[发明专利]网络地址动态跳变的装置及方法

权利要求书

1.一种网络地址动态跳变装置，包括数据单元、中央控制单元和管理单元，其特征在于：数据单元包括转发器，负责按照流表规则对IP分组进行修改、转发和统计上报；中央控制单元包括域名解析模块、路由协议模块和域名地址的跳变与映射管理模块，域名解析模块负责基于管理策略动态生成流表规则，路由协议模块负责与其他IP地址动态跳变装置之间进行协议交互，域名地址的跳变与映射管理模块负责维持所有装置之间流表规则的一致性；管理单元包括接入管理策略模块和组管理策略模块，负责对接入用户和接入组的接入控制管理和权限控制管理；

网络地址动态跳变装置的网络地址动态跳变方法，包括：

步骤一：IDTD设备会针对每次用户注册过程，生成随机的用户标识，保证用户标识的动态跳变和不可猜测；IDTD为网络地址动态跳变装置；

步骤二：IDTD设备会针对用户的每次查询过程，生成随机的链路IP地址，保证用户网络地址的动态跳变和不可猜测；

步骤三：IDTD设备基于之前用户注册和查询过程中生成的IP地址动态映射规则，针对通信过程中的每一个IP分组进行相应的IP地址改变并转发；

步骤四：IDTD设备在运行过程中，按照定时机制动态改变用户标识、用户网络IP和用户接入IP地址，从而实现端到端通信过程中的网络地址动态跳变。

2.根据权利要求1所述的网络地址动态跳变装置，其特征在于：所述转发器采用openflow交换机，中央控制单元和管理单元为软件模块，运行在x86服务器的Linux操作系统之上，转发器和中央控制单元之间采用SDN的Openflow协议进行互联互通，中央控制单元和管理单元采用进程间通信进行互通。

3.一种基于权利要求1所述装置的网络地址动态跳变方法，其特征在于：所述步骤一包括用户注册过程和用户注册信息通告两部分，具体为：

用户注册：IDTD基于用户提交的链路IP地址和MAC地址信息，查询接入授权列表，如果认证未通过，则不予响应；如果认证通过，则得到对应的域标识，并生成随机用户标识、虚拟链路ip`、网络IP，记录用户链路ip与用户标识、虚拟链路ip`、网络IP和域标识的映射关系，同时将用户标识返回给查询用户；

用户注册信息通告：如果IDTD检测到存在其他IDTD邻居，则将该用户标识通告给所有IDTD邻居，IDTD将用户标识+域标识、网络IP地址通过路由协议通告给其他邻居；对于接收该通告的IDTD，记录对端用户标识+域标识和网络IP的映射关系，同时为对端用户标识生成本地虚拟链路ip``。

4.一种基于权利要求1所述装置的网络地址动态跳变方法，其特征在于：所述步骤二具体包括：用户跟远端主机通信时，首先通过带外通道获得对方的用户标识信息，然后通过本机应用程序来查询该用户标识对应的IP地址信息，如果发起查询的用户为非授权用户，则直接丢弃该查询请求，否则，IDTD处理该用户查询；首先查看查询者与被查询用户是否隶属于同一个域，如果不同，则丢弃该查询请求，如果属于同一个域，则将被查询用户的用户虚拟链路ip返回给查询者。