CN110266518A - 基于SDN的IPv6地址溯源方法、装置与电子设备 - Google Patents
基于SDN的IPv6地址溯源方法、装置与电子设备 Download PDFInfo
- Publication number
- CN110266518A CN110266518A CN201910431290.8A CN201910431290A CN110266518A CN 110266518 A CN110266518 A CN 110266518A CN 201910431290 A CN201910431290 A CN 201910431290A CN 110266518 A CN110266518 A CN 110266518A
- Authority
- CN
- China
- Prior art keywords
- address
- ipv6
- source
- sdn
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种基于SDN的IPv6地址溯源方法、装置与电子设备,其中该方法包括:若监听到对用户终端的IPv6地址配置报文,则基于该IPv6地址配置报文,获取该用户终端对应的用户身份信息;基于上述IPv6地址配置报文和用户身份信息,利用SDN生成可信IPv6地址;基于可信IPv6地址,对该用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对所述数据包对应的用户身份进行溯源。本发明实施例通过利用SDN将用户身份信息编码进用户数据包的IPv6地址中,使得能够通过获取用户数据包新的IPv6地址,有效溯源用户真实身份信息,从而有效提高溯源效率和准确性,并能更好的适应多种网络场景。
Description
技术领域
本发明涉及网络完全技术领域,更具体地,涉及一种基于软件定义网络(SoftwareDefined Network,SDN)的IPv6地址溯源方法、装置与电子设备。
背景技术
以IPv6地址为核心的下一代互联网的普及,促使越来越多的用户通过IPv6地址访问网络资源。然而,随着互联网的发展,联网用户与日俱增,各种攻击行为层出不穷,网络安全形势日益严峻。对网络恶意用户进行溯源追责是抑制各种网络攻击的有效手段。因此,对IPv6地址溯源可增强下一代互联网的安全可信基础,提高其对攻击事件的问责能力,从而营造更加安全可靠的网络空间环境。
然而,现有的IPv6地址溯源方法存在许多问题,例如,有的方法存在大量存储开销和时间同步问题,导致溯源效率低、不准确;还有的方法只支持单一的地址配置方式(比如Android系统只支持DHCPv6,不支持SLAAC),对终端设备依赖性强,应用的范围较小。
发明内容
为了克服上述问题或者至少部分地解决上述问题,本发明实施例提供一种基于SDN的IPv6地址溯源方法、装置与电子设备,用以有效提高溯源效率和准确性,并能更好的适应多种网络场景。
第一方面,本发明实施例提供一种基于SDN的IPv6地址溯源方法,包括:
若监听到对用户终端的IPv6地址配置报文,则基于所述IPv6地址配置报文,获取所述用户终端对应的用户身份信息;
基于所述IPv6地址配置报文和所述用户身份信息,利用软件定义网络SDN,生成可信IPv6地址;
基于所述可信IPv6地址,对所述用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对所述数据包对应的用户身份进行溯源。
第二方面,本发明实施例提供一种基于SDN的IPv6地址溯源装置,包括:
信息获取模块,用于若监听到对用户终端的IPv6地址配置报文,则基于所述IPv6地址配置报文,获取所述用户终端对应的用户身份信息;
地址生成模块,用于基于所述IPv6地址配置报文和所述用户身份信息,利用软件定义网络SDN,生成可信IPv6地址;
地址转换与溯源模块,用于基于所述可信IPv6地址,对所述用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对所述数据包对应的用户身份进行溯源。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上第一方面所述的基于SDN的IPv6地址溯源方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机指令,所述计算机指令被计算机执行时,实现如上第一方面所述的基于SDN的IPv6地址溯源方法的步骤。
本发明实施例提供的基于SDN的IPv6地址溯源方法、装置与电子设备,通过利用软件定义网络SDN,将用户身份信息编码进用户数据包的IPv6地址中,使得能够通过获取用户数据包新的IPv6地址,有效溯源用户真实身份信息,从而有效提高溯源效率和准确性,并能更好的适应多种网络场景。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中SDN网络框架基础的结构示意图;
图2为本发明一实施例提供的基于SDN的IPv6地址溯源方法的流程示意图;
图3为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中可信IPv6地址的生成过程示意图;
图4为本发明另一实施例提供的基于SDN的IPv6地址溯源方法的流程示意图;
图5为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中根据流表规则转换出口流量数据包地址的流程示意图;
图6为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中根据流表规则转换入口流量数据包地址的流程示意图;
图7为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中追溯恶意用户的流程示意图;
图8为本发明实施例提供的基于SDN的IPv6地址溯源装置的结构示意图;
图9为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明实施例的一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
本发明实施例针对现有技术中溯源效率低、不准确且应用范围小的问题,通过利用软件定义网络SDN,将用户身份信息编码进用户数据包的IPv6地址中,能够通过获取用户数据包新的IPv6地址,有效溯源用户真实身份信息,从而有效提高溯源效率和准确性,并能更好的适应多种网络场景。以下将具体通过多个实施例对本发明实施例进行展开说明和介绍。
本发明实施例通过SDN网络将用户发送的数据包源IPv6地址转换成一个可信IPv6地址,网络管理者可以通过该可信IPv6地址进行溯源追责,本发明实施例可基于OpenFlow、P4等SDN技术来实现。图1为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中SDN网络框架基础的结构示意图,如图1所示,该框架基础主要由以下几个模块组成:
认证客户端:主要负责实现用户与SDN网络的交互,以对申请接入网络的用户的真实身份进行认证,通过认证客户端的交互,接收用户提供的认证凭证。认证协议可以采用802.1X、Web Portal或网络运营者自定义开发的协议等。该认证客户端可以是客户终端。
认证服务器:主要负责与认证客户端交互,从认证客户端那里获取认证凭证并对该认证凭证进行校验,只有通过认证的合法用户才被授权接入网络,访问相关资源。其中认证服务器可通过校验用户的数字签名、验证用户名密码是否匹配等方法验证用户的合法性。另外,认证服务器还负责根据访问控制策略和认证结果对用户接入授权或拒绝用户接入等。
地址配置服务器:负责为接入网络的用户终端配置初始IPv6地址或者IPv6地址前缀,并在配置初始IPv6地址时生成对应的IPv6地址配置报文。其中该地址配置服务器可以是DHCPv6或RADVD进程,也可以是路由器。此外,用户也可以手动为用户终端配置初始IPv6地址,而不需要地址配置服务器的相关信息。
数据包监听模块:SDN网络中的SDN交换机通过流表配置,监听IPv6地址配置报文,如DHCPv6、ICMPv6DAD报文等,并将这些报文上报给SDN网络中的SDN控制器作进一步处理。
可信地址生成模块:SDN控制器根据为用户终端配置的每个初始IPv6地址,生成一个可信IPv6地址,其中包含了用户的身份信息。具体的,根据SDN交换机发来的IPv6地址配置报文,向认证服务器请求用户的身份信息,并据此生成可信IPv6地址,同时生成相应的地址转换流表项,发送给SDN交换机。
地址转换模块:当利用SDN控制器生成可信IPv6地址后,SDN交换机会根据出口流量数据包(用户终端发送至SDN网络的数据包)和入口流量数据包(SDN网络下发给用户终端的数据包)两种情况,分别进行不同的处理。对于出口流量数据包,SDN交换机根据上述地址转换流表项,将用户数据包的源IPv6地址(也即配置给该用户的用户终端的初始IPv6地址)转换成可信IPv6地址。对于入口流量数据包,SDN交换机将发送给用户终端的数据包的目的IPv6地址(可信IPv6地址)转换为成用户终端配置的初始IPv6地址。
基于上述SDN网络框架的处理流程参考图2,为本发明一实施例提供的基于SDN的IPv6地址溯源方法的流程示意图,其中IPv6地址溯源是指,通过数据包的源IPv6地址识别出该数据包发送者的真实身份。如图2所示,该方法包括:
S201,若监听到对用户终端的IPv6地址配置报文,则基于IPv6地址配置报文,获取用户终端对应的用户身份信息。
具体而言,通常在用户持有的用户终端接入SDN网络时,SDN网络会为其配置一个初始IPv6地址,并会据此生成IPv6地址配置报文,该IPv6地址配置报文中可以承载为用户终端分配的初始IPv6地址,同时还可以据此得到该用户终端所对应用户的用户真实身份信息。
SDN网络持续监听网络中是否有IPv6地址配置报文生成,若监听到IPv6地址配置报文,则可以据此得到与之关联的用户终端,同时基于该IPv6地址配置报文,可获取该用户终端对应的用户身份信息。例如,可以根据IPv6地址配置报文,向认证服务器请求用户的用户身份信息。
S202,基于IPv6地址配置报文和用户身份信息,利用软件定义网络SDN,生成可信IPv6地址。
为了使网络管理者可以直接通过恶意数据包的IPv6地址就追溯到发送该数据包的用户真实身份,本发明实施例将用户的身份信息编码进IPv6地址中,以此将IPv6地址与用户真实身份进行绑定,从而生成可信IPv6地址。
具体而言,本发明实施例可以先根据IPv6地址配置报文得到为用户终端分配的初始IPv6地址,再利用软件定义网络SDN,基于用户终端对应的用户身份信息对该初始IPv6地址进行转换,转换后生成一个新的IPv6地址即作为可信IPv6地址,同时生成相应地址转换流表项发送给交换机。
S203,基于可信IPv6地址,对用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对数据包对应的用户身份进行溯源。
可以理解为,网络管理者通过解码数据包的可信IPv6地址,即可对恶意用户追溯识别。具体而言,对于用户终端发送给网络的用户数据包,在SDN网络中需要将其对应的地址转换为可信IPv6地址,以方便对发送数据包的用户的身份信息进行追溯。首先在获取用户数据包后,可以解析出该用户的用户终端对应的源IPv6地址,之后利用上述生成的可信IPv6地址,来替换该源IPv6地址,实现地址转换,得到的数据包即是转换地址后的数据包。最后在获取到用户的转换地址后的数据包时,即可通过解析出其中的可信IPv6地址,并从该可信IPv6地址解析用户身份信息的方式,来进一步溯源该数据包对应的用户的真实身份信息。
本发明实施例提供的基于SDN的IPv6地址溯源方法,通过利用软件定义网络SDN,将用户身份信息编码进用户数据包的IPv6地址中,使得能够通过获取用户数据包的IPv6地址,有效溯源用户真实身份信息,从而有效提高溯源效率和准确性。同时,通过采用地址转换的方式,能够屏蔽各种IPv6地址配置方式的差异,无需终端设备和网络的改造,可适用于多种地址分配网络场景。
在上述各实施例的基础上,考虑可以先进行初步筛选以提高效率,本发明实施例在若监听到对用户终端的IPv6地址配置报文的步骤之前,还可以包括:若检测到用户终端的接入请求,则对用户终端发送的认证凭证进行校验,并根据校验的结果和预设访问控制策略,确定是否授权用户终端接入网络,若是,则为用户终端配置初始IPv6地址,并生成IPv6地址配置报文。
可以理解为,对于用户而言,其需要利用持有的用户终端来接入网络以访问网络资源,本发明实施例的网络中通过设置身份认证机制,来对接入网络的所有用户进行初步筛选,只授权合法用户接入网络而拒绝非法用户。具体而言,用户终端在需要接入网络时,会向网络发出接入请求,若网络检测到用户终端的该接入请求,则获取用户通过用户终端提供的身份认证凭证,并对该认证凭证进行校验,得到校验的结果,如合法或非法。
之后,综合分析该验证的结果和预先设定的访问控制策略,来确定是否要授权该用户终端接入网络,也即上述SDN网络。如果确定授权该用户终端接入网络,则为该用户终端分配一个IPv6地址作为其初始IPv6地址,并据此生成相应的IPv6地址配置报文。此外,用户也可以根据一定规则,手动为用户终端配置初始IPv6地址。
另外,本发明实施例的认证方式也不限于上述处理流程,也可以先为用户终端配置初始IPv6地址,再对该用户终端的用户身份信息进行认证。
本发明实施例在地址转换之前,先对请求接入网络的所有用户进行身份认证和初始IPv6地址配置,一方面能够对接入网络的用户进行初步筛选获取用户真实身份信息,另一方面能够肃清非法用户,进一步保证网络完全并有效提高效率。
其中可选的,生成可信IPv6地址的步骤具体包括:基于IPv6地址配置报文,获取为用户终端配置的初始IPv6地址,初始IPv6地址包括IPv6地址后缀;利用软件定义网络SDN,对用户身份信息进行编码,获取溯源IPv6后缀;利用溯源IPv6后缀,替换初始IPv6地址中的IPv6地址后缀,生成可信IPv6地址。
可以理解,在利用软件定义网络SDN为用户终端分配的初始IPv6地址中,包括前缀部分和后缀部分,也即IPv6地址前缀和IPv6地址后缀。其中前缀部分指向网络,后缀部分指向设备。本发明实施例采用替换初始IPv6地址中地址后缀的方式,实现源IPv6地址的转换,生成可信IPv6地址。
具体而言,根据上述各实施例可知,在为用户终端配置初始IPv6地址时会生成相应的IPv6地址配置报文,则可以反过来根据IPv6地址配置报文得到为用户终端配置的初始IPv6地址。根据上述说明可知,对于每个用户终端而言,其均对应确定的用户,而该用户具有一个确定的用户身份信息。则,如图3所示,为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中可信IPv6地址的生成过程示意图,其中利用SDN来对用户的用户身份信息进行编码,并将该编码的结果作为新的IPv6后缀(图中的可信IPv6后缀,也即溯源IPv6后缀)来替换初始IPv6地址中的IPv6地址后缀,生成可信IPv6地址。
可以理解,由于该新的IPv6后缀直接指向用户的真实身份信息,对用户身份溯源具有直接影响,因此称该新的IPv6后缀为溯源IPv6后缀。
其中一个实施例中,在对用户身份信息进行编码的步骤之前,本发明实施例的基于SDN的IPv6地址溯源方法还可以还包括:利用软件定义网络SDN,采用对称加密算法或者非对称加密算法,对用户身份信息进行加密处理;相应的,对加密后的用户身份信息进行编码,获取溯源IPv6后缀。
可以理解为,考虑到对用户的隐私保护,在利用SDN对用户的用户身份信息进行编码前,SDN控制器会先对用户身份信息ID进行加密,得到加密后的用户身份信息,加密可采用DES、AES、IDEA等对称加密算法,也可采用RSA、ECC等非对称加密算法。相应的,在进行编码获取溯源IPv6后缀时,是对加密后的用户身份信息进行编码,而得到溯源IPv6后缀。
本发明实施例通过事先对用户的用户身份信息进行加密处理,能够更好的保证用户信息安全,更好的保护用户隐私。
其中可选的,初始IPv6地址中包括IPv6地址前缀,生成可信IPv6地址的步骤具体包括:从多个加密溯源IPv6后缀中随机选取一个加密溯源IPv6后缀,并利用软件定义网络SDN,将选取的加密溯源IPv6后缀与IPv6地址前缀进行拼接,生成可信IPv6地址。
其中,上述多个加密溯源IPv6后缀的获取过程为:对于被授权接入网络的每个用户终端,预先利用软件定义网络SDN,对该用户终端对应的用户身份信息进行加密并编码,生成多个加密的符号序列,作为多个加密溯源IPv6后缀。
可以理解为,为了降低系统计算开销并避免地址冲突,SDN控制器会提前为每个合法用户生成多个加密的地址后缀,即加密溯源IPv6后缀。在需要生成可信地址时,SDN控制器从这多个加密的地址后缀中随机选择一个,与IPv6地址前缀拼接成一个可信IPv6地址。
本发明实施例通过事先为每个合法用户生成多个备用加密地址后缀,在生成可信IPv6地址时只需从中选择一个使用即可,能够有效降低系统计算开销并避免地址冲突。
其中可选的,对用户终端的数据包的源IPv6地址进行转换的步骤具体包括:在用户终端接入软件定义网络SDN后的第一跳SDN交换机上,对用户终端的数据包的源IPv6地址进行转换,获取转换地址后的数据包;其中转换地址后的数据包对应的地址为可信IPv6地址。
具体而言,为了将数据包与发送者也即用户的真实身份信息进行关联,本发明实施例在用户接入网络的第一跳SDN交换机上,采用上述各实施例的处理方式将用户数据包的源IPv6地址修改为包含用户身份信息的可信IPv6地址。
本发明实施例在第一跳SDN交换机上对数据包的源IPv6地址进行转换操作,可以屏蔽不同IPv6地址配置方式的差异,以适应不同的网络场景。同时,这种设计对终端和网络透明,不需要终端设备与网络的修改与参与。
其中,若同时为同一个用户终端配置了多个初始IPv6地址,则生成可信IPv6地址的步骤具体包括:针对多个初始IPv6地址中的不同初始IPv6地址,分别利用软件定义网络SDN,对应生成不同的可信IPv6地址,并使各不同的可信IPv6地址指向同一用户身份信息。
可以理解为,在实际应用中,用户终端可以接入不同的网络,因此可能为其配置了多个不同的IPv6地址。当用户初始配置了多个IPv6地址时,SDN控制器为每个初始IPv6地址生成不同的可信地址,这些不同的可信地址通过后缀解密或解码指向的是同一个用户的身份,也即指向同一用户身份信息。
为进一步说明本发明实施例的技术方案,本发明实施例根据上述各实施例提供如下具体的处理流程,但不对本发明实施例的保护范围进行限制。
图4为本发明另一实施例提供的基于SDN的IPv6地址溯源方法的流程示意图,具体包括以下处理步骤:
首先,用户接入网络时首先经过身份认证再获得IPv6地址,或先获得IPv6地址再进行身份认证;
其次,SDN控制器为用户生成可信IPv6地址与相应的地址转换流表项并下发给SDN交换机;
最后,SDN交换机根据相应的流表项,匹配用户的数据包,即将其源IPv6地址修改成可信IPv6地址,而对入口流量数据包,将其目的IPv6地址作相反的转换。
其中,本发明实施例的地址转换过程可通过流表(OpenFlow)或者自定义数据包处理流程(P4)等方法来实现。以下主要以流表方式为例,说明对用户出口流量数据包和用户入口流量数据包的地址转换过程,但不对本发明的保护范围进行限制。
图5为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中根据流表规则转换出口流量数据包地址的流程示意图,其中包括:
首先,SDN交换机首先匹配数据包的入端口(即数据包进入SDN交换机的逻辑端口)、源MAC和源IPv6地址;
其次,根据流表规则,通过set field动作,将数据包的源IPv6地址修改为可信IPv6地址;
最后,将数据包转发到相应的出端口(即数据包被SDN交换机转发出去的逻辑端口)。
图6为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中根据流表规则转换入口流量数据包地址的流程示意图,其中包括:
首先,对于发给用户的入口数据流量,SDN交换机先匹配入端口与数据包的目的IPv6地址,该目的IPv6地址的形式为可信IPv6地址;
其次,将数据包的目的IPv6地址修改为用户初始配置的IPv6地址;
最后,将修改地址后的数据包按照上述初始配置的IPv6地址转发给用户。
此外,交换机也可自定义数据包处理流程,实现的功能与根据流表作地址转换类似。
其中,对于基于可信IPv6地址的溯源流程,当用户通过用户终端在网络中发送恶意报文时,网络管理者可直接根据该报文包含的可信IPv6地址对恶意用户身份进行有效追溯。具体如图7所示,为根据本发明实施例提供的基于SDN的IPv6地址溯源方法中追溯恶意用户的流程示意图,其中:
首先,网络2中的攻击检测服务器检测到恶意报文时,从中解析出报文的源IPv6地址。由于数据包在网络1中已被SDN交换机修改,因此恶意报文的源IPv6地址是一个可信地址,包含了用户身份信息。
其次,攻击检测服务器将该地址发送给部署在互联网上的追责服务器,该服务器维护了各个网络的前缀等信息,追责服务器根据地址前缀查找发送报文的源网络,根据查询结果将该地址转发给网络1。此外,网络1收到地址后,解密或解码出可信地址后缀中的用户身份信息,并将其发送给追责服务器,
最后,追责服务器将恶意数据包发送者的真实身份信息发送给网络2,网络2据此作进一步的处理与管控。
可以理解,实际处理中也可以由网络1直接将得到的用户身份信息转发到网络2,而无需由追责服务器进行中间转发,以缩短处理流程,提高效率。
在则在追溯过程中,网络无需查询大量的日志信息,只通过解密或解码即可获得用户身份,这大大减少了系统的开销。
另外,为了避免泄露用户的隐私,整个查询过程需要进行访问控制,只有授权的网络才被允许对用户身份进行查询追溯。
本发明实施例能够通过获取用户数据包的IPv6地址,有效溯源用户真实身份信息,从而有效提高溯源效率和准确性。同时,通过采用地址转换的方式,能够屏蔽各种IPv6地址配置方式的差异,无需终端设备和网络的改造,可适用于多种地址分配网络场景。
基于相同的构思,本发明实施例根据上述各实施例提供一种基于SDN的IPv6地址溯源装置,该装置用于在上述各实施例中实现基于SDN的IPv6地址溯源。因此,在上述各实施例的基于SDN的IPv6地址溯源方法中的描述和定义,可以用于本发明实施例中各个执行模块的理解,具体可参考上述实施例,此处不在赘述。
根据本发明实施例的一个实施例,基于SDN的IPv6地址溯源装置的结构如图8所示,为本发明实施例提供的基于SDN的IPv6地址溯源装置的结构示意图,该装置可以用于实现上述各方法实施例中基于SDN的IPv6地址溯源,该装置包括:信息获取模块801、地址生成模块802和地址转换与溯源模块803。其中:
信息获取模块801用于若监听到对用户终端的IPv6地址配置报文,则基于IPv6地址配置报文,获取用户终端对应的用户身份信息;地址生成模块802用于基于IPv6地址配置报文和用户身份信息,利用软件定义网络SDN,生成可信IPv6地址;地址转换与溯源模块803用于基于可信IPv6地址,对用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对数据包对应的用户身份进行溯源。
具体而言,信息获取模块801随时监听网络中是否有IPv6地址配置报文生成,若监听到IPv6地址配置报文,则可以据此得到与之关联的用户终端,同时基于该IPv6地址配置报文,可获取该用户终端对应的用户身份信息。例如,可以根据IPv6地址配置报文,向认证服务器请求用户的用户身份信息。
之后,地址生成模块802可以先根据IPv6地址配置报文得到为用户终端分配的初始IPv6地址,再利用软件定义网络SDN,基于用户终端对应的用户身份信息对该初始IPv6地址进行转换,转换后生成一个新的IPv6地址即作为可信IPv6地址,同时还可生成相应地址转换流表项发送给交换机。
最后,对于用户终端发送给网络的用户数据包或者网络需要发送给用户终端的数据包,在SDN网络中均需要将其对应的地址转换为可信IPv6地址,以方便对发送或者接收数据包的用户的身份信息进行追溯。地址转换与溯源模块803首先在获取用户数据包后,可以解析出该用户的用户终端对应的源IPv6地址,之后利用上述生成的可信IPv6地址,来替换该源IPv6地址,实现地址转换,得到的数据包即是转换地址后的数据包。最后在获取到用户的转换地址后的数据包时,地址转换与溯源模块803即可通过解析出其中的可信IPv6地址,并从该可信IPv6地址解析用户身份信息的方式,来进一步溯源该数据包对应的用户的真实身份信息。
本发明实施例提供的基于SDN的IPv6地址溯源装置,通过设置相应的执行模块,利用软件定义网络SDN,将用户身份信息编码进用户数据包的IPv6地址中,使得能够通过获取用户数据包新的IPv6地址,有效溯源用户真实身份信息,从而有效提高溯源效率和准确性,并能更好的适应多种网络场景。
可以理解的是,本发明实施例中可以通过硬件处理器(hardware processor)来实现上述各实施例的装置中的各相关程序模块。并且,本发明实施例的基于SDN的IPv6地址溯源装置利用上述各程序模块,能够实现上述各方法实施例的基于SDN的IPv6地址溯源流程,在用于实现上述各方法实施例中基于SDN的IPv6地址溯源时,本发明实施例的装置产生的有益效果与对应的上述各方法实施例相同,可以参考上述各方法实施例,此处不再赘述。
作为本发明实施例的又一个方面,本实施例根据上述各实施例提供一种电子设备,该电子设备包括存储器、处理器及存储在该存储器上并可在该处理器上运行的计算机程序,该处理器执行该计算机程序时,实现如上述各实施例所述的基于SDN的IPv6地址溯源方法的步骤。
进一步的,本发明实施例的电子设备还可以包括通信接口和总线。参考图9,为本发明实施例提供的电子设备的实体结构示意图,包括:至少一个存储器901、至少一个处理器902、通信接口903和总线904。
其中,存储器901、处理器902和通信接口903通过总线904完成相互间的通信,通信接口903用于该电子设备与SDN网络设备之间的信息传输;存储器901中存储有可在处理器902上运行的计算机程序,处理器902执行该计算机程序时,实现如上述各实施例所述的基于SDN的IPv6地址溯源方法的步骤。
可以理解为,该电子设备中至少包含存储器901、处理器902、通信接口903和总线904,且存储器901、处理器902和通信接口903通过总线904形成相互间的通信连接,并可完成相互间的通信,如处理器902从存储器901中读取基于SDN的IPv6地址溯源方法的程序指令等。另外,通信接口903还可以实现该电子设备与SDN网络设备之间的通信连接,并可完成相互间信息传输,如通过通信接口903实现基于SDN的IPv6地址溯源等。
电子设备运行时,处理器902调用存储器901中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:若监听到对用户终端的IPv6地址配置报文,则基于IPv6地址配置报文,获取用户终端对应的用户身份信息;基于IPv6地址配置报文和用户身份信息,利用软件定义网络SDN,生成可信IPv6地址;基于可信IPv6地址,对用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对数据包对应的用户身份进行溯源等。
上述的存储器901中的程序指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。或者,实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还根据上述各实施例提供一种非暂态计算机可读存储介质,其上存储有计算机指令,该计算机指令被计算机执行时,实现如上述各实施例所述的基于SDN的IPv6地址溯源方法的步骤,例如包括:若监听到对用户终端的IPv6地址配置报文,则基于IPv6地址配置报文,获取用户终端对应的用户身份信息;基于IPv6地址配置报文和用户身份信息,利用软件定义网络SDN,生成可信IPv6地址;基于可信IPv6地址,对用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对数据包对应的用户身份进行溯源等。
本发明实施例提供的电子设备和非暂态计算机可读存储介质,通过执行上述各实施例所述的基于SDN的IPv6地址溯源方法,利用软件定义网络SDN,将用户身份信息编码进用户数据包的IPv6地址中,使得能够通过获取用户数据包新的IPv6地址,有效溯源用户真实身份信息,从而有效提高溯源效率和准确性,并能更好的适应多种网络场景。
可以理解的是,以上所描述的装置、电子设备及存储介质的实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,既可以位于一个地方,或者也可以分布到不同网络单元上。可以根据实际需要选择其中的部分或全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上实施方式的描述,本领域的技术人员可以清楚地了解,各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令,用以使得一台计算机设备(如个人计算机,服务器,或者网络设备等)执行上述各方法实施例或者方法实施例的某些部分所述的方法。
另外,本领域内的技术人员应当理解的是,在本发明实施例的申请文件中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明实施例的说明书中,说明了大量具体细节。然而应当理解的是,本发明实施例的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明实施例公开并帮助理解各个发明方面中的一个或多个,在上面对本发明实施例的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。
然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明实施例要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明实施例的单独实施例。
最后应说明的是:以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述实施例对本发明实施例进行了详细的说明,本领域的技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。
Claims (10)
1.一种基于SDN的IPv6地址溯源方法,其特征在于,包括:
若监听到对用户终端的IPv6地址配置报文,则基于所述IPv6地址配置报文,获取所述用户终端对应的用户身份信息;
基于所述IPv6地址配置报文和所述用户身份信息,利用软件定义网络SDN,生成可信IPv6地址;
基于所述可信IPv6地址,对所述用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对所述数据包对应的用户身份进行溯源。
2.根据权利要求1所述的基于SDN的IPv6地址溯源方法,其特征在于,在所述若监听到对用户终端的IPv6地址配置报文的步骤之前,还包括:
若检测到所述用户终端的接入请求,则对所述用户终端发送的认证凭证进行校验,并根据校验的结果和预设访问控制策略,确定是否授权所述用户终端接入网络,若是,则为所述用户终端配置初始IPv6地址,并生成所述IPv6地址配置报文。
3.根据权利要求1或2所述的基于SDN的IPv6地址溯源方法,其特征在于,所述生成可信IPv6地址的步骤具体包括:
基于所述IPv6地址配置报文,获取为所述用户终端配置的初始IPv6地址,所述初始IPv6地址包括IPv6地址后缀;
利用所述软件定义网络SDN,对所述用户身份信息进行编码,获取溯源IPv6后缀;
利用所述溯源IPv6后缀,替换所述初始IPv6地址中的所述IPv6地址后缀,生成所述可信IPv6地址。
4.根据权利要求3所述的基于SDN的IPv6地址溯源方法,其特征在于,在所述对所述用户身份信息进行编码的步骤之前,还包括:
利用所述软件定义网络SDN,采用对称加密算法或者非对称加密算法,对所述用户身份信息进行加密处理;
相应的,对加密后的用户身份信息进行编码,获取所述溯源IPv6后缀。
5.根据权利要求2所述的基于SDN的IPv6地址溯源方法,其特征在于,所述初始IPv6地址中包括IPv6地址前缀,所述生成可信IPv6地址的步骤具体包括:
从多个加密溯源IPv6后缀中随机选取一个加密溯源IPv6后缀,并利用所述软件定义网络SDN,将选取的加密溯源IPv6后缀与所述IPv6地址前缀进行拼接,生成所述可信IPv6地址;
其中,所述多个加密溯源IPv6后缀的获取过程为:对于被授权接入网络的每个用户终端,预先利用所述软件定义网络SDN,对该用户终端对应的用户身份信息进行加密并编码,生成多个加密的符号序列,作为所述多个加密溯源IPv6后缀。
6.根据权利要求1所述的基于SDN的IPv6地址溯源方法,其特征在于,所述对所述用户终端的数据包的源IPv6地址进行转换的步骤具体包括:
在所述用户终端接入所述软件定义网络SDN后的第一跳SDN交换机上,对所述用户终端的数据包的源IPv6地址进行转换,获取所述转换地址后的数据包;
其中所述转换地址后的数据包对应的地址为所述可信IPv6地址。
7.根据权利要求2所述的基于SDN的IPv6地址溯源方法,其特征在于,若同时为同一个用户终端配置了多个初始IPv6地址,则所述生成可信IPv6地址的步骤具体包括:
针对所述多个初始IPv6地址中的不同初始IPv6地址,分别利用所述软件定义网络SDN,对应生成不同的可信IPv6地址,并使各所述不同的可信IPv6地址指向同一用户身份信息。
8.一种基于SDN的IPv6地址溯源装置,其特征在于,包括:
信息获取模块,用于若监听到对用户终端的IPv6地址配置报文,则基于所述IPv6地址配置报文,获取所述用户终端对应的用户身份信息;
地址生成模块,用于基于所述IPv6地址配置报文和所述用户身份信息,利用软件定义网络SDN,生成可信IPv6地址;
地址转换与溯源模块,用于基于所述可信IPv6地址,对所述用户终端的数据包的源IPv6地址进行转换,并基于转换地址后的数据包,对所述数据包对应的用户身份进行溯源。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现如权利要求1至7中任一项所述的基于SDN的IPv6地址溯源方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机指令,其特征在于,所述计算机指令被计算机执行时,实现如权利要求1至7中任一项所述的基于SDN的IPv6地址溯源方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910431290.8A CN110266518B (zh) | 2019-05-22 | 2019-05-22 | 基于SDN的IPv6地址溯源方法、装置与电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910431290.8A CN110266518B (zh) | 2019-05-22 | 2019-05-22 | 基于SDN的IPv6地址溯源方法、装置与电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110266518A true CN110266518A (zh) | 2019-09-20 |
| CN110266518B CN110266518B (zh) | 2020-05-15 |
Family
ID=67915219
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910431290.8A Active CN110266518B (zh) | 2019-05-22 | 2019-05-22 | 基于SDN的IPv6地址溯源方法、装置与电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266518B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277506A (zh) * | 2020-01-20 | 2020-06-12 | 山东汇贸电子口岸有限公司 | 一种提高SLAAC分配IPv6地址可靠性的方法 |
| CN113518032A (zh) * | 2020-04-10 | 2021-10-19 | 清华大学 | 基于SRv6的用户可信标识携带方法及系统 |
| WO2022056661A1 (zh) * | 2020-09-15 | 2022-03-24 | 中车株洲电力机车研究所有限公司 | 以太网列车网络控制系统及其自动配置方法、轨道车辆 |
| CN114301670A (zh) * | 2021-12-28 | 2022-04-08 | 天翼物联科技有限公司 | 基于ipv6地址的终端认证方法、装置、设备及介质 |
| CN114448936A (zh) * | 2022-01-28 | 2022-05-06 | 广州根链国际网络研究院有限公司 | 一种基于IPv6可编码可溯源的网络传输规则验证方法 |
| CN116668408A (zh) * | 2023-08-01 | 2023-08-29 | 华中科技大学 | 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710906A (zh) * | 2009-12-18 | 2010-05-19 | 工业和信息化部电信传输研究所 | IPv6地址的结构、分配及溯源的方法和装置 |
| CN104506511A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络动态目标防御系统及方法 |
| CN105207778A (zh) * | 2014-07-03 | 2015-12-30 | 清华大学深圳研究生院 | 一种在接入网关设备上实现包身份标识及数字签名的方法 |
| WO2017039971A1 (en) * | 2015-08-28 | 2017-03-09 | Microsoft Technology Licensing, Llc | User-aware datacenter security policies |
| WO2018109550A1 (en) * | 2016-12-16 | 2018-06-21 | Alcatel Lucent | Address configuration method and apparatus in software-defined networking system |
| CN108540586A (zh) * | 2018-03-06 | 2018-09-14 | 南京邮电大学 | 一种基于Merkle树的校园网IPv6地址划分方法 |
| CN108600207A (zh) * | 2018-04-12 | 2018-09-28 | 清华大学 | 基于802.1x与savi的网络认证与访问方法 |
-
2019
- 2019-05-22 CN CN201910431290.8A patent/CN110266518B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710906A (zh) * | 2009-12-18 | 2010-05-19 | 工业和信息化部电信传输研究所 | IPv6地址的结构、分配及溯源的方法和装置 |
| CN105207778A (zh) * | 2014-07-03 | 2015-12-30 | 清华大学深圳研究生院 | 一种在接入网关设备上实现包身份标识及数字签名的方法 |
| CN104506511A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络动态目标防御系统及方法 |
| WO2017039971A1 (en) * | 2015-08-28 | 2017-03-09 | Microsoft Technology Licensing, Llc | User-aware datacenter security policies |
| WO2018109550A1 (en) * | 2016-12-16 | 2018-06-21 | Alcatel Lucent | Address configuration method and apparatus in software-defined networking system |
| CN108540586A (zh) * | 2018-03-06 | 2018-09-14 | 南京邮电大学 | 一种基于Merkle树的校园网IPv6地址划分方法 |
| CN108600207A (zh) * | 2018-04-12 | 2018-09-28 | 清华大学 | 基于802.1x与savi的网络认证与访问方法 |
Non-Patent Citations (1)
| Title |
|---|
| CHAOQIN ZHANG: "Towards a SDN-Based Integrated Architecture for Mitigating IP Spoofing Attack", 《IEEE ACCESS》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277506A (zh) * | 2020-01-20 | 2020-06-12 | 山东汇贸电子口岸有限公司 | 一种提高SLAAC分配IPv6地址可靠性的方法 |
| CN113518032A (zh) * | 2020-04-10 | 2021-10-19 | 清华大学 | 基于SRv6的用户可信标识携带方法及系统 |
| CN113518032B (zh) * | 2020-04-10 | 2022-11-01 | 清华大学 | 基于SRv6的用户可信标识携带方法及系统 |
| WO2022056661A1 (zh) * | 2020-09-15 | 2022-03-24 | 中车株洲电力机车研究所有限公司 | 以太网列车网络控制系统及其自动配置方法、轨道车辆 |
| CN114301670A (zh) * | 2021-12-28 | 2022-04-08 | 天翼物联科技有限公司 | 基于ipv6地址的终端认证方法、装置、设备及介质 |
| CN114301670B (zh) * | 2021-12-28 | 2023-12-05 | 天翼物联科技有限公司 | 基于ipv6地址的终端认证方法、装置、设备及介质 |
| CN114448936A (zh) * | 2022-01-28 | 2022-05-06 | 广州根链国际网络研究院有限公司 | 一种基于IPv6可编码可溯源的网络传输规则验证方法 |
| CN114448936B (zh) * | 2022-01-28 | 2023-10-20 | 广州根链国际网络研究院有限公司 | 一种基于IPv6可编码可溯源的网络传输规则验证方法 |
| CN116668408A (zh) * | 2023-08-01 | 2023-08-29 | 华中科技大学 | 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 |
| CN116668408B (zh) * | 2023-08-01 | 2023-10-13 | 华中科技大学 | 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110266518B (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266518A (zh) | 基于SDN的IPv6地址溯源方法、装置与电子设备 | |
| US20200186573A1 (en) | Distributed cloud-based security systems and methods | |
| US9860057B2 (en) | Diffie-Hellman key agreement using an M-of-N threshold scheme | |
| AU2016218981B2 (en) | Confidential communication management | |
| DK2608486T3 (en) | Computer-implemented system and method for providing users with secure access to application servers | |
| CN105207774B (zh) | 验证信息的密钥协商方法及装置 | |
| US10560476B2 (en) | Secure data storage system | |
| US8661252B2 (en) | Secure network address provisioning | |
| WO2014158736A1 (en) | Provisioning sensitive data into third party network-enabled devices | |
| US20080072280A1 (en) | Method and system to control access to a secure asset via an electronic communications network | |
| CN109981665B (zh) | 资源提供方法及装置、资源访问方法及装置和系统 | |
| CN108989325A (zh) | 加密通信方法、装置及系统 | |
| CN107918731A (zh) | 用于控制对开放接口进行访问的权限的方法和装置 | |
| CN111615105A (zh) | 信息提供、获取方法、装置及终端 | |
| US9003186B2 (en) | HTTP authentication and authorization management | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN1838141A (zh) | 利用移动电话增强访问计算机应用系统的安全性的技术 | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| EP2311218B1 (en) | Http authentication and authorization management | |
| US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
| CN111917536A (zh) | 身份认证密钥的生成方法、身份认证的方法、装置及系统 | |
| US8656462B2 (en) | HTTP authentication and authorization management | |
| CN107689867B (zh) | 一种在开放环境下的密钥保护方法和系统 | |
| CN113422758B (zh) | 数据加密方法、装置、物联网系统、电子设备及存储介质 | |
| Stajano et al. | Pico without public keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |