CN110392128A - 提供准无地址IPv6公开万维网服务的方法及系统 - Google Patents
提供准无地址IPv6公开万维网服务的方法及系统 Download PDFInfo
- Publication number
- CN110392128A CN110392128A CN201910768257.4A CN201910768257A CN110392128A CN 110392128 A CN110392128 A CN 110392128A CN 201910768257 A CN201910768257 A CN 201910768257A CN 110392128 A CN110392128 A CN 110392128A
- Authority
- CN
- China
- Prior art keywords
- address
- ipv6
- access request
- request message
- quasi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种提供准无地址IPv6公开万维网服务的方法及系统,所述方法包括:根据IPv6前缀地址对用户终端的访问请求进行监听,若获知用户终端发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为重定向IPv6地址;若接收到第一访问请求报文,对源IPv6地址进行加密,生成一段IPv6后缀地址,并根据IPv6后缀地址与IPv6前缀地址获得一个特定IPv6地址,将用户终端发起的访问请求重定向至特定IPv6地址;若接收第二访问请求报文,对第二访问请求报文的目的IPv6地址进行验证,若验证通过,对第二访问请求报文进行响应。本发明可增强IPv6公开万维网服务器的安全性。
Description
技术领域
本发明涉及计算机网络通信技术领域,更具体地,涉及一种提供准无地址IPv6公开万维网服务的方法及系统。
背景技术
IPv6协议作为下一代互联网协议,由于采用了128比特二进制数字的地址代替了IPv4的32比特,因此,地址空间增大了2^96倍,在缓解了IPv4地址短缺问题的同时,也为未来互联网的发展提供了更多的可能性。目前,IPv6协议在全球的大规模部署正在全面展开。然而,作为一种新兴的协议,IPv6协议在安全方面尚未成熟,其新的机制为网络安全带来了更多的挑战,也带来了更大的机遇。
网络服务器作为网络中重要的组成部分,由于其往往需要提供安全、不间断、有保证的互联网服务,往往对网络安全提出更为重要、迫切的需求。互联网上始终存在黑客、恶意中间人等攻击者,伺机对防备不完善的服务器展开攻击,从而窃取信息或获得利益,而IP地址作为用户寻址和身份标识符,往往是网络攻击所关注的重点。通过IPv6协议的地址冗余性,我们可以为单一用户、设备或服务提供方提供更多的地址,通过这些地址来使得真实对外界互联网用户提供服务的地址隐藏,从而保障IPv6公开服务器的隐私与安全。
有鉴于此,如何利用上述机制,令IPv6公开万维网服务器在保证正常通信的同时,使得外部无法感知其用于提供IPv6万维网服务的地址,进而无法通过网络地址展开攻击,成为本专利所要解决的技术问题。
发明内容
本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的提供准无地址IPv6公开万维网服务的方法及系统。
第一方面,本发明实施例提供一种提供准无地址IPv6公开万维网服务的方法,应用于准无地址IPv6公开万维网服务器,所述准无地址IPv6公开万维网服务器配置有一段IPv6前缀地址和一个重定向IPv6地址,所述IPv6前缀地址用于提供IPv6万维网服务,所述重定向IPv6地址用于提供重定向服务,所述方法包括:
根据所述IPv6前缀地址对用户终端的访问请求进行监听,若获知用户终端向所述准无地址IPv6公开万维网服务器发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为所述重定向IPv6地址,以供所述用户终端向所述重定向IPv6地址发送第一访问请求报文;
若接收到用户终端发送的第一访问请求报文,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文;
若接收到所述用户终端发送的第二访问请求报文,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证,若验证通过,则将所述第二访问请求报文提交给所述准无地址IPv6公开万维网服务器的操作系统、协议栈或应用程序进行响应,否则,丢弃所述第二访问请求报文。
第二方面,本发明实施例提供一种准无地址IPv6公开万维网服务器,包括配置有一段IPv6前缀地址的万维网服务模块和配置有一个重定向IPv6地址的重定向服务模块,其中,
所述万维网服务模块,用于根据所述IPv6前缀地址对用户终端的访问请求进行监听,若获知用户终端向所述准无地址IPv6公开万维网服务器发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为所述重定向IPv6地址,以供所述用户终端向所述重定向IPv6地址发送第一访问请求报文;以及,
用于若接收到所述用户终端发送的第二访问请求报文,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证,若验证通过,则将所述第二访问请求报文提交给所述准无地址IPv6公开万维网服务器的操作系统、协议栈或应用程序进行响应,否则,丢弃所述第二访问请求报文;
所述重定向服务模块用于若接收到用户终端发送的第一访问请求报文,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文。
第三方面,本发明实施例提供一种提供准无地址IPv6公开万维网服务的系统,包括:如第二方面所述的准无地址IPv6公开万维网服务器和用户终端。
本发明实施例提供的一种提供准无地址IPv6公开万维网服务的方法及系统,能够响应IPv6互联网上任意地点用户的请求并与其通信,避免黑客扫描、渗透和攻击,极大地增强了IPv6公开万维网服务器的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种提供准无地址IPv6公开万维网服务的方法的流程示意图;
图2为本发明实施例提供的一种准无地址IPv6公开万维网服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中,IPv6公开万维网服务器不使用固定IPv6地址提供万维网访问服务,而是在其工作过程中,向外公开一段IPv6前缀地址和一个重定向IPv6地址,其中,所述IPv6前缀地址用于提供IPv6万维网服务,所述重定向IPv6地址用于提供重定向服务,所述IPv6公开万维网服务器的地址是可变的,外部无法完全感知其设备地址,因此,在本发明实施例中,将所述IPv6公开万维网服务器称为准无地址IPv6公开万维网服务器。
如图1所示,为本发明实施例提供的一种提供准无地址IPv6公开万维网服务的方法的流程示意图,该方法应用于准无地址IPv6公开万维网服务器,所述方法包括:
步骤100、根据所述IPv6前缀地址对用户终端的访问请求进行监听,若获知用户终端向所述准无地址IPv6公开万维网服务器发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为所述重定向IPv6地址,以供所述用户终端向所述重定向IPv6地址发送第一访问请求报文;
具体地,互联网中的用户终端通过互联网向所述准无地址IPv6公开万维网服务器发起访问请求,所述准无地址IPv6公开万维网服务器监听所述IPv6前缀地址下的全部地址,如果监听到用户终端发起了访问请求,则域名服务器会收到一个域名解析请求,域名服务器接收到所述域名解析请求后,通过互联网向所述用户终端返回域名解析结果,其中,所述域名解析结果具体为所述重定向IPv6地址。
所述用户终端向所述重定向IPv6地址发送第一访问请求报文。
步骤101、若接收到用户终端发送的第一访问请求报文,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文;
具体地,若准无地址IPv6公开万维网服务器接收到用户终端发送的第一访问请求报文,则利用非对称加密算法或对称加密算法,根据第一密钥,对所接收到的第一访问请求报文进行加密处理,获得一段IPv6后缀地址,将所述IPv6后缀地址与所述IPv6前缀地址进行合并,获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,此时,所述用户终端通过互联网接收到一个重定向报文,所述重定向报文中携带有所述特定IPv6地址,然后,用户终端向所述特定IPv6地址重新发送一个http请求报文,即发送第二访问请求,所述第二访问请求经过互联网及相关路由设备转发后,由所述准无地址IPv6公开万维网服务器接收。
步骤102、若接收到所述用户终端发送的第二访问请求报文,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证,若验证通过,则将所述第二访问请求报文提交给所述准无地址IPv6公开万维网服务器的操作系统、协议栈或应用程序进行响应,否则,丢弃所述第二访问请求报文。
具体地,所述准无地址IPv6公开万维网服务器接收到所述用户终端发送的第二访问请求报文后,取出该报文的源IPv6地址和目的IPv6地址,并基于与所述步骤101中相同的非对称加密算法或对称加密算法,利用第二密钥和源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行验证,具体地,对所述目的IPv6地址进行解密,将解密结果与所述第二访问请求报文的源IPv6地址进行比较,获得合法性和安全性验证结果。
若所述第二访问请求报文通过验证,则所述准无地址IPv6公开万维网服务器认为当前访问合法、安全、可信。若没有通过验证,则所述准无地址IPv6公开万维网服务器认为当前访问不合法,丢弃该第二访问请求报文。
验证成功后,所述准无地址IPv6公开万维网服务器将所述第二访问请求报文交由操作系统、协议栈或应用程序进行处理,由相关计算机程序判断是否需要发送回复报文。
如果需要发送回复报文,则所述准无地址IPv6公开万维网服务器以所述第二访问请求报文的目的IPv6地址作为源地址,以所述第二访问请求报文的源IPv6地址作为目标地址,形成返回数据报文,由所述准无地址IPv6公开万维网服务器发送至公开互联网中,经路由转发至所述用户终端。
完成上述操作后,所述准无地址IPv6公开万维网服务器判断本次通信是否结束,若获知本次通信结束,则判断是否结束监听用户终端发起的访问请求;或者,若获知本次通信未结束,则继续监听本次通信的后续报文,重复上述监听、发送、接收、验证、回复的过程,需要注意的是,用户终端此时无需再向所述准无地址IPv6公开万维网服务器的重定向IPv6地址发起请求,而是可以直接与所述重定向后的特定IPv6地址进行连接。
本次通信结束后,所述准无地址IPv6公开万维网服务器重新开始监听通信,若同一用户终端再次发起通信访问所述公开万维网服务器,此时,用户终端需要重新向所述准无地址IPv6公开万维网服务器的重定向IPv6地址发起连接请求。
本发明实施例所述的一种提供准无地址IPv6公开万维网服务的方法,能够响应IPv6互联网上任意地点用户的请求并与其通信,避免黑客扫描、渗透和攻击,极大地增强了IPv6公开万维网服务器的安全性。
本发明另一实施例,在上述实施例的基础上,所述根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文的步骤,具体为:
通过非对称加密或对称加密算法,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址和一个可用传输层端口,并根据所述IPv6后缀地址、可用传输层端口和所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址和所述可用传输层端口,以供所述用户终端根据所述特定IPv6地址和所述可用传输层端口发送第二访问请求报文;
相应地,所述利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证的步骤,具体为:
通过所述非对称加密或对称加密算法,利用第二密钥,根据所述第二访问请求报文的目的IPv6地址和目的端口以及所述第二访问请求报文的源IPv6地址进行合法性和安全性验证。
具体地,若互联网服务器可使用多个传输层端口进行互联网服务通信,那么,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密的过程,也可以为:根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址和一个可用传输层端口,与所述Pv6前缀地址共同构成一个重定向后的特定IPv6地址,并将所述用户终端发起的访问请求重定向至所生成的特定IPv6地址,用户终端接收到重定向报文时,根据所述特定IPv6地址和所述可用传输层端口发送第二访问请求报文。
相应地,通过所述非对称加密或对称加密算法,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址和目的端口进行合法性和安全性验证。
本发明另一实施例,在上述各实施例的基础上,所述根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密的步骤,具体为:
根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密的同时还进行加盐处理;
具体地,在密码学中,通过对密码进行特定的运算操作,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”加盐可以增加攻击者的攻击成本。
本发明实施例中进行加盐处理是指通过在不同的通信中使用不同加盐参数的方式,保证在不同的通信中生成的第二访问请求报文的目的地址不同,以达到防止“重放攻击”、增大安全性的目的。
所述准无地址IPv6公开万维网服务器接收到用户终端发送的第一访问请求报文后,根据事先规定的加密算法,利用第一密钥,经过“加盐”处理,对该数据报文的IPv6源地址进行加密,生成一个在所述IPv6前缀下的一个IPv6地址,作为生成地址。需要注意的是,这里因为经过了“加盐”处理,所生成的IPv6地址与之前仅加密的是不同的。
相应地,所述利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证的步骤,具体为:
利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证的同时考虑加盐处理。
通过加盐处理,可以有效地防止黑客或互联网的恶意中间人进行“重放攻击”。
进一步地,所述“加盐”处理,应使得同一个用户在一次完整的通信中所发送的不同数据报文的IPv6目标地址应当一致;同时,同一个合法用户终端重新发起通信时,重定向返回的IPv6目标地址应当不一致;若通信结束后,接收到相同目标地址的报文,公开万维网服务器应丢弃该报文;以防止攻击者或恶意中间人发起“重放攻击”。
在上述实施实施例的基础上,所述根据所述IPv6前缀地址对用户终端的访问请求进行监听的步骤之前,还包括:
为所述准无地址IPv6公开万维网服务器以及与所述准无地址IPv6公开万维网服务器相连的接入设备配置非全球单播IPv6地址;
为所述准无地址IPv6公开万维网服务器配置一段IPv6前缀地址和一个重定向IPv6地址,其中,所述重定向IPv6地址配置在所述准无地址IPv6公开万维网服务器的域名下;
对所述准无地址IPv6公开万维网服务器的相关路由进行配置。
具体地,首先,为所述准无地址IPv6公开万维网服务器配置非全球单播IPv6地址,并为与所述准无地址IPv6公开万维网服务器相连的接入设备配置非全球单播IPv6地址,所述准无地址IPv6公开万维网服务器需要与接入服务器或其他接入设备进行通信时,使用非全球单播IPv6地址进行通信。考虑到非全球单播IPv6地址的对外不可寻址性,外界无法通过此地址与所述公开IPv6服务器进行通信。
然后,为所述准无地址IPv6公开万维网服务器配置一段IPv6前缀地址和一个重定向IPv6地址,其中,所述重定向IPv6地址需要配置在所述准无地址IPv6公开万维网服务器的域名下,并对所述准无地址IPv6公开万维网服务器的相关路由进行配置。
目标地址包含所述IPv6前缀地址的报文可被送到至所述准无地址IPv6公开万维网服务器,所述准无地址IPv6公开万维网服务器发送的数据报文也可被送达至外界网络。
值得说明的是,所述IPv6前缀地址和所述重定向IPv6地址可以为包含或不包含的关系。
在上述实施例的基础上,所述根据所述IPv6前缀地址对用户终端的访问请求进行监听的步骤之前,还包括:
利用对称加密算法或非对称加密算法产生一对密钥,记为所述第一密钥和第二密钥。
具体地,所述根据所述IPv6前缀地址对用户终端的访问请求进行监听的步骤之前还包括密钥同步过程,即产生一对由对称加密算法或非对称加密算法所产生的密钥,并存储在所述准无地址IPv6公开万维网服务器中,以进行相应的加密和验证过程。加密和验证过程中所采用的算法是一致的,从而保证验证过程的有效性。
如图2所示,为本发明实施例提供的一种准无地址IPv6公开万维网服务器的结构示意图,包括配置有一段IPv6前缀地址的万维网服务模块201和配置有一个重定向IPv6地址的重定向服务模块202,其中,
所述万维网服务模块201,用于根据所述IPv6前缀地址对用户终端的访问请求进行监听,若获知用户终端向所述准无地址IPv6公开万维网服务器发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为所述重定向IPv6地址,以供所述用户终端向所述重定向IPv6地址发送第一访问请求报文;以及,
用于若接收到所述用户终端发送的第二访问请求报文,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证,若验证通过,则将所述第二访问请求报文提交给所述准无地址IPv6公开万维网服务器的操作系统、协议栈或应用程序进行响应,否则,丢弃所述第二访问请求报文;
所述重定向服务模块202用于若接收到用户终端发送的第一访问请求报文,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文。
具体地,所述准无地址IPv6公开万维网服务器包括万维网服务模块和重定向服务模块,所述万维网服务模块配置有一段IPv6前缀地址,所述重定向服务模块配置有一个重定向IPv6地址,所述准无地址IPv6公开万维网服务器所执行的一种提供准无地址IPv6公开万维网服务的方法,具体包括以下步骤:
万维网服务模块201根据所述IPv6前缀地址对用户终端的访问请求进行监听,若万维网服务模块获知用户终端向所述准无地址IPv6公开万维网服务器发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为所述重定向IPv6地址,以供所述用户终端向所述重定向IPv6地址发送第一访问请求报文;
若所述重定向服务模块202接收到用户终端发送的第一访问请求报文,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文;
若所述万维网服务模块201接收到所述用户终端发送的第二访问请求报文,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证,若验证通过,则将所述第二访问请求报文提交给所述准无地址IPv6公开万维网服务器的操作系统、协议栈或应用程序进行响应,否则,丢弃所述第二访问请求报文。
其中,在一个实施例中,所述重定向服务模块202根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密的同时还进行加盐处理;所述万维网服务模块201利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证的同时考虑加盐处理。
在一个实施例中,所述重定向服务模块202通过非对称加密或对称加密算法,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址和一个可用传输层端口,并根据所述IPv6后缀地址、可用传输层端口和所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址和所述可用传输层端口,以供所述用户终端根据所述特定IPv6地址和所述可用传输层端口发送第二访问请求报文。相应地,所述万维网服务模块201通过所述非对称加密或对称加密算法,利用第二密钥,根据所述第二访问请求报文的目的IPv6地址和目的端口以及所述第二访问请求报文的源IPv6地址进行合法性和安全性验证。
值得说明的是,所述万维网服务模块201和重定向服务模块202可以为相同或不同的物理设备或逻辑设备,可以使用相同或不同的硬件设备,也可以使用相同或不同的软件设备或计算机程序。
本发明实施例提供的一种准无地址IPv6公开万维网服务器,能够响应IPv6互联网上任意地点用户的请求并与其通信,避免黑客扫描、渗透和攻击,极大地增强了IPv6公开万维网服务器安全性。
最后,本发明实施例还提供一种提供准无地址IPv6公开万维网服务的系统,包括:如上述各实施例所述的准无地址IPv6公开万维网服务器和用户终端。
值得说明的是,本发明实施例中用户终端执行以下步骤:
用户终端通过互联网向准无地址IPv6公开万维网服务器发起访问请求,所述准无地址IPv6公开万维网服务器监听所述IPv6前缀地址下的全部地址,如果监听到用户终端发起了访问请求,则域名服务器会收到一个域名解析请求,域名服务器接收到所述域名解析请求后,通过互联网向所述用户终端返回域名解析结果,其中,所述域名解析结果具体为所述重定向IPv6地址;
若用户终端接收到域名服务器返回的包含所述重定向IPv6地址的域名解析结果,则向所述重定向IPv6地址发送第一访问请求报文;
用户终端通过互联网接收到一个重定向报文,所述重定向报文中携带有所述特定IPv6地址,然后,用户终端向所述特定IPv6地址重新发送一个http请求报文,即发送第二访问请求,所述第二访问请求经过互联网及相关路由设备转发后,由所述准无地址IPv6公开万维网服务器接收。
本发明实施例提供的一种提供准无地址IPv6公开万维网服务的系统可有效提升IPv6万维网服务器的安全性。
下面以一个具体例子对上述提供准无地址IPv6公开万维网服务的方法进行进一步说明。
当准无地址IPv6公开万维网服务器接入网络时,为其首先配置非全球单播IPv6地址,用于其上联接入路由器和子网内其他管理设备之间的通信。
例如,为其分配非全球单播IPv6地址为:
fe80:200a:a3b3:2338::3301
同时,为其上联接入路由器配置相应非全球单播IPv6地址。比如,fe80:200a:a3b3:2338::3300。
当接入服务器与所述准无地址IPv6公开万维网服务器可以通信后,进行如下配置:
为所述准无地址IPv6公开万维网服务器的万维网服务模块配置一段IPv6前缀地址,例如:2001:da8:3000:2112::/64;
为所述准无地址IPv6公开万维网服务器的重定向模块配置一个重定向IPv6地址,例如,2001:da8:3000:2111::ee80,并所述重定向IPv6地址配置在域名http://www.xxx.com下;
随后,对所述准无地址IPv6公开万维网服务器的相关路由进行配置,令其指向对应的部分,也即将指向该前缀的路径配置到网络内对应的网络设备中,该配置可以是自动配置,也可以是手工配置。
随后,在所述重定向服务模块和万维网服务模块中同步与加密过程相关的信息,并进行相应密钥的配置,保证加密过程的正常进行。
在所述准无地址IPv6公开万维网服务器接入网络并完成相关配置后,开始对所述地址进行监听。
其中,重定向服务模块监听单一IPv6地址2001:da8:3000:2111::ee80。
万维网服务模块监听前缀2001:da8:3000:2112::/64下的所有地址。
当一个IP地址为2001:da8:2520:0033::51的用户准备向所述准无地址IPv6公开万维网服务器发起通信时,首先将访问该服务的域名,http://www.xxx.com。相应DNS服务器对该域名进行解析,并根据所述配置,返回解析结果为2001:da8:3000:2111::ee80的IPv6地址。
随后,用户终端将对该地址发起http访问请求。数据报文通过互联网送达至重定向服务模块,并由重定向服务模块所接收。数据报文的包头包括:
源地址:2001:da8:2520:0033::51
目的地址:2001:da8:3000:2111::ee80
重定向服务模块接收报文后,根据事先规定的加密算法,利用重定向服务模块中所保存的密钥,经过“加盐”处理,对该数据报文的IPv6源地址进行加密,生成一个在所述公开万维网服务IPv6前缀下的一个IPv6地址,作为重定向后的特定IPv6地址。
加密并“加盐”后,形成特定IPv6地址为:
2001:da8:3000:2112:6c33:e0a7:8619:b33c
随后,重定向服务模块将本次http访问重定向至上述特定IPv6地址。
用户终端接收到重定向报文时,对该特定IPv6地址重新发送http访问请求。其数据报文的包头包括:
源地址:2001:da8:2520:0033::51
目的地址:2001:da8:3000:2112:6c33:e0a7:8619:b33c
数据报文经互联网及相关路由设备被送至所述万维网服务模块,并被万维网服务模块接收。
所述万维网服务模块取出该数据报文的源地址及目标地址,并根据加密算法,通过万维网服务模块中保存的密钥及该数据报文的源地址,对该数据报文的目的地址进行验证。
该数据报文通过验证,所述万维网服务模块认为该访问合法、安全、可信。验证成功后,所述万维网服务模块将所述数据报文交由操作系统、协议栈或应用程序进行处理,由相关计算机程序进行判断是否需要发送回复报文。
需要向用户终端发送回复报文,则所述万维网服务模块使用2001:da8:3000:2112:6c33:e0a7:8619:b33c地址作为源地址,2001:da8:2520:0033::51作为目标地址,形成返回数据报文,由所述万维网服务模块发送至公开互联网中,经路由转发至所述用户终端。
万维网服务模块判断本次通信是否结束,若未结束,重复上述监听、发送、接收、验证、回复的过程。需要注意的是,用户终端此时无需向重定向服务器再次发起请求,可以直接与地址2001:da8:3000:2112:6c33:e0a7:8619:b33c进行连接。
本次通信结束后,所述准无地址IPv6公开万维网服务器重新开始监听通信,若同一用户终端再次发起通信访问所述准无地址IPv6,此时,用户终端需要重新向所述准无地址IPv6公开万维网服务器的重定向IPv6地址发起连接请求。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种提供准无地址IPv6公开万维网服务的方法,应用于准无地址IPv6公开万维网服务器,其特征在于,所述准无地址IPv6公开万维网服务器配置有一段IPv6前缀地址和一个重定向IPv6地址,所述IPv6前缀地址用于提供IPv6万维网服务,所述重定向IPv6地址用于提供重定向服务,所述方法包括:
根据所述IPv6前缀地址对用户终端的访问请求进行监听,若获知用户终端向所述准无地址IPv6公开万维网服务器发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为所述重定向IPv6地址,以供所述用户终端向所述重定向IPv6地址发送第一访问请求报文;
若接收到用户终端发送的第一访问请求报文,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文;
若接收到所述用户终端发送的第二访问请求报文,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证,若验证通过,则将所述第二访问请求报文提交给所述准无地址IPv6公开万维网服务器的操作系统、协议栈或应用程序进行响应,否则,丢弃所述第二访问请求报文。
2.根据权利要求1所述的提供准无地址IPv6公开万维网服务的方法,其特征在于,所述根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文的步骤,具体为:
通过非对称加密或对称加密算法,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址和一个可用传输层端口,并根据所述IPv6后缀地址、可用传输层端口和所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址和所述可用传输层端口,以供所述用户终端根据所述特定IPv6地址和所述可用传输层端口发送第二访问请求报文;
相应地,所述利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证的步骤,具体为:
通过所述非对称加密或对称加密算法,利用第二密钥,根据所述第二访问请求报文的目的IPv6地址和目的端口以及所述第二访问请求报文的源IPv6地址进行合法性和安全性验证。
3.根据权利要求1或2所述的提供准无地址IPv6公开万维网服务的方法,其特征在于,所述根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密的步骤,具体为:
根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密的同时还进行加盐处理;
相应地,所述利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证的步骤,具体为:
利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证的同时考虑加盐处理。
4.根据权利要求1所述的提供准无地址IPv6公开万维网服务的方法,其特征在于,所述根据所述IPv6前缀地址对用户终端的访问请求进行监听的步骤之前,还包括:
为所述准无地址IPv6公开万维网服务器以及与所述准无地址IPv6公开万维网服务器相连的接入设备配置非全球单播IPv6地址;
为所述准无地址IPv6公开万维网服务器配置一段IPv6前缀地址和一个重定向IPv6地址,其中,所述重定向IPv6地址配置在所述准无地址IPv6公开万维网服务器的域名下;
对所述准无地址IPv6公开万维网服务器的相关路由进行配置。
5.根据权利要求1所述的提供准无地址IPv6公开万维网服务的方法,其特征在于,所述根据所述IPv6前缀地址对用户终端的访问请求进行监听的步骤之前,还包括:
利用对称加密算法或非对称加密算法产生一对密钥,记为所述第一密钥和第二密钥。
6.一种准无地址IPv6公开万维网服务器,其特征在于,包括:配置有一段IPv6前缀地址的万维网服务模块和配置有一个重定向IPv6地址的重定向服务模块,其中,
所述万维网服务模块,用于根据所述IPv6前缀地址对用户终端的访问请求进行监听,若获知用户终端向所述准无地址IPv6公开万维网服务器发起访问请求,则利用域名服务器进行域名解析并返回域名解析结果,所述域名解析结果为所述重定向IPv6地址,以供所述用户终端向所述重定向IPv6地址发送第一访问请求报文;以及,
用于若接收到所述用户终端发送的第二访问请求报文,利用第二密钥和所述第二访问请求报文的源IPv6地址,对所述第二访问请求报文的目的IPv6地址进行合法性和安全性验证,若验证通过,则将所述第二访问请求报文提交给所述准无地址IPv6公开万维网服务器的操作系统、协议栈或应用程序进行响应,否则,丢弃所述第二访问请求报文;
所述重定向服务模块,用于若接收到用户终端发送的第一访问请求报文,根据第一密钥,对所述第一访问请求报文的源IPv6地址进行加密,生成一段IPv6后缀地址,并根据所述IPv6后缀地址与所述IPv6前缀地址获得一个重定向后的特定IPv6地址,将所述用户终端发起的访问请求重定向至所述特定IPv6地址,以供所述用户终端向所述特定IPv6地址发送第二访问请求报文。
7.根据权利要求6所述的准无地址IPv6公开万维网服务器,其特征在于,所述万维网服务模块和重定向服务模块为相同或不同的物理设备或逻辑设备,使用相同或不同的硬件设备,或者,使用相同或不同的软件设备或计算机程序。
8.一种提供准无地址IPv6公开万维网服务的系统,其特征在于,包括:如权利要求6或7所述的准无地址IPv6公开万维网服务器和用户终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910768257.4A CN110392128B (zh) | 2019-08-20 | 2019-08-20 | 提供准无地址IPv6公开万维网服务的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910768257.4A CN110392128B (zh) | 2019-08-20 | 2019-08-20 | 提供准无地址IPv6公开万维网服务的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110392128A true CN110392128A (zh) | 2019-10-29 |
| CN110392128B CN110392128B (zh) | 2020-07-17 |
Family
ID=68289225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910768257.4A Active CN110392128B (zh) | 2019-08-20 | 2019-08-20 | 提供准无地址IPv6公开万维网服务的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110392128B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404885A (zh) * | 2020-03-03 | 2020-07-10 | 清华大学 | IPv6域名解析方法及系统 |
| CN111404884A (zh) * | 2020-03-02 | 2020-07-10 | 清华大学 | 安全通信方法、客户机及非公开服务器 |
| CN112291204A (zh) * | 2020-10-12 | 2021-01-29 | 清华大学 | 访问请求的处理方法、装置及可读存储介质 |
| CN112995103A (zh) * | 2019-12-17 | 2021-06-18 | 中国电信股份有限公司 | 数据验证方法、装置及计算机可读存储介质 |
| CN113055359A (zh) * | 2021-02-25 | 2021-06-29 | 国网信息通信产业集团有限公司 | 基于区块链的IPv6域名数据隐私保护方法及相关设备 |
| CN115499430A (zh) * | 2021-06-02 | 2022-12-20 | 北京金山云网络技术有限公司 | 集群访问方法、装置和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921488A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
| CN103297563A (zh) * | 2013-06-14 | 2013-09-11 | 南京邮电大学 | 一种基于身份认证的防止重复地址检测攻击的方法 |
| CN103856580A (zh) * | 2014-03-26 | 2014-06-11 | 清华大学 | 一种IPv6客户机访问IPv4服务器的方法 |
| CN104144123A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 访问互联网的方法、系统与路由型网关装置 |
| US20190149469A1 (en) * | 2016-04-19 | 2019-05-16 | Cisco Technology, Inc. | Content routing in an ip network |
-
2019
- 2019-08-20 CN CN201910768257.4A patent/CN110392128B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921488A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
| CN104144123A (zh) * | 2013-05-10 | 2014-11-12 | 中国电信股份有限公司 | 访问互联网的方法、系统与路由型网关装置 |
| CN103297563A (zh) * | 2013-06-14 | 2013-09-11 | 南京邮电大学 | 一种基于身份认证的防止重复地址检测攻击的方法 |
| CN103856580A (zh) * | 2014-03-26 | 2014-06-11 | 清华大学 | 一种IPv6客户机访问IPv4服务器的方法 |
| US20190149469A1 (en) * | 2016-04-19 | 2019-05-16 | Cisco Technology, Inc. | Content routing in an ip network |
Non-Patent Citations (3)
| Title |
|---|
| CISCO 等: "RFC 4862:IPv6 Stateless Address Autoconfiguration", 《RFC - DRAFT STANDARD》 * |
| SU CHEN 等: "A study on the distribution of active IPv6 addresses used by websites", 《 2019 IEEE 8TH JOINT INTERNATIONAL INFORMATION TECHNOLOGY AND ARTIFICIAL INTELLIGENCE CONFERENCE (ITAIC) 》 * |
| SUPRIYANTO PRAPTODIYONO 等: "Security Mechanism for IPv6 Stateless Address Autoconfiguration", 《 2015 INTERNATIONAL CONFERENCE ON AUTOMATION, COGNITIVE SCIENCE, OPTICS, MICRO ELECTRO-MECHANICAL SYSTEM, AND INFORMATION TECHNOLOGY (ICACOMIT) 》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112995103A (zh) * | 2019-12-17 | 2021-06-18 | 中国电信股份有限公司 | 数据验证方法、装置及计算机可读存储介质 |
| CN112995103B (zh) * | 2019-12-17 | 2022-08-02 | 中国电信股份有限公司 | 数据验证方法、装置及计算机可读存储介质 |
| CN111404884A (zh) * | 2020-03-02 | 2020-07-10 | 清华大学 | 安全通信方法、客户机及非公开服务器 |
| CN111404884B (zh) * | 2020-03-02 | 2021-07-20 | 清华大学 | 安全通信方法、客户机及非公开服务器 |
| US11546297B2 (en) | 2020-03-02 | 2023-01-03 | Tsinghua University | Secure communication method, client and non-public server |
| CN111404885A (zh) * | 2020-03-03 | 2020-07-10 | 清华大学 | IPv6域名解析方法及系统 |
| CN111404885B (zh) * | 2020-03-03 | 2021-02-09 | 清华大学 | IPv6域名解析方法及系统 |
| CN112291204A (zh) * | 2020-10-12 | 2021-01-29 | 清华大学 | 访问请求的处理方法、装置及可读存储介质 |
| CN113055359A (zh) * | 2021-02-25 | 2021-06-29 | 国网信息通信产业集团有限公司 | 基于区块链的IPv6域名数据隐私保护方法及相关设备 |
| CN113055359B (zh) * | 2021-02-25 | 2023-01-31 | 国网信息通信产业集团有限公司 | 基于区块链的IPv6域名数据隐私保护方法及相关设备 |
| CN115499430A (zh) * | 2021-06-02 | 2022-12-20 | 北京金山云网络技术有限公司 | 集群访问方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110392128B (zh) | 2020-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ahmed et al. | IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey | |
| CN110392128A (zh) | 提供准无地址IPv6公开万维网服务的方法及系统 | |
| AlSa'deh et al. | Secure neighbor discovery: Review, challenges, perspectives, and recommendations | |
| CN103701700B (zh) | 一种通信网络中的节点发现方法及系统 | |
| Alicherry et al. | Doublecheck: Multi-path verification against man-in-the-middle attacks | |
| Liyanage et al. | Secure communication channel architecture for software defined mobile networks | |
| Al-Ani et al. | Match-prevention technique against denial-of-service attack on address resolution and duplicate address detection processes in IPv6 link-local network | |
| US10911581B2 (en) | Packet parsing method and device | |
| CN103188351A (zh) | IPv6 环境下IPSec VPN 通信业务处理方法与系统 | |
| CN109698791B (zh) | 一种基于动态路径的匿名接入方法 | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| US7933253B2 (en) | Return routability optimisation | |
| CN114448730A (zh) | 基于区块链网络的报文转发方法及装置、交易处理方法 | |
| Al-Ani et al. | Authentication and privacy approach for DHCPv6 | |
| CN113938474B (zh) | 一种虚拟机访问方法、装置、电子设备和存储介质 | |
| Al-Ani et al. | Ndpsec: neighbor discovery protocol security mechanism | |
| Keromytis | Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research | |
| Modares et al. | Enhancing security in mobile IPv6 | |
| Murugesan et al. | Review on ipv6 security vulnerability issues and mitigation methods | |
| ENISA | ENISA | |
| Melki et al. | Enhancing multipath TCP security through software defined networking | |
| Aiash | A novel security protocol for resolving addresses in the location/ID split architecture | |
| Ahmed et al. | Denial of service attack over secure neighbor discovery (SeND) | |
| Pahlevan | Signaling and policy enforcement for co-operative firewalls | |
| Tschofenig et al. | Traversing middleboxes with the host identity protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |