CN116436732A - 一种基于IPv6的数据网关装置及数据传输管控方法 - Google Patents

Abstract

本发明涉及通信与网络领域，具体涉及一种基于IPv6的数据网关装置及数据传输管控方法，数据网关装置分为用户单元和数据单元两部分，用户单元负责数据网关装置的用户管理，数据单元负责数据的处理、管控和溯源；数据传输管控方法包括：1、用户侧，普通用户通过用户单元注册成为装置内用户，装置内用户登录后，使用认证管理进行认证，使用地址管理模块进行地址分配；2、数据侧，装置内用户发起数据上传，数据单元对数据按顺序进行处理，得到使用IPv6地址标识的数据，供数据使用方访问。

Description

一种基于IPv6的数据网关装置及数据传输管控方法

技术领域

本发明涉及通信与网络领域，具体涉及一种基于IPv6的数据网关装置及数据传输管控方法。

背景技术

在数字时代，数据已经成为人类的另一种生存方式。个人、群体和社会的许多行为和心理都可以通过数据反映出来。通过大量的数据，人们可以找到看似不相关的因素之间的相关性，系统地了解社会运行的整体情况，分析隐藏在各种信息背后的问题。数据已成为与物质和人力资源同等重要的基本生产资源。这些数据从小的角度会影响一个人的隐私保护，从大的角度会影响一个国家的安全。过去，互联网用户在跨境交换数据时，没有注意到数据交换的过程，这将带来严重的后果。

目前传统的数据安全网关主要通过数据安全防护技术实现，用于实现数据内容的访问控制、访问审计、动态脱敏等。数据安全网关部署于数据访问的客户端和数据存储之间，通过识别访问者身份、位置、行为，同时依靠对被访问对象的全面认知，提供统一的、细粒度的访问控制能力，该技术广泛的用于大数据平台的安全防护、数据库安全防护。普遍采用反向代理技术，通过代理数据库或者数据存储协议实现对数据的安全访问、细粒度审计、动态脱敏等安全控制。

这些数据网关均基于IPv4协议实现，因为IPv4地址数量的局限性，同一局域网内，用户共用同一个IP地址，无法做到精确溯源，虽然NAT技术弥补了这一缺陷，但是增加了系统的复杂性，减少了系统执行的效率。同时，使用IPv4会导致监管侧更难处理，复杂的网络拓扑在溯源上也带来了人力资源上的浪费。由于基于IPv4的第一代互联网在地址方面遇到发展瓶颈，于是国际标准组织(IETF)从20世纪90年代初，开始进行“下一代网络互连协议”(IPng)的研究，并提出了IPv6协议。如今，物联网、云计算等新兴技术的应用使得IPv6的应用也越来越广泛，致使要求当前的数据网关必须支持IPv6，同时在个人隐私信息的管理要求也愈发强烈。

发明内容

本发明公开了一种基于IPv6的数据网关装置，优选地，所述装置分为用户单元和数据单元两部分，用户单元负责数据网关装置的用户管理，数据单元负责数据的处理、管控和溯源。

优选地，所述用户单元包括用户编码模块和认证管理-地址管理模块；其中，用户编码模块用来维护用户的信息，认证管理-地址管理模块用来在网络接入设备和认证服务器之间进行认证、授权和配置。

优选地，所述的用户编码模块管理的用户信息包括：用户名、密码、邮箱、手机号、用户真实姓名、证件类型、证件号、和mac地址，由上述信息生成的用户的128位IPv6地址结构如下：最高位的固定3位，全局路由字段，子网ID字段这三个字段共64位，组成了网络位置字段，用以表示用户所在的子网；后64位由用户的MAC地址和用户名生成，生成的方法包括SHA1、SHA256和RSA，以保证其唯一性。

优选地，所述的认证管理-地址管理模块将DHCP与RADIUS结合，RADIUS做认证，DHCP做地址分配，从而确定数据网关中用户的固定IP地址。

本发明所述的基于IPv6的数据网关装置，所述数据单元包括：

数据分类分级模块，用于根据数据内容进行分类分级；

地址段分配模块，用于构建IPv6地址段和数据等级的对应关系；

数据编码模块，用于对数据进行预处理和数据编码；

域名模块，用于建立域名和IP地址的对应关系。

本发明公开了一种基于IPv6的数据传输管控方法，使用所述的基于IPv6的数据网关装置，该方法具体包括以下步骤：

步骤1：用户侧，普通用户通过用户单元注册成为装置内用户，装置内用户登录后，使用认证管理进行认证，使用地址管理模块进行地址分配；

步骤2：数据侧，装置内用户发起数据上传，数据单元对数据按顺序进行处理，得到使用IPv6地址标识的数据，供数据使用方访问。

优选地，所述步骤1具体分为以下步骤：

步骤1.1：用户注册，用户需提供用户名、密码、邮箱、手机号、用户真实姓名、证件类型、证件号、和mac地址进行注册；

步骤1.2：用户信息上传，管理用户接收到用户信息后，经过审核，将用户注册信息上传至用户编码模块；

步骤1.3：生成用户标识与IPv6地址，用户编码模块对用户的Mac地址和用户名使用哈希算法，算法包括SHA1、RSA和SHA256，生成用户标识，截取用户标识前64位，与64位IPv6的路由前缀组合，形成一个128位的字符串，并按照IPv6格式重新生成IPv6地址；

步骤1.4：用户信息存入数据库，用户编码模块发起存储请求，携带以下信息：Mac地址和步骤1.3生成的IPv6地址，数据库收到存储请求，将用户的Mac地址和IPv6地址存入dhcp数据库中，其中表ipv6_reservations存储IPv6地址，表hosts存储Mac地址，通过host_id进行关联；

步骤1.5：用户身份认证，用户在装置网络内既定的主页登录，并发起身份验证，携带内容为步骤1.1所述的用户名和密码；

步骤1.6：认证数据库校验，认证管理模块接收到用户验证请求，向后端数据库发起校验请求，数据库根据用户名和密码进行匹配，查询Mac地址是否匹配，并返回消息至认证管理模块；

步骤1.7：身份转变，认证管理模块收到数据库返回的结果信息，判断是否通过认证，若认证通过，用户身份变为装置内用户；

步骤1.8：IP地址分配请求，装置内用户发起IP地址分配请求，地址管理模块接收到分配请求，将请求转发至数据库；

步骤1.9：数据库分配IPv6地址，数据库根据装置内用户的Mac地址查询IP地址，并发送与之对应的IPv6地址至地址管理模块，地址管理模块将IPv6地址下发至用户终端。

优选地，所述步骤2具体可以分为以下步骤：

步骤2.1：上传数据，装置内用户发起上传数据请求，数据不限格式；

步骤2.2：数据分类分级，数据分类分级模块接收到数据请求后，根据一般数据、重要数据、核心数据的划分将数据分为不同类型；

步骤2.3：下发不同地址段，地址段分配模块根据数据等级划分，下发数据等级标识至数据编码模块；

步骤2.4：生成数据编码、IPv6地址和域名，数据经过分类分级后，由数据编码模块继续处理，首先使用SHA1、RSA和SHA256其中一个算法对数据生成hash编码，此编码为数据标识，并截取前64位，按照IPv6地址后64位的格式重新生成编码，并与地址段分配模块下发的地址段组合，生成新的IPv6地址，域名根据数据的名称按照punycode转码为格式正确的域名；

步骤2.5：更新域名映射，数据编码模块生成的域名和地址一一对应，使用nsupdate的方式将域名与地址更新至域名模块，为查询做准备；

步骤2.6：生成访问规则，数据编码模块根据装置内用户定义的数据访问传输规则生成web服务器的访问传输规则，并上传至web服务器；

步骤2.7：反向代理，web服务器在接收到数据访问规则后，将规则添加至nginx代理配置中，即实现数据的访问白名单功能；

步骤2.8：访问，数据的所有配置配置完成后，数据使用方可以使用生成的数据IPv6地址访问对应数据，如果该数据的数据使用方不在白名单内，会出现forbidden的提示。

本发明的优点在于，通对数据网关管理数据，对数据的进出进行精准的监管。相比于传统的单点防护的数据网关，本发明集数据全生命周期防护能力于一体，做到了用户认证、统一策略配置、统一资产管理。通过对数据进行管理、分类分级、数据打标，提取通用的数据安全防护策略。数据运营者可以通过本网关制定数据流动方向，强化授权流程、细粒度数据访问、数据隐私保护、访问行为审计、访问日志溯源，从而构建一个共建共享共治的数据网关体系。

附图说明

图1是一种基于IPv6的数据网关装置用户管理流程和数据管理流程示意图；

图2是用户的IP地址组成示意图；

图3是RADIUS的消息交互流程示意图；

图4是RADIUS的认证与地址分配的流程图；

图5是数据的放置与用户的所在位置示意图；

图6是DNS的查询流程示意图；

图7是EAP中继方式的802.1X认证流程示意图；

图8是用户ID、上传ID、文件ID关系图；

图9是接收者ID、上传ID、文件ID关系图。

具体实施方式

下面结合附图对本发明的实施例作详细说明，本实施例在以本发明技术方案为前提下进行实施，给出详细的实施方式和过程。但本发明的保护范围不限于下述的实施例。

现以某机构用于科研数据管控的科研系统的集成部署为例对本发明的具体实施方式进行详细说明。

数据网关的验证

本系统对信息安全要求严格，故在此场景中使用802.1X认证，802.1X认证具有以下优点：

对接入设备的性能要求不高。802.1X协议为二层协议，不需要到达三层，可以有效降低建网成本；

在未授权状态下，不允许与客户端交互业务报文，因此保证了业务安全。

802.1X认证系统为典型的Client/Server结构，包括三个组件：客户端、接入设备和认证服务器。

客户端通常是用户终端设备。客户端必须支持局域网上的可扩展认证协议(Extensible Authentication Protocol over LANs，EAPoL)，并且安装802.1X客户端软件(win10系统中已自带此方式)，从而使用户能够通过启动客户端软件发起802.1X认证。

接入设备通常是支持802.1X协议的网络设备。它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

认证服务器用于实现对用户进行认证、授权，即RADIUS服务器。

在用户终端安装802.1X客户端软件后，用户可向接入设备发起认证申请。接入设备和用户终端交互信息后，把用户信息发送到认证服务器进行认证。若认证成功，则接入设备打开与该用户相连的接口，允许其访问网络；若认证失败，则接入设备将不允许其访问网络。

802.1X认证系统使用可扩展认证协议(Extensible Authentication Protocol，EAP)来实现客户端、设备端和认证服务器之间的信息交互。EAP协议可以运行在各种底层，包括数据链路层和上层协议(如UDP、TCP等)，而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。

在客户端与接入设备之间，EAP协议报文使用EAPoL(EAP over LANs)封装格式，直接承载于LAN环境中。

在接入设备与认证服务器之间，采用EAP中继方式交互认证信息。接入设备对接收到的EAP报文不作任何处理，直接将EAP报文封装到RADIUS报文中，并将RADIUS报文发送给RADIUS服务器进行认证。EAP中继方式也被称为EAPOR(EAP over Radius)。EAP中继方式的优点是设备端处理更简单，支持更多的认证方法；缺点则是认证服务器必须支持EAP，且处理能力要足够强。EAP中继方式的802.1X认证流程如图7所示。

数据网关的用户验证

第一步：用户数据采集

用户通过用户编码模块进行数据采集，包括如下内容：

用户名：注册用户的昵称；

密码：用户的密码；

邮箱：用户邮箱；

手机号：用户的手机号码；

用户真实名称：用户身份证上的名称；

证件类型：身份证、护照、港澳居民来往内地通行证等；

证件号：与证件类型保持一致；

Mac地址：用户查询自己的终端设备后填写，必须与终端设备保持一致。

第二步：用户数据网关装置验证

用户身份的验证有两次，第一次为加载网关配置的验证。第二次为平台登录的验证。

用户在连接系统后，输入系统网关的认证信息，认证成功后显示连接成功。系统网关分配的了DHCP中存储的IP地址。

用户在登录系统时，会验证用户的个人信息。

第三步：用户数据的配置

用户数据存储与数据库中，验证时，系统会查询数据库是否有对应内容。数据库内容如表1。

第四步：用户数据在数据网关装置的验证

用户登录系统时，首先验证系统的用户名和密码。系统验证完成后验证平台身份。平台身份包括普通用户、管理员、数据保护官、数据保护委员会。用户根据自己的身份登录平台，根据数据库中的验证信息来保证用户的登录。

数据验证

第一步：数据采集

在加入加载网关配置后，用户需要上传自己维护的数据，并制定本次数据的发布策略。包括访问的方式、该数据的有效期、可访问的次数以及访问白名单。

第二步：访问数据的配置和放置

上传的数据通过数据编码平台进行计算，得到对应的HASH编码，并根据编码生成IPv6地址和域名。数据的位置存在于用户登录的节点所在位置。作为地点A用户，数据均放在地点A的节点上。存放位置为/usr/local/nginx/html/日期/路径下。

第三步：数据在用户网关装置的验证

编码后进入审核步骤，此步骤为专家审核，保证数据的安全合法性。审核通过后，数据编码平台将生成域名和IPv6地址更新至公网DNS服务器，保证全网可访问。数据使用方可通过生成的域名访问相关数据。数据持有方对数据仍有管理权，可随时终止此次数据共享。

数据持有方在共享数据后，规则内的用户均可在数据合规使用平台中使用数据。数据使用方被数据持有方授权后会在接收列表中看到数据持有方的数据，根据访问规则，使用方可以下载该数据。同时记录本次动作，保证数据的可追溯性。

如果使用方违规将数据使用的链接转发至其他未被授权的用户，NGINX作为反向代理，会在访问规则中将授权的用户加入白名单，其他用户均在黑名单中，所以违规用户在访问该数据时，会出现403禁止访问的提示，避免了数据的滥用。

用户和数据的关联是通过数据打标的方式实现的。如用户在地点B上传了一次数据，本次数据包括多个文件。此时，此次上传与此次上传的文件均属于本用户。用户ID关联上传ID，上传ID关联文件ID，关系如图8所示。

用户访问数据的权限配置由数据拥有者指定，及接收人及数据的使用方式。根据本次发布的权限关联，关系如图9。

用户访问某个文件时，在数据网关的判断流程如下：首先判断此用户是否为系统内数据网关的用户；然后判断是否为此平台的用户，如果是，需确定用户身份，以赋予用户相应的权限；权限确定后，需要判断用户是否被指定为此次发布的接收人，如果是及可访问此次发布的所有内容。

访问数据在系统中会根据配置文件中的配置进行验证。其中，配置文件的过滤格式如下：

Listen为数据标识字段，2001:C3:0:2C6A:a7a3:ab83:d45c:e3d6为计算出的数据A的标识地址，通过此地址访问改数据。Allow字段后的地址为该策略的白名单，其他地址均为黑名单。

Claims (8)

1.一种基于IPv6的数据网关装置，其特征在于，所述装置分为用户单元和数据单元两部分，用户单元负责数据网关装置的用户管理，数据单元负责数据的处理、管控和溯源。

2.根据权利要求1所述的基于IPv6的数据网关装置，其特征在于，所述用户单元包括用户编码模块、认证管理模块和地址管理模块；其中，用户编码模块用来维护用户的信息，认证管理模块用来在网络接入设备和认证服务器之间进行认证、授权，地址管理模块用来给用户分配地址。

3.根据权利要求2所述的用户编码模块，其特征在于，该模块管理的用户信息包括：用户名、密码、邮箱、手机号、用户真实姓名、证件类型、证件号、和mac地址，由上述信息生成的用户的128位IPv6地址结构如下：最高位的固定3位，全局路由字段，子网ID字段这三个字段共64位，组成了网络位置字段，用以表示用户所在的子网；后64位由用户的MAC地址和用户名生成，生成的算法包括SHA1、RSA和SHA256，以保证其唯一性。

4.根据权利要求2所述的认证管理-地址管理模块，其特征在于，本模块将DHCP与RADIUS结合，RADIUS做认证，DHCP做地址分配，从而确定数据网关中用户的固定IP地址。

5.根据权利要求1所述的基于IPv6的数据网关装置，其特征在于，所述数据单元包括：

数据分类分级模块，用于根据数据内容进行分类分级；

地址段分配模块，用于构建IPv6地址段和数据等级的对应关系；

数据编码模块，用于对数据进行预处理和数据编码；

域名模块，用于建立域名和IP地址的对应关系。

6.一种基于IPv6的数据传输管控方法，其特征在于，使用权利要求1-5任意一项所述的基于IPv6的数据网关装置，该方法具体包括以下步骤：

步骤1：用户侧，普通用户通过用户单元注册成为装置内用户，装置内用户登录后，使用认证管理进行认证，使用地址管理模块进行地址分配；

步骤2：数据侧，装置内用户发起数据上传，数据单元对数据按顺序进行处理，得到使用IPv6地址标识的数据，供数据使用方访问。

7.根据权利要求6所述的一种基于IPv6的数据传输管控方法，其特征在于，所述步骤1具体可以分为以下步骤：

步骤1.1：用户注册，用户需提供用户名、密码、邮箱、手机号、用户真实姓名、证件类型、证件号、和mac地址进行注册；

步骤1.2：用户信息上传，管理用户接收到用户信息后，经过审核，将用户注册信息上传至用户编码模块；

步骤1.3：生成用户标识与IPv6地址，用户编码模块对用户的Mac地址和用户名使用哈希算法，算法包括SHA1、RSA和SHA256，生成用户标识，截取用户标识前64位，与64位IPv6的路由前缀组合，形成一个128位的字符串，并按照IPv6格式重新生成IPv6地址；

步骤1.4：用户信息存入数据库，用户编码模块发起存储请求，携带Mac地址和步骤1.3生成的IPv6地址，数据库收到存储请求，将用户的Mac地址和IPv6地址存入dhcp数据库中；

步骤1.5：用户身份认证，用户在装置网络内既定的主页登录，并发起身份验证，携带内容为步骤1.1所述的用户名和密码；

步骤1.6：认证数据库校验，认证管理模块接收到用户验证请求，向后端数据库发起校验请求，数据库根据用户名和密码进行匹配，查询Mac地址是否匹配，并返回消息至认证管理模块；

步骤1.7：身份转变，认证管理模块收到数据库返回的结果信息，判断是否通过认证，若认证通过，用户身份变为装置内用户；

步骤1.8：IP地址分配请求，装置内用户发起IP地址分配请求，地址管理模块接收到分配请求，将请求转发至数据库；

步骤1.9：数据库分配IPv6地址，数据库根据装置内用户的Mac地址查询IP地址，并发送与之对应的IPv6地址至地址管理模块，地址管理模块将IPv6地址下发至用户终端。

8.根据权利要求6所述的一种基于IPv6的数据传输管控方法，其特征在于，所述步骤2具体可以分为以下步骤：

步骤2.1：上传数据，装置内用户发起上传数据请求，数据不限格式；

步骤2.2：数据分类分级，数据分类分级模块接收到数据请求后，根据一般数据、重要数据、核心数据的划分将数据分为不同类型；

步骤2.3：下发不同地址段，地址段分配模块根据数据等级划分，下发数据等级标识至数据编码模块；

步骤2.4：生成数据编码、IPv6地址和域名，数据经过分类分级后，由数据编码模块继续处理，首先使用SHA1、RSA和SHA256其中一个算法对数据生成hash编码，此编码为数据标识，并截取前64位，按照IPv6地址后64位的格式重新生成编码，并与地址段分配模块下发的地址段组合，生成新的IPv6地址，域名根据数据的名称按照punycode转码为格式正确的域名；

步骤2.5：更新域名映射，数据编码模块生成的域名和地址一一对应，使用nsupdate的方式将域名与地址更新至域名模块，为查询做准备；

步骤2.6：生成访问规则，数据编码模块根据装置内用户定义的数据访问传输规则生成web服务器的访问传输规则，并上传至web服务器；

步骤2.7：反向代理，web服务器在接收到数据访问规则后，将规则添加至nginx代理配置中，即实现数据的访问白名单功能；

步骤2.8：访问，数据的所有配置配置完成后，数据使用方可以使用生成的数据IPv6地址访问对应数据，如果该数据的数据使用方不在白名单内，会出现forbidden的提示。

Images