轻量级双协议栈组网下的认证方法及装置制造方法及图纸

本申请提出轻量级双协议栈组网下的认证方法及装置。方法包括：接收来自用户网络的封装了IPv4认证请求报文的IPv6报文，创建DS-lite表项；根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机；若检测出所述用户主机为双栈主机，则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系；当所述源IPv4地址通过认证时，根据所述DS-lite表项，确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。本申请实现了双栈主机只需进行IPv4认证，就可同时访问IPv4和IPv6公网。

【技术实现步骤摘要】

本申请涉及认证
，尤其涉及DS-Lite(DualStackLite，轻量级双协议栈)组网下的认证方法及装置。
技术介绍
DS-Lite技术综合了IPv4overIPv6隧道技术和NAT(NetworkAddressTranslation，网络地址转换)技术，利用隧道技术实现通过IPv6网络连接隔离的IPv4网络，利用NAT技术实现不同的用户网络共享相同的IPv4地址空间，减缓IPv4地址的耗尽速度。图1为DS-List组网示意图，其中：B4(BasicBridgingBroadband，基本桥接宽带)设备位于用户网络侧、用来连接ISP(InternetServiceProvider，互联网服务提供商)网络，通常为用户网络的网关；AFTR(AddressFamilyTransitionRouter，地址族转换路由器)是ISP网络中的设备，是DS-Lite隧道的核心设备。AFTR同时作为DS-Lite隧道端点和NAT网关设备。B4设备作为DS-Lite隧道的一个端点，负责将用户网络的IPv4报文封装成IPv6报文发送给AFTR；AFTR对IPv6报文进行解封装，将解封装后的用户网络报文的源IPv4地址(私网地址)转换为公网地址，并将转换后的报文发送给目的IPv4主机。AFTR进行NAT转换时，同时记录NAT映射关系和TunnelID(隧道标识)，以便实现不同B4设备连接的用户网络地址可以重叠。也有部分双栈主机，通过软件实现了与B4设备对应的隧道加、解封装功能，可直接与AFTR建立DS-lite隧道，可同时访问IPv4公网和IPv6公网。AFTR通常也被部署为运营商对用户的接入设备，用户主机通过portal(门户)等接入协议接入运营商网络。在DS-lite应用中，AFTR的隧道接口部署portal认证业务，IPv4主机的portal认证请求报文经过隧道加封装后，通过IPv6网络传输到AFTR，在AFTR的隧道接口解封装并进行portal业务处理，认证通过后portal业务根据主机的IPv4地址生成在线用户。而双栈主机通过IPv4的portal认证后若访问IPv6公网还需要再进行IPv6的portal认证。
技术实现思路
本申请实施例提供DS-lite组网下的认证方法及装置。本申请的技术方案是这样实现的：一种DS-lite组网下的认证方法，该方法包括：接收来自用户网络的封装了IPv4认证请求报文的IPv6报文，创建DS-lite表项；根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机；若检测出所述用户主机为双栈主机，则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系；当所述源IPv4地址通过认证时，根据所述DS-lite表项，确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。一种DS-lite组网下的认证装置，该装置包括：DS-lite表项创建模块：接收来自用户网络的封装了IPv4认证请求报文的IPv6报文创建DS-lite表项；探测模块：根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机，若检测出所述用户主机为双栈主机，则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系；认证处理模块：当所述源IPv4地址通过认证时，根据所述DS-lite表项，确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。可见，本申请实施例中，DS-lite组网下的双栈主机只需进行一次IPv4认证就能同时访问IPv4和IPv6公网。附图说明图1为DS-List组网示意图；图2为本申请一实施例提供的DS-lite组网下的认证方法流程图；图3为本申请实施例提供的DS-lite组网下双栈主机的Portal认证方法流程图；图4为本申请实施例提供的DS-lite组网下IPv4主机的portal认证方法流程图；图5为本申请实施例提供的DS-lite组网下的认证下线方法流程图；图6为本申请应用示例的DS-lite组网图；图7为本申请实施例提供的DS-lite组网下的认证装置的组成示意图。具体实施方式申请人对现有的DS-lite组网下的认证方法进行分析，发现存在如下问题：双栈主机在通过IPv4认证后，若要访问IPv6公网还需再进行IPv6认证。图2为本申请一实施例提供的DS-lite组网下的认证方法流程图，其具体步骤如下：步骤201：接收来自用户网络的封装了IPv4认证请求报文的IPv6报文，创建DS-lite表项。步骤202：根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机。步骤203：若所述用户主机检测出为双栈主机，则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系。步骤204：当所述源IPv4地址通过认证时，根据所述DS-lite表项，确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。需要说明的是，这里所说的认证不限于portal认证，也包括IPoE(InternetProtocoloverEthernet)认证等以IP地址作为用户标识的认证方式，在本申请中仅以portal认证为例进行描述。一种实施例中，步骤202中，所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址；所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括：若未收到封装有所述IPv4报文的IPv6探测响应报文，则确认所述用户主机为双栈主机。一种实施例中，步骤202中，所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址，且，所述IPv4报文中的生存时间TTL值为1；所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括：若接收到回应Echo应本文档来自技高网...

【技术保护点】
一种轻量级双协议栈DS‑lite组网下的认证方法，其特征在于，该方法包括：接收来自用户网络的封装了IPv4认证请求报文的IPv6报文，创建DS‑lite表项；根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机；若检测出所述用户主机为双栈主机，则在所述DS‑lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系；当所述源IPv4地址通过认证时，根据所述DS‑lite表项，确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。

【技术特征摘要】
1.一种轻量级双协议栈DS-lite组网下的认证方法，其特征在于，该方
法包括：
接收来自用户网络的封装了IPv4认证请求报文的IPv6报文，创建
DS-lite表项；
根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报
文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机；
若检测出所述用户主机为双栈主机，则在所述DS-lite表项中建立所述
IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关
联关系；
当所述源IPv4地址通过认证时，根据所述DS-lite表项，确认所述源IPv4
地址关联的所述源IPv6地址通过IPv6认证。
2.根据权利要求1所述的方法，其特征在于，
所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4
报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的
IPv4地址；
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包
括：
若未收到封装有所述IPv4报文的IPv6探测响应报文，则确认所述用户
主机为双栈主机。
3.根据权利要求1所述的方法，其特征在于，
所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4
认证请求报文的源IPv4地址，且，所述IPv4报文中的生存时间TTL值为1；
所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包
括：
若接收到回应Echo应答报文，则确认所述用户主机为双栈主机。
4.根据权利要求1所述的方法，其特征在于，根据所述DS-lite表项，
确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证，包括：
判断所述源IPv4地址对应的认证接口是否为隧道接口；
若所述认证接口为隧道接口，则判断所述认证接口对应隧道接口的源接
口是否使能了IPv6认证业务；
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务，则根据
所述DS-lite表项，确认所述源IPv4地址关联的所述源IPv6地址通过IPv6
认证。
5.根据权利要求1所述的方法，其特征在于，所述确认所述源IPv4地
址关联的所述源IPv6地址通过IPv6认证之后进一步包括：
当所述源IPv4地址下线时，根据所述DS-lite表项，确认所述源IPv4
地址关联的所述源IPv6地址下线。
6.根据权利要求5所述的方法，其特征在于，根据所述DS-lite表项，
确认所述源IPv4地址关联的所述源IPv6地址下线，包括：
判断所述源IPv4地址对应的认证接口是否为隧道接口；
若所述认证接口为隧道接口，则判断所述认证接口对应隧道接口的源接
口是否使能了IPv6认证业务；
若所述认证接口对应隧道接口的源接口使能了IPv6认证业务，则根据
所述DS-lite表项直接确认所述源IPv4地址关联的所述源IPv6地址下线。
7.一种轻量级双协议栈DS-lite组网下的认证装置，其特征在于，该装
...

【专利技术属性】
技术研发人员：郗二军，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33