CN114024933A - 一种地址保护方法、装置、网络设备和计算机存储介质 - Google Patents
一种地址保护方法、装置、网络设备和计算机存储介质 Download PDFInfo
- Publication number
- CN114024933A CN114024933A CN202010691089.6A CN202010691089A CN114024933A CN 114024933 A CN114024933 A CN 114024933A CN 202010691089 A CN202010691089 A CN 202010691089A CN 114024933 A CN114024933 A CN 114024933A
- Authority
- CN
- China
- Prior art keywords
- address
- data packet
- node
- intranet
- management node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 157
- 238000006243 chemical reaction Methods 0.000 claims abstract description 207
- 230000015654 memory Effects 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 10
- 239000000126 substance Substances 0.000 claims description 9
- 238000004891 communication Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000001360 synchronised effect Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2539—Hiding addresses; Keeping addresses anonymous
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种地址保护方法、装置、网络设备和计算机存储介质。所述方法包括:内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;判断所述采集节点地址是否为内网管理节点的地址;若所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的互联网协议第六版(IPv6)地址;所述第二数据包中包括所述采集节点地址。
Description
技术领域
本发明涉及互联网安全领域,具体涉及一种地址保护方法、装置、网络设备和计算机存储介质。
背景技术
随着移动互联网和物联网等技术的快速发展,以及5G等通信网络技术的快速应用,互联网协议第四版(IPv4,Internet Protocol version 4)地址已经分配完毕,基于互联网协议第六版(IPv6,Internet Protocol Version 6)的下一代互联网已经在网络部署和应用建设等方面取得了很大的进展。但是,伴随着IPv6的发展,针对IPv6的网络漏洞和网络攻击也不断地出现,其发展与应用面临着各方面的挑战与问题。其中,针对IPv6地址的快速扫描,以及针对IPv6地址的保护就是两个关键的难题。
对IPv6地址快速扫描时,有必要对IPv6地址进行保护,以提升IPv6资产的隐私保护和可审计性,目前,如何针对IPv6地址进行保护,目前尚无有效解决方案。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种地址保护方法、装置、网络设备和计算机存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供了一种地址保护方法,所述方法包括:
内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;
判断所述采集节点地址是否为内网管理节点的地址;
若所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址;所述第二数据包中包括所述采集节点地址。
上述方案中,所述方法还包括:若所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
上述方案中,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
上述方案中,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
上述方案中,所述方法还包括:
若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
上述方案中,若所述采集节点地址不是内网管理节点的地址,所述方法还包括:所述内网路由器保存所述采集节点地址,丢弃所述第一数据包。
第二方面,本发明实施例还提供了一种地址保护方法,所述方法包括:
内网管理节点接收内网路由器发送的第二数据包;所述第二数据包在所述内网路由器判定接收的第一数据包中的采集节点地址不是内网管理节点的地址的情况下发送;所述第二数据包中包括采集节点地址;
基于所述第二数据包对采集的IPv6地址按照第一转换方式进行转换处理,向所述采集节点地址发送转换处理后的IPv6地址。
上述方案中,所述方法还包括:
所述内网管理节点接收所述内网路由器发送的第三数据包;所述第三数据包在所述内网路由器判定接收的扫描任务数据包中的采集节点的地址不是内网管理节点的地址的情况下发送;
所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
第三方面,本发明实施例还提供了一种地址保护装置,所述装置包括:第一接收单元、第一处理单元和第一发送单元;其中,
所述第一接收单元,用于接收第一数据包,所述第一数据包中包括采集节点地址;
所述第一处理单元,用于判断所述采集节点地址是否为内网管理节点的地址;
所述第一发送单元,用于若所述第一处理单元判定所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的互联网协议第六版IPv6地址;所述第二数据包中包括所述采集节点地址。
上述方案中,所述第一发送单元,还用于若所述第一处理单元判定所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
上述方案中,所述第一接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第一处理单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理;所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第一发送单元,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
上述方案中,所述第一接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第一发送单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
上述方案中,所述第一发送单元,还用于若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
上述方案中,所述装置还包括第一存储单元,用于若所述采集节点地址不是内网管理节点的地址,保存所述采集节点地址;
所述第一处理单元,还用于丢弃所述第一数据包。
第四方面,本发明实施例还提供了一种地址保护装置,所述装置包括:第二接收单元、第二处理单元和第二发送单元;其中,
所述第二接收单元,用于接收内网路由器发送的第二数据包;所述第二数据包在所述内网路由器判定接收的第一数据包中的采集节点地址不是内网管理节点的地址的情况下发送;所述第二数据包中包括采集节点地址;
所述第二处理单元,用于基于所述第二数据包对采集的IPv6地址按照第一转换方式进行转换处理;
所述第二发送单元,用于向所述采集节点地址发送转换处理后的IPv6地址。
上述方案中,所述第二接收单元,还用于接收所述内网路由器发送的第三数据包;所述第三数据包在所述内网路由器判定接收的扫描任务数据包中的采集节点的地址不是内网管理节点的地址的情况下发送;
所述第二处理单元,还用于对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第二发送单元,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
第五方面,本发明实施例还提供了一种地址保护方法,所述方法包括:
内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;
判断所述采集节点地址是否为内网管理节点的地址;
若所述采集节点地址不是内网管理节点的地址,向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址。
上述方案中,所述方法还包括:若所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
上述方案中,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
上述方案中,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
上述方案中,所述方法还包括:
若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
上述方案中,若所述采集节点地址不是内网管理节点的地址,所述方法还包括:
所述内网路由器保存所述采集节点地址,丢弃所述第一数据包。
第六方面,本发明实施例还提供了一种地址保护装置,所述装置包括:第三接收单元、第三处理单元和第三发送单元;其中,
所述第三接收单元,用于接收第一数据包,所述第一数据包中包括采集节点地址;
所述第三处理单元,用于判断所述采集节点地址是否为内网管理节点的地址;
所述第三发送单元,用于若所述第三处理单元判定所述采集节点地址不是内网管理节点的地址,向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址。
上述方案中,所述第三发送单元,还用于若所述第三处理单元判定所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
上述方案中,所述第三接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第三处理单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第三发送单元,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
上述方案中,所述第三接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第三发送单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
上述方案中,所述第三发送单元,还用于若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
上述方案中,所述装置还包括第二存储单元,用于若所述采集节点地址不是内网管理节点的地址,保存所述采集节点地址;
所述第三处理单元,还用于丢弃所述第一数据包。
第七方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例第一方面、第二方面或第五方面所述地址保护方法的步骤。
第八方面,本发明实施例还提供了一种网络设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例第一方面、第二方面或第五方面所述地址保护方法的步骤。
本发明实施例提供的地址保护方法、装置、网络设备和计算机存储介质,所述方法包括:内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;判断所述采集节点地址是否为内网管理节点的地址;若所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址;所述第二数据包中包括所述采集节点地址。采用本发明实施例的技术方案,在采集节点不是内网管理节点的情况下,对待发送给非内网的采集节点的IPv6地址进行转换,并向非内网的采集节点发送转换后的IPv6地址,实现了对IPv6地址的保护,提升IPv6地址的隐私性,降低网络资产暴露的风险,提升网络的整体安全防护。
附图说明
图1为本发明实施例的地址保护方法应用的***架构示意图;
图2为本发明实施例的地址保护方法的流程示意图一;
图3为本发明实施例的地址保护方法的交互流程示意图一;
图4为本发明实施例的地址保护方法的交互流程示意图二;
图5为本发明实施例的地址保护装置的组成结构示意图一;
图6为本发明实施例的地址保护装置的组成结构示意图二;
图7为本发明实施例的地址保护方法的流程示意图二;
图8为本发明实施例的地址保护装置的组成结构示意图三;
图9为本发明实施例的网络设备的硬件组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
图1为本发明实施例的地址保护方法应用的***架构示意图;如图1所示,***可包括内网的各个网络设备和非内网的各个网络设备。其中,内网的网络设备可包括内网内的各个带IPv6地址的终端节点、内网路由器、内网的运营方管理节点(即本发明以下各实施例中的内网管理节点)、内网路由器的上级路由器和扫描器等等;非内网的网络设备可以包括:非内网的采集节点、非内网的上级路由器和扫描器等等。
其中,带IPv6地址的终端节点可以是笔记本电脑、台式机、物联网设备、工业互联网设备等各种联网设备。
其中,内网路由器指的是内网网络的路由通路中的路由器;本实施例中的内网路由器可以是一个,也可以是多个。
其中,内网的运营方管理节点(即本发明以下各实施例中的内网管理节点),是内网网络的运营方中具有IPv6地址管理权限的节点,也可以理解为内网的采集节点(Collection Point)。该内网运营方管理节点的IP地址需要在内网内的每个设备上预先进行配置。
其中,内网路由器的上级路由器,是内网边界路由器的上级路由器,或者是内网边界路由器的上级路由器的上级路由器,以此类推。内网路由器的上级路由器为非内网的路由器,例如可以是运营商的路由器等。
其中,非内网的采集节点,是除了内网的运营方管理节点以外的采集节点,属于非内网的节点。
其中,扫描器,是对终端设备进行扫描的设备,扫描器与采集节点之间具有联动关系。扫描器可以是在内网的扫描器,与内网的运营方管理节点进行扫描联动;扫描器也可以是在非内网的扫描器,与非内网的采集节点进行扫描联动。
基于以上***架构提出本发明以下各实施例。
本发明实施例提供了一种地址保护方法,所述方法应用于内网路由器。图2为本发明实施例的地址保护方法的流程示意图一;如图2所示,所述方法包括:
步骤101:内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;
步骤102:判断所述采集节点地址是否为内网管理节点的地址;
步骤103:若所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址;所述第二数据包中包括所述采集节点地址。
本实施例在预先实现IPv6地址的快速发现的基础上提出。在一些可选实施例中,各路由器(包括内网路由器等)对邻居发现协议(NDP,Neighbor Discovery Protocol)中的路由器通告(RA,Router Advertisement)数据包进行修改,具体的,各路由器(包括内网路由器等)在RA数据包中增加采集节点的全球单播地址(Collection Point Address),并发送RA数据包;其中,RA数据包中还可包括采集节点地址;其中,RA数据包中的选项中可包括所述采集节点地址。各终端接收到包含有全球单播地址(Collection Point Address)后,向采集节点地址发送另一数据包(例如echo包);该数据包中包括终端自身的IPv6地址,从而实现IPv6地址的快速发现。
本实施例中,所述第一数据包为RA数据包。其中,所述内网路由器可从上一级节点接收到所述第一数据包。所述第一数据包中包括采集节点地址(Collection PointAddress)。
本实施例中,内网路由器从第一数据包中提取出采集节点地址,对采集节点地址对应的采集节点进行角色与权限判定。示例性的,内网路由器中预先配置有内网管理节点的地址,通过比较所述采集节点地址与预先配置的内网管理节点的地址是否一致,从而确定采集节点地址是否是内网管理节点的地址。
若采集节点地址不是内网管理节点的地址,即表明采集节点地址是非内网的采集节点的地址,则为了对IPv6地址进行保护,需要对真实的IPv6地址按照第一转换方式进行转换处理或者按照特定算法进行混淆处理,将转换处理后或混淆处理后的IPv6地址发送至采集节点地址,即将转换处理后或混淆处理后的IPv6地址发送至采集节点地址对应的非内网的采集节点。则本实施例中,内网路由器向内网管理节点发送第二数据包,通过第二数据包指示内网管理节点向采集节点地址发送上述经转换处理后或混淆处理后的IPv6地址。
在本发明的一些可选实施例中,所述方法还包括:若所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
本实施例中,若采集节点地址是内网管理节点的地址,即表明采集节点地址是内网的采集节点的地址,则可直接将真实的IPv6地址发送至采集节点地址,即直接将真实的IPv6地址发送至采集节点地址对应的内网管理节点。
在一些可选实施例中,若所述采集节点地址不是内网管理节点的地址,所述方法还包括:所述内网路由器保存所述采集节点地址,丢弃所述第一数据包。
基于上述实施例,本发明实施例还提供了一种地址保护方法,所述方法应用于内网管理节点。所述方法包括:
步骤201:内网管理节点接收内网路由器发送的第二数据包;所述第二数据包在所述内网路由器判定接收的第一数据包中的采集节点地址不是内网管理节点的地址的情况下发送;所述第二数据包中包括采集节点地址;
步骤202:基于所述第二数据包对采集的IPv6地址按照第一转换方式进行转换处理,向所述采集节点地址发送转换处理后的IPv6地址。
采用本发明实施例的技术方案,在采集节点不是内网管理节点的情况下,对待发送给非内网的采集节点的IPv6地址进行转换,并向非内网的采集节点发送转换后的IPv6地址,实现了对IPv6地址的保护,提升IPv6地址的隐私性,降低网络资产暴露的风险,提升网络的整体安全防护。
在本一些可选实施例中,所述方法还包括:所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
本实施例中,内网路由器会接收到可能来自非内网的采集节点或者内网的采集节点(即内网管理节点)的扫描任务数据包,扫描任务数据包中的目的地址是待扫描IPv6地址的终端的地址。如果采集节点不是所述内网管理节点,即采集节点是非内网的采集节点,则基于前述实施例,非内网的采集节点会获得转换处理或混淆处理后的IPv6地址;则内网路由器接收到扫描任务数据包后,对扫描任务数据包中的目的地址进行反向转换处理,即按照与第一转换方式相反的第二转换方式对目的地址进行转换处理,从而得到转换处理或混淆处理后的IPv6地址对应的真实的IPv6地址,进一步按照真实的IPv6地址转发扫描任务数据包,从而使得扫描任务数据包能够到达真实的IPv6地址对应的终端。
在另一些可选实施例中,所述方法还包括:所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
本实施例中,内网路由器会接收到可能来自非内网的采集节点或者内网的采集节点(即内网管理节点)的扫描任务数据包,扫描任务数据包中的目的地址是待扫描IPv6地址的终端的地址。如果采集节点不是所述内网管理节点,即采集节点是非内网的采集节点,则基于前述实施例,非内网的采集节点会获得转换处理或混淆处理后的IPv6地址;则内网路由器接收到扫描任务数据包后,向所述内网管理节点发送第三数据包,通过第三数据包指示内网管理节点对扫描任务数据包中的目的地址进行反向转换,即对目的地址按照与第二转换方式进行反向转换,从而得到扫描任务数据包对应的真实IPv6地址,进而可向真实IPv6地址对应的终端发送扫描任务数据包。
需要说明的是,本实施例中的扫描任务数据包也可称为数据包或第四数据包,该数据包或第四数据包对应于扫描任务,扫描任务用于获得终端的IPv6地址。
在本发明的一些可选实施例中,所述方法还包括:若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
下面结合具体的示例对本发明实施例的地址保护方法进行说明。
图3为本发明实施例的地址保护方法的交互流程示意图一;如图3所示,所述方法包括:
步骤11至步骤12:内网路由器接收到包含有采集节点地址(Collection PointAddress)的RA包,从RA包中提取采集节点地址(Collection Point Address)。
步骤13至步骤14:内网路由器对该采集节点地址对应的采集节点进行角色与权限判定,即判定该采集节点地址是否为内网管理节点的地址。在判断的结果为是时,则执行步骤15;在判断的结果为否时,执行步骤16至步骤18。具体地:
步骤15:内网路由器则向该采集节点地址发送真实的IPv6地址;即将真实的IPv6地址发送给采集节点地址对应的内网管理节点。
步骤16:内网路由器则保存该采集节点地址,丢弃接收到的RA包。
步骤17:内网路由器向内网管理节点发送数据包,告知内网管理节点向该采集节点地址发送经过一定规则转换后的IPv6地址或者经过特定算法混淆后的IPv6地址。
步骤18:内网管理节点则向该采集节点地址发送经过一定规则转换后的IPv6地址或者经过特定算法混淆后的IPv6地址。
图4为本发明实施例的地址保护方法的交互流程示意图二;如图4所示,所述方法包括:
步骤21:扫描器对带有IPv6地址的终端设备发起扫描。
步骤22:扫描器与对应的采集节点进行扫描联动。
步骤23:内网路由器接收来自采集节点的扫描任务数据包,如果采集节点是内网管理节点,则直接转发扫描任务数据包。
步骤24:内网路由器接收来自采集节点的扫描任务数据包,如果采集节点是非内网的采集节点,则对扫描任务数据包中的目的地址进行反向转换,对目的地址转换后的数据包进行转发。
步骤25:采集节点的扫描数据包根据路由通路进行后续的扫描操作。
步骤26:获得相应的扫描结果。
本发明实施例还提供了一种地址保护装置。图5为本发明实施例的地址保护装置的组成结构示意图一;如图5所示,所述装置包括:第一接收单元31、第一处理单元32和第一发送单元33;其中,
所述第一接收单元31,用于接收第一数据包,所述第一数据包中包括采集节点地址;
所述第一处理单元32,用于判断所述采集节点地址是否为内网管理节点的地址;
所述第一发送单元33,用于若所述第一处理单元32判定所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址;所述第二数据包中包括所述采集节点地址。
在本发明的一些可选实施例中,所述第一发送单元33,还用于若所述第一处理单元32判定所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
在本发明的一些可选实施例中,所述第一接收单元31,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第一处理单元32,还用于若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理;所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第一发送单元33,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
在本发明的一些可选实施例中,所述第一接收单元31,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第一发送单元33,还用于若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
在本发明的一些可选实施例中,所述第一发送单元33,还用于若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
在本发明的一些可选实施例中,所述装置还包括第一存储单元,用于若所述采集节点地址不是内网管理节点的地址,保存所述采集节点地址;
所述第一处理单元32,还用于丢弃所述第一数据包。
本发明实施例中,所述地址保护装置中的第一处理单元32,在实际应用中可由中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SignalProcessor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array)实现;所述装置中的第一接收单元31和第一发送单元33,在实际应用中可通过通信模组(包含:基础通信套件、操作***、通信模块、标准化接口和协议等)及收发天线实现;所述装置中的存储单元,在实际应用中可通过存储器实现;所述地址保护装置中的第一存储单元,在实际应用中可通过存储器实现。
需要说明的是:上述实施例提供的地址保护装置在进行信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的地址保护装置与地址保护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种地址保护装置。图6为本发明实施例的地址保护装置的组成结构示意图二;如图6所示,所述装置包括:第二接收单元41、第二处理单元42和第二发送单元43;其中,
所述第二接收单元41,用于接收内网路由器发送的第二数据包;所述第二数据包在所述内网路由器判定接收的第一数据包中的采集节点地址不是内网管理节点的地址的情况下发送;所述第二数据包中包括采集节点地址;
所述第二处理单元42,用于基于所述第二数据包对采集的IPv6地址按照第一转换方式进行转换处理;
所述第二发送单元43,用于向所述采集节点地址发送转换处理后的IPv6地址。
在本发明的一些可选实施例中,所述第二接收单元41,还用于接收所述内网路由器发送的第三数据包;所述第三数据包在所述内网路由器判定接收的扫描任务数据包中的采集节点的地址不是内网管理节点的地址的情况下发送;
所述第二处理单元42,还用于对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第二发送单元43,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
本发明实施例中,所述地址保护装置中的第二处理单元42,在实际应用中可由CPU、DSP、MCU或FPGA实现;所述装置中的第二接收单元41和第二发送单元43,在实际应用中可通过通信模组(包含:基础通信套件、操作***、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是:上述实施例提供的地址保护装置在进行信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的地址保护装置与地址保护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种地址保护方法。图7为本发明实施例的地址保护方法的流程示意图二;如图7所示,所述方法包括:
步骤301:内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;
步骤302:判断所述采集节点地址是否为内网管理节点的地址;
步骤303:若所述采集节点地址不是内网管理节点的地址,向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址。
在本发明的一些可选实施例中,所述方法还包括:若所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
在一些可选实施例中,所述方法还包括:所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
在另一些可选实施例中,所述方法还包括:所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
在本发明的一些可选实施例中,所述方法还包括:若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
在本发明的一些可选实施例中,若所述采集节点地址不是内网管理节点的地址,所述方法还包括:所述内网路由器保存所述采集节点地址,丢弃所述第一数据包。
本实施例的具体实现可参照前述图2所示的步骤101至步骤103的记载。与图2所示的实施例的不同在于,本实施例中,在采集节点地址不是内网管理节点的地址的情况下,内网路由器按照第一转换方式转换IPv6地址,向采集节点地址发送转换处理后的IPv6地址。
基于前述实施例,本发明实施例还提供了一种地址保护装置。图8为本发明实施例的地址保护装置的组成结构示意图三;如图8所示,所述装置包括:第三接收单元51、第三处理单元52和第三发送单元53;其中,
所述第三接收单元51,用于接收第一数据包,所述第一数据包中包括采集节点地址;
所述第三处理单元52,用于判断所述采集节点地址是否为内网管理节点的地址;
所述第三发送单元53,用于若所述第三处理单元52判定所述采集节点地址不是内网管理节点的地址,向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址。
在本发明的一些可选实施例中,所述第三发送单元53,还用于若所述第三处理单元52判定所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
在本发明的一些可选实施例中,所述第三接收单元51,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第三处理单元52,还用于若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第三发送单元53,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
在本发明的一些可选实施例中,所述第三接收单元51,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第三发送单元53,还用于若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
在本发明的一些可选实施例中,所述第三发送单元53,还用于若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
在本发明的一些可选实施例中,所述装置还包括第二存储单元,用于若所述采集节点地址不是内网管理节点的地址,保存所述采集节点地址;
所述第三处理单元52,还用于丢弃所述第一数据包。
本发明实施例中,所述地址保护装置中的第三处理单元52,在实际应用中可由CPU、DSP、MCU或FPGA实现;所述装置中的第三接收单元51和第三发送单元53,在实际应用中可通过通信模组(包含:基础通信套件、操作***、通信模块、标准化接口和协议等)及收发天线实现;所述装置中的第二存储单元,在实际应用中可通过存储器实现。
需要说明的是:上述实施例提供的地址保护装置在进行信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的地址保护装置与地址保护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种网络设备,所述网络设备可以是前述实施例中的内网路由器或者内网管理节点。图9为本发明实施例的网络设备的硬件组成结构示意图,所述网络设备包括存储器62、处理器61及存储在存储器62上并可在处理器61上运行的计算机程序,所述处理器61执行所述程序时实现本发明实施例应用于内网路由器或内网管理节点中的所述地址保护方法的步骤。
可选地,网络设备还包括一个或多个网络接口63。可以理解,网络设备中的各个组件通过总线***64耦合在一起。可理解,总线***64用于实现这些组件之间的连接通信。总线***64除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线***64。
可以理解,存储器62可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器62旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器61中,或者由处理器61实现。处理器61可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器61中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器61可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器61可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器62,处理器61读取存储器62中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,网络设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器62,上述计算机程序可由网络设备的处理器61执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
本发明实施例提供的计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例应用于内网路由器或内网管理节点中的所述地址保护方法的步骤。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (30)
1.一种地址保护方法,其特征在于,所述方法包括:
内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;
判断所述采集节点地址是否为内网管理节点的地址;
若所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的互联网协议第六版IPv6地址;所述第二数据包中包括所述采集节点地址。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
6.根据权利要求1所述的方法,其特征在于,若所述采集节点地址不是内网管理节点的地址,所述方法还包括:
所述内网路由器保存所述采集节点地址,丢弃所述第一数据包。
7.一种地址保护方法,其特征在于,所述方法包括:
内网管理节点接收内网路由器发送的第二数据包;所述第二数据包在所述内网路由器判定接收的第一数据包中的采集节点地址不是内网管理节点的地址的情况下发送;所述第二数据包中包括采集节点地址;
基于所述第二数据包对采集的IPv6地址按照第一转换方式进行转换处理,向所述采集节点地址发送转换处理后的IPv6地址。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述内网管理节点接收所述内网路由器发送的第三数据包;所述第三数据包在所述内网路由器判定接收的扫描任务数据包中的采集节点的地址不是内网管理节点的地址的情况下发送;
所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
9.一种地址保护装置,其特征在于,所述装置包括:第一接收单元、第一处理单元和第一发送单元;其中,
所述第一接收单元,用于接收第一数据包,所述第一数据包中包括采集节点地址;
所述第一处理单元,用于判断所述采集节点地址是否为内网管理节点的地址;
所述第一发送单元,用于若所述第一处理单元判定所述采集节点地址不是内网管理节点的地址,向内网管理节点发送第二数据包,所述第二数据包用于指示所述内网管理节点向所述采集节点地址发送按照第一转换方式转换处理后的互联网协议第六版IPv6地址;所述第二数据包中包括所述采集节点地址。
10.根据权利要求9所述的装置,其特征在于,所述第一发送单元,还用于若所述第一处理单元判定所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
11.根据权利要求9或10所述的装置,其特征在于,所述第一接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第一处理单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理;所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第一发送单元,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
12.根据权利要求9或10所述的装置,其特征在于,所述第一接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第一发送单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
13.根据权利要求11或12所述的装置,其特征在于,所述第一发送单元,还用于若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
14.根据权利要求9所述的装置,其特征在于,所述装置还包括第一存储单元,用于若所述采集节点地址不是内网管理节点的地址,保存所述采集节点地址;
所述第一处理单元,还用于丢弃所述第一数据包。
15.一种地址保护装置,其特征在于,所述装置包括:第二接收单元、第二处理单元和第二发送单元;其中,
所述第二接收单元,用于接收内网路由器发送的第二数据包;所述第二数据包在所述内网路由器判定接收的第一数据包中的采集节点地址不是内网管理节点的地址的情况下发送;所述第二数据包中包括采集节点地址;
所述第二处理单元,用于基于所述第二数据包对采集的IPv6地址按照第一转换方式进行转换处理;
所述第二发送单元,用于向所述采集节点地址发送转换处理后的IPv6地址。
16.根据权利要求15所述的装置,其特征在于,所述第二接收单元,还用于接收所述内网路由器发送的第三数据包;所述第三数据包在所述内网路由器判定接收的扫描任务数据包中的采集节点的地址不是内网管理节点的地址的情况下发送;
所述第二处理单元,还用于对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第二发送单元,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
17.一种地址保护方法,其特征在于,所述方法包括:
内网路由器接收第一数据包,所述第一数据包中包括采集节点地址;
判断所述采集节点地址是否为内网管理节点的地址;
若所述采集节点地址不是内网管理节点的地址,向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址。
18.根据权利要求17所述的方法,其特征在于,所述方法还包括:
若所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
19.根据权利要求17或18所述的方法,其特征在于,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,对目的地址转换处理后的所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
20.根据权利要求17或18所述的方法,其特征在于,所述方法还包括:
所述内网路由器接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
21.根据权利要求19或20所述的方法,其特征在于,所述方法还包括:
若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
22.根据权利要求17所述的方法,其特征在于,若所述采集节点地址不是内网管理节点的地址,所述方法还包括:
所述内网路由器保存所述采集节点地址,丢弃所述第一数据包。
23.一种地址保护装置,其特征在于,所述装置包括:第三接收单元、第三处理单元和第三发送单元;其中,
所述第三接收单元,用于接收第一数据包,所述第一数据包中包括采集节点地址;
所述第三处理单元,用于判断所述采集节点地址是否为内网管理节点的地址;
所述第三发送单元,用于若所述第三处理单元判定所述采集节点地址不是内网管理节点的地址,向所述采集节点地址发送按照第一转换方式转换处理后的IPv6地址。
24.根据权利要求23所述的装置,其特征在于,所述第三发送单元,还用于若所述第三处理单元判定所述采集节点地址为内网管理节点的地址,向所述采集节点地址发送真实的IPv6地址。
25.根据权利要求23或24所述的装置,其特征在于,所述第三接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第三处理单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,对所述扫描任务数据包中的目的地址按照第二转换方式进行转换处理,其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址;
所述第三发送单元,还用于对目的地址转换处理后的所述扫描任务数据包进行转发。
26.根据权利要求23或24所述的装置,其特征在于,所述第三接收单元,还用于接收来自扫描器的扫描任务数据包;所述扫描任务数据包中包括所述扫描器关联的采集节点的地址;
所述第三发送单元,还用于若所述采集节点的地址不是所述内网管理节点的地址,向所述内网管理节点发送第三数据包,所述第三数据包用于指示所述内网管理节点对所述扫描任务数据包中的目的地址按照第二转换方式转换处理后对所述扫描任务数据包进行转发;其中,所述第二转换方式为所述第一转换方式的逆转换过程;所述扫描任务数据包中的目的地址是按照所述第一转换方式转换处理后的IPv6地址。
27.根据权利要求25或26所述的装置,其特征在于,所述第三发送单元,还用于若所述采集节点为所述内网管理节点,对所述扫描任务数据包进行转发。
28.根据权利要求23所述的装置,其特征在于,所述装置还包括第二存储单元,用于若所述采集节点地址不是内网管理节点的地址,保存所述采集节点地址;
所述第三处理单元,还用于丢弃所述第一数据包。
29.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至6任一项所述地址保护方法的步骤;或者,该程序被处理器执行时实现权利要求7或8所述地址保护方法的步骤;或者,该程序被处理器执行时实现权利要求17至22任一项所述地址保护方法的步骤。
30.一种网络设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6任一项所述地址保护方法的步骤;或者,所述处理器执行所述程序时实现权利要求7或8所述地址保护方法的步骤;或者,所述处理器执行所述程序时实现权利要求17至22所述地址保护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010691089.6A CN114024933A (zh) | 2020-07-17 | 2020-07-17 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010691089.6A CN114024933A (zh) | 2020-07-17 | 2020-07-17 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114024933A true CN114024933A (zh) | 2022-02-08 |
Family
ID=80054026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010691089.6A Pending CN114024933A (zh) | 2020-07-17 | 2020-07-17 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114024933A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114827089A (zh) * | 2022-03-17 | 2022-07-29 | 杭州锘崴信息科技有限公司 | 一种混淆dpi检测的隐私保护方法及*** |
| CN114938308A (zh) * | 2022-06-06 | 2022-08-23 | 赛尔新技术(北京)有限公司 | 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101361322A (zh) * | 2006-01-23 | 2009-02-04 | 微软公司 | 网络节点和可路由地址的发现 |
| CN102932371A (zh) * | 2012-11-20 | 2013-02-13 | 杭州华三通信技术有限公司 | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 |
| CN104506540A (zh) * | 2014-12-29 | 2015-04-08 | 成都致云科技有限公司 | 虚拟主机的读写请求处理方法及***、宿主机 |
| US9025494B1 (en) * | 2012-03-27 | 2015-05-05 | Infoblox Inc. | IPv6 network device discovery |
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
| US9641434B1 (en) * | 2014-12-17 | 2017-05-02 | Amazon Technologies, Inc. | Private network address obfuscation and verification |
-
2020
- 2020-07-17 CN CN202010691089.6A patent/CN114024933A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101361322A (zh) * | 2006-01-23 | 2009-02-04 | 微软公司 | 网络节点和可路由地址的发现 |
| US9025494B1 (en) * | 2012-03-27 | 2015-05-05 | Infoblox Inc. | IPv6 network device discovery |
| CN102932371A (zh) * | 2012-11-20 | 2013-02-13 | 杭州华三通信技术有限公司 | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 |
| US9641434B1 (en) * | 2014-12-17 | 2017-05-02 | Amazon Technologies, Inc. | Private network address obfuscation and verification |
| CN104506540A (zh) * | 2014-12-29 | 2015-04-08 | 成都致云科技有限公司 | 虚拟主机的读写请求处理方法及***、宿主机 |
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
Non-Patent Citations (2)
| Title |
|---|
| J. LI; J. FU; X. LI; Y. CHENG;: "IPv6 hosts detection draft-li-6man-6hosts-detection-00", IETF, 13 July 2020 (2020-07-13), pages 5 - 12 * |
| J. LI; J. FU; X. LI; Y. CHENG;CHINA MOBILE;: "IPv6 hosts detection draft-li-6man-6hosts-detection-00", IETF, 13 July 2020 (2020-07-13), pages 5 - 7 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114827089A (zh) * | 2022-03-17 | 2022-07-29 | 杭州锘崴信息科技有限公司 | 一种混淆dpi检测的隐私保护方法及*** |
| CN114827089B (zh) * | 2022-03-17 | 2023-05-26 | 杭州锘崴信息科技有限公司 | 一种混淆dpi检测的隐私保护方法及*** |
| CN114938308A (zh) * | 2022-06-06 | 2022-08-23 | 赛尔新技术(北京)有限公司 | 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11722509B2 (en) | Malware detection for proxy server networks | |
| US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
| Elejla et al. | ICMPv6-based DoS and DDoS attacks and defense mechanisms | |
| US20080151887A1 (en) | Method and Apparatus For Inter-Layer Binding Inspection | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| EP3062466B1 (en) | Network security method and device | |
| US11444808B1 (en) | Scaling network address translation (NAT) and firewall functionality to support public cloud networks | |
| Mahboubi et al. | Stochastic modeling of IoT botnet spread: A short survey on mobile malware spread modeling | |
| KR20200055403A (ko) | 디코이 장치 및 디셉션 네트워크를 이용한 거짓 공격 접점 확장 방법 | |
| CN109728984B (zh) | 一种接入***、方法及装置 | |
| CN104506540B (zh) | 虚拟主机的读写请求处理方法及***、宿主机 | |
| CN114024933A (zh) | 一种地址保护方法、装置、网络设备和计算机存储介质 | |
| KR20080063759A (ko) | 무상태 양방향 프록시 | |
| CN112910907A (zh) | 一种防御方法、装置、客户机、服务器、存储介质及*** | |
| CN109495369B (zh) | 一种报文转发方法及装置 | |
| Saad et al. | Rule-based detection technique for ICMPv6 anomalous behaviour | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| US8112803B1 (en) | IPv6 malicious code blocking system and method | |
| Groat et al. | IPv6: nowhere to run, nowhere to hide | |
| CN111865876A (zh) | 网络的访问控制方法和设备 | |
| WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
| Ogwara et al. | Data security frameworks for mobile cloud computing: A comprehensive review of the literature | |
| Saucez et al. | Locator/id separation protocol (lisp) threat analysis | |
| Parashar et al. | Improved deterministic packet marking algorithm | |
| CN112243048B (zh) | 数据传输方法、相关设备、***以及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |