[发明专利]防火墙穿越方法、节点设备和系统

说明书

技术领域

本发明涉及通信领域，特别涉及一种防火墙穿越方法、节点设备和系统。

背景技术

随着网络技术和无线通信设备的迅速发展，人们迫切希望能够随时随地从Internet上获取 信息。针对这种情况，现有技术提供了支持移动Internet的协议，即移动IP协议。移动IP协 议是一种在Internet上提供移动功能的网络层方案，使节点在切换链路时不中断正在进行的通 信。简单来说，移动IP在网络层提供了一种使移动节点(MN，Mobile Node)可以以一个永 久的IP地址连接到任何链路上的路由机制，目的是将数据包路由到那些可能一直在快速地改 变位置的移动节点上。

为了更好地支持移动节点的移动性，现有技术提供了一种移动IPv6机制，参见图1，当 MN在家乡网络时，其工作方式如同位置固定的主机，移动IP不需要进行任何特别的操作。 当MN离开家乡网络进入外地网络时，其工作原理如下：

(1)MN通过常规的IPv6无状态或有状态的自动配置机制，获得转交地址(CoA， Care-of-Address)；

(2)MN获得CoA后，向家乡代理(HA，Home Agent)申请注册，即由MN向HA发 送一个用于汇报CoA的绑定更新(BU，Binding Update)消息，为MN的家乡地址(HoA， Home Address)和CoA在HA上建立绑定；

这样，在MN移动后，对端通信节点(CN，Correspondent Node)发送到MN的数据包， 将会被HA转发到MN新的转交地址上，这种路由方式称为双向隧道方式。

由于以双向隧道方式进行数据传递的时候，会带来额外的隧道开销以及三角路由问题， 因此为了节省资源，在MIPv6中提出了Route Opitimazation(路由优化)方式进行数据传递。 传递方式如下：

(1)MN和CN之间完成返回路径可达过程(RRP，Return Routability Procedure)，主要 过程是MN以其HoA向CN发送HoTI消息，并以其CoA向CN发送CoTI消息，CN分别向 MN的HoA返回HoT消息，向MN的CoA返回CoT消息。RRP的目的是确认与CN进行后 续BU/BA(Binding Acknowledge，绑定确认)过程的MN确实拥有其所声称的[HoA，CoA] 地址对，并且进行密钥交互。

(2)MN向CN发送绑定更新消息(BU)建立绑定，CN向MN返回绑定确认消息(BA)， 该过程使用上一个步骤中交互的密钥进行保护。

这样MN设置分组数据的源地址为移动节点的当前CoA，家乡地址选项中是MN的HoA， 就可以直接发送分组数据给CN，而无需HA中转。这种方式称为路由优化方式。

目前大量的防火墙是在IPv4网络占主流的情况下部署的，因此，防火墙对于IPv6的报文 处理能力有限，至于移动IPv6的信令则更是无法识别，例如：MN移动到外地网络之后，通过 隧道向HA发送的移动IP消息等需要再经ESP(Encapsulatiing Security Payload，封装安全 载荷)封装，而现存网络中的防火墙会丢弃ESP封装的包，从而造成移动IP的消息无法到达。 为此，需要在发送正常的数据包之前，利用信令对防火墙进行穿越，对防火墙的过滤规则做 出合法修改，从而达到防火墙穿越的目的。

NSIS(Next Steps In Signaling，下一代信令)工作组提出了一种防火墙穿越方法。NSIS 基本思想是把信令传输和信令应用分离开来，参见图2，NSIS协议体系将信令协议分为两层： NSLP(NSIS Signaling Layer Protocol，NSIS信令应用层协议)层和NTLP(NSIS Transport Layer  Protocol，NSIS信令传输层协议)层。防火墙穿越将被实现在NSLP中。

其中，NTLP层的主要任务是把信令消息从NSIS发起方NI(NSIS Initiator)传输到NSIS 响应方NR(NSIS Responder)，如果终端系统本身不支持NSIS，可以通过代理(proxy)实现。 其具体实现协议为GIST(General Internet Signaling Transport Protocol，通用消息层)协议。