CN111373704B - 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 - Google Patents
一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 Download PDFInfo
- Publication number
- CN111373704B CN111373704B CN201980005057.1A CN201980005057A CN111373704B CN 111373704 B CN111373704 B CN 111373704B CN 201980005057 A CN201980005057 A CN 201980005057A CN 111373704 B CN111373704 B CN 111373704B
- Authority
- CN
- China
- Prior art keywords
- network
- user
- identification
- identity
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 82
- 238000005516 engineering process Methods 0.000 claims abstract description 10
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 7
- 239000011159 matrix material Substances 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 37
- 230000007246 mechanism Effects 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 20
- 230000006399 behavior Effects 0.000 claims description 18
- 230000006870 function Effects 0.000 claims description 11
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 5
- 230000008520 organization Effects 0.000 claims description 5
- 238000012790 confirmation Methods 0.000 claims description 3
- 210000000554 iris Anatomy 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 210000000056 organ Anatomy 0.000 claims description 2
- 230000000750 progressive effect Effects 0.000 claims description 2
- 238000011278 co-treatment Methods 0.000 abstract description 4
- 230000006978 adaptation Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 31
- 238000011161 development Methods 0.000 description 12
- 230000006872 improvement Effects 0.000 description 9
- 238000007689 inspection Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000004630 mental health Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000002689 soil Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种支持多模标识网络寻址渐进去IP的方法、系统及存储介质,本发明提出了一套融合区块链的新型网络多模标识产生管理及其路由寻址系统,利用多模标识动态适配及互通技术来突破现有网络一切基于IP层的性能以及安全瓶颈;使用分布式区块链共识算法实现互联网共管共治的本愿。网络所有的网络资源都将锁存在区块链上,保证网络资源真实可信、不被篡改;使用高效能、低开销的分布式存储技术来实现多模标识寻址的安全性以及不可篡改性;同时,引入结合生物身份特征信息的用户实名登记及入网登录管理策略以及隐私保护的签名策略,降低系统的管理成本以及提高接入节点信息的隐私安全。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种支持多模标识网络寻址渐进去 IP的方法、系统及存储介质。
背景技术
随着当今互联网技术的日益革新,互联网已经成为社会发展不可缺失的一环,其作为信息的一种载体,已经渗透到包括国家政治、经济发展、文化教育、医疗卫生等人类生活的各种领域。其互联网最为核心的服务为域名解析服务,即完成IP地址与目标服务器之间相互映射的过程。然而,随着5G移动技术蓬勃发展、数据存储设备成本降低、新应用场景拓展的背景下,互联网上的信息正成指数级的膨胀。思科公司报告预计2019年全球手机份额为69%,其无线数据流量将到达2920亿GB,而这其中流媒体将占比约80%。同时,其网络信息来源呈现出多元化的发展趋势,用户不再关心内容的存储位置而更在乎内容信息的本身。这意味着传统基于IP的互联网正面临着前所未有的巨大挑战,由于IP地址与身份的过载特性,传统互联网中数据内容对路由层完全透明。因此现阶段中互联网中重复传输了许多同样内容,造成了网络资源以及能源的浪费,成为了制约网络性能发展的一大痛点。
不仅如此,传统网络也存在着监管不善、安全性能弱等严重威胁社会发展的问题。同时,DNS域名解析系统本身的安全问题也不容忽视,2010 年1月12日百度域名被劫持,导致多个地区在长达4小时内无法正常访问百度,有的地区在24小时后才恢复正常。
针对互联网存在的上述诸多安全问题以及性能痛点,越来越多的国内外科研机构及公司将研发的重点放在了新型网络体系架构上,在众多新提出的网络体系中,以天生支持内容推送以及订阅的内容中心网络CCN最引人注目。
CCN从传统关注服务器和主机IP地址.转变为只关心数据的内容是否符合要求。用户不再关心由哪一台主机提供服务。而是关心如何更快、更准确和更高效地获取数据。于是在这个内容为王道的年代,科研人员设想出了一种以内容为基础的网络体系结构。经过这几年的发展,CCN体系结构以及测试床搭建上取得了显著的成果,但由于其颠覆式的网络体系架构导致其布网以及大规模部署时存在许多技术难题。CCN只从内容为核心构建整体网络,并未考虑未来万物互联时代对用户身份标识以及卫星地空标识的合理规划以及应用,导致其在面对不同业务流程时存在扩展性不足的缺陷。同时,CCN网络也未对内容的安全进行合理的管理,无法解决现阶段IP网络存在的数据泄露等问题。
DNS解析域名解析服务是Internet最为重要的一项核心服务。通过 DNS,用户能更方便地访问互联网,而不需要记住能够被机器直接读取但人类难以理解和记忆的IP地址。DNS协议是应用层协议,运行在UDP协议之上,使用端口号53。
DNS利用类似树状目录的架构,将主机名的管理分配在不同层级的 DNS服务器当中,通过分层管理的策略,得以实现现阶段IP到域名的快速解析以及访问。通常Internet主机域名的一般结构为:主机名.三级域名. 二级域名.顶级域名。Internet的顶级域名由Internet网络协会域名注册查询负责网络地址分配的委员会(ICANN)进行登记和管理,它还为Internet 的每一台主机分配唯一的IP地址。其解析流程大致如下:当DNS用户需要查询程序中使用的名称时,它会查询本地DNS服务器来解析该名称。用户发送的每条查询消息都包括3条信息,以指定服务器应回答的问题。 DNS查询以各种不同的方式进行解析。用户有时也可通过使用从以前查询获得的缓存信息就地应答查询。DNS服务器可使用其自身的资源记录信息缓存来应答查询,也可代表请求用户来查询或联系其他DNS服务器,以完全解析该名称,并随后将应答返回至用户。
DNS的主要缺点在于,第一,域名管理过于中心化:在现有的DNS 中,顶级域名的产生、分配完全依赖于ICANN,缺失公平竞争的机制无法实现互联网共管共治的开发本愿,同时域名交易,变更手续繁琐,这也导致域名的管理效率低下。第二,安全问题:DNS系统是一个中心化递归架构系统,使得其面对DDoS等网络攻击时显得较为脆弱。第三,隐私问题:现阶段互联网确实有效的隐私保护策略,导致数据盗取以及滥用现象十分严重。
发明内容
本发明提供了一种支持多模标识网络寻址渐进去IP的方法,其特征在于,包括构建网络,该网络采用自上到下层级化网络域进行划分,其中网络的顶级域由各个国家的政府机构作为顶级标识管理节点,组成全球联盟共同管理标识的产生登记及解析管理,网络中所有的网络资源都将锁存在区块链上;一级域及以下各级域为相应行政或专业机构管理,其域内的标识管理方式、标识注册方案及共识算法可以不同;
网络中存在监管节点、个人用户以及企业用户网络节点,每个域内均有相应的网络监管节点,网络监管节点负责域内用户管理、标识注册、标识间互通以及标识路由服务,同时每个网络监管节点存在面向内容网络标识、空间地理位置标识、身份信息及IP地址多模标识;上下域之间通过网络监管节点作为数据访问接口以实现层级化的数据传输;个人用户包括传统意义上的个人用户以及物联网时代的终端节点在网络中带有移动特性的网络接入节点,企业用户包括政府机关、专业机构、公司及具有内容发布权的网站的组织机构;
网络支持包括身份标识、内容标识、空间地理位置标识及IP地址标识的多种标识共存的网络层路由寻址,其网络中的所有资源的内容标识均会和发布者的身份标识相互绑定,用户登陆网络时的空间地理位置标识及访问的网络资源将记录在所在域的网络监管节点区块链上用于安全监管及数据保护。
作为本发明的进一步改进,该方法包括标识注册步骤、网络资源请求步骤;
所述标识注册步骤包括:
步骤1,注册资源:网络节点接收用户的资源注册内容,同时网络节点将根据内容存放的位置节点加上地理空间位置标识以及内容发布人的身份标识;
步骤2,网络节点认证:本域的网络节点在接收到用户传输的标识注册请求之后,网络节点将对其内容及其用户信息进行审查,随后对该资源标识进行注册,随后将产生的标识注册请求上传至上一级域并加上本地的标识前缀;
步骤3,标识注册请求传输:当上一级网络节点接收到标识注册请求之后,将按照设定的数据传输协议将其注册标识报文传输到其所在域的控制器进行后续认证及注册操作;
步骤4,标识校验:顶级域内的网络节点在接收到其下级网络域的标识注册请求之后,将对该请求的数据进行校验并将返回给原申请节点相应的确认信号;同时将采用设定的分布式存储方案来保证所有注册的标识均无法被篡改,原标识信息将存储在顶级域的分布式数据库之上,每经过一个设定的时间之后,全网将进行相应的数据库同步工作以确认各个顶级域名之间的资源标识信息对等且统一;
所述网络资源请求步骤包括:
步骤A,查询请求:向最近的网络节点传送查询请求;
步骤B,本地标识数据查询:当最近的多模网络节点接收到用户所发出的请求之后,将根据查询的标识进行区分,如果是IP地址则继续传统的 DNS查询流程,如果是身份或内容标识,那么查询转发表,转发表里记载了标识内容是否存在本地数据库中,如果是,那么返回相应的标识内容,否则执行步骤C;
步骤C,请求查询传输:当本地数据库内没有相应的标识内容时,将此查询请求上传至上一级网络节点之中,上一级网络节点在接受到下一级所发送的查询请求之后,将按照步骤A至步骤B进行查询,如果查询到相应的标识内容,将返回给相应的内容标识给下一级网络节点,否则,将此查询请求接着传递给上一级网络节点,直到顶级域的网络节点;
步骤D,标识查询验证及互通:若顶级域节点在查询到相关已被注册标识之后,将自动根据现有网络的动态拓扑结构来下发相关的最短路径,网络中的转发线路上的相关多模网络节点将收到新的转发路径表,通过多跳路由建立数据传输通路;若顶级域内节点未查询到相应的标识,同时查询数据库中该标识对应的其他网络标识信息,进行步骤E;
步骤E,标识请求下发:顶级域内网络节点将根据原标识以及转换标识后的第一个前缀对查询请求进行下发至指定的网络域,直至到达查询请求所指定的最下级网络节点进行本地查询;若成功查询到相应标识内容,则将相应的资源内容传递给查询请求方,否则,返回查询错误信息。
作为本发明的进一步改进,网络系统中的资源均具有相对应的多种标识,用以指代其内容名字、发布者身份、空间地理位置,通过标识间的绑定和互通,网络中各方的内容发布和访问行为可以得到有效的控制和监管;同时,将多模网络标识直接运用于网络层的寻址过程中,通过多模标识的动态匹配和互通技术,用户可以在多种寻址方式间做出选择,以应对复杂多变的应用需求和网络环境。
作为本发明的进一步改进,除传统的IP地址外,寻址过程基于以下三种标识:
面向内容名字的寻址:使用层级化的字符串标识网络中的每一个资源,为了支持直接面向内容名字的寻址过程,多模网络节点均拥有以名字作为键的转发信息表,以记录每个名字对应的转发端口信息;数据的传输以用户驱动的方式进行:内容的请求者将内容名录入兴趣报文中并发送至网络;多模网络节点将兴趣报文的到来端口记录在未决兴趣表中,并查询转发信息表将报文转发,直至其到达一个内容的持有者;通过查询未决兴趣表,包含了请求内容的数据包将沿着兴趣报文的到来路径回溯给请求者;面向内容名字的寻址过程将数据自身和数据所处的具体位置相解耦,为网络系统提供了更大的灵活性;
面向身份的寻址:身份用于局部或者全局唯一地指代一个用户,用户在网络上的行为,包括对网络资源的发布和访问,将受制于其身份决定的具体权限,且任一行为均可以追溯到用户的身份信息;
面向空间地理位置的寻址:位置信息不但可以代表现实意义上的地理位置,还可以代表抽象空间中的虚拟位置,为防止寻址过程中发生歧义,本系统中两个用户的位置将不会发生重合;面向空间地理位置的寻址过程是:多模网络节点计算每个邻居和目的地之间的几何距离,并贪婪地选取最小者作为转发对象。
作为本发明的进一步改进,在所述面向身份的寻址中,身份标识包括公钥、用户本人证件ID、移动电话的IMEI码。
作为本发明的进一步改进,在所述面向名字的寻址和面向身份的寻址中,采用基于身份标识和组合矩阵的安全机制,在所述安全机制中,采用的密码机制为椭圆曲线加密,若给定椭圆曲线上的基点G和它的阶n,则以正整数r<n作为私钥,而G的r倍点rG=R作为公钥,私钥矩阵(rij)m×n为 m×n阶,其中每个元素rij均是满足rij<n的正整数;并通过对应关系 rijG=Rij生成公钥矩阵(Rij)m×n;私钥矩阵仅由密钥管理机构持有,用于用户的私钥分发;而公钥矩阵则由每一个网络节点持有,用于数据的签名认证;密钥管理机构通过用户的身份标识ID和私钥矩阵(rij)生成用户的私钥rID。
作为本发明的进一步改进,在所述基于身份标识和组合矩阵的安全机制中,私钥生成过程由以下方式实现:基于加密芯片和密码学运算,每个身份标识ID均可以唯一地生成一串下标序列:
GenerateSub(ID)={i1,i2,...il,j1,j2,...jl}
GenerateSub(ID)表示从身份标识ID生成下标的函数,i1,i2...il表示矩阵的行坐标,j1,j2...jl表示矩阵的列坐标;
此时ID对应的私钥为私钥矩阵中下标对应项的加和:
同样,ID对应的公钥可以由验证方通过公钥矩阵和身份标识ID计算出:
由于G的倍点构成一个交换群,有:
rIDG代表基点G的rID倍点;
因此(rID,RID)构成私-公钥对关系,通过这种方式,不但完成了身份标识同公钥之间的一一绑定,保障了网络行为的可监管性和可追查性,还省去了频繁的公钥请求流程,提升了网络的实际性能。
作为本发明的进一步改进,该方法包括名字和身份间的互通过程,在名字和身份间的互通过程中,将内容的名称与其原发布者的身份标识相绑定,并采用可验证的拓展名用于标识网络资源,其形式如下:
/UniqueIDA/SubIDA/Name/Sig(Name,PrKA)
其中UniqueIDA是发布者A的全局唯一的身份标识,不会发生碰撞,由该标识生成用户的公-私钥对;SubIDA是A发布该内容时采用的次级身份标识,因网络中的同一用户可能兼有多种身份;Name是层级化的内容名; Sig(Name,PrKA)是A对内容名所做的签名;当内容被用户接收,或被多模网络节点缓存之前,其签名必须被验证以保证其合法性;使用前缀树的数据结构以支持对名字和身份标识的存储和查询操作,在前缀树中,根节点的每条连接边均对应一个用户,我们使用全局唯一的身份标识UniqueIDA,用以对各个用户进行指代,每个用户节点均记录着该用户对应的F转发信息表的表项和空间位置信息,前缀树的第二层代表每个用户拥有的多种身份标识,若用户A1以身份发布了资源Name1,则其对应的名字节点将成为身份的子节点,该名字节点会记录签名 Sig(Name1,PrKA1),以及该名字对应的转发信息表的表项和空间位置信息,通过在该前缀树中的查询操作,可以完成名字和身份标识,或同一用户拥有的多种身份标识间的相互转换。
作为本发明的进一步改进,该方法包括位置和名字、身份间的转换过程,在内容名字、身份间的互通过程中,每个用户均对应着一个唯一的现实或虚拟的空间地理位置标识,而对于网络中的某个内容名字,为了减小路由延迟,我们将它的位置标识设置为"持有该名字对应内容的最近的节点位置",由上层控制节点计算并下发;通过将对应的位置信息记录到所述前缀树中,可以完成从名字、身份到空间地理位置的互通操作;为了各用户的位置不会发生碰撞,我们使用空间地理位置-身份的散列表以完成它们间的映射操作。
作为本发明的进一步改进,该方法包括用户管理及隐私保护策略,在用户管理及隐私保护策略中,所有用户终端在网络中发送标识注册请求时,都会捆绑相应的身份信息以保证网络的正常运行,用户用一个指定的哈希函数并加上用户的身份信息中生成身份证书,其身份证书将为该用户在网络中的身份证明,同时将空间地理位置标识作为该用户的辅助标识信息;同时,系统将把该用户的公钥发送给网络监管节点,然后用户使用自己的身份证书对标识注册请求进行签名,并和标识注册请求一起发送给网络监管节点;网络监管节点首先用与用户相同的哈希函数从接收到的标识注册请求中验证用户的合法性,再根据用户的公钥来对附加的签名进行解密,比较这两个哈希值,若相同则可确认签名属于用户;若标识注册请求被网络监管节点确认,系统将存储该用户的身份证书到分布式数据中,保证以后对该标识内容进行溯源以及监管;系统将对用户所发布的网络内容进行分级,用户访问网络资源时将根据其访问者的身份信息确定访问权限。
作为本发明的进一步改进,该方法包括个人用户接入网络步骤,在个人用户接入网络步骤中,用户通过传统Internet接入该网络系统时,网络节点将记录该用户终端的MAC地址作为身份标识存储到网络中,同时还将记录该用户终端的空间地理位置,其形式为空间三维坐标,对于手机用户而言,将同时记录该手机的IMEI码作为身份认证信息的一部分,在每个网络域的边界处设有相应的网关设备,保证用户可以通过多种网络标识访问互联网资源;用户通过新型网络标识接入网络时,将在用户的本地节点存储相关的身份信息,包括不限于用户的指纹、虹膜等具有追溯用户身份的生物信息,该身份信息只存放于用户节点本地用于生成用户签名,并不在多模标识网络中传输;同时,将个人用户的身份标识与其发布的各种内容标识相绑定,其身份标识作为该网络内容的一种寻址标识,方便网络中其余节点直接通过用户标识对网络资源进行寻址,提高网络资源查询效率。
作为本发明的进一步改进,该方法包括企业用户接入网络步骤,在企业用户接入网络步骤中,企业用户将捆绑政府或专业机构所颁发的身份识别码作为身份标识以登陆网络,其发布的网络资源也将绑定其企业身份信息,企业用户所发布的网络资源及服务器所在的空间地理位置标识将记录在所在域的网络监管节点区块链上用于安全监管及数据保护。
本发明还提供了一种支持多模标识网络寻址渐进去IP的系统,包括:存储器、处理器以及存储在所述存储器上的计算机程序,所述计算机程序配置为由所述处理器调用时实现本发明所述的方法的步骤。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序配置为由处理器调用时实现本发明所述方法的步骤。
本发明的有益效果是:本发明提出了一套融合区块链的新型网络多模标识产生管理及其路由寻址系统,利用多模标识动态适配及互通技术来突破现有网络IP层细腰的性能以及安全瓶颈;使用分布式区块链共识算法实现互联网共管共治的本愿。网络所有的网络资源都将锁存在区块链上,保证网络资源真实可信、不被篡改;使用高效能、低开销的分布式存储技术来实现多模标识路由的安全性以及不可篡改性;同时,引入结合生物身份特征信息的用户实名登记及入网登录管理策略以及隐私保护的签名策略,降低系统的管理成本以及提高接入节点信息的隐私安全。
附图说明
图1是本发明的总体架构图。
图2是本发明的基于身份标识和组合矩阵的安全机制示意图。
图3是本发明的前缀树的数据结构示意图。
具体实施方式
缩略语和关键术语定义:
多模标识网络:多种路由标识并存的网络。多种路由共存是指以特定寻址方式(多态寻址)为依据,建立满足所需的各种约束属性的网络路由过程。其主要支持多种网络体系结构并存,满足多种应用业务需求。
SDN(Software Defined Network),软件定义网络。其核心通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。
CCN(Content-Centric Networking),命名数据网络。采用名字为网络路由标识,通过多模网络节点来缓存内容,从而使数据传输更快,并能提高内容的检索效率。
本发明公开了一种支持多模标识网络寻址渐进去IP的方法,如图1 所示为本发明网络总体架构,整个新型多模标识的网络系统采用自上到下层级化网络域进行划分。其中网络的顶级域由各个国家的政府机构作为顶级标识管理节点,其共同维持一条联盟链来达成全网共识,实现互联网共管共治的本愿。网络所有的网络资源都将锁存在区块链上,保证网络资源真实可信、不被篡改。一级域及其它域为相应国家及专业机构管理,其域内的标识管理方式、标识注册方案及共识算法可以不同,其具体实现细节也可不同,通过低耦合的方式来保证系统之间的安全性以及实现各层级之间的特殊性以及定制性。上下域之间通过网络监管节点作为数据访问接口以实现层级化的数据传输。互联网管控的权利交由全世界互联网参与者,不再是某个独立的机构垄断,实现后IP时代网络空间的多边共管共治共享,平等开放。
新型网络系统中存在监管节点、个人用户以及企业用户等网络节点。每个域内均有相应的网络监管节点,主要负责域内用户管理、标识注册、标识转换以及标识路由等服务,同时每个网络监管节点存在面向内容网络标识,空间地理位置标识、身份信息及IP地址等多模标识。个人用户包括传统意义上的个人用户以及物联网时代的终端节点等在网络中带有移动特性的网络接入节点。企业用户包括政府机关、专业机构、公司及具有内容发布权的网站等组织机构。
新型网络支持包括身份标识、内容标识、空间地理位置标识及IP地址标识等多种标识共存的网络层路由寻址。其网络中的所有的资源的内容标识均会和发布者的身份标识相互绑定,用户登陆网络时的空间信息标识及访问的网络资源将记录在所在域的网络监管节点区块链上用于安全监管及数据保护。
由于新型网络的所有各方发布内容和访问行为都受到有效的保护及管理,其接入网络所产生的行为不可抵赖。任何网络攻击或非法行为也将被域内区块链记录下来,因此以这些标识的使用将使得网络空间处于有序与安全的状态,将引导用户的各种流量承载到与身份绑定的新型标识网络如面向内容标识、身份标识上来。而自然的减少在没有任何安全保障的IP网络流量。追求高可信服务的信息发布方将以他们的信息发布到新型标识上,从而自然引导网络流量及体系的去IP化。
本发明包括用户接入网络流程,具体包括个人用户接入网络步骤和企业用户接入网络步骤。
个人用户接入网络步骤:
在该网络中IP标识并不作为主要的路由寻址标识。用户通过传统 Internet接入该网络系统时,网络节点将记录该用户终端的MAC地址作为身份标识存储到网络中,其形式为 cn/guangdong/shenzhen/44-8A-5B-85-58-D2。同时还将记录该用户终端的空间地理位置标识,其形式为空间三维坐标。对于手机用户而言,将同时记录该手机的IMEI码作为身份认证信息的一部分。在每个网络域的边界处设有相应的网关设备,保证用户可以通过多种网络标识访问互联网资源。
用户通过新型网络标识接入网络时,将存储用户接入传统Internet全部信息。同时将在用户的本地节点存储相关的身份信息,包括不限于用户的指纹、虹膜等特定的具有追溯用户身份的生物信息。该身份信息只存放于用户节点本地用于生成用户签名,并不在新型多模标识网络中传输。同时,在未来物联网场景、5G发展、个人用户生活习惯改变下,移动接入方式将成为互联网的主要接入方式之一。将个人用户特定的身份标识与其发布的各种内容标识相绑定,其身份标识作为该网络内容的一种寻址标识,方便网络中其余节点直接通过用户标识对网络资源进行路由寻址,提高网络资源查询效率。
企业用户接入网络步骤:
企业用户将捆绑政府或专业机构所颁发的身份识别码作为身份标识以登陆网络,其发布的网络资源也将绑定其企业身份信息。企业用户所发布的网络资源及服务器所在的空间信息标识将记录在所在域的网络监管节点区块链上用于安全监管及数据保护。
本发明包括网络路由方案,网络路由方案包括标识注册步骤和网络资源请求步骤。
所述标识注册步骤包括:
步骤1,注册资源:网络节点接收用户的资源注册内容,即在该网络中,任何能够被路由寻址的资源都要求先向网络节点注册,然后才能被其他的网络设备访问。所以用户首先要向任意一个网络节点注册名称为“/pku/movie/hello.mkv”的内容。宣称其对该内容的所有权。同时网络节点将根据内容存放的位置节点加上地理空间位置标识以及内容发布人的身份标识。
步骤2,网络节点认证:本域的网络节点在接收到用户传输的标识注册请求之后,网络节点将对其内容及其用户信息进行审查(审查包括人工审查或自动审查,自动审查可以采用区块链的智能合约),随后对该资源标识进行注册,随后将产生的标识注册请求上传至上一级域并加上本地的标识前缀;
步骤3,标识注册请求传输:当上一级网络节点接收到标识注册请求之后,将按照设定的数据传输协议将其注册标识报文传输到其所在域的控制器进行后续认证及注册操作;
步骤4,标识校验:顶级域内的网络节点在接收到其下级网络域的标识注册请求之后,将对该请求的数据进行校验并将返回给原申请节点相应的确认信号;同时将采用设定的分布式存储方案来保证所有注册的标识均无法被篡改,原标识信息将存储在顶级域的分布式数据库之上,每经过一个设定的时间之后,全网将进行相应的数据库同步工作以确认各个顶级域名之间的资源标识信息对等且统一。
所述网络资源请求步骤包括:
步骤A,查询请求:向最近的网络节点传送查询请求;当请求的内容已获得网络注册的时候,客户端即可使用相应的统一资源标识符获取所需要的网络资源。
步骤B,本地标识数据查询:当最近的多模网络节点接收到用户所发出的请求之后,将根据查询的标识进行区分,如果是IP地址则继续传统的 DNS查询流程,如果是身份或内容标识,那么查询转发表,转发表里记载了标识内容是否存在本地数据库中,如果是,那么返回相应的标识内容,否则执行步骤C;
步骤C,请求查询传输:当本地数据库内没有相应的标识内容时,将此查询请求上传至上一级网络节点之中,上一级网络节点在接受到下一级所发送的查询请求之后,将按照步骤A至步骤B进行查询,如果查询到相应的标识内容,将返回给相应的内容标识给下一级网络节点,否则,将此查询请求接着传递给上一级网络节点,直到顶级域的网络节点;
步骤D,标识查询验证及互通:若顶级域节点在查询到相关已被注册标识之后,将自动根据现有网络的动态拓扑结构来下发相关的最短路径,网络中的转发线路上的相关多模网络节点将收到新的转发路径表,通过多跳路由建立数据传输通路;若顶级域内节点未查询到相应的标识,同时查询数据库中该标识对应的其他网络标识信息,进行步骤E;
步骤E,标识请求下发:顶级域内网络节点将根据原标识以及转换标识后的第一个前缀对查询请求进行下发至指定的网络域,直至到达查询请求所指定的最下级网络节点进行本地查询;若成功查询到相应标识内容,则将相应的资源内容传递给查询请求方,否则,返回查询错误信息。
多模标识网络寻址:
新型网络系统中的资源均具有相对应的多种标识,用以指代其内容名字、发布者身份、网络位置等信息,通过标识间的绑定和互通,网络中各方的内容发布和访问行为可以得到有效的控制和监管。同时,我们将多模网络标识直接运用于网络层的寻址过程中,通过多模标识的动态匹配和互通技术,用户可以在多种寻址方式间做出选择,以应对复杂多变的应用需求和网络环境,以此提升了系统的稳定性和适应性,并为我们今后设计更具创新性的智能寻址策略提供了可能。
除传统的IP地址外,寻址过程主要基于以下三种标识(随之技术的进步,可以扩展加入有其它标识):
面向内容名字的寻址:类似于命名数据网络(Named Data Networking, NDN),我们使用层级化的字符串标识网络中的每一个资源,形如"com/ndn/pku/document/01.pdf"。为了支持直接面向内容名字的寻址过程,多模网络节点均拥有以名字作为键的转发信息表(FIB),以记录每个名字对应的转发端口信息。数据的传输以用户驱动的方式进行:内容的请求者将内容名录入兴趣(Interest)报文中并发送至网络;多模网络节点将兴趣报文的到来端口记录在未决兴趣表(Pending Information Table,PIT)中,并查询 FIB将报文转发,直至其到达一个内容的持有者;通过查询PIT,包含了请求内容的数据包将沿着兴趣报文的到来路径回溯给请求者。面向名字的寻址过程将数据自身和数据所处的具体位置相解耦,为网络系统提供了更大的灵活性,同时,名字可以传达更为丰富的信息,有效解决了IP地址语义过载的问题。
面向身份的寻址:身份用于局部或者全局唯一地指代一个用户,常用的身份标识包括公钥,用户本人证件ID,移动电话的IMEI码等等。用户在网络上的行为,包括对网络资源的发布和访问,将受制于其身份决定的具体权限,且任一行为均可以追溯到用户的身份信息,由此提高了网络的可监管性,铲除了不法行为滋生的土壤。
面向空间地理位置的寻址:空间地理位置不但可以代表现实意义上的地理位置,如北斗卫星系统或GPS全球定位位置信息,还可以代表抽象空间中的虚拟位置,如将网络映射到几何空间中后节点获取的数学坐标。为防止寻址过程中发生歧义,本系统中两个用户的位置将不会发生重合。
面向位置的寻址过程一般基于距离计算,即多模网络节点计算每个邻居和目的地之间的几何距离,并贪婪地选取最小者作为转发对象。由于该方法具有极小的存储占用和计算开销,面向位置的寻址可以有效地应对网络规模较大时路由表的膨胀问题,从而提高了网络的可扩展性。
多模标识转换过程:
1.基于身份标识和组合矩阵的安全机制:
面向名字的寻址过程将数据和其所在的具体地点相分离,提供了更大的灵活性和可拓展性;但与之相对地,数据和地点的解绑同样引入了一定的安全隐患。
因此,现有的内容中心网络架构通常使用“可验证的名字”用于数据的请求流程,即每个名字必须包含其发布者的公钥获取方式,以及发布者对名字和内容所做的签名。数据报文在被多模网络节点缓存,或被请求者接收之前,必须首先被验证其签名,以保证其名字和内容的完整、安全和可靠。
由于网络中存在频繁的公钥请求过程,为节约带宽资源、减轻网络的传输压力,本系统采用了基于身份标识和组合矩阵的公私钥生成方案,该方案的简略描述如下:
我们采用的密码机制为椭圆曲线加密(Elliptic Curve Cryptography, ECC),在ECC中,若给定椭圆曲线上的基点G和它的阶n,则以正整数r<n 作为私钥,而G的r倍点rG=R作为公钥。通过(r,G)计算出R十分简单,而出于椭圆曲线离散对数问题的困难性,通过(R,G)求解出r则在计算上不可行。私钥矩阵(rij)m×n为m×n阶,其中每个元素rij均是满足rij<n的正整数;并通过对应关系rijG=Rij生成公钥矩阵(Rij)m×n。私钥矩阵仅由密钥管理机构持有,用于用户的私钥分发;而公钥矩阵则由每一个网络节点持有,用于数据的签名认证。
如图2所示,密钥管理机构通过用户的身份标识ID和私钥矩阵(rij)生成用户的私钥rID,举例而言,私钥生成过程可以由以下方式实现:基于加密芯片和密码学运算,每个身份标识ID均可以唯一地生成一串下标序列:
GenerateSub(ID)={i1,i2,...il,j1,j2,...jl}
GenerateSub(ID)表示从身份标识ID生成下标的函数,i1,i2...il表示矩阵的行坐标,j1,j2...jl表示矩阵的列坐标;
此时ID对应的私钥为私钥矩阵中下标对应项的加和:
同样,ID对应的公钥可以由验证方通过公钥矩阵和身份标识ID计算出:
由于G的倍点构成一个交换群,有:
rIDG代表基点G的rID倍点;
因此(rID,RID)构成私-公钥对关系。通过这种方式,不但完成了身份标识同公钥之间的一一绑定,保障了网络行为的可监管性和可追查性,还省去了频繁的公钥请求流程,提升了网络的实际性能。
2.名字和身份间的转换过程:
为了维护安全的网络环境,我们将内容的名称与其原发布者的身份标识相绑定,并采用可验证的拓展名用于标识网络资源,其形式如下:
/UniqueIDA/SubIDA/Name/Sig(Name,PrKA)
其中UniqueIDA是发布者A的全局唯一的身份标识,不会发生碰撞,由该标识生成用户的公-私钥对;SubIDA是A发布该内容时采用的次级身份标识,因网络中的同一用户可能兼有多种身份;Name是层级化的内容名; Sig(Name,PrKA)是A对内容名所做的签名。当内容被用户接收,或被多模网络节点缓存之前,基于上述的安全机制,其签名必须被验证以保证其合法性。由此,网络中的任一资源均可追溯到其原发布者,保障了发布行为的可监管性和网络传输的安全。
在该表示方法下,身份可以看作是拓展名的一种特殊形式,即那些内容名为空的情形,因此,我们使用前缀树这一数据结构以支持对名字和身份标识的存储和查询操作:
图3为组件粒度的前缀树示例,根节点的每条连接边均对应者一个用户,我们使用全局唯一的身份标识UniqueIDA,用以对各个用户进行指代,每个用户节点均记录着该用户对应的FIB表项和空间位置信息。树的第二层代表每个用户拥有的多种身份标识,若用户A1以身份发布了资源Name1,则其对应的名字节点将成为身份的子节点,该名字节点会记录签名Sig(Name1,PrKA1),以及该名字对应的FIB表项和空间位置信息。通过在该前缀树中的查询操作,我们即可以完成名字和身份标识,或同一用户拥有的多种身份标识间的相互转换。
使用前缀树可以获得如下的优势:1.前缀树对相同的前缀信息进行了压缩合并,从而降低了存储开销;2.前缀树的性质决定了它天然地支持最长前缀匹配(LongestPrefix Matching,LPM)查询模式,与名字在FIB中的匹配模式相一致;3.前缀树记录了各名字和身份间的逻辑关系,以实现它们之间的绑定和转换操作。
3.位置和名字、身份间的转换过程:
如上文所述,每个用户均对应着一个唯一的现实或虚拟的空间位置标识,而对于网络中的某个名字,为了减小路由延迟,我们将它的位置标识设置为"持有该名字对应内容的最近的节点位置",由上层控制节点计算并下发。
通过将对应的位置信息记录到上述的前缀树中,我们即可以完成从名字、身份到位置的转换操作。另一方面,考虑到各用户的位置不会发生碰撞,我们使用位置-身份的散列表以完成它们间的映射操作。
用户管理及隐私保护策略:
所有用户终端在网络中发送标识注册请求时,都会捆绑相应的身份信息以保证网络的正常运行。用户用一个特定的哈希函数并加上用户的身份信息中生成身份证书,其证书将为该用户在网络中的身份证明,同时将地空标识作为该用户的辅助标识信息。同时,系统将把该用户的公钥发送给网络监管节点。然后用户使用自己的身份证书对标识注册请求进行签名,并和标识注册请求一起发送给网络监管节点。网络监管节点首先用与用户相同的哈希函数从接收到的标识注册请求中验证用户的合法性,再根据用户的公钥来对附加的签名进行解密。比较这两个哈希值,若相同则可确认签名属于用户。若标识注册请求被网络监管节点确认,系统将存储该用户的身份证书到分布式数据中,保证以后对该标识内容进行溯源以及监管。同时,系统要求所有标识必须先经过注册才能在网络中被路由以及标识注册时必须添加发布者的身份信息,可以有效降低网络中传播违规违禁的网络内容。其中包括不限于传统IP网络的暗网以及个人隐私数据,有效的提高了用户的隐私安全性。
新型网络系统将引入权限管理策略。系统将对用户所发布的网络内容进行分级。用户访问网络资源时将根据其访问者的身份信息确定访问权限,例如限制学生等特定群体每天的上网时间以及游戏时间。网络内容分级可以有效的保护未成年人身心健康以及促进互联网内容合理合规发展。
本发明公开了一种支持多模标识网络寻址渐进去IP的系统,包括:存储器、处理器以及存储在所述存储器上的计算机程序,所述计算机程序配置为由所述处理器调用时实现本发明所述的方法的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序配置为由处理器调用时实现本发明所述的方法的步骤。
本发明具有如下有益效果:
1.域名的解析服务不再由特定的13台服务器及其附属的镜像服务器提供。互联网管控的权利交由全世界互联网参与者,不再是某个独立的机构垄断,实现后IP时代网络空间的多边共管共治共享,平等开放。
2.对于政府而言,多模标识网络通过去中心化的区块链技术实现全球共管,避免了国家域名被特定国家抹除,提高了国家网络的安全性。同时,所有各方发布内容和访问行为都受到有效的保护及管理,其接入网络所产生的行为不可抵赖,降低了国家的网络监管成本。
3.对于网络服务提供商而言,在未来物联网场景、5G发展、个人用户生活习惯改变下,移动接入方式将成为互联网的主要接入方式之一。新型多模标识网络通过引入多种网络标识,特别是天生支持移动性的身份标识,提高了网络整体的寻址效率。减少了网络服务提供商因传统网络中移动用户所产生的运维成本。同时,网络的安全性大幅度提升,有效降低了 ISP的网络安全风险。
4.对于企业用户而言,企业用户将捆绑政府或专业机构所颁发的身份识别码作为身份标识以登陆网络,其发布的网络资源也将绑定其企业身份信息。由于其内容均锁存在区块链之上,避免了被黑客篡改的风险。
5.对于个人用户而言,个人用户将捆绑相应的生物身份信息及其他身份认证信息作为身份标识以登陆网络,其发布的网络资源也将绑定其身份信息。个人用户登陆网络时的空间信息标识及访问的网络资源将记录在所在域的网络监管节点区块链上用于安全监管及数据保护。网络监管节点会拒绝注册、删除及惩处网络中的违规网络资源及恶意用户。相对于传统IP 网络存在的隐私安全问题,该网络系统具有良好的隐私保护性及安全性。
6.对于未成年用户而言,新型多模标识网络在标识注册的同时引入分级管理机制。未成年人使用网络,其访问的内容按各地政府的规定,可是受到有效的管理。减少未成年人沉迷网络的可能性并有效净化未成年人的上网环境。
7.引入多模标识寻址路由,网络将更加关注网络资源本身或用户本身而非传统网络资源存放位置。避免了传统IP网络所存在的性能细腰问题,极大的提高了网络资源传输的效率。
8.引入用户身份标识来提高网络安全性及可用性。所有标识在注册的时候均需要绑定用户特定的生物身份信息,密码秘钥,才能完成标识注册,该网络中每一步注册信息都将完成全的保存,可以对恶意行为进行有效的追溯,以达到网络中所有网络资源均可管可控。同时大幅度降低用户隐私泄露的风险。
9.由于新型网络的所有各方发布内容和访问行为都受到有效的保护及管理,其接入网络所产生的行为不可抵赖。任何网络攻击或非法行为也将被域内区块链记录下来,因此以这些标识的使用将使得网络空间处于有序与安全的状态,将引导用户的各种流量承载到与身份绑定的新型标识网络如面向内容标识、身份标识上来。而自然的减少在没有任何安全保障的IP 网络流量。追求高可信服务的信息发布方将以他们的信息发布到新型标识上,从而自然引导网络流量及体系的去IP化。
10.可以在不改变系统架构的情况下支持对象存储地址的解析以及已有的域名解析系统。
11.提出了一种基于身份标识和组合矩阵的密钥生成机制,通过加密芯片和密码学算法,在组合矩阵的基础上,每个身份标识均可以唯一地生成椭圆曲线加密算法的密钥对。由此,仅依靠公钥矩阵和发布者的身份标识,数据的接受方就可以计算出其公钥,从而完成其签名认证。该机制不但将身份标识与密码学信息相绑定,有利于面向身份的网络管理;还省去了频繁的公钥分发和请求过程,提升了网络的利用效率。
12.提出了一种支持多模网络标识的寻址策略,通过名字标识,身份标识和空间位置标识之间的相互转换,用户可以灵活选取最适合的寻址方式以应对复杂多变的网络环境与实际需求,从而提升了该系统的适应性。同时,网络资源名与原发布者标识的绑定提升了网络行为的可监管性和可追查性,保证了网络传输的安全可靠。
13.引入结合身份标识的不对称签名机制,使用户对发布的网络资源进行加密,同时网络监管节点会拒绝注册、删除及惩处网络中的违规网络资源及恶意用户。相对于传统IP网络存在的隐私安全问题,该网络系统具有良好的隐私保护性及安全性。
14.提出了一种网络的平滑过渡的渐进式部署的扩展方案,可以在不改变系统架构的情况下支持已有的DNS域名解析系统,用户可以通过多种方式接入网络,并逐步的替换现有的域名解析系统。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (13)
1.一种支持多模标识网络寻址渐进去IP的方法,其特征在于,包括构建网络,该网络采用自上到下层级化网络域进行划分,其中网络的顶级域由各个国家的政府机构作为顶级标识管理节点组成全球联盟共同管理标识的产生登记及解析管理,网络中所有的网络资源都将锁存在区块链上;一级域及以下各级域为相应行政或专业机构管理,其域内的标识管理方式、标识注册方案及共识算法可以不同;
网络中存在监管节点、个人用户以及企业用户网络节点,每个域内均有相应的网络监管节点,网络监管节点负责域内用户管理、标识注册、标识互通以及标识路由服务,同时每个网络监管节点存在面向内容网络标识、空间地理位置标识、身份信息及IP地址多模标识;上下域之间通过网络监管节点作为数据访问接口以实现层级化的数据传输;个人用户包括传统意义上的个人用户以及物联网时代的终端节点在网络中带有移动特性的网络接入节点,企业用户包括政府机关、专业机构、公司及具有内容发布权的网站的组织机构;
网络支持包括身份标识、内容标识、空间地理位置标识及IP地址标识的多种标识共存的网络层路由寻址,其网络中的所有资源的内容标识均会和发布者的身份标识相互绑定,用户登陆网络时的空间地理位置标识及访问的网络资源将记录在所在域的网络监管节点区块链上用于安全监管及数据保护;
该方法包括标识注册步骤、网络资源请求步骤;
所述标识注册步骤包括:
步骤1,注册资源:网络节点接收用户的资源注册内容,同时网络节点将根据内容存放的位置节点加上空间地理位置标识以及内容发布人的身份标识;
步骤2,网络节点认证:本域的网络节点在接收到用户传输的标识注册请求之后,网络节点将对其内容及其用户信息进行审查,随后对该资源标识进行注册,随后将产生的标识注册请求上传至上一级域并加上本地的标识前缀;
步骤3,标识注册请求传输:当上一级网络节点接收到标识注册请求之后,将按照设定的数据传输协议将其注册标识报文传输到其所在域的控制器进行后续认证及注册操作;
步骤4,标识校验:顶级域内的网络节点在接收到其下级网络域的标识注册请求之后,将对该请求的数据进行校验并将返回给原申请节点相应的确认信号;同时将采用设定的分布式存储方案来保证所有注册的标识均无法被篡改,原标识信息将存储在顶级域的分布式数据库之上,每经过一个设定的时间之后,全网将进行相应的数据库同步工作以确认各个顶级域名之间的资源标识信息对等且统一;
所述网络资源请求步骤包括:
步骤A,查询请求:向最近的网络节点传送查询请求;
步骤B,本地标识数据查询:当最近的多模网络节点接收到用户所发出的请求之后,将根据查询的标识进行区分,如果是IP地址则继续传统的DNS查询流程,如果是身份或内容标识,那么查询转发表,转发表里记载了标识内容是否存在本地数据库中,如果是,那么返回相应的标识内容,否则执行步骤C;
步骤C,请求查询传输:当本地数据库内没有相应的标识内容时,将此查询请求上传至上一级网络节点之中,上一级网络节点在接受到下一级所发送的查询请求之后,将按照步骤A至步骤B进行查询,如果查询到相应的标识内容,将返回给相应的内容标识给下一级网络节点,否则,将此查询请求接着传递给上一级网络节点,直到顶级域的网络节点;
步骤D,标识查询验证及互通:若顶级域节点在查询到相关已被注册标识之后,将自动根据现有网络的动态拓扑结构来下发相关的最短路径,网络中的转发线路上的相关多模网络节点将收到新的转发路径表,通过多跳路由建立数据传输通路;若顶级域内节点未查询到相应的标识,同时查询数据库中该标识对应的其他网络标识信息,进行步骤E;
步骤E,标识请求下发:顶级域内网络节点将根据原标识以及转换标识后的第一个前缀对查询请求进行下发至指定的网络域,直至到达查询请求所指定的最下级网络节点进行本地查询;若成功查询到相应标识内容,则将相应的资源内容传递给查询请求方,否则,返回查询错误信息。
2.根据权利要求1所述的方法,其特征在于,网络系统中的资源均具有相对应的多种标识,用以指代其内容名字、发布者身份、空间地理位置,通过标识间的绑定和互通,网络中各方的内容发布和访问行为可以得到有效的控制和监管;同时,将多模网络标识直接运用于网络层的寻址过程中,通过多模标识的动态匹配和互通技术,用户可以在多种寻址方式间做出选择,以应对复杂多变的应用需求和网络环境。
3.根据权利要求2所述的方法,其特征在于,除传统的IP地址外,寻址过程基于以下三种标识:
面向内容名字的寻址:使用层级化的字符串标识网络中的每一个资源,为了支持直接面向内容名字的寻址过程,多模网络节点均拥有以名字作为键的转发信息表,以记录每个名字对应的转发端口信息;数据的传输以用户驱动的方式进行:内容的请求者将内容名录入兴趣报文中并发送至网络;路由节点将兴趣报文的到来端口记录在未决兴趣表中,并查询转发信息表将报文转发,直至其到达一个内容的持有者;通过查询未决兴趣表,包含了请求内容的数据包将沿着兴趣报文的到来路径回溯给请求者;面向名字的寻址过程将数据自身和数据所处的具体位置相解耦,为网络系统提供了更大的灵活性;
面向身份的寻址:身份用于局部或者全局唯一地指代一个用户,用户在网络上的行为,包括对网络资源的发布和访问,将受制于其身份决定的具体权限,且任一行为均可以追溯到用户的身份信息;
面向空间地理位置的寻址:位置信息不但可以代表现实意义上的地理位置,还可以代表抽象空间中的虚拟位置,为防止寻址过程中发生歧义,本系统中两个用户的位置将不会发生重合;面向空间地理位置的寻址过程是:多模网络节点计算每个邻居和目的地之间的几何距离,并贪婪地选取最小者作为转发对象。
4.根据权利要求3所述的方法,其特征在于,在所述面向身份的寻址中,身份标识包括公钥、用户本人证件ID、移动电话的IMEI码,电子邮箱地址及其它身份标识。
5.根据权利要求3所述的方法,其特征在于,在所述面向名字的寻址和面向身份的寻址中,采用基于身份标识和组合矩阵的安全机制,在所述安全机制中,采用的密码机制为椭圆曲线加密,若给定椭圆曲线上的基点G和它的阶n,则以正整数r<n作为私钥,而G的r倍点rG=R作为公钥,私钥矩阵(rij)m×n为m×n阶,其中每个元素rij均是满足rij<n的正整数;并通过对应关系rijG=Rij生成公钥矩阵(Rij)m×n;私钥矩阵仅由密钥管理机构持有,用于用户的私钥分发;而公钥矩阵则由每一个网络节点持有,用于数据的签名认证;密钥管理机构通过用户的身份标识ID和私钥矩阵(rij)生成用户的私钥rID。
6.根据权利要求5所述的方法,其特征在于,在所述基于身份标识和组合矩阵的安全机制中,私钥生成过程由以下方式实现:基于加密芯片和密码学运算,每个身份标识ID均可以唯一地生成一串下标序列:
GenerateSub(ID)={i1,i2,...il,j1,j2,...jl}
GenerateSub(ID)表示从身份标识ID生成下标的函数,i1,i2...il表示矩阵的行坐标,j1,j2...il表示矩阵的列坐标;
此时ID对应的私钥为私钥矩阵中下标对应项的加和:
同样,ID对应的公钥可以由验证方通过公钥矩阵和身份标识ID计算出:
由于G的倍点构成一个交换群,有:
rIDG代表基点G的rID倍点;
因此(rID,RID)构成私-公钥对关系,通过这种方式,不但完成了身份标识同公钥之间的一一绑定,保障了网络行为的可监管性和可追查性,还省去了频繁的公钥请求流程,提升了网络的实际性能。
7.根据权利要求1所述的方法,其特征在于,该方法包括名字和身份间的互通过程,在名字和身份间的互通过程中,将内容的名称与其原发布者的身份标识相绑定,并采用可验证的拓展名用于标识网络资源,其形式如下:
/UniqueIDA/SubIDA/Name/Sig(Name,PrKA)
其中UniqueIDA是发布者A的全局唯一的身份标识,不会发生碰撞,由该标识生成用户的公-私钥对;SubIDA是A发布该内容时采用的次级身份标识,因网络中的同一用户可能兼有多种身份;Name是层级化的内容名;Sig(Name,PrKA)是A对内容名所做的签名;当内容被用户接收,或被多模网络节点缓存之前,其签名必须被验证以保证其合法性;使用前缀树的数据结构以支持对名字和身份标识的存储和查询操作,在前缀树中,根节点的每条连接边均对应一个用户,我们使用全局唯一的身份标识UniqueIDA,用以对各个用户进行指代,每个用户节点均记录着该用户对应的转发信息表的表项和空间位置信息,前缀树的第二层代表每个用户拥有的多种身份标识,若用户A1以身份发布了资源Name1,则其对应的名字节点将成为身份的子节点,该名字节点会记录签名Sig(Name1,PrKA1),以及该名字对应的转发信息表的表项和空间位置信息,通过在该前缀树中的查询操作,可以完成名字和身份标识,或同一用户拥有的多种身份标识间的相互转换。
8.根据权利要求7所述的方法,其特征在于,该方法包括位置和内容名字、身份间的互通过程,在位置和名字、身份间的互通过程中,每个用户均对应着一个唯一的现实或虚拟的空间地理位置标识,而对于网络中的某个内容名字,为了减小路由延迟,我们将它的位置标识设置为"持有该名字对应内容的最近的节点位置",由上层控制节点计算并下发;通过将对应的位置信息记录到所述前缀树中,可以完成从名字、身份到空间地理位置的互通操作;为了各用户的位置不会发生碰撞,我们使用空间地理位置-身份的散列表以完成它们间的映射操作。
9.根据权利要求1所述的方法,其特征在于,该方法包括用户管理及隐私保护策略,在用户管理及隐私保护策略中,所有用户终端在网络中发送标识注册请求时,都会捆绑相应的身份信息以保证网络的正常运行,用户用一个指定的哈希函数并加上用户的身份信息中生成身份证书,其身份证书将为该用户在网络中的身份证明,同时将空间地理位置标识作为该用户的辅助标识信息;同时,系统将把该用户的公钥发送给网络监管节点,然后用户使用自己的身份证书对标识注册请求进行签名,并和标识注册请求一起发送给网络监管节点;网络监管节点首先用与用户相同的哈希函数从接收到的标识注册请求中验证用户的合法性,再根据用户的公钥来对附加的签名进行解密,比较这两个哈希值,若相同则可确认签名属于用户;若标识注册请求被网络监管节点确认,系统将存储该用户的身份证书到分布式数据中,保证以后对该标识内容进行溯源以及监管;系统将对用户所发布的网络内容进行分级,用户访问网络资源时将根据其访问者的身份信息确定访问权限。
10.根据权利要求1所述的方法,其特征在于,该方法包括个人用户接入网络步骤,在个人用户接入网络步骤中,用户通过传统Internet接入该网络系统时,网络节点将记录该用户终端的MAC地址作为身份标识存储到网络中,同时还将记录该用户终端的空间地理位置,其形式为空间三维坐标,对于手机用户而言,将同时记录该手机的IMEI码作为身份认证信息的一部分,在每个网络域的边界处设有相应的网关设备,保证用户可以通过多种网络标识访问互联网资源;用户通过新型网络标识接入网络时,将在用户的本地节点存储相关的身份信息,包括但不限于用户的指纹、虹膜及其它具有追溯用户身份的生物信息,该身份信息只存放于用户节点本地用于生成用户签名,并不在多模标识网络中传输;同时,将个人用户的身份标识与其发布的各种内容标识相绑定,其身份标识作为该网络内容的一种寻址标识,方便网络中其余节点直接通过用户标识对网络资源进行寻址,提高网络资源查询效率。
11.根据权利要求1所述的方法,其特征在于,该方法包括企业用户接入网络步骤,在企业用户接入网络步骤中,企业用户将捆绑政府或专业机构所颁发的身份识别码作为身份标识以登陆网络,其发布的网络资源也将绑定其企业身份信息,企业用户所发布的网络资源及服务器所在的空间信息标识将记录在所在域的网络监管节点区块链上用于安全监管及数据保护。
12.一种支持多模标识网络寻址渐进去IP的系统,其特征在于,包括:存储器、处理器以及存储在所述存储器上的计算机程序,所述计算机程序配置为由所述处理器调用时实现权利要求1-11中任一项所述的方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序配置为由处理器调用时实现权利要求1-11中任一项所述的方法的步骤。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2019/073507 WO2020154865A1 (zh) | 2019-01-28 | 2019-01-28 | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111373704A CN111373704A (zh) | 2020-07-03 |
CN111373704B true CN111373704B (zh) | 2022-03-29 |
Family
ID=71212620
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980005057.1A Active CN111373704B (zh) | 2019-01-28 | 2019-01-28 | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111373704B (zh) |
WO (1) | WO2020154865A1 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112100234B (zh) * | 2020-08-12 | 2021-09-10 | 北京大学 | 基于随机共识的图式账本的内容寻址方法和系统 |
CN112200502A (zh) * | 2020-11-19 | 2021-01-08 | 苏州协同创新智能制造装备有限公司 | 一种工业互联网标识解析方法 |
CN114554567A (zh) * | 2020-11-24 | 2022-05-27 | 华为技术有限公司 | 通信的方法及通信装置 |
CN112565094B (zh) * | 2020-12-09 | 2023-04-07 | 之江实验室 | 一种多模态网络拓扑结构 |
CN112597771A (zh) * | 2020-12-29 | 2021-04-02 | 重庆邮电大学 | 基于前缀树合并的中文文本纠错方法 |
CN112804152B (zh) * | 2020-12-30 | 2022-06-17 | 佛山赛思禅科技有限公司 | 一种支持分组通信网络寻址路由标识不断演进的方法及系统 |
CN112989313B (zh) * | 2021-01-14 | 2024-05-14 | 国网上海市电力公司 | 一种标识注册方法、装置、电子设备及存储介质 |
CN113055363B (zh) * | 2021-03-02 | 2023-07-04 | 南通大学 | 一种基于区块链信任机制的标识解析系统实现方法 |
CN113452668B (zh) * | 2021-03-12 | 2022-08-09 | 深圳市百佳华网络科技有限公司 | 物联网终端接入监控方法、计算机程序及存储介质 |
CN113765808A (zh) * | 2021-06-16 | 2021-12-07 | 北京交通大学 | 一种网络路由方法、系统、装置及电子设备 |
CN114629631B (zh) * | 2021-07-21 | 2024-01-09 | 国网河南省电力公司信息通信公司 | 基于联盟链的数据可信交互方法、系统及电子设备 |
CN114189468B (zh) * | 2021-11-02 | 2024-04-12 | 云端领航(北京)通信科技股份有限公司 | 一种基于标识分簇的多标识网络体系路由方法 |
CN114048517B (zh) * | 2022-01-14 | 2022-05-20 | 北京大学深圳研究生院 | 区块链的双通道共识系统和方法、计算机可读存储介质 |
CN114944933B (zh) * | 2022-04-12 | 2023-05-12 | 中国人民解放军战略支援部队信息工程大学 | 基于异构标识的多模态网络高鲁棒控制方法、控制器及系统 |
CN115065719B (zh) * | 2022-06-09 | 2023-07-14 | 深圳创维数字技术有限公司 | 设备交互接入方法、装置、电子设备及可读存储介质 |
CN115242702B (zh) * | 2022-09-22 | 2022-12-13 | 广州优刻谷科技有限公司 | 一种物联网节点最优路径规划方法及系统 |
CN115296826B (zh) * | 2022-10-10 | 2022-12-23 | 佛山赛思禅科技有限公司 | 多边共管多标识天地一体化智能网联汽车高安全专网系统 |
CN115664799B (zh) * | 2022-10-25 | 2023-06-06 | 江苏海洋大学 | 一种应用于信息技术安全的数据交换方法和系统 |
CN115426312B (zh) * | 2022-11-04 | 2023-02-07 | 之江实验室 | 一种大规模多模态网络中标识管理及优化转发方法和装置 |
CN116527248B (zh) * | 2023-04-19 | 2024-05-28 | 佛山赛思禅科技有限公司 | 支持量子标识在网络层路由寻址的高安全通信方法及系统 |
CN116418600B (zh) * | 2023-06-09 | 2023-08-15 | 安徽华云安科技有限公司 | 节点安全运维方法、装置、设备以及存储介质 |
CN116633692B (zh) * | 2023-07-24 | 2023-10-13 | 天津大学合肥创新发展研究院 | 一种服务器、数据安全系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103338150A (zh) * | 2013-07-19 | 2013-10-02 | 中国人民解放军信息工程大学 | 信息通信网络体系结构建立方法、装置、服务器和路由器 |
CN108064444A (zh) * | 2017-04-19 | 2018-05-22 | 北京大学深圳研究生院 | 一种基于区块链的域名解析系统 |
CN108366136A (zh) * | 2017-12-29 | 2018-08-03 | 北京世纪互联宽带数据中心有限公司 | 一种域名的解析方法及装置 |
CN108366138A (zh) * | 2018-05-28 | 2018-08-03 | 北京奇虎科技有限公司 | 域名操作方法、系统及电子设备 |
CN108429765A (zh) * | 2018-05-28 | 2018-08-21 | 北京奇虎科技有限公司 | 一种基于区块链实现域名解析的方法、服务器和系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10230526B2 (en) * | 2014-12-31 | 2019-03-12 | William Manning | Out-of-band validation of domain name system records |
US10075298B2 (en) * | 2015-06-02 | 2018-09-11 | ALTR Solutions, Inc. | Generation of hash values within a blockchain |
WO2018176406A1 (zh) * | 2017-03-31 | 2018-10-04 | 北京大学深圳研究生院 | 一种基于联盟链的顶级域名管理方法及系统 |
-
2019
- 2019-01-28 WO PCT/CN2019/073507 patent/WO2020154865A1/zh active Application Filing
- 2019-01-28 CN CN201980005057.1A patent/CN111373704B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103338150A (zh) * | 2013-07-19 | 2013-10-02 | 中国人民解放军信息工程大学 | 信息通信网络体系结构建立方法、装置、服务器和路由器 |
CN108064444A (zh) * | 2017-04-19 | 2018-05-22 | 北京大学深圳研究生院 | 一种基于区块链的域名解析系统 |
CN108366136A (zh) * | 2017-12-29 | 2018-08-03 | 北京世纪互联宽带数据中心有限公司 | 一种域名的解析方法及装置 |
CN108366138A (zh) * | 2018-05-28 | 2018-08-03 | 北京奇虎科技有限公司 | 域名操作方法、系统及电子设备 |
CN108429765A (zh) * | 2018-05-28 | 2018-08-21 | 北京奇虎科技有限公司 | 一种基于区块链实现域名解析的方法、服务器和系统 |
Non-Patent Citations (2)
Title |
---|
"The Blockchain-Based Digital Content Distribution System";JunichiKishigami等;《IEEE》;20151029;全文 * |
"基于区块链技术的安全DNS系统设计";马宇生;《万方数据库》;20181218;全文 * |
Also Published As
Publication number | Publication date |
---|---|
WO2020154865A1 (zh) | 2020-08-06 |
CN111373704A (zh) | 2020-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111373704B (zh) | 一种支持多模标识网络寻址渐进去ip的方法、系统及存储介质 | |
Lyu et al. | SBAC: A secure blockchain-based access control framework for information-centric networking | |
Hu et al. | A survey on data provenance in IoT | |
CN109246211B (zh) | 一种区块链中的资源上传和资源请求方法 | |
CN103262063B (zh) | 用于在内容导向网络中创建和管理虚拟专用组的方法和设备 | |
Xylomenos et al. | A survey of information-centric networking research | |
JP5536362B2 (ja) | コンテンツセントリックネットワークにおける通信を円滑化するための方法 | |
CN103477689B (zh) | 用于控制平面以在以信息为中心的网络中管理基于域的安全性和移动性的方法和设备 | |
Ren et al. | Potential identity resolution systems for the industrial Internet of Things: A survey | |
Li et al. | Trust-enhanced content delivery in blockchain-based information-centric networking | |
TW201031160A (en) | Systems and methods for data authorization in distributed storage networks | |
CN111368230A (zh) | 一种基于区块链的工业互联网标识的处理方法及装置 | |
US20230020504A1 (en) | Localized machine learning of user behaviors in network operating system for enhanced secure services in secure data network | |
US11582241B1 (en) | Community server for secure hosting of community forums via network operating system in secure data network | |
RU2373572C2 (ru) | Система и способ для разрешения имен | |
US20230012373A1 (en) | Directory server providing tag enforcement and network entity attraction in a secure peer-to-peer data network | |
Muñoz-Gea et al. | Implementation of traceability using a distributed RFID-based mechanism | |
CN109819068A (zh) | 用户终端及其区块链域名解析方法 | |
Wang et al. | Blockzone: A blockchain-based dns storage and retrieval scheme | |
EP3817320A1 (en) | Blockchain-based system for issuing and validating certificates | |
Fotiou et al. | A framework for privacy analysis of ICN architectures | |
CN108521362A (zh) | 一种基于p2p-vpn的网络架构及其访问方法 | |
US8688856B2 (en) | Techniques for managing a network delivery path of content via a key | |
Dutta et al. | Information Centric Networks (ICN) | |
Song et al. | Smart contract-based trusted content retrieval mechanism for NDN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |