一种基于移动IPv6的家庭网络访问方法及其网络设备

摘要

本发明提供了一种基于移动IPv6的家庭网络访问控制方法及其网络设备，该方法包括：a)访问节点向家乡代理进行通信注册；b)根据所述通信注册结果生成对家庭网络的访问列表，记录该访问节点的家乡地址及其所在网络的源地址的绑定关系；c)对访问家庭网络的IP分组、提取其家乡地址和源地址并与所述访问列表中某绑定项进行匹配检查，决定是否允许对家庭网络设备进行访问。本发明利用移动IPv6技术，在家乡代理实现处对访问家庭网络的数据包进行过滤处理，即可完成外网的访问节点对家庭网络中设备的安全访问控制，实现简单、扩展性好。

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种在移动IPv6环境下对局域网络进行访问的方法及其设备。

背景技术

随着通信等技术的飞速发展，家庭电子设备网络化、互联化越来越明显，加之Internet(因特网)的快速发展，IPv6以及相关技术也越来越成熟，IPv6可以提供巨大的可用地址空间，所有的电子设备都能拥有一个可寻址的IPv6地址，家庭网络也就成为一个随时在线的网络。

图1是一种典型的家庭网络及其访问示意图，家庭网络110中的电子设备(例如电脑、电视、空调、冰箱等)通过其家庭网关111、网络接入提供商NAP120的接入接点121实现对外部网络资源的访问，例如：网络服务提供商NSP 130的视频服务器131提供的视频服务、或通过互联网(Internet)与其它网络设备建立通信，这类应用多数是从家庭网络设备发起的；然而，当用户离开家庭网络后，他可能需要访问家庭网络110中的某个设备，例如他可以通过其移动网络设备--个人数字助理(PDA)112提前打开空调给房间降温、远程监视、查询冰箱是否缺少某种蔬菜等；另外，用户有可能需要让设备厂家--外部访问节点140对家中某个设备进行软件升级等......。这个时候需要由外部访问节点发起对家庭网络中某设备的通信，如何有效地、安全地对家庭网络中设备进行访问控制是一个急需解决的问题。

如前面所述，我们可简单地将需要从外部网络发起对家庭网络中某些设备(比如空调、冰箱等)的访问归纳为两种情形：(1)、从家庭网络中出来的移动网络设备需要访问控制家庭中的某个设备；(2)、非家庭网络中的第三方访问设备需要访问控制家庭中的某个设备。

当前，各种有关家庭网络的标准化组织主要考虑家庭网络设备之间的互联互通，还缺乏一个统一有效的方案解决家庭网络的安全访问控制问题。

一般的想法是在家庭网关111处实现复杂的防火墙进行认证，外部移动网络设备112或第三方访问设备140需要专门的程序与防火墙通信。

或者是在外部移动网络设备112或第三方访问设备140的访问接入节点(图中未示意出)和被访问的家庭网络100的接入节点121之间建立安全通道，此时外部访问设备才可以随便访问家庭网络任何设备，该方式具有如下缺陷：(1)扩展性差：因为这需要Internet网络中所有节点都要支持安全通道建立规则，事实上这是不可能的；(2)实现复杂：需要定义新的用于接入节点之间建立安全通道的消息或者协议；(3)存在潜在攻击：由于安全通道仅仅位于两个接入节点之间，存在这样一种情况，外部访问设备112或140的访问接入节点之后，同一个子网中、有可能存在冒充设备攻击家庭网络。

发明内容

本专利提出一个有效的方案，利用移动IPv6机制、在家庭网络对应的具有家乡代理功能的网络设备上对访问家庭网络的IPv6分组实行过滤控制，有效地解决了外部网络中的设备对家庭网络设备的安全访问控制问题。

根据本发明的一个方面，一种基于移动IPv6的家庭网络访问控制方法，包括：a)、访问节点向家乡代理进行通信注册；b)、根据所述通信注册结果生成对家庭网络的访问列表，记录该访问节点的家乡地址及其所在网络的源地址的绑定关系；c)、对访问家庭网络的IPv6分组、提取其家乡地址和源地址并与所述访问列表中某绑定项进行匹配检查，决定是否允许对家庭网络设备进行访问。

优选地，前述方法中访问节点可以为家庭网络中漫游出去的访问节点，所述访问列表记录的源地址为其所在网络的转交地址。

优选地，前述方法中步骤a)中，家乡代理在与访问节点之间通信注册发生变化时，它进一步对访问列表中绑定关系进行更新。

优选地，前述方法中所述访问节点也可以为非家庭网络的第三方访问节点，步骤b)绑定关系进一步包括与家庭网络内可控设备地址的绑定，步骤c)进一步包括提取IPv6分组目标地址并与所述可控设备地址进行匹配检查。

根据本发明的另外一个方面，一种基于移动IPv6的家庭网络访问控制的网络设备，包括：家乡代理模块：接收来自访问节点的通信注册请求；安全访问控制模块：根据所述家乡代理的通信注册结果生成对家庭网络的访问列表，记录该访问节点的家乡地址及其所在网络的源地址的绑定关系，并根据所述绑定关系控制访问节点对家庭网络访问。

优选地，安全访问控制模块对访问家庭网络的IPv6分组、提取其家乡地址和源地址并与所述访问列表中某绑定项进行匹配检查，决定是否允许对家庭网络设备进行访问。

优选地，家乡代理模块在其绑定注册发生变化时，进一步对所述访问列表进行更新。

优选地，所述访问列表进一步包括与家庭网络内可控设备地址的绑定，安全访问控制模块进一步提取IPv6分组目标地址并与所述访问列表中被访问设备地址进行匹配检查。

本发明仅仅需要在家庭网络所对应的具有家乡代理机制的网络设备(所有进出家庭网络的数据都必须经过该设备)上，做适当的修改、建立相应的访问列表，对访问家庭网络的数据包进行过滤处理，即可完成外网的访问节点对家庭网络中设备的安全访问控制，实现简单、扩展性好。

附图说明

图1是一种典型的家庭网络及其访问示意图；

图2是IPv6环境下家庭网络访问结构示意图；

图3A是本发明基于IPv6的家庭网络访问系统结构示意图；

图3B是本发明网络接入节点实现结构框图；

图4A是本发明移动节点安全访问列表示意图；

图4B是本发明第三方节点安全访问列表示意图。

具体实施方式

首先，我们对移动IPv6相关原理做简单说明，移动IPv6使得IPv6节点具有了移动性，即虽然任意改变该移动节点在IPv6网络上的位置(位于不同的IPv6子网中)，该移动节点与其他通信节点之间的已有的通信连接不会中断，并且其他通信节点始终可以通过其家乡地址HoA(Home-of Address)寻址到该IPv6节点。

结合图2所示家庭网络访问结构示意图，图例中接入节点221实现了家乡代理(Home Agent)功能。

1)、通信注册过程：当一个具有家乡地址HoA的移动节点--家庭网络设备212漫游到外网，它可以从该外网获得一个源地址--转交地址CoA(Care-ofAddress)，然后其向其家庭网络对应的家乡代理--接入节点221发起通信注册过程，即发绑定更新(BU：Binding Update)消息到家乡代理以完成其家乡地址HoA和当前的转交地址CoA映射操作。家乡代理处维护了一个绑定缓存器(BC：Binding Cache)，BC的每一个表项记录了一对<HoA，CoA>映射以及相应的生存时间(即这个绑定的剩余生存时间)、对于这个HoA的前一个BU消息的序列号等信息，一旦生存时间为零，则相应表项将被删除。

2)移动节点访问过程：在完成通信注册之后，家乡代理截获所有寻址到家乡地址HoA的IP分组(如图例中访问节点240需要对漫游家庭网络设备212进行访问)，然后通过隧道(Tunnel)等技术发送给家庭网络设备212当前的CoA地址，这样就保证了家庭网络设备212始终可达。为了消除三角路由问题，家庭网络设备212可以向与之通信的通信节点发出绑定更新，使得两者可以直接通信，无须经过接入节点221。

对于家庭网络而言，从安全角度来讲，我们认为：(1)一个家庭网络具有相同的前缀，即同一个家庭网络中的设备共享一个地址前缀空间；(2)同一个家庭网络的设备相互友好，相互之间的访问是安全的，即具有相同地址前缀的设备相互友好；(3)家庭网络中的可被访问控制的设备(可控设备)一般不能被外部第三方访问节点所控制，除非该访问节点通过认证授权。因此，我们可以使处于外网的第三方访问节点获得一个家乡地址、具有从家庭网络中漫游出来的移动设备相同的功能，并在家乡代理处对外网访问设备的行为进行控制管理，即可达到对家庭网络的安全访问控制。

下面，结合图3A、3B对本发明优选实施方式进行详细的说明，考虑未来的IPv6网络必然是要支持移动IPv6，与用户家庭网络相连的第一个三层网络设备需要支持家乡代理，如图例3A家庭网络310所对应的接入节点321。在图3B所示网络接入节点实现结构框图中，除了具有家乡代理模块3211之外，接入节点321进一步包括安全访问控制模块3213对外部访问节点对家庭网络行为进行控制管理。

通信注册过程：

从家庭网络中移动出去的访问节点一家庭网络设备312与家乡代理通信注册过程如前所述，值得说明的是，我们可以通过一定的认证鉴别方式，识别出该访问节点是否是从家庭网络中移动出去的设备、是否对其宣称的家乡地址HoA10拥有所有权；家乡代理模块3211在家庭网络设备312通信注册后将并建立一绑定缓存器，其表项记录至少包含家庭网络设备312的家乡地址HoA10及其所在网络的转交地址CoA10的绑定关系。

而对于不属于家庭网络的访问节点--外部第三方访问节点340，它可以运行移动IPv6的协议栈，通过一种机制使其具有家庭网络地址空间中的一个家乡地址HoA20。此时该第三方访问节点类似从家庭网络中出来的由于某种原因重新启动的移动设备，只有一个从当前网络获得的网络地址IP20，而没有对应于的家乡地址，当前IETF(互联网工程任务组)正在制订解决移动到外网的移动节点的自举问题，获得足够的信息(包括家乡地址，家乡代理的地址以及相应安全关联(Security Association))以完成移动节点到家乡代理的通信注册。

家庭网络访问列表：

安全访问控制模块3212可利用前述通信注册过程建立的绑定缓存器生成一个访问列表，根据访问节点是否属于家庭网络设备，以下对访问列表的构建分别进行说明：

如图4A所示移动节点安全访问列表，该访问列表可以由家乡代理模块中的绑定高速缓存器BC得到，其每一个表项至少包括<转交地址、家乡地址>二元组；

如图4B所示第三方访问节点安全访问列表，访问列表进一步包括与家庭网络内可控设备地址的绑定，如此，可限定外部第三方访问节点对特定家庭网络设备的访问。第三方访问节点的自举、通信注册如前所述，一旦其成功它将获得一个家乡地址HoA20，则家乡代理模块3211通知家庭网络安全访问控制模块3212把这个第三方访问节点地址CoA20、家乡地址HoA20与该第三方设备要访问的可控设备地址IP20进行关联。

对于第三方访问节点安全访问列表，有必要记录相应的<家乡地址，访问节点地址>映射的生存时间，该生存时间可以由自举认证过程中所确定，该时间通常为授权第三方节点可访问家庭网络中某可控设备的时间，一旦生存时间为零。

家庭网络设备访问控制：

对于所接收到的访问家庭网络内部设备的IP分组，安全访问控制模块3212提取其家乡地址(HoA’)和源地址(CoA’)并与所述访问列表中某绑定项<家乡地址：转交地址>进行匹配检查，以决定访问节点是否是该家庭网络中移动出去的网络设备、以及是否允许该IP分组进入家庭网络。移动IPv6中，当访问节点在离开家乡网络的地方发送数据包时，数据包中IPv6头标的源地址为它当前的转交地址(CoA’)，并且它还将包含一个Home Address Destination Option，给出该访问节点的家乡地址(HoA’)。

通常，家乡代理模块3211所建立的绑定缓存器还记录了相应的<HoA，CoA>映射的生存时间(即这个绑定的剩余生存时间)、以及对于这个HoA的前一个BU消息的序列号等信息，一旦生存时间为零，则相应表项将被删除；此外，新的访问节点也会随时注册。因此，家乡代理模块3211有必要在其绑定注册关系发生变化时，进一步对安全访问控制模块3212使用的访问列表进行更新，删除或增加相应的访问节点表项。

如前所述，为了限定第三方访问节点对家庭网络中特定网络设备的访问，安全访问控制模块3212可以进一步根据所建立的访问列表，进一步对IP分组的目标地址(DstA)并与所述访问列表中被访问设备地址进行匹配检查，以决定是否允许对家庭网络设备进行访问。

从安全角度考虑，安全访问控制模块将根据第三方访问节点安全访问列表中第三方访问节点绑定关系的生存时间，发出绑定刷新请求(BRR)消息给相应的位于外部网络的第三方访问节点，要求重新认证绑定，并根据响应消息刷新列表。一旦生存时间为零，则相应表项被删除，该第三方节点将不能够对可控设备进行访问。

此外，访问节点与被访问的家庭网络设备之间仍然需要按照标准移动IPv6机制进行认证绑定，最终被访问家庭网络设备上会建立一个绑定表项，记录访问节点的<HoA，CoA>，此时还可以协商建立访问节点和被访问家庭网络设备之间的IPsce安全关系，这样就保证了后续的通信安全。如此，本发明思想下的家庭网络设备访问具有两层保护控制机制：其一、与家庭网络相连的家乡代理(接入节点)处实现的安全访问控制根据多种地址信息对IP分组过滤；其二、外网访问节点与被访问的家庭网络设备之间建立的IPsec保护。

值得说明的是，当家乡代理实现在家庭网关311上，本发明方案可移植到家庭网关311上去完成对家庭网络的安全访问控制。

此外，访问列表可以在基于家乡代理的绑定缓存器做适当修改，将新定义的一些表项(例如被访问设备地址、第三方访问节点IP地址等)合并到绑定缓存器中。安全访问控制模块根据修改后的绑定缓存器中记录的访问节点信息对访问家庭网络的IP分组进行过滤。

本发明还可应用于类似家庭网络的网络环境，从而提供从外部网络对内部网络的安全访问。

尽管上述说明为本发明提供了一些实施例，并非用来限定本发明的保护范围，本技术领域的专业人员可以在不脱离本发明的范围和精神的前提下，对实施例进行各种修改，这种修改均属于本发明的范围内。