CN101043410A - 实现移动vpn业务的方法及系统 - Google Patents
实现移动vpn业务的方法及系统 Download PDFInfo
- Publication number
- CN101043410A CN101043410A CN 200610058450 CN200610058450A CN101043410A CN 101043410 A CN101043410 A CN 101043410A CN 200610058450 CN200610058450 CN 200610058450 CN 200610058450 A CN200610058450 A CN 200610058450A CN 101043410 A CN101043410 A CN 101043410A
- Authority
- CN
- China
- Prior art keywords
- vpn
- network
- mobile node
- advertising
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种实现移动VPN业务的方法及系统。本发明主要包括:在虚拟专用网VPN内的路由器向移动节点发送的路由通告消息中承载区别标识信息,并发送;当移动节点接收到所述的路由通告消息后,根据消息中承载的区别标识信息确定其处于VPN内部。因此,本发明可以充分利用移动IPv6的移动检测特性,将VPN的移动检测与移动IPv6的移动检测相融合,最大限度地降低了内部网络检测的复杂度,同时能获得高效的检测效率,解决了在IPv6环境下移动VPN的内部网络检测问题,进而可以有效保证移动VPN业务的顺利开展。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种在无线通信系统中实现移动VPN(虚拟专用网)业务的技术。
背景技术
VPN以其安全和低成本等优越性越来越受到企业用户的青睐,同时,随着无线通信的发展,移动VPN的需求日益增多。尤其是IPv6环境下的移动VPN技术的应用越来越广泛。
在VPN内部,由于网络被认为是可靠的,因此,为了提高网络性能便采用了不加密的明文传输方法。
在VPN外部,为了保证企业内部资源及通信内容的安全保密则需要通过VPN隧道进行传输。即当MN离开VPN进入外部网络时,为了保证企业内部资源的安全保密,需要为MN建立一条IPsec(互联网协议安全)隧道以继续维持MN与VPN内部CN(核心网)的通信。而且,由于在VPN外部网络中,MN的转交地址将作为建立的隧道的一个端点,因而,MN的转交地址的改变势必导致隧道的重新建立,频繁的建立隧道将极大地增加网络开销、降低网络性能,严重时可能会导致通信的中断。
因此,通过内部检测机制准确及时的判别当前MN(移动节点)所处环境以确定需要采用的传输方式在移动VPN的检测中尤为重要。即只有判断出MN所处位置后才能进一步判断是否需要建立隧道,从而既可以避免频繁的建立隧道对网络产生的负面影响,还可以有效保证网络的安全性能。
关于移动VPN的内部网络检测机制,目前已经实现的技术方案中仅涉及到IPv4环境下的VPN检测的技术。
相应的检测方案解决了移动IPv4环境下MN的移动检测问题,具体为:当MN检测到其网络接入点发生改变时,MN同时向i-HA(内部家乡代理)和x-HA(外部家乡代理)发送注册请求,如果该注册请求的应答消息没有接收到,则MN将周期性重发所述的注册请求。
MN接收到所述的注册应答消息后,则具体的处理方式如下:
(1)MN接收到来自x-HA的响应
MN停止向x-HA重发注册请求且判定MN位于VPN的外部;同时,MN必须在一段时间内保持周期性的向i-HA发送注册请求,且在MN等待来自i-HA的响应时可能延迟一段时间再进行IPsec的连接建立。
(2)MN接收到来自i-HA的响应
MN必须判定其位于VPN内部;如果MN接收到来自x-HA的注册应答,MN应该注销x-HA的注册,而且,MN停止向i-HA和x-HA重发注册请求;
如果接收到来自x-HA的应答而MN已经成功地与i-HA注册,MN应该注销同x-HA的注册。
经过上述过程的处理后,如果MN检测到自己位于VPN内部,则必须周期性重注册,且重注册间隔和相关参数可配置。如果重注册失败了,MN必须停止发送和接收明文通信,同时必须重新启动检测算法。
在现有的检测方法中MN向VPN网络内外的两个家乡代理同时发送注册请求,并通过接收到的注册应答来源来判断当前MN的位置,由于这种双向注册请求的存在使得网络负担大大增加,因而不利于有效利用网络带宽。
而且,随着IPv6技术的不断完善以及全球互联网需求的发展,利用移动IPv6的移动VPN也必将成为日后移动VPN业务的主流,因此,IPv6环境下的准确、高效地的移动VPN内部网络检测方案非常重要。
然而,在现有的实现方案中并没有提供在IPv4与IPv6混合网络以及纯IPv6环境下的相应解决方案,使得现有的移动VPN检测机制很难适应互联网的飞速发展。
发明内容
本发明的目的是提供一种移动VPN的检测方法,从而可以对基于IPv6网络或IPv4和IPv6混合网络实现的移动VPN的有效检测,从而有效提高相应的网络性能。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种实现移动VPN业务的方法,包括:
A、在虚拟专用网VPN内的路由器向移动节点发送的路由通告消息中承载区别标识信息,并发送;
B、移动节点接收到所述的路由通告消息后,根据消息中承载的区别标识信息确定其处于VPN内部。
所述的方法还包括:
C、当移动节点在预定的时间内未收到VPN内的家乡代理发来的路由通告消息,则主动发送路由通告请求消息;
D、在VPN内部的路由器接收所述的路由通告请求消息后,执行步骤A。
所述的步骤D还包括:
当该移动节点对应的VPN内部的家乡代理收到所述的路由通告请求消息后,则向移动节点发送路由通告消息,移动节点收到所述的路由通告消息后,确定其处于VPN家乡网络中。
所述的步骤D还包括:
移动节点发送所述的路由通告请求消息后,收到子网前缀与家乡代理相同的路由器发来的路由通告消息,则确定其处于VPN家乡网络中,且该移动节点需要重新选择新的家乡代理。
所述的步骤B具体包括:
B1、发送所述的路由通告请求消息的移动节点收到子网前缀与家乡代理不相同的路由器发来的路由通告消息,则确定其进入外地网络;
B2、根据路由通告消息中承载的所述区别标识信息确定移动节点当前处于VPN内部或VPN外部的外地网络。
所述的步骤B2包括:
当所述的路由通告消息中承载着用于标识该消息为VPN内部的路由器发出的区别标识信息时,则确定移动节点位于VPN内部的外地网络,否则,确定移动节点位于VPN外部的外地网络。
所述的步骤B还包括:
B3、在移动节点确定其进入VPN外部的外地网络后,则在外地网络中通过无状态或有状态的地址自动配置机制获得相应的转交地址信息;
B4、利用所述的转交地址信息与VPN网关建立隧道,并通过所述的隧道实现移动节点与VPN家乡网络的通信。
本发明中,在执行所述的步骤B4之前还包括:获得转交地址的移动节点需要通过VPN网关的身份验证。
所述的步骤B还包括:
B5、在移动节点确定其进入VPN内部的外地网络,则需要向家乡代理发送绑定更新请求消息,所述的消息中承载有表示其为VPN内部的移动节点的标识信息;
B6、家乡代理接收绑定更新请求消息,并仅对承载有所述标识信息的绑定更新请求消息进行处理。
所述的VPN内部为IPv6网络,所述的VPN外部为IPv4网络或IPv6网络。
本发明还提供了一种实现移动VPN业务的系统,包括设置于路由器中的路由通告消息构造及发送单元,和设置于移动节点中的判断单元,其中:
所述的路由通告消息构造及发送单元,用于构造承载有的区别标识信息的路由通告消息,所述的区别标识信息用于表示该消息为VPN内部的路由器发出的消息;
所述的判断单元,用于接收所述的路由通告消息,并根据消息中承载的所述区别标识信息判断移动节点是否位于VPN内部。
所述的判断单元中还包括子网前缀判断子单元,用于根据接收到的路由通告消息中的子网前缀判断移动节点是否处于VPN家乡网络中。
所述的系统还包括:
身份验证单元,其设置于VPN网络中的VPN网关上,用于对发起隧道建立的移动节点的身份进行验证,并控制仅允许身份验证通过的移动节点与VPN网关之间建立相应的隧道。
所述的系统还包括防火墙,在所述的防火墙中设置有数据拦截单元,用于拦截移动节点与VPN网关间的加密数据。
由上述本发明提供的技术方案可以看出,本发明可以充分利用移动IPv6的移动检测特性,将VPN的移动检测与移动IPv6的移动检测相融合,最大限度地降低了内部网络检测的复杂度,同时能获得高效的检测效率,解决了在IPv6环境下移动VPN的内部网络检测问题,进而可以有效保证移动VPN业务的顺利开展。而且,本发明还能够兼容混合网络情况的检测处理。另外,本发明的实现还可以保证网络的高度安全性以及网络管理的灵活性。
因此,本发明提供了一种高效可靠的内部网络检测机制,有利于推动下一代互联网络环境下移动VPN的发展。
附图说明
图1为VPN网络的拓扑结构图;
图2为MN离开家乡网络进入VPN内部的外地网络的示意图;
图3为路由通告消息的格式示意图;
图4为绑定更新请求消息的格式示意图;
图5为MN进入VPN外部的外地网络的示意图;
图6为MN在VPN外部遭受到恶意主机攻击的示意图;
图7为MN进入IPv4的无线网络的示意图;
图8为本发明所述的方法中检测MN所在网络的过程示意图;
图9为本发明所述的系统的具体实现结构示意图。
具体实施方式
本发明通过类VPN网关、内部路由器以及移动节点的配置,从而实现在IPv6环境下,移动VPN的内部网络检测问题。
本发明在实现过程中,由于本发明需要针对IPv6环境的,所以要求网络环境为IPv6网络;例如,如图1所示,典型的基于IPv6的VPN的网络拓扑结构包括VPN网关、VPN内部路由器(如家乡代理HA等)和防火墙。
其中,为了保证VPN内部的安全,所有内部节点与外部的通信,以及外部节点对内部的访问只能经过VPN-GW(VPN网关)才能进行,也即VPN-GW是VPN内部网络与外部网络通信的唯一关口,所述的外部节点包括外部网络中的任何节点,即包括企业内部用户(即VPN内部网络的用户)移动到外部,以及企业外部用户。
为实现本发明,首先需要针对图1所示的组网结构中的实体进行相关设置,具体需要进行的设置分别包括:
(1)针对VPN网关的设置
VPN网关对于进入VPN和离开VPN的数据会实施不同的操作,具体为:
对于通过VPN网关进入VPN内部的数据的操作为仅允许IPsec加密(隧道形式)数据及移动IPv6数据的进入,其他数据均拒绝响应直接丢弃;
对于离开VPN进入外部网络的数据则必须经由隧道传输,若已经存在隧道则直接将数据添加到隧道中传输,若不存在隧道,则首先缓存该数据,然后由网关发起隧道建立程序,并在隧道建立完成后,再从缓存中读取数据通过所述隧道进行传输。
(2)针对VPN内部路由器的设置
对于VPN网络内部的路由器(包括家乡代理等)需要进行的设置为:令其发送的路由通告消息中含有标识位V,即区别标识信息,所述的标识V用于标识发送所述路由通告消息路由器为VPN内部的路由器,这样,移动节点收到相应的消息后,便可以根据所述V标识位很容易地确定其所在的网络,即是否在VPN内部网络中。
(3)针对MN的设置
MN需要地的设置为:令其能够读取路由通告消息中的V标识信息,并能用于标识自己的绑定更新请求,以简化其他网络设备的处理,具体为:对于接收到该绑定更新请求的VPN网关或是VPN内部的路由器来说,其均可以根据该标识初步判断移动节点是否属于VPN网络,并在确定其不是VPN网络的节点时,则直接丢弃请求,以降低VPN网关和网络内部路由器的处理负担。
(4)针对防火墙的设置
防火墙的设置推荐为内置防火墙,也即在VPN网关和VPN内部网络之间配置,其需要被配置为拦截移动节点与VPN网关之间的IPsec加密数据,这主要是因为:由于软件的不完善以及切换延迟的存在,有可能使得MN在VPN内部时仍然与VPN网关建立了隧道,通过配置防火墙拦截解密数据并返回的拒绝信息,可令MN进行重新判断,从而避免MN在VPN内部时错误的与VPN网关建立IPsec隧道,导致网络负担增加。
需要说明的是:本发明中,为简化网络结构,也可以使用具有防火墙功能的VPN网关,此时无需单独设置相应的防火墙。
经过了上述相关设置之后,在移动节点的移动过程中,通过相应的报文交互,便可以检测确定移动节点当前所在的网络,如为VPN内部网络或者VPN外部网络等;当可以检测确定移动节点当前所在的网络后,就可以在网络中根据移动节点所在的网络开展移动VPN业务,例如,当位于外部网络时,移动节点可以通过建立的隧道与VPN家乡网络中的节点通信。
本发明中,后续描述的相应的检测过程是以移动IPv6的检测过程为主体,整个检测过程的主线是移动IPv6的检测过程,通过修改路由器发送的路由通过消息以及MN发送的绑定更新消息,使其将移动IPv6检测与移动VPN检测融为一体,在进行移动IPv6的移动检测同时进行VPN检测,简化了VPN检测过程,同时能获得高效的检测能力。当然,本发明也可以应用于IPv4网络中,或者,应用于由IPv4网络和IPv6网络组成的混合网络中。
由于实现相应的检测是本发明实现的核心,因此,下面将结合图2至图8对MN在VPN网络内的家乡网络内移动、在VPN网络内的外地网络移动和MN进入VPN外部的外地网络三种情况下的检测过程进行说明。
(一)MN位于VPN网络内的家乡网络内部的情况
MN在其VPN家乡网络选取一个具有代理功能的路由器作为其HA(家乡代理),该HA以及网络内其它路由器将会周期性发送非请求的路由通告,以便于向MN及其他节点通告其可用性及可到达的链路节点,用于配置的链路和Internet参数,所述的参数包括:网络地址前缀,建议的跳数最大值及本地MTU,也包括指明节点应使用的自动配置类型的标志。
在该情况下,相应的检测过程参照图8所示,具体包括:
1、若MN周期性的接收到来自HA的路由通告消息,则确定MN位于VPN家乡网络的内部,此时,视MN为普通的IPv6节点进行通信即可;
2、若MN在周期时间内没有接收到来自HA的路由通告消息,则会主动发送路由通告请求,以请求HA发送请求的路由通告消息;
MN发送了所述的路由通告请求后,便等待接收相应的路由通告消息,根据是否收到所述的路由通告消息,采用不同的处理,具体包括:
(1)若MN主动发送路由通告请求后在周期时间内接收到来自HA的路由通告,则判断MN仍位于VPN家乡网络;
(2)若MN主动发送路由通告请求后在周期时间内仍没有接收到来自HA的路由通告,而接收到子网前缀与HA相一致的其它路由器的路由通告,则确定MN的HA发生故障不能继续为MN服务,但MN仍然位于VPN家乡网络,此时,MN需要重新选取一个VPN家乡网络中的能提供代理功能的路由器作为新的HA,以便于继续进行通信。
(二)MN离开家乡网络,进入VPN内部的外地网络的情况
接着情况(一),若MN主动发送路由通告请求后在周期时间内仍没有接收到来自HA的路由通告,并且接收到子网前缀与HA不一致的其它路由器的路由通告消息,则可判断出此时的MN已经离开VPN家乡网络进入外地网络,但还无法确定是否处于VPN内部的外地网络,因此仍需判断进入的是VPN内部的外地网络还是VPN外部的外地网络。
由于该情况仅关注MN进入VPN内部的外地网络情况,故相应的描述将不涉及MN进入VPN外部的外地网络情况。
如图2所示,MN在判断出自己到达外地网络后,即通过无状态或有状态的地址自动配置机制获得转交地址。由于在当前链路上可能存在多个可用的子网前缀,或者存在多条可用的链路,移动节点可能得到多个转交地址,因此,移动节点需要从中选择一个作为主转交地址。
获得相应的转交地址(即主转交地址)后,根据前面的设置可知,MN可以根据接收到的当前默认路由通告消息中的“V”标识位的值来判断所处位置,例如,参照图8所示,根据预定的设置可以判断:若V=1,则MN在VPN内部;若V=0,则MN在VPN外部;所有VPN内部的路由器均将路由通告消息中的该标识位设置为1,其目的是为了告知接收到该路由通告的MN当前位置是VPN网络的内部。当然,该V标识也可以设置为其他任意值,只要其能够区分出收到的路由通告消息是否为VPN内的路由器发出即可。
在IPv6网络中,相应的路由通告消息的格式如图3所示,该V标识位位于移动IPv6路由通告消息中标识位“H”之后的保留位,原有保留位由5位减少为4位。在实现本发明的过程中,也可以采用其他位作为该V标识位。
通过对VPN网络内部的路由器进行相应的设置可以非常容易的获得具有该V标识位的路由通告。
在该具体实施例中,当MN进入了VPN内部的外地网络,则接收到路由通告消息的V标识位将会是被置为1的,此时,MN便可以判断确定自己位于VPN网络内部,这样,MN便不需要启动隧道建立程序而是直接向HA发送绑定更新请求消息,所述的绑定更新请求消息的格式如图4所示。
由图4可见,V标识位是在传统移动IPv6的绑定更新消息保留字段占用一个新的比特位,该位为“1”时表明该绑定更新的发起节点在VPN的内部,该位为“0”时表明该绑定更新的发起节点在VPN的外部。
该标识位的设置由MN自己来完成,当MN接收到含有V=1标识位的路由器通告后,将该位设置为1;反之,若MN接收到未设置标识位V的路由器通告,则将该位设置为0。
在MN发送的绑定更新请求消息中携带V标识,可以使得接收到该绑定更新的VPN网关或是VPN内部的路由器都可以初步判断这是一个属于VPN网络的节点,并在其不属于VPN网络的节点时,直接丢弃相应请求,因此,尽管无法通过V标识判断确定是否属于移动节点所属的VPN,便仍可以有效降低VPN网关和网络内部路由器的处理负担。
(三)MN离开家乡网络,进入VPN外部的外地网络
上面分析了MN在VPN内部移动的情况,下面详细阐述图5所示MN离开VPN进入外部网络情况的检测处理。
MN首先能够判断出自己离开了家乡,到达外地网络,并获得一个转交地址,获得转交地址后,MN依据接收到的当前默认路由器的路由通告消息来判断自身的位置,进而决定下一步的操作,具体过程包括:
1、MN接收到路由通告,仍参照图8所示,读取V=0,确定MN已经离开VPN并进入外部网络,此时MN直接启动隧道建立程序。
2、VPN网关接收到来自MN的隧道建立请求后,首先发送一个身份验证请求消息到MN,以对MN的身份进行验证,接收到身份验证请求消息的MN会向VPN网关回复一个身份验证信息,所述的身份验证信息将会被送入验证服务器等待验证。
3、在确定MN通过身份验证后,VPN网关便会同意MN的隧道建立请求,并与MN建立隧道;
若MN未通过身份验证,则VPN网关将会拒绝响应该隧道建立请求,使得MN无法与其建立通信隧道,以保证VPN网络的安全。
4、隧道建立完成后,MN发送绑定更新请求消息到家乡的HA,该消息被封装在VPN的隧道内,经过网关解封装到达HA。
5、HA响应该绑定更新请求,发送注册应答消息到MN,该应答消息经隧道传输到达MN。
6、转交地址向HA的注册完成后,MN便可以恢复同VPN内部的通信。
上述MN移动过程通常是指MN由VPN网络内部移动到公网环境中,再由公网返回VPN内部网的过程。还有一种特殊情况需要考虑,就是MN进入公网中其他VPN内部。
由于VPN内部是仅仅面向自身企业及分其支机构的网络环境,需要较高的安全级别,因此对于外来的与本企业无关的节点应该不予响应。但是,对于来自分支机构或具有伙伴关系的网络的MN,由于网络间的相互信任则需提供移动支持,继续维持MN的通信。
下面将分别对MN进入与自身所在的VPN无任何关系的VPN的情况和MN进入与自身所在的VPN有伙伴关系的VPN的情况的处理进行说明。
(一)MN进入无任何关系的VPN内部
MN获得一个新的转交地址,但由于MN与当前VPN没有任何关系,所以MN无法通过该VPN的身份验证,在该VPN内部MN成为一个非法节点,所有通信请求均予以拒绝,MN无法与该VPN通信,通信将会中断。
(二)MN进入其分支或其他具有受信关系的VPN内部
MN进入其分支或其他具有受信关系的VPN内部时,由于相应的VPN的身份验证数据库中应该有MN的信息,因而使得当MN进入该网络,试图获得网络连接时能够顺利通过身份验证;之后,由于MN接收到的是V=1的路由器通告,因此MN直接发送绑定更新消息,该消息到达当前MN所处的VPN网关处,VPN网关根据该IP包的目的地址发起隧道建立请求,该请求被路由到MN家乡网络所在的VPN网关处,由于与该请求的发起端属于相互信任关系,因此,VPN网关将会响应该隧道请求,具体的处理包括:首先,检查是否在两个VPN网关间已经存在隧道,若存在,则返回隧道已经建立的消息给请求的发起端;否则与发起端建立隧道;在隧道建立完成后,再进行绑定更新的建立,然后进行通信。
从上述描述可见,对于MN进入与之毫不相关的VPN,其通信会被中断;对于MN进入与之存在受信关系的其他VPN,将通过双方的网关协调,在双方网关之间建立隧道,然后进行通信。在此过程中,MN虽然不在其家乡网络所在的VPN,但是因为仍然处于受信的VPN内部,所以接收到V=1的路由器通告不影响MN的正常通信,也就不需要进行区别判断。
另外,需要说明的是:MN在移动过程中,尤其是进入不存在受信关系的VPN外部网络,很容易遭受一些主动或被动的攻击。即MN在VPN外部时,有恶意主机(路由器)模仿内网的路由器,发送含有V=1的路由通告消息给MN,诱使MN认为自己回到VPN内部,并令其发送明文,以期望在MN通信过程中窃取机密信息,或者期望通过诱使MN发送假信息而使其通信被拒绝。对于这种情况,如图6所示,在本发明的具体实现过程中可以通过VPN网关的安全设置来解决,具体过程如下:
1、MN接收到V=1的路由通告,会错误的判断自己位于VPN内部的外地网络,此时是不需要建立VPN隧道的,则MN会直接发送一个绑定更新请求到其对应的HA。
2、该绑定更新请求到达VPN网关后,网关会首先缓存该信息,同时要求一个身份验证信息,若未通过验证,则网关直接从缓存中删除该信息;若通过验证,则VPN网关会因为V=1的虚假信息允许该请求进入VPN内部。
3、绑定更新请求到达HA后,HA回复一个绑定确认消息给MN,该绑定确认消息到达VPN网关时,VPN网关首先判断该绑定确认消息的目的地是否与网关存在隧道,若存在则直接加入隧道传输,若不存在则先缓存该绑定更新确认消息,并启动VPN隧道建立程序,隧道建立完成后再将缓存中的绑定确认消息添加到隧道中发送出去。
可以看出,这样的处理过程既能保证MN在受攻击的情况下能继续通信,又使得通信信息不被窃取。
另外,出于充分的安全考虑,可以配置VPN内部网络任何一个试图接入网络的节点均需经过身份验证才允许获得网络连接,这样一来进一步增强了网络的安全性。具体可以由网络管理员根据需要进行配置,即根据不同的安全级别要求进行相应设置,从而达到安全性可控的目的。这样,便能够有效的防止恶意节点偷偷潜入VPN内部网络的无线覆盖区域,窃取保密信息。
在前面的描述中,是以VPN内部网络为IPv6网络,同时假设外部骨干网也为IPv6网络为例进行的说明。但是,在目前互联网的发展来看,IPv4还是网络的主流,特别是骨干网方面,绝大多数还是IPv4的,因此本发明还需要能够应用于包括IPv4网络和IPv6网络的混合网络中。
当VPN内部网络为IPv6网络时,外部网络为IPv4网络时,本发明的具体实现包括以下两种情况:
(一)MN进入IPv4海洋中的一个IPv6孤岛
所述的IPv6孤岛至VPN内部网络之间的IPv4骨干网对整个VPN通信来说是透明的,也即网络间通信由MN当前所在网络、IPv4骨干网和VPN内部网络来决定,并不影响移动VPN的配置。只要MN进入的孤岛能够同IPv4网络通信,同时VPN内部网络也是向下兼容IPv4网络的,则检测机制的工作过程不受任何影响。具体如图7所示,VPN隧道穿过IPv4骨干网时被封装在IPv4隧道当中,对MN和VPN内部来说,中间的网络环境是透明的。
(二)MN进入IPv4骨干网的无线网络
由于MN进入了IPv4无线网络中,若需要保持MN能够继续通信,则该MN必须支持IPv6/IPv4双栈协议。同时,一旦MN接收到来自IPv4的代理通告(该代理通告是由移动IPv4中的外地代理发送的,且为周期发送)则直接判断进入VPN外部的网络中,启动隧道建立程序,此时MN的转交地址为IPv4地址,需要将它改为IPv6地址,可选择VPN网关的前缀为该地址的IPv6前缀,这样MN向VPN内部的HA注册的是VPN网关前缀+MN获得的IPv4转交地址,注册完成后进行通信。
若该VPN网关的网络前缀不足96位,则在网络前缀与IPv4地址间添加填充位,一方面用来满足新构成的地址是128位的IPv6地址;另一方面可防止来自不同私有自用网络的相同IP地址造成的地址混叠。
本发明还提供了一种实现移动VPN业务的系统,该系统的具体实现如图9所示,包括设置于路由器中的路由通告消息构造及发送单元,和设置于移动节点中的判断单元,其中:
所述的路由通告消息构造及发送单元,用于构造承载有的区别标识信息的路由通告消息,所述的区别标识信息用于表示该消息为VPN内部的路由器发出的消息,以便于移动节点能够确定当前所在的网络环境;
所述的判断单元,用于接收所述的路由通告消息,并根据消息中承载的所述区别标识信息判断移动节点是否位于VPN内部,从而保证采用正确的通信过程开展移动VPN业务;为便于判断单元能够快速准确地确定移动节点当前所在的网络,则所述的判断单元中还包括子网前缀判断子单元,用于根据接收到的路由通告消息中的子网前缀判断移动节点是否处于VPN家乡网络中,当确定移动节点位于VPN家乡网络中时,则无需进行其他判断。
为保证系统通信的安全性能,在所述的系统中还可以设置相应的身份验证单元,该单元设置于VPN网络中的VPN网关上,用于对发起隧道建立的移动节点的身份进行验证,并控制仅允许身份验证通过的移动节点与VPN网关之间建立相应的隧道,从而限制非法移动节点进入VPN。
另外,所述的系统中还可以设置有防火墙,在所述的防火墙中设置有数据拦截单元,用于拦截移动节和VPN网关间的加密数据。
综上所述,本发明可以充分利用移动IPv6的移动检测特性,将VPN的移动检测与移动IPv6的移动检测相融合,最大限度地降低了内部网络检测的复杂度,同时能获得高效的检测效率,解决了在IPv6环境下移动VPN的内部网络检测问题。而且,本发明还能够兼容混合网络情况的检测处理。另外,高度安全性和由于安全级别的控制带来的网络管理的灵活性也是本发明的主要优点之一。
因此,本发明提供了一种高效可靠的内部网络检测机制,有利于推动下一代互联网络环境下移动VPN的发展。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (14)
1、一种实现移动VPN业务的方法,其特征在于,包括:
A、在虚拟专用网VPN内的路由器向移动节点发送的路由通告消息中承载区别标识信息,并发送;
B、移动节点接收到所述的路由通告消息后,根据消息中承载的区别标识信息确定其处于VPN内部。
2、根据权利要求1所述的方法,其特征在于,所述的方法还包括:
C、当移动节点在预定的时间内未收到VPN内的家乡代理发来的路由通告消息,则主动发送路由通告请求消息;
D、在VPN内部的路由器接收所述的路由通告请求消息后,执行步骤A。
3、根据权利要求2所述的方法,其特征在于,所述的步骤D还包括:
当该移动节点对应的VPN内部的家乡代理收到所述的路由通告请求消息后,则向移动节点发送路由通告消息,移动节点收到所述的路由通告消息后,确定其处于VPN家乡网络中。
4、根据权利要求2所述的方法,其特征在于,所述的步骤D还包括:
移动节点发送所述的路由通告请求消息后,收到子网前缀与家乡代理相同的路由器发来的路由通告消息,则确定其处于VPN家乡网络中,且该移动节点需要重新选择新的家乡代理。
5、根据权利要求1至4中的任一项所述的方法,其特征在于,所述的步骤B具体包括:
B1、发送所述的路由通告请求消息的移动节点收到子网前缀与家乡代理不相同的路由器发来的路由通告消息,则确定其进入外地网络;
B2、根据路由通告消息中承载的所述区别标识信息确定移动节点当前处于VPN内部或VPN外部的外地网络。
6、根据权利要求5所述的方法,其特征在于,所述的步骤B2包括:
当所述的路由通告消息中承载着用于标识该消息为VPN内部的路由器发出的区别标识信息时,则确定移动节点位于VPN内部的外地网络,否则,确定移动节点位于VPN外部的外地网络。
7、根据权利要求5所述的方法,其特征在于,所述的步骤B还包括:
B3、在移动节点确定其进入VPN外部的外地网络后,则在外地网络中通过无状态或有状态的地址自动配置机制获得相应的转交地址信息;
B4、利用所述的转交地址信息与VPN网关建立隧道,并通过所述的隧道实现移动节点与VPN家乡网络的通信。
8、根据权利要求7所述的方法,其特征在于,在执行所述的步骤B4之前还包括:获得转交地址的移动节点需要通过VPN网关的身份验证。
9、根据权利要求5所述的方法,其特征在于,所述的步骤B还包括:
B5、在移动节点确定其进入VPN内部的外地网络,则需要向家乡代理发送绑定更新请求消息,所述的消息中承载有表示其为VPN内部的移动节点的标识信息;
B6、家乡代理接收绑定更新请求消息,并仅对承载有所述标识信息的绑定更新请求消息进行处理。
10、根据权利要求1至4中的任一项所述的方法,其特征在于,所述的VPN内部为IPv6网络,所述的VPN外部为IPv4网络或IPv6网络。
11、一种实现移动VPN业务的系统,其特征在于,包括设置于路由器中的路由通告消息构造及发送单元,和设置于移动节点中的判断单元,其中:
所述的路由通告消息构造及发送单元,用于构造承载有的区别标识信息的路由通告消息,所述的区别标识信息用于表示该消息为VPN内部的路由器发出的消息;
所述的判断单元,用于接收所述的路由通告消息,并根据消息中承载的所述区别标识信息判断移动节点是否位于VPN内部。
12、根据权利要求11所述的系统,其特征在于,所述的判断单元中还包括子网前缀判断子单元,用于根据接收到的路由通告消息中的子网前缀判断移动节点是否处于VPN家乡网络中。
13、根据权利要求11所述的系统,其特征在于,所述的系统还包括:
身份验证单元,其设置于VPN网络中的VPN网关上,用于对发起隧道建立的移动节点的身份进行验证,并控制仅允许身份验证通过的移动节点与VPN网关之间建立相应的隧道。
14、根据权利要求11、12或13所述的系统,其特征在于,所述的系统还包括防火墙,在所述的防火墙中设置有数据拦截单元,用于拦截移动节点与VPN网关间的加密数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100584501A CN101043410B (zh) | 2006-03-24 | 2006-03-24 | 实现移动vpn业务的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100584501A CN101043410B (zh) | 2006-03-24 | 2006-03-24 | 实现移动vpn业务的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101043410A true CN101043410A (zh) | 2007-09-26 |
| CN101043410B CN101043410B (zh) | 2011-02-16 |
Family
ID=38808634
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100584501A Expired - Fee Related CN101043410B (zh) | 2006-03-24 | 2006-03-24 | 实现移动vpn业务的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101043410B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769911A (zh) * | 2012-07-20 | 2012-11-07 | 大唐移动通信设备有限公司 | 一种路由通告消息发送方法及装置 |
| CN105025004A (zh) * | 2015-07-16 | 2015-11-04 | 东南大学 | 一种双栈IPSec VPN装置 |
| CN108075571A (zh) * | 2017-11-20 | 2018-05-25 | 国网河南省电力公司安阳供电公司 | 一种变电站远动通信控制方法 |
| CN110098975A (zh) * | 2019-04-03 | 2019-08-06 | 新浪网技术(中国)有限公司 | 用户通过虚拟专用网络访问互联网的检测方法及系统 |
| CN111130901A (zh) * | 2019-12-30 | 2020-05-08 | 京信通信系统(中国)有限公司 | 设备管理方法、装置、通信设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100496011C (zh) * | 2004-08-20 | 2009-06-03 | 合勤科技股份有限公司 | 移动式vpn的动态代理器分配方法及系统 |
| CN1741056A (zh) * | 2005-09-28 | 2006-03-01 | 北京远征伟业信息技术有限公司 | 多功能网络集成服务器 |
-
2006
- 2006-03-24 CN CN2006100584501A patent/CN101043410B/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769911A (zh) * | 2012-07-20 | 2012-11-07 | 大唐移动通信设备有限公司 | 一种路由通告消息发送方法及装置 |
| CN102769911B (zh) * | 2012-07-20 | 2016-03-02 | 大唐移动通信设备有限公司 | 一种路由通告消息发送方法及装置 |
| CN105025004A (zh) * | 2015-07-16 | 2015-11-04 | 东南大学 | 一种双栈IPSec VPN装置 |
| CN105025004B (zh) * | 2015-07-16 | 2018-01-02 | 东南大学 | 一种双栈IPSec VPN装置 |
| CN108075571A (zh) * | 2017-11-20 | 2018-05-25 | 国网河南省电力公司安阳供电公司 | 一种变电站远动通信控制方法 |
| CN108075571B (zh) * | 2017-11-20 | 2021-06-08 | 国网河南省电力公司安阳供电公司 | 一种变电站远动通信控制方法 |
| CN110098975A (zh) * | 2019-04-03 | 2019-08-06 | 新浪网技术(中国)有限公司 | 用户通过虚拟专用网络访问互联网的检测方法及系统 |
| CN110098975B (zh) * | 2019-04-03 | 2021-03-30 | 新浪网技术(中国)有限公司 | 用户通过虚拟专用网络访问互联网的检测方法及系统 |
| CN111130901A (zh) * | 2019-12-30 | 2020-05-08 | 京信通信系统(中国)有限公司 | 设备管理方法、装置、通信设备及存储介质 |
| WO2021136175A1 (zh) * | 2019-12-30 | 2021-07-08 | 京信网络系统股份有限公司 | 设备管理方法、装置、通信设备及存储介质 |
| CN111130901B (zh) * | 2019-12-30 | 2021-12-21 | 京信网络系统股份有限公司 | 设备管理方法、装置、通信设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101043410B (zh) | 2011-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3459270B1 (en) | Systems and methods for user plane path selection, reselection, and notification of user plane changes | |
| CN102571587B (zh) | 报文转发方法和设备 | |
| CN103874114B (zh) | 一种ap故障处理方法、ap设备以及ac设备 | |
| US20050195780A1 (en) | IP mobility in mobile telecommunications system | |
| US20070006295A1 (en) | Adaptive IPsec processing in mobile-enhanced virtual private networks | |
| CN1503523A (zh) | 用于安全、便携、无线和多跳数据连网的方法和设备 | |
| CN1910861A (zh) | 公共接入点 | |
| CN1898659A (zh) | 用于支持专有归属代理的移动ip扩展 | |
| CN1778077A (zh) | 移动以太网 | |
| CN107580768A (zh) | 报文传输的方法、装置和系统 | |
| CN1666190A (zh) | 向归属代理注册移动节点的归属地址的方法 | |
| CN101052207A (zh) | 一种可移动虚拟专用网的实现方法及系统 | |
| US7933253B2 (en) | Return routability optimisation | |
| CN106255089B (zh) | 一种无线三层漫游的方法和装置 | |
| US8521161B2 (en) | System and method for communications device and network component operation | |
| CN100338920C (zh) | 一种利用层次自组网构建紧急通信系统的方法 | |
| CN101043410A (zh) | 实现移动vpn业务的方法及系统 | |
| CN1976309A (zh) | 无线用户接入网络服务的方法、接入控制器和服务器 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| JP3848336B2 (ja) | 私設無線高速データシステムのデータ呼処理装置及びその方法 | |
| CN101030882A (zh) | 一种访问客户网络管理平台的方法 | |
| KR101083114B1 (ko) | 홈 링크 설정 방법, 홈 게이트웨이 장치, 및 이동 단말 | |
| CN1801821A (zh) | 一种在移动环境下穿越防火墙的方法 | |
| CN101031133A (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
| JP2004328759A (ja) | 私設無線高速データシステムにおける端末機認証及び呼処理装置及びその方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110216 Termination date: 20170324 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |