CN114338522B - 基于标识管理的IPv6编址与组网方法 - Google Patents
基于标识管理的IPv6编址与组网方法 Download PDFInfo
- Publication number
- CN114338522B CN114338522B CN202011359484.0A CN202011359484A CN114338522B CN 114338522 B CN114338522 B CN 114338522B CN 202011359484 A CN202011359484 A CN 202011359484A CN 114338522 B CN114338522 B CN 114338522B
- Authority
- CN
- China
- Prior art keywords
- address
- terminal
- identification
- ipv6
- cipv6
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000006855 networking Effects 0.000 title claims abstract description 26
- 238000005516 engineering process Methods 0.000 claims abstract description 10
- 238000004891 communication Methods 0.000 claims abstract description 8
- 230000008569 process Effects 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 3
- 239000013589 supplement Substances 0.000 claims description 2
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络通信技术领域,具体来说是涉及一种基于标识管理的IPv6编址与组网方法。本发明首先根据终端标识,使用散列定长算法生成64位长度的地址,再由该地址生成IPv6地址,将由终端标识生成的IPv6地址定义为cIPv6地址;然后参与组网的终端,基于自身终端标识向管理中心发起请求,管理中心进行标识认证,通过认证后,生成匹配的cIPv6地址,并将cIPv6地址配置到路由云,终端基于标准IPv6规则与路由云进行通信;或者,管理中心添加标识并生成cIPv6地址配置给指定终端,将cIPv6地址配置到路由云,终端基于标准IPv6规则与路由云进行通信。本发明的有益效果是,在现有公开IPV6标准上进行了创新,在网络层和会话层加入标识认证技术,从而实现一个可信、安全的网络管理体系。
Description
技术领域
本发明属于网络通信技术领域,具体来说是涉及一种基于标识管理的IPv6编址与组网方法。
背景技术
IPv6是下一代互联网发展的必然趋势已经得到业界共识,IPv6标准定义了巨大的地址空间。在IPv6中,通过无状态自动配置机制,使用EUI-64格式来自动配置IPv6地址。EUI-64的构造规则是,根据接口的MAC地址再加上固定的前缀来生成一个IPv6地址。对于一个MAC地址,由两部分组成,24位的公司ID和24位公司的扩展ID(自己编制),在48位公司ID和公司扩展ID之间插入特定16位值0xFFFE,即形成64位的EUI-64地址。根据IPv6地址的构造规则,实际上为IPv6技术的应用提供了较为宽泛的空间,IPv6的编址方式具有一定的灵活性。
随着Internet的发展,网络管理的方法也在变得越来越具有针对性。在企事业单位信息化的过程中,根据面临的安全问题和应用需求,相应的出现了针对性的安全管理系统,针对终端接入局域网的管理方法,目前通常采用对终端用户的身份进行认证,通过认证后终端即可连接到网络,否则会被隔离。这种基于身份认证的方式是在应用层面进行,需要消耗额外资源的同时,还存在一定的安全问题。同时在这种模式中,网络对于要接入的终端缺乏主动性,相当于被动的进行认证,从而网络本身的管理能力受到了限制。
当前网络架构下,DNS是核心,但DNS是全球集中管制且13个根节点都不在国内,即便在当前在国内建立了DNS映像节点,但依然由于解析的集中,导致当DNS不能服务时(被攻击、被劫持、停止服务),整个网络就基本瘫痪。
发明内容
本发明的目的,是针对上述问题,提出一种移除DNS,通过直接寻址的方法,并在网络分层中嵌入标识认证,可进行可信认证,可搭建可信安全的可控网络,本发明提出一种基于标识管理的IPv6编址与组网方法。
本发明的技术方案是:基于标识管理的IPv6编址与组网方法,包括:
根据终端标识,使用散列定长算法生成64位长度的地址,再由该地址生成IPv6地址,将由终端标识生成的IPv6地址定义为cIPv6地址;
参与组网的终端,基于自身终端标识向管理中心发起请求,管理中心进行标识认证,通过认证后,生成匹配的cIPv6地址,并将cIPv6地址配置到路由云,终端基于标准IPv6规则与路由云进行通信;或者,管理中心添加标识并生成cIPv6地址配置给指定终端,将cIPv6地址配置到路由云,终端基于标准IPv6规则与路由云进行通信;
组网后的终端之间,在管理中心与路由云的访问规则控制下,通过直接寻址的方式进行通信。
本发明总的技术方案,为移除DNS,同时又要与现有的IPv6系统兼容,从而提出的一种通过更改地址生成规则的IPv6编址方法,即将标识用于生成IP地址,依据这种编制方式组网后,整个网络中的IP地址都是有意义的,而不再仅仅是一个标签。
进一步的,根据终端标识,生成cIPv6地址的具体方法为:终端标识做散列算法后取定长64位,由路由器自动补齐前64位,64+64组成完整的IPV6格式IP。根据上述编址方法,在网络中,终端上来后注册到对应的业务服务器,在业务服务器登记自己的128位全IP,访问时从业务服务器到获取对方的全128位IP,即可直接寻址。
进一步的,将组网生成的网络定义为可信网络,在可信网络中,终端与路由云(路由云是终端的上级路由器、交换机以及业务交换机的集合,可以为终端提供路由、寻址和访问控制功能)的通信方法为:终端根据cIPv6地址获取源地址和目标地址,根据路由云配置的访问规则,利用标准IPv6的寻址规则传递数据包到路由云,路由云根据可信网络中已配置的cIPv6地址,将数据包传递到目标终端。
进一步的,可信网络中,终端之间的通信方法为:定义进行通信的两个终端分别为终端A和终端B,终端A在业务中心获取终端B的全地址后,向终端B发起访问请求,通过管理中心确认访问目标终端B是否能访问,若是,则发起访问,并经过路由云已配置规则检查判断是否允许访问,在允许的条件下,通过定制(将认证过程中的挑战和应答帧中的数字串替换为标识认证技术生成的数字串,然后在接收端使用标识认证技术对该串进行标识认证校验,其它顺序不变)802.1x协议认证后访问终端B,终端B在经过访问权限验证后可回传数据;若终端B不允许访问,则终止访问请求。
进一步的,访问权限验证是根据访问控制名单进行,访问控制名单设置在终端与管理中心,访问控制名单是根据标识管理进行更新控制,即管理中心依据标识管理,对通过标识认证的终端,设定为允许可信网络中其它网络节点进行访问,否则设定为不可访问。
本发明的有益效果是,在现有公开IPV6标准上进行了创新,在网络层和会话层加入标识认证技术,实现不依靠DNS的组网方式,同时提供了可信、安全的网络管理体系。
附图说明
图1是自定义标准IPv6地址的生成方法;
图2是基于标识管理的终端组网及数据包传递流程示意图;
图3是可信网络中终端权限控制及会话过程示意图;
图4是实施例的设备组网示意图。
具体实施方式
下面结合附图和实施例,详细描述本发明的技术方案:
如图1所示,本发明中自定义的IPv6地址的生成规则,即终端IDN地址生成,是终端标识通过用户标识做散列定长算法取64位,终端开启后,在路由器段经由无状态配置机制自动补齐前64位,然后在对应的业务服务器(已知全IP)登记注册,即可以取到当前终端的64+64组成完整的IPV6格式IP,为了便于描述,在本发明中将自定义标准IPv6地址定义为cIPv6地址。本发明所提出的cIPv6地址生成方式,因为是基于终端标识的,从而为基于标识管理的网络构建与管理提供了基础。
如图2所示,在本发明中,终端IDN地址的管理方法是,通过终端主动申请或者管理中心添加标识的方式,获取cIPv6地址,然后在路由云中进行标准的IPV6路由配置管理,进行数据访问限制管理。由此可见,在终端加入网络的过程中,必须通过管理中心的标识管理,才能获得cIPv6地址,从而赋予了网络较为全面的管理权限,在这个过程中实现了终端地址和终端标识的绑定,并且生成的cIPv6地址与标准IPv6地址是兼容的,基于标识认证后,即可实现可信安全的网络组网。其中,路由云进行标准的IPV6管理,实现访问和访问限制。
如图3所示,为网络中会话建立过程的示意,以管理中心的标识管理为核心,设置访问控制白名单,白名单指允许访问控制的终端名单。终端A发起会话请求后,管理中心基于标识管理确认终端A的访问权限,在权限确认后更新访问控制白名单,如果终端A允许访问网络,通过路由云基于IPv6规则配置访问规则。管理中心可以直接对终端的访问权限进行管理。在终端与终端建立会话的过程中,终端A需要经过访问控制白名单和路由器访问规则的双重验证后,再通过定制的802.1x协议访问终端B,终端B同样需要经过白名单验证后,方可回传数据。
经过上述描述可知,基于本发明的组网方法,摆脱了DNS控制,在全网内可精准到任意主机,实现了:信任、安全、管理于一体的全面权限管理服务。
终端通过标识进行认证管理的具体方法是:
1)终端获取标识证书:以CPK标识认证技术体系为例,在定制网卡安全芯片中预置有一个带有设备标识的证书,网卡安装后,与指定地址(在终端软件中配置)的发证中心通讯,进行在线发证,以用户有意义的标识为基准,以中心标识加密,向发证中心申请用户标识证书,发证中心发证后,将证书用设备标识加密回传给网卡,网卡获取证书后解密验证后,将设备证书更新为有实际意义的用户标识证书;
2)终端地址的设定:用户启用网卡并获取用户标识证书成功后,根据用户标识采用本发明所述的方法计算出新的设备地址,将新地址向管理中心报告,并由管理中心加入路由的白名单。
终端进行身份认证的具体方法是:终端软件从定制网卡获取用户标识,并通过定制的802.1x协议(将认证过程中的挑战和应答帧中的数字串替换为标识认证技术生成的数字串,然后在接收端使用标识认证技术对该串进行标识认证校验,其它顺序不变)同指定的认证服务器(地址由终端软件配置)通讯,进行认证。
管理平台进行权限管理的具体方法是:业务管理平台根据用户的标识来配置访问权限,并根据对应的标识生成对应的IP地址并添加到路由器白名单中,在路由上使用白名单来允许有权限的用户进行访问。
实施例
本例中采用本发明的编址方法后,进行组网的示意图如图4所示,本例是使用H3C设备组网,整个交换、路由层用H3C的IRF进行虚拟,对终端而言,就是一个网,只需要在路由器上和终端上进行IPv6的无状态自动配置的设置即可(路由器端要设置全局单播地址,终端的后64位地址由定制网卡提供,从标识运算而来),然后通过路由器通告RA(routeradvertisement)报文或者路由器请求RS(router solicitation)报文取得自己的128位全地址,A访问B时,一种方法是直接访问设置好的存储在本地的B的IPv6地址,另外一种方法是A和B都根据它们的标识算出后64位地址,然后通过RA或RS取得128位全地址后,在指定的业务服务交换机上注册自己的标识和地址,寻址时即可通过业务服务交换机获取对方全地址,进行访问。
Claims (5)
1.基于标识管理的IPv6编址与组网方法,其特征在于,包括:
根据终端标识,使用散列定长算法生成64位长度的地址,再由该地址生成IPv6地址,将由终端标识生成的IPv6地址定义为cIPv6地址;
参与组网的终端,基于自身终端标识向管理中心发起请求,管理中心进行标识认证,通过认证后,生成匹配的cIPv6地址,并将cIPv6地址配置到路由云,终端基于标准IPv6规则与路由云进行通信;或者,管理中心添加标识并生成cIPv6地址配置给指定终端,将cIPv6地址配置到路由云,终端基于标准IPv6规则与路由云进行通信;
组网后的终端之间,在管理中心与路由云的访问规则控制下,通过直接寻址的方式进行通信;
所述管理中心进行标识认证的具体方法包括:
1)终端获取标识证书:在网卡安全芯片中预置有一个带有设备标识的证书,网卡安装后,与指定地址的发证中心通讯,进行在线发证,以用户有意义的标识为基准,以中心标识加密,向发证中心申请用户标识证书,发证中心发证后,将证书用设备标识加密回传给网卡,网卡获取证书后解密验证后,将设备证书更新为有实际意义的用户标识证书;终端软件从所述网卡获取所述用户标识证书,并通过定制的802.1x协议同指定的认证服务器通讯,进行认证;
2)终端地址的设定:用户启用网卡并获取用户标识证书成功后,根据用户标识计算出新的设备地址,将新地址向管理中心报告,并由管理中心加入路由的白名单。
2.根据权利要求1所述的基于标识管理的IPv6编址与组网方法,其特征在于,根据终端标识,生成cIPv6地址的具体方法为:标识做散列后取64位,路由器自动补齐前64位,通过64+64组成完整的IPV6格式IP。
3.根据权利要求2所述的基于标识管理的IPv6编址与组网方法,其特征在于,将组网生成的网络定义为可信网络,在可信网络中,终端与路由云的通信方法为:终端根据cIPv6地址获取源地址和目标地址,根据路由云配置的访问规则,利用标准IPv6的寻址规则传递数据包到路由云,路由云根据可信网络中已配置的cIPv6地址,将数据包传递到目标终端。
4.根据权利要求3所述的基于标识管理的IPv6编址与组网方法,其特征在于,可信网络中,终端之间的通信方法为:定义进行通信的两个终端分别为终端A和终端B,终端A在业务中心获取终端B的全地址后,向终端B发起访问请求,通过管理中心确认访问目标终端B是否能访问,若是,则发起访问,并经过路由云已配置规则检查判断是否允许访问,在允许的条件下,通过定制的802.1x协议认证后访问终端B,终端B在经过访问权限验证后可回传数据;若终端B不允许访问,则终止访问请求,所述定制的802.1x协议与标准的802.1x协议不同的地方是,在定制的802.1x协议中,将认证过程中的挑战和应答帧中的数字串替换为标识认证技术生成的数字串,然后在接收端使用标识认证技术对该数字串进行标识认证校验。
5.根据权利要求4所述的基于标识管理的IPv6编址与组网方法,其特征在于,访问权限验证是根据访问控制名单进行,访问控制名单设置在终端与管理中心,访问控制名单是根据标识管理进行更新控制,即管理中心依据标识管理,对通过标识认证的终端,设定为允许可信网络中其它网络节点进行访问,否则设定为不可访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011359484.0A CN114338522B (zh) | 2020-11-27 | 2020-11-27 | 基于标识管理的IPv6编址与组网方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011359484.0A CN114338522B (zh) | 2020-11-27 | 2020-11-27 | 基于标识管理的IPv6编址与组网方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338522A CN114338522A (zh) | 2022-04-12 |
| CN114338522B true CN114338522B (zh) | 2024-04-05 |
Family
ID=81031679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011359484.0A Active CN114338522B (zh) | 2020-11-27 | 2020-11-27 | 基于标识管理的IPv6编址与组网方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338522B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116963050B (zh) * | 2023-09-21 | 2023-11-28 | 明阳时创(北京)科技有限公司 | 一种基于端到端IPv6密码标识的可信通信方法及系统 |
| CN117459321B (zh) * | 2023-12-21 | 2024-03-08 | 明阳点时科技(沈阳)有限公司 | 一种端到端可信通信方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090014625A (ko) * | 2007-08-06 | 2009-02-11 | 삼성전자주식회사 | 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법 |
| CN106161077A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 接入汇聚装置和认证注册方法 |
| WO2017153990A1 (en) * | 2016-03-08 | 2017-09-14 | Protectivx Ltd. | System and method for device authentication using hardware and software identifiers |
| CN107707685A (zh) * | 2017-09-25 | 2018-02-16 | 清华大学 | 一种无线路由器访问控制方法 |
| CN108738013A (zh) * | 2017-04-18 | 2018-11-02 | 华为技术有限公司 | 网络接入方法、装置和网络设备 |
| CN110474995A (zh) * | 2019-09-17 | 2019-11-19 | 广东腾宇光讯网络科技有限公司 | 一种基于ipv6的智能物联网网关 |
| CN111314504A (zh) * | 2020-04-01 | 2020-06-19 | 江苏润和智融科技有限公司 | 一种电力传感设备虚拟化ip管理方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112016000122B1 (pt) * | 2013-07-05 | 2022-11-01 | Sgx As | Método e sistema relacionados à autenticação de usuário para acessar redes de dados |
| US10652012B2 (en) * | 2018-02-21 | 2020-05-12 | Verizon Patent And Licensing Inc. | Global identification of devices based on designated IPv6 address |
-
2020
- 2020-11-27 CN CN202011359484.0A patent/CN114338522B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090014625A (ko) * | 2007-08-06 | 2009-02-11 | 삼성전자주식회사 | 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법 |
| CN106161077A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 接入汇聚装置和认证注册方法 |
| WO2017153990A1 (en) * | 2016-03-08 | 2017-09-14 | Protectivx Ltd. | System and method for device authentication using hardware and software identifiers |
| CN108738013A (zh) * | 2017-04-18 | 2018-11-02 | 华为技术有限公司 | 网络接入方法、装置和网络设备 |
| CN107707685A (zh) * | 2017-09-25 | 2018-02-16 | 清华大学 | 一种无线路由器访问控制方法 |
| CN110474995A (zh) * | 2019-09-17 | 2019-11-19 | 广东腾宇光讯网络科技有限公司 | 一种基于ipv6的智能物联网网关 |
| CN111314504A (zh) * | 2020-04-01 | 2020-06-19 | 江苏润和智融科技有限公司 | 一种电力传感设备虚拟化ip管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338522A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| US9264397B2 (en) | Method and system for implementing a user network identity address provisioning server | |
| CA2413944C (en) | A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks | |
| JP5580401B2 (ja) | Imsベースのマルチメディアブロードキャスト及びマルチキャストサービス(mbms)におけるセキュリティキー管理 | |
| WO2012141555A2 (en) | Method and apparatus for providing machine-to-machine service | |
| US20090013380A1 (en) | Networks | |
| CN114338522B (zh) | 基于标识管理的IPv6编址与组网方法 | |
| WO2011044808A1 (zh) | 一种匿名通信的溯源方法及系统 | |
| JP2015507379A (ja) | Id/ロケータ分離ベースのネットワークにおいてネームレジストリ,ネットワークアクセスおよびデータ通信を安全に行う方法 | |
| US20060005010A1 (en) | Identification and authentication system and method for a secure data exchange | |
| WO2012130128A1 (zh) | 一种实现网络标识转换的方法、装置及系统 | |
| EP2456156B1 (en) | Attachment method and system with identifier and location splitting in next generation network | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| CN107071075A (zh) | 网络地址动态跳变的装置及方法 | |
| JP3616570B2 (ja) | インターネット中継接続方式 | |
| JP2004312482A (ja) | ネットワークシステム、網内識別子の設定方法、アクセス認証情報管理装置、そのプログラム、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体 | |
| CN117014887A (zh) | 多因素可验证的低功耗蓝牙设备IPv6地址自动配置方法和系统 | |
| US20230179582A1 (en) | Centralized management of private networks | |
| WO2011131002A1 (zh) | 身份管理方法及系统 | |
| US20230049547A1 (en) | Private network access | |
| US8621198B2 (en) | Simplified protocol for carrying authentication for network access | |
| EP1615402B1 (en) | Identification and authentication system and method for a secure data exchange | |
| US20220255905A1 (en) | Centralized management control lists for private networks | |
| CN117896177B (zh) | 一种基于IPv6密码标识的SRv6通信方法及系统 | |
| CN112702776B (zh) | 一种实现无线终端接入无线局域网的方法和无线接入点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230330 Address after: No. 89 Dongmen Street, Qingyang District, Chengdu City, Sichuan Province, 610014 Applicant after: Chen Xi Address before: 610200 scientific research complex building of yinhe.596 Park, 596 Yinhe Road, Huayuan community, Dongsheng sub district office, Shuangliu District, Chengdu City, Sichuan Province Applicant before: Chengdu hezong Zhilian Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240226 Address after: No. 1206, 12th Floor, Building 1, No. 8 Tianjiu North Lane, High tech Zone, Chengdu, Sichuan, 610000 Applicant after: Chengdu Fuxi Technology Co.,Ltd. Country or region after: Zhong Guo Address before: No. 89 Dongmen Street, Qingyang District, Chengdu City, Sichuan Province, 610014 Applicant before: Chen Xi Country or region before: Zhong Guo |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |