CN114143113B - 适用于IPv6/IPv4访问服务的安全溯源装置及方法 - Google Patents

适用于IPv6/IPv4访问服务的安全溯源装置及方法 Download PDF

Info

Publication number
CN114143113B
CN114143113B CN202111495152.XA CN202111495152A CN114143113B CN 114143113 B CN114143113 B CN 114143113B CN 202111495152 A CN202111495152 A CN 202111495152A CN 114143113 B CN114143113 B CN 114143113B
Authority
CN
China
Prior art keywords
tracing
ipv6
ipv4
stateless
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111495152.XA
Other languages
English (en)
Other versions
CN114143113A (zh
Inventor
王桥倩
韩国梁
包丛笑
李星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Indirect Network Technology Co ltd
Original Assignee
Beijing Indirect Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Indirect Network Technology Co ltd filed Critical Beijing Indirect Network Technology Co ltd
Priority to CN202111495152.XA priority Critical patent/CN114143113B/zh
Publication of CN114143113A publication Critical patent/CN114143113A/zh
Application granted granted Critical
Publication of CN114143113B publication Critical patent/CN114143113B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2542Translation of Internet protocol [IP] addresses involving dual-stack hosts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种适用于IPv6/IPv4访问服务的安全溯源装置,包括所述无状态翻译网关以及所述溯源装置。基于无状态翻译技术,发明了加密安全的实时溯源方法和历史溯源方法,形成统一的无状态安全溯源装置。该装置无需查询日志,直接通过加密的API就可以实现实时IPv4/IPv6溯源,对***资源消耗极低,可以极大地降低***开销;该装置基于网络层无状态翻译技术,因此适用于所有应用,包括加密和私有应用;该装置不修改数据报文内容,同时兼容已有的IPv4防火墙,不会增加安全风险,同时使用加密技术保障溯源查询的端到端信息隐藏,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。

Description

适用于IPv6/IPv4访问服务的安全溯源装置及方法
技术领域
本公开涉及通信技术领域,尤其涉及一种适用于IPv6/IPv4访问服务的安全溯源装置和方法。
背景技术
作为国际公认的下一代互联网核心协议,IPv6有充足的地址空间和先进的协议特性。但是,IPv6与IPv4并不兼容,因此对于存量的IPv4服务来说,需要额外的升级技术来保障其与IPv6互联网互联互通。
一种可能的方式是双栈技术,即,将IPv4服务器和内部网络改造成IPv4/IPv6双栈,于是IPv6用户可以通过IPv6链路访问新升级的IPv6服务,IPv4用户可以通过IPv4链路访问原有的IPv4服务。但是,根据中国信通院《IPv6网络安全***》提到的,双栈技术增加了网络节点的安全暴露面,丰富了攻击者的攻击选择,会带来更大的安全隐患。同时,内部所有的网络业务***都需要升级到支持IPv4/IPv6两种类型的用户,由于双栈客户端的广泛存在,需要额外大量的工作将IPv6用户和IPv4用户联系起来进行用户管理和溯源管理,成本高且不易管理。
如果不采用双栈技术,那么需要使用IPv4/IPv6翻译技术。翻译技术包括应用层翻译技术和网络层翻译技术。应用层翻译技术终结用户的IPv6连接并向后台IPv4服务器发起新的IPv4连接,作为一个通道传递前后两个连接的数据,需要针对不同应用类型进行适配,如果用户的连接是加密或私有协议,应用层翻译技术需要与该协议做深度耦合且需要获取用户的安全密钥,安全风险高。与之相反,网络层翻译技术可以支持任意应用层协议,包括加密和私有协议。网络层翻译技术又包括有状态翻译技术和无状态翻译技术。
有状态翻译技术通过保存、跟踪、查找所有连接状态,实现IPv6地址和IPv4地址之间的动态映射。因此,如果需要对IPv4地址进行溯源找到原有的IPv6地址,需要保存基于连接的日志信息并进行搜索。该操作需要的日志量极大,对***的资源消耗很高,很难进行实时溯源,而且很容易出错和由于故障或受到攻击丢失数据。为实现实时溯源,专利号CN110351396A提供了一类IPv4/IPv6数据传输处理方法,接收带有源IPv6地址的IPv4数据传输包,将该源IPv6地址存储在该IPv4数据传输包头部的选项字节中,实现了溯源功能。该功能需要在数据报文中增加额外的数据长度,可能会导致增加后的报文长度超过MTU而无法传输。同时,该功能由于存入的是明文的IPv6地址且无校验功能,存在被假冒、篡改、攻击的漏洞,带来了新的安全风险。
与之相对应的,专利号CN103856580B公开了一种IPv6客户机访问IPv4服务器的方法,定义了一种IPv6客户端访问IPv4服务器的无状态翻译技术,不仅可以支持任意应用层协议,安全性好,而且不保存任何连接状态,通过事先配置好的IPv4/IPv6地址映射规则来实现翻译,实现IPv6地址和IPv4地址之间的静态映射。但其中并没有发明无状态翻译中安全溯源的技术。
因此,在IPv6客户端访问IPv4服务器场景下,目前的所有技术中,并没有足够安全可靠的、开销小的、适用于所有应用的溯源方法。
发明内容
有鉴于此,为解决现有IPv4/IPv6溯源方法的安全风险大、资源开销大、应用适配困难的问题,本发明基于无状态翻译技术,发明了加密安全的实时溯源方法和历史溯源方法,形成统一的无状态安全溯源装置。该装置无需查询日志,直接通过加密的API就可以实现实时IPv4/IPv6溯源,对***资源消耗极低,可以极大地降低***开销;该装置基于网络层无状态翻译技术,因此适用于所有应用,包括加密和私有应用;该装置不修改数据报文内容,同时兼容已有的IPv4防火墙,不会增加安全风险,同时使用加密技术保障溯源查询的端到端信息隐藏,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。
根据本公开的第一方面,提出了一种适用于IPv6/IPv4访问服务的安全溯源装置,包括通讯连接的无状态翻译网关和溯源装置,其中,
所述无状态翻译网关:用于配置IPv6/IPv4无状态灵活映射表,并基于所述IPv6/IPv4无状态灵活映射表对所接收到的IPv6/IPv4地址进行无状态映射,获得IPv6/IPv4地址映射记录;
所述溯源装置:用于向所述无状态翻译网关发出溯源请求,并根据所述溯源请求获取所述IPv6/IPv4地址映射记录,实现实时溯源及历史溯源。
在一种可能的实现方式中,可选地,所述溯源装置包括加密安全的实时溯源设施和加密安全的历史溯源设施,其中,
所述实时溯源设施:用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进行查询并获取数据,统计浏览量和基于IP地址的用户画像以及进行实时监控;
所述历史溯源设施:用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进行查询并获取数据,进行用户追踪和行为分析;
所述实时溯源设施和历史溯源设施分别连接至所述无状态翻译网关。
在一种可能的实现方式中,可选地,所述溯源装置上设有加密安全的溯源接口,所述溯源接口用于用户从所述无状态翻译网关上获取所述实时溯源设施中的实时溯源数据和/或所述历史溯源设施中的历史溯源数据。
在一种可能的实现方式中,可选地,所述溯源接口包括:
至少一个加密安全的本机查询溯源接口:所述本机查询溯源接口用于基于身份认证和授权的管理员以及有限集合的请求参数在所述无状态翻译网关上查询溯源信息;以及,
至少一个加密安全的远程查询溯源接口:所述远程查询溯源接口用于使用HTTPS/TLS/SSH加密方式,对接并实现外部业务/查询***与所述无状态翻译网关之间的溯源查询;以及,
至少一个加密安全的管理溯源接口:所述管理溯源接口用于管理***使用标准的SNMP协议进行实时溯源和历史溯源。
在一种可能的实现方式中,可选地,所述无状态翻译网关上配置有储存溯源资源的溯源MIB库,所述溯源MIB库包括实时溯源MIB库和历史溯源MIB库,所述实时溯源MIB库和历史溯源MIB库上皆配置有一个OID溯源接口,所述OID溯源接口用于调用所述实时溯源设施上的管理溯源接口或所述历史溯源设施上的管理溯源接口。
在一种可能的实现方式中,可选地,所述无状态翻译网关上还配置有前置判断组件和日志记录模块,其中,
所述前置判断组件:用于接收溯源请求,根据所述溯源请求判断溯源接口所属设施和接口类型,并将所述溯源请求分发至所匹配的溯源接口;
所述日志记录模块:用于将与所述溯源请求相关联的访问记录和查询记录均形成的强日志记录,记录在本机或单独的日志服务器上。
根据本公开的第二方面,提出了一种实施上述所述的适用于IPv6/IPv4访问服务的安全溯源装置的方法,包括如下步骤:
S100、安装并配置所述无状态翻译网关,基于所述无状态翻译网关正常运行业务流量;
S200、在所述无状态翻译网关上安装所述实时溯源设施和所述历史溯源设施,并分别配置至少一个所述本机查询溯源接口、所述远程查询溯源接口和所述管理溯源接口;
S300、发送加密的溯源请求,通过前置判断组件根据所述溯源请求判断溯源接口所属设施和接口类型,并将所述溯源请求分发至所匹配的溯源接口;以及,通过所述所匹配的溯源接口对所述加密的溯源请求进行用户权限校验:如果是合法请求则正常解密,并根据输入参数和无状态映射算法生成源地址和/或其他参数,实现溯源;如果是非法请求,则拒绝访问;
S400、通过日志记录模块,将与所述溯源请求相关联的访问记录和查询记录均形成的强日志记录,记录在本机或单独的日志服务器上。
根据本公开的第三方面,提出了一种基于上述所述适用于IPv6/IPv4访问服务的安全溯源装置进行本机查询的溯源方法,包括如下步骤:
S111、管理用户登录所述无状态翻译网关,进行用户权限校验和认证;
S121、输入包含溯源参数的溯源请求;
S131、通过所述本机查询溯源接口判断所述溯源参数是否匹配所述本机查询溯源接口的限定格式:是则通过所述本机查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S141、获取所述输出数据并返回给用户。
根据本公开的第四方面,提出了一种基于上述所述适用于IPv6/IPv4访问服务的安全溯源装置进行远程查询的溯源方法,包括如下步骤:
S211、远程用户登录所述无状态翻译网关,进行用户权限校验和认证;
S221、输入包含溯源参数的溯源请求;
S231、通过所述远程查询溯源接口判断所述远程用户的IPv4/IPv6地址是否在预设允许范围内:是则解密所述溯源请求,并判断所述溯源参数是否匹配所述远程查询溯源接口的限定格式;否则丢弃该溯源请求;
S241、若所述溯源参数匹配所述远程查询溯源接口的限定格式,则通过所述远程查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S251、获取所述输出数据并返回给远程用户。
根据本公开的第五方面,提出了一种基于上述所述适用于IPv6/IPv4访问服务的安全溯源装置进行管理的溯源方法,包括如下步骤:
S311、在所述无状态翻译网关和网络管理***上安装溯源MIB库,并配置SNMP参数和SNMP模式;
S321、网络管理用户登录所述无状态翻译网关,进行用户权限校验和认证;
S331、输入包含溯源参数的溯源请求;
S341、通过所述管理溯源接口判断所述网络管理用户的IPv4/IPv6地址是否在预设允许范围内:是则解密所述溯源请求,并判断所述溯源参数是否匹配所述管理溯源接口的限定格式;否则丢弃该溯源请求;
S351、若所述溯源参数匹配所述管理溯源接口的限定格式,则通过所述管理溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S361、获取所述输出数据并返回给所述网络管理用户。
本申请的技术效果:
本发明提供了所述无状态翻译网关:用于配置IPv6/IPv4无状态灵活映射表,并基于所述IPv6/IPv4无状态灵活映射表对所接收到的IPv6/IPv4地址进行无状态映射,获得IPv6/IPv4地址映射记录;以及所述溯源装置:用于向所述无状态翻译网关发出溯源请求,并根据所述溯源请求获取所述IPv6/IPv4地址映射记录,实现历史溯源及实时溯源。基于无状态翻译技术,发明了加密安全的实时溯源方法和历史溯源方法,形成统一的无状态安全溯源装置。该装置无需查询日志,直接通过加密的API就可以实现实时IPv4/IPv6溯源,对***资源消耗极低,可以极大地降低***开销;该装置基于网络层无状态翻译技术,因此适用于所有应用,包括加密和私有应用;该装置不修改数据报文内容,同时兼容已有的IPv4防火墙,不会增加安全风险,同时使用加密技术保障溯源查询的端到端信息隐藏,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出为本发明适用于IPv6/IPv4访问服务的安全溯源装置的组成示意图;
图2示出为本发明实施例2的实施流程示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
本发明基于无状态翻译技术,发明了加密安全的实时溯源方法和历史溯源方法,形成统一的无状态安全溯源装置。该装置无需查询日志,直接通过加密的API就可以实现实时IPv4/IPv6溯源,对***资源消耗极低,可以极大地降低***开销;该装置基于网络层无状态翻译技术,因此适用于所有应用,包括加密和私有应用;该装置不修改数据报文内容,同时兼容已有的IPv4防火墙,不会增加安全风险,同时使用加密技术保障溯源查询的端到端信息隐藏,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。
如图1所示,根据本公开的第一方面,提出了一种适用于IPv6/IPv4访问服务的安全溯源装置,包括通讯连接的无状态翻译网关和溯源装置,其中,
1)所述无状态翻译网关:用于配置IPv6/IPv4无状态灵活映射表,并基于所述IPv6/IPv4无状态灵活映射表对所接收到的IPv6/IPv4地址进行无状态映射,获得IPv6/IPv4地址映射记录;
本实施例中,首先在无状态翻译网关中配置构建好的IPv6/IPv4无状态灵活映射表,IPv6/IPv4无状态灵活映射表的构建规则按照预设映射规则来构建,预设映射规则由用户具体设计。上述翻译网关配置界面的实现方式、翻译网关设备部署位置等细节本发明不进行限定。
IPv6/IPv4无状态灵活映射表表示目标地址的IPv6/IPv4静态映射关系,即真实的IPv4服务器地址与虚拟的IPv6公布地址之间的静态映射关系。
构建方式可以包括如下构建方式:在IPv6/IPv4无状态灵活映射表中,每一行表示一条IPv6/IPv4映射规则,每条映射规则可以是一对一,即一个IPv6地址对应一个IPv4地址,也可以是聚合后的多对多,即一个IPv6前缀A中的多个IPv6地址与一个IPv4前缀B中的多个IPv4地址实现一一映射的关系。IPv6/IPv4无状态灵活映射表中,可以包含多条映射规则,不同映射规则之间可以有重叠的IPv6地址范围和/或重叠的IPv4地址范围,如果有重叠,按照最长前缀匹配规则,选取最优规则。
在IPv6/IPv4无状态灵活映射表中,每条映射规则包括5个字段:
1)映射规则类型:包括固定映射类型和/或地址嵌入映射类型。其中,固定映射类型是单个IPv6地址对应单个IPv4地址;地址嵌入映射类型是按照RFC6052规定的“IPv4-Embedded IPv6地址格式”。
2)IPv6前缀:本条映射规则的IPv6地址部分,可以是一个IPv6前缀,也可以是一个IPv6地址,即一个前缀长度是128的IPv6前缀。
3)IPv6前缀长度:上述IPv6前缀的前缀长度。
4)IPv4前缀:本条映射规则的IPv4地址部分,可以是一个IPv4前缀,也可以是一个IPv4地址,即一个前缀长度是32的IPv4前缀。
5)IPv4前缀长度:上述IPv4前缀的前缀长度。
其中,任意两条IPv6/IPv4无状态灵活映射规则,上述5个字段不能完全相同;如果发生该现象,***发出无法配置的警告。
如果配置一条映射规则时,IPv4前缀与已有的某条映射规则冲突,则在翻译网关上新建一个IPv6/IPv4无状态灵活映射表E1,并区分两个映射表的源IPv4地址范围,对于IPv4服务器返回的报文,基于目标地址的路由为两个映射表引流。
如果存在多个IPv4前缀对应相同的IPv6前缀,则映射规则可以进行聚合为一条映射规则,聚合之后,在IPv6到IPv4映射过程中,先根据IPv6地址查找到若干映射规则,根据查找到的规则中的IPv6前缀长度,去掉IPv6前缀,得到IPv4地址,再根据IPv4地址在已查找到的映射规则中进行遍历匹配,得到最终的映射规则。
在IPv6客户机访问IPv4服务器时,IPv4服务器可以对IPv6互联网发布用户自由定义的IPv6地址,并将该虚拟IPv6地址与服务器真实的IPv4地址实现静态映射,***到翻译网关的IPv6/IPv4无状态灵活映射表中。
上述IPv6/IPv4无状态灵活映射表仅对应服务器真实IPv4地址的IPv6/IPv4映射算法,另一个方向的IPv6/IPv4映射算法不做限定。以及添加IPv6/IPv4灵活映射表项的上层接口和操作方式不做限定。
通过遍历所述IPv6/IPv4无状态灵活映射表,并对其中的每个服务器端IPv4地址配置对应的DNS AAAA记录;通过IPv6客户机向DNS服务器请求返还所述DNS AAAA记录,将所述DNS AAAA记录转换获得IPv6分组并发送;通过所述无状态翻译网关接收所述IPv6分组,根据IPv6目的地址和IPv4源地址在所述IPv6/IPv4无状态灵活映射表中分别进行二次映射,获得IPv6映射地址并发送。无状态翻译网关接收第一类IPv6分组,首先根据IPv6源地址映射得到IPv4源地址,再根据IPv6目的地址和第一最长前缀匹配原则在无状态灵活映射表E中查找IPv6目的地址对应的第一映射规则,如果查到对应的第一映射规则,计算得到第一类IPv4分组的目的地址,发送第一类IPv4分组;如果无法查到对应的第一映射规则,则丢弃。IPv4服务器收到第一类IPv4分组进行处理,产生并发送第二类IPv4分组到无状态翻译网关。
无状态翻译网关收到第二类IPv4分组,首先根据IPv4目的地址映射得到IPv6目的地址。再根据IPv4源地址(即IPv4服务器地址)和第二最长前缀匹配原则在IPv6/IPv4无状态灵活映射表E中查找IPv4源地址对应的第二映射规则,如果查到对应的第二映射规则,计算得到第二类IPv6分组的源IPv6地址,发送第二类IPv6分组;如果无法查到对应的第二映射规则,则丢弃。
IPv6客户机发送的数据包经过无状态翻译网关,无状态翻译网关对IPv6地址映射成IPv4地址,保存源IPv6地址的映射记录,得到IPv4数据包发送给IPv4服务器。IPv4服务器将收到的IPv4数据包处理后转发。无状态翻译网关收到IPv4数据包,查询地址映射记录F,得到IPv6数据包,发送给IPv6客户机。
根据配置的IPv6/IPv4无状态灵活映射表,遍历映射表,对映射表中的每个服务器端IPv4地址,配置其对应的DNS AAAA记录,方法是:
如果映射规则类型是固定映射类型,则将映射规则中的IPv6地址作为DNS AAAA记录对应的IPv6地址,并在DNS服务器上配置AAAA记录将其公布;
如果映射规则类型是地址嵌入映射类型,则根据RFC6052地址映射规则,将IPv4地址嵌入到该映射规则的IPv6前缀后,并将其作为DNS AAAA记录对应的IPv6地址,在DNS服务器上配置AAAA记录将其公布。
IPv6互联网中的IPv6客户机向DNS服务器请求IPv4服务器的AAAA记录,DNS服务器返回此IPv4服务器的AAAA记录给IPv6客户机,IPv6客户机发送第一类IPv6分组;无状态翻译网关接收第一类IPv6分组,首先根据IPv6源地址映射得到IPv4源地址,再根据IPv6目的地址和第一最长前缀匹配原则在无状态灵活映射表E中查找IPv6目的地址对应的第一映射规则,如果查到对应的第一映射规则,计算得到第一类IPv4分组的目的地址,发送第一类IPv4分组;如果无法查到对应的第一映射规则,则丢弃。
上述第一最长前缀匹配原则的过程是:
搜索IPv6/IPv4无状态灵活映射表,对第一类IPv6分组的IPv6目的地址进行匹配,找出所有匹配的映射规则。判断是否匹配的规则是:
1)、如果IPv6目的地址与当前映射规则的IPv6前缀不匹配,则记为不匹配;
如果IPv6目的地址与当前映射规则的IPv6前缀匹配,则判断该映射规则的类型;
2)、如果是固定映射,则直接判断为匹配;如果是地址嵌入映射,则从IPv6目的地址中取出IPv4地址,判断IPv4地址是否与当前映射规则的某个IPv4前缀匹配;
3)、如果可以匹配,则找出IPv4前缀长度最长的匹配项,判断为匹配;如果不能匹配,则判断为不匹配。
上述搜索的算法,无论是线性或非线性,无论时间复杂度或空间复杂度,本专利不进行限定。
映射规则搜索过程结束之后,根据映射规则包括的5个字段,找出最优匹配的映射规则:
如果上述搜索过程未找到匹配的映射规则,则丢弃第一类IPv6分组;
如果有匹配的映射规则,则在其中找到IPv6前缀长度最长的映射规则。
如果上述过程只找到一个IPv6前缀长度最长的映射规则,将其记为最优规则。
如果有多个IPv6前缀长度最长的映射规则,则比较其IPv4前缀长度,找到其中IPv4前缀长度最长的映射规则。由于之前规定不能有5个字段完全相同的两条映射规则同时存在,因此这里一定只能找到一条映射规则。将其记为最优规则。
IPv4服务器收到第一类IPv4分组进行处理,产生并发送第二类IPv4分组到翻译网关。
翻译网关收到第二类IPv4分组,首先根据IPv4目的地址映射得到IPv6目的地址。再根据IPv4源地址(即IPv4服务器地址)和第二最长前缀匹配原则在IPv6/IPv4无状态灵活映射表E中查找IPv4源地址对应的第二映射规则,如果查到对应的第二映射规则,计算得到第二类IPv6分组的源IPv6地址,发送第二类IPv6分组;如果无法查到对应的第二映射规则,则丢弃。
上述第二最长前缀匹配原则的过程是:
搜索IPv6/IPv4无状态灵活映射表,对第二类IPv4分组的IPv4源地址进行匹配,找出所有匹配的映射规则。判断是否匹配的规则是:
根据目的IPv4地址路由找到对应的映射表;如果IPv4源地址与当前映射规则的IPv4前缀不匹配,则记为不匹配;如果IPv4源地址匹配当前映射规则的IPv4前缀,则记为匹配。
上述搜索的算法,无论是线性或非线性,无论时间复杂度或空间复杂度,本专利不进行限定。
映射规则搜索过程结束之后,找出最优匹配的映射规则:如果上述搜索过程未找到匹配的映射规则,则丢弃第二类IPv4分组;如果有匹配的映射规则,则在其中找到IPv4前缀长度最长的映射规则;如果两条映射规则的IPv4前缀相同则不在一张映射表中,因此一张映射表的任意两条映射规则的IPv4前缀长度一定不同,因此上述过程只能找到一条最优的映射规则,将其记为最优规则。
通过上述无状态映射,可以实现:
根据IPv6/IPv4无状态灵活映射算法,可以通过按需加入指定IPv6地址和指定IPv4地址之间的若干固定映射表项,并与RFC6052规定的IPv6/IPv4映射算法表项进行融合,实现统一的基于最长前缀匹配的IPv6/IPv4灵活映射表,可以适应各种不同的IPv6/IPv4访问的应用场景和用户需求。可以实现动态分配的IPv6地址与服务器IPv4地址之间的静态映射,满足任意部署场景。支持对IPv6用户隐藏服务器的真实IPv4地址,支持IPv4服务器发布加密的IPv6地址,实现一定程度的安全保护效果。支持固定的IPv6地址发布,无论内部服务器的IPv4地址如何变化,外部发布的IPv6地址总是保持不变,保持用户访问服务的稳定性,可应用于基于云服务的IPv4服务升级到IPv6服务。
2)为了对得到正确的源IPv6地址,以及保证溯源在安全防护或者用户数量统计中的作用,本***设置了溯源装置从所述无状态翻译网关中请求获取不同的映射记录。
所述溯源装置:用于向所述无状态翻译网关发出溯源请求,并根据所述溯源请求获取所述IPv6/IPv4地址映射记录,实现实时溯源及历史溯源。
本实施例,溯源装置包括两个部分:加密安全的实时溯源设施和加密安全的历史溯源设施,可以根据溯源请求,向所述无状态翻译网关发出溯源请求,并根据所述溯源请求获取所述IPv6/IPv4地址映射记录,实现历史溯源及实时溯源。
当有溯源请求到达无状态翻译网关时,前置判断组件判断溯源接口所属设施和接口类型,并将请求分发至相应接口;对应接口对加密的溯源请求进行用户权限校验,如果是合法请求则正常解密,并根据输入参数和无状态映射算法,用无状态的方式生成源地址及/或其他参数,实现溯源的目的。
其中,实时溯源设施可用于统计浏览量、实时监控、基于IP地址的用户画像等;历史溯源设施可用于用户追踪、行为分析等。实时溯源设施和历史溯源设施基于无状态翻译算法,对无状态算法和无状态映射表进行查询,因此具有适用所有应用和开销小的特性。根据不同的使用需求,实时溯源设施和历史溯源设施开放若干加密安全的接口供使用者使用,包括但不限于:加密安全的本机查询溯源接口,加密安全的远程查询溯源接口,加密安全的管理溯源接口,等,并做好强日志记录。
如图1所示,在一种可能的实现方式中,可选地,所述溯源装置包括加密安全的实时溯源设施和加密安全的历史溯源设施,其中,
所述实时溯源设施:用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进行查询并获取数据,统计浏览量和基于IP地址的用户画像以及进行实时监控;
所述历史溯源设施:用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进行查询并获取数据,进行用户追踪和行为分析;
所述实时溯源设施和历史溯源设施分别连接至所述无状态翻译网关。
时溯源设施可用于统计浏览量、实时监控、基于IP地址的用户画像等;历史溯源设施可用于用户追踪、行为分析等。实时溯源设施和历史溯源设施基于无状态翻译算法,对无状态算法和无状态映射表进行查询,因此具有适用所有应用和开销小的特性。根据不同的使用需求,实时溯源设施和历史溯源设施开放若干加密安全的接口供使用者使用,包括但不限于:加密安全的本机查询溯源接口,加密安全的远程查询溯源接口,加密安全的管理溯源接口等,并做好强日志记录。
本实施例,所述实时溯源设施和历史溯源设施皆可通过一个溯源接口而向无状态翻译网关请求溯源数据,根据溯源请求中包含的溯源参数获取无状态翻译网关中映射记录。根据溯源请求以及对应不同的溯源参数,可以进行不同类型的溯源管理。在无状态翻译网关上安装加密安全的实时溯源设施和加密安全的历史溯源设施,每项设施从无状态翻译网关的无状态映射算法和映射表中读取数据,并分别提供加密安全本机查询溯源接口、加密安全远程查询溯源接口和加密安全管理溯源接口。
在一种可能的实现方式中,可选地,所述溯源装置上设有加密安全的溯源接口,所述溯源接口用于用户从所述无状态翻译网关上获取所述实时溯源设施中的实时溯源数据和/或所述历史溯源设施中的历史溯源数据。
具体的,如图1所示。
在一种可能的实现方式中,可选地,所述溯源接口包括:
至少一个加密安全的本机查询溯源接口:所述本机查询溯源接口用于基于身份认证和授权的管理员以及有限集合的请求参数在所述无状态翻译网关上查询溯源信息;加密安全的本机查询溯源接口用于***管理员或设备管理员在翻译设备上直接查询相应的溯源信息,可以是命令行/网页portal查询或其他形式不做限定。该接口基于严格的用户身份认证和授权,未登录用户或非授权用户无法查询相应的溯源信息,且过一段时间之后需要重新认证。同时,该接口仅接受有限集合的参数范围,因此该接口可充分保证溯源查询的有效性和真实可信。
以及,至少一个加密安全的远程查询溯源接口:所述远程查询溯源接口用于使用HTTPS/TLS/SSH加密方式,对接并实现外部业务/查询***与所述无状态翻译网关之间的溯源查询;加密安全的远程查询溯源接口:用于对接外部的业务***或查询***,具体的调用形式可以是Restful/gRPC/NETCONF或其他,形式和格式均不做限定。该接口使用HTTPS/TLS/SSH进行端到端加密,在开销小、适用所有应用的基础上,实现端到端的安全可靠传输,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。在并发量大的应用场景,该接口可使用异步设计尽可能提高并发请求支持数量,实现的溯源查询。
以及,至少一个加密安全的管理溯源接口:所述管理溯源接口用于管理***使用标准的SNMP协议进行实时溯源和历史溯源。加密安全的管理溯源接口用于网络管理***、监控***等业务***,使用标准的SNMP协议进行实时溯源和历史溯源。该接口使用端到端加密的SNMP协议,在开销小、适用所有应用的基础上,实现端到端的安全可靠传输,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。
在一种可能的实现方式中,可选地,所述无状态翻译网关上配置有储存溯源资源的溯源MIB库,所述溯源MIB库包括实时溯源MIB库和历史溯源MIB库,所述实时溯源MIB库和历史溯源MIB库上皆配置有一个OID溯源接口,所述OID溯源接口用于调用所述实时溯源设施上的管理溯源接口或所述历史溯源设施上的管理溯源接口。
在无状态翻译网关和网络管理***上安装无状态翻译溯源相关的MIB库,包括实时溯源MIB库和历史溯源MIB库,并配置MIB库的OID,供实时溯源设施和历史溯源设施的加密安全管理溯源接口调用。
在一个优选实施例中,首先在无状态翻译网关安装SNMP代理端,并通过SNMP代理端加载SNMP溯源模块;其中,SNMP代理端和无状态翻译网关之间基于SNMPv1/v2c/v3协议设置的SNMP溯源trap进行数据采集和传输,SNMP溯源模块通过SNMP溯源trap主动向SNMP管理服务器上报溯源记录。
在无状态翻译网关工作过程中,SNMP代理端会收集IPv6/IPv4地址映射记录中的信息,储存在溯源MIB(Management information base)库中。管理员或者用户可以通过SNMP管理服务器向SNMP代理端发送获取溯源记录的请求,SNMP代理端收到请求后,在溯源MIB库中查找到相应的结果,返回给SNMP管理服务器。SNMP是因特网架构委员会IAB定义的一个应用层协议,广泛用于管理和监控网络设备,基于SNMPv1/v2c/v3协议的溯源模块为接入统一网络管理节点提供接口,便于远程溯源查询,且支持实时查询及历史查询。
在一种可能的实现方式中,可选地,所述无状态翻译网关上还配置有前置判断组件和日志记录模块,其中,
所述前置判断组件:用于接收溯源请求,根据所述溯源请求判断溯源接口所属设施和接口类型,并将所述溯源请求分发至所匹配的溯源接口;
所述日志记录模块:用于将与所述溯源请求相关联的访问记录和查询记录均形成的强日志记录,记录在本机或单独的日志服务器上。
当有溯源请求到达无状态翻译网关时,前置判断组件判断溯源接口所属设施和接口类型,并将请求分发至相应接口;对应接口对加密的溯源请求进行用户权限校验,如果是合法请求则正常解密,并根据输入参数和无状态映射算法,用无状态的方式生成源地址及/或其他参数,实现溯源的目的。如果是非法请求则拒绝访问。
无论是合法请求还是非法请求,相关的访问记录和查询记录均形成强日志记录,日志记录模块将其记录在本机或单独的日志服务器上,记录的方式不做限定。
需要说明的是,默认采用SNMP Get的方式,由网络管理***向溯源装置进行查询。在特定情况下也可使用SNMP Trap/Inform的方式,由溯源装置向网络管理***进行上报,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定网络方式,只要实现溯源装置和无状态翻译网关之间的溯源请求查询即可。
上述加密安全的本机查询溯源接口可以是命令行/网页portal查询或其他形式不做限定。用户可以通过命令行向命令行溯源模块输入参数:IPv4地址,输入的参数可以是单个或多个IPv4地址进行批量查询,也可以包括时间等其他需要的参数;命令行溯源模块根据输入参数在映射记录F中查询并输出查询结果到命令行终端,查询结构为输入IPv4地址对应的IPv6地址,也可以包括时间。命令行溯源模块可以安装在无状态翻译网关设备上,管理员或者用户可以通过翻译设备的命令行输入IPv4地址即可查询到用户的IPv6地址,查询结果直观,可在需要时快速定位IPv6地址。
上述加密安全的远程查询溯源接口的调用形式可以是Restful/gRPC/NETCONF或其他,形式和格式均不做限定。用户通过基于Restful架构的Restful客户端发起溯源请求,向Restful API溯源模块发起溯源请求,请求参数为一个IPv4地址或批量IPv4地址,还可以包括时间等参数;Restful API溯源模块根据输入参数在IPv6/IPv4地址映射记录中查询,并将结果进行封装,返回给请求的客户端。标准Restful API溯源接口提供单条查询及批量查询,性能好,灵活性高,易于接入其他基于Restful架构的溯源***。
上述加密安全的管理溯源接口使用的SNMP版本不做限定。基于SNMPv1/v2c/v3协议设置的SNMP溯源trap主动向SNMP管理服务器上报所述溯源记录,以及收集所述IPv6/IPv4地址映射记录并储存在溯源MIB库中;以及,SNMP溯源模块:用于通过所述SNMP管理服务器向所述SNMP代理端发送溯源记录获取请求,从所述溯源MIB库中获取溯源记录并返回给所述SNMP管理服务器。
溯源查询的访问记录和查询记录形成的日志信息,记录在本机或单独的日志服务器上,记录的方式不做限定。
尽管根据IPv6/IPv4无状态灵活映射表作了上述根据IPv6分组地址映射得到IPv4目的地址的如上示例介绍,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定映射方向,上述IPv6/IPv4无状态灵活映射表仅对应服务器真实IPv4地址的IPv6/IPv4映射算法,另一个方向的IPv6/IPv4映射算法不做限定。只要按照上述映射规则的建立原则以及地址映射的实现原理和思路实现地址访问即可。当实现IPv6-->IPv4的映射时,映射方向是目的地址的IPv6-IPv4翻译;当实现IPv4-->IPv6的映射时,映射方向是源地址的IPv4-IPv6翻译。
这样,通过所述无状态翻译网关以及所述溯源装置,基于无状态翻译技术,发明了加密安全的实时溯源方法和历史溯源方法,形成统一的无状态安全溯源装置。该装置无需查询日志,直接通过加密的API就可以实现实时IPv4/IPv6溯源,对***资源消耗极低,可以极大地降低***开销;该装置基于网络层无状态翻译技术,因此适用于所有应用,包括加密和私有应用;该装置不修改数据报文内容,同时兼容已有的IPv4防火墙,不会增加安全风险,同时使用加密技术保障溯源查询的端到端信息隐藏,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。
实施例2
基于实施例1的实施,本实施例,提供一种实施实施例1所述的适用于IPv6/IPv4访问服务的安全溯源装置的方法。如图2所示。
根据本公开的第二方面,提出了一种实施上述所述的适用于IPv6/IPv4访问服务的安全溯源装置的方法,包括如下步骤:
S100、安装并配置所述无状态翻译网关,基于所述无状态翻译网关正常运行业务流量;
S200、在所述无状态翻译网关上安装所述实时溯源设施和所述历史溯源设施,并分别配置至少一个所述本机查询溯源接口、所述远程查询溯源接口和所述管理溯源接口;
S300、发送加密的溯源请求,通过前置判断组件根据所述溯源请求判断溯源接口所属设施和接口类型,并将所述溯源请求分发至所匹配的溯源接口;以及,通过所述所匹配的溯源接口对所述加密的溯源请求进行用户权限校验:如果是合法请求则正常解密,并根据输入参数和无状态映射算法生成源地址和/或其他参数,实现溯源;如果是非法请求,则拒绝访问;
S400、通过日志记录模块,将与所述溯源请求相关联的访问记录和查询记录均形成的强日志记录,记录在本机或单独的日志服务器上。
当有溯源请求到达无状态翻译网关时,前置判断组件判断溯源接口所属设施和接口类型,并将请求分发至相应接口;对应接口对加密的溯源请求进行用户权限校验,如果是合法请求则正常解密,并根据输入参数和无状态映射算法,用无状态的方式生成源地址及/或其他参数,实现溯源的目的。如果是非法请求则拒绝访问。无论是合法请求还是非法请求,相关的访问记录和查询记录均形成强日志记录,记录在本机或单独的日志服务器上,记录的方式不做限定。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
本申请的技术效果:
本发明基于无状态翻译技术,发明了加密安全的实时溯源方法和历史溯源方法,形成统一的无状态安全溯源装置。该装置无需查询日志,直接通过加密的API就可以实现实时IPv4/IPv6溯源,对***资源消耗极低,可以极大地降低***开销;该装置基于网络层无状态翻译技术,因此适用于所有应用,包括加密和私有应用;该装置不修改数据报文内容,同时兼容已有的IPv4防火墙,不会增加安全风险,同时使用加密技术保障溯源查询的端到端信息隐藏,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。
实施例3
基于施例1的实施,本实施例结合本机查询溯源接口提供一种本机查询溯源方法。
根据本公开的第三方面,提出了一种基于上述所述适用于IPv6/IPv4访问服务的安全溯源装置进行本机查询的溯源方法,包括如下步骤:
S111、管理用户登录所述无状态翻译网关,进行用户权限校验和认证;
S121、输入包含溯源参数的溯源请求;
S131、通过所述本机查询溯源接口判断所述溯源参数是否匹配所述本机查询溯源接口的限定格式:是则通过所述本机查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S141、获取所述输出数据并返回给用户。
具体的实施步骤如下,
步骤1:***管理员登录翻译设备,进行用户认证。如果认证成功且有查询溯源日志的权限,则转到步骤2,如果认证失败或者没有查询溯源日志的权限,则拒绝进行溯源查询;
步骤2:***管理员输入溯源参数并开始查询。如果是实时查询,则输入一个或多个源IPv4地址;如果是历史查询,则在输入一个或多个源IPv4地址的基础上,可能还需要输入时间范围等信息;
步骤3:加密安全本机查询溯源接口检查参数是否为限定的格式。如果是,则继续进行步骤4;否则直接丢弃该请求。
步骤4:加密安全本机查询溯源接口根据无状态翻译映射算法和映射表进行实时查询,并返回结构化的输出数据。输出数据可以包括溯源后的IPv6地址,或者若干IPv4-IPv6无状态映射记录,或其他需要的溯源结果;
步骤5:将结构化的输出数据组织成用户友好的输出形式,并可以导出。
实施例4
基于施例1的实施,本实施例结合远程查询溯源接口提供一种远程查询溯源方法。
根据本公开的第四方面,提出了一种基于上述所述适用于IPv6/IPv4访问服务的安全溯源装置进行远程查询的溯源方法,包括如下步骤:
S211、远程用户登录所述无状态翻译网关,进行用户权限校验和认证;
S221、输入包含溯源参数的溯源请求;
S231、通过所述远程查询溯源接口判断所述远程用户的IPv4/IPv6地址是否在预设允许范围内:是则解密所述溯源请求,并判断所述溯源参数是否匹配所述远程查询溯源接口的限定格式;否则丢弃该溯源请求;
S241、若所述溯源参数匹配所述远程查询溯源接口的限定格式,则通过所述远程查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S251、获取所述输出数据并返回给远程用户。
具体的实施步骤如下,
步骤1:外部业务***或查询***向溯源装置进行用户认证。如果认证成功且有查询溯源日志的权限,则转到步骤2,如果认证失败或者没有查询溯源日志的权限,则拒绝进行溯源查询;
步骤2:外部业务***或查询***向通过本接口输入溯源参数并开始查询。如果是实时查询,则输入一个或多个源IPv4地址;如果是历史查询,则在输入一个或多个源IPv4地址的基础上,可能还需要输入时间范围等信息。相关信息用加密的形式封装在报文中发送给无状态翻译网关;
步骤3:加密安全远程查询溯源接口判断溯源查询者的IPv4/IPv6地址是否在允许范围内,如果在允许范围内,则继续进行步骤4;否则则直接丢弃该请求;
步骤4:加密安全远程查询溯源接口解密请求,并判断查询者的参数是否为限定的格式。如果是,则继续进行步骤5;否则直接丢弃该请求。
步骤5:根据无状态翻译映射算法和映射表进行实时查询,并返回结构化的输出数据。输出数据可以包括溯源后的IPv6地址,或者若干IPv4-IPv6无状态映射记录,或其他需要的溯源结果;可选的,可以通过异步方式进行查询,进一步提高查询的性能。
步骤6:将结构化的输出数据组织成标准的接口输出形式,并以加密的方式发送给溯源查询者。
实施例5
基于施例1的实施,本实施例结合管理溯源接口提供一种管理查询溯源方法。
根据本公开的第五方面,提出了一种基于上述所述适用于IPv6/IPv4访问服务的安全溯源装置进行管理的溯源方法,包括如下步骤:
S311、在所述无状态翻译网关和网络管理***上安装溯源MIB库,并配置SNMP参数和SNMP模式;
S321、网络管理用户登录所述无状态翻译网关,进行用户权限校验和认证;
S331、输入包含溯源参数的溯源请求;
S341、通过所述管理溯源接口判断所述网络管理用户的IPv4/IPv6地址是否在预设允许范围内:是则解密所述溯源请求,并判断所述溯源参数是否匹配所述管理溯源接口的限定格式;否则丢弃该溯源请求;
S351、若所述溯源参数匹配所述管理溯源接口的限定格式,则通过所述管理溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S361、获取所述输出数据并返回给所述网络管理用户。
具体实施步骤如下,
步骤1:配置SNMP相关参数,可包括唯一号、认证用户名/密码、网管***白名单地址等。并在无状态翻译网关和网络管理***上安装无状态翻译溯源相关的MIB库,包括实时溯源MIB库和历史溯源MIB库,配置MIB库的OID,供实时溯源设施和历史溯源设施的加密安全管理溯源接口调用。
步骤2:配置SNMP的模式。默认采用SNMP Get的方式,由网络管理***向溯源装置进行查询。在特定情况下也可使用SNMP Trap/Inform的方式,由溯源装置向网络管理***进行上报,本发明不做限定。
步骤3:网络管理***向溯源装置进行用户认证。如果认证成功且有查询溯源日志的权限,则转到步骤4,如果认证失败或者没有查询溯源日志的权限,则拒绝进行溯源查询;
步骤4:网络管理***向通过本接口输入溯源参数并开始查询。如果是实时查询,则输入一个或多个源IPv4地址;如果是历史查询,则在输入一个或多个源IPv4地址的基础上,可能还需要输入时间范围等信息。相关信息用加密的SNMP形式封装在报文中发送给无状态翻译网关;
步骤5:加密安全管理溯源接口判断溯源查询者的IPv4/IPv6地址是否在允许范围内,如果在允许范围内,则继续进行步骤6;否则则直接丢弃该请求;
步骤6:加密安全管理溯源接口解密请求,并判断查询者的SNMP请求参数是否为限定的格式。如果是,则继续进行步骤7;否则直接丢弃该请求。
步骤7:根据无状态翻译映射算法和映射表进行实时查询,并返回结构化的输出数据。输出数据可以包括溯源后的IPv6地址,或者若干IPv4-IPv6无状态映射记录,或其他需要的溯源结果;
步骤8:将结构化的输出数据组织成标准的SNMP接口输出形式,并以加密的方式发送给溯源查询者。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
本申请涉及一种适用于IPv6/IPv4访问服务的安全溯源装置,包括所述无状态翻译网关以及所述溯源装置。基于无状态翻译技术,发明了加密安全的实时溯源方法和历史溯源方法,形成统一的无状态安全溯源装置。该装置无需查询日志,直接通过加密的API就可以实现实时IPv4/IPv6溯源,对***资源消耗极低,可以极大地降低***开销;该装置基于网络层无状态翻译技术,因此适用于所有应用,包括加密和私有应用;该装置不修改数据报文内容,同时兼容已有的IPv4防火墙,不会增加安全风险,同时使用加密技术保障溯源查询的端到端信息隐藏,中间人无法侦听和篡改,极大地保护了溯源***的稳定性和安全性。

Claims (10)

1.一种适用于IPv6/IPv4访问服务的安全溯源装置,其特征在于,包括通讯连接的无状态翻译网关和溯源装置,其中,
所述无状态翻译网关:用于配置IPv6/IPv4无状态灵活映射表,并基于所述IPv6/IPv4无状态灵活映射表对所接收到的IPv6/IPv4地址进行无状态映射,获得IPv6/IPv4地址映射记录;
(1)IPv6/IPv4无状态灵活映射表的构建规则按照预设映射规则来构建,构建方式如下:
在IPv6/IPv4无状态灵活映射表中,每一行表示一条IPv6/IPv4映射规则:
如果配置一条映射规则时,IPv4前缀与已有的某条映射规则冲突,则在翻译网关上新建一个IPv6/IPv4无状态灵活映射表,并区分两个映射表的源IPv4地址范围,对于IPv4服务器返回的报文,基于目标地址的路由为两个映射表引流;
如果存在多个IPv4前缀对应相同的IPv6前缀,则映射规则进行聚合为一条映射规则,聚合之后,在IPv6到IPv4映射过程中,先根据IPv6地址查找到若干映射规则,根据查找到的映射规则中的IPv6前缀长度,去掉IPv6前缀,得到IPv4地址,再根据IPv4地址在已查找到的映射规则中进行遍历匹配,得到最终的映射规则;
(2)基于所述IPv6/IPv4无状态灵活映射表对所接收到的IPv6/IPv4地址进行无状态映射,获得IPv6/IPv4地址映射记录,包括:
通过遍历所述IPv6/IPv4无状态灵活映射表,并对其中的每个服务器端IPv4地址配置对应的DNS AAAA记录;通过IPv6客户机向DNS服务器请求返还所述DNS AAAA记录,将所述DNS AAAA记录转换获得IPv6分组并发送;通过所述无状态翻译网关接收所述IPv6分组,根据IPv6目的地址和IPv4源地址在所述IPv6/IPv4无状态灵活映射表中分别进行二次映射,获得IPv6映射地址并发送;无状态翻译网关接收第一类IPv6分组,首先根据IPv6源地址映射得到IPv4源地址,再根据IPv6目的地址和第一最长前缀匹配原则在IPv6/IPv4无状态灵活映射表中查找IPv6目的地址对应的第一映射规则,如果查到对应的第一映射规则,计算得到第一类IPv4分组的目的地址,发送第一类IPv4分组;如果无法查到对应的第一映射规则,则丢弃;IPv4服务器收到第一类IPv4分组进行处理,产生并发送第二类IPv4分组到无状态翻译网关;
无状态翻译网关收到第二类IPv4分组,首先根据IPv4目的地址映射得到IPv6目的地址;再根据IPv4源地址和第二最长前缀匹配原则在IPv6/IPv4无状态灵活映射表中查找IPv4源地址对应的第二映射规则,如果查到对应的第二映射规则,计算得到第二类IPv6分组的源IPv6地址,发送第二类IPv6分组;如果无法查到对应的第二映射规则,则丢弃;
IPv6客户机发送的数据包经过无状态翻译网关,无状态翻译网关将IPv6地址映射成IPv4地址,保存源IPv6地址的映射记录,得到IPv4数据包发送给IPv4服务器;IPv4服务器将收到的IPv4数据包处理后转发;无状态翻译网关收到IPv4数据包,查询IPv6/IPv4地址映射记录,得到IPv6数据包,发送给IPv6客户机;
根据配置的IPv6/IPv4无状态灵活映射表,遍历映射表,对映射表中的每个服务器端IPv4地址,配置其对应的DNS AAAA记录,方法是:
如果映射规则类型是固定映射类型,则将映射规则中的IPv6地址作为DNS AAAA记录对应的IPv6地址,并在DNS服务器上配置AAAA记录将其公布;
如果映射规则类型是地址嵌入映射类型,则根据RFC6052地址映射规则,将IPv4地址嵌入到该映射规则的IPv6前缀后,并将其作为DNS AAAA记录对应的IPv6地址,在DNS服务器上配置AAAA记录将其公布;
所述溯源装置:用于向所述无状态翻译网关发出溯源请求,并根据所述溯源请求获取所述IPv6/IPv4地址映射记录,实现实时溯源及历史溯源。
2.根据权利要求1所述的一种适用于IPv6/IPv4访问服务的安全溯源装置,其特征在于,所述溯源装置包括加密安全的实时溯源设施和加密安全的历史溯源设施,其中,
所述实时溯源设施:用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进行查询并获取数据,统计浏览量和基于IP地址的用户画像以及进行实时监控;
所述历史溯源设施:用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进行查询并获取数据,进行用户追踪和行为分析;
所述实时溯源设施和历史溯源设施分别连接至所述无状态翻译网关。
3.根据权利要求2所述的一种适用于IPv6/IPv4访问服务的安全溯源装置,其特征在于,所述溯源装置上设有加密安全的溯源接口,所述溯源接口用于用户从所述无状态翻译网关上获取所述实时溯源设施中的实时溯源数据和/或所述历史溯源设施中的历史溯源数据。
4.根据权利要求3所述的一种适用于IPv6/IPv4访问服务的安全溯源装置,其特征在于,所述溯源接口包括:
至少一个加密安全的本机查询溯源接口:所述本机查询溯源接口用于经过身份认证和授权的管理员使用有限集合的请求参数在所述无状态翻译网关上查询溯源信息;以及,
至少一个加密安全的远程查询溯源接口:所述远程查询溯源接口用于使用HTTPS/TLS/SSH加密方式,对接并实现外部业务/查询***与所述无状态翻译网关之间的溯源查询;以及,
至少一个加密安全的管理溯源接口:所述管理溯源接口用于管理***使用标准的SNMP协议进行实时溯源和历史溯源。
5.根据权利要求4所述的一种适用于IPv6/IPv4访问服务的安全溯源装置,其特征在于,所述无状态翻译网关上配置有储存溯源资源的溯源MIB库,所述溯源MIB库包括实时溯源MIB库和历史溯源MIB库,所述实时溯源MIB库和历史溯源MIB库上皆配置有一个OID溯源接口,所述OID溯源接口用于调用所述实时溯源设施上的管理溯源接口或所述历史溯源设施上的管理溯源接口。
6.根据权利要求5所述的一种适用于IPv6/IPv4访问服务的安全溯源装置,其特征在于,所述无状态翻译网关上还配置有前置判断组件和日志记录模块,其中,
所述前置判断组件:用于接收溯源请求,根据所述溯源请求判断溯源接口所属设施和接口类型,并将所述溯源请求分发至所匹配的溯源接口;
所述日志记录模块:用于将与所述溯源请求相关联的访问记录和查询记录形成的强日志记录,记录在本机或单独的日志服务器上。
7.一种实施权利要求4-6任一项所述的适用于IPv6/IPv4访问服务的安全溯源装置的方法,其特征在于,包括如下步骤:
S100、安装并配置所述无状态翻译网关,基于所述无状态翻译网关正常运行业务流量;
S200、在所述无状态翻译网关上安装所述实时溯源设施和所述历史溯源设施,并分别配置至少一个所述本机查询溯源接口、所述远程查询溯源接口和所述管理溯源接口;
S300、发送加密的溯源请求,通过前置判断组件根据所述溯源请求判断溯源接口所属设施和接口类型,并将所述溯源请求分发至所匹配的溯源接口;以及,通过所述所匹配的溯源接口对所述加密的溯源请求进行用户权限校验:如果是合法请求则正常解密,并根据输入参数和无状态映射算法生成源地址和/或其他参数,实现溯源;如果是非法请求,则拒绝访问;
S400、通过日志记录模块,将与所述溯源请求相关联的访问记录和查询记录形成的强日志记录,记录在本机或单独的日志服务器上。
8.一种基于权利要求4-6任一项所述适用于IPv6/IPv4访问服务的安全溯源装置进行本机查询的溯源方法,其特征在于,包括如下步骤:
S111、管理用户登录所述无状态翻译网关,进行用户权限校验和认证;
S121、输入包含溯源参数的溯源请求;
S131、通过所述本机查询溯源接口判断所述溯源参数是否匹配所述本机查询溯源接口的限定格式:是则通过所述本机查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S141、获取所述输出数据并返回给用户。
9.一种基于权利要求4-6任一项所述适用于IPv6/IPv4访问服务的安全溯源装置进行远程查询的溯源方法,其特征在于,包括如下步骤:
S211、远程用户登录所述无状态翻译网关,进行用户权限校验和认证;
S221、输入包含溯源参数的溯源请求;
S231、通过所述远程查询溯源接口判断所述远程用户的IPv4/IPv6地址是否在预设允许范围内:是则解密所述溯源请求,并判断所述溯源参数是否匹配所述远程查询溯源接口的限定格式;否则丢弃该溯源请求;
S241、若所述溯源参数匹配所述远程查询溯源接口的限定格式,则通过所述远程查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S251、获取所述输出数据并返回给远程用户。
10.一种基于权利要求4-6任一项所述适用于IPv6/IPv4访问服务的安全溯源装置进行管理的溯源方法,其特征在于,包括如下步骤:
S311、在所述无状态翻译网关和网络管理***上安装溯源MIB库,并配置SNMP参数和SNMP模式;
S321、网络管理用户登录所述无状态翻译网关,进行用户权限校验和认证;
S331、输入包含溯源参数的溯源请求;
S341、通过所述管理溯源接口判断所述网络管理用户的IPv4/IPv6地址是否在预设允许范围内:是则解密所述溯源请求,并判断所述溯源参数是否匹配所述管理溯源接口的限定格式;否则丢弃该溯源请求;
S351、若所述溯源参数匹配所述管理溯源接口的限定格式,则通过所述管理溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询,并返回结构化的输出数据;否则丢弃该溯源请求;
S361、获取所述输出数据并返回给所述网络管理用户。
CN202111495152.XA 2021-12-09 2021-12-09 适用于IPv6/IPv4访问服务的安全溯源装置及方法 Active CN114143113B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111495152.XA CN114143113B (zh) 2021-12-09 2021-12-09 适用于IPv6/IPv4访问服务的安全溯源装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111495152.XA CN114143113B (zh) 2021-12-09 2021-12-09 适用于IPv6/IPv4访问服务的安全溯源装置及方法

Publications (2)

Publication Number Publication Date
CN114143113A CN114143113A (zh) 2022-03-04
CN114143113B true CN114143113B (zh) 2023-07-28

Family

ID=80385439

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111495152.XA Active CN114143113B (zh) 2021-12-09 2021-12-09 适用于IPv6/IPv4访问服务的安全溯源装置及方法

Country Status (1)

Country Link
CN (1) CN114143113B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9008093B2 (en) * 2012-03-12 2015-04-14 Comcast Cable Communications, Llc Stateless protocol translation
CN103856581B (zh) * 2014-03-26 2017-03-01 清华大学 一种用户侧设备的翻译封装自适应方法
CN113542452B (zh) * 2021-09-15 2021-12-24 北京英迪瑞讯网络科技有限公司 基于算法映射的实时IPv4-IPv6溯源方法及***
CN113691650B (zh) * 2021-10-21 2022-02-25 北京英迪瑞讯网络科技有限公司 IPv4/IPv6无状态分段安全映射方法及控制***

Also Published As

Publication number Publication date
CN114143113A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
US11362987B2 (en) Fully qualified domain name-based traffic control for virtual private network access control
US9461975B2 (en) Method and system for traffic engineering in secured networks
US10958623B2 (en) Identity and metadata based firewalls in identity enabled networks
US6529513B1 (en) Method of using static maps in a virtual private network
EP3605948B1 (en) Distributing overlay network ingress information
EP1134955A1 (en) Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers
CN116015865A (zh) 用于网络安全应用的高效加密sni过滤的方法和***
KR20120020187A (ko) 네트워크 트래픽의 필터링 방법 및 시스템
US20240214352A1 (en) Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules
US11552925B1 (en) Systems and methods of controlling internet access using encrypted DNS
Hardaker Transport Layer Security (TLS) Transport Model for the Simple Network Management Protocol (SNMP)
WO2016202397A1 (en) Dns based pki system
CN114143113B (zh) 适用于IPv6/IPv4访问服务的安全溯源装置及方法
Raz et al. An SNMP application level gateway for payload address translation
Cisco Glossary
Cisco Glossary
Cisco Glossary
US20240195795A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
Martins et al. An Extensible Access Control Architecture for Software Defined Networks based on X. 812
WO2023199189A1 (en) Methods and systems for implementing secure communication channels between systems over a network
Wallis et al. Secure Zero Configuration of IoT Devices-A Survey
Takahashi et al. Design and Implementation of a Secure Public Wireless Internet Service Model Using Host Identity Protocol
Raz et al. RFC2962: An SNMP Application Level Gateway for Payload Address Translation
Salowey RADIUS Attributes for IEEE 802 Networks draft-aboba-radext-wlan-15. txt
JP2004297749A (ja) Vpn装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant