移動IPv6中報文傳輸方法及UTM設備的製作方法

2023-05-18 07:45:21 1

專利名稱：移動IPv6中報文傳輸方法及UTM設備的製作方法
技術領域：
本發明涉及移動通信技術，尤其涉及一種移動IPv6中報文傳輸方法及UTM設備。
背景技術：
隨著IPv6標準的成熟和試運行，在行動網路中引入IPv6成為通信網絡的重要發 展方向。移動IPv6技術是IPv6技術的重要組成部分，其充分利用IPv6協議對移動性的 內在支持，可以在不同的行動網路通過移動節點(Mobile Node, MN)的家鄉地址(Home of Address, HoA)進行尋址，移動IPv6對於IP層以上的協議層是完全透明的，這使得移動節 點在不同子網間移動時，運行在該節點上的應用程式不需修改或者配置仍然可用。
當移動節點連接在其家鄉鏈路上時，採用一般的主機或路由器一樣的工作方式進 行工作。當移動節點連接在其外地鏈路上時，外地網絡會為該移動節點分配轉交地址(Care of Address, CoA)。之後，移動節點將其轉交地址通知給家鄉代理，如果可以保證操作時的 安全性，移動節點也將其轉交地址通知給對端的通信節點(Communication Node, CN)。在 移動節點的發送方向上，移動節點發出的數據包被直接路由到目的地，無需經過家鄉網絡。 在移動節點的接收方向上，當移動節點將其轉交地址通知給通信節點時，通信節點可以利 用IPv6選路報頭直接將數據包發送給移動節點，這些數據包不需要經過移動節點的家鄉 代理，而是由通信節點到移動節點的一條優化路由；當移動節點只將其轉交地址通知家鄉 代理時，通信節點將通過家鄉代理髮送數據包給移動節點。
為了保證操作的安全性，在家鄉網絡中設置統一威脅管理(Unified Threats Management, UTM)設備，UTM設備可以用於識別報文中存在的威脅，以保證操作的安全性。 UTM設備還可以用於處理一些特殊業務，例如反病毒(Anti-Virus)業務，這種業務需要在 UTM中緩存部分報文。
現有技術中，當移動節點離開家鄉網絡時，報文將不再經過家鄉網絡中的UTM設 備，會造成威脅無法正常的識別，對於一些特殊業務，會丟失緩存的報文，造成業務不通。發明內容
本發明實施例是提供一種移動IPv6中報文傳輸方法及UTM設備，用於解決現有技 術中存在的移動節點離開家鄉網絡後，報文不再經過家鄉網絡的UTM設備引起的操作不安 全或者業務不通的問題。
本發明實施例提供了一種移動IPv6中報文傳輸方法，包括
轉發移動節點MN發送的域名系統DNS查詢請求給DNS伺服器，在接收到DNS服務 器返回的DNS響應時，將所述DNS響應中攜帶的與所述麗通信的通信節點的IP位址修改 為配置在統一威脅管理UTM設備上的虛擬IP位址，並將修改後的DNS響應發送給所述MN ；
接收所述麗發送的目的地址為所述虛擬IP位址的報文；
對所述MN發送的報文進行UTM處理，將UTM處理後的報文發送給所述通信節點。
本發明實施例提供了 一種UTM設備，包括
域名系統應用層網關DNS-ALG模塊，用於轉發移動節點MN發送的域名系統DNS查 詢請求給DNS伺服器，在接收到DNS伺服器返回的DNS響應時，將所述DNS響應中攜帶的與 所述MN通信的通信節點的IP位址修改為配置在統一威脅管理UTM設備上的虛擬IP位址， 並將修改後的DNS響應發送給所述麗；
處理模塊，用於接收所述麗發送的目的地址為所述虛擬IP位址的報文；對所述 MN發送的報文進行UTM處理，將UTM處理後的報文發送給所述通信節點。
由上述技術方案可知，本發明實施例通過在MN發起DNS查詢時，將通信節點的IP 地址修改為配置在UTM設備上的虛擬IP位址，可以使得MN將報文發送給UTM，之後，由UTM 發送給通信節點。實現報文經過UTM設備，保證安全操作及保證業務暢通。


為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要使 用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對於本 領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他 的附圖。
圖1為本發明第一實施例的方法流程示意圖2為本發明第二實施例的方法流程示意圖3為本發明第三實施例的UTM設備的結構示意圖4為本發明第四實施例的UTM設備的結構示意圖。
具體實施方式
為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例 中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是 本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員 在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。
圖1為本發明第一實施例的方法流程示意圖，包括
步驟11 =UTM設備轉發麗發送的DNS查詢請求給DNS伺服器，在接收到DNS服務 器返回的DNS響應時，將該DNS響應中攜帶的與該麗通信的通信節點的IP位址修改為配 置在UTM設備上的虛擬IP位址，並將修改後的DNS響應發送給該麗；其中，該通信節點的 IP位址為網絡中該通信節點的真實IP位址。
步驟12 =UTM設備接收所述麗發送的目的地址為所述虛擬IP位址的報文；對該 MN發送的報文進行UTM處理，將UTM處理後的報文發送給該通信節點。
由於現有技術中當MN離開家鄉網絡後，MN發送給通信節點的報文可能會不經過 UTM設備，這樣會造成一些問題。例如，會造成威脅無法正常的識別，對於一些特殊業務，會 丟失緩存的報文，造成業務不通。為此，本發明實施例通過對UTM設備進行改進，可以使得 MN在發送報文時，使得報文經過UTM設備發送給通信節點。
具體的，本實施例通過在MN發起DNS查詢時，將通信節點的IP位址修改為配置在 UTM設備上的虛擬IP位址，可以使得MN將報文發送給UTM，之後，由UTM發送給通信節點。 實現報文經過UTM設備，保證安全操作及保證業務暢通。
圖2為本發明第二實施例的方法流程示意圖，包括
步驟201 :MN向UTM設備中的DNS-ALG模塊發送DNS查詢請求。
步驟202 =DNS-ALG模塊將該DNS查詢請求轉發給DNS伺服器。
步驟203 =DNS伺服器查詢得到與該麗通信的通信節點的IP位址，並將該通信節 點的IP位址攜帶在DNS響應中，向DNS-ALG模塊返回DNS響應。
步驟204 =DNS-ALG模塊將該DNS響應中攜帶的通信節點的IP位址修改為配置在 UTM設備上的虛擬IP位址。
例如，在UTM設備上可以預先配置虛擬IP位址，該虛擬IP位址可以具體為64位， 之後，該64位的虛擬IP位址可以被分配給264個麗使用。
該虛擬IP位址可以預先保存在DNS-ALG模塊中，之後，DNS-ALG模塊可以在多個 虛擬IP位址中任選一個作為修改後的IP位址。
DNS響應通常會存在一個生命周期，因此DNS-ALG模塊還可以設置DNS響應的生命 周期，例如，設置該生命周期為N = 5 10秒。
步驟205 =DNS-ALG模塊將攜帶虛擬IP位址的DNS響應發送給麗。
步驟206 =DNS-ALG模塊建立虛擬IP位址、通信節點的IP位址及麗的家鄉地址的 地址對應關係，並保存到UTM設備中的映射表(Server Map)模塊中。
其中，麗在發送DNS查詢請求時其源地址即為麗的家鄉地址，DNS伺服器返回的 DNS響應中攜帶的是通信節點的IP位址，DNS-ALG模塊用任選後的虛擬IP位址替換DNS響 應中的通信節點的IP位址。因此，從上述流程中可以建立虛擬IP位址、通信節點的IP地 址、麗的家鄉地址的對應關係。
還可以設置映射表的老化時間，為了保證MN有足夠的時間用於老化本地的DNS緩 存(Cache)，該映射表的老化時間可以設置為2N，其中N為DNS響應的老化時間。可以理解 的是，根據UTM設備的不同使用場景，該映射表的老化時間也可以設定為其他值，以便於保 證麗有足夠的時間用於老化本地的DNS緩存(Cache)。由於麗接收到的DNS響應中攜帶 的是配置在UTM設備上的虛擬IP位址，因此，當發送報文時，麗將報文發送給UTM設備。
步驟207 :UTM設備中的地址適配模塊接收MN發送的報文，該報文的目的地址為虛 擬IP位址。
步驟208 地址適配模塊在確定該報文的目的地址為虛擬IP位址後，向映射表模 塊發送地址查詢請求，查詢與該虛擬IP位址對應的通信節點的IP位址。
步驟209 映射表模塊根據保存的地址對應關係，獲取該虛擬IP位址對應的通信 節點的IP位址，並將該通信節點的IP位址攜帶在地址響應中返回給地址適配模塊。
步驟210 地址適配模塊將該報文的目的地址修改為獲取的通信節點的IP位址。
步驟211 地址適配模塊將修改目的地址後的報文發送給UTM設備中的UTM功能 模塊。
步驟212 =UTM功能模塊對報文進行UTM處理。
例如，進行UTM檢測，如執行反病毒檢測，入侵檢測等，以保證操作安全性。和/或， 結合緩存報文進行處理，以保證業務的暢通。
步驟213 =UTM功能模塊將UTM處理後的報文發送給地址適配模塊。
步驟214 由於報文的目的地址為通信節點，因此地址適配模塊轉發UTM處理後的報文給通信節點。
上述描述了 MN到通信節點方向上的報文傳輸，進一步地，當報文從通信節點返回 MN時，可以進一步執行如下步驟
步驟215 通信節點向UTM設備返回回應報文。
步驟216 地址適配模塊將返回的回應報文發送給UTM功能模塊，由UTM功能模塊 進行UTM處理後，再經由地址適配模塊轉發給MN。
其中，地址適配模塊可以根據保存的映射表中的MN的家鄉地址、通信節點的IP地 址及虛擬IP位址的對應關係，以及返回的回應報文中的地址信息，確定MN的家鄉地址，以 便將回應報文發送給MN。例如，可以從回應報文中獲取目的地址(回應報文的目的地址即 為虛擬IP位址)，再根據虛擬IP位址與MN的家鄉地址的對應關係，確定對應的MN，將回應 發送給MN;也可以是從回應報文中獲取源地址(回應報文的源地址即為與MN通信的通信 節點的IP位址)，再根據通信節點的IP位址與家鄉地址的對應關係，確定對應的MN，將回 應報文轉發給MN。
本實施例通過在麗發起DNS查詢時，將通信節點的IP位址修改為配置在UTM設 備上的虛擬IP位址，可以使得MN將報文發送給UTM設備，之後，由UTM設備發送給通信節 點。實現報文經過UTM設備，保證安全操作及保證業務暢通。
由於麗經過UTM設備向通信節點發送報文時，由通信節點向麗返回的報文同樣 會經過UTM設備。實現MN不論漫遊到任何地方，均會把報文發送到UTM設備上，由UTM設 備轉發到通信節點，並由UTM設備轉發通信節點返回給MN的報文，保證報文的安全操作及 業務的暢通。
圖3為本發明第三實施例的UTM設備的結構示意圖，包括DNS-ALG模塊31和處理 模塊32 ；DNS-ALG模塊31用於轉發麗發送的DNS查詢請求給DNS伺服器，在接收到DNS服 務器返回的DNS響應時，將該DNS響應中攜帶的與該麗通信的通信節點的IP位址修改為 配置在UTM設備上的虛擬IP位址，並將修改後的DNS響應發送給該麗；處理模塊32用於接 收所述MN發送的目的地址為所述虛擬IP位址的報文；對該MN發送的報文進行UTM處理， 將UTM處理後的報文發送給該通信節點。
本實施例通過在麗發起DNS查詢時，將通信節點的IP位址修改為配置在UTM設 備上的虛擬IP位址，可以使得MN將報文發送給UTM，之後，由UTM發送給通信節點。實現報 文經過UTM設備，保證安全操作及保證業務暢通。
圖4為本發明第四實施例的UTM設備的結構示意圖，包括DNS-ALG模塊41、映射表 模塊42、地址適配模塊43和UTM功能模塊44。
其中，DNS-ALG模塊41的具體功能可以參見第三實施例，所述DNS查詢請求中的 源地址是所述麗的家鄉地址，映射表模塊42與DNS-ALG模塊41連接，用於建立映射表，所 述映射表保存該通信節點的IP位址、該虛擬IP位址和該MN的家鄉地址的對應關係。
地址適配模塊43和UTM功能模塊44組成處理模塊，處理模塊的具體功能可以參 見第三實施例。地址適配模塊43與該映射表模塊42連接，用於接收該MN發送的目的地址 為該虛擬IP位址的報文，根據該映射表中保存的對應關係，將該虛擬IP位址修改為該通信 節點的IP位址；UTM功能模塊44與該地址適配模塊43連接，用於對修改目的地址後的報 文進行UTM處理，並將該UTM處理後的報文通過該地址適配模塊43發送給該通信節點。
DNS-ALG模塊41還用於預先獲取配置在所述UTM設備上的虛擬IP位址。
DNS-ALG模塊41還可以用於設置DNS響應的生命周期，例如設置DNS響應的生命 周期為N，其中N = 510秒，此時，映射表模塊42還可以用於所述映射表的生命周期為所述 DNS響應的生命周期的2倍，例如，設置該映射表的生命周期為2XN，其中N為DNS響應的 老化時間，保證MN有足夠的時間用於老化本地的DNS緩存(Cache)。
本實施例通過在麗發起DNS查詢時，將通信節點的IP位址修改為配置在UTM設 備上的虛擬IP位址，可以使得MN將報文發送給UTM，之後，由UTM發送給通信節點。實現報 文經過UTM設備，保證安全操作及保證業務暢通。由於MN經過UTM設備向通信節點發送報 文時，由通信節點向MN返回的報文同樣會經過UTM設備。實現MN不論漫遊到任何地方，均 會把報文發送到UTM設備上，由UTM設備轉發到通信節點，並由UTM設備轉發通信節點返回 給MN的報文，保證報文的安全操作及業務的暢通。
本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬體來完成，前述的程序可以存儲於一計算機可讀取存儲介質中，該程序 在執行時，執行包括上述方法實施例的步驟；而前述的存儲介質包括R0M、RAM、磁碟或者 光碟等各種可以存儲程序代碼的介質。
最後應說明的是以上實施例僅用以說明本發明的技術方案，而非對其限制；盡 管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解其依然 可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替 換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精 神和範圍。
權利要求
1.一種移動IPv6中報文傳輸方法，其特徵在於，包括轉發移動節點MN發送的域名系統DNS查詢請求給DNS伺服器，在接收到DNS伺服器返 回的DNS響應時，將所述DNS響應中攜帶的與所述麗通信的通信節點的IP位址修改為配 置在統一威脅管理UTM設備上的虛擬IP位址，並將修改後的DNS響應發送給所述MN ；接收所述MN發送的目的地址為所述虛擬IP位址的報文；對所述MN發送的報文進行UTM處理，將UTM處理後的報文發送給所述通信節點。
2.根據權利要求1所述的方法，其特徵在於，所述DNS查詢請求中的源地址是所述MN 的家鄉地址，在將修改後的DNS響應發送給所述MN之後，所述方法還包括建立映射表，所述映射表保存如下三項的對應關系所述通信節點的IP位址、所述虛 擬IP位址和所述麗的家鄉地址。
3.根據權利要求2所述的方法，其特徵在於，所述對所述MN發送的報文進行UTM處理， 將UTM處理後的報文發送給所述通信節點，包括接收所述MN發送的目的地址為所述虛擬IP位址的報文，根據所述映射表中保存的對 應關係，將所述虛擬IP位址修改為所述通信節點的IP位址，得到目的地址修改後的報文；對所述目的地址修改後的報文進行UTM處理，並發送UTM處理後的報文給所述通信節點ο
4.根據權利要求1-3任一項所述的方法，其特徵在於，在接收MN發送的DNS查詢請求 之前，所述方法還包括預先獲取配置在所述UTM設備上的虛擬IP位址。
5.根據權利要求2所述的方法，其特徵在於，在建立映射表之後，所述方法還包括設置所述映射表的生命周期為所述DNS響應的生命周期的2倍。
6.一種UTM設備，其特徵在於，包括域名系統應用層網關DNS-ALG模塊，用於轉發移動節點MN發送的域名系統DNS查詢請 求給DNS伺服器，在接收到DNS伺服器返回的DNS響應時，將所述DNS響應中攜帶的與所述 MN通信的通信節點的IP位址修改為配置在統一威脅管理UTM設備上的虛擬IP位址，並將 修改後的DNS響應發送給所述麗；處理模塊，用於接收所述麗發送的目的地址為所述虛擬IP位址的報文；對所述麗發 送的報文進行UTM處理，將UTM處理後的報文發送給所述通信節點。
7.根據權利要求6所述的設備，其特徵在於，所述DNS查詢請求中的源地址是所述MN 的家鄉地址，所述設備還包括映射表模塊，與DNS-ALG模塊連接，用於建立映射表，所述映射表保存所述通信節點的 IP位址、所述虛擬IP位址和所述MN的家鄉地址的對應關係。
8.根據權利要求7所述的設備，其特徵在於，所述處理模塊包括地址適配模塊，與所述映射表模塊連接，用於接收所述MN發送的目的地址為所述虛擬 IP位址的報文，根據所述映射表中保存的對應關係，將所述虛擬IP位址修改為所述通信節 點的IP位址；UTM功能模塊，用於對修改目的地址後的報文進行UTM處理，並將所述UTM處理後的報 文通過所述地址適配模塊發送給所述通信節點。
9.根據權利要求6-8任一項所述的設備，其特徵在於，所述DNS-ALG模塊還用於預先獲取配置在所述UTM設備上的虛擬IP位址。
10.根據權利要求7所述的設備，其特徵在於，所述映射表模塊還用於設置所述映射表 的生命周期為所述DNS響應的生命周期的2倍。
全文摘要
本發明實施例提供一種移動IPv6中報文傳輸方法及UTM設備。該方法包括轉發MN發送的DNS查詢請求給DNS伺服器，在接收到DNS伺服器返回的DNS響應時，將所述DNS響應中攜帶的與所述MN通信的通信節點的IP位址修改為配置在UTM設備上的虛擬IP位址，並將修改後的DNS響應發送給所述MN；接收所述MN發送的目的地址為所述虛擬IP位址的報文；對所述MN發送的報文進行UTM處理，將UTM處理後的報文發送給所述通信節點。本發明實施例可以在MN離開家鄉網絡後，發送的報文依舊經過UTM設備，以保證操作安全性及保證業務暢通。
文檔編號H04L12/56GK102045260SQ20101062468
公開日2011年5月4日 申請日期2010年12月31日 優先權日2010年12月31日
發明者吳昊, 黃冕 申請人:成都市華為賽門鐵克科技有限公司