[发明专利]一种移动IP的安全系统和安全机制建立方法

说明书

技术领域

本发明属于移动通信与信息安全技术领域，涉及一种移动IP网络的安全系统和安全 机制。

背景技术

随着生活节奏的加快，人们不满足在固定地点的学习和办公。而随着移动网络建设 的如火如荼，移动信号的覆盖使得人们可以实现随时随地上网。移动IP(Mobile IP)技 术满足了人们对节点移动性的需求。但是无线链路的开放性使得网络窃听、拒绝服务和 会话劫持等网络安全隐患比以前更加突出。IETF工作组在制定移动IP的相应规范时，并 没有考虑安全的因素。这样就导致了移动IP和现有的各种安全技术相结合，比如美国 CISCO公司基于IPSec(IP Security)的移动VPN等。

基于IPSec移动VPN技术所采用的IPSec协议虽然技术成熟而得到广泛的应用，但 配置复杂，IKE非常繁琐，系统开销大，不适合在移动网络环境低带宽、高延迟下使用， 并且IPSec VPN和移动IP的结合会产生网络环境复杂、IPSec隧道建立困难大、隧道封 装开销大的困难。

SSL VPN继承了SSL(Secure Sockets Layer)的易用性和VPN(Virtual Personal Network)的私有性，具有良好的易用性、实用性，比IPSec VPN更加适合在移动网络环 境下使用，但目前主流的SSL VPN明显缺乏对移动节点管理，而且与其他移动实体的系 统架构关系也处于空白。

发明内容

本发明目的是针对现有技术存在的缺陷提供一种移动IP的安全系统和安全机制建立 方法。

本发明为实现上述目的，针对移动用户远程接入的企业应用环境，采用如下技术方 案：

本发明一种移动IP的安全系统，包括由众多移动节点构成的外地网络，其特征在于 还包括SSL VPN网关以及由家乡代理和通信对端构成的内网，所述每个移动节点都包括 VPN模块和移动IP协议模块，用户通过移动IP协议模块串接VPN模块后通过互联网与 SSL VPN网关通信，SSL VPN网关依次串接家乡代理和通信对端。

所述的一种移动IP的安全系统，其特征在于所述SSL VPN网关包括VPN模块、移 动节点管理模块，其中移动节点管理模块通过互联网与移动节点通信，VPN模块与家乡 代理对端，记录当前移动节点的位置信息，维护当前与移动节点的通信链路。

所述的一种移动IP的安全系统，其特征在于，所述VPN模块包括认证模块、加/解 密模块、通信模块，其中认证模块用于通信双方证书的认证和管理；加/解密模块基于公 钥基础设施PKI体系，针对VPN隧道的数据分组，对数据分组进行完整性检查、利用 SSL协议加/解密数据分组；通信模块，基于TCP/IP协议栈，实现路由管理和数据分组 的转发，维护和网络节点的通信连接。

所述的一种移动IP的安全系统的安全机制建立方法，其特征在于，包含以下步骤：

1)移动节点漫游到外地后，向家乡代理注册：首先使用SSL的握手协议和SSL VPN网 关建立SSL安全隧道保证注册的安全；然后移动节点发出注册请求；

2)家乡代理响应移动节点的注册请求后，移动节点将对数据分组进行认证、加密、封装；

3)SSL VPN网关收到移动节点的数据分组，进行认证、解密后，交给家乡代理；

4)家乡代理解除移动IP协议封装IP-in-IP，交给通信对端，完成通信。

所述的一种移动IP的安全系统的安全机制建立方法，其特征在于，步骤(2)所述的 数据分组的封装方式为：先进行移动IP协议封装IP-in-IP；然后进行SSL安全隧道封装。

所述的一种移动IP的安全系统的安全机制建立方法，其特征在于，所述移动节点完 成或解除移动IP协议IP-in-IP的封装，完成或解除SSL安全隧道封装；所述SSL VPN网 关完成或解除SSL安全隧道封装。

所述的一种移动IP的安全系统的安全机制建立方法，其特征在于，SSL隧道的上层 传输层使用UDP。

所述的一种移动IP的安全系统的安全机制建立方法，其特征在于，移动节点管理模 块在移动节点完成注册前记录当前移动节点的位置信息，包括IP地址和端口号。