CN1938999A - 寻址方法及建立遗留与主机标识协议节点之间的主机标识协议连接的方法和设备 - Google Patents
寻址方法及建立遗留与主机标识协议节点之间的主机标识协议连接的方法和设备 Download PDFInfo
- Publication number
- CN1938999A CN1938999A CNA2004800426884A CN200480042688A CN1938999A CN 1938999 A CN1938999 A CN 1938999A CN A2004800426884 A CNA2004800426884 A CN A2004800426884A CN 200480042688 A CN200480042688 A CN 200480042688A CN 1938999 A CN1938999 A CN 1938999A
- Authority
- CN
- China
- Prior art keywords
- address
- main frame
- hip
- agency
- hit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Cable Transmission Systems, Equalization Of Radio And Reduction Of Echo (AREA)
- Time-Division Multiplex Systems (AREA)
Abstract
提供一种经由HIP代理(16)至少部分保护不是HIP使能的第一主机(12)与HIP使能的第二主机(14)之间的通信的方法,该方法包括:从第一主机(12)发送(A)查询以解析第二主机(14)的IP地址;响应所述查询,检索(B,C)与第二主机(14)关联的IP地址(IPfa)和HIThip,从代理(16)返回(E)与第二主机(14)关联的替代IP地址(IPres),并且在代理(16)上维护(D)替代IP地址(IPres)、检索IP地址(IPfa)和检索HIT(HIThip)之间的映射;以及在代理(16)上从第一主机(12)接收到(F)包含替代IP地址(IPres)作为它的目标地址的会话发起消息(TCP SYN)时,采用映射来协商代理(16)与第二主机(14)之间的安全HIP连接(22)。
Description
技术领域
本发明涉及至少部分保护不是HIP使能的主机与HIP使能的另一个主机之间的通信的方法。本发明还涉及采用这样一种方法的通信系统和HIP代理。
背景技术
在最初设计因特网时,主机的位置是固定的,并且用户之间存在隐含信任而不管缺乏实际安全性或主机标识协议,而且这种情况甚至在更广泛地了解和使用该技术后继续存在。极少需要考虑用于处理主机移动性的技术,因为计算机体积较大并且不能移动。
随着二十世纪九十年代初期电信和计算机工业的变革,更小的通信设备和计算机成为更广泛可获得的,以及万维网的发明以及伴随它出现的所有服务最终使因特网吸引大众。网络和移动电信的不断增加的使用的结合产生对于因特网中的安全移动性管理的需要。
有关各方的增加数量以及某些业务需要的现金交易也产生对于附加应用级安全性的需要。目前,最广泛使用的加密协议、例如SSL/TLS在上网络层、例如TCP中运行。
考虑到上述移动性管理和安全性问题,引入了移动IP标准(C.Perkins的“IPv4的IP移动性支持”,RFC 3220,IETF,2002)以及移动IPv6标准(D.Johnson、C.Perkins、J.Arkko的“IPv6中的移动性支持”,Internet Draft,制订中,draft-ietf-mobileip-ipv6-24.txt,IETF,2003)。这些规范共同计划为下一代因特网提供移动性支持。安全性工作正以IPsec及相关活动、如各种密钥交换协议的形式发展,其目的是提供IP层的安全性。但是,经验表明,很难采用当前标准来得到结合的安全性和移动性。
IP地址描述网络中的节点的拓扑位置。IP地址用于把分组从源节点路由到目的地。同时,IP地址还用于标识节点,在一个实体中提供两种不同的功能。这类似于某个人在被询问其身份时以其家庭地址作答的情况。在还考虑移动性时,情况变得更为复杂:由于IP地址在这个方案中用作主机标识符,因此它们不得改变;但是,由于IP地址还描述拓扑位置,因此它们当主机在网络中改变其位置时一定必须改变。显然不可能同时实现稳定性和动态改变。
在移动IP的情况中,解决方案是采用提供节点的“归属地址”的固定归属位置。归属地址标识节点以及在其处于归属地时提供其稳定位置。当前位置信息以转交地址的形式可得,它在节点远离归属地时用于路由选择目的。
对该问题的另一个解决方案是把标识和定位功能相互分离,这是主机标识协议(HIP)建议(R.Moskowitz、P.Nikander、P.Jokela的“主机标识协议”,Internet Draft,制订中,draft-moskowitz-hip-07.txt,IETF,2003)中采用的方法。HIP通过引入新的名称空间、主机标识(HI)来分离IP地址的定位和标识作用。在HIP中,主机标识基本上是公开-私有密钥对的公开密钥。公钥标识保存私钥的唯一副本的一方。拥有密钥对的私钥的主机可直接证明它“拥有”用于在网络中标识它的公钥。分离还提供以安全方式处理移动性和多归属的手段。
下面更详细地论述HIP,但不是基于围绕位置和标识分离的概念的唯一建议。FARA(D.Clark、R.Braden、A.Falk、V.Pingali的“FARA:重组寻址体系结构”,ACM SIGCOMM 2003 Workshops,2003年8月25日和27日)是提供从其中可导出实际体系结构的框架的概念的一般化模型。FARA可在节点标识被检验时利用HIP,因此HIP可能是特定FARA例示的一部分。PeerNet建议(J.Eriksson、M.Faloutsos、S.Krishnamurthy的“PeerNet:Pushing Peer-to-Peer Down the Stack”,IPTPS’03,2003年2月20-21日)也论述了位置和标识分离。因特网间接基础设施I3(I.Stoica等人的“因特网间接基础设施”,ACMSIGCOMM’02,2002年8月19-23日)还定义了标识与路由选择信息之间的分离。
主机标识协议在IP层引入位置与标识信息之间的分离。除了分离之外,还定义了协议以协商HIP使能节点之间的安全关联(SA)。
对于HIP,每个主机具有一个或多个标识,它们可能是长期或者是短期的,可用于在网络中标识它。对于HIP,标识符是公开-私有密钥对的公钥。当主机拥有私钥时,它可证明它实际上“拥有”公钥代表的这个标识;这与出示ID卡相似。
每个主机可产生仅供短时间使用的短期密钥。它们在不需要稍后采用相同标识来标识节点时是有用的。例如,从书店购买书籍可能是长期关系,而一次性联系服务器以收集用户简档则可认为是短期动作。在后一种情况中,可创建短期标识以避免长期标识的更广泛散布。
作为公钥的HIP主机标识(HI)可能相当长,因而不是在所有情况中都实用。在HIP中,HI采用从HI中通过对其进行散列处理所产生的128位长的主机标识标志(HIT)来表示。因此,HIT标识HI。由于HIT为128位长,因此它可直接用于IPv6应用,因为它与IPv6地址的长度完全相同。
当使用HIP时,包括应用在内的上层不再查看IP地址。而是,它们把HIT看作目标主机的“地址”。位置信息在新的层被隐藏,下面进行描述。IP地址不再标识节点;它们仅用于在网络中路由分组。
应用通常不关注位置信息,但一定需要知道它们的对等体的标识。标识由HIT表示。这意味着,IP地址仅对涉及路由选择的下层具有重要性。应用所使用的HIT必须在任何分组离开主机之前被映射到相应的IP地址。这在新的主机标识层中按照以下所述来实现。
附图的图1说明HIP中的各个层,包括标准传输层4、网络层8和链路层10,其中进程2与它下面的传输层4进行通信。对于HIP,新的主机标识层6设置在传输层4与网络层8之间。
每个HI及其关联HIT在本地映射到节点的IP地址。当分组离开主机时,正确的路由被选择(无论通过什么方式),以及相应的IP地址被输入分组,作为源和目标地址。从上层到达的每个分组包含对等体的HIT作为目标地址。HIT与位置信息之间的映射可位于HI层6。因此,目标地址被转换为所映射的IP地址,以及源HIT被转换为源IP地址。
对等HIT与IP地址之间的映射可通过若干方式来检索,其中的一种方式是从DNS服务器进行检索。位置信息可在任何时间由对等节点更新。更新过程将在移动性管理小节进行更详细论述。
HIP定义包含四个消息的基本消息交换、即四方握手,这用来创建HIP使能主机之间的安全关联(SA)。在消息交换期间,Diffie-Hellman过程用来创建会话密钥以及建立节点之间的一对IPsec封装安全净荷(ESP)安全关联(SA)。
附图的图2说明四方握手的操作。协商方称作开始连接的发起方和应答方。发起方通过发送包含参与协商的节点的HIT的I1分组开始协商。如果应答方的HIT不是发起方已知的,则目标HIT也可能被试射过。
当应答方得到I1分组时,它回送包含要由发起方解答的谜题的R1分组。协议经过设计,使得发起方必须在谜题解答中进行大部分计算。这提供了对于DoS攻击的某种保护。R1还发起Diffie-Hellman过程,其中包含应答方的公钥以及Diffie-Hellman参数。
一旦接收到R1分组,发起方解答谜题,并且在I2分组中向应答方发送响应信息块以及IPsec SPI值及其加密公钥。应答方检验是否已经解答谜题,对发起方进行鉴权,并创建IPsec ESP SA。最后的R2消息包含应答方的SPI值。
主机之间的SA被绑定到由HIT所表示的主机标识。但是,网络中传递的分组不包含实际HI信息,但是到达的分组被标识并采用IPsec首标中的安全性参数索引(SPI)值映射到正确的SA。附图的图3说明通过网络时的逻辑和实际分组结构。
从以上清楚表明,改变分组中的位置信息没有对IPsec处理造成任何问题。分组仍然采用SPI正确标识。如果由于某种原因而使分组路由到错误目的地,则接收方无法打开该分组,因为它没有正确的密钥。
当出去的分组从上层到达HI层时,目标HIT从IPsec SADB被检验。如果找到匹配目标HIT的SA,则分组采用与SA关联的会话密钥来加密。
HIT不能用来路由分组。因此,目标(以及源)地址必须变更以匹配节点的IP地址。如前面所述,这些映射存储在HI层。在地址已经变更之后,分组可被发送给网络,在其中采用IP地址信息将它路由到目的地。
在接收主机,SPI值用于从IPsec SADB查找正确的SA。如果找到某个条目,则IP地址可变更到相应HIT,以及分组可采用会话密钥进行解密。
移动性被定义为以下情况:主机在将其通信上下文保持为活动的同时移动,或者换言之,主机在使所有现有连接保持为活动的同时改变它的通过IP地址描述的拓扑位置。在主机上运行的进程未看到移动性,但在遇到的服务质量改变时有可能看到。
移动主机可在一个接入网内部、在不同接入技术之间或者甚至在不同IP地址域之间、例如在IPv4与IPv6网络之间改变位置。在HIP中,应用没有注意IP地址版本的变化。HI层对上层完全隐藏该变化。对等节点无疑必须能够处理改变IP版本的位置更新,以及分组必须是采用某个兼容地址可路由的。如果节点没有IPv4以及IPv6连通性,则可采用执行地址版本转换并代表节点提供连通性的代理节点。
多归属表示其中的端点具有可使用的若干并行通信路径的情况。多归属通常是主机具有若干网络接口(终端主机多归属)或者由于主机与网络的其余部分之间的网络具有冗余路径(站点多归属)的结果。
对于HIP,位置与标识信息之间的分离清楚地表明,分组标识和路由选择可完全相互分离。接收分组的主机通过首先得到正确密钥、然后对分组进行解密来识别发送方。因此,分组中的IP地址不相关。
在网络中移动的HIP移动节点(HMN)可经常改变对因特网的连接点。当连接点改变时,IP地址也改变。这个改变的位置信息必须发送给对等节点、即HIP对应节点(HCN),这种情况如附图的图4所示。相同的地址也可发送给HMN的转发代理(FA),使得也可经由更稳定的点到达HMN。DNS系统太慢而无法用于经常改变位置信息。因此,必须有一种可用来联络HMN的更稳定地址。这种地址是FA所提供的地址。
HIP移动性和多归属协议(P.Nikander、J.Arkko、P.Jokela的“采用主机标识协议的终端主机移动性和多归属”,Intemet Draft,制订中,draft-nikander-hip-mm-00.txt,IETF,2003)定义了包含HMN的当前IP地址的重新寻址(REA)分组。当HMN改变位置和IP地址时,它产生REA分组,采用匹配所使用HI的私钥签署分组,并把分组发送给对等节点和FA。
当对等节点接收REA分组时,它必须开始对于包含在REA分组中的IP地址的地址检验过程。需要地址检验来避免接收来自HMN的错误更新。它向REA分组中的地址发送地址校验(AC)分组。当HMN接收匹配先前发送的REA的AC时,它采用地址校验应答(ACR)分组进行响应。在对等节点已经接收到ACR分组之后,地址检验完成,并且它可添加IP地址作为HMN的位置信息。
由于HMN可在采用不同IP地址版本的网络之间移动,因此,HCN所接收的地址也可能来自不同于前一个地址的地址系列。
HCN可能仅支持一个IP地址版本。在这种情况中,HCN必须采用可用于把分组路由到另外的IP地址版本网络的另外某个代理节点。
具有在连接到不同接入网的不同接口上配置的多个IP地址的多归属HIP主机具有处理送往对等节点的业务的更多可能性。由于它具有在网络中提供其当前位置的多个IP地址,因此它可能希望把所有这些地址告诉它的对等节点。要进行这种操作,多归属HIP节点创建包含能够对那个特定节点使用的所有地址的REA分组。这个地址集可包含它具有的所有地址或者这些地址的某个子集。当对等节点接收具有多个地址的REA分组时,它必须对这些地址的每个进行地址检验,以便避免可能的错误更新。
HCN发送要送往包含在REA分组中的IP地址的AC分组集合。当HMN接收这些AC时,它采用ACR来响应它们的每个。HCN可从所接收ACR分组中确定地址的哪一个有效。
可能因HMN是恶意节点、它在堆栈实现中有错误、或者HMN可能位于采用在因特网中不可路由的私有地址的网络内部而产生REA分组中的错误或不可路由的地址。
多归属HIP节点能够使用所有可用连接,但是,连接的有效使用需要了解基础接入网并且可控制其使用的策略系统。这样一种策略系统可采用不同种类的信息:用户偏好、操作员偏好、来自网络连接的输入、如QoS等。
为了开始与移动节点的HIP交换,发起方节点需要知道如何到达移动节点。虽然动态DNS可用于不经常移动节点的这个功能,但是,对于以这种方式使用DNS的一个备选方案是采用上述静态基础设施段、即转发代理(又称作HIP聚集服务器)。不是向DNS服务器登记它的当前动态地址,而是移动节点登记它的转发代理的地址。移动节点使转发代理采用其当前IP地址连续更新。转发代理只在其当前位置把初始HIP分组从发起方转发给移动节点。其它所有分组在发起方与移动节点之间流动。通常在转发代理上存在极少活动,主要为地址更新和初始HIP分组转发。因此,一个转发代理可支持大量可能的移动节点。移动节点必须信任转发转发代理正确地维护其HIT和IP地址映射。转发代理甚至可用于位置固定的节点,因为情况通常是,固定节点可经常改变其IP地址,例如当它每次由那个节点的服务提供商建立因特网连接而被分配时。
如果两种节点都是移动的,并且正好同时移动,则还需要转发代理。在那种情况中,HIP重新寻址分组将在网络中相互交叉,并且绝不会到达对等节点。为了解决这种情况,节点应当记住转发代理地址,并且在没有接收到应答时向转发代理重新发送HIP重新寻址分组。
移动节点通过建立与转发代理的HIP关联并向其发送HIP重新寻址分组来使它的地址在转发代理上是当前的。如果它们具有不同于DNS查询的方法以得到彼此的HI和HIT,则转发代理将允许两个移动系统使用HIP而无需任何外部基础设施(除了转发代理本身之外),其中包括DNS。
在遗留设备的情况中,主机可能不是HIP使能的,以及唯一选项是采用IP地址来标识主机之间的连接。这不是安全的。情况可通过在HIP使能的主机与无法使用HIP的主机之间设置HIP代理得到改进。一种典型情况是其中的客户机终端不是HIP使能的小公司LAN。业务经由HIP代理路由到对应主机(它们是HIP使能的)。
这种配置如附图的图5所示。在图5中,遗留主机12表示为经由HIP代理16与HIP使能的节点14(具有域名“hip.foo.com”)进行通信。遗留主机12通过接入网18访问HIP代理16,而HIP代理16则通过因特网20访问HIP节点14。为了部分保护遗留主机12与HIP节点14之间的连接,HIP代理16与HIP节点14之间的所有通信都以如以上参照图3所述的相似方式通过HIP代理16与HIP节点14之间建立的安全关联。
但是,甚至在图5所示的安全关联22可被建立以便实现遗留主机12与HIP节点14之间的通信之前,当遗留主机12在HIP节点14如上所述位于转发代理26之后时尝试通过向DNS服务器24-1(以及DNS服务器24-2)发送查询来解析HIP节点14的IP地址时出现问题。DNS服务器24-1将返回HIP节点14的HIT以及转发代理26的IP地址。由于遗留主机12不是HIP使能的,因此将忽略HIT并开始向转发代理26发送消息。如果没有HIT,则转发代理26无法解析这些消息的目标地址,因为极有可能的是若干HIP节点将使用同一个转发代理26。同样,由于遗留主机12忽略HIT并且在发起连接时仅使用HIP节点14的IP地址,因此HIP代理16无法发起它本身与HIP节点14之间的HIP协商,因为它不知道HIP节点14的HIT。
希望提供一种经由HIP代理至少部分保护不是HIP使能的第一主机与HIP使能的第二主机之间的通信的方法,它避免了上述问题。
发明内容
根据本发明的第一方面,提供一种经由HIP代理至少部分保护不是HIP使能的第一主机与HIP使能的第二主机之间的通信的方法,该方法包括:从第一主机发送查询以解析第二主机的IP地址;响应所述查询,检索与第二主机关联的IP地址和HIT,从代理返回与第二主机关联的替代IP地址,并且在代理上维护替代IP地址、所检索IP地址和所检索HIT之间的映射;以及在代理上从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时,采用映射来协商代理与第二主机之间的安全HIP连接。
该方法可包括:根据会话发起消息中的替代IP地址从映射中查找所检索IP地址和所检索HIT;以及执行HIP协商,采用所检索IP地址和所检索HIT来定位和标识应答方,以及采用代理的IP地址和HIT来定位和标识发起方。
所检索IP地址可能是第二主机使用的转发代理的IP地址,并且还包括通过向转发代理发送初始HIP协商分组来发起代理与第二主机之间的HIP协商。
该方法还可包括:在HIP协商期间在代理上接收到第二主机的实际IP地址之后,在代理维护的映射中包含实际IP地址。在代理上收到实际IP地址之后,所检索IP地址在映射中可由实际IP地址取代。
所检索IP地址可能是第二主机的实际IP地址。
该方法还可包括:对于在已经建立安全HIP连接之后在代理上所接收的包含替代IP地址作为它的目标地址的出局消息,采用映射通过安全HIP连接向第二主机路由消息。这可能需要根据出局消息中的替代IP地址从映射中查找实际IP地址和所检索HIT;以及向第二主机路由出局消息,采用实际IP地址和所检索HIT来定位和标识消息的目的地,以及采用代理的IP地址和HIT来定位和标识消息的源。
该方法还可包括:通过经由安全HIP连接从代理向第二主机转发会话发起消息,经由安全HIP连接从第二主机向代理采用会话确认消息应答,并且向第一主机路由会话确认消息,来完成第一与第二主机之间的通信的建立。会话确认消息可能是TCP ACK消息。
会话发起消息可能是TCP SYN消息。
该方法还可包括:对于在代理上通过所建立安全HIP连接从第二主机接收的入局消息,采用代理的NAT功能向适当的目标主机路由消息。
上述查询可能是DNS查询。代理可截收来自第一主机的DNS查询。代理可执行检索与第二主机关联的IP地址和HIT的步骤。
代理可从外部DNS服务器检索与第二主机关联的IP地址和HIT。或者代理可从内部DNS服务器检索与第二主机关联的IP地址和HIT。
根据本发明的第二方面,提供一种包括不是HIP使能的第一主机、HIP使能的第二主机以及HIP代理的通信系统,其中:第一主机包括用于发送查询以解析第二主机的IP地址的部件;代理包括用于响应所述查询而检索与第二主机关联的IP地址和HIT、用于返回与第二主机关联的替代IP地址、用于维护替代IP地址、所检索IP地址和所检索HIT之间的映射、以及用于从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时采用映射来协商代理与第二主机之间的安全HIP连接的部件。
根据本发明的第三方面,提供一种由HIP代理使用的、经由代理至少部分保护不是HIP使能的第一主机与HIP使能的第二主机之间的通信的方法,该方法包括:从第一主机接收查询以解析第二主机的IP地址;响应所述查询而检索与第二主机关联的IP地址和HIT,返回与第二主机关联的替代IP地址,并且维护替代IP地址、所检索IP地址和所检索HIT之间的映射;以及从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时,采用映射来协商代理与第二主机之间的安全HIP连接。
根据本发明的第四方面,提供一种用于经由代理至少部分保护不是HIP使能的第一主机与HIP使能的第二主机之间的通信的HIP代理,包括:用于从第一主机接收查询以解析第二主机的IP地址的部件;用于响应所述查询而检索与第二主机关联的IP地址和HIT、返回与第二主机关联的替代IP地址并且维护替代IP地址、所检索IP地址和所检索HIT之间的映射的部件;以及用于从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时采用映射来协商代理与第二主机之间的安全HIP连接的部件。
根据本发明的第五方面,提供一种操作程序,它在HIP代理上运行时,使代理执行根据本发明的第三方面的方法。
根据本发明的第六方面,提供一种操作程序,它在加载到HIP代理时,使代理成为根据本发明的第四方面的一个代理。
操作程序可在可能是传输媒体或存储媒体的承载媒体中承载。
附图说明
前面所述的图1说明主机标识协议中的各个层;
同样是前面所述的图2说明HIP协议中的四方握手的操作;
同样是前面所述的图3说明HIP中的逻辑和实际分组结构;
同样是前面所述的图4说明IPv6与IPv4之间的切换;
同样是前面所述的图5是示意图,说明经由HIP代理为遗留主机与HIP节点之间的通信建立的一般网络;
图6是消息交换图,示意说明根据本发明的一个实施例、至少部分保护遗留主机与HIP主机之间的通信的方法;
图7提供TCP、UDP、ESP和HIP中使用的分组结构的更详细示意说明;以及
图8至图12是消息交换图,更详细说明图6的方法步骤。
具体实施方式
现在,在以上参照图5所述的系统的一般框架中描述本发明的一个实施例。本发明的一个实施例提供一种经由HIP代理16至少部分保护不是HIP使能的遗留主机12与HIP使能的HIP主机14之间的通信的方法。现在将参照图6的消息交换图来描述本发明的一个实施例的操作。图6所示的步骤还在图8至图12中更详细地说明,图7则提供TCP、UDP(用户数据报协议)、ESP和HIP中使用的分组结构的更详细概览。
考虑其中的遗留主机12希望发起它本身与HIP主机14之间的通信的情况。遗留主机12知道HIP主机14的域名是“hip.foo.com”,以及作为第一步骤(在图6和图8中标记为“A”),遗留主机12向其通常的DNS服务器发送域名系统(DNS)查询,以便解析HIP主机14的IP地址。但是,不是在DNS服务器上直接接收,在本发明的一个实施例中,DNS查询由HIP代理16截收,HIP代理16本身向DNS服务器24-1发送DNS查询(这在图6和图8中标记为“B”)。
响应这个DNS查询,DNS服务器24-1与“foo.com”DNS服务器24-2进行通信,以便检索与HIP主机14关联的IP地址和HIT(在图6和图9中标记为“C”)。由于在这个实例中HIP主机14使用转发代理(FA)26作为上述“归属地址”,因此,DNS查询所检索的IP地址和HIT是转发代理26的IP地址3ffe:200::1(IPfa)和HIP主机14的HIT、在这里表示为HIThip。注意,情况不一定始终是要求若干DNS服务器来解析IP地址;如果从第一服务器找到信息,则不需要使用附加DNS服务器。
由于HIP代理知道发送DNS查询的发起主机不是HIP使能的,因此HIP代理16没有返回DNS信息{HIThip;IPfa}。HIP代理16而是产生替代IP地址IPres,在本例中为3ffe:401::5。HIP代理16维护从DNS服务器24所检索的HIT、从DNS服务器24所检索的IP地址以及由HIP代理16所产生的替代IP地址之间的映射{HIThip;IPfa;IPres}。要求这种映射来处理后续通信的路由选择,下面将会进行描述。替代IP地址IPres的产生以及映射的维护在图6和图9中标记为“D”。
同时,HIP代理16向具有替代IP地址IPres的遗留主机12回送DNS响应,这在图6和图9中标记为“E”。替代IP地址IPres将由遗留主机12用作它向HIP主机14发出的所有后续通信的目标地址。
当遗留主机12准备发起到HIP主机14的连接时,它发送具有替代IP地址IPres作为它的目标地址的会话发起消息TCP SYN;这在图6和图10中标记为“F”。由于替代IP地址IPres由HIP代理16产生并保存在映射M中,因此,HIP代理16识别来自遗留主机12的发起消息的目标地址(在图10中标记为“F.1”),并且随后负责建立和处理遗留主机12与HIP主机14之间的通信。
HIP代理16则采用映射M来协商HIP代理16与HIP主机14之间的安全HIP连接(安全关联)。在HIP代理16与HIP主机14之间执行的协商与以上参照图2所述的四方握手极为相似,本例中的发起方是HIP代理16,以及应答方是HIP主机14。HIP协商的开始在图6和图10中标记为“G”。应当注意,在本文中使用术语“安全关联”的情况下,应当理解为包括以下情况:在两个主机之间创建一对安全关联,一个安全关联处理一个方向的业务,另一个则处理另一个方向的业务;在逻辑上,两个主机之间存在一个SA管线,而在物理上,存在两个SA。
利用映射M,HIP代理16确定I1分组应当发送到IP地址IPfa,它是HIP主机14所使用的转发代理26的IP地址。I1分组包含参与协商的节点的HIT,即HIThip和HITproxy。这种映射在图6和图10中标记为“H”。当I1分组由转发代理26接收时,它执行从HIThip到实际IP地址IPhip的映射,并且执行它向IPhip所定位的HIP主机14转发所接收I1分组的普通功能。
在HIP主机14上接收到I1分组之后,四方握手协商的其余部分如以上参照图2所述通过发送R1、I2和R2分组来形成。在这个协商已经完成之后,HIP代理16与HIP主机14之间的安全关联22已经建立,以及这在图6和图10中标记为“I”。
这时,安全关联22已经被建立,HIP代理16通过向HIP主机14发送TCP SYN发起消息继续进行。所执行的映射和网络地址转换(NAT)功能在图11的底部更详细地说明,并且在图中标记为“L1”。HIP主机14采用送往在本例中为3ffe:300::1的HIP代理16的IP地址的TCP ACK消息进行响应,这两个步骤在图6和图11中标记为“J”。最后,HIP代理16向其IP地址3ffe:400::50上的遗留主机12返回TCP ACK消息以完成TCP发起过程;这在图6和图12中标记为“K”。要注意,在图6和图11中标记为“J”、从HIP主机14到HIP代理16的TCP ACK消息包含HIP代理16的IP地址而不是遗留主机12的IP地址来作为它的目标IP地址。现在描述HIP代理16随后了解如何向正确的遗留主机12发送TCP ACK消息的方法。
在HIP代理16与HIP节点14之间仅建立一个安全关联22,以及这个安全关联22由与相同HIP主机14进行通信的多个遗留主机使用。上述映射M与安全关联而不是与特定遗留主机、如遗留主机12相关联。由于安全关联22及其相关映射M必须由多个遗留主机使用,因此,映射M不能包括与特定遗留主机相关的信息、例如最初负责建立安全关联22的遗留主机的IP地址。而是HIP代理中的网络地址转换(NAT)功能处理分组到正确遗留主机IP地址的映射。
为此,对于普通NAT功能,使用上层端口号。对于经由HIP代理16的HIP主机14与遗留主机12之间的业务,IP分组从HIP主机14到达HIP代理16时的源地址最初为HIP主机14的IP地址。替代IP地址IPhip从与安全关联22相关联的映射M中检索并被替换作为IP分组的源地址。IP分组则切换到HIP代理16的NAT功能,以及采用源IP地址信息和端口号,NAT功能知道IP分组要发送到的实际遗留主机12。NAT功能把IP地址以及端口号用于地址映射目的。端口号不能单独使用,因为两个遗留主机可能使用相同的源端口号。标准化NAT功能还执行端口映射,因为不然的话,如果两个主机采用相同的源端口号对相同的外部节点进行通信,则地址转换不会起作用。当执行NAT映射时,还查找协议,因为UDP和TCP可能使用相同的端口号。
例如,对于与收听端口10000的外部HIP主机14进行通信的两个遗留主机LH1和LH2:
LH1:源端口5000,目标端口10000,源IP IPlh1,目标IP IPres
LH2:源端口5000,目标端口10000,源IP IPlh2,目标IP IPres
HIP代理16对于出局(HIP主机界限)连接如下进行映射:
LH1:新源5001,目标端口10000,源IP IPproxy,目标IP IPhip
LH2:新源5002,目标端口10000,源IP IPproxy,目标IP IPhip
因此,以上所述只是标准NAT功能,但目标地址还由HIP代理16从IPres改变为IPhip。
HIP主机14查看来自具有相同IP地址的HIP代理16的两个分开的连接。对于来自HIP主机14的入局(LH界限)业务,HIP代理16这时可进行映射:
目标IPproxy,源IPhip,目标端口5001,源端口10000目标IPlh1;源IPres;目标端口5000;源端口10000
目标IPproxy,源IPhip,目标端口5002,源端口10000目标IPlh2;源IPres;目标端口5000;源端口10000
用于入局分组的NAT功能还在图12的底部更详细说明并标记为“K”。
一旦HIP安全关联22在HIP代理16与HIP主机14之间被建立,遗留主机12与HIP主机14之间的后续通信没有经过转发代理26,它仅用来转发初始I1分组,如上所述。因此,对于已建立安全关联22,在与安全关联22相关联的映射M中不再需要转发代理的IP地址(IPfa)。而是需要HIP主机14的当前位置信息(IP地址IPhip)。
因此,转发代理26的IP地址(IPfa)在映射M中可采用HIP主机14的IP地址(IPhip)来取代。换言之,映射M从{HIThip;IPfa;IPres}改变为{HIThip;IPhip;IPres}。这在图10中由“H.1”表示。这样,从遗留主机12发送的具有替代IP地址IPres作为其目标地址的任何后续分组可由HIP代理16采用已修改映射M映射到安全关联22上,并直接转发给位置IPhip上的HIP主机14。源和目标IP地址在HIP代理16上从{dst=IPres;src=IPlh}映射到{dst=IPhip;src=IPproxy},其中的映射取自已修改映射M。HIP代理16在HIP协商期间接收来自R1分组的HIP主机14的实际IP地址IPhip。
虽然以上描述了其中的HIP主机14位于转发代理26之后的本发明的一个实施例,但是本发明在没有转发代理由HIP主机14使用时也适用。例如,如果HIP主机14(具有域名“hip.foo.com”)具有固定IP地址IPfixed但没有转发代理,则DNS查询将返回HIP主机14的固定IP地址IPfixed和HIThip。当遗留主机12尝试解析“hip.foo.com”的IP地址时,HIP代理16将截收这个DNS查询,并亲自从DNS中检索IPfixed和HIThip。HIP代理16一般无法知道从DNS服务器24所返回的IP地址是HIP主机14的实际IP地址而不是HIP主机14所使用的转发代理的IP地址,因此它产生如上所述的替代IP地址IPres,并且如前所述向遗留主机12返回这个替代IP地址。HIP代理16维护映射{HIThip;IPfixed;IPres},收听IPres的TCP SYN分组,在接收到分组时,它根据来自映射的{HIThip;IPfixed}与HIP主机14进行协商。一旦安全关联被建立,送往IPres的分组由HIP代理16拾取,并采用映射转发给{HIThip;IPfixed}。这是与以上所述大致相同的过程,只不过IPfa从未存储在映射中,因此从未被替换。相反,映射从一开始就包括HIP主机14的IP地址。
如果可能让HIP代理16确定从DNS服务器24所检索的IP地址是HIP主机14的实际IP地址,则对于产生替代IP地址的一个备选方案是仅仅向遗留主机12返回HIP主机14的实际IP地址。这将出现遗留主机12与HIP主机14之间的通信可能完全绕过HIP代理16的可能性,因为遗留主机12具有HIP主机14的实际IP地址。如果情况是这样,则通信没有通过HIP协议来保护,但是通信根据标准TCP/IP仍然是可行的。但是,在小网络中,通过从遗留主机12到HIP代理16的一个出局路由,让HIP代理16用作遗留主机12与HIP主机14之间的安全网关仍然是可行的,其中的安全关联的建立与前面所述大致相同,但是不需要替代IP地址与HIP主机14的实际IP地址之间的映射。因此,在后一种情况中,映射M仅包括HIP主机14的IP地址IPhip以及HIP主机14的HIT、HIThip。
虽然以上描述了HIP代理16向外部DNS服务器24发送DNS查询,但是,HIP代理16本身也可能提供DNS服务器的功能而无需外部DNS查询也是可行的。
大家会理解,遗留主机12、HIP代理16和HIP主机14的一个或多个的操作可通过在装置上工作的程序来控制。这样一种操作程序可存储在计算机可读媒体中,或者例如可能通过信号、例如从因特网网站提供的可下载数据信号来体现。所附权利要求将被认为本身涵盖操作程序、或作为载体上的记录、或作为信号或者采取其它任何形式。
本领域的技术人员会理解,本发明的实施例不一定限制到各层、例如传输层或网络层中的任何特定协议,并且将在HIP框架中运行,而不管围绕那个框架采用什么寻址或传输协议。
Claims (25)
1.一种经由主机标识协议HIP代理至少部分保护不是HIP使能的第一主机与HIP使能的第二主机之间的通信的方法,所述方法包括:
从第一主机发送查询以解析第二主机的因特网协议IP地址;
响应所述查询,检索与第二主机关联的IP地址和主机标识标志HIT,从代理返回与第二主机关联的替代IP地址,以及在代理上维护替代IP地址、所检索IP地址和所检索HIT之间的映射;以及
在代理上从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时,采用映射来协商代理与第二主机之间的安全HIP连接。
2.如权利要求1所述的方法,其特征在于,包括:根据会话发起消息中的替代IP地址从映射中查找所检索IP地址和所检索HIT,以及执行HIP协商,采用所检索IP地址和所检索HIT来定位和标识应答方,以及采用代理的IP地址和HIT来定位和标识发起方。
3.如权利要求1或2所述的方法,其特征在于,所检索IP地址是第二主机使用的转发代理的IP地址,并且还包括通过向转发代理发送初始HIP协商分组来发起代理与第二主机之间的HIP协商。
4.如权利要求3所述的方法,其特征在于,还包括:在HIP协商期间在代理上接收到第二主机的实际IP地址之后,在代理所维护的映射中包含实际IP地址。
5.如权利要求4所述的方法,其特征在于,在代理上接收到实际IP地址之后,所检索IP地址在映射中由实际IP地址取代。
6.如权利要求1或2所述的方法,其特征在于,所检索IP地址是第二主机的实际IP地址。
7.如以上任一权利要求所述的方法,其特征在于,还包括:对于在已经建立安全HIP连接之后在代理上所接收的包含替代IP地址作为它的目标地址的出局消息,采用映射通过安全HIP连接向第二主机路由所述消息。
8.如从属于权利要求4时的权利要求7所述的方法,其特征在于,包括:根据出局消息中的替代IP地址从映射中查找实际IP地址和所检索HIT,以及向第二主机路由出局消息,采用实际IP地址和所检索HIT来定位和标识消息的目的地,以及采用代理的IP地址和HIT来定位和标识消息的源。
9.如以上任一权利要求所述的方法,其特征在于,还包括:通过经由安全HIP连接从代理向第二主机转发会话发起消息,经由安全HIP连接采用会话确认消息从第二主机向代理进行应答,并且向第一主机路由会话确认消息,来完成第一与第二主机之间的通信的建立。
10.如权利要求9所述的方法,其特征在于,所述会话确认消息是TCP ACK消息。
11.如以上任一权利要求所述的方法,其特征在于,所述会话发起消息是TCP SYN消息。
12.如以上任一权利要求所述的方法,其特征在于,还包括:对于在代理上通过所建立的安全HIP连接从第二主机接收的入局消息,采用代理的NAT功能向适当的目标主机路由所述消息。
13.如以上任一权利要求所述的方法,其特征在于,所述查询是DNS查询。
14.如以上任一权利要求所述的方法,其特征在于,所述代理执行检索与第二主机关联的IP地址和HIT的步骤。
15.如权利要求14所述的方法,其特征在于,所述代理从外部DNS服务器检索与第二主机关联的IP地址和HIT。
16.如权利要求14所述的方法,其特征在于,所述代理从内部DNS服务器检索与第二主机关联的IP地址和HIT。
17.如以上任一权利要求所述的方法,其特征在于,所述代理截收来自第一主机的DNS查询。
18.一种包括不是主机标识协议HIP使能的第一主机、HIP使能的第二主机以及HIP代理的通信系统,其中:
第一主机包括用于发送查询以解析第二主机的因特网协议IP地址的部件;
所述代理包括用于响应所述查询而检索与第二主机关联的IP地址和主机标识标志HIT,用于返回与第二主机关联的替代IP地址,用于维护替代IP地址、所检索IP地址和所检索HIT之间的映射,以及用于从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时采用映射来协商代理与第二主机之间的安全HIP连接的部件。
19.一种由主机标识协议HIP代理使用的、经由代理至少部分保护不是HIP使能的第一主机与HIP使能的第二主机之间的通信的方法,所述方法包括:
从第一主机接收查询以解析第二主机的因特网协议IP地址;
响应所述查询,检索与第二主机关联的IP地址和主机标识标志HIT,返回与第二主机关联的替代IP地址,以及维护替代IP地址、所检索IP地址和所检索HIT之间的映射;以及
从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时,采用映射来协商代理与第二主机之间的安全HIP连接。
20.一种主机标识协议HIP代理,用于经由代理至少部分保护不是HIP使能的第一主机与HIP使能的第二主机之间的通信,包括:
用于从第一主机接收查询以解析第二主机的因特网协议IP地址的部件;
用于响应所述查询而检索与第二主机关联的IP地址和主机标识标志HIT、返回与第二主机关联的替代IP地址以及维护替代IP地址、所检索IP地址和所检索HIT之间的映射的部件;以及
用于从第一主机接收到包含替代IP地址作为它的目标地址的会话发起消息时采用映射来协商代理与第二主机之间的安全HIP连接的部件。
21.一种操作程序,在HIP代理上运行时,使所述代理执行如权利要求19所述的方法。
22.一种操作程序,在加载到HIP代理中时,使所述代理成为如权利要求20所述的代理。
23.如权利要求21或22所述的操作程序,其特征在于,承载于承载媒体上。
24.如权利要求23所述的操作程序,其特征在于,所述承载媒体是传输媒体。
25.如权利要求23所述的操作程序,其特征在于,所述承载媒体是存储媒体。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2004/050129 WO2005081466A1 (en) | 2004-02-13 | 2004-02-13 | Addressing method and method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1938999A true CN1938999A (zh) | 2007-03-28 |
| CN1938999B CN1938999B (zh) | 2010-09-01 |
Family
ID=34878414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800426884A Expired - Fee Related CN1938999B (zh) | 2004-02-13 | 2004-02-13 | 寻址方法及建立遗留与主机标识协议节点之间的主机标识协议连接的方法和设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7827313B2 (zh) |
| EP (1) | EP1714434B1 (zh) |
| JP (1) | JP4579934B2 (zh) |
| CN (1) | CN1938999B (zh) |
| AT (1) | ATE366017T1 (zh) |
| DE (1) | DE602004007301T2 (zh) |
| ES (1) | ES2287697T3 (zh) |
| WO (1) | WO2005081466A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009056011A1 (en) * | 2007-11-02 | 2009-05-07 | Huawei Technologies Co., Ltd. | A generating and distributing method of a host identity tag and the device and the network |
| WO2010099742A1 (zh) * | 2009-03-04 | 2010-09-10 | 华为技术有限公司 | 一种主机通信的方法、系统和设备 |
| CN101958910A (zh) * | 2010-10-18 | 2011-01-26 | 清华大学 | 基于双代理的一体化标识网络个人通信移动管理方法 |
| WO2011032449A1 (zh) * | 2009-09-17 | 2011-03-24 | 中兴通讯股份有限公司 | 网络互通的实现方法和系统 |
| CN101383758B (zh) * | 2007-09-07 | 2011-04-20 | 华为技术有限公司 | 多地址空间移动网络架构、路由器及数据发送方法 |
| CN102223353A (zh) * | 2010-04-14 | 2011-10-19 | 华为技术有限公司 | 主机标识协议安全通道复用方法及装置 |
| WO2011147265A3 (en) * | 2011-02-28 | 2012-01-26 | Huawei Technologies Co., Ltd. | System and method for mobility management in a wireless communications system |
| WO2012055112A1 (zh) * | 2010-10-29 | 2012-05-03 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1939000B (zh) * | 2004-04-15 | 2011-01-12 | 艾利森电话股份有限公司 | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 |
| GB2423448B (en) * | 2005-02-18 | 2007-01-10 | Ericsson Telefon Ab L M | Host identity protocol method and apparatus |
| CN101233731B (zh) * | 2005-05-18 | 2011-02-23 | 99有限公司 | 动态地址映射 |
| GB2426672B (en) * | 2005-05-27 | 2009-12-16 | Ericsson Telefon Ab L M | Host identity protocol method and apparatus |
| ATE433250T1 (de) * | 2005-06-17 | 2009-06-15 | Ericsson Telefon Ab L M | Verfahren und vorrichtung für das host-identitäts-protokoll |
| WO2007050244A2 (en) | 2005-10-27 | 2007-05-03 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
| GB2442044B8 (en) * | 2006-05-11 | 2011-02-23 | Ericsson Telefon Ab L M | Addressing and routing mechanism for web server clusters. |
| GB2449118A (en) * | 2007-05-11 | 2008-11-12 | Ericsson Telefon Ab L M | Host Identity Protocol Rendezvous Servers which store information about nodes connected to other servers and forward address requests |
| CN101335747B (zh) * | 2007-07-01 | 2012-10-03 | 华为技术有限公司 | 通信地址通知、探索及通信检测、恢复方法及其装置 |
| CN101350807B (zh) * | 2007-07-20 | 2012-04-04 | 华为技术有限公司 | 多地址空间移动网络架构、主机信息注册及数据发送方法 |
| GB2454645B (en) * | 2007-08-31 | 2012-05-09 | Ericsson Telefon Ab L M | Location update of a mobile node |
| WO2009049663A1 (en) * | 2007-10-15 | 2009-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Provisioning mobility services to legacy terminals |
| US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
| WO2010088957A1 (en) * | 2009-02-05 | 2010-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Host identity protocol server address configuration |
| CN102025590B (zh) * | 2009-09-18 | 2012-07-18 | 中兴通讯股份有限公司 | 新网与互联网互通的实现方法和系统 |
| CN102036215B (zh) * | 2009-09-25 | 2013-05-08 | 中兴通讯股份有限公司 | 实现网间漫游的方法、系统及查询和网络附着方法及系统 |
| US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
| US8826438B2 (en) | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| CN102238059B (zh) | 2010-04-20 | 2015-05-13 | 中兴通讯股份有限公司 | 数据报文处理方法、系统及接入服务节点 |
| US9516058B2 (en) | 2010-08-10 | 2016-12-06 | Damballa, Inc. | Method and system for determining whether domain names are legitimate or malicious |
| CN101997875B (zh) * | 2010-10-29 | 2013-05-29 | 北京大学 | 一种安全的多方网络通信平台及其构建方法、通信方法 |
| US8683019B1 (en) * | 2011-01-25 | 2014-03-25 | Sprint Communications Company L.P. | Enabling external access to a private-network host |
| US8631489B2 (en) | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
| WO2012122709A1 (zh) * | 2011-03-16 | 2012-09-20 | 中兴通讯股份有限公司 | 身份位置分离网络与互联网的互通方法及互通网络 |
| US8315266B1 (en) * | 2012-03-02 | 2012-11-20 | Google Inc. | Extending a local area network |
| CN103369519B (zh) * | 2012-04-09 | 2016-09-28 | 腾讯科技(深圳)有限公司 | 获取终端号码的归属地信息的方法和终端 |
| US10547674B2 (en) | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
| US10084806B2 (en) | 2012-08-31 | 2018-09-25 | Damballa, Inc. | Traffic simulation to identify malicious activity |
| US9680861B2 (en) | 2012-08-31 | 2017-06-13 | Damballa, Inc. | Historical analysis to identify malicious activity |
| US9166994B2 (en) | 2012-08-31 | 2015-10-20 | Damballa, Inc. | Automation discovery to identify malicious activity |
| US9894088B2 (en) | 2012-08-31 | 2018-02-13 | Damballa, Inc. | Data mining to identify malicious activity |
| US9571511B2 (en) | 2013-06-14 | 2017-02-14 | Damballa, Inc. | Systems and methods for traffic classification |
| US9912644B2 (en) * | 2014-08-05 | 2018-03-06 | Fireeye, Inc. | System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology |
| US9930065B2 (en) | 2015-03-25 | 2018-03-27 | University Of Georgia Research Foundation, Inc. | Measuring, categorizing, and/or mitigating malware distribution paths |
| US10893126B2 (en) * | 2018-03-29 | 2021-01-12 | Siemens Aktiengesellschaft | Method and apparatus for protocol translation and exchange of selectable, contextualized data between a server using a next-generation protocol and a legacy server |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9303595D0 (en) * | 1993-02-23 | 1993-04-07 | Int Computers Ltd | Licence management mechanism for a computer system |
| JP3344238B2 (ja) * | 1996-11-01 | 2002-11-11 | 株式会社日立製作所 | IPv4−IPv6通信方法およびIPv4−IPv6変換装置 |
| EP0840482B1 (en) | 1996-11-01 | 2007-04-25 | Hitachi, Ltd. | Communicating method between IPv4 terminal and IPv6 terminal and IPv4-IPv6 converting apparatus |
| US6839323B1 (en) * | 2000-05-15 | 2005-01-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of monitoring calls in an internet protocol (IP)-based network |
| US20020194378A1 (en) * | 2001-04-05 | 2002-12-19 | George Foti | System and method of hiding an internet protocol (IP) address of an IP terminal during a multimedia session |
| NO20013497D0 (no) * | 2001-07-13 | 2001-07-13 | Ericsson Telefon Ab L M | Dynamisk distribuering av deltagere i sentraliserte IP- telefonkonferanser |
| US7028311B2 (en) * | 2002-01-04 | 2006-04-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Communications node architecture and method for providing control functions in a telecommunications network |
| US7340535B1 (en) * | 2002-06-04 | 2008-03-04 | Fortinet, Inc. | System and method for controlling routing in a virtual router system |
| US7532614B2 (en) * | 2002-09-24 | 2009-05-12 | Siemens Communications, Inc. | Methods and apparatus for facilitating remote communication with an IP network |
-
2004
- 2004-02-13 CN CN2004800426884A patent/CN1938999B/zh not_active Expired - Fee Related
- 2004-02-13 EP EP04710878A patent/EP1714434B1/en not_active Expired - Lifetime
- 2004-02-13 US US10/589,238 patent/US7827313B2/en not_active Expired - Fee Related
- 2004-02-13 DE DE602004007301T patent/DE602004007301T2/de not_active Expired - Lifetime
- 2004-02-13 WO PCT/EP2004/050129 patent/WO2005081466A1/en active IP Right Grant
- 2004-02-13 ES ES04710878T patent/ES2287697T3/es not_active Expired - Lifetime
- 2004-02-13 AT AT04710878T patent/ATE366017T1/de not_active IP Right Cessation
- 2004-02-13 JP JP2006552476A patent/JP4579934B2/ja not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383758B (zh) * | 2007-09-07 | 2011-04-20 | 华为技术有限公司 | 多地址空间移动网络架构、路由器及数据发送方法 |
| CN101425919B (zh) * | 2007-11-02 | 2012-06-06 | 华为技术有限公司 | 主机标识标签的生成、分配方法和设备、网络 |
| WO2009056011A1 (en) * | 2007-11-02 | 2009-05-07 | Huawei Technologies Co., Ltd. | A generating and distributing method of a host identity tag and the device and the network |
| WO2010099742A1 (zh) * | 2009-03-04 | 2010-09-10 | 华为技术有限公司 | 一种主机通信的方法、系统和设备 |
| CN101827011B (zh) * | 2009-03-04 | 2013-03-27 | 华为技术有限公司 | 一种主机通信的方法、系统和设备 |
| WO2011032449A1 (zh) * | 2009-09-17 | 2011-03-24 | 中兴通讯股份有限公司 | 网络互通的实现方法和系统 |
| US8724630B2 (en) | 2009-09-17 | 2014-05-13 | Zte Corporation | Method and system for implementing network intercommunication |
| US8923272B2 (en) | 2010-04-14 | 2014-12-30 | Huawei Technologies Co., Ltd. | Method and apparatus for multiplexing a host identity protocol security channel |
| CN102223353A (zh) * | 2010-04-14 | 2011-10-19 | 华为技术有限公司 | 主机标识协议安全通道复用方法及装置 |
| CN101958910B (zh) * | 2010-10-18 | 2013-05-22 | 清华大学 | 基于双代理的一体化标识网络个人通信移动管理方法 |
| CN101958910A (zh) * | 2010-10-18 | 2011-01-26 | 清华大学 | 基于双代理的一体化标识网络个人通信移动管理方法 |
| WO2012055112A1 (zh) * | 2010-10-29 | 2012-05-03 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
| CN102714617A (zh) * | 2010-10-29 | 2012-10-03 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
| CN102714617B (zh) * | 2010-10-29 | 2015-10-21 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
| WO2011147265A3 (en) * | 2011-02-28 | 2012-01-26 | Huawei Technologies Co., Ltd. | System and method for mobility management in a wireless communications system |
| CN103385011A (zh) * | 2011-02-28 | 2013-11-06 | 华为技术有限公司 | 无线通信系统中移动性管理的系统和方法 |
| US9021104B2 (en) | 2011-02-28 | 2015-04-28 | Futurewei Technologies, Inc. | System and method for mobility management in a wireless communications system |
| CN103385011B (zh) * | 2011-02-28 | 2017-07-07 | 华为技术有限公司 | 无线通信系统中移动性管理的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE602004007301T2 (de) | 2008-02-28 |
| CN1938999B (zh) | 2010-09-01 |
| ATE366017T1 (de) | 2007-07-15 |
| DE602004007301D1 (de) | 2007-08-09 |
| JP2007522744A (ja) | 2007-08-09 |
| ES2287697T3 (es) | 2007-12-16 |
| US7827313B2 (en) | 2010-11-02 |
| EP1714434B1 (en) | 2007-06-27 |
| JP4579934B2 (ja) | 2010-11-10 |
| US20070274312A1 (en) | 2007-11-29 |
| EP1714434A1 (en) | 2006-10-25 |
| WO2005081466A1 (en) | 2005-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1938999B (zh) | 寻址方法及建立遗留与主机标识协议节点之间的主机标识协议连接的方法和设备 | |
| CN1939000B (zh) | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 | |
| CN101444064B (zh) | 用于web服务器集群的寻址和路由机制 | |
| CN101385315B (zh) | 使用本地网络的私用ip地址的通信 | |
| EP1340337B1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
| EP1884102B1 (en) | Host identity protocol method and apparatus | |
| CA2562912A1 (en) | System and method for automatically initiating and dynamically establishing secure internet connections between a fire-walled server and a fire-walled client | |
| Jokela et al. | Host Identity Protocol: Achieving IPv4 œ IPv6 handovers without tunneling | |
| Jokela et al. | Host identity protocol-extended abstract | |
| Pierrel et al. | A policy system for simultaneous multiaccess with host identity protocol | |
| Komu et al. | Basic host identity protocol (HIP) extensions for traversal of network address translators | |
| Ylitalo | Secure mobility at multiple granularity levels over heterogeneous datacom networks | |
| Sadio et al. | Improving security and mobility for remote access: a wireless sensor network case | |
| Wilterdink | Host Identity Protocol: A state of the art research | |
| Nikander et al. | Host Identity Protocol (HIP): an overview | |
| Gowri et al. | Host Identity Protocol | |
| Savola | Mobility support in RADIUS and Diameter |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100901 Termination date: 20150213 |
|
| EXPY | Termination of patent right or utility model |