CN110493367A - 无地址的IPv6非公开服务器、客户机与通信方法 - Google Patents
无地址的IPv6非公开服务器、客户机与通信方法 Download PDFInfo
- Publication number
- CN110493367A CN110493367A CN201910770109.6A CN201910770109A CN110493367A CN 110493367 A CN110493367 A CN 110493367A CN 201910770109 A CN201910770109 A CN 201910770109A CN 110493367 A CN110493367 A CN 110493367A
- Authority
- CN
- China
- Prior art keywords
- ipv6
- address
- server
- data message
- client computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种无地址的IPv6非公开服务器、客户机与通信方法,其中IPv6客户机包括第一获取模块,用于获取加密密钥以及服务器的IPv6前缀,确定本次通信的源地址;报文发送模块,用于生成并发送本次通信的数据报文;其中,所述数据报文中的目的IPv6地址的生成方法为:通过所述加密密钥对所述源地址进行加密,获得加密后的地址;根据所述加密后的地址获得服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址。本发明实施例能够避免合法用户以外的所有通信进程,避免黑客扫描、渗透和攻击,极大地增强IPv6非公开服务器的安全性。
Description
技术领域
本发明互联网技术领域,更具体地,涉及无地址的IPv6非公开服务器、客户机与通信方法。
背景技术
IPv6协议作为下一代互联网协议,与IPv4协议最大的不同在于,用128位的地址长度代替了IPv4协议的32位,带来了更大的地址空间,缓解了IPv4地址短缺问题的同时,也为互联网的未来发展提供了更多的可能性。和传统的IPv4地址不同,IPv6协议可以为单一用户、设备或服务提供商提供更多的地址,这种机制可以为网络安全提供更大的可能性。
作为网络服务的提供者,服务器始终面临着较大的安全威胁。互联网服务器由于其属性,往往需要将设备公开暴露在互联网中,且服务器往往需要提供安全、不间断、有保证的互联网服务,对服务器的安全问题提出了更进一步的要求。而IPv6作为新的互联网协议,拥有很多新的机制和方法,对服务器的安全提出了更大挑战的同时,也提供了更多保护服务器的安全的可能性。
鉴于此,如何令IPv6互联网非公开服务器在保证正常通信的同时,使得外部无法感知其地址成为所要解决的技术问题。
发明内容
本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的无地址的IPv6非公开服务器、客户机与通信方法。
第一个方面,本发明实施例提供一种IPv6客户机,包括:
第一获取模块,用于获取加密密钥以及服务器的IPv6前缀,确定本次通信的源地址;
报文发送模块,用于生成并发送本次通信的数据报文;
其中,所述数据报文中的目的IPv6地址的生成方法为:
通过所述加密密钥对所述源地址进行加密,获得加密后的地址;根据所述加密后的地址获得服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址。
第二个方面,本发明实施例提供一种IPv6非公开服务器,包括:
第二获取模块,用于获取解密密钥以及服务器自身的IPv6前缀;
报文接收模块,用于接收由IPv6客户机发送的数据报文;
验证模块,用于根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
第三方面,本发明实施例提供一种IPv6通信系统,包括:如第一方面所提供的IPv6客户机和如第二方面所提供的IPv6非公开服务器。
第四方面,本发明实施例提供一种IPv6客户机与IPv6非公开服务器通信的方法,包括:
配置IPv6非公开服务器的IPv6前缀,生成加密密钥和解密密钥,由IPv6客户机保存加密密钥,由IPv6非公开服务器保存解密密钥;
IPv6客户机生成本次通信的数据报文,并将数据报文发送至IPv6非公开服务器,其中,数据报文中的目的IPv6地址的生成方法为:通过所述加密密钥对所述源地址进行加密,获得加密后的地址;将所述加密后的地址作为服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址;
IPv6非公开服务器接收数据报文,根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
本发明实施例提供的无地址的IPv6非公开服务器、客户机与通信方法,通过对服务器配置IPv6前缀以及相应的路由,使得携带有该IPv6前缀的数据报文可以被送达服务器。客户机通过获取服务器的IPv6前缀,并对利用加密密钥对IPv6前缀进行加密,根据加密结果获得IPv6后缀,结合IPv6前缀即获得目的IPv6地址,服务器通过与加密密钥对应的解密密钥对目的IPv6地址进行验证,若验证通过,则对数据报文进行放行。本发明实施例通过IPv6协议为单一用户、设备或服务提供商提供更多的地址的机制,可以使IPv6互联网非公开服务器在保证正常通信的同时,使得外部无法感知其地址,同时利用一端加密另一端验证的原理,保证非公开服务器向授权用户提供可信服务,以保障服务器的隐私与安全。本发明实施例能够避免合法用户以外的所有通信进程,避免黑客扫描、渗透和攻击,极大地增强IPv6非公开服务器的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的IPv6客户机与IPv6非公开服务器进行通信的方法的流程示意图;
图2为本发明另一个实施例提供的IPv6客户机与IPv6非公开服务器进行通信的方法的流程示意图;
图3为本发明实施例提供的IPv6客户机的结构示意图;
图4为本发明实施例提供的IPv6非公开服务器的结构示意图
图5为本发明另一个实施例提供的IPv6客户机与IPv6非公开服务器通信的方法的流程示意图;
图6为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了克服上述技术问题,本发明实施例的发明构思为:通过对服务器配置IPv6前缀以及相应的路由,使得携带有该IPv6前缀的数据报文可以被送达服务器。客户机通过获取服务器的IPv6前缀,并对利用加密密钥对IPv6前缀进行加密,根据加密结果获得IPv6后缀,结合IPv6前缀即获得目的IPv6地址,服务器通过与加密密钥对应的解密密钥对目的IPv6地址进行验证,若验证通过,则对数据报文进行放行。本发明实施例通过IPv6协议为单一用户、设备或服务提供商提供更多的地址的机制,可以使IPv6互联网非公开服务器在保证正常通信的同时,使得外部无法感知其地址,同时利用一端加密另一端验证的原理,保证非公开服务器向授权用户提供可信服务,以保障服务器的隐私与安全。本发明实施例能够避免合法用户以外的所有通信进程,避免黑客扫描、渗透和攻击,极大地增强IPv6非公开服务器的安全性。
图1为本发明实施例提供的IPv6客户机与IPv6非公开服务器进行通信的方法的流程示意图,该方法的执行主体为IPv6客户机,如图1所示,该方法包括:
S101、获取加密密钥以及服务器的IPv6前缀,确定本次通信的源地址。
本发明实施例的加密密钥用于对本次通信的源地址进行加密,在一个可选实施例中,通过非对称算法生成一对公钥(公开密钥,public key)和私钥(私有密钥,privatekey),其中私钥用于加密,而公钥用于验证或者解密,在这种方式下,可以生成一对公、私钥对,将私钥作为加密密钥,由客户机保存,将公钥作为解密密钥,由服务器保存,供服务器验证或者解密时使用,在另一个可选实施例中,若客户机认为服务器是可信任的服务器,也可以采用对称算法生成一个密钥,客户机使用密钥进行加密,同时服务器也使用密钥进行解密,在这种方式下,密钥既可以由服务器生成,也可以由客户机生成。
本发明实施例的服务器是非公开的,即服务器为非公开服务器,服务器在接入IPv6互联网中时,会配置一个非全球单播IPv6地址,用于与上联接入路由器和其他子网内管理设备之间的通信。在配置非全球单播IPv6地址的基础上,还会配置一个公有的全球单播IPv6前缀以及响应的路由,这样该前缀的路由都会指向非公开服务器,也即指向该前缀的路径配置到网络内对应的网络设备中。本发明实施例的配置过程可以是自动配置,也可以是手工配置。
S102、生成并发送本次通信的数据报文,其中,所述数据报文中的目的IPv6地址的生成方法为:
通过所述加密密钥对所述源地址进行加密,获得加密后的地址;根据所述加密后的地址获得服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址。
可以理解的是,数据报文必然会记录源地址和目的IPv6地址的信息,数据报文通过记录源地址的信息,可以使服务器将响应信息返回至客户机,数据报文通过记录目的IPv6地址的信息,可以使客户机发送的数据报文送达到相应的服务器进行处理。在本发明实施例中,目的IPv6地址由获取的服务器的IPv6前缀以及需要计算获得的IPv6后缀组成,其中,IPv6后缀通过加密密钥对源地址进行加密获得。由于目的IPv6地址中包含了IPv6前缀,所以数据报文必然可以发送至服务器,此外,目的IPv6地址中还包含了一部分通过加密获得的地址,如果服务器具有的解密密钥是与客户机具有的加密密钥是配对的,那么数据报文就可以通过服务器的安全认证,从而避免合法用户以外的通信进程,避免黑客扫描、渗透和攻击,极大地增强IPv6非公开服务器的安全性。
在上述各实施例的基础上,作为一种可选实施例,加密密钥为通过预设的非对称加密算法生成的公私钥对中的私钥。
非对称加密是指加密和解密使用不同密钥的加密算法,也称为公私钥加密。假设两个用户要加密交换数据,双方交换公钥,使用时一方用对方的公钥加密,另一方即可用自己的私钥解密。如果企业中有n个用户,企业需要生成n对密钥,并分发n个公钥。假设A用B的公钥加密消息,用A的私钥签名,B接到消息后,首先用A的公钥验证签名,确认后用自己的私钥解密消息。由于公钥是可以公开的,用户只要保管好自己的私钥即可,因此加密密钥的分发变得十分简单。在本发明实施例中,客户机生成一对密钥,将公钥发送至服务器,用私钥签名(加密)源地址,服务器采用公钥验证签名。本发明实施例的非对称加密算法例如包括RSA算法(RSA algorithm)、背包算法、椭圆曲线加密算法等等。
在上述各实施例的基础上,作为一种可选实施例,加密密钥为通过对称加密算法生成的对称加密密钥。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
考虑到这样一种情况,如果网络中存在恶意第三人,那么可以通过“重放攻击”的方式获得某一合法客户机对应的目标地址,对服务器进行侵入。因此,在上述各实施例的基础上,作为一种可选实施例,在生成目标地址的过程中应当进行加盐处理,以防止黑客或互联网的恶意中间人进行“重放攻击”。
通过所述加密密钥对所述源地址进行加密,获得加密后的地址,根据所述加密后的地址获得服务器的IPv6地址后缀,具体为:
通过所述加密密钥对所述源地址进行加密,获得加密后的地址,对所述加密后的地址进行加盐处理,获得服务器的IPv6地址后缀;
或者,对所述源地址进行加盐处理,获得加盐后的地址,对所述加盐后的地址进行加密处理,获得服务器的IPv6地址后缀。
加盐处理,应使得在一次完整的通信所发送的不同数据报文的IPv6目标地址中应当一致。也就是说,在一次完整的通信中,客户机无需对新的报文生成新的目标IPv6地址,除非通信结束、链接断开或访问超时;同时,加盐处理的目的是为了保障同一个合法用户侧设备重新发起通信时生成的IPv6目标地址应当不一致,以防止攻击者或恶意第三人发起“重放攻击”。
图2为本发明另一个实施例提供的IPv6客户机与IPv6非公开服务器进行通信的方法的流程示意图,该方法的执行主体为IPv6非公开服务器,如图2所示,该方法包括:
S201、获取解密密钥以及服务器自身的IPv6前缀。
需要说明的是,本发明实施例的解密密钥用于对服务器接收到的数据报文中的目的地址进行验证/解密,在一个可选实施例中,通过非对称算法生成一对公钥和私钥,其中客户机采用私钥进行加密,服务器采用公钥用于验证或者界面,在这种方式下,可以生成一对公、私钥对,将私钥作为加密密钥,由客户机保存,将公钥作为解密密钥,由服务器保存,供服务器验证或者解密时使用,在另一个可选实施例中,若客户机认为服务器是可信任的服务器,也可以采用对称算法生成一个密钥,客户机使用密钥进行加密,同时服务器也使用密钥进行解密,在这种方式下,密钥既可以由服务器生成,也可以由客户机生成。
本发明实施例的服务器是非公开的,即服务器为向特定互联网用户提供服务的非公开服务器,服务器在接入IPv6互联网中时,会配置一个非全球单播IPv6地址,用于与上联接入路由器和其他子网内管理设备之间的通信。在配置非全球单播IPv6地址的基础上,还会配置一个公有的全球单播IPv6前缀以及响应的路由,这样该前缀的路由都会指向非公开服务器,也即指向该前缀的路径配置到网络内对应的网络设备中。本发明实施例的配置过程可以是自动配置,也可以是手工配置。
S202、接收由IPv6客户机发送的数据报文。
由于数据报文中的目的地址中记录IPv6前缀,所以服务器可以接收到由IPv6客户机发送的数据报文。
S203、根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
本发明实施例的服务器具有的解密密钥如果是与客户机具有的加密密钥是配对的,那么数据报文就可以通过服务器的安全认证,从而避免合法用户以外的通信进程,避免黑客扫描、渗透和攻击,极大地增强IPv6非公开服务器的安全性。
在上述各实施例的基础上,作为一种可选实施例,加密密钥为通过预设的非对称加密算法生成的公私钥对中的私钥。
非对称加密是指加密和解密使用不同密钥的加密算法,也称为公私钥加密。假设两个用户要加密交换数据,双方交换公钥,使用时一方用对方的公钥加密,另一方即可用自己的私钥解密。如果企业中有n个用户,企业需要生成n对密钥,并分发n个公钥。假设A用B的公钥加密消息,用A的私钥签名,B接到消息后,首先用A的公钥验证签名,确认后用自己的私钥解密消息。由于公钥是可以公开的,用户只要保管好自己的私钥即可,因此加密密钥的分发变得十分简单。在本发明实施例中,客户机生成一对密钥,将公钥发送至服务器,用私钥签名(加密)源地址,服务器采用公钥验证签名。本发明实施例的非对称加密算法例如包括RSA算法(RSA algorithm)、背包算法、椭圆曲线加密算法等等。
在上述各实施例的基础上,作为一种可选实施例,加密密钥为通过对称加密算法生成的对称加密密钥。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
考虑到这样一种情况,如果网络中存在恶意第三人,那么可以通过“重放攻击”的方式获得某一合法客户机对应的目标地址,对服务器进行侵入。服务器应当考虑客户机在生成目标地址的过程中进行加盐处理,并将加盐验证考虑进验证/解密流程,以防止黑客或互联网的恶意中间人进行“重放攻击”。
在上述各实施例的基础上,作为一种可选实施例,若服务器获知当前接收的数据报文与之前接收到的数据报文属于同一个完整通信过程,则采用与处理之前接收到的数据报文相同的加盐验证参数,对所述数据报文中的目的IPv6地址进行验证。
在上述各实施例的基础上,作为一种可选实施例,服务器在验证所述数据报文中的目的IPv6地址后,判断本次通信是否结束,若获知本次通信未结束,则继续监听本次通信的后续数据报文;若获知本次通信结束,则继续判断是否结束监听客户机发出的数据报文,若获知结束监听客户机发出的数据报文,则进入休眠。
图3为本发明实施例提供的IPv6客户机的结构示意图,如图3所示,该IPv6客户机包括第一获取模块301和报文发送模块302;具体地,
第一获取模块301,用于获取加密密钥以及服务器的IPv6前缀,确定本次通信的源地址;
报文发送模块302,用于生成并发送本次通信的数据报文;
其中,所述数据报文中的目的IPv6地址的生成方法为:
通过所述加密密钥对所述源地址进行加密,获得加密后的地址;将所述加密后的地址作为服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址。
本发明实施例提供的IPv6客户机,具体执行上述各IPv6客户机与IPv6非公开服务器通信方法实施例在IPv6客户机侧的流程,具体请详见上述各IPv6客户机与IPv6非公开服务器通信方法实施例的内容,在此不再赘述。本发明实施例提供的IPv6客户机通过IPv6协议为单一用户、设备或服务提供商提供更多的地址的机制,可以使IPv6互联网非公开服务器在保证正常通信的同时,使得外部无法感知其地址,同时利用一端加密另一端验证的原理,保证非公开服务器向授权用户提供可信服务,以保障服务器的隐私与安全。本发明实施例能够避免合法用户以外的所有通信进程,避免黑客扫描、渗透和攻击,极大地增强IPv6非公开服务器的安全性。
在上述各实施例的基础上,所述加密密钥为通过预设的非对称加密算法生成的公私钥对中的私钥。
在上述各实施例的基础上,所述加密密钥为通过对称加密算法生成的对称加密密钥。
在上述各实施例的基础上,所述将所述加密后的地址作为服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址,具体为:
将加密后的地址作为服务器的IPv6地址后缀,连同服务器的IPv6前缀进行加盐处理,获得在所述IPv6前缀下的地址作为本次通信的目标地址,以使得IPv6客户机在一次完整通信过程中发送的不同数据报文的目的IPv6地址一致。
图4为本发明实施例提供的IPv6非公开服务器的结构示意图,如图4所示,该IPv6非公开服务器包括第二获取模块401、报文接收模块402和验证模块403,具体地:
第二获取模块401,用于获取解密密钥以及服务器自身的IPv6前缀;
报文接收模块402,用于接收由IPv6客户机发送的数据报文;
验证模块403,用于根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
在上述各实施例的基础上,作为一种可选实施例,所述验证模块具体用于:
若获知当前接收的数据报文与之前接收到的数据报文属于同一个完整通信过程,则采用与处理之前接收到的数据报文相同的加盐验证参数,对所述数据报文中的目的IPv6地址进行验证。
在上述各实施例的基础上,作为一种可选实施例,IPv6非公开服务器还包括:
第一判断模块,用于在对所述数据报文中的目的IPv6地址进行验证后,判断本次通信是否结束,若获知本次通信未结束,则继续监听本次通信的后续数据报文。
在上述各实施例的基础上,作为一种可选实施例,IPv6非公开服务器还包括:第二判断模块,用于若获知本次通信结束,则继续判断是否结束接听客户机发出的数据报文,若获知结束监听客户机发出的数据报文,则进入休眠。
本发明实施例还提供一种IPv6通信系统,包括上述各实施例的IPv6客户机和IPv6非公开服务器。
图5为本发明另一个实施例提供的IPv6客户机与IPv6非公开服务器通信的方法的流程示意图,如图5所示,包括:
S501、配置IPv6非公开服务器的IPv6前缀,生成加密密钥和解密密钥,由IPv6客户机保存加密密钥,由IPv6非公开服务器保存解密密钥;
S502、IPv6客户机生成本次通信的数据报文,并将数据报文发送至IPv6非公开服务器,其中,数据报文中的目的IPv6地址的生成方法为:通过所述加密密钥对所述源地址进行加密,获得加密后的地址;将所述加密后的地址作为服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址;
S503、IPv6非公开服务器接收数据报文,根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
图6为本发明实施例提供的电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储在存储器630上并可在处理器610上运行的计算机程序,以执行上述各实施例提供的IPv6客户机与IPv6非公开服务器通信的方法,例如包括:获取加密密钥以及服务器的IPv6前缀,确定本次通信的源地址,生成并发送本次通信的数据报文,其中,所述数据报文中的目的IPv6地址的生成方法为:通过所述加密密钥对所述源地址进行加密,获得加密后的地址;根据所述加密后的地址获得服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址,或者,获取解密密钥以及服务器自身的IPv6前缀,接收由IPv6客户机发送的数据报文,根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的IPv6客户机与IPv6非公开服务器通信的方法,例如包括:获取加密密钥以及服务器的IPv6前缀,确定本次通信的源地址,生成并发送本次通信的数据报文,其中,所述数据报文中的目的IPv6地址的生成方法为:通过所述加密密钥对所述源地址进行加密,获得加密后的地址;根据所述加密后的地址获得服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址,或者,获取解密密钥以及服务器自身的IPv6前缀,接收由IPv6客户机发送的数据报文,根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种IPv6客户机,其特征在于,包括:
第一获取模块,用于获取加密密钥以及服务器的IPv6前缀,确定本次通信的源地址;
报文发送模块,用于生成并发送本次通信的数据报文;
其中,所述数据报文中的目的IPv6地址的生成方法为:
通过所述加密密钥对所述源地址进行加密,获得加密后的地址;根据所述加密后的地址获得服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址。
2.根据权利要求1所述的IPv6客户机,其特征在于,所述加密密钥为通过预设的非对称加密算法生成的公私钥对中的私钥。
3.根据权利要求1所述的IPv6客户机,其特征在于,所述加密密钥为通过预设的对称加密算法生成的对称加密密钥。
4.根据权利要求1所述的IPv6客户机,其特征在于,所述通过所述加密密钥对所述源地址进行加密,获得加密后的地址,根据所述加密后的地址获得服务器的IPv6地址后缀,具体为:
通过所述加密密钥对所述源地址进行加密,获得加密后的地址,对所述加密后的地址进行加盐处理,获得服务器的IPv6地址后缀;
或者,对所述源地址进行加盐处理,获得加盐后的地址,对所述加盐后的地址进行加密处理,获得服务器的IPv6地址后缀。
5.一种IPv6非公开服务器,其特征在于,包括:
第二获取模块,用于获取解密密钥以及服务器自身的IPv6前缀;
报文接收模块,用于接收由IPv6客户机发送的数据报文;
验证模块,用于根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
6.根据权利要求5所述的IPv6非公开服务器,其特征在于,所述验证模块具体用于:
若获知当前接收的数据报文与之前接收到的数据报文属于同一个完整通信过程,则采用与处理之前接收到的数据报文相同的加盐验证参数,对所述数据报文中的目的IPv6地址进行验证。
7.根据权利要求5所述的IPv6非公开服务器,其特征在于,还包括:
第一判断模块,用于在对所述数据报文中的目的IPv6地址进行验证后,判断本次通信是否结束,若获知本次通信未结束,则继续监听本次通信的后续数据报文。
8.根据权利要求7所述的IPv6非公开服务器,其特征在于,还包括:
第二判断模块,用于若获知本次通信结束,则继续判断是否结束监听客户机发出的数据报文,若获知结束监听客户机发出的数据报文,则进入休眠。
9.一种IPv6通信系统,其特征在于,包括权利要求1-4任意一项所述的IPv6客户机和权利要求5-8任意一项所述的IPv6非公开服务器。
10.一种IPv6客户机与IPv6非公开服务器通信的方法,其特征在于,包括:
配置IPv6非公开服务器的IPv6前缀,生成加密密钥和解密密钥,由IPv6客户机保存加密密钥,由IPv6非公开服务器保存解密密钥;
IPv6客户机生成本次通信的数据报文,并将数据报文发送至IPv6非公开服务器,其中,数据报文中的目的IPv6地址的生成方法为:通过所述加密密钥对所述源地址进行加密,获得加密后的地址;将所述加密后的地址作为服务器的IPv6地址后缀,并结合服务器的IPv6前缀获得所述目的IPv6地址;
IPv6非公开服务器接收数据报文,根据所述解密密钥以及所述数据报文中的源地址,对所述数据报文中的目的IPv6地址进行验证,若验证通过,则放行所述数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910770109.6A CN110493367B (zh) | 2019-08-20 | 2019-08-20 | 无地址的IPv6非公开服务器、客户机与通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910770109.6A CN110493367B (zh) | 2019-08-20 | 2019-08-20 | 无地址的IPv6非公开服务器、客户机与通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110493367A true CN110493367A (zh) | 2019-11-22 |
| CN110493367B CN110493367B (zh) | 2020-07-28 |
Family
ID=68552340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910770109.6A Active CN110493367B (zh) | 2019-08-20 | 2019-08-20 | 无地址的IPv6非公开服务器、客户机与通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110493367B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404885A (zh) * | 2020-03-03 | 2020-07-10 | 清华大学 | IPv6域名解析方法及系统 |
| CN111404884A (zh) * | 2020-03-02 | 2020-07-10 | 清华大学 | 安全通信方法、客户机及非公开服务器 |
| CN112104615A (zh) * | 2020-08-24 | 2020-12-18 | 清华大学 | 基于IPv6地址的文件可信判断的处理方法及装置 |
| CN112488270A (zh) * | 2020-12-15 | 2021-03-12 | 青岛海尔科技有限公司 | 一种二维码生成方法及装置 |
| CN114520802A (zh) * | 2020-11-18 | 2022-05-20 | 青岛海信宽带多媒体技术有限公司 | 一种通信方法、客户端、网关及系统 |
| WO2024174596A1 (zh) * | 2023-02-23 | 2024-08-29 | 腾讯科技(深圳)有限公司 | 一种数据加密方法和相关装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921487A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于签名的自治系统间IPv6真实源地址验证方法 |
| CN1921488A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
| CN1921394A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
| CN101610255A (zh) * | 2009-07-10 | 2009-12-23 | 清华大学 | 基于密码学生成地址的源地址验证装置 |
| CN101931628A (zh) * | 2010-08-27 | 2010-12-29 | 清华大学 | 一种域内源地址的验证方法和装置 |
| CN102143251A (zh) * | 2011-03-29 | 2011-08-03 | 清华大学 | 面向运营商非对称数字用户环线的IPv4/IPv6翻译方法 |
| CN104468605A (zh) * | 2014-12-22 | 2015-03-25 | 北京极科极客科技有限公司 | 一种分布式安全认证方法 |
-
2019
- 2019-08-20 CN CN201910770109.6A patent/CN110493367B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921487A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于签名的自治系统间IPv6真实源地址验证方法 |
| CN1921488A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
| CN1921394A (zh) * | 2006-09-19 | 2007-02-28 | 清华大学 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
| CN101610255A (zh) * | 2009-07-10 | 2009-12-23 | 清华大学 | 基于密码学生成地址的源地址验证装置 |
| CN101931628A (zh) * | 2010-08-27 | 2010-12-29 | 清华大学 | 一种域内源地址的验证方法和装置 |
| CN102143251A (zh) * | 2011-03-29 | 2011-08-03 | 清华大学 | 面向运营商非对称数字用户环线的IPv4/IPv6翻译方法 |
| CN104468605A (zh) * | 2014-12-22 | 2015-03-25 | 北京极科极客科技有限公司 | 一种分布式安全认证方法 |
Non-Patent Citations (3)
| Title |
|---|
| FULIANG LI, CHANGQING AN, JIAHAI YANG, NING JIANG, JIANPING WU: "《Investigating the Efficiency of Fine Granularity Source Address Validation in IPv6 Networks》", 《2011 13TH ASIA-PACIFIC NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM》 * |
| JUN BI, JIANPING WU, XING LI, AND XIANGBIN CHENG: "《An IPv6 Test-bed Implementation for a Future Source Address Validation Architecture》", 《2008 NEXT GENERATION INTERNET NETWORKS》 * |
| 吴建平,任罡: "《构建基于真实 IPv6 源地址验证体系结构的下一代互联网》", 《中国科学E辑: 信息科学》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404884A (zh) * | 2020-03-02 | 2020-07-10 | 清华大学 | 安全通信方法、客户机及非公开服务器 |
| CN111404884B (zh) * | 2020-03-02 | 2021-07-20 | 清华大学 | 安全通信方法、客户机及非公开服务器 |
| US11546297B2 (en) | 2020-03-02 | 2023-01-03 | Tsinghua University | Secure communication method, client and non-public server |
| CN111404885A (zh) * | 2020-03-03 | 2020-07-10 | 清华大学 | IPv6域名解析方法及系统 |
| CN111404885B (zh) * | 2020-03-03 | 2021-02-09 | 清华大学 | IPv6域名解析方法及系统 |
| CN112104615A (zh) * | 2020-08-24 | 2020-12-18 | 清华大学 | 基于IPv6地址的文件可信判断的处理方法及装置 |
| CN112104615B (zh) * | 2020-08-24 | 2021-07-20 | 清华大学 | 基于IPv6地址的文件可信判断的处理方法及装置 |
| CN114520802A (zh) * | 2020-11-18 | 2022-05-20 | 青岛海信宽带多媒体技术有限公司 | 一种通信方法、客户端、网关及系统 |
| CN112488270A (zh) * | 2020-12-15 | 2021-03-12 | 青岛海尔科技有限公司 | 一种二维码生成方法及装置 |
| WO2024174596A1 (zh) * | 2023-02-23 | 2024-08-29 | 腾讯科技(深圳)有限公司 | 一种数据加密方法和相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110493367B (zh) | 2020-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11477037B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange | |
| US12047362B2 (en) | Systems and methods for secure multi-party communications using a proxy | |
| US10785019B2 (en) | Data transmission method and apparatus | |
| EP3534565B1 (en) | Data transmission method, apparatus and system | |
| CN110493367A (zh) | 无地址的IPv6非公开服务器、客户机与通信方法 | |
| CN108347419A (zh) | 数据传输方法和装置 | |
| CN105915342A (zh) | 一种应用程序通信处理系统、设备、装置及方法 | |
| CN106790090A (zh) | 基于ssl的通信方法、装置及系统 | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN105307165A (zh) | 基于移动应用的通信方法、服务端和客户端 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| EP3216163B1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
| CN105591748B (zh) | 一种认证方法和装置 | |
| CN105991622A (zh) | 一种报文验证方法及设备 | |
| Ćurguz | Vulnerabilities of the SSL/TLS Protocol | |
| CN108462677A (zh) | 一种文件加密方法及系统 | |
| Lee et al. | An interactive mobile SMS confirmation method using secret sharing technique | |
| EP3051770A1 (en) | User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs | |
| JP4911504B2 (ja) | 匿名認証システム | |
| Aquina | Quantum secure connection to your institution | |
| Yeun et al. | Secure software download for programmable mobile user equipment | |
| CN117014868A (zh) | 一种通信方法及相关装置 | |
| Nagasuresh et al. | Defense against Illegal Use of Single Sign on Mechanism for Distributed Network Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |