CN105791226B - 基于IPv6地址识别用户身份的方法、装置和系统 - Google Patents
基于IPv6地址识别用户身份的方法、装置和系统 Download PDFInfo
- Publication number
- CN105791226B CN105791226B CN201410809406.4A CN201410809406A CN105791226B CN 105791226 B CN105791226 B CN 105791226B CN 201410809406 A CN201410809406 A CN 201410809406A CN 105791226 B CN105791226 B CN 105791226B
- Authority
- CN
- China
- Prior art keywords
- key
- address
- ipv6
- information
- imsi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开一种基于IPv6地址识别用户身份的方法、装置和系统。其中PCRF单元在接收到业务平台发送的用于查询指定用户身份信息的查询请求时,查询与指定用户相关联的IPv6地址,在IPv6地址合法时,根据IPv6地址中的前缀部分确定密钥库的序号值,在密钥库中获取与序号值相关联的二维密钥,利用二维密钥和IPv6地址中的前缀部分生成工作密钥,利用工作密钥对IPv6地址中的IMSI密文进行解密,以得到IMSI信息,查询与IMSI信息相关联的用户身份信息,将IMSI信息和相关联的用户身份信息作为查询结果发送给业务平台。通过将用户的IMSI信息隐藏在分配的IPv6地址中,从而无需维护动态用户的在线信息系统,只需通过解密处理即可获得用户IMSI信息,有效提高了用户身份溯源的准确性和效率。
Description
技术领域
本发明涉及通信领域,特别涉及一种基于IPv6地址识别用户身份的方法、装置和系统。
背景技术
在3G业务时代,由于受IPv4(Internet Protocol version 4,互联网协议第4版)地址编码空间局限的制约,IP地址的分配主要基于业务来划分相应的地址段,颗粒度较大,无法做到基于用户来分配IP地址。
为了解决用户身份识别的问题,目前现网许多产品,例如3G闲时流量包业务依靠用户在线信息库来识别用户身份。网络平台侧需要动态维护一个用户在线信息库来将用户的IP地址与IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)号相关联,且需要保证在线信息库的极高的准确性,这对设备维护提出了很高的要求。
随着移动互联网的高速发展,IPv4地址枯竭问题已经变得越来越严峻,尤其是考虑到LTE(Long Term Evolution,长期演进)网络环境用户具有永远在线的特性,未来的移动互联网将消耗更多的IP地址。为了应对上述变化与挑战,目前基于IPv6的网络建设已得到飞速发展,业务推广也日趋成熟,在4G移动网环境中规模引入IPv6已初步具备条件,从而可以解决各种潜在的问题,保证运营商未来网络和业务的可持续发展。
当前许多电信的自营业务以及与服务提供商(SP)合作业务均需基于用户IP来获取身份信息,从而为用户进行免登陆或个性化推送等功能。在当前的LTE网络中,诸如SGW(Serving GateWay,服务网关)/PGW(Packet GateWay,分组网关)的网元负责分配4G用户的IP地址,且只能根据地址池动态随机给用户分配IP地址。PCRF(Policy and ChargingRules Function,策略与计费规则功能)网元通过Gx接口获取到用户在线会话信息,建立一套包括用户MDN(Mobile Directory Number,移动用户号码簿号码)、IMSI和IP地址对应关系的在线库,为各需求系统提供溯源查询接口。业务实现方案如图1所示。
步骤101,用户终端上线时,向MME(Mobility Management Entity,移动性管理实体)发送用户上线请求。
步骤102,MME向网关发送建立会话请求。
步骤103,网关通过地址池随机分配IP地址。
步骤104,网关将IP地址分配给MME。
步骤105,MME将IP地址分配给用户终端。
步骤106,PCRF通过Gx接口获取用户在线会话信息。
步骤107,PCRF维护用户动态在线库。
步骤108,业务平台发送查询请求。
步骤109,PCRF返回相应的MDN和用户信息。
在上述方案中,PCRF网元需要通过Gx接口实时获取用户的上下线信息,基于上下线信息来更新在线库记录;如果出现接口消息丢包或系统入库处理异常,则会导致在线库信息不准,甚至出现IP地址映射紊乱的情况,甚至引发后续订购费用张冠李戴的问题,导致用户投诉。
发明内容
本发明实施例提供一种基于IPv6地址识别用户身份的方法、装置和系统。通过将用户的IMSI信息隐藏在分配的IPv6地址中,从而无需维护动态用户的在线信息系统,只需通过解密处理即可获得用户IMSI信息,有效提高了用户身份溯源的准确性和效率。
根据本发明的一个方面,提供一种基于IPv6地址识别用户身份的方法,包括:
当接收到业务平台发送的用于查询指定用户身份信息的查询请求时,查询与指定用户相关联的IPv6地址,其中IPv6地址通过指定用户的在线会话信息获取;
判断IPv6地址是否合法;
若IPv6地址合法,则根据IPv6地址中的前缀部分确定密钥库的序号值;
在密钥库中获取与序号值相关联的二维密钥;
利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY;
利用工作密钥KEY对IPv6地址中的IMSI密文进行解密,以得到IMSI信息;
查询与IMSI信息相关联的用户身份信息;
将IMSI信息和相关联的用户身份信息作为查询结果发送给业务平台。
在一个实施例中,判断IPv6地址是否合法的步骤包括:
利用IPv6地址中的前缀部分和IMSI密文计算校验码;
将校验码与IPv6地址中的校验信息进行比较,其中校验信息是预先利用IPv6地址中的前缀部分和IMSI密文计算得到的;
若校验码与校验信息相同,则判断IPv6地址合法。
在一个实施例中,根据IPv6地址中的前缀部分确定密钥库的序号值的步骤包括:
将IPv6地址中前缀部分的指定字节对预定参数N取模,以得到密钥库的序号值。
在一个实施例中,IPv6地址中前缀部分的指定字节为IPv6地址中前缀部分的最后一个字节。
在一个实施例中,二维密钥包括截取长度信息和子密钥;
利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY的步骤包括:
根据截取长度信息,在IPv6地址前缀部分中的指定位置截取相应长度的字串;
利用截取的字串与子密钥生成工作密钥KEY。
根据本发明的另一方面,提供一种基于IPv6地址识别用户身份的策略计费规则功能装置,包括接收单元、查询单元、识别单元、序号确定单元、二维密钥获取单元、工作密钥生成单元、解密单元、身份信息查询单元、发送单元和密钥库,其中:
接收单元,用于接收业务平台发送的用于查询指定用户身份信息的查询请求;
查询单元,用于当接收单元接收到业务平台发送的用于查询指定用户身份信息的查询请求时,查询与指定用户相关联的IPv6地址,其中IPv6地址通过指定用户的在线会话信息获取;
识别单元,用于判断IPv6地址是否合法;
序号确定单元,用于根据识别单元的判断结果,若IPv6地址合法,则根据IPv6地址中的前缀部分确定密钥库的序号值;
二维密钥获取单元,用于在密钥库中获取与序号值相关联的二维密钥;
工作密钥生成单元,用于利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY;
解密单元,用于利用工作密钥KEY对IPv6地址中的IMSI密文进行解密,以得到IMSI信息;
身份信息查询单元,用于查询与IMSI信息相关联的用户身份信息;
发送单元,用于将IMSI信息和相关联的用户身份信息作为查询结果发送给业务平台;
密钥库,用于存储与序号值相关联的二维密钥。
在一个实施例中,识别单元具体利用IPv6地址中的前缀部分和IMSI密文计算校验码,将校验码与IPv6地址中的校验信息进行比较,其中校验信息是预先利用IPv6地址中的前缀部分和IMSI密文计算得到的;若校验码与校验信息相同,则判断IPv6地址合法。
在一个实施例中,序号确定单元具体将IPv6地址中前缀部分的指定字节对预定参数N取模,以得到密钥库的序号值。
在一个实施例中,IPv6地址中前缀部分的指定字节为IPv6地址中前缀部分的最后一个字节。
在一个实施例中,二维密钥包括截取长度信息和子密钥;
工作密钥生成单元具体根据截取长度信息,在IPv6地址前缀部分中的指定位置截取相应长度的字串,利用截取的字串与子密钥生成工作密钥KEY。
在一个实施例中,装置还包括地址提取单元,其中:
地址提取单元,用于通过获取用户在线会话信息,提取相应的IPv6地址。
根据本发明的另一方面,提供一种基于IPv6地址识别用户身份的系统,包括策略计费规则功能装置和业务平台,其中:
策略计费规则功能装置,为上述任一实施例涉及的策略计费规则功能装置;
业务平台,用于向策略计费规则功能装置发送用于查询指定用户身份信息的查询请求,并接收策略计费规则功能装置发送的查询结果。
在一个实施例中,系统还包括移动性管理实体MME装置、网关和动态主机配置协议DHCP平台,其中:
MME装置,用于在用户终端上线时,向网关发送建立会话请求;
网关,用于在接收到建立会话请求后,向DHCP平台发送IP地址请求消息;将DHCP平台分发的IPv6地址通过MME装置分发给用户终端;
DHCP平台,用于根据IP地址请求消息,为用户终端分配IPv6地址,并将IPv6地址分发给网关。
在一个实施例中,DHCP平台具体在为用户终端分配IPv6地址时生成随机数,根据前缀部分确定密钥库的序号值,在密钥库中获取与序号值相关联的二维密钥,利用二维密钥和前缀部分生成工作密钥KEY,利用工作密钥KEY对用户的IMSI信息进行加密,以得到IMSI密文,利用前缀部分和IMSI密文生成校验信息,利用随机数、IMSI密文和校验信息生成IPv6地址。
在一个实施例中,DHCP平台具体将前缀部分的最后一个字节对预定参数N取模,以得到密钥库的序号值;还具体根据二维密钥中包括的截取长度信息,在前缀部分中的指定位置截取相应长度的字串,利用截取的字串与二维密钥中包括的子密钥生成工作密钥KEY。
本发明通过将用户的IMSI信息隐藏在分配的IPv6地址中,从而无需维护动态用户的在线信息系统,只需通过解密处理即可获得用户IMSI信息,有效提高了用户身份溯源的准确性和效率。同时无需对现有系统进行大幅改造,可快速进行部署应用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中IP地址分配和身份信息识别一个实施例的示意图。
图2为本发明基于IPv6地址识别用户身份的方法一个实施例的示意图。
图3为基于IPv6地址识别用户身份的策略计费规则功能装置一个实施例的示意图。
图4为基于IPv6地址识别用户身份的策略计费规则功能装置另一实施例的示意图。
图5为本发明基于IPv6地址识别用户身份的系统一个实施例的示意图。
图6为本发明基于IPv6地址识别用户身份的系统另一实施例的示意图。
图7为本发明IP地址分配和身份信息识别一个实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图2为本发明基于IPv6地址识别用户身份的方法一个实施例的示意图。优选的,本实施例的方法步骤可由策略计费规则功能装置执行。
步骤201,当接收到业务平台发送的用于查询指定用户身份信息的查询请求时,查询与指定用户相关联的IPv6地址,其中IPv6地址通过指定用户的在线会话信息获取。
其中,IPv6地址可包括前缀(32位)、预留字段(4位)、IMSI密文(60位)和校验信息(32位)。其中前缀为随机数,预留字段为日后扩展预留字段,IMSI密文为对IMSI加密后的密文,校验信息是对前缀和IMSI密文进行校验的校验值,例如可采用CRC32校验。
步骤202,判断IPv6地址是否合法。
优选的,可利用IPv6地址中的前缀部分和IMSI密文计算校验码,将校验码与IPv6地址中的校验信息进行比较,其中校验信息是预先利用IPv6地址中的前缀部分和IMSI密文计算得到的。若校验码与校验信息相同,则判断IPv6地址合法。从而可有效提升系统安全性。
步骤203,若IPv6地址合法,则根据IPv6地址中的前缀部分确定密钥库的序号值。
优选的,可将IPv6地址中前缀部分的指定字节对预定参数N取模,以得到密钥库的序号值。例如,IPv6地址中前缀部分的指定字节可为IPv6地址中前缀部分的最后一个字节。
步骤204,在密钥库中获取与序号值相关联的二维密钥。
步骤205,利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY。
步骤206,利用工作密钥KEY对IPv6地址中的IMSI密文进行解密,以得到IMSI信息。
例如,若IMSI密文是通过IMSI与KEY异或得到的,则利用KEY与IMSI密文再次进行异或处理,可得到相应的IMSI信息。
步骤207,查询与IMSI信息相关联的用户身份信息,例如,查询用户MDN号码。
步骤208,将IMSI信息和相关联的用户身份信息作为查询结果发送给业务平台。
基于本发明上述实施例提供的基于IPv6地址识别用户身份的方法,通过将用户的IMSI信息隐藏在分配的IPv6地址中,从而无需维护动态用户的在线信息系统,只需通过解密处理即可获得用户IMSI信息,有效提高了用户身份溯源的准确性和效率。同时无需对现有系统进行大幅改造,可快速进行部署应用。
下面通过具体示例对该实施例进行说明。设IPv6地址的前缀(也可称为密钥种子)为20010C6A,预定参数N为8。将前缀最后一个字节A对参数N=8取模,得到密钥库的序号值为2。密钥库如表1所示:
| 序号 | 截取长度 | 子密钥值 |
| 1 | 4 | 2C010C6E0C6ED2 |
| 2 | 8 | 1C010C6E0C6ED |
表1
通过密钥库,可以获取与序号值为2相关联的截取长度8和子密钥值1C010C6E0C6ED。在前缀中的指定位置截取长度为8的字串,将截取出的字串与子密钥值结合,便可以获得工作密钥KEY。利用工作密钥KEY对IMSI密文进行处理,以得到解密后的IMSI信息。
图3为基于IPv6地址识别用户身份的策略计费规则功能装置一个实施例的示意图。如图3所示,该装置可包括接收单元301、查询单元302、识别单元303、序号确定单元304、二维密钥获取单元305、工作密钥生成单元306、解密单元307、身份信息查询单元308、发送单元309和密钥库310。其中:
接收单元301,用于接收业务平台发送的用于查询指定用户身份信息的查询请求。
查询单元302,用于当接收单元301接收到业务平台发送的用于查询指定用户身份信息的查询请求时,查询与指定用户相关联的IPv6地址,其中IPv6地址通过指定用户的在线会话信息获取。
识别单元303,用于判断IPv6地址是否合法。
序号确定单元304,用于根据识别单元303的判断结果,若IPv6地址合法,则根据IPv6地址中的前缀部分确定密钥库的序号值。
二维密钥获取单元305,用于在密钥库中获取与序号值相关联的二维密钥。
工作密钥生成单元306,用于利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY。
解密单元307,用于利用工作密钥KEY对IPv6地址中的IMSI密文进行解密,以得到IMSI信息。
身份信息查询单元308,用于查询与IMSI信息相关联的用户身份信息。
发送单元309,用于将IMSI信息和相关联的用户身份信息作为查询结果发送给业务平台。
密钥库310,用于存储与序号值相关联的二维密钥。
基于本发明上述实施例提供的基于IPv6地址识别用户身份的策略计费规则功能装置,通过将用户的IMSI信息隐藏在分配的IPv6地址中,从而无需维护动态用户的在线信息系统,只需通过解密处理即可获得用户IMSI信息,有效提高了用户身份溯源的准确性和效率。同时无需对现有系统进行大幅改造,可快速进行部署应用。
优选的,识别单元303具体利用IPv6地址中的前缀部分和IMSI密文计算校验码,将校验码与IPv6地址中的校验信息进行比较,其中校验信息是预先利用IPv6地址中的前缀部分和IMSI密文计算得到的;若校验码与校验信息相同,则判断IPv6地址合法。
优选的,序号确定单元304具体将IPv6地址中前缀部分的指定字节对预定参数N取模,以得到密钥库的序号值。在一个具体实施例中,IPv6地址中前缀部分的指定字节为IPv6地址中前缀部分的最后一个字节。
优选的,二维密钥包括截取长度信息和子密钥。
工作密钥生成单元306具体根据截取长度信息,在IPv6地址前缀部分中的指定位置截取相应长度的字串,利用截取的字串与子密钥生成工作密钥KEY。
图4为基于IPv6地址识别用户身份的策略计费规则功能装置另一实施例的示意图。与图3所示实施例相比,在图4所示实施例中,该装置还可包括地址提取单元401。其中:
地址提取单元401,用于通过获取用户在线会话信息,提取相应的IPv6地址。
图5为本发明基于IPv6地址识别用户身份的系统一个实施例的示意图。如图5所示,该系统可包括策略计费规则功能装置501和业务平台502。其中:
策略计费规则功能装置501,为图3或图4中任一实施例涉及的策略计费规则功能装置。
业务平台502,用于向策略计费规则功能装置501发送用于查询指定用户身份信息的查询请求,并接收策略计费规则功能装置501发送的查询结果。
基于本发明上述实施例提供的基于IPv6地址识别用户身份的系统,通过将用户的IMSI信息隐藏在分配的IPv6地址中,从而无需维护动态用户的在线信息系统,只需通过解密处理即可获得用户IMSI信息,有效提高了用户身份溯源的准确性和效率。同时无需对现有系统进行大幅改造,可快速进行部署应用。
图6为本发明基于IPv6地址识别用户身份的系统另一实施例的示意图。与图5所示实施例相比,在图6所示实施例中,系统还可包括MME装置601、网关602和DHCP(DynamicHost Configuration Protocol,动态主机配置协议)平台603,其中:
MME装置601,用于在用户终端上线时,向网关602发送建立会话请求。
网关602,用于在接收到建立会话请求后,向DHCP平台603发送IP地址请求消息;将DHCP平台603分发的IPv6地址通过MME装置601分发给用户终端。例如,网关602可以为SGW/PGW。
DHCP平台603,用于根据IP地址请求消息,为用户终端分配IPv6地址,并将IPv6地址分发给网关。
优选的,DHCP平台603具体在为用户终端分配IPv6地址时生成随机数,根据前缀部分确定密钥库的序号值,在密钥库中获取与序号值相关联的二维密钥,利用二维密钥和前缀部分生成工作密钥KEY,利用工作密钥KEY对用户的IMSI信息进行加密,以得到IMSI密文,利用前缀部分和IMSI密文生成校验信息,利用随机数、IMSI密文和校验信息生成IPv6地址。
在一个实施例中,DHCP平台603具体将前缀部分的最后一个字节对预定参数N取模,以得到密钥库的序号值;还具体根据二维密钥中包括的截取长度信息,在前缀部分中的指定位置截取相应长度的字串,利用截取的字串与二维密钥中包括的子密钥生成工作密钥KEY。
下面通过具体实施例对本发明进行说明。如图7所示:
步骤701,用户终端上线时,向MME发送用户上线请求。
步骤702,MME向网关发送建立会话请求。
步骤703,网关向DHCP平台发送IP地址请求。
步骤704,DHCP平台动态分配IP地址。
具体的,DHCP平台随机生成前缀,将前缀最后一个字节对预定参数取模,得到密钥库的序号值。通过密钥库,可以获取与序号值相关联的截取长度和子密钥值。根据截取长度信息,在前缀中的指定位置截取相应长度的字串,将截取出的字串与子密钥值结合,从而获得工作密钥KEY。利用工作密钥KEY对用户的IMSI信息进行处理,以得到IMSI密文。将前缀和IMSI密文进行CRC32校验,以得到相应的校验信息。从而生成的IPv6地址包括前缀、IMSI密文和校验信息。
步骤705,DHCP平台将生成的IPv6地址下发给网关。
步骤706,网关将IPv6地址下发给MME。
步骤707,MME将IPv6地址下发给用户终端。
步骤708,PCRF通过Gx接口获取用户在线会话信息。
步骤709,业务平台发送查询请求。
步骤710,PCRF进行IPv6地址反算,从而获得用户的IMSI信息。
其中,PCRF利用IPv6地址中的前缀和IMSI密文计算校验码,将计算得到的校验码和IPv6地址中的校验信息进行比较,若两者相同,则表明IPv6地址合法。然后将前缀最后一个字节对预定参数取模,得到密钥库的序号值。通过密钥库,可以获取与序号值相关联的截取长度和子密钥值。根据截取长度信息,在前缀中的指定位置截取相应长度的字串,将截取出的字串与子密钥值结合,从而获得工作密钥KEY。利用工作密钥KEY对IPv6地址中的IMSI密文进行解密,以得到用户IMSI信息。
步骤711,PCRF查询与IMSI信息相关联的用户身份信息,例如用户MDN信息等。
步骤712,PCRF向业务平台发送用户IMSI信息以及相关的用户身份信息。
在实施本发明中,需要对PGW网关进行如下改造:
1.与DHCP平台对接,DHCP平台负责用户IP地址的管理和分配,PGW网元作为客户端,代替MS/UE向DHCP平台申请和租用IP地址。
2.配置PGW网元的地址分配方式,由本地的地址池分配,修改为DHCP平台分发方式。
同时,DHCP平台需要进行如下改造:
1.基于IMSI的IPv6地址的动态分配算法,生成隐藏用户身份的IPv6地址。
2.对接PGW网元,以便分发IP地址。
此外,PCRF平台需要进行如下改造:
1.取消在线动态信息库的维护,无需记录用户每次的会话消息中IP与IMSI的对应关系。
2.改造业务平台对接的查询接口,增加溯源用户身份的功能模块。
例如,收到业务平台的IP地址查询请求后,首先进行CRC校验是否是合法的查询请求,然后查询密钥库以获取二维密钥,根据密钥再反算出用户的IMSI身份,最后用IMSI关联该用户的相关信息并返回给业务平台。
通过实施本发明,可将用户的IMSI信息隐藏在分配的IPv6地址中,从而无需维护动态用户的在线信息系统,只需系统通过解密算法即可获取用户IMSI信息,提高了用户身份溯源的准确性和效率,大幅降低因在线库数据不准导致的争议投诉问题。该方案实现较为简单,只需将现有系统做少量改造,即可快递地部署应用。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (13)
1.一种基于IPv6地址识别用户身份的方法,其特征在于,包括:
当接收到业务平台发送的用于查询指定用户身份信息的查询请求时,查询与指定用户相关联的IPv6地址,其中IPv6地址通过指定用户的在线会话信息获取;
判断IPv6地址是否合法;
若IPv6地址合法,则根据IPv6地址中的前缀部分确定密钥库的序号值;
在密钥库中获取与序号值相关联的二维密钥,二维密钥包括截取长度信息和子密钥;
利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY;
利用工作密钥KEY对IPv6地址中的IMSI密文进行解密,以得到IMSI信息;
查询与IMSI信息相关联的用户身份信息;
将IMSI信息和相关联的用户身份信息作为查询结果发送给业务平台;
其中,利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY包括:
根据截取长度信息,在IPv6地址前缀部分中的指定位置截取相应长度的字串;
利用截取的字串与子密钥生成工作密钥KEY。
2.根据权利要求1所述的方法,其特征在于,
判断IPv6地址是否合法的步骤包括:
利用IPv6地址中的前缀部分和IMSI密文计算校验码;
将校验码与IPv6地址中的校验信息进行比较,其中校验信息是预先利用IPv6地址中的前缀部分和IMSI密文计算得到的;
若校验码与校验信息相同,则判断IPv6地址合法。
3.根据权利要求2所述的方法,其特征在于,
根据IPv6地址中的前缀部分确定密钥库的序号值的步骤包括:
将IPv6地址中前缀部分的指定字节对预定参数N取模,以得到密钥库的序号值。
4.根据权利要求3所述的方法,其特征在于,
IPv6地址中前缀部分的指定字节为IPv6地址中前缀部分的最后一个字节。
5.一种基于IPv6地址识别用户身份的策略计费规则功能装置,其特征在于,包括接收单元、查询单元、识别单元、序号确定单元、二维密钥获取单元、工作密钥生成单元、解密单元、身份信息查询单元、发送单元和密钥库,其中:
接收单元,用于接收业务平台发送的用于查询指定用户身份信息的查询请求;
查询单元,用于当接收单元接收到业务平台发送的用于查询指定用户身份信息的查询请求时,查询与指定用户相关联的IPv6地址,其中IPv6地址通过指定用户的在线会话信息获取;
识别单元,用于判断IPv6地址是否合法;
序号确定单元,用于根据识别单元的判断结果,若IPv6地址合法,则根据IPv6地址中的前缀部分确定密钥库的序号值;
二维密钥获取单元,用于在密钥库中获取与序号值相关联的二维密钥,二维密钥包括截取长度信息和子密钥;
工作密钥生成单元,用于利用二维密钥和IPv6地址中的前缀部分生成工作密钥KEY,其中根据截取长度信息,在IPv6地址前缀部分中的指定位置截取相应长度的字串,利用截取的字串与子密钥生成工作密钥KEY;
解密单元,用于利用工作密钥KEY对IPv6地址中的IMSI密文进行解密,以得到IMSI信息;
身份信息查询单元,用于查询与IMSI信息相关联的用户身份信息;
发送单元,用于将IMSI信息和相关联的用户身份信息作为查询结果发送给业务平台;
密钥库,用于存储与序号值相关联的二维密钥。
6.根据权利要求5所述的装置,其特征在于,
识别单元具体利用IPv6地址中的前缀部分和IMSI密文计算校验码,将校验码与IPv6地址中的校验信息进行比较,其中校验信息是预先利用IPv6地址中的前缀部分和IMSI密文计算得到的;若校验码与校验信息相同,则判断IPv6地址合法。
7.根据权利要求6所述的装置,其特征在于,
序号确定单元具体将IPv6地址中前缀部分的指定字节对预定参数N取模,以得到密钥库的序号值。
8.根据权利要求7所述的装置,其特征在于,
IPv6地址中前缀部分的指定字节为IPv6地址中前缀部分的最后一个字节。
9.根据权利要求5所述的装置,其特征在于,还包括地址提取单元,其中:
地址提取单元,用于通过获取用户在线会话信息,提取相应的IPv6地址。
10.一种基于IPv6地址识别用户身份的系统,其特征在于,包括如权利要求5-9中任一项所述的策略计费规则功能装置,以及
业务平台,用于向策略计费规则功能装置发送用于查询指定用户身份信息的查询请求,并接收策略计费规则功能装置发送的查询结果。
11.根据权利要求10所述的系统,其特征在于,还包括移动性管理实体MME装置、网关和动态主机配置协议DHCP平台,其中:
MME装置,用于在用户终端上线时,向网关发送建立会话请求;
网关,用于在接收到建立会话请求后,向DHCP平台发送IP地址请求消息;将DHCP平台分发的IPv6地址通过MME装置分发给用户终端;
DHCP平台,用于根据IP地址请求消息,为用户终端分配IPv6地址,并将IPv6地址分发给网关。
12.根据权利要求11所述的系统,其特征在于,
DHCP平台具体在为用户终端分配IPv6地址时生成随机数,根据前缀部分确定密钥库的序号值,在密钥库中获取与序号值相关联的二维密钥,利用二维密钥和前缀部分生成工作密钥KEY,利用工作密钥KEY对用户的IMSI信息进行加密,以得到IMSI密文,利用前缀部分和IMSI密文生成校验信息,利用随机数、IMSI密文和校验信息生成IPv6地址。
13.根据权利要求12所述的系统,其特征在于,
DHCP平台具体将前缀部分的最后一个字节对预定参数N取模,以得到密钥库的序号值;还具体根据二维密钥中包括的截取长度信息,在前缀部分中的指定位置截取相应长度的字串,利用截取的字串与二维密钥中包括的子密钥生成工作密钥KEY。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410809406.4A CN105791226B (zh) | 2014-12-23 | 2014-12-23 | 基于IPv6地址识别用户身份的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410809406.4A CN105791226B (zh) | 2014-12-23 | 2014-12-23 | 基于IPv6地址识别用户身份的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105791226A CN105791226A (zh) | 2016-07-20 |
| CN105791226B true CN105791226B (zh) | 2019-03-15 |
Family
ID=56376788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410809406.4A Active CN105791226B (zh) | 2014-12-23 | 2014-12-23 | 基于IPv6地址识别用户身份的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791226B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521331A (zh) * | 2018-04-11 | 2018-09-11 | 西安邮电大学 | 基于源地址的隐蔽信息发送系统及发送方法 |
| CN109347836B (zh) * | 2018-10-25 | 2020-12-15 | 安徽问天量子科技股份有限公司 | 一种IPv6网络节点身份安全保护方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509491B1 (en) * | 2004-06-14 | 2009-03-24 | Cisco Technology, Inc. | System and method for dynamic secured group communication |
| CN102301763A (zh) * | 2009-01-29 | 2011-12-28 | 瑞典爱立信有限公司 | 用于注册终端的方法和网络节点 |
| CN102724661A (zh) * | 2011-03-30 | 2012-10-10 | 中兴通讯股份有限公司 | 一种获取机器类型通信设备ip地址的方法及系统 |
| CN102801821A (zh) * | 2012-08-10 | 2012-11-28 | 中国联合网络通信集团有限公司 | 地址生成和解析方法、用户设备和网络节点 |
| CN102811263A (zh) * | 2012-07-25 | 2012-12-05 | 中国联合网络通信集团有限公司 | 移动终端基于IPv6的通信方法和系统以及移动终端 |
| CN103327566A (zh) * | 2011-12-19 | 2013-09-25 | 思科技术公司 | 用于运营商服务和因特网的资源管理的系统和方法 |
| CN103444148A (zh) * | 2011-03-22 | 2013-12-11 | 瑞典爱立信有限公司 | 控制部署的业务检测功能节点的路由选择或绕过的网络节点和方法 |
-
2014
- 2014-12-23 CN CN201410809406.4A patent/CN105791226B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509491B1 (en) * | 2004-06-14 | 2009-03-24 | Cisco Technology, Inc. | System and method for dynamic secured group communication |
| CN102301763A (zh) * | 2009-01-29 | 2011-12-28 | 瑞典爱立信有限公司 | 用于注册终端的方法和网络节点 |
| CN103444148A (zh) * | 2011-03-22 | 2013-12-11 | 瑞典爱立信有限公司 | 控制部署的业务检测功能节点的路由选择或绕过的网络节点和方法 |
| CN102724661A (zh) * | 2011-03-30 | 2012-10-10 | 中兴通讯股份有限公司 | 一种获取机器类型通信设备ip地址的方法及系统 |
| CN103327566A (zh) * | 2011-12-19 | 2013-09-25 | 思科技术公司 | 用于运营商服务和因特网的资源管理的系统和方法 |
| CN102811263A (zh) * | 2012-07-25 | 2012-12-05 | 中国联合网络通信集团有限公司 | 移动终端基于IPv6的通信方法和系统以及移动终端 |
| CN102801821A (zh) * | 2012-08-10 | 2012-11-28 | 中国联合网络通信集团有限公司 | 地址生成和解析方法、用户设备和网络节点 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105791226A (zh) | 2016-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789834B (zh) | 用于识别用户身份的方法、网关、pcrf网元和系统 | |
| CN101990183B (zh) | 保护用户信息的方法、装置及系统 | |
| CN105119722B (zh) | 一种身份验证方法、设备及系统 | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN105228140A (zh) | 一种数据访问方法及装置 | |
| CN105790960B (zh) | 流量识别方法和系统、流量网关 | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN104640114A (zh) | 一种访问请求的验证方法及装置 | |
| CN102611597A (zh) | 一种在不同家庭环境中免输入账号和密码的宽带上网方法 | |
| CN105814837A (zh) | 一种定向统计流量的方法、设备及系统 | |
| CN104144167A (zh) | 一种开放式智能网关平台的用户登录认证方法 | |
| CN106534129B (zh) | 接入控制方法及装置 | |
| CN103441859A (zh) | 用户计费业务使用标识生成管理方法及系统 | |
| CN105813072A (zh) | 一种终端鉴权方法、系统及云端服务器 | |
| CN109218307A (zh) | 一种客户端身份认证的方法 | |
| CN107172027A (zh) | 证书管理方法、存储设备、存储介质和装置 | |
| CN104601743A (zh) | 基于以太的IP转发IPoE双栈用户接入控制方法和设备 | |
| CN105791226B (zh) | 基于IPv6地址识别用户身份的方法、装置和系统 | |
| TWI598762B (zh) | 實現雲端身份認證的網路系統、方法及移動設備 | |
| CN103139758B (zh) | 移动Socket类应用系统、服务器、方法和WAP网关 | |
| CN109286506B (zh) | 一种流量计费的方法、系统及装置 | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
| KR101933594B1 (ko) | 과금 제어 장치, 방법 및 시스템 | |
| CN106803821A (zh) | 在wifi场景下识别终端用户身份的方法和系统 | |
| CN105184559A (zh) | 一种支付系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |