專利名稱：用于安全移動(dòng)的基于ip的漫游解決方案的方法、設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及移動(dòng)計(jì)算領(lǐng)域，并且尤其涉及一種穿越企業(yè)防火墻的無縫、安全漫游解決方案。
背景技術(shù)：
目前，諸如膝上型電腦、筆記本計(jì)算機(jī)、個(gè)人數(shù)字助理(“PDA”)和蜂窩電話的移動(dòng)計(jì)算裝置(在下文中稱作“移動(dòng)節(jié)點(diǎn)”)的使用變得越來越流行。這些移動(dòng)節(jié)點(diǎn)使用戶能夠從一個(gè)位置移動(dòng)到另一個(gè)位置(“漫游”)，同時(shí)繼續(xù)保持其到同一網(wǎng)絡(luò)的連接。隨著移動(dòng)節(jié)點(diǎn)日益流行，大多數(shù)公司(“企業(yè)”)網(wǎng)絡(luò)當(dāng)今試圖提供快速和安全移動(dòng)計(jì)算之便利就不足為奇了。
為了自由漫游，網(wǎng)絡(luò)當(dāng)今通常符合由互聯(lián)網(wǎng)工程任務(wù)組(“IETF”)頒布的移動(dòng)IP標(biāo)準(zhǔn)。移動(dòng)(Mobile)IPv4(IETF RFC 3344，2002年8月)目前是主流標(biāo)準(zhǔn)，并且目前許多網(wǎng)絡(luò)都符合移動(dòng)IPv4。然而，該標(biāo)準(zhǔn)不能為在某些漫游情況中出現(xiàn)的障礙提供解決方案。


通過例子和非限制性地在附圖的各幅圖中圖示了本發(fā)明，圖中相同的參考標(biāo)記指相似的部件，以及在附圖中圖1表示一個(gè)已知的公司內(nèi)部網(wǎng)結(jié)構(gòu)；圖2表示一個(gè)已知的企業(yè)網(wǎng)絡(luò)布局；圖3表示本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)布局；圖4從概念上表示了在外部網(wǎng)上的移動(dòng)節(jié)點(diǎn)與公司內(nèi)部網(wǎng)上的對(duì)應(yīng)節(jié)點(diǎn)之間建立IPSec隧道以及經(jīng)由該IPSec隧道傳遞IP分組的處理過程；圖5表示從外部網(wǎng)上的移動(dòng)節(jié)點(diǎn)(MN)發(fā)送到內(nèi)部網(wǎng)之內(nèi)的對(duì)應(yīng)節(jié)點(diǎn)(CN)的IP分組的分組流程圖；和圖6表示從內(nèi)部網(wǎng)之內(nèi)的對(duì)應(yīng)節(jié)點(diǎn)(CN)發(fā)送到外部網(wǎng)上的移動(dòng)節(jié)點(diǎn)(MN)的IP分組的分組流程圖。
具體實(shí)施例方式
本發(fā)明的實(shí)施例提供了穿越企業(yè)安全機(jī)構(gòu)(如防火墻)的無縫漫游解決方案。在說明書中提到的本發(fā)明的“一個(gè)實(shí)施例”或“實(shí)施例”是指結(jié)合該實(shí)施例所描述的一個(gè)具體特征、結(jié)構(gòu)或特性包含在本發(fā)明的至少一個(gè)實(shí)施例中。因此，在整個(gè)說明書的各個(gè)部分中出現(xiàn)的“在一個(gè)實(shí)施例中”、“根據(jù)一個(gè)實(shí)施例”或者類似的短語(yǔ)沒有必要全是指同一實(shí)施例。
圖1表示一個(gè)公知的公司內(nèi)部網(wǎng)(“公司內(nèi)部網(wǎng)100”)結(jié)構(gòu)。公司內(nèi)部網(wǎng)100可以同時(shí)包含有線網(wǎng)和無線網(wǎng)，并且可以包括多個(gè)子網(wǎng)。子網(wǎng)是指可以共享同一公共地址格式的多個(gè)網(wǎng)絡(luò)部分。例如，在傳輸控制協(xié)議/網(wǎng)際協(xié)議(“TCP/IP”)網(wǎng)絡(luò)上，所有的子網(wǎng)都可以使用相同的前三組數(shù)字(例如100.10.10)。符合移動(dòng)IPv4標(biāo)準(zhǔn)的移動(dòng)節(jié)點(diǎn)目前可以穿越公司內(nèi)部網(wǎng)100內(nèi)的子網(wǎng)自由漫游。因此，例如，當(dāng)移動(dòng)節(jié)點(diǎn)(“MN 140”)離開它的原籍(home)子網(wǎng)時(shí)，它可以按照兩種方式之一繼續(xù)地維持其當(dāng)前的傳輸連接和恒定的可達(dá)性。在第一種情況下，當(dāng)MN 140離開它的原籍子網(wǎng)時(shí)，它可以向原籍代理(“HA 130”)登記。在登記處理期間，MN 140將MN 140的“轉(zhuǎn)交地址(care-of-address)”(以下稱之為“COA”)(即，MN 140在其新子網(wǎng)上的地址)通知給HA 130。此后，HA 130截取所有尋址至MN 140的IP分組，并為這些分組重新選擇路由到MN140的COA。當(dāng)MN 140從一個(gè)子網(wǎng)移動(dòng)到另一個(gè)子網(wǎng)時(shí)，MN 140可以通過動(dòng)態(tài)主機(jī)配置協(xié)議(“DHCP”)或者其它類似協(xié)議獲得新的COA。為了確保HA130能夠正確地為這些分組選擇路由到MN 140，MN 140必須在它在公司內(nèi)部網(wǎng)100上漫游時(shí)用其新COA不斷地更新HA 130。這種配置通常稱作“協(xié)同定位(co-located)”通信模式。
作為另一種選擇，當(dāng)MN 140離開其原籍子網(wǎng)時(shí)，它可以通過MN 140的新(“外部”)子網(wǎng)上的外部代理(“FA 135”)向HA 130登記。通過向FA 135登記，MN 140可以使用FA 135的IP地址作為其向HA 130登記時(shí)的COA。在這種情況下，HA 130繼續(xù)截取所有尋址到MN 140的分組，但是現(xiàn)在為這些分組重新選擇路由到FA 135，即，提供給HA 130的MN 140的COA。FA 135檢查它所接收的所有分組，并將合適的分組發(fā)送給在外部子網(wǎng)的當(dāng)前位置上的MN 140，這種配置通常稱之為“非協(xié)同定位”通信模式。使用協(xié)同定位還是使用非協(xié)同定位的判決對(duì)于本領(lǐng)域的熟練技術(shù)人員是公知的。例如，某些網(wǎng)絡(luò)可以強(qiáng)迫MN 140向FA 135登記，以保持其傳輸連接。在其它網(wǎng)絡(luò)中，MN 140可以選擇向FA 135登記還是以協(xié)同定位模式操作。
公司內(nèi)部網(wǎng)100還可以耦合到一個(gè)外部網(wǎng)，例如互聯(lián)網(wǎng)，并且MN 140可以在公司內(nèi)部網(wǎng)100與外部網(wǎng)之間漫游。圖2表示當(dāng)今的公知網(wǎng)絡(luò)布局，包括公司內(nèi)部網(wǎng)100，該內(nèi)部網(wǎng)100利用公司?；饏^(qū)域(demilitarized zone)210(“公司DMZ 210”)與外部網(wǎng)(“外部網(wǎng)205”)分離。公司DMZ 210是本領(lǐng)域熟練技術(shù)人員所公知的，并且DMZ 210通常包括兩個(gè)防火墻內(nèi)防火墻215和外防火墻220。內(nèi)防火墻215將公司內(nèi)部網(wǎng)100與公司DMZ 210相分離，而外部網(wǎng)220將外部網(wǎng)205與公司DMZ 210相分離。類似于公司內(nèi)部網(wǎng)100，外部網(wǎng)205還可以同時(shí)包含有線網(wǎng)和無線網(wǎng)，并包含多個(gè)子網(wǎng)。除了內(nèi)部網(wǎng)100上的HA 130和FA 135之外，網(wǎng)絡(luò)布局還可以包含外部網(wǎng)205上的一個(gè)或多個(gè)外部代理(“FA 235”)。FA 235可以在與公司內(nèi)部網(wǎng)100上的HA 130和FA 135不同的(即不是由相同的實(shí)體管理的)一個(gè)管理域上。
為了安全目的，許多網(wǎng)絡(luò)布局很可能包括安全網(wǎng)關(guān)，例如虛擬專用網(wǎng)(“VPN”)網(wǎng)關(guān)(在圖2中集中圖示為“VPN網(wǎng)關(guān)225”)，這些網(wǎng)關(guān)將公司內(nèi)部網(wǎng)與外部網(wǎng)205分離。VPN網(wǎng)關(guān)225可以被配置以提供在公司內(nèi)部網(wǎng)100上的節(jié)點(diǎn)與外部網(wǎng)205上的節(jié)點(diǎn)之間通信的安全裝置。VPN網(wǎng)關(guān)對(duì)于本領(lǐng)域熟練技術(shù)人員是公知的，并因此省略對(duì)其詳細(xì)的說明。
當(dāng)MN 140試圖在公司內(nèi)部網(wǎng)100與外部網(wǎng)205之間漫游時(shí)，VPN網(wǎng)關(guān)225的存在引入了一定的復(fù)雜性。具體而言，如果VPN網(wǎng)關(guān)225存在于公司內(nèi)部網(wǎng)100與外部網(wǎng)205之間，當(dāng)MN 140離開公司內(nèi)部網(wǎng)100而在外部網(wǎng)205上漫游時(shí)，MN 140必須首先與VPN網(wǎng)關(guān)225建立安全的IP連接(概念性地圖示為“IPSec隧道245”)，以保持其當(dāng)前的傳輸連接。MN 140與VPN網(wǎng)關(guān)225之間的IPSec隧道245與兩個(gè)隧道IP地址相關(guān)聯(lián)。這兩個(gè)地址對(duì)應(yīng)于隧道外部地址(“TOA”)(即，對(duì)應(yīng)于外部網(wǎng)205上的MN 140的地址)和隧道內(nèi)部地址(“TIA”)，即分配給MN 140的邏輯上在公司內(nèi)部網(wǎng)100之內(nèi)一個(gè)子網(wǎng)上的地址。在上述實(shí)例中，IPSec隧道225的TOA對(duì)應(yīng)于MN 140的COA。IPSec隧道與VPN網(wǎng)關(guān)的使用是本領(lǐng)域熟練技術(shù)人員所公知的，因此省略對(duì)其進(jìn)一步的描述。
一旦在MN 140與VPN網(wǎng)關(guān)225之間建立IPSec隧道245，如果MN 140在外部網(wǎng)205上漫游，則MN 140必須采用它的新COA經(jīng)由IPSec隧道145繼續(xù)更新HA 130。然而，如上所述，IPSec隧道145的TOA對(duì)應(yīng)于MN 140的COA。這樣，在協(xié)同定位模式中，當(dāng)MN 140改變它的網(wǎng)絡(luò)連接的當(dāng)前點(diǎn)以及它的COA改變時(shí)，MN 140將不得不使用它的新COA作為新IPSec隧道的TOA來與VPN網(wǎng)關(guān)225重新協(xié)商一條新的IPSec隧道。該重新協(xié)商處理具有顯著的性能牽連(performance implication)，并且可能在成功的重新協(xié)商之前造成分組流超時(shí)。
在非協(xié)同定位模式下，當(dāng)MN 140在外部網(wǎng)205漫游時(shí)，其COA也可能連續(xù)地改變。每當(dāng)MN 140從外部網(wǎng)205上的一個(gè)子網(wǎng)移動(dòng)到另一個(gè)子網(wǎng)時(shí)，它可以向每個(gè)相應(yīng)子網(wǎng)上的不同外部代理登記。每當(dāng)MN 140向不同的外部代理登記時(shí)，MN 140的COA可以改變，這是因?yàn)镸N 140把外部代理的地址用作它的COA。然而，在這種配置中，VPN網(wǎng)關(guān)225的存在，并且通過擴(kuò)展而言，IPSec隧道145的使用使FA 235(很可能處于與HA 130和外部網(wǎng)205上的任何其它外部代理都不同的管理域中)不能觀看到它從MN 140和HA 130接收到的IP分組的內(nèi)容。換言之，F(xiàn)A235將不能解密MN 140與HA 130之間的IP分組。因此，F(xiàn)A 235可能不能將分組發(fā)送給MN 140和/或HA 130以及從中接收分組。
本發(fā)明的這些實(shí)施例解決了移動(dòng)節(jié)點(diǎn)試圖穿越包括VPN網(wǎng)關(guān)的企業(yè)DMZ安全地漫游而出現(xiàn)的困難。在協(xié)同定位模式(其中移動(dòng)節(jié)點(diǎn)通過DHCP或者其它類似協(xié)議獲得COA)中，本發(fā)明的這些實(shí)施例解決了上述問題，即移動(dòng)節(jié)點(diǎn)每當(dāng)其從一個(gè)子網(wǎng)移動(dòng)到外部網(wǎng)的另一個(gè)子網(wǎng)時(shí)必須與VPN網(wǎng)關(guān)重新協(xié)商IPSec隧道，從而改善了性能。在非協(xié)同定位模式(其中移動(dòng)節(jié)點(diǎn)向外部代理登記并使用外部代理的IP地址作為其COA)，本發(fā)明的這些實(shí)施例能夠使移動(dòng)節(jié)點(diǎn)經(jīng)由IPSec隧道穿越網(wǎng)關(guān)通信，同時(shí)保持其傳輸連接。
圖3圖示了本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)布局。具體地，如圖所示，此網(wǎng)絡(luò)布局可以至少包括兩個(gè)原籍代理，一個(gè)(或者多個(gè))原籍代理位于公司內(nèi)部網(wǎng)100上(“HAi 300”)，而另一個(gè)原籍代理位于公司內(nèi)部網(wǎng)100的外部(“HAx 305”)。公司內(nèi)部網(wǎng)的“外部”可以包括公司DMZ 210之內(nèi)的位置或者外部網(wǎng)205上的位置。為了解釋的目的，下面的描述假設(shè)HAx 305位于外部網(wǎng)205上，但是本發(fā)明的這些實(shí)施例不限于此。HAx 305例如可以位于公司DMZ 210之內(nèi)。
此外，在某些實(shí)施例中，HAx 305可以在公司DMZ 210之內(nèi)的一個(gè)獨(dú)立數(shù)據(jù)處理裝置上實(shí)現(xiàn)HAx 305。HAx 305在其它實(shí)施例中，也可以在與VPN網(wǎng)關(guān)225相同的數(shù)據(jù)處理裝置上實(shí)現(xiàn)HAx 305。顯然本領(lǐng)域的熟練技術(shù)人員可以以各種方式實(shí)現(xiàn)HAx 305，而這不影響本發(fā)明的這些實(shí)施例的精神。
下面將描述符合移動(dòng)IPv4標(biāo)準(zhǔn)(IETF RFC 3344，2002年8月)的本發(fā)明的實(shí)施例。然而，本領(lǐng)域的熟練技術(shù)人員將會(huì)明白，本發(fā)明的這些實(shí)施例也可以在符合其它漫游標(biāo)準(zhǔn)的網(wǎng)絡(luò)上實(shí)現(xiàn)。例如，網(wǎng)絡(luò)可以符合移動(dòng)IPv6(IETFMobile IPv6，Intemet Dratf draft-ietf-mobileip-ipv6-19.txt.(Work In Progress)(IETF移動(dòng)IPv6，互聯(lián)網(wǎng)草案draft-ietf-mobileip-ipv6-19.txt(研究中))，2002年10月)，但是由于這些網(wǎng)絡(luò)的當(dāng)前特性，上述問題不太可能出現(xiàn)。然而，本領(lǐng)域熟練技術(shù)人員將會(huì)明白，如果此種問題出現(xiàn)在移動(dòng)IPv6或者類似網(wǎng)絡(luò)中，則可以容易地修改本發(fā)明實(shí)施例以便在這些網(wǎng)絡(luò)上使用。
根據(jù)本發(fā)明的實(shí)施例，MN 140可以包括但不限于膝上型電腦、筆記本計(jì)算機(jī)、手持計(jì)算裝置、個(gè)人數(shù)字助理(PDA)、蜂窩電話機(jī)以及其它能夠無線接入的裝置。下面說明用于MN 140的典型漫游情況。首先，如上結(jié)合圖1所述的，MN 140可以從它的原籍子網(wǎng)漫游到公司內(nèi)部網(wǎng)100之內(nèi)的其它子網(wǎng)。在公司內(nèi)部網(wǎng)100內(nèi)的漫游維持不受本發(fā)明實(shí)施例的影響，因?yàn)椴簧婕癡PN網(wǎng)關(guān)和/或IPSec保護(hù)的IP分組。其它的漫游情況包括從公司內(nèi)部網(wǎng)100到外部網(wǎng)205的漫游、從外部網(wǎng)205到公司內(nèi)部網(wǎng)100的漫游和/或外部網(wǎng)205上的漫游。在這后三種漫游情況中可涉及本發(fā)明的實(shí)施例。
在一種實(shí)施例中，MN 140可以穿越公司DMZ 210從公司內(nèi)部網(wǎng)100的子網(wǎng)漫游到外部網(wǎng)205上的子網(wǎng)。在這種情況中，為了與諸如公司內(nèi)部網(wǎng)100的對(duì)應(yīng)節(jié)點(diǎn)(“CN”)310通信(或保持現(xiàn)有通信)，根據(jù)本發(fā)明的一種實(shí)施例，MN 140向HAi 300和HAx 305登記。更具體地說，MN 140首先向HAx 305登記，并然后獲得其在HAx 305上的原籍地址(“MN_Hx”)以及它在外部網(wǎng)205上的轉(zhuǎn)交地址(以下稱之為“COAx”)，這可以通過一個(gè)DHCP服務(wù)器和/或其它類似裝置獲得。DHCP服務(wù)器例如可以由外部網(wǎng)205上提供的服務(wù)供應(yīng)商所擁有。在其它的實(shí)施例中，MN 140可以從外部代理235中獲得COAx。
然后，MN 140建立到VPN網(wǎng)關(guān)225的IPSec隧道315。再一次，將MN 140與VPN網(wǎng)關(guān)225之間的IPSec隧道315與兩個(gè)隧道地址(TOA和TIA)相關(guān)聯(lián)。根據(jù)本發(fā)明的這些實(shí)施例，在與VPN網(wǎng)關(guān)225協(xié)商以建立IPSec隧道315的處理之前或者在此期間，MN 140和/或VPN網(wǎng)關(guān)225可以指定MN_Hx為TOA，并指定HAi上的MN 140的原籍地址(“MN_Hi”)為TIA。本領(lǐng)域的熟練技術(shù)人員將容易明白，可以以各種方式分別執(zhí)行把MN_Hx和MN_Hi指定為TOA和TIA的處理。MN_Hi是一個(gè)靜態(tài)或者動(dòng)態(tài)地分配給MN 140的不變地址(恒定地址)。MN_Hi例如可以通過公司信息技術(shù)部門或者其它這樣的實(shí)體手動(dòng)地與MN 140相關(guān)聯(lián)。作為選擇，可以通過來自MN 140的與網(wǎng)絡(luò)地址識(shí)別符(“NAT”)擴(kuò)展相組合的登記請(qǐng)求來動(dòng)態(tài)地分配此地址?？梢栽诟鲗?shí)施例中使用其它類似的方法。上面的描述假定MN 140在漫游到公司內(nèi)部網(wǎng)100之外之前已經(jīng)知道它的恒定原籍地址。然而，如果MN 140在從公司內(nèi)部網(wǎng)100漫游到外部網(wǎng)205之前最初不知道它的原籍地址，則MN 140也許不得不執(zhí)行稍后將詳細(xì)說明的步驟。
一旦建立了IPSec隧道315，MN 140就可以(經(jīng)由IPSec隧道315)向HAi300登記，并向HAi 300提供它的原籍地址(MN_Hi)以及關(guān)于HAi 300的轉(zhuǎn)交地址(“COAi”)。在一個(gè)實(shí)施例中，COAi是VPN網(wǎng)關(guān)225的專用IP地址。此后，MN 140可以把IPSec安全協(xié)議應(yīng)用于它所發(fā)送的所有IP分組，并經(jīng)由IPSec隧道315向公司內(nèi)部網(wǎng)100上的節(jié)點(diǎn)安全地發(fā)送這些分組，反之亦然。IPSec安全協(xié)議可以包括IP鑒權(quán)報(bào)頭(Authentication Header)(“AH”)協(xié)議和封裝安全有效負(fù)載(“ESP”)協(xié)議。AH可以提供無連接的完整性、數(shù)據(jù)起源鑒權(quán)和任選的抗再播業(yè)務(wù)，而ESP可以提供加密、有限業(yè)務(wù)流機(jī)密性、無連接的完整性、數(shù)據(jù)起源鑒權(quán)和抗再播(anti-replay)服務(wù)。為了說明的目的，所提到的“加密”和/或其同義詞一般是指將AH和/或ESP應(yīng)用于IP分組，所提到的“IPSec保護(hù)IP分組”是指被加密的IP分組。執(zhí)行這種加密的機(jī)制對(duì)本領(lǐng)域熟練技術(shù)人員來說是已知的，因此在此省略對(duì)其的說明，因此不會(huì)不必要地使本發(fā)明的圖4從概念上圖示根據(jù)本發(fā)明一種實(shí)施例的上面所描述的處理。盡管下面的說明假定處理是順序地進(jìn)行的，但是本發(fā)明實(shí)施例并不限制于此。某些處理可以順序地進(jìn)行，而其他的處理則可以同時(shí)地進(jìn)行，這并不背離本發(fā)明實(shí)施例的精神。如圖所示，在步驟401，MN 140向HAx 305登記。MN 140還在步驟402中與VPN網(wǎng)關(guān)225建立一條IPSec隧道。IPSec隧道包括分別對(duì)應(yīng)于MN_Hx和MN_Hi的TOA和TIA。MN 140隨后在步驟403經(jīng)由IPSec隧道向HAi 300登記，并向HAi 300提供它的轉(zhuǎn)交地址(COAi，即VPN網(wǎng)關(guān)225的專用地址)。然后，MN 140向諸如公司內(nèi)部網(wǎng)100上的CN 310的節(jié)點(diǎn)發(fā)送IPSec保護(hù)IP分組。
一旦向HAx和HAi登記了MN 140，并且已經(jīng)建立了IPSec隧道315，MN 140就可以向CN 310發(fā)送和接收IPSec保護(hù)IP分組。如圖4概念性地圖示的，MN140可以向CN 310發(fā)送IPSec保護(hù)IP分組，如下所述。在步驟404中，將來自MN 140的IP分組加密并“反向隧道發(fā)送”到HAx 305。反向隧道化的處理基本上是利用IP報(bào)頭封裝IPSec保護(hù)IP分組，該IP報(bào)頭把MN 140的COAx識(shí)別為源地址，并把HAx 305識(shí)別為目的節(jié)點(diǎn)。在步驟405，HAx 305接收并解封分組并將其發(fā)送到VPN網(wǎng)關(guān)225。VPN網(wǎng)關(guān)225接收此分組并將其解密以識(shí)別最終的目的節(jié)點(diǎn)，即CN 310。在步驟406，VPN網(wǎng)關(guān)225隨后通過把MN_Hi用作源節(jié)點(diǎn)的地址以及把CN 310地址用作目的節(jié)點(diǎn)地址來將已解密的分組發(fā)送給CN 310。
在一個(gè)實(shí)施例中，CN 310可以通過向MN 140發(fā)送一個(gè)響應(yīng)IP分組來響應(yīng)這些IP分組。在一個(gè)可替代的實(shí)施例中，CN 310可以啟動(dòng)與MN 140的通信(correspondence)。在任一實(shí)例中，由于MN 140被HAi 300登記，因此在步驟407，HAi 300可以截取來自CN 310的所有分組。在步驟408中，HAi 300檢查該分組并把該分組發(fā)送到COAi(即VPN網(wǎng)關(guān)225的專用地址，它是與HAi300有關(guān)的MN 140的轉(zhuǎn)交地址)。VPN網(wǎng)關(guān)225接收已加密的IP分組、去除外部IP封裝并檢查該分組，以確定目的節(jié)點(diǎn)的地址，在這種情況下目的節(jié)點(diǎn)是MN 140。一旦把MN 140識(shí)別為目的節(jié)點(diǎn)，VPN網(wǎng)關(guān)225加密分組并將其發(fā)送到MN Hx。由于MN 140被外部網(wǎng)205上的HAx登記，因此，在步驟409，HAx 305截取該分組。HAx 305檢查IP分組，將MN 140識(shí)別為目的節(jié)點(diǎn)，并在步驟410中，HAx 305為該分組選擇路由到MN 140的COAx(即，外部網(wǎng)205上的MN 140的當(dāng)前子網(wǎng)位置)。圖5是分組流程圖，從概念上圖示了從外部網(wǎng)205上的MN 140到公司內(nèi)部網(wǎng)100上的CN 310的上述分組的發(fā)送。具體地說，如圖所示，來自MN 140的IP分組501被從MN_Hi(被HAi登記的MN 140的恒定原籍地址)尋址到CN 310。該分組被加密(增加502)，通過將MN 140的COAx用作外部IP報(bào)頭中的源IP地址，使此分組尋址到VPN網(wǎng)關(guān)225(增加503)并經(jīng)過反向隧道到達(dá)HAx 305(增加504)。HAx 305接收該分組、解封該分組(除去504)、將VPN網(wǎng)關(guān)225識(shí)別為目的地并將該分組發(fā)送給VPN網(wǎng)關(guān)225。VPN網(wǎng)關(guān)225接收該分組(除去503)、解密該分組(除去502)、識(shí)別原分組501內(nèi)的目的節(jié)點(diǎn)CN310并將該分組發(fā)送給CN310。
圖6是分組流程圖，在概念上圖示了從公司內(nèi)部網(wǎng)上的CN 310到外部網(wǎng)205上的MN 140的上述分組的發(fā)送。從CN 310到MN 140的IP分組601可以被HAi 300截取(由于MN 140被HAi 300登記)。HAi 300隨后將該分組轉(zhuǎn)發(fā)給MN 140的VPN網(wǎng)關(guān)225(增加602)。VPN網(wǎng)關(guān)225接著接收該分組(除去602)，加密該分組(增加603)并向MN Hx發(fā)送該分組(增加604)。HAx 305截取分組、將MN 140識(shí)別為最終目的節(jié)點(diǎn)并將該分組發(fā)送到MN 140的COAx，即它在外部網(wǎng)205上的當(dāng)前子網(wǎng)位置(增加605)。
如上所述，上述的說明假定MN 140在它最初離開公司內(nèi)部網(wǎng)100時(shí)就知道它的原籍地址。如果MN 140在離開公司內(nèi)部網(wǎng)100進(jìn)入外部網(wǎng)205時(shí)不知道它的原籍地址和/或還沒有被分配一個(gè)原籍地址，則仍然可以應(yīng)用本發(fā)明的實(shí)施例。然而，在這種情況下，MN 140最初可以向HAx 305登記、與VPN網(wǎng)關(guān)225建立一個(gè)臨時(shí)IPSec隧道(“IPSec Temp”)并向HAi 235登記。當(dāng)向HAi235登記時(shí)，MN 140可以使“原籍地址”字段為空，因而允許HAi分配一個(gè)原籍地址給MN 140。一旦MN 140接收到這個(gè)分配的原籍地址，它隨后可以拆除該臨時(shí)IPSec隧道(IPSec Tunnel Temp)，并使用最新分配的恒定原籍地址作為TIA來建立IPSec隧道315。此后，可以如上所述應(yīng)用本發(fā)明的實(shí)施例。
根據(jù)本發(fā)明的實(shí)施例，當(dāng)MN 140從外部網(wǎng)205漫游回到公司內(nèi)部網(wǎng)100時(shí)，MN 140可以保持被HAi 300登記。然而，MN 140可以拆除IPSec隧道315。為了說明的目的，“拆除”包括除去MN 140、HAx 305、TIA與TOA之間的聯(lián)系。MN 140隨后可以繼續(xù)在公司內(nèi)部網(wǎng)100之內(nèi)漫游，同時(shí)保持它的傳輸連接。
如果MN移動(dòng)節(jié)點(diǎn)140離開公司內(nèi)部網(wǎng)100，打算只在外部網(wǎng)205上漫游，即它不打算與公司網(wǎng)100上的任何節(jié)點(diǎn)通信，則MN 140可以僅向HAx 305登記，并且與VPN網(wǎng)關(guān)225建立IPSec隧道315。在此情況下，MN 140不必向HAi 300登記，因?yàn)镠Ai 300僅僅在公司網(wǎng)100之內(nèi)擇路發(fā)送分組。然而，通過與VPN網(wǎng)關(guān)225建立IPSec隧道315，MN 140可以保持其在公司網(wǎng)100上的傳輸連接，并與外部網(wǎng)205上的其它節(jié)點(diǎn)安全地通信。
根據(jù)本發(fā)明實(shí)施例的移動(dòng)節(jié)點(diǎn)、原籍代理和VPN可以在各種數(shù)據(jù)處理裝置上實(shí)現(xiàn)。本領(lǐng)域熟練技術(shù)人員將容易明白，這些數(shù)據(jù)處理裝置可以包括各種軟件，并且可以包括能夠支持移動(dòng)網(wǎng)的任何裝置，包括但不限于主機(jī)、工作站、個(gè)人計(jì)算機(jī)、膝上型電腦、便攜手持計(jì)算機(jī)、PDA和/或蜂窩電話機(jī)。在一個(gè)實(shí)施例中，移動(dòng)節(jié)點(diǎn)可以包括便攜數(shù)據(jù)處理系統(tǒng)，例如膝上型電腦、手持計(jì)算裝置、個(gè)人數(shù)字助理和/或蜂窩電話機(jī)。根據(jù)一個(gè)實(shí)施例，原籍代理和/或VPN可以包括數(shù)據(jù)處理裝置，例如個(gè)人計(jì)算機(jī)、工作站和/或主機(jī)計(jì)算機(jī)。在可替代的實(shí)施例中，原籍代理和VPN也可以包括便攜數(shù)據(jù)處理系統(tǒng)，這類似于用來實(shí)施移動(dòng)節(jié)點(diǎn)的便攜數(shù)據(jù)處理系統(tǒng)。
根據(jù)本發(fā)明的實(shí)施例，數(shù)據(jù)處理裝置可以包括能夠運(yùn)行實(shí)現(xiàn)本發(fā)明實(shí)施例的指令的各種部件。例如，數(shù)據(jù)處理裝置可以包括和/或連接到至少一個(gè)機(jī)器可訪問介質(zhì)。在本說明書使用時(shí)，“機(jī)器”包括但不限于具有一個(gè)或多個(gè)處理器的任何數(shù)據(jù)處理裝置。在本說明書中使用時(shí)，機(jī)器可訪問媒體包括以數(shù)據(jù)處理裝置可訪問的任何形式存儲(chǔ)和/或發(fā)送信息的任何機(jī)構(gòu)，該機(jī)器可訪問媒體包括但不限于可記錄/不可記錄介質(zhì)(例如只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、磁盤存儲(chǔ)介質(zhì)、光存儲(chǔ)介質(zhì)以及快閃存儲(chǔ)裝置以及電、光、聲或者其它形式的傳播信號(hào)(例如載波，紅外信號(hào)和數(shù)字信號(hào))。
根據(jù)一個(gè)實(shí)施例，數(shù)據(jù)處理裝置可以包括各種其它公知的部件，例如一個(gè)或多個(gè)處理器。使用橋接器/存儲(chǔ)器控制器可以通信地連接處理器和機(jī)器可訪問介質(zhì)，并且處理器能夠運(yùn)行存儲(chǔ)在機(jī)器可訪問介質(zhì)中的指令。橋接器/存儲(chǔ)器控制器可以耦合到一個(gè)圖形控制器，該圖形控制器可以控制顯示裝置的顯示數(shù)據(jù)的輸出。橋接器/存儲(chǔ)器控制器可以耦合到一條或多條總線。主機(jī)總線主機(jī)控制器(例如通用串行總線(“USB”)主機(jī)控制器)可以被耦合到一條或多條總線上，以及多個(gè)裝置可以被耦合到USB上。例如，諸如鍵盤和鼠標(biāo)的用戶輸入裝置可以被包括在數(shù)據(jù)處理裝置中以提供輸入數(shù)據(jù)。
在上述說明書中，已經(jīng)參照本發(fā)明的具體示范性實(shí)施例說明了本發(fā)明，但是本領(lǐng)域熟練技術(shù)人員將會(huì)明白，在不背離所附權(quán)利要求所述的本發(fā)明寬泛精神和范圍的條件下，可以對(duì)本發(fā)明作出各種修改和改變。因此，應(yīng)當(dāng)按照說明性意義而不是限制性意義來看待本說明書和附圖。
權(quán)利要求
1.一種用于安全發(fā)送網(wǎng)絡(luò)分組的方法，包括以下步驟使用外部原籍地址向外部原籍代理登記一個(gè)移動(dòng)節(jié)點(diǎn)；在所述移動(dòng)節(jié)點(diǎn)與安全網(wǎng)關(guān)之間建立一個(gè)IPSec隧道，所述安全網(wǎng)關(guān)使原籍網(wǎng)絡(luò)與外部網(wǎng)分離，所述IPSec隧道包括一個(gè)對(duì)應(yīng)于外部原籍地址的隧道外部地址(TOA)和一個(gè)對(duì)應(yīng)于內(nèi)部原籍地址的隧道內(nèi)部地址(TIA)；和通過所述IPSec隧道在所述移動(dòng)節(jié)點(diǎn)與一個(gè)對(duì)應(yīng)節(jié)點(diǎn)之間發(fā)送分組。
2.根據(jù)權(quán)利要求1所述的方法，其中所述移動(dòng)節(jié)點(diǎn)和所述對(duì)應(yīng)節(jié)點(diǎn)位于所述外部網(wǎng)上。
3.根據(jù)權(quán)利要求1所述的方法，其中所述移動(dòng)節(jié)點(diǎn)位于所述外部網(wǎng)上，而所述對(duì)應(yīng)節(jié)點(diǎn)位于原籍網(wǎng)絡(luò)上，并且所述方法還包括使用所述內(nèi)部原籍地址通過所述IPSec隧道向所述原籍網(wǎng)絡(luò)上的內(nèi)部原籍代理登記所述移動(dòng)節(jié)點(diǎn)。
4.根據(jù)權(quán)利要求3所述的方法，其中向所述內(nèi)部原籍代理登記所述移動(dòng)節(jié)點(diǎn)的步驟還包括使用所述內(nèi)部原籍地址和外部轉(zhuǎn)交地址向所述內(nèi)部原籍代理登記所述移動(dòng)節(jié)點(diǎn)。
5.根據(jù)權(quán)利要求1所述的方法，其中向所述外部原籍代理登記所述移動(dòng)節(jié)點(diǎn)的步驟還包括利用所述外部原籍地址和內(nèi)部轉(zhuǎn)交地址向所述外部原籍代理登記所述移動(dòng)節(jié)點(diǎn)。
6.根據(jù)權(quán)利要求1所述的方法，其中所述外部原籍代理位于所述外部網(wǎng)上。
7.根據(jù)權(quán)利要求1所述的方法，其中所述外部原籍代理位于使所述原籍網(wǎng)絡(luò)與所述外部網(wǎng)分離開來的公司停火區(qū)域之內(nèi)。
8.根據(jù)權(quán)利要求7所述的方法，其中所述安全網(wǎng)關(guān)位于所述公司?；饏^(qū)域之內(nèi)。
9.一種用于通過安全網(wǎng)關(guān)為分組選擇路由的方法，包括以下步驟從一個(gè)移動(dòng)節(jié)點(diǎn)接收建立IPSec隧道的請(qǐng)求；建立IPSec隧道，所述IPSec隧道包括一個(gè)與所述移動(dòng)節(jié)點(diǎn)的外部原籍地址相對(duì)應(yīng)的隧道外部地址(TOA)和一個(gè)與所述移動(dòng)節(jié)點(diǎn)的內(nèi)部原籍地址相對(duì)應(yīng)的隧道內(nèi)部地址(TIA)；和通過所述IPSec隧道在所述移動(dòng)節(jié)點(diǎn)與一個(gè)對(duì)應(yīng)節(jié)點(diǎn)之間為分組選擇路由。
10.根據(jù)權(quán)利要求9所述的方法，其中所述安全網(wǎng)關(guān)使原籍網(wǎng)絡(luò)與外部網(wǎng)分離。
11.根據(jù)權(quán)利要求9所述的方法，其中所述移動(dòng)節(jié)點(diǎn)位于所述外部網(wǎng)上，并且所述方法還包括使用所述外部原籍地址在外部網(wǎng)的外部原籍代理上登記所述移動(dòng)節(jié)點(diǎn)。
12.根據(jù)權(quán)利要求10所述的方法，其中所述對(duì)應(yīng)節(jié)點(diǎn)位于所述原籍網(wǎng)絡(luò)上，并且所述方法還包括使用所述內(nèi)部原籍地址通過所述IPSec隧道在所述原籍網(wǎng)絡(luò)的內(nèi)部原籍代理上登記所述移動(dòng)節(jié)點(diǎn)。
13.根據(jù)權(quán)利要求9所述的方法，其中接收建立IPSec隧道的請(qǐng)求還包括接收通過使用所述移動(dòng)節(jié)點(diǎn)的外部原籍地址作為TOA并使用所述移動(dòng)節(jié)點(diǎn)的內(nèi)部原籍地址作為TIA來建立IPSec隧道的請(qǐng)求。
14.一種安全發(fā)送網(wǎng)絡(luò)分組的系統(tǒng)，包括一個(gè)安全網(wǎng)關(guān)，使原籍網(wǎng)絡(luò)與外部網(wǎng)分離；一個(gè)移動(dòng)節(jié)點(diǎn)，能夠在所述原籍網(wǎng)絡(luò)與所述外部網(wǎng)之間漫游；一個(gè)外部原籍代理，能夠在所述移動(dòng)節(jié)點(diǎn)在所述外部網(wǎng)上時(shí)登記所述移動(dòng)節(jié)點(diǎn)的外部原籍地址，并且所述外部原籍代理還能夠在所述外部原籍代理與所述安全網(wǎng)關(guān)之間建立安全隧道，其中所述安全網(wǎng)關(guān)包括外部原籍地址和內(nèi)部原籍地址；和一個(gè)對(duì)應(yīng)節(jié)點(diǎn)，能夠通過安全隧道從所述移動(dòng)節(jié)點(diǎn)接收通信。
15.根據(jù)權(quán)利要求14所述的系統(tǒng)，其中所述安全網(wǎng)關(guān)是一個(gè)虛擬專用網(wǎng)(“VPN”)網(wǎng)關(guān)。
16.根據(jù)權(quán)利要求14所述的系統(tǒng)，其中所述移動(dòng)節(jié)點(diǎn)和所述對(duì)應(yīng)節(jié)點(diǎn)位于所述外部網(wǎng)上。
17.根據(jù)權(quán)利要求14所述的系統(tǒng)，其中所述移動(dòng)節(jié)點(diǎn)位于所述外部網(wǎng)上，而所述對(duì)應(yīng)節(jié)點(diǎn)位于所述原籍網(wǎng)絡(luò)上，并且所述系統(tǒng)還包括一個(gè)內(nèi)部原籍代理，所述內(nèi)部原籍代理能夠在所述移動(dòng)節(jié)點(diǎn)位于所述原籍網(wǎng)絡(luò)上時(shí)登記所述移動(dòng)節(jié)點(diǎn)的內(nèi)部原籍地址。
18.一種產(chǎn)品，包括在其上存儲(chǔ)指令的機(jī)器可訪問介質(zhì)，所述指令當(dāng)由機(jī)器運(yùn)行時(shí)使所述機(jī)器執(zhí)行以下操作利用外部原籍地址向外部原籍代理登記移動(dòng)節(jié)點(diǎn)；在所述移動(dòng)節(jié)點(diǎn)與安全網(wǎng)關(guān)之間建立IPSec隧道，所述安全網(wǎng)關(guān)使原籍網(wǎng)絡(luò)與外部網(wǎng)分離，所述IPSec隧道包括一個(gè)對(duì)應(yīng)于外部原籍地址的隧道外部地址(TOA)和一個(gè)對(duì)應(yīng)于內(nèi)部原籍地址的隧道內(nèi)部地址(TIA)；和通過所述IPSec隧道在所述移動(dòng)節(jié)點(diǎn)與一個(gè)對(duì)應(yīng)節(jié)點(diǎn)之間發(fā)送分組。
19.根據(jù)權(quán)利要求18所述的產(chǎn)品，其中所述移動(dòng)節(jié)點(diǎn)位于所述外部網(wǎng)上，而所述對(duì)應(yīng)節(jié)點(diǎn)位于所述原籍網(wǎng)絡(luò)上，并且該產(chǎn)品還包括當(dāng)由機(jī)器運(yùn)行時(shí)進(jìn)一步使所述機(jī)器利用內(nèi)部原籍地址經(jīng)由所述IPSec隧道向所述原籍網(wǎng)絡(luò)上的內(nèi)部原籍代理登記所述移動(dòng)節(jié)點(diǎn)的指令。
20.根據(jù)權(quán)利要求18所述的產(chǎn)品，還包括當(dāng)由機(jī)器運(yùn)行時(shí)進(jìn)一步使所述機(jī)器利用內(nèi)部原籍地址和內(nèi)部轉(zhuǎn)交地址向所述內(nèi)部原籍代理登記所述移動(dòng)節(jié)點(diǎn)的指令。
21.根據(jù)權(quán)利要求18所述的產(chǎn)品，還包括當(dāng)由機(jī)器運(yùn)行時(shí)進(jìn)一步使所述機(jī)器利用外部原籍地址和外部轉(zhuǎn)交地址向所述外部原籍代理登記所述移動(dòng)節(jié)點(diǎn)的指令。
22.一種產(chǎn)品，包括在其上存儲(chǔ)指令的機(jī)器可訪問介質(zhì)，所述指令當(dāng)由機(jī)器運(yùn)行時(shí)使所述機(jī)器執(zhí)行以下操作從移動(dòng)節(jié)點(diǎn)接收建立IPSec隧道的請(qǐng)求；建立IPSec隧道，所述IPSec隧道包括一個(gè)與所述移動(dòng)節(jié)點(diǎn)的外部原籍地址相對(duì)應(yīng)的隧道外部地址(TOA)和一個(gè)與所述移動(dòng)節(jié)點(diǎn)的內(nèi)部原籍地址相對(duì)應(yīng)的隧道內(nèi)部地址(TIA)；和經(jīng)由所述IPSec隧道在所述移動(dòng)節(jié)點(diǎn)與一個(gè)對(duì)應(yīng)節(jié)點(diǎn)之間為分組選擇路由。
23.根據(jù)權(quán)利要求22所述的產(chǎn)品，還包括當(dāng)由機(jī)器運(yùn)行時(shí)進(jìn)一步使所述機(jī)器利用外部原籍地址在外部網(wǎng)的外部原籍代理上登記所述移動(dòng)節(jié)點(diǎn)的指令。
24.根據(jù)權(quán)利要求22所述的產(chǎn)品，還包括當(dāng)由機(jī)器運(yùn)行時(shí)進(jìn)一步使所述機(jī)器利用內(nèi)部原籍地址經(jīng)由所述IPSec隧道在所述原籍網(wǎng)絡(luò)的內(nèi)部原籍代理上登記所述移動(dòng)節(jié)點(diǎn)的指令。
25.根據(jù)權(quán)利要求18所述的產(chǎn)品，還包括當(dāng)由機(jī)器運(yùn)行時(shí)進(jìn)一步使所述機(jī)器接收使用所述移動(dòng)節(jié)點(diǎn)的外部原籍地址作為TOA和使用所述移動(dòng)節(jié)點(diǎn)的內(nèi)部原籍地址作為TIA來建立IPSec隧道的請(qǐng)求的指令。
全文摘要
本發(fā)明公開了提供無縫、安全漫游解決方案的方法、設(shè)備和系統(tǒng)。本發(fā)明的實(shí)施例能夠穿越企業(yè)安全網(wǎng)關(guān)安全地傳輸IP分組。根據(jù)一個(gè)實(shí)施例，外部網(wǎng)上的移動(dòng)節(jié)點(diǎn)可以利用外部原籍地址向外部原籍代理登記。移動(dòng)節(jié)點(diǎn)還使用外部原籍地址和內(nèi)部原籍地址來建立一條到達(dá)安全網(wǎng)關(guān)的安全路徑。然后，移動(dòng)節(jié)點(diǎn)可以使用此安全路徑與外部網(wǎng)上的節(jié)點(diǎn)通信。在其它實(shí)施例中，移動(dòng)節(jié)點(diǎn)可以使用該安全路徑、利用內(nèi)部原籍地址向原籍網(wǎng)絡(luò)上的內(nèi)部原籍代理登記。然后，移動(dòng)節(jié)點(diǎn)可以通過該安全路徑與原籍網(wǎng)絡(luò)上的節(jié)點(diǎn)相對(duì)應(yīng)。
文檔編號(hào)H04L29/06GK1509111SQ0312729
公開日2004年6月30日 申請(qǐng)日期2003年9月18日 優(yōu)先權(quán)日2002年12月18日
發(fā)明者F·阿蘭吉, R·S·納亞拉, M·B·安德魯斯, F 阿蘭吉, 安德魯斯, 納亞拉 申請(qǐng)人:英特爾公司