[发明专利]一种基于分离映射网络使用数字证书验证用户身份的方法

权利要求书

1.一种基于分离映射网络使用数字证书验证用户身份的方法，其特征是， 包括以下步骤：

(1)使用数字证书摘要构建接入地址，实现用户身份与位置的分离；

(2)接入路由器对发送终端进行真实身份验证，该验证过程通过接入路由 器来确认用户真实身份，从而由接入路由器判断是否允许该终端接入网络，实 现网络可管理功能，加密传输数字证书同时保护接入终端身份的隐私性；

(3)随时间更新接入路由器的本地用户映射表LMT，本地用户映射表LMT 删除相应接入地址与路由地址映射关系后用户需要重新通过接入路由器进行身 份验证后才能继续通信；

(4)接收终端与发送终端进行真实身份的相互确认，接收终端和发送终端 经双方身份确认后才进行正常通信，并为后续建立IPSec的封装安全荷载的安 全关联提供了支撑；

(5)终端接口设置可信缓存，存储已经确认身份终端的接入地址，当可信 的接入地址没有删除时，对应移动后的终端之间可以不用再次执行身份验证过 程就能正常通信。

2.根据权利要求1所述的一种基于分离映射网络使用数字证书验证用户 身份的方法，其特征是：步骤(2)中，所述接入路由器的路由地址使用128位 的IPv6地址，依据地址分离映射网络路由地址分配方法，根据网络拓扑结构以 地址聚合方式对接入路由器进行路由地址分配；接入路由器拥有一定数量的路 由地址供接入终端使用，方便终端定位管理和数据包路由转发，根据IP地址可 以实现接入终端当前域的定位管理；中间路由器不需考虑数据包源的身份问题 直接根据IP地址实现路由转发。

3.根据权利要求1或2所述的一种基于分离映射网络使用数字证书验证用 户身份的方法，其特征是：所述接入地址是接入路由器的接收地址，其是由认 证机构CA颁发的数字证书构建的128位地址；所述接入地址由地址类型、家乡域、 数字证书摘要和接口标识4个字段组成，其各个字段的定义如下：

地址类型：1位的地址类型标识符，用于区别接入地址和路由地址；

家乡域：一个32位的终端的家乡域标识符，按照管理域的结构组织分配家乡 域标识符，家乡域字段方便终端移动到新的接入路由器接入网络时，接入路由 器及时通知终端家乡域内的映射服务器更新终端接入地址与路由地址的映射关 系；

数字证书摘要：是用户数字证书的哈希值的低87位；

接口标识：8位，用于区别用户主机的多个网络接口卡。