WO2014101041A1 - Ipv6地址溯源方法、装置和系统 - Google Patents

Abstract

提供一种IPV6地址溯源方法、装置和系统。该方法包括以下步骤：接收需要溯源的目的IPV6地址（201）；采用最长匹配方式选择与该目的IPV6地址匹配的IPV6地址信息，该IPV6地址信息包括IPV6地址或IPV6前缀信息（202）；以及获取该IPV6地址信息对应的用户标识（203）。本发明实现了IPV6地址的溯源。

Description

IPV6地址溯源方法、 装置和系统

技术领域

本发明涉及通信技术， 尤其涉及一种 IPV6地址溯源方法、 装置和系统。 背景技术

在网络应用中，有时需要根据用户上网所使用的 IP地址进行溯源；例如 , 一种典型的应用场景是： 当网络中出现非法言论时， 公安部门需要找到发布 该非法言论的嫌疑人， 根据嫌疑人在网站遗留的 IP地址， 通过 IP地址溯源， 就可以找到该嫌疑人的用户身份信息。

在现有的 IPV4网络中已经釆用关于 IPV4地址的溯源方法。 比如， 在家 庭宽带用户通过以太网承载 PPP协议 ( Point-to-Point Protocol over Ethernet, 简称： PPPOE )接入网络的过程中， 宽带远程接入服务器（ Broadband Remote Access Server, 简称： BRAS ) 负责将用户认证过程中输入的用户账号和密码 透传给认证鉴权计费 ( Authentication, Authorization and Accounting, 简称： AAA )服务器； 并在接收到 AAA服务器返回的认证通过的结果后为用户使 用的终端分配 IPV4地址。 并且， BRAS还会在计费流程中将上述用户账号和 IPV4地址上报至 AAA服务器，以使得 AAA服务器根据用户账号查找对应的 用户身份信息， 并建立 IPV4地址与用户身份信息的映射关系，从而在后续溯 源时就可以根据嫌疑人遗留的 IPV4地址找到其身份信息， 实现溯源。可以看 出， 在上述的地址溯源过程中， 是用户标识（比如上述的用户账号）将 IPV4 地址与用户身份信息联系起来的，因此在 IPV4地址溯源中关键是查找到与将 溯源的目标 IPV4地址对应的用户标识。

随着固定网络和移动网络 IPV6的大规模部署和商用， IPV6的相关系统 升级改造越来越受到重视， 其中， IPV6地址溯源作为 IPV6的重要安全特性 需要解决。 但是， 在现有 IPV4地址的溯源中， IPV4地址的结构和分配方式 都较为单一， IPV4地址的上报以及 AAA侧的溯源方法都是针对 IPV4地址设 计的； 而 IPV6地址的分配方式以及地址结构都较为复杂， 相比 IPV4有了较 大的变动， 比如分配的可能是 IPV6地址、 或者也可能是不定长度的 IPV6前 缀等。 现有的 IPV4地址溯源方式无法实现 IP V6地址的溯源。 发明内容

本发明提供一种 IPV6地址溯源方法、 装置和系统， 以实现 IPV6地址的 溯源。

第一方面， 提供一种 IPV6地址溯源方法， 包括：

接收需要溯源的目的 IPv6地址；

釆用最长匹配方式选择与所述目的 IPv6地址匹配的 IPv6地址信息， 所 述 IPv6地址信息包括 IPv6地址或 IPv6前缀信息；

获取所述 IPv6地址信息对应的用户标识。

结合第一方面， 在第一种可能的实现方式中， 在所述接收需要溯源的目 的 IPV6地址之前， 所述方法还包括： 接收接入设备发送的所述用户标识、 以 及与所述用户标识对应的所述 IPv6地址信息；保存所述用户标识与所述 IPv6 地址信息的对应关系。

结合第一方面的第一种可能的实现方式， 在第二种可能的实现方式中， 还包括： 根据所述用户标识获取自身存储的与所述用户标识对应的用户身份 信息， 并保存所述 IPV6地址信息、所述用户标识和所述用户身份信息之间的 映射关系； 所述获取所述 IPv6地址信息对应的用户标识之后， 还包括： 根据 所述映射关系， 获得与所述用户标识对应的所述用户身份信息。

结合第一方面的第一种可能的实现方式， 在第三种可能的实现方式中， 所述获取所述 IPv6地址信息对应的用户标识之后， 还包括： 根据所述用户标 识， 从认证服务器获取与所述用户标识对应的用户身份信息。

结合第一方面、 或者第一方面的第一种可能的实现方式至第三种可能的 实现方式中的任意一项，在第四种可能的实现方式中， 所述 IPV6前缀信息包 括如下的其中一项： IPV6前缀、 IPV6- PD前缀、 接口标识。

第二方面， 提供一种 IPV6地址溯源装置， 包括：

信息接收单元， 用于接收需要溯源的目的 IPv6地址；

地址匹配单元， 用于釆用最长匹配方式选择与所述目的 IPv6地址匹配的 IPv6地址信息 , 所述 IPv6地址信息包括 IPv6地址或 IPv6前缀信息；

溯源处理单元， 用于获取所述 IPv6地址信息对应的用户标识。 结合第二方面， 在第一种可能的实现方式中， 所述信息接收单元， 还用 于在所述接收需要溯源的目的 IPV6地址之前，接收接入设备发送的所述用户 标识、 以及与所述用户标识对应的所述 IPv6地址信息； 所述地址溯源装置还 包括： 映射建立单元， 用于保存所述用户标识与 IPv6地址信息的对应关系。

结合第二方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所述映射建立单元， 还用于根据所述用户标识获取自身存储的与所述用户标 识对应的用户身份信息， 并保存所述 IPV6地址信息、所述用户标识和所述用 户身份信息之间的映射关系； 所述溯源处理单元， 还用于在获取所述 IPv6地 址信息对应的用户标识之后， 根据所述映射关系， 获得与所述用户标识对应 的所述用户身份信息。

结合第二方面的第一种可能的实现方式， 在第三种可能的实现方式中， 所述溯源处理单元， 还用于在获取所述 IPv6地址信息对应的用户标识之后， 根据所述用户标识，从认证服务器获取与所述用户标识对应的用户身份信息。

结合第二方面、 或者第二方面的第一种可能的实现方式至第三种可能的 实现方式中的任意一项，在第四种可能的实现方式中， 所述 IPV6前缀信息包 括如下的其中一项： IPV6前缀、 IPV6- PD前缀、 接口标识。

第三方面， 提供一种 IPV6地址溯源系统， 包括： IPV6地址溯源装置； 所述 IPV6地址溯源装置， 用于接收需要溯源的目的 IPv6地址； 并釆用 最长匹配方式选择与所述目的 IPv6地址匹配的 IPv6地址信息， 所述 IPv6地 址信息包括 IPv6地址或 IPv6前缀信息； 以及， 获取所述 IPv6地址信息对应 的用户标识。

结合第三方面， 在第一种可能的实现方式中， 还包括： 接入设备； 所述接入设备，用于在所述 IPv6地址溯源装置接收需要溯源的目的 IPV6 地址之前， 向所述 IPv6地址溯源装置发送所述用户标识、 以及与所述用户标 识对应的所述 IPv6地址信息；

所述 IPv6地址溯源装置， 还用于保存所述用户标识与所述 IPv6地址信 息的对应关系。

结合第三方面的第一种可能的实现方式， 在第二种可能的实现方式中， 所述 IPv6地址溯源装置，还用于根据所述用户标识获取自身存储的与所述用 户标识对应的用户身份信息， 并保存所述 IPV6地址信息、所述用户标识和所 述用户身份信息之间的映射关系； 以及， 在获取所述 IPv6地址信息对应的用 户标识之后， 根据所述映射关系， 获得与所述用户标识对应的用户身份信息。

结合第三方面的第一种可能的实现方式， 在第三种可能的实现方式中， 还包括： 认证服务器；

所述 IPv6地址溯源装置， 还用于在获取所述 IPv6地址信息对应的用户 标识之后， 根据所述用户标识， 从所述认证服务器获取与所述用户标识对应 的用户身份信息。

结合第三方面、 或者第三方面的第一种可能的实现方式至第三种可能的 实现方式中的任意一项，在第四种可能的实现方式中， 所述 IPV6前缀信息包 括如下的其中一项： IPV6前缀、 IPV6- PD前缀、 接口标识。

本发明提供的 IPV6地址溯源方法、装置和系统的技术效果是： 通过釆用 最长匹配方式选择与需要溯源的目的 IPv6地址匹配的 IPv6地址信息， 并根 据该 IPv6地址信息获取到对应的用户标识， 实现了 IPV6地址的溯源。 附图说明 图 1为本发明 IPV6地址溯源方法一实施例的流程示意图；

图 2为本发明 IP V6地址溯源方法另一实施例的流程示意图；

图 3为本发明 IPV6地址溯源方法又一实施例的信令示意图；

图 4为本发明 IP V6地址溯源方法又一实施例的信令示意图；

图 5为本发明 IP V6地址溯源方法又一实施例的信令示意图；

图 6为本发明 IP V6地址溯源方法又一实施例的信令示意图；

图 7为本发明 IPV6地址溯源装置一实施例的结构示意图；

图 8为本发明 IPV6地址溯源装置另一实施例的结构示意图；

图 9为本发明 IPV6地址溯源系统一实施例的结构示意图；

图 10为本发明 IPV6地址溯源系统另一实施例的结构示意图。 具体实施方式 实施例一

图 1为本发明 IPV6地址溯源方法一实施例的流程示意图，该方法是由接 入设备执行， 该接入设备例如是 BRAS , 本实施例以 BRAS为例描述该方法； 如图 1所示， 可以包括：

101、 获取终端向认证服务器发送的用于请求认证的用户标识；

例如， 在用户认证的流程中， 用户将通过其使用的终端向认证服务器例 如 AAA服务器发送用户标识和密码等认证信息，该用户标识通常可以是用户 输入的用户账号或者用户名等。 在实际的终端向认证服务器发送认证信息的 过程中 ,该认证信息是通过 BRAS传输的 ,比如终端将认证信息发送至 BRAS , BRAS再将该认证信息传输至认证服务器； 则在此过程中， BRAS就获取到 所述的用户标识等认证信息。

102、 在接收到所述认证服务器发送的认证通过的通知时， 向所述终端分 配 IPV6地址信息， 所述 IPV6地址信息包括： IPV6地址和 /或 IPV6前缀； 例如， 认证服务器在对用户的认证信息认证通过后， 将向 BRAS发送认 证通过的通知， 再由 BRAS发送至终端通知用户。 并且， BRAS在用户认证 通过后将为该用户所使用的终端分配 IP地址， 以使得用户在后续访问网络时 使用该 IP地址。 本实施例中 BRAS分配的是 IPV6地址。

由于 IPV6地址的分配方式比较复杂， 具有多种地址分配方式， 并且在不 同的分配方式或者不同的应用场景下， BRAS向终端分配的 IPV6地址的形式 也不同； 例如， 可能分配的是 128bits的 IPV6地址、 或者也可能是 64bits的 IPV6前缀和 64bits的接口标识（ Interface ID ) 、 或者， 也可能是 IPV6-PD前 缀和 128bits的 IPV6地址等等， 而不再是现有的 IPV4地址那样，分配方式较 为单一， 就是 32bits的 IPV4地址。 因此， IPV6地址的形式与 IPV4地址有较 大差别， 本实施例将分配的多种形式的 IPV6地址统称为 IPV6地址信息。

103、 将所述用户标识、 以及所述 IPV6地址信息， 发送至 IPV6地址溯 源装置；

本实施例中， BRAS能够将 IPV6地址信息发送至 IPV6地址溯源装置， 并同时还将在 101中获取的用户标识也发送至 IPV6地址溯源装置； BRAS在 为终端分配 IPV6地址信息时，由于是在接收到认证服务器发送的对用户认证 通过的通知时才分配的， 所以 BRAS自身是能够得知 IPV6地址信息是为哪 个用户标识对应的终端分配的，即能够获知 IPV6地址信息与用户标识的对应 关系， 并将两者一同上报至 IPV6地址溯源装置。

需要说明的是， 本实施例中的 BRAS上报的 IPV6地址信息和用户标识 是分开的两个信息， IPV6地址信息是普通的地址， 并没有在该 IPV6地址信 息中嵌入其他信息， 即本实施例将普通分配的 IPV6地址信息、 以及用户标识 上才艮就可以实现 IPV6地址的溯源。

对于 IPV6地址溯源装置， 该 IPV6地址溯源装置侧可能存储有用户身份 信息， 也可能未存储用户身份信息； 当该装置存储有用户身份信息时， IPV6 地址溯源装置能够根据用户标识获取与该用户标识对应的用户身份信息， 由 于用户标识与 IPV6地址信息是对应的， 且用户标识与用户身份信息是对应 的， 因此， 用户身份信息、 用户标识和所述 IPV6地址信息三者之间是具有映 射关系的， IPV6地址溯源装置可以才艮据该映射关系进行溯源。 例如， IPV6 地址溯源装置在获取与将溯源的目标 IPV6地址相匹配的所述 IPV6地址信息 后， 根据映射关系获取到对应的用户身份信息。

当该装置未存储用户身份信息时，本实施例所述的 IPV6地址溯源装置可 以在获取与将溯源的目标 IPV6地址相匹配的所述 IPV6地址信息后， 根据 IPV6地址信息查找对应的用户标识， 再通过某种方式从其他设备上例如认证 服务器获取与用户标识对应的用户身份信息。

本实施例的 IPV6地址溯源方法 , 接入设备通过将用户标识和 IPV6地址 信息发送至 IPV6地址溯源装置， 使得 IPV6地址溯源装置能够根据该 IPV6 地址信息和同时上报的用户标识之间的映射关系进行溯源， 因此， 该接入设 备为实现 IPV6地址的溯源提供了建立所述映射关系和溯源实现所必须的具 有对应关系的用户标识和 IPV6地址信息。

实施例二

图 2为本发明 IP V6地址溯源方法另一实施例的流程示意图，该方法是由 IPV6地址溯源装置执行； 如图 2所示， 可以包括：

201、 接收需要溯源的目标 IPV6地址；

其中， 所述接收需要溯源的目标 IPV6地址， 可以是 IPV6地址溯源装置 接收某管理员输入的目标 IPV6地址， 也可以通过其他方式获取目标 IPV6地 址； 该目标 IPV6地址指的是将要对其进行溯源的地址， 例如， 网络上出现非 法言论， 公安部门要追查发布该非法言论的嫌疑人， 就要对该嫌疑人上网遗 留在网络上的 IPV6地址进行溯源， 则该嫌疑人遗留在网络上的 IPV6地址即 为将溯源的目标 IPV6地址， 公安部门需要查找该目标 IPV6地址对应的用户 身份信息。

202、釆用最长匹配方式选择与所述目的 IPv6地址匹配的 IPv6地址信息， 所述 IPv6地址信息包括 IPv6地址或 IPv6前缀信息；

本实施例中 , 在查找与所述目标 IPV6地址相匹配的 IPV6地址信息时， 也是与 IPV4地址的匹配查找不同的； 比如 , 现有的 IPV4地址溯源时， 由于 IPV4地址的形式比较单一， 即 32bits的 IPV4地址， 则可以釆取精确匹配方 式， 只要 32bits完全相同即为相匹配的 IPV4地址； 而本实施例中的 IPV6地 址的形式较为复杂， 包括 IPV6地址、 IPV6前缀等多种形式， 在进行地址匹 配时， 就可能出现多个 IPV6地址信息均与目标 IPV6地址具有一部分比特位 的相同信息的情况， 此时例如可以按照最长匹配方式选择与所述目标 IPV6 地址具有最多的匹配信息的 IPV6地址信息， 作为与所述目标 IPV6地址相匹 配的 IPV6地址信息。

所述的 IPv6地址信息包括 IPv6地址或 IPv6前缀信息； 例如， 该 IPv6地 址是 128bits的 IPv6地址， 该 IPv6前缀信息包括 IPV6前缀、 IPV6- PD前缀、 接口标识等信息。

203、 获取所述 IPv6地址信息对应的用户标识。

例如， 用户标识、 以及与所述用户标识对应的 IP V6地址信息是 IPV6地 址溯源装置从接入设备接收的， 该 IPV6地址溯源装置例如是认证服务器，该 接入设备比如是 BRAS„

其中， 该步骤中 IPV6地址溯源装置在获取与所述目标 IPV6地址相匹配 的所述 IPV6地址信息， 并根据所述 IPV6地址信息与用户标识之间的映射关 系获取所述目标 IPV6地址对应的用户标识之后， 如果 IPV6地址溯源装置自 身存储有用户身份信息、以及用户身份信息与用户标识和 IPV6地址信息的映 射关系，该装置自身能够直接根据映射关系找到 IPV6地址信息对应的用户身 份信息； 或者， IPV6地址溯源装置自身未存储用户身份信息， 该 IPV6地址 溯源装置根据 IPV6地址信息对应的用户标识，从其他设备上例如认证服务器 获取与用户标识对应的用户身份信息。

实施例三

图 3为本发明 IPV6地址溯源方法又一实施例的信令示意图，本实施例中 以接入设备是 BRAS, IPV6地址溯源装置是认证服务器为例， 该认证服务器 例如是 AAA服务器； 并且， 本实施例中的 AAA服务器自身存储用户身份信 息。 如图 3所示， 该方法包括：

301、 BRAS传输终端与 AAA服务器之间的用户认证信息；

其中， 以家庭宽带用户通过 PPPoE接入网络为例， 用户想要接入网络进 行上网时，就通过终端输入用户认证信息发送至 AAA服务器，该用户认证信 息例如包括用户标识和密码等， 该用户标识例如是用户账号。

并且， 用户在终端输入的用户标识等用户认证信息是通过 BRAS透传给 AAA服务器的， AAA服务器在用户认证信息通过认证后， 也会将认证结果 下发至 BRAS , 由 BRAS传输至终端以通知用户。 该认证结果例如是表示认 证通过的通知。

302、 BRAS在接收到 AAA服务器发送的认证通过的通知时， 向终端分 配 IP V6地址信息；

其中， BRAS在用户认证通过后需要为用户使用的终端分配 IPV6地址信 息， 为后续用户使用该终端访问网络时使用。 此外， BRAS还会为用户指定 其他一些必要参数， 如： 域名服务器（domain name server, 简称： DNS )等。

本实施例所述的 IPV6地址信息包括： IPV6地址和 /或 IPV6前缀。 具体 的， IPv6地址分配方式较为复杂， 不同的分配方式所分配的 IPv6地址信息也 是不同的， 可能直接分配 128位（ 128bits ) IPv6地址， 可能分配 64位或其他 长度的 IPv6前缀等。

例如， 在家庭网关工作在桥模式， 并且是通过动态主机配置协议第 6版

( Dynamic Host Configuration Protocol version 6, 简称： DHCPv6 )进行地址 分配时， 为终端分配的 IPV6地址信息可能是 128 bits的 IPv6地址， 即通过 DHCPv6分酉己的 IPv6地址 ( Identity Association for Non-temporary Address , 简称： IA-NA )方式， 也可能是 64 bits的 IPv6前缀和 64 bits的接口标识 ( Interface ID ) 的组合分配方式。

又例如， 在家庭网关工作在桥模式， 并且是通过邻居发现协议（ neighbor discovery, 简称： ND )进行地址分配时， 为终端分配的 IPV6地址信息可能 是 64 bits的 IPv6前缀。

再例如， 在家庭网关工作在路由模式， 并且是通过 DHCPv6进行地址分 配时， 为终端分配的 IPV6地址信息可能包括小于或等于 64bits的 IPV6-PD 前缀， 即通过 DHCPv6分配的 IPv6-PD前缀（ Identity Association for Prefix Delegation, 简称： IA-PD )方式， 该 IPV6地址信息可能是 IPv6-PD前缀和 128 bits的 IPv6地址的组合，也可能是 64 bits的 IPv6前缀和 IPv6-PD前缀的 组合， 还可能是 IPv6-PD前缀、 64 bits的 IPv6前缀和 64 bits的 Interface ID 的组合方式。

303、 BRAS向 AAA服务器发送计费请求消息， 将所述用户标识、 以及 与所述用户标识对应的所述 IPV6地址信息， 发送至 AAA服务器；

其中， BRAS在为用户终端分配 IPV6地址信息后，将开始执行计费流程， 启动用户上网计费， 通过远端用户拨入认证服务协议（ Remote Authentication Dial In User Service , 简称： Radius ) 的 Accounting请求消息通知 AAA月良务 器， 具体是向 AAA服务器发送计费请求消息 （Start Accounting ) ； AAA服 务器会向 BRAS返回计费响应消息并开始计费， 用户就可以正常访问网络。

本实施例中，计费请求消息 Start Accounting中包括一些用于承载 IP地址 信息的属性信息， 在现有的 IPV4地址的上报流程中该 Start Accounting中仅 包括两个属性信息， 例如用于承载用户标识信息的 "User-Name"属性、 以及 用于承载分配的 IPV4地址的 "Framed-IPV4-Address" 属性。 而本实施例对 Start Accounting中的属性信息进行了扩展， 设计了如下的五种属性信息： "User-Name" 属性： 用于 载用户标识；

"Framed-IPV6-Prefix" 属性（可以称为 IPV6前缀属性） ： 用于承载分 配的 IPV6前缀；

"Framed-Interface-Id" 属性（可以称为接口标识属性） ： 用于 载分配 的接口标识即 Interface ID;

"Delegated-IPV6-Prefix"属性（可以称为 IPV6-PD前缀属性 )： 用于承 载分配的 IPv6-PD前缀；

"Framed-IPV6-Address" 属性（可以称为 IPV6地址属性） ： 用于承载 分配的 128 bits的 IPv6地址。

结合 302中所述的 IPV6地址的分配方式，上面设计的五个属性信息已经 能够满足 IPV6地址信息的承载需求；例如， 当分配的是 128 bits的 IPv6地址 时， 可以直接使用 IP V6地址属性承载上报； 当分配的是 64 bits的 IPv6前缀 和 64 bits的接口标识 ( Interface ID )的组合时， 可以同时使用 IPV6前缀属性 和接口标识属性进行这两个信息的上报； 当分配的是 64 bits的 IPv6前缀时 , 可以使用 IPV6前缀属性承载； 当分配的 IPV6地址信息中包括 IPv6-PD前缀 时， 可以使用 IPV6-PD前缀属性承载该 IPv6-PD前缀。

可选的， 在具体实施中， Start Accounting中不一定必须包括所述的全部 的属性信息， 例如， BRAS仅釆用其中一种分配方式为终端分配 IPV6地址， 比如仅釆用 64 bits的 IPv6前缀和 64 bits的接口标识（ Interface ID )的组合分 配方式时， 则 Start Accounting中的属性信息可以只包括： "User-Name" 属 性、 "Framed-IPV6-Prefix" 属性、 以及 "Framed-Interface-Id" 属性。 或者， 如果 BRAS仅釆用 128 bits的 IPv6地址分配方式时，则 Start Accounting中的 属性信息可以只包括： "User-Name" 属性、 以及 "Framed-IPV6-Address" 属性即可。

因此， Start Accounting中在 "User-Name" 属性之夕卜， 用于承载 IPV6地 址信息的属性可以包括如下中的任意一种： IPV6地址属性、 IPV6前缀属性、 以及所述 IPV6前缀属性和接口标识属性的组合； 所述 IPV6地址信息通过所 述属性信息中的任意一种承载。并且， IPV6-PD前缀属性也是可选的，当 IPV6 地址分配方式需要分配 IPV6-PD前缀时，需要设置该属性，当不分配 IPV6-PD 前缀时， 可以不设置该属性。

304、 AAA服务器建立 IPV6地址信息、 用户标识和用户身份信息之间的 映射关系；

其中， AAA服务器自身存储有用户身份信息， 该用户身份信息例如包括 用户的姓名、 地址、 身份证号、 手机号等， 并且， AAA服务器还存储有用户 标识例如用户账号等， 上述的这些信息可能是用户在运营商营业厅签约时运 营商获取到并通过某种方式存储在 AAA服务器中的。

本实施例中， AAA服务器根据接收到的用户标识就能够查找到该用户标 识对应的用户身份信息，并且由于用户标识和 IPV6地址信息也是具有对应关 系的，就可以建立 IPV6地址信息、用户标识和用户身份信息之间的映射关系， 即映射关系表示了某个用户标识的用户， 其用户身份信息是什么， 以及该用 户在上网时为其分配的 IPV6地址信息是什么。

305、 AAA服务器在接收到需要溯源的目标 IPV6地址时， 釆用最长匹配 方式获取与所述目标 IPV6地址相匹配的所述 IPV6地址信息； 其中， 所述接收将溯源的目标 IP V6地址， 可以是 AAA服务器接收某管 理员输入的目标 IPV6地址 , 也可以通过其他方式获取目标 IPV6地址； 该目 标 IPV6地址指的是将要对其进行溯源的地址， 例如， 网络上出现非法言论， 公安部门要追查发布该非法言论的嫌疑人， 就要对该嫌疑人上网遗留在网络 上的 IPV6地址进行溯源， 则该嫌疑人遗留在网络上的 IPV6地址即为将溯源 的目标 IPV6地址，公安部门需要查找该目标 IPV6地址对应的用户身份信息。

本实施例中 , 在查找与所述目标 IPV6地址相匹配的 IPV6地址信息时， 也是与 IPV4地址的匹配查找不同的； 比如 , 现有的 IPV4地址溯源时， 由于 IPV4地址的形式比较单一， 即 32bits的 IPV4地址， 则可以釆取精确匹配方 式， 只要 32bits完全相同即为相匹配的 IPV4地址； 而本实施例中的 IPV6地 址的形式较为复杂， 包括 IPV6地址和不定长的 IPV6前缀等多种形式， 在进 行地址匹配时， 就可能出现多个 IP V6地址信息均与目标 IP V6地址具有一部 分比特位的相同信息的情况， 此时无法釆用传统的精确匹配方案， 例如可以 按照最长匹配方式， 将目标 IPV6地址与存储的各 IPV6地址信息进行比较， 选择与所述目标 IPV6地址具有最多的匹配信息的 IPV6地址信息， 作为与所 述目标 IPV6地址相匹配的 IPV6地址信息。 所述 IPV6前缀信息包括如下的 其中一项： IPV6前缀、 IPV6- PD前缀、 接口标识。

举例如下： 参见如下的表 1 , 为 AAA服务器存储的一种可选的 IPV6地 址信息的记录方式； 需要说明的是， 该表 1主要用于说明本实施例的最长匹 配方式是如何执行的， 但并不限制 AAA服务器釆用其他的形式记录相关信 息，并且该表 1仅示出了最长匹配方式描述涉及到的一些关键信息并非全部： 表 1

参见表 1所示，假设有如下的分配方式： BRAS为用户标识 A1的用户分 配的 IPV6地址信息是 "128bits的 IPV6地址 +40bits的 IPV6-PD前缀" 的组 合分配方式，在 AAA服务器侧记录映射关系时，实际上所述组合中的 "128bits 的 IPV6地址" 和 "40bits的 IPV6-PD前缀" 作为两个 IPV6地址信息， 是要 放在两个记录中的（每一条记录相当于一个映射关系）， 将分别与用户标识、 用户身份信息建立映射关系，即上述两个 IPV6地址信息实际映射的是相同的 用户。 BRAS为用户标识 A2的用户分配的 IPV6地址信息是 "64bits的 IPV6 前缀 +40bits的 IPV6-PD前缀"的组合分配方式，同理分别记录两条映射关系。 BRAS为用户标识 A3的用户分配的 IPV6地址信息是 128bits的 IPV6地址。

假设 AAA服务器接收到了将溯源的目标 IPV6地址， 即嫌疑人在网上遗 留的 IPV6地址， 该目标 IPV6地址是一个 128bits的 IPV6地址。 AAA服务 器按照如下方式进行溯源： 将该 128bits的 IPV6地址分别与上述表 1中的所 有 IPV6地址信息分别比较， 即分别与记录标识为 1〜5的记录中的各 IPV6地 址信息比较， 查看有多少信息是相同的。 例如， 假设比较的结果为： 记录 1 的 IPV6地址与目标 IPV6地址的前 50bits的信息相同 , 记录 2的 IPV6-PD前 缀与目标 IPV6地址的前 40bits的信息相同 ,记录 3的 IPV6前缀与目标 IPV6 地址的前 64 bits的信息相同 , 记录 4的 IPV6-PD前缀与目标 IPV6地址的前 40bits的信息相同 , 记录 5的 IPV6地址与目标 IPV6地址的前 20 bits的信息 相同。 则可以确定记录 3的 IPV6前缀与所述目标 IPV6地址具有最多的匹配 信息 , 该 IPV6前缀即与所述目标 IPV6地址相匹配的 IPV6地址信息。

具体实施中， 还有一种情况是， BRAS有可能为同一个用户分配 IPV6地 址或前缀， 例如， 参见表 1中的记录 6和记录 7, 这两个记录对应的是同一 个用户 A4, BRAS为该用户分配了两个不同的 128bitsIPV6地址， 即 IPV6地 址 -1和 IPV6地址 -2。这种场景下的查找与所述目标 IPV6地址相匹配的 IPV6 地址信息的方式实际上是与上面所述的匹配方式相同的， 同样是需要将目标 IPV6地址与各 IPV6地址信息进行比较，选择与所述目标 IPV6地址具有最多 的匹配信息的 IPV6地址信息， 作为与所述目标 IPV6地址相匹配的 IPV6地 址信息。 由于方法相同， 不再详述。 此外， 在具体实施中， 由于每次用户上网时 BRAS都要重新为该用户分 配 IPV6地址， 该 IP V6地址有可能是新的地址， 并且， 在不同的时间同一个 IPV6地址有可能被分配至不同的用户， 所以， 实际 AAA服务器在获取将溯 源的目标 IPV6地址时，还需要同时获取该目标 IPV6地址的使用时间； 同时， 在 AAA服务器侧存储映射关系时， 也需要记录 IPV6地址信息的时间， 该时 间例如是 AAA服务器接收到该 IPV6地址信息的时间， 或者是 BRAS上报至 AAA服务器的该 IP V6地址信息的分配时间， 这样就可以根据接收到的目标 IPV6地址的使用时间准确的找到该目标 IPV6地址匹配的 IPV6地址信息。比 如，如果不考虑时间因素， 可以查找到与该目标 IPV6地址匹配的两个相同的 IPV6地址信息， 分别对应不同的用户； 进一步再考虑该时间因素， 就能够得 到与该目标 IPV6地址的使用时间相匹配的 IPV6地址信息才是真正要查找的 IPV6地址信息。

306、 AAA服务器根据所述 IPV6地址信息、 用户标识和用户身份信息之 间的映射关系， 获取所述目标 IP V6地址对应的用户身份信息；

其中， 可以参见表 1 , 殳在 305中已经确定记录 3的 IPV6前缀与所述 目标 IPV6地址具有最多的匹配信息 , 该 IPV6前缀即与所述目标 IPV6地址 相匹配的 IPV6地址信息； 则根据该记录 3所表示的映射关系， 与所述 IPV6 前缀对应的用户身份信息 B2 , 即为目标 IPV6地址对应的用户身份信息， 从 而实现了目标 IPV6地址的溯源。

307、 BRAS指示 AAA服务器停止计费；

其中，当用户下线时， BRAS通过 Radius协议的 Accounting请求消息（即 停止计费请求）通知 AAA服务器停止计费。

此外 , 本实施例是以 IPv6 PPPoE用户的接入和溯源流程为例 , 其他场景 方案类似， 在此不再赞述， 如以太网承载 IP协议（IP Over Ethernet, 简称： IPoE ) 。

实施例四

图 4为本发明 IP V6地址溯源方法又一实施例的信令示意图，本实施例中 以接入设备是 BRAS , IPV6地址溯源装置是溯源服务器为例， 该溯源服务器 是单独的一个用于溯源的设备； 并且， 本实施例中的溯源服务器自身存储用 户身份信息。 因此， 本实施例的流程基本与图 3—致， 只是 IPV6地址信息需 要上报至溯源服务器， 溯源的处理也由溯源服务器执行， 不再详述。

如图 4所示， 该方法包括：

401、 BRAS传输终端与 AAA服务器之间的用户认证信息；

402、 BRAS在接收到 AAA服务器发送的认证通过的通知时， 向终端分 配 IP V6地址信息；

403、 BRAS与 AAA服务器之间执行计费流程；

其中， 所述的计费流程例如是 BRAS向 AAA服务器发送计费请求消息 ( Start Accounting ) , 以及 AAA服务器向 BRAS返回的计费响应消息

( Accounting- Ack ) , 以及 BRAS向 AAA服务器发送的停止计费请求（ Stop Accounting )等。

需要说明的是， 本实施例的流程图中仅是示意相关的步骤， 但并不限制 该步骤的执行顺序， 例如， 在图 4中该 403是在 404之间执行， 具体实施中， 403也可以在 404之后执行，或者 403的一部分步骤比如 BRAS向 AAA服务 器发送的停止计费可以是在 404之后执行等。

404、 BRAS向溯源服务器发送溯源信息上报消息， 将所述用户标识、 以 及所述 IPV6地址信息， 发送至溯源服务器；

其中， 本步骤中的溯源信息上报， 即所述用户标识、 以及所述 IPV6地址 信息的上报不是再承载在 BRAS向 AAA服务器发送的 Start Accounting中， 而是另外的溯源信息上报消息。 该消息的上报方式与 Start Accounting类似， 同样是在该消息中设计了几个用于承载 IPV6地址信息的属性信息，例如 IPV6 地址属性、 IPV6前缀属性等， 不再赘述。

405、 溯源服务器建立 IPV6地址信息、 用户标识和用户身份信息之间的 映射关系；

406、 溯源服务器在接收到将溯源的目标 IPV6地址时， 获取与所述目标 IPV6地址相匹配的所述 IPV6地址信息；

407、 溯源服务器根据所述 IPV6地址信息、 用户标识和用户身份信息之 间的映射关系， 获取所述目标 IP V6地址对应的用户身份信息。

实施例五

图 5为本发明 IP V6地址溯源方法又一实施例的信令示意图，本实施例中 以接入设备是 BRAS, IPV6地址溯源装置是溯源服务器为例， 该溯源服务器 是单独的一个用于溯源的设备； 并且， 本实施例中的溯源服务器自身不存储 用户身份信息，而需要从 AAA服务器获取用户身份信息。如图 5所示，包括：

501、 BRAS传输终端与 AAA服务器之间的用户认证信息；

502、 BRAS在接收到 AAA服务器发送的认证通过的通知时， 向终端分 配 IP V6地址信息；

503、 BRAS与 AAA服务器之间执行计费流程；

504、 BRAS向溯源服务器发送溯源信息上报消息， 将所述用户标识、 以 及所述 IPV6地址信息， 发送至溯源服务器；

505、 溯源服务器建立 IPV6地址信息、 用户标识之间的映射关系； 其中， 由于本实施例的溯源服务器本身不存储用户身份信息， 所以溯源 服务器在接收到 504中的 IPV6地址信息和用户标识后 ,将只建立这两者之间 的映射关系。

506、 溯源服务器在接收到将溯源的目标 IPV6地址时， 获取与所述目标 IPV6地址相匹配的所述 IPV6地址信息；

507、 溯源服务器根据所述 IPV6地址信息， 得到自身存储的与所述 IP V6 地址信息对应的用户标识；

其中， 本步骤中，溯源服务器将根据在 506中得到的与目标 IPV6地址相 匹配的 IPV6地址信息 , 以及在 505中建立的 IP V6地址信息、 用户标识之间 的映射关系， 得到对应的用户标识。

508、 溯源服务器根据用户标识， 从 AAA服务器获取与所述用户标识对 应的用户身份信息，该用户身份信息即为与所述目标 IPV6地址对应的用户身 份信息；

其中， AAA服务器侧既存储有用户标识，也存储有对应的用户身份信息， 溯源服务器可以向 AAA服务器发送用户身份信息获取的请求，携带 507中确 定的用户标识； AAA服务器将根据该用户标识， 查找自身侧存储的与用户标 识对应的用户身份信息， 并返回给溯源服务器。

上述的 507和 508两步，实际上 IPV6地址信息和用户标识之间的映射查 找是在溯源服务器执行， 而用户标识和用户身份信息之间的映射查找是在 AAA服务器执行， 但是这两者综合起来也同样是根据 IPV6地址信息、 用户 标识和用户身份信息之间的映射关系获取所述目标 IPV6地址对应的用户身 份信息， 只是分在不同的设备进行。

实施例六

本发明实施例的方案同样适用于移动网络， 在移动网络中， 网关 GPRS 支持节点（ gateway GPRS support node, 简称： GGSN ) ( 2G/3G )和 PDN网 关（ PDN gateway, 简称： PGW ) ( LTE )的角色类似于 BRAS, 负责为移动 用户进行认证和分配地址。

图 6为本发明 IP V6地址溯源方法又一实施例的信令示意图，本实施例中 以接入设备是 GGSN或 PGW, IPV6地址溯源装置是溯源服务器为例， 该溯 源服务器是单独的一个设备； 并且， 本实施例中的溯源服务器自身存储用户 身份信息。 因此， 本实施例的流程基本与图 4一致， 只是上报溯源信息的不 再是 BRAS而是 GGSN或 PGW, 详细的步骤可以参见图 4, 不再详述。

如图 6所示， 该方法包括：

601、 GGSN或 PGW传输终端与 AAA服务器之间的用户认证信息； 602、 GGSN或 PGW在接收到 AAA服务器发送的认证通过的通知时， 向终端分配 IP V6地址信息；

603、 GGSN或 PGW与 AAA服务器之间执行计费流程；

604、 GGSN或 PGW向溯源服务器发送溯源信息上报消息， 将所述用户 标识、 以及所述 IPV6地址信息， 发送至溯源服务器；

605、 溯源服务器建立 IPV6地址信息、 用户标识和用户身份信息之间的 映射关系；

606、 溯源服务器在接收到将溯源的目标 IPV6地址时， 获取与所述目标 IPV6地址相匹配的所述 IPV6地址信息；

607、 溯源服务器根据所述 IPV6地址信息、 用户标识和用户身份信息之 间的映射关系， 获取所述目标 IP V6地址对应的用户身份信息。

此外， 本实施例是以 IPV6地址溯源装置是溯源服务器， 并且， 溯源服务 器自身存储用户身份信息为例， 在移动网络的具体实施中， 还可以是其他场 景 , 例如 , IPV6地址溯源装置是 AAA服务器 , GGSN或 PGW向 AAA服务 器发送用户标识以及 IP V6地址信息， 并且是由 AAA服务器建立相关映射关 系和进行溯源， 此时的流程类似于图 3所示。 或者， 还可以是 IPV6地址溯源 装置仍然是溯源服务器， 但是该溯源服务器自身不再维护用户身份信息， 而 是需要从 AAA服务器获取与用户标识对应的用户身份信息，此时的流程类似 于图 5所示。

实施例七

图 7为本发明 IPV6地址溯源装置一实施例的结构示意图， 该 IPV6地址 溯源装置可以执行本发明任意实施例的方法，该 IPV6地址溯源装置例如可以 是认证服务器、 或者是单独的溯源服务器； 如图 7所示， 该 IPV6地址溯源装 置可以包括： 信息接收单元 71、 地址匹配单元 72和溯源处理单元 73; 其中， 信息接收单元 71 , 用于接收需要溯源的目的 IPv6地址；

地址匹配单元 72 ,用于釆用最长匹配方式选择与所述目的 IPv6地址匹配 的 IPv6地址信息 , 所述 IPv6地址信息包括 IPv6地址或 IPv6前缀信息；

例如， 所述 IPV6前缀信息包括如下的其中一项： IPV6前缀、 IPV6- PD 前缀、 接口标识。

溯源处理单元 73 , 用于获取所述 IPv6地址信息对应的用户标识。

图 8为本发明 I P V 6地址溯源装置另一实施例的结构示意图，如图 8所示， 该装置进一步包括映射建立单元 74;

所述信息接收单元 71 , 还用于在所述接收需要溯源的目的 IPV6地址之 前 ,接收接入设备发送的所述用户标识、以及与所述用户标识对应的所述 IPv6 地址信息；

所述映射建立单元 74,用于保存所述用户标识与所述 IPv6地址信息的对 应关系。

进一步的， 所述映射建立单元 74, 还用于根据所述用户标识获取自身存 储的与所述用户标识对应的用户身份信息， 并保存所述 IPV6地址信息、所述 用户标识和所述用户身份信息之间的映射关系；

所述溯源处理单元 73 ,还用于在获取所述 IPv6地址信息对应的用户标识 之后， 根据所述映射关系， 获得与所述用户标识对应的所述用户身份信息。

进一步的， 所述溯源处理单元 73 ,还用于在获取所述 IPv6地址信息对应 的用户标识之后， 根据所述用户标识， 从认证服务器获取与所述用户标识对 应的用户身份信息。

实施例八

本实施例提供一种 IPV6地址溯源系统， 该 IPV6地址溯源系统可以执行 本发明任意实施例的方法，该 IPV6地址溯源系统可以包括本发明任意实施例 所述的 IPV6地址溯源装置； 该 IPV6地址溯源装置的结构可以参见上述实施 例， 不再详述。

图 9为本发明 IPV6地址溯源系统一实施例的结构示意图，可选的， 该系 统可以包括： 接入设备 91、 IPv6地址溯源装置 92; 其中，

所述接入设备 91 , 用于在所述 IPv6地址溯源装置接收需要溯源的目的 IPV6地址之前， 向所述 IPv6地址溯源装置发送所述用户标识、 以及与所述 用户标识对应的所述 IPv6地址信息；

所述 IPv6地址溯源装置 92 , 还用于保存所述用户标识与所述 IPv6地址 信息的对应关系。

例如， 本实施例的 IPv6地址溯源装置 92可以是 AAA服务器。

进一步的，所述 IPv6地址溯源装置 92,还用于根据所述用户标识获取自 身存储的与所述用户标识对应的用户身份信息， 并保存所述 IPV6地址信息、 所述用户标识和所述用户身份信息之间的映射关系； 以及， 在获取所述 IPv6 地址信息对应的用户标识之后， 根据所述映射关系， 获得与所述用户标识对 应的所述用户身份信息。

图 10为本发明 IPV6地址溯源系统另一实施例的结构示意图， 可选的， 该系统可以包括：接入设备 1001、 IPv6地址溯源装置 1002和认证服务器 1003; 其中， 所述 IPv6地址溯源装置 1002 , 还用于在获取所述 IPv6地址信息对应 的用户标识之后， 根据所述用户标识， 从所述认证服务器 1003获取与所述用 户标识对应的用户身份信息。

例如， 本实施例的 IPv6地址溯源装置 92可以是单独的溯源服务器。 本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读 取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述 的存储介质包括： ROM, RAM, 磁碟或者光盘等各种可以存储程序代码的介 质。

最后应说明的是： 以上各实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述各实施例对本发明进行了详细的说明， 本领域的普通 技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替换； 而这些修改或者替换， 并 不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权 利 要 求 书

1、 一种 IPV6地址溯源方法， 其特征在于， 包括：

接收需要溯源的目的 IPv6地址；

釆用最长匹配方式选择与所述目的 IPv6地址匹配的 IPv6地址信息， 所 述 IPv6地址信息包括 IPv6地址或 IPv6前缀信息；

获取所述 IPv6地址信息对应的用户标识。

2、 根据权利要求 1所述的方法， 其特征在于， 在所述接收需要溯源的目 的 IP V6地址之前， 所述方法还包括：

接收接入设备发送的所述用户标识、 以及与所述用户标识对应的所述 IPv6地址信息；

保存所述用户标识与所述 IPv6地址信息的对应关系。

3、 根据权利要求 2所述的方法， 其特征在于， 还包括：

根据所述用户标识获取自身存储的与所述用户标识对应的用户身份信 息， 并保存所述 IPV6地址信息、所述用户标识和所述用户身份信息之间的映 射关系；

所述获取所述 IPv6地址信息对应的用户标识之后， 还包括： 根据所述映 射关系， 获得与所述用户标识对应的所述用户身份信息。

4、 根据权利要求 2所述的方法， 其特征在于， 所述获取所述 IPv6地址 信息对应的用户标识之后， 还包括：

根据所述用户标识， 从认证服务器获取与所述用户标识对应的用户身份 信息。

5、 根据权 1〜4任一所述的方法， 其特征在于， 所述 IPV6前缀信息包括 如下的其中一项：

IPV6前缀、 IPV6- PD前缀、 接口标识。

6、 一种 IPV6地址溯源装置， 其特征在于， 包括：

信息接收单元， 用于接收需要溯源的目的 IPv6地址；

地址匹配单元， 用于釆用最长匹配方式选择与所述目的 IPv6地址匹配的 IPv6地址信息 , 所述 IPv6地址信息包括 IPv6地址或 IPv6前缀信息；

溯源处理单元， 用于获取所述 IPv6地址信息对应的用户标识。

7、 根据权利要求 6所述的 IPV6地址溯源装置， 其特征在于， 所述信息接收单元， 还用于在所述接收需要溯源的目的 IPV6地址之前， 接收接入设备发送的所述用户标识、 以及与所述用户标识对应的所述 IPv6地 址信息；

所述地址溯源装置还包括： 映射建立单元， 用于保存所述用户标识与所 述 IPv6地址信息的对应关系。

8、 根据权利要求 7所述的 IPV6地址溯源装置， 其特征在于，

所述映射建立单元， 还用于根据所述用户标识获取自身存储的与所述用 户标识对应的用户身份信息， 并保存所述 IPV6地址信息、所述用户标识和所 述用户身份信息之间的映射关系；

所述溯源处理单元，还用于在获取所述 IPv6地址信息对应的用户标识之 后， 根据所述映射关系， 获得与所述用户标识对应的所述用户身份信息。

9、 根据权利要求 7所述的 IPV6地址溯源装置， 其特征在于，

所述溯源处理单元，还用于在获取所述 IPv6地址信息对应的用户标识之 后， 根据所述用户标识， 从认证服务器获取与所述用户标识对应的用户身份 信息。

10、根据权利要求 6〜9任一所述的 IPV6地址溯源装置， 其特征在于， 所 述 IPV6前缀信息包括如下的其中一项：

IPV6前缀、 IPV6- PD前缀、 接口标识。

11、 一种 IPV6地址溯源系统， 其特征在于， 包括： IP V6地址溯源装置； 所述 IPV6地址溯源装置， 用于接收需要溯源的目的 IPv6地址； 并釆用 最长匹配方式选择与所述目的 IPv6地址匹配的 IPv6地址信息， 所述 IPv6地 址信息包括 IPv6地址或 IPv6前缀信息； 以及， 获取所述 IPv6地址信息对应 的用户标识。

12、 根据权利要求 11所述的系统， 其特征在于， 还包括： 接入设备； 所述接入设备，用于在所述 IPv6地址溯源装置接收需要溯源的目的 IPV6 地址之前， 向所述 IPv6地址溯源装置发送所述用户标识、 以及与所述用户标 识对应的所述 IPv6地址信息；

所述 IPv6地址溯源装置， 还用于保存所述用户标识与所述 IPv6地址信 息的对应关系。

13、 根据权利要求 12所述的系统， 其特征在于， 所述 IPv6地址溯源装置，还用于根据所述用户标识获取自身存储的与所 述用户标识对应的用户身份信息， 并保存所述 IPV6地址信息、所述用户标识 和所述用户身份信息之间的映射关系； 以及， 在获取所述 IPv6地址信息对应 的用户标识之后， 根据所述映射关系， 获得与所述用户标识对应的所述用户 身份信息。

14、 根据权利要求 12所述的系统， 其特征在于， 还包括： 认证服务器； 所述 IPv6地址溯源装置， 还用于在获取所述 IPv6地址信息对应的用户 标识之后， 根据所述用户标识， 从所述认证服务器获取与所述用户标识对应 的用户身份信息。

15、根据权 11〜14任一所述的系统， 其特征在于， 所述 IPV6前缀信息包 括如下的其中一项： IPV6前缀、 IPV6- PD前缀、 接口标识。