本发明专利技术公开了一种隧道认证方法及装置,涉及数据通信技术领域,用于解决现有技术进行IPv4到IPv6隧道认证时,隧道认证效率低的问题。本发明专利技术所提供的具体实施例包括:IPv4 over IPv6隧道转发模块获取CPE发送的验证报文,并对该验证报文解封装获取验证报文携带的校验码,进而校验码模块检查本地是否存在该校验码,当查找到校验码时,向CGN隧道管理模块发送隧道创建指令,进而CGN隧道管理模块为验证报文创建IPv4 over IPv6隧道。本发明专利技术实施例提供的技术方案主要应用于IPv4 over IPv6隧道的创建流程中。
【技术实现步骤摘要】
一种隧道认证方法及装置
本专利技术涉及数据通信
,尤其涉及一种隧道认证方法及装置。
技术介绍
现有DS-Lite (中文全称:轻量级双栈,英文全称:Dual-stack Iite)技术,使 用 IPv4over IPv6 (英文全称:Internet Protocol Version 4 over Internet Protocol Version 6,中文全称:网络协议版本4到网络协议版本6)隧道和NAT (中文全称:网络地址 转换,英文全称:Network Address Translation)技术结合,允许CPE (英文全称:Customer Premise Equipment,中文全称:用户端设备)自行向私网侧主机任意分配IPv4地址,使得 多个IPv4 CPE私网之间可以共享IPv4地址,从而缓解了当前面临的IPv4地址耗尽问题。 而DS-Lite技术的实现方式是:使用IPv4 over IPv6隧道作为CPE和CGN(英文全称为: Carrier-Grade Network Address Translation,中文全称为:运行商级网络地址转换)之 间的流量通路,CPE向CGN发起隧道建立,CGN被动接受隧道建立。在这一隧道建立过程 中,CGN会接收到虚假的建立请求,而此时CGN建立隧道就会导致CGN受到DOS (英文全称: Denial Of Service,中文全称:拒绝服务)攻击,如果CGN遭受DOS攻击,那么CGN隧道资 源耗费严重,从而导致DS-Lite组网将不能正常运行。 现有的DS-Lite抗DOS攻击技术为对IPv4 over IPv6隧道进行隧道接入认证,具 体的认证方法依赖第三方系统或者对端CPE配合进行。其中,在通过第三方系统进行隧道 接入认证时,由于引入了其它设备不仅额外增加了硬件设备,而且引入了设备间的交互使 得认证过程复杂、验证成本高、效率低。而通过CPE配合认证过程中,验证过程必须有CPE 参与才能实现,如果CPE拒绝实现或者不具备此验证功能,则CGN无法实现DOS攻击防范, 进而导致CGN不能正常通讯。 结合上述的隧道认证过程描述,迫切需要提供一种新的隧道认证方法,在提高认 证效率的同时,减少系统开销。
技术实现思路
本专利技术的实施例提供一种隧道认证方法及装置,用于解决现有技术进行IPv4到 IPv6隧道认证时,隧道认证效率低的问题,提供了一种新的隧道认证方法,在提高认证效率 的同时,减少了系统开销。 为达到上述目的,本专利技术的实施例采用如下技术方案: -种隧道认证方法,所述方法应用于运行商级网络地址转换CGN,所述CGN至少包 括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4 over IPv6隧道转发模块、 校验码模块,所述方法包括: 所述IPv4 over IPv6隧道转发模块获取用户端设备CPE发送的验证报文,并对所 述验证报文解封装获取所述验证报文携带的校验码; 所述校验码模块获取所述IPv4 over IPv6隧道转发模块发送的所述校验码,并在 本地查找是否存在所述校验码; 当所述校验码模块查找到所述校验码时,向所述CGN隧道管理模块发送隧道创建 指令; 所述CGN隧道管理模块为所述验证报文创建IPv4 over IPv6隧道。 一种隧道认证装置,所述装置置于运行商级网络地址转换CGN,所述装置至少包 括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4 over IPv6隧道转发模块、 校验码模块; 所述IPv4 over IPv6隧道转发模块,用于获取用户端设备CPE发送的验证报文, 并对所述验证报文解封装获取所述验证报文携带的校验码; 所述校验码模块,用于获取所述IPv4 over IPv6隧道转发模块发送的所述校验 码,并在本地查找是否存在所述校验码; 所述校验码模块,还用于当所述校验码模块查找到所述校验码时,向所述CGN隧 道管理模块发送隧道创建指令; 所述CGN隧道管理模块,用于为所述验证报文创建IPv4 over IPv6隧道。 本专利技术实施例提供的一种隧道认证方法及装置,应用于CGN,IPv4 over IPv6隧道 转发模块获取CPE发送的验证报文,并对该验证报文解封装获取验证报文携带的校验码, 进而校验码模块检查本地是否存在该校验码,当查找到校验码时,向CGN隧道管理模块发 送隧道创建指令,进而CGN隧道管理模块为验证报文创建IPv4 over IPv6隧道。现有技术 在进行隧道创建时,需要依靠第三方设备进行验证,或需CPE具备验证功能且允许验证实 现,使CPE参与隧道的接入认证,这些验证方法必须依赖于除CGN以外的其它设备来完成, 操作复杂、验证成本高。本专利技术实施例提供的技术方案,验证报文中存在校验码,进而通过 对校验码的查找来确定是否为验证报文创建隧道,仅通过CGN就可以完成验证,不仅提高 了认证效率而且减少了系统开销。 【附图说明】 为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。 图1为本专利技术一实施例提供的一种隧道认证的方法流程图; 图2为本专利技术另一实施例提供的一种隧道认证的方法流程图; 图3为本专利技术另一实施例提供的另一种隧道认证的方法流程图; 图4为本专利技术另一实施例提供的一种隧道认证装置的结构组成示意图。 【具体实施方式】 下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于 本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本专利技术保护的范围。 本专利技术一实施例提供了一种隧道认证方法,这一方法应用于CGN,且CGN至少包 括:CGN隧道管理模块、IPv4 over IPv6隧道转发模块、校验码模块,如图1所示,该方法包 括: 101、IPv4 over IPv6隧道转发模块获取CPE发送的验证报文,并对验证报文解封 装获取验证报文携带的校验码。 其中,验证报文为对新的IPv4报文进行封装形成的报文,封装包括对新的IPv4 报文进行IPv6隧道封装,这一新的IPv4报文包括由IPv4头、GRE(英文全称为=Generic Routing Encapsulation,中文全称为:通用路由封装)头、校验码载荷、IPv4乘客报文构 成,该校验码载荷中负载有校验码。 在本专利技术实施例中,该新的IPv4报文可以是一个IPv4头+ -个GRE头+校验码 载荷+IPv4乘客报文构成的报文。 102、校验码模块获取IPv4 over IPv6隧道转发模块发送的校验码,并在本地查找 是否存在这一校验码。 103、当校验码模块查找到校验码时,向CGN隧道管理模块发送隧道创建指令。 值得说明的是,当校验码本文档来自技高网...
【技术保护点】
一种隧道认证方法,所述方法应用于运行商级网络地址转换CGN,其特征在于,所述CGN至少包括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4over IPv6隧道转发模块、校验码模块,所述方法包括:所述IPv4over IPv6隧道转发模块获取用户端设备CPE发送的验证报文,并对所述验证报文解封装获取所述验证报文携带的校验码;所述校验码模块获取所述IPv4over IPv6隧道转发模块发送的所述校验码,并在本地查找是否存在所述校验码;当所述校验码模块查找到所述校验码时,向所述CGN隧道管理模块发送隧道创建指令;所述CGN隧道管理模块为所述验证报文创建IPv4over IPv6隧道。
【技术特征摘要】
1. 一种隧道认证方法,所述方法应用于运行商级网络地址转换CGN,其特征在于,所述 CGN至少包括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4〇Ver IPv6隧道转 发模块、校验码模块,所述方法包括: 所述IPv4〇ver IPv6隧道转发模块获取用户端设备CPE发送的验证报文,并对所述验 证报文解封装获取所述验证报文携带的校验码; 所述校验码模块获取所述IPv4〇ver IPv6隧道转发模块发送的所述校验码,并在本地 查找是否存在所述校验码; 当所述校验码模块查找到所述校验码时,向所述CGN隧道管理模块发送隧道创建指 令; 所述CGN隧道管理模块为所述验证报文创建IPv4over IPv6隧道。2. 根据权利要求1所述的方法,其特征在于, 所述验证报文为对新的IPv4报文进行封装形成的报文; 所述新的IPv4报文包括由IPv4头、通用路由封装GRE头、校验码载荷、IPv4乘客报文 构成,所述校验码载荷中负载有所述校验码。3. 根据权利要求2所述的方法,其特征在于,在所述IPv4〇ver IPv6隧道转发模块获取 CPE发送的验证报文之前,所述方法还包括: 当所述CGN隧道管理模块未查找到与所述CPE对应的IPv4over IPv6隧道时,将所述 封装报文发送给所述IPv4〇ver IPv6隧道转发模块,所述封装报文为对所述IPv4乘客报文 进行封装后的报文; 所述IPv4〇ver IPv6隧道转发模块对所述封装报文解封装,获取到所述IPv4乘客报 文,并获取所述IPv4乘客报文的源IPv4地址和目的IPv4地址。4. 根据权利要求3所述的方法,其特征在于,在所述IPv4〇ver IPv6隧道转发模块对所 述封装报文解封装的同时,所述方法还包括: 所述IPv4over IPv6隧道转发模块向所述校验码模块发送校验码生成指令; 所述校验码模块根据所述校验码生成指令生成所述校验码,并在本地存储所述校验 码。5. 根据权利要求4所述的方法,其特征在于,所述方法还包括: 所述IPv4〇ver IPv6隧道转发模块根据所述校验码、所述IPv4乘客报文、所述源IPv4 地址和所述目的IPv4地址,生成所述新的IPv4报文,并对所述新的IPv4报文进行封装得 到所述验证报文,并将...
【专利技术属性】
技术研发人员:王佩龙,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。