专利名称::IPv6地址的结构、分配及溯源的方法和装置的制作方法
技术领域:
:本发明涉及IPv6网络,特别是涉及一种IPv6地址的结构、分配方法及装置、以及溯源方法及装置。
背景技术:
:与传统的面向连接的电路交换网络相比,无连接的IP分组网络在网络溯源方面能力较弱,主要原因有以下两点IP分组网络在报文的转发过程中,只检查目的地址,依据目的地址转发,而不去检验源地址是不是发送者的真实IP地址。主机通常是通过动态方式获得IP地址,相同的IP地址可能会分配给不同的主机终端,因此无法将IP地址与主机进行静态绑定。上述原因导致在IP网络中存在大量的DDoS攻击(DistributionDenialofservice,分布式拒绝服务攻击),垃圾邮件泛滥等现象。因此需要对现有的IP网络技术进行改造,使得网络具有溯源能力,能够追溯到DDoS攻击或是垃圾邮件等有害信息的源头,起到一定的威慑作用。与IPv4网络相比,尽管IPv6网络能够提供一个更大的地址空间,可以为每一个终端分配一个IPv6地址。但实际上,当终端附连的网络发生变化时,网络前缀通常也跟着变化,这样如果采用静态的地址分配方式,就需要通过移动IP技术来解决终端的漫游问题。考虑到实现上的复杂度,以及网络切换、转发效率等因素,大规模的部署移动IP是不可行的。而且,在运营商的商业运营中,都是通过动态地址分配机制来为主机分配地址,并与计费系统进行关联。在RFC4291中,定义了三种类型的IPv6地址,即单播地址、组播地址和任意播地址。IPv6的地址结构可以分为子网前缀和接口标识两部分,如图l所示,其中子网前缀用于标识所连接的网络,而接口标识用于标识链路上的某一接口。对于大多数应用而言,主机都是采用单播地址来进行通信的,其地址结构通常由三部分组成,全局路由前缀、子网标识和接口标识。其中前64位(全局路由前缀+子网标识)是由连接的网络决定的,而后64位(接口标识)可以自动生成。目前主机IPv6地址可以通过两种方式获得,一种是静态配置模式,一种是动态配置模式,而动态配置模式又可以分为无状态的地址自动配置和有状态的地址自动配置。在RFC4291中建议,在无状态地址自动配置方式下,接口标识可以通过EUI64(IEEE定义的一种基于64位的扩展惟一标示符)转换算法得到,即由48位MAC地址转换生成。采用有状态地址自动配置方式下,IPv6地址(包括接口标识)是由DHCP服务器分配的,接口标识中并未明确包含主机用户的标识信息。因此,需要在采用有状态自动配置方式时建立一种IPv6地址网络溯源机制,包括IPv6地址的分配和对IPv6源地址的溯源。
发明内容针对现有技术中存在的缺陷和不足,本发明的目的是提出一种内嵌用户身份信息的IPv6编址方案以及地址分配方法和装置,以及与该分配方法对应的IPv6网络源地址的溯源方法及装置。为了达到上述目的,本发明提出了一种IPv6地址结构,包括网络前缀和接口标识,所述网络前缀由主机所连网络决定,所述接口标识是对记录用户标识信息的比特位使用非对称加密算法得到的;并且,所述网络前缀或所述接口标识中还包括用于标识采用的加密算法、用户标识信息类别等信息的预定比特位。作为上述技术方案的优选,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。本发明还提出一种IPv6地址分配方法,包括步骤1:DHCP中继代理接收主机发送的请求信息,并通过AAA服务器获取与所述主机相关的用户标识信息,然后将所述请求信息以及所述用户标识信息发送到DHCP服务器;步骤2:所述DHCP服务器采用有状态地址自动配置模式为所述主机分配IPv6地址,其中,所述IPv6地址由网络前缀和接口标识组成所述网络前缀由DHCP服务器根据主机所连网络为主机分配;所述接口标识用于记录所述用户标识信息,生成接口标识时对记录所述用户标识信息的比特位采用非对称加密算法进行加密;使用所述网络前缀或所述接口标识中的预定比特位来标识采用的加密算法、用户信息类别等信息。作为上述技术方案的优选,还包括步骤在网络边界路由器上启用反向路径检查功能,或在边界路由器上启用动态ACL机制。作为上述技术方案的优选,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。本发明还提出一种IPv6地址溯源方法,所述IPv6地址是采用上述方法分配得到;通过非对称加密算法使用私钥和所述IPv6地址的接口标识部分进行解密运算得到用户标识信息,根据所述用户标识信息得到主机用户信息。本发明还提出一种DHCP中继代理,包括第一接收模块,用于接收主机发送的请求信息;获取用户标识信息模块,用于通过AAA服务器获取与所述主机相关的用户标识信息;第一发送模块,用于将所述请求信息以及所述用户标识信息发送到DHCP服务器,使DHCP服务器根据所述用户标识信息为所述主机分配IPv6地址。本发明还提出一种DHCP服务器,包括IPv6地址分配装置,所述IPv6地址分配装置包括第二接收模块,用于接收DHCP中继代理发送的请求信息以及用户标识信息,其中,所述请求信息是由主机发送给所述DHCP中继代理;地址分配模块,用于采用有状态地址自动配置模式为所述主机分配IPv6地址,所述地址分配模块进一步包括生成网络前缀单元,用于根据主机所连网络分配网络前缀;生成接口标识单元,用于对记录所述用户标识信息的比特位进行加密后生成接口标识;其中,所述网络前缀单元和所述接口标识中还包括标识采用的加密算法、用户信息类别等信息的预定比特位;第二发送模块,用于将所述IPv6地址发送给所述主机。作为上述技术方案的优选,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。本发明还提出一种IPv6地址溯源装置,所述IPv6地址是采用如权利要求8所述的DHCP服务器分配得到的;包括解密模块,用于通过非对称加密算法、私钥和所述IPv6地址的接口标识部分进行解密运算得到用户标识信息,根据所述用户标识信息得到主机用户信息。本发明提出的上述方法和装置,利用在分配IPv6地址时加入具有标识作用的用户标识信息,然后在溯源时根据该用户标识信息来找到源地址对应的主机,解决了IPv6网络溯源的问题。下面结合附图,对本发明的具体实施方式作进一步的详细说明。对于所属
技术领域:
的技术人员而言,从对本发明的详细说明中,本发明的上述和其他目的、特征和优点将显而易见。图1为现有技术IPv6地址结构示意图;图2为本发明提出的IPv6地址结构的优选实施例的示意图;图3为本发明提出的IPv6地址分配方法的优选实施例的示意图;图4为本发明提出的DHCP服务器包含的分配装置的优选实施例的示意图;图5为本发明提出的IPv6地址溯源方法的具体实施例的示意图。具体实施例方式—种内嵌用户信息的IPv6地址结构,包括网络前缀和接口标识,所述网络前缀由主机所连网络决定,所述接口标识是对记录用户标识信息的比特位使用非对称加密算法得到;并且,所述网络前缀或所述接口标识中还包括用于标识采用的加密算法、用户标识信息类别等信息的预定比特位。其中,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。优选实施例如图2所示是将IPv6地址的128比特分为两个部分前64个比特为网络前缀,由主机所连接的网络决定;后64个比特为接口标识,用于记录用户标识信息,如手机的IMIS号码、固定电话号码、MAC地址等。并且,为了保护用户标识信息的隐私,在生成后64位的接口标识时对记录用户标识信息的比特位采用公钥进行加密;在接口标识即后64个比特中预定n个特位来标识采用的加密算法、用户信息类别等信息,即接口标识中剩余的(64-n)个比特来记录用户标识信息。当然,也可以在网络前缀即前64个比特中预定n个比特位来标识采用的加密算法、用户信息类别等信息,后64个比特全部用来记录用户标识信息。其中,n的取值可以规定为1<=n<=4。本发明提出的一种IPv6地址分配方法的优选实施例,包括步骤1:DHCP中继代理接收主机发送的请求信息,并通过AAA服务器获取与所述主机相关的用户标识信息,然后将所述请求信息以及所述用户标识信息发送到DHCP服务器;步骤2:所述DHCP服务器采用有状态地址自动配置模式为所述主机分配IPv6地址,其中,所述IPv6地址由网络前缀和接口标识组成所述网络前缀由DHCP服务器根据主机所连网络为主机分配;所述接口标识用于记录所述用户标识信息,生成接口标识时对记录所述用户标识信息的比特位采用非对称加密算法进行加密;使用所述网络前缀或所述接口标识中的预定比特位来标识采用的加密算法、用户信息类别等信息。更具体地,如图3所示,包括步骤1:由用户主机即客户端(Client)向DHCP中继代理(DHCPRelayAgent)发送Discover报文(发现报文即请求信息);步骤2:DHCP中继代理透传此Discover报文至DHCP服务器;步骤3:DHCP服务器向用户主机返回Offer报文(提供报文),所述Offer报文中包含DHCP服务器为客户端分配的IP地址;步骤4:客户端发送Request报文至DHCP中继代理;步骤5:DHCP中继代理在该Request报文中添加客户端的用户标识信息后将该报文发送至DHCP服务器;步骤6:DHCP服务器收到客户端发来的Request报文后,确认将IP地址分配给该客户端,返回客户端ACK报文(确认报文);该报文中就包括了IPv6主机地址,该主机地址由网络前缀和接口标识组成,所述网络前缀是由DHCP服务器根据主机所连网络为主机分配的,所述接口标识是根据所述用户标识信息并通过非对称加密算法生成的。此时,客户端与DHCP已建立起连接,可以开始进行数据交换。在上述实施例中生成的IPv6地址的接口标识中,还包括特定比特位表示的加密算法、用户标识信息类别等信息。例如如图2所示,IPv6地址的前64位用于标识网络前缀,后64位用于表示接口前缀,其中,可以指定nbits用于表示加密算法、用户标识信息的类别等信息,然后剩余的(64-n)bits用于记录用户标识信息,并通过加密算法进行加密。为保证IPv6源地址的真实性,还应在网络边界路由器上启用反向路径检查功能,或者是根据DHCP动态分配的地址在边界路由器上动态生成一个ACL表项,只有当源地址匹配ACL条件时才允许报文转发。而且,所述用户标识信息应当是具有唯一性、可根据其确定主机用户信息的信息。根据上述实施例分配的IPv6地址,本发明提出一种IPv6地址溯源方法,通过非对称加密算法使用私钥和所述IPv6地址的接口标识部分进行解密运算得到用户标识信息,根据所述用户标识信息得到主机用户信息。根据上述方法,相应地,本发明还提出一种用于该IPv6地址分配方法的DHCP中继代理和DHCP服务器。—种DHCP中继代理,包括第一接收模块,用于接收主机发送的请求信息;获取用户标识信息模块,用于通过AAA服务器获取与所述主机相关的用户标识信息;第一发送模块,用于将所述请求信息以及所述用户标识信息发送到DHCP服务器,使DHCP服务器根据所述用户标识信息为所述主机分配IPv6地址。—种DHCP服务器,包括IPv6地址分配装置,所述IPv6地址分配装置如图4所示,包括第二接收模块IOI,用于接收DHCP中继代理发送的请求信息以及用户标识信息,其中,所述请求信息是由主机发送给所述DHCP中继代理;地址分配模块102,用于采用有状态地址自动配置模式为所述主机分配IPv6地址,所述地址分配模块进一步包括生成网络前缀单元103,用于根据主机所连网络分配网络前缀;生成接口标识单元104,用于对记录所述用户标识信息的比特位进行加密后生成接口标识;其中,所述网络前缀单元和所述接口标识中还包括标识采用的加密算法、用户信息类别等信息的预定比特位;第二发送模块105,用于将所述IPv6地址发送给所述主机。其中,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。—种IPv6地址溯源装置,所述IPv6地址是采用上述DHCP服务器分配得到的;包括解密模块,用于通过非对称加密算法、私钥和所述IPv6地址的接口标识部分进行解密运算得到用户标识信息,根据所述用户标识信息得到主机用户信息。下面,通过一个具体实施例来更详细地说明本发明。以手机上网用户、ADSL宽带用户、LAN以太网用户以及WiFi用户为例,可以考虑用后64位中的4个比特位来标识用户标识信息的类别,而剩余的60个比特记录用户标识信息,如下表所示用户标识信息类别用户标识信息0000(预留)0001手机用户,IMSI号码0010ADSL宽带用户,固定电话号码0011LAN用户,MAC地址0100WiFi用户,MAC地址8<table>tableseeoriginaldocumentpage9</column></row><table>其中,IMSI号码共15位,可以使用60位表示。1、IPv6地址的分配(1)在发送给DHCP服务器的请求消息中,应包含必要的用户标识信息,例如手机上网用户,包含IMSI号码信息;ADSL宽带用户,包含固定电话号码信息;LAN以太网用户,包含MAC地址,接入交换机的端口号;WiFi用户,包含MAC地址,接入AP的标识信息。上述信息同时应记录在DHCP服务器的日志中。(2)在DHCP服务器端,根据主机所附连的网络分配前64位网络前缀,后64位接口标识部分由前4个比特(内嵌信息类别)和主机标识信息通过非对称加密算法运算自动生成,其中,手机用户,密钥+(用户标识信息类别,IMSI号码)运算得到;ADSL宽带用户,密钥+(用户标识信息类别,固定电话号码)运算得到;LAN以太网用户,密钥+(用户标识信息类别,MAC地址)运算得到;WiFi用户,密钥+(用户标识信息类别,MAC地址)运算得到。2、IPv6源地址的真实性为保证IPv6源地址的真实性,应在网络边界路由器上启用反向路径检查功能,或者是根据DHCP动态分配的地址在边界路由器上动态生成一个ACL表项,只有当源地址匹配ACL条件时才允许报文转发。3、源地址溯源,如图5所示根据IPv6源地址的后64位进行网络溯源,通过密钥和接口标识(后64位)进行逆向加密运算得到用户标识信息类别(前4个比特)和用户标识信息手机上网用户,得到用户IMSI号码,再根据IMSI号码信息得到用户其它相关信息;ADSL宽带用户,得到固定电话号码,再根据号码信息得到用户其它相关信息;LAN以太网用户,得到MAC地址,根据MAC地址检索DHCP日志对应到接入交换机的端口,然后再结合MAC地址以及其它相关信息定位到主机;WiFi用户,得到MAC地址,根据该MAC地址检索DHCP日志对应到接入的AP,然后再结合MAC地址以及其它相关信息定位到主机。应当注意的是,在应用本发明时,应在边界路由器上关闭路由前缀通告功能,以避免主机通过无状态的地址自动配置机制获得IPv6地址。虽然,本发明已通过以上实施例及其附图而清楚说明,然而在不背离本发明精神及其实质的情况下,所属
技术领域:
的技术人员当可根据本发明作出各种相应的变化和修正,但这些相应的变化和修正都应属于本发明的权利要求的保护范围。权利要求一种IPv6地址结构,包括网络前缀和接口标识,所述网络前缀由主机所连网络决定,其特征在于所述接口标识是对记录用户标识信息的比特位使用非对称加密算法得到的;并且,所述网络前缀或所述接口标识中还包括用于标识采用的加密算法、用户标识信息类别等信息的预定比特位。2.根据权利要求1所述的IPv6地址结构,其特征在于,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。3.—种IPv6地址分配方法,其特征在于,包括步骤1:DHCP中继代理接收主机发送的请求信息,并通过AAA服务器获取与所述主机相关的用户标识信息,然后将所述请求信息以及所述用户标识信息发送到DHCP服务器;步骤2:所述DHCP服务器采用有状态地址自动配置模式为所述主机分配IPv6地址,其中,所述IPv6地址由网络前缀和接口标识组成所述网络前缀由DHCP服务器根据主机所连网络为主机分配;所述接口标识用于记录所述用户标识信息,生成接口标识时对记录所述用户标识信息的比特位采用非对称加密算法进行加密;使用所述网络前缀或所述接口标识中的预定比特位来标识采用的加密算法、用户信息类别等信息。4.根据权利要求3所述的IPv6地址分配方法,其特征在于,还包括步骤在网络边界路由器上启用反向路径检查功能,或在边界路由器上启用动态ACL机制。5.根据权利要求3所述的IPv6地址分配方法,其特征在于,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。6.—种IPv6地址溯源方法,其特征在于,所述IPv6地址是采用如权利要求2所述的方法分配得到的;通过非对称加密算法使用私钥和所述IPv6地址的接口标识部分进行解密运算得到用户标识信息,根据所述用户标识信息得到主机用户信息。7.—种DHCP中继代理,其特征在于,包括第一接收模块,用于接收主机发送的请求信息;获取用户标识信息模块,用于通过AAA服务器获取与所述主机相关的用户标识信息;第一发送模块,用于将所述请求信息以及所述用户标识信息发送到DHCP服务器,使DHCP服务器根据所述用户标识信息为所述主机分配IPv6地址。8.—种DHCP服务器,其特征在于,包括IPv6地址分配装置,所述IPv6地址分配装置包括第二接收模块,用于接收DHCP中继代理发送的请求信息以及用户标识信息,其中,所述请求信息是由主机发送给所述DHCP中继代理;地址分配模块,用于采用有状态地址自动配置模式为所述主机分配IPv6地址,所述地址分配模块进一步包括生成网络前缀单元,用于根据主机所连网络分配网络前缀;生成接口标识单元,用于对记录所述用户标识信息的比特位进行加密后生成接口标识;其中,所述网络前缀单元或所述接口标识中还包括标识采用的加密算法、用户信息类别等信息的预定比特位;第二发送模块,用于将所述IPv6地址发送给所述主机。9.根据权利要求8所述的DHCP服务器,其特征在于,所述用户标识信息是具有唯一性、可根据其确定主机用户信息的信息。10.—种IPv6地址溯源装置,其特征在于,所述IPv6地址是采用如权利要求8所述的DHCP服务器分配得到的;包括解密模块,用于通过非对称加密算法、私钥和所述IPv6地址的接口标识部分进行解密运算得到用户标识信息,根据所述用户标识信息得到主机用户信息。全文摘要本发明涉及IPv6地址的结构、分配及溯源的方法和装置,结构包括网络前缀和接口标识,接口标识是对记录用户标识信息的比特位使用非对称加密算法得到的;并且,所述网络前缀或所述接口标识中还包括用于标识采用的加密算法、用户标识信息类别等信息的预定比特位。在溯源时,对接口标识中加密的比特位采用私钥进行解密运算,得到用户信息。本发明利用在分配地址时加入具有标识作用的用户标识信息,然后在溯源时根据该用户标识信息来找到源地址对应的主机,解决了IPv6网络溯源的问题。文档编号H04L29/06GK101710906SQ20091024363公开日2010年5月19日申请日期2009年12月18日优先权日2009年12月18日发明者何宝宏,刘述,徐贵宝,曹蓟光,田辉,蒋晓琳,赵锋,马军锋申请人:工业和信息化部电信传输研究所