專利名稱:Ipv6地址溯源方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其涉及一種IPV6地址溯源方法、裝置和系統(tǒng)。
背景技術(shù):
在網(wǎng)絡(luò)應(yīng)用中,有時需要根據(jù)用戶上網(wǎng)所使用的IP地址進行溯源;例如,一種典型的應(yīng)用場景是:當網(wǎng)絡(luò)中出現(xiàn)非法言論時,公安部門需要找到發(fā)布該非法言論的嫌疑人,根據(jù)嫌疑人在網(wǎng)站遺留的IP地址,通過IP地址溯源,就可以找到該嫌疑人的用戶身份信
肩、O在現(xiàn)有的IPV4網(wǎng)絡(luò)中已經(jīng)采用關(guān)于IPV4地址的溯源方法。如,在家庭寬帶用戶通過以太網(wǎng)承載 PPP 協(xié)議(Point-to-Point Protocol over Ethernet,簡稱:ΡΡΡ0Ε)接入網(wǎng)絡(luò)的過程中,寬帶遠程接入服務(wù)器(Broadband Remote Access Server,簡稱:BRAS)負責將用戶認證過程中輸入的用戶賬號和密碼透傳給認證鑒權(quán)計費(Authentication,Authorization and Accounting,簡稱:AAA)服務(wù)器;并在接收到AAA服務(wù)器返回的認證通過的結(jié)果后為用戶使用的終端分配IPV4地址。并且,BRAS還會在計費流程中將上述用戶賬號和IPV4地址上報至AAA服務(wù)器,以使得AAA服務(wù)器根據(jù)用戶賬號查找對應(yīng)的用戶身份信息,并建立IPV4地址與用戶身份信息的映射關(guān)系,從而在后續(xù)溯源時就可以根據(jù)嫌疑人遺留的IPV4地址找到其身份信息,實現(xiàn)溯源??梢钥闯觯谏鲜龅牡刂匪菰催^程中,是用戶標識(比如上述的用戶賬號)將IPV4地址與用戶身份信息聯(lián)系起來的,因此在IPV4地址溯源中關(guān)鍵是查找到與將溯源的目標IPV4地址對應(yīng)的用戶標識。隨著固定網(wǎng)絡(luò)和移動網(wǎng)絡(luò)IPV6的大規(guī)模部署和商用,IPV6的相關(guān)系統(tǒng)升級改造越來越受到重視,其中,IPV6地址溯源作為IPV6的重要安全特性需要解決。但是,在現(xiàn)有IPV4地址的溯源中,IPV4地 址的結(jié)構(gòu)和分配方式都較為單一,IPV4地址的上報以及AAA側(cè)的溯源方法都是針對IPV4地址設(shè)計的;而IPV6地址的分配方式以及地址結(jié)構(gòu)都較為復雜,相比IPV4有了較大的變動,比如分配的可能是IPV6地址、或者也可能是不定長度的IPV6前綴等。現(xiàn)有的IPV4地址溯源方式無法實現(xiàn)IPV6地址的溯源。
發(fā)明內(nèi)容
本發(fā)明提供一種IPV6地址溯源方法、裝置和系統(tǒng),以實現(xiàn)IPV6地址的溯源。第一方面,提供一種IPV6地址溯源方法,包括:接收需要溯源的目的IPv6地址;采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息;獲取所述IPv6地址信息對應(yīng)的用戶標識。結(jié)合第一方面,在第一種可能的實現(xiàn)方式中,在所述接收需要溯源的目的IPV6地址之前,所述方法還包括:接收接入設(shè)備發(fā)送的所述用戶標識、以及與所述用戶標識對應(yīng)的所述IPv6地址信息;保存所述用戶標識與所述IPv6地址信息的對應(yīng)關(guān)系。
結(jié)合第一方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中,還包括:根據(jù)所述用戶標識獲取自身存儲的與所述用戶標識對應(yīng)的用戶身份信息,并保存所述IPV6地址信息、所述用戶標識和所述用戶身份信息之間的映射關(guān)系;所述獲取所述IPv6地址信息對應(yīng)的用戶標識之后,還包括:根據(jù)所述映射關(guān)系,獲得與所述用戶標識對應(yīng)的所述用戶身份信息。結(jié)合第一方面的第一種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中,所述獲取所述IPv6地址信息對應(yīng)的用戶標識之后,還包括:根據(jù)所述用戶標識,從認證服務(wù)器獲取與所述用戶標識對應(yīng)的用戶身份信息。結(jié)合第一方面、或者第一方面的第一種可能的實現(xiàn)方式至第三種可能的實現(xiàn)方式中的任意一項,在第四種可能的實現(xiàn)方式中,所述IPV6前綴信息包括如下的其中一項:IPV6前綴、IPV6-PD前綴、接口標識。第二方面,提供一種IPV6地址溯源裝置,包括:信息接收單元,用于接收需要溯源的目的IPv6地址;地址匹配單元,用于采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息;溯源處理單元,用于獲取所述IPv6地址信息對應(yīng)的用戶標識。結(jié)合第二方面,在第一種可能的實現(xiàn)方式中,所述信息接收單元,還用于在所述接收需要溯源的目的IPV6地址之前,接收接入設(shè)備發(fā)送的所述用戶標識、以及與所述用戶標識對應(yīng)的所述IPv6地址信息;所述地址溯源裝置還包括:映射建立單元,用于保存所述用戶標識與IPv6地址信息的對 應(yīng)關(guān)系。結(jié)合第二方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中,所述映射建立單元,還用于根據(jù)所述用戶標識獲取自身存儲的與所述用戶標識對應(yīng)的用戶身份信息,并保存所述IPV6地址信息、所述用戶標識和所述用戶身份信息之間的映射關(guān)系;所述溯源處理單元,還用于在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述映射關(guān)系,獲得與所述用戶標識對應(yīng)的所述用戶身份信息。結(jié)合第二方面的第一種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中,所述溯源處理單元,還用于在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述用戶標識,從認證服務(wù)器獲取與所述用戶標識對應(yīng)的用戶身份信息。結(jié)合第二方面、或者第二方面的第一種可能的實現(xiàn)方式至第三種可能的實現(xiàn)方式中的任意一項,在第四種可能的實現(xiàn)方式中,所述IPV6前綴信息包括如下的其中一項:IPV6前綴、IPV6-PD前綴、接口標識。第三方面,提供一種IPV6地址溯源系統(tǒng),包括:IPV6地址溯源裝置;所述IPV6地址溯源裝置,用于接收需要溯源的目的IPv6地址;并采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息;以及,獲取所述IPv6地址信息對應(yīng)的用戶標識。結(jié)合第三方面,在第一種可能的實現(xiàn)方式中,還包括:接入設(shè)備;所述接入設(shè)備,用于在所述IPv6地址溯源裝置接收需要溯源的目的IPV6地址之前,向所述IPv6地址溯源裝置發(fā)送所述用戶標識、以及與所述用戶標識對應(yīng)的所述IPv6地址信息;
所述IPv6地址溯源裝置,還用于保存所述用戶標識與所述IPv6地址信息的對應(yīng)關(guān)系。結(jié)合第三方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中,所述IPv6地址溯源裝置,還用于根據(jù)所述用戶標識獲取自身存儲的與所述用戶標識對應(yīng)的用戶身份信息,并保存所述IPV6地址信息、所述用戶標識和所述用戶身份信息之間的映射關(guān)系;以及,在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述映射關(guān)系,獲得與所述用戶標識對應(yīng)的用戶身份信息。結(jié)合第三方面的第一種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中,還包括:認證服務(wù)器;所述IPv6地址溯源裝置,還用于在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述用戶標識,從所述認證服務(wù)器獲取與所述用戶標識對應(yīng)的用戶身份信息。結(jié)合第三方面、或者第三方面的第一種可能的實現(xiàn)方式至第三種可能的實現(xiàn)方式中的任意一項,在第四種可能的實現(xiàn)方式中,所述IPV6前綴信息包括如下的其中一項:IPV6前綴、IPV6-PD前綴、接口標識。本發(fā)明提供的IPV6地址溯源方法、裝置和系統(tǒng)的技術(shù)效果是:通過采用最長匹配方式選擇與需要溯源的目的IPv6地址匹配的IPv6地址信息,并根據(jù)該IPv6地址信息獲取到對應(yīng)的用戶標識,實現(xiàn)了 IPV6地址的溯源。
圖1為本發(fā)明IPV6地址溯源方法一實施例的流程示意圖;圖2為本發(fā)明IPV6地址溯源方法另一實施例的流程示意圖;圖3為本發(fā)明IPV6地址溯源方法又一實施例的信令示意圖;圖4為本發(fā)明IPV6地址溯源方法又一實施例的信令示意圖;圖5為本發(fā)明IPV6地址溯源方法又一實施例的信令示意圖;圖6為本發(fā)明IPV6地址溯源方法又一實施例的信令示意圖;圖7為本發(fā)明IPV6地址溯源裝置一實施例的結(jié)構(gòu)示意圖;圖8為本發(fā)明IPV6地址溯源裝置另一實施例的結(jié)構(gòu)示意圖;圖9為本發(fā)明IPV6地址溯源系統(tǒng)一實施例的結(jié)構(gòu)示意圖;圖10為本發(fā)明IPV6地址溯源系統(tǒng)另一實施例的結(jié)構(gòu)示意圖。
具體實施例方式實施例一圖1為本發(fā)明IPV6地址溯源方法一實施例的流程示意圖,該方法是由接入設(shè)備執(zhí)行,該接入設(shè)備例如是BRAS,本實施例以BRAS為例描述該方法;如圖1所示,可以包括:101、獲取終端向認證服務(wù)器發(fā)送的用于請求認證的用戶標識;例如,在用戶認證的流程中,用戶將通過其使用的終端向認證服務(wù)器例如AAA服務(wù)器發(fā)送用戶標識和密碼等認證信息,該用戶標識通??梢允怯脩糨斎氲挠脩糍~號或者用戶名等。在實際的終端向認證服務(wù)器發(fā)送認證信息的過程中,該認證信息是通過BRAS傳輸?shù)?,比如終端將認證信息發(fā)送至BRAS,BRAS再將該認證信息傳輸至認證服務(wù)器;則在此過程中,BRAS就獲取到所述的用戶標識等認證信息。102、在接收到所述認證服務(wù)器發(fā)送的認證通過的通知時,向所述終端分配IPV6地址信息,所述IPV6地址信息包括:IPV6地址和/或IPV6前綴;例如,認證服務(wù)器在對用戶的認證信息認證通過后,將向BRAS發(fā)送認證通過的通知,再由BRAS發(fā)送至終端通知用戶。并且,BRAS在用戶認證通過后將為該用戶所使用的終端分配IP地址,以使得用戶在后續(xù)訪問網(wǎng)絡(luò)時使用該IP地址。本實施例中BRAS分配的是IPV6地址。由于IPV6地址的分配方式比較復雜,具有多種地址分配方式,并且在不同的分配方式或者不同的應(yīng)用場景下,BRAS向終端分配的IPV6地址的形式也不同;例如,可能分配的是128bits的IPV6地址、或者也可能是64bits的IPV6前綴和64bits的接口標識(Interface ID)、或者,也可能是IPV6-PD前綴和128bits的IPV6地址等等,而不再是現(xiàn)有的IPV4地址那樣,分配方式較為單一,就是32bits的IPV4地址。因此,IPV6地址的形式與IPV4地址有較大差別,本實施例將分配的多種形式的IPV6地址統(tǒng)稱為IPV6地址信息。103、將所述用戶標識、以及所述IPV6地址信息,發(fā)送至IPV6地址溯源裝置;本實施例中,BRAS能夠?qū)PV6地址信息發(fā)送至IPV6地址溯源裝置,并同時還將在101中獲取的用戶標識也發(fā)送至IPV6地址溯源裝置;BRAS在為終端分配IPV6地址信息時,由于是在接收到認證服務(wù)器發(fā)送的對用戶認證通過的通知時才分配的,所以BRAS自身是能夠得知IPV6地址信息是為哪個用戶標識對應(yīng)的終端分配的,即能夠獲知IPV6地址信息與用戶標識的對應(yīng)關(guān)系,并將兩者一同上報至IPV6地址溯源裝置。需要說明的是,本實施例中的BRAS上報的IPV6地址信息和用戶標識是分開的兩個信息,IPV6地址信息是普通的地址,并沒有在該IPV6地址信息中嵌入其他信息,即本實施例將普通分配的IPV6地址信息、以及用戶標識上報就可以實現(xiàn)IPV6地址的溯源。對于IPV6地 址溯源裝置,該IPV6地址溯源裝置側(cè)可能存儲有用戶身份信息,也可能未存儲用戶身份信息;當該裝置存儲有用戶身份信息時,IPV6地址溯源裝置能夠根據(jù)用戶標識獲取與該用戶標識對應(yīng)的用戶身份信息,由于用戶標識與IPV6地址信息是對應(yīng)的,且用戶標識與用戶身份信息是對應(yīng)的,因此,用戶身份信息、用戶標識和所述IPV6地址信息三者之間是具有映射關(guān)系的,IPV6地址溯源裝置可以根據(jù)該映射關(guān)系進行溯源。例如,IPV6地址溯源裝置在獲取與將溯源的目標IPV6地址相匹配的所述IPV6地址信息后,根據(jù)映射關(guān)系獲取到對應(yīng)的用戶身份信息。當該裝置未存儲用戶身份信息時,本實施例所述的IPV6地址溯源裝置可以在獲取與將溯源的目標IPV6地址相匹配的所述IPV6地址信息后,根據(jù)IPV6地址信息查找對應(yīng)的用戶標識,再通過某種方式從其他設(shè)備上例如認證服務(wù)器獲取與用戶標識對應(yīng)的用戶身份信息。本實施例的IPV6地址溯源方法,接入設(shè)備通過將用戶標識和IPV6地址信息發(fā)送至IPV6地址溯源裝置,使得IPV6地址溯源裝置能夠根據(jù)該IPV6地址信息和同時上報的用戶標識之間的映射關(guān)系進行溯源,因此,該接入設(shè)備為實現(xiàn)IPV6地址的溯源提供了建立所述映射關(guān)系和溯源實現(xiàn)所必須的具有對應(yīng)關(guān)系的用戶標識和IPV6地址信息。實施例二圖2為本發(fā)明IPV6地址溯源方法另一實施例的流程示意圖,該方法是由IPV6地址溯源裝置執(zhí)行;如圖2所示,可以包括:201、接收需要溯源的目標IPV6地址;其中,所述接收需要溯源的目標IPV6地址,可以是IPV6地址溯源裝置接收某管理員輸入的目標IPV6地址,也可以通過其他方式獲取目標IPV6地址;該目標IPV6地址指的是將要對其進行溯源的地址,例如,網(wǎng)絡(luò)上出現(xiàn)非法言論,公安部門要追查發(fā)布該非法言論的嫌疑人,就要對該嫌疑人上網(wǎng)遺留在網(wǎng)絡(luò)上的IPV6地址進行溯源,則該嫌疑人遺留在網(wǎng)絡(luò)上的IPV6地址即為將溯源的目標IPV6地址,公安部門需要查找該目標IPV6地址對應(yīng)的用戶身份信息。202、采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息;本實施例中,在查找與所述目標IPV6地址相匹配的IPV6地址信息時,也是與IPV4地址的匹配查找不同的;比如,現(xiàn)有的IPV4地址溯源時,由于IPV4地址的形式比較單一,即32bits的IPV4地址,則可以采取精確匹配方式,只要32bits完全相同即為相匹配的IPV4地址;而本實施例中的IPV6地址的形式較為復雜,包括IPV6地址、IPV6前綴等多種形式,在進行地址匹配時,就可能出現(xiàn)多個IPV6地址信息均與目標IPV6地址具有一部分比特位的相同信息的情況,此時例如可以按照最長匹配方式選擇與所述目標IPV6地址具有最多的匹配信息的IPV6地址信息,作為與所述目標IPV6地址相匹配的IPV6地址信息。所述的IPv6地址信息包括IPv6地址或IPv6前綴信息;例如,該IPv6地址是128bits的IPv6地址,該IPv6前綴信息包括IPV6前綴、IPV6-PD前綴、接口標識等信息。203、獲取所述IPv6地址信息對應(yīng)的用戶標識。例如,用戶標識、以及與所述用戶標識對應(yīng)的IPV6地址信息是IPV6地址溯源裝置從接入設(shè)備接收的,該IPV6地址溯`源裝置例如是認證服務(wù)器,該接入設(shè)備比如是BRAS。其中,該步驟中IPV6地址溯源裝置在獲取與所述目標IPV6地址相匹配的所述IPV6地址信息,并根據(jù)所述IPV6地址信息與用戶標識之間的映射關(guān)系獲取所述目標IPV6地址對應(yīng)的用戶標識之后,如果IPV6地址溯源裝置自身存儲有用戶身份信息、以及用戶身份信息與用戶標識和IPV6地址信息的映射關(guān)系,該裝置自身能夠直接根據(jù)映射關(guān)系找到IPV6地址信息對應(yīng)的用戶身份信息;或者,IPV6地址溯源裝置自身未存儲用戶身份信息,該IPV6地址溯源裝置根據(jù)IPV6地址信息對應(yīng)的用戶標識,從其他設(shè)備上例如認證服務(wù)器獲取與用戶標識對應(yīng)的用戶身份信息。實施例三圖3為本發(fā)明IPV6地址溯源方法又一實施例的信令示意圖,本實施例中以接入設(shè)備是BRAS,IPV6地址溯源裝置是認證服務(wù)器為例,該認證服務(wù)器例如是AAA服務(wù)器;并且,本實施例中的AAA服務(wù)器自身存儲用戶身份信息。如圖3所示,該方法包括:301、BRAS傳輸終端與AAA服務(wù)器之間的用戶認證信息;其中,以家庭寬帶用戶通過PPPoE接入網(wǎng)絡(luò)為例,用戶想要接入網(wǎng)絡(luò)進行上網(wǎng)時,就通過終端輸入用戶認證信息發(fā)送至AAA服務(wù)器,該用戶認證信息例如包括用戶標識和密碼等,該用戶標識例如是用戶賬號。并且,用戶在終端輸入的用戶標識等用戶認證信息是通過BRAS透傳給AAA服務(wù)器的,AAA服務(wù)器在用戶認證信息通過認證后,也會將認證結(jié)果下發(fā)至BRAS,由BRAS傳輸至終端以通知用戶。該認證結(jié)果例如是表示認證通過的通知。302、BRAS在接收到AAA服務(wù)器發(fā)送的認證通過的通知時,向終端分配IPV6地址
信息;其中,BRAS在用戶認證通過后需要為用戶使用的終端分配IPV6地址信息,為后續(xù)用戶使用該終端訪問網(wǎng)絡(luò)時使用。此外,BRAS還會為用戶指定其他一些必要參數(shù),如:域名月艮務(wù)器(domain name server,簡稱:DNS)等。本實施例所述的IPV6地址信息包括:IPV6地址和/或IPV6前綴。具體的,IPv6地址分配方式較為復雜,不同的分配方式所分配的IPv6地址信息也是不同的,可能直接分配128位(128bits) IPv6地址,可能分配64位或其他長度的IPv6前綴等。例如,在家庭網(wǎng)關(guān)工作在橋模式,并且是通過動態(tài)主機配置協(xié)議第6版(DynamicHost Configuration Protocol version6,簡稱:DHCPv6)進行地址分配時,為終端分配的IPV6地址信息可能是 128 bits的IPv6地址,即通過DHCPv6分配的IPv6地址(IdentityAssociation for Non-temporary Address,簡稱:IA_NA)方式,也可能是64bits 的 IPv6前綴和64bits的接口標識(Interface ID)的組合分配方式。又例如,在家庭網(wǎng)關(guān)工作在橋模式,并且是通過鄰居發(fā)現(xiàn)協(xié)議(neighbordiscovery,簡稱:ND)進行地址分配時,為終端分配的IPV6地址信息可能是64bits的IPv6前綴。再例如,在家庭網(wǎng)關(guān)工作在路由模式,并且是通過DHCPv6進行地址分配時,為終端分配的IPV6地址信息可能包括小于或等于64bits的IPV6-PD前綴,即通過DHCPv6分配的 IPv6_PD 前綴(Identity Association for Prefix Delegation,簡稱:IA-PD)方式,該IPV6地址信息可能是IPv6-PD前綴和128bits的IPv6地址的組合,也可能是64bits的IPv6前綴和IPv6-PD前綴的組合,還可能是IPv6-PD前綴、64bits的IPv6前綴和64bits的Interface ID的組合方式。303、BRAS向AAA服務(wù)器發(fā)送計費請求消息,將所述用戶標識、以及與所述用戶標識對應(yīng)的所述IPV6地址信息,發(fā)送至AAA服務(wù)器;其中,BRAS在為用戶終端分配IPV6地址信息后,將開始執(zhí)行計費流程,啟動用戶上網(wǎng)計費,通過遠端用戶撥入認證服務(wù)協(xié)議(RemoteAuthentication Dial In UserService,簡稱:Radius)的Accounting請求消息通知AAA服務(wù)器,具體是向AAA服務(wù)器發(fā)送計費請求消息(Start Accounting) ;AAA服務(wù)器會向BRAS返回計費響應(yīng)消息并開始計費,用戶就可以正常訪問網(wǎng)絡(luò)。本實施例中,計費請求消息Start Accounting中包括一些用于承載IP地址信息的屬性信息,在現(xiàn)有的IPV4地址的上報流程中該Start Accounting中僅包括兩個屬性信息,例如用于承載用戶標識信息的“User-Name”屬性、以及用于承載分配的IPV4地址的“Framed-1PV4_Address”屬性。而本實施例對Start Accounting中的屬性信息進行了擴展,設(shè)計了如下的五種屬性信息:“User-Name”屬性:用于承載用戶標識;“Framed-1PV6_Prefix”屬性(可以稱為IPV6前綴屬性):用于承載分配的IPV6iu綴;“Framed-1nterface-1d”屬性(可以稱為接口標識屬性):用于承載分配的接口標識即 Interface ID ;“Delegated-1PV6_Prefix”屬性(可以稱為IPV6-PD前綴屬性):用于承載分配的IPv6-PD 前綴;“Framed-1PV6_Address ”屬性(可以稱為IPV6地址屬性):用于承載分配的128bits 的 IPv6 地址。結(jié)合302中所述的IPV6地址的分配方式,上面設(shè)計的五個屬性信息已經(jīng)能夠滿足IPV6地址信息的承載需求;例如,當分配的是128bits的IPv6地址時,可以直接使用IPV6地址屬性承載上報;當分配的是64bits的IPv6前綴和64bits的接口標識(Interface ID)的組合時,可以同時使用IPV6前綴屬性和接口標識屬性進行這兩個信息的上報;當分配的是64bits的IPv6前綴時,可以使用IPV6前綴屬性承載;當分配的IPV6地址信息中包括IPv6-PD前綴時,可以使用IPV6-PD前綴屬性承載該IPv6_PD前綴。可選的,在具體實施中,Start Accounting中不一定必須包括所述的全部的屬性信息,例如,BRAS僅采用其中一種分配方式為終端分配IPV6地址,比如僅采用64bits的IPv6前綴和64bits的接口標識(Interface ID)的組合分配方式時,則StartAccounting 中的屬性信息可以只包括:“User_Name” 屬性、“Framed-1PV6_Prefix”屬性、以及“Framed-1nterface-1d”屬性?;蛘撸绻鸅RAS僅采用128bits的IPv6地址分配方式時,則Start Accounting中的屬性信息可以只包括:“User_Name”屬性、以及“Framed-1PV6_Address” 屬性即可。因此,Start Accounting中在“User-Name”屬性之夕卜,用于承載IPV6地址信息的屬性可以包括如下中的任意一種:IPV6地址屬性、IPV6前綴屬性、以及所述IPV6前綴屬性和接口標識屬性的組合;所述IPV6地址信息通過所述屬性信息中的任意一種承載。并且,IPV6-PD前綴屬性也是可選的,當IPV6地址分配方式需要分配IPV6-PD前綴時,需要設(shè)置該屬性,當不分配IPV6-PD前綴時,可以不設(shè)置該屬性。
304、AAA服務(wù)器建立IPV6地址信息、用戶標識和用戶身份信息之間的映射關(guān)系;其中,AAA服務(wù)器自身存儲有用戶身份信息,該用戶身份信息例如包括用戶的姓名、地址、身份證號、手機號等,并且,AAA服務(wù)器還存儲有用戶標識例如用戶賬號等,上述的這些信息可能是用戶在運營商營業(yè)廳簽約時運營商獲取到并通過某種方式存儲在AAA服務(wù)器中的。本實施例中,AAA服務(wù)器根據(jù)接收到的用戶標識就能夠查找到該用戶標識對應(yīng)的用戶身份信息,并且由于用戶標識和IPV6地址信息也是具有對應(yīng)關(guān)系的,就可以建立IPV6地址信息、用戶標識和用戶身份信息之間的映射關(guān)系,即映射關(guān)系表示了某個用戶標識的用戶,其用戶身份信息是什么,以及該用戶在上網(wǎng)時為其分配的IPV6地址信息是什么。305、AAA服務(wù)器在接收到需要溯源的目標IPV6地址時,采用最長匹配方式獲取與所述目標IPV6地址相匹配的所述IPV6地址信息;其中,所述接收將溯源的目標IPV6地址,可以是AAA服務(wù)器接收某管理員輸入的目標IPV6地址,也可以通過其他方式獲取目標IPV6地址;該目標IPV6地址指的是將要對其進行溯源的地址,例如,網(wǎng)絡(luò)上出現(xiàn)非法言論,公安部門要追查發(fā)布該非法言論的嫌疑人,就要對該嫌疑人上網(wǎng)遺留在網(wǎng)絡(luò)上的IPV6地址進行溯源,則該嫌疑人遺留在網(wǎng)絡(luò)上的IPV6地址即為將溯源的目標IPV6地址,公安部門需要查找該目標IPV6地址對應(yīng)的用戶身份信息。本實施例中,在查找與所述目標IPV6地址相匹配的IPV6地址信息時,也是與IPV4地址的匹配查找不同的;比如,現(xiàn)有的IPV4地址溯源時,由于IPV4地址的形式比較單一,即32bits的IPV4地址,則可以采取精確匹配方式,只要32bits完全相同即為相匹配的IPV4地址;而本實施例中的IPV6地址的形式較為復雜,包括IPV6地址和不定長的IPV6前綴等多種形式,在進行地址匹配時,就可能出現(xiàn)多個IPV6地址信息均與目標IPV6地址具有一部分比特位的相同信息的情況,此時無法采用傳統(tǒng)的精確匹配方案,例如可以按照最長匹配方式,將目標IPV6地址與存儲的各IPV6地址信息進行比較,選擇與所述目標IPV6地址具有最多的匹配信息的IPV6地址信息,作為與所述目標IPV6地址相匹配的IPV6地址信息。所述IPV6前綴信息包括如下的其中一項:IPV6前綴、IPV6-PD前綴、接口標識。舉例如下:參見如下的表1,為AAA服務(wù)器存儲的一種可選的IPV6地址信息的記錄方式;需要說明的是,該表I主要用于說明本實施例的最長匹配方式是如何執(zhí)行的,但并不限制AAA服務(wù)器采用其他的形式記錄相關(guān)信息,并且該表I僅示出了最長匹配方式描述涉及到的一些關(guān)鍵信息并非全部:表I
權(quán)利要求
1.一種IPV6地址溯源方法,其特征在于,包括: 接收需要溯源的目的IPv6地址; 采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息; 獲取所述IPv6地址信息對應(yīng)的用戶標識。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述接收需要溯源的目的IPV6地址之前,所述方法還包括: 接收接入設(shè)備發(fā)送的所述用戶標識、以及與所述用戶標識對應(yīng)的所述IPv6地址信息; 保存所述用戶標識與所述IPv6地址信息的對應(yīng)關(guān)系。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,還包括: 根據(jù)所述用戶標識獲取自身存儲的與所述用戶標識對應(yīng)的用戶身份信息,并保存所述IPV6地址信息、所述用戶標識和所述用戶身份信息之間的映射關(guān)系; 所述獲取所述IPv6地址信息對應(yīng)的用戶標識之后,還包括:根據(jù)所述映射關(guān)系,獲得與所述用戶標識對應(yīng)的所述用戶身份信息。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述獲取所述IPv6地址信息對應(yīng)的用戶標識之后,還包括: 根據(jù)所述用戶標識,從認證服務(wù)器獲取與所述用戶標識對應(yīng)的用戶身份信息。
5.根據(jù)權(quán)I 4任一所述的方法,其`特征在于,所述IPV6前綴信息包括如下的其中一項: IPV6前綴、IPV6-PD前綴、接口標識。
6.一種IPV6地址溯源裝置,其特征在于,包括: 信息接收單元,用于接收需要溯源的目的IPv6地址; 地址匹配單元,用于采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息; 溯源處理單元,用于獲取所述IPv6地址信息對應(yīng)的用戶標識。
7.根據(jù)權(quán)利要求6所述的IPV6地址溯源裝置,其特征在于, 所述信息接收單元,還用于在所述接收需要溯源的目的IPV6地址之前,接收接入設(shè)備發(fā)送的所述用戶標識、以及與所述用戶標識對應(yīng)的所述IPv6地址信息; 所述地址溯源裝置還包括:映射建立單元,用于保存所述用戶標識與所述IPv6地址信息的對應(yīng)關(guān)系。
8.根據(jù)權(quán)利要求7所述的IPV6地址溯源裝置,其特征在于, 所述映射建立單元,還用于根據(jù)所述用戶標識獲取自身存儲的與所述用戶標識對應(yīng)的用戶身份信息,并保存所述IPV6地址信息、所述用戶標識和所述用戶身份信息之間的映射關(guān)系; 所述溯源處理單元,還用于在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述映射關(guān)系,獲得與所述用戶標識對應(yīng)的所述用戶身份信息。
9.根據(jù)權(quán)利要求7所述的IPV6地址溯源裝置,其特征在于, 所述溯源處理單元,還用于在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述用戶標識,從認證服務(wù)器獲取與所述用戶標識對應(yīng)的用戶身份信息。
10.根據(jù)權(quán)利要求6 9任一所述的IPV6地址溯源裝置,其特征在于,所述IPV6前綴信息包括如下的其中一項: IPV6前綴、IPV6-PD前綴、接口標識。
11.一種IPV6地址溯源系統(tǒng),其特征在于,包括:IPV6地址溯源裝置; 所述IPV6地址溯源裝置,用于接收需要溯源的目的IPv6地址;并采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息;以及,獲取所述IPv6地址信息對應(yīng)的用戶標識。
12.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,還包括:接入設(shè)備; 所述接入設(shè)備,用于在所述IPv6地址溯源裝置接收需要溯源的目的IPV6地址之前,向所述IPv6地址溯源裝置發(fā)送所述用戶標識、以及與所述用戶標識對應(yīng)的所述IPv6地址信息; 所述IPv6地址溯源裝置,還用于保存所述用戶標識與所述IPv6地址信息的對應(yīng)關(guān)系。
13.根據(jù)權(quán)利要求12所述的系統(tǒng),其特征在于, 所述IPv6地址溯源裝置,還用于根據(jù)所述用戶標識獲取自身存儲的與所述用戶標識對應(yīng)的用戶身份信息,并保存所述IPV6地址信息、所述用戶標識和所述用戶身份信息之間的映射關(guān)系;以及,在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述映射關(guān)系,獲得與所述用戶標識對應(yīng)的所述用戶身份信息。
14.根據(jù)權(quán)利要求12所述的系統(tǒng),其特征在于,還包括:認證服務(wù)器; 所述IPv6地址溯源裝置,還用于在獲取所述IPv6地址信息對應(yīng)的用戶標識之后,根據(jù)所述用戶標識,從所述認證服務(wù)器獲取與所述用戶標識對應(yīng)的用戶身份信息。
15.根據(jù)權(quán)11 14任一所述的系統(tǒng),其特征在于,所述IPV6前綴信息包括如下的其中一項:IPV6前綴、IPV6-PD前綴、接口標識。
全文摘要
本發(fā)明提供一種IPV6地址溯源方法、裝置和系統(tǒng),其中方法包括接收需要溯源的目的IPv6地址;采用最長匹配方式選擇與所述目的IPv6地址匹配的IPv6地址信息,所述IPv6地址信息包括IPv6地址或IPv6前綴信息;獲取所述IPv6地址信息對應(yīng)的用戶標識。本發(fā)明實現(xiàn)了IPV6地址的溯源。
文檔編號H04L29/12GK103229488SQ201280002617
公開日2013年7月31日 申請日期2012年12月27日 優(yōu)先權(quán)日2012年12月27日
發(fā)明者楊熹, 張亞鋒, 王淑香 申請人:華為技術(shù)有限公司