技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種提高分離映射網(wǎng)絡(luò)安全性的方法。

背景技術(shù)

當(dāng)前互聯(lián)網(wǎng)體系結(jié)構(gòu)中，IP地址具有二義性，即同時(shí)代表終端在網(wǎng)絡(luò)中的身份和位置，因此IP地址必須是全球可達(dá)的。不論終端是否提供某種網(wǎng)絡(luò)服務(wù)或是否情愿被主動(dòng)訪問(wèn)，只要終端的IP地址被獲知，則發(fā)送給該IP地址的分組總能通過(guò)互聯(lián)網(wǎng)發(fā)送到使用該IP的終端或者至少發(fā)送到該IP所在的子網(wǎng)。攻擊者可以利用IP地址的全球可達(dá)性向終端發(fā)送分組對(duì)終端進(jìn)行端口掃描或者拒絕服務(wù)(DoS：Denial-of-service)攻擊，網(wǎng)絡(luò)安全受到很大威脅。

IP地址雙重身份的問(wèn)題一直制約網(wǎng)絡(luò)性能的改進(jìn)，于是出現(xiàn)了將IP地址的身份屬性與位置屬性分離的思想，如名址分離網(wǎng)絡(luò)協(xié)議(LISP)。

接入標(biāo)識(shí)(或稱身份標(biāo)識(shí))與路由標(biāo)識(shí)分離映射網(wǎng)絡(luò)是基于身份與位置分離的思想而產(chǎn)生的。分離映射網(wǎng)絡(luò)引入兩種標(biāo)識(shí)：接入標(biāo)識(shí)代表終端的身份信息，路由標(biāo)識(shí)代表終端的位置信息；例如LISP、一體化網(wǎng)絡(luò)和電信網(wǎng)等。在分離映射網(wǎng)絡(luò)中，終端擁有一個(gè)或者多個(gè)表示自己身份的接入標(biāo)識(shí)。終端(通過(guò)某個(gè)接入路由器)接入網(wǎng)絡(luò)的時(shí)候，獲得一個(gè)或者多個(gè)代表該終端在網(wǎng)絡(luò)拓?fù)渲形恢玫穆酚蓸?biāo)識(shí)。之后，該終端或者其接入路由器將該接入標(biāo)識(shí)到路由標(biāo)識(shí)之間的映射關(guān)系向映射系統(tǒng)注冊(cè)。而在終端與對(duì)端通信時(shí)，終端(或者其接入路由器)需要獲得對(duì)端的接入標(biāo)識(shí)對(duì)應(yīng)的路由標(biāo)識(shí)，用以在核心網(wǎng)內(nèi)對(duì)數(shù)據(jù)包進(jìn)行選路和轉(zhuǎn)發(fā)。

現(xiàn)有分離映射網(wǎng)絡(luò)中接入標(biāo)識(shí)是全球可達(dá)的：只要目的接入標(biāo)識(shí)存在，路由系統(tǒng)總能通過(guò)映射關(guān)系查詢得到該目的接入標(biāo)識(shí)對(duì)應(yīng)的路由標(biāo)識(shí)，并可通過(guò)網(wǎng)絡(luò)將分組送達(dá)目的接入標(biāo)識(shí)或者其所在子網(wǎng)。比如，LISP中只要向某個(gè)EID(end?point?identifier)發(fā)送分組，該分組即可被轉(zhuǎn)發(fā)給該EID對(duì)應(yīng)的終端或者該終端所在的子網(wǎng)；一體化網(wǎng)絡(luò)中只要向某個(gè)目的接入標(biāo)識(shí)發(fā)送分組，該分組即可被轉(zhuǎn)發(fā)給該接入標(biāo)識(shí)對(duì)應(yīng)的終端或者該終端所在的子網(wǎng)。攻擊者可以基于接入標(biāo)識(shí)的全球可達(dá)性對(duì)終端進(jìn)行端口掃描或DoS攻擊，網(wǎng)絡(luò)安全受到很大威脅。

發(fā)明內(nèi)容

為解決上述技術(shù)問(wèn)題，本發(fā)明提出了一種提高分離映射網(wǎng)絡(luò)安全性的方法。

本發(fā)明采取的技術(shù)方案如下：一種提高分離映射網(wǎng)絡(luò)安全性的方法，包括：終端、接入路由器、映射系統(tǒng)，

將終端的接入標(biāo)識(shí)進(jìn)行分類；

所述終端將其接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系向映射系統(tǒng)注冊(cè)；

或者所述終端對(duì)應(yīng)的接入路由器將所述終端的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系向映射系統(tǒng)注冊(cè)。

若所述終端的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系能被其他終端(或者對(duì)應(yīng)的接入路由器)從映射系統(tǒng)中查詢到，則該終端的接入標(biāo)識(shí)的類別為可達(dá)接入標(biāo)識(shí)，若所述終端的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系不能被其他終端(或者對(duì)應(yīng)的接入路由器)從映射系統(tǒng)中查詢到，則該終端的接入標(biāo)識(shí)的類別為不可達(dá)接入標(biāo)識(shí)。所述接入標(biāo)識(shí)類別為可達(dá)接入標(biāo)識(shí)的終端能被其他終端主動(dòng)訪問(wèn)，所述接入標(biāo)識(shí)類別為不可達(dá)接入標(biāo)識(shí)的終端不能被其他終端主動(dòng)訪問(wèn)。

當(dāng)所述接入標(biāo)識(shí)類別為不可達(dá)接入標(biāo)識(shí)的終端對(duì)所述接入標(biāo)識(shí)類別為可達(dá)接入標(biāo)識(shí)的終端的訪問(wèn)結(jié)束，則所述接入標(biāo)識(shí)類別為不可達(dá)接入標(biāo)識(shí)的終端對(duì)應(yīng)的接入路由器將其緩存中存儲(chǔ)的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射條目清除。

若所述終端將其接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系向映射系統(tǒng)注冊(cè)，則使用所述終端的用戶能夠確定所述終端的接入標(biāo)識(shí)的類別為可達(dá)接入標(biāo)識(shí)；若所述終端對(duì)應(yīng)的接入路由器將所述終端的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系向映射系統(tǒng)注冊(cè)，則所述接入路由器能夠判定出所述終端的接入標(biāo)識(shí)的類別是否是可達(dá)接入標(biāo)識(shí)。當(dāng)所述映射系統(tǒng)接收到一個(gè)標(biāo)識(shí)類別為不可達(dá)接入標(biāo)識(shí)的終端的查詢映射關(guān)系的請(qǐng)求時(shí)，所述映射系統(tǒng)不向所述終端返回所述映射關(guān)系。

所述接入路由器判定所述終端的接入標(biāo)識(shí)的類別是否是可達(dá)接入標(biāo)識(shí)具體為，所述接入路由器根據(jù)接入標(biāo)識(shí)中的某些信息來(lái)判定所述接入標(biāo)識(shí)是否為可達(dá)標(biāo)識(shí)，或者通過(guò)所述終端顯示通知所述接入路由器所述接入標(biāo)識(shí)是否為可達(dá)標(biāo)識(shí)。所述某些信息為接入標(biāo)識(shí)中的預(yù)設(shè)比特位。

所述終端對(duì)應(yīng)的接入路由器將所述終端的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系向映射系統(tǒng)注冊(cè)的過(guò)程具體為，所述終端向其對(duì)應(yīng)的接入路由器發(fā)送注冊(cè)消息，所述注冊(cè)消息中包含有終端的接入標(biāo)識(shí)和標(biāo)識(shí)類別，接入路由器查看自身本地映射表中是否存儲(chǔ)有所述終端的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系，若存在則更新其緩存時(shí)間，否則向映射系統(tǒng)注冊(cè)所述終端的接入標(biāo)識(shí)到路由標(biāo)識(shí)的映射關(guān)系。

本發(fā)明相比于現(xiàn)有技術(shù)，至少實(shí)現(xiàn)了以下有益效果：