專利名稱:調(diào)整穿越設(shè)備的規(guī)則策略的方法��、系統(tǒng)及代理設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)����,尤其關(guān)于一種涉及調(diào)整穿越設(shè)備的規(guī)則策略的方 法、系統(tǒng)及代理設(shè)備�����。
背景技術(shù):
防火墻作為 一種網(wǎng)絡(luò)安全中間件�����,已經(jīng)成為IP (Internet Protocol)網(wǎng)絡(luò) 不可或缺的部分�,它通過對網(wǎng)絡(luò)的流量實(shí)施監(jiān)控,執(zhí)行相應(yīng)的過濾策略和接 入控制來保護(hù)內(nèi)部通信網(wǎng)元 它可以被視為由一些規(guī)則和策略組成的規(guī)則和 動(dòng)作庫���,通過這些規(guī)則和策略決定是允許網(wǎng)絡(luò)流量通過�,還是阻止其通過���。 防火墻的一個(gè)重要的作用是探測和防止拒絕服務(wù)攻擊�。
最早防火墻是針對IPv4 (Internet Protocol version"網(wǎng)絡(luò)設(shè)計(jì)的��,雖然現(xiàn) 在IP網(wǎng)絡(luò)主要還是IPv4占主導(dǎo)地位���,但隨著網(wǎng)絡(luò)地址的飽和,IPv6 (Internet Protocol version6 )網(wǎng)絡(luò)大面積部署�����,IPv6網(wǎng)絡(luò)大有取而代之的趨勢,移動(dòng) IPv6協(xié)議也正是基于IPv6網(wǎng)絡(luò)設(shè)計(jì)的 一套移動(dòng)會(huì)話管理協(xié)議�,但這帶來的一 個(gè)問題是針對IPv4網(wǎng)絡(luò)設(shè)計(jì)的防火墻并不支持MIPv6協(xié)議,隨著移動(dòng)節(jié)點(diǎn)離 開家鄉(xiāng)網(wǎng)絡(luò)��,進(jìn)入外地網(wǎng)絡(luò)�,移動(dòng)節(jié)點(diǎn)與對端節(jié)點(diǎn)之間的通信會(huì)涉及到防火 墻穿越的問題。同樣��,在固定網(wǎng)絡(luò)中�,如果通信網(wǎng)元的信息發(fā)生變化,同樣 需要所需要穿越的防火墻策略和規(guī)則進(jìn)行修改���,還有�,在IPv4網(wǎng)絡(luò)和IPv6網(wǎng)
絡(luò)進(jìn)行NAT穿越時(shí)�,如果通信網(wǎng)元的信息發(fā)生變化,也需要NAT設(shè)備上的防 火墻策略和規(guī)則進(jìn)行修改�,所以,需要一種動(dòng)態(tài)修改防火墻策略和規(guī)則的機(jī) 制�����,同時(shí)確保防火墻的安全功能。
現(xiàn)有技術(shù)給出 一 種在移動(dòng)IPv6協(xié)議環(huán)境下采用認(rèn)證�、授權(quán)和計(jì)費(fèi) (AAA: Authentication, Authorization and Accouting)才廣展十辦"i義解,央卩方火i嗇穿 越的方法�,該方法采用AAA擴(kuò)展協(xié)議,在組網(wǎng)框架層面及協(xié)議消息層面實(shí)現(xiàn) AAA與移動(dòng)IPv6兩種協(xié)議的綜合融合�,來達(dá)到動(dòng)態(tài)調(diào)整防火墻的過濾規(guī)則, 即家鄉(xiāng)域AAA服務(wù)器和外地域AAA服務(wù)器分別與家鄉(xiāng)域和外地域的IPv6防火 墻進(jìn)行溝通�,使得處于防火墻保護(hù)下、并使用移動(dòng)IPv6協(xié)議的各個(gè)網(wǎng)元實(shí)體 相互之間實(shí)現(xiàn)正常通信�。可參考圖l,圖l是現(xiàn)有技術(shù)的涉及防火墻穿越的報(bào) 文處理方法示意圖���;具體實(shí)現(xiàn)步驟如下
步驟l�、移動(dòng)節(jié)點(diǎn)MN向家鄉(xiāng)代理HA發(fā)送綁定更新(BU: Binding Update)報(bào)文�;
步驟2、服務(wù)點(diǎn)截獲所述BU報(bào)文���,向外地域的AAA服務(wù)器(AAAL)發(fā) 起對所述MN的認(rèn)證請求消息(AMR: AAA-Mobile-Request) >所述消息中 攜帶從所述BU報(bào)文中提取的MN對應(yīng)的家鄉(xiāng)地址(HoA)�、家鄉(xiāng)代理地址 (HA)���、網(wǎng)絡(luò)接入標(biāo)識(shí)(NAI)和認(rèn)證選項(xiàng)�,所述服務(wù)點(diǎn)部署在MN與MN對應(yīng)的 外地網(wǎng)絡(luò)邊緣的防火墻之間��,為了描述方面�,后續(xù)對MN對應(yīng)的外地網(wǎng)絡(luò)邊 緣的防火墻簡稱為防火墻A 。
步驟3�����、 AAAL向家鄉(xiāng)網(wǎng)絡(luò)的AAA服務(wù)器(AAAH)轉(zhuǎn)發(fā)所述AMR消息�����; 步驟4�����、 AAAH根據(jù)所述AMR消息攜帶的選項(xiàng)對MN進(jìn)行身份認(rèn)證��,當(dāng)所 述認(rèn)證通過后�,AAAH向家鄉(xiāng)域所管轄的防火墻發(fā)送防火墻策略修改消息 (AFR: AAA-Firewall-Request),為了描述方便�,后續(xù)對家鄉(xiāng)域所管轄的防 火墻筒稱為防火墻B。
步驟5���、防火墻B成功配置所述MN的過濾規(guī)則和策略后�,向AAAH發(fā)送 々務(wù)改完成消息(AFA: AAA-Firewall-Ack)�����。
步驟6 、 AAAH向AAAL發(fā)送請求消息(ACR: AAA-Conmiunication Request),所述ACR消息內(nèi)容為請求AAAL通知防火墻A修改對于所述MN的 過濾規(guī)則和策略���;
步驟7���、 AAAL向所述防火墻A發(fā)送AFR消息,調(diào)整所述防火墻A對于所 述MN的過濾身見則和策略��;
步驟8�、所述防火墻A成功配置所述MN的過濾規(guī)則和策略后,向AAAL發(fā) 送AFA消息�����。
步驟9�����、 AAAL收到防火墻A發(fā)來的所述AFA消息后����,向AAAH發(fā)送應(yīng)答 消息(ACA: AAA-Communication Ack ),用于作為AAAL完成防火墻A對 MN過濾規(guī)則和策略修改的應(yīng)答;
步驟IO�、 AAAH向AAAL發(fā)送對所述MN的認(rèn)證應(yīng)答消息(AMA: AAA-Mobile-Ack),所述AMA消息攜帶認(rèn)證結(jié)果�,所述認(rèn)證結(jié)果含有認(rèn)證成功與 否的狀態(tài)信息���;
步驟ll、 AAAL向服務(wù)點(diǎn)轉(zhuǎn)發(fā)AMA消息���;
步驟12��、如果所述認(rèn)證結(jié)果為認(rèn)證成功����,服務(wù)點(diǎn)向HA轉(zhuǎn)發(fā)所述BU消
息�����;
步驟13��、 HA向MN回復(fù)BA消息��;
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)�,由于上述方案只解決了隧道方式下 防火墻穿越的方法,對于路由優(yōu)化模式下��,MN與CN之間存在防火墻的情 形�����,AAAH服務(wù)器無法正常通知CN側(cè)的防火墻,導(dǎo)致CN側(cè)的防火墻無法調(diào) 整對MN的過濾規(guī)則和策略�;同時(shí),對于防火墻A而言�����,MN屬于防火墻A內(nèi) 部的節(jié)點(diǎn)���,所以通過AAAL來通知防火墻A來調(diào)整的過濾規(guī)則和策略是冗余 的�����;此外�����,由于防火墻A和防火墻B分別需要和AAAL和AAAH進(jìn)行通信����,所
以對防火墻的要求比較高��,即要求防火墻A和防火墻B都需要支持AAA擴(kuò)展協(xié) 議��。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實(shí)施例的主要目的是提供一種調(diào)整穿越設(shè)備的規(guī)則策 略的方法�����、系統(tǒng)及代理設(shè)備�����,能夠簡化現(xiàn)有調(diào)整穿越設(shè)備的規(guī)則策略的方 案��,且對現(xiàn)有穿越設(shè)備改動(dòng)較小����。
本發(fā)明實(shí)施例的目的是通過以下技術(shù)方案實(shí)現(xiàn)的
本發(fā)明實(shí)施例提供一種調(diào)整穿越設(shè)備規(guī)則策略的方法���,包括如下步驟 第一代理截獲第 一節(jié)點(diǎn)發(fā)送給第二節(jié)點(diǎn)的第一報(bào)文��;所述第一代理請求第二 認(rèn)證設(shè)備對所述第 一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證����;第二代理接收所述第二認(rèn)證設(shè)備 對所述第一節(jié)點(diǎn)的第一身份認(rèn)證結(jié)果����;當(dāng)所述第一身份認(rèn)證結(jié)果為通過時(shí)�����, 所述第二代理確定調(diào)整第二穿越設(shè)備的規(guī)則和策略���,并向所述第二穿越設(shè)備 下發(fā)所述規(guī)則和策略。
本發(fā)明實(shí)施例還提供一種調(diào)整穿越設(shè)備的規(guī)則策略的方法����,包括如下步 驟第一代理截獲第一節(jié)點(diǎn)向第三節(jié)點(diǎn)發(fā)送的第二報(bào)文;所述第一代理請求 第二認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)進(jìn)行身份認(rèn)證�����;所述第一代理接收所述第二認(rèn) 證設(shè)備的第二身份認(rèn)證結(jié)果��;當(dāng)所述第二身份認(rèn)證結(jié)果為通過時(shí)��,所述第一 代理向所述第三節(jié)點(diǎn)發(fā)送所述第二報(bào)文���;第三代理截獲所述第二報(bào)文�;所述 第三代理請求所述第三認(rèn)證設(shè)備對所述第 一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證����;第三代理
接收所述第三認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)的第三身份認(rèn)證結(jié)果�;當(dāng)所述第三身 份認(rèn)證結(jié)果為通過時(shí)�����,所述第三代理確定調(diào)整第三穿越設(shè)備的規(guī)則和策略���, 并向所述第三穿越設(shè)備下發(fā)所述規(guī)則和策略���。
此外,本發(fā)明實(shí)施例還提供一種代理設(shè)備��,包括截獲模塊����,用于截獲 節(jié)點(diǎn)發(fā)來的報(bào)文���;認(rèn)證請求模塊����,用于請求認(rèn)證設(shè)備對所述節(jié)點(diǎn)的身份進(jìn)行 認(rèn)證����,所述認(rèn)證設(shè)備所在的域和所述節(jié)點(diǎn)所在的域?qū)儆诓煌墓芾碛?����;?bào)文 處理模塊�,用于當(dāng)所述認(rèn)證未通過時(shí)��,丟棄所述報(bào)文��;或者當(dāng)所述認(rèn)證通過 時(shí)���,發(fā)送所述報(bào)文���。
此外,本發(fā)明實(shí)施例還提供一種代理設(shè)備����,包括如下模塊認(rèn)證接收模 塊,用于接收認(rèn)證設(shè)備發(fā)送的身份認(rèn)證結(jié)果����;策略調(diào)整模塊,用于當(dāng)所述身 份認(rèn)證結(jié)果為通過時(shí)�����,確定調(diào)整穿越設(shè)備的規(guī)則和策略;策略下發(fā)模塊��,用 于向所述穿越設(shè)備下發(fā)所述規(guī)則和策略�����;策略應(yīng)答模塊��,用于向所述認(rèn)證設(shè) 備發(fā)送調(diào)整所述穿越設(shè)備的規(guī)則和策略的信息��。
此外���,本發(fā)明實(shí)施例還提供一種代理設(shè)備���,包括截獲模塊���,用于截獲 節(jié)點(diǎn)發(fā)來的報(bào)文����;認(rèn)證請求模塊��,用于請求認(rèn)證設(shè)備對所述節(jié)點(diǎn)的身份進(jìn)行 認(rèn)證,所述認(rèn)證設(shè)備所在的域��、所述節(jié)點(diǎn)所在的域都屬于不同的管理域���;認(rèn) 證接收模塊��,用于接收所述認(rèn)證設(shè)備發(fā)送的身份認(rèn)證結(jié)果��;策略調(diào)整模塊��, 用于當(dāng)所述身份認(rèn)證結(jié)果為通過時(shí)����,確定調(diào)整穿越設(shè)備的規(guī)則和策略����;策略 下發(fā)模塊,用于向所述穿越設(shè)備下發(fā)所述規(guī)則和策略��;報(bào)文處理模塊����,用于
當(dāng)收到所述穿越設(shè)備完成修改的信息后,發(fā)送所述報(bào)文�����;當(dāng)未收到所述穿越
設(shè)備完成修改的信息后,丟棄所述報(bào)文���。
此外��,本發(fā)明實(shí)施例還提供一種調(diào)整穿越設(shè)備規(guī)則和策略的系統(tǒng)����,包
括第一節(jié)點(diǎn)�、第一代理、第二認(rèn)證設(shè)備�、第三代理和第二穿越設(shè)備;所述 第一節(jié)點(diǎn)�,用于發(fā)送第一報(bào)文;所述第一代理����,用于截獲所述第一報(bào)文,請 求對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證�����;所述第二認(rèn)證設(shè)備���,用于對所述第一節(jié) 點(diǎn)的身份進(jìn)行認(rèn)證����,發(fā)送身份認(rèn)證結(jié)果���;所述第二代理�����,用于接收所述身份 認(rèn)證結(jié)果����,根據(jù)所述身份認(rèn)證結(jié)果�,確定所述第二穿越設(shè)備的規(guī)則和策略, 向所述第二穿越設(shè)備下發(fā)所述規(guī)則和策略���;所述第二穿越設(shè)備����,用于接收所 述規(guī)則和策略�����。
此外,本發(fā)明實(shí)施例還提供另一種調(diào)整穿越設(shè)備規(guī)則和策略的系統(tǒng)��,包 括第一節(jié)點(diǎn)��、第一代理�、第二認(rèn)證設(shè)備、第三代理和第三穿越設(shè)備��;所述 第一節(jié)點(diǎn)��,用于發(fā)送第二報(bào)文�;所述第一代理,用于截獲所述第二報(bào)文�����,請 求對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證�,并當(dāng)?shù)诙矸菡J(rèn)證結(jié)果為通過時(shí),發(fā)送 所述第二報(bào)文�;所述第二認(rèn)證設(shè)備,用于對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證��, 發(fā)送所述第二身份認(rèn)證結(jié)果給所述第一代理����;所述第三代理,用于截獲所述 第二報(bào)文����,請求對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證,當(dāng)收到身份認(rèn)證結(jié)果為通 過時(shí)�����,確定第三穿越設(shè)備的規(guī)則和策略��,并向所述第三穿越設(shè)備下發(fā)所述規(guī) 則和策略�;所述第三穿越設(shè)備,用于接收所述規(guī)則和策略�。
本發(fā)明實(shí)施例通過引入認(rèn)證代理來對涉及穿越設(shè)備的報(bào)文實(shí)施認(rèn)證機(jī) 制,通過在穿越設(shè)備保護(hù)網(wǎng)絡(luò)附近引入策略代理來動(dòng)態(tài)調(diào)整穿越設(shè)備的規(guī)則和策略��,能解決移動(dòng)IPv6網(wǎng)絡(luò)環(huán)境中雙向隧道和路由優(yōu)化方式下涉及穿越設(shè)備的報(bào)文處理問題����,還可以解決固定網(wǎng)絡(luò)下動(dòng)態(tài)調(diào)整穿越設(shè)備的規(guī)則和策略,本發(fā)明實(shí)施例無需穿越設(shè)備支持AAA擴(kuò)展協(xié)議�����,對現(xiàn)有的穿越設(shè)備升級改動(dòng)較小����。
圖l是現(xiàn)有技術(shù)的涉及防火墻穿越的報(bào)文處理方法示意圖����; 圖2是本發(fā)明實(shí)施例的調(diào)整穿越設(shè)備的規(guī)則策略的方法流程圖��; 圖3是本發(fā)明實(shí)施例的涉及穿越設(shè)備的報(bào)文處理方法流程圖���; 圖4是本發(fā)明實(shí)施例的一代理設(shè)備的示意圖���; 圖5是本發(fā)明實(shí)施例的另 一代理設(shè)備的示意圖; 圖6是本發(fā)明實(shí)施例的又一代理設(shè)備的示意圖��; 圖7是本發(fā)明實(shí)施例的一調(diào)整穿越設(shè)備的規(guī)則策略的系統(tǒng)示意圖�����; 圖8是本發(fā)明實(shí)施例的涉及穿越設(shè)備的報(bào)文處理的系統(tǒng)示意圖��; 圖9是本發(fā)明實(shí)施例的另 一調(diào)整穿越設(shè)備的規(guī)則策略的系統(tǒng)示意圖����。
具體實(shí)施例方式
下面以移動(dòng)IPv6網(wǎng)絡(luò)環(huán)境下,移動(dòng)節(jié)點(diǎn)MN離開家鄉(xiāng)網(wǎng)絡(luò),在外地網(wǎng)絡(luò)與 對端節(jié)點(diǎn)CN通信需通過穿越設(shè)備為例進(jìn)行說明���,本發(fā)明實(shí)施例為了解決現(xiàn)有 方案的缺陷�����,在MN所在的外地域部署Proxy功能實(shí)體,為了后續(xù)描述方便���, 簡稱為ProxyA;在MN所屬的HA所在的家鄉(xiāng)域分別部署Proxy功能實(shí)體�����,為了
后續(xù)描述方便��,筒稱為ProxyB;此外���,為了解決路由優(yōu)化模式下的報(bào)文通過 穿越設(shè)備的問題,可以在對端節(jié)點(diǎn)CN所在的接入域部署Proxy功能實(shí)體���,為 了后續(xù)描述方便��,簡稱為ProxyC,此處對端節(jié)點(diǎn)CN所在的接入域是指對端節(jié) 點(diǎn)CN有可能在自己所屬的家鄉(xiāng)域���,也可能對端節(jié)點(diǎn)在外地域�,即離開自己所 屬的家鄉(xiāng)域����。所述ProxyA的作用主要是阻止拒絕服務(wù)攻擊(DOS: Denial of service),所述ProxyA會(huì)截獲處于外地域的MN發(fā)出報(bào)文所述報(bào)文,并至少提 取其中的NAI標(biāo)識(shí)�����,并向家鄉(xiāng)域的認(rèn)證設(shè)備或者對端節(jié)點(diǎn)CN所在接入域的認(rèn) 證設(shè)備請求i人證�,當(dāng)認(rèn)證不通過時(shí),則直4妄斷開所述MN對應(yīng)的會(huì)話和連 接����。所述ProxyB和所述ProxyC的作用主要是對MN的身份進(jìn)行認(rèn)證,并調(diào)整 和下發(fā)所在域的防火墻的過濾規(guī)則和策略����。固定網(wǎng)絡(luò)下涉及穿越設(shè)備的報(bào)文 處理方法和IPv4和IPv6網(wǎng)絡(luò)的NAT設(shè)備穿越問題的解決方案可以由以下實(shí)施 例的方案進(jìn)行簡單的變化得出。本發(fā)明實(shí)施例所提到的穿越設(shè)備����,可以為防 火墻,也可以為網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備(NAT: Network Address Translation),也 可以為虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)(VPN,Virtual Private Network)���。后續(xù)以穿越設(shè)備為防 火墻為例進(jìn)行說明�����。本發(fā)明實(shí)施例所提到的認(rèn)證設(shè)備����,可以為認(rèn)證、授權(quán)和 計(jì)費(fèi)服務(wù)器�,還可以是其它具有對身份進(jìn)行認(rèn)證功能的設(shè)備���。為了描述方 便��,MN所在家鄉(xiāng)域的認(rèn)證�、授權(quán)和計(jì)費(fèi)服務(wù)器簡稱為AAAH����, CN所在接入 域的認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)器簡稱為AAAF�����。為使本發(fā)明實(shí)施例的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,以下舉實(shí)施 例�,并參照附圖,對本發(fā)明實(shí)施例進(jìn)一步詳細(xì)說明��。
移動(dòng)IPv6協(xié)議提供的路由方式主要有兩種����,分別為雙向隧道4莫式和路由
優(yōu)化模式,以下分別討論這兩種路由方式下的防火墻穿越問題���。
一�、 雙向隧道方式下的防火墻穿越問題
雙向隧道方式下�,防火墻穿越問題主要涉及位于MN外地域和HA所在的 家鄉(xiāng)域,這里可以不考慮CN側(cè)的防火墻穿越問題����。因?yàn)镸N發(fā)出的報(bào)文通過 HA轉(zhuǎn)發(fā)給CN時(shí),是以HA為源地址的����,而HA—般是不變的,所以不存在動(dòng) 態(tài)修改防火墻的過濾規(guī)則和策略問題�����。所以為了實(shí)現(xiàn)在雙向隧道方式下防火 墻穿越問題,如上所述�,我們可以在MN的外地域部署ProxyA,在MN的家鄉(xiāng) 域部署ProxyB。具體的交互流程可參考圖2����,圖2是本發(fā)明實(shí)施例的調(diào)整穿越 設(shè)備的規(guī)則策略的方法流程圖。
步驟201����、第一代理截獲第一節(jié)點(diǎn)發(fā)送的第一報(bào)文;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)�����,第一代理以ProxyA,第一節(jié)點(diǎn)以MN, 第一報(bào)文以BU報(bào)文舉例���。ProxyA截獲MN向HA發(fā)送的BU報(bào)文;
步驟202��、所述第 一代理請求第二認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)
證��;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)��,第二認(rèn)證設(shè)備以家鄉(xiāng)域的認(rèn)證�、授權(quán)����、
計(jì)費(fèi)服務(wù)器(AAAH )舉例��。所述ProxyA提取所述向AAAH發(fā)起對MN的身份認(rèn)證請求消息�����,所述身份認(rèn)證請求消息包括所述BU報(bào)文中的NAI選項(xiàng)和目的 地址��;
步驟203���、第二代理接收所述第二認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)的第一身份認(rèn) 證結(jié)果��;當(dāng)所述第一身份認(rèn)證結(jié)果為通過時(shí)�����,所述第二代理確定調(diào)整第二防 火墻的規(guī)則和策略���,并向所述第二防火墻下發(fā)所述規(guī)則和策略;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)���,第二代理以ProxyB舉例�����,第二防火墻以 家鄉(xiāng)域的防火墻舉例�����。AAAH根據(jù)所述NAI選項(xiàng)對MN的身份進(jìn)行認(rèn)證�,且當(dāng) 所述目的地址為HA時(shí),AAAH將認(rèn)證結(jié)果發(fā)送給ProxyB;
所述ProxyB根據(jù)所述認(rèn)證結(jié)果�����,確定是否建立防火墻規(guī)則和策略�����;當(dāng)所 述i^證結(jié)果為認(rèn)證通過時(shí)����,ProxyB向家鄉(xiāng)域的防火墻發(fā)送調(diào)整針對所述MN 的規(guī)則和策略��;所述家鄉(xiāng)域的防火墻相應(yīng)地調(diào)整針對所述MN的規(guī)則和策 略�,并將調(diào)整完成的信息反饋給所述ProxyB;當(dāng)所述認(rèn)證結(jié)果為未通過時(shí), ProxyB確定為不調(diào)整針對所述MN的規(guī)則和策略�,所述ProxyB還可以向所述 家鄉(xiāng)域的防火墻發(fā)送所述MN認(rèn)證未通過的消息���,所述家鄉(xiāng)域的防火墻不調(diào) 整針對所述MN的規(guī)則和策略,并向所述ProxyB反饋應(yīng)答消息���;
步驟204����、所述第二代理發(fā)送應(yīng)答消息給所述第二認(rèn)證設(shè)備����;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí),所述ProxyB向AAAH反饋應(yīng)答消息��,所 述應(yīng)答消息含有家鄉(xiāng)域的防火墻對所述MN的規(guī)則和策略的處理結(jié)果��;
當(dāng)所述認(rèn)證結(jié)果為認(rèn)證通過且所迷ProxyB收到所述家鄉(xiāng)域防火墻的信息 反饋后���,向AAAH發(fā)送應(yīng)答消息�����,所述應(yīng)答消息含有家鄉(xiāng)域的防火墻調(diào)整完
所述家鄉(xiāng)域的防火墻的信息反饋后����,則向AAAH發(fā)送應(yīng)答消息,所述應(yīng)答消 息含有家鄉(xiāng)域的防火墻調(diào)整未完成的信息�;所述預(yù)定的時(shí)間可以根據(jù)服務(wù)質(zhì)
量的要求自行配置。
當(dāng)所述認(rèn)證結(jié)果為未通過時(shí)��,ProxyB可以直接向AAAH發(fā)送應(yīng)答消息���, 所述應(yīng)答消息含有無需調(diào)整防火墻規(guī)則和策略的信息��。當(dāng)ProxyB向所述家鄉(xiāng) 域的防火墻發(fā)送所述MN認(rèn)證未通過的消息����,所述家鄉(xiāng)域的防火墻向所述 ProxyB反饋應(yīng)答消息時(shí)��,所述ProxyB收到所述家鄉(xiāng)域防火墻的信息反饋后�, 然后向AAAH發(fā)送應(yīng)答消息,所述應(yīng)答消息含有無需調(diào)整防火墻規(guī)則和策略 的信息�����。
步驟205 ��、所述第 一代理接收所述第二認(rèn)證設(shè)備發(fā)送的所述身份認(rèn)證結(jié)果 和所述應(yīng)答消息的內(nèi)容����;當(dāng)所述應(yīng)答消息含有所述第二防火墻完成修改的信 息,則所述第一代理向所述第二節(jié)點(diǎn)發(fā)送所述第一報(bào)文���;當(dāng)所述應(yīng)答消息含 有所述第二防火墻未完成修改的信息�,則所述第一代理丟棄所述第一報(bào)文���。
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)����,AAAH將所述認(rèn)證結(jié)果和所述應(yīng)答消息 的內(nèi)容發(fā)送給ProxyA;所述ProxyA根據(jù)所述認(rèn)證結(jié)果和所述應(yīng)答消息的內(nèi)容 對所述BU報(bào)文進(jìn)行相應(yīng)的處理���;
當(dāng)所述認(rèn)證結(jié)果為未通過或所述應(yīng)答消息含有所述家鄉(xiāng)域的防火墻未完
成修改的信息�����,所述ProxyA丟棄所緩存的BU報(bào)文����;如果MN與CN的會(huì)話已經(jīng) 連接��,則斷開所述會(huì)話連接�����。
當(dāng)所述認(rèn)證結(jié)果為通過且所述應(yīng)答消息含有所述家鄉(xiāng)域的防火墻完成修 改的信息,所述ProxyA向HA發(fā)送所述BU報(bào)文�����;
當(dāng)所述HA收到所述BU凈艮文后���,可以向所述MN回復(fù)綁定確認(rèn)BA消息作
3是本發(fā)明實(shí)施例的涉及穿越設(shè)備的報(bào)文處理方法流程圖����; 二���、 路由優(yōu)化方式下的防火墻穿越問題
在路由優(yōu)化方式下�����,由于MN發(fā)往CN的報(bào)文不經(jīng)過HA,而直接發(fā)送給 CN,所以防火墻主要位于MN所在的外地域和CN所在的接入域���。為了實(shí)現(xiàn)路 由優(yōu)化方式下防火墻穿越問題,如上所述�����,我們可以在MN的外地域部署 ProxyA,在CN的接入域部署ProxyC�����。我們可以將路由優(yōu)化方式下的防火墻穿 越分為兩個(gè)子過程�,子過程一主要用于阻止拒絕服務(wù)攻擊����,子過程二主要用 于實(shí)現(xiàn)位于CN側(cè)的防火墻穿越。 (一)子過程一
當(dāng)MN和CN希望使用路由優(yōu)化方式通信時(shí)��,便會(huì)向CN發(fā)送HoTI和CoTI 消息���,其中所迷HoTI消息由HA轉(zhuǎn)發(fā)�。所以MN發(fā)往HA的消息按照上述提到 的方案實(shí)現(xiàn)家鄉(xiāng)域的防火墻的穿越��。
現(xiàn)在�,我們來解決MN發(fā)往CN的消息如何穿越CN側(cè)的防火墻。 步驟301 ����、第 一代理截獲第 一節(jié)點(diǎn)向第三節(jié)點(diǎn)發(fā)送的第二報(bào)文; 在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)���,第三節(jié)點(diǎn)以CN為例��,第二l艮文以CoTI為 例�,ProxyA截獲MN向CN發(fā)送的CoTI報(bào)文;
步驟302���、所述第一代理請求第二認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)進(jìn)行身份認(rèn)
證����;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)����,ProxyA向AAAH發(fā)起對MN的身份認(rèn)證請 求消息,所述身份認(rèn)證請求消息包括所述CoTI報(bào)文中的NAI選項(xiàng)和目的地 址�����;
步驟303 ��、所述第 一代理接收所述第二認(rèn)證設(shè)備的第二身份認(rèn)證結(jié)果��; 在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)���,AAAH根據(jù)所述NAI選項(xiàng)對MN的身份進(jìn)
行認(rèn)證�����,且當(dāng)所述CoTI的目的地址不為HA時(shí)�,AAAH將認(rèn)證結(jié)果直接返回給
所述ProxyA。
步驟304��、所述第一代理根據(jù)所述第二身份認(rèn)證結(jié)果對所述第二報(bào)文進(jìn)行 相應(yīng)地處理�����;當(dāng)所述第二身份認(rèn)證結(jié)果為通過時(shí)�����,所述第一代理向所述第三 節(jié)點(diǎn)所述第二"R文���;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí),所述ProxyA^^據(jù)所述認(rèn)證結(jié)果��,對所述 CoTI報(bào)文進(jìn)行相應(yīng)的處理�����。當(dāng)所述認(rèn)證結(jié)果為通過時(shí)�,ProxyA向CN發(fā)送所 述CoTI報(bào)文���;
當(dāng)所述認(rèn)證結(jié)果為未通過時(shí),所述ProxyA刪除所緩存的CoTI報(bào)文�;如果 MN與CN的會(huì)話已經(jīng)連接,則斷開所述會(huì)話連接�。 (二)子過程二
步驟401 、第三代理截獲所述第 一節(jié)點(diǎn)向第三節(jié)點(diǎn)發(fā)送的第二才艮文��;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)���,第三代理以ProxyC為例�,所述ProxyC截
獲所述轉(zhuǎn)交初始測試報(bào)文(CoTI: Care of Test Init)為例�����。
步驟402�、所述第三代理請求所述第三認(rèn)證設(shè)備對所述第 一節(jié)點(diǎn)的身份進(jìn)
行認(rèn)證;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)����,第三認(rèn)證設(shè)備以CN接入域的AAA服務(wù)器 為例。所述ProxyC向CN側(cè)的AAA服務(wù)器AAAF發(fā)起對MN的身份認(rèn)證請求消 息��,所述身份認(rèn)證請求消息包括所述CoTI報(bào)文中的NAI選項(xiàng)����;
步驟403 ���、第三代理接收所述第三認(rèn)證設(shè)備對所述第 一節(jié)點(diǎn)的第三身份認(rèn) 證結(jié)果;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)�,AAAF將所述身份認(rèn)證請求消息發(fā)給 AAAH, AAAH根據(jù)所述CoTI報(bào)文中的NAI選項(xiàng)對MN的身份進(jìn)行認(rèn)證,將認(rèn) 證結(jié)果返回給所述AAAF; AAAF將所述認(rèn)證結(jié)果返回給所述ProxyC;
此外���,在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)�,ProxyC也可以直接向AAAH發(fā)起 對MN的身份認(rèn)證請求消息��,所述身份認(rèn)證請求消息包括所述CoTI報(bào)文中的
NAI選項(xiàng)��,AAAH根據(jù)所述CoTI報(bào)文中的NAI選項(xiàng)對MN的身份進(jìn)行認(rèn)證���,將 認(rèn)證結(jié)果返回給所述ProxyC;
步驟404、當(dāng)所述第三身份認(rèn)證結(jié)果為通過時(shí)�,所述第三代理確定調(diào)整第 三防火墻的規(guī)則和策略,并向所述第三防火墻下發(fā)所述規(guī)則和策略�����;
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)�����,所述ProxyC根據(jù)所述認(rèn)證結(jié)果,確定是 否建立防火墻規(guī)則和策略����;當(dāng)所述認(rèn)證結(jié)果為認(rèn)證通過時(shí),ProxyC向CN接入 域的防火墻發(fā)送調(diào)整針對所述MN的規(guī)則和策略�;所述CN側(cè)的防火墻相應(yīng)地 調(diào)整針對所述MN的規(guī)則和策略,并將調(diào)整完成的信息反饋給所述ProxyC;
當(dāng)所述認(rèn)證結(jié)果為未通過時(shí)����,ProxyC確定所述CN接入域的防火墻不調(diào)整 針對所述MN的規(guī)則和策略,還可以向所述CN接入域的防火墻發(fā)送所述MN 認(rèn)證未通過的消息���,所述CN接入域的防火墻不調(diào)整針對所述MN的規(guī)則和策 略并向所述ProxyC反饋應(yīng)答消息�;
步驟405���、當(dāng)所述第三代理收到所述第三防火墻完成修改的信息后����,所述 第三代理向所述第三節(jié)點(diǎn)發(fā)送所述第二報(bào)文����;當(dāng)所述第三代理未收到所述第 三防火墻完成修改的信息后��,所述第三代理丟棄所述第二報(bào)文��。
在本發(fā)明實(shí)施例的具體實(shí)現(xiàn)時(shí)�����,當(dāng)所述ProxyC收到所述CN接入域的防火 墻的信息反饋后���,向CN轉(zhuǎn)發(fā)所述CoTI報(bào)文;當(dāng)所述ProxyC在預(yù)定的時(shí)間內(nèi)未 收到所述家鄉(xiāng)域的防火墻的信息反々貴后�,則丟棄所述CoT財(cái)艮文;
當(dāng)所述CN收到所述CoTI報(bào)文后����,可以向所述MN回復(fù)轉(zhuǎn)交測試CoT消息 作為應(yīng)答�����。
此外����,可參考圖4,圖4是本發(fā)明實(shí)施例的一代理設(shè)備的示意圖��;本發(fā)明 實(shí)施例還提供一種代理設(shè)備,包括截獲模塊����,用于截獲節(jié)點(diǎn)發(fā)來的報(bào)文; 認(rèn)證請求模塊��,用于請求認(rèn)證設(shè)備對所述節(jié)點(diǎn)的身份進(jìn)行認(rèn)證��,所述認(rèn)證設(shè) 備所在的域和所述節(jié)點(diǎn)所在的域?qū)儆诓煌墓芾碛?��;?bào)文處理模塊��,用于當(dāng) 所述認(rèn)證未通過時(shí)����,丟棄所述報(bào)文����;或者當(dāng)所述認(rèn)證通過時(shí),發(fā)送所述報(bào) 文�。
此外,可參考圖5�,圖5是本發(fā)明實(shí)施例的另一代理設(shè)備的示意圖;本發(fā) 明實(shí)施例還提供另一種代理設(shè)備,包括如下模塊認(rèn)證接收模塊����,用于接收 認(rèn)證設(shè)備發(fā)送的身份認(rèn)證結(jié)果;策略調(diào)整模塊����,用于當(dāng)所述身份認(rèn)證結(jié)果為 通過時(shí),確定調(diào)整穿越設(shè)備的規(guī)則和策略�;策略下發(fā)模塊,用于向所述穿越 設(shè)備下發(fā)所述規(guī)則和策略���;策略應(yīng)答模塊�,用于向所述認(rèn)證設(shè)備發(fā)送調(diào)整所 述穿越設(shè)備的規(guī)則和策略的信息�����。所述穿越設(shè)備為防火墻�、網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè) 備或虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)。
此外����,可參考圖6�,圖6是本發(fā)明實(shí)施例的又一代理設(shè)備的示意圖;本發(fā) 明實(shí)施例還提供一種代理設(shè)備,包括如下模塊截獲模塊�,用于截獲節(jié)點(diǎn)發(fā) 來的報(bào)文;認(rèn)證請求模塊����,用于請求認(rèn)證設(shè)備對所述節(jié)點(diǎn)的身份進(jìn)行認(rèn)證, 所述認(rèn)證設(shè)備所在的域���、所述節(jié)點(diǎn)所在的域都屬于不同的管理域����;認(rèn)證接收
模塊�,用于接收所述認(rèn)證設(shè)備發(fā)送的身份認(rèn)證結(jié)果;策略調(diào)整模塊��,用于當(dāng) 所述身份認(rèn)證結(jié)果為通過時(shí)����,確定調(diào)整穿越設(shè)備的規(guī)則和策略;策略下發(fā)模 塊�,用于向所述穿越設(shè)備下發(fā)所述規(guī)則和策略;報(bào)文處理模塊�����,用于當(dāng)收到 所述穿越設(shè)備完成修改的信息后,發(fā)送所述報(bào)文���;當(dāng)未收到所述穿越設(shè)備完 成修改的信息后���,丟棄所述^1文。
此外����,參考圖7,圖7是本發(fā)明實(shí)施例的涉及穿越設(shè)備的報(bào)文處理系統(tǒng)示 意圖�����。本發(fā)明實(shí)施例還提供一種調(diào)整穿越設(shè)備的規(guī)則策略的系統(tǒng)��,包括第 一節(jié)點(diǎn)��、第一代理����、第二認(rèn)證設(shè)備、第三代理和第二穿越設(shè)備���;所述第一節(jié) 點(diǎn)����,用于發(fā)送第一報(bào)文�����;所述第一代理�,用于截獲所述第一報(bào)文,請求對所 述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證�;所述第二認(rèn)證設(shè)備,用于對所述第一節(jié)點(diǎn)的身 份進(jìn)行認(rèn)證��,發(fā)送身份認(rèn)證結(jié)果�����;所述第二代理�����,用于接收所述身份認(rèn)證結(jié) 果���,根據(jù)所述身份認(rèn)證結(jié)果����,確定所述第二穿越設(shè)備的規(guī)則和策略,向所述 第二穿越設(shè)備下發(fā)所述規(guī)則和策略��;所述第二穿越設(shè)備���,用于接收所述規(guī)則 和策略�����。所述第二代理還包括應(yīng)答模塊�,用于根據(jù)所述第二穿越設(shè)備的完 成修改信息向所述第二認(rèn)證設(shè)備發(fā)送應(yīng)答消息����;所述第一代理還包括報(bào)文 處理模塊,用于當(dāng)所述應(yīng)答消息為當(dāng)所述應(yīng)答消息含有所述第二穿越設(shè)備完 成修改的信息���,發(fā)送所述第一報(bào)文�;當(dāng)所述應(yīng)答消息含有所述第二穿越設(shè)備 未完成修改的信息��,則丟棄所述第一報(bào)文���;第二節(jié)點(diǎn)��,用于接收所述報(bào)文處 理模塊發(fā)來的所述第一報(bào)文�。所述第一代理為所述第一節(jié)點(diǎn)所在域的代理設(shè)
備。所述第二代理位于所述穿越設(shè)備和所述第二認(rèn)證設(shè)備之間��。所述穿越設(shè) 備為防火墻或網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備或虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)�����。所述認(rèn)證設(shè)備為認(rèn) 證�、授權(quán)����、計(jì)費(fèi)服務(wù)器。
此外��,本發(fā)明實(shí)施例還提供另一種調(diào)整穿越設(shè)備規(guī)則和策略的系統(tǒng)��,包
括第一節(jié)點(diǎn)��、第一代理�、第二認(rèn)證設(shè)備、第三代理和第三穿越設(shè)備����;所述 第一節(jié)點(diǎn),用于發(fā)送第二報(bào)文�����;所述第一代理,用于截獲所述第二報(bào)文����,請 求對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證,并當(dāng)?shù)诙矸菡J(rèn)證結(jié)果為通過時(shí)��,發(fā)送 所述第二報(bào)文��;所述第二認(rèn)證設(shè)備���,用于對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證�, 發(fā)送所述第二身份認(rèn)證結(jié)果給所述第一代理�����;所述第三代理��,用于截獲所述 第二報(bào)文�,請求對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證,當(dāng)收到身份認(rèn)證結(jié)果為通 過時(shí)�,確定第三穿越設(shè)備的規(guī)則和策略,并向所述第三穿越設(shè)備下發(fā)所述規(guī) 則和策略;所述第三穿越設(shè)備��,用于接收所述規(guī)則和策略���。所述第三代理還 包括報(bào)文處理模塊���,用于當(dāng)收到所述第三穿越設(shè)備完成修改的信息,發(fā)送 所述第二報(bào)文�;當(dāng)未收到所述第三穿越設(shè)備完成修改的信息�����,則丟棄所述第 二報(bào)文��;第三節(jié)點(diǎn)���,用于接收所述報(bào)文處理模塊發(fā)來的所述第二報(bào)文����。
制��,通過在穿越設(shè)備保護(hù)網(wǎng)絡(luò)附近引入策略代理來動(dòng)態(tài)調(diào)整穿越設(shè)備的規(guī)則 和策略�����,可以解決移動(dòng)IPv6網(wǎng)絡(luò)環(huán)境中雙向隧道和路由優(yōu)化方式下涉及穿越 設(shè)備的報(bào)文處理問題,還可以解決固定網(wǎng)絡(luò)下動(dòng)態(tài)調(diào)整穿越設(shè)備的規(guī)則和策
略�����,本發(fā)明實(shí)施例無需穿越設(shè)備支持AAA擴(kuò)展協(xié)議���,對現(xiàn)有的穿越設(shè)備升級
改動(dòng)較小���。
本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例方法中的全部或部分步驟是可 以通過程序來指令相關(guān)的硬件來完成,所述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀
取存儲(chǔ)介質(zhì)中����,所述的存儲(chǔ)介質(zhì),如ROM/RAM�、》茲碟,光盤等�����。
以上所述����,僅為本發(fā)明較佳的具體實(shí)施方式
��,但本發(fā)明的保護(hù)范圍并不 局限于此��,任何熟悉該技術(shù)的人在本發(fā)明所揭露的技術(shù)范圍內(nèi)����,可輕易想到 的變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1�、一種調(diào)整穿越設(shè)備規(guī)則策略的方法,其特征在于����,包括如下步驟第一代理截獲第一節(jié)點(diǎn)發(fā)送給第二節(jié)點(diǎn)的第一報(bào)文��;所述第一代理請求第二認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證����;第二代理接收所述第二認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)的第一身份認(rèn)證結(jié)果;當(dāng)所述第一身份認(rèn)證結(jié)果為通過時(shí)���,所述第二代理確定調(diào)整第二穿越設(shè)備的規(guī)則和策略�����,并向所述第二穿越設(shè)備下發(fā)所述規(guī)則和策略���。
2�、 根據(jù)權(quán)利要求l所述的方法�����,其特征在于���,還包括 所述第二代理發(fā)送應(yīng)答消息給所述第二認(rèn)證設(shè)備�����;所述第一代理接收所述第二認(rèn)證設(shè)備發(fā)送的所述身份認(rèn)證結(jié)果和所述應(yīng) 答消息的內(nèi)容��;當(dāng)所述應(yīng)答消息含有所述第二穿越設(shè)備完成修改的信息��,則所述第一代 理向所述第二節(jié)點(diǎn)發(fā)送所述第一報(bào)文���;當(dāng)所述應(yīng)答消息含有所述第二穿越設(shè)備未完成修改的信息,則所述第一 代理丟棄所述第一報(bào)文��。
3、 根據(jù)權(quán)利要求l所述的方法����,其特征在于,所述所述第一代理請求第 二認(rèn)證設(shè)備對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證����;第二代理接收所述第二認(rèn)證設(shè) 備對所述第 一節(jié)點(diǎn)的身份認(rèn)證結(jié)果具體包括所述第 一代理向第二認(rèn)證設(shè)備發(fā)起對所述第 一節(jié)點(diǎn)的身份認(rèn)證請求消 息,所述身份認(rèn)證請求消息包括所述第 一報(bào)文中的網(wǎng)絡(luò)接入標(biāo)識(shí)和所述第一報(bào)文的目的地址�;第二代理接收所述第二認(rèn)證設(shè)備對所述第 一節(jié)點(diǎn)的身份認(rèn)證結(jié)果,所述 身份認(rèn)證結(jié)果是由所述第二認(rèn)證設(shè)備根據(jù)所述網(wǎng)絡(luò)接入標(biāo)識(shí)對所述第 一節(jié)點(diǎn) 的身份進(jìn)行認(rèn)證而得到的����。
4、 根據(jù)權(quán)利要求2所述的方法���,其特征在于,所述所述第二代理發(fā)送應(yīng) 答消息給所述第二認(rèn)證設(shè)備具體包括所述第二穿越設(shè)備根據(jù)所述規(guī)則和策略完成修改后�,向所述第二代理發(fā)送修改完成消息;所述第二代理根據(jù)所收到的所述修改完成消息��,發(fā)送應(yīng)答消息給所述第 二認(rèn)證設(shè)備����,所述應(yīng)答消息含有所述第二穿越設(shè)備完成修改的信息���; 或所述第二代理在預(yù)定時(shí)間內(nèi)未收到所述第二穿越設(shè)備修改完成的消息, 發(fā)送應(yīng)答消息給所述第二認(rèn)證設(shè)備�����,所述應(yīng)答消息含有所述第二穿越設(shè)備未 完成修改的消息�����。
5��、 根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述所述第一代理丟棄所 述第一報(bào)文還包括所述第一代理斷開所迷第一節(jié)點(diǎn)與所述第二節(jié)點(diǎn)的會(huì)話連接����。
6、 根據(jù)權(quán)利要求l所述的方法��,其特征在于�����,所述第一節(jié)點(diǎn)為移動(dòng)IPv6 協(xié)議下的移動(dòng)節(jié)點(diǎn);所述第二節(jié)點(diǎn)為所述第 一節(jié)點(diǎn)的家鄉(xiāng)代理����;或者所述第一節(jié)點(diǎn)和第二節(jié)點(diǎn)屬于固定網(wǎng)絡(luò)的終端節(jié)點(diǎn)。
7����、 根據(jù)權(quán)利要求l所述的方法,其特征在于�����,所述第一代理為所述第一 節(jié)點(diǎn)所在域的代理設(shè)備��;所述第二代理為所述第二節(jié)點(diǎn)所在域的代理設(shè)備��。
8�����、 根據(jù)權(quán)利要求l所述的方法����,其特征在于����,所述第二穿越設(shè)備為防火 墻或網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備或虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)�。
9�����、 根據(jù)權(quán)利要求l所述的方法����,其特征在于,所述的認(rèn)證設(shè)備為認(rèn)證����、 授權(quán)和計(jì)費(fèi)服務(wù)器。
10�、 一種調(diào)整穿越設(shè)備的規(guī)則策略的方法,其特征在于�����,包括如下步驟第 一代理截獲第 一節(jié)點(diǎn)向第三節(jié)點(diǎn)發(fā)送的第二凈艮文����; 所述第 一代理請求第二認(rèn)證設(shè)備對所述第 一 節(jié)點(diǎn)進(jìn)行身份認(rèn)證; 所述第 一代理接收所述第二認(rèn)證設(shè)備的第二身份認(rèn)證結(jié)果��; 當(dāng)所述第二身份認(rèn)證結(jié)果為通過時(shí),所述第一代理向所述第三節(jié)點(diǎn)發(fā)送 所述第二報(bào)文���;第三代理截獲所述第二報(bào)文���;所述第三代理請求所述第三認(rèn)證設(shè)備對所述第 一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證; 第三代理接收所述第三認(rèn)證設(shè)備對所述第 一節(jié)點(diǎn)的第三身份認(rèn)證結(jié)果�����; 當(dāng)所述第三身份認(rèn)證結(jié)果為通過時(shí)�,所述第三代理確定調(diào)整第三穿越設(shè) 備的規(guī)則和策略,并向所述第三穿越設(shè)備下發(fā)所述規(guī)則和策略���。
11�����、 根據(jù)權(quán)利要求10所迷的方法��,其特征在于����,還包括 當(dāng)所述第三代理收到所述第三穿越設(shè)備完成修改的信息后,所述第三代理向所述第三節(jié)點(diǎn)發(fā)送所述第二報(bào)文��;當(dāng)所述第三代理未收到所述第三穿越設(shè)備完成修改的信息后�,所述第三 代理丟棄所述第二報(bào)文���。
12����、 根據(jù)權(quán)利要求10所述的方法��,其特征在于��,所述第一節(jié)點(diǎn)為移動(dòng) IPv6協(xié)議下的移動(dòng)節(jié)點(diǎn)���;所述第三節(jié)點(diǎn)為所述移動(dòng)節(jié)點(diǎn)的對端節(jié)點(diǎn)�。
13�、 根據(jù)權(quán)利要求10所述的方法,其特征在于�,所述第三代理為所述第 三節(jié)點(diǎn)所在域的代理設(shè)備。
14����、 根據(jù)權(quán)利要求10所述的方法,其特征在于,所述穿越設(shè)備為防火墻 或網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備或虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)��。
15����、 根據(jù)權(quán)利要求10所述的方法,其特征在于����,所述的認(rèn)證設(shè)備為認(rèn) 證、授權(quán)和計(jì)費(fèi)服務(wù)器����。
16、 一種代理設(shè)備�����,其特征在于�,包括 截獲模塊,用于截獲節(jié)點(diǎn)發(fā)來的報(bào)文���;認(rèn)證請求模塊���,用于請求認(rèn)證設(shè)備對所述節(jié)點(diǎn)的身份進(jìn)行認(rèn)證�,所述認(rèn)證設(shè)備所在的域和所述節(jié)點(diǎn)所在的域?qū)儆诓煌墓芾碛?����;?bào)文處理模塊��,用于當(dāng)所述認(rèn)證未通過時(shí)��,丟棄所述報(bào)文��;或者當(dāng)所述 認(rèn)證通過時(shí)�����,發(fā)送所述報(bào)文�。
17���、 一種代理設(shè)備�����,其特征在于�,包括如下模塊 認(rèn)證接收模塊�����,用于接收認(rèn)證設(shè)備發(fā)送的身份認(rèn)證結(jié)果; 策略調(diào)整模塊�����,用于當(dāng)所述身份認(rèn)證結(jié)果為通過時(shí)�����,確定調(diào)整穿越設(shè)備的規(guī)則和策略���;策略下發(fā)模塊���,用于向所述穿越設(shè)備下發(fā)所述規(guī)則和策略; 策略應(yīng)答模塊���,用于向所述認(rèn)證設(shè)備發(fā)送調(diào)整所述穿越設(shè)備的規(guī)則和策 略的信息�。
18�����、 根據(jù)權(quán)利要求17所述的代理設(shè)備���,其特征在于���,所述穿越設(shè)備為防 火墻或網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備或虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)�。
19�、 根據(jù)權(quán)利要求17所述的代理設(shè)備,其特征在于����,所述的認(rèn)證設(shè)備為 認(rèn)證���、授權(quán)和計(jì)費(fèi)服務(wù)器���。
20、 一種代理設(shè)備��,其特征在于����,包括 截獲模塊,用于截獲節(jié)點(diǎn)發(fā)來的報(bào)文��;認(rèn)證請求模塊���,用于請求認(rèn)證設(shè)備對所述節(jié)點(diǎn)的身份進(jìn)行認(rèn)證�����,所述認(rèn) 證i殳備所在的域���、所述節(jié)點(diǎn)所在的域都屬于不同的管理域�����;認(rèn)證接收模塊����,用于接收所述認(rèn)證設(shè)備發(fā)送的身份認(rèn)證結(jié)果���; 策略調(diào)整模塊��,用于當(dāng)所述身份認(rèn)證結(jié)果為通過時(shí)���,確定調(diào)整穿越設(shè)備 的規(guī)則和策略;策略下發(fā)模塊�����,用于向所述穿越設(shè)備下發(fā)所述規(guī)則和策略; 報(bào)文處理模塊��,用于當(dāng)收到所述穿越設(shè)備完成修改的信息后���,發(fā)送所述 報(bào)文���;當(dāng)未收到所述穿越設(shè)備完成修改的信息后,丟棄所述報(bào)文��。
21�����、 一種調(diào)整穿越設(shè)備的規(guī)則策略的系統(tǒng)��,其特征在于�����,包括第一節(jié) 點(diǎn)����、第一代理���、第二認(rèn)證設(shè)備��、第三代理和第二穿越設(shè)備����;所述第一節(jié)點(diǎn),用于發(fā)送第一報(bào)文�;所述第一代理,用于截獲所述第一報(bào)文����,請求對所述第一節(jié)點(diǎn)的身份進(jìn) 行認(rèn)證;所述第二認(rèn)證設(shè)備��,用于對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證�����,發(fā)送身份認(rèn)證結(jié)果����;所述第二代理,用于接收所述身份認(rèn)證結(jié)果��,根據(jù)所述身份認(rèn)證結(jié)果, 確定所述第二穿越設(shè)備的規(guī)則和策略��,向所述第二穿越設(shè)備下發(fā)所述規(guī)則和策略���;所述第二穿越設(shè)備����,用于接收所述規(guī)則和策略�����。
22�����、 根據(jù)權(quán)利要求21所述的系統(tǒng)�,其特征在于,所述第二代理還包括應(yīng)答模塊��,用于根據(jù)所述第二穿越設(shè)備的完成修 改信息向所述第二認(rèn)證設(shè)備發(fā)送應(yīng)答消息����;所述第一代理還包括報(bào)文處理模塊�����,用于當(dāng)所述應(yīng)答消息為當(dāng)所述應(yīng) 答消息含有所述第二穿越設(shè)備完成修改的信息,發(fā)送所述第一報(bào)文�;當(dāng)所述 應(yīng)答消息含有所述第二穿越設(shè)備未完成修改的信息,則丟棄所述第一報(bào)文����;第二節(jié)點(diǎn),用于接收所述報(bào)文處理模塊發(fā)來的所述第一報(bào)文�。
23、 根據(jù)權(quán)利要求21所述的系統(tǒng)�,其特征在于,所述第一代理為所述第 一節(jié)點(diǎn)所在域的代理設(shè)備��。
24����、 根據(jù)權(quán)利要求21所述的系統(tǒng),其特征在于�����,所述第二代理位于所述 穿越設(shè)備和所述第二認(rèn)證設(shè)備之間��。
25�����、 根據(jù)權(quán)利要求21所述的系統(tǒng),其特征在于��,所述穿越設(shè)備為防火墻 或網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備或虛擬私有網(wǎng)絡(luò)網(wǎng)關(guān)����。
26、 根據(jù)權(quán)利要求21所述的系統(tǒng)����,其特征在于,所述認(rèn)證設(shè)備為認(rèn)證���、 授權(quán)�、計(jì)費(fèi)服務(wù)器����。
27、 一種調(diào)整穿越設(shè)備規(guī)則和策略的系統(tǒng)�,其特征在于,包括第一節(jié) 點(diǎn)���、第一代理、第二認(rèn)證設(shè)備、第三代理和第三穿越設(shè)備���;所述第一節(jié)點(diǎn)�,用于發(fā)送第二報(bào)文���;所述第一代理�����,用于截獲所述第二報(bào)文���,請求對所述第一節(jié)點(diǎn)的身份進(jìn) 行認(rèn)證,并當(dāng)?shù)诙矸菡J(rèn)證結(jié)果為通過時(shí)�,發(fā)送所述第二報(bào)文;所述第二認(rèn)證設(shè)備����,用于對所述第一節(jié)點(diǎn)的身份進(jìn)行認(rèn)證,發(fā)送所述第二身份認(rèn)證結(jié)果給所述第一代理����;所述第三代理,用于截獲所述第二報(bào)文�����,請求對所述第一節(jié)點(diǎn)的身份進(jìn) 行認(rèn)證,當(dāng)收到身份認(rèn)證結(jié)果為通過時(shí)�,確定第三穿越設(shè)備的規(guī)則和策略, 并向所述第三穿越設(shè)備下發(fā)所述規(guī)則和策略�����;所述第三穿越設(shè)備��,用于接收所述規(guī)則和策略��。
28���、根據(jù)權(quán)利要求27所述的系統(tǒng)����,其特征在于�,所述第三代理還包括報(bào)文處理模塊,用于當(dāng)收到所述第三穿越設(shè)備完 成修改的信息�,發(fā)送所述第二報(bào)文;當(dāng)未收到所述第三穿越設(shè)備完成修改的 信息��,則丟棄所述第二報(bào)文�����;第三節(jié)點(diǎn)��,用于接收所述報(bào)文處理模塊發(fā)來的所述第二報(bào)文��。
全文摘要
本發(fā)明實(shí)施例公開了一種調(diào)整穿越設(shè)備的規(guī)則策略的方法�����、系統(tǒng)及代理設(shè)備�����,本發(fā)明實(shí)施例通過引入認(rèn)證代理來對通過穿越設(shè)備的報(bào)文實(shí)施認(rèn)證機(jī)制����,通過在穿越設(shè)備保護(hù)網(wǎng)絡(luò)附近引入策略代理來動(dòng)態(tài)調(diào)整穿越設(shè)備的規(guī)則和策略,可以解決移動(dòng)IPv6網(wǎng)絡(luò)環(huán)境中雙向隧道和路由優(yōu)化方式下涉及穿越設(shè)備的報(bào)文處理問題�,還可以解決固定網(wǎng)絡(luò)中動(dòng)態(tài)調(diào)整穿越設(shè)備的規(guī)則和策略,本發(fā)明實(shí)施例無需穿越設(shè)備支持AAA擴(kuò)展協(xié)議���,對現(xiàn)有的穿越設(shè)備升級改動(dòng)較小��。
文檔編號(hào)H04L1/16GK101340424SQ20071007633
公開日2009年1月7日 申請日期2007年7月3日 優(yōu)先權(quán)日2007年7月3日
發(fā)明者欽 吳 申請人:華為技術(shù)有限公司