专利名称:主机标识追溯方法及系统、终端、中心服务器的制作方法
技术领域:
本发明涉及网络技木,尤其涉及一种主机标识追溯方法及系统、終端、中心服务器。
背景技术:
互联网是信息社会重要的基础设施,关系到经济民生及社会发展的各个方面,然而当前互联网中的安全事件越来越多,各种恶意攻击和破坏行为层出不穷,给网络用户和网络运营商造成了巨大的损失,网络安全问题日益突出。IP追溯技术是指攻击进行中或攻击结束后,通过各种技术获取相关路由器的IP地址信息,分析获取的信息,追溯到发送攻击数据包的源头。IP追溯技术能在一定程度和范围内追溯到攻击源头,威慑攻击者,从源头上遏制网络攻击行为,降低网络攻击的危害程度,是网络安全中ー个重要的研究领域。随着互联网用户数量的增长和应用增多,IPv4地址数量已不能满足其增长需要,同时IPv4的缺陷也逐渐暴露,而IPv6在路由机制、自动配置和安全等方面进行了改进,是一种比较理想的IP协议。然而,IPv6的过渡并不是一蹴而就的,不仅需要解决大量的技术问题,更需要从网络建设,业务开发以及网站的升级等多方面进行,从而加快其过渡,在IPv4完全过渡到IPv6之前,IPv4和IPv6两种协议将长期存在。目前,比较流行的是采用IPv6翻译机制实现IPv4和IPv6混合网络的互联互通。图I为现有技术提供的IPv6翻译机制的应用场景示意图,如图I所示,PCA位于IPv6网络中,PCB位于IPv4网络中,IPv6翻译机制处于IPv6和IPv4网络的交界处,通过IPv6翻译机制,PCA能够确定自身的IPv6地址和转换后的IPv4地址,PCB能够确定自身的IPv4地址与映射的IPv6地址,同时,还将IPv6数据包中的每个字段与IPv4数据包中的每个字段建立起一一映射的关系,从而在两个网络的边缘实现数据报文的转换。然而,在将IPv6数据包中的每个字段与IPv4数据包中的每个字段建立起映射关系时,需要转换数据包的IP包头,由此带来的问题是破坏了 IPv6网络和IPv4网络通信的端到端透明性,増加了 IP地址追溯的难度,影响了网络管理的安全性。
发明内容
本发明提供一种主机标识追溯方法及系统、終端、中心服务器,能够解决在现有的IPv4和IPv6混合网络中存在IP地址追溯较难的问题。本发明的第一个方面是提供一种主机标识追溯方法,包括終端接收数据包,确定所述数据包中包含有高危标识和摘要信息,所述高危标识和摘要信息为中心服务器在探測到所述数据包的发送主机的主机标识元组数据,且验证所述机标识元组数据为高危之后插入所述数据包的,所述发送主机的主机标识元组数据包括所述发送主机的物理地址、IP地址、连接的交換机端口号; 向中心服务器发送查询请求,所述查询请求包括所述摘要信息,以使所述中心服务器查询摘要存储数据库获取与所述摘要信息匹配的物理地址、根据所述物理地址查询主机标识元组数据库、获取与所述物理地址匹配的主机标识元组数据,所述摘要存储数据库包括所述中心服务器探測到的且验证为高危的数据包的发送主机的物理地址和摘要信息,所述主机标识元组数据库包括所述中心服务器探測到的且验证为高危的数据包的发送主机的主机标识元组数据;接收所述中心服务器返回的查询结果,所述查询结果中包含有所述匹配的主机标识元组数据。
本发明的另ー个方面是提供一种终端,包括第一获取模块,用于接收数据包,确定所述数据包中包含有高危标识和摘要信息,所述高危标识和摘要信息为中心服务器在探測到所述数据包的发送主机的主机标识元组数据,且验证所述机标识元组数据为高危之后插入所述数据包的,所述发送主机的主机标识元组数据包括所述发送主机的物理地址、IP地址、连接的交換机端口号;收发模块,用于向中心服务器发送查询请求,所述查询请求包括所述摘要信息,以使所述中心服务器查询摘要存储数据库获取与所述摘要信息匹配的物理地址、根据所述物理地址查询主机标识元组数据库、获取与所述物理地址匹配的主机标识元组数据,所述摘要存储数据库包括所述中心服务器探測到的且验证为高危的数据包的发送主机的物理地址和摘要信息,所述主机标识元组数据库包括所述中心服务器探測到的且验证为高危的数据包的发送主机的主机标识元组数据;接收所述中心服务器返回的查询结果,所述查询结果中包含有所述物理地址匹配的主机标识元组数据。本发明的又ー个方面是提供一种主机标识追溯方法,包括中心服务器接收终端发送的查询请求,所述查询请求包括摘要信息;查询摘要存储数据库,获取与所述摘要信息匹配的物理地址;根据所述物理地址查询主机标识元组数据库,获取与所述物理地址匹配的主机标识元组数据,所述主机标识元组数据包括主机的物理地址、IP地址和所述主机连接的交換机端口号;向所述终端发送查询结果,所述查询结果中包含有所述匹配的主机标识元组数据。本发明的又ー个方面是提供一种中心服务器,包括接收模块,用于接收终端发送的查询请求,所述查询请求包括摘要信息;第二获取模块,用于查询摘要存储数据库,获取与所述摘要信息匹配的物理地址;根据所述物理地址,查询主机标识元组数据库,获取与所述物理地址匹配的主机标识元组数据,所述主机标识元组数据包括主机的物理地址、IP地址和所述主机连接的交换机端ロ号;发送模块,用于向所述终端发送查询结果,所述查询结果中包含有与所述匹配的主机标识元组数据。本发明的又ー个方面是提供一种主机标识追溯系统,包括終端和中心服务器;所述终端为上述終端;所述中心服务器为上述中心服务器。本发明实施例通过终端向中心服务器发送包含摘要信息的查询请求,中心服务器根据所述摘要信息,查询摘要存储数据库,获取与所述摘要信息匹配的物理地址,根据所述物理地址,查询主机标识元组数据库,获取与所述物理地址匹配的主机标识元组数据,所述主机标识元组数据包括所述数据包的发送主机的物理地址、IP地址、连接的交換机端口号,并将获取的主机标识元组数据发送给終端,从而使得終端可以根据中心服务器返回的主机标识元组数据对发送数据包的IP地址进行追溯,不仅能够解决现有的IPv4和IPv6异构网络中存在IP地址追溯较难的问题,而且提高了网络管理的安全性。
图I为现有技术提供的IPv6翻译机制的应用场景不意图;图2为本发明实施例一提供的主机标识追溯方法的流程示意图;图3为本发明实施例ニ提供的终端的结构示意图;图4为本发明实施例三提供的主机标识追溯方法的流程示意图;图5为本发明实施例四提供的中心服务器的结构示意图;图6为本发明实施例五提供的主机标识追溯系统的结构示意图。
具体实施例方式图2为本发明实施例一提供的主机标识追溯方法的流程示意图;如图2所示,所述方法包括步骤201、終端接收数据包,确定所述数据包中包含有高危标识和摘要信息,所述高危标识和摘要信息为中心服务器在探測到所述数据包的发送主机的主机标识元组数据,且验证所述机标识元组数据为高危之后插入所述数据包的,所述发送主机的主机标识元组数据包括所述发送主机的物理地址、IP地址、连接的交換机端口号。举例来说,假设终端位于IPV4网络,IPV4网络的边界路由器接收来自IPV6网络中的IPv6数据包,将IPv6数据包转换为IPv4数据包,在转换之前检查IPv6数据包的扩展包头,如果存在高危标识和摘要信息,则将该摘要信息记录在转换后的IPv4数据包的包头选项字段,并将IPv4数据包的服务类型的第8位置I (默认置0),标记该IPv4数据包是高危IPv6数据包转换的。表I是IPv4数据包的包头结构
权利要求
1.一种主机标识追溯方法,其特征在于,包括 终端接收数据包,确定所述数据包中包含有高危标识和摘要信息,所述高危标识和摘要信息为中心服务器在探测到所述数据包的发送主机的主机标识元组数据,且验证所述机标识元组数据为高危之后插入所述数据包的,所述发送主机的主机标识元组数据包括所述发送主机的物理地址、IP地址、连接的交换机端口号; 向中心服务器发送查询请求,所述查询请求包括所述摘要信息,以使所述中心服务器查询摘要存储数据库获取与所述摘要信息匹配的物理地址、根据所述物理地址查询主机标识元组数据库、获取与所述物理地址匹配的主机标识元组数据,所述摘要存储数据库包括所述中心服务器探测到的且验证为高危的数据包的发送主机的物理地址和摘要信息,所述主机标识元组数据库包括所述中心服务器探测到的且验证为高危的数据包的发送主机的主机标识元组数据; 接收所述中心服务器返回的查询结果,所述查询结果中包含有所述匹配的主机标识元组数据。
2.根据权利要求I所述的方法,其特征在于,所述确定所述数据包中包含有高危标识和摘要信息具体包括 若所述数据包为IPV4数据包,则查询所述数据包的包头选项,确定所述数据包的包头选项中包含有高危标识和摘要信息; 若所述数据包为IPV6数据包,则查询所述数据包的扩展包头选项,确定所述数据包的扩展包头选项中包含有高危标识和摘要信息。
3.—种终端,其特征在于,包括 第一获取模块,用于接收数据包,确定所述数据包中包含有高危标识和摘要信息,所述高危标识和摘要信息为中心服务器在探测到所述数据包的发送主机的主机标识元组数据,且验证所述机标识元组数据为高危之后插入所述数据包的,所述发送主机的主机标识元组数据包括所述发送主机的物理地址、IP地址、连接的交换机端口号; 收发模块,用于向中心服务器发送查询请求,所述查询请求包括所述摘要信息,以使所述中心服务器查询摘要存储数据库获取与所述摘要信息匹配的物理地址、根据所述物理地址查询主机标识元组数据库、获取与所述物理地址匹配的主机标识元组数据,所述摘要存储数据库包括所述中心服务器探测到的且验证为高危的数据包的发送主机的物理地址和摘要信息,所述主机标识元组数据库包括所述中心服务器探测到的且验证为高危的数据包的发送主机的主机标识元组数据;接收所述中心服务器返回的查询结果,所述查询结果中包含有所述物理地址匹配的主机标识元组数据。
4.根据权利要求3所述的终端,其特征在于,所述第一获取模块,具体用于若所述数据包为IPV4数据包,则查询所述数据包的包头选项,确定所述数据包的包头选项中包含有高危标识和摘要信息;若所述数据包为IPV6数据包,则查询所述数据包的扩展包头选项,确定所述数据包的扩展包头选项中包含有高危标识和摘要信息。
5.一种主机标识追溯方法,其特征在于,包括 中心服务器接收终端发送的查询请求,所述查询请求包括摘要信息; 查询摘要存储数据库,获取与所述摘要信息匹配的物理地址; 根据所述物理地址查询主机标识元组数据库,获取与所述物理地址匹配的主机标识元组数据,所述主机标识元组数据包括主机的物理地址、IP地址和所述主机连接的交换机端□号; 向所述终端发送查询结果,所述查询结果中包含有所述匹配的主机标识元组数据。
6.根据权利要求5所述的方法,其特征在于,所述中心服务器接收终端发送的查询请求之前包括 所述中心服务器接收数据包; 探测所述数据包的发送主机的主机标识元组数据,所述发送主机的主机标识元组数据包括发送主机的物理地址、IP地址、连接的交換机端口号; 验证所述发送主机的主机标识元组数据,若确定所述发送主机的主机标识元组数据是高危的,则生成所述数据包的摘要信息; 将所述数据包的摘要信息与所述发送主机的物理地址绑定后,储存到所述数据包的外部数据结构中,并将储存有所述数据包的摘要信息和所述发送主机的物理地址的外部数据结构保存到所述摘要存储数据库中; 在所述数据包中添加高危标识和所述数据包的摘要信息,并转发所述数据包; 所述在所述数据包中添加高危标识和所述数据包的摘要信息具体包括 若所述数据包为IPV4数据包,则在所述数据包的包头选项中添加高危标识和所述数据包的摘要信息; 若所述数据包为IPV6数据包,则在所述数据包的扩展包头选项中添加高危标识和所述数据包的摘要信息; 所述中心服务器验证所述发送主机的主机标识元组数据具体包括 所述中心服务器根据所述发送主机的物理地址,查询所述主机标识元组数据库,若查询不到与所述发送主机的物理地址匹配的主机标识元组数据,则确定所述发送主机的主机标识元组数据是高危的; 所述验证所述发送主机的主机标识元组数据具体还包括 所述中心服务器根据所述发送主机的物理地址,查询所述主机标识元组数据库,获取到与所述发送主机的物理地址匹配的主机标识元组数据; 若所述匹配的主机标识元组数据中的IP地址与所述发送主机的IP地址不同,或者,所述匹配的主机标识元组数据中的交換机端ロ号与所述发送主机连接的交換机端口号不同,则确定所述发送主机的主机标识元组数据是高危的; 所述中心服务器验证所述发送主机的所述主机标识元组数据具体还包括 所述中心服务器根据所述发送主机连接的交換机端口号,查询所述主机标识元组数据库,获取与所述发送主机连接的交換机端口号匹配的主机标识元组数据; 若所述匹配的主机标识元组数据中的物理地址,与所述发送主机的物理地址不同,则确定所述发送主机的主机标识元组数据是高危的; 若所述主机标识元组数据中还包括第一指针信息,所述第一指针信息表示所述主机标识元组数据为正常;则所述确定所述发送主机的主机标识元组数据是高危之后还包括所述中心服务器将所述发送主机的主机标识元组数据的第一指针信息修改为第二指针信息,所述第二指针信息表示所述主机标识元组数据为高危,且指向储存有所述数据包的摘要信息与所述发送主机的物理地址的外部数据结构;将修改为第二指针信息后的所述发送主机的主机标识元组数据保存到所述主机标识元组数据库中; 若所述主机标识元组数据中还包括生存期值,则将修改为第二指针信息后的所述发送主机的主机标识元组数据保存到所述主机标识元组数据库中之后还包括 所述中心服务器根据系统当前时间,将所述主机标识元组数据库中保存的所述发送主机的主机标识元组数据中的生存期值递增或递减; 若所述主机标识元组数据库中保存的所述发送主机的主机标识元组数据中的生存期值等于预设的生存期阈值,则将所述发送主机的主机标识元组数据中的第二指针信息修改为第一指针信息。
7.—种中心服务器,其特征在于,包括 接收模块,用于接收终端发送的查询请求,所述查询请求包括摘要信息; 第二获取模块,用于查询摘要存储数据库,获取与所述摘要信息匹配的物理地址;根据所述物理地址,查询主机标识元组数据库,获取与所述物理地址匹配的主机标识元组数据,所述主机标识元组数据包括主机的物理地址、IP地址和所述主机连接的交换机端口号; 发送模块,用于向所述终端发送查询结果,所述查询结果中包含有与所述匹配的主机标识元组数据。
8.根据权利要求7所述的中心服务器,其特征在于,还包括 探测模块,用于接收数据包;探测所述数据包的发送主机的主机标识元组数据,所述发送主机的主机标识元组数据包括发送主机的物理地址、IP地址、连接的交换机端口号; 验证模块,用于验证所述发送主机的主机标识元组数据,若确定所述发送主机的主机标识元组数据是高危的,则生成所述数据包的摘要信息; 第一储存模块,用于将所述数据包的摘要信息与所述发送主机的物理地址绑定后,储存到所述数据包的外部数据结构中,并将储存有所述数据包的摘要信息和所述发送主机的物理地址的外部数据结构保存到所述摘要存储数据库中; 添加模块,用于在所述数据包中添加高危标识和所述数据包的摘要信息,并转发所述数据包; 所述添加模块,具体用于若所述数据包为IPV4数据包,则在所述数据包的包头选项中添加高危标识和所述数据包的摘要信息;若所述数据包为IPV6数据包,则在所述数据包的扩展包头选项中添加高危标识和所述数据包的摘要信息; 所述验证模块具体包括 第一查询单元,用于根据所述发送主机的物理地址,查询所述主机标识元组数据库;第一确定单元,用于若查询不到与所述发送主机的物理地址匹配的主机标识元组数据,则确定所述发送主机的主机标识元组数据是高危的; 所述第一查询单元,还用于根据所述发送主机的物理地址,查询所述主机标识元组数据库,获取到与所述发送主机的物理地址匹配的主机标识元组数据; 所述验证模块具体还包括 第二确定单元,用于若所述匹配的主机标识元组数据中的IP地址与所述发送主机的IP地址不同,或者,所述匹配的主机标识元组数据中的交换机端口号与所述发送主机连接的交换机端口号不同,则确定所述发送主机的主机标识元组数据是高危的;所述验证模块具体还包括 第二查询单元,用于根据所述发送主机连接的交換机端口号,查询所述主机标识元组数据库,获取与所述发送主机连接的交換机端口号匹配的主机标识元组数据; 第三确定单元,用于若所述匹配的主机标识元组数据中的物理地址,与所述发送主机的物理地址不同,则确定所述发送主机的主机标识元组数据是高危的; 若所述主机标识元组数据中还包括第一指针信息,所述第一指针信息表示所述主机标识元组数据为正常; 所述中心服务器还包括 修改模块,用于将所述发送主机的主机标识元组数据的第一指针信息修改为第二指针信息,所述第二指针信息表示所述主机标识元组数据为高危,且指向储存有所述数据包的摘要信息与所述发送主机的物理地址的外部数据结构; 第二储存模块,用于将修改为第二指针信息后的所述发送主机的主机标识元组数据保存到所述主机标识元组数据库中; 若所述主机标识元组数据中还包括生存期值,所述中心服务器还包括 检测模块,用于根据系统当前时间,将所述主机标识元组数据库中保存的所述发送主机的主机标识元组数据中的生存期值递增或递减; 所述修改模块,还用于若所述主机标识元组数据库中保存的所述发送主机的主机标识元组数据中的生存期值等于预设的生存期阈值,则将所述发送主机的主机标识元组数据中的第二指针信息修改为第一指针信息。
9.一种主机标识追溯系统,其特征在于,包括終端和中心服务器; 所述终端为如权利要求3-4中任一项所述的终端; 所述中心服务器为权利要求7-8中任一项所述的中心服务器。
全文摘要
本发明提供主机标识追溯方法及系统、终端、中心服务器,方法包括终端接收数据包,确定数据包中包含高危标识和摘要信息,高危标识和摘要信息为中心服务器在探测到数据包的发送主机的主机标识元组数据,验证主机标识元组数据为高危之后插入数据包的,发送主机的主机标识元组数据包括发送主机的物理地址、IP地址、连接的交换机端口号;向中心服务器发送查询请求,查询请求包括摘要信息,以使中心服务器查询摘要存储数据库获取与摘要信息匹配的物理地址、根据物理地址查询主机标识元组数据库、获取与物理地址匹配的主机标识元组数据;接收中心服务器返回的查询结果,查询结果中包含主机标识元组数据;解决了现有异构网络中IP地址追溯难的问题。
文档编号H04L29/08GK102685133SQ201210148900
公开日2012年9月19日 申请日期2012年5月14日 优先权日2012年5月14日
发明者朱田, 田野, 马迪 申请人:中国科学院计算机网络信息中心