基于IPv6跨域漫游的终端管理方法和装置与流程

基于ipv6跨域漫游的终端管理方法和装置
技术领域
1.本申请涉及计算机网络安全领域，具体而言，涉及一种基于ipv6跨域漫游的终端管理方法和装置。


背景技术：

2.在当今的信息化时代，网络互联已成为人们工作生活的重要组成部分。同时，由于网络终端的多样性和移动性，人们对于随时随地、可漫游的网络连接需求日益成为网络接入的主流。在此背景下，移动ip技术被提出来，它提供了一种网络层移动管理方案，以支持节点在不同网段或不同的服务网络之间无缝的漫游切换，无论移动是连接在家乡链路还是移动到外地链路，都可以让移动终端总是通过家乡地址来寻址，这使得移动终端对于ip层以上的协议层是完全透明的。具体来说，移动终端以家乡地址作为唯一标识，当移动终端漫游到新的网络时，会得到一个转交地址，移动终端向家乡代理发送绑定更新消息申请注册，把转交地址通知给家乡代理，注册成功则家乡代理会返回确认信息。那么发往移动终端的数据包会被发送到家乡代理，家乡代理根据绑定信息将数据封装后通过隧道发送给移动终端。
3.如今，ipv4地址已经耗尽，ipv6则任重而道远，必将成为下一代互联网的核心。同样，在移动ip技术中，移动ipv6也因其庞大的地址空间、无需外地代理、优化的路由等诸多优势，更好地提供了对移动ip的支持。即使如此，但是移动ipv6协议的工作流程并未把安全问题考虑进去。
4.针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本申请实施例提供了一种基于ipv6跨域漫游的终端管理方法和装置，以至少解决相关技术中ipv6协议的工作流程的安全性较低的技术问题。
6.根据本申请实施例的一个方面，提供了一种基于ipv6跨域漫游的终端管理方法，包括：当移动终端在全局网络中当前所在的局域网内改变链路转交地址时，所述移动终端向当前所在的局域网内的漫游锚节点发送绑定更新消息，其中，所述绑定更新消息用于所述移动终端在当前所在的局域网内改变链路转交地址，所述全局网络包括多个局域网，每个局域网内设有用于表示区域代理的漫游锚节点。
7.根据本申请实施例的另一方面，还提供了一种基于ipv6跨域漫游的终端管理装置，包括：发送单元，用于当移动终端在全局网络中当前所在的局域网内改变链路转交地址时，指示所述移动终端向当前所在的局域网内的漫游锚节点发送绑定更新消息，其中，所述绑定更新消息用于所述移动终端在当前所在的局域网内改变链路转交地址，所述全局网络包括多个局域网，每个局域网内设有用于表示区域代理的漫游锚节点。
8.根据本申请实施例的另一方面，还提供了一种存储介质，该存储介质包括存储的程序，程序运行时执行上述的方法。
9.根据本申请实施例的另一方面，还提供了一种电子装置，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器通过计算机程序执行上述的方法。
10.在本申请实施例中：
11.1)提出了一种基于ipv6跨域漫游的层次化接入认证方案，首先，把网络层分为全局和局部域的不同区域，基于移动ipv6的分层扩展协议hmipv6，在每个局部域设置一个漫游锚节点作为区域代理，当移动终端在当前的局部域中改变它的链路转交地址时，只需要将该地址向局部域的漫游锚节点发送绑定更新消息进行注册，不再向其家乡代理发送绑定更新消息。移动ipv6的aaa认证系统也同样由全局radius服务器(gaaa)和区域radius服务器(raaa)共同来实现，raaa同样担任本区域内移动终端的家乡radius服务器(haaa)，一旦有移动终端在其所属的家乡域内注册成功，则haaa会将其管理的用户信息与gaaa同步，因此gaaa会管理全局的用户认证信息，当移动终端漫游到新的接入节点，则将向该区域的漫游锚节点进行注册并通过raaa进行认证，若还在同一个局部域，则raaa即可直接进行认证响应，若移动锚节点发现移动终端属于跨域漫游，则raaa需要与gaaa进行交互获取该移动终端在家乡域的认证信息，再对其进行认证。其次，通过认证接入的用户行为特征被提取并进行用户行为监测，对于异常行为用户可判定为攻击用户，进而做出相应的处理。
12.2)基于大规模支持跨域漫游的企业数据网结构，网络层构成全局和局部域的结构，基于此采用分层的接入认证管理架构，实现移动漫游终端的注册信息绑定更新和认证注册过程的本地化，一方面可以减少漫游切换的时延，另一方面可以保证绑定更新过程的安全性。
13.3)针对局部域内的移动漫游的注册绑定更新过程，基于移动ipv6的分层扩展协议hmipv6实现，局部域内的移动锚节点作为该域内的代理，和raaa共同处理漫游注册过程。针对域内的漫游注册绑定更新，移动锚节点已经获知家乡地址，只需将新的转交地址与家乡地址绑定即可，认证通过同一个raaa服务器，因此省去了外地代理和家乡代理之间的长距离信息交互，大大降低漫游时延。特别值得提出的是，这里在同一个域内的漫游是相对于移动节点在此之前的接入位置而言，而不仅仅是相对于家乡域，即只要漫游接入的前后两次位置都属于同一个局部域，其注册更新就适用于域内注册绑定更新过程。
14.4)针对域间的移动漫游的注册绑定更新过程，在本发明中，raaa作为haaa对移动终端进行注册时，会将注册信息与gaaa之间全局gaaa同步，使得gaaa具备全局移动终端的家乡注册信息。移动终端如果是跨域漫游，在首次跨域到某个局部域向该域的移动锚节点进行注册时，raaa没有该移动终端的用户信息，则局部域的认证管理系统将于全局管理系统进行信息交互，获取该移动终端的家乡地址和注册信息等，并返回该信息给该局部域，并返回注册认证结果。此后，该移动节点仍在该域内漫游移动时，则该局部域的认证管理系统即可提供注册更新服务。在本发明中，raaa(或haaa)和gaaa之间采用隧道的方式传输加密的数据，保证了认证服务器之间数据交互的安全性和完整性。
15.进而解决了相关技术中ipv6协议的工作流程的安全性较低的技术问题。
附图说明
16.此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申
请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
17.图1是根据本申请实施例的一种可选的企业数据网结构的示意图；
18.图2是根据本申请实施例的一种可选的接入认证管理架构的示意图；
19.图3是根据本申请实施例的一种可选的局部域内漫游的示意图；以及，
20.图4是根据本申请实施例的一种可选的跨域漫游的示意图。
具体实施方式
21.为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。
22.需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
23.发明人经过对相关技术的分析认识到：如今，ipv4地址已经耗尽，ipv6则任重而道远，必将成为下一代互联网的核心。同样，在移动ip技术中，移动ipv6也因其庞大的地址空间、无需外地代理、优化的路由等诸多优势，更好地提供了对移动ip的支持。即使如此，但是移动ipv6协议的工作流程并未把安全问题考虑进去，通常来说，移动ipv6的安全问题主要体现在移动节点的注册过程和向家乡代理报告家乡地址和转交地址的绑定更新的过程中，在这个过程中会面临的安全问题主要有：一是拒绝服务攻击，即指攻击者为阻止合法用户的正常工作而采取的攻击，例如，通过向服务器或主机发送大量数据包，使得主机忙于处理这些无用的数据包而无法响应有用的信息；或者通过伪造绑定更新报文，不断地向被攻击的家乡代理发起攻击，使得合法的数据不能加入到数据缓存，从而影响被攻击对象提供正常的服务；二是窃取信息攻击，这包含被动的侦听和主动的会话窃取，被动的侦听是未经授权的用户设法接入网络进行侦听；会话窃取攻击是攻击者在合法的用户进行会话的时候，通过假扮合法节点来窃取会话内容，攻击者通过把自己的实际地址作为转交地址、而不是移动节点真实的转交地址填到绑定更新报文中，向家乡代理发起注册绑定更新报文，达到用攻击者的终端来假冒合法的移动节点的目的，从而获得相应的保密信息。三是重放攻击，就是攻击者不断向被攻击者发送已经截获的合法的报文，例如攻击者将一个有效的注册请求消息保存之后，再重新发送这个消息来注册一个伪造的转交地址，使被攻击者在收到攻击报文后认为是合法报文而进行相应的处理，这样既可达到重放攻击的目的。移动ipv6的以上这些安全问题主要是因为在移动注册绑定的过程中，存在信息窃取的安全漏洞，虽然可以运用ipsec在网络层建立起安全连接和进行数据加密来提高网络安全管理的可扩展性，但ipsec配置和管理展开困难，特别是，对于跨多个区域的大规模、泛终端的企业网来
说，网络的安全问题仍然非常值得关注的严峻问题。要大规模部署支持跨域漫游的移动ipv6企业数据通信网，不仅要考虑移动终端漫游的无缝切换，也就是切换时延要尽可能的小，同时还必须解决移动ipv6设备接人的身份认证问题。
24.所以本发明的思想是结合企业分布式跨域通信网的系统结构，如图1所示，构建一个层次化的管理框架，分成全局和域内两种层次，采用集中式和分布式相结合的aaa认证系统实现漫游注册更新和认证的本地化，降低漫游切换时延的同时保证注册过程的安全性。此外，提供对用户行为进行追踪和审计，通过用户行为监控指进一步标验证用户的合法性。
25.根据本申请实施例的一方面，提供了一种基于ipv6跨域漫游的终端管理的方法实施例。该方法可以包括以下步骤：
26.当移动终端在全局网络中当前所在的局域网内改变链路转交地址时，移动终端向当前所在的局域网内的漫游锚节点发送绑定更新消息，绑定更新消息用于移动终端在当前所在的局域网内改变链路转交地址，全局网络包括多个局域网，每个局域网内设有用于表示区域代理的漫游锚节点。
27.可选地，在移动终端向当前所在的局域网内的漫游锚节点发送绑定更新消息之后，可利用移动终端向当前所在的局域网内的aaa服务器实施对移动终端的认证，其中，全局网络的每个局域网内设有aaa服务器，局域网内的aaa服务器用于对本局域网内的终端进行认证。
28.基于大规模支持跨域漫游的企业数据网结构，网络层构成全局和局部域的结构，如图1所示，基于此采用分层的接入认证管理架构如图2所示，实现以动漫有终端的注册信息绑定更新和认证注册过程的本地化，一方面可以减少漫游切换的时延，另一方面可以保证绑定更新过程的安全性。针对局部域内的移动漫游的注册绑定更新过程，本发明基于移动ipv6的分层扩展协议hmipv6实现，局部域内的移动锚节点作为该域内的代理，和raaa共同处理漫游注册过程。针对域内的漫游注册绑定更新，如图3所示，移动锚节点已经获知家乡地址，只需将新的转交地址与家乡地址绑定即可，认证通过同一个raaa服务器，因此省去了外地代理和家乡代理之间的长距离信息交互，大大降低漫游时延。针对域间的移动漫游的注册绑定更新过程，如图4所示，在本发明中，raaa作为haaa对移动终端进行注册时，会将注册信息与gaaa之间全局gaaa同步，使得gaaa具备全局移动终端的家乡注册信息。移动终端如果是跨域漫游，在首次跨域到某个局部域向该域的移动锚节点进行注册时，raaa没有该移动终端的用户信息，则局部域的认证管理系统将于全局管理系统进行信息交互，获取该移动终端的家乡地址和注册信息等，并返回该信息给该局部域，并返回注册认证结果。
29.在上述实施例中，利用移动终端向当前所在的局域网内的aaa服务器(raaa)实施对移动终端的认证包括：在移动终端的改变后的链路转交地址是移动终端当前所在的局域网内的地址的情况下，从移动终端当前所在的局域网内的aaa服务器获取移动终端的认证信息；利用移动终端从另一局域网进入当前所在的局域网时从全局网络的aaa服务器(gaaa)获得的移动终端的认证信息实施对移动终端的认证，其中，全局网络的aaa服务器用于管理所有局域网内终端的认证信息。
30.可选地，在从移动终端当前所在的局域网内的aaa服务器获取移动终端的认证信息之前，可在移动终端在当前所在的局域网内注册成功的情况下，当前所在的局域网内的aaa服务器将获取的移动终端的认证信息发送给全局网络的aaa服务器。
31.在上述实施例中，利用移动终端向当前所在的局域网内的aaa服务器实施对移动终端的认证包括：在移动终端的改变后的链路转交地址不是移动终端当前所在的局域网内的地址的情况下，移动终端当前所在的局域网内的aaa服务器从全局网络的aaa服务器获取移动终端的认证信息；移动终端当前所在的局域网内的aaa服务器利用从全局网络的aaa服务器获取的认证信息对移动终端进行认证。
32.同一个域内的漫游是相对于移动节点在此之前的接入位置而言，而不仅仅是相对于家乡域，即只要漫游接入的前后两次位置都属于同一个局部域，其注册更新就适用于域内注册绑定更新过程。
33.针对域间的移动漫游的注册绑定更新过程，是仅仅在首次跨域注册时，需要局部域与全局认证系统进行信息交互，此后该移动节点仍在该域内漫游移动时，则该局部域的认证管理系统即可提供注册更新服务。在本发明中，raaa(或haaa)和gaaa之间采用隧道的方式传输加密的数据，保证了认证服务器之间数据交互的安全性和完整性。
34.作为一种可选的实施例，下面结合具体的实施方式详述本申请的技术方案。
35.根据图2配置本发明的实施实例。本实施实例中采用两台服务器分别配置成raaa和gaaa，配置三台路由器分别作为局部域代理、家乡域代理和全局代理。如图3、图4所示进行注册认证流程，移动终端和aaa服务器之间采用eap协议进行认证，以实现了端到端的安全。考虑到网络规模会比较大，无论是gaaa还是raaa的数据库都会比较大，对其进行信息查询会有较大的时延。所以在本设计的aaa服务器中对每个移动用户定义一个新的数据结构，命名为mndata，它存放包含每个移动终端用户认证授权信息的数据结构、每个用户的最基本信息、数据的生存期和时间戳。该数据结构如下：
36.typedefstructmndata
37.eap_identity_t*uname；表示用户名
38.eap_identity_t*realm；表示用户原始域名
39.str nonce；表示时间戳
40.unsigned long lifetime；表示生存时间
41.aaa-data aaadata；表示存放认证授权信息的对象
42.}aaamndata；
43.由mndata构成的列表数据结构如下：
44.typedefstruetmndata_list{
45.aaamndata*first；
46.aaamndata*last；
47.}aaa_mndata_list；
48.具体实施方案为：
49.1)移动终端向接入路由器ar发送接入请求消息。移动终端初始化radius认证过程，并使用加密算法运算和共享密钥以构造安全认证信息。
50.2)接入路由器向局部域内的raaa服务器发送aaa请求(request)消息。包括认证、绑定更新、nai信息和安全信息等。
51.3)raaa发送绑定更新请求(bur)给局部域内的代理(ra)。raaa根据数据库中的用户信息验证认证信息，若查到用户信息允许通过验证，则raaa同时向局部域内的代理(ra)
发送bur，进行漫游注册。
52.4)若raaa查询不到用户信息，则生成更新请求数据包通过隧道以加密数据的形式向全局gaaa服务器(gaaa)转发(request)消息。
53.5)gaaa向raaa发回aaa应答消息(response)。
54.6)raaa缓存用户信息，并向局部域内的代理(ra)发回包含认证信息的绑定更新应答消息(bua)。
55.7)局部域内的代理(ra)向移动终端发回接入请求应答消息(response)。
56.本发明是一种基于ipv6跨域漫游的层次化接入认证方法，针对规模较大的跨域的企业，泛终端的监测数据基于移动ipv6接入进行数据通信，但移动ipv6协议本身对于域间漫游服务并不提供安全服务机制，因此，针对ipv6跨域漫游可能存在的安全隐患，提出一种层次化的接入认证方法，属于计算机网络安全领域。
57.本发明的主要特征在于：基于大规模支持跨域漫游的企业数据网结构，网络层构成全局和局部域的结构，如图1所示，基于此采用分层的接入认证管理架构如图2所示，实现以动漫有终端的注册信息绑定更新和认证注册过程的本地化，一方面可以减少漫游切换的时延，另一方面可以保证绑定更新过程的安全性。
58.针对局部域内的移动漫游的注册绑定更新过程，本发明基于移动ipv6的分层扩展协议hmipv6实现，局部域内的移动锚节点作为该域内的代理，和raaa共同处理漫游注册过程。针对域内的漫游注册绑定更新，如图3所示，移动锚节点已经获知家乡地址，只需将新的转交地址与家乡地址绑定即可，认证通过同一个raaa服务器，因此省去了外地代理和家乡代理之间的长距离信息交互，大大降低漫游时延。特别值得提出的是，这里在同一个域内的漫游是相对于移动节点在此之前的接入位置而言，而不仅仅是相对于家乡域，即只要漫游接入的前后两次位置都属于同一个局部域，其注册更新就适用于域内注册绑定更新过程。
59.针对域间的移动漫游的注册绑定更新过程，如图4所示，在本发明中，raaa作为haaa对移动终端进行注册时，会将注册信息与gaaa之间全局gaaa同步，使得gaaa具备全局移动终端的家乡注册信息。移动终端如果是跨域漫游，在首次跨域到某个局部域向该域的移动锚节点进行注册时，raaa没有该移动终端的用户信息，则局部域的认证管理系统将于全局管理系统进行信息交互，获取该移动终端的家乡地址和注册信息等，并返回该信息给该局部域，并返回注册认证结果。此后，该移动节点仍在该域内漫游移动时，则该局部域的认证管理系统即可提供注册更新服务。在本发明中，raaa(或haaa)和gaaa之间采用隧道的方式传输加密的数据，保证了认证服务器之间数据交互的安全性和完整性。
60.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。
61.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储
介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。
62.根据本申请实施例的另一个方面，还提供了一种用于实施上述基于ipv6跨域漫游的终端管理方法的基于ipv6跨域漫游的终端管理装置。该装置可以包括：
63.发送单元，用于当移动终端在全局网络中当前所在的局域网内改变链路转交地址时，指示所述移动终端向当前所在的局域网内的漫游锚节点发送绑定更新消息，其中，所述绑定更新消息用于所述移动终端在当前所在的局域网内改变链路转交地址，所述全局网络包括多个局域网，每个局域网内设有用于表示区域代理的漫游锚节点。
64.此处需要说明的是，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在硬件环境中，可以通过软件实现，也可以通过硬件实现。
65.本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-only memory，rom)、随机存取器(random access memory，ram)、磁盘或光盘等。
66.可选地，本实施例中的具体示例可以参考上述实施例中所描述的示例，本实施例在此不再赘述。
67.可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
68.上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。
69.上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在上述计算机可读取的存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在存储介质中，包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
70.在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
71.在本申请所提供的几个实施例中，应该理解到，所揭露的客户端，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
72.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
73.另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
74.以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。