嵌入可扩展用户网络身份标识的IPv6地址生成算法及其管理与追溯技术研究

During the design and construction process of next generation Internet,to solve the problem of accurately determining the source of each IP packet from the design point of view of architecture, protocols and algorithms is important to accurate fine-grained management, control and traceability as well as improve its trustworthiness. The source IP address and network user identity, are the most important of the two elements to determine the source of information. . IPv6 protocol has 64 bit Interface ID. This can provide the space for embeding network user identity. This project starts from the design of a scalable architecture and generation algorithm of network user identity (NID).On this basis, expand IPv6 addresses embedded scalable NID generation algorithm research. Further research include IPv6 address embedded NID management and traceability technologies, including the expansion of IP address assignment mechanism, as well as the design and implementation of address assignment server, NID generate server and NID traceback server, and built a prototype system for verification.

在下一代互联网的设计和建设过程中，从体系结构、协议和算法设计的角度解决准确确定互联网中转发的每个IP分组的来源的问题，对于支持下一代互联网进行精确细粒度的管理、控制和追溯以及提高其可信任性具有重要意义。源IP地址和网络用户身份标识，是确定IP分组来源信息最重要的两个要素。IPv6协议的接口地址有64位，为网络用户身份标识信息的嵌入提供了空间。. 本课题的研究首先从用户网络身份标识（NID）设计入手，提出一种可扩展的NID结构和生成算法。在此基础上，展开嵌入可扩展用户网络身份标识的IPv6地址生成算法研究，进一步的研究则包括嵌入可扩展用户网络身份标识的IPv6地址管理与追溯技术，包括地址分配协议的扩展，以及地址分配服务器、NID生成服务器和NID验证服务器的设计和实现，并搭建原型系统进行验证。

当前，我国正在在积极推进IPv6的规模商用。IPv6协议的接口地址有64位，为网络用户身份标识信息的嵌入提供了空间。而从体系结构、协议和算法设计的角度解决准确确定互联网中转发的每个IP分组的来源的问题，对于支持下一代互联网进行精确细粒度的管理、控制和追溯以及提高其可信任性具有重要意义。.本项目的主要研究内容和重要成果如下。第一，项目完成了可扩展的用户网络身份标识（NID）及其生成算法设计，嵌入可扩展用户网络身份标识的IPv6地址生成算法NIDTGA研究，并开发嵌入可扩展用户网络身份标识的IPv6地址管理与追溯技术的原型系统，在清华大学进行验证。还设计了系统Web Portal的无客户端迁移方案。第二，项目扩展设计了一种通用的需求驱动的地址生成和管理系统“GAGMS”，实现了灵活配置和管理包括嵌入可扩展用户网络身份标识的IPv6地址生成方案在内的主要IPv6地址生成方案，达到在不同的时间允许不同的网络根据不同的需求配置不同的地址生成方案的目标。项目设计了名为“AccountMore”的可审计网络方案，支持通过嵌入可扩展用户网络身份标识的IPv6地址从体系结构角度增加互联网的审计能力。第三，用IP地址追溯用户身份的重要前提在于IP地址是真实的。本项目扩展研究了一种基于RPKI的域间源地址验证技术“RISP”，以及一种基于源保护的强部署激励的域间源地址验证技术“iSAP”，一定程度上解决了源地址验证在域间源地址验证以及方案可部署性方面的难题。第四，在国际互联网标准化组织IETF提交标准草案，多次参加IETF会议，推进DHCPv6的多需求扩展MREDHCPv6（Multi-Requirement Extensions for DHCPv6）。同时还研究并完善了DHCPv6本身的安全解决方案Secure DHCPv6。.2017年国家《推进互联网协议第六版（IPv6）规模部署行动计划》颁布。在网络安全方面强调“严格落实IPv6网络地址编码规划方案”，“协同推进IPv6部署与网络实名制”，“增强IPv6地址精准定位、侦查打击和快速处置能力”。本项目的研究前瞻性的与国家需求契合，对加强IPv6地址管理，兼顾地址生成的可审计性和隐私性，提供网络追溯的能力，增加威慑，具有重要意义。