(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111495152.X (22)申请日 2021.12.09 (71)申请人 北京英迪瑞讯网络科技有限公司 地址 100084 北京市海淀区北三环西路32 号楼10层10 05-2 (72)发明人 王桥倩　韩国梁　包丛笑　李星　 (74)专利代理 机构 北京市鼎立 东审知识产权代 理有限公司 1 1751 代理人 朱慧娟 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/2503(2022.01) H04L 41/0213(2022.01) H04L 101/686(2022.01) (54)发明名称 适用于IPv6 /IPv4访问服 务的安全溯源 装置 (57)摘要 本申请涉及一种适用于IP v6/IPv4访问服务 的安全溯源装置， 包括所述无状态翻译网关以及 所述溯源装置。 基于无状态翻译技术， 发明了加 密安全的实时溯源方法和历史溯源 方法， 形成统 一的无状态安全溯源装置。 该装置无需查询日 志， 直接通过加密的API就可以实现实时IPv4/ IPv6溯源， 对系统资源消耗极低， 可以极大地降 低系统开销； 该装置基于网络层无状态翻译技 术， 因此适用于所有应用， 包括加密和私有应用； 该装置不修改数据报文内容， 同时兼容已有的 IPv4防火墙， 不会增加安全风险， 同时使用加密 技术保障溯源查询的端到端信息隐藏， 中间人无 法侦听和篡改， 极大地保护了溯源系统的稳定性 和安全性。 权利要求书3页 说明书15页 附图1页 CN 114143113 A 2022.03.04 CN 114143113 A 1.一种适用于IPv6/IPv4访问服务的安全溯源装置， 其特征在于， 包括通讯连接的无状 态翻译网关和溯源 装置， 其中， 所述无状态翻译网关： 用于配置IPv6/IPv4无状态灵活映射表， 并基于所述IPv6/IPv4 无状态灵活映射表对所接收到的IPv6/IPv4地址进行无状态映射， 获得IP v6/IPv4地址映射 记录； 所述溯源装置： 用于向所述无状态翻译网关发出溯源请求， 并根据所述溯源请求获取 所述IPv6/IPv4地址映射记录， 实现实时溯源及历史溯源。 2.根据权利要求1所述的一种适用于IPv6/IPv4访问服务的安全溯源装置， 其特征在 于， 所述溯源 装置包括加密安全的实时溯源设施和 加密安全的历史溯源设施， 其中， 所述实时溯源设施： 用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进 行查询并获取 数据， 统计浏览量和基于IP地址的用户画像以及进行实时监控； 所述历史溯源设施： 用于基于无状态翻译算法对所述IPv6/IPv4无状态灵活映射表进 行查询并获取 数据， 进行用户追踪和行为分析； 所述实时溯源设施和历史溯源设施分别连接 至所述无状态翻译网关。 3.根据权利要求2所述的一种适用于IPv6/IPv4访问服务的安全溯源装置， 其特征在 于， 所述溯源装置上设有加密安全的溯源接口， 所述溯源接口用于用户从所述无状态翻译 网关上获取所述 实时溯源设施中的实时溯源数据和/或所述历史溯源设施中的历史溯源数 据。 4.根据权利要求3所述的一种适用于IPv6/IPv4访问服务的安全溯源装置， 其特征在 于， 所述溯源接口包括： 至少一个加密安全的本机查询溯源接口： 所述本机查询溯源接口用于基于身份认证和 授权的管理员以及有限集 合的请求 参数在所述无状态翻译网关上查询溯源信息； 以及， 至少一个加密安全的高性能远程查询溯源接口： 所述高性 能远程查询溯源接口用于使 用HTTPS/TLS /SSH加密方式， 对接并实现外部业务/查询系统与所述无状态翻译网关之间的 溯源查询； 以及， 至少一个加密安全的管理溯源接口： 所述管理溯源接口用于管理系统使用标准的SNMP 协议进行实时溯源和历史溯源。 5.根据权利要求4所述的一种适用于IPv6/IPv4访问服务的安全溯源装置， 其特征在 于， 所述无状态翻译网关上配置有储存溯源资源的溯源MIB库， 所述溯源MIB库包括实时溯 源MIB库和历史溯源MIB库， 所述实时溯源MIB库和历史溯源MIB库上皆配置有一个OID溯源 接口， 所述OID溯源接口用于调用所述实时溯源设施上 的管理溯源接口或所述历史溯源设 施上的管理溯源接口。 6.根据权利要求5所述的一种适用于IPv6/IPv4访问服务的安全溯源装置， 其特征在 于， 所述无状态翻译网关上还配置有前置判断组件和日志 记录模块， 其中， 所述前置判断组件： 用于接收溯源请求， 根据所述溯源请求判断溯源接口所属设施和 接口类型， 并将所述溯源请求分发至所匹配的溯源接口； 所述日志记录模块： 用于将与所述溯源请求相关联的访问记录和查询记录均 形成的强 日志记录， 记录在本 机或单独的日志服 务器上。 7.一种实施权利要求1 ‑6任一项所述的适用于IPv6/IPv4访问服务的安全溯源装置的权　利　要　求　书 1/3 页 2 CN 114143113 A 2方法， 其特 征在于， 包括如下步骤： S100、 安装并配置所述无状态翻译网关， 基于所述无状态翻译网关正常运行业 务流量； S200、 在所述无状态翻译网关上安装所述实时溯源设施和所述历史溯源设施， 并分别 配置至少一个所述本机查询溯源接口、 所述高性能远程查询溯源接口和所述管理溯源接 口； S300、 发送加密的溯源请求， 通过前置判断组件根据所述溯源请求判断溯源接口所属 设施和接口类型， 并将所述溯源请求分发至所匹配的溯源接口； 以及， 通过所述所匹配的溯 源接口对所述加密的溯源请求进行用户权限校验： 如果是合法请求则正常解密， 并根据输 入参数和无状态映射算法生成源地址和/或其他参数， 实现溯源； 如果是非法请求， 则拒绝 访问； S400、 通过日志记录模块， 将与所述溯源请求相关联的访问记录和查询记录均形成的 强日志记录， 记录在本 机或单独的日志服 务器上。 8.一种基于权利要求4 ‑6任一项所述适用于IPv6/IPv4访问服务的安全溯源装置进行 本机查询的溯源方法， 其特 征在于， 包括如下步骤： S111、 管理用户登录所述无状态翻译网关， 进行用户权限校验和认证； S121、 输入 包含溯源参数的溯源请求； S131、 通过所述本机查询溯源接口判断所述溯源参数是否匹配所述本机查询溯源接口 的限定格式： 是则通过所述本机查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行 实时查询， 并返回结构化的输出 数据； 否则丢弃 该溯源请求； S141、 获取 所述输出 数据并返回给用户。 9.一种基于权利要求4 ‑6任一项所述适用于IPv6/IPv4访问服务的安全溯源装置进行 高性能远程 查询的溯源方法， 其特 征在于， 包括如下步骤： S211、 远程用户登录所述无状态翻译网关， 进行用户权限校验和认证； S221、 输入包含 溯源参数的溯源请求； S231、 通过所述高性能远程查询溯源接 口判断所述远程用户的IPv4/IPv6地址是否在 预设允许范围内： 是则解密所述溯源请求， 并判断所述溯源参数是否匹配所述高性能远程 查询溯源接口 的限定格式； 否则丢弃 该溯源请求； S241、 若所述溯源参数匹配所述高性能远程查询溯源接口的限定格式， 则通过所述高 性能远程查询溯源接口根据所述IPv6/IPv4无状态灵活映射表进行实时查询， 并返回结构 化的输出 数据； 否则丢弃 该溯源请求； S251、 获取 所述输出 数据并返回给远程用户。 10.一种基于权利 要求4‑6任一项所述适用于IPv6/IPv4访问服务的安全溯源装置进行 管理的溯源方法， 其特 征在于， 包括如下步骤： S311、 在所述无状态翻译网关和网络管理系统上安装溯源MIB库， 并配置SNMP参数和 SNMP模式； S321、 网络管理用户登录所述无状态翻译网关， 进行用户权限校验和认证； S331、 输入包含溯源参数的溯源请求； S341、 通过所述管理溯源接 口判断所述网络管理用户的IPv4/IPv6地址是否在预设允 许范围内： 是则解密所述溯源请求， 并判断所述溯源参数是否匹配所述管理溯源接口的限权　利　要　求　书 2/3 页 3 CN 114143113 A 3