[发明专利]轻量级双协议栈组网下的认证方法及装置

说明书

本申请提出轻量级双协议栈组网下的认证方法及装置。方法包括：接收来自用户网络的封装了IPv4认证请求报文的IPv6报文，创建DS‑lite表项；根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机；若检测出所述用户主机为双栈主机，则在所述DS‑lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系；当所述源IPv4地址通过认证时，根据所述DS‑lite表项，确认所述源IPv4地址关联的所述源IPv6地址通过IPv6认证。本申请实现了双栈主机只需进行IPv4认证，就可同时访问IPv4和IPv6公网。

技术领域

本申请涉及认证技术领域，尤其涉及DS-Lite(Dual Stack Lite，轻量级双协议栈)组网下的认证方法及装置。

背景技术

DS-Lite技术综合了IPv4 over IPv6隧道技术和NAT(Network AddressTranslation，网络地址转换)技术，利用隧道技术实现通过IPv6网络连接隔离的IPv4网络，利用NAT技术实现不同的用户网络共享相同的IPv4地址空间，减缓IPv4地址的耗尽速度。

图1为DS-List组网示意图，其中：

B4(Basic Bridging Broadband，基本桥接宽带)设备位于用户网络侧、用来连接ISP(Internet Service Provider，互联网服务提供商)网络，通常为用户网络的网关；

AFTR(Address Family Transition Router，地址族转换路由器)是ISP网络中的设备，是DS-Lite隧道的核心设备。AFTR同时作为DS-Lite隧道端点和NAT网关设备。

B4设备作为DS-Lite隧道的一个端点，负责将用户网络的IPv4报文封装成IPv6报文发送给AFTR；AFTR对IPv6报文进行解封装，将解封装后的用户网络报文的源IPv4地址(私网地址)转换为公网地址，并将转换后的报文发送给目的IPv4主机。AFTR进行NAT转换时，同时记录NAT映射关系和Tunnel ID(隧道标识)，以便实现不同B4设备连接的用户网络地址可以重叠。也有部分双栈主机，通过软件实现了与B4设备对应的隧道加、解封装功能，可直接与AFTR建立DS-lite隧道，可同时访问IPv4公网和IPv6公网。

AFTR通常也被部署为运营商对用户的接入设备，用户主机通过portal(门户)等接入协议接入运营商网络。在DS-lite应用中，AFTR的隧道接口部署portal认证业务，IPv4主机的portal认证请求报文经过隧道加封装后，通过IPv6网络传输到AFTR，在AFTR的隧道接口解封装并进行portal业务处理，认证通过后portal业务根据主机的IPv4地址生成在线用户。而双栈主机通过IPv4的portal认证后若访问IPv6公网还需要再进行IPv6的portal认证。

发明内容

本申请实施例提供DS-lite组网下的认证方法及装置。

本申请的技术方案是这样实现的：

一种DS-lite组网下的认证方法，该方法包括：

接收来自用户网络的封装了IPv4认证请求报文的IPv6报文，创建DS-lite表项；

根据所述IPv6报文的源IPv6地址发送封装有IPv4报文的IPv6探测报文，以检测发出所述IPv4认证请求报文的用户主机是否为双栈主机；

若检测出所述用户主机为双栈主机，则在所述DS-lite表项中建立所述IPv6报文的源IPv6地址和所述IPv4认证请求报文的源IPv4地址之间的关联关系；