专利名称:移动IPv6中穿越网络地址转换的方法
技术领域:
本发明涉及因特网的移动IPv6,特别涉及移动IPv6中穿越网络地址转换的方法。
背景技术:
因特网工程任务组织(Internet Engineering Task Force,IETF)于2004年6月正式提出移动IPv6(Mobility Support in IPv6,MIPv6)协议RFC3775。MIPv6为移动节点(MobileNode,MN)在移动的同时能够连续访问Internet提供了网络层支持。
移动IPv6协议规定,MN从一个网络移动到另外一个网络时,网络前缀发生变化,MN的转交地址(Care of Address,CoA)随之变化,MN必须向家乡代理(Home Agent,HA)和通信节点(Correspondent Node,CN)注册新的CoA之后才能进行正常通信。由于MN通常是在Internet上移动,移动IPv6协议已经能够实现IP层的移动性。但是,MN不仅可以在Internet上移动,也可以从Internet或一个IPv6公网移入一个IPv6私网。此时MN的CoA变为私网地址,不能在公网上使用,MN不能凭借CoA与HA和CN实现绑定,MN的IP层及上层应用的通信将被迫终断。
另一方面,IPv6网络虽然在理论上具有巨大的地址空间,不再需要IPv4网络中用于缓解地址压力的网络地址转换(Network Address Translator,NAT)。不过出于屏蔽内部网络拓扑结构等安全考虑,预计拥有充沛IPv6地址资源的企业/机关/机构仍将采用NAT来分隔内部网与外部网,所以NAT仍将在未来的IPv6网络中存在。因此,MN从IPv6公网移入IPv6私网穿越NAT的问题必须解决。
在这个问题上至今尚无解决方案。编号为US2003123421由CISCO TECH IND(US)提出的专利《METHODS AND APPARATUS FOR IMPLEMENTING NAT TRAVERSAL IN MOBILE IP》中提出了移动IPv4NAT穿越的方案,但是它不能移用到移动IPv6NAT穿越上。因为CISCO方案的核心思想是通过NAT对MN发送的绑定更新(Binding Update,BU)和HA响应的绑定确认(BindingAcknowledgement,BA)消息直接修改来实现MN的注册和移动管理,但是根据移动IPv6的安全协议RFC3776(Using IPsec to Protect Mobile IPv6 Signaling Between Mobile Nodes andHome Agents)的要求,MN与HA之间的任何消息必须被IPSec保护,NAT不能改动被加密的IP选项头。
发明内容
为了克服现有技术的缺陷和不足,本发明的目的在于提供一种移动IPv6中穿越网络地址转换的方法,能够使移动节点从公网穿越网络地址转换进入私网时能保持原有的分组数据通信。
为了达到上述目的,本发明一种移动IPv6中穿越网络地址转换的方法,包括以下步骤 (1)移动节点由公网进入私网,获取私网的转交地址向家乡代理发送绑定更新消息; (2)网络地址转换截获该绑定更新消息后,给移动节点分配临时公网IP地址,并建立临时公网IP地址到私网转交地址的映射; (3)移动节点使用网络地址转换分配的临时公网IP地址分别与家乡代理、公网的通信节点完成绑定更新; (4)移动节点经过私网转交地址和网络地址转换间的IPv6隧道与公网的通信节点进行通信。
优选地,所述步骤(2)具体为 (21)网络地址转换截获该绑定更新消息,通过该绑定消息的源地址、目的地址和家乡地址判断该移动节点是否从公网进入私网,如果判断结果为是,则进入步骤(21);如果判断结果为否,则步骤结束; (22)网络地址转换决定给该移动节点分配临时公网IP地址,并建立临时公网IP地址到私网转交地址的映射。
优选地,所述步骤(3)具体为 (31)移动节点收到该临时公网IP地址后,使用该临时公网IP地址与家乡代理进行密钥交换协商; (32)协商成功后,移动节点向家乡代理发送临时公网IP地址的绑定更新消息进行注册,完成与家乡代理的绑定更新; (33)移动节点使用临时公网IP地址与公网中的通信节点完成绑定更新。
优选地,所述步骤(32)具体为 (321)协商成功后,移动节点根据临时公网IP地址构造绑定更新消息给网络地址转换; (322)网络地址转换对绑定更新消息进行隧道解封装后,记录移动节点的绑定更新状态信息,并将解封装后的绑定更新转发给家乡代理进行注册; (323)家乡代理注册成功后,给网络地址转换返回绑定确认消息; (324)网络地址转换更新对应该移动节点的绑定更新状态信息后,对绑定确认消息进行隧道封装,并转发绑定确认给移动节点。
优选地,所述步骤(33)具体为 (331)移动节点根据临时公网IP地址构造绑定更新消息给网络地址转换; (332)网络地址转换对绑定更新消息进行隧道解封装后,记录移动节点的绑定更新状态信息,并将解封装后的绑定更新转发给公网的通信节点进行注册; (333)通信节点注册成功后,给网络地址转换返回绑定确认消息; (334)网络地址转换更新对应该移动节点的绑定更新状态信息后,对绑定确认消息进行隧道封装,并转发绑定确认给移动节点。
优选地,所述步骤(4)后还包括 (5)移动节点使用私网转交地址与私网内的通信节点完成绑定更新后,移动节点和私网的通信节点直接在私网中进行通信。
优选地,所述步骤(5)后还包括 (6)当临时公网IP地址有效期结束时,网络地址转换选择收回或是继续使用原临时公网IP地址,如果选择收回,则步骤结束;如果选择继续使用,则返回步骤(2)。
优选地,步骤(22)中所述决定给该移动节点分配临时公网IP地址的方法为通过对移动节点的认证或者是缓存在网络地址转换上的认证信息来决定的。
采用上述的方法后,在移动节点从公网进入私网后,通过网络地址转换给移动节点分配临时公网IP地址来完成和家乡代理以及公网中通信节点的注册绑定,能够保持原有的分组数据通信,移动节点不会因为IP的移动性受到网络地址的阻碍,导致移动节点与外界的分组通信被终止。
图1为本发明的网络结构示意图; 图2为本发明中移动节点穿越网络地址转换的切换流程图。
具体实施例方式 下面结合附图对本发明的具体实施方式
作进一步详细说明。
如图1所示,本发明中包括家乡代理、通信节点、IPv6公网、IPv6私网、intermet、公网接入路由器、私网接入路由器、公网COA、私网COA和网络地址转换NAT,当移动节点MN从公网首次进入私网,获得私网CoA,移动节点MN试图用私网CoA与家乡代理HA绑定更新,但绑定更新BU消息到达网络地址转换NAT时被截获,网络地址转换NAT给移动节点MN分配一个临时的公网IP地址,并且创建移动节点MN的临时公网IP地址到移动节点MN的私网CoA地址的映射,移动节点MN改用网络地址转换NAT分配的临时公网IP地址与HA和公网CN完成绑定更新,之后,移动节点MN与公网的通信将经过私网CoA与网络地址转换NAT间IPv6隧道的转发。
移动节点MN最初通过有线或无线方式连接在公网上,然后发生移动进入某个私网,根据RFC3775将获得一个转交地址CoA。无论是通过无状态自动地址配置,还是通过私有DHCP的有状态自动地址配置,这个CoA都是私网地址。不过移动节点MN并未意识到进入私网,还是按照RFC3775的规定以该CoA为转交地址向家乡代理HA发送绑定更新BU。当绑定更新BU到达NAT时被截获,NAT通过BU消息中的源IP地址和BU消息中ESP Header前的IP Destination Header等信息,发现发送BU的MN是从公网移入私网的移动节点,决定给MN分配一个临时公网IP地址。需要说明的是,NAT的这个决定是基于对MN的认证,或者是缓存在NAT上的认证信息。有多种认证方法可供选用,比如与移动节点MN家乡网络AAA服务器协作进行的AAA等。网络地址转换NAT给移动节点MN分配一个临时的公网IP地址,并且创建移动节点MN临时公网IP地址到MN私网CoA地址的映射。移动节点MN收到临时公网IP地址后,用临时公网IP地址与HA进行IKE协商,协商成功后重新向HA发送到临时公网IP地址的BU,HA注册成功后返回BA,BA和BU消息进出私网时NAT记录绑定状态信息。与HA绑定成功后,MN按照移动IPv6标准与公网上的CN进行绑定。之后,MN就可用临时公网IP地址与公网上的HA和CN进行正常通信。MN使用临时公网IP地址与外界进行的任何通信都必须经过MN CoA与NAT之间的IPv6隧道。
其中,临时公网IP地址具有一定的有效期。有效期结束时,NAT可以选择继续提供还是收回分配给MN的临时公网IP地址。如果选择继续提供临时公网IP地址,NAT还可以选择是继续使用原来分配的临时公网IP地址,还是依据某个策略动态改变分配给移动节点的临时公网IP地址,以实现移动节点的位置隐藏。有效期结束时移动节点也可主动向NAT请求公网IP地址。
为了优化报文传输路径,移动节点MN还可以使用私网CoA与私网内的CN绑定更新,这样移动节点MN与私网CN的通信可直接在私网中进行,不必通过网络地址转换NAT。
如图2所示,为本发明的移动节点穿越网络地址转换的切换流程,包括MN、AR、NAT、HA及家乡网络、CN;本发明具体包括以下步骤 (201)MN移入私网,并收到私网接入路由器AR(Access Router,接入路由器)发送的路由器公告消息1.RA; (202)检测到IP层移动,进行无状态自动配置获得一个转交地址CoA,该地址是私网地址; (203)MN构造2.绑定更新(CoA)发送给HA进行绑定更新,MN的AR收到2.绑定更新后,转发到NAT,途中可以经过多个路由器转发。其中,绑定更新消息的格式如下表1所示,其中源地址是CoA,目的地址是HA,目的选项头中家乡地址选项是MN的HoA(Home Address,家乡地址),ESP使用原先协商的SA(Security Association,安全关联)对移动头进行加密。
表1 (204)NAT收到绑定更新BU后,判断发送BU的MN来自公网,于是决定为MN分配一个临时公网IP,不过在分配之前,NAT先根据BU中的HoA和HA的IP地址等信息与MN的家乡网络进行认证,认证通过后,NAT根据一定的策略为MN分配一个临时公网IP,并规定该地址的有效期,并建立临时公网IP与MN CoA的映射关系。
(205)NAT构造3.临时公网IP发送给MN,3.临时公网IP经过AR的转发到达MN后,MN配置消息中携带的临时公网IP地址,并用临时公网IP地址与HA进行IKE(交换密钥)协商得到新的SA。
(206)MN然后构造4.绑定更新(公网IP)发送给HA,经过AR的转发到达NAT,其中,绑定更新消息的格式如下表2所示,在正常的BU消息格式之上进行一次IPv6隧道封装。正常BU中的源地址是除临时公网IP之外的任何公/私网地址,由MN决定;目的地址是HA;目的选项头中家乡地址选项是MN的HoA;移动头中的Alternate Care-of Address选项头是临时公网IP;ESP使用新协商的SA对移动头进行加密。隧道封装部分的源地址是CoA,目的地址是NAT。
表2 (207)NAT收到4.绑定更新后,对其进行隧道解封装,记录MN的绑定更新状态信息,将解封装后的绑定更新包转发给MN的HA,对于解封装后源地址是私网地址的BU,NAT将其转为公网地址再转发。HA注册成功后返回绑定确认,NAT更新对应的MN绑定更新状态信息。
(208)NAT对绑定确认消息进行IPv6隧道封装,然后NAT转发5.绑定确认给MN,绑定确认消息的源地址是HA的,目的地址是MN公网的转交地址,即绑定更新中的AlternateCare-of Address临时公网IP。
(209)MN收到5.绑定确认之后,用临时公网IP与公网中的CN绑定更新,其中包括RRT(Return Routability Procedure,返回可路由过程)。同样地,NAT保留MN与CN的绑定更新状态,并对该过程中向MN发送的和MN发出的数据包进行IPv6隧道封装/解封装。
HA和CN的绑定更新完成后,MN与外界的通信就可正常进行,NAT将根据缓存的MN绑定更新信息,对MN与外界的通信分组进行封装/解封装。当MN在NAT内部发生移动切换,向HA和CN绑定更新时,NAT将根据缓存的MN绑定更新信息,直接向MN返回绑定成功信息,而不再转发绑定更新。
本发明在从公网到私网的移动中,通过网络地址转换给移动节点分配临时公网IP地址来完成和家乡代理以及公网中通信节点的注册绑定,能够保持原有的分组数据通信,移动节点不会因为IP的移动性受到网络地址的阻碍,导致移动节点与外界的分组通信被终止。并且MN在私网内部移动切换时,临时公网IP地址不会随之改变,因此不必经过向公网的HA和CN绑定更新的过程,而这个过程可能是相当耗时的,因此本发明能显著地加快MN在私网中移动的切换速度,更好地满足实时通信的要求。
权利要求
1.一种移动IPv6中穿越网络地址转换的方法,其特征在于,包括以下步骤
(1)移动节点由公网进入私网,获取私网的转交地址向家乡代理发送绑定更新消息;
(2)网络地址转换截获该绑定更新消息后,给移动节点分配临时公网IP地址,并建立临时公网IP地址到私网转交地址的映射;
(3)移动节点使用网络地址转换分配的临时公网IP地址分别与家乡代理、公网的通信节点完成绑定更新;
(4)移动节点经过私网转交地址和网络地址转换间的IPv6隧道与公网的通信节点进行通信。
2.按照权利要求1所述的移动IPv6中穿越网络地址转换的方法,其特征在于,所述步骤(2)具体为
(21)网络地址转换截获该绑定更新消息,通过该绑定消息的源地址、目的地址和家乡地址判断该移动节点是否从公网进入私网,如果判断结果为是,则进入步骤(21);如果判断结果为否,则步骤结束;
(22)网络地址转换决定给该移动节点分配临时公网IP地址,并建立临时公网IP地址到私网转交地址的映射。
3.按照权利要求2所述的移动IPv6中穿越网络地址转换的方法,其特征在于,所述步骤(3)具体为
(31)移动节点收到该临时公网IP地址后,使用该临时公网IP地址与家乡代理进行密钥交换协商;
(32)协商成功后,移动节点向家乡代理发送临时公网IP地址的绑定更新消息进行注册,完成与家乡代理的绑定更新;
(33)移动节点使用临时公网IP地址与公网中的通信节点完成绑定更新。
4.按照权利要求3所述的移动IPv6中穿越网络地址转换的方法,其特征在于,所述步骤(32)具体为
(321)协商成功后,移动节点根据临时公网IP地址构造绑定更新消息给网络地址转换;
(322)网络地址转换对绑定更新消息进行隧道解封装后,记录移动节点的绑定更新状态信息,并将解封装后的绑定更新转发给家乡代理进行注册;
(323)家乡代理注册成功后,给网络地址转换返回绑定确认消息;
(324)网络地址转换更新对应该移动节点的绑定更新状态信息后,对绑定确认消息进行隧道封装,并转发绑定确认给移动节点。
5.按照权利要求3所述的移动IPv6中穿越网络地址转换的方法,其特征在于,所述步骤(33)具体为
(331)移动节点根据临时公网IP地址构造绑定更新消息给网络地址转换;
(332)网络地址转换对绑定更新消息进行隧道解封装后,记录移动节点的绑定更新状态信息,并将解封装后的绑定更新转发给公网的通信节点进行注册;
(333)通信节点注册成功后,给网络地址转换返回绑定确认消息;
(334)网络地址转换更新对应该移动节点的绑定更新状态信息后,对绑定确认消息进行隧道封装,并转发绑定确认给移动节点。
6.按照权利要求1所述的移动IPv6中穿越网络地址转换的方法,其特征在于,所述步骤(4)后还包括
(5)移动节点使用私网转交地址与私网内的通信节点完成绑定更新后,移动节点和私网的通信节点直接在私网中进行通信。
7.按照权利要求6所述的移动IPv6中穿越网络地址转换的方法,其特征在于,所述步骤(5)后还包括
(6)当临时公网IP地址有效期结束时,网络地址转换选择收回或是继续使用原临时公网IP地址,如果选择收回,则步骤结束;如果选择继续使用,则返回步骤(2)。
8.按照权利要求2所述的移动IPv6中穿越网络地址转换的方法,其特征在于,步骤(22)中所述决定给该移动节点分配临时公网IP地址的方法为通过对移动节点的认证或者是缓存在网络地址转换上的认证信息来决定的。
全文摘要
本发明公开了一种移动IPv6中穿越网络地址转换的方法。为解决现有技术中移动节点在公网进入私网后的分组通信将被终止的问题而发明。本发明移动IPv6中穿越网络地址转换的方法包括以下步骤移动节点由公网进入私网,获取私网的转交地址向家乡代理发送绑定更新消息;网络地址转换截获该绑定更新消息后,给移动节点分配临时公网IP地址,并建立临时公网IP地址到私网转交地址的映射;移动节点使用网络地址转换分配的临时公网IP地址分别与家乡代理、公网的通信节点完成绑定更新;移动节点经过私网转交地址和网络地址转换间的IPv6隧道与公网的通信节点进行通信。本发明在移动节点从公网进入私网后,能够保持原有的分组数据通信。
文档编号H04L29/12GK101193130SQ20061014587
公开日2008年6月4日 申请日期2006年11月21日 优先权日2006年11月21日
发明者李竹平, 李英新, 张大勇 申请人:中兴通讯股份有限公司