IP地址管理方法和系统、动态主机配置协议服务器

技术领域

本发明涉及计算机技术，特别涉及一种IP地址管理方法和系统、动态主机配置协议服务器。

背景技术

为了能够动态地分配IP地址，1993年，国际互联网工程任务组(InternetEngineering Task Force，简称：IETF)提出了动态主机配置协议(Dynamic HostConfiguration Protocol，简称：DHCP)。DHCP的前身是BOOTP，BOOTP原本是用在无磁盘主机连接的网络上面的，网络主机可以使用BOOT ROM而不是磁盘启动并连接上网络，BOOTP则可以自动地为主机设定TCP/IP环境。

DHCP可以说是BOOTP的增强版本，它分为两个部分：一个是服务器端，而另一个是客户端。上网用户属于客户端，其在上网时需要向DHCP服务器端申请IP地址。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的地址申请请求；而客户端则会使用从服务器分配下来的IP环境数据。随着IPv4地址的耗尽和IPv6地址的使用，IETF RFC3315中规定了DHCPv6协议，专门用来处理IPv6地址的自动分配问题。DHCPv6协议对原有的DHCP协议进行了简化，统一了数据包结构，具有更好的协议扩展性。DHCPv6协议可以提供动态的IPv6地址分配服务，有效减轻了网络管理的负担。

但是，由于动态IP地址分配机制中，IP地址的分配是随机的，其使用者也是不断变动的，因此，可能带来一些严重的安全问题：网络攻击者可以使用动态IP地址进行网络攻击、木马邮件的发送，攻击过程中使用的IP地址在攻击过后会被回收并有可能分配给其它机器重新使用。因此，同一IP地址可能被多个使用者使用过，无法查证攻击者是哪一个，使得作为攻击追踪重要线索的IP地址因为当前的动态分配机制很难发挥可靠的追溯作用。

发明内容

本发明的目的是提供一种IP地址管理方法和系统、动态主机配置协议服务器，以实现可以得知IP地址的使用情况，为追溯网络攻击等网络安全防范工作发挥作用。

本发明提供一种IP地址管理方法，包括：

接收客户端发送的IP地址申请消息，所述IP地址申请消息中携带标识所述客户端的用户身份的IP实名地址；

为所述客户端分配IP地址，并将所述IP地址与所述IP实名地址的对应关系记录在数据库中；

向所述客户端返回IP地址应答消息，所述IP地址应答消息中携带分配的所述IP地址。

本发明提供一种动态主机配置协议服务器，包括：

接收模块，用于接收客户端发送的IP地址申请消息，所述IP地址申请消息中携带 标识所述客户端的用户身份的IP实名地址；

记录模块，用于为所述客户端分配IP地址，并将所述IP地址与所述IP实名地址的对应关系记录在数据库中；

发送模块，用于向所述客户端返回IP地址应答消息，所述IP地址应答消息中携带分配的所述IP地址。

本发明提供一种IP地址管理系统，包括：客户端和动态主机配置协议服务器；

所述客户端，用于向所述动态主机配置协议服务器发送IP地址申请消息，所述IP地址申请消息中携带标识所述客户端的用户身份的IP实名地址；

所述动态主机配置协议服务器，用于为所述客户端分配IP地址，并将所述IP地址与所述IP实名地址的对应关系记录在数据库中；并向所述客户端返回IP地址应答消息，所述IP地址应答消息中携带分配的所述IP地址。

本发明的IP地址管理方法和系统、动态主机配置协议服务器，通过记录和存储IP地址与用户身份之间的对应关系信息，使得后续可以方便地对IP地址的使用情况进行查询和追溯，提高了网络安全防范作用；并且，通过将该对应关系发布至DNS服务器，使得应用服务器向客户端提供服务之前确定该IP地址用户的身份，从而实现了实时有效的身份认证和访问控制；通过引入一种IPv6实名地址及其资源PKI，结合扩展的DNS协议增强了DHCP协议的客户认证能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明IP地址管理方法实施例一的信令示意图；

图2为本发明IP地址管理方法实施例一中的IP实名地址结构示意图；

图3为本发明IP地址管理方法实施例一中的PKI层次设计示意图；

图4为本发明IP地址管理方法实施例二的信令示意图；

图5为本发明DHCP服务器实施例的结构示意图；

图6为本发明IP地址管理系统实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的主要技术方案为，客户端在向DHCP服务器发送的IP地址申请消息中，可以携带标识客户端用户身份的IP实名地址；DHCP服务器为客户端分配IP地址，将所述IP地址发送至客户端，并将所述IP地址与IP实名地址绑定，将其对应关系记录在数据库中。其中，本方案可以适用于IPv6地址的动态分配，通过记录和存储IP地址与用户身份之间的 对应关系信息，使得后续可以方便地对IP地址的使用情况进行查询和追溯，提高了网络安全防范作用。

下面通过附图和具体实施例，对本发明的技术方案做进一步的详细描述。

实施例一

图1为本发明IP地址管理方法实施例一的信令示意图，如图1所示，本实施例中的IP地址可以是指IPv6地址，IP实名地址可以是指IPv6实名地址，其可以包括以下步骤：

步骤101、客户端用户申请获得实名证书，该实名证书中包括代表用户身份的IP实名地址；

在本实施例中，互联网用户在申请动态IP地址资源时，必须先取得地址注册机构签发的实名证书。该实名证书是一数字证书，其中包括了能够代表互联网用户身份的IP实名地址。该实名地址可以是从IPv6地址空间单独分离出的一段不可路由的IPv6地址。

上述的IP实名地址的基本结构可以参见附图2，图2为本发明IP地址管理方法实施例一中的IP实名地址结构示意图。其可以将IPv6地址空间的128位IPv6地址分成3部分，最前面的n比特位做为实名地址空间前缀(例如，002)，用于区分该IPv6地址为可路由单播地址或者IPv6实名地址；接下来的64-n比特位可以存储该实名地址的授权层次关系，其由管理IPv6实名地址空间的国家互联网注册机构(National Internet Registry，简称：NIR)先分配给某个骨干网的互联网服务提供商(Internet Service Provider，简称：ISP)或本地互联网注册机构(Local Internet Registry，简称：LIR)，骨干网的ISP再将地址块细分，分配给各个地区的中小ISP；后64比特位可以使用散列函数等方法产生与客户端的用户身份一一对应的用户ID。

其中，该IP实名地址中的前64由地址分配机构进行分配；其后64比特位的实名用户ID，在具体实施中，可以采用用户身份号码、通信公钥和3bit安全参数，按照预定的算法产生得到上述的实名用户ID，因此，该实名用户ID是与用户身份号码一一对应的。通过在上述产生实名用户ID的过程中采用3bit安全参数，可以增加身份破解的难度，加强了安全保障。

步骤102、客户端向DHCP服务器发送IP地址申请消息，并在该消息中携带标识客户端用户身份的IP实名地址；

客户端用户在申请得到地址注册机构签发的IP实名地址后，则向DHCP服务器发送IP地址申请消息。具体的，客户端可以先通过广播查报文得到能提供服务的多个DHCP服务器的应答；客户端可以选择一个DHCP服务器发送请求IP地址的报文，即上述的IP地址申请消息，请求获取上网所需的IP地址，并将标识其身份的IP实名地址携带在IP地址申请消息中，发送至DHCP服务器。

步骤103、DHCP服务器通过实名地址资源PKI对上述实名地址进行验证，若验证通过，则继续执行步骤104；否则可以向客户端返回请求失败消息；

DHCP服务器在接收到客户端发送的IP地址申请消息后，则对该消息中携带的IP实名地址进行验证。具体的，可以借助实名地址资源公钥基础设施(Public Key Infrastructure，简称：PKI)进行IP实名地址的验证。

可参见附图3，图3为本发明IP地址管理方法实施例一中的PKI层次设计示意图。用于验证上述IPv6实名地址的实名地址资源PKI可以按照图3所示的IP地址分配管理 层次进行如下设计：实名地址资源PKI的信任锚设为NIR(根CA)；NIR为下级LIR/ISP分配IPv6实名地址段，同时签发代表相应实名地址段管理权的CA证书；ISP得到授权管辖的IPv6实名地址段后，当客户端用户申请IPv6实名证书时，ISP将用本级CA证书为用户签发EE证书，证明用户对该IPv6实名地址的使用权。

当DHCP服务器对IP实名地址进行验证时，可以根据图2所示的IP实名地址的中间段(64-n比特位)中所存储的层次关系，利用实名地址资源PKI逐级获取上级的ISP CA证书，组成证书链，从而验证IPv6实名证书的真实性。若验证不通过，则可以向客户端返回请求失败消息；否则，可以继续执行步骤104。通过在IPv6地址空间中单独划出一段IPv6地址作为上网用户的身份标识，并由地址分配机构签发相应的实名证书给上网用户，使用实名地址资源PKI对代表用户身份的IPv6实名地址进行验证，解决了互联网统一身份认证的问题。

步骤104、DHCP服务器为客户端分配IP地址，并记录所述IP地址与所述IP实名地址的对应关系；

DHCP服务器在验证IP实名地址为真实之后，可以将分配给用户的IP地址等信息与该IP实名地址的对应关系记录和存储，建立IPv6实名地址和用户使用的IP地址之间的映射数据库，其中包括IP地址使用时间、用户的MAC地址、接入VLAN和端口号等信息。

这些信息使得动态IP地址资源的使用情况有统一格式的数据库可以查，相对于现有技术，大大方便了对于IP地址使用情况的查询，为IP地址追溯提供了可能。当网络攻击事件发生时，就可以通过与通信IP地址相关联的IP实名地址来追溯到客户端使用者的真实身份，从而制止网络攻击事件的进一步发展。

步骤105、DHCP服务器向客户端发送IP地址应答消息，将分配的IP地址发送至客户端。

DHCP服务器在存储了IP地址与IP实名地址的绑定关系之后，则将该分配的IP地址携带在IP地址应答消息中，发送至客户端。此外，例如，当该客户端用户A使用完后，DHCP服务器可以将该IP地址回收，分配给另外的客户端用户B使用，此时，DHCP服务器会记录该IP地址与客户端用户B的IP实名地址的对应关系，但是，也仍然会保留该IP地址与客户端用户A的IP实名地址之间的对应关系，以及客户端用户A使用该IP地址的时间等信息，使得后续可以对该IP地址使用的相关历史记录进行查询和追溯。

本实施例的IP地址管理方法，通过记录和存储IP地址与用户身份之间的对应关系信息，使得后续可以方便地对IP地址的使用情况进行查询和追溯，提高了网络安全防范作用。

实施例二

图4为本发明IP地址管理方法实施例二的信令示意图，如图4所示，本实施例的方法与实施例一的主要区别在于，为了进一步方便互联网应用访问的实时控制，增加了对于DNS服务器的功能扩展；其中，本实施例的方法中，步骤201～205与实施例一的步骤101～105相同，具体可参见实施例一，在此不再赘述，本实施例还增加了互联网应用访问的步骤，具体如下：

步骤201、客户端用户申请获得实名证书，该实名证书中包括代表用户身份的IP实名地址；

步骤202、客户端向DHCP服务器发送IP地址申请消息，并在该消息中携带标识客户端用户身份的IP实名地址；

步骤203、DHCP服务器通过实名地址资源PKI对上述实名地址进行验证，若验证通过，则继续执行步骤104；否则可以向客户端返回请求失败消息；

步骤204、DHCP服务器为客户端分配IP地址，并记录所述IP地址与所述IP实名地址的对应关系；

步骤205、DHCP服务器向客户端发送IP地址应答消息，将分配的IP地址发送至客户端；

步骤206、DHCP服务器将所述IP地址与所述IP实名地址的对应关系信息发送至DNS服务器；

需要说明的是，该步骤和步骤205并没有特定的时间先后顺序。在具体实施中，DHCP服务器可以通过添加一扩展的DNS RR IPV6ID记录至DNS服务器，将IP地址和IPv6实名地址的对应关系发布到互联网上。该RR IPV6ID记录中包括了IPv6实名地址和公钥等信息，其基本格式可以如下：

IPv6.arpa IN IPV6ID(pk-algorithm        /*加密算法*/

base16-encoded-hit      /*经过base16编码IPv6实名地址*/

base64-encoded-public-key      /*经过base64编码的公钥信息*/)

通过将动态IP地址与其使用者的IPv6实名地址记录在DNS服务器上，提供了一种查询动态IP地址使用者身份的方法，应用服务器可以使用DNS查询到动态IP地址使用者的身份并进行验证。

步骤207、客户端向应用服务器提出应用服务申请消息，请求使用应用服务器所提供的服务；

步骤208、应用服务器提取客户端的IP地址，并向DNS服务器发送IP查询消息，请求查询客户端用户的身份；其中，所述IP查询消息中携带客户端的IP地址；

步骤209、DNS服务器根据其接收到的客户端的IP地址，以及其内存储的RR IPV6ID记录中的相关信息，得到与该IP地址对应的IPv6实名地址及公钥信息，将其携带在IP应答消息中返回至应用服务器；

步骤210、应用服务器产生一个随机数，并用接收到的所述公钥加密后发送给请求服务的客户端用户；

步骤211、客户端用户使用与公钥对应的私钥解密后，返回原随机数至应用服务器；

步骤212、应用服务器得到IPv6实名地址中的用户ID等信息，对客户端用户的身份进行验证，当验证通过后，则执行步骤213；

步骤213、应用服务器向客户端提供其所请求的服务。

本实施例的IP地址管理方法，通过记录和存储IP地址与用户身份之间的对应关系信息，使得后续可以方便地对IP地址的使用情况进行查询和追溯，提高了网络安全防范作用；并且，通过将该对应关系发布至DNS服务器，使得应用服务器向客户端提供服务之前确定该IP地址用户的身份，从而实现了实时有效的身份认证和访问控制；通过引入一种IPv6实名地址及其资源PKI，结合扩展的DNS协议增强了DHCP协议的客户认证能力。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

实施例三

图5为本发明DHCP服务器实施例的结构示意图，如图5所示，本实施例的DHCP服务器可以包括接收模块31、记录模块32和发送模块33。

其中，接收模块31，用于接收客户端发送的IP地址申请消息，所述IP地址申请消息中携带标识所述客户端的用户身份的IP实名地址；记录模块32，用于为所述客户端分配IP地址，并将所述IP地址与所述IP实名地址的对应关系记录在数据库中；发送模块33，用于向所述客户端返回IP地址应答消息，所述IP地址应答消息中携带分配的所述IP地址。

此外，进一步的，该IP地址管理系统还可以包括验证模块34，用于利用实名地址资源PKI逐级获取上级的ISP CA证书，构建证书链，验证所述IP实名地址的真实性。

进一步，记录模块32，还可以用于记录所述IP地址的使用时间、所述客户端的MAC地址、接入局域网和端口号；发送模块33，还可以用于将所述IP地址与所述IP实名地址的对应关系发送至DNS服务器。

本实施例的DHCP服务器，通过记录和存储IP地址与用户身份之间的对应关系信息，使得后续可以方便地对IP地址的使用情况进行查询和追溯，提高了网络安全防范作用。

实施例四

图6为本发明IP地址管理系统实施例的结构示意图，如图6所示，该系统可以包括客户端41和DHCP服务器42。

其中，客户端41，用于向所述DHCP服务器发送IP地址申请消息，所述IP地址申请消息中携带标识所述客户端的用户身份的IP实名地址；

DHCP服务器42，用于为所述客户端分配IP地址，并将所述IP地址与所述IP实名地址的对应关系记录在数据库中；并向所述客户端返回IP地址应答消息，所述IP地址应答消息中携带分配的所述IP地址。

本实施例的IP地址管理系统，通过记录和存储IP地址与用户身份之间的对应关系信息，使得后续可以方便地对IP地址的使用情况进行查询和追溯，提高了网络安全防范作用。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。