WO2013013479A1 - 实体标识符分配系统、溯源、认证方法及服务器 - Google Patents

Abstract

本发明实施例提供一种实体标识符分配系统、溯源、认证方法及服务器。本发明实施例采用树形的实体标识符EI分配系统，除EI分配根节点之外的各EI分配节点/网络接入实体都需进行身份验证后才能从上一级分配节点分配得到EI资源/EI，生成了各EI分配节点/网络接入实体的授权信息，可以在使用分配得到的EI构造IP地址的网络接入实体请求接入网络时根据EI分配系统中的该EI的授权信息对网络接入实体进行身份验证，使得在网络接入实体获得相对固定标识的基础上，同时满足可溯源和使用者身份可验证的需求。

Description

实体标识符分配系统、 溯源、 认证方法及服务器 技术领域

本发明实施例涉及网络技术领域， 尤其是一种实体标识符分配系统、 溯源、 认证方法及服务器。 背景技术

在当前互联网的体系结构下， IP地址既是网络接入实体 (如主机和使用 者） 的身份标识， 又是网络接入实体的定位标识。 在实际应用中， 由于网络 接入实体经常变换接入位置， IP地址也会随之发生变化， 这使得网络接入实 体无法获得相对固定的实体标识。

为 jth , 电气和电子工程师十办会 ( Institute of Electrical and Electronics Engineers, 简称 IEEE )提出了 64位扩展唯一标识符 ( 64-bit extended unique identifier, 简称 IEEE-EUI64 ) , IEEE-EUI64是一种利用主机 MAC地址生成 IPv6地址后 64位的地址生成方式。 该地址生成方式中， IPv6地址的路由前 缀（ IPv6地址的前 64位 )通过链路上路由器（通常是第一跳路由器）的路由 通告得到， 接口 ID ( IPv6地址的后 64位） 由 48位的 MAC地址转换得到。 由于 MAC地址是由 IEEE分配给网卡制造商的，伴随着网卡的销售而完成分 配的， 因此 MAC地址天然地缺乏管理体系， 存在以下问题：

1 )难以溯源

尽管 MAC 地址的分配也独立于互联网服务提供商 （Internet Service Provider, 简称 ISP ) , 但 IEEE-EUI64的设计初衷是为了提供 "即插即用" 功能， 并无太多身份认证上的考量。 MAC地址没有 IP地址那样的注册机制 和公共的解析系统， 其对应的主机信息和使用者信息无法查询。 MAC地址也 没有与互联网的行为主体有安全的绑定机制， MAC可以任由用户伪造。

2 ) IEEE-EUI64方式的地址生成方式缺乏险证机制

该方式不能提供对 IP地址真实性的验证， 因此主机使用者可以通过修改 MAC地址来无限制地构造 IP地址。

密钥生成地址（ Cryptographically Generated Addresses , 简称 CGA )是另 一种基于 IPv6自配置机制的地址生成机制， CGA地址的后 64位由地址使用 者的公钥哈希生成。 CGA尽管可以用来验证 IP地址的真实性， 但使用者的 身份信息无法解析。 也就是说， 使用者可以在不同时间使用不同的公钥构造 不同的 CGA 地址来隐藏自己的身份。 另外， 还有标识符定位网络协议 ( Identifier-Locator Network Protocol, 简称 ILNP )等一些改进技术， 其中部 分技术还需要对 IP的工作机制加以修改， 可行性差。

在实现本发明的过程中， 发明人发现： 现有技术中网络接入实体获得相 对固定标识的方法无法同时满足可溯源和使用者身份可验证的需求。 发明内容 本发明实施例提供一种实体标识符分配系统、 溯源、认证方法及服务器， 以解决现有技术中网络接入实体获得相对固定标识的方法无法同时满足可溯 源和使用者身份可验证的需求的问题。

一方面， 本发明实施例提供了一种实体标识符分配系统， 包括： 树状连 接的实体标识符 EI分配根节点、 中间级 EI分配节点和叶子 EI分配节点； 所述 EI分配根节点， 用于对请求分配 EI资源的下一级 EI分配节点进行 身份验证， 验证通过后向所述下一级 EI分配节点分配 EI资源， 生成所述下 一级 EI分配节点的授权信息；

所述中间级 EI分配节点， 用于向上一级 EI分配节点请求分配 EI资源， 并在分配得到所述上一级 EI分配节点分配的 EI资源后， 对请求分配 EI资源 的下一级 EI分配节点进行身份验证， 验证通过后向所述下一级 EI分配节点 分配 EI资源， 生成所述下一级 EI分配节点的授权信息；

所述叶子 EI分配节点， 用于向上一级 EI分配节点请求 EI资源， 并在分 配得到所述上一级 EI分配节点分配的 EI资源后， 对请求分配 EI的网络接入 实体进行身份验证，验证通过后向所述网络接入实体分配 EI以使所述网络接 入实体根据所述 EI生成 IP地址， 生成所述网络接入实体的授权信息。

另一方面， 本发明实施例提供了一种基于上述实体标识符分配系统的溯 源方法， 包括：

基于待溯源的 EI, 溯源设备向 EI分配根节点查询所述 EI分配对象的授 权信息； 所述 EI分配根节点向所述溯源设备返回下一级 EI分配节点的标识， 所 述下一级 EI分配节点从所述 EI分配根节点分配得到的 EI资源包含所述 EI;

所述溯源设备向所述下一级 EI分配节点查询分配所述 EI分配对象的授 权信息， 直至接收到叶子 EI分配节点的标识， 所述叶子 EI分配节点分配得 到的 EI资源包含所述 EI;

所述溯源设备向所述叶子 EI分配节点查询所述 EI分配对象的授权信息； 所述叶子 EI分配节点确定分配得到所述 EI的 EI分配对象的授权信息， 并将所述 EI分配对象的授权信息发送给所述溯源设备。

另一方面， 本发明实施例提供了一种基于上述实体标识符分配系统的接 入认证方法， 包括：

接收网络接入实体发送的接入认证请求， 所述接入认证请求的源 IP地址 包含所述网络接入实体的实体标识符 EI;

从所述 EI分配系统获取所述 EI分配对象的授权信息；

根据所述 EI分配对象的授权信息对所述网络接入实体进行接入认证。 另一方面， 本发明实施例提供了一种接入认证服务器， 与如上所述的实 体标识符分配系统交互， 包括：

接收模块， 用于接收网络接入实体发送的接入认证请求， 所述接入认证 请求的源 IP地址包含所述网络接入实体的实体标识符 EI;

获取模块， 用于从所述 EI分配系统获取所述 EI分配对象的授权信息； 认证模块，用于根据所述 EI分配对象的授权信息对所述网络接入实体进 行接入认证。

以上多个技术方案中的一个技术方案具有如下优点或有益效果： 本发明实施例采用树形的实体标识符 EI分配系统， 除 EI分配根节点之 外的各 EI分配节点 /网络接入实体都需进行身份验证后才能从上一级分配节 点分配得到 EI资源 /EI, 生成了各 EI分配节点 /网络接入实体的授权信息， 可 以在使用分配得到的 EI构造 IP地址的网络接入实体请求接入网络时根据 EI 分配系统中的该 EI的授权信息对网络接入实体进行身份验证，使得在网络接 入实体获得相对固定标识的基础上， 同时满足可溯源和使用者身份可验证的 需求。 附图说明

图 1为本发明实施例提供的一种实体标识符 EI分配系统实施例的结构示 意图。

图 2为图 1所示实施例的一种应用示意图。

图 3为本发明实施例提供的一种基于 EI分配系统的溯源方法实施例的流 程示意图。

图 4为本发明实施例提供的一种基于 EI分配系统的接入认证方法实施例 的流程示意图。

图 5为本发明实施例提供的一种基于 EI分配系统的接入认证服务器实施 例的结构示意图。 具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本 发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描 述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造性劳动前提 下所获得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明实施例提供的一种实体标识符 （Entity Identifier, 简称 EI ) 分配系统实施例的结构示意图。 如图 1所示， 该系统包括：

EI分配根节点 1 1、 中间级 EI分配节点 12和叶子 EI分配节点 13 ;

EI分配根节点 1 1 ,用于对请求分配 EI资源的下一级 EI分配节点进行 身份验证， 验证通过后向所述下一级 EI分配节点分配 EI资源， 生成所述 下一级 EI分配节点的授权信息；

中间级 EI分配节点 12 ,用于向上一级 EI分配节点请求分配 EI资源 , 并在分配得到所述上一级 EI分配节点分配的 EI资源后 , 对请求分配 EI 资源的下一级 EI分配节点进行身份验证， 验证通过后向所述下一级 EI分 配节点分配 EI资源， 生成所述下一级 EI分配节点的授权信息；

叶子 EI分配节点 13 , 用于向上一级 EI分配节点请求 EI资源， 并在 分配得到所述上一级 EI分配节点分配的 EI资源后， 对请求分配 EI的网 络接入实体进行身份验证， 验证通过后向所述网络接入实体分配 EI以使 所述网络接入实体根据所述 EI生成 IP地址， 生成所述网络接入实体的授 权信息。

应用中， 中间级 EI分配节点 12可能有一级或多级， EI的分配层次的 划分也不是固定的， EI分配系统中各个子树可以根据实际情况进行调整。 本实施例对此不作限定。 举例来说， 若中间级 EI分配节点有两级， 与 EI 分配根节点 11直接连接的可以称为顶级 EI分配节点， 与叶子 EI分配节 点直接连接的可以称为次级 EI分配节点。 在 EI分配系统中， 分配上游对 EI的分配对象进行身份验证， 验证通过后向其下游授权 EI资源， 负责维 护 EI或者 EI段的分配信息。 如图 2所示， EI分配根节点将前缀为 40/8 的 EI资源分配给了顶级 EI分配节点 A, 其中 40/8表示以 0x40开头的 EI 前缀， 代表一段标识聚合的 EI资源， EI分配根节点将前缀为 41/8的 EI 资源分配给了顶级 EI分配节点 B,将前缀为 4F/8的 EI资源分配给了顶级 EI分配节点 X； 顶级 EI分配节点 B将前缀为 410001/24的 EI其资源分配 给次级 EI分配结构 A, 将前缀为 41FFFF/24的 EI其资源分配给次级 EI 分配结构 X； 次级 EI分配机构 A将前缀为 4100010001/40的 EI资源分配 给了 EI分配代理 A (即叶子 EI分配节点 ) , 将前缀为 410001FFFF/40的 EI资源分配给了 EI分配代理 X； EI分配代理 X将 410001FFFFAB5678的 EI分配给了网络接入实体 HI , 将 410001FFFF5EF987的 EI分配给了网络 接入实体 H2。

这里的授权信息通常可以包含 EI资源分配对象分配得到的 EI资源的 标识， 所述 EI资源分配对象的标识、 公钥， 所述 EI资源分配者的标识等 信息。 其中， 所述 EI资源通常以 EI前缀来标识， 若所述 EI资源分配对象 为网络接入实体， 授权信息可选地还包含所述 EI的有效期。 当然， 授权 信息的内容可以根据实际应用的需求进行删减或扩展， 本实施例对此不作 限定。

在本发明的一个可选的实施例中， 为了方便第三方对 EI资源 /EI的分 配情况及授权信息进行查询， 所述系统还包括：

EI信息根服务器 21、 中间级 EI信息服务器 22和叶子 EI信息服务器

23;

EI信息根服务器 21 , 与 EI分配根节点 11对应， 用于存储 EI分配根 节点 11的 EI资源分配对象的授权信息， EI分配根节点 11的 EI资源分配 对象的授权信息包括 EI资源分配对象分配得到的 EI资源的标识， 所述 EI 资源分配对象的标识、 公钥， 所述 EI资源分配对象对应的 EI信息服务器 的标识和 EI分配 ^节点 11的标识；

中间级 EI信息服务器 22, 与中间级 EI分配节点 12——对应， 用于 存储对应的中间级 EI分配节点 12的 EI资源分配对象的授权信息， 所述 中间级 EI分配节点的 EI资源分配对象的授权信息包括所述 EI资源分配对 象分配得到的 EI资源的标识， 所述 EI资源分配对象的标识、 公钥， 所述 EI资源分配对象对应的 EI信息服务器的标识和中间级 EI分配节点 12的 标识；

叶子 EI信息服务器 23 , 与叶子 EI分配节点 13——对应， 用于存储 对应的叶子 EI分配节点 13的 EI分配对象的授权信息， 所述叶子 EI分配 节点的 EI分配对象的授权信息包括所述 EI分配对象分配得到的 EI, 所述 EI分配对象的身份信息、 公钥， 叶子 EI分配节点 13的标识；

EI分配根节点 11具体用于，验证通过后向所述下一级 EI分配节点发 送所述下一级 EI分配节点的授权信息和私钥， 并将所述下一级 EI分配节 点的授权信息发送给 EI信息根服务器 21 ;

中间级 EI分配节点 12具体用于， 接收上一级 EI分配节点发送的所 述中间级 EI分配节点的授权信息和私钥， 并在验证通过后向所述下一级 EI分配节点发送所述下一级 EI分配节点的私钥， 并将所述下一级 EI分配 节点的授权信息发送给对应的中间级 EI信息服务器 22;

叶子 EI分配节点 13具体用于， 接收上一级 EI分配节点发送的所述 叶子 EI分配节点的授权信息和私钥， 并在验证通过后向所述网络接入实 体发送所述网络接入实体的私钥， 并将所述网络接入实体的授权信息发送 给对应的叶子 EI信息服务器 23。

这里的私钥是与授权信息中所述 EI资源 /EI分配对象的公钥对应的， EI资源 /EI分配对象用私钥签名过的信息， 可以用授权信息中的公钥进行 验证。 当然， 可以在颁发公钥的同时颁发私钥， 也可以是 EI资源 /EI分配 对象（如网络接入实体）自身生成公钥和私钥，然后将公钥告知 EI资源 /EI 分配者， 本实施例对此不作限定。 应用中， 各 EI信息服务器还可以保存 自身的授权信息。

表 1给出了一种可能的 EI资源授权信息， 表 2给出了单个粒度的 EI 授权信息示例。

表 1 EI资源的授权信息示例表

EI的授权信息示例表

需要说明的是， 网络接入实体获得叶子 EI分配节点分配的 EI后， 可 以根据所述 EI生成 IP地址 ,该 IP地址作为该网络接入实体接入网络的标 识。 应用中， 由于 IP地址的前缀用于标识网络接入实体的接入位置， 所 以 IP地址的位置相关性在现有互联网体系结构下无法改变， 基于 EI的 IPv6地址寻求在 IPv6地址非路由标识部分携带网络接入实体的身份标识。 基于 EI的 IPv6地址结构可以如表 3所示。

表 3

网络前缀（ 64bits) 实体标识符 EI(64bits)

如表 3所示， 网络前缀是网络接入实体的位置标识， 同传统意义上的 IPv6地址前缀没有区别。 EI是一个 64比特的位串， 例如

0x332277880101FFFF, 它充当网络接入实体的稳定身份标识， 不随网络接 入实体的位置和归属者的变化而变化。 EI的不同分配者决定了 EI的有效 范围， 表 4给出了 EI分配系统的管理者与其分配的 EI有效范围的关系的 示例。 主机在不同接入域之间漫游时， 接入网控制实体， 如第一跳路由器 或者动态主机设置协议（ Dynamic Host Configuration Protocol,简称 DHCP ) 服务器 , 向主机提供 IPv6地址的网络前缀部分， 即 IPv6地址的前 64位， 主机将 64位的网络前缀部分和分配得到的 ΕΙ组成可路由的 IPv6地址。表 4中提到的两种 EI管理方式是基于 EI的 IPv6地址的两种实现方式， 也是 本实施例的两种实施场景， 其中互联网基础资源分配机构可以是互联网数 字分配机构 ( Internet Assigned Numbers Authority, 简称 IANA ) 等。

表 4

基于 EI的 IPv6地址可以兼容当前主流的基于 MAC地址的 IPv6地址 自配置功能。 按照现有标准和规范， 基于 MAC地址的 IPv6地址自配置方 法固定地将 IPv6地址的后 64位中的 "中间 16比特" 设定为 0xFFFE。 为 了避免基于 EI的 IPv6地址的设计影响到基于 MAC地址的 IPv6地址自配 置方法， 本实施例中可以将 IPv6地址后 64位的中间 16比特的作为标识 类型值， 如果标识类型值为 OxFFFE, 说明该 IPv6地址的后 64位没有使 用 EI配置， 是传统的 IPv6地址， 可以使用 MAC地址生成， 当标识类型 值为其他值时 , 说明该 IPv6地址是基于 EI的 IPv6地址 , 例如 , 当标识类 型值为 0x1234时， 该 EI可以用来标识网络接入实体。

上述在 IPv6地址后 64位定义 "标识类型值" 的做法减少了基于 EI 的 IPv6地址设计对 IPv6地址空间减少的影响。 另一方面， 目前 IPv6地址 的分配是以前 64位为单位进行的， 也即 IPv6地址的分配实际是网络前缀 的分配，因此 IPv6地址后 64位的设计在很大程度上就是为了地址的冗余， 实际应用中一个链路上不可能挂载 264台主机， 基于 EI的 IPv6地址的应 用可以提高了整个 IPv6地址空间的利用率。

本发明实施例采用树形的实体标识符 EI分配系统， 除 EI分配根节点 之外的各 EI分配节点 /网络接入实体都需进行身份验证后才能从上一级分 配节点分配得到 EI资源 /EI, 生成了各 EI分配节点 /网络接入实体的授权 信息， 可以在使用分配得到的 EI构造 IP地址的网络接入实体请求接入网 络时根据 EI分配系统中的该 EI的授权信息对网络接入实体进行身份验 证， 使得在网络接入实体获得相对固定标识的基础上， 同时满足可溯源和 使用者身份可验证的需求。

图 3为本发明实施例提供的一种基于 EI分配系统的溯源方法实施例 的流程示意图。 这里的 EI分配系统为如本发明实施例提供的一种 EI分配 系统实施例所述的系统， 如图 3所示， 该方法包括：

步骤 301、 基于待溯源的 EI, 溯源设备向 EI分配根节点查询所述 EI 分配对象的授权信息；

这里的溯源设备通常为网络管理设备， 可以针对任意 EI发起图 4所 示的溯源流程， 通过带外机制预先配置 EI分配根节点的地址信息。 这里 EI分配对象的的授权信息包含所述 EI分配对象分配得到的 EI, 所述 EI 分配对象的身份信息、 公钥， 所述叶子 EI分配节点的标识， 以及所述 EI 的有效期等。 应用中， 溯源设备可以仅查询所述 EI分配对象的授权信息 包含的任意一项或多项信息， 本实施例对此不作限定。

步骤 302、 所述 EI分配根节点向所述溯源设备返回下一级 EI分配节 点的授权信息， 所述下一级 EI分配节点从所述 EI分配根节点分配得到的 EI资源包含所述 EI;

步骤 303、 所述溯源设备向所述下一级 EI分配节点查询分配所述 EI 分配对象的授权信息， 直至接收到叶子 EI分配节点的授权信息， 所述叶 子 EI分配节点分配得到的 EI资源包含所述 EI;

应用中， 根据所述 EI分配系统的层次， 溯源设备逐级溯源的次数可 能需一次或多次， 本实施例对此不作限定。 另外， 各级 EI分配节点返回 的授权信息还可以用自身的私钥加密， 溯源设备用对应的公钥逐级验证各 级 EI分配节点返回的授权信息。 举例来说， 溯源设备从 EI分配根节点发 送的下一级 EI分配节点的授权信息中， 提取出该下一级 EI分配节点的公 钥， 然后用该公钥对该下一级 EI分配节点返回的再下一级 EI分配节点的 授权信息进行验证。

步骤 304、 所述溯源设备向所述叶子 EI分配节点查询所述 EI分配对 象的授权信息；

步骤 305、所述叶子 EI分配节点确定分配得到所述 EI的 EI分配对象 的授权信息， 并将所述 EI分配对象的授权信息发送给所述溯源设备。

较优地， 若各 EI分配节点均配置了 EI信息服务器， 以提供对外查询 接口， 则上述步骤中， 溯源设备可以直接向对应的 EI信息服务器查询所 述 EI分配对象的授权信息。 在这种场景下， 步骤 301具体包括： 溯源设备向 EI分配根节点对应的 EI信息根服务器查询所述 EI分配对 象的授权信息；

步骤 302具体包括：

所述 EI信息根服务器向所述溯源设备返回下一级 EI分配节点的标 识；

步骤 303具体包括：

所述溯源设备向所述下一级 EI分配节点对应的下一级 EI信息服务器 查询分配所述 EI分配对象的授权信息；

步骤 304具体包括：

所述溯源设备向所述叶子 EI分配节点对应的叶子 EI信息服务器查询 所述 EI分配对象的授权信息；

步骤 305具体包括：

所述叶子 EI信息服务器确定所述 EI分配对象的授权信息， 并将所述 EI分配对象的授权信息发送给所述溯源设备。

举例来说， 如图 2所示， 溯源设备首先向 EI分配树根节点对应的 EI 信息根服务器发起针对 EI为 410001FFFFAB5678解析请求， 该 EI信息服 务器根据 EI资源的分配信息和 410001FFFFAB5678进行前缀匹配， 将匹 配结果，也即负责维护 EI段 41/8的 EI信息服务器的寻址信息告诉溯源设 备；以此类推，溯源设备先后得到了 EI段 410001/24, EI段 410001FFFF/40 的 EI信息服务器的寻址信息； 通过向 410001FFFF/40的叶子 EI信息服务 器的发起对 410001FFFFAB5678的解析请求， 溯源设备得到了解析结果， 即 EI为 410001FFFFAB5678的 EI分配对象的授权信息。 溯源设备可以根 据需求， 定制不同的解析请求， 可以一次请求 EI的所有授权信息， 也可 以在解析请求中指明所需要的授权信息， 例如， 查询 EI的有效期。

本实施例采用了基于 EI分配系统的树形架构逐级查询的技术手段， 可以实现 EI的溯源， 获得 EI分配对象的相关信息。

图 4为本发明实施例提供的一种基于 EI分配系统的接入认证方法实 施例的流程示意图。 这里的 EI分配系统为如本发明实施例提供的一种 EI 分配系统实施例所述的系统， 如图 4所示， 该方法包括：

步骤 401、 接收网络接入实体发送的接入认证请求， 所述接入认证请 求的源 IP地址包含所述网络接入实体的 EI;

举例来说， 接入认证服务器接收网络接入实体发送的接入认证请求。 在步骤 401之前， 网络接入实体从所述 EI分配系统分配得到了自身的 EI, 并根据该 EI和网络前缀构造了自身的 IP地址， 也就是所述接入认证请求 的源 IP地址。

步骤 402、 从所述 EI分配系统获取所述 EI分配对象的授权信息； 这里的 EI分配系统在分配所述 EI时会生成所述 EI分配对象的授权信 息， 该授权信息通常包含所述 EI分配对象的标识， 以及公钥等。

步骤 403、根据所述 EI分配对象的授权信息对所述网络接入实体进行 接入认证。

通常 EI分配系统在分配所述 EI也会将所述授权信息下发给所述 EI 分配对象。 当所述授权信息包含公钥时， 还可以将该公钥对应的私钥也下 发给所述 EI分配对象。 在所述 EI分配对象发起接入认证请求时， 可以用 所述私钥对该接入认证请求进行签名， 这样步骤 303 中可以根据从 EI分 配系统获得的所述 EI分配对象的授权信息中的公钥对该接入认证请求进 行签名验证，若验证通过则确认该网络接入实体的身份，允许其接入网络， 若验证不通过则拒绝该网络接入实体接入网络。 可选地， 所述 EI分配对 象也可以在所述接入认证请求中携带自身的标识， 步骤 403中可以根据从 EI分配系统获得的所述 EI分配对象的授权信息中的 EI分配对象的标识对 该接入认证请求中的网络接入实体的标识进行比对，若一致则确认该网络 接入实体的身份， 允许其接入网络， 若不一致则拒绝该网络接入实体接入 网络。 本实施例对此不作限定。

在本发明的一个可选的实施例中， 步骤 402具体可以包括：

从所述网络接入实体获取所述网络接入实体的授权信息；

解析所述网络接入实体的授权信息， 确定分配所述 EI的叶子 EI分配 节点；

所述叶子 EI分配节点对应的叶子 EI信息服务器获取用所述叶子 EI 分配节点的私钥签名过的所述 EI分配对象的授权信息。

这里网络接入实体的授权信息包含给所述网络接入实体分配所述 EI 的分配者的标识， 根据 EI分配系统的架构， 给网络接入实体分配 EI的通 常是叶子 EI分配节点。 应用中， 网络接入实体还可以将其授权信息包含 在接入认证请求中， 本实施例对此不作限定。

在本发明的又一可选的实施例中， 步骤 402具体可以包括：

向 EI信息根服务器查询所述 EI分配对象的授权信息；

接收所述 EI信息根服务器返回的所述 EI分配根节点的下一级 EI分配 节点的授权信息， 所述下一级 EI分配节点的可分配 EI资源包含所述 EI;

向所述下一级 EI分配节点对应的下一级 EI信息服务器查询所述 EI 分配对象的授权信息， 直至接收到所述叶子 EI分配节点的上一级 EI分配 节点对应的上一级 EI信息服务器返回的所述叶子 EI分配节点的授权信 息；

从所述叶子 EI分配节点对应的叶子 EI信息服务器获取用所述叶子 EI 分配节点的私钥签名过的所述 EI分配对象的授权信息。

上述场景下， 接入认证服务器根据所述网络接入实体的 EI直接向 EI 分配系统逐级查询获得所述 EI分配对象的授权信息。 上述过程可以参照 本发明实施例提供的一种基于 EI分配系统的溯源方法实施例。

在本发明的又一可选的实施例中， 获得用所述叶子 EI分配节点的私 钥签名过的所述 EI分配对象的授权信息之后， 步骤 403之前还可以包括： 若所述叶子 EI分配节点在信任列表中， 则从所述信任列表获取所述 叶子 EI分配节点的公钥， 所述信任列表包含至少一个信任的 EI分配节点 以及对应的公钥 ,所述 EI分配节点为 EI分配根节点、 中间级 EI分配节点 或叶子 EI分配节点。

这里的信任列表包含接入认证服务器信任的 EI分配节点的标识及其 对应的公钥， 可选地还包括信任的 EI分配节点对应的 EI信息服务器的寻 址信息， EI分配节点包含 EI分配根节点、 中间级 EI分配节点或叶子 EI 分配节点。 通常该信任列表至少包含 EI分配根节点的标识， 若某个网络 接入实体 /EI分配节点的授权信息中显示其 EI/EI资源的分配者是 EI分配 根节点， 而这个 EI分配根节点并不在信任列表中， 则说明该授权信息中 的 EI分配根节点是伪造的， 则验证失败。

可选地， 若所述叶子 EI分配节点不在所述信任列表中， 则确定所述 叶子 EI分配节点的上一级 EI分配节点； 若所述上一级 EI分配节点在所述信任列表中， 则从所述信任列表获 取所述上一级 EI分配节点的公钥， 并从所述上一级 EI分配节点对应的上 一级 EI信息服务器获取用所述上一级 EI分配节点的私钥签名过所述叶子 EI分配节点的授权信息；

根据所述上一级 EI分配节点的公钥对用所述上一级 EI分配节点的私 钥签名过的所述叶子 EI分配节点的授权信息进行签名验证；

验证通过后， 解析所述叶子 EI分配节点的授权信息， 确定所述叶子 EI分配节点的公钥。

这里， 若所述叶子 EI分配节点不在所述信任列表中， 还可以主动向 所述叶子 EI分配节点对应的叶子 EI信息服务器查询所述叶子 EI分配节点 的授权信息， 或者采用类似于本发明实施例提供的一种基于 EI分配系统 的溯源方法实施例所述的方法从信任的 EI分配根节点逐级溯源获得所述 叶子 EI分配节点的授权信息， 然后根据所述叶子 EI分配节点的授权信息 中的分配者字段， 确定所述叶子 EI分配节点的上一级 EI分配节点。 本实 施例对此不作限定。

需要说明的是，应用中可能会经过多个上一级的逐级验证直至验证到 信任的 EI分配节点， 本实施例对此不作限定。 另外， 由于 EI分配根节点 是信任的 EI分配节点， 因此若所述上一级 EI分配节点不在所述信任列表 中， 还可以包括：

确定所述上一级 EI分配节点是否为 EI分配根节点， 若为 EI分配根 节点且所述 EI分配根节点不在所述信任列表中， 则验证不通过， 结束。

进一步地， 当上述逐级验证通过后， 还可以将原本不在信任列表中但 此次验证通过的 EI分配节点加入到所述信任列表中， 则所述验证通过后 还包括：

将所述叶子 EI分配节点加入到所述信任列表中。

在本发明的又一可选的实施例中， 所述接入认证请求还包含所述网络 接入实体的私钥对所述接入认证请求的签名， 在获得所述叶子 EI分配节 点的公钥之后， 步骤 403具体可以包括：

根据所述叶子 EI分配节点的公钥对用所述叶子 EI分配节点的私钥签 名过的所述 EI分配对象的授权信息进行签名验证； 验证通过后， 解析所述 EI分配对象的授权信息， 确定所述 EI分配对 象的公钥；

根据所述 EI分配对象的公钥对所述接入认证请求进行签名验证。 另外， 所述 EI分配对象的授权信息还可以包括所述 EI的有效期， 这 种场景下， 还包括：

对所述接入认证请求的签名验证通过后， 根据所述 EI的有效期对所 述接入认证请求进行有效期验证。

本实施例采用了接收网络接入实体发送的接入认证请求， 所述接入认 证请求的源 IP地址包含所述网络接入实体的 EI, 从所述 EI分配系统获取 所述 EI分配对象的授权信息， 根据所述 EI分配对象的授权信息对所述网 络接入实体进行接入认证的技术手段， 可以基于 EI分配系统分配 EI时生 成的授权信息对网络接入实体进行接入认证， 实现了对用户地址真实性的 验证。

图 5 为本发明实施例提供的一种接入认证服务器实施例的结构示意 图。 该接入认证服务器与本发明实施例提供的一种 EI分配系统实施例所 述的系统交互， 如图 5所示， 该服务器包括：

接收模块 51 , 用于接收网络接入实体发送的接入认证请求， 所述接入 认证请求的源 IP地址包含所述网络接入实体的 EI;

获取模块 52,用于从所述 EI分配系统获取所述 EI分配对象的授权信 息；

认证模块 53 , 用于根据所述 EI分配对象的授权信息对所述网络接入 实体进行接入认证。

本实施例的具体实现参照本发明提供的一种基于 EI分配系统的接入 认证实施例。 本实施例采用了接收网络接入实体发送的接入认证请求， 所 述接入认证请求的源 IP地址包含所述网络接入实体的 EI,从所述 EI分配 系统获取所述 EI分配对象的授权信息， 根据所述 EI分配对象的授权信息 对所述网络接入实体进行接入认证的技术手段， 可以基于 EI分配系统分 配 EI时生成的授权信息对网络接入实体进行接入认证， 实现了对用户地 址真实性的验证。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机 可读取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程 序代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通 技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修 改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不 使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求 书

1、 一种实体标识符分配系统， 其特征在于， 包括： 树状连接的实体标识 符 EI分配根节点、 中间级 EI分配节点和叶子 EI分配节点；

所述 EI分配根节点， 用于对请求分配 EI资源的下一级 EI分配节点进行 身份验证， 验证通过后向所述下一级 EI分配节点分配 EI资源， 生成所述下 一级 EI分配节点的授权信息；

所述中间级 EI分配节点， 用于向上一级 EI分配节点请求分配 EI资源， 并在分配得到所述上一级 EI分配节点分配的 EI资源后， 对请求分配 EI资源 的下一级 EI分配节点进行身份验证， 验证通过后向所述下一级 EI分配节点 分配 EI资源， 生成所述下一级 EI分配节点的授权信息；

所述叶子 EI分配节点， 用于向上一级 EI分配节点请求 EI资源， 并在分 配得到所述上一级 EI分配节点分配的 EI资源后， 对请求分配 EI的网络接入 实体进行身份验证，验证通过后向所述网络接入实体分配 EI以使所述网络接 入实体根据所述 EI生成 IP地址， 生成所述网络接入实体的授权信息。

2、根据权利要求 1所述的系统，其特征在于，还包括： EI信息根服务器、 中间级 EI信息服务器和叶子 EI信息服务器；

所述 EI信息根服务器， 与所述 EI分配根节点对应， 用于存储所述 EI分 配根节点的 EI资源分配对象的授权信息， 所述 EI分配根节点的 EI资源分配 对象的授权信息包括 EI资源分配对象分配得到的 EI资源的标识， 所述 EI资 源分配对象的标识、 公钥， 所述 EI资源分配对象对应的 EI信息服务器的标 识和所述 EI分配根节点的标识；

所述中间级 EI信息服务器， 与所述中间级 EI分配节点——对应， 用于 存储对应的中间级 EI分配节点的 EI资源分配对象的授权信息， 所述中间级 EI分配节点的 EI资源分配对象的授权信息包括所述 EI资源分配对象分配得 到的 EI资源的标识， 所述 EI资源分配对象的标识、 公钥， 所述 EI资源分配 对象对应的 EI信息服务器的标识和所述中间级 EI分配节点的标识；

所述叶子 EI信息服务器， 与所述叶子 EI分配节点一一对应， 用于存储 对应的叶子 EI分配节点的 EI分配对象的授权信息， 所述叶子 EI分配节点的 EI分配对象的授权信息包括所述 EI分配对象分配得到的 EI, 所述 EI分配对 象的身份信息、 公钥， 所述叶子 EI分配节点的标识； 所述 EI分配根节点具体用于， 验证通过后向所述下一级 EI分配节点发 送所述下一级 EI分配节点的授权信息和私钥， 并将所述下一级 EI分配节点 的授权信息发送给所述 EI信息根服务器；

所述中间级 EI分配节点具体用于， 接收上一级 EI分配节点发送的所述 中间级 EI分配节点的授权信息和私钥， 并在验证通过后向所述下一级 EI分 配节点发送所述下一级 EI分配节点的私钥， 并将所述下一级 EI分配节点的 授权信息发送给对应的中间级 EI信息服务器；

所述叶子 EI分配节点具体用于， 接收上一级 EI分配节点发送的所述叶 子 EI分配节点的授权信息和私钥，并在验证通过后向所述网络接入实体发送 所述网络接入实体的私钥， 并将所述网络接入实体的授权信息发送给对应的 叶子 EI信息服务器。

3、 根据权利要求 2所述的系统， 其特征在于， 所述叶子 EI分配节点的 EI分配对象的授权信息还包括所述 EI的有效期。

4、 一种基于权利要求 1〜3任一所述的实体标识符分配系统的溯源方法， 其特征在于， 包括：

基于待溯源的 EI, 溯源设备向 EI分配根节点查询所述 EI分配对象的授 权信息；

所述 EI分配根节点向所述溯源设备返回下一级 EI分配节点的授权信息， 所述下一级 EI分配节点从所述 EI分配根节点分配得到的 EI资源包含所述 EI;

所述溯源设备向所述下一级 EI分配节点查询分配所述 EI分配对象的授 权信息， 直至接收到叶子 EI分配节点的授权信息， 所述叶子 EI分配节点分 配得到的 EI资源包含所述 EI;

所述溯源设备向所述叶子 EI分配节点查询所述 EI分配对象的授权信息； 所述叶子 EI分配节点确定分配得到所述 EI的 EI分配对象的授权信息， 并将所述 EI分配对象的授权信息发送给所述溯源设备。

5、 根据权利要求 4所述的方法， 其特征在于， 所述溯源设备向 EI分配 根节点查询所述 EI分配对象的授权信息具体包括：

溯源设备向 EI分配根节点对应的 EI信息根服务器查询所述 EI分配对象 的授权信息；

所述 EI分配根节点向所述溯源设备返回下一级 EI分配节点的授权信息 具体包括：

所述 EI信息根服务器向所述溯源设备返回下一级 EI分配节点的授权信 自 ·

所述溯源设备向所述下一级 EI分配节点查询分配所述 EI分配对象的授 权信息具体包括：

所述溯源设备向所述下一级 EI分配节点对应的下一级 EI信息服务器查 询分配所述 EI分配对象的授权信息；

所述溯源设备向所述叶子 EI分配节点查询所述 EI分配对象的授权信息 具体包括：

所述溯源设备向所述叶子 EI分配节点对应的叶子 EI信息服务器查询所 述 EI分配对象的授权信息；

所述叶子 EI分配节点确定分配得到所述 EI的 EI分配对象的授权信息， 并将所述 EI分配对象的授权信息发送给所述溯源设备具体包括：

所述叶子 EI信息服务器确定所述 EI分配对象的授权信息， 并将所述 EI 分配对象的授权信息发送给所述溯源设备。

6、一种基于权利要求 1〜3任一所述的实体标识符分配系统的接入认证方 法， 其特征在于， 包括：

接收网络接入实体发送的接入认证请求 , 所述接入认证请求的源 IP地址 包含所述网络接入实体的实体标识符 EI;

从所述 EI分配系统获取所述 EI分配对象的授权信息；

根据所述 EI分配对象的授权信息对所述网络接入实体进行接入认证。

7、 根据权利要求 6所述的方法， 其特征在于， 所述从所述 EI分配系统 获取所述 EI分配对象的授权信息具体包括：

从所述网络接入实体获取所述网络接入实体的授权信息；

解析所述网络接入实体的授权信息， 确定分配所述 EI的叶子 EI分配节 点；

从所述叶子 EI分配节点对应的叶子 EI信息服务器获取用所述叶子 EI分 配节点的私钥签名过的所述 EI分配对象的授权信息。

8、 根据权利要求 6所述的方法， 其特征在于， 所述从所述 EI分配系统 获取所述 EI分配对象的授权信息具体包括： 向 EI信息根服务器查询所述 EI分配对象的授权信息；

接收所述 EI信息根服务器返回的所述 EI分配根节点的下一级 EI分配节 点的授权信息， 所述下一级 EI分配节点的可分配 EI资源包含所述 EI;

向所述下一级 EI分配节点对应的下一级 EI信息服务器查询所述 EI分配 对象的授权信息， 直至接收到所述叶子 EI分配节点的上一级 EI分配节点对 应的上一级 EI信息服务器返回的所述叶子 EI分配节点的授权信息；

从所述叶子 EI分配节点对应的叶子 EI信息服务器获取用所述叶子 EI分 配节点的私钥签名过的所述 EI分配对象的授权信息。

9、 根据权利要求 7或 8所述的方法， 所述根据所述 EI分配对象的授权 信息对所述网络接入实体进行接入认证之前还包括：

若所述叶子 EI分配节点在信任列表中，则从所述信任列表获取所述叶子 EI分配节点的公钥，所述信任列表包含至少一个信任的 EI分配节点以及对应 的公钥， 所述 EI分配节点为 EI分配根节点、 中间级 EI分配节点或叶子 EI 分配节点。

10、 根据权利要求 7或 8所述的方法， 其特征在于， 所述根据所述 EI分 配对象的授权信息对所述网络接入实体进行接入认证之前还包括：

若所述叶子 EI分配节点不在所述信任列表中， 则确定所述叶子 EI分配 节点的上一级 EI分配节点；

若所述上一级 EI分配节点在所述信任列表中 ,则从所述信任列表获取所 述上一级 EI分配节点的公钥， 并从所述上一级 EI分配节点对应的上一级 EI 信息服务器获取用所述上一级 EI分配节点的私钥签名过所述叶子 EI分配节 点的授权信息；

根据所述上一级 EI分配节点的公钥对用所述上一级 EI分配节点的私钥 签名过的所述叶子 EI分配节点的授权信息进行签名验证；

验证通过后， 解析所述叶子 EI分配节点的授权信息， 确定所述叶子 EI 分配节点的公钥。

11、根据权利要求 10所述的方法，其特征在于，所述验证通过后还包括： 将所述叶子 EI分配节点加入到所述信任列表中。

12、 根据权利要求 9〜11任一所述的方法， 其特征在于， 所述接入认证请 求还包含所述网络接入实体的私钥对所述接入认证请求的签名， 所述根据所 述 EI分配对象的授权信息对所述网络接入实体进行接入认证具体包括： 根据所述叶子 EI分配节点的公钥对用所述叶子 EI分配节点的私钥签名 过的所述 EI分配对象的授权信息进行签名验证；

验证通过后， 解析所述 EI分配对象的授权信息， 确定所述 EI分配对象 的公钥；

根据所述 EI分配对象的公钥对所述接入认证请求进行签名验证。

13、 根据权利要求 12所述的方法， 其特征在于， 所述 EI分配对象的授 权信息还包括所述 EI的有效期， 还包括：

对所述接入认证请求的签名验证通过后，根据所述 EI的有效期对所述接 入认证请求进行有效期验证。

14、 根据权利要求 10所述的方法， 其特征在于， 还包括：

若所述上一级 EI分配节点不在所述信任列表中， 确定所述上一级 EI分 配节点是否为 EI分配根节点， 若为 EI分配根节点且所述 EI分配根节点不在 所述信任列表中， 则验证不通过， 结束。

15、 一种接入认证服务器， 其特征在于， 与如权利要求 1〜3任一所述的 实体标识符 EI分配系统交互， 包括：

接收模块， 用于接收网络接入实体发送的接入认证请求， 所述接入认证 请求的源 IP地址包含所述网络接入实体的实体标识符 EI;

获取模块， 用于从所述 EI分配系统获取所述 EI分配对象的授权信息； 认证模块，用于根据所述 EI分配对象的授权信息对所述网络接入实体进 行接入认证。