专利名称:通信控制设备、防火墙设备与数据通信方法
技术领域:
本发明涉及一种通信控制设备、一种防火墙设备、一种通信控制系统以及一种数据通信方法。
背景技术:
移动IPv6是一种能够让蜂窝电话或其他类似的移动台不论是否移动也使用同一个IP(互联网协议)地址的传统技术,IETF(互联网工程任务组)正在对其进行研究。移动IPv6被移动IP终端实现为多个移动台和一个本地代理。带有目的地地址的数据包被按照正常的IP程序发送出去并随后到达本地代理的一条链路,所述的目的地地址是一个移动IP终端的永久IP地址(本地地址)。这能让本地代理接收到编址为本地地址的数据包。
在移动过程中,移动IP终端在移动后会被连接到一个新的节点上,并获得一个转发(c/o)地址,该地址是一个临时IP地址,这是利用现有的无状态地址自动配置(RFC2462)或有状态地址自动配置(DHCP动态主机配置协议)实现的。移动IP终端会将该c/o地址登记到本地代理处。
有两种方法让移动IP终端与另一个终端进行通信一种双向隧道模式和一种路由优化模式。双向隧道模式中,在移动IP终端和本地代理之间产生一条隧道。所述的隧道是一种技术,它将一个原始的IP包放入另一个IP包中并发送之,从而在一条任意的路径中传递数据包,而不用考虑原始IP包的源IP地址和目的地IP地址,如RFC2473中所述。
当移动IP终端向另一个终端发送一个IP包时,该IP包首先通过隧道发送到本地代理处。本地代理将该IP包从隧道中取出,然后再按照正常的IP程序将该IP包发送给其他终端。反之,当其他终端向移动IP终端发送IP包时,该IP包会按正常的IP程序到达本地代理处。之后,本地代理将该IP包放入一个隧道并将其发送给移动IP终端。
与之相反,在路由优化模式中,移动IP终端在发送IP包之前向其他终端告知它的IP地址。如果其他终端以双向隧道模式向该移动IP终端发送IP包,那么该移动IP终端将向所述的其他终端发送它自己的c/o地址,以便将模式转换到路由优化模式下。
在路由优化模式中,当移动IP终端向另一个终端发送一个IP包时,该IP包会直接(不通过隧道中介)从该移动IP终端发送到其他终端。此时,c/o地址被设置在IP包的源地址中,而本地地址则被设置在IP包中的本地地址选项中。
另一方面,当其他终端向移动IP终端发送IP包时,该IP包会被赋予一个路由报头,并且该IP包会直接(不通过隧道中介)从其他终端发送到移动IP终端。路由报头由RFC2460定义,它是通过任意中继点发送数据包所要用到的信息。C/o地址被设为IP包的首个目的地(中继点),而本地地址则被设置为第二目的地。
在内部网络-比如LAN中,往往设置防火墙来检测并中断来自外部网络如Internet的未经授权访问,所述的防火墙能根据预设的过滤条件决定到达网际边界的数据的通行准则。防火墙通常是软件形式的,并安装在路由器、代理服务器等中使用;在某些情况下,为满足对更高性能的需要,也使用专用的硬件设备(例如,cf.专利文件1)。
日本专利申请公开号10-70576发明内容迄今为止人们所使用的防火墙主要是用来保护公司内部的LAN(局域网),因为这些防火墙价格高昂,而且对于技术专家之外的普通人来说难以操作,出现这些情况是因为(防火墙)需要高级的安装技术,同时也是由于下列的原因。就是说,使用拨号连接的终端以及蜂窝电话那样的移动台在不同的地点根据不同的环境和目的与外部网络相连,因此很难为防火墙指定合适且固定的安装位置。由于使用拨号连接的终端在各次连接中会分配到不同的IP地址,因此每次连接时都需要更改过滤条件,这是不实际的。此外,由于拨号连接仅在较短的连接时间段内进行,在这很短的连接时间段内,它们遭到来自Internet的攻击的风险很小。因此,即使没有防火墙的保护,这些终端也很少遭遇麻烦。
另外,个人用户所使用的终端近年来越来越多地被使用在与外部网络全时连接的状态下,对于这些终端来说,它们越来越需要使用防火墙。然而,这些终端-即蜂窝电话、笔记本电脑等这样的便携式通信终端(后文中称为“移动台”)-应该能够在高频高速下改变它们所连接的节点,因此不可能对其采用不可改变安装位置的防火墙。
因此,本发明的目标之一在于能将防火墙功能应用在移动台上。
为了解决上述问题,符合本发明的通信控制设备是一种用来实现向多个能与移动台相连的防火墙设备发送并从这多个防火墙设备接收数据的通信控制设备,该通信控制设备包括存储装置,用来储存适合移动台的防火墙配置信息,该信息与移动台的识别信息一致;检测装置,用来检测与移动台相连的防火墙装置;以及发送装置,相关于与移动台相连的的防火墙设备的检测,向防火墙设备发送与移动台的识别信息一致的防火墙配置信息。
符合本发明的数据通信方法是这样一种数据通信方法,在该方法中由一个通信控制设备根据移动台的识别信息实现向多个能与移动台相连的防火墙设备发送并从这多个防火墙设备接收数据,该通信控制设备中包括用来储存适合移动台的防火墙配置信息的存储装置,该数据通信方法包括一个检测步骤,在该步骤中通信控制设备的检测装置检测与移动台相连的防火墙设备;以及一个发送步骤,在检测到与移动台相连的的防火墙设备时,由通信控制设备的发送装置向防火墙设备发送与移动台的识别信息相对应的防火墙配置信息。
根据本发明这些方面的内容,结合对连接到移动台的防火墙设备的检测结果,与移动台识别信息一致的防火墙配置信息会被发送给防火墙设备,作为新连接到移动台上的一个点。这样就允许适合于移动台的防火墙配置信息被发送并设置到与移动台相连的防火墙设备中。
因此,不仅在移动台最初已经与防火墙设备连接好的情况下,而且在移动台移动后改变了与之相连的防火墙设备的情况下,防火墙配置信息都会在连接点改变之后被发送并设置在防火墙设备中。也就是说,防火墙配置信息会跟踪移动台的运动。由于防火墙配置信息中包含对于寻址到移动台的数据包的过滤条件,因此要根据过滤条件为上述到达防火墙设备的数据包确定通行准则(转发或丢弃)。因而,对移动台施用合适的防火墙功能就是可行的了。
符合本发明的防火墙设备是用来实现上述通信控制设备与多个移动台之间数据发送与接收的中继工作的防火墙设备,该防火墙设备包括保存装置,用来根据各个移动台的识别信息保存包含在防火墙配置信息中的过滤条件;识别装置,用来识别作为数据包目的地的一个移动台,该数据包是从通信控制设备发送来的;以及判决装置,用来根据过滤条件决定数据包通行准则,所述的过滤条件对应于识别装置所识别出来的移动台。
符合本发明的数据通信方法是这样一种数据通信方法,其中由一个防火墙设备来实现上述通信控制设备与多个移动台之间数据发送与接收的中继工作,该数据通信方法包括一个保存步骤,在该步骤中,防火墙设备的保存装置根据各个移动台的识别信息将包含在防火墙配置信息中的过滤条件保存下来;一个识别步骤,在该步骤中防火墙设备的识别装置识别出作为数据包目的地的一个移动台,该数据包是从通信控制设备发送来的;以及一个判决步骤,在该步骤中,防火墙设备的判决装置根据过滤条件决定数据包通行准则,所述的过滤条件对应于识别步骤所识别出来的移动台。
根据本发明这些方面的内容,当包含在防火墙配置信息中的过滤条件根据各个移动台的识别信息被保留下来之后,识别装置就识别作为数据包目的地的移动台,该数据包是从通信控制设备发往防火墙设备的,然后判决装置再根据与移动台相对应的过滤条件确定数据包通行准则。这样就允许为每个移动台适当地改变过滤条件,该过滤条件被用于确定抵达防火墙设备的数据包的通行准则。从而就可避免执行不必要的通行准则判决程序,否则即使对于不可能成为数据包目的地的移动台也要执行判决。这样,即使在使用防火墙设备的移动台数量增多的情况下,也能抑制向各个移动台发送数据包的传输延时的增长。
符合本发明的通信控制系统是这样一种通信控制系统,它包括上述的通信控制设备;以及上述的防火墙设备,其中移动台通过防火墙设备接收一个要被接收的数据包。
通过下面给出的详细说明以及附图,将能更充分地理解本发明,所述的附图仅作为图示使用,因此不应认为它们限制了本发明。
通过下文给出的详细说明,本发明更大的应用范围将变得显而易见。然而应该明白,尽管详细说明与具体实例体现了本发明的优选实施例,但是它们仅作为示例使用,因为对于那些精通本技术的人来说,通过详细说明就能很明确地知道本发明设计思想和范围内的各种变化和改进。
图1示出了一幅示意图,它展示了通信控制系统的总体结构。
图2示出了一幅原理框图,它展示了本地代理设备的功能结构。
图3示出了一幅原理框图,它展示了防火墙设备的功能结构。
图4示出了一幅流程图,用以说明第一个实施例中的防火墙构造处理。
图5示出了一幅流程图,用以说明IP包过滤处理。
图6示出了一幅流程图,用以说明第二个实施例中的防火墙构造处理。
图7示出了一幅流程图,用以说明第三个实施例中的防火墙构造处理。
图8示出了一幅流程图,用以说明第四个实施例中的防火墙构造处理。
图9示出了一幅流程图,用以说明第五个实施例中的防火墙构造处理。
具体实施例方式
第一实施例下面将参照附图详细说明本发明的第一实施例。
图1示出的示意图展示了符合本发明的通信控制系统1的整体结构。如图1中所示,通信控制系统1包括本地代理设备10(对应于上述通信控制设备)、三个防火墙设备20、30、40(对应于上述多个防火墙设备)以及移动台50。
本地代理设备10和移动台50之间的连接使得它们能够通过三个防火墙设备20-40中的至少任意一个向对方发送并从对方接收各种数据。通过外部网络-如Internet发送的IP包首先由本地代理设备10接收,然后由距离移动台50当前位置最近的防火墙设备20进行中继转发,由此IP包就可抵达它的目的地-移动台50。
图2示出的示意图展示了符合本发明的本地代理设备10的功能结构。如图2中所示,本地代理设备10包括配置文件源数据存储器11(对应于上述存储装置)、BU接收机12(对应于上述检测装置)以及配置文件发射机13(对应于上述发射装置)。每个元件都通过一条总线相连,从而能够根据各个元件的功能接收和发送信号。
下面将详细说明本地代理设备10中的每个元件。
配置文件源数据存储器11储存下文将要说明的配置文件源数据(对应于防火墙配置信息),该数据与移动台识别信息一致。移动台识别信息是,例如每个移动台的本地地址或MAC地址。
记录在配置文件源数据中的信息是,例如下列信息。
(1)防火墙名称(2)为产生“用于来自外部网络的IP包的路由规范”所必需的信息(3)为产生“用于来自移动台的IP包的路由规范”所必需的信息(4)为产生“访问控制列表”所必需的信息也就是说,信息①是能够唯一识别防火墙配置内容的信息,并当本地代理设备10删除了已经被发送出去或是自产生以来已经保存超过一段预定时间的配置文件源数据时被使用。
信息②是让防火墙设备能够识别出作为IP包目的地的移动台的信息,该IP包是从外部网络通过本地代理设备10发送的。有必要对信息②进行说明。该信息是,例如移动台50的IP地址,但是它也可以是指定了一个目的地IP地址范围的信息,而不必总是局限于一个IP地址。
信息③是让防火墙设备能够识别出一个IP包的来源的信息,该IP包是由移动台发送的。该信息是,例如用来指定基于源MAC地址的路由规范或基于源IP地址的路由规范的信息,或是基于MAC地址的路由规范使用的MAC地址。
信息④是产生众所周知的惯例访问控制列表所必需的信息,该列表中包含了对过滤条件的描述,在防火墙设备确定一个IP包的通行准则时需要用到这个过滤条件。例如,它可以是用来指定一个列表作为访问控制列表来源的信息,并且它要指定该列表上的哪个部分应该由c/o地址替代。然而,访问控制列表中包含了用于确定寻址到根据信息②和③识别出来的移动台的IP包的通行准则中要用到的过滤条件说明,但是访问控制列表中没有包含关于其他移动台所需过滤条件的说明。这样就减小了通行准则确定过程中搜索数据的容量,从而加速了数据包过滤过程。访问控制列表以行单元形式被记录,以便从顶行进行顺序搜索,并且其中包含了对下列项目的说明,按各行从头开始的顺序排列“拒绝(deny)”或“允许(permit)”指示IP包的通行准则、IP包的更高层协议、IP包的源地址和源端口号、IP包的目的地地址和目的地端口号,等等。
BU接收机12在移动台50移动之后从防火墙设备20接收一个绑定更新(BU),它是用来通知移动台50已经移动过的数据包。BU接收机12接收该绑定更新,以检测移动台50与防火墙设备的连接(包括连接设备的变更),并将检测结果告知配置文件发射机13。
配置文件发射机13在得到BU接收机12告知的关于移动台50的连接情况之后,参照上述的绑定更新来确定与防火墙设备相连的移动台。配置文件发射机13从配置文件源数据存储器11获得经确定的移动台的识别信息以及相应的配置文件源数据,并根据配置文件源数据生成一个配置文件。配置文件发射机13将识别信息和移动台的配置文件连同一个绑定确认(BA绑定确认)一同发送给防火墙设备,该防火墙设备是新近与移动台50相连的。所述的绑定确认是一个确认信号,作为对绑定更新的回复。
图3示出的示意图展示了符合本发明的防火墙设备20的功能结构。防火墙设备20本身可以是一个路由器,其中包括一个访问路由器;也可以是一个专用作防火墙的终端,其构造与路由器分离。如图3中所示,防火墙设备20包括数据包路由部件21、24(对应于上述的识别装置)、防火墙进程221、222、223(对应于上述的保存装置和判决装置)以及输出缓冲器23、25。每个元件都通过一条总线相连,从而能够根据元件各自的功能发送和接收信号。
当从本地代理设备10接收到移动台识别信息和配置文件时,数据包路由部件21会根据移动台识别信息,识别一个应该将配置文件设置进去的防火墙进程。如果没有合适的防火墙进程,它就生成一个防火墙进程。移动台识别信息和配置文件会被保存在如此识别或生成的防火墙进程中。配置文件中的防火墙名称,以及适用于来自外部网络的IP包的路由规范都被设置在数据包路由部件21中。配置文件中的防火墙名称,以及适用于来自移动台的IP包的路由规范都被设置在数据包路由部件24中。
此后,数据包路由部件21在接收到来自外部网络的IP包时,会根据如上设定的路由规范向对应于目的移动台的防火墙输出IP包。同样,数据包路由部件24在接收到来自移动台的IP包时,会根据如上设定的路由规范向对应于源移动台的防火墙进程输出IP包。
在从外部网络向移动台50的方向(下行)上传输IP包时,根据以下编号1至3所代表的程序步骤,防火墙进程221会在确定通行准则之前,从IP包中获取目的地IP地址和源IP地址以供过滤使用,这里的IP包是从数据包路由部件21取得的。
1.当IP包是以双向隧道模式传输时-也就是说在外部IP包的源地址是本地代理地址、目的地地址是c/o地址、并且IP包中包含另一个IP包的情况下,防火墙进程221会取出内部IP包并对如此取得的IP包执行下面的步骤2和3。另一方面,当IP包是以双向隧道模式以外的其他模式传输时,防火墙进程221会对从数据包路由部件21获取的原始IP包执行下面的步骤2和3。
2.当IP包是以路由优化模式发送给移动台50的时候-也就是说在IP包的目的地地址是一个c/o地址、IP包中存在路由报头、并且设置在路由报头中的第二目的地是一个本地地址的情况下,防火墙进程221会使用本地地址作为一个目的地IP地址以供过滤使用。另一方面,当IP包是以路由优化模式以外的其他模式发送给移动台50的时候,防火墙进程221会原封不动地使用IP包的目的地地址作为目的地IP地址以供过滤使用。
3.当IP包是以路由优化模式从一个移动IP终端发送出去时-也就是说在IP包的源地址是一个c/o地址、并且本地地址选项被设置的情况下,防火墙进程221会使用设置在本地地址选项中的地址作为源IP地址以供过滤使用。另一方面,当IP包是以路由优化方式以外的其他方式从移动IP终端发送出去的时候,防火墙进程221会原封不动地使用IP包的源地址作为源IP地址供过滤使用。
在从移动台50向外部网络的方向(上行)上传输IP包时,根据以下编号1至3所代表的程序步骤,防火墙进程221会在确定通行准则之前,从IP包中获取目的地IP地址和源IP地址以供过滤使用,这里的IP包是从数据包路由部件24取得的。
1.当IP包是以双向隧道模式传输时-也就是说在外部IP包的源地址是c/o地址、目的地地址是本地代理地址、并且IP包中包含另一个IP包的情况下,防火墙进程221会取出内部IP包并对如此取得的IP包执行下面的步骤2和3。另一方面,当IP包是以双向隧道模式以外的其他模式传输时,防火墙进程221会对从数据包路由部件24获取的原始IP包执行下面的步骤2和3。
2.当IP包是以路由优化模式发送给移动IP终端的时候-也就是说在IP包中存在路由报头的情况下,防火墙进程221会使用设置在路由报头中的第二目的地作为一个目的地IP地址以供过滤使用。另一方面,当IP包是以路由优化模式以外的其他模式发送给移动IP终端的时候,防火墙进程221会原封不动地使用IP包的目的地地址作为目的地IP地址以供过滤使用。
3.当IP包是以路由优化模式从移动台50发送出去时-也就是说在IP包的源地址是一个c/o地址、并且本地地址选项被设置的情况下,防火墙进程221会使用设置在本地地址选项中的地址作为源IP地址以供过滤使用。另一方面,当IP包是以路由优化方式以外的其他方式从移动台50发送出去的时候,防火墙进程221会原封不动地使用IP包的源地址作为源IP地址供过滤使用。
另外,防火墙进程221使用在以上过程中获得的供过滤用的目的地IP地址和源IP地址,根据配置文件中的访问控制列表所记载的过滤条件,来确定数据包路由部件21所路由的IP包的通行准则。允许通过的IP包被输出到输出缓冲器23,而被拒绝的IP包则会被丢弃。这样就允许防火墙进程221对任何目的地或来源是移动台50IP包进行过滤。
防火墙进程222具有与上述防火墙进程221相同的功能结构。也就是说,防火墙进程222保存移动台60(未示出)的识别信息和配置文件,并对目的地或源地址为移动台60的IP包实施过滤,所述的移动台60是不同于移动台50的另一个移动台。防火墙进程223也具有类似的结构来保存移动台70(未示出)的识别信息和配置文件,并对目的地或源地址为移动台70的IP包实施过滤,所述的移动台70又是另一个移动台。
输出缓冲器23通过无线信道将防火墙进程221-223之一所送入的IP包发送(或转发)给一个移动台,该移动台是所述IP包的目的地。
数据包路由部件24具有与上述数据包路由部件21相同的功能结构,但是IP包的传输方向与数据包路由部件21不同。也就是说,数据包路由部件21是从建立在本地代理设备10一侧的外部网络-如Internet-接收IP包,而数据包路由部件24则是接收从移动台50一方发出的IP包。
输出缓冲器25将防火墙进程221-223之一所送入的IP包发送(或转发)给该IP包的一个目标节点。
防火墙设备30、40在安装位置上与防火墙设备20有所不同,但是它们的构造方式与上述防火墙设备20的结构相同。因此,这里省略了对它们的说明。
移动台50是一个符合移动IPv6的移动节点。在一次开机操作或是长期断线后的重连操作中,移动台50会被无线连接到防火墙设备20-40中具有最高接收水平的防火墙设备上。尽管在本实施例中特别假设了移动台50是新近连接(或初始连接)到通信控制系统1中的防火墙设备20上的,但所述的移动台当然也可以通过移动将其连接的设备改换(或转接)为另一个防火墙设备。
当移动台50与防火墙设备建立连接之后,它将通过与之相连的防火墙设备将上述的绑定更新发送给本地代理设备10。移动台50接收从本地代理设备10发出的上述绑定确认。
下面将参照图4和图5说明通信控制系统1的工作过程。除此之外,还将说明构成符合本发明的数据通信方法的各个步骤。
图4示出的流程图说明了由通信控制系统1执行并控制的防火墙构造处理。
首先在S1,相关于一次开机操作或是长期断线后的重连,移动台50被无线连接到防火墙设备20至40中具有最高接收水平的防火墙设备20上(通常是距离最近的)。
在S2,移动台50向本地代理设备10发送绑定更新,以告知与防火墙设备20的无线连接已经完成,这与移动IPv6的传统连接过程一致。该绑定更新中至少包含了作为来源的移动台50的识别信息。
在S3,本地代理设备10安排BU接收机12接收从移动台50发送出来的绑定更新。
在S4,本地代理设备10安排配置文件发射机13根据上述绑定更新中源移动台的识别信息,从配置文件源数据存储器11获取移动台50的识别信息以及相应的配置文件源数据。
在S5,本地代理设备10让配置文件发射机13根据在S4中获得的配置文件源数据、按照以下I-V所代表的程序步骤生成配置文件。
I.从配置文件源数据复制防火墙名称。
II.设置一个c/o地址作为一个“用于来自外部网络的IP包的路由规范。”III.设置一个本地地址和一个c/o地址作为一个“用于来自移动台的IP包的路由规范”,其中源IP地址被指定用作路由规范;或是复制配置文件源数据中的MAC地址作为“用于来自移动台的IP包的路由规范,”其中源MAC地址被指定用作路由规范。
IV.用一个c/o地址替换作为访问控制列表来源的一个列表上被指定用来重写的部分,并将得到的列表设为“访问控制列表。”V.将本地代理的IP地址设为“本地代理地址。”在S6,本地代理设备10让配置文件发射机13把在S4获得的移动台50的识别信息以及在S5生成的配置文件附加在绑定确认上,并将其发送给移动台50。
以上是在本地代理设备10生成和发送配置文件的假设下,对本实施例进行了说明。但是也有可能采用另一种结构,其中本地代理设备10将配置文件源数据发送给防火墙设备,防火墙设备根据配置文件源数据生成配置文件。
由于移动台50与防火墙设备20相连,发往移动台50的绑定确认很自然地要经过防火墙设备20。在S7,防火墙设备20获得移动台50的识别信息和配置文件,它们在发送过程中被附加在绑定确认上。
在S8,移动台50接收绑定确认,这样就完成了移动台50在本地代理设备10中的位置登记。此时,移动台50可以在接受到绑定确认的同时一起接收到转发的配置文件。
这里假定移动台识别信息和配置文件是在绑定确认上发送的,但它们也可以和绑定确认分开发送。也就是说,本地代理设备10根据绑定更新的c/o地址确定与移动台50相连的防火墙设备20的前缀,并向网络中该前缀所表示的所有防火墙设备广播配置文件。随后,本地代理设备10向移动台50发送绑定确认。
在S9,防火墙设备20利用在S7获得的关于移动台50的识别信息和配置文件,为移动台50生成一个防火墙进程221。在S9生成防火墙是为了定制执行配置文件中访问控制列表的过程,以适应一个特定的移动台。在生成防火墙的时候,如果有必要的话将对上述进程进行初始化(设置内部变量),而且如果在配置文件中存在移动前的工作状态,它就会被设置为上述进程的内部变量。
在S10,防火墙设备20从在S7获得的配置文件中取得防火墙名称和路由规范,并将它们设置在数据包路由部件21和24中。
上述构建防火墙的过程适用于移动台50,而适用于移动台60、70的防火墙也可以通过类似的步骤构造。
下面将参照图5来说明构建了防火墙之后、由防火墙设备20执行并控制的IP包过滤处理。
以下的说明将基于这样一种情况,其中IP包在从本地代理10向移动台50的方向上(下行)传输;但是需要注意的是,在以相反方向(上行)传输IP包的情况下也可进行类似的处理。
在T1,数据包路由部件21监测是否收到IP包。
在T2,数据包路由部件21从IP包的报头信息中识别出目的地IP地址,并将IP包输出到防火墙的一个路由地址,该防火墙对应于具有目的地地址的移动台。例如,当IP包的目的地IP地址是移动台50的IP地址时,该IP包就会被路由到防火墙进程221。
这里会出现一种可以料想到的情况,即作为接收IP包的路由地址的防火墙还未被生成。在这种情况下,就会执行一个预置程序(后文中称为“缺省程序”)。缺省程序是例如这样的一个程序,它令防火墙设备20检查IP包的说明内容,如果该说明内容是发往本地代理设备10的绑定更新,那么防火墙设备就将数据包发送给本地代理设备10。如果说明内容不是绑定更新,那么IP包就会在那里被丢弃。
在T3,防火墙进程221根据图4中S9处所产生的上述进程来确定IP包路径的规范。除了为IP包确定通行准则的程序之外,防火墙进程221还可以被设置来执行多个处理程序,包括设置通行优先级顺序、检查身份验证信息、改变说明内容等等。
当T3处所作出的决定批准了通行时(T4;是),防火墙进程221会安排将IP包输出给输出缓冲器23并保存在其中(T5)。接着在T6,通过连接防火墙设备20和移动台50的无线信道将保存在输出缓冲器23中的IP包发送给移动台50。
另一方面,当T3处所作出的决定拒绝了路径时(T4;否),防火墙进程221就会删除IP包(T7)。此时,作为IP包来源的本地代理设备10会得到IP包被删除的通知。
当T6或T7的处理程序完成之后,防火墙设备20返回T1来等待接收另一个IP包,并再次执行T1及其后的处理程序。
以上说明了通信控制系统1对寻址到移动台50的IP包进行过滤的处理过程,并且指出了对于寻址到移动台60、70的IP包的过滤处理也可通过相似的步骤执行。这样就可以为寻址到所有移动台的IP包完成快速而准确的通行准则确定,对于每个移动台都会生成一个专用的防火墙。
如上所述,符合本发明的通信控制系统1被设置来将防火墙安放在移动台可以直接连接的终端的位置处。当本地代理设备10接收到任意一个移动台发送来的绑定更新时,它就会将适合移动台的防火墙的配置文件发送给防火墙设备。防火墙设备利用配置文件生成适合移动台的防火墙。这样就能在任何与移动台相连的防火墙设备中构造用于所述移动台的防火墙,从而可以对任何移动终端实施防火墙功能。
在这里可以预见到,随着使用移动设备的用户数量不断提高,对移动设备应用防火墙功能将极大地增加指定过滤条件的访问控制列表中所记录的数据的容量。另一方面,在为各个数据包确定通行准则的时候,防火墙设备需要将报头信息与访问控制列表中的条件从首行开始进行核对。由于这个原因,有人担心记录数据容量的提高会导致确定通行准则的处理时间增加,从而提高了数据包的传输延时。
消除这种顾虑的一个有效办法是让防火墙设备对各个移动台分别采用不同的过滤条件。改变用于各个移动台的过滤条件的一种可行技术是改变对应于各个移动台的物理接口。但是,在多个移动台共享同一个物理接口的情况下,就像无线LAN中典型的2层连接那样的情况,很难应用该项技术。
为了改变用于各个移动台的过滤条件,接收到数据包的防火墙设备会识别出作为数据包目的地的移动台并根据识别工作的结果适当地改变应用于数据包的防火墙。这样就能避免对数据包不能发送到的移动台进行不必要的通行准则确定。相应地,由于移动台数量提高而引起的数据包传输延时也得到了抑制。这样就能够对移动设备实施防火墙功能,同时又不会降低转发过程的速度。
第二实施例下面将参照附图详细说明本发明的第二实施例。
第一实施例是基于移动台50最初就与通信控制系统1中的防火墙设备相连这样一种情况的。由于这个原因,防火墙设备操作接收并利用本地代理设备所生成的配置文件。与之相反,本实施例是在另一种情况的基础上实现的,其中移动台50会移动转移(转接)到另一个防火墙设备上并以之为连接设备,并且移动之后的新防火墙设备会接收并利用保存在移动前的前防火墙设备中的配置文件。
下面将详细说明本实施例中的通信控制系统。
本实施例中的通信控制系统结构与第一实施例中详细说明的通信控制系统结构非常相象。因此,每个元件都用相同的引用符号表示,而不对其进行说明。本实施例基于这样一个假设,即移动台50将其连接点从防火墙设备20改换为防火墙设备30。
下面将参照图6详细说明通信控制系统1所执行的防火墙构造处理程序。
当移动台50改变其连接的防火墙设备时(S11),它会向本地代理设备10发送绑定更新(S12)。
在接收到来自移动台50的绑定更新后(S13),本地代理设备10会向新防火墙设备30发送前防火墙设备20的IP地址(S14)。在移动台50与防火墙设备20相连的时候-也就是说在它移动之前,本地代理设备10就获知了防火墙设备20的IP地址和一个绑定更新。
防火墙设备30接收防火墙设备20的IP地址(S15),并立即向接收到的地址发送一个请求,来请求转发用于移动台50的配置文件(S16)。
防火墙设备20接收到来自于防火墙设备30的转发请求(S17),接着它就将保存在防火墙进程221中的关于移动台50的识别信息和配置文件发送给防火墙设备30(S18)。
防火墙设备30从防火墙设备20接收到关于移动台50的识别信息和配置文件(S19),然后就利用该配置文件生成用于移动台50的防火墙(S20)。
随后,执行与图4中所示的S10类似的处理过程。也就是说,防火墙名称和路由规范都会被设置到数据包路由部件21中。
如上所述,移动台50在转接的同时向本地代理设备10发送绑定更新。相应地,随着与移动台50相连的防火墙设备的每一次改变-亦即随着移动台50的每一次移动,带有适用于移动台的过滤条件的防火墙的位置也会受到可变的控制。因此,防火墙就能追踪移动台50的位置变化,从而能够对任何移动终端实施防火墙功能。
有多种可能的方式可以用来在移动台50移动后的位置上构造防火墙,但是最好将前防火墙设备中的已有配置文件转移到新的防火墙设备中,以便将实现高效防火墙构建的通信负荷降至最低。也就是说,新防火墙设备30从本地代理设备10获取已经保存有移动台50配置文件的防火墙设备的IP地址,并从所述的防火墙设备获取配置文件。这样就能够对移动后的移动台50实施防火墙功能,而不必在本地代理设备10和防火墙设备30之间进行配置文件的发送和接收。由于IP地址的数据容量比配置文件低,这样就可以减轻通信控制系统1上的通信负荷。
第三实施例下面将参照附图详细说明作为另外一种模式的第三实施例,其中移动台50移动而改变了它所连接的防火墙设备。本实施例中的通信控制系统结构与第一实施例中通信控制系统的结构非常相象,因此每个元件都可以用同样的引用符号表示,而不对其进行说明。与第二实施例一样,本实施例也假定移动台50是从防火墙设备20转接到防火墙设备30上的。
下面将参照图7详细说明通信控制系统1所执行的防火墙构造处理程序。
在本实施例中,通信控制系统1所执行的防火墙构造处理程序中有多个步骤与第二实施例中所详细说明的防火墙构造处理程序相同(参见图6)。具体地说,图7中的步骤S21-S23、S29、S30以及后续处理程序与图6中所示的步骤S11-S13、S19、S20以及后续处理程序等价。
S24-S28(图7中粗线框内的过程)是本实施例所特有的步骤,下面将对它们进行说明。当从移动台50接收到绑定更新时,本地代理设备10向前防火墙设备20发送一个请求,请求转发用于移动台50的配置文件(S24)。
防火墙设备20接收到来自本地代理设备10的转发请求(S25),接着就将保存在防火墙进程221中的关于移动台50的识别信息和配置文件发送给本地代理设备10(S26)。
本地代理设备10从防火墙设备20接受到移动台50的识别信息和配置文件(S27),接着就将这些信息发送(或转发)给新防火墙设备30(S28)。之后就执行与图6中所示的S19相似的处理程序。也就是说,防火墙名称和路由规范都被设置在数据包路由部件21和24中。
通过采用这种结构,通信控制系统1就能够可变地控制防火墙的位置,并让防火墙追踪移动台50的运动从原设备转到新设备。
第四实施例下面将参照附图详细说明作为另外一种模式的第四实施例,其中移动台50移动而改变了它所连接的防火墙设备。本实施例中的通信控制系统结构与第一实施例中详细说明的通信控制系统的结构非常相象,因此每个元件都可以用同样的引用符号表示,而不对其进行说明。与第二实施例及第三实施例一样,本实施例也假定移动台50是从防火墙设备20转接到防火墙设备30上的。
下面将参照图8详细说明通信控制系统1所执行的防火墙构造处理程序。
在本实施例中,通信控制系统1所执行的防火墙构造处理程序中有多个步骤与第三实施例中所详细说明的防火墙构造处理程序相同(参见图7)。具体地说,图8中的步骤S31-S35、S37、S38以及后续处理程序与图7中所示的步骤S21-S25、S29、S30以及后续处理程序等价。
S36(图8中粗线框内的过程)是本实施例所特有的步骤,下面将对它进行说明。在S36,当接收到来自本地代理设备10的配置文件转发请求时,前防火墙设备20会将保存在防火墙进程221中关于移动台50的识别信息及配置文件广播出去。
由本地代理设备10通告的IP地址在这里被用作广播的目的地地址。也就是说,本地代理设备10根据在S33接收到的绑定更新的c/o地址确定了与移动台50相连的防火墙设备20的前缀,并选择网络上所有能够用该前缀表示的防火墙设备作为广播目标。此后,本地代理设备10将选定的广播目标的IP地址连同转发请求一同发送给防火墙设备20。这样就允许防火墙设备20对系统中的其他防火墙设备30、40进行广播。
从防火墙设备20广播出去的移动台50识别信息和配置文件被上述网络中的防火墙设备30接受到,并被用于防火墙的产生。如果移动台50将其连接到的设备改换为防火墙设备40,那么广播给移动台40的移动台50识别信息和配置文件就会被用来生成防火墙。
通过采用这种结构,通信控制系统1也能够可变地控制防火墙的位置,并让防火墙追踪移动台50的运动从原设备转到新设备。
第五实施例下面将参照附图详细说明作为另外一种模式的第五实施例,其中移动台50移动而改变了它所连接的防火墙设备。本实施例中的通信控制系统结构与第一实施例中详细说明的通信控制系统的结构非常相象,因此每个元件都可以用同样的引用符号表示,而不对其进行说明。与第二至第四实施例一样,本实施例也假定移动台50是从防火墙设备20转接到防火墙设备30上的。
下面将参照图9详细说明通信控制系统1所执行的防火墙构造处理程序。
在本实施例中,通信控制系统1所执行的防火墙构造处理程序中有多个步骤与第二实施例中所详细说明的防火墙构造处理程序相同(参见图6)。具体地说,图9中的步骤S41、S44、S45-49以及后续处理程序分别与图6中所示的步骤S11、S13、S16-S20以及后续处理程序等价。
S42和S43(图9中粗线框内的过程)是本实施例所特有的步骤,下面将对它进行说明。在S42,移动台50将一个绑定更新和配置文件发送给本地代理设备10,所述的配置文件是移动前从本地代理设备10发送出来的(后文中将称为“原配置文件”)。
在S43,新防火墙设备30参照原配置文件来确认前防火墙设备20的IP地址。这样就使得防火墙设备30能够为转发移动台50的识别信息及配置文件的转发请求确定一个地址。接着,防火墙设备30就从具有转发请求地址的防火墙设备20接收识别信息和配置文件,并为移动台50生成防火墙。从而就能够可变地控制防火墙的位置,并让防火墙追踪移动台50的运动。
如上所述,第二至第五实施例都被设定成从前防火墙设备向新防火墙设备转发配置文件及其他方面的信息,该操作的目的在下面说明。
首要的目的在于,如果防火墙设备具有内部状态或全局变量,就要接管这些状态。例如,移动台的工作过程如下当接收到一个TCP(传输控制协议)连接信号时,它储存关于TCP的数据;当接收到一个TCP断开信号时,它删除数据;而在通信时段之外的其它时段内接收到数据时,它就丢弃数据。当移动台进行这样的工作时,就有必要将储存在移动台内的数据转交给移动后的新接入点。
第二个目的在于将信息的转发最少化。即使对于单个移动台来说,关于访问控制列表的信息也可能具有庞大的数据量。本地代理设备往往位于远离移动台(或防火墙设备)的位置上,而在进行转接时,新防火墙设备又可能位于很接近前防火墙设备的位置。由于这个原因,通过从前防火墙设备向新防火墙设备发送信息,网络上的负荷就会得到降低,正如第二、第四和第五实施例中所述的那样。
本发明决非想要局限于上述的实施例,根据实际需要可以采取各种改进手段,而不会偏离本发明的思想和范围。例如,在上述实施例中,产生和发送防火墙的配置文件的主要元件是本地代理设备,但它也可以是与具有本地代理功能的设备分离的服务器设备。
特别地,当对移动台执行RADIUS(远程验证拨号用户服务)验证时,移动台的移动在验证时就可被检测出来,因此RADIUS服务器就可以被设定来产生并发送配置文件。
以下将说明一种情况,其中用RADIUS服务器替代了本地代理设备。由于RADIUS是经过RFC2865标准化的技术,因此这里省略了详细的说明,而是首先对其基本过程进行简要说明。当一个远程访问设备接收到来自用户终端的远程拨号访问请求时,该远程访问设备会向RADIUS服务器发送一个访问请求消息。一般来讲,这个访问请求消息中包含一个用户ID和一个密码,它们都是在客户终端输入的。RADIUS服务器根据用户ID和密码检验用户,并根据验证结果发送一个回复消息(一个访问许可消息或一个访问拒绝消息)。远程访问设备根据该消息进行远程访问或断开拨号访问的连接。
对定义了上述过程的协议进行如下扩展。一种扩展是将各种数据放置在作为访问许可消息的数据包中。所述的各种数据包括,例如用户终端远程访问可用的最大时间、一个要使用的IP地址、一个过滤ID等等。另一种扩展是将RADIUS应用于远程访问以外的其他工作。例如,如果一个无线LAN基站被用来替代远程访问设备,那么就可以用RADIUS对无线LAN的用户进行验证。
下面将说明应用RADIUS的通信控制系统的结构配置及工作过程,其中考虑到了上述的扩展技术。通信控制系统包括至少一个移动台、一个起到无线电基站作用的防火墙设备(一个基站及防火墙)、以及一台RADIUS服务器。移动台接收到广播信息时,向作为广播信息源的基站及防火墙发送一个连接请求。基站及防火墙接收到该连接请求后,会向RADIUS服务器发送一个访问请求。
RADIUS服务器接受到访问请求后,就对上述移动台进行用户验证。如果验证结果允许访问,那么服务器就为移动台生成防火墙配置文件。然后服务器将配置文件放在访问许可消息(数据包)上,并将其发送给基站及防火墙。基站及防火墙参照配置文件初始化防火墙进程,并随后准许移动台连接到基站上。
换句话说,移动台在每一次移动后都会获取与位于新的通信区域内的无线电基站进行通信的许可,并且,在获得了通信许可的情况下,防火墙会被设置在无线电基站中。RADIUS服务器在设立防火墙时的工作过程与上述各个实施例中详细说明的本地代理设备的工作过程相似,因此这里省略了对它的说明。
另外,在本发明的实施例中将移动台描述成了单个的设备,但是它还可以是一个移动网络,其中有若干设备通过链路相连。在这种情况下,那若干个设备同时并相似地移动,从而它们会被外部网络-如Internet-当作单个的终端。将移动网络与外部网络相连的设备可以是,例如一个路由器。
根据对本发明进行的这些说明,很明显可以以许多种方式对本发明的实施例进行改变。这些变化不应被视为是偏离了本发明的思想和范围,所有这些对于一位精通本技术的人来说显而易见的改进将被包括在以下权利要求的范围内。
权利要求
1.一种通信控制设备,用来实现向多个能与移动台相连的防火墙设备发送数据并从这多个防火墙设备接收数据,该通信控制设备包括存储装置,用来储存适合移动台的防火墙配置信息,该信息与移动台的识别信息一致;检测装置,用来检测与移动台相连的防火墙装置;以及发送装置,相关于与移动台相连的防火墙设备的检测,向防火墙设备发送与移动台的识别信息一致的防火墙配置信息。
2.一种防火墙设备,用来实现权利要求1所述的通信控制设备与多个移动台之间数据发送和接收的中继,该防火墙设备包括保存装置,用来根据各个移动台的识别信息保存包含在防火墙配置信息中的过滤条件;识别装置,用来识别作为数据包目的地的移动台,该数据包是从通信控制设备发送来的;以及判决装置,用来根据过滤条件决定数据包的通行准则,所述的过滤条件对应于识别装置所识别出来的移动台。
3.一种数据通信方法,在该方法中由一个通信控制设备根据一个移动台的识别信息实现向多个能与所述移动台相连的防火墙设备发送并从这多个防火墙设备接收数据,该通信控制设备中包括用来储存适合所述移动台的防火墙配置信息的存储装置,该数据通信方法包括一个检测步骤,在该步骤中通信控制设备的检测装置检测与所述移动台相连的防火墙设备;以及一个发送步骤,相关于与所述移动台相连的的防火墙设备的检测,通信控制设备的发送装置向该防火墙设备发送与所述移动台的识别信息相对应的防火墙配置信息。
4.一种数据通信方法,其中由一个防火墙设备来实现权利要求1中所述的通信控制设备与多个移动台之间数据发送与接收的中继工作,该数据通信方法包括一个保存步骤,在该步骤中,防火墙设备的保存装置根据各个移动台的识别信息将包含在防火墙配置信息中的过滤条件保存下来;一个识别步骤,在该步骤中防火墙设备的识别装置识别出作为数据包目的地的一个移动台,该数据包是从通信控制设备发送来的;以及一个判决步骤,在该步骤中,防火墙设备的判决装置根据过滤条件决定数据包的通行准则,所述的过滤条件对应于识别步骤所识别出来的移动台。
全文摘要
符合本发明的一种通信控制系统1包括了一个本地代理设备10、若干个防火墙设备20-40以及一个移动台50。当移动台50与例如防火墙设备20相连时,防火墙设备20从本地代理设备10接收移动台50的识别信息和配置文件,并利用配置文件为移动台50构建一个防火墙。当防火墙设备20接收到一个IP包时,它会选择一个适合移动台50的防火墙并根据设置在该防火墙中的过滤条件决定数据包的通行准则,而移动台50正是该数据包的目的地。
文档编号H04W8/08GK1505320SQ20031011869
公开日2004年6月16日 申请日期2003年11月28日 优先权日2002年11月28日
发明者北滨秀基, 石田创 申请人:株式会社Ntt都科摩