一种移动IP的安全系统和安全机制建立方法
技术领域
本发明属于移动通信与信息安全技术领域,涉及一种移动IP网络的安全系统和安全机制。
背景技术
随着生活节奏的加快,人们不满足在固定地点的学习和办公。而随着移动网络建设的如火如荼,移动信号的覆盖使得人们可以实现随时随地上网。移动IP(Mobile IP)技术满足了人们对节点移动性的需求。但是无线链路的开放性使得网络窃听、拒绝服务和会话劫持等网络安全隐患比以前更加突出。IETF工作组在制定移动IP的相应规范时,并没有考虑安全的因素。这样就导致了移动IP和现有的各种安全技术相结合,比如美国CISCO公司基于IPSec(IP Security)的移动VPN等。
基于IPSec移动VPN技术所采用的IPSec协议虽然技术成熟而得到广泛的应用,但配置复杂,IKE非常繁琐,系统开销大,不适合在移动网络环境低带宽、高延迟下使用,并且IPSec VPN和移动IP的结合会产生网络环境复杂、IPSec隧道建立困难大、隧道封装开销大的困难。
SSL VPN继承了SSL(Secure Sockets Layer)的易用性和VPN(Virtual PersonalNetwork)的私有性,具有良好的易用性、实用性,比IPSec VPN更加适合在移动网络环境下使用,但目前主流的SSL VPN明显缺乏对移动节点管理,而且与其他移动实体的系统架构关系也处于空白。
发明内容
本发明目的是针对现有技术存在的缺陷提供一种移动IP的安全系统和安全机制建立方法。
本发明为实现上述目的,针对移动用户远程接入的企业应用环境,采用如下技术方案:
本发明一种移动IP的安全系统,包括由众多移动节点构成的外地网络,其特征在于还包括SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点都包括VPN模块和移动IP协议模块,用户通过移动IP协议模块串接VPN模块后通过互联网与SSL VPN网关通信,SSL VPN网关依次串接家乡代理和通信对端。
所述的一种移动IP的安全系统,其特征在于所述SSL VPN网关包括VPN模块、移动节点管理模块,其中移动节点管理模块通过互联网与移动节点通信,VPN模块与家乡代理对端,记录当前移动节点的位置信息,维护当前与移动节点的通信链路。
所述的一种移动IP的安全系统,其特征在于,所述VPN模块包括认证模块、加/解密模块、通信模块,其中认证模块用于通信双方证书的认证和管理;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,包含以下步骤:
1)移动节点漫游到外地后,向家乡代理注册:首先使用SSL的握手协议和SSL VPN网关建立SSL安全隧道保证注册的安全;然后移动节点发出注册请求;
2)家乡代理响应移动节点的注册请求后,移动节点将对数据分组进行认证、加密、封装;
3)SSL VPN网关收到移动节点的数据分组,进行认证、解密后,交给家乡代理;
4)家乡代理解除移动IP协议封装IP-in-IP,交给通信对端,完成通信。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,步骤(2)所述的数据分组的封装方式为:先进行移动IP协议封装IP-in-IP;然后进行SSL安全隧道封装。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,所述移动节点完成或解除移动IP协议IP-in-IP的封装,完成或解除SSL安全隧道封装;所述SSL VPN网关完成或解除SSL安全隧道封装。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,SSL隧道的上层传输层使用UDP。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,移动节点管理模块在移动节点完成注册前记录当前移动节点的位置信息,包括IP地址和端口号。
通过比较发现,本发明采用以上技术方案的优点:1、使用比IPSec简单的SSL架构,方便移动终端的轻型化,更加适合移动网络低带宽、长延迟的环境。2、工作在用户区,比IPSec容易配置,方便维护,在穿越NAT上也更加灵活、方便。3、没有改变移动IP原来的网络结构和操作过程,只是为了增强安全性在原有协议的基础上进行了扩展,方便了目前网关和防火墙的使用。4、SSL VPN网关使用移动节点模块增强对移动节点的管理,弥补家乡代理由于网络拓扑结构位于VPN之后而对移动节点管理的不足。
附图说明
图1为本发明的系统结构图。
图2为本发明的数据通信流图。
图3为本发明的数据分组完整封装示意图。
图4为本发明的SSL VPN网关各模块关系示意图。
图5为本发明的移动节点各模块关系示意图。
具体实施方式
下面结合附图对发明的技术方案进行详细说明:
在图1中表达了本发明的系统结构图,包括由众多移动节点构成的外地网络,其特征在于还包括SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点包括VPN模块和移动IP模块;移动IP协议模块位于TCP/IP协议栈,用于完成移动IP实体功能,保证在移动节点的漫游对通信对端是透明的,用户通过移动IP模块依次串接加/解密模块、通信模块后通过互联网与SSL VPN网关通信,SSL VPN网关依次串接家乡代理和通信对端。
所述SSL VPN网关包括VPN模块、移动节点管理模块。移动节点管理模块主要负责记录当前移动节点的位置信息(包括IP地址和端口号),维护当前与移动节点的通信链路,使得家乡代理发送的数据可以安全顺利到达移动节点。
所述的一种移动IP的安全系统,其特征在于,所述VPN模块,建立、维护VPN隧道,保证数据分组的完整性、机密性,主要包括认证模块、加/解密模块、通信模块。其中认证模块用于通信双方证书的认证和管理,比如验证服务器证书,还有密钥的协商和管理等;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组,确保无线网络中的传输数据只有合法接受者才能读取,保证信息完整性、机密性;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接
图1中,MN表示移动节点,HA表示家乡代理,CN表示通信对端。分两种情况:当移动节点在家乡网络时,可以和通信对端直接通信,而无须经过VPN网关和家乡代理;当移动节点漫游到外地时,此时和通信对端的通信需要经过VPN网关和家乡代理,保证安全性和移动性。其中,从移动节点到SSL VPN网关,数据包需要经过不被信任的外部网络,因而会使用SSL安全隧道封装,以保证不受中间人恶意攻击;而从SSL VPN网关到家乡代理,数据包需要正确到达通信对端,因而会使用移动IP协议封装,以保证移动节点和通信对端的正常通信。
如图5所示,移动节点在本地网络,由于是VPN可信任的内部网络,保证安全通信的认证、隧道等安全机制可以不必启动;而当移动节点漫游到外地时就涉及到一种移动IP网络的安全机制建立方法,其步骤如下:
1)移动节点在到达外地后,需要向家乡代理注册,首先要和SSL VPN网关建立VPN安全隧道以保证注册的安全;2),移动节点发出注册请求;3)家乡代理响应移动节点的注册请求,注册结束;4)家乡代理截获发往移动节点的数据分组,进行移动IP协议封装(即IP-in-IP封装),交给SSL VPN网关;5)SSL VPN网关认证、加密IP-in-IP分组后,通过SSL安全隧道封装发往移动节点;6)移动节点解封、解密后,将载荷即IP分组交上层应用,完成移动节点接受数据;7)移动节点发送数据时,先要进行移动IP协议封装,然后认证、加密后交给SSL VPN网关;8)SSL VPN网关解除SSL安全隧道封装,交给家乡代理;9)家乡代理解除移动IP协议封装的数据分组,送到通信对端。
其中,移动节点的通信模块会注册一个虚拟网络设备。此虚拟网络设备用于和SSLVPN网关通信,IP静态设为VPN内网地址;并且移动节点会把路由表项的路由到家乡网络的默认出口设置为虚拟网络设备。
步骤1)中移动节点到达外地后,需要和VPN网关建立连接。如果是第一次漫游到外地,则需要双方,并认证协商、建立SSL安全隧道;如果不是第一次,(也就是说已经和VPN网关建立了SSL安全隧道),为了防止中间人攻击,在默认的情况下,需要重新协商隧道参数(比如密钥套件,包括MAC密钥、加密密钥和初始化向量)。
步骤4)中家乡代理截获发往移动节点的数据包,进行移动IP协议(即IP-in-IP)封装,此时完成数据包的第一道封装。
步骤5)中VPN网关受到家乡代理后,进行SSL安全隧道封装,完成数据包的第二道封装。为了避免TCP over TCP,SSL上层承载的协议将使用UDP,由于SSL协议加密和认证特性需要TCP保证数据传输的可靠性,所以需要在通信过程中对每一个UDP进行唯一编号,接受双方必须对接收到的数据包做出应答,防止重放攻击。
步骤6)移动节点解封、解密数据分组,通过虚拟网络设备交给应用层处理,这样一来,虽然步骤4、5中的隧道封装保证了数据分组的移动性、安全性,但在应用层看来都是透明的。
在图2中表示了本发明的数据通信流图,MN表示移动节点,HA表示家乡代理,CN表示通信对端。1)由于路由策略,移动节点发送到通信对端的应用层数据分组,将经过TCP/IP协议栈,其中移动IP协议模块在此处完成移动IP协议封装;2)移动节点的加/解密模块接受分组,将数据分组认证、SSL加密封装;3)分组再次通过TCP/IP协议栈,完成数据包的第二道封装,转发到VPN网关;4、5)VPN网关收到加密后的数据分组后,进行解除SSL隧道封装,确认无误后交给家乡代理;6)家乡代理解除移动IP协议封装后传给通信对端,完成移动节点的数据发送。
在图3中表明了本发明的数据分组完整封装图,数据分组的净载荷是IP-in-IP分组(即移动IP数据分组,其中IP源地址是家乡地址,IP目的地址是通信对端的),外层是:SSL头,安全隧道封装,保证安全性,留有标识UDP编号的字段;UDP头,为避免TCP协议的“三次握手”的开销,可不用做校验和,更利于穿越NAT;IP头的源地址是转交地址,IP目的地址是SSL VPN网关。移动节点将通过SSL协议认证、加密、封装;SSL VPN网关将数据分组解除SSL安全隧道封装,得到SSL封装的数据分组,解密、确认之后,转发给家乡代理;家乡代理解除IP-in-IP分组的封装后,交给通信对端;通信对端收到IP分组,完成通信。
在图4中表明了SSL VPN网关中各模块的关系图。来自远程移动用户的数据分组需要先经过认证模块验证用户身份的合法性,才能够进入加/解密模块。而来自上层的应用层或内网(比如家乡代理)的数据分组,被视为安全的,无需经过认证模块。加/解密模块对来自远程接入用户的数据分组首先进行完整性检查,如果不满足条件,则丢弃,否则交给通信模块进行转发,而对于来自应用层或内网的数据分组则加密、进行完整性标记,然后交给通信模块发送。通信模块根据当前维护的通信连接信息,转发来自加/解密模块的数据分组,对于IP目的地址是外地移动用户的,还需要到移动节点管理模块查询当前的移动节点信息。当移动节点在外地移动时,会产生无线AP区域的切换,此时节点的转交地址IP地址就会发生变化,而在注册之前家乡代理还不知道移动节点的变化,对目的地址为移动节点的数据分组仍会按照移动节点先前的转交地址路由,SSL VPN网关收到此数据分组,查询当前移动节点位置信息,修改为当前地址,转交给移动节点。这样一来,在传统的移动IP协议中,移动节点在移动后重新获得转交地址到注册这段通信空白就得到了填补。
在图4中表明了移动节点中各模块的关系图。发送数据包时,来自应用层的数据会被移动IP协议模块进行IP-in-IP封装,保证数据分组可以正确到达目的端;然后到加/解密模块进行加密加密、进行完整性标记,然后交给通信模块发送。而认证模块主要在和VPN网关协商建立隧道时起作用。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围之内,可以轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围以权利要求的保护范围为准。