一种在移动环境下穿越防火墙的方法

专利名称：一种在移动环境下穿越防火墙的方法
技术领域：
本发明涉及一种在移动环境下穿越防火墙的方法，确切地说，涉及一种在移动因特网协议IPv6环境下，用认证、授权、计费的AAA(Authentication、Authorization、Accounting)方法来解决防火墙的穿越问题，属于移动互联网络安全的技术领域。
背景技术：
由于Internet的飞速发展，因特网协议IPv4得到了广泛应用，已经成为事实上的工业标准。但是，随着Internet用户数量的猛增和IP技术的广泛认可和采用，IPv4协议也逐渐暴露出其不足。为此，近十余年来，有关下一代IP协议的研究被逐渐重视并展开。IPv6作为新一代IP协议，已被因特网工程任务组IETF标准化，并逐渐被工业界采纳，Internet开始了向IPv6演进的过程。IPv6协议主要解决了IPv4中的地址空间不足、路由性能、网络配置和安全性等问题，尤其加强了对移动性的支持，即又被称作移动IPv6协议。
移动IP技术(包括移动IPv4和移动IPv6)使得移动IP终端(如笔记本电脑、PDA等)无需更改IP地址，就能够在不同网络间实现自由移动，同时保持通信的连续性，使得这种移动对于上层应用完全透明。移动IPv6协议继承了移动IPv4协议的众多特性。IPv4协议对移动性的支持是可选的，而移动IPv6协议则是IPv6协议中不可缺少的组成部分；同时，移动IPv6的设计吸取了移动IPv4协议的开发经验，又吸收了IPv6协议的许多新特性，在许多方面都优于移动IPv4。例如无外地代理并使用IPv6特性自动配置转交地址、路由优化功能、家乡代理发现、集成IPSec加强移动安全。
防火墙作为一种访问控制机制，用于在内外网之间构筑缓冲和保护层，保护内部网络，以便管理者实施自己的安全策略。由于防火墙结构简单、配置容易，在Internet上得到了广泛应用。现有的通用防火墙技术基于IPv4网络，随着Internet向IPv6的演进，基于IPv6的防火墙也在逐渐成熟和完善过程中。因此，大部分现存的IPv6防火墙都不支持移动IPv6协议，这个现状将会影响移动IPv6协议的大规模推广应用。而且，这个问题不仅存在于Internet和企业网中，在GPRS/UMTS、CDMA2000等移动通信网络中，也存在着同样问题。
目前，各类防火墙所采用的技术中，典型的防火墙采用包过滤技术，一般都要分析到达防火墙流量中的五个参数源地址、目的地址、源端口、目的端口、协议类型。总结防火墙影响移动IPv6正常部署的原因，可以分为两类原因1、拦截载荷安全封装IPSec ESP(Encapsulating Security Payload)包为了保证安全，移动IPv6中定义的一些信令，包括绑定更新BU(Binding Update)、绑定确认BA(Binding Acknowledge)、家乡测试初始消息HoTI(Home Test Init)、转交测试初始消息CoTI(Care-of Test Init)、家乡测试消息HoT(Home Test)和转交测试消息CoT(Care-of Test)都采用IPSec ESP包加密封装。在缺省情况下，很多防火墙都无法判断进入防火墙的加密的ESP包是否合法，也无法为离开防火墙的ESP包建立相关的有效状态，因此就导致移动IPv6的信令被防火墙丢弃，无法完成相关的信令交互。
2、拦截防火墙状态对于内部发起的会话，防火墙会自动保留一个状态列表，如果返回的数据符合预定的规则，则允许通过；否则，若状态列表中没有相关的规则，那么进入防火墙的任何数据包将被丢弃。在移动IPv6环境中，对于从防火墙外部发起的、以被防火墙保护的节点(包括移动节点MN(MobileNode)、家乡代理HA(Home Agent)、通信对端CN(Correspondent Node))为目标的通信，由于防火墙中没有相关的状态，都会导致直接丢弃数据包。
由于上述两种原因，现有的防火墙机制与现有的移动IPv6协议之间存在着冲突。而要解决这个问题，通常可以采用下述三种方法1、适当修改现有的移动IPv6协议而不改变现有的防火墙工作策略；2、修改防火墙的工作策略，同时最大限度地减少对移动IPv6协议的修改；3、既不改变现有防火墙工作策略，也不改变移动IPv6协议，而是通过引入AAA协议，实现AAA网元实体与防火墙的消息联动，动态调整防火墙的过滤规则，保证移动IPv6各个网元实体之间的正常通信不受防火墙的影响。
目前，IETF相关的工作组(包括AAA工作组、移动IPv4工作组和移动IPv6工作组)对于移动IP与AAA的结合的研究和标准化工作都还停留在基于移动IPv4的阶段。移动IPv6工作组的一个名称为《Mobile IPv6 and FirewallsProblemstatement》的草案(编号为“draft-ietf-mip6-firewalls-03”)只是陈述了移动IPv6下的防火墙穿越问题，没有提出解决该问题的思路，也没有具体解决方案。AAA工作组在RFC4004中给出了一个采用Diameter协议(即一种AAA协议)的移动IPv4的应用例子，但是，它也没有考虑到移动IPv6环境下Diameter的实现，同时，该标准也未提出穿越IPv6防火墙的方法。
同时，移动IPv6组提出的一个题为《Firewall Traversal for Mobile IPv6》的草案(编号为“draft-miao-mip6-ft-00”)中，提出一种穿越防火墙的方案。它是通过改变移动IPv6协议与改变防火墙机制相结合的办法来解决穿越问题一方面通过扩展移动IPv6协议引入防火墙发现策略，来决定是否对ESP数据进行UDP封装，以便解决IPSec ESP包拦截问题；另一方面引入防火墙策略修改，更改条目的转交地址CoA(Care-of Address)为HA的地址来实现穿越，解决防火墙状态拦截问题。该方案的不足是需要修改移动IPv6协议，且信令交互繁琐，采用UDP封装的效果也不得而知，同时防火墙修改策略的考虑也不够充足。
鉴于目前移动IPv6标准化的进展状况，现有防火墙技术对移动IPv6协议支持不足，以及目前针对该问题的现有可行的解决方案不多的现状，如何解决移动IP终端穿越IPv6防火墙实现可靠通信就成为业内人士研究的新课题。

发明内容
有鉴于此，本发明的目的是提供一种在移动IPv6环境下，采用扩展的认证、授权、计费的AAA协议解决防火墙穿越的方法，该方法根据移动IPv6在运营商中的商用前景和实际部署环境，提出一种将AAA服务器引入移动IPv6环境下的系统框架，并通过扩展的AAA协议与移动IPv6协议在组网框架层面与协议消息层面的综合融合来完成移动节点MN的身份认证、授权、计费的工作，同时利用这种融合，与防火墙沟通，通过动态配置防火墙策略来解决移动IPv6环境中现有的防火墙穿越问题，实现了移动IPv6实体间的正常通信。
为了达到上述目的，本发明提供了一种在移动IPv6协议环境下采用扩展的认证、授权、计费AAA(Authentication、Authorization、Accounting)协议解决防火墙穿越的方法，其特征在于采用AAA扩展协议，在组网框架层面及协议消息层面实现AAA与移动IPv6两种协议的综合融合，在保证对防火墙现有过滤规则做最小修改的前提下，动态调整防火墙的过滤规则，即家乡域AAA服务器和外地域AAA服务器分别与家乡域和外地域的IPv6防火墙进行沟通，使得处于防火墙保护下、并使用移动IPv6协议的各个网元实体相互之间实现正常通信。
所述使用移动IPv6协议的各个网元实体所处位置的网络边缘都设有IPv6防火墙，该IPv6防火墙采用传统的包过滤拦截技术。
所述家乡域是移动节点MN原注册地网络、即家乡网络所在的域，所述外地域是MN移动至外部网络的域；家乡域和外地域中分别设有家乡域AAA服务器AAAH(AAA Home)和外地域AAA服务器AAAL(AAA Local)，分别完成家乡域和外地域内节点的用户身份认证、授权验证及记帐功能；在同一个运营商的网络系统中，AAAL和AAAH能够通过AAA协议共同完成用户身份认证、授权验证和记帐的功能；所述AAA协议采用直径Diameter协议。
所述AAA扩展协议包括是在通用AAA协议的各种消息的基础上扩展定义的AAA协议实体之间交互的AAA扩展消息以及AAA服务器和防火墙沟通的AAA协议扩展消息，用以完成AAA协议与移动IP协议综合融合后解决防火墙穿越问题。
所述方法包括下列步骤(1)注册认证与防火墙策略调整AAA服务器在进行身份认证和授权验证时，分别发起并调整家乡代理HA和移动节点MN所在网络防火墙的过滤规则，以便允许在设定的AAA会话时间内，保证至少包括移动节点MN、家乡代理HA和通信对端CN的各个网元实体之间的通信对防火墙透明；(2)通信过程通过注册过程中AAA服务器对防火墙过滤规则的修改，使得MN与HA及CN之间的通信畅通；注册完成后MN与HA及CN之间的通信过程，均按照标准规范进行；(3)AAA会话终止与防火墙策略还原当MN离开本网络而导致AAA会话超时，或者AAA服务器发现MN的余额不足或管理上的原因而主动发起会话结束流程时，AAA服务器分别通告各防火墙还原原有的过滤规则，AAAL和AAAH分别释放AAA会话所占用的资源，并通告外地网络的服务点释放MN所占用的资源。
所述步骤(1)进一步包括下列操作内容(11)MN向家乡代理HA发起绑定更新BU请求该BU请求先经过服务点，服务点存储BU并作为AAA客户端，提取该请求中包括但不限于MN的家乡地址、HA的地址、MN和HA与AAAH的网络地址标识NAI(Network AccessIdentifier)、各种密钥请求信息以及认证扩展的相关信息，按照AAA协议要求进行封装后，形成AAA移动节点认证授权请求AMR(AAA-Mobile-Node-Request)，发往本域的AAA服务器AAAL；(12)AAAL将AMR转发至AAAHAAAL收到AMR后，检查发现发起该BU请求的节点不属于本域，则根据其中的NAI信息，将该AMR转发至MN家乡域的AAA服务器AAAH，AAAH对MN进行身份认证和授权验证；(13)AAAH请求修改家乡域和外地域防火墙的策略和规则AAAH完成MN的身份认证和授权验证后，向本地域防火墙发起AAA防火墙修改请求AFR(AAA-Firewall-Request)，请求修改防火墙的拦截策略和规则，以便允许在会话时间内MN和CN之间的流量透明穿越防火墙，并得到防火墙修改响应AFA(AAA-Firewall-Answer)；AAAH同时向AAAL发起AAA服务器间的请求消息ACR(AAA-Communication-Request)，请求AAAL向外地域防火墙发起修改防火墙拦截策略和规则，AAAL收到该ACR请求后，向外地域防火墙发起AAA防火墙修改请求AFR，并在得到防火墙响应AFA后给AAAH发回对ACR的响应信息ACA(AAA-Communication-Answer)；AAAH根据各防火墙修改结果、以及MN的身份认证和授权验证结果，形成对AMR信息的响应AAA移动节点认证授权请求AMA(AAA-Mobile-Node-Answer)，该AMA信息经AAAL转发至服务点；(14)服务点将存储的BU请求直接转发给HA服务点收到AMA后，获得MN的身份和授权信息，并根据这些信息决定MN在外地域所能进行的操作和可用资源；服务点同时将存储的BU请求直接转发给HA，在HA的缓存中更新MN所获得的新转交地址CoA。
所述服务点是在外地网络中距离移动节点MN和外地域AAA服务器AAAL最近的接入路由器，并作为AAA协议的客户端与AAA服务器通信。
所述步骤(1)中移动节点认证授权请求AMR及其响应AMA、AAA防火墙修改请求AFR及其响应AFA、AAA服务器间的请求信息ACR及其响应ACA均为移动IPv6环境下本发明定义的AAA协议扩展消息。
所述步骤(3)进一步包括下述操作内容(31)当家乡域的AAA服务器AAAH发现漫游至异地的用户MN已经欠费、余额不足、或管理上的原因，需要强制停止为该MN服务时，由AAA服务器主动发起AAA会话结束流程，释放相关资源，恢复防火墙的原先状态先由AAAH向AAAL发出AAA会话结束请求ASR(Abort-Session-Request)，AAAL转发ASR给本地服务点，由该服务点执行相关操作停止为MN服务；服务点执行成功后，经AAAL向AAAH转发会话结束响应ASA(Abort-Session-Answer)；AAAH收到ASA后，获知已成功停止为MN服务，则向家乡域已修改策略的防火墙发送还原防火墙策略请求CFR(Clear-Firewall-Request)，请求本地域各防火墙撤销修改、还原注册流程之前的策略，防火墙则向AAAH发送还原防火墙策略响应CFA(Clear-Firewall-Answer)，通告处理结果；AAAH同时向AAAL发起AAA服务器间的请求信息ACR，请求AAAL发起外地域内的防火墙策略还原流程由AAAL向外地域的防火墙发起AFR，得到响应信息AFA后，AAAL向AAAH发送AAA服务器间的确认信息ACA，向AAAH通告外地域防火墙的策略还原结果；或者(32)如果MN移动到新的外部网络或长时间未发BU，导致AAA服务器中维持的AAA会话超时，AAA系统主动发起会话结束请求AAAH发起的AAA会话结束流程及相关消息均与上述步骤(31)相同。
所述步骤(3)中还原防火墙策略请求CFR和及其响应CFA、AAA服务器间的请求ACR及其响应ACA均为本发明定义的通用AAA协议的扩展消息。
本发明是一种在移动IPv6协议环境下采用扩展的认证、授权、计费AAA协议解决防火墙穿越的方法，其主要优点在于所提出的系统框架以及具体的解决方法步骤，均基于现有的移动IPv6环境，所讨论的防火墙也是基于IPv6环境下的防火墙，这是优于目前现有的最好的技术的一大特点。其中系统框架和具体流程都充分考虑了运营商的实际组网环境，充分利用了运营商以后大规模部署移动IPv6应用所必须考虑的AAA因素，将AAA系统的服务器、路由器与移动IPv6协议进行综合融合，来解决具体的防火墙穿越问题。该方案对于移动IPv6大规模应用，投资少、见效快，具有很好的应用前景和积极意义。


图1是本发明适用的网络系统架构示意图。
图2是本发明注册认证与防火墙策略调整步骤中各个相关网元的操作时序图。
图3是本发明通信过程步骤中采用双向隧道方式实施策略的操作时序图。
图4是本发明通信过程步骤中采用路由优化方式实施策略的操作时序图。
图5是本发明AAA会话结束与恢复防火墙策略步骤中的操作时序图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。
参见图1，介绍本发明应用环境的网络系统框架当今Internet及大多数运营商采用的都是层次型网络架构，因为层次型网络存在诸多的优点，如可伸缩性强、便于管理、安全性较高。因此本发明所解决的IPv6防火墙穿越问题也是以层次型网络作为背景，分为骨干层、汇聚层、接入层。其中骨干层和汇聚层通常是运营商所管理和运营的内部网络，防火墙一般被部署在用户内部网络与接入层网络之间，用于实施用户自己的控制管理策略、保护内部网络。
同时，根据层次型网络的架构，介绍移动IPv6中关于家乡和外地的概念在汇聚层一般存在两个域，即家乡域和外地域，移动节点注册地网络所在的域为家乡域，移动节点MN移动至外部网络的域称外地域。家乡域中设置的家乡域AAA服务器AAAH用于完成家乡域节点用户身份认证、授权验证及记帐功能，外地域中设置的外地域AAA服务器AAAL用于完成其本地节点的用户身份认证、授权验证和记帐功能。在同一个运营商系统中，AAAL和AAAH通过AAA协议(本发明所讨论的AAA信令是基于Diameter协议的)能够共同完成用户身份认证、授权验证和记帐的功能。在图1中，以一个地区作为一个域(例如，北京市作为一个域，上海市作为另一个域)，在本域的汇聚层统一实施本地的用户身份认证、授权验证和计费工作。每个移动节点在家乡域链路上有一个唯一的家乡地址。当移动节点离开家乡域链路时，要向家乡域中的一个路由器注册自己的一个转交地址CoA，并要求该路由器作为自己的家乡代理。移动节点的家乡地址和转交地址的关联叫做移动节点的一个绑定。当移动节点离开家乡域网络而接入异地域网络后，由于移动IPv6环境中无外地代理FA(ForeignAgent)，通常以外地网络中距离MN和外地AAA服务器最近的接入路由器为“服务点”(Attendant)，该服务点作为AAA协议中的功能实体，用作AAA客户端负责与AAA服务器通信。移动节点经过服务点和本地网络的家乡代理进行路由协商，自动获得异地网络的转交地址后，要向家乡代理发送“绑定更新”消息，更新转交地址。这样，通过家乡代理的转发功能就能够实现通信节点和移动节点的移动通信。
为了便于讨论和直观，在图1中，通信对端CN处于地区B中，与移动节点MN所处的地区A及家乡代理HA所处的地区C共同接入同一个运营商的IPv6骨干网。而在实际网络中，CN可能处在Internet上的任何一个角落。
在移动IPv6网络中，所有网络功能实体，包括MN、HA、CN所处位置的网络边缘都设有IPv6防火墙，这些节点和保护内部网络的防火墙都处在网络的最底层-接入层。网络边缘防火墙的内部是用户端接入路由器，在引入AAA系统时，它就是一个“服务点”。服务点一般离用户最近，也是AAA系统的客户端，执行AAA的身份认证、授权验证和计费的基本功能。图1中的所有功能实体，包括防火墙及服务点、MN、HA、CN都是IPv6节点。
正如前面所讨论的，IPv6防火墙处在网络边缘的接入层，紧邻移动IPv6各功能实体。在默认情况下，现有的IPv6防火墙机制和移动IPv6协议之间存在着冲突，会阻碍移动IPv6的一些信令的正常通过，即具体表现在防火墙对移动IPv6信令的两种拦截IPSec ESP包拦截和防火墙状态拦截。
因此本发明主要提出一种采用AAA协议在网络层及协议信令层实现AAA与移动IPv6两种协议的综合融合，同时在保证对防火墙现有过滤规则做最小修改的前提下，动态调整防火墙的过滤规则，即家乡域AAA服务器分别与家乡域和外地域的IPv6防火墙进行沟通，使得处于防火墙保护下、并使用移动IPv6协议的各个网元实体相互之间实现正常通信。
当移动IPv6用户(MN)离开家乡网络，移动到一个外部网络(如图1所示为由地区C移动到地区A)后，它要不更改IP地址而使用外地网络的资源，即使用本发明的具体操作步骤是先和HA进行移动IPv6的注册认证与防火墙策略调整流程，当注册完成后进行传统的数据通信流程，以及当用户欠费或者离开本域而发起的AAA会话结束与防火墙策略还原流程。
下面，结合各个附图具体讨论各个流程的操作内容参见图2，介绍步骤(1)注册认证与防火墙策略调整流程MN移动到外地网络(地区A)后，其通过AAA服务器AAAL向家乡网络(地区C)的AAAH发起身份认证和授权验证请求时，同时由AAAH和AAAL分别发起调整HA和MN所在网络防火墙的过滤规则，以便允许在设定的AAA会话时间内，保证至少包括移动节点MN、家乡代理HA和通信对端CN的各个网元实体之间的通信对防火墙透明。具体操作内容为(11)MN向家乡代理HA发起绑定更新BU请求该BU先经过服务点，服务点存储BU并作为AAA客户端，提取注册请求中包括但不限于MN的家乡地址、HA的地址、MN和HA与AAAH的网络地址标识NAI、各种密钥请求信息以及认证扩展的相关信息，按照AAA协议要求进行封装后，形成AAA移动节点认证授权请求AMR，发往本域的AAA服务器AAAL；(12)AAAL将AMR转发至AAAHAAAL收到AMR后，检查发现发起BU信息的节点不属于本域，则根据其中的NAI信息，将该AMR转发至MN家乡域的AAA服务器AAAH，由AAAH进行MN的身份认证和授权验证；(13)AAAH请求修改家乡域和外地域防火墙的策略和规则AAAH在完成对MN的身份认证和授权验证后，向HA本地防火墙发起AAA防火墙请求AFR，请求修改防火墙的拦截策略和规则，以便允许在会话时间内MN和CN之间的流量透明穿越防火墙，并得到防火墙响应AFA；AAAH同时向外地域AAAL发起AAA服务器间的请求信息ACR，请求AAAL向外地域防火墙发起防火墙修改，AAAL收到ACR请求后，向外地域防火墙发起AAA防火墙请求AFR，得到防火墙响应AFA后，发送对ACR的响应信息ACA给AAAH；AAAH根据各防火墙修改的结果、同时根据对MN的身份认证和授权验证的结果，形成对AMR信息的响应AMA；AMA信息经AAAL转发至服务点；其中AFR和AFA消息、ACR和ACA消息均为本发明定义的通用AAA协议的扩展消息；(14)服务点将存储的BU请求直接转发给HA服务点收到AMA后，获得了MN的身份信息和授权信息，并根据这些信息决定MN在外地域所能进行的操作和所能使用的资源；服务点同时将存储的BU请求直接转发给HA，在HA的缓存中更新MN所获得的新转交地址CoA信息。
参见图3、图4，介绍步骤(2)通信过程通过注册过程中AAA服务器对防火墙过滤规则的修改，MN和CN之间的通信均能正常穿越防火墙，它们之间的通信有两种可能的模式双向隧道模式和路由优化模式RO(RouteOptimization)。
参见图3，双向隧道模式的过程介绍如下MN与CN间的通信均需经过HA的转发，在MN和HA之间采用IPv6-in-IPv6的双向隧道对数据进行封装。
参见图4，路由优化模式的过程介绍如下先由MN发出家乡测试初始消息HoTI，经由HA转发到达CN，MN同时还直接给CN发出转交测试初始消息CoTI；CN收到该两个消息后，在发出对HoTI的响应，即家乡测试消息HoT经由HA转发给MN的同时，又直接给MN发出转交测试消息CoT；当MN成功收到HoT和CoT消息后，MN就确信CN可以通过家乡地址或转交地址访问自己，MN就给CN发送一个绑定更新BU消息，在CN上建立相关的绑定列表后，就能够在MN和CN之间直接通信。
参见图5，介绍步骤(3)AAA会话结束与防火墙策略还原流程当MN离开本网络而导致AAA会话超时，或者AAA服务器发现MN的余额不足或管理上的原因而主动发起会话结束流程时，AAA服务器还原各防火墙的原有过滤规则，AAAL和AAAH分别释放AAA会话所占用的资源，并通告外地网络的服务点释放MN所占用的资源。具体操作内容为(31)当家乡域的AAA服务器AAAH发现漫游至异地的用户MN已经欠费、余额不足、或管理上的原因，需要强制停止为该MN服务时，由AAA服务器主动发起会话结束流程，释放相关资源，恢复防火墙的原先状态先由AAAH向AAAL发出AAA会话结束请求ASR，AAAL转发ASR给本地服务点，由该服务点执行相关操作停止为MN服务；服务点执行成功后，经AAAL向AAAH转发会话结束响应ASA；AAAH收到ASA后，获知已成功停止为MN服务，则向家乡域已经修改策略的防火墙发送还原防火墙策略请求CFR，请求各防火墙撤销原来的修改，还原注册流程之前的策略；作为响应，防火墙则向AAAH发送还原防火墙策略响应CFA，通告相关结果。AAA 同时还向AAAL发起AAA服务器间的请求信息ACR，请求AAAL发起外地域内的防火墙策略还原流程，AAAL向外地域的防火墙发起AFR，得到响应信息AFA后，AAAL向AAAH发送AAA服务器间的确认信息ACA，向AAAH通告其对外地域防火墙的策略还原结果。其中CFR和CFA消息、ACR和ACA消息均为本发明定义的通用AAA协议的扩展消息；或者(32)如果MN移动到新的外部网络或长时间未发BU，导致AAA服务器中维持的AAA会话超时，AAA系统主动发起会话结束请求AAAH发起的会话结束流程及相关信令均与上述步骤(31)相同。
下面，结合图1所示框架，进一步讨论MN在三种主要的不同移动情景情况下，AAA服务器与防火墙之间的具体操作内容。
情景1MN移动到同一个AAA域下的另一个受防火墙保护的子网中。
参见图1所示，当MN从A地区的防火墙1所保护的子网1移动到防火墙2所保护的子网2时，这两个子网均属于A地区，且都处在AAAL所管理的域中。当MN进行上述移动时，要想获得子网2提供的服务，同时穿越保护子网2的防火墙，就必须按照上述步骤，进入注册流程，经过AAA系统的身份认证、授权验证、计费等操作后，才能够建立会话，AAAH同时发起防火墙的修改策略流程，使MN在子网2中发起的流量也能透明地穿透防火墙。上述完成注册认证与防火墙策略调整流程后的通信过程、AAA会话终止与防火墙策略还原流程都与前述MN从家乡网络移动到外地网络的流程一样。
当MN做上述移动时，在离开子网1到达子网2，而子网1会话尚未结束、子网2注册流程尚未开始的时刻采用何种切换策略保证通信的畅通与连续，已有相关成熟的切换技术，不在本发明讨论内容之内。
情景2MN移动到另一个AAA域下的另一个受防火墙保护的子网中。
该情形与情景1比较类似，区别仅仅在MN从一个子网1移动到另一个子网2的同时，也从一个AAA域移动到另外一个AAA域(例如，从北京与天津交界处从北京的一个服务点移动到天津的一个服务点)，与情景1一样，MN要获得另外一个域的子网2提供的服务，同时穿越保护子网2的防火墙，就必须按照前述情景1的类似步骤，进入注册认证与防火墙策略调整、通信过程、AAA会话终止与防火墙策略还原流程，与以前描述的MN从家乡网络移动到外地网络的流程是同样的。有关切换的考虑也与情景1相同。
情景3MN移动返回家乡网络。
当MN从地区A的外地网络移动返回地区C的家乡网络(参见图1)时，MN通过移动检测算法知道自己已经回到家乡链路上，此时它会发现自己的家乡子网前缀变成了“链路在线”(On-link)状态，它随后会给HA发送一个请求注销的BU，要求HA不要再截取分组或者使用隧道给它转发分组。HA收到该BU后，停止对MN的家乡地址的重复地址检测DAD(Duplicate AddressDetection)保护，并不再响应关于MN家乡地址的邻居请求消息，MN就成为家乡链路上具有该地址的唯一地址用户，这样，MN就与家乡链路中的本地固定节点无异。
如同情景1，MN在离开外地网络回到家乡网络时，AAA系统若长时间收不到MN的BU信息，就会认为MN已离开本网络，就启动AAA会话终止与防火墙策略还原流程，结束AAA会话并释放相关网络资源。有关切换的考虑，与情景1相同，不再赘述。
权利要求
1.一种在移动IPv6协议环境下采用扩展的认证、授权、计费AAA协议解决防火墙穿越的方法，其特征在于采用AAA扩展协议，在组网框架层面及协议消息层面实现AAA与移动IPv6两种协议的综合融合，在保证对防火墙现有过滤规则做最小修改的前提下，动态调整防火墙的过滤规则，即家乡域AAA服务器和外地域AAA服务器分别与家乡域和外地域的IPv6防火墙进行沟通，使得处于防火墙保护下、并使用移动IPv6协议的各个网元实体相互之间实现正常通信。
2.根据权利要求1所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述使用移动IPv6协议的各个网元实体所处位置的网络边缘都设有IPv6防火墙，该IPv6防火墙采用传统的包过滤拦截技术。
3.根据权利要求1所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述家乡域是移动节点MN原注册地网络、即家乡网络所在的域，所述外地域是MN移动至外部网络的域；家乡域和外地域中分别设有家乡域AAA服务器AAAH和外地域AAA服务器AAAL，分别完成家乡域和外地域内节点的用户身份认证、授权验证及记帐功能；在同一个运营商的网络系统中，AAAL和AAAH能够通过AAA协议共同完成用户身份认证、授权验证和记帐的功能；所述AAA协议采用直径Diameter协议。
4.根据权利要求1所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述AAA扩展协议是在通用AAA协议的各种消息的基础上扩展定义的AAA协议实体之间交互的AAA扩展消息以及AAA服务器和防火墙沟通的AAA协议扩展消息，用以完成AAA协议与移动IP协议综合融合后解决防火墙穿越问题。
5.根据权利要求1所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述方法包括下列步骤(1)注册认证与防火墙策略调整AAA服务器在进行身份认证和授权验证时，分别发起并调整家乡代理HA和移动节点MN所在网络防火墙的过滤规则，以便允许在设定的AAA会话时间内，保证至少包括移动节点MN、家乡代理HA和通信对端CN的各个网元实体之间的通信对防火墙透明；(2)通信过程通过注册过程中AAA服务器对防火墙过滤规则的修改，使得MN与HA及CN之间的通信畅通；注册完成后MN与HA及CN之间的通信过程，均按照标准规范进行；(3)AAA会话终止与防火墙策略还原当MN离开本网络而导致AAA会话超时，或者AAA服务器发现MN的余额不足或管理上的原因而主动发起会话结束流程时，AAA服务器分别通告各防火墙还原原有的过滤规则，AAAL和AAAH分别释放AAA会话所占用的资源，并通告外地网络的服务点释放MN所占用的资源。
6.根据权利要求5所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述步骤(1)进一步包括下列操作内容(11)MN向家乡代理HA发起绑定更新BU请求该BU请求先经过服务点，服务点存储BU并作为AAA客户端，提取该请求中包括但不限于MN的家乡地址、HA的地址、MN和HA与AAAH的网络地址标识NAI、各种密钥请求信息以及认证扩展的相关信息，按照AAA协议要求进行封装后，形成AAA移动节点认证授权请求AMR，发往本域的AAA服务器AAAL；(12)AAAL将AMR转发至AAAHAAAL收到AMR后，检查发现发起该BU请求的节点不属于本域，则根据其中的NAI信息，将该AMR转发至MN家乡域的AAA服务器AAAH，AAAH对MN进行身份认证和授权验证；(13)AAAH请求修改家乡域和外地域防火墙的策略和规则AAAH完成MN的身份认证和授权验证后，向本地域防火墙发起AAA防火墙修改请求AFR，请求修改防火墙的拦截策略和规则，以便允许在会话时间内MN和CN之间的流量透明穿越防火墙，并得到防火墙修改响应AFA；AAAH同时还向AAAL发起AAA服务器间的请求消息ACR，请求AAAL向外地域防火墙发起修改防火墙拦截策略和规则的请求AFR，AAAL收到该ACR请求后，向外地域防火墙发起AAA防火墙修改请求AFR，并在得到防火墙响应AFA后给AAAH发回对ACR的响应信息ACA；AAAH根据各防火墙修改结果及MN的身份认证和授权验证结果，形成对AMR消息的响应AMA，该AMA响应经AAAL转发至服务点；(14)服务点将存储的BU请求直接转发给HA服务点收到AMA后，获得MN的身份和授权信息，并根据这些信息决定MN在外地域所能进行的操作和可用资源；服务点同时将存储的BU请求直接转发给HA，在HA的缓存中更新MN所获得的新转交地址CoA。
7.根据权利要求6所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述服务点是在外地网络中距离移动节点MN和外地域AAA服务器AAAL最近的接入路由器，并作为AAA协议的客户端与AAA服务器通信。
8.根据权利要求6所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述步骤(1)中移动节点认证授权请求AMR及其响应AMA、AAA防火墙修改请求AFR及其响应AFA、AAA服务器间的请求信息ACR及其响应ACA均为移动IPv6环境下本发明定义的AAA协议扩展消息。
9.根据权利要求5所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述步骤(3)进一步包括下述操作内容(31)当家乡域的AAA服务器AAAH发现漫游至异地的用户MN已经欠费、余额不足、或管理上的原因，需要强制停止为该MN服务时，由AAA服务器主动发起AAA会话结束流程，释放相关资源，恢复防火墙的原先状态先由AAAH向AAAL发出AAA会话结束请求ASR，AAAL转发ASR给本地服务点，由该服务点执行相关操作停止为MN服务；服务点执行成功后，经AAAL向AAAH转发会话结束响应ASA；AAAH收到ASA后，获知已成功停止为MN服务，则向家乡域已修改策略的防火墙发送还原防火墙策略请求CFR，请求本地域各防火墙撤销修改、还原注册流程之前的策略，防火墙则向AAAH发送还原防火墙策略响应CFA，通告处理结果；AAAH同时向AAAL发起AAA服务器间的请求信息ACR，请求AAAL发起外地域内的防火墙策略还原流程由AAAL向外地域的防火墙发起AFR，得到响应信息AFA后，AAAL向AAAH发送AAA服务器间的确认信息ACA，向AAAH通告外地域防火墙的策略还原结果；或者(32)如果MN移动到新的外部网络或长时间未发BU，导致AAA服务器中维持的AAA会话超时，AAA系统主动发起会话结束请求AAAH发起的AAA会话结束流程及相关消息均与上述步骤(31)相同。
10.根据权利要求9所述的采用扩展的AAA协议解决防火墙穿越的方法，其特征在于所述步骤(3)中还原防火墙策略请求CFR和及其响应CFA、AAA服务器间的请求ACR及其响应ACA均为本发明定义的通用AAA协议的扩展消息。
全文摘要
一种在移动IPv6环境下采用扩展的AAA协议解决防火墙穿越的方法，是采用分别定义AAA服务器之间交互及其与防火墙沟通的AAA协议扩展消息的AAA扩展协议，在组网框架层面及协议消息层面实现AAA与移动IPv6两种协议的综合融合，在保证对防火墙现有过滤规则做最小修改的前提下，动态调整防火墙的过滤规则，即家乡域AAA服务器和外地域AAA服务器分别与家乡域和外地域的IPv6防火墙进行沟通，使得处于防火墙保护下、并使用移动IPv6协议的各个网元实体之间实现正常通信。该方法包括注册认证与防火墙策略调整、通信过程、AAA会话终止与防火墙策略还原三个步骤，它是根据移动IPv6实际组网环境和今后大规模应用所必须考虑的AAA因素，提出的防火墙的穿越方法。
文档编号H04L29/06GK1801821SQ200610001438
公开日2006年7月12日 申请日期2006年1月17日 优先权日2006年1月17日
发明者潘剑利, 于涛, 胡博, 李玉宏, 陈山枝 申请人:北京邮电大学