[发明专利]IPv6地址的结构、分配及溯源的方法和装置

说明书

技术领域

本发明涉及IPv6网络，特别是涉及一种IPv6地址的结构、分配方法 及装置、以及溯源方法及装置。

背景技术

与传统的面向连接的电路交换网络相比，无连接的IP分组网络在网 络溯源方面能力较弱，主要原因有以下两点：IP分组网络在报文的转发过 程中，只检查目的地址，依据目的地址转发，而不去检验源地址是不是发 送者的真实IP地址。主机通常是通过动态方式获得IP地址，相同的IP地 址可能会分配给不同的主机终端，因此无法将IP地址与主机进行静态绑 定。

上述原因导致在IP网络中存在大量的DDoS攻击(Distribution Denial of service，分布式拒绝服务攻击)，垃圾邮件泛滥等现象。因此需要对现 有的IP网络技术进行改造，使得网络具有溯源能力，能够追溯到DDoS 攻击或是垃圾邮件等有害信息的源头，起到一定的威慑作用。

与IPv4网络相比，尽管IPv6网络能够提供一个更大的地址空间，可 以为每一个终端分配一个IPv6地址。但实际上，当终端附连的网络发生 变化时，网络前缀通常也跟着变化，这样如果采用静态的地址分配方式， 就需要通过移动IP技术来解决终端的漫游问题。考虑到实现上的复杂度， 以及网络切换、转发效率等因素，大规模的部署移动IP是不可行的。而 且，在运营商的商业运营中，都是通过动态地址分配机制来为主机分配地 址，并与计费系统进行关联。

在RFC4291中，定义了三种类型的IPv6地址，即单播地址、组播地 址和任意播地址。IPv6的地址结构可以分为子网前缀和接口标识两部分， 如图1所示，其中子网前缀用于标识所连接的网络，而接口标识用于标识 链路上的某一接口。

对于大多数应用而言，主机都是采用单播地址来进行通信的，其地址 结构通常由三部分组成，全局路由前缀、子网标识和接口标识。其中前64 位(全局路由前缀+子网标识)是由连接的网络决定的，而后64位(接口 标识)可以自动生成。

目前主机IPv6地址可以通过两种方式获得，一种是静态配置模式， 一种是动态配置模式，而动态配置模式又可以分为无状态的地址自动配置 和有状态的地址自动配置。在RFC4291中建议，在无状态地址自动配置 方式下，接口标识可以通过EUI64(IEEE定义的一种基于64位的扩展惟 一标示符)转换算法得到，即由48位MAC地址转换生成。采用有状态地 址自动配置方式下，IPv6地址(包括接口标识)是由DHCP服务器分配 的，接口标识中并未明确包含主机用户的标识信息。

因此，需要在采用有状态自动配置方式时建立一种IPv6地址网络溯 源机制，包括IPv6地址的分配和对IPv6源地址的溯源。

发明内容

针对现有技术中存在的缺陷和不足，本发明的目的是提出一种内嵌用 户身份信息的IPv6编址方案以及地址分配方法和装置，以及与该分配方 法对应的IPv6网络源地址的溯源方法及装置。

为了达到上述目的，本发明提出了一种IPv6地址结构，包括网络前 缀和接口标识，所述网络前缀由主机所连网络决定，所述接口标识是对记 录用户标识信息的比特位使用非对称加密算法得到的；

并且，所述网络前缀或所述接口标识中还包括用于标识采用的加密算 法、用户标识信息类别等信息的预定比特位。

作为上述技术方案的优选，所述用户标识信息是具有唯一性、可根据 其确定主机用户信息的信息。

本发明还提出一种IPv6地址分配方法，包括：

步骤1：DHCP中继代理接收主机发送的请求信息，并通过AAA服 务器获取与所述主机相关的用户标识信息，然后将所述请求信息以及所述 用户标识信息发送到DHCP服务器；

步骤2：所述DHCP服务器采用有状态地址自动配置模式为所述主机 分配IPv6地址，其中，所述IPv6地址由网络前缀和接口标识组成：

所述网络前缀由DHCP服务器根据主机所连网络为主机分配；

所述接口标识用于记录所述用户标识信息，生成接口标识时对记录所 述用户标识信息的比特位采用非对称加密算法进行加密；

使用所述网络前缀或所述接口标识中的预定比特位来标识采用的加 密算法、用户信息类别等信息。

作为上述技术方案的优选，还包括步骤：在网络边界路由器上启用反 向路径检查功能，或在边界路由器上启用动态ACL机制。