技術領域

本發明涉及數據通信技術領域，尤其涉及一種隧道認證方法及裝置。

背景技術

現有DS-Lite(中文全稱：輕量級雙棧，英文全稱：Dual-Stack?lite)技術，使用IPv4over?IPv6(英文全稱：Internet?Protocol?Version?4?over?Internet?Protocol?Version?6，中文全稱：網絡協議版本4到網絡協議版本6)隧道和NAT(中文全稱：網絡地址轉換，英文全稱：Network?Address?Translation)技術結合，允許CPE(英文全稱：Customer?Premise?Equipment，中文全稱：用戶端設備)自行向私網側主機任意分配IPv4地址，使得多個IPv4?CPE私網之間可以共享IPv4地址，從而緩解了當前面臨的IPv4地址耗盡問題。而DS-Lite技術的實現方式是：使用IPv4?over?IPv6隧道作為CPE和CGN(英文全稱為：Carrier-Grade?Network?Address?Translation，中文全稱為：運行商級網絡地址轉換)之間的流量通路，CPE向CGN發起隧道建立，CGN被動接受隧道建立。在這一隧道建立過程中，CGN會接收到虛假的建立請求，而此時CGN建立隧道就會導致CGN受到DOS(英文全稱：Denial?Of?Service，中文全稱：拒絕服務)攻擊，如果CGN遭受DOS攻擊，那么CGN隧道資源耗費嚴重,從而導致DS-Lite組網將不能正常運行。

現有的DS-Lite抗DOS攻擊技術為對IPv4?over?IPv6隧道進行隧道接入認證，具體的認證方法依賴第三方系統或者對端CPE配合進行。其中，在通過第三方系統進行隧道接入認證時，由于引入了其它設備不僅額外增加了硬件設備，而且引入了設備間的交互使得認證過程復雜、驗證成本高、效率低。而通過CPE配合認證過程中，驗證過程必須有CPE參與才能實現，如果CPE拒絕實現或者不具備此驗證功能，則CGN無法實現DOS攻擊防范，進而導致CGN不能正常通訊。

結合上述的隧道認證過程描述，迫切需要提供一種新的隧道認證方法，在提高認證效率的同時，減少系統開銷。

發明內容

本發明的實施例提供一種隧道認證方法及裝置，用于解決現有技術進行IPv4到IPv6隧道認證時，隧道認證效率低的問題，提供了一種新的隧道認證方法，在提高認證效率的同時，減少了系統開銷。

為達到上述目的，本發明的實施例采用如下技術方案：

一種隧道認證方法，所述方法應用于運行商級網絡地址轉換CGN，所述CGN至少包括：CGN隧道管理模塊、網絡協議版本4到網絡協議版本6IPv4?over?IPv6隧道轉發模塊、校驗碼模塊，所述方法包括：

所述IPv4?over?IPv6隧道轉發模塊獲取用戶端設備CPE發送的驗證報文，并對所述驗證報文解封裝獲取所述驗證報文攜帶的校驗碼；

所述校驗碼模塊獲取所述IPv4?over?IPv6隧道轉發模塊發送的所述校驗碼，并在本地查找是否存在所述校驗碼；

當所述校驗碼模塊查找到所述校驗碼時，向所述CGN隧道管理模塊發送隧道創建指令；

所述CGN隧道管理模塊為所述驗證報文創建IPv4?over?IPv6隧道。

一種隧道認證裝置，所述裝置置于運行商級網絡地址轉換CGN，所述裝置至少包括：CGN隧道管理模塊、網絡協議版本4到網絡協議版本6IPv4?over?IPv6隧道轉發模塊、校驗碼模塊；

所述IPv4?over?IPv6隧道轉發模塊，用于獲取用戶端設備CPE發送的驗證報文，并對所述驗證報文解封裝獲取所述驗證報文攜帶的校驗碼；

所述校驗碼模塊，用于獲取所述IPv4?over?IPv6隧道轉發模塊發送的所述校驗碼，并在本地查找是否存在所述校驗碼；

所述校驗碼模塊，還用于當所述校驗碼模塊查找到所述校驗碼時，向所述CGN隧道管理模塊發送隧道創建指令；

所述CGN隧道管理模塊，用于為所述驗證報文創建IPv4?over?IPv6隧道。