WO2010133127A1 - 主机标识标签获取方法及系统 - Google Patents

Description

主机标识标签获取方法及系统

本申请要求于 2009 年 5 月 22 日提交中国专利局、 申请号为 200910085509.X, 发明名称为 "主机标识标签获取方式及系统" 的中国专 利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明实施例涉及通信技术， 特别涉及一种主机标识标签获取方法及 系统。 背景技术

随着互联网络的发展，其运行的环境及承载的业务发生了很大的变化， 其最初的设计逐渐显露出局限性。

导致上述局限性的主要原因之一是 IP地址承担了双重含义， 即既被用 来标识 IP设备 /节点在网络中的位置， 又代表通信节点的身份。 为了保证路 由系统的可扩展性，IP地址分配必须与网络拓朴相适合，但是由于 IP地址同 时作为主机标识，且分配往往是基于组织（而不是拓朴） 结构来分配的，而且 需要相对稳定。 同时 IP地址的双重含义也客观地造成了传输层和网络层的 紧密耦合。 另外， 传输层使用 <传输层协议、 源 IP地址、 目的 IP地址、 源 端口号、 目的端口号 >五元组来表示节点之间的连接， 这个五元组在一个连 接的整个过程中应该是保持不变的， 可是当移动或动态 IP重分配或多归属 等原因导致 IP地址发生变化时， 连接所对应的五元组也就发生了变化， 正 在承载通信的连接就会因此中断。 另外， 传输层协议的更新升级也会对传 输层协议造成巨大的影响。

为了实现身份标志和网络拓朴位置的分离， 工程任务组 （Internet Engineering Task Force Internet , IETF ) 的主机标识协议 ( Host Identity Protocol, HIP )工作组推出了一个综合性的解决方案， 此方案是在网络层 和传输层之间引入了新的主机标识协议层和新的命名空间。 由此， 使得传 输层协议和网络层协议分离。 传输层使用主机标识， 由 HIP完成主机标识 向 IP地址的转化。

主机标识协议所使用的标志称为主机标识 （Host Identity, HI ) , HI 实质上是一对公私钥对中的公钥；由于 HI 的长度因不同的公钥系统算法而 千差万别， 所以在实际协议中通常使用固定长度的主机标识标签（Host Identity Tag, HIT ) 。 HIT为 128位二进制数， 由 HI经过加密混乱算法生 成， 为扁平化、 单一层次的结构。 除了作为主机标识外， 不含其他任何的 信息。 另外， 密钥的安全强度随着时间的流逝以及使用次数的增加， 会逐 渐地降低。 当密钥的安全强度降到一定级别的时候，或者密钥被破解的时候 就需要更换。 主机公钥的更换意味着主机 HIT的变化。 当一个主机 HIT发 生变化的时候， 主机需要通过某种方式令其潜在的访问者知晓， 若不通知 潜在的访问者， 则二者无法进行正常的通信。 发明内容

本发明实施例提供一种主机标识标签获取方法及系统， 以获取最新的

HIT, 从而可以进行正常通信。

本发明实施例提供了一种主机标识标签获取方法， 该方法包括： 接收包含新生成的主机标识标签 HIT的更新消息；

从所述更新消息中获得新生成的主机标识标签 HIT。

本发明实施例提供了一种主机标识标签获取方法， 该方法包括： 第三方服务器接收包含新生成的主机标识标签 HIT的更新消息， 建立 新旧主机标识标签的映射关系；

主机根据旧的主机标识标签 HIT和所述新旧主机标识标签的映射关 系， 获得新生成的主机标识标签 HIT。 本发明实施例提供了一种主机标识标签获取系统， 该系统包括： 第一主机， 用于发送包含新生成的主机标识标签 HIT的更新消息； 第二主机， 用于从所述第一主机发送的更新消息中获得新生成的主机 标识标签 HITo

本发明实施例提供了一种主机标识标签获取系统， 该系统包括： 第一主机， 用于发送包含新生成的主机标识标签 HIT的更新消息； 第三方服务器， 用于接收所述更新消息， 并建立新旧主机标识标签的 映射关系；

第二主机， 用于根据旧的主机标识标签 HIT和所述新旧主机标识标签 的映射关系， 获得新生成的主机标识标签 HIT。

上述主机标识标签获取方法及系统， 通过从更新消息中直接获取最新 的 HIT和主机当前的 IP地址， 或利用第三方服务器根据接收的新生成的新 旧主机标识标签的映射关系获得最新的 HIT, 从而可以进行正常的通信。 附图说明

图 1为本发明主机标识标签获取方法实施例一的流程图；

图 2为本发明主机交互过程中的 HIT变化示意图；

图 3为本发明主机标识标签获取方法实施例二的流程图；

图 4为本发明主机标识标签获取系统实施例一的结构示意图； 图 5为本发明主机标识标签获取系统实施例二的结构示意图。 具体实施方式

下面通过附图和实施例， 对本发明的技术方案做进一步的详细描述。 本发明实施例一主机标识标签获取方法包括：

接收包含新生成的主机标识标签 HIT的更新消息；

从所述更新消息中获得新生成的主机标识标签 HIT。 本发明实施例二主机标识标签获取方法包括：

第三方服务器接收包含新生成的主机标识标签 HIT的更新消息， 建立 新旧主机标识标签的映射关系；

主机根据旧的主机标识标签 HIT和所述新旧主机标识标签的映射关 系， 获得新生成的主机标识标签 HIT。

上述方法分别针对没有第三方服务器或有第三方服务器的场景完成新 生成的 HIT的获取， 下面描述新生成的 HIT的获取过程：

如图 1所示， 为本发明主机标识标签获取方法实施例一的流程图， 该 方法包括：

101、第一主机向第二主机发送包含新生成的主机标识标签 HIT的更新 消息；

例如， HIP数据包中的更新 ( Update )包（ packets )可以用来在通信中 传送更新消息；在本实施例中可采用 update包来传送 HIT更新消息，该 HIT 更新消息中可以包括新生成的 HIT的有效期和签名等； 并且第一主机可以 通过新建的安全通道或已建立的安全通道在旧的 HIT过期前传送该 HIT更 新消息， 其中， 在准备发送该 HIT更新消息之前， 若没有已建立的安全通 道存在， 则新建安全通道， 并通过该新建的安全通道来发送该 HIT更新消 息； 安全通道指的是一种是通讯双方在不安全的网络环境中能够安全传送 信息的机制。 一个安全通道的功能包括保护信息的机密性， 新鲜性， 确认 消息来源的正确性。 除了通过标准的 HIP基本握手协议建立安全通道之外， 还可以使用 IPsec, SSL, HTTPs等传统的安全协议来实现此功能。

102、 从上述更新消息中获得新生成的主机标识标签 HIT。

第二主机接收来自第一主机的更新消息， 并从该更新消息中获得新生 成的 HIT， 即新的 HIT， 及获得当前第一主机所对应的 IP地址， 因而可以 实现第一主机和第二主机间的正常通信。

另外， 上述第二主机可以为与第一主机已建立或将要建立通信连接的 相关主机， 上述第一主机和第二主机进行交互过程中， HIT 的变化过程如 图 2所示， 首先第一主机和第二主机利用旧的 HIT通过四步握手机制建立 通信信道， 第一主机可以通过该建立的通信信道传送更新消息； 当然， 若 第一主机和第二主机之间已经建立了通信信道， 则可直接通过该通信信道 传送给更新消息； 第二主机接收该更新消息后， 获得该更新消息中携带的 新的 HIT; 其中， 图 2中的 T1表示新 HIT生成的时间， T2表示旧 HIT过 期的时间； 另夕卜，完成握手以后，第一主机可以使用安全参数索引（Security Parameter Index, SPI )标识进行会话， 则 HIT的更新不会对该会话产生任 何影响。

如图 3所示， 为本发明主机标识标签获取方法实施例二的流程图， 该 方法包括：

201、第一主机向第三方服务器发送包含新生成的主机标识标签 HIT的 更新消息；

该第三方服务器可以为域名服务器（DNS ) ， 也可以为主机标识标签 HIT到互联网协议 IP地址的映射服务器， 还可以为汇聚点服务器（RVS ) 等， 其中主机标识标签 HIT到互联网协议 IP地址的映射服务器可以包括分 布式哈希表 ( DHT )等；

上述第一主机在有新生成的 HIT之后， 旧的 HIT过期之前， 可以利用 通过 HIT握手协议建立的基于旧的 HIT的安全通道来发送该更新消息； 当 然， 还可以通过其他安全协议构建安全通道来发送该更新消息；

202、 第三方服务器接收该更新消息， 并建立新旧主机标识标签的映射 关系；

第三方服务器接收该更新消息后， 会将更新消息中的携带的新的 HIT 和旧的 HIT关联起来， 建立新旧主机标识标签的映射关系如旧的 HIT与当 前最新的 HIT的映射关系或旧的 HIT与不同时期的 HIT的映射关系；

203、 ^居旧的主机标识标签 HIT和上述新旧主机标识标签的映射关 系， 获得新生成的主机标识标签 HIT。

第二主机利用旧的 HIT, 并根据新旧主机标识标签的映射关系， 获得 新生成的主机标识标签 HIT; 例如， 当第一主机更新 HIT时会通知到第三 方服务器如 RVS， RVS会维护第一主机的过期 HIT到当前 HIT的映射； 因 此当第二主机用第一主机的过期 HIT访问 RVS时，会获得第一主机的当前 HIT信息， 以便第二主机可以和第一主机间进行正常通信； 举例来说， 第 二主机获得第一主机当前 HIT信息的具体实现方法可以为： 第二主机发送 消息给 RVS, RVS通过通知（notification ) 消息返回没有相关 HIT, 第二 主机则会请求旧 HIT到新 HIT映射服务， RVS会发送包含新旧 HIT映射关 系的消息给第二主机， 第二主机根据该新旧 HIT映射关系获取新的 HIT。

上述主机标识标签获取方法， 通过从更新消息中直接获取最新的 HIT 和主机当前所对应的 IP地址， 或利用第三方服务器根据接收的新生成的新 旧主机标识标签的映射关系获得最新的 HIT, 从而第一主机和第二主机之 间可以建立通信通道进行正常通信， 进而上层应用协议不会出现错误， 使 得^舌可以继续进行。 另外可以使 HI的安全强度在允许的范围内， 从而使 通讯更安全。

如图 4所示，为本发明主机标识标签获取系统实施例一的结构示意图， 该系统包括： 第一主机 11， 用于发送包含新生成的主机标识标签 HIT的更 新消息； 第二主机 12， 用于从上述第一主机 11发送的更新消息中获得新生 成的主机标识标签 HITo

其中， 上述第二主机从该更新消息中获得第一主机新生成的主机标识 标签和第一主机当前所对应的 IP地址，以便可以和第一主机进行正常通信。

上述第一主机为了发送更新消息， 具体可以包括： 第一发送模块， 用 于通过新建的安全通道发送上述更新消息； 第二发送模块， 用于通过已建 立的安全通道发送上述更新消息。

另外， 该主机标识标签获取系统获取新生成的 HIT的过程与本发明主 机标识标签获取方法实施例一的过程相同， 在此不赘述。

上述主机标识标签获取系统，通过第一主机向第二主机发送更新消息， 第二主机从上述更新消息中直接获取第一主机新生成的 HIT和第一主机当 前所对应的 IP地址， 从而可以进行正常通信。

如图 5所示，为本发明主机标识标签获取系统实施例二的结构示意图， 该系统包括： 第一主机 11， 用于发送包含新生成的主机标识标签 HIT的更 新消息； 第三方服务器 13， 用于接收上述更新消息， 并建立新旧主机标识 标签的映射关系； 第二主机 12， 用于根据旧的主机标识标签 HIT和上述新 旧主机标识标签的映射关系， 获得新生成的主机标识标签 HIT。

其中， 第三方服务器可以包括域名服务器、 汇聚点服务器和主机标识 标签 HIT到互联网协议 IP地址的映射服务器等， 且上述主机标识标签 HIT 到互联网协议 IP地址的映射服务器可以包括分布式哈希表 DHT等。

当上述第三方服务器为主机标识标签 HIT到互联网协议 IP地址的映射 服务器时， 上述第二主机获得新生成的主机标识标签 HIT之后， 还可以根 据新生成的主机标识标签 HIT获得第二主机当前所对应的 IP地址， 以便可 以和第一主机进行正常通信。

另夕卜， 该系统获取新生成的 HIT的过程与本发明主机标识标签获取方 法实施例二的过程相同， 在此不赘述。

上述主机标识标签获取系统， 通过第一主机向第三服务器发送更新消 息， 第三服务器根据更新消息中携带的新的 HIP建立新旧主机标识标签映 射关系， 第二主机根据该新旧主机标识标签映射关系和旧的 HIT获取新生 成的 HIT, 从而可以进行正常通信。 另外可以使 HI的安全强度在允许的范 围内， 从而使通讯更安全。

本发明实施例或者其中的一部分， 可以利用软件实现， 相应的软件程 序可以存储在可读取的存储介质中， 例如光盘， 硬盘， 软盘等。

最后应说明的是， 以上实施例仅用以说明本发明的技术方案而非限制， 尽管参照较佳实施例对本发明进行了详细说明， 本领域的普通技术人员应 当理解， 可以对本发明的技术方案进行修改或者等同替换， 而不脱离本发 明技术方案的精神和范围。

Claims

权利要求

1、 一种主机标识标签获取方法， 其特征在于包括：

接收包含新生成的主机标识标签 HIT的更新消息；

从所述更新消息中获得新生成的主机标识标签 HIT。

2、 根据权利要求 1所述的主机标识标签获取方法，其特征在于所述接 收包含新生成的主机标识标签 HIT的更新消息包括：

通过新建的安全通道或已建立的安全通道接收包含新生成的主机标识 标签 HIT的更新消息。

3、 一种主机标识标签获取方法， 其特征在于包括：

第三方服务器接收包含新生成的主机标识标签 HIT的更新消息， 建立 新旧主机标识标签的映射关系；

主机才 据旧的主机标识标签 HIT 和所述新旧主机标识标签的映射关 系， 获得新生成的主机标识标签 HIT。

4、 根据权利要求 3所述的主机标识标签获取方法， 其特征在于， 所述更新消息通过新建的安全通道或已建立的安全通道被传送； 所述第三方服务器包括域名服务器或汇聚点服务器 RVS或主机标识标 签 HIT到互联网协议 IP地址的映射服务器。

5、 根据权利要求 4所述的主机标识标签获取方法，其特征在于所述第 三方服务器为 HIT到互联网协议 IP地址的映射服务器时， 所述获得新生成 的主机标识标签 HIT之后还包括：

才艮据新生成的主机标识标签 HIT获得主机当前所对应的 IP地址。

6、 一种主机标识标签获取系统， 其特征在于包括：

第一主机， 用于发送包含新生成的主机标识标签 HIT的更新消息； 第二主机， 用于从所述第一主机发送的更新消息中获得新生成的主机 标识标签 HITo

7、 根据权利要求 6所述的主机标识标签获取系统，其特征在于所述第 一主机包括：

第一发送模块， 用于通过新建的安全通道发送所述更新消息； 第二发送模块， 用于通过已建立的安全通道发送所述更新消息。

8、 一种主机标识标签获取系统， 其特征在于包括：

第一主机， 用于发送包含新生成的主机标识标签 HIT的更新消息； 第三方服务器， 用于接收所述更新消息， 并建立新旧主机标识标签的 映射关系；

第二主机， 用于根据旧的主机标识标签 HIT和所述新旧主机标识标签 的映射关系， 获得新生成的主机标识标签 HIT。

9、 根据权利要求 8所述的主机标识标签获取系统，其特征在于所述第 三方服务器包括域名服务器或汇聚点服务器 RVS或主机标识标签 HIT到互 联网协议 IP地址的映射服务器。

10、 根据权利要求 9所述的主机标识标签获取系统， 其特征在于所述 第三方服务器为主机标识标签 HIT到互联网协议 IP地址的映射服务器时， 所述第二主机获得新生成的主机标识标签 HIT之后， 根据新生成的主机标 识标签 HIT获得第一主机当前所对应的 IP地址。