[发明专利]一种基于移动IPv6的家庭网络访问方法及其网络设备

说明书

技术领域

本发明涉及数据通信技术领域，尤其涉及一种在移动IPv6环境下对局域网络进行访问的方法及其设备。

背景技术

随着通信等技术的飞速发展，家庭电子设备网络化、互联化越来越明显，加之Internet(因特网)的快速发展，IPv6以及相关技术也越来越成熟，IPv6可以提供巨大的可用地址空间，所有的电子设备都能拥有一个可寻址的IPv6地址，家庭网络也就成为一个随时在线的网络。

图1是一种典型的家庭网络及其访问示意图，家庭网络110中的电子设备(例如电脑、电视、空调、冰箱等)通过其家庭网关111、网络接入提供商NAP120的接入接点121实现对外部网络资源的访问，例如：网络服务提供商NSP 130的视频服务器131提供的视频服务、或通过互联网(Internet)与其它网络设备建立通信，这类应用多数是从家庭网络设备发起的；然而，当用户离开家庭网络后，他可能需要访问家庭网络110中的某个设备，例如他可以通过其移动网络设备--个人数字助理(PDA)112提前打开空调给房间降温、远程监视、查询冰箱是否缺少某种蔬菜等；另外，用户有可能需要让设备厂家--外部访问节点140对家中某个设备进行软件升级等......。这个时候需要由外部访问节点发起对家庭网络中某设备的通信，如何有效地、安全地对家庭网络中设备进行访问控制是一个急需解决的问题。

如前面所述，我们可简单地将需要从外部网络发起对家庭网络中某些设备(比如空调、冰箱等)的访问归纳为两种情形：(1)、从家庭网络中出来的移动网络设备需要访问控制家庭中的某个设备；(2)、非家庭网络中的第三方访问设备需要访问控制家庭中的某个设备。

当前，各种有关家庭网络的标准化组织主要考虑家庭网络设备之间的互联互通，还缺乏一个统一有效的方案解决家庭网络的安全访问控制问题。

一般的想法是在家庭网关111处实现复杂的防火墙进行认证，外部移动网络设备112或第三方访问设备140需要专门的程序与防火墙通信。

或者是在外部移动网络设备112或第三方访问设备140的访问接入节点(图中未示意出)和被访问的家庭网络100的接入节点121之间建立安全通道，此时外部访问设备才可以随便访问家庭网络任何设备，该方式具有如下缺陷：(1)扩展性差：因为这需要Internet网络中所有节点都要支持安全通道建立规则，事实上这是不可能的；(2)实现复杂：需要定义新的用于接入节点之间建立安全通道的消息或者协议；(3)存在潜在攻击：由于安全通道仅仅位于两个接入节点之间，存在这样一种情况，外部访问设备112或140的访问接入节点之后，同一个子网中、有可能存在冒充设备攻击家庭网络。

发明内容

本专利提出一个有效的方案，利用移动IPv6机制、在家庭网络对应的具有家乡代理功能的网络设备上对访问家庭网络的IPv6分组实行过滤控制，有效地解决了外部网络中的设备对家庭网络设备的安全访问控制问题。

根据本发明的一个方面，一种基于移动IPv6的家庭网络访问控制方法，包括：a)、访问节点向家乡代理进行通信注册；b)、根据所述通信注册结果生成对家庭网络的访问列表，记录该访问节点的家乡地址及其所在网络的源地址的绑定关系；c)、对访问家庭网络的IPv6分组、提取其家乡地址和源地址并与所述访问列表中某绑定项进行匹配检查，决定是否允许对家庭网络设备进行访问。

优选地，前述方法中访问节点可以为家庭网络中漫游出去的访问节点，所述访问列表记录的源地址为其所在网络的转交地址。

优选地，前述方法中步骤a)中，家乡代理在与访问节点之间通信注册发生变化时，它进一步对访问列表中绑定关系进行更新。

优选地，前述方法中所述访问节点也可以为非家庭网络的第三方访问节点，步骤b)绑定关系进一步包括与家庭网络内可控设备地址的绑定，步骤c)进一步包括提取IPv6分组目标地址并与所述可控设备地址进行匹配检查。

根据本发明的另外一个方面，一种基于移动IPv6的家庭网络访问控制的网络设备，包括：家乡代理模块：接收来自访问节点的通信注册请求；安全访问控制模块：根据所述家乡代理的通信注册结果生成对家庭网络的访问列表，记录该访问节点的家乡地址及其所在网络的源地址的绑定关系，并根据所述绑定关系控制访问节点对家庭网络访问。

优选地，安全访问控制模块对访问家庭网络的IPv6分组、提取其家乡地址和源地址并与所述访问列表中某绑定项进行匹配检查，决定是否允许对家庭网络设备进行访问。

优选地，家乡代理模块在其绑定注册发生变化时，进一步对所述访问列表进行更新。