轻量级双协议栈组网下的认证方法及装置的制造方法
【技术领域】
[0001]本申请涉及认证技术领域,尤其涉及DS-Lite (Dual Stack Lite,轻量级双协议栈)组网下的认证方法及装置。
【背景技术】
[0002]DS-Lite 技术综合了 IPv4 over IPv6 隧道技术和 NAT (Network AddressTranslat1n,网络地址转换)技术,利用隧道技术实现通过IPv6网络连接隔离的IPv4网络,利用NAT技术实现不同的用户网络共享相同的IPv4地址空间,减缓IPv4地址的耗尽速度。
[0003]图1为DS-List组网示意图,其中:
[0004]B4(Basic Bridging Broadband,基本桥接宽带)设备位于用户网络侧、用来连接ISP(Internet Service Provider,互联网服务提供商)网络,通常为用户网络的网关;
[0005]AFTR(Address Family Transit1n Router,地址族转换路由器)是 ISP 网络中的设备,是DS-Lite隧道的核心设备。AFTR同时作为DS-Lite隧道端点和NAT网关设备。
[0006]B4设备作为DS-Lite隧道的一个端点,负责将用户网络的IPv4报文封装成IPv6报文发送给AFTR ;AFTR对IPv6报文进行解封装,将解封装后的用户网络报文的源IPv4地址(私网地址)转换为公网地址,并将转换后的报文发送给目的IPv4主机。AFTR进行NAT转换时,同时记录NAT映射关系和Tunnel ID (隧道标识),以便实现不同B4设备连接的用户网络地址可以重叠。也有部分双栈主机,通过软件实现了与B4设备对应的隧道加、解封装功能,可直接与AFTR建立DS-1ite隧道,可同时访问IPv4公网和IPv6公网。
[0007]AFTR通常也被部署为运营商对用户的接入设备,用户主机通过portal (门户)等接入协议接入运营商网络。在DS-1 He应用中,AFTR的隧道接口部署portal认证业务,IPv4主机的portal认证请求报文经过隧道加封装后,通过IPv6网络传输到AFTR,在AFTR的隧道接口解封装并进行portal业务处理,认证通过后portal业务根据主机的IPv4地址生成在线用户。而双桟主机通过IPv4的portal认证后若访问IPv6公网还需要再进行IPv6的portal 认证。
【发明内容】
[0008]本申请实施例提供DS-1ite组网下的认证方法及装置。
[0009]本申请的技术方案是这样实现的:
[0010]一种DS-1ite组网下的认证方法,该方法包括:
[0011]接收来自用户网络的封装了 IPv4认证请求报文的IPv6报文,创建DS-1ite表项;
[0012]根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机;
[0013]若检测出所述用户主机为双栈主机,则在所述DS-1ite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
[0014]当所述源IPv4地址通过认证时,根据所述DS-1ite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
[0015]一种DS-1ite组网下的认证装置,该装置包括:
[0016]DS-1ite表项创建模块:接收来自用户网络的封装了 IPv4认证请求报文的IPv6报文创建DS-1ite表项;
[0017]探测模块:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机,若检测出所述用户主机为双栈主机,则在所述DS-1ite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系;
[0018]认证处理模块:当所述源IPv4地址通过认证时,根据所述DS-1ite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
[0019]可见,本申请实施例中,DS-1ite组网下的双栈主机只需进行一次IPv4认证就能同时访问IPv4和IPv6公网。
【附图说明】
[0020]图1为DS-List组网示意图;
[0021]图2为本申请一实施例提供的DS-1ite组网下的认证方法流程图;
[0022]图3为本申请实施例提供的DS-1ite组网下双栈主机的Portal认证方法流程图;
[0023]图4为本申请实施例提供的DS-1ite组网下IPv4主机的portal认证方法流程图;
[0024]图5为本申请实施例提供的DS-1ite组网下的认证下线方法流程图;
[0025]图6为本申请应用示例的DS-1ite组网图;
[0026]图7为本申请实施例提供的DS-1ite组网下的认证装置的组成示意图。
【具体实施方式】
[0027]申请人对现有的DS-1ite组网下的认证方法进行分析,发现存在如下问题:
[0028]双桟主机在通过IPv4认证后,若要访问IPv6公网还需再进行IPv6认证。
[0029]图2为本申请一实施例提供的DS-1ite组网下的认证方法流程图,其具体步骤如下:
[0030]步骤201:接收来自用户网络的封装了 IPv4认证请求报文的IPv6报文,创建DS-1ite 表项。
[0031]步骤202:根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文,以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机。
[0032]步骤203:若所述用户主机检测出为双栈主机,则在所述DS-1ite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系。
[0033]步骤204:当所述源IPv4地址通过认证时,根据所述DS-1ite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
[0034]需要说明的是,这里所说的认证不限于portal认证,也包括IPoE(InternetProtocol over Ethernet)认证等以IP地址作为用户标识的认证方式,在本申请中仅以portal认证为例进行描述。
[0035]—种实施例中,步骤202中,所述IPv6探测报文中封装的所述IPv4报文的源IPv4地址和所述IPv4报文的目的IPv4地址为所述IPv6报文的目的IPv6地址绑定的隧道接口的IPv4地址;
[0036]所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
[0037]若未收到封装有所述IPv4报文的IPv6探测响应报文,则确认所述用户主机为双栈主机。
[0038]—种实施例中,步骤202中,所述IPv6探测报文中封装的所述IPv4报文的目的IPv4地址为所述IPv4认证请求报文的源IPv4地址,且,所述IPv4报文中的生存时间TTL值为I ;
[0039]所述检测发出所述IPv4认证请求报文的用户主机是否为双栈主机包括:
[0040]若接收到回应Echo应答报文,则确认所述用户主机为双栈主机。
[0041]—种实施例中,步骤204中,根据所述DS-1ite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证,包括:
[0042]判断所述源IPv4地址对应的认证接口是否为隧道接口 ;
[0043]若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了 IPv6认证业务;
[0044]若所述认证接口对应隧道接口的源接口使能了 IPv6认证业务,则根据所述DS-1ite表项,确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。
[0045]—种实施例中,步骤204中,所述确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证之后进一步包括:
[0046]当所述源IPv4地址下线时,根据所述DS-1ite表项,确认所述源IPv4地址关联的所述源IPv6地址下线。
[0047]—种实施例中,根据所述DS-1ite表项,确认所述源IPv4地址关联的所述源IPv6地址下线,包括:
[0048]判断所述源IPv4地址对应的认证接口是否为隧道接口 ;
[0049]若所述认证接口为隧道接口,则判断所述认证接口对应隧道接口的源接口是否使能了 IPv6认证业务;
[0050]若所述认证接口对应隧道接口的源接口使能了 IPv6认证业务,则根据所述DS-1ite表项直接确认所述源IPv4地址关联的所述源IPv6地址下线。
[0051 ] Portal认证通常也称为Web认证,即通过Web页面接收用户输入的用户名和密码,对用户进行身份认证,以达到对用户访问进行控制的目的。通过认证的用户形成在线用户表项,在线用户表项的主要内容有:
[0052]I)用户名:IPv4主机或双栈主机用于认证的账号名;
[0053]2) IP地址:IPv4 portal认证时为主机的IPv4地址,IPv6 portal认证时为主机的IPv6地址;
[0054]3)认证接口:在DS-1ite应用中,IPv4 portal业务部署在AFTR的隧道接口,IPv6portal业务部署在AFTR的隧道接口指定的隧道源接口。
[0055]DS-1ite是一种无协议自动隧道,DS-1ite隧道总是B4设备或双栈主机主动访问IPv4公网时触发建立,AFTR收到经过隧道加封装的报文后自动记录DS-1ite表项,后续报文通过该DS-1ite表项进行加、解封装,DS-1ite表项的主要内容有:
[0056]I) Tunnel ID:Tunnel ID 是 DS-1ite 表项的 key (密钥),由 AFTR 自己计算生成,AFTR 一般将Tunnel ID存于IP快转表项或NAT表项中,公网的响应报文从IP快转表项或NAT表项中取得该Tunnel ID并根据它找到对应的DS-1ite表项,才能进行隧道加封装处理;
[0057]2)源IPv6地址:B4设备或双栈主机的IPv6地址,AFTR从所收到的隧道封装报文的IPv6报文头获得IPv6源地址;
[0058]3)Tunnel接口:进行加、解封装的逻辑接口,一个能正常生效的Tunnel接口需指定一个实际物理接口作为隧道的源接口,实际的物理接口具有IPv6地址,Tunnel接口本身具有IPv4地址。
[0059]以下以Portal认证为例,对本申请进行进一步详细说明:
[0060]图3为本申请实施例提供的DS-1i