CN100542171C - 一种移动IPv6数据穿越状态防火墙的方法 - Google Patents
一种移动IPv6数据穿越状态防火墙的方法 Download PDFInfo
- Publication number
- CN100542171C CN100542171C CNB2005100553123A CN200510055312A CN100542171C CN 100542171 C CN100542171 C CN 100542171C CN B2005100553123 A CNB2005100553123 A CN B2005100553123A CN 200510055312 A CN200510055312 A CN 200510055312A CN 100542171 C CN100542171 C CN 100542171C
- Authority
- CN
- China
- Prior art keywords
- source
- coa
- port
- address
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000008878 coupling Effects 0.000 claims description 14
- 238000010168 coupling process Methods 0.000 claims description 14
- 238000005859 coupling reaction Methods 0.000 claims description 14
- 239000000284 extract Substances 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000001914 filtration Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 15
- 230000000295 complement effect Effects 0.000 description 9
- 230000008859 change Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 5
- 230000002457 bidirectional effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 239000011230 binding agent Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种移动IPv6数据穿越状态防火墙FW的方法,该方法重新设置防火墙Entry表项为源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号七个元素,在数据报文穿越FW时,先按照Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号五元素进行匹配,若不成功,再按照Entry表项中的源HoA/源CoA、目的CoA/目的HoA、源Port、目的Port和协议号五元素进行匹配,若匹配成功,将数据报文的源CoA/目的CoA代替Entry表项中的源CoA/目的CoA。本发明这种方法,提高了数据报文穿越FW的效率,并且保证了FW通过FW过滤的数据报文能正常穿越FW。
Description
技术领域
本发明涉及移动网络层协议版本6(移动IPv6或MIPv6)数据传送技术,尤指一种移动IPv6数据穿越状态防火墙(FW)的方法。
背景技术
在移动IPv6数据传送技术中,每个移动节点(MN)设有一个固定的家乡地址(HoA),这个HoA与MN当前接入互联网的位置无关,该HoA在MN的家乡链路中可以直接使用。当MN移动到家乡链路以外的外地时,通过从外地代理获得的一个转交地址(CoA)来提供MN当前的位置信息。
通信节点(CN)是MN的通信对端,MN与CN之间的数据包传送方式有双向隧道和路由优化两种,其中,
路由优化是指在MN与支持移动IPv6的CN之间直接传送数据包的过程,在路由优化中,CN必须知道MN移动后新的CoA;
双向隧道是通过家乡代理(HA)在MN与CN之间传送数据包的过程,此时CN不必知道MN移动后新的CoA。比如,当MN接收来自CN的数据包时,由于MN的HoA是不变的,数据包会被发送到MN的HoA,数据包首先从CN被发送到HA,再由HA将数据包转交给MN。
上述两种传送方式,双向隧道由于通过HA转发,会导致严重的传送延迟,而路由优化消除了双向隧道方式存在严重时延的缺点。
为了在MN与支持移动IPv6的CN之间实现数据包的路由优化传送,MN每次改变位置,都要将移动后新的CoA告诉给HA和CN。
当MN移动到家乡链路之外的链路后,MN将新的CoA告诉HA和CN的过程包括返回可路由过程(RRP)和交换绑定更新/绑定确认(BU/BA)两个过程,具体是这样实现的:
(1)RRP
MN向CN发送CoA测试启动报文;
MN经HA向CN发送HoA测试启动报文;
CN向MN发送CoA测试响应报文;
CN经HA向MN发送HoA测试响应报文。
(2)BU/BA过程
完成RRP之后,MN启动BU过程,将MN移动后新的CoA通知CN和HA,CN收到新的CoA后,CN在其绑定缓存中为MN增加一个条目来存储MN移动后新的CoA,也就是通信注册;HA收到新的CoA后,HA在其绑定代理中为MN增加一个条目来存储MN移动后新的CoA,也就是家乡注册。
之后,CN和HA均向MN发送BU报文确认,即完成BA过程。
完成上述通信注册和家乡注册之后,标明MN在CN和HA上均注册了新的CoA,这样,MN与CN之间就可以使用路由优化传送数据包了。在MN与CN之间传送数据报文之前,还需要在MN与CN之间建立传输控制协议(TCP)连接。TCP连接包括三个过程:
(1)在FW内,受FW保护的某节点A通过FW向FW外的某节点B发起TCP连接同步(SYN)请求,该SYN请求中携带了节点B的地址,即目的地址、节点B的端口(Port),即目的Port和节点A与节点B之间的协议号;(2)节点B通过FW向节点A返回SYN请求响应(SYN-ACK),在该SYN-ACK响应中,携带了节点A的地址,即源地址、节点A的Port,即源Port和节点A与节点B之间的协议号;(3)节点A通过FW向节点B返回响应(ACK)。至此,节点A与节点B之间建立起TCP连接。容易看出,在节点A和节点B之间完成了通信注册之后,TCP成功建立没有问题。
另外,为了保证MN与CN之间传送数据报文的安全性,在MN与CN之间设置防火墙(FW)来拦截恶意攻击节点,FW的种类繁多,其中状态防火墙(状态FW)采用状态包过滤技术,因为状态FW的安全性较好,速度快,得到最广泛的应用,下文提到的FW指状态防火墙。
在建立TCP连接的同时,FW会依据TCP连接中交互的五个元素:源地址、目的地址、源Port、目的Port和协议号创建一个Entry表项,该表项包括上述五个元素。这样,当数据报文从FW外部穿越FW进入FW内部时,如果该数据报文的报头中所包含的目的地址和源地址与防火墙Entry表项中的目的地址和源地址一致,且该数据报文的端口和协议号也与防火墙Entry表项中的端口和协议号保持一致,则FW允许该数据报文穿越防火墙;否则,FW拦截该数据报文,并将拦截的数据报文丢弃,这个过程也称为过滤。
目前,由于MN位置的改变引起的MN地址的改变,在数据报文穿越状态FW时,会出现如下问题,这里假设当MN位置发生变化后,MN与CN之间的通信注册已成功完成,即CN已获得MN新的CoA,
1.CN位于FW内,MN位于FW外的情况:
图1(a)是CN位于FW内,MN位于FW外的MN与CN之间通过FW交互数据包的示意图。MN从新的CoA向CN发送数据报文,此时,在数据报文穿越FW时,由于FW的Entry表项中没有能与MN新的CoA相匹配的表项,该数据报文不能通过FW的过滤,所以该数据报文将被丢弃。从而使得当位于FW外的MN移动到新的链路时,向FW内的CN发送的数据报文丢失。
在这种情况下,如果位于FW内的CN先向位于FW外的MN发送数据报文,那么,在数据报文穿越FW后,FW会在Entry表项中新增一表项,该表项记录包括的五个元素是:CN地址,MN新的CoA,CN的Port,MN新的Port和CN与MN之间的协议号。这样,当MN再向CN发送数据时,当MN穿越FW时,能与FW中的新增Entry表项相匹配,该数据报文能通过FW的过滤,从而能成功穿越FW。
2.MN位于FW内,CN位于FW外的情况:
图1(b)是MN位于FW内,CN位于FW外的MN与CN之间通过FW交互数据包的示意图。CN向移动到新的链路的MN发送数据报文,当数据报文穿越FW时,由于在FW的Entry表项中只有MN移动前的地址,而没有MN移动后新的CoA,所以此时,数据报文的目的地址得不到匹配,使得FW对该数据报文的过滤失败,从而该数据报文被丢弃。
同样,在这种情况下,如果位于FW内的MN先向位于FW外的CN发送数据报文,那么,在数据报文穿越FW后,FW会在Entry表项中新增一表项,该表项包括的五个元素是:MN新的CoA,CN地址,MN新的Port,CN的Port和CN与MN之间的协议号。这样,当CN再向MN发送数据时,当CN穿越FW时,能与FW中的新增Entry表项相匹配,通过FW的过滤,从而能成功穿越FW。
从上述两种情况来看,无论是CN位于FW内,MN位于FW外;还是CN位于FW外,MN位于FW内,由于MN位置的改变引起的MN地址的改变,在数据报文从FW外穿越状态FW时,均会出现数据报文穿越FW失败,从而导致丢弃数据报文的问题;而在数据报文从FW内穿越状态FW时,不会出现数据报文穿越FW失败的问题,所以下面涉及的穿越FW的问题是指从FW外穿越FW时存在的问题。
目前,为了解决这个问题,一些技术方案建议采用基于MN的家乡地址进行过滤。因为HoA在移动的过程中始终保持不变,并且HoA存在于MN发送给CN的数据报文的Home Address Destination Option项中,也存在于CN发送给MN的数据报文的Type 2 Routing Header二类路由报文头中,因此,针对某个MN和CN,FW的某个Entry表项中总是保持固定的五元素:源地址、目的地址、源Port、目的Port和协议号。
CN位于FW保护范围内,MN位于FW之外,当MN向CN发送数据报文时,此时FW用于匹配的Entry表项五元素为:(1)源地址:MN的HoA,(2)目的地址:CN的地址,(3)源Port:MN的Port,(4)目的Port:CN的Port,(5)CN与MN之间的协议号。因为MN发给CN的报文中包括Home Address Destination Option项,所以FW可以从该Option项中提取MN的HoA来代替其新的CoA作为源地址,这样发生了变化的MN的源地址能与Entry表项中的源地址相匹配。因此,这种采用基于MN的HoA进行过滤的方案,该数据报文能通过FW的过滤。
MN位于FW的保护范围内,CN位于FW之外,当CN向MN发送数据报文时,此时FW用于匹配的Entry表项五元素为:(1)源地址:CN的地址,(2)目的地址:MN的HoA,(3)源Port:CN的Port,(4)目的Port:MN的Port,(5)CN与MN之间的协议号。因为CN发给MN的报文中包括Type 2 Routing Header二类路由报文头,所以FW可以从报文头中提取MN的HoA来代替其新的CoA作为目的地址,这样发生了变化的MN的目的地址能与Entry表项中的目的地址相匹配。因此,这种采用基于MN的HoA进行过滤的方案,该数据报文能通过FW的过滤。
图2是现有技术移动Ipv6数据从防火墙外穿越防火墙的流程图,这里假设当MN移动到家乡链路之外的链路后,MN与CN之间已经通过通信注册,并且MN的端口和协议号与CN的端口和协议号均能匹配;MN位于家乡链路中时的地址为HoA,MN位于家乡链路以外的链路时的地址为CoA,CN的地址为HoA1,现有技术移动Ipv6数据从防火墙外穿越防火墙的方法包括以下步骤:
步骤200~步骤201:FW拦截从外部进入的数据报文,并判断该数据报文的源地址、目的地址、源Port、目的Port和协议号与FW的Entry表项中的五元素是否均匹配,若均匹配,则进入步骤208;否则,进入步骤202。
本步骤中,分两种情况:
1)(a)若MN位于FW之外,CN位于FW之内,那么Entry表项中包括:源HoA、目的HoA1、源Port、目的Port和协议号,如果此时MN在家乡链路中,则MN发送给CN的数据报文中的源地址仍然为MN的家乡地址,即源HoA,目的地址为CN的地址,即目的HoA1,均能与Entry表项中的源HoA、目的HoA1项匹配,所以,该数据报文能通过FW的过滤进入步骤208;(b)如果此时MN已移动到了家乡链路之外的链路中,则MN发送给CN的数据报文中的源地址不再为MN的HoA,而是新的CoA,该新的CoA不能与Entry表项中的源HoA相匹配,所以,该数据报文不能通过FW的过滤,进入步骤202。
2)(a)若CN位于FW之外,MN位于FW之内,那么Entry表项中包括:源HoA1、目的HoA、源Port、目的Port和协议号,如果此时MN在家乡链路中,则CN发送给MN的数据报文中的源地址为CN的地址,即目的HoA1,目的地址为MN的家乡地址,即目的HoA,均能与Entry表项中的源HoA1、目的HoA项匹配,所以,该数据报文能通过FW的过滤进入步骤208;(b)如果此时MN已移动到了家乡链路之外的链路中,MN的地址是新的CoA,但CN发送给MN的数据报文中的目的地址仍然为MN的HoA,而不是新的CoA,该数据报文中的目的地址能与Entry表项中的目的HoA相匹配,所以,该数据报文能通过FW的过滤,但是,该数据报文并不能发送给MN,因为此时MN的地址已改为CoA,因此,这种情况下,即使通过地址匹配过滤进入步骤208,数据报文也将被丢弃。
步骤202~步骤203:查询数据报文中是否包含Home AddressDestination Option项,若包含,提取该Option项中的HoA代替该数据报文的源CoA后进入步骤204;若不包含,则进入步骤205。
本步骤中,判断数据报文中包含Home Address Destination Option项,说明数据报文是从MN发送至CN,即MN位于FW之外,CN位于FW之内,此时,Entry表项中的五元素为:源HoA、目的HoA1、源Port、目的Port和协议号。
步骤204:将数据报文中替换后的源地址:MN的HoA与Entry中的源地址匹配,若匹配成功,则进入步骤208;否则,进入步骤209。
本步骤中,数据报文中替换后的源地址,即MN的HoA与Entry表项中的源HoA进行匹配,若两个地址一致,则匹配成功;若两个地址不一致,则匹配失败。
步骤205~步骤206:查询数据报文中是否包含Type 2 Routing Header二类路由报文头,若包含,提取该报文头中的HoA代替该数据报文的目的CoA后进入步骤207;若不包含,则进入步骤209。
本步骤中,判断数据报文中包含Type 2 Routing Header二类路由报文头,说明数据报文是从CN发送至MN,即CN位于FW之外,MN位于FW之内,所以,Entry表项中的五元素为:源HoA1、目的HoA、源Port、目的Port和协议号。
步骤207:将数据报文中替换后的目的地址:MN的HoA与Entry中的目的地址匹配,若匹配成功,则进入步骤208;否则,进入步骤209。
本步骤中,数据报文中替换后的目的地址,即MN的HoA与Entry表项中的目的HoA进行匹配,若两个地址一致,则匹配成功;若两个地址不一直,则匹配失败。
步骤208:该数据报文成功穿越防火墙。
步骤209:丢弃该数据报文。
上述是现有技术移动Ipv6数据从防火墙外穿越防火墙的方法,当数据报文是从FW外发送到FW内时,采用现有技术基于MN的家乡地址的过滤方法仍然存在不足之处:一方面是,从图1流程可以看出,现有技术方法需要对每个不能用当前地址与Entry表项的相应地址进行匹配的数据报文,采用基于MN的家乡地址的过滤方法进行匹配,即都需要查询数据报文的Option项或报文头,这样处理需要大量的时间,会造成穿越FW的效率下降;另一方面,从上述方法步骤描述可见,当MN位于FW内,CN位于FW外时,即便采用现有技术基于MN的家乡地址的过滤方法进行匹配能成功,也会由于目的地址已经发生了变化而造成通过FW过滤的数据报文被丢弃的情况,从而造成数据报文的正常穿越FW失败,详细过程可见步骤200~步骤201中第(2)种情况的(b)项。
说明一点,上述是现有技术移动Ipv6数据从防火墙外穿越防火墙的方法,当数据报文从FW内发送至FW外时,采用上述基于MN的家乡地址的过滤方法能保证数据报文的正常过滤,不存在穿越FW问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种移动IPv6数据穿越状态防火墙的方法,该方法能够减少FW的处理时间,从而提高数据报文穿越FW的效率;同时,该方法能够保证数据报文正常穿越FW。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种移动IPv6数据穿越状态防火墙FW的方法,定义防火墙Entry表项包括:源家乡地址HoA、源转交地址CoA、目的家乡地址HoA、目的转交地址CoA、源端口Port、目的端口Port和协议号;当数据报文首次从状态防火墙内部发送到状态防火墙外部时,创建所述防火墙Entry表项的内容;该方法包括以下步骤:
A.状态防火墙拦截数据报文,用拦截到的数据报文中的源转交地址CoA、目的转交地址CoA、源端口Port、目的端口Port和协议号与防火墙Entry表项中的源转交地址CoA、目的转交地址CoA、源端口Port、目的端口Port和协议号进行匹配,若均匹配,则允许拦截到的数据报文穿越状态防火墙;否则,进入步骤B;
B.如果所述拦截到的数据报文中包含Home Address Destination Option项,状态防火墙从该Home Address Destination Option项中提取源家乡地址HoA,用拦截到的数据报文中的源家乡地址HoA、目的转交地址CoA、源端口Port、目的端口Port和协议号与防火墙Entry表项中的源家乡地址HoA、目的转交地址CoA、源端口Port、目的端口Port和协议号进行匹配,若均匹配,则进入步骤C;否则,将拦截到的数据报文丢弃;
如果所述拦截到的数据报文中包含Type 2 Routing Hearder二类路由报文,状态防火墙从该报文头中提取目的家乡地址HoA,用拦截到的数据报文中的源转交地址CoA、目的家乡地址HoA、源端口Port、目的端口Port和协议号与防火墙Entry表项中的源转交地址CoA、目的家乡地址HoA、源端口Port、目的端口Port和协议号进行匹配,若均匹配,则进入步骤C;否则,将拦截到的数据报文丢弃;
C.用拦截到的数据报文的源转交地址CoA或目的转交地址CoA更新防火墙Entry表项中的源转交地址CoA或目的转交地址CoA,并允许拦截到的数据报文穿越状态防火墙。
步骤B中,所述从拦截到的数据报文中提取源家乡地址HoA或目的家乡地址HoA的方法还包括:
对于不包含Home Address Destination Option项或Type 2 Routing Hearder二类路由报文的拦截到的数据报文作丢弃处理。
所述创建防火墙Entry表项的方法为:
根据数据报文中的源转交地址CoA和目的转交地址CoA分别确定Entry表项中的源转交地址CoA和目的转交地址CoA;根据数据报文中的源端口Port、目的端口Port和协议号确定Entry表项中的源端口Port、目的端口Port和协议号;
若数据报文中存在Home Address Destination Option项,则根据该HomeAddress Destination Option项中的家乡地址HoA确定Entry表项中的源家乡地址HoA,否则Entry表项中的源家乡地址HoA与Entry表项中的源转交地址CoA相同;Entry表项中的目的家乡地址HoA与Entry表项中的目的转交地址CoA相同;
若数据报文中存在Type 2 Routing Header二类路由报文头,则根据该报文头中的家乡地址HoA确定Entry表项中的目的家乡地址HoA,否则Entry表项中的目的家乡地址HoA与Entry表项中的目的转交地址CoA相同;Entry表项中的源家乡地址HoA与Entry表项中的源转交地址CoA相同。
由上述技术方案可见,本发明将原有包含五元素的Entry表项重新定义为包含源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号七个元素的新的Entry表项。当数据报文穿越FW时,首先根据源CoA、目的CoA、源Port、目的Port和协议号进行匹配;若匹配不成功,再查询Home Address Destination Option项/Type 2 Routing Header二类路由报文头并提取其中的MN的HoA,并根据源HoA/源CoA、目的CoA/目的HoA、源Port、目的Port和协议号进行匹配,若匹配成功,FW将Entry表项中的源CoA/目的CoA替换为发送的数据报文的源CoA/目的CoA,使接下来的数据报文发送可以重新根据源CoA、目的CoA、源Port、目的Port和协议号进行匹配,而不必重复查询Home Address Destination Option项/Type 2Routing Header二类路由报文头并提取其中的MN的HoA,本发明这种方法减少了FW的处理时间,从而提高了数据报文穿越FW的效率。另外,在MN移动引起地址变化后,由于FW将Entry表项中的源CoA/目的CoA替换为发送的数据报文的源CoA/目的CoA,使穿越FW的数据报文能正确到达目的地址,从而保证了数据报文正常穿越FW。
附图说明
图1(a)是CN位于FW内,MN位于FW外的MN与CN之间通过FW交互数据包的示意图;
图1(b)是MN位于FW内,CN位于FW外的MN与CN之间通过FW交互数据包的示意图;
图2是现有技术移动Ipv6数据从防火墙外穿越防火墙的流程图;
图3是本发明移动Ipv6数据穿越防火墙的流程图。
具体实施方式
本发明的核心思想是:重新定义防火墙Entry表项为源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号七个元素,在数据报文穿越FW时,先按照Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号五元素进行匹配,若不成功,再按照Entry表项中的源HoA/源CoA、目的CoA/目的HoA、源Port、目的Port和协议号五元素进行匹配,若匹配成功,将数据报文的源CoA/目的CoA代替Entry表项中的源CoA/目的CoA。本发明这种方法,提高了数据报文穿越FW的效率,并且保证了FW通过FW过滤的数据报文能正常穿越FW。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
图3是本发明移动Ipv6数据穿越防火墙的流程图,这里假设当MN移动到家乡链路之外的链路后,MN与CN之间已经通过通信注册,并且MN的端口和协议号与CN的端口和协议号均能匹配;MN位于家乡链路中时的地址为HoA,MN位于家乡链路以外的链路时的地址为CoA,CN的地址为HoA1;另外防火墙Entry表项已被设置为七元素Entry表项,即包括:源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号。本发明移动Ipv6数据穿越防火墙的方法包括以下步骤:
步骤300~步骤301:FW拦截数据报文,并判断该数据报文的源地址、目的地址、源Port、目的Port和协议号与FW的Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号五元素是否均匹配,若均匹配,则进入步骤310;否则,进入步骤302。
本步骤中,分两种情况:
1)若数据报文从MN经FW发送给CN,那么目的HoA就是目的CoA,Entry表项中包括:源CoA、目的HoA1、源Port、目的Port和协议号,(a)如果MN在家乡链路中,没有发生过移动,那么Entry表项中的源CoA就是源HoA,且此时MN发送给CN的数据报文中的源地址仍然为MN的家乡地址,即源HoA,目的地址为CN的地址,即目的HoA1,均能与Entry表项中的源CoA、目的HoA1项匹配,所以,该数据报文能通过FW的过滤进入步骤310;(b)如果此时MN已移动到了家乡链路之外的链路中,则MN发送给CN的数据报文中的源地址不再为MN的HoA,而是新的CoA,判断该新的CoA是否能与Entry表项中的源CoA相匹配,若能匹配则进入步骤310;若不能匹配,进入步骤302。
2)若数据报文从CN经FW发送给MN,那么源HoA就是源CoA,Entry表项中包括:源HoA1、目的CoA、源Port、目的Port和协议号,(a)如果此时MN在家乡链路中,没有发生过移动,那么Entry表项中的目的CoA就是目的HoA,且此时CN发送给MN的数据报文中的源地址为CN的地址,即目的HoA1,目的地址为MN的家乡地址,即目的HoA,均能与Entry表项中的源HoA1、目的CoA项匹配,所以,该数据报文能通过FW的过滤进入步骤310;(b)如果此时MN已移动到了家乡链路之外的链路中,MN的地址是新的CoA,判断新的CoA是否能与Entry表项中的目的CoA相匹配,若能匹配则进入步骤310;若不能匹配,则进入步骤302。
步骤302~步骤303:查询数据报文中是否包含Home AddressDestination Option项,若包含,提取该Option项中的HoA地址后进入步骤304;若不包含,则进入步骤306。
本步骤中,若数据报文中包含Home Address Destination Option项,说明数据报文是从MN发送至CN。
步骤304:将从数据报文中提取的HoA地址作为数据报文源地址,用源HoA、目的CoA、源Port、目的Port和协议号与此时Entry表项中的五元素:源HoA、目的CoA、源Port、目的Port和协议号进行匹配,若均匹配,进入步骤305;否则,进入步骤311。
步骤305:将Entry表项中的源CoA更换为数据报文当前新的源地址,即数据报文的源CoA。
本步骤中,将Entry表项中MN的旧的CoA地址更换为新的源CoA地址,这种更新过程保证了后续数据报文能按照步骤300~步骤301的方式匹配,而无需再重复查询数据报文中是否包含Home Address Destination Option项。这样可以减少FW处理时间,提高FW处理效率。
步骤306~步骤307:查询数据报文中是否包含Type 2 Routing Header二类路由报文头,若包含,提取该报文头中的HoA地址后进入步骤308;若不包含,则进入步骤311。
本步骤中,若数据报文中包含Type 2 Routing Header二类路由报文头,说明数据报文是从CN发送至MN。
步骤308:将从数据报文中提取的HoA地址作为数据报文目的地址,用源CoA、目的HoA、源Port、目的Port和协议号与此时Entry表项中的五元素为:源CoA、目的HoA、源Port、目的Port和协议号进行匹配,若均匹配,进入步骤309;否则,进入步骤311。
步骤309:将Entry表项中的目的CoA更换为数据报文当前新的目的地址,即数据报文的目的CoA。
本步骤中,将Entry表项中MN的旧的CoA地址更换为新的目的CoA地址,这种更新过程保证了后续数据报文能按照步骤300~步骤301的方式匹配,而无需再重复查询数据报文中是否包含Type 2 Routing Header二类路由报文头。这样可以减少FW处理时间,提高FW处理效率。
步骤310:该数据报文成功穿越防火墙。
步骤311:丢弃该数据报文。
上述本发明移动IPv6数据穿越FW的方法,通过一次对数据报文是来自MN还是发送至MN的判断和对Entry表项中MN的CoA的更新,一方面提高了FW处理效率,另一方面,也避免了由于目的地址已经了发生变化而造成能通过FW过滤的数据报文被丢弃的情况。
这里,防火墙Entry表项的创建过程是这样的:
当从FW内部的节点,或者移动到某个FW保护的网络中的节点首次发送数据报文到外部节点时,此时FW创建Entry表项,其中数据报文的源CoA和目的CoA就是Entry表项中的源CoA和目的CoA,端口和协议号也同数据报文中的端口和协议号相同,FW同时检测Home Address Destination Option项和Type 2 Routing Header二类路由报文头的存在来决定Entry表项中的源HoA和目的HoA:
如果数据报文中存在Home Address Destination Option项,则Entry表项中的源HoA为该Option项中的HoA地址,否则Entry表项中的源HoA与Entry表项中的源CoA相同;Entry表项中的目的HoA与Entry表项中的目的CoA相同;
如果数据报文中存在Type 2 Routing Header二类路由报文头,则Entry表项中的目的HoA为该报文头中的HoA地址,否则Entry表项中的目的HoA与Entry表项中的目的CoA相同;Entry表项中的源HoA与Entry表项中的源CoA相同。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (3)
1.一种移动IPv6数据穿越状态防火墙FW的方法,其特征在于,定义防火墙Entry表项包括:源家乡地址HoA、源转交地址CoA、目的家乡地址HoA、目的转交地址CoA、源端口Port、目的端口Port和协议号;当数据报文首次从状态防火墙内部发送到状态防火墙外部时,创建所述防火墙Entry表项的内容;该方法包括以下步骤:
A.状态防火墙拦截数据报文,用拦截到的数据报文中的源转交地址CoA、目的转交地址CoA、源端口Port、目的端口Port和协议号与防火墙Entry表项中的源转交地址CoA、目的转交地址CoA、源端口Port、目的端口Port和协议号进行匹配,若均匹配,则允许拦截到的数据报文穿越状态防火墙;否则,进入步骤B;
B.如果所述拦截到的数据报文中包含Home Address Destination Option项,状态防火墙从该Home Address Destination Option项中提取源家乡地址HoA,用拦截到的数据报文中的源家乡地址HoA、目的转交地址CoA、源端口Port、目的端口Port和协议号与防火墙Entry表项中的源家乡地址HoA、目的转交地址CoA、源端口Port、目的端口Port和协议号进行匹配,若均匹配,则进入步骤C;否则,将拦截到的数据报文丢弃;
如果所述拦截到的数据报文中包含Type 2 Routing Hearder二类路由报文,状态防火墙从该报文头中提取目的家乡地址HoA,用拦截到的数据报文中的源转交地址CoA、目的家乡地址HoA、源端口Port、目的端口Port和协议号与防火墙Entry表项中的源转交地址CoA、目的家乡地址HoA、源端口Port、目的端口Port和协议号进行匹配,若均匹配,则进入步骤C;否则,将拦截到的数据报文丢弃;
C.用拦截到的数据报文的源转交地址CoA或目的转交地址CoA更新防火墙Entry表项中的源转交地址CoA或目的转交地址CoA,并允许拦截到的数据报文穿越状态防火墙。
2.根据权利要求1所述的方法,其特征在于,步骤B中,所述从拦截到的数据报文中提取源家乡地址HoA或目的家乡地址HoA的方法还包括:
对于不包含Home Address Destination Option项或Type 2 Routing Hearder二类路由报文的拦截到的数据报文作丢弃处理。
3.根据权利要求1所述的方法,其特征在于,所述创建防火墙Entry表项的方法为:
根据数据报文中的源转交地址CoA和目的转交地址CoA分别确定Entry表项中的源转交地址CoA和目的转交地址CoA;根据数据报文中的源端口Port、目的端口Port和协议号确定Entry表项中的源端口Port、目的端口Port和协议号;
若数据报文中存在Home Address Destination Option项,则根据该HomeAddress Destination Option项中的家乡地址HoA确定Entry表项中的源家乡地址HoA,否则Entry表项中的源家乡地址HoA与Entry表项中的源转交地址CoA相同;Entry表项中的目的家乡地址HoA与Entry表项中的目的转交地址CoA相同;
若数据报文中存在Type 2 Routing Header二类路由报文头,则根据该报文头中的家乡地址HoA确定Entry表项中的目的家乡地址HoA,否则Entry表项中的目的家乡地址HoA与Entry表项中的目的转交地址CoA相同;Entry表项中的源家乡地址HoA与Entry表项中的源转交地址CoA相同。
Priority Applications (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100553123A CN100542171C (zh) | 2005-03-15 | 2005-03-15 | 一种移动IPv6数据穿越状态防火墙的方法 |
| DE602006009374T DE602006009374D1 (de) | 2005-03-15 | 2006-03-14 | Ein verfahren für mobile ipv6 daten um die staatliche firewall zu durchqueren |
| EP08160077A EP1973296B1 (en) | 2005-03-15 | 2006-03-14 | A method for the mobile IPV6 data traversing a state firewall |
| AT08160077T ATE453285T1 (de) | 2005-03-15 | 2006-03-14 | Ein verfahren für mobile ipv6 daten um die staatliche feuerwand zu durchqueren |
| EP06705741A EP1850537B1 (en) | 2005-03-15 | 2006-03-14 | A method for the mobile ipv6 data traverse the state firewall |
| DE602006011370T DE602006011370D1 (de) | 2005-03-15 | 2006-03-14 | Ein Verfahren für mobile IPV6 Daten um die staatliche Feuerwand zu durchqueren |
| AT06705741T ATE443957T1 (de) | 2005-03-15 | 2006-03-14 | Ein verfahren für mobile ipv6 daten um die staatliche firewall zu durchqueren |
| PCT/CN2006/000388 WO2006097040A1 (fr) | 2005-03-15 | 2006-03-14 | Procede permettant aux donnees ipv6 d'un mobile de traverser un logiciel de pare-feu d'etat |
| US11/852,838 US8160066B2 (en) | 2005-03-15 | 2007-09-10 | Method for mobile IPv6 data traversing state firewall |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100553123A CN100542171C (zh) | 2005-03-15 | 2005-03-15 | 一种移动IPv6数据穿越状态防火墙的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1835500A CN1835500A (zh) | 2006-09-20 |
| CN100542171C true CN100542171C (zh) | 2009-09-16 |
Family
ID=36991279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100553123A Expired - Fee Related CN100542171C (zh) | 2005-03-15 | 2005-03-15 | 一种移动IPv6数据穿越状态防火墙的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8160066B2 (zh) |
| EP (2) | EP1850537B1 (zh) |
| CN (1) | CN100542171C (zh) |
| AT (2) | ATE453285T1 (zh) |
| DE (2) | DE602006009374D1 (zh) |
| WO (1) | WO2006097040A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8160066B2 (en) | 2005-03-15 | 2012-04-17 | Huawei Technologies Co., Ltd. | Method for mobile IPv6 data traversing state firewall |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100571196C (zh) | 2005-03-22 | 2009-12-16 | 华为技术有限公司 | 移动IPv6报文穿越防火墙的实现方法 |
| CN101068209B (zh) * | 2007-06-20 | 2010-09-29 | 中兴通讯股份有限公司 | 深度报文检查系统及方法 |
| CN101227287B (zh) * | 2008-01-28 | 2010-12-08 | 华为技术有限公司 | 一种数据报文处理方法及数据报文处理装置 |
| US8477685B2 (en) * | 2009-07-30 | 2013-07-02 | Avaya, Inc. | Enhanced mobility management at a mobile access gateway |
| CN102075404A (zh) * | 2009-11-19 | 2011-05-25 | 华为技术有限公司 | 一种报文检测方法及装置 |
| EP2341683A1 (en) * | 2009-12-30 | 2011-07-06 | France Telecom | Method of and apparatus for controlling traffic in a communication network |
| US9313238B2 (en) * | 2011-12-26 | 2016-04-12 | Vonage Network, Llc | Systems and methods for communication setup via reconciliation of internet protocol addresses |
| CN111614689B (zh) * | 2020-05-27 | 2021-02-19 | 北京天融信网络安全技术有限公司 | 一种用于状态防火墙的报文转发方法和装置 |
| JP2022059829A (ja) * | 2020-10-02 | 2022-04-14 | 日本電気株式会社 | 通信システム、通信方法及び通信プログラム |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1117231A3 (en) * | 2000-01-14 | 2004-03-24 | Sony Corporation | Information processing device, method thereof, and recording medium |
| US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
| JP3889343B2 (ja) | 2001-09-21 | 2007-03-07 | 株式会社東芝 | 可変フィルタ |
| FI20012338A0 (fi) * | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuuri tunneloitujen datapakettien suodattamiseksi |
| US6973086B2 (en) * | 2002-01-28 | 2005-12-06 | Nokia Corporation | Method and system for securing mobile IPv6 home address option using ingress filtering |
| US7436804B2 (en) * | 2002-09-18 | 2008-10-14 | Qualcomm Incorporated | Methods and apparatus for using a Care of Address option |
| US7756073B2 (en) * | 2002-09-20 | 2010-07-13 | Franck Le | Method for updating a routing entry |
| CN1685668B (zh) * | 2002-09-24 | 2011-09-21 | 奥兰治公司 | 远程通信中的信道选择方法、网关节点以及移动节点 |
| JP2005006147A (ja) * | 2003-06-13 | 2005-01-06 | Yokogawa Electric Corp | ネットワークシステム |
| US7668145B2 (en) * | 2003-12-22 | 2010-02-23 | Nokia Corporation | Method to support mobile IP mobility in 3GPP networks with SIP established communications |
| US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
| PL1751931T3 (pl) * | 2004-06-03 | 2016-04-29 | Nokia Technologies Oy | Kontrola nośnika na podstawie usługi i działanie szablonu przepływu ruchu z ruchomym IP |
| CN100542171C (zh) | 2005-03-15 | 2009-09-16 | 华为技术有限公司 | 一种移动IPv6数据穿越状态防火墙的方法 |
-
2005
- 2005-03-15 CN CNB2005100553123A patent/CN100542171C/zh not_active Expired - Fee Related
-
2006
- 2006-03-14 EP EP06705741A patent/EP1850537B1/en not_active Not-in-force
- 2006-03-14 WO PCT/CN2006/000388 patent/WO2006097040A1/zh not_active Application Discontinuation
- 2006-03-14 AT AT08160077T patent/ATE453285T1/de not_active IP Right Cessation
- 2006-03-14 DE DE602006009374T patent/DE602006009374D1/de active Active
- 2006-03-14 AT AT06705741T patent/ATE443957T1/de not_active IP Right Cessation
- 2006-03-14 DE DE602006011370T patent/DE602006011370D1/de active Active
- 2006-03-14 EP EP08160077A patent/EP1973296B1/en not_active Not-in-force
-
2007
- 2007-09-10 US US11/852,838 patent/US8160066B2/en not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| Mobility Support in IPv6. D. Johnson et al.RFC3775. 2004 |
| Mobility Support in IPv6. D. Johnson et al.RFC3775. 2004 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8160066B2 (en) | 2005-03-15 | 2012-04-17 | Huawei Technologies Co., Ltd. | Method for mobile IPv6 data traversing state firewall |
Also Published As
| Publication number | Publication date |
|---|---|
| US8160066B2 (en) | 2012-04-17 |
| EP1850537A4 (en) | 2008-03-19 |
| EP1973296A3 (en) | 2008-10-15 |
| WO2006097040A1 (fr) | 2006-09-21 |
| EP1973296A2 (en) | 2008-09-24 |
| DE602006011370D1 (de) | 2010-02-04 |
| ATE443957T1 (de) | 2009-10-15 |
| ATE453285T1 (de) | 2010-01-15 |
| EP1973296B1 (en) | 2009-12-23 |
| DE602006009374D1 (de) | 2009-11-05 |
| CN1835500A (zh) | 2006-09-20 |
| US20080056252A1 (en) | 2008-03-06 |
| EP1850537B1 (en) | 2009-09-23 |
| EP1850537A1 (en) | 2007-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100542171C (zh) | 一种移动IPv6数据穿越状态防火墙的方法 | |
| US7486670B2 (en) | Method for packet communication and computer program stored on computer readable medium | |
| EP1950918B1 (en) | Communication Method, Mobile Agent Device, and Home Agent Device | |
| CN104104561A (zh) | 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统 | |
| US20070043862A1 (en) | Secure in-band signaling method for mobility management crossing firewalls | |
| CN100571196C (zh) | 移动IPv6报文穿越防火墙的实现方法 | |
| EP1339200B1 (en) | Movement of a communication session by means of a communication mediator | |
| EP1700430B1 (en) | Method and system for maintaining a secure tunnel in a packet-based communication system | |
| EP2211509A2 (en) | Network communication node | |
| CN101605070B (zh) | 基于控制报文监听的源地址验证方法及装置 | |
| US7916692B2 (en) | Mobile communication system, edge router, and transfer control method, program and recording medium used therefor | |
| CN101043410B (zh) | 实现移动vpn业务的方法及系统 | |
| CN102497380A (zh) | 一种内网数据包过滤方法 | |
| JP4175855B2 (ja) | 移動ネットワークおよびその通信管理方法 | |
| JP2004357307A (ja) | IPv6基盤無線網でモバイルノードのハンドオフ時、バインドアップデートメッセージを用いたパケット伝送制御方法及びそのシステム | |
| JP4752722B2 (ja) | パケット転送装置及びパケット転送方法 | |
| WO2007066817A1 (en) | Routing loop detection control apparatus | |
| JP2006005607A (ja) | ネットワークシステムおよび移動ルータ | |
| US7236469B2 (en) | Data transfer system using mobile IP | |
| JP2002290444A (ja) | 移動体通信システム、通信方法およびパケットフィルタリング制御方法 | |
| CN101534289A (zh) | 防火墙穿越方法、节点设备和系统 | |
| CN100596120C (zh) | 移动ip网络中实现信令穿越网络地址转换设备的方法 | |
| WO2012101513A1 (en) | Mobility management method and device for ipv6 over low power wireless personal area network | |
| JP5973317B2 (ja) | 端末および方法 | |
| JP7158826B2 (ja) | 通信制御装置、通信制御システム及び通信制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090916 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |