之后,将接收的NID和密码转发给NID追溯服务器;
[0132]加密算法密钥管理模块,用于每隔预设时间段更新加密算法的密钥,将更新后的密钥发送给NID追溯服务器和同一管理域内的地址生成服务器,并接收同一管理域内的地址生成服务器查询密钥的请求。
[0133]本实施例所述系统中的地址生成服务器可包括:临时IPv6地址生成模块、加密算法密钥接收模块和嵌入NID和MAC地址的IPv6地址生成模块;
[0134]临时IPv6地址生成模块,用于根据同一管理域内的NID客户端发送的第一请求,为该NID客户端分配一个临时的IPv6地址;
[0135]加密算法密钥接收模块,用于在地址生成服务器启动之后,向同一管理域内的NID管理服务器发送密钥查询请求,并接收该NID管理服务器每隔预设时间段发送的密钥;
[0136]嵌入NID和MAC地址的IPv6地址生成模块,用于根据接收的NID、MAC地址和时间信息,生成嵌入用户网络身份标识、MAC地址和时间信息的IPv6地址,并将该IPv6地址发送给同一管理域内的NID客户端;
[0137]本实施例所述系统中的NID追溯服务器可包括:NID解析模块、NID和密码转发模块、NID查询模块、MAC查询模块和用户网络身份标识处理模块;
[0138]NID和MAC地址解析模块,用于存储密钥信息表,所述密钥信息表包含:IPv6地址前缀、管理域代码、加密算法密钥、密钥生成时间,根据IPv6地址的前64位确定密钥,对IPv6地址后64位解密,解析出该IPv6地址对应的NID、MAC地址和时间信息;
[0139]NID和密码转发模块,用于根据所述NID解析模块解析到的NID确定所属管理域,将NID和密码转发给NID所属管理域的NID管理服务器;
[0140]NID查询模块,用于向所述NID和MAC地址解析模块解析到的NID所属管理域的NID管理服务器发送查询所述NID的请求,并接收NID所属管理域的NID管理服务器返回的所述NID对应的用户网络身份标识;
[0141 ] MAC查询模块,用于将所述NID和MAC地址解析模块解析到的MAC地址的哈希码发送给解析到的NID所属管理域的NID管理服务器,并向该NID管理服务器发送查询所述MAC地址的哈希码的请求,并接收该NID管理服务器返回的MAC地址;用户网络身份标识和MAC地址处理模块,用于将所述用户网络身份标识和MAC地址发送给NID追溯客户端;
[0142]本实施例所述系统中的NID追溯客户端,用于获取网络管理员输入的待查询IPv6地址,将所述待查询IPv6地址发送给NID追溯服务器,并接收NID追溯服务器返回的所述待查询IPv6地址对应的用户网络身份标识和MAC地址。
[0143]应说明的是,参见图3,使用本实施例所述系统的域内登录的方法,包括:
[0144]SUNID客户端向所属管理域的地址生成服务器发送第一请求,以使所述地址生成服务器在接收到所述第一请求后反馈给所述NID客户端一个临时IPv6地址;
[0145]S2、NID客户端获取用户输入的NID、密码和MAC地址,并将所述NID、密码和MAC地址发送给同一管理域内的NID管理服务器;
[0146]S3、所述NID管理服务器在接收到所述NID、密码和MAC地址后,验证所述NID是否属于本管理域,若是,则判断密码是否正确,如果密码正确,则将所述用户的临时IPv6地址、NID和MAC地址发送给地址生成服务器;
[0147]S4、地址生成服务器接收所述临时IPv6地址、NID和MAC地址并获取接收所述临时IPv6地址、NID和MAC地址时的时间信息,从所述NID管理服务器获取密钥,根据所述NID、MAC地址、时间信息和密钥,生成嵌入用户网络身份标识、MAC地址和时间信息的IPv6地址,并将该IPv6地址发送给接收到的临时IPv6地址对应的NID客户端;
[0148]S5、NID客户端在接收到所述IPv6地址之后,将临时IPv6地址修改为所述IPv6地址。
[0149]可理解的是,用户可通过NID客户端进行本系统的域内登录。
[0150]应说明的是,参见图3,使用本实施例所述系统的跨域登录的方法,包括:
[0151]P1、第一管理域(管理域A)内的NID客户端向所属管理域的地址生成服务器发送第二请求,以使所述地址生成服务器在接收到所述第二请求后反馈给所述第一管理域内的NID客户端一个临时IPv6地址;
[0152]P2、所述第一管理域内的NID客户端获取用户输入的NID、密码和MAC地址,并将所述NID、密码和MAC地址发送给第一管理域内的NID管理服务器;
[0153]P3、所述第一管理域内的NID管理服务器在接收到所述NID、密码和MAC地址后,验证所述NID是否属于本管理域,若否,则将所述NID和密码转发给NID追溯服务器;
[0154]P4、NID追溯服务器确定所述NID所属的第二管理域(管理域B),将所述NID和密码转发给所述第二管理域内的NID管理服务器;
[0155]P5、所述第二管理域内的NID管理服务器判断所述密码是否正确,如果密码正确,则将验证信息反馈给所述NID追溯服务器;
[0156]P6、所述NID追溯服务器将验证信息反馈给所述第一管理域内的NID管理服务器;
[0157]P7、所述第一管理域内的NID管理服务器根据所述验证信息判断所述密码是否通过验证,若是,则将所述用户的临时IPv6地址、NID和MAC地址发送给所述第一管理域内的地址生成服务器;
[0158]P8、所述第一管理域内的地址生成服务器接收所述临时IPv6地址、NID和MAC地址并获取接收所述临时IPv6地址、NID和MAC地址时的时间信息,从所述第一管理域内的NID管理服务器获取密钥,根据所述NID、MAC地址、时间信息和密钥,生成嵌入了用户网络身份标识、MAC地址和时间信息的IPv6地址,并将该IPv6地址发送给接收到的临时IPv6地址对应的所述第一管理域内的NID客户端;
[0159]P9、所述第一管理域内的NID客户端在接收到所述IPv6地址之后,将所述临时IPv6地址修改为所述IPv6地址。
[0160]可理解的是,用户可通过第一管理域(管理域A)内的NID客户端进行本系统的跨域登录。
[0161]应说明的是,参见图3,使用本实施例所述系统的追溯网络用户网络身份标识的方法,包括:
[0162]Ql、NID追溯客户端将待追溯的IPv6地址发送给NID追溯服务器;
[0163]Q2、NID追溯服务器根据所述待追溯的IPv6地址的前64位地址前缀确定解密的密钥,根据该密钥对所述待追溯的IPv6地址的后64位解密,得到所述待追溯的IPv6地址对应的NID、时间信息和MAC地址的哈希码,并将所述NID、时间信息和MAC地址的哈希码发送给所述NID所属管理域(管理域A)的NID管理服务器;
[0164]Q3、所述NID所属管理域(管理域A)的NID管理服务器根据所述NID和MAC地址的哈希码查询本地数据库,将所述NID对应的用户网络身份标识和所述哈希码对应的MAC地址返还给NID追溯服务器;
[0165]Q4、NID追溯服务器将所述用户网络身份标识和MAC地址反馈给NID追溯客户端。
[0166]可理解的是,网络管理员可通过NID追溯客户端获得待追溯的IPv6地址对应的用户网络身份标识和MAC地址。
[0167]本发明提供的跨多管理域的追溯系统,采用事后追溯的验证策略,可以追溯每一个IPv6地址对应网络用户网络身份标识,配置简单,便于运营商部署,适用于复杂拓扑结构下的IPv6网络,为可信任的下一代互联网安全服务和应用提供支持,是高可信下一代互联网整体技术框架中的重要组成部分。
[0168]在本实施方式中“第一”、“第二”等并不是对先后顺序做出规定,只是对名称做出区别,在本实施方式中,不做出任何的限定。
[0169]本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0170]最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明权利要求所限定的范围。
【主权项】
1.一种跨多管理域的追溯系统,其特征在于,包括: NID客户端、NID追溯客户端、NID追溯服务器、NID管理服务器和地址生成服务器;网络中有多个不同的管理域,每个管理域内有一个NID管理服务器,所述NID管理服务器与其所属管理域内NID客户端连接; 每个管理域内有一个或