轻量级双协议栈组网下的安全增强方法及装置的制造方法

轻量级双协议栈组网下的安全增强方法及装置的制造方法
【技术领域】
[0001] 本申请涉及DS-Lite (Dual Stack Lite，轻量级双协议栈）技术领域，尤其涉及 DS-Lite组网下的安全增强方法及装置。
【背景技术】
[0002] DS-Lite 技术综合了 IPv4 over IPv6 隧道技术和 NAT (Network Address Translation，网络地址转换）技术，利用隧道技术实现通过IPv6网络连接隔离的IPv4网 络，利用NAT技术实现不同的用户网络共享相同的IPv4地址空间，减缓IPv4地址的耗尽速 度。
[0003] 图1为DS-List典型组网示意图，其中：
[0004] 在运营商局端部署AFTR(Address Family Transition Router，地址族转换路由 器），用户侧部署M (Basic Bridging Broadband，基本桥接宽带）设备，AFTR和M设备之 间使用IPv6地址进行通信；
[0005] AFTR上建立一个一对多的IPv4 over IPv6隧道，B4设备上建立一对一的IPv4 over IPv6隧道，这样，一个AFTR可以同时连接多个M设备；
[0006] B4设备连接的Client (客户端）使用私网IPv4地址，不同的M设备下的Client 的IPv4地址可以重叠。
[0007] B4设备端手工指定DS-Lite隧道的源/目的IPv6地址，AFTR端仅指定DS-Lite 隧道的源地址，不指定目的地址。
[0008] 当M设备下的IPv4主机向公网的IPv4服务器发起IPv4请求时，B4设备以隧道 源地址所引用的物理接口的IPv6地址作为封装的源地址，以AFTR的IPv6地址作为封装的 目的地址，将封装形成的IPv6报文发往IPv6网络，最终到达AFTR，AFTR对报文解封装后， 对原始IPv4请求报文的源地址进行NAT处理，然后将IPv4请求报文发给公网IPv4服务器。
[0009] AFTR上的会话表项记录了 IPv4请求报文的源/目的IPv4地址、源/目的端口、 协议号以及DS-Lite tunnel peer，其中，DS-Lite tunnel peer记录了封装报文的源、目的 IPv6地址。对于从公网返回需要发往M设备的IPv4响应报文，根据所属会话来确定NAT 转换关系和DS-Lite tunnel地址（即用于封装IPv6报文的源、目的IPv6地址）。
[0010] 现有的DS-Iite组网下的数据报文处理过程存在如下问题：
[0011] 由于AFTR依靠会话表项建立与隧道对端的对应关系，而AFTR建立隧道连接和创 建会话表项并无明确的安全性限制，则攻击者可能伪冒大量M设备向AFTR发起连接，由于 隧道加、解封装以及NAT处理都非常消耗资源，AFTR很可能由于收到大量的虚假隧道报文 而停止对正常报文的处理。

【发明内容】

[0012] 本申请实施例提供DS-Iite组网下的安全增强方法及装置。
[0013] 本申请的技术方案是这样实现的：
[0014] -种DS-Lite组网下的安全增强方法，该方法包括：
[0015] AFTR接收DHCPv6服务器发来的第一通告报文，将所述第一通告报文携带的 DHCPv6服务器为M设备分配的IPv6地址及租约时间保存在M设备地址列表中；
[0016] AFTR从DS-Lite隧道接收IPv6报文，将所述IPv6报文的源IPv6地址与M设备 地址列表中的IPv6地址进行匹配，若M设备地址列表中存在与所述源IPv6地址匹配的 IPv6地址，则处理所述IPv6报文，否则，丢弃所述IPv6报文。
[0017] -种DS-Lite组网下的安全增强装置，位于AFTR上，该装置包括：
[0018] 地址记录模块：接收DHCPv6服务器发来的第一通告报文，将所述第一通告报文携 带的DHCPv6服务器为M设备分配的IPv6地址及租约时间保存在M设备地址列表中；
[0019] 地址合法性判断模块：从DS-Lite隧道接收IPv6报文，将所述IPv6报文的源IPv6 地址与M设备地址列表中的IPv6地址进行匹配，若M设备地址列表中存在与所述源IPv6 地址匹配的IPv6地址，则处理所述IPv6报文，否则，丢弃所述IPv6报文。
[0020] 可见，本申请实施例中，通过DHCP Server将分配的合法的M设备地址通告给 AFTR，使得AFTR能够识别出M设备地址是否合法，从而避免了非法设备冒充M设备对 AFTR的攻击，增强了 DS-Lite隧道连接的安全性。
【附图说明】
[0021] 图1为DS-List典型组网示意图；
[0022] 图2为本申请一实施例提供的DS-Iite组网下的安全增强方法流程图；
[0023] 图3为本申请另一实施例提供的DS-Iite组网下的安全增强方法流程图；
[0024] 图4为本申请应用示例的DS-Iite组网图；
[0025] 图5为本申请实施例提供的DS-Iite组网下的安全增强装置的组成示意图。
【具体实施方式】
[0026] 下面结合附图及具体实施例对本发明再作进一步详细的说明。
[0027] 图2为本申请一实施例提供的DS-Lite组网下的安全增强方法流程图，其具体步 骤如下：
[0028] 步骤201 :AFTR接收DHCPv6服务器发来的第一通告报文，将第一通告报文携带的 DHCPv6服务器为M设备分配的IPv6地址及租约时间保存在M设备地址列表中。
[0029] 步骤202 :AFTR从DS-Lite隧道接收IPv6报文，将该IPv6报文的源IPv6地址与 B4设备地址列表中的IPv6地址进行匹配，若M设备地址列表中存在与该源IPv6地址匹配 的IPv6地址，则处理该IPv6报文，否则，丢弃该IPv6报文。
[0030] -种实施例中，步骤201中，在AFTR接收DHCPv6服务器发来的第一通告报文之 后，进一步包括：
[0031] AFTR接收DHCPv6服务器发来的租约更新报文，根据该租约更新报文携带的M设 备的IPv6地址，在M设备地址列表中查找到对应的表项，根据该租约更新报文携带的租约 时间更新该表项中的租约时间。
[0032] -种实施例中，步骤201中，在AFTR接收DHCPv6服务器发来的第一通告报文之 后，进一步包括：
[0033] AFTR接收DHCPv6服务器发来的删除报文，根据该删除报文携带的M设备的IPv6 地址，在M设备地址列表中查找到对应的表项，删除该表项。
[0034] -种实施例中，步骤201中，在AFTR接收DHCPv6服务器发来的第一通告报文之 后，进一步包括：
[0035] AFTR重启，AFTR向DHCPv6服务器发送刷新请求报文，以使该DHCPv6服务器在接 收到该刷新请求报文时，向AFTR发送第二通告报文，该第二通告报文携带该DHCPv6服务器 已分配的、且租约未到期的所有M设备的IPv6地址及剩余租约时间；AFTR接收该第二通 告报文，将该第二通告报文携带的所有IPv6地址及剩余租约时间保存到M设备地址列表 中。
[0036] 图3为本申请另一实施例提供的DS-Lite组网下的安全增强方法流程图，其具体 步骤如下：
[0037] 步骤300 :在IPv6组网中部署DHCPv6 Server，在M设备上配置并开启DHCP Client功能，在M设备上配置DHCPv6 Server的地址，在DHCPv6 Server上配置并开启向 AFTR通告M设备地址的功能。
[0038] 在DHCPv6 Server上配置向AFTR通告M设备地址的功能时，AFTR可以AFTR的 IPv6地址表示，也可以AFTR的域名表示，例如：可配置如下：
[0039] DHCP update to XX，其中，XX 为 AFTR 的 IPv6 地址或者为 AFTR 的域名。
[0040] 步骤301 :B4设备启动后，根据自身配置的DHCPv6 Server的地址，向DHCPv6 Server发送DHCP请求报文，以请求DHCPv6 Server为自身分配DS-Lite隧道的源接口所引 用的物理接口的IPv6地址以及AFTR的域名或IPv6地址。
[0041] 步骤302 :DHCPv6 Server接收该DHCP请求报文，为M设备分配DS-Lite隧道的 源接口所引用的物理接口的IPv6地址以及AFTR的域名或IPv6地址，并携带在DHCP响应 报文中返回给M设备；同时，DHCPv6 Server向AFTR发送第一通告报文，该第一通告报文 携带M设备的DS-Lite隧道的源接口所引用的物理接口的IPv6地址以及该IPv6地址的 租约时间。
[0042] 在实际应用中，可预先配置DHCPv6 Server的一个端口（设为第一端口）用于发 出第一通告报文，同时在AFTR上与第一端口连接的第二端口上配置并开启监听第一通告 报文的功能。
[0043] 第一通告报文为IPv6 UDP (User Datagram Protocol，用户数据报协议）报文，第 一通告报文的载荷采用TLV (Type-Length-Value，类型长度值）格式，该TLV的格式如表1 所示：
[0045] 表 1
[0046] 其中，Type用于表示M设备地址的添加、删除或刷新，例如：
[0047] Type = 0,表示添加新的M设备地址；
[0048] Type = 1，表示删除M设备地址；
[0049] Type = 2,表示更新M设备地址的租约；
[0050] Type = 3,表示请求刷新M设备地址。
[0051] 步骤303 :AFTR接收第一通告报文，将第一通告报文中的DHCPv6 Server的地址以 及B4设备的DS-Lite隧道的源接口所引用的物理接口的IPv6地址和该IPv6地址的租约 时间添加到M设备地址列表中。
[0052] 步骤304 :AFTR从DS-Lite隧道接收到IPv6报文，若确认自身还不存在该IPv6报 文对应的会话表项，则在自身记录的M设备地址列表中查找该报文的源IPv6地址，若查找 到，则处理该IPv6报文；否则，丢弃该IPv6报文。
[0053] AFTR处理该IPv6报文具体包括：对该IPv6报文进行隧道解封装、NAT处理等常规 处理。
[0054] 另外，当M设备地址的租约更新时，DHCPv6 Server向AFTR发送租约更新报文 (Type = 2)，该租约更新报文携带M设备地址和新的租约时间，AFTR收到该租约更新报文 后，根据该M设备地址，在M设备地址列表中查找到对应的表项，更新该表项中的租约时 间。
[0055] 当DHCPv6 Server要收回M设备地址时，DHCPv6 Server向AFTR发送删除报文 (Type = 1)，该删除报文携带该B4设备地址，AFTR收到该删除报文后，在B4设备地址列表 中查找到对应的表项，删除该表项。
[0056] 当AFTR重启后，主动向DHCPv6 Server发送刷新请求报文（Type = 3)，DHCv6 Server收到该刷新请求报文，将自身已分配的、且租约未到期的所有M设备地址及剩余租 约时间一次性携带在第二通告报文中发送给AFTR ;AFTR接收第二通告报文，将第二通告报 文携带的所有IPv6地址及剩余租约时间保存到M设备地址列表中。
[0057] 若DHCPv6 Server发生了重启，导致自身原有的M设备地址表项都不存在时， DHCPv6 Server不通知A