專利名稱:站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種站內(nèi)自動尋址協(xié)議(ISATAP)隧道的接入認(rèn)證方法。
背景技術(shù):
IPv6(互聯(lián)網(wǎng)協(xié)議第六版)的部署是一個逐步擴大的過程�����,原有IPv4(互聯(lián)網(wǎng)協(xié)議第四版)網(wǎng)絡(luò)中的節(jié)點需要訪問IPv6提供的服務(wù)�����,需要通過隧道技術(shù)連接IPv6網(wǎng)絡(luò)���。IPv4網(wǎng)絡(luò)中IPv4/IPv6雙棧節(jié)點穿過IPv4網(wǎng)絡(luò)訪問IPv6網(wǎng)絡(luò)的過渡技術(shù)中,主要有基本的隧道技術(shù)��,以及經(jīng)過改進的ISATAP(站內(nèi)自動尋址協(xié)議,即the Intra-site Automatic TunnelAddressing Protocol)技術(shù)���。
如圖1所示為IPV6數(shù)據(jù)包隧道封裝格式示意圖�,隧道機制提供了一種利用現(xiàn)有IPv4網(wǎng)絡(luò)架構(gòu)實現(xiàn)IPv6通信的方法�����,基本工作方法如下1�����、隧道入口對IPv6數(shù)據(jù)包先進行IPv4封裝���,然后發(fā)送����。
2���、隧道出口收到隧道封裝的數(shù)據(jù)包后�,先確認(rèn)是否需要重組����,如果數(shù)據(jù)包經(jīng)過分段���,那么需要重組;否則不必�。然后去掉隧道封裝(IPv4報頭),對收到的數(shù)據(jù)包作相應(yīng)處理�。
3、為了使數(shù)據(jù)包能夠順利通過隧道�,隧道入口可能需要維護隧道的軟狀態(tài)信息,比如記錄隧道MTU(最大傳輸單元)等參數(shù)���。一個網(wǎng)絡(luò)節(jié)點所使用的隧道可能會很多��,相關(guān)的軟狀態(tài)可以被緩存等不用的時候就丟棄���。
除了為IPv6的數(shù)據(jù)包加上IPv4的數(shù)據(jù)包頭,封裝節(jié)點還需要1���、決定是否需要拆分?jǐn)?shù)據(jù)包以及是否需要向源端發(fā)送“數(shù)據(jù)包過長”的ICMP(Internet控制消息協(xié)議)錯誤消息�;2�����、如何將隧道路徑上路由器返回給源端的IPv4的錯誤消息映射成IPv6的ICMP消息�。
ISATAP是解決Intranet(內(nèi)部網(wǎng),如企業(yè)網(wǎng)或校園網(wǎng))內(nèi)IPv4-IPv6過渡的關(guān)鍵技術(shù)之一����,比較好地解決了IPv4 Intranet內(nèi)雙棧節(jié)點訪問的IPv6網(wǎng)絡(luò)問題。ISATAP可以使IPv4站點內(nèi)的雙棧節(jié)點通過IPv6-in-IPv4自動隧道接入到IPv6路由器�����,允許與IPv6路由器不共享同一物理鏈路的雙棧節(jié)點通過IPv4自動隧道將數(shù)據(jù)包送達IPv6下一跳����。
如圖2所示為ISATAP原理示意圖,ISATAP路由器位于IPv4和IPv6的邊界處�����,ISATAP鏈路把IPV4自動隧道當(dāng)作IPV6鏈路層傳輸數(shù)據(jù)包���。ISATAP客戶端通過RS/RA/NS/NA(路由器請求/路由器宣告/鄰居請求/鄰居宣告)來獲取路由器的網(wǎng)絡(luò)地址前綴��,ISATAP過渡機制使用一個內(nèi)嵌IPv4地址的IPv6地址��,ISATAP接口標(biāo)識使用修改的EUI-64格式��,它是由32bit字符串“00-00-5E-FE”后加上ISATAP鏈路上的IPv4地址組成的����,因此,全局和本地ISATAP地址格式如圖3所示�����。
由于ISATAP過渡機制使用一個內(nèi)嵌IPv4地址的IPv6地址�,因此無論站點使用的是全球或是私有的IPv4地址,都可以在站點內(nèi)使用IPv6-in-IPv4的自動隧道技術(shù)��。ISATAP地址格式既可以使用站點單播IPv6地址前綴也可以使用全局單播IPv6地址前綴���,這樣就能夠支持站點和全局的IPv6路由�����。
因為隧道的服務(wù)可以作為增值服務(wù)進行運營����,因此��,如何管理ISATAP隧道的接入是業(yè)務(wù)控制的一個重要問題��,現(xiàn)有ISATAP技術(shù)的局限性在于ISATAP隧道沒有接入認(rèn)證的方案和技術(shù),缺乏接入控制手段���,ISATAP隧道的接入不受控,因此無法對ISATAP隧道進行運營和管理�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是克服現(xiàn)有的ISATAP技術(shù)沒有接入認(rèn)證的不足,提供一種對ISATAP隧道進行接入認(rèn)證的方法����,從而對ISATAP隧道接入進行控制管理,實現(xiàn)對隧道的可運營��、可管理����。
本發(fā)明為解決上述技術(shù)問題所采用的技術(shù)方案為這種站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法,在路由器上連接訪問入口服務(wù)器(Portal Server)�,利用WEB認(rèn)證方式對站內(nèi)自動尋址協(xié)議(ISATAP)客戶端進行認(rèn)證,包括以下步驟A�����、未通過認(rèn)證的客戶端發(fā)往ISATAP路由器接口的報文��,除目的地址是訪問入口服務(wù)器的報文外����,強制定向到訪問入口服務(wù)器�����;B�、訪問入口服務(wù)器向客戶端提供交互界面�����,收集用戶帳戶信息����,并將該帳戶信息提交給驗證設(shè)備進行驗證;C����、路由器對通過驗證的該源IP地址的后續(xù)隧道封裝報文解封裝后進行轉(zhuǎn)發(fā)。
所述的步驟A中進一步包括�����,路由器允許路由器請求(RS)及路由器宣告(RA)報文通過�����,通過RS/RA報文獲取客戶端的IPv6地址,并根據(jù)該IPV6地址查詢IP地址認(rèn)證表檢查該客戶端是否通過認(rèn)證����。
所述的步驟A中,客戶端強制定向到訪問入口服務(wù)器時���,先由路由器模仿遠(yuǎn)端服務(wù)器與客戶端建立傳輸控制協(xié)議(TCP)連接,然后將訪問目標(biāo)地址重定向到訪問入口服務(wù)器��。
所述步驟A中���,若報文的目的地址是訪問入口服務(wù)器���,則訪問入口服務(wù)器直接向客戶端提供交互界面,收集用戶帳戶信息�����。
所述步驟B中�����,對本地用戶由路由器進行驗證���;對非本地用戶����,由路由器將帳戶信息通過遠(yuǎn)程驗證撥號用戶服務(wù)(Radius)報文發(fā)送到Radius服務(wù)器進行驗證。
所述步驟C中進一步包括�,認(rèn)證通過后,在IP地址認(rèn)證表中建立該客戶端IP地址表項�,在該表項中設(shè)置認(rèn)證成功標(biāo)志,標(biāo)識該客戶端主機通過認(rèn)證���。
本發(fā)明的有益效果為本發(fā)明利用WEB認(rèn)證技術(shù)對ISATAP接入進行控制管理�,無條件允許RS/RA報文通過��,允許客戶端獲取IPV6地址�����,與訪問入口服務(wù)器通信進行WEB認(rèn)證�。對通過認(rèn)證的客戶主機發(fā)出的隧道封裝報文,允許路由器解封裝后進行轉(zhuǎn)發(fā)�����;對沒有認(rèn)證的客戶主機����,則強制定向到訪問入口服務(wù)器����,進行認(rèn)證�����,認(rèn)證通過后才允許轉(zhuǎn)發(fā)���,從而實現(xiàn)了對ISATAP隧道的接入控制管理,實現(xiàn)了ISATAP隧道的可運營��、可管理����。
圖1為IPV6數(shù)據(jù)包隧道封裝格式示意圖;圖2為ISATAP原理示意圖�;圖3為ISATAP地址格式示意圖;圖4為本發(fā)明ISATAP隧道接入認(rèn)證原理示意圖����;圖5為本發(fā)明WEB認(rèn)證流程圖。
具體實施例方式
下面根據(jù)附圖和實施例對本發(fā)明作進一步詳細(xì)說明本發(fā)明主要解決ISATAP接入控制問題�����,增強系統(tǒng)的可控制、可管理特性���,基本原理是采用WEB認(rèn)證方式對ISATAP客戶進行認(rèn)證���,只允許通過認(rèn)證的IPv4地址的客戶端主機的隧道封裝報文通過隧道接口進行轉(zhuǎn)發(fā),其他報文則檢查目標(biāo)IPv6地址��,若目標(biāo)IPv6地址是訪問入口服務(wù)器(Portal Server)則由Portal Server向客戶端推出WEB頁面�,提供交互界面,進行認(rèn)證�����;若目標(biāo)IPv6地址不是訪問入口服務(wù)器(PortalServer)則強制定向到Portal Server��,由Portal Server向客戶端推出WEB頁面���,提供交互界面��,進行認(rèn)證�。
如圖4所示為本發(fā)明ISATAP隧道接入認(rèn)證原理示意圖�����,ISATAP路由器位于IPv4和IPv6的邊界處,Portal Server位于IPv6網(wǎng)絡(luò)內(nèi)�,是IPv6網(wǎng)絡(luò)的通用服務(wù)器,Radius Server(遠(yuǎn)程身份驗證撥號用戶服務(wù)服務(wù)器)位于IPv6網(wǎng)絡(luò)內(nèi)�,只支持IPv6 Radius(遠(yuǎn)程驗證撥號用戶服務(wù))報文。
客戶主機的所有發(fā)往ISATAP接口的報文����,除目的地址是PortalServer的報文外,在認(rèn)證通過前強制定向到Portal Server�����,Portal Server彈出認(rèn)證頁面�����,瀏覽器自動下載Java控制程序或ActiveX控件���,用戶輸入賬戶名、密碼后����,控制程序或控件將賬戶名和密碼傳送到Portal Server��,Portal Server將賬戶信息送到ISATAP路由器����,本地用戶由ISATAP路由器進行驗證�,非本地用戶則由ISATAP路由器將賬戶、密碼通過Radius報文發(fā)送到Radius Server(遠(yuǎn)程驗證撥號用戶服務(wù)服務(wù)器)進行驗證����,驗證通過后,在路由器IP地址認(rèn)證表中建立該IP地址對應(yīng)表項�,在該表項中設(shè)置認(rèn)證成功標(biāo)志,然后對該源IP地址的報文進行轉(zhuǎn)發(fā)����。
如圖5所示為本發(fā)明WEB認(rèn)證流程圖,WEB認(rèn)證過程如下1��、觸發(fā)階段ISATAP路由器無條件允許RS/RA(路由器請求/路由器通告)報文通過�����,主機通過RS請求本地路由器發(fā)送其路由器通告(RA)�����,路由器周期性發(fā)送RA,宣告其可用性以及網(wǎng)絡(luò)地址前綴等參數(shù)���?���?蛻舳送ㄟ^RS/RA獲取網(wǎng)絡(luò)地址前綴后�,由客戶端自動生成內(nèi)嵌源IPV4地址的IPv6地址,以便實現(xiàn)與訪問入口服務(wù)器的通信�,IPV6地址格式為如圖3所示格式。
然后�����,ISATAP客戶端發(fā)出超級文本傳輸協(xié)議(HTTP)訪問請求�,ISATAP路由器根據(jù)RS的源IPv6地址查詢路由器IP地址認(rèn)證表,檢查該源地址是否通過認(rèn)證���,所述的IP地址認(rèn)證表中包括源IPV6地址及認(rèn)證通過標(biāo)志。若沒有通過認(rèn)證�����,ISATAP路由器模仿要訪問的服務(wù)器與客戶端主機建立TCP(傳輸控制協(xié)議)連接(即進行TCP仿冒),建立TCP連接后��,路由器向客戶端主機發(fā)送請求回應(yīng)HTTP-Resp�����,將目標(biāo)地址重定向到Portal服務(wù)器��,開始發(fā)起認(rèn)證過程�����;若該源IP地址已通過認(rèn)證�,則允許該客戶端主機的隧道封裝報文在路由器上解封裝后進行轉(zhuǎn)發(fā)。
2����、認(rèn)證階段目標(biāo)地址重定向到Portal服務(wù)器后重新建立到Portal服務(wù)器的連接,Portal服務(wù)器接受客戶主機發(fā)出的HTTP認(rèn)證請求����,然后向客戶端推出WEB頁面,提供交互界面���,用戶在交互界面上輸入帳戶名和密碼�,單擊確認(rèn),WEB頁面將帳戶名和密碼提交給Portal服務(wù)器���。
Portal服務(wù)器向路由器發(fā)出授權(quán)請求(Auth_Request)�����,將帳戶名和密碼提交給ISATAP路由器的WEB認(rèn)證模塊����,若目標(biāo)地址為本地用戶�����,則由路由器進行認(rèn)證����;若非本地用戶,則WEB認(rèn)證模塊根據(jù)賬戶名和密碼向Radius Server發(fā)起認(rèn)證請求(Radius_Access_Request)����,RadiusServer進行認(rèn)證后將認(rèn)證結(jié)果和授權(quán)信息(Radius_Access_Accept)下發(fā)給ISATAP路由器的WEB認(rèn)證模塊。
3��、認(rèn)證成功后ISATAP路由器的WEB認(rèn)證模塊在IP地址認(rèn)證表的相應(yīng)表項中設(shè)置認(rèn)證通過標(biāo)志�,同時以請求回應(yīng)消息(Auth_Response)通知Portal服務(wù)器,Portal服務(wù)器將認(rèn)證結(jié)果通過web頁面發(fā)送給用戶��。該IP地址客戶主機的后續(xù)報文全部通過�,客戶主機與PORTAL服務(wù)器定期握手。
本發(fā)明將WEB認(rèn)證技術(shù)集成到ISATAP隧道上�,實現(xiàn)了對ISATAP隧道接入的控制管理,只有通過認(rèn)證的源IPv4地址的隧道報文能被ISATAP接口轉(zhuǎn)發(fā)��,其他報文則分析是否是轉(zhuǎn)發(fā)到Portal Server的報文��,否則強制重定向到Portal Server進行認(rèn)證����。本發(fā)明實現(xiàn)了對ISATAP接入的控制管理,實現(xiàn)了ISATAP隧道的可運營����、可管理。
權(quán)利要求
1.一種站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法��,其特征在于在路由器上連接訪問入口服務(wù)器(Portal Server)�,利用WEB認(rèn)證方式對站內(nèi)自動尋址協(xié)議(ISATAP)客戶端進行認(rèn)證,包括以下步驟A�����、未通過認(rèn)證的客戶端發(fā)往ISATAP路由器接口的報文,除目的地址是訪問入口服務(wù)器的報文外�,強制定向到訪問入口服務(wù)器;B�、訪問入口服務(wù)器向客戶端提供交互界面,收集用戶帳戶信息��,并將該帳戶信息提交給驗證設(shè)備進行驗證����;C、路由器對通過驗證的該源IP地址的后續(xù)隧道封裝報文解封裝后進行轉(zhuǎn)發(fā)���。
2.根據(jù)權(quán)利要求1所述的站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法�,其特征在于所述的步驟A中進一步包括���,路由器允許路由器請求(RS)及路由器宣告(RA)報文通過�����,通過RS/RA報文獲取客戶端的IPv6地址�,并根據(jù)該IPV6地址查詢IP地址認(rèn)證表檢查該客戶端是否通過認(rèn)證��。
3.根據(jù)權(quán)利要求1或2所述的站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法�,其特征在于所述的步驟A中��,客戶端強制定向到訪問入口服務(wù)器時�����,先由路由器模仿遠(yuǎn)端服務(wù)器與客戶端建立傳輸控制協(xié)議(TCP)連接,然后將訪問目標(biāo)地址重定向到訪問入口服務(wù)器�����。
4.根據(jù)權(quán)利要求1所述的站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法���,其特征在于所述步驟A中���,若報文的目的地址是訪問入口服務(wù)器,則訪問入口服務(wù)器直接向客戶端提供交互界面�,收集用戶帳戶信息。
5.根據(jù)權(quán)利要求1所述的站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法��,其特征在于所述步驟B中���,對本地用戶由路由器進行驗證���;對非本地用戶��,由路由器將帳戶信息通過遠(yuǎn)程驗證撥號用戶服務(wù)(Radius)報文發(fā)送到Radius服務(wù)器進行驗證�����。
6.根據(jù)權(quán)利要求1所述的站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法��,其特征在于所述步驟C中進一步包括��,認(rèn)證通過后����,在IP地址認(rèn)證表中建立該客戶端IP地址表項���,在該表項中設(shè)置認(rèn)證成功標(biāo)志��,標(biāo)識該客戶端主機通過認(rèn)證��。
全文摘要
一種站內(nèi)自動尋址協(xié)議隧道的接入認(rèn)證方法��,在路由器上連接訪問入口服務(wù)器(Portal Server)����,利用WEB認(rèn)證方式對站內(nèi)自動尋址協(xié)議(ISATAP)客戶端進行認(rèn)證,未通過認(rèn)證的客戶端發(fā)往ISATAP路由器接口的報文��,除目的地址是訪問入口服務(wù)器的報文外��,強制定向到訪問入口服務(wù)器���;訪問入口服務(wù)器向客戶端提供交互界面���,收集用戶帳戶信息���,并將該帳戶信息提交給驗證設(shè)備進行驗證�����;路由器對通過驗證的該源IP地址的后續(xù)隧道封裝報文解封裝后進行轉(zhuǎn)發(fā)�。本發(fā)明實現(xiàn)了對ISATAP接入的控制管理�,實現(xiàn)了ISATAP隧道的可運營、可管理��。
文檔編號H04L12/24GK1571334SQ03178579
公開日2005年1月26日 申請日期2003年7月18日 優(yōu)先權(quán)日2003年7月18日
發(fā)明者羅漢軍, 雷文陽, 陳保江, 王靖宇 申請人:華為技術(shù)有限公司