技術領域

本發明涉及互聯網技術領域，尤其涉及一種面向真實用戶身份的主機移動方法。

背景技術

當前互聯網中存在一類支持主機移動的技術，通過為終端主機分配相對不變的標識符來維持傳輸層會話的持續性，同時在網絡中維護標識符到IP地址的映射，來實現基于IP地址的數據傳輸。

但在這類方法中用戶可以通過偽造源標識符來達到偽造自身身份的目的，使得這類移動性方法存在一定的安全性問題。

標識/位置網絡協議（Identifier-Locator?Network?Protocol，簡稱ILNP）方法將IPv6地址的后64位作為主機標識，但該方法缺乏相應的安全性機制來保證該標識符的合法性。用戶可以在主機上生成任意的標識并用于數據傳輸，從而使得偽造標識符成為可能。

主機標識協議（Host?Identity?Protocol，簡稱HIP）方法用一對公私鑰對中公鑰的哈希值作為主機標識，并使用基于密碼學的機制來保證源標識符的合法性，這種方法可以杜絕標識符的偽造現象，但所需的加密/解密過程對主機或網絡設備來說開銷較大。

源地址認證改進（Source?Address?Validation?Improvements，簡稱SAVI）技術通過在網絡設備上對主機發送出報文的源地址進行驗證，可以用于防止源地址偽造的發生，同時帶來較小的驗證開銷。但主機標識符的獲取、傳播、維護等方式與IP地址相差很大，無法直接利用源地址驗證技術實現標識符的驗證。

由此可見，需要一種方法以解決上述問題，既能夠利用標識符實現主機移動、又可以使用相對輕量級的方法來保證標識符的安全性。

發明內容

本發明所要解決的技術問題之一是需要提供一種既能夠利用標識符實現主機移動、又可以使用相對輕量級的方法來保證標識符的安全性的、一種面向真實用戶身份的主機移動方法。

為了解決上述技術問題，本發明提供了一種面向真實用戶身份的主機移動方法，該方法包括：申請步驟，主機從離線狀態接入至第一網絡時，所述主機與所述第一網絡中的標識符服務器進行交互以驗證所述主機的用戶身份是否合法，若驗證結果為所述用戶身份合法，則執行以下步驟：所述第一網絡中的標識符服務器利用所述用戶身份信息生成所述主機的標識符，然后基于所述標識符以生成所述主機在第一網絡中的IPv6地址；確認步驟，在所述主機從所述第一網絡移動至第二網絡時，所述主機與所述第二網絡中的標識符服務器進行交互以驗證所述主機的用戶身份和所述主機的標識符是否合法，若所述用戶身份和所述標識符均合法，則所述第二網絡中的標識符服務器基于所述標識符以生成所述主機在第二網絡中的IPv6地址。

根據本發明的另一方面的主機移動方法，在所述主機與所述第一網絡中的標識符服務器進行交互以驗證所述主機的用戶身份是否合法的步驟中，進一步包括以下步驟：所述主機將自身的用戶身份信息發送至所述第一網絡中的標識符服務器；所述第一網絡中的標識符服務器判斷所述用戶身份信息是否與數據庫中的信息相匹配，其中，若判斷結果為匹配，則驗證結果為所述用戶身份合法；否則，驗證結果為所述用戶身份不合法。

根據本發明的另一方面的主機移動方法，所述第一網絡中的標識符服務器將所述用戶身份信息映射為設定長度的字符串以作為所述主機的標識符。

根據本發明的另一方面的主機移動方法，將所述設定長度的字符串與第一網絡的網絡前綴相結合以生成所述主機在第一網絡中的IPv6地址；或者，將所述設定長度的字符串與第二網絡的網絡前綴相結合以生成所述主機在第二網絡中的IPv6地址。

根據本發明的另一方面的主機移動方法，在所述第一網絡中的標識符服務器將所述用戶身份信息映射為設定長度的字符串以作為所述主機的標識符的步驟中，進一步包括以下步驟：利用MD5消息摘要算法對所述用戶身份信息進行哈希運算以得到二進制字符串；隨機生成一密鑰；基于所述密鑰，從所述二進制字符串中選取與所述設定長度相等的二進制字符串以作為所述主機的標識符，其中，所述密鑰為一個二進制字符串，其中二進制數1的個數與設定長度相等。

根據本發明的另一方面的主機移動方法，在執行所述申請步驟之后，還包括：存儲步驟，將所述主機的標識符和所述主機的用戶身份的綁定關系存儲至數據庫中。