一种IPv6网络节点身份安全保护方法与流程

本发明涉及ipv6网络技术领域，具体涉及一种ipv6网络节点身份安全保护方法。

背景技术：

随着ipv6发展计划实施推行以及移动互联网、物联网的迅速扩张，网络环境正在发生翻天覆地的变化。目前多国已经开始ipv6根服务器的架设，ipv6双栈化改造和ipv6无线网络已逐步实施。互联网主流应用已支持ipv6访问，用户访问流量迅速增长，接入网络的各类新型节点设备数量呈爆炸式增长，现实世界的信息将会越来越多的在虚拟网络中的传输，但ipv6协议中的ip地址固定且公开，用户节点个人行为与隐私信息完全暴露在互联网上。

注：网络节点是指网络中拥有独立地址且具有传送或接收数据功能的单元，它可以是网络的再分发点，如交换机、路由器、服务器，也可以是网络的末端，如传感器、个人计算机等。

随着ipv6网络的部署，每个网络节点都能分配全球唯一的单播ip地址，参见图1，图1为ipv6网络单播ip地址结构；该ip地址有128位，前64位为子网前缀，当接入不同子网时会发生变化；后64位为接口标识符，一般根据节点设备的物理地址生成(eui-64是下一代网络适配器mac地址，采用64位编码)。由于eui-64地址的唯一性，无论节点设备接入哪个子网，其ip地址的后64位都是不变的，这就导致节点设备在网络中有始终被跟踪的风险。

针对节点身份无法隐匿的问题，rfc4941描述了另一种产生ipv6接口标识符的方法，即随机生成一组64位的数作为接口标识符。这组随机数实际上是节点历史ip地址的128位md5值的后64位，这种计算方法在一定程度上保护了节点的身份信息，但是恶意用户还是可以通过节点的历史ip地址使用相同的计算得到该节点未来的ip地址组合，再通过地址扫描就能找到变换ip后的节点。

由此可见，ipv6网络节点的身份安全问题一直没有得到有效的解决，下一代网络节点与用户的隐私面临严峻挑战。

技术实现要素：

本发明所要解决的技术问题是针对上述现有技术的不足提供一种ipv6网络节点身份安全保护方法，本ipv6网络节点身份安全保护方法采用安全申请与组合运算得出节点的ipv6单播地址后64位地址，可以有效的隐藏ipv6网络节点身份，极大的保护了用户的隐私和网络的安全。

为实现上述技术目的，本发明采取的技术方案为：

一种ipv6网络节点身份安全保护方法，包括以下步骤：

步骤1：将待接入互联网的节点a注册的路由器作为节点a的初始入网路由器，给初始入网路由器和节点a注入相同的一组密钥k1，节点a保存该初始入网路由器的全球唯一单播ip地址和k1对应的密钥组号；

步骤2：节点a通过ipv6的邻居发现协议发现子网i路由器并获取子网i路由器分配的随机的临时子网ip地址；

步骤3:节点a利用获得的临时子网ip地址向子网i路由器发送接入互联网的请求消息，该请求消息包括节点a的初始入网路由器的全球唯一单播ip地址以及密钥k1对应的密钥组号；

步骤4：子网i路由器通过请求消息内的全球唯一单播ip地址查询到节点a的初始入网路由器，并采用密钥中继的方式获取初始入网路由器内的且与请求消息内的密钥组号对应的密钥k1；

步骤5：子网i路由器采用获取的密钥k1对64位的子网i路由器唯一pin码和一组64位随机数进行加密，获得加密密文x；

步骤6：子网i路由器将加密密文x反馈给节点a；

步骤7：节点a获得子网i路由器的反馈消息后，采用自身的密钥k1对加密密文x进行解密，获得pin码与随机数，节点a将pin码与随机数的hash值反馈给子网i路由器；

步骤8：子网i路由器判断节点a反馈的pin码与随机数的hash值与自身的唯一pin码和一组64位随机数的hash值是否一致，若一致，则反馈正确消息到节点a，否则返回步骤6重新发送加密密文x到节点a，直到子网i路由器反馈正确消息到节点a为止；

步骤9：节点a获取子网i路由器反馈的正确消息后，将正确的pin码、随机数和节点a的mac地址进行组合计算，得到64位数值，将该64位数值作为自身的全球唯一单播ip地址的接口标识符。

作为本发明进一步改进的技术方案，所述的步骤1包括：

判断待接入互联网的节点a是否需要注册，若节点a已在互联网中的一个路由器中注册过则执行步骤2，否则在最近位置的路由器中存入节点a的mac地址完成注册；其中节点a注册的路由器为节点a的初始入网路由器，给初始入网路由器和节点a注入相同的一组密钥k1，节点a保存该初始入网路由器的全球唯一单播ip地址和k1对应的密钥组号。

作为本发明进一步改进的技术方案，所述的步骤4包括：

(1)子网i路由器通过请求消息内的全球唯一单播ip地址查询到节点a的初始入网路由器；

(2)子网i路由器向节点a的初始入网路由器发出密钥请求，该密钥请求包括密钥组号；

(3)采用密钥中继的方式使子网i路由器获取初始入网路由器内的且与密钥组号对应的密钥k1；

所述的密钥中继的方式包括：

子网i路由器和初始入网路由器之间设有节点x和节点y，子网i路由器与节点x区域相邻且共享一对密钥kx，节点x与节点y区域相邻且共享一对密钥kxy，节点y与初始入网路由器区域相邻并互联并共享一对密钥ky；

初始入网路由器采用密钥ky对与密钥组号对应的密钥k1进行加密，得到密文ky1，并将密文ky1传输到节点y；

节点y采用密钥ky对密文ky1进行解密，得到密钥k1；节点y采用密钥kxy对密钥k1进行加密，得到密文kxy1，并将密文kxy1传输到节点x；

节点x采用密钥kxy对密文kxy1进行解密，得到密钥k1；节点x采用密钥kx对密钥k1进行加密，得到密文kx1，并将密文kx1传输到子网i路由器；

子网i路由器采用密钥kx对密文kx1进行解密，得到密钥k1。

4、根据权利要求2所述的ipv6网络节点身份安全保护方法，其特征在于，所述的步骤9内的将正确的pin码、随机数和节点a的mac地址进行组合计算的计算公式可以为：

其中y为64位数值，x1为pin码，x2为随机数，x3为节点a的mac地址。

本发明的有益效果为：本发明的ipv6网络节点身份安全保护方法可以有效的隐藏ipv6网络节点身份，不同于现有的ipv6单播地址后64位地址固定或按一定规律随机的方式，本发明采用安全申请与组合运算得出ipv6单播地址后64位地址，使得全球唯一单播ip地址的接口标识符与节点的关系得到隐藏保护，恶意用户无法获取单播ip地址的接口标识符的安全申请和运算过程，在网络中无法被跟踪；且节点接入的子网不同，则ip地址的接口标识符不同，安全性更高，因此可以有效的隐藏ipv6网络节点身份；另外，在监管部门需要监管时，可利用子网路由器中安全存储的地址运算信息查到节点身份，既能避免非法用户在网络中查询到节点的身份，也能让监管部门追查到违法信息发布的源头，极大的保护了用户的隐私和网络的安全。

附图说明

图1为ipv6网络单播ip地址结构。

图2为实施例中节点网络连接示意图。

图3为实施例中密钥中继方式的示意图。

图4为节点a申请全球唯一单播ip地址的接口标识符的序列图。

具体实施方式

下面根据图1至图4对本发明的具体实施方式作出进一步说明：

图1为ipv6网络单播ip地址结构，该ip地址有128位，前64位为子网前缀，当接入不同子网时会发生变化；后64位为接口标识符，一般根据节点设备的物理地址生成。

针对网络节点单播ip地址的身份隐匿需求，本实施例对单播地址后64位采用mac+pin+key的组合运算生成(其中key为下文的随机数)，在严密保证节点身份信息的前提下，不影响正常数据通信，并且还能让监管部门在授权的情况下对节点进行身份识别。

参见图2，图2表示一个节点网络连接，其中节点a和节点b接入子网i，通过子网i路由器连入互联网，而互联网每个区域有一个汇总路由器，汇总路由器彼此构成区域之间的互联互通，如图中区域a汇总路由器、区域b汇总路由器、区域c汇总路由器互联互通。

本实施例以节点a为例，描述节点a的全球唯一单播地址的生成步骤，具体如下：

参见图4，一种ipv6网络节点身份安全保护方法，包括以下步骤：

步骤1：节点a接入互联网前首先判断节点a是否需要进行注册，若节点a已在互联网中的一个路由器中注册过则执行步骤2，否则在最近位置的路由器中存入节点a的mac地址完成注册；其中节点a注册的路由器为节点a的初始入网路由器，给初始入网路由器和节点a注入相同的一组密钥k1，节点a保存该初始入网路由器的全球唯一单播ip地址和k1对应的密钥组号；

步骤2：节点a接入子网i时，节点a通过ipv6的邻居发现协议发现子网i路由器并获取子网i路由器分配的随机的临时子网ip地址；即节点a向子网i路由器申请临时子网ip地址，子网i路由器分配随机的临时子网ip地址到节点a；

步骤3:节点a利用获得的临时子网ip地址向子网i路由器发送接入互联网的请求消息，该请求消息包括节点a的初始入网路由器的全球唯一单播ip地址以及密钥k1对应的密钥组号；

步骤4：子网i路由器通过请求消息内的全球唯一单播ip地址查询到节点a的初始入网路由器，并采用密钥中继的方式获取初始入网路由器内的且与请求消息内的密钥组号对应的密钥k1；

步骤5：子网i路由器采用获取的密钥k1对64位的子网i路由器唯一pin码和一组64位随机数进行加密，获得加密密文x；

步骤6：子网i路由器将加密密文x反馈给节点a；

步骤7：节点a获得子网i路由器的反馈消息后，采用自身的密钥k1对加密密文x进行解密，获得pin码与随机数，节点a将pin码与随机数的hash值反馈给子网i路由器，用于确认节点a是否收到正确的消息；

步骤8：子网i路由器判断节点a反馈的pin码与随机数的hash值与自身的唯一pin码和一组64位随机数的hash值是否一致，若一致，则反馈正确消息到节点a，否则返回步骤6重新发送加密密文x到节点a，直到子网i路由器反馈正确消息到节点a为止；

步骤9：节点a获取子网i路由器反馈的正确消息后，将正确的pin码、随机数和节点a的mac地址进行组合计算，得到64位数值，将该64位数值作为自身的全球唯一单播ip地址的接口标识符。该组合计算方法可以是三者异或后的结果，也可以是其他算法。

步骤9内的将正确的pin码、随机数和节点a的mac地址进行组合计算的异或公式为：

其中y为64位数值，x1为pin码，x2为随机数，x3为节点a的mac地址。

本实施例中的步骤4具体包括：

(1)子网i路由器通过请求消息内的全球唯一单播ip地址查询到节点a的初始入网路由器；

(2)子网i路由器向节点a的初始入网路由器发出密钥请求，该密钥请求包括密钥组号；

(3)采用密钥中继的方式使子网i路由器获取初始入网路由器内的且与密钥组号对应的密钥k1；

如图3所示，密钥中继的方式是由多个中继点以一定拓扑结构结合完成，在中继点密钥进行异或操作，密钥经过异或之后传输给下一节点，最终任意两个用户之间都可以获取全局密钥，实现密钥跨域共享,图3中节点x和节点y表示不同区域的汇总路由器，具体包括：

如图3，子网i路由器和初始入网路由器之间设有节点x和节点y(节点x和节点y属于中继点)，子网i路由器与节点x区域相邻且共享一对密钥kx，节点x与节点y区域相邻且共享一对密钥kxy，节点y与初始入网路由器区域相邻并互联并共享一对密钥ky；

初始入网路由器采用密钥ky对与密钥组号对应的密钥k1进行加密，得到密文ky1，并将密文ky1传输到节点y；

节点y采用密钥ky对密文ky1进行解密，得到密钥k1；节点y采用密钥kxy对密钥k1进行加密，得到密文kxy1，并将密文kxy1传输到节点x；

节点x采用密钥kxy对密文kxy1进行解密，得到密钥k1；节点x采用密钥kx对密钥k1进行加密，得到密文kx1，并将密文kx1传输到子网i路由器；

子网i路由器采用密钥kx对密文kx1进行解密，得到密钥k1。

上述子网i路由器和初始入网路由器之间的节点数量不限制，都可以采用密钥中继的方式获取密钥k1。

节点a可在任意子网接入，步骤和上述一致。此时，若有监管需要，对ip包进行解析，可以先找到子网i路由器，再利用子网i路由器中存入的pin值和随机数，算出对应的ip地址，从而可正确识出别隐匿的节点a身份。

所述ipv6网络节点的ip地址获取方式兼容现有ipv6地址分配方式，路由之间加密传输数据兼容ipsec协议。

使用本发明的ipv6身份安全技术方法可以有效的隐藏ipv6网络节点身份，不同于现有的ipv6单播地址后64位地址固定或按一定规律随机的方式，本发明为采用安全申请与运算得出ipv6单播地址后64位地址的方法，使得ip地址与节点的关系得到隐藏保护，并且在监管部门需要监管时，可利用子网路由器中安全存储的地址运算信息查到节点身份，既能避免非法用户在网络中查询到节点的身份，也能让监管部门追查到违法信息发布的源头，极大的保护了用户的隐私和网络的安全。

本发明的保护范围包括但不限于以上实施方式，本发明的保护范围以权利要求书为准，任何对本技术做出的本领域的技术人员容易想到的替换、变形、改进均落入本发明的保护范围。