公开(公告)号：CN1741523B

公开(公告)日：2010-05-12

申请号：CN200410057052.9

申请日：2004-08-25

Applicant: 华为技术有限公司

Inventor： 张宏科 ,  张思东 ,  任彦 ,  苏伟 ,  杨申 ,  杨贺 ,  郑祖周 ,  陈建 ,  王江林 ,  刘颖 ,  郜帅 ,  秦亚娟

IPC: H04L29/06 ,  H04L9/00

CPC classification number: H04L63/164 ,  H04W80/04

Abstract: 本发明提供一种实现主机移动性和多家乡功能的互联网密钥交换协议方法。在传输层和网络层之间加入一个主机标识符层，将传输层绑定到所述的主机标识符上；在HIP主机之间建立一对互联网协议安全联盟；将所述的联盟绑定到所述的主机标识符上，使所述的HIP主机能够从任何地址接收由HIP建立的、受封装安全载荷联盟保护的数据包；所述的HIP主机也能够改变自己的IP地址并且继续向通信对端发送数据包。以使通信节点对等体地址改变时保证HIP交换发起者和响应者之间端到端通信的安全性：为IP数据报提供机密性、数据完整性、接入控制、身份鉴别和数据源认证，防止在HIP协议中出现拒绝服务或者中间人等攻击。

公开(公告)号：CN1741523A

公开(公告)日：2006-03-01

申请号：CN200410057052.9

申请日：2004-08-25

Applicant: 华为技术有限公司

Inventor： 张宏科 ,  张思东 ,  任彦 ,  苏伟 ,  杨申 ,  杨贺 ,  郑祖周 ,  陈建 ,  王江林 ,  刘颖 ,  郜帅 ,  秦亚娟

IPC: H04L29/06 ,  H04L9/00

CPC classification number: H04L63/164 ,  H04W80/04

Abstract: 本发明提供一种实现主机移动性和多家乡功能的互联网密钥交换协议方法。在传输层和网络层之间加入一个主机标识符层，将传输层绑定到所述的主机标识符上；在HIP主机之间建立一对互联网协议安全联盟；将所述的联盟绑定到所述的主机标识符上，使所述的HIP主机能够从任何地址接收由HIP建立的、受封装安全载荷联盟保护的数据包；所述的HIP主机也能够改变自己的IP地址并且继续向通信对端发送数据包。以使通信节点对等体地址改变时保证HIP交换发起者和响应者之间端到端通信的安全性：为IP数据报提供机密性、数据完整性、接入控制、身份鉴别和数据源认证，防止在HIP协议中出现拒绝服务或者中间人等攻击。

公开(公告)号：CN100571196C

公开(公告)日：2009-12-16

申请号：CN200510055654.5

申请日：2005-03-22

Applicant: 华为技术有限公司

Inventor： 张宏科 ,  张思东 ,  杨申 ,  苏伟 ,  任彦 ,  郑祖周 ,  秦亚娟 ,  郜帅 ,  王江林 ,  刘颖 ,  苗福友

IPC: H04L12/56 ,  H04L29/06

CPC classification number: H04W80/04 ,  H04L63/029

Abstract: 本发明涉及一种移动IPv6报文穿越防火墙的实现方法。该方法主要包括：防火墙接收发起通信的移动IPv6报文，获取所述报文中的IPv6扩展头及过滤信息，并根据所述IPv6扩展头和过滤信息建立对应的过滤规则信息；然后，防火墙基于所述的过滤规则信息对经过的IPv6报文进行过滤处理。因此，本发明通过对防火墙的修改即可以获得可以实现本发明所述方法的防火墙，从而可以很好的支持MIPv6的通信，保证移动IPv6报文在相应的情况下均可以可靠地穿越防火墙。而且，本发明的实现使得移动节点和通信对端在不知道两者之间是否存在防火墙及防火墙的位置的情况下，仍然可以在移动节点地址发生改变时，保持正常的通信不中断。

公开(公告)号：CN100556027C

公开(公告)日：2009-10-28

申请号：CN200410087132.9

申请日：2004-11-01

Applicant: 华为技术有限公司

Inventor： 苗福友 ,  张宏科 ,  张思东 ,  杨申 ,  苏伟 ,  任彦 ,  杨贺 ,  郑祖周 ,  陈建 ,  王江林 ,  郜帅 ,  秦亚娟 ,  刘颖

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明涉及网络技术，为了解决IKEv2的地址更新问题，提供了一种基于网络密钥交换协议的地址更新方法，在起始端主机和响应端主机中绑定包括起始端主机私有地址及公开地址的地址列表，当起始端主机获得新的私有地址或公开地址则在该端主机地址列表中建立新的条目，并请求更新响应端主机地址列表，响应端返回确认更新信息完成地址更新。保证了更新地址的物理可达性，防止了“第三方轰炸”和“透明的伪NAT攻击”。

公开(公告)号：CN1838632A

公开(公告)日：2006-09-27

申请号：CN200510055654.5

申请日：2005-03-22

Applicant: 华为技术有限公司

Inventor： 张宏科 ,  张思东 ,  杨申 ,  苏伟 ,  任彦 ,  郑祖周 ,  秦亚娟 ,  郜帅 ,  王江林 ,  刘颖 ,  苗福友

IPC: H04L12/56 ,  H04L29/06

CPC classification number: H04W80/04 ,  H04L63/029

Abstract: 本发明涉及一种移动IPv6报文穿越防火墙的实现方法。该方法主要包括：防火墙接收发起通信的移动IPv6报文，获取所述报文中的IPv6扩展头及过滤信息，并根据所述IPv6扩展头和过滤信息建立对应的过滤规则信息；然后，防火墙基于所述的过滤规则信息对经过的IPv6报文进行过滤处理。因此，本发明通过对防火墙的修改即可以获得可以实现本发明所述方法的防火墙，从而可以很好的支持MIPv6的通信，保证移动IPv6报文在相应的情况下均可以可靠地穿越防火墙。而且，本发明的实现使得移动节点和通信对端在不知道两者之间是否存在防火墙及防火墙的位置的情况下，仍然可以在移动节点地址发生改变时，保持正常的通信不中断。

公开(公告)号：CN100414929C

公开(公告)日：2008-08-27

申请号：CN200510055313.8

申请日：2005-03-15

Applicant: 华为技术有限公司

Inventor： 张宏科 ,  张思东 ,  杨申 ,  苏伟 ,  任彦 ,  郑祖周 ,  秦亚娟 ,  郜帅 ,  王江林 ,  刘颖 ,  苗福友

IPC: H04L12/56 ,  H04L29/06

CPC classification number: H04W12/02 ,  H04L63/029 ,  H04L63/164 ,  H04W60/00 ,  H04W80/045 ,  H04W80/06

Abstract: 本发明公开了一种移动互联网协议网络中的报文传送方法，其特征在于，该方法包括以下步骤：A.移动节点向家乡代理发送一个只用网络安全IPsec协议封装的第一防火墙检测报文以及发送另一个用IPsec协议和用户数据报协议UDP封装的第二防火墙检测报文；B.移动节点根据接收到的分别针对第一和第二防火墙检测报文的防火墙检测应答报文，判断所述移动节点与家乡代理之间是否存在阻挡IPsec报文的防火墙，如果是，则继续执行绑定更新和报文交互，并采用UDP协议封装IPsec报文，否则，继续执行绑定更新和报文交互。应用本发明，当移动节点与家乡代理之间存在阻挡IPsec报文的防火墙时，移动节点和通信对端仍能够进行报文的交互。

公开(公告)号：CN100414919C

公开(公告)日：2008-08-27

申请号：CN200510115309.6

申请日：2005-11-14

Applicant: 华为技术有限公司

Inventor： 张宏科 ,  李德丰 ,  郜帅 ,  谷志慧 ,  张思东

IPC: H04L12/46 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种跨多自治系统混合网络VPN的实现方法，该方法包括以下步骤：A.设置网络中各设备的包括多个网络协议版本的路由信息，根据所述路由信息，VPN第一站点通过多自治系统混合网络向第二站点通告第一站点的VPN路由；B.第二站点内源主机根据所述路由通过所述多自治系统混合网络向第一站点发送目的地址为第一站点内目的主机的VPN业务流。本发明通过对现有技术进行修改和补充，给出了在骨干网络为跨多自治系统的IPv4/v6混合网络时，实现VPN站点间相互通信的方法。本发明的技术方案实现过程比较简单，适合于VPN用户较少的情况。

公开(公告)号：CN1980231A

公开(公告)日：2007-06-13

申请号：CN200510127402.9

申请日：2005-12-02

Applicant: 华为技术有限公司 ,  北京交通大学

Inventor： 张宏科 ,  张思东 ,  苗福友 ,  杨申 ,  张晖 ,  任彦 ,  陈健 ,  鲁红梅 ,  秦亚娟 ,  郜帅 ,  王江林 ,  刘颖 ,  朱道飞

IPC: H04L29/06 ,  H04L12/56 ,  H04L9/00

Abstract: 本发明公开了一种在移动IPv6中更新防火墙(FW)的方法，防火墙的外部通信节点或外部通信节点发生移动时，防火墙通过截获支持加密生成的地址(CGA)的BU或BA报文，获得并存储内部通信节点和外部通信节点的IP地址信息及对端公开密钥，并通知内部通信节点更新防火墙中与该原IP地址和目的IP地址对对应的过滤规则，在防火墙对来自内部节点的CGA信息等验证通过后，根据所述来自内部通信节点的过滤规则信息进行更新。该方法将CGA引入防火墙的更新处理中，实现了动态更新防火墙的过滤规则，并且保证了安全的数据报文正常穿越防火墙。同时，本发明方法利用BU/BA过程对防火墙进行更新，减少了防火墙的处理时间，提高了数据报文穿越防火墙的效率。

公开(公告)号：CN1852213A

公开(公告)日：2006-10-25

申请号：CN200510115309.6

申请日：2005-11-14

Applicant: 华为技术有限公司

Inventor： 张宏科 ,  李德丰 ,  郜帅 ,  谷志慧 ,  张思东

IPC: H04L12/46 ,  H04L12/56 ,  H04L29/06

Abstract: 本发明公开了一种跨多自治系统混合网络VPN的实现方法，该方法包括以下步骤：A.设置网络中各设备的包括多个网络协议版本的路由信息，根据所述路由信息，VPN第一站点通过多自治系统混合网络向第二站点通告第一站点的VPN路由；B.第二站点内源主机根据所述路由通过所述多自治系统混合网络向第一站点发送目的地址为第一站点内目的主机的VPN业务流。本发明通过对现有技术进行修改和补充，给出了在骨干网络为跨多自治系统的IPv4/v6混合网络时，实现VPN站点间相互通信的方法。本发明的技术方案实现过程比较简单，适合于VPN用户较少的情况。

公开(公告)号：CN1980231B

公开(公告)日：2010-08-18

申请号：CN200510127402.9

申请日：2005-12-02

Applicant: 华为技术有限公司 ,  北京交通大学

Inventor： 张宏科 ,  张思东 ,  苗福友 ,  杨申 ,  张晖 ,  任彦 ,  陈健 ,  鲁红梅 ,  秦亚娟 ,  郜帅 ,  王江林 ,  刘颖 ,  朱道飞

IPC: H04L29/06 ,  H04L12/56 ,  H04L9/00

Abstract: 本发明公开了一种在移动IPv6中更新防火墙(FW)的方法，防火墙的外部通信节点或外部通信节点发生移动时，防火墙通过截获支持加密生成的地址(CGA)的BU或BA报文，获得并存储内部通信节点和外部通信节点的IP地址信息及对端公开密钥，并通知内部通信节点更新防火墙中与该原IP地址和目的IP地址对对应的过滤规则，在防火墙对来自内部节点的CGA信息等验证通过后，根据所述来自内部通信节点的过滤规则信息进行更新。该方法将CGA引入防火墙的更新处理中，实现了动态更新防火墙的过滤规则，并且保证了安全的数据报文正常穿越防火墙。同时，本发明方法利用BU/BA过程对防火墙进行更新，减少了防火墙的处理时间，提高了数据报文穿越防火墙的效率。