技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)尋址方法，它能夠在整個(gè)網(wǎng)絡(luò)中提供內(nèi)在的、分布式的信任模型，屬于網(wǎng)絡(luò)安全領(lǐng)域，特別是，屬于IP路由與交換領(lǐng)域。

背景技術(shù)

AIP(Accountable?Internet?Protocol，可問責(zé)的網(wǎng)絡(luò)層協(xié)議)通過重新設(shè)計(jì)網(wǎng)絡(luò)尋址方案，提供了一種內(nèi)在的，分布式信任模型。

AIP的網(wǎng)絡(luò)尋址方案存在許多不足：(1)部署代價(jià)高，AIP具有變長的地址結(jié)構(gòu)，這要求①全面更改IP協(xié)議、域間路由協(xié)議和域內(nèi)路由協(xié)議；②重新分配主機(jī)地址，并修改端主機(jī)的操作系統(tǒng)；③升級所有應(yīng)用程序；④擴(kuò)展DNS(Domain?Name?System，域名解析系統(tǒng))服務(wù)器功能。(2)通信性能低，由圖1可以看到，AIP的分組首部遠(yuǎn)遠(yuǎn)大于IPv4或IPv6的分組首部。由于最大路徑傳輸單元的限制，同樣大小的數(shù)據(jù)，需要在AIP中分割成更多的分組傳輸，這會大大增減數(shù)據(jù)的傳輸時(shí)延，降低端到端的通信性能。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種網(wǎng)絡(luò)尋址方法，其不僅具有內(nèi)在的、分布式的信任模型，而且不會造成部署代價(jià)的增加和通信性能的降低。

為此，本發(fā)明提供了一種網(wǎng)絡(luò)尋址方法，其特征在于，每個(gè)網(wǎng)絡(luò)接口的地址都由平面結(jié)構(gòu)的責(zé)任域標(biāo)簽和層次結(jié)構(gòu)的域內(nèi)標(biāo)簽混合組成，責(zé)任域標(biāo)簽是責(zé)任域公鑰的雜湊值，它同責(zé)任域公鑰天然地一一對應(yīng)，在責(zé)任域內(nèi)，使用基于身份的簽名算法按需離線，為網(wǎng)絡(luò)設(shè)備分配私鑰，使得對應(yīng)公鑰就是它們的混合網(wǎng)絡(luò)尋址方案地址。

優(yōu)選地，使用非對稱密碼體制生成責(zé)任域的公/私鑰對。

優(yōu)選地，非對稱密碼體制是RSA、DSA、ECDSA。

優(yōu)選地，混合網(wǎng)絡(luò)尋址方案同IPv6網(wǎng)絡(luò)兼容，混合網(wǎng)絡(luò)尋址方案地址的長度為128比特，這時(shí)責(zé)任域標(biāo)簽的長度為88比特，保留域的長度為8比特，域內(nèi)標(biāo)簽的長度為32比特。

優(yōu)選地，改進(jìn)后的域間路由機(jī)制包括，將BGP路由更新消息中出現(xiàn)的AS號和目的IP前綴都替換成責(zé)任域標(biāo)簽；以責(zé)任域標(biāo)簽為句柄，組織路由表和轉(zhuǎn)發(fā)表。

優(yōu)選地，改進(jìn)后的域內(nèi)路由機(jī)制包括，改進(jìn)域內(nèi)路由協(xié)議，使得它們能夠同混合網(wǎng)絡(luò)尋址方案地址相適應(yīng)。

優(yōu)選地，所述域內(nèi)路由協(xié)議包括RIP、OSPF。

優(yōu)選地，域間路由器以平面結(jié)構(gòu)的責(zé)任域標(biāo)簽為句柄組織轉(zhuǎn)發(fā)表，在轉(zhuǎn)發(fā)分組時(shí)，使用哈希表精確定位給定目的地址的路由信息。

優(yōu)選地，設(shè)置注冊查詢中心，負(fù)責(zé)存儲、分發(fā)所有的責(zé)任域公鑰和域內(nèi)公共參數(shù)，并支持責(zé)任域標(biāo)簽、公鑰和域內(nèi)公共參數(shù)的更新。

優(yōu)選地，保留域位于“責(zé)任域標(biāo)簽域”和“域內(nèi)標(biāo)簽域”之間。

本發(fā)明的有益效果具體如下：

(1)內(nèi)在的分布式信任模型：首先，責(zé)任域自己保證其公鑰的可信，并且責(zé)任域通過擔(dān)保域內(nèi)公共參數(shù)保證域內(nèi)設(shè)備公鑰的可信，所以，每個(gè)責(zé)任域都是域內(nèi)設(shè)備的信任錨，整個(gè)信任模型中不存在“根信任錨”，所以，本發(fā)明提供了一種分布式的信任模型。其次，本發(fā)明提供的分布式信任模型存在于路由結(jié)構(gòu)中，不需要在路由結(jié)構(gòu)之外部署任何機(jī)制，所以，本發(fā)明提供的信任模型是內(nèi)在的。

(2)較低的部署代價(jià)：本發(fā)明地址的長度可以為128比特，以這一特殊情況為例，①本發(fā)明只是改變了端節(jié)點(diǎn)地址中網(wǎng)絡(luò)號和主機(jī)號的劃界方式，不會改變端節(jié)點(diǎn)的硬件、操作系統(tǒng)和應(yīng)用程序；②本發(fā)明不會對域內(nèi)路由器和域內(nèi)路由機(jī)制造成影響，責(zé)任域仍然可以靈活自主地采用已有域內(nèi)路由協(xié)議。③本發(fā)明變更了域間路由機(jī)制，要求升級BGP路由器和iBGP路由器；④本發(fā)明不會改變DNS系統(tǒng)。可見，本發(fā)明的部署代價(jià)要遠(yuǎn)遠(yuǎn)小于AIP。

(3)通信性能高：本發(fā)明地址的長度可以為128比特，以這一特殊情況為例，這時(shí)分組首部可以采用IPv6的首部格式，本發(fā)明不會像AIP一樣因?yàn)樵黾臃纸M首部長度而降低通信性能。

本發(fā)明提供了一種新型的網(wǎng)絡(luò)尋址方法，本身便具有內(nèi)在的信任模型，并且因?yàn)樵撔湃文Ｐ褪欠植际降模圆粫鸹ヂ?lián)網(wǎng)管理權(quán)之爭。

附圖說明

圖1是AIP的路由結(jié)構(gòu)的示意圖。

圖2是根據(jù)本發(fā)明的網(wǎng)絡(luò)尋址方法的示意圖。

具體實(shí)施方式