国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng)及方法

      文檔序號(hào):7736897閱讀:137來(lái)源:國(guó)知局
      專利名稱:在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng)及方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng)及方法。
      背景技術(shù)
      隨著Internet的迅速發(fā)展和移動(dòng)便攜式終端的廣泛應(yīng)用,在互聯(lián)網(wǎng)中實(shí)現(xiàn)對(duì)移動(dòng)性的支持越來(lái)越重要。但傳統(tǒng)的IP設(shè)計(jì)并不支持移動(dòng)性。因?yàn)閭鹘y(tǒng)的IP協(xié)議把節(jié)點(diǎn)的IP地址作為節(jié)點(diǎn)在接入網(wǎng)中的唯一標(biāo)識(shí),節(jié)點(diǎn)通過(guò)其IP地址收發(fā)數(shù)據(jù),而網(wǎng)絡(luò)中的路由器使用的路由協(xié)議一般是基于目的網(wǎng)絡(luò)前綴轉(zhuǎn)發(fā),若節(jié)點(diǎn)若發(fā)生移動(dòng),目的地是該IP網(wǎng)絡(luò)前綴的包仍將發(fā)送到原來(lái)的網(wǎng)絡(luò),這樣已經(jīng)移動(dòng)的節(jié)點(diǎn)收不到發(fā)給它的數(shù)據(jù)包,通信會(huì)中斷。為此,IETF組織提出了移動(dòng)IP (Mobile IP, MIP)的概念。并針對(duì)不同的網(wǎng)絡(luò)類型,分別設(shè)計(jì)了移動(dòng) IPv4 協(xié)議(Mobile IPv4, MIPv4)和移動(dòng) IPv6 協(xié)議(MobileIPv6, MIPv6)。 MIP協(xié)議是一種可部署于全球互聯(lián)網(wǎng)的移動(dòng)性解決方案,它工作與網(wǎng)絡(luò)層,這使得上層協(xié)議對(duì)移動(dòng)透明。MIP協(xié)議的提出,可使節(jié)點(diǎn)在不改變其IP地址和現(xiàn)有的路由框架的前提下,在網(wǎng)絡(luò)中自由漫游,并保持通信的持續(xù)性。對(duì)于MIPv6環(huán)境下的身份認(rèn)證和信令加密,IETF提出了采用IPSec協(xié)議保護(hù)移動(dòng)節(jié)點(diǎn)MN和家鄉(xiāng)代理HA間的移動(dòng)信令消息。它可以有效防止線路竊聽(tīng)、消息攔截或偽造及DoS等攻擊。而IPSec協(xié)議的使用就涉及到移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理問(wèn)的安全聯(lián)盟SA(securityassociation)的建立。目前較成熟的方案是因特網(wǎng)密鑰交換協(xié)議IKE協(xié)議(Internet KeyExchange),它建立在因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議ISAKMP的框架上,定義了通信實(shí)體間身份認(rèn)證、協(xié)商加密算法以及生成共享會(huì)話密鑰的方法,在MIPv6環(huán)境下,通過(guò)IKE協(xié)議動(dòng)態(tài)協(xié)商SA,實(shí)現(xiàn)移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理間的移動(dòng)信令消息IPSec加密。IETF在RFC 3776中詳細(xì)介紹了 MIPv6下與IPSec協(xié)議的實(shí)施標(biāo)準(zhǔn)。在其中提出通過(guò)采用IKE協(xié)議動(dòng)態(tài)創(chuàng)建并維護(hù)麗與HA問(wèn)的SA’實(shí)現(xiàn)麗與HA間的移動(dòng)性信令的IPSecESP加密保護(hù)。之后隨著IPSec協(xié)議在RFC24301中的改進(jìn),使得IPSec選擇器可識(shí)別移動(dòng)頭(Mobility Header,MH)類型,實(shí)現(xiàn)了 IPSec協(xié)議對(duì)MIPv6的支持。IETF在2007年發(fā)布的RFC4877,針對(duì)這一變革對(duì)原有的RFC 3776標(biāo)準(zhǔn)改進(jìn),并采用新的IKEv2協(xié)議實(shí)現(xiàn)密鑰協(xié)商,大大簡(jiǎn)化了 MIPv6與IPSec及IKEv2協(xié)議的交互復(fù)雜度。但I(xiàn)KEv2協(xié)議是建立在靜態(tài)節(jié)點(diǎn)問(wèn)的密鑰協(xié)商協(xié)議,MIPv6協(xié)議中移動(dòng)節(jié)點(diǎn)MN的通信地址會(huì)隨著MN移動(dòng)而改變,如何在MIPv6環(huán)境中實(shí)現(xiàn)IKEv2協(xié)議,尚無(wú)明確的解決方案。

      發(fā)明內(nèi)容
      鑒于上述存在的問(wèn)題,本發(fā)明的目的在于提供一種MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng)及方法。為實(shí)現(xiàn)上述目的,本發(fā)明采用如下技術(shù)方案一種在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng),該系統(tǒng)在麗端建立了一種路由機(jī)制,即將網(wǎng)絡(luò)中所有接入路由器AR統(tǒng)一配置一個(gè)相同的本地鏈路地址X,在麗端設(shè)置一條默認(rèn)路由,網(wǎng)關(guān)即為地址X ;麗向HA發(fā)送的數(shù)據(jù)包首先被路由到AR端,AR根據(jù)目的地址將其轉(zhuǎn)發(fā)給HA ;HA向麗回復(fù)的數(shù)據(jù)包先路由到AR,之后AR轉(zhuǎn)發(fā)給麗;該系統(tǒng)在麗端還建立了一種MIPv6觸發(fā)IKEv2協(xié)議的協(xié)商機(jī)制,即于用戶空間創(chuàng)建一組標(biāo)志位flag,于內(nèi)核空間加入SA觸發(fā)機(jī)制,MIPv6進(jìn)程通過(guò)判斷flag的值以決定是否啟動(dòng)SA觸發(fā)機(jī)制;IKEv2進(jìn)程通過(guò)判斷flag值以決定是否發(fā)起麗與HA之間的IKE通信,協(xié)商密鑰。進(jìn)一步地所述MN端采用共享內(nèi)存策略實(shí)現(xiàn)所述MIPv6進(jìn)程和IKEv2進(jìn)程間的通信。所述啟動(dòng)SA觸發(fā)機(jī)制,首先構(gòu)建一個(gè)BU消息,通過(guò)通信接口發(fā)出,該BU消息在經(jīng)過(guò)內(nèi)核IPSec模塊時(shí)將調(diào)用IKEv2進(jìn)程創(chuàng)建SA,當(dāng)SA建立成功時(shí),麗再向HA發(fā)送正常的BU消息。 一種在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的方法,包括以下步驟麗不斷進(jìn)行路由器發(fā)現(xiàn);當(dāng)發(fā)現(xiàn)接入到新的AR下時(shí),MN根據(jù)共享內(nèi)存區(qū)標(biāo)志位判斷與HA間是否存在對(duì)應(yīng)的SA,若存在,則直接發(fā)送BU進(jìn)行注冊(cè);若不存在,則發(fā)送自定義BU,觸發(fā)IKE交互,通過(guò)IKE協(xié)議建立所需IPSec SA ;SA生成后麗再進(jìn)行移動(dòng)注冊(cè),此時(shí)的BU、BA消息己可由IPSec ESP保護(hù);當(dāng)MN、HA間的IPSec SA過(guò)期時(shí),MN發(fā)起IKE交互,重新建立SA。本發(fā)明有效解決了 MIPv6移動(dòng)注冊(cè)前麗與HA之間實(shí)現(xiàn)IKEv2協(xié)商及MIPv6觸發(fā)IKEv2協(xié)議進(jìn)行協(xié)商的問(wèn)題,進(jìn)而在MIPv6環(huán)境下實(shí)現(xiàn)了 IKEv2協(xié)議,突破了下一代互聯(lián)網(wǎng)MIPv6環(huán)境下的一個(gè)網(wǎng)絡(luò)安全難題。


      圖I為本發(fā)明中麗端的路由機(jī)制示意圖;圖2為本發(fā)明中麗端的MIPv6觸發(fā)IKEv2的協(xié)商機(jī)制示意圖;圖3為本發(fā)明中麗端的MIPv6觸發(fā)IKEv2進(jìn)行協(xié)商的實(shí)施例示意圖;圖4為本發(fā)明的MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的消息處理流程圖。
      具體實(shí)施例方式IKE協(xié)議是一種通用混合型協(xié)議,它建立在Internet安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)定義的框架上,定義了通信實(shí)體間進(jìn)行身份認(rèn)證、加密算法協(xié)商以及共享會(huì)話密鑰生成的方法。IKE協(xié)議通過(guò)一系列強(qiáng)安全性的非對(duì)稱算法交換非密鑰數(shù)據(jù),實(shí)現(xiàn)雙方的密鑰交換,它解決了在不安全的網(wǎng)絡(luò)中安全的建立或更新共享密鑰的問(wèn)題。IKEv2協(xié)議是當(dāng)前互聯(lián)網(wǎng)最認(rèn)可的IKE協(xié)議,它采用UDP承載,對(duì)上一個(gè)版本IKEvl做出了很大改進(jìn),簡(jiǎn)化了消息交換,替換了加密語(yǔ)法等等。它為通信對(duì)等體動(dòng)態(tài)協(xié)商密鑰提供支持。IKEv2協(xié)議中定義了三種消息交互類型,分別是Initial交互、CREATE-CHILD-SA 交互和 Informational 交互。Initial 交互過(guò)程完成建立 IKE SA 和 CHILDSA (BP IPSec SA)。該過(guò)程由4條消息完成前兩條消息稱為IKE SA INIT交互,主要進(jìn)行加密算法協(xié)商、nonce交換和一次D. H密鑰交換,從而生成用于加密和認(rèn)證的密鑰材料;后兩條消息稱為IKE AUTH交互,主要對(duì)前兩條消息進(jìn)行認(rèn)證,同時(shí)完成身份認(rèn)證,然后建立IKESA和第一次的CHILD SA。IKE AUTH交互過(guò)程中的數(shù)據(jù)都采用了 IKE SA INIT生成的密鑰材料加密,保證其中的身份信息不被竊取。CREATE CHILD SA交互過(guò)程是在Initial交互完成后,生成額外的CHILD SA或者進(jìn)行密鑰重協(xié)商(rekeying)。Informational交互過(guò)程傳輸控制消息,用來(lái)通知對(duì)端發(fā)生錯(cuò)誤或某些事件。該過(guò)程須在Initial交互之后,并在IKESA的保護(hù)下進(jìn)行。但要在MIPv6環(huán)境中部署IKEv2協(xié)議,實(shí)現(xiàn)MN和HA間的SA動(dòng)態(tài)協(xié)商始終面臨兩個(gè)關(guān)鍵的問(wèn)題第一個(gè)問(wèn)題是,當(dāng)MN在外地獲得新的轉(zhuǎn)交地址CoA (Care of Address)后,需要進(jìn)行移動(dòng)注冊(cè)過(guò)程,通知HA新的CoA。若這時(shí)麗、HA間尚未建立IPSec SA或SA過(guò)期,則雙方在移動(dòng)注冊(cè)前先要進(jìn)行IKE協(xié)商。而此時(shí)麗并沒(méi)有到HA的路由,HA也不知道麗的CoA,UDP的通信是不通的,這導(dǎo)致IKE交互協(xié)商無(wú)法進(jìn)行,從而不能建立IPSec SA。另一個(gè)問(wèn)題是,IKEv2是建立在IP地址上的密鑰協(xié)商,當(dāng)主機(jī)發(fā)出數(shù)據(jù)包時(shí),首先 根據(jù)源地址、目的地址、協(xié)議類型等參數(shù)查詢安全策略數(shù)據(jù)庫(kù)SPD (SP Database),若SH)沒(méi)有策略,則放過(guò),將該包轉(zhuǎn)至IP層處理;若SPD中有相關(guān)策略,則根據(jù)對(duì)應(yīng)SP查詢安全聯(lián)盟數(shù)據(jù)庫(kù)SAD (SA Database),并獲取對(duì)應(yīng)SA中的加密參數(shù)對(duì)數(shù)據(jù)包進(jìn)行IPSec處理,之后轉(zhuǎn)至IP層處理;若沒(méi)有找到對(duì)應(yīng)SA,則調(diào)用IKE協(xié)議,通過(guò)SP中的規(guī)則在兩通信實(shí)體建立SA,之后進(jìn)彳了 IPSec處理等。而在MIPv6協(xié)議中,MN和HA之間的移動(dòng)信令綁定更新消息BU (Binding Update)和綁定應(yīng)答消息BA (Binding Acknowledgement)都是采用MN的CoA作為源地址/目的地址,而CoA是隨麗移動(dòng)不斷變化的。雖然標(biāo)準(zhǔn)已經(jīng)定義了關(guān)于BU/BA對(duì)于SA的匹配是通過(guò)麗的家鄉(xiāng)地址而不是CoA,但這時(shí)的情況是麗、HA間已建立有效SA ;若此時(shí)還沒(méi)有SA’則移動(dòng)實(shí)體發(fā)出BU/BA后,根據(jù)MN端地址CoA、HA地址、協(xié)議類型等參數(shù)查詢SPD,而SB)中的策略都應(yīng)是基于麗的HoA的。所以找不到匹配的SP,進(jìn)而無(wú)法觸發(fā)IKE協(xié)議交互建立SA0由以上分析可以看出,在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議,需要解決兩個(gè)問(wèn)題1)ΜΙΡν6移動(dòng)注冊(cè)前MN、HA間如何實(shí)現(xiàn)IKEv2協(xié)商;2)MIPv6如何觸發(fā)IKEv2的協(xié)商。下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明。為了在MIPv6移動(dòng)注冊(cè)前實(shí)現(xiàn)麗與HA間的IKEv2協(xié)商,本發(fā)明在麗端建立了一種穩(wěn)定的路由機(jī)制,使MN在任意的新接入路由器AR下都可以和HA進(jìn)行UDP通信。圖I為本發(fā)明中麗端的路由機(jī)制示意圖。如圖,網(wǎng)絡(luò)中所有接入路由器AR統(tǒng)一配置了一個(gè)相同的本地鏈路地址X,在MN端設(shè)置一條默認(rèn)路由,網(wǎng)關(guān)即為地址X。這樣,當(dāng)MN移動(dòng)到外地AR下時(shí),MN獲得新的CoA,然后進(jìn)行地址重復(fù)檢測(cè)DAD (Duplicate AddressDetection)過(guò)程,將MN的CoA和MAC地址在AR端綁定。MN向HA發(fā)送UDP包,源地址為CoA,目的地址為HA地址,數(shù)據(jù)包首先被路由到AR端,之后AR根據(jù)目的地址將其轉(zhuǎn)發(fā)給HA ;HA向麗回復(fù)UDP包,源地址為HA地址,目的地地址為CoA,UDP包根據(jù)目的地址先路由到AR,之后AR轉(zhuǎn)發(fā)給麗。MN端默認(rèn)路由的添加可通過(guò)Linux系統(tǒng)命令實(shí)現(xiàn),將該命令寫(xiě)到文件/etc/rc. d/rc. IOcal中,MN將在開(kāi)機(jī)初始化的時(shí)候配置好該默認(rèn)路由。為解決MIPv6觸發(fā)IKEv2的協(xié)商問(wèn)題,本發(fā)明在MIPv6協(xié)議中引入一種通過(guò)正確的匹配IKE進(jìn)程配置的SPD中的SP’并根據(jù)此SP觸發(fā)IKE協(xié)議進(jìn)而在麗和HA間創(chuàng)建SA的機(jī)制。由于MIPv6協(xié)議中所有的移動(dòng)注冊(cè)過(guò)程都由MN端發(fā)起,所以這種觸發(fā)機(jī)制只需在MN端加入,HA作為通信雙方的應(yīng)答端,不需做任何改變。圖2為本發(fā)明中MN端MIPv6觸發(fā)IKEv2的協(xié)商機(jī)制示意圖。如圖所示,在麗端,于用戶空間創(chuàng)建一組標(biāo)志位flag,它的參數(shù)值由MIPv6進(jìn)程和IKEv2進(jìn)程決定;于內(nèi)核空間加入SA觸發(fā)機(jī)制,它會(huì)根據(jù)用戶空間flag的參數(shù)值判斷是否幫助MIPv6進(jìn)程觸發(fā)IKEv2進(jìn)行SA的協(xié)商,同時(shí)SA的狀態(tài)也會(huì)影響flag的參數(shù)值。共享內(nèi)存是很有效的進(jìn)程間通信(Interprocess Communication, IPC)方式,也是最快的IPC形式。兩個(gè)不同進(jìn)程A、B共享內(nèi)存是指,同一塊物理內(nèi)存被映射到進(jìn)程A和 B各自的進(jìn)程地址空間。進(jìn)程A可以即時(shí)看到進(jìn)程B對(duì)共享內(nèi)存中數(shù)據(jù)的更新,反之亦然。共享內(nèi)存有System V和POSIX兩種方式。本發(fā)明采用的是System V共享內(nèi)存。SystemV 共享內(nèi)存,主要有以下幾個(gè) API :shmget0、shmatO、shmdtO、shrnctlO。其中Shmget()函數(shù)用來(lái)獲得共享內(nèi)存區(qū)域的ID,如果不存在指定的共享區(qū)域就創(chuàng)建相應(yīng)的區(qū)域。shmatO函數(shù)把共享內(nèi)存區(qū)域映射到調(diào)用進(jìn)程的地址空間中,這樣,進(jìn)程就可以方便的對(duì)共享內(nèi)存區(qū)域進(jìn)行訪問(wèn)操作。shmdtO函數(shù)用來(lái)解除進(jìn)程對(duì)共享內(nèi)存區(qū)域的映射。shmctlO函數(shù)實(shí)現(xiàn)對(duì)共享內(nèi)存區(qū)域的控制操作。圖3為本發(fā)明中麗端的MIPv6觸發(fā)IKEv2進(jìn)行協(xié)商的實(shí)施例示意圖。在共享內(nèi)存空間設(shè)置兩個(gè)標(biāo)志位A、B,標(biāo)志位A用于標(biāo)記麗、HA間是否存在有效的SA ;標(biāo)志位B用于判斷MN端是否啟動(dòng)SA觸發(fā)機(jī)制。如圖,由于MIPv6進(jìn)程與IKEv2進(jìn)程這兩個(gè)進(jìn)程需要共同查看、管理同一組標(biāo)志位flag,所以在MN端采用共享內(nèi)存策略實(shí)現(xiàn)兩進(jìn)程間的通信,本發(fā)明采用System V共享內(nèi)存。本實(shí)施例在共享內(nèi)存區(qū)內(nèi)設(shè)置標(biāo)志位A、B,具體的對(duì)于MIPv6進(jìn)程,當(dāng)檢測(cè)到要向HA發(fā)送BU消息時(shí),首先訪問(wèn)共享內(nèi)存區(qū),讀取標(biāo)志位B的值若B = 1,則此時(shí)通信雙方已建立了有效SA,麗直接向HA發(fā)送正常的BU消息,其源地址為CoA,這個(gè)消息在經(jīng)過(guò)內(nèi)核IPSec模塊時(shí)可找到相關(guān)的SA,從中提取參數(shù)并加密封裝發(fā)出;若B = 0,則此時(shí)通信雙方尚未建立有效SA,MN啟動(dòng)SA觸發(fā)機(jī)制,首先將標(biāo)志位A的值寫(xiě)為I,然后構(gòu)建一個(gè)源地址為MN的HoA,目的地址為HA的BU消息,通過(guò)通信接口發(fā)出。注意這個(gè)BU消息在經(jīng)過(guò)內(nèi)核IPSec模塊時(shí)會(huì)查詢SPD,在其中可以找到相關(guān)的安全策略SP’但在SAD中找不到對(duì)應(yīng)的SA’這時(shí)將調(diào)用IKEv2進(jìn)程創(chuàng)建SA’之后再次判斷B的值當(dāng)B = I時(shí),SA已建立成功,麗再向HA發(fā)送正常的BU消息。對(duì)于IKEv2進(jìn)程,其IPSec控制模塊不斷偵聽(tīng)內(nèi)核通告,當(dāng)收到創(chuàng)建SA的消息時(shí),IKEv2訪問(wèn)共享內(nèi)存區(qū),讀取標(biāo)志位A的值若A = 0,說(shuō)明此時(shí)麗、HA問(wèn)已建立有效SA’退出繼續(xù)等待內(nèi)核通告;若六=1,則調(diào)用網(wǎng)絡(luò)控制模塊,根據(jù)內(nèi)核信息發(fā)起麗和HA之間的IKE通信,協(xié)商密鑰,創(chuàng)建SA,之后令B = LA = 0,退出繼續(xù)等待內(nèi)核通告。圖4為本發(fā)明的MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的消息處理流程圖。如圖所示,麗不斷進(jìn)行路由器發(fā)現(xiàn),當(dāng)發(fā)現(xiàn)接入到新的AR下時(shí),麗發(fā)起移動(dòng)注冊(cè)過(guò)程,此時(shí)MN會(huì)根據(jù)共享內(nèi)存區(qū)標(biāo)志位判斷與HA間是否存在對(duì)應(yīng)的SA。若存在,則直接發(fā)送BU進(jìn)行注冊(cè);若不存在,則發(fā)送自定義BU,觸發(fā)IKE交互,通過(guò)IKE協(xié)議建立所需IPSec SA ;SA生成后麗再進(jìn)行移動(dòng)注冊(cè),此時(shí)的BU、BA消息己可由IPSec ESP保護(hù)。當(dāng)麗、HA間的IPSec SA過(guò)期時(shí),麗還應(yīng)發(fā)起IKE交互,重新建立SA。本發(fā)明的在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng),有效地解決了 MIPv6移動(dòng)注冊(cè)前MN與HA之間實(shí)現(xiàn)IKEv2協(xié)商及MIPv6觸發(fā)IKEv2協(xié)議進(jìn)行協(xié)商的問(wèn)題,進(jìn)而在MIPv6環(huán)境下實(shí)現(xiàn)了 IKEv2協(xié)議,突破了下一代互聯(lián)網(wǎng)MIPv6環(huán)境下的一個(gè)網(wǎng)絡(luò)安全難題。
      以上所述是本發(fā)明的較佳實(shí)施例及其所運(yùn)用的技術(shù)原理,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō),在不背離本發(fā)明的精神和范圍的情況下,任何基于本發(fā)明技術(shù)方案基礎(chǔ)上的等效變換、簡(jiǎn)單替換等顯而易見(jiàn)的改變,均屬于本發(fā)明保護(hù)范圍之內(nèi)。
      權(quán)利要求
      1.一種在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng),其特征在于 該系統(tǒng)在麗端建立一種路由機(jī)制,即將網(wǎng)絡(luò)中所有接入路由器AR統(tǒng)一配置一個(gè)相同的本地鏈路地址X,在MN端設(shè)置一條默認(rèn)路由,網(wǎng)關(guān)即為地址X ;MN向HA發(fā)送的數(shù)據(jù)包首先被路由到AR端,AR根據(jù)目的地址將其轉(zhuǎn)發(fā)給HA ;HA向麗回復(fù)的數(shù)據(jù)包先路由到AR,之后AR轉(zhuǎn)發(fā)給麗; 該系統(tǒng)在MN端還建立一種MIPv6觸發(fā)IKEv2協(xié)議的協(xié)商機(jī)制,即于用戶空間創(chuàng)建一組標(biāo)志位flag,于內(nèi)核空間加入SA觸發(fā)機(jī)制,MIPv6進(jìn)程通過(guò)判斷flag的值以決定是否啟動(dòng)SA觸發(fā)機(jī)制;IKEv2進(jìn)程通過(guò)判斷flag值以決定是否發(fā)起麗與HA之間的IKE通信,協(xié)商密鑰。
      2.如權(quán)利要求I所述的MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng),其特征在于 所述MN端采用共享內(nèi)存策略實(shí)現(xiàn)所述MIPv6進(jìn)程和IKEv2進(jìn)程間的通信。
      3.如權(quán)利要求I所述的MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng),其特征在于 在所述啟動(dòng)SA觸發(fā)機(jī)制中,首先構(gòu)建一個(gè)BU消息,通過(guò)通信接口發(fā)出,該BU消息在經(jīng)過(guò)內(nèi)核IPSec模塊時(shí)將調(diào)用IKEv2進(jìn)程創(chuàng)建SA,當(dāng)SA建立成功時(shí),麗再向HA發(fā)送正常的BU消息。
      4.一種在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的方法,其特征在于包括以下步驟 MN不斷進(jìn)行路由器發(fā)現(xiàn); 當(dāng)發(fā)現(xiàn)接入到新的AR下時(shí),麗根據(jù)共享內(nèi)存區(qū)標(biāo)志位判斷與HA間是否存在對(duì)應(yīng)的SA,若存在,則直接發(fā)送BU進(jìn)行注冊(cè);若不存在,則發(fā)送自定義BU,觸發(fā)IKE交互,通過(guò)IKE協(xié)議建立所需IPSec SA ; SA生成后麗再進(jìn)行移動(dòng)注冊(cè),此時(shí)的BU、BA消息己可由IPSec ESP保護(hù); 當(dāng)麗、HA間的IPSec SA過(guò)期時(shí),麗發(fā)起IKE交互,重新建立SA。
      全文摘要
      本發(fā)明公開(kāi)了在MIPv6環(huán)境下實(shí)現(xiàn)IKEv2協(xié)議的系統(tǒng)。該系統(tǒng)在MN端建立一種路由機(jī)制,即將網(wǎng)絡(luò)中所有接入路由器AR統(tǒng)一配置一個(gè)相同的本地鏈路地址X,在MN端設(shè)置一條默認(rèn)路由,網(wǎng)關(guān)即為地址X;MN向HA發(fā)送的數(shù)據(jù)包,首先被路由到AR端,AR根據(jù)目的地址將其轉(zhuǎn)發(fā)給HA;HA向MN回復(fù)的數(shù)據(jù)包,先路由到AR,之后AR轉(zhuǎn)發(fā)給MN;在MN端于用戶空間創(chuàng)建一組標(biāo)志位flag,于內(nèi)核空間加入SA觸發(fā)機(jī)制,MIPv6進(jìn)程通過(guò)判斷flag的值決定是否啟動(dòng)SA觸發(fā)機(jī)制;IKEv2進(jìn)程通過(guò)判斷flag值以決定是否發(fā)起MN與HA之間的IKE通信,協(xié)商密鑰。本發(fā)明有效解決了MIPv6移動(dòng)注冊(cè)前MN與HA之間實(shí)現(xiàn)IKEv2協(xié)商及MIPv6觸發(fā)IKEv2協(xié)議進(jìn)行協(xié)商的問(wèn)題,進(jìn)而在MIPv6環(huán)境下實(shí)現(xiàn)了IKEv2協(xié)議,突破了MIPv6環(huán)境下的網(wǎng)絡(luò)安全難題。
      文檔編號(hào)H04L29/06GK102724173SQ20111021347
      公開(kāi)日2012年10月10日 申請(qǐng)日期2011年7月28日 優(yōu)先權(quán)日2011年7月28日
      發(fā)明者劉 東, 劉銘, 步日欣, 程遠(yuǎn), 董偉, 谷晨 申請(qǐng)人:北京天地互連信息技術(shù)有限公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1