CN106878019B - 基于STiP模型的安全路由方法及系统 - Google Patents

基于STiP模型的安全路由方法及系统 Download PDF

Info

Publication number
CN106878019B
CN106878019B CN201710013821.2A CN201710013821A CN106878019B CN 106878019 B CN106878019 B CN 106878019B CN 201710013821 A CN201710013821 A CN 201710013821A CN 106878019 B CN106878019 B CN 106878019B
Authority
CN
China
Prior art keywords
router
routing node
data packet
local terminal
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710013821.2A
Other languages
English (en)
Other versions
CN106878019A (zh
Inventor
蒋文保
朱国库
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Information Science and Technology University
Original Assignee
Beijing Information Science and Technology University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Information Science and Technology University filed Critical Beijing Information Science and Technology University
Priority to CN201710013821.2A priority Critical patent/CN106878019B/zh
Publication of CN106878019A publication Critical patent/CN106878019A/zh
Application granted granted Critical
Publication of CN106878019B publication Critical patent/CN106878019B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于STiP模型的安全路由方法及系统,其中方法包括:本端将本端待转发数据包发送至对端路由器,对端路由器查询本地映射表,获取与本端路由器的路由位置标识绑定的绑定信息,其中绑定信息至少包括:本端路由器的路由位置标识以及本端路由器的公钥;对端路由器利用公钥验证本端待转发数据包的真伪,通过则将对端数据包外发,全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求,向每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向每个路由器发送与操作请求对应的事务提交通知,每个路由器在本地提交事务,事务包括:与全局的路由节点中任意另一个路由器的路由位置标识绑定的绑定信息。

Description

基于STiP模型的安全路由方法及系统
技术领域
本发明涉及通信领域,尤其涉及一种基于STiP(安全可信网络协议,Secure andTrusted internet Protocol)模型的安全路由方法及系统。
背景技术
目前,以TCP/IP协议为核心技术的Internet(因特网)得到了飞速发展,正在全面改变人们的生产生活方式。网络技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,同时也带来了新的安全风险和挑战。地址和路由系统是当前Internet体系结构的核心,在安全性上,由于现有的TCP/IP协议不具备地址真实性鉴别等内在的安全机制,导致攻击源头和攻击者身份难以追查。路由设备基于目的地址转发分组,对数据包的来源不做验证,大量基于地址伪造的攻击行为无法跟踪,造成源地址欺骗、路由劫持、拒绝服务等大量攻击的发生,严重威胁网络的安全。
发明内容
本发明旨在至少克服上述缺陷之一提供一种基于STiP模型的安全路由方法及系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明的一个方面提供了一种基于STiP模型的安全路由方法,包括:本端路由器接收本端数据包,其中,本端数据包封装有源路由位置标识和目的路由位置标识,源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;本端路由器将本端待转发数据包发送至对端路由器,其中,本端待转发数据包至少包括本端数据包以及本端签名,本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的;对端路由器接收本端待转发数据包,查询本地映射表,获取与本端路由器的路由位置标识绑定的绑定信息,其中,与本端路由器的路由位置标识绑定的绑定信息至少包括:本端路由器的路由位置标识以及本端路由器的公钥;对端路由器利用本端路由器的公钥验证本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,对端数据包至少包括本端数据包。
另外,本端路由器接收本端数据包包括:前端路由器接收前端数据包,将前端待转发数据包发送至本端路由器,其中,前端待转发数据包至少包括前端数据包以及前端签名,前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的;本端路由器接收前端待转发数据包,查询本地映射表,获取与前端路由器的路由位置标识绑定的绑定信息,其中,与前端路由器的路由位置标识绑定的绑定信息至少包括:前端路由器的路由位置标识以及前端路由器的公钥;本端路由器利用前端路由器的公钥验证前端待转发数据包的真伪,若检验通过,则至少将前端数据包作为本端数据包。
另外,对端路由器将对端数据包外发包括:对端路由器将对端待转发数据包发送至后端路由器,其中,对端待转发数据包至少包括对端数据包以及对端签名,对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的;后端路由器接收对端待转发数据包,查询本地映射表,获取与对端路由器的路由位置标识绑定的绑定信息,其中,与对端路由器的路由位置标识绑定的绑定信息至少包括:对端路由器的路由位置标识以及对端路由器的公钥;后端路由器利用对端路由器的公钥验证对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,后端数据包至少包括对端数据包。
另外,方法还包括:全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求,向全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知;全局路由节点中的每个路由器在本地提交事务。
另外,全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求包括:全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器,其中,全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;全局路由节点中的每个路由器在本地提交事务包括:全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。
另外,方法还包括:全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。
本发明另一方面提供了一种基于STiP模型的安全路由系统,包括:本端路由器,用于接收本端数据包,其中,本端数据包封装有源路由位置标识和目的路由位置标识,源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;将本端待转发数据包发送至对端路由器,其中,本端待转发数据包至少包括本端数据包以及本端签名,本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的;对端路由器,用于接收本端待转发数据包,查询本地映射表,获取与本端路由器的路由位置标识绑定的绑定信息,其中,与本端路由器的路由位置标识绑定的绑定信息至少包括:本端路由器的路由位置标识以及本端路由器的公钥,利用本端路由器的公钥验证本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,对端数据包至少包括本端数据包。
另外,系统还包括:前端路由器;本端路由器,通过如下方式接收本端数据包:前端路由器,用于接收前端数据包,将前端待转发数据包发送至本端路由器,其中,前端待转发数据包至少包前端数据包以及前端签名,前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的;本端路由器,还用于接收前端待转发数据包,查询本地映射表,获取与前端路由器的路由位置标识绑定的绑定信息,其中,与前端路由器的路由位置标识绑定的绑定信息至少包括:前端路由器的路由位置标识以及前端路由器的公钥,利用前端路由器的公钥验证前端待转发数据包的真伪,若检验通过,则至少将前端数据包作为本端数据包。
另外,系统还包括:后端路由器;对端路由器通过如下方式将对端数据包外发包括:对端路由器,还用于将对端待转发数据包发送至后端路由器,其中,对端待转发数据包至少包括对端数据包以及对端签名,对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的;后端路由器,用于接收对端待转发数据包,查询本地映射表,获取与对端路由器的路由位置标识绑定的绑定信息,其中,与对端路由器的路由位置标识绑定的绑定信息至少包括:对端路由器的路由位置标识以及对端路由器的公钥,利用对端路由器的公钥验证对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,后端数据包至少包括对端数据包。
另外,全局的路由节点中任意一个路由器,用于接收全局的路由节点中任意另一个路由器发送的操作请求,向全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知;全局路由节点中的每个路由器,用于在本地提交事务。
另外,全局的路由节点中任意一个路由器通过如下方式接收全局的路由节点中任意另一个路由器发送的操作请求:全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器,其中,全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;全局路由节点中的每个路由器通过如下方式在本地提交事务:全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。
另外,全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。
由上述本发明提供的技术方案可以看出,通过本发明提供的基于STiP模型的安全路由方法及系统,可以从源头上解决源地址欺骗、身份安全等网络安全问题,从而有利于构建自主可控、安全可信的互联网环境。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的一种基于STiP模型的安全路由系统的结构示意图;
图2为本发明实施例提供的另一种基于STiP模型的安全路由系统的结构示意图;
图3为本发明实施例提供的又一种基于STiP模型的安全路由系统的结构示意图;
图4为本发明实施例提供的再一种基于STiP模型的安全路由系统的结构示意图;
图5为本发明实施例提供的基于STiP模型的安全路由方法的流程图。
具体实施方式
下面结合附图对本发明的实施方式进行详细说明。
首先先对本发明基于的STip模型进行说明,本发明实施例提供的基于STiP模型的通信系统,包括:IP地址相互独立的接入网以及骨干网,其中,接入网包括多个终端主机(其中至少包括本端终端主机以及对端终端主机)以及至少一个接入认证服务器(其中至少包括与本端终端主机连接的本端接入认证服务器)。当然作为本发明的一种可选实施方式,至少一个接入认证服务器还还可以包括与对端终端主机连接的对端接入认证服务器。骨干网包括多个路由器(其中至少包括以下实施例中描述的本端路由器101以及对端路由器102)等,本端路由器101可以连接本端接入认证服务器,也可以作为全局路由中的一个节点连接以下实施例中描述的前端路由器103,对端路由器102可以连接对端终端主机,在具有对端接入认证服务器的情况下,对端路由器102也可以连接对端接入认证服务器,也可以作为全局路由中的一个节点连接以下实施例中描述的后端路由器104。这在本发明中并不做限制。同时,本领域技术人员可以理解的是,上述连接可以为有线连接也可以为无线连接,
以下,对骨干网中的路由节点进行详细说明:
图1示出了本发明实施例提供的基于STiP模型的安全路由系统的结构示意图,参见图1,本发明实施例提供的基于STiP模型的安全路由系统,包括:
本端路由器101,用于接收本端数据包,其中,本端数据包封装有源路由位置标识和目的路由位置标识,源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;将本端待转发数据包发送至对端路由器102,其中,本端待转发数据包至少包本端数据包以及本端签名,本端签名为本端路由器101利用本端路由器101的私钥对本端数据包进行签名得到的;
对端路由器102,用于接收本端待转发数据包,查询本地映射表,获取与本端路由器101的路由位置标识绑定的绑定信息,其中,与本端路由器101的路由位置标识绑定的绑定信息至少包括:本端路由器101的路由位置标识以及本端路由器101的公钥,利用本端路由器101的公钥验证本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,对端数据包至少包括本端数据包。
由此可见,通过本发明提供的基于STiP模型的安全路由系统,可以从源头上解决源地址欺骗、身份安全等网络安全问题,从而有利于构建自主可控、安全可信的互联网环境。
具体地,骨干网内的各个路由器要检查数据包是否是伪造的或者经过篡改的,因此,路由器收到由接入认证服务器或者上一个路由节点转发的数据包后封装源和目的RLOC(路由位置标识,Routing Locator)地址,然后将签名后的数据包路由转发。
作为本发明实施例的一种可选实施方式,全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。具体地,通过在第一个接入认证服务器本地缓存的映射表中加入源安全主机标识符的哈希值的绑定记录,以及在最后一个接入认证服务器本地缓存的映射表中加入源安全主机标识符的哈希值与第一个路由器的路由位置标识的绑定记录,可以提高路由效率,同时可以追溯源主机的来源。
同时,由于每一个路由器都可能是接入网接入骨干网的路由器,每一个收到的数据包都有可能来自于全局路由中的任何一个节点,因此,需要每个路由器都应能获取到全局路由中所有的路由器的公钥。由于骨干网中路由器的数量是一定的,因此在每个骨干网的路由器均可以保存和维护全局一致的RLOC地址和公钥的绑定信息。本发明实施例采用了去中心化密钥管理方式,路由器自己生成公私钥对,骨干网每个路由器共同维护一个全局一致的<地址,公钥>表,每个RLOC上的<地址,公钥>数据都是一致的。骨干网所有路由器可以分为Leader和Follower两种角色,Leader是对<地址,公钥>记录的所有操作提议的唯一调度者和处理者,在任一时刻不存在多于1个的Leader,Leader角色并不与某个骨干网路由器永久绑定,在Leader无法连通后,骨干网会重新选举出新的Leader。Follower是骨干网内除Leader外存活的路由节点,可发起对<地址,公钥>记录的事务操作请求,并将请求转发给Leader,还参与Leader发起的提议投票,在检测不到Leader心跳后投票重选Leader。因此,作为本发明实施例的一个可选实施方式,全局的路由节点中任意一个路由器,用于接收全局的路由节点中任意另一个路由器发送的操作请求,向全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知;全局路由节点中的每个路由器,用于在本地提交事务。由此方便进行密钥管理。
当有新的路由节点加入时,该节点首先会在本地生成一对密钥,该节点的公钥和分配的RLOC地址会被提交到Leader,Leader会将添加<地址,公钥>记录的事务提议通知到全局的路由节点,并发起对该提议的投票,Leader收到过半投票后会通知全局的路由节点在本地提交该事务,新的路由节点成功加入到骨干网中。骨干网内对<地址,公钥>记录的更新和删除事务的执行过程同上。因此,作为本发明实施例的一个可选实施方式,全局的路由节点中任意一个路由器通过如下方式接收全局的路由节点中任意另一个路由器发送的操作请求:全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器,其中,全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;全局路由节点中的每个路由器通过如下方式在本地提交事务:全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。由此方便增加新的路由节点。
此外,报文中数据部分的安全可以使用现有体系结构中传输层的加密协议来完成。
作为本发明实施例的一个可选实施方式,如果本端路由器101并未直接连接接入认证服务器,仅是全局路由中的中间节点,此时,本端路由器101还可以对上一个节点进行身份认证,以保证安全性,参见图2,系统还包括:前端路由器103;本端路由器101,通过如下方式接收本端数据包:前端路由器103,用于接收前端数据包,将前端待转发数据包发送至本端路由器101,其中,前端待转发数据包至少包括前端数据包以及前端签名,前端签名为前端路由器103利用前端路由器103的私钥对前端数据包进行签名得到的;本端路由器101,还用于接收前端待转发数据包,查询本地映射表,获取与前端路由器103的路由位置标识绑定的绑定信息,其中,与前端路由器103的路由位置标识绑定的绑定信息至少包括:前端路由器103的路由位置标识以及前端路由器的公钥,利用前端路由器103的公钥验证前端待转发数据包的真伪,若检验通过,则至少将前端数据包作为本端数据包。当然,在本实施例中,前端路由器103可以为全局路由节点中的中间节点,也可以为全局路由节点中第一个接收源终端主机发送的数据包的路由器,在此不再赘述。
作为本发明实施例的一个可选实施方式,如果对端路由器102并未直接连接终端主机或接入认证服务器,仅是全局路由中的中间节点,此时,对端路由器102还需要被下一个节点进行身份认证,以保证安全性,参见图3,系统还包括:后端路由器104;对端路由器102通过如下方式将对端数据包外发包括:对端路由器102,还用于将对端待转发数据包发送至后端路由器104,其中,对端待转发数据包至少包括对端数据包以及对端签名,对端签名为对端路由器102利用对端路由器102的私钥对对端数据包进行签名得到的;后端路由器104,用于接收对端待转发数据包,查询本地映射表,获取与对端路由器102的路由位置标识绑定的绑定信息,其中,与对端路由器102的路由位置标识绑定的绑定信息至少包括:对端路由器102的路由位置标识以及对端路由器的公钥,利用对端路由器102的公钥验证对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,后端数据包至少包括对端数据包。当然,在本实施例中,后端路由器104可以为全局路由节点中的中间节点,也可以为全局路由节点中向目的终端主机发送数据包的路由器,在此不再赘述。
当然,作为本发明的一个可选实施方式,本端路由器101与对端路由器102均未直接连接终端主机或接入认证服务器,均为全局路由中的中间节点,此时,本端路由器101需要对上一个节点进行身份认证,对端路由器102需要被下一个节点进行身份认证,以保证安全性,因此,系统结构还可以参见图4,具体可以参照对图2和图3的相关描述,在此不再赘述。
图5示出了本发明实施例提供的一种基于STiP模型的安全路由方法的流程图,本发明实施例提供的基于STiP模型的安全路由方法应用于上述系统,以下仅对本发明实施例提供的基于STiP模型的安全路由方法进行简单说明,其他未尽事宜,具体参见上述系统的相关说明。参见图5,本发明实施例提供的基于STiP模型的安全路由方法包括:
S501,本端路由器接收本端数据包,其中,本端数据包封装有源路由位置标识和目的路由位置标识,源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;
S502,本端路由器将本端待转发数据包发送至对端路由器,其中,本端待转发数据包至少包括本端数据包以及本端签名,本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的;
S503,对端路由器接收本端待转发数据包,查询本地映射表,获取与本端路由器的路由位置标识绑定的绑定信息,其中,与本端路由器的路由位置标识绑定的绑定信息至少包括:本端路由器的路由位置标识以及本端路由器的公钥;
S504,对端路由器利用本端路由器的公钥验证本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,对端数据包至少包括本端数据包。
由此可见,通过本发明提供的基于STiP模型的安全路由方法,可以从源头上解决源地址欺骗、身份安全等网络安全问题,从而有利于构建自主可控、安全可信的互联网环境。
作为本发明实施例的一个可选实施方式,本端路由器接收本端数据包包括:前端路由器接收前端数据包,将前端待转发数据包发送至本端路由器,其中,前端待转发数据包至少包括前端数据包以及前端签名,前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的;本端路由器接收前端待转发数据包,查询本地映射表,获取与前端路由器的路由位置标识绑定的绑定信息,其中,与前端路由器的路由位置标识绑定的绑定信息至少包括:前端路由器的路由位置标识以及前端路由器的公钥;本端路由器利用前端路由器的公钥验证前端待转发数据包的真伪,若检验通过,则至少将前端数据包作为本端数据包。由此,当本端路由器并未直接连接接入认证服务器,仅是全局路由中的中间节点时,本端路由器还可以对上一个节点进行身份认证,以保证安全性。
作为本发明实施例的一个可选实施方式,对端路由器将对端数据包外发包括:对端路由器将对端待转发数据包发送至后端路由器,其中,对端待转发数据包至少包括对端数据包以及对端签名,对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的;后端路由器接收对端待转发数据包,查询本地映射表,获取与对端路由器的路由位置标识绑定的绑定信息,其中,与对端路由器的路由位置标识绑定的绑定信息至少包括:对端路由器的路由位置标识以及对端路由器的公钥;后端路由器利用对端路由器的公钥验证对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,后端数据包至少包括对端数据包。由此,当对端路由器并未直接连接终端主机或接入认证服务器,仅是全局路由中的中间节点,此时,对端路由器还需要被下一个节点进行身份认证,以保证安全性。
作为本发明实施例的一个可选实施方式,方法还包括:全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求,向全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知;全局路由节点中的每个路由器在本地提交事务。由此方便进行密钥管理。
作为本发明实施例的一个可选实施方式,全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求包括:全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器,其中,全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;全局路由节点中的每个路由器在本地提交事务包括:全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。由此方便增加新的路由节点。
作为本发明实施例的一个可选实施方式,方法还包括:全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。由此,可以提高路由效率,同时可以追溯源主机的来源。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上的实施例仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通工程技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。

Claims (12)

1.一种基于STiP模型的安全路由方法,其特征在于,包括:
本端路由器接收本端数据包,其中,所述本端数据包封装有源路由位置标识和目的路由位置标识,所述源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为所述全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;
本端路由器将本端待转发数据包发送至对端路由器,其中,所述本端待转发数据包至少包括所述本端数据包以及本端签名,所述本端签名为所述本端路由器利用本端路由器的私钥对所述本端数据包进行签名得到的;
所述对端路由器接收所述本端待转发数据包,查询本地映射表,获取与所述本端路由器的路由位置标识绑定的绑定信息,其中,所述与所述本端路由器的路由位置标识绑定的绑定信息至少包括:所述本端路由器的路由位置标识以及本端路由器的公钥;
所述对端路由器利用所述本端路由器的公钥验证所述本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,所述对端数据包至少包括所述本端数据包。
2.根据权利要求1所述的方法,其特征在于,所述本端路由器接收本端数据包包括:
前端路由器接收前端数据包,将前端待转发数据包发送至所述本端路由器,其中,所述前端待转发数据包至少包括前端数据包以及前端签名,所述前端签名为所述前端路由器利用前端路由器的私钥对所述前端数据包进行签名得到的;
所述本端路由器接收所述前端待转发数据包,查询本地映射表,获取与所述前端路由器的路由位置标识绑定的绑定信息,其中,所述与所述前端路由器的路由位置标识绑定的绑定信息至少包括:所述前端路由器的路由位置标识以及前端路由器的公钥;
所述本端路由器利用所述前端路由器的公钥验证所述前端待转发数据包的真伪,若检验通过,则至少将所述前端数据包作为所述本端数据包。
3.根据权利要求1或2所述的方法,其特征在于,所述对端路由器将对端数据包外发包括:
所述对端路由器将对端待转发数据包发送至后端路由器,其中,所述对端待转发数据包至少包括所述对端数据包以及对端签名,所述对端签名为所述对端路由器利用对端路由器的私钥对所述对端数据包进行签名得到的;
所述后端路由器接收所述对端待转发数据包,查询本地映射表,获取与所述对端路由器的路由位置标识绑定的绑定信息,其中,所述与所述对端路由器的路由位置标识绑定的绑定信息至少包括:所述对端路由器的路由位置标识以及对端路由器的公钥;
所述后端路由器利用所述对端路由器的公钥验证所述对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,所述后端数据包至少包括所述对端数据包。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
全局的路由节点中任意一个路由器接收所述全局的路由节点中任意另一个路由器发送的操作请求,向所述全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向所述全局路由节点中的每个路由器发送与所述操作请求对应的事务提交通知;
所述全局路由节点中的每个路由器在本地提交所述事务。
5.根据权利要求4所述的方法,其特征在于,
所述全局的路由节点中任意一个路由器接收所述全局的路由节点中任意另一个路由器发送的操作请求包括:
所述全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在所述操作请求中发送至全局路由节点中的任意一个路由器,其中,所述全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与所述全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;
所述全局路由节点中的每个路由器在本地提交所述事务包括:
所述全局路由节点中的每个路由器在本地提交所述全局的路由节点中任意另一个路由器的绑定信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;
所述全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与所述全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。
7.一种基于STiP模型的安全路由系统,其特征在于,包括:
本端路由器,用于接收本端数据包,其中,所述本端数据包封装有源路由位置标识和目的路由位置标识,所述源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识,目的路由位置标识为所述全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识;将本端待转发数据包发送至对端路由器,其中,所述本端待转发数据包至少包括所述本端数据包以及本端签名,所述本端签名为所述本端路由器利用本端路由器的私钥对所述本端数据包进行签名得到的;
所述对端路由器,用于接收所述本端待转发数据包,查询本地映射表,获取与所述本端路由器的路由位置标识绑定的绑定信息,其中,所述与所述本端路由器的路由位置标识绑定的绑定信息至少包括:所述本端路由器的路由位置标识以及本端路由器的公钥,利用所述本端路由器的公钥验证所述本端待转发数据包的真伪,若检验通过,将对端数据包外发,其中,所述对端数据包至少包括所述本端数据包。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:前端路由器;
所述本端路由器,通过如下方式接收本端数据包:
所述前端路由器,用于接收前端数据包,将前端待转发数据包发送至所述本端路由器,其中,所述前端待转发数据包至少包所述前端数据包以及前端签名,所述前端签名为所述前端路由器利用前端路由器的私钥对所述前端数据包进行签名得到的;
所述本端路由器,还用于接收所述前端待转发数据包,查询本地映射表,获取与所述前端路由器的路由位置标识绑定的绑定信息,其中,所述与所述前端路由器的路由位置标识绑定的绑定信息至少包括:所述前端路由器的路由位置标识以及前端路由器的公钥,利用所述前端路由器的公钥验证所述前端待转发数据包的真伪,若检验通过,则至少将所述前端数据包作为所述本端数据包。
9.根据权利要求7或8所述的系统,其特征在于,所述系统还包括:后端路由器;
所述对端路由器通过如下方式将对端数据包外发包括:
所述对端路由器,还用于将对端待转发数据包发送至所述后端路由器,其中,所述对端待转发数据包至少包括所述对端数据包以及对端签名,所述对端签名为所述对端路由器利用对端路由器的私钥对所述对端数据包进行签名得到的;
所述后端路由器,用于接收所述对端待转发数据包,查询本地映射表,获取与所述对端路由器的路由位置标识绑定的绑定信息,其中,所述与所述对端路由器的路由位置标识绑定的绑定信息至少包括:所述对端路由器的路由位置标识以及对端路由器的公钥,利用所述对端路由器的公钥验证所述对端待转发数据包的真伪,若检验通过,将后端数据包外发,其中,所述后端数据包至少包括所述对端数据包。
10.根据权利要求7或8所述的系统,其特征在于,全局的路由节点中任意一个路由器,用于接收所述全局的路由节点中任意另一个路由器发送的操作请求,向所述全局路由节点中的每个路由器发送投票请求,当接收的投票结果为通过的响应达到预设个数后,向所述全局路由节点中的每个路由器发送与所述操作请求对应的事务提交通知;
所述全局路由节点中的每个路由器,用于在本地提交所述事务。
11.根据权利要求10所述的系统,其特征在于,
所述全局的路由节点中任意一个路由器通过如下方式接收所述全局的路由节点中任意另一个路由器发送的操作请求:
所述全局的路由节点中任意另一个路由器生成自身的公私钥对,并将全局的路由节点中任意另一个路由器的绑定信息携带在所述操作请求中发送至全局路由节点中的任意一个路由器,其中,所述全局的路由节点中任意另一个路由器的绑定信息至少包括:全局的路由节点中任意另一个路由器的路由位置标识以及与所述全局的路由节点中任意另一个路由器的路由位置标识生成的公钥;
所述全局路由节点中的每个路由器通过如下方式在本地提交所述事务:
所述全局路由节点中的每个路由器在本地提交所述全局的路由节点中任意另一个路由器的绑定信息。
12.根据权利要求7所述的系统,其特征在于,
所述全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录;
所述全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与所述全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。
CN201710013821.2A 2017-01-09 2017-01-09 基于STiP模型的安全路由方法及系统 Active CN106878019B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710013821.2A CN106878019B (zh) 2017-01-09 2017-01-09 基于STiP模型的安全路由方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710013821.2A CN106878019B (zh) 2017-01-09 2017-01-09 基于STiP模型的安全路由方法及系统

Publications (2)

Publication Number Publication Date
CN106878019A CN106878019A (zh) 2017-06-20
CN106878019B true CN106878019B (zh) 2019-08-23

Family

ID=59165095

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710013821.2A Active CN106878019B (zh) 2017-01-09 2017-01-09 基于STiP模型的安全路由方法及系统

Country Status (1)

Country Link
CN (1) CN106878019B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108243190A (zh) * 2018-01-09 2018-07-03 北京信息科技大学 一种网络标识的可信管理方法和系统
CN113114616A (zh) * 2021-01-18 2021-07-13 北京信息科技大学 一种终端协议栈构建和解析方法、装置及终端

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1745558A (zh) * 2003-02-11 2006-03-08 思科技术公司 在移动路由器和对端节点之间建立双向隧道的布置
CN101867933A (zh) * 2010-05-28 2010-10-20 东南大学 一种基于公钥数字签名和路由恶意检测的安全路由方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1745558A (zh) * 2003-02-11 2006-03-08 思科技术公司 在移动路由器和对端节点之间建立双向隧道的布置
CN101867933A (zh) * 2010-05-28 2010-10-20 东南大学 一种基于公钥数字签名和路由恶意检测的安全路由方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
An Adaptive Automated trust negotiation model and Algorithm;Shaoxu Guo,Wenbao jiang;《2010 International Conference on Communications and Intelligence Information Security》;20101231;全文
移动IPv6 中路由优化安全性研究及改进;李力,孙细斌;《微计算机信息》;20081231;第24卷(第3-3期);全文

Also Published As

Publication number Publication date
CN106878019A (zh) 2017-06-20

Similar Documents

Publication Publication Date Title
CN110061838A (zh) 一种dns资源记录的去中心化存储系统及其实现、信息检索方法
CN104270379B (zh) 基于传输控制协议的https 代理转发方法及装置
CN104160680B (zh) 用于透明代理缓存的欺骗技术
CN108235805A (zh) 账户统一方法、装置及存储介质
CN110493261A (zh) 基于区块链的验证码获取方法、客户端、服务器及存储介质
CN110311899A (zh) 多业务系统访问方法、装置及服务器
CN108650182A (zh) 网络通信方法、系统、装置、设备及存储介质
CN105847034B (zh) 源验证和路径认证方法及装置
CN106506534B (zh) 一种sdn网络的arp攻击检测方法
US20130336323A1 (en) Optimized bi-directional communication in an information centric network
CN106060014A (zh) 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法
CN108830109A (zh) 电子印章应用、客户端实现方法、系统及设备、存储介质
CN102752303B (zh) 一种基于旁路的数据获取方法及系统
CN109413201A (zh) Ssl通信方法、装置及存储介质
CN109688163A (zh) 基于联盟链的数据处理方法、装置、设备及存储介质
CN111064755B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN112804354B (zh) 跨链进行数据传输的方法、装置、计算机设备和存储介质
CN101637004B (zh) 用于通信系统中的前缀可达性的方法
CN109981633A (zh) 访问服务器的方法、设备及计算机可读存储介质
CN106878019B (zh) 基于STiP模型的安全路由方法及系统
CN107005913B (zh) 邻近服务通信的验证方法、用户设备及邻近服务功能实体
CN103647762B (zh) 基于访问路径的IPv6物联网节点身份认证方法
CN102546523B (zh) 一种互联网接入的安全认证方法、系统和设备
Dewangan et al. A review: A new authentication protocol for real-time healthcare monitoring system
CN104168564B (zh) 基于gprs网络和一体化标识网络的认证方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant