[发明专利]一种提高分离映射网络安全性的方法

说明书

技术领域

本发明属于网络通信技术领域，尤其涉及一种提高分离映射网络安全性的方法。

背景技术

当前互联网体系结构中，IP地址具有二义性，即同时代表终端在网络中的身份和位置，因此IP地址必须是全球可达的。不论终端是否提供某种网络服务或是否情愿被主动访问，只要终端的IP地址被获知，则发送给该IP地址的分组总能通过互联网发送到使用该IP的终端或者至少发送到该IP所在的子网。攻击者可以利用IP地址的全球可达性向终端发送分组对终端进行端口扫描或者拒绝服务(DoS：Denial-of-service)攻击，网络安全受到很大威胁。

IP地址双重身份的问题一直制约网络性能的改进，于是出现了将IP地址的身份属性与位置属性分离的思想，如名址分离网络协议(LISP)。

接入标识(或称身份标识)与路由标识分离映射网络是基于身份与位置分离的思想而产生的。分离映射网络引入两种标识：接入标识代表终端的身份信息，路由标识代表终端的位置信息；例如LISP、一体化网络和电信网等。在分离映射网络中，终端拥有一个或者多个表示自己身份的接入标识。终端(通过某个接入路由器)接入网络的时候，获得一个或者多个代表该终端在网络拓扑中位置的路由标识。之后，该终端或者其接入路由器将该接入标识到路由标识之间的映射关系向映射系统注册。而在终端与对端通信时，终端(或者其接入路由器)需要获得对端的接入标识对应的路由标识，用以在核心网内对数据包进行选路和转发。

现有分离映射网络中接入标识是全球可达的：只要目的接入标识存在，路由系统总能通过映射关系查询得到该目的接入标识对应的路由标识，并可通过网络将分组送达目的接入标识或者其所在子网。比如，LISP中只要向某个EID(end point identifier)发送分组，该分组即可被转发给该EID对应的终端或者该终端所在的子网；一体化网络中只要向某个目的接入标识发送分组，该分组即可被转发给该接入标识对应的终端或者该终端所在的子网。攻击者可以基于接入标识的全球可达性对终端进行端口扫描或DoS攻击，网络安全受到很大威胁。

发明内容

为解决上述技术问题，本发明提出了一种提高分离映射网络安全性的方法。

本发明采取的技术方案如下：一种提高分离映射网络安全性的方法，包括：终端、接入路由器、映射系统，

将终端的接入标识进行分类；

所述终端将其接入标识到路由标识的映射关系向映射系统注册；

或者所述终端对应的接入路由器将所述终端的接入标识到路由标识的映射关系向映射系统注册。

若所述终端的接入标识到路由标识的映射关系能被其他终端(或者对应的接入路由器)从映射系统中查询到，则该终端的接入标识的类别为可达接入标识，若所述终端的接入标识到路由标识的映射关系不能被其他终端(或者对应的接入路由器)从映射系统中查询到，则该终端的接入标识的类别为不可达接入标识。所述接入标识类别为可达接入标识的终端能被其他终端主动访问，所述接入标识类别为不可达接入标识的终端不能被其他终端主动访问。

当所述接入标识类别为不可达接入标识的终端对所述接入标识类别为可达接入标识的终端的访问结束，则所述接入标识类别为不可达接入标识的终端对应的接入路由器将其缓存中存储的接入标识到路由标识的映射条目清除。

若所述终端将其接入标识到路由标识的映射关系向映射系统注册，则使用所述终端的用户能够确定所述终端的接入标识的类别为可达接入标识；若所述终端对应的接入路由器将所述终端的接入标识到路由标识的映射关系向映射系统注册，则所述接入路由器能够判定出所述终端的接入标识的类别是否是可达接入标识。当所述映射系统接收到一个标识类别为不可达接入标识的终端的查询映射关系的请求时，所述映射系统不向所述终端返回所述映射关系。

所述接入路由器判定所述终端的接入标识的类别是否是可达接入标识具体为，所述接入路由器根据接入标识中的某些信息来判定所述接入标识是否为可达标识，或者通过所述终端显示通知所述接入路由器所述接入标识是否为可达标识。所述某些信息为接入标识中的预设比特位。

所述终端对应的接入路由器将所述终端的接入标识到路由标识的映射关系向映射系统注册的过程具体为，所述终端向其对应的接入路由器发送注册消息，所述注册消息中包含有终端的接入标识和标识类别，接入路由器查看自身本地映射表中是否存储有所述终端的接入标识到路由标识的映射关系，若存在则更新其缓存时间，否则向映射系统注册所述终端的接入标识到路由标识的映射关系。

本发明相比于现有技术，至少实现了以下有益效果：