基于时空的IPv6地址溯源方法与流程

本公开涉及网络安全领域，尤其涉及一种基于时空的ipv6地址溯源方法。

背景技术

近年来，随中国近日发布《推进互联网协议第六版(ipv6)规模部署行动计划》，推动建设ipv6商用网络。当前，基于ipv6的下一代互联网成为各国推动新科技产业革命和重塑国家竞争力的先导领域，亚太互联网信息中心预测，10年内ipv4将全面退出历史舞台，互联网将全面转向ipv6。

40多年前，刚起步的互联网是美国国防部和高校的内部网络，不需特别关注网络安全。ipv4对上网用户动态分配地址，地址与身份不关联，也无从溯源。但当互联网从小范围网络发展为全社会信息基础设施，其源地址验证缺失的体系结构缺陷一直存在，导致网络攻击等安全事件泛滥。

在ipv4协议阶段，数据在网上传输时，不仅无法实现对作为数据接收方的用户溯源，更严重的结构缺陷是对数据发出方不做任何检查，这在真实的物理世界中是不可想象的。目前还无法进行ipv6地址溯源，因此需要一种技术手段能够分析特定的ipv6地址，从而根据ipv6地址分析出上网的人、空间、时间等信息从而可以彻底解决遗留的安全漏洞。

技术实现要素：

(一)要解决的技术问题

本公开提供了一种基于时空的ipv6地址溯源方法，以至少部分解决以上所提出的技术问题。

(二)技术方案

根据本公开的一个方面，提供了一种基于时空的ipv6地址溯源方法，包括：

s1，获取到ipv6地址参数，记录此时的时间，获取用户的时间信息；

s2，分析获得的ipv6地址，通过解压缩算法分析得出压缩后的用户地址信息，以及通过数据库进行查找获取用户信息。

在本公开一些实施例中，通过分析ipv6地址的后64位，获取压缩后的用户地址信息及用户信息。

在本公开一些实施例中，所述步骤s1中，当获得一个ipv6地址并将对地址进行追溯时，将此时的时间作为要追溯的用户的时间信息。

在本公开一些实施例中，所述步骤s2包括：

s201，通过分析ipv6地址的后8字节中的前5字节得到用户地理位置信息；

s202，通过分析ipv6地址的后8字节中的后3字节得到用户信息。

在本公开一些实施例中，所述步骤s201包括：

对服务器的地理位置进行采集，

通过解压缩算法得到用户与服务器地理信息进行比较的相对地理信息，

通过服务器的地理位置与相对地理信息运算得到用户所在的地理位置的信息。

在本公开一些实施例中，所述ipv6地址后8字节中前5字节的地理位置信息，是根据数字压缩算法将转化为十六进制的相对地理信息进行压缩得到的，所述解压缩算法包括进行相反的操作，得到与服务器地理信息进行比较的相对地理信息。

在本公开一些实施例中，ipv6地址后8字节中前5字节的地理信息通过解压缩后是十六进制的信息，由此还将十六进制转化为十进制，此时得到的十进制数据为扩大了100000倍的相对地理信息。

在本公开一些实施例中，步骤s202中，通过分析ipv6地址的后8字节中的后3字节得到用户信息时，ipv6地址后3字节为用户账号对应的编码，通过该编码进入用户信息数据库进行反向查找，得到对应的到用户信息。

在本公开一些实施例中，获得ipv6地址的后3字节就是对应用户在用户信息数据库中对应的24位编码信息。

在本公开一些实施例中，当用户终端物理获得ipv6地址时，用户终端会获得ipv6生成法生成的ipv6地址。

(三)有益效果

从上述技术方案可以看出，本公开基于时空的ipv6地址溯源方法至少具有以下有益效果其中之一：

(1)通过ipv6协议的后64位的使用，可以从技术上解决网络实名制和用户身份溯源问题，实现网络精准管理；由于能够精准定位，提高了网络安全性；在ipv6部署过程中，通过采用地址编码技术识别ip地址类型，地址编码可精确到区县级；

(2)由于采取实时动态定位模式时，每站观测仅需几秒钟，因此追溯时间短；随着地址信息的不断完善，20km以内相对静态定位，仅需1-2分钟；

(3)地址追溯法具有更强的适应性，对环境的要求非常小，无论沙漠、山顶、孤岛等等，只要能获取到ipv6地址，就可以获取到地址位置信息。

附图说明

图1为本公开实施例ipv6系统示意图。

图2为本公开实施例基于时空的ipv6地址溯源方法流程图。

具体实施方式

为解决ipv6现有技术中存在的安全问题，本公开提出基于时空的ipv6地址溯源方法。图1为本公开实施例ipv6系统示意图。如图1所示，所述系统包括dhcpv6服务器、用户信息数据库、交换机及用户终端，其中所述dhcpv6服务器、用户信息数据库及用户终端均连接到交换机。通过在用户上网的时候获得的用户终端ipv6地址，对ipv6生成法生成的ipv6地址进行分析，获取用户信息、时间以及空间信息。所述用户终端包括pc、笔记本、手机及平板等。通过ipv6协议的“超大地址空间”可以从技术上解决网络实名制和用户身份溯源问题，实现网络精准管理。

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

本公开某些实施例于后方将参照所附附图做更全面性地描述，其中一些但并非全部的实施例将被示出。实际上，本公开的各种实施例可以许多不同形式实现，而不应被解释为限于此数所阐述的实施例；相对地，提供这些实施例使得本公开满足适用的法律要求。

在本公开的第一个示例性实施例中，提供了一种基于时空的ipv6地址溯源方法。该方法基于ipv6协议栈的本地链路地址进行追溯，并且和ipv6生成法保持一致，最终获得用户身份、地理位置及时间信息。图2为本公开第一实施例基于时空的ipv6地址溯源方法流程图。如图2所示，本公开基于时空的ipv6地址溯源方法包括：

步骤s1、获取到ipv6地址参数，记录此时的时间，获取用户的时间信息；

步骤s2、分析获得的ipv6地址，通过解压缩算法分析得出压缩后的用户地址信息，以及通过数据库进行查找获取用户信息。其中，分析获得的ipv6地址主要是分析后64位，即后8字节。

以下分别对本实施例基于时空的ipv6地址溯源方法的各个步骤部分进行详细描述。

所述步骤s1中，所述ipv6地址参数根据ipv6地址生成法获取得到，即获取dhcpv6服务器分配给终端用户ipv6地址；该方法的执行主体包括一处理器，该处理器能够获取得到用户数据库信息以便获取上网人的身份信息。在一实施例中，所述执行主体可以在交换机内，所述dhcpv6服务器分配给终端用户的ipv6地址是唯一的输入参数。

当获取用户终端ipv6地址后，对所述获取的到的ipv6地址进行追溯，而通过ipv6生成法知道ipv6地址信息的后64位并没有需要的时间信息，因此采用如下方法认定时间信息：

当获得一个ipv6地址并将对地址进行追溯时，认为此时的时间为要追溯的用户的时间信息，所述时间信息和最终分析出来的地理信息和用户信息进行融合，得到根据ipv6地址追溯获得的用户、时间、地理位置信息。

所述步骤s2中通过解压缩算法分析得出压缩后的用户地址信息，以及通过数据库进行查找获取用户信息，具体包括：

步骤s201、通过分析ipv6地址的后8字节中的前5字节得到用户地理位置信息。根据ipv6生成法得知，ipv6后8字节中前5字节是地理位置信息，是根据数字压缩算法将转化为十六进制的相对地理信息进行压缩，所以相反的进行操作可得到与dhcpv6服务器地理信息进行比较的相对地理信息。

其中，获取dhcpv6服务器地理位置时，ipv6地址追溯方法需要与ipv6地址生成法保持一致。由此得知当根据ipv6地址生成法所得到的ipv6地址的后64位中，所解析出来的地理信息是相对地理位置，也就是说根据dhcpv6服务器的地理信息比对后进行下发，所以还需要获取dhcpv6服务器的地理位置。因此，在所述步骤s201中，首先应对dhcpv6服务器的地理位置进行采集。

所述步骤s201中，解压缩算法要与ipv6地址生成法保持一致，因为ipv6地址位数有限，所以填充到ipv6后64位地址必定是进行过压缩的。由dhcpv6生成法得知，填充到ipv6地址后8字节中前5字节是地理信息，通过解压缩后发现是十六进制的信息，由此还将十六进制转化为十进制，此时得到的十进制是扩大了100000倍的相对地理信息。可知相对地理信息不是正在用户的地理位置，是用户的绝对地理信息与dhcpv6服务器的地理信息做了运算得到的。得到相应的ipv6地址，获取后64位，通过分析后解压缩得到相应的信息。在获得dhcpv6服务器的信息后，做运算就可追溯到此时用户所在的地理位置的信息。

步骤s202、通过分析ipv6地址的后8字节中的后3字节得到用户信息。是根据ipv6生成法得知后3字节是用户账号对应的编码，通过进数据库进行反向查找根据编码信息对应的到用户信息。

当用户终端物理获得ipv6地址时，无论是有线终端插上网线并开机，或者是无线终端连上无线ap信号时，用户终端会获得ipv6生成法生成的ipv6地址。用户在上网时，首先需要有自己的账号，在需要获取ipv6地址时，用户信息数据库服务器会进数据库进行查找，获得用户的账号与对应的24位编码。由ipv6生成法可以得知，填充到ipv6地址后8字节中后3字节是用户信息，获得地址的后3字节就是对应用户在数据库中对应的24位编码信息，根据获取的24位编码进入到数据库中查找，就可以获得用户的账号信息，由此可追溯到此时用户的身份信息。

在完成上述步骤之后，将所述时间信息和最终分析出来的地理信息和用户信息进行融合，即可得到用户身份信息、时间信息和地理位置信息。

至此，已经结合附图对本公开实施例进行了详细描述。需要说明的是，在附图或说明书正文中，未绘示或描述的实现方式，均为所属技术领域中普通技术人员所知的形式，并未进行详细说明。此外，上述对各元件和方法的定义并不仅限于实施例中提到的各种具体结构、形状或方式，本领域普通技术人员可对其进行简单地更改或替换。

此外，除非特别描述或必须依序发生的步骤，上述步骤的顺序并无限制于以上所列，且可根据所需设计而变化或重新安排。并且上述实施例可基于设计及可靠度的考虑，彼此混合搭配使用或与其他实施例混合搭配使用，即不同实施例中的技术特征可以自由组合形成更多的实施例。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本公开也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本公开的内容，并且上面对特定语言所做的描述是为了披露本公开的最佳实施方式。

本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。本公开的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本公开实施例的相关设备中的一些或者全部部件的一些或者全部功能。本公开还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本公开的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。并且，在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。

类似地，应当理解，为了精简本公开并帮助理解各个公开方面中的一个或多个，在上面对本公开的示例性实施例的描述中，本公开的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本公开要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，公开方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本公开的单独实施例。

以上所述的具体实施例，对本公开的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本公开的具体实施例而已，并不用于限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。