CN1481081A - 虚拟专用网络系统 - Google Patents
虚拟专用网络系统 Download PDFInfo
- Publication number
- CN1481081A CN1481081A CNA031531695A CN03153169A CN1481081A CN 1481081 A CN1481081 A CN 1481081A CN A031531695 A CNA031531695 A CN A031531695A CN 03153169 A CN03153169 A CN 03153169A CN 1481081 A CN1481081 A CN 1481081A
- Authority
- CN
- China
- Prior art keywords
- network
- address
- mobile node
- mobile
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4675—Dynamic sharing of VLAN information amongst network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
使本地代理(HA)具有包含企业网安全功能的网关功能。当通信运营商与企业之间订立有服务协定时,在通信运营商的本地代理与企业网中的安全网关之间预先建立VPN。结果,采用移动节点(MN)的并置模式,并且在移动IP位置注册过程中根据容纳该移动节点的网络的安全级别发布VPN信息,从而构造起有效利用移动IP隧道建立处理的VPN。
Description
发明领域
本发明涉及用于在作为专用网络的组织网络与容纳移动节点的网络之间建立虚拟专用网络的系统、移动节点、本地代理,以及通信控制方法。
背景技术
近年来,已经实现了采用多种网络(以IMT-2000、热区网(hot spot)、无线LAN等为代表)的移动环境,并且通过这些网络接入作为专用网络(以企业网为代表)的组织网络(organization network)的情况日益增加。
当从一个外部网络接入组织网络时,通常需要用外部网络分配的地址,经由组织网络的安全网关进行通信。考虑到安全,采用这种分配地址过滤方法的组织网络不多。
然而,通过上述接入方法,在组织网络内部和外部使用不同的地址。因此,不能认为提供了与那种和组织网络进行直接连接的情况中类似的网络环境,并且提高用户便利度,以及与连接状态无关地实现无缝和安全的通信的要求正在日益增加。
作为实现无缝通信的手段,存在由RFC 3220定义的移动IP(IPv4的IP移动性支持)。然而,该移动IP被设想为用在以相同寻址体系工作的网络中,在具有不同寻址体系的网络之间移动是不可能的。特别是该移动IP一般用于组织网络中的专用地址,在公共网络(比如互联网)中进行路由是不可能的。
目前,作为在公共网络中利用专用地址透明地进行路由的技术,存在由RFC 2764定义的虚拟专用网络(基于IP的虚拟专用网络架构)。此处,在各主机之间建立的隧道(tunnel)被认为包含在虚拟专用网络中。利用容纳节点的外部网络所分配的地址为组织网络中的VPN网关建立隧道的方法是公知的。
VPN设备具有向传输IP分组(transfer IP packet)添加IP报头的功能(IPinIP),这个报头是由RFC 2003定义的(IP内的IP封装,IPEncapsulation within IP),并且可以传送以实现VPN通信。利用TCP/IP之外的(例如)专用地址或协议在互联网(其本来只可以传输具有全球地址的IP分组)上进行通信被称作“隧穿(tunneling)”,这意味着在进行互联网通信的同时进行另一种通信。另外,由RFC 2401定义的IPSec(互联网协议安全架构)作为对待隧穿的IP分组进行加密和验证以确保其保密性和安全的技术而存在。
为了经由公共网络与利用专用地址工作的组织网络进行无缝的通信,必须把组织网络中的专用地址应用于本地地址(home address,移动IP的固定地址),利用公共网络中的VPN来进行路由。
图1和2解释了根据现有技术,经由公共网络(比如互联网)与组织网络进行无缝通信的方法。
外部网络中的网络连接服务是由不同于以互联网服务提供商、FOMA、CDMA 2000和热区网为代表的组织网络的组织提供的,或者是由通信运营商提供的。此处,热区网(hot spot)是其区域受到限制并且由无线LAN构成的通信网络。热区网的例子包括在商场、公司大楼等之中由无线LAN等构成的网络。相应地,商场或公司与移动通信运营商签订协定,使得热区网配置为限制在商场或公司大楼内,尽管它处于移动通信运营商的服务控制之下。
传统上,如图1中所示,无法在移动节点(mobile node,RFC 3220定义的MN)与外部代理(Foreign Agent,RFC 3220定义的FA)之间用专用地址进行路由,即使事先在组织网络的本地代理(home agent,RFC 3220定义的HA)与外部网络中设置的外部代理(FA)之间建立了VPN。也就是说,尽管可以在本地代理(HA)与外部代理(FA)之间建立用专用地址进行路由的隧道,但如果没有使用外部网络分配给移动节点(MN)的全球地址,则也不能在移动节点(MN)与外部代理(FA)之间进行通信。这是因为外部代理(FA)与移动节点(MN)之间的通信是经由外部网络进行的。
因此,如图2所示采用了支持并置模式(co-located mode)的移动节点(MN),从而在用移动IP进行位置注册之前在VPN网关之间建立用专用地址进行路由的VPN,并且用所建立的VPN进行移动IP的位置注册。
以此方式,可以在本地代理(HA)与移动节点(MN)之间利用专用地址进行通信。也就是说,如果采用了并置模式,则必须进行两阶段的隧道建立操作,首先通过隧穿在移动节点(MN)与容纳本地代理(HA)的网络的网关(GW)之间建立一个VPN,然后通过所建立的VPN在本地代理(HA)与移动节点(MN)之间建立移动IP隧道。
并置模式是由RFC 3220定义的一种模式,其中通过DHCP(DynamicHost Configuration Protocol,动态主机配置协议)等分配给移动节点(MN)的地址被用作转交地址(care-of-address),而移动节点(MN)本身建立起移动IP隧道,并且执行封装和解封。
上述RFC 3220描述了用于将IP数据报路由至互联网上移动节点的协议的改进(参见非专利文献1)。
而且,在VPN系统中与移动IP位置注册过程协同地通过IPSec隧道在任意终端之间提供VPN建立服务但不提供特殊VPN功能的现有技术已经存在,在移动IP网络中建立VPN的方法也已经存在(参见专利文献1)。
[非专利文献1]
Network Working Group,Request For Comments:3220,Obsoletes:2002,Category:Standards Track,C.Perkins,Ed,Nokia ResearchCenter,January 2002,“IP mobility Support for IPv4”
[专利文献1]
日本专利申请公开No.2002-44141
通过上述方法,如果在外部网络中设置了外部代理,则不能在外部网络中利用专用地址进行路由。目前,如果采用了支持并置模式的移动节点,则移动IP通信与移动节点的VPN建立无关,并且必须建立用于通过专用地址进行路由的隧道以及移动IP隧道。因此,不能有效地利用移动IP的隧道建立处理,并且在移动节点移动时执行的越区切换也会失效(不能进行平稳的越区切换,因为在网络之间进行切换时需要时间来建立新的路径)。另外,由于在传送过程中要对分组进行双倍的封装和解封,所以降低了处理能力。
根据本发明,对组织网络中设置的本地代理赋予组织网络的安全网关功能,或者当通信运营商与组织之间订立服务协定时在通信运营商网络中设置的本地代理与组织网络的安全网关之间预先建立VPN,从而采用移动节点的并置模式,并且在移动IP位置注册过程中向移动节点发布VPN信息,从而有效地利用了移动IP隧道建立处理。其结果是,隧道建立处理的系统开销得到抑制,可以用组织网络的专用地址在公共网络上进行路由,并且可以不改变该专用地址而进行无缝且安全的通信。
发明内容
本发明的目的在于提供一种使得无需改变组织网络等分配的专用地址,而能够在组织网络内部/外部的移动环境中提供无缝且安全的虚拟专用网络服务的系统。
根据本发明的虚拟专用网络系统控制与一第二地址的通信,连接至一第一网络,并且经由一第二网络与在作为专用网络的所述第一网络中使用的第一地址进行通信。该虚拟专用网络系统包括:第一移动单元,其固定地保持着第一地址而进行通信;和第二移动单元,其获取所述第一单元的第一地址与第二地址之间的对应关系,以经由所述第二网络进行通信,并且在建立即使在所述第一单元移动时也可以通信的会话的过程中,对所述第一单元进行验证,并通过所述第二网络在接入第一网络的通信设备与所述第二单元之间形成虚拟专用网络。
根据本发明的本地代理使得在移动节点与连接至一专用网络的节点之间能够根据移动IP进行通信。该本地代理包括:用于在移动节点与本地代理之间建立虚拟专用网络的单元;用于对移动节点的接入进行验证的单元;和用于将有关该虚拟专用网络的信息通报给移动节点的单元。
根据本发明的第一路由器使得能够在移动节点与连接至一专用网络的节点之间进行通信。该第一路由器包括:用于对从移动节点发出的位置注册请求的转交地址或域进行检测的单元;和通信控制单元,如果检测到的转交地址或域指示一个能够保障通信秘密的网络,则使用所述移动节点与所述路由器之间具有较低保密度的通信协议,或者如果所述转交地址指示一个不能完全保障通信秘密的网络,则使用所述移动节点与所述路由器之间具有较高保密度的通信协议,经由所述路由器在所述移动节点与所述节点之间进行通信。
根据本发明的第二路由器使得能够在移动节点与连接至一专用网络的节点之间进行通信。该第二路由器包括:用于对移动节点发出的位置注册请求的转交地址与源地址进行比较的单元;和通信控制单元,如果所述转交地址不指示预定的通信运营商且与所述源地址匹配,则使用所述移动节点与所述路由器之间具有较低保密度的通信协议,或者如果所述转交地址与所述源地址不匹配,则使用所述移动节点与所述路由器之间具有较高保密度的通信协议,经由所述路由器在所述移动节点与所述节点之间进行通信
根据本发明的第一移动节点能够与连接至一专用网络的节点进行通信。该第一移动节点包括:获取单元,用于获取所述移动节点本身当前所属网络的信息;和控制单元,用于执行控制,如果所获取的网络信息指示一个专用网络则向一个管理该移动节点位置的路由器的专用地址发出位置注册请求消息,如果所获取的网络信息指示一个预定的通信运营商网络,则向该路由器的全球地址发出位置注册请求消息,或者在其它情况下向该路由器的全球地址发出含有建立具有较高保密度的通信路径的请求的位置注册请求消息。
根据本发明的第二移动节点能够与连接至一专用网络的节点进行通信。该第二移动节点包括:用于对所述移动节点当前所属网络的转交地址与源地址进行比较的单元;和通信控制单元,如果所述转交地址不指示预定的通信运营商且与所述源地址匹配,则在所述移动节点与路由器之间使用具有较低保密度的通信协议,或者如果所述转交地址与所述源地址不匹配,则在所述移动节点与路由器之间使用具有较高保密度的通信协议,经由路由器进行所述移动节点与所述节点之间的通信。
根据本发明的第三移动节点位于使得能够在移动节点与连接至一专用网络的节点之间进行通信的系统中。该第三移动节点包括:用于建立移动IP通信隧道的单元;和用于在移动IP通信隧道建立过程中建立专用网络通信隧道的单元,其中所述移动节点通过采用一个既用作移动IP通信隧道也用作专用网络通信隧道的通信隧道进行通信。
根据本发明,在第一地址(作为本地地址的不变专用地址)与第二地址(可以用于通信,作为转交地址)之间建立对应关系,在移动节点与本地代理之间交换虚拟专用网络的信息,并且在实现移动节点的漫游的过程中建立虚拟专用网络,从而简化了设定移动IP以及建立虚拟专用网络的程序。其结果是,在越区切换时可以快速地为移动节点建立虚拟专用网络。这解决了现有技术中由于必需进行双重封装而引发的问题。
附图说明
图1表示采用现有技术经由公共网络与企业网进行通信的方法;
图2表示采用现有技术经由公共网络与企业网进行无缝通信的方法;
图3为本发明的功能框图;
图4A和4B表示DIAMETER协议的细节(No.1);
图5A至5C表示DIAMETER协议的细节(No.2);
图6表示DIAMETER协议的细节(No.3);
图7表示DIAMETER协议的细节(No.4);
图8表示DIAMETER协议的细节(No.5);
图9表示DIAMETER协议的细节(No.6);
图10表示DIAMETER协议的细节(No.7);
图11表示DIAMETER协议的细节(No.8);
图12表示DIAMETER协议的细节(No.9);
图13表示DIAMETER协议的细节(No.10);
图14表示DIAMETER协议的细节(No.11);
图15表示本发明一个优选实施例中使用的VPN数据库的结构;
图16表示由具有图3至15所示功能的验证服务器和网络设备构成的IP网络的结构(No.1);
图17表示由具有图3至15所示功能的验证服务器和网络设备构成的IP网络的结构(No.2);
图18表示由具有图3至15所示功能的验证服务器和网络设备构成的IP网络的结构(No.3);
图19表示由具有图3至15所示功能的验证服务器和网络设备构成的IP网络的结构(No.4);
图20表示由具有图3至15所示功能的验证服务器和网络设备构成的IP网络的结构(No.5);
图21表示由具有图3至15所示功能的验证服务器和网络设备构成的IP网络的结构(No.6);
图22表示由具有图3至15所示功能的验证服务器和网络设备构成的IP网络的结构(No.7);
图23为表示AAA功能的方框图;
图24表示VPN信息缓存的结构;
图25表示路由表的结构;
图26表示AAA所执行的处理的流程图(No.1);
图27表示AAA所执行的处理的流程图(No.2);
图28表示AAA所执行的处理的流程图(No.3);
图29为表示HA和PCN的功能的方框图;
图30表示VPN信息表;
图31表示MA(移动代理,Mobile Agent)所执行的处理的流程图(No.1);
图32表示MA(移动代理)所执行的处理的流程图(No.2);
图33表示MA(移动代理)所执行的处理的流程图(No.3);
图34表示MA(移动代理)所执行的处理的流程图(No.4);
图35表示MA(移动代理)所执行的处理的流程图(No.5);
图36表示MA(移动代理)所执行的处理的流程图(No.6);
图37表示MA(移动代理)所执行的处理的流程图(No.7);
图38为表示MN的功能的方框图;
图39表示MN所执行的处理的流程图(No.1);
图40表示MN所执行的处理的流程图(No.2);
图41表示MN所执行的处理的流程图(No.3);
图42表示MN所执行的处理的流程图(No.4);
图43表示MN所执行的处理的流程图(No.5);
图44表示根据本发明的一个优选实施例,在企业网中进行通信的情形(No.1);
图45表示根据本发明的这个优选实施例在企业网中进行通信的情形(No.2);
图46表示在企业网中的路径切换方法(No.1);
图47表示在企业网中的路径切换方法(No.2);
图48表示在企业网中的路径切换方法(No.3);
图49表示在同一管理域中各位置之间的通信(No.1);
图50表示在同一管理域中各位置之间的通信(No.2);
图51表示在企业网中的路径切换方法(No.1);
图52表示在企业网中的路径切换方法(No.2);
图53表示在企业网中的路径切换方法(No.3);
图54表示在同一管理域中各位置之间进行的通信(No.1);
图55表示在同一管理域中各位置之间进行的通信(No.2);
图56表示PCN之间的路径优化方法(No.1);
图57表示PCN之间的路径优化方法(No.2);
图58表示PCN之间的路径优化方法(No.3);
图59表示经由移动通信运营商进行的通信(No.1);
图60表示经由移动通信运营商进行的通信(No.2);
图61表示经由移动通信运营商进行的通信(No.3);
图62表示从热区网直接连接至移动通信运营商网络进行通信的操作(No.1);
图63表示从热区网直接连接至移动通信运营商网络进行通信的操作(No.2);
图64表示从热区网直接连接至移动通信运营商网络进行通信的操作(No.3);
图65表示从漫游合作方进行通信的操作(No.1);
图66表示从漫游合作方进行通信的操作(No.2);
图67表示从漫游合作方进行通信的操作(No.3);
图68表示在经由企业网中的代理进行互联网连接的情况下所执行的操作;
图69表示经由移动通信运营商网络进行通信的操作(No.1);
图70表示经由移动通信运营商网络进行通信的操作(No.2);
图71表示经由移动通信运营商网络进行通信的操作(No.3);
图72表示从热区网直接连接至移动通信运营商网络进行通信的操作(No.1);
图73表示从热区网直接连接至移动通信运营商网络进行通信的操作(No.2);
图74表示从热区网直接连接至移动通信运营商网络进行通信的操作(No.3);
图75表示从漫游合作方进行通信的操作(No.1);
图76表示从漫游合作方进行通信的操作(No.2);以及
图77表示从漫游合作方进行通信的操作(No.3)。
具体实施方式
图3为表示本发明的功能框图。
其功能概述如下。
组织网络11和12
组织网络11和12为封闭于组织(比如企业、大学、政府机构等)之中的专用网络,并且经由防火墙连接至公共网络(比如互联网)。在组织中可以采用专用地址或全球地址作为地址格式。然而,本发明中所用的地址被称为“专用地址”,意味着只能在组织网络内进行通信。同时,可以在公共网络中通信的地址被称作“全球地址”。相应地,在移动IP协议中, “专用地址”为本地地址,其对应于固定的第一地址,而“全球地址”为转交地址,其对应于可以用来通信的第二地址。
以下,以企业网作为组织网络的代表性例子来描述根据本发明的优选实施例。
在图3中,通常设置多个本地代理19,并为一个组织网络12执行分布式处理。对于每个不同的组织网络12设置一组这样的多个本地代理19。
验证服务器18
验证服务器18为一个服务器组,具有IETF使用的名称(以下称作AAA),并且执行验证、授权和统计。验证服务器18由AAA协议控制单元和AAA VPN控制单元构成,其中AAA协议控制单元从VPN数据库17中提取发出验证请求的用户的VPN信息,并且通过AAA协议21将VPN信息通报给HA19,AAA VPN控制单元除上述功能之外,还从用户单元中提取VPN信息,并且确定VPN路径。在图3中,验证服务器18设置在通信运营商网络或企业网11中。
AAA协议21
这是AAA系统使用的协议。AAA协议可以由能够传输验证、授权、统计和策略信息的任何协议使用。在本发明的优选实施例中,所用协议不具体限定,但是假定使用IETF目前正在研究的DIAMETER协议。为传输本发明优选实施例中所需的新信息,使用了DIAMETER协议定义的称作AVP(属性值对,Attribute Value Pair)的可扩展属性参数。扩展属性是有关VPN建立的信息。
数据库检索协议
这是一个用于检索VPN数据库17的协议。所用协议取决于实施VPN数据库17的数据库产品。通常采用LDAP(Light Directory Access Protocol,轻量目录访问协议)或SQL。本发明的优选实施例不限制数据库的检索协议和操作。
VPN数据库17
图15示例地显示了本发明优选实施例中采用的VPN和数据库17的结构。
VPN数据库17是由各用户设置的一组VPN数据实例。各个实例对应于一个VPN。每个VPN数据实例由作为唯一地表示VPN信息的标识符的概要编号(ProfileNumber)、用户网络标识(Nai)、用于指示采用的是各安全网关共享的安全关系还是用户特定的安全关系的VPN共享标志(vpnshare)、VPN类型(vpnkind)、通信目标终端的IP地址(destaddr)、上行QoS级别(upclass)、下行QoS级别(downclass)、IPSec使用的上行SPI(upSPI)、IPSec使用的下行SPI(downSPI)、以及用于UDP封装的IP端口号(portNumber)构成。
如果共享标志设定为0,则upclass、downclass、upSPI、和downSPI可以省略。该数据库通过用户NAI检索。所有检索到的实例加上地址信息被记录在VPN信息缓存中,后面将加以说明。
DHCP协议23
这表示由RFC 2131定义的对于节点的所有网络建立协议以及对其的任何未来改变。移动节点(MN 16)使用DHCPREQUEST消息,并且向作为外部接入网10的网络中设置的DHCP服务器15发出网络信息请求。DHCP服务器15通过DHCPPACK消息向移动节点(MN 16)通报网络信息。通过DHCPPACK消息通报的网络信息包括移动节点(MN 16)的IP地址、网络掩码、网关地址、域名、DNS地址等。虽然本发明优选实施例假定DHCP协议作为移动节点(MN 16)的地址获取手段,但是只要能从网络中获取IP地址,协议不受局限。
移动IP协议22
这表示由RFC 3220定义的所有移动IP协议以及对其的任何未来改变。
图4至16显示了DIAMETER协议的细节。
图4和5表示移动IP消息以及DIAMETER消息的结构。在这些消息中都使用了IP报头和UDP报头。这些报头以及图4A中移动IP消息和DIAMETER消息的AVP格式如图4B至5C中所示构造。
另外,图6表示移动IP的位置注册请求(Reg.Request)消息的结构,图7表示DIAMETER的验证请求(AMR:AA移动节点请求)消息的结构,以及图8表示DIAMETER的本地代理注册请求(HAR:本地代理MIP请求)消息的结构。
图9和10表示移动IP的位置注册回复(Reg.Reply)消息的结构,图11A表示DIAMETER的验证答复(AMA:AA移动节点答复)消息的结构,以及图11B表示DIAMETER的本地代理注册答复(HAA:本地代理MIP答复)消息的结构。
图12和13表示移动IP的绑定更新(BU)消息的结构,其意在优化沿CN至MN的方向不经HA而直接传输分组的路径。图14表示移动IP的绑定确认(BA)消息的结构。
本地代理(HA)19
这是用于通过RFC 3220定义的移动IP协议22的程序管理移动节点(MN16)位置的功能(以下缩写为HA)。本地代理有时称作移动通信控制设备或路由器。
本发明优选实施例的网络设备作为通信运营商网络或企业网11中的安全网关。本地代理(HA 19)是一个具有由企业网12分配的专用地址作为本地地址的代理。发送至本地代理(HA 19)的分组(其目标地址为移动节点(MN 16)本地地址)被封装并传输至移动节点(MN 16)的转交地址,该转交地址对应于该本地地址。该地址对应关系由一个称作移动性绑定的表加以管理。另外,HA 19通过在位置注册回复(Reg.Reply)消息中设定服务概况(service profile)而将VPN信息通报给移动节点(MN16)。本发明优选实施例中的HA 19还用作VPN网关功能,用于在UDPinIP封装之后执行IPSec封装,以支持要进行NAT(网络地址转换)和NAPT(网络地址端口转换)的IPinIP、IPSec或IPSec+UDP分组,并且包括MA协议控制单元(移动代理协议控制单元),用于分析通过AAA协议和IP协议通报的VPN信息,和MA VPN控制单元(移动代理VPN控制单元),用于根据所分析的VPN信息,以网络内核(network kernel)所指定的安全级别建立隧道。
代理对应节点(PCN,Proxy Correspondent Node)20
这是用于通过移动IP协议22的移动性绑定更新处理为本地代理(HA19)所通报的目标地址建立VPN的网络功能(以下缩写为PCN)。利用来自本地代理(HA 19)的绑定更新(BU)消息建立企业网中的回环(loopback)以及PCN之间的隧道,从而进行移动节点(MN 16)的路径优化。本发明优选实施例的PCN还用作IPinIP、IPSec和IPSec+UDP的安全网关功能,并且包括MA协议控制单元,用于分析通过移动IP协议通报的VPN信息,和MAVPN控制单元,用于根据所分析的VPN信息,以网络内核所指定的安全级别建立隧道。在图3中,PCN 20设置在企业网12中。
移动节点(MN)16
移动节点(MN 16),在本发明优选实施例中为网络设备,是由RFC 3220所定义的功能(以下缩写为MN),其利用移动IP协议22的进程可以在保持会话的同时在网络中移动。本发明优选实施例的移动节点(MN 16)具有IPinIP、IPSec和IPSec+UDP的隧穿功能,并且执行加密/解密以及封装/解封。移动节点(MN 16)对传输至转交地址的封装分组进行解封,并且通报给与该分组的本地地址相对应的应用。另外,MN利用转交地址对通过本地地址从应用通报来的用户分组进行封装,并且将该分组传输至对应节点(CN)。此外,MN根据来自本地代理(HA 19)的位置注册回复(Reg.Reply)消息所通报的服务概况中设定的安全级别,在通常的IPinIP隧道之外还建立IPSec或IPSec+UDP隧道,并且还建立与从移动节点(MN16)至本地代理(HA 19)的隧道(通常称作反向隧道)类似的隧道。MN包括MA协议控制单元,用于分析通过移动IP协议通报的VPN信息,和MA VPN控制单元,用于根据所分析的VPN信息以网络内核所指定的安全级别建立隧道。通过以能够使用移动IP协议进行通信的膝上型个人计算机为例对本发明进行说明。
图16至22表示由具有参照图3至15所述功能的网络设备和验证服务器构成的IP网络的结构。
图16基于由利用专用地址进行操作的企业网、利用全球地址进行操作的公共网络(比如互联网)、和用于根据与企业网的互连协议向与该网络连接的节点分配全球地址、并且提供对企业网的接入手段的接入网所构成的网络。
图16所示的系统构成部分有:移动节点(MN),具有企业网内的专用地址作为本地地址,该本地地址是移动IP协议的不变地址,移动节点在企业网和作为外部网络的接入网之间移动,同时保留所述专用(本地)地址,并且与企业网继续进行通信;验证服务器(AAA),用于对企业网中的移动节点(MN)进行验证;以及本地代理(HA),存在于企业网内,并且对移动节点(MN)的位置进行管理。
图17基于由利用专用地址进行操作的企业网、利用全球地址进行操作的公共网络(比如互联网)、和用于根据与企业网的互连协议向与该网络连接的节点分配全球地址、并且提供对企业网的接入手段的接入网所构成的网络。
图17所示的系统构成部分有:移动节点(MN),具有企业网中的专用地址作为本地地址,该本地地址是移动IP协议的不变地址,移动节点在企业网和作为外部网络的接入网之间移动,同时保留所述专用(本地)地址,并且与企业网继续进行通信;验证服务器(AAA),存在于企业网中,用于对移动节点(MN)进行验证;本地代理(HA),存在于企业网的安全网关中,并且对移动节点(MN)的位置进行管理;以及代理对应节点(PCN),存在于企业网中,并且使用来自本地代理(HA)的绑定更新消息对路径进行优化。
图18基于由利用专用地址进行操作的企业网、利用全球地址进行操作的公共网络(比如互联网)、和用于根据与企业网的互连协议向与该网络连接的节点分配全球地址、并且提供对企业网的接入手段的接入网所构成的网络。
图18所示的系统构成部分有:移动节点(MN),具有企业网中的专用地址作为本地地址,该本地地址是移动IP协议的不变地址,移动节点在企业网和作为外部网络的接入网之间移动,同时保留所述专用(本地)地址,并且与企业网继续进行通信;验证服务器(AAA),存在于企业网中,用于对移动节点(MN)进行验证;本地代理(HA),存在于企业网的安全网关中,并且对移动节点(MN)的位置进行管理;以及代理对应节点(PCN),存在于企业网中,并且使用来自本地代理(HA)的绑定更新消息对路径进行优化。当服务开始时,考虑到安全性而用IPSec(由IETF标准化的分组加密和验证技术)在HA与PCN之间建立隧道。
图19基于由利用专用地址进行操作的企业网、利用全球地址进行操作的公共网络(比如互联网)、和用于根据与企业网的互连协议向与该网络连接的节点分配全球地址、并且提供对企业网的接入手段的通信运营商网络所构成的网络。
图19所示的系统构成部分有:移动节点(MN),具有企业网中的专用地址作为本地地址,该本地地址是移动IP协议的不变地址,移动节点在企业网和作为外部网络的接入网之间移动,同时保留所述专用(本地)地址,并且与企业网继续进行通信;验证服务器(AAA),存在于通信运营商网络中,用于对移动节点(MN)进行验证;本地代理(HA),存在于通信运营商网络中,并且利用企业网的专用地址对移动节点(MN)的位置进行管理;网关设备,存在于企业网中,利用VPN经由公共网络来连接企业网和本地代理(HA);以及代理对应节点(PCN),存在于企业网的安全网关中,根据企业网中本地代理(HA)的指令把通信环回至企业网中的移动节点(MN)。当服务开始时,考虑到安全性而建立IPSec隧道。
图20基于由利用专用地址进行操作的企业网、利用全球地址进行操作的公共网络(比如互联网)、和用于根据与企业网的互连协议向与该网络连接的节点分配全球地址、并且提供对企业网的接入手段的通信运营商网络所构成的网络。
图20所示的系统构成部分有:移动节点(MN),具有企业网中的专用地址作为本地地址,该本地地址是移动IP协议的不变地址,移动节点在企业网和作为外部网络的接入网之间移动,同时保留所述专用(本地)地址,并且与企业网继续进行通信;验证服务器(AAA),存在于通信运营商网络中,用于对移动节点(MN)进行验证;本地代理(HA),存在于通信运营商网络中,并且利用企业网的专用地址对移动节点(MN)的位置进行管理;网关设备,存在于企业网中,利用VPN经由公共网络来连接企业网和本地代理(HA);以及代理对应节点(PCN),存在于通信运营商网络的网关中,根据企业网中本地代理(HA)的指令把通信环回至企业网中的移动节点(MN)。当服务开始时,考虑到安全性而在HA与PCN之间建立IPSec隧道。
图21基于由利用专用地址进行操作的企业网、利用全球地址进行操作的公共网络(比如互联网)、和根据与企业网的互连协议向与该网络连接的节点分配全球地址、并且提供对企业网的接入手段的通信运营商网络所构成的网络。
图21所示的系统构成部分有:移动节点(MN),具有企业网中的专用地址作为本地地址,该本地地址是移动IP协议的不变地址,移动节点在企业网和作为外部网络的接入网之间移动、同时保留所述专用(本地)地址,并且与企业网继续进行通信;验证服务器(AAA),存在于通信运营商网络中,用于对移动节点(MN)进行验证;本地代理(HA),存在于通信运营商网络中,并且利用企业网的专用地址对移动节点(MN)的位置进行管理;网关设备,存在于企业网中,利用VPN经由公共网络来连接企业网和本地代理(HA);以及代理对应节点(PCN),存在于企业网中,根据企业网中本地代理(HA)的指令把通信环回至企业网中的移动节点(MN)。当服务开始时,考虑到安全性而在HA与PCN之间建立IPSec隧道。
图22基于由利用专用地址进行操作的企业网、利用全球地址进行操作的公共网络(比如互联网)、和根据与企业网的互连协议向与该网络连接的节点分配全球地址、并且提供对企业网的接入手段的通信运营商网络所构成的网络。
图22所示的系统构成部分有:移动节点(MN),具有企业网中的专用地址作为本地地址,该本地地址是移动IP协议的不变地址,移动节点在企业网和作为外部网络的接入网之间移动,同时保留所述专用(本地)地址,并且与企业网继续进行通信;验证服务器(AAA),存在于通信运营商网络中,用于对移动节点(MN)进行验证;本地代理(HA),存在于通信运营商网络中,并且利用企业网的专用地址对移动节点(MN)的位置进行管理;网关设备,存在于企业网中,利用VPN经由公共网络来连接企业网和本地代理(HA);以及代理对应节点(PCN),存在于企业网中,根据企业网中本地代理(HA)的指令把通信环回至企业网中的移动节点(MN)。当服务开始时,考虑到安全性而在HA与PCN之间建立IPSec隧道。
功能实体的详细描述
AAA
图23为图3所示AAA 18的示例性功能框图。
AAA由AAA协议控制单元30、AAA VPN控制单元31、数据库服务器32、网络内核33和网络设备接口34构成。
AAA协议控制单元30由用于控制AAA协议的AAA协议处理单元35构成。
AAA VPN控制单元31由用于对从VPN数据库中提取的VPN信息进行缓存的VPN信息缓存(图24中所示)、和密钥发生器37构成。密钥发生器37产生的密钥被用于(例如)对通过所建立VPN的数据进行加密。
图24示例性地显示了VPN信息缓存的结构。
VPN信息缓存是(例如)一组VPN信息缓存实例,利用包含特定于网络中用户的信息的唯一的会话ID进行检索,并且在用户接入该网络时有效。每个VPN信息缓存实例由作为唯一的标识符的会话ID、指示对应用户建立的VPN数目的概况数目、和含有各VPN的建立信息的VPN信息概况所构成。VPN信息概况包括作为唯一地标识一个VPN的标识符的概况编号;用于标识VPN所应用的分组的源和目标IP地址;其网络掩码;分组中设定的TOS值;安全类型,指示是采用AH(Authentication Header Protocol,验证报头协议)、ESP(Encapsulating Security Payload,封装安全净荷)、还是仅采用封装来设定IPSec;作为IPSec隧道的入口和出口并且在IPSec隧道模式中引用的源和目标的网关地址;目标GW类型,指示目标网关是否能够建立动态VPN;SPI(Security Parameter Index,安全参数索引),其为上行和下行方向上的安全标识符;ESP加密密钥;和ESP验证密钥。
数据库服务器32由VPN数据库(图15所示)和WEB应用构成。
网络内核33是一个操作系统,其控制IP分组传输和作为与网络的连接点的物理接口,并且具有一个路由表(如图25中所示),用于确定IP分组传输的路由。网络内核33为封装、编辑和传输分组等执行队列控制。然而,这些功能取决于操作系统,并不局限于本发明的优选实施例。
图25示例性地显示了路由表的结构。通常的路由表由目标地址、网关地址、网络掩码、度量(metric)和输出接口构成。利用目标地址和度量确定目标网络节点。本发明的优选实施例不依赖于路由表的结构。下面以能够在输出目标地址建立虚拟网络设备接口的网络内核为例进行具体的说明。
另外,网络内核33具有在接收到封装分组之后进行解封的功能。如果解封后的分组含有ESP报头,则网络内核33还具有通过参考隧道控制部分所保有的ESP信息对分组进行解密和加密的功能。另外,如果利用IPSec解封的数据具有UDP(User Datagram Protocol,用户数据报协议)格式,则网络内核33执行UDP解封。这些功能取决于封装的实施和IPSec本身,并且不是关键。因此,这里只提供了其概述。
网络设备接口34是与网络设备的接口。网络设备接口34根据实施方法分成物理网络设备接口和虚拟网络设备接口。
物理网络设备接口为(例如)LAN、ISDN、ATM等的接口卡。物理网络设备接口的控制驱动器称作“实际设备”。
虚拟网络设备接口是与虚拟网络设备的接口。该接口是虚拟接口卡,根据与物理网络设备接口类似的控制,通过软件、IPSec等实现隧穿的功能。具有隧穿等功能的虚拟网络设备接口的驱动器被称作“虚拟设备”。网络内核33参考路由表,向/从虚拟设备发送/接收分组,从而执行封装/解封。在本发明的说明中,由虚拟设备隧道实现IPinIP,由虚拟设备ipsec实现IPSec和IPSec+UDP。当然,这些功能可以由硬件(物理网络设备接口)实现。
图26至28为表示AAA所执行的处理的流程图。参照这些流程图对AAA所执行的处理加以说明。
图26为示例性地显示AAA所执行的全部处理的流程图。
S100:在接收到来自物理网络接口34的分组之后,网络内核33通过检索IP端口号选择AAA协议信令分组(DIAMETER),并且将所接收的分组的信息传送至AAA协议控制单元30。
图27为示例性地显示图23所示AAA协议控制单元30所执行的处理的流程图。
S110:AAA协议控制单元30中的AAA协议处理单元35根据从网络内核33接收倒的AAA(DIAMETER)协议指令代码AVP对所接收的消息进行判定。如果所接收消息为AMR(AA Mobile Node Request,AA移动节点请求),则处理分支到S111。如果所接收消息为HAA(Home Agent MIP Answer,本地代理MIP答复),则处理分支到S114。
S111:接收到AMR的AAA协议处理单元35启动AAA VPN控制单元31。
S112:AAA VPN控制单元31从数据库服务器32中的VPN数据库读取VPN信息,并且将所读取的VPN信息设定在VPN信息缓存36中。
S113:AAA协议处理单元35设定移动IP协议的位置注册请求消息(Reg.Request),其中在AAA协议的本地代理注册请求消息(HAR:本地代理MIP请求)中,在SPC固定部分(图9所示)中设定了服务概况作为VPN信息。
S114:接收到HAA的AAA协议处理单元35启动AAA VPN控制单元31,于是AAA VPN控制单元31生成验证码,用于确保通过移动IP协议位置注册请求消息(Reg.Request)来请求位置注册的MN的合法性。
S115:AAA协议处理单元35将验证码添加在移动IP协议位置注册回复消息(Reg.Reply)上(其中在SPC固定部分(图9中所示)中设定了VPN信息),并且在位置请求回复消息中设定验证答复消息(AMA)。
S116:AAA协议控制单元30将验证答复消息(AMA)或本地代理注册请求消息(HAR)传输给HA。
图28为示例性地显示图23中所示AAA VPN控制单元31所执行的处理的流程图。在图27中所示的S112操作中开始这个处理。
S120:AAA VPN控制单元31通过数据库访问语言(比如SQL等),利用MN的NAI(Network Access Identifier,网络访问标识符)对数据库服务器32进行查询。数据库服务器32从VPN数据库中读取对应的VPN信息。
S121:如果从数据库服务器32中的VPN数据库读取的SPI(安全参数索引)为默认SPI,则AAA VPN控制单元31不加改变地将处理分支到S112。否则,AAA VPN控制单元31将处理分支到S122。假定默认SPI是在初始配置时预设在AAA中的,或者通过AAA的本地维护控制台加以设定。
S122:AAA VPN控制单元31启动密钥发生器37。密钥发生器37根据从VPN数据库读取的VPN信息中设定的密钥长度产生随机数。
图29为示例性地显示图3中移动代理(MA)和PCN 20的功能的方框图,其中移动代理(MA)为HA 19。处理移动IP协议的程序或代理统称为移动代理(MA)。
这些网络设备由MA协议控制单元40、MA VPN控制单元41、网络内核42、和网络设备接口43构成。
MA协议控制单元40由用于控制AAA协议的AAA协议处理单元44、和用于控制移动IP的移动IP协议处理单元45构成。
MA VPN控制单元41由用于对利用AA协议和移动IP协议通报的VPN信息进行缓存的VPN信息缓存46(图24中所示)、和隧道控制单元47构成。
隧道控制单元47根据VPN信息缓存46中设定的VPN类型重写用于目标IP地址的路由表的输出设备。如果VPN类型为IPinIP,则输出设备被重写为隧道虚拟设备。如果VPN类型为IPSec或IPSec+UDP,则输出设备被重写为ipsec虚拟设备。另外,在VPN信息表48(图30中所示)中设定VPN类型、源和目标IP地址以及其网络掩码、安全类型、源和目标的网关地址、作为上行和下行方向安全标识符的SPI(安全参数索引)、ESP加密密钥、ESP验证密钥、以及UDP封装时的IP端口号(portNumber)。通过参考VPN信息表48,对网络内核42输出至虚拟设备的分组进行加密/解密以及封装/解封。
图30示例性地显示了VPN信息表。
图30中所示的VPN信息表由(例如)IPSec信息、ESP信息以及隧道信息构成。IPSec信息由一组IPSec信息实例构成,并且由一对源和目标地址加以标识。IPSec信息实例由源地址/网络掩码、目标地址/网络掩码、作为分组的实际传输目的地的实际目标地址、施加在分组上的隧道信息标识符、和施加在分组上的ESP信息标识符构成。ESP信息由一组ESP信息实例构成,各个ESP信息实例由用于唯一地标识ESP信息的ESP标识符、加密方法、方向、AH验证密钥长度、ESP验证密钥长度、ESP加密密钥长度、AH验证密钥、ESP验证密钥、和ESP加密密钥构成。隧道信息由一组隧道信息实例构成,每个隧道信息实例由用于唯一地标识隧道信息的隧道标识符、封装方法、方向、以及作为隧道入口和出口的源和目标地址构成。
VPN信息缓存46、网络内核42和网络设备接口43已经在AAA的详细说明中加以描述。
图31至37为MA(移动代理)所执行的处理的流程图。下面参照这些流程图说明MA所执行的处理。此处,将处理移动IP协议的程序或代理统称为移动代理。
图31为示例性地显示MA所执行的全部处理的流程图。
S200:在网络内核42从网络设备接口43接收到分组,如前所述对分组进行解封、加密和解密之后,其判断该分组是信令分组还是数据分组。
根据所接收的分组是否具有一个由MA协议控制单元40指定的端口号来判断该分组是否是信令分组。如果该分组是信令分组,则处理分支到S201。否则,处理分支到S203。
S201:所接收分组的信息被传输至MA协议控制单元40,并根据端口号执行AAA的AAA协议以及MN的移动IP协议的处理。
S202:MA协议控制单元40启动设定VPN信息的MA VPN控制单元41。
S203:网络内核42参考路由表来确定所接收分组的输出目的地的接口。如果输出目的地为虚拟设备,则网络内核42对分组进行封装和加密。网络内核42再次用封装分组的地址来查询参考路由表,并确定输出设备。如果输出目的地是物理设备,则网络内核42将分组传输至该设备。
图32为示例性地显示图29中所示MA协议控制单元40所执行的处理的流程图。
S210:图29中所示MA协议控制单元40检查从网络内核42接收到的分组的IP端口号。如果该端口号是AAA协议的端口号,则处理分支到S211。如果该端口号是移动IP协议的端口号,则处理分支到S212。
S211:启动AAA协议处理单元。在AAA协议的处理结束之后,提取出添加至AAA协议作为信息一部分的移动IP协议,处理转至S212。
S212:启动移动IP协议处理单元45,然后处理结束。
图33为示例性地显示图29中所示AAA协议处理单元44所执行的处理的流程图。
S220:AAA协议处理单元44从接收自网络内核42的AAA协议中提取出VPN信息,并启动MA VPN控制单元41。MA VPN控制单元41将AAA协议处理单元44所提取的VPN信息设置在VPN信息缓存46中。如果设置或更新了缓存区以由移动IP协议处理单元进行访问(这在后面进行说明),则在共享存储器中设置一个用于指示缓存区被更新的标志。
S221:在AAA协议的处理结束之后,提取出添加至AAA协议作为信息一部分的移动IP协议。
图34为示例性地显示图29中所示移动IP协议处理单元45所执行的处理的流程图。
S230:判断所接收移动IP协议消息的类型。如果消息类型是位置注册请求(Reg.Request),则处理分支到S231。如果消息类型是绑定更新(BU)或绑定确认(BA),则处理分支到S235。
在位置注册请求(Reg.Request)的情况下
S231:如果接收到注册请求的移动代理(MA)为本地代理(HA),则移动IP协议处理单元45在注册请求消息的转交地址与移动性绑定表的前一转交地址之间进行比较。如果它们不匹配,则处理分支到S232。
S232:在移动IP协议处理单元45将AAA协议处理单元44通过验证答复消息(AMA)通报来的VPN信息通报给MA VPN控制单元41之后,MA VPN控制单元41用所通报的VPN信息来更新VPN信息缓存。
S233:MA协议控制单元40启动MA VPN控制单元41。
S234:如果所接收消息是位置注册请求(Reg.Request),则移动IP协议处理单元45发出位置注册回复(Reg.Reply)。如果所接收消息是绑定更新(BU),则移动IP协议处理单元40发出绑定确认(BA)。
在绑定更新(BU)或绑定确认(BA)的情况下
S235:如果所接收消息是BU,则移动IP协议处理单元45将处理分支到S236。如果所接收消息是BA,则移动IP协议处理单元45将处理分支到S234。如果移动代理(MA)正在作为PCN工作,则移动IP协议处理单元45在作为代理的PCN的控制下接收所有发给CN的BU消息。例如,这个机制可以通过日本专利申请No.2000-32372中公开的方法来实施。
S236:如果请求处理的MA为PCN,则移动IP协议处理单元45将设定在BU消息中的VPN信息设置在VPN信息缓存中,或者用该VPN信息替换VPN信息缓存。
图35为示例性地显示图29中所示MA VPN控制单元41所执行的处理的流程图。
S240:MA VPN控制单元31启动隧道控制单元47以建立VPN。
图36和37为示例性地显示图29中所示隧道控制单元47所执行的处理的流程图。
S250:为了进行周期性的位置注册,隧道控制单元47根据VPN信息实例中的信息,删除已经设定在网络内核42中的路由表信息,并删除VPN信息表48中的对应信息,以切换至新的VPN。
S251:隧道控制单元47根据VPN信息实例的VPN信息概况中设置的VPN类型,设定网络内核42的路由表。如果VPN类型是IPinIP,则将分组输出至作为路由表的输出设备接口的物理设备。如果VPN类型是IPSec+UDP,则将分组输出至作为路由表的输出设备接口的IPSec虚拟设备。
S252:隧道控制单元47将隧道信息设定在VPN信息表48中。
S253:如果该通信是根据位置注册请求消息(Reg.Request)的转交地址,与通信运营商或者订立了互连协定的通信运营商的安全接入网(使用全球地址进行操作,在这里认为由CDMA通信系统构成的通信运营商接入网的安全性是很高的)进行的通信,则隧道控制单元47将处理分支到S255。如果该通信是与通信运营商或者订立了互连协定的通信运营商的不安全接入网(使用全球地址进行操作,例如,有线LAN等的热区网,其仅仅限制在商场等的范围内)进行的通信,则隧道控制单元47将处理分支到S256。在其它情况下,隧道控制单元47将处理分支到S254。
S254:隧道控制单元47将位置注册请求消息(Reg.Request)的源地址与其转交地址进行比较。如果它们匹配,则隧道控制单元47将该接入识别为来自企业网的接入。如果它们不匹配,则隧道控制单元47将该接入识别为来自订立有互连协定的通信运营商的使用专用地址进行操作的接入网的接入,并且将处理分支到S257。可以用对DNS(域名系统)的查询或者使用域比较的处理来替代上述使用地址的判断处理。
S255:隧道控制单元47将IPinIP设定为VPN类型。
S256:隧道控制单元47将IPSec设定为VPN类型。
S255:隧道控制单元47将IPSec+UDP设定为VPN类型。
S260:如果VPN类型为IPinIP,则隧道控制单元47结束该处理。如果VPN类型为IPSec,则隧道控制单元47将处理分支到S262。如果VPN类型为IPSec+UDP,则隧道控制单元47将处理分支到S261。
S261:网络内核42利用VPN信息实例的端口号来执行UDP封装。
S262:网络内核42参考VPN信息实例的VPN信息概况中的SPI。如果SPI是用户专有的SPI,则网络内核42将处理分支到S263。如果SPI为默认SPI,则网络内核42将处理分支到S264。假定默认SPI已在初始配置时预先设定在移动代理(MA)中,或者由移动代理(MA)的本地维护控制台进行设定。
S263:网络内核42设定IPSec信息实例中的ESP标识符。
S264:网络内核42设定IPSec信息实例中的隧道标识符。
图38为示例性地显示图3中所示MN 16的功能的方框图。
称为MN的网络设备由MN协议控制单元50、MNVPN控制单元51、网络内核52、和网络设备接口53构成。
MN协议控制单元50由用于控制移动IP的移动IP协议处理单元54构成。MN VPN控制单元51由隧道控制单元55构成。隧道控制单元55根据VPN信息表58中设定的VPN类型重写用于目标IP地址的路由表58的输出设备。如果VPN类型为IPinIP,则输出设备被重写为隧道虚拟设备。如果VPN类型为IPSec或IPSec+UDP,则输出设备被重写为IPSec虚拟设备。在从VPN信息缓存57(图24中所示)读取的VPN信息表56中设定VPN信息。
通过参照VPN信息表56对网络内核52输出至虚拟设备的分组进行加密/解密以及封装/解封。由于VPN信息表56、网络内核52、和网络设备接口53已经在AAA的详细说明中加以描述,所以在此省略其细节的描述。
图39至43为MN所执行的处理的流程图。下面参照这些流程图说明MN所执行的处理。
图39为示例性地显示MN所执行的全部处理的流程图。
S300:在网络内核52从物理网络接口53接收到分组,如前所述对分组进行解封和解密之后,其判断该分组是信令分组还是数据分组。根据所接收的分组是否具有MN协议控制单元50指定的IP端口号来判断该分组是否是信令分组。如果该分组是信令分组,则处理分支到S301。否则,处理分支到S303。
S301:MN协议控制单元50从网络内核52接收信令分组,并执行移动IP协议的处理。
S302:MNVPN控制单元51启动,并设定VPN信息。
S303:网络内核52参考路由表来判定所接收分组的输出目的地的接口。如果输出目的地为虚拟设备,则对分组进行封装和加密。网络内核42再次参考路由表,通过封装分组的目的地来确定输出设备。如果输出目的地是物理设备,则将分组传输至该设备。
图40为示例性地显示图38中所示MN协议控制单元50所执行的处理的流程图。
S310:检查所接收分组的IP端口号。如果该端口号是移动IP协议的端口号,则移动IP协议处理单元启动,并且结束该处理。
图41为示例性地显示图38中所示移动IP协议处理单元54所执行的处理的流程图。
S320:移动IP协议处理单元54检查所接收消息的类型。如果其类型是DHCP,则移动IP协议处理单元54将处理分支到S321。如果其类型为位置注册回复消息(Reg.Reply),则移动IP协议处理单元54将处理分支到S327。
S321:移动IP协议处理单元54检查通过DHCP消息通报的地址。如果该地址与MN的转交地址匹配,则移动IP协议处理单元54将处理分支到S323。如果该地址与转交地址不匹配,则协议处理单元54将处理分支到S322。
S322:移动IP协议处理单元54从DHCPACK消息中获得作为转交地址的IP地址,以及网络的域名。
S323:移动IP协议处理单元54检查通过DHCP消息获得的地址。如果该地址与企业网的地址匹配,则移动IP协议处理单元54将处理分支到S325。如果该地址与订立有互连协定的通信运营商的使用全球地址工作的接入网的地址相匹配,则移动IP协议处理单元54将处理分支到S324。这个使用地址的判断处理可以由使用DNS(域名系统)查询的处理或者使用域比较的处理来替代。
S324:移动IP协议处理单元54向HA的全球地址发出含有UDP隧道请求的位置注册请求消息(Reg.Request),并且结束该处理。
S325:移动IP协议处理单元54向HA的专用地址发出位置注册请求消息(Reg.Request),并且结束该处理。
S326:移动IP协议处理单元54向HA的全球地址发出位置注册请求消息(Reg.Request),并且结束该处理。
S327:移动IP协议处理单元54将位置注册回复消息(Reg.Reply)中设定的VPN信息设置在VPN信息缓存57中。
S328:移动IP协议处理单元54启动MN VPN控制单元51,并且结束该处理。
图42为示例性地显示图38中所示MN VPN控制单元51所执行的处理的流程图。
S330:MN VPN控制单元51启动隧道控制单元55以建立VPN,并且结束该处理。
图43为示例性地显示图38中所示隧道控制单元55所执行的处理的流程图。
S340:为了进行周期性的位置注册,隧道控制单元55根据VPN信息实例中的信息,删除已经设定在网络内核中的路由表信息,并且删除VPN信息表56中的对应信息,以切换至新的VPN。
S341:隧道控制单元55根据VPN信息实例的VPN信息概况中设置的VPN类型设定输出设备。如果VPN类型是IPinIP,则将分组输出至物理设备。如果VPN类型是IPSec+UDP,则将分组输出至IPSec虚拟设备。
S342:隧道控制单元55参考VPN信息实例的VPN信息概况来设定IPSec信息表的隧道信息实例。
S343:隧道控制单元55参考VPN信息实例的VPN类型。如果VPN类型是IPinIP,则隧道控制单元55结束隧穿处理。如果VPN类型是IPSec,则隧道控制单元55将处理分支到S345。如果VPN类型是IPSec+UDP,则隧道控制单元55将处理分支到S344。
S344:网络内核52利用VPN信息实例的IP端口号来执行UDP封装。
S345:网络内核52参考VPN信息实例的VPN信息概况中的SPI。如果SPI是用户专有的SPI,则网络内核52将处理分支到S346。如果SPI为默认SPI,则网络内核52将处理分支到S347。假定默认SPI已在初始配置时预先设定在MN中,或者由MN的本地维护控制台进行设定。
S346:网络内核53设定IPSec信息实例中的ESP标识符。
S347:网络内核52设定IPSec信息实例中的隧道标识符。
下面,举几个例子来说明MN接入网时如何建立VPN。后面的优选实施例中假定HA设置在通信运营商网络中。同样,HA设置在企业网中的情况是类似的。就从企业网中的同一位置进行接入时采用的VPN建立方法,详细说明终止隧道的网络设备中的封装和解封。因为VPN建立方法的操作与其它优选实施例中的类似,所以在其它优选实施例中省略其说明。
—从企业网中的同一位置进行接入时采用的VPN建立方法
图44和45说明了根据本发明优选实施例在企业网中进行通信的情况。
图44表示在从处于企业网中位置A的MN与处于该企业网中同一位置的CN进行通信的情况下的VPN建立和分组路由。图45中示出了处于企业网中某一位置的MN的位置注册程序中建立IPinIP VPN的顺序。对图45中所示的MN,分配10.10.255.1作为本地地址,并且对于通信运营商网络中的HA的移动IP,将作为专用网络的虚拟本地段(virtual home segment)设置为企业网。将专用地址10.10.255.100设为虚拟本地段的网关地址。
在PCN与HA之间,静态地建立起IPSec,并且在HA和PCN的路由表中设定可用的路由,(1)。
MN通过向DHCP服务器发送DHCPREQUEST并接收DHCPACK来获取可在网络中路由的IP地址[10.10.1.100],以及域名[asya.com],(2)和(3)。
向HA发出位置注册请求信息(Reg.Request),其源地址是由DHCP分配的企业网专用地址[10.10.1.100],作为转交地址,其目标地址是HA的专用地址[10.10.255.100],并且含有NAI扩展和AAA验证报头(扩展?),(4)。
由于在PCN与HA之间静态地建立IPSec VPN,所以要参考路由表,并且将分组传输至PCN中的IPSec0虚拟接口。这是因为目标地址为HA的专用地址[10.10.255.100]。当IPSec0虚拟接口接收到分组时,通过IPSec设置所指定的加密算法对分组进行加密。然后,分别使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作为源地址和目标地址,执行IPSec封装,以添加IP报头和IPSec报头,并且参考路由表,从而将分组从实际接口eth1传输至HA。
接收到来自MN的位置注册请求消息(Reg.Request)的HA参考路由表,并且通过实际接口eth0接收分组。这是因为分组的目标地址是HA的全球地址[100.1.1.1]。接着HA参考IPSec报头,并且对加密的原始分组进行解密。解密后的分组的目标地址是专用地址[10.10.255.10],其为HA的接口地址。因此,HA终结该分组,并且将位置注册请求消息(Reg.Request)传输至作为应用的MA协议控制单元。HA对位置注册请求消息(Reg.Request)进行分析,并且根据分析结果将验证请求消息(AMR)发送至AAA。
AAA利用AMR消息中包含的NAI访问VPN数据库,并且提取出该用户特定的VPN信息。由于MN转交地址的网络是企业网,所以将其中IPinIP设为VPN类型的VPN信息设置在服务概况中。把位置注册请求消息(Reg.Request)(其中在SPC固定部分(图9中所示)中设置了服务概况)设定在本地代理注册请求消息(HAR)中,然后把本地代理注册请求消息(HAR)传输至HA,(7)。
HA将通过本地代理注册请求消息(HAR)通报的VPN信息设定在VPN信息缓存中,并且将含有服务概况的位置注册回复(Reg.Reply)设定在本地代理注册确认消息(HAA)中,并将该消息传输至AAA,(8)。
在接收到含有移动IP协议的位置注册回复(Reg.Reply)的本地代理注册答复消息(HAA)之后(其中在SPC固定部分(图9中所示)中设置了VPN信息),AAA在位置注册回复(Reg.Reply)上添加验证码,并且向HA发出验证答复(AMA),(9)。
HA将MN的本地地址[10.10.255.1]和转交地址[10.10.1.100]设置在移动性绑定表中。然后HA返回位置注册回复(Reg.Reply)(其中设定了包含为IPinIP隧道而设的VPN信息的服务概况),建立隧道,以将目标地址为MN本地地址[10.10.255.1]的该分组传输至路由表中MN的转交地址[10.10.255.100],并且沿HA至MN的方向建立IPinIP VPN,(10)和(11)。
在接收到位置注册回复(Reg.Reply)之后,MN根据服务概况沿MN至HA的方向建立IPinIP VPN。
图46至48说明了企业网中的路径切换方法。
当在企业网中在MN与CN之间进行通信时,如图46所示,沿CN至MN方向的分组不传送到HA,并且通过PCN在企业网中环回,从而可以进行在企业网中封闭的通信。图47中示出了HA指示PCN环回分组,以及优化路径的顺序。
在图47中,首先从HA向PCN发出绑定更新消息(BU),(12)。
PCN将所通报的本地地址[10.10.255.1]和转交地址[10.10.1.100]设置在移动性绑定表中。在路由表中建立隧道,从而将目标地址为MN本地地址的分组传输至MN的转交地址。PCN返回绑定确认消息(BA),(13)。
在路径优化之后,将沿CN至MN方向的数据分组从CN路由至PCN,通过PCN环回,并传输至MN。图48中示出了路径优化之后数据分组的路由。
分别使用MN的本地地址[10.10.255.1]和CN的专用地址[10.10.2.100]作为源地址和目标地址,将沿MN至CN方向的分组经由PCN传输至CN。
分别使用CN的专用地址[10.10.1.2]和MN的本地地址[10.10.255.1]作为源地址和目标地址,将沿CN至MN方向的分组传输至PCN。PCN参考移动性绑定表,分别使用CN的专用地址[10.10.2.1(1.2?)]和MN的转交地址[10.10.1.100]作为源地址和目标地址,利用移动IP协议对分组进行封装,并将该分组传输至MN,(15)。
—从企业网中的不同位置进行接入时使用已有设备在各位置之间进行通信的VPN建立方法
图49至50说明了同一管理域中各位置之间的通信。
图49中示出了在使用企业网中位置A处的GW和该企业网中另一位置B处的GW之间建立的已有VPN进行企业网之间的通信,并且只在该企业网A中的位置A处的PCN和通信运营商网络中的HA之间建立新的VPN的网络配置中,在企业网中位置A处的MN与企业网中不同位置B处的CN之间进行通信的情况下的VPN建立和分组路由。图50中示出了在企业网中位置A处的MN的位置注册程序中建立IPinIP VPN的顺序。
在图50中,MN利用DHCP获得IP地址[10.10.1.100]和域名[asya.com],(1)和(2)。
向HA发送位置注册请求消息(Reg.Request),其具有DHCP分配的企业网专用地址[10.10.1.100]作为源地址,且具有HA的全球地址[100.1.1.1]作为目标地址,并且含有NAI扩展和AAA验证报头,(3)。
由于在企业网中的GW与HA之间静态地建立IPSec VPN,所以企业网中的GW分别使用企业网中GW的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作为源地址和目标地址,执行IPSec封装,并且将分组传输至HA,(4)。
从MN接收到位置注册请求消息(Reg.Request)的HA执行IPSec解封,并向AAA发送验证请求消息(AMR),(5)。
AAA通过AMR消息中包含的NAI来访问VPN数据库,并且提取出该用户专有的VPN信息。因为MN转交地址的网络是企业网,所以将其中IPinIP设为VPN类型的VPN信息设置在服务概况中。在本地代理注册请求消息(HAR)中设置位置注册请求消息(Reg.Request),其中在SPC固定部分(图9中所示)中设置了服务概况,然后将本地代理注册请求消息(HAR)传输至HA,(6)。
HA将通过本地代理注册请求消息(HAR)通报的VPN信息设置在VPN信息缓存中,将含有服务概况的位置注册回复(Reg.Reply)设置在本地代理注册答复消息(HAA)中,并且将该答复消息传输至AAA,(7)。
在接收到含有移动IP协议位置注册回复(Reg.Reply)的本地代理注册答复消息(HAA)之后(其中在SPC固定部分(图9中所示)中设置了VPN信息),AAA在注册回复(Reg.Reply)中添加验证码,并且向HA发出验证答复(AMA),(8)。
HA返回位置注册回复(Reg.Reply)(其中IpinIP设定为VPN类型),并且沿HA至MN的方向建立IPinIP VPN,(9)和(10)。
在接收到位置注册回复(Reg.Reply)之后,MN根据服务概况沿MN至HA的方向建立IPinIP VPN。
图51至53说明了企业网中的路径切换方法。
在企业网中的MN与同样处于企业网中的CN之间进行通信时,如图51所示,从CN向MN发送的分组不传输至HA,而是通过企业网中各GW之间建立的VPN,并被企业网中的PCN环回,从而可以进行封闭在企业网中的通信。图52中示出了由HA指示PCN环回分组以及优化路径的顺序。
在图52中,首先从HA向PCN发送绑定更新消息(BU),(11)。该消息通过通信运营商网络与企业网中GW之间的IPSec隧穿而传输。
PCN将所通报的本地地址和转交地址设定在移动性绑定表中。然后PCN在路由表中设定隧道,从而将目标地址为MN本地地址的分组传输至MN的转交地址。接着,PCN向HA返回一个绑定确认消息(BA),(12)。
在路径优化之后,从CN向MN发出的数据分组被从CN路由至PCN,由PCN环回,并传输至MN。图53中示出了路径优化之后数据分组的路由。
在图53中,分别使用MN的本地地址[10.10.255.1]和CN的专用地址[10.10.2.100]作为源地址和目标地址,经由企业网中的已有VPN,将从MN发往CN的分组传输至CN。
分别使用CN的专用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作为源地址和目标地址,将从CN发往MN的分组传输至PCN。PCN参考移动性绑定表,分别使用CN的专用地址[10.10.2.100]和MN的转交地址[10.10.1.100]作为源地址和目标地址,利用移动IP协议对分组执行封装,并将该分组传输至MN,(14)。
—从企业网中的不同位置进行接入的情况下在各位置之间进行通信时各位置的VPN建立方法
图54和55说明了在同一管理域中各位置之间的通信。
图54中示出了在使用企业网中位置A处的GW和该企业网中另一位置B处的GW之间建立的已有VPN进行企业网之间的通信,PCN 1和2分别位于该企业网中的位置A和B处,并且在PCN 1、2与HA之间建立起VPN的网络中,企业网中位置A处的MN与企业网中位置B处的CN之间进行通信的情况下的VPN建立和分组路由。图55中示出了在企业网中位置A处的MN的位置注册过程中建立IPinIP VPN的顺序。
在图55中,首先通过DHCP获得IP地址[10.10.1.100]和域名[asya.com],(1)和(2)。
向HA发送一个位置注册请求消息(Reg.Request),其具有DHCP分配的企业网专用地址[10.10.1.100]作为源地址,且具有HA的全球地址[100.1.1.1]作为目标地址,并且含有NAI扩展和AAA验证报头,(3)。
由于在PCN 1与HA之间静态地建立IPSec VPN,所以PCN 2分别使用PCN2的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作为源地址和目标地址来执行IPSec封装,并且将该分组传输至HA,(4)。
从MN接收到位置注册请求消息(Reg.Request)的HA执行IPSec解封,并且向AAA发送一个验证请求消息(AMR),(5)。
AAA通过AMR消息中包含的NAI来访问VPN数据库,并且提取出该用户专有的VPN信息。因为MN转交地址的网络是企业网,所以AAA将其中IPinIP设为VPN类型的VPN信息设置在服务概况中。然后AAA在本地代理注册请求消息(HAR)中设定位置注册请求消息(Reg.Request)(其中在SPC固定部分(图9中所示)中设置了服务概况),然后将该消息传输至HA,(6)。
HA将通过本地代理注册请求消息(HAR)通报的VPN信息设置在VPN信息缓存中,将包含服务概况的位置注册回复(Reg.Reply)设置在本地代理注册答复消息(HAA)中,并且将该答复消息传输至AAA,(7)。
在接收到包含移动IP协议位置注册回复(Reg.Reply)的本地代理注册答复消息(HAA)之后(其中在SPC固定部分(图9中所示)中设置了VPN信息),AAA在注册回复(Reg.Reply)中添加验证码,并且向AA发送一个验证答复(AMA),(8)。
HA返回其中IPinIP设为VPN类型的位置注册回复(Reg.Reply),并且沿从HA至MN的方向建立IPinIP VPN,(9)和(10)。
在接收到位置注册回复(Reg.Reply)之后,MN根据服务概况沿MN至HA的方向建立IPinIP VPN。
图56至58说明了PCN 1和2之间的路径优化方法。
在企业网中位置A处的MN与企业网中位置B处的CN之间进行通信时,如图56所示,沿CN至MN方向的分组不传输至HA,而是通过企业网中各GW之间建立的VPN,由企业网中位置A(?)处的PCN 1环回,从而可以进行封闭在企业网中的通信。图57中示出了HA指示PCN环回分组以及优化路径的顺序。
在图57中,首先从HA向处于CN一侧的PCN 1发送绑定更新消息(BU),(11)。
PCN 1将所通报的本地地址和转交地址设定在移动性绑定表中,并且在路由表中设定隧道,从而将目标地址为MN本地地址的分组传输至PCN 2。接着,PCN 2发出绑定确认消息(BA),(12)。
在路径优化之后,通过企业网中各GW之间建立的VPN,沿CN至MN方向的数据分组经由PCN 1从CN路由至PCN 2,并传输至MN。图58中示出了路径优化之后数据分组的路由。
分别使用MN的本地地址[10.10.255.1]和CN的专用地址[10.10.2.100]作为源地址和目标地址,将沿MN至CN方向的分组经由PCN 1传输至CN。
分别使用CN的专用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作为源地址和目标地址,将沿CN至MN方向的分组传输至PCN2。PCN 2(1?)参考移动性绑定表,分别使用CN的专用地址[10.10.2.100]和MN的转交地址[10.10.1.100]作为源地址和目标地址,利用移动IP协议对分组执行封装,并将该分组传输至MN,(14)。
—从通信运营商的安全接入网(比如CDMA通信网络)进行接入时采用的VPN建立方法
图59至61说明了经由移动通信运营商进行的通信。
图59中示出了在MN处于由通信运营商保证安全性的通信运营商网络中,且在企业网中的PCN与通信运营商网络中的HA之间建立了IPSec VPN的网络中,在企业网中的CN与外部网络(其为安全得到保障的通信运营商网络)中的MN之间进行通信的情况下的VPN建立和分组路由。图60中示出了在外部网络(其为安全得到保障的通信运营商网络)中的MN的位置注册过程中建立IPinIP VPN的顺序。
在图60中,MN利用DHCP获得IP地址[200.2.1.100]和域名[docomo.com],(1)和(2)。
向HA发送位置注册请求消息(Reg.Request),其具有DHCP分配的通信运营商网络地址[200.2.1.100]作为源地址,且具有HA的全球地址[200.1.1.101]作为目标地址,并且包含NAI扩展和AAA验证报头,(3)。
从MN接收到位置注册请求消息(Reg.Request)的HA向AAA发送一个验证请求消息(AMR),(4)。
AAA通过AMR消息中包含的NAI访问VPN数据库,并且提取出该用户专有的VPN信息。因为MN转交地址的网络是安全的通信运营商网络,所以将其中IPinIP设为VPN类型的VPN信息设置在服务概况中。把位置注册请求消息(Reg.Request)(其中服务概况设在SPC固定部分(图9中所示))设置在本地代理注册请求消息(HAR)中,然后将本地代理注册请求消息(HAR)传输至HA,(5)。
HA将通过本地代理注册请求消息(HAR)通报的VPN信息设置在VPN信息缓存中,将包含服务概况的位置注册回复(Reg.Reply)设置在本地代理注册答复消息(HAA)中,并且将该答复消息传输至AAA,(6)。
在接收到包含移动IP协议位置注册回复(Reg.Reply)的本地代理注册答复消息(HAA)之后(其中VPN信息设置在SPC固定部分(图9中所示)中),AAA在注册回复(Reg.Reply)中添加验证码,并且向AA发送一个验证答复(AMA),(7)。
HA返回其中IPinIP设为VPN类型的位置注册回复(Reg.Reply),并且沿从HA至MN的方向建立IPinIP VPN,(8)。
在接收到位置注册回复(Reg.Reply)之后,MN根据服务概况沿MN至HA的方向建立IPinIP VPN。
通过如上所述建立的VPN,经由HA在MN与CN之间进行通信。图61中示出了数据分组交换顺序。图61示出了从通信运营商网络开始的连接顺序。
在图61中,生成从MN向CN发送的分组(其外部IP报头的源地址设为通信运营商网络在MN并置模式下分配的地址[200.2.1.100],目标地址设为HA的地址[100.1.1.1],其内部IP报头的源地址设为MN的本地地址[10.10.255.1],目标地址设为CN的专用地址[10.10.2.100]),并传输至HA。由于在PCN与HA之间静态地建立IPSec VPN,所以HA分别使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作为源地址和目标地址来执行IPSec封装,并且将该分组传输至PCN。PCN执行IPSec解封,并将该分组传输至CN,(9)。
分别使用CN的专用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作为源地址和目标地址,将从CN发往MN的分组传输至PCN。PCN分别使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作为源地址和目标地址执行IPSec封装,并将该分组传输至HA。HA执行IPSec解封和移动IP协议封装,并将该分组传输至MN,(10)。
—从通信运营商的不安全接入网(比如热区网)进行接入时采用的VPN建立方法
图62至64说明了从直接连接到移动通信运营商网络的热区网进行通信的操作。
图62中示出了在MN处于安全性未得到通信运营商保证的热区网中,并且在企业网中的PCN与通信运营商网络中的HA之间建立IPSec VPN的网络中,在企业网中的CN与外部网络(其为安全得不到保障的热区网网络)中的MN之间进行通信的情况下的VPN建立和分组路由。图63中示出了在安全性不能保障的热区网中的MN的位置注册程序中建立IPSec VPN的顺序。
在图63中,MN利用DHCP(消息?)获得IP地址[200.20.1.100]和域名[docomo.com],(1)和(2)。
向HA发送一个位置注册请求消息(Reg.Request),其具有DHCP分配的通信运营商网络地址[200.20.1.100]作为源地址,且具有HA的全球地址[100.1.1.1]作为目标地址,并且包含NAI扩展和AAA验证报头,(3)。
从MN接收到位置注册请求消息(Reg.Request)的HA向AAA发送一个验证请求消息(AMR),(4)。
AAA通过AMR消息中包含的NAI访问VPN数据库,并且提取出该用户专有的VPN信息。因为MN转交地址的网络是不安全的通信运营商网络,所以AAA将其中IPSec设为VPN类型的VPN信息设置在服务概况中。AAA然后将位置注册请求消息(Reg.Request)(其中服务概况设置在SPC固定部分(图9中所示)中)设置在本地代理注册请求消息(HAR)中,并且将该本地代理注册请求消息传输至HA,(5)。
HA将通过本地代理注册请求消息(HAR)通报的VPN信息设置在VPN信息缓存中,将包含服务概况的位置注册回复(Reg.Reply)设置在本地代理注册答复消息(HAA)中,并且将该答复消息传输至AAA,(6)。
在接收到包含移动IP协议位置注册回复(Reg.Reply)的本地代理注册答复消息(HAA)之后(其中VPN信息设置在SPC固定部分(图9中所示)中),AAA在注册回复(Reg.Reply)中添加验证码,并且向HA发送一个验证答复(AMA),(7)。
HA返回其中IPSec设为VPN类型的位置注册回复(Reg.Reply),并且建立从HA至MN的IPSec VPN,(8)。
在接收到位置注册回复(Reg.Reply)之后,MN根据服务概况沿MN至HA的方向建立IPSec VPN。
通过如上所述建立的VPN,经由HA在MN与CN之间进行通信。图64中示出了数据分组交换顺序。
生成从MN发往CN的分组(其外部IP报头的源地址为通信运营商网络在MN的并置模式下分配的地址[200.20.1.100],目标地址为HA的全球地址[100.1.1.1],其内部IP报头的源地址为MN的本地地址[10.10.255.1],目标地址为CN的专用地址[10.10.2.100]),并传输至HA。由于在PCN与HA之间静态地建立IPSec VPN,所以HA分别使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作为源地址和目标地址来执行IPSec封装,并且将该分组传输至PCN。PCN执行IPSec解封,并将该分组传输至CN,(9)。
分别使用CN的专用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作为源地址和目标地址,将从CN发往MN的分组传输至PCN。PCN分别使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作为源地址和目标地址执行IPSec封装,并将该分组传输至HA。HA执行IPSec解封和移动IP协议封装,并将该分组传输至MN,(10)。
—从与一个通信运营商订立有漫游协定的其他通信运营商的接入网进行接入时采用的VPN建立方法
图65至67说明了从漫游合作方进行通信的操作。
图65中示出了在MN处于与一个通信运营商订立有漫游协定的其它通信运营商的接入网中,且在企业网中的PCN与该通信运营商网络中的HA之间建立有IPSec VPN的网络中,企业网中的CN与外部网络(其为订立有漫游协定的其它通信运营商的接入网)中的MN之间进行通信的情况下的VPN建立和分组路由。图66中示出了在处于与该通信运营商订立有漫游协定的不同通信运营商的接入网中的MN的位置注册过程中,建立IPSec+UDPVPN的顺序。
在图66中,MN通过DHCP(消息?)获得IP地址[10.20.1.100]和域名[unknown.com],(1)和(2)。
向HA发送一个位置注册请求消息(Reg.Request),其具有漫游合作方通信运营商网络通过DHCP分配的地址[10.20.1.100]作为源地址,且具有HA的全球地址[100.1.1.1]作为目标地址,并且包含NAI扩展和AAA验证报头,(3)。
从MN接收到位置注册请求消息(Reg.Request)的HA向AAA发送一个验证请求消息(AMR),(4)。
AAA通过AMR消息中包含的NAI访问VPN数据库,并且提取出该用户专有的VPN信息。因为MN转交地址的网络既不是企业网、安全的通信运营商网络,也不是不安全的通信运营商网络,所以该网络被判定为订立有漫游协定的另一通信运营商的网络,并且将其中IPSec+UDP设为VPN类型的VPN信息设置在服务概况中。将位置注册请求消息(Reg.Request)(其中服务概况设置在SPC固定部分(图9中所示))设置在本地代理注册请求消息(HAR)中,并且将本地代理注册请求消息(HAR)传输至HA,(5)。
HA将通过本地代理注册请求消息(HAR)通报的VPN信息设置在VPN信息缓存中,将包含服务概况的位置注册回复(Reg.Reply)设置在本地代理注册答复消息(HAA)中,并且将该答复消息传输至AAA,(6)。
在接收到包含移动IP协议位置注册回复(Reg.Reply)的本地代理注册答复消息(HAA)之后(其中VPN信息设置在SPC固定部分(图9中所示)中),AAA在注册回复(Reg.Reply)中添加验证码,并且向AA发送一个验证答复(AMA),(7)。
HA返回其中IPSec+UDP设为VPN类型的位置注册回复(Reg.Reply),并且沿从HA至MN的方向建立IPSec+UDP VPN,(8)。
在接收到位置注册回复(Reg.Reply)之后,MN根据服务概况沿MN至HA的方向建立IPSec+UDP VPN。
通过如上所述建立的VPN,在MN与CN之间进行通信。图67中示出了数据分组交换顺序。
生成从MN发往CN的分组,其外部IP报头的源地址为通信运营商网络在MN的并置模式下分配的地址[10.20.1.100],目标地址为HA的全球地址[100.1.1.1],其内部IP报头的源地址为MN的本地地址[10.10.255.1],目标地址为CN的专用地址[10.10.2.100],并传输至HA。通过GW的NAT/NAPT功能将该源地址重写为GW的全球地址[100.10.1.100],并将该分组传输至HA。由于在PCN与HA之间静态地建立IPSec VPN,所以HA分别使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作为源地址和目标地址来执行IPSec+UDP封装,并且将该分组传输至PCN。PCN执行IPSec+UDP解封,并将该分组传输至CN,(9)。
分别使用CN的专用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作为源地址和目标地址,将从CN发往MN的分组传输至HA。PCN分别使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作为源地址和目标地址执行IPSec封装,并将该分组传输至HA。HA执行IPSec+UDP解封和移动IP协议封装,并将该分组传输至MN。然后通过GW的NAT/NAPT功能将目标地址重写为GW的专用地址[10.10.1.100],并将该分组传输至MN,(10)。
—从一个外部网络向另一个外部网络进行通信
图68表示在经由企业网中的代理与因特网进行连接的情况下进行的操作。
该优选实施例表示了在外部网络中的MN与企业网之外的网络进行通信的情况下的分组路由。图68中示出了在外部网络之间的分组路由。
MN利用企业网中的GW作为代理地址将分组传输至外部网络。来自外部网络的分组经由企业网的GW传输至MN。
—从通信运营商的安全网络(比如FOMA和CDMA)接入企业网时的路径优化
图69至71说明了经由移动通信运营商网络进行通信的操作。
图70中示出了在企业网中的PCN与通信运营商网络中的HA之间建立了IPSec VPN,并且与通信运营商核心网络连接的接入网是图69所示的通信运营商安全接入网(比如CDMA)的情况下,当从通信运营商的安全接入网中的MN向企业网中的CN进行通信时,,应用EaseNet路径优化机制(日本专利申请No.2000-50220中公开的)而不经由HA在MN与PCN之间直接进行通信的IPSec VPN建立方法。
企业通过IPSec注册通信运营商的安全接入网(比如CDMA)中的可接入位置作为服务概况,(1)。
当MN连接至通信运营商的安全接入网(比如CDMA)时,EaseNet在验证时根据预设的服务概况将VPN信息下载至HA中。
将通过位置注册回复消息指定的所有位置的VPN信息发布给MN,(2)和(3)。
HA通过绑定更新消息将VPN信息发布给各指定位置处的PCN,(4)。
通过发布的VPN信息,PCN和MN直接建立用于合作方节点的IPSec VPN。以此方式,可以不经由HA而在MN与企业网中的指定位置之间进行通信。
当MN移动时,通过与验证时类似的处理重新建立VPN。
—从通信运营商的不安全接入网(比如热区网)接入企业网时的路径优化
图72至74说明了从直接连接至移动通信运营商网络的热区网进行通信的操作。
图73中示出了在企业网中的PCN与通信运营商网络中的HA之间建立了IPSec VPN,并且与通信运营商核心网络连接的接入网是图72所示的通信运营商不安全接入网(比如热区网)的情况下,当从通信运营商的不安全接入网中的MN向企业网中的CN进行通信时,应用EaseNet路径优化机制(日本专利申请No.2000-50220中公开的)而不经由HA在MN与PCN之间直接进行通信的IPSec VPN建立方法。
企业通过IPSec注册通信运营商不安全接入网(比如热区网)中的可接入位置作为服务概况,(1)。
当MN连接至通信运营商的不安全接入网(比如热区网)时,EaseNet根据预设的服务概况将VPN信息下载至HA。
把通过位置注册回复消息指定的所有位置的VPN信息发布给MN,(2)和(3)。
HA通过绑定更新消息将VPN信息发布给各指定位置处的PCN,(4)。
通过所发布的VPN信息,PCN和MN直接建立用于合作方节点的IPSecVPN。以此方式,可以不经由HA而在MN与企业网中的指定位置之间进行通信。
当MN移动时,通过与验证时类似的处理重新建立VPN。
—从与一个通信运营商订立有漫游协定的不同通信运营商的接入网接入企业网时的路径优化
图75至77说明了从漫游合作方进行通信的操作。
图76中示出了在企业网中的PCN与通信运营商网络中的HA之间建立了IPSec VPN,并且与通信运营商核心网络连接的接入网是图75所示的与该通信运营商签订有漫游协定的另一通信运营商的接入网的情况下,当从该通信运营商的安全接入网中的MN向企业网中的CN进行通信时,应用EaseNet路径优化机制(日本专利申请No.2000-50220中公开的)不经由HA而在MN与PCN之间直接进行通信的IPSec+UDP VPN建立方法。
企业通过IPSec+UDP,把与该通信运营商订立有漫游协定的另一通信运营商的接入网注册为可接入位置,作为服务概况。
当MN连接至与该通信运营商订立有漫游协定的另一通信运营商的接入网时,EaseNet根据预设的服务概况将VPN信息下载至HA。
把通过位置注册回复消息指定的所有位置的VPN信息发布给MN,(1)、(2)和(3)。
HA通过绑定更新消息将VPN信息发布给各指定位置处的PCN,(4)。
通过所发布的VPN信息,PCN和MN直接建立用于合作方节点的IPSec+UDP VPN。以此方式,可以不经由HA而在MN与企业中的指定位置之间进行通信。
当MN移动时,通过与验证时类似的处理重新建立VPN。
根据本发明,在建立第一移动装置移动时也可以通信的会话的过程中建立虚拟专用网络,从而可以同时建立移动通信和虚拟专用网络。相应地,可以快速地创建通信环境,例如,在由于第一装置的移动而导致越区切换时。因此,可以实现平稳的越区切换。另外,第一装置可以在固定地保持第一地址的同时进行通信,从而不管访问哪个网络,第一装置都可以使用相同的地址进行通信。相应地,当试图向第一装置进行传输时可以继续使用第一地址,从而提高了便利性。
另外,为此构造了一种本地代理,其包括用于在移动节点与该本地代理本身之间建立虚拟专用网络的装置,并且向移动节点通报验证该移动节点而获得的并且是建立虚拟专用网络所需的信息,从而允许该移动节点进入所述虚拟专用网络,因此不需要单独的处理来使移动节点进入虚拟专用网络。
另外,通过移动节点传来的转交地址或者域对移动节点所处网络的安全性进行检测,如果安全性较差,则设定具有较高安全性的通信协议。这降低了重要信息泄露的可能性。
还提供了一种移动节点,其包括用于获得该移动节点本身所处网络的信息的装置,并且根据该移动节点本身所处网络的特性改变用于启动通信的通信协议。这同样可以防止重要信息泄露。
特别地,提供了一种移动节点,其采用一个隧道进行通信,该隧道既用作移动IP通信的隧道,也用作专用网络通信的隧道,从而可以平稳地进行越区切换。
Claims (31)
1.一种虚拟专用网络系统,用于控制与一第二地址的通信,其连接至一第一网络,并且利用在作为专用网络的所述第一网络中使用的第一地址,经由一第二网络进行通信,该虚拟专用网络系统包括:
第一移动单元,用于固定地保持所述第一地址而进行通信;和
第二单元,其获取所述第一单元的第一地址与所述第二地址之间的对应关系,以经由所述第二网络进行通信,并且在建立即使所述第一单元移动时也可以通信的会话的过程中,对所述第一单元进行验证,并经由所述第二网络在一个接入第一网络的通信设备与所述第二单元之间形成一虚拟专用网络。
2.如权利要求1所述的虚拟专用网络系统,还包括
当所述第一单元与连接至第一网络的节点进行通信时用于优化所述第一单元与该节点之间通信路径的单元。
3.如权利要求1所述的虚拟专用网络系统,其中
在所述第二单元与第一网络之间预先建立一虚拟专用网络。
4.如权利要求1所述的虚拟专用网络系统,其中
使得能够进行移动通信的协议为移动IP。
5.如权利要求4所述的虚拟专用网络系统,其中
所述第二单元将有关虚拟专用网络的信息通报给所述第一单元,并且在所述第一单元与所述第二单元本身之间的移动IP隧道建立过程中,在所述第一单元与所述第二单元之间建立一虚拟专用网络。
6.如权利要求5所述的虚拟专用网络系统,其中
采用所述第一单元的并置模式来设定移动IP,并建立所述虚拟专用网络。
7.如权利要求6所述的虚拟专用网络系统,其中
第二网络由公共网络和由通信运营商拥有的移动通信网络构成,并且如果所述第一单元接入的移动通信网络是安全的接入网,则在所述第一单元与所述第二单元之间建立IPinIP隧道。
8.如权利要求6所述的虚拟专用网络系统,其中
第二网络由公共网络和由通信运营商拥有的移动通信网络构成,并且如果所述第一单元接入的移动通信网络是不安全的接入网,则在所述第一单元与所述第二单元之间建立IPSec隧道。
9.如权利要求6所述的虚拟专用网络系统,其中
第二网络由公共网络、由第一通信运营商拥有的第一移动通信网络、和由第二通信运营商拥有的第二移动通信网络构成,并且当所述第一单元从所述第一移动通信网络经由所述第二移动通信网络和所述公共网络接入所述第一网络时,在所述第一单元与所述第二单元之间建立IPSec+UDP隧道。
10.如权利要求1所述的虚拟专用网络系统,其中
在所述第二单元与第一网络之间预先建立一个固定的虚拟专用网络。
11.一种本地代理,其使得在移动节点与连接至一专用网络的节点之间能够根据移动IP进行通信,该本地代理包括:
用于在所述移动节点与所述本地代理之间建立虚拟专用网络的单元;
用于对移动节点的接入进行验证的单元;和
用于将从所述验证单元获取的有关该虚拟专用网络的信息通报给所述移动节点的单元。
12.一种路由器,其使得能够在移动节点与连接至一专用网络的节点之间进行通信,该路由器包括:
用于对从所述移动节点发出的位置注册请求的转交地址或域进行检测的单元;和
通信控制单元,如果检测到的转交地址或域指示一个能够保障通信秘密的网络,则使用所述移动节点与所述路由器之间具有较低保密度的通信协议,或者如果所述转交地址指示一个不能完全保障通信秘密的网络,则使用所述移动节点与所述路由器之间具有较高保密度的通信协议,经由所述路由器在所述移动节点与所述节点之间进行通信。
13.一种路由器,其使得能够在移动节点与连接至一专用网络的节点之间进行通信,该路由器包括:
用于对从所述移动节点发出的位置注册请求的转交地址与源地址进行比较的单元;和
通信控制单元,如果所述转交地址不指示预定的通信运营商且与所述源地址匹配,则使用所述移动节点与所述路由器之间具有较低保密度的通信协议,或者如果所述转交地址与所述源地址不匹配,则使用所述移动节点与所述路由器之间具有较高保密度的通信协议,经由所述路由器在所述移动节点与所述节点之间进行通信。
14.如权利要求13所述的路由器,其中
所述移动节点与所述路由器之间具有较高保密度的通信协议为IPSec+UDP隧道。
15.一种移动节点,其使得能够与连接至一专用网络的节点进行通信,该移动节点包括:
获取单元,用于获取所述移动节点本身当前所属网络的信息;和
控制单元,用于执行控制,如果所获取的网络信息指示一个专用网络,则向管理该移动节点的位置的路由器的专用地址发出位置注册请求消息,如果所获取的网络信息指示一个预定的通信运营商网络,则向该路由器的全球地址发出位置注册请求消息,或者在其它情况下,向该路由器的全球地址发出包含建立具有较高保密度的通信路径的请求的位置注册请求消息。
16.如权利要求15所述的移动节点,其中
所述移动节点与所述路由器之间具有较高保密度的通信协议为IPSec+UDP隧道。
17.一种移动节点,位于使得能够在移动节点与连接至一专用网络的节点之间进行通信的系统中,包括:
用于建立移动IP通信隧道的单元;和
用于在移动IP通信隧道建立过程中建立专用网络通信隧道的单元,其中
所述移动节点利用一个既用作移动IP通信隧道也用作专用网络通信隧道的通信隧道进行通信。
18.一种虚拟专用网络系统中使用的通信控制方法,该虚拟专用网络系统控制与一第二地址的通信,连接至一第一网络,并且经由一第二网络与作为专用网络的第一网络中使用的第一地址进行通信,该方法包括:
设置固定地保持第一地址而进行通信的移动节点;以及
设置路由器,其获取所述移动节点的第一地址与所述第二地址之间的对应关系,以经由所述第二网络进行通信,并且在建立即使移动节点移动时也可以通信的会话的过程中,对所述移动节点进行验证,并经由所述第二网络在接入第一网络的通信设备与所述路由器之间形成一虚拟专用网络。
19.如权利要求18所述的通信控制方法,进一步包括
当所述移动节点与连接至所述第一网络的节点进行通信时,优化所述移动节点与该节点之间的通信路径。
20.如权利要求18所述的通信控制方法,其中
在本地代理与所述第一网络之间预先建立一虚拟专用网络。
21.如权利要求18所述的通信控制方法,其中
使得能够进行移动通信的协议为移动IP。
22.如权利要求21所述的通信控制方法,其中
本地代理将有关虚拟专用网络的信息通报给所述移动节点,并且在与所述移动节点建立移动IP隧道的过程中,在该移动节点与路由器之间建立一虚拟专用网络。
23.如权利要求21所述的通信控制方法,其中
采用所述移动节点的并置模式来设定移动IP,并建立所述虚拟专用网络。
24.如权利要求22所述的通信控制方法,其中
第二网络由公共网络和由通信运营商拥有的移动通信网络构成,并且如果所述移动节点接入的移动通信网络是安全的接入网,则在所述本地代理与所述移动节点之间建立IPinIP隧道。
25.如权利要求22所述的通信控制方法,其中
第二网络由公共网络和由通信运营商拥有的移动通信网络构成,并且如果所述移动节点接入的移动通信网络是不安全的接入网,则在所述本地代理与所述移动节点之间建立IPSec隧道。
26.如权利要求22所述的通信控制方法,其中
第二网络由公共网络、由第一通信运营商拥有的第一移动通信网络、和由第二通信运营商拥有的第二移动通信网络构成,并且如果所述移动节点从所述第一移动通信网络经由所述公共网络和所述第二移动通信网络接入所述第一网络,则在所述路由器与所述移动节点之间建立IPSec+UDP隧道。
27.如权利要求17所述的通信控制方法,其中
在所述路由器与所述第一网络之间预先建立一个固定的虚拟专用网络。
28.一种通信控制方法,用在使得能够在移动节点与连接至一专用网络的节点之间进行通信的路由器中,包括:
对从所述移动节点发出的位置注册请求的转交地址进行检测;以及
如果检测到的转交地址指示一个通信秘密能够得到通信运营商保障的接入网,则使用具有较低保密度的通信协议,或者如果检测到的转交地址指示一个通信秘密不能得到通信运营商完全保障的接入网,则使用具有较高保密度的通信协议,在所述移动节点与所述节点之间进行通信。
29.一种通信控制方法,用在使得能够在移动节点与连接至一专用网络的节点之间进行通信的路由器中,包括:
对从所述移动节点发出的位置注册请求的转交地址与源地址进行比较;以及
如果所述转交地址与所述源地址匹配,则使用具有较低保密度的通信协议,或者如果所述转交地址与所述源地址不匹配,则使用具有较高保密度的通信协议,在所述移动节点与所述节点之间进行通信。
30.一种通信控制方法,用在能够与连接至一专用网络的节点进行通信的移动节点中,包括:
获取所述移动节点本身当前所属网络的信息;以及
执行控制,如果所获取的网络信息指示一个专用网络,则向管理该移动节点的位置的路由器的专用地址发出位置注册请求消息,如果所获取的网络信息指示一个与所述专用网络订立有互连协定的通信运营商的接入网,则向该路由器的全球地址发出位置注册请求消息,或者在其它情况下,向本地代理的全球地址发出包含建立具有较高保密度的通信路径的请求的位置注册请求消息。
31.一种通信控制方法,用在使得移动节点与连接至一专用网络的节点能够根据移动IP进行通信的系统中的移动节点中,该方法包括:
建立用于移动IP通信的隧道;以及
在用于移动IP通信的隧道的建立过程中,建立用于专用网络通信的隧道,其中
所述移动节点使用一个既用作移动IP通信隧道也用作专用网络通信隧道的通信隧道进行通信。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP233622/2002 | 2002-08-09 | ||
JP2002233622 | 2002-08-09 | ||
JP302304/2002 | 2002-10-16 | ||
JP2002302304A JP4056849B2 (ja) | 2002-08-09 | 2002-10-16 | 仮想閉域網システム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200510115753 Division CN1770727A (zh) | 2002-08-09 | 2003-08-08 | 虚拟专用网络系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1481081A true CN1481081A (zh) | 2004-03-10 |
Family
ID=31719874
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA031531695A Pending CN1481081A (zh) | 2002-08-09 | 2003-08-08 | 虚拟专用网络系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20040037260A1 (zh) |
EP (1) | EP1396964A2 (zh) |
JP (1) | JP4056849B2 (zh) |
CN (1) | CN1481081A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100367715C (zh) * | 2004-09-30 | 2008-02-06 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、上端网关 |
CN100394747C (zh) * | 2006-06-08 | 2008-06-11 | 上海交通大学 | 无线虚拟专网路由器 |
CN101764739A (zh) * | 2008-12-23 | 2010-06-30 | 康佳集团股份有限公司 | 一种基于移动网络的移动管理系统 |
CN101401357B (zh) * | 2006-03-07 | 2011-08-31 | 思科技术公司 | 使用会话边界控制器管理虚拟专用网络内以及之间的流量 |
CN101305581B (zh) * | 2005-11-26 | 2012-02-08 | 国际商业机器公司 | 用于访问控制的方法、装置 |
CN102438332A (zh) * | 2010-08-28 | 2012-05-02 | 刘荣涛 | 企业网络及微型基地台 |
US8374158B2 (en) | 2005-09-02 | 2013-02-12 | Nokia Siemens Networks Gmbh & Co. Kg | Method for interfacing a second communication network comprising an access node with a first communication network comprising a contact node |
Families Citing this family (71)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7218634B1 (en) * | 2000-10-10 | 2007-05-15 | Nortel Networks Limited | Assisted power-up and hand-off system and method |
US7779152B2 (en) * | 2003-01-24 | 2010-08-17 | Nokia Corporation | Establishing communication tunnels |
US7535878B2 (en) | 2003-03-28 | 2009-05-19 | Intel Corporation | Method, apparatus and system for ensuring reliable access to a roaming mobile node |
US7580396B2 (en) | 2003-11-05 | 2009-08-25 | Intel Corporation | Method, apparatus and system for obtaining and retaining a mobile node home address |
WO2005051024A1 (ja) * | 2003-11-20 | 2005-06-02 | Nec Corporation | 私設網を利用した移動通信システム、中継ノード及び無線基地制御局 |
US20050111454A1 (en) * | 2003-11-25 | 2005-05-26 | Narjala Ranjit S. | Method, apparatus and system for intelligently and dynamically routing mobile internet protocol packets |
US20050113109A1 (en) * | 2003-11-25 | 2005-05-26 | Farid Adrangi | Method, apparatus and system for context-based registrations based on intelligent location detection |
US20050111380A1 (en) * | 2003-11-25 | 2005-05-26 | Farid Adrangi | Method, apparatus and system for mobile nodes to dynamically discover configuration information |
WO2005067336A1 (en) * | 2003-12-31 | 2005-07-21 | Xius India Ltd. | Cross technology roaming solution system and method of use |
EP1575238A1 (en) * | 2004-03-08 | 2005-09-14 | Nokia Corporation | IP mobility in mobile telecommunications system |
US7991854B2 (en) * | 2004-03-19 | 2011-08-02 | Microsoft Corporation | Dynamic session maintenance for mobile computing devices |
CN100356807C (zh) * | 2004-03-30 | 2007-12-19 | 北京邮电大学 | 基于业务能力分级的分布式移动终端的调度控制方法 |
EP1749390A1 (en) * | 2004-05-17 | 2007-02-07 | THOMSON Licensing | Methods and apparatus managing access to virtual private network for portable devices without vpn client |
US7782902B2 (en) * | 2004-07-14 | 2010-08-24 | Audiocodes, Inc. | Apparatus and method for mapping overlapping internet protocol addresses in layer two tunneling protocols |
DE102004045147A1 (de) * | 2004-09-17 | 2006-03-23 | Fujitsu Ltd., Kawasaki | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm |
GB2418326B (en) * | 2004-09-17 | 2007-04-11 | Hewlett Packard Development Co | Network vitrualization |
US7298725B2 (en) * | 2004-10-08 | 2007-11-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing initiated from a home service network involving intermediary network preferences |
US7590732B2 (en) * | 2004-10-08 | 2009-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing originated from a local access network involving intermediary network preferences |
US7551926B2 (en) * | 2004-10-08 | 2009-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Terminal-assisted selection of intermediary network for a roaming mobile terminal |
KR100636186B1 (ko) * | 2004-10-28 | 2006-10-19 | 삼성전자주식회사 | 양방향 터널 설정 방법 및 시스템 |
KR100918440B1 (ko) | 2004-11-12 | 2009-09-24 | 삼성전자주식회사 | 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치 |
KR100594773B1 (ko) * | 2004-12-20 | 2006-06-30 | 한국전자통신연구원 | 다중 네트워크 인터페이스를 가진 노드의 이기종 네트워크연동 방법 |
US20060155836A1 (en) * | 2004-12-30 | 2006-07-13 | Arcadyan Technology Corporation | Method of configuring network device |
JP4561983B2 (ja) * | 2005-01-13 | 2010-10-13 | 日本電気株式会社 | ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム |
US8261341B2 (en) * | 2005-01-27 | 2012-09-04 | Nokia Corporation | UPnP VPN gateway configuration service |
KR100667502B1 (ko) * | 2005-03-28 | 2007-01-10 | 주식회사 케이티프리텔 | 모바일 ip를 이용한 이동 노드의 가상사설망 접속 방법 |
US7583662B1 (en) * | 2005-04-12 | 2009-09-01 | Tp Lab, Inc. | Voice virtual private network |
US20060251101A1 (en) * | 2005-04-25 | 2006-11-09 | Zhang Li J | Tunnel establishment |
US7602786B2 (en) * | 2005-07-07 | 2009-10-13 | Cisco Technology, Inc. | Methods and apparatus for optimizing mobile VPN communications |
US8165038B2 (en) | 2005-08-19 | 2012-04-24 | Opnet Technologies, Inc. | Network physical connection inference for IP tunnels |
US7894369B2 (en) * | 2005-08-19 | 2011-02-22 | Opnet Technologies, Inc. | Network physical connection inference for IP tunnels |
GB0608385D0 (en) * | 2006-04-27 | 2006-06-07 | Nokia Corp | Communications in relay networks |
US8023446B2 (en) * | 2006-09-28 | 2011-09-20 | Hang Zhang | Systems and methods for facilitating intra-cell-peer-to-peer communication |
US8045568B2 (en) * | 2006-09-29 | 2011-10-25 | Genband Us Llc | Enterprise mobility |
KR100763522B1 (ko) * | 2006-11-15 | 2007-10-04 | 한국전자통신연구원 | 네트워크 시스템에서의 인터넷 프로토콜 핸드오프 처리방법 |
US8477620B2 (en) | 2006-12-27 | 2013-07-02 | Entry Point, Llc | System and method to provide multiple private networks using PBB |
US7843944B2 (en) * | 2006-12-27 | 2010-11-30 | Entry Point, Llc | System and method to provide multiple private networks using MPLS |
US20080159298A1 (en) * | 2006-12-27 | 2008-07-03 | Entry Point, Llc | System and method to provide multiple private networks |
US8582580B2 (en) | 2006-12-27 | 2013-11-12 | Entry Point, Llc | System and method to provide multiple private networks using PBB/TE |
US20080219203A1 (en) * | 2007-03-09 | 2008-09-11 | Industrial Technology Research Institute. | Method for mac process and flexible connection in wireless multi-hop relaying network |
US8743853B2 (en) * | 2007-05-08 | 2014-06-03 | Intel Corporation | Techniques to include virtual private networks in a universal services interface |
CN101426004A (zh) * | 2007-10-29 | 2009-05-06 | 华为技术有限公司 | 三层会话的接入方法、系统及设备 |
JP5298540B2 (ja) * | 2008-01-22 | 2013-09-25 | 富士通株式会社 | ネットワークシステム、データ送受信方法、及びデータ送受信プログラム |
JP5205075B2 (ja) * | 2008-02-13 | 2013-06-05 | パナソニック株式会社 | 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 |
US8654735B2 (en) * | 2008-02-20 | 2014-02-18 | Nokia Corporation | IP mobility multihoming |
KR100996570B1 (ko) | 2008-07-24 | 2010-11-24 | 주식회사 케이티 | 모바일 ip를 이용한 가상사설망 접속 방법 및 시스템 |
JP5320618B2 (ja) * | 2008-10-02 | 2013-10-23 | 株式会社日立製作所 | 経路制御方法及びアクセスゲートウェイ装置 |
US8532272B2 (en) | 2009-10-21 | 2013-09-10 | Comcast Cable Communications, Llc | Service entry device |
US7937438B1 (en) | 2009-12-07 | 2011-05-03 | Amazon Technologies, Inc. | Using virtual networking devices to manage external connections |
US9203747B1 (en) | 2009-12-07 | 2015-12-01 | Amazon Technologies, Inc. | Providing virtual networking device functionality for managed computer networks |
US8995301B1 (en) | 2009-12-07 | 2015-03-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing cost information |
US9036504B1 (en) | 2009-12-07 | 2015-05-19 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to associate network addresses with computing nodes |
US7991859B1 (en) | 2009-12-28 | 2011-08-02 | Amazon Technologies, Inc. | Using virtual networking devices to connect managed computer networks |
US7953865B1 (en) | 2009-12-28 | 2011-05-31 | Amazon Technologies, Inc. | Using virtual networking devices to manage routing communications between connected computer networks |
US8224971B1 (en) * | 2009-12-28 | 2012-07-17 | Amazon Technologies, Inc. | Using virtual networking devices and routing information to initiate external actions |
US8601569B2 (en) * | 2010-04-09 | 2013-12-03 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
US8406195B2 (en) * | 2010-07-19 | 2013-03-26 | At&T Intellectual Property I, L.P. | Radio network controller with IP mapping table |
US9794220B2 (en) * | 2010-08-31 | 2017-10-17 | Comcast Cable Communications, Llc | Wireless extension of broadband access |
JP4802295B1 (ja) * | 2010-08-31 | 2011-10-26 | 株式会社スプリングソフト | ネットワークシステム及び仮想プライベート接続形成方法 |
WO2012063106A1 (en) * | 2010-11-12 | 2012-05-18 | Telefonaktiebolaget L M Ericsson (Publ) | Installation and enforcement of dynamic and static pcc rules in tunneling scenarios |
FI124341B (fi) * | 2011-05-24 | 2014-07-15 | Tosibox Oy | Laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi |
JP2015516728A (ja) * | 2012-03-23 | 2015-06-11 | 日本電気株式会社 | 通信システム、通信端末、通信方法、及び記録媒体 |
CN103856416B (zh) * | 2012-12-06 | 2017-04-12 | 华为技术有限公司 | 网络接入方法、设备和系统 |
EP2981030B1 (en) * | 2013-03-26 | 2019-07-31 | KDDI Corporation | Transfer device |
US9645930B2 (en) * | 2013-06-19 | 2017-05-09 | Intel Corporation | Dynamic home tile mapping |
US9641551B1 (en) | 2013-08-13 | 2017-05-02 | vIPtela Inc. | System and method for traversing a NAT device with IPSEC AH authentication |
EP3941024A1 (en) * | 2013-09-30 | 2022-01-19 | Schneider Electric Buildings, LLC | Building automation management device, associated method and computer program |
US10455387B2 (en) * | 2015-05-13 | 2019-10-22 | CyberReef Solutions Inc. | Network-based Machine-to-Machine (M2M) private networking system |
WO2017014163A1 (ja) * | 2015-07-17 | 2017-01-26 | 日本電気株式会社 | 通信システム、通信装置、通信方法、端末、プログラム |
WO2017014164A1 (ja) * | 2015-07-17 | 2017-01-26 | 日本電気株式会社 | 通信システム、通信装置、通信方法、端末、プログラム |
US11876798B2 (en) * | 2019-05-20 | 2024-01-16 | Citrix Systems, Inc. | Virtual delivery appliance and system with remote authentication and related methods |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5951651A (en) * | 1997-07-23 | 1999-09-14 | Lucent Technologies Inc. | Packet filter system using BITMAP vector of filter rules for routing packet through network |
US7058973B1 (en) * | 2000-03-03 | 2006-06-06 | Symantec Corporation | Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses |
JP2002033764A (ja) * | 2000-07-14 | 2002-01-31 | Fujitsu Ltd | 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置 |
KR100464374B1 (ko) * | 2000-11-01 | 2004-12-31 | 삼성전자주식회사 | 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법 |
US7155518B2 (en) * | 2001-01-08 | 2006-12-26 | Interactive People Unplugged Ab | Extranet workgroup formation across multiple mobile virtual private networks |
NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
-
2002
- 2002-10-16 JP JP2002302304A patent/JP4056849B2/ja not_active Expired - Fee Related
-
2003
- 2003-08-07 US US10/637,057 patent/US20040037260A1/en not_active Abandoned
- 2003-08-08 EP EP20030017601 patent/EP1396964A2/en not_active Withdrawn
- 2003-08-08 CN CNA031531695A patent/CN1481081A/zh active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100367715C (zh) * | 2004-09-30 | 2008-02-06 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、上端网关 |
US8374158B2 (en) | 2005-09-02 | 2013-02-12 | Nokia Siemens Networks Gmbh & Co. Kg | Method for interfacing a second communication network comprising an access node with a first communication network comprising a contact node |
CN101300861B (zh) * | 2005-09-02 | 2014-12-17 | 诺基亚通信有限责任两合公司 | 用于把具有接入节点的第二通信网络连接到具有接触节点的第一通信网络的方法 |
CN101305581B (zh) * | 2005-11-26 | 2012-02-08 | 国际商业机器公司 | 用于访问控制的方法、装置 |
CN101401357B (zh) * | 2006-03-07 | 2011-08-31 | 思科技术公司 | 使用会话边界控制器管理虚拟专用网络内以及之间的流量 |
CN100394747C (zh) * | 2006-06-08 | 2008-06-11 | 上海交通大学 | 无线虚拟专网路由器 |
CN101764739A (zh) * | 2008-12-23 | 2010-06-30 | 康佳集团股份有限公司 | 一种基于移动网络的移动管理系统 |
CN102438332A (zh) * | 2010-08-28 | 2012-05-02 | 刘荣涛 | 企业网络及微型基地台 |
Also Published As
Publication number | Publication date |
---|---|
EP1396964A2 (en) | 2004-03-10 |
US20040037260A1 (en) | 2004-02-26 |
JP2004135248A (ja) | 2004-04-30 |
JP4056849B2 (ja) | 2008-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1481081A (zh) | 虚拟专用网络系统 | |
CN1292556C (zh) | 公共密钥加密通信系统 | |
CN1774889A (zh) | 用于IPv6移动节点穿越IPv4网络的布置 | |
CN101043411A (zh) | 混合网络中实现移动vpn的方法及系统 | |
CN1817013A (zh) | 终端和通信系统 | |
CN1682499A (zh) | 内容分发系统 | |
CN1486102A (zh) | 移动通信系统,路由器,移动节点和移动通信方法 | |
CN1298148C (zh) | 微移动性网络路由系统与方法 | |
CN1275418C (zh) | 分组数据网中的验证 | |
CN100337424C (zh) | 数据使用管理系统和方法以及具有管理功能的发送设备 | |
CN1630259A (zh) | 内部代理装置、移动路由器、通信系统以及通信方法 | |
CN1836419A (zh) | 在cdma系统中支持移动ip第6版业务的方法、系统和设备 | |
CN101043701A (zh) | 一种ip多媒体子系统为移动电路域用户提供注册和呼叫接续的方法及其系统 | |
CN101047587A (zh) | 一种非无线局域网终端访问外部网络的系统及方法 | |
CN101053233A (zh) | 用于控制通信网络中移动性的方法和系统,及其相关网络和计算机程序产品 | |
CN1615635A (zh) | 移动节点,路由器,服务器和根据ip版本6(ipv6)协议的移动通信的方法 | |
CN1647489A (zh) | 能够连接到具有本地地址域的网络的方法及系统 | |
CN1378405A (zh) | 通过直接接触或邻近连接在通信设备间进行无线局域网参数设置的方法 | |
CN101077031A (zh) | 无线电网络控制装置、无线电局域网中继装置、无线电通信系统、以及无线电通信系统通信方法 | |
CN1836398A (zh) | 使用消息认证码的发送/接收系统 | |
CN1714542A (zh) | 无线局域网互连中的识别信息保护方法 | |
CN1305289A (zh) | 按规定的策略在多服务器实施ip数据报发送的方法和系统 | |
CN1839592A (zh) | 包中继装置 | |
CN1389990A (zh) | 通信系统管理服务器、无线服务器和移动管理服务器 | |
CN101056263A (zh) | 数据通信方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |