CN104580186B - 基于hip的通信系统及通信方法 - Google Patents
基于hip的通信系统及通信方法 Download PDFInfo
- Publication number
- CN104580186B CN104580186B CN201410846546.9A CN201410846546A CN104580186B CN 104580186 B CN104580186 B CN 104580186B CN 201410846546 A CN201410846546 A CN 201410846546A CN 104580186 B CN104580186 B CN 104580186B
- Authority
- CN
- China
- Prior art keywords
- client
- hip
- gateway node
- module
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明公开了基于HIP的通信系统及通信方法。该系统包括若干个客户端和服务器,所述客户端与服务器采用HIP协议通信,还包括网关节点和认证中心,所述网关节点分别与客户端、服务器采用HIP协议通信,同时,网关节点还与认证中心保持通信。该系统在提供服务的应用服务器和使用服务的客户终端之间架设网关节点,网关节点作为内外网之间的唯一通道,可执行身份认证、访问控制等安全操作。
Description
技术领域
本发明属于通信领域,更具体地说是基于HIP的通信系统及通信方法。
背景技术
电子政务和智能移动终端的蓬勃发展,使得应用服务器需要提供并优化对移动终端的访问请求,移动终端由于其移动特性决定了其网络环境需要频繁在不同网络制式和不同网络服务区之间切换,传统的网络连接基于IP地址绑定,当网络连接建立后,一旦IP地址变化,连接将会断开,造成移动终端上的网络应用不可用。
当前因特网有两个全局的名称空间,域名和IP地址,其中IP地址同时作为主机的身份标识和位置标识。这种二义性设计是导致路由可扩展性、移动性和多宿等各种问题的一个主要原因。尤其是传输层与IP地址的绑定,导致IP地址改变后网络连接会断开。因此近年来有学者提出了将IP地址的这种二义性进行解耦合,即重新设计基于身份信息与位置信息分离的新型网络体系结构,以解决当前互联网所面临的各种问题,其中主机标识协议(Host Identity Protocol,简称HIP)是最典型的协议。
HIP在传输层与网络层之间插入了一个新的协议层——主机标识层,在主机标识层之上,使用主机标识符替代原有的IP地址来表明主机的身份属性,网络层使用IP地址路由数据包。身份标识符与IP地址间的映射转换在主机标识层完成。因此网络层的地址切换,不会影响上层会话的连续性,这样HIP很容易实现对主机移动性的支持。HIP的体系结构如图1所示。
但是,移动终端如何安全可靠地基于HIP访问应用服务器成为一个问题。如果每台应用服务器都直接暴露在外部网络,极易遭受攻击,而为每台服务器进行网络安全防护成本较高。HIP使用Internet Protocol Security(因特网协议安全,简称IPSec协议)来保证用户数据的安全。传统TCP/IP体系结构中IPSec将安全关联绑定到IP地址上,使得网络层的安全关联不能在网络中改变自己的位置,限制了主机的移动性,而使用HIP后,HIP使用的安全关联被绑定到主机标识上,可以支持通信中的IP地址改变。
如何使得移动终端与提供服务的应用服务器在基于HIP的基础上来进行成本低且能够安全通信就显得尤为重要。
发明内容
本发明所要解决的技术问题是:提供一种基于HIP的通信系统,该系统在提供服务的应用服务器和使用服务的客户终端之间架设网关节点,网关节点作为内外网之间的唯一通道,可执行身份认证、访问控制等安全操作。
为了解决上述技术问题,本发明基于HIP的通信系统,包括若干个客户端和服务器,所述客户端与服务器采用HIP协议通信,还包括网关节点和认证中心,所述网关节点分别与客户端、服务器采用HIP协议通信,同时,网关节点还与认证中心保持通信,
客户端包括唯一的数字证书、第一HIP模块、第一数据包捕获模块及客户端应用,其中,
客户端应用为客户端操作系统所支持的应用程序;
第一数据包捕获模块用于捕获客户端应用程序的网络层数据包并将数据包发送至第一HIP模块;
唯一的数字证书作为客户端的身份标识码,发送至第一HIP模块;
第一HIP模块用于实现HIP协议及IPSec协议;当发送数据包时使用IPSec加密封装,并使用数字证书作为HIP协议的身份标识码,第一HIP模块封装后的数据包发送至第二HIP模块;当接收网关节点发送过来的数据包时,使用IPSec解密解包;
网关节点包括第二数据包捕获模块、第二HIP模块、身份认证模块、访问控制模块;其中,
第二数据包捕获模块,用于捕获网关节点的网络层数据包,并发送至第二HIP模块;
第二HIP模块将从第一HIP模块中收到的数据报文进行IPSec解密及HIP协议解密,得到解密后的数据报文和客户端数字证书;网关节点发送数据包时使用IPSec加密封装;
身份认证模块,用于接收并存储经认证中心获取的签发客户端数字证书的根证书,收到用户请求时,将客户端数字证书发送给认证中心,验证客户端是否为合法用户;
访问控制模块,用于验证合法用户是否具备访问服务器的权限;
认证中心用于存储根证书并将根证书发送给网关节点,根证书用于网关节点为客户端签发客户端数字证书。
同时为了进一步描述本发明基于HIP的通信的实现过程,本发明提出一种通信方法,包括以下步骤:
步骤1、网关节点从认证中心获取用于签发客户端数字证书的根证书;
步骤2、客户端向网关节点发出获取数字证书请求,网关节点使用根证书给客户端签发数字证书;
步骤3、客户端向指定服务器发出服务请求,服务请求通过网关节点时,对该服务请求进行校验,根据校验结果决定是否让该服务请求通过网关节点发送至服务器;
步骤4、服务器根据服务请求完成相应的业务操作。
进一步地优选方案,本发明通信方法中,步骤3中服务请求包括客户端IP地址、服务器IP地址、数字证书和端口。
进一步地优选方案,本发明通信方法中,步骤3中对该服务请求进行校验,具体为:先对客户端数字证书进行身份认证,在身份认证成功情况下,根据客户端IP地址、服务器IP地址、端口、数字证书来进行访问控制。
与现有技术相比,本发明具有如下有益效果:本发明在提供服务的应用服务器和使用服务的客户终端之间架设网关服务器,网关服务器作为内外网之间的唯一通道,可执行身份认证、访问控制等安全操作;同时在保证网关服务器安全的基础上,让客户终端感受不到安全网关的存在,透明地访问应用服务器。
附图说明
图1为HIP协议的体系结构。
图2为本发明的详细结构框图。
图3为本发明的概要结构框图。
具体实施方式
如图2所示,本发明一种基于HIP的通信系统,包括若干个客户端和服务器,所述客户端与服务器采用HIP协议通信,还包括网关节点和认证中心,所述网关节点分别与客户端、服务器采用HIP协议通信,同时,网关节点还与认证中心保持通信,
客户端包括唯一的数字证书、第一HIP模块、第一数据包捕获模块及客户端应用,其中,
客户端应用为客户端操作系统所支持的应用程序,如浏览器、邮件客户端等;
第一数据包捕获模块用于捕获客户端应用程序的网络层数据包并将数据包发送至第一HIP模块;
唯一的数字证书作为客户端的身份标识码,发送至第一HIP模块;
第一HIP模块用于实现HIP协议及IPSec协议;当发送数据包时使用IPSec加密封装,使用数字证书作为HIP协议的身份标识码,第一HIP模块封装后的数据包发送至第二HIP模块;当接收网关节点发送过来的数据包时,使用IPSec解密解包;
网关节点包括第二数据包捕获模块、第二HIP模块、身份认证模块、访问控制模块;其中,
第二HIP模块将从第一HIP模块中收到的数据报文进行IPSec解密及HIP协议解密,得到解密后的数据报文和客户端数字证书;网关节点发送数据包时使用IPSec加密封装;
身份认证模块,用于接收并存储经认证中心获取的签发客户端数字证书的根证书,收到用户请求时,将客户端数字证书发送给认证中心,验证客户端是否为合法用户;
访问控制模块,用于验证合法用户是否具备访问服务器的权限;
第二数据包捕获模块,用于捕获网关节点的网络层数据包,并发送至第二HIP模块;
认证中心用于存储根证书并将根证书发送给网关节点,根证书用于网关节点为客户端签发客户端数字证书。
在具体实施过程中,多个客户端与多个服务器共用一个网关节点,其框架结构如图3所示。
各模块的具体实现过程如下:
1、客户端:利用虚拟网卡技术,建立虚拟网卡设备tun0,hip0,客户端所有的数据包都发送到虚拟网卡tun0,tun0捕获流入的数据包,转发到hip0网卡,hip0虚拟网卡实现了HIP协议,支持使用主机标识发起HIP连接。
2、客户端HIP模块的实现:hip0虚拟网卡在实现HIP协议的同时,在HIP的四次握手过程中,加入了数字证书的传递。从hip0收到的数据包,执行IP-IN-IP封包,同时利用IPSec技术对数据部分做加密封装,组装为UDP数据包。
3、网关节点的处理流程:网关节点收到UDP数据包后,首先脱去UDP报头,再进行IPSec解密,将解密后的报文交给第二HIP模块。第二HIP模块对解密后报文中的数字证书执行身份认证操作,并将数据包的源地址替换成hip0的地址。网关节点对数据包执行访问控制检查,通过检查的数据包转发给服务器,未通过访问控制检查的报文则丢弃。
4、服务器的答复:网关节点收到后台应用服务器的响应数据包后,从网关节点的hip0虚拟网卡捕获数据包,使用与客户端相同的方式进行封包处理,唯一的不同之处在于网关节点不将数字证书封包打入数据包中。
5、数据包发送到客户端:解包的过程同网关节点的解包过程,不同之处在于没有身份认证和访问控制过程。
同时,本发明提出的一种通信方法,包括以下步骤:
步骤1、网关节点从认证中心获取用于签发客户端数字证书的根证书;
步骤2、客户端向网关节点发出获取数字证书请求,网关节点使用根证书给客户端签发数字证书;
步骤3、客户端向指定服务器发出服务请求,服务请求通过网关节点时,对该服务请求进行校验,根据校验结果决定是否让该服务请求通过网关节点发送至服务器;服务请求包括客户端IP地址、服务器IP地址、数字证书和端口;对该服务请求进行校验,具体为:先对客户端数字证书进行身份认证,在身份认证成功情况下,根据客户端IP地址、服务器IP地址、端口、数字证书来进行访问控制;
步骤4、服务器根据服务请求完成相应的业务操作。
显然,本发明的上述实施例仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而这些属于本发明的实质精神所引伸出的显而易见的变化或变动仍属于本发明的保护范围。
Claims (5)
1.基于HIP的通信系统,包括若干个客户端和服务器,所述客户端与服务器采用HIP协议通信,其特征在于,还包括网关节点和认证中心,所述网关节点分别与客户端、服务器采用HIP协议通信,同时,网关节点还与认证中心保持通信,
客户端包括唯一的数字证书、第一HIP模块、第一数据包捕获模块及客户端应用,其中,
客户端应用为客户端操作系统所支持的应用程序;
第一数据包捕获模块用于捕获客户端应用程序的网络层数据包并将数据包发送至第一HIP模块;
唯一的数字证书作为客户端的身份标识码,发送至第一HIP模块;
第一HIP模块用于实现HIP协议及IPSec协议;当发送数据包时使用IPSec加密封装,并使用数字证书作为HIP协议的身份标识码,第一HIP模块封装后的数据包发送至第二HIP模块;当接收网关节点发送过来的数据包时,使用IPSec解密解包;
网关节点包括第二数据包捕获模块、第二HIP模块、身份认证模块、访问控制模块;其中,
第二数据包捕获模块,用于捕获网关节点的网络层数据包,并发送至第二HIP模块;
第二HIP模块将从第一HIP模块中收到的数据报文进行IPSec解密及HIP协议解密,得到解密后的数据报文和客户端数字证书;网关节点发送数据包时使用IPSec加密封装;
身份认证模块,用于接收并存储经认证中心获取的签发客户端数字证书的根证书,收到用户请求时,将客户端数字证书发送给认证中心并验证客户端是否为合法用户;
访问控制模块,用于验证合法用户是否具备访问服务器的权限;
认证中心用于存储根证书并将根证书发送给网关节点,根证书用于网关节点为客户端签发客户端数字证书。
2.根据权利要求1所述基于HIP的通信系统,其特征在于,客户端操作系统所支持的应用程序为浏览器、邮件客户端。
3.一种权利要求1所述基于HIP的通信系统的通信方法,其特征在于,包括以下步骤:
步骤1、网关节点从认证中心获取用于签发客户端数字证书的根证书;
步骤2、客户端向网关节点发出获取数字证书请求,网关节点使用根证书给客户端签发数字证书;
步骤3、客户端向指定服务器发出服务请求,服务请求通过网关节点时,对该服务请求进行校验,根据校验结果决定是否让该服务请求通过网关节点发送至服务器;
步骤4、服务器根据服务请求完成相应的业务操作。
4.根据权利要求3所述通信方法,其特征在于,步骤3中服务请求包括客户端IP地址、服务器IP地址、数字证书和端口。
5.根据权利要求4所述通信方法,其特征在于,步骤3中对该服务请求进行校验,具体为:先对客户端数字证书进行身份认证,在身份认证成功情况下,根据客户端IP地址、服务器IP地址、端口、数字证书来进行访问控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410846546.9A CN104580186B (zh) | 2014-12-31 | 基于hip的通信系统及通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410846546.9A CN104580186B (zh) | 2014-12-31 | 基于hip的通信系统及通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580186A CN104580186A (zh) | 2015-04-29 |
| CN104580186B true CN104580186B (zh) | 2018-02-09 |
Family
ID=
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
| CN101120572A (zh) * | 2005-02-18 | 2008-02-06 | 艾利森电话股份有限公司 | 主机标识协议方法和设备 |
| CN102377829A (zh) * | 2010-08-09 | 2012-03-14 | 中兴通讯股份有限公司 | 基于hip的通信方法、系统及设备 |
| CN103595823A (zh) * | 2012-08-17 | 2014-02-19 | 华为技术有限公司 | 数据传输的方法、终端及系统 |
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
| CN101120572A (zh) * | 2005-02-18 | 2008-02-06 | 艾利森电话股份有限公司 | 主机标识协议方法和设备 |
| CN102377829A (zh) * | 2010-08-09 | 2012-03-14 | 中兴通讯股份有限公司 | 基于hip的通信方法、系统及设备 |
| CN103595823A (zh) * | 2012-08-17 | 2014-02-19 | 华为技术有限公司 | 数据传输的方法、终端及系统 |
Non-Patent Citations (1)
| Title |
|---|
| Securing the contrl channel of software-defined mobile networks;Madhusanka Liyanage, et al.;《Proceeding of IEEE international Symposium on a World of Wireless,Mobile and Multimedia Networks》;20140619;全文 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107534665B (zh) | 利用ssl会话票证扩展的可扩缩中间网络设备 | |
| US9203807B2 (en) | Private cloud server and client architecture without utilizing a routing server | |
| US9100370B2 (en) | Strong SSL proxy authentication with forced SSL renegotiation against a target server | |
| CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
| US10237253B2 (en) | Private cloud routing server, private network service and smart device client architecture without utilizing a public cloud based routing server | |
| CN104270379B (zh) | 基于传输控制协议的https 代理转发方法及装置 | |
| CN102801616B (zh) | 报文发送和接收的方法、装置和系统 | |
| US20220255903A1 (en) | Secure network protocol and transit system to protect communications deliverability and attribution | |
| CN104168173B (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| JP5921460B2 (ja) | 認証方法、転送装置及び認証サーバ | |
| US10075424B2 (en) | Application authentication wrapper | |
| US20170126623A1 (en) | Protected Subnet Interconnect | |
| CN106878133B (zh) | 报文转发方法及装置 | |
| CN111355695B (zh) | 一种安全代理方法和装置 | |
| CN114679303B (zh) | 一种用于卫星互联网的源地址验证方法及装置 | |
| CN104993993A (zh) | 一种报文处理方法、设备和系统 | |
| WO2019076000A1 (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| WO2023179656A1 (zh) | 一种SRv6报文处理方法、装置、通信设备和存储介质 | |
| CN102611712A (zh) | 一种数字家庭网络接入与认证方法 | |
| CN103067282B (zh) | 数据备份方法、装置及系统 | |
| TWI537744B (zh) | 不利用公用雲端型路由伺服器之私有雲端路由伺服器、私有網路服務及智慧型裝置客戶端架構 | |
| CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
| GB2496380A (en) | Private cloud server and client architecture using e-mail/SMS to establish communication | |
| Jara et al. | Mobility modeling and security validation of a mobility management scheme based on ecc for ip-based wireless sensor networks (6lowpan) | |
| CN104580186B (zh) | 基于hip的通信系统及通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180209 |