專利名稱:一種互聯(lián)網(wǎng)主機(jī)命名和通信方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,特別是涉及一種互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)及其公/私密
鑰對生成方法。
背景技術(shù):
目前我們使用的互聯(lián)網(wǎng)技術(shù)為第二代互聯(lián)網(wǎng)IPv4技術(shù),它的最大缺陷就是網(wǎng)絡(luò) 地址資源有限,從理論上講,IPv4技術(shù)可使用的IP地址有43億個,基本上能夠滿足全世界 互聯(lián)網(wǎng)用戶的需要。但是,由于IPv4技術(shù)的核心技術(shù)屬于美國,所以存在著網(wǎng)絡(luò)地址分配 不均的問題。據(jù)統(tǒng)計,北美就占有3/4,約30億個,而人口最多的亞洲只有不到4億個,中國 只有3千多萬個。IP地址不足,嚴(yán)重地制約了我國及其他國家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展。
現(xiàn)在,中國互聯(lián)網(wǎng)用戶已經(jīng)超過2億,由于IP地址資源不足,需要許多用戶共享一 個IP地址?;谶@種情況,當(dāng)前我國的互聯(lián)網(wǎng)主機(jī)普遍存在匿名性問題,即主機(jī)身份無法 得到有效驗證,用戶行為無法得到審計?;ヂ?lián)網(wǎng)主機(jī)的匿名性雖然促使了用戶的廣泛參與 和信息的自由交流,但同時也導(dǎo)致了用戶行為的隨意性,引起一些負(fù)面影響甚至給社會造 成危害。例如,2006年,一些不法分子就利用互聯(lián)網(wǎng)主機(jī)的匿名性進(jìn)行網(wǎng)絡(luò)欺騙和身份竊 取,給消費(fèi)者和商家?guī)淼慕?jīng)濟(jì)損失高達(dá)數(shù)十億美元。此外,垃圾郵件等其它制約互聯(lián)網(wǎng)發(fā) 展的問題也同隱藏身份有關(guān)。 這是因為由于多個用戶主機(jī)共用一個IP地址或使用私有地址,溯源困難,導(dǎo)致地 址假冒、垃圾信息泛濫、大量的入侵和攻擊行為無法跟蹤等問題,網(wǎng)絡(luò)安全得不到保障,制 約了互聯(lián)網(wǎng)的發(fā)展。匿名已經(jīng)成為了打造互聯(lián)網(wǎng)安全的一大阻礙。 總之,需要本領(lǐng)域技術(shù)人員迫切解決的一個技術(shù)問題就是如何能夠?qū)崿F(xiàn)對互聯(lián) 網(wǎng)主機(jī)的實名制認(rèn)證,提高互聯(lián)網(wǎng)的安全性。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種互聯(lián)網(wǎng)主機(jī)命名方法,能夠?qū)崿F(xiàn)互連網(wǎng)主 機(jī)的實名制認(rèn)證,解決了地址假冒信息、垃圾信息的溯源問題、大量的入侵和攻擊行為的跟 蹤等問題,有效提高了互聯(lián)網(wǎng)的安全性。 為了解決上述問題,本發(fā)明公開了一種互聯(lián)網(wǎng)主機(jī)命名方法,采用IPv6地址作為 互聯(lián)網(wǎng)主機(jī)的實名地址,該方法包括 依據(jù)互聯(lián)網(wǎng)主機(jī)的地址申請,生成一個標(biāo)記符; 分配IPv6地址,將分配給該主機(jī)的IPv6地址,連同所述標(biāo)記符發(fā)送給該主機(jī)和密 鑰數(shù)據(jù)庫; 生成加密密鑰,將所生成的加密密鑰連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù) 庫; 將由相同標(biāo)記符標(biāo)記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰 對進(jìn)行存儲。
5
優(yōu)選的,所述接收地址申請、分配IPv6地址和生成加密密鑰分別由三個獨立的服 務(wù)器完成。 優(yōu)選的,每個所述IPv6地址對應(yīng)一個所述加密密鑰,所述加密密鑰為一個128位 的隨機(jī)數(shù)。 本發(fā)明還提供了一種基于實名地址的互聯(lián)網(wǎng)主機(jī)通信方法,采用IPv6地址作為
互聯(lián)網(wǎng)主機(jī)的實名地址,該方法包括 依據(jù)互聯(lián)網(wǎng)主機(jī)的地址申請,生成一個標(biāo)記符; 分配IPv6地址,將分配給該主機(jī)的IPv6地址,連同所述標(biāo)記符發(fā)送給該主機(jī)和密 鑰數(shù)據(jù)庫; 生成加密密鑰,將所生成的加密密鑰連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù) 庫; 將由相同標(biāo)記符標(biāo)記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰 對進(jìn)行存儲; 互聯(lián)網(wǎng)主機(jī)依據(jù)所接收的所述IPv6地址/加密密鑰對,生成公/私密鑰對; 互聯(lián)網(wǎng)主機(jī)利用所述公/私密鑰對與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器進(jìn)行通信。 優(yōu)選的,每個所述IPv6地址對應(yīng)一個所述加密密鑰,所述加密密鑰為一個128位
的隨機(jī)數(shù),所述加密密鑰中包括安全參數(shù)。 優(yōu)選的,所述生成公/私密鑰對的方法包括 將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串連,構(gòu)成 128位的明文; 將所述明文加密為密文; 對所述密文執(zhí)行安全散列算法,將所得結(jié)果進(jìn)行劃分,得到哈希值1和哈希值2 ;
判斷所述哈希值1的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與 零的比較,如果它們都為零或所述安全參數(shù)為零,則執(zhí)行下一步;如果不為零,則密文加1, 整型變量加1后,返回執(zhí)行上一步;其中,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的 安全級別; 對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算法,結(jié)果記為哈希 值3,將所述哈希值3作為私鑰; 依據(jù)所述私鑰,由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。 優(yōu)選的,所述對密文執(zhí)行安全散列算法后得到一串160位元的數(shù)值,最左邊的112 位記為所述哈希值l,最右邊48位記為所述哈希值2 ; 所述哈希值1的預(yù)定位數(shù)據(jù)為所述哈希值1的最左邊16位數(shù)據(jù)。
相應(yīng)的,本發(fā)明還提供了一種互聯(lián)網(wǎng)主機(jī)命名系統(tǒng),包括 IPv6地址/密鑰服務(wù)器,用于處理互聯(lián)網(wǎng)主機(jī)的地址申請、發(fā)送標(biāo)記符標(biāo)記的地 址分配命令給IPv6地址服務(wù)器和所述標(biāo)記符標(biāo)記的加密密鑰生成命令給加密密鑰生成 器; IPv6地址服務(wù)器,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機(jī)的實名地址,發(fā)送所述 標(biāo)記符標(biāo)記的所述IPv6地址給所述互聯(lián)網(wǎng)主機(jī)和密鑰數(shù)據(jù)庫; 加密密鑰生成器,用于生成加密密鑰,發(fā)送所述標(biāo)記符標(biāo)記的所述加密密鑰給主機(jī)和密鑰數(shù)據(jù)庫; 密鑰數(shù)據(jù)庫,用于存儲相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對。 優(yōu)選的,每個所述IPv6地址對應(yīng)一個所述加密密鑰,所述加密密鑰為一個128位
的隨機(jī)數(shù)。 優(yōu)選的,所述IPv6地址/密鑰服務(wù)器,包括 申請接收模塊,用于接收所述互聯(lián)網(wǎng)主機(jī)的地址申請; 標(biāo)記符生成模塊,用于生成一個標(biāo)記符; 地址分配命令發(fā)送模塊,用于向所述IPv6地址服務(wù)器發(fā)出一個由所述標(biāo)記符標(biāo) 記的地址分配命令; 加密密鑰命令發(fā)送模塊,用于向所述加密密鑰生成器發(fā)出一個由所述標(biāo)記符標(biāo)記 的加密密鑰生成命令。 最后,本發(fā)明還提供了一種基于實名地址的互聯(lián)網(wǎng)通信系統(tǒng),包括互聯(lián)網(wǎng)主機(jī)命 名系統(tǒng)和互聯(lián)網(wǎng)主機(jī),其中,所述互聯(lián)網(wǎng)主機(jī)命名系統(tǒng),包括 IPv6地址/密鑰服務(wù)器,用于處理互聯(lián)網(wǎng)主機(jī)的地址申請、發(fā)送標(biāo)記符標(biāo)記的地 址分配命令給IPv6地址服務(wù)器和所述標(biāo)記符標(biāo)記的加密密鑰生成命令給加密密鑰生成 器; IPv6地址服務(wù)器,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機(jī)的實名地址,發(fā)送所述 標(biāo)記符標(biāo)記的所述IPv6地址給主機(jī)和密鑰數(shù)據(jù)庫; 加密密鑰生成器,用于生成加密密鑰,發(fā)送所述標(biāo)記符標(biāo)記的所述加密密鑰給主 機(jī)和密鑰數(shù)據(jù)庫; 密鑰數(shù)據(jù)庫,用于存儲相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對;
所述互聯(lián)網(wǎng)主機(jī)包括 公/私密鑰對生成模塊,根據(jù)所接收的相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰 對,生成公/私密鑰對; 通信模塊,用于與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器通過所述生成的公/私密鑰對進(jìn)行通信。
優(yōu)選的,所述公/私密鑰對生成模塊包括 明文生成單元,用于將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本 地地址串連,構(gòu)成128位的明文; 密文生成單元,用于利用加密算法將所述明文加密為密文; 哈希值劃分單元,用于對所述密文執(zhí)行安全散列算法,將所得結(jié)果劃分為哈希值l 和哈希值2 ; 判斷單元,判斷哈希值1的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù) 值與零的比較結(jié)果,其中,m為所述預(yù)定位數(shù)據(jù)的位數(shù),h為所述安全參數(shù)的安全級別;
私鑰生成單元,對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算 法,結(jié)果記為哈希值3,將所述哈希值3作為私鑰; 公鑰生成單元,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。 優(yōu)選的,所述對密文執(zhí)行安全散列算法后得到一串160位元的數(shù)值,最左邊的112
位記為所述哈希值l,最右邊48位記為所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)的位數(shù)m為所述哈希值1的最左邊16位。 與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點 針對現(xiàn)有技術(shù)中多個互聯(lián)網(wǎng)主機(jī)共用一個IP地址或使用私有地址進(jìn)行通信,信息溯源比較困難的情況,本發(fā)明基于IPv6豐富的地址資源,提供了一種互聯(lián)網(wǎng)主機(jī)命名和通信方法及系統(tǒng)。本發(fā)明中,采用一部分IPv6地址僅用作互聯(lián)網(wǎng)主機(jī)的身份標(biāo)識,不用作路由和尋址,這樣互聯(lián)網(wǎng)主機(jī)用戶的行為,特別是在網(wǎng)上發(fā)布垃圾信息或有害消息以及進(jìn)行對其他用戶主機(jī)或服務(wù)器進(jìn)行入侵和攻擊的行為就能夠得到審計,并進(jìn)行相應(yīng)的處理措施。可以有效治理互聯(lián)網(wǎng)上垃圾信息、有害信息發(fā)布,入侵和攻擊其他主機(jī)或服務(wù)器的行為,有效提高了互聯(lián)網(wǎng)的安全性。
圖1是本發(fā)明互聯(lián)網(wǎng)主機(jī)命名方法實施例的流程圖; 圖2是本發(fā)明互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)的結(jié)構(gòu)示意圖; 圖3是本發(fā)明IPv6地址/密鑰服務(wù)器的結(jié)構(gòu)示意圖; 圖4是本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)的結(jié)構(gòu)示意圖; 圖5是本發(fā)明公/私密鑰對生成模塊的結(jié)構(gòu)示意圖; 圖6是本發(fā)明互聯(lián)網(wǎng)主機(jī)通信方法的流程圖; 圖7是本發(fā)明生成公/私密鑰對的方法流程圖。
具體實施例方式
為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖和具體實施方式
對本發(fā)明作進(jìn)一步詳細(xì)的說明。 本發(fā)明的核心構(gòu)思之一是利用下一代網(wǎng)絡(luò)IPv6豐富的地址資源,將一部分IPv6地址作為互聯(lián)網(wǎng)主機(jī)的身份標(biāo)識,在通信過程中,這部分IPv6地址只用于標(biāo)識主機(jī)的身份,不用于路由和通信,實現(xiàn)互聯(lián)網(wǎng)主機(jī)的實名制。 本發(fā)明提供了一種互聯(lián)網(wǎng)主機(jī)命名方法,采用IPv6地址作為互聯(lián)網(wǎng)主機(jī)的實名地址。參照圖l,示出了本發(fā)明互聯(lián)網(wǎng)主機(jī)命名方法實施例的流程圖,該方法包括以下步驟 步驟101,依據(jù)互聯(lián)網(wǎng)主機(jī)的地址申請,生成一個標(biāo)記符; 步驟102,分配IPv6地址,將分配給該主機(jī)的IPv6地址,連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫; 步驟103,生成加密密鑰,將所生成的加密密鑰連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫; 步驟104,將由相同標(biāo)記符標(biāo)記的所述IPv6地址和加密密鑰作為一個IPv6地址/加密密鑰對進(jìn)行存儲。 在本發(fā)明實施例中,優(yōu)先的是,所述接收地址申請步驟101、分配IPv6地址步驟102和生成加密密鑰步驟103分別由三個獨立的服務(wù)器完成,上述三個服務(wù)器的任何一方都無法知道IPv6地址/加密密鑰對,有效提高了加密密鑰的安全性。 在本發(fā)明的另一實施例中,優(yōu)先的實施方式是每個所述IPv6地址對應(yīng)一個加密密鑰。每個所述加密密鑰為一個128位的隨機(jī)數(shù)。 對應(yīng)于上述互聯(lián)網(wǎng)主機(jī)命名方法,本發(fā)明還提供了一種互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)。圖2示出了本發(fā)明一種互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)的結(jié)構(gòu)示意圖,包括 IPv6地址/密鑰服務(wù)器211,用于處理互聯(lián)網(wǎng)主機(jī)的地址申請、發(fā)送標(biāo)記符標(biāo)記的地址分配命令給IPv6地址服務(wù)器212和所述標(biāo)記符標(biāo)記的加密密鑰生成命令給加密密鑰生成器213 ; IPv6地址服務(wù)器212,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機(jī)的實名地址,發(fā)送
所述標(biāo)記符標(biāo)記的所述IPv6地址給所述互聯(lián)網(wǎng)主機(jī)和密鑰數(shù)據(jù)庫214 ; 加密密鑰生成器213,用于生成加密密鑰,發(fā)送所述標(biāo)記符標(biāo)記的所述加密密鑰給
主機(jī)和密鑰數(shù)據(jù)庫214; 密鑰數(shù)據(jù)庫214,用于存儲相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對。在本發(fā)明一種互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)的實施例中,所述IPv6地址服務(wù)器 212為每一個互聯(lián)網(wǎng)主機(jī)生成的IPv6地址的同時,會生成一個與所述IPv6地址對應(yīng)的加密密鑰,所述加密密鑰為一個128位的隨機(jī)數(shù)。 圖3示出了本發(fā)明IPv6地址/密鑰服務(wù)器的結(jié)構(gòu)示意圖,在本發(fā)明一種互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)的另一實施例中,所述IPv6地址/密鑰服務(wù)器211還可以具體包括
申請接收模塊301,用于接收互聯(lián)網(wǎng)主機(jī)的地址申請;
標(biāo)記符生成模塊302,用于為上述地址申請生成一個標(biāo)記符; 地址分配命令發(fā)送模塊303,用于向所述IPv6地址服務(wù)器212發(fā)出一個由所述標(biāo)記符標(biāo)記的地址分配命令; 加密密鑰命令發(fā)送模塊304,用于向所述加密密鑰生成器213發(fā)出一個由所述標(biāo)記符標(biāo)記的加密密鑰生成命令。 下面結(jié)合上述圖1、圖2和圖3所示的內(nèi)容,詳細(xì)描述所述互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)21的工作過程,具體為互聯(lián)網(wǎng)主機(jī)22向所述互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)21發(fā)送地址申請;IPv6地址/密鑰服務(wù)器211的子單元申請接收模塊301接收到所述地址申請后,發(fā)送信號給標(biāo)記符生成模塊302 ;所述標(biāo)記符生成模塊302接到上述信號后為該地址申請產(chǎn)生一個標(biāo)記符;然后,地址分配命令發(fā)送模塊303向所述IPv6地址服務(wù)器212發(fā)送由所述標(biāo)記符標(biāo)記的地址分配命令;同時,加密密鑰命令發(fā)送模塊304向加密密鑰生成器213發(fā)送由所述標(biāo)記符標(biāo)記的加密密鑰生成命令;IPv6地址服務(wù)器212接收到所述地址分配命令后,分配一個IPv6地址,并用接收到的標(biāo)記符將所述IPv6地址標(biāo)記后發(fā)送給密鑰數(shù)據(jù)庫214,也將同樣的信息即所述標(biāo)記符標(biāo)記后的IPv6地址發(fā)送給互聯(lián)網(wǎng)主機(jī)22 ;加密密鑰生成器213接收到加密密鑰生成命令后,產(chǎn)生一個128位的隨機(jī)數(shù)作為加密密鑰,并用接收到的標(biāo)記符將所述加密密鑰標(biāo)記后發(fā)送給密鑰數(shù)據(jù)庫214,同時也將同樣的信息即所述標(biāo)記符標(biāo)記后的加密密鑰發(fā)送給互聯(lián)網(wǎng)主機(jī)22 ;密鑰數(shù)據(jù)庫214把采用相同標(biāo)記符標(biāo)記的IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對存儲起來。這樣除了密鑰數(shù)據(jù)庫外,所述IPv6地址/密鑰服務(wù)器211、 IPv6地址服務(wù)器212和加密密鑰生成器213中的任何一方都無法得知IPv6地址/加密密鑰對,增強(qiáng)了系統(tǒng)的安全性。這是因為所述加密密鑰中有一個決定安全級別的安全參數(shù),所述安全參數(shù)存在于上述128位加密密鑰的最左邊3位,是一個3位的無符號整數(shù)。所述安全參數(shù)是000、001、010、011、111等,安全參數(shù)OOO對應(yīng)的安全級別為
90級,安全參數(shù)001對應(yīng)的安全級別為1級,以此類推,安全參數(shù)111對應(yīng)的安全級別最高為7級。安全參數(shù)可以使互聯(lián)網(wǎng)主機(jī)增加生成私鑰的代價,因而可以增加對私鑰的強(qiáng)力攻擊的代價。這是因為,所述安全參數(shù)存在于加密密鑰中,攻擊者既無法得知也無法改變,攻擊者可能采用典型的低級安全級別到高安全級別的強(qiáng)攻擊。在本發(fā)明中,所述安全參數(shù)每增加l,就會給攻擊者破解的哈希值長度增加了 16位,對于最高安全級別7級的情況,那么攻擊者就需要破解142位的哈希值。所以采用本發(fā)明提供的互聯(lián)網(wǎng)主機(jī)命名方法和命名系統(tǒng),有效增強(qiáng)了互聯(lián)網(wǎng)主機(jī)高安全級別的安全性。 基于上述互聯(lián)網(wǎng)主機(jī)命名系統(tǒng),本發(fā)明還提供了一種基于IPv6時實名地址的互聯(lián)網(wǎng)通信系統(tǒng),參照圖4,示出了本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)的結(jié)構(gòu)示意圖,包括互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)21和互聯(lián)網(wǎng)主機(jī)22。其中,所述互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)21的結(jié)構(gòu)和具體實施方式
已經(jīng)結(jié)合圖2在上述實施例和實施方式中進(jìn)行了詳細(xì)描述,這里就不再重復(fù)。接下來描述互聯(lián)網(wǎng)通信系統(tǒng)中的互聯(lián)網(wǎng)主機(jī)22,所述互聯(lián)網(wǎng)主機(jī)22包括 公/私密鑰對生成模塊221,利用從所述互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)21接收到的具有相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對,生成公/私密鑰對; 通信模塊222,用于與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器通過所述生成的公/私密鑰對進(jìn)行通信。 本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)實施例的工作過程為互聯(lián)網(wǎng)主機(jī)向互聯(lián)網(wǎng)命名系統(tǒng)21發(fā)送地址申請;所述互聯(lián)網(wǎng)命名系統(tǒng)21收到命令后生成IPv6地址/加密密鑰對,并將上述IPv6地址/加密密鑰對發(fā)送給互聯(lián)網(wǎng)主機(jī)22的公/私密鑰對生成模塊221 ;公/私密鑰對生成模塊221生成公/私密鑰對,并將上述公/私鑰對發(fā)送通信模塊222 ;通信模塊222與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器進(jìn)行通信的信息利用所述公/私密鑰對加密,然后進(jìn)行互聯(lián)網(wǎng)通信。 參照圖5,示出了本發(fā)明公/私密鑰對生成模塊的結(jié)構(gòu)示意圖。在本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)的另外一實施例中,優(yōu)選的是,公/私密鑰對生成模塊包括 明文生成單元501,用于將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串連,構(gòu)成128位的明文; 密文生成單元502,用于利用加密算法將所述明文加密為密文; 哈希值劃分單元503,用于對所述密文執(zhí)行安全散列算法(SHA算法,Secure Hash
Algorithm),將所得結(jié)果劃分為哈希值1和哈希值2 ; 判斷單元504,判斷哈希值1的預(yù)定位數(shù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與零的比較結(jié)果,其中,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的安全級別;
私鑰生成單元505,對所述哈希值2與整形變量MV串連后的數(shù)值執(zhí)行所述安全散列算法,結(jié)果記為哈希值3,將所述哈希值3作為私鑰; 公鑰生成單元506,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。
在本發(fā)明互聯(lián)網(wǎng)通信系統(tǒng)實施例中,優(yōu)選的是,所述哈希值劃分單元對所述密文單元生成的密文執(zhí)行安全散列算法如SHA-1后,得到一串160位元的數(shù)值,將最左邊的112位記為所述哈希值1即Hashl ,最右邊48位記為所述哈希值2即Hash2 ;所述哈希值1的預(yù)定位數(shù)m為所述Hashl的最左邊16位。 相應(yīng)地,本發(fā)明還提供了一種采用IPv6地址作為實名地址的互聯(lián)網(wǎng)主機(jī)通信方法。參照圖6,示出了本發(fā)明互聯(lián)網(wǎng)主機(jī)通信方法的流程圖,該方法包括
步驟601,依據(jù)互聯(lián)網(wǎng)主機(jī)的地址申請,生成一個標(biāo)記符; 步驟602,分配IPv6地址,將分配給該主機(jī)的IPv6地址,連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫; 步驟603,生成加密密鑰,將所生成的加密密鑰連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫; 步驟604,將由相同標(biāo)記符標(biāo)記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進(jìn)行存儲; 步驟605,互聯(lián)網(wǎng)主機(jī)依據(jù)所接收的所述IPv6地址/加密密鑰對,生成公/私密鑰對; 步驟606,互聯(lián)網(wǎng)主機(jī)利用所述公/私密鑰對與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器進(jìn)行通信。 作為本發(fā)明互聯(lián)網(wǎng)主機(jī)通信方法的一種優(yōu)選實施例,每個所述IPv6地址對應(yīng)一個所述加密密鑰,所述加密密鑰為一個128位的隨機(jī)數(shù),所述加密密鑰中包括安全參數(shù)。
在本發(fā)明互聯(lián)網(wǎng)主機(jī)通信方法的另一種實施例中,生成公/私密鑰對的優(yōu)選實施方式參照圖7,示出了本發(fā)明生成公/私密鑰對的方法流程圖,所述生成公/私密鑰對的方法包括 步驟701,將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串
連,構(gòu)成128位的明文; 步驟702,將所述明文加密為密文; 步驟703,對所述密文執(zhí)行安全散列算法,將所得結(jié)果進(jìn)行劃分,得到哈希值1和哈希值2 ; 步驟704,判斷所述哈希值1的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與零的比較,如果它們都為零或所述安全參數(shù)為零,則執(zhí)行步驟706 ;否則執(zhí)行步驟705后返回執(zhí)行步驟703,其中,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的安全級別; 步驟705,密文加l,整型變量MV加1 ; 步驟706,對所述哈希值2與整形變量MV串連后的數(shù)值執(zhí)行所述安全散列算法,結(jié)果記為哈希值3,將所述哈希值3作為私鑰; 步驟707,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。
在本發(fā)明互聯(lián)網(wǎng)主機(jī)通信方法的實施例中,優(yōu)選的是,在生成公/私密鑰對的方法中,步驟703對密文執(zhí)行安全散列算法如SHA-1后得到一串160位元的數(shù)值,將最左邊的112位記為所述哈希值l,最右邊48位記為所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)為所述哈希值l的最左邊16位數(shù)據(jù)。 作為一種本發(fā)明互聯(lián)網(wǎng)主機(jī)通信方法和通信系統(tǒng)的具體實施過程,包括以下步驟 互聯(lián)網(wǎng)主機(jī)從互聯(lián)網(wǎng)命名系統(tǒng)接收到相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對; 所述互聯(lián)網(wǎng)主機(jī)的明文生成單元,將分配的所述IPv6地址的前64位子網(wǎng)前綴與
1164位全為零的場點本地地址串聯(lián),構(gòu)成128位的明文并發(fā)送給密文生成單元; 所述密文生成單元利用加密算法如高級加密標(biāo)準(zhǔn)(AVS, AdvancedEncryption
Standard)算法將所述明文加密為密文,并將所述密文發(fā)送給哈希值劃分單元; 哈希值劃分單元對接收到的上述密文執(zhí)行安全散列算法如SHA-1,得到一組160
位元的數(shù)值,將所述數(shù)值的最左邊112位記為哈希值1即Hashl,最右邊48位記為哈希值2
即Hash2 ; 判斷單元將所述Hashl的最左邊16位數(shù)據(jù)與安全參數(shù)相乘后得到的(mXh)位數(shù)值與零比較; 其中,所述安全參數(shù)是一個3位的無符號整數(shù),存在于所述加密密鑰的最左邊3位,決定了安全級別h。所述安全參數(shù)對應(yīng)的安全級別h的取值為0-7。安全參數(shù)為000時,對應(yīng)的安全級別h為0 ;安全參數(shù)為001時,其安全級別h為1 ;當(dāng)安全參數(shù)為111時,安全級別h為最高級別7。作為一種具體實施例,當(dāng)安全級別為1時,所述Hashl的最左邊16位數(shù)據(jù)與安全參數(shù)001相乘后,得到(16X1)位數(shù)值,然后與零比較; 如果所述16位數(shù)值不全為零,則執(zhí)行步驟705,即將上述密文加1得到新的密文,整形變量MV加1后,返回上一步,即哈希值劃分單元對所述新密文執(zhí)行安全散列算法如SHA-1,得到一個新的160位元的數(shù)值,將所述數(shù)值的最左邊112位記為新的Hashl,最右邊48位記為新的Hash2,然后執(zhí)行判斷步驟,直至判斷結(jié)果為零;每返回一次,所述密文就加l,整形變量MV也加1。其中,所述整形變量MV實際用于記錄Hash次數(shù),其初始值為O。
如果所述16位數(shù)值全為零,則由私鑰生成單元將所述Hash2與對應(yīng)的整形變量MV串聯(lián),然后對所述串聯(lián)后的數(shù)值執(zhí)行所述安全散列算法如SHA-1,將得到的結(jié)果記為Hash3,作為私鑰; 最后公鑰生成單元依據(jù)所述私鑰根據(jù)預(yù)置的公鑰密碼算法如RSA(Rivest ShamirAdlemen)、背包密碼、McEli^ce密碼、Diffe Hellman、Rabin、Ong Fiat Shamir、零知識證明的算法、橢圓曲線、EIGamal算法等生成對應(yīng)的公鑰。 至此,互聯(lián)網(wǎng)主機(jī)的公/私鑰對生成完畢,可以用于與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器的通信。在整個過程中,用戶為了生成符合安全參數(shù)的私鑰,需要維護(hù)所述整形變量MV,其初始值為0。 實名地址的使用方法為互聯(lián)網(wǎng)主機(jī)在上網(wǎng)時,應(yīng)該向域名服務(wù)器注冊主機(jī)上網(wǎng)IP地址和IPv6格式實名地址的綁定關(guān)系,以及所用到的公鑰,如果是網(wǎng)站有域名的,也應(yīng)注冊該域名。移動主機(jī)變更上網(wǎng)IP地址時也要更新所述新的上網(wǎng)IP地址和IPv6格式實名地址的綁定關(guān)系。其中,上述IPv6格式實名地址是由本發(fā)明互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)分配給主機(jī)的。每臺互聯(lián)網(wǎng)主機(jī)的IPv6格式實名地址是唯一確定的。通信雙方在進(jìn)行實名通信時,需要先根據(jù)對方的IPv6格式實名地址查詢通信對方的IP地址和通信公鑰,不能直接進(jìn)行基于上網(wǎng)IP地址的網(wǎng)絡(luò)通信。具體通信過程為通信方雙方的一方(以下簡稱A)向另一方(以下簡稱B)發(fā)送通信包;對方B回復(fù)信息包含回復(fù)方的問題,DH(Diffie-Hellman)密鑰交換算法的DH半會話密鑰和簽名;通信方A給出問題解決方案,計算得出會話密鑰,創(chuàng)建安全關(guān)聯(lián)(SA, SecurityAssociation),并發(fā)送DH算法的半會話密鑰,A的簽名;通信方B計算得出會話密鑰,創(chuàng)建自己的安全關(guān)聯(lián)SA,并發(fā)送簽名包結(jié)束實名地址認(rèn)證;通信雙方在進(jìn)行身份認(rèn)證后,確認(rèn)對方擁有公鑰對應(yīng)的私鑰,用會話密鑰進(jìn)行信息交互。
本說明書中的各個實施例均采用遞進(jìn)的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可。對于系統(tǒng)實施例而言,由于其與方法實施例基本相似,所以描述的比較簡單,相關(guān)之處參見方法實施例的部分說明即可。 以上對本發(fā)明所提供的一種互聯(lián)網(wǎng)主機(jī)命名和通信方法及系統(tǒng),進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進(jìn)行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實施方式
及應(yīng)用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
1權(quán)利要求
一種互聯(lián)網(wǎng)主機(jī)命名方法,其特征在于,采用IPv6地址作為互聯(lián)網(wǎng)主機(jī)的實名地址,該方法包括依據(jù)互聯(lián)網(wǎng)主機(jī)的地址申請,生成一個標(biāo)記符;分配IPv6地址,將分配給該主機(jī)的IPv6地址,連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫;生成加密密鑰,將所生成的加密密鑰連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫;將由相同標(biāo)記符標(biāo)記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進(jìn)行存儲。
2. 根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)主機(jī)命名方法,其特征在于,所述接收地址申請、分配 IPv6地址和生成加密密鑰分別由三個獨立的服務(wù)器完成。
3. 根據(jù)權(quán)利要求1所述的互聯(lián)網(wǎng)主機(jī)命名方法,其特征在于,每個所述IPv6地址對應(yīng) 一個所述加密密鑰,所述加密密鑰為一個128位的隨機(jī)數(shù)。
4. 一種基于實名地址的互聯(lián)網(wǎng)主機(jī)通信方法,其特征在于,采用IPv6地址作為互聯(lián)網(wǎng) 主機(jī)的實名地址,該方法包括依據(jù)互聯(lián)網(wǎng)主機(jī)的地址申請,生成一個標(biāo)記符;分配IPv6地址,將分配給該主機(jī)的IPv6地址,連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù) 據(jù)庫;生成加密密鑰,將所生成的加密密鑰連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫; 將由相同標(biāo)記符標(biāo)記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進(jìn) 行存儲;互聯(lián)網(wǎng)主機(jī)依據(jù)所接收的所述IPv6地址/加密密鑰對,生成公/私密鑰對; 互聯(lián)網(wǎng)主機(jī)利用所述公/私密鑰對與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器進(jìn)行通信。
5. 根據(jù)權(quán)利要求4所述的互聯(lián)網(wǎng)主機(jī)通信方法,其特征在于,每個所述IPv6地址對應(yīng) 一個所述加密密鑰,所述加密密鑰為一個128位的隨機(jī)數(shù),所述加密密鑰中包括安全參數(shù)。
6. 根據(jù)權(quán)利要求4所述的互聯(lián)網(wǎng)主機(jī)通信方法,其特征在于,所述生成公/私密鑰對的 方法包括將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地址串連,構(gòu)成128位 的明文;將所述明文加密為密文;對所述密文執(zhí)行安全散列算法,將所得結(jié)果進(jìn)行劃分,得到哈希值1和哈希值2 ;判斷所述哈希值l的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與零的 比較,如果它們都為零或所述安全參數(shù)為零,則執(zhí)行下一步;如果不為零,則密文加l,整型 變量加1后,返回執(zhí)行上一步;其中,m為所述預(yù)定位數(shù)值的位數(shù),h為所述安全參數(shù)的安全 級別;對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算法,結(jié)果記為哈希值3, 將所述哈希值3作為私鑰;依據(jù)所述私鑰,由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。
7. 根據(jù)權(quán)利要求6所述的互聯(lián)網(wǎng)主機(jī)通信方法,其特征在于,所述對密文執(zhí)行安全散 列算法后得到一串160位元的數(shù)值,最左邊的112位記為所述哈希值1 ,最右邊48位記為所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)為所述哈希值1的最左邊16位數(shù)據(jù)。
8. —種互聯(lián)網(wǎng)主機(jī)命名系統(tǒng),其特征在于,包括IPv6地址/密鑰服務(wù)器,用于處理互聯(lián)網(wǎng)主機(jī)的地址申請、發(fā)送標(biāo)記符標(biāo)記的地址分配命令給IPv6地址服務(wù)器和所述標(biāo)記符標(biāo)記的加密密鑰生成命令給加密密鑰生成器;IPv6地址服務(wù)器,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機(jī)的實名地址,發(fā)送所述標(biāo)記符標(biāo)記的所述IPv6地址給所述互聯(lián)網(wǎng)主機(jī)和密鑰數(shù)據(jù)庫;加密密鑰生成器,用于生成加密密鑰,發(fā)送所述標(biāo)記符標(biāo)記的所述加密密鑰給主機(jī)和密鑰數(shù)據(jù)庫;密鑰數(shù)據(jù)庫,用于存儲相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對。
9. 根據(jù)權(quán)利要求8所述的互聯(lián)網(wǎng)主機(jī)命名系統(tǒng),其特征在于,每個所述IPv6地址對應(yīng) 一個所述加密密鑰,所述加密密鑰為一個128位的隨機(jī)數(shù)。
10. 根據(jù)權(quán)利要求8所述的互聯(lián)網(wǎng)主機(jī)命名系統(tǒng),其特征在于,所述IPv6地址/密鑰服 務(wù)器,包括申請接收模塊,用于接收所述互聯(lián)網(wǎng)主機(jī)的地址申請; 標(biāo)記符生成模塊,用于生成一個標(biāo)記符;地址分配命令發(fā)送模塊,用于向所述IPv6地址服務(wù)器發(fā)出一個由所述標(biāo)記符標(biāo)記的 地址分配命令;加密密鑰命令發(fā)送模塊,用于向所述加密密鑰生成器發(fā)出一個由所述標(biāo)記符標(biāo)記的加 密密鑰生成命令。
11. 一種基于實名地址的互聯(lián)網(wǎng)通信系統(tǒng),其特征在于,包括互聯(lián)網(wǎng)主機(jī)命名系統(tǒng)和互 聯(lián)網(wǎng)主機(jī),其中,所述互聯(lián)網(wǎng)主機(jī)命名系統(tǒng),包括IPv6地址/密鑰服務(wù)器,用于處理互聯(lián)網(wǎng)主機(jī)的地址申請、發(fā)送標(biāo)記符標(biāo)記的地址分 配命令給IPv6地址服務(wù)器和所述標(biāo)記符標(biāo)記的加密密鑰生成命令給加密密鑰生成器;IPv6地址服務(wù)器,用于分配IPv6地址作為所述互聯(lián)網(wǎng)主機(jī)的實名地址,發(fā)送所述標(biāo)記 符標(biāo)記的所述IPv6地址給主機(jī)和密鑰數(shù)據(jù)庫;加密密鑰生成器,用于生成加密密鑰,發(fā)送所述標(biāo)記符標(biāo)記的所述加密密鑰給主機(jī)和 密鑰數(shù)據(jù)庫;密鑰數(shù)據(jù)庫,用于存儲相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對; 所述互聯(lián)網(wǎng)主機(jī)包括公/私密鑰對生成模塊,根據(jù)所接收的相同標(biāo)記符標(biāo)記的IPv6地址/加密密鑰對,生 成公/私密鑰對;通信模塊,用于與其他互聯(lián)網(wǎng)主機(jī)或服務(wù)器通過所述生成的公/私密鑰對進(jìn)行通信。
12. 根據(jù)權(quán)利要求11所述的互聯(lián)網(wǎng)通信系統(tǒng),其特征在于,所述公/私密鑰對生成模塊 包括明文生成單元,用于將分配IPv6地址64位的子網(wǎng)前綴與64位的全為零的場點本地地 址串連,構(gòu)成128位的明文;密文生成單元,用于利用加密算法將所述明文加密為密文;哈希值劃分單元,用于對所述密文執(zhí)行安全散列算法,將所得結(jié)果劃分為哈希值1和哈希值2 ;判斷單元,判斷哈希值l的預(yù)定位數(shù)據(jù)與所述安全參數(shù)乘積后得到的(mXh)位數(shù)值與 零的比較結(jié)果,其中,m為所述預(yù)定位數(shù)據(jù)的位數(shù),h為所述安全參數(shù)的安全級別;私鑰生成單元,對所述哈希值2與整形變量串連后的數(shù)值執(zhí)行所述安全散列算法,結(jié) 果記為哈希值3,將所述哈希值3作為私鑰;公鑰生成單元,依據(jù)所述私鑰由預(yù)置的公鑰密碼算法生成對應(yīng)的公鑰。
13.根據(jù)權(quán)利要求12所述的互聯(lián)網(wǎng)主機(jī)通信系統(tǒng),其特征在于,所述對密文執(zhí)行安全 散列算法后得到一串160位元的數(shù)值,最左邊的112位記為所述哈希值1 ,最右邊48位記為 所述哈希值2 ;所述哈希值1的預(yù)定位數(shù)據(jù)的位數(shù)m為所述哈希值1的最左邊16位。
全文摘要
本發(fā)明提供了一種互聯(lián)網(wǎng)主機(jī)命名方法,采用IPv6地址作為互聯(lián)網(wǎng)主機(jī)的實名地址,包括依據(jù)互聯(lián)網(wǎng)主機(jī)的地址申請,生成一個標(biāo)記符;分配IPv6地址;將分配給該主機(jī)的IPv6地址,連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫;生成加密密鑰;將所生成的加密密鑰連同所述標(biāo)記符發(fā)送給該主機(jī)和密鑰數(shù)據(jù)庫;將由相同標(biāo)記符標(biāo)記的所述IPv6地址和加密密鑰作為一組IPv6地址/加密密鑰對進(jìn)行存儲。采用本發(fā)明互聯(lián)網(wǎng)主機(jī)命名方法能夠?qū)崿F(xiàn)信息溯源,有效杜絕地址假冒、垃圾信息泛濫、大量入侵和攻擊別的用戶主機(jī)或服務(wù)器現(xiàn)象的發(fā)生,有效增強(qiáng)互聯(lián)網(wǎng)的安全性。
文檔編號H04L12/56GK101741545SQ20081022579
公開日2010年6月16日 申請日期2008年11月13日 優(yōu)先權(quán)日2008年11月13日
發(fā)明者李曉東, 毛偉, 羅萬明 申請人:中國科學(xué)院計算機(jī)網(wǎng)絡(luò)信息中心