CN114765601A - 一种地址前缀获取方法及装置 - Google Patents

Abstract

本申请实施例公开了一种地址前缀获取方法及装置，地址分配设备根据地址请求设备发送用于请求第一前缀信息的第一请求报文，向地址请求设备发送包括第一前缀信息和第一生存时间的第一响应报文，其中，第一生存时间指示第一前缀信息的有效时长。地址分配设备接收地址请求设备发送包括认证信息的第二请求报文，并根据认证信息对地址请求设备认证。认证通过后，向地址请求设备发送包括第二生存时间的第二响应报文，该第二生存时间大于第一生存时间。即，地址请求设备在请求第一前缀信息时，在未对地址请求设备进行认证之前，地址分配设备先分配较短的生存时间，即第一生存时间。当地址请求设备认证通过后，再分配正常生存时间，即第二生存时间。

Description

一种地址前缀获取方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种地址前缀获取方法及装置。

背景技术

以太网承载互联网协议(internet protocol over ethernet，IPoE)是一种常见的宽带接入认证方式，主要采用绑定认证完成主机的认证，其中绑定认证是指使用主机连接的物理信息进行认证。也就是，用户在采用IPoE方式上网时，无需输入用户名和密码，接入设备可以根据请求上网信息中的选项字段(option)、媒体接入层(MAC)等信息生成用户名，并结合自身配置的默认密码进行认证，对认证通过的合法用户分配地址。

在IPoE接入场景下，第六版因特网协议(Internet Protocol version 6，IPv6)地址对应两种地址分配方式，一种是无状态地址分配，即采用邻居发现(neighbordiscovery，ND)协议分配的IPv6地址的地址前缀。另一种是有状态地址分配，即采用第六版动态主机配置协议(Dynamic Host Configuration Protocol version 6，DHCPv6)协议分配IPv6地址以及地址前缀。在地址请求设备通过DHCPv6协议请求地址时，地址分配设备在接收到DHCPv6请求报文时，地址分配设备可以根据请求报文中的选项字段，例如option18/option37进行认证，在认证通过的情况下，地址分配设备为地址请求设备分配IPv6前缀。

然而，在一些应用场景下，如地址请求设备采用ND+PD方式请求地址时，其中，地址请求设备通过DHCPv6协议获取IPv6地址的前缀，并根据该前缀为(local area network，LAN)侧主机分配IPv6地址，此外，地址请求设备还可以通过ND协议获取IPv6地址前缀，以根据该IPv6地址前缀获得(wide area network，WAN)侧地址，即自身对应的地址。然而ND认证存在很多局限性，在一些应用场景下，如地址请求设备为机顶盒时，ND协议报文无法携带有效认证信息，导致未经授权的用户可以直接采用ND协议获取的IPv6地址访问网络，存在安全隐患。

发明内容

本申请实施例提供了一种地址前缀获取方法及装置，可以实现在为地址请求设备分配地址前缀时进行有效认证，防止非法用户的登录，提高网络安全性。

在本申请实施例的第一方面，提供了一种地址前缀获取方法，所述方法包括：地址请求设备为获取IPv6地址，向地址分配设备发送第一请求报文，该第一请求报文用于请求第一前缀信息。地址分配设备接收地到第一请求报文后，为地址请求设备分配第一前缀信息，并向地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息和第一生存时间。其中，第一生存时间用于指示所述第一前缀信息的有效时长。地址请求设备在接收到第一响应报文后，生成第二请求报文，并发送给地址分配设备。其中，第二请求报文包括认证信息，该认证信息用于地址分配设备对地址请求设备的合法性进行认证。地址分配设备根据第二请求报文对地址请求设备进行合法性，在地址请求设备认证通过后，地址分配设备向地址请求设备发送第二响应报文，第二响应报文包括第二生存时间，该第二生存时间用于指示第一前缀信息的有效时长，且第二生存时间大于第一生存时间。

在该实现方式中，地址请求设备在请求第一前缀信息时，在未对地址请求设备进行合法性认证之前，地址分配设备先为地址请求设备分配暂时有效的第一前缀信息。当地址分配设备通过地址请求设备发送的包括认证信息的第二请求报文对地址请求设备认证通过后，再向地址请求设备分配第二生存时间，该第二生存时间为正常生存时间。

在一种具体的实施方式中，第一前缀信息用于地址请求设备根据第一前缀信息生成第一IPv6地址，第一IPv6地址为所述地址请求设备的地址。在该实现方式中，地址请求设备在接收到第一响应报文后，可以根据第一响应报文中所包括的第一前缀信息以及自身对应的接口标识生成第一IPv6地址，以利用该第一IPv6地址访问网络。

在一种具体的实施方式中，第二请求报文用于请求第二前缀信息，所述方法还包括：所述地址分配设备在对所述地址请求设备认证通过后，所述地址分配设备向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。在该实现方式中，地址请求设备通过第二请求报文请求第二前缀信息，该第二前缀信息用于地址请求设备为其对应的用户设备分配IPv6地址。

在一种具体的实施方式中，第三响应报文还包括第三生存时间，该第三生存时间用于指示第二前缀信息的有效时长。

在一种具体的实施方式中，第二前缀信息用于生成第二IPv6地址，第二IPv6地址为地址请求设备所对应的用户设备的地址。在该实现方式中，地址请求设备在获取到第二前缀信息时，可以将根据第二前缀信息为所连接的主机分配地址前缀，进而使得各主机可以根据所分配的地址前缀获取IPv6地址。或者，地址请求设备根据各个主机所对应的接口标识以及第二前缀信息生成第二IPv6地址，以为其对应的各个主机分配IPv6地址。

在一种具体的实施方式中，第二响应报文还包括第三前缀信息，第三前缀信息用于地址请求设备将第一前缀信息替换为第三前缀信息，第二生存时间用于指示第三前缀信息的有效时长。在该实现方式中，在地址请求设备认证通过后，地址分配设备还可以重新为地址请求设备分配新的前缀信息，即第三前缀信息，以使得地址请求设备根据第三前缀信息以及接口标识生成自身对应的IPv6地址。

在一种具体的实施方式中，地址请求设备与地址分配设备之间使用邻居发现ND协议发送所述第一请求报文，地址请求设备与地址分配设备之间使用第六版互联网协议动态主机配置协议DHCPv6发送第二请求报文。

在一种具体的实施方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种具体的实施方式中，所述地址请求设备为客户端设备CPE，所述地址分配设备为宽带接入服务器BRAS或者为DHCPv6服务器。

在本申请实施例的第二方面，提供了一种地址前缀获取方法，所述方法包括：地址分配设备接收地址请求设备发送的第一请求报文，该第一请求报文用于请求第一前缀信息；地址分配设备向地址请求设备发送第一响应报文，该第一响应报文包括指示信息，其中，指示信息用于指示地址请求设备发送第二请求报文；地址分配设备接收地址请求设备发送的第二请求报文，该第二请求报文包括认证信息，其中，认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；在地址分配设备对地址请求设备认证通过后，地址分配设备向地址请求设备发送第二响应报文，该第二响应报文包括第一前缀信息。

在该实现方式中，地址分配设备在接收到地址请求设备发送的用于请求第一前缀信息的第一请求报文后，并未向地址请求设备发送包括第一前缀信息的第一响应报文，而是发送的包括指示信息的第一响应报文，该指示信息用于指示地址请求设备发送第二请求报文，以使得地址分配设备可以根据第二请求报文中所携带的认证信息对地址请求设备的合法性进行认证，当认证通过后，再为地址请求设备分配第一前缀信息，从而使得地址请求设备可以根据第一前缀信息生成IPv6地址，进而使得地址请求设备可以利用该IPv6地址访问网络，提高网络安全性。

在一种具体的实施方式中，第二响应报文中还可以包括第二生存时间，该第二生存时间用于指示第一前缀信息的有效时长。

在一种具体的实施方式中，所述第一响应报文为路由器应答RA报文，所述指示信息携带在所述RA报文新增的扩展团体属性字段中。

在一种具体的实施方式中，在地址分配设备向地址请求设备发送第二响应报文之前，所述方法还包括：地址分配设备接收地址请求设备发送的第三请求报文，第三请求报文用于请求所述第一前缀信息。在该实现方式中，由于地址请求设备在发送第一请求报文时，地址分配设备并未为其分配第一前缀信息，因此，地址请求设备可以在获取第一前缀信息之前，反复向地址分配设备发送用于请求第一前缀信息的请求报文，如第三请求报文，以使得地址分配设备根据第三请求报文向地址分配设备发送包括第一前缀信息的第二响应报文。

在一种具体的实施方式中，所述第一前缀信息用于地址请求设备根据第一前缀信息生成第一IPv6地址，该第一IPv6地址为地址请求设备的地址。

在一种具体的实施方式中，第二请求报文用于请求第二前缀信息，所述方法还包括：地址分配设备在对所述地址请求设备认证通过后，地址分配设备述地址请求设备发送第三响应报文，第三响应报文包括所述第二前缀信息。在该实现方式中，第二请求报文不仅可以用于对地址请求设备认证，还可以用于请求第二前缀信息。

在一种具体的实施方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种具体的实施方式中，所述地址请求设备与所述地址分配设备之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述地址分配设备之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种具体的实施方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种具体的实施方式中，所述地址请求设备为客户端设备CPE，所述地址分配设备为宽带接入服务器BRAS或DHCPv6服务器。

在本申请实施例第三方面，提供了一种地址前缀获取方法，所述方法包括：地址分配设备接收地址请求设备发送的第一请求报文，该第一请求报文用于请求第一前缀信息；地址分配设备将地址请求设备的访问权限配置为第一权限，该第一权限表示地址请求设备利用第一前缀信息访问网络时所具备的第一访问权限；所述地址分配设备向地址请求设备发送第一响应报文，该第一响应报文包括第一前缀信息；地址分配设备接收地址请求设备发送的第二请求报文，该第二请求报文包括认证信息，该认证信息用于地址分配设备对地址请求设备的合法性进行认证；在地址分配设备对地址请求设备认证通过后，地址分配设备将地址请求设备的访问权限配置为第二权限，该第二权限表示地址请求设备利用第一前缀信息访问网络时所具备的第二访问权限，该第二访问权限高于第一访问权限。

在该实现方式中，在地址请求设备向地址分配设备请求第一前缀信息时，地址分配设备为该地址请求设备分配第一前缀信息，但将该地址请求设备的访问权限设置为第一权限，即只能访问有限网络，在地址分配设备根据第二请求报文中的认证信息对地址请求设备认证通过后，地址分配设备将地址请求设备的访问权限由第一权限更新为第二权限，即使得地址请求设备拥有正常的网络访问权限。也就是，地址分配设备在未对地址设备的合法性进行认证之前，只赋予地址请求设备有限的网络访问权限，当认证通过后，再赋予地址请求设备较大的网络访问权限，从而通过设置权限的方式保证网络安全。

在一种具体的实施方式中，地址分配设备将所述地址请求设备的访问权限配置为第一权限，包括：地址分配设备将地址请求设备对应的用户组配置为第一用户组，其中，第一用户组的访问权限为第一权限。

在一种具体的实施方式中，地址分配设备将地址请求设备的访问权限配置为第二权限，包括：地址分配设备将地址请求设备对应的用户组由第一用户组修改为第二用户组，其中，第二用户组的访问权限为第二权限。

在该实现方式中，地址分配设备可以在本地设置具有不同网络访问权限的用户组，即第一用户组和第二用户组。在未对地址请求设备进行认证之前，将地址请求设备配置为第一用户组，使得地址请求设备利用第一前缀信息只能访问有限网络。在地址请求设备认证通过后，将地址请求设备更新为第二用户组，使得地址请求设备利用第一前缀信息可以正常访问网络，从而通过赋予不同权限的方式提升网络安全。

在一种具体的实施方式中，第一响应报文还可以包括第二生存时间，该第二生存时间用于指示第一前缀信息的有效时长。

在一种具体的实施方式中，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

在一种具体的实施方式中，所述第二请求报文用于请求第二前缀信息，所述方法还包括：所述地址分配设备在对所述地址请求设备认证通过后，所述地址分配设备向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第二前缀信息。

在一种具体的实施方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种具体的实施方式中，所述地址请求设备与所述地址分配设备之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述地址分配设备之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种具体的实施方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种具体的实施方式中，所述地址请求设备为客户端设备CPE，所述地址分配设备为宽带接入服务器BRAS或DHCPv6服务器。

在本申请实施例的第四方面，提供了一种地址前缀获取装置，所述装置包括：接收单元，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；发送单元，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息和第一生存时间，所述第一生存时间用于指示所述第一前缀信息的有效时长；所述接收单元，还用于接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括第二生存时间，所述第二生存时间用于指示所述第一前缀信息的有效时长，所述第二生存时间大于所述第一生存时间。

在一种具体的实施方式中，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

在一种具体的实施方式中，所述第二请求报文用于请求第二前缀信息，所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。

在一种具体的实施方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种具体的实施方式中，所述第二响应报文还包括第三前缀信息，所述第三前缀信息用于所述地址请求设备将所述第一前缀信息替换为所述第三前缀信息，所述第二生存时间用于指示所述第三前缀信息的有效时长。

在一种具体的实施方式中，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种具体的实施方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种具体的实施方式中，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或者为DHCPv6服务器。

在本申请实施例第五方面，提供了一种地址前缀获取装置，所述装置包括：接收单元，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；发送单元，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括指示信息，所述指示信息用于指示所述地址请求设备发送第二请求报文；所述接收单元，还用于接收所述地址请求设备发送的所述第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第一前缀信息。

在一种具体的实施方式中，所述第一响应报文为路由器应答RA报文，所述指示信息携带在所述RA报文新增的扩展团体属性字段中。

在一种具体的实施方式中，所述接收单元，还用于在所述发送单元向所述地址请求设备发送第二响应报文之前，接收所述地址请求设备发送的第三请求报文，所述第三请求报文用于请求所述第一前缀信息。

在一种具体的实施方式中，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

在一种具体的实施方式中，所述第二请求报文用于请求第二前缀信息，所述发送单元，还用于在对所述地址请求设备认证通过后，向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。

在一种具体的实施方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种具体的实施方式中，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种具体的实施方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种具体的实施方式中，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或DHCPv6服务器。

在本申请实施例第六方面，提供了一种地址前缀获取装置，所述装置包括：接收单元，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；处理单元，用于将所述地址请求设备的访问权限配置为第一权限，所述第一权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第一访问权限；发送单元，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息；所述接收单元，还用于接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；所述处理单元，还用于在所述地址请求设备认证通过后，将所述地址请求设备的访问权限配置为第二权限，所述第二权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第二访问权限，所述第二访问权限高于所述第一访问权限。

在一种具体的实施方式中，所述处理单元，具体用于将所述地址请求设备对应的用户组配置为第一用户组，所述第一用户组的访问权限为所述第一权限。

在一种具体的实施方式中，所述处理单元，具体用于将所述地址请求设备对应的用户组由所述第一用户组修改为第二用户组，所述第二用户组的访问权限为所述第二权限。

在一种具体的实施方式中，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

在一种具体的实施方式中，所述第二请求报文用于请求第二前缀信息，所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第二前缀信息。

在一种具体的实施方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种具体的实施方式中，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种具体的实施方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种具体的实施方式中，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或DHCPv6服务器。

在本申请实施例第七方面，提供了一种通信设备，所述设备包括：处理器和存储器；所述存储器，用于存储指令或计算机程序；所述处理器，用于执行所述存储器中的所述指令或计算机程序，以使得所述通信设备执行第一方面、第二方面或第三方面所述的方法。

在本申请实施例第八方面，提供了一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行以上第一方面、第二方面或第三方面所述的方法。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种应用场景示意图；

图2为本申请实施例提供的一种地址前缀获取方法流程图；

图3a为本申请实施例提供的一种RA报文结构示意图；

图3b为本申请实施例提供的一种扩展团体属性结构示意图；

图4为本申请实施例提供的另一种地址前缀获取方法流程图；

图5为本申请实施例提供的又一种地址前缀获取方法流程图；

图6为本申请实施例提供的一种地址前缀获取装置结构图；

图7为本申请实施例提供的另一种地址前缀获取装置结构图；

图8为本申请实施例提供的又一种地址前缀获取装置结构图；

图9为本申请实施例提供的一种通信设备结构图；

图10为本申请实施例提供的另一种通信设备结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。

为便于理解本申请实施例的具体实现，下面将先对本申请实施例涉及的技术和网元进行说明。

在IPv6网络中，IPoE终端设备可以通过两种方式获取IPv6地址，一种是无状态(stateless)地址分配，在该方式中，终端设备与路由器之间通过ND协议交互路由器请求(router solicitation，RS)报文和路由器应答(router advertisement，RA)报文，以从RA报文中获取前缀(prefix)信息，进而终端设备根据前缀信息以及自身的接口标识获得IPv6地址。另一种是有状态(stateful)地址分配，在该方式中，终端设备与路由器采用DHCPv6协议完成DHCPv6报文交互，该DHCPv6报文中可以包括认证信息，路由器可以根据认证信息对终端设备的合法性进行认证，在认证通过后，路由器为终端设备分配IPv6地址/前缀以及其他网络配置参数。需要说明的是，有状态地址分配和无状态地址分配并不是相互独立的，二者可以同时存在，也就是终端设备上可以同时出现通过RA生成的IPv6地址以及通过DHCPv6获得的IPv6地址。

其中，无状态地址分配和有状态地址分配过程如下：

1)终端设备在启动后，使用本地链路前缀，例如FE80::0，以及本地接口标识生成本地链路地址。其中，本地接口标识为终端设备根据预设规则自动生成的标识，其生成的本地接口标识可能与其他终端设备的接口标识相同。

2)终端设备对本地链路地址执行重复地址检测(duplicate address detection，DAD)，即在广播域内发送邻居请求(neighbor solicitation，NS)报文。若终端设备可以接收邻居设备发送的邻居通告(neighbor advertisement，NA)报文，说明本地链路地址冲突，终端设备需要重新生成接口标识，并根据接口标识和本地链路前缀生成本地链路地址，再次执行DAD检测，直至本地链路地址不冲突为止。

3)终端设备向路由器发送路由器请求(router solicitation，RS)报文，该RS报文用于请求前缀信息，该RS报文中的源媒体接入控制层(media access control，MAC)地址为本地链路地址。

4)路由器根据RS报文向终端设备发送路由器应答(router advertisement，RA)报文，其中RA报文中可以携带前缀信息。

5)终端设备接收到RA报文后，若RA报文中指定使用无状态方式获取IPv6地址，则利用RA报文中的前缀信息以及本地接口标识生成全球单播地址。终端设备在获取到全球单播地址后，对该全球单播地址进行DAD检测，以保证该全球单播地址在链路上是唯一存在的。

6)若RA报文中指定使用有状态方式获取IPv6地址，则终端设备向路由器发送DHCPv6请求报文。

7)路由器向终端设备发送DHCPv6响应报文，该响应报文中可以包括IPv6地址、前缀以及其他配置信息等。

在实际应用中，路由器可以通过配置RA报文的标志(flag)字段来指示终端设备通过无状态方式获取IPv6地址，或通过有状态方式获取IPv6地址。具体地RA包括自主标志(autonomous flag，A)字段、托管标志(managed flag，M)字段和其他标志(other flag，O)字段。其中，A标志字段标识是否配置无状态IP。当A标志字段为on时(对应bit位为1)，表示终端设备应当根据RA报文中的前缀自动生成IPv6地址(终端设备通过DAD保证所生成的IPv6地址可用)；当A标志字段为off时(对应bit位为0)，表示终端设备不应当根据RA报文中的前缀自动生成IPv6地址。其中，M标志字段标识是否配置有状态IP，该字段为RA报文中的全局参数。当M标志字段为on时(对应bit位为1)，表示终端设备在结束无状态地址分配流程后，开始有状态地址分配流量，即告知终端设备可以通过DHCPv6协议获得IPv6地址；当M标志字段为off时(对应bit位为0)，表示终端设备不能通过DHCPv6协议获得IPv6地址。其中，O标志字段用于表示是否通过DHCPv6协议获得除IPv6地址以外的其他参数，该字段为RA报文中的全局参数。需要说明的是，仅当M标志字段为off时，该字段才被读取。

DHCPv6前缀代理(dhcpv6 prefix delegation，DHCPv6-PD)是一种前缀分配机制，在RFC3633得以标准化。通过DHCPv6-PD，终端设备不需要为用户侧主机指定IPv6地址前缀，只需向路由器提出前缀分配申请，路由器便可以分配地址前缀给终端设备。终端设备在获得地址前缀后，根据该地址前缀为用户侧的主机分配地址前缀，进而使得主机根据所分配的地址前缀生成IPv6地址。

在一些应用场景下，终端设备需要通过ND+PD方式接入网络，传统的ND+PD方式如下所述：

1)终端设备接口启动，根据本地链路前缀和接口标识生成一个有效的本地链路地址。

2)终端设备发送RS报文，该RS报文中包括本地链路地址，用于请求前缀信息。

3)路由器接收到RS报文后，向终端设备发送RA报文，该RA报文包括前缀信息和生存时间。

4)终端设备根据RA报文中的前缀信息生成IPv6地址。

5)终端设备向路由器发送DHCPv6请求报文。

6)路由器向终端设备发送DHCPv6响应报文，该响应报文包括IPv6地址和前缀信息。

通过上述过程可知，终端设备在通过无状态方式获取IPv6地址时，由于RS报文中无法携带有效认证信息，导致路由器直接给未认证的终端设备分配前缀信息。未经认证的终端设备可以利用生成的IPv6地址直接访问网络，导致网络存在安全隐患。

基于此，本申请实施例提供一种地址前缀获取方法，在地址请求设备通过ND方式获取第一前缀信息时，地址分配设备可以为地址请求设备分配第一前缀信息，但该第一前缀信息的生存时间为暂时生存时间，即使得地址请求设备通过第一前缀信息可以获得一个短时有效的IPv6地址。当地址请求设备通过PD方式认证通过后，地址分配设备为地址请求设备分配一个正常的生存时间。或者，地址分配设备暂不响应地址请求设备对于第一前缀信息的请求，当地址分配设备通过PD方式对地址请求设备认证通过后，地址分配设备将第一前缀信息发送给地址请求设备，以使得地址请求设备获得有效的IPv6地址。或者，地址分配设备为地址请求设备分配第一前缀信息，同时将地址请求设备的访问权限配置为第一访问权限，即地址请求设备利用第一前缀信息生成的IPv6地址只能访问有限网络。当地址分配设备通过PD方式对地址请求设备认证通过后，地址分配设备将地址请求设备的访问权限配置为第二访问权限，从而使得地址请求设备可以利用第一前缀信息生成的IPv6地址进行正常访问。

参见图1，该图为本申请实施例提供的一种应用场景示意图，该网络系统以包括5个网络设备为例进行说明，分别为个人计算机(personal computer，PC)、客户端设备(customer-premises equipment，CPE)、宽带接入服务器(broadband remote accessserver，BRAS)、验证、授权和记账(authentication、authorization、accounting、AAA)服务器以及DHCPv6服务器。

其中，地址请求设备可以为CPE设备、地址分配设备可以为BRAS设备。当BRAS设备具有认证功能时，其在接收到CPE设备发送的包括认证信息的报文时，可以在本地进行认证。当BRAS设备不具有认证功能时，其可以解析CPE设备发送的认证信息，并将该认证信息发送给AAA服务器，以通过AAA服务器获得认证结果。

此外，CPE设备通过ND协议请求IPv6地址的地址前缀时，BRAS设备可以从本地存储的前缀池中为CPE设备分配前缀信息。当CPE设备通过DHCPv6-PD协议请求IPv6地址的地址前缀时，当BRAS设备具有地址分配功能时，其在接收到CPE设备发送的请求报文时，可以从本地存储的前缀池中为CPE设备分配前缀信息；当BRAS设备不具有地址分配功能时，其在接收到CPE设备发送的请求报文时，向DHCPv6服务器发送请求报文，以使得DHCPv6服务器为CPE设备分配前缀信息。

需要说明的是，图1所示应用场景仅作为一种可能的实施例进行说明，不构成对本申请实施例的限定，例如，地址请求设备可以为机顶盒等具有上网需求的网络设备。

为便于理解本申请实施例的具体实现，下面将结合附图进行说明。

参见图2，该图为本申请实施例提供的一种地址前缀获取方法流程图，如图2所示，该方法可以包括：

S201：地址请求设备生成第一请求报文。

在本实施例中，当地址请求设备启动后，可以利用本地链路前缀和接口标识生成本地链路地址，在该本地链路地址不冲突时，可以生成第一请求报文，该第一请求报文用于请求第一前缀信息。具体地，地址请求设备使用ND协议生成第一请求报文，该第一请求报文可以为RS报文。其中，地址请求设备可以为IPoE设备。

当网络系统中存在多个地址请求设备时，地址分配设备可以通过设备唯一标识符(device unique identifier，DUID)来识别地址请求设备。具体地，每个地址请求设备均对应一个DUID，以通过该DUID来唯一地标识自身。该情形下，第一请求报文中可以包括设备唯一标识符。

S202：地址请求设备向地址分配设备发送第一请求报文。

S203：地址分配设备根据第一请求报文生成第一响应报文。

地址分配设备在接收到第一请求报文后，通过对第一请求报文进行解析，确定第一请求报文用于请求第一前缀信息，为地址请求设备分配第一前缀信息，并生成包括第一前缀信息的第一响应报文。此外，第一响应报文还可以包括第一生存时间，该第一生存时间为较短的生存时间，用于指示第一前缀信息的有效时长。例如，第一生存时间为50秒，该生存时间可以确保地址请求设备利用所分配的第一前缀信息进行后续的交互过程。

其中，第一响应报文可以为RA报文，第一生存时间携带在RA报文中的有效生存时间(valid lifetime)。其中，RA报文结构如图3a所示，该RA报文中可以包括类型字段、长度字段、前缀长度字段、生存时间字段、优先级时间字段、保留字段以及前缀字段。其中，前缀字段用于携带第一前缀信息，有效生存时间字段用于指示第一前缀信息的有效时间，优先级时间用于指示通过无状态地址生成的IPv6地址处于优先状态的时间。其中，地址请求设备可以为客户端设备CPE、地址分配设备可以为BRAS或DHCPv6服务器。

S204：地址分配设备向地址请求设备发送第一响应报文。

S205：地址请求设备根据第一响应报文生成第二请求报文。

本实施例中，当地址请求设备接收到地址分配设备发送的第一响应报文后，通过解析第一响应报文可以获得第一前缀信息，以根据第一前缀信息以及接口标识生成第一IPv6地址。其中，第一IPv6地址为地址请求设备自身的地址。同时，地址请求设备生成第二请求报文，该第二请求报文包括认证信息，该认证信息用于地址分配设备对地址请求设备的合法性进行认证。具体地，地址请求设备可以根据DHCPv6协议生成第二请求报文，该第二请求报文为Solicit报文，认证信息携带在Solicit报文中的选项(option)字段。

S206：地址请求设备向地址分配设备发送第二请求报文。

S207：地址分配设备根据第二请求报文对地址请求设备进行认证。

其中，第二请求报文包括认证信息。地址分配设备在接收到第二请求报文，通过解析第二请求报文获得认证信息，进而利用认证信息对地址请求设备的合法性进行认证。具体地，地址分配设备可以在本地进行合法性认证，或者，地址分配设备根据认证信息向AAA服务器发送认证请求，以使得AAA服务器对地址请求设备的合法性进行认证，进而获得认证结果。

S208：在认证通过后，地址分配设备向地址请求设备发送第二响应报文。

当地址分配设备对地址请求设备认证通过后，可以向地址请求设备发送第二响应报文，该第二响应报文包括第二生存时间，该第二生存时间用于指示第一前缀信息的有效时长，第二生存时间大于第一生存时间。即，在认证通过后，地址分配设备将地址请求设备中第一前缀的生存时间更新为正常的生存时间。其中第二响应报文为RA报文。

在一些实现方式中，第二响应报文还可以包括第三前缀信息，该第三前缀信息对应的生存时间为第二生存时间。即地址分配设备重新为地址请求设备分配新的前缀信息，以便地址请求设备可以根据第三前缀信息以及接口标识生成新的IPv6地址，以利用新的IPv6地址访问网络。同时，地址请求设备释放第一前缀信息以及第一IPv6地址。

S209：在认证通过后，地址分配设备向地址请求设备发送第三响应报文。

其中，第二请求报文还可以用于请求第二前缀信息，当地址请求设备认证通过后，地址分配设备向地址请求设备发送第三响应报文，该第三响应报文包括第二前缀信息。地址请求设备在获得第二前缀信息后，可以将根据第二前缀信息为所连接的主机分配地址前缀，进而使得各主机可以根据所分配的地址前缀获取IPv6地址。或者，地址请求设备根据各个主机所对应的接口标识以及第二前缀信息生成第二IPv6地址，以为其对应的各个主机分配IPv6地址。其中，第三响应报文可以为DHCPv6协议中的Reply报文。

通过本实施例提供的技术方案，地址请求设备在请求第一前缀信息时，在未对地址请求设备进行合法性认证之前，地址分配设备先为地址请求设备分配暂时有效的第一前缀信息。当地址分配设备通过地址请求设备发送的包括认证信息的第二请求报文对地址请求设备认证通过后，再向地址请求设备分配第二生存时间，该第二生存时间为正常生存时间。

参见图4，该图为本申请实施例提供的另一种地址前缀获取方法流程图，如图4所示，该方法可以包括：

S401：地址请求设备生成第一请求报文。

在本实施例中，当地址请求设备启动后，可以利用本地链路地址和接口标识生成本地链路地址，在该本地链路地址不冲突时，生成第一请求报文，以通过第一请求报文请求第一前缀信息。具体地，地址请求设备通过ND协议生成第一请求报文，该第一请求报文为RS报文。

关于S401的具体实现可以参见S201的相关描述，本实施例在此不再赘述。

S402：地址请求设备向地址分配设备发送第一请求报文。

S403：地址分配设备根据第一请求报文生成第一响应报文。

本实施例中，地址分配设备在接收到第一请求报文后，通过解析第一请求报文，确定地址请求设备请求第一前缀信息，由于第一请求报文中未携带认证信息，则地址分配设备暂不为地址请求设备分配第一前缀信息，而是通过第一响应报文中指示信息指示地址请求设备先发送第二请求报文。也就是，地址请求设备在通过ND协议请求第一前缀信息时，地址分配设备暂不分配第一前缀信息，而是通知地址请求设备先通过PD协议发送包括认证的第二请求报文，进而地址分配设备可以通过第二请求报文中的认证信息对地址请求设备的合法性进行认证。其中，第一响应报文可以为RA报文，指示信息可以携带在RA报文新增的扩展团体属性字段中，该新增的扩展团体属性字段可以占用RA报文中的保留字段。该扩展团体属性字段可以通过类型长度值(type-length-value，TLV)进行定义，其中，Type字段用于指示类型(指示消息)，Length字段用于指示“Value”字段所包括的字节数，如8字节(Byte)，Value字段用于携带指示消息，如图3b所示。其中，该地址请求设备可以为IPoE设备。其中，地址请求设备可以为客户端设备CPE、地址分配设备可以为BRAS或DHCPv6服务器。

S404：地址分配设备向地址请求设备发送第一响应报文。

S405：地址请求设备根据第一响应报文生成第二请求报文。

地址请求设备在获得第一响应报文后，通过解析第一响应报文，获得指示信息，以根据该指示信息生成第二请求报文，该第二请求报文包括认证信息，该认证信息用于地址分配设备对地址请求设备的合法性进行认证。具体地，地址请求设备根据DHCPv6协议生成第二请求报文，该第二请求报文为Solicit报文，认证信息携带在Solicit报文中的选项(option)字段。

其中，关于S405的具体实现可以参见S205的相关描述，本实施例在此不再赘述。

S406：地址请求设备向地址分配设备发送第二请求报文。

S407：地址分配设备根据第二请求报文对地址请求设备进行认证。

其中，关于S407的具体实现可以参见S207的相关描述，本实施例在此不再赘述。

S408：在认证通过后，地址分配设备向地址请求设备发送第二响应报文。

在地址请求设备认证通过后，表明该地址请求设备合法，则地址分配设备为地址请求设备分配第一前缀信息，并将包括第一前缀信息的第二响应报文发送给地址请求设备。地址请求设备可以根据第一前缀信息生成第一IPv6地址，即自身对应的IPv6地址。可选的，第二响应报文还包括第二生存时间，该第二生存时间用于指示第一前缀信息的有效时长。也就是，地址分配设备在对地址请求设备认证通过后，再为地址请求设备分配第一前缀信息，从而提高网络安全。其中，第二响应报文可以为RA报文。

在一种具体的实施方式中，地址分配设备在向地址请求设备发送第二响应报文之前，地址请求设备向地址分配设备重新发送请求报文，即第三请求报文，该第三请求报文用于请求第一前缀信息。其中，第三请求报文可以为RS报文。

S409：地址分配设备向地址请求设备发送第三响应报文。

其中，第二请求报文可以用于请求第二前缀信息，在地址请求设备认证通过后，表明该地址请求设备合法，地址分配设备可以向地址请求设备发送第三响应报文，该第三响应报文中包括第二前缀信息。地址请求设备在获得该第二前缀信息后，可以根据第二前缀信息为其所连接的用户主机分配地址前缀，进而使得各主机可以根据自身所分配的地址前缀生成IPv6地址。或者，地址请求设备根据各个主机所对应的接口标识以及第二前缀信息生成第二IPv6地址，以为其对应的各个主机分配IPv6地址。其中，第三响应报文可以为DHCPv6协议中的Reply报文。

通过本实施例提供的技术方案，地址分配设备在接收到地址请求设备发送的用于请求第一前缀信息的第一请求报文后，并未向地址请求设备发送包括第一前缀信息的第一响应报文，而是发送的包括指示信息的第一响应报文，该指示信息用于指示地址请求设备发送第二请求报文，以使得地址分配设备可以根据第二请求报文中所携带的认证信息对地址请求设备的合法性进行认证，当认证通过后，再为地址请求设备分配第一前缀信息，从而使得地址请求设备可以根据第一前缀信息生成IPv6地址，进而使得地址请求设备可以利用该IPv6地址访问网络，提高网络安全性。

参见图5，该图为本申请实施例提供又一种地址前缀获取方法流程图，如图5所示，该方法可以包括：

S501：地址请求设备生成第一请求报文。

在本实施例中，当地址请求设备启动后，可以利用本地链路前缀和接口标识生成本地链路地址，在该本地链路地址不冲突时，可以生成第一请求报文，该第一请求报文用于请求第一前缀信息。具体地，地址请求设备使用ND协议生成第一请求报文，该第一请求报文可以为RS报文。其中，地址请求设备可以为IPoE设备。

其中，关于S501的具体实现可以参见S201和S401的相关描述，本实施例在此不再赘述。

S502：地址请求设备向地址分配设备发送第一请求报文。

S503：地址分配设备将地址请求设备的访问权限配置为第一权限。

本实施例中，当地址分配设备接收到第一请求报文后，通过解析发现第一请求报文中未包括可以进行合法性认证的认证信息，则地址分配设备将地址请求设备的访问权限设备为第一权限，该第一权限用于表示地址请求设备利用第一前缀信息访问网络时所具备的第一访问权限，例如该第一权限表示地址请求设备可以利用所分配的前缀信息访问有限网络。

具体地，地址分配设备可以在本地设置两个用户组，该两个用户组分别对应不同的访问权限，其中一个用户组中的网络设备只能访问有限网络，另一个用户组中的网络设备可以正常访问网络。当地址分配设备尚未确认地址请求设备的合法性时，将地址请求设备添加至访问有限网络的用户组中。例如，地址分配设备配置user-group1和user-group2两个用户组，其中，user-group1只能访问有限网络，user-group2可以正常访问网络，则地址分配设备将地址请求设备对应的用户组设置为user-group1，即将地址请求设备添加至user-group1中。其中，地址请求设备为客户端设备CPE，地址分配设备为宽带接入服务器BRAS或DHCPv6服务器。

S504：地址分配设备生成第一响应报文。

地址分配设备在接收到第一请求报文后，通过解析第一请求报文确定地址请求设备请求第一前缀信息，则为地址请求设备分配第一前缀信息，并生成包括第一前缀信息的第一响应报文。可选的，第一响应报文还可以包括第二生存时间，该第二生存时间表示第一前缀信息的有效时长，即表示第一前缀信息的生存时间为正常的生存时间。其中，第一响应报文可以为RA报文。

S505：地址分配设备向地址请求设备发送第一响应报文。

地址分配设备将包括第一前缀信息的第一响应报文发送的地址请求设备，以使得地址请求设备根据第一前缀信息生成第一IPv6地址，该第一IPv6地址为地址请求设备自身的地址，以使得地址请求设备利用该IPv6地址进行有限网络访问。其中，第一响应报文可以为RA报文。

需要说明的是，S503-S505的执行顺序不受限于上述过程，在具体实现时，地址分配设备可以先执行S504和S505，再执行S503；或者，地址分配设备同时执行S503-S505。

S506：地址请求设备根据第一响应报文生成第二请求报文。

其中，第二请求报文包括认证信息，该认证信息用于地址分配设备对地址请求设备的合法性进行认证。关于S506的具体实现可以参见S205或S405的相关描述，本实施例在此不再赘述。其中，第二请求报文可以为DHCPv6协议中的Solicit报文。

S507：地址请求设备向地址分配设备发送第二请求报文。

S508：地址分配设备根据第二请求报文对地址请求设备进行认证。

地址分配设备在接收到第二请求报文，通过解析第二请求报文获得认证信息，进而利用认证信息对地址请求设备的合法性进行认证。具体地，地址分配设备可以在本地进行合法性认证，或者，地址分配设备根据认证信息向AAA服务器发送认证请求，以使得AAA服务器对地址请求设备的合法性进行认证，进而获得认证结果。

S509：在认证通过后，地址分配设备将地址请求设备的访问权限配置为第二权限。

在地址请求设备认证通过后，表明地址请求设备为合法设备，则地址分配设备将地址请求设备的访问权限配置为第二权限，该第二权限表示地址请求设备利用第一前缀信息访问网络时所具备的第二访问权限，该第二访问权限高于第一访问权限。例如第二权限表示地址请求设备可以正常访问网络。具体地，地址分配设备将地址请求设备对应的用户组由第一用户组修改为第二用户组，该第二用户组的访问权限为第二权限。也就是，地址分配设备将地址请求设备从第一用户组移动至第二用户组，从而改变地址请求设备的访问权限。

S510：地址分配设备向地址请求设备发送第二响应报文。

其中，第二请求报文还可以用于请求第二前缀信息，在地址请求设备认证通过后，地址分配设备向地址请求设备发送第二响应报文，该第二响应报文包括第二前缀信息。地址请求设备在获取第二前缀信息后，可以根据第二前缀信息为所连接的主机分配地址前缀，进而使得各主机可以根据所述分配的地址前缀获得IPv6地址。或者，地址请求设备根据各个主机所对应的接口标识以及第二前缀信息生成第二IPv6地址，以为其对应的各个主机分配IPv6地址。其中，第二响应报文可以为DHCPv6协议中的Reply报文。

通过本实施例提供的技术方案，在地址请求设备向地址分配设备请求第一前缀信息时，地址分配设备为该地址请求设备分配第一前缀信息，但将该地址请求设备的访问权限设置为第一权限，即只能访问有限网络，在地址分配设备根据第二请求报文中的认证信息对地址请求设备认证通过后，地址分配设备将地址请求设备的访问权限由第一权限更新为第二权限，即使得地址请求设备拥有正常的网络访问权限。也就是，地址分配设备在未对地址设备的合法性进行认证之前，只赋予地址请求设备有限的网络访问权限，当认证通过后，再赋予地址请求设备较大的网络访问权限，从而通过设置权限的方式保证网络安全。

基于上述方法实施例，本申请实施例还提供了地址前缀获取装置和设备，下面将结合附图进行说明。

参见图6，该图为本申请实施例提供的一种地址前缀获取装置结构图，该装置600能够应用于地址分配设备，执行图2所示实施例中地址分配设备的功能，该装置600可以包括接收单元601和发送单元602。

接收单元601，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息。关于接收单元601的实现可以参见图2所示实施例中S202的详细描述。

发送单元602，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息和第一生存时间，所述第一生存时间用于指示所述第一前缀信息的有效时长。关于发送单元602的实现可以参见图2所示实施例中S203和S204的详细描述。

所述接收单元601，还用于接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证。关于接收单元601的实现可以参见图2所示实施例中S205和S206的详细描述。

所述发送单元602，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括第二生存时间，所述第二生存时间用于指示所述第一前缀信息的有效时长，所述第二生存时间大于所述第一生存时间。关于发送单元602的实现可以参见图2所示实施例中S208的详细描述。

在一种可能的实现方式中，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

在一种可能的实现方式中，所述第二请求报文用于请求第二前缀信息，所述发送单元602，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。关于发送单元602发送第三响应报文的实现可以参见图2所示实施例中S209的详细描述。

在一种可能的实现方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种可能的实现方式中，所述第二响应报文还包括第三前缀信息，所述第三前缀信息用于所述地址请求设备将所述第一前缀信息替换为所述第三前缀信息，所述第二生存时间用于指示所述第三前缀信息的有效时长。

在一种可能的实现方式中，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种可能的实现方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种可能的实现方式中，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或者为DHCPv6服务器。

关于装置600具体可执行的功能和实现，可以参见图2所示实施例中关于地址分配设备的相应描述，此处不再赘述。

参见图7，该图为本申请实施例提供的另一种地址前缀获取装置，装置700能够应用于地址分配设备，执行图4所示实施例中地址分配设备的功能，该装置700可以包括：接收单元701和发送单元702。

接收单元701，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息。关于接收单元701接收第一请求报文的实现可以参见图4所示实施例中S401和S402的详细描述。

发送单元702，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括指示信息，所述指示信息用于指示所述地址请求设备发送第二请求报文。关于发送单元702发送第一响应报文的实现可以参见图4所示实施例中S403和S404的详细描述。

所述接收单元701，还用于接收所述地址请求设备发送的所述第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证。关于接收单元702接收第二请求报文的实现可以参见图4所示实施例中S405和S406的详细描述。

所述发送单元702，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第一前缀信息。关于发送单元702发送第二响应报文的实现可以参见S408的详细描述。

在一种可能的实现方式中，所述第一响应报文为路由器应答RA报文，所述指示信息携带在所述RA报文新增的扩展团体属性字段中。

在一种可能的实现方式中，所述接收单元701，还用于在所述发送单元向所述地址请求设备发送第二响应报文之前，接收所述地址请求设备发送的第三请求报文，所述第三请求报文用于请求所述第一前缀信息。

在一种可能的实现方式中，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

在一种可能的实现方式中，所述第二请求报文用于请求第二前缀信息，所述发送单元702，还用于在对所述地址请求设备认证通过后，向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。关于发送单元702发送第三响应报文的实现可以参见S409的详细描述。

在一种可能的实现方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种可能的实现方式中，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种可能的实现方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种可能的实现方式中，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或DHCPv6服务器。

关于装置700具体可执行的功能和实现，可以参见图4所示实施例中关于地址分配设备的相应描述，此处不再赘述。

参见图8，该图为本申请实施例提供的一种地址前缀获取装置结构图，该装置800可以应用于地址分配设备，执行图5所示实施例中地址分配设备的功能，装置800包括：接收单元801、处理单元802和发送单元803。

接收单元801，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息。关于接收单元801接收第一请求报文的实现可以参见S501或S502的详细描述。

处理单元802，用于将所述地址请求设备的访问权限配置为第一权限，所述第一权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第一访问权限。关于处理单元802的实现可以参见S503的详细描述。

发送单元803，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息。关于发送单元803的实现可以参见S504和S505的详细描述。

所述接收单元801，还用于接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证。关于接收单元801的实现可以参见S506和S507的详细描述。

所述处理单元802，还用于在所述地址请求设备认证通过后，将所述地址请求设备的访问权限配置为第二权限，所述第二权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第二访问权限，所述第二访问权限高于所述第一访问权限。关于处理单元802的实现可以参见S508和S509的详细描述。

在一种可能的实现方式中，所述处理单元802，具体用于将所述地址请求设备对应的用户组配置为第一用户组，所述第一用户组的访问权限为所述第一权限。关于处理单元802的实现可以参见S503的详细描述。

在一种可能的实现方式中，所述处理单元802，具体用于将所述地址请求设备对应的用户组由所述第一用户组修改为第二用户组，所述第二用户组的访问权限为所述第二权限。关于处理单元802的实现可以参见S509的详细描述。

在一种可能的实现方式中，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

在一种可能的实现方式中，所述第二请求报文用于请求第二前缀信息，所述发送单元803，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第二前缀信息。

在一种可能的实现方式中，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

在一种可能的实现方式中，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

在一种可能的实现方式中，所述地址请求设备为以太网承载互联网协议IPoE设备。

在一种可能的实现方式中，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或DHCPv6服务器。

关于装置800具体可执行的功能和实现，可以参见图5所示实施例中关于地址分配设备的相应描述，此处不再赘述。

图9为本申请实施例提供的一种通信设备的结构示意图，该通信设备例如可以是图2所示实施例中的地址请求设备和地址分配设备，或者也可以是图6所示实施例中装置600、图7所示实施例中的装置700的设备实现、图8所示实施例中装置800。

请参阅图9所示，通信设备900至少包括处理器910。通信设备900还可以包括通信接口920和存储器930。其中通信设备900中的处理器910的数量可以一个或多个，图9中以一个处理器为例。本申请实施例中，处理器910、通信接口920和存储器930可通过总线系统或其它方式连接，其中，图9中以通过总线系统940连接为例。

处理器910可以是CPU、NP、或者CPU和NP的组合。处理器910还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。

当通信设备为地址分配设备时，处理器910可以执行上述方法实例中根据对地址请求设备进行合法性等相关功能。当通信设备为地址请求设备时，处理器910可以执行上述方法实施例中生成请求报文等相关功能。

通信接口920用于接收和发送报文，具体地，通信接口920可以包括接收接口和发送接口。其中，接收接口可以用于接收报文，发送接口可以用于发送报文。通信接口920的个数可以为一个或多个。

存储器930可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器930也可以包括非易失性存储器(英文：non-volatile memory)，例如快闪存储器(英文：flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器930还可以包括上述种类的存储器的组合。

可选地，存储器930存储有操作系统和程序、可执行模块或者数据结构，或者它们的子集，或者它们的扩展集，其中，程序可包括各种操作指令，用于实现各种操作。操作系统可包括各种系统程序，用于实现各种基础业务以及处理基于硬件的任务。处理器910可以读取存储器930中的程序，实现本申请实施例提供的地址前缀获取方法。

其中，存储器930可以为通信设备900中的存储器件，也可以为独立于通信设备900的存储装置。

总线系统940可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。总线系统940可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

图10是本申请实施例提供的另一种通信设备1000的结构示意图，通信设备1000可以配置为前述实施例中的地址请求设备和地址分配设备，或者也可以是图6所示实施例中装置600、图7所示实施例中装置700、图8所示实施例中的装置800的设备实现。

通信设备1000包括：主控板1010和接口板1030。

主控板1010也称为主处理单元(main processing unit，MPU)或路由处理卡(route processor card)，主控板1010对网络设备1000中各个组件的控制和管理，包括路由计算、设备管理、设备维护、协议处理功能。主控板1010包括：中央处理器1011和存储器1012。

接口板1030也称为线路接口单元卡(line processing unit，LPU)、线卡(linecard)或业务板。接口板1030用于提供各种业务接口并实现数据包的转发。业务接口包括而不限于以太网接口、POS(Packet over SONET/SDH)接口等，以太网接口例如是灵活以太网业务接口(Flexible Ethernet Clients，FlexE Clients)。接口板1030包括：中央处理器1031、网络处理器1032、转发表项存储器1034和物理接口卡(ph8sical interface card，PIC)1033。

接口板1030上的中央处理器1031用于对接口板1030进行控制管理并与主控板1010上的中央处理器1011进行通信。

网络处理器1032用于实现报文的转发处理。网络处理器1032的形态可以是转发芯片。具体而言，上行报文的处理包括：报文入接口的处理，转发表查找；下行报文的处理：转发表查找等等。

物理接口卡1033用于实现物理层的对接功能，原始的流量由此进入接口板1030，以及处理后的报文从该物理接口卡1033发出。物理接口卡1033包括至少一个物理接口，物理接口也称物理口，物理接口卡1033对应于系统架构中的FlexE物理接口204。物理接口卡1033也称为子卡，可安装在接口板1030上，负责将光电信号转换为报文并对报文进行合法性检查后转发给网络处理器1032处理。在一些实施例中，接口板1003的中央处理器1031也可执行网络处理器1032的功能，比如基于通用CPU实现软件转发，从而物理接口卡1033中不需要网络处理器1032。

可选地，通信设备1000包括多个接口板，例如通信设备1000还包括接口板1040，接口板1040包括：中央处理器1041、网络处理器1042、转发表项存储器1044和物理接口卡1043。

可选地，通信设备1000还包括交换网板1020。交换网板1020也可以称为交换网板单元(switch fabric unit，SFU)。在网络设备有多个接口板1030的情况下，交换网板1020用于完成各接口板之间的数据交换。例如，接口板1030和接口板1040之间可以通过交换网板1020通信。

主控板1010和接口板1030耦合。例如。主控板1010、接口板1030和接口板1040，以及交换网板1020之间通过系统总线与系统背板相连实现互通。在一种可能的实现方式中，主控板1010和接口板1030之间建立进程间通信协议(inter-process communication，IPC)通道，主控板1010和接口板1030之间通过IPC通道进行通信。

在逻辑上，通信设备1000包括控制面和转发面，控制面包括主控板1010和中央处理器1031，转发面包括执行转发的各个组件，比如转发表项存储器1034、物理接口卡1033和网络处理器1032。控制面执行路由器、生成转发表、处理信令和协议报文、配置与维护设备的状态等功能，控制面将生成的转发表下发给转发面，在转发面，网络处理器1032基于控制面下发的转发表对物理接口卡1033收到的报文查表转发。控制面下发的转发表可以保存在转发表项存储器1034中。在一些实施例中，控制面和转发面可以完全分离，不在同一设备上。

应理解，图6-图8每个实施例中的发送单元和接收单元可以是不同的物理接口卡，例如，接收单元601相当于物理接口卡1033、发送单元602相当于物理接口卡1034。装置800中的处理单元802等可以相当于通信设备1000中的中央处理器1011、中央处理器1031、中央处理器1041中的一个或多个。

应理解，本申请实施例中接口板1040上的操作与接口板1030的操作一致，为了简洁，不再赘述。应理解，本实施例的通信设备1000可对应于上述各个方法实施例中的地址请求设备或地址分配，该通信设备1000中的主控板1010、接口板1030和/或接口板1040可以实现上述各个方法实施例中的地址请求设备或地址分配设备所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

应理解，主控板可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，网络设备的数据处理能力越强，提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有，也可能有一块或多块，有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下，网络设备可以不需要交换网板，接口板承担整个系统的业务数据的处理功能。在分布式转发架构下，网络设备可以有至少一块交换网板，通过交换网板实现多块接口板之间的数据交换，提供大容量的数据交换和处理能力。所以，分布式架构的网络设备的数据接入和处理能力要大于集中式架构的设备。可选地，网络设备的形态也可以是只有一块板卡，即没有交换网板，接口板和主控板的功能集成在该一块板卡上，此时接口板上的中央处理器和主控板上的中央处理器在该一块板卡上可以合并为一个中央处理器，执行两者叠加后的功能，这种形态设备的数据交换和处理能力较低(例如，低端交换机或路由器等网络设备)。具体采用哪种架构，取决于具体的组网部署场景。

在一些可能的实施例中，上述地址请求设备、中继设备或地址分配设备可以实现为虚拟化设备。例如，虚拟化设备可以是运行有用于发送报文功能的程序的虚拟机(英文：Virtual Machine，VM)，虚拟机部署在硬件设备上(例如，物理服务器)。虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。可以将虚拟机配置为地址请求设备、中继设备或地址分配设备。例如，可以基于通用的物理服务器结合网络功能虚拟化(Network Functions Virtualization，NFV)技术来实现地址请求设备或地址分配设备。地址请求设备或地址分配设备为虚拟主机、虚拟路由器或虚拟交换机。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出具有上述功能的地址请求设备或地址分配设备，此处不再赘述。

应理解，上述各种产品形态的通信设备，分别具有上述方法实施例中地址请求设备、或地址分配设备任意功能，此处不再赘述。

本申请实施例还提供了一种芯片，包括处理器和接口电路，接口电路，用于接收指令并传输至处理器；处理器，例如可以是图7示出的装置700的一种具体实现形式，可以用于执行上述地址前缀获取的方法。其中，所述处理器与存储器耦合，所述存储器用于存储程序或指令，当所述程序或指令被所述处理器执行时，使得该芯片系统实现上述任一方法实施例中的方法。

可选地，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现。

可选地，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

示例性的，该芯片系统可以是现场可编程门阵列(field programmable gatearray，FPGA)，可以是专用集成芯片(application specific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processorunit，CPU)，还可以是网络处理器(network processor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logic device，PLD)或其他集成芯片。

本申请实施例还提供了一种计算机可读存储介质，包括指令或计算机程序，当其在计算机上运行时，使得计算机执行以上实施例提供的地址前缀获取方法。

本申请实施例还提供了一种包含指令或计算机程序的计算机程序产品，当其在计算机上运行时，使得计算机执行以上实施例提供的地址前缀获取方法。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑业务划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各业务单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件业务单元的形式实现。

集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已。

以上，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (54)

1.一种地址前缀获取方法，其特征在于，所述方法包括：

地址分配设备接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；

所述地址分配设备向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息和第一生存时间，所述第一生存时间用于指示所述第一前缀信息的有效时长；

所述地址分配设备接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；

在所述地址分配设备对所述地址请求设备认证通过后，所述地址分配设备向所述地址请求设备发送第二响应报文，所述第二响应报文包括第二生存时间，所述第二生存时间用于指示所述第一前缀信息的有效时长，所述第二生存时间大于所述第一生存时间。

2.根据权利要求1所述的方法，其特征在于，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

3.根据权利要求1或2所述的方法，其特征在于，所述第二请求报文用于请求第二前缀信息，所述方法还包括：

所述地址分配设备在对所述地址请求设备认证通过后，所述地址分配设备向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。

4.根据权利要求3所述的方法，其特征在于，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述第二响应报文还包括第三前缀信息，所述第三前缀信息用于所述地址请求设备将所述第一前缀信息替换为所述第三前缀信息，所述第二生存时间用于指示所述第三前缀信息的有效时长。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述地址请求设备与所述地址分配设备之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述地址分配设备之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述地址请求设备为以太网承载互联网协议IPoE设备。

8.根据权利要求1-7任一项所述的方法，其特征在于，所述地址请求设备为客户端设备CPE，所述地址分配设备为宽带接入服务器BRAS或者为DHCPv6服务器。

9.一种地址前缀获取方法，其特征在于，所述方法包括：

地址分配设备接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；

所述地址分配设备向所述地址请求设备发送第一响应报文，所述第一响应报文包括指示信息，所述指示信息用于指示所述地址请求设备发送第二请求报文；

所述地址分配设备接收所述地址请求设备发送的所述第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；

在所述地址分配设备对所述地址请求设备认证通过后，所述地址分配设备向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第一前缀信息。

10.根据权利要求9所述的方法，其特征在于，所述第一响应报文为路由器应答RA报文，所述指示信息携带在所述RA报文新增的扩展团体属性字段中。

11.根据权利要求9或10所述的方法，其特征在于，在所述地址分配设备向所述地址请求设备发送第二响应报文之前，所述方法还包括：

所述地址分配设备接收所述地址请求设备发送的第三请求报文，所述第三请求报文用于请求所述第一前缀信息。

12.根据权利要求9-11任一项所述的方法，其特征在于，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

13.根据权利要求9-12任一项所述的方法，其特征在于，所述第二请求报文用于请求第二前缀信息，所述方法还包括：

所述地址分配设备在对所述地址请求设备认证通过后，所述地址分配设备向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。

14.根据权利要求13所述的方法，其特征在于，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

15.根据权利要求9-14任一项所述的方法，其特征在于，所述地址请求设备与所述地址分配设备之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述地址分配设备之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

16.根据权利要求9-15任一项所述的方法，其特征在于，所述地址请求设备为以太网承载互联网协议IPoE设备。

17.根据权利要求9-16任一项所述的方法，其特征在于，所述地址请求设备为客户端设备CPE，所述地址分配设备为宽带接入服务器BRAS或DHCPv6服务器。

18.一种地址前缀获取方法，其特征在于，所述方法包括：

地址分配设备接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；

所述地址分配设备将所述地址请求设备的访问权限配置为第一权限，所述第一权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第一访问权限；

所述地址分配设备向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息；

所述地址分配设备接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；

在所述地址分配设备对所述地址请求设备认证通过后，所述地址分配设备将所述地址请求设备的访问权限配置为第二权限，所述第二权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第二访问权限，所述第二访问权限高于所述第一访问权限。

19.根据权利要求18所述的方法，其特征在于，所述地址分配设备将所述地址请求设备的访问权限配置为第一权限，包括：

所述地址分配设备将所述地址请求设备对应的用户组配置为第一用户组，所述第一用户组的访问权限为所述第一权限。

20.根据权利要求19所述的方法，其特征在于，所述地址分配设备将所述地址请求设备的访问权限配置为第二权限，包括：

所述地址分配设备将所述地址请求设备对应的用户组由所述第一用户组修改为第二用户组，所述第二用户组的访问权限为所述第二权限。

21.根据权利要求18-20任一项所述的方法，其特征在于，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

22.根据权利要求18-21任一项所述的方法，其特征在于，所述第二请求报文用于请求第二前缀信息，所述方法还包括：

所述地址分配设备在对所述地址请求设备认证通过后，所述地址分配设备向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第二前缀信息。

23.根据权利要求22所述的方法，其特征在于，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

24.根据权利要求18-23任一项所述的方法，其特征在于，所述地址请求设备与所述地址分配设备之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述地址分配设备之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

25.根据权利要求18-24任一项所述的方法，其特征在于，所述地址请求设备为以太网承载互联网协议IPoE设备。

26.根据权利要求18-25任一项所述的方法，其特征在于，所述地址请求设备为客户端设备CPE，所述地址分配设备为宽带接入服务器BRAS或DHCPv6服务器。

27.一种地址前缀获取装置，其特征在于，所述装置包括：

接收单元，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；

发送单元，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息和第一生存时间，所述第一生存时间用于指示所述第一前缀信息的有效时长；

所述接收单元，还用于接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；

所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括第二生存时间，所述第二生存时间用于指示所述第一前缀信息的有效时长，所述第二生存时间大于所述第一生存时间。

28.根据权利要求27所述的装置，其特征在于，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

29.根据权利要求27或28所述的装置，其特征在于，所述第二请求报文用于请求第二前缀信息，所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。

30.根据权利要求29所述的装置，其特征在于，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

31.根据权利要求27-30任一项所述的装置，其特征在于，所述第二响应报文还包括第三前缀信息，所述第三前缀信息用于所述地址请求设备将所述第一前缀信息替换为所述第三前缀信息，所述第二生存时间用于指示所述第三前缀信息的有效时长。

32.根据权利要求27-31任一项所述的装置，其特征在于，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

33.根据权利要求27-32任一项所述的装置，其特征在于，所述地址请求设备为以太网承载互联网协议IPoE设备。

34.根据权利要求27-33任一项所述的装置，其特征在于，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或者为DHCPv6服务器。

35.一种地址前缀获取装置，其特征在于，所述装置包括：

接收单元，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；

发送单元，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括指示信息，所述指示信息用于指示所述地址请求设备发送第二请求报文；

所述接收单元，还用于接收所述地址请求设备发送的所述第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；

所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第一前缀信息。

36.根据权利要求35所述的装置，其特征在于，所述第一响应报文为路由器应答RA报文，所述指示信息携带在所述RA报文新增的扩展团体属性字段中。

37.根据权利要求35或36所述的装置，其特征在于，所述接收单元，还用于在所述发送单元向所述地址请求设备发送第二响应报文之前，接收所述地址请求设备发送的第三请求报文，所述第三请求报文用于请求所述第一前缀信息。

38.根据权利要求35-37任一项所述的装置，其特征在于，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

39.根据权利要求35-38任一项所述的装置，其特征在于，所述第二请求报文用于请求第二前缀信息，所述发送单元，还用于在对所述地址请求设备认证通过后，向所述地址请求设备发送第三响应报文，所述第三响应报文包括所述第二前缀信息。

40.根据权利要求39所述的装置，其特征在于，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

41.根据权利要求35-40任一项所述的装置，其特征在于，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

42.根据权利要求35-41任一项所述的装置，其特征在于，所述地址请求设备为以太网承载互联网协议IPoE设备。

43.根据权利要求35-42任一项所述的装置，其特征在于，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或DHCPv6服务器。

44.一种地址前缀获取装置，其特征在于，所述装置包括：

接收单元，用于接收地址请求设备发送的第一请求报文，所述第一请求报文用于请求第一前缀信息；

处理单元，用于将所述地址请求设备的访问权限配置为第一权限，所述第一权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第一访问权限；

发送单元，用于向所述地址请求设备发送第一响应报文，所述第一响应报文包括所述第一前缀信息；

所述接收单元，还用于接收所述地址请求设备发送的第二请求报文，所述第二请求报文包括认证信息，所述认证信息用于所述地址分配设备对所述地址请求设备的合法性进行认证；

所述处理单元，还用于在所述地址请求设备认证通过后，将所述地址请求设备的访问权限配置为第二权限，所述第二权限表示所述地址请求设备利用所述第一前缀信息访问网络时所具备的第二访问权限，所述第二访问权限高于所述第一访问权限。

45.根据权利要求44所述的装置，其特征在于，所述处理单元，具体用于将所述地址请求设备对应的用户组配置为第一用户组，所述第一用户组的访问权限为所述第一权限。

46.根据权利要求45所述的装置，其特征在于，所述处理单元，具体用于将所述地址请求设备对应的用户组由所述第一用户组修改为第二用户组，所述第二用户组的访问权限为所述第二权限。

47.根据权利要求44-46任一项所述的装置，其特征在于，所述第一前缀信息用于所述地址请求设备根据所述第一前缀信息生成第一IPv6地址，所述第一IPv6地址为所述地址请求设备的地址。

48.根据权利要求44-47任一项所述的装置，其特征在于，所述第二请求报文用于请求第二前缀信息，所述发送单元，还用于在所述地址请求设备认证通过后，向所述地址请求设备发送第二响应报文，所述第二响应报文包括所述第二前缀信息。

49.根据权利要求48所述的装置，其特征在于，所述第二前缀信息用于生成第二IPv6地址，所述第二IPv6地址为所述地址请求设备所对应的用户设备的地址。

50.根据权利要求44-49任一项所述的装置，其特征在于，所述地址请求设备与所述装置之间使用邻居发现ND协议发送所述第一请求报文，所述地址请求设备与所述装置之间使用第六版互联网协议动态主机配置协议DHCPv6发送所述第二请求报文。

51.根据权利要求44-50任一项所述的装置，其特征在于，所述地址请求设备为以太网承载互联网协议IPoE设备。

52.根据权利要求44-51任一项所述的方法，其特征在于，所述地址请求设备为客户端设备CPE，所述装置为宽带接入服务器BRAS或DHCPv6服务器。

53.一种通信设备，所述设备包括：处理器和存储器；

所述存储器，用于存储指令或计算机程序；

所述处理器，用于执行所述存储器中的所述指令或计算机程序，以使得所述通信设备执行权利要求1-26任意一项所述的方法。

54.一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行以上权利要求1-26任意一项所述的方法。

Images