WO2011009414A1 - 一种主机标识标签的安全保障方法及安全管理服务器 - Google Patents

Description

一种主机标识标签的安全保障方法及安全管理服务器 本申请要求于 2009 年 07 月 24 日提交中国专利局、 申请号为 200910109131.2、发明名称为 "一种主机标识标签的安全保障方法及安全管 理服务器" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请 中。 技术领域 本发明涉及计算机和通信领域， 尤其涉及一种主机标识标签的安全保 障方法及安全管理服务器。 背景技术 当前的互联网协议栈中， IP ( Internet Protocol , 互联网协议）地址有着 双重的语义， IP地址既被用来标识通信节点的网络拓朴位置，又充当着通信 节点的身份标识。 IP地址的双重语义客观上造成了传输层和网络层的紧密耦 合。 当移动、 动态 IP地址重分配或多归属等原因导致 IP地址发生变化时， 正 在通信的连接就会因此中断。 为了解决这一问题， 实现通信节点的身份标 识和网络拓 4卜位置的分离， 互联网工程任务组 ( Internet Engineering Task Force, IETF )的 HIP ( Host Identity Protocol, 主机标识协议）工作小组推出 了一个综合性的解决方案。 此方案在网络层和传输层之间， 引入了新的主 机标识协议层和新的命名空间。 由此， 使得传输层和网络层分离。 传输层 使用主机标识 ( Host Identity, HI ), 由主机标识协议 HIP完成主机标识向 IP 地址的转化。

主机标识协议 HIP 所使用的通信节点的身份标识为主机标识 （Host Identity, HI ), HI 实质上是一对公、 私钥对中的公钥 ( Public key X 由于 HI的长度因公钥系统算法的不同而千差万别， 所以在实际协议中通常使用 固定长度的主机标识标签（ Host Identity Tag , HIT )来标识通信节点的身份。 HTT为 128位二进制数， 由 HT经过哈希算法 ( Hash 算法）生成。 由于 HTT 由 HI生成， 当更新 HI的时候， 对应的 HIT也会发生变化。 因此， HI是 HIP的安全基础， 当一个 HI的安全性无法得到保障时 (比如被攻击者破解， 或者安全等级低于某个门限值）， 就不能被继续使用。 HI作为密钥投入使用 之后， 其安全性会随着时间流逝而逐渐下降， 从而导致 HIT的安全性下降。 而当前的 HIP相关协议中并未考虑到 HIT的安全保障问题。 发明内容 为了保障 HIP协议的 HIT在通信中的安全使用 , 本发明实施例提供一 种主机标识标签的安全保障方法， 该方法包括：

在安全管理良务器中记录主机标识标签的有效期和 /或主机标识标签的 安全状态， 当需要通信时， 向所述安全管理服务器查询需要通信的对端主 机的主机标识标签的有效期和 /或所述需要通信的对端主机的主机标识标签 的安全状态， 根据需要通信的对端主机的主机标识标签的有效期和 /或所述 需要通信的对端主机的主机标识标签的安全状态确认是否与所述对端主机 进行通信。

本发明实施例还提供一种安全管理服务器， 该安全管理服务器包括： 记录单元， 用于记录主机标识标签的有效期和 /或主机标识标签的安全 状态；

查询单元， 用于提供需要通信的对端主机的主机标识标签的有效期和 / 或所述需要通信的对端主机的主机标识标签的安全状态查询。

与现有技术相比， 本发明实施例提供的主机标识标签的安全保障方法 及安全管理服务器， 通过记录 HIT的有效期 /或 HIT的安全状态， 并为主机 通信提供 HIT的有效期和 /或 HIT的安全状态查询，避免 HIT的安全性下降 或被废弃后仍然被使用， 为 HIP协议的 HIT在通信中的安全使用提供了保 附图说明

实施例或现有技术描述中所需要使用的附图作筒单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例 , 对于本领域普通技术人员 来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的 附图。

图 1是本发明实施例一提供的一种主机标识标签的安全保障方法的原 理示意图；

图 2是本发明实施例二涉及的扩展入 DNS RR 的资源记录类型图； 图 3是本发明实施例二提供的一种主机标识标签的安全保障方法的原 理示意图；

图 4是本发明实施例三提供的一种主机标识标签的安全保障方法的原 理示意图；

图 5是本发明实施例四提供的一种安全管理服务器的原理示意图； 图 6是本发明实施例四提供的一种主机标识标签的安全保障方法的原 理示意图；

图 7是本发明实施例一提供的一种安全管理服务器的结构图； 图 8是本发明实施例二提供的一种安全管理服务器的结构图； 图 9是本发明实施例三提供的一种安全管理服务器的结构图； 图 10是本发明实施例四提供的一种安全管理服务器的结构图。 具体实施方式 下面将结合本发明实施例中的附图 , 对本发明实施例中的技术方案进 行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没 有做出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的 范围。

实施例一：

如图 1所示， 本实施例提供一种主机标识标签的安全保障方法， 包括： 步骤 101: 在安全管理服务器中记录 HIT的有效期。

步驟 102: 在安全管理服务器中记录 HIT的安全状态。

步骤 103: 向安全管理服务器查询需要通信的对端主机的 HIT的有效 期和 /或所述需要通信的对端主机的 HIT的安全状态， 并确认是否与所述需 要通信的对端主机进行通信当。

在步驟 103 中， 当需要通信时， 向所述安全管理服务器查询需要通信 的对端主机的 HIT的有效期和 /或所述需要通信的对端主机的 HIT的安全状 态， 根据需要通信的对端主机的 HIT的有效期和 /或所述需要通信的对端主 机的 HIT的安全状态确认是否与所述对端主机进行通信。

相应地， 本实施例还提供一种安全管理服务器， 如图 7a所示， 所述安 全管理服务器包括：

记录单元 701 , 用于记录 HIT的有效期和 /或 HIT的安全状态；

查询单元 702, 用于提供需要通信的对端主机的 HIT的有效期和 /或所述 需要通信的对端主机的 HIT的安全状态查询。

优选地， 如图 7b所示， 所述安全管理服务器还可以包括通信确认单元 703, 用于根据需要通信的对端主机的 HIT的有效期和 /或所述需要通信的对 端主机的 HIT的安全状态确认是否与所述对端主机进行通信。 实施例二：

本实施例提供一种主机标识标签的安全保障方法，通过在 DNS( Domain Name System, 域名服务器）服务器上扩展 DNS资源记录（ DNS Resource Record, DNS RR )来记录 HIT的有效期和 /或 HIT的安全状态， 并提供所述 HIT的有效期和 /或 HIT的安全状态的查询机制。 优选地， 可在所述 DNS RR 中对 HTP资源记录（ HTP Resource Record, HTP RR )进行扩展或者重新定义。 如图 2中 201所示， HIP RR原有类型包括： HIT长度、 公钥 ( HI )算法、 公 钥（HI )长度、 ΗΙΤ、公钥（HI )和汇聚点服务器等资源记录类型。 优选地， 可在所述 HIP RR中原有资源记录类型的基础上 ,增加 HIT的有效期和 /或 HIT 的安全状态， 将所述资源记录类型加入所述 DNS RR中。 扩展后的资源记录 类型如图 2中 202所示， 包括 HIT长度、 公钥 ( HI )算法、 公钥 ( HI )长度、 HIT, 公钥 ( HI ), 汇聚点服务器、 HIT的有效期和 /或 HIT的安全状态。

如图 3所示， 所述主机标识标签的安全保障方法包括：

步驟 301 : 扩展 DNS RR, 在 DNS服务器中记录 HIT的有效期。

在步驟 301中， 如果所述公钥 ( HI )本身拥有有效期， 则所述 HIT的有 效期应不超过所述公钥 （HI ) 的有效期； 由于主机可能故意推迟注册和延 长 HIT的有效期， 因此， 可以根据所述公钥（HI )的长度， 在 DNS服务器中 规定一个默认的有效期，规定主机提供的 HIT的有效期不能长于所述默认的 有效期，并规定主机更新的 HIT的有效期的开始时间不能晚于该主机的前一 个 HIT的有效期的截止时间。

步驟 302: 扩展 DNS RR, 在 DNS服务器中记录 HIT的安全状态。

在步骤 302中， HIT的安全状态可以包括： good (良好)、 unknown (未知）、 revoke (废弃）。 优选地， 可以按如下策略定义 HIT的安全状态： 将所述 HIT 经过注册验证后的一时间段内的 HIT的安全状态定义为 good,所述时间段根 据安全策略的严格程度确定；将所述时间段之后至所述 HIT有效期截止时间 之间的 HIT安全状态定义为 unknown;将超过所述 HIT有效期截止时间的 HIT 的安全状态定义为 revoke。 以 1024位的公钥的有效期为例， 其有效期一般为 2年， 则可将注册验证后的 1.5年这一时间段内的 HIT的安全状态定义为 good;将注册验证后的 1.5年至有第 2年之间的 HIT安全状态定义为 unknown; 将超过注册验证后第 2年的 HIT的安全状态定义为 revoke。

步骤 303: 向 DNS服务器查询需要通信的对端主机的 HIT的有效期和 /或 HTT的安全状态， 并确认是否与所述需要通信的对端主机进行通信。

在步骤 303中， 当需要通信时， 用户会接收到 HIT报文头， 可以通过所 述 HIT报文头中的 domain ID (域 ID )的信息向 DNS服务器查询需要通信的 对端主机的 HIT的有效期和 /或需要通信的对端主机的 HIT的安全状态，所述 域名服务器反馈所述需要通信的对端主机的 HIT的有效期和 /或需要通信的 对端主机的 HIT的安全状态信息。 若所述用户通过查询获知所述 HIT的有效 期已截止， 或者所述 HIT的安全状态存在问题 (比如， 所述 HIT安全状态为 revoke或者 unknown,具体可以根据安全策略设定)， 则所述用户可选择拒绝 与所述对端主机进行通信。

图 3所示的方法中， 所述步驟 301、 302无先后执行顺序。 本实施例中步 驟 301和步驟 302可以任选其一， 可不同时采用。

相应地， 本实施例还提供一种安全管理服务器， 所述安全管理服务器 包括 DNS服务器， 如图 8所示， 所述 DNS服务器包括：

记录单元 801 , 用于记录 HIT的有效期和 /或 HIT的安全状态；

查询单元 802, 用于提供需要通信的对端主机的 HIT的有效期和 /或所述 需要通信的对端主机的 HIT的安全状态查询。

所述记录单元 801包括所述 DNS服务器的 DNS RR。

本实施例提供的主机标识标签的安全保障方法及安全管理服务器通过 在 DNS服务器的 DNS RR中记录 HIT的有效期和 /或 HIT的安全状态， 为用户 提供 HIT的有效期和 /或 HIT的安全状态的查询， 提高了 HIT的安全性。 实施例三：

本实施例提供的主机标识标签的安全保障方法基于一种分级路由架构 ( Hierarchical Routing Architecture, HRA)。 所述 HRA中的管理域有负责对 主机标识 HI进行注册的服务器 ID-Server, 所述 ID-Server负责主机标识的注 册和维护， 所述 ID-Server可用于管理维护 HIT的有效期和 /或 HIT的安全状 态 , 并提供 ΗΤΤ的有效期和 /或 ΗΤΤ的安全状态的查询服务。

如图 4所示， 本实施例提供的主机标识标签的安全保障方法包括： 步驟 401： 在所述 ID-Server中记录 HIT的有效期。

在步骤 401中， 如所述公钥 ( HI )本身拥有有效期， 所述 HIT的有效期 应不超过所述公钥 ( HI )的有效期； 由于主机可能故意推迟注册和延长 HIT 的有效期， 因此， 可以根据所述公钥 （HI ) 的长度， 在所述 ID-Server中规 定一个默认的有效期，规定主机提供的 HIT的有效期不能长于所述默认的有 效期， 并规定主机更新的 HIT的有效期的开始时间不能晚于该主机前一个 HIT的有效期截止时间。

步驟 402: 在所述 ID-Server中记录 HIT的安全状态。

在步驟 402中 , HIT的安全状态可以包括： good (良好)、 unknown (未知）、 revoke (废弃）。 优选地， 可以按如下策略定义 HIT的安全状态： 将所述 HIT 经过注册验证后的一时间段内的 HIT的安全状态定义为 good,所述时间段根 据安全策略的严格程度确定；将所述时间段之后至所述 HIT有效期截止时间 之间的 HIT安全状态定义为 unknown;将超过所述 HIT有效期截止时间的 HIT 的安全状态定义为 revoke。 以 1024位的公钥的有效期为例， 其有效期一般为 2年， 则可将注册验证后的 1.5年这一时间段内的 HIT的安全状态定义为 将超过注册验证后第 2年的 HIT的安全状态定义为 revoke。

步驟 403: 用户向所述 ID-Server查询需要通信的对端主机的 HIT的有效 期和 /或 HIT的安全状态， 并确认是否与所述需要通信的对端主机进行通信。

在步骤 403中， 当需要通信时， 用户向所述 ID-Server发送携带有需要通 信的对端主机的 HIT的请求报文 , 所述在 ID-Server接收到所述请求报文后 , 回复所述需要通信的对端主机的 HIT的有效期和 /或需要通信的对端主机的 HIT的安全状态信息。 若所述用户通过查询获知所述 HIT的有效期已截止， 或者所述 HIT的安全状态存在问题(比如 , 安全状态为 revoke或者 unknown , 具体可以根据安全策略设定)， 则所述用户可选择拒绝与发送所述 HTT报文 头的主机进行通信。

如图 4所示， 所述步驟 401、 402无先后执行顺序。 本实施例中步驟 401 和步骤 402可以任选其一， 可不同时采用。

相应地， 本实施例还提供一种安全管理服务器， 所述安全管理服务器 包括分级路由架构 HRA的管理域中负责对主机标识 HI进行注册的服务器， 如图 9所示， 所述服务器包括：

记录单元 901 , 用于记录 HIT的有效期和 /或 HIT的安全状态；

查询单元 902, 用于提供需要通信的对端主机的 HIT的有效期和 /或所述 需要通信的对端主机的 HIT的安全状态查询；

本实施例提供的主机标识标签的安全保障方法及安全管理服务器通过 在分级路由架构 HRA的管理域中负责对主机标识 HI进行注册的服务器中记 录 HIT的有效期和 HIT的安全状态 , 为用户提供 HIT的有效期和 /或 HIT的安 全状态的查询， 提高了 HIT的安全性。 实施例四：

本实施例提供一种主机标识标签的安全保障方法涉及汇聚点服务器 ( Rendezvous Server, RVS ), 所述 RVS的功能是维护 HIT与相对应的 IP地址 的映射。 当需要通信时， 用户在不知道需要通信的对端主机的 IP地址时， 可 以将初始报文发送给所述 RVS；所述 RVS根据所述初始报文中所携带的所述 需要通信的对端主机的 HIT, 找到对应的 IP地址， 然后根据所述 IP地址， 将 所述初始报文转发给所述需要通信的对端主机； 所述需要通信的对端主机 接收到转发的报文后， 可以直接与用户进行通信， 具体过程如图 5所示。 鉴 于所述 RVS在 HIP协议中所承担的维护 HIT与相对应的 IP地址的映射功能 , 所述 RVS可作为安全管理服务器用于管理维护 HIT的有效期和 HIT的安全状 态信息； 且由于所述 RVS中包括 RVS存储记录， 可扩展所述存储记录， 用于 记录 HTT的有效期和 /或 HTT的安全状态信息 , 并提供 HTT的有效期和 /或 HTT 的安全状态信息的查询。

如图 6所示， 本实施例提供的主机标识标签的安全保障方法包括： 步骤 601：扩展 RVS存储记录，在所述 RVS存储记录中记录 HIT的有效期。 在步驟 601中， 如所述公钥 ( HI )本身拥有有效期， 所述 HIT的有效期 应不超过所述公钥 ( HI )的有效期； 由于主机可能故意推迟注册和延长 HIT 的有效期的问题， 因此， 所述可以根据所述公钥 （HI ) 的长度在 RVS中规 定一个默认的有效期，规定主机提供的 HIT的有效期不能长于所述默认的有 效期， 并规定主机更新的 HIT的有效期的开始时间不能晚于该主机前一个 HIT的有效期截止时间。

步驟 602:扩展 RVS存储记录，在所述 RVS存储记录中记录 HIT的安全状 态。

在步骤 602中 , HIT的安全状态可以包括： good (良好)、 unknown (未知）、 revoke (废弃）。 优选地， 可以按如下策略定义 HIT的安全状态： 将所述 HIT 经过注册验证后的一时间段内的 HIT的安全状态定义为 good,所述时间段根 据安全策略的严格程度确定；将所述时间段之后至所述 HIT有效期截止时间 之间的 HIT安全状态定义为 unknown;将超过所述 HIT有效期截止时间的 HIT 的安全状态定义为 revoke。 以 1024位的公钥的有效期为例， 其有效期一般为 2年， 则可将注册验证后的 1.5年这一时间段内的 HIT的安全状态定义为 good;将注册验证后的 1.5年至有第 2年之间的 HIT安全状态定义为 unknown; 将超过注册验证后第 2年的 HIT的安全状态定义为 revoke。

步骤 603: 用户向所述 RVS查询需要通信的对端主机的 HIT的有效期和 / 或 HIT的安全状态， 并确认是否与所述需要通信的对端主机进行通信。

在步骤 603中， 当需要通信时， 用户向所述 RVS发送携带有需要通信的 对端主机的 HIT的请求报文， 所述 RVS可以对所述请求报文中携带的 HIT进 行检验， 只有当所述 HIT的有效期未截止， 或者所述 HIT的安全状态符合特 定条件时才提供报文转发服务； 若所述 HTT的有效期截止， 或者 HTT的安全 状态不符合特定条件， 则直接发送报错信息； 所述特定条件可根据安全策 略确定，比如， 当需要通信的对端主机的 HIT的安全状态是 good,用户的 HIT 的安全状态是 good或 unknown时 , 可认为所述需要通信的对端主机的 HIT的 安全状态和所述用户的 HIT的安全状态符合所述特定条件。

如图 6所示， 所述步骤 601、 602无先后执行顺序。 必须指出的是， 本实 施例中步驟 601和步驟 602可以任选其一， 不必同时采用。

相应地， 本实施例还提供一种安全管理服务器， 所述安全管理服务器 包括汇聚点服务器（Rendezvous Server, RVS ), 所述 RVS的功能是维护 HIT 与相对应的 IP地址的映射。 如图 10所示， 所述 RVS包括：

记录单元 1001 , 用于记录 HIT的有效期和 /或 HIT的安全状态；

查询单元 1002, 用于提供需要通信的对端主机的 HIT的有效期和 /或所 述需要通信的对端主机的 HIT的安全状态查询。

通信确认单元 1003 , 用于根据需要通信的对端主机的 HIT的有效期和 / 或所述需要通信的对端主机的 HIT的安全状态确认是否与所述对端主机进 行通信。

本实施例提供的主机标识标签的安全保障方法及安全管理服务器通过 在汇聚点服务器中记录 HIT的有效期和 /或 HIT的安全状态， 为用户提供 HIT 的有效期和 HIT的安全状态的查询， 提高了 HIT的安全性。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步 驟可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机 可读取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序 代码的介质。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局 限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可 轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发 明的保护范围应该以权利要求的保护范围为准。

Claims

权 利 要 求

1、 一种主机标识标签的安全保障方法， 其特征在于， 包括： 在安全管理服务器中记录主机标识标签的有效期和 /或主机标识标签 的安全状态，

当需要通信时， 向所述安全管理服务器查询需要通信的对端主机的主 机标识标签的有效期和 /或所述需要通信的对端主机的主机标识标签的安 全状态，

根据需要通信的对端主机的主机标识标签的有效期和 /或所述需要通 信的对端主机的主机标识标签的安全状态确认是否与所述对端主机进行通 信。

2、 根据权利要求 1所述的方法， 其特征在于： 所述安全管理服务器为 域名服务器。

3、 根据权利要求 2所述的方法， 其特征在于： 所述域名服务器包括域 名服务器资源记录；

在所述域名服务器资源记录中记录主机标识标签的有效期和 /或主机标 识标签的安全^)犬态，

当需要通信时 , 向所述域名服务器查询所述需要通信的对端主机的主 机标识标签的有效期和 /或所述需要通信的对端主机的主机标识标签的安 全状态。

4、 根据权利要求 3所述的方法， 其特征在于， 所述向所述安全管理服 务器查询所述需要通信的对端主机的主机标识标签的有效期和 /或所述需 要通信的对端主机的主机标识标签的安全状态， 包括：

当用户接收到主机标识标签^艮文头时 , 通过所述主机标识标签^艮文头 中的域标志的信息向所述域名服务器查询所述域标志对应的主机标识标签 所述域名服务器反馈所述需要通信的对端主机的主机标识标签的有效 期和 /或需要通信的对端主机的主机标识标签的安全状态信息。

5、 根据权利要求 1所述的方法， 其特征在于： 所述安全管理服务器为 分级路由架构的管理域中负责对主机标识进行注册的服务器。

6、 根据权利要求 5所述的方法， 其特征在于， 所述向所述安全管理服 务器查询所述需要通信的对端主机的主机标识标签的有效期和 /或所述需要 通信的对端主机的主机标识标签的安全状态， 包括：

用户向所述负责对主机标识进行注册的服务器发送携带有所要查询的 需要通信的对端主机的主机标识标签的请求 4艮文，

所述负责对主机标识进行注册的服务器接收到所述请求报文后， 回复 所述需要通信的对端主机的主机标识标签的有效期和 /或需要通信的对端主 机的主机标识标签的安全状态信息。

7、 根据权利要求 1所述的方法， 其特征在于： 所述安全管理服务器为 汇聚点服务器。

8、 根据权利要求 7所述的方法， 其特征在于， 所述向所述安全管理服 务器查询需要通信的对端主机的主机标识标签的有效期和 /或所述需要通 信的对端主机的主机标识标签的安全状态， 根据需要通信的对端主机的主 机标识标签的有效期和 /或所述需要通信的对端主机的主机标识标签的安 全状态确认是否与所述对端主机进行通信， 包括：

用户向所述汇聚点服务器发送携带有需要通信的对端主机的主机标识 标签的请求报文，

所述汇聚点服务器对所述请求报文中携带的主机标识标签进行检验 , 若所述需要通信的对端主机的主机标识标签的有效期未截止， 且 /或需要通 信的对端主机的主机标识标签的安全状态符合特定条件 , 则提供报文转发 服务； 若所述需要通信的对端主机的主机标识标签的有效期截止， 且 /或者 需要通信的对端主机的主机标识标签的安全状态不符合特定条件， 则直接 发送报错信息。

9、 一种安全管理服务器， 其特征在于， 包括：

记录单元， 用于记录主机标识标签的有效期和 /或主机标识标签的安全 状态；

查询单元， 用于提供需要通信的对端主机的主机标识标签的有效期和 / 或所述需要通信的对端主机的主机标识标签的安全状态查询。

10、 根据权利要求 9所述的安全管理服务器， 其特征在于， 还包括： 通 信确认单元， 用于根据需要通信的对端主机的主机标识标签的有效期和 /或 所述需要通信的对端主机的主机标识标签的安全状态确认是否与所述对端 主机进行通信。

11、 根据权利要求 9所述的安全管理服务器， 其特征在于： 所述安全管 理服务器为域名服务器。

12、 根据权利要求 9所述的安全管理服务器， 其特征在于： 所述安全管 理服务器为分级路由架构的管理域中负责对主机标识进行注册的服务器。

13、 根据权利要求 9或 10所述的安全管理服务器， 其特征在于： 所述安 全管理服务器为汇聚点服务器。