一种基于IPv6可编码可溯源的网络传输规则验证方法与流程

一种基于ipv6可编码可溯源的网络传输规则验证方法
技术领域
1.本发明属于互联网通信与网络安全技术领域，特别涉及一种基于ipv6可编码可溯源的网络传输规则验证方法。


背景技术：

2.互联网经济时代，数据是新的生产要素，是基础性资源和战略性资源，也是重要生产力，要构建以数据为关键要素的数字经济。数字对象是数据的外在表现方式，当前为了保护重要数字对象不被其非法的利用，以及防止非法数字对象在互联网上流通，有必要对数字对象进行网络上的唯一标识，制定其编码和溯源方案。当前针对数字对象的编码和溯源的解决方案主要是在互联网的应用层进行的，为了保护数字对象的合理流动，一般通过waf(应用层防火墙)、ids(深度包检测)等技术，并消耗强大的计算存储能力才能实现一部分网络的防护和管控，且无法做到针对数字对象全网的追溯和细颗粒度的管控。
3.ipv6是ipv4的下一代版本，它使地址从原来的32位升级到了128位，总数为2-128个，这个空间大到无法想象，号称可以为全世界的每一粒沙子编上一个地址。传统意义上ip地址被用来分配给接入互联网的物理设备，如路由器、交换机、服务器、pc、手机等。物理设备的数量，制约了ip地址的使用量；理论上，一国网络基础设施基建规模和网民数量，是ip地址的使用上限。随着互联网的发展，在实际应用中，也出现了面向虚拟服务应用分配ip地址的案例，典型如虚拟机或cdn配置多个ip地址，向不同用户呈现不同目的ip地址。随着云计算和边缘计算模式的兴起，越来越多的ip地址将与网络空间中的虚拟实体、而非物理设施发生关联和绑定关系。随着互联网的发展，在实际应用中，互联网在网络传输将会出现诸多问题，互联网的使用安全将无法保证，没有规矩不成方圆，凡事均需按照一定的规则行动才能得到满意结果，互联网网络传输规则是互联网的使用安全防护的保证；为我们探索ipv6地址在互联网业务应用和基础信息服务上的创新分配和应用提供了理论依据和应用基础。


技术实现要素：

4.本发明的目的是提出一种基于ipv6可编码可溯源的网络传输规则验证方法，其特征在于，该方法通过对数字对象进行hash运算，获得64位二进制编码，或16位16进制编码，利用获得的编码生成ipv6地址；同时使用这个ipv6地址作为访问该数据的路由地址；其中，数字对象是实体的图片、文档和视频的数字内容，或是一个url访问的数据内容；从而实现以数据内容为中心的网络，使用数字对象对应的ipv6地址就可以访问数字对象对应的内容，实现从网络层就可以管控和溯源数字对象的传输；实现从网络层就可以管控和溯源数字对象的传输包括对数据ipv6的统一编码、支持数据ipv6的新型域名系统和对数据ipv6的网络传输规则进行验证；具体包括：
5.所述对数据ipv6地址的统一编码，在对数据ipv6地址的统一编码中，用户身份信息、视频、音频、文档文件信息都是通过hash映射到64位网络位置和后64位ipv6地址，形成
内容标识信息，然后发送至as0，在此与专家审核结果一起分别将标识信息发给对象信息数据库、将路由信息发给网络传输安全验证数据库和将文件发给as1，as2,as3；后64位ipv6地址被用来存储内容标识信息；该内容标识信息通过使用md5、sha1、sha224、sha256、sha384、sha512对标识内容执行hash算法后，获取到唯一的hash编码，然后将获取到的hash编码截取64位二进制作为内容标识，同时填充64位网络位置标识就成为完整的ipv6标识；同时64位内容标识转换为16位进制后，加上所在内容标识的类型和所在域名区，就成为完整的域名标识；
6.所述数据ipv6的新型域名系统是对url格式的数字对象进行标识，形成可编码可溯源的数字对象，生成对应的ipv6地址，便于生产服务流程中的自动化分配ipv6地址；同时还提供ipv6地址到数据url的反向解析查询；所述对数据ipv6的网络传输规则进行验证包括数据出域规则、先行审核的数据出域规则、跨境平台管理的数据截断；
7.所述对数据ipv6的网络传输规则进行验证，是发送方将数据发送至接收方的模块，包括：(1)跨境传输的数据上传平台，域名a；(2)生成hash编码a，文件ipv6地址生成是由hash映射获得的内容标识(64位)和网络位置(64位)共同拼接生成的；(3)网络传输规则，专家对专网网络传输审核、网络数据溯源进行网络数据传输管控，即后64位匹配a；其中a代表64位hash编码a；(4)接收端边缘网关传输规则，实现ipv6地址编码信息与(2)生成hash编码a同步传输；(5)数据传输完成。
8.本发明有益效果是提出了一种新型ipv6地址分配和应用思路，将互联网业务应用和基础信息服务结合起来，不仅着眼于终端设备的ipv6地址分配，更要聚焦于设备所承载的上层应用及信息内容的ipv6地址分配规则，即将ipv6地址分配对象从物理设备数据扩展到网络空间的数字对象、尤其是多媒体数字对象(文字、图片、音频、视频等)，斩断ipv6地址，在“位置标识”和“身份标识”之间建立映射关系，即从ipv6地址的分配规则上，明确ipv6地址所代表的数字对象，赋予监管部门从ipv6地址本身获知访问对象的身份和属性信息的能力。将ipv6数据地址映射到系统内部实际提供视频服务的ip地址，使得视频服务系统内部的拓扑结构并不需要重构。
附图说明
9.图1为对数据ipv6地址的统一编码示意图。
10.图2为对数据ipv6网络传输规则的验证示意图。
11.图3为数据出域规则示意图。
12.图4为进行先行审核的数据出域规则示意图。
13.图5为跨境平台管理的数据截断规则图。
14.图6为数据文件位置追溯。
15.具体实施方式
16.本发明提出一种基于ipv6的可编码可溯源的数字对象管控方法，该方法通过对数字对象进行hash运算，获得64位二进制编码，或16位16进制编码，利用获得的编码生成ipv6地址；同时使用这个ipv6地址作为访问该数据的路由地址；所述数字对象是实体的图片、文档和视频数字对象，或是一个url访问的数字对象；从而实现以数据内容为中心的网络，使用数字对象的对应的ipv6地址就可以访问数字对象对应的内容，并且在网络上实现从网络
层就可以管控和溯源数字对象的传输，而不需要深度包检测来检测数据的应用层包数据；所述数据内容是ipv6地址空间为128位，其中前48位为数据服务器机构的网络前缀，后64位为数据内容的唯一标识，中间的16位用来做分类信息标记；
17.该可编码可溯源的数字对象管控由支持数据ipv6的统一编码模块、支持数据ipv6的新型域名系统和支持数据ipv6传输规则验证的网络三个模块实现。下面结合附图对本发明予以进一步说明。
18.如图1所示为对数据ipv6地址的统一编码示意图；在对数据ipv6地址的统一编码中，用户身份信息、视频、音频、文档文件信息都是通过hash映射到64位网络位置和后64位ipv6地址，形成内容标识信息，然后发送至as0，在此与专家审核结果一起分别将标识信息发给对象信息数据库、将路由信息发给网络传输安全验证数据库和将文件发给as1，as2，as3；后64位ipv6地址被用来存储内容标识信息；所述内容标识信息都是通过对内容标识信息进行hash算法加密获得的；该内容标识信息为视频、音频、文档文件、或是用户身份信息、或者硬件设备信息；通过使用md5、sha1、sha224、sha256、sha384、sha512对标识内容执行hash算法后，获取到唯一的hash编码，然后将获取到的hash编码截取64位二进制作为内容标识，同时填充64位网络位置标识就成为完整的ipv6标识；同时64位内容标识转换为16位进制后，加上所在内容标识的类型和所在域名区，就成为完整的域名标识；
19.如图2所示为对数据ipv6网络传输规则的验证示意图。图中所示，对数据ipv6的网络传输规则进行验证是发送方将数据发送至接收方的模块，包括：(1)跨境传输的数据上传平台，域名a；(2)生成hash编码a，文件ipv6地址生成是由hash映射获得的内容标识(64位)和网络位置(64位)共同拼接生成的；(3)网络传输规则，专家对专网网络传输审核、网络数据溯源进行网络数据传输管控，即后64位匹配a；其中a代表64位hash编码a；(4)接收端边缘网关传输规则，实现ipv6地址编码信息与(2)生成hash编码a同步传输；(5)数据传输完成。
20.所述对数据ipv6的网络传输规则进行验证包括数据出域规则、先行审核的数据出域规则、跨境平台管理的数据截断；具体说明如下。
21.如图3所示为数据出域规则示意图，该网络传输过程包括(1)域内文件向文件编码平台申请传输；(2)文件编码平台收到文件传输申请后会根据文件内容进行编码，生成hash编码a；并通过dns系统解析得到域名a，(3)经文件编码平台向审核平台发送审核申请，(4)向审核平台邀请专家对文件进行审核，得到审核结果(5)审核平台将审核结果返回文件编码平台；(6)随后由文件编码平台生成网络传输规则，(7)通过网络专网将文件及hash编码a传输至域外。
22.如图4所示为进行先行审核的数据出域规则示意图。该网络传输过程包括(1)域内文件先通知审核平台申请审核，(2)审核平台邀请专家对文件进行审核，得到审核结果，(3)审核结果返回域内文件，(4)域内文件就审核结果向文件编码平台申请传输；(5)文件编码平台收到文件传输申请后会根据文件内容进行编码，生成hash编码a；并通过dns系统解析得到域名a，(6)随后由文件编码平台生成网络传输规则，(7)通过网络专网将文件及hash编码a传输至域外。
23.如图5所示网络传输的数据截断规则包含(1)文件编码平台首先会收到一条来自跨境平台管理员的截断规则文件，(2)文件编码平台生成hash编码a，(3)文件编码平台生成境内截断规则，发送至数据网络，(4)数据网络生成一套域外截断规则，并传输至域外；(5)
规则打通形成后，用户上传文件至文件编码平台，当触发了数据截断规则后，(6)数据网络将返回被截断的数据，(7)通过文件编码平台向文件传输用户返回传输失败的结果及原因，并做日志记录。
24.如图6所示数据文件位置追溯，可通过文件编码平台、数据网络(数据专网)对数据文件进行追溯。具体包括：(1)域内审查员查找文件，发送该文件编码平台，(2)文件编码平台在收到系统审查员发来的查找文件指令后，平台将文件生成hash编码a，(3)将生成hash编码a上传至数据网络，查找文件的域内节点，(4)由域内节点通过数据网络查找定位域外文件的节点，并通过数据网络返回至文件编码平台以及解析得到域名a发送至dns；(5)文件编码平台将所得到的文件节点和位置返回至域内，审查员即可对数据文件位置进行追溯。