CN101715179B - 一种移动ip的安全系统和安全机制建立方法 - Google Patents
一种移动ip的安全系统和安全机制建立方法 Download PDFInfo
- Publication number
- CN101715179B CN101715179B CN2009102130494A CN200910213049A CN101715179B CN 101715179 B CN101715179 B CN 101715179B CN 2009102130494 A CN2009102130494 A CN 2009102130494A CN 200910213049 A CN200910213049 A CN 200910213049A CN 101715179 B CN101715179 B CN 101715179B
- Authority
- CN
- China
- Prior art keywords
- mobile
- module
- mobile node
- home agent
- ssl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公布了一种移动IP的安全系统和安全机制建立方法,本发明所述系统包括由众多移动节点构成的外地网络、SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点都包括VPN模块和移动IP协议模块。本发明所述安全机制建立方法,包含以下步骤:1)移动节点漫游到外地后,向家乡代理注册;2)家乡代理响应移动节点的注册请求后,移动节点将对数据分组进行认证、加密、封装;3)SSL VPN网关收到移动节点的数据分组,进行认证、解密后,交给家乡代理;4)家乡代理解除移动IP协议封装IP-in-IP,交给通信对端,完成通信。本发明适合移动网络低带宽、长延迟的环境,维护方便。
Description
技术领域
本发明属于移动通信与信息安全技术领域,涉及一种移动IP网络的安全系统和安全机制。
背景技术
随着生活节奏的加快,人们不满足在固定地点的学习和办公。而随着移动网络建设的如火如荼,移动信号的覆盖使得人们可以实现随时随地上网。移动IP(Mobile IP)技术满足了人们对节点移动性的需求。但是无线链路的开放性使得网络窃听、拒绝服务和会话劫持等网络安全隐患比以前更加突出。IETF工作组在制定移动IP的相应规范时,并没有考虑安全的因素。这样就导致了移动IP和现有的各种安全技术相结合,比如美国CISCO公司基于IPSec(IP Security)的移动VPN等。
基于IPSec移动VPN技术所采用的IPSec协议虽然技术成熟而得到广泛的应用,但配置复杂,IKE非常繁琐,系统开销大,不适合在移动网络环境低带宽、高延迟下使用,并且IPSec VPN和移动IP的结合会产生网络环境复杂、IPSec隧道建立困难大、隧道封装开销大的困难。
SSL VPN继承了SSL(Secure Sockets Layer)的易用性和VPN(Virtual PersonalNetwork)的私有性,具有良好的易用性、实用性,比IPSec VPN更加适合在移动网络环境下使用,但目前主流的SSL VPN明显缺乏对移动节点管理,而且与其他移动实体的系统架构关系也处于空白。
发明内容
本发明目的是针对现有技术存在的缺陷提供一种移动IP的安全系统和安全机制建立方法。
本发明为实现上述目的,针对移动用户远程接入的企业应用环境,采用如下技术方案:
本发明一种移动IP的安全系统,包括由众多移动节点构成的外地网络,其特征在于还包括SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点都包括VPN模块和移动IP协议模块,用户通过移动IP协议模块串接VPN模块后通过互联网与SSL VPN网关通信,SSL VPN网关依次串接家乡代理和通信对端。
所述的一种移动IP的安全系统,其特征在于所述SSL VPN网关包括VPN模块、移动节点管理模块,其中移动节点管理模块通过互联网与移动节点通信,VPN模块与家乡代理对端,记录当前移动节点的位置信息,维护当前与移动节点的通信链路。
所述的一种移动IP的安全系统,其特征在于,所述VPN模块包括认证模块、加/解密模块、通信模块,其中认证模块用于通信双方证书的认证和管理;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,包含以下步骤:
1)移动节点漫游到外地后,向家乡代理注册:首先使用SSL的握手协议和SSL VPN网关建立SSL安全隧道保证注册的安全;然后移动节点发出注册请求;
2)家乡代理响应移动节点的注册请求后,移动节点将对数据分组进行认证、加密、封装;
3)SSL VPN网关收到移动节点的数据分组,进行认证、解密后,交给家乡代理;
4)家乡代理解除移动IP协议封装IP-in-IP,交给通信对端,完成通信。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,步骤(2)所述的数据分组的封装方式为:先进行移动IP协议封装IP-in-IP;然后进行SSL安全隧道封装。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,所述移动节点完成或解除移动IP协议IP-in-IP的封装,完成或解除SSL安全隧道封装;所述SSL VPN网关完成或解除SSL安全隧道封装。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,SSL隧道的上层传输层使用UDP。
所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,移动节点管理模块在移动节点完成注册前记录当前移动节点的位置信息,包括IP地址和端口号。
通过比较发现,本发明采用以上技术方案的优点:1、使用比IPSec简单的SSL架构,方便移动终端的轻型化,更加适合移动网络低带宽、长延迟的环境。2、工作在用户区,比IPSec容易配置,方便维护,在穿越NAT上也更加灵活、方便。3、没有改变移动IP原来的网络结构和操作过程,只是为了增强安全性在原有协议的基础上进行了扩展,方便了目前网关和防火墙的使用。4、SSL VPN网关使用移动节点模块增强对移动节点的管理,弥补家乡代理由于网络拓扑结构位于VPN之后而对移动节点管理的不足。
附图说明
图1为本发明的系统结构图。
图2为本发明的数据通信流图。
图3为本发明的数据分组完整封装示意图。
图4为本发明的SSL VPN网关各模块关系示意图。
图5为本发明的移动节点各模块关系示意图。
具体实施方式
下面结合附图对发明的技术方案进行详细说明:
在图1中表达了本发明的系统结构图,包括由众多移动节点构成的外地网络,其特征在于还包括SSL VPN网关以及由家乡代理和通信对端构成的内网,所述每个移动节点包括VPN模块和移动IP模块;移动IP协议模块位于TCP/IP协议栈,用于完成移动IP实体功能,保证在移动节点的漫游对通信对端是透明的,用户通过移动IP模块依次串接加/解密模块、通信模块后通过互联网与SSL VPN网关通信,SSL VPN网关依次串接家乡代理和通信对端。
所述SSL VPN网关包括VPN模块、移动节点管理模块。移动节点管理模块主要负责记录当前移动节点的位置信息(包括IP地址和端口号),维护当前与移动节点的通信链路,使得家乡代理发送的数据可以安全顺利到达移动节点。
所述的一种移动IP的安全系统,其特征在于,所述VPN模块,建立、维护VPN隧道,保证数据分组的完整性、机密性,主要包括认证模块、加/解密模块、通信模块。其中认证模块用于通信双方证书的认证和管理,比如验证服务器证书,还有密钥的协商和管理等;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组,确保无线网络中的传输数据只有合法接受者才能读取,保证信息完整性、机密性;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接
图1中,MN表示移动节点,HA表示家乡代理,CN表示通信对端。分两种情况:当移动节点在家乡网络时,可以和通信对端直接通信,而无须经过VPN网关和家乡代理;当移动节点漫游到外地时,此时和通信对端的通信需要经过VPN网关和家乡代理,保证安全性和移动性。其中,从移动节点到SSL VPN网关,数据包需要经过不被信任的外部网络,因而会使用SSL安全隧道封装,以保证不受中间人恶意攻击;而从SSL VPN网关到家乡代理,数据包需要正确到达通信对端,因而会使用移动IP协议封装,以保证移动节点和通信对端的正常通信。
如图5所示,移动节点在本地网络,由于是VPN可信任的内部网络,保证安全通信的认证、隧道等安全机制可以不必启动;而当移动节点漫游到外地时就涉及到一种移动IP网络的安全机制建立方法,其步骤如下:
1)移动节点在到达外地后,需要向家乡代理注册,首先要和SSL VPN网关建立VPN安全隧道以保证注册的安全;2),移动节点发出注册请求;3)家乡代理响应移动节点的注册请求,注册结束;4)家乡代理截获发往移动节点的数据分组,进行移动IP协议封装(即IP-in-IP封装),交给SSL VPN网关;5)SSL VPN网关认证、加密
IP-in-IP分组后,通过SSL安全隧道封装发往移动节点;6)移动节点解封、解密后,将载荷即IP分组交上层应用,完成移动节点接受数据;7)移动节点发送数据时,先要进行移动IP协议封装,然后认证、加密后交给SSL VPN网关;8)SSL VPN网关解除SSL安全隧道封装,交给家乡代理;9)家乡代理解除移动IP协议封装的数据分组,送到通信对端。
其中,移动节点的通信模块会注册一个虚拟网络设备。此虚拟网络设备用于和SSLVPN网关通信,IP静态设为VPN内网地址;并且移动节点会把路由表项的路由到家乡网络的默认出口设置为虚拟网络设备。
步骤1)中移动节点到达外地后,需要和VPN网关建立连接。如果是第一次漫游到外地,则需要双方,并认证协商、建立SSL安全隧道;如果不是第一次,(也就是说已经和VPN网关建立了SSL安全隧道),为了防止中间人攻击,在默认的情况下,需要重新协商隧道参数(比如密钥套件,包括MAC密钥、加密密钥和初始化向量)。
步骤4)中家乡代理截获发往移动节点的数据包,进行移动IP协议(即IP-in-IP)封装,此时完成数据包的第一道封装。
步骤5)中VPN网关受到家乡代理后,进行SSL安全隧道封装,完成数据包的第二道封装。为了避免TCP over TCP,SSL上层承载的协议将使用UDP,由于SSL协议加密和认证特性需要TCP保证数据传输的可靠性,所以需要在通信过程中对每一个UDP进行唯一编号,接受双方必须对接收到的数据包做出应答,防止重放攻击。
步骤6)移动节点解封、解密数据分组,通过虚拟网络设备交给应用层处理,这样一来,虽然步骤4、5中的隧道封装保证了数据分组的移动性、安全性,但在应用层看来都是透明的。
在图2中表示了本发明的数据通信流图,MN表示移动节点,HA表示家乡代理,CN表示通信对端。1)由于路由策略,移动节点发送到通信对端的应用层数据分组,将经过TCP/IP协议栈,其中移动IP协议模块在此处完成移动IP协议封装;2)移动节点的加/解密模块接受分组,将数据分组认证、SSL加密封装;3)分组再次通过TCP/IP协议栈,完成数据包的第二道封装,转发到VPN网关;4、5)VPN网关收到加密后的数据分组后,进行解除SSL隧道封装,确认无误后交给家乡代理;6)家乡代理解除移动IP协议封装后传给通信对端,完成移动节点的数据发送。
在图3中表明了本发明的数据分组完整封装图,数据分组的净载荷是IP-in-IP分组(即移动IP数据分组,其中IP源地址是家乡地址,IP目的地址是通信对端的),外层是:SSL头,安全隧道封装,保证安全性,留有标识UDP编号的字段;UDP头,为避免TCP协议的“三次握手”的开销,可不用做校验和,更利于穿越NAT;IP头的源地址是转交地址,IP目的地址是SSL VPN网关。移动节点将通过SSL协议认证、加密、封装;SSL VPN网关将数据分组解除SSL安全隧道封装,得到SSL封装的数据分组,解密、确认之后,转发给家乡代理;家乡代理解除IP-in-IP分组的封装后,交给通信对端;通信对端收到IP分组,完成通信。
在图4中表明了SSL VPN网关中各模块的关系图。来自远程移动用户的数据分组需要先经过认证模块验证用户身份的合法性,才能够进入加/解密模块。而来自上层的应用层或内网(比如家乡代理)的数据分组,被视为安全的,无需经过认证模块。加/解密模块对来自远程接入用户的数据分组首先进行完整性检查,如果不满足条件,则丢弃,否则交给通信模块进行转发,而对于来自应用层或内网的数据分组则加密、进行完整性标记,然后交给通信模块发送。通信模块根据当前维护的通信连接信息,转发来自加/解密模块的数据分组,对于IP目的地址是外地移动用户的,还需要到移动节点管理模块查询当前的移动节点信息。当移动节点在外地移动时,会产生无线AP区域的切换,此时节点的转交地址IP地址就会发生变化,而在注册之前家乡代理还不知道移动节点的变化,对目的地址为移动节点的数据分组仍会按照移动节点先前的转交地址路由,SSL VPN网关收到此数据分组,查询当前移动节点位置信息,修改为当前地址,转交给移动节点。这样一来,在传统的移动IP协议中,移动节点在移动后重新获得转交地址到注册这段通信空白就得到了填补。
在图4中表明了移动节点中各模块的关系图。发送数据包时,来自应用层的数据会被移动IP协议模块进行IP-in-IP封装,保证数据分组可以正确到达目的端;然后到加/解密模块进行加密加密、进行完整性标记,然后交给通信模块发送。而认证模块主要在和VPN网关协商建立隧道时起作用。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围之内,可以轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围以权利要求的保护范围为准。
Claims (6)
1.一种移动IP的安全系统,包括由众多移动节点构成的外地网络、SSL VPN网关以及由家乡代理和通信对端构成的内网,所述SSLVPN网关包括VPN模块、移动节点管理模块,其中移动节点管理模块通过互联网与移动节点通信,VPN模块与家乡代理对端,所述移动节点包括VPN模块和移动IP协议模块,用户通过移动IP协议模块串接VPN模块后通过互联网与SSLVPN网关通信,SSLVPN网关依次串接家乡代理和通信对端,其特征在于,所述VPN模块包括认证模块、加/解密模块、通信模块,其中认证模块用于通信双方证书的认证和管理;加/解密模块基于公钥基础设施PKI体系,针对VPN隧道的数据分组,对数据分组进行完整性检查、利用SSL协议加/解密数据分组;通信模块,基于TCP/IP协议栈,实现路由管理和数据分组的转发,维护和网络节点的通信连接;认证模块确认接入用户的合法性后,加/解密模块对合法用户的数据分组进行检查、加/解密,然后通过通信模块发送。
2.如权利要求1所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,包含以下步骤:
1)移动节点漫游到外地后,向家乡代理注册:首先使用SSL的握手协议和SSLVPN网关建立SSL安全隧道保证注册的安全;然后移动节点发出注册请求;
2)家乡代理响应移动节点的注册请求后,移动节点将对数据分组进行认证、加密、封装;
3)SSLVPN网关收到移动节点的数据分组,进行认证、解密后,交给家乡代理;
4)家乡代理解除移动IP协议封装IP-in-IP,交给通信对端,完成通信。
3.根据权利要求2所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,步骤(2)所述的数据分组的封装方式为:先进行移动IP协议封装IP-in-IP;然后进行SSL安全隧道封装。
4.根据权利要求2所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,所述移动节点完成或解除移动IP协议IP-in-IP的封装,完成或解除SSL安全隧道封装;所述VPN网关完成或解除SSL安全隧道封装。
5.根据权利要求2所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,SSL隧道的上层传输层使用UDP。
6.根据权利要求2所述的一种移动IP的安全系统的安全机制建立方法,其特征在于,移动节点管理模块在移动节点完成注册前记录当前移动节点的位置信息,包括IP地址和端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102130494A CN101715179B (zh) | 2009-11-06 | 2009-11-06 | 一种移动ip的安全系统和安全机制建立方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102130494A CN101715179B (zh) | 2009-11-06 | 2009-11-06 | 一种移动ip的安全系统和安全机制建立方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101715179A CN101715179A (zh) | 2010-05-26 |
| CN101715179B true CN101715179B (zh) | 2012-08-22 |
Family
ID=42418347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102130494A Expired - Fee Related CN101715179B (zh) | 2009-11-06 | 2009-11-06 | 一种移动ip的安全系统和安全机制建立方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101715179B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9491686B2 (en) * | 2011-07-28 | 2016-11-08 | Pulse Secure, Llc | Virtual private networking with mobile communication continuity |
| CN102664896A (zh) * | 2012-04-28 | 2012-09-12 | 郑州信大捷安信息技术股份有限公司 | 基于硬件加密的安全网络传输系统及传输方法 |
| CN107306214B (zh) | 2016-04-18 | 2020-04-03 | 华为技术有限公司 | 终端连接虚拟专用网的方法、系统及相关设备 |
| CN114040390B (zh) * | 2021-11-17 | 2023-05-09 | 国网福建省电力有限公司 | 一种基于量子安全的5g虚商密钥库分发方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1478232A (zh) * | 2000-11-13 | 2004-02-25 | Ecutel公司 | 用于安全网络移动性的系统和方法 |
| CN1589060A (zh) * | 2004-09-30 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种使移动节点实现自代理功能的方法 |
| CN101478750A (zh) * | 2009-01-23 | 2009-07-08 | 西安电子科技大学 | 基于IPSec的快速切换与认证融合方法 |
-
2009
- 2009-11-06 CN CN2009102130494A patent/CN101715179B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1478232A (zh) * | 2000-11-13 | 2004-02-25 | Ecutel公司 | 用于安全网络移动性的系统和方法 |
| CN1589060A (zh) * | 2004-09-30 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种使移动节点实现自代理功能的方法 |
| CN101478750A (zh) * | 2009-01-23 | 2009-07-08 | 西安电子科技大学 | 基于IPSec的快速切换与认证融合方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101715179A (zh) | 2010-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Arbaugh et al. | Your 80211 wireless network has no clothes | |
| US7929528B2 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
| ES2336898T3 (es) | Metodo y red para asegurar el envio seguro de mensajes. | |
| US7174018B1 (en) | Security framework for an IP mobility system using variable-based security associations and broker redirection | |
| US8126148B2 (en) | Securing home agent to mobile node communication with HA-MN key | |
| US20060171365A1 (en) | Method and apparatus for L2TP dialout and tunnel switching | |
| EP1466458B1 (en) | Method and system for ensuring secure forwarding of messages | |
| CN101715179B (zh) | 一种移动ip的安全系统和安全机制建立方法 | |
| Praptodiyono et al. | Mobile IPv6 vertical handover specifications, threats, and mitigation methods: A survey | |
| Elgoarany et al. | Security in mobile IPv6: a survey | |
| Fathi et al. | LR-AKE-based AAA for network mobility (NEMO) over wireless links | |
| Naito et al. | Cyphonic: Overlay network technology for cyber physical communication | |
| Inoue et al. | Secure mobile IP using IP security primitives | |
| Al Hawi et al. | Secure framework for the return routability procedure in MIPv6 | |
| Barbudhe et al. | Comparative analysis of security mechanism of mobile IPv6 threats against binding update, Route Optimization and Tunneling | |
| Namal et al. | Securing the backhaul for mobile and multi-homed femtocells | |
| CN101091371A (zh) | 提供移动节点之间路由优化安全会话连续性的方法和装置 | |
| Khan et al. | IPsec in mobile IP: a survey | |
| Islam | Enhanced security in Mobile IP communication | |
| Xenakis et al. | Alternative Schemes for Dynamic Secure VPN Deployment in UMTS | |
| FI113597B (fi) | Menetelmä viestien lähettämiseksi usean yhteyden läpi | |
| Dhawale et al. | A Robust Secured Mechanism for Mobile IPv6 Threats | |
| Zhiqiang et al. | Secure addressing mechanism in MIPv6 by routing-header verification | |
| Hollick | The Evolution of Mobile IP Towards Security | |
| KR20090065023A (ko) | 인터넷 보안 프로토콜 터널 모드 처리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20100526 Assignee: Zhenjiang Zhongan Communication Technology Co., Ltd. Assignor: Jiangsu University of Science and Technology Contract record no.: 2013320000527 Denomination of invention: Method for constructing safety system and safety mechanism for mobile IP Granted publication date: 20120822 License type: Exclusive License Record date: 20130607 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120822 Termination date: 20141106 |
|
| EXPY | Termination of patent right or utility model |