[发明专利]防止DS-Lite组网中的DoS攻击方法和装置

权利要求书

1.一种防止DS-Lite组网中的DoS攻击方法，该方法应用于所述DS-Lite组网中的地址转换路由器AFTR，其特征在于，该方法包括：

接收所述DS-Lite组网中基础桥接宽带元件B4发送的IPv6报文；

判断已建立的可信列表中是否存在所述IPv6报文的源IP地址，所述IPv6报文的源IP地址为所述B4的IP地址，

如果是，对所述IPv6报文进行解封装，获取内层的IPv4报文并发送；

如果否，

识别所述IPv6报文是否携带了验证确认信息，如果否，生成一个验证信息，将该验证信息携带在与所述IPv6报文相关联的IPv6关联报文中返回给所述B4，以使所述B4依据接收的验证信息生成验证确认信息并携带在与所述IPv6关联报文相关联的IPv6报文中返回给所述AFTR，如果是，对所述验证确认信息进行验证，在验证成功时，将所述IPv6报文的源IP地址加入所述可信列表中。

2.根据权利要求1所述的方法，其特征在于，所述与IPv6报文相关联的IPv6关联报文为：

所述IPv6报文中源IP地址和目的IP地址相交换之后得到的报文。

3.根据权利要求2所述的方法，其特征在于，所述与IPv6关联报文相关联的IPv6报文为：所述IPv6关联报文中源IP地址和目的IP地址相交换之后得到的报文；

在将IPv6报文的源IP地址加入所述可信列表中之后，该方法进一步包括：

去除所述IPv6报文携带的验证确认信息，并对所述IPv6报文进行解封装，获取内层的IPv4报文并发送。

4.根据权利要求1所述的方法，其特征在于，该方法进一步包括：周期性地生成随机数；

所述生成一个验证信息包括：

识别当前周期内生成的随机数；

利用本AFTR的IP地址、所述随机数、所述IPv6报文的源IP地址进行运算，将得到的结果作为所述验证信息。

5.根据权利要求1至4任一所述的方法，其特征在于，所述验证信息携带在IPv6关联报文的IPv6目的选项扩展头中、或者携带在IPv6关联报文新增加的扩展头中、或者携带在IPv6报文的其他位置中；

所述验证确认信息携带在IPv6报文的IPv6目的选项扩展头中、或者携带在IPv6报文新增加的扩展头中、或者携带在IPv6报文的其他位置中。

6.一种防止DS-Lite组网中的Dos攻击方法，该方法应用于所述DS-Lite组网中的基础桥接宽带元件B4，其特征在于，该方法包括：

接收所述DS-Lite组网中地址转换路由器AFTR发送的IPv6报文；

识别所述IPv6报文是否携带验证信息；

如果是，依据所述IPv6报文携带的验证信息生成验证确认信息，将所述验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR；

如果否，则对接收的IPv6报文进行解封装，获取内层的IPv4报文并发送。

7.根据权利要求6所述的方法，其特征在于，所述依据IPv6报文携带的验证信息生成验证确认信息包括：

直接将所述IPv6报文携带的验证信息作为验证确认信息；或者，

按照之前与AFTR协商的用于生成验证确认信息的方式对所述IPv6报文携带的验证信息进行处理，得到的处理结果作为所述验证确认信息。

8.根据权利要求6或7所述的方法，其特征在于，所述将验证确认信息携带在与所述IPv6报文相关联的IPv6报文中发送给AFTR包括：

将接收的IPv6报文中源IP地址和目的IP地址相交换得到的报文确定为与接收的IPv6报文相关联的IPv6报文；

将所述验证确认信息携带在确定的IPv6报文中发送给AFTR。