证其真实性;若还需继续转发数据包,则在验证成功后,利用预存的域标识映射关系得到目标域已知域标识,将数据包中的当前域标识替换为目标域已知域标识,转发出去。
11.一种异构无线网络中终端标识分配和分离存储系统,其特征在于,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于生成本域标识和存储更新本域已知域标识间映射关系,其中:
所述标识映射服务器,包括:
第一发送单元,用于将认证成功消息发送给目的域的标识映射服务器,该认证成功消息中包括本域已分配的域标识;
第一接收单元,用于在接收到所述认证成功消息后,从中提取出携带的所述已分配的域标识;
标识生成单元,用于为所述终端生成一个唯一的本域标识;以及
标识存储单元,用于在没有保存所述认证成功消息中的域标识与本域新生成的域标识间的映射关系时,将该映射关系保存,以及设定该映射关系的生命期。
12.根据权利要求11所述系统,其特征在于,所述标识映射服务器,还包括:
第二发送单元,用于当生命期到达时,或当终端的接入域和/或服务域发生改变时,向相关域的标识映射服务器发送标识更新消息;
第二接收单元,用于接收相关域的标识映射服务器发送的标识更新消息。
13.根据权利要求11所述系统,其特征在于,所述标识映射服务器,还包括:
标识更新单元,用于当生命期到达时对相应的标识映射关系进行更新,或在收到标识更新消息时对相应的映射关系进行更新。
14.一种异构无线网络中终端标识替换传输系统,其特征在于,该系统将异构无线网络根据服务功能划分为用户域、接入域、服务域和归属域,每个域都配置一个标识映射服务器,用于检索和替换本域已知的终端标识;该系统包含源终端和至少一个目的端,以及源终端所在域的标识映射服务器;
所述源终端包括:
请求消息发送单元,用于将请求消息发送给本域标识映射服务器,所述请求消息中包括本域已知的域标识;
回复消息接收单元,用于接收本域标识映射服务器的回复消息,所述回复消息中包括目的端所在域的已知域标识;以及
数据包发送单元,用于向所述目的端发送数据包,所述数据包包括目的端所在域的已知域标识;
所述目的端包括:
数据包接收单元,用于当接收到数据包时,解析所述数据包中的域标识,验证其真实性;
所述源终端的标识映射服务器,用于在接收到所述源终端请求消息发送单元发送的请求消息后,从预先保存的终端的域标识映射关系中查找出与本域已知的域标识相对应的目的端所在域的已知域标识,并发送回复消息至所述回复消息接收单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910261155XA CN101754219B (zh) | 2009-12-28 | 2009-12-28 | 标识分配和分离存储方法、标识替换传输方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910261155XA CN101754219B (zh) | 2009-12-28 | 2009-12-28 | 标识分配和分离存储方法、标识替换传输方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101754219A CN101754219A (zh) | 2010-06-23 |
| CN101754219B true CN101754219B (zh) | 2011-12-07 |
Family
ID=42480435
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910261155XA Expired - Fee Related CN101754219B (zh) | 2009-12-28 | 2009-12-28 | 标识分配和分离存储方法、标识替换传输方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101754219B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075322A (zh) * | 2010-12-06 | 2011-05-25 | 中兴通讯股份有限公司 | 关键参数的存储方法及终端设备 |
| CN102547908B (zh) * | 2010-12-28 | 2015-08-12 | 中兴通讯股份有限公司 | 表维护方法、系统和接入网关路由器 |
| CN102098228B (zh) * | 2011-03-04 | 2012-09-05 | 清华大学 | 一体化标识网络移动性管理系统及方法 |
| CN103051672B (zh) * | 2012-11-21 | 2016-02-10 | 中兴通讯股份有限公司 | 一种异构终端环境中的终端信息获取方法及装置 |
| CN104113535B (zh) * | 2014-07-03 | 2018-06-08 | 株洲南车时代电气股份有限公司 | 身份标志更新方法、系统、管理服务器和接入设备 |
| CN107026855A (zh) * | 2017-03-29 | 2017-08-08 | 西南大学 | 一种用于保护用户终端个人信息的基于位置的服务系统 |
| CN110198433B (zh) * | 2019-04-23 | 2021-01-01 | 视联动力信息技术股份有限公司 | 一种监控视频录制设备的接入方法及系统 |
| CN112105015B (zh) * | 2019-06-17 | 2022-08-26 | 华为技术有限公司 | 二级认证的方法和装置 |
| CN111817854B (zh) * | 2020-06-04 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6064666A (en) * | 1996-11-15 | 2000-05-16 | International Business Machines Corporation | Cross service common user image association |
| CN1359582A (zh) * | 1999-04-28 | 2002-07-17 | 艾利森电话股份有限公司 | 用于异构型网络之间的互操作性的虚拟编号方案 |
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
-
2009
- 2009-12-28 CN CN200910261155XA patent/CN101754219B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6064666A (en) * | 1996-11-15 | 2000-05-16 | International Business Machines Corporation | Cross service common user image association |
| CN1359582A (zh) * | 1999-04-28 | 2002-07-17 | 艾利森电话股份有限公司 | 用于异构型网络之间的互操作性的虚拟编号方案 |
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101754219A (zh) | 2010-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101754219B (zh) | 标识分配和分离存储方法、标识替换传输方法及系统 | |
| CN101938705B (zh) | 群组管理方法、网络设备和网络系统 | |
| US11588626B2 (en) | Key distribution method and system, and apparatus | |
| CN101300815B (zh) | 用于提供移动性密钥的方法和服务器 | |
| CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
| US9572023B2 (en) | Method and system for providing services to mobile communication subscribers | |
| CN101771992B (zh) | 国际移动用户标识符imsi机密性保护的方法、设备及系统 | |
| CN102640473A (zh) | 基于蜂窝通信管理p2p网络的方法 | |
| CN102685712B (zh) | 一种身份位置分离网络中的映射服务器及其实现方法 | |
| CN102045413A (zh) | 经过dht扩展的dns映射系统及其实现dns安全的方法 | |
| CN102316416A (zh) | 终端接入方法和无线通信网络 | |
| CN101730096B (zh) | 一种号码携带的安全管理方法、装置及设备 | |
| CN103957524B (zh) | 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 | |
| CN101594609B (zh) | 在不同域间切换时保持会话连续的方法、系统及节点 | |
| CN104427496B (zh) | Td-lte集群通信系统加密传输方法、装置和系统 | |
| EP2192800B1 (en) | Conversion method, system and apparatus for heterogeneous addressing | |
| CN106790296A (zh) | 域名记录验证方法及装置 | |
| CN101588548A (zh) | 通信数据接入方法和系统及接入网关 | |
| CN111132165A (zh) | 基于区块链的5g通信无卡接入方法、设备及存储介质 | |
| CN101517986B (zh) | 用于在加密的通信关系中编址和路由的方法和系统 | |
| CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
| CN108124242A (zh) | 一种消息投递的系统、方法及装置 | |
| US8539100B2 (en) | Method, device, and communications system for managing querying mapping information | |
| CN102056166B (zh) | 一种基于ipsplit网络中多穴性的实现方法和系统 | |
| CN102918878B (zh) | 报文发送方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111207 Termination date: 20181228 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |