CN106657120A - 一种wifi安全体系架构 - Google Patents
一种wifi安全体系架构 Download PDFInfo
- Publication number
- CN106657120A CN106657120A CN201611268637.4A CN201611268637A CN106657120A CN 106657120 A CN106657120 A CN 106657120A CN 201611268637 A CN201611268637 A CN 201611268637A CN 106657120 A CN106657120 A CN 106657120A
- Authority
- CN
- China
- Prior art keywords
- ipv6
- ipv4
- client device
- application
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/251—Translation of Internet protocol [IP] addresses between different IP versions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/686—Types of network addresses using dual-stack hosts, e.g. in Internet protocol version 4 [IPv4]/Internet protocol version 6 [IPv6] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种WIFI安全体系架构,将IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路通过加密算法实现强制绑定,其中IPv4/IPv6互通应用平台、安全监管平台通过IPv6线路与骨干网进行通讯连接;客户端设备通过IPv6单栈线路与骨干网进行通讯连接;客户端设备与终端之间维持轻量化双栈协议,保证对终端应用程序的兼容性;客户端设备安装安全插件,将收集到的信息自动上传至安全监管平台。本发明实现了IPv4/IPv6互通应用平台‑安全监管平台‑IPv6网络线路‑客户端设备的强制绑定,使安全监管平台的等效应用覆盖率达到百分之百,提高了IPv6客户端访问IPv4网络资源的兼容性。
Description
技术领域
本发明涉及一种互联网安全溯源技术,具体地说是一种WIFI安全体系架构。
背景技术
随着人们对互联网的使用越来越普及,互联网给人们带来许多便利的同时,也带来了很多风险和挑战。例如:少数人利用互联网发布和传播不利于社会稳定言论;这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作,仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求。
安全溯源是基于信息流的数据采集、分析、识别的软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行信息收集。目前,采用在用户侧网络中外加审计设备的方式进行信息收集,由于外加的审计设备安装于客户端,用户隐私保护意识越来越强,不易被用户接受,可能会发生自行拆除现象,拆除并不影响用户上网,导致审计设备的实际应用覆盖率偏低,对信息的收集不全面,影响网络信息安全溯源工作的正常展开。
目前互联网中存在两类网间协议,即地址分配方式分别为IPv4和IPv6,这两类地址分配方式互不兼容,使用户无法跨协议互访。但是IPv4地址分配已经枯竭,为解决该问题,广泛采用了地址复用技术,加重了安全溯源工作的复杂程度。而IPv6具有广阔的地址空间,推广使用IPv6可以使安全溯源工作变得相对容易,但又带来了IPv6客户端访问IPv4网络资源的兼容性问题。
发明内容
针对现有技术中网络信息安全溯源工作难以展开以及IPv6、IPv4网络资源互不兼容等不足,本发明要解决的问题是提供一种能够解决兼容性问题的同时有利于普及安全溯源工作的WIFI安全体系架构。
为解决上述技术问题,本发明采用的技术方案是:
本发明一种WIFI安全体系架构,包括:IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路,将四者通过加密算法实现强制绑定,其中IPv4/IPv6互通应用平台、安全监管平台为云端设备,通过IPv6线路与骨干网进行通讯连接;客户端设备为终端控制设备,通过IPv6单栈线路与骨干网进行通讯连接;客户端设备与终端之间维持轻量化双栈协议,以保证对终端应用程序的兼容性;客户端设备中安装具有信息收集功能的安全插件,将收集到的信息自动上传至安全监管平台。
IPv4/IPv6互通应用平台维护包含以下信息的静态表,实现鉴权:授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。
IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装,实现跨协议栈访问,并记录IPv4/IPv6的地址映射关系。
IPv4/IPv6互通应用平台的控制流程如下:
终端应用程序发起会话请求;
客户端设备(CPE)对终端应用程序的请求进行判断,
客户端设备对终端设备发出的请求进行判断;
判断客户端是否为IPv6客户端,如果是IPv6客户端,则判断是否为IPv6客户端向IPv6服务器发出的请求;
如果是IPv6客户端向IPv6服务器发出的请求,则客户端设备直接向目的地址转发IP包。
如果不是IPv6客户端向IPv6服务器发出的请求,则为IPv6客户端向IPv4服务器发出的请求,IPv6客户端设备向IPv4/IPv6互通应用平台转发IP包。
如果不是IPv6客户端,则为IPv4客户端,将IPv4协议包全部封装为IPv6协议包,该IPv6协议包通过隧道协议向IPv4/IPv6互通应用平台转发。
7IPv6协议包向IPv4/IPv6互通应用平台转发IP包的同时维系与IPv4/IPv6互通应用平台的隧道会话。
隧道会话的建立及维系通过SHA-1算法实现动态密匙交换,并进行单向鉴权。
本发明具有以下有益效果及优点:
1.本发明实现了IPv4/IPv6互通应用平台-安全监管平台-IPv6网络线路-客户端设备的强制绑定关系,使安全监管平台的等效应用覆盖率达到百分之百,有效保证了网络信息安全溯源工作的正常展开,对于社会稳定以及国家安全具有重大意义。
2.本发明通过应用互通平台实现了IPv4/v6网络资源的跨协议栈访问,解决了当前IPv6网站侧信息资源不足的问题,提高了IPv6客户端访问IPv4网络资源的兼容性。
附图说明
图1为本发明上网环境防控体系拓扑图;
图2为本发明中IPv6访问IPv4的方法流程图。
具体实施方式
下面结合说明书附图对本发明作进一步阐述。
如图1所示,本发明一种WIFI安全体系架构,IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路,将四者通过加密算法实现强制绑定,其中IPv4/IPv6互通应用平台、安全监管平台为云端设备,通过IPv6线路与骨干网进行通讯连接;客户端设备为终端控制设备,通过IPv6单栈线路与骨干网进行通讯连接;客户端设备与终端之间维持轻量化双栈协议,以保证对终端应用程序的兼容性;客户端设备中安装具有信息收集功能的安全插件,将收集到的信息自动上传至安全监管平台。
IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装,实现跨协议栈访问,并记录IPv4/IPv6的地址映射关系。
IPv4/IPv6互通应用平台维护包含以下信息的静态表,实现鉴权:授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。
本发明通过以上静态表和加密算法实现IPv4/IPv6互通应用平台、安全监管平台、IPv6单栈线路以及客户端设备的强制绑定,非授权客户端设备不能被应用于本架构中,从而解决了信息安全问题。
如图2所示,IPv4/IPv6互通应用平台的控制流程如下:
终端应用程序发起会话请求;
客户端设备(CPE)对终端应用程序的请求进行判断,
客户端设备对终端设备发出的请求进行判断;
判断客户端是否为IPv6客户端,如果是IPv6客户端,则判断是否为IPv6客户端向IPv6服务器发出的请求;
如果是IPv6客户端向IPv6服务器发出的请求,则客户端设备直接向目的地址转发IP包。
如果不是IPv6客户端向IPv6服务器发出的请求,则为IPv6客户端向IPv4服务器发出的请求,IPv6客户端设备向IPv4/IPv6互通应用平台转发IP包。
在判断客户端是否为IPv6客户端时,如果不是IPv6客户端,则为IPv4客户端,将IPv4协议包全部封装为IPv6协议包,该IPv6协议包通过隧道协议向IPv4/IPv6互通应用平台转发,同时维系与IPv4/IPv6互通应用平台的隧道会话。隧道会话的建立及维系通过SHA/1算法实现动态密匙交换,并进行单向鉴权。
本实施例中,客户端设备(CPE)为网关设备或其衍生产品,可以安装于公共场所、企事业单位或家庭中,网关设备内设有IPv6地址池(IPv6Pool),通过具有信息收集功能的安全插件将收集信息自动上传至安全监管平台,实现对网络信息的监管。
由于IPv4/IPv6互通应用平台做为代理服务器,其对IPv4/IPv6包进行解封装和再封装,并记录IPv4/IPv6的地址映射关系。这样,每个通过该客户端设备上网的终端设备,其IP地址均被记录在客户端设备即网关设备的IPv6P ARP列表中,当终端设备与该网关设备断开连接,从另一网关设备设备登录网络时,其终端特征信息例如MAC地址会记录在新网关设备设备上ARP列表中,并向安全监管平台发送,安全监管平台将刷新MAC地址记录以及MAC地址与IP地址的对应关系,实现信息(如终端设备)位置信息的溯源。
本实施例中,通过SHA-1算法实现隧道会话的建立及维系,该算法取客户端设备的MAC地址(共48位)的后32位及产品系列号做为算法的输入信息,输出鉴权码发送至IPv4/IPv6互通应用平台进行单向鉴权,实现授权客户端设备的安全管理。
本发明还可以应用在宾馆及酒店等场所,由于IPv6具有地址空间广阔的特点,可实现每个客房一段公网IP地址,并可以建立房间号与地址段的静态对应关系,进一步简化信息溯源,保证网络信息安全可控。
Claims (8)
1.一种WIFI安全体系架构,其特征在于包括:IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路,将四者通过加密算法实现强制绑定,其中IPv4/IPv6互通应用平台、安全监管平台为云端设备,通过IPv6线路与骨干网进行通讯连接;客户端设备为终端控制设备,通过IPv6单栈线路与骨干网进行通讯连接;客户端设备与终端之间维持轻量化双栈协议,以保证对终端应用程序的兼容性;客户端设备中安装具有信息收集功能的安全插件,将收集到的信息自动上传至安全监管平台。
2.按权利要求1所述的WIFI安全体系架构,其特征在于:IPv4/IPv6互通应用平台维护包含以下信息的静态表,实现鉴权:授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。
3.按权利要求1所述的WIFI安全体系架构,其特征在于:IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装,实现跨协议栈访问,并记录IPv4/IPv6的地址映射关系。
4.按权利要求1所述的WIFI安全体系架构,其特征在于IPv4/IPv6互通应用平台的控制流程如下:
终端应用程序发起会话请求;
客户端设备对终端应用程序的请求进行判断,
客户端设备对终端设备发出的请求进行判断;
判断客户端是否为IPv6客户端,如果是IPv6客户端,则判断是否为IPv6客户端向IPv6服务器发出的请求;
如果是IPv6客户端向IPv6服务器发出的请求,则客户端设备直接向目的地址转发IP包。
5.按权利要求3所述的WIFI安全体系架构,其特征在于:如果不是IPv6客户端向IPv6服务器发出的请求,则为IPv6客户端向IPv4服务器发出的请求,IPv6客户端设备向IPv4/IPv6互通应用平台转发IP包。
6.按权利要求3所述的WIFI安全体系架构,其特征在于:如果不是IPv6客户端,则为IPv4客户端,将IPv4协议包全部封装为IPv6协议包,该IPv6协议包通过隧道协议向IPv4/IPv6互通应用平台转发。
7.按权利要求5所述的WIFI安全体系架构,其特征在于:IPv6协议包向IPv4/IPv6互通应用平台转发IP包的同时维系与IPv4/IPv6互通应用平台的隧道会话。
8.按权利要求6所述的WIFI安全体系架构,其特征在于:隧道会话的建立及维系通过SHA-1算法实现动态密匙交换,并进行单向鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611268637.4A CN106657120A (zh) | 2016-12-31 | 2016-12-31 | 一种wifi安全体系架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611268637.4A CN106657120A (zh) | 2016-12-31 | 2016-12-31 | 一种wifi安全体系架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106657120A true CN106657120A (zh) | 2017-05-10 |
Family
ID=58838495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611268637.4A Pending CN106657120A (zh) | 2016-12-31 | 2016-12-31 | 一种wifi安全体系架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106657120A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707573A (zh) * | 2009-09-29 | 2010-05-12 | 北京网能经纬科技有限公司 | 一种实现ipv4和ipv6网互通的过渡体系架构 |
| CN102143241A (zh) * | 2010-07-30 | 2011-08-03 | 华为技术有限公司 | 主机间的访问方法、设备及系统 |
| CN102739810A (zh) * | 2011-04-07 | 2012-10-17 | 中国电信股份有限公司 | IPv4CP/SP和IPv6网络互通的方法与设备 |
| CN102938736A (zh) * | 2012-11-20 | 2013-02-20 | 杭州迪普科技有限公司 | 一种实现IPv4报文穿越IPv6网络的方法和设备 |
| CN103036732A (zh) * | 2011-09-30 | 2013-04-10 | 方正宽带网络服务股份有限公司 | 一种网络监控处理的方法、系统和设备 |
| CN104780219A (zh) * | 2015-04-27 | 2015-07-15 | 北京智凯特网络技术有限公司 | 智凯特酒店智能管理系统 |
-
2016
- 2016-12-31 CN CN201611268637.4A patent/CN106657120A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707573A (zh) * | 2009-09-29 | 2010-05-12 | 北京网能经纬科技有限公司 | 一种实现ipv4和ipv6网互通的过渡体系架构 |
| CN102143241A (zh) * | 2010-07-30 | 2011-08-03 | 华为技术有限公司 | 主机间的访问方法、设备及系统 |
| CN102739810A (zh) * | 2011-04-07 | 2012-10-17 | 中国电信股份有限公司 | IPv4CP/SP和IPv6网络互通的方法与设备 |
| CN103036732A (zh) * | 2011-09-30 | 2013-04-10 | 方正宽带网络服务股份有限公司 | 一种网络监控处理的方法、系统和设备 |
| CN102938736A (zh) * | 2012-11-20 | 2013-02-20 | 杭州迪普科技有限公司 | 一种实现IPv4报文穿越IPv6网络的方法和设备 |
| CN104780219A (zh) * | 2015-04-27 | 2015-07-15 | 北京智凯特网络技术有限公司 | 智凯特酒店智能管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| 周小洁等: ""利用软CPE实现WiFi用户的IPV6 接入"", 《信息通信》 * |
| 陈瑞: ""IPv6网络过渡技术"", 《电信网技术》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107995499B (zh) | 媒体数据的处理方法、装置及相关设备 | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN104853003B (zh) | 一种基于Netfilter的地址、端口跳变通信实现方法 | |
| CN102014122B (zh) | 基于双向安全认证的点对点协议的IP Camera服务系统 | |
| CN103973700A (zh) | 移动终端预设联网地址防火墙隔离应用系统 | |
| CN104539598B (zh) | 一种改进Tor的安全匿名网络通信系统及方法 | |
| CN101651597B (zh) | 一种地址分离映射网络中IPSec-VPN的部署方法 | |
| JP2019515608A (ja) | アクセス制御 | |
| CN106789909A (zh) | 应用程序的网络数据传输方法、装置及系统 | |
| CN107968774A (zh) | 一种车联网终端设备的信息安全防护方法 | |
| CN105100095A (zh) | 移动终端应用程序安全交互方法及装置 | |
| CN106713057B (zh) | 用于进行隧道检测的方法、装置及系统 | |
| CN104601566B (zh) | 认证方法以及装置 | |
| CN105072213A (zh) | 一种IPSec NAT双向穿越方法、系统及VPN网关 | |
| CN107370715A (zh) | 网络安全防护方法及装置 | |
| CN106888184A (zh) | 移动终端支付类应用程序安全支付方法及装置 | |
| CN112738200A (zh) | 一种基于封闭式公网系统的便捷运维工具及方法 | |
| CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| CN108712369A (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| CN106209522A (zh) | 基于令牌协议的令牌组网构建方法 | |
| CN101820414A (zh) | 一种主机接入控制系统及方法 | |
| CN104038931B (zh) | 基于lte网络的配用电通信系统及其通信方法 | |
| CN103209107A (zh) | 一种实现用户访问控制的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170510 |
|
| RJ01 | Rejection of invention patent application after publication |