專利名稱：：IPv6地址的結(jié)構(gòu)、分配及溯源的方法和裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及IPv6網(wǎng)絡(luò)，特別是涉及一種IPv6地址的結(jié)構(gòu)、分配方法及裝置、以及溯源方法及裝置。
背景技術(shù)：
：與傳統(tǒng)的面向連接的電路交換網(wǎng)絡(luò)相比，無連接的IP分組網(wǎng)絡(luò)在網(wǎng)絡(luò)溯源方面能力較弱，主要原因有以下兩點(diǎn)IP分組網(wǎng)絡(luò)在報文的轉(zhuǎn)發(fā)過程中，只檢查目的地址，依據(jù)目的地址轉(zhuǎn)發(fā)，而不去檢驗(yàn)源地址是不是發(fā)送者的真實(shí)IP地址。主機(jī)通常是通過動態(tài)方式獲得IP地址，相同的IP地址可能會分配給不同的主機(jī)終端，因此無法將IP地址與主機(jī)進(jìn)行靜態(tài)綁定。上述原因?qū)е略贗P網(wǎng)絡(luò)中存在大量的DDoS攻擊(DistributionDenialofservice,分布式拒絕服務(wù)攻擊)，垃圾郵件泛濫等現(xiàn)象。因此需要對現(xiàn)有的IP網(wǎng)絡(luò)技術(shù)進(jìn)行改造，使得網(wǎng)絡(luò)具有溯源能力，能夠追溯到DDoS攻擊或是垃圾郵件等有害信息的源頭，起到一定的威懾作用。與IPv4網(wǎng)絡(luò)相比，盡管IPv6網(wǎng)絡(luò)能夠提供一個更大的地址空間，可以為每一個終端分配一個IPv6地址。但實(shí)際上，當(dāng)終端附連的網(wǎng)絡(luò)發(fā)生變化時，網(wǎng)絡(luò)前綴通常也跟著變化，這樣如果采用靜態(tài)的地址分配方式，就需要通過移動IP技術(shù)來解決終端的漫游問題?？紤]到實(shí)現(xiàn)上的復(fù)雜度，以及網(wǎng)絡(luò)切換、轉(zhuǎn)發(fā)效率等因素，大規(guī)模的部署移動IP是不可行的。而且，在運(yùn)營商的商業(yè)運(yùn)營中，都是通過動態(tài)地址分配機(jī)制來為主機(jī)分配地址，并與計(jì)費(fèi)系統(tǒng)進(jìn)行關(guān)聯(lián)。在RFC4291中，定義了三種類型的IPv6地址，即單播地址、組播地址和任意播地址。IPv6的地址結(jié)構(gòu)可以分為子網(wǎng)前綴和接口標(biāo)識兩部分，如圖l所示，其中子網(wǎng)前綴用于標(biāo)識所連接的網(wǎng)絡(luò)，而接口標(biāo)識用于標(biāo)識鏈路上的某一接口。對于大多數(shù)應(yīng)用而言，主機(jī)都是采用單播地址來進(jìn)行通信的，其地址結(jié)構(gòu)通常由三部分組成，全局路由前綴、子網(wǎng)標(biāo)識和接口標(biāo)識。其中前64位(全局路由前綴+子網(wǎng)標(biāo)識)是由連接的網(wǎng)絡(luò)決定的，而后64位(接口標(biāo)識)可以自動生成。目前主機(jī)IPv6地址可以通過兩種方式獲得，一種是靜態(tài)配置模式，一種是動態(tài)配置模式，而動態(tài)配置模式又可以分為無狀態(tài)的地址自動配置和有狀態(tài)的地址自動配置。在RFC4291中建議，在無狀態(tài)地址自動配置方式下，接口標(biāo)識可以通過EUI64(IEEE定義的一種基于64位的擴(kuò)展惟一標(biāo)示符)轉(zhuǎn)換算法得到，即由48位MAC地址轉(zhuǎn)換生成。采用有狀態(tài)地址自動配置方式下，IPv6地址(包括接口標(biāo)識)是由DHCP服務(wù)器分配的，接口標(biāo)識中并未明確包含主機(jī)用戶的標(biāo)識信息。因此，需要在采用有狀態(tài)自動配置方式時建立一種IPv6地址網(wǎng)絡(luò)溯源機(jī)制，包括IPv6地址的分配和對IPv6源地址的溯源。
發(fā)明內(nèi)容針對現(xiàn)有技術(shù)中存在的缺陷和不足，本發(fā)明的目的是提出一種內(nèi)嵌用戶身份信息的IPv6編址方案以及地址分配方法和裝置，以及與該分配方法對應(yīng)的IPv6網(wǎng)絡(luò)源地址的溯源方法及裝置。為了達(dá)到上述目的，本發(fā)明提出了一種IPv6地址結(jié)構(gòu)，包括網(wǎng)絡(luò)前綴和接口標(biāo)識，所述網(wǎng)絡(luò)前綴由主機(jī)所連網(wǎng)絡(luò)決定，所述接口標(biāo)識是對記錄用戶標(biāo)識信息的比特位使用非對稱加密算法得到的；并且，所述網(wǎng)絡(luò)前綴或所述接口標(biāo)識中還包括用于標(biāo)識采用的加密算法、用戶標(biāo)識信息類別等信息的預(yù)定比特位。作為上述技術(shù)方案的優(yōu)選，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。本發(fā)明還提出一種IPv6地址分配方法，包括步驟1:DHCP中繼代理接收主機(jī)發(fā)送的請求信息，并通過AAA服務(wù)器獲取與所述主機(jī)相關(guān)的用戶標(biāo)識信息，然后將所述請求信息以及所述用戶標(biāo)識信息發(fā)送到DHCP服務(wù)器；步驟2:所述DHCP服務(wù)器采用有狀態(tài)地址自動配置模式為所述主機(jī)分配IPv6地址，其中，所述IPv6地址由網(wǎng)絡(luò)前綴和接口標(biāo)識組成所述網(wǎng)絡(luò)前綴由DHCP服務(wù)器根據(jù)主機(jī)所連網(wǎng)絡(luò)為主機(jī)分配；所述接口標(biāo)識用于記錄所述用戶標(biāo)識信息，生成接口標(biāo)識時對記錄所述用戶標(biāo)識信息的比特位采用非對稱加密算法進(jìn)行加密；使用所述網(wǎng)絡(luò)前綴或所述接口標(biāo)識中的預(yù)定比特位來標(biāo)識采用的加密算法、用戶信息類別等信息。作為上述技術(shù)方案的優(yōu)選，還包括步驟在網(wǎng)絡(luò)邊界路由器上啟用反向路徑檢查功能，或在邊界路由器上啟用動態(tài)ACL機(jī)制。作為上述技術(shù)方案的優(yōu)選，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。本發(fā)明還提出一種IPv6地址溯源方法，所述IPv6地址是采用上述方法分配得到；通過非對稱加密算法使用私鑰和所述IPv6地址的接口標(biāo)識部分進(jìn)行解密運(yùn)算得到用戶標(biāo)識信息，根據(jù)所述用戶標(biāo)識信息得到主機(jī)用戶信息。本發(fā)明還提出一種DHCP中繼代理，包括第一接收模塊，用于接收主機(jī)發(fā)送的請求信息；獲取用戶標(biāo)識信息模塊，用于通過AAA服務(wù)器獲取與所述主機(jī)相關(guān)的用戶標(biāo)識信息；第一發(fā)送模塊，用于將所述請求信息以及所述用戶標(biāo)識信息發(fā)送到DHCP服務(wù)器，使DHCP服務(wù)器根據(jù)所述用戶標(biāo)識信息為所述主機(jī)分配IPv6地址。本發(fā)明還提出一種DHCP服務(wù)器，包括IPv6地址分配裝置，所述IPv6地址分配裝置包括第二接收模塊，用于接收DHCP中繼代理發(fā)送的請求信息以及用戶標(biāo)識信息，其中，所述請求信息是由主機(jī)發(fā)送給所述DHCP中繼代理；地址分配模塊，用于采用有狀態(tài)地址自動配置模式為所述主機(jī)分配IPv6地址，所述地址分配模塊進(jìn)一步包括生成網(wǎng)絡(luò)前綴單元，用于根據(jù)主機(jī)所連網(wǎng)絡(luò)分配網(wǎng)絡(luò)前綴；生成接口標(biāo)識單元，用于對記錄所述用戶標(biāo)識信息的比特位進(jìn)行加密后生成接口標(biāo)識；其中，所述網(wǎng)絡(luò)前綴單元和所述接口標(biāo)識中還包括標(biāo)識采用的加密算法、用戶信息類別等信息的預(yù)定比特位；第二發(fā)送模塊，用于將所述IPv6地址發(fā)送給所述主機(jī)。作為上述技術(shù)方案的優(yōu)選，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。本發(fā)明還提出一種IPv6地址溯源裝置，所述IPv6地址是采用如權(quán)利要求8所述的DHCP服務(wù)器分配得到的；包括解密模塊，用于通過非對稱加密算法、私鑰和所述IPv6地址的接口標(biāo)識部分進(jìn)行解密運(yùn)算得到用戶標(biāo)識信息，根據(jù)所述用戶標(biāo)識信息得到主機(jī)用戶信息。本發(fā)明提出的上述方法和裝置，利用在分配IPv6地址時加入具有標(biāo)識作用的用戶標(biāo)識信息，然后在溯源時根據(jù)該用戶標(biāo)識信息來找到源地址對應(yīng)的主機(jī)，解決了IPv6網(wǎng)絡(luò)溯源的問題。下面結(jié)合附圖，對本發(fā)明的具體實(shí)施方式作進(jìn)一步的詳細(xì)說明。對于所屬
技術(shù)領(lǐng)域：
的技術(shù)人員而言，從對本發(fā)明的詳細(xì)說明中，本發(fā)明的上述和其他目的、特征和優(yōu)點(diǎn)將顯而易見。圖1為現(xiàn)有技術(shù)IPv6地址結(jié)構(gòu)示意圖；圖2為本發(fā)明提出的IPv6地址結(jié)構(gòu)的優(yōu)選實(shí)施例的示意圖；圖3為本發(fā)明提出的IPv6地址分配方法的優(yōu)選實(shí)施例的示意圖；圖4為本發(fā)明提出的DHCP服務(wù)器包含的分配裝置的優(yōu)選實(shí)施例的示意圖；圖5為本發(fā)明提出的IPv6地址溯源方法的具體實(shí)施例的示意圖。具體實(shí)施例方式—種內(nèi)嵌用戶信息的IPv6地址結(jié)構(gòu)，包括網(wǎng)絡(luò)前綴和接口標(biāo)識，所述網(wǎng)絡(luò)前綴由主機(jī)所連網(wǎng)絡(luò)決定，所述接口標(biāo)識是對記錄用戶標(biāo)識信息的比特位使用非對稱加密算法得到；并且，所述網(wǎng)絡(luò)前綴或所述接口標(biāo)識中還包括用于標(biāo)識采用的加密算法、用戶標(biāo)識信息類別等信息的預(yù)定比特位。其中，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。優(yōu)選實(shí)施例如圖2所示是將IPv6地址的128比特分為兩個部分前64個比特為網(wǎng)絡(luò)前綴，由主機(jī)所連接的網(wǎng)絡(luò)決定；后64個比特為接口標(biāo)識，用于記錄用戶標(biāo)識信息，如手機(jī)的IMIS號碼、固定電話號碼、MAC地址等。并且，為了保護(hù)用戶標(biāo)識信息的隱私，在生成后64位的接口標(biāo)識時對記錄用戶標(biāo)識信息的比特位采用公鑰進(jìn)行加密；在接口標(biāo)識即后64個比特中預(yù)定n個特位來標(biāo)識采用的加密算法、用戶信息類別等信息，即接口標(biāo)識中剩余的(64-n)個比特來記錄用戶標(biāo)識信息。當(dāng)然，也可以在網(wǎng)絡(luò)前綴即前64個比特中預(yù)定n個比特位來標(biāo)識采用的加密算法、用戶信息類別等信息，后64個比特全部用來記錄用戶標(biāo)識信息。其中，n的取值可以規(guī)定為1<=n<=4。本發(fā)明提出的一種IPv6地址分配方法的優(yōu)選實(shí)施例，包括步驟1:DHCP中繼代理接收主機(jī)發(fā)送的請求信息，并通過AAA服務(wù)器獲取與所述主機(jī)相關(guān)的用戶標(biāo)識信息，然后將所述請求信息以及所述用戶標(biāo)識信息發(fā)送到DHCP服務(wù)器；步驟2:所述DHCP服務(wù)器采用有狀態(tài)地址自動配置模式為所述主機(jī)分配IPv6地址，其中，所述IPv6地址由網(wǎng)絡(luò)前綴和接口標(biāo)識組成所述網(wǎng)絡(luò)前綴由DHCP服務(wù)器根據(jù)主機(jī)所連網(wǎng)絡(luò)為主機(jī)分配；所述接口標(biāo)識用于記錄所述用戶標(biāo)識信息，生成接口標(biāo)識時對記錄所述用戶標(biāo)識信息的比特位采用非對稱加密算法進(jìn)行加密；使用所述網(wǎng)絡(luò)前綴或所述接口標(biāo)識中的預(yù)定比特位來標(biāo)識采用的加密算法、用戶信息類別等信息。更具體地，如圖3所示，包括步驟1:由用戶主機(jī)即客戶端(Client)向DHCP中繼代理(DHCPRelayAgent)發(fā)送Discover報文(發(fā)現(xiàn)報文即請求信息)；步驟2:DHCP中繼代理透傳此Discover報文至DHCP服務(wù)器；步驟3:DHCP服務(wù)器向用戶主機(jī)返回Offer報文(提供報文)，所述Offer報文中包含DHCP服務(wù)器為客戶端分配的IP地址；步驟4:客戶端發(fā)送Request報文至DHCP中繼代理；步驟5:DHCP中繼代理在該Request報文中添加客戶端的用戶標(biāo)識信息后將該報文發(fā)送至DHCP服務(wù)器；步驟6:DHCP服務(wù)器收到客戶端發(fā)來的Request報文后，確認(rèn)將IP地址分配給該客戶端，返回客戶端ACK報文(確認(rèn)報文)；該報文中就包括了IPv6主機(jī)地址，該主機(jī)地址由網(wǎng)絡(luò)前綴和接口標(biāo)識組成，所述網(wǎng)絡(luò)前綴是由DHCP服務(wù)器根據(jù)主機(jī)所連網(wǎng)絡(luò)為主機(jī)分配的，所述接口標(biāo)識是根據(jù)所述用戶標(biāo)識信息并通過非對稱加密算法生成的。此時，客戶端與DHCP已建立起連接，可以開始進(jìn)行數(shù)據(jù)交換。在上述實(shí)施例中生成的IPv6地址的接口標(biāo)識中，還包括特定比特位表示的加密算法、用戶標(biāo)識信息類別等信息。例如如圖2所示，IPv6地址的前64位用于標(biāo)識網(wǎng)絡(luò)前綴，后64位用于表示接口前綴，其中，可以指定nbits用于表示加密算法、用戶標(biāo)識信息的類別等信息，然后剩余的(64-n)bits用于記錄用戶標(biāo)識信息，并通過加密算法進(jìn)行加密。為保證IPv6源地址的真實(shí)性，還應(yīng)在網(wǎng)絡(luò)邊界路由器上啟用反向路徑檢查功能，或者是根據(jù)DHCP動態(tài)分配的地址在邊界路由器上動態(tài)生成一個ACL表項(xiàng)，只有當(dāng)源地址匹配ACL條件時才允許報文轉(zhuǎn)發(fā)。而且，所述用戶標(biāo)識信息應(yīng)當(dāng)是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。根據(jù)上述實(shí)施例分配的IPv6地址，本發(fā)明提出一種IPv6地址溯源方法，通過非對稱加密算法使用私鑰和所述IPv6地址的接口標(biāo)識部分進(jìn)行解密運(yùn)算得到用戶標(biāo)識信息，根據(jù)所述用戶標(biāo)識信息得到主機(jī)用戶信息。根據(jù)上述方法，相應(yīng)地，本發(fā)明還提出一種用于該IPv6地址分配方法的DHCP中繼代理和DHCP服務(wù)器?！NDHCP中繼代理，包括第一接收模塊，用于接收主機(jī)發(fā)送的請求信息；獲取用戶標(biāo)識信息模塊，用于通過AAA服務(wù)器獲取與所述主機(jī)相關(guān)的用戶標(biāo)識信息；第一發(fā)送模塊，用于將所述請求信息以及所述用戶標(biāo)識信息發(fā)送到DHCP服務(wù)器，使DHCP服務(wù)器根據(jù)所述用戶標(biāo)識信息為所述主機(jī)分配IPv6地址?！NDHCP服務(wù)器，包括IPv6地址分配裝置，所述IPv6地址分配裝置如圖4所示，包括第二接收模塊IOI，用于接收DHCP中繼代理發(fā)送的請求信息以及用戶標(biāo)識信息，其中，所述請求信息是由主機(jī)發(fā)送給所述DHCP中繼代理；地址分配模塊102，用于采用有狀態(tài)地址自動配置模式為所述主機(jī)分配IPv6地址，所述地址分配模塊進(jìn)一步包括生成網(wǎng)絡(luò)前綴單元103，用于根據(jù)主機(jī)所連網(wǎng)絡(luò)分配網(wǎng)絡(luò)前綴；生成接口標(biāo)識單元104，用于對記錄所述用戶標(biāo)識信息的比特位進(jìn)行加密后生成接口標(biāo)識；其中，所述網(wǎng)絡(luò)前綴單元和所述接口標(biāo)識中還包括標(biāo)識采用的加密算法、用戶信息類別等信息的預(yù)定比特位；第二發(fā)送模塊105，用于將所述IPv6地址發(fā)送給所述主機(jī)。其中，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。—種IPv6地址溯源裝置，所述IPv6地址是采用上述DHCP服務(wù)器分配得到的；包括解密模塊，用于通過非對稱加密算法、私鑰和所述IPv6地址的接口標(biāo)識部分進(jìn)行解密運(yùn)算得到用戶標(biāo)識信息，根據(jù)所述用戶標(biāo)識信息得到主機(jī)用戶信息。下面，通過一個具體實(shí)施例來更詳細(xì)地說明本發(fā)明。以手機(jī)上網(wǎng)用戶、ADSL寬帶用戶、LAN以太網(wǎng)用戶以及WiFi用戶為例，可以考慮用后64位中的4個比特位來標(biāo)識用戶標(biāo)識信息的類別，而剩余的60個比特記錄用戶標(biāo)識信息，如下表所示用戶標(biāo)識信息類別用戶標(biāo)識信息0000(預(yù)留)0001手機(jī)用戶，IMSI號碼0010ADSL寬帶用戶，固定電話號碼0011LAN用戶，MAC地址0100WiFi用戶，MAC地址8<table>tableseeoriginaldocumentpage9</column></row><table>其中，IMSI號碼共15位，可以使用60位表示。1、IPv6地址的分配(1)在發(fā)送給DHCP服務(wù)器的請求消息中，應(yīng)包含必要的用戶標(biāo)識信息，例如手機(jī)上網(wǎng)用戶，包含IMSI號碼信息；ADSL寬帶用戶，包含固定電話號碼信息；LAN以太網(wǎng)用戶，包含MAC地址，接入交換機(jī)的端口號；WiFi用戶，包含MAC地址，接入AP的標(biāo)識信息。上述信息同時應(yīng)記錄在DHCP服務(wù)器的日志中。(2)在DHCP服務(wù)器端，根據(jù)主機(jī)所附連的網(wǎng)絡(luò)分配前64位網(wǎng)絡(luò)前綴，后64位接口標(biāo)識部分由前4個比特(內(nèi)嵌信息類別)和主機(jī)標(biāo)識信息通過非對稱加密算法運(yùn)算自動生成，其中，手機(jī)用戶，密鑰+(用戶標(biāo)識信息類別，IMSI號碼)運(yùn)算得到；ADSL寬帶用戶，密鑰+(用戶標(biāo)識信息類別，固定電話號碼)運(yùn)算得到；LAN以太網(wǎng)用戶，密鑰+(用戶標(biāo)識信息類別，MAC地址)運(yùn)算得到；WiFi用戶，密鑰+(用戶標(biāo)識信息類別，MAC地址)運(yùn)算得到。2、IPv6源地址的真實(shí)性為保證IPv6源地址的真實(shí)性，應(yīng)在網(wǎng)絡(luò)邊界路由器上啟用反向路徑檢查功能，或者是根據(jù)DHCP動態(tài)分配的地址在邊界路由器上動態(tài)生成一個ACL表項(xiàng)，只有當(dāng)源地址匹配ACL條件時才允許報文轉(zhuǎn)發(fā)。3、源地址溯源，如圖5所示根據(jù)IPv6源地址的后64位進(jìn)行網(wǎng)絡(luò)溯源，通過密鑰和接口標(biāo)識(后64位)進(jìn)行逆向加密運(yùn)算得到用戶標(biāo)識信息類別(前4個比特)和用戶標(biāo)識信息手機(jī)上網(wǎng)用戶，得到用戶IMSI號碼，再根據(jù)IMSI號碼信息得到用戶其它相關(guān)信息；ADSL寬帶用戶，得到固定電話號碼，再根據(jù)號碼信息得到用戶其它相關(guān)信息；LAN以太網(wǎng)用戶，得到MAC地址，根據(jù)MAC地址檢索DHCP日志對應(yīng)到接入交換機(jī)的端口，然后再結(jié)合MAC地址以及其它相關(guān)信息定位到主機(jī)；WiFi用戶，得到MAC地址，根據(jù)該MAC地址檢索DHCP日志對應(yīng)到接入的AP，然后再結(jié)合MAC地址以及其它相關(guān)信息定位到主機(jī)。應(yīng)當(dāng)注意的是，在應(yīng)用本發(fā)明時，應(yīng)在邊界路由器上關(guān)閉路由前綴通告功能，以避免主機(jī)通過無狀態(tài)的地址自動配置機(jī)制獲得IPv6地址。雖然，本發(fā)明已通過以上實(shí)施例及其附圖而清楚說明，然而在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下，所屬
技術(shù)領(lǐng)域：
的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的變化和修正，但這些相應(yīng)的變化和修正都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍。權(quán)利要求一種IPv6地址結(jié)構(gòu)，包括網(wǎng)絡(luò)前綴和接口標(biāo)識，所述網(wǎng)絡(luò)前綴由主機(jī)所連網(wǎng)絡(luò)決定，其特征在于所述接口標(biāo)識是對記錄用戶標(biāo)識信息的比特位使用非對稱加密算法得到的；并且，所述網(wǎng)絡(luò)前綴或所述接口標(biāo)識中還包括用于標(biāo)識采用的加密算法、用戶標(biāo)識信息類別等信息的預(yù)定比特位。2.根據(jù)權(quán)利要求1所述的IPv6地址結(jié)構(gòu)，其特征在于，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。3.—種IPv6地址分配方法，其特征在于，包括步驟1:DHCP中繼代理接收主機(jī)發(fā)送的請求信息，并通過AAA服務(wù)器獲取與所述主機(jī)相關(guān)的用戶標(biāo)識信息，然后將所述請求信息以及所述用戶標(biāo)識信息發(fā)送到DHCP服務(wù)器；步驟2:所述DHCP服務(wù)器采用有狀態(tài)地址自動配置模式為所述主機(jī)分配IPv6地址，其中，所述IPv6地址由網(wǎng)絡(luò)前綴和接口標(biāo)識組成所述網(wǎng)絡(luò)前綴由DHCP服務(wù)器根據(jù)主機(jī)所連網(wǎng)絡(luò)為主機(jī)分配；所述接口標(biāo)識用于記錄所述用戶標(biāo)識信息，生成接口標(biāo)識時對記錄所述用戶標(biāo)識信息的比特位采用非對稱加密算法進(jìn)行加密；使用所述網(wǎng)絡(luò)前綴或所述接口標(biāo)識中的預(yù)定比特位來標(biāo)識采用的加密算法、用戶信息類別等信息。4.根據(jù)權(quán)利要求3所述的IPv6地址分配方法，其特征在于，還包括步驟在網(wǎng)絡(luò)邊界路由器上啟用反向路徑檢查功能，或在邊界路由器上啟用動態(tài)ACL機(jī)制。5.根據(jù)權(quán)利要求3所述的IPv6地址分配方法，其特征在于，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。6.—種IPv6地址溯源方法，其特征在于，所述IPv6地址是采用如權(quán)利要求2所述的方法分配得到的；通過非對稱加密算法使用私鑰和所述IPv6地址的接口標(biāo)識部分進(jìn)行解密運(yùn)算得到用戶標(biāo)識信息，根據(jù)所述用戶標(biāo)識信息得到主機(jī)用戶信息。7.—種DHCP中繼代理，其特征在于，包括第一接收模塊，用于接收主機(jī)發(fā)送的請求信息；獲取用戶標(biāo)識信息模塊，用于通過AAA服務(wù)器獲取與所述主機(jī)相關(guān)的用戶標(biāo)識信息；第一發(fā)送模塊，用于將所述請求信息以及所述用戶標(biāo)識信息發(fā)送到DHCP服務(wù)器，使DHCP服務(wù)器根據(jù)所述用戶標(biāo)識信息為所述主機(jī)分配IPv6地址。8.—種DHCP服務(wù)器，其特征在于，包括IPv6地址分配裝置，所述IPv6地址分配裝置包括第二接收模塊，用于接收DHCP中繼代理發(fā)送的請求信息以及用戶標(biāo)識信息，其中，所述請求信息是由主機(jī)發(fā)送給所述DHCP中繼代理；地址分配模塊，用于采用有狀態(tài)地址自動配置模式為所述主機(jī)分配IPv6地址，所述地址分配模塊進(jìn)一步包括生成網(wǎng)絡(luò)前綴單元，用于根據(jù)主機(jī)所連網(wǎng)絡(luò)分配網(wǎng)絡(luò)前綴；生成接口標(biāo)識單元，用于對記錄所述用戶標(biāo)識信息的比特位進(jìn)行加密后生成接口標(biāo)識；其中，所述網(wǎng)絡(luò)前綴單元或所述接口標(biāo)識中還包括標(biāo)識采用的加密算法、用戶信息類別等信息的預(yù)定比特位；第二發(fā)送模塊，用于將所述IPv6地址發(fā)送給所述主機(jī)。9.根據(jù)權(quán)利要求8所述的DHCP服務(wù)器，其特征在于，所述用戶標(biāo)識信息是具有唯一性、可根據(jù)其確定主機(jī)用戶信息的信息。10.—種IPv6地址溯源裝置，其特征在于，所述IPv6地址是采用如權(quán)利要求8所述的DHCP服務(wù)器分配得到的；包括解密模塊，用于通過非對稱加密算法、私鑰和所述IPv6地址的接口標(biāo)識部分進(jìn)行解密運(yùn)算得到用戶標(biāo)識信息，根據(jù)所述用戶標(biāo)識信息得到主機(jī)用戶信息。全文摘要本發(fā)明涉及IPv6地址的結(jié)構(gòu)、分配及溯源的方法和裝置，結(jié)構(gòu)包括網(wǎng)絡(luò)前綴和接口標(biāo)識，接口標(biāo)識是對記錄用戶標(biāo)識信息的比特位使用非對稱加密算法得到的；并且，所述網(wǎng)絡(luò)前綴或所述接口標(biāo)識中還包括用于標(biāo)識采用的加密算法、用戶標(biāo)識信息類別等信息的預(yù)定比特位。在溯源時，對接口標(biāo)識中加密的比特位采用私鑰進(jìn)行解密運(yùn)算，得到用戶信息。本發(fā)明利用在分配地址時加入具有標(biāo)識作用的用戶標(biāo)識信息，然后在溯源時根據(jù)該用戶標(biāo)識信息來找到源地址對應(yīng)的主機(jī)，解決了IPv6網(wǎng)絡(luò)溯源的問題。文檔編號H04L29/06GK101710906SQ20091024363公開日2010年5月19日申請日期2009年12月18日優(yōu)先權(quán)日2009年12月18日發(fā)明者何寶宏,劉述,徐貴寶,曹薊光,田輝,蔣曉琳,趙鋒,馬軍鋒申請人:工業(yè)和信息化部電信傳輸研究所