一种WIFI安全体系架构制造技术

本发明专利技术涉及一种WIFI安全体系架构，将IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路通过加密算法实现强制绑定，其中IPv4/IPv6互通应用平台、安全监管平台通过IPv6线路与骨干网进行通讯连接；客户端设备通过IPv6单栈线路与骨干网进行通讯连接；客户端设备与终端之间维持轻量化双栈协议，保证对终端应用程序的兼容性；客户端设备安装安全插件，将收集到的信息自动上传至安全监管平台。本发明专利技术实现了IPv4/IPv6互通应用平台‑安全监管平台‑IPv6网络线路‑客户端设备的强制绑定，使安全监管平台的等效应用覆盖率达到百分之百，提高了IPv6客户端访问IPv4网络资源的兼容性。

A WIFI security architecture

The present invention relates to a WIFI security architecture, IPv4/IPv6 interoperability platform, security monitoring platform, client device and IPv6 line through the encryption algorithm to achieve the mandatory binding, the safety supervision platform IPv4/IPv6 interworking application platform, through the IPv6 line and the backbone network for communication; communication client devices connected by IPv6 single stack and backbone line net; between the client device and the terminal to maintain the lightweight dual stack, to ensure the terminal application compatibility; client installation security plug-in, the collected information is automatically uploaded to the security monitoring platform. The invention realizes the mandatory binding client device IPv4/IPv6 interworking application platform safety supervision platform IPv6 network, the equivalent application of safety supervision platform to achieve one hundred percent coverage, improve the IPv6 client access IPv4 cyber source compatibility.

【技术实现步骤摘要】

本专利技术涉及一种互联网安全溯源技术，具体地说是一种WIFI安全体系架构。
技术介绍
随着人们对互联网的使用越来越普及，互联网给人们带来许多便利的同时，也带来了很多风险和挑战。例如：少数人利用互联网发布和传播不利于社会稳定言论；这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求。安全溯源是基于信息流的数据采集、分析、识别的软件。通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行信息收集。目前，采用在用户侧网络中外加审计设备的方式进行信息收集，由于外加的审计设备安装于客户端，用户隐私保护意识越来越强，不易被用户接受，可能会发生自行拆除现象，拆除并不影响用户上网，导致审计设备的实际应用覆盖率偏低，对信息的收集不全面，影响网络信息安全溯源工作的正常展开。目前互联网中存在两类网间协议，即地址分配方式分别为IPv4和IPv6,这两类地址分配方式互不兼容，使用户无法跨协议互访。但是IPv4地址分配已经枯竭，为解决该问题，广泛采用了地址复用技术，加重了安全溯源工作的复杂程度。而IPv6具有广阔的地址空间，推广使用IPv6可以使安全溯源工作变得相对容易，但又带来了IPv6客户端访问IPv4网络资源的兼容性问题。
技术实现思路
针对现有技术中网络信息安全溯源工作难以展开以及IPv6、IPv4网络资源互不兼容等不足，本专利技术要解决的问题是提供一种能够解决兼容性问题的同时有利于普及安全溯源工作的WIFI安全体系架构。为解决上述技术问题，本专利技术采用的技术方案是：本专利技术一种WIFI安全体系架构，包括：IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路，将四者通过加密算法实现强制绑定，其中IPv4/IPv6互通应用平台、安全监管平台为云端设备，通过IPv6线路与骨干网进行通讯连接；客户端设备为终端控制设备，通过IPv6单栈线路与骨干网进行通讯连接；客户端设备与终端之间维持轻量化双栈协议，以保证对终端应用程序的兼容性；客户端设备中安装具有信息收集功能的安全插件，将收集到的信息自动上传至安全监管平台。IPv4/IPv6互通应用平台维护包含以下信息的静态表，实现鉴权：授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装，实现跨协议栈访问，并记录IPv4/IPv6的地址映射关系。IPv4/IPv6互通应用平台的控制流程如下：终端应用程序发起会话请求；客户端设备(CPE)对终端应用程序的请求进行判断，客户端设备对终端设备发出的请求进行判断；判断客户端是否为IPv6客户端，如果是IPv6客户端，则判断是否为IPv6客户端向IPv6服务器发出的请求；如果是IPv6客户端向IPv6服务器发出的请求，则客户端设备直接向目的地址转发IP包。如果不是IPv6客户端向IPv6服务器发出的请求，则为IPv6客户端向IPv4服务器发出的请求，IPv6客户端设备向IPv4/IPv6互通应用平台转发IP包。如果不是IPv6客户端，则为IPv4客户端，将IPv4协议包全部封装为IPv6协议包，该IPv6协议包通过隧道协议向IPv4/IPv6互通应用平台转发。7IPv6协议包向IPv4/IPv6互通应用平台转发IP包的同时维系与IPv4/IPv6互通应用平台的隧道会话。隧道会话的建立及维系通过SHA-1算法实现动态密匙交换，并进行单向鉴权。本专利技术具有以下有益效果及优点：1.本专利技术实现了IPv4/IPv6互通应用平台-安全监管平台-IPv6网络线路-客户端设备的强制绑定关系，使安全监管平台的等效应用覆盖率达到百分之百，有效保证了网络信息安全溯源工作的正常展开，对于社会稳定以及国家安全具有重大意义。2.本专利技术通过应用互通平台实现了IPv4/v6网络资源的跨协议栈访问，解决了当前IPv6网站侧信息资源不足的问题，提高了IPv6客户端访问IPv4网络资源的兼容性。附图说明图1为本专利技术上网环境防控体系拓扑图；图2为本专利技术中IPv6访问IPv4的方法流程图。具体实施方式下面结合说明书附图对本专利技术作进一步阐述。如图1所示，本专利技术一种WIFI安全体系架构，IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路，将四者通过加密算法实现强制绑定，其中IPv4/IPv6互通应用平台、安全监管平台为云端设备，通过IPv6线路与骨干网进行通讯连接；客户端设备为终端控制设备，通过IPv6单栈线路与骨干网进行通讯连接；客户端设备与终端之间维持轻量化双栈协议，以保证对终端应用程序的兼容性；客户端设备中安装具有信息收集功能的安全插件，将收集到的信息自动上传至安全监管平台。IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装，实现跨协议栈访问，并记录IPv4/IPv6的地址映射关系。IPv4/IPv6互通应用平台维护包含以下信息的静态表，实现鉴权：授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。本专利技术通过以上静态表和加密算法实现IPv4/IPv6互通应用平台、安全监管平台、IPv6单栈线路以及客户端设备的强制绑定，非授权客户端设备不能被应用于本架构中，从而解决了信息安全问题。如图2所示，IPv4/IPv6互通应用平台的控制流程如下：终端应用程序发起会话请求；客户端设备(CPE)对终端应用程序的请求进行判断，客户端设备对终端设备发出的请求进行判断；判断客户端是否为IPv6客户端，如果是IPv6客户端，则判断是否为IPv6客户端向IPv6服务器发出的请求；如果是IPv6客户端向IPv6服务器发出的请求，则客户端设备直接向目的地址转发IP包。如果不是IPv6客户端向IPv6服务器发出的请求，则为IPv6客户端向IPv4服务器发出的请求，IPv6客户端设备向IPv4/IPv6互通应用平台转发IP包。在判断客户端是否为IPv6客户端时，如果不是IPv6客户端，则为IPv4客户端，将IPv4协议包全部封装为IPv6协议包，该IPv6协议包通过隧道协议向IPv4/IPv6互通应用平台转发，同时维系与IPv4/IPv6互通应用平台的隧道会话。隧道会话的建立及维系通过SHA/1算法实现动态密匙交换，并进行单向鉴权。本实施例中，客户端设备(CPE)为网关设备或其衍生产品，可以安装于公共场所、企事业单位或家庭中，网关设备内设有IPv6地址池(IPv6Pool)，通过具有信息收集功能的安全插件将收集信息自动上传至安全监管平台，实现对网络信息的监管。由于IPv4/IPv6互通应用平台做为代理服务器，其对IPv4/IPv6包进行解封装和再封装，并记录IPv4/IPv6的地址映射关系。这样，每个通过该客户端设备上网的终端设备，其IP地址均被记录在客户端设备即网关设备的IPv6PARP列表中，当终端设备与该网关设备断开连接，从另一网关设备设备登录网络时，其终端特征信息例如MAC地址会记录在新网关设备设备上ARP列表中，并向本文档来自技高网...

【技术保护点】
一种WIFI安全体系架构，其特征在于包括：IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路，将四者通过加密算法实现强制绑定，其中IPv4/IPv6互通应用平台、安全监管平台为云端设备，通过IPv6线路与骨干网进行通讯连接；客户端设备为终端控制设备，通过IPv6单栈线路与骨干网进行通讯连接；客户端设备与终端之间维持轻量化双栈协议，以保证对终端应用程序的兼容性；客户端设备中安装具有信息收集功能的安全插件，将收集到的信息自动上传至安全监管平台。

【技术特征摘要】
1.一种WIFI安全体系架构，其特征在于包括：IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路，将四者通过加密算法实现强制绑定，其中IPv4/IPv6互通应用平台、安全监管平台为云端设备，通过IPv6线路与骨干网进行通讯连接；客户端设备为终端控制设备，通过IPv6单栈线路与骨干网进行通讯连接；客户端设备与终端之间维持轻量化双栈协议，以保证对终端应用程序的兼容性；客户端设备中安装具有信息收集功能的安全插件，将收集到的信息自动上传至安全监管平台。2.按权利要求1所述的WIFI安全体系架构，其特征在于：IPv4/IPv6互通应用平台维护包含以下信息的静态表，实现鉴权：授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。3.按权利要求1所述的WIFI安全体系架构，其特征在于：IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装，实现跨协议栈访问，并记录IPv4/IPv6的地址映射关系。4.按权利要求1所述的WIFI安全体系架构，其特征在于IPv4/IPv6互通应用平台的控制流程如下：终端应用程序发...

【专利技术属性】
技术研发人员：王旸，肖垚，
申请(专利权)人：王旸，肖垚，
类型：发明
国别省市：辽宁;21