CN116668408A - 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 - Google Patents

一种IPv6容器云平台真实地址编码验证与溯源方法及系统 Download PDF

Info

Publication number
CN116668408A
CN116668408A CN202310956825.XA CN202310956825A CN116668408A CN 116668408 A CN116668408 A CN 116668408A CN 202310956825 A CN202310956825 A CN 202310956825A CN 116668408 A CN116668408 A CN 116668408A
Authority
CN
China
Prior art keywords
address
identity information
bit
service
micro
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310956825.XA
Other languages
English (en)
Other versions
CN116668408B (zh
Inventor
于俊清
文瑞彬
李冬
谢一丁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN202310956825.XA priority Critical patent/CN116668408B/zh
Publication of CN116668408A publication Critical patent/CN116668408A/zh
Application granted granted Critical
Publication of CN116668408B publication Critical patent/CN116668408B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2255Hash tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3009Header conversion, routing tables or routing tags
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种IPv6容器云平台真实地址编码验证与溯源方法及系统,属于网络安全领域,包括:地址生成与分配阶段、地址溯源阶段及对数据包源地址进行验证。在地址生成与分配阶段,优化身份信息编码方式,允许各机构灵活定义需要关联的身份信息;在地址溯源阶段,可以直接通过查询数据库进行地址溯源,省去密钥的生成管理以及匹配环节,避免了遍历密钥库带来的效率低下问题;在对数据包源地址进行验证过程中,在交换机中建立端口和IPv6地址绑定表,并在转发时根据绑定表对数据包进行匹配,丢弃源地址发生变化的数据包,保证数据报文真实可信。本发明能够提升地址编码的灵活性和安全性,并且避免资源浪费,以及提升溯源效率。

Description

一种IPv6容器云平台真实地址编码验证与溯源方法及系统
技术领域
本发明属于网络安全领域,更具体地,涉及一种IPv6容器云平台真实地址编码验证与溯源方法及系统。
背景技术
容器云平台面临的大部分安全威胁都来源于网络,例如分布式拒绝攻击,造成严重后果,威胁云平台安全。而现有网络溯源是通过查询日志或在网络包加入特殊标记,确定攻击来源。该溯源方式效率低下且准确性低,由于容器云采用的传统网络架构不对源地址进行编码和验证,难以建立身份和地址的对应关系,导致被攻击后网络溯源困难,无法识别攻击者身份,因而无法从根源上杜绝网络威胁。
目前网络溯源可以基于IPv4协议进行,但IPv4地址较短无法编码用户身份信息,因此地址溯源需要通过查询路由器日志或者经过路由器时在数据包中加入特殊标记,即包标记技术。根据路由器日志或数据包中的标记对经过的路由器逐级回溯,最终确定攻击者的IP来源。这种方法同样效率低下,对于大量的数据包无论是存储日志还是插入包标记,都需要消耗大量资源。而且逐级追溯的过程中,只要有一个节点出现故障,就会导致IP地址无法追溯。
当前已经有学者致力于IPv6协议下的网络溯源研究。IPv6地址一共128位,有充足的地址空间用于编码用户的身份信息,通过将IPv6地址进行编码使其与用户的身份信息相关联,可以通过IPv6地址直接追溯到攻击者的身份,进一步防御其后续攻击,从源头上去除网络威胁。但是现有IPv6编码与溯源方案存在一定的缺陷,无法与容器云平台完美契合,具体为:
(1)在地址编码阶段,现有的编码方案采用统一格式的身份标识(NID)对用户信息进行编码,而身份标识(NID) 必须满足三段式定义,当用户身份信息超过三部分时,需要将超过部分进行合并,使其满足三段式的定义,使得该编码方案灵活性不足,无法实现对编码方案的自定义。比如,按照“学校--学院--院系--个人”四部分关系取定义个体的时候,NID就需要对中间的两个关系进行合并,使其满足三段式的定义。另外,容器云地址分配对象不是整个服务或对应的用户,而是该服务对应的多个微服务备份(多个容器),现有的编码方案对单个微服务生成NID不具有现实意义,同时造成资源浪费。
(2)在地址溯源阶段,由于地址编码采用国际数据加密算法(IDEA)对称加密算法,为保证数据的安全性需要不停变换加密密钥,这带来了密钥的管理和匹配问题。具体地,在解析地址时,需要线性遍历密钥库,依次对地址解密直到匹配正确的密钥为止。这种解析方法效率过于低下,时间开销随着密钥的累积而线性增长。容器云管理大量IP地址,频繁遍历数据库进行解密会产生大量资源损耗和时间开销,使得溯源效率低。
发明内容
针对现有技术的缺陷和改进需求,本发明提供了一种IPv6容器云平台真实地址编码验证与溯源方法及系统,其目的在于提升地址编码的灵活性和安全性,并且避免资源浪费。
为实现上述目的,按照本发明的第一方面,提供了一种IPv6容器云平台真实地址编码验证与溯源方法,包括地址生成与分配阶段:
获取云平台为每个服务创建的微服务备份对应的用户身份信息,并为每个微服务生成对应的干扰项;
将所述用户身份信息与所述微服务对应的干扰项进行哈希计算,得到所述微服务对应的M位身份信息部分,M≤40;
存储所述微服务对应的干扰项、用户身份信息及M位身份信息部分至数据库,并生成N位数据索引,N≤24;将所述M位身份信息部分与所述N位数据索引拼接后作为所述微服务的IPv6地址后M+N位,并与前64位机构前缀组合,得到为所述微服务分配的IPv6地址。
进一步地,还包括地址溯源阶段:
根据待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中对应的用户身份信息。
进一步地,在所述地址溯源阶段还包括:
根据待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中对应的M位身份信息部分,并判断所述M位身份信息部分与所述待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,返回存储在所述数据库中对应的用户身份信息;
或/和,根据所述待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中的用户信息及对应的干扰项,将所述用户信息及对应的干扰项再次进行哈希计算,得到M位身份信息部分,判断所述M位身份信息部分与所述待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,返回存储在所述数据库中对应的用户身份信息。
进一步地,还包括对数据包中的源地址进行验证:
具有源地址验证功能的交换机获取每个端口相连微服务的IPv6地址和对应MAC地址信息,并将所述信息存入交换机设备信息表;
交换机转发数据包时,若数据包的源地址与所述交换机设备信息表中记录的IPv6地址一致,则交换机将所述数据包转发至对应的端口;否则,交换机丢弃所述数据包。
进一步地,将所述用户身份信息与所述微服务对应的干扰项进行哈希计算,包括:
对用户信息的每个字段依次赋予相应的权重,并进行加权求和;其中,每个所述用户信息包含n部分字段;
将求和后的结果与对应的干扰项进行异或运算,得到数字Z;
对所述数字Z进行哈希运算,取结果中的前M位作为所述M位身份信息部分。
进一步地,通过对所述微服务生成随机数作为所述微服务对应的干扰项。
按照本发明的第二方面,提供了一种IPv6容器云平台真实地址编码验证与溯源系统,包括:IPv6地址生成模块及用户身份管理模块;
所述IPv6地址生成模块用于获取云平台为每个服务创建的微服务备份对应的用户身份信息,并为每个微服务生成对应的干扰项;并将所述用户身份信息与所述微服务对应的干扰项进行哈希计算,得到所述微服务对应的M位身份信息部分,M≤40;
所述用户身份管理模块用于收集所述用户身份信息,并存储所述微服务对应的干扰项、用户身份信息及M位身份信息部分至数据库,并生成N位数据索引,N≤24;以及将所述M位身份信息部分与所述N位数据索引拼接后作为所述微服务的IPv6地址后M+N位,并与前64位机构前缀组合,得到为所述微服务分配的IPv6地址。
进一步地,所述用户身份管理模块还用于根据待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中对应的用户身份信息。
进一步地,还包括用于对数据包中的源地址进行验证的源地址验证模块;所述源地址验证模块中的交换机获取每个端口相连微服务的IPv6地址和对应MAC地址信息,并将所述信息存入交换机设备信息表;
交换机转发数据包时,若数据包的源地址与所述交换机设备信息表中记录的IPv6地址一致,则交换机将所述数据包转发至对应的端口;否则,交换机丢弃所述数据包。
按照本发明的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如第一方面任一项所述的方法。
总体而言,通过本发明所构思的以上技术方案,能够取得以下有益效果:
(1)本发明的方法,通过将用户身份信息与每个微服务生成对应的干扰项进行编码,得到每个微服务对应的M位身份信息部分,直接将用户身份信息及生成的N位数据索引嵌入到IPv6地址中,为每个微服务生成对应的真实IPv6地址。针对同一个服务对应的多个微服务,用户身份信息均相同,而每个微服务对应的干扰项不同,在实现为每个微服务分配真实IP地址的同时,也避免了为同一服务对应的多个微服务备份分别生成身份标识,避免了资源浪费;同时,本发明中用于表示用户身份的M位身份信息部分可以根据各机构的实际需要灵活调整所需IPv6用户部分的编码长度,并且用于生成M位身份信息的用户身份信息不需要使用和NID编码一样的统一格式,提升了地址编码的灵活性。
本发明使用哈希函数加干扰项的方式对用户信息进行加密,安全性也较好,由于干扰项的存在使得哈希算法无法通过彩虹表进行破解或验证,因此,为每个微服务生成的IPv6地址可以通过哈希算法进行真实性验证,同时无法被破解,安全性较高。
本发明的这种可变的编码方式也能够可以节省宝贵的地址编码位数,根据各机构的实际需要选择所需编码位数,多余的地址空间可以用于编码其它信息,避免资源浪费。
(2)进一步地,在进行地址溯源时,将待溯源的IPv6地址中的最后N位作为索引,直接通过查询数据库得到对应的用户身份信息,或者直接取出数据库中计算好的身份信息部分,与待溯源的IPv6地址中的M位身份信息部分进行比较,若二者相同说明地址真实有效,这种通过数据索引来查询用户身份信息的方式,为常数级时间复杂度的地址解析,同时,也省去密钥的生成管理以及匹配环节,避免了遍历密钥库带来的效率低下问题。
(3)进一步地,本发明的方法,在进行地址验证过程中,在交换机中建立端口和IPv6地址绑定表,并在转发时根据绑定表对数据包进行匹配,丢弃源地址发生变化的数据包,保证数据报文真实可信。
总而言之,本发明的方法针对容器云平台中多服务备份且高动态性的特点,通过对用户信息和干扰项进行编码,生成用于标识用户的M位身份信息部分,可以使各机构可以灵活定义IPv6地址关联的用户相关信息,而不仅仅是身份标识;并在IPv6地址中嵌入数据索引,能优化地址生成流程并降低地址解析的时间复杂度,可用于网络攻击后的快速溯源。
附图说明
图1为本发明实施例中的IPv6容器云平台真实地址编码流程图。
图2为本发明实施例中的IPv6地址解析流程图。
图3为本发明实施例中的地址生成分配与溯源示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图1-图2所示,本发明的IPv6容器云平台真实地址编码验证与溯源方法主要包括:地址生成与分配阶段和地址溯源阶段;
在地址生成与分配阶段,包括:
获取云平台为每个服务创建的多个微服务对应的用户身份信息,例如学号、电话、服务类型等;并为每个微服务生成对应的干扰项;其中,针对同一个服务创建的多个微服务对应的用户身份信息均相同。
采用地址生成算法,将用户身份信息与每个微服务生成对应的干扰项进行编码,得到该微服务对应的M位身份信息部分,M≤40;其中,地址生成算法为哈希算法,采用哈希加盐编码IPv6地址,具体地,本发明实施例中,采用加盐的SM3哈希对用户身份信息与每个微服务生成对应的干扰项进行哈希计算,取结果中的前40位作为身份信息部分。在其它实施例中,也可以采用其它的哈希函数,比如:128位的MD5算法、512位的whirlpool算法或SHA-3。
存储每个微服务对应的干扰项、用户身份信息及得到的M位身份信息部分至数据库,并生成N位数据索引,N≤24;将得到的M位身份信息部分与N位数据索引拼接在一起作为该微服务的IPv6地址的后M+N位,并与前64位机构前缀组合,得到为该微服务分配的IPv6地址。其中,IPv6地址前64位作为机构前缀,用于标识地址所属机构,由国家网络管理中心统一分配给各机构;后64位为用户部分,本发明的方法中,后M+N位包含用户身份信息和数据索引,M+N≤64。在本发明实施例中,以用户部分占满后64位为例,取40位身份信息部分和24位数据索引,一起构成IPv6后64位地址。
还包括:将每个微服务分配的IPv6地址返回至云平台,云平台为每个微服务分配对应的IPv6地址。
地址溯源阶段包括:
验证查询者是否满足地址溯源权限,当满足条件时,根据待溯源的IPv6地址中的数据索引查询得到对应存储在数据库的用户身份信息。
还包括在溯源过程中对查询安全性进行验证:根据待溯源的IPv6地址中的数据索引查询得到对应存储在数据库的M位身份信息部分,并判断该存储在数据库的M位身份信息部分与待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,说明待溯源的IPv6地址真实有效为本机构所生成的地址,返回存储的用户身份信息至查询者。否则,说明该地址为伪造地址,有攻击者试图用伪造的地址获取数据库中的用户信息,拒绝溯源请求。也即仅具有溯源权限的管理者才能对地址进行溯源,溯源地址必须为真实存在的编码地址,才能得到溯源结果。
或者根据待溯源的IPv6地址中的数据索引查询得到对应存储在数据库的用户信息及对应的干扰项,将用户信息及对应的干扰项再次通过哈希计算,得到M位身份信息部分,判断得到的M位身份信息部分与待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,返回存储的用户身份信息,否则拒绝溯源请求,如图2所示。
本发明的方法,在地址生成与分配阶段和地址溯源阶段,还包括对数据包中的源地址进行验证,具体包括:
具有源地址验证功能的交换机获取每个端口相连微服务的IPv6地址和对应MAC地址信息,并将该信息存入交换机设备信息表;
交换机转发时对数据包源地址进行验证,若源地址与交换机设备信息表中记录的IPv6地址一致,则交换机将该数据包转发至对应的端口;若源地址与交换机设备信息表中记录的IPv6地址不一致,意味着相连微服务中存在恶意程序,尝试伪造地址进行攻击,交换机丢弃该数据包,保证源地址的真实性,保证数据报文真实可信。
具体地,本发明实施例中,为每个微服务分配的IPv6地址的编码结构如下表1所示:
本发明的地址编码方法,身份信息和数据索引的长度是可变的,也即可以不需要占满全部的后64位用户部分,允许各个机构视情况自行定义所需要的位数。索引长度最长24位,约为1700万,除了少部分机构,绝大多数机构(例如学校、单位、公司)不需要管理这么庞大的数据库。假设该机构实际管理人数为x,其数据索引所需要的实际位数为/>表示向上取整,而所需位数一般小于24。IPv6地址中的身份信息部分仅用于验证地址的真实性,可以根据实际需要选择所需位数,并且直接根据数据索引在数据库中对身份信息进行查询,不再需要经过解密之后再进行比较,在溯源时,可以减小地址解析时间,提升溯源效率。
本发明的编码方法,通过将用户身份信息与每个微服务生成对应的干扰项进行编码,得到每个微服务对应的M位身份信息部分,直接将用户身份信息及生成的N位数据索引嵌入到IPv6地址中,为每个微服务生成对应的IPv6地址。针对同一个服务对应的多个微服务,用户身份信息均相同,而每个微服务对应的干扰项不同,在实现为每个微服务分配真实IP地址的同时,也避免了为同一服务对应的多个微服务备份分别生成身份标识,避免了资源浪费。
同时,本发明中用于编码的用户身份信息可以根据各机构的实际需要进行定义,并灵活调整所需IPv6用户部分的编码长度,不需要统一格式的NID编码,比如,本发明实施例中,对于每个IPv6地址,数据库中存储的信息如下表2所示。并且,本发明的这种可变的编码方式也能够可以节省宝贵的地址编码位数,根据各机构的实际需要选择所需编码位数,多余的地址空间可以用于编码其它信息;
数据库中存储着编码所需的用户身份信息、使用的随机干扰项和生成的身份信息部分。具体身份信息允许各机构自行定义,例如描述“学校--学院--院系--学生”的关系,其用户信息需要四部分,可以定义为学校A、学院B、院系C、学号D,依据实际情况灵活采集用户身份信息。具体地,假定每个用户信息包含n部分字段,根据n部分字段信息之间的关系,定义好用户信息后,对用户身份信息和对应的随机干扰项进行哈希计算的过程包括:
对n部分信息依次赋予相应的权重,并对各部分信息用对应的权重进行加权求和;本发明实施例中,为每部分信息依次赋予的权重;
将求和后的结果与对应的随机干扰项进行异或运算,得到数字Z;
对数字Z进行哈希运算,取结果中的前M位作为身份信息部分。
同时,本发明使用哈希函数加干扰项的方式对用户信息进行加密,安全性也较好,由于干扰项的存在使得哈希算法无法通过彩虹表进行破解或验证,因此,为每个微服务生成的IPv6地址可以通过哈希算法进行真实性验证,同时无法被破解,安全性较高。
在进行地址溯源时,将待溯源的IPv6地址中的最后N位作为索引,直接通过查询数据库得到对应的用户身份信息,或者直接取出数据库中计算好的身份信息部分,与待溯源的IPv6地址中的M位身份信息部分进行比较,若二者相同说明地址真实有效,这种通过数据索引来查询用户身份信息的方式,为常数级时间复杂度的地址解析,同时,也省去密钥的生成管理以及匹配环节,避免了遍历密钥库带来的效率低下问题。
具体地,容器云中的IPv6真实源地址验证实现分为两个阶段:地址生成与分配阶段以及地址溯源阶段,本发明实施例中,基于Kubernetes平台实现,以部署存储服务和计算服务为例,工作流程如图3所示。同一服务的微服务(pod)备份部署在一台云主机上,如pod编号1-3属于存储服务,pod编号4-6属于计算服务。云主机中的交换机为虚拟交换机,通过编写CNI(Container Network Interface)插件,实现不同Pod之间的通信隔离。具有源地址验证功能的交换机要实现负载均衡与地址验证的功能,需建立交换机设备信息表,表中保存pod接入端口、编码后的IPv6地址、MAC地址以及本时间段内的访问次数,如下表3所示;
设pod编号1、2、3连接交换机端口1、2、3,云主机1中的交换机设备信息表如表3所示。由表3可知接入端口1连接的pod对应IPv6地址是IPv6_addr1,MAC地址为MAC_addr1,本时间段内访问次数为N1次。除非pod失效需重新生成,否则交换机信息表记录的对应IPv6地址不能修改,当交换机收到的数据包的IPv6地址(源地址)与信息表中对应接口的IPv6地址不一致时,丢弃数据包,保证IPv6地址真实可信,防止攻击者使用伪造地址。对外提供服务时,优先考虑使用本时间段内访问次数较少的pod,实现负载均衡。
按照本发明的第二方面,提供了一种IPv6容器云平台真实地址编码验证与溯源系统,包括:IPv6地址生成模块、用户身份管理模块及源地址验证模块。
IPv6地址生成模块,用于获取云平台为每个服务创建的多个微服务对应的用户身份信息;并采用地址生成算法,将用户身份信息与每个微服务生成对应的干扰项进行编码,得到该微服务对应的M位身份信息部分,M≤40;其中,微服务对应的用户身份信息来自于用户身份管理模块。
用户身份管理模块,用于在地址生成与分配阶段收集用户身份信息;并存储IPv6地址生成模块返回的每个微服务对应的干扰项、用户身份信息及得到的M位身份信息部分,以及用户身份管理模块中的数据库生成N位数据索引,N≤24;将得到的M位身份信息部分与N位数据索引拼接在一起作为该微服务的IPv6地址的后M+N位,并与前64位机构前缀组合,得到为该微服务分配的IPv6地址。
用户身份管理模块,还用于在地址溯源阶段验证查询者是否满足地址溯源权限,当满足条件时,从待解析的IPv6地址(待溯源的IPv6地址)中取出前64位作为机构标识部分,以此查询该机构使用的数据库地址;根据待溯源的IPv6地址中的数据索引查询得到对应存储的用户身份信息;以及根据待溯源的IPv6地址中的数据索引查询得到对应存储的M位身份信息部分,并判断该存储的M位身份信息部分与待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,返回存储的用户身份信息。或者根据待溯源的IPv6地址中的数据索引查询得到对应存储在数据库的用户信息及对应的干扰项,并将其发送至IPv6地址生成模块,IPv6地址生成模块将用户信息及对应的干扰项再次通过哈希计算,得到M位身份信息部分,判断得到的M位身份信息部分与待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,返回存储的用户身份信息,否则拒绝溯源请求。
源地址验证模块,用于在地址生成与分配阶段和地址溯源阶段,对数据包中的源地址进行验证,具体验证方法参见上述实施例中对应的描述。
其中,IPv6地址生成模块、用户身份管理模块及源地址验证模块均部署在服务器上。
工作时,地址生成与分配过程如图3中的①-⑤:
①用户在容器云部署服务时向用户身份管理模块注册信息,注册通过后可以申请部署服务。云平台会按照用户要求生成多个pod备份,用户身份管理模块中的数据库为每个pod保存对应的用户信息;
②IPv6地址生成模块根据身份管理模块提供用户身份信息,为每个pod生成一个随机数作为该pod对应的随机干扰项,并结合用户身份信息一起进行哈希运算,本发明实施例中取其中40位作为IPv6中的身份信息部分;
③IPv6地址生成模块返回生成的40位身份信息部分,并保存在用户身份管理模块的数据库中,数据库生成24位数据索引与身份信息部分一起组成每个pod对应的IPv6地址中的用户部分,作为地址后64位,并加入各机构的IPv6前缀部分,组成完整的IPv6地址;
④用户身份管理模块向源地址验证模块中的交换机转发生成的IPv6地址和对应MAC地址,交换机将pod的IPv6地址和接入端口等信息存入交换机设备信息表;
⑤交换机向每个pod转发生成的IPv6地址,pod只能使用生成的地址进行通信,如果某个数据包的源地址与交换机设备信息表中的记录不符,意味着pod中恶意程序尝试伪造地址进行攻击,交换机丢弃该数据包。
地址溯源过程如图3中的⑥-⑧:
⑥某机构遭受到网络攻击,其安全检测系统捕捉到攻击者的IPv6地址(待溯源的IPv6地址),将攻击者的IPv6地址提交给安全管理员(查询者);
⑦安全管理员拥有地址溯源权限,根据攻击者IPv6地址中的机构前缀确定地址所属机构,向其用户身份管理模块发起溯源请求;
⑧用户身份管理模块收到溯源请求后,先对安全管理员的身份和权限进行验证。验证通过后,取出其提交IPv6地址(待溯源的IPv6地址)中的数据索引部分,作为数据库主键在数据库中查询该地址正确的身份信息部分;
同时,还可以对查询安全性进行验证:将正确的身份信息部分与待溯源的IPv6地址中嵌入的身份信息部分进行比较,只有相等时才返回用户的身份信息。
按照本发明的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,程序被处理器执行时实现如上述实施例中的IPv6容器云平台真实地址编码验证与溯源方法。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种IPv6容器云平台真实地址编码验证与溯源方法,其特征在于,包括地址生成与分配阶段:
获取云平台为每个服务创建的微服务备份对应的用户身份信息,并为每个微服务生成对应的干扰项;
将所述用户身份信息与所述微服务对应的干扰项进行哈希计算,得到所述微服务对应的M位身份信息部分,M≤40;
存储所述微服务对应的干扰项、用户身份信息及M位身份信息部分至数据库,并生成N位数据索引,N≤24;将所述M位身份信息部分与所述N位数据索引拼接后作为所述微服务的IPv6地址后M+N位,并与前64位机构前缀组合,得到为所述微服务分配的IPv6地址。
2.根据权利要求1所述的方法,其特征在于,还包括地址溯源阶段:
根据待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中对应的用户身份信息。
3.根据权利要求2所述的方法,其特征在于,在所述地址溯源阶段还包括:
根据待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中对应的M位身份信息部分,并判断所述M位身份信息部分与所述待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,返回存储在所述数据库中对应的用户身份信息;
或/和,根据所述待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中的用户信息及对应的干扰项,将所述用户信息及对应的干扰项再次进行哈希计算,得到M位身份信息部分,判断所述M位身份信息部分与所述待溯源的IPv6地址中的M位身份信息部分是否相等,若相等,返回存储在所述数据库中对应的用户身份信息。
4.根据权利要求1-3任意一项所述的方法,其特征在于,还包括对数据包中的源地址进行验证:
具有源地址验证功能的交换机获取每个端口相连微服务的IPv6地址和对应MAC地址信息,并将所述信息存入交换机设备信息表;
交换机转发数据包时,若数据包的源地址与所述交换机设备信息表中记录的IPv6地址一致,则交换机将所述数据包转发至对应的端口;否则,交换机丢弃所述数据包。
5.根据权利要求1所述的方法,其特征在于,将所述用户身份信息与所述微服务对应的干扰项进行哈希计算,包括:
对用户信息的每个字段依次赋予相应的权重,并进行加权求和;其中,每个所述用户信息包含n部分字段;
将求和后的结果与对应的干扰项进行异或运算,得到数字Z;
对所述数字Z进行哈希运算,取结果中的前M位作为所述M位身份信息部分。
6.根据权利要求5所述的方法,其特征在于,通过对所述微服务生成随机数作为所述微服务对应的干扰项。
7.一种IPv6容器云平台真实地址编码验证与溯源系统,其特征在于,包括:IPv6地址生成模块及用户身份管理模块;
所述IPv6地址生成模块用于获取云平台为每个服务创建的微服务备份对应的用户身份信息,并为每个微服务生成对应的干扰项;并将所述用户身份信息与所述微服务对应的干扰项进行哈希计算,得到所述微服务对应的M位身份信息部分,M≤40;
所述用户身份管理模块用于收集所述用户身份信息,并存储所述微服务对应的干扰项、用户身份信息及M位身份信息部分至数据库,并生成N位数据索引,N≤24;以及将所述M位身份信息部分与所述N位数据索引拼接后作为所述微服务的IPv6地址后M+N位,并与前64位机构前缀组合,得到为所述微服务分配的IPv6地址。
8.根据权利要求7所述的系统,其特征在于,所述用户身份管理模块还用于根据待溯源的IPv6地址中的N位数据索引查询所述数据库,得到存储在所述数据库中对应的用户身份信息。
9.根据权利要求7或8所述的系统,其特征在于,还包括用于对数据包中的源地址进行验证的源地址验证模块;所述源地址验证模块中的交换机获取每个端口相连微服务的IPv6地址和对应MAC地址信息,并将所述信息存入交换机设备信息表;
交换机转发数据包时,若数据包的源地址与所述交换机设备信息表中记录的IPv6地址一致,则交换机将所述数据包转发至对应的端口;否则,交换机丢弃所述数据包。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-6任一项所述的方法。
CN202310956825.XA 2023-08-01 2023-08-01 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 Active CN116668408B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310956825.XA CN116668408B (zh) 2023-08-01 2023-08-01 一种IPv6容器云平台真实地址编码验证与溯源方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310956825.XA CN116668408B (zh) 2023-08-01 2023-08-01 一种IPv6容器云平台真实地址编码验证与溯源方法及系统

Publications (2)

Publication Number Publication Date
CN116668408A true CN116668408A (zh) 2023-08-29
CN116668408B CN116668408B (zh) 2023-10-13

Family

ID=87712251

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310956825.XA Active CN116668408B (zh) 2023-08-01 2023-08-01 一种IPv6容器云平台真实地址编码验证与溯源方法及系统

Country Status (1)

Country Link
CN (1) CN116668408B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040943A (zh) * 2023-10-10 2023-11-10 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070071899A (ko) * 2005-12-30 2007-07-04 경희대학교 산학협력단 IPv6 네트워크에서 IP를 역추적하는 방법
CN101610255A (zh) * 2009-07-10 2009-12-23 清华大学 基于密码学生成地址的源地址验证装置
US20110099252A1 (en) * 2009-10-23 2011-04-28 Prasanth Jose Network address allocation
CN102447694A (zh) * 2011-11-03 2012-05-09 富春通信股份有限公司 一种IPv6网络虚假源地址数据包追溯方法和装置
CN110266518A (zh) * 2019-05-22 2019-09-20 清华大学 基于SDN的IPv6地址溯源方法、装置与电子设备
US20200252377A1 (en) * 2019-02-05 2020-08-06 Cisco Technology, Inc. Facilitating user privacy in communications involving semantic-bearing ipv6 addresses
CN112997576A (zh) * 2018-11-01 2021-06-18 上海诺基亚贝尔股份有限公司 Iab系统中的ipv6地址管理
WO2021254897A1 (en) * 2020-06-15 2021-12-23 Signify Holding B.V. An efficient method for mapping between a local short address and a long ip address
CN113923186A (zh) * 2020-06-22 2022-01-11 华为技术有限公司 Ipv6网络通信方法、装置及系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070071899A (ko) * 2005-12-30 2007-07-04 경희대학교 산학협력단 IPv6 네트워크에서 IP를 역추적하는 방법
CN101610255A (zh) * 2009-07-10 2009-12-23 清华大学 基于密码学生成地址的源地址验证装置
US20110099252A1 (en) * 2009-10-23 2011-04-28 Prasanth Jose Network address allocation
CN102447694A (zh) * 2011-11-03 2012-05-09 富春通信股份有限公司 一种IPv6网络虚假源地址数据包追溯方法和装置
CN112997576A (zh) * 2018-11-01 2021-06-18 上海诺基亚贝尔股份有限公司 Iab系统中的ipv6地址管理
US20200252377A1 (en) * 2019-02-05 2020-08-06 Cisco Technology, Inc. Facilitating user privacy in communications involving semantic-bearing ipv6 addresses
CN110266518A (zh) * 2019-05-22 2019-09-20 清华大学 基于SDN的IPv6地址溯源方法、装置与电子设备
WO2021254897A1 (en) * 2020-06-15 2021-12-23 Signify Holding B.V. An efficient method for mapping between a local short address and a long ip address
CN113923186A (zh) * 2020-06-22 2022-01-11 华为技术有限公司 Ipv6网络通信方法、装置及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
LEE, HCJ (LEE, HCJ): "《On the issues of IP traceback for IPv6 and mobile IPv6》", 《 EIGHTH IEEE INTERNATIONAL SYMPOSIUM ON COMPUTERS AND COMMUNICATION, VOLS I AND II, PROCEEDINGS》 *
于俊清: "《A scalable flow rule translation implementation for software defined security》", 《THE 16TH ASIA-PACIFIC NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM》 *
陈越;贾洪勇;谭鹏许;邵婧;: "基于流认证的IPv6接入子网主机源地址验证", 通信学报, no. 01 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117040943A (zh) * 2023-10-10 2023-11-10 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置
CN117040943B (zh) * 2023-10-10 2023-12-26 华中科技大学 基于IPv6地址驱动的云网络内生安全防御方法和装置

Also Published As

Publication number Publication date
CN116668408B (zh) 2023-10-13

Similar Documents

Publication Publication Date Title
CN112926982B (zh) 一种交易数据处理方法、装置、设备及存储介质
Zawoad et al. SecLaaS: secure logging-as-a-service for cloud forensics
Yang et al. RIHT: a novel hybrid IP traceback scheme
CN105164971A (zh) 具有额外安全性的用于低熵输入记录的核验系统和方法
CN116668408B (zh) 一种IPv6容器云平台真实地址编码验证与溯源方法及系统
CN113326317A (zh) 基于同构多链架构的区块链存证方法及系统
CN108259461B (zh) 一种在分布式网络中实现可信匿名访问的方法和系统
CN114449363B (zh) 一种基于IPv6的可编码可溯源的数字对象管控方法
CN114389835A (zh) 一种IPv6选项显式源地址加密安全验证网关及验证方法
CN117040943B (zh) 基于IPv6地址驱动的云网络内生安全防御方法和装置
CN114448936A (zh) 一种基于IPv6可编码可溯源的网络传输规则验证方法
CN116684869B (zh) 一种基于IPv6的园区无线网可信接入方法、系统及介质
Aghaei-Foroushani et al. On evaluating ip traceback schemes: a practical perspective
CN106302859A (zh) 一种dnssec否定应答的响应及处理方法
Sunitha et al. Key Observation to Prevent IP Spoofing in DDoS Attack on Cloud Environment
Indhumathil et al. Third-party auditing for cloud service providers in multicloud environment
Subbulakshmi et al. Attack source identification at router level in real time using marking algorithm deployed in programmable routers
EP3512159A1 (en) Method, platform and system for ensuring auditability of an immutable digital transaction
CN112422483B (zh) 一种用于泛在电力物联网的身份保护策略
CN113094373B (zh) 资源目录管理方法及装置
CN116383789B (zh) 基于个人信息服务系统的信息交互方法
CN113315764B (zh) 防arp攻击的数据包发送方法、装置、路由器及存储介质
He et al. SAV6: A Novel Inter-AS Source Address Validation Protocol for IPv6 Internet
CN109657447B (zh) 一种设备指纹生成方法及装置
Ma et al. Anonymity on Byzantine-Resilient Decentralized Computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant