Ip地址管理方法和系統、動態主機配置協議伺服器的製作方法

2023-12-01 22:42:16 1

專利名稱：Ip地址管理方法和系統、動態主機配置協議伺服器的製作方法
技術領域：
本發明涉及計算機技術，特別涉及一種IP位址管理方法和系統、動態主機配置協 議伺服器。
背景技術：
為了能夠動態地分配IP位址，1993年，國際網際網路工程任務組 (InternetEngineering Task Force，簡稱IETF)提出 了動態主機配置協議(Dynamic HostConfiguration Protocol，簡稱DHCP)。DHCP 的前身是 Β00ΤΡ，B00TP 原本是用在無 磁碟主機連接的網絡上面的，網絡主機可以使用BOOT ROM而不是磁碟啟動並連接上網絡， Β00ΤΡ則可以自動地為主機設定TCP/IP環境。DHCP可以說是Β00ΤΡ的增強版本，它分為兩個部分一個是伺服器端，而另一個是 客戶端。上網用戶屬於客戶端，其在上網時需要向DHCP伺服器端申請IP位址。所有的IP 網絡設定數據都由DHCP伺服器集中管理，並負責處理客戶端的地址申請請求；而客戶端則 會使用從伺服器分配下來的IP環境數據。隨著IPv4地址的耗盡和IPv6地址的使用，IETF RFC3315中規定了 DHCPv6協議，專門用來處理IPv6地址的自動分配問題。DHCPv6協議對 原有的DHCP協議進行了簡化，統一了數據包結構，具有更好的協議擴展性。DHCPv6協議可 以提供動態的IPv6地址分配服務，有效減輕了網絡管理的負擔。但是，由於動態IP位址分配機制中，IP位址的分配是隨機的，其使用者也是不斷 變動的，因此，可能帶來一些嚴重的安全問題網絡攻擊者可以使用動態IP位址進行網絡 攻擊、木馬郵件的發送，攻擊過程中使用的IP位址在攻擊過後會被回收並有可能分配給其 它機器重新使用。因此，同一 IP位址可能被多個使用者使用過，無法查證攻擊者是哪一個， 使得作為攻擊追蹤重要線索的IP位址因為當前的動態分配機制很難發揮可靠的追溯作 用。

發明內容
本發明的目的是提供一種IP位址管理方法和系統、動態主機配置協議伺服器，以 實現可以得知IP位址的使用情況，為追溯網絡攻擊等網絡安全防範工作發揮作用。本發明提供一種IP位址管理方法，包括接收客戶端發送的IP位址申請消息，所述IP位址申請消息中攜帶標識所述客戶 端的用戶身份的IP實名地址；為所述客戶端分配IP位址，並將所述IP位址與所述IP實名地址的對應關係記錄 在資料庫中；向所述客戶端返回IP位址應答消息，所述IP位址應答消息中攜帶分配的所述IP 地址。本發明提供一種動態主機配置協議伺服器，包括接收模塊，用於接收客戶端發送的IP位址申請消息，所述IP位址申請消息中攜帶
3標識所述客戶端的用戶身份的IP實名地址；記錄模塊，用於為所述客戶端分配IP位址，並將所述IP位址與所述IP實名地址 的對應關係記錄在資料庫中；發送模塊，用於向所述客戶端返回IP位址應答消息，所述IP位址應答消息中攜帶 分配的所述IP位址。本發明提供一種IP位址管理系統，包括客戶端和動態主機配置協議伺服器；所述客戶端，用於向所述動態主機配置協議伺服器發送IP位址申請消息，所述IP 地址申請消息中攜帶標識所述客戶端的用戶身份的IP實名地址；所述動態主機配置協議伺服器，用於為所述客戶端分配IP位址，並將所述IP位址 與所述IP實名地址的對應關係記錄在資料庫中；並向所述客戶端返回IP位址應答消息，所 述IP位址應答消息中攜帶分配的所述IP位址。本發明的IP位址管理方法和系統、動態主機配置協議伺服器，通過記錄和存儲IP 地址與用戶身份之間的對應關係信息，使得後續可以方便地對IP位址的使用情況進行查 詢和追溯，提高了網絡安全防範作用；並且，通過將該對應關係發布至DNS伺服器，使得應 用伺服器向客戶端提供服務之前確定該IP位址用戶的身份，從而實現了實時有效的身份 認證和訪問控制；通過引入一種IPv6實名地址及其資源PKI，結合擴展的DNS協議增強了 DHCP協議的客戶認證能力。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發 明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以 根據這些附圖獲得其他的附圖。圖1為本發明IP位址管理方法實施例一的信令示意圖；圖2為本發明IP位址管理方法實施例一中的IP實名地址結構示意圖；圖3為本發明IP位址管理方法實施例一中的PKI層次設計示意圖；圖4為本發明IP位址管理方法實施例二的信令示意圖；圖5為本發明DHCP伺服器實施例的結構示意圖；圖6為本發明IP位址管理系統實施例的結構示意圖。
具體實施例方式為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例 中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是 本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員 在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。本發明的主要技術方案為，客戶端在向DHCP伺服器發送的IP位址申請消息中，可 以攜帶標識客戶端用戶身份的IP實名地址；DHCP伺服器為客戶端分配IP位址，將所述IP 地址發送至客戶端，並將所述IP位址與IP實名地址綁定，將其對應關係記錄在資料庫中。 其中，本方案可以適用於IPv6地址的動態分配，通過記錄和存儲IP位址與用戶身份之間的
4對應關係信息，使得後續可以方便地對IP位址的使用情況進行查詢和追溯，提高了網絡安 全防範作用。下面通過附圖和具體實施例，對本發明的技術方案做進一步的詳細描述。實施例一圖1為本發明IP位址管理方法實施例一的信令示意圖，如圖1所示，本實施例中 的IP位址可以是指IPv6地址，IP實名地址可以是指IPv6實名地址，其可以包括以下步驟步驟101、客戶端用戶申請獲得實名證書，該實名證書中包括代表用戶身份的IP 實名地址；在本實施例中，網際網路用戶在申請動態IP位址資源時，必須先取得地址註冊機構 籤發的實名證書。該實名證書是一數字證書，其中包括了能夠代表網際網路用戶身份的IP實 名地址。該實名地址可以是從IPv6地址空間單獨分離出的一段不可路由的IPv6地址。上述的IP實名地址的基本結構可以參見附圖2，圖2為本發明IP位址管理方法 實施例一中的IP實名地址結構示意圖。其可以將IPv6地址空間的128位IPv6地址分成 3部分，最前面的η比特位做為實名地址空間前綴(例如，002)，用於區分該IPv6地址為可 路由單播地址或者IPv6實名地址；接下來的64-η比特位可以存儲該實名地址的授權層次 關係，其由管理IPv6實名地址空間的國家網際網路註冊機構(National Internet Registry, 簡稱NIR)先分配給某個骨幹網的網際網路服務提供商(Internet Service Provider，簡稱 ISP)或本地網際網路註冊機構(Local Internet Registry，簡稱LIR)，骨幹網的ISP再將地 址塊細分，分配給各個地區的中小ISP ；後64比特位可以使用散列函數等方法產生與客戶 端的用戶身份一一對應的用戶ID。其中，該IP實名地址中的前64由地址分配機構進行分配；其後64比特位的實名 用戶ID，在具體實施中，可以採用用戶身份號碼、通信公鑰和3bit安全參數，按照預定的算 法產生得到上述的實名用戶ID，因此，該實名用戶ID是與用戶身份號碼一一對應的。通過 在上述產生實名用戶ID的過程中採用3bit安全參數，可以增加身份破解的難度，加強了安
全保障。步驟102、客戶端向DHCP伺服器發送IP位址申請消息，並在該消息中攜帶標識客 戶端用戶身份的IP實名地址；客戶端用戶在申請得到地址註冊機構籤發的IP實名地址後，則向DHCP伺服器發 送IP位址申請消息。具體的，客戶端可以先通過廣播查找報文得到能提供服務的多個DHCP 伺服器的應答；客戶端可以選擇一個DHCP伺服器發送請求IP位址的報文，即上述的IP地 址申請消息，請求獲取上網所需的IP位址，並將標識其身份的IP實名地址攜帶在IP位址 申請消息中，發送至DHCP伺服器。步驟103、DHCP伺服器通過實名地址資源PKI對上述實名地址進行驗證，若驗證通 過，則繼續執行步驟104 ；否則可以向客戶端返回請求失敗消息；DHCP伺服器在接收到客戶端發送的IP位址申請消息後，則對該消息中攜帶 的IP實名地址進行驗證。具體的，可以藉助實名地址資源公鑰基礎設施(Public Key Infrastructure，簡稱PKI)進行IP實名地址的驗證。可參見附圖3，圖3為本發明IP位址管理方法實施例一中的PKI層次設計示意圖。 用於驗證上述IPv6實名地址的實名地址資源PKI可以按照圖3所示的IP位址分配管理層次進行如下設計實名地址資源PKI的信任錨設為MR(根CA) ；NIR為下級LIR/ISP分 配IPv6實名地址段，同時籤發代表相應實名地址段管理權的CA證書；ISP得到授權管轄的 IPv6實名地址段後，當客戶端用戶申請IPv6實名證書時，ISP將用本級CA證書為用戶籤發 EE證書，證明用戶對該IPv6實名地址的使用權。當DHCP伺服器對IP實名地址進行驗證時，可以根據圖2所示的IP實名地址的中 間段(64-n比特位)中所存儲的層次關係，利用實名地址資源PKI逐級獲取上級的ISP CA 證書，組成證書鏈，從而驗證IPv6實名證書的真實性。若驗證不通過，則可以向客戶端返回 請求失敗消息；否則，可以繼續執行步驟104。通過在IPv6地址空間中單獨劃出一段IPv6 地址作為上網用戶的身份標識，並由地址分配機構籤發相應的實名證書給上網用戶，使用 實名地址資源PKI對代表用戶身份的IPv6實名地址進行驗證，解決了網際網路統一身份認證 的問題。步驟104、DHCP伺服器為客戶端分配IP位址，並記錄所述IP位址與所述IP實名 地址的對應關係；DHCP伺服器在驗證IP實名地址為真實之後，可以將分配給用戶的IP位址等信息 與該IP實名地址的對應關係記錄和存儲，建立IPv6實名地址和用戶使用的IP位址之間的 映射資料庫，其中包括IP位址使用時間、用戶的MAC地址、接入VLAN和埠號等信息。這些信息使得動態IP位址資源的使用情況有統一格式的資料庫可以查找，相對 於現有技術，大大方便了對於IP位址使用情況的查詢，為IP位址追溯提供了可能。當網絡 攻擊事件發生時，就可以通過與通信IP位址相關聯的IP實名地址來追溯到客戶端使用者 的真實身份，從而制止網絡攻擊事件的進一步發展。步驟105、DHCP伺服器向客戶端發送IP位址應答消息，將分配的IP位址發送至客戶端。DHCP伺服器在存儲了 IP位址與IP實名地址的綁定關係之後，則將該分配的IP 地址攜帶在IP位址應答消息中，發送至客戶端。此外，例如，當該客戶端用戶A使用完後， DHCP伺服器可以將該IP位址回收，分配給另外的客戶端用戶B使用，此時，DHCP伺服器會 記錄該IP位址與客戶端用戶B的IP實名地址的對應關係，但是，也仍然會保留該IP位址 與客戶端用戶A的IP實名地址之間的對應關係，以及客戶端用戶A使用該IP位址的時間 等信息，使得後續可以對該IP位址使用的相關歷史記錄進行查詢和追溯。本實施例的IP位址管理方法，通過記錄和存儲IP位址與用戶身份之間的對應關 系信息，使得後續可以方便地對IP位址的使用情況進行查詢和追溯，提高了網絡安全防範 作用。實施例二圖4為本發明IP位址管理方法實施例二的信令示意圖，如圖4所示，本實施例的 方法與實施例一的主要區別在於，為了進一步方便網際網路應用訪問的實時控制，增加了對 於DNS伺服器的功能擴展；其中，本實施例的方法中，步驟201 205與實施例一的步驟 101 105相同，具體可參見實施例一，在此不再贅述，本實施例還增加了網際網路應用訪問 的步驟，具體如下步驟201、客戶端用戶申請獲得實名證書，該實名證書中包括代表用戶身份的IP 實名地址；
步驟202、客戶端向DHCP伺服器發送IP位址申請消息，並在該消息中攜帶標識客 戶端用戶身份的IP實名地址；步驟203、DHCP伺服器通過實名地址資源PKI對上述實名地址進行驗證，若驗證通 過，則繼續執行步驟104 ；否則可以向客戶端返回請求失敗消息；步驟204、DHCP伺服器為客戶端分配IP位址，並記錄所述IP位址與所述IP實名 地址的對應關係；步驟205、DHCP伺服器向客戶端發送IP位址應答消息，將分配的IP位址發送至客 戶端；步驟206、DHCP伺服器將所述IP位址與所述IP實名地址的對應關係信息發送至 DNS伺服器；需要說明的是，該步驟和步驟205並沒有特定的時間先後順序。在具體實施中， DHCP伺服器可以通過添加一擴展的DNS RR IPV6ID記錄至DNS伺服器，將IP位址和IPv6 實名地址的對應關係發布到網際網路上。該RR IPV6ID記錄中包括了 IPv6實名地址和公鑰 等信息，其基本格式可以如下IPv6, arpa IN IPV6ID (pk-algorithm/* 加密算法 */basel6-encoded-hit/* 經過 basel6 編碼 IPv6 實名地址 */base64-encoded_publie-key/* 經過 base64 編碼的公鑰信息 */)通過將動態IP位址與其使用者的IPv6實名地址記錄在DNS伺服器上，提供了一 種查詢動態IP位址使用者身份的方法，應用伺服器可以使用DNS查詢到動態IP位址使用 者的身份並進行驗證。步驟207、客戶端向應用伺服器提出應用服務申請消息，請求使用應用伺服器所提 供的服務；步驟208、應用伺服器提取客戶端的IP位址，並向DNS伺服器發送IP查詢消息，請 求查詢客戶端用戶的身份；其中，所述IP查詢消息中攜帶客戶端的IP位址；步驟209、DNS伺服器根據其接收到的客戶端的IP位址，以及其內存儲的RR IPV6ID記錄中的相關信息，得到與該IP位址對應的IPv6實名地址及公鑰信息，將其攜帶在 IP應答消息中返回至應用伺服器；步驟210、應用伺服器產生一個隨機數，並用接收到的所述公鑰加密後發送給請求 服務的客戶端用戶；步驟211、客戶端用戶使用與公鑰對應的私鑰解密後，返回原隨機數至應用服務 器；步驟212、應用伺服器得到IPv6實名地址中的用戶ID等信息，對客戶端用戶的身 份進行驗證，當驗證通過後，則執行步驟213 ；步驟213、應用伺服器向客戶端提供其所請求的服務。本實施例的IP位址管理方法，通過記錄和存儲IP位址與用戶身份之間的對應關 系信息，使得後續可以方便地對IP位址的使用情況進行查詢和追溯，提高了網絡安全防範 作用；並且，通過將該對應關係發布至DNS伺服器，使得應用伺服器向客戶端提供服務之前 確定該IP位址用戶的身份，從而實現了實時有效的身份認證和訪問控制；通過引入一種 IPv6實名地址及其資源PKI，結合擴展的DNS協議增強了 DHCP協議的客戶認證能力。
7
本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬體來完成，前述的程序可以存儲於一計算機可讀取存儲介質中，該程序 在執行時，執行包括上述方法實施例的步驟；而前述的存儲介質包括R0M、RAM、磁碟或者 光碟等各種可以存儲程序代碼的介質。實施例三圖5為本發明DHCP伺服器實施例的結構示意圖，如圖5所示，本實施例的DHCP服 務器可以包括接收模塊31、記錄模塊32和發送模塊33。其中，接收模塊31，用於接收客戶端發送的IP位址申請消息，所述IP位址申請消 息中攜帶標識所述客戶端的用戶身份的IP實名地址；記錄模塊32，用於為所述客戶端分配 IP位址，並將所述IP位址與所述IP實名地址的對應關係記錄在資料庫中；發送模塊33，用 於向所述客戶端返回IP位址應答消息，所述IP位址應答消息中攜帶分配的所述IP位址。此外，進一步的，該IP位址管理系統還可以包括驗證模塊34，用於利用實名地址 資源PKI逐級獲取上級的ISP CA證書，構建證書鏈，驗證所述IP實名地址的真實性。進一步，記錄模塊32，還可以用於記錄所述IP位址的使用時間、所述客戶端的MAC 地址、接入區域網和埠號；發送模塊33，還可以用於將所述IP位址與所述IP實名地址的 對應關係發送至DNS伺服器。本實施例的DHCP伺服器，通過記錄和存儲IP位址與用戶身份之間的對應關係信 息，使得後續可以方便地對IP位址的使用情況進行查詢和追溯，提高了網絡安全防範作用。實施例四圖6為本發明IP位址管理系統實施例的結構示意圖，如圖6所示，該系統可以包 括客戶端41和DHCP伺服器42。其中，客戶端41，用於向所述DHCP伺服器發送IP位址申請消息，所述IP位址申請 消息中攜帶標識所述客戶端的用戶身份的IP實名地址；DHCP伺服器42，用於為所述客戶端分配IP位址，並將所述IP位址與所述IP實名 地址的對應關係記錄在資料庫中；並向所述客戶端返回IP位址應答消息，所述IP位址應答 消息中攜帶分配的所述IP位址。本實施例的IP位址管理系統，通過記錄和存儲IP位址與用戶身份之間的對應關 系信息，使得後續可以方便地對IP位址的使用情況進行查詢和追溯，提高了網絡安全防範 作用。最後應說明的是以上實施例僅用以說明本發明的技術方案，而非對其限制；盡 管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解其依然 可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替 換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精 神和範圍。
8
權利要求
一種IP位址管理方法，其特徵在於，包括接收客戶端發送的IP位址申請消息，所述IP位址申請消息中攜帶標識所述客戶端的用戶身份的IP實名地址；為所述客戶端分配IP位址，並將所述IP位址與所述IP實名地址的對應關係記錄在資料庫中；向所述客戶端返回IP位址應答消息，所述IP位址應答消息中攜帶分配的所述IP位址。
2.根據權利要求1所述的IP位址管理方法，其特徵在於，所述實名地址包括 實名地址空間前綴，用於標識地址空間為實名地址空間；授權層次關係段，用於存儲所述實名地址的各級授權層次關係； 用戶ID，用於與所述客戶端的用戶身份一一對應。
3.根據權利要求1所述的IP位址管理方法，其特徵在於，在所述為所述客戶端分配IP 地址之前還包括利用實名地址資源公鑰基礎設施逐級獲取上級證書，構建證書鏈，驗證所述IP實名地 址的真實性。
4.根據權利要求1所述的IP位址管理方法，其特徵在於，還包括記錄所述IP位址的使用時間、所述客戶端的MAC地址、接入區域網和埠號。
5.根據權利要求1所述的IP位址管理方法，其特徵在於，還包括 將所述IP位址與所述IP實名地址的對應關係發送至DNS伺服器。
6.一種動態主機配置協議伺服器，其特徵在於，包括接收模塊，用於接收客戶端發送的IP位址申請消息，所述IP位址申請消息中攜帶標識 所述客戶端的用戶身份的IP實名地址；記錄模塊，用於為所述客戶端分配IP位址，並將所述IP位址與所述IP實名地址的對 應關係記錄在資料庫中；發送模塊，用於向所述客戶端返回IP位址應答消息，所述IP位址應答消息中攜帶分配 的所述IP位址。
7.根據權利要求6所述的動態主機配置協議伺服器，其特徵在於，還包括驗證模塊，用於利用實名地址資源公鑰基礎設施逐級獲取上級證書，構建證書鏈，驗證 所述IP實名地址的真實性。
8.根據權利要求6所述的動態主機配置協議伺服器，其特徵在於，所述記錄模塊，還用 於記錄所述IP位址的使用時間、所述客戶端的MAC地址、接入區域網和埠號。
9.根據權利要求6所述的動態主機配置協議伺服器，其特徵在於，所述發送模塊，還用 於將所述IP位址與所述IP實名地址的對應關係發送至DNS伺服器。
10.一種IP位址管理系統，其特徵在於，包括客戶端和動態主機配置協議伺服器； 所述客戶端，用於向所述動態主機配置協議伺服器發送IP位址申請消息，所述IP位址申請消息中攜帶標識所述客戶端的用戶身份的IP實名地址；所述動態主機配置協議伺服器，用於為所述客戶端分配IP位址，並將所述IP位址與所 述IP實名地址的對應關係記錄在資料庫中；並向所述客戶端返回IP位址應答消息，所述 IP位址應答消息中攜帶分配的所述IP位址。
全文摘要
本發明提供一種IP位址管理方法和系統、動態主機配置協議伺服器，其中，方法包括接收客戶端發送的IP位址申請消息，所述IP位址申請消息中攜帶標識所述客戶端的用戶身份的IP實名地址；為所述客戶端分配IP位址，並將所述IP位址與所述IP實名地址的對應關係記錄在資料庫中；向所述客戶端返回IP位址應答消息，所述IP位址應答消息中攜帶分配的所述IP位址。本發明通過引入一種IPv6實名地址及其資源PKI，結合擴展的DNS協議增強了DHCP協議的客戶認證能力。
文檔編號H04L29/06GK101924801SQ201010188309
公開日2010年12月22日 申請日期2010年5月21日 優先權日2010年5月21日
發明者盧文哲, 李曉東, 毛偉, 沈爍, 陳濤 申請人:中國科學院計算機網絡信息中心;北龍中網(北京)科技有限責任公司