DS-Lite技术综合了IPv4 over IPv6隧道技术和NAT（Network Address Translation，网络地址转换）技术，利用隧道技术实现通过IPv6网络连接隔离的IPv4网络，利用NAT技术实现不同的用户网络共享相同的IPv4地址空间，减缓IPv4地址的耗尽速度。

如图1所示，为DS-List典型组网示意图，在运营商局端部署AFTR（Address Family Transition Router，地址族转换路由器），用户侧部署B4（Basic Bridging Broadband，基本桥接宽带）设备，AFTR和B4设备之间使用IPv6地址进行通信。AFTR上建立一个一对多的IPv4 over IPv6隧道，B4设备上建立一对一的IPv4 over IPv6隧道。这样，一个AFTR可以同时连接多个B4设备；B4设备连接的Client（客户端）使用私网IPv4地址，不同的B4设备下的Client的IPv4地址可以重叠。B4设备端手工指定DS-Lite隧道的源/目的IPv6地址，AFTR端仅指定DS-Lite隧道的源地址，不指定目的地址。

B4设备以隧道源地址所引用的物理接口的IPv6地址作为源地址，以AFTR的IPv6地址作为目的地址，将封装形成的IPv6报文发往IPv6网络，最终到达AFTR。AFTR对报文解封装后，对原始IPv4请求报文的源地址进行NAT处理，然后将IPv4请求报文发给公网IPv4服务器。

由于AFTR依靠会话表项建立与隧道对端的对应关系，而AFTR建立隧道连接和创建会话表项并无明确的安全性限制，则攻击者可能伪冒大量B4设备向AFTR发起连接，AFTR很可能由于收到大量的虚假隧道报文而停止对正常报文的处理。

为此，本发明提出一种新的DS-Lite组网下的安全增强方法，主要是通过DHCP Server将分配的合法B4设备地址通告给AFTR，使得AFTR能够识别出B4设备地址是否合法。此方法的特点在于：

1.地址族转换路由器AFTR接收DHCPv6服务器发来的第一通告报文，将所述第一通告报文携带的DHCPv6服务器为基本桥接宽带B4设备分配的IPv6地址、租约时间保存在B4设备地址列表中。

2.AFTR从DS-Lite隧道接收IPv6报文，将所述IPv6报文的源IPv6地址与B4设备地址列表中的IPv6地址进行匹配，若B4设备地址列表中存在与所述源IPv6地址匹配的IPv6地址，则处理所述IPv6报文，否则，丢弃所述IPv6报文。

下面通过图2改进后DS-lite组网为例，具体说本发明如何使得AFTR能够识别出B4设备地址是否合法，从而避免非法设备冒充B4设备对AFTR的攻击。在图2中，Client1、Client2位于IPv4私网中，Client2的地址为192.1.1.1，IPv4私网和IPv4公网之间通过DS-Lite隧道进行连接，AFTR已在DNS服务器上注册了其域名www.aftr.com，AFTR的IPv6地址为1000::1。

在图3中，B4_2设备启动后，向DHCPv6 Server2发送DHCP请求报文，以请求DHCPv6 Server2为自身分配DS-Lite隧道的源接口所引用的物理接口IPv6地址以及AFTR的域名或IPv6地址。

DHCPv6 Server2接收该DHCP请求报文，为B4_2设备分配DS-Lite隧道的源接口所引用的物理接口的IPv6地址1000::2以及AFTR的域名www.aftr.com或IPv6地址1000::1，并携带在DHCP响应报文中返回给B4_2设备；同时，DHCPv6 Server2向AFTR发送第一通告报文（即IPv6 UDP报文），该第一通告报文携带B4_2设备的DS-Lite隧道的源接口所引用的物理接口的IPv6地址1000::2以及该IPv6地址的租约时间20min。

AFTR接收第一通告报文，将第一通告报文中的DHCPv6 Server2的地址以及B4_2设备的DS-Lite隧道的源接口所引用的物理接口的IPv6地址和该IPv6地址的租约时间添加到B4_2设备地址列表中。AFTR从DS-Lite隧道接收到IPv6报文(即封装后的FTP请求报文)，若确认自身还不存在该IPv6报文对应的会话表项，则在自身记录的B4_2设备地址列表中查找该报文的源IPv6地址1000::2，若查找到，则处理该IPv6报文；否则，丢弃该IPv6报文。

在本发明中，AFTR可以通过判断B4_2设备地址列表中是否存在B4_2设备地址，从而判定B4_2设备地址是否合法。

技术点评

在本发明中，通过DHCP Server将分配的合法的B4设备地址通告给AFTR，使得AFTR能够识别出B4设备地址是否合法，避免了非法设备冒充B4设备对AFTR的攻击，增强了DS-Lite隧道连接的安全性。