法律状态公告日
法律状态信息
法律状态
2017-11-17
授权
授权
2014-12-31
实质审查的生效 IPC(主分类):H04L29/12 申请日:20140911
实质审查的生效
2014-12-03
公开
公开
技术领域
本发明涉及计算机网络技术领域,更具体地,涉及一种基于IPv4认 证信息的IPv6地址分配与溯源的方法,用于为联网用户生成并分配IPv6 地址,并对已分配的IPv6地址进行反向追溯,获取用户基本信息。
背景技术
近年来,随着中国互联网产业高速发展,IPv6网络凭借巨大的地址空 间正在加快商用步伐。在IPv4网络向IPv6网络过渡的过程中,有更多的 网络应用向IPv6网络迁移,IPv6网络上的应用越来越广泛。数据的增多 也逐渐暴露出了IPv6网络中的一些安全问题。这些网络数据中的敏感信 息,甚至是国家机密,他们的信息安全受到了挑战。
在IPv4网络中,由于网络资源有限,经常会有多台主机公用一个IP 的情况,并且攻击者可以任意伪造IP地址信息,这为遭受攻击后的溯源 带来了不小的困难。与IPv4网络不同,IPv6网络海量的地址资源可以保 证为每个接入用户的每个终端分配一个独立的地址,为寻找攻击源提供了 便利,但是庞大的地址集却大大的增加了追溯成本。新一代互联网充斥着 新的技术和新的威胁,需要我们找到合理的解决方案。
在当前这个由IPv4向IPv6过度的阶段,在双栈技术之上,我们可以 结合双栈网络各自的优点,整合现有的技术使用合理的方法,来弥补IPv4 和IPv6各自的缺点,达到快速溯源的目的,维护网络安全。
发明内容
为解决上述技术问题,本发明提出一种基于IPv4认证信息的IPv6地 址分配与溯源方法。通过以特定算法为终端分配IPv6地址,有效的解决 了管理域内IPv6地址的追溯问题。
本发明提供了一种基于IPv4认证信息的IPv6地址分配的方法,其中 包括如下步骤:
步骤101,用户在IPv4网络认证登录时,记录用户的账号信息和MAC 地址;
步骤102,用户接入IPv6网络时,根据用户MAC地址查找用户的账 号信息;
步骤103,对所述用户的账号信息进行加密算法生成第一预定位数的 数字密钥;
步骤104,建立所述第一预定位数的数字密钥与相应的用户的账号信 息的关联关系并存储;
步骤105,根据所述第一预定位数的数字密钥为用户分配IPv6地址。
本发明还提供了一种基于IPv4认证信息的IPv6地址追溯的方法,其 包括如下步骤:
步骤101,获取用户的IPv6地址,截取后64位;
步骤102,将所述IPv6地址后64位信息与关联表中的第一预定位数 的数字进行匹配,获取用户的账号信息,其中,所述关联表中关联存储用 户的账号信息与相应的第一预定位数的数字密钥;所述第一预定位数的数 字密钥是通过对所述用户的账号信息执行加密算法而得到的;
步骤103,根据获取的用户的账号信息查询得到用户详细信息。
本发明还提供了一种基于IPv4认证信息的IPv6地址分配的装置,其 包括:
记录模块,用户在IPv4网络认证登录时,记录用户的账号信息和MAC 地址;
查找模块,用户接入IPv6网络时,根据用户MAC地址查找用户的账 号信息;
加密模块,对所述用户的账号信息进行加密算法生成第一预定位数的 数字密钥;
存储模块,建立所述第一预定位数的数字密钥与相应的用户的账号信 息的关联关系并存储;
地址分配模块,根据所述第一预定位数的数字密钥为用户分配IPv6 地址。
本发明提供了一种基于IPv4认证信息的IPv6地址追溯的装置,其包 括:
地址获取模块,获取用户的IPv6地址,截取后64位;
账号匹配模块,将所述IPv6地址后64位信息与关联表中的第一预定 位数的数字进行匹配,获取用户的账号信息,其中,所述关联表中关联存 储用户的账号信息与相应的第一预定位数的数字密钥;所述第一预定位数 的数字密钥是通过对所述用户的账号信息执行加密算法而得到的;
信息查询模块,根据获取的用户的账号信息查询得到用户详细信息。
本发明提出的上述方法通过IPv4认证账号生成11位数字,并生成 IPv6地址的方式,将用户的IPv4认证信息和IPv6地址建立了匹配关系。 解决了计算机网络管理域内的IPv6地址分配和地址溯源问题。
附图说明
图1为本发明中墓于IPv4认证信息的IPv6地址分配方法流程图;
图2为本发明中基于IPv4认证信息的IPv6地址溯源方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实 施例,并参照附图,对本发明进一步详细说明。
本发明能够通过IPv4网络认证信息为用户分配一个IPv6地址,并且 通过用户的IPv6地址溯源到用户的IPv4认证个人信息,由此解决认证网 络内的IPv6地址分配和溯源问题。
图1示出了本发明提出的一种基于IPv4认证信息的IPv6地址分配方 法,其包括:
步骤101、用户输入IPv4认证账号,通过认证后,正常登录IPv4网 络,认证系统记录下用户的在线信息,并且记录用户的MAC地址;其中, 所述用户的在线信息包括用户的IPv4认证账号;
步骤102、用户接入IPv6网络时,通过用户MAC地址,从在线信息 中查找用户IPv4认证账号;
步骤103、利用所述用户IPv4认证账号,对其进行加密运算以生成第 一预定位数的数字密钥。所述第一预定位数可根据实际的加密算法进行设 置;可选地,所述预定位数为11位;
步骤104、关联存储用户IPv4认证账号与所述第一预定位数的数字密 钥;可选地,将所述用户IPv4认证账号与所述第一预定位数的数字密钥 存储至数据库中;
步骤105、为所述用户分配IPv6地址,将所述第一预定位数的数字密 钥嵌入到所分配的IPv6地址当中;可选地,所分配的IPv6地址的后第一 预定位数的值为所述第一预定位数的数字密钥。
本发明一实施例中,步骤103中所述第一预定位数为11位,所述加 密算法具体如下:
步骤1031、将用户IPv4认证账号通过MD5加密,生成32位长密文 A;
步骤1032、将密文A的前16位与用户IPv4认证账号原文串列,再 进行MD5加密,获得32位密文B。
步骤1033、将密文A的后16位加用户IPv4认证账号原文,进行MD5 加密,获得32位密文C。
步骤1034、将密文B字符串和密文C字符串串列为一个64位长的由 16进制数字表示的字符串D备用。
步骤1035、假设所述64位长字符串D各个字符分别为D0、D1、D2、… D62、D63,11位数字密钥的获取分别利用字符串D中的如下字符D0D6D12D18D24D30D36D42D48D54D60作为运算因子;
表1 公式表
步骤1036、参考公式表表1,假设用户IPv4认证账号字符串的长度 为L,那么,所述11位数字密钥中的第y位数字采用表1中位置为(y+L)%11 的公式进行计算,其中所述公式中的x为所述字符串D中选取的对应11 位字符;根据所选取的11位数字密钥的相应公式以及字符串D中对应的 字符计算得到11位数字密钥。
举例说明,用户IPv4认证账号为cernet,其长度为6位。那么11位 数字密钥中的第一位的计算公式应该选取F()=(1+6)%11=7,即选取位置 为7的公式(11x+6)%10;根据步骤1035可知,所述11位数字密钥的第一 位应选取所述字符串D中的数字D0,假设运算得到的D0=b(16进制), 则其对应的10机制数字为11,那么根据上述选取的位置为7的公式计算 得到的11位数字密钥的第一位为(11*11+6)%10=7。因此获得11位数字 密钥的第一位为7。
步骤1037、将步骤S1036获得的11个结果按顺序排列为11位数字即 为步骤S3所需11位数字密钥。
按步骤1036所述,若用户账号为6位长的cernet,假设11位数字密 钥选取的字符串D中的字符D0D6D12D18D24D30D36D42D48D54D60分别 为b025afd8331,经公式表计算得到11位数字为77340221687。
当然,上述算法中,数字密钥的位数即第一预定位数可以选择多于或 少于11的数字,这可以根据实际需要进行设置;此外,密文A的长度也 可以在MD5算法支持的范围内选择其他的长度,当然需要保证最后得到 的字符串D的长度需大于第一预定位数即可。
进一步地,上述算法中,第一预定位数的数字密钥可以选择字符串D 中的任意第一预定位数的字符来计算,但是必须保证每次计算都是选择固 定的这几位字符即可。
上述表1中的11个公式,每个公式均根据字符串D中的相应字符得 到10以内的一个数字作为第一预定位数的数字密钥中的其中一个数字, 所述公式目的是计算出来的数字能够尽量减少重复,以降低反推出这11 个公式的几率,当然这11个公式可以选择能够达到相同目的其他公式, 公式的选择在加密领域较为常见,在此不再详述。
进一步地,当具体公式固定之后,本发明采用数字在第一预定位数的 数字密钥中的位置以及账号的长度来选择具体采用哪个公式计算出该数 字,由于每个账号的长度不一定相同,因此采用账号的长度做位移,使得 选择的公式不与数字在数字密钥中的位置一一对应,这样也能降低被破解 的几率。
本发明另一实施例中,步骤105中所述第二预定位数为64位,则为 用户分配IPv6地址遵循如下步骤:
步骤1051、将所述10进制11位数字转换为16进制数字;如步骤1036 例子中的11位数字77340221687,转换16进制数,即为1201D620F7, 前面补零后为001201D620F7。
步骤1052、将步骤1051获得的16进制字符串插入一个新的IPv6地 址的第81-128位,IPv6地址的前64位为网络前缀,不足时补零,第65-80 位,填入标志位FEFE。以此所述,若网络前缀为2001:da8:24d:f900::/64, 例子中所述的用户,接入IPv6网络时,将获得一个新的IPv6地址为 2001:da8:24d:f900:fefe:12:1d6:20f7。
根据本发明的另一方面,还提出一种基于IPv4认证信息的IPv6地址 追溯的方法,如图2所示,该方法包括以下步骤:
步骤201,获取用户联网中的IPv6地址。
步骤202,将IPv6地址后64位信息与存储有第一预定位数的数字和 用户认证账号关联关系的关联表中第一预定位数的数字进行匹配,获取用 户认证账号信息。
步骤202进一步包括:
步骤2021,检查用户IPv6地址第65-80位是否FEFE,若不是,为假 冒地址;若是FEFE标识,进入步骤2022。
步骤2022,取IPv6地址的第81-128位数字,转换为10进制数字。
步骤2023,将所获得的10进制数字作为查询条件在关联表中查询, 获得用户IPv4认证账号信息。
步骤203,查询用户IPv4账号对应的用户详细信息。其中包含账号实 名注册时提供的真实姓名、所属单位、现住址、电话和身份证号等。并且 可以根据所述账号信息,获取用户在网络上的异常访问行为,协助网管对 用户的上网行为进行必要的管控。
本发明提出的上述方法通过IPv4认证账号加密生成一定位数的数字, 并根据所生成的预定位数的数字生成IPv6地址的方式,将用户的IPv4认 证信息和IPv6地址建立了匹配关系。解决了管理域内的IPv6地址分配和 地址溯源问题。
进一步地,本发明还提供了一种基于IPv4认证信息的IPv6地址分配 的装置,其包括:
记录模块,用户在IPv4网络认证登录时,记录用户的账号信息和MAC 地址;
查找模块,用户接入IPv6网络时,根据用户MAC地址查找用户的账 号信息;
加密模块,对所述用户的账号信息进行加密算法生成第一预定位数的 数字密钥;
存储模块,建立所述第一预定位数的数字密钥与相应的用户的账号信 息的关联关系并存储;
地址分配模块,根据所述第一预定位数的数字密钥为用户分配IPv6 地址。
更进一步地,本发明还提出了一种基于IPv4认证信息的IPv6地址追 溯的装置,其包括:
地址获取模块,获取用户的IPv6地址,截取后64位;
账号匹配模块,将所述IPv6地址后64位信息与关联表中的第一预定 位数的数字进行匹配,获取用户的账号信息,其中,所述关联表中关联存 储用户的账号信息与相应的第一预定位数的数字密钥;所述第一预定位数 的数字密钥是通过对所述用户的账号信息执行加密算法而得到的;
信息查询模块,根据获取的用户的账号信息查询得到用户详细信息。
上述装置由于与前述的方法对应一致,其具体细节可参见对方法的描 述,在此不再赘述。
以上所述的具体实施例程,对本发明的目的、技术方案和有益效果进 行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例 程而已,并不用于限制本发明,凡在本漏洞新发明的精神和原则之内,所 做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
机译: 方法和网络元素,用于使用互联网协议版本4(IPv4)制作第一台设备,并使用互联网协议版本6(IPv6)将IPv4专用地址分配给第二设备
机译: 方法和网络元素,用于使用互联网协议版本4(IPv4)制作第一台设备,并使用互联网协议版本6(IPv6)将IPv4专用地址分配给第二设备
机译: 代理移动IP网络的专用地址分配方法,如果安排了CGN,则可以将准确的专用HOA分配给访问PMIPV6域的IPV4 MN