CN102255983B - 实体标识符分配***、溯源、认证方法及服务器 - Google Patents
实体标识符分配***、溯源、认证方法及服务器 Download PDFInfo
- Publication number
- CN102255983B CN102255983B CN201110210819.7A CN201110210819A CN102255983B CN 102255983 B CN102255983 B CN 102255983B CN 201110210819 A CN201110210819 A CN 201110210819A CN 102255983 B CN102255983 B CN 102255983B
- Authority
- CN
- China
- Prior art keywords
- distribution
- node
- distribution node
- authorization message
- leaf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种实体标识符分配***、溯源、认证方法及服务器。本发明实施例采用树形的实体标识符EI分配***,除EI分配根节点之外的各EI分配节点/网络接入实体都需进行身份验证后才能从上一级分配节点分配得到EI资源/EI,生成了各EI分配节点/网络接入实体的授权信息,可以在使用分配得到的EI构造IP地址的网络接入实体请求接入网络时根据EI分配***中的该EI的授权信息对网络接入实体进行身份验证,使得在网络接入实体获得相对固定标识的基础上,同时满足可溯源和使用者身份可验证的需求。
Description
技术领域
本发明实施例涉及网络技术领域,尤其是一种实体标识符分配***、溯源、认证方法及服务器。
背景技术
在当前互联网的体系结构下,IP地址既是网络接入实体(如主机和使用者)的身份标识,又是网络接入实体的定位标识。在实际应用中,由于网络接入实体经常变换接入位置,IP地址也会随之发生变化,这使得网络接入实体无法获得相对固定的实体标识。
为此,电气和电子工程师协会(Institute of Electrical and ElectronicsEngineers,简称IEEE)提出了64位扩展唯一标识符(64-bit extended uniqueidentifier,简称IEEE-EUI64),IEEE-EUI64是一种利用主机MAC地址生成IPv6地址后64位的地址生成方式。该地址生成方式中,IPv6地址的路由前缀(IPv6地址的前64位)通过链路上路由器(通常是第一跳路由器)的路由通告得到,接口ID(IPv6地址的后64位)由48位的MAC地址转换得到。由于MAC地址是由IEEE分配给网卡制造商的,伴随着网卡的销售而完成分配的,因此MAC地址天然地缺乏管理体系,存在以下问题:
1)难以溯源
尽管MAC地址的分配也独立于互联网服务提供商(Internet ServiceProvider,简称ISP),但IEEE-EUI64的设计初衷是为了提供“即插即用”功能,并无太多身份认证上的考量。MAC地址没有IP地址那样的注册机制和公共的解析***,其对应的主机信息和使用者信息无法查询。MAC地址也没有与互联网的行为主体有安全的绑定机制,MAC可以任由用户伪造。
2)IEEE-EUI64方式的地址生成方式缺乏验证机制
该方式不能提供对IP地址真实性的验证,因此主机使用者可以通过修改MAC地址来无限制地构造IP地址。
密钥生成地址(Cryptographically Generated Addresses,简称CGA)是另一种基于IPv6自配置机制的地址生成机制,CGA地址的后64位由地址使用者的公钥哈希生成。CGA尽管可以用来验证IP地址的真实性,但使用者的身份信息无法解析。也就是说,使用者可以在不同时间使用不同的公钥构造不同的CGA地址来隐藏自己的身份。另外,还有标识符定位网络协议(Identifier-Locator Network Protocol,简称ILNP)等一些改进技术,其中部分技术还需要对IP的工作机制加以修改,可行性差。
在实现本发明的过程中,发明人发现:现有技术中网络接入实体获得相对固定标识的方法无法同时满足可溯源和使用者身份可验证的需求。
发明内容
本发明实施例提供一种实体标识符分配***、溯源、认证方法及服务器,以解决现有技术中网络接入实体获得相对固定标识的方法无法同时满足可溯源和使用者身份可验证的需求的问题。
一方面,本发明实施例提供了一种实体标识符分配***,包括:树状连接的实体标识符EI分配根节点、中间级EI分配节点和叶子EI分配节点;
所述EI分配根节点,用于对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
所述中间级EI分配节点,用于向上一级EI分配节点请求分配EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
所述叶子EI分配节点,用于向上一级EI分配节点请求EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI的网络接入实体进行身份验证,验证通过后向所述网络接入实体分配EI以使所述网络接入实体根据所述EI生成IP地址,生成所述网络接入实体的授权信息。
另一方面,本发明实施例提供了一种基于上述实体标识符分配***的溯源方法,包括:
基于待溯源的EI,溯源设备向EI分配根节点查询所述EI分配对象的授权信息;
所述EI分配根节点向所述溯源设备返回下一级EI分配节点的标识,所述下一级EI分配节点从所述EI分配根节点分配得到的EI资源包含所述EI;
所述溯源设备向所述下一级EI分配节点查询分配所述EI分配对象的授权信息,直至接收到叶子EI分配节点的标识,所述叶子EI分配节点分配得到的EI资源包含所述EI;
所述溯源设备向所述叶子EI分配节点查询所述EI分配对象的授权信息;
所述叶子EI分配节点确定分配得到所述EI的EI分配对象的授权信息,并将所述EI分配对象的授权信息发送给所述溯源设备。
另一方面,本发明实施例提供了一种基于上述实体标识符分配***的接入认证方法,包括:
接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的实体标识符EI;
从所述EI分配***获取所述EI分配对象的授权信息;
根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。
另一方面,本发明实施例提供了一种接入认证服务器,与如上所述的实体标识符分配***交互,包括:
接收模块,用于接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的实体标识符EI;
获取模块,用于从所述EI分配***获取所述EI分配对象的授权信息;
认证模块,用于根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。
以上多个技术方案中的一个技术方案具有如下优点或有益效果:
本发明实施例采用树形的实体标识符EI分配***,除EI分配根节点之外的各EI分配节点/网络接入实体都需进行身份验证后才能从上一级分配节点分配得到EI资源/EI,生成了各EI分配节点/网络接入实体的授权信息,可以在使用分配得到的EI构造IP地址的网络接入实体请求接入网络时根据EI分配***中的该EI的授权信息对网络接入实体进行身份验证,使得在网络接入实体获得相对固定标识的基础上,同时满足可溯源和使用者身份可验证的需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种实体标识符EI分配***实施例的结构示意图。
图2为图1所示实施例的一种应用示意图。
图3为本发明实施例提供的一种基于EI分配***的溯源方法实施例的流程示意图。
图4为本发明实施例提供的一种基于EI分配***的接入认证方法实施例的流程示意图。
图5为本发明实施例提供的一种基于EI分配***的接入认证服务器实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种实体标识符(Entity Identifier,简称EI)分配***实施例的结构示意图。如图1所示,该***包括:
EI分配根节点11、中间级EI分配节点12和叶子EI分配节点13;
EI分配根节点11,用于对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
中间级EI分配节点12,用于向上一级EI分配节点请求分配EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
叶子EI分配节点13,用于向上一级EI分配节点请求EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI的网络接入实体进行身份验证,验证通过后向所述网络接入实体分配EI以使所述网络接入实体根据所述EI生成IP地址,生成所述网络接入实体的授权信息。
应用中,中间级EI分配节点12可能有一级或多级,EI的分配层次的划分也不是固定的,EI分配***中各个子树可以根据实际情况进行调整。本实施例对此不作限定。举例来说,若中间级EI分配节点有两级,与EI分配根节点11直接连接的可以称为顶级EI分配节点,与叶子EI分配节点直接连接的可以称为次级EI分配节点。在EI分配***中,分配上游对EI的分配对象进行身份验证,验证通过后向其下游授权EI资源,负责维护EI或者EI段的分配信息。如图2所示,EI分配根节点将前缀为40/8的EI资源分配给了顶级EI分配节点A,其中40/8表示以0x40开头的EI前缀,代表一段标识聚合的EI资源,EI分配根节点将前缀为41/8的EI资源分配给了顶级EI分配节点B,将前缀为4F/8的EI资源分配给了顶级EI分配节点X;顶级EI分配节点B将前缀为410001/24的EI其资源分配给次级EI分配结构A,将前缀为41FFFF/24的EI其资源分配给次级EI分配结构X;次级EI分配机构A将前缀为4100010001/40的EI资源分配给了EI分配代理A(即叶子EI分配节点),将前缀为410001FFFF/40的EI资源分配给了EI分配代理X;EI分配代理X将410001FFFFAB5678的EI分配给了网络接入实体H1,将410001FFFF5EF987的EI分配给了网络接入实体H2。
这里的授权信息通常可以包含EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配者的标识等信息。其中,所述EI资源通常以EI前缀来标识,若所述EI资源分配对象为网络接入实体,授权信息可选地还包含所述EI的有效期。当然,授权信息的内容可以根据实际应用的需求进行删减或扩展,本实施例对此不作限定。
在本发明的一个可选的实施例中,为了方便第三方对EI资源/EI的分配情况及授权信息进行查询,所述***还包括:
EI信息根服务器21、中间级EI信息服务器22和叶子EI信息服务器23;
EI信息根服务器21,与EI分配根节点11对应,用于存储EI分配根节点11的EI资源分配对象的授权信息,EI分配根节点11的EI资源分配对象的授权信息包括EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和EI分配根节点11的标识;
中间级EI信息服务器22,与中间级EI分配节点12一一对应,用于存储对应的中间级EI分配节点12的EI资源分配对象的授权信息,所述中间级EI分配节点的EI资源分配对象的授权信息包括所述EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和中间级EI分配节点12的标识;
叶子EI信息服务器23,与叶子EI分配节点13一一对应,用于存储对应的叶子EI分配节点13的EI分配对象的授权信息,所述叶子EI分配节点的EI分配对象的授权信息包括所述EI分配对象分配得到的EI,所述EI分配对象的身份信息、公钥,叶子EI分配节点13的标识;
EI分配根节点11具体用于,验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的授权信息和私钥,并将所述下一级EI分配节点的授权信息发送给EI信息根服务器21;
中间级EI分配节点12具体用于,接收上一级EI分配节点发送的所述中间级EI分配节点的授权信息和私钥,并在验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的私钥,并将所述下一级EI分配节点的授权信息发送给对应的中间级EI信息服务器22;
叶子EI分配节点13具体用于,接收上一级EI分配节点发送的所述叶子EI分配节点的授权信息和私钥,并在验证通过后向所述网络接入实体发送所述网络接入实体的私钥,并将所述网络接入实体的授权信息发送给对应的叶子EI信息服务器23。
这里的私钥是与授权信息中所述EI资源/EI分配对象的公钥对应的,EI资源/EI分配对象用私钥签名过的信息,可以用授权信息中的公钥进行验证。当然,可以在颁发公钥的同时颁发私钥,也可以是EI资源/EI分配对象(如网络接入实体)自身生成公钥和私钥,然后将公钥告知EI资源/EI分配者,本实施例对此不作限定。应用中,各EI信息服务器还可以保存自身的授权信息。
表1给出了一种可能的EI资源授权信息,表2给出了单个粒度的EI授权信息示例。
表1 EI资源的授权信息示例表
表2 EI的授权信息示例表
需要说明的是,网络接入实体获得叶子EI分配节点分配的EI后,可以根据所述EI生成IP地址,该IP地址作为该网络接入实体接入网络的标识。应用中,由于IP地址的前缀用于标识网络接入实体的接入位置,所以IP地址的位置相关性在现有互联网体系结构下无法改变,基于EI的IPv6地址寻求在IPv6地址非路由标识部分携带网络接入实体的身份标识。基于EI的IPv6地址结构可以如表3所示。
表3
| 网络前缀(64bits) | 实体标识符EI(64bits) |
如表3所示,网络前缀是网络接入实体的位置标识,同传统意义上的IPv6地址前缀没有区别。EI是一个64比特的位串,例如0x332277880101FFFF,它充当网络接入实体的稳定身份标识,不随网络接入实体的位置和归属者的变化而变化。EI的不同分配者决定了EI的有效范围,表4给出了EI分配***的管理者与其分配的EI有效范围的关系的示例。主机在不同接入域之间漫游时,接入网控制实体,如第一跳路由器或者动态主机设置协议(DynamicHost Configuration Protocol,简称DHCP)服务器,向主机提供IPv6地址的网络前缀部分,即IPv6地址的前64位,主机将64位的网络前缀部分和分配得到的EI组成可路由的IPv6地址。表4中提到的两种EI管理方式是基于EI的IPv6地址的两种实现方式,也是本实施例的两种实施场景,其中互联网基础资源分配机构可以是互联网数字分配机构(Internet Assigned NumbersAuthority,简称IANA)等。
表4
| EI分配***的管理者 | EI的有效范围 |
| 互联网基础资源分配机构 | 全球唯一 |
| 互联网接入提供商 | 接入提供商内部唯一 |
基于EI的IPv6地址可以兼容当前主流的基于MAC地址的IPv6地址自配置功能。按照现有标准和规范,基于MAC地址的IPv6地址自配置方法固定地将IPv6地址的后64位中的“中间16比特”设定为0xFFFE。为了避免基于EI的IPv6地址的设计影响到基于MAC地址的IPv6地址自配置方法,本实施例中可以将IPv6地址后64位的中间16比特的作为标识类型值,如果标识类型值为0xFFFE,说明该IPv6地址的后64位没有使用EI配置,是传统的IPv6地址,可以使用MAC地址生成,当标识类型值为其他值时,说明该IPv6地址是基于EI的IPv6地址,例如,当标识类型值为0x1234时,该EI可以用来标识网络接入实体。
上述在IPv6地址后64位定义“标识类型值”的做法减少了基于EI的IPv6地址设计对IPv6地址空间减少的影响。另一方面,目前IPv6地址的分配是以前64位为单位进行的,也即IPv6地址的分配实际是网络前缀的分配,因此IPv6地址后64位的设计在很大程度上就是为了地址的冗余,实际应用中一个链路上不可能挂载264台主机,基于EI的IPv6地址的应用可以提高了整个IPv6地址空间的利用率。
本发明实施例采用树形的实体标识符EI分配***,除EI分配根节点之外的各EI分配节点/网络接入实体都需进行身份验证后才能从上一级分配节点分配得到EI资源/EI,生成了各EI分配节点/网络接入实体的授权信息,可以在使用分配得到的EI构造IP地址的网络接入实体请求接入网络时根据EI分配***中的该EI的授权信息对网络接入实体进行身份验证,使得在网络接入实体获得相对固定标识的基础上,同时满足可溯源和使用者身份可验证的需求。
图3为本发明实施例提供的一种基于EI分配***的溯源方法实施例的流程示意图。这里的EI分配***为如本发明实施例提供的一种EI分配***实施例所述的***,如图3所示,该方法包括:
步骤301、基于待溯源的EI,溯源设备向EI分配根节点查询所述EI分配对象的授权信息;
这里的溯源设备通常为网络管理设备,可以针对任意EI发起图4所示的溯源流程,通过带外机制预先配置EI分配根节点的地址信息。这里EI分配对象的的授权信息包含所述EI分配对象分配得到的EI,所述EI分配对象的身份信息、公钥,所述叶子EI分配节点的标识,以及所述EI的有效期等。应用中,溯源设备可以仅查询所述EI分配对象的授权信息包含的任意一项或多项信息,本实施例对此不作限定。
步骤302、所述EI分配根节点向所述溯源设备返回下一级EI分配节点的授权信息,所述下一级EI分配节点从所述EI分配根节点分配得到的EI资源包含所述EI;
步骤303、所述溯源设备向所述下一级EI分配节点查询分配所述EI分配对象的授权信息,直至接收到叶子EI分配节点的授权信息,所述叶子EI分配节点分配得到的EI资源包含所述EI;
应用中,根据所述EI分配***的层次,溯源设备逐级溯源的次数可能需一次或多次,本实施例对此不作限定。另外,各级EI分配节点返回的授权信息还可以用自身的私钥加密,溯源设备用对应的公钥逐级验证各级EI分配节点返回的授权信息。举例来说,溯源设备从EI分配根节点发送的下一级EI分配节点的授权信息中,提取出该下一级EI分配节点的公钥,然后用该公钥对该下一级EI分配节点返回的再下一级EI分配节点的授权信息进行验证。
步骤304、所述溯源设备向所述叶子EI分配节点查询所述EI分配对象的授权信息;
步骤305、所述叶子EI分配节点确定分配得到所述EI的EI分配对象的授权信息,并将所述EI分配对象的授权信息发送给所述溯源设备。
较优地,若各EI分配节点均配置了EI信息服务器,以提供对外查询接口,则上述步骤中,溯源设备可以直接向对应的EI信息服务器查询所述EI分配对象的授权信息。在这种场景下,步骤301具体包括:
溯源设备向EI分配根节点对应的EI信息根服务器查询所述EI分配对象的授权信息;
步骤302具体包括:
所述EI信息根服务器向所述溯源设备返回下一级EI分配节点的标识;
步骤303具体包括:
所述溯源设备向所述下一级EI分配节点对应的下一级EI信息服务器查询分配所述EI分配对象的授权信息;
步骤304具体包括:
所述溯源设备向所述叶子EI分配节点对应的叶子EI信息服务器查询所述EI分配对象的授权信息;
步骤305具体包括:
所述叶子EI信息服务器确定所述EI分配对象的授权信息,并将所述EI分配对象的授权信息发送给所述溯源设备。
举例来说,如图2所示,溯源设备首先向EI分配树根节点对应的EI信息根服务器发起针对EI为410001FFFFAB5678解析请求,该EI信息服务器根据EI资源的分配信息和410001FFFFAB5678进行前缀匹配,将匹配结果,也即负责维护EI段41/8的EI信息服务器的寻址信息告诉溯源设备;以此类推,溯源设备先后得到了EI段410001/24,EI段410001FFFF/40的EI信息服务器的寻址信息;通过向410001FFFF/40的叶子EI信息服务器的发起对410001FFFFAB5678的解析请求,溯源设备得到了解析结果,即EI为410001FFFFAB5678的EI分配对象的授权信息。溯源设备可以根据需求,定制不同的解析请求,可以一次请求EI的所有授权信息,也可以在解析请求中指明所需要的授权信息,例如,查询EI的有效期。
本实施例采用了基于EI分配***的树形架构逐级查询的技术手段,可以实现EI的溯源,获得EI分配对象的相关信息。
图4为本发明实施例提供的一种基于EI分配***的接入认证方法实施例的流程示意图。这里的EI分配***为如本发明实施例提供的一种EI分配***实施例所述的***,如图4所示,该方法包括:
步骤401、接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的EI;
举例来说,接入认证服务器接收网络接入实体发送的接入认证请求。在步骤401之前,网络接入实体从所述EI分配***分配得到了自身的EI,并根据该EI和网络前缀构造了自身的IP地址,也就是所述接入认证请求的源IP地址。
步骤402、从所述EI分配***获取所述EI分配对象的授权信息;
这里的EI分配***在分配所述EI时会生成所述EI分配对象的授权信息,该授权信息通常包含所述EI分配对象的标识,以及公钥等。
步骤403、根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。
通常EI分配***在分配所述EI也会将所述授权信息下发给所述EI分配对象。当所述授权信息包含公钥时,还可以将该公钥对应的私钥也下发给所述EI分配对象。在所述EI分配对象发起接入认证请求时,可以用所述私钥对该接入认证请求进行签名,这样步骤303中可以根据从EI分配***获得的所述EI分配对象的授权信息中的公钥对该接入认证请求进行签名验证,若验证通过则确认该网络接入实体的身份,允许其接入网络,若验证不通过则拒绝该网络接入实体接入网络。可选地,所述EI分配对象也可以在所述接入认证请求中携带自身的标识,步骤403中可以根据从EI分配***获得的所述EI分配对象的授权信息中的EI分配对象的标识对该接入认证请求中的网络接入实体的标识进行比对,若一致则确认该网络接入实体的身份,允许其接入网络,若不一致则拒绝该网络接入实体接入网络。本实施例对此不作限定。
在本发明的一个可选的实施例中,步骤402具体可以包括:
从所述网络接入实体获取所述网络接入实体的授权信息;
解析所述网络接入实体的授权信息,确定分配所述EI的叶子EI分配节点;
所述叶子EI分配节点对应的叶子EI信息服务器获取用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息。
这里网络接入实体的授权信息包含给所述网络接入实体分配所述EI的分配者的标识,根据EI分配***的架构,给网络接入实体分配EI的通常是叶子EI分配节点。应用中,网络接入实体还可以将其授权信息包含在接入认证请求中,本实施例对此不作限定。
在本发明的又一可选的实施例中,步骤402具体可以包括:
向EI信息根服务器查询所述EI分配对象的授权信息;
接收所述EI信息根服务器返回的所述EI分配根节点的下一级EI分配节点的授权信息,所述下一级EI分配节点的可分配EI资源包含所述EI;
向所述下一级EI分配节点对应的下一级EI信息服务器查询所述EI分配对象的授权信息,直至接收到所述叶子EI分配节点的上一级EI分配节点对应的上一级EI信息服务器返回的所述叶子EI分配节点的授权信息;
从所述叶子EI分配节点对应的叶子EI信息服务器获取用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息。
上述场景下,接入认证服务器根据所述网络接入实体的EI直接向EI分配***逐级查询获得所述EI分配对象的授权信息。上述过程可以参照本发明实施例提供的一种基于EI分配***的溯源方法实施例。
在本发明的又一可选的实施例中,获得用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息之后,步骤403之前还可以包括:
若所述叶子EI分配节点在信任列表中,则从所述信任列表获取所述叶子EI分配节点的公钥,所述信任列表包含至少一个信任的EI分配节点以及对应的公钥,所述EI分配节点为EI分配根节点、中间级EI分配节点或叶子EI分配节点。
这里的信任列表包含接入认证服务器信任的EI分配节点的标识及其对应的公钥,可选地还包括信任的EI分配节点对应的EI信息服务器的寻址信息,EI分配节点包含EI分配根节点、中间级EI分配节点或叶子EI分配节点。通常该信任列表至少包含EI分配根节点的标识,若某个网络接入实体/EI分配节点的授权信息中显示其EI/EI资源的分配者是EI分配根节点,而这个EI分配根节点并不在信任列表中,则说明该授权信息中的EI分配根节点是伪造的,则验证失败。
可选地,若所述叶子EI分配节点不在所述信任列表中,则确定所述叶子EI分配节点的上一级EI分配节点;
若所述上一级EI分配节点在所述信任列表中,则从所述信任列表获取所述上一级EI分配节点的公钥,并从所述上一级EI分配节点对应的上一级EI信息服务器获取用所述上一级EI分配节点的私钥签名过所述叶子EI分配节点的授权信息;
根据所述上一级EI分配节点的公钥对用所述上一级EI分配节点的私钥签名过的所述叶子EI分配节点的授权信息进行签名验证;
验证通过后,解析所述叶子EI分配节点的授权信息,确定所述叶子EI分配节点的公钥。
这里,若所述叶子EI分配节点不在所述信任列表中,还可以主动向所述叶子EI分配节点对应的叶子EI信息服务器查询所述叶子EI分配节点的授权信息,或者采用类似于本发明实施例提供的一种基于EI分配***的溯源方法实施例所述的方法从信任的EI分配根节点逐级溯源获得所述叶子EI分配节点的授权信息,然后根据所述叶子EI分配节点的授权信息中的分配者字段,确定所述叶子EI分配节点的上一级EI分配节点。本实施例对此不作限定。
需要说明的是,应用中可能会经过多个上一级的逐级验证直至验证到信任的EI分配节点,本实施例对此不作限定。另外,由于EI分配根节点是信任的EI分配节点,因此若所述上一级EI分配节点不在所述信任列表中,还可以包括:
确定所述上一级EI分配节点是否为EI分配根节点,若为EI分配根节点且所述EI分配根节点不在所述信任列表中,则验证不通过,结束。
进一步地,当上述逐级验证通过后,还可以将原本不在信任列表中但此次验证通过的EI分配节点加入到所述信任列表中,则所述验证通过后还包括:
将所述叶子EI分配节点加入到所述信任列表中。
在本发明的又一可选的实施例中,所述接入认证请求还包含所述网络接入实体的私钥对所述接入认证请求的签名,在获得所述叶子EI分配节点的公钥之后,步骤403具体可以包括:
根据所述叶子EI分配节点的公钥对用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息进行签名验证;
验证通过后,解析所述EI分配对象的授权信息,确定所述EI分配对象的公钥;
根据所述EI分配对象的公钥对所述接入认证请求进行签名验证。
另外,所述EI分配对象的授权信息还可以包括所述EI的有效期,这种场景下,还包括:
对所述接入认证请求的签名验证通过后,根据所述EI的有效期对所述接入认证请求进行有效期验证。
本实施例采用了接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的EI,从所述EI分配***获取所述EI分配对象的授权信息,根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证的技术手段,可以基于EI分配***分配EI时生成的授权信息对网络接入实体进行接入认证,实现了对用户地址真实性的验证。
图5为本发明实施例提供的一种接入认证服务器实施例的结构示意图。该接入认证服务器与本发明实施例提供的一种EI分配***实施例所述的***交互,如图5所示,该服务器包括:
接收模块51,用于接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的EI;
获取模块52,用于从所述EI分配***获取所述EI分配对象的授权信息;
认证模块53,用于根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证。
本实施例的具体实现参照本发明提供的一种基于EI分配***的接入认证实施例。本实施例采用了接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的EI,从所述EI分配***获取所述EI分配对象的授权信息,根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证的技术手段,可以基于EI分配***分配EI时生成的授权信息对网络接入实体进行接入认证,实现了对用户地址真实性的验证。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于实体标识符分配***的接入认证方法,其特征在于,包括:
接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的实体标识符EI;
从所述EI分配***获取所述EI分配对象的授权信息;
根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证;
其中,所述EI分配***,包括:树状连接的实体标识符EI分配根节点、中间级EI分配节点和叶子EI分配节点;
所述EI分配根节点,用于对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
所述中间级EI分配节点,用于向上一级EI分配节点请求分配EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
所述叶子EI分配节点,用于向上一级EI分配节点请求EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI的网络接入实体进行身份验证,验证通过后向所述网络接入实体分配EI以使所述网络接入实体根据所述EI生成IP地址,生成所述网络接入实体的授权信息。
2.根据权利要求1所述的方法,其特征在于,所述从所述EI分配***获取所述EI分配对象的授权信息具体包括:
从所述网络接入实体获取所述网络接入实体的授权信息;
解析所述网络接入实体的授权信息,确定分配所述EI的叶子EI分配节点;
从所述叶子EI分配节点对应的叶子EI信息服务器获取用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息;
其中,所述EI分配***还包括:EI信息根服务器、中间级EI信息服务器和叶子EI信息服务器;
所述EI信息根服务器,与所述EI分配根节点对应,用于存储所述EI分配根节点的EI资源分配对象的授权信息,所述EI分配根节点的EI资源分配对象的授权信息包括EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和所述EI分配根节点的标识;
所述中间级EI信息服务器,与所述中间级EI分配节点一一对应,用于存储对应的中间级EI分配节点的EI资源分配对象的授权信息,所述中间级EI分配节点的EI资源分配对象的授权信息包括所述EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和所述中间级EI分配节点的标识;
所述叶子EI信息服务器,与所述叶子EI分配节点一一对应,用于存储对应的叶子EI分配节点的EI分配对象的授权信息,所述叶子EI分配节点的EI分配对象的授权信息包括所述EI分配对象分配得到的EI,所述EI分配对象的身份信息、公钥,所述叶子EI分配节点的标识;
所述EI分配根节点具体用于,验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的授权信息和私钥,并将所述下一级EI分配节点的授权信息发送给所述EI信息根服务器;
所述中间级EI分配节点具体用于,接收上一级EI分配节点发送的所述中间级EI分配节点的授权信息和私钥,并在验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的私钥,并将所述下一级EI分配节点的授权信息发送给对应的中间级EI信息服务器;
所述叶子EI分配节点具体用于,接收上一级EI分配节点发送的所述叶子EI分配节点的授权信息和私钥,并在验证通过后向所述网络接入实体发送所述网络接入实体的私钥,并将所述网络接入实体的授权信息发送给对应的叶子EI信息服务器。
3.根据权利要求1所述的方法,其特征在于,所述从所述EI分配***获取所述EI分配对象的授权信息具体包括:
向EI信息根服务器查询所述EI分配对象的授权信息;
接收所述EI信息根服务器返回的所述EI分配根节点的下一级EI分配节点的授权信息,所述下一级EI分配节点的可分配EI资源包含所述EI;
向所述下一级EI分配节点对应的下一级EI信息服务器查询所述EI分配对象的授权信息,直至接收到所述叶子EI分配节点的上一级EI分配节点对应的上一级EI信息服务器返回的所述叶子EI分配节点的授权信息;
从所述叶子EI分配节点对应的叶子EI信息服务器获取用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息;
其中,所述EI分配***还包括:EI信息根服务器、中间级EI信息服务器和叶子EI信息服务器;
所述EI信息根服务器,与所述EI分配根节点对应,用于存储所述EI分配根节点的EI资源分配对象的授权信息,所述EI分配根节点的EI资源分配对象的授权信息包括EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和所述EI分配根节点的标识;
所述中间级EI信息服务器,与所述中间级EI分配节点一一对应,用于存储对应的中间级EI分配节点的EI资源分配对象的授权信息,所述中间级EI分配节点的EI资源分配对象的授权信息包括所述EI资源分配对象分配得到的EI资源的标识,所述EI资源分配对象的标识、公钥,所述EI资源分配对象对应的EI信息服务器的标识和所述中间级EI分配节点的标识;
所述叶子EI信息服务器,与所述叶子EI分配节点一一对应,用于存储对应的叶子EI分配节点的EI分配对象的授权信息,所述叶子EI分配节点的EI分配对象的授权信息包括所述EI分配对象分配得到的EI,所述EI分配对象的身份信息、公钥,所述叶子EI分配节点的标识;
所述EI分配根节点具体用于,验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的授权信息和私钥,并将所述下一级EI分配节点的授权信息发送给所述EI信息根服务器;
所述中间级EI分配节点具体用于,接收上一级EI分配节点发送的所述中间级EI分配节点的授权信息和私钥,并在验证通过后向所述下一级EI分配节点发送所述下一级EI分配节点的私钥,并将所述下一级EI分配节点的授权信息发送给对应的中间级EI信息服务器;
所述叶子EI分配节点具体用于,接收上一级EI分配节点发送的所述叶子EI分配节点的授权信息和私钥,并在验证通过后向所述网络接入实体发送所述网络接入实体的私钥,并将所述网络接入实体的授权信息发送给对应的叶子EI信息服务器。
4.根据权利要求2或3所述的方法,所述根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证之前还包括:
若所述叶子EI分配节点在信任列表中,则从所述信任列表获取所述叶子EI分配节点的公钥,所述信任列表包含至少一个信任的EI分配节点以及对应的公钥,所述EI分配节点为EI分配根节点、中间级EI分配节点或叶子EI分配节点。
5.根据权利要求2或3所述的方法,其特征在于,所述根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证之前还包括:
若所述叶子EI分配节点不在所述信任列表中,则确定所述叶子EI分配节点的上一级EI分配节点;
若所述上一级EI分配节点在所述信任列表中,则从所述信任列表获取所述上一级EI分配节点的公钥,并从所述上一级EI分配节点对应的上一级EI信息服务器获取用所述上一级EI分配节点的私钥签名过所述叶子EI分配节点的授权信息;
根据所述上一级EI分配节点的公钥对用所述上一级EI分配节点的私钥签名过的所述叶子EI分配节点的授权信息进行签名验证;
验证通过后,解析所述叶子EI分配节点的授权信息,确定所述叶子EI分配节点的公钥。
6.根据权利要求5所述的方法,其特征在于,所述验证通过后还包括:
将所述叶子EI分配节点加入到所述信任列表中。
7.根据权利要求4-6任一所述的方法,其特征在于,所述接入认证请求还包含所述网络接入实体的私钥对所述接入认证请求的签名,所述根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证具体包括:
根据所述叶子EI分配节点的公钥对用所述叶子EI分配节点的私钥签名过的所述EI分配对象的授权信息进行签名验证;
验证通过后,解析所述EI分配对象的授权信息,确定所述EI分配对象的公钥;
根据所述EI分配对象的公钥对所述接入认证请求进行签名验证。
8.根据权利要求7所述的方法,其特征在于,所述EI分配对象的授权信息还包括所述EI的有效期,还包括:
对所述接入认证请求的签名验证通过后,根据所述EI的有效期对所述接入认证请求进行有效期验证。
9.根据权利要求5所述的方法,其特征在于,还包括:
若所述上一级EI分配节点不在所述信任列表中,确定所述上一级EI分配节点是否为EI分配根节点,若为EI分配根节点且所述EI分配根节点不在所述信任列表中,则验证不通过,结束。
10.一种接入认证服务器,其特征在于,与实体标识符EI分配***交互,包括:
接收模块,用于接收网络接入实体发送的接入认证请求,所述接入认证请求的源IP地址包含所述网络接入实体的实体标识符EI;
获取模块,用于从所述EI分配***获取所述EI分配对象的授权信息;
认证模块,用于根据所述EI分配对象的授权信息对所述网络接入实体进行接入认证;
其中,所述EI分配***,包括:树状连接的实体标识符EI分配根节点、中间级EI分配节点和叶子EI分配节点;
所述EI分配根节点,用于对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
所述中间级EI分配节点,用于向上一级EI分配节点请求分配EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI资源的下一级EI分配节点进行身份验证,验证通过后向所述下一级EI分配节点分配EI资源,生成所述下一级EI分配节点的授权信息;
所述叶子EI分配节点,用于向上一级EI分配节点请求EI资源,并在分配得到所述上一级EI分配节点分配的EI资源后,对请求分配EI的网络接入实体进行身份验证,验证通过后向所述网络接入实体分配EI以使所述网络接入实体根据所述EI生成IP地址,生成所述网络接入实体的授权信息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110210819.7A CN102255983B (zh) | 2011-07-26 | 2011-07-26 | 实体标识符分配***、溯源、认证方法及服务器 |
| PCT/CN2011/083696 WO2013013479A1 (zh) | 2011-07-26 | 2011-12-08 | 实体标识符分配***、溯源、认证方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110210819.7A CN102255983B (zh) | 2011-07-26 | 2011-07-26 | 实体标识符分配***、溯源、认证方法及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102255983A CN102255983A (zh) | 2011-11-23 |
| CN102255983B true CN102255983B (zh) | 2014-03-05 |
Family
ID=44982972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110210819.7A Active CN102255983B (zh) | 2011-07-26 | 2011-07-26 | 实体标识符分配***、溯源、认证方法及服务器 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102255983B (zh) |
| WO (1) | WO2013013479A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255983B (zh) * | 2011-07-26 | 2014-03-05 | 中国科学院计算机网络信息中心 | 实体标识符分配***、溯源、认证方法及服务器 |
| CN104283953B (zh) * | 2014-09-30 | 2017-08-11 | 清华大学 | 一种位置信息共享***及共享方法 |
| CN106454935B (zh) * | 2016-08-25 | 2020-04-14 | 广州中国科学院计算机网络信息中心 | M2m***中物品溯源信息发布、发现方法和*** |
| CN108259326B (zh) * | 2016-12-29 | 2020-06-26 | 华为技术有限公司 | 路由表更新方法、装置、分配节点以及叶报文转发设备 |
| CN109714444A (zh) * | 2018-12-04 | 2019-05-03 | 中国电子技术标准化研究院 | 一种注册管理的方法、***及节点 |
| CN112036909A (zh) * | 2020-08-25 | 2020-12-04 | 重庆邮电大学 | 基于IPv6虚拟连接的产品信息追溯***及方法 |
| CN114448936B (zh) * | 2022-01-28 | 2023-10-20 | 广州根链国际网络研究院有限公司 | 一种基于IPv6可编码可溯源的网络传输规则验证方法 |
| CN115987940B (zh) * | 2022-12-05 | 2024-04-19 | 中国联合网络通信集团有限公司 | 一种电信标识方法、装置及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1359574A (zh) * | 1999-07-06 | 2002-07-17 | 松下电器产业株式会社 | 用于可伸缩的安全组通信的双重加密协议 |
| US6629243B1 (en) * | 1998-10-07 | 2003-09-30 | Nds Limited | Secure communications system |
| CN101426201A (zh) * | 2008-12-16 | 2009-05-06 | 北京工业大学 | 无线Mesh网络中安全有效的即时认证方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101210339B1 (ko) * | 2006-10-10 | 2012-12-18 | 삼성전자주식회사 | 트리 구조에서의 노드 식별자 생성 방법 |
| CN101707763B (zh) * | 2009-12-03 | 2012-10-17 | 常熟理工学院 | 一种无线传感器网络IPv6地址自动配置的实现方法 |
| CN101707764B (zh) * | 2009-12-03 | 2011-12-07 | 常熟理工学院 | 下一代全ip无线传感器网络的实现方法 |
| CN102014377B (zh) * | 2011-01-06 | 2012-11-28 | 常熟理工学院 | 基于分布式的无线传感器网络IPv6地址配置实现方法 |
| CN102255983B (zh) * | 2011-07-26 | 2014-03-05 | 中国科学院计算机网络信息中心 | 实体标识符分配***、溯源、认证方法及服务器 |
-
2011
- 2011-07-26 CN CN201110210819.7A patent/CN102255983B/zh active Active
- 2011-12-08 WO PCT/CN2011/083696 patent/WO2013013479A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6629243B1 (en) * | 1998-10-07 | 2003-09-30 | Nds Limited | Secure communications system |
| CN1359574A (zh) * | 1999-07-06 | 2002-07-17 | 松下电器产业株式会社 | 用于可伸缩的安全组通信的双重加密协议 |
| CN101426201A (zh) * | 2008-12-16 | 2009-05-06 | 北京工业大学 | 无线Mesh网络中安全有效的即时认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013013479A1 (zh) | 2013-01-31 |
| CN102255983A (zh) | 2011-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255983B (zh) | 实体标识符分配***、溯源、认证方法及服务器 | |
| CN106851632B (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN110800331B (zh) | 网络验证方法、相关设备及*** | |
| CN102761630B (zh) | 一种面向真实用户身份信息的IPv6地址分配方法 | |
| CN109413228B (zh) | 基于区块链域名***的IPv6生成方法和*** | |
| US8630420B2 (en) | Method for auto-configuration of a network terminal address | |
| US7962584B2 (en) | Usage of host generating interface identifiers in DHCPv6 | |
| CN101960814B (zh) | Ip地址委派 | |
| CN109714447B (zh) | 基于区块链域名***的域名生成方法和*** | |
| CN101867625B (zh) | 一种分配IPv6地址的方法以及家庭网关 | |
| CN101924801B (zh) | Ip地址管理方法和***、动态主机配置协议服务器 | |
| CN102255916A (zh) | 接入认证方法、设备、服务器及*** | |
| TW201838374A (zh) | 將分級裝置證書中之唯一裝置識別符表示為完全合格域名 | |
| CN109688243B (zh) | 基于可信身份标识的传感节点IPv6地址分配方法 | |
| CN103780711A (zh) | 接入类型智能判定的地址分配方法、***及aaa*** | |
| US20110099370A1 (en) | Method, apparatus, and system for processing dynamic host configuration protocol message | |
| CN103051643B (zh) | 云计算环境下虚拟主机安全连接动态建立方法与*** | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN102857517B (zh) | 认证方法、宽带远程接入服务器以及认证服务器 | |
| CN115460175B (zh) | 一种IPv6地址生成方法、装置、电子设备及存储介质 | |
| CN111866201A (zh) | IPv6组播地址的生成方法和装置 | |
| CN105592180A (zh) | 一种Portal认证的方法和装置 | |
| CN106535089A (zh) | 机器对机器虚拟私有网络 | |
| Li et al. | Secure DHCPv6 mechanism for DHCPv6 security and privacy protection | |
| US20150264010A1 (en) | Internet protocol version 6 address configuration method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210207 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No. four, four South Street, Haidian District, Beijing, Zhongguancun Patentee before: Computer Network Information Center, Chinese Academy of Sciences |