一种基于IPv6的可编码可溯源的数字对象管控方法
技术领域
本发明属于互联网通信与网络安全技术领域,特别涉及一种基于IPv6的可编码可溯源的数字对象管控方法。
背景技术
互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力,要构建以数据为关键要素的数字经济。数字对象是数据的外在表现方式,当前为了保护重要数字对象不被其非法的利用,以及防止非法数字对象在互联网上流通,有必要对数字对象进行网络上的唯一标识,制定其编码和溯源方案。当前针对数字对象的编码和溯源的解决方案主要是在互联网的应用层进行的,为了保护数字对象的合理流动,一般通过WAF(应用层防火墙)、IDS(深度包检测)等技术,并消耗强大的计算存储能力才能实现一部分网络的防护和管控,且无法做到针对数字对象全网的追溯和细颗粒度的管控。
IPv6是IPv4的下一代版本,它使地址从原来的32位升级到了128位,总数为2-128个,这个空间大到无法想象,号称可以为全世界的每一粒沙子编上一个地址。传统意义上IP地址被用来分配给接入互联网的物理设备,如路由器、交换机、服务器、PC、手机等。物理设备的数量,制约了IP地址的使用量;理论上,一国网络基础设施基建规模和网民数量,是IP地址的使用上限。随着互联网的发展,在实际应用中,也出现了面向虚拟服务应用分配IP地址的案例,典型如虚拟机或CDN配置多个IP地址,向不同用户呈现不同目的IP地址。随着云计算和边缘计算模式的兴起,越来越多的IP地址将与网络空间中的虚拟实体、而非物理设施发生关联和绑定关系,这为我们探索IPv6地址在互联网业务应用和基础信息服务上的创新分配和应用提供了理论依据和应用基础,结合IPv6地址可赋予数字对象身份和属性标识的能力,
发明内容
本发明的目的是提出一种基于IPv6的可编码可溯源的数字对象管控方法,其特征在于,该方法通过对数字对象进行HASH运算,获得64位二进制编码,或16位16进制编码,利用获得的编码生成IPv6地址;同时使用这个IPv6地址作为访问该数据的路由地址;其中,数字对象是实体的图片、文档和视频数字对象,或是一个URL访问的数字对象;从而实现以数据内容为中心的网络,使用数字对象的对应的IPv6地址就可以访问数字对象对应的内容,并且在网络上实现从网络层就可以管控和溯源数字对象的传输,而不需要深度包检测来检测数据的应用层包数据;所述数据内容是IPv6地址空间为128位,其中前48位为数据服务器机构的网络前缀,后64位为数据内容的唯一标识,中间的16位用来做分类信息标记;
该可编码可溯源的数字对象管控包括对数据IPv6的统一编码、支持数据IPv6的新型域名系统和对数据IPv6传输规则进行网络验证管控;
所述对数据IPv6地址的统一编码,在对数据IPv6地址的统一编码中,用户身份信息、视频、音频、文档文件信息都是通过HASH映射到64位网络位置和后64位IPv6地址,形成内容标识信息,然后发送至AS0,在此与专家审核结果一起分别将标识信息发给对象信息数据库、将路由信息发给网络传输安全验证数据库和将文件发给AS1,AS2,AS3;后64位IPv6地址被用来存储内容标识信息;所述内容标识信息都是通过对内容标识信息进行HASH算法加密获得的;该内容标识信息为视频、音频、文档文件、或是用户的身份信息、或者硬件设备信息;通过使用MD5、SHA1、SHA224、SHA256、SHA384、SHA512对标识内容执行HASH算法后,获取到唯一的HASH编码,然后将获取到的HASH编码截取64位二进制作为内容标识,同时填充64位网络位置标识就成为完整的IPv6标识;将64位内容标识转换为16位进制后,加上所在内容标识的类型和所在域名区,就成为完整的域名标识;
所述支持数据IPv6的新型域名系统是对URL格式的数字对象进行标识,形成可编码可溯源的数字对象,生成对应的IPv6地址,通过对域名数据进行改造,实现IPv6地址的“实意性”,将数据URL映射到IPv6地址中,提供IPv6地址和所映射的数据URL之间的映射,便于生产服务流程中的自动化分配IPv6地址;同时还提供IPv6地址到数据URL的反向解析查询,即根据IPv6地址进行.ARPA反向解析查询到对应的数据URL;具体实现如下:针对数字对象为URL方式的数字对象,确定IPv6地址与数据URL之间的映射规则;因为IP地址本身是不具有语义的,为了实现基于IP地址的服务调度和管理,有必要将IP地址与数据对象URL及元数据描述进行映射,并提供查询。
所述对数据IPv6地址的统一编码的步骤;
步骤1,保证全网一致性,在系统中数据IPv6地址和其他IPv6地址一样可进行全网Unicast或Anycast广播,实现全球路由可达;
步骤2,保证IP地址唯一性,某数据的IPv6地址在一段合理的时间内是其全球唯一网络标识;
步骤3,保证可扩展性,在IP地址分配时,要有一定的余量,以满足网络扩展时的需要;并可充分利用IPv6协议报文的扩展选项进行额外信息的写入;
步骤4,保证连续性,分配的连续的IP地址要有利于管理和地址汇总,连续的IP地址易于进行路由汇总,提高路由的效率;
步骤5,保证实意性:在分配IP地址时尽量使所分配的IP地址具有实际意义,使用户、管理者可以通过命名规则得知此IPv6地址的含义。
所述完整的域名标识以SHA1算法加密一个视频文件予以说明,使用SHA1加密算法对视频文件V加密后获得了40位16进制的字符串:a7a3ab83d45ce3d6a631700005bd148bb483560d,从中截取前16位,即16位16进制字符串就是64位二进制字符串作为视频文件V的内容标识,如下表所示,
同时加上IPv6网络位置以及域名后缀后就可以获得对应的IPv6标识、域名标识;由此从网络层就可以管控和溯源数字对象的传输。
所述数据文件内容和数据来源追溯,可通过文件编码平台、数据网络对数据文件进行追溯;具体包括:(1)管理员向文件编码平台发送数据追溯指令;(2)文件编码平台在接收到指令后,对文件生成的HASH编码A;(3)解析得到域名A,并发送至DNS系统;(4)文件编码平台将生成的HASH编码A上传至数据网络中,访问http://[240c::A];(5)在数据网络中找到文件数据后返回至文件编码平台;(6)文件编码平台将所得到的文件数据来源、文件传输时的审核人、审核时间和文件传输的接收方的数据文件信息回传至系统管理员,完成对数字对象进行追溯与管控工作。
本发明有益效果是提出了一种新型IPv6地址分配和应用思路,将互联网业务应用和基础信息服务结合起来,不仅着眼于终端设备的IPv6地址分配,更要聚焦于设备所承载的上层应用及信息内容的IPv6地址分配规则,即将IPv6地址分配对象从物理设备数据扩展到网络空间的数字对象、尤其是多媒体数字对象(文字、图片、音频、视频等),斩断IPv6地址“位置标识”和“身份标识”,在“位置标识”和“身份标识”的之间建立映射关系,即从IPv6地址的分配规则上,明确IPv6地址所代表的数字对象,赋予监管部门从IPv6地址本身获知访问对象的身份和属性信息的能力。将IPv6数据地址映射到系统内部实际提供视频服务的IP地址,使得视频服务系统内部的拓扑结构并不需要重构。
附图说明
图1为对数据IPv6地址的统一编码的示意图。
图2为数据文件内容、数据来源追溯和数据监控;
图3为数据文件位置追溯。
具体实施方式
本发明提出一种基于IPv6的可编码可溯源的数字对象管控方法,该方法通过对数字对象进行HASH运算,获得64位二进制编码,或16位16进制编码,利用获得的编码生成IPv6地址;同时使用这个IPv6地址作为访问该数据的路由地址;所述数字对象是实体的图片、文档和视频数字对象,或是一个URL访问的数字对象;从而实现以数据内容为中心的网络,使用数字对象的对应的IPv6地址就可以访问数字对象对应的内容,并且在网络上实现从网络层就可以管控和溯源数字对象的传输,而不需要深度包检测来检测数据的应用层包数据;所述数据内容是IPv6地址空间为128位,其中前48位为数据服务器机构的网络前缀,后64位为数据内容的唯一标识,中间的16位用来做分类信息标记;
该可编码可溯源的数字对象管控由对数据IPv6的统一编码、支持数据IPv6的新型域名系统和对数据IPv6网络传输规则进行验证,实现数字对象网络传输的管控;下面结合附图对本发明予以进一步说明。
如图1所示为对数据IPv6地址的统一编码示意图;在对数据IPv6地址的统一编码中,用户身份信息、视频、音频、文档文件信息都是通过HASH映射到64位网络位置和后64位IPv6地址,形成内容标识信息,然后发送至AS0,在此与专家审核结果一起分别将标识信息发给对象信息数据库、将路由信息发给网络传输安全验证数据库和将文件发给AS1,AS2,AS3;后64位IPv6地址被用来存储内容标识信息;所述内容标识信息都是通过对内容标识信息进行HASH算法加密获得的;该内容标识信息为视频、音频、文档文件、或是用户身份信息、或者硬件设备信息;通过使用MD5、SHA1、SHA224、SHA256、SHA384、SHA512对标识内容执行HASH算法后,获取到唯一的HASH编码,然后将获取到的HASH编码截取64位二进制作为内容标识,同时填充64位网络位置标识就成为完整的IPv6标识;同时64位内容标识转换为16位进制后,加上所在内容标识的类型和所在域名区,就成为完整的域名标识;
所述完整的域名标识以SHA1算法加密一个视频文件予以说明,使用SHA1加密算法对视频文件V加密后获得了40位16进制的字符串:a7a3ab83d45ce3d6a631700005bd148bb483560d,从中截取前16位(即16位16进制字符串就是64位二进制字符串)作为视频文件V的内容标识,同时加上IPv6网络位置以及域名后缀后就可以获得对应的IPv6标识、域名标识;如下表所示,
所述对数据IPv6地址的统一编码的步骤包括;
步骤1,保证全网一致性,在系统中数据IPv6地址和其他IPv6地址一样可进行全网Unicast或Anycast广播,实现全球路由可达;
步骤2,保证IP地址唯一性,某数据的IPv6地址在一段合理的时间内是其全球唯一网络标识;
步骤3,保证可扩展性,在IP地址分配时,要有一定的余量,以满足网络扩展时的需要;并可充分利用IPv6协议报文的扩展选项进行额外信息的写入;
步骤4,保证连续性,分配的连续的IP地址要有利于管理和地址汇总,连续的IP地址易于进行路由汇总,连续的IP地址有利于路由汇聚,减少路由表的条目数,缩小路由表,提高路由的效率;
步骤5,保证实意性:在分配IP地址时尽量使所分配的IP地址具有实际意义,使用户管理者可以通过命名规则得知此IPv6地址的含义。
所述数据IPv6的新型域名系统,该数据IPv6的新型域名系统是对URL格式的数字对象进行标识,形成可编码可溯源的数字对象,生成对应的IPv6地址,通过对域名数据进行改造,使IPv6地址具有实际意义,将数据URL映射到IPv6地址中,提供IPv6地址和所映射的数据URL之间的映射,便于生产服务流程中的自动化分配IPv6地址;同时还提供IPv6地址到数据URL的反向解析查询,即根据IPv6地址进行.ARPA反向解析查询到对应的数据URL;具体实现如下:针对数字对象为URL方式的数字对象,确定IPv6地址与数据URL之间的映射规则;因为IP地址本身是不具有语义的,为了实现基于IP地址的服务调度和管理,有必要将IP地址与数据对象URL及元数据描述进行映射,并提供查询,实现对数字对象进行追溯;
如图2所示的数据文件内容、数据来源追溯和数据监控,可通过文件编码平台、数据网络(数据专网)对数据文件进行追溯。具体包括:(1)管理员向文件编码平台发送数据追溯指令,(2)文件编码平台在接收到指令后,对文件生成的HASH编码A;(3)解析得到域名A,并发送至DNS系统;(4)文件编码平台将生成的HASH编码A上传至数据网络(数据专网)中,访问http://[240c::A],(5)在数据网络中找到文件数据后返回至文件编码平台,(6)文件编码平台将所得到的文件数据来源、文件传输时的审核人、审核时间和文件传输接收方的数字对象管控信息回传至系统管理员,完成对数字对象进行追溯工作。
如图3所示数据文件位置追溯,可通过文件编码平台、数据网络(数据专网)对数据文件进行追溯。具体包括:(1)域内审查员查找文件,发送该文件编码平台,(2)文件编码平台在收到系统审查员发来的查找文件指令后,平台将文件生成HASH编码A,(3)将生成HASH编码A上传至数据网络,查找文件的域内节点,(4)由域内节点通过数据网络查找定位域外文件的节点,并通过数据网络返回至文件编码平台以及解析得到域名A发送至DNS;(5)文件编码平台将所得到的文件节点和位置返回至域内,审查员即可对数据文件位置进行追溯。