专利名称:Ip地址管理方法和系统、动态主机配置协议服务器的制作方法
技术领域:
本发明涉及计算机技术,特别涉及一种IP地址管理方法和系统、动态主机配置协 议服务器。
背景技术:
为了能够动态地分配IP地址,1993年,国际互联网工程任务组 (InternetEngineering Task Force,简称IETF)提出 了动态主机配置协议(Dynamic HostConfiguration Protocol,简称DHCP)。DHCP 的前身是 Β00ΤΡ,B00TP 原本是用在无 磁盘主机连接的网络上面的,网络主机可以使用BOOT ROM而不是磁盘启动并连接上网络, Β00ΤΡ则可以自动地为主机设定TCP/IP环境。DHCP可以说是Β00ΤΡ的增强版本,它分为两个部分一个是服务器端,而另一个是 客户端。上网用户属于客户端,其在上网时需要向DHCP服务器端申请IP地址。所有的IP 网络设定数据都由DHCP服务器集中管理,并负责处理客户端的地址申请请求;而客户端则 会使用从服务器分配下来的IP环境数据。随着IPv4地址的耗尽和IPv6地址的使用,IETF RFC3315中规定了 DHCPv6协议,专门用来处理IPv6地址的自动分配问题。DHCPv6协议对 原有的DHCP协议进行了简化,统一了数据包结构,具有更好的协议扩展性。DHCPv6协议可 以提供动态的IPv6地址分配服务,有效减轻了网络管理的负担。但是,由于动态IP地址分配机制中,IP地址的分配是随机的,其使用者也是不断 变动的,因此,可能带来一些严重的安全问题网络攻击者可以使用动态IP地址进行网络 攻击、木马邮件的发送,攻击过程中使用的IP地址在攻击过后会被回收并有可能分配给其 它机器重新使用。因此,同一 IP地址可能被多个使用者使用过,无法查证攻击者是哪一个, 使得作为攻击追踪重要线索的IP地址因为当前的动态分配机制很难发挥可靠的追溯作 用。
发明内容
本发明的目的是提供一种IP地址管理方法和系统、动态主机配置协议服务器,以 实现可以得知IP地址的使用情况,为追溯网络攻击等网络安全防范工作发挥作用。本发明提供一种IP地址管理方法,包括接收客户端发送的IP地址申请消息,所述IP地址申请消息中携带标识所述客户 端的用户身份的IP实名地址;为所述客户端分配IP地址,并将所述IP地址与所述IP实名地址的对应关系记录 在数据库中;向所述客户端返回IP地址应答消息,所述IP地址应答消息中携带分配的所述IP 地址。本发明提供一种动态主机配置协议服务器,包括接收模块,用于接收客户端发送的IP地址申请消息,所述IP地址申请消息中携带
3标识所述客户端的用户身份的IP实名地址;记录模块,用于为所述客户端分配IP地址,并将所述IP地址与所述IP实名地址 的对应关系记录在数据库中;发送模块,用于向所述客户端返回IP地址应答消息,所述IP地址应答消息中携带 分配的所述IP地址。本发明提供一种IP地址管理系统,包括客户端和动态主机配置协议服务器;所述客户端,用于向所述动态主机配置协议服务器发送IP地址申请消息,所述IP 地址申请消息中携带标识所述客户端的用户身份的IP实名地址;所述动态主机配置协议服务器,用于为所述客户端分配IP地址,并将所述IP地址 与所述IP实名地址的对应关系记录在数据库中;并向所述客户端返回IP地址应答消息,所 述IP地址应答消息中携带分配的所述IP地址。本发明的IP地址管理方法和系统、动态主机配置协议服务器,通过记录和存储IP 地址与用户身份之间的对应关系信息,使得后续可以方便地对IP地址的使用情况进行查 询和追溯,提高了网络安全防范作用;并且,通过将该对应关系发布至DNS服务器,使得应 用服务器向客户端提供服务之前确定该IP地址用户的身份,从而实现了实时有效的身份 认证和访问控制;通过引入一种IPv6实名地址及其资源PKI,结合扩展的DNS协议增强了 DHCP协议的客户认证能力。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以 根据这些附图获得其他的附图。图1为本发明IP地址管理方法实施例一的信令示意图;图2为本发明IP地址管理方法实施例一中的IP实名地址结构示意图;图3为本发明IP地址管理方法实施例一中的PKI层次设计示意图;图4为本发明IP地址管理方法实施例二的信令示意图;图5为本发明DHCP服务器实施例的结构示意图;图6为本发明IP地址管理系统实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明的主要技术方案为,客户端在向DHCP服务器发送的IP地址申请消息中,可 以携带标识客户端用户身份的IP实名地址;DHCP服务器为客户端分配IP地址,将所述IP 地址发送至客户端,并将所述IP地址与IP实名地址绑定,将其对应关系记录在数据库中。 其中,本方案可以适用于IPv6地址的动态分配,通过记录和存储IP地址与用户身份之间的
4对应关系信息,使得后续可以方便地对IP地址的使用情况进行查询和追溯,提高了网络安 全防范作用。下面通过附图和具体实施例,对本发明的技术方案做进一步的详细描述。实施例一图1为本发明IP地址管理方法实施例一的信令示意图,如图1所示,本实施例中 的IP地址可以是指IPv6地址,IP实名地址可以是指IPv6实名地址,其可以包括以下步骤步骤101、客户端用户申请获得实名证书,该实名证书中包括代表用户身份的IP 实名地址;在本实施例中,互联网用户在申请动态IP地址资源时,必须先取得地址注册机构 签发的实名证书。该实名证书是一数字证书,其中包括了能够代表互联网用户身份的IP实 名地址。该实名地址可以是从IPv6地址空间单独分离出的一段不可路由的IPv6地址。上述的IP实名地址的基本结构可以参见附图2,图2为本发明IP地址管理方法 实施例一中的IP实名地址结构示意图。其可以将IPv6地址空间的128位IPv6地址分成 3部分,最前面的η比特位做为实名地址空间前缀(例如,002),用于区分该IPv6地址为可 路由单播地址或者IPv6实名地址;接下来的64-η比特位可以存储该实名地址的授权层次 关系,其由管理IPv6实名地址空间的国家互联网注册机构(National Internet Registry, 简称NIR)先分配给某个骨干网的互联网服务提供商(Internet Service Provider,简称 ISP)或本地互联网注册机构(Local Internet Registry,简称LIR),骨干网的ISP再将地 址块细分,分配给各个地区的中小ISP ;后64比特位可以使用散列函数等方法产生与客户 端的用户身份一一对应的用户ID。其中,该IP实名地址中的前64由地址分配机构进行分配;其后64比特位的实名 用户ID,在具体实施中,可以采用用户身份号码、通信公钥和3bit安全参数,按照预定的算 法产生得到上述的实名用户ID,因此,该实名用户ID是与用户身份号码一一对应的。通过 在上述产生实名用户ID的过程中采用3bit安全参数,可以增加身份破解的难度,加强了安
全保障。步骤102、客户端向DHCP服务器发送IP地址申请消息,并在该消息中携带标识客 户端用户身份的IP实名地址;客户端用户在申请得到地址注册机构签发的IP实名地址后,则向DHCP服务器发 送IP地址申请消息。具体的,客户端可以先通过广播查找报文得到能提供服务的多个DHCP 服务器的应答;客户端可以选择一个DHCP服务器发送请求IP地址的报文,即上述的IP地 址申请消息,请求获取上网所需的IP地址,并将标识其身份的IP实名地址携带在IP地址 申请消息中,发送至DHCP服务器。步骤103、DHCP服务器通过实名地址资源PKI对上述实名地址进行验证,若验证通 过,则继续执行步骤104 ;否则可以向客户端返回请求失败消息;DHCP服务器在接收到客户端发送的IP地址申请消息后,则对该消息中携带 的IP实名地址进行验证。具体的,可以借助实名地址资源公钥基础设施(Public Key Infrastructure,简称PKI)进行IP实名地址的验证。可参见附图3,图3为本发明IP地址管理方法实施例一中的PKI层次设计示意图。 用于验证上述IPv6实名地址的实名地址资源PKI可以按照图3所示的IP地址分配管理层次进行如下设计实名地址资源PKI的信任锚设为MR(根CA) ;NIR为下级LIR/ISP分 配IPv6实名地址段,同时签发代表相应实名地址段管理权的CA证书;ISP得到授权管辖的 IPv6实名地址段后,当客户端用户申请IPv6实名证书时,ISP将用本级CA证书为用户签发 EE证书,证明用户对该IPv6实名地址的使用权。当DHCP服务器对IP实名地址进行验证时,可以根据图2所示的IP实名地址的中 间段(64-n比特位)中所存储的层次关系,利用实名地址资源PKI逐级获取上级的ISP CA 证书,组成证书链,从而验证IPv6实名证书的真实性。若验证不通过,则可以向客户端返回 请求失败消息;否则,可以继续执行步骤104。通过在IPv6地址空间中单独划出一段IPv6 地址作为上网用户的身份标识,并由地址分配机构签发相应的实名证书给上网用户,使用 实名地址资源PKI对代表用户身份的IPv6实名地址进行验证,解决了互联网统一身份认证 的问题。步骤104、DHCP服务器为客户端分配IP地址,并记录所述IP地址与所述IP实名 地址的对应关系;DHCP服务器在验证IP实名地址为真实之后,可以将分配给用户的IP地址等信息 与该IP实名地址的对应关系记录和存储,建立IPv6实名地址和用户使用的IP地址之间的 映射数据库,其中包括IP地址使用时间、用户的MAC地址、接入VLAN和端口号等信息。这些信息使得动态IP地址资源的使用情况有统一格式的数据库可以查找,相对 于现有技术,大大方便了对于IP地址使用情况的查询,为IP地址追溯提供了可能。当网络 攻击事件发生时,就可以通过与通信IP地址相关联的IP实名地址来追溯到客户端使用者 的真实身份,从而制止网络攻击事件的进一步发展。步骤105、DHCP服务器向客户端发送IP地址应答消息,将分配的IP地址发送至客户端。DHCP服务器在存储了 IP地址与IP实名地址的绑定关系之后,则将该分配的IP 地址携带在IP地址应答消息中,发送至客户端。此外,例如,当该客户端用户A使用完后, DHCP服务器可以将该IP地址回收,分配给另外的客户端用户B使用,此时,DHCP服务器会 记录该IP地址与客户端用户B的IP实名地址的对应关系,但是,也仍然会保留该IP地址 与客户端用户A的IP实名地址之间的对应关系,以及客户端用户A使用该IP地址的时间 等信息,使得后续可以对该IP地址使用的相关历史记录进行查询和追溯。本实施例的IP地址管理方法,通过记录和存储IP地址与用户身份之间的对应关 系信息,使得后续可以方便地对IP地址的使用情况进行查询和追溯,提高了网络安全防范 作用。实施例二图4为本发明IP地址管理方法实施例二的信令示意图,如图4所示,本实施例的 方法与实施例一的主要区别在于,为了进一步方便互联网应用访问的实时控制,增加了对 于DNS服务器的功能扩展;其中,本实施例的方法中,步骤201 205与实施例一的步骤 101 105相同,具体可参见实施例一,在此不再赘述,本实施例还增加了互联网应用访问 的步骤,具体如下步骤201、客户端用户申请获得实名证书,该实名证书中包括代表用户身份的IP 实名地址;
步骤202、客户端向DHCP服务器发送IP地址申请消息,并在该消息中携带标识客 户端用户身份的IP实名地址;步骤203、DHCP服务器通过实名地址资源PKI对上述实名地址进行验证,若验证通 过,则继续执行步骤104 ;否则可以向客户端返回请求失败消息;步骤204、DHCP服务器为客户端分配IP地址,并记录所述IP地址与所述IP实名 地址的对应关系;步骤205、DHCP服务器向客户端发送IP地址应答消息,将分配的IP地址发送至客 户端;步骤206、DHCP服务器将所述IP地址与所述IP实名地址的对应关系信息发送至 DNS服务器;需要说明的是,该步骤和步骤205并没有特定的时间先后顺序。在具体实施中, DHCP服务器可以通过添加一扩展的DNS RR IPV6ID记录至DNS服务器,将IP地址和IPv6 实名地址的对应关系发布到互联网上。该RR IPV6ID记录中包括了 IPv6实名地址和公钥 等信息,其基本格式可以如下IPv6, arpa IN IPV6ID (pk-algorithm/* 加密算法 */basel6-encoded-hit/* 经过 basel6 编码 IPv6 实名地址 */base64-encoded_publie-key/* 经过 base64 编码的公钥信息 */)通过将动态IP地址与其使用者的IPv6实名地址记录在DNS服务器上,提供了一 种查询动态IP地址使用者身份的方法,应用服务器可以使用DNS查询到动态IP地址使用 者的身份并进行验证。步骤207、客户端向应用服务器提出应用服务申请消息,请求使用应用服务器所提 供的服务;步骤208、应用服务器提取客户端的IP地址,并向DNS服务器发送IP查询消息,请 求查询客户端用户的身份;其中,所述IP查询消息中携带客户端的IP地址;步骤209、DNS服务器根据其接收到的客户端的IP地址,以及其内存储的RR IPV6ID记录中的相关信息,得到与该IP地址对应的IPv6实名地址及公钥信息,将其携带在 IP应答消息中返回至应用服务器;步骤210、应用服务器产生一个随机数,并用接收到的所述公钥加密后发送给请求 服务的客户端用户;步骤211、客户端用户使用与公钥对应的私钥解密后,返回原随机数至应用服务 器;步骤212、应用服务器得到IPv6实名地址中的用户ID等信息,对客户端用户的身 份进行验证,当验证通过后,则执行步骤213 ;步骤213、应用服务器向客户端提供其所请求的服务。本实施例的IP地址管理方法,通过记录和存储IP地址与用户身份之间的对应关 系信息,使得后续可以方便地对IP地址的使用情况进行查询和追溯,提高了网络安全防范 作用;并且,通过将该对应关系发布至DNS服务器,使得应用服务器向客户端提供服务之前 确定该IP地址用户的身份,从而实现了实时有效的身份认证和访问控制;通过引入一种 IPv6实名地址及其资源PKI,结合扩展的DNS协议增强了 DHCP协议的客户认证能力。
7
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。实施例三图5为本发明DHCP服务器实施例的结构示意图,如图5所示,本实施例的DHCP服 务器可以包括接收模块31、记录模块32和发送模块33。其中,接收模块31,用于接收客户端发送的IP地址申请消息,所述IP地址申请消 息中携带标识所述客户端的用户身份的IP实名地址;记录模块32,用于为所述客户端分配 IP地址,并将所述IP地址与所述IP实名地址的对应关系记录在数据库中;发送模块33,用 于向所述客户端返回IP地址应答消息,所述IP地址应答消息中携带分配的所述IP地址。此外,进一步的,该IP地址管理系统还可以包括验证模块34,用于利用实名地址 资源PKI逐级获取上级的ISP CA证书,构建证书链,验证所述IP实名地址的真实性。进一步,记录模块32,还可以用于记录所述IP地址的使用时间、所述客户端的MAC 地址、接入局域网和端口号;发送模块33,还可以用于将所述IP地址与所述IP实名地址的 对应关系发送至DNS服务器。本实施例的DHCP服务器,通过记录和存储IP地址与用户身份之间的对应关系信 息,使得后续可以方便地对IP地址的使用情况进行查询和追溯,提高了网络安全防范作用。实施例四图6为本发明IP地址管理系统实施例的结构示意图,如图6所示,该系统可以包 括客户端41和DHCP服务器42。其中,客户端41,用于向所述DHCP服务器发送IP地址申请消息,所述IP地址申请 消息中携带标识所述客户端的用户身份的IP实名地址;DHCP服务器42,用于为所述客户端分配IP地址,并将所述IP地址与所述IP实名 地址的对应关系记录在数据库中;并向所述客户端返回IP地址应答消息,所述IP地址应答 消息中携带分配的所述IP地址。本实施例的IP地址管理系统,通过记录和存储IP地址与用户身份之间的对应关 系信息,使得后续可以方便地对IP地址的使用情况进行查询和追溯,提高了网络安全防范 作用。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
8
权利要求
一种IP地址管理方法,其特征在于,包括接收客户端发送的IP地址申请消息,所述IP地址申请消息中携带标识所述客户端的用户身份的IP实名地址;为所述客户端分配IP地址,并将所述IP地址与所述IP实名地址的对应关系记录在数据库中;向所述客户端返回IP地址应答消息,所述IP地址应答消息中携带分配的所述IP地址。
2.根据权利要求1所述的IP地址管理方法,其特征在于,所述实名地址包括 实名地址空间前缀,用于标识地址空间为实名地址空间;授权层次关系段,用于存储所述实名地址的各级授权层次关系; 用户ID,用于与所述客户端的用户身份一一对应。
3.根据权利要求1所述的IP地址管理方法,其特征在于,在所述为所述客户端分配IP 地址之前还包括利用实名地址资源公钥基础设施逐级获取上级证书,构建证书链,验证所述IP实名地 址的真实性。
4.根据权利要求1所述的IP地址管理方法,其特征在于,还包括记录所述IP地址的使用时间、所述客户端的MAC地址、接入局域网和端口号。
5.根据权利要求1所述的IP地址管理方法,其特征在于,还包括 将所述IP地址与所述IP实名地址的对应关系发送至DNS服务器。
6.一种动态主机配置协议服务器,其特征在于,包括接收模块,用于接收客户端发送的IP地址申请消息,所述IP地址申请消息中携带标识 所述客户端的用户身份的IP实名地址;记录模块,用于为所述客户端分配IP地址,并将所述IP地址与所述IP实名地址的对 应关系记录在数据库中;发送模块,用于向所述客户端返回IP地址应答消息,所述IP地址应答消息中携带分配 的所述IP地址。
7.根据权利要求6所述的动态主机配置协议服务器,其特征在于,还包括验证模块,用于利用实名地址资源公钥基础设施逐级获取上级证书,构建证书链,验证 所述IP实名地址的真实性。
8.根据权利要求6所述的动态主机配置协议服务器,其特征在于,所述记录模块,还用 于记录所述IP地址的使用时间、所述客户端的MAC地址、接入局域网和端口号。
9.根据权利要求6所述的动态主机配置协议服务器,其特征在于,所述发送模块,还用 于将所述IP地址与所述IP实名地址的对应关系发送至DNS服务器。
10.一种IP地址管理系统,其特征在于,包括客户端和动态主机配置协议服务器; 所述客户端,用于向所述动态主机配置协议服务器发送IP地址申请消息,所述IP地址申请消息中携带标识所述客户端的用户身份的IP实名地址;所述动态主机配置协议服务器,用于为所述客户端分配IP地址,并将所述IP地址与所 述IP实名地址的对应关系记录在数据库中;并向所述客户端返回IP地址应答消息,所述 IP地址应答消息中携带分配的所述IP地址。
全文摘要
本发明提供一种IP地址管理方法和系统、动态主机配置协议服务器,其中,方法包括接收客户端发送的IP地址申请消息,所述IP地址申请消息中携带标识所述客户端的用户身份的IP实名地址;为所述客户端分配IP地址,并将所述IP地址与所述IP实名地址的对应关系记录在数据库中;向所述客户端返回IP地址应答消息,所述IP地址应答消息中携带分配的所述IP地址。本发明通过引入一种IPv6实名地址及其资源PKI,结合扩展的DNS协议增强了DHCP协议的客户认证能力。
文档编号H04L29/06GK101924801SQ201010188309
公开日2010年12月22日 申请日期2010年5月21日 优先权日2010年5月21日
发明者卢文哲, 李晓东, 毛伟, 沈烁, 陈涛 申请人:中国科学院计算机网络信息中心;北龙中网(北京)科技有限责任公司