多个地址生成服务器,每个地址生成服务器与其所属管理域内的NID管理服务器、NID客户端分别连接; 所有管理域共享一个NID追溯服务器,所述NID追溯服务器与NID追溯客户端、各个管理域内的NID管理服务器分别连接。2.根据权利要求1所述的系统,其特征在于,所述NID客户端包括:登录模块、发送模块和IPv6地址改变模块; 登录模块,用于获取用户输入的NID和密码,并将所述NID和密码发送给同一管理域内的NID管理服务器; 发送模块,用于向所属管理域的地址生成服务器发送第一请求,以使所述地址生成服务器在接收到所述第一请求后反馈给所述NID客户端一个临时IPv6地址; IPv6地址改变模块,用于接收同一管理域内的地址生成服务器发送的嵌入用户网络身份标识和时间信息的IPv6地址,将NID客户端的临时IPv6地址改为该IPv6地址。3.根据权利要求2所述的系统,其特征在于,所述NID管理服务器包括:NID生成模块、NID密码验证模块、NID查询模块、NID和密码转发模块和加密算法密钥管理模块; NID生成模块,用于根据用户网络身份标识生成方法,生成NID,并将用户网络身份标识、NID和其对应的密码存储在本地数据库; NID密码验证模块,用于接收NID追溯服务器或同一管理域内的NID客户端发送的NID和密码,并将接收的NID和密码与本地数据库中的NID和密码进行对比,检验密码的正确性,并将结果返回给同一管理域内的地址生成服务器; NID查询模块,用于接收NID追溯服务器查询NID的请求,查询本地数据库,读取查询的NID对应用户的身份标识,并将结果返回给NID追溯服务器; NID和密码转发模块,用于确定接收的NID不属于本管理域之后,将接收的NID和密码转发给NID追溯服务器; 加密算法密钥管理模块,用于每隔预设时间段更新加密算法的密钥,将更新后的密钥发送给NID追溯服务器和同一管理域内的地址生成服务器,并接收同一管理域内的地址生成服务器查询密钥的请求。4.根据权利要求3所述的系统,其特征在于,所述地址生成服务器,包括:临时IPv6地址生成模块、加密算法密钥接收模块和嵌入NID的IPv6地址生成模块; 临时IPv6地址生成模块,用于根据同一管理域内的NID客户端发送的第一请求,为该NID客户端分配一个临时的IPv6地址; 加密算法密钥接收模块,用于在地址生成服务器启动之后,向同一管理域内的NID管理服务器发送密钥查询请求,并接收该NID管理服务器每隔预设时间段发送的密钥; 嵌入NID的IPv6地址生成模块,用于根据接收的NID和时间信息,生成嵌入用户网络身份标识和时间信息的IPv6地址,并将该IPv6地址发送给同一管理域内的NID客户端。5.根据权利要求4所述的系统,其特征在于,所述NID追溯服务器,包括:NID解析模块、NID和密码转发模块、NID查询模块和用户网络身份标识处理模块; NID解析模块,用于存储密钥信息表,所述密钥信息表包含:IPv6地址前缀、管理域代码、加密算法密钥、密钥生成时间,根据IPv6地址的前64位确定密钥,对IPv6地址后64位解密,解析出该IPv6地址对应的NID和时间信息; NID和密码转发模块,用于根据所述NID解析模块解析到的NID确定所属管理域,将NID和密码转发给NID所属管理域的NID管理服务器; NID查询模块,用于向所述NID解析模块解析到的NID所属管理域的NID管理服务器发送查询所述NID的请求,并接收NID所属管理域的NID管理服务器返回的所述NID对应的用户网络身份标识; 用户网络身份标识处理模块,用于将所述用户网络身份标识发送给NID追溯客户端。6.根据权利要求5所述的系统,其特征在于,所述NID追溯客户端,用于获取网络管理员输入的待查询IPv6地址,将所述待查询IPv6地址发送给NID追溯服务器,并接收NID追溯服务器返回的所述待查询IPv6地址对应的用户网络身份标识。7.根据权利要求1所述的系统,其特征在于,所述NID客户端包括:登录模块、发送模块和IPv6地址改变模块; 登录模块,用于获取用户输入的NID和密码,并将所述NID和密码发送给同一管理域内的NID管理服务器; 发送模块,用于向所属管理域的地址生成服务器发送第一请求,以使所述地址生成服务器在接收到所述第一请求后反馈给所述NID客户端一个临时IPv6地址; IPv6地址改变模块,用于接收同一管理域内的地址生成服务器发送的嵌入用户网络身份标识、MAC地址和时间信息的IPv6地址,将NID客户端的临时IPv6地址改为该IPv6地址。8.根据权利要求7所述的系统,其特征在于,所述NID管理服务器包括:NID生成模块、MAC地址管理模块、NID密码验证模块、NID和MAC地址查询模块、NID和密码转发模块和加密算法密钥管理模块; NID生成模块,用于根据用户网络身份标识生成方法,生成NID,并将用户网络身份标识、NID和其对应的密码存储在本地数据库; MAC地址管理模块,用于生成MAC地址的哈希码,并保存在本地数据库中; NID密码验证模块,用于接收NID追溯服务器或同一管理域内的NID客户端发送的NID和密码,并将接收的NID和密码与本地数据库中的NID和密码进行对比,检验密码的正确性,并将结果返回给同一管理域内的地址生成服务器; NID和MAC地址查询模块,用于接收NID追溯服务器查询NID和MAC地址的请求,查询本地数据库,读取查询的NID对应用户的身份标识以及MAC的哈希码对应的MAC地址,并将结果返回给NID追溯服务器; NID和密码转发模块,用于确定接收的NID不属于本管理域之后,将接收的NID和密码转发给NID追溯服务器; 加密算法密钥管理模块,用于每隔预设时间段更新加密算法的密钥,将更新后的密钥发送给NID追溯服务器和同一管理域内的地址生成服务器,并接收同一管理域内的地址生成服务器查询密钥的请求。9.根据权利要求8所述的系统,其特征在于,所述地址生成服务器,包括:临时IPv6地址生成模块、加密算法密钥接收模块和嵌入NID和MAC地址的IPv6地址生成模块; 临时IPv6地址生成模块,用于根据同一管理域内的NID客户端发送的第一请求,为该NID客户端分配一个临时的IPv6地址; 加密算法密钥接收模块,用于在地址生成服务器启动之后,向同一管理域内的NID管理服务器发送密钥查询请求,并接收该NID管理服务器每隔预设时间段发送的密钥; 嵌入NID和MAC地址的IPv6地址生成模块,用于根据接收的NID、MAC地址和时间信息,生成嵌入用户网络身份标识、MAC地址和时间信息的IPv6地址,并将该IPv6地址发送给同一管理域内的NID客户端。10.根据权利要求9所述的系统,其特征在于,所述NID追溯服务器,包括:NID解析模块、NID和密码转发模块、NID查询模块、MAC查询模块和用户网络身份标识处理模块; NID和MAC地址解析模块,用于存储密钥信息表,所述密钥信息表包含:IPv6地址前缀、管理域代码、加密算法密钥、密钥生成时间,根据IPv6地址的前64位确定密钥,对IPv6地址后64位解密,解析出该IPv6地址对应的NID、MAC地址和时间信息; NID和密码转发模块,用于根据所述NID解析模块解析到的NID确定所属管理域,将NID和密码转发给NID所属管理域的NID管理服务器; NID查询模块,用于向所述NID和MAC地址解析模块解析到的NID所属管理域的NID管理服务器发送查询所述NID的请求,并接收NID所属管理域的NID管理服务器返回的所述NID对应的用户网络身份标识; MAC查询模块,用于将所述NID和MAC地址解析模块解析到的MAC地址的哈希码发送给解析到的NID所属管理域的NID管理服务器,并向该NID管理服务器发送查询所述MAC地址的哈希码的请求,并接收该NID管理服务器返回的MAC地址;用户网络身份标识和MAC地址处理模块,用于将所述用户网络身份标识和MAC地址发送给NID追溯客户端;及 所述NID追溯客户端,用于获取网络管理员输入的待查询IPv6地址,将所述待查询IPv6地址发送给NID追溯服务器,并接收NID追溯服务器返回的所述待查询IPv6地址对应的用户网络身份标识和MAC地址。
【专利摘要】本发明提供一种跨多管理域的追溯系统,包括:NID客户端、NID追溯客户端、NID追溯服务器、NID管理服务器和地址生成服务器;网络中有多个不同的管理域,每个管理域内有一个NID管理服务器,所述NID管理服务器与其所属管理域内NID客户端连接;每个管理域内有一个或多个地址生成服务器,每个地址生成服务器与其所属管理域内的NID管理服务器、NID客户端分别连接;所有管理域共享一个NID追溯服务器,所述NID追溯服务器与NID追溯客户端、各个管理域内的NID管理服务器分别连接。上述系统可以追溯每一个IPv6地址对应网络用户网络身份标识,配置简单,便于运营商部署。
【IPC分类】H04L29/12
【公开号】CN105245625
【申请号】CN201510375084
【发明人】刘莹, 任罡, 吴建平, 张圣林, 何林, 贾溢豪
【申请人】清华大学
【公开日】2016年1月13日
【申请日】2015年6月30日