专利名称:返回路由的优化的制作方法
技术领域:
本发明涉及移动通信领域,具体地,涉及一种在虚拟专用网络(VPN)隧道的切换过程中优化返回路由(return routabilityRR)的方法。
背景技术:
图1示出了诸如可能多宿主便携电话的具有通用分组无线业务(GPRS)和IEEE802.11无线局域网(WLAN)接口的漫游移动节点MN的实例,其在不安全公共互联网I上通过网际协议安全(IPSec)的协议保护的隧道VPNT1或VPNT2经由安全网关SGW连接回其公司网N。移动节点MN可使用IPSec隧道来访问其公司网中的信息,或者其可以通过隧道返回其所有外部业务以利用由其公司网安全网关SGW所提供的安全服务(例如,家用防火墙)。
在第一实例中,移动节点MN漫游至外地网络FN1中,其中,为其分配或者自身配置有与其GPRS接口相关联的IP地址IP1。移动节点MN(IP1)和安全网关SGW参加网际密钥交换(IKE)信令,以配置数据业务可安全通过的IPsec隧道VPNT1。这个复杂步骤包括在移动节点MN(IP1)和安全网关SGW已执行相互认证之后创建IKE安全关联(IKE SA)。在IKE SA的保护下,创建用于形成IPSec隧道(VPN连接)的安全关联。
由于移动性,移动节点MN与第一外地网络FN1断开并将其自身连接至第二外地网络FN2,其中,在其GPRS接口上为移动节点MN分配或者其自身配置新的或附加的IP地址IP2(步骤S1)。可选地,移动性造成移动节点MN受到在第二外地网络FN2中GPRS和WLAN的覆盖,这导致移动节点MN分别在其GPRS和WLAN接口上同时支持IP地址IP1和IP2。在第一种情况下,移动节点MN希望无论其IP地址如何改变都保持到安全网关SGW的VPN连接,而在第二种情况下,移动节点MN希望使用最有效的可用连接。在这两种情况下,移动节点MN将不得不改善安全网关SGW和第二IP地址IP2之间的VPN连接,这可能需要用户交互的繁复过程。
由互联网工程任务组(IETF)IKEv2移动和多重连接(MOBIKE)工作组研究的一种新方法是关于移动节点的,用于使用明确信令以将移动节点的更新地址通知给安全网关对等端(peer),从而影响了从IP1到IP2的VPN连接的切换。IP地址之间VPN连接的这种切换事实上是打算用于移动节点的数据的重定向。这种方法的问题在于其能够引起所谓的“第三方轰炸(third party bombing)”或拒绝服务(DoS)的攻击,从而使有效对等端将其业务重定向到某些试图淹没具有大量业务的受害方的第三方。
移动节点和安全网关之间的IKE安全关联保护用于通知安全网关的移动节点的新地址的明确MOBIKE信令,使得安全网关知道信令来自经过认证的资源。然而,安全网关仍需确保包括在更新信令中的IP地址属于移动节点,并且对新地址的任何后续重定向都不会导致第三方轰炸的攻击。
作为MOBIKE协议的一部分,已提出执行返回路由(RR)测试以确保移动节点可到达在MOBIKE更新净荷中包含的要求地址。沿着失效对等检测(DPD)程序线提出返回路由测试,从而对等端交换空的数据包。需要进行适当的修改,以确保如果对更新地址的DPD测试失败,也不删除IKE SA。
RR/DPD测试存在几个问题。有可能在当前IKEv2中,用于实认证节点的DPD程序会恶意地答复DPD测试包,而不处理请求包。DPD需要提高,从而发起者需要插入依赖于由IKE响应者返回的要求IP地址的cookie或随机数(nonce)。窗口尺寸为1的IKEv2实施将禁止DPD测试,同时进行一些其它IKEv2交换。另外,由于在执行该程序中包括的往返行程延迟,导致RR/DPD可能会延迟数据的重定向。
对于移动节点来说具有可选机制是有利的,以声明所要求IP地址的所有权属于安全网关,而不会引起RR/DPD的信令开销。
发明内容
本发明设法通过诸如动态主机配置协议(DHCP)配置和无状态地址配置的两种状态配置,消除在声明已分配给移动节点的要求IP地址的移动节点所有权的过程中由RR/DPD处理所引起的延迟和信令开销。
根据本发明,提供了一种用于管理虚拟专用网络(VPN)隧道端点从第一地址切换到第二地址的方法,其中,VPN在固定网络节点和定义端点的移动节点之间运行。该方法包括以下步骤将移动节点的地址从第一地址切换至第二地址;从移动节点向固定网络节点发送移动节点的地址已从第一地址变为第二地址的通知;从通知中验证第二地址是可被信任不属于第三方的地址。
根据本发明,还提供了一种虚拟专用网络(VPN)隧道端点切换管理器,包括切换装置,用于在使用时将VPN的端点从第一地址切换到第二地址,其中,VPN在固定网络节点和定义端点的移动节点之间运行;通知发送装置,用于在使用时从移动节点向固定网络节点发送移动节点的地址已从第一地址变为第二地址的通知;验证装置,用于在使用时从通知中验证第二地址是可信任不属于第三方的地址。
本发明提供了一种系统,其能够使固定网络节点信任新地址,具有该地址的声明将使用的移动节点不属于以不需要业务为目标的第三方。所以,无需使用返回路由或失效对等端检测测试,这些测试被用于以其他方式验证移动节点确实在所要求的地址处。代替地,立即开始对新地址的数据业务,从而减少了延迟。
现在,将参考附图描述关于状态地址配置和无状态地址配置的本发明的实例,附图中相同的参考标号表示相同的部分,其中图1示意性示出了作为在两个网络之间移动的结果使其正在进行的VPN连接改变至安全网关的移动节点;图2示出了在状态地址配置的情况下,保持正在进行的VPN连接所需的步骤1到步骤10的信号流程图;以及图3示出了在无状态地址配置的情况下,保持正在进行的VPN连接所需的步骤1到步骤7的信号流程图。
具体实施例方式
在具有如图2所示的时序的多个清楚步骤中进行在状态地址配置的情况下作为明确MOBIKE更新信令的结果完成在两个网络之间的VPN隧道切换的过程。
状态配置的实例基于作为客户端/服务器协议的DHCP,从而DHCP服务器提供包括临时基于数据库的IP地址分配的客户设备的状态配置管理。可选地,状态配置可借助于自动配置。在图1的实例中,每个外地网络FN1,FN2可包括将地址IP1和IP2分配给将被用作VPN隧道VPNT1和VPNT2端点的移动节点MN的DHCP服务器。本发明的基本概念着手于使用与在其具有安全网关的IKESA的创建过程中所使用身份相同的身份(identity)从DHCP服务器请求IP地址的移动节点。在其响应中分配地址的过程中,DHCP服务器另外还为将分配地址与该身份绑定的移动节点提供证书。证书可包括在移动节点和安全网关之间的任一MOBIKE更新信令中,以对其声明的更新地址确实被分配给移动节点并且不属于信任受害方的安全网关提供可信度。因此,安全性可以将数据从一个IP地址重定向到另一个IP地址,而不执行RR/DPD测试。
下面,将详细描述在状态地址配置的情况下在两个网络之间的VPN隧道切换的过程,其以在安全网关SGW和外地网络FN1中的移动节点MN之间VPN隧道的动态创建开始。
第一步骤1是IKE定相一个消息交换。安全网关SGW和移动节点MN运行IKE协议,以建立作为用于使用身份IDsgw的安全网关SGW和使用身份IDmn的MN之间的相互认证的安全协商隧道的IKE SA。基于运行IKE还是运行IKEv2,这个具体步骤通常包括约4-6条消息的交换。
在第二步骤2中,IKE SA保护VPN设置。IKE SA用于保护建立一对单向IPSec SA的信令。IPSec SA是对VPN隧道的特定IPSec参数的实际协商,例如,认证头(AH)/封装安全协议(ESP)认证/加密方法。该这个步骤通常包括另外2-4条消息的交换。
在第三步骤3中,经由外地网络FN1对移动节点MN设置VPN隧道VPNT1。IPSec SA与其业务选项器(例如,IP地址/端口)相关联。对于发出数据包,具有匹配目的地址/端口的任何数据包都被给予相关IPSec SA的保护,在这种情况下,导致加密包被转发到地址IP1处的移动节点MN。
第四步骤4是移动节点MN由于网络的移动性而将网络从FN1改变为FN2。这要求移动节点配置有可在其新的网络连接点上使用的新地址。现在,假设MN在本地DHCP服务器DHCPS的辅助下经历状态地址配置。
在第五步骤5中,移动节点MN使用本地链接IPv6地址发送多点传送DHCP请求消息,以定位可用DHCP服务器DHCPS。移动节点MN列出其对DHCP服务器的要求,以提供地址配置信息并附加提供将分配的地址信息与由移动节点MN使用的身份绑定的证书。
在第六步骤6中,能够满足移动节点要求的任一服务器DHCPS都响应公告消息(advertise message)。
在第七步骤7中,移动节点MN然后选择服务器DHCPS中的一个,并将请求消息发送给服务器DHCP,以使用与在创建IKE SA中呈现给安全网关SGW的身份相同的身份IDmn来请求地址和其它配置信息的确认分配。假设与任何其它DHCP客户端一样,移动节点MN具有已通过被认为超出DHCPv6说明范围的一些带外机制分配给移动节点MN和DHCP服务器DHCPS的一组密钥。交换的密钥用于向其它对等端提供DHCP消息的来源和内容的认证。传输对等端从其中计算加密的HMAC-MD5散列,其中,如果该DHCP消息由接收对等端准确再生,则证明原始DHCP消息在传输中未被修改。
第八步骤8是服务器DHCPS以包括关于移动节点MN的确认地址IP2和配置的答复消息进行响应。通过使用加密的HMAC-MD5散列保护来自DHCP服务器的答复消息的完整性。
提供给移动节点MN的证书内容是分配给移动节点MN的IP地址;用在IKE SA设置中的移动节点MN身份;表示何时为DHCP服务器DHCPS分配IP地址以及该地址生存期的时间戳(timestamp);DHCP服务器的公钥;DHCP的签名;以及DHCP证书。DHCP服务器使用其私钥签名证书,以通过移动节点MN身份提供分配地址和其时间戳之间的绑定。第三方可使用包括在证书中的DHCP服务器公钥来验证该绑定。证书还包括验证由DHCP服务器DHCPS提供的公钥的确属于DHCP服务器DHCPS的另一证书。通常,安全网关SGW和DHCP服务器DHCPS所信任的第三方将签名该第二个证书。包括附加信令的可选方法是当以DHCP服务器身份出现时,安全网关SGW使用公钥基础设施(PKI)来提取DHCP公钥。
在第九步骤9中,移动节点MN发布来自新网络FN2的MOBIKE更新信令请求,以将VPN隧道从IP1切换到IP2。DHCP证书被插入到这个消息中。安全网关SGW使用DHCP服务器公钥来验证由移动节点MN报告的新地址的确被DHCP服务器DHCPS分配给MN身份IDmn。
最后的步骤10是移动节点MN经由外地网络FN2通过修改的VPN隧道VPNT2来接收数据。在已知这个重定向不会引起对信任受害方的服务拒绝的情况下,安全网关SGW可以立刻将移动节点MN的数据重定向到新地址IP2。安全网关SGW将肯定消息返回给移动节点MN,以确认收到了更新地址。DHCP证书已不需要安全网关SGW在重定向起作用之前执行任何RR/DPD测试。
在时序如图3所示的多个清楚步骤中进行的无状态地址配置的情况下,完成在两个网络之间的VPN隧道切换的过程作为明确MOBIKE更新信令的结果。
无状态地址配置使得主机能够使用本地可用信息和由访问路由器发布的信息的组合来生成其自身地址。访问路由器发布验证与链路相关的子网络的前缀,而节点生成唯一识别子网络上接口的链路本地地址。在证实了链路本地地址是唯一的(即,没有被链路上得另一个节点使用)之后,通过组合链路本地地址和子网络前缀来形成全局可路由地址。本发明关于无状态地址配置的基本概念是移动节点使用几乎不可能被配置为由第三方使用的地址作为发出数据包中的源地址。使用密码生成地址(CGA)的处理是一种用于在其占用过程中绑定由移动节点配置的地址与加密密钥的技术。通过使用包括在地址生成过程中的移动节点和安全网关之间预先商定(pre-agree)的参数,在本发明中扩展CGA的概念。这提供了对安全网关的附加信任,其中,将用于移动节点的数据重定向至这个源地址不会导致对另一个信任节点的拒绝服务攻击。
下面,将详细描述在无状态地址配置的情况下完成VPN隧道切换的过程。
和图2中的状态配置实例相同,第一步骤1是建立IKE SA。此外,安全网关SGW开始占用移动节点的公钥,并且对于在将包括到CGA过程中的参数达成一致。其包括8位冲突计数和128位辅助参数。通常,建议将随机选择的128位用于辅助参数。然而,也可以使用不同的参数。在本发明中,辅助参数的一种选择是使移动节点MN和安全网关SGW对128位的固定设置达成一致。另一种选择是使移动节点MN和安全网关SGW对源自创建IKE SA和IPSec SA过程中的密钥材料的哪些部分将用作辅助参数达成一致。通常,IKE SA密钥材料包括5个密钥,每个IPSec SA对具有另外4个密钥。在一个IKE SA下可存在多对IPSec。
第二步骤2、第三步骤3、和第四步骤与图2中的状态实例相同。在由于移动性而使移动节点改变网络之前,在安全网关SGW和移动节点MN之间创建VPN隧道。
第五步骤5a是来自新网络FN2上访问路由器AR的路由公告,以向移动节点MN提供关于可用于配置全局可路由地址的有效前缀的信息。
移动节点MN使用来自IKE/IPSec SA密钥材料的预先商定的位数、预先商定的冲突计数、其公钥、以及公告的前缀,以根据CGA程序使用散列函数来生成全局地址。移动节点MN准备下一数据包的有效负载,移动节点MN想要在其结束了与无状态配置相关的所有邻居发现函数(例如,重复地址检测)之后,使用新配置的CGA地址来将下一数据包从新外地网络FN2发送给安全网关SGW。
第六步骤6a是安全网关SGW使用CGA源地址开始从新外地网络FN2发送数据包。安全网关SGW接收具有与期望源地址不同的源地址的第一数据包,并验证源地址是使用移动节点的公钥和预先商定值生成的CGA地址。然后,假定安全网关SGW能够消除对隧道外部地址的依赖,并且在正确IPSec SA的定位过程中仅使用安全参数索引(SPI)。
在第七步骤7a中,移动节点MN经由新外地网络FN2通过修改的VPN隧道VPNT2来接收数据。在成功验证了CGA地址的情况中,安全网关SGW使用源地址作为数据包中预定给移动节点MN的目的地址,并且向那个地址发送数据,而不对那个地址运行返回路由检查。
权利要求
1.一种用于管理将虚拟专用网络(VPN)隧道端点从第一地址切换到第二地址的方法,其中,所述VPN在固定网络节点和定义所述端点的移动节点之间运行,所述方法包括以下步骤将所述移动节点的地址从所述第一地址切换至所述第二地址;从所述移动节点向所述固定网络节点发送所述移动节点的所述地址已从所述第一地址变为所述第二地址的通知;从所述通知中验证所述第二地址是可被信任不属于第三方的地址。
2.根据权利要求1所述的方法,还包括步骤将由所述第二地址定义的新地址分配给所述移动节点。
3.根据权利要求2所述的方法,还包括步骤所述移动节点请求被分配所述第二地址。
4.根据权利要求1至3中任一项所述的方法,其中,通过所述固定网络节点信任的所述第三方将所述第二地址分配给所述移动节点。
5.根据前述权利要求中任一项所述的方法,其中,所述发送通知步骤包括发送包含所述第二地址的证书,其中,所述证书由所述移动节点提供。
6.根据权利要求5所述的方法,其中,所述证书验证所述第二地址已通过所述信任的第三方分配给所述移动节点。
7.根据权利要求4或6所述的方法,其中,所述信任的第三方是动态主机配置协议(DHCP)服务器。
8.根据权利要求6或7所述的方法,其中,所述证书包括通过所述信任的第三方分配给所述移动节点的所述第二地址。
9.根据权利要求6至8中任一项所述的方法,其中,所述证书包括在地址配置处理期间由所述移动节点使用的身份。
10.根据权利要求6至9中任一项所述的方法,其中,所述证书包括公钥。
11.根据权利要求7至10中任一项所述的方法,其中,所述证书包括显示所述DHCP服务器何时分配所述第二地址的时间戳以及已经将所述第二地址分配给所述移动节点的生存期。
12.根据权利要求7至11中任一项所述的方法,其中,所述证书包括使用所述DHCP服务器私钥的数字签名,其中,所述数字签名用作在所述第二地址、移动节点身份、和时间戳之间的绑定。
13.根据权利要求7至12中任一项所述的方法,其中,所述移动节点通过使用修改的DHCP信令请求能够提供证书的所述DHCP服务器的服务。
14.根据权利要求13所述的方法,其中,所述修改的DHCP信令是包括在从所述移动节点到所述DHCP服务器的DHCP请求消息中的新选项OPTION_ADDR_CERT。
15.根据权利要求7至14中任一项所述的方法,其中,IKEv2信令用于通知所述固定网络节点所述移动节点的第二地址并且包括所述DHCP证书。
16.根据权利要求1所述的方法,还包括步骤所述移动节点为自身自动配置由所述第二地址定义的新地址。
17.根据权利要求16所述的方法,其中,所述发送通知步骤包括所述移动节点将所述第二地址作为数据包中的源地址发送给所述固定网络节点。
18.根据权利要求17所述的方法,其中,所述移动节点准备具有已使用加密处理得到的源地址的数据包。
19.根据权利要求18所述的方法,其中,所述加密处理使用密码生成地址(CGA)。
20.根据权利要求19所述的方法,其中,所述网络节点在检测到来自所述移动节点的数据包中源地址的改变之后运行CGA测试。
21.根据权利要求17至20中任一项所述的方法,其中,所述移动节点使用预先商定的参数准备数据包。
22.根据权利要求20或21所述的方法,其中,所述预先商定的参数包括8位冲突计数。
23.根据权利要求20至22中任一项所述的方法,其中,所述预先商定的参数包括128位辅助参数。
24.根据权利要求23所述的方法,其中,所述128位辅助参数被分配为固定值。
25.根据权利要求24所述的方法,其中,所述128位辅助参数是从密钥材料中取得的,所述128位辅助参数经过协商作为所述网络节点和所述移动节点之间的网际密钥交换(IKE)和网际协议安全的协议安全关联(IPSec SA)的一部分。
26.根据权利要求16至23中任一项所述的方法,其中,在IKE SA的创建期间,协商并安全交换所述预先商定的参数。
27.根据权利要求18至26中任一项所述的方法,其中,在IKE SA的创建期间,安全交换所述移动节点公钥。
28.根据前述权利要求中任一项所述的方法,其中,通过在所述移动节点和网络之间的网际密钥交换(IKE)信令来管理VPN隧道转换。
29.根据权利要求28所述的方法,其中,所述IKE信令是网际密钥交换第二版(IKEv2)信令。
30.一种根据前述权利要求中任一项以及基本上如上文中参考附图所描述的方法。
31.一种虚拟专用网络(VPN)隧道端点切换管理器,包括切换装置,用于在使用时将VPN的端点从第一地址切换到第二地址,其中,所述VPN在固定网络节点和定义所述端点的移动节点之间运行;通知发送装置,用于在使用时从所述移动节点向所述固定网络节点发送所述移动节点的地址已从所述第一地址变为所述第二地址的通知;验证装置,用于在使用时从所述通知中验证所述第二地址是可信任不属于第三方的地址。
32.根据权利要求31所述的切换管理器,其中,所述切换管理器在使用时,通过所述移动节点和所述网络之间的网际密钥交换(IKE)信令来管理切换。
33.根据权利要求32所述的切换管理器,其中,所述IKE信令是网际密钥交换第二版(IKEv2)信令。
全文摘要
一种用于管理将虚拟专用网络(VPN)隧道端点从第一地址切换到第二地址的方法。VPN在固定网络节点和定义端点的移动节点之间运行。移动节点的位置从第一地址切换到第二地址,并且从移动节点向固定节点发送表示移动节点的地址已从第一地址变为第二地址的通知。然后,还要验证第二位置的可信任度。还披露了一种用于执行该方法的搜索管理器。
文档编号H04L12/46GK101023647SQ200480044019
公开日2007年8月22日 申请日期2004年9月20日 优先权日2004年9月20日
发明者阿马德·阿克拉姆, 马基斯·卡萨皮迪斯 申请人:松下电器产业株式会社