CN101741545B - 一种互联网主机命名和通信方法及系统 - Google Patents
一种互联网主机命名和通信方法及系统 Download PDFInfo
- Publication number
- CN101741545B CN101741545B CN200810225793.1A CN200810225793A CN101741545B CN 101741545 B CN101741545 B CN 101741545B CN 200810225793 A CN200810225793 A CN 200810225793A CN 101741545 B CN101741545 B CN 101741545B
- Authority
- CN
- China
- Prior art keywords
- encryption key
- address
- key
- internet host
- ipv6 address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种互联网主机命名方法,采用IPv6地址作为互联网主机的实名地址,包括:依据互联网主机的地址申请,生成一个标记符;分配IPv6地址;将分配给该主机的IPv6地址,连同所述标记符发送给该主机和密钥数据库;生成加密密钥;将所生成的加密密钥连同所述标记符发送给该主机和密钥数据库;将由相同标记符标记的所述IPv6地址和加密密钥作为一组IPv6地址/加密密钥对进行存储。采用本发明互联网主机命名方法能够实现信息溯源,有效杜绝地址假冒、垃圾信息泛滥、大量入侵和攻击别的用户主机或服务器现象的发生,有效增强互联网的安全性。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种互联网主机命名系统及其公/私密钥对生成方法。
背景技术
目前我们使用的互联网技术为第二代互联网IPv4技术,它的最大缺陷就是网络地址资源有限,从理论上讲,IPv4技术可使用的IP地址有43亿个,基本上能够满足全世界互联网用户的需要。但是,由于IPv4技术的核心技术属于美国,所以存在着网络地址分配不均的问题。据统计,北美就占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国只有3千多万个。IP地址不足,严重地制约了我国及其他国家互联网的应用和发展。
现在,中国互联网用户已经超过2亿,由于IP地址资源不足,需要许多用户共享一个IP地址。基于这种情况,当前我国的互联网主机普遍存在匿名性问题,即主机身份无法得到有效验证,用户行为无法得到审计。互联网主机的匿名性虽然促使了用户的广泛参与和信息的自由交流,但同时也导致了用户行为的随意性,引起一些负面影响甚至给社会造成危害。例如,2006年,一些不法分子就利用互联网主机的匿名性进行网络欺骗和身份窃取,给消费者和商家带来的经济损失高达数十亿美元。此外,垃圾邮件等其它制约互联网发展的问题也同隐藏身份有关。
这是因为由于多个用户主机共用一个IP地址或使用私有地址,溯源困难,导致地址假冒、垃圾信息泛滥、大量的入侵和攻击行为无法跟踪等问题,网络安全得不到保障,制约了互联网的发展。匿名已经成为了打造互联网安全的一大阻碍。
总之,需要本领域技术人员迫切解决的一个技术问题就是:如何能够实现对互联网主机的实名制认证,提高互联网的安全性。
发明内容
本发明所要解决的技术问题是提供一种互联网主机命名方法,能够实现互连网主机的实名制认证,解决了地址假冒信息、垃圾信息的溯源问题、大量的入侵和攻击行为的跟踪等问题,有效提高了互联网的安全性。
为了解决上述问题,本发明公开了一种互联网主机命名方法,采用IPv6地址作为互联网主机的实名地址,该方法包括:
依据互联网主机的地址申请,生成一个标记符;
分配IPv6地址,将分配给该主机的IPv6地址,连同所述标记符发送给该主机和密钥数据库;
生成加密密钥,将所生成的加密密钥连同所述标记符发送给该主机和密钥数据库;
将由相同标记符标记的所述IPv6地址和加密密钥作为一组IPv6地址/加密密钥对进行存储。
优选的,所述接收地址申请、分配IPv6地址和生成加密密钥分别由三个独立的服务器完成。
优选的,每个所述IPv6地址对应一个所述加密密钥,所述加密密钥为一个128位的随机数。
本发明还提供了一种基于实名地址的互联网主机通信方法,采用IPv6地址作为互联网主机的实名地址,该方法包括:
依据互联网主机的地址申请,生成一个标记符;
分配IPv6地址,将分配给该主机的IPv6地址,连同所述标记符发送给该主机和密钥数据库;
生成加密密钥,将所生成的加密密钥连同所述标记符发送给该主机和密钥数据库;
将由相同标记符标记的所述IPv6地址和加密密钥作为一组IPv6地址/加密密钥对进行存储;
互联网主机依据所接收的所述IPv6地址/加密密钥对,生成公/私密钥对;
互联网主机利用所述公/私密钥对与其他互联网主机或服务器进行通信。
优选的,每个所述IPv6地址对应一个所述加密密钥,所述加密密钥为一个128位的随机数,所述加密密钥中包括安全参数。
优选的,所述生成公/私密钥对的方法包括:
将分配IPv6地址64位的子网前缀与64位的全为零的场点本地地址串连,构成128位的明文;
将所述明文加密为密文;
对所述密文执行安全散列算法,将所得结果进行划分,得到哈希值1和哈希值2;
判断所述哈希值1的预定位数据与所述安全参数乘积后得到的(m×h)位数值与零的比较,如果它们都为零或所述安全参数为零,则执行下一步;如果不为零,则密文加1,整型变量加1后,返回执行上一步;其中,m为所述预定位数值的位数,h为所述安全参数的安全级别;
对所述哈希值2与整形变量串连后的数值执行所述安全散列算法,结果记为哈希值3,将所述哈希值3作为私钥;
依据所述私钥,由预置的公钥密码算法生成对应的公钥。
优选的,所述对密文执行安全散列算法后得到一串160位元的数值,最左边的112位记为所述哈希值1,最右边48位记为所述哈希值2;
所述哈希值1的预定位数据为所述哈希值1的最左边16位数据。
相应的,本发明还提供了一种互联网主机命名系统,包括:
IPv6地址/密钥服务器,用于处理互联网主机的地址申请、发送标记符标记的地址分配命令给IPv6地址服务器和所述标记符标记的加密密钥生成命令给加密密钥生成器;
IPv6地址服务器,用于分配IPv6地址作为所述互联网主机的实名地址,发送所述标记符标记的所述IPv6地址给所述互联网主机和密钥数据库;
加密密钥生成器,用于生成加密密钥,发送所述标记符标记的所述加密密钥给主机和密钥数据库;
密钥数据库,用于存储相同标记符标记的IPv6地址/加密密钥对。
优选的,每个所述IPv6地址对应一个所述加密密钥,所述加密密钥为一个128位的随机数。
优选的,所述IPv6地址/密钥服务器,包括:
申请接收模块,用于接收所述互联网主机的地址申请;
标记符生成模块,用于生成一个标记符;
地址分配命令发送模块,用于向所述IPv6地址服务器发出一个由所述标记符标记的地址分配命令;
加密密钥命令发送模块,用于向所述加密密钥生成器发出一个由所述标记符标记的加密密钥生成命令。
最后,本发明还提供了一种基于实名地址的互联网通信系统,包括互联网主机命名系统和互联网主机,其中,所述互联网主机命名系统,包括:
IPv6地址/密钥服务器,用于处理互联网主机的地址申请、发送标记符标记的地址分配命令给IPv6地址服务器和所述标记符标记的加密密钥生成命令给加密密钥生成器;
IPv6地址服务器,用于分配IPv6地址作为所述互联网主机的实名地址,发送所述标记符标记的所述IPv6地址给主机和密钥数据库;
加密密钥生成器,用于生成加密密钥,发送所述标记符标记的所述加密密钥给主机和密钥数据库;
密钥数据库,用于存储相同标记符标记的IPv6地址/加密密钥对;
所述互联网主机包括:
公/私密钥对生成模块,根据所接收的相同标记符标记的IPv6地址/加密密钥对,生成公/私密钥对;
通信模块,用于与其他互联网主机或服务器通过所述生成的公/私密钥对进行通信。
优选的,所述公/私密钥对生成模块包括:
明文生成单元,用于将分配IPv6地址64位的子网前缀与64位的全为零的场点本地地址串连,构成128位的明文;
密文生成单元,用于利用加密算法将所述明文加密为密文;
哈希值划分单元,用于对所述密文执行安全散列算法,将所得结果划分为哈希值1和哈希值2;
判断单元,判断哈希值1的预定位数据与所述安全参数乘积后得到的(m×h)位数值与零的比较结果,其中,m为所述预定位数据的位数,h为所述安全参数的安全级别;
私钥生成单元,对所述哈希值2与整形变量串连后的数值执行所述安全散列算法,结果记为哈希值3,将所述哈希值3作为私钥;
公钥生成单元,依据所述私钥由预置的公钥密码算法生成对应的公钥。
优选的,所述对密文执行安全散列算法后得到一串160位元的数值,最左边的112位记为所述哈希值1,最右边48位记为所述哈希值2;所述哈希值1的预定位数据的位数m为所述哈希值1的最左边16位。
与现有技术相比,本发明具有以下优点:
针对现有技术中多个互联网主机共用一个IP地址或使用私有地址进行通信,信息溯源比较困难的情况,本发明基于IPv6丰富的地址资源,提供了一种互联网主机命名和通信方法及系统。本发明中,采用一部分IPv6地址仅用作互联网主机的身份标识,不用作路由和寻址,这样互联网主机用户的行为,特别是在网上发布垃圾信息或有害消息以及进行对其他用户主机或服务器进行入侵和攻击的行为就能够得到审计,并进行相应的处理措施。可以有效治理互联网上垃圾信息、有害信息发布,入侵和攻击其他主机或服务器的行为,有效提高了互联网的安全性。
附图说明
图1是本发明互联网主机命名方法实施例的流程图;
图2是本发明互联网主机命名系统的结构示意图;
图3是本发明IPv6地址/密钥服务器的结构示意图;
图4是本发明互联网通信系统的结构示意图;
图5是本发明公/私密钥对生成模块的结构示意图;
图6是本发明互联网主机通信方法的流程图;
图7是本发明生成公/私密钥对的方法流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明的核心构思之一是利用下一代网络IPv6丰富的地址资源,将一部分IPv6地址作为互联网主机的身份标识,在通信过程中,这部分IPv6地址只用于标识主机的身份,不用于路由和通信,实现互联网主机的实名制。
本发明提供了一种互联网主机命名方法,采用IPv6地址作为互联网主机的实名地址。参照图1,示出了本发明互联网主机命名方法实施例的流程图,该方法包括以下步骤:
步骤101,依据互联网主机的地址申请,生成一个标记符;
步骤102,分配IPv6地址,将分配给该主机的IPv6地址,连同所述标记符发送给该主机和密钥数据库;
步骤103,生成加密密钥,将所生成的加密密钥连同所述标记符发送给该主机和密钥数据库;
步骤104,将由相同标记符标记的所述IPv6地址和加密密钥作为一个IPv6地址/加密密钥对进行存储。
在本发明实施例中,优先的是,所述接收地址申请步骤101、分配IPv6地址步骤102和生成加密密钥步骤103分别由三个独立的服务器完成,上述三个服务器的任何一方都无法知道IPv6地址/加密密钥对,有效提高了加密密钥的安全性。
在本发明的另一实施例中,优先的实施方式是每个所述IPv6地址对应一个加密密钥。每个所述加密密钥为一个128位的随机数。
对应于上述互联网主机命名方法,本发明还提供了一种互联网主机命名系统。图2示出了本发明一种互联网主机命名系统的结构示意图,包括:
IPv6地址/密钥服务器211,用于处理互联网主机的地址申请、发送标记符标记的地址分配命令给IPv6地址服务器212和所述标记符标记的加密密钥生成命令给加密密钥生成器213;
IPv6地址服务器212,用于分配IPv6地址作为所述互联网主机的实名地址,发送所述标记符标记的所述IPv6地址给所述互联网主机和密钥数据库214;
加密密钥生成器213,用于生成加密密钥,发送所述标记符标记的所述加密密钥给主机和密钥数据库214;
密钥数据库214,用于存储相同标记符标记的IPv6地址/加密密钥对。在本发明一种互联网主机命名系统的实施例中,所述IPv6地址服务器
212为每一个互联网主机生成的IPv6地址的同时,会生成一个与所述IPv6地址对应的加密密钥,所述加密密钥为一个128位的随机数。
图3示出了本发明IPv6地址/密钥服务器的结构示意图,在本发明一种互联网主机命名系统的另一实施例中,所述IPv6地址/密钥服务器211还可以具体包括:
申请接收模块301,用于接收互联网主机的地址申请;
标记符生成模块302,用于为上述地址申请生成一个标记符;
地址分配命令发送模块303,用于向所述IPv6地址服务器212发出一个由所述标记符标记的地址分配命令;
加密密钥命令发送模块304,用于向所述加密密钥生成器213发出一个由所述标记符标记的加密密钥生成命令。
下面结合上述图1、图2和图3所示的内容,详细描述所述互联网主机命名系统21的工作过程,具体为:互联网主机22向所述互联网主机命名系统21发送地址申请;IPv6地址/密钥服务器211的子单元申请接收模块301接收到所述地址申请后,发送信号给标记符生成模块302;所述标记符生成模块302接到上述信号后为该地址申请产生一个标记符;然后,地址分配命令发送模块303向所述IPv6地址服务器212发送由所述标记符标记的地址分配命令;同时,加密密钥命令发送模块304向加密密钥生成器213发送由所述标记符标记的加密密钥生成命令;IPv6地址服务器212接收到所述地址分配命令后,分配一个IPv6地址,并用接收到的标记符将所述IPv6地址标记后发送给密钥数据库214,也将同样的信息即所述标记符标记后的IPv6地址发送给互联网主机22;加密密钥生成器213接收到加密密钥生成命令后,产生一个128位的随机数作为加密密钥,并用接收到的标记符将所述加密密钥标记后发送给密钥数据库214,同时也将同样的信息即所述标记符标记后的加密密钥发送给互联网主机22;密钥数据库214把采用相同标记符标记的IPv6地址和加密密钥作为一组IPv6地址/加密密钥对存储起来。这样除了密钥数据库外,所述IPv6地址/密钥服务器211、IPv6地址服务器212和加密密钥生成器213中的任何一方都无法得知IPv6地址/加密密钥对,增强了系统的安全性。这是因为所述加密密钥中有一个决定安全级别的安全参数,所述安全参数存在于上述128位加密密钥的最左边3位,是一个3位的无符号整数。所述安全参数是000、001、010、011、111等,安全参数000对应的安全级别为0级,安全参数001对应的安全级别为1级,以此类推,安全参数111对应的安全级别最高为7级。安全参数可以使互联网主机增加生成私钥的代价,因而可以增加对私钥的强力攻击的代价。这是因为,所述安全参数存在于加密密钥中,攻击者既无法得知也无法改变,攻击者可能采用典型的低级安全级别到高安全级别的强攻击。在本发明中,所述安全参数每增加1,就会给攻击者破解的哈希值长度增加了16位,对于最高安全级别7级的情况,那么攻击者就需要破解142位的哈希值。所以采用本发明提供的互联网主机命名方法和命名系统,有效增强了互联网主机高安全级别的安全性。
基于上述互联网主机命名系统,本发明还提供了一种基于IPv6时实名地址的互联网通信系统,参照图4,示出了本发明互联网通信系统的结构示意图,包括:互联网主机命名系统21和互联网主机22。其中,所述互联网主机命名系统21的结构和具体实施方式已经结合图2在上述实施例和实施方式中进行了详细描述,这里就不再重复。接下来描述互联网通信系统中的互联网主机22,所述互联网主机22包括:
公/私密钥对生成模块221,利用从所述互联网主机命名系统21接收到的具有相同标记符标记的IPv6地址/加密密钥对,生成公/私密钥对;
通信模块222,用于与其他互联网主机或服务器通过所述生成的公/私密钥对进行通信。
本发明互联网通信系统实施例的工作过程为:互联网主机向互联网命名系统21发送地址申请;所述互联网命名系统21收到命令后生成IPv6地址/加密密钥对,并将上述IPv6地址/加密密钥对发送给互联网主机22的公/私密钥对生成模块221;公/私密钥对生成模块221生成公/私密钥对,并将上述公/私钥对发送通信模块222;通信模块222与其他互联网主机或服务器进行通信的信息利用所述公/私密钥对加密,然后进行互联网通信。
参照图5,示出了本发明公/私密钥对生成模块的结构示意图。在本发明互联网通信系统的另外一实施例中,优选的是,公/私密钥对生成模块包括:
明文生成单元501,用于将分配IPv6地址64位的子网前缀与64位的全为零的场点本地地址串连,构成128位的明文;
密文生成单元502,用于利用加密算法将所述明文加密为密文;
哈希值划分单元503,用于对所述密文执行安全散列算法(SHA算法,Secure Hash Algorithm),将所得结果划分为哈希值1和哈希值2;
判断单元504,判断哈希值1的预定位数与所述安全参数乘积后得到的(m×h)位数值与零的比较结果,其中,m为所述预定位数值的位数,h为所述安全参数的安全级别;
私钥生成单元505,对所述哈希值2与整形变量MV串连后的数值执行所述安全散列算法,结果记为哈希值3,将所述哈希值3作为私钥;
公钥生成单元506,依据所述私钥由预置的公钥密码算法生成对应的公钥。
在本发明互联网通信系统实施例中,优选的是,所述哈希值划分单元对所述密文单元生成的密文执行安全散列算法如SHA-1后,得到一串160位元的数值,将最左边的112位记为所述哈希值1即Hash1,最右边48位记为所述哈希值2即Hash2;所述哈希值1的预定位数m为所述Hash1的最左边16位。
相应地,本发明还提供了一种采用IPv6地址作为实名地址的互联网主机通信方法。参照图6,示出了本发明互联网主机通信方法的流程图,该方法包括:
步骤601,依据互联网主机的地址申请,生成一个标记符;
步骤602,分配IPv6地址,将分配给该主机的IPv6地址,连同所述标记符发送给该主机和密钥数据库;
步骤603,生成加密密钥,将所生成的加密密钥连同所述标记符发送给该主机和密钥数据库;
步骤604,将由相同标记符标记的所述IPv6地址和加密密钥作为一组IPv6地址/加密密钥对进行存储;
步骤605,互联网主机依据所接收的所述IPv6地址/加密密钥对,生成公/私密钥对;
步骤606,互联网主机利用所述公/私密钥对与其他互联网主机或服务器进行通信。
作为本发明互联网主机通信方法的一种优选实施例,每个所述IPv6地址对应一个所述加密密钥,所述加密密钥为一个128位的随机数,所述加密密钥中包括安全参数。
在本发明互联网主机通信方法的另一种实施例中,生成公/私密钥对的优选实施方式参照图7,示出了本发明生成公/私密钥对的方法流程图,所述生成公/私密钥对的方法包括:
步骤701,将分配IPv6地址64位的子网前缀与64位的全为零的场点本地地址串连,构成128位的明文;
步骤702,将所述明文加密为密文;
步骤703,对所述密文执行安全散列算法,将所得结果进行划分,得到哈希值1和哈希值2;
步骤704,判断所述哈希值1的预定位数据与所述安全参数乘积后得到的(m×h)位数值与零的比较,如果它们都为零或所述安全参数为零,则执行步骤706;否则执行步骤705后返回执行步骤703,其中,m为所述预定位数值的位数,h为所述安全参数的安全级别;
步骤705,密文加1,整型变量MV加1;
步骤706,对所述哈希值2与整形变量MV串连后的数值执行所述安全散列算法,结果记为哈希值3,将所述哈希值3作为私钥;
步骤707,依据所述私钥由预置的公钥密码算法生成对应的公钥。
在本发明互联网主机通信方法的实施例中,优选的是,在生成公/私密钥对的方法中,步骤703对密文执行安全散列算法如SHA-1后得到一串160位元的数值,将最左边的112位记为所述哈希值1,最右边48位记为所述哈希值2;所述哈希值1的预定位数据为所述哈希值1的最左边16位数据。
作为一种本发明互联网主机通信方法和通信系统的具体实施过程,包括以下步骤:
互联网主机从互联网命名系统接收到相同标记符标记的IPv6地址/加密密钥对;
所述互联网主机的明文生成单元,将分配的所述IPv6地址的前64位子网前缀与64位全为零的场点本地地址串联,构成128位的明文并发送给密文生成单元;
所述密文生成单元利用加密算法如:高级加密标准(AVS,AdvancedEncryption Standard)算法将所述明文加密为密文,并将所述密文发送给哈希值划分单元;
哈希值划分单元对接收到的上述密文执行安全散列算法如SHA-1,得到一组160位元的数值,将所述数值的最左边112位记为哈希值1即Hash1,最右边48位记为哈希值2即Hash2;
判断单元将所述Hash1的最左边16位数据与安全参数相乘后得到的(m×h)位数值与零比较;
其中,所述安全参数是一个3位的无符号整数,存在于所述加密密钥的最左边3位,决定了安全级别h。所述安全参数对应的安全级别h的取值为0-7。安全参数为000时,对应的安全级别h为0;安全参数为001时,其安全级别h为1;当安全参数为111时,安全级别h为最高级别7。作为一种具体实施例,当安全级别为1时,所述Hash1的最左边16位数据与安全参数001相乘后,得到(16×1)位数值,然后与零比较;
如果所述16位数值不全为零,则执行步骤705,即将上述密文加1得到新的密文,整形变量MV加1后,返回上一步,即哈希值划分单元对所述新密文执行安全散列算法如SHA-1,得到一个新的160位元的数值,将所述数值的最左边112位记为新的Hash1,最右边48位记为新的Hash2,然后执行判断步骤,直至判断结果为零;每返回一次,所述密文就加1,整形变量MV也加1。其中,所述整形变量MV实际用于记录Hash次数,其初始值为0。
如果所述16位数值全为零,则由私钥生成单元将所述Hash2与对应的整形变量MV串联,然后对所述串联后的数值执行所述安全散列算法如SHA-1,将得到的结果记为Hash3,作为私钥;
最后公钥生成单元依据所述私钥根据预置的公钥密码算法如RSA(Rivest Shamir Adlemen)、背包密码、McEliece密码、Diffe Hellman、Rabin、Ong Fiat Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等生成对应的公钥。
至此,互联网主机的公/私钥对生成完毕,可以用于与其他互联网主机或服务器的通信。在整个过程中,用户为了生成符合安全参数的私钥,需要维护所述整形变量MV,其初始值为0。
实名地址的使用方法为:互联网主机在上网时,应该向域名服务器注册主机上网IP地址和IPv6格式实名地址的绑定关系,以及所用到的公钥,如果是网站有域名的,也应注册该域名。移动主机变更上网IP地址时也要更新所述新的上网IP地址和IPv6格式实名地址的绑定关系。其中,上述IPv6格式实名地址是由本发明互联网主机命名系统分配给主机的。每台互联网主机的IPv6格式实名地址是唯一确定的。通信双方在进行实名通信时,需要先根据对方的IPv6格式实名地址查询通信对方的IP地址和通信公钥,不能直接进行基于上网IP地址的网络通信。具体通信过程为:通信方双方的一方(以下简称A)向另一方(以下简称B)发送通信包;对方B回复信息包含回复方的问题,DH(Diffie-Hellman)密钥交换算法的DH半会话密钥和签名;通信方A给出问题解决方案,计算得出会话密钥,创建安全关联(SA,SecurityAssociation),并发送DH算法的半会话密钥,A的签名;通信方B计算得出会话密钥,创建自己的安全关联SA,并发送签名包结束实名地址认证;通信双方在进行身份认证后,确认对方拥有公钥对应的私钥,用会话密钥进行信息交互。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上对本发明所提供的一种互联网主机命名和通信方法及系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种互联网主机命名方法,其特征在于,采用IPv6地址作为互联网主机的实名地址,该方法包括:
依据互联网主机的地址申请,生成一个标记符;
分配IPv6地址,将分配给该主机的IPv6地址,连同所述标记符发送给该主机和密钥数据库;
生成加密密钥,将所生成的加密密钥连同所述标记符发送给该主机和密钥数据库;
将由相同标记符标记的所述IPv6地址和加密密钥作为一组IPv6地址/加密密钥对进行存储。
2.根据权利要求1所述的互联网主机命名方法,其特征在于,所述接收地址申请、分配IPv6地址和生成加密密钥分别由三个独立的服务器完成。
3.根据权利要求1所述的互联网主机命名方法,其特征在于,每个所述IPv6地址对应一个所述加密密钥,所述加密密钥为一个128位的随机数。
4.一种基于实名地址的互联网主机通信方法,其特征在于,采用IPv6地址作为互联网主机的实名地址,该方法包括:
依据互联网主机的地址申请,生成一个标记符;
分配IPv6地址,将分配给该主机的IPv6地址,连同所述标记符发送给该主机和密钥数据库;
生成加密密钥,将所生成的加密密钥连同所述标记符发送给该主机和密钥数据库;
将由相同标记符标记的所述IPv6地址和加密密钥作为一组IPv6地址/加密密钥对进行存储;
互联网主机依据所接收的所述IPv6地址/加密密钥对,生成公/私密钥对;
互联网主机利用所述公/私密钥对与其他互联网主机或服务器进行通信。
5.根据权利要求4所述的互联网主机通信方法,其特征在于,每个所述IPv6地址对应一个所述加密密钥,所述加密密钥为一个128位的随机数,所述加密密钥中包括安全参数。
6.根据权利要求4所述的互联网主机通信方法,其特征在于,所述生成公/私密钥对的方法包括:
将分配IPv6地址64位的子网前缀与64位的全为零的场点本地地址串连,构成128位的明文;
将所述明文加密为密文;
对所述密文执行安全散列算法,将所得结果进行划分,得到哈希值1和哈希值2;
判断所述哈希值1的预定位数据与所述安全参数乘积后得到的(m×h)位数值与零的比较,如果它们都为零或所述安全参数为零,则执行下一步;如果不为零,则密文加1,整型变量加1后,返回执行上一步;其中,m为所述预定位数值的位数,h为所述安全参数的安全级别;
对所述哈希值2与整形变量串连后的数值执行所述安全散列算法,结果记为哈希值3,将所述哈希值3作为私钥;
依据所述私钥,由预置的公钥密码算法生成对应的公钥。
7.根据权利要求6所述的互联网主机通信方法,其特征在于,所述对密文执行安全散列算法后得到一串160位元的数值,最左边的112位记为所述哈希值1,最右边48位记为所述哈希值2;
所述哈希值1的预定位数据为所述哈希值1的最左边16位数据。
8.一种互联网主机命名系统,其特征在于,包括:
IPv6地址/密钥服务器,用于处理互联网主机的地址申请、发送标记符标记的地址分配命令给IPv6地址服务器和所述标记符标记的加密密钥生成命令给加密密钥生成器;
IPv6地址服务器,用于分配IPv6地址作为所述互联网主机的实名地址,发送所述标记符标记的所述IPv6地址给所述互联网主机和密钥数据库;
加密密钥生成器,用于生成加密密钥,发送所述标记符标记的所述加密密钥给主机和密钥数据库;
密钥数据库,用于存储相同标记符标记的IPv6地址/加密密钥对。
9.根据权利要求8所述的互联网主机命名系统,其特征在于,每个所述IPv6地址对应一个所述加密密钥,所述加密密钥为一个128位的随机数。
10.根据权利要求8所述的互联网主机命名系统,其特征在于,所述IPv6地址/密钥服务器,包括:
申请接收模块,用于接收所述互联网主机的地址申请;
标记符生成模块,用于生成一个标记符;
地址分配命令发送模块,用于向所述IPv6地址服务器发出一个由所述标记符标记的地址分配命令;
加密密钥命令发送模块,用于向所述加密密钥生成器发出一个由所述标记符标记的加密密钥生成命令。
11.一种基于实名地址的互联网通信系统,其特征在于,包括互联网主机命名系统和互联网主机,其中,所述互联网主机命名系统,包括:
IPv6地址/密钥服务器,用于处理互联网主机的地址申请、发送标记符标记的地址分配命令给IPv6地址服务器和所述标记符标记的加密密钥生成命令给加密密钥生成器;
IPv6地址服务器,用于分配IPv6地址作为所述互联网主机的实名地址,发送所述标记符标记的所述IPv6地址给主机和密钥数据库;
加密密钥生成器,用于生成加密密钥,发送所述标记符标记的所述加密密钥给主机和密钥数据库;
密钥数据库,用于存储相同标记符标记的IPv6地址/加密密钥对;
所述互联网主机包括:
公/私密钥对生成模块,根据所接收的相同标记符标记的IPv6地址/加密密钥对,生成公/私密钥对;
通信模块,用于与其他互联网主机或服务器通过所述生成的公/私密钥对进行通信。
12.根据权利要求11所述的互联网通信系统,其特征在于,所述公/私密钥对生成模块包括:
明文生成单元,用于将分配IPv6地址64位的子网前缀与64位的全为零的场点本地地址串连,构成128位的明文;
密文生成单元,用于利用加密算法将所述明文加密为密文;
哈希值划分单元,用于对所述密文执行安全散列算法,将所得结果划分为哈希值1和哈希值2;
判断单元,判断哈希值1的预定位数据与所述安全参数乘积后得到的(m×h)位数值与零的比较结果,其中,m为所述预定位数据的位数,h为所述安全参数的安全级别;
私钥生成单元,对所述哈希值2与整形变量串连后的数值执行所述安全散列算法,结果记为哈希值3,将所述哈希值3作为私钥;
公钥生成单元,依据所述私钥由预置的公钥密码算法生成对应的公钥。
13.根据权利要求12所述的互联网通信系统,其特征在于,所述对密文执行安全散列算法后得到一串160位元的数值,最左边的112位记为所述哈希值1,最右边48位记为所述哈希值2;
所述哈希值1的预定位数据的位数m为所述哈希值1的最左边16位。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810225793.1A CN101741545B (zh) | 2008-11-13 | 2008-11-13 | 一种互联网主机命名和通信方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810225793.1A CN101741545B (zh) | 2008-11-13 | 2008-11-13 | 一种互联网主机命名和通信方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101741545A CN101741545A (zh) | 2010-06-16 |
| CN101741545B true CN101741545B (zh) | 2014-03-26 |
Family
ID=42464486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810225793.1A Active CN101741545B (zh) | 2008-11-13 | 2008-11-13 | 一种互联网主机命名和通信方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101741545B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245594A (zh) * | 2015-09-30 | 2016-01-13 | 河南科技大学 | 一种icn网络信息命名方法 |
| US11533181B2 (en) * | 2017-12-08 | 2022-12-20 | Sony Corporation | Information processing apparatus, registration apparatus, information processing method, and registration method |
| CN115987782B (zh) * | 2023-03-20 | 2023-06-06 | 建信金融科技有限责任公司 | 云主机名的生成方法、装置、设备、存储介质和程序产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1494282A (zh) * | 2003-09-24 | 2004-05-05 | 中国科学院计算技术研究所 | 互联网络中实现端到端通信的动态被动式域名分配方法 |
| CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
-
2008
- 2008-11-13 CN CN200810225793.1A patent/CN101741545B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1494282A (zh) * | 2003-09-24 | 2004-05-05 | 中国科学院计算技术研究所 | 互联网络中实现端到端通信的动态被动式域名分配方法 |
| CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101741545A (zh) | 2010-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jegadeesan et al. | An efficient anonymous mutual authentication technique for providing secure communication in mobile cloud computing for smart city applications | |
| AU705406B2 (en) | Secret-key certificates | |
| CN109873815A (zh) | 基于边缘计算的异构物联网认证方法、物联网安全平台 | |
| CN107566128A (zh) | 一种两方分布式sm9数字签名生成方法与系统 | |
| US10826711B2 (en) | Public key infrastructure and method of distribution | |
| CN102546173B (zh) | 基于证书的数字签名系统及签名方法 | |
| CN101242426B (zh) | 建立传输层安全连接的方法、系统及装置 | |
| CN107342990A (zh) | 一种分布式授权的属性基网络环签名方法 | |
| CN105471845B (zh) | 防止中间人攻击的通信方法及系统 | |
| CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
| CN104301108A (zh) | 一种从基于身份环境到无证书环境的签密方法 | |
| Aura | RFC 3972: Cryptographically generated addresses (CGA) | |
| CN101741545B (zh) | 一种互联网主机命名和通信方法及系统 | |
| CN1905447B (zh) | 一种认证加密方法和电子邮件系统 | |
| Chai et al. | Efficient password-based authentication and key exchange scheme preserving user privacy | |
| He et al. | Pavi: Bootstrapping accountability and privacy to ipv6 internet | |
| CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 | |
| CN111310210B (zh) | 基于口令和匿签密的双重认证对称可搜索加密方法 | |
| Ling et al. | An Improved Anonymous Password Authentication Scheme Using Nonce and Bilinear Pairings. | |
| Youn et al. | Signcryption with fast online signing and short signcryptext for secure and private mobile communication | |
| Eissa et al. | Enhancing MANET security using secret public keys | |
| CN112910864B (zh) | 公钥的高速报文验证方法 | |
| Kempf et al. | Ip address authorization for secure address proxying using multi-key cgas and ring signatures | |
| Zhang et al. | Study on Secure Communication of Internet of Vehicles Based on Identity-Based Cryptograph | |
| Xue et al. | A threshold proxy signature scheme using self-certified public keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210220 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No.4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee before: Computer Network Information Center, Chinese Academy of Sciences |