用于实现用户身份保真的方法和系统与流程

1.本公开涉及通信领域，特别涉及一种用于实现用户身份保真的方法和系统。


背景技术：

2.在相关技术中，用户信息与ip地址具有强绑定关系。恶意第三方利用这种强绑定关系，通过利用假冒用户ip地址发出大量网络攻击流量，从而给安全防护带来巨大的挑战。


技术实现要素：

3.本公开提供一种利用ipv6报头的扩展能力以实现用户身份保真的方案。
4.根据本公开实施例的第一方面，提供一种用于实现用户身份保真的方法，包括：信息发送端在向信息接收端发送ipv6报文的情况下，利用预设的用户标识计算第一摘要信息；信息发送端在ipv6报文的报头中的第一预设字段中设置标志信息，在报头的第二预定字段中写入第一摘要信息，以生成数据报文；信息发送端将数据报文通过网络发送给信息接收端；信息接收端在接收到来自信息发送端的数据报文后，在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第二摘要信息；信息接收端在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致的情况下，丢弃数据报文。
5.在一些实施例中，信息发送端将数据报文通过网络发送给信息接收端包括：设置在网络中的路由器在接收到来自信息发送端的数据报文后，在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第三摘要信息；路由器在第三摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致的情况下，丢弃数据报文。
6.在一些实施例中，路由器在丢弃数据报文后，向网络安全控制平台发送报文异常信息；网络安全控制平台根据报文异常信息，确定用户身份被冒充的网络位置。
7.在一些实施例中，路由器在第三摘要信息与数据报文的报头的预定字段中携带的第一摘要信息一致的情况下，按照预定的路由信息继续传送数据报文。
8.在一些实施例中，信息接收端在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息一致的情况下，对数据报文进行接收处理。
9.在一些实施例中，第一预定字段为ipv6报文的报头中的选项类型option type字段；第二预定字段为ipv6报文的报头中的选项值option value字段。
10.根据本公开实施例的第二方面，提供一种用于实现用户身份保真的系统，包括：信息发送端，被配置为在向信息接收端发送ipv6报文的情况下，利用预设的用户标识计算第一摘要信息，在ipv6报文的报头中的第一预设字段中设置标志信息，在报头的第二预定字段中写入第一摘要信息，以生成数据报文，将数据报文通过网络发送给信息接收端；信息接收端，被配置为在接收到来自信息发送端的数据报文后，在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第二
摘要信息，在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致的情况下，丢弃数据报文。
11.在一些实施例中，上述系统还包括：设置在网络中的路由器，被配置为在接收到来自信息发送端的数据报文后，在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第三摘要信息，在第三摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致的情况下，丢弃数据报文。
12.在一些实施例中，上述系统还包括网络安全控制平台，其中：路由器被配置为在丢弃数据报文后，向网络安全控制平台发送报文异常信息；网络安全控制平台被配置为根据报文异常信息，确定用户身份被冒充的网络位置。
13.在一些实施例中，路由器还被配置为在第三摘要信息与数据报文的报头的预定字段中携带的第一摘要信息一致的情况下，按照预定的路由信息继续传送数据报文。
14.在一些实施例中，信息接收端还被配置为在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息一致的情况下，对数据报文进行接收处理。
15.在一些实施例中，第一预定字段为ipv6报文的报头中的选项类型option type字段；第二预定字段为ipv6报文的报头中的选项值option value字段。
16.根据本公开实施例的第三方面，提供一种计算机可读存储介质，其中，计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如上述任一实施例涉及的方法。
17.通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。
附图说明
18.构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。
19.参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：
20.图1是根据本公开一个实施例的用于实现用户身份保真的方法的流程示意图；
21.图2是根据本公开一个实施例的ipv6报头扩展示意图；
22.图3是根据本公开一个实施例的用于实现用户身份保真的方法的流程示意图；
23.图4为本公开一个实施例的用于实现用户身份保真的系统的结构示意图；
24.图5为本公开另一个实施例的用于实现用户身份保真的系统的结构示意图；
25.图6为本公开又一个实施例的用于实现用户身份保真的系统的结构示意图。
26.应当明白，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。此外，相同或类似的参考标号表示相同或类似的构件。
具体实施方式
27.现在将参照附图来详细描述本公开的各种示例性实施例。对示例性实施例的描述仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。本公开可以以许多不同的形式实现，不限于这里所述的实施例。提供这些实施例是为了使本公开透彻且完整，并且向本领域技术人员充分表达本公开的范围。应注意到：除非另外具体说明，否则在这些实施
例中阐述的部件和步骤的相对布置、材料的组分和数值应被解释为仅仅是示例性的，而不是作为限制。
28.本公开中使用的“包括”或者“包含”等类似的词语意指在该词前的要素涵盖在该词后列举的要素，并不排除也涵盖其他要素的可能。
29.本公开使用的所有术语(包括技术术语或者科学术语)与本公开所属领域的普通技术人员理解的含义相同，除非另外特别定义。还应当理解，在诸如通用字典中定义的术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义，而不应用理想化或极度形式化的意义来解释，除非这里明确地这样定义。
30.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。
31.图1是根据本公开一个实施例的用于实现用户身份保真的方法的流程示意图。在一些实施例中，下面的用于实现用户身份保真的方法步骤由用于实现用户身份保真的系统执行。
32.在步骤101，信息发送端在向信息接收端发送ipv6报文的情况下，利用预设的用户标识计算第一摘要信息。
33.在一些实施例中，信息发送端从网络安全控制平台获取相应的用户标识和数字证书。
34.在步骤102，信息发送端在ipv6报文的报头中的第一预设字段中设置标志信息，在报头的第二预定字段中写入第一摘要信息，以生成数据报文。
35.例如，在从网络安全控制平台获取用户标识和数字证书后，利用数字证书对用户标识进行处理，以得到相应的第一摘要信息。
36.在一些实施例中，第一预定字段为ipv6报文的报头中的选项类型option type字段。第二预定字段为ipv6报文的报头中的选项值option value字段。例如，在option type字段中设置0x0f，在option value字段中写入第一摘要信息。相应的ipv6报头扩展如图2所示。
37.在步骤103，信息发送端将数据报文通过网络发送给信息接收端。
38.在步骤104，信息接收端在接收到来自信息发送端的数据报文后，在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第二摘要信息。
39.在步骤105，信息接收端在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致的情况下，丢弃数据报文。
40.在一些实施例中，信息接收端在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息一致的情况下，对数据报文进行接收处理。
41.这里需要说明的是，恶意第三方会假冒合法用户的ip地址发送报文，然而恶意第三方无法获得通过利用该合法用户的用户标识所获得的摘要信息，因此通过ipv6报文的报头中所携带的摘要信息，能够实现用户身份的保真。
42.图3是根据本公开另一个实施例的用于实现用户身份保真的方法的流程示意图。在一些实施例中，下面的用于实现用户身份保真的方法步骤由用于实现用户身份保真的系统执行。
43.这里需要说明的是，在将信息发送端所发送的数据报文发送给信息接收端的网络中，设有多个路由设备。
44.在步骤301，路由器接收来自信息发送端的数据报文。
45.在步骤302，路由器在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第三摘要信息。
46.在步骤303，路由器判断第三摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息是否一致。
47.若第三摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致，则执行步骤304；若第三摘要信息与数据报文的报头的预定字段中携带的第一摘要信息一致，则执行步骤307。
48.在步骤304，路由器丢弃数据报文。
49.在步骤305，路由器向网络安全控制平台发送报文异常信息。
50.在步骤306，网络安全控制平台根据报文异常信息，确定用户身份被冒充的网络位置。
51.在步骤307，路由器按照预定的路由信息继续传送数据报文。
52.图4为本公开一个实施例的用于实现用户身份保真的系统的结构示意图。如图4所示，该系统包括信息发送端41和信息接收端42。
53.信息发送端41在向信息接收端42发送ipv6报文的情况下，利用预设的用户标识计算第一摘要信息，在ipv6报文的报头中的第一预设字段中设置标志信息，在报头的第二预定字段中写入第一摘要信息，以生成数据报文，将数据报文通过网络发送给信息接收端42。
54.在一些实施例中，第一预定字段为ipv6报文的报头中的选项类型option type字段，第二预定字段为ipv6报文的报头中的选项值option value字段。
55.信息接收端42在接收到来自信息发送端41的数据报文后，在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第二摘要信息，在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致的情况下，丢弃数据报文。
56.在一些实施例中，信息接收端42还在第二摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息一致的情况下，对数据报文进行接收处理。
57.图5为本公开另一个实施例的用于实现用户身份保真的系统的结构示意图。图5与图4的不同之处在于，在图4所示实施例中，网络中包括多个路由设备51-5n和网络安全控制平台52。
58.每个路由设备51-5n在接收到来自信息发送端的数据报文后，在数据报文的报头中的第一预设字段中设置有标志信息的情况下，利用与信息发送端的ip地址相关联的用户标识计算第三摘要信息，在第三摘要信息与数据报文的报头的第二预定字段中携带的第一摘要信息不一致的情况下，丢弃数据报文。
59.在一些实施例中，每个路由设备51-5n还在丢弃数据报文后，向网络安全控制平台52发送报文异常信息。网络安全控制平台52根据报文异常信息，确定用户身份被冒充的网络位置。
60.在一些实施例中，每个路由设备51-5n还在第三摘要信息与数据报文的报头的预
定字段中携带的第一摘要信息一致的情况下，按照预定的路由信息继续传送数据报文。
61.图6为本公开又一个实施例的用于实现用户身份保真的系统的结构示意图。如图6所示，在第一网关gw1和第二网关gw2之间的网络中，设置有多个路由设备。其中在gw1向gw2发送信息的路径上，包括第一用户边缘设备ce1，第一路由器r1、第二路由器r2和第二用户边缘设备ce2。
62.gw1上线时，从网络安全控制平台申请用户标识和数字证书，利用数字证书对用户标识进行处理，以得到相应的第一摘要信息，并填写至ipv6报头的option value字段中，并将ipv6报文发送给ce1。
63.ce1根据网络安全控制平台下达的策略，对来自gw1的报文进行审核。若校验到option type＝0x0f，且option value字段中的值与用户标识的摘要不一致时，将报文丢弃，同时上报至网络安全控制平台，从而能快速定位用户身份被冒充的网络位置，加强防护，提升网络安全。若审核通过，ce1将该ipv6报文发送给第一路由器r1。r1、r2和ce2执行与ce1相同的操作。
64.gw2收到源ip地址为gw1的ipv6报文，若校验到option type＝0x0f，且option value字段中的值与用户标识的摘要一致时，将接收报文；否则将报文丢弃，同时将异常报文信息通告网络安全控制器平台。
65.本公开还提供一种计算机可读存储介质。计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如图1或图3中任一实施例涉及的方法。
66.在一些实施例中，上述功能模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(programmable logic controller，简称：plc)、数字信号处理器(digital signal processor，简称：dsp)、专用集成电路(application specific integrated circuit，简称：asic)、现场可编程门阵列(field-programmable gate array，简称：fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
67.至此，已经详细描述了本公开的实施例。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。
68.虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员应该理解，可在不脱离本公开的范围和精神的情况下，对以上实施例进行修改或者对部分技术特征进行等同替换。本公开的范围由所附权利要求来限定。