技術領域

本發明涉及IPv6網絡，特別是涉及一種IPv6地址的結構、分配方法 及裝置、以及溯源方法及裝置。

背景技術

與傳統的面向連接的電路交換網絡相比，無連接的IP分組網絡在網 絡溯源方面能力較弱，主要原因有以下兩點：IP分組網絡在報文的轉發過 程中，只檢查目的地址，依據目的地址轉發，而不去檢驗源地址是不是發 送者的真實IP地址。主機通常是通過動態方式獲得IP地址，相同的IP地 址可能會分配給不同的主機終端，因此無法將IP地址與主機進行靜態綁 定。

上述原因導致在IP網絡中存在大量的DDoS攻擊(Distribution?Denial of?service，分布式拒絕服務攻擊)，垃圾郵件泛濫等現象。因此需要對現 有的IP網絡技術進行改造，使得網絡具有溯源能力，能夠追溯到DDoS 攻擊或是垃圾郵件等有害信息的源頭，起到一定的威懾作用。

與IPv4網絡相比，盡管IPv6網絡能夠提供一個更大的地址空間，可 以為每一個終端分配一個IPv6地址。但實際上，當終端附連的網絡發生 變化時，網絡前綴通常也跟著變化，這樣如果采用靜態的地址分配方式， 就需要通過移動IP技術來解決終端的漫游問題。考慮到實現上的復雜度， 以及網絡切換、轉發效率等因素，大規模的部署移動IP是不可行的。而 且，在運營商的商業運營中，都是通過動態地址分配機制來為主機分配地 址，并與計費系統進行關聯。

在RFC4291中，定義了三種類型的IPv6地址，即單播地址、組播地 址和任意播地址。IPv6的地址結構可以分為子網前綴和接口標識兩部分， 如圖1所示，其中子網前綴用于標識所連接的網絡，而接口標識用于標識 鏈路上的某一接口。

對于大多數應用而言，主機都是采用單播地址來進行通信的，其地址 結構通常由三部分組成，全局路由前綴、子網標識和接口標識。其中前64 位(全局路由前綴+子網標識)是由連接的網絡決定的，而后64位(接口 標識)可以自動生成。

目前主機IPv6地址可以通過兩種方式獲得，一種是靜態配置模式， 一種是動態配置模式，而動態配置模式又可以分為無狀態的地址自動配置 和有狀態的地址自動配置。在RFC4291中建議，在無狀態地址自動配置 方式下，接口標識可以通過EUI64(IEEE定義的一種基于64位的擴展惟 一標示符)轉換算法得到，即由48位MAC地址轉換生成。采用有狀態地 址自動配置方式下，IPv6地址(包括接口標識)是由DHCP服務器分配 的，接口標識中并未明確包含主機用戶的標識信息。

因此，需要在采用有狀態自動配置方式時建立一種IPv6地址網絡溯 源機制，包括IPv6地址的分配和對IPv6源地址的溯源。

發明內容

針對現有技術中存在的缺陷和不足，本發明的目的是提出一種內嵌用 戶身份信息的IPv6編址方案以及地址分配方法和裝置，以及與該分配方 法對應的IPv6網絡源地址的溯源方法及裝置。

為了達到上述目的，本發明提出了一種IPv6地址結構，包括網絡前 綴和接口標識，所述網絡前綴由主機所連網絡決定，所述接口標識是對記 錄用戶標識信息的比特位使用非對稱加密算法得到的；

并且，所述網絡前綴或所述接口標識中還包括用于標識采用的加密算 法、用戶標識信息類別等信息的預定比特位。

作為上述技術方案的優選，所述用戶標識信息是具有唯一性、可根據 其確定主機用戶信息的信息。

本發明還提出一種IPv6地址分配方法，包括：

步驟1：DHCP中繼代理接收主機發送的請求信息，并通過AAA服 務器獲取與所述主機相關的用戶標識信息，然后將所述請求信息以及所述 用戶標識信息發送到DHCP服務器；

步驟2：所述DHCP服務器采用有狀態地址自動配置模式為所述主機 分配IPv6地址，其中，所述IPv6地址由網絡前綴和接口標識組成：

所述網絡前綴由DHCP服務器根據主機所連網絡為主機分配；

所述接口標識用于記錄所述用戶標識信息，生成接口標識時對記錄所 述用戶標識信息的比特位采用非對稱加密算法進行加密；

使用所述網絡前綴或所述接口標識中的預定比特位來標識采用的加 密算法、用戶信息類別等信息。

作為上述技術方案的優選，還包括步驟：在網絡邊界路由器上啟用反 向路徑檢查功能，或在邊界路由器上啟用動態ACL機制。