本發(fā)明屬于網(wǎng)絡(luò)安全，具體涉及一種面向多維標(biāo)識(shí)融合網(wǎng)絡(luò)的應(yīng)用服務(wù)標(biāo)識(shí)生成方法。

背景技術(shù)：

1、傳統(tǒng)的互聯(lián)網(wǎng)是一個(gè)統(tǒng)一的、抽象的網(wǎng)絡(luò)，ip地址在網(wǎng)絡(luò)層扮演著重要的角色，它不僅可以有效標(biāo)識(shí)設(shè)備的身份，還能標(biāo)識(shí)設(shè)備的位置，從而完成了在主機(jī)和網(wǎng)絡(luò)之間的路徑尋址和數(shù)據(jù)包路由的任務(wù)。ip地址是ip協(xié)議提供的一種統(tǒng)一的標(biāo)識(shí)地址格式，為互聯(lián)網(wǎng)上的每臺(tái)主機(jī)或路由器的每個(gè)接口分配了一個(gè)再全世界范圍內(nèi)是唯一的標(biāo)識(shí)符。ip地址為互聯(lián)網(wǎng)上的每一個(gè)網(wǎng)絡(luò)和每一臺(tái)主機(jī)分配一個(gè)邏輯地址，從而屏蔽了設(shè)備物理地址的差異。其獨(dú)特的結(jié)構(gòu)使其能夠方便地進(jìn)行短時(shí)有效尋址。ip地址的分配由互聯(lián)網(wǎng)名字和數(shù)字分配機(jī)構(gòu)icann(internet?corporation?for?assigned?names?and?numbers)進(jìn)行管理。

2、為了滿足面向未來(lái)互聯(lián)網(wǎng)的多元化新生業(yè)務(wù)在高安全、輕量級(jí)、智能化、高效性、移動(dòng)性等方面的迫切需求，解決由于互聯(lián)網(wǎng)靜態(tài)僵化的架構(gòu)而導(dǎo)致的標(biāo)識(shí)承載單一、未知威脅難以抑制等基礎(chǔ)性問(wèn)題，克服多維異構(gòu)標(biāo)識(shí)空間之間的種種設(shè)計(jì)差異。在深入研究現(xiàn)有網(wǎng)絡(luò)標(biāo)識(shí)體系及其衍生技術(shù)的基礎(chǔ)上，提出多維標(biāo)識(shí)融合網(wǎng)絡(luò)，其采用標(biāo)識(shí)空間分離原則，將用戶身份、用戶應(yīng)用和網(wǎng)絡(luò)位置等要素進(jìn)行解耦分離，使用多維統(tǒng)一用戶標(biāo)識(shí)(unified?identifier、uid)，分別對(duì)終端用戶身份、對(duì)端通信服務(wù)和通信內(nèi)容進(jìn)行標(biāo)識(shí)和表征，使其獨(dú)立于用戶所處位置，從而實(shí)現(xiàn)對(duì)移動(dòng)性的天然支持以及安全性的內(nèi)生保障。

3、現(xiàn)有的關(guān)于上述網(wǎng)絡(luò)中的ip命名方法包括：

4、(1)主機(jī)標(biāo)識(shí)協(xié)議hip

5、主機(jī)標(biāo)識(shí)協(xié)議(host?identity?protocol，hip)是一種基于主機(jī)的身份與位置分離協(xié)議。hip在tcp/ip體系結(jié)構(gòu)中的網(wǎng)絡(luò)層與傳輸層之間引入主機(jī)標(biāo)識(shí)層，并且在域名空間和ip地址空間之間引入新的主機(jī)標(biāo)識(shí)(host?identity,hi)空間。hip使用hi作為節(jié)點(diǎn)的主機(jī)標(biāo)識(shí)，用于傳輸層的連接；使用ip地址作為節(jié)點(diǎn)的位置標(biāo)識(shí)，用于網(wǎng)絡(luò)層路由。因此，hip取消了網(wǎng)絡(luò)層與傳輸層之間的緊耦合關(guān)系，分離了ip地址的雙重功能。hip協(xié)議用擴(kuò)展頭部來(lái)表示協(xié)議頭部，用封裝安全載荷(encapsulated?security?payload，esp)進(jìn)行封裝，在兩臺(tái)主機(jī)之間建立端到端ipsec?esp安全關(guān)聯(lián)來(lái)增強(qiáng)數(shù)據(jù)安全性。hip設(shè)計(jì)之初主要為了解決安全性問(wèn)題，沒(méi)有考慮解決路由可擴(kuò)展性問(wèn)題。

6、(2)位置身份分離協(xié)議lisp

7、lisp(locator/identifier?separation?protocol是思科公司提出的一種基于身份與位置分離機(jī)制的網(wǎng)絡(luò)協(xié)議。lisp將ip地址分為終端標(biāo)識(shí)(endpoint?identifier，eid)和路由標(biāo)識(shí)(routing?locator，rloc)，eid為分配給終端系統(tǒng)的ip地址，用在接入網(wǎng)中標(biāo)識(shí)主機(jī)的身份信息，rloc為分配給路由器的ip地址，用在核心網(wǎng)中標(biāo)識(shí)主機(jī)的位置信息。lisp采用封裝的映射方法，入口隧道路由器(ingress?tunnel?router，itr)和出口隧道路由器(egress?tunnel?router，etr)分別對(duì)入口數(shù)據(jù)和出口數(shù)據(jù)進(jìn)行封裝和解封裝。用戶發(fā)起通信時(shí)，使用eid作為源地址和目的地址，當(dāng)數(shù)據(jù)包到達(dá)itr，itr使用rloc為數(shù)據(jù)包封裝一個(gè)lisp報(bào)頭，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到核心網(wǎng)。核心網(wǎng)根據(jù)rloc將數(shù)據(jù)包路由到etr，etr對(duì)數(shù)據(jù)包進(jìn)行解封裝去掉lisp報(bào)頭，然后根據(jù)eid將數(shù)據(jù)包路由到通信對(duì)端，完成一次通信過(guò)程。

8、(3)handle系統(tǒng)

9、handle系統(tǒng)(handle?system)由互聯(lián)網(wǎng)之父、tcp/ip協(xié)議聯(lián)合發(fā)明人、圖靈獎(jiǎng)獲得者robert?kahn博士領(lǐng)導(dǎo)美國(guó)國(guó)家創(chuàng)新研究所(cnri，corporation?for?nationalresearch?initiatives)在1995年提出。handle系統(tǒng)是數(shù)字對(duì)象體系結(jié)構(gòu)doa的一部分。原有的dns解析系統(tǒng)只面向主機(jī)解析。而handle是面向數(shù)字對(duì)象(信息)的通用性解析，管理粒度更細(xì)。

10、上述傳統(tǒng)互聯(lián)網(wǎng)標(biāo)識(shí)命名體系存在多重局限，需要開展創(chuàng)新研究，已經(jīng)形成業(yè)內(nèi)共識(shí)，成為未來(lái)信息網(wǎng)絡(luò)體系研究的一個(gè)重要方向。當(dāng)前國(guó)內(nèi)外標(biāo)識(shí)體系研究多從單個(gè)局限出發(fā)，如hip、lisp協(xié)議集中于從身份與位置標(biāo)識(shí)分離角度開展研究，由于hip在網(wǎng)絡(luò)層與傳輸層之間引入了一個(gè)新的層，這增加了協(xié)議棧的復(fù)雜性，同時(shí)雖然lisp提高了網(wǎng)絡(luò)的可擴(kuò)展性，但其單一的全局映射系統(tǒng)可能成為攻擊目標(biāo)。如果映射數(shù)據(jù)庫(kù)被篡改或攻擊，可能會(huì)導(dǎo)致數(shù)據(jù)包被錯(cuò)誤路由或攔截，帶來(lái)安全風(fēng)險(xiǎn)。二者均缺少面向多維目標(biāo)對(duì)象的統(tǒng)一標(biāo)識(shí)、描述和尋址方法，難以滿足細(xì)粒度的移動(dòng)性等高需求。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)現(xiàn)有技術(shù)中的上述不足，本發(fā)明提供的面向多維標(biāo)識(shí)融合網(wǎng)絡(luò)的應(yīng)用服務(wù)標(biāo)識(shí)生成方法解決了現(xiàn)有的互聯(lián)網(wǎng)標(biāo)識(shí)生成方法存在的缺少面向多維目標(biāo)對(duì)象的統(tǒng)一標(biāo)識(shí)、描述和尋址方法，難以滿足細(xì)粒度的移動(dòng)性等高需求的問(wèn)題。

2、為了達(dá)到上述發(fā)明目的，本發(fā)明采用的技術(shù)方案為：一種面向多維標(biāo)識(shí)融合網(wǎng)絡(luò)的應(yīng)用服務(wù)標(biāo)識(shí)生成方法，所述生成方法為：當(dāng)對(duì)端發(fā)起服務(wù)請(qǐng)求響應(yīng)時(shí)，根據(jù)多維屬性信息通過(guò)基于橢圓曲線的非對(duì)此加密方式生成可變長(zhǎng)的應(yīng)用服務(wù)標(biāo)識(shí)；

3、所述多維屬性信息包括對(duì)應(yīng)用服務(wù)/內(nèi)容的狀態(tài)和需求識(shí)別并分類后，得到的攜帶對(duì)應(yīng)屬性的信息；

4、所述應(yīng)用服務(wù)標(biāo)識(shí)的生命周期根據(jù)其服務(wù)/內(nèi)容提供方式進(jìn)行管理。

5、進(jìn)一步地，所述基于橢圓曲線的非對(duì)稱加密方式生成可變長(zhǎng)的應(yīng)用服務(wù)標(biāo)識(shí)的方法具體為：

6、s1、通過(guò)部署在控制器上的服務(wù)層解析映射器根據(jù)其身份信息s和時(shí)間戳t組合為種子數(shù)seedstr＝s+t；

7、其中，所述身份信息根據(jù)多維屬性信息確定；

8、s2、使用sha-256哈希函數(shù)將種子數(shù)將種子數(shù)seedstr生成一個(gè)單向哈希值h(s,t)＝sha-256(seedstr)；

9、s3、根據(jù)單向哈希值的表達(dá)式，將生成的十六進(jìn)制字符串的單向哈希值轉(zhuǎn)換并映射到橢圓曲線上指定的整數(shù)范圍內(nèi)：

10、s4、在服務(wù)器端，隨機(jī)選擇一個(gè)整數(shù)，并通過(guò)橢圓曲線上的點(diǎn)乘運(yùn)算生成pb＝nb·g；

11、其中，pb為服務(wù)器端生成的一個(gè)點(diǎn)，nb為服務(wù)器端隨機(jī)選擇的一個(gè)整數(shù)，g為基點(diǎn)，表示橢圓曲線上一個(gè)固定的點(diǎn)；

12、s5、在終端用戶端，使用sha-256哈希函數(shù)輸入當(dāng)前設(shè)備的時(shí)間戳生成隨機(jī)數(shù)k，并計(jì)算k·g，得到一個(gè)橢圓曲線上點(diǎn)r表示為r＝k·g；

13、s6、計(jì)算pm+k·pb，得到橢圓曲線上點(diǎn)r的新的點(diǎn)表示為s＝pm+k·pb＝pm+k·nb·g；其中，pm表示消息的一個(gè)點(diǎn)形式；

14、s7、將點(diǎn)s轉(zhuǎn)換為可變長(zhǎng)的二進(jìn)制形式，生成可變長(zhǎng)的應(yīng)用服務(wù)標(biāo)識(shí)suid。進(jìn)一步地，所述步驟s3中，所述橢圓曲線表示為：

15、y2＝x3+ax+b

16、式中，a和b為橢圓曲線上的常數(shù)，且滿足4a3+27b2≠0。

17、進(jìn)一步地，所述步驟s4中，基點(diǎn)g滿足：

18、基點(diǎn)g的階n較大，且ng＝o，其中o為橢圓曲線上的無(wú)窮遠(yuǎn)點(diǎn)。

19、進(jìn)一步地，所述應(yīng)用服務(wù)標(biāo)識(shí)對(duì)應(yīng)服務(wù)/內(nèi)容的提供方式包括普通服務(wù)/內(nèi)容和短效服務(wù)/內(nèi)容。

20、進(jìn)一步地，當(dāng)提供方式為普通服務(wù)/內(nèi)容時(shí)，對(duì)應(yīng)用服務(wù)標(biāo)識(shí)進(jìn)行生命周期管理的方法具體為：

21、為應(yīng)用服務(wù)標(biāo)識(shí)設(shè)置對(duì)應(yīng)有效周期tv和?；钪芷趖k；

22、在有效周期tv結(jié)束后，進(jìn)入?；钪芷趖k，通過(guò)接收服務(wù)/內(nèi)容提供方發(fā)送?；顖?bào)文以延長(zhǎng)有效周期tv，且在?；钪芷趖k結(jié)束前，若未收到服務(wù)/內(nèi)容提供方向分布式管理機(jī)構(gòu)發(fā)送的有效證明，則刪除或回收該應(yīng)用服務(wù)標(biāo)識(shí)。

23、進(jìn)一步地，當(dāng)提供方式為普通服務(wù)/內(nèi)容時(shí)，所述服務(wù)應(yīng)用標(biāo)識(shí)的有效性條件為當(dāng)前時(shí)間tcurrent滿足：

24、

25、式中，為第i個(gè)服務(wù)應(yīng)用標(biāo)識(shí)suid的起始時(shí)間，為第i個(gè)服務(wù)應(yīng)用標(biāo)識(shí)suid的有效周期，為第i個(gè)服務(wù)應(yīng)用標(biāo)識(shí)suid的?；钪芷?，為在某個(gè)時(shí)刻獲取的證明時(shí)間。

26、進(jìn)一步地，當(dāng)提供方式為短效服務(wù)/內(nèi)容時(shí)，對(duì)應(yīng)用服務(wù)標(biāo)識(shí)進(jìn)行生命周期管理的方法具體為：

27、在服務(wù)/內(nèi)容提供方注冊(cè)時(shí)將其維持時(shí)間作為特殊多維屬性發(fā)送至分布式管理機(jī)構(gòu)，進(jìn)而通過(guò)分布式管理機(jī)構(gòu)為其對(duì)應(yīng)的服務(wù)應(yīng)用標(biāo)識(shí)設(shè)置有效周期tvs；

28、在有效周期tvs結(jié)束后，若未收到服務(wù)/內(nèi)容提供方發(fā)送的?；顖?bào)文，則將對(duì)應(yīng)服務(wù)應(yīng)用標(biāo)識(shí)立即回收。

29、進(jìn)一步地，當(dāng)提供方式為短效服務(wù)/內(nèi)容時(shí)，所述服務(wù)應(yīng)用標(biāo)識(shí)的有效性條件為當(dāng)前時(shí)間tcurrent滿足：

30、

31、式中，為第i個(gè)服務(wù)應(yīng)用標(biāo)識(shí)suid的起始時(shí)間，為第i個(gè)服務(wù)應(yīng)用標(biāo)識(shí)suid的有效周期。

32、本發(fā)明的有益效果為：

33、1)在提供相同級(jí)別的安全性方面，本發(fā)明方法中基于橢圓曲線的非對(duì)稱加密比傳統(tǒng)的公鑰加密算法需要更小的密鑰長(zhǎng)度，這使得基于橢圓曲線的非對(duì)稱加密在相對(duì)較短的密鑰長(zhǎng)度下提供了高水平的安全性，所生成的唯一應(yīng)用服務(wù)標(biāo)識(shí)suid標(biāo)識(shí)更難以被敵手破解捕獲。

34、2)由于基于橢圓曲線的非對(duì)稱加密算法使用的密鑰長(zhǎng)度較短，計(jì)算復(fù)雜度相對(duì)較低，這意味著它在加密操作中的計(jì)算速度更快，效率更高，可應(yīng)用于需要高頻率生成應(yīng)用服務(wù)標(biāo)識(shí)的服務(wù)請(qǐng)求響應(yīng)場(chǎng)景中。

35、3)較短的密鑰長(zhǎng)度和加密結(jié)果意味著在傳輸和存儲(chǔ)加密服務(wù)屬性信息時(shí)占用的帶寬和存儲(chǔ)空間更少，因此可應(yīng)用在需要大規(guī)模分發(fā)和存儲(chǔ)suid的分布式服務(wù)器中。