调整穿越设备的规则策略的方法、系统及代理设备的制作方法

专利名称：调整穿越设备的规则策略的方法、系统及代理设备的制作方法
技术领域：
本发明涉及通信技术，尤其关于一种涉及调整穿越设备的规则策略的方 法、系统及代理设备。
背景技术：
防火墙作为 一种网络安全中间件，已经成为IP (Internet Protocol)网络 不可或缺的部分，它通过对网络的流量实施监控，执行相应的过滤策略和接 入控制来保护内部通信网元 它可以被视为由一些规则和策略组成的规则和 动作库，通过这些规则和策略决定是允许网络流量通过，还是阻止其通过。 防火墙的一个重要的作用是探测和防止拒绝服务攻击。
最早防火墙是针对IPv4 (Internet Protocol version"网络设计的，虽然现 在IP网络主要还是IPv4占主导地位，但随着网络地址的饱和，IPv6 (Internet Protocol version6 )网络大面积部署，IPv6网络大有取而代之的趋势，移动 IPv6协议也正是基于IPv6网络设计的 一套移动会话管理协议，但这带来的一 个问题是针对IPv4网络设计的防火墙并不支持MIPv6协议，随着移动节点离 开家乡网络，进入外地网络，移动节点与对端节点之间的通信会涉及到防火 墙穿越的问题。同样，在固定网络中，如果通信网元的信息发生变化，同样 需要所需要穿越的防火墙策略和规则进行修改，还有，在IPv4网络和IPv6网
络进行NAT穿越时，如果通信网元的信息发生变化，也需要NAT设备上的防 火墙策略和规则进行修改，所以，需要一种动态修改防火墙策略和规则的机 制，同时确保防火墙的安全功能。
现有技术给出 一 种在移动IPv6协议环境下采用认证、授权和计费 (AAA: Authentication, Authorization and Accouting)才广展十办"i义解，央卩方火i啬穿 越的方法，该方法采用AAA扩展协议，在组网框架层面及协议消息层面实现 AAA与移动IPv6两种协议的综合融合，来达到动态调整防火墙的过滤规则， 即家乡域AAA服务器和外地域AAA服务器分别与家乡域和外地域的IPv6防火 墙进行沟通，使得处于防火墙保护下、并使用移动IPv6协议的各个网元实体 相互之间实现正常通信。可参考图l,图l是现有技术的涉及防火墙穿越的报 文处理方法示意图；具体实现步骤如下
步骤l、移动节点MN向家乡代理HA发送绑定更新(BU: Binding Update)报文；
步骤2、服务点截获所述BU报文，向外地域的AAA服务器(AAAL)发 起对所述MN的认证请求消息(AMR: AAA-Mobile-Request) >所述消息中 携带从所述BU报文中提取的MN对应的家乡地址(HoA)、家乡代理地址 (HA)、网络接入标识(NAI)和认证选项，所述服务点部署在MN与MN对应的 外地网络边缘的防火墙之间，为了描述方面，后续对MN对应的外地网络边 缘的防火墙简称为防火墙A 。
步骤3、 AAAL向家乡网络的AAA服务器(AAAH)转发所述AMR消息； 步骤4、 AAAH根据所述AMR消息携带的选项对MN进行身份认证，当所 述认证通过后，AAAH向家乡域所管辖的防火墙发送防火墙策略修改消息 (AFR: AAA-Firewall-Request)，为了描述方便，后续对家乡域所管辖的防 火墙筒称为防火墙B。
步骤5、防火墙B成功配置所述MN的过滤规则和策略后，向AAAH发送 々务改完成消息(AFA: AAA-Firewall-Ack)。
步骤6 、 AAAH向AAAL发送请求消息(ACR: AAA-Conmiunication Request),所述ACR消息内容为请求AAAL通知防火墙A修改对于所述MN的 过滤规则和策略；
步骤7、 AAAL向所述防火墙A发送AFR消息，调整所述防火墙A对于所 述MN的过滤身见则和策略；
步骤8、所述防火墙A成功配置所述MN的过滤规则和策略后，向AAAL发 送AFA消息。
步骤9、 AAAL收到防火墙A发来的所述AFA消息后，向AAAH发送应答 消息(ACA: AAA-Communication Ack ),用于作为AAAL完成防火墙A对 MN过滤规则和策略修改的应答；
步骤IO、 AAAH向AAAL发送对所述MN的认证应答消息(AMA: AAA-Mobile-Ack),所述AMA消息携带认证结果，所述认证结果含有认证成功与 否的状态信息；
步骤ll、 AAAL向服务点转发AMA消息；
步骤12、如果所述认证结果为认证成功，服务点向HA转发所述BU消
息；
步骤13、 HA向MN回复BA消息；
发明人在实现本发明的过程中发现，由于上述方案只解决了隧道方式下 防火墙穿越的方法，对于路由优化模式下，MN与CN之间存在防火墙的情 形，AAAH服务器无法正常通知CN侧的防火墙，导致CN侧的防火墙无法调 整对MN的过滤规则和策略；同时，对于防火墙A而言，MN属于防火墙A内 部的节点，所以通过AAAL来通知防火墙A来调整的过滤规则和策略是冗余 的；此外，由于防火墙A和防火墙B分别需要和AAAL和AAAH进行通信，所
以对防火墙的要求比较高，即要求防火墙A和防火墙B都需要支持AAA扩展协 议。

发明内容
有鉴于此，本发明实施例的主要目的是提供一种调整穿越设备的规则策 略的方法、系统及代理设备，能够简化现有调整穿越设备的规则策略的方 案，且对现有穿越设备改动较小。
本发明实施例的目的是通过以下技术方案实现的
本发明实施例提供一种调整穿越设备规则策略的方法，包括如下步骤 第一代理截获第 一节点发送给第二节点的第一报文；所述第一代理请求第二 认证设备对所述第 一节点的身份进行认证；第二代理接收所述第二认证设备 对所述第一节点的第一身份认证结果；当所述第一身份认证结果为通过时， 所述第二代理确定调整第二穿越设备的规则和策略，并向所述第二穿越设备 下发所述规则和策略。
本发明实施例还提供一种调整穿越设备的规则策略的方法，包括如下步 骤第一代理截获第一节点向第三节点发送的第二报文；所述第一代理请求 第二认证设备对所述第一节点进行身份认证；所述第一代理接收所述第二认 证设备的第二身份认证结果；当所述第二身份认证结果为通过时，所述第一 代理向所述第三节点发送所述第二报文；第三代理截获所述第二报文；所述 第三代理请求所述第三认证设备对所述第 一节点的身份进行认证；第三代理
接收所述第三认证设备对所述第一节点的第三身份认证结果；当所述第三身 份认证结果为通过时，所述第三代理确定调整第三穿越设备的规则和策略， 并向所述第三穿越设备下发所述规则和策略。
此外，本发明实施例还提供一种代理设备，包括截获模块，用于截获 节点发来的报文；认证请求模块，用于请求认证设备对所述节点的身份进行 认证，所述认证设备所在的域和所述节点所在的域属于不同的管理域；报文 处理模块，用于当所述认证未通过时，丟弃所述报文；或者当所述认证通过 时，发送所述报文。
此外，本发明实施例还提供一种代理设备，包括如下模块认证接收模 块，用于接收认证设备发送的身份认证结果；策略调整模块，用于当所述身 份认证结果为通过时，确定调整穿越设备的规则和策略；策略下发模块，用 于向所述穿越设备下发所述规则和策略；策略应答模块，用于向所述认证设 备发送调整所述穿越设备的规则和策略的信息。
此外，本发明实施例还提供一种代理设备，包括截获模块，用于截获 节点发来的报文；认证请求模块，用于请求认证设备对所述节点的身份进行 认证，所述认证设备所在的域、所述节点所在的域都属于不同的管理域；认 证接收模块，用于接收所述认证设备发送的身份认证结果；策略调整模块， 用于当所述身份认证结果为通过时，确定调整穿越设备的规则和策略；策略 下发模块，用于向所述穿越设备下发所述规则和策略；报文处理模块，用于
当收到所述穿越设备完成修改的信息后，发送所述报文；当未收到所述穿越
设备完成修改的信息后，丟弃所述报文。
此外，本发明实施例还提供一种调整穿越设备规则和策略的系统，包
括第一节点、第一代理、第二认证设备、第三代理和第二穿越设备；所述 第一节点，用于发送第一报文；所述第一代理，用于截获所述第一报文，请 求对所述第一节点的身份进行认证；所述第二认证设备，用于对所述第一节 点的身份进行认证，发送身份认证结果；所述第二代理，用于接收所述身份 认证结果，根据所述身份认证结果，确定所述第二穿越设备的规则和策略， 向所述第二穿越设备下发所述规则和策略；所述第二穿越设备，用于接收所 述规则和策略。
此外，本发明实施例还提供另一种调整穿越设备规则和策略的系统，包 括第一节点、第一代理、第二认证设备、第三代理和第三穿越设备；所述 第一节点，用于发送第二报文；所述第一代理，用于截获所述第二报文，请 求对所述第一节点的身份进行认证，并当第二身份认证结果为通过时，发送 所述第二报文；所述第二认证设备，用于对所述第一节点的身份进行认证， 发送所述第二身份认证结果给所述第一代理；所述第三代理，用于截获所述 第二报文，请求对所述第一节点的身份进行认证，当收到身份认证结果为通 过时，确定第三穿越设备的规则和策略，并向所述第三穿越设备下发所述规 则和策略；所述第三穿越设备，用于接收所述规则和策略。
本发明实施例通过引入认证代理来对涉及穿越设备的报文实施认证机 制，通过在穿越设备保护网络附近引入策略代理来动态调整穿越设备的规则和策略，能解决移动IPv6网络环境中双向隧道和路由优化方式下涉及穿越设备的报文处理问题，还可以解决固定网络下动态调整穿越设备的规则和策略，本发明实施例无需穿越设备支持AAA扩展协议，对现有的穿越设备升级改动较小。


图l是现有技术的涉及防火墙穿越的报文处理方法示意图； 图2是本发明实施例的调整穿越设备的规则策略的方法流程图； 图3是本发明实施例的涉及穿越设备的报文处理方法流程图； 图4是本发明实施例的一代理设备的示意图； 图5是本发明实施例的另 一代理设备的示意图； 图6是本发明实施例的又一代理设备的示意图； 图7是本发明实施例的一调整穿越设备的规则策略的系统示意图； 图8是本发明实施例的涉及穿越设备的报文处理的系统示意图； 图9是本发明实施例的另 一调整穿越设备的规则策略的系统示意图。
具体实施例方式
下面以移动IPv6网络环境下，移动节点MN离开家乡网络，在外地网络与 对端节点CN通信需通过穿越设备为例进行说明，本发明实施例为了解决现有 方案的缺陷，在MN所在的外地域部署Proxy功能实体，为了后续描述方便， 简称为ProxyA;在MN所属的HA所在的家乡域分别部署Proxy功能实体，为了
后续描述方便，筒称为ProxyB;此外，为了解决路由优化模式下的报文通过 穿越设备的问题，可以在对端节点CN所在的接入域部署Proxy功能实体，为 了后续描述方便，简称为ProxyC,此处对端节点CN所在的接入域是指对端节 点CN有可能在自己所属的家乡域，也可能对端节点在外地域，即离开自己所 属的家乡域。所述ProxyA的作用主要是阻止拒绝服务攻击(DOS: Denial of service),所述ProxyA会截获处于外地域的MN发出报文所述报文，并至少提 取其中的NAI标识，并向家乡域的认证设备或者对端节点CN所在接入域的认 证设备请求i人证，当认证不通过时，则直4妄断开所述MN对应的会话和连 接。所述ProxyB和所述ProxyC的作用主要是对MN的身份进行认证，并调整 和下发所在域的防火墙的过滤规则和策略。固定网络下涉及穿越设备的报文 处理方法和IPv4和IPv6网络的NAT设备穿越问题的解决方案可以由以下实施 例的方案进行简单的变化得出。本发明实施例所提到的穿越设备，可以为防 火墙，也可以为网络地址转换设备(NAT: Network Address Translation),也 可以为虚拟私有网络网关(VPN,Virtual Private Network)。后续以穿越设备为防 火墙为例进行说明。本发明实施例所提到的认证设备，可以为认证、授权和 计费服务器，还可以是其它具有对身份进行认证功能的设备。为了描述方 便，MN所在家乡域的认证、授权和计费服务器简称为AAAH， CN所在接入 域的认证、授权和计费服务器简称为AAAF。为使本发明实施例的目的、技术方案和优点更加清楚明白，以下举实施 例，并参照附图，对本发明实施例进一步详细说明。
移动IPv6协议提供的路由方式主要有两种，分别为双向隧道4莫式和路由
优化模式，以下分别讨论这两种路由方式下的防火墙穿越问题。
一、 双向隧道方式下的防火墙穿越问题
双向隧道方式下，防火墙穿越问题主要涉及位于MN外地域和HA所在的 家乡域，这里可以不考虑CN侧的防火墙穿越问题。因为MN发出的报文通过 HA转发给CN时，是以HA为源地址的，而HA—般是不变的，所以不存在动 态修改防火墙的过滤规则和策略问题。所以为了实现在双向隧道方式下防火 墙穿越问题，如上所述，我们可以在MN的外地域部署ProxyA,在MN的家乡 域部署ProxyB。具体的交互流程可参考图2，图2是本发明实施例的调整穿越 设备的规则策略的方法流程图。
步骤201、第一代理截获第一节点发送的第一报文；
在本发明实施例的具体实现时，第一代理以ProxyA,第一节点以MN, 第一报文以BU报文举例。ProxyA截获MN向HA发送的BU报文；
步骤202、所述第 一代理请求第二认证设备对所述第一节点的身份进行认
证；
在本发明实施例的具体实现时，第二认证设备以家乡域的认证、授权、
计费服务器(AAAH )举例。所述ProxyA提取所述向AAAH发起对MN的身份认证请求消息，所述身份认证请求消息包括所述BU报文中的NAI选项和目的 地址；
步骤203、第二代理接收所述第二认证设备对所述第一节点的第一身份认 证结果；当所述第一身份认证结果为通过时，所述第二代理确定调整第二防 火墙的规则和策略，并向所述第二防火墙下发所述规则和策略；
在本发明实施例的具体实现时，第二代理以ProxyB举例，第二防火墙以 家乡域的防火墙举例。AAAH根据所述NAI选项对MN的身份进行认证，且当 所述目的地址为HA时，AAAH将认证结果发送给ProxyB;
所述ProxyB根据所述认证结果，确定是否建立防火墙规则和策略；当所 述i^证结果为认证通过时，ProxyB向家乡域的防火墙发送调整针对所述MN 的规则和策略；所述家乡域的防火墙相应地调整针对所述MN的规则和策 略，并将调整完成的信息反馈给所述ProxyB;当所述认证结果为未通过时， ProxyB确定为不调整针对所述MN的规则和策略，所述ProxyB还可以向所述 家乡域的防火墙发送所述MN认证未通过的消息，所述家乡域的防火墙不调 整针对所述MN的规则和策略，并向所述ProxyB反馈应答消息；
步骤204、所述第二代理发送应答消息给所述第二认证设备；
在本发明实施例的具体实现时，所述ProxyB向AAAH反馈应答消息，所 述应答消息含有家乡域的防火墙对所述MN的规则和策略的处理结果；
当所述认证结果为认证通过且所迷ProxyB收到所述家乡域防火墙的信息 反馈后，向AAAH发送应答消息，所述应答消息含有家乡域的防火墙调整完
所述家乡域的防火墙的信息反馈后，则向AAAH发送应答消息，所述应答消 息含有家乡域的防火墙调整未完成的信息；所述预定的时间可以根据服务质
量的要求自行配置。
当所述认证结果为未通过时，ProxyB可以直接向AAAH发送应答消息， 所述应答消息含有无需调整防火墙规则和策略的信息。当ProxyB向所述家乡 域的防火墙发送所述MN认证未通过的消息，所述家乡域的防火墙向所述 ProxyB反馈应答消息时，所述ProxyB收到所述家乡域防火墙的信息反馈后， 然后向AAAH发送应答消息，所述应答消息含有无需调整防火墙规则和策略 的信息。
步骤205 、所述第 一代理接收所述第二认证设备发送的所述身份认证结果 和所述应答消息的内容；当所述应答消息含有所述第二防火墙完成修改的信 息，则所述第一代理向所述第二节点发送所述第一报文；当所述应答消息含 有所述第二防火墙未完成修改的信息，则所述第一代理丢弃所述第一报文。
在本发明实施例的具体实现时，AAAH将所述认证结果和所述应答消息 的内容发送给ProxyA;所述ProxyA根据所述认证结果和所述应答消息的内容 对所述BU报文进行相应的处理；
当所述认证结果为未通过或所述应答消息含有所述家乡域的防火墙未完
成修改的信息，所述ProxyA丟弃所緩存的BU报文；如果MN与CN的会话已经 连接，则断开所述会话连接。
当所述认证结果为通过且所述应答消息含有所述家乡域的防火墙完成修 改的信息，所述ProxyA向HA发送所述BU报文；
当所述HA收到所述BU净艮文后，可以向所述MN回复绑定确认BA消息作
3是本发明实施例的涉及穿越设备的报文处理方法流程图； 二、 路由优化方式下的防火墙穿越问题
在路由优化方式下，由于MN发往CN的报文不经过HA,而直接发送给 CN,所以防火墙主要位于MN所在的外地域和CN所在的接入域。为了实现路 由优化方式下防火墙穿越问题，如上所述，我们可以在MN的外地域部署 ProxyA，在CN的接入域部署ProxyC。我们可以将路由优化方式下的防火墙穿 越分为两个子过程，子过程一主要用于阻止拒绝服务攻击，子过程二主要用 于实现位于CN侧的防火墙穿越。 (一)子过程一
当MN和CN希望使用路由优化方式通信时，便会向CN发送HoTI和CoTI 消息，其中所迷HoTI消息由HA转发。所以MN发往HA的消息按照上述提到 的方案实现家乡域的防火墙的穿越。
现在，我们来解决MN发往CN的消息如何穿越CN侧的防火墙。 步骤301 、第 一代理截获第 一节点向第三节点发送的第二报文； 在本发明实施例的具体实现时，第三节点以CN为例，第二l艮文以CoTI为 例，ProxyA截获MN向CN发送的CoTI报文；
步骤302、所述第一代理请求第二认证设备对所述第一节点进行身份认
证；
在本发明实施例的具体实现时，ProxyA向AAAH发起对MN的身份认证请 求消息，所述身份认证请求消息包括所述CoTI报文中的NAI选项和目的地 址；
步骤303 、所述第 一代理接收所述第二认证设备的第二身份认证结果； 在本发明实施例的具体实现时，AAAH根据所述NAI选项对MN的身份进
行认证，且当所述CoTI的目的地址不为HA时，AAAH将认证结果直接返回给
所述ProxyA。
步骤304、所述第一代理根据所述第二身份认证结果对所述第二报文进行 相应地处理；当所述第二身份认证结果为通过时，所述第一代理向所述第三 节点所述第二"R文；
在本发明实施例的具体实现时，所述ProxyA^^据所述认证结果，对所述 CoTI报文进行相应的处理。当所述认证结果为通过时，ProxyA向CN发送所 述CoTI报文；
当所述认证结果为未通过时，所述ProxyA删除所緩存的CoTI报文；如果 MN与CN的会话已经连接，则断开所述会话连接。 (二)子过程二
步骤401 、第三代理截获所述第 一节点向第三节点发送的第二才艮文；
在本发明实施例的具体实现时，第三代理以ProxyC为例，所述ProxyC截
获所述转交初始测试报文(CoTI: Care of Test Init)为例。
步骤402、所述第三代理请求所述第三认证设备对所述第 一节点的身份进
行认证；
在本发明实施例的具体实现时，第三认证设备以CN接入域的AAA服务器 为例。所述ProxyC向CN侧的AAA服务器AAAF发起对MN的身份认证请求消 息，所述身份认证请求消息包括所述CoTI报文中的NAI选项；
步骤403 、第三代理接收所述第三认证设备对所述第 一节点的第三身份认 证结果；
在本发明实施例的具体实现时，AAAF将所述身份认证请求消息发给 AAAH, AAAH根据所述CoTI报文中的NAI选项对MN的身份进行认证，将认 证结果返回给所述AAAF; AAAF将所述认证结果返回给所述ProxyC;
此外，在本发明实施例的具体实现时，ProxyC也可以直接向AAAH发起 对MN的身份认证请求消息，所述身份认证请求消息包括所述CoTI报文中的
NAI选项，AAAH根据所述CoTI报文中的NAI选项对MN的身份进行认证，将 认证结果返回给所述ProxyC;
步骤404、当所述第三身份认证结果为通过时，所述第三代理确定调整第 三防火墙的规则和策略，并向所述第三防火墙下发所述规则和策略；
在本发明实施例的具体实现时，所述ProxyC根据所述认证结果，确定是 否建立防火墙规则和策略；当所述认证结果为认证通过时，ProxyC向CN接入 域的防火墙发送调整针对所述MN的规则和策略；所述CN侧的防火墙相应地 调整针对所述MN的规则和策略，并将调整完成的信息反馈给所述ProxyC;
当所述认证结果为未通过时，ProxyC确定所述CN接入域的防火墙不调整 针对所述MN的规则和策略，还可以向所述CN接入域的防火墙发送所述MN 认证未通过的消息，所述CN接入域的防火墙不调整针对所述MN的规则和策 略并向所述ProxyC反馈应答消息；
步骤405、当所述第三代理收到所述第三防火墙完成修改的信息后，所述 第三代理向所述第三节点发送所述第二报文；当所述第三代理未收到所述第 三防火墙完成修改的信息后，所述第三代理丟弃所述第二报文。
在本发明实施例的具体实现时，当所述ProxyC收到所述CN接入域的防火 墙的信息反馈后，向CN转发所述CoTI报文；当所述ProxyC在预定的时间内未 收到所述家乡域的防火墙的信息反々贵后，则丢弃所述CoT財艮文；
当所述CN收到所述CoTI报文后，可以向所述MN回复转交测试CoT消息 作为应答。
此外，可参考图4，图4是本发明实施例的一代理设备的示意图；本发明 实施例还提供一种代理设备，包括截获模块，用于截获节点发来的报文； 认证请求模块，用于请求认证设备对所述节点的身份进行认证，所述认证设 备所在的域和所述节点所在的域属于不同的管理域；报文处理模块，用于当 所述认证未通过时，丢弃所述报文；或者当所述认证通过时，发送所述报 文。
此外，可参考图5，图5是本发明实施例的另一代理设备的示意图；本发 明实施例还提供另一种代理设备，包括如下模块认证接收模块，用于接收 认证设备发送的身份认证结果；策略调整模块，用于当所述身份认证结果为 通过时，确定调整穿越设备的规则和策略；策略下发模块，用于向所述穿越 设备下发所述规则和策略；策略应答模块，用于向所述认证设备发送调整所 述穿越设备的规则和策略的信息。所述穿越设备为防火墙、网络地址转换设 备或虚拟私有网络网关。
此外，可参考图6，图6是本发明实施例的又一代理设备的示意图；本发 明实施例还提供一种代理设备，包括如下模块截获模块，用于截获节点发 来的报文；认证请求模块，用于请求认证设备对所述节点的身份进行认证， 所述认证设备所在的域、所述节点所在的域都属于不同的管理域；认证接收
模块，用于接收所述认证设备发送的身份认证结果；策略调整模块，用于当 所述身份认证结果为通过时，确定调整穿越设备的规则和策略；策略下发模 块，用于向所述穿越设备下发所述规则和策略；报文处理模块，用于当收到 所述穿越设备完成修改的信息后，发送所述报文；当未收到所述穿越设备完 成修改的信息后，丢弃所述^1文。
此外，参考图7，图7是本发明实施例的涉及穿越设备的报文处理系统示 意图。本发明实施例还提供一种调整穿越设备的规则策略的系统，包括第 一节点、第一代理、第二认证设备、第三代理和第二穿越设备；所述第一节 点，用于发送第一报文；所述第一代理，用于截获所述第一报文，请求对所 述第一节点的身份进行认证；所述第二认证设备，用于对所述第一节点的身 份进行认证，发送身份认证结果；所述第二代理，用于接收所述身份认证结 果，根据所述身份认证结果，确定所述第二穿越设备的规则和策略，向所述 第二穿越设备下发所述规则和策略；所述第二穿越设备，用于接收所述规则 和策略。所述第二代理还包括应答模块，用于根据所述第二穿越设备的完 成修改信息向所述第二认证设备发送应答消息；所述第一代理还包括报文 处理模块，用于当所述应答消息为当所述应答消息含有所述第二穿越设备完 成修改的信息，发送所述第一报文；当所述应答消息含有所述第二穿越设备 未完成修改的信息，则丢弃所述第一报文；第二节点，用于接收所述报文处 理模块发来的所述第一报文。所述第一代理为所述第一节点所在域的代理设
备。所述第二代理位于所述穿越设备和所述第二认证设备之间。所述穿越设 备为防火墙或网络地址转换设备或虚拟私有网络网关。所述认证设备为认 证、授权、计费服务器。
此外，本发明实施例还提供另一种调整穿越设备规则和策略的系统，包
括第一节点、第一代理、第二认证设备、第三代理和第三穿越设备；所述 第一节点，用于发送第二报文；所述第一代理，用于截获所述第二报文，请 求对所述第一节点的身份进行认证，并当第二身份认证结果为通过时，发送 所述第二报文；所述第二认证设备，用于对所述第一节点的身份进行认证， 发送所述第二身份认证结果给所述第一代理；所述第三代理，用于截获所述 第二报文，请求对所述第一节点的身份进行认证，当收到身份认证结果为通 过时，确定第三穿越设备的规则和策略，并向所述第三穿越设备下发所述规 则和策略；所述第三穿越设备，用于接收所述规则和策略。所述第三代理还 包括报文处理模块，用于当收到所述第三穿越设备完成修改的信息，发送 所述第二报文；当未收到所述第三穿越设备完成修改的信息，则丟弃所述第 二报文；第三节点，用于接收所述报文处理模块发来的所述第二报文。
制，通过在穿越设备保护网络附近引入策略代理来动态调整穿越设备的规则 和策略，可以解决移动IPv6网络环境中双向隧道和路由优化方式下涉及穿越 设备的报文处理问题，还可以解决固定网络下动态调整穿越设备的规则和策
略，本发明实施例无需穿越设备支持AAA扩展协议，对现有的穿越设备升级
改动较小。
本领域普通技术人员可以理解上述实施例方法中的全部或部分步骤是可 以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读
取存储介质中，所述的存储介质，如ROM/RAM、》兹碟，光盘等。
以上所述，仅为本发明较佳的具体实施方式
，但本发明的保护范围并不 局限于此，任何熟悉该技术的人在本发明所揭露的技术范围内，可轻易想到 的变化或替换，都应涵盖在本发明的保护范围之内。
权利要求
1、一种调整穿越设备规则策略的方法，其特征在于，包括如下步骤第一代理截获第一节点发送给第二节点的第一报文；所述第一代理请求第二认证设备对所述第一节点的身份进行认证；第二代理接收所述第二认证设备对所述第一节点的第一身份认证结果；当所述第一身份认证结果为通过时，所述第二代理确定调整第二穿越设备的规则和策略，并向所述第二穿越设备下发所述规则和策略。
2、 根据权利要求l所述的方法，其特征在于，还包括 所述第二代理发送应答消息给所述第二认证设备；所述第一代理接收所述第二认证设备发送的所述身份认证结果和所述应 答消息的内容；当所述应答消息含有所述第二穿越设备完成修改的信息，则所述第一代 理向所述第二节点发送所述第一报文；当所述应答消息含有所述第二穿越设备未完成修改的信息，则所述第一 代理丢弃所述第一报文。
3、 根据权利要求l所述的方法，其特征在于，所述所述第一代理请求第 二认证设备对所述第一节点的身份进行认证；第二代理接收所述第二认证设 备对所述第 一节点的身份认证结果具体包括所述第 一代理向第二认证设备发起对所述第 一节点的身份认证请求消 息，所述身份认证请求消息包括所述第 一报文中的网络接入标识和所述第一报文的目的地址；第二代理接收所述第二认证设备对所述第 一节点的身份认证结果，所述 身份认证结果是由所述第二认证设备根据所述网络接入标识对所述第 一节点 的身份进行认证而得到的。
4、 根据权利要求2所述的方法，其特征在于，所述所述第二代理发送应 答消息给所述第二认证设备具体包括所述第二穿越设备根据所述规则和策略完成修改后，向所述第二代理发送修改完成消息；所述第二代理根据所收到的所述修改完成消息，发送应答消息给所述第 二认证设备，所述应答消息含有所述第二穿越设备完成修改的信息； 或所述第二代理在预定时间内未收到所述第二穿越设备修改完成的消息， 发送应答消息给所述第二认证设备，所述应答消息含有所述第二穿越设备未 完成修改的消息。
5、 根据权利要求2所述的方法，其特征在于，所述所述第一代理丟弃所 述第一报文还包括所述第一代理断开所迷第一节点与所述第二节点的会话连接。
6、 根据权利要求l所述的方法，其特征在于，所述第一节点为移动IPv6 协议下的移动节点；所述第二节点为所述第 一节点的家乡代理；或者所述第一节点和第二节点属于固定网络的终端节点。
7、 根据权利要求l所述的方法，其特征在于，所述第一代理为所述第一 节点所在域的代理设备；所述第二代理为所述第二节点所在域的代理设备。
8、 根据权利要求l所述的方法，其特征在于，所述第二穿越设备为防火 墙或网络地址转换设备或虚拟私有网络网关。
9、 根据权利要求l所述的方法，其特征在于，所述的认证设备为认证、 授权和计费服务器。
10、 一种调整穿越设备的规则策略的方法，其特征在于，包括如下步骤第 一代理截获第 一节点向第三节点发送的第二净艮文； 所述第 一代理请求第二认证设备对所述第 一 节点进行身份认证； 所述第 一代理接收所述第二认证设备的第二身份认证结果； 当所述第二身份认证结果为通过时，所述第一代理向所述第三节点发送 所述第二报文；第三代理截获所述第二报文；所述第三代理请求所述第三认证设备对所述第 一节点的身份进行认证； 第三代理接收所述第三认证设备对所述第 一节点的第三身份认证结果； 当所述第三身份认证结果为通过时，所述第三代理确定调整第三穿越设 备的规则和策略，并向所述第三穿越设备下发所述规则和策略。
11、 根据权利要求10所迷的方法，其特征在于，还包括 当所述第三代理收到所述第三穿越设备完成修改的信息后，所述第三代理向所述第三节点发送所述第二报文；当所述第三代理未收到所述第三穿越设备完成修改的信息后，所述第三 代理丢弃所述第二报文。
12、 根据权利要求10所述的方法，其特征在于，所述第一节点为移动 IPv6协议下的移动节点；所述第三节点为所述移动节点的对端节点。
13、 根据权利要求10所述的方法，其特征在于，所述第三代理为所述第 三节点所在域的代理设备。
14、 根据权利要求10所述的方法，其特征在于，所述穿越设备为防火墙 或网络地址转换设备或虛拟私有网络网关。
15、 根据权利要求10所述的方法，其特征在于，所述的认证设备为认 证、授权和计费服务器。
16、 一种代理设备，其特征在于，包括 截获模块，用于截获节点发来的报文；认证请求模块，用于请求认证设备对所述节点的身份进行认证，所述认证设备所在的域和所述节点所在的域属于不同的管理域；报文处理模块，用于当所述认证未通过时，丢弃所述报文；或者当所述 认证通过时，发送所述报文。
17、 一种代理设备，其特征在于，包括如下模块 认证接收模块，用于接收认证设备发送的身份认证结果； 策略调整模块，用于当所述身份认证结果为通过时，确定调整穿越设备的规则和策略；策略下发模块，用于向所述穿越设备下发所述规则和策略； 策略应答模块，用于向所述认证设备发送调整所述穿越设备的规则和策 略的信息。
18、 根据权利要求17所述的代理设备，其特征在于，所述穿越设备为防 火墙或网络地址转换设备或虚拟私有网络网关。
19、 根据权利要求17所述的代理设备，其特征在于，所述的认证设备为 认证、授权和计费服务器。
20、 一种代理设备，其特征在于，包括 截获模块，用于截获节点发来的报文；认证请求模块，用于请求认证设备对所述节点的身份进行认证，所述认 证i殳备所在的域、所述节点所在的域都属于不同的管理域；认证接收模块，用于接收所述认证设备发送的身份认证结果； 策略调整模块，用于当所述身份认证结果为通过时，确定调整穿越设备 的规则和策略；策略下发模块，用于向所述穿越设备下发所述规则和策略； 报文处理模块，用于当收到所述穿越设备完成修改的信息后，发送所述 报文；当未收到所述穿越设备完成修改的信息后，丟弃所述报文。
21、 一种调整穿越设备的规则策略的系统，其特征在于，包括第一节 点、第一代理、第二认证设备、第三代理和第二穿越设备；所述第一节点，用于发送第一报文；所述第一代理，用于截获所述第一报文，请求对所述第一节点的身份进 行认证；所述第二认证设备，用于对所述第一节点的身份进行认证，发送身份认证结果；所述第二代理，用于接收所述身份认证结果，根据所述身份认证结果， 确定所述第二穿越设备的规则和策略，向所述第二穿越设备下发所述规则和策略；所述第二穿越设备，用于接收所述规则和策略。
22、 根据权利要求21所述的系统，其特征在于，所述第二代理还包括应答模块，用于根据所述第二穿越设备的完成修 改信息向所述第二认证设备发送应答消息；所述第一代理还包括报文处理模块，用于当所述应答消息为当所述应 答消息含有所述第二穿越设备完成修改的信息，发送所述第一报文；当所述 应答消息含有所述第二穿越设备未完成修改的信息，则丢弃所述第一报文；第二节点，用于接收所述报文处理模块发来的所述第一报文。
23、 根据权利要求21所述的系统，其特征在于，所述第一代理为所述第 一节点所在域的代理设备。
24、 根据权利要求21所述的系统，其特征在于，所述第二代理位于所述 穿越设备和所述第二认证设备之间。
25、 根据权利要求21所述的系统，其特征在于，所述穿越设备为防火墙 或网络地址转换设备或虛拟私有网络网关。
26、 根据权利要求21所述的系统，其特征在于，所述认证设备为认证、 授权、计费服务器。
27、 一种调整穿越设备规则和策略的系统，其特征在于，包括第一节 点、第一代理、第二认证设备、第三代理和第三穿越设备；所述第一节点，用于发送第二报文；所述第一代理，用于截获所述第二报文，请求对所述第一节点的身份进 行认证，并当第二身份认证结果为通过时，发送所述第二报文；所述第二认证设备，用于对所述第一节点的身份进行认证，发送所述第二身份认证结果给所述第一代理；所述第三代理，用于截获所述第二报文，请求对所述第一节点的身份进 行认证，当收到身份认证结果为通过时，确定第三穿越设备的规则和策略， 并向所述第三穿越设备下发所述规则和策略；所述第三穿越设备，用于接收所述规则和策略。
28、根据权利要求27所述的系统，其特征在于，所述第三代理还包括报文处理模块，用于当收到所述第三穿越设备完 成修改的信息，发送所述第二报文；当未收到所述第三穿越设备完成修改的 信息，则丟弃所述第二报文；第三节点，用于接收所述报文处理模块发来的所述第二报文。
全文摘要
本发明实施例公开了一种调整穿越设备的规则策略的方法、系统及代理设备，本发明实施例通过引入认证代理来对通过穿越设备的报文实施认证机制，通过在穿越设备保护网络附近引入策略代理来动态调整穿越设备的规则和策略，可以解决移动IPv6网络环境中双向隧道和路由优化方式下涉及穿越设备的报文处理问题，还可以解决固定网络中动态调整穿越设备的规则和策略，本发明实施例无需穿越设备支持AAA扩展协议，对现有的穿越设备升级改动较小。
文档编号H04L1/16GK101340424SQ20071007633
公开日2009年1月7日 申请日期2007年7月3日 优先权日2007年7月3日
发明者钦 吴 申请人:华为技术有限公司