CN116471338B - 一种基于SPACE6的协议转换技术的IPv6云转换平台 - Google Patents

Abstract

本发明提供了一种基于SPACE6的协议转换技术的IPv6云转换平台，运用于网络协议转换技术领域，其方法包括：为网站创建一个代理IP地址，使用所述代理IP地址代理网站与外界进行通信；为通信双方进行IP地址转换；为网站接收的请求数据包进行第一协议转换和内容过滤；为网站发送的响应数据包进行第二协议转换和载荷数据转换；使用云平台对通信数据包的协议进行转换，对内容进行过滤，对IP地址进行代理，在降低了协议转换成本，使网站中外链正常显示，完成了对网站服务器的保护。

Description

一种基于SPACE6的协议转换技术的IPv6云转换平台

技术领域

本发明涉及网络协议转换技术领域，特别涉及一种基于SPACE6的协议转换技术的IPv6云转换平台。

背景技术

SPACE6应用迁移技术适用于下一代互联网网络和业务发展领域，可解决IPv4网络和IPv6网络的内容互通问题，可协助互联网ICP、政府、高校、企业等机构在不修改现有网站系统的情况下，快速完成现有IPv4网站向IPv6网站的迁移，通过该技术，IPv6用户可以访问IPv4网站内容，IPv4用户也可以访问IPv6网站内容，并同时支持IP访问和域名访问。从而在一定程度上解决了因为IPv4网站短时间内无法转换成IPv6网站，而导致的IPv6应用匮乏、IPv6网络发展受阻的问题，并避免IPv4网络和IPv6网络对接过程中，对网络设备的依赖性，保证IPv4和IPv6主机之间的无缝互通。

在现有技术CN112383647A一种基于SPACE6和双栈技术的网络系统中，通过在所有的路由器和交换机上开启双栈技术，用户端经由交换机和路由器传送过来的不同地址对应的用户需求可在所述SPACE6平台进行转换，存在以下问题：

（1）该发明无法解决网站或应用中外链不支持IPv6的问题，该发明只将协议部分进行转换，当网站中有外链不支持IPv6，就会产生对应资源无法加载的问题；

（2）采用该技术，网站或应用需要针对两个协议栈各开发一套代码，同时，该发明依赖对路由器和交换机的配置，当网站服务器更换后，或设备发生故障更换新设备后，还要重新配置双栈协议，配置过程耗费人力，成本更高；

（3）该发明提出的双协议栈技术使应用或网站可能遭受到的网络攻击增加，尤其是封装在数据包的载荷数据中的恶意代码，在数据包解析完成时，恶意代码会对终端进行入侵，现阶段的安全防护技术还不成熟。

为此本发明提出一种基于SPACE6的协议转换技术的IPv6云转换平台。

发明内容

本发明的目的是提供一种基于SPACE6的协议转换技术的IPv6云转换平台，旨在解决现有技术通过在路由器和交换机配置双栈协议完成IPv4与IPv6通信导致的维护成本过高且需要对同一个应用开发出两套代码浪费开发人力，以及容易受到网络攻击、网站中存在外链不支持IPv6时资源无法加载的问题。

为实现上述目的，本发明提供如下技术方案：

本发明提供一种基于SPACE6的协议转换技术的IPv6云转换平台，包括：

S1：为网站创建一个代理IP地址，使用所述代理IP地址代理网站与外界进行通信；

S2：为通信双方进行IP地址转换；

S3：为网站接收的请求数据包进行第一协议转换和内容过滤；

S4：为网站发送的响应数据包进行第二协议转换和载荷数据转换。

进一步的，在为通信双方进行IP地址转换的步骤中，包括：

所述IP地址转换过程包括：将IPv4地址转换为16进制，点分隔的4部分变为冒号分隔的两部分，每部分占16个bit，在前面96个bit的位置用16进制的0填充，得到IPv4地址对应的IPv6地址。

进一步的，在为网站接收的请求数据包进行第一协议转换和内容过滤的步骤中，所述第一协议转换包括：

将IPv4协议转换为IPv6协议，或，将IPv6协议转换为IPv4协议；

所述将IPv4协议转换为IPv6协议的过程包括：截取IPv4请求数据包的网络层协议头得到IPv4头部字段，按照IPv6的协议规则将所述IPv4头部字段转换为IPv6字段；

所述将IPv6协议转换为IPv4协议的过程包括：截取IPv6请求数据包的网络层协议头得到IPv6头部字段，按照IPv4的协议规则将所述IPv6头部字段转换为IPv4字段；

所述内容过滤包括：对载荷数据进行静态检测和动态检测，若检测出恶意代码，则将请求数据包丢弃；记录载荷数据的出现的频率，若频率高于预设值，则判定为DDos攻击，则将请求数据包丢弃。

进一步的，在将IPv4协议转换为IPv6协议的步骤中，包括：

当所述请求数据包的网络层协议为IPv4，截取所述请求数据包的网络层协议得到：协议版本、服务类型、数据包长度、上层协议、TTL字段、32bit源IP地址、32bit目的IP地址、其他网络层协议字段、载荷数据；

将协议版本转换为IPv6，将服务类型字段填入IPv6协议的流量类型，将数据包长度减去40bit作为有效载荷字段的值，将上层协议字段填入nextheader字段，将TTL字段填入跳限制字段，将IPv4格式的32bit源IP地址转换为IPv6格式的128bit源IP地址，将IPv4格式的32bit目的IP地址转换为IPv6格式的128bit目的IP地址，将所述其他网络协议去除，对载荷数据进行内容过滤，将过滤结果设为流标签字段的值。

进一步的，在将IPv6协议转换为IPv4协议的步骤中，包括：

当所述请求数据包的网络层协议为IPv6，截取所述请求数据包的网络层协议得到：协议版本、流量类型、有效载荷长度、nextheader、跳限制、128bit源IP地址、128bit目的IP地址、流标签、其他网络层协议字段、载荷数据；

将协议版本转换为IPv4，将流量类型字段填入IPv4协议的服务类型，将有效载荷长度加上40bit作为数据包长度的值，将nextheader字段填入上层协议字段，将跳限制字段填入TTL字段，将IPv6格式的128bit源IP地址转换为IPv4格式的32bit源IP地址，将IPv6格式的128bit目的IP地址转换为IPv4格式的32bit目的IP地址，将IPv4的其他网络协议字段使用16进制的0填充，对载荷数据进行内容过滤，将过滤结果丢弃。

进一步的，在对载荷数据进行静态检测和动态检测，若检测出恶意代码，则将请求数据包丢弃；记录载荷数据的出现的频率，若频率高于预设值，则判定为DDos攻击，则将请求数据包丢弃的步骤中，包括：

所述静态检测的过程包括：将载荷数据进行反汇编得到汇编代码，从汇编代码中提取汇编指令、汇编函数，将所述汇编指令和汇编函数输入预训练的K-Means聚类算法模型中进行聚类得到静态检测结果；

所述动态检测的过程包括：创建一个虚拟机，将虚拟机置于沙箱环境，将载荷数据输入到虚拟机进行解析，若虚拟机被入侵，则判定载荷数据中包含恶意代码，并将所述请求数据包丢弃。

进一步的，在为网站发送的响应数据包进行第二协议转换和载荷数据转换的步骤中，包括：

所述第二协议转换包括：对网络层的IPv4与IPv6进行相互转换；将网络层协议统一转换为HTTPS协议；所述网络层协议统一转换为HTTPS协议包括：将载荷数据按照utf-8重新编码，并重新计算内容长度得到content-length字段的值；将响应数据发送的目标IP地址设在同源限制之外；重新设定缓存有效时间、缓存权限、缓存是否可更改得到cache-control字段的值；按照HTTPS协议规则重新设置响应码；将网站的CA证书打包入HTTPS数据包中；

所述载荷数据转换包括：解析载荷数据得到原始数据，从原始数据中提取链接并对链接进行IPv6支持度测试得到测试结果，根据测试结果对向链接导向的目标资源进行所述第二协议转换。

本发明提供了一种基于SPACE6的协议转换技术的IPv6云转换平台，具有以下有益效果：

（1）使用云平台对请求数据包和响应数据包进行网络层协议的转换，对网站的IP地址进行代理，无需对网站的硬件进行配置和维护，降低了IPv4和IPv6互相通信的成本；

（2）通过对响应数据包进行第二协议转换和载荷数据转换，所述第二协议转换在网络层IPv4与IPv6转换的基础上对应用层协议进行转换，将应用层协议转换为HTTPS协议，同时对载荷数据中的外链进行IPv6支持度测试，将不支持IPv6的外链资源同样进行第二协议转换，不仅使多种应用的数据能够适配网络请求，还确保了网站页面中不会因IPv6的支持度不够而出现资源无法加载的情况；

（3）通过对请求数据包的载荷数据进行过滤，通过预训练的K-Means聚类算法对载荷数据进行静态检测，在有恶意代码时将数据包丢弃，通过创建虚拟机并运行在沙箱模式中，对载荷数据进行动态检测，若虚拟机被入侵，则将请求数据包丢弃，保护了网站的服务器不受到网络攻击。

附图说明

图1为本发明一实施例的基于SPACE6的协议转换技术的IPv6云转换平台的流程示意图；

本发明为目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参考图1，为本发明提出的基于SPACE6的协议转换技术的IPv6云转换平台的流程示意图；

本发明所提供的基于SPACE6的协议转换技术的IPv6云转换平台，步骤包括：

S1：为网站创建一个代理IP地址，使用所述代理IP地址代理网站与外界进行通信；

S2：为通信双方进行IP地址转换；

S3：为网站接收的请求数据包进行第一协议转换和内容过滤；

S4：为网站发送的响应数据包进行第二协议转换和载荷数据转换。

在一个实施例中，在云平台上为一个只支持IPv4的网站进行协议转换，创建一个代理IPv6地址和代理IPv4地址，使网站的域名与代理IP地址对应记录在DNS服务器上，访问网站的请求数据包会根据DNS服务器的记录发送到云平台，经过云平台的协议转换和内容过滤再转发给网站的服务器，网站服务器发送的响应数据包也会先发送云平台，经过云平台进行协议转换和对其中的外链进行转换后，再发送给目标，通信过程中，向采用IPv6协议的终端发送IPv6数据包时，服务器的IP地址会转换为IPv6格式；接收请求数据包时，若请求数据包采用的是IPv6，则将IPv6协议字段转换为IPv4的协议字段，转换过程为：将两协议表相同含义的字段中的值进行搬运，对可转换的字段通过两者的区别进行转换，将IPv4采用但IPv6不再采用的字段打包在一起插入到载荷数据的前面；内容过滤的目的是检测出请求数据包中的载荷数据是否嵌入了恶意代码，检测方式分为静态检测和动态检测，静态检测的方式为：将载荷数据反汇编，从中提取汇编指令和汇编函数，对汇编指令和汇编函数进行特征提取得到对应的特征向量，将特征向量输入到K-Means聚类模型中进行聚类，若汇编指令和汇编函数的聚类结果与恶意代码一致，则判定数据包为网络攻击数据包，将其舍去；网站向外发送的数据包进行网络层协议转换的基础上，对应用层协议进行转换，使多种应用的应用数据包适配云平台发送的网络请求，对载荷数据进行检测，检测其中的外链是否支持IPv6协议，若不支持，对外链导向的资源包也进行协议转换，使网页不会出现资源无法加载的问题；通过云转换平台对双向数据包的协议转换和内容过滤、载荷数据转换，完成了网站与终端IPv4与IPv6的互通。

在为通信双方进行IP地址转换的步骤中，包括：

所述IP地址转换过程包括：将IPv4地址转换为16进制，点分隔的4部分变为冒号分隔的两部分，每部分占16个bit，在前面96个bit的位置用16进制的0填充，得到IPv4地址对应的IPv6地址。

在具体实施时，例如IPv4的一个地址为135.75.43.52，其十六进制形式表示为0x874B2B34，将点分隔变为冒号分隔后将其转化为等价的IPv6格式为0000:0000:0000:0000:0000:0000:874B:2B34，将0压缩可以得到等价的::874B:2B34。

在为网站接收的请求数据包进行第一协议转换和内容过滤的步骤中，所述第一协议转换包括：

将IPv4协议转换为IPv6协议，或，将IPv6协议转换为IPv4协议；

所述将IPv4协议转换为IPv6协议的过程包括：截取IPv4请求数据包的网络层协议头得到IPv4头部字段，按照IPv6的协议规则将所述IPv4头部字段转换为IPv6字段；

所述将IPv6协议转换为IPv4协议的过程包括：截取IPv6请求数据包的网络层协议头得到IPv6头部字段，按照IPv4的协议规则将所述IPv6头部字段转换为IPv4字段；

所述内容过滤包括：对载荷数据进行静态检测和动态检测，若检测出恶意代码，则将请求数据包丢弃；记录载荷数据的出现的频率，若频率高于预设值，则判定为DDos攻击，则将请求数据包丢弃。

在具体实施时，数据包包括头部字段和载荷数据字段，头部字段包括相关的协议信息，协议字段分为多个部分，每个部分的值表明了当前数据包的相关信息。

在将IPv4协议转换为IPv6协议的步骤中，包括：

当所述请求数据包的网络层协议为IPv4，截取所述请求数据包的网络层协议得到：协议版本、服务类型、数据包长度、上层协议、TTL字段、32bit源IP地址、32bit目的IP地址、其他网络层协议字段、载荷数据；

将协议版本转换为IPv6，将服务类型字段填入IPv6协议的流量类型，将数据包长度减去40bit作为有效载荷字段的值，将上层协议字段填入nextheader字段，将TTL字段填入跳限制字段，将IPv4格式的32bit源IP地址转换为IPv6格式的128bit源IP地址，将IPv4格式的32bit目的IP地址转换为IPv6格式的128bit目的IP地址，将所述其他网络协议去除，对载荷数据进行内容过滤，将过滤结果设为流标签字段的值。

在具体实施时，协议类型字段的值若为4，则说明是IPv4协议，若为6，则说明是IPv6协议，服务类型在有QoS差分服务要求时才起作用，数据包长度为整个数据包所占的总体大小，单位是bit，转换为IPv6数据包时，因为舍弃了一些字段，且IPv6中的对应字段为载荷数据大小，其值应为数据包大小减去舍去的字段大小，再减去协议字段所占空间，IPv4中的上层协议与IPv6中的nextheader含义相同，TTL字段与跳数限制含义相同，互相置换，源IP地址与目的IP地址根据格式进行转换填入相应位置。

在将IPv6协议转换为IPv4协议的步骤中，包括：

当所述请求数据包的网络层协议为IPv6，截取所述请求数据包的网络层协议得到：协议版本、流量类型、有效载荷长度、nextheader、跳限制、128bit源IP地址、128bit目的IP地址、流标签、其他网络层协议字段、载荷数据；

将协议版本转换为IPv4，将流量类型字段填入IPv4协议的服务类型，将有效载荷长度加上40bit作为数据包长度的值，将nextheader字段填入上层协议字段，将跳限制字段填入TTL字段，将IPv6格式的128bit源IP地址转换为IPv4格式的32bit源IP地址，将IPv6格式的128bit目的IP地址转换为IPv4格式的32bit目的IP地址，将IPv4的其他网络协议字段使用16进制的0填充，对载荷数据进行内容过滤，将过滤结果丢弃。

在具体实施时，IPv6数据包向IPv4数据包协议转换的过程与IPv4数据包向IPv6数据包转换的过程原理相同，方向相反，是互逆的过程，区别只在于，IPv6数据包在向IPv4数据包进行转换时，IPv4具备IPv6不具备的一些字段，这些字段的值用0填充。

在对载荷数据进行静态检测和动态检测，若检测出恶意代码，则将请求数据包丢弃；记录载荷数据的出现的频率，若频率高于预设值，则判定为DDos攻击，则将请求数据包丢弃的步骤中，包括：

所述静态检测的过程包括：将载荷数据进行反汇编得到汇编代码，从汇编代码中提取汇编指令、汇编函数，将所述汇编指令和汇编函数输入预训练的K-Means聚类算法模型中进行聚类得到静态检测结果；

所述动态检测的过程包括：创建一个虚拟机，将虚拟机置于沙箱环境，将载荷数据输入到虚拟机进行解析，若虚拟机被入侵，则判定载荷数据中包含恶意代码，并将所述请求数据包丢弃。

在具体实施时，在云平台快速复制出一个只包括linux内核的虚拟机，为该虚拟机分配足够的计算资源和存储资源，并将其屏蔽在其他资源之外，限制该虚拟机对云平台的权限，然后将载荷数据输入到虚拟机中，将载荷数据解析，若解析完成后虚拟机遭到入侵，则说明载荷数据中包含恶意代码，将对应的数据包丢弃，否则，说明该数据包正常，再转发至网站的服务器。

在具体实施时，K-Means聚类算法模型使用恶意代码和非恶意代码进行训练，根据训练结果对模型中各节点的权重进行调节，直至最终对代码的聚类结果准确度达到99%以上；反汇编后得到的汇编指令和汇编函数是能够调度系统资源的函数，能够对网站的服务器造成威胁，对其进行特征提取，提取到的特征包括：汇编指令的权限，指令的频率、汇编函数的类型、汇编函数的返回值，将这些值放在一个矩阵中形成对应的特征向量，再输入到训练好的K-Means模型中进行聚类，将聚类结果与恶意代码的类簇比对，若相同，则将该数据包丢弃。

在为网站发送的响应数据包进行第二协议转换和载荷数据转换的步骤中，包括：

所述第二协议转换包括：对网络层的IPv4与IPv6进行相互转换；将网络层协议统一转换为HTTPS协议；所述网络层协议统一转换为HTTPS协议包括：将载荷数据按照utf-8重新编码，并重新计算内容长度得到content-length字段的值；将响应数据发送的目标IP地址设在同源限制之外；重新设定缓存有效时间、缓存权限、缓存是否可更改得到cache-control字段的值；按照HTTPS协议规则重新设置响应码；将网站的CA证书打包入HTTPS数据包中；

所述载荷数据转换包括：解析载荷数据得到原始数据，从原始数据中提取链接并对链接进行IPv6支持度测试得到测试结果，根据测试结果对向链接导向的目标资源进行所述第二协议转换。

在具体实施时，云平台转换支持多种不同类型的网站，每种网站采用对应的系统，每个系统所采用的应用层协议可能不一致，对载荷数据的编码方式和压缩方式可能不一致，得到的载荷数据长度不一致，缓存的有效时间、缓存权限、缓存是否可更改都会因应用层协议不同而不同，从而对通信造成困难，云平台通过本方案将其转换为HTTPS协议，完成网站与终端的通信，其中CA证书采用原网站申请的CA证书。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其它相关的技术领域，均同理包括在本发明的专利保护范围内。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (4)

1.一种基于SPACE6的协议转换技术的IPv6云转换平台，其特征在于，所述IPv6云转换平台包括：

为网站创建一个代理IP地址，使用所述代理IP地址代理网站与外界进行通信；

为通信双方进行IP地址转换；

为网站接收的请求数据包进行第一协议转换和内容过滤；

为网站发送的响应数据包进行第二协议转换和载荷数据转换；

所述第一协议转换包括：

将IPv4协议转换为IPv6协议和/或将IPv6协议转换为IPv4协议；

所述将IPv4协议转换为IPv6协议的过程包括：截取IPv4请求数据包的网络层协议头得到IPv4头部字段，按照IPv6的协议规则将所述IPv4头部字段转换为IPv6字段；

所述将IPv6协议转换为IPv4协议的过程包括：截取IPv6请求数据包的网络层协议头得到IPv6头部字段，按照IPv4的协议规则将所述IPv6头部字段转换为IPv4字段；

所述内容过滤包括：对载荷数据进行静态检测和动态检测，若检测出恶意代码，则将请求数据包丢弃；记录载荷数据的出现的频率，若频率高于预设值，则判定为DDos攻击，则将请求数据包丢弃；

所述静态检测的过程包括：将载荷数据进行反汇编得到汇编代码，从汇编代码中提取汇编指令、汇编函数，将所述汇编指令和汇编函数输入预训练的K-Means聚类算法模型中进行聚类得到静态检测结果；

所述动态检测的过程包括：创建一个虚拟机，将虚拟机置于沙箱环境，将载荷数据输入到虚拟机进行解析，若虚拟机被入侵，则判定载荷数据中包含恶意代码，并将所述请求数据包丢弃；

所述第二协议转换包括：对网络层的IPv4与IPv6进行相互转换；将网络层协议统一转换为HTTPS协议；所述网络层协议统一转换为HTTPS协议包括：将载荷数据按照utf-8重新编码，并重新计算内容长度得到content-length字段的值；将响应数据发送的目标IP地址设在同源限制之外；重新设定缓存有效时间、缓存权限、缓存是否可更改得到cache-control字段的值；按照HTTPS协议规则重新设置响应码；将网站的CA证书打包入HTTPS数据包中；

所述载荷数据转换包括：解析载荷数据得到原始数据，从原始数据中提取链接并对链接进行IPv6支持度测试得到测试结果，根据测试结果对向链接导向的目标资源进行所述第二协议转换。

2.根据权利要求1所述的基于SPACE6的协议转换技术的IPv6云转换平台，其特征在于，在为通信双方进行IP地址转换的步骤中，包括：

所述IP地址转换过程包括：将IPv4地址转换为16进制，点分隔的4部分变为冒号分隔的两部分，每部分占16个bit，在前面96个bit的位置用16进制的0填充，得到IPv4地址对应的IPv6地址。

3.根据权利要求1所述的基于SPACE6的协议转换技术的IPv6云转换平台，其特征在于，在将IPv4协议转换为IPv6协议的步骤中，包括：

当所述请求数据包的网络层协议为IPv4，截取所述请求数据包的网络层协议得到：协议版本、服务类型、数据包长度、上层协议、TTL字段、32bit源IP地址、32bit目的IP地址、其他网络层协议字段、载荷数据；

将协议版本转换为IPv6，将服务类型字段填入IPv6协议的流量类型，将数据包长度减去40bit作为有效载荷字段的值，将上层协议字段填入nextheader字段，将TTL字段填入跳限制字段，将IPv4格式的32bit源IP地址转换为IPv6格式的128bit源IP地址，将IPv4格式的32bit目的IP地址转换为IPv6格式的128bit目的IP地址，将所述其他网络层协议去除，对载荷数据进行内容过滤，将过滤结果设为流标签字段的值。

4.根据权利要求1所述的基于SPACE6的协议转换技术的IPv6云转换平台，其特征在于，在将IPv6协议转换为IPv4协议的步骤中，包括：

当所述请求数据包的网络层协议为IPv6，截取所述请求数据包的网络层协议得到：协议版本、流量类型、有效载荷长度、nextheader、跳限制、128bit源IP地址、128bit目的IP地址、流标签、其他网络层协议字段、载荷数据；

将协议版本转换为IPv4，将流量类型字段填入IPv4协议的服务类型，将有效载荷长度加上40bit作为数据包长度的值，将nextheader字段填入上层协议字段，将跳限制字段填入TTL字段，将IPv6格式的128bit源IP地址转换为IPv4格式的32bit源IP地址，将IPv6格式的128bit目的IP地址转换为IPv4格式的32bit目的IP地址，将IPv4的其他网络协议字段使用16进制的0填充，对载荷数据进行内容过滤，将过滤结果丢弃。