总第14期
Patent    专利
Patent    专利
借助DHCP服务器,提升DS-Lite组网安全性
文/彭欢
分享

DS-Lite技术综合了IPv4 over IPv6隧道技术和NAT(Network Address Translation,网络地址转换)技术,利用隧道技术实现通过IPv6网络连接隔离的IPv4网络,利用NAT技术实现不同的用户网络共享相同的IPv4地址空间,减缓IPv4地址的耗尽速度。

如图1所示,为DS-List典型组网示意图,在运营商局端部署AFTR(Address Family Transition Router,地址族转换路由器),用户侧部署B4(Basic Bridging Broadband,基本桥接宽带)设备,AFTR和B4设备之间使用IPv6地址进行通信。AFTR上建立一个一对多的IPv4 over IPv6隧道,B4设备上建立一对一的IPv4 over IPv6隧道。这样,一个AFTR可以同时连接多个B4设备;B4设备连接的Client(客户端)使用私网IPv4地址,不同的B4设备下的Client的IPv4地址可以重叠。B4设备端手工指定DS-Lite隧道的源/目的IPv6地址,AFTR端仅指定DS-Lite隧道的源地址,不指定目的地址。

B4设备以隧道源地址所引用的物理接口的IPv6地址作为源地址,以AFTR的IPv6地址作为目的地址,将封装形成的IPv6报文发往IPv6网络,最终到达AFTR。AFTR对报文解封装后,对原始IPv4请求报文的源地址进行NAT处理,然后将IPv4请求报文发给公网IPv4服务器。

由于AFTR依靠会话表项建立与隧道对端的对应关系,而AFTR建立隧道连接和创建会话表项并无明确的安全性限制,则攻击者可能伪冒大量B4设备向AFTR发起连接,AFTR很可能由于收到大量的虚假隧道报文而停止对正常报文的处理。

为此,本发明提出一种新的DS-Lite组网下的安全增强方法,主要是通过DHCP Server将分配的合法B4设备地址通告给AFTR,使得AFTR能够识别出B4设备地址是否合法。此方法的特点在于:

1.地址族转换路由器AFTR接收DHCPv6服务器发来的第一通告报文,将所述第一通告报文携带的DHCPv6服务器为基本桥接宽带B4设备分配的IPv6地址、租约时间保存在B4设备地址列表中。

2.AFTR从DS-Lite隧道接收IPv6报文,将所述IPv6报文的源IPv6地址与B4设备地址列表中的IPv6地址进行匹配,若B4设备地址列表中存在与所述源IPv6地址匹配的IPv6地址,则处理所述IPv6报文,否则,丢弃所述IPv6报文。

下面通过图2改进后DS-lite组网为例,具体说本发明如何使得AFTR能够识别出B4设备地址是否合法,从而避免非法设备冒充B4设备对AFTR的攻击。在图2中,Client1、Client2位于IPv4私网中,Client2的地址为192.1.1.1,IPv4私网和IPv4公网之间通过DS-Lite隧道进行连接,AFTR已在DNS服务器上注册了其域名www.aftr.com,AFTR的IPv6地址为1000::1。

在图3中,B4_2设备启动后,向DHCPv6 Server2发送DHCP请求报文,以请求DHCPv6 Server2为自身分配DS-Lite隧道的源接口所引用的物理接口IPv6地址以及AFTR的域名或IPv6地址。

DHCPv6 Server2接收该DHCP请求报文,为B4_2设备分配DS-Lite隧道的源接口所引用的物理接口的IPv6地址1000::2以及AFTR的域名www.aftr.com或IPv6地址1000::1,并携带在DHCP响应报文中返回给B4_2设备;同时,DHCPv6 Server2向AFTR发送第一通告报文(即IPv6 UDP报文),该第一通告报文携带B4_2设备的DS-Lite隧道的源接口所引用的物理接口的IPv6地址1000::2以及该IPv6地址的租约时间20min。

AFTR接收第一通告报文,将第一通告报文中的DHCPv6 Server2的地址以及B4_2设备的DS-Lite隧道的源接口所引用的物理接口的IPv6地址和该IPv6地址的租约时间添加到B4_2设备地址列表中。AFTR从DS-Lite隧道接收到IPv6报文(即封装后的FTP请求报文),若确认自身还不存在该IPv6报文对应的会话表项,则在自身记录的B4_2设备地址列表中查找该报文的源IPv6地址1000::2,若查找到,则处理该IPv6报文;否则,丢弃该IPv6报文。

在本发明中,AFTR可以通过判断B4_2设备地址列表中是否存在B4_2设备地址,从而判定B4_2设备地址是否合法。

专利点评

在本发明中,通过DHCP Server将分配的合法的B4设备地址通告给AFTR,使得AFTR能够识别出B4设备地址是否合法,避免了非法设备冒充B4设备对AFTR的攻击,增强了DS-Lite隧道连接的安全性。

分享到
关闭