一種使移動節點實現自代理功能的方法
2023-07-06 23:49:56 3
專利名稱:一種使移動節點實現自代理功能的方法
技術領域:
本發明涉及一種移動節點漫遊到一個沒有擴展域管理實體的網絡環境中時,通過自身實現代理功能,保持和基本域管理實體及其他移動節點正常通信的方法。尤其涉及一種使移動節點實現自代理功能的方法。
背景技術:
移動IP技術為移動節點獲取轉交地址提供了兩種方法一是從某個外地代理獲得外地代理轉交地址,二是直接從外地網絡獲取一個配置轉交地址。配置轉交地址代表了移動節點在外地網絡的合法身份。採用配置轉交地址方式工作時,移動節點自己完成到家鄉代理伺服器的隧道操作。
移動IP技術中,外地網絡一般固定放置一臺外地代理伺服器,該外地代理伺服器為移動節點提供代理功能。這種方式應用的較早,雖可為跨越網際網路的兩個或多個相互信任的網絡搭建一條安全通路,但存在如下缺陷或不足1.這種方式假定外地網絡環境是可信的,安全的隧道建立在外地代理和家鄉代理之間。移動節點和外地代理之間的數據傳輸沒有採取特殊的安全措施。如果外地網絡上存在某些惡意攻擊者,就會對移動節點的通信造成很大的安全隱患,移動節點的數據通信可能被截獲,或被非法竊聽。
2.由於一個外地代理需要為成千上萬個移動節點提供代理服務,所以硬體配置要求很高,不僅造價昂貴,且需維護。
3.如果許多移動節點同時出現突發性的大規模數據傳輸,外地代理容易成為整個移動IP系統的「瓶頸」,這種「瓶頸」導致的弊病有二1).使系統效率降低。外地代理為所有的移動節點提供隧道封裝和解封功能,如果同時工作的移動節點數目很多,移動IP系統的效率就會很低。
2).易形成單故障節點。如果外地代理出現故障,它代理的所有移動節點就都不能正常工作。
4.受客觀條件的限制,並不是所有外地網絡環境都安置有外地代理。如果移動節點漫遊到還未架設外地代理的網絡環境時,由於缺少外地代理提供的服務支持,它就無法正常享受移動IP系統的功能。
發明內容
本發明的目的在於提供一種使移動節點實現自代理功能的方法,其解決了背景技術中移動節點在擴展網絡域內的通信不安全,擴展域管理實體易成為整個系統的「瓶頸」,硬體配置要求高,或無法正常享受柔性IP網絡功能的技術問題。
本發明的技術解決方案是一種使移動節點實現自代理功能的方法,其特殊之處在於該方法包括以下步驟1).移動節點漫遊到擴展網絡域環境後,首先從擴展網絡域獲得合法的配置轉交地址;2).移動節點啟動註冊規程,向基本域管理實體認證,並將自己所獲得的配置轉交地址通告基本域管理實體;3).移動節點獲得對基本網絡域主機的ARP代理,自動響應上層協議棧的訪問請求,通過路由確定自己與基本網絡域內主機的通信路徑;4).移動節點通過服務框架模塊8搭建後臺服務框架,並將加密解密模塊9和隧道模塊10合成進所搭建的框架;移動節點通過隧道模塊10自己進行數據的隧道封裝與解封操作;5).移動節點通過加密解密模塊9進行動態會話密鑰的協商與用戶實際傳輸數據的加密和解密,並在數據發送之前進行數據的加密和解密處理。
上述移動節點從擴展網絡域獲得合法配置的轉交地址可以是移動節點通過密鑰管理模塊2從擴展網絡域獲得與自己身份相關的認證密鑰和加密密鑰信息。
上述配置轉交地址是移動節點移動到擴展網絡域環境後,擴展網絡域分配給它的保持正常網絡連接的擴展網絡域的合法IP位址;所述的從擴展網絡域獲得合法的配置轉交地址是通過PPP、DHCP或手工配置完成的。
上述移動節點啟動註冊規程,向基本域管理實體認證並通告所獲得的配置轉交地址是該移動節點在擴展網絡域獲得配置轉交地址後,通過註冊管理模塊1啟動註冊過程,向基本域管理實體進行身份認證,同時告知基本域管理實體移動節點的配置轉交地址。
上述移動節點通過隧道模塊10自己進行數據的隧道封裝與解封操作,並在數據發送之前進行數據的加密和解密處理是移動節點用認證密鑰向基本域管理實體證實自己的身份,用加密密鑰對自己實際傳輸的數據進行加密,獲取、維護密鑰相關信息;漫遊結束後,該移動節點自己向基本域管理實體發送註銷消息,使基本域管理實體停止為該移動節點提供漫遊服務。
上述隧道模塊10是指把IP數據包的包頭和數據當作新的荷載,重新封裝新的報頭而進行數據傳輸的方法;所述的隧道封裝是在原來IP數據報的基礎上再增加一層新的包頭層;所述的隧道解封是剔除隧道封裝時所增加的包頭。
本發明上述方法還包括1).有網段衝突或多網段否?有,則調整路由管理模塊3的路由表的接口;沒有,則路由管理模塊3不工作;2).擴展網絡域的網絡規劃與基本網絡域的網絡規劃重疊否?有重疊,則通過網段衝突管理模塊4進行調整;無重疊,則網段衝突管理模塊4不工作;3).基本網絡域包含多個可以相互訪問的網段否?是,則移動節點以其基本網絡域的身份漫遊到擴展網絡域後,通過多網段管理模塊5對移動節點的路由表進行相應調整;否,則多網段管理模塊5不工作;4).出現註冊認證、密鑰獲取、密鑰更新、路由操作、加密解密、隧道操作異常否?是,則通過異常處理模塊6調整;否,則異常處理模塊6不工作;5).有實體出現故障或網絡環境暫時擁塞否?是,則移動節點通過故障檢測恢復處理模塊7進行包括基本域管理實體重啟或NAT埠變化的操作,並進行自我恢復;否,則故障檢測恢復處理模塊7不工作。
上述基本域管理實體是指有一個埠與移動節點基本網絡域鏈路相連的網絡設備,為發生漫遊的移動節點提供身份認證及代理ARP;所述的擴展域管理實體是指有一個埠與移動節點擴展網絡域鏈路相連的網絡設備,它是移動節點在擴展網絡域的預設路由器所述的移動節點是指可以將接入網際網路的位置從一條鏈路切換到另一條鏈路上,而仍然以基本網絡域的身份保持所有正在進行的通信的設備。
本發明具有以下優點1.本發明可使移動節點在任何擴展網絡域環境中,通過移動節點的自代理功能,安全地漫遊回基本網絡域,正常享受柔性IP網絡技術提供的一切服務。
2.本發明的加密隧道建立在移動節點和基本域管理實體之間,安全可靠,既避免了移動節點在擴展網絡域環境遭受竊聽和攻擊的可能,又使移動節點享受的漫遊服務不受擴展域管理實體的約束,實現隨心所欲的漫遊。
3.本發明把較為費時的隧道的封裝、解封操作和數據的加密、解密操作設計為計算機作業系統的一個後臺服務,並為服務設置較高的優先級,既提高了數據的處理效率,使整個系統的效率提高,又使整體設計簡化、層次清晰,便於實現,且具有較強的擴展性。
4.本發明充分利用作業系統的現有機制,可適應具體配置各不相同的移動節點。
5.後臺服務的通用性好。對於不同的應用,前臺註冊管理的要求可能不同,只需修改或擴展前臺註冊管理相應的模塊,後臺服務則無需改動。
6.硬體配置簡單,造價低,無需維護。
附圖為本發明系統模塊組成的示意圖。
附圖標號說明1-註冊管理模塊,2-密鑰管理模塊,3-路由管理模塊,4-網段衝突管理模塊,5-多網段管理模塊,6-異常處理模塊,7-故障檢測與恢復處理模塊,8-服務框架模塊,9-加密解密模塊,10-隧道模塊。
具體實施例方式
本發明採用的是柔性IP網絡技術體系,即是指由基本域管理實體,擴展域管理實體,接入管理實體,移動節點構成,使區域網中的移動節點能夠在全球網際網路範圍內隨意漫遊,並且確保移動節點隨時能夠與其基本域實現交互訪問。
本發明由不同模塊構成的前臺註冊管理和後臺服務兩大部分組成。構成前臺註冊管理的模塊包括註冊管理模塊1、密鑰管理模塊2、路由管理模塊3、網段衝突管理模塊4、多網段管理模塊5、異常處理模塊6和故障檢測恢復處理模塊7,構成後臺服務的模塊包括服務框架模塊8、加密解密模塊9和隧道模塊10。
參見附圖,本發明實現方法如下1.移動節點漫遊到擴展網絡域環境後,首先從擴展網絡域獲得合法的配置轉交地址。
移動節點從擴展網絡域獲得合法配置的轉交地址是指移動節點通過密鑰管理模塊2從擴展網絡域獲得與自己身份相關的認證密鑰和加密密鑰信息。配置轉交地址是指移動節點移動到擴展網絡域環境後,擴展網絡域分配給它的保持正常網絡連接的擴展網絡域的合法IP位址。從擴展網絡域獲得合法的配置轉交地址是通過PPP、DHCP或手工配置完成。
2.移動節點啟動註冊規程,向基本域管理實體認證,並將自己所獲得的配置轉交地址通告基本域管理實體。
移動節點啟動註冊規程,向基本域管理實體認證並通告所獲得的配置轉交地址是指該移動節點在擴展網絡域獲得配置轉交地址後,通過註冊管理模塊1啟動註冊過程,向基本域管理實體進行身份認證,同時告知基本域管理實體移動節點的配置轉交地址。
3.移動節點獲得對基本網絡域主機的ARP代理,自動響應上層協議棧的訪問請求,通過路由確定自己與基本網絡域主機的通信路徑。
4.移動節點通過隧道模塊10自己進行數據的隧道封裝與解封操作,並在數據發送之前進行數據的加密和解密處理。
移動節點通過隧道模塊10自己進行數據的隧道封裝與解封操作,並在數據發送之前進行數據的加密和解密處理是指移動節點用認證密鑰向基本域管理實體證實自己的身份,用加密密鑰對自己實際傳輸的數據進行加密,獲取、維護密鑰相關信息;漫遊結束後,該移動節點自己向基本域管理實體發送註銷消息,使基本域管理實體停止為該移動節點提供漫遊服務。
隧道模塊10是指把IP數據包的包頭和數據當作新的荷載,重新封裝新的報頭而進行數據傳輸的方法。隧道封裝是在原來IP數據報的基礎上再增加一層新的包頭層;所述的隧道解封是剔除隧道封裝時所增加的包頭。
如果有網段衝突或多網段,可調整路由管理模塊3的路由表的接口。
如果擴展網絡域的網絡規劃與基本網絡域的網絡規劃重疊,可通過網段衝突管理模塊4進行調整。
如果基本網絡域包含多個可以相互訪問的網段時,移動節點以其基本網絡域的身份漫遊到擴展網絡域後,需通過多網段管理模塊5對移動節點的路由表進行相應調整;否,則多網段管理模塊5不工作。
如果基本網絡域包含多個可以相互訪問的網段,移動節點以其基本網絡域的身份漫遊到擴展網絡域後,需通過多網段管理模塊5對移動節點的路由表進行相應調整。
出現註冊認證、密鑰獲取、密鑰更新、路由操作、加密解密、隧道操作等異常時,通過異常處理模塊6調整。
實體出現故障或網絡環境暫時擁塞時,移動節點通過故障檢測恢復處理模塊7進行包括基本域管理實體重啟或NAT埠變化的操作,並進行自我恢復。
通過服務框架模塊8搭建後臺服務框架,並將加密解密模塊9和隧道模塊10合成進所搭建的框架。加密解密模塊9完成動態會話密鑰的協商與用戶實際傳輸數據的加密和解密。隧道模塊10進行隧道的創建、刪除、維護以及隧道的封裝與解封操作。包括服務啟動、停止與狀態查詢功能;整個系統的事件循環控制。
本發明的基本域管理實體是指有一個埠與移動節點基本網絡域鏈路相連的網絡設備,為發生漫遊的移動節點提供身份認證及代理ARP。擴展域管理實體是指有一個埠與移動節點擴展網絡域鏈路相連的網絡設備,它是移動節點在擴展網絡域的預設路由器。移動節點是指可以將接入網際網路的位置從一條鏈路切換到另一條鏈路上,而仍然以基本網絡域的身份保持所有正在進行的通信的設備。
前臺註冊管理模塊說明註冊管理模塊1在擴展域管理實體轉交地址工作方式下,移動節點的註冊和數據傳輸是由擴展域管理實體代為轉發的,移動節點需要從擴展域管理實體發送的代理廣播中得到擴展域管理實體的IP位址。在自代理工作方式下,移動節點的註冊和數據傳輸是由自身完成的,它無需再發送廣播消息。移動節點在擴展網絡域獲得配置轉交地址後,自己啟動註冊過程向基本域管理實體進行身份認證,同時告知基本域管理實體移動節點的轉交地址;漫遊結束後,移動節點自己向基本域管理實體發送註銷消息,以便基本域管理實體停止為移動節點提供漫遊服務;密鑰管理模塊2在擴展域管理實體轉交地址工作方式下,加密隧道建立在擴展域管理實體和基本域管理實體之間,移動節點和擴展域管理實體之間沒有安全措施,所以移動節點不需要維護密鑰信息。為了實現自代理功能,移動節點需要從網絡管理員處獲得的與此移動節點身份相關的認證密鑰和加密密鑰信息。認證密鑰用於向基本域管理實體證實移動節點的身份,加密密鑰用於加密移動節點實際傳輸的數據。密鑰管理模塊2的功能即是完成密鑰相關信息的獲取與維護。
路由管理模塊3如果出現網段衝突和多網段的情況,需要適當調整路由表,此模塊為網段衝突管理模塊4和多網段模塊操作路由表提供統一的調整路由表的接口;網段衝突管理模塊4在擴展域管理實體轉交地址工作方式下,移動節點的所有數據都由擴展域管理實體轉發,移動節點無需處理網段衝突。在自代理工作方式下,當擴展網絡域的網絡規劃會和基本網絡域的網絡規劃發生網段重疊時,該模塊完成相應的調整功能,以保證移動節點可以正常訪問基本網絡域的資源或其他移動節點。
多網段管理模塊5在擴展域管理實體轉交地址工作方式下,移動節點的所有數據都由擴展域管理實體轉發,移動節點無需處理多網段情況。移動節點在自代理工作方式下,如果基本網絡域包含多個可以相互訪問的網段時,當移動節點以其基本網絡域的身份漫遊到擴展網絡域後,若不進行特殊的調整,它無法訪問除基本網絡域所在網段之外的其他網段的主機。此模塊通過對移動節點的路由表進行相應調整,使得移動節點可以訪問基本網絡域的其他網段。
異常處理模塊6此模塊主要完成與異常相關的處理,如註冊認證異常、密鑰獲取和更新異常、路由操作異常、加密解密異常、隧道操作異常等;路由操作異常包括網段衝突調整異常和多網段調整異常等。
故障檢測恢復處理模塊7柔性IP網絡技術體系涉及到多個功能實體跨越網際網路的的協調工作,如果某一個實體出現故障,或者網絡環境的暫時擁塞,都會導致整個系統無法繼續提供柔性IP網絡系統的相關服務。此時,移動節點應能夠診斷故障,如基本域管理實體重啟、NAT埠變化等,並將故障報告給移動用戶,並嘗試進行自我恢復。
後臺服務模塊說明服務框架模塊8相對於擴展域管理實體工作方式,前後臺功能分離是自代理工作方式特有的設計模式。該模塊完成作業系統後臺服務框架的搭建,並將加密解密模塊9和隧道模塊10合成進所搭建的框架。具體的說,包括服務啟動、停止與狀態查詢功能;整個系統的事件循環控制。
加密解密模塊9完成動態會話密鑰的協商與用戶實際傳輸數據的加密和解密功能。一般來說,與移動節點數據傳輸相關的密鑰有三個初始靜態密鑰、動態加密密鑰和動態解密密鑰。初始靜態密鑰是移動節點從網絡管理員處獲得的與基本域管理實體共享的秘密密鑰。密鑰協商負責協商動態加密密鑰和動態解密密鑰,如果協商沒有成功,用初始靜態密鑰加密解密數據。
隧道模塊10完成隧道的創建、刪除、維護等功能以及隧道的封裝與解封操作。
本發明相關技術術語說明基本域管理實體有一個埠與移動節點所在的基本網絡域相連的網絡設備,為發生漫遊的移動節點提供權限認證以及身份代理。
擴展域管理實體在移動節點的擴展網絡域上的網絡設備,為移動節點轉發身份認證消息以及數據包。
接入管理實體具有可在網際網路路由的IP位址的網絡設備,它位於基本域管理實體與擴展域管理實體之間,對移動節點身份進行認證以及轉發移動節點數據包的中繼設備。
基本網絡域移動節點漫遊前所在的網絡。
擴展網絡域移動節點漫遊後所到達的網絡。
IP隧道是指基於IP的一個數據包被封裝在另一個IP數據包的淨負荷中進行傳送時經過的路徑。
隧道技術指包括數據封裝,傳輸和解包在內的全過程。
移動節點可以將接入網際網路的位置從一條鏈路切換到另一條鏈路上,而仍然保持所有正在進行的通信,並且只使用原有固定IP位址的設備。
權利要求
1.一種使移動節點實現自代理功能的方法,其特徵在於該方法包括以下步驟1).移動節點漫遊到擴展網絡域環境後,首先從擴展網絡域獲得合法的配置轉交地址;2).移動節點啟動註冊規程,向基本域管理實體認證,並將自己所獲得的配置轉交地址通告基本域管理實體;3).移動節點獲得對基本網絡域主機的ARP代理,自動響應上層協議棧的訪問請求,通過路由確定自己與基本網絡域內主機的通信路徑;4).移動節點通過服務框架模塊(8)搭建後臺服務框架,並將加密解密模塊(9)和隧道模塊(10)合成進所搭建的框架;移動節點通過隧道模塊(10)自己進行數據的隧道封裝與解封操作;5).移動節點通過加密解密模塊(9)進行動態會話密鑰的協商與用戶實際傳輸數據的加密和解密,並在數據發送之前進行數據的加密和解密處理。
2.根據權利要求1所述的一種使移動節點實現自代理功能的方法,其特徵在於所述移動節點從擴展網絡域獲得合法配置的轉交地址是移動節點通過密鑰管理模塊(2)從擴展網絡域獲得與自己身份相關的認證密鑰和加密密鑰信息。
3.根據權利要求2所述的一種使移動節點實現自代理功能的方法,其特徵在於所述的配置轉交地址是移動節點移動到擴展網絡域環境後,擴展網絡域分配給它的保持正常網絡連接的擴展網絡域的合法IP位址;所述的從擴展網絡域獲得合法的配置轉交地址是通過PPP、DHCP或手工配置完成的。
4.根據權利要求1或2或3所述的一種使移動節點實現自代理功能的方法,其特徵在於所述的移動節點啟動註冊規程,向基本域管理實體認證並通告所獲得的配置轉交地址是該移動節點在擴展網絡域獲得配置轉交地址後,通過註冊管理模塊(1)啟動註冊過程,向基本域管理實體進行身份認證,同時告知基本域管理實體移動節點的配置轉交地址。
5.根據權利要求4所述的一種使移動節點實現自代理功能的方法,其特徵在於所述的移動節點通過隧道模塊(10)自己進行數據的隧道封裝與解封操作,並在數據發送之前進行數據的加密和解密處理是移動節點用認證密鑰向基本域管理實體證實自己的身份,用加密密鑰對自己實際傳輸的數據進行加密,獲取、維護密鑰相關信息;漫遊結束後,該移動節點自己向基本域管理實體發送註銷消息,使基本域管理實體停止為該移動節點提供漫遊服務。
6.根據權利要求5所述的一種使移動節點實現自代理功能的方法,其特徵在於所述的隧道模塊(10)是指把IP數據包的包頭和數據當作新的荷載,重新封裝新的報頭而進行數據傳輸的方法;所述的隧道封裝是在原來IP數據報的基礎上再增加一層新的包頭層;所述的隧道解封是剔除隧道封裝時所增加的包頭。
7.根據權利要求6所述的一種使移動節點實現自代理功能的方法,其特徵在於所述的方法包括1).有網段衝突或多網段否?有,則調整路由管理模塊(3)的路由表的接口;沒有,則路由管理模塊(3)不工作;2).擴展網絡域的網絡規劃與基本網絡域的網絡規劃重疊否?有重疊,則通過網段衝突管理模塊(4)進行調整;無重疊,則網段衝突管理模塊(4)不工作;3).基本網絡域包含多個可以相互訪問的網段否?是,則移動節點以其基本網絡域的身份漫遊到擴展網絡域後,通過多網段管理模塊(5)對移動節點的路由表進行相應調整;否,則多網段管理模塊(5)不工作;4).出現註冊認證、密鑰獲取、密鑰更新、路由操作、加密解密、隧道操作異常否?是,則通過異常處理模塊(6)調整;否,則異常處理模塊(6)不工作;5).有實體出現故障或網絡環境暫時擁塞否?是,則移動節點通過故障檢測恢復處理模塊(7)進行包括基本域管理實體重啟或NAT埠變化的操作,並進行自我恢復;否,則故障檢測恢復處理模塊(7)不工作。
8.根據權利要求6所述的一種使移動節點實現自代理功能的方法,其特徵在於所述的基本域管理實體是指有一個埠與移動節點基本網絡域鏈路相連的網絡設備,為發生漫遊的移動節點提供身份認證及代理ARP;所述的擴展域管理實體是指有一個埠與移動節點擴展網絡域鏈路相連的網絡設備,它是移動節點在擴展網絡域的預設路由器所述的移動節點是指可以將接入網際網路的位置從一條鏈路切換到另一條鏈路上,而仍然以基本網絡域的身份保持所有正在進行的通信的設備。
全文摘要
一種使移動節點實現自代理功能的方法。移動節點漫遊到擴展網絡域環境後,先獲得合法配置轉交地址,然後啟動註冊規程,向基本域管理實體認證,通告所獲得的配置轉交地址;獲得對基本網絡域主機的ARP代理,自動響應上層協議棧的訪問請求,確定與基本網絡域內主機的通信路徑;建後臺服務框架,將加密解密模塊和隧道模塊合成進此框架;進行數據的隧道封裝與解封操作;進行動態會話密鑰的協商與用戶實際傳輸數據的加密和解密,並在發送前進行加密和解密處理。本發明解決了背景技術中移動節點在擴展網絡域內通信不安全,硬體配置要求高的技術問題。本發明可使移動節點在任何擴展網絡域環境中,通過自代理功能安全漫遊回基本網絡域。
文檔編號H04L29/12GK1589060SQ20041007315
公開日2005年3月2日 申請日期2004年9月30日 優先權日2004年9月30日
發明者張寧, 萬曉輝, 李金成, 章忠威 申請人:西安西電捷通無線網絡通信有限公司