一种网络标识的可信管理方法和系统技术方案

本发明专利技术提供了一种网络标识的可信管理方法和系统，其中方法包括：被验证方终端将待发送数据包发送至验证方终端，验证方终端接收待发送数据包，在本地映射缓存表中查找与源主机标识符绑定的绑定信息，未查找到与源主机标识符绑定的绑定信息的情况下，向本地映射解析服务器发送查询与源主机标识符绑定的绑定信息的请求，本地映射解析服务器解析查询与源主机标识符绑定的绑定信息的请求，未查找到与源主机标识符绑定的绑定信息的情况下，依次向根映射解析服务器、顶级映射解析服务器以及权限映射解析服务器进行迭代查询，验证方终端获取绑定信息，验证待发送数据包的真伪，若检验通过，获得待发送数据包。

A trusted management method and system for network identification

The present invention provides a trusted management method and system for network identification. The method includes: the verifier terminal sends the packet to the verifier terminal, the verifier receives the data packet to be sent, finds the binding information tied to the source host identifier in the local mapped cache table, and does not find the source master. In the case of binding information bound by the machine identifier, a request to send a binding information bound to the source host identifier to a local mapping parsing server is sent to the local mapping parsing server to parse the request that the server parses the binding information bound to the source host identifier, and does not find the binding information bound to the source host identifier. Under the condition, the root mapping parsing server, the top-level mapping parsing server and the privilege mapping parsing server are iteratively querying. The verifier gets the binding information, verifies the authenticity of the packets to be sent, and obtains the packets to be sent if the test is passed.

【技术实现步骤摘要】
一种网络标识的可信管理方法和系统
本专利技术涉及通信领域，尤其涉及一种网络标识的可信管理方法和系统。
技术介绍
由于现有TCP/IP协议不具备地址真实性鉴别等内在的安全机制，导致攻击源头和攻击者身份难以追查。路由设备基于目的地址转发分组，对数据包的来源不做验证，大量基于地址伪造的攻击行为无法跟踪，造成源地址欺骗、路由劫持、拒绝服务等大量攻击的发生，严重威胁网络的安全。解决包括地址安全在内的网络命名安全问题，构建安全可信的互联网环境，已成为亟待解决的重要课题。在网络命名安全研究方面，基于密码学的地址安全机制得到越来越多的关注，包括基于证书的公钥密码机制和自认证机制。在公钥密码体制下，公钥数字签名技术需依赖公钥基础设施(PKI)颁发的CA证书绑定实体身份和公钥，以保证实体公钥的真实性。以公钥证书的形式将用户公钥和用户身份进行绑定，形成了解决网络安全问题的成熟方案。但是，PKI通过引入可信第三方CA，由此带来证书的管理、存储和计算上的代价：一是证书的签发、发布、获取、验证、撤销等，流程较为复杂；二是需要在线的证书目录为用户随时提供证书下载和状态查询服务，增加了维护开销；三是如果用户通信的对象比较多，用户必须在本地存储和管理这些证书，增加了用户端使用开销；四是大规模密钥管理的问题一般是采用物理上增加CA的方法，而且各个CA的用户之间还存在交叉认证和信任管理的问题。CA证书管理复杂、可扩展性差。于是研究人员提出了具备自认证特性的地址方案。新型的未来互联网体系结构命名空间普遍使用了具备自认证能力的网络标识支持网络的内生安全。但目前的方案不能将终端标识、位置标识和公钥三者在脱离PKI的情况下实现同时绑定。另外，许多自认证方案每个报文都需要传输公钥信息，增加了网络开销。随着移动互联网、物联网的蓬勃发展，接入互联网的传感器、可穿戴设备、智能终端数量剧增，实体鉴别所需公钥数量巨大，如何实现高效公钥的管理、远程通信实体如何得到对方的公钥、并确保公钥的真实性，将成为一项挑战，也是关系到未来互联网体系结构能否落地的重要问题。
技术实现思路
本专利技术旨在至少克服上述缺陷之一提供一种网络标识的可信管理方法和系统，以保证被验证方主机接入的安全性。为达到上述目的，本专利技术的技术方案具体是这样实现的：本专利技术的一个方面提供了一种网络标识的可信管理方法，包括：建立分布式数据库子系统，其中，分布式数据库子系统存储有绑定信息，绑定信息包括网络中任意一个终端的网络身份标识、位置标识以及公钥的绑定关系；且，分布式数据库子系统包括：本地映射解析服务器、根映射解析服务器、顶级映射解析服务器和权限映射解析服务器；在进行数据传输时，执行如下操作：S101，被验证方终端将待发送数据包发送至验证方终端；其中，待发送数据包包括：被验证方终端利用被验证方终端的私钥对包含有源主机标识符和目的主机标识符的数据包原文进行签名得到的签名信息以及数据包原文，源主机标识符为被验证方终端的唯一标识，目的主机标识符为验证方终端的唯一标识；S102，验证方终端接收待发送数据包，在本地映射缓存表中查找与源主机标识符绑定的绑定信息，在本地映射缓存表中查找到与源主机标识符绑定的绑定信息的情况下，执行步骤S106；在本地映射缓存表中未查找到与源主机标识符绑定的绑定信息的情况下，执行步骤S103；S103，验证方终端向本地映射解析服务器发送查询与源主机标识符绑定的绑定信息的请求，其中，与源主机标识符绑定的绑定信息至少包括源主机标识符、与源主机标识符绑定的公钥以及被验证方终端接入的位置标识；S104，本地映射解析服务器解析查询与源主机标识符绑定的绑定信息的请求，在本地查询与源主机标识符绑定的绑定信息，在本地映射解析服务器查找到与源主机标识符绑定的绑定信息的情况下，执行步骤S106；在本地映射解析服务器未查找到与源主机标识符绑定的绑定信息的情况下，执行步骤S105；S105，本地映射解析服务器依次向根映射解析服务器、顶级映射解析服务器以及权限映射解析服务器进行迭代查询，并从权限映射解析服务器获取与源主机标识符绑定的绑定信息，并将与源主机标识符绑定的绑定信息发送至验证方终端；S106，验证方终端获取与源主机标识符绑定的绑定信息，利用与源主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，获得待发送数据包。另外，步骤S106验证方终端获取与源主机标识符绑定的绑定信息之后，方法还包括：验证方终端将与源主机标识符绑定的绑定信息保存在本地映射缓存表中。另外，本地映射缓存表中还存储有与源主机标识符绑定的绑定信息的缓存时间长度；方法还包括：验证方终端在缓存时间长度到时后，删除与源主机标识符绑定的绑定信息。另外，方法还包括：验证方终端更新与源主机标识符绑定的绑定信息。本专利技术另一方面提供了一种网络标识的可信管理系统，包括：分布式数据库子系统，分布式数据库子系统用于存储绑定信息，绑定信息包括网络中任意一个终端的网络身份标识、位置标识以及公钥的绑定关系；且，分布式数据库子系统包括：本地映射解析服务器、根映射解析服务器、顶级映射解析服务器和权限映射解析服务器；被验证方终端，用于将待发送数据包发送至验证方终端；其中，待发送数据包包括：被验证方终端利用被验证方终端的私钥对包含有源主机标识符和目的主机标识符的数据包原文进行签名得到的签名信息以及数据包原文，源主机标识符为被验证方终端的唯一标识，目的主机标识符为验证方终端的唯一标识；验证方终端，用于接收待发送数据包，在本地映射缓存表中查找与源主机标识符绑定的绑定信息，在本地映射缓存表中查找到与源主机标识符绑定的绑定信息的情况下，执行验证方终端获取与源主机标识符绑定的绑定信息，利用与源主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，获得待发送数据包的操作；在本地映射缓存表中未查找到与源主机标识符绑定的绑定信息的情况下，向本地映射解析服务器发送查询与源主机标识符绑定的绑定信息的请求，其中，与源主机标识符绑定的绑定信息至少包括源主机标识符、与源主机标识符绑定的公钥以及被验证方终端接入的位置标识；本地映射解析服务器，用于解析查询与源主机标识符绑定的绑定信息的请求，在本地查询与源主机标识符绑定的绑定信息，在本地映射解析服务器查找到与源主机标识符绑定的绑定信息的情况下，通知验证方终端执行验证方终端获取与源主机标识符绑定的绑定信息，利用与源主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，获得待发送数据包的操作；在本地映射解析服务器未查找到与源主机标识符绑定的绑定信息的情况下，依次向根映射解析服务器、顶级映射解析服务器以及权限映射解析服务器进行迭代查询，并从权限映射解析服务器获取与源主机标识符绑定的绑定信息，并将与源主机标识符绑定的绑定信息发送至验证方终端；验证方终端，还用于获取与源主机标识符绑定的绑定信息，利用与源主机标识符绑定的公钥验证待发送数据包的真伪，若检验通过，获得待发送数据包。另外，验证方终端，还用于在接收与源主机标识符绑定的绑定信息之后，将与源主机标识符绑定的绑定信息保存在本地映射缓存表中。另外，本地映射缓存表中还存储有与源主机标识符绑定的绑定信息的缓存时间长度；验证方终端，还用于在缓存时间长度到时后，删除与源主机标识符绑定的绑定信息。另外，验证方终端，还用本文档来自技高网...

【技术保护点】
1.一种网络标识的可信管理方法，其特征在于，包括：建立分布式数据库子系统，其中，所述分布式数据库子系统存储有绑定信息，所述绑定信息包括网络中任意一个终端的网络身份标识、位置标识以及公钥的绑定关系；且，所述分布式数据库子系统包括：本地映射解析服务器、根映射解析服务器、顶级映射解析服务器和权限映射解析服务器；在进行数据传输时，执行如下操作：S101，被验证方终端将所述待发送数据包发送至验证方终端；其中，所述待发送数据包包括：所述被验证方终端利用所述被验证方终端的私钥对包含有源主机标识符和目的主机标识符的数据包原文进行签名得到的签名信息以及所述数据包原文，所述源主机标识符为所述被验证方终端的唯一标识，所述目的主机标识符为验证方终端的唯一标识；S102，所述验证方终端接收所述待发送数据包，在本地映射缓存表中查找与源主机标识符绑定的绑定信息，在本地映射缓存表中查找到与所述源主机标识符绑定的绑定信息的情况下，执行步骤S106；在本地映射缓存表中未查找到与所述源主机标识符绑定的绑定信息的情况下，执行步骤S103；S103，所述验证方终端向本地映射解析服务器发送查询与所述源主机标识符绑定的绑定信息的请求，其中，所述与所述源主机标识符绑定的绑定信息至少包括所述源主机标识符、与所述源主机标识符绑定的公钥以及所述被验证方终端接入的位置标识；S104，所述本地映射解析服务器解析所述查询与所述源主机标识符绑定的绑定信息的请求，在本地查询所述与所述源主机标识符绑定的绑定信息，在所述本地映射解析服务器查找到所述与所述源主机标识符绑定的绑定信息的情况下，执行步骤S106；在本地映射解析服务器未查找到所述与所述源主机标识符绑定的绑定信息的情况下，执行步骤S105；S105，所述本地映射解析服务器依次向根映射解析服务器、顶级映射解析服务器以及权限映射解析服务器进行迭代查询，并从所述权限映射解析服务器获取所述与所述源主机标识符绑定的绑定信息，并将所述与所述源主机标识符绑定的绑定信息发送至所述验证方终端；S106，所述验证方终端获取所述与所述源主机标识符绑定的绑定信息，利用所述与所述源主机标识符绑定的公钥验证所述待发送数据包的真伪，若检验通过，获得所述待发送数据包。...

【技术特征摘要】
1.一种网络标识的可信管理方法，其特征在于，包括：建立分布式数据库子系统，其中，所述分布式数据库子系统存储有绑定信息，所述绑定信息包括网络中任意一个终端的网络身份标识、位置标识以及公钥的绑定关系；且，所述分布式数据库子系统包括：本地映射解析服务器、根映射解析服务器、顶级映射解析服务器和权限映射解析服务器；在进行数据传输时，执行如下操作：S101，被验证方终端将所述待发送数据包发送至验证方终端；其中，所述待发送数据包包括：所述被验证方终端利用所述被验证方终端的私钥对包含有源主机标识符和目的主机标识符的数据包原文进行签名得到的签名信息以及所述数据包原文，所述源主机标识符为所述被验证方终端的唯一标识，所述目的主机标识符为验证方终端的唯一标识；S102，所述验证方终端接收所述待发送数据包，在本地映射缓存表中查找与源主机标识符绑定的绑定信息，在本地映射缓存表中查找到与所述源主机标识符绑定的绑定信息的情况下，执行步骤S106；在本地映射缓存表中未查找到与所述源主机标识符绑定的绑定信息的情况下，执行步骤S103；S103，所述验证方终端向本地映射解析服务器发送查询与所述源主机标识符绑定的绑定信息的请求，其中，所述与所述源主机标识符绑定的绑定信息至少包括所述源主机标识符、与所述源主机标识符绑定的公钥以及所述被验证方终端接入的位置标识；S104，所述本地映射解析服务器解析所述查询与所述源主机标识符绑定的绑定信息的请求，在本地查询所述与所述源主机标识符绑定的绑定信息，在所述本地映射解析服务器查找到所述与所述源主机标识符绑定的绑定信息的情况下，执行步骤S106；在本地映射解析服务器未查找到所述与所述源主机标识符绑定的绑定信息的情况下，执行步骤S105；S105，所述本地映射解析服务器依次向根映射解析服务器、顶级映射解析服务器以及权限映射解析服务器进行迭代查询，并从所述权限映射解析服务器获取所述与所述源主机标识符绑定的绑定信息，并将所述与所述源主机标识符绑定的绑定信息发送至所述验证方终端；S106，所述验证方终端获取所述与所述源主机标识符绑定的绑定信息，利用所述与所述源主机标识符绑定的公钥验证所述待发送数据包的真伪，若检验通过，获得所述待发送数据包。2.根据权利要求1所述的方法，其特征在于，步骤S106所述验证方终端获取所述与所述源主机标识符绑定的绑定信息之后，所述方法还包括：所述验证方终端将所述与所述源主机标识符绑定的绑定信息保存在所述本地映射缓存表中。3.根据权利要求2所述的方法，其特征在于，所述本地映射缓存表中还存储有所述与所述源主机标识符绑定的绑定信息的缓存时间长度；所述方法还包括：所述验证方终端在所述缓存时间长度到时后，删除所述与所述源主机标识符绑定的绑定信息。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述验证方终端更新所述与所述源主机标识符绑定的绑定信息。5.一种网络标识的可信管理系统，其特征在于，包括：分布式...

【专利技术属性】
技术研发人员：蒋文保，朱国库，
申请(专利权)人：北京信息科技大学，
类型：发明
国别省市：北京,11