基于STiP模型的安全路由方法及系统技术方案

本发明专利技术提供了一种基于STiP模型的安全路由方法及系统，其中方法包括：本端将本端待转发数据包发送至对端路由器，对端路由器查询本地映射表，获取与本端路由器的路由位置标识绑定的绑定信息，其中绑定信息至少包括：本端路由器的路由位置标识以及本端路由器的公钥；对端路由器利用公钥验证本端待转发数据包的真伪，通过则将对端数据包外发，全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求，向每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向每个路由器发送与操作请求对应的事务提交通知，每个路由器在本地提交事务，事务包括：与全局的路由节点中任意另一个路由器的路由位置标识绑定的绑定信息。

【技术实现步骤摘要】
基于STiP模型的安全路由方法及系统
本专利技术涉及通信领域，尤其涉及一种基于STiP(安全可信网络协议，SecureandTrustedinternetProtocol)模型的安全路由方法及系统。
技术介绍
目前，以TCP/IP协议为核心技术的Internet(因特网)得到了飞速发展，正在全面改变人们的生产生活方式。网络技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，同时也带来了新的安全风险和挑战。地址和路由系统是当前Internet体系结构的核心，在安全性上，由于现有的TCP/IP协议不具备地址真实性鉴别等内在的安全机制，导致攻击源头和攻击者身份难以追查。路由设备基于目的地址转发分组，对数据包的来源不做验证，大量基于地址伪造的攻击行为无法跟踪，造成源地址欺骗、路由劫持、拒绝服务等大量攻击的发生，严重威胁网络的安全。
技术实现思路
本专利技术旨在至少克服上述缺陷之一提供一种基于STiP模型的安全路由方法及系统。为达到上述目的，本专利技术的技术方案具体是这样实现的：本专利技术的一个方面提供了一种基于STiP模型的安全路由方法，包括：本端路由器接收本端数据包，其中，本端数据包封装有源路由位置标识和目的路由位置标识，源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；本端路由器将本端待转发数据包发送至对端路由器，其中，本端待转发数据包至少包括本端数据包以及本端签名，本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的；对端路由器接收本端待转发数据包，查询本地映射表，获取与本端路由器的路由位置标识绑定的绑定信息，其中，与本端路由器的路由位置标识绑定的绑定信息至少包括：本端路由器的路由位置标识以及本端路由器的公钥；对端路由器利用本端路由器的公钥验证本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，对端数据包至少包括本端数据包。另外，本端路由器接收本端数据包包括：前端路由器接收前端数据包，将前端待转发数据包发送至本端路由器，其中，前端待转发数据包至少包括前端数据包以及前端签名，前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的；本端路由器接收前端待转发数据包，查询本地映射表，获取与前端路由器的路由位置标识绑定的绑定信息，其中，与前端路由器的路由位置标识绑定的绑定信息至少包括：前端路由器的路由位置标识以及前端路由器的公钥；本端路由器利用前端路由器的公钥验证前端待转发数据包的真伪，若检验通过，则至少将前端数据包作为本端数据包。另外，对端路由器将对端数据包外发包括：对端路由器将对端待转发数据包发送至后端路由器，其中，对端待转发数据包至少包括对端数据包以及对端签名，对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的；后端路由器接收对端待转发数据包，查询本地映射表，获取与对端路由器的路由位置标识绑定的绑定信息，其中，与对端路由器的路由位置标识绑定的绑定信息至少包括：对端路由器的路由位置标识以及对端路由器的公钥；后端路由器利用对端路由器的公钥验证对端待转发数据包的真伪，若检验通过，将后端数据包外发，其中，后端数据包至少包括对端数据包。另外，方法还包括：全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求，向全局路由节点中的每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知；全局路由节点中的每个路由器在本地提交事务。另外，全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求包括：全局的路由节点中任意另一个路由器生成自身的公私钥对，并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器，其中，全局的路由节点中任意另一个路由器的绑定信息至少包括：全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥；全局路由节点中的每个路由器在本地提交事务包括：全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。另外，方法还包括：全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录；全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。本专利技术另一方面提供了一种基于STiP模型的安全路由系统，包括：本端路由器，用于接收本端数据包，其中，本端数据包封装有源路由位置标识和目的路由位置标识，源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；将本端待转发数据包发送至对端路由器，其中，本端待转发数据包至少包括本端数据包以及本端签名，本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的；对端路由器，用于接收本端待转发数据包，查询本地映射表，获取与本端路由器的路由位置标识绑定的绑定信息，其中，与本端路由器的路由位置标识绑定的绑定信息至少包括：本端路由器的路由位置标识以及本端路由器的公钥，利用本端路由器的公钥验证本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，对端数据包至少包括本端数据包。另外，系统还包括：前端路由器；本端路由器，通过如下方式接收本端数据包：前端路由器，用于接收前端数据包，将前端待转发数据包发送至本端路由器，其中，前端待转发数据包至少包前端数据包以及前端签名，前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的；本端路由器，还用于接收前端待转发数据包，查询本地映射表，获取与前端路由器的路由位置标识绑定的绑定信息，其中，与前端路由器的路由位置标识绑定的绑定信息至少包括：前端路由器的路由位置标识以及前端路由器的公钥，利用前端路由器的公钥验证前端待转发数据包的真伪，若检验通过，则至少将前端数据包作为本端数据包。另外，系统还包括：后端路由器；对端路由器通过如下方式将对端数据包外发包括：对端路由器，还用于将对端待转发数据包发送至后端路由器，其中，对端待转发数据包至少包括对端数据包以及对端签名，对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的；后端路由器，用于接收对端待转发数据包，查询本地映射表，获取与对端路由器的路由位置标识绑定的绑定信息，其中，与对端路由器的路由位置标识绑定的绑定信息至少包括：对端路由器的路由位置标识以及对端路由器的公钥，利用对端路由器的公钥验证对端待转发数据包的真伪，若检验通过，将后端数据包外发，其中，后端数据包至少包括对端数据包。另外，全局的路由节点中任意一个路由器，用于接收全局的路由节点中任意另一个路由器发送的操作请求，向全局路由节点中的每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知；全局路本文档来自技高网...

【技术保护点】
一种基于STiP模型的安全路由方法，其特征在于，包括：本端路由器接收本端数据包，其中，所述本端数据包封装有源路由位置标识和目的路由位置标识，所述源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为所述全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；本端路由器将本端待转发数据包发送至所述对端路由器，其中，所述本端待转发数据包至少包括所述本端数据包以及本端签名，所述本端签名为所述本端路由器利用本端路由器的私钥对所述本端数据包进行签名得到的；所述对端路由器接收所述本端待转发数据包，查询本地映射表，获取与所述本端路由器的路由位置标识绑定的绑定信息，其中，所述与所述本端路由器的路由位置标识绑定的绑定信息至少包括：所述本端路由器的路由位置标识以及本端路由器的公钥；所述对端路由器利用所述本端路由器的公钥验证所述本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，所述对端数据包至少包括所述本端数据包。

【技术特征摘要】
1.一种基于STiP模型的安全路由方法，其特征在于，包括：本端路由器接收本端数据包，其中，所述本端数据包封装有源路由位置标识和目的路由位置标识，所述源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为所述全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；本端路由器将本端待转发数据包发送至所述对端路由器，其中，所述本端待转发数据包至少包括所述本端数据包以及本端签名，所述本端签名为所述本端路由器利用本端路由器的私钥对所述本端数据包进行签名得到的；所述对端路由器接收所述本端待转发数据包，查询本地映射表，获取与所述本端路由器的路由位置标识绑定的绑定信息，其中，所述与所述本端路由器的路由位置标识绑定的绑定信息至少包括：所述本端路由器的路由位置标识以及本端路由器的公钥；所述对端路由器利用所述本端路由器的公钥验证所述本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，所述对端数据包至少包括所述本端数据包。2.根据权利要求1所述的方法，其特征在于，所述本端路由器接收本端数据包包括：前端路由器接收前端数据包，将前端待转发数据包发送至所述本端路由器，其中，所述前端待转发数据包至少包括前端数据包以及前端签名，所述前端签名为所述前端路由器利用前端路由器的私钥对所述前端数据包进行签名得到的；所述本端路由器接收所述前端待转发数据包，查询本地映射表，获取与所述前端路由器的路由位置标识绑定的绑定信息，其中，所述与所述前端路由器的路由位置标识绑定的绑定信息至少包括：所述前端路由器的路由位置标识以及前端路由器的公钥；所述本端路由器利用所述前端路由器的公钥验证所述前端待转发数据包的真伪，若检验通过，则至少将所述前端数据包作为所述本端数据包。3.根据权利要求1或2所述的方法，其特征在于，所述对端路由器将对端数据包外发包括：所述对端路由器将对端待转发数据包发送至所述后端路由器，其中，所述对端待转发数据包至少包括所述对端数据包以及对端签名，所述对端签名为所述对端路由器利用对端路由器的私钥对所述对端数据包进行签名得到的；所述后端路由器接收所述对端待转发数据包，查询本地映射表，获取与所述对端路由器的路由位置标识绑定的绑定信息，其中，所述与所述对端路由器的路由位置标识绑定的绑定信息至少包括：所述对端路由器的路由位置标识以及对端路由器的公钥；所述后端路由器利用所述对端路由器的公钥验证所述对端待转发数据包的真伪，若检验通过，将后端数据包外发，其中，所述后端数据包至少包括所述对端数据包。4.根据权利要求1至3任一项所述的方法，其特征在于，所述方法还包括：全局的路由节点中任意一个路由器接收所述全局的路由节点中任意另一个路由器发送的操作请求，向所述全局路由节点中的每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向所述全局路由节点中的每个路由器发送与所述操作请求对应的事务提交通知；所述全局路由节点中的每个路由器在本地提交所述事务。5.根据权利要求4所述的方法，其特征在于，所述全局的路由节点中任意一个路由器接收所述全局的路由节点中任意另一个路由器发送的操作请求包括：所述全局的路由节点中任意另一个路由器生成自身的公私钥对，并将全局的路由节点中任意另一个路由器的绑定信息携带在所述操作请求中发送至全局路由节点中的任意一个路由器，其中，所述全局的路由节点中任意另一个路由器的绑定信息至少包括：全局的路由节点中任意另一个路由器的路由位置标识以及与所述全局的路由节点中任意另一个路由器的路由位置标识生成的公钥；所述全局路由节点中的每个路由器在本地提交所述事务包括：所述全局路由节点中的每个路由器在本地提交所述全局的路由节点中任意另一个路由器的绑定信息。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录；所述全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与所述全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。7.一种基于STiP模型的安全路由系统...

【专利技术属性】
技术研发人员：蒋文保，朱国库，
申请(专利权)人：北京信息科技大学，
类型：发明
国别省市：北京,11