专利名称:一种移动节点的服务授权方法及系统的制作方法
技术领域:
本发明涉及移动因特网协议(IP)技术,特别涉及移动IP技术中的一种移动节点的服务授权方法及系统。
背景技术:
随着数据通信和无线通信技术的高速发展,以及大量可移动终端的出现,如笔记本电脑、个人数字助理(PDA)、手机、车载设备等等,越来越多的用户希望不受时空限制就能高效灵活的接入因特网(Internet)。Internet不仅要提供已有的数据业务、多媒体音视频业务,还将实现移动Internet的功能,为移动用户提供无线的Internet接入业务。移动IP正是适应这种需求而产生的支持移动用户与Internet互连的技术,它能使用户主机在移动中保持与Internet的通信不中断,移动IP技术已成为当今通信领域的研究热点。
目前,因特网第六版本(IPv6)技术能够以巨大的地址空间、支持移动IP、服务质量要求(QoS)保证机制、安全性和地址自动配置等优越性满足移动Internet的需求。IETF已制定了基于IPv6的移动IP协议——移动IPv6协议。基于该IPv6协议,移动节点(MN,Mobile Node)在移动过程中始终使用初始IP地址来进行IP通信,从而IP层承载的上层应用能在移动节点的移动过程中保持不中断和可接续性,其基本工作原理如下当移动节点在家乡网络时,其工作方式与固定节点相同。移动节点与通信节点(CN,Correspondence Node)之间的数据通信采用传统的路由机制来实现。移动节点通过邻居发现协议(ND,Neighbor Discovery)的路由器发现和邻居不可达检测机制来进行节点的移动检测,当移动节点发送报文时发现缺省路由器不再双向可达时,移动节点就必须寻找新的缺省路由器。当移动节点发现自身移动至外地网络时,即切换到新的接入路由器(AR)时,在接收到的路由器通告信息的基础上通过地址自动配置过程获得自身在外地网络上的转交地址。此时,移动节点同时拥有家乡地址和转交地址,移动节点和通信节点之间可通过两种模式实现通信,即可采用两种模式来使用网络服务,包括双向隧道模式和路由优化模式,此两种模式的工作原理简述如下。
一、双向隧道模式移动节点将获取的转交地址通过绑定更新(BU,Binding Update)消息注册到家乡代理(HA,Home Agent),此时,移动节点可以与通信节点通过家乡代理进行通信,即“双向隧道模式”。在双向隧道模式中,通信节点发往移动节点的数据首先被转发到移动节点的家乡网络,家乡代理截获这些数据后通过隧道转交给移动节点。移动节点发往通信节点的数据首先通过反向隧道发送到家乡代理,由家乡代理将数据转发给通信节点。在这种模式下,通信节点可以不必支持移动IPv6协议,即通信节点不会感知到移动节点位置的变化,移动节点不必向通信节点注册转交地址。
二、路由优化模式移动节点将转交地址通过绑定更新消息注册到通信节点。在注册之前,移动节点首先通过发送绑定更新消息将转交地址注册到家乡代理上;移动节点和通信节点之间再执行反向路由能力检测过程(Return RoutabilityProcedure),即移动节点先发送家乡初始化测试(Home Init Test)消息和转交初始化测试(Care-of Init Test)消息给通信节点,通信节点处理后,返回家乡测试(Home Test)消息和转交测试(Care-of Test)消息给移动节点。其中,Home Init Test消息和Home Test消息均通过家乡代理转发。在家乡代理成功注册了转交地址之后,移动节点再将转交地址通过绑定更新消息注册到通信节点。之后,通信节点和移动节点间的数据不再通过家乡代理转发,可以直接通信,即“路由优化模式”。在路由优化模式中,移动节点向通信节点注册了转交地址。通信节点将发送给移动节点的数据直接发送给移动节点注册的转交地址,移动节点发送到通信节点的数据也不再通过家乡代理。这种通信模式避免了家乡网络中,家乡代理的拥塞、崩溃等对通信造成的不利影响。
在现有的基本移动IPv6协议RFC3775中,移动节点的注册主要基于IP安全协议(IPsec,IP Security)的安全联盟(SA,Security Association)。为此,移动节点和家乡代理要预先配置安全密钥。移动节点移动到外地网络上后,移动节点向家乡代理注册转交地址时发送的绑定更新消息和绑定确认消息也必须使用IPsec进行加密,以防止未授权的访问和网络攻击。但是,目前的基本移动IPv6协议仅提供了移动节点在外地网络时的简单注册功能,还无法实现以下功能1、移动节点的服务认证,即确认移动节点是否有使用网络服务的权限。2、移动节点的服务授权,即确认移动节点能够使用的网络资源、以及不能使用的网络资源,甚至使用网络资源的时限等等。
此外,IETF的移动IPv6工作组的“目标为认证/授权/计费(AAA,Authentication Authorization Accounting)服务器-家乡代理接口(Goals forAAA-HA interface)”的草案也提出了移动节点认证和授权的方案。该草案描述了四个应用场景,并提出了移动节点的认证授权构架,重点解决了移动节点的认证和配置的获取,移动节点的服务授权基本由家乡代理和家乡AAA服务器(AAAH)来完成,其授权信息保存在家乡代理上,以实现家乡代理对移动节点使用网络服务的控制。可见,该草案提出的移动节点的服务授权系统包括移动节点、家乡代理和家乡AAA服务器。当移动节点在移动到外部网络、将自身在外部网络的转交地址注册到家乡代理上时,移动节点发送携带移动节点标识、转交地址和认证信息的绑定更新消息给家乡代理,家乡代理再把移动节点标识和认证信息发送给家乡AAA服务器,由该家乡AAA服务器对移动节点进行服务认证和服务授权并下发授权信息给家乡代理,由该家乡代理按授权信息控制移动节点使用网络服务,从而完成整个移动节点的服务授权过程。
虽然,该草案提出了移动节点的服务认证和配置方法、以及家乡代理具备的服务授权功能,但仍存在如下问题移动节点的授权信息仅下发到家乡代理上,当移动节点以双向隧道模式使用网络服务时,家乡代理能够对移动节点进行很好的控制;但是当移动节点采用路由优化模式时,移动节点与通信节点的通信不再通过家乡代理,因此家乡代理无法有效控制移动节点对网络资源的使用,也就无从实现对移动节点的服务授权。
综上所述,现有的IPv6协议还不能在移动节点处于外地网络时为移动节点提供理想的服务授权功能。
发明内容
有鉴于此,本发明的主要目的在于提供一种移动节点的服务授权方法及系统,当移动节点位于外地网络时,无论移动节点采用何种模式来使用网络服务,均能实现对移动节点的服务授权。
为达到上述目的,本发明的技术方案是这样实现的本发明公开了一种移动节点的服务授权方法,应用于包括移动节点、家乡代理、家乡AAA服务器和外部网络的接入路由器的系统;当所述移动节点移动至外部网络时,所述家乡AAA服务器对该移动节点进行服务授权后发送该移动节点的授权信息给所述家乡代理;所述家乡代理将接收到的移动节点的授权信息发送给所述接入路由器,该接入路由器按接收到的移动节点的授权信息控制该移动节点使用网络服务。
其中,所述家乡代理发送移动节点的授权信息给接入路由器的方法为所述家乡代理从所述移动节点接收所述接入路由器的信息,并按接收到的接入路由器的信息发送移动节点的授权信息给该接入路由器。
其中,所述家乡代理从所述移动节点接收所述接入路由器的信息的方法为在所述移动节点向家乡代理注册转交地址时,该移动节点在发往该家乡代理的绑定更新消息中携带所述接入路由器的信息。
其中,所述接入路由器的信息为接入路由器的IPv6地址信息。
其中,所述移动节点的授权信息包括移动节点标识(MD-ID)和授权信息。
其中,所述移动节点使用双向隧道模式或路由优化模式来使用网络服务。
本发明还公开了一种移动节点的服务授权系统,该系统包括移动节点、家乡代理和家乡AAA服务器;所述家乡AAA服务,用于产生移动节点的授权信息并发送给家乡代理;该系统还包括移动节点在外部网络的接入路由器,用于从所述家乡代理接收移动节点的授权信息,并按此移动节点的授权信息控制该移动节点使用网络服务。
由上述方案可以看出,本发明的关键在于当移动节点移动至外部网络时,家乡代理将从家乡AAA服务器获取的移动节点的授权信息发送给移动节点在外部网络的接入路由器,由该接入路由器按接收到的授权信息控制移动节点使用网络服务。
因此,本发明所提供的移动节点的服务授权方法及系统,能实现授权信息向接入路由器的下发,将对移动节点使用网络服务的控制权转移至接入路由器,所以无论移动节点采用何种工作模式来使用网络服务,均能有效按授权信息对移动节点使用网络服务实施控制,从而真正实现对移动节点的服务授权,为移动网络的进一步发展奠定坚实基础。
图1为本发明方法一较佳实施例处理流程示意图;图2为本发明系统一较佳实施例组成结构示意图。
具体实施例方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明提供了一种移动节点的服务授权方法,该方法主要解决在路由优化模式下移动节点的服务授权问题,也可应用于双向隧道模式下移动节点服务授权过程。该方法的主要处理思想为在移动接点的移动过程中,当移动节点移动至外部网络时,家乡代理将从家乡AAA服务器获得的移动节点的授权信息发送至接入路由器,从而由接入路由器根据该授权信息控制移动节点使用网络资源。
其中,为将授权信息发送至接入路由器,家乡代理要先从移动节点获取接入路由器的信息,从而可按此接入路由器的信息发送授权信息给该接入路由器。
图1为本发明方法一较佳实施例处理流程示意图。移动节点移动至外部网络时,将切换至新的接入路由器并生成在当前外部网络中的转交地址,本实施例的处理实体包括移动节点、接入路由器、家乡代理和家乡AAA服务器。如图1所示,具体处理包括步骤101移动节点发送当前接入路由器的信息给家乡代理。
由于,现有IPv6协议中,移动节点移动至外部网络时,将生成转交地址并向家乡代理注册转交地址,然后家乡代理再与家乡AAA服务器进行交互来完成移动节点的服务认证和服务授权。因此,本步骤一较佳的实施方式就是在移动节点发送给家乡代理的用于注册转交地址的绑定更新消息中进一步包含接入路由器的信息。当然,接入路由器的信息也可采用其它方式进行发送,比如单独发送、或包含于协议的其它消息中进行发送等等,本发明对此不进行限定。
这里,现有协议中的绑定更新消息中包含有移动节点标识(MN-ID)、认证信息和转交地址。所述移动节点标识用于提供给家乡AAA服务器对移动节点进行身份验证。移动节点和家乡代理使用认证信息来对移动节点进行身份认证,以确定该移动节点是否能够访问当前网络的资源。所谓接入路由器的信息通常为当前接入路由器的IPv6地址等信息。
步骤102家乡代理从步骤101所述绑定更新消息中提取移动节点标识和认证信息并将其发送给家乡AAA服务器,该家乡代理还从该绑定更新消息中提取转交地址进行注册。
步骤103家乡AAA服务器根据步骤102接收到的移动节点标识和认证信息对当前移动节点进行服务认证和服务授权,确定该移动节点是否能使用当前网络的资源,并在确定可以使用网络资源时生成授权信息,以确定该移动节点使用网络资源的权限,比如移动节点可用的资源、不可用的资源以及资源的使用时限等等。
这里,关于家乡AAA服务器的服务认证和服务授权处理非本发明重点,并可采用现有协议规定的方法,所以本文不作进一步详述。
步骤104家乡AAA服务器返回步骤103生成的授权信息给家乡代理。
步骤105家乡代理返回携带移动节点标识和接入路由器的信息和认证信息的绑定更新响应(BA)消息给移动节点,以通知移动节点当前向家乡代理的转交地址注册过程是否成功。同时,按步骤101接收到的接入路由器的信息发送移动节点标识和步骤104接收到的授权信息给当前接入路由器。
步骤106该接入路由器按接收到的移动节点标识和授权信息,对移动节点使用网络服务的过程做进一步控制和服务保证。
经过上述处理之后,无论移动节点采用双向隧道模式还是路由优化模式来使用网络服务,移动节点在外地网络的接入路由器都能从家乡代理获得移动节点的授权信息,从而可以按此授权信息有效控制移动节点使用网络服务。
基于上述方法,本发明还提供了一种移动节点的服务授权系统,该系统包括移动节点、家乡代理和家乡AAA服务器,还包括移动节点在外部网络中的接入路由器。
图2为本发明系统一较佳实施例组成结构示意图。如图2所示,该系统包括移动节点、接入路由器、家乡代理和家乡AAA服务器。
其中,移动节点分别与接入路由器和家乡代理相连,用于发送接入路由器的信息、认证信息、移动节点标识和转交地址给家乡代理,并在使用网络服务时接受自身连接的接入路由器的控制。家乡代理,用于接收来自移动节点的接入路由器的信息、认证信息、移动节点标识和转交地址,完成转交地址的注册,发送认证信息和移动节点标识至家乡AAA服务器,从家乡AAA服务器接收移动节点的授权信息,并发送授权信息及其对应的移动节点标识给接入路由器。家乡AAA服务器,用于根据来自家乡代理的移动节点标识以及认证信息进行服务认证和服务授权处理,产生授权信息并发送给家乡代理。接入路由器,用于从家乡代理接收授权信息及其对应的移动节点标识,按此授权信息对移动节点使用网络服务进行控制。
这里,移动节点与接入路由器直接连接,而其它实体之间可能间接连接,即移动节点与家乡代理、接入路由器与家乡代理、家乡代理与家乡AAA服务器均可能不是直接连接,它们中间可能存在其它网络设备、或者一个或多个网络,只要IP层路由可达即可,也就是说这些实体之间存在逻辑上的连接,可通过其它网络实体实现间接的连接。
综上所述,应用本发明方法及系统能很好的解决现有技术存在的移动节点服务授权问题,进一步完善移动IPv6的功能,使得移动IPv6更易于在运营商网络中部署,保证了网络的可管理性和可运营性,从而有利于移动网络的进一步发展。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
权利要求
1.一种移动节点的服务授权方法,其特征在于,应用于包括移动节点MN、家乡代理HA、家乡认证/授权/计费AAA服务器和外部网络的接入路由器AR的系统;当所述移动节点移动至外部网络时,所述家乡AAA服务器对该移动节点进行服务授权后发送该移动节点的授权信息给所述家乡代理;所述家乡代理将接收到的移动节点的授权信息发送给所述接入路由器,该接入路由器按接收到的移动节点的授权信息控制该移动节点使用网络服务。
2.根据权利要求1所述的方法,其特征在于,所述家乡代理发送移动节点的授权信息给接入路由器的方法为所述家乡代理从所述移动节点接收所述接入路由器的信息,并按接收到的接入路由器的信息发送移动节点的授权信息给该接入路由器。
3.根据权利要求2所述的方法,其特征在于,所述家乡代理从所述移动节点接收所述接入路由器的信息的方法为在所述移动节点向家乡代理注册转交地址时,该移动节点在发往该家乡代理的绑定更新BU消息中携带所述接入路由器的信息。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述接入路由器的信息为接入路由器的因特网第六版本IPv6地址信息。
5.根据权利要求1或2所述的方法,其特征在于,所述移动节点的授权信息包括移动节点标识MD-ID和授权信息。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述移动节点使用双向隧道模式或路由优化模式来使用网络服务。
7.一种移动节点的服务授权系统,该系统包括移动节点、家乡代理和家乡AAA服务器;所述家乡AAA服务,用于产生移动节点的授权信息并发送给家乡代理;其特征在于,该系统还包括移动节点在外部网络的接入路由器,用于从所述家乡代理接收移动节点的授权信息,并按此移动节点的授权信息控制该移动节点使用网络服务。
全文摘要
本发明公开了一种移动节点的服务授权方法,应用于包括移动节点、家乡代理、家乡认证/授权/计费(AAA)服务器和外部网络的接入路由器的系统,当所述移动节点移动至外部网络时,所述家乡AAA服务器对该移动节点进行服务授权后发送该移动节点的授权信息给所述家乡代理;该方法还包括所述家乡代理接收到来自家乡AAA服务器的移动节点的授权信息时,发送该移动节点的授权信息给所述接入路由器,该接入路由器按接收到的移动节点的授权信息控制该移动节点使用网络服务。本发明还公开了一种系统,应用本发明方法及系统能在移动节点的各种工作模式下实现服务授权。
文档编号H04L12/28GK1949785SQ200510112779
公开日2007年4月18日 申请日期2005年10月12日 优先权日2005年10月12日
发明者张健 申请人:华为技术有限公司