专利名称:移动IPv6中报文传输方法及UTM设备的制作方法
技术领域:
本发明涉及移动通信技术,尤其涉及一种移动IPv6中报文传输方法及UTM设备。
背景技术:
随着IPv6标准的成熟和试运行,在移动网络中引入IPv6成为通信网络的重要发 展方向。移动IPv6技术是IPv6技术的重要组成部分,其充分利用IPv6协议对移动性的 内在支持,可以在不同的移动网络通过移动节点(Mobile Node, MN)的家乡地址(Home of Address, HoA)进行寻址,移动IPv6对于IP层以上的协议层是完全透明的,这使得移动节 点在不同子网间移动时,运行在该节点上的应用程序不需修改或者配置仍然可用。
当移动节点连接在其家乡链路上时,采用一般的主机或路由器一样的工作方式进 行工作。当移动节点连接在其外地链路上时,外地网络会为该移动节点分配转交地址(Care of Address, CoA)。之后,移动节点将其转交地址通知给家乡代理,如果可以保证操作时的 安全性,移动节点也将其转交地址通知给对端的通信节点(Communication Node, CN)。在 移动节点的发送方向上,移动节点发出的数据包被直接路由到目的地,无需经过家乡网络。 在移动节点的接收方向上,当移动节点将其转交地址通知给通信节点时,通信节点可以利 用IPv6选路报头直接将数据包发送给移动节点,这些数据包不需要经过移动节点的家乡 代理,而是由通信节点到移动节点的一条优化路由;当移动节点只将其转交地址通知家乡 代理时,通信节点将通过家乡代理发送数据包给移动节点。
为了保证操作的安全性,在家乡网络中设置统一威胁管理(Unified Threats Management, UTM)设备,UTM设备可以用于识别报文中存在的威胁,以保证操作的安全性。 UTM设备还可以用于处理一些特殊业务,例如反病毒(Anti-Virus)业务,这种业务需要在 UTM中缓存部分报文。
现有技术中,当移动节点离开家乡网络时,报文将不再经过家乡网络中的UTM设 备,会造成威胁无法正常的识别,对于一些特殊业务,会丢失缓存的报文,造成业务不通。发明内容
本发明实施例是提供一种移动IPv6中报文传输方法及UTM设备,用于解决现有技 术中存在的移动节点离开家乡网络后,报文不再经过家乡网络的UTM设备引起的操作不安 全或者业务不通的问题。
本发明实施例提供了一种移动IPv6中报文传输方法,包括
转发移动节点MN发送的域名系统DNS查询请求给DNS服务器,在接收到DNS服务 器返回的DNS响应时,将所述DNS响应中携带的与所述丽通信的通信节点的IP地址修改 为配置在统一威胁管理UTM设备上的虚拟IP地址,并将修改后的DNS响应发送给所述MN ;
接收所述丽发送的目的地址为所述虚拟IP地址的报文;
对所述MN发送的报文进行UTM处理,将UTM处理后的报文发送给所述通信节点。
本发明实施例提供了 一种UTM设备,包括
域名系统应用层网关DNS-ALG模块,用于转发移动节点MN发送的域名系统DNS查 询请求给DNS服务器,在接收到DNS服务器返回的DNS响应时,将所述DNS响应中携带的与 所述MN通信的通信节点的IP地址修改为配置在统一威胁管理UTM设备上的虚拟IP地址, 并将修改后的DNS响应发送给所述丽;
处理模块,用于接收所述丽发送的目的地址为所述虚拟IP地址的报文;对所述 MN发送的报文进行UTM处理,将UTM处理后的报文发送给所述通信节点。
由上述技术方案可知,本发明实施例通过在MN发起DNS查询时,将通信节点的IP 地址修改为配置在UTM设备上的虚拟IP地址,可以使得MN将报文发送给UTM,之后,由UTM 发送给通信节点。实现报文经过UTM设备,保证安全操作及保证业务畅通。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本 领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他 的附图。
图1为本发明第一实施例的方法流程示意图2为本发明第二实施例的方法流程示意图3为本发明第三实施例的UTM设备的结构示意图4为本发明第四实施例的UTM设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明第一实施例的方法流程示意图,包括
步骤11 =UTM设备转发丽发送的DNS查询请求给DNS服务器,在接收到DNS服务 器返回的DNS响应时,将该DNS响应中携带的与该丽通信的通信节点的IP地址修改为配 置在UTM设备上的虚拟IP地址,并将修改后的DNS响应发送给该丽;其中,该通信节点的 IP地址为网络中该通信节点的真实IP地址。
步骤12 =UTM设备接收所述丽发送的目的地址为所述虚拟IP地址的报文;对该 MN发送的报文进行UTM处理,将UTM处理后的报文发送给该通信节点。
由于现有技术中当MN离开家乡网络后,MN发送给通信节点的报文可能会不经过 UTM设备,这样会造成一些问题。例如,会造成威胁无法正常的识别,对于一些特殊业务,会 丢失缓存的报文,造成业务不通。为此,本发明实施例通过对UTM设备进行改进,可以使得 MN在发送报文时,使得报文经过UTM设备发送给通信节点。
具体的,本实施例通过在MN发起DNS查询时,将通信节点的IP地址修改为配置在 UTM设备上的虚拟IP地址,可以使得MN将报文发送给UTM,之后,由UTM发送给通信节点。 实现报文经过UTM设备,保证安全操作及保证业务畅通。
图2为本发明第二实施例的方法流程示意图,包括
步骤201 :MN向UTM设备中的DNS-ALG模块发送DNS查询请求。
步骤202 =DNS-ALG模块将该DNS查询请求转发给DNS服务器。
步骤203 =DNS服务器查询得到与该丽通信的通信节点的IP地址,并将该通信节 点的IP地址携带在DNS响应中,向DNS-ALG模块返回DNS响应。
步骤204 =DNS-ALG模块将该DNS响应中携带的通信节点的IP地址修改为配置在 UTM设备上的虚拟IP地址。
例如,在UTM设备上可以预先配置虚拟IP地址,该虚拟IP地址可以具体为64位, 之后,该64位的虚拟IP地址可以被分配给264个丽使用。
该虚拟IP地址可以预先保存在DNS-ALG模块中,之后,DNS-ALG模块可以在多个 虚拟IP地址中任选一个作为修改后的IP地址。
DNS响应通常会存在一个生命周期,因此DNS-ALG模块还可以设置DNS响应的生命 周期,例如,设置该生命周期为N = 5 10秒。
步骤205 =DNS-ALG模块将携带虚拟IP地址的DNS响应发送给丽。
步骤206 =DNS-ALG模块建立虚拟IP地址、通信节点的IP地址及丽的家乡地址的 地址对应关系,并保存到UTM设备中的映射表(Server Map)模块中。
其中,丽在发送DNS查询请求时其源地址即为丽的家乡地址,DNS服务器返回的 DNS响应中携带的是通信节点的IP地址,DNS-ALG模块用任选后的虚拟IP地址替换DNS响 应中的通信节点的IP地址。因此,从上述流程中可以建立虚拟IP地址、通信节点的IP地 址、丽的家乡地址的对应关系。
还可以设置映射表的老化时间,为了保证MN有足够的时间用于老化本地的DNS缓 存(Cache),该映射表的老化时间可以设置为2N,其中N为DNS响应的老化时间。可以理解 的是,根据UTM设备的不同使用场景,该映射表的老化时间也可以设定为其他值,以便于保 证丽有足够的时间用于老化本地的DNS缓存(Cache)。由于丽接收到的DNS响应中携带 的是配置在UTM设备上的虚拟IP地址,因此,当发送报文时,丽将报文发送给UTM设备。
步骤207 :UTM设备中的地址适配模块接收MN发送的报文,该报文的目的地址为虚 拟IP地址。
步骤208 地址适配模块在确定该报文的目的地址为虚拟IP地址后,向映射表模 块发送地址查询请求,查询与该虚拟IP地址对应的通信节点的IP地址。
步骤209 映射表模块根据保存的地址对应关系,获取该虚拟IP地址对应的通信 节点的IP地址,并将该通信节点的IP地址携带在地址响应中返回给地址适配模块。
步骤210 地址适配模块将该报文的目的地址修改为获取的通信节点的IP地址。
步骤211 地址适配模块将修改目的地址后的报文发送给UTM设备中的UTM功能 模块。
步骤212 =UTM功能模块对报文进行UTM处理。
例如,进行UTM检测,如执行反病毒检测,入侵检测等,以保证操作安全性。和/或, 结合缓存报文进行处理,以保证业务的畅通。
步骤213 =UTM功能模块将UTM处理后的报文发送给地址适配模块。
步骤214 由于报文的目的地址为通信节点,因此地址适配模块转发UTM处理后的报文给通信节点。
上述描述了 MN到通信节点方向上的报文传输,进一步地,当报文从通信节点返回 MN时,可以进一步执行如下步骤
步骤215 通信节点向UTM设备返回回应报文。
步骤216 地址适配模块将返回的回应报文发送给UTM功能模块,由UTM功能模块 进行UTM处理后,再经由地址适配模块转发给MN。
其中,地址适配模块可以根据保存的映射表中的MN的家乡地址、通信节点的IP地 址及虚拟IP地址的对应关系,以及返回的回应报文中的地址信息,确定MN的家乡地址,以 便将回应报文发送给MN。例如,可以从回应报文中获取目的地址(回应报文的目的地址即 为虚拟IP地址),再根据虚拟IP地址与MN的家乡地址的对应关系,确定对应的MN,将回应 发送给MN;也可以是从回应报文中获取源地址(回应报文的源地址即为与MN通信的通信 节点的IP地址),再根据通信节点的IP地址与家乡地址的对应关系,确定对应的MN,将回 应报文转发给MN。
本实施例通过在丽发起DNS查询时,将通信节点的IP地址修改为配置在UTM设 备上的虚拟IP地址,可以使得MN将报文发送给UTM设备,之后,由UTM设备发送给通信节 点。实现报文经过UTM设备,保证安全操作及保证业务畅通。
由于丽经过UTM设备向通信节点发送报文时,由通信节点向丽返回的报文同样 会经过UTM设备。实现MN不论漫游到任何地方,均会把报文发送到UTM设备上,由UTM设 备转发到通信节点,并由UTM设备转发通信节点返回给MN的报文,保证报文的安全操作及 业务的畅通。
图3为本发明第三实施例的UTM设备的结构示意图,包括DNS-ALG模块31和处理 模块32 ;DNS-ALG模块31用于转发丽发送的DNS查询请求给DNS服务器,在接收到DNS服 务器返回的DNS响应时,将该DNS响应中携带的与该丽通信的通信节点的IP地址修改为 配置在UTM设备上的虚拟IP地址,并将修改后的DNS响应发送给该丽;处理模块32用于接 收所述MN发送的目的地址为所述虚拟IP地址的报文;对该MN发送的报文进行UTM处理, 将UTM处理后的报文发送给该通信节点。
本实施例通过在丽发起DNS查询时,将通信节点的IP地址修改为配置在UTM设 备上的虚拟IP地址,可以使得MN将报文发送给UTM,之后,由UTM发送给通信节点。实现报 文经过UTM设备,保证安全操作及保证业务畅通。
图4为本发明第四实施例的UTM设备的结构示意图,包括DNS-ALG模块41、映射表 模块42、地址适配模块43和UTM功能模块44。
其中,DNS-ALG模块41的具体功能可以参见第三实施例,所述DNS查询请求中的 源地址是所述丽的家乡地址,映射表模块42与DNS-ALG模块41连接,用于建立映射表,所 述映射表保存该通信节点的IP地址、该虚拟IP地址和该MN的家乡地址的对应关系。
地址适配模块43和UTM功能模块44组成处理模块,处理模块的具体功能可以参 见第三实施例。地址适配模块43与该映射表模块42连接,用于接收该MN发送的目的地址 为该虚拟IP地址的报文,根据该映射表中保存的对应关系,将该虚拟IP地址修改为该通信 节点的IP地址;UTM功能模块44与该地址适配模块43连接,用于对修改目的地址后的报 文进行UTM处理,并将该UTM处理后的报文通过该地址适配模块43发送给该通信节点。
DNS-ALG模块41还用于预先获取配置在所述UTM设备上的虚拟IP地址。
DNS-ALG模块41还可以用于设置DNS响应的生命周期,例如设置DNS响应的生命 周期为N,其中N = 510秒,此时,映射表模块42还可以用于所述映射表的生命周期为所述 DNS响应的生命周期的2倍,例如,设置该映射表的生命周期为2XN,其中N为DNS响应的 老化时间,保证MN有足够的时间用于老化本地的DNS缓存(Cache)。
本实施例通过在丽发起DNS查询时,将通信节点的IP地址修改为配置在UTM设 备上的虚拟IP地址,可以使得MN将报文发送给UTM,之后,由UTM发送给通信节点。实现报 文经过UTM设备,保证安全操作及保证业务畅通。由于MN经过UTM设备向通信节点发送报 文时,由通信节点向MN返回的报文同样会经过UTM设备。实现MN不论漫游到任何地方,均 会把报文发送到UTM设备上,由UTM设备转发到通信节点,并由UTM设备转发通信节点返回 给MN的报文,保证报文的安全操作及业务的畅通。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。
最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
1.一种移动IPv6中报文传输方法,其特征在于,包括转发移动节点MN发送的域名系统DNS查询请求给DNS服务器,在接收到DNS服务器返 回的DNS响应时,将所述DNS响应中携带的与所述丽通信的通信节点的IP地址修改为配 置在统一威胁管理UTM设备上的虚拟IP地址,并将修改后的DNS响应发送给所述MN ;接收所述MN发送的目的地址为所述虚拟IP地址的报文;对所述MN发送的报文进行UTM处理,将UTM处理后的报文发送给所述通信节点。
2.根据权利要求1所述的方法,其特征在于,所述DNS查询请求中的源地址是所述MN 的家乡地址,在将修改后的DNS响应发送给所述MN之后,所述方法还包括建立映射表,所述映射表保存如下三项的对应关系所述通信节点的IP地址、所述虚 拟IP地址和所述丽的家乡地址。
3.根据权利要求2所述的方法,其特征在于,所述对所述MN发送的报文进行UTM处理, 将UTM处理后的报文发送给所述通信节点,包括接收所述MN发送的目的地址为所述虚拟IP地址的报文,根据所述映射表中保存的对 应关系,将所述虚拟IP地址修改为所述通信节点的IP地址,得到目的地址修改后的报文;对所述目的地址修改后的报文进行UTM处理,并发送UTM处理后的报文给所述通信节点ο
4.根据权利要求1-3任一项所述的方法,其特征在于,在接收MN发送的DNS查询请求 之前,所述方法还包括预先获取配置在所述UTM设备上的虚拟IP地址。
5.根据权利要求2所述的方法,其特征在于,在建立映射表之后,所述方法还包括设置所述映射表的生命周期为所述DNS响应的生命周期的2倍。
6.一种UTM设备,其特征在于,包括域名系统应用层网关DNS-ALG模块,用于转发移动节点MN发送的域名系统DNS查询请 求给DNS服务器,在接收到DNS服务器返回的DNS响应时,将所述DNS响应中携带的与所述 MN通信的通信节点的IP地址修改为配置在统一威胁管理UTM设备上的虚拟IP地址,并将 修改后的DNS响应发送给所述丽;处理模块,用于接收所述丽发送的目的地址为所述虚拟IP地址的报文;对所述丽发 送的报文进行UTM处理,将UTM处理后的报文发送给所述通信节点。
7.根据权利要求6所述的设备,其特征在于,所述DNS查询请求中的源地址是所述MN 的家乡地址,所述设备还包括映射表模块,与DNS-ALG模块连接,用于建立映射表,所述映射表保存所述通信节点的 IP地址、所述虚拟IP地址和所述MN的家乡地址的对应关系。
8.根据权利要求7所述的设备,其特征在于,所述处理模块包括地址适配模块,与所述映射表模块连接,用于接收所述MN发送的目的地址为所述虚拟 IP地址的报文,根据所述映射表中保存的对应关系,将所述虚拟IP地址修改为所述通信节 点的IP地址;UTM功能模块,用于对修改目的地址后的报文进行UTM处理,并将所述UTM处理后的报 文通过所述地址适配模块发送给所述通信节点。
9.根据权利要求6-8任一项所述的设备,其特征在于,所述DNS-ALG模块还用于预先获取配置在所述UTM设备上的虚拟IP地址。
10.根据权利要求7所述的设备,其特征在于,所述映射表模块还用于设置所述映射表 的生命周期为所述DNS响应的生命周期的2倍。
全文摘要
本发明实施例提供一种移动IPv6中报文传输方法及UTM设备。该方法包括转发MN发送的DNS查询请求给DNS服务器,在接收到DNS服务器返回的DNS响应时,将所述DNS响应中携带的与所述MN通信的通信节点的IP地址修改为配置在UTM设备上的虚拟IP地址,并将修改后的DNS响应发送给所述MN;接收所述MN发送的目的地址为所述虚拟IP地址的报文;对所述MN发送的报文进行UTM处理,将UTM处理后的报文发送给所述通信节点。本发明实施例可以在MN离开家乡网络后,发送的报文依旧经过UTM设备,以保证操作安全性及保证业务畅通。
文档编号H04L12/56GK102045260SQ20101062468
公开日2011年5月4日 申请日期2010年12月31日 优先权日2010年12月31日
发明者吴昊, 黄冕 申请人:成都市华为赛门铁克科技有限公司