[发明专利]一种在移动IPv6中更新防火墙的方法

摘要

本发明公开了一种在移动IPv6中更新防火墙(FW)的方法，防火墙的外部通信节点或外部通信节点发生移动时，防火墙通过截获支持加密生成的地址(CGA)的BU或BA报文，获得并存储内部通信节点和外部通信节点的IP地址信息及对端公开密钥，并通知内部通信节点更新防火墙中与该原IP地址和目的IP地址对对应的过滤规则，在防火墙对来自内部节点的CGA信息等验证通过后，根据所述来自内部通信节点的过滤规则信息进行更新。该方法将CGA引入防火墙的更新处理中，实现了动态更新防火墙的过滤规则，并且保证了安全的数据报文正常穿越防火墙。同时，本发明方法利用BU/BA过程对防火墙进行更新，减少了防火墙的处理时间，提高了数据报文穿越防火墙的效率。

主权项

1、一种在移动网络层协议版本6IPv6中更新防火墙的方法，其特征在于，防火墙的外部通信节点和受防火墙保护的内部通信节点支持加密生成的地址CGA且分别在内部和外部通信节点中生成各自的包含本端公开密钥的CGA信息，该方法包括以下步骤：A.防火墙截获绑定更新BU报文或绑定确认BA报文，并根据已有过滤规则判断是否允许该BU报文或BA报文穿越，若允许，则完成BU/BA过程后结束本流程；若不允许，则存储BU或BA报文携带的对端公开密钥、源IP地址和目的IP地址对，并允许BU或BA报文穿越防火墙以完成BU/BA过程且在内部或外部通信节点中存储BU或BA报文携带的对端公开密钥；B.采用所述源IP地址和目的IP地址对通知内部通信节点更新防火墙中的过滤规则；C.所述内部通信节点根据所述源IP地址和目的IP地址获取过滤规则，并将获得的过滤规则信息及自身CGA信息发送给防火墙；D.防火墙根据自身存储的所述对端公开密钥、接收到的CGA信息中的本端公开密钥验证接收到的源IP地址和目的IP地址是否合法，若合法，则防火墙采用接收到的过滤规则更新自身的所述源IP地址和目的IP地址对的过滤规则；否则，丢弃接收到的过滤规则信息、数字签名值及内部通信节点的CGA信息。