CN102487386A - 身份位置分离网络的阻断方法和系统 - Google Patents

Abstract

本发明涉及一种身份位置分离网络下的阻断方法和系统，该方法包括：终端发送非法信息时，监管中心根据所述终端发送的非法信息中携带的终端身份标识，获得终端位置标识；所述监管中心向所述终端位置标识对应的边缘路由器下达禁用所述终端身份标识的命令；所述边缘路由器根据所述命令，阻断流量。本发明身份位置分离网络下的阻断方法和系统，可以实现了非法信息的实时、彻底的阻断。

Description

身份位置分离网络的阻断方法和系统

技术领域

本发明涉及数据通信领域，尤其涉及一种身份位置分离网络的阻断方法和系统。

背景技术

关于下一代信息网络架构的研究是当前最热门的课题之一，目前大多数研究接受的观点是：未来网络将以互联网为统一承载网络。互联网从其诞生以来一直保持高速发展，已成为当前最成功、最具生命力的通信网络，其灵活可扩展性、高效的分组交换、终端强大的功能等特点非常符合新一代网络的设计需要，互联网将是新一代网络设计的主要参考蓝本。

然而，互联网的结构还远远没有达到最优，存在很多重大的设计问题，其中比较典型的是IP地址的双重属性的问题，即IP地址既代表用户身份，又代表用户所处的网络拓扑，即IP地址的双重属性。互联网发明于二十世纪七十年代，人们难以预计今天世界上将存在大量的移动终端和多家乡终端，因此，当时的互联网协议栈主要是针对以“固定”方式连接的终端而设计。在当时的网络环境下，由于终端基本上不会从一个位置移动到其它位置，发送的地址就是接收的地址，路经是可逆的，所以具有身份和位置双重属性的IP地址能够非常好的工作，IP地址的身份属性与位置属性之间没有产生任何冲突。IP地址同时代表身份和位置恰恰满足了当时的网络需求。从当时的网络环境来看，这种设计方案简单有效，简化了协议栈的层次结构。

但毋庸置疑的是，IP地址的身份属性与位置属性之间存在着内部矛盾；IP地址的身份属性要求任意两个IP地址都是平等的，虽然IP地址可以按照组织机构进行分配，但是连续编码的IP地址之间没有必然的关系；IP地址的位置属性则要求IP地址基于网络拓扑(而不是组织机构)进行分配，处于同一个子网内的IP地址都应该处于一个连续的IP地址块中，这样才可以使网络拓扑中的IP地址前缀聚合，从而减少路由器设备的路由表的条目，保证路由系统的可扩展性。

总的来说，IP地址双重属性的内在矛盾将导致如下主要问题：

1.路由可扩展问题。关于互联网路由系统的可扩展性存在一个基本的假定：

“地址按照拓扑进行分配，或者拓扑按照地址进行部署，二者必选其一”。IP地址的身份属性要求IP地址基于终端所属的组织机构(而不是网络拓扑)进行分配，而且这种分配要保持一定的稳定性，不能经常改变；而IP地址的位置属性要求IP地址基于网络拓扑进行分配，以便保证路由系统的可扩展性。这样，IP地址的两种属性就产生了冲突，最终引发了互联网路由系统的可扩展问题。

2.移动性问题。IP地址的身份属性要求IP地址不应该随着终端位置的改变而变化，这样才能够保证绑定在身份上的通信不中断，也能够保证终端在移动后，其它终端仍能够使用它的身份与之建立通信联系；而IP地址的位置属性则要求IP地址随着终端位置的改变而改变，以便IP地址能够在新的网络拓扑中聚合，否则网络就必须为移动后的终端保留单独的路由信息，从而造成路由表条目的急剧增长。

3.多家乡问题。多家乡通常指终端或网络同时通过多个(Internet ServicesProvider，国际互联网络服务提供者)的网络接入到互联网，多家乡技术的优点包括增加网络的可靠性、支持多个ISP之间的流量负载均衡和提高总体可用带宽等。但是，IP地址双重属性的内在矛盾使得多家乡技术难以实现。IP地址的身份属性要求一个多家乡终端始终对其它终端展现不变的身份，无论该多家乡终端是通过几个ISP接入到互联网；而IP地址的位置属性则要求一个多家乡终端在不同的ISP网络中使用不同的IP地址通信，这样才能保证终端的IP地址能够在ISP网络的拓扑中聚合。

4.安全和位置隐私问题。由于IP地址同时包含终端的身份信息和位置信息，所以通信对端和恶意窃听者都可以根据一个终端的IP地址同时获得该终端的身份信息和拓扑位置信息。

总的来说，自从传统互联网的体系结构建立以来，互联网的技术环境和用户群体都已经发生了翻天覆地的变化，互联网需要随之进行革新。IP地址的双重属性问题是困扰互联网继续发展的根本原因之一，将IP地址的身份属性和位置属性进行分离，是解决互联网所面临问题的一个很好的思路。新网络将基于这种思路进行设计，提出一种身份信息与位置信息分离映射的网络结构，以解决现有互联网存在的一些严重弊端。

为了解决身份和位置的问题，业界进行了大量的研究和探索，所有身份与位置分离方案的基本思想都是将原本绑定在IP地址上的身份与位置双重属性分离。其中，有些方案采用应用层的URL(统一资源定位符UniformResource Locator，URL是用于完整地描述Internet上网页和其他资源的地址的一种标识方法)或FQDN(Fully Qualified Domain Name，合格域名)作为终端的身份标识；有些方案引入了新的名字空间作为身份标识，如HIP(HostIdentity Protocol，主机身份协议)，在以IP地址为标识网络层上增加主机标识；有些方案将IP地址进行分类，部分IP作为身份标识，部分IP作为位置标识，如LISP(Locator/ID Separation Protocol，位置/标识分离协议)等；北方交通大学张宏科的专利CN200610001825也提出一种解决方案，使用IP地址作为主机的位置标识，引入端主机标识作为身份标识，解决身份和位置分离的问题。

上述方案都从问题的一些局部提出在现有的网络架构下实现身份与位置分离解决方案，身份与位置分离是未来数据通信网络的核心技术，特别是移动数据通信网络。

现有身份位置分离技术中，必须建立身份标识和位置标识之间的映射关系，供网络设备寻址时使用。这个映射关系保持在映射服务器中，边缘路由器接收从终端发来的数据包，如果数据包的目的身份标识是未知的，需要去查询映射服务器的身份位置映射表，根据目的身份标识查到目的位置标识，将数据包封装后发生到相应网络。

现有Internet网上有大量的非法信息来源，如垃圾邮件、病毒攻击源、法轮功网站等，出于网络安全的考虑，国家信息监管部门或者某些个人，有时需要对非法信息进行阻断。但是，这个阻断过程非常麻烦，步骤很多：

第一，要从数据包中取得非法信息源的IP地址；第二，要根据非法信息源的IP地址网段划分规则，找到分配这个IP地址的RAS接入服务器；第三，要根据RAS地址分配的物理信息，找到非法信息源所在的物理线路或二层交换机，然后将物理线路或二层交换机阻断。而且，此类阻断通常是一次性行为，就是说非法信息源更换IP地址后又发出非法信息，还需要网络安全部门重新进行阻断，因此，现网上国家安全部门事实上放弃了对非法信息源的阻断操作，而是采取内容过滤的方式，例如对“法轮功”等关键词进行过滤。

目前，在现有的身份与位置分离网络架构下，不能实现对非法信息的实时、彻底的阻断。

发明内容

本发明要解决的技术问题是提供一种身份位置分离网络下的阻断方法和系统，实现了非法信息的实时、彻底的阻断。

为解决以上技术问题，本发明提供了一种身份位置分离网络的阻断方法，该方法包括：

终端发送非法信息时，监管中心根据所述终端发送的非法信息中携带的终端身份标识，获得终端位置标识；

所述监管中心向所述终端位置标识对应的边缘路由器下达禁用所述终端身份标识的命令；

所述边缘路由器根据所述命令，阻断流量。

进一步地，所述监管中心根据所述终端发送的非法信息中携带了终端身份标识，获得的终端位置标识的途径包括：

所述终端发送非法信息时，所述监管中心根据非法信息源数据包中的所述终端身份标识，查询映射服务器中的所述终端身份标识与位置标识的映射关系，获得所述终端位置标识。

如权利要求1所述的方法，其特征在于：所述监管中心根据所述终端发送的非法信息中携带了终端身份标识，获得的终端位置标识的途径包括：所述监管中心预先与所述映射服务器交互，获得并存储所述终端身份标识与位置标识的映射关系；所述终端发送非法信息时，所述监管中心根据自身存储的所述映射关系，获得所述终端位置标识。

进一步地，终端非法登录时，所述监管中心根据所述终端身份标识，向认证中心下达禁用所述终端身份标识命令，所述终端不能实现登录。

进一步地，终端发送非法信息时，所述监管中心根据所述非法信息中携带的所述终端身份标识，向所述映射服务器下达禁用所述终端身份标识命令。

为解决以上技术问题，本发明还提供了一种身份位置分离网络的阻断系统，该系统包括终端、监管中心、边缘路由器：

所述终端，用于发送非法信息；

所述监管中心，根据所述终端发送的非法信息中携带了终端身份标识，获得的终端位置标识，向所述终端位置标识对应的边缘路由器下达禁用所述终端身份标识的命令；

所述边缘路由器，根据所述监管中心下达禁用所述终端身份标识的命令，阻断流量。

进一步地，所述监管中心，用于根据终端发送的非法信息源数据包中的所述终端身份标识，查询映射服务器中的所述终端身份标识与位置标识的映射关系，获得所述终端位置标识。

进一步地，所述监管中心，还用于预先与所述映射服务器交互，获得并存储所述终端身份标识与位置标识的映射关系；所述终端发送非法的信息时，所述监管中心根据自身存储的所述映射关系，获得所述终端位置标识。

为解决以上技术问题，本发明还提供了另一种身份位置分离网络的阻断系统，该系统包括：终端、监管中心、认证中心：

终端非法登录时，所述监管中心根据所述终端身份标识，向所述认证中心下达禁用所述终端身份标识命令；

所述认证中心，根据所述监管中心下达的禁用所述终端身份标识命令，禁止所述终端登录。

为解决以上技术问题，本发明还提供了一种身份位置分离网络的阻断系统，该系统包括：终端、监管中心、映射服务器：

终端发送非法信息时，所述监管中心根据所述非法信息中携带的所述终端身份标识，向所述映射服务器下达禁用所述终端身份标识命令；

所述映射服务器，根据所述监管中心下达的禁用所述终端身份标识命令阻断流量。

本发明方法和系统，监管中心一旦发现非法信息来源，可以实时地、从源头上、从全网范围内阻断非法信息的传播。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例1的应用的基于身份位置分离架构的网络拓扑示意图；

图2是本发明实施例2的监管中心发起阻断流程图；

图3是本发明实施例3的监管中心发起阻断流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，以下结合附图对本发明进行进一步详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

图1是本发明实施例1的应用的基于身份位置分离架构的网络拓扑示意图，详细说明如下：

将网络划分为接入层和骨干层，为网络中的每个用户分配唯一的主机接入标识AID，该主机接入标识AID在移动过程中始终保持不变；网络中有两种标识类型：主机接入标识AID和路由标识RID，其中，主机接入标识AID只能在接入层使用，路由标识RID只能在骨干层使用。

在该框架下，网络划分为接入网和骨干网，接入网位于骨干网的边缘，负责所有终端的接入；骨干网负责通过不同接入网接入的终端的路由。接入服务节点ASN位于骨干网和接入网的分界点，与接入网接口，与骨干网接口。接入网与骨干网在拓扑关系上没有重叠。用户终端间进行通信只需使用对端的主机接入标识进行。接入服务节点为终端提供接入服务，维护用户连接，转发用户数据。

本架构骨干网组网时分为两个平面：映射转发平面，广义转发平面。

广义转发平面主要功能是根据数据报文中的路由标识RID进行选路和转发数据报文；映射转发平面主要功能是保存移动节点身份位置的映射信息，处理移动节点的登记注册流程，处理通信对端的位置查询流程，路由并转发以接入标识AID为目的地址的数据报文。

本架构的主要网元和功能实体包括：

ASN：Access Service Node，接入服务节点。ASN维护终端与网络的连接关系，为终端分配RID，处理切换流程，处理登记注册流程，处理计费/鉴权流程，维护/查询通讯对端的AID-RID映射关系。

ASN封装、路由并转发送达终端或终端发出的数据报文。

ASN收到终端MN发来的数据报文时，根据数据报文中目的地址通信对端CN的AIDc查询本地缓存中的AID-RID映射表：查到对应的AIDc-RIDc映射条目，将RIDc作为目的地址封装在报文头部，将MN源地址AIDm对应的RIDm作为源地址封装在报文头部，并转发到广义转发平面；如果没有查到对应的AIDc-RIDc映射条目，将数据报文做隧道封装后转发到映射转发平面，并向映射转发平面发出查询AIDc-RIDc映射关系的流程。

ASN收到网络发往终端的数据报文时，对数据报文进行解封装处理，剥去数据报文头部的RID封装，保留AID作为数据报文头部发往终端。

CR：Common Router，通用路由器。路由并转发以RID格式为源地址/目的地址的数据报文，该通用路由器的功能作用与现有技术中的路由器没有区别。

ILR/PTF：Identity Location Register/Packet Transfer Function，ILR是身份位置寄存器，维护/保存本架构网络中用户的AID-RID映射关系。实现登记注册功能，处理通信对端的位置查询流程；PTF是分组转发功能。映射转发平面在收到ASN送达的数据报文后，由PTF根据目的AID在映射转发平面内路由并转发。映射转发平面内PTF节点在查到目的AID-RID的映射关系后，在数据报文头部封装对应的RID信息并转发到广义转发平面，由广义转发平面路由并转发到通信对端。

认证中心：认证中心负责记录本架构网络的用户属性，包括用户类别、鉴权信息、用户服务等级等信息，产生用于鉴权、完整性保护和加密的用户安全信息，在用户接入时进行接入控制和授权，认证中心支持终端与网络间的双向鉴权。

在基于身份位置分离架构中，有效合法存续期间的终端用户的接入标识AID始终保持不变。路由标识RID标示当前终端所在的ASN位置。根据业务需要，ASN可以为一个终端分配专用的一个或多个RID并注册登记到映射转发平面；ASN也可为多个终端分配相同的RID。终端用户接入网络时，通过认证中心鉴权保证身份标识的真实性，身份位置寄存器保存了各个节点的AID-RID映射关系。接入网部分区别不同节点采用接入标识AID，广义交换平面采用RID路由数据报文，建立端到端的通信过程都需要用接入标识AID查找对应的用户路由标识RID。端到端通信过程中，需要将本端的接入识别AID作为源端地址在数据报文中携带到通信对端。通信对端能够从数据报文携带的源端地址获得源端身份。

网络通过对用户身份的鉴权以网络信用保证了用户身份的真实可靠，在网络中构建了一个信任域。网络对用户身份的鉴权方法根据不同的网络体制采用不同的方法，可以是对用户接入标识AID直接鉴权；也可以是对网络中标识用户的其他类型的用户识别(例如国际移动用户识别IMSI、网络用户识别NAI等)进行鉴权，网络设备将保存该用户识别与AID之间的对应关系。

现有接入网RAN部分能够保证二层连接安全性，保证终端用户接入网络时数据报文不被篡改。例如：CDMA(code division multiple access，码分多址)无线接入，采用码分多址方式；ADSL(Asymmetric Digital Subscriber Line，非同步数字用户专线)采用专线隔离方式，GSM(global system for mobilecommunications，全球通)采用频分多址方式；所有的终端用户都是通过鉴权认证的网络有效合法用户。

终端用户在接入网络时，将建立终端用户与网络的接入管理设备ASN间的点到点连接关系。ASN将终端用户的AID绑定在终端与ASN间的端到端用户连接上，如果从该用户连接上发出报文的源地址与该用户的AID不匹配，ASN将丢弃数据报文，这样，基于身份位置分离架构将能够保证终端用户的AID不被仿冒和更改。

ASN，以及从源端ASN到目的端ASN之间的通信设备ILR/PTF，CR，认证中心等，由网络运营和管理方提供，由网络信用保证数据报文传输的安全性，保证数据报文真实可靠。

监管中心，用于终端发送非法信息时，根据所述终端发送的非法信息中携带的终端身份标识，获得终端位置标识；向所述终端位置标识对应的边缘路由器下达禁用所述终端身份标识的命令。

监管中心获得终端位置标识途径有以下两种：

第一种：终端发送非法信息时，监管中心根据非法信息源数据包中的终端身份标识，查询映射服务器中的终端身份标识与位置标识的映射关系，获得终端位置标识。

第二种：监管中心预先与映射服务器交互，获得并存储终端身份标识与位置标识的映射关系；终端发送非法的信息时，监管中心根据自身存储的映射关系，获得终端位置标识。

监管中心，还用于终端非法登录时，监管中心根据终端身份标识，向认证中心下达禁用终端身份标识命令，终端不能实现登录。

终端发送非法信息时，监管中心根据非法信息中携带的所述终端身份标识，向映射服务器下达禁用终端身份标识命令。

图2是本发明实施例2的监管中心发起阻断流程图，详细介绍如下：

终端/用户非法登录时，监管中心根据终端身份标识，向认证中心下达禁用终端身份标识命令，终端不能实现登录。

步骤201，监管中心监管到用户非法登录，监管中心根据该用户的身份标识AIDx，向认证中心下达将该AIDx禁用的命令，用户不能实现登录；

步骤202，认证中心阻断该用户登录。

图3是本发明实施例3的监管中心发起阻断流程图，详细介绍如下：

步骤301，终端发送非法信息时，监管中心根据终端发送的非法信息中携带的终端身份标识，获得终端位置标识；

监管中心根据终端发送的非法信息中携带的终端身份标识，获得终端位置标识的途径有两种：

第一种：终端发送非法信息时，监管中心根据非法信息源数据包中的终端身份标识，查询映射服务器中的终端身份标识与位置标识的映射关系，获得终端位置标识。

第二种，监管中心预先与映射服务器交互，获得并存储终端身份标识与位置标识的映射关系；终端发送非法的信息时，监管中心根据自身存储的所述映射关系，获得终端位置标识。

步骤302，监管中心向终端位置标识对应的边缘路由器下达禁用终端身份标识的命令；

步骤303，边缘路由器根据所述命令，阻断流量。

对由映射服务器实现流量转发的系统而言，以上步骤302和303中的边缘路由器也可以替换为映射服务器，即监管中心向映射服务器下达禁用终端身份标识的命令，映射服务器根据所述命令，阻断流量。

本发明实施例提供的系统技术方案，包括：终端、监管中心、边缘路由器：

终端，用于发送非法信息；

监管中心，根据终端发送的非法信息中携带了终端身份标识，获得的终端位置标识，向终端位置标识对应的边缘路由器下达禁用终端身份标识的命令；

边缘路由器，根据监管中心下达禁用终端身份标识的命令，阻断流量。

监管中心，还用于根据终端发送的非法信息源数据包中的终端身份标识，查询映射服务器中的终端身份标识与位置标识的映射关系，获得终端位置标识。

监管中心，还用于预先与映射服务器交互，获得并存储终端身份标识与位置标识的映射关系；终端发送非法的信息时，监管中心根据自身存储的所述映射关系，获得终端位置标识。

本发明实施例提供的系统技术方案，包括：终端、监管中心、认证中心：

终端非法登录时，监管中心根据所述终端身份标识，向认证中心下达禁用终端身份标识命令；

所述认证中心，根据所述监管中心下达的禁用所述终端身份标识命令，禁止所述终端登录。

本发明实施例提供的系统技术方案，包括：终端、监管中心、映射服务器：

终端发送非法信息时，监管中心根据非法信息中携带的终端身份标识，向映射服务器下达禁用所述终端身份标识命令；

所述映射服务器，根据所述监管中心下达的禁用所述终端身份标识命令阻断流量。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种身份位置分离网络的阻断方法，其特征在于，该方法包括：

终端发送非法信息时，监管中心根据所述终端发送的非法信息中携带的终端身份标识，获得终端位置标识；

所述监管中心向所述终端位置标识对应的边缘路由器下达禁用所述终端身份标识的命令；

所述边缘路由器根据所述命令，阻断流量。

2.如权利要求1所述的方法，其特征在于：所述监管中心根据所述终端发送的非法信息中携带了终端身份标识，获得的终端位置标识的途径包括：

所述终端发送非法信息时，所述监管中心根据非法信息源数据包中的所述终端身份标识，查询映射服务器中的所述终端身份标识与位置标识的映射关系，获得所述终端位置标识。

3.如权利要求1所述的方法，其特征在于：所述监管中心根据所述终端发送的非法信息中携带了终端身份标识，获得的终端位置标识的途径包括：所述监管中心预先与所述映射服务器交互，获得并存储所述终端身份标识与位置标识的映射关系；所述终端发送非法信息时，所述监管中心根据自身存储的所述映射关系，获得所述终端位置标识。

4.如权利要求1所述的方法，其特征在于：终端非法登录时，所述监管中心根据所述终端身份标识，向认证中心下达禁用所述终端身份标识命令，所述终端不能实现登录。

5.如权利要求1所述的方法，其特征在于：终端发送非法信息时，所述监管中心根据所述非法信息中携带的所述终端身份标识，向所述映射服务器下达禁用所述终端身份标识命令。

6.一种身份位置分离网络的阻断系统，其特征在于，该系统包括终端、监管中心、边缘路由器：

所述终端，用于发送非法信息；

所述监管中心，根据所述终端发送的非法信息中携带了终端身份标识，获得的终端位置标识，向所述终端位置标识对应的边缘路由器下达禁用所述终端身份标识的命令；

所述边缘路由器，根据所述监管中心下达禁用所述终端身份标识的命令，阻断流量。

7.如权利要求6所述的系统，其特征在于：所述监管中心，用于根据终端发送的非法信息源数据包中的所述终端身份标识，查询映射服务器中的所述终端身份标识与位置标识的映射关系，获得所述终端位置标识。

8.如权利要求6所述的系统，其特征在于：所述监管中心，还用于预先与所述映射服务器交互，获得并存储所述终端身份标识与位置标识的映射关系；所述终端发送非法的信息时，所述监管中心根据自身存储的所述映射关系，获得所述终端位置标识。

9.一种身份位置分离网络的阻断系统，其特征在于，该系统包括：终端、监管中心、认证中心：

终端非法登录时，所述监管中心根据所述终端身份标识，向所述认证中心下达禁用所述终端身份标识命令；

所述认证中心，根据所述监管中心下达的禁用所述终端身份标识命令，禁止所述终端登录。

10.一种身份位置分离网络的阻断系统，其特征在于，该系统包括：终端、监管中心、映射服务器：

终端发送非法信息时，所述监管中心根据所述非法信息中携带的所述终端身份标识，向所述映射服务器下达禁用所述终端身份标识命令；

所述映射服务器，根据所述监管中心下达的禁用所述终端身份标识命令阻断流量。

Images