CN100454886C - 在作为基于业务的策略(sblp)的执行点的网络网关处的数据分组过滤 - Google Patents
在作为基于业务的策略(sblp)的执行点的网络网关处的数据分组过滤 Download PDFInfo
- Publication number
- CN100454886C CN100454886C CNB2003801030432A CN200380103043A CN100454886C CN 100454886 C CN100454886 C CN 100454886C CN B2003801030432 A CNB2003801030432 A CN B2003801030432A CN 200380103043 A CN200380103043 A CN 200380103043A CN 100454886 C CN100454886 C CN 100454886C
- Authority
- CN
- China
- Prior art keywords
- address
- network
- grouping
- destination
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 8
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000004891 communication Methods 0.000 claims abstract description 13
- 230000008569 process Effects 0.000 claims description 15
- 230000008859 change Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims 1
- 230000000903 blocking effect Effects 0.000 abstract 1
- 238000013475 authorization Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/06—Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及在分组数据通信会话过程中通过网络网关对从源节点发送到目的节点的数据分组进行过滤的方法。在所述网络网关(GGSN)执行所述过滤。所述目的节点或所述源节点在所述会话的第一阶段过程中具有第一网络地址,而在所述会话的后续的第二阶段过程中具有不同的第二地址。所述数据包具有包括目的地址在内的报头以及扩展报头,该扩展报头用于在所述第二阶段过程中发送进一步的地址信息,所述方法包括选择性的阻挡所述数据分组中所述目的地址和所述扩展报头均不匹配预定地址准则的多个数据分组。
Description
技术领域
本发明涉及使得分组交换数据网络的网关节点能够在会话过程中改变分组报头目的地址时保持基于目的地址的分组过滤器的装置和方法。
更具体地,但并非唯一地,本发明涉及使得2G或3G通用分组无线业务(GPRS)网络的通用分组无线业务网关支持节点(GGSN)能够在IP会话过程中支持可能导致目的地址改变的漫游的同时,根据离开或到达GPRS网络的数据分组的目的地址来应用基于SBLP(基于业务的本地策略)的选通(gating)功能。
背景技术
虽然传统的2G移动网络(例如遵循全球移动通信系统(GSM)标准的网络)为用户的移动站(MS)提供了电路交换语音和数据业务,但是在移动通信工业中存在采用分组交换移动网络的强大势头。分组交换移动网络在网络和无线资源有效性方面具有显著的优势,并且能够提供更先进的用户业务。通过固定通信网络和移动通信网络的结合,在固定网络中普及的互联网协议(IP)是移动分组网络的分组路由机制的自然选择。当前IP版本4(IPv4)广泛应用于固定网络域。但是,期望将其逐渐移植到IP版本6(IPv6),其在如下方面提供了比IPv4更为显著的优势:大大增加的地址空间、更有效的路由、更大的扩展性、提高的安全性、服务质量(QoS)综合性、支持多播以及其它特征。
目前采用的移动分组交换业务的具体示例包括在2G GSM网络和3G通用移动通信系统(UMTS)网络(下文中称为GPRS网络)中实现的通用分组无线业务(GPRS)。还预期诸如无线局域网(wLAN)的非GPRS无线接入技术将在诸如热点的某些区域(会议中心、机场、展览中心等)中为本地宽带业务接入提供对于GPRS的灵活低成本的补充。因此,移动网络运营商希望支持移动站在GPRS与非GPRS网络或子网之间的漫游。
读者可以参考GPRS业务描述(版本1999)技术规范,其被称为3GTS 23.060 v3.12.0(2002-06),并且该技术规范可以从3GPP网站http://www.3gpp.org/ftp/specs/2002-06/R1999/23_series/获得,该技术规范提供了2G(GPRS/GSM)和3G(GPRS/UMTS)移动分组网络的详细业务描述。尽管将在下面详细说明其它的方面,但是GPRS网络的功能通常是公知的。
为了接入GPRS分组交换业务,MS首先通过SGSN执行GPRS附着(attach)过程(2G GSM GPRS附着或3G UMTS GPRS附着)。执行验证和位置更新过程,如果成功,则GPRS附着过程使得可以通过SGSN寻呼到MS并通知该MS有输入分组数据。但是,为了实际发送和接收分组数据,该MS必须具有分配的分组数据协议(PDP)地址(例如IP地址),并且必须激活通过该PDP使用的至少一个PDP上下文。MS的各个PDP地址可以具有与其相关联的-个或更多个PDP上下文,并且将定义PDP上下文的数据存储在该MS、SGSN和GGSN中。PDP上下文激活处理使得不仅SGSN获悉该MS,还使对应的GGSN获悉该MS,并可以开始与外部数据网的交互工作。
尽管从开始时就被设计为移动网络的GPRS网络具有嵌入的移动性管理(对于GPRS网络内的MS)和漫游功能(对于GPRS网络之间的MS漫游),但是互联网工程任务组(IETF)仍进行工作以总体上支持IP用户终端的移动性。为此,IETF已经开发出移动IP(MIP)协议。MIP被设计为当移动站(或者MIP术语中的移动节点(MN))在具有不同子网前缀的IP网络之间移动时支持移动性(宏移动性)。例如,MIP可以用于支持GPRS网络与诸如wLAN网络的非GPRS网络之间的移动性。并不预期将移动IP用于网络或子网内的移动性管理(微移动性),该移动性通常由诸如WCDMA较软/软切换的接入技术专用层2机制来进行管理。
存在两个版本的MIP,以与两个版本的IP相对应。MIP版本4(MIPv4)被设计用来提供IP版本4(IPv4)地址的IP地址移动性,而较新的MIP版本6(MIPv6)被设计用来提供IP版本6(IPv6)地址的IP地址移动性。在IETF请求注解(RFC)2002中描述了MIPv4,其可以在IETF网站http://www.ietf.org/rfc/rfc2002.txt?number=2002获得。在正在进行编撰的IETF互联网草案“Mobility Support in IPv6”中描述了互联网草案MIPv6,其可以在IETF网站http://www.ietf.org/internet-drafts/draft-ietf-mobileip-ipv6-19.txt获得,并被称为draft-ietf-mobileip-ipv6-19.txt,2002年10月29日发表。
在图1中示出了涉及通过路由优化进行的MIP漫游的情况。在MN的本地网络(HN)中为该MN分配本地IP地址(HAddr)。HN中的路由过程确保无论MN在HN的什么地方,从对端节点(CN)通过IP网络发送的IP分组都将到达该MN。当该MN漫游到外网(FN)时,对该MN分配该FN内的转交地址,需要将IP分组路由到该转交地址。然而,在会话过程中,MN的移动对于IP层和上层(例如传输层和应用层)必须透明,从而由CN的IP层创建的分组将继续带有该HAddr作为目的地址。
在MIPv6路由优化协议中,当MN漫游到FN时,该MN将绑定更新发送到该CN,以将CoA通知该CN。然后,该CN的MIP层在到CoA的会话中设置后续分组的目的地址,将采用路由报头类型2的MN的HAddr作为该分组的扩展报头。在MN MIP层中,从路由报头类型2字段中检索HAddr,并将其用作传输到MN的IP层的对应分组中的目的地址。
在这种情况下,CN位于通过通用分组无线业务网关支持节点(GGSN)与IP网络相连接的GPRS网络(GN)中,并且具有在文献3GPPTS 23.207 V5.3.0(March 2003),条款5.2.1中限定的功能。该GGSN包括基于业务的本地策略(SBLP)执行点,其对通过GGSN的数据包进行基于策略的允许控制。通过‘选通器(gate)’来定义各个会话的策略执行,对上行和下行通信量分别定义选通器。各个选通器都包括分组分类器以及将分组与分组分类器相匹配的行为。分组分类器包括源IP地址、目的IP地址、源端口、目的端口和协议。分组分类器源和目的IP地址可以包括通配符,以限定地址范围。阻挡与对应选通器的分组分类器不匹配的分组。
为了建立通过GGSN进行的IP会话,CN将授权请求发送到GGSN,该授权请求指定了源IP地址、目的IP地址(即,HAddr)、源端口、目的端口和协议。文献3GPP TS 23.207 V5.3.0(March 2002)的条款5.2.3中定义的GGSN内的SBLP决策点(本地决策点),或者GGSN外部的策略控制功能(PCF)确定是否对该IP会话进行授权。如果对该会话进行授权,则在SBLP执行点处对各个方向的会话建立选通器,并将授权令牌发送给CN。该授权令牌遵循关于媒体授权的SIP扩展的IETF规范。
可以使用上行SBLP来防止CN(或GN内的其它节点)对指定目的IP地址的访问。因此,如果按照SBLP,所请求的目的IP地址是可接受的,则可以只对选通器进行授权。然而,由于如从GGSN所观察到的,在会话过程中目的地址从HAddr变化为CoA,所以该选通器将与上述MIPv6路由优化协议相抵触。寻址到CoA的分组与对应于该会话的上行选通器的分组分类器不匹配,从而该分组可能被阻挡。
在MIPv6中,路由优化是必须的,而在MIPv4中是可选的。在图2中示出了无路由优化的另选路由。在MN的HN中的CN与该MN之间建立IP会话。该MN在会话过程中漫游到FN,并发送绑定更新,以将FN中的CoA通知给HN中的本地代理(HA)。在本示例中,该FN是通过GGSN与IPN相连的GPRS网络。
响应于该绑定更新,HA通过下述操作来建立到该CoA的IP隧道:截取以HAddr为目的地址的任何后续分组,并将它们封装为以HA的IP地址为源地址,以MN的CoA为目的地址的多个分组。该MN的MIP层对这些分组进行解封装,并将它们传送到IP层,以使得漫游对于IP层和上层是透明的。可以使用IETF RFC 2473中所描述的IPv6通用分组隧道化机制来实现隧道化。
在上行链路方向上,MN可以不需在漫游到FN中之后改变其分组的源地址和目的地址,这是因为CN的IP地址没有改变。但是,GGSN可以对发出的分组应用流出过滤器,以阻挡具有不在FN之内的源地址的任何分组。这可以通过具有被设置为与GGSN内的任何IP地址相匹配的分组分类器源地址的SBLP选通器来实现。结果,来自MN的具有作为源地址的HAddr的分组将被阻挡。
为了解决该问题,MIPv4和MIPv6标准包括反向隧道化协议,其中MN在其CoA和HA地址之间建立上行方向的隧道。由于上行分组被封装在具有作为源地址的CoA的多个分组中,并且该CoA在FN内,所以流出过滤器将允许封装分组通过。HA对这些分组进行解封装,并将它们转发到CN。例如在正在编撰的IETF移动IP工作组草案‘Mobility Supportin IPv6’,29 October 2002中描述了MIPv6反向隧道化,该草案位于http://www.ietf.org/internet-drafts/draft-ietf-mobileip-ipv6-19.txt。
然而,该解决方法产生了下述问题:FN中的GGSN实现了用于上行分组的SBLP选通器。当MN进入FN时,其必须将授权请求发送到GGSN,以使得与CN的IP会话能够通过GGSN进行路由。这本身不是问题,因为授权协议允许在会话过程中进行授权,即使在GGSN本地网络外部开始会话。然而,源自应用层(例如SIP会话层)的授权请求将HA地址指定为目的地址,并且HA地址不识别最终目的地址,这是因为MN的移动性管理(例如CoA的使用)对于应用层是透明的。由于SBLP执行点随后不对发出分组的最终目的地进行控制,所以基于HA地址对上行SBLP选通器进行授权将使SBLP选通器对象失效(defeat)。此外,不允许GGSN检查封装分组的有效载荷以找到最终目的地址,即使对该有效载荷进行了加密(例如使用IPSec)也不允许GGSN这样做。
发明内容
根据本发明的一个方面,提供了一种在网络网关处过滤数据分组的方法,这些数据分组具有包括目的地址在内的报头以及扩展报头,该方法包括选择性地阻挡这些数据分组中目的地址和扩展报头与预定地址准则均不匹配的多个数据分组。
根据本发明的另一方面,提供了一种在网络网关处过滤数据分组的方法,这些数据分组具有包括目的地址在内的报头,该方法包括选择性地阻挡这些数据分组中目的地址不满足目的地址准则或转发代理准则的多个数据分组,其中该转发代理准则限定至少一个转发代理的地址,该至少一个转发代理将寻址到该转发代理的分组转发到该分组的有效载荷中所指定的网络地址处的目的节点。
附图说明
下面将参照附图详细说明本发明的特定实施例,其中:
图1表示由于试图将发出SBLP应用于其中目的节点使用路由优化进行漫游的GGSN中而产生的问题;
图2是表示由于将发出SBLP应用于反向隧道而产生的问题的概念图;
图3a是表示图1的情况下的路由优化的信号图;
图3b是本发明第一实施例中的采用发出SBLP选通器的SBLP执行点的操作的流程图;
图4a是表示本发明第二实施例的信号图,用于解决图1所示的问题;
图4b是第二实施例中采用发出SBLP选通器的SBLP执行点的操作的流程图;
图5a是本发明第三实施例的信号图,用于解决图2所示的问题;
图5b是第三实施例中采用发出SBLP选通器的SBLP执行点的操作的流程图;
图6是本发明第四实施例中的采用发出SBLP选通器的SBLP执行点的操作的流程图。
具体实施方式
本发明的第一实施例提供了对于参照图1所述的采用基于SBLP的选通功能(其中在子网漫游过程中使用MIPv6路由优化)的问题的第一解决方案。在MIPv6路由优化时,将HAddr存储在路由报头类型2扩展报头(T2H)中,以使得可以通过MN MIP层检索到该HAddr,并将其恢复为传送到IP层的分组中的目的地址。
如图3a所示,在MN在FN中漫游之前的IP会话过程中,从CN发送到MN的分组具有作为它们的目的IP地址(DA)的HAddr。当MN漫游到FN中时,其将包括CoA在内的绑定更新(BU)发送到CN。根据MIPv6路由优化协议,响应于该BU,CN通过T2H中的HAddr发送寻址到该CoA的后续分组。
本发明人已经意识到可以由GGSN来检查路由报头类型2扩展报头,以识别分组的最终目的地址。传统分组分类器不包括路由报头类型2扩展报头IP地址。但是,SBLP协议对于其网络是本地的,从而可以修改SBLP执行,而不产生与其它网络的互用性问题。
在第一实施例中,如图3b所示,为发出SBLP选通器创建传统的分组分类器,其包括分组分类器目的地址PCD。SBLP执行点通过将分组分类器目的地址PCD与分组目的地址PD进行比较(步骤30)以及与路由报头类型2扩展报头进行比较(步骤32)来实现选通。如果都不匹配,则阻挡该分组(步骤34),否则对于任何其它选通器状态都允许该分组通过(步骤36)。
第一实施例的方案由于只需修改SBLP执行点而无需修改MN或CN的行为、或者创建诸如远程代理的任何新对象而有利。可以通过定义扩展分组分类器来实现类似的效果,该分组分类器指定了要作为目的IP地址的另选进行匹配的路由报头类型2扩展报头,但是由于预期该路由报头类型2扩展报头与分组分类器中的HAddr相同,所以其是冗余的。可以通过在GGSN内部的对象之间不同地分配功能来实现该效果。
虽然MIPv6不禁止检查路由报头类型2扩展报头的方案,但是可能认为这与路由报头类型2扩展报头的预期目的相冲突,即在目的用户设备本地恢复原始目的地址。如果进行技术测量来防止该冲突,则将使第一实施例的方案无效。
在第二实施例中,如图4a所示,在发出分组的逐跳(hop-by-hop)选项扩展报头HH中存储最终目的地址(HAddr)。IPv4和IPv6均允许逐跳选项扩展报头,该逐跳选项扩展报头必须由中间节点读取。通过在IPv6下一报头字段中设置零来表示逐跳选项扩展报头。
响应于由MN发送到CN的BU,CN将HAddr存储在后续分组的HH中。除了将HAddr存储在类型2报头中以及将CoA存储在目的IP地址字段中以外,还执行该操作。
如图4b所示,SBLP执行点将分组分类器目的地址PCD与分组目的地址PD进行比较(步骤40),还将其与HH中的任何IP地址进行比较(步骤42)。如果都不匹配,则阻挡该分组(步骤44)。否则,对于任何其它限制都允许该分组通过(步骤46)。
第二实施例对于第一实施例是优选的,因为GGSN只检查允许其检查的字段,因此可以确保不会引入使第二实施例的方案无效的技术测量。然而,第二实施例需要改变遵照现有的MIPv6互联网草案的规范的MN的操作,而第一实施例则不需要。
第三实施例提供了参照图2所述的将SBLP发出选通器应用于反向隧道的问题的第一解决方案。反向隧道将CN地址隐藏在有效载荷中,可以对该CN地址进行加密。另选地,第三实施例可以采用与第二实施例类似的方案。
如图5a所示,在IP会话时,MN最初将分组发送到具有被设置为HAddr的分组源地址以及被设置为CN地址(CNAddr)的PD的CN。当MN漫游到FN中时,其将BU发送到其HA,然后在其CoA与HA地址(HAAddr)处的HA之间建立反向IP隧道。
在本实施例中,MN包括反向隧道化分组的HH中的CNAddr(或者在CN本身是移动的并且远离其利用用于移动性的移动IPv6的本地网络的情况下,为CN的本地地址)。如图5b所示,SBLP执行点将分组分类器目的地址PCD与分组目的IP地址PD进行比较(步骤50),还将其与HH中的任意IP地址进行比较(步骤52)。如果都不匹配,则阻挡该分组(步骤54)。否则,对于任何其它限制都允许该分组通过(步骤56)。
对于反向隧道化已需要的功能,第三实施例在CN处需要附加功能。第四实施例提供了将SBLP发出选通器应用于反向隧道的问题的第二解决方案,其不需要该附加功能。
在第四实施例中,定义了包括HA IP地址的扩展分组分类器PCHA。如图6所示,SBLP执行点将分组目的地址PD与分组分类器目的地址PCD进行比较(步骤60),并将其与分组分类器HA地址PCHA进行比较(步骤62)。如果都不匹配,则阻挡该分组(步骤64)。否则,对于任何其它限制都将允许该分组通过(步骤66)。
如上所述,这将导致SBLP失效的效果,除非在GGSN与HA之间存在信任或控制关系。
作为控制关系的示例,FN的GGSN和HN的HA可以访问公共SBLP决策点,该公共SBLP决策点根据公共策略对FN和HN中的SBLP执行点进行授权。另选地,为了减少FN与HN之间的授权通信量,例如可以通过共享被阻挡的IP地址列表来在FN与HN之间复制SBLP决策点。
作为信任关系的示例,GGSN的SBLP决策点可以存储信任HA的IP地址列表,并对包含存在于该列表中的HA地址的分组分类器的选通器进行授权。该GGSN对于HA的SBLP不具有任何控制,而是信任该SBLP以保持与其自身的SBLP一致的SBLP。可以通过从信任地址列表中删除该HA地址来取消该信任关系。
尽管参照GPRS网络中的SBLP描述了以上实施例,但是应当理解,在不需要为无线网络的其它情况下(例如本地IP网络中的防火墙),可能需要基于目的地址的分组过滤器。在图1的情况下,CN可以为本地IP网络中的节点。可能在MIPv6路径优化之外的情况下产生目的地址的明显变化。例如,IP转发设置可能需要由发送节点设置的在会话过程中改变的目的地址,以将会话传送到另一物理设备。可以将第一和第二实施例的变型应用于这些另选情况。
类似地,在移动IP中漫游之外的情况下,可能产生反向隧道化设置,可以将第三和第四实施例的变型应用于这些另选情况。
虽然以上实施例描述了应用于网络网关(对于发送节点是本地的)中的发出分组的基于目的地的过滤器,但是也可以将基于目的地的过滤器应用于远程网络的网关(对于发送节点)中的输入分组。在第二和第三实施例中,这需要本地和远程网络之间的标准化,以确保发送节点将目的地址设置在HH中。
在第一到第三实施例中,SBLP执行点并非总是检查分组目的地址和扩展报头;而是开始时,选通器仅检查分组目的地址,并且响应于漫游事件而改变选通器,以仅检查扩展报头。
仅以示例的方式提供了以上实施例,其修改和变型也落入本发明的范围之内。
Claims (15)
1、一种在网络网关处过滤数据分组的方法,其中所述数据分组在分组数据通信会话过程中经由所述网络网关从源节点被传送到目的节点,并具有包括目的地址在内的报头以及扩展报头,并且其中所述目的节点或所述源节点在所述分组数据通信会话的第一阶段过程中具有第一网络地址,而在所述数据通信会话的后续的第二阶段过程中具有不同的第二网络地址,所述方法包括:
将扩展报头用于所述第二阶段过程中的地址信息的传送;以及
在其目的地址和扩展报头与预定的地址均不匹配的情况下,选择性地阻挡多个数据分组。
2、根据权利要求1所述的方法,其中所述源节点在所述第一阶段中发送具有作为所述目的地址的所述第一网络地址的分组,而在所述第二阶段中发送具有作为所述目的地址的所述第二网络地址以及所述扩展报头中的所述第一网络地址的分组。
3、根据权利要求2所述的方法,其中所述目的节点通过在对所述分组的有效载荷进行解码之前,以所述第一网络地址替换所述第二网络地址来转换在所述第二阶段过程中接收的分组。
4、根据权利要求3所述的方法,其中所述扩展报头是路由报头类型2扩展报头。
5、根据权利要求2到4中的任何一个所述的方法,其中所述目的节点在所述第一和第二阶段之间从包括所述第一网络地址的第一网络漫游到包括所述第二网络地址的第二网络。
6、根据权利要求5所述的方法,其中所述目的节点在所述分组数据通信会话的第一阶段过程中具有第一网络地址,而在所述数据通信会话的后续的第二阶段过程中具有不同的第二网络地址,其中所述目的节点从本地网络中的本地地址漫游到外网中的转交地址,并将绑定更新发送到所述源节点,以使得所述源节点将所述会话中的后续分组寻址到所述转交地址,并将所述本地地址设置在所述后续分组的扩展报头中,并且其中将基于目的地址的分组过滤器应用于所述后续分组的扩展报头,以选择性地阻挡所述数据分组中的多个数据分组
7、根据权利要求1所述的方法,其中所述分组包括源地址,并且所述源节点在所述第一阶段过程中发送具有作为所述源地址的所述第一网络地址和作为所述目的地址的所述目的节点的地址的分组,而在所述第二阶段过程中发送具有作为所述源地址的所述第二网络地址、所述扩展报头中的所述目的节点的地址、以及作为所述目的地址的转发代理的地址的分组,该转发代理将所述分组转发到所述目的节点。
8、根据权利要求7所述的方法,其中所述源节点在所述第一和第二阶段之间从包括所述第一网络地址的第一网络漫游到包括所述第二网络地址的第二网络。
9、根据权利要求2或7中的任何一个所述的方法,其中一个或更多个中间节点读取所述扩展报头中的信息,其中通过所述中间节点在所述源节点与所述目的节点之间对所述分组进行路由。
10、根据权利要求9所述的方法,其中所述扩展报头是逐跳选项扩展报头。
11、根据权利要求8所述的方法,其中所述源节点从本地网络的本地地址漫游到具有所述网络网关的外网中的转交地址,并建立到所述本地网络中的本地代理的反向隧道,以将分组转发到所述目的节点,所述源节点将所述目的节点的地址设置在从所述外网发送的分组的扩展报头中,并且其中所述网络网关将目的地址过滤器应用于所述分组的扩展报头,以选择性地阻挡所述数据分组中的多个数据分组。
12、一种在网络网关处过滤数据分组的方法,所述数据分组具有包括目的地址在内的报头,所述方法包括:
在分组数据通信会话过程中经由所述网络网关从源节点传送数据分组到目的节点,所述源节点在所述分组数据通信会话的第一阶段过程中具有第一网络地址,而在所述分组数据通信会话的后续阶段过程中具有不同的第二网络地址;以及
选择性地阻挡所述数据分组中目的地址不满足目的地址准则或转发代理准则的多个数据分组,其中所述转发代理准则限定至少一个转发代理的地址,所述至少一个转发代理将寻址到所述转发代理的分组转发到所述分组的有效载荷中指定的网络地址处的目的节点。
13、根据权利要求12所述的方法,其中所述至少一个转发代理阻挡所述网络地址不满足所述目的地址准则的分组。
14、根据权利要求12所述的方法,其中所述转发代理准则是可变的,以包括或排除所述至少一个转发代理的地址。
15、一种在分组数据网络中传送数据分组的方法,包括:
在所述分组数据网络的源节点中:
通过网络网关建立与第一网络地址处的目的节点的分组数据通信会话,其中所述数据分组具有包括目的地址在内的报头以及扩展报头;
在所述网络网关中:
根据所述数据分组的所述目的地址和所述扩展报头将过滤器应用于所述通信会话的数据分组;以及
在所述会话过程中接收所述目的节点的第二网络地址的表示;以及
发送所述会话中寻址到所述第二网络地址并将所述第一网络地址包含在扩展报头中的后续分组,其中所述扩展报头用于包含要由所述源节点与所述目的节点之间的中间节点读取的信息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0226289.7 | 2002-11-11 | ||
| GBGB0226289.7A GB0226289D0 (en) | 2002-11-11 | 2002-11-11 | Telecommunications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1711728A CN1711728A (zh) | 2005-12-21 |
| CN100454886C true CN100454886C (zh) | 2009-01-21 |
Family
ID=9947613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003801030432A Expired - Lifetime CN100454886C (zh) | 2002-11-11 | 2003-11-07 | 在作为基于业务的策略(sblp)的执行点的网络网关处的数据分组过滤 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7554949B2 (zh) |
| EP (2) | EP1561316B1 (zh) |
| JP (1) | JP4690045B2 (zh) |
| CN (1) | CN100454886C (zh) |
| AT (1) | ATE417438T1 (zh) |
| AU (1) | AU2003276482A1 (zh) |
| DE (1) | DE60325264D1 (zh) |
| ES (1) | ES2316869T3 (zh) |
| GB (1) | GB0226289D0 (zh) |
| WO (1) | WO2004045159A2 (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10120772A1 (de) * | 2001-04-24 | 2002-11-07 | Siemens Ag | Heterogenes Mobilfunksystem |
| GB0328756D0 (en) * | 2003-12-11 | 2004-01-14 | Nokia Corp | Controlling transportation of data packets |
| JP2005217976A (ja) * | 2004-01-30 | 2005-08-11 | Canon Inc | 電子機器及びその制御方法 |
| JP4298530B2 (ja) * | 2004-01-30 | 2009-07-22 | キヤノン株式会社 | 通信装置 |
| ES2557440T3 (es) | 2004-06-03 | 2016-01-26 | Nokia Technologies Oy | Control de portador basado en el servicio y funcionamiento del modelo de flujo de tráfico con IP móvil |
| US7512085B2 (en) * | 2004-06-24 | 2009-03-31 | International Business Machines Corporation | Method for multicast tunneling for mobile devices |
| US8265060B2 (en) | 2004-07-15 | 2012-09-11 | Qualcomm, Incorporated | Packet data filtering |
| US8042170B2 (en) | 2004-07-15 | 2011-10-18 | Qualcomm Incorporated | Bearer control of encrypted data flows in packet data communications |
| JP4405360B2 (ja) * | 2004-10-12 | 2010-01-27 | パナソニック株式会社 | ファイアウォールシステム及びファイアウォール制御方法 |
| US8166547B2 (en) * | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
| WO2007038445A2 (en) | 2005-09-26 | 2007-04-05 | Advanced Cluster Systems, Llc | Clustered computer system |
| CN1870631B (zh) * | 2005-11-11 | 2010-04-14 | 华为技术有限公司 | 媒体网关的门控方法 |
| DE602005015147D1 (de) | 2005-12-23 | 2009-08-06 | Ericsson Telefon Ab L M | Verfahren und vorrichtung zur routenoptimierung in einem telekommunikationsnetz |
| CN100442778C (zh) * | 2006-01-12 | 2008-12-10 | 华为技术有限公司 | 对数据流进行防攻击过滤的方法、系统及其重定向设备 |
| CN100512300C (zh) * | 2006-01-13 | 2009-07-08 | 华为技术有限公司 | 一种在传输实时流时业务切换的方法 |
| US8082289B2 (en) | 2006-06-13 | 2011-12-20 | Advanced Cluster Systems, Inc. | Cluster computing support for application programs |
| CN101005496B (zh) * | 2006-06-27 | 2011-09-14 | 华为技术有限公司 | 媒体网关分组过滤方法及媒体网关 |
| CN1997010B (zh) | 2006-06-28 | 2010-08-18 | 华为技术有限公司 | 一种包过滤的实现方法 |
| JP4791285B2 (ja) * | 2006-08-04 | 2011-10-12 | 富士通株式会社 | ネットワーク装置およびフィルタリングプログラム |
| KR100909552B1 (ko) * | 2006-08-21 | 2009-07-27 | 삼성전자주식회사 | 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 |
| US8036232B2 (en) * | 2006-08-22 | 2011-10-11 | Samsung Electronics Co., Ltd | Apparatus and method for filtering packet in a network system using mobile IP |
| CN101141386B (zh) * | 2006-09-08 | 2011-04-13 | 华为技术有限公司 | 路由优化管理方法及其装置 |
| KR100842289B1 (ko) * | 2006-12-08 | 2008-06-30 | 한국전자통신연구원 | IPv6에서의 효율적인 대역폭 사용을 위한 통신 방법 |
| US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
| US7844728B2 (en) * | 2007-07-31 | 2010-11-30 | Alcatel-Lucent Usa Inc. | Packet filtering/classification and/or policy control support from both visited and home networks |
| US9043862B2 (en) * | 2008-02-06 | 2015-05-26 | Qualcomm Incorporated | Policy control for encapsulated data flows |
| SE535670C2 (sv) * | 2009-04-01 | 2012-11-06 | Synapse Int Sa | Ett system och förfarande för att möjliggöra kortaste kopplingsväg för ett mobilt organ |
| SE535689C2 (sv) | 2009-04-01 | 2012-11-13 | Synapse Int Sa | Ett system och förfarande för att möjliggöra kortaste kopplingsväg för ett mobilt organ |
| US8570944B2 (en) * | 2009-05-11 | 2013-10-29 | Zte (Usa) Inc. | Internetworking techniques for wireless networks |
| US9179499B1 (en) | 2009-07-08 | 2015-11-03 | Zte (Usa) Inc. | Network selection at a wireless communication device in wireless communications based on two or more radio access technologies |
| GB2493508B (en) | 2011-07-27 | 2014-06-18 | Samsung Electronics Co Ltd | Controlling data transmission between a user equipment and a acket data network |
| US8966152B2 (en) | 2011-08-02 | 2015-02-24 | Cavium, Inc. | On-chip memory (OCM) physical bank parallelism |
| FR3004037A1 (fr) * | 2013-04-02 | 2014-10-03 | France Telecom | Procede de transport d'information de localisation au travers d'une authentification |
| CN103581189B (zh) * | 2013-11-06 | 2017-01-04 | 东软集团股份有限公司 | 应用策略的匹配方法及系统 |
| US9544402B2 (en) * | 2013-12-31 | 2017-01-10 | Cavium, Inc. | Multi-rule approach to encoding a group of rules |
| CN106257880B (zh) * | 2015-06-17 | 2019-06-28 | 北京网御星云信息技术有限公司 | 一种电磁屏蔽环境下的防火墙控制方法和系统 |
| US10382208B2 (en) * | 2016-04-29 | 2019-08-13 | Olympus Sky Technologies, S.A. | Secure communications using organically derived synchronized processes |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020036983A1 (en) * | 2000-05-22 | 2002-03-28 | Ina Widegren | Application influenced policy |
| CN2485724Y (zh) * | 2001-03-16 | 2002-04-10 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的装置 |
| US20020126642A1 (en) * | 2001-03-05 | 2002-09-12 | Kazuhiro Shitama | Communication processing system, communication processing method, communication terminal device, and program |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06112944A (ja) * | 1992-09-30 | 1994-04-22 | Sharp Corp | 情報通信装置 |
| JPH11234333A (ja) | 1998-02-13 | 1999-08-27 | Chokosoku Network Computer Gijutsu Kenkyusho:Kk | ゲートウェイ装置 |
| US6636498B1 (en) * | 1999-01-08 | 2003-10-21 | Cisco Technology, Inc. | Mobile IP mobile router |
| DE69925453T2 (de) | 1999-02-26 | 2006-05-11 | Lucent Technologies Inc. | Mobiles IP ohne Einkapselung |
| US6915325B1 (en) * | 2000-03-13 | 2005-07-05 | Nortel Networks Ltd | Method and program code for communicating with a mobile node through tunnels |
| CA2308697A1 (en) | 2000-05-15 | 2001-11-15 | Nortel Networks Limited | Exclusion routes in border gateway protocol (bgp) routers |
| FR2812783A1 (fr) | 2000-08-03 | 2002-02-08 | Cit Alcatel | Procede de transmission d'informations par paquets avec allocation de ressources et reseau mettant en oeuvre ce procede |
| GB2366480A (en) | 2000-08-21 | 2002-03-06 | Lucent Technologies Inc | Method of operating a third generation mobile communication system |
| GB2366482A (en) | 2000-08-21 | 2002-03-06 | Lucent Technologies Inc | Method of operating third generation communication systems |
| JP2002290444A (ja) * | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 |
| GB0113901D0 (en) | 2001-06-07 | 2001-08-01 | Nokia Corp | Security in area networks |
| US7123599B2 (en) * | 2001-07-13 | 2006-10-17 | Hitachi, Ltd. | Mobile communication system |
| WO2003015356A1 (en) * | 2001-08-08 | 2003-02-20 | Fujitsu Limited | Server, mobile communication terminal, radio device, communication method for communication system, and communication system |
| JP2003209890A (ja) * | 2001-11-07 | 2003-07-25 | Matsushita Electric Ind Co Ltd | 移動通信方法および移動通信システム |
| US6973086B2 (en) * | 2002-01-28 | 2005-12-06 | Nokia Corporation | Method and system for securing mobile IPv6 home address option using ingress filtering |
| US7272148B2 (en) * | 2002-06-27 | 2007-09-18 | Hewlett-Packard Development Company, L.P. | Non-ALG approach for application layer session traversal of IPv6/IPv4 NAT-PT gateway |
| WO2004028053A1 (en) * | 2002-09-18 | 2004-04-01 | Flarion Technologies, Inc. | Methods and apparatus for using a care of address option |
| US7466680B2 (en) * | 2002-10-11 | 2008-12-16 | Spyder Navigations L.L.C. | Transport efficiency optimization for Mobile IPv6 |
-
2002
- 2002-11-11 GB GBGB0226289.7A patent/GB0226289D0/en not_active Ceased
-
2003
- 2003-11-07 US US10/534,662 patent/US7554949B2/en active Active
- 2003-11-07 JP JP2004550789A patent/JP4690045B2/ja not_active Expired - Fee Related
- 2003-11-07 DE DE60325264T patent/DE60325264D1/de not_active Expired - Lifetime
- 2003-11-07 EP EP03811018A patent/EP1561316B1/en not_active Expired - Lifetime
- 2003-11-07 WO PCT/GB2003/004812 patent/WO2004045159A2/en active Application Filing
- 2003-11-07 ES ES03811018T patent/ES2316869T3/es not_active Expired - Lifetime
- 2003-11-07 EP EP07015464A patent/EP1860834A1/en not_active Withdrawn
- 2003-11-07 AT AT03811018T patent/ATE417438T1/de not_active IP Right Cessation
- 2003-11-07 AU AU2003276482A patent/AU2003276482A1/en not_active Abandoned
- 2003-11-07 CN CNB2003801030432A patent/CN100454886C/zh not_active Expired - Lifetime
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020036983A1 (en) * | 2000-05-22 | 2002-03-28 | Ina Widegren | Application influenced policy |
| US20020126642A1 (en) * | 2001-03-05 | 2002-09-12 | Kazuhiro Shitama | Communication processing system, communication processing method, communication terminal device, and program |
| CN2485724Y (zh) * | 2001-03-16 | 2002-04-10 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1561316A2 (en) | 2005-08-10 |
| GB0226289D0 (en) | 2002-12-18 |
| WO2004045159A3 (en) | 2004-09-16 |
| EP1561316B1 (en) | 2008-12-10 |
| AU2003276482A1 (en) | 2004-06-03 |
| ES2316869T3 (es) | 2009-04-16 |
| WO2004045159A2 (en) | 2004-05-27 |
| EP1860834A1 (en) | 2007-11-28 |
| US20060104284A1 (en) | 2006-05-18 |
| ATE417438T1 (de) | 2008-12-15 |
| DE60325264D1 (de) | 2009-01-22 |
| US7554949B2 (en) | 2009-06-30 |
| CN1711728A (zh) | 2005-12-21 |
| AU2003276482A8 (en) | 2004-06-03 |
| JP4690045B2 (ja) | 2011-06-01 |
| JP2006506007A (ja) | 2006-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100454886C (zh) | 在作为基于业务的策略(sblp)的执行点的网络网关处的数据分组过滤 | |
| US9929952B2 (en) | Methods and apparatus for data transfer in a packet-switched data network | |
| JP4620050B2 (ja) | パケットデータ通信 | |
| CN102668685B (zh) | 针对改进服务质量处理的电信方法、协议和设备 | |
| US8570937B2 (en) | Telecommunications system and method | |
| JP2005506002A (ja) | ネットワークノード間におけるアドレスの変更とメッセージの関連付け | |
| JP4426451B2 (ja) | 電気通信 | |
| KR20080026166A (ko) | 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치 | |
| US20080247346A1 (en) | Communication node with multiple access support | |
| US9641999B2 (en) | Telecommunications | |
| EP1224819B1 (en) | Packet data service in a mobile communications system | |
| EP1947819A1 (en) | Header reduction of data packets by route optimization procedure | |
| JP4834133B2 (ja) | 電気通信 | |
| EP1898588B1 (en) | A method of requesting the use of a desired tunnel type | |
| CN105357774A (zh) | 针对改进服务质量处理的电信方法、协议和设备 | |
| GB2393608A (en) | Selecting an appropriate PDP context at a GPRS gateway support node for transferring a data packet from a mobile node to a correspondent node |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Paris France Patentee after: Orange Address before: Paris France Patentee before: France Telecom |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20160603 Address after: Paris France Patentee after: FRANCE TELECOM Address before: Paris France Patentee before: ORANGE S.A. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20161019 Address after: Luxemburg Luxemburg Patentee after: FRANCE TELECOM Address before: Paris France Patentee before: Orange |
|
| CX01 | Expiry of patent term |
Granted publication date: 20090121 |
|
| CX01 | Expiry of patent term |