CN110392129A - IPv6客户机以及IPv6客户机与服务器通信的方法 - Google Patents

IPv6客户机以及IPv6客户机与服务器通信的方法 Download PDF

Info

Publication number
CN110392129A
CN110392129A CN201910768602.4A CN201910768602A CN110392129A CN 110392129 A CN110392129 A CN 110392129A CN 201910768602 A CN201910768602 A CN 201910768602A CN 110392129 A CN110392129 A CN 110392129A
Authority
CN
China
Prior art keywords
server
data message
ipv6
client computer
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910768602.4A
Other languages
English (en)
Other versions
CN110392129B (zh
Inventor
包丛笑
李星
翁喆
刘人杰
常得量
王文鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN201910768602.4A priority Critical patent/CN110392129B/zh
Publication of CN110392129A publication Critical patent/CN110392129A/zh
Application granted granted Critical
Publication of CN110392129B publication Critical patent/CN110392129B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种IPv6客户机以及IPv6客户机与服务器通信的方法,其中IPv6客户机包括:报文发送模块,用于生成IPv6协议的数据报文,将生成的数据报文发送至服务器,数据报文中的源地址根据不同次的通信连接所更新;防火墙模块,用于将生成的数据报文中的五元组作为参考信息,存储至通信列表中;报文接收模块,用于若在当次通信连接内接收到服务器返回的数据报文,则将服务器返回的数据报文发送至防火墙模块;其中,防火墙模块还用于:若判断返回的数据报文中的五元组与通信列表中存储的参考信息匹配,则对接收到的数据报文进行放行。本发明实施例使得外界无法感知到IPv6客户机,避免针对IPv6客户机的攻击发生。

Description

IPv6客户机以及IPv6客户机与服务器通信的方法
技术领域
本发明涉及计算机网络技术领域,更具体地,涉及IPv6客户机以及IPv6客户机与服务器通信的方法。
背景技术
自从互联网诞生到现在,经历超过20年的发展历程,IPv4协议已经得到了广泛的应用。然而,IPv4协议也存在着一系列严重问题,最主要的就是地址空间的严重不足。为了解决地址空间不足的问题,人们提出了IPv6协议,用更大的地址空间(2^128)代替IPv4协议的2^32的地址空间。同时,IPv6协议具有分层的编址和路由机制,更好的端到端特性,更好的安全性和移动性支持等特性。
目前,IPv6协议已经在从实验室环境走入了广泛的商业应用,已经全世界范围内得到了大量部署,缓解了IPv4地址短缺的问题。然而,由于IPv6的新兴网络特性,和IPv6有关的网络安全技术尚不成熟,相关安全设备和安全技术还在发展之中,IPv6面临着比IPv4更大的安全挑战和安全威胁。恶意的网络第三人或网络攻击者可以通过获取IPv6网络使用者的网络地址,从而利用IPv6网络使用者的网络地址对用户客户机发起攻击,造成用户设备、应用程序或网络瘫痪、关键信息泄露或财产损失。
鉴于此,如何使IPv6客户机的地址无法被外部感知,不影响客户机的正常通信与访问IPv4、IPv6互联网功能,同时不影响互联网基础的溯源、监管等功能,以最大程度避免IPv6客户机被网络攻击和网络扫描可能性,是目前所要解决的技术问题。
发明内容
本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的IPv6客户机以及IPv6客户机与服务器通信的方法。
第一个方面,本发明实施例提供一种IPv6客户机,包括:
报文发送模块,用于生成IPv6协议的数据报文,将生成的数据报文发送至服务器,所述数据报文中的源地址根据不同次的通信连接所更新;
防火墙模块,用于将生成的数据报文中的五元组作为参考信息,存储至通信列表中;
报文接收模块,用于若在当次通信连接的持续过程中接收到服务器返回的数据报文,则将服务器返回的数据报文发送至所述防火墙模块;
其中,所述防火墙模块还用于:若判断返回的数据报文中的五元组与所述通信列表中存储的参考信息匹配,则对接收到的数据报文进行放行。
优选地,所述源地址根据预先配置的公有IPv6前缀的基础上生成。
优选地,所述防火墙模块还用于:若判断返回的数据报文中的五元组与所述通信列表中存储的参考信息不匹配,则丢弃接收到的数据报文。
优选地,所述报文发送模块将生成的数据报文发送至服务器,具体为:
判断所述服务器是否为IPv6服务器,若所述服务器为IPv6服务器,则将生成的数据报文直接发送至所述服务器。
优选地,所述报文发送模块将生成的数据报文发送至服务器,具体为:
判断所述服务器是否为IPv6服务器,若所述服务器为IPv4服务器,则将生成的数据报文转换为IPv4协议的数据报文,并通过IPv4互联网发送至所述服务器。
优选地,所述防火墙模块还用于:若根据所述判断结果获知通信结束,则将参考信息从通信列表中删除。
优选地,IPv6客户机还包括:
访问判断模块,用于在本次通信连接结束后,继续判断是否结束对服务器发起访问,若获知结束对服务器发起访问,则客户机进入休眠状态。
第二个方面,本发明实施例提供一种IPv6客户机与服务器通信的方法,包括:
生成IPv6协议的数据报文,将所述数据报文发送至服务器,所述数据报文中的源地址根据不同次的通信连接所更新;
将生成的数据报文中的五元组作为参考信息,存储至通信列表中;
若在当次通信连接的持续过程中接收到服务器返回的数据报文,则判断返回的数据报文中的目的地址与所述通信列表中存储的参考信息是否匹配;
若匹配,则对接收到的数据报文进行放行;若获知本次通信连接结束,则将所述参考信息从通信列表中删除。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
本发明实施例提供的IPv6客户机以及IPv6客户机与服务器通信的方法,通过在IPv6客户机每次发起通信时,生成一个新的源地址,并且将五元组记录在通信列表中,当收到服务器返回的数据报文时,若返回的数据报文中的相关五元组与通信列表中记录的五元组匹配,则获知返回的数据报文来自于安全的服务器。由于客户机在接收数据报文时需要根据本次通信的五元组进行校验,从而使得外界无法感知到IPv6客户机,避免针对IPv6客户机的攻击发生。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的IPv6客户机与服务器通信的方法的流程示意图;
图2为本发明实施例提供的IPv6客户机的结构示意图;
图3为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于IPv6协议有着与IPv4协议不同的机制,IPv6协议在面临更大挑战的同时,也具有广阔的空间来设计更新的防御网络就可以通过将客户机所使用的地址隐藏在更广阔的地址空间中,使得外部无法感知IPv6客户机的地址,保障客户机的安全性和隐私性。
本发明实施例的发明构思为,在IPv6客户机每次通信连接时,生成一个新的源地址,并且将包括源地址、源端口、目的地址、目的端口和传输层协议的五元组记录在通信列表中,当收到服务器返回的数据报文时,若返回的数据报文中的五元组与通信列表中记录的参考信息匹配,则获知返回的数据报文来自于安全的服务器。由于客户机在接收数据报文时需要根据预先生成的源地址进行校验,从而使得外界无法感知到IPv6客户机,避免针对IPv6客户机的攻击发生。
图1为本发明实施例的IPv6客户机与服务器通信的方法的流程示意图,如图1所示,该方法包括S101至S104,具体地:
S101、生成IPv6协议的数据报文,将所述数据报文发送至服务器,所述数据报文中的源地址根据不同次的通信连接更新。
需要说明的是,本发明实施例中数据报文的源地址是在每次发起通信时更新的,这样就使得数据报文没有固定的源地址,从而使得外界无法感知客户机的真实地址。
S102、将生成的数据报文中的五元组作为参考信息,存储至通信列表中。
在本发明实施例中,通信列表中用于记录生成的数据报文的五元组,从而为后续排除接收不安全服务器发送的数据报文提供依据。作为本领域的公知常识,五元组包括源地址、目的地址、源端口、目的端口以及传输层协议。
S103、若在当次通信连接的持续过程中接收到服务器返回的数据报文,则判断返回的数据报文中的五元组与所述通信列表中存储的参考信息是否匹配,若匹配,则执行S104。
S104、对接收到的数据报文进行放行。
若本发明实施例的客户机获知服务器为合法服务器,那么就会的接收到的数据报文进行放行,放行后的数据报文将流入预设的操作系统或者预设的应用程序进行处理。
在上述各实施例的基础上,作为一种可选实施例,步骤S104之后还包括:
S105、若获知当次通信连接结束,则将所述参考信息从通信列表中删除。
需要说明的是,本发明不对判断一次通信连接是否结束的方式作具体的限定,凡是现有技术中能够实现判断通信连接结束的方案均可采用。若获知本次通信已经结束,IPv6客户机还会将参考信息从通信列表中删除,从而保证即使后续有第三方伪造了一个具有相同目的地址的假数据报文,客户机也可以基于上述机制识别出假数据报文。
需要说明的是,本发明实施例通过在IPv6客户机每次发起通信时,生成一个新的源地址,并且将五元组记录在通信列表中,当收到服务器返回的数据报文时,若返回的数据报文中的五元组与通信列表中记录的五元组匹配,则获知返回的数据报文来自于安全的服务器。由于客户机在接收数据报文时需要根据五元组进行校验,从而使得外界无法感知到IPv6客户机,避免针对IPv6客户机的攻击发生。
在图1所示的IPv6客户机与服务器通信的方法的基础上,S102之后还包括:
S103’,若在本次通信的持续过程中没有接收到服务器返回的数据报文,则执行S105。
需要说明的是,客户机若在本次通信连接的持续过程中没有接收到服务器返回的数据报文,则会认为客户机自身发送的数据报文或者服务器返回的数据报文已经丢失,即获知通信结束。因此为了安全考虑,会将参考信息从通信列表中删除,从而杜绝针对IPv6客户机的攻击发生。
在上述各实施例的基础上,本发明实施例的源地址是根据预先配置的公有IPv6前缀的基础上生成。
在本发明实施例中,当客户机接入IPv6网络的时候会配置一个非全球单播IPv6地址,用于与上联接入服务器或者其他子网管理设备直接的通信,同时,也会对上联接入的服务器配置一个非全球单播地址。当接入服务器与客户机接入IPv6网络后,本发明实施例为所述客户机配置一个公有的全球单播IPv6前缀,之后在公有的全球单播IPv6前缀的基础上,生成一个源地址,例如:公有的全球单播IPv6前缀为2001:da8:2000:344c::/64,其中64表示64位,然后再该前缀的基础上生成一个源地址:2001:da8:2000:344c:3448:6ab0:771d:0f0c。需要说明的是,“3448:6ab0:771d:0f0c”这部分信息既可以是随机生成的,也可以根据预设的规则生成的,本发明实施例不做具体的限定。
在上述各实施例的基础上,作为一种可选实施例,S103还包括:若判断返回的数据报文中的目的地址与所述通信列表中存储的参考信息不匹配,则丢弃接收到的数据报文。
考虑到目前互联网正在处于并长期处于IPv4与IPv6互联网共存的时期,为了保障客户机的正常通信功能,应同时考虑到让客户机具备能同时访问IPv4互联网资源与IPv6互联网资源的功能。
因此,在上述各实施例的基础上,作为一种可选实施例,将所述数据报文发送至服务器,具体为:
判断所述服务器是否为IPv6服务器,若所述服务器为IPv6服务器,则将生成的数据报文直接发送至所述服务器。若所述服务器为IPv4服务器,则将生成的数据报文转换为IPv4协议的数据报文(例如可通过无状态翻译技术),并通过IPv4互联网发送至所述服务器。
在上述各实施例的基础上,作为一种可选实施例,S104之后还包括:
S105’、判断本次通信连接是否结束。
需要说明的是,本发明实施例的通信结束可以是协议规定的通信正常或非正常结束,也可以是由于发送数据报文超时未接受到返回报文引起的通信结束。
S106、若获知本次通信连接结束,则将参考信息从通信列表删除。
在上述各实施例的基础上,作为一种可选实施例,在通信结束后,继续判断是否结束对服务器发起访问,若获知结束对服务器发起访问,则停止对服务器发起访问。
需要说明的是,若获知通信结束,则继续判断是否停止对服务器发起访问,若获知停止对服务器发起访问,则客户机进入休眠状态。当客户机进入休眠状态,客户机不会向服务器发送数据报文,也不会接收任何服务器发送的数据报文,进入休眠状态。可以理解的是,客户机的唤醒可以采用周期性唤醒,也可以采用接收管理设备发送的唤醒指令进行唤醒,本发明实施例不做进一步的限定。
图2为本发明实施例提供的IPv6客户机的结构示意图,如图2所示,该IPv6客户机包括:报文发送模块201、防火墙模块202和报文接收模块203,具体地,
报文发送模块201,用于生成IPv6协议的数据报文,将生成的数据报文发送至服务器,所述数据报文中的源地址根据不同次的通信连接所更新。
本发明实施例中数据报文的源地址是在每次通信连接时更新的,这样就使得数据报文的源地址是不断变化的,从而增加了外界服务器感知到客户机的难度。
防火墙模块202,用于将生成的数据报文中的五元组作为参考信息,存储至通信列表中。
在本发明实施例中,通信列表中用于记录生成的数据报文的五元组,从而为后续排除接收不安全服务器发送的数据报文提供依据。作为本领域的公知常识,五元组包括源地址、目的地址、源端口、目的端口以及传输层协议。
报文接收模块203,用于若在当次通信连接的持续过程中接收到服务器返回的数据报文,则将服务器返回的数据报文发送至所述防火墙模块。
其中,所述防火墙模块还用于:若判断返回的数据报文中的五元组与所述通信列表中存储的参考信息匹配,则对接收到的数据报文进行放行。
本发明实施例提供的IPv6客户机,具体执行上述各IPv6客户机与服务器通信的方法实施例流程,具体请详见上述各IPv6客户机与服务器通信的方法实施例的内容,在此不再赘述。本发明实施例提供的IPv6客户机通过在IPv6客户机每次发起通信时,生成一个新的源地址,并且将五元组记录在通信列表中,当收到服务器返回的数据报文时,若返回的数据报文中的相关五元组与通信列表中记录的五元组匹配,则获知返回的数据报文来自于安全的服务器。由于客户机在接收数据报文时需要根据本次通信的五元组进行校验,从而使得外界无法感知到IPv6客户机,避免针对IPv6客户机的攻击发生。
所述源地址根据预先配置的公有IPv6前缀的基础上生成。
在上述各实施例的基础上,作为一种可选实施例,所述防火墙模块还用于:若判断返回的数据报文中的五元组与所述通信列表中存储的参考信息不匹配,则丢弃接收到的数据报文。
在上述各实施例的基础上,作为一种可选实施例,所述报文发送模块将生成的数据报文发送至服务器,具体为:
判断所述服务器是否为IPv6服务器,若所述服务器为IPv6服务器,则将生成的数据报文直接发送至所述服务器。
在上述各实施例的基础上,作为一种可选实施例,所述报文发送模块将生成的数据报文发送至服务器,具体为:
判断所述服务器是否为IPv6服务器,若所述服务器为IPv4服务器,则将生成的数据报文通过无状态翻译技术转换为IPv4协议的数据报文,并通过IPv4互联网发送至所述服务器。
在上述各实施例的基础上,作为一种可选实施例,所述防火墙模块还用于:若获知本次通信连接结束,则将参考信息从通信列表中删除。
在上述各实施例的基础上,作为一种可选实施例,IPv6客户机还包括:
访问判断模块,用于在本次通信连接结束后,继续判断是否结束对服务器发起访问,若获知结束对服务器发起访问,则客户机进入休眠状态。
图3为本发明实施例提供的电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储在存储器330上并可在处理器310上运行的计算机程序,以执行上述各实施例提供的IPv6客户机与服务器通信的方法,例如包括:生成IPv6协议的数据报文,将所述数据报文发送至服务器,所述数据报文中的源地址随根据不同次的通信连接所更新;将生成的数据报文中的五元组作为参考信息,存储至通信列表中;若在当次通信连接的持续过程中接收到服务器返回的数据报文,则判断返回的数据报文中的五元组与所述通信列表中存储的参考信息是否匹配;若匹配,则对接收到的数据报文进行放行。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的IPv6客户机与服务器通信的方法,例如包括:生成IPv6协议的数据报文,将所述数据报文发送至服务器,所述数据报文中的源地址随生成的数据报文所更新;将生成的数据报文中的五元组作为参考信息,存储至通信列表中;若在当次通信连接的持续过程中接收到服务器返回的数据报文,则判断返回的数据报文中的五元组与所述通信列表中存储的参考信息是否匹配;若匹配,则对接收到的数据报文进行放行。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种IPv6客户机,其特征在于,包括:
报文发送模块,用于生成IPv6协议的数据报文,将生成的数据报文发送至服务器,所述数据报文中的源地址根据不同次的通信连接所更新;
防火墙模块,用于将生成的数据报文中的五元组作为参考信息,存储至通信列表中;
报文接收模块,用于若在当次通信连接的持续过程中接收到服务器返回的数据报文,则将服务器返回的数据报文发送至所述防火墙模块;
其中,所述防火墙模块还用于:若判断返回的数据报文中的五元组与所述通信列表中存储的参考信息匹配,则对接收到的数据报文进行放行。
2.根据权利要求1所述的IPv6客户机,其特征在于,所述源地址根据预先配置的公有IPv6前缀的基础上生成。
3.根据权利要求1所述的IPv6客户机,其特征在于,所述防火墙模块还用于:若判断返回的数据报文中的五元组与所述通信列表中存储的参考信息不匹配,则丢弃接收到的数据报文。
4.根据权利要求1所述的IPv6客户机,其特征在于,所述报文发送模块将生成的数据报文发送至服务器,具体为:
判断所述服务器是否为IPv6服务器,若所述服务器为IPv6服务器,则将生成的数据报文直接发送至所述服务器。
5.根据权利要求1所述的IPv6客户机,其特征在于,所述报文发送模块将生成的数据报文发送至服务器,具体为:
判断所述服务器是否为IPv6服务器,若所述服务器为IPv4服务器,则将生成的数据报文转换为IPv4协议的数据报文,并通过IPv4互联网发送至所述服务器。
6.根据权利要求1所述的IPv6客户机,其特征在于,所述防火墙模块还用于:若获知本次通信连接结束,则将参考信息从通信列表中删除。
7.根据权利要求5所述的IPv6客户机,其特征在于,还包括:
访问判断模块,用于在本次通信连接结束后,继续判断是否结束对服务器发起访问,若获知结束对服务器发起访问,则客户机进入休眠状态。
8.一种IPv6客户机与服务器通信的方法,其特征在于,包括:
生成IPv6协议的数据报文,将所述数据报文发送至服务器,所述数据报文中的源地址根据不同次的通信连接所更新;
将生成的数据报文中的五元组作为参考信息,存储至通信列表中;
若在当次通信连接的持续过程中接收到服务器返回的数据报文,则判断返回的数据报文中的目的地址与所述通信列表中存储的参考信息是否匹配;
若匹配,则对接收到的数据报文进行放行;若获知本次通信连接结束,则将所述参考信息从通信列表中删除。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述IPv6客户机与服务器通信的方法的步骤。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至7中任意一项所述的IPv6客户机与服务器通信的方法。
CN201910768602.4A 2019-08-20 2019-08-20 IPv6客户机以及IPv6客户机与服务器通信的方法 Active CN110392129B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910768602.4A CN110392129B (zh) 2019-08-20 2019-08-20 IPv6客户机以及IPv6客户机与服务器通信的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910768602.4A CN110392129B (zh) 2019-08-20 2019-08-20 IPv6客户机以及IPv6客户机与服务器通信的方法

Publications (2)

Publication Number Publication Date
CN110392129A true CN110392129A (zh) 2019-10-29
CN110392129B CN110392129B (zh) 2020-07-17

Family

ID=68289208

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910768602.4A Active CN110392129B (zh) 2019-08-20 2019-08-20 IPv6客户机以及IPv6客户机与服务器通信的方法

Country Status (1)

Country Link
CN (1) CN110392129B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111343295A (zh) * 2020-02-18 2020-06-26 支付宝(杭州)信息技术有限公司 用于确定IPv6地址的风险的方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352710A (ja) * 2005-06-17 2006-12-28 Ntt Communications Kk パケット中継装置及びプログラム
CN101964804A (zh) * 2010-10-22 2011-02-02 北京工业大学 一种IPv6协议下的攻击防御系统及其实现方法
CN106375318A (zh) * 2016-09-01 2017-02-01 北京神州绿盟信息安全科技股份有限公司 一种网络访问控制系统和方法
CN107864156A (zh) * 2017-12-18 2018-03-30 东软集团股份有限公司 Syn攻击防御方法和装置、存储介质
CN109150655A (zh) * 2018-07-25 2019-01-04 赛尔网络有限公司 一种IPv4防火墙IPv6绕过的检测方法
US10177911B2 (en) * 2013-09-10 2019-01-08 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
CN110120942A (zh) * 2019-04-17 2019-08-13 新华三信息安全技术有限公司 安全策略规则匹配方法及装置、防火墙设备及介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352710A (ja) * 2005-06-17 2006-12-28 Ntt Communications Kk パケット中継装置及びプログラム
CN101964804A (zh) * 2010-10-22 2011-02-02 北京工业大学 一种IPv6协议下的攻击防御系统及其实现方法
US10177911B2 (en) * 2013-09-10 2019-01-08 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
CN106375318A (zh) * 2016-09-01 2017-02-01 北京神州绿盟信息安全科技股份有限公司 一种网络访问控制系统和方法
CN107864156A (zh) * 2017-12-18 2018-03-30 东软集团股份有限公司 Syn攻击防御方法和装置、存储介质
CN109150655A (zh) * 2018-07-25 2019-01-04 赛尔网络有限公司 一种IPv4防火墙IPv6绕过的检测方法
CN110120942A (zh) * 2019-04-17 2019-08-13 新华三信息安全技术有限公司 安全策略规则匹配方法及装置、防火墙设备及介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CLAAS LORENZ 等: "FaVe: Modeling IPv6 Firewalls for Fast Formal Verification", 《2017 INTERNATIONAL CONFERENCE ON NETWORKED SYSTEMS (NETSYS)》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111343295A (zh) * 2020-02-18 2020-06-26 支付宝(杭州)信息技术有限公司 用于确定IPv6地址的风险的方法及装置
CN111343295B (zh) * 2020-02-18 2022-09-27 支付宝(杭州)信息技术有限公司 用于确定IPv6地址的风险的方法及装置

Also Published As

Publication number Publication date
CN110392129B (zh) 2020-07-17

Similar Documents

Publication Publication Date Title
CN106790091B (zh) 一种云安全防护系统以及流量清洗方法
US20190297118A1 (en) Scalable network security detection and prevention platform
US9246765B2 (en) Apparatus and methods for auto-discovery and migration of virtual cloud infrastructure
US9501345B1 (en) Method and system for creating enriched log data
CN105430011B (zh) 一种检测分布式拒绝服务攻击的方法和装置
US20140280805A1 (en) Two-Sided Declarative Configuration for Cloud Deployment
JP2014506045A (ja) ネットワーク刺激エンジン
CN109067789A (zh) 基于Linux系统的Web漏洞扫描方法、系统
JP2023025160A (ja) 自動パケットレスネットワーク到達可能性分析
CN104636678B (zh) 一种云计算环境下对终端设备进行管控的方法和系统
JP7045050B2 (ja) 通信監視システム及び通信監視方法
CN110661670A (zh) 一种网络设备配置管理方法及装置
US8694993B1 (en) Virtualization platform for secured communications between a user device and an application server
US11297128B2 (en) Automated end-to-end application deployment in a data center
KR101342592B1 (ko) 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법
CN112187491A (zh) 服务器的管理方法、装置和设备
CN112099913A (zh) 一种基于OpenStack实现虚拟机安全隔离的方法
CN111935167A (zh) 用于工控的违规外联检测方法、装置、设备及存储介质
US20240089174A1 (en) Systems and methods for controlling the deployment of network configuration changes based on weighted impact
CN107995321A (zh) 一种vpn客户端代理dns的方法及装置
CN111131448A (zh) ADSL Nat的运维管理的边缘管理方法及相关产品
CN111818081A (zh) 虚拟加密机管理方法、装置、计算机设备和存储介质
US20230254334A1 (en) Intelligent workflow for protecting servers from outside threats
CN107911496A (zh) 一种vpn服务端代理dns的方法及装置
CN113162944B (zh) 安全运营平台与安全组件的网络通信方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant