專利名稱:一種互聯(lián)網(wǎng)主機命名和通信方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,特別是涉及一種互聯(lián)網(wǎng)主機命名系統(tǒng)及其公/私密
鑰對生成方法�����。
背景技術(shù):
目前我們使用的互聯(lián)網(wǎng)技術(shù)為第二代互聯(lián)網(wǎng)IPv4技術(shù)�,它的最大缺陷就是網(wǎng)絡(luò) 地址資源有限,從理論上講��,IPv4技術(shù)可使用的IP地址有43億個����,基本上能夠滿足全世界 互聯(lián)網(wǎng)用戶的需要����。但是��,由于IPv4技術(shù)的核心技術(shù)屬于美國,所以存在著網(wǎng)絡(luò)地址分配 不均的問題。據(jù)統(tǒng)計,北美就占有3/4�,約30億個,而人口最多的亞洲只有不到4億個,中國 只有3千多萬個。IP地址不足�����,嚴重地制約了我國及其他國家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展�。
現(xiàn)在��,中國互聯(lián)網(wǎng)用戶已經(jīng)超過2億,由于IP地址資源不足,需要許多用戶共享一 個IP地址�?����;谶@種情況���,當前我國的互聯(lián)網(wǎng)主機普遍存在匿名性問題�,即主機身份無法 得到有效驗證���,用戶行為無法得到審計����?���;ヂ?lián)網(wǎng)主機的匿名性雖然促使了用戶的廣泛參與 和信息的自由交流,但同時也導致了用戶行為的隨意性�,引起一些負面影響甚至給社會造 成危害。例如�,2006年����,一些不法分子就利用互聯(lián)網(wǎng)主機的匿名性進行網(wǎng)絡(luò)欺騙和身份竊 取���,給消費者和商家?guī)淼慕?jīng)濟損失高達數(shù)十億美元。此外��,垃圾郵件等其它制約互聯(lián)網(wǎng)發(fā) 展的問題也同隱藏身份有關(guān)�����。 這是因為由于多個用戶主機共用一個IP地址或使用私有地址,溯源困難�����,導致地 址假冒、垃圾信息泛濫�����、大量的入侵和攻擊行為無法跟蹤等問題��,網(wǎng)絡(luò)安全得不到保障��,制 約了互聯(lián)網(wǎng)的發(fā)展���。匿名已經(jīng)成為了打造互聯(lián)網(wǎng)安全的一大阻礙��。 總之�����,需要本領(lǐng)域技術(shù)人員迫切解決的一個技術(shù)問題就是如何能夠?qū)崿F(xiàn)對互聯(lián) 網(wǎng)主機的實名制認證���,提高互聯(lián)網(wǎng)的安全性。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種互聯(lián)網(wǎng)主機命名方法���,能夠?qū)崿F(xiàn)互連網(wǎng)主 機的實名制認證�����,解決了地址假冒信息、垃圾信息的溯源問題�、大量的入侵和攻擊行為的跟 蹤等問題�,有效提高了互聯(lián)網(wǎng)的安全性�。 為了解決上述問題,本發(fā)明公開了一種互聯(lián)網(wǎng)主機命名方法����,采用IPv6地址作為 互聯(lián)網(wǎng)主機的實名地址,該方法包括 依據(jù)互聯(lián)網(wǎng)主機的地址申請���,生成一個標記符����; 分配IPv6地址����,將分配給該主機的IPv6地址,連同所述標記符發(fā)送給該主機和密 鑰數(shù)據(jù)庫�; 生成加密密鑰,將所生成的加密密鑰連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù) 庫���; 將由相同標記符標記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰 對進行存儲�����。
5
優(yōu)選的�����,所述接收地址申請��、分配IPv6地址和生成加密密鑰分別由三個獨立的服 務(wù)器完成��。 優(yōu)選的�����,每個所述IPv6地址對應(yīng)一個所述加密密鑰��,所述加密密鑰為一個128位 的隨機數(shù)����。 本發(fā)明還提供了一種基于實名地址的互聯(lián)網(wǎng)主機通信方法,采用IPv6地址作為
互聯(lián)網(wǎng)主機的實名地址�,該方法包括 依據(jù)互聯(lián)網(wǎng)主機的地址申請,生成一個標記符���; 分配IPv6地址�����,將分配給該主機的IPv6地址����,連同所述標記符發(fā)送給該主機和密 鑰數(shù)據(jù)庫�; 生成加密密鑰,將所生成的加密密鑰連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù) 庫��; 將由相同標記符標記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰 對進行存儲����; 互聯(lián)網(wǎng)主機依據(jù)所接收的所述IPv6地址/加密密鑰對,生成公/私密鑰對�����; 互聯(lián)網(wǎng)主機利用所述公/私密鑰對與其他互聯(lián)網(wǎng)主機或服務(wù)器進行通信���。 優(yōu)選的�,每個所述IPv6地址對應(yīng)一個所述加密密鑰�����,所述加密密鑰為一個128位
的隨機數(shù)���,所述加密密鑰中包括安全參數(shù)��。 優(yōu)選的���,所述生成公/私密鑰對的方法包括 將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串連�,構(gòu)成 128位的明文����; 將所述明文加密為密文; 對所述密文執(zhí)行安全散列算法�����,將所得結(jié)果進行劃分�����,得到哈希值1和哈希值2 ;
判斷所述哈希值1的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與 零的比較����,如果它們都為零或所述安全參數(shù)為零,則執(zhí)行下一步���;如果不為零�����,則密文加1��, 整型變量加1后��,返回執(zhí)行上一步����;其中�,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的 安全級別��; 對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算法�,結(jié)果記為哈希 值3,將所述哈希值3作為私鑰����; 依據(jù)所述私鑰,由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰���。 優(yōu)選的��,所述對密文執(zhí)行安全散列算法后得到一串160位元的數(shù)值��,最左邊的112 位記為所述哈希值l����,最右邊48位記為所述哈希值2 ; 所述哈希值1的預(yù)定位數(shù)據(jù)為所述哈希值1的最左邊16位數(shù)據(jù)。
相應(yīng)的�,本發(fā)明還提供了一種互聯(lián)網(wǎng)主機命名系統(tǒng),包括 IPv6地址/密鑰服務(wù)器����,用于處理互聯(lián)網(wǎng)主機的地址申請、發(fā)送標記符標記的地 址分配命令給IPv6地址服務(wù)器和所述標記符標記的加密密鑰生成命令給加密密鑰生成 器�; IPv6地址服務(wù)器,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機的實名地址�,發(fā)送所述 標記符標記的所述IPv6地址給所述互聯(lián)網(wǎng)主機和密鑰數(shù)據(jù)庫; 加密密鑰生成器�,用于生成加密密鑰,發(fā)送所述標記符標記的所述加密密鑰給主機和密鑰數(shù)據(jù)庫�����; 密鑰數(shù)據(jù)庫�,用于存儲相同標記符標記的IPv6地址/加密密鑰對。 優(yōu)選的�����,每個所述IPv6地址對應(yīng)一個所述加密密鑰,所述加密密鑰為一個128位
的隨機數(shù)��。 優(yōu)選的�����,所述IPv6地址/密鑰服務(wù)器���,包括 申請接收模塊����,用于接收所述互聯(lián)網(wǎng)主機的地址申請����; 標記符生成模塊���,用于生成一個標記符�����; 地址分配命令發(fā)送模塊��,用于向所述IPv6地址服務(wù)器發(fā)出一個由所述標記符標 記的地址分配命令����; 加密密鑰命令發(fā)送模塊,用于向所述加密密鑰生成器發(fā)出一個由所述標記符標記 的加密密鑰生成命令���。 最后����,本發(fā)明還提供了一種基于實名地址的互聯(lián)網(wǎng)通信系統(tǒng)���,包括互聯(lián)網(wǎng)主機命 名系統(tǒng)和互聯(lián)網(wǎng)主機��,其中�����,所述互聯(lián)網(wǎng)主機命名系統(tǒng)�,包括 IPv6地址/密鑰服務(wù)器�����,用于處理互聯(lián)網(wǎng)主機的地址申請�����、發(fā)送標記符標記的地 址分配命令給IPv6地址服務(wù)器和所述標記符標記的加密密鑰生成命令給加密密鑰生成 器; IPv6地址服務(wù)器���,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機的實名地址���,發(fā)送所述 標記符標記的所述IPv6地址給主機和密鑰數(shù)據(jù)庫; 加密密鑰生成器����,用于生成加密密鑰,發(fā)送所述標記符標記的所述加密密鑰給主 機和密鑰數(shù)據(jù)庫���; 密鑰數(shù)據(jù)庫���,用于存儲相同標記符標記的IPv6地址/加密密鑰對����;
所述互聯(lián)網(wǎng)主機包括 公/私密鑰對生成模塊,根據(jù)所接收的相同標記符標記的IPv6地址/加密密鑰 對�,生成公/私密鑰對; 通信模塊���,用于與其他互聯(lián)網(wǎng)主機或服務(wù)器通過所述生成的公/私密鑰對進行通信��。
優(yōu)選的��,所述公/私密鑰對生成模塊包括 明文生成單元��,用于將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本 地地址串連�����,構(gòu)成128位的明文���; 密文生成單元���,用于利用加密算法將所述明文加密為密文; 哈希值劃分單元��,用于對所述密文執(zhí)行安全散列算法��,將所得結(jié)果劃分為哈希值l 和哈希值2 ; 判斷單元���,判斷哈希值1的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù) 值與零的比較結(jié)果��,其中���,m為所述預(yù)定位數(shù)據(jù)的位數(shù)����,h為所述安全參數(shù)的安全級別���;
私鑰生成單元�,對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算 法�����,結(jié)果記為哈希值3�,將所述哈希值3作為私鑰; 公鑰生成單元��,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰���。 優(yōu)選的�,所述對密文執(zhí)行安全散列算法后得到一串160位元的數(shù)值�,最左邊的112
位記為所述哈希值l���,最右邊48位記為所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)的位數(shù)m為所述哈希值1的最左邊16位�����。 與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下優(yōu)點 針對現(xiàn)有技術(shù)中多個互聯(lián)網(wǎng)主機共用一個IP地址或使用私有地址進行通信�,信息溯源比較困難的情況,本發(fā)明基于IPv6豐富的地址資源��,提供了一種互聯(lián)網(wǎng)主機命名和通信方法及系統(tǒng)�。本發(fā)明中,采用一部分IPv6地址僅用作互聯(lián)網(wǎng)主機的身份標識���,不用作路由和尋址���,這樣互聯(lián)網(wǎng)主機用戶的行為,特別是在網(wǎng)上發(fā)布垃圾信息或有害消息以及進行對其他用戶主機或服務(wù)器進行入侵和攻擊的行為就能夠得到審計����,并進行相應(yīng)的處理措施??梢杂行е卫砘ヂ?lián)網(wǎng)上垃圾信息、有害信息發(fā)布��,入侵和攻擊其他主機或服務(wù)器的行為�����,有效提高了互聯(lián)網(wǎng)的安全性。
圖1是本發(fā)明互聯(lián)網(wǎng)主機命名方法實施例的流程圖����; 圖2是本發(fā)明互聯(lián)網(wǎng)主機命名系統(tǒng)的結(jié)構(gòu)示意圖; 圖3是本發(fā)明IPv6地址/密鑰服務(wù)器的結(jié)構(gòu)示意圖�; 圖4是本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)的結(jié)構(gòu)示意圖; 圖5是本發(fā)明公/私密鑰對生成模塊的結(jié)構(gòu)示意圖����; 圖6是本發(fā)明互聯(lián)網(wǎng)主機通信方法的流程圖; 圖7是本發(fā)明生成公/私密鑰對的方法流程圖��。
具體實施例方式
為使本發(fā)明的上述目的���、特征和優(yōu)點能夠更加明顯易懂��,下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明���。 本發(fā)明的核心構(gòu)思之一是利用下一代網(wǎng)絡(luò)IPv6豐富的地址資源,將一部分IPv6地址作為互聯(lián)網(wǎng)主機的身份標識��,在通信過程中��,這部分IPv6地址只用于標識主機的身份��,不用于路由和通信�����,實現(xiàn)互聯(lián)網(wǎng)主機的實名制�。 本發(fā)明提供了一種互聯(lián)網(wǎng)主機命名方法,采用IPv6地址作為互聯(lián)網(wǎng)主機的實名地址���。參照圖l���,示出了本發(fā)明互聯(lián)網(wǎng)主機命名方法實施例的流程圖,該方法包括以下步驟 步驟101�,依據(jù)互聯(lián)網(wǎng)主機的地址申請,生成一個標記符�; 步驟102,分配IPv6地址�,將分配給該主機的IPv6地址,連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫����; 步驟103,生成加密密鑰����,將所生成的加密密鑰連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫����; 步驟104�����,將由相同標記符標記的所述IPv6地址和加密密鑰作為一個IPv6地址/加密密鑰對進行存儲�����。 在本發(fā)明實施例中�,優(yōu)先的是,所述接收地址申請步驟101�、分配IPv6地址步驟102和生成加密密鑰步驟103分別由三個獨立的服務(wù)器完成,上述三個服務(wù)器的任何一方都無法知道IPv6地址/加密密鑰對����,有效提高了加密密鑰的安全性。 在本發(fā)明的另一實施例中�����,優(yōu)先的實施方式是每個所述IPv6地址對應(yīng)一個加密密鑰���。每個所述加密密鑰為一個128位的隨機數(shù)��。 對應(yīng)于上述互聯(lián)網(wǎng)主機命名方法����,本發(fā)明還提供了一種互聯(lián)網(wǎng)主機命名系統(tǒng)����。圖2示出了本發(fā)明一種互聯(lián)網(wǎng)主機命名系統(tǒng)的結(jié)構(gòu)示意圖,包括 IPv6地址/密鑰服務(wù)器211��,用于處理互聯(lián)網(wǎng)主機的地址申請�、發(fā)送標記符標記的地址分配命令給IPv6地址服務(wù)器212和所述標記符標記的加密密鑰生成命令給加密密鑰生成器213 ; IPv6地址服務(wù)器212,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機的實名地址���,發(fā)送
所述標記符標記的所述IPv6地址給所述互聯(lián)網(wǎng)主機和密鑰數(shù)據(jù)庫214 ; 加密密鑰生成器213��,用于生成加密密鑰����,發(fā)送所述標記符標記的所述加密密鑰給
主機和密鑰數(shù)據(jù)庫214; 密鑰數(shù)據(jù)庫214��,用于存儲相同標記符標記的IPv6地址/加密密鑰對����。在本發(fā)明一種互聯(lián)網(wǎng)主機命名系統(tǒng)的實施例中���,所述IPv6地址服務(wù)器 212為每一個互聯(lián)網(wǎng)主機生成的IPv6地址的同時,會生成一個與所述IPv6地址對應(yīng)的加密密鑰�����,所述加密密鑰為一個128位的隨機數(shù)�。 圖3示出了本發(fā)明IPv6地址/密鑰服務(wù)器的結(jié)構(gòu)示意圖,在本發(fā)明一種互聯(lián)網(wǎng)主機命名系統(tǒng)的另一實施例中��,所述IPv6地址/密鑰服務(wù)器211還可以具體包括
申請接收模塊301����,用于接收互聯(lián)網(wǎng)主機的地址申請;
標記符生成模塊302���,用于為上述地址申請生成一個標記符��; 地址分配命令發(fā)送模塊303�����,用于向所述IPv6地址服務(wù)器212發(fā)出一個由所述標記符標記的地址分配命令���; 加密密鑰命令發(fā)送模塊304���,用于向所述加密密鑰生成器213發(fā)出一個由所述標記符標記的加密密鑰生成命令。 下面結(jié)合上述圖1���、圖2和圖3所示的內(nèi)容,詳細描述所述互聯(lián)網(wǎng)主機命名系統(tǒng)21的工作過程�,具體為互聯(lián)網(wǎng)主機22向所述互聯(lián)網(wǎng)主機命名系統(tǒng)21發(fā)送地址申請;IPv6地址/密鑰服務(wù)器211的子單元申請接收模塊301接收到所述地址申請后��,發(fā)送信號給標記符生成模塊302 ;所述標記符生成模塊302接到上述信號后為該地址申請產(chǎn)生一個標記符���;然后���,地址分配命令發(fā)送模塊303向所述IPv6地址服務(wù)器212發(fā)送由所述標記符標記的地址分配命令;同時��,加密密鑰命令發(fā)送模塊304向加密密鑰生成器213發(fā)送由所述標記符標記的加密密鑰生成命令����;IPv6地址服務(wù)器212接收到所述地址分配命令后,分配一個IPv6地址�,并用接收到的標記符將所述IPv6地址標記后發(fā)送給密鑰數(shù)據(jù)庫214�,也將同樣的信息即所述標記符標記后的IPv6地址發(fā)送給互聯(lián)網(wǎng)主機22 ;加密密鑰生成器213接收到加密密鑰生成命令后���,產(chǎn)生一個128位的隨機數(shù)作為加密密鑰����,并用接收到的標記符將所述加密密鑰標記后發(fā)送給密鑰數(shù)據(jù)庫214����,同時也將同樣的信息即所述標記符標記后的加密密鑰發(fā)送給互聯(lián)網(wǎng)主機22 ;密鑰數(shù)據(jù)庫214把采用相同標記符標記的IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對存儲起來。這樣除了密鑰數(shù)據(jù)庫外���,所述IPv6地址/密鑰服務(wù)器211�、 IPv6地址服務(wù)器212和加密密鑰生成器213中的任何一方都無法得知IPv6地址/加密密鑰對���,增強了系統(tǒng)的安全性����。這是因為所述加密密鑰中有一個決定安全級別的安全參數(shù)����,所述安全參數(shù)存在于上述128位加密密鑰的最左邊3位,是一個3位的無符號整數(shù)。所述安全參數(shù)是000���、001����、010�����、011��、111等�,安全參數(shù)OOO對應(yīng)的安全級別為
90級����,安全參數(shù)001對應(yīng)的安全級別為1級,以此類推����,安全參數(shù)111對應(yīng)的安全級別最高為7級。安全參數(shù)可以使互聯(lián)網(wǎng)主機增加生成私鑰的代價����,因而可以增加對私鑰的強力攻擊的代價。這是因為,所述安全參數(shù)存在于加密密鑰中����,攻擊者既無法得知也無法改變,攻擊者可能采用典型的低級安全級別到高安全級別的強攻擊����。在本發(fā)明中,所述安全參數(shù)每增加l�����,就會給攻擊者破解的哈希值長度增加了 16位��,對于最高安全級別7級的情況����,那么攻擊者就需要破解142位的哈希值。所以采用本發(fā)明提供的互聯(lián)網(wǎng)主機命名方法和命名系統(tǒng)�,有效增強了互聯(lián)網(wǎng)主機高安全級別的安全性。 基于上述互聯(lián)網(wǎng)主機命名系統(tǒng)�����,本發(fā)明還提供了一種基于IPv6時實名地址的互聯(lián)網(wǎng)通信系統(tǒng)���,參照圖4���,示出了本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)的結(jié)構(gòu)示意圖���,包括互聯(lián)網(wǎng)主機命名系統(tǒng)21和互聯(lián)網(wǎng)主機22。其中����,所述互聯(lián)網(wǎng)主機命名系統(tǒng)21的結(jié)構(gòu)和具體實施方式
已經(jīng)結(jié)合圖2在上述實施例和實施方式中進行了詳細描述,這里就不再重復(fù)�。接下來描述互聯(lián)網(wǎng)通信系統(tǒng)中的互聯(lián)網(wǎng)主機22,所述互聯(lián)網(wǎng)主機22包括 公/私密鑰對生成模塊221��,利用從所述互聯(lián)網(wǎng)主機命名系統(tǒng)21接收到的具有相同標記符標記的IPv6地址/加密密鑰對�����,生成公/私密鑰對��; 通信模塊222�,用于與其他互聯(lián)網(wǎng)主機或服務(wù)器通過所述生成的公/私密鑰對進行通信��。 本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)實施例的工作過程為互聯(lián)網(wǎng)主機向互聯(lián)網(wǎng)命名系統(tǒng)21發(fā)送地址申請����;所述互聯(lián)網(wǎng)命名系統(tǒng)21收到命令后生成IPv6地址/加密密鑰對�,并將上述IPv6地址/加密密鑰對發(fā)送給互聯(lián)網(wǎng)主機22的公/私密鑰對生成模塊221 ;公/私密鑰對生成模塊221生成公/私密鑰對�,并將上述公/私鑰對發(fā)送通信模塊222 ;通信模塊222與其他互聯(lián)網(wǎng)主機或服務(wù)器進行通信的信息利用所述公/私密鑰對加密,然后進行互聯(lián)網(wǎng)通信���。 參照圖5���,示出了本發(fā)明公/私密鑰對生成模塊的結(jié)構(gòu)示意圖。在本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)的另外一實施例中�����,優(yōu)選的是�����,公/私密鑰對生成模塊包括 明文生成單元501����,用于將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串連,構(gòu)成128位的明文����; 密文生成單元502��,用于利用加密算法將所述明文加密為密文����; 哈希值劃分單元503��,用于對所述密文執(zhí)行安全散列算法(SHA算法����,Secure Hash
Algorithm),將所得結(jié)果劃分為哈希值1和哈希值2 ; 判斷單元504��,判斷哈希值1的預(yù)定位數(shù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與零的比較結(jié)果�����,其中�,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的安全級別��;
私鑰生成單元505�,對所述哈希值2與整形變量MV串連后的數(shù)值執(zhí)行所述安全散列算法�����,結(jié)果記為哈希值3,將所述哈希值3作為私鑰�����; 公鑰生成單元506�,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。
在本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)實施例中�����,優(yōu)選的是��,所述哈希值劃分單元對所述密文單元生成的密文執(zhí)行安全散列算法如SHA-1后�����,得到一串160位元的數(shù)值�����,將最左邊的112位記為所述哈希值1即Hashl �,最右邊48位記為所述哈希值2即Hash2 ;所述哈希值1的預(yù)定位數(shù)m為所述Hashl的最左邊16位。 相應(yīng)地�,本發(fā)明還提供了一種采用IPv6地址作為實名地址的互聯(lián)網(wǎng)主機通信方法。參照圖6�����,示出了本發(fā)明互聯(lián)網(wǎng)主機通信方法的流程圖,該方法包括
步驟601���,依據(jù)互聯(lián)網(wǎng)主機的地址申請����,生成一個標記符����; 步驟602,分配IPv6地址�,將分配給該主機的IPv6地址,連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫�; 步驟603,生成加密密鑰���,將所生成的加密密鑰連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫�; 步驟604����,將由相同標記符標記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進行存儲; 步驟605,互聯(lián)網(wǎng)主機依據(jù)所接收的所述IPv6地址/加密密鑰對���,生成公/私密鑰對; 步驟606����,互聯(lián)網(wǎng)主機利用所述公/私密鑰對與其他互聯(lián)網(wǎng)主機或服務(wù)器進行通信。 作為本發(fā)明互聯(lián)網(wǎng)主機通信方法的一種優(yōu)選實施例���,每個所述IPv6地址對應(yīng)一個所述加密密鑰����,所述加密密鑰為一個128位的隨機數(shù)�����,所述加密密鑰中包括安全參數(shù)�。
在本發(fā)明互聯(lián)網(wǎng)主機通信方法的另一種實施例中,生成公/私密鑰對的優(yōu)選實施方式參照圖7����,示出了本發(fā)明生成公/私密鑰對的方法流程圖,所述生成公/私密鑰對的方法包括 步驟701�,將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串
連,構(gòu)成128位的明文; 步驟702�,將所述明文加密為密文; 步驟703���,對所述密文執(zhí)行安全散列算法�,將所得結(jié)果進行劃分����,得到哈希值1和哈希值2 ; 步驟704,判斷所述哈希值1的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與零的比較�����,如果它們都為零或所述安全參數(shù)為零����,則執(zhí)行步驟706 ;否則執(zhí)行步驟705后返回執(zhí)行步驟703,其中�,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的安全級別�; 步驟705,密文加l�����,整型變量MV加1 ; 步驟706,對所述哈希值2與整形變量MV串連后的數(shù)值執(zhí)行所述安全散列算法����,結(jié)果記為哈希值3,將所述哈希值3作為私鑰�����; 步驟707�,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰����。
在本發(fā)明互聯(lián)網(wǎng)主機通信方法的實施例中,優(yōu)選的是����,在生成公/私密鑰對的方法中��,步驟703對密文執(zhí)行安全散列算法如SHA-1后得到一串160位元的數(shù)值,將最左邊的112位記為所述哈希值l,最右邊48位記為所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)為所述哈希值l的最左邊16位數(shù)據(jù)��。 作為一種本發(fā)明互聯(lián)網(wǎng)主機通信方法和通信系統(tǒng)的具體實施過程���,包括以下步驟 互聯(lián)網(wǎng)主機從互聯(lián)網(wǎng)命名系統(tǒng)接收到相同標記符標記的IPv6地址/加密密鑰對; 所述互聯(lián)網(wǎng)主機的明文生成單元,將分配的所述IPv6地址的前64位子網(wǎng)前綴與
1164位全為零的場點本地地址串聯(lián)�����,構(gòu)成128位的明文并發(fā)送給密文生成單元���; 所述密文生成單元利用加密算法如高級加密標準(AVS���, AdvancedEncryption
Standard)算法將所述明文加密為密文�����,并將所述密文發(fā)送給哈希值劃分單元; 哈希值劃分單元對接收到的上述密文執(zhí)行安全散列算法如SHA-1��,得到一組160
位元的數(shù)值��,將所述數(shù)值的最左邊112位記為哈希值1即Hashl,最右邊48位記為哈希值2
即Hash2 ; 判斷單元將所述Hashl的最左邊16位數(shù)據(jù)與安全參數(shù)相乘后得到的(mXh)位數(shù)值與零比較�; 其中,所述安全參數(shù)是一個3位的無符號整數(shù)�,存在于所述加密密鑰的最左邊3位,決定了安全級別h。所述安全參數(shù)對應(yīng)的安全級別h的取值為0-7�。安全參數(shù)為000時���,對應(yīng)的安全級別h為0 ;安全參數(shù)為001時,其安全級別h為1 ;當安全參數(shù)為111時��,安全級別h為最高級別7��。作為一種具體實施例,當安全級別為1時�����,所述Hashl的最左邊16位數(shù)據(jù)與安全參數(shù)001相乘后��,得到(16X1)位數(shù)值,然后與零比較��; 如果所述16位數(shù)值不全為零�,則執(zhí)行步驟705�,即將上述密文加1得到新的密文�����,整形變量MV加1后�,返回上一步����,即哈希值劃分單元對所述新密文執(zhí)行安全散列算法如SHA-1����,得到一個新的160位元的數(shù)值���,將所述數(shù)值的最左邊112位記為新的Hashl�����,最右邊48位記為新的Hash2���,然后執(zhí)行判斷步驟�����,直至判斷結(jié)果為零;每返回一次��,所述密文就加l,整形變量MV也加1�����。其中,所述整形變量MV實際用于記錄Hash次數(shù),其初始值為O��。
如果所述16位數(shù)值全為零��,則由私鑰生成單元將所述Hash2與對應(yīng)的整形變量MV串聯(lián)����,然后對所述串聯(lián)后的數(shù)值執(zhí)行所述安全散列算法如SHA-1,將得到的結(jié)果記為Hash3��,作為私鑰���; 最后公鑰生成單元依據(jù)所述私鑰根據(jù)預(yù)置的公鑰密碼算法如RSA(Rivest ShamirAdlemen)�����、背包密碼�、McEli^ce密碼���、Diffe Hellman��、Rabin�、Ong Fiat Shamir、零知識證明的算法�、橢圓曲線、EIGamal算法等生成對應(yīng)的公鑰���。 至此�����,互聯(lián)網(wǎng)主機的公/私鑰對生成完畢�,可以用于與其他互聯(lián)網(wǎng)主機或服務(wù)器的通信����。在整個過程中,用戶為了生成符合安全參數(shù)的私鑰����,需要維護所述整形變量MV,其初始值為0���。 實名地址的使用方法為互聯(lián)網(wǎng)主機在上網(wǎng)時�����,應(yīng)該向域名服務(wù)器注冊主機上網(wǎng)IP地址和IPv6格式實名地址的綁定關(guān)系����,以及所用到的公鑰�,如果是網(wǎng)站有域名的,也應(yīng)注冊該域名�。移動主機變更上網(wǎng)IP地址時也要更新所述新的上網(wǎng)IP地址和IPv6格式實名地址的綁定關(guān)系。其中����,上述IPv6格式實名地址是由本發(fā)明互聯(lián)網(wǎng)主機命名系統(tǒng)分配給主機的。每臺互聯(lián)網(wǎng)主機的IPv6格式實名地址是唯一確定的�。通信雙方在進行實名通信時,需要先根據(jù)對方的IPv6格式實名地址查詢通信對方的IP地址和通信公鑰�,不能直接進行基于上網(wǎng)IP地址的網(wǎng)絡(luò)通信。具體通信過程為通信方雙方的一方(以下簡稱A)向另一方(以下簡稱B)發(fā)送通信包����;對方B回復(fù)信息包含回復(fù)方的問題,DH(Diffie-Hellman)密鑰交換算法的DH半會話密鑰和簽名����;通信方A給出問題解決方案,計算得出會話密鑰����,創(chuàng)建安全關(guān)聯(lián)(SA�, SecurityAssociation)����,并發(fā)送DH算法的半會話密鑰,A的簽名��;通信方B計算得出會話密鑰����,創(chuàng)建自己的安全關(guān)聯(lián)SA,并發(fā)送簽名包結(jié)束實名地址認證��;通信雙方在進行身份認證后��,確認對方擁有公鑰對應(yīng)的私鑰��,用會話密鑰進行信息交互�。
本說明書中的各個實施例均采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處�,各個實施例之間相同相似的部分互相參見即可。對于系統(tǒng)實施例而言����,由于其與方法實施例基本相似����,所以描述的比較簡單���,相關(guān)之處參見方法實施例的部分說明即可。 以上對本發(fā)明所提供的一種互聯(lián)網(wǎng)主機命名和通信方法及系統(tǒng)����,進行了詳細介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述���,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想�����;同時�����,對于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明的思想��,在具體實施方式
及應(yīng)用范圍上均會有改變之處,綜上所述�,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
1權(quán)利要求
一種互聯(lián)網(wǎng)主機命名方法�,其特征在于,采用IPv6地址作為互聯(lián)網(wǎng)主機的實名地址�����,該方法包括依據(jù)互聯(lián)網(wǎng)主機的地址申請����,生成一個標記符;分配IPv6地址�����,將分配給該主機的IPv6地址�,連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫;生成加密密鑰���,將所生成的加密密鑰連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫���;將由相同標記符標記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進行存儲。
2. 根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)主機命名方法,其特征在于�,所述接收地址申請、分配 IPv6地址和生成加密密鑰分別由三個獨立的服務(wù)器完成�。
3. 根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)主機命名方法,其特征在于���,每個所述IPv6地址對應(yīng) 一個所述加密密鑰�����,所述加密密鑰為一個128位的隨機數(shù)。
4. 一種基于實名地址的互聯(lián)網(wǎng)主機通信方法�����,其特征在于��,采用IPv6地址作為互聯(lián)網(wǎng) 主機的實名地址�����,該方法包括依據(jù)互聯(lián)網(wǎng)主機的地址申請���,生成一個標記符�����;分配IPv6地址�,將分配給該主機的IPv6地址,連同所述標記符發(fā)送給該主機和密鑰數(shù) 據(jù)庫�;生成加密密鑰,將所生成的加密密鑰連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫����; 將由相同標記符標記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進 行存儲;互聯(lián)網(wǎng)主機依據(jù)所接收的所述IPv6地址/加密密鑰對����,生成公/私密鑰對; 互聯(lián)網(wǎng)主機利用所述公/私密鑰對與其他互聯(lián)網(wǎng)主機或服務(wù)器進行通信����。
5. 根據(jù)權(quán)利要求4所述的互聯(lián)網(wǎng)主機通信方法,其特征在于���,每個所述IPv6地址對應(yīng) 一個所述加密密鑰����,所述加密密鑰為一個128位的隨機數(shù)��,所述加密密鑰中包括安全參數(shù)。
6. 根據(jù)權(quán)利要求4所述的互聯(lián)網(wǎng)主機通信方法��,其特征在于���,所述生成公/私密鑰對的 方法包括將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串連��,構(gòu)成128位 的明文����;將所述明文加密為密文�����;對所述密文執(zhí)行安全散列算法��,將所得結(jié)果進行劃分���,得到哈希值1和哈希值2 ;判斷所述哈希值l的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與零的 比較,如果它們都為零或所述安全參數(shù)為零�,則執(zhí)行下一步;如果不為零���,則密文加l����,整型 變量加1后,返回執(zhí)行上一步�����;其中����,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的安全 級別��;對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算法�����,結(jié)果記為哈希值3�����, 將所述哈希值3作為私鑰����;依據(jù)所述私鑰,由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰���。
7. 根據(jù)權(quán)利要求6所述的互聯(lián)網(wǎng)主機通信方法���,其特征在于�,所述對密文執(zhí)行安全散 列算法后得到一串160位元的數(shù)值��,最左邊的112位記為所述哈希值1 �,最右邊48位記為所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)為所述哈希值1的最左邊16位數(shù)據(jù)。
8. —種互聯(lián)網(wǎng)主機命名系統(tǒng)�,其特征在于,包括IPv6地址/密鑰服務(wù)器�,用于處理互聯(lián)網(wǎng)主機的地址申請、發(fā)送標記符標記的地址分配命令給IPv6地址服務(wù)器和所述標記符標記的加密密鑰生成命令給加密密鑰生成器�����;IPv6地址服務(wù)器����,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機的實名地址�����,發(fā)送所述標記符標記的所述IPv6地址給所述互聯(lián)網(wǎng)主機和密鑰數(shù)據(jù)庫���;加密密鑰生成器�����,用于生成加密密鑰���,發(fā)送所述標記符標記的所述加密密鑰給主機和密鑰數(shù)據(jù)庫��;密鑰數(shù)據(jù)庫���,用于存儲相同標記符標記的IPv6地址/加密密鑰對。
9. 根據(jù)權(quán)利要求8所述的互聯(lián)網(wǎng)主機命名系統(tǒng)��,其特征在于����,每個所述IPv6地址對應(yīng) 一個所述加密密鑰,所述加密密鑰為一個128位的隨機數(shù)�����。
10. 根據(jù)權(quán)利要求8所述的互聯(lián)網(wǎng)主機命名系統(tǒng)����,其特征在于��,所述IPv6地址/密鑰服 務(wù)器�,包括申請接收模塊���,用于接收所述互聯(lián)網(wǎng)主機的地址申請�����; 標記符生成模塊��,用于生成一個標記符����;地址分配命令發(fā)送模塊�����,用于向所述IPv6地址服務(wù)器發(fā)出一個由所述標記符標記的 地址分配命令����;加密密鑰命令發(fā)送模塊,用于向所述加密密鑰生成器發(fā)出一個由所述標記符標記的加 密密鑰生成命令��。
11. 一種基于實名地址的互聯(lián)網(wǎng)通信系統(tǒng)���,其特征在于���,包括互聯(lián)網(wǎng)主機命名系統(tǒng)和互 聯(lián)網(wǎng)主機,其中��,所述互聯(lián)網(wǎng)主機命名系統(tǒng)���,包括IPv6地址/密鑰服務(wù)器�,用于處理互聯(lián)網(wǎng)主機的地址申請�����、發(fā)送標記符標記的地址分 配命令給IPv6地址服務(wù)器和所述標記符標記的加密密鑰生成命令給加密密鑰生成器����;IPv6地址服務(wù)器,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機的實名地址��,發(fā)送所述標記 符標記的所述IPv6地址給主機和密鑰數(shù)據(jù)庫��;加密密鑰生成器����,用于生成加密密鑰�����,發(fā)送所述標記符標記的所述加密密鑰給主機和 密鑰數(shù)據(jù)庫�����;密鑰數(shù)據(jù)庫����,用于存儲相同標記符標記的IPv6地址/加密密鑰對���; 所述互聯(lián)網(wǎng)主機包括公/私密鑰對生成模塊�,根據(jù)所接收的相同標記符標記的IPv6地址/加密密鑰對��,生 成公/私密鑰對����;通信模塊,用于與其他互聯(lián)網(wǎng)主機或服務(wù)器通過所述生成的公/私密鑰對進行通信�����。
12. 根據(jù)權(quán)利要求11所述的互聯(lián)網(wǎng)通信系統(tǒng),其特征在于���,所述公/私密鑰對生成模塊 包括明文生成單元��,用于將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地 址串連,構(gòu)成128位的明文����;密文生成單元,用于利用加密算法將所述明文加密為密文�����;哈希值劃分單元��,用于對所述密文執(zhí)行安全散列算法����,將所得結(jié)果劃分為哈希值1和哈希值2 ;判斷單元,判斷哈希值l的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與 零的比較結(jié)果���,其中�����,m為所述預(yù)定位數(shù)據(jù)的位數(shù)���,h為所述安全參數(shù)的安全級別����;私鑰生成單元����,對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算法,結(jié) 果記為哈希值3�,將所述哈希值3作為私鑰;公鑰生成單元����,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。
13.根據(jù)權(quán)利要求12所述的互聯(lián)網(wǎng)主機通信系統(tǒng)�,其特征在于,所述對密文執(zhí)行安全 散列算法后得到一串160位元的數(shù)值�����,最左邊的112位記為所述哈希值1 ���,最右邊48位記為 所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)的位數(shù)m為所述哈希值1的最左邊16位�。
全文摘要
本發(fā)明提供了一種互聯(lián)網(wǎng)主機命名方法,采用IPv6地址作為互聯(lián)網(wǎng)主機的實名地址����,包括依據(jù)互聯(lián)網(wǎng)主機的地址申請,生成一個標記符���;分配IPv6地址�;將分配給該主機的IPv6地址�,連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫���;生成加密密鑰���;將所生成的加密密鑰連同所述標記符發(fā)送給該主機和密鑰數(shù)據(jù)庫;將由相同標記符標記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進行存儲����。采用本發(fā)明互聯(lián)網(wǎng)主機命名方法能夠?qū)崿F(xiàn)信息溯源,有效杜絕地址假冒��、垃圾信息泛濫����、大量入侵和攻擊別的用戶主機或服務(wù)器現(xiàn)象的發(fā)生,有效增強互聯(lián)網(wǎng)的安全性。
文檔編號H04L12/56GK101741545SQ20081022579
公開日2010年6月16日 申請日期2008年11月13日 優(yōu)先權(quán)日2008年11月13日
發(fā)明者李曉東, 毛偉, 羅萬明 申請人:中國科學院計算機網(wǎng)絡(luò)信息中心