CN108141704A - 先前网络消息处理器的位置标识 - Google Patents
先前网络消息处理器的位置标识 Download PDFInfo
- Publication number
- CN108141704A CN108141704A CN201680056761.6A CN201680056761A CN108141704A CN 108141704 A CN108141704 A CN 108141704A CN 201680056761 A CN201680056761 A CN 201680056761A CN 108141704 A CN108141704 A CN 108141704A
- Authority
- CN
- China
- Prior art keywords
- network node
- message
- network
- address
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
以使得第二网络节点能够确定网络消息是由特定位置的计算系统处理的方式,将网络消息从特定位置的第一网络节点传送到第二网络节点。例如,特定位置可以是地理位置或网络拓扑位置。位置证据是通过使用由第一网络节点将其包括在网络消息内的签名的位置证据来完成的。网络消息然后由第二网络实体接收。第二网络实体然后使用签名的位置数据结构证据作为确定网络消息是至少基于签名的位置数据结构证据而被处理的过程的输入。
Description
背景技术
计算系统和相关联的网络已经彻底改变了人类工作、娱乐和通信的方式。计算机系统几乎在某种程度上影响了我们生活的每个方面。网络的扩散已经允许计算系统能够共享数据并且进行通信,极大地增加了信息访问。出于这个原因,当代通常被称为“信息时代”。
然而,计算网络通常是广泛分布的并且跨越多个信任边界。例如,特定公司边界内的计算系统可以比这个公司边界之外的计算系统更受这个公司的信任。此外,公司的特定部门内的计算系统可以比公司其他部门内的计算系统更受信任。因此,为了确保安全,重考虑和实施信任边界是重要的。因此,在确定是否向特定计算系统提供服务和/或信息时,确定这个计算系统是否在某个信任边界内是有帮助的。
用于估计计算系统是否在特定信任边界内的一种传统机制是基于请求服务和/或信息的消息的源互联网协议(IP)地址。如果源IP地址标识信任边界内的计算系统,则某个较高级别的信任被分配给从这个计算系统接收的消息。因此,当这些计算系统驻留在相同的信任边界中时,传统技术允许计算系统以更可信的方式进行通信。因此,可以相互提供以这个信任为基础的服务和信息。
本文中要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的实施例。相反,提供此背景仅用于说明其中可以实施本文中描述的一些实施例的一个示例性技术领域。
发明内容
本文中描述的至少一些实施例涉及以使得第二网络节点能够确定网络消息是由特定位置的计算系统处理的方式,将网络消息从特定位置的第一网络节点传送到第二网络节点。例如,特定位置可以是地理位置或网络拓扑位置。特定位置可以包括多个计算系统。
位置证据是通过使用由第一网络节点包括在网络消息内的签名的位置证据来完成的。网络消息然后由第二网络实体接收。第二网络实体然后使用签名的位置数据结构证据作为确定网络消息是至少基于签名的位置数据结构证据而被处理的过程的输入。如果位置是可信的,则第二网络节点可以允许针对所接收的网络消息执行某些技术动作。
在一个实施例中,第一网络实体从与地址范围相对应并且向第一网络实体指派IP地址的互联网协议(IP)地址指派服务器获得签名的位置数据结构证据。IP地址指派服务器可以协商、发布或以其他方式向第二网络实体通知如何验证签名并且提取签名的位置数据结构证据的内容。因此,如果不是完全防篡改的,则签名的位置数据结构证据至少是防篡改的。在一些实施例中,签名的位置数据结构证据可以与与网络结构内的第一网络节点相关联的IP地址相比较,以确保它们在第二网络节点进行位置确定之前匹配。
本“发明内容”并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用作确定所要求保护的主题的范围的辅助手段。
附图说明
为了描述可以获得上述和其他优点和特征的方式,将通过参考附图来呈现各种实施例的更具体的描述。理解这些附图仅描绘了示例实施例并且因此不被认为是对本发明范围的限制,将通过使用附图利用附加的特征和细节来描述和解释实施例,在附图中:
图1抽象地示出了其中可以采用本文中描述的一些实施例的计算系统;
图2示出了包括使网络与第二网络通信并且位于特定位置内的第一网络节点的环境;
图3示出了用于位置的第一网络节点以使得第二网络节点能够确定消息是由在第一网络节点的位置内的计算系统处理的方式发起网络消息到第二网络节点的传送的方法的流程图;
图4示出了包括签名的位置数据结构证据的网络消息;
图5示出了用于第一网络节点获得签名的位置数据结构证据的方法的流程图;
图6示出了具有包括地址指派服务器的位置的环境,地址指派服务器具有相关联的地址范围,服务器可以从相关联的地址范围中选择以向多个网络节点中的每个指派地址;以及
图7象征性地示出了位置数据结构证据。
具体实施方式
本文中描述的至少一些实施例涉及以使得第二网络节点能够确定网络消息是由特定位置的计算系统处理的方式,将网络消息从特定位置的第一网络节点传送到第二网络节点。例如,特定位置可以是地理位置或网络拓扑位置。特定位置可能包括多个计算系统。
位置证据是通过使用由第一网络节点包括在网络消息内的签名的位置证据来完成的。网络消息然后由第二网络实体接收。第二网络实体然后使用签名的位置数据结构证据作为确定网络消息是至少基于签名的位置数据结构证据而被处理的过程的输入。如果位置是可信的,则第二网络节点可以允许针对所接收的网络消息执行某些技术动作。
在一个实施例中,第一网络实体从与地址范围相对应并且向第一网络实体指派IP地址的互联网协议(IP)地址指派服务器获得签名的位置数据结构证据。IP地址指派服务器可以协商、发布或以其他方式向第二网络实体通知如何验证签名并且提取签名的位置数据结构证据的内容。因此,如果不是完全防篡改的,则签名的位置数据结构证据至少是防篡改的。在一些实施例中,签名的位置数据结构证据可以与与网络结构内的第一网络节点相关联的IP地址相比较,以确保它们在第二网络节点进行位置确定之前匹配。
将参考图1描述计算系统的一些介绍性讨论。然后,将参考随后的附图描述将网络消息从第一网络节点传送到第二网络节点使得可以确定第一网络节点的位置。
计算系统现在越来越多地采取各种各样的形式。例如,计算系统可以是手持设备、家用电器、膝上型计算机、台式计算机、大型机、分布式计算系统、数据中心、或甚至通常未被认为是计算系统的设备,诸如可穿戴设备(例如,眼镜)。在本说明书和权利要求书中,术语“计算系统”被广义地定义为包括任何设备或系统(或其组合),其包括至少一个物理和有形处理器以及物理和有形存储器,能够在其上具有可以由处理器执行的计算机可执行指令。存储器可以采取任何形式并且可以取决于计算系统的性质和形式。计算系统可以分布在网络环境中并且可以包括多个组成计算系统。
如图1所示,在其最基本配置中,计算系统100通常包括至少一个硬件处理单元102和存储器104。存储器104可以是物理系统存储器,其可以是易失性的、非易失性的、或两者的某种组合。术语“存储器”在本文中也可以用于指代非易失性大容量存储器,诸如物理存储介质。如果计算系统是分布式的,则处理、存储器和/或存储能力也可以是分布式的。如本文中使用的,术语“可执行模块”或“可执行组件”可以指代可以在计算系统上执行的软件对象、例程或方法。本文中描述的不同组件、模块、引擎和服务可以被实现为在计算系统上执行的对象或进程(例如,作为单独的线程)。
在以下描述中,参考由一个或多个计算系统执行的动作来描述实施例。如果这些动作以软件实现,则(执行动作的计算系统相关联的)一个或多个处理器响应于已经执行计算机可执行指令来指导计算系统的操作。例如,这样的计算机可执行指令可以在形成计算机程序产品的一个或多个计算机可读介质上实施。这种操作的示例涉及数据的操纵。计算机可执行指令(和所操纵的数据)可以存储在计算系统100的存储器104中。计算系统100还可以包含通信信道108,其允许计算系统100通过例如网络110与其他计算系统通信。计算系统100还包括可以用于向用户显示视觉表示的显示器。
本文中描述的实施例可以包括或利用包括计算机硬件(诸如例如一个或多个处理器和系统存储器)的专用或通用计算系统,如下面更详细讨论的。本文中描述的实施例还包括用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可以被通用或专用计算系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,作为示例而非限制,本发明的实施例可以包括至少两种截然不同的计算机可读介质:存储介质和传输介质。
计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或者可以用于以计算机可执行指令或数据结构的形式存储期望的程序代码装置并且可以由通用或专用计算系统访问的任何其他物理和有形存储介质。
“网络”被定义为实现在计算系统和/或模块和/或其他电子设备之间电子数据的传输的一个或多个数据链路。当通过网络或另一通信连接(硬连线、无线或者硬连线或无线的组合)向计算系统传输或提供信息时,计算系统将连接正确地视为传输介质。传输介质可以包括可以网络和/或数据链路,用于以计算机可执行指令或数据结构的形式携带期望的程序代码装置并且可以由通用或专用计算系统访问。上述的组合也应当被包括在计算机可读介质的范围内。
此外,在到达各种计算系统组件时,计算机可执行指令或数据结构形式的程序代码装置可以从传输介质自动地传递到存储介质(反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以被缓存在网络接口模块(例如,“NIC”)内的RAM中,并且然后最终被传递到计算系统RAM和/或计算系统处的较不易失性存储介质。因此,应当理解,存储介质可以被包括在也(甚至主要)利用传输介质的计算系统组件中。
计算机可执行指令包括例如当在处理器处执行时使得通用计算系统、专用计算系统或专用处理设备执行特定功能或功能组的指令和数据。替代地或另外地,计算机可执行指令可以将计算系统配置为执行某个功能或功能组。计算机可执行指令可以是例如二进制文件或者甚至在处理器直接执行之前经历一些转换(诸如编译)的指令,诸如中间格式指令,诸如汇编语言或甚至源代码。
虽然已经用特定于结构特征和/或方法动作的语言描述了主题,但是应当理解,在所附权利要求中限定的主题不一定限于以上描述的特征或动作。相反,所描述的特征和行为被公开作为实现权利要求的示例形式。
本领域技术人员将认识到,本发明可以在具有很多类型的计算系统配置的网络计算环境中实践,包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程的消费电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机、数据中心、可穿戴设备(诸如眼镜)等。本发明也可以在分布式系统环境中实践,其中通过网络链接(通过硬连线数据链路、无线数据链路或者通过硬连线和无线数据链路的组合)的本地和远程计算系统都执行任务。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备两者中。
图2示出了包括第一网络节点210和第二网络节点220的环境200。第一网络节点210被包括在特定位置211内。第一网络节点210通过网络230向第二网络节点220传送网络消息231(如由箭头232表示)。根据本文中进一步详细描述的原理,第一网络节点210这样做使得第二网络节点220能够确认网络消息231是在特定位置211内被处理的。如果做出这样的确认,则第二网络节点220可以执行否则在没有进行确认的情况下不会执行的技术动作或技术动作组。例如,动作可以是预先确定的,诸如第二网络节点220记录消息的接收,将与消息相关联的动作放置在队列中,同意被包括在消息内或与消息相关联的请求的全部或一部分,等等。可以同时确定其他动作,诸如基于目前状态的动作、负载平衡动作、基于某种级别的随机输入而选择的动作等。
特定位置211可以是地理位置,其可以由任何可定义的地理边界来定义。例如,地理位置可以由政治边界(例如,加拿大、堪萨斯州等)、组织边界(例如,Contoso企业园区)、建筑边界(例如,建筑物17)或任何其他可定义的地理或物理边界来定义。特定位置211也可以是网络拓扑边界。例如,位置可以被定义为包含由特定计算系统或一组计算系统使用特定通信协议以特定方式可达的任何计算系统。
网络230可以是可以在其上传送消息的任何网络。仅作为示例,网络230可以是因特网。网络消息231同样可以是任何网络消息,其被构造为通过网络230来传送。网络消息231可以存在于协议栈的任何级别。例如,网络消息231可以存在于协议栈的因特网层,诸如,仅作为示例,IPv4消息、IPv6消息、因特网控制消息协议(ICMP)消息、ICMPv6消息、因特网组管理协议(IGMP)消息、网关到网关协议消息或任何其他因特网协议,不管其是现在存在的还是尚未开发的。
然而,网络消息231不限于在协议栈的任何特定级别识别的消息。例如,网络消息231替代地可以是应用级消息,诸如超文本传输协议(HTTP)消息、传输层协议(TLP)消息或任何其他应用级别消息,不管这样的应用或应用级别协议是现在存在的还是尚未开发的。网络消息231可以另外是在传输级别、链路层或协议栈的任何其他级别被识别的消息。
第一网络节点210和第二网络节点220每个可以是能够通过网络230传送网络消息231的任何系统或设备。例如,网络节点210和220每个可以是能够处理网络消息231的任何设备或系统。仅作为示例,网络消息可以是客户端计算系统、服务器计算系统、网关、路由器、负载均衡器、代理服务器、网络地址转换器或任何其他计算设备或系统。作为示例,第一网络节点210和第二网络节点220每个可以如上面针对图1的计算系统100所描述的那样来构造。
在一个实施例中,第一网络节点210是网络消息231的源,并且第二网络节点220是网络消息231的目的地。然而,在替代实施例中,如省略号201所示,第一网络节点210不是网络消息231的源,而是在向第二网络节点220路由网络消息之前接收和处理网络消息。这种可能性在图2中用虚线箭头241进一步表示。
替代地或另外地,如省略号202所示,第二网络节点220不需要是网络消息231的目的地,而是从第一网络节点210接收网络消息231,处理网络消息231,并且进一步沿其路径向网络消息220的最终目的地路由网络消息231。这种可能性在图2中由虚线箭头242进一步表示。
图3示出了用于位置的第一网络节点以使得第二网络节点能够确定消息是由第一网络节点的位置内的计算系统处理的方式发起网络消息到第二网络节点的传送的方法300的流程图。方法300的一些动作可以由图2的第一网络节点210执行,如标题为“第一节点”下的图3的左栏所示,并且包括在310几中的动作编号。方法300的其他动作可以由图2的第二网络节点220执行,如标题为“第二节点”下的图3的右栏所示,并且包括在320几中的动作编号。
第一网络节点获得与第一网络节点的位置相对应的签名的位置数据结构证据(动作311)。例如,签名的位置数据结构可以对应于图2的第一网络节点210的位置211。关于位置数据结构证据的更多内容将在下面进一步描述。现在可以说,签名的位置数据结构证据被构造为由第二网络节点220可解释为确定其中包括有签名的位置数据结构证据的网络消息是由位置211内的计算系统处理的过程的输入。
第一网络节点然后将签名的位置数据结构证据包括在网络消息内(动作312)。例如,图4示出了网络消息400,其包括签名的位置数据结构证据411。第一网络节点210因此可以将签名的位置数据结构证据411放置在消息400内。数据结构被签名的这一事实在图2中由具有较粗线条的元素表示。
与传统技术不同,位置证据不是源IP地址本身。实际上,网络消息400示出了第一网络节点的第一网络节点地址401,其不同于位置数据结构证据411。作为示例,第一网络节点地址401可以是第一网络节点210的IP地址。
如前所述,第一网络节点210可以是网络消息400的来源,在这种情况下,第一网络节点210也构建网络消息400。在那种情况下,位置数据结构证据411可以在网络消息400被构建时或之后不久被放置在网络消息400内。此外,网络节点地址401将是消息400的源网络节点地址(例如,源IP地址)。
或者,如前所述,第一网络节点210可以已经接收和处理了消息400,并且在这样的处理中获得并且将位置数据结构证据410放置在消息400内。在那种情况下,第一网络节点地址可以是消息400内的中间地址(例如,中间IP地址)。
第一网络节点然后发起网络消息到第二网络节点的分派,网络消息包括签名的位置数据结构证据(动作313)。例如,在图2中,第一网络节点210通过网络230向第二网络节点220分派消息,如箭头231所示。分派的消息可以是例如图4的消息400,其中包括有位置数据结构证据410。
在本描述中,第一网络节点210在本文中被描述为在网络消息400内包括单个签名的位置数据结构证据。然而,第一网络节点210可以多次执行动作311和312以在网络消息400中插入多个签名的位置数据结构证据。这在图4中使用省略号412来表示。多个位置数据结构证据可以关于相同的位置411,或者可以关于可归因于第一网络节点210的不同位置。此外,多个签名的位置数据结构证据可以由第二网络节点220评估,或者可以每个签名的位置数据结构证据由网络消息231的路径中的不同网络节点处理。
一旦第二网络实体从第一网络实体接收网络消息(动作321),第二网络节点验证签名的位置数据结构证据在第一网络节点的特定位置被签名(动作322)。例如,第二网络实体220验证被包括在消息内的签名的位置数据结构证据411在第一网络节点210的特定位置211内被签名。
此外,为了进一步提高安全性,第二网络节点确定被包括在消息内的第一网络节点地址与签名的位置数据结构证据的签名相关联(动作323)。例如,第二网络节点220确定第一网络节点地址401与签名的位置数据结构证据411的签名相关联。
基于动作322的验证或动作322和323的验证,第二网络节点确定消息是由第一网络实体的位置内的计算系统处理的(动作324)。例如,第二网络节点220确定消息400是在特定位置211内处理的。
第二网络节点然后可以基于该确定来执行技术动作(动作325)。作为示例,这样的技术动作可以包括记录消息的接收,将与消息相关联的动作放置在队列中,同意被包括在消息内或与消息相关联的请求的全部或一部分,等等。
虽然第一网络节点210被描述为将签名的消息插入到网络消息400中,但是在第一网络节点210不是网络消息的来源的情况下,网络消息可以由已经具有包含在其中的一个或多个位置数据结构证据的第一网络节点220来接收。这些一个或多个其他位置数据结构证据也由图4中的省略号412表示。因此,第二网络节点202可以针对关于网络消息的先前路径中的多个位置针对被包括在网络消息内的多个位置数据结构证据中的一个、一些或全部中的每个执行动作322至324。
图5示出了用于第一网络节点获得签名的位置数据结构证据的方法500的流程图。方法500表示图2的第一网络节点210如何执行图3的动作311的一个示例。方法500可以在图6的环境506内执行。环境600包括位置601,位置601包括具有相关联的地址范围611的地址指派服务器610(例如,IP地址指派服务器)。地址指派服务器610能够将地址范围611中的地址(例如,IP地址)指派给位置601内的任何网络节点。
位置601还包括多个网络节点621至624,其中IP地址指派服务器610能够向其指派IP地址。尽管在位置601内示出了四个网络节点621至624,但是位置601可以包括任何数目的网络节点,如省略号625所示。因此,在这种情况下,位置601是表示能够由具有地址范围611的IP地址指派服务器610指派地址的所有网络节点的网络拓扑位置。
网络节点621至624之一(例如,网络节点621)可以是图2的第一网络节点210。在那种情况下,位置601是图2的特定位置211的示例。如上所述,图5的方法500用于第一网络节点获得签名的位置数据结构证据。此外,该方法可以在图6的环境600中执行。由网络节点(例如,第一网络节点210,其示例是网络节点621)执行的动作位于图5的左列中在标题“网络节点”下,并且在510几中标记。由地址指派服务器(例如,地址指派服务器610)执行的动作位于标题“指派服务器”下并且在520几中标记。
根据方法500,第一网络节点请求具有相关联的地址范围的地址指派服务器签名位置数据结构证据(动作511)。例如,在图6中,网络节点621可以请求地址指派服务器610签名并且返回位置数据结构证据。在本文中被称为“DHCP启动实施例”的实施例中,地址指派服务器是动态主机配置协议(DHCP)服务器,其在网络节点启动并且广播针对IP地址的请求时向这些节点指派IP地址。因此,在DHCP启动实施例中,动作在网络节点210(例如,网络节点621)从断电状态启动时执行。例如,针对签名的位置数据结构证据的请求可以从针对在网络节点启动时由网络节点广播(并且由DHCP服务器接收)的IP地址的正常请求来解释。因此,请求可以由DHCP服务器解释为对IP地址的请求和对签名的位置数据结构证据的请求。
地址指派服务器然后接收请求(动作521)。这在图6中由箭头631表示。地址指派服务器然后构造位置数据结构证据(动作522)。图7象征性地示出了这种位置数据结构证据700。位置数据结构证据700可以包括指派给第一网络节点510(例如,网络节点621)的地址701、地址指派服务器610的地址范围702、指派给网络节点的地址701的到期时间703和指派给网络节点的地址701的更新时间704。在DHCP启动实施例中,地址701可以是由DCHP服务器(地址指派服务器610的示例)从地址范围611内同时指派的地址。
地址指派服务器然后签名位置数据结构证据(动作523)。位置数据结构证据用签名来签名,使得第二网络节点520可以提取位置数据结构证据。例如,地址指派服务器610和第二网络节点220可以协调,使得第二网络节点220具有与由地址指派服务器610保存的私钥相关联的公钥,并且地址指派服务器610使用这个私钥签名位置数据结构证据。本文中描述的原理不限于如何完成这一点。用于完成这种协商的传统机制包括公钥基础设施(PKI)系统。在那种情况下,地址指派服务器可以通过这个系统与第一网络节点210可以证明其位置的每个可能的后续网络节点进行协商。或者,地址指派服务器可以简单地公布公钥,在这种情况下,第二节点220可以在接收网络消息之前或响应于接收到网络消息而简单地获得这个公钥。这样的发布可以使用域名系统(DNS)系统来发生。或者,公钥可以已经被包括在位置数据结构证据700内。
地址指派服务器然后向第一网络节点发送回签名的位置数据结构证据(动作524)。在DNS启动实施例中,地址指派服务器也可以向网络节点发送回指派的IP地址。例如,参考图6,如箭头631所示,地址指派服务器610向网络节点621提供回签名的位置数据结构证据(连同潜在的指派地址)。然后,第一网络节点接收签名的位置数据结构证据。
随着关于产生如何生成签名的位置数据结构证据的更多说法,现在将更多地描述关于动作322和323的验证如何发生。为了验证位置数据结构证据是在位置211处签名的,第二网络节点220首先相信可以从地址指派服务器指派地址的任何网络节点真正地在拓扑上位于同一地点。此外,因为第二网络节点220具有与由地址指派服务器用于签名位置证据的私钥相对应的公钥,所以位置证据是防篡改的或至少是防篡改的。也就是说,如果不能使用公钥从签名的位置数据结构证据中提取位置证据,则第二网络节点确定签名的位置数据结构证据已经被篡改。一旦第二网络节点使用与地址指派服务器相关联的公钥提取位置数据结构证据,第二网络节点然后可以验证网络节点地址701真正地在地址指派服务器的地址范围内。
替代地或另外地,第二网络节点220不预先拥有与由地址指派服务器使用的私钥相对应的公钥。在这种情况下,签名的位置数据结构证据700携带公钥或者地址指派服务的名称。
此外,对于动作323,第二网络节点验证被包括在网络消息411内的实际网络地址401可行地属于地址范围内。将签名的位置数据结构证据中的名称或公钥与第二网络节点处的一组可信地址指派服务器相比较。如果找到匹配,则认为匹配的公钥是可信的。签名验证通常包括重新计算位置信息的摘要,然后使用公钥对签名值进行处理,最后将其与摘要值相比较。通常,位置数据结构总是以明文形式可访问,签名证明(a)它是由可信源发出的(b)它在传送过程中未被修改。替代地,这可以通过简单地验证网络地址401与位置数据结构证据中包括的网络地址701相同或网络地址在数据结构的地址范围702的范围内来检查。在一些实施例中,地址范围702不需要被放置在位置数据结构证据内,而是简单地是第二网络节点已经基于与地址指派服务器的先前协商而确定的一条信息(例如,通过DNS系统或PKI系统)。动作323的这个最后验证防止构造的签名的位置数据证据从一个消息被复制到另一消息。
在一些实施例中,第一网络节点与第二网络节点之间的各种过程可以改变网络地址401。例如,负载平衡器、代理服务器、网络地址转换器和其他过程可以改变网络地址401。然而,在这种情况下,网络地址401被保存在网络消息400的一些其他部分中或在网络消息400与其他网络消息的聚合中。例如,假设网络消息400是IP分组。通过将各种IP分组进行聚合,可以恢复应用级HTTP消息。HTTP消息的X-Forwarded-For头部可以保留网络地址401,否则其将被这种中间过程写入。
如上所述,位置数据结构证据可以被绑定到第一网络节点210。这可以通过在被绑定到第一网络节点的位置证据内包括一条信息来完成。例如,当从地址指派服务器请求位置数据结构证据时,第一网络节点可以基于其可信平台模块(TPM)导出信息。这可以是驻留在第一网络节点上的实际物理TPM,也可以是TPM软件仿真。
在不脱离本发明的精神或基本特征的情况下,可以以其他具体形式来实施发明。所描述的实施例在所有方面仅被认为是说明性的而非限制性的。因此,本发明的范围由所附权利要求而不是由前面的描述来指示。在权利要求的等同物的含义和范围内的所有变化都将被包含在其范围内。
Claims (10)
1.一种计算机实现的方法,用于位于一位置的第一网络节点以使得第二网络节点能够确定消息是由所述位置内的计算系统处理的方式发起所述消息到所述第二网络节点的传送,所述计算机实现的方法由执行用于所述计算机实现的方法的计算机可执行指令的一个或多个处理器执行,并且所述计算机实现的方法包括:
所述第一网络节点获得与所述第一网络节点的所述位置相对应的签名的位置数据结构证据,所述签名的位置数据结构证据被构造为由所述第二网络节点可解释为确定所述消息是由所述位置内的计算系统处理的过程的输入;
所述第一网络节点将所述签名的位置数据结构证据包括在所述消息内;以及
所述第一网络节点发起包括所述签名的位置数据结构证据的所述消息到所述第二节点的分派,使得所述第二网络节点能够基于对至少所述签名的位置数据结构证据的处理来确定所述消息是由所述第一网络节点的所述位置内的计算系统处理的,并且使得所述第二网络节点能够基于所述确定来执行技术动作。
2.根据权利要求1所述的计算机实现的方法,其中所述第一网络节点引起所述消息。
3.根据权利要求1所述的计算机实现的方法,其中所述第一网络节点在向所述第二网络节点路由所述消息之前接收和处理所述消息。
4.根据权利要求1所述的计算机实现的方法,所述第一网络节点获得签名的位置数据结构证据包括:
所述第一网络节点请求与地址范围相关联的地址指派服务器签名位置数据结构证据;以及
所述第一网络节点响应于所述请求接收所述签名的位置数据结构证据。
5.根据权利要求1所述的计算机实现的方法,其中所述位置数据结构证据由地址指派服务器签名,所述地址指派服务器具有包括指派给所述第一网络节点的地址的相关联的地址范围。
6.根据权利要求1所述的计算机实现的方法,其中所述位置数据结构证据包括指派给所述第一网络节点的地址。
7.根据权利要求1所述的计算机实现的方法,其中所述消息进一步包括所述第一网络节点的互联网协议(IP)地址。
8.根据权利要求1所述的计算机实现的方法,其中所述位置是地理位置。
9.根据权利要求1所述的计算机实现的方法,其中所述位置是网络拓扑位置。
10.一种计算系统,包括:
一个或多个处理器;
一个或多个计算机可读介质,包括计算机可执行指令,所述计算机可执行指令在由所述一个或多个处理器执行时使得所述计算系统利用在从位于一位置内的第一网络实体接收到包括与第一网络节点的位置相对应的签名的位置数据结构证据的网络消息时执行以下操作的架构来操作:
验证所述签名的位置数据结构证据是在所述第一网络节点的位置签名的;以及
在第二网络节点处基于所述验证确定所述消息是由所述第一网络实体的所述位置内的计算系统处理的,使得所述第二网络节点能够基于所述确定来执行技术动作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/929,081 | 2015-10-30 | ||
| US14/929,081 US10084705B2 (en) | 2015-10-30 | 2015-10-30 | Location identification of prior network message processor |
| PCT/US2016/058336 WO2017074824A1 (en) | 2015-10-30 | 2016-10-22 | Location identification of prior network message processor |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108141704A true CN108141704A (zh) | 2018-06-08 |
| CN108141704B CN108141704B (zh) | 2021-01-15 |
Family
ID=57233913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680056761.6A Active CN108141704B (zh) | 2015-10-30 | 2016-10-22 | 先前网络消息处理器的位置标识 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10084705B2 (zh) |
| EP (1) | EP3369261B1 (zh) |
| CN (1) | CN108141704B (zh) |
| WO (1) | WO2017074824A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324437A (zh) * | 2019-07-09 | 2019-10-11 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1677978A (zh) * | 2004-03-31 | 2005-10-05 | 微软公司 | 会话启动协议路由标题的签署和确认 |
| US20080065775A1 (en) * | 2006-09-13 | 2008-03-13 | Cisco Technology, Inc. | Location data-URL mechanism |
| CN101589596A (zh) * | 2007-01-26 | 2009-11-25 | 交互数字技术公司 | 用于保护位置信息和使用该位置信息来访问控制的方法和装置 |
| US20110013562A1 (en) * | 2008-01-31 | 2011-01-20 | Henrik Levkowetz | Method and apparatus for providing mobility to a mobile node |
| US20110093615A1 (en) * | 2008-07-02 | 2011-04-21 | Oscar Novo Diaz | Peer node selection in a peer to peer communication network |
| CN104106277A (zh) * | 2012-02-10 | 2014-10-15 | 高通股份有限公司 | 促使对移动装置的被发现位置服务器的安全接入 |
| US20150270975A1 (en) * | 2014-03-20 | 2015-09-24 | Certicom Corp. | Method for validating messages |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8688834B2 (en) | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| EP1771979B1 (en) | 2004-07-23 | 2011-11-23 | Citrix Systems, Inc. | A method and systems for securing remote access to private networks |
| US7925027B2 (en) | 2005-05-02 | 2011-04-12 | Ntt Docomo, Inc. | Secure address proxying using multi-key cryptographically generated addresses |
| US7624181B2 (en) | 2006-02-24 | 2009-11-24 | Cisco Technology, Inc. | Techniques for authenticating a subscriber for an access network using DHCP |
| CN101232369B (zh) | 2007-01-22 | 2010-12-15 | 华为技术有限公司 | 动态主机配置协议中密钥分发方法和系统 |
| CN102739677B (zh) | 2007-06-29 | 2015-09-09 | 华为技术有限公司 | 一种加密生成地址的配置方法、系统和装置 |
| US7984293B2 (en) | 2007-07-13 | 2011-07-19 | L3 Communications Corporation | Secure host network address configuration |
| EP2238735B1 (en) * | 2008-01-31 | 2011-08-17 | Telefonaktiebolaget L M Ericsson (publ) | Method and apparatus for allocation of parameter values in a communications system |
| US7743163B2 (en) * | 2008-04-30 | 2010-06-22 | Bally Gaming, Inc. | Download and data transfer gaming system |
| CN101594230B (zh) | 2008-05-30 | 2012-06-27 | 华为技术有限公司 | 处理动态主机配置消息的方法、装置及系统 |
| US9148335B2 (en) | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
| US8387112B1 (en) * | 2008-10-29 | 2013-02-26 | Juniper Networks, Inc. | Automatic software update on network devices |
| CA2717222A1 (en) * | 2009-10-08 | 2011-04-08 | Compriva Communications Privacy Solutions Inc | System, device and method for securely transferring data across a network |
| US20160380776A1 (en) * | 2015-06-29 | 2016-12-29 | Cisco Technology, Inc. | Secured neighbor discovery registration upon device movement |
-
2015
- 2015-10-30 US US14/929,081 patent/US10084705B2/en active Active
-
2016
- 2016-10-22 EP EP16791220.3A patent/EP3369261B1/en active Active
- 2016-10-22 CN CN201680056761.6A patent/CN108141704B/zh active Active
- 2016-10-22 WO PCT/US2016/058336 patent/WO2017074824A1/en active Application Filing
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1677978A (zh) * | 2004-03-31 | 2005-10-05 | 微软公司 | 会话启动协议路由标题的签署和确认 |
| US20080065775A1 (en) * | 2006-09-13 | 2008-03-13 | Cisco Technology, Inc. | Location data-URL mechanism |
| CN101589596A (zh) * | 2007-01-26 | 2009-11-25 | 交互数字技术公司 | 用于保护位置信息和使用该位置信息来访问控制的方法和装置 |
| US20110013562A1 (en) * | 2008-01-31 | 2011-01-20 | Henrik Levkowetz | Method and apparatus for providing mobility to a mobile node |
| US20110093615A1 (en) * | 2008-07-02 | 2011-04-21 | Oscar Novo Diaz | Peer node selection in a peer to peer communication network |
| CN104106277A (zh) * | 2012-02-10 | 2014-10-15 | 高通股份有限公司 | 促使对移动装置的被发现位置服务器的安全接入 |
| US20150270975A1 (en) * | 2014-03-20 | 2015-09-24 | Certicom Corp. | Method for validating messages |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324437A (zh) * | 2019-07-09 | 2019-10-11 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
| CN110324437B (zh) * | 2019-07-09 | 2020-08-21 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108141704B (zh) | 2021-01-15 |
| US20170126562A1 (en) | 2017-05-04 |
| US10084705B2 (en) | 2018-09-25 |
| EP3369261A1 (en) | 2018-09-05 |
| WO2017074824A1 (en) | 2017-05-04 |
| EP3369261B1 (en) | 2019-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alamri et al. | Blockchain for Internet of Things (IoT) research issues challenges & future directions: A review | |
| CN110349056A (zh) | 基于区块链的业务处理系统以及方法 | |
| JP2019537330A5 (zh) | ||
| CN107294729A (zh) | 区块链中不同节点之间的通信方法及装置 | |
| US11005811B2 (en) | Computer systems and methods for managing IP addresses | |
| CN114844626A (zh) | 安全区块链路由技术 | |
| CN105072108B (zh) | 用户信息的传输方法、装置及系统 | |
| CN110351228A (zh) | 远程登录方法、装置和系统 | |
| CN110191031A (zh) | 网络资源访问方法、装置、电子设备 | |
| CN108270882A (zh) | 域名的解析方法和装置、存储介质、电子装置 | |
| CN103842958A (zh) | 支持系统中的安全通信的实施 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| US8949952B2 (en) | Multi-stack subscriber sign on | |
| CN109905239A (zh) | 一种证书管理方法及装置 | |
| CN110351276A (zh) | 数据处理方法、设备及计算机可读存储介质 | |
| CN105519028A (zh) | 一种无线系统接入控制方法及装置 | |
| CN115913790B (zh) | 基于隐私计算网络的数据传输方法、电子设备和存储介质 | |
| CN109067768A (zh) | 一种域名查询安全性的检测方法、系统、设备和介质 | |
| CN110351364A (zh) | 数据存储方法、设备及计算机可读存储介质 | |
| CN108141704A (zh) | 先前网络消息处理器的位置标识 | |
| CN104219336A (zh) | 实现数据连接的方法、装置及系统 | |
| CN109120611A (zh) | 用于地址生成服务器的用户认证方法、设备、系统及介质 | |
| JP2017091478A (ja) | サイバー攻撃メール対応訓練システム | |
| CN106685901A (zh) | 用于处理跨域数据的方法、第一服务器及第二服务器 | |
| CN110266698A (zh) | 通过区块链的知识分享数据上链方法及其设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |