ID解析模块、NID和密码转发模块、NID查询模块、MAC查询模块和用户网络身份标识处理模块;
[0047]NID和MAC地址解析模块,用于存储密钥信息表,所述密钥信息表包含:IPv6地址前缀、管理域代码、加密算法密钥、密钥生成时间,根据IPv6地址的前64位确定密钥,对IPv6地址后64位解密,解析出该IPv6地址对应的NID、MAC地址和时间信息;
[0048]NID和密码转发模块,用于根据所述NID解析模块解析到的NID确定所属管理域,将NID和密码转发给NID所属管理域的NID管理服务器;
[0049]NID查询模块,用于向所述NID和MAC地址解析模块解析到的NID所属管理域的NID管理服务器发送查询所述NID的请求,并接收NID所属管理域的NID管理服务器返回的所述NID对应的用户网络身份标识;
[0050]MAC查询模块,用于将所述NID和MAC地址解析模块解析到的MAC地址的哈希码发送给解析到的NID所属管理域的NID管理服务器,并向该NID管理服务器发送查询所述MAC地址的哈希码的请求,并接收该NID管理服务器返回的MAC地址;用户网络身份标识和MAC地址处理模块,用于将所述用户网络身份标识和MAC地址发送给NID追溯客户端;及
[0051]所述NID追溯客户端,用于获取网络管理员输入的待查询IPv6地址,将所述待查询IPv6地址发送给NID追溯服务器,并接收NID追溯服务器返回的所述待查询IPv6地址对应的用户网络身份标识和MAC地址。
[0052]由上述技术方案可知,本发明提供的跨多管理域的追溯系统,可以追溯每一个IPv6地址对应网络用户网络身份标识,配置简单,便于运营商部署。
【附图说明】
[0053]图1为本发明实施例提供的跨多管理域的追溯系统的结构示意图;
[0054]图2为本发明第一实施例提供的使用跨多管理域的追溯系统的信令原理示意图;
[0055]图3为本发明第二实施例提供的使用跨多管理域的追溯系统的信令原理示意图。
【具体实施方式】
[0056]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本发明保护的范围。
[0057]本发明的目标是生成嵌入(可扩展)用户网络身份标识的IPv6地址,实现网络中的多个管理域之间的用户网络身份标识的管理和溯源。
[0058]本系统的实现基于以下三种方法:
[0059]一、一种(可扩展的)用户网络身份标识(Network Identity,简称NID)方法,该方法将用户的网络身份嵌入到一个字符串中,用户的网络身份标识和字符串一一对应。在该方法中,不同的管理域对应不同的字符串段,具有良好的层次性。该方法能够融合其他的标识用户网络身份的方案,具有良好的可扩展性。另外,该方法能够保证不泄露公民的隐私,具有良好的私密性。
[0060]二、一种嵌入(可扩展)用户网络身份标识和时间信息的IPv6地址生成方法,该方法将所述可扩展的用户网络身份标识和时间信息嵌入到IPv6地址中,由该方法生成的任何一个IPv6地址都可以追溯到其对应用户的网络身份标识和时间信息。同时,该IPv6地址由用户网络身份标识和时间信息加密后得到,具有良好的私密性。
[0061]三、一种嵌入(可扩展)用户网络身份标识和MAC地址的IPv6地址生成方法,该方法将所述可扩展的用户网络身份标识、媒体访问控制(Media/Medium Access Control,简称MAC)地址和时间信息嵌入到IPv6地址中,由该方法生成的任何一个IPv6地址都可以追溯到其对应用户的网络身份标识、MAC地址和时间信息。同时,该IPv6地址由用户网络身份标识、MAC地址和时间信息加密后得到,具有良好的私密性。
[0062]管理域是指具有统一管理的标识和认证方案,统一管理的地址分配策略的地理概念。某一管理域内可以有多个自治域,某一自治域内也可以有多个管理域。本发明所提出的方法的思路在于在多个管理域中间增加一个可信任的第三方NID追溯服务器,在各个管理域内增加一个NID管理服务器,并改变管理域内地址生成服务器的功能,通过三种服务器之间地协作实现嵌入可扩展用户网络身份标识的IPv6地址的生成,以及跨多管理域的用户网络身份标识的管理和追溯。
[0063]第一实施例
[0064]图1示出了本发明实施例提供的跨多管理域的追溯系统的结构示意图,如图1所示,本实施例的跨多管理域的追溯系统,包括:NID客户端、NID追溯客户端、NID追溯服务器、NID管理服务器和地址生成服务器;
[0065]网络中有多个不同的管理域,每个管理域内有一个NID管理服务器,所述NID管理服务器与其所属管理域内NID客户端连接;
[0066]每个管理域内有一个或多个地址生成服务器,每个地址生成服务器与其所属管理域内的NID管理服务器、NID客户端分别连接;
[0067]所有管理域共享一个NID追溯服务器,所述NID追溯服务器与NID追溯客户端、各个管理域内的NID管理服务器分别连接。
[0068]可理解的是,本实施例的NID追溯服务器是通过IPv6网络与各个管理域内的NID管理服务器连接的。
[0069]可理解的是,本实施例的地址生成服务器为动态主机配置协议(Dynamic HostConfigurat1n Protocol,简称DHCP)地址生成服务器,每个地址生成服务器都与本管理域内的NID管理服务器相连,也通过IPv6网络与管理域内的主机(NID客户端安装在主机上)相连。当某个主机所在的网段没有DHCP地址生成服务器时,该NID客户端主机通过动态主机配置协议中继代理DHCP relay agent连接其他网段的DHCP地址生成服务器,并获得该DHCP地址生成服务器分配的IPv6地址。
[0070]在具体应用中,本实施例所述系统中的NID客户端可包括:登录模块、发送模块和IPv6地址改变模块;
[0071]所述登录模块,用于获取用户输入的NID和密码,并将所述NID和密码发送给同一管理域内的NID管理服务器;
[0072]所述发送模块,用于向所属管理域的地址生成服务器发送第一请求,以使所述地址生成服务器在接收到所述第一请求后反馈给所述NID客户端一个临时IPv6地址;
[0073]所述IPv6地址改变模块,用于接收同一管理域内的地址生成服务器发送的嵌入用户网络身份标识和时间信息的IPv6地址,将NID客户端的临时IPv6地址改为该IPv6地址;
[0074]本实施例所述系统中的NID管理服务器可包括:NID生成模块、NID密码验证模块、NID查询模块、NID和密码转发模块和加密算法密钥管理模块;
[0075]所述NID生成模块,用于根据用户网络身份标识生成方法,生成NID,并将用户网络身份标识、NID和其对应的密码存储在本地数据库;
[0076]所述NID密码验证模块,用于接收NID追溯服务器或同一管理域内的NID客户端发送的NID和密码,并将接收的NID和密码与本地数据库中的NID和密码进行对比,检验密码的正确性,并将结果返回给同一管理域内的地址生成服务器;
[0077]所述NID查询模块,用于接收NID追溯服务器查询NID的请求,查询本地数据库,读取查询的NID对应用户的身份标识,并将结果返回给NID追溯服务器;
[0078]所述NID和密码转发模块,用于确定接收的NID不属于本管理域之后,将接收的NID和密码转发给NID追溯服务器;
[0079]所述加密算法密钥管理模块,用于每隔预设时间段更新加密算法的密钥,将更新后的密钥发送给NID追溯服务器和同一管理域内的地址生成服务器,并接收同一管理域内的地址生成服务器查询密钥的请求;
[0080]本实施例所述系统中的所述地址生成服务器可包括:临时IPv6地址生成模块、加密算法密钥接收模块和嵌入NID的IPv6地址生成模块;
[0081]所述临时IPv6地址生成模块,用于根据同一管理域内的NID客户端发送的第一请求,为该NID客户端分配一个临时的IPv6地址;
[0082]所述加密算法密钥接收模块,用于在地址生成服务器启动之后,向同一管理域内的NID管理服务器发送密钥查询请求,并接收该NID管理服务器每隔预设时间段发送的密钥;
[0083]所述嵌入NID的IPv6地址生成模块,用于根据接收的NID和时间信息,生成嵌入用户网络身份标识和时间信息的IPv6地址,并将该IPv6地址发送给同一管理域内的NID客户端;
[0084]本实施例所述系统中的NID追溯服务器可包括:NID解析模块、NID和密码转发模块、NID查询模块和用户网络身份标识处理模块;
[0085]所述NID解析模块,用于存储密钥信息表,所述密钥信息表包含:IPv6地址前缀、管理