CN100414929C - 一种移动互联网协议网络中的报文传送方法 - Google Patents
一种移动互联网协议网络中的报文传送方法 Download PDFInfo
- Publication number
- CN100414929C CN100414929C CNB2005100553138A CN200510055313A CN100414929C CN 100414929 C CN100414929 C CN 100414929C CN B2005100553138 A CNB2005100553138 A CN B2005100553138A CN 200510055313 A CN200510055313 A CN 200510055313A CN 100414929 C CN100414929 C CN 100414929C
- Authority
- CN
- China
- Prior art keywords
- message
- fire compartment
- compartment wall
- mobile node
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
- H04W80/045—Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/06—Transport layer protocols, e.g. TCP [Transport Control Protocol] over wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
本发明公开了一种移动互联网协议网络中的报文传送方法,其特征在于,该方法包括以下步骤:A.移动节点向家乡代理发送一个只用网络安全IPsec协议封装的第一防火墙检测报文以及发送另一个用IPsec协议和用户数据报协议UDP封装的第二防火墙检测报文;B.移动节点根据接收到的分别针对第一和第二防火墙检测报文的防火墙检测应答报文,判断所述移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙,如果是,则继续执行绑定更新和报文交互,并采用UDP协议封装IPsec报文,否则,继续执行绑定更新和报文交互。应用本发明,当移动节点与家乡代理之间存在阻挡IPsec报文的防火墙时,移动节点和通信对端仍能够进行报文的交互。
Description
技术领域
本发明涉及移动互联网协议(MIP)技术,尤其涉及一种MIP网络中的报文传送方法。
背景技术
目前,随着硬件技术水平的不断提高,笔记本电脑、被称为掌上电脑的个人数字助理(PDA)以及移动电话等移动终端设备的使用越来越普及;另外,由于互联网(Internet)的飞速发展,网络不仅要为用户继续提供已有的数据业务、多媒体音视频业务等,还要为使用移动终端设备的移动用户提供无线互联网接入业务。为了实现移动节点在互联网协议(IP)网络中的可移动性,MIPv6协议应运而生。
参见图1,在MIPv6网络中,主要包括移动节点、通信对端以及家乡代理等网络实体。其中,移动节点是指一个移动终端设备;通信对端是指与移动节点进行通信的节点,它既可以是移动的,也可以是固定的;家乡代理是运行在移动节点的家乡网络链路上的路由器,它能够从家乡链路上截获发送给移动节点的报文,并将所截获的报文转发给移动节点。在MIPv6网络中,每个移动节点都具有一个被称为是家乡地址的永久IP地址,家乡地址不随移动节点的位置改变而发生变化;另外,当移动节点处于外地网络时,还具有一个转交地址,即移动节点为标识自身所处的位置而使用的临时地址,转交地址随着移动节点的位置改变而发生变化。
为了能够实现移动节点与通信对端之间的互通,家乡地址与移动节点当前所使用的转交地址之间要进行绑定,并且在转交地址发生改变时,重新建立家乡地址与当前转交地址之间的绑定关系。上述家乡地址与转交地址之间的绑定通过协议规定的绑定更新过程得以实现。参见图2,现有的绑定更新过程包括以下步骤:
步骤201.移动节点向家乡代理发送绑定更新报文(BU),对家乡地址与当前的转交地址进行绑定。
本步骤的BU报文中携带了以下信元:
1.序列号(seq#):家乡代理使用序列号标识BU的顺序,移动节点根据序列号对发出的BU与接收到的绑定更新确认报文(BA)进行配对。
2.生存时间(Lifetime):表明该BU的有效时间,即当前时间与该BU的失效时间之间的差值。如果生存时间为0,则家乡代理将删除该BU所对应的绑定。
3.更新转交地址选项(Alternate-of Address option):表明所要更新的转交地址。尽管通常情况下,BU的源地址即为所要更新的转交地址,但是由于该源地址不受IPsec协议的保护,则容易发生因受到攻击而被篡改的情况,因此MIPv6协议通过本处的更新转交地址选项,将转交地址携带于BU中,以受到IPsec协议的保护。
步骤202.家乡代理向移动节点返回BA报文,指明家乡代理对该BA所对应的BU的接受情况。
本步骤的BA消息携带了以下信元:
1.状态(Status):表明家乡代理对该BA所对应的BU的处理,例如,状态为0表示家乡代理接受了该BA对应的BU所请求的绑定更新。
2.seq#:用以标识相对应的BU和BA。
3.Lifetime:家乡代理通过BA中的Lifetime来将当前绑定所剩余的有效时间通知给移动节点。
4.绑定更新建议选项(Binding Refresh Advice option):家乡代理利用该选项来向移动节点指明需要再次发送BU以便刷新绑定的时间,绑定更新建议选项中所携带的时间值通常小于Lifetime的数值。
通过上述步骤201至202,移动节点与家乡代理通过交互,完成了对家乡地址和当前转交地址之间的绑定更新。并且,在家乡代理接受了移动节点所提出的绑定更新时,家乡代理在自身记录下该移动节点的家乡地址与当前转交地址的对应关系。
完成绑定更新后,移动节点与通信对端之间通过双向隧道模式或者路由最佳化模式实现报文的交互。其中双向隧道是指通过家乡代理在通信节点和移动节点间建立的数据包隧道。在通信对端不支持MIPv6、并且移动节点移动到外地网络的情况下,双向隧道模式能够确保移动节点总是能够被访问。路由最佳化是指在移动节点和支持MIPv6的通信对端间直接交互报文的过程。路由最佳化模式消除了与双向隧道相关联的传输延迟,并能够为具有时间要求的流量业务提供充足的性能,例如语音互联网协议业务(VoIP)等。
参见图1,移动节点和通信对端使用双向隧道模式以及路由最佳化模式实现报文交互的过程如下:
在双向隧道模式下,移动节点和家乡代理之间的报文以内部IP头和外部IP头来标明该报文的地址,上述两个IP头中均含有源地址和目的地址两个部分。当移动节点向通信对端发送报文时,在移动节点到家乡代理的报文中,其外部IP头的源地址为移动节点的当前转交地址、目的地址为家乡代理的地址;内部IP头的源地址为移动节点的家乡地址、目的地址为通信对端的地址。移动节点发出的报文首先根据外部IP头路由到家乡代理,家乡代理再将外部IP头去掉,并根据内部IP头的目的地址,将内部IP头和该报文的其余部分转发给通信对端,从而实现移动节点到通信对端的报文传送。当通信对端向移动节点发送报文时,通信对端发出的报文中只包含一个IP头,其中的源地址为通信对端的地址,目的地址为移动节点的家乡地址;家乡代理截获该报文后,在原来的IP头外部再封装一个IP头,封装的IP头的源地址是家乡代理的地址、目的地址是移动节点的当前转交地址;而后,经过家乡代理封装后的报文再路由到移动节点,从而实现通信对端到移动节点的报文传送。至此,完成了移动节点与通信对端在双向隧道模式下的报文交互。
在路由最佳化模式下,交互报文之前,移动节点需要在通信对端上注册家乡地址与当前转交地址的绑定关系,此后从通信对端到移动节点的报文以通信对端的地址作为源地址、以移动节点的当前转交地址作为目的地址;并且移动节点到通信对端的报文中将当前的转交地址作为源地址、将通信对端的地址作为目的地址。当通信对端向移动节点发送报文时,首先通信对端在自身所保存的绑定关系中进行检索,找到移动节点的当前转交地址;然后,通信对端直接将该报文发送到移动节点的当前转交地址上,使得该报文到达移动节点。当移动节点向通信终端发送报文时,来自于移动节点的报文直接被发送到通信对端上。至此,实现了移动节点与通信对端在路由最佳化模式下的报文交互。
目前,信息安全问题越来越受到人们的关注,因此防火墙被广泛的应用于网络的各个环节中。所谓防火墙是指位于多个网络之间、实施网络间访问控制的一组组件的集合。在包含防火墙的网络中,内部网络和外部网络之间的所有网络数据流均必须经过防火墙,只有符合安全策略的数据流才能够通过防火墙,并且防火墙自身具有较强的抗攻击免疫力。
防火墙在工作时,根据报文中的传输控制协议(TCP)/用户数据报协议(UDP)部分中所表明的端口号,判断该报文的连接类型,如果该连接是安全的且被允许通过,则防火墙允许该报文穿越,否则,将该报文直接丢弃。
在图1所示的MIPv6网络中,如果移动节点与家乡代理之间存在防火墙,则两者之间所有的报文均需经过防火墙的过滤,并且只有防火墙允许穿越的报文,才能够到达目的地;而那些不符合防火墙穿越条件的报文则被防火墙直接丢弃。如表1所示,采用网络安全(IPsec)协议封装的移动节点与家乡代理之间的报文包括IP地址、封装安全载荷协议(ESP)、TCP/UDP以及数据(Data)等部分。其中ESP、TCP/UDP以及Data部分均是经过IPsec协议加密的。当不支持IPsec协议的防火墙接收到上述格式的报文时,由于无法从该报文中获取到TCP/UDP端口号,而无法判断该报文的安全性,则不允许上述IPsec报文通过。因此不支持IPsec的防火墙的存在阻挡了移动节点与家乡代理之间的正常通信。
| IP | ESP | TCP/UDP | Data |
表1
可见,现有的MIPv6网络的数据报文传送方法中存在的缺点是:当家乡代理与移动节点之间存在不支持IPsec协议的防火墙时,移动节点发送给家乡代理的BU报文将被直接丢弃,家乡代理也由于接收不到BU报文而无法进行家乡地址与转交地址的绑定更新。在绑定更新失败的情况下,无论采用双向隧道模式还是路由最佳化模式,移动节点与通信对端之间无法实现报文的交互。另外,采用双向隧道模式时,报文的传送路径为:移动节点-家乡代理-通信对端,或者通信对端-家乡代理-移动节点,由于家乡代理与移动节点之间存在不支持IPsec协议的防火墙,则无法正常进行报文的交互。
发明内容
有鉴于此,本发明的目的在于提供一种MIP网络中的报文传送方法,当移动节点与家乡代理之间存在不支持IPsec协议的防火墙时,移动节点和通信对端仍能够进行报文的交互。
为实现上述目的,本发明提供了一种MIP网络中的报文传送方法,用于在移动节点与通信对端之间传送报文,其特征在于,该方法包括以下步骤:
A.移动节点向家乡代理发送一个只用网络安全IPsec协议封装的第一防火墙检测报文以及发送另一个用IPsec协议和用户数据报协议UDP封装的第二防火墙检测报文;
B.移动节点根据接收到的来自家乡代理的分别针对第一和第二防火墙检测报文的第一和第二防火墙检测应答报文,判断所述移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙,如果是,则继续执行移动节点与家乡代理间的绑定更新和移动节点与通信对端间的报文交互,并采用UDP协议封装IPsec报文,使移动节点与通信对端之间的报文穿越所述防火墙,否则,继续执行移动节点与家乡代理间的绑定更新和移动节点与通信对端间的报文交互。
步骤B所述判断所述移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙的方法为:
B1.当接收到第一防火墙检测应答报文时,判定所述移动节点与家乡代理之间不存在阻挡IPsec报文的防火墙;当没有接收到第一防火墙检测应答报文时,判定所述移动节点与家乡代理之间存在阻挡IPsec报文的防火墙。
所述第一防火墙检测报文中携带有标识;所述步骤B1之前,该方法进一步包括:家乡代理向移动节点返回第一防火墙检测应答报文时,在所述第一防火墙检测应答报文中加入与所述第一防火墙检测报文相同的标识。
步骤B1中接收到第一防火墙检测应答报文的确定方法为:
对所接收到的第一防火墙检测应答报文和/或第二防火墙检测应答报文进行解析,若所接收到的报文中携带有标识,则将所接收到的报文中携带的标识提取出来,并与发送出去的第一防火墙检测报文中包含的所述标识相比较,如果一致,则判定接收到了第一防火墙检测应答报文;否则,判定未接收到第一防火墙检测应答报文。
预先设置最大重发次数,则所述步骤B中进一步包括:
判断移动节点是否既未接收到第一防火墙检测应答报文、又未接收到第二防火墙检测应答报文,如果是,则判断是否超过最大重发次数,如果超过,则结束本报文传送流程,如果未超过,则将重发次数加1,返回执行所述步骤A。
所述第二防火墙检测报文包括:UDP部分,用于携带该报文的UDP端口号;
所述第二防火墙检测应答报文进一步包括:UDP部分,用于携带该报文的UDP端口号。
所述采用UDP协议封装IPsec报文的方法为:
将所述IPsec报文中的传输控制协议TCP/UDP部分在未加密时所代表的信息保存于UDP部分中,并插入到所述IPsec报文中。
应用本发明,当移动节点与家乡代理之间存在不支持IPsec协议的防火墙时,移动节点和通信对端仍能够进行报文的交互。具体而言,本发明具有如下有益效果:
1.本发明在进行绑定更新和报文交互之前,移动节点向家乡代理发送一个用UDP协议封装的防火墙检测(FD,Firewall Detection)报文和一个未用UDP协议封装的FD报文,并根据接收到的防火墙检测应答(FDR,Firewall Detection Reply)报文,判断移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙,并在存在上述防火墙的情况下,使用UDP协议对后续的所有报文进行封装,从而保证MIP网络中的报文传送不会因为防火墙的存在而中断。
2.本发明只有在确定了移动节点与家乡代理之间存在阻挡IPsec报文的防火墙时,才用UDP协议封装报文,而非对所有报文均进行UDP协议的封装,即能够动态配置UDP封装,减轻了网络负担,减少网络资源的消耗。
附图说明
图1为MIPv6网络结构示意图;
图2为现有的MIP网络中报文传送方法的绑定更新信令流程图;
图3为本发明的MIP网络中报文传送方法流程图。
具体实施方式
为使本发明的目的、技术方案更加清楚明白,以下参照附图并举实施例,对本发明做进一步的详细说明。
本发明为一种MIP网络中的报文传送方法,其基本思想是:在进行绑定更新之前,移动节点向家乡代理发送两个FD报文,其中一个FD报文采用IPsec协议加密,另一个FD报文采用IPsec协议加密并用UDP协议封装,移动节点根据接收到的FDR报文,判断移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙,如果是,则执行后续的绑定更新和报文交互过程,并使用UDP协议封装所有报文;否则,执行后续的绑定更新和报文交互过程。
本发明中,经过UDP封装的IPsec报文的格式如表2所示。
| IP | UDP | ESP | TCP/UDP | Data |
表2
其中UDP部分保存的是TCP/UDP部分未加密时所代表的信息。可见,不支持IPsec的防火墙在接收到经过UDP协议封装的报文时,由于能够从UDP部分获取到该报文的TCP/UDP端口号,从而能够识别该报文的安全性。因此经过UDP协议封装的报文不会由于其TCP/UDP部分的加密而无法穿越不支持IPsec的防火墙。
基于上述思想,本发明在MIP网络报文传送之前,通过一个经过UDP封装的FD报文和一个未经过UDP协议封装的FD报文来检测防火墙的存在。
参见图3,本发明MIP网络中的报文传送方法包括以下步骤:
步骤301.移动节点向家乡代理发送第一FD报文和第二FD报文,其中第一FD报文只用IPsec协议封装,第二FD报文用IPsec协议和UDP协议封装。
本步骤中,当移动节点与家乡代理之间存在不支持IPsec的防火墙时,经过UDP封装的第二FD报文能够穿越该防火墙到达家乡代理,而未用UDP协议封装的第一FD报文则被丢弃。并且,为了在后续步骤中便于分辨发出的FD报文与接收到的FDR报文间的对应关系,本步骤中的第一和第二FD报文中均携带有cookie标识。只有含有相同cookie标识的FD和FDR才能够相互对应。另外,本步骤中用UDP协议封装的第二FD报文是指:在未用UDP协议封装的FD报文中插入UDP部分,该UDP部分携带有该报文的UDP端口号,以便阻挡IPsec报文的防火墙能够进行识别,并允许该报文穿越。
步骤302~304.判断移动节点是否接收到FDR报文,如果是,则执行步骤305;否则,判断是否超过最大重发次数,如果超过,则结束本报文传送流程,如果未超过,则将重发次数加1,并返回执行步骤301。
家乡代理每收到一个FD报文,都会向移动节点返回一个FDR报文,并且接收到用UDP封装的第二FD报文时,返回一个用UDP封装的第二FDR报文;接收到未用UDP封装的第一FD报文时,返回一个未用UDP封装的第一FDR报文。另外,FDR报文中所携带的cookie标识与对应的FD报文中的cookie标识相同。在网络正常的情况下,移动节点都会接收到FDR报文;但是,当网络状况比较恶劣时,步骤301中所发出的两个FD报文均丢失,则家乡代理不会向移动节点返回FDR报文。
当移动节点接收不到FDR报文时,可以采用重发FD报文的方法来达到有效的检测防火墙的目的。为了避免多次重发报文,网络管理者预先设置最大重大次数。只有在重发FD报文的次数小于等于该最大重发次数时,才将重发次数加1后,返回执行步骤301,再次发送FD报文。
步骤305~307.判断是否接收到与只用IPsec协议封装的第一FD相对应的第一FDR报文,如果是,则执行后续的绑定更新和报文交互;否则,执行绑定更新和报文交互,并采用UDP协议封装所有的报文。
此处判断是否接收到与只用IPsec协议封装的第一FD相对应的第一FDR报文的方法为:移动节点对所接收到的FDR进行解析,将其中所携带的cookie标识提取出来,并与发送出去的未用UDP协议封装的第一FD报文中包含的cookie标识相比较,如果一致,则判定接收到了与只用IPsec协议封装的第一FD相对应的第一FDR报文,表明移动节点与家乡代理之间不存在防火墙或者存在的防火墙支持IPsec协议;否则,判定未接收到与只用IPsec协议封装的第一FD相对应的第一FDR报文,表明移动节点之间存在不支持IPsec协议的防火墙。
当存在不支持IPsec协议的防火墙时,继续执行绑定更新过程以及MIP网络中的报文交互过程。但是与现有的绑定更新过程及报文交互过程所不同的是:为了保证各个IPsec报文能够穿越防火墙,此处将所有的IPsec报文都用UDP协议进行封装,即将各个报文中的TCP/UDP部分在未加密时所代表的信息保存于UDP部分中,并插入到报文中。当不存在防火墙或者存在的防火墙支持IPsec协议时,由于IPsec报文能够被顺利发送,因此继续执行现有的绑定更新以及报文交互。
至此,本发明MIP网络中的报文传送过程完成。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1. 一种移动互联网协议网络中的报文传送方法,用于在移动节点与通信对端之间传送报文,其特征在于,该方法包括以下步骤:
A.移动节点向家乡代理发送一个只用网络安全IPsec协议封装的第一防火墙检测报文以及发送另一个用IPsec协议和用户数据报协议UDP封装的第二防火墙检测报文;
B.移动节点根据接收到的来自家乡代理的分别针对第一和第二防火墙检测报文的第一和第二防火墙检测应答报文,判断所述移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙,如果是,则继续执行移动节点与家乡代理间的绑定更新和移动节点与通信对端间的报文交互,并采用UDP协议封装IPsec报文,使移动节点与通信对端之间的报文穿越所述防火墙,否则,继续执行移动节点与家乡代理间的绑定更新和移动节点与通信对端间的报文交互。
2. 如权利要求1所述的方法,其特征在于,步骤B所述判断所述移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙的方法为:
B1.当接收到第一防火墙检测应答报文时,判定所述移动节点与家乡代理之间不存在阻挡IPsec报文的防火墙;当没有接收到第一防火墙检测应答报文时,判定所述移动节点与家乡代理之间存在阻挡IPsec报文的防火墙。
3. 如权利要求2所述的方法,其特征在于,所述第一防火墙检测报文中携带有标识;
所述步骤B1之前,该方法进一步包括:家乡代理向移动节点返回第一防火墙检测应答报文时,在所述第一防火墙检测应答报文中加入与所述第一防火墙检测报文相同的标识。
4. 如权利要求3所述的方法,其特征在于,步骤B1中接收到第一防火墙检测应答报文的确定方法为:
对所接收到的第一防火墙检测应答报文和/或第二防火墙检测应答报文进行解析,若所接收到的报文中携带有标识,则将所接收到的报文中携带的标识提取出来,并与发送出去的第一防火墙检测报文中包含的所述标识相比较,如果一致,则判定接收到了第一防火墙检测应答报文;否则,判定未接收到第一防火墙检测应答报文。
5. 如权利要求1所述的方法,其特征在于,预先设置最大重发次数,则所述步骤B中进一步包括:
判断移动节点是否既未接收到第一防火墙检测应答报文、又未接收到第二防火墙检测应答报文,如果是,则判断是否超过最大重发次数,如果超过,则结束本报文传送流程,如果未超过,则将重发次数加1,返回执行所述步骤A。
6. 如权利要求1所述的方法,其特征在于,所述第二防火墙检测报文包括:UDP部分,用于携带该报文的UDP端口号;
所述第二防火墙检测应答报文进一步包括:UDP部分,用于携带该报文的UDP端口号。
7. 如权利要求1所述的方法,其特征在于,步骤B所述采用UDP协议封装IPsec报文的方法为:
将所述IPsec报文中的传输控制协议TCP/UDP部分在未加密时所代表的信息保存于UDP部分中,并插入到所述IPsec报文中。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100553138A CN100414929C (zh) | 2005-03-15 | 2005-03-15 | 一种移动互联网协议网络中的报文传送方法 |
| DE602006019827T DE602006019827D1 (de) | 2005-03-15 | 2006-02-20 | Verfahren und vorrichtung zur nachrichtenübertragung in einem mobile-ip-netz |
| PCT/CN2006/000238 WO2006097031A1 (fr) | 2005-03-15 | 2006-02-20 | Procede de transmission de message dans le reseau du protocole internet mobile |
| EP06705659A EP1853031B1 (en) | 2005-03-15 | 2006-02-20 | Method and apparatus for transmitting messages in a mobile internet protocol network |
| AT06705659T ATE497334T1 (de) | 2005-03-15 | 2006-02-20 | Verfahren und vorrichtung zur nachrichtenübertragung in einem mobile-ip-netz |
| US11/855,696 US8015603B2 (en) | 2005-03-15 | 2007-09-14 | Method and mobile node for packet transmission in mobile internet protocol network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100553138A CN100414929C (zh) | 2005-03-15 | 2005-03-15 | 一种移动互联网协议网络中的报文传送方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1835474A CN1835474A (zh) | 2006-09-20 |
| CN100414929C true CN100414929C (zh) | 2008-08-27 |
Family
ID=36991275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100553138A Expired - Fee Related CN100414929C (zh) | 2005-03-15 | 2005-03-15 | 一种移动互联网协议网络中的报文传送方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8015603B2 (zh) |
| EP (1) | EP1853031B1 (zh) |
| CN (1) | CN100414929C (zh) |
| AT (1) | ATE497334T1 (zh) |
| DE (1) | DE602006019827D1 (zh) |
| WO (1) | WO2006097031A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8144645B2 (en) * | 2005-12-23 | 2012-03-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for route optimization in a telecommunication network |
| CN101399754B (zh) * | 2007-09-28 | 2011-04-20 | 华为技术有限公司 | 一种移动ip穿越防火墙的方法及设备 |
| CN101150511B (zh) * | 2007-10-26 | 2011-09-07 | 杭州华三通信技术有限公司 | 网络节点发送协议报文的方法及装置 |
| CN101534289B (zh) * | 2008-03-14 | 2012-05-23 | 华为技术有限公司 | 防火墙穿越方法、节点设备和系统 |
| CN102149086B (zh) * | 2010-02-10 | 2014-01-08 | 华为技术有限公司 | 一种移动ip节点的地址更新方法及ip节点设备 |
| CN102932767B (zh) * | 2011-08-11 | 2017-02-01 | 中兴通讯股份有限公司 | 一种信息传输方法、分组数据网关及策略和计费规则功能 |
| US9100324B2 (en) * | 2011-10-18 | 2015-08-04 | Secure Crossing Research & Development, Inc. | Network protocol analyzer apparatus and method |
| TWI535246B (zh) * | 2015-03-05 | 2016-05-21 | 智邦科技股份有限公司 | 封包傳輸方法 |
| US11539668B2 (en) * | 2020-06-03 | 2022-12-27 | Juniper Networks, Inc. | Selective transport layer security encryption |
| CN116723037A (zh) | 2020-06-03 | 2023-09-08 | 瞻博网络公司 | 选择性的传送层安全加密 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2317792A (en) * | 1996-09-18 | 1998-04-01 | Secure Computing Corp | Virtual Private Network for encrypted firewall |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| EP1424828A2 (en) * | 2002-11-28 | 2004-06-02 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
Family Cites Families (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
| FI105753B (fi) * | 1997-12-31 | 2000-09-29 | Ssh Comm Security Oy | Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa |
| US7032242B1 (en) * | 1998-03-05 | 2006-04-18 | 3Com Corporation | Method and system for distributed network address translation with network security features |
| US6957346B1 (en) * | 1999-06-15 | 2005-10-18 | Ssh Communications Security Ltd. | Method and arrangement for providing security through network address translations using tunneling and compensations |
| US7051365B1 (en) * | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
| US7023863B1 (en) * | 1999-10-29 | 2006-04-04 | 3Com Corporation | Apparatus and method for processing encrypted packets in a computer network device |
| US7058973B1 (en) * | 2000-03-03 | 2006-06-06 | Symantec Corporation | Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses |
| US6668282B1 (en) * | 2000-08-02 | 2003-12-23 | International Business Machines Corporation | System and method to monitor and determine if an active IPSec tunnel has become disabled |
| WO2002042861A2 (en) * | 2000-11-13 | 2002-05-30 | Ecutel, Inc. | System and method for secure network mobility |
| US20020083344A1 (en) * | 2000-12-21 | 2002-06-27 | Vairavan Kannan P. | Integrated intelligent inter/intra networking device |
| US7246175B1 (en) * | 2001-12-07 | 2007-07-17 | Cisco Technology, Inc. | IPv6 over MPLS IPv4 core |
| US7079520B2 (en) * | 2001-12-28 | 2006-07-18 | Cisco Technology, Inc. | Methods and apparatus for implementing NAT traversal in mobile IP |
| US20030135616A1 (en) * | 2002-01-11 | 2003-07-17 | Carrico Sandra Lynn | IPSec Through L2TP |
| US7181612B1 (en) * | 2002-01-17 | 2007-02-20 | Cisco Technology, Inc. | Facilitating IPsec communications through devices that employ address translation in a telecommunications network |
| US7979528B2 (en) * | 2002-03-27 | 2011-07-12 | Radvision Ltd. | System and method for traversing firewalls, NATs, and proxies with rich media communications and other application protocols |
| US7188365B2 (en) * | 2002-04-04 | 2007-03-06 | At&T Corp. | Method and system for securely scanning network traffic |
| US7095738B1 (en) * | 2002-05-07 | 2006-08-22 | Cisco Technology, Inc. | System and method for deriving IPv6 scope identifiers and for mapping the identifiers into IPv6 addresses |
| US7143188B2 (en) * | 2002-06-13 | 2006-11-28 | Nvidia Corporation | Method and apparatus for network address translation integration with internet protocol security |
| US7310356B2 (en) * | 2002-06-24 | 2007-12-18 | Paradyne Corporation | Automatic discovery of network core type |
| US7346770B2 (en) * | 2002-10-31 | 2008-03-18 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
| US7283542B2 (en) * | 2002-11-15 | 2007-10-16 | Nortel Networks Limited | Network address translator and secure transfer device for interfacing networks |
| US7305481B2 (en) * | 2003-01-07 | 2007-12-04 | Hexago Inc. | Connecting IPv6 devices through IPv4 network and network address translator (NAT) using tunnel setup protocol |
| US20040148428A1 (en) * | 2003-01-28 | 2004-07-29 | George Tsirtsis | Methods and apparatus for supporting an internet protocol (IP) version independent mobility management system |
| US6865184B2 (en) * | 2003-03-10 | 2005-03-08 | Cisco Technology, Inc. | Arrangement for traversing an IPv4 network by IPv6 mobile nodes |
| JP2004364141A (ja) * | 2003-06-06 | 2004-12-24 | Hitachi Communication Technologies Ltd | Ipアドレス変換装置およびパケット転送装置 |
| US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
| US7559082B2 (en) * | 2003-06-25 | 2009-07-07 | Microsoft Corporation | Method of assisting an application to traverse a firewall |
| US7421734B2 (en) * | 2003-10-03 | 2008-09-02 | Verizon Services Corp. | Network firewall test methods and apparatus |
| US7685434B2 (en) * | 2004-03-02 | 2010-03-23 | Advanced Micro Devices, Inc. | Two parallel engines for high speed transmit IPsec processing |
| US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
| US7647492B2 (en) * | 2004-09-15 | 2010-01-12 | Check Point Software Technologies Inc. | Architecture for routing and IPSec integration |
| JP2006087039A (ja) * | 2004-09-17 | 2006-03-30 | Fujitsu Ltd | モバイルip通信端末装置およびモバイルip通信方法 |
| US20060294584A1 (en) * | 2005-06-22 | 2006-12-28 | Netdevices, Inc. | Auto-Configuration of Network Services Required to Support Operation of Dependent Network Services |
| ATE479299T1 (de) * | 2005-06-03 | 2010-09-15 | Ericsson Telefon Ab L M | Mobil-ipv6-routenoptimierung in verschiedenen adressenräumen |
| US7810149B2 (en) * | 2005-08-29 | 2010-10-05 | Junaid Islam | Architecture for mobile IPv6 applications over IPv4 |
| US8281385B2 (en) * | 2005-09-29 | 2012-10-02 | Rockwell Automation Technologies, Inc. | Internet friendly proxy server extending legacy software connectivity |
| CN1901449B (zh) * | 2006-07-19 | 2010-05-12 | 华为技术有限公司 | 一种网络接入的方法和网络通信系统 |
| US20090016246A1 (en) * | 2007-07-12 | 2009-01-15 | Motorola, Inc. | Method and apparatus for data transmission in an unlicensed mobile access network |
-
2005
- 2005-03-15 CN CNB2005100553138A patent/CN100414929C/zh not_active Expired - Fee Related
-
2006
- 2006-02-20 DE DE602006019827T patent/DE602006019827D1/de active Active
- 2006-02-20 WO PCT/CN2006/000238 patent/WO2006097031A1/zh not_active Application Discontinuation
- 2006-02-20 AT AT06705659T patent/ATE497334T1/de not_active IP Right Cessation
- 2006-02-20 EP EP06705659A patent/EP1853031B1/en not_active Not-in-force
-
2007
- 2007-09-14 US US11/855,696 patent/US8015603B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2317792A (en) * | 1996-09-18 | 1998-04-01 | Secure Computing Corp | Virtual Private Network for encrypted firewall |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| EP1424828A2 (en) * | 2002-11-28 | 2004-06-02 | NTT DoCoMo, Inc. | Communication control apparatus, firewall apparatus, and data communication method |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE497334T1 (de) | 2011-02-15 |
| EP1853031B1 (en) | 2011-01-26 |
| DE602006019827D1 (de) | 2011-03-10 |
| US20080069009A1 (en) | 2008-03-20 |
| EP1853031A4 (en) | 2008-07-09 |
| EP1853031A1 (en) | 2007-11-07 |
| US8015603B2 (en) | 2011-09-06 |
| CN1835474A (zh) | 2006-09-20 |
| WO2006097031A1 (fr) | 2006-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8422939B2 (en) | Efficient multicast control processing for a wireless network | |
| JP4715521B2 (ja) | 通信システム,及び呼制御サーバ | |
| JP4154615B2 (ja) | Sipサーバ共有モジュール装置、sipメッセージ中継方法、及びプログラム | |
| CN101346947B (zh) | 用于电信网络中路由优化的方法和设备 | |
| KR20020012049A (ko) | 이동 인터넷을 위한 라우팅 방법 | |
| US20040151135A1 (en) | Communication control apparatus, firewall apparatus, and data communication method | |
| JP2006033541A (ja) | 移動端末装置、サーバ、および通信システム | |
| US8015603B2 (en) | Method and mobile node for packet transmission in mobile internet protocol network | |
| WO2008094730A2 (en) | Optimized mobile-ipv6 encapsulation for wireless networks | |
| KR101561108B1 (ko) | 소프트웨어 정의 네트워크에 기반한 프록시 모바일 IPv6환경에서의 데이터 통신 방법 및 핸드오버 방법 | |
| EP1700430B1 (en) | Method and system for maintaining a secure tunnel in a packet-based communication system | |
| US7948927B2 (en) | Packet relay method and home agent | |
| CN101005698A (zh) | 一种移动IPv6中路由优化的方法和系统 | |
| US7623666B2 (en) | Automatic setting of security in communication network system | |
| JP2009153042A (ja) | WiMAXGW基地局装置及びWiMAXハンドオーバ制御システム | |
| US8644153B2 (en) | Infrastructure for mediation device to mediation device communication | |
| JP4911222B2 (ja) | 通信システム、通信システムにおける通信方法、及び中継装置 | |
| CN101465858A (zh) | 监控业务中实现私网穿越的方法、网络设备和服务器 | |
| US20110110306A1 (en) | Network system, mobile gateway, location management server, and communication control method of mobile node | |
| US7286542B2 (en) | Mobile communication network system, foreign agent router, address server and packet delivery method employed therein | |
| ATE500679T1 (de) | Weiterreichungsverfahren in einem mobilkommunikationssystem | |
| KR101911045B1 (ko) | 패킷 전송이 제한된 단말의 메시지 처리를 위한 장치 및 방법 | |
| JP5803718B2 (ja) | パケット経路制御装置 | |
| EP1686755A1 (en) | Filtering method and firewall system | |
| JP2019009637A (ja) | ネットワーク監視装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080827 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |