本发明专利技术提供一种跨多管理域的追溯系统,包括:NID客户端、NID追溯客户端、NID追溯服务器、NID管理服务器和地址生成服务器;网络中有多个不同的管理域,每个管理域内有一个NID管理服务器,所述NID管理服务器与其所属管理域内NID客户端连接;每个管理域内有一个或多个地址生成服务器,每个地址生成服务器与其所属管理域内的NID管理服务器、NID客户端分别连接;所有管理域共享一个NID追溯服务器,所述NID追溯服务器与NID追溯客户端、各个管理域内的NID管理服务器分别连接。上述系统可以追溯每一个IPv6地址对应网络用户网络身份标识,配置简单,便于运营商部署。
【技术实现步骤摘要】
本专利技术涉及互联网
,尤其涉及跨多管理域的追溯系统。
技术介绍
现有互联网的路由转发基于目的网际协议(Internet Protocol,简称IP)地址,对于发送数据包的用户的身份标识不做检查,这使得伪造源地址的用户身份难以追踪,伪造源地址的攻击轻易而频繁。实现对用户网络身份标识的追溯,确保网络中每一个用户都合法的访问网络,可以带来如下好处:首先,互联网中的流量更加容易追踪,伪造用户网络身份的攻击易于控制,网络犯罪得到有效的遏制;第二,网络精细管理和基于用户网络身份标识的计费可以更加方便的实现;第三,由于可以知道每一个请求发起者的身份标识,更多的网络资源可以向国民开放。互联网由多个管理域组成,各个管理域独立的决定自己的路由策略和管理机制。另外,各个管理域有自己的地址前缀范围,并独立负责管理该地址前缀范围的管理和使用。管理域之间地用户网络身份标识的管理和追溯是一个非常重要的问题。鉴于此,如何提供一种跨多管理域的追溯系统,以实现对用户网络身份标识的追溯成为当前需要解决的技术问题。
技术实现思路
针对现有技术中的缺陷,本专利技术提供跨多管理域的追溯系统,可以追溯每一个网际协议版本6 (Internet Protocol Vers1n 6,简称IPv6) IPv6地址对应网络用户网络身份标识,配置简单,便于运营商部署。第一方面,本专利技术提供一种跨多管理域的追溯系统,包括:NID客户端、NID追溯客户端、NID追溯服务器、NID管理服务器和地址生成服务器;网络中有多个不同的管理域,每个管理域内有一个NID管理服务器,所述NID管理服务器与其所属管理域内NID客户端连接;每个管理域内有一个或多个地址生成服务器,每个地址生成服务器与其所属管理域内的NID管理服务器、NID客户端分别连接;所有管理域共享一个NID追溯服务器,所述NID追溯服务器与NID追溯客户端、各个管理域内的NID管理服务器分别连接。可选地,所述NID客户端包括:登录模块、发送模块和IPv6地址改变模块;登录模块,用于获取用户输入的NID和密码,并将所述NID和密码发送给同一管理域内的NID管理服务器;发送模块,用于向所属管理域的地址生成服务器发送第一请求,以使所述地址生成服务器在接收到所述第一请求后反馈给所述NID客户端一个临时IPv6地址;IPv6地址改变模块,用于接收同一管理域内的地址生成服务器发送的嵌入用户网络身份标识和时间信息的IPv6地址,将NID客户端的临时IPv6地址改为该IPv6地址。可选地,所述NID管理服务器包括:NID生成模块、NID密码验证模块、NID查询模块、NID和密码转发模块和加密算法密钥管理模块;NID生成模块,用于根据用户网络身份标识生成方法,生成NID,并将用户网络身份标识、NID和其对应的密码存储在本地数据库;NID密码验证模块,用于接收NID追溯服务器或同一管理域内的NID客户端发送的NID和密码,并将接收的NID和密码与本地数据库中的NID和密码进行对比,检验密码的正确性,并将结果返回给同一管理域内的地址生成服务器;NID查询模块,用于接收NID追溯服务器查询NID的请求,查询本地数据库,读取查询的NID对应用户的身份标识,并将结果返回给NID追溯服务器;NID和密码转发模块,用于确定接收的NID不属于本管理域之后,将接收的NID和密码转发给NID追溯服务器;加密算法密钥管理模块,用于每隔预设时间段更新加密算法的密钥,将更新后的密钥发送给NID追溯服务器和同一管理域内的地址生成服务器,并接收同一管理域内的地址生成服务器查询密钥的请求。可选地,所述地址生成服务器,包括:临时IPv6地址生成模块、加密算法密钥接收模块和嵌入NID的IPv6地址生成模块;临时IPv6地址生成模块,用于根据同一管理域内的NID客户端发送的第一请求,为该NID客户端分配一个临时的IPv6地址;加密算法密钥接收模块,用于在地址生成服务器启动之后,向同一管理域内的NID管理服务器发送密钥查询请求,并接收该NID管理服务器每隔预设时间段发送的密钥;嵌入NID的IPv6地址生成模块,用于根据接收的NID和时间信息,生成嵌入用户网络身份标识和时间信息的IPv6地址,并将该IPv6地址发送给同一管理域内的NID客户端。可选地,所述NID追溯服务器,包括:NID解析模块、NID和密码转发模块、NID查询模块和用户网络身份标识处理模块;NID解析模块,用于存储密钥信息表,所述密钥信息表包含:IPv6地址前缀、管理域代码、加密算法密钥、密钥生成时间,根据IPv6地址的前64位确定密钥,对IPv6地址后64位解密,解析出该IPv6地址对应的NID和时间信息;NID和密码转发模块,用于根据所述NID解析模块解析到的NID确定所属管理域,将NID和密码转发给NID所属管理域的NID管理服务器;NID查询模块,用于向所述NID解析模块解析到的NID所属管理域的NID管理服务器发送查询所述NID的请求,并接收NID所属管理域的NID管理服务器返回的所述NID对应的用户网络身份标识;用户网络身份标识处理模块,用于将所述用户网络身份标识发送给NID追溯客户端。可选地,所述NID追溯客户端,用于获取网络管理员输入的待查询IPv6地址,将所述待查询IPv6地址发送给NID追溯服务器,并接收NID追溯服务器返回的所述待查询IPv6地址对应的用户网络身份标识。可选地,所述NID客户端包括:登录模块、发送模块和IPv6地址改变模块;登录模块,用于获取用户输入的NID和密码,并将所述NID和密码发送给同一管理域内的NID管理服务器;发送模块,用于向所属管理域的地址生成服务器发送第一请求,以使所述地址生成服务器在接收到所述第一请求后反馈给所述NID客户端一个临时IPv6地址;IPv6地址改变模块,用于接收同一管理域内的地址生成服务器发送的嵌入用户网络身份标识、MAC地址和时间信息的IPv6地址,将NID客户端的临时IPv6地址改为该IPv6地址。可选地,所述NID管理服务器包括:NID生成模块、MAC地址管理模块、NID密码验证模块、NID和MAC地址查询模块、NID和密码转发模块和加密算法密钥管理模块;NID生成模块,用于根据用户网络身份标识生成方法,生成NID,并将用户网络身份标识、NID和其对应的密码存储在本地数据库;MAC地址管理模块,用于生成MAC地址的哈希码,并保存在本地数据库中;NID密码验证模块,用于接收NID追溯服务器或同一管理域内的NID客户端发送的NID和密码,并将接收的NID和密码与本地数据库中的NID和密码进行对比,检验密码的正确性,并将结果返回给同一管理域内的地址生成服务器;NID和MAC地址查询模块,用于接收NID追溯服务器查询NID和MAC地址的请求,查询本地数据库,读取查询的NID对应用户的身份标识以及MAC的哈希码对应的MAC地址,并将结果返回给NID追溯服务器;NID和密码转发模块,用于确定接收的NID不属于本管理域之后,将接收的NID和密码转发给NID追溯服务器;加密算法密钥管理模块,用于每隔预设时间段更新加密算法的密钥,将更新后的密钥发送给NID追溯服务器和同一管理域内的地址生成服务器,并接收同一管理域内的地址生成本文档来自技高网...
【技术保护点】
一种跨多管理域的追溯系统,其特征在于,包括:NID客户端、NID追溯客户端、NID追溯服务器、NID管理服务器和地址生成服务器;网络中有多个不同的管理域,每个管理域内有一个NID管理服务器,所述NID管理服务器与其所属管理域内NID客户端连接;每个管理域内有一个或多个地址生成服务器,每个地址生成服务器与其所属管理域内的NID管理服务器、NID客户端分别连接;所有管理域共享一个NID追溯服务器,所述NID追溯服务器与NID追溯客户端、各个管理域内的NID管理服务器分别连接。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘莹,任罡,吴建平,张圣林,何林,贾溢豪,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。