CN104333561A - 一种隧道认证方法及装置 - Google Patents
一种隧道认证方法及装置 Download PDFInfo
- Publication number
- CN104333561A CN104333561A CN201410675194.5A CN201410675194A CN104333561A CN 104333561 A CN104333561 A CN 104333561A CN 201410675194 A CN201410675194 A CN 201410675194A CN 104333561 A CN104333561 A CN 104333561A
- Authority
- CN
- China
- Prior art keywords
- message
- check code
- ipv4
- tunnel
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种隧道认证方法及装置,涉及数据通信技术领域,用于解决现有技术进行IPv4到IPv6隧道认证时,隧道认证效率低的问题。本发明所提供的具体实施例包括:IPv4 over IPv6隧道转发模块获取CPE发送的验证报文,并对该验证报文解封装获取验证报文携带的校验码,进而校验码模块检查本地是否存在该校验码,当查找到校验码时,向CGN隧道管理模块发送隧道创建指令,进而CGN隧道管理模块为验证报文创建IPv4 over IPv6隧道。本发明实施例提供的技术方案主要应用于IPv4 over IPv6隧道的创建流程中。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种隧道认证方法及装置。
背景技术
现有DS-Lite(中文全称:轻量级双栈,英文全称:Dual-Stack lite)技术,使用IPv4over IPv6(英文全称:Internet Protocol Version 4 over InternetProtocol Version 6,中文全称:网络协议版本4到网络协议版本6)隧道和NAT(中文全称:网络地址转换,英文全称:Network Address Translation)技术结合,允许CPE(英文全称:Customer Premise Equipment,中文全称:用户端设备)自行向私网侧主机任意分配IPv4地址,使得多个IPv4 CPE私网之间可以共享IPv4地址,从而缓解了当前面临的IPv4地址耗尽问题。而DS-Lite技术的实现方式是:使用IPv4 over IPv6隧道作为CPE和CGN(英文全称为:Carrier-Grade Network Address Translation,中文全称为:运行商级网络地址转换)之间的流量通路,CPE向CGN发起隧道建立,CGN被动接受隧道建立。在这一隧道建立过程中,CGN会接收到虚假的建立请求,而此时CGN建立隧道就会导致CGN受到DOS(英文全称:Denial Of Service,中文全称:拒绝服务)攻击,如果CGN遭受DOS攻击,那么CGN隧道资源耗费严重,从而导致DS-Lite组网将不能正常运行。
现有的DS-Lite抗DOS攻击技术为对IPv4 over IPv6隧道进行隧道接入认证,具体的认证方法依赖第三方系统或者对端CPE配合进行。其中,在通过第三方系统进行隧道接入认证时,由于引入了其它设备不仅额外增加了硬件设备,而且引入了设备间的交互使得认证过程复杂、验证成本高、效率低。而通过CPE配合认证过程中,验证过程必须有CPE参与才能实现,如果CPE拒绝实现或者不具备此验证功能,则CGN无法实现DOS攻击防范,进而导致CGN不能正常通讯。
结合上述的隧道认证过程描述,迫切需要提供一种新的隧道认证方法,在提高认证效率的同时,减少系统开销。
发明内容
本发明的实施例提供一种隧道认证方法及装置,用于解决现有技术进行IPv4到IPv6隧道认证时,隧道认证效率低的问题,提供了一种新的隧道认证方法,在提高认证效率的同时,减少了系统开销。
为达到上述目的,本发明的实施例采用如下技术方案:
一种隧道认证方法,所述方法应用于运行商级网络地址转换CGN,所述CGN至少包括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4 over IPv6隧道转发模块、校验码模块,所述方法包括:
所述IPv4 over IPv6隧道转发模块获取用户端设备CPE发送的验证报文,并对所述验证报文解封装获取所述验证报文携带的校验码;
所述校验码模块获取所述IPv4 over IPv6隧道转发模块发送的所述校验码,并在本地查找是否存在所述校验码;
当所述校验码模块查找到所述校验码时,向所述CGN隧道管理模块发送隧道创建指令;
所述CGN隧道管理模块为所述验证报文创建IPv4 over IPv6隧道。
一种隧道认证装置,所述装置置于运行商级网络地址转换CGN,所述装置至少包括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4 over IPv6隧道转发模块、校验码模块;
所述IPv4 over IPv6隧道转发模块,用于获取用户端设备CPE发送的验证报文,并对所述验证报文解封装获取所述验证报文携带的校验码;
所述校验码模块,用于获取所述IPv4 over IPv6隧道转发模块发送的所述校验码,并在本地查找是否存在所述校验码;
所述校验码模块,还用于当所述校验码模块查找到所述校验码时,向所述CGN隧道管理模块发送隧道创建指令;
所述CGN隧道管理模块,用于为所述验证报文创建IPv4 over IPv6隧道。
本发明实施例提供的一种隧道认证方法及装置,应用于CGN,IPv4 over IPv6隧道转发模块获取CPE发送的验证报文,并对该验证报文解封装获取验证报文携带的校验码,进而校验码模块检查本地是否存在该校验码,当查找到校验码时,向CGN隧道管理模块发送隧道创建指令,进而CGN隧道管理模块为验证报文创建IPv4 over IPv6隧道。现有技术在进行隧道创建时,需要依靠第三方设备进行验证,或需CPE具备验证功能且允许验证实现,使CPE参与隧道的接入认证,这些验证方法必须依赖于除CGN以外的其它设备来完成,操作复杂、验证成本高。本发明实施例提供的技术方案,验证报文中存在校验码,进而通过对校验码的查找来确定是否为验证报文创建隧道,仅通过CGN就可以完成验证,不仅提高了认证效率而且减少了系统开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种隧道认证的方法流程图;
图2为本发明另一实施例提供的一种隧道认证的方法流程图;
图3为本发明另一实施例提供的另一种隧道认证的方法流程图;
图4为本发明另一实施例提供的一种隧道认证装置的结构组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一实施例提供了一种隧道认证方法,这一方法应用于CGN,且CGN至少包括:CGN隧道管理模块、IPv4 over IPv6隧道转发模块、校验码模块,如图1所示,该方法包括:
101、IPv4 over IPv6隧道转发模块获取CPE发送的验证报文,并对验证报文解封装获取验证报文携带的校验码。
其中,验证报文为对新的IPv4报文进行封装形成的报文,封装包括对新的IPv4报文进行IPv6隧道封装,这一新的IPv4报文包括由IPv4头、GRE(英文全称为:Generic Routing Encapsulation,中文全称为:通用路由封装)头、校验码载荷、IPv4乘客报文构成,该校验码载荷中负载有校验码。
在本发明实施例中,该新的IPv4报文可以是“一个IPv4头+一个GRE头+校验码载荷+IPv4乘客报文”构成的报文。
102、校验码模块获取IPv4 over IPv6隧道转发模块发送的校验码,并在本地查找是否存在这一校验码。
103、当校验码模块查找到校验码时,向CGN隧道管理模块发送隧道创建指令。
值得说明的是,当校验码模块查找到校验码时,说明该验证报文对应的新的IPv4报文是由具备IPv4 over IPv6隧道能力的CPE发送出来的报文,该新的IPv4报文对应的流量不是DOS攻击流量。
104、CGN隧道管理模块在接收到创建指令后,为验证报文创建IPv4 overIPv6隧道。
值得说明的是,上述步骤103、104描述的是校验码模块查找到校验码的情况,结合上述步骤102的描述在实际执行过程中,还存在校验码模块未查找到验证报文所携带的校验码的情况,此时说明该新的IPv4报文,不是具备IPv4over IPv6隧道创建能力的CPE发送的,该报文对应的流量是DOS攻击流量,校验码模块向CGN隧道管理模块发送不创建隧道指令,或者校验码模块不向CGN隧道管理模块发送任何指令,则CGN隧道管理模块不为该验证报文对应的流量创建DS-Lite的IPv4 over IPv6隧道,并放弃该验证报文。
本发明实施例提供了一种隧道认证方法,该方法应用于CGN,IPv4 over IPv6隧道转发模块获取CPE发送的验证报文,并对该验证报文解封装获取验证报文携带的校验码,进而校验码模块检查本地是否存在该校验码,当查找到校验码时,向CGN隧道管理模块发送隧道创建指令,进而CGN隧道管理模块为验证报文创建IPv4 over IPv6隧道。现有技术在进行隧道创建时,需要依靠第三方设备进行验证,或需CPE具备验证功能且允许验证实现,使CPE参与隧道的接入认证,这些验证方法必须依赖于除CGN以外的其它设备来完成,操作复杂、验证成本高。本发明实施例提供的技术方案,验证报文中存在校验码,进而通过对校验码的查找来确定是否为验证报文创建隧道,仅通过CGN就可以完成验证,不仅提高了认证效率而且减少了系统开销。
本发明另一实施例提供了一种隧道认证方法,在本实施例中提供了在执行上述步骤101之前执行的方法流程,如图2所示,这一方法流程包括:
201、当CGN隧道管理模块未查找到与CPE对应的IPv4 over IPv6隧道时,将CPE发送的封装报文发送给IPv4 over IPv6隧道转发模块。
其中,封装报文为对IPv4乘客报文进行封装后的报文,这一封装包括对IPv4乘客报文进行IPv6隧道封装。
值得说明的是,本实施例中对CGN隧道管理模块如何查找CPE对应的IPv4over IPv6隧道的流程将在下述步骤301、302中作出详细说明。
202、IPv4 over IPv6隧道转发模块对封装报文解封装,获取到IPv4乘客报文,并获取IPv4乘客报文的源IPv4地址和目的IPv4地址。
其中,IPv4乘客报文的源IPv4地址对应的是CPE私网主机的IP,目的IPv4地址能够在CPE上通过路由命中IPv4 over IPv6隧道出接口。
值得说明的是,在IPv4 over IPv6隧道转发模块对封装报文解封装的同时,还可以执行下述步骤203。
203、IPv4 over IPv6隧道转发模块向校验码模块发送校验码生成指令。
204、校验码模块根据校验码生成指令生成校验码,并在本地存储校验码。
值得说明的是,校验码生成指令触发校验码模块生成校验码,而校验码的生成方式是随机生成,校验码模块会将生成的校验码存储在本地,并将生成的校验码通知给IPv4 over IPv6隧道转发模块,在本地存储时可以作为哈希Hash键值存储在Hash表中。
205、IPv4 over IPv6隧道转发模块根据校验码、IPv4乘客报文、源IPv4地址和目的IPv4地址,生成新的IPv4报文。
206、IPv4 over IPv6隧道转发模块对该新的IPv4报文进行封装得到验证报文,并将该验证报文发送给CPE。
由于该验证报文中的目的IP地址为IPv4乘客报文的目的IPv4地址,这目的地址能够在CPE上通过路由命中IPv4 over IPv6隧道出接口,因此这一验证报文能够重新路由转发入IPv4 over IPv6隧道,发送回CGN,进而执行上述步骤101描述的方法流程。
值得说明的是,为了更为形象的说明本发明实施例中各报文的结构,下述将对个报文的结构分别进行说明:
如表1所示,IPv4乘客报文是包括IPv4头IPv4 Hdr、传输控制协议头TCP(英文全称:Transfer Control Protocol,中文全称:传输控制协议)Hdr、上层数据Up-Layer Data。
表1
| IPv4 Hdr | TCP Hdr | Up-Layer Data |
结合上述描述,封装报文是对IPv4乘客报文进行IPv6隧道封装后的报文,如表2所示,封装报文是包括一个IPv6头和IPv4乘客报文。
表2
| IPv6 Hdr | IPv4 Hdr | TCP Hdr | Up-Layer Data |
结合上述描述,新的IPv4报文是根据IPv4乘客报文、校验码等生成的新的IPv4报文。如表3所示,该新的IPv4报文为:一个IPv4头IPv4 Hdr1+一个GRE头GRE Hdr+校验码载荷Check Code+IPv4乘客报文组成的报文。
表3
结合上述描述,验证报文为新的IPv4报文经过IPv6隧道封装后的报文,即在原新的IPv4报文的基础上进行IPv6隧道头封装,如表4所示,该验证报文包括:一个IPv6头+一个新的IPv4报文。
表4
本发明另一实施例提供了一种隧道认证方法,该方法应用于CGN,且该CGN中至少包括:CGN隧道管理模块、IPv4 over IPv6隧道转发模块、校验码模块。
其中,
CGN隧道管理模块,用于动态创建和删除IPv4 over IPv6隧道,该模块维护IPv4 over IPv6隧道表,能够通过IPv4 over IPv6隧道的隧道ID和CGN内的NAT表关联。
值得说明的是,IPv4 over IPv6隧道表至少包括:CPE IPv6地址、CGN IPv6地址和隧道ID三类参数,可以通过CPE IPv6地址、隧道ID查询该IPv4 over IPv6隧道表,而通过对IPv4 over IPv6隧道表的查询,CGN可以确定是否为CPE发出的IPv4报文对应的流量创建过接入隧道,这里的接入隧道指的是,CPE和CGN之间的用于传输CPE流量的IPv4 over IPv6隧道。比如,当该隧道表中存在CPEIPv6地址时,就确定CGN隧道管理模块已经为该CPE流量创建过接入隧道。
IPv4 over IPv6隧道转发模块,用于针对IPv4乘客报文进行外层IPv6隧道头的封装和解封装,以及封装后报文的转发。
校验码模块,用于生成和检测校验码。
在本实施例中,校验码的生成可以采用随机数生成方式。校验码生成后,将该校验码添加到CGN本地的Hash表中,并使用校验码作为Hash键值。
值得说明的是,生成的校验码存储在CGN本地,将该校验码作为Hash键值,在该CGN再次接收到校验码时,避免了在CGN内部的遍历查找的查找流程,而是将接收到的校验码作为Hash键值,通过Hash键值索引查找CGN存储的校验码,这样就加快了校验码的查找速率。此外,校验码模块还为每个校验码设定生存期,超出该生存期对应的时间或者完成校验处理后,删除该校验码,进而释放该校验码所占用的资源。
结合上述对CGN的描述,如图3所示,本发明实施例提供的隧道认证方法包括:
301、CPE首先将私网主机的IPv4乘客报文进行IPv6隧道头的封装,并将封装后的报文发送给CGN隧道管理模块。
其中,IPv4乘客报文进行IPv6隧道头封装后得到的报文为:在原IPv4乘客报文的基础上添加外层隧道头的IPv6源地址的报文,其中,外层隧道头的IPv6源地址对应上述IPv4 over IPv6隧道表中的CPE IPv6地址。
302、CGN隧道管理模块根据外层隧道头的IPv6源地址,查询本地是否已经为CPE创建了IPv4 over IPv6隧道。
值得说明的是,当在该IPv4over IPv6隧道表中存在这一外层隧道头的IPv6源地址时,则表示已经为该CPE创建了IPv4 over IPv6隧道,且当确定为CPE创建了IPv4 over IPv6隧道时,执行下述步骤303,当确定没有为CPE创建IPv4over IPv6隧道时,执行下述步骤304-步骤307。
303、当CGN隧道管理模块查询到CPE对应的IPv4 over IPv6隧道时,CGN的IPv4 over IPv6隧道转发模块将步骤301接收到的封装后的报文解封装,还原为IPv4乘客报文。
结合该步骤303的描述,当查询到CPE对应的IPv4 over IPv6隧道时,CGN隧道管理模块对NAT表进行修改,将隧道ID一类参数,添加到NAT表中,以使得IPv4乘客报文能够通过NAT表快速找到与这一报文对应的IPv4 over IPv6隧道,进而完成IPv4乘客报文转发。
304、当CGN隧道管理模块没有查询到CPE对应的IPv4 over IPv6隧道时,CGN的IPv4 over IPv6隧道转发模块将步骤301接收到的封装后的报文解封装,还原为IPv4乘客报文,取出IPv4乘客报文的源IPv4地址和目的IPv4地址,并同时向校验码模块发送校验码生成指令,该指令指示校验码模块生成校验码。
值得说明的是,在校验码模块将校验码生成的校验码存入本地Hash表,并通过定时器老化校验码。当校验码被使用之后,或者根据定时器的设置校验码过期之后,将校验码删除以释放该校验码所占用的资源。
305、IPv4 over IPv6隧道转发模块构造新的IPv4报文,并对该新的IPv4报文进行IPv6隧道头的封装形成验证报文,并将该验证报文发送给CPE。
其中,涉及的新的IPv4报文是由一个IPv4头+一个GRE头+校验码载荷+IPv4乘客报文四种结构组成的报文。在该新的IPv4报文的结构中,IPv4头的源地址为上述步骤304中提取的源IPv4地址,目的地址为上述步骤304中提取的目的IPv4地址。
306、CPE接收到上述步骤305的验证报文后,对这一验证报文进行解隧道封装,还原验证报文为新的IPv4报文。
值得说明的是,由于该步骤306涉及的新的IPv4报文的源IP地址是CPE内网的主机IP地址,目的IP地址能够在CPE上通过路由命中IPv4 over IPv6隧道出接口,因此这个新的IPv4报文会重新路由,转发入IPv4 over IPv6隧道,发送回CGN。
307、CGN接收到CPE回复的新的IPv4报文后,由IPv4 over IPv6隧道转发模块解隧道封装并提取校验码,将获取到的校验码发送给校验码模块。
进一步的在校验码模块接收到上述从新的IPv4报文中提取的校验码之后,会判断该校验码是都为本地存储的校验码,且具体的判断流程包括如下两个步骤:
第一步:当校验码模块在本地查询到此校验码,则说明该新的IPv4报文对应的流量不是DOS攻击流量,校验码模块向CGN隧道管理模块发送隧道创建指令,CGN隧道管理模块为该报文对应的流量创建DS-Lite的IPv4 over IPv6隧道,且该CGN隧道管理模块将该创建的隧道和NAT表建立联动表项,在Hash表中删除对应的校验码。
值得说明的是,在本实施例中,将创建的隧道和NAT表建立联动表项,实际表示为,对NAT表项进行修改,将已建立隧道的隧道ID添加到NAT表中,从而实现创建的隧道与NAT表项的联动表项建立完成,该建立联动表项的流程与上述步骤303描述的对NAT表进行修改的过程相关内容相同,在此不再重复说明。
第二步:当校验码模块未在本地查询到此校验码,则说明该新的IPv4报文对应的流量是DOS攻击流量,校验码模块向CGN隧道管理模块发送不创建隧道指令,则CGN隧道管理模块不为该报文对应的流量创建DS-Lite的IPv4 overIPv6隧道,不和NAT建立联动表项,并放弃该第二步中的新的IPv4报文。
值得说明的是,结合上述对如图3所示方法流程的描述,保证了每一个到达CGN的触发隧道建立的报文,都是由具备IPv4 over IPv6隧道能力的CPE发送出来的报文,不是由攻击者肆意构造的报文,从而使CGN避免了DOS攻击。
本发明另一实施例提供了一种隧道认证装置,该装置置于CGN,如图4所示,该装置包括:CGN隧道管理模块41、IPv4 over IPv6隧道转发模块42、校验码模块43。
IPv4 over IPv6隧道转发模块42,用于获取CPE发送的验证报文,并对该验证报文解封装获取验证报文携带的校验码。
其中,验证报文为对新的IPv4报文进行封装形成的报文,封装包括对新的IPv4报文进行IPv6隧道封装,这一新的IPv4报文包括由IPv4头、GRE头、校验码载荷、IPv4乘客报文构成,该校验码载荷中负载有校验码。
校验码模块43,用于获取IPv4 over IPv6隧道转发模块42发送的校验码,并在本地查找是否存在校验码。
校验码模块43,还用于当校验码模块43查找到校验码时,向CGN隧道管理模块41发送隧道创建指令。
CGN隧道管理模块41,用于为验证报文创建IPv4 over IPv6隧道。
在本装置的一种可选构成方式中,CGN隧道管理模块41,用于当未查找到与CPE对应的IPv4 over IPv6隧道时,将CPE发送的封装报文发送给IPv4 overIPv6隧道转发模块42。
其中,封装报文为对IPv4乘客报文进行封装后的报文。
IPv4 over IPv6隧道转发模块42,用于对封装报文解封装,获取到IPv4乘客报文,并获取IPv4乘客报文的源IPv4地址和目的IPv4地址。
IPv4 over IPv6隧道转发模块42,还用于在IPv4 over IPv6隧道转发模块42对封装报文解封装的同时,向校验码模块43发送校验码生成指令。
校验码模块43,用于根据校验码生成指令生成校验码,并在本地存储该校验码。
IPv4 over IPv6隧道转发模块42,用于根据校验码、IPv4乘客报文、源IPv4地址和目的IPv4地址,生成新的IPv4报文,并对该新的IPv4报文进行封装得到验证报文,并将该验证报文发送给CPE。
本发明如图4所示的装置用于实现上述如图1至3所示的方法流程。
本发明提供了一种隧道认证装置,该装置置于CGN,IPv4 over IPv6隧道转发模块获取CPE发送的验证报文,并对该验证报文解封装获取验证报文携带的校验码,进而校验码模块检查本地是否存在该校验码,当查找到校验码时,向CGN隧道管理模块发送隧道创建指令,CGN隧道管理模块为验证报文创建IPv4over IPv6隧道。现有技术在进行隧道创建时,需要依靠第三方设备进行验证,或需CPE具备验证功能且允许验证实现,使CPE参与隧道的接入认证,这些验证方法必须依赖于除CGN以外的其它设备来完成,操作复杂、验证成本高。本发明实施例提供的技术方案,验证报文中存在校验码,进而通过对校验码的查找来确定是否为验证报文创建隧道,仅通过CGN就可以完成验证,不仅提高了认证效率而且减少了系统开销。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种隧道认证方法,所述方法应用于运行商级网络地址转换CGN,其特征在于,所述CGN至少包括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4over IPv6隧道转发模块、校验码模块,所述方法包括:
所述IPv4over IPv6隧道转发模块获取用户端设备CPE发送的验证报文,并对所述验证报文解封装获取所述验证报文携带的校验码;
所述校验码模块获取所述IPv4over IPv6隧道转发模块发送的所述校验码,并在本地查找是否存在所述校验码;
当所述校验码模块查找到所述校验码时,向所述CGN隧道管理模块发送隧道创建指令;
所述CGN隧道管理模块为所述验证报文创建IPv4over IPv6隧道。
2.根据权利要求1所述的方法,其特征在于,
所述验证报文为对新的IPv4报文进行封装形成的报文;
所述新的IPv4报文包括由IPv4头、通用路由封装GRE头、校验码载荷、IPv4乘客报文构成,所述校验码载荷中负载有所述校验码。
3.根据权利要求2所述的方法,其特征在于,在所述IPv4over IPv6隧道转发模块获取CPE发送的验证报文之前,所述方法还包括:
当所述CGN隧道管理模块未查找到与所述CPE对应的IPv4over IPv6隧道时,将所述封装报文发送给所述IPv4over IPv6隧道转发模块,所述封装报文为对所述IPv4乘客报文进行封装后的报文;
所述IPv4over IPv6隧道转发模块对所述封装报文解封装,获取到所述IPv4乘客报文,并获取所述IPv4乘客报文的源IPv4地址和目的IPv4地址。
4.根据权利要求3所述的方法,其特征在于,在所述IPv4over IPv6隧道转发模块对所述封装报文解封装的同时,所述方法还包括:
所述IPv4over IPv6隧道转发模块向所述校验码模块发送校验码生成指令;
所述校验码模块根据所述校验码生成指令生成所述校验码,并在本地存储所述校验码。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述IPv4over IPv6隧道转发模块根据所述校验码、所述IPv4乘客报文、所述源IPv4地址和所述目的IPv4地址,生成所述新的IPv4报文,并对所述新的IPv4报文进行封装得到所述验证报文,并将所述验证报文发送给所述CPE。
6.一种隧道认证装置,所述装置置于运行商级网络地址转换CGN,其特征在于,所述装置至少包括:CGN隧道管理模块、网络协议版本4到网络协议版本6IPv4over IPv6隧道转发模块、校验码模块;
所述IPv4over IPv6隧道转发模块,用于获取用户端设备CPE发送的验证报文,并对所述验证报文解封装获取所述验证报文携带的校验码;
所述校验码模块,用于获取所述IPv4over IPv6隧道转发模块发送的所述校验码,并在本地查找是否存在所述校验码;
所述校验码模块,还用于当所述校验码模块查找到所述校验码时,向所述CGN隧道管理模块发送隧道创建指令;
所述CGN隧道管理模块,用于为所述验证报文创建IPv4over IPv6隧道。
7.根据权利要求6所述的装置,其特征在于,
所述验证报文为对新的IPv4报文进行封装形成的报文;
所述新的IPv4报文包括由IPv4头、通用路由封装GRE头、校验码载荷、IPv4乘客报文构成,所述校验码载荷中负载有所述校验码。
8.根据权利要求7所述的装置,其特征在于,
所述CGN隧道管理模块,用于当未查找到与所述CPE对应的IPv4over IPv6隧道时,将所述CPE发送的封装报文发送给所述IPv4over IPv6隧道转发模块,所述封装报文为对所述IPv4乘客报文进行封装后的报文;
所述IPv4over IPv6隧道转发模块,用于对所述封装报文解封装,获取到所述IPv4乘客报文,并获取所述IPv4乘客报文的源IPv4地址和目的IPv4地址。
9.根据权利要求8所述的装置,其特征在于,
所述IPv4over IPv6隧道转发模块,还用于在所述IPv4over IPv6隧道转发模块对所述封装报文解封装的同时,向所述校验码模块发送校验码生成指令;
所述校验码模块,用于根据所述校验码生成指令生成所述校验码,并在本地存储所述校验码。
10.根据权利要求9所述的装置,其特征在于,
所述IPv4over IPv6隧道转发模块,用于根据所述校验码、所述IPv4乘客报文、所述源IPv4地址和所述目的IPv4地址,生成所述新的IPv4报文,并对所述新的IPv4报文进行封装得到所述验证报文,并将所述验证报文发送给所述CPE。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410675194.5A CN104333561A (zh) | 2014-11-21 | 2014-11-21 | 一种隧道认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410675194.5A CN104333561A (zh) | 2014-11-21 | 2014-11-21 | 一种隧道认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104333561A true CN104333561A (zh) | 2015-02-04 |
Family
ID=52408212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410675194.5A Pending CN104333561A (zh) | 2014-11-21 | 2014-11-21 | 一种隧道认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104333561A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020032877A1 (en) * | 2018-08-08 | 2020-02-13 | Turkcell Teknoloji Arastirma Ve Gelistirme Anonim Sirketi | An architecture for managing ipv4 based customer premisses equipments through ipv6 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100128736A1 (en) * | 2008-11-27 | 2010-05-27 | Fujitsu Limited | Packet processing apparatus, network equipment and packet processing method |
| CN101753673A (zh) * | 2009-12-25 | 2010-06-23 | 深圳市杰普林数码科技有限公司 | 电话号码分段显示系统和方法 |
| CN102938736A (zh) * | 2012-11-20 | 2013-02-20 | 杭州迪普科技有限公司 | 一种实现IPv4报文穿越IPv6网络的方法和设备 |
| CN103067411A (zh) * | 2013-01-23 | 2013-04-24 | 杭州华三通信技术有限公司 | 防止DS-Lite组网中的DoS攻击方法和装置 |
| US20140283030A1 (en) * | 2013-03-15 | 2014-09-18 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
-
2014
- 2014-11-21 CN CN201410675194.5A patent/CN104333561A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100128736A1 (en) * | 2008-11-27 | 2010-05-27 | Fujitsu Limited | Packet processing apparatus, network equipment and packet processing method |
| CN101753673A (zh) * | 2009-12-25 | 2010-06-23 | 深圳市杰普林数码科技有限公司 | 电话号码分段显示系统和方法 |
| CN102938736A (zh) * | 2012-11-20 | 2013-02-20 | 杭州迪普科技有限公司 | 一种实现IPv4报文穿越IPv6网络的方法和设备 |
| CN103067411A (zh) * | 2013-01-23 | 2013-04-24 | 杭州华三通信技术有限公司 | 防止DS-Lite组网中的DoS攻击方法和装置 |
| US20140283030A1 (en) * | 2013-03-15 | 2014-09-18 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020032877A1 (en) * | 2018-08-08 | 2020-02-13 | Turkcell Teknoloji Arastirma Ve Gelistirme Anonim Sirketi | An architecture for managing ipv4 based customer premisses equipments through ipv6 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101572643B (zh) | 实现私网之间转发数据的方法和系统 | |
| CN104811371B (zh) | 一种全新的即时通信系统 | |
| CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
| Ullrich et al. | {IPv6} Security: Attacks and Countermeasures in a Nutshell | |
| CN102970386B (zh) | 一种实现IPv6报文穿越IPv4网络的方法和设备 | |
| CN102148767A (zh) | 一种基于nat的数据路由方法及其装置 | |
| CN102938736B (zh) | 一种实现IPv4报文穿越IPv6网络的方法和设备 | |
| CN102739684B (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
| CN101217482A (zh) | 一种穿越nat下发策略的方法和一种通信装置 | |
| CN105163062B (zh) | 一种将社会资源接入到公共平台的系统及方法 | |
| CN106899500A (zh) | 一种跨虚拟可扩展局域网的报文处理方法及装置 | |
| CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
| CN109274588A (zh) | Ip报文的处理方法及装置 | |
| CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
| CN103067411B (zh) | 防止DS-Lite组网中的DoS攻击方法和装置 | |
| Kantola | 6G network needs to support embedded trust | |
| CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| CN102201996B (zh) | 网络地址转换环境中报文转发的方法及设备 | |
| CN107659930A (zh) | 一种ap接入控制方法和装置 | |
| CN106161115A (zh) | 一种应用于vxlan的设备管理方法及装置 | |
| CN106533984B (zh) | 一种社会资源的接入方法及装置 | |
| Kang et al. | Defense technique against spoofing attacks using reliable ARP table in cloud computing environment | |
| CN104579939A (zh) | 网关的保护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150204 |
|
| RJ01 | Rejection of invention patent application after publication |