专利名称:一种使移动节点实现自代理功能的方法
技术领域:
本发明涉及一种移动节点漫游到一个没有扩展域管理实体的网络环境中时,通过自身实现代理功能,保持和基本域管理实体及其他移动节点正常通信的方法。尤其涉及一种使移动节点实现自代理功能的方法。
背景技术:
移动IP技术为移动节点获取转交地址提供了两种方法一是从某个外地代理获得外地代理转交地址,二是直接从外地网络获取一个配置转交地址。配置转交地址代表了移动节点在外地网络的合法身份。采用配置转交地址方式工作时,移动节点自己完成到家乡代理服务器的隧道操作。
移动IP技术中,外地网络一般固定放置一台外地代理服务器,该外地代理服务器为移动节点提供代理功能。这种方式应用的较早,虽可为跨越因特网的两个或多个相互信任的网络搭建一条安全通路,但存在如下缺陷或不足1.这种方式假定外地网络环境是可信的,安全的隧道建立在外地代理和家乡代理之间。移动节点和外地代理之间的数据传输没有采取特殊的安全措施。如果外地网络上存在某些恶意攻击者,就会对移动节点的通信造成很大的安全隐患,移动节点的数据通信可能被截获,或被非法窃听。
2.由于一个外地代理需要为成千上万个移动节点提供代理服务,所以硬件配置要求很高,不仅造价昂贵,且需维护。
3.如果许多移动节点同时出现突发性的大规模数据传输,外地代理容易成为整个移动IP系统的“瓶颈”,这种“瓶颈”导致的弊病有二1).使系统效率降低。外地代理为所有的移动节点提供隧道封装和解封功能,如果同时工作的移动节点数目很多,移动IP系统的效率就会很低。
2).易形成单故障节点。如果外地代理出现故障,它代理的所有移动节点就都不能正常工作。
4.受客观条件的限制,并不是所有外地网络环境都安置有外地代理。如果移动节点漫游到还未架设外地代理的网络环境时,由于缺少外地代理提供的服务支持,它就无法正常享受移动IP系统的功能。
发明内容
本发明的目的在于提供一种使移动节点实现自代理功能的方法,其解决了背景技术中移动节点在扩展网络域内的通信不安全,扩展域管理实体易成为整个系统的“瓶颈”,硬件配置要求高,或无法正常享受柔性IP网络功能的技术问题。
本发明的技术解决方案是一种使移动节点实现自代理功能的方法,其特殊之处在于该方法包括以下步骤1).移动节点漫游到扩展网络域环境后,首先从扩展网络域获得合法的配置转交地址;2).移动节点启动注册规程,向基本域管理实体认证,并将自己所获得的配置转交地址通告基本域管理实体;3).移动节点获得对基本网络域主机的ARP代理,自动响应上层协议栈的访问请求,通过路由确定自己与基本网络域内主机的通信路径;4).移动节点通过服务框架模块8搭建后台服务框架,并将加密解密模块9和隧道模块10合成进所搭建的框架;移动节点通过隧道模块10自己进行数据的隧道封装与解封操作;5).移动节点通过加密解密模块9进行动态会话密钥的协商与用户实际传输数据的加密和解密,并在数据发送之前进行数据的加密和解密处理。
上述移动节点从扩展网络域获得合法配置的转交地址可以是移动节点通过密钥管理模块2从扩展网络域获得与自己身份相关的认证密钥和加密密钥信息。
上述配置转交地址是移动节点移动到扩展网络域环境后,扩展网络域分配给它的保持正常网络连接的扩展网络域的合法IP地址;所述的从扩展网络域获得合法的配置转交地址是通过PPP、DHCP或手工配置完成的。
上述移动节点启动注册规程,向基本域管理实体认证并通告所获得的配置转交地址是该移动节点在扩展网络域获得配置转交地址后,通过注册管理模块1启动注册过程,向基本域管理实体进行身份认证,同时告知基本域管理实体移动节点的配置转交地址。
上述移动节点通过隧道模块10自己进行数据的隧道封装与解封操作,并在数据发送之前进行数据的加密和解密处理是移动节点用认证密钥向基本域管理实体证实自己的身份,用加密密钥对自己实际传输的数据进行加密,获取、维护密钥相关信息;漫游结束后,该移动节点自己向基本域管理实体发送注销消息,使基本域管理实体停止为该移动节点提供漫游服务。
上述隧道模块10是指把IP数据包的包头和数据当作新的荷载,重新封装新的报头而进行数据传输的方法;所述的隧道封装是在原来IP数据报的基础上再增加一层新的包头层;所述的隧道解封是剔除隧道封装时所增加的包头。
本发明上述方法还包括1).有网段冲突或多网段否?有,则调整路由管理模块3的路由表的接口;没有,则路由管理模块3不工作;2).扩展网络域的网络规划与基本网络域的网络规划重叠否?有重叠,则通过网段冲突管理模块4进行调整;无重叠,则网段冲突管理模块4不工作;3).基本网络域包含多个可以相互访问的网段否?是,则移动节点以其基本网络域的身份漫游到扩展网络域后,通过多网段管理模块5对移动节点的路由表进行相应调整;否,则多网段管理模块5不工作;4).出现注册认证、密钥获取、密钥更新、路由操作、加密解密、隧道操作异常否?是,则通过异常处理模块6调整;否,则异常处理模块6不工作;5).有实体出现故障或网络环境暂时拥塞否?是,则移动节点通过故障检测恢复处理模块7进行包括基本域管理实体重启或NAT端口变化的操作,并进行自我恢复;否,则故障检测恢复处理模块7不工作。
上述基本域管理实体是指有一个端口与移动节点基本网络域链路相连的网络设备,为发生漫游的移动节点提供身份认证及代理ARP;所述的扩展域管理实体是指有一个端口与移动节点扩展网络域链路相连的网络设备,它是移动节点在扩展网络域的缺省路由器所述的移动节点是指可以将接入因特网的位置从一条链路切换到另一条链路上,而仍然以基本网络域的身份保持所有正在进行的通信的设备。
本发明具有以下优点1.本发明可使移动节点在任何扩展网络域环境中,通过移动节点的自代理功能,安全地漫游回基本网络域,正常享受柔性IP网络技术提供的一切服务。
2.本发明的加密隧道建立在移动节点和基本域管理实体之间,安全可靠,既避免了移动节点在扩展网络域环境遭受窃听和攻击的可能,又使移动节点享受的漫游服务不受扩展域管理实体的约束,实现随心所欲的漫游。
3.本发明把较为费时的隧道的封装、解封操作和数据的加密、解密操作设计为计算机操作系统的一个后台服务,并为服务设置较高的优先级,既提高了数据的处理效率,使整个系统的效率提高,又使整体设计简化、层次清晰,便于实现,且具有较强的扩展性。
4.本发明充分利用操作系统的现有机制,可适应具体配置各不相同的移动节点。
5.后台服务的通用性好。对于不同的应用,前台注册管理的要求可能不同,只需修改或扩展前台注册管理相应的模块,后台服务则无需改动。
6.硬件配置简单,造价低,无需维护。
附图为本发明系统模块组成的示意图。
附图标号说明1-注册管理模块,2-密钥管理模块,3-路由管理模块,4-网段冲突管理模块,5-多网段管理模块,6-异常处理模块,7-故障检测与恢复处理模块,8-服务框架模块,9-加密解密模块,10-隧道模块。
具体实施例方式
本发明采用的是柔性IP网络技术体系,即是指由基本域管理实体,扩展域管理实体,接入管理实体,移动节点构成,使局域网中的移动节点能够在全球互联网范围内随意漫游,并且确保移动节点随时能够与其基本域实现交互访问。
本发明由不同模块构成的前台注册管理和后台服务两大部分组成。构成前台注册管理的模块包括注册管理模块1、密钥管理模块2、路由管理模块3、网段冲突管理模块4、多网段管理模块5、异常处理模块6和故障检测恢复处理模块7,构成后台服务的模块包括服务框架模块8、加密解密模块9和隧道模块10。
参见附图,本发明实现方法如下1.移动节点漫游到扩展网络域环境后,首先从扩展网络域获得合法的配置转交地址。
移动节点从扩展网络域获得合法配置的转交地址是指移动节点通过密钥管理模块2从扩展网络域获得与自己身份相关的认证密钥和加密密钥信息。配置转交地址是指移动节点移动到扩展网络域环境后,扩展网络域分配给它的保持正常网络连接的扩展网络域的合法IP地址。从扩展网络域获得合法的配置转交地址是通过PPP、DHCP或手工配置完成。
2.移动节点启动注册规程,向基本域管理实体认证,并将自己所获得的配置转交地址通告基本域管理实体。
移动节点启动注册规程,向基本域管理实体认证并通告所获得的配置转交地址是指该移动节点在扩展网络域获得配置转交地址后,通过注册管理模块1启动注册过程,向基本域管理实体进行身份认证,同时告知基本域管理实体移动节点的配置转交地址。
3.移动节点获得对基本网络域主机的ARP代理,自动响应上层协议栈的访问请求,通过路由确定自己与基本网络域主机的通信路径。
4.移动节点通过隧道模块10自己进行数据的隧道封装与解封操作,并在数据发送之前进行数据的加密和解密处理。
移动节点通过隧道模块10自己进行数据的隧道封装与解封操作,并在数据发送之前进行数据的加密和解密处理是指移动节点用认证密钥向基本域管理实体证实自己的身份,用加密密钥对自己实际传输的数据进行加密,获取、维护密钥相关信息;漫游结束后,该移动节点自己向基本域管理实体发送注销消息,使基本域管理实体停止为该移动节点提供漫游服务。
隧道模块10是指把IP数据包的包头和数据当作新的荷载,重新封装新的报头而进行数据传输的方法。隧道封装是在原来IP数据报的基础上再增加一层新的包头层;所述的隧道解封是剔除隧道封装时所增加的包头。
如果有网段冲突或多网段,可调整路由管理模块3的路由表的接口。
如果扩展网络域的网络规划与基本网络域的网络规划重叠,可通过网段冲突管理模块4进行调整。
如果基本网络域包含多个可以相互访问的网段时,移动节点以其基本网络域的身份漫游到扩展网络域后,需通过多网段管理模块5对移动节点的路由表进行相应调整;否,则多网段管理模块5不工作。
如果基本网络域包含多个可以相互访问的网段,移动节点以其基本网络域的身份漫游到扩展网络域后,需通过多网段管理模块5对移动节点的路由表进行相应调整。
出现注册认证、密钥获取、密钥更新、路由操作、加密解密、隧道操作等异常时,通过异常处理模块6调整。
实体出现故障或网络环境暂时拥塞时,移动节点通过故障检测恢复处理模块7进行包括基本域管理实体重启或NAT端口变化的操作,并进行自我恢复。
通过服务框架模块8搭建后台服务框架,并将加密解密模块9和隧道模块10合成进所搭建的框架。加密解密模块9完成动态会话密钥的协商与用户实际传输数据的加密和解密。隧道模块10进行隧道的创建、删除、维护以及隧道的封装与解封操作。包括服务启动、停止与状态查询功能;整个系统的事件循环控制。
本发明的基本域管理实体是指有一个端口与移动节点基本网络域链路相连的网络设备,为发生漫游的移动节点提供身份认证及代理ARP。扩展域管理实体是指有一个端口与移动节点扩展网络域链路相连的网络设备,它是移动节点在扩展网络域的缺省路由器。移动节点是指可以将接入因特网的位置从一条链路切换到另一条链路上,而仍然以基本网络域的身份保持所有正在进行的通信的设备。
前台注册管理模块说明注册管理模块1在扩展域管理实体转交地址工作方式下,移动节点的注册和数据传输是由扩展域管理实体代为转发的,移动节点需要从扩展域管理实体发送的代理广播中得到扩展域管理实体的IP地址。在自代理工作方式下,移动节点的注册和数据传输是由自身完成的,它无需再发送广播消息。移动节点在扩展网络域获得配置转交地址后,自己启动注册过程向基本域管理实体进行身份认证,同时告知基本域管理实体移动节点的转交地址;漫游结束后,移动节点自己向基本域管理实体发送注销消息,以便基本域管理实体停止为移动节点提供漫游服务;密钥管理模块2在扩展域管理实体转交地址工作方式下,加密隧道建立在扩展域管理实体和基本域管理实体之间,移动节点和扩展域管理实体之间没有安全措施,所以移动节点不需要维护密钥信息。为了实现自代理功能,移动节点需要从网络管理员处获得的与此移动节点身份相关的认证密钥和加密密钥信息。认证密钥用于向基本域管理实体证实移动节点的身份,加密密钥用于加密移动节点实际传输的数据。密钥管理模块2的功能即是完成密钥相关信息的获取与维护。
路由管理模块3如果出现网段冲突和多网段的情况,需要适当调整路由表,此模块为网段冲突管理模块4和多网段模块操作路由表提供统一的调整路由表的接口;网段冲突管理模块4在扩展域管理实体转交地址工作方式下,移动节点的所有数据都由扩展域管理实体转发,移动节点无需处理网段冲突。在自代理工作方式下,当扩展网络域的网络规划会和基本网络域的网络规划发生网段重叠时,该模块完成相应的调整功能,以保证移动节点可以正常访问基本网络域的资源或其他移动节点。
多网段管理模块5在扩展域管理实体转交地址工作方式下,移动节点的所有数据都由扩展域管理实体转发,移动节点无需处理多网段情况。移动节点在自代理工作方式下,如果基本网络域包含多个可以相互访问的网段时,当移动节点以其基本网络域的身份漫游到扩展网络域后,若不进行特殊的调整,它无法访问除基本网络域所在网段之外的其他网段的主机。此模块通过对移动节点的路由表进行相应调整,使得移动节点可以访问基本网络域的其他网段。
异常处理模块6此模块主要完成与异常相关的处理,如注册认证异常、密钥获取和更新异常、路由操作异常、加密解密异常、隧道操作异常等;路由操作异常包括网段冲突调整异常和多网段调整异常等。
故障检测恢复处理模块7柔性IP网络技术体系涉及到多个功能实体跨越因特网的的协调工作,如果某一个实体出现故障,或者网络环境的暂时拥塞,都会导致整个系统无法继续提供柔性IP网络系统的相关服务。此时,移动节点应能够诊断故障,如基本域管理实体重启、NAT端口变化等,并将故障报告给移动用户,并尝试进行自我恢复。
后台服务模块说明服务框架模块8相对于扩展域管理实体工作方式,前后台功能分离是自代理工作方式特有的设计模式。该模块完成操作系统后台服务框架的搭建,并将加密解密模块9和隧道模块10合成进所搭建的框架。具体的说,包括服务启动、停止与状态查询功能;整个系统的事件循环控制。
加密解密模块9完成动态会话密钥的协商与用户实际传输数据的加密和解密功能。一般来说,与移动节点数据传输相关的密钥有三个初始静态密钥、动态加密密钥和动态解密密钥。初始静态密钥是移动节点从网络管理员处获得的与基本域管理实体共享的秘密密钥。密钥协商负责协商动态加密密钥和动态解密密钥,如果协商没有成功,用初始静态密钥加密解密数据。
隧道模块10完成隧道的创建、删除、维护等功能以及隧道的封装与解封操作。
本发明相关技术术语说明基本域管理实体有一个端口与移动节点所在的基本网络域相连的网络设备,为发生漫游的移动节点提供权限认证以及身份代理。
扩展域管理实体在移动节点的扩展网络域上的网络设备,为移动节点转发身份认证消息以及数据包。
接入管理实体具有可在因特网路由的IP地址的网络设备,它位于基本域管理实体与扩展域管理实体之间,对移动节点身份进行认证以及转发移动节点数据包的中继设备。
基本网络域移动节点漫游前所在的网络。
扩展网络域移动节点漫游后所到达的网络。
IP隧道是指基于IP的一个数据包被封装在另一个IP数据包的净负荷中进行传送时经过的路径。
隧道技术指包括数据封装,传输和解包在内的全过程。
移动节点可以将接入因特网的位置从一条链路切换到另一条链路上,而仍然保持所有正在进行的通信,并且只使用原有固定IP地址的设备。
权利要求
1.一种使移动节点实现自代理功能的方法,其特征在于该方法包括以下步骤1).移动节点漫游到扩展网络域环境后,首先从扩展网络域获得合法的配置转交地址;2).移动节点启动注册规程,向基本域管理实体认证,并将自己所获得的配置转交地址通告基本域管理实体;3).移动节点获得对基本网络域主机的ARP代理,自动响应上层协议栈的访问请求,通过路由确定自己与基本网络域内主机的通信路径;4).移动节点通过服务框架模块(8)搭建后台服务框架,并将加密解密模块(9)和隧道模块(10)合成进所搭建的框架;移动节点通过隧道模块(10)自己进行数据的隧道封装与解封操作;5).移动节点通过加密解密模块(9)进行动态会话密钥的协商与用户实际传输数据的加密和解密,并在数据发送之前进行数据的加密和解密处理。
2.根据权利要求1所述的一种使移动节点实现自代理功能的方法,其特征在于所述移动节点从扩展网络域获得合法配置的转交地址是移动节点通过密钥管理模块(2)从扩展网络域获得与自己身份相关的认证密钥和加密密钥信息。
3.根据权利要求2所述的一种使移动节点实现自代理功能的方法,其特征在于所述的配置转交地址是移动节点移动到扩展网络域环境后,扩展网络域分配给它的保持正常网络连接的扩展网络域的合法IP地址;所述的从扩展网络域获得合法的配置转交地址是通过PPP、DHCP或手工配置完成的。
4.根据权利要求1或2或3所述的一种使移动节点实现自代理功能的方法,其特征在于所述的移动节点启动注册规程,向基本域管理实体认证并通告所获得的配置转交地址是该移动节点在扩展网络域获得配置转交地址后,通过注册管理模块(1)启动注册过程,向基本域管理实体进行身份认证,同时告知基本域管理实体移动节点的配置转交地址。
5.根据权利要求4所述的一种使移动节点实现自代理功能的方法,其特征在于所述的移动节点通过隧道模块(10)自己进行数据的隧道封装与解封操作,并在数据发送之前进行数据的加密和解密处理是移动节点用认证密钥向基本域管理实体证实自己的身份,用加密密钥对自己实际传输的数据进行加密,获取、维护密钥相关信息;漫游结束后,该移动节点自己向基本域管理实体发送注销消息,使基本域管理实体停止为该移动节点提供漫游服务。
6.根据权利要求5所述的一种使移动节点实现自代理功能的方法,其特征在于所述的隧道模块(10)是指把IP数据包的包头和数据当作新的荷载,重新封装新的报头而进行数据传输的方法;所述的隧道封装是在原来IP数据报的基础上再增加一层新的包头层;所述的隧道解封是剔除隧道封装时所增加的包头。
7.根据权利要求6所述的一种使移动节点实现自代理功能的方法,其特征在于所述的方法包括1).有网段冲突或多网段否?有,则调整路由管理模块(3)的路由表的接口;没有,则路由管理模块(3)不工作;2).扩展网络域的网络规划与基本网络域的网络规划重叠否?有重叠,则通过网段冲突管理模块(4)进行调整;无重叠,则网段冲突管理模块(4)不工作;3).基本网络域包含多个可以相互访问的网段否?是,则移动节点以其基本网络域的身份漫游到扩展网络域后,通过多网段管理模块(5)对移动节点的路由表进行相应调整;否,则多网段管理模块(5)不工作;4).出现注册认证、密钥获取、密钥更新、路由操作、加密解密、隧道操作异常否?是,则通过异常处理模块(6)调整;否,则异常处理模块(6)不工作;5).有实体出现故障或网络环境暂时拥塞否?是,则移动节点通过故障检测恢复处理模块(7)进行包括基本域管理实体重启或NAT端口变化的操作,并进行自我恢复;否,则故障检测恢复处理模块(7)不工作。
8.根据权利要求6所述的一种使移动节点实现自代理功能的方法,其特征在于所述的基本域管理实体是指有一个端口与移动节点基本网络域链路相连的网络设备,为发生漫游的移动节点提供身份认证及代理ARP;所述的扩展域管理实体是指有一个端口与移动节点扩展网络域链路相连的网络设备,它是移动节点在扩展网络域的缺省路由器所述的移动节点是指可以将接入因特网的位置从一条链路切换到另一条链路上,而仍然以基本网络域的身份保持所有正在进行的通信的设备。
全文摘要
一种使移动节点实现自代理功能的方法。移动节点漫游到扩展网络域环境后,先获得合法配置转交地址,然后启动注册规程,向基本域管理实体认证,通告所获得的配置转交地址;获得对基本网络域主机的ARP代理,自动响应上层协议栈的访问请求,确定与基本网络域内主机的通信路径;建后台服务框架,将加密解密模块和隧道模块合成进此框架;进行数据的隧道封装与解封操作;进行动态会话密钥的协商与用户实际传输数据的加密和解密,并在发送前进行加密和解密处理。本发明解决了背景技术中移动节点在扩展网络域内通信不安全,硬件配置要求高的技术问题。本发明可使移动节点在任何扩展网络域环境中,通过自代理功能安全漫游回基本网络域。
文档编号H04L29/12GK1589060SQ20041007315
公开日2005年3月2日 申请日期2004年9月30日 优先权日2004年9月30日
发明者张宁, 万晓辉, 李金成, 章忠威 申请人:西安西电捷通无线网络通信有限公司