[發明專利]IPv6地址的結構、分配及溯源的方法和裝置有效
| 申請號: | 200910243635.3 | 申請日: | 2009-12-18 |
| 公開(公告)號: | CN101710906A | 公開(公告)日: | 2010-05-19 |
| 發明(設計)人: | 何寶宏;馬軍鋒;劉述;趙鋒;田輝;曹薊光;徐貴寶;蔣曉琳 | 申請(專利權)人: | 工業和信息化部電信傳輸研究所 |
| 主分類號: | H04L29/12 | 分類號: | H04L29/12;H04L29/06 |
| 代理公司: | 北京連和連知識產權代理有限公司 11278 | 代理人: | 王光輝 |
| 地址: | 100045 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | ipv6 地址 結構 分配 溯源 方法 裝置 | ||
技術領域
本發明涉及IPv6網絡,特別是涉及一種IPv6地址的結構、分配方法 及裝置、以及溯源方法及裝置。
背景技術
與傳統的面向連接的電路交換網絡相比,無連接的IP分組網絡在網 絡溯源方面能力較弱,主要原因有以下兩點:IP分組網絡在報文的轉發過 程中,只檢查目的地址,依據目的地址轉發,而不去檢驗源地址是不是發 送者的真實IP地址。主機通常是通過動態方式獲得IP地址,相同的IP地 址可能會分配給不同的主機終端,因此無法將IP地址與主機進行靜態綁 定。
上述原因導致在IP網絡中存在大量的DDoS攻擊(Distribution?Denial of?service,分布式拒絕服務攻擊),垃圾郵件泛濫等現象。因此需要對現 有的IP網絡技術進行改造,使得網絡具有溯源能力,能夠追溯到DDoS 攻擊或是垃圾郵件等有害信息的源頭,起到一定的威懾作用。
與IPv4網絡相比,盡管IPv6網絡能夠提供一個更大的地址空間,可 以為每一個終端分配一個IPv6地址。但實際上,當終端附連的網絡發生 變化時,網絡前綴通常也跟著變化,這樣如果采用靜態的地址分配方式, 就需要通過移動IP技術來解決終端的漫游問題。考慮到實現上的復雜度, 以及網絡切換、轉發效率等因素,大規模的部署移動IP是不可行的。而 且,在運營商的商業運營中,都是通過動態地址分配機制來為主機分配地 址,并與計費系統進行關聯。
在RFC4291中,定義了三種類型的IPv6地址,即單播地址、組播地 址和任意播地址。IPv6的地址結構可以分為子網前綴和接口標識兩部分, 如圖1所示,其中子網前綴用于標識所連接的網絡,而接口標識用于標識 鏈路上的某一接口。
對于大多數應用而言,主機都是采用單播地址來進行通信的,其地址 結構通常由三部分組成,全局路由前綴、子網標識和接口標識。其中前64 位(全局路由前綴+子網標識)是由連接的網絡決定的,而后64位(接口 標識)可以自動生成。
目前主機IPv6地址可以通過兩種方式獲得,一種是靜態配置模式, 一種是動態配置模式,而動態配置模式又可以分為無狀態的地址自動配置 和有狀態的地址自動配置。在RFC4291中建議,在無狀態地址自動配置 方式下,接口標識可以通過EUI64(IEEE定義的一種基于64位的擴展惟 一標示符)轉換算法得到,即由48位MAC地址轉換生成。采用有狀態地 址自動配置方式下,IPv6地址(包括接口標識)是由DHCP服務器分配 的,接口標識中并未明確包含主機用戶的標識信息。
因此,需要在采用有狀態自動配置方式時建立一種IPv6地址網絡溯 源機制,包括IPv6地址的分配和對IPv6源地址的溯源。
發明內容
針對現有技術中存在的缺陷和不足,本發明的目的是提出一種內嵌用 戶身份信息的IPv6編址方案以及地址分配方法和裝置,以及與該分配方 法對應的IPv6網絡源地址的溯源方法及裝置。
為了達到上述目的,本發明提出了一種IPv6地址結構,包括網絡前 綴和接口標識,所述網絡前綴由主機所連網絡決定,所述接口標識是對記 錄用戶標識信息的比特位使用非對稱加密算法得到的;
并且,所述網絡前綴或所述接口標識中還包括用于標識采用的加密算 法、用戶標識信息類別等信息的預定比特位。
作為上述技術方案的優選,所述用戶標識信息是具有唯一性、可根據 其確定主機用戶信息的信息。
本發明還提出一種IPv6地址分配方法,包括:
步驟1:DHCP中繼代理接收主機發送的請求信息,并通過AAA服 務器獲取與所述主機相關的用戶標識信息,然后將所述請求信息以及所述 用戶標識信息發送到DHCP服務器;
步驟2:所述DHCP服務器采用有狀態地址自動配置模式為所述主機 分配IPv6地址,其中,所述IPv6地址由網絡前綴和接口標識組成:
所述網絡前綴由DHCP服務器根據主機所連網絡為主機分配;
所述接口標識用于記錄所述用戶標識信息,生成接口標識時對記錄所 述用戶標識信息的比特位采用非對稱加密算法進行加密;
使用所述網絡前綴或所述接口標識中的預定比特位來標識采用的加 密算法、用戶信息類別等信息。
作為上述技術方案的優選,還包括步驟:在網絡邊界路由器上啟用反 向路徑檢查功能,或在邊界路由器上啟用動態ACL機制。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于工業和信息化部電信傳輸研究所,未經工業和信息化部電信傳輸研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/200910243635.3/2.html,轉載請聲明來源鉆瓜專利網。





