轻型双栈（DS-Lite）合法用户验证技术要求.pdfVIP

轻型双栈（DS-Lite）合法用户验证技术要求

1范围

本文件针对传统轻型双栈（DS-Lite）环境中地址族过渡路由器单元（AFTR）设备公网地址容易被

探测易产生安全隐患的问题，定义了一种对网关基本桥接宽带单元（B4）隧道建立请求进行合法性检

测的方法，提升AFTR设备的安全防护能力。

本文件适用于轻型双栈过渡技术中局端AFTR设备的安全部署。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

IETFRFC6333IPv4地址枯竭后的DS-Lite宽带部署(Dual-StackLiteBroadbandDeployments

FollowingIPv4Exhaustion)

IETFRFC7596轻量级4over6:双栈精简架构的扩展(Lightweight4over6:AnExtensiontothe

Dual-StackLiteArchitecture)

3缩略语

下列缩略语适用于本文件。

AAA：验证、授权和记账（Authentication、Authorization、Accounting）

AFTR：地址族过渡路由器单元（AddressFamilyTransitionRouter）

B4：网关基本桥接宽带单元（BasicBridgingBroadBand）

BRAS：远程宽带接入服务器（BroadbandRemoteAccessServer）

DS-Lite：轻型双栈（Dual-StackLite）

FQDN：完全合格域名（FullyQualifiedDomainname）

PPP：点到点协议（Point-to-PointProtocol）

4概述

轻型双栈(DS-Lite)是一种用户接入领域的过渡技术，采用IPv4inIPv6隧道技术，运营商只需要

为用户分配IPv6地址，既可以实现用户的双栈上网。此技术见IETFRFC6333，IETFRFC7596也对其

架构进行扩展，通过引入轻量级的4over6的转换机制，改进了DS-Lite的性能和可扩展性，以更好地

支持IPv4到IPv6的过渡。

1

图1合法用户上线

随着IPv6日益普及，轻型双栈作为现网主推的过渡技术方案其部署规模将迅速扩大，然而由于AFR

使用公网地址对外提供服务，且该地址很容易被公众用户得到，而AFTR并未对来自B4的隧道建立请求

进行任何合法性检测，因此存在一定的安全隐患。

图2非法用户入侵

在传统的DS-Lite环境中，用户（B4）发起PPP连接并取得AFTR的FQDN域名后，即可向AFTR发

起隧道建立请求,如图1所示；而AFTR并未对来自B4的隧道建立请求进行任何合法性检测，使用公网

地址的AFTR网关设备将会很容易受到各类欺骗性攻击导致瘫痪，如图2所示。因此，为了更好推动轻

型双栈安全部署和应用，在IPv6过渡时期有必要为AFTR提供一种对B4隧道建立请求进行合法性检测

的方法，从而提升AFTR设备的安全防护能力。采用本文件中提出的合法性检测方法，能够剔除非法访

问用户，同时不对AFTR造成额外的系统负担。

5技术要求

本文件提出了一种在IPv6过渡时期、轻型双栈的隧道环境下实现IPv6用户合法性验证的方法，借助

AFTR与AAA交互和本地表查询实现，以实现忽略时延和提供更好的安全性。具体的技术要求如下：

图3IPv6合法前缀同步流程图

2

a)合法用户认证和地址分配，总体流程如图3所示：

1)合法用户上线并发起PPP连接后，BRAS对其身份进行认证，验证其合法性；

2)BRAS需要下发合法的IPv6地址前缀给合法用户，确保其具备可用的IPv6地址；

3