站内自动寻址协议隧道的接入认证方法 【技术领域】
本发明涉及通信技术领域,尤其涉及一种站内自动寻址协议(ISATAP)隧道的接入认证方法。
背景技术
IPv6(互联网协议第六版)的部署是一个逐步扩大的过程,原有IPv4(互联网协议第四版)网络中的节点需要访问IPv6提供的服务,需要通过隧道技术连接IPv6网络。IPv4网络中IPv4/IPv6双栈节点穿过IPv4网络访问IPv6网络的过渡技术中,主要有基本的隧道技术,以及经过改进的ISATAP(站内自动寻址协议,即the Intra-site Automatic TunnelAddressing Protocol)技术。
如图1所示为IPV6数据包隧道封装格式示意图,隧道机制提供了一种利用现有IPv4网络架构实现IPv6通信的方法,基本工作方法如下:
1、隧道入口对IPv6数据包先进行IPv4封装,然后发送。
2、隧道出口收到隧道封装的数据包后,先确认是否需要重组,如果数据包经过分段,那么需要重组;否则不必。然后去掉隧道封装(IPv4报头),对收到的数据包作相应处理。
3、为了使数据包能够顺利通过隧道,隧道入口可能需要维护隧道的软状态信息,比如记录隧道MTU(最大传输单元)等参数。一个网络节点所使用的隧道可能会很多,相关的软状态可以被缓存等不用的时候就丢弃。
除了为IPv6地数据包加上IPv4的数据包头,封装节点还需要:
1、决定是否需要拆分数据包以及是否需要向源端发送“数据包过长”的ICMP(Internet控制消息协议)错误消息;
2、如何将隧道路径上路由器返回给源端的IPv4的错误消息映射成IPv6的ICMP消息。
ISATAP是解决Intranet(内部网,如企业网或校园网)内IPv4-IPv6过渡的关键技术之一,比较好地解决了IPv4 Intranet内双栈节点访问的IPv6网络问题。ISATAP可以使IPv4站点内的双栈节点通过IPv6-in-IPv4自动隧道接入到IPv6路由器,允许与IPv6路由器不共享同一物理链路的双栈节点通过IPv4自动隧道将数据包送达IPv6下一跳。
如图2所示为ISATAP原理示意图,ISATAP路由器位于IPv4和IPv6的边界处,ISATAP链路把IPV4自动隧道当作IPV6链路层传输数据包。ISATAP客户端通过RS/RA/NS/NA(路由器请求/路由器宣告/邻居请求/邻居宣告)来获取路由器的网络地址前缀,ISATAP过渡机制使用一个内嵌IPv4地址的IPv6地址,ISATAP接口标识使用修改的EUI-64格式,它是由32bit字符串“00-00-5E-FE”后加上ISATAP链路上的IPv4地址组成的,因此,全局和本地ISATAP地址格式如图3所示。
由于ISATAP过渡机制使用一个内嵌IPv4地址的IPv6地址,因此无论站点使用的是全球或是私有的IPv4地址,都可以在站点内使用IPv6-in-IPv4的自动隧道技术。ISATAP地址格式既可以使用站点单播IPv6地址前缀也可以使用全局单播IPv6地址前缀,这样就能够支持站点和全局的IPv6路由。
因为隧道的服务可以作为增值服务进行运营,因此,如何管理ISATAP隧道的接入是业务控制的一个重要问题,现有ISATAP技术的局限性在于ISATAP隧道没有接入认证的方案和技术,缺乏接入控制手段,ISATAP隧道的接入不受控,因此无法对ISATAP隧道进行运营和管理。
【发明内容】
本发明所要解决的技术问题是:克服现有的ISATAP技术没有接入认证的不足,提供一种对ISATAP隧道进行接入认证的方法,从而对ISATAP隧道接入进行控制管理,实现对隧道的可运营、可管理。
本发明为解决上述技术问题所采用的技术方案为:
这种站内自动寻址协议隧道的接入认证方法,在路由器上连接访问入口服务器(Portal Server),利用WEB认证方式对站内自动寻址协议(ISATAP)客户端进行认证,包括以下步骤:
A、未通过认证的客户端发往ISATAP路由器接口的报文,除目的地址是访问入口服务器的报文外,强制定向到访问入口服务器;
B、访问入口服务器向客户端提供交互界面,收集用户帐户信息,并将该帐户信息提交给验证设备进行验证;
C、路由器对通过验证的该源IP地址的后续隧道封装报文解封装后进行转发。
所述的步骤A中进一步包括,路由器允许路由器请求(RS)及路由器宣告(RA)报文通过,通过RS/RA报文获取客户端的IPv6地址,并根据该IPV6地址查询IP地址认证表检查该客户端是否通过认证。
所述的步骤A中,客户端强制定向到访问入口服务器时,先由路由器模仿远端服务器与客户端建立传输控制协议(TCP)连接,然后将访问目标地址重定向到访问入口服务器。
所述步骤A中,若报文的目的地址是访问入口服务器,则访问入口服务器直接向客户端提供交互界面,收集用户帐户信息。
所述步骤B中,对本地用户由路由器进行验证;对非本地用户,由路由器将帐户信息通过远程验证拨号用户服务(Radius)报文发送到Radius服务器进行验证。
所述步骤C中进一步包括,认证通过后,在IP地址认证表中建立该客户端IP地址表项,在该表项中设置认证成功标志,标识该客户端主机通过认证。
本发明的有益效果为:本发明利用WEB认证技术对ISATAP接入进行控制管理,无条件允许RS/RA报文通过,允许客户端获取IPV6地址,与访问入口服务器通信进行WEB认证。对通过认证的客户主机发出的隧道封装报文,允许路由器解封装后进行转发;对没有认证的客户主机,则强制定向到访问入口服务器,进行认证,认证通过后才允许转发,从而实现了对ISATAP隧道的接入控制管理,实现了ISATAP隧道的可运营、可管理。
【附图说明】
图1为IPV6数据包隧道封装格式示意图;
图2为ISATAP原理示意图;
图3为ISATAP地址格式示意图;
图4为本发明ISATAP隧道接入认证原理示意图;
图5为本发明WEB认证流程图。
【具体实施方式】
下面根据附图和实施例对本发明作进一步详细说明:
本发明主要解决ISATAP接入控制问题,增强系统的可控制、可管理特性,基本原理是采用WEB认证方式对ISATAP客户进行认证,只允许通过认证的IPv4地址的客户端主机的隧道封装报文通过隧道接口进行转发,其他报文则检查目标IPv6地址,若目标IPv6地址是访问入口服务器(Portal Server)则由Portal Server向客户端推出WEB页面,提供交互界面,进行认证;若目标IPv6地址不是访问入口服务器(PortalServer)则强制定向到Portal Server,由Portal Server向客户端推出WEB页面,提供交互界面,进行认证。
如图4所示为本发明ISATAP隧道接入认证原理示意图,ISATAP路由器位于IPv4和IPv6的边界处,Portal Server位于IPv6网络内,是IPv6网络的通用服务器,Radius Server(远程身份验证拨号用户服务服务器)位于IPv6网络内,只支持IPv6 Radius(远程验证拨号用户服务)报文。
客户主机的所有发往ISATAP接口的报文,除目的地址是PortalServer的报文外,在认证通过前强制定向到Portal Server,Portal Server弹出认证页面,浏览器自动下载Java控制程序或ActiveX控件,用户输入账户名、密码后,控制程序或控件将账户名和密码传送到Portal Server,Portal Server将账户信息送到ISATAP路由器,本地用户由ISATAP路由器进行验证,非本地用户则由ISATAP路由器将账户、密码通过Radius报文发送到Radius Server(远程验证拨号用户服务服务器)进行验证,验证通过后,在路由器IP地址认证表中建立该IP地址对应表项,在该表项中设置认证成功标志,然后对该源IP地址的报文进行转发。
如图5所示为本发明WEB认证流程图,WEB认证过程如下:
1、触发阶段:ISATAP路由器无条件允许RS/RA(路由器请求/路由器通告)报文通过,主机通过RS请求本地路由器发送其路由器通告(RA),路由器周期性发送RA,宣告其可用性以及网络地址前缀等参数。客户端通过RS/RA获取网络地址前缀后,由客户端自动生成内嵌源IPV4地址的IPv6地址,以便实现与访问入口服务器的通信,IPV6地址格式为如图3所示格式。
然后,ISATAP客户端发出超级文本传输协议(HTTP)访问请求,ISATAP路由器根据RS的源IPv6地址查询路由器IP地址认证表,检查该源地址是否通过认证,所述的IP地址认证表中包括源IPV6地址及认证通过标志。若没有通过认证,ISATAP路由器模仿要访问的服务器与客户端主机建立TCP(传输控制协议)连接(即进行TCP仿冒),建立TCP连接后,路由器向客户端主机发送请求回应HTTP-Resp,将目标地址重定向到Portal服务器,开始发起认证过程;若该源IP地址已通过认证,则允许该客户端主机的隧道封装报文在路由器上解封装后进行转发。
2、认证阶段:目标地址重定向到Portal服务器后重新建立到Portal服务器的连接,Portal服务器接受客户主机发出的HTTP认证请求,然后向客户端推出WEB页面,提供交互界面,用户在交互界面上输入帐户名和密码,单击确认,WEB页面将帐户名和密码提交给Portal服务器。
Portal服务器向路由器发出授权请求(Auth_Request),将帐户名和密码提交给ISATAP路由器的WEB认证模块,若目标地址为本地用户,则由路由器进行认证;若非本地用户,则WEB认证模块根据账户名和密码向Radius Server发起认证请求(Radius_Access_Request),RadiusServer进行认证后将认证结果和授权信息(Radius_Access_Accept)下发给ISATAP路由器的WEB认证模块。
3、认证成功后:ISATAP路由器的WEB认证模块在IP地址认证表的相应表项中设置认证通过标志,同时以请求回应消息(Auth_Response)通知Portal服务器,Portal服务器将认证结果通过web页面发送给用户。该IP地址客户主机的后续报文全部通过,客户主机与PORTAL服务器定期握手。
本发明将WEB认证技术集成到ISATAP隧道上,实现了对ISATAP隧道接入的控制管理,只有通过认证的源IPv4地址的隧道报文能被ISATAP接口转发,其他报文则分析是否是转发到Portal Server的报文,否则强制重定向到Portal Server进行认证。本发明实现了对ISATAP接入的控制管理,实现了ISATAP隧道的可运营、可管理。