专利名称:一种在快速切换过程中进行aaa认证的方法
技术领域:
本发明涉及计算机网络领域,更具体地说,涉及移动IPv6中一种在快速切换过程中进行AAA认证过程的方法。
背景技术:
随着无线通信技术和网络技术的飞速发展,人们已不满足于仅仅在固定地点接入因特网,而是期望一种无处不在的接入方式。移动IPv6是IETF提出的移动性解决方案,可以使终端在移动过程中传输层连接不被中断。
下面是相关的专业术语1、移动节点(MN)能够从一条链路切换至另一条链路而保持当前连接不被中断的移动主机。在本文中移动节点支持移动IPv6协议。
2、通信对端节点(CN)是和移动节点通信的固定/移动主机,可简称通信对端。
3、家乡地址分配给移动节点的永久性全局地址,用来唯一地标志移动节点。
4、转交地址(CoA)移动节点移动至外地网络时,分配给移动节点的临时地址。
5、家乡代理(HA)位于移动节点家乡网络的路由器或服务器。当移动节点移动至外地时,家乡代理截获发向移动节点的报文,然后对该报文进行隧道封装,并转发至移动节点的当前位置。
6、绑定移动节点的家乡地址和转交地址之间的关联。
7、注册移动节点向家乡代理或通信节点发送绑定更新报文,以注册一条绑定的过程。
8、无线接入点(AP)为移动节点提供无线连接以接入互联网的二层设备。
9、接入路由器(AR)移动节点的缺省路由器。
在移动IPv6中,移动问题被视为寻址和路由问题。当移动节点(MN)漫游至外地网络时,MN使用两个地址家乡地址和转交地址。家乡地址在网络层以上各层使用,用于唯一地标志MN;转交地址在网络层使用,使得报文能够路由至MN的当前位置。
移动节点在两个不同的子网之间移动时将产生切换。移动节点在新的子网上获得新的转交地址,这需要向家乡代理重新注册,以及向通信对端重新绑定。由于协议处理和信号强度等原因,切换会产生延迟,导致移动节点在一定时间内不能发送和接收数据,使得通信对端与移动节点之间的通信暂时中断。切换延迟过大就不能满足如视频、音频等实时通信的要求,当传输层协议是TCP时,会大大降低TCP的吞吐量。
为了减少切换引起的延迟或者说连接中断时间,在移动IPv6中提出了一些快速切换方法,主要包括两种切换机制预先切换和基于隧道的切换(参见文献《移动IP技术》,孙利民等编著,电子工业出版社,2003.8,P125~P130)。其中,最具代表性的是IETF提出的移动Ipv6快速切换草案(draft-ietf-mipshop-fast-mipv6-00),该草案提出了一种预切换(PredictiveFast Handoff)方法。此方法需要链路层提供二层(链路层)预切换触发信号(Pre-trigger),以使得MN能够预先知道即将发生二层切换,从而提前开始三层(网络层)切换过程。实际上,对于目前大多数无线技术而言,仍然缺乏有效、准确预测二层切换发生的链路层技术。因此,如何真正地实现该快速切换方案仍然存在疑问。
在现有的基于隧道的切换中,移动节点移动到了新的网络并且建立了第二层的连接后,在移动节点移动前后所属的新旧接入路由器之间建立双向隧道,通过隧道转发数据报文。移动节点使用与旧路由器有相同网络前缀的转交地址。该方法中,由于需要在新旧接入路由器之间进行信令交互以在二者之间建立双向隧道,因此这些信令报文的处理引入了切换时延。
在现有技术中,另一个影响移动IPv6技术商业化的因素就是AAA认证问题,AAA认证是指认证(Authentication)、授权(Authorization)和计费(Accounting)。最具代表性的是Diameter协议的移动IPv6扩展草案(draft-le-aaa-diameter-mobileipv6-03)。在现有的AAA认证过程中,接入设备一般采用访问控制列表(Access Control List,ACL)控制用户数据的转发。未经认证的用户在ACL中没有对应的表项,其数据不能被转发;认证成功的用户在ACL存在一对应的表项,其数据会被转发。在移动IPv6快速切换方案中如果考虑接入认证,当MN切换至另外一个网络时,就应该首先重新发起认证,然后才可以正常收发数据,但是这无疑会增加切换时延。目前较多采用的方法是上下文转移(ContextTransfer),即把MN的AAA信息从其之前所在的网络转移至可能切换至或已经切换至的网络。这样,当MN完成链路层切换后,就可以立即收发数据。但是,该方法也具有一定的局限性,比如,该方法需要在两个网络之间交换报文,以传送MN的AAA信息。这种方式在某些情况下,就会因为在两个接入路由器之间传送AAA消息而引入额外的切换时延。
综上所述,在现有技术中的切换方法中,切换本身和AAA认证过程都会增加切换时延。
发明内容
本发明的目的是提供一种结合AAA认证过程的快速切换方法,将快速切换和接入认证结合起来,以减小切换时延。
为了实现上述目的,本发明提供的一种在快速切换过程中进行AAA认证过程的方法,用于移动节点从旧接入路由器移动至新接入路由器时的快速切换过程,所述新接入路由器具有接入控制功能;其中在快速切换过程中,所述新接入路由器在其访问控制列表中为移动节点生成一临时用户表项,以便该新接入路由器可为所述移动节点转发报文;该临时用户表项具有一生存期;在所述临时用户表项生成后,移动节点进行正式的AAA认证过程;如果正式的AAA认证过程在临时用户表项到期前完成,则新接入路由器用正式的用户表项替换所述临时用户表项;如果正式的AAA认证过程在临时表项到期时仍未完成,则删除所述临时用户表项,该新接入路由器停止为移动节点提供接入服务。
所述临时用户表项中包括所述移动节点的当前IP地址。所述移动节点的当前IP地址是移动节点在旧接入路由器处配置的旧转交地址。
或者,所述移动节点的当前IP地址是移动节点在新接入路由器处配置的新转交地址。移动节点的AAA认证过程和移动节点的绑定更新过程基本上同时进行,所述移动节点通过绑定更新过程向家乡代理/通信对端绑定更新其新转交地址。
本发明在新接入路由器上设置具有生存期的临时用户表项,使得移动节点在切换到新接入路由器后,新接入路由器能在临时用户表项的在生存期内暂时为移动节点提供接入服务,保持通信不致中断,减小了切换延迟。
图1是移动IPv6切换场景示意图;图2是本发明的快速切换方法流程图;图3是RS+报文中的ICMP首部;图4是FRA+报文中转交地址选项。
具体实施例方式
下面结合附图和具体实施方式
对本发明作进一步详细描述。
本发明在快速切换过程中进行AAA认证过程的方法,是在移动节点的快速切换快速过程中进行其AAA认证过程。但是,本发明对具体的快速切换过程不作限制,本发明方法除了在下面描述的快速切换过程中进行之外,还可以在现有的一些其它快速切换过程中进行,例如本发明同样适用于“背景技术”中所提及的在移动节点移动前后所属的新旧接入路由器之间建立双向隧道的快速切换过程。在下文的描述中,将以在一个优选的快速切换过程中进行的AAA认证过程作为优选实施方式详细描述本发明。
切换场景如图1所示,MN最初通过无线接入点oAP连接在接入路由器oAR下,并在此完成了向HA/CN绑定更新的过程。随后MN通过无线接入点nAP切换至新接入路由器nAR。oAR和nAR所辖网络都属于外地网络。MN在oAR处配置的转交地址为oCoA,在nAR处配置的转交地址为nCoA。
本发明在如图2所示的快速切换过程中进行,步骤如下1)当移动节点MN切换至新的接入路由器nAR并建立了第二层(链路层)的连接后,移动节点的链路层会产生链路启动(Link-up)触发信号。Link-up信号的产生因无线技术的不同而异,在此以基于802.11协议的无线局域网(WLAN)为例,简要说明该信号的产生条件。在IEEE 802.11b协议中,链路层切换过程实质上是在MN的无线网卡和AP(Access Point,无线接入点)之间交互一系列的管理帧(Frame)。当MN发送或接收到某种类型的管理帧时,标志某件链路层事件的发生。无线适配卡提供Link-up信号需要在无线适配卡的Firmware中存在提供该信号的编程接口,并且需要驱动程序的支持。
2)MN接收到来自链路层的Link-up信号后,立即向路由器nAR发送路由器请求RS+报文,进行移动检测。如图3所示的RS+报文的ICMPv6首部格式,RS+和普通RS报文的区别是在其ICMPv6首部中添加了一个标志位,在一个实施例中该标志位为‘C’。在RS+报文中,该标志位——例如‘C’表明发送方MN请求接入路由器nAR为其配置转交地址并生成临时用户表项。另外,在RS+报文中还包含一个IP地址选项,其内容为当前接入路由器的IPv6地址,该选项的作用将在下文中看得更清楚。
优选地,考虑到安全因素,接入路由器nAR应该监控RS+报文的发送速率,以防止拒绝服务攻击(DoS)。如果RS+发送速率过快,接入路由器nAR停止为该用户提供服务,并记入安全日志。
3)路由器nAR收到MN发送的RS+报文后,检测该报文是否包含标志位‘C’。如果没有,就按照一般的RS报文进行处理;否则,说明该RS报文是移动节点在快速切换期间发送的路由器请求RS+报文。这时,路由器nAR还需要判断移动节点MN是否发生了三层(网络层)切换。判断过程如下将RS+报文中IP地址选项包含的地址与路由器nAR自己的IPv6地址进行比较,如果二者相同,说明MN没有发生三层切换,这时路由器nAR向MN回复一个常规的路由器应答(RA)报文即可;否则,说明MN发生了三层切换,此时路由器nAR作如下三项工作3a)配置转交地址根据路由器接收端口的网络前缀和RS+报文中包含的MN的MAC地址,路由器nAR为MN构造新的转交地址nCoA,然后检查该地址是否已经被其他用户使用,以保证该转交地址nCoA的唯一性。如果已经被使用,则nAR需要为MN分配另一个地址,并重新验证该地址的唯一性。在IPv6的具体实现中,接入设备一般采用访问控制列表(AccessControl List,ACL)控制用户数据的转发,这是本领域的技术人员所公知的。因此,在本发明具体实施时,可以根据接入控制列表(ACL)或类似此功能的用户列表验证该新转交地址nCoA的唯一性。
3b)为移动节点生成具有一定生存期的临时用户表项对于具有接入控制功能的接入路由器,路由器不会为任何未经认证授权的用户提供接入服务。如果MN发现切换到新网络,就开始快速切换过程,MN需要尽快向oAR发送快速绑定更新(FBU)报文,但是此时nAR并没有获得任何有关MN的认证授权信息,因此nAR不会转发FBU。从安全性考虑,此时MN应该先认证/授权,然后再进行快速切换,但这样可能会引起较大的切换时延,尤其是当需要家乡AAA服务器(AAAh)参与认证过程时。
在本实施方式中,当路由器nAR为移动节点MN配置了“唯一”的转交地址nCoA之后,路由器nAR以nCoA为该用户的当前IP地址在其访问控制列表中生成一临时用户表项,该用户表项具有一生存期,该临时用户表项在其生存期到期后被路由器nAR删除。建立该临时用户表项后,在该临时用户表项的生存期内,若nAR收到目的地址是nCoA的报文(发向MN的报文)或收到源地址时nCoA的报文(发自MN的报文)时,就可以根据临时用户表项进行正常转发。应当注意的是,事实上移动节点MN此时尚未完成其AAA认证,为移动节点生成的该临时用户表项只是为了让移动节点MN可通过路由器nAR收发数据报文,以进行其正常的AAA认证过程并加快切换过程。当这一点将在下文的描述中看得更清楚。
该临时用户表项生存期的长短和移动节点MN的正常AAA认证所需时间相关,设计者可根据具体的AAA认证所需时间来设置该用户表项的生存期,以便正常的AAA认证过程可在该生存期内完成。一般来说,临时用户表项的生存期可设置为5秒~10秒。
应当注意,虽然在本实施例中新接入路由器nAR以新转交地址nCoA生成临时用户表项,但是应当理解,在其他的实施例中,当移动节点MN没有配置到新转交地址时,也可以使用其在旧接入路由器oAR配置的旧转交地址oCoA作为用户的当前IP地址生成临时用户表项。本领域的一般技术人员可知,这并不影响本发明的实施。
3c)构造路由器应答(RA+)报文与普通的路由器应答RA报文相比,这里的路由器应答报文除了包含例如网络前缀、MAC地址等选项外,还要在路由器应答报文中添加一个新的转交地址选项,其内容是新接入路由器nAR为该MN配置的转交地址。为区别于一般的RA报文,可将该路由器应答报文成为称之为RA+报文。转交地址选项的格式如图4所示。
3d)向MN发送RA+报文在构造好RA+报文后,nAR将该报文发送到MN。RFC2462规定,为了避免冲突,路由器收到路由器请求(RS)报文后并不立即发送路由器应答(RA)报文,而是要随机延迟0s到0.5s。作为一种优选方案,本发明中采用了一种快速RA方案来发送RA+报文,即在一条链路上允许有一个路由器不进行上述延时,而是立即发送RA。为区别于其他RA报文,把此快速RA机制下发送的RA+报文称为FRA+。
4)MN收到FRA+后,根据FRA+中包含的网络前缀等信息判断是否发生了三层切换。如果没有发生三层切换,则不进行以下操作;否则4a)构造快速绑定更新(FBU)报文。FBU的Ipv6首部的源地址为FRA+报文中包含的nCoA,目的地址为oAR的IPv6地址。FBU的家乡地址选项(Home Address Option)中包含oCoA。
4b)向旧的接入路由器oAR发送FBU报文。
5)oAR收到FBU后,根据报文内容进行如下操作5a)建立nCoA和oCoA之间的绑定表项。
5b)建立一个隧道,该隧道的入口地址为oAR的Ipv6地址,出口地址为为移动节点的转交地址nCoA。该隧道具有一生存期,隧道过期后将会被删除。该隧道的生存期可以在FBU选项中的Lifetime域设置,生存期与oAR和MN间的隧道的使用时间有关,而隧道的使用时间取决于MN向HA/CN进行绑定更新的时间,一般设置为5~10秒即可。
5c)向MN发送快速绑定应答(FBACK)报文。
这样,oAR截获目的地址为oCoA的报文,然后进行IPv6/IPv6封装,使得外层的IPv6首部的源、目的地址分别为隧道的入口和出口地址,最后转发至MN。这些报文在MN处解封装,然后再交付至应用程序。
6)MN收到FBACK,如果该报文表明oAR已成功进行了相关操作,则建立反向隧道,其入口地址为nCoA,出口地址为oAR的IPv6地址。反向隧道建立后,这样就在oAR和MN之间建立起了一个双向隧道(Bi-directional Tunnel),该双向隧道的生存期与步骤5b)中的隧道生存期相一致。
这样,MN对即将发送出去的源地址为oCoA的报文进行IPv6/IPv6封装,使得外层的IPv6首部的源、目的地址分别为隧道的入口和出口地址。这些报文到达oAR后,经解封装,然后再转发至真正的目的地。
注意,反向隧道建立后,仅源地址为oCoA的数据报是经过IPv6/IPv6封装后发送出去的。由于MN向HA/CN发送的AAA认证报文和绑定更新报文的源地址是nCoA,因此不会采用隧道方式,而是直接发送出去。
7)移动节点MN通过路由器nAR以源地址nCoA向HA/CN发送AAA认证报文和绑定更新报文,以常规方式基本上同时进行AAA认证和对HA/CN的绑定更新。
移动节点MN对HA/CN的绑定更新一般在双向隧道过期前完成,移动节点MN对HA/CN的绑定更新完成后,数据流开始使用新转交地址nCoA进行转发,随后双向隧道到期并被删除。如果由于某些原因,MN向HA/CN的绑定更新过程在隧道的生存期内没有完成,这时就必须继续使用隧道进行通信。一般情况下,可以先将隧道的生存期设置为5秒~10秒,如果还要继续用隧道,MN可以重新发送FBU报文更新隧道的生存期。
移动节点MN的正式AAA认证过程一般在临时用户表项过期前完成,当移动节点MN的AAA认证完成后,将在路由器nAR上为移动节点MN生成一正式的用户表项,新接入路由器nAR用正式的用户表项取代临时用户表项,由于临时用户表项到期前已经生成了正式的用户表项,因此通信不会被中断。如果移动节点MN的AAA认证没有通过,则临时用户表项过期后被删除,nAR停止为MN提供接入服务。
权利要求
1.一种在快速切换过程中进行AAA认证过程的方法,用于移动节点从旧接入路由器移动至新接入路由器时的快速切换过程,所述新接入路由器具有接入控制功能;其中在快速切换过程中,所述新接入路由器在其访问控制列表中为移动节点生成一临时用户表项,以便该新接入路由器可为所述移动节点转发报文;该临时用户表项具有一生存期;在所述临时用户表项生成后,移动节点进行正式的AAA认证过程;如果正式的AAA认证过程在临时用户表项到期前完成,则新接入路由器用正式的用户表项替换所述临时用户表项;如果正式的AAA认证过程在临时表项到期时仍未完成,则删除所述临时用户表项,该新接入路由器停止为移动节点提供接入服务。
2.根据权利要求1所述的在快速切换过程中进行AAA认证过程的方法,其特征在于,所述临时用户表项中包括所述移动节点的当前IP地址。
3.根据权利要求2所述的在快速切换过程中进行AAA认证过程的方法,其特征在于,所述移动节点的当前IP地址是移动节点在旧接入路由器处配置的旧转交地址。
4.根据权利要求2所述的在快速切换过程中进行AAA认证过程的方法,其特征在于,所述移动节点的当前IP地址是移动节点在新接入路由器处配置的新转交地址。
5.根据权利要求4所述的在快速切换过程中进行AAA认证过程的方法,其特征在于,移动节点的AAA认证过程和移动节点的绑定更新过程基本上同时进行,所述移动节点通过绑定更新过程向家乡代理/通信对端绑定更新其新转交地址。
全文摘要
本发明公开了一种在快速切换过程中进行AAA认证过程的方法,在快速切换过程中,新接入路由器在其访问控制列表中为移动节点生成一临时用户表项,该临时用户表项具有一生存期。在临时用户表项生成后,移动节点进行正式的AAA认证过程。如正式的AAA认证过程在临时用户表项到期前完成,则新接入路由器用正式用户表项替换临时用户表项;如正式的AAA认证过程在临时表项到期时仍未完成,则删除临时用户表项,新接入路由器停止为移动节点提供接入服务。本发明在新接入路由器上设置临时用户表项,使得移动节点在切换到新接入路由器后,新接入路由器能在临时用户表项的在生存期内暂时为移动节点提供接入服务,保持通信不致中断,减小了切换延迟。
文档编号H04L29/06GK1705304SQ20041000915
公开日2005年12月7日 申请日期2004年5月31日 优先权日2004年5月31日
发明者张宇, 侯自强, 林涛, 赵海滨 申请人:中国科学院声学研究所