專(zhuān)利名稱(chēng):一種在移動(dòng)環(huán)境下穿越防火墻的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在移動(dòng)環(huán)境下穿越防火墻的方法��,確切地說(shuō)���,涉及一種在移動(dòng)因特網(wǎng)協(xié)議IPv6環(huán)境下����,用認(rèn)證����、授權(quán)���、計(jì)費(fèi)的AAA(Authentication���、Authorization、Accounting)方法來(lái)解決防火墻的穿越問(wèn)題�����,屬于移動(dòng)互聯(lián)網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域��。
背景技術(shù):
由于Internet的飛速發(fā)展,因特網(wǎng)協(xié)議IPv4得到了廣泛應(yīng)用���,已經(jīng)成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)���。但是,隨著Internet用戶(hù)數(shù)量的猛增和IP技術(shù)的廣泛認(rèn)可和采用���,IPv4協(xié)議也逐漸暴露出其不足����。為此����,近十余年來(lái),有關(guān)下一代IP協(xié)議的研究被逐漸重視并展開(kāi)��。IPv6作為新一代IP協(xié)議����,已被因特網(wǎng)工程任務(wù)組IETF標(biāo)準(zhǔn)化,并逐漸被工業(yè)界采納����,Internet開(kāi)始了向IPv6演進(jìn)的過(guò)程�。IPv6協(xié)議主要解決了IPv4中的地址空間不足���、路由性能�、網(wǎng)絡(luò)配置和安全性等問(wèn)題���,尤其加強(qiáng)了對(duì)移動(dòng)性的支持�,即又被稱(chēng)作移動(dòng)IPv6協(xié)議��。
移動(dòng)IP技術(shù)(包括移動(dòng)IPv4和移動(dòng)IPv6)使得移動(dòng)IP終端(如筆記本電腦��、PDA等)無(wú)需更改IP地址�����,就能夠在不同網(wǎng)絡(luò)間實(shí)現(xiàn)自由移動(dòng)����,同時(shí)保持通信的連續(xù)性�,使得這種移動(dòng)對(duì)于上層應(yīng)用完全透明。移動(dòng)IPv6協(xié)議繼承了移動(dòng)IPv4協(xié)議的眾多特性�。IPv4協(xié)議對(duì)移動(dòng)性的支持是可選的,而移動(dòng)IPv6協(xié)議則是IPv6協(xié)議中不可缺少的組成部分;同時(shí)�����,移動(dòng)IPv6的設(shè)計(jì)吸取了移動(dòng)IPv4協(xié)議的開(kāi)發(fā)經(jīng)驗(yàn)�,又吸收了IPv6協(xié)議的許多新特性,在許多方面都優(yōu)于移動(dòng)IPv4�����。例如無(wú)外地代理并使用IPv6特性自動(dòng)配置轉(zhuǎn)交地址���、路由優(yōu)化功能����、家鄉(xiāng)代理發(fā)現(xiàn)�、集成IPSec加強(qiáng)移動(dòng)安全。
防火墻作為一種訪(fǎng)問(wèn)控制機(jī)制��,用于在內(nèi)外網(wǎng)之間構(gòu)筑緩沖和保護(hù)層�����,保護(hù)內(nèi)部網(wǎng)絡(luò)�,以便管理者實(shí)施自己的安全策略����。由于防火墻結(jié)構(gòu)簡(jiǎn)單�、配置容易,在Internet上得到了廣泛應(yīng)用?��,F(xiàn)有的通用防火墻技術(shù)基于IPv4網(wǎng)絡(luò)�����,隨著Internet向IPv6的演進(jìn)����,基于IPv6的防火墻也在逐漸成熟和完善過(guò)程中�����。因此��,大部分現(xiàn)存的IPv6防火墻都不支持移動(dòng)IPv6協(xié)議���,這個(gè)現(xiàn)狀將會(huì)影響移動(dòng)IPv6協(xié)議的大規(guī)模推廣應(yīng)用。而且����,這個(gè)問(wèn)題不僅存在于Internet和企業(yè)網(wǎng)中�,在GPRS/UMTS���、CDMA2000等移動(dòng)通信網(wǎng)絡(luò)中����,也存在著同樣問(wèn)題�。
目前,各類(lèi)防火墻所采用的技術(shù)中��,典型的防火墻采用包過(guò)濾技術(shù)����,一般都要分析到達(dá)防火墻流量中的五個(gè)參數(shù)源地址、目的地址�����、源端口�、目的端口、協(xié)議類(lèi)型�。總結(jié)防火墻影響移動(dòng)IPv6正常部署的原因�,可以分為兩類(lèi)原因1�����、攔截載荷安全封裝IPSec ESP(Encapsulating Security Payload)包為了保證安全�����,移動(dòng)IPv6中定義的一些信令��,包括綁定更新BU(Binding Update)����、綁定確認(rèn)BA(Binding Acknowledge)����、家鄉(xiāng)測(cè)試初始消息HoTI(Home Test Init)、轉(zhuǎn)交測(cè)試初始消息CoTI(Care-of Test Init)��、家鄉(xiāng)測(cè)試消息HoT(Home Test)和轉(zhuǎn)交測(cè)試消息CoT(Care-of Test)都采用IPSec ESP包加密封裝����。在缺省情況下,很多防火墻都無(wú)法判斷進(jìn)入防火墻的加密的ESP包是否合法���,也無(wú)法為離開(kāi)防火墻的ESP包建立相關(guān)的有效狀態(tài)�,因此就導(dǎo)致移動(dòng)IPv6的信令被防火墻丟棄��,無(wú)法完成相關(guān)的信令交互��。
2���、攔截防火墻狀態(tài)對(duì)于內(nèi)部發(fā)起的會(huì)話(huà)����,防火墻會(huì)自動(dòng)保留一個(gè)狀態(tài)列表�����,如果返回的數(shù)據(jù)符合預(yù)定的規(guī)則����,則允許通過(guò);否則�,若狀態(tài)列表中沒(méi)有相關(guān)的規(guī)則,那么進(jìn)入防火墻的任何數(shù)據(jù)包將被丟棄�。在移動(dòng)IPv6環(huán)境中,對(duì)于從防火墻外部發(fā)起的��、以被防火墻保護(hù)的節(jié)點(diǎn)(包括移動(dòng)節(jié)點(diǎn)MN(MobileNode)���、家鄉(xiāng)代理HA(Home Agent)��、通信對(duì)端CN(Correspondent Node))為目標(biāo)的通信���,由于防火墻中沒(méi)有相關(guān)的狀態(tài)�,都會(huì)導(dǎo)致直接丟棄數(shù)據(jù)包��。
由于上述兩種原因�����,現(xiàn)有的防火墻機(jī)制與現(xiàn)有的移動(dòng)IPv6協(xié)議之間存在著沖突�����。而要解決這個(gè)問(wèn)題���,通??梢圆捎孟率鋈N方法1�����、適當(dāng)修改現(xiàn)有的移動(dòng)IPv6協(xié)議而不改變現(xiàn)有的防火墻工作策略;2��、修改防火墻的工作策略����,同時(shí)最大限度地減少對(duì)移動(dòng)IPv6協(xié)議的修改�����;3�����、既不改變現(xiàn)有防火墻工作策略�����,也不改變移動(dòng)IPv6協(xié)議���,而是通過(guò)引入AAA協(xié)議�,實(shí)現(xiàn)AAA網(wǎng)元實(shí)體與防火墻的消息聯(lián)動(dòng)��,動(dòng)態(tài)調(diào)整防火墻的過(guò)濾規(guī)則�����,保證移動(dòng)IPv6各個(gè)網(wǎng)元實(shí)體之間的正常通信不受防火墻的影響。
目前�,IETF相關(guān)的工作組(包括AAA工作組、移動(dòng)IPv4工作組和移動(dòng)IPv6工作組)對(duì)于移動(dòng)IP與AAA的結(jié)合的研究和標(biāo)準(zhǔn)化工作都還停留在基于移動(dòng)IPv4的階段��。移動(dòng)IPv6工作組的一個(gè)名稱(chēng)為《Mobile IPv6 and FirewallsProblemstatement》的草案(編號(hào)為“draft-ietf-mip6-firewalls-03”)只是陳述了移動(dòng)IPv6下的防火墻穿越問(wèn)題����,沒(méi)有提出解決該問(wèn)題的思路,也沒(méi)有具體解決方案�。AAA工作組在RFC4004中給出了一個(gè)采用Diameter協(xié)議(即一種AAA協(xié)議)的移動(dòng)IPv4的應(yīng)用例子,但是�,它也沒(méi)有考慮到移動(dòng)IPv6環(huán)境下Diameter的實(shí)現(xiàn),同時(shí)�,該標(biāo)準(zhǔn)也未提出穿越IPv6防火墻的方法。
同時(shí)�,移動(dòng)IPv6組提出的一個(gè)題為《Firewall Traversal for Mobile IPv6》的草案(編號(hào)為“draft-miao-mip6-ft-00”)中,提出一種穿越防火墻的方案�。它是通過(guò)改變移動(dòng)IPv6協(xié)議與改變防火墻機(jī)制相結(jié)合的辦法來(lái)解決穿越問(wèn)題一方面通過(guò)擴(kuò)展移動(dòng)IPv6協(xié)議引入防火墻發(fā)現(xiàn)策略,來(lái)決定是否對(duì)ESP數(shù)據(jù)進(jìn)行UDP封裝���,以便解決IPSec ESP包攔截問(wèn)題��;另一方面引入防火墻策略修改�,更改條目的轉(zhuǎn)交地址CoA(Care-of Address)為HA的地址來(lái)實(shí)現(xiàn)穿越,解決防火墻狀態(tài)攔截問(wèn)題�。該方案的不足是需要修改移動(dòng)IPv6協(xié)議,且信令交互繁瑣���,采用UDP封裝的效果也不得而知�,同時(shí)防火墻修改策略的考慮也不夠充足���。
鑒于目前移動(dòng)IPv6標(biāo)準(zhǔn)化的進(jìn)展?fàn)顩r,現(xiàn)有防火墻技術(shù)對(duì)移動(dòng)IPv6協(xié)議支持不足����,以及目前針對(duì)該問(wèn)題的現(xiàn)有可行的解決方案不多的現(xiàn)狀,如何解決移動(dòng)IP終端穿越IPv6防火墻實(shí)現(xiàn)可靠通信就成為業(yè)內(nèi)人士研究的新課題��。
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明的目的是提供一種在移動(dòng)IPv6環(huán)境下����,采用擴(kuò)展的認(rèn)證、授權(quán)���、計(jì)費(fèi)的AAA協(xié)議解決防火墻穿越的方法���,該方法根據(jù)移動(dòng)IPv6在運(yùn)營(yíng)商中的商用前景和實(shí)際部署環(huán)境���,提出一種將AAA服務(wù)器引入移動(dòng)IPv6環(huán)境下的系統(tǒng)框架,并通過(guò)擴(kuò)展的AAA協(xié)議與移動(dòng)IPv6協(xié)議在組網(wǎng)框架層面與協(xié)議消息層面的綜合融合來(lái)完成移動(dòng)節(jié)點(diǎn)MN的身份認(rèn)證��、授權(quán)���、計(jì)費(fèi)的工作����,同時(shí)利用這種融合���,與防火墻溝通����,通過(guò)動(dòng)態(tài)配置防火墻策略來(lái)解決移動(dòng)IPv6環(huán)境中現(xiàn)有的防火墻穿越問(wèn)題���,實(shí)現(xiàn)了移動(dòng)IPv6實(shí)體間的正常通信��。
為了達(dá)到上述目的�,本發(fā)明提供了一種在移動(dòng)IPv6協(xié)議環(huán)境下采用擴(kuò)展的認(rèn)證、授權(quán)�、計(jì)費(fèi)AAA(Authentication、Authorization�、Accounting)協(xié)議解決防火墻穿越的方法,其特征在于采用AAA擴(kuò)展協(xié)議�,在組網(wǎng)框架層面及協(xié)議消息層面實(shí)現(xiàn)AAA與移動(dòng)IPv6兩種協(xié)議的綜合融合,在保證對(duì)防火墻現(xiàn)有過(guò)濾規(guī)則做最小修改的前提下�����,動(dòng)態(tài)調(diào)整防火墻的過(guò)濾規(guī)則�����,即家鄉(xiāng)域AAA服務(wù)器和外地域AAA服務(wù)器分別與家鄉(xiāng)域和外地域的IPv6防火墻進(jìn)行溝通�,使得處于防火墻保護(hù)下����、并使用移動(dòng)IPv6協(xié)議的各個(gè)網(wǎng)元實(shí)體相互之間實(shí)現(xiàn)正常通信。
所述使用移動(dòng)IPv6協(xié)議的各個(gè)網(wǎng)元實(shí)體所處位置的網(wǎng)絡(luò)邊緣都設(shè)有IPv6防火墻����,該IPv6防火墻采用傳統(tǒng)的包過(guò)濾攔截技術(shù)。
所述家鄉(xiāng)域是移動(dòng)節(jié)點(diǎn)MN原注冊(cè)地網(wǎng)絡(luò)����、即家鄉(xiāng)網(wǎng)絡(luò)所在的域����,所述外地域是MN移動(dòng)至外部網(wǎng)絡(luò)的域�����;家鄉(xiāng)域和外地域中分別設(shè)有家鄉(xiāng)域AAA服務(wù)器AAAH(AAA Home)和外地域AAA服務(wù)器AAAL(AAA Local)�����,分別完成家鄉(xiāng)域和外地域內(nèi)節(jié)點(diǎn)的用戶(hù)身份認(rèn)證�、授權(quán)驗(yàn)證及記帳功能;在同一個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)系統(tǒng)中���,AAAL和AAAH能夠通過(guò)AAA協(xié)議共同完成用戶(hù)身份認(rèn)證�����、授權(quán)驗(yàn)證和記帳的功能��;所述AAA協(xié)議采用直徑Diameter協(xié)議�����。
所述AAA擴(kuò)展協(xié)議包括是在通用AAA協(xié)議的各種消息的基礎(chǔ)上擴(kuò)展定義的AAA協(xié)議實(shí)體之間交互的AAA擴(kuò)展消息以及AAA服務(wù)器和防火墻溝通的AAA協(xié)議擴(kuò)展消息����,用以完成AAA協(xié)議與移動(dòng)IP協(xié)議綜合融合后解決防火墻穿越問(wèn)題。
所述方法包括下列步驟(1)注冊(cè)認(rèn)證與防火墻策略調(diào)整AAA服務(wù)器在進(jìn)行身份認(rèn)證和授權(quán)驗(yàn)證時(shí)�����,分別發(fā)起并調(diào)整家鄉(xiāng)代理HA和移動(dòng)節(jié)點(diǎn)MN所在網(wǎng)絡(luò)防火墻的過(guò)濾規(guī)則��,以便允許在設(shè)定的AAA會(huì)話(huà)時(shí)間內(nèi)���,保證至少包括移動(dòng)節(jié)點(diǎn)MN�����、家鄉(xiāng)代理HA和通信對(duì)端CN的各個(gè)網(wǎng)元實(shí)體之間的通信對(duì)防火墻透明����;(2)通信過(guò)程通過(guò)注冊(cè)過(guò)程中AAA服務(wù)器對(duì)防火墻過(guò)濾規(guī)則的修改��,使得MN與HA及CN之間的通信暢通��;注冊(cè)完成后MN與HA及CN之間的通信過(guò)程�����,均按照標(biāo)準(zhǔn)規(guī)范進(jìn)行����;(3)AAA會(huì)話(huà)終止與防火墻策略還原當(dāng)MN離開(kāi)本網(wǎng)絡(luò)而導(dǎo)致AAA會(huì)話(huà)超時(shí),或者AAA服務(wù)器發(fā)現(xiàn)MN的余額不足或管理上的原因而主動(dòng)發(fā)起會(huì)話(huà)結(jié)束流程時(shí)��,AAA服務(wù)器分別通告各防火墻還原原有的過(guò)濾規(guī)則���,AAAL和AAAH分別釋放AAA會(huì)話(huà)所占用的資源�,并通告外地網(wǎng)絡(luò)的服務(wù)點(diǎn)釋放MN所占用的資源��。
所述步驟(1)進(jìn)一步包括下列操作內(nèi)容(11)MN向家鄉(xiāng)代理HA發(fā)起綁定更新BU請(qǐng)求該BU請(qǐng)求先經(jīng)過(guò)服務(wù)點(diǎn)�,服務(wù)點(diǎn)存儲(chǔ)BU并作為AAA客戶(hù)端,提取該請(qǐng)求中包括但不限于MN的家鄉(xiāng)地址��、HA的地址��、MN和HA與AAAH的網(wǎng)絡(luò)地址標(biāo)識(shí)NAI(Network AccessIdentifier)�、各種密鑰請(qǐng)求信息以及認(rèn)證擴(kuò)展的相關(guān)信息,按照AAA協(xié)議要求進(jìn)行封裝后���,形成AAA移動(dòng)節(jié)點(diǎn)認(rèn)證授權(quán)請(qǐng)求AMR(AAA-Mobile-Node-Request)�,發(fā)往本域的AAA服務(wù)器AAAL;(12)AAAL將AMR轉(zhuǎn)發(fā)至AAAHAAAL收到AMR后����,檢查發(fā)現(xiàn)發(fā)起該BU請(qǐng)求的節(jié)點(diǎn)不屬于本域,則根據(jù)其中的NAI信息�����,將該AMR轉(zhuǎn)發(fā)至MN家鄉(xiāng)域的AAA服務(wù)器AAAH�����,AAAH對(duì)MN進(jìn)行身份認(rèn)證和授權(quán)驗(yàn)證�;(13)AAAH請(qǐng)求修改家鄉(xiāng)域和外地域防火墻的策略和規(guī)則AAAH完成MN的身份認(rèn)證和授權(quán)驗(yàn)證后,向本地域防火墻發(fā)起AAA防火墻修改請(qǐng)求AFR(AAA-Firewall-Request)�,請(qǐng)求修改防火墻的攔截策略和規(guī)則,以便允許在會(huì)話(huà)時(shí)間內(nèi)MN和CN之間的流量透明穿越防火墻��,并得到防火墻修改響應(yīng)AFA(AAA-Firewall-Answer)�����;AAAH同時(shí)向AAAL發(fā)起AAA服務(wù)器間的請(qǐng)求消息ACR(AAA-Communication-Request)���,請(qǐng)求AAAL向外地域防火墻發(fā)起修改防火墻攔截策略和規(guī)則�����,AAAL收到該ACR請(qǐng)求后����,向外地域防火墻發(fā)起AAA防火墻修改請(qǐng)求AFR�����,并在得到防火墻響應(yīng)AFA后給AAAH發(fā)回對(duì)ACR的響應(yīng)信息ACA(AAA-Communication-Answer)���;AAAH根據(jù)各防火墻修改結(jié)果��、以及MN的身份認(rèn)證和授權(quán)驗(yàn)證結(jié)果����,形成對(duì)AMR信息的響應(yīng)AAA移動(dòng)節(jié)點(diǎn)認(rèn)證授權(quán)請(qǐng)求AMA(AAA-Mobile-Node-Answer)�����,該AMA信息經(jīng)AAAL轉(zhuǎn)發(fā)至服務(wù)點(diǎn)�;(14)服務(wù)點(diǎn)將存儲(chǔ)的BU請(qǐng)求直接轉(zhuǎn)發(fā)給HA服務(wù)點(diǎn)收到AMA后,獲得MN的身份和授權(quán)信息,并根據(jù)這些信息決定MN在外地域所能進(jìn)行的操作和可用資源��;服務(wù)點(diǎn)同時(shí)將存儲(chǔ)的BU請(qǐng)求直接轉(zhuǎn)發(fā)給HA�,在HA的緩存中更新MN所獲得的新轉(zhuǎn)交地址CoA。
所述服務(wù)點(diǎn)是在外地網(wǎng)絡(luò)中距離移動(dòng)節(jié)點(diǎn)MN和外地域AAA服務(wù)器AAAL最近的接入路由器���,并作為AAA協(xié)議的客戶(hù)端與AAA服務(wù)器通信��。
所述步驟(1)中移動(dòng)節(jié)點(diǎn)認(rèn)證授權(quán)請(qǐng)求AMR及其響應(yīng)AMA�����、AAA防火墻修改請(qǐng)求AFR及其響應(yīng)AFA�、AAA服務(wù)器間的請(qǐng)求信息ACR及其響應(yīng)ACA均為移動(dòng)IPv6環(huán)境下本發(fā)明定義的AAA協(xié)議擴(kuò)展消息����。
所述步驟(3)進(jìn)一步包括下述操作內(nèi)容(31)當(dāng)家鄉(xiāng)域的AAA服務(wù)器AAAH發(fā)現(xiàn)漫游至異地的用戶(hù)MN已經(jīng)欠費(fèi)、余額不足�����、或管理上的原因��,需要強(qiáng)制停止為該MN服務(wù)時(shí)�,由AAA服務(wù)器主動(dòng)發(fā)起AAA會(huì)話(huà)結(jié)束流程�����,釋放相關(guān)資源,恢復(fù)防火墻的原先狀態(tài)先由AAAH向AAAL發(fā)出AAA會(huì)話(huà)結(jié)束請(qǐng)求ASR(Abort-Session-Request)���,AAAL轉(zhuǎn)發(fā)ASR給本地服務(wù)點(diǎn)���,由該服務(wù)點(diǎn)執(zhí)行相關(guān)操作停止為MN服務(wù);服務(wù)點(diǎn)執(zhí)行成功后��,經(jīng)AAAL向AAAH轉(zhuǎn)發(fā)會(huì)話(huà)結(jié)束響應(yīng)ASA(Abort-Session-Answer)�;AAAH收到ASA后,獲知已成功停止為MN服務(wù)����,則向家鄉(xiāng)域已修改策略的防火墻發(fā)送還原防火墻策略請(qǐng)求CFR(Clear-Firewall-Request),請(qǐng)求本地域各防火墻撤銷(xiāo)修改����、還原注冊(cè)流程之前的策略,防火墻則向AAAH發(fā)送還原防火墻策略響應(yīng)CFA(Clear-Firewall-Answer)�,通告處理結(jié)果;AAAH同時(shí)向AAAL發(fā)起AAA服務(wù)器間的請(qǐng)求信息ACR����,請(qǐng)求AAAL發(fā)起外地域內(nèi)的防火墻策略還原流程由AAAL向外地域的防火墻發(fā)起AFR�����,得到響應(yīng)信息AFA后��,AAAL向AAAH發(fā)送AAA服務(wù)器間的確認(rèn)信息ACA���,向AAAH通告外地域防火墻的策略還原結(jié)果;或者(32)如果MN移動(dòng)到新的外部網(wǎng)絡(luò)或長(zhǎng)時(shí)間未發(fā)BU�����,導(dǎo)致AAA服務(wù)器中維持的AAA會(huì)話(huà)超時(shí)��,AAA系統(tǒng)主動(dòng)發(fā)起會(huì)話(huà)結(jié)束請(qǐng)求AAAH發(fā)起的AAA會(huì)話(huà)結(jié)束流程及相關(guān)消息均與上述步驟(31)相同�。
所述步驟(3)中還原防火墻策略請(qǐng)求CFR和及其響應(yīng)CFA、AAA服務(wù)器間的請(qǐng)求ACR及其響應(yīng)ACA均為本發(fā)明定義的通用AAA協(xié)議的擴(kuò)展消息�����。
本發(fā)明是一種在移動(dòng)IPv6協(xié)議環(huán)境下采用擴(kuò)展的認(rèn)證��、授權(quán)���、計(jì)費(fèi)AAA協(xié)議解決防火墻穿越的方法���,其主要優(yōu)點(diǎn)在于所提出的系統(tǒng)框架以及具體的解決方法步驟���,均基于現(xiàn)有的移動(dòng)IPv6環(huán)境�����,所討論的防火墻也是基于IPv6環(huán)境下的防火墻��,這是優(yōu)于目前現(xiàn)有的最好的技術(shù)的一大特點(diǎn)����。其中系統(tǒng)框架和具體流程都充分考慮了運(yùn)營(yíng)商的實(shí)際組網(wǎng)環(huán)境,充分利用了運(yùn)營(yíng)商以后大規(guī)模部署移動(dòng)IPv6應(yīng)用所必須考慮的AAA因素���,將AAA系統(tǒng)的服務(wù)器���、路由器與移動(dòng)IPv6協(xié)議進(jìn)行綜合融合,來(lái)解決具體的防火墻穿越問(wèn)題�。該方案對(duì)于移動(dòng)IPv6大規(guī)模應(yīng)用,投資少���、見(jiàn)效快��,具有很好的應(yīng)用前景和積極意義����。
圖1是本發(fā)明適用的網(wǎng)絡(luò)系統(tǒng)架構(gòu)示意圖。
圖2是本發(fā)明注冊(cè)認(rèn)證與防火墻策略調(diào)整步驟中各個(gè)相關(guān)網(wǎng)元的操作時(shí)序圖�����。
圖3是本發(fā)明通信過(guò)程步驟中采用雙向隧道方式實(shí)施策略的操作時(shí)序圖����。
圖4是本發(fā)明通信過(guò)程步驟中采用路由優(yōu)化方式實(shí)施策略的操作時(shí)序圖。
圖5是本發(fā)明AAA會(huì)話(huà)結(jié)束與恢復(fù)防火墻策略步驟中的操作時(shí)序圖����。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述��。
參見(jiàn)圖1���,介紹本發(fā)明應(yīng)用環(huán)境的網(wǎng)絡(luò)系統(tǒng)框架當(dāng)今Internet及大多數(shù)運(yùn)營(yíng)商采用的都是層次型網(wǎng)絡(luò)架構(gòu)�����,因?yàn)閷哟涡途W(wǎng)絡(luò)存在諸多的優(yōu)點(diǎn)�����,如可伸縮性強(qiáng)��、便于管理�����、安全性較高�����。因此本發(fā)明所解決的IPv6防火墻穿越問(wèn)題也是以層次型網(wǎng)絡(luò)作為背景�����,分為骨干層�����、匯聚層���、接入層��。其中骨干層和匯聚層通常是運(yùn)營(yíng)商所管理和運(yùn)營(yíng)的內(nèi)部網(wǎng)絡(luò)��,防火墻一般被部署在用戶(hù)內(nèi)部網(wǎng)絡(luò)與接入層網(wǎng)絡(luò)之間���,用于實(shí)施用戶(hù)自己的控制管理策略、保護(hù)內(nèi)部網(wǎng)絡(luò)���。
同時(shí)�����,根據(jù)層次型網(wǎng)絡(luò)的架構(gòu)��,介紹移動(dòng)IPv6中關(guān)于家鄉(xiāng)和外地的概念在匯聚層一般存在兩個(gè)域���,即家鄉(xiāng)域和外地域,移動(dòng)節(jié)點(diǎn)注冊(cè)地網(wǎng)絡(luò)所在的域?yàn)榧亦l(xiāng)域��,移動(dòng)節(jié)點(diǎn)MN移動(dòng)至外部網(wǎng)絡(luò)的域稱(chēng)外地域����。家鄉(xiāng)域中設(shè)置的家鄉(xiāng)域AAA服務(wù)器AAAH用于完成家鄉(xiāng)域節(jié)點(diǎn)用戶(hù)身份認(rèn)證��、授權(quán)驗(yàn)證及記帳功能��,外地域中設(shè)置的外地域AAA服務(wù)器AAAL用于完成其本地節(jié)點(diǎn)的用戶(hù)身份認(rèn)證��、授權(quán)驗(yàn)證和記帳功能��。在同一個(gè)運(yùn)營(yíng)商系統(tǒng)中�����,AAAL和AAAH通過(guò)AAA協(xié)議(本發(fā)明所討論的AAA信令是基于Diameter協(xié)議的)能夠共同完成用戶(hù)身份認(rèn)證����、授權(quán)驗(yàn)證和記帳的功能����。在圖1中���,以一個(gè)地區(qū)作為一個(gè)域(例如�,北京市作為一個(gè)域��,上海市作為另一個(gè)域)�,在本域的匯聚層統(tǒng)一實(shí)施本地的用戶(hù)身份認(rèn)證����、授權(quán)驗(yàn)證和計(jì)費(fèi)工作���。每個(gè)移動(dòng)節(jié)點(diǎn)在家鄉(xiāng)域鏈路上有一個(gè)唯一的家鄉(xiāng)地址���。當(dāng)移動(dòng)節(jié)點(diǎn)離開(kāi)家鄉(xiāng)域鏈路時(shí),要向家鄉(xiāng)域中的一個(gè)路由器注冊(cè)自己的一個(gè)轉(zhuǎn)交地址CoA��,并要求該路由器作為自己的家鄉(xiāng)代理��。移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址和轉(zhuǎn)交地址的關(guān)聯(lián)叫做移動(dòng)節(jié)點(diǎn)的一個(gè)綁定����。當(dāng)移動(dòng)節(jié)點(diǎn)離開(kāi)家鄉(xiāng)域網(wǎng)絡(luò)而接入異地域網(wǎng)絡(luò)后,由于移動(dòng)IPv6環(huán)境中無(wú)外地代理FA(ForeignAgent)����,通常以外地網(wǎng)絡(luò)中距離MN和外地AAA服務(wù)器最近的接入路由器為“服務(wù)點(diǎn)”(Attendant),該服務(wù)點(diǎn)作為AAA協(xié)議中的功能實(shí)體����,用作AAA客戶(hù)端負(fù)責(zé)與AAA服務(wù)器通信。移動(dòng)節(jié)點(diǎn)經(jīng)過(guò)服務(wù)點(diǎn)和本地網(wǎng)絡(luò)的家鄉(xiāng)代理進(jìn)行路由協(xié)商,自動(dòng)獲得異地網(wǎng)絡(luò)的轉(zhuǎn)交地址后���,要向家鄉(xiāng)代理發(fā)送“綁定更新”消息���,更新轉(zhuǎn)交地址。這樣����,通過(guò)家鄉(xiāng)代理的轉(zhuǎn)發(fā)功能就能夠?qū)崿F(xiàn)通信節(jié)點(diǎn)和移動(dòng)節(jié)點(diǎn)的移動(dòng)通信。
為了便于討論和直觀(guān)�,在圖1中,通信對(duì)端CN處于地區(qū)B中���,與移動(dòng)節(jié)點(diǎn)MN所處的地區(qū)A及家鄉(xiāng)代理HA所處的地區(qū)C共同接入同一個(gè)運(yùn)營(yíng)商的IPv6骨干網(wǎng)��。而在實(shí)際網(wǎng)絡(luò)中�,CN可能處在Internet上的任何一個(gè)角落����。
在移動(dòng)IPv6網(wǎng)絡(luò)中���,所有網(wǎng)絡(luò)功能實(shí)體���,包括MN�����、HA��、CN所處位置的網(wǎng)絡(luò)邊緣都設(shè)有IPv6防火墻�,這些節(jié)點(diǎn)和保護(hù)內(nèi)部網(wǎng)絡(luò)的防火墻都處在網(wǎng)絡(luò)的最底層-接入層��。網(wǎng)絡(luò)邊緣防火墻的內(nèi)部是用戶(hù)端接入路由器���,在引入AAA系統(tǒng)時(shí)��,它就是一個(gè)“服務(wù)點(diǎn)”����。服務(wù)點(diǎn)一般離用戶(hù)最近����,也是AAA系統(tǒng)的客戶(hù)端,執(zhí)行AAA的身份認(rèn)證����、授權(quán)驗(yàn)證和計(jì)費(fèi)的基本功能���。圖1中的所有功能實(shí)體,包括防火墻及服務(wù)點(diǎn)�����、MN����、HA、CN都是IPv6節(jié)點(diǎn)���。
正如前面所討論的�,IPv6防火墻處在網(wǎng)絡(luò)邊緣的接入層��,緊鄰移動(dòng)IPv6各功能實(shí)體�����。在默認(rèn)情況下���,現(xiàn)有的IPv6防火墻機(jī)制和移動(dòng)IPv6協(xié)議之間存在著沖突�,會(huì)阻礙移動(dòng)IPv6的一些信令的正常通過(guò)��,即具體表現(xiàn)在防火墻對(duì)移動(dòng)IPv6信令的兩種攔截IPSec ESP包攔截和防火墻狀態(tài)攔截��。
因此本發(fā)明主要提出一種采用AAA協(xié)議在網(wǎng)絡(luò)層及協(xié)議信令層實(shí)現(xiàn)AAA與移動(dòng)IPv6兩種協(xié)議的綜合融合���,同時(shí)在保證對(duì)防火墻現(xiàn)有過(guò)濾規(guī)則做最小修改的前提下�����,動(dòng)態(tài)調(diào)整防火墻的過(guò)濾規(guī)則����,即家鄉(xiāng)域AAA服務(wù)器分別與家鄉(xiāng)域和外地域的IPv6防火墻進(jìn)行溝通����,使得處于防火墻保護(hù)下、并使用移動(dòng)IPv6協(xié)議的各個(gè)網(wǎng)元實(shí)體相互之間實(shí)現(xiàn)正常通信��。
當(dāng)移動(dòng)IPv6用戶(hù)(MN)離開(kāi)家鄉(xiāng)網(wǎng)絡(luò)�,移動(dòng)到一個(gè)外部網(wǎng)絡(luò)(如圖1所示為由地區(qū)C移動(dòng)到地區(qū)A)后,它要不更改IP地址而使用外地網(wǎng)絡(luò)的資源���,即使用本發(fā)明的具體操作步驟是先和HA進(jìn)行移動(dòng)IPv6的注冊(cè)認(rèn)證與防火墻策略調(diào)整流程����,當(dāng)注冊(cè)完成后進(jìn)行傳統(tǒng)的數(shù)據(jù)通信流程,以及當(dāng)用戶(hù)欠費(fèi)或者離開(kāi)本域而發(fā)起的AAA會(huì)話(huà)結(jié)束與防火墻策略還原流程�。
下面,結(jié)合各個(gè)附圖具體討論各個(gè)流程的操作內(nèi)容參見(jiàn)圖2����,介紹步驟(1)注冊(cè)認(rèn)證與防火墻策略調(diào)整流程MN移動(dòng)到外地網(wǎng)絡(luò)(地區(qū)A)后,其通過(guò)AAA服務(wù)器AAAL向家鄉(xiāng)網(wǎng)絡(luò)(地區(qū)C)的AAAH發(fā)起身份認(rèn)證和授權(quán)驗(yàn)證請(qǐng)求時(shí)�����,同時(shí)由AAAH和AAAL分別發(fā)起調(diào)整HA和MN所在網(wǎng)絡(luò)防火墻的過(guò)濾規(guī)則����,以便允許在設(shè)定的AAA會(huì)話(huà)時(shí)間內(nèi),保證至少包括移動(dòng)節(jié)點(diǎn)MN����、家鄉(xiāng)代理HA和通信對(duì)端CN的各個(gè)網(wǎng)元實(shí)體之間的通信對(duì)防火墻透明。具體操作內(nèi)容為(11)MN向家鄉(xiāng)代理HA發(fā)起綁定更新BU請(qǐng)求該BU先經(jīng)過(guò)服務(wù)點(diǎn)�����,服務(wù)點(diǎn)存儲(chǔ)BU并作為AAA客戶(hù)端�����,提取注冊(cè)請(qǐng)求中包括但不限于MN的家鄉(xiāng)地址、HA的地址�����、MN和HA與AAAH的網(wǎng)絡(luò)地址標(biāo)識(shí)NAI���、各種密鑰請(qǐng)求信息以及認(rèn)證擴(kuò)展的相關(guān)信息,按照AAA協(xié)議要求進(jìn)行封裝后��,形成AAA移動(dòng)節(jié)點(diǎn)認(rèn)證授權(quán)請(qǐng)求AMR�,發(fā)往本域的AAA服務(wù)器AAAL;(12)AAAL將AMR轉(zhuǎn)發(fā)至AAAHAAAL收到AMR后�,檢查發(fā)現(xiàn)發(fā)起B(yǎng)U信息的節(jié)點(diǎn)不屬于本域,則根據(jù)其中的NAI信息���,將該AMR轉(zhuǎn)發(fā)至MN家鄉(xiāng)域的AAA服務(wù)器AAAH���,由AAAH進(jìn)行MN的身份認(rèn)證和授權(quán)驗(yàn)證;(13)AAAH請(qǐng)求修改家鄉(xiāng)域和外地域防火墻的策略和規(guī)則AAAH在完成對(duì)MN的身份認(rèn)證和授權(quán)驗(yàn)證后�����,向HA本地防火墻發(fā)起AAA防火墻請(qǐng)求AFR�,請(qǐng)求修改防火墻的攔截策略和規(guī)則���,以便允許在會(huì)話(huà)時(shí)間內(nèi)MN和CN之間的流量透明穿越防火墻,并得到防火墻響應(yīng)AFA����;AAAH同時(shí)向外地域AAAL發(fā)起AAA服務(wù)器間的請(qǐng)求信息ACR,請(qǐng)求AAAL向外地域防火墻發(fā)起防火墻修改�����,AAAL收到ACR請(qǐng)求后�,向外地域防火墻發(fā)起AAA防火墻請(qǐng)求AFR,得到防火墻響應(yīng)AFA后�,發(fā)送對(duì)ACR的響應(yīng)信息ACA給AAAH;AAAH根據(jù)各防火墻修改的結(jié)果��、同時(shí)根據(jù)對(duì)MN的身份認(rèn)證和授權(quán)驗(yàn)證的結(jié)果����,形成對(duì)AMR信息的響應(yīng)AMA;AMA信息經(jīng)AAAL轉(zhuǎn)發(fā)至服務(wù)點(diǎn)����;其中AFR和AFA消息、ACR和ACA消息均為本發(fā)明定義的通用AAA協(xié)議的擴(kuò)展消息;(14)服務(wù)點(diǎn)將存儲(chǔ)的BU請(qǐng)求直接轉(zhuǎn)發(fā)給HA服務(wù)點(diǎn)收到AMA后��,獲得了MN的身份信息和授權(quán)信息�,并根據(jù)這些信息決定MN在外地域所能進(jìn)行的操作和所能使用的資源;服務(wù)點(diǎn)同時(shí)將存儲(chǔ)的BU請(qǐng)求直接轉(zhuǎn)發(fā)給HA�,在HA的緩存中更新MN所獲得的新轉(zhuǎn)交地址CoA信息。
參見(jiàn)圖3�、圖4,介紹步驟(2)通信過(guò)程通過(guò)注冊(cè)過(guò)程中AAA服務(wù)器對(duì)防火墻過(guò)濾規(guī)則的修改��,MN和CN之間的通信均能正常穿越防火墻��,它們之間的通信有兩種可能的模式雙向隧道模式和路由優(yōu)化模式RO(RouteOptimization)�。
參見(jiàn)圖3���,雙向隧道模式的過(guò)程介紹如下MN與CN間的通信均需經(jīng)過(guò)HA的轉(zhuǎn)發(fā)�,在MN和HA之間采用IPv6-in-IPv6的雙向隧道對(duì)數(shù)據(jù)進(jìn)行封裝���。
參見(jiàn)圖4����,路由優(yōu)化模式的過(guò)程介紹如下先由MN發(fā)出家鄉(xiāng)測(cè)試初始消息HoTI��,經(jīng)由HA轉(zhuǎn)發(fā)到達(dá)CN,MN同時(shí)還直接給CN發(fā)出轉(zhuǎn)交測(cè)試初始消息CoTI����;CN收到該兩個(gè)消息后,在發(fā)出對(duì)HoTI的響應(yīng)��,即家鄉(xiāng)測(cè)試消息HoT經(jīng)由HA轉(zhuǎn)發(fā)給MN的同時(shí)�,又直接給MN發(fā)出轉(zhuǎn)交測(cè)試消息CoT;當(dāng)MN成功收到HoT和CoT消息后��,MN就確信CN可以通過(guò)家鄉(xiāng)地址或轉(zhuǎn)交地址訪(fǎng)問(wèn)自己���,MN就給CN發(fā)送一個(gè)綁定更新BU消息����,在CN上建立相關(guān)的綁定列表后����,就能夠在MN和CN之間直接通信。
參見(jiàn)圖5��,介紹步驟(3)AAA會(huì)話(huà)結(jié)束與防火墻策略還原流程當(dāng)MN離開(kāi)本網(wǎng)絡(luò)而導(dǎo)致AAA會(huì)話(huà)超時(shí)�����,或者AAA服務(wù)器發(fā)現(xiàn)MN的余額不足或管理上的原因而主動(dòng)發(fā)起會(huì)話(huà)結(jié)束流程時(shí),AAA服務(wù)器還原各防火墻的原有過(guò)濾規(guī)則�,AAAL和AAAH分別釋放AAA會(huì)話(huà)所占用的資源,并通告外地網(wǎng)絡(luò)的服務(wù)點(diǎn)釋放MN所占用的資源�����。具體操作內(nèi)容為(31)當(dāng)家鄉(xiāng)域的AAA服務(wù)器AAAH發(fā)現(xiàn)漫游至異地的用戶(hù)MN已經(jīng)欠費(fèi)����、余額不足、或管理上的原因�,需要強(qiáng)制停止為該MN服務(wù)時(shí),由AAA服務(wù)器主動(dòng)發(fā)起會(huì)話(huà)結(jié)束流程���,釋放相關(guān)資源,恢復(fù)防火墻的原先狀態(tài)先由AAAH向AAAL發(fā)出AAA會(huì)話(huà)結(jié)束請(qǐng)求ASR����,AAAL轉(zhuǎn)發(fā)ASR給本地服務(wù)點(diǎn),由該服務(wù)點(diǎn)執(zhí)行相關(guān)操作停止為MN服務(wù)�;服務(wù)點(diǎn)執(zhí)行成功后,經(jīng)AAAL向AAAH轉(zhuǎn)發(fā)會(huì)話(huà)結(jié)束響應(yīng)ASA���;AAAH收到ASA后��,獲知已成功停止為MN服務(wù)�����,則向家鄉(xiāng)域已經(jīng)修改策略的防火墻發(fā)送還原防火墻策略請(qǐng)求CFR��,請(qǐng)求各防火墻撤銷(xiāo)原來(lái)的修改�����,還原注冊(cè)流程之前的策略�;作為響應(yīng),防火墻則向AAAH發(fā)送還原防火墻策略響應(yīng)CFA�,通告相關(guān)結(jié)果。AAA 同時(shí)還向AAAL發(fā)起AAA服務(wù)器間的請(qǐng)求信息ACR��,請(qǐng)求AAAL發(fā)起外地域內(nèi)的防火墻策略還原流程�,AAAL向外地域的防火墻發(fā)起AFR,得到響應(yīng)信息AFA后�����,AAAL向AAAH發(fā)送AAA服務(wù)器間的確認(rèn)信息ACA�,向AAAH通告其對(duì)外地域防火墻的策略還原結(jié)果。其中CFR和CFA消息��、ACR和ACA消息均為本發(fā)明定義的通用AAA協(xié)議的擴(kuò)展消息;或者(32)如果MN移動(dòng)到新的外部網(wǎng)絡(luò)或長(zhǎng)時(shí)間未發(fā)BU���,導(dǎo)致AAA服務(wù)器中維持的AAA會(huì)話(huà)超時(shí)�,AAA系統(tǒng)主動(dòng)發(fā)起會(huì)話(huà)結(jié)束請(qǐng)求AAAH發(fā)起的會(huì)話(huà)結(jié)束流程及相關(guān)信令均與上述步驟(31)相同�。
下面,結(jié)合圖1所示框架�,進(jìn)一步討論MN在三種主要的不同移動(dòng)情景情況下,AAA服務(wù)器與防火墻之間的具體操作內(nèi)容�����。
情景1MN移動(dòng)到同一個(gè)AAA域下的另一個(gè)受防火墻保護(hù)的子網(wǎng)中�。
參見(jiàn)圖1所示,當(dāng)MN從A地區(qū)的防火墻1所保護(hù)的子網(wǎng)1移動(dòng)到防火墻2所保護(hù)的子網(wǎng)2時(shí)����,這兩個(gè)子網(wǎng)均屬于A地區(qū)��,且都處在AAAL所管理的域中��。當(dāng)MN進(jìn)行上述移動(dòng)時(shí)�����,要想獲得子網(wǎng)2提供的服務(wù),同時(shí)穿越保護(hù)子網(wǎng)2的防火墻�����,就必須按照上述步驟�,進(jìn)入注冊(cè)流程,經(jīng)過(guò)AAA系統(tǒng)的身份認(rèn)證����、授權(quán)驗(yàn)證、計(jì)費(fèi)等操作后�,才能夠建立會(huì)話(huà),AAAH同時(shí)發(fā)起防火墻的修改策略流程����,使MN在子網(wǎng)2中發(fā)起的流量也能透明地穿透防火墻。上述完成注冊(cè)認(rèn)證與防火墻策略調(diào)整流程后的通信過(guò)程����、AAA會(huì)話(huà)終止與防火墻策略還原流程都與前述MN從家鄉(xiāng)網(wǎng)絡(luò)移動(dòng)到外地網(wǎng)絡(luò)的流程一樣。
當(dāng)MN做上述移動(dòng)時(shí)����,在離開(kāi)子網(wǎng)1到達(dá)子網(wǎng)2,而子網(wǎng)1會(huì)話(huà)尚未結(jié)束��、子網(wǎng)2注冊(cè)流程尚未開(kāi)始的時(shí)刻采用何種切換策略保證通信的暢通與連續(xù),已有相關(guān)成熟的切換技術(shù)����,不在本發(fā)明討論內(nèi)容之內(nèi)。
情景2MN移動(dòng)到另一個(gè)AAA域下的另一個(gè)受防火墻保護(hù)的子網(wǎng)中�。
該情形與情景1比較類(lèi)似,區(qū)別僅僅在MN從一個(gè)子網(wǎng)1移動(dòng)到另一個(gè)子網(wǎng)2的同時(shí)��,也從一個(gè)AAA域移動(dòng)到另外一個(gè)AAA域(例如����,從北京與天津交界處從北京的一個(gè)服務(wù)點(diǎn)移動(dòng)到天津的一個(gè)服務(wù)點(diǎn)),與情景1一樣�,MN要獲得另外一個(gè)域的子網(wǎng)2提供的服務(wù),同時(shí)穿越保護(hù)子網(wǎng)2的防火墻��,就必須按照前述情景1的類(lèi)似步驟���,進(jìn)入注冊(cè)認(rèn)證與防火墻策略調(diào)整��、通信過(guò)程、AAA會(huì)話(huà)終止與防火墻策略還原流程�,與以前描述的MN從家鄉(xiāng)網(wǎng)絡(luò)移動(dòng)到外地網(wǎng)絡(luò)的流程是同樣的。有關(guān)切換的考慮也與情景1相同��。
情景3MN移動(dòng)返回家鄉(xiāng)網(wǎng)絡(luò)。
當(dāng)MN從地區(qū)A的外地網(wǎng)絡(luò)移動(dòng)返回地區(qū)C的家鄉(xiāng)網(wǎng)絡(luò)(參見(jiàn)圖1)時(shí)����,MN通過(guò)移動(dòng)檢測(cè)算法知道自己已經(jīng)回到家鄉(xiāng)鏈路上,此時(shí)它會(huì)發(fā)現(xiàn)自己的家鄉(xiāng)子網(wǎng)前綴變成了“鏈路在線(xiàn)”(On-link)狀態(tài)���,它隨后會(huì)給HA發(fā)送一個(gè)請(qǐng)求注銷(xiāo)的BU�����,要求HA不要再截取分組或者使用隧道給它轉(zhuǎn)發(fā)分組�����。HA收到該BU后���,停止對(duì)MN的家鄉(xiāng)地址的重復(fù)地址檢測(cè)DAD(Duplicate AddressDetection)保護(hù),并不再響應(yīng)關(guān)于MN家鄉(xiāng)地址的鄰居請(qǐng)求消息��,MN就成為家鄉(xiāng)鏈路上具有該地址的唯一地址用戶(hù)�,這樣,MN就與家鄉(xiāng)鏈路中的本地固定節(jié)點(diǎn)無(wú)異�����。
如同情景1,MN在離開(kāi)外地網(wǎng)絡(luò)回到家鄉(xiāng)網(wǎng)絡(luò)時(shí)�,AAA系統(tǒng)若長(zhǎng)時(shí)間收不到MN的BU信息,就會(huì)認(rèn)為MN已離開(kāi)本網(wǎng)絡(luò)����,就啟動(dòng)AAA會(huì)話(huà)終止與防火墻策略還原流程,結(jié)束AAA會(huì)話(huà)并釋放相關(guān)網(wǎng)絡(luò)資源��。有關(guān)切換的考慮����,與情景1相同,不再贅述����。
權(quán)利要求
1.一種在移動(dòng)IPv6協(xié)議環(huán)境下采用擴(kuò)展的認(rèn)證、授權(quán)�����、計(jì)費(fèi)AAA協(xié)議解決防火墻穿越的方法��,其特征在于采用AAA擴(kuò)展協(xié)議��,在組網(wǎng)框架層面及協(xié)議消息層面實(shí)現(xiàn)AAA與移動(dòng)IPv6兩種協(xié)議的綜合融合,在保證對(duì)防火墻現(xiàn)有過(guò)濾規(guī)則做最小修改的前提下��,動(dòng)態(tài)調(diào)整防火墻的過(guò)濾規(guī)則����,即家鄉(xiāng)域AAA服務(wù)器和外地域AAA服務(wù)器分別與家鄉(xiāng)域和外地域的IPv6防火墻進(jìn)行溝通�����,使得處于防火墻保護(hù)下��、并使用移動(dòng)IPv6協(xié)議的各個(gè)網(wǎng)元實(shí)體相互之間實(shí)現(xiàn)正常通信��。
2.根據(jù)權(quán)利要求1所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法��,其特征在于所述使用移動(dòng)IPv6協(xié)議的各個(gè)網(wǎng)元實(shí)體所處位置的網(wǎng)絡(luò)邊緣都設(shè)有IPv6防火墻���,該IPv6防火墻采用傳統(tǒng)的包過(guò)濾攔截技術(shù)����。
3.根據(jù)權(quán)利要求1所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法���,其特征在于所述家鄉(xiāng)域是移動(dòng)節(jié)點(diǎn)MN原注冊(cè)地網(wǎng)絡(luò)�����、即家鄉(xiāng)網(wǎng)絡(luò)所在的域����,所述外地域是MN移動(dòng)至外部網(wǎng)絡(luò)的域;家鄉(xiāng)域和外地域中分別設(shè)有家鄉(xiāng)域AAA服務(wù)器AAAH和外地域AAA服務(wù)器AAAL�,分別完成家鄉(xiāng)域和外地域內(nèi)節(jié)點(diǎn)的用戶(hù)身份認(rèn)證、授權(quán)驗(yàn)證及記帳功能���;在同一個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)系統(tǒng)中����,AAAL和AAAH能夠通過(guò)AAA協(xié)議共同完成用戶(hù)身份認(rèn)證�、授權(quán)驗(yàn)證和記帳的功能;所述AAA協(xié)議采用直徑Diameter協(xié)議���。
4.根據(jù)權(quán)利要求1所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法��,其特征在于所述AAA擴(kuò)展協(xié)議是在通用AAA協(xié)議的各種消息的基礎(chǔ)上擴(kuò)展定義的AAA協(xié)議實(shí)體之間交互的AAA擴(kuò)展消息以及AAA服務(wù)器和防火墻溝通的AAA協(xié)議擴(kuò)展消息���,用以完成AAA協(xié)議與移動(dòng)IP協(xié)議綜合融合后解決防火墻穿越問(wèn)題。
5.根據(jù)權(quán)利要求1所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法��,其特征在于所述方法包括下列步驟(1)注冊(cè)認(rèn)證與防火墻策略調(diào)整AAA服務(wù)器在進(jìn)行身份認(rèn)證和授權(quán)驗(yàn)證時(shí),分別發(fā)起并調(diào)整家鄉(xiāng)代理HA和移動(dòng)節(jié)點(diǎn)MN所在網(wǎng)絡(luò)防火墻的過(guò)濾規(guī)則�����,以便允許在設(shè)定的AAA會(huì)話(huà)時(shí)間內(nèi)����,保證至少包括移動(dòng)節(jié)點(diǎn)MN�、家鄉(xiāng)代理HA和通信對(duì)端CN的各個(gè)網(wǎng)元實(shí)體之間的通信對(duì)防火墻透明;(2)通信過(guò)程通過(guò)注冊(cè)過(guò)程中AAA服務(wù)器對(duì)防火墻過(guò)濾規(guī)則的修改��,使得MN與HA及CN之間的通信暢通��;注冊(cè)完成后MN與HA及CN之間的通信過(guò)程�,均按照標(biāo)準(zhǔn)規(guī)范進(jìn)行;(3)AAA會(huì)話(huà)終止與防火墻策略還原當(dāng)MN離開(kāi)本網(wǎng)絡(luò)而導(dǎo)致AAA會(huì)話(huà)超時(shí)��,或者AAA服務(wù)器發(fā)現(xiàn)MN的余額不足或管理上的原因而主動(dòng)發(fā)起會(huì)話(huà)結(jié)束流程時(shí)�,AAA服務(wù)器分別通告各防火墻還原原有的過(guò)濾規(guī)則�,AAAL和AAAH分別釋放AAA會(huì)話(huà)所占用的資源,并通告外地網(wǎng)絡(luò)的服務(wù)點(diǎn)釋放MN所占用的資源�����。
6.根據(jù)權(quán)利要求5所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法,其特征在于所述步驟(1)進(jìn)一步包括下列操作內(nèi)容(11)MN向家鄉(xiāng)代理HA發(fā)起綁定更新BU請(qǐng)求該BU請(qǐng)求先經(jīng)過(guò)服務(wù)點(diǎn)���,服務(wù)點(diǎn)存儲(chǔ)BU并作為AAA客戶(hù)端���,提取該請(qǐng)求中包括但不限于MN的家鄉(xiāng)地址���、HA的地址����、MN和HA與AAAH的網(wǎng)絡(luò)地址標(biāo)識(shí)NAI���、各種密鑰請(qǐng)求信息以及認(rèn)證擴(kuò)展的相關(guān)信息�����,按照AAA協(xié)議要求進(jìn)行封裝后,形成AAA移動(dòng)節(jié)點(diǎn)認(rèn)證授權(quán)請(qǐng)求AMR�����,發(fā)往本域的AAA服務(wù)器AAAL���;(12)AAAL將AMR轉(zhuǎn)發(fā)至AAAHAAAL收到AMR后��,檢查發(fā)現(xiàn)發(fā)起該BU請(qǐng)求的節(jié)點(diǎn)不屬于本域�����,則根據(jù)其中的NAI信息�,將該AMR轉(zhuǎn)發(fā)至MN家鄉(xiāng)域的AAA服務(wù)器AAAH,AAAH對(duì)MN進(jìn)行身份認(rèn)證和授權(quán)驗(yàn)證����;(13)AAAH請(qǐng)求修改家鄉(xiāng)域和外地域防火墻的策略和規(guī)則AAAH完成MN的身份認(rèn)證和授權(quán)驗(yàn)證后����,向本地域防火墻發(fā)起AAA防火墻修改請(qǐng)求AFR,請(qǐng)求修改防火墻的攔截策略和規(guī)則���,以便允許在會(huì)話(huà)時(shí)間內(nèi)MN和CN之間的流量透明穿越防火墻,并得到防火墻修改響應(yīng)AFA���;AAAH同時(shí)還向AAAL發(fā)起AAA服務(wù)器間的請(qǐng)求消息ACR,請(qǐng)求AAAL向外地域防火墻發(fā)起修改防火墻攔截策略和規(guī)則的請(qǐng)求AFR��,AAAL收到該ACR請(qǐng)求后,向外地域防火墻發(fā)起AAA防火墻修改請(qǐng)求AFR�����,并在得到防火墻響應(yīng)AFA后給AAAH發(fā)回對(duì)ACR的響應(yīng)信息ACA��;AAAH根據(jù)各防火墻修改結(jié)果及MN的身份認(rèn)證和授權(quán)驗(yàn)證結(jié)果����,形成對(duì)AMR消息的響應(yīng)AMA,該AMA響應(yīng)經(jīng)AAAL轉(zhuǎn)發(fā)至服務(wù)點(diǎn)�����;(14)服務(wù)點(diǎn)將存儲(chǔ)的BU請(qǐng)求直接轉(zhuǎn)發(fā)給HA服務(wù)點(diǎn)收到AMA后���,獲得MN的身份和授權(quán)信息�,并根據(jù)這些信息決定MN在外地域所能進(jìn)行的操作和可用資源��;服務(wù)點(diǎn)同時(shí)將存儲(chǔ)的BU請(qǐng)求直接轉(zhuǎn)發(fā)給HA�,在HA的緩存中更新MN所獲得的新轉(zhuǎn)交地址CoA。
7.根據(jù)權(quán)利要求6所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法���,其特征在于所述服務(wù)點(diǎn)是在外地網(wǎng)絡(luò)中距離移動(dòng)節(jié)點(diǎn)MN和外地域AAA服務(wù)器AAAL最近的接入路由器�,并作為AAA協(xié)議的客戶(hù)端與AAA服務(wù)器通信。
8.根據(jù)權(quán)利要求6所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法��,其特征在于所述步驟(1)中移動(dòng)節(jié)點(diǎn)認(rèn)證授權(quán)請(qǐng)求AMR及其響應(yīng)AMA��、AAA防火墻修改請(qǐng)求AFR及其響應(yīng)AFA�����、AAA服務(wù)器間的請(qǐng)求信息ACR及其響應(yīng)ACA均為移動(dòng)IPv6環(huán)境下本發(fā)明定義的AAA協(xié)議擴(kuò)展消息����。
9.根據(jù)權(quán)利要求5所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法,其特征在于所述步驟(3)進(jìn)一步包括下述操作內(nèi)容(31)當(dāng)家鄉(xiāng)域的AAA服務(wù)器AAAH發(fā)現(xiàn)漫游至異地的用戶(hù)MN已經(jīng)欠費(fèi)����、余額不足�����、或管理上的原因����,需要強(qiáng)制停止為該MN服務(wù)時(shí),由AAA服務(wù)器主動(dòng)發(fā)起AAA會(huì)話(huà)結(jié)束流程���,釋放相關(guān)資源���,恢復(fù)防火墻的原先狀態(tài)先由AAAH向AAAL發(fā)出AAA會(huì)話(huà)結(jié)束請(qǐng)求ASR�����,AAAL轉(zhuǎn)發(fā)ASR給本地服務(wù)點(diǎn)�����,由該服務(wù)點(diǎn)執(zhí)行相關(guān)操作停止為MN服務(wù)��;服務(wù)點(diǎn)執(zhí)行成功后�����,經(jīng)AAAL向AAAH轉(zhuǎn)發(fā)會(huì)話(huà)結(jié)束響應(yīng)ASA�;AAAH收到ASA后�����,獲知已成功停止為MN服務(wù)�����,則向家鄉(xiāng)域已修改策略的防火墻發(fā)送還原防火墻策略請(qǐng)求CFR,請(qǐng)求本地域各防火墻撤銷(xiāo)修改�����、還原注冊(cè)流程之前的策略����,防火墻則向AAAH發(fā)送還原防火墻策略響應(yīng)CFA,通告處理結(jié)果�����;AAAH同時(shí)向AAAL發(fā)起AAA服務(wù)器間的請(qǐng)求信息ACR���,請(qǐng)求AAAL發(fā)起外地域內(nèi)的防火墻策略還原流程由AAAL向外地域的防火墻發(fā)起AFR,得到響應(yīng)信息AFA后����,AAAL向AAAH發(fā)送AAA服務(wù)器間的確認(rèn)信息ACA��,向AAAH通告外地域防火墻的策略還原結(jié)果���;或者(32)如果MN移動(dòng)到新的外部網(wǎng)絡(luò)或長(zhǎng)時(shí)間未發(fā)BU,導(dǎo)致AAA服務(wù)器中維持的AAA會(huì)話(huà)超時(shí)�,AAA系統(tǒng)主動(dòng)發(fā)起會(huì)話(huà)結(jié)束請(qǐng)求AAAH發(fā)起的AAA會(huì)話(huà)結(jié)束流程及相關(guān)消息均與上述步驟(31)相同。
10.根據(jù)權(quán)利要求9所述的采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法��,其特征在于所述步驟(3)中還原防火墻策略請(qǐng)求CFR和及其響應(yīng)CFA�����、AAA服務(wù)器間的請(qǐng)求ACR及其響應(yīng)ACA均為本發(fā)明定義的通用AAA協(xié)議的擴(kuò)展消息�。
全文摘要
一種在移動(dòng)IPv6環(huán)境下采用擴(kuò)展的AAA協(xié)議解決防火墻穿越的方法,是采用分別定義AAA服務(wù)器之間交互及其與防火墻溝通的AAA協(xié)議擴(kuò)展消息的AAA擴(kuò)展協(xié)議����,在組網(wǎng)框架層面及協(xié)議消息層面實(shí)現(xiàn)AAA與移動(dòng)IPv6兩種協(xié)議的綜合融合,在保證對(duì)防火墻現(xiàn)有過(guò)濾規(guī)則做最小修改的前提下��,動(dòng)態(tài)調(diào)整防火墻的過(guò)濾規(guī)則����,即家鄉(xiāng)域AAA服務(wù)器和外地域AAA服務(wù)器分別與家鄉(xiāng)域和外地域的IPv6防火墻進(jìn)行溝通,使得處于防火墻保護(hù)下���、并使用移動(dòng)IPv6協(xié)議的各個(gè)網(wǎng)元實(shí)體之間實(shí)現(xiàn)正常通信�。該方法包括注冊(cè)認(rèn)證與防火墻策略調(diào)整、通信過(guò)程����、AAA會(huì)話(huà)終止與防火墻策略還原三個(gè)步驟,它是根據(jù)移動(dòng)IPv6實(shí)際組網(wǎng)環(huán)境和今后大規(guī)模應(yīng)用所必須考慮的AAA因素�����,提出的防火墻的穿越方法�。
文檔編號(hào)H04L29/06GK1801821SQ200610001438
公開(kāi)日2006年7月12日 申請(qǐng)日期2006年1月17日 優(yōu)先權(quán)日2006年1月17日
發(fā)明者潘劍利, 于濤, 胡博, 李玉宏, 陳山枝 申請(qǐng)人:北京郵電大學(xué)