CN101073236B - 在通信节点防火墙中支持移动网际协议 - Google Patents
在通信节点防火墙中支持移动网际协议 Download PDFInfo
- Publication number
- CN101073236B CN101073236B CN2004800382015A CN200480038201A CN101073236B CN 101073236 B CN101073236 B CN 101073236B CN 2004800382015 A CN2004800382015 A CN 2004800382015A CN 200480038201 A CN200480038201 A CN 200480038201A CN 101073236 B CN101073236 B CN 101073236B
- Authority
- CN
- China
- Prior art keywords
- network node
- address
- new address
- access
- binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/34—Modification of an existing route
- H04W40/36—Modification of an existing route due to handover
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于由诸如通信节点防火墙的接入阻断功能保护网络节点的方法、系统和设备。该接入阻断功能保护第一或第二网络节点并且允许从另一个网络节点,经由与该第一网络节点的地址和该第二网络节点的地址相关联的链接,到该所保护的网络节点的接入。该第二网络节点被配置为改变其地址。该方法包括当第二网络节点改变其地址时,将与该第二网络节点的旧地址相关联的链接关联到该第二网络节点的新地址。
Description
技术领域
本发明涉及一种用于通过接入阻断功能(例如防火墙)保护第一网络节点(例如通信节点CN)的方法和系统。
背景技术
本发明特别涉及移动IP(网际协议),其中具有到第一节点的连接的第二节点是移动节点(MN)。
支持在不同接入技术之间的漫游将需要移动IPv6(MIP),以便例如利用无线局域网(WLAN)热点增大3G(第三代)网络。另一方面,需要防火墙(FW)来保护节点免受恶意分组的影响。然而,现有的带状态的防火墙(stateful firewall)将会干扰MIP路由优化。
就是说,移动节点能够改变其地址。防火墙保护通信节点(CN)使得其允许移动节点和通信节点之间仅存在一个链接,其中该链接由移动节点和通信节点的地址来标识(以下将链接称为所谓的“针孔(pinhole)”)。即,在移动节点将其地址从旧的CoA(转交地址)改变为新的CoA的情况下,针孔不再有效。因此,需要重新再次建立移动节点和通信节点之间的全部连接。
这引起了两个节点之间的业务量的中断,使得用户烦恼。即,目前的防火墙不支持移动IP。
如果FW忽略绑定更新(BU)(即避免CoA中的改变),则MIP路由优化将不工作。许多来自新的CoA的分组将被丢掉,因为它们没有匹配的针孔。所有的会话必须从新的地址重新初始化。不可能进行平滑切换,除非所有的分组都经由归属代理(HA)进行路由。然而,这意味着不可能进行路由优化。
发明内容
从而,本发明的目的是在防火墙内同样允许支持移动IP。
该目的是通过一种用于由接入阻断功能保护网络节点的方法实现的,其中该接入阻断功能保护第一或第二网络节点并且允许从另一个网络节点,经由与该第一网络节点的地址和该第二网络节点的地址相关联的链接,到该所保护的网络节点的接入,其中该第二网络节点适用于改变其地址,该方法包括步骤:
当第二网络节点改变其地址时,将与该第二网络节点的旧地址相关联的链接关联到该第二网络节点的新地址。
作为选择,上述目的是通过一种包括接入阻断功能以及至少第一网络节点和第二网络节点的网络系统实现的,其中:
该接入阻断功能适用于,通过允许从另一个节点,经由与该第一网络节点的地址和该第二网络节点的地址相关联的链接,到该所保护的节点的接入,保护该第一网络节点或第二网络节点,
该第二网络节点适用于改变其地址,以及
该接入阻断功能适用于,当该第二网络节点改变其地址时,将与该第二网络节点的旧地址相关联的链接关联到该第二网络节点的新地址。
此外,上述目的是通过一种接入阻断设备实现的,其中:
接入阻断设备适用于,通过允许从另一个节点,经由与该第一网络节点的地址和该第二网络节点的地址相关联的链接,到该所保护的节点的接入,保护第一网络节点或第二网络节点,
当该第二网络节点改变其地址时,将与该第二网络节点的旧地址相关联的链接关联到该第二网络节点的新地址。
因此,根据本发明,将曾经与该第二网络节点的旧地址(例如旧CoA)相关联的、在该第一网络节点(例如通信节点)和该第二网络节点(例如移动节点)之间的现有链接(例如针孔)关联到该第二网络节点的新地址。
应当注意,第一或第二网络节点可以被保护。
换言之,根据本发明,新地址(新CoA)继承了旧地址的一个或多个针孔。
这样,不需要新的建立,并且在两个节点之间的业务量可以平稳地继续。
可以通过检测从第二网络节点到第一网络节点的绑定更新(BU)消息来检测第二网络节点的地址的改变,该绑定更新消息包括第二网络节点的新地址。
第二网络节点的新地址可以由接入阻断功能存储,而不加以使用。然后,检查该第二网络节点的新地址是否为有效,并且如果该第二网络节点的新地址为有效,则将与该第二网络节点的旧地址相关联的链接关联到该第二网络节点的新地址。
在检查该第二网络节点的新地址是否为有效期间,可以等待响应于包括该第二网络节点的新地址的绑定更新消息而传输的、从该第一网络节点到该第二网络节点的绑定确认(BA)消息。然后,如果接收到该绑定确认消息,则可以将该第二网络节点的新地址解释为有效。因此,可以通过等待BA消息执行该新地址是否为有效的检查(即新地址的确认)。
在该第二网络节点请求该绑定确认消息的情况下,将该绑定确认消息从该接入阻断功能转发到该第二网络节点。否则,在该第二网络节点未请求该绑定确认消息的情况下,可由接入阻断功能丢弃该绑定确认消息。
在检查新地址是否为有效期间,可以等待发往到该第二网络节点的新地址的业务量。然后,如果检测到发往该第二网络节点的新地址的业务量,则可以将该第二网络节点的新地址解释为有效。因此,可以通过检查该地址是否实际用于业务量来确认该新地址。
此外,可以阻断在该第一和该第二网络节点之间传输的业务量,直到检查出网络节点的新地址为有效。
在该阻断期间,在检查出该网络节点的新地址为有效之后,可以存储该所阻断的业务量的分组并将其转发到该第一网络节点。
另外,上述绑定更新消息可以包含标识符。然后,在该标识符与所期望的标识符不匹配的情况下,可以阻断该绑定更新消息。以此方式,可以容易地执行对攻击或错误分组的检测。
该标识符可以是该绑定更新消息的序列号,其在每次绑定更新消息从该第二网络节点被发送到该第一网络节点时都增加,并且所期望的标识符可以是相应的前述绑定更新消息的序列号。
而且,其他种类的标识符也是可以的,例如,可以使用包括在用于往返可路由(RR)测试中的转交测试初始化(CoTI)消息中的转交初始Cookie。
该绑定更新消息可以包括限制该绑定的期限的定时器。然后,当绑定的期限期满时,可以丢弃该第二网络节点的新地址。
此外,可以要求在第一和第二网络节点之间的消息满足某些消息格式。然后,在消息不满足所要求的消息格式的情况下,可以丢弃该消息(例如绑定更新(BU)消息)。
接入阻断功能可以是防火墙。
附图说明
以下通过参考附图对本发明进行描述,其中:
图1表示如根据本发明的实施方式所使用的网络布局;
图2表示根据本发明的第一实施方式的在MIP切换中的消息流;以及
图3是一个防火墙的简化框图。
具体实施方式
以下描述本发明的优选实施方式。
在本发明的实施方式中描述了一种情况,其中通信节点(CN)由防火墙(FW)保护,并且从已经移动到新的转交地址(CoA)的移动节点(MN)接收MIP(移动网际协议)绑定更新(BU)。在一个典型的方案中,CN为服务器以及MN为膝上型电脑或运行客户端软件的发信机。
以下为本发明的实施方式的简短概述:
FW以几个阶段来处理进入的BU:
FW检测发送到CN的BU,并且暂时存储建议的CoA,而不加以使用(“待定”)。
FW将分组转发到CN。CN执行通常的有效性检查并且利用使用新CoA的绑定确认(BA)响应MN。
FW检测BA,并且将其解释为新CoA的确认。新CoA继承先前与旧CoA相关联的针孔。
取决于MN是否在BU中请求了BA,FW丢掉或转发该BA。
如果在合理的时间内没有可接受响应,则FW保留旧CoA并且拒绝待定的新CoA。
接下来,参考图1和图2更详细地描述该实施方式。
图1表示根据本发明的实施方式的网络布局以及防火墙(FW,由参考标号13指示)的位置。因为FW 13和CN(或多个CN,如果服务器集群由相同的FW进行保护的话)是处于相同的安全域中,所以在它们之间没有“敌人(enemies)”(有可能攻击由参考标号14所指示的CN的实体)。应当注意,FW 13不需要保护HA(归属代理,由参考标号12指示)。在图1中,MN 11的地址的改变由MN的移动来指示(旧的连接状态由虚线指示,新的连接状态由实线指示)。
图2表示在MIP切换中的消息。应当注意,FW 13对其他单元是不可见的。因此,FW 13由虚线指示。应当注意,为简化视图,只示出了对描述根据本发明实施方式的过程必要的那些消息。
切换开始于从MN 11发送到其HA 12的BU消息。
作为BU的准备,MIP进行“往返可路由”测试。FW 13将把相应的分组传递到CN,除非有某些其他原因(例如,不良的内容或禁止的地址范围)将它们丢掉。进入的测试消息对CN是无害的,以及发出的响应在另一端被过滤。
在下面,更详细地描述往返可路由(RR)测试,以及特别是所涉及的消息。
简单地,往返可路由过程是一种测试,通过它可以确保移动节点在其要求的转交地址处以及在其归属地址处是实际可寻址的。该测试是通过测试寻址到这两个要求的地址的分组是否路由到移动节点来执行的。
特别地,所谓归属测试初始化(HoTI)消息和转交测试初始化(CoTI)消息是同时从MN发送到CN的。应当注意,HoTI消息是经由归属代理(HA)发送的,而CoTI消息是直接(即未涉及HA)发送到CN的。在成功测试的情况下,CN用经由HA发送的归属测试(HoT)消息以及发送到MN的转交测试(CoT)消息进行应答。在图2中也说明了这些形成往返可路由测试的消息。
HoTI消息包括作为其源地址的MN的归属地址以及作为其目的地地址的CN地址。作为参数,包括了为随机数的归属初始Cookie。该归属初始Cookie此后必须由CN返回并且用来为MN提供某些保证。
CoTI消息是类似的,只是源地址为移动节点的转交地址,并且参数是类似于上述归属初始Cookie的转交初始Cookie。
响应于HoTI消息而发送的HoT消息包括作为其源地址的CN地址以及作为其目的地地址的MN归属地址。作为参数,归属初始Cookie以及进一步的参数(例如,上述文件中详细描述的归属keygen令牌和归属nonce索引)允许改进的安全性。
响应于CoTI消息发送的CoT消息类似于HoT消息。即,CoT消息包括作为其源地址的CN地址、作为其目的地地址的MN转交地址以及诸如归属初始Cookie的几个参数和诸如转交keygen令牌和转交nonce索引的进一步的参数。
此外,上述所有消息的头(即HoTI,CoTI,HoT和CoT)包含(除其他项目外)移动头(MH)类型。MH类型是一个8比特选择器并且标识所考虑的特定移动消息。例如,对于CN,适当值为1、2或5。在CN本身是移动的情况下,它需要接收0、3或4。
关于上述RR消息,HoTI消息使用MH类型值1以及CoTI消息使用MH类型值2。另一方面,HoT消息使用MH类型值3以及CoT消息使用MH类型值4。
如先前所述,FW有必要让RR测试所需要的消息通过。即,如果MH类型是适当的,则让具有移动头的分组通过。此外,如果FW保护具有其自己的HA的网络,则还必须接受发送到HA的某些其他类型。
因此,以此方式也可以经过防火墙实施RR测试。
根据本实施方式的变形,防火墙也可以检查在RR测试期间发送的消息的有效性。即,防火墙可以从CoTI取出转交初始Cookie并且将其与包括在CN的CoT消息中的转交初始Cookie进行比较。在两个Cookie不匹配的情况下,FW可以丢掉CoT消息。
CN将只从通过了往返可路由测试的节点接受BU。然后CN应该将BA发送到MN,FW可以检测BA并且将其作为CoA的确认。应当注意必须分析该消息,因为它也可以作为对于失败的BU的错误报告被发送。任何错误都将导致FW拒绝待定的CoA。如果MN没有在BU中请求BA,则FW会在确认CoA之后将其丢掉。
然而,根据标准CN不需要发送BA,除非MN有明确的请求。在此情况下,FW必须等待将到达待定CoA的某些其他分组。等待时间应该为配置参数。
就是说,可以假设马上将要有业务量,或者MN还没有发送BU。这就为“针孔劫持(pinhole hijack)”攻击带来了可能性:攻击者发送具有节点的CoA的假的BU,CN出于其他原因与该节点进行通信。在此情况下,FW把错误的CoA作为确认的进行接受,因为它看到了到“新”CoA的业务量并且将MN的针孔与其相关联。
要求到新CoA的响应必须为BA可以防止该攻击。应当注意CN将不会在“针孔劫持”攻击中被欺骗(假的BU通不过安全检查),但是FW却不会知晓攻击。损失被限制在较小的范围,因为在典型的方案中MN将刷新会话,以重新开启需要的针孔。这可以由像TCP的协议自动地实现。
尽管如此,根据第一实施方式的优选的变形,如图2所示,CN发送BA是强制性的。在MN在BU中已明确地请求了BA的情况下,FW将BA转发到MN(如图2中虚线箭头所指示)。否则,将会丢掉BA,使得BA只被用来使FW可以确认正确的CoA。
来自于新CoA的分组将被FW阻止,直到新CoA得以确认。为平稳的服务应该将它们暂时地存储而不是立即丢掉。当确认了CoA时,则可以随后将它们转发。然而,这增加了FW对利用泛洪的DoS(拒绝服务)攻击的漏洞,并且应该是配置选项。为什么CN应该为每个BU发送BA的另一个原因是为了加速从“待定”到“确认”的转换。
根据本实施方式的变形,还可以有另一种对策以防范“针孔劫持”攻击(攻击者发送具有节点的CoA的假的BU,CN出于其他原因与该节点进行通信)。具体地,根据该变形,FW适用于丢掉其前面没有CoTI的任何BU。
即,可以存储CoTI消息的每个传输,使得在接收BU时可以检查是否是在两个所涉及的网络节点之间传输CoTI消息。如果在FW中没有存储CoTI消息(或CoTI消息的传输),则丢掉BU。
根据本发明的实施方式及其变形可以实施为对现有FW的直接附加。
作为上述实施方式的进一步的优选变形,为了增加安全性,FW还可以检查那些MIP细节,该细节可以通过读取消息来检查。
例如:
在MIP标准中,定义了某些要求的消息格式。以此方式,可以由FW辨认无效的分组,使得FW可以丢掉不满足要求的消息格式的分组。FW可以测试它们中的大部分,而将检查负载从CN转移。
上述要求的消息格式可以包括下列规则:
应该校验分组的检查和。检查和是移动头(MH)中的字段并且包括MH的检查和。
此外,MH包括上述MH类型字段,并且MH类型字段必须有已知的值。
MH还包括有效载荷协议字段,其为8比特选择器并且紧跟在移动头之后标识头的类型。有效载荷协议字段必须是为MH所定义的预定值IPPROTO_NONE(十进制59)。
移动头的头长度字段应该小于为该特定类型的消息所指定的长度。
FW可以通过读取消息检查的进一步的MIP细节可以包括下列:
BU包含序列号。FW应该在乱序的BU到达CN前,将该乱序的BU丢掉。即,对每个新的BU,序列号是增加的,使得FW可以通过参考旧的BU,期望新BU的某些序列号。因此,如果所期望的BU的序列号与实际的序列号不一致,则丢弃BU。
作为进一步的选择,BU可以包括某些其他类型的标识符,该标识符对FW应该是已知的。如果BU的检测到的标识符于所期望的标识符不一致,则丢弃BU。标识符可以以FW已知的方式进行改变,这类似于上述的序列号。
例如,作为上述标识符,还可以使用转交初始Cookie。这要求MN也将转交初始Cookie包括在BU中并且FW在RR测试期间存储转交初始Cookie。因此,优选地该措施可以与上述实施方式的变形相结合,据此在RR测试期间比较CoTI和CoT消息的转交初始Cookie。
BU包含限制绑定的期限的定时器。FW应该检查该定时器,并且当其绑定期满时丢弃CoA。这还会将旧的针孔从FW存储器中清除。
以上关于优选实施方式及其变形所描述的本发明具有下列优点:
本发明不需要改变现有协议、MN、CN或HA。因此,可以将本发明容易地实现为对现有单元的附加。
FW不参与到信赖关系或密钥管理中。
FW不执行加密计算。
以上的描述和附图仅以示例的方式说明本发明。因此,实施方式及其变形可以在所附权利要求书的范围内变化。
例如,本发明不局限于防火墙,而是可以应用于任何类型的满足类似功能的接入阻断功能。
此外,本发明不局限于MIP,而是可以应用于任何传输协议,在其中连接中所涉及的节点之一可以改变其地址。
另外,在上述实施方式中,所保护的节点,即CN,具有固定地址。然而,CN还可以是移动节点并且可以改变其地址。即,例如,只是所保护的节点可以改变其地址,其中其他节点可以使用固定地址。
此外,接入阻断功能可以保护多个网络节点,即,通信节点(CN)集群。
接入阻断功能(例如防火墙)可以由软件实现。其可以例如被集成到在CN处运行的软件中,或可以是另一个网元(基站或类似物)的一部分。作为选择,可以将接入阻断功能实现为硬件,例如实现为独立的网元。
如图3所示,接入阻断功能或设备可以包括处理装置1以及两个接口2和3。每个接口建立到网元的连接(例如在上述示例中的MN和CN)。处理装置1适用于于执行根据本发明的过程。即,处理装置1控制在两个网络节点之间的连接是否是允许的(以及连接的方向)。
接口2和3是逻辑接口。即,物理接口的数量不必匹配于逻辑接口的数量。逻辑接口映射到物理接口。
即,接入阻断功能(防火墙)的接口(逻辑和物理接口)的数量不局限于两个接口。例如,包括三个接口的防火墙是可以的,其隔离内网、外网和因特网。此外,还可以有更多的接口。
另一方面,只有一个接口的防火墙也是可以的。其连接到一个交换,该交换独立于目的地将所有的入站或出站分组发送到防火墙(以及例如诸如NAT(网络地址转换器)、VPN(虚拟专用网)和病毒扫描器的其他元件),以及将来自于防火墙的所有分组转发到目的地地址。以此方式,涉及外界的每个分组将两次通过交换并且在通过之间在防火墙中被处理。
另外,实施方式及其变形可以任意地组合。即,为加强安全性,可以组合出不同种类的保护机制。
Claims (40)
1.一种由接入阻断功能保护网络节点的方法,其中该接入阻断功能保护第一或第二网络节点并且允许从该第一和第二网络节点中的另一个网络节点,经由与该第一网络节点的地址和该第二网络节点的地址相关联的链接,到该所保护的第一或第二网络节点的接入,其中将该第二网络节点配置为改变其地址,该方法包括下列步骤:
当第二网络节点改变其地址时,将与该第二网络节点的旧地址相关联的链接关联到该第二网络节点的新地址,
其特征在于:
进一步包括通过检测从该第二网络节点到该第一网络节点的绑定更新消息,检测该第二网络节点的地址的改变,其中该绑定更新消息包括该第二网络节点的新地址;
检查该第二网络节点的新地址是否为有效;以及
阻断在该第一网络节点和第二网络节点之间传输的业务量,直到确定该第二网络节点的新地址为有效。
2.根据权利要求1所述的方法,其特征在于进一步包括下列步骤:
在该接入阻断功能中存储该第二网络节点的新地址,而不使用该新地址,以及
如果该第二网络节点的新地址为有效,则将与该第二网络节点的旧地址相关联的该链接关联到该第二网络节点的新地址。
3.根据权利要求2所述的方法,其特征在于该检查步骤包括下列步骤:
等待响应于包括该第二网络节点的新地址的绑定更新消息而传输的、从该第一网络节点到该第二网络节点的绑定确认消息,以及
如果接收到该绑定确认消息,则将该第二网络节点的新地址解释为有效。
4.根据权利要求3所述的方法,其特征在于进一步包括如果该第二网络节点请求该绑定确认消息,则将该绑定确认消息从该接入阻断功能转发到该第二网络节点。
5.根据权利要求3所述的方法,其特征在于进一步包括如果该第二网络节点未请求该绑定确认消息,则由接入阻断功能丢弃该绑定确认消息。
6.根据权利要求2所述的方法,其特征在于该检查步骤包括下列步骤:
等待发往到该第二网络节点的新地址的业务量,以及
如果检测到发往该第二网络节点的新地址的业务量,则将该第二网络节点的新地址解释为确认有效。
7.根据权利要求1所述的方法,其特征在于该阻断步骤包括在确定该第二网络节点的新地址为有效之后,存储该所阻断的业务量的分组并将其转发到该第一网络节点。
8.根据权利要求1所述的方法,其特征在于进一步包括下列步骤:
在包含于绑定更新消息中的标识符与所期望的标识符不匹配的情况下,阻断该绑定更新消息。
9.根据权利要求8所述的方法,其特征在于该标识符包括在每次绑定更新消息从该第二网络节点被发送到该第一网络节点时都增加的该绑定更新消息的序列号,以及该期望的标识符包括相应的该前述绑定更新消息的序列号。
10.根据权利要求1所述的方法,其特征在于进一步包括下列步骤:
当绑定的期限期满时,丢弃该第二网络节点的新地址,其中该绑定更新消息包括限制该绑定的期限的定时器。
11.根据权利要求1所述的方法,其特征在于进一步包括下列步骤:
如果消息不满足所要求的消息格式,则丢弃该消息。
12.根据权利要求11所述的方法,其特征在于该丢弃步骤包括丢弃该消息,在该消息中包括绑定更新消息。
13.根据权利要求1所述的方法,其特征在于该接入阻断功能包括防火墙。
14.一种网络系统,包括:
一个接入阻断功能以及至少一个第一网络节点和一个第二网络节点,其中
该接入阻断功能被配置为通过以下方式保护该第一网络节点和第二网络节点之一,即允许从该第一和第二网络节点中的另一个节点,经由与该第一网络节点的地址和该第二网络节点的地址相关联的链接,到该第一和第二网络节点中的所保护的一个节点的接入;
该第二网络节点被配置为改变其地址;以及
该接入阻断功能被配置为,当该第二网络节点改变其地址时,将与该第二网络节点的旧地址相关联的该链接关联到该第二网络节点的新地址,
其特征在于:
采用的该接入阻断功能被配置为,通过检测从该第二网络节点到该第一网络节点的绑定更新消息,检测该第二网络节点的地址的改变,该绑定更新消息包括该第二网络节点的新地址;
该接入阻断功能被配置为,检查该第二网络节点的新地址是否为有效;以及
该接入阻断功能被配置为,阻断在该第一网络节点和第二网络节点之间传输的业务量,直到确定该第二网络节点的新地址为有效。
15.根据权利要求14所述的系统,其特征在于其中该接入阻断功能被配置为,在该接入阻断功能中存储该第二网络节点的新地址,而不使用该第二网络节点的新地址;以及如果该第二网络节点的新地址为有效,则将与该第二网络节点的旧地址相关联的该链接关联到该第二网络节点的新地址。
16.根据权利要求15所述的系统,其特征在于该接入阻断功能被配置为,在确认该第二网络节点的新地址期间,等待响应于包括该第二网络节点的新地址的绑定更新消息而传输的、从该第一网络节点到该第二网络节点的绑定确认消息,以及如果接收到该绑定确认消息,则将该第二网络节点的新地址解释为有效。
17.根据权利要求16所述的系统,其特征在于该接入阻断功能被配置为,如果该第二网络节点请求该绑定确认消息,则将该绑定确认消息转发到该第二网络节点。
18.根据权利要求16所述的系统,其特征在于该接入阻断功能被配置为,如果该第二网络节点未请求该绑定确认消息,则丢弃该绑定确认消息。
19.根据权利要求15所述的系统,其特征在于该接入阻断功能被配置为,在检查该第二网络节点的新地址是否为有效期间,等待发往到该第二网络节点的新地址的业务量,以及如果检测到发往该第二网络节点的新地址的业务量,则将该第二网络节点的新地址解释为有效。
20.根据权利要求14所述的系统,其特征在于当业务量被阻断时该接入阻断功能被配置为,在确定该第二网络节点的新地址为有效之后,存储该所阻断的业务量的分组并将该所存储的分组转发到该第一网络节点。
21.根据权利要求14所述的系统,其特征在于该绑定更新消息包含标识符,以及该接入阻断功能被配置为,如果该标识符与所期望的标识符不匹配,则阻断该绑定更新消息。
22.根据权利要求21所述的系统,其特征在于该标识符包括在每次绑定更新消息从该第二网络节点被发送到该第一网络节点时都增加的该绑定更新消息的序列号,以及该期望的标识符包括相应的该前述绑定更新消息的序列号。
23.根据权利要求14所述的系统,其特征在于该绑定更新消息包括限制绑定的期限的定时器,以及该接入阻断功能被配置为,当该绑定的期限期满时,丢弃该第二网络节点的新地址。
24.根据权利要求14所述的系统,其特征在于该接入阻断功能被配置为,如果在该第一和该第二网络节点之间的消息不满足所要求的消息格式,则丢弃该消息。
25.根据权利要求24所述的系统,其特征在于该消息包括绑定更新消息。
26.根据权利要求14所述的系统,其特征在于该接入阻断功能包括防火墙。
27.一种接入阻断设备,包括:
保护装置,用于通过以下方式保护该第一网络节点或该第二网络节点,即允许从另一个节点,经由与第一网络节点的地址和第二网络节点的地址相关联的链接,到所保护的第一或第二节点的接入;以及
关联装置,用于当该第二网络节点改变其地址时,将与该第二网络节点的旧地址相关联的该链接关联到该第二网络节点的新地址,
其特征在于:
该接入阻断设备被配置为,通过检测从该第二网络节点到该第一网络节点的绑定更新消息,检测该第二网络节点的地址的改变,该绑定更新消息包括该第二网络节点的新地址;
该接入阻断设备被配置为,检查该第二网络节点的新地址是否为有效;以及
该接入阻断设备被配置为,阻断在该第一网络节点和第二网络节点之间传输的业务量,直到确定该第二网络节点的新地址为有效。
28.根据权利要求27所述的接入阻断设备,其特征在于该接入阻断设备被配置为,存储该第二网络节点的新地址,而不使用该新地址;以及如果该第二网络节点的新地址为有效,则将与该第二网络节点的旧地址相关联的该链接关联到该第二网络节点的新地址。
29.根据权利要求28所述的接入阻断设备,其特征在于该接入阻断设备被配置为,在确认该第二网络节点的新地址期间,等待响应于包括该第二网络节点的新地址的绑定更新消息而传输的、从该第一网络节点到该第二网络节点的绑定确认消息,以及如果接收到该绑定确认消息,则将该第二网络节点的新地址解释为有效。
30.根据权利要求29所述的接入阻断设备,其特征在于该接入阻断设备被配置为,如果从该第二网络节点接收到转发该绑定确认消息的请求,则将该绑定确认消息转发到该第二网络节点。
31.根据权利要求29所述的接入阻断设备,其特征在于该接入阻断设备被配置为,在没有从该第二网络节点接收到转发该绑定确认消息的请求的情况下,丢弃该绑定确认消息。
32.根据权利要求28所述的接入阻断设备,其特征在于该接入阻断设备被配置为,在检查该第二网络节点的新地址是否为有效期间,等待发往到该第二网络节点的新地址的业务量,以及如果检测到发往该第二网络节点的新地址的业务量,则将该第二网络节点的新地址解释为有效。
33.根据权利要求27所述的接入阻断设备,其特征在于当业务量被阻断时该接入阻断功能被配置为,在确定该第二网络节点的新地址为有效之后,存储该所阻断的业务量的分组并将该所存储的分组转发到该第一网络节点。
34.根据权利要求27所述的接入阻断设备,其特征在于该绑定更新消息包含标识符,以及该接入阻断功能被配置为,如果该标识符与所期望的标识符不匹配,则阻断该绑定更新消息。
35.根据权利要求34所述的接入阻断设备,其特征在于该标识符包括在每次绑定更新消息从该第二网络节点被发送到该第一网络节点时都增加的该绑定更新消息的序列号,以及该期望的标识符包括相应的前述绑定更新消息的序列号。
36.根据权利要求27所述的接入阻断设备,其特征在于该绑定更新消息包括限制绑定的期限的定时器,以及该接入阻断功能被配置为,当该绑定的期限期满时,丢弃该第二网络节点的新地址。
37.根据权利要求27所述的接入阻断设备,其特征在于该接入阻断功能被配置为,如果消息不满足所要求的消息格式,则丢弃该消息。
38.根据权利要求37所述的接入阻断设备,其特征在于该消息包括绑定更新消息。
39.根据权利要求27所述的接入阻断设备,其特征在于该接入阻断功能包括防火墙。
40.根据权利要求27所述的接入阻断设备,进一步包括:
第一接口装置(3),用于建立到该第一网络节点的连接,
第二接口装置(2),用于建立到该第二网络节点的连接,以及
处理装置(1),用于执行对该第一网络节点或该第二网络节点的保护并且在该两个网络节点之间关联该链接。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03029552.1 | 2003-12-22 | ||
| EP03029552 | 2003-12-22 | ||
| US10/860,574 US7620979B2 (en) | 2003-12-22 | 2004-06-04 | Supporting mobile internet protocol in a correspondent node firewall |
| US10/860,574 | 2004-06-04 | ||
| PCT/IB2004/003447 WO2005064888A1 (en) | 2003-12-22 | 2004-10-21 | Supporting mobile internet protocol in a correspondent node firewall |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101073236A CN101073236A (zh) | 2007-11-14 |
| CN101073236B true CN101073236B (zh) | 2010-10-27 |
Family
ID=34740650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800382015A Expired - Fee Related CN101073236B (zh) | 2003-12-22 | 2004-10-21 | 在通信节点防火墙中支持移动网际协议 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7620979B2 (zh) |
| EP (1) | EP1698140B1 (zh) |
| KR (1) | KR100831088B1 (zh) |
| CN (1) | CN101073236B (zh) |
| WO (1) | WO2005064888A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1998193B (zh) * | 2004-05-31 | 2010-10-13 | 松下电器产业株式会社 | 移动终端管理设备和归属代理切换方法 |
| KR100922939B1 (ko) | 2006-08-22 | 2009-10-22 | 삼성전자주식회사 | 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 |
| US20080107124A1 (en) * | 2006-11-06 | 2008-05-08 | Jordi Ros-Giralt | System and method for supporting mobility and multipath packet delivery in ip communications and computer networks across nat and firewall boxes |
| US8171120B1 (en) | 2006-11-22 | 2012-05-01 | Rockstar Bidco Lp | Mobile IPv6 route optimization authorization |
| EP1947819A1 (en) * | 2007-01-18 | 2008-07-23 | Matsushita Electric Industrial Co., Ltd. | Header reduction of data packets by route optimization procedure |
| US9516495B2 (en) * | 2007-03-01 | 2016-12-06 | Futurewei Technologies, Inc. | Apparatus and methods of PMIPv6 route optimization protocol |
| EP1971101B1 (en) * | 2007-03-12 | 2018-11-21 | Nokia Solutions and Networks GmbH & Co. KG | A method , a device for configuring at least one firewall and a system comprising such device |
| US20100027474A1 (en) * | 2007-03-16 | 2010-02-04 | Panasonic Corporation | Packet Communication Device |
| US20100208706A1 (en) * | 2007-09-19 | 2010-08-19 | Jun Hirano | Network node and mobile terminal |
| EP3001647B1 (de) * | 2014-09-23 | 2017-11-01 | Siemens Aktiengesellschaft | Verfahren zum Aufbau einer gesicherten Kommunikationsverbindung, Kommunikationsgerät und Verbindungssteuerungseinheit |
| CN108347723B (zh) * | 2017-01-25 | 2021-01-29 | 华为技术有限公司 | 一种切换方法和装置 |
| US11258762B2 (en) * | 2019-06-26 | 2022-02-22 | Blackberry Limited | Method and system for updating of an application layer for a third-party telematics provider |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1176781A2 (en) * | 2000-07-26 | 2002-01-30 | Fujitsu Limited | VPN system in mobile IP network, and method of setting VPN |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
| US20020147820A1 (en) * | 2001-04-06 | 2002-10-10 | Docomo Communications Laboratories Usa, Inc. | Method for implementing IP security in mobile IP networks |
| KR20040074135A (ko) | 2002-01-29 | 2004-08-21 | 코닌클리즈케 필립스 일렉트로닉스 엔.브이. | 통신 시스템, 통신 수행 방법, 소프트웨어 제품,클라이언트 장치 및 서버 |
| US7756073B2 (en) | 2002-09-20 | 2010-07-13 | Franck Le | Method for updating a routing entry |
| DE60305869T2 (de) | 2003-03-27 | 2006-10-05 | Motorola, Inc., Schaumburg | Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät |
-
2004
- 2004-06-04 US US10/860,574 patent/US7620979B2/en active Active
- 2004-10-21 EP EP04791726.5A patent/EP1698140B1/en not_active Expired - Lifetime
- 2004-10-21 KR KR1020067012185A patent/KR100831088B1/ko not_active IP Right Cessation
- 2004-10-21 WO PCT/IB2004/003447 patent/WO2005064888A1/en not_active Application Discontinuation
- 2004-10-21 CN CN2004800382015A patent/CN101073236B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1176781A2 (en) * | 2000-07-26 | 2002-01-30 | Fujitsu Limited | VPN system in mobile IP network, and method of setting VPN |
Non-Patent Citations (2)
| Title |
|---|
| Charles E. Perkins.Mobile IP.IEEE Communications Magazine35 5.2002,35(5),第66-82页. |
| Charles E. Perkins.Mobile IP.IEEE Communications Magazine35 5.2002,35(5),第66-82页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101073236A (zh) | 2007-11-14 |
| US20050135241A1 (en) | 2005-06-23 |
| US7620979B2 (en) | 2009-11-17 |
| KR20060103925A (ko) | 2006-10-04 |
| EP1698140A1 (en) | 2006-09-06 |
| KR100831088B1 (ko) | 2008-05-21 |
| WO2005064888A1 (en) | 2005-07-14 |
| EP1698140B1 (en) | 2014-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9820252B2 (en) | Method and arrangement for providing a wireless mesh network | |
| CN1799241B (zh) | Ip移动性 | |
| Narten et al. | Neighbor discovery for IP version 6 (IPv6) | |
| US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
| Narten et al. | RFC 4861: Neighbor discovery for IP version 6 (IPv6) | |
| Arkko et al. | Failure detection and locator pair exploration protocol for IPv6 multihoming | |
| CN100458748C (zh) | 用于支持专有归属代理的移动ip扩展 | |
| US7911973B2 (en) | Moving router, home agent, router position registration method, and moving network system | |
| CN101073236B (zh) | 在通信节点防火墙中支持移动网际协议 | |
| US20040081086A1 (en) | Method for redirecting packet data traffic to an alternative access point/router | |
| JP4705673B2 (ja) | ネットワーク管理方法及びネットワーク管理装置 | |
| KR20070102698A (ko) | 인증되지 않은 이동 액세스 네트워크에서의 보안 제공 | |
| WO2004028053A1 (en) | Methods and apparatus for using a care of address option | |
| CN107534655A (zh) | 控制器生成的网际控制报文协议回声请求的防火墙认证 | |
| JP2010507301A (ja) | ネットワーク・ベース及びホスト・ベースの混合モビリティ管理における方法 | |
| US20070025309A1 (en) | Home agent apparatus and communication system | |
| JP2011512734A (ja) | 通信ネットワークにおいて使用する方法および装置 | |
| EP1309126B1 (en) | Method for transmitting data from server of virtual private network to mobile node | |
| Aura et al. | Designing the mobile IPv6 security protocol | |
| Perkins | RFC3220: IP Mobility Support for IPv4 | |
| JPH10243021A (ja) | 相手選択型アドレス解決方法及びその装置 | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| JP2004509540A (ja) | パケットデータネットワークへの端末装置のログイン方法 | |
| US7545766B1 (en) | Method for mobile node-foreign agent challenge optimization | |
| JP3833932B2 (ja) | Ipアドレスを端末アイデンティティとして使用可能なipネットワーク |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160222 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101027 Termination date: 20201021 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |