WO2006097031A1

WO2006097031A1 - Procede de transmission de message dans le reseau du protocole internet mobile

Info

Publication number: WO2006097031A1
Application number: PCT/CN2006/000238
Authority: WO
Inventors: Hongke Zhang; Sidong Zhang; Shen Yang; Wei Su; Yan Ren; Zuzhou Zheng; Yajuan Qin; Shuai Gao; Jianglin Wang; Ying Liu; Fuyou Miao
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2005-03-15
Filing date: 2006-02-20
Publication date: 2006-09-21
Also published as: ATE497334T1; EP1853031A1; CN100414929C; EP1853031B1; CN1835474A; US20080069009A1; EP1853031A4; US8015603B2; DE602006019827D1

Description

一种移动互联网协议网络中的报文传送方法技术领域

本发明涉及移动互联网协议（MIP )技术，尤其涉及一种移动互联网协议网络中的报文传送方法。发明背景

目前，随着硬件技术水平的不断提高，笔记本电脑、被称为掌上电脑的个人数字助理（PDA ) 以及移动电话等移动终端设备的使用越来越普及；另外，由于互联网（Internet ) 的飞速发展，网絡不仅要为用户继续提供已有的数据业务、多媒体音视频业务等，还要为使用移动终端设备的移动用户提供无线互联网接入业务。为了实现移动节点在互联网协议（IP )网络中的可移动性， MIPv6 协议应运而生。

参见图 1，在 MIPv6网络中，主要包括移动节点、通信对端以及家乡代理等网络实体。其中，移动节点是指一个移动终端设备；通信对端是指与移动节点进行通信的节点，它既可以是移动的，也可以是固定的；家乡代理是运行在移动节点的家乡网络链路上的路由器，它能够从家乡链路上截获发送给移动节点的报文，并将所截获的报文转发给移动节点。在 MIPv6网络中，每个移动节点都具有一个被称为是家乡地址的永久 IP地址，家乡地址不随移动节点的位置改变而发生变化；另外，当移动节点处于外地网络时，还具有一个转交地址，即移动节点为标识自身所处的位置而使用的临时地址，转交地址随着移动节点的位置改变而发生变化。

为了能够实现移动节点与通信对端之间的互通，家乡地址与移动节点当前所使用的转交地址之间要进行绑定，并且在转交地址发生改变时，重新建立家乡地址与当前转交地址之间的绑定关系。上述家乡地址与转交地址之间的绑定通过协议规定的绑定更新过程得以实现。参见图 2, 现有的绑定更新过程包括以下步據：

步骤 201. 移动节点向家乡代理发送绑定更新报文（BU ), 对家乡地址与当前的转交地址进行绑定。

本步骤的 BU报文中携带了以下信元：

1.序列号（seq# ): 家乡代理使用序列号标识 BU的顺序，移动节点根据序列号对发出的 BU与接收到的绑定更新确认报文（BA )进行配对。

2. 生存时间（Lifetime ): 表明该 BU的有效时间，即当前时间与该 BU的失效时间之间的差值。如果生存时间为 0, 则家乡代理将删除该 BU所对应的绑定。

3. 更新转交地址选项（Alternate - of Address option ): 表明所要更新的转交地址。尽管通常情况下， BU 的源地址即为所要更新的转交地址，但是由于该源地址不受 IPsec协议的保护，则容易发生因受到攻击而被篡改的情况，因此 MIPv6协议通过本处的更新转交地址选项，将转交地址携带于 BU中，以受到 IPsec协议的保护。

步骤 202. 家乡代理向移动节点返回 BA报文，指明家乡代理对该 BA所对应的 BU的接受情况。 . 本步骤的 BA消息携带了以下信元：

1. 状态（Status ): 表明家乡代理对该 BA所对应的 BU的处理，例如，状态为 0表示家乡代理接受了该 BA对应的 BU所请求的绑定更新。

2. seq#: 用以标识相对应的 BU和 BA。

3. Lifetime: 家乡代理通过 BA中的 Lifetime来将当前绑定所剩余的有效时间通知给移动节点。

4. 绑定更新建议选项（Binding Refresh Advice option ): 家乡代理利用该选项来向移动节点指明需要再次发送 BU以便刷新绑定的时间，绑定更新建议选项中所携带的时间值通常小于 Lifetime的数值。

通过上述步骤 201至 202, 移动节点与家乡代理通过交互，完成了对家乡地址和当前转交地址之间的绑定更新。并且，在家乡代理接受了移动节点所提出的绑定更新时，家乡代理在自身记录下该移动节点的家乡地址与当前转交地址的对应关系。

完成绑定更新后，移动节点与通信对端之间通过双向隧道模式或者路由最佳化模式实现报文的交互。其中双向隧道是指通过家乡代理在通信节点和移动节点间建立的数据包隧道。在通信对端不支持 MIPv6、并且移动节点移动到外地网络的情况下，双向隧道模式能够确保移动节点总是能够被访问。路由最佳化是指在移动节点和支持 MIPv6的通信对端间直接交互报文的过程。路由最佳化模式消除了与双向隧道相关联的传输延迟，并能够为具有时间要求的流量业务提供充足的性能，例如语音互联网协议业务（VoIP )等。

参见图 1 , 移动节点和通信对端使用双向隧道模式以及路由最佳化模式实现报文交互的过程如下：

在双向隧道模式下，移动节点和家乡代理之间的报文以内部 IP头和外部 IP 头来标明该报文的地址，上述两个 IP头中均含有源地址和目的地址两个部分。当移动节点向通信对端发送报文时，在移动节点到家乡代理的报文中，其外部 IP头的源地址为移动节点的当前转交地址、目的地址为家乡代理的地址；内部 IP头的源地址为移动节点的家乡地址、目的地址为通信对端的地址。移动节点发出的报文首先根据外部 IP头路由到家乡代理，家乡代理再将外部 IP头去掉，并根据内部 IP头的目的地址，将内部 IP头和该 ^=艮文的其余部分转发给通信对端，从而实现移动节点到通信对端的报文传送。当通信对端向移动节点发送报文时，通信对端发出的报文中只包含一个 IP头，其中的源地址为通信对端的地址，目的地址为移动节点的家乡地址；家乡代理截获该 4艮文后，在原来的 IP头外部再封装一个 IP头，封装的 IP头的源地址是家乡代理的地址、目的地址是移动节点的当前转交地址；而后，经过家乡代理封装后的报文再路由到移动节点，从而实现通信对端到移动节点的拫文传送。至此，完成了移动节点与通信对端在双向隧道模式下的报文交互。在路由最佳化模式下，交互报文之前，移动节点需要在通信对端上注册家乡地址与当前转交地址的绑定关系，此后从通信对端到移动节点的报文以通信对端的地址作为源地址、以移动节点的当前转交地址作为目的地址；并且移动节点到通信对端的报文中将当前的转交地址作为源地址、将通信对端的地址作

5 为目的地址。当通信对端向移动节点发送文时，首先通信对端在自身所保存的绑定关系中进行检索，找到移动节点的当前转交地址；然后，通信对端直接将该报文发送到移动节点的当前转交地址上，使得该报文到达移动节点。当移动节点向通信终端发送报文时，来自于移动节点的报文直接被发送到通信对端上。至此，实现了移动节点与通信对端在路由最佳化模式下的报文交互。

3 目前，信息安全问题越来越受到人们的关注，因此防火墙被广泛的应用于网络的各个环节中。所谓防火墙是指位于多个网络之间、实施网络间访问控制的一组组件的集合。在包含防火墙的网络中，内部网络和外部网絡之间的所有网络数据流均必须经过防火墙，只有符合安全策略的数据流才能够通过防火墙，并且防火墙自身具有较强的抗攻击免疫力。

5 防火墙在工作时，根据报文中的传输控制协议（TCP ) /用户数据报协议

( UDP )部分中所表明的端口号，判断该报文的连接类型，如果该连接是安全的且被允许通过，则防火墙允许该报文穿越，否则，将该报文直接丢弃。

在图 1所示的 MIPv6网络中，如果移动节点与家乡代理之间存在防火墙，则两者之间所有的报文均需经过防火墙的过滤，并且只有防火墙允许穿越的报

) 文，才能够到达目的地；而那些不符合防火墙穿越条件的报文则被防火墙直接丟弃。如表 1所示，采用网絡安全（IPsec )协议封装的移动节点与家乡代理之间的报文包括 IP地址、封装安全载荷协议（ ESP )、 TCP/UDP以及数据（Data ) 等部分。其中 ESP、 TCP/UDP以及 Data部分均是经过 IPsec协议加密的。当不支持 IPsec协议的防火墙接收到上述格式的报文时，由于无法从该报文中获取

；到 TCP/UDP端口号，而无法判断该报文的安全性，则不允许上述 IPsec报文通过。因此不支持 IPsec 的防火墙的存在阻挡了移动节点与家乡代理之间的正常

可见，现有的 MIPv6网络的数据报文传送方法中存在的缺点是：当家乡代理与移动节点之间存在不支持 IPsec协议的防火墙时，移动节点发送给家乡代理的 BU报文将被直接丟弃，家乡代理也由于接收不到 BU报文而无法进行家乡地址与转交地址的绑定更新。在绑定更新失败的情况下，无论采用双向隧道模式还是路由最佳化模式，移动节点与通信对端之间无法实现报文的交互。另夕卜，采用双向隧道模式时，报文的传送路径为：移动节点 -家乡代理-通信对端，或者通信对端 -家乡代理-移动节点，由于家乡代理与移动节点之间存在不支持 IPsec协议的防火墙，则无法正常进行报文的交互。发明内容

有鉴于此，本发明的目的在于提供一种移动互联网协议网络中的报文传送方法，当移动节点与家乡代理之间存在不支持 IPsec协议的防火墙时，移动节点和通信对端能够进行报文的交互。

为实现上述目的，本发明提供了一种 MIP网絡中的报文传送方法，其特征在于，该方法包括以下步骤：

A. 移动节点向家乡代理发送一个只用网络安全 IPsec协议封装的第一防火墙检测报文以及发送另一个用 IPsec协议和用户数据报协议 UDP封装的第二防火墙检测报文；

B. 移动节点根据接收到的来自家乡代理的防火墙检测应答报文，判断所述移动节点与家乡代理之间是否存在阻挡 IPsec报文的防火墙，如果是，则继续执行绑定更新和报文交互过程，并采用 UDP协议封装交互的报文，否则，继续执行绑定更新和报文交互过程。

步骤 B所述判断所述移动节点与家乡代理之间是否存在阻挡 IPsec报文的防火墙的方法为： Bl. 所述移动节点如果确定接收到的防火墙检测应答报文为第一防火墙检测应答报文，则判定所述移动节点与家乡代理之间不存在阻挡 IPsec报文的防火墻；如果确定接收到的防火墙检测应答报文为第二防火墙检测应答报文，则判定所迷移动节点与家乡代理之间存在阻挡 IPsec报文的防火墙。

所述步驟 B1之前，该方法进一步包括：所述家乡代理向移动节点返回第一防火墙检测应答报文时，在所述防火墙检测应答报文中携带与所述第一或第二防火墙检测相同的标识。

步骤 B1中所述确定接收第一防火墙检测应答报文的确定方法为：所述移动节点解析所述接收到的防火墙检测应答报文，提取所述防火墙检测应答报文中携带的标识，并与所述第一防火墙检测报文中携带的标识进行比较，若一致，则确定接收到第一防火墙应答^ ^艮文；否则，确定接收到第二防火墙检测应答报文。

预先设置最大重发次数，则所述步驟 B中进一步包括：

若所述移动节点未接收到所述防火墙检测应答报文，则判断自身发送第一防火墙检测报文和第二防火墙检测报文的次数是否超过最大重发次数，若超过，则结束本报文传送流程；若未超过，则将重发次数加 1 , 返回执行所述步骤 A。

所述第二防火墙检测报文包括： UDP部分，用于携带该报文的 UDP端口号；

所述第二防火墙检测应答报文包括： UDP部分，用于携带该报文的 UDP 端口号。

采用 UDP协议封装报文的方法为：

将所述报文中的传输控制协议 TCP/UDP部分在未加密时所代表的信息保存于 UDP部分中，并插入到所述拫文中。

应用本发明，当移动节点与家乡代理之间存在不支持 IPsec协议的防火墙时，移动节点和通信对端仍能够进行 4艮文的交互。具体而言，本发明具有如下有益效果： 1. 本发明在进行绑定更新和报文交互之前，移动节点向家乡代理发送一个用 UDP协议封装的防火墙检测（FD， Firewall Detection )报文和一个未用 UDP 协议封装的 FD报文，并根据接收到的防火墙检测应答（FDR, Firewall Detection Reply )报文，判断移动节点与家乡代理之间是否存在阻挡 IPsec报文的防火墙，并在存在上述防火墙的情况下，使用 UDP协议对后续的所有报文进行封装，从而保证 MIP网络中的报文传送不会因为防火墙的存在而中断。

2. 本发明只有在确定了移动节点与家乡代理之间存在阻挡 IPsec报文的防火墙时，才用 UDP协议封装报文，而非对所有报文均进行 UDP协议的封装，即能够动态配置 UDP封装，减轻了网络负担，减少网络资源的消耗。附图简要说明

图 1为 MIPv6网络结构示意图；

图 2为现有的 MIP网络中报文传送方法的绑定更新信令流程图；

图 3为本发明的 MIP网络中报文传送方法流程图。实施本发明的方式

为使本发明的目的、技术方案更加清楚明白，以下参照附图并举实施例，对本发明做进一步的详细说明。

本发明为一种 MIP网络中的报文传送方法，其基本思想是：在进行绑定更新之前，移动节点向家乡代理发送两个 FD报文，其中一个 FD报文采用 IPsec 协议加密，另一个 FD报文采用 IPsec协议加密并用 UDP协议封装，移动节点根据接收到的 FDR报文，判断移动节点与家乡代理之间是否存在阻挡 IPsec报文的防火墙，如果是，则执行后续的绑定更新和报文交互过程，并使用 UDP协议封装所有报文；否则，执行后续的绑定更新和报文交互过程。

本发明中，经过 UDP封装的 IPsec报文的格式如表 2所示。

表 2 其中 UDP部分保存的是 TCP/U P部分未加密时所代表的信息。可见，不支持 IPsec的防火墙在接收到经过 UDP协议封装的报文时，由于能够从 UDP 部分获取到该报文的 TCP/UDP端口号，从而能够识别该报文的安全性。因此经过 UDP协议封装的报文不会由于其 TCP UDP部分的加密而无法穿越不支持 IPsec的防火墙。

基于上述思想，本发明在 MIP网络报文传送之前，通过一个经过 UDP封装的 FD报文和一个未经过 UDP协议封装的 FD报文来检测防火墙的存在。

参见图 3 , 本发明 MIP网络中的报文传送方法包括以下步骤：

步骤 301. 移动节点向家乡代理发送第一 FD报文和第二 FD报文，其中第一 FD报文只用 IPsec协议封装，第二 FD报文用 IPsec协议和 UDP协议封装。

本步驟中，当移动节点与家乡代理之间存在不支持 IPsec的防火墙时，经过 UDP封装的第二 FD报文能够穿越该防火墙到达家乡代理，而未用 UDP协议封装的第一 FD报文则被丟弃。并且，为了在后续步驟中便于分辨发出的 FD报文与接收到的 FDR报文间的对应关系，本步骤中的第一和第二 FD报文中均携带有 cookie标识。只有含有相同 cookie标识的 FD和 FDR才能够相互对应。另夕卜，本步驟中用 UDP协议封装的第二 FD报文是指：在未用 UDP协议封装的 FD报文中插入 UDP部分，该 UDP部分携带有该报文的 UDP端口号，以便阻挡 IPsec 报文的防火墙能够进行识别，并允许该报文穿越。

步驟 302 ~ 304. 移动节点判断自身是否接收到 FDR报文，如果是，则执行步骤 305; 否则，判断是否超过最大重发次数，如果超过，则结束本报文传送流程，如果未超过，则将重发次数加 1，并返回执行步驟 301。

家乡代理每收到一个 FD报文，都会向移动节点返回一个 FDR报文，并且接收到用 UDP封装的第二 FD报文时，返回一个用 UDP封装的第二 FDR报文；接收到未用 UDP封装的第一 FD报文时，返回一个未用 UDP封装的笫一 FDR 报文。另夕卜， FDR报文中所携带的 cookie标识与对应的 FD报文中的 cookie标识相同。在网络正常的情况下，移动节点都会接收到 FDR报文；但是，当网絡状况比较恶劣时，步骤 301 中所发出的两个 FD报文均丟失，则家乡代理不会向移动节点返回 FDR报文。

当移动节点接收不到 FDR报文时，可以采用重发 FD报文的方法来达到有效的检测防火墙的目的。为了避免多次重发报文，网络管理者预先设置最大重大次数。只有在重发 FD报文的次数小于等于该最大重发次数时，才将重发次数加 1后，返回执行步骤 301 , 再次发送 FD报文。

步骤 305 ~ 307. 移动节点判断是否接收到与只用 IPsec协议封装的第一 FD 相对应的第一 FDR报文，如果是，则执行后续的绑定更新和报文交互；否则，执行绑定更新和报文交互，并采用 UDP协议封装所有的报文。

此处移动节点判断是否接收到与只用 IPsec协议封装的第一 FD相对应的第一 FDR报文的方法为：移动节点对所接收到的 FDR进行解析，将其中所携带的 cookie标只提取出来，并与发送出去的未用 UDP协议封装的第一 FD报文中包含的 cookie标识相比较，如果一致，则判定接收到了与只用 IPsec协议封装的第一 FD相对应的第一 FDR报文，表明移动节点与家乡代理之间不存在防火墙或者存在的防火墙支持 IPsec协议；否则，判定未接收到与只用 IPsec协议封装的第一 FD相对应的第一 FDR报文，表明移动节点之间存在不支持 IPsec协议的防火墙。

当存在不支持 IPsec协议的防火墙时，继续执行绑定更新过程以及 MIP网络中的报文交互过程。但是与现有的绑定更新过程及报文交互过程所不同的是：为了保证各个 IPsec报文能够穿越防火墙，此处将所有的 IPsec报文都用 UDP 协议进行封装，即将各个报文中的 TCP/UDP部分在未加密时所代表的信息保存于 UDP部分中，并插入到报文中。当不存在防火墙或者存在的防火墙支持 IPsec协议时，由于 IPsec报文能够被顺利发送，因此继续执行现有的绑定更新以及^ =艮文交互。

至此，本发明 MIP网络中的报文传送过程完成。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种移动互联网协议网络中的报文传送方法，其特征在于，该方法包括以下步骤：

2、根据权利要求 1所述的方法，其特征在于，步骤 B所述判断所述移动节点与家乡代理之间是否存在阻挡 IPsec报文的防火墙的方法为：

B1. 所述移动节点如果确定接收到的防火墙检测应答报文为第一防火墙检测应答报文，则判定所述移动节点与家乡代理之间不存在阻挡 IPsec报文的防火墙；如果确定接收到的防火墙检测应答报文为第二防火墙检测应答报文，则判定所述移动节点与家乡代理之间存在阻挡 IPsec报文的防火墙。

3、根据权利要求 2所述的方法，其特征在于，所述步骤 B1之前，该方法进一步包括：所述家乡代理向移动节点返回防火墙检测应答报文时，在所述防火墙检测应答报文中携带与所述第一或第二防火墙检测报文相同的标识。

4、根据权利要求 3所述的方法，其特征在于，步骤 B1中所述确定接收到的防火墙检测应答报文的方法为：

所述移动节点解析所述接收到的防火墙检测应答报文，提取所述防火墙检测应答报文中携带的标识，并与所述第一防火墙检测报文中携带的标识进行比较，若一致，则确定接收到第一防火墙应答报文；否则，确定接收到第二防火墙检测应答报文。

5、根据权利要求 1所述的方法，其特征在于，预先设置最大重发次数，则所述步骤 B中进一步包括：

6、根据权利要求 1所述的方法，其特征在于，所述第二防火墙检测报文包括： UDP部分，用于携带该报文的 UDP端口号；

7、根据权利要求 6所述的方法，其特征在于，采用 UDP协议封装报文的方法为：

将所述报文中的传输控制协议 TCP/UDP 部分在未加密时所代表的信息保存于 UDP部分中，并插入到所述报文中。