CN1509111A - 用于安全移动的基于ip的漫游解决方案的方法、设备和系统 - Google Patents
用于安全移动的基于ip的漫游解决方案的方法、设备和系统 Download PDFInfo
- Publication number
- CN1509111A CN1509111A CNA031272916A CN03127291A CN1509111A CN 1509111 A CN1509111 A CN 1509111A CN A031272916 A CNA031272916 A CN A031272916A CN 03127291 A CN03127291 A CN 03127291A CN 1509111 A CN1509111 A CN 1509111A
- Authority
- CN
- China
- Prior art keywords
- address
- mobile node
- ancestral home
- outside
- ipsec tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
本发明公开了提供无缝、安全漫游解决方案的方法、设备和系统。本发明的实施例能够穿越企业安全网关安全地传输IP分组。根据一个实施例,外部网上的移动节点可以利用外部原籍地址向外部原籍代理登记。移动节点还使用外部原籍地址和内部原籍地址来建立一条到达安全网关的安全路径。然后,移动节点可以使用此安全路径与外部网上的节点通信。在其它实施例中,移动节点可以使用该安全路径、利用内部原籍地址向原籍网络上的内部原籍代理登记。然后,移动节点可以通过该安全路径与原籍网络上的节点相对应。
Description
技术领域
本发明涉及移动计算领域,并且尤其涉及一种穿越企业防火墙的无缝、安全漫游解决方案。
背景技术
目前,诸如膝上型电脑、笔记本计算机、个人数字助理(“PDA”)和蜂窝电话的移动计算装置(在下文中称作“移动节点”)的使用变得越来越流行。这些移动节点使用户能够从一个位置移动到另一个位置(“漫游”),同时继续保持其到同一网络的连接。随着移动节点日益流行,大多数公司(“企业”)网络当今试图提供快速和安全移动计算之便利就不足为奇了。
为了自由漫游,网络当今通常符合由互联网工程任务组(“IETF”)颁布的移动IP标准。移动(Mobile)IPv4(IETF RFC 3344,2002年8月)目前是主流标准,并且目前许多网络都符合移动IPv4。然而,该标准不能为在某些漫游情况中出现的障碍提供解决方案。
附图说明
通过例子和非限制性地在附图的各幅图中图示了本发明,图中相同的参考标记指相似的部件,以及在附图中:
图1表示一个已知的公司内部网结构;
图2表示一个已知的企业网络布局;
图3表示本发明一个实施例的网络布局;
图4从概念上表示了在外部网上的移动节点与公司内部网上的对应节点之间建立IPSec隧道以及经由该IPSec隧道传递IP分组的处理过程;
图5表示从外部网上的移动节点(MN)发送到内部网之内的对应节点(CN)的IP分组的分组流程图;和
图6表示从内部网之内的对应节点(CN)发送到外部网上的移动节点(MN)的IP分组的分组流程图。
具体实施方式
本发明的实施例提供了穿越企业安全机构(如防火墙)的无缝漫游解决方案。在说明书中提到的本发明的“一个实施例”或“实施例”是指结合该实施例所描述的一个具体特征、结构或特性包含在本发明的至少一个实施例中。因此,在整个说明书的各个部分中出现的“在一个实施例中”、“根据一个实施例”或者类似的短语没有必要全是指同一实施例。
图1表示一个公知的公司内部网(“公司内部网100”)结构。公司内部网100可以同时包含有线网和无线网,并且可以包括多个子网。子网是指可以共享同一公共地址格式的多个网络部分。例如,在传输控制协议/网际协议(“TCP/IP”)网络上,所有的子网都可以使用相同的前三组数字(例如100.10.10)。符合移动IPv4标准的移动节点目前可以穿越公司内部网100内的子网自由漫游。因此,例如,当移动节点(“MN 140”)离开它的原籍(home)子网时,它可以按照两种方式之一继续地维持其当前的传输连接和恒定的可达性。在第一种情况下,当MN 140离开它的原籍子网时,它可以向原籍代理(“HA 130”)登记。在登记处理期间,MN 140将MN 140的“转交地址(care-of-address)”(以下称之为“COA”)(即,MN 140在其新子网上的地址)通知给HA 130。此后,HA 130截取所有寻址至MN 140的IP分组,并为这些分组重新选择路由到MN140的COA。当MN 140从一个子网移动到另一个子网时,MN 140可以通过动态主机配置协议(“DHCP”)或者其它类似协议获得新的COA。为了确保HA130能够正确地为这些分组选择路由到MN 140,MN 140必须在它在公司内部网100上漫游时用其新COA不断地更新HA 130。这种配置通常称作“协同定位(co-located)”通信模式。
作为另一种选择,当MN 140离开其原籍子网时,它可以通过MN 140的新(“外部”)子网上的外部代理(“FA 135”)向HA 130登记。通过向FA 135登记,MN 140可以使用FA 135的IP地址作为其向HA 130登记时的COA。在这种情况下,HA 130继续截取所有寻址到MN 140的分组,但是现在为这些分组重新选择路由到FA 135,即,提供给HA 130的MN 140的COA。FA 135检查它所接收的所有分组,并将合适的分组发送给在外部子网的当前位置上的MN 140,这种配置通常称之为“非协同定位”通信模式。使用协同定位还是使用非协同定位的判决对于本领域的熟练技术人员是公知的。例如,某些网络可以强迫MN 140向FA 135登记,以保持其传输连接。在其它网络中,MN 140可以选择向FA 135登记还是以协同定位模式操作。
公司内部网100还可以耦合到一个外部网,例如互联网,并且MN 140可以在公司内部网100与外部网之间漫游。图2表示当今的公知网络布局,包括公司内部网100,该内部网100利用公司停火区域(demilitarized zone)210(“公司DMZ 210”)与外部网(“外部网205”)分离。公司DMZ 210是本领域熟练技术人员所公知的,并且DMZ 210通常包括两个防火墙:内防火墙215和外防火墙220。内防火墙215将公司内部网100与公司DMZ 210相分离,而外部网220将外部网205与公司DMZ 210相分离。类似于公司内部网100,外部网205还可以同时包含有线网和无线网,并包含多个子网。除了内部网100上的HA 130和FA 135之外,网络布局还可以包含外部网205上的一个或多个外部代理(“FA 235”)。FA 235可以在与公司内部网100上的HA 130和FA 135不同的(即不是由相同的实体管理的)一个管理域上。
为了安全目的,许多网络布局很可能包括安全网关,例如虚拟专用网(“VPN”)网关(在图2中集中图示为“VPN网关225”),这些网关将公司内部网与外部网205分离。VPN网关225可以被配置以提供在公司内部网100上的节点与外部网205上的节点之间通信的安全装置。VPN网关对于本领域熟练技术人员是公知的,并因此省略对其详细的说明。
当MN 140试图在公司内部网100与外部网205之间漫游时,VPN网关225的存在引入了一定的复杂性。具体而言,如果VPN网关225存在于公司内部网100与外部网205之间,当MN 140离开公司内部网100而在外部网205上漫游时,MN 140必须首先与VPN网关225建立安全的IP连接(概念性地图示为“IPSec隧道245”),以保持其当前的传输连接。MN 140与VPN网关225之间的IPSec隧道245与两个隧道IP地址相关联。这两个地址对应于隧道外部地址(“TOA”)(即,对应于外部网205上的MN 140的地址)和隧道内部地址(“TIA”),即分配给MN 140的逻辑上在公司内部网100之内一个子网上的地址。在上述实例中,IPSec隧道225的TOA对应于MN 140的COA。IPSec隧道与VPN网关的使用是本领域熟练技术人员所公知的,因此省略对其进一步的描述。
一旦在MN 140与VPN网关225之间建立IPSec隧道245,如果MN 140在外部网205上漫游,则MN 140必须采用它的新COA经由IPSec隧道145继续更新HA 130。然而,如上所述,IPSec隧道145的TOA对应于MN 140的COA。这样,在协同定位模式中,当MN 140改变它的网络连接的当前点以及它的COA改变时,MN 140将不得不使用它的新COA作为新IPSec隧道的TOA来与VPN网关225重新协商一条新的IPSec隧道。该重新协商处理具有显著的性能牵连(performance implication),并且可能在成功的重新协商之前造成分组流超时。
在非协同定位模式下,当MN 140在外部网205漫游时,其COA也可能连续地改变。每当MN 140从外部网205上的一个子网移动到另一个子网时,它可以向每个相应子网上的不同外部代理登记。每当MN 140向不同的外部代理登记时,MN 140的COA可以改变,这是因为MN 140把外部代理的地址用作它的COA。然而,在这种配置中,VPN网关225的存在,并且通过扩展而言,IPSec隧道145的使用使FA 235(很可能处于与HA 130和外部网205上的任何其它外部代理都不同的管理域中)不能观看到它从MN 140和HA 130接收到的IP分组的内容。换言之,FA235将不能解密MN 140与HA 130之间的IP分组。因此,FA 235可能不能将分组发送给MN 140和/或HA 130以及从中接收分组。
本发明的这些实施例解决了移动节点试图穿越包括VPN网关的企业DMZ安全地漫游而出现的困难。在协同定位模式(其中移动节点通过DHCP或者其它类似协议获得COA)中,本发明的这些实施例解决了上述问题,即移动节点每当其从一个子网移动到外部网的另一个子网时必须与VPN网关重新协商IPSec隧道,从而改善了性能。在非协同定位模式(其中移动节点向外部代理登记并使用外部代理的IP地址作为其COA),本发明的这些实施例能够使移动节点经由IPSec隧道穿越网关通信,同时保持其传输连接。
图3图示了本发明一个实施例的网络布局。具体地,如图所示,此网络布局可以至少包括两个原籍代理,一个(或者多个)原籍代理位于公司内部网100上(“HAi 300”),而另一个原籍代理位于公司内部网100的外部(“HAx 305”)。公司内部网的“外部”可以包括公司DMZ 210之内的位置或者外部网205上的位置。为了解释的目的,下面的描述假设HAx 305位于外部网205上,但是本发明的这些实施例不限于此。HAx 305例如可以位于公司DMZ 210之内。
此外,在某些实施例中,HAx 305可以在公司DMZ 210之内的一个独立数据处理装置上实现HAx 305。HAx 305在其它实施例中,也可以在与VPN网关225相同的数据处理装置上实现HAx 305。显然本领域的熟练技术人员可以以各种方式实现HAx 305,而这不影响本发明的这些实施例的精神。
下面将描述符合移动IPv4标准(IETF RFC 3344,2002年8月)的本发明的实施例。然而,本领域的熟练技术人员将会明白,本发明的这些实施例也可以在符合其它漫游标准的网络上实现。例如,网络可以符合移动IPv6(IETFMobile IPv6,Intemet Dratf draft-ietf-mobileip-ipv6-19.txt.(Work In Progress)(IETF移动IPv6,互联网草案draft-ietf-mobileip-ipv6-19.txt(研究中)),2002年10月),但是由于这些网络的当前特性,上述问题不太可能出现。然而,本领域熟练技术人员将会明白,如果此种问题出现在移动IPv6或者类似网络中,则可以容易地修改本发明实施例以便在这些网络上使用。
根据本发明的实施例,MN 140可以包括但不限于:膝上型电脑、笔记本计算机、手持计算装置、个人数字助理(PDA)、蜂窝电话机以及其它能够无线接入的装置。下面说明用于MN 140的典型漫游情况。首先,如上结合图1所述的,MN 140可以从它的原籍子网漫游到公司内部网100之内的其它子网。在公司内部网100内的漫游维持不受本发明实施例的影响,因为不涉及VPN网关和/或IPSec保护的IP分组。其它的漫游情况包括:从公司内部网100到外部网205的漫游、从外部网205到公司内部网100的漫游和/或外部网205上的漫游。在这后三种漫游情况中可涉及本发明的实施例。
在一种实施例中,MN 140可以穿越公司DMZ 210从公司内部网100的子网漫游到外部网205上的子网。在这种情况中,为了与诸如公司内部网100的对应节点(“CN”)310通信(或保持现有通信),根据本发明的一种实施例,MN 140向HAi 300和HAx 305登记。更具体地说,MN 140首先向HAx 305登记,并然后获得其在HAx 305上的原籍地址(“MN_Hx”)以及它在外部网205上的转交地址(以下称之为“COAx”),这可以通过一个DHCP服务器和/或其它类似装置获得。DHCP服务器例如可以由外部网205上提供的服务供应商所拥有。在其它的实施例中,MN 140可以从外部代理235中获得COAx。
然后,MN 140建立到VPN网关225的IPSec隧道315。再一次,将MN 140与VPN网关225之间的IPSec隧道315与两个隧道地址(TOA和TIA)相关联。根据本发明的这些实施例,在与VPN网关225协商以建立IPSec隧道315的处理之前或者在此期间,MN 140和/或VPN网关225可以指定MN_Hx为TOA,并指定HAi上的MN 140的原籍地址(“MN_Hi”)为TIA。本领域的熟练技术人员将容易明白,可以以各种方式分别执行把MN_Hx和MN_Hi指定为TOA和TIA的处理。MN_Hi是一个静态或者动态地分配给MN 140的不变地址(恒定地址)。MN_Hi例如可以通过公司信息技术部门或者其它这样的实体手动地与MN 140相关联。作为选择,可以通过来自MN 140的与网络地址识别符(“NAT”)扩展相组合的登记请求来动态地分配此地址。可以在各实施例中使用其它类似的方法。上面的描述假定MN 140在漫游到公司内部网100之外之前已经知道它的恒定原籍地址。然而,如果MN 140在从公司内部网100漫游到外部网205之前最初不知道它的原籍地址,则MN 140也许不得不执行稍后将详细说明的步骤。
一旦建立了IPSec隧道315,MN 140就可以(经由IPSec隧道315)向HAi300登记,并向HAi 300提供它的原籍地址(MN_Hi)以及关于HAi 300的转交地址(“COAi”)。在一个实施例中,COAi是VPN网关225的专用IP地址。此后,MN 140可以把IPSec安全协议应用于它所发送的所有IP分组,并经由IPSec隧道315向公司内部网100上的节点安全地发送这些分组,反之亦然。IPSec安全协议可以包括IP鉴权报头(Authentication Header)(“AH”)协议和封装安全有效负载(“ESP”)协议。AH可以提供无连接的完整性、数据起源鉴权和任选的抗再播业务,而ESP可以提供加密、有限业务流机密性、无连接的完整性、数据起源鉴权和抗再播(anti-replay)服务。为了说明的目的,所提到的“加密”和/或其同义词一般是指将AH和/或ESP应用于IP分组,所提到的“IPSec保护IP分组”是指被加密的IP分组。执行这种加密的机制对本领域熟练技术人员来说是已知的,因此在此省略对其的说明,因此不会不必要地使本发明的
实施例复杂化。
图4从概念上图示根据本发明一种实施例的上面所描述的处理。尽管下面的说明假定处理是顺序地进行的,但是本发明实施例并不限制于此。某些处理可以顺序地进行,而其他的处理则可以同时地进行,这并不背离本发明实施例的精神。如图所示,在步骤401,MN 140向HAx 305登记。MN 140还在步骤402中与VPN网关225建立一条IPSec隧道。IPSec隧道包括分别对应于MN_Hx和MN_Hi的TOA和TIA。MN 140随后在步骤403经由IPSec隧道向HAi 300登记,并向HAi 300提供它的转交地址(COAi,即VPN网关225的专用地址)。然后,MN 140向诸如公司内部网100上的CN 310的节点发送IPSec保护IP分组。
一旦向HAx和HAi登记了MN 140,并且已经建立了IPSec隧道315,MN 140就可以向CN 310发送和接收IPSec保护IP分组。如图4概念性地图示的,MN140可以向CN 310发送IPSec保护IP分组,如下所述。在步骤404中,将来自MN 140的IP分组加密并“反向隧道发送”到HAx 305。反向隧道化的处理基本上是利用IP报头封装IPSec保护IP分组,该IP报头把MN 140的COAx识别为源地址,并把HAx 305识别为目的节点。在步骤405,HAx 305接收并解封分组并将其发送到VPN网关225。VPN网关225接收此分组并将其解密以识别最终的目的节点,即CN 310。在步骤406,VPN网关225随后通过把MN_Hi用作源节点的地址以及把CN 310地址用作目的节点地址来将已解密的分组发送给CN 310。
在一个实施例中,CN 310可以通过向MN 140发送一个响应IP分组来响应这些IP分组。在一个可替代的实施例中,CN 310可以启动与MN 140的通信(correspondence)。在任一实例中,由于MN 140被HAi 300登记,因此在步骤407,HAi 300可以截取来自CN 310的所有分组。在步骤408中,HAi 300检查该分组并把该分组发送到COAi(即VPN网关225的专用地址,它是与HAi300有关的MN 140的转交地址)。VPN网关225接收已加密的IP分组、去除外部IP封装并检查该分组,以确定目的节点的地址,在这种情况下目的节点是MN 140。一旦把MN 140识别为目的节点,VPN网关225加密分组并将其发送到MN Hx。由于MN 140被外部网205上的HAx登记,因此,在步骤409,HAx 305截取该分组。HAx 305检查IP分组,将MN 140识别为目的节点,并在步骤410中,HAx 305为该分组选择路由到MN 140的COAx(即,外部网205上的MN 140的当前子网位置)。图5是分组流程图,从概念上图示了从外部网205上的MN 140到公司内部网100上的CN 310的上述分组的发送。具体地说,如图所示,来自MN 140的IP分组501被从MN_Hi(被HAi登记的MN 140的恒定原籍地址)寻址到CN 310。该分组被加密(增加502),通过将MN 140的COAx用作外部IP报头中的源IP地址,使此分组寻址到VPN网关225(增加503)并经过反向隧道到达HAx 305(增加504)。HAx 305接收该分组、解封该分组(除去504)、将VPN网关225识别为目的地并将该分组发送给VPN网关225。VPN网关225接收该分组(除去503)、解密该分组(除去502)、识别原分组501内的目的节点CN310并将该分组发送给CN310。
图6是分组流程图,在概念上图示了从公司内部网上的CN 310到外部网205上的MN 140的上述分组的发送。从CN 310到MN 140的IP分组601可以被HAi 300截取(由于MN 140被HAi 300登记)。HAi 300随后将该分组转发给MN 140的VPN网关225(增加602)。VPN网关225接着接收该分组(除去602),加密该分组(增加603)并向MN Hx发送该分组(增加604)。HAx 305截取分组、将MN 140识别为最终目的节点并将该分组发送到MN 140的COAx,即它在外部网205上的当前子网位置(增加605)。
如上所述,上述的说明假定MN 140在它最初离开公司内部网100时就知道它的原籍地址。如果MN 140在离开公司内部网100进入外部网205时不知道它的原籍地址和/或还没有被分配一个原籍地址,则仍然可以应用本发明的实施例。然而,在这种情况下,MN 140最初可以向HAx 305登记、与VPN网关225建立一个临时IPSec隧道(“IPSec Temp”)并向HAi 235登记。当向HAi235登记时,MN 140可以使“原籍地址”字段为空,因而允许HAi分配一个原籍地址给MN 140。一旦MN 140接收到这个分配的原籍地址,它随后可以拆除该临时IPSec隧道(IPSec Tunnel Temp),并使用最新分配的恒定原籍地址作为TIA来建立IPSec隧道315。此后,可以如上所述应用本发明的实施例。
根据本发明的实施例,当MN 140从外部网205漫游回到公司内部网100时,MN 140可以保持被HAi 300登记。然而,MN 140可以拆除IPSec隧道315。为了说明的目的,“拆除”包括除去MN 140、HAx 305、TIA与TOA之间的联系。MN 140随后可以继续在公司内部网100之内漫游,同时保持它的传输连接。
如果MN移动节点140离开公司内部网100,打算只在外部网205上漫游,即它不打算与公司网100上的任何节点通信,则MN 140可以仅向HAx 305登记,并且与VPN网关225建立IPSec隧道315。在此情况下,MN 140不必向HAi 300登记,因为HAi 300仅仅在公司网100之内择路发送分组。然而,通过与VPN网关225建立IPSec隧道315,MN 140可以保持其在公司网100上的传输连接,并与外部网205上的其它节点安全地通信。
根据本发明实施例的移动节点、原籍代理和VPN可以在各种数据处理装置上实现。本领域熟练技术人员将容易明白,这些数据处理装置可以包括各种软件,并且可以包括能够支持移动网的任何装置,包括但不限于:主机、工作站、个人计算机、膝上型电脑、便携手持计算机、PDA和/或蜂窝电话机。在一个实施例中,移动节点可以包括便携数据处理系统,例如膝上型电脑、手持计算装置、个人数字助理和/或蜂窝电话机。根据一个实施例,原籍代理和/或VPN可以包括数据处理装置,例如个人计算机、工作站和/或主机计算机。在可替代的实施例中,原籍代理和VPN也可以包括便携数据处理系统,这类似于用来实施移动节点的便携数据处理系统。
根据本发明的实施例,数据处理装置可以包括能够运行实现本发明实施例的指令的各种部件。例如,数据处理装置可以包括和/或连接到至少一个机器可访问介质。在本说明书使用时,“机器”包括但不限于具有一个或多个处理器的任何数据处理装置。在本说明书中使用时,机器可访问媒体包括以数据处理装置可访问的任何形式存储和/或发送信息的任何机构,该机器可访问媒体包括但不限于:可记录/不可记录介质(例如只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光存储介质以及快闪存储装置以及电、光、声或者其它形式的传播信号(例如载波,红外信号和数字信号)。
根据一个实施例,数据处理装置可以包括各种其它公知的部件,例如一个或多个处理器。使用桥接器/存储器控制器可以通信地连接处理器和机器可访问介质,并且处理器能够运行存储在机器可访问介质中的指令。桥接器/存储器控制器可以耦合到一个图形控制器,该图形控制器可以控制显示装置的显示数据的输出。桥接器/存储器控制器可以耦合到一条或多条总线。主机总线主机控制器(例如通用串行总线(“USB”)主机控制器)可以被耦合到一条或多条总线上,以及多个装置可以被耦合到USB上。例如,诸如键盘和鼠标的用户输入装置可以被包括在数据处理装置中以提供输入数据。
在上述说明书中,已经参照本发明的具体示范性实施例说明了本发明,但是本领域熟练技术人员将会明白,在不背离所附权利要求所述的本发明宽泛精神和范围的条件下,可以对本发明作出各种修改和改变。因此,应当按照说明性意义而不是限制性意义来看待本说明书和附图。
Claims (25)
1、一种用于安全发送网络分组的方法,包括以下步骤:
使用外部原籍地址向外部原籍代理登记一个移动节点;
在所述移动节点与安全网关之间建立一个IPSec隧道,所述安全网关使原籍网络与外部网分离,所述IPSec隧道包括一个对应于外部原籍地址的隧道外部地址(TOA)和一个对应于内部原籍地址的隧道内部地址(TIA);和
通过所述IPSec隧道在所述移动节点与一个对应节点之间发送分组。
2、根据权利要求1所述的方法,其中所述移动节点和所述对应节点位于所述外部网上。
3、根据权利要求1所述的方法,其中所述移动节点位于所述外部网上,而所述对应节点位于原籍网络上,并且所述方法还包括使用所述内部原籍地址通过所述IPSec隧道向所述原籍网络上的内部原籍代理登记所述移动节点。
4、根据权利要求3所述的方法,其中向所述内部原籍代理登记所述移动节点的步骤还包括:使用所述内部原籍地址和外部转交地址向所述内部原籍代理登记所述移动节点。
5、根据权利要求1所述的方法,其中向所述外部原籍代理登记所述移动节点的步骤还包括:利用所述外部原籍地址和内部转交地址向所述外部原籍代理登记所述移动节点。
6、根据权利要求1所述的方法,其中所述外部原籍代理位于所述外部网上。
7、根据权利要求1所述的方法,其中所述外部原籍代理位于使所述原籍网络与所述外部网分离开来的公司停火区域之内。
8、根据权利要求7所述的方法,其中所述安全网关位于所述公司停火区域之内。
9、一种用于通过安全网关为分组选择路由的方法,包括以下步骤:
从一个移动节点接收建立IPSec隧道的请求;
建立IPSec隧道,所述IPSec隧道包括一个与所述移动节点的外部原籍地址相对应的隧道外部地址(TOA)和一个与所述移动节点的内部原籍地址相对应的隧道内部地址(TIA);和
通过所述IPSec隧道在所述移动节点与一个对应节点之间为分组选择路由。
10、根据权利要求9所述的方法,其中所述安全网关使原籍网络与外部网分离。
11、根据权利要求9所述的方法,其中所述移动节点位于所述外部网上,并且所述方法还包括使用所述外部原籍地址在外部网的外部原籍代理上登记所述移动节点。
12、根据权利要求10所述的方法,其中所述对应节点位于所述原籍网络上,并且所述方法还包括使用所述内部原籍地址通过所述IPSec隧道在所述原籍网络的内部原籍代理上登记所述移动节点。
13、根据权利要求9所述的方法,其中接收建立IPSec隧道的请求还包括:接收通过使用所述移动节点的外部原籍地址作为TOA并使用所述移动节点的内部原籍地址作为TIA来建立IPSec隧道的请求。
14、一种安全发送网络分组的系统,包括:
一个安全网关,使原籍网络与外部网分离;
一个移动节点,能够在所述原籍网络与所述外部网之间漫游;
一个外部原籍代理,能够在所述移动节点在所述外部网上时登记所述移动节点的外部原籍地址,并且所述外部原籍代理还能够在所述外部原籍代理与所述安全网关之间建立安全隧道,其中所述安全网关包括外部原籍地址和内部原籍地址;和
一个对应节点,能够通过安全隧道从所述移动节点接收通信。
15、根据权利要求14所述的系统,其中所述安全网关是一个虚拟专用网(“VPN”)网关。
16、根据权利要求14所述的系统,其中所述移动节点和所述对应节点位于所述外部网上。
17、根据权利要求14所述的系统,其中所述移动节点位于所述外部网上,而所述对应节点位于所述原籍网络上,并且所述系统还包括一个内部原籍代理,所述内部原籍代理能够在所述移动节点位于所述原籍网络上时登记所述移动节点的内部原籍地址。
18、一种产品,包括在其上存储指令的机器可访问介质,所述指令当由机器运行时使所述机器执行以下操作:
利用外部原籍地址向外部原籍代理登记移动节点;
在所述移动节点与安全网关之间建立IPSec隧道,所述安全网关使原籍网络与外部网分离,所述IPSec隧道包括一个对应于外部原籍地址的隧道外部地址(TOA)和一个对应于内部原籍地址的隧道内部地址(TIA);和
通过所述IPSec隧道在所述移动节点与一个对应节点之间发送分组。
19、根据权利要求18所述的产品,其中所述移动节点位于所述外部网上,而所述对应节点位于所述原籍网络上,并且该产品还包括当由机器运行时进一步使所述机器利用内部原籍地址经由所述IPSec隧道向所述原籍网络上的内部原籍代理登记所述移动节点的指令。
20、根据权利要求18所述的产品,还包括当由机器运行时进一步使所述机器利用内部原籍地址和内部转交地址向所述内部原籍代理登记所述移动节点的指令。
21、根据权利要求18所述的产品,还包括当由机器运行时进一步使所述机器利用外部原籍地址和外部转交地址向所述外部原籍代理登记所述移动节点的指令。
22、一种产品,包括在其上存储指令的机器可访问介质,所述指令当由机器运行时使所述机器执行以下操作:
从移动节点接收建立IPSec隧道的请求;
建立IPSec隧道,所述IPSec隧道包括一个与所述移动节点的外部原籍地址相对应的隧道外部地址(TOA)和一个与所述移动节点的内部原籍地址相对应的隧道内部地址(TIA);和
经由所述IPSec隧道在所述移动节点与一个对应节点之间为分组选择路由。
23、根据权利要求22所述的产品,还包括当由机器运行时进一步使所述机器利用外部原籍地址在外部网的外部原籍代理上登记所述移动节点的指令。
24、根据权利要求22所述的产品,还包括当由机器运行时进一步使所述机器利用内部原籍地址经由所述IPSec隧道在所述原籍网络的内部原籍代理上登记所述移动节点的指令。
25、根据权利要求18所述的产品,还包括当由机器运行时进一步使所述机器接收使用所述移动节点的外部原籍地址作为TOA和使用所述移动节点的内部原籍地址作为TIA来建立IPSec隧道的请求的指令。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/323486 | 2002-12-18 | ||
US10/323,486 US7428226B2 (en) | 2002-12-18 | 2002-12-18 | Method, apparatus and system for a secure mobile IP-based roaming solution |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1509111A true CN1509111A (zh) | 2004-06-30 |
CN1265603C CN1265603C (zh) | 2006-07-19 |
Family
ID=32593230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN03127291.6A Expired - Fee Related CN1265603C (zh) | 2002-12-18 | 2003-09-18 | 用于安全移动的基于ip的漫游解决方案的方法、设备和系统 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7428226B2 (zh) |
CN (1) | CN1265603C (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100367715C (zh) * | 2004-09-30 | 2008-02-06 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、上端网关 |
CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
CN102904791A (zh) * | 2011-07-28 | 2013-01-30 | 丛林网络公司 | 具有移动通信连续性的虚拟专用网 |
CN101091372B (zh) * | 2005-01-07 | 2013-03-06 | 阿尔卡特朗讯公司 | 提供移动节点间低等待时间安全会话连续性的方法和设备 |
CN103297558A (zh) * | 2012-02-24 | 2013-09-11 | 英特尔移动通信有限责任公司 | 转交地址切换 |
CN105578468A (zh) * | 2006-10-10 | 2016-05-11 | 阿尔卡特朗讯美国公司 | 用于代理移动ip的分组转发方法 |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7471661B1 (en) * | 2002-02-20 | 2008-12-30 | Cisco Technology, Inc. | Methods and apparatus for supporting proxy mobile IP registration in a wireless local area network |
US7441043B1 (en) | 2002-12-31 | 2008-10-21 | At&T Corp. | System and method to support networking functions for mobile hosts that access multiple networks |
US7505432B2 (en) * | 2003-04-28 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for securing proxy Mobile IP |
US20040266420A1 (en) * | 2003-06-24 | 2004-12-30 | Nokia Inc. | System and method for secure mobile connectivity |
US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
EP1575238A1 (en) * | 2004-03-08 | 2005-09-14 | Nokia Corporation | IP mobility in mobile telecommunications system |
EP1749390A1 (en) * | 2004-05-17 | 2007-02-07 | THOMSON Licensing | Methods and apparatus managing access to virtual private network for portable devices without vpn client |
US7400731B2 (en) * | 2004-06-07 | 2008-07-15 | Jeou-Kai Lin | Scalable technique for ensuring real-time, end-to-end security in a multimedia mobile network |
US7676838B2 (en) * | 2004-07-26 | 2010-03-09 | Alcatel Lucent | Secure communication methods and systems |
EP1921822A2 (en) * | 2004-09-20 | 2008-05-14 | Matsushita Electric Industrial Co., Ltd. | Return routability optimisation |
DE602004031438D1 (de) * | 2004-12-06 | 2011-03-31 | Alcatel Lucent | Fernverwaltungsverfahren, ein dazugehörender Autokonfigurierungsserver, ein dazugehörender weiterer Autokonfigurierungsserver, ein dazugehörendes Wegeleit-Gateway und eine dazugehörende Vorrichtung |
US7792072B2 (en) * | 2004-12-13 | 2010-09-07 | Nokia Inc. | Methods and systems for connecting mobile nodes to private networks |
JP4759382B2 (ja) * | 2004-12-21 | 2011-08-31 | 株式会社リコー | 通信機器、通信方法、通信プログラム、及び記録媒体 |
EP1839424A1 (en) * | 2005-01-07 | 2007-10-03 | Alcatel Lucent | Method and apparatus for providing low-latency secure session continuity between mobile nodes |
KR100667502B1 (ko) * | 2005-03-28 | 2007-01-10 | 주식회사 케이티프리텔 | 모바일 ip를 이용한 이동 노드의 가상사설망 접속 방법 |
US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
US7583662B1 (en) * | 2005-04-12 | 2009-09-01 | Tp Lab, Inc. | Voice virtual private network |
US8185935B2 (en) * | 2005-06-14 | 2012-05-22 | Qualcomm Incorporated | Method and apparatus for dynamic home address assignment by home agent in multiple network interworking |
US20070177550A1 (en) * | 2005-07-12 | 2007-08-02 | Hyeok Chan Kwon | Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same |
GB2434506A (en) * | 2006-01-18 | 2007-07-25 | Orange Personal Comm Serv Ltd | Providing a mobile telecommunications session to a mobile node using an internet protocol |
US7950052B2 (en) * | 2006-01-25 | 2011-05-24 | Audiocodes, Inc. | System, method, and interface for segregation of a session controller and a security gateway |
TW200744397A (en) * | 2006-05-26 | 2007-12-01 | Hon Hai Prec Ind Co Ltd | Home agent, registration method, network system and network roaming method |
EP1956755A1 (en) * | 2007-02-08 | 2008-08-13 | Matsushita Electric Industrial Co., Ltd. | Network controlled overhead reduction of data packets by route optimization procedure |
US7930732B2 (en) * | 2008-02-22 | 2011-04-19 | Novell, Inc. | Techniques for secure transparent switching between modes of a virtual private network (VPN) |
WO2013187709A1 (en) * | 2012-06-13 | 2013-12-19 | Samsung Electronics Co., Ltd. | Method and system for securing control packets and data packets in a mobile broadband network environment |
CN102769526A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 新旧ipsec隧道切换的方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6496704B2 (en) * | 1997-01-07 | 2002-12-17 | Verizon Laboratories Inc. | Systems and methods for internetworking data networks having mobility management functions |
US6452920B1 (en) * | 1998-12-30 | 2002-09-17 | Telefonaktiebolaget Lm Ericsson | Mobile terminating L2TP using mobile IP data |
US6522880B1 (en) * | 2000-02-28 | 2003-02-18 | 3Com Corporation | Method and apparatus for handoff of a connection between network devices |
JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
US6950862B1 (en) * | 2001-05-07 | 2005-09-27 | 3Com Corporation | System and method for offloading a computational service on a point-to-point communication link |
-
2002
- 2002-12-18 US US10/323,486 patent/US7428226B2/en not_active Expired - Lifetime
-
2003
- 2003-09-18 CN CN03127291.6A patent/CN1265603C/zh not_active Expired - Fee Related
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100367715C (zh) * | 2004-09-30 | 2008-02-06 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、上端网关 |
CN101091372B (zh) * | 2005-01-07 | 2013-03-06 | 阿尔卡特朗讯公司 | 提供移动节点间低等待时间安全会话连续性的方法和设备 |
CN105578468A (zh) * | 2006-10-10 | 2016-05-11 | 阿尔卡特朗讯美国公司 | 用于代理移动ip的分组转发方法 |
CN102904791A (zh) * | 2011-07-28 | 2013-01-30 | 丛林网络公司 | 具有移动通信连续性的虚拟专用网 |
CN102904791B (zh) * | 2011-07-28 | 2015-08-19 | 脉冲安全有限公司 | 具有移动通信连续性的虚拟专用网 |
CN103297558A (zh) * | 2012-02-24 | 2013-09-11 | 英特尔移动通信有限责任公司 | 转交地址切换 |
US9271193B2 (en) | 2012-02-24 | 2016-02-23 | Intel Deutschland Gmbh | Care-of-address handover |
CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
WO2013174074A1 (zh) * | 2012-05-21 | 2013-11-28 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
CN102711106B (zh) * | 2012-05-21 | 2018-08-10 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
US7428226B2 (en) | 2008-09-23 |
CN1265603C (zh) | 2006-07-19 |
US20040120328A1 (en) | 2004-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1265603C (zh) | 用于安全移动的基于ip的漫游解决方案的方法、设备和系统 | |
US7685317B2 (en) | Layering mobile and virtual private networks using dynamic IP address management | |
US6591306B1 (en) | IP network access for portable devices | |
RU2406267C2 (ru) | Способ и устройство для динамического назначения домашнего адреса домашним агентом при организации межсетевого взаимодействия множества сетей | |
US7606191B1 (en) | Methods and systems for secure mobile-IP traffic traversing network address translation | |
US8437345B2 (en) | Terminal and communication system | |
JP4310193B2 (ja) | 移動クライアント装置をインターネットに接続する方法およびシステム | |
EP1396964A2 (en) | Virtual private network system | |
US20060268901A1 (en) | Method and apparatus for providing low-latency secure session continuity between mobile nodes | |
US20060182083A1 (en) | Secured virtual private network with mobile nodes | |
US20040266420A1 (en) | System and method for secure mobile connectivity | |
CN102739534A (zh) | 使用移动路由器来保持抗移动性ip隧道的方法、装置和系统 | |
KR20070017322A (ko) | 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체 | |
US7933253B2 (en) | Return routability optimisation | |
US20040103311A1 (en) | Secure wireless mobile communications | |
Cisco | Configuring Mobile IP | |
JP4025784B2 (ja) | 仮想閉域網システム | |
Pacyna | Advances in mobility management for the NG internet | |
KR20030050550A (ko) | 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법 | |
JP3946731B2 (ja) | 仮想閉域網システム | |
Park et al. | Secure firewall traversal in mobile IP network | |
Headquarters | Implementing Mobile IPv6 | |
Schmidt et al. | Mobility in IPv6: Standards and Upcoming Trends | |
Gayathri et al. | Mobile Multilayer IPsec Protocol | |
Liu et al. | A secure mobile-IPv6 network model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060719 Termination date: 20210918 |
|
CF01 | Termination of patent right due to non-payment of annual fee |