CN101399754B - 一种移动ip穿越防火墙的方法及设备 - Google Patents
一种移动ip穿越防火墙的方法及设备 Download PDFInfo
- Publication number
- CN101399754B CN101399754B CN2007101520516A CN200710152051A CN101399754B CN 101399754 B CN101399754 B CN 101399754B CN 2007101520516 A CN2007101520516 A CN 2007101520516A CN 200710152051 A CN200710152051 A CN 200710152051A CN 101399754 B CN101399754 B CN 101399754B
- Authority
- CN
- China
- Prior art keywords
- message
- udp
- mobile
- mobile device
- home agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种移动IP穿越防火墙的方法,包括以下步骤:移动节点与家乡代理协商封装信息;发送方(移动节点或家乡代理)利用所述协商的封装信息对待发送报文进行UDP封装,以实现防火墙的穿越;接收方(家乡代理或移动节点)对收到的UDP封装报文进行解封装。本发明还公开了一种移动设备和家乡代理。本发明的实施例中,可以不必针对不同的流量发起不同的穿越信令,不影响现有防火墙的性能和安全性,可以不必升级现有的防火墙,可扩展性好。可以实现快速的防火墙穿越。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种移动IP穿越防火墙的方法及设备。
背景技术
在计算机领域,防火墙是为了保障本地计算机网络系统的安全,设置在内部网络与外部网络之间的防御系统,根据相应的安全策略控制,监测、允许、拒绝出入网络的信息流,且本身具有较强的抗攻击能力。防火墙是提供信息安全服务,实现网络和信息安全的基础设施,使得内部网络与外部网络互相隔离、通过限制网络互访来保护内部网络。防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现对内部网络的安全保护。防火墙是一种非常有效的网络安全模型,可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据,防止不希望的、未授权的通信进出被保护的网络。
自1993年Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品,状态检测已成为目前大多数防火墙的主要工作机制。状态检测机制是一种动态报文过滤技术,与静态报文过滤技术相比,状态检测技术不仅根据报文头中的源IP地址,目的IP地址,上层协议,源端口,目的端口等信息允许/禁止数据流,还会根据会话状态信息做出决策。对基于状态检测机制的防火墙,当收到一个初始的TCP(Transmission Control Protocol,传输控制协议)SYN(同步)报文时,防火墙根据配置的规则库判断是否允许该报文通过,如果允许通过,建立相应的状态表条目,此会话被记录到状态检测表中;随后的数据包,只要和该状态检测表的内容进行匹配,如果会话在状态 检测表内,而且该数据包是会话的一部分,该数据包被接受,如果不是会话的一部分,该数据包被丢弃。虽然UDP(User Datagram Protocol,用户数据协议报)连接是无状态的,但是仍然可以用类似的方法来维护这些连接。当一个完成规则检查的数据包通过防火墙时,这次会话被添加到状态检测表内,并设置一个时间溢出值,任何一个在这个时间值内返回的属于该会话的报文都会被允许通过。
随着通信技术的快速发展,越来越多的移动用户都希望能够以更加灵活的方式接入到因特网。移动IPv6(Internet Protocol Version 6,因特网协议版本6)技术正是适应这种需求而产生的一种新的支持移动用户和因特网连接的互连技术,能够使移动用户在移动自己位置的同时无需中断正在进行的因特网网络通信。移动IPV6是一种在网络层解决移动性的方案,移动IPv6中包括三种基本的网络实体:移动节点、通信节点以及家乡代理。移动IPv6规范要求,移动节点从一条链路移动到另一链路的过程中,不中断使用家乡地址正在进行的通信,移动节点的移动性对传输层和其它高层协议都是透明的,一个移动节点可以通过家乡地址唯一的识别出。移动节点漫游到外地网络时,会通过一定方式生成转交地址,并通过BU(Binding Update,绑定更新)消息通知家乡代理。
移动IP进行家乡注册的BU/BA(Binding Ack,绑定确认)消息是受IPSec(IP Security,IP安全协议)ESP(Encapsulation Security Payload,封装安全载荷)传输模式保护的,HoTI(Home Test Initial,家乡测试初始化)/HoT(HomeTest,家乡测试)消息是受IPSec ESP隧道模式保护的。然而防火墙缺省情况下可能会丢弃IPSec报文,所以当移动节点离开家乡,处于受防火墙保护的网络中,BU/BA消息可能会被防火墙丢弃,无法完成家乡注册,以至于防火墙阻止了移动IPv6的通信。当移动节点在移动过程中,进入另一个的被防火墙保护的网络中,由于该防火墙没有移动节点先前的会话状态,也可能会阻止移动节点的通信。如果一个通信节点发送到移动节点家乡地址的流量,经过家乡代理转发给移动节点时,由于防火墙会阻止未经请求的流量,所以该通信也会被阻止。在传统IP协议中,IP地址同时具有定位和标识两种功能,但对于 移动IP,当MN(Mobile Node,移动节点)离开家乡时,其中CoA(Care-ofAddress,转交地址)负责定位功能,HoA(Home Address,家乡地址)负责标识功能。但防火墙的过滤规则通常是基于HoA的,由于不能识别移动IP协议,无法从家乡地址选项或第二类路由头中提取MN的家乡地址,所以防火墙会阻止移动IPv6通信流量。
现有技术中提出了通过NSLP(NSIS Signaling Laver Protocol,NSIS信令层协议)动态配置防火墙规则实现MIPv6(Mobile IPv6,移动IPv6)流量穿越防火墙的机制,其中,NSIS(Next Step in Signaling,下一步信令)为数据流路径建立状态信息的信令。NSLP用来动态配置数据路径上的NAT(NetworkAddress Translation,网络地址转换)和防火墙,使随后数据流能够穿越这些设备。MN进入受防火墙保护网络中的BU/BA报文穿越防火墙示意图如图1所示,为了允许BU消息穿越防火墙,需要使用NSLP CREATE消息的REA信令报文在防火墙打开一个小孔:flow-id=:<源地址=转交地址,目的地址=家乡代理>;为了允许由HA发送给MN的HoT消息通过防火墙,需要使用REA建立:flow-id=:<源地址=家乡代理,目的地址=转交地址>;为了允许由CN(Correspondent Node,通信节点)发送到MN的数据通信流量通过防火墙,则需要使用REA建立状态:flow-id=:<源地址=CN,目的地址=转交地址,协议号,源端口,目的端口>。在防火墙打开一个小孔就是在防火墙上设置一个报文可以通过的规则,通常,报文通过一次后,该规则就失效。
然而,这一方法假设防火墙允许外部网络的NSIS报文通过。实际应用中,因为可能会导致DoS(Denial ofService,拒绝服务)攻击,管理员不愿意让外部网络的NSIS报文通过。如果NSIS接收者是移动终端这个威胁会更加严重,需要每个不同类型的报文在穿越防火墙时都要建立不同的过滤规则,也就是说每个信令报文在发送之前都要经过一个NSIS的协商过程,当大量报文出现需要动态修改防火墙状态或移动节点频繁移动时,由于规则修改带来的内存同步会对防火墙的性能影响较大,使MN在链路切换时的穿越性能差;而且通过与设置规则的外部实体交互信息会影响防火墙的性能,不利于移动MIPv6的大规模部署,可扩展性差。
现有技术中还给出了一种在移动IPv6环境下采用扩展的AAA(Authentication、Authorization、Accounting,认证、授权、统计)协议解决防火墙穿越的方法,采用分别定义AAA服务器之间交互及其与防火墙沟通的AAA协议扩展消息的AAA扩展协议,在组网框架层面及协议消息层面实现AAA与移动IPv6两种协议的融合,动态调整防火墙的过滤规则,即家乡域AAA服务器和外地域AAA服务器分别与家乡域和外地域的IPv6防火墙进行沟通,使得处于防火墙保护下、并使用移动IPv6协议的各个网元实体之间实现正常通信。该方法包括:注册认证与防火墙策略调整、通信过程、AAA会话终止与防火墙策略还原三个步骤,具体实现过程如图2所示:
步骤s201,MN向服务点发送BU报文,服务点部署在MN与MN对应的外地网络边缘的防火墙之间。
步骤s202,服务点截获并缓存该BU报文,提取MN对应的家乡地址、家乡代理地址、NAI(Network Access Identifier,网络接入标识)和认证选项,同时向AAAL发起AMR(AAA-Mobile Node-Request,AAA移动节点请求)消息,携带上述选项。
步骤s203,AAAL向家乡网络的AAAH转发该AMR消息。
步骤s204,AAAH根据AMR消息携带的选项对MN实施身份认证,当认证通过后,AAAH向自己所管辖的防火墙发送AFR(AAA-Firewall-Request,AAA防火墙请求)消息,调整防火墙对于MN的过滤规则和策略。
步骤s205,防火墙配置对应MN的过滤规则和策略成功后,向AAAH发送AFA(AAA-Firewall-Ack,AAA防火墙确认)消息。
步骤s206,AAAH向AAAL发送ACR(AAA-Communication Request,AAA通信请求)消息,请求AAAL向外地域防火墙发起防火墙修改。
步骤s207,AAAL向自己所管辖的防火墙发送AFR消息,调整防火墙对应MN的过滤规则和策略。
步骤s208,防火墙配置对应MN的过滤规则和策略成功后,向AAAL发送AFA消息。
步骤s209,AAAL得到外地域防火墙应答后,向AAAH发送ACA消息, 作为AAAL完成防火墙修改的应答。
步骤s210,AAAH向AAAL发送AMA消息,携带认证结果。
步骤s211,AAAL向服务点转发AMA消息,携带认证结果。
步骤s212,如果认证成功,服务点向HA转发BU消息。
步骤s213,HA向MN发送BA消息,作为应答。
然而,该方法在部署上需要外地AAAL与家乡域的AAAH之间互相识别对方;MN在链路切换时,需要在AAAL重新进行认证;不利于移动MIPv6的大规模部署,可扩展性差。而且,当大量报文出现需要动态修改防火墙状态或移动节点频繁移动时,由于规则修改带来的内存同步会对防火墙的性能影响较大。
因此,现有防火墙的主要是针对固定网络而设计的,而移动IPv6是一种较新的标准技术。除非防火墙能够识别移动IPv6报文,否则这种大量存在的安全设备会影响到移动IPv6的实施与推广。当移动节点离开家乡接入外地网络时,首先需要向家乡发起BU,BU和BA报文都是受IPSec保护的,通常对于状态检测防火墙,由于无法提取状态信息防火墙丢弃IPSec报文,这就阻止了移动节点向家乡的注册,也阻止了移动节点的进一步通信。
发明内容
本发明实施例提供一种移动IP穿越防火墙的方法及设备,实现了移动节点的报文可以穿越防火墙向家乡注册,进而实现移动节点的进一步通信。
本发明实施例提供了一种移动IP穿越防火墙的方法,包括以下步骤:
移动设备同时发送绑定更新消息和因特网密钥交换协议IKE协商报文给家乡代理,并与家乡代理协商封装信息,所述封装信息包括标记Token;
所述移动设备利用所述封装信息将待传输报文进行UDP封装,通过防火墙发送到所述家乡代理;并对来自所述家乡代理报文进行UDP解封装。
本发明实施例提供了一种移动IP穿越防火墙的方法,包括以下步骤:
家乡代理接收来自移动设备的IKE协商报文后,向所述移动设备返回IKE响应报文,所述响应报文中携带封装信息,供所述移动设备将传输报文进行UDP封装,所述封装信息包括标记Token;
所述家乡代理对来自所述移动设备的报文进行UDP解封装,并向所述移动设备发送报文时进行UDP封装。
本发明实施例提供了一种移动设备,包括:
封装信息获取单元,用于同时发送绑定更新消息和因特网密钥交换协议IKE协商报文给家乡代理,并从家乡代理获取封装信息,所述封装信息包括标记Token;
封装单元,与所述封装信息获取单元连接,用于利用所述封装信息将待传输报文进行UDP封装,通过防火墙发送到所述家乡代理;
解封装单元,用于对来自所述家乡代理的报文进行UDP解封装。
本发明实施例提供了一种家乡代理,包括:
协商响应单元,用于接收来自移动设备的IKE协商报文后,向所述移动设备返回IKE响应报文,所述响应报文中携带封装信息,供所述移动设备将待传输报文UDP进行封装,所述封装信息包括标记Token;
解封装单元,用于对来自所述移动设备的报文进行UDP解封装,并将向所述移动设备发送的报文进行UDP封装。
本发明的实施例中,可以不必针对不同的流量发起不同的穿越信令,不影响现有防火墙的性能和安全性,可以不必升级现有的防火墙,可扩展性好。可以实现快速的防火墙穿越。
附图说明
图1是现有技术中MN进入受防火墙保护网络中的BU/BA报文穿越防火墙示意图;
图2是现有技术中采用扩展的AAA协议解决防火墙穿越的方法流程图;
图3是本发明实施例一中移动IP穿越防火墙的方法流程图;
图4是本发明实施例一中UDP封装格式示意图;
图5是本发明实施例二中移动IP穿越防火墙的方法流程图;
图6是本发明实施例二中UDP封装格式示意图;
图7是本发明实施例中一种移动设备结构图;
图8是本发明实施例中一种家乡代理结构图。
具体实施方式
下面结合具体实施例进行详细说明。
本发明实施例一,应用于移动设备离开家乡链路进入到受防火墙保护的网络的场景,该场景中包括MN、防火墙和HA,MN移动到外地网络后,穿越防火墙与HA通信,具体通信过程如图3所示,包括以下步骤:
步骤s301,当MN离开家乡网络,进入外地访问网络时,获取CoA(Care ofAddress,转交地址),发送BU消息给HA。同时,MN向HA发送一个IKE(InternetKey Exchange,因特网密钥交换协议)封装协商报文,用于协商移动节点进行报文封装时所使用的目的端口号。IKE协商报文经过防火墙时,防火墙执行ACL(Access Control List,访问控制列表)检查,提取IKE协商报文中的源地址、目的地址、协议、源端口、目的端口,建立状态表。
步骤s302,HA收到IKE封装协商报文,向MN发送一个IKE封装响应报文,该响应报文中携带供MN进行UDP封装的目的端口号PortD。
步骤s303,MN收到IKE封装协商报文前未收到BA报文,且当MN收到IKE封装协商报文的响应报文后的一定时间内未收到BA报文,则根据IKE封装协商报文中的封装信息建立隧道封装条目,使用UDP封装移动信令(例如BU消息),并将进行UDP封装后的报文发送给HA。对于IPv6报文的封装方法如图4所示:将原始的IPv6报文(包括IPv6基本头和IPv6载荷)封装在UDP报文中,即为原始IPv6报文添加一UDP头,其中UDP头的目的端口使用HA封装响应报文中给出的目的端口号PortD、源端口号为PortS;添加完UDP头后,再添加一IPv6外层头。
MN将封装好的UDP报文通过防火墙发送到HA,防火墙允许该UDP报文通过,并建立状态表项,以便后续UDP报文可以通过。
步骤s304,HA收到MN发送来的UDP报文,检查目的端口号,如果为PortD则进行解封装,剥去IPv6外层头及UDP头,将内层IPv6报文发送给IPv6协议栈处理。HA建立UDP隧道封装条目,记录封装UDP报文使用的目的端口号PortD、源端口号PortS等信息。
步骤s305,根据建立的UDP封装条目,HA使用UDP封装BA消息,其中源 /目的端口号使用UDP封装条目中所提供的端口号,通过防火墙发送到MN,防火墙根据步骤s303中的状态表进行检测,允许该使用UDP封装的BA消息通过。
步骤s306,MN收到BA消息后进行解封装。
步骤s307,MN和HA之间数据报文可以正常通过防火墙。MN发送数据报文时使用UDP封装,接收数据报文时,进行UDP解封装;MN收到UDP报文后,检查UDP目的端口号,如果目的端口号为PortS表明是隧道封装,则进行解封装,解掉IPv6外层头和UDP头,将内层IPv6报文发送IPv6协议栈处理。HA收到MN发送的UDP报文,检查目的端口号,如果是PortD则进行解封装,剥去IPv6外层头及UDP头,将内层IPv6报文发送给IPv6协议栈处理;HA在向MN发送报文时,使用UDP隧道封装待发送报文,即对原始IPv6报文进行UDP封装,添加完UDP头后,添加一新的IPv6外层头发送给MN。
本发明实施例二,当移动节点离开家乡链路进入到受防火墙保护的网络下的通信如图5所示,包括以下步骤:
步骤s501,当MN离开家乡网络进入外地访问网络,或在不同外地网络之间切换时,获取转交地址CoA,发送BU消息给HA。同时,MN通过防火墙向HA发送一个IKE封装协商报文,用于协商进行封装所使用的目的端口号。IKE协商报文经过防火墙时,在出口执行ACL检查,提取IKE协商报文中的源地址、目的地址、协议、源端口、目的端口,建立状态表;在入口过滤提取后续报文中的源地址、目的地址、协议、源端口、目的端口,检查状态表,如果没有对应状态则丢弃该报文。
步骤s502,HA收到IKE封装协商报文,则向MN发送一个IKE封装响应报文,该响应报文中给出所使用的UDP封装的目的端口号PortD,并且在封装头中携带Token。
步骤s503,MN收到IKE封装协商报文前未收到BA报文,且当MN收到IKE封装响应报文后的一定时间内未收到BA报文,则建立隧道封装条目,使用UDP封装移动信令(例如BU消息),将进行UDP封装后的报文发送给HA。封装方法如图6所示:将原始的IPv6报文(包括IPv6基本头和IPv6载荷)封装在UDP报文中,即在原始IPv6基本头与IPv6载荷间添加一UDP头,其中UDP头的目的 端口使用HA封装响应报文中给出的目的端口PortD,源端口PortS,如果IKE响应报文中携带Token,则将Token和协议类型附在封装头中。MN将进行UDP封装的报文通过防火墙发送到HA,防火墙允许该UDP报文通过,并建立状态表项,以便后续UDP报文可以通过。
步骤s504,HA收到MN发送来的UDP报文,检查目的端口号,如果是PortD则进行解封装,剥去UDP头及封装头,将IPv6报文发送给IPv6协议栈处理。当HA收到第一次发送来的UDP封装报文后,为其建立UDP封装表条目,进行解封装时,检查UDP封装头中的Next Header字段,如果是IPv6隧道头或IPSec头则允许通过。
步骤s505,HA使用UDP封装BA消息,通过防火墙发送到MN,在该报文封装头中携带Token值,该Token是由HA生成的一随机数。
步骤s506,MN收到BA消息后进行解封装。
步骤s507,MN和HA进入正常传输阶段:发送报文时使用UDP封装,接收报文时,进行UDP解封装。MN收到UDP报文后,进行解封装,如果是收到的是HA回复的携带Token的报文,MN存储这一Token,检查所封装的报文的协议类型,如果不是IPSec或IPv6隧道协议报文则丢弃。家乡代理收到后继报文,查找隧道表,得到Token,与封装头中的Token进行比较,如果相同则进一步处理,否则丢弃。
本发明实施例还提供了一种移动设备,如图7所示,包括:封装信息获取单元10,用于从家乡代理获取封装信息;封装单元20,与封装信息获取单元10连接,用于利用封装信息将传输报文封装为用户数据报协议UDP报文,通过防火墙发送到家乡代理;解封装单元30,用于对来自家乡代理的UDP报文进行解封装;UDP报文检测单元40,与解封装单元连接,用于检测接收报文是否为UDP报文,如果是,则触发解封装单元30;封装触发单元50,与封装单元20连接,用于预设时间内没有收到绑定确认消息时触发封装单元20。其中,封装信息包括:目的端口号;或目的端口号、协议类型和Token;传输报文包括移动信令或数据报文;其中,移动信令包括:绑定更新消息和绑定应答消息,数据报文包括:IPSec和IPv6报文;移动设备包括:移动节点和 移动代理设备。
本发明事实例还提供了一种家乡代理,如图8所示,包括:协商响应单元100,用于接收来自移动设备的IKE协商报文后,向移动设备返回IKE响应报文,响应报文中携带封装信息,供移动设备将传输报文封装为UDP报文;解封装单元200,用于对来自移动设备的UDP报文进行解封装,并向移动设备发送封装为UDP报文的传输报文;协议类型检测单元300,与解封装单元200连接,用于检测UDP封装头中的协议类型是否为IPv6隧道头或IPSec头,如果是,则继续执行,否则丢弃报文;标记检测单元400,与解封装单元200连接,用于比较存储的Token与后续收到的传输报文中的Token是否相同,如果相同,则进一步处理,否则丢弃。
本发明的实施例中,通过将IPSec或IPv6报文封装为UDP报文,使其可以不必针对不同的流量发起不同的穿越信令,不影响现有防火墙的性能和安全性,可以不必升级现有的防火墙,可扩展性好。可以实现快速的防火墙穿越。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (21)
1.一种移动IP穿越防火墙的方法,其特征在于,包括以下步骤:
移动设备同时发送绑定更新消息和因特网密钥交换协议IKE协商报文给家乡代理,并从家乡代理获取封装信息,所述封装信息包括标记Token;
所述移动设备利用所述封装信息将待传输报文进行用户数据报协议UDP封装,通过防火墙发送到所述家乡代理;并对来自所述家乡代理的报文进行UDP解封装。
2.如权利要求1所述移动IP穿越防火墙的方法,其特征在于,所述从家乡代理获取封装信息具体包括:
所述移动设备向家乡代理发送因特网密钥交换协议IKE协商报文;
所述移动设备接收来自所述家乡代理的IKE响应报文,所述IKE响应报文中携带所述封装信息。
3.如权利要求2所述移动IP穿越防火墙的方法,其特征在于,所述封装信息包括目的端口号,所述封装后的UDP报文格式为:IP外层头+UDP头+IP基本头+IP载荷。
4.如权利要求2所述移动IP穿越防火墙的方法,其特征在于,所述封装信息包括标记Token和目的端口号,所述封装后的UDP报文格式为:IP基本头+UDP头+Token+协议类型+IP载荷。
5.如权利要求3所述移动IP穿越防火墙的方法,其特征在于,所述对来自所述家乡代理的UDP报文进行解封装具体包括:
通过检查目的端口号确定为要接收的UDP报文;
对所述UDP报文进行解封装。
6.如权利要求1所述移动IP穿越防火墙的方法,其特征在于,所述利用封装信息将待传输报文封装为UDP报文之前还包括判断是否使用UDP封装:
所述移动设备向家乡代理发送绑定更新消息,如果在预设时间内没有收到绑定确认消息,则使用UDP格式对报文进行封装。
7.如权利要求1至6中任一项所述移动IP穿越防火墙的方法,其特征在于,所述待传输报文包括移动信令或数据报文;其中,所述移动信令包括:绑定更新消息和绑定应答消息,所述数据报文包括:IPSec和IPv6报文。
8.如权利要求1至6中任一项所述移动IP穿越防火墙的方法,其特征在于,所述移动设备包括:移动节点和移动代理设备。
9.一种移动IP穿越防火墙的方法,其特征在于,包括以下步骤:
家乡代理接收来自移动设备的IKE协商报文后,向所述移动设备返回IKE响应报文,所述响应报文中携带封装信息,供所述移动设备将传输报文进行UDP封装,所述封装信息包括标记Token;
所述家乡代理对来自所述移动设备的UDP报文进行解封装,并将向所述移动设备发送的报文进行UDP封装。
10.如权利要求9所述移动IP穿越防火墙的方法,其特征在于,所述移动设备发送封装为UDP报文的传输报文格式为:IP外层头+UDP头+IP头+IP载荷。
11.如权利要求9所述移动IP穿越防火墙的方法,其特征在于,所述封装信息中包括标记Token和协议类型,所述封装后的UDP报文格式为:IP头+UDP头+Token+协议类型+IP载荷。
12.如权利要求11所述移动IP穿越防火墙的方法,其特征在于,所述对来自所述移动设备的报文进行UDP解封装之前还包括:
所述家乡代理检测UDP封装头中的协议类型是否为IPv6隧道头或IPSec头,如果是,则继续执行,否则丢弃所述报文。
13.如权利要求11所述移动IP穿越防火墙的方法,其特征在于,所述对来自所述移动设备的报文进行UDP解封装之前还包括:
所述家乡代理比较存储的Token与后续收到的传输报文中的Token是否相同,如果相同,则进一步处理,否则丢弃。
14.一种移动设备,其特征在于,包括:
封装信息获取单元,用于同时发送绑定更新消息和因特网密钥交换协议IKE协商报文给家乡代理,并从家乡代理获取封装信息,所述封装信息包括标记Token;
封装单元,与所述封装信息获取单元连接,用于利用所述封装信息将传输报文封装为用户数据报协议UDP报文,通过防火墙发送到所述家乡代理;
解封装单元,用于对来自所述家乡代理的UDP报文进行解封装。
15.如权利要求14所述移动设备,其特征在于,还包括:
UDP报文检测单元,与所述解封装单元连接,用于检测接收报文是否为UDP报文,如果是,则触发所述解封装单元。
16.如权利要求14所述移动设备,其特征在于,还包括:
封装触发单元,与所述封装单元连接,用于预设时间内没有收到绑定确认消息时触发所述封装单元。
17.如权利要求14至16中任一项所述移动设备,其特征在于,所述封装信息包括:协议类型和Token。
18.如权利要求14至16中任一项所述移动设备,其特征在于,所述传输报文包括移动信令或数据报文;其中,所述移动信令包括:绑定更新消息和绑定应答消息,所述数据报文包括:IPSec和IPv6报文;所述移动设备包括:移动节点和移动代理设备。
19.一种家乡代理,其特征在于,包括:
协商响应单元,用于接收来自移动设备的IKE协商报文后,向所述移动设备返回IKE响应报文,所述响应报文中携带封装信息,供所述移动设备将待传输报文进行UDP封装,所述封装信息包括标记Token;
解封装单元,用于对来自所述移动设备的报文进行UDP解封装,并将向所述移动设备发送的报文进行UDP封装。
20.如权利要求19所述家乡代理,其特征在于,还包括:
协议类型检测单元,与所述解封装单元连接,用于检测UDP封装头中的协议类型是否为IPv6隧道头或IPSec头,如果是,则继续执行,否则丢弃所述报文。
21.如权利要求19所述家乡代理,其特征在于,还包括:
标记检测单元,与所述解封装单元连接,用于比较存储的Token与后续收到的传输报文中的Token是否相同,如果相同,则进一步处理,否则丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101520516A CN101399754B (zh) | 2007-09-28 | 2007-09-28 | 一种移动ip穿越防火墙的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101520516A CN101399754B (zh) | 2007-09-28 | 2007-09-28 | 一种移动ip穿越防火墙的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101399754A CN101399754A (zh) | 2009-04-01 |
| CN101399754B true CN101399754B (zh) | 2011-04-20 |
Family
ID=40518022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101520516A Expired - Fee Related CN101399754B (zh) | 2007-09-28 | 2007-09-28 | 一种移动ip穿越防火墙的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101399754B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104270390B (zh) * | 2014-10-23 | 2017-10-10 | 东南大学 | 基于IPv6的IPSec嵌入式防火墙的系统及其操作方法 |
| CN106961393B (zh) * | 2017-03-06 | 2020-11-27 | 北京安博通科技股份有限公司 | 网络会话中udp报文的检测方法及装置 |
| CN113765878B (zh) * | 2020-06-03 | 2023-08-15 | 瞻博网络公司 | 选择性的传送层安全加密 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1633100A (zh) * | 2003-12-24 | 2005-06-29 | 华为技术有限公司 | 多媒体业务网络地址转换穿越的方法及其系统 |
| CN1835474A (zh) * | 2005-03-15 | 2006-09-20 | 华为技术有限公司 | 一种移动互联网协议网络中的报文传送方法 |
-
2007
- 2007-09-28 CN CN2007101520516A patent/CN101399754B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1633100A (zh) * | 2003-12-24 | 2005-06-29 | 华为技术有限公司 | 多媒体业务网络地址转换穿越的方法及其系统 |
| CN1835474A (zh) * | 2005-03-15 | 2006-09-20 | 华为技术有限公司 | 一种移动互联网协议网络中的报文传送方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101399754A (zh) | 2009-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100988186B1 (ko) | 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치 | |
| KR100909552B1 (ko) | 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 | |
| US20040266420A1 (en) | System and method for secure mobile connectivity | |
| US20060182083A1 (en) | Secured virtual private network with mobile nodes | |
| KR20070102698A (ko) | 인증되지 않은 이동 액세스 네트워크에서의 보안 제공 | |
| US20100097992A1 (en) | Network controlled overhead reduction of data packets by route optimization procedure | |
| US20070025309A1 (en) | Home agent apparatus and communication system | |
| US20070287417A1 (en) | Mobile Network Security System | |
| EP1661319A2 (en) | Secure and seamless roaming between internal and external networks, switching between double and triple tunnel, and protecting communication between home agent and mobile phone | |
| WO2005076573A1 (en) | Method and system for sending binding updates to correspondent nodes behind firewalls | |
| Braun et al. | Secure mobile IP communication | |
| EP1853031B1 (en) | Method and apparatus for transmitting messages in a mobile internet protocol network | |
| CN101399754B (zh) | 一种移动ip穿越防火墙的方法及设备 | |
| EP1947819A1 (en) | Header reduction of data packets by route optimization procedure | |
| JP2022031741A (ja) | 次世代ファイアウォールを用いたトランスポート層の信号安全性 | |
| KR100922939B1 (ko) | 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 | |
| US8817786B2 (en) | Method for filtering packets coming from a communication network | |
| Inoue et al. | Secure mobile IP using IP security primitives | |
| Zrelli et al. | Access control architecture for nested mobile environments in IPv6 | |
| KR100546765B1 (ko) | Mobile IPv6에서의 네트워크 주소 변환 제공 방법 | |
| Tsuda et al. | Design and implementation of Network CryptoGate-IP-layer security and mobility support | |
| JP2006229424A (ja) | 通信装置およびパケットフィルタリング方法 | |
| Korhonen | Mobile IPv6 in Linux Kernel and User Space |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 Termination date: 20170928 |