專利名稱:實(shí)現(xiàn)移動(dòng)vpn業(yè)務(wù)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),尤其涉及一種在無線通信系統(tǒng)中實(shí)現(xiàn)移動(dòng)VPN(虛擬專用網(wǎng))業(yè)務(wù)的技術(shù)。
背景技術(shù):
VPN以其安全和低成本等優(yōu)越性越來越受到企業(yè)用戶的青睞,同時(shí),隨著無線通信的發(fā)展,移動(dòng)VPN的需求日益增多。尤其是IPv6環(huán)境下的移動(dòng)VPN技術(shù)的應(yīng)用越來越廣泛。
在VPN內(nèi)部,由于網(wǎng)絡(luò)被認(rèn)為是可靠的,因此,為了提高網(wǎng)絡(luò)性能便采用了不加密的明文傳輸方法。
在VPN外部,為了保證企業(yè)內(nèi)部資源及通信內(nèi)容的安全保密則需要通過VPN隧道進(jìn)行傳輸。即當(dāng)MN離開VPN進(jìn)入外部網(wǎng)絡(luò)時(shí),為了保證企業(yè)內(nèi)部資源的安全保密,需要為MN建立一條IPsec(互聯(lián)網(wǎng)協(xié)議安全)隧道以繼續(xù)維持MN與VPN內(nèi)部CN(核心網(wǎng))的通信。而且,由于在VPN外部網(wǎng)絡(luò)中,MN的轉(zhuǎn)交地址將作為建立的隧道的一個(gè)端點(diǎn),因而,MN的轉(zhuǎn)交地址的改變勢(shì)必導(dǎo)致隧道的重新建立,頻繁的建立隧道將極大地增加網(wǎng)絡(luò)開銷、降低網(wǎng)絡(luò)性能,嚴(yán)重時(shí)可能會(huì)導(dǎo)致通信的中斷。
因此,通過內(nèi)部檢測(cè)機(jī)制準(zhǔn)確及時(shí)的判別當(dāng)前MN(移動(dòng)節(jié)點(diǎn))所處環(huán)境以確定需要采用的傳輸方式在移動(dòng)VPN的檢測(cè)中尤為重要。即只有判斷出MN所處位置后才能進(jìn)一步判斷是否需要建立隧道,從而既可以避免頻繁的建立隧道對(duì)網(wǎng)絡(luò)產(chǎn)生的負(fù)面影響,還可以有效保證網(wǎng)絡(luò)的安全性能。
關(guān)于移動(dòng)VPN的內(nèi)部網(wǎng)絡(luò)檢測(cè)機(jī)制,目前已經(jīng)實(shí)現(xiàn)的技術(shù)方案中僅涉及到IPv4環(huán)境下的VPN檢測(cè)的技術(shù)。
相應(yīng)的檢測(cè)方案解決了移動(dòng)IPv4環(huán)境下MN的移動(dòng)檢測(cè)問題,具體為當(dāng)MN檢測(cè)到其網(wǎng)絡(luò)接入點(diǎn)發(fā)生改變時(shí),MN同時(shí)向i-HA(內(nèi)部家鄉(xiāng)代理)和x-HA(外部家鄉(xiāng)代理)發(fā)送注冊(cè)請(qǐng)求,如果該注冊(cè)請(qǐng)求的應(yīng)答消息沒有接收到,則MN將周期性重發(fā)所述的注冊(cè)請(qǐng)求。
MN接收到所述的注冊(cè)應(yīng)答消息后,則具體的處理方式如下(1)MN接收到來自x-HA的響應(yīng)MN停止向x-HA重發(fā)注冊(cè)請(qǐng)求且判定MN位于VPN的外部;同時(shí),MN必須在一段時(shí)間內(nèi)保持周期性的向i-HA發(fā)送注冊(cè)請(qǐng)求,且在MN等待來自i-HA的響應(yīng)時(shí)可能延遲一段時(shí)間再進(jìn)行IPsec的連接建立。
(2)MN接收到來自i-HA的響應(yīng)MN必須判定其位于VPN內(nèi)部;如果MN接收到來自x-HA的注冊(cè)應(yīng)答,MN應(yīng)該注銷x-HA的注冊(cè),而且,MN停止向i-HA和x-HA重發(fā)注冊(cè)請(qǐng)求;如果接收到來自x-HA的應(yīng)答而MN已經(jīng)成功地與i-HA注冊(cè),MN應(yīng)該注銷同x-HA的注冊(cè)。
經(jīng)過上述過程的處理后,如果MN檢測(cè)到自己位于VPN內(nèi)部,則必須周期性重注冊(cè),且重注冊(cè)間隔和相關(guān)參數(shù)可配置。如果重注冊(cè)失敗了,MN必須停止發(fā)送和接收明文通信,同時(shí)必須重新啟動(dòng)檢測(cè)算法。
在現(xiàn)有的檢測(cè)方法中MN向VPN網(wǎng)絡(luò)內(nèi)外的兩個(gè)家鄉(xiāng)代理同時(shí)發(fā)送注冊(cè)請(qǐng)求,并通過接收到的注冊(cè)應(yīng)答來源來判斷當(dāng)前MN的位置,由于這種雙向注冊(cè)請(qǐng)求的存在使得網(wǎng)絡(luò)負(fù)擔(dān)大大增加,因而不利于有效利用網(wǎng)絡(luò)帶寬。
而且,隨著IPv6技術(shù)的不斷完善以及全球互聯(lián)網(wǎng)需求的發(fā)展,利用移動(dòng)IPv6的移動(dòng)VPN也必將成為日后移動(dòng)VPN業(yè)務(wù)的主流,因此,IPv6環(huán)境下的準(zhǔn)確、高效地的移動(dòng)VPN內(nèi)部網(wǎng)絡(luò)檢測(cè)方案非常重要。
然而,在現(xiàn)有的實(shí)現(xiàn)方案中并沒有提供在IPv4與IPv6混合網(wǎng)絡(luò)以及純IPv6環(huán)境下的相應(yīng)解決方案,使得現(xiàn)有的移動(dòng)VPN檢測(cè)機(jī)制很難適應(yīng)互聯(lián)網(wǎng)的飛速發(fā)展。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種移動(dòng)VPN的檢測(cè)方法,從而可以對(duì)基于IPv6網(wǎng)絡(luò)或IPv4和IPv6混合網(wǎng)絡(luò)實(shí)現(xiàn)的移動(dòng)VPN的有效檢測(cè),從而有效提高相應(yīng)的網(wǎng)絡(luò)性能。
本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明提供了一種實(shí)現(xiàn)移動(dòng)VPN業(yè)務(wù)的方法,包括A、在虛擬專用網(wǎng)VPN內(nèi)的路由器向移動(dòng)節(jié)點(diǎn)發(fā)送的路由通告消息中承載區(qū)別標(biāo)識(shí)信息,并發(fā)送;B、移動(dòng)節(jié)點(diǎn)接收到所述的路由通告消息后,根據(jù)消息中承載的區(qū)別標(biāo)識(shí)信息確定其處于VPN內(nèi)部。
所述的方法還包括C、當(dāng)移動(dòng)節(jié)點(diǎn)在預(yù)定的時(shí)間內(nèi)未收到VPN內(nèi)的家鄉(xiāng)代理發(fā)來的路由通告消息,則主動(dòng)發(fā)送路由通告請(qǐng)求消息;D、在VPN內(nèi)部的路由器接收所述的路由通告請(qǐng)求消息后,執(zhí)行步驟A。
所述的步驟D還包括當(dāng)該移動(dòng)節(jié)點(diǎn)對(duì)應(yīng)的VPN內(nèi)部的家鄉(xiāng)代理收到所述的路由通告請(qǐng)求消息后,則向移動(dòng)節(jié)點(diǎn)發(fā)送路由通告消息,移動(dòng)節(jié)點(diǎn)收到所述的路由通告消息后,確定其處于VPN家鄉(xiāng)網(wǎng)絡(luò)中。
所述的步驟D還包括移動(dòng)節(jié)點(diǎn)發(fā)送所述的路由通告請(qǐng)求消息后,收到子網(wǎng)前綴與家鄉(xiāng)代理相同的路由器發(fā)來的路由通告消息,則確定其處于VPN家鄉(xiāng)網(wǎng)絡(luò)中,且該移動(dòng)節(jié)點(diǎn)需要重新選擇新的家鄉(xiāng)代理。
所述的步驟B具體包括B1、發(fā)送所述的路由通告請(qǐng)求消息的移動(dòng)節(jié)點(diǎn)收到子網(wǎng)前綴與家鄉(xiāng)代理不相同的路由器發(fā)來的路由通告消息,則確定其進(jìn)入外地網(wǎng)絡(luò);B2、根據(jù)路由通告消息中承載的所述區(qū)別標(biāo)識(shí)信息確定移動(dòng)節(jié)點(diǎn)當(dāng)前處于VPN內(nèi)部或VPN外部的外地網(wǎng)絡(luò)。
所述的步驟B2包括當(dāng)所述的路由通告消息中承載著用于標(biāo)識(shí)該消息為VPN內(nèi)部的路由器發(fā)出的區(qū)別標(biāo)識(shí)信息時(shí),則確定移動(dòng)節(jié)點(diǎn)位于VPN內(nèi)部的外地網(wǎng)絡(luò),否則,確定移動(dòng)節(jié)點(diǎn)位于VPN外部的外地網(wǎng)絡(luò)。
所述的步驟B還包括B3、在移動(dòng)節(jié)點(diǎn)確定其進(jìn)入VPN外部的外地網(wǎng)絡(luò)后,則在外地網(wǎng)絡(luò)中通過無狀態(tài)或有狀態(tài)的地址自動(dòng)配置機(jī)制獲得相應(yīng)的轉(zhuǎn)交地址信息;B4、利用所述的轉(zhuǎn)交地址信息與VPN網(wǎng)關(guān)建立隧道,并通過所述的隧道實(shí)現(xiàn)移動(dòng)節(jié)點(diǎn)與VPN家鄉(xiāng)網(wǎng)絡(luò)的通信。
本發(fā)明中,在執(zhí)行所述的步驟B4之前還包括獲得轉(zhuǎn)交地址的移動(dòng)節(jié)點(diǎn)需要通過VPN網(wǎng)關(guān)的身份驗(yàn)證。
所述的步驟B還包括B5、在移動(dòng)節(jié)點(diǎn)確定其進(jìn)入VPN內(nèi)部的外地網(wǎng)絡(luò),則需要向家鄉(xiāng)代理發(fā)送綁定更新請(qǐng)求消息,所述的消息中承載有表示其為VPN內(nèi)部的移動(dòng)節(jié)點(diǎn)的標(biāo)識(shí)信息;B6、家鄉(xiāng)代理接收綁定更新請(qǐng)求消息,并僅對(duì)承載有所述標(biāo)識(shí)信息的綁定更新請(qǐng)求消息進(jìn)行處理。
所述的VPN內(nèi)部為IPv6網(wǎng)絡(luò),所述的VPN外部為IPv4網(wǎng)絡(luò)或IPv6網(wǎng)絡(luò)。
本發(fā)明還提供了一種實(shí)現(xiàn)移動(dòng)VPN業(yè)務(wù)的系統(tǒng),包括設(shè)置于路由器中的路由通告消息構(gòu)造及發(fā)送單元,和設(shè)置于移動(dòng)節(jié)點(diǎn)中的判斷單元,其中所述的路由通告消息構(gòu)造及發(fā)送單元,用于構(gòu)造承載有的區(qū)別標(biāo)識(shí)信息的路由通告消息,所述的區(qū)別標(biāo)識(shí)信息用于表示該消息為VPN內(nèi)部的路由器發(fā)出的消息;所述的判斷單元,用于接收所述的路由通告消息,并根據(jù)消息中承載的所述區(qū)別標(biāo)識(shí)信息判斷移動(dòng)節(jié)點(diǎn)是否位于VPN內(nèi)部。
所述的判斷單元中還包括子網(wǎng)前綴判斷子單元,用于根據(jù)接收到的路由通告消息中的子網(wǎng)前綴判斷移動(dòng)節(jié)點(diǎn)是否處于VPN家鄉(xiāng)網(wǎng)絡(luò)中。
所述的系統(tǒng)還包括身份驗(yàn)證單元,其設(shè)置于VPN網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)上,用于對(duì)發(fā)起隧道建立的移動(dòng)節(jié)點(diǎn)的身份進(jìn)行驗(yàn)證,并控制僅允許身份驗(yàn)證通過的移動(dòng)節(jié)點(diǎn)與VPN網(wǎng)關(guān)之間建立相應(yīng)的隧道。
所述的系統(tǒng)還包括防火墻,在所述的防火墻中設(shè)置有數(shù)據(jù)攔截單元,用于攔截移動(dòng)節(jié)點(diǎn)與VPN網(wǎng)關(guān)間的加密數(shù)據(jù)。
由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明可以充分利用移動(dòng)IPv6的移動(dòng)檢測(cè)特性,將VPN的移動(dòng)檢測(cè)與移動(dòng)IPv6的移動(dòng)檢測(cè)相融合,最大限度地降低了內(nèi)部網(wǎng)絡(luò)檢測(cè)的復(fù)雜度,同時(shí)能獲得高效的檢測(cè)效率,解決了在IPv6環(huán)境下移動(dòng)VPN的內(nèi)部網(wǎng)絡(luò)檢測(cè)問題,進(jìn)而可以有效保證移動(dòng)VPN業(yè)務(wù)的順利開展。而且,本發(fā)明還能夠兼容混合網(wǎng)絡(luò)情況的檢測(cè)處理。另外,本發(fā)明的實(shí)現(xiàn)還可以保證網(wǎng)絡(luò)的高度安全性以及網(wǎng)絡(luò)管理的靈活性。
因此,本發(fā)明提供了一種高效可靠的內(nèi)部網(wǎng)絡(luò)檢測(cè)機(jī)制,有利于推動(dòng)下一代互聯(lián)網(wǎng)絡(luò)環(huán)境下移動(dòng)VPN的發(fā)展。
圖1為VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖;
圖2為MN離開家鄉(xiāng)網(wǎng)絡(luò)進(jìn)入VPN內(nèi)部的外地網(wǎng)絡(luò)的示意圖;圖3為路由通告消息的格式示意圖;圖4為綁定更新請(qǐng)求消息的格式示意圖;圖5為MN進(jìn)入VPN外部的外地網(wǎng)絡(luò)的示意圖;圖6為MN在VPN外部遭受到惡意主機(jī)攻擊的示意圖;圖7為MN進(jìn)入IPv4的無線網(wǎng)絡(luò)的示意圖;圖8為本發(fā)明所述的方法中檢測(cè)MN所在網(wǎng)絡(luò)的過程示意圖;圖9為本發(fā)明所述的系統(tǒng)的具體實(shí)現(xiàn)結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明通過類VPN網(wǎng)關(guān)、內(nèi)部路由器以及移動(dòng)節(jié)點(diǎn)的配置,從而實(shí)現(xiàn)在IPv6環(huán)境下,移動(dòng)VPN的內(nèi)部網(wǎng)絡(luò)檢測(cè)問題。
本發(fā)明在實(shí)現(xiàn)過程中,由于本發(fā)明需要針對(duì)IPv6環(huán)境的,所以要求網(wǎng)絡(luò)環(huán)境為IPv6網(wǎng)絡(luò);例如,如圖1所示,典型的基于IPv6的VPN的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)包括VPN網(wǎng)關(guān)、VPN內(nèi)部路由器(如家鄉(xiāng)代理HA等)和防火墻。
其中,為了保證VPN內(nèi)部的安全,所有內(nèi)部節(jié)點(diǎn)與外部的通信,以及外部節(jié)點(diǎn)對(duì)內(nèi)部的訪問只能經(jīng)過VPN-GW(VPN網(wǎng)關(guān))才能進(jìn)行,也即VPN-GW是VPN內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一關(guān)口,所述的外部節(jié)點(diǎn)包括外部網(wǎng)絡(luò)中的任何節(jié)點(diǎn),即包括企業(yè)內(nèi)部用戶(即VPN內(nèi)部網(wǎng)絡(luò)的用戶)移動(dòng)到外部,以及企業(yè)外部用戶。
為實(shí)現(xiàn)本發(fā)明,首先需要針對(duì)圖1所示的組網(wǎng)結(jié)構(gòu)中的實(shí)體進(jìn)行相關(guān)設(shè)置,具體需要進(jìn)行的設(shè)置分別包括(1)針對(duì)VPN網(wǎng)關(guān)的設(shè)置VPN網(wǎng)關(guān)對(duì)于進(jìn)入VPN和離開VPN的數(shù)據(jù)會(huì)實(shí)施不同的操作,具體為
對(duì)于通過VPN網(wǎng)關(guān)進(jìn)入VPN內(nèi)部的數(shù)據(jù)的操作為僅允許IPsec加密(隧道形式)數(shù)據(jù)及移動(dòng)IPv6數(shù)據(jù)的進(jìn)入,其他數(shù)據(jù)均拒絕響應(yīng)直接丟棄;對(duì)于離開VPN進(jìn)入外部網(wǎng)絡(luò)的數(shù)據(jù)則必須經(jīng)由隧道傳輸,若已經(jīng)存在隧道則直接將數(shù)據(jù)添加到隧道中傳輸,若不存在隧道,則首先緩存該數(shù)據(jù),然后由網(wǎng)關(guān)發(fā)起隧道建立程序,并在隧道建立完成后,再從緩存中讀取數(shù)據(jù)通過所述隧道進(jìn)行傳輸。
(2)針對(duì)VPN內(nèi)部路由器的設(shè)置對(duì)于VPN網(wǎng)絡(luò)內(nèi)部的路由器(包括家鄉(xiāng)代理等)需要進(jìn)行的設(shè)置為令其發(fā)送的路由通告消息中含有標(biāo)識(shí)位V,即區(qū)別標(biāo)識(shí)信息,所述的標(biāo)識(shí)V用于標(biāo)識(shí)發(fā)送所述路由通告消息路由器為VPN內(nèi)部的路由器,這樣,移動(dòng)節(jié)點(diǎn)收到相應(yīng)的消息后,便可以根據(jù)所述V標(biāo)識(shí)位很容易地確定其所在的網(wǎng)絡(luò),即是否在VPN內(nèi)部網(wǎng)絡(luò)中。
(3)針對(duì)MN的設(shè)置MN需要地的設(shè)置為令其能夠讀取路由通告消息中的V標(biāo)識(shí)信息,并能用于標(biāo)識(shí)自己的綁定更新請(qǐng)求,以簡(jiǎn)化其他網(wǎng)絡(luò)設(shè)備的處理,具體為對(duì)于接收到該綁定更新請(qǐng)求的VPN網(wǎng)關(guān)或是VPN內(nèi)部的路由器來說,其均可以根據(jù)該標(biāo)識(shí)初步判斷移動(dòng)節(jié)點(diǎn)是否屬于VPN網(wǎng)絡(luò),并在確定其不是VPN網(wǎng)絡(luò)的節(jié)點(diǎn)時(shí),則直接丟棄請(qǐng)求,以降低VPN網(wǎng)關(guān)和網(wǎng)絡(luò)內(nèi)部路由器的處理負(fù)擔(dān)。
(4)針對(duì)防火墻的設(shè)置防火墻的設(shè)置推薦為內(nèi)置防火墻,也即在VPN網(wǎng)關(guān)和VPN內(nèi)部網(wǎng)絡(luò)之間配置,其需要被配置為攔截移動(dòng)節(jié)點(diǎn)與VPN網(wǎng)關(guān)之間的IPsec加密數(shù)據(jù),這主要是因?yàn)橛捎谲浖牟煌晟埔约扒袚Q延遲的存在,有可能使得MN在VPN內(nèi)部時(shí)仍然與VPN網(wǎng)關(guān)建立了隧道,通過配置防火墻攔截解密數(shù)據(jù)并返回的拒絕信息,可令MN進(jìn)行重新判斷,從而避免MN在VPN內(nèi)部時(shí)錯(cuò)誤的與VPN網(wǎng)關(guān)建立IPsec隧道,導(dǎo)致網(wǎng)絡(luò)負(fù)擔(dān)增加。
需要說明的是本發(fā)明中,為簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu),也可以使用具有防火墻功能的VPN網(wǎng)關(guān),此時(shí)無需單獨(dú)設(shè)置相應(yīng)的防火墻。
經(jīng)過了上述相關(guān)設(shè)置之后,在移動(dòng)節(jié)點(diǎn)的移動(dòng)過程中,通過相應(yīng)的報(bào)文交互,便可以檢測(cè)確定移動(dòng)節(jié)點(diǎn)當(dāng)前所在的網(wǎng)絡(luò),如為VPN內(nèi)部網(wǎng)絡(luò)或者VPN外部網(wǎng)絡(luò)等;當(dāng)可以檢測(cè)確定移動(dòng)節(jié)點(diǎn)當(dāng)前所在的網(wǎng)絡(luò)后,就可以在網(wǎng)絡(luò)中根據(jù)移動(dòng)節(jié)點(diǎn)所在的網(wǎng)絡(luò)開展移動(dòng)VPN業(yè)務(wù),例如,當(dāng)位于外部網(wǎng)絡(luò)時(shí),移動(dòng)節(jié)點(diǎn)可以通過建立的隧道與VPN家鄉(xiāng)網(wǎng)絡(luò)中的節(jié)點(diǎn)通信。
本發(fā)明中,后續(xù)描述的相應(yīng)的檢測(cè)過程是以移動(dòng)IPv6的檢測(cè)過程為主體,整個(gè)檢測(cè)過程的主線是移動(dòng)IPv6的檢測(cè)過程,通過修改路由器發(fā)送的路由通過消息以及MN發(fā)送的綁定更新消息,使其將移動(dòng)IPv6檢測(cè)與移動(dòng)VPN檢測(cè)融為一體,在進(jìn)行移動(dòng)IPv6的移動(dòng)檢測(cè)同時(shí)進(jìn)行VPN檢測(cè),簡(jiǎn)化了VPN檢測(cè)過程,同時(shí)能獲得高效的檢測(cè)能力。當(dāng)然,本發(fā)明也可以應(yīng)用于IPv4網(wǎng)絡(luò)中,或者,應(yīng)用于由IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)組成的混合網(wǎng)絡(luò)中。
由于實(shí)現(xiàn)相應(yīng)的檢測(cè)是本發(fā)明實(shí)現(xiàn)的核心,因此,下面將結(jié)合圖2至圖8對(duì)MN在VPN網(wǎng)絡(luò)內(nèi)的家鄉(xiāng)網(wǎng)絡(luò)內(nèi)移動(dòng)、在VPN網(wǎng)絡(luò)內(nèi)的外地網(wǎng)絡(luò)移動(dòng)和MN進(jìn)入VPN外部的外地網(wǎng)絡(luò)三種情況下的檢測(cè)過程進(jìn)行說明。
(一)MN位于VPN網(wǎng)絡(luò)內(nèi)的家鄉(xiāng)網(wǎng)絡(luò)內(nèi)部的情況MN在其VPN家鄉(xiāng)網(wǎng)絡(luò)選取一個(gè)具有代理功能的路由器作為其HA(家鄉(xiāng)代理),該HA以及網(wǎng)絡(luò)內(nèi)其它路由器將會(huì)周期性發(fā)送非請(qǐng)求的路由通告,以便于向MN及其他節(jié)點(diǎn)通告其可用性及可到達(dá)的鏈路節(jié)點(diǎn),用于配置的鏈路和Internet參數(shù),所述的參數(shù)包括網(wǎng)絡(luò)地址前綴,建議的跳數(shù)最大值及本地MTU,也包括指明節(jié)點(diǎn)應(yīng)使用的自動(dòng)配置類型的標(biāo)志。
在該情況下,相應(yīng)的檢測(cè)過程參照?qǐng)D8所示,具體包括1、若MN周期性的接收到來自HA的路由通告消息,則確定MN位于VPN家鄉(xiāng)網(wǎng)絡(luò)的內(nèi)部,此時(shí),視MN為普通的IPv6節(jié)點(diǎn)進(jìn)行通信即可;2、若MN在周期時(shí)間內(nèi)沒有接收到來自HA的路由通告消息,則會(huì)主動(dòng)發(fā)送路由通告請(qǐng)求,以請(qǐng)求HA發(fā)送請(qǐng)求的路由通告消息;MN發(fā)送了所述的路由通告請(qǐng)求后,便等待接收相應(yīng)的路由通告消息,根據(jù)是否收到所述的路由通告消息,采用不同的處理,具體包括(1)若MN主動(dòng)發(fā)送路由通告請(qǐng)求后在周期時(shí)間內(nèi)接收到來自HA的路由通告,則判斷MN仍位于VPN家鄉(xiāng)網(wǎng)絡(luò);(2)若MN主動(dòng)發(fā)送路由通告請(qǐng)求后在周期時(shí)間內(nèi)仍沒有接收到來自HA的路由通告,而接收到子網(wǎng)前綴與HA相一致的其它路由器的路由通告,則確定MN的HA發(fā)生故障不能繼續(xù)為MN服務(wù),但MN仍然位于VPN家鄉(xiāng)網(wǎng)絡(luò),此時(shí),MN需要重新選取一個(gè)VPN家鄉(xiāng)網(wǎng)絡(luò)中的能提供代理功能的路由器作為新的HA,以便于繼續(xù)進(jìn)行通信。
(二)MN離開家鄉(xiāng)網(wǎng)絡(luò),進(jìn)入VPN內(nèi)部的外地網(wǎng)絡(luò)的情況接著情況(一),若MN主動(dòng)發(fā)送路由通告請(qǐng)求后在周期時(shí)間內(nèi)仍沒有接收到來自HA的路由通告,并且接收到子網(wǎng)前綴與HA不一致的其它路由器的路由通告消息,則可判斷出此時(shí)的MN已經(jīng)離開VPN家鄉(xiāng)網(wǎng)絡(luò)進(jìn)入外地網(wǎng)絡(luò),但還無法確定是否處于VPN內(nèi)部的外地網(wǎng)絡(luò),因此仍需判斷進(jìn)入的是VPN內(nèi)部的外地網(wǎng)絡(luò)還是VPN外部的外地網(wǎng)絡(luò)。
由于該情況僅關(guān)注MN進(jìn)入VPN內(nèi)部的外地網(wǎng)絡(luò)情況,故相應(yīng)的描述將不涉及MN進(jìn)入VPN外部的外地網(wǎng)絡(luò)情況。
如圖2所示,MN在判斷出自己到達(dá)外地網(wǎng)絡(luò)后,即通過無狀態(tài)或有狀態(tài)的地址自動(dòng)配置機(jī)制獲得轉(zhuǎn)交地址。由于在當(dāng)前鏈路上可能存在多個(gè)可用的子網(wǎng)前綴,或者存在多條可用的鏈路,移動(dòng)節(jié)點(diǎn)可能得到多個(gè)轉(zhuǎn)交地址,因此,移動(dòng)節(jié)點(diǎn)需要從中選擇一個(gè)作為主轉(zhuǎn)交地址。
獲得相應(yīng)的轉(zhuǎn)交地址(即主轉(zhuǎn)交地址)后,根據(jù)前面的設(shè)置可知,MN可以根據(jù)接收到的當(dāng)前默認(rèn)路由通告消息中的“V”標(biāo)識(shí)位的值來判斷所處位置,例如,參照?qǐng)D8所示,根據(jù)預(yù)定的設(shè)置可以判斷若V=1,則MN在VPN內(nèi)部;若V=0,則MN在VPN外部;所有VPN內(nèi)部的路由器均將路由通告消息中的該標(biāo)識(shí)位設(shè)置為1,其目的是為了告知接收到該路由通告的MN當(dāng)前位置是VPN網(wǎng)絡(luò)的內(nèi)部。當(dāng)然,該V標(biāo)識(shí)也可以設(shè)置為其他任意值,只要其能夠區(qū)分出收到的路由通告消息是否為VPN內(nèi)的路由器發(fā)出即可。
在IPv6網(wǎng)絡(luò)中,相應(yīng)的路由通告消息的格式如圖3所示,該V標(biāo)識(shí)位位于移動(dòng)IPv6路由通告消息中標(biāo)識(shí)位“H”之后的保留位,原有保留位由5位減少為4位。在實(shí)現(xiàn)本發(fā)明的過程中,也可以采用其他位作為該V標(biāo)識(shí)位。
通過對(duì)VPN網(wǎng)絡(luò)內(nèi)部的路由器進(jìn)行相應(yīng)的設(shè)置可以非常容易的獲得具有該V標(biāo)識(shí)位的路由通告。
在該具體實(shí)施例中,當(dāng)MN進(jìn)入了VPN內(nèi)部的外地網(wǎng)絡(luò),則接收到路由通告消息的V標(biāo)識(shí)位將會(huì)是被置為1的,此時(shí),MN便可以判斷確定自己位于VPN網(wǎng)絡(luò)內(nèi)部,這樣,MN便不需要啟動(dòng)隧道建立程序而是直接向HA發(fā)送綁定更新請(qǐng)求消息,所述的綁定更新請(qǐng)求消息的格式如圖4所示。
由圖4可見,V標(biāo)識(shí)位是在傳統(tǒng)移動(dòng)IPv6的綁定更新消息保留字段占用一個(gè)新的比特位,該位為“1”時(shí)表明該綁定更新的發(fā)起節(jié)點(diǎn)在VPN的內(nèi)部,該位為“0”時(shí)表明該綁定更新的發(fā)起節(jié)點(diǎn)在VPN的外部。
該標(biāo)識(shí)位的設(shè)置由MN自己來完成,當(dāng)MN接收到含有V=1標(biāo)識(shí)位的路由器通告后,將該位設(shè)置為1;反之,若MN接收到未設(shè)置標(biāo)識(shí)位V的路由器通告,則將該位設(shè)置為0。
在MN發(fā)送的綁定更新請(qǐng)求消息中攜帶V標(biāo)識(shí),可以使得接收到該綁定更新的VPN網(wǎng)關(guān)或是VPN內(nèi)部的路由器都可以初步判斷這是一個(gè)屬于VPN網(wǎng)絡(luò)的節(jié)點(diǎn),并在其不屬于VPN網(wǎng)絡(luò)的節(jié)點(diǎn)時(shí),直接丟棄相應(yīng)請(qǐng)求,因此,盡管無法通過V標(biāo)識(shí)判斷確定是否屬于移動(dòng)節(jié)點(diǎn)所屬的VPN,便仍可以有效降低VPN網(wǎng)關(guān)和網(wǎng)絡(luò)內(nèi)部路由器的處理負(fù)擔(dān)。
(三)MN離開家鄉(xiāng)網(wǎng)絡(luò),進(jìn)入VPN外部的外地網(wǎng)絡(luò)上面分析了MN在VPN內(nèi)部移動(dòng)的情況,下面詳細(xì)闡述圖5所示MN離開VPN進(jìn)入外部網(wǎng)絡(luò)情況的檢測(cè)處理。
MN首先能夠判斷出自己離開了家鄉(xiāng),到達(dá)外地網(wǎng)絡(luò),并獲得一個(gè)轉(zhuǎn)交地址,獲得轉(zhuǎn)交地址后,MN依據(jù)接收到的當(dāng)前默認(rèn)路由器的路由通告消息來判斷自身的位置,進(jìn)而決定下一步的操作,具體過程包括1、MN接收到路由通告,仍參照?qǐng)D8所示,讀取V=0,確定MN已經(jīng)離開VPN并進(jìn)入外部網(wǎng)絡(luò),此時(shí)MN直接啟動(dòng)隧道建立程序。
2、VPN網(wǎng)關(guān)接收到來自MN的隧道建立請(qǐng)求后,首先發(fā)送一個(gè)身份驗(yàn)證請(qǐng)求消息到MN,以對(duì)MN的身份進(jìn)行驗(yàn)證,接收到身份驗(yàn)證請(qǐng)求消息的MN會(huì)向VPN網(wǎng)關(guān)回復(fù)一個(gè)身份驗(yàn)證信息,所述的身份驗(yàn)證信息將會(huì)被送入驗(yàn)證服務(wù)器等待驗(yàn)證。
3、在確定MN通過身份驗(yàn)證后,VPN網(wǎng)關(guān)便會(huì)同意MN的隧道建立請(qǐng)求,并與MN建立隧道;若MN未通過身份驗(yàn)證,則VPN網(wǎng)關(guān)將會(huì)拒絕響應(yīng)該隧道建立請(qǐng)求,使得MN無法與其建立通信隧道,以保證VPN網(wǎng)絡(luò)的安全。
4、隧道建立完成后,MN發(fā)送綁定更新請(qǐng)求消息到家鄉(xiāng)的HA,該消息被封裝在VPN的隧道內(nèi),經(jīng)過網(wǎng)關(guān)解封裝到達(dá)HA。
5、HA響應(yīng)該綁定更新請(qǐng)求,發(fā)送注冊(cè)應(yīng)答消息到MN,該應(yīng)答消息經(jīng)隧道傳輸?shù)竭_(dá)MN。
6、轉(zhuǎn)交地址向HA的注冊(cè)完成后,MN便可以恢復(fù)同VPN內(nèi)部的通信。
上述MN移動(dòng)過程通常是指MN由VPN網(wǎng)絡(luò)內(nèi)部移動(dòng)到公網(wǎng)環(huán)境中,再由公網(wǎng)返回VPN內(nèi)部網(wǎng)的過程。還有一種特殊情況需要考慮,就是MN進(jìn)入公網(wǎng)中其他VPN內(nèi)部。
由于VPN內(nèi)部是僅僅面向自身企業(yè)及分其支機(jī)構(gòu)的網(wǎng)絡(luò)環(huán)境,需要較高的安全級(jí)別,因此對(duì)于外來的與本企業(yè)無關(guān)的節(jié)點(diǎn)應(yīng)該不予響應(yīng)。但是,對(duì)于來自分支機(jī)構(gòu)或具有伙伴關(guān)系的網(wǎng)絡(luò)的MN,由于網(wǎng)絡(luò)間的相互信任則需提供移動(dòng)支持,繼續(xù)維持MN的通信。
下面將分別對(duì)MN進(jìn)入與自身所在的VPN無任何關(guān)系的VPN的情況和MN進(jìn)入與自身所在的VPN有伙伴關(guān)系的VPN的情況的處理進(jìn)行說明。
(一)MN進(jìn)入無任何關(guān)系的VPN內(nèi)部MN獲得一個(gè)新的轉(zhuǎn)交地址,但由于MN與當(dāng)前VPN沒有任何關(guān)系,所以MN無法通過該VPN的身份驗(yàn)證,在該VPN內(nèi)部MN成為一個(gè)非法節(jié)點(diǎn),所有通信請(qǐng)求均予以拒絕,MN無法與該VPN通信,通信將會(huì)中斷。
(二)MN進(jìn)入其分支或其他具有受信關(guān)系的VPN內(nèi)部MN進(jìn)入其分支或其他具有受信關(guān)系的VPN內(nèi)部時(shí),由于相應(yīng)的VPN的身份驗(yàn)證數(shù)據(jù)庫中應(yīng)該有MN的信息,因而使得當(dāng)MN進(jìn)入該網(wǎng)絡(luò),試圖獲得網(wǎng)絡(luò)連接時(shí)能夠順利通過身份驗(yàn)證;之后,由于MN接收到的是V=1的路由器通告,因此MN直接發(fā)送綁定更新消息,該消息到達(dá)當(dāng)前MN所處的VPN網(wǎng)關(guān)處,VPN網(wǎng)關(guān)根據(jù)該IP包的目的地址發(fā)起隧道建立請(qǐng)求,該請(qǐng)求被路由到MN家鄉(xiāng)網(wǎng)絡(luò)所在的VPN網(wǎng)關(guān)處,由于與該請(qǐng)求的發(fā)起端屬于相互信任關(guān)系,因此,VPN網(wǎng)關(guān)將會(huì)響應(yīng)該隧道請(qǐng)求,具體的處理包括首先,檢查是否在兩個(gè)VPN網(wǎng)關(guān)間已經(jīng)存在隧道,若存在,則返回隧道已經(jīng)建立的消息給請(qǐng)求的發(fā)起端;否則與發(fā)起端建立隧道;在隧道建立完成后,再進(jìn)行綁定更新的建立,然后進(jìn)行通信。
從上述描述可見,對(duì)于MN進(jìn)入與之毫不相關(guān)的VPN,其通信會(huì)被中斷;對(duì)于MN進(jìn)入與之存在受信關(guān)系的其他VPN,將通過雙方的網(wǎng)關(guān)協(xié)調(diào),在雙方網(wǎng)關(guān)之間建立隧道,然后進(jìn)行通信。在此過程中,MN雖然不在其家鄉(xiāng)網(wǎng)絡(luò)所在的VPN,但是因?yàn)槿匀惶幱谑苄诺腣PN內(nèi)部,所以接收到V=1的路由器通告不影響MN的正常通信,也就不需要進(jìn)行區(qū)別判斷。
另外,需要說明的是MN在移動(dòng)過程中,尤其是進(jìn)入不存在受信關(guān)系的VPN外部網(wǎng)絡(luò),很容易遭受一些主動(dòng)或被動(dòng)的攻擊。即MN在VPN外部時(shí),有惡意主機(jī)(路由器)模仿內(nèi)網(wǎng)的路由器,發(fā)送含有V=1的路由通告消息給MN,誘使MN認(rèn)為自己回到VPN內(nèi)部,并令其發(fā)送明文,以期望在MN通信過程中竊取機(jī)密信息,或者期望通過誘使MN發(fā)送假信息而使其通信被拒絕。對(duì)于這種情況,如圖6所示,在本發(fā)明的具體實(shí)現(xiàn)過程中可以通過VPN網(wǎng)關(guān)的安全設(shè)置來解決,具體過程如下1、MN接收到V=1的路由通告,會(huì)錯(cuò)誤的判斷自己位于VPN內(nèi)部的外地網(wǎng)絡(luò),此時(shí)是不需要建立VPN隧道的,則MN會(huì)直接發(fā)送一個(gè)綁定更新請(qǐng)求到其對(duì)應(yīng)的HA。
2、該綁定更新請(qǐng)求到達(dá)VPN網(wǎng)關(guān)后,網(wǎng)關(guān)會(huì)首先緩存該信息,同時(shí)要求一個(gè)身份驗(yàn)證信息,若未通過驗(yàn)證,則網(wǎng)關(guān)直接從緩存中刪除該信息;若通過驗(yàn)證,則VPN網(wǎng)關(guān)會(huì)因?yàn)閂=1的虛假信息允許該請(qǐng)求進(jìn)入VPN內(nèi)部。
3、綁定更新請(qǐng)求到達(dá)HA后,HA回復(fù)一個(gè)綁定確認(rèn)消息給MN,該綁定確認(rèn)消息到達(dá)VPN網(wǎng)關(guān)時(shí),VPN網(wǎng)關(guān)首先判斷該綁定確認(rèn)消息的目的地是否與網(wǎng)關(guān)存在隧道,若存在則直接加入隧道傳輸,若不存在則先緩存該綁定更新確認(rèn)消息,并啟動(dòng)VPN隧道建立程序,隧道建立完成后再將緩存中的綁定確認(rèn)消息添加到隧道中發(fā)送出去。
可以看出,這樣的處理過程既能保證MN在受攻擊的情況下能繼續(xù)通信,又使得通信信息不被竊取。
另外,出于充分的安全考慮,可以配置VPN內(nèi)部網(wǎng)絡(luò)任何一個(gè)試圖接入網(wǎng)絡(luò)的節(jié)點(diǎn)均需經(jīng)過身份驗(yàn)證才允許獲得網(wǎng)絡(luò)連接,這樣一來進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)的安全性。具體可以由網(wǎng)絡(luò)管理員根據(jù)需要進(jìn)行配置,即根據(jù)不同的安全級(jí)別要求進(jìn)行相應(yīng)設(shè)置,從而達(dá)到安全性可控的目的。這樣,便能夠有效的防止惡意節(jié)點(diǎn)偷偷潛入VPN內(nèi)部網(wǎng)絡(luò)的無線覆蓋區(qū)域,竊取保密信息。
在前面的描述中,是以VPN內(nèi)部網(wǎng)絡(luò)為IPv6網(wǎng)絡(luò),同時(shí)假設(shè)外部骨干網(wǎng)也為IPv6網(wǎng)絡(luò)為例進(jìn)行的說明。但是,在目前互聯(lián)網(wǎng)的發(fā)展來看,IPv4還是網(wǎng)絡(luò)的主流,特別是骨干網(wǎng)方面,絕大多數(shù)還是IPv4的,因此本發(fā)明還需要能夠應(yīng)用于包括IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)的混合網(wǎng)絡(luò)中。
當(dāng)VPN內(nèi)部網(wǎng)絡(luò)為IPv6網(wǎng)絡(luò)時(shí),外部網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)時(shí),本發(fā)明的具體實(shí)現(xiàn)包括以下兩種情況(一)MN進(jìn)入IPv4海洋中的一個(gè)IPv6孤島所述的IPv6孤島至VPN內(nèi)部網(wǎng)絡(luò)之間的IPv4骨干網(wǎng)對(duì)整個(gè)VPN通信來說是透明的,也即網(wǎng)絡(luò)間通信由MN當(dāng)前所在網(wǎng)絡(luò)、IPv4骨干網(wǎng)和VPN內(nèi)部網(wǎng)絡(luò)來決定,并不影響移動(dòng)VPN的配置。只要MN進(jìn)入的孤島能夠同IPv4網(wǎng)絡(luò)通信,同時(shí)VPN內(nèi)部網(wǎng)絡(luò)也是向下兼容IPv4網(wǎng)絡(luò)的,則檢測(cè)機(jī)制的工作過程不受任何影響。具體如圖7所示,VPN隧道穿過IPv4骨干網(wǎng)時(shí)被封裝在IPv4隧道當(dāng)中,對(duì)MN和VPN內(nèi)部來說,中間的網(wǎng)絡(luò)環(huán)境是透明的。
(二)MN進(jìn)入IPv4骨干網(wǎng)的無線網(wǎng)絡(luò)由于MN進(jìn)入了IPv4無線網(wǎng)絡(luò)中,若需要保持MN能夠繼續(xù)通信,則該MN必須支持IPv6/IPv4雙棧協(xié)議。同時(shí),一旦MN接收到來自IPv4的代理通告(該代理通告是由移動(dòng)IPv4中的外地代理發(fā)送的,且為周期發(fā)送)則直接判斷進(jìn)入VPN外部的網(wǎng)絡(luò)中,啟動(dòng)隧道建立程序,此時(shí)MN的轉(zhuǎn)交地址為IPv4地址,需要將它改為IPv6地址,可選擇VPN網(wǎng)關(guān)的前綴為該地址的IPv6前綴,這樣MN向VPN內(nèi)部的HA注冊(cè)的是VPN網(wǎng)關(guān)前綴+MN獲得的IPv4轉(zhuǎn)交地址,注冊(cè)完成后進(jìn)行通信。
若該VPN網(wǎng)關(guān)的網(wǎng)絡(luò)前綴不足96位,則在網(wǎng)絡(luò)前綴與IPv4地址間添加填充位,一方面用來滿足新構(gòu)成的地址是128位的IPv6地址;另一方面可防止來自不同私有自用網(wǎng)絡(luò)的相同IP地址造成的地址混疊。
本發(fā)明還提供了一種實(shí)現(xiàn)移動(dòng)VPN業(yè)務(wù)的系統(tǒng),該系統(tǒng)的具體實(shí)現(xiàn)如圖9所示,包括設(shè)置于路由器中的路由通告消息構(gòu)造及發(fā)送單元,和設(shè)置于移動(dòng)節(jié)點(diǎn)中的判斷單元,其中所述的路由通告消息構(gòu)造及發(fā)送單元,用于構(gòu)造承載有的區(qū)別標(biāo)識(shí)信息的路由通告消息,所述的區(qū)別標(biāo)識(shí)信息用于表示該消息為VPN內(nèi)部的路由器發(fā)出的消息,以便于移動(dòng)節(jié)點(diǎn)能夠確定當(dāng)前所在的網(wǎng)絡(luò)環(huán)境;所述的判斷單元,用于接收所述的路由通告消息,并根據(jù)消息中承載的所述區(qū)別標(biāo)識(shí)信息判斷移動(dòng)節(jié)點(diǎn)是否位于VPN內(nèi)部,從而保證采用正確的通信過程開展移動(dòng)VPN業(yè)務(wù);為便于判斷單元能夠快速準(zhǔn)確地確定移動(dòng)節(jié)點(diǎn)當(dāng)前所在的網(wǎng)絡(luò),則所述的判斷單元中還包括子網(wǎng)前綴判斷子單元,用于根據(jù)接收到的路由通告消息中的子網(wǎng)前綴判斷移動(dòng)節(jié)點(diǎn)是否處于VPN家鄉(xiāng)網(wǎng)絡(luò)中,當(dāng)確定移動(dòng)節(jié)點(diǎn)位于VPN家鄉(xiāng)網(wǎng)絡(luò)中時(shí),則無需進(jìn)行其他判斷。
為保證系統(tǒng)通信的安全性能,在所述的系統(tǒng)中還可以設(shè)置相應(yīng)的身份驗(yàn)證單元,該單元設(shè)置于VPN網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)上,用于對(duì)發(fā)起隧道建立的移動(dòng)節(jié)點(diǎn)的身份進(jìn)行驗(yàn)證,并控制僅允許身份驗(yàn)證通過的移動(dòng)節(jié)點(diǎn)與VPN網(wǎng)關(guān)之間建立相應(yīng)的隧道,從而限制非法移動(dòng)節(jié)點(diǎn)進(jìn)入VPN。
另外,所述的系統(tǒng)中還可以設(shè)置有防火墻,在所述的防火墻中設(shè)置有數(shù)據(jù)攔截單元,用于攔截移動(dòng)節(jié)和VPN網(wǎng)關(guān)間的加密數(shù)據(jù)。
綜上所述,本發(fā)明可以充分利用移動(dòng)IPv6的移動(dòng)檢測(cè)特性,將VPN的移動(dòng)檢測(cè)與移動(dòng)IPv6的移動(dòng)檢測(cè)相融合,最大限度地降低了內(nèi)部網(wǎng)絡(luò)檢測(cè)的復(fù)雜度,同時(shí)能獲得高效的檢測(cè)效率,解決了在IPv6環(huán)境下移動(dòng)VPN的內(nèi)部網(wǎng)絡(luò)檢測(cè)問題。而且,本發(fā)明還能夠兼容混合網(wǎng)絡(luò)情況的檢測(cè)處理。另外,高度安全性和由于安全級(jí)別的控制帶來的網(wǎng)絡(luò)管理的靈活性也是本發(fā)明的主要優(yōu)點(diǎn)之一。
因此,本發(fā)明提供了一種高效可靠的內(nèi)部網(wǎng)絡(luò)檢測(cè)機(jī)制,有利于推動(dòng)下一代互聯(lián)網(wǎng)絡(luò)環(huán)境下移動(dòng)VPN的發(fā)展。
以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種實(shí)現(xiàn)移動(dòng)VPN業(yè)務(wù)的方法,其特征在于,包括A、在虛擬專用網(wǎng)VPN內(nèi)的路由器向移動(dòng)節(jié)點(diǎn)發(fā)送的路由通告消息中承載區(qū)別標(biāo)識(shí)信息,并發(fā)送;B、移動(dòng)節(jié)點(diǎn)接收到所述的路由通告消息后,根據(jù)消息中承載的區(qū)別標(biāo)識(shí)信息確定其處于VPN內(nèi)部。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的方法還包括C、當(dāng)移動(dòng)節(jié)點(diǎn)在預(yù)定的時(shí)間內(nèi)未收到VPN內(nèi)的家鄉(xiāng)代理發(fā)來的路由通告消息,則主動(dòng)發(fā)送路由通告請(qǐng)求消息;D、在VPN內(nèi)部的路由器接收所述的路由通告請(qǐng)求消息后,執(zhí)行步驟A。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述的步驟D還包括當(dāng)該移動(dòng)節(jié)點(diǎn)對(duì)應(yīng)的VPN內(nèi)部的家鄉(xiāng)代理收到所述的路由通告請(qǐng)求消息后,則向移動(dòng)節(jié)點(diǎn)發(fā)送路由通告消息,移動(dòng)節(jié)點(diǎn)收到所述的路由通告消息后,確定其處于VPN家鄉(xiāng)網(wǎng)絡(luò)中。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述的步驟D還包括移動(dòng)節(jié)點(diǎn)發(fā)送所述的路由通告請(qǐng)求消息后,收到子網(wǎng)前綴與家鄉(xiāng)代理相同的路由器發(fā)來的路由通告消息,則確定其處于VPN家鄉(xiāng)網(wǎng)絡(luò)中,且該移動(dòng)節(jié)點(diǎn)需要重新選擇新的家鄉(xiāng)代理。
5.根據(jù)權(quán)利要求1至4中的任一項(xiàng)所述的方法,其特征在于,所述的步驟B具體包括B1、發(fā)送所述的路由通告請(qǐng)求消息的移動(dòng)節(jié)點(diǎn)收到子網(wǎng)前綴與家鄉(xiāng)代理不相同的路由器發(fā)來的路由通告消息,則確定其進(jìn)入外地網(wǎng)絡(luò);B2、根據(jù)路由通告消息中承載的所述區(qū)別標(biāo)識(shí)信息確定移動(dòng)節(jié)點(diǎn)當(dāng)前處于VPN內(nèi)部或VPN外部的外地網(wǎng)絡(luò)。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述的步驟B2包括當(dāng)所述的路由通告消息中承載著用于標(biāo)識(shí)該消息為VPN內(nèi)部的路由器發(fā)出的區(qū)別標(biāo)識(shí)信息時(shí),則確定移動(dòng)節(jié)點(diǎn)位于VPN內(nèi)部的外地網(wǎng)絡(luò),否則,確定移動(dòng)節(jié)點(diǎn)位于VPN外部的外地網(wǎng)絡(luò)。
7.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述的步驟B還包括B3、在移動(dòng)節(jié)點(diǎn)確定其進(jìn)入VPN外部的外地網(wǎng)絡(luò)后,則在外地網(wǎng)絡(luò)中通過無狀態(tài)或有狀態(tài)的地址自動(dòng)配置機(jī)制獲得相應(yīng)的轉(zhuǎn)交地址信息;B4、利用所述的轉(zhuǎn)交地址信息與VPN網(wǎng)關(guān)建立隧道,并通過所述的隧道實(shí)現(xiàn)移動(dòng)節(jié)點(diǎn)與VPN家鄉(xiāng)網(wǎng)絡(luò)的通信。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,在執(zhí)行所述的步驟B4之前還包括獲得轉(zhuǎn)交地址的移動(dòng)節(jié)點(diǎn)需要通過VPN網(wǎng)關(guān)的身份驗(yàn)證。
9.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述的步驟B還包括B5、在移動(dòng)節(jié)點(diǎn)確定其進(jìn)入VPN內(nèi)部的外地網(wǎng)絡(luò),則需要向家鄉(xiāng)代理發(fā)送綁定更新請(qǐng)求消息,所述的消息中承載有表示其為VPN內(nèi)部的移動(dòng)節(jié)點(diǎn)的標(biāo)識(shí)信息;B6、家鄉(xiāng)代理接收綁定更新請(qǐng)求消息,并僅對(duì)承載有所述標(biāo)識(shí)信息的綁定更新請(qǐng)求消息進(jìn)行處理。
10.根據(jù)權(quán)利要求1至4中的任一項(xiàng)所述的方法,其特征在于,所述的VPN內(nèi)部為IPv6網(wǎng)絡(luò),所述的VPN外部為IPv4網(wǎng)絡(luò)或IPv6網(wǎng)絡(luò)。
11.一種實(shí)現(xiàn)移動(dòng)VPN業(yè)務(wù)的系統(tǒng),其特征在于,包括設(shè)置于路由器中的路由通告消息構(gòu)造及發(fā)送單元,和設(shè)置于移動(dòng)節(jié)點(diǎn)中的判斷單元,其中所述的路由通告消息構(gòu)造及發(fā)送單元,用于構(gòu)造承載有的區(qū)別標(biāo)識(shí)信息的路由通告消息,所述的區(qū)別標(biāo)識(shí)信息用于表示該消息為VPN內(nèi)部的路由器發(fā)出的消息;所述的判斷單元,用于接收所述的路由通告消息,并根據(jù)消息中承載的所述區(qū)別標(biāo)識(shí)信息判斷移動(dòng)節(jié)點(diǎn)是否位于VPN內(nèi)部。
12.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述的判斷單元中還包括子網(wǎng)前綴判斷子單元,用于根據(jù)接收到的路由通告消息中的子網(wǎng)前綴判斷移動(dòng)節(jié)點(diǎn)是否處于VPN家鄉(xiāng)網(wǎng)絡(luò)中。
13.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述的系統(tǒng)還包括身份驗(yàn)證單元,其設(shè)置于VPN網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)上,用于對(duì)發(fā)起隧道建立的移動(dòng)節(jié)點(diǎn)的身份進(jìn)行驗(yàn)證,并控制僅允許身份驗(yàn)證通過的移動(dòng)節(jié)點(diǎn)與VPN網(wǎng)關(guān)之間建立相應(yīng)的隧道。
14.根據(jù)權(quán)利要求11、12或13所述的系統(tǒng),其特征在于,所述的系統(tǒng)還包括防火墻,在所述的防火墻中設(shè)置有數(shù)據(jù)攔截單元,用于攔截移動(dòng)節(jié)點(diǎn)與VPN網(wǎng)關(guān)間的加密數(shù)據(jù)。
全文摘要
本發(fā)明涉及一種實(shí)現(xiàn)移動(dòng)VPN業(yè)務(wù)的方法及系統(tǒng)。本發(fā)明主要包括在虛擬專用網(wǎng)VPN內(nèi)的路由器向移動(dòng)節(jié)點(diǎn)發(fā)送的路由通告消息中承載區(qū)別標(biāo)識(shí)信息,并發(fā)送;當(dāng)移動(dòng)節(jié)點(diǎn)接收到所述的路由通告消息后,根據(jù)消息中承載的區(qū)別標(biāo)識(shí)信息確定其處于VPN內(nèi)部。因此,本發(fā)明可以充分利用移動(dòng)IPv6的移動(dòng)檢測(cè)特性,將VPN的移動(dòng)檢測(cè)與移動(dòng)IPv6的移動(dòng)檢測(cè)相融合,最大限度地降低了內(nèi)部網(wǎng)絡(luò)檢測(cè)的復(fù)雜度,同時(shí)能獲得高效的檢測(cè)效率,解決了在IPv6環(huán)境下移動(dòng)VPN的內(nèi)部網(wǎng)絡(luò)檢測(cè)問題,進(jìn)而可以有效保證移動(dòng)VPN業(yè)務(wù)的順利開展。
文檔編號(hào)H04L29/06GK101043410SQ200610058450
公開日2007年9月26日 申請(qǐng)日期2006年3月24日 優(yōu)先權(quán)日2006年3月24日
發(fā)明者張宏科, 程鋼, 薛海波, 張暉 申請(qǐng)人:華為技術(shù)有限公司, 北京交通大學(xué)