CN101715179A - 一种移动ip的安全系统和安全机制建立方法 - Google Patents

一种移动ip的安全系统和安全机制建立方法 Download PDF

Info

Publication number
CN101715179A
CN101715179A CN200910213049A CN200910213049A CN101715179A CN 101715179 A CN101715179 A CN 101715179A CN 200910213049 A CN200910213049 A CN 200910213049A CN 200910213049 A CN200910213049 A CN 200910213049A CN 101715179 A CN101715179 A CN 101715179A
Authority
CN
China
Prior art keywords
mobile
module
mobile node
ssl
home agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910213049A
Other languages
English (en)
Other versions
CN101715179B (zh
Inventor
刘镇
王鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University of Science and Technology
Original Assignee
Jiangsu University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University of Science and Technology filed Critical Jiangsu University of Science and Technology
Priority to CN2009102130494A priority Critical patent/CN101715179B/zh
Publication of CN101715179A publication Critical patent/CN101715179A/zh
Application granted granted Critical
Publication of CN101715179B publication Critical patent/CN101715179B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公布了一种移动IP的安全系统和安全机制建立方法,本发明所述系统包括由众多移动节点构成的外地网络、SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点都包括VPN模块和移动IP协议模块。本发明所述安全机制建立方法,包含以下步骤:1)移动节点漫游到外地后,向家乡代理注册;2)家乡代理响应移动节点的注册请求后,移动节点将对数据分组进行认证、加密、封装;3)SSL VPN网关收到移动节点的数据分组,进行认证、解密后,交给家乡代理;4)家乡代理解除移动IP协议封装IP-in-IP,交给通信对端,完成通信。本发明适合移动网络低带宽、长延迟的环境,维护方便。

Description

一种移动IP的安全系统和安全机制建立方法
技术领域
本发明属于移动通信与信息安全技术领域,涉及一种移动IP网络的安全系统和安全机制。
背景技术
随着生活节奏的加快,人们不满足在固定地点的学习和办公。而随着移动网络建设的如火如荼,移动信号的覆盖使得人们可以实现随时随地上网。移动IP(Mobile IP)技术满足了人们对节点移动性的需求。但是无线链路的开放性使得网络窃听、拒绝服务和会话劫持等网络安全隐患比以前更加突出。IETF工作组在制定移动IP的相应规范时,并没有考虑安全的因素。这样就导致了移动IP和现有的各种安全技术相结合,比如美国CISCO公司基于IPSec(IP Security)的移动VPN等。
基于IPSec移动VPN技术所采用的IPSec协议虽然技术成熟而得到广泛的应用,但配置复杂,IKE非常繁琐,系统开销大,不适合在移动网络环境低带宽、高延迟下使用,并且IPSec VPN和移动IP的结合会产生网络环境复杂、IPSec隧道建立困难大、隧道封装开销大的困难。
SSL VPN继承了SSL(Secure Sockets Layer)的易用性和VPN(Virtual PersonalNetwork)的私有性,具有良好的易用性、实用性,比IPSec VPN更加适合在移动网络环境下使用,但目前主流的SSL VPN明显缺乏对移动节点管理,而且与其他移动实体的系统架构关系也处于空白。
发明内容
本发明目的是针对现有技术存在的缺陷提供一种移动IP的安全系统和安全机制建立方法。
本发明为实现上述目的,针对移动用户远程接入的企业应用环境,采用如下技术方案:
本发明一种移动IP的安全系统,包括由众多移动节点构成的外地网络,其特征在于还包括SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点都包括VPN模块和移动IP协议模块,用户通过移动IP协议模块串接VPN模块后通过互联网与SSL VPN网关通信,SSL VPN网关依次串接家乡代理和通信对端。
所述的一种移动IP的安全系统,其特征在于所述SSL VPN网关包括VPN模块、移动节点管理模块,其中移动节点管理模块通过互联网与移动节点通信,VPN模块与家乡代理对端,记录当前移动节点的位置信息,维护当前与移动节点的通信链路。
所述的一种移动IP的安全系统,其特征在于,所述VPN模块包括认证模块、加/解密模块、通信模块,其中认证模块用于通信双方证书的认证和管理;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,包含以下步骤:
1)移动节点漫游到外地后,向家乡代理注册:首先使用SSL的握手协议和SSL VPN网关建立SSL安全隧道保证注册的安全;然后移动节点发出注册请求;
2)家乡代理响应移动节点的注册请求后,移动节点将对数据分组进行认证、加密、封装;
3)SSL VPN网关收到移动节点的数据分组,进行认证、解密后,交给家乡代理;
4)家乡代理解除移动IP协议封装IP-in-IP,交给通信对端,完成通信。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,步骤(2)所述的数据分组的封装方式为:先进行移动IP协议封装IP-in-IP;然后进行SSL安全隧道封装。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,所述移动节点完成或解除移动IP协议IP-in-IP的封装,完成或解除SSL安全隧道封装;所述SSL VPN网关完成或解除SSL安全隧道封装。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,SSL隧道的上层传输层使用UDP。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,移动节点管理模块在移动节点完成注册前记录当前移动节点的位置信息,包括IP地址和端口号。
通过比较发现,本发明采用以上技术方案的优点:1、使用比IPSec简单的SSL架构,方便移动终端的轻型化,更加适合移动网络低带宽、长延迟的环境。2、工作在用户区,比IPSec容易配置,方便维护,在穿越NAT上也更加灵活、方便。3、没有改变移动IP原来的网络结构和操作过程,只是为了增强安全性在原有协议的基础上进行了扩展,方便了目前网关和防火墙的使用。4、SSL VPN网关使用移动节点模块增强对移动节点的管理,弥补家乡代理由于网络拓扑结构位于VPN之后而对移动节点管理的不足。
附图说明
图1为本发明的系统结构图。
图2为本发明的数据通信流图。
图3为本发明的数据分组完整封装示意图。
图4为本发明的SSL VPN网关各模块关系示意图。
图5为本发明的移动节点各模块关系示意图。
具体实施方式
下面结合附图对发明的技术方案进行详细说明:
在图1中表达了本发明的系统结构图,包括由众多移动节点构成的外地网络,其特征在于还包括SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点包括VPN模块和移动IP模块;移动IP协议模块位于TCP/IP协议栈,用于完成移动IP实体功能,保证在移动节点的漫游对通信对端是透明的,用户通过移动IP模块依次串接加/解密模块、通信模块后通过互联网与SSL VPN网关通信,SSL VPN网关依次串接家乡代理和通信对端。
所述SSL VPN网关包括VPN模块、移动节点管理模块。移动节点管理模块主要负责记录当前移动节点的位置信息(包括IP地址和端口号),维护当前与移动节点的通信链路,使得家乡代理发送的数据可以安全顺利到达移动节点。
所述的一种移动IP的安全系统,其特征在于,所述VPN模块,建立、维护VPN隧道,保证数据分组的完整性、机密性,主要包括认证模块、加/解密模块、通信模块。其中认证模块用于通信双方证书的认证和管理,比如验证服务器证书,还有密钥的协商和管理等;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组,确保无线网络中的传输数据只有合法接受者才能读取,保证信息完整性、机密性;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接
图1中,MN表示移动节点,HA表示家乡代理,CN表示通信对端。分两种情况:当移动节点在家乡网络时,可以和通信对端直接通信,而无须经过VPN网关和家乡代理;当移动节点漫游到外地时,此时和通信对端的通信需要经过VPN网关和家乡代理,保证安全性和移动性。其中,从移动节点到SSL VPN网关,数据包需要经过不被信任的外部网络,因而会使用SSL安全隧道封装,以保证不受中间人恶意攻击;而从SSL VPN网关到家乡代理,数据包需要正确到达通信对端,因而会使用移动IP协议封装,以保证移动节点和通信对端的正常通信。
如图5所示,移动节点在本地网络,由于是VPN可信任的内部网络,保证安全通信的认证、隧道等安全机制可以不必启动;而当移动节点漫游到外地时就涉及到一种移动IP网络的安全机制建立方法,其步骤如下:
1)移动节点在到达外地后,需要向家乡代理注册,首先要和SSL VPN网关建立VPN安全隧道以保证注册的安全;2),移动节点发出注册请求;3)家乡代理响应移动节点的注册请求,注册结束;4)家乡代理截获发往移动节点的数据分组,进行移动IP协议封装(即IP-in-IP封装),交给SSL VPN网关;5)SSL VPN网关认证、加密IP-in-IP分组后,通过SSL安全隧道封装发往移动节点;6)移动节点解封、解密后,将载荷即IP分组交上层应用,完成移动节点接受数据;7)移动节点发送数据时,先要进行移动IP协议封装,然后认证、加密后交给SSL VPN网关;8)SSL VPN网关解除SSL安全隧道封装,交给家乡代理;9)家乡代理解除移动IP协议封装的数据分组,送到通信对端。
其中,移动节点的通信模块会注册一个虚拟网络设备。此虚拟网络设备用于和SSLVPN网关通信,IP静态设为VPN内网地址;并且移动节点会把路由表项的路由到家乡网络的默认出口设置为虚拟网络设备。
步骤1)中移动节点到达外地后,需要和VPN网关建立连接。如果是第一次漫游到外地,则需要双方,并认证协商、建立SSL安全隧道;如果不是第一次,(也就是说已经和VPN网关建立了SSL安全隧道),为了防止中间人攻击,在默认的情况下,需要重新协商隧道参数(比如密钥套件,包括MAC密钥、加密密钥和初始化向量)。
步骤4)中家乡代理截获发往移动节点的数据包,进行移动IP协议(即IP-in-IP)封装,此时完成数据包的第一道封装。
步骤5)中VPN网关受到家乡代理后,进行SSL安全隧道封装,完成数据包的第二道封装。为了避免TCP over TCP,SSL上层承载的协议将使用UDP,由于SSL协议加密和认证特性需要TCP保证数据传输的可靠性,所以需要在通信过程中对每一个UDP进行唯一编号,接受双方必须对接收到的数据包做出应答,防止重放攻击。
步骤6)移动节点解封、解密数据分组,通过虚拟网络设备交给应用层处理,这样一来,虽然步骤4、5中的隧道封装保证了数据分组的移动性、安全性,但在应用层看来都是透明的。
在图2中表示了本发明的数据通信流图,MN表示移动节点,HA表示家乡代理,CN表示通信对端。1)由于路由策略,移动节点发送到通信对端的应用层数据分组,将经过TCP/IP协议栈,其中移动IP协议模块在此处完成移动IP协议封装;2)移动节点的加/解密模块接受分组,将数据分组认证、SSL加密封装;3)分组再次通过TCP/IP协议栈,完成数据包的第二道封装,转发到VPN网关;4、5)VPN网关收到加密后的数据分组后,进行解除SSL隧道封装,确认无误后交给家乡代理;6)家乡代理解除移动IP协议封装后传给通信对端,完成移动节点的数据发送。
在图3中表明了本发明的数据分组完整封装图,数据分组的净载荷是IP-in-IP分组(即移动IP数据分组,其中IP源地址是家乡地址,IP目的地址是通信对端的),外层是:SSL头,安全隧道封装,保证安全性,留有标识UDP编号的字段;UDP头,为避免TCP协议的“三次握手”的开销,可不用做校验和,更利于穿越NAT;IP头的源地址是转交地址,IP目的地址是SSL VPN网关。移动节点将通过SSL协议认证、加密、封装;SSL VPN网关将数据分组解除SSL安全隧道封装,得到SSL封装的数据分组,解密、确认之后,转发给家乡代理;家乡代理解除IP-in-IP分组的封装后,交给通信对端;通信对端收到IP分组,完成通信。
在图4中表明了SSL VPN网关中各模块的关系图。来自远程移动用户的数据分组需要先经过认证模块验证用户身份的合法性,才能够进入加/解密模块。而来自上层的应用层或内网(比如家乡代理)的数据分组,被视为安全的,无需经过认证模块。加/解密模块对来自远程接入用户的数据分组首先进行完整性检查,如果不满足条件,则丢弃,否则交给通信模块进行转发,而对于来自应用层或内网的数据分组则加密、进行完整性标记,然后交给通信模块发送。通信模块根据当前维护的通信连接信息,转发来自加/解密模块的数据分组,对于IP目的地址是外地移动用户的,还需要到移动节点管理模块查询当前的移动节点信息。当移动节点在外地移动时,会产生无线AP区域的切换,此时节点的转交地址IP地址就会发生变化,而在注册之前家乡代理还不知道移动节点的变化,对目的地址为移动节点的数据分组仍会按照移动节点先前的转交地址路由,SSL VPN网关收到此数据分组,查询当前移动节点位置信息,修改为当前地址,转交给移动节点。这样一来,在传统的移动IP协议中,移动节点在移动后重新获得转交地址到注册这段通信空白就得到了填补。
在图4中表明了移动节点中各模块的关系图。发送数据包时,来自应用层的数据会被移动IP协议模块进行IP-in-IP封装,保证数据分组可以正确到达目的端;然后到加/解密模块进行加密加密、进行完整性标记,然后交给通信模块发送。而认证模块主要在和VPN网关协商建立隧道时起作用。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围之内,可以轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围以权利要求的保护范围为准。

Claims (8)

1.一种移动IP的安全系统,包括由众多移动节点构成的外地网络,其特征在于还包括SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点都包括VPN模块和移动IP协议模块,用户通过移动IP协议模块串接VPN模块后通过互联网与SSL VPN网关通信,SSL VPN网关依次串接家乡代理和通信对端。
2.根据权利要求1所述的一种移动IP的安全系统,其特征在于所述SSL VPN网关包括VPN模块、移动节点管理模块,其中移动节点管理模块通过互联网与移动节点通信,VPN模块与家乡代理对端,记录当前移动节点的位置信息,维护当前与移动节点的通信链路。
3.根据权利要求1或2所述的一种移动IP的安全系统,其特征在于,所述VPN模块包括认证模块、加/解密模块、通信模块,其中认证模块用于通信双方证书的认证和管理;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接;认证模块确认接入用户的合法性后,加/解密模块对合法用户的数据分组进行检查、加/解密,然后通过通信模块发送。
4.如权利要求1所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,包含以下步骤:
1)移动节点漫游到外地后,向家乡代理注册:首先使用SSL的握手协议和SSL VPN网关建立SSL安全隧道保证注册的安全;然后移动节点发出注册请求;
2)家乡代理响应移动节点的注册请求后,移动节点将对数据分组进行认证、加密、封装;
3)SSL VPN网关收到移动节点的数据分组,进行认证、解密后,交给家乡代理;
4)家乡代理解除移动IP协议封装IP-in-IP,交给通信对端,完成通信。
5.根据权利要求4所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,步骤(2)所述的数据分组的封装方式为:先进行移动IP协议封装IP-in-IP;然后进行SSL安全隧道封装。
6.根据权利要求4所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,所述移动节点完成或解除移动IP协议IP-in-IP的封装,完成或解除SSL安全隧道封装;所述SSL VPN网关完成或解除SSL安全隧道封装。
7.根据权利要求4所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,SSL隧道的上层传输层使用UDP。
8.根据权利要求4所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,移动节点管理模块在移动节点完成注册前记录当前移动节点的位置信息,包括IP地址和端口号。
CN2009102130494A 2009-11-06 2009-11-06 一种移动ip的安全系统和安全机制建立方法 Expired - Fee Related CN101715179B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009102130494A CN101715179B (zh) 2009-11-06 2009-11-06 一种移动ip的安全系统和安全机制建立方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009102130494A CN101715179B (zh) 2009-11-06 2009-11-06 一种移动ip的安全系统和安全机制建立方法

Publications (2)

Publication Number Publication Date
CN101715179A true CN101715179A (zh) 2010-05-26
CN101715179B CN101715179B (zh) 2012-08-22

Family

ID=42418347

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009102130494A Expired - Fee Related CN101715179B (zh) 2009-11-06 2009-11-06 一种移动ip的安全系统和安全机制建立方法

Country Status (1)

Country Link
CN (1) CN101715179B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102664896A (zh) * 2012-04-28 2012-09-12 郑州信大捷安信息技术股份有限公司 基于硬件加密的安全网络传输系统及传输方法
CN102904791A (zh) * 2011-07-28 2013-01-30 丛林网络公司 具有移动通信连续性的虚拟专用网
WO2017181894A1 (zh) * 2016-04-18 2017-10-26 华为技术有限公司 终端连接虚拟专用网的方法、系统及相关设备
CN114040390A (zh) * 2021-11-17 2022-02-11 国网福建省电力有限公司 一种基于量子安全的5g虚商密钥库分发方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1350151A2 (en) * 2000-11-13 2003-10-08 Ecutel, Inc. System and method for secure network mobility
CN100415034C (zh) * 2004-09-30 2008-08-27 西安西电捷通无线网络通信有限公司 一种使移动节点实现自代理功能的方法
CN101478750B (zh) * 2009-01-23 2011-03-30 西安电子科技大学 基于IPSec的快速切换与认证融合方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102904791A (zh) * 2011-07-28 2013-01-30 丛林网络公司 具有移动通信连续性的虚拟专用网
CN102664896A (zh) * 2012-04-28 2012-09-12 郑州信大捷安信息技术股份有限公司 基于硬件加密的安全网络传输系统及传输方法
WO2017181894A1 (zh) * 2016-04-18 2017-10-26 华为技术有限公司 终端连接虚拟专用网的方法、系统及相关设备
US11165604B2 (en) 2016-04-18 2021-11-02 Huawei Technologies Co., Ltd. Method and system used by terminal to connect to virtual private network, and related device
CN114040390A (zh) * 2021-11-17 2022-02-11 国网福建省电力有限公司 一种基于量子安全的5g虚商密钥库分发方法
CN114040390B (zh) * 2021-11-17 2023-05-09 国网福建省电力有限公司 一种基于量子安全的5g虚商密钥库分发方法

Also Published As

Publication number Publication date
CN101715179B (zh) 2012-08-22

Similar Documents

Publication Publication Date Title
US7929528B2 (en) System and method to support networking functions for mobile hosts that access multiple networks
Arbaugh et al. Your 80211 wireless network has no clothes
US7937581B2 (en) Method and network for ensuring secure forwarding of messages
US7174018B1 (en) Security framework for an IP mobility system using variable-based security associations and broker redirection
US20060171365A1 (en) Method and apparatus for L2TP dialout and tunnel switching
EP2388976A1 (en) Securing home agent to mobile node communication with HA-MN key
EP1466458B1 (en) Method and system for ensuring secure forwarding of messages
CN101715179B (zh) 一种移动ip的安全系统和安全机制建立方法
Praptodiyono et al. Mobile IPv6 vertical handover specifications, threats, and mitigation methods: A survey
Elgoarany et al. Security in mobile IPv6: a survey
Fathi et al. LR-AKE-based AAA for network mobility (NEMO) over wireless links
Inoue et al. Secure mobile IP using IP security primitives
CN102281287B (zh) 基于tls的分离机制移动性信令保护系统及保护方法
Barbudhe et al. Comparative analysis of security mechanism of mobile IPv6 threats against binding update, Route Optimization and Tunneling
Al Hawi et al. Secure framework for the return routability procedure in MIPv6
Namal et al. Securing the backhaul for mobile and multi-homed femtocells
CN100536471C (zh) 一种家乡代理信令消息有效保护方法
Luo et al. Internet roaming: A WLAN/3G integration system for enterprises
Khan et al. IPsec in mobile IP: a survey
Cheng et al. Secure transparent Mobile IP for intelligent transportation systems
Islam Enhanced security in Mobile IP communication
Dhawale et al. A Robust Secured Mechanism for Mobile IPv6 Threats
KR20090065023A (ko) 인터넷 보안 프로토콜 터널 모드 처리방법
Xenakis et al. Alternative Schemes for Dynamic Secure VPN Deployment in UMTS
Hollick The Evolution of Mobile IP Towards Security

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20100526

Assignee: Zhenjiang Zhongan Communication Technology Co., Ltd.

Assignor: Jiangsu University of Science and Technology

Contract record no.: 2013320000527

Denomination of invention: Method for constructing safety system and safety mechanism for mobile IP

Granted publication date: 20120822

License type: Exclusive License

Record date: 20130607

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120822

Termination date: 20141106

EXPY Termination of patent right or utility model