CN102204221B - 多归属多地址空间网络中实现数据包安全传送的方法及主机 - Google Patents
多归属多地址空间网络中实现数据包安全传送的方法及主机 Download PDFInfo
- Publication number
- CN102204221B CN102204221B CN201180000592.1A CN201180000592A CN102204221B CN 102204221 B CN102204221 B CN 102204221B CN 201180000592 A CN201180000592 A CN 201180000592A CN 102204221 B CN102204221 B CN 102204221B
- Authority
- CN
- China
- Prior art keywords
- source host
- location information
- local location
- sign
- position field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种多归属多地址空间网络中实现数据包安全传送的方法,目的主机接收到源主机发送来的第一数据包中携带的源主机的位置域标识和局部位置信息与前一次通信所保存的源主机的位置域标识和局部位置信息不相同时,主动发出位置重置确认请求信息,在收到源主机发送的源主机位置域标识和局部位置信息已重置的信息后才会根据重置后的源主机位置域标识和局部位置信息向源主机发送数据包。本发明实施例还提供相应的源主机和目的主机。本发明技术方案由于在目的主机和源主机间建立了数据包的安全传送机制,避免数据包携带的位置域标识和局部位置信息被黑客修改后,造成对网络中的其他主机的DDOS攻击。
Description
技术领域
本发明涉及通信技术领域,具体涉及多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法和主机。
背景技术
节点标识(Node ID,Node Indenifier)网络架构是面向下一代互联网(Internet)的网络协议体系,Node ID引入位置域(LD,Locator Domain)用于标识采用独立地址空间的网络,举例来说,地址空间可以为第四版互联网协议(IPV4,Internet Protocol version4)、第六版互联网协议(IPV6,Internet Protocolversion6)或其他协议地址空间。不同的LD可以采用不同的地址空间。
Node ID网络架构中存在一个静态的核心网(CN,Core Network)和多个可移动的边缘网(EN,Edge Network),EN可以直接连接到CN上,或者通过其他EN间接地连接到CN上。连接不同EN的边界路由器称做边缘边界路由器(ER,Egdg router),连接CN和EN的边界路由器称做核心边界路由器(CER,Coreedge router)。Node ID网络架构中的CN和各个EN采用独立的地址空间,这些采用独立地址空间的CN或EN都是不同的LD,用LD ID来标识。网络主机(host)和边界路由器都具有一个全局唯一的标识(ID,indenifier)。移动主机和移动路由设备在移动过程中,ID始终保持不变,变化的仅仅是局部位置信息(locator),也就是IP地址。如果数据包的源和目的在同一个LD内,那么转发该数据包时依据LD内部的locator就可以实现;而如果数据包的源和目的不在一个LD内,也就是在不同LD之间的数据包转发,则需要通过核心边界路由器标识(CER ID,Core edge router indenifier)来进行。
CER用于向下联的EN发布缺省路由,缺省路由就是在没有找到匹配的路由时使用的路由。加入到EN的主机首先沿着到达CER的缺省路由发送注册消息,该注册消息中包含该主机的主机标识(HI,Host Indenifier)和locator,locator是主机在当前LD中的局部位置信息;CER保存HI与locator的映射关系,这样CER发送数据包时就知道如何到达其下联的主机了。CN中有一个分布式哈希表(DHT,Distributed Hash Table)系统,用于存储CER ID与CER在CN中的局部位置信息(CER locator)的映射关系。
上述现有的Node ID网络架构,所有主机在LD内的局部位置信息均注册在CN的DHT中,因此EN和CN只能采用树型结构组网,导致组网结构上受到限制,并且支持多归属的实现较复杂。同时,如果两个LD不同的EN之间进行通信,则必须通过CN,即使这两个不同的LD的EN在物理距离上很近,这样造成转发路由不优。
现在已经有一种多地址空间网路架构方案,不同LD可采用不同的地址空间,通过建立基于位置域的标识(LD ID)的路由,使得网络中主机进行数据包转发时,可以基于LD ID进行数据包转发,从而解决了Node ID网络架构对于组网方式的限制问题。但是这种多地址空间网络还是按照最短路径原则进行寻址,不具备网络级别的流量工程控制能力,容易导致最短路径网路堵塞,其他网络路径空闲。流量工程就是当存在多条并行或备选路径时,如何有效地使用集成的网络带宽。流量工程可以平衡网络中不同的链路、路由器和交换机之间业务负荷,使所有这些设备既不会过度使用,也不会未被充分使用可以有效利用整个网络的资源。
中国发明专利(公开号CN101552714A,公开日2009年10月7日)公开了一种多归属多地址空间网络中实现流量工程的方法和设备,此件发明专利详细的描述了第一主机归属于第一位置域和第二位置域,第二主机归属于第三位置域时,第一主机向第二主机发送数据包的过程。该过程为第一主机通过边界路由器向第二主机发送数据包,边界路由器判断数据包中所携带的源主机的位置域标识和位置域信息是否符合流量工程,如果不符合,重置位置源主机标识和局部位置信息。使不同的LD之间的数据包在流量工程的控制下进行传送,合理的利用了网络资源,高效、快捷的传送了数据包。
但在对现有技术的研究和实践过程中,本发明的发明人发现,现有的多地址空间网络中实现流量工程的方法是当源主机站点边界路由器对于出站点数据包中所携带的源主机的位置域标识和局部位置信息重写之后,目的主机将使用修改后的源主机的位置域标识和局部位置信息与源主机进行通信。如果这种情况下数据包被黑客劫持并将数据包中所携带的源主机的位置域标识和局部位置信息修改成另外一个主机的位置域标识和局部位置信息,目的主机就会将数据包发给另外一个主机。这样,如果黑客劫持多个源主机发往目的主机的数据包,并将这些数据包中的位置域标识和局部位置信息修改为同一个主机的位置域标识和局部位置信息,就会造成多个目的主机给这个主机发送数据包,造成这个主机的带宽和计算资源被消耗。这也就是常说的分布式拒绝服务(DDOS,Distributed Denial of Service)攻击。
发明内容
本发明实施例提供一种可以避免DDOS攻击的多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法和主机。
多归属多地址空间网络中实现数据包安全传送的方法,包括:
源主机发送第一数据包给目的主机,所述源主机至少归属于第一位置域和第二位置域,所述第一数据包携带有源主机标识和源主机的一组位置域标识和局部位置信息;所述源主机的位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
接收所述目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与所述目的主机本地所保存的源主机位置域标识和局部位置信息不相同时返回的位置重置确认请求信息,所述位置重置确认请求信息携带有所述目的主机从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;所述本地所保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息;
当确认所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给所述目的主机,所述已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机所有的一组位置域标识和局部位置信息,目的主机按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包,源主机的这一组位置域标识和局部位置信息为重置后的源主机位置域标识和局部位置信息;
接收目的主机根据所述重置后的源主机位置域标识和局部位置信息向源主机发送来的数据包。
多归属多地址空间网络中实现数据包安全传送的方法,包括:
目的主机接收源主机发送的第一数据包,所述源主机至少归属于第一位置域和第二位置域;
从接收到的所述第一数据包中获取源主机标识,源主机的位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
当确认从所述第一数据包中获取的源主机的位置域标识和局部位置信息与在目的主机上保存的源主机位置域标识和局部位置信息不相同时,发送位置重置确认请求信息给源主机,位置重置确认请求信息携带有所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;
接收源主机为响应所述位置重置确认请求信息而发送的源主机位置域标识和局部位置信息已重置的信息;
根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的源主机的位置域标识和局部位置信息;
根据所述重置后的源主机的位置域标识和局部位置信息向源主机发送数据包,目的主机发送给源主机的数据包携带重置后的源主机的位置域标识和局部位置信息。
一种源主机,包括:
发送单元,用于发送第一数据包给目的主机,所述源主机至少归属于第一位置域和第二位置域,所述第一数据包携带有源主机标识和源主机的一组位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
接收单元,用于接收所述目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与所述目的主机本地所保存的源主机位置域标识和局部位置信息不相同时返回的位置重置确认请求信息,所述位置重置确认请求信息携带有所述目的主机从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;所述本地所保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息;
所述发送单元,进一步用于当确认所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给所述目的主机,所述已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机所有的一组位置域标识和局部位置信息,目的主机按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包,源主机的这一组位置域标识和局部位置信息为重置后的源主机位置域标识和局部位置信息;
所述接收单元,进一步用于接收目的主机根据所述重置后的源主机位置域标识和局部位置信息向源主机发送来的数据包。
一种目的主机,包括:
接收单元,用于接收源主机发送的第一数据包,所述源主机至少归属于第一位置域和第二位置域;
获取单元,用于从接收到的所述第一数据包中获取源主机标识,源主机的位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
发送单元,用于在确认从所述第一数据包中获取的源主机的位置域标识和局部位置信息与在目的主机上保存的源主机位置域标识和局部位置信息不相同时发送位置重置确认请求信息给源主机,位置重置确认请求信息携带有所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;
所述接收单元,进一步用于接收源主机为响应所述位置重置确认请求信息而发送的源主机位置域标识和局部位置信息已重置的信息;
确认单元,用于根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的源主机的位置域标识和局部位置信息;
所述发送单元,进一步用于根据所述重置后的源主机的位置域标识和局部位置信息向源主机发送数据包,目的主机发送给源主机的数据包携带重置后的源主机的位置域标识和局部位置信息。
本发明实施例分别从源主机和目的主机的角度描述了多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法,目的主机从接收到源主机发送来的第一数据包中获取到的源主机的位置域标识和局部位置信息与前一次通信所保存的源主机的位置域标识和局部位置信息不相同时,主动发出位置重置确认请求信息,在收到源主机发送的源主机位置域标识和局部位置信息已重置的信息后才会向源主机发送数据包,继续之前的通信。与现有技术相比,本发明实施例提供的多归属多地址空间网络中在流量工程控制下实现数据包安全传送的方法可以有效避免第一数据包被黑客劫持后,将第一数据包中携带的位置域标识和局部位置信息修改为其他主机的位置域标识和局部位置信息后发给目的主机,使目的主机将数据包发送给其他主机。如果黑客劫持多个源主机发往目的主机的第一数据包,并将这些第一数据包中的位置域标识和局部位置信息修改为同一个主机的位置域标识和局部位置信息,就会造成多个目的主机给这个主机发送数据包,造成这个主机的带宽和计算资源被消耗,也就是常说的DDOS攻击。
附图说明
图1是本发明实施例中实现数据包安全传送的方法第一实施例示意图;
图2是本发明实施例中实现数据包安全传送的方法第二实施例示意图;
图3是本发明应用场景中的多归属多地址空间网络的简化示意图;
图4是本发明实施例中源主机和目的主机实施例示意图。
具体实施方式
本发明实施例提供一种多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法,可以有效避免DDOS攻击。本发明实施例还提供相应的源主机和目的主机。以下分别进行详细说明。
请参阅图1,本发明实施例中实现数据包安全传送的方法的第一实施例包括:
101、源主机发送第一数据包给目的主机,源主机发送给目的主机的第一数据包携带有源主机标识和源主机的位置域标识和局部位置信息。
源主机标识是唯一的,源主机的位置域标识和局部位置信息是相对应的。在本实施例中源主机归属于第一位置域和第二位置域,实际上源主机也可以同时归属于两个以上的位置域,源主机的位置域标识和局部位置信息与所归属的位置域是对应的,本实施例中源主机的位置域标识和局部位置信息有两组,分别为:
源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息;和,
源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息。
在本实施例中,所述第一数据包发送时,携带于所述第一数据包中的源主机的位置域标识和局部位置信息可以是源主机前一次与目的主机通信时所使用的一组位置域标识和局部位置信息。
102、接收目的主机返回的位置重置确认请求信息,位置重置确认请求信息携带有目的主机从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息。
所述位置重置确认请求信息用于在目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与本地所保存的源主机位置域标识和局部位置信息不相同时,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为源主机所拥有的位置域标识和局部位置信息,并且,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息;其中所述本地所保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息。在多归属多地址空间网络中流量工程控制下,由源主机发送给目的主机的第一数据包在经过中间设备时,所述第一数据包很可能被中间设备基于预设的流量工程策略而重置包中携带的某些信息,例如中间设备基于预设的流量工程策略重置所述由源主机发送的第一数据包中所携带的源主机的位置域标识和局部位置信息。在本发明实施例中,若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息;若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息,重置后的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息。
103、判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为源主机对应的一组位置域标识和局部位置信息,并且,判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息。
104、当判断确认所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给目的主机;
所述已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机所有的一组位置域标识和局部位置信息,目的主机可以按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包;源主机的这一组位置域标识和局部位置信息即为重置后的源主机位置域标识和局部位置信息。
105、接收目的主机根据所述重置后的源主机位置域标识和局部位置信息向源主机发送来的数据包。
本实施例是站在源主机角度上来描述多归属多地址空间网络中流量工程控制下的实现数据包安全传送的方法,源主机接收到目的主机发送来的位置重置确认请求信息后,对位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息进行判断,若判断出源主机的位置域标识和局部位置信息已被重置,发送已重置信息给目的主机,以提示目的主机可以向源主机发送数据包,然后源主机接收目的主机根据所述重置后的源主机位置域标识和局部位置信息向源主机发送的数据包。与现有技术相比,本发明实施例提供的多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法可以有效避免第一数据包被黑客劫持后,将第一数据包中携带的位置域标识和局部位置信息修改为其他主机的位置域标识和局部位置信息后发给目的主机,使目的主机将数据包发送给其他主机。如果黑客劫持多个源主机发往其目的主机的第一数据包,并将这些第一数据包中的位置域标识和局部位置信息修改为同一个主机的位置域标识和局部位置信息,就会造成多个目的主机给这个主机发送数据包,造成这个主机的带宽和计算资源被消耗,也就是常说的DDOS攻击。
可选地,在本发明实施例提供的多归属多地址空间网络中实现数据包安全传送的方法中,也可以省略上述实施例中的判断步骤103,直接在确认所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给目的主机即可。
下面结合图2,站在目的主机的角度来描述本发明实施例中的实现数据包安全传送的方法的第二实施例,包括:
201、接收源主机发送的第一数据包。
202、从接收到的所述第一数据包中获取源主机标识和源主机的位置域标识和局部位置信息。
源主机标识是唯一的,源主机的位置域标识和局部位置信息是相对应的,在本实施例中源主机归属于第一位置域和第二位置域,实际上源主机也可以同时归属于两个以上的位置域,源主机的位置域标识和局部位置信息与所归属的位置域是对应的,本实施例中源主机的位置域标识和局部位置信息有两组,分别为:
源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息;和,
源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息。
203、判断从所述第一数据包中获取的源主机的位置域标识和局部位置信息是否与在目的主机上保存的源主机位置域标识和局部位置信息相同,其中,所述在目的主机上保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息;若不相同,则执行步骤204。
具体地,在上述判断步骤203之前,本发明实施例所述的方法还可以包括:根据从接收到的所述第一数据包中获取的所述源主机标识查询目的主机上所保存的源主机标识与源主机位置域标识和局部位置信息的对应关系。
204、发送位置重置确认请求信息给源主机,位置重置确认请求信息携带有所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息。
位置重置确认请求信息用于请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为源主机所拥有的一组位置域标识和局部位置信息,并且,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息。在多归属多地址空间网络中流量工程控制下,由源主机发送给目的主机的第一数据包在经过中间设备时,所述第一数据包很可能被中间设备基于预设的流量工程策略而重置包中携带的某些信息,例如中间设备基于预设的流量工程策略重置所述由源主机发送的第一数据包中所携带的源主机的位置域标识和局部位置信息。在本发明实施例中,若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息;若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息,重置后的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息。
205、接收源主机为响应所述位置重置确认请求信息而发送的源主机位置域标识和局部位置信息已重置的信息。
已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机所有的一组位置域标识和局部位置信息,目的主机可以按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包;源主机的这一组位置域标识和局部位置信息即为重置后的源主机位置域标识和局部位置信息。
206、根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的源主机的位置域标识和局部位置信息。
207、根据所述重置后的源主机的位置域标识和局部位置信息向源主机发送数据包,目的主机发送给源主机的数据包携带重置后的源主机的位置域标识和局部位置信息。
本实施例是站在目的主机角度上来描述多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法,目的主机接收到源主机发送来的第一数据包后,经过判断发现第一数据包中携带的源主机的位置域标识和局部位置信息与前一次通信时所获取的源主机的位置域标识和局部位置信息不相同,主动向源主机发送位置重置确认请求信息,在接收到源主机的位置域标识和局部位置信息已重置的信息并根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的合法可用的源主机位置域标识和局部位置信息后才会根据该重置后的源主机的位置域标识和局部位置信息向源主机发送数据包。与现有技术相比,本发明实施例提供的多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法可以有效避免第一数据包被黑客劫持后,将第一数据包中携带的位置域标识和局部位置信息修改为其他主机的位置域标识和局部位置信息后发给目的主机,使目的主机将数据包发送给其他主机。如果黑客劫持多个源主机发往其目的主机的第一数据包,并将这些第一数据包中的位置域标识和局部位置信息修改为同一个主机的位置域标识和局部位置信息,就会造成多个目的主机给这个主机发送数据包,造成这个主机的带宽和计算资源被消耗,也就是常说的DDOS攻击。
可选地,在本发明实施例提供的多归属多地址空间网络中实现数据包安全传送的方法中,也可以省略上述实施例中的判断步骤203,直接在确认从所述第一数据包中获取的源主机的位置域标识和局部位置信息与在目的主机上保存的源主机位置域标识和局部位置信息不相同时,发送位置重置确认请求信息给源主机。
为便于理解,下面以一具体的应用场景对上述实施例中描述的多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法进行详细描述,具体的:
参阅图3,源主机301通过用户网络302的边缘路由器303双归属到第四版互联网协议地址空间304和第六版互联网协议地址空间305。第四版互联网协议地址空间304通过边界路由器306与第六版互联网协议地址空间308相连,第六版互联网协议地址空间305通过边界路由器307与第六版互联网协议地址空间308相连。目的主机311通过用户网络310归属到第六版互联网协议地址空间308。源主机301在第四版互联网协议地址空间304中的位置域标识和局部位置信息分别是第四版互联网协议地址空间304的位置域标识和源主机301在第四版互联网协议地址空间304中的位置信息,分别用LD ID1和locator1表示;源主机301在第六版互联网协议地址空间305中的位置域标识和局部位置信息分别是第六版互联网协议地址空间305的位置域标识和源主机301在第六版互联网协议地址空间305中的位置信息,分别用LD ID2和locator2表示。源主机标识用host ID表示。目的主机311的位置域标识和局部位置信息分别为第六版互联网协议地址空间308的位置域标识和目的主机311在第六版互联网协议地址空间308的位置信息,分别用LD ID3和locator3表示。
源主机301向目的主机311传送第一数据包的过程如下:
如果前一次源主机301与目的主机311通信,源主机301使用的是LD ID1和locator1,源主机301向目的主机311发送第一数据包,第一数据包携带有host ID,LD ID1,locator1,LD3和locator3。
源主机301通过用户网络302将第一数据包传送到边缘路由器303,边缘路由器303检查第一数据包中携带的host ID,LD ID1和locator1是否符合流量工程,如果此刻第四版互联网协议地址空间304所在的网络线路繁忙,第六版互联网协议地址空间305所在的网络线路空闲,那么第一数据包中所携带的位置域标识和局部位置信息就不符合流量工程,边缘路由器303将源主机301发送给目的主机311的第一数据包携带的源主机的位置域标识和局部位置信息重置,重置后的位置域标识和局部位置信息为LD ID2和locator2,即第一数据包中的位置域标识和局部位置信息重置为LD ID2和locator2后,选择第六版互联网协议地址空间305发送。第一数据包在重置后携带有host ID,LDID2,locator2,LD3和locator3,经过第六版互联网协议地址空间305传送到边界路由器307,边界路由器307根据第一数据包中的目的主机的位置域标识LD3将第一数据包传送给第六版互联网协议地址空间308,边缘路由器309在根据第一数据包中携带的目的主机的位置信息locator3查找到目的主机311的位置,将第一数据包发送给目的主机311。
目的主机311接收到第一数据包后,根据第一数据包中携带的host ID,查找到前一次与源主机301通信所保存的host ID与LD ID1和locator1的对应关系,判断第一数据包中所携带的LD ID2和locator2与前一次通信所保存的LD ID1和locator1是否相同。判断后发现不相同,目的主机311发送位置重置确认请求信息给源主机301,位置重置确认请求信息中携带有LD ID2和locator2。
源主机301接收到目的主机311发送的位置重置确认请求信息后,将位置重置确认请求信息中携带有LD ID2和locator2与源主机301所有的两组位置域标识和局部位置信息相比较,即与LD ID1和locator1,LD ID2和locator2比较,并进行判断,发现位置重置确认请求信息中携带的LD ID2和locator2是源主机301的一组位置域标识和局部位置信息,并且不是发送第一数据包时携带的LD ID1和locator1,作出位置域标识和局部位置信息已重置的判断,发送位置域标识和局部位置信息已重置的信息给目的主机311。
目的主机311接收到源主机301发送来的位置域标识和局部位置信息已重置的信息后才会使用LD ID2和locator2向源主机301发送数据包。
源主机301接收到目的主机311发送的数据包后,发送数据包给目的主机311。
源主机发送的第一数据包中携带的位置域标识和局部位置信息在流量工程的控制下被边缘路由器重置后传送到目的主机,目的主机会主动向源主机发送位置重置确认请求信息,在收到源主机发送的位置域标识和局部位置信息已重置的信息后才会向源主机发送数据包。与现有技术相比,本发明实施例提供的多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法可以有效避免第一数据包被黑客劫持后,将第一数据包中携带的位置域标识和局部位置信息修改为其他主机的位置域标识和局部位置信息后发给目的主机,使目的主机将第一数据包发送给其他主机。如果黑客劫持多个源主机发往其目的主机的第一数据包,并将这些第一数据包中的位置域标识和局部位置信息修改为同一个主机的位置域标识和局部位置信息,就会造成多个目的主机给这个主机发送数据包,造成这个主机的带宽和计算资源被消耗,也就是常说的DDOS攻击。
下面介绍本发明实施例中的源主机和目的主机实施例,参阅图4,本发明实施例中的源主机40包括:
发送单元401,用于发送第一数据包给目的主机,所述源主机至少归属于第一位置域和第二位置域,所述第一数据包携带有源主机标识和源主机的一组位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
接收单元402,用于接收所述目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与所述目的主机本地所保存的源主机位置域标识和局部位置信息不相同时返回的位置重置确认请求信息,所述位置重置确认请求信息携带有所述目的主机从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;所述位置重置确认请求信息用于在目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与本地所保存的源主机位置域标识和局部位置信息不相同时,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为源主机所拥有的位置域标识和局部位置信息,并且,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息;其中所述本地所保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息;
判断单元403,用于判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为源主机对应的一组位置域标识和局部位置信息,并且,判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息;
所述发送单元401,进一步用于在所述判断单元判断出所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给所述目的主机,所述已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息,目的主机可以按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包;源主机的这一组位置域标识和局部位置信息即为重置后的源主机位置域标识和局部位置信息;
所述接收单元402,进一步用于接收目的主机根据所述重置后的源主机位置域标识和局部位置信息向源主机发送来的数据包。
在本实施例中源主机的位置域标识和局部位置信息至少有两组,分别为:
源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息;和,
源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息。
此外,在本实施例中,所述第一数据包发送时,携带于所述第一数据包中的源主机的位置域标识和局部位置信息可以是源主机前一次与目的主机通信时所使用的一组位置域标识和局部位置信息。
所述位置重置确认请求信息用于在目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与本地所保存的源主机位置域标识和局部位置信息不相同时,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为源主机所拥有的位置域标识和局部位置信息,并且,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息;其中所述本地所保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息。在多归属多地址空间网络中流量工程控制下,由源主机发送给目的主机的第一数据包在经过中间设备时,所述第一数据包很可能被中间设备基于预设的流量工程策略而重置包中携带的某些信息,例如中间设备基于预设的流量工程策略重置所述由源主机发送的第一数据包中所携带的源主机的位置域标识和局部位置信息。在本发明实施例中,若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息;若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息,重置后的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息。
可选地,本发明实施例所提供的源主机中也可以省略判断单元403;同时,所述发送单元401,进一步用于在确认所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给所述目的主机。
本实施例中的目的主机50包括:
接收单元501,用于接收源主机发送的第一数据包,所述源主机至少归属于第一位置域和第二位置域;
获取单元502,用于从接收到的所述第一数据包中获取源主机标识,源主机的位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
判断单元503,用于判断从所述第一数据包中获取的源主机的位置域标识和局部位置信息是否与在目的主机上保存的源主机位置域标识和局部位置信息相同,其中,所述在目的主机上保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息;
发送单元504,用于在判断单元判断出从所述第一数据包中获取的源主机的位置域标识和局部位置信息与在目的主机上保存的源主机位置域标识和局部位置信息不相同时发送位置重置确认请求信息给源主机,位置重置确认请求信息携带有所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;所述位置重置确认请求信息用于请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为源主机所拥有的一组位置域标识和局部位置信息,并且,请求源主机确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息;
所述接收单元501,进一步用于接收源主机为响应所述位置重置确认请求信息而发送的源主机位置域标识和局部位置信息已重置的信息;所述已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机所有的一组位置域标识和局部位置信息,目的主机可以按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包;源主机的这一组位置域标识和局部位置信息即为重置后的源主机位置域标识和局部位置信息。
确认单元505,用于根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的源主机的位置域标识和局部位置信息;
所述发送单元504,进一步用于根据所述重置后的源主机的位置域标识和局部位置信息向源主机发送数据包,目的主机发送给源主机的数据包携带重置后的源主机的位置域标识和局部位置信息。
本发明实施例的目的主机50还包括:
查询单元506,用于根据从接收到的所述第一数据包中获取的所述源主机标识查询目的主机上所保存的源主机标识与源主机位置域标识和局部位置信息的对应关系。
可选地,本发明实施例所提供的源主机中也可以省略判断单元503;同时,所述发送单元504,进一步用于在确认从所述第一数据包中获取的源主机的位置域标识和局部位置信息与在目的主机上保存的源主机位置域标识和局部位置信息不相同时发送所述位置重置确认请求信息给源主机。
本实施例中的源主机40和目的主机50,在发送单元401发送第一数据包给目的主机50的接收单元501,获取单元502从接收到的所述第一数据包中获取源主机标识,源主机的位置域标识和局部位置信息后,判断单元503判断第一数据包携带的源主机的位置域标识和局部位置信息与前一次通信所保存的源主机的位置域标识和局部位置信息是否相同,若不相同,发送单元504发出位置重置确认请求信息,源主机40的接收单元402接收到位置重置确认请求信息后,判断单元403对位置重置确认请求信息携带的源主机的位置域标识和局部位置信息进行判断,如判断出位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是源主机40所有的位置域标识和局部位置信息,但不是源主机发送第一数据包时携带的位置域标识和局部位置信息,发送单元401发出源主机的位置域标识和局部位置信息已重置的信息给目的主机50,目的主机50的接收单元501接收到已重置的信息后,确认单元505根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的源主机的位置域标识和局部位置信息后,发送单元503发出数据包,目的主机50发送给源主机40的数据包携带有重置后的源主机的位置域标识和局部位置信息,源主机40接收的接收单元402接收到目的主机50发送的数据包后,源主机40的发送单元401发送数据包给目的主机50。本发明实施例提供的源主机40和目的主机50可以有效避免DDOS攻击。
以上对本发明所提供的多归属多地址空间网络中流量工程控制下实现数据包安全传送的方法以及源主机和目的主机分别进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,因此,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.多归属多地址空间网络中实现数据包安全传送的方法,其特征在于,包括:
源主机发送第一数据包给目的主机,所述源主机至少归属于第一位置域和第二位置域,所述第一数据包携带有源主机标识和源主机的一组位置域标识和局部位置信息;所述源主机的位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
接收所述目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与所述目的主机本地所保存的源主机位置域标识和局部位置信息不相同时返回的位置重置确认请求信息,所述位置重置确认请求信息携带有所述目的主机从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;所述本地所保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息;
当确认所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给所述目的主机,所述已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机所有的一组位置域标识和局部位置信息,目的主机按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包,源主机的这一组位置域标识和局部位置信息为重置后的源主机位置域标识和局部位置信息;
接收目的主机根据所述重置后的源主机位置域标识和局部位置信息向源主机发送来的数据包。
2.根据权利要求1所述的方法,其特征在于,所述源主机的位置域标识和局部位置信息包括:与源主机所归属的所述第一位置域对应的位置域标识和所述源主机在所述第一位置域中的位置信息,以及与源主机所归属的所述第二位置域对应的位置域标识和所述源主机在所述第二位置域中的位置信息;
若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息;若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息。
3.根据权利要求1所述的方法,其特征在于,
所述第一数据包发送时,携带于所述第一数据包中的源主机的位置域标识和局部位置信息为源主机前一次与目的主机通信时所使用的一组位置域标识和局部位置信息。
4.根据权利要求1所述的方法,其特征在于,在所述发送源主机位置域标识和局部位置信息已重置的信息给所述目的主机的步骤之前,该方法还包括:
判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为源主机对应的一组位置域标识和局部位置信息,并且,判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息。
5.多归属多地址空间网络中实现数据包安全传送的方法,其特征在于,包括:
目的主机接收源主机发送的第一数据包,所述源主机至少归属于第一位置域和第二位置域;
从接收到的所述第一数据包中获取源主机标识,源主机的位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
当确认从所述第一数据包中获取的源主机的位置域标识和局部位置信息与在目的主机上保存的源主机位置域标识和局部位置信息不相同时,发送位置重置确认请求信息给源主机,位置重置确认请求信息携带有所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;
接收源主机为响应所述位置重置确认请求信息而发送的源主机位置域标识和局部位置信息已重置的信息;
根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的源主机的位置域标识和局部位置信息;
根据所述重置后的源主机的位置域标识和局部位置信息向源主机发送数据包,目的主机发送给源主机的数据包携带重置后的源主机的位置域标识和局部位置信息。
6.根据权利要求5所述的方法,其特征在于,在所述发送位置重置确认请求信息给源主机的步骤之前,所述方法还包括:判断从所述第一数据包中获取的源主机的位置域标识和局部位置信息是否与在目的主机上保存的源主机位置域标识和局部位置信息相同,其中,所述在目的主机上保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:根据从接收到的所述第一数据包中获取的所述源主机标识查询目的主机上所保存的源主机标识与源主机位置域标识和局部位置信息的对应关系。
8.根据权利要求5所述的方法,其特征在于,所述源主机的位置域标识和局部位置信息包括:与源主机所归属的所述第一位置域对应的位置域标识和所述源主机在所述第一位置域中的位置信息;以及与源主机所归属的所述第二位置域对应的位置域标识和所述源主机在所述第二位置域中的位置信息;
若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息;若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息。
9.一种源主机,其特征在于,包括:
发送单元,用于发送第一数据包给目的主机,所述源主机至少归属于第一位置域和第二位置域,所述第一数据包携带有源主机标识和源主机的一组位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
接收单元,用于接收所述目的主机发现从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息与所述目的主机本地所保存的源主机位置域标识和局部位置信息不相同时返回的位置重置确认请求信息,所述位置重置确认请求信息携带有所述目的主机从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;所述本地所保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息;
所述发送单元,进一步用于当确认所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机对应的一组位置域标识和局部位置信息时,发送源主机位置域标识和局部位置信息已重置的信息给所述目的主机,所述已重置的信息用于指示所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息不是所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息,但仍是源主机所有的一组位置域标识和局部位置信息,目的主机按照源主机的这一组位置域标识和局部位置信息向源主机发送数据包,源主机的这一组位置域标识和局部位置信息为重置后的源主机位置域标识和局部位置信息;
所述接收单元,进一步用于接收目的主机根据所述重置后的源主机位置域标识和局部位置信息向源主机发送来的数据包。
10.根据权利要求9所述的源主机,其特征在于,还包括:判断单元,用于判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为源主机对应的一组位置域标识和局部位置信息,并且,判断所述接收到的位置重置确认请求信息中携带的源主机的位置域标识和局部位置信息是否为所述第一数据包在发送时所携带的源主机的位置域标识和局部位置信息。
11.根据权利要求9所述的源主机,其特征在于,所述源主机的位置域标识和局部位置信息包括:与源主机所归属的所述第一位置域对应的位置域标识和所述源主机在所述第一位置域中的位置信息;以及与源主机所归属的所述第二位置域对应的位置域标识和所述源主机在所述第二位置域中的位置信息;
若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息;若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息。
12.根据权利要求9所述的源主机,其特征在于,所述第一数据包发送时,携带于所述第一数据包中的源主机的位置域标识和局部位置信息为源主机前一次与目的主机通信时所使用的一组位置域标识和局部位置信息。
13.一种目的主机,其特征在于,包括:
接收单元,用于接收源主机发送的第一数据包,所述源主机至少归属于第一位置域和第二位置域;
获取单元,用于从接收到的所述第一数据包中获取源主机标识,源主机的位置域标识和局部位置信息;所述位置域标识和局部位置信息与源主机所归属的位置域中的一个位置域相对应;
发送单元,用于在确认从所述第一数据包中获取的源主机的位置域标识和局部位置信息与在目的主机上保存的源主机位置域标识和局部位置信息不相同时发送位置重置确认请求信息给源主机,位置重置确认请求信息携带有所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息;
所述接收单元,进一步用于接收源主机为响应所述位置重置确认请求信息而发送的源主机位置域标识和局部位置信息已重置的信息;
确认单元,用于根据所述已重置的信息确认所述从接收到的第一数据包中获取的源主机的位置域标识和局部位置信息为重置后的源主机的位置域标识和局部位置信息;
所述发送单元,进一步用于根据所述重置后的源主机的位置域标识和局部位置信息向源主机发送数据包,目的主机发送给源主机的数据包携带重置后的源主机的位置域标识和局部位置信息。
14.根据权利要求13所述的目的主机,其特征在于,还包括:判断单元,用于判断从所述第一数据包中获取的源主机的位置域标识和局部位置信息是否与在目的主机上保存的源主机位置域标识和局部位置信息相同,其中,所述在目的主机上保存的源主机位置域标识和局部位置信息为目的主机在前一次与源主机通信时所获取的源主机的位置域标识和局部位置信息。
15.根据权利要求13或14所述的目的主机,其特征在于,还包括:
查询单元,用于根据从接收到的所述第一数据包中获取的所述源主机标识查询目的主机上所保存的源主机标识与源主机位置域标识和局部位置信息的对应关系。
16.根据权利要求13所述的目的主机,其特征在于,
所述源主机的位置域标识和局部位置信息包括:与源主机所归属的所述第一位置域对应的位置域标识和所述源主机在所述第一位置域中的位置信息;以及与源主机所归属的所述第二位置域对应的位置域标识和所述源主机在所述第二位置域中的位置信息;
若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息;若源主机发送第一数据包时携带的源主机的位置域标识和局部位置信息是第二位置域的标识和源主机在第二位置域中的位置信息,则重置后的源主机的位置域标识和局部位置信息是第一位置域的标识和源主机在第一位置域中的位置信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/073638 WO2011120454A2 (zh) | 2011-05-04 | 2011-05-04 | 多归属多地址空间网络中实现数据包安全传送的方法及主机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102204221A CN102204221A (zh) | 2011-09-28 |
| CN102204221B true CN102204221B (zh) | 2013-04-24 |
Family
ID=44662823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180000592.1A Active CN102204221B (zh) | 2011-05-04 | 2011-05-04 | 多归属多地址空间网络中实现数据包安全传送的方法及主机 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102204221B (zh) |
| WO (1) | WO2011120454A2 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9953529B2 (en) * | 2015-07-20 | 2018-04-24 | GM Global Technology Operations LLC | Direct vehicle to vehicle communications |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101185570B1 (ko) * | 2006-03-04 | 2012-09-24 | 삼성전자주식회사 | 이동망 환경에서의 다중 인터페이스를 이용한 자원예약방법 |
| CN101552714B (zh) * | 2008-03-31 | 2012-02-22 | 华为技术有限公司 | 一种多归属多地址空间网络中实现流量工程的方法和设备 |
| CN101753419B (zh) * | 2008-12-08 | 2012-08-15 | 华为技术有限公司 | 发送数据、转发数据的方法、设备和多地址空间移动网络 |
| CN101547428B (zh) * | 2009-04-27 | 2010-09-22 | 华为技术有限公司 | 业务处理方法和业务处理装置 |
-
2011
- 2011-05-04 CN CN201180000592.1A patent/CN102204221B/zh active Active
- 2011-05-04 WO PCT/CN2011/073638 patent/WO2011120454A2/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011120454A2 (zh) | 2011-10-06 |
| CN102204221A (zh) | 2011-09-28 |
| WO2011120454A3 (zh) | 2012-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2495927B1 (en) | Concept for providing information on a data packet association and for forwarding a data packet | |
| CN102571587B (zh) | 报文转发方法和设备 | |
| CN101394360B (zh) | 地址解析协议报文的处理方法、接入设备和通信系统 | |
| EP2534792B1 (en) | Methods, systems, and computer readable media for inter-diameter-message processor routing | |
| US11153207B2 (en) | Data link layer-based communication method, device, and system | |
| NZ553712A (en) | Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain | |
| CN101257447A (zh) | 一种负载分担的方法、系统及路由装置 | |
| WO2008020732A1 (en) | Methods for supporting ipv6 using bridge extension in wireless communication system | |
| JP2019515555A (ja) | 識別情報指向型ネットワークの匿名識別情報及びプロトコル | |
| CN102185766A (zh) | Dhcp服务器回应报文的单播转发方法及中转设备 | |
| CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
| CN102546407A (zh) | 报文发送方法及装置 | |
| CN105187311A (zh) | 一种报文转发方法及装置 | |
| CN104184646A (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| CN103095584A (zh) | 一种报文处理方法及交换设备 | |
| CN105227334B (zh) | 一种Fabric网络拓扑发现方法和装置 | |
| CN102571592B (zh) | 具有端口绑定功能的三层交换设备和数据报文转发方法 | |
| CN102204221B (zh) | 多归属多地址空间网络中实现数据包安全传送的方法及主机 | |
| CN102065013B (zh) | 基于身份与位置分离的位置信息优化选择的系统 | |
| US9025606B2 (en) | Method and network node for use in link level communication in a data communications network | |
| CN101572729B (zh) | 一种虚拟专用网节点信息的处理方法及相关设备、系统 | |
| KR20180007898A (ko) | 가상 사설 클라우드망에서 테넌트 내 그룹 분리 방법 | |
| CN101383758B (zh) | 多地址空间移动网络架构、路由器及数据发送方法 | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| CN102638390A (zh) | 基于dhcp snooping的三层交换装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |