專利名稱:虛擬專用網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于在作為專用網(wǎng)絡(luò)的組織網(wǎng)絡(luò)與容納移動節(jié)點的網(wǎng)絡(luò)之間建立虛擬專用網(wǎng)絡(luò)的系統(tǒng)�����、移動節(jié)點、本地代理���,以及通信控制方法����。
背景技術(shù):
近年來�,已經(jīng)實現(xiàn)了采用多種網(wǎng)絡(luò)(以IMT-2000、熱區(qū)網(wǎng)(hot spot)��、無線LAN等為代表)的移動環(huán)境��,并且通過這些網(wǎng)絡(luò)接入作為專用網(wǎng)絡(luò)(以企業(yè)網(wǎng)為代表)的組織網(wǎng)絡(luò)(organization network)的情況日益增加��。
當(dāng)從一個外部網(wǎng)絡(luò)接入組織網(wǎng)絡(luò)時�,通常需要用外部網(wǎng)絡(luò)分配的地址,經(jīng)由組織網(wǎng)絡(luò)的安全網(wǎng)關(guān)進行通信����。考慮到安全�,采用這種分配地址過濾方法的組織網(wǎng)絡(luò)不多���。
然而,通過上述接入方法��,在組織網(wǎng)絡(luò)內(nèi)部和外部使用不同的地址���。因此�,不能認為提供了與那種和組織網(wǎng)絡(luò)進行直接連接的情況中類似的網(wǎng)絡(luò)環(huán)境�����,并且提高用戶便利度�,以及與連接狀態(tài)無關(guān)地實現(xiàn)無縫和安全的通信的要求正在日益增加。
作為實現(xiàn)無縫通信的手段���,存在由RFC 3220定義的移動IP(IPv4的IP移動性支持)�。然而�,該移動IP被設(shè)想為用在以相同尋址體系工作的網(wǎng)絡(luò)中,在具有不同尋址體系的網(wǎng)絡(luò)之間移動是不可能的���。特別是該移動IP一般用于組織網(wǎng)絡(luò)中的專用地址�����,在公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))中進行路由是不可能的����。
目前,作為在公共網(wǎng)絡(luò)中利用專用地址透明地進行路由的技術(shù)�,存在由RFC 2764定義的虛擬專用網(wǎng)絡(luò)(基于IP的虛擬專用網(wǎng)絡(luò)架構(gòu))。此處���,在各主機之間建立的隧道(tunnel)被認為包含在虛擬專用網(wǎng)絡(luò)中。利用容納節(jié)點的外部網(wǎng)絡(luò)所分配的地址為組織網(wǎng)絡(luò)中的VPN網(wǎng)關(guān)建立隧道的方法是公知的���。
VPN設(shè)備具有向傳輸IP分組(transfer IP packet)添加IP報頭的功能(IPinIP)��,這個報頭是由RFC 2003定義的(IP內(nèi)的IP封裝�����,IPEncapsulation within IP)�����,并且可以傳送以實現(xiàn)VPN通信��。利用TCP/IP之外的(例如)專用地址或協(xié)議在互聯(lián)網(wǎng)(其本來只可以傳輸具有全球地址的IP分組)上進行通信被稱作“隧穿(tunneling)”��,這意味著在進行互聯(lián)網(wǎng)通信的同時進行另一種通信�����。另外���,由RFC 2401定義的IPSec(互聯(lián)網(wǎng)協(xié)議安全架構(gòu))作為對待隧穿的IP分組進行加密和驗證以確保其保密性和安全的技術(shù)而存在��。
為了經(jīng)由公共網(wǎng)絡(luò)與利用專用地址工作的組織網(wǎng)絡(luò)進行無縫的通信���,必須把組織網(wǎng)絡(luò)中的專用地址應(yīng)用于本地地址(home address,移動IP的固定地址)���,利用公共網(wǎng)絡(luò)中的VPN來進行路由���。
圖1和2解釋了根據(jù)現(xiàn)有技術(shù),經(jīng)由公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))與組織網(wǎng)絡(luò)進行無縫通信的方法�����。
外部網(wǎng)絡(luò)中的網(wǎng)絡(luò)連接服務(wù)是由不同于以互聯(lián)網(wǎng)服務(wù)提供商�����、FOMA、CDMA 2000和熱區(qū)網(wǎng)為代表的組織網(wǎng)絡(luò)的組織提供的����,或者是由通信運營商提供的。此處����,熱區(qū)網(wǎng)(hot spot)是其區(qū)域受到限制并且由無線LAN構(gòu)成的通信網(wǎng)絡(luò)。熱區(qū)網(wǎng)的例子包括在商場�、公司大樓等之中由無線LAN等構(gòu)成的網(wǎng)絡(luò)。相應(yīng)地��,商場或公司與移動通信運營商簽訂協(xié)定���,使得熱區(qū)網(wǎng)配置為限制在商場或公司大樓內(nèi),盡管它處于移動通信運營商的服務(wù)控制之下�����。
傳統(tǒng)上��,如圖1中所示�����,無法在移動節(jié)點(mobile node,RFC 3220定義的MN)與外部代理(Foreign Agent�����,RFC 3220定義的FA)之間用專用地址進行路由��,即使事先在組織網(wǎng)絡(luò)的本地代理(home agent���,RFC 3220定義的HA)與外部網(wǎng)絡(luò)中設(shè)置的外部代理(FA)之間建立了VPN��。也就是說�,盡管可以在本地代理(HA)與外部代理(FA)之間建立用專用地址進行路由的隧道���,但如果沒有使用外部網(wǎng)絡(luò)分配給移動節(jié)點(MN)的全球地址����,則也不能在移動節(jié)點(MN)與外部代理(FA)之間進行通信���。這是因為外部代理(FA)與移動節(jié)點(MN)之間的通信是經(jīng)由外部網(wǎng)絡(luò)進行的����。
因此,如圖2所示采用了支持并置模式(co-located mode)的移動節(jié)點(MN)�����,從而在用移動IP進行位置注冊之前在VPN網(wǎng)關(guān)之間建立用專用地址進行路由的VPN���,并且用所建立的VPN進行移動IP的位置注冊��。
以此方式��,可以在本地代理(HA)與移動節(jié)點(MN)之間利用專用地址進行通信�����。也就是說����,如果采用了并置模式����,則必須進行兩階段的隧道建立操作��,首先通過隧穿在移動節(jié)點(MN)與容納本地代理(HA)的網(wǎng)絡(luò)的網(wǎng)關(guān)(GW)之間建立一個VPN���,然后通過所建立的VPN在本地代理(HA)與移動節(jié)點(MN)之間建立移動IP隧道����。
并置模式是由RFC 3220定義的一種模式,其中通過DHCP(DynamicHost Configuration Protocol����,動態(tài)主機配置協(xié)議)等分配給移動節(jié)點(MN)的地址被用作轉(zhuǎn)交地址(care-of-address),而移動節(jié)點(MN)本身建立起移動IP隧道���,并且執(zhí)行封裝和解封���。
上述RFC 3220描述了用于將IP數(shù)據(jù)報路由至互聯(lián)網(wǎng)上移動節(jié)點的協(xié)議的改進(參見非專利文獻1)。
而且����,在VPN系統(tǒng)中與移動工P位置注冊過程協(xié)同地通過IPSec隧道在任意終端之間提供VPN建立服務(wù)但不提供特殊VPN功能的現(xiàn)有技術(shù)已經(jīng)存在,在移動IP網(wǎng)絡(luò)中建立VPN的方法也已經(jīng)存在(參見專利文獻1)��。
Network Working Group�����,Request For Comments3220��,Obsoletes2002,CategoryStandards Track���,C.Perkins���,Ed,Nokia ResearchCenter���,January 2002���,“IP mobility Support for IPv4”[專利文獻1]日本專利申請公開No.2002-44141
通過上述方法,如果在外部網(wǎng)絡(luò)中設(shè)置了外部代理��,則不能在外部網(wǎng)絡(luò)中利用專用地址進行路由��。目前��,如果采用了支持并置模式的移動節(jié)點���,則移動工P通信與移動節(jié)點的VPN建立無關(guān)��,并且必須建立用于通過專用地址進行路由的隧道以及移動IP隧道。因此�����,不能有效地利用移動IP的隧道建立處理,并且在移動節(jié)點移動時執(zhí)行的越區(qū)切換也會失效(不能進行平穩(wěn)的越區(qū)切換���,因為在網(wǎng)絡(luò)之間進行切換時需要時間來建立新的路徑)�。另外�����,由于在傳送過程中要對分組進行雙倍的封裝和解封����,所以降低了處理能力。
根據(jù)本發(fā)明���,對組織網(wǎng)絡(luò)中設(shè)置的本地代理賦予組織網(wǎng)絡(luò)的安全網(wǎng)關(guān)功能�,或者當(dāng)通信運營商與組織之間訂立服務(wù)協(xié)定時在通信運營商網(wǎng)絡(luò)中設(shè)置的本地代理與組織網(wǎng)絡(luò)的安全網(wǎng)關(guān)之間預(yù)先建立VPN��,從而采用移動節(jié)點的并置模式��,并且在移動IP位置注冊過程中向移動節(jié)點發(fā)布VPN信息�����,從而有效地利用了移動IP隧道建立處理。其結(jié)果是����,隧道建立處理的系統(tǒng)開銷得到抑制,可以用組織網(wǎng)絡(luò)的專用地址在公共網(wǎng)絡(luò)上進行路由�����,并且可以不改變該專用地址而進行無縫且安全的通信����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種使得無需改變組織網(wǎng)絡(luò)等分配的專用地址,而能夠在組織網(wǎng)絡(luò)內(nèi)部/外部的移動環(huán)境中提供無縫且安全的虛擬專用網(wǎng)絡(luò)服務(wù)的系統(tǒng)����。
根據(jù)本發(fā)明的虛擬專用網(wǎng)絡(luò)系統(tǒng)控制與一第二地址的通信,連接至一第一網(wǎng)絡(luò)�,并且經(jīng)由一第二網(wǎng)絡(luò)與在作為專用網(wǎng)絡(luò)的所述第一網(wǎng)絡(luò)中使用的第一地址進行通信。該虛擬專用網(wǎng)絡(luò)系統(tǒng)包括第一移動單元����,其固定地保持著第一地址而進行通信;和第二移動單元�����,其獲取所述第一單元的第一地址與第二地址之間的對應(yīng)關(guān)系���,以經(jīng)由所述第二網(wǎng)絡(luò)進行通信����,并且在建立即使在所述第一單元移動時也可以通信的會話的過程中����,對所述第一單元進行驗證,并通過所述第二網(wǎng)絡(luò)在接入第一網(wǎng)絡(luò)的通信設(shè)備與所述第二單元之間形成虛擬專用網(wǎng)絡(luò)���。
根據(jù)本發(fā)明的本地代理使得在移動節(jié)點與連接至一專用網(wǎng)絡(luò)的節(jié)點之間能夠根據(jù)移動IP進行通信����。該本地代理包括用于在移動節(jié)點與本地代理之間建立虛擬專用網(wǎng)絡(luò)的單元��;用于對移動節(jié)點的接入進行驗證的單元�����;和用于將有關(guān)該虛擬專用網(wǎng)絡(luò)的信息通報給移動節(jié)點的單元��。
根據(jù)本發(fā)明的第一路由器使得能夠在移動節(jié)點與連接至一專用網(wǎng)絡(luò)的節(jié)點之間進行通信�����。該第一路由器包括用于對從移動節(jié)點發(fā)出的位置注冊請求的轉(zhuǎn)交地址或域進行檢測的單元;和通信控制單元����,如果檢測到的轉(zhuǎn)交地址或域指示一個能夠保障通信秘密的網(wǎng)絡(luò),則使用所述移動節(jié)點與所述路由器之間具有較低保密度的通信協(xié)議�����,或者如果所述轉(zhuǎn)交地址指示一個不能完全保障通信秘密的網(wǎng)絡(luò)�,則使用所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議,經(jīng)由所述路由器在所述移動節(jié)點與所述節(jié)點之間進行通信����。
根據(jù)本發(fā)明的第二路由器使得能夠在移動節(jié)點與連接至一專用網(wǎng)絡(luò)的節(jié)點之間進行通信。該第二路由器包括用于對移動節(jié)點發(fā)出的位置注冊請求的轉(zhuǎn)交地址與源地址進行比較的單元�����;和通信控制單元�,如果所述轉(zhuǎn)交地址不指示預(yù)定的通信運營商且與所述源地址匹配,則使用所述移動節(jié)點與所述路由器之間具有較低保密度的通信協(xié)議��,或者如果所述轉(zhuǎn)交地址與所述源地址不匹配���,則使用所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議���,經(jīng)由所述路由器在所述移動節(jié)點與所述節(jié)點之間進行通信根據(jù)本發(fā)明的第一移動節(jié)點能夠與連接至一專用網(wǎng)絡(luò)的節(jié)點進行通信����。該第一移動節(jié)點包括獲取單元����,用于獲取所述移動節(jié)點本身當(dāng)前所屬網(wǎng)絡(luò)的信息��;和控制單元����,用于執(zhí)行控制,如果所獲取的網(wǎng)絡(luò)信息指示一個專用網(wǎng)絡(luò)則向一個管理該移動節(jié)點位置的路由器的專用地址發(fā)出位置注冊請求消息�,如果所獲取的網(wǎng)絡(luò)信息指示一個預(yù)定的通信運營商網(wǎng)絡(luò),則向該路由器的全球地址發(fā)出位置注冊請求消息���,或者在其它情況下向該路由器的全球地址發(fā)出含有建立具有較高保密度的通信路徑的請求的位置注冊請求消息��。
根據(jù)本發(fā)明的第二移動節(jié)點能夠與連接至一專用網(wǎng)絡(luò)的節(jié)點進行通信���。該第二移動節(jié)點包括用于對所述移動節(jié)點當(dāng)前所屬網(wǎng)絡(luò)的轉(zhuǎn)交地址與源地址進行比較的單元����;和通信控制單元�,如果所述轉(zhuǎn)交地址不指示預(yù)定的通信運營商且與所述源地址匹配,則在所述移動節(jié)點與路由器之間使用具有較低保密度的通信協(xié)議��,或者如果所述轉(zhuǎn)交地址與所述源地址不匹配���,則在所述移動節(jié)點與路由器之間使用具有較高保密度的通信協(xié)議��,經(jīng)由路由器進行所述移動節(jié)點與所述節(jié)點之間的通信���。
根據(jù)本發(fā)明的第三移動節(jié)點位于使得能夠在移動節(jié)點與連接至一專用網(wǎng)絡(luò)的節(jié)點之間進行通信的系統(tǒng)中。該第三移動節(jié)點包括用于建立移動IP通信隧道的單元����;和用于在移動IP通信隧道建立過程中建立專用網(wǎng)絡(luò)通信隧道的單元,其中所述移動節(jié)點通過采用一個既用作移動IP通信隧道也用作專用網(wǎng)絡(luò)通信隧道的通信隧道進行通信�����。
根據(jù)本發(fā)明�����,在第一地址(作為本地地址的不變專用地址)與第二地址(可以用于通信,作為轉(zhuǎn)交地址)之間建立對應(yīng)關(guān)系���,在移動節(jié)點與本地代理之間交換虛擬專用網(wǎng)絡(luò)的信息��,并且在實現(xiàn)移動節(jié)點的漫游的過程中建立虛擬專用網(wǎng)絡(luò)��,從而簡化了設(shè)定移動IP以及建立虛擬專用網(wǎng)絡(luò)的程序���。其結(jié)果是�����,在越區(qū)切換時可以快速地為移動節(jié)點建立虛擬專用網(wǎng)絡(luò)��。這解決了現(xiàn)有技術(shù)中由于必需進行雙重封裝而引發(fā)的問題���。
圖1表示采用現(xiàn)有技術(shù)經(jīng)由公共網(wǎng)絡(luò)與企業(yè)網(wǎng)進行通信的方法�����;圖2表示采用現(xiàn)有技術(shù)經(jīng)由公共網(wǎng)絡(luò)與企業(yè)網(wǎng)進行無縫通信的方法����;圖3為本發(fā)明的功能框圖;圖4A和4B表示DIAMETER協(xié)議的細節(jié)(No.1)��;圖5A至5C表示DIAMETER協(xié)議的細節(jié)(No.2)�����;圖6表示DIAMETER協(xié)議的細節(jié)(No.3)�;圖7表示DIAMETER協(xié)議的細節(jié)(No.4);圖8表示DIAMETER協(xié)議的細節(jié)(No.5)��;圖9表示DIAMETER協(xié)議的細節(jié)(No.6)�;
圖10表示DIAMETER協(xié)議的細節(jié)(No.7);圖11表示DIAMETER協(xié)議的細節(jié)(No.8)����;圖12表示DIAMETER協(xié)議的細節(jié)(No.9);圖13表示DIAMETER協(xié)議的細節(jié)(No.10)�;圖14表示DIAMETER協(xié)議的細節(jié)(No.11);圖15表示本發(fā)明一個優(yōu)選實施例中使用的VPN數(shù)據(jù)庫的結(jié)構(gòu)����;圖16表示由具有圖3至15所示功能的驗證服務(wù)器和網(wǎng)絡(luò)設(shè)備構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)(No.1);圖17表示由具有圖3至15所示功能的驗證服務(wù)器和網(wǎng)絡(luò)設(shè)備構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)(No.2)��;圖18表示由具有圖3至15所示功能的驗證服務(wù)器和網(wǎng)絡(luò)設(shè)備構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)(No.3);圖19表示由具有圖3至15所示功能的驗證服務(wù)器和網(wǎng)絡(luò)設(shè)備構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)(No.4)���;圖20表示由具有圖3至15所示功能的驗證服務(wù)器和網(wǎng)絡(luò)設(shè)備構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)(No.5)���;圖21表示由具有圖3至15所示功能的驗證服務(wù)器和網(wǎng)絡(luò)設(shè)備構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)(No.6);圖22表示由具有圖3至15所示功能的驗證服務(wù)器和網(wǎng)絡(luò)設(shè)備構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)(No.7)��;圖23為表示AAA功能的方框圖�;圖24表示VPN信息緩存的結(jié)構(gòu);圖25表示路由表的結(jié)構(gòu)�����;圖26表示AAA所執(zhí)行的處理的流程圖(No.1)����;圖27表示AAA所執(zhí)行的處理的流程圖(No.2)��;圖28表示AAA所執(zhí)行的處理的流程圖(No.3)�����;圖29為表示HA和PCN的功能的方框圖���;圖30表示VPN信息表�;
圖31表示MA(移動代理,Mobile Agent)所執(zhí)行的處理的流程圖(No.1)�����;圖32表示MA(移動代理)所執(zhí)行的處理的流程圖(No.2)�����;圖33表示MA(移動代理)所執(zhí)行的處理的流程圖(No.3)�;圖34表示MA(移動代理)所執(zhí)行的處理的流程圖(No.4);圖35表示MA(移動代理)所執(zhí)行的處理的流程圖(No.5)����;圖36表示MA(移動代理)所執(zhí)行的處理的流程圖(No.6);圖37表示MA(移動代理)所執(zhí)行的處理的流程圖(No.7)����;圖38為表示MN的功能的方框圖;圖39表示MN所執(zhí)行的處理的流程圖(No.1)��;圖40表示MN所執(zhí)行的處理的流程圖(No.2)��;圖41表示MN所執(zhí)行的處理的流程圖(No.3)�����;圖42表示MN所執(zhí)行的處理的流程圖(No.4);圖43表示MN所執(zhí)行的處理的流程圖(No.5)�����;圖44表示根據(jù)本發(fā)明的一個優(yōu)選實施例����,在企業(yè)網(wǎng)中進行通信的情形(No.1);圖45表示根據(jù)本發(fā)明的這個優(yōu)選實施例在企業(yè)網(wǎng)中進行通信的情形(No.2)�;圖46表示在企業(yè)網(wǎng)中的路徑切換方法(No.1);圖47表示在企業(yè)網(wǎng)中的路徑切換方法(No.2)�;圖48表示在企業(yè)網(wǎng)中的路徑切換方法(No.3);圖49表示在同一管理域中各位置之間的通信(No.1)����;圖50表示在同一管理域中各位置之間的通信(No.2);圖51表示在企業(yè)網(wǎng)中的路徑切換方法(No.1)���;圖52表示在企業(yè)網(wǎng)中的路徑切換方法(No.2);圖53表示在企業(yè)網(wǎng)中的路徑切換方法(No.3)�����;圖54表示在同一管理域中各位置之間進行的通信(No.1);圖55表示在同一管理域中各位置之間進行的通信(No.2)�����;圖56表示PCN之間的路徑優(yōu)化方法(No.1)��;
圖57表示PCN之間的路徑優(yōu)化方法(No.2)��;圖58表示PCN之間的路徑優(yōu)化方法(No.3)���;圖59表示經(jīng)由移動通信運營商進行的通信(No.1)��;圖60表示經(jīng)由移動通信運營商進行的通信(No.2)�;圖61表示經(jīng)由移動通信運營商進行的通信(No.3)�����;圖62表示從熱區(qū)網(wǎng)直接連接至移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.1)�;圖63表示從熱區(qū)網(wǎng)直接連接至移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.2);圖64表示從熱區(qū)網(wǎng)直接連接至移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.3)�����;圖65表示從漫游合作方進行通信的操作(No.1)����;圖66表示從漫游合作方進行通信的操作(No.2)��;圖67表示從漫游合作方進行通信的操作(No.3)���;圖68表示在經(jīng)由企業(yè)網(wǎng)中的代理進行互聯(lián)網(wǎng)連接的情況下所執(zhí)行的操作;圖69表示經(jīng)由移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.1)���;圖70表示經(jīng)由移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.2)����;圖71表示經(jīng)由移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.3)�����;圖72表示從熱區(qū)網(wǎng)直接連接至移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.1)�����;圖73表示從熱區(qū)網(wǎng)直接連接至移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.2)�����;圖74表示從熱區(qū)網(wǎng)直接連接至移動通信運營商網(wǎng)絡(luò)進行通信的操作(No.3)����;圖75表示從漫游合作方進行通信的操作(No.1);圖76表示從漫游合作方進行通信的操作(No.2)��;以及圖77表示從漫游合作方進行通信的操作(No.3)��。
具體實施例方式
圖3為表示本發(fā)明的功能框圖���。
其功能概述如下����。
組織網(wǎng)絡(luò)11和12組織網(wǎng)絡(luò)11和12為封閉于組織(比如企業(yè)��、大學(xué)�、政府機構(gòu)等)之中的專用網(wǎng)絡(luò),并且經(jīng)由防火墻連接至公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))����。在組織中可以采用專用地址或全球地址作為地址格式。然而�,本發(fā)明中所用的地址被稱為“專用地址”,意味著只能在組織網(wǎng)絡(luò)內(nèi)進行通信��。同時���,可以在公共網(wǎng)絡(luò)中通信的地址被稱作“全球地址”���。相應(yīng)地��,在移動IP協(xié)議中����,“專用地址”為本地地址���,其對應(yīng)于固定的第一地址����,而“全球地址”為轉(zhuǎn)交地址�,其對應(yīng)于可以用來通信的第二地址。
以下�����,以企業(yè)網(wǎng)作為組織網(wǎng)絡(luò)的代表性例子來描述根據(jù)本發(fā)明的優(yōu)選實施例����。
在圖3中,通常設(shè)置多個本地代理19,并為一個組織網(wǎng)絡(luò)12執(zhí)行分布式處理��。對于每個不同的組織網(wǎng)絡(luò)12設(shè)置一組這樣的多個本地代理19�����。
驗證服務(wù)器18驗證服務(wù)器18為一個服務(wù)器組��,具有IETF使用的名稱(以下稱作AAA)����,并且執(zhí)行驗證�、授權(quán)和統(tǒng)計。驗證服務(wù)器18由AAA協(xié)議控制單元和AAA VPN控制單元構(gòu)成�����,其中AAA協(xié)議控制單元從VPN數(shù)據(jù)庫17中提取發(fā)出驗證請求的用戶的VPN信息�����,并且通過AAA協(xié)議21將VPN信息通報給HA19�,AAA VPN控制單元除上述功能之外,還從用戶單元中提取VPN信息�,并且確定VPN路徑。在圖3中,驗證服務(wù)器18設(shè)置在通信運營商網(wǎng)絡(luò)或企業(yè)網(wǎng)11中���。
AAA協(xié)議21這是AAA系統(tǒng)使用的協(xié)議�����。AAA協(xié)議可以由能夠傳輸驗證���、授權(quán)、統(tǒng)計和策略信息的任何協(xié)議使用����。在本發(fā)明的優(yōu)選實施例中,所用協(xié)議不具體限定�����,但是假定使用IETF目前正在研究的DIAMETER協(xié)議�。為傳輸本發(fā)明優(yōu)選實施例中所需的新信息,使用了DIAMETER協(xié)議定義的稱作AVP(屬性值對����,Attribute Value Pair)的可擴展屬性參數(shù)。擴展屬性是有關(guān)VPN建立的信息�����。
數(shù)據(jù)庫檢索協(xié)議這是一個用于檢索VPN數(shù)據(jù)庫17的協(xié)議。所用協(xié)議取決于實施VPN數(shù)據(jù)庫17的數(shù)據(jù)庫產(chǎn)品�����。通常采用LDAP(Light Directory Access Protocol��,輕量目錄訪問協(xié)議)或SQL�。本發(fā)明的優(yōu)選實施例不限制數(shù)據(jù)庫的檢索協(xié)議和操作���。
VPN數(shù)據(jù)庫17圖15示例地顯示了本發(fā)明優(yōu)選實施例中采用的VPN和數(shù)據(jù)庫17的結(jié)構(gòu)����。
VPN數(shù)據(jù)庫17是由各用戶設(shè)置的一組VPN數(shù)據(jù)實例�����。各個實例對應(yīng)于一個VPN�����。每個VPN數(shù)據(jù)實例由作為唯一地表示VPN信息的標(biāo)識符的概要編號(ProfileNumber)����、用戶網(wǎng)絡(luò)標(biāo)識(Nai)�����、用于指示采用的是各安全網(wǎng)關(guān)共享的安全關(guān)系還是用戶特定的安全關(guān)系的VPN共享標(biāo)志(vpnshare)��、VPN類型(vpnkind)��、通信目標(biāo)終端的IP地址(destaddr)�、上行QoS級別(upclass)�、下行QoS級別(downclass)、IPSec使用的上行SPI(upSPI)���、IPSec使用的下行SPI(downSPI)�����、以及用于UDP封裝的IP端口號(portNumber)構(gòu)成�。
如果共享標(biāo)志設(shè)定為0����,則upclass、downclass����、upSPI��、和downSPI可以省略��。該數(shù)據(jù)庫通過用戶NAI檢索����。所有檢索到的實例加上地址信息被記錄在VPN信息緩存中�,后面將加以說明。
DHCP協(xié)議23這表示由RFC 2131定義的對于節(jié)點的所有網(wǎng)絡(luò)建立協(xié)議以及對其的任何未來改變���。移動節(jié)點(MN 16)使用DHCPREQUEST消息,并且向作為外部接入網(wǎng)10的網(wǎng)絡(luò)中設(shè)置的DHCP服務(wù)器15發(fā)出網(wǎng)絡(luò)信息請求����。DHCP服務(wù)器15通過DHCPPACK消息向移動節(jié)點(MN 16)通報網(wǎng)絡(luò)信息。通過DHCPPACK消息通報的網(wǎng)絡(luò)信息包括移動節(jié)點(MN 16)的IP地址����、網(wǎng)絡(luò)掩碼、網(wǎng)關(guān)地址�、域名、DNS地址等���。雖然本發(fā)明優(yōu)選實施例假定DHCP協(xié)議作為移動節(jié)點(MN 16)的地址獲取手段�����,但是只要能從網(wǎng)絡(luò)中獲取IP地址��,協(xié)議不受局限�。
移動工P協(xié)議22這表示由RFC 3220定義的所有移動IP協(xié)議以及對其的任何未來改變。
圖4至16顯示了DIAMETER協(xié)議的細節(jié)���。
圖4和5表示移動IP消息以及DIAMETER消息的結(jié)構(gòu)����。在這些消息中都使用了IP報頭和UDP報頭�����。這些報頭以及圖4A中移動IP消息和DIAMETER消息的AVP格式如圖4B至5C中所示構(gòu)造���。
另外�����,圖6表示移動IP的位置注冊請求(Reg.Request)消息的結(jié)構(gòu)�����,圖7表示DIAMETER的驗證請求(AMRAA移動節(jié)點請求)消息的結(jié)構(gòu)�,以及圖8表示DIAMETER的本地代理注冊請求(HAR本地代理MIP請求)消息的結(jié)構(gòu)。
圖9和10表示移動IP的位置注冊回復(fù)(Reg.Reply)消息的結(jié)構(gòu)����,圖11A表示DIAMETER的驗證答復(fù)(AMAAA移動節(jié)點答復(fù))消息的結(jié)構(gòu),以及圖11B表示DIAMETER的本地代理注冊答復(fù)(HAA本地代理MIP答復(fù))消息的結(jié)構(gòu)�����。
圖12和13表示移動IP的綁定更新(BU)消息的結(jié)構(gòu)����,其意在優(yōu)化沿CN至MN的方向不經(jīng)HA而直接傳輸分組的路徑��。圖14表示移動IP的綁定確認(BA)消息的結(jié)構(gòu)�����。
本地代理(HA)19這是用于通過RFC 3220定義的移動IP協(xié)議22的程序管理移動節(jié)點(MN16)位置的功能(以下縮寫為HA)�。本地代理有時稱作移動通信控制設(shè)備或路由器。
本發(fā)明優(yōu)選實施例的網(wǎng)絡(luò)設(shè)備作為通信運營商網(wǎng)絡(luò)或企業(yè)網(wǎng)11中的安全網(wǎng)關(guān)����。本地代理(HA 19)是一個具有由企業(yè)網(wǎng)12分配的專用地址作為本地地址的代理��。發(fā)送至本地代理(HA 19)的分組(其目標(biāo)地址為移動節(jié)點(MN 16)本地地址)被封裝并傳輸至移動節(jié)點(MN 16)的轉(zhuǎn)交地址�,該轉(zhuǎn)交地址對應(yīng)于該本地地址����。該地址對應(yīng)關(guān)系由一個稱作移動性綁定的表加以管理。另外���,HA 19通過在位置注冊回復(fù)(Reg.Reply)消息中設(shè)定服務(wù)概況(service profile)而將VPN信息通報給移動節(jié)點(MN16)����。本發(fā)明優(yōu)選實施例中的HA 19還用作VPN網(wǎng)關(guān)功能���,用于在UDPinIP封裝之后執(zhí)行IPSec封裝����,以支持要進行NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)和NAPT(網(wǎng)絡(luò)地址端口轉(zhuǎn)換)的IPinIP���、IPSec或IPSec+UDP分組�,并且包括MA協(xié)議控制單元(移動代理協(xié)議控制單元),用于分析通過AAA協(xié)議和IP協(xié)議通報的VPN信息���,和MA VPN控制單元(移動代理VPN控制單元)�,用于根據(jù)所分析的VPN信息�����,以網(wǎng)絡(luò)內(nèi)核(network kernel)所指定的安全級別建立隧道��。
代理對應(yīng)節(jié)點(PCN�����,Proxy Correspondent Node)20這是用于通過移動IP協(xié)議22的移動性綁定更新處理為本地代理(HA19)所通報的目標(biāo)地址建立VPN的網(wǎng)絡(luò)功能(以下縮寫為PCN)���。利用來自本地代理(HA 19)的綁定更新(BU)消息建立企業(yè)網(wǎng)中的回環(huán)(loopback)以及PCN之間的隧道�����,從而進行移動節(jié)點(MN 16)的路徑優(yōu)化。本發(fā)明優(yōu)選實施例的PCN還用作IPinIP�、IPSec和IPSec+UDP的安全網(wǎng)關(guān)功能,并且包括MA協(xié)議控制單元����,用于分析通過移動IP協(xié)議通報的VPN信息��,和MAVPN控制單元���,用于根據(jù)所分析的VPN信息,以網(wǎng)絡(luò)內(nèi)核所指定的安全級別建立隧道�����。在圖3中�,PCN 20設(shè)置在企業(yè)網(wǎng)12中。
移動節(jié)點(MN)16移動節(jié)點(MN 16)��,在本發(fā)明優(yōu)選實施例中為網(wǎng)絡(luò)設(shè)備���,是由RFC 3220所定義的功能(以下縮寫為MN)�����,其利用移動IP協(xié)議22的進程可以在保持會話的同時在網(wǎng)絡(luò)中移動�����。本發(fā)明優(yōu)選實施例的移動節(jié)點(MN 16)具有IPinIP����、IPSec和IPSec+UDP的隧穿功能,并且執(zhí)行加密/解密以及封裝/解封�。移動節(jié)點(MN 16)對傳輸至轉(zhuǎn)交地址的封裝分組進行解封,并且通報給與該分組的本地地址相對應(yīng)的應(yīng)用���。另外�����,MN利用轉(zhuǎn)交地址對通過本地地址從應(yīng)用通報來的用戶分組進行封裝�����,并且將該分組傳輸至對應(yīng)節(jié)點(CN)����。此外����,MN根據(jù)來自本地代理(HA 19)的位置注冊回復(fù)(Reg.Reply)消息所通報的服務(wù)概況中設(shè)定的安全級別,在通常的IPinIP隧道之外還建立IPSec或IPSec+UDP隧道���,并且還建立與從移動節(jié)點(MN16)至本地代理(HA 19)的隧道(通常稱作反向隧道)類似的隧道。MN包括MA協(xié)議控制單元,用于分析通過移動IP協(xié)議通報的VPN信息���,和MA VPN控制單元��,用于根據(jù)所分析的VPN信息以網(wǎng)絡(luò)內(nèi)核所指定的安全級別建立隧道��。通過以能夠使用移動IP協(xié)議進行通信的膝上型個人計算機為例對本發(fā)明進行說明���。
圖16至22表示由具有參照圖3至15所述功能的網(wǎng)絡(luò)設(shè)備和驗證服務(wù)器構(gòu)成的IP網(wǎng)絡(luò)的結(jié)構(gòu)。
圖16基于由利用專用地址進行操作的企業(yè)網(wǎng)��、利用全球地址進行操作的公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))�、和用于根據(jù)與企業(yè)網(wǎng)的互連協(xié)議向與該網(wǎng)絡(luò)連接的節(jié)點分配全球地址、并且提供對企業(yè)網(wǎng)的接入手段的接入網(wǎng)所構(gòu)成的網(wǎng)絡(luò)����。
圖16所示的系統(tǒng)構(gòu)成部分有移動節(jié)點(MN),具有企業(yè)網(wǎng)內(nèi)的專用地址作為本地地址����,該本地地址是移動IP協(xié)議的不變地址,移動節(jié)點在企業(yè)網(wǎng)和作為外部網(wǎng)絡(luò)的接入網(wǎng)之間移動����,同時保留所述專用(本地)地址����,并且與企業(yè)網(wǎng)繼續(xù)進行通信��;驗證服務(wù)器(AAA)�����,用于對企業(yè)網(wǎng)中的移動節(jié)點(MN)進行驗證�����;以及本地代理(HA)���,存在于企業(yè)網(wǎng)內(nèi)����,并且對移動節(jié)點(MN)的位置進行管理����。
圖17基于由利用專用地址進行操作的企業(yè)網(wǎng)、利用全球地址進行操作的公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))����、和用于根據(jù)與企業(yè)網(wǎng)的互連協(xié)議向與該網(wǎng)絡(luò)連接的節(jié)點分配全球地址��、并且提供對企業(yè)網(wǎng)的接入手段的接入網(wǎng)所構(gòu)成的網(wǎng)絡(luò)�����。
圖17所示的系統(tǒng)構(gòu)成部分有移動節(jié)點(MN),具有企業(yè)網(wǎng)中的專用地址作為本地地址�,該本地地址是移動IP協(xié)議的不變地址,移動節(jié)點在企業(yè)網(wǎng)和作為外部網(wǎng)絡(luò)的接入網(wǎng)之間移動����,同時保留所述專用(本地)地址,并且與企業(yè)網(wǎng)繼續(xù)進行通信����;驗證服務(wù)器(AAA),存在于企業(yè)網(wǎng)中����,用于對移動節(jié)點(MN)進行驗證;本地代理(HA)��,存在于企業(yè)網(wǎng)的安全網(wǎng)關(guān)中,并且對移動節(jié)點(MN)的位置進行管理�����;以及代理對應(yīng)節(jié)點(PCN)���,存在于企業(yè)網(wǎng)中����,并且使用來自本地代理(HA)的綁定更新消息對路徑進行優(yōu)化�。
圖18基于由利用專用地址進行操作的企業(yè)網(wǎng)、利用全球地址進行操作的公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))����、和用于根據(jù)與企業(yè)網(wǎng)的互連協(xié)議向與該網(wǎng)絡(luò)連接的節(jié)點分配全球地址、并且提供對企業(yè)網(wǎng)的接入手段的接入網(wǎng)所構(gòu)成的網(wǎng)絡(luò)�����。
圖18所示的系統(tǒng)構(gòu)成部分有移動節(jié)點(MN)����,具有企業(yè)網(wǎng)中的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址��,移動節(jié)點在企業(yè)網(wǎng)和作為外部網(wǎng)絡(luò)的接入網(wǎng)之間移動����,同時保留所述專用(本地)地址���,并且與企業(yè)網(wǎng)繼續(xù)進行通信;驗證服務(wù)器(AAA)�,存在于企業(yè)網(wǎng)中,用于對移動節(jié)點(MN)進行驗證����;本地代理(HA)��,存在于企業(yè)網(wǎng)的安全網(wǎng)關(guān)中�,并且對移動節(jié)點(MN)的位置進行管理;以及代理對應(yīng)節(jié)點(PCN)�����,存在于企業(yè)網(wǎng)中�,并且使用來自本地代理(HA)的綁定更新消息對路徑進行優(yōu)化。當(dāng)服務(wù)開始時��,考慮到安全性而用IPSec(由IETF標(biāo)準(zhǔn)化的分組加密和驗證技術(shù))在HA與PCN之間建立隧道��。
圖19基于由利用專用地址進行操作的企業(yè)網(wǎng)�、利用全球地址進行操作的公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))、和用于根據(jù)與企業(yè)網(wǎng)的互連協(xié)議向與該網(wǎng)絡(luò)連接的節(jié)點分配全球地址�、并且提供對企業(yè)網(wǎng)的接入手段的通信運營商網(wǎng)絡(luò)所構(gòu)成的網(wǎng)絡(luò)�。
圖19所示的系統(tǒng)構(gòu)成部分有移動節(jié)點(MN)����,具有企業(yè)網(wǎng)中的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址����,移動節(jié)點在企業(yè)網(wǎng)和作為外部網(wǎng)絡(luò)的接入網(wǎng)之間移動,同時保留所述專用(本地)地址�����,并且與企業(yè)網(wǎng)繼續(xù)進行通信����;驗證服務(wù)器(AAA),存在于通信運營商網(wǎng)絡(luò)中�����,用于對移動節(jié)點(MN)進行驗證�����;本地代理(HA),存在于通信運營商網(wǎng)絡(luò)中�,并且利用企業(yè)網(wǎng)的專用地址對移動節(jié)點(MN)的位置進行管理;網(wǎng)關(guān)設(shè)備�,存在于企業(yè)網(wǎng)中,利用VPN經(jīng)由公共網(wǎng)絡(luò)來連接企業(yè)網(wǎng)和本地代理(HA)��;以及代理對應(yīng)節(jié)點(PCN)����,存在于企業(yè)網(wǎng)的安全網(wǎng)關(guān)中,根據(jù)企業(yè)網(wǎng)中本地代理(HA)的指令把通信環(huán)回至企業(yè)網(wǎng)中的移動節(jié)點(MN)����。當(dāng)服務(wù)開始時���,考慮到安全性而建立IPSec隧道����。
圖20基于由利用專用地址進行操作的企業(yè)網(wǎng)���、利用全球地址進行操作的公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))�����、和用于根據(jù)與企業(yè)網(wǎng)的互連協(xié)議向與該網(wǎng)絡(luò)連接的節(jié)點分配全球地址���、并且提供對企業(yè)網(wǎng)的接入手段的通信運營商網(wǎng)絡(luò)所構(gòu)成的網(wǎng)絡(luò)����。
圖20所示的系統(tǒng)構(gòu)成部分有移動節(jié)點(MN)����,具有企業(yè)網(wǎng)中的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址���,移動節(jié)點在企業(yè)網(wǎng)和作為外部網(wǎng)絡(luò)的接入網(wǎng)之間移動����,同時保留所述專用(本地)地址��,并且與企業(yè)網(wǎng)繼續(xù)進行通信����;驗證服務(wù)器(AAA),存在于通信運營商網(wǎng)絡(luò)中����,用于對移動節(jié)點(MN)進行驗證;本地代理(HA),存在于通信運營商網(wǎng)絡(luò)中���,并且利用企業(yè)網(wǎng)的專用地址對移動節(jié)點(MN)的位置進行管理��;網(wǎng)關(guān)設(shè)備�,存在于企業(yè)網(wǎng)中����,利用VPN經(jīng)由公共網(wǎng)絡(luò)來連接企業(yè)網(wǎng)和本地代理(HA);以及代理對應(yīng)節(jié)點(PCN)�,存在于通信運營商網(wǎng)絡(luò)的網(wǎng)關(guān)中,根據(jù)企業(yè)網(wǎng)中本地代理(HA)的指令把通信環(huán)回至企業(yè)網(wǎng)中的移動節(jié)點(MN)�。當(dāng)服務(wù)開始時,考慮到安全性而在HA與PCN之間建立IPSec隧道���。
圖21基于由利用專用地址進行操作的企業(yè)網(wǎng)、利用全球地址進行操作的公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))���、和根據(jù)與企業(yè)網(wǎng)的互連協(xié)議向與該網(wǎng)絡(luò)連接的節(jié)點分配全球地址�、并且提供對企業(yè)網(wǎng)的接入手段的通信運營商網(wǎng)絡(luò)所構(gòu)成的網(wǎng)絡(luò)�����。
圖21所示的系統(tǒng)構(gòu)成部分有移動節(jié)點(MN),具有企業(yè)網(wǎng)中的專用地址作為本地地址���,該本地地址是移動IP協(xié)議的不變地址����,移動節(jié)點在企業(yè)網(wǎng)和作為外部網(wǎng)絡(luò)的接入網(wǎng)之間移動���、同時保留所述專用(本地)地址���,并且與企業(yè)網(wǎng)繼續(xù)進行通信;驗證服務(wù)器(AAA)���,存在于通信運營商網(wǎng)絡(luò)中�����,用于對移動節(jié)點(MN)進行驗證����;本地代理(HA)����,存在于通信運營商網(wǎng)絡(luò)中�,并且利用企業(yè)網(wǎng)的專用地址對移動節(jié)點(MN)的位置進行管理�����;網(wǎng)關(guān)設(shè)備�����,存在于企業(yè)網(wǎng)中���,利用VPN經(jīng)由公共網(wǎng)絡(luò)來連接企業(yè)網(wǎng)和本地代理(HA)��;以及代理對應(yīng)節(jié)點(PCN)��,存在于企業(yè)網(wǎng)中�,根據(jù)企業(yè)網(wǎng)中本地代理(HA)的指令把通信環(huán)回至企業(yè)網(wǎng)中的移動節(jié)點(MN)����。當(dāng)服務(wù)開始時,考慮到安全性而在HA與PCN之間建立IPSec隧道���。
圖22基于由利用專用地址進行操作的企業(yè)網(wǎng)、利用全球地址進行操作的公共網(wǎng)絡(luò)(比如互聯(lián)網(wǎng))����、和根據(jù)與企業(yè)網(wǎng)的互連協(xié)議向與該網(wǎng)絡(luò)連接的節(jié)點分配全球地址���、并且提供對企業(yè)網(wǎng)的接入手段的通信運營商網(wǎng)絡(luò)所構(gòu)成的網(wǎng)絡(luò)。
圖22所示的系統(tǒng)構(gòu)成部分有移動節(jié)點(MN)�,具有企業(yè)網(wǎng)中的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址�����,移動節(jié)點在企業(yè)網(wǎng)和作為外部網(wǎng)絡(luò)的接入網(wǎng)之間移動��,同時保留所述專用(本地)地址���,并且與企業(yè)網(wǎng)繼續(xù)進行通信����;驗證服務(wù)器(AAA)���,存在于通信運營商網(wǎng)絡(luò)中���,用于對移動節(jié)點(MN)進行驗證;本地代理(HA)����,存在于通信運營商網(wǎng)絡(luò)中�,并且利用企業(yè)網(wǎng)的專用地址對移動節(jié)點(MN)的位置進行管理�����;網(wǎng)關(guān)設(shè)備���,存在于企業(yè)網(wǎng)中��,利用VPN經(jīng)由公共網(wǎng)絡(luò)來連接企業(yè)網(wǎng)和本地代理(HA)��;以及代理對應(yīng)節(jié)點(PCN)����,存在于企業(yè)網(wǎng)中�,根據(jù)企業(yè)網(wǎng)中本地代理(HA)的指令把通信環(huán)回至企業(yè)網(wǎng)中的移動節(jié)點(MN)。當(dāng)服務(wù)開始時����,考慮到安全性而在HA與PCN之間建立IPSec隧道。
功能實體的詳細描述AAA圖23為圖3所示AAA 18的示例性功能框圖���。
AAA由AAA協(xié)議控制單元30��、AAA VPN控制單元31�����、數(shù)據(jù)庫服務(wù)器32��、網(wǎng)絡(luò)內(nèi)核33和網(wǎng)絡(luò)設(shè)備接口34構(gòu)成�����。
AAA協(xié)議控制單元30由用于控制AAA協(xié)議的AAA協(xié)議處理單元35構(gòu)成����。
AAA VPN控制單元31由用于對從VPN數(shù)據(jù)庫中提取的VPN信息進行緩存的VPN信息緩存(圖24中所示)����、和密鑰發(fā)生器37構(gòu)成。密鑰發(fā)生器37產(chǎn)生的密鑰被用于(例如)對通過所建立VPN的數(shù)據(jù)進行加密�����。
圖24示例性地顯示了VPN信息緩存的結(jié)構(gòu)����。
VPN信息緩存是(例如)一組VPN信息緩存實例�����,利用包含特定于網(wǎng)絡(luò)中用戶的信息的唯一的會話ID進行檢索����,并且在用戶接入該網(wǎng)絡(luò)時有效�。每個VPN信息緩存實例由作為唯一的標(biāo)識符的會話ID、指示對應(yīng)用戶建立的VPN數(shù)目的概況數(shù)目����、和含有各VPN的建立信息的VPN信息概況所構(gòu)成。VPN信息概況包括作為唯一地標(biāo)識一個VPN的標(biāo)識符的概況編號�����;用于標(biāo)識VPN所應(yīng)用的分組的源和目標(biāo)IP地址���;其網(wǎng)絡(luò)掩碼����;分組中設(shè)定的TOS值���;安全類型�,指示是采用AH(Authentication Header Protocol,驗證報頭協(xié)議)����、ESP(Encapsulating Security Payload��,封裝安全凈荷)�、還是僅采用封裝來設(shè)定IPSec;作為IPSec隧道的入口和出口并且在IPSec隧道模式中引用的源和目標(biāo)的網(wǎng)關(guān)地址�;目標(biāo)GW類型,指示目標(biāo)網(wǎng)關(guān)是否能夠建立動態(tài)VPN�;SPI(Security Parameter Index,安全參數(shù)索引)���,其為上行和下行方向上的安全標(biāo)識符��;ESP加密密鑰�;和ESP驗證密鑰��。
數(shù)據(jù)庫服務(wù)器32由VPN數(shù)據(jù)庫(圖15所示)和WEB應(yīng)用構(gòu)成�。
網(wǎng)絡(luò)內(nèi)核33是一個操作系統(tǒng),其控制IP分組傳輸和作為與網(wǎng)絡(luò)的連接點的物理接口���,并且具有一個路由表(如圖25中所示)�����,用于確定IP分組傳輸?shù)穆酚?�。網(wǎng)絡(luò)內(nèi)核33為封裝��、編輯和傳輸分組等執(zhí)行隊列控制��。然而�,這些功能取決于操作系統(tǒng),并不局限于本發(fā)明的優(yōu)選實施例�。
圖25示例性地顯示了路由表的結(jié)構(gòu)。通常的路由表由目標(biāo)地址����、網(wǎng)關(guān)地址、網(wǎng)絡(luò)掩碼��、度量(metric)和輸出接口構(gòu)成����。利用目標(biāo)地址和度量確定目標(biāo)網(wǎng)絡(luò)節(jié)點。本發(fā)明的優(yōu)選實施例不依賴于路由表的結(jié)構(gòu)��。下面以能夠在輸出目標(biāo)地址建立虛擬網(wǎng)絡(luò)設(shè)備接口的網(wǎng)絡(luò)內(nèi)核為例進行具體的說明。
另外�����,網(wǎng)絡(luò)內(nèi)核33具有在接收到封裝分組之后進行解封的功能��。如果解封后的分組含有ESP報頭��,則網(wǎng)絡(luò)內(nèi)核33還具有通過參考隧道控制部分所保有的ESP信息對分組進行解密和加密的功能��。另外�,如果利用IPSec解封的數(shù)據(jù)具有UDP(User Datagram Protocol�,用戶數(shù)據(jù)報協(xié)議)格式,則網(wǎng)絡(luò)內(nèi)核33執(zhí)行UDP解封�。這些功能取決于封裝的實施和IPSec本身,并且不是關(guān)鍵���。因此����,這里只提供了其概述��。
網(wǎng)絡(luò)設(shè)備接口34是與網(wǎng)絡(luò)設(shè)備的接口�。網(wǎng)絡(luò)設(shè)備接口34根據(jù)實施方法分成物理網(wǎng)絡(luò)設(shè)備接口和虛擬網(wǎng)絡(luò)設(shè)備接口。
物理網(wǎng)絡(luò)設(shè)備接口為(例如)LAN、ISDN�����、ATM等的接口卡���。物理網(wǎng)絡(luò)設(shè)備接口的控制驅(qū)動器稱作“實際設(shè)備”����。
虛擬網(wǎng)絡(luò)設(shè)備接口是與虛擬網(wǎng)絡(luò)設(shè)備的接口��。該接口是虛擬接口卡����,根據(jù)與物理網(wǎng)絡(luò)設(shè)備接口類似的控制,通過軟件����、IPSec等實現(xiàn)隧穿的功能。具有隧穿等功能的虛擬網(wǎng)絡(luò)設(shè)備接口的驅(qū)動器被稱作“虛擬設(shè)備”��。網(wǎng)絡(luò)內(nèi)核33參考路由表����,向/從虛擬設(shè)備發(fā)送/接收分組��,從而執(zhí)行封裝/解封�。在本發(fā)明的說明中�,由虛擬設(shè)備隧道實現(xiàn)IPinIP,由虛擬設(shè)備ipsec實現(xiàn)IPSec和IPSec+UDP����。當(dāng)然,這些功能可以由硬件(物理網(wǎng)絡(luò)設(shè)備接口)實現(xiàn)�。
圖26至28為表示AAA所執(zhí)行的處理的流程圖。參照這些流程圖對AAA所執(zhí)行的處理加以說明�。
圖26為示例性地顯示AAA所執(zhí)行的全部處理的流程圖。
S100在接收到來自物理網(wǎng)絡(luò)接口34的分組之后��,網(wǎng)絡(luò)內(nèi)核33通過檢索IP端口號選擇AAA協(xié)議信令分組(DIAMETER)�,并且將所接收的分組的信息傳送至AAA協(xié)議控制單元30�����。
圖27為示例性地顯示圖23所示AAA協(xié)議控制單元30所執(zhí)行的處理的流程圖��。
S110AAA協(xié)議控制單元30中的AAA協(xié)議處理單元35根據(jù)從網(wǎng)絡(luò)內(nèi)核33接收倒的AAA(DIAMETER)協(xié)議指令代碼AVP對所接收的消息進行判定�����。如果所接收消息為AMR(AA Mobile Node Request,AA移動節(jié)點請求)�,則處理分支到S111。如果所接收消息為HAA(Home Agent MIP Answer��,本地代理MIP答復(fù))����,則處理分支到S114。
S111接收到AMR的AAA協(xié)議處理單元35啟動AAA VPN控制單元31���。
S112AAA VPN控制單元31從數(shù)據(jù)庫服務(wù)器32中的VPN數(shù)據(jù)庫讀取VPN信息��,并且將所讀取的VPN信息設(shè)定在VPN信息緩存36中����。
S113AAA協(xié)議處理單元35設(shè)定移動IP協(xié)議的位置注冊請求消息(Reg.Request)��,其中在AAA協(xié)議的本地代理注冊請求消息(HAR本地代理MIP請求)中���,在SPC固定部分(圖9所示)中設(shè)定了服務(wù)概況作為VPN信息��。
S114接收到FAA的AAA協(xié)議處理單元35啟動AAA VPN控制單元31�,于是AAA VPN控制單元31生成驗證碼����,用于確保通過移動IP協(xié)議位置注冊請求消息(Reg.Request)來請求位置注冊的MN的合法性��。
S115AAA協(xié)議處理單元35將驗證碼添加在移動IP協(xié)議位置注冊回復(fù)消息(Reg.Reply)上(其中在SPC固定部分(圖9中所示)中設(shè)定了VPN信息)��,并且在位置請求回復(fù)消息中設(shè)定驗證答復(fù)消息(AMA)��。
S116AAA協(xié)議控制單元30將驗證答復(fù)消息(AMA)或本地代理注冊請求消息(HAR)傳輸給HA�����。
圖28為示例性地顯示圖23中所示AAA VPN控制單元31所執(zhí)行的處理的流程圖�����。在圖27中所示的S112操作中開始這個處理���。
S120AAA VPN控制單元31通過數(shù)據(jù)庫訪問語言(比如SQL等)����,利用MN的NAI(Network Access Identifier,網(wǎng)絡(luò)訪問標(biāo)識符)對數(shù)據(jù)庫服務(wù)器32進行查詢����。數(shù)據(jù)庫服務(wù)器32從VPN數(shù)據(jù)庫中讀取對應(yīng)的VPN信息�。
S121如果從數(shù)據(jù)庫服務(wù)器32中的VPN數(shù)據(jù)庫讀取的SPI(安全參數(shù)索引)為默認SPI��,則AAA VPN控制單元31不加改變地將處理分支到S112�����。否則���,AAA VPN控制單元31將處理分支到S122���。假定默認SPI是在初始配置時預(yù)設(shè)在AAA中的,或者通過AAA的本地維護控制臺加以設(shè)定�。
S122AAA VPN控制單元31啟動密鑰發(fā)生器37。密鑰發(fā)生器37根據(jù)從VPN數(shù)據(jù)庫讀取的VPN信息中設(shè)定的密鑰長度產(chǎn)生隨機數(shù)���。
圖29為示例性地顯示圖3中移動代理(MA)和PCN 20的功能的方框圖���,其中移動代理(MA)為HA 19。處理移動IP協(xié)議的程序或代理統(tǒng)稱為移動代理(MA)���。
這些網(wǎng)絡(luò)設(shè)備由MA協(xié)議控制單元40��、MA VPN控制單元41���、網(wǎng)絡(luò)內(nèi)核42�����、和網(wǎng)絡(luò)設(shè)備接口43構(gòu)成�。
MA協(xié)議控制單元40由用于控制AAA協(xié)議的AAA協(xié)議處理單元44���、和用于控制移動IP的移動IP協(xié)議處理單元45構(gòu)成����。
MA VPN控制單元41由用于對利用AA協(xié)議和移動IP協(xié)議通報的VPN信息進行緩存的VPN信息緩存46(圖24中所示)�����、和隧道控制單元47構(gòu)成��。
隧道控制單元47根據(jù)VPN信息緩存46中設(shè)定的VPN類型重寫用于目標(biāo)IP地址的路由表的輸出設(shè)備�。如果VPN類型為IPinIP,則輸出設(shè)備被重寫為隧道虛擬設(shè)備����。如果VPN類型為IPSec或IPSec+UDP�����,則輸出設(shè)備被重寫為ipsec虛擬設(shè)備。另外����,在VPN信息表48(圖30中所示)中設(shè)定VPN類型、源和目標(biāo)IP地址以及其網(wǎng)絡(luò)掩碼��、安全類型���、源和目標(biāo)的網(wǎng)關(guān)地址���、作為上行和下行方向安全標(biāo)識符的SPI(安全參數(shù)索引)、ESP加密密鑰���、ESP驗證密鑰�����、以及UDP封裝時的IP端口號(portNumber)��。通過參考VPN信息表48�����,對網(wǎng)絡(luò)內(nèi)核42輸出至虛擬設(shè)備的分組進行加密/解密以及封裝/解封�。
圖30示例性地顯示了VPN信息表。
圖30中所示的VPN信息表由(例如)IPSec信息�、ESP信息以及隧道信息構(gòu)成。IPSec信息由一組IPSec信息實例構(gòu)成����,并且由一對源和目標(biāo)地址加以標(biāo)識。IPSec信息實例由源地址/網(wǎng)絡(luò)掩碼��、目標(biāo)地址/網(wǎng)絡(luò)掩碼�、作為分組的實際傳輸目的地的實際目標(biāo)地址、施加在分組上的隧道信息標(biāo)識符����、和施加在分組上的ESP信息標(biāo)識符構(gòu)成。ESP信息由一組ESP信息實例構(gòu)成���,各個ESP信息實例由用于唯一地標(biāo)識ESP信息的ESP標(biāo)識符�、加密方法����、方向�����、AH驗證密鑰長度、ESP驗證密鑰長度����、ESP加密密鑰長度、AH驗證密鑰����、ESP驗證密鑰、和ESP加密密鑰構(gòu)成�����。隧道信息由一組隧道信息實例構(gòu)成��,每個隧道信息實例由用于唯一地標(biāo)識隧道信息的隧道標(biāo)識符��、封裝方法�、方向、以及作為隧道入口和出口的源和目標(biāo)地址構(gòu)成����。
VPN信息緩存46�、網(wǎng)絡(luò)內(nèi)核42和網(wǎng)絡(luò)設(shè)備接口43已經(jīng)在AAA的詳細說明中加以描述�。
圖31至37為MA(移動代理)所執(zhí)行的處理的流程圖。下面參照這些流程圖說明MA所執(zhí)行的處理���。此處���,將處理移動IP協(xié)議的程序或代理統(tǒng)稱為移動代理。
圖31為示例性地顯示MA所執(zhí)行的全部處理的流程圖�����。
S200在網(wǎng)絡(luò)內(nèi)核42從網(wǎng)絡(luò)設(shè)備接口43接收到分組��,如前所述對分組進行解封�����、加密和解密之后�����,其判斷該分組是信令分組還是數(shù)據(jù)分組���。
根據(jù)所接收的分組是否具有一個由MA協(xié)議控制單元40指定的端口號來判斷該分組是否是信令分組��。如果該分組是信令分組�����,則處理分支到S201���。否則,處理分支到S203����。
S201所接收分組的信息被傳輸至MA協(xié)議控制單元40,并根據(jù)端口號執(zhí)行AAA的AAA協(xié)議以及MN的移動IP協(xié)議的處理����。
S202MA協(xié)議控制單元40啟動設(shè)定VPN信息的MA VPN控制單元41。
S203網(wǎng)絡(luò)內(nèi)核42參考路由表來確定所接收分組的輸出目的地的接口�����。如果輸出目的地為虛擬設(shè)備����,則網(wǎng)絡(luò)內(nèi)核42對分組進行封裝和加密。網(wǎng)絡(luò)內(nèi)核42再次用封裝分組的地址來查詢參考路由表����,并確定輸出設(shè)備�����。如果輸出目的地是物理設(shè)備�,則網(wǎng)絡(luò)內(nèi)核42將分組傳輸至該設(shè)備�。
圖32為示例性地顯示圖29中所示MA協(xié)議控制單元40所執(zhí)行的處理的流程圖。
S210圖29中所示MA協(xié)議控制單元40檢查從網(wǎng)絡(luò)內(nèi)核42接收到的分組的IP端口號����。如果該端口號是AAA協(xié)議的端口號,則處理分支到S211��。如果該端口號是移動IP協(xié)議的端口號����,則處理分支到S212。
S211啟動AAA協(xié)議處理單元���。在AAA協(xié)議的處理結(jié)束之后��,提取出添加至AAA協(xié)議作為信息一部分的移動IP協(xié)議����,處理轉(zhuǎn)至S212。
S212啟動移動IP協(xié)議處理單元45����,然后處理結(jié)束。
圖33為示例性地顯示圖29中所示AAA協(xié)議處理單元44所執(zhí)行的處理的流程圖�。
S220AAA協(xié)議處理單元44從接收自網(wǎng)絡(luò)內(nèi)核42的AAA協(xié)議中提取出VPN信息,并啟動MA VPN控制單元41��。MA VPN控制單元41將AAA協(xié)議處理單元44所提取的VPN信息設(shè)置在VPN信息緩存46中�。如果設(shè)置或更新了緩存區(qū)以由移動IP協(xié)議處理單元進行訪問(這在后面進行說明),則在共享存儲器中設(shè)置一個用于指示緩存區(qū)被更新的標(biāo)志����。
S221在AAA協(xié)議的處理結(jié)束之后��,提取出添加至AAA協(xié)議作為信息一部分的移動IP協(xié)議����。
圖34為示例性地顯示圖29中所示移動IP協(xié)議處理單元45所執(zhí)行的處理的流程圖。
S230判斷所接收移動IP協(xié)議消息的類型����。如果消息類型是位置注冊請求(Reg.Request),則處理分支到S231�。如果消息類型是綁定更新(BU)或綁定確認(BA)����,則處理分支到S235��。
在位置注冊請求(Reg.Request)的情況下S231如果接收到注冊請求的移動代理(MA)為本地代理(HA)���,則移動IP協(xié)議處理單元45在注冊請求消息的轉(zhuǎn)交地址與移動性綁定表的前一轉(zhuǎn)交地址之間進行比較���。如果它們不匹配,則處理分支到S232��。
S232在移動IP協(xié)議處理單元45將AAA協(xié)議處理單元44通過驗證答復(fù)消息(AMA)通報來的VPN信息通報給MA VPN控制單元41之后��,MA VPN控制單元41用所通報的VPN信息來更新VPN信息緩存��。
S233MA協(xié)議控制單元40啟動MA VPN控制單元41�。
S234如果所接收消息是位置注冊請求(Reg.Request),則移動IP協(xié)議處理單元45發(fā)出位置注冊回復(fù)(Reg.Reply)�����。如果所接收消息是綁定更新(BU)��,則移動IP協(xié)議處理單元40發(fā)出綁定確認(BA)。
在綁定更新(BU)或綁定確認(BA)的情況下S235如果所接收消息是BU�����,則移動IP協(xié)議處理單元45將處理分支到S236����。如果所接收消息是BA,則移動IP協(xié)議處理單元45將處理分支到S234���。如果移動代理(MA)正在作為PCN工作��,則移動IP協(xié)議處理單元45在作為代理的PCN的控制下接收所有發(fā)給CN的BU消息�。例如���,這個機制可以通過日本專利申請No.2000-32372中公開的方法來實施。
S236如果請求處理的MA為PCN���,則移動IP協(xié)議處理單元45將設(shè)定在BU消息中的VPN信息設(shè)置在VPN信息緩存中���,或者用該VPN信息替換VPN信息緩存。
圖35為示例性地顯示圖29中所示MA VPN控制單元41所執(zhí)行的處理的流程圖�����。
S240MA VPN控制單元31啟動隧道控制單元47以建立VPN。
圖36和37為示例性地顯示圖29中所示隧道控制單元47所執(zhí)行的處理的流程圖�。
S250為了進行周期性的位置注冊,隧道控制單元47根據(jù)VPN信息實例中的信息�����,刪除已經(jīng)設(shè)定在網(wǎng)絡(luò)內(nèi)核42中的路由表信息�,并刪除VPN信息表48中的對應(yīng)信息,以切換至新的VPN���。
S251隧道控制單元47根據(jù)VPN信息實例的VPN信息概況中設(shè)置的VPN類型��,設(shè)定網(wǎng)絡(luò)內(nèi)核42的路由表���。如果VPN類型是IPinIP,則將分組輸出至作為路由表的輸出設(shè)備接口的物理設(shè)備�。如果VPN類型是IPSec+UDP,則將分組輸出至作為路由表的輸出設(shè)備接口的IPSec虛擬設(shè)備���。
S252隧道控制單元47將隧道信息設(shè)定在VPN信息表48中��。
S253如果該通信是根據(jù)位置注冊請求消息(Reg.Request)的轉(zhuǎn)交地址���,與通信運營商或者訂立了互連協(xié)定的通信運營商的安全接入網(wǎng)(使用全球地址進行操作�����,在這里認為由CDMA通信系統(tǒng)構(gòu)成的通信運營商接入網(wǎng)的安全性是很高的)進行的通信��,則隧道控制單元47將處理分支到S255��。如果該通信是與通信運營商或者訂立了互連協(xié)定的通信運營商的不安全接入網(wǎng)(使用全球地址進行操作�,例如���,有線LAN等的熱區(qū)網(wǎng)�����,其僅僅限制在商場等的范圍內(nèi))進行的通信���,則隧道控制單元47將處理分支到S256。在其它情況下����,隧道控制單元47將處理分支到S254�。
S254隧道控制單元47將位置注冊請求消息(Reg.Request)的源地址與其轉(zhuǎn)交地址進行比較。如果它們匹配,則隧道控制單元47將該接入識別為來自企業(yè)網(wǎng)的接入���。如果它們不匹配�,則隧道控制單元47將該接入識別為來自訂立有互連協(xié)定的通信運營商的使用專用地址進行操作的接入網(wǎng)的接入����,并且將處理分支到S257?��?梢杂脤NS(域名系統(tǒng))的查詢或者使用域比較的處理來替代上述使用地址的判斷處理���。
S255隧道控制單元47將IPinIP設(shè)定為VPN類型。
S256隧道控制單元47將IPSec設(shè)定為VPN類型����。
S255隧道控制單元47將IPSec+UDP設(shè)定為VPN類型。
S260如果VPN類型為IPinIp��,則隧道控制單元47結(jié)束該處理���。如果VPN類型為IPSec��,則隧道控制單元47將處理分支到S262��。如果VPN類型為IPSec+UDP��,則隧道控制單元47將處理分支到S261����。
S261網(wǎng)絡(luò)內(nèi)核42利用VPN信息實例的端口號來執(zhí)行UDP封裝。
S262網(wǎng)絡(luò)內(nèi)核42參考VPN信息實例的VPN信息概況中的SPI���。如果SPI是用戶專有的SPI����,則網(wǎng)絡(luò)內(nèi)核42將處理分支到S263�����。如果SPI為默認SPI���,則網(wǎng)絡(luò)內(nèi)核42將處理分支到S264��。假定默認SPI已在初始配置時預(yù)先設(shè)定在移動代理(MA)中�����,或者由移動代理(MA)的本地維護控制臺進行設(shè)定�。
S263網(wǎng)絡(luò)內(nèi)核42設(shè)定IPSec信息實例中的ESP標(biāo)識符�����。
S264網(wǎng)絡(luò)內(nèi)核42設(shè)定IPSec信息實例中的隧道標(biāo)識符����。
圖38為示例性地顯示圖3中所示MN 16的功能的方框圖。
稱為MN的網(wǎng)絡(luò)設(shè)備由MN協(xié)議控制單元50����、MN VPN控制單元51、網(wǎng)絡(luò)內(nèi)核52�����、和網(wǎng)絡(luò)設(shè)備接口53構(gòu)成��。
MN協(xié)議控制單元50由用于控制移動IP的移動IP協(xié)議處理單元54構(gòu)成�����。MN VPN控制單元51由隧道控制單元55構(gòu)成��。隧道控制單元55根據(jù)VPN信息表58中設(shè)定的VPN類型重寫用于目標(biāo)IP地址的路由表58的輸出設(shè)備���。如果VPN類型為IPinIP�,則輸出設(shè)備被重寫為隧道虛擬設(shè)備。如果VPN類型為IPSec或IPSec+UDP��,則輸出設(shè)備被重寫為IPSec虛擬設(shè)備�����。在從VPN信息緩存57(圖24中所示)讀取的VPN信息表56中設(shè)定VPN信息�����。
通過參照VPN信息表56對網(wǎng)絡(luò)內(nèi)核52輸出至虛擬設(shè)備的分組進行加密/解密以及封裝/解封�。由于VPN信息表56、網(wǎng)絡(luò)內(nèi)核52��、和網(wǎng)絡(luò)設(shè)備接口53已經(jīng)在AAA的詳細說明中加以描述��,所以在此省略其細節(jié)的描述���。
圖39至43為MN所執(zhí)行的處理的流程圖���。下面參照這些流程圖說明MN所執(zhí)行的處理。
圖39為示例性地顯示MN所執(zhí)行的全部處理的流程圖��。
S300在網(wǎng)絡(luò)內(nèi)核52從物理網(wǎng)絡(luò)接口53接收到分組,如前所述對分組進行解封和解密之后���,其判斷該分組是信令分組還是數(shù)據(jù)分組。根據(jù)所接收的分組是否具有MN協(xié)議控制單元50指定的IP端口號來判斷該分組是否是信令分組�。如果該分組是信令分組,則處理分支到S301���。否則�����,處理分支到S303�。
S301MN協(xié)議控制單元50從網(wǎng)絡(luò)內(nèi)核52接收信令分組����,并執(zhí)行移動IP協(xié)議的處理。
S302MN VPN控制單元51啟動�����,并設(shè)定VPN信息���。
S303網(wǎng)絡(luò)內(nèi)核52參考路由表來判定所接收分組的輸出目的地的接口���。如果輸出目的地為虛擬設(shè)備��,則對分組進行封裝和加密��。網(wǎng)絡(luò)內(nèi)核42再次參考路由表����,通過封裝分組的目的地來確定輸出設(shè)備����。如果輸出目的地是物理設(shè)備,則將分組傳輸至該設(shè)備�����。
圖40為示例性地顯示圖38中所示MN協(xié)議控制單元50所執(zhí)行的處理的流程圖��。
S310檢查所接收分組的IP端口號��。如果該端口號是移動IP協(xié)議的端口號����,則移動IP協(xié)議處理單元啟動,并且結(jié)束該處理。
圖41為示例性地顯示圖38中所示移動IP協(xié)議處理單元54所執(zhí)行的處理的流程圖��。
S320移動IP協(xié)議處理單元54檢查所接收消息的類型���。如果其類型是DHCP�,則移動IP協(xié)議處理單元54將處理分支到S321�。如果其類型為位置注冊回復(fù)消息(Reg.Reply),則移動IP協(xié)議處理單元54將處理分支到S327�����。
S321移動IP協(xié)議處理單元54檢查通過DHCP消息通報的地址����。如果該地址與MN的轉(zhuǎn)交地址匹配���,則移動IP協(xié)議處理單元54將處理分支到S323�����。如果該地址與轉(zhuǎn)交地址不匹配����,則協(xié)議處理單元54將處理分支到S322。
S322移動IP協(xié)議處理單元54從DHCPACK消息中獲得作為轉(zhuǎn)交地址的IP地址��,以及網(wǎng)絡(luò)的域名��。
S323移動IP協(xié)議處理單元54檢查通過DHCP消息獲得的地址���。如果該地址與企業(yè)網(wǎng)的地址匹配�����,則移動IP協(xié)議處理單元54將處理分支到S325�����。如果該地址與訂立有互連協(xié)定的通信運營商的使用全球地址工作的接入網(wǎng)的地址相匹配�,則移動IP協(xié)議處理單元54將處理分支到S324����。這個使用地址的判斷處理可以由使用DNS(域名系統(tǒng))查詢的處理或者使用域比較的處理來替代。
S324移動IP協(xié)議處理單元54向HA的全球地址發(fā)出含有UDP隧道請求的位置注冊請求消息(Reg.Request)�����,并且結(jié)束該處理����。
S325移動IP協(xié)議處理單元54向HA的專用地址發(fā)出位置注冊請求消息(Reg.Request)����,并且結(jié)束該處理����。
S326移動IP協(xié)議處理單元54向HA的全球地址發(fā)出位置注冊請求消息(Reg.Request),并且結(jié)束該處理���。
S327移動IP協(xié)議處理單元54將位置注冊回復(fù)消息(Reg.Reply)中設(shè)定的VPN信息設(shè)置在VPN信息緩存57中����。
S328移動IP協(xié)議處理單元54啟動MN VPN控制單元51��,并且結(jié)束該處理���。
圖42為示例性地顯示圖38中所示MN VPN控制單元51所執(zhí)行的處理的流程圖。
S330MN VPN控制單元51啟動隧道控制單元55以建立VPN���,并且結(jié)束該處理�����。
圖43為示例性地顯示圖38中所示隧道控制單元55所執(zhí)行的處理的流程圖��。
S340為了進行周期性的位置注冊����,隧道控制單元55根據(jù)VPN信息實例中的信息,刪除已經(jīng)設(shè)定在網(wǎng)絡(luò)內(nèi)核中的路由表信息�����,并且刪除VPN信息表56中的對應(yīng)信息����,以切換至新的VPN。
S341隧道控制單元55根據(jù)VPN信息實例的VPN信息概況中設(shè)置的VPN類型設(shè)定輸出設(shè)備���。如果VPN類型是IPinIP�,則將分組輸出至物理設(shè)備�����。如果VPN類型是IPSec+UDP��,則將分組輸出至IPSec虛擬設(shè)備�。
S342隧道控制單元55參考VPN信息實例的VPN信息概況來設(shè)定IPSec信息表的隧道信息實例�����。
S343隧道控制單元55參考VPN信息實例的VPN類型�。如果VPN類型是IPinIP��,則隧道控制單元55結(jié)束隧穿處理����。如果VPN類型是IPSec,則隧道控制單元55將處理分支到S345���。如果VPN類型是IPSec+UDP��,則隧道控制單元55將處理分支到S344���。
S344網(wǎng)絡(luò)內(nèi)核52利用VPN信息實例的IP端口號來執(zhí)行UDP封裝�����。
S345網(wǎng)絡(luò)內(nèi)核52參考VPN信息實例的VPN信息概況中的SPI���。如果SPI是用戶專有的SPI����,則網(wǎng)絡(luò)內(nèi)核52將處理分支到S346。如果SPI為默認SPI���,則網(wǎng)絡(luò)內(nèi)核52將處理分支到S347��。假定默認SPI已在初始配置時預(yù)先設(shè)定在MN中��,或者由MN的本地維護控制臺進行設(shè)定����。
S346網(wǎng)絡(luò)內(nèi)核53設(shè)定IPSec信息實例中的ESP標(biāo)識符�����。
S347網(wǎng)絡(luò)內(nèi)核52設(shè)定IPSec信息實例中的隧道標(biāo)識符����。
下面,舉幾個例子來說明MN接入網(wǎng)時如何建立VPN�。后面的優(yōu)選實施例中假定HA設(shè)置在通信運營商網(wǎng)絡(luò)中。同樣�,HA設(shè)置在企業(yè)網(wǎng)中的情況是類似的。就從企業(yè)網(wǎng)中的同一位置進行接入時采用的VPN建立方法�,詳細說明終止隧道的網(wǎng)絡(luò)設(shè)備中的封裝和解封�����。因為VPN建立方法的操作與其它優(yōu)選實施例中的類似�,所以在其它優(yōu)選實施例中省略其說明��。
-從企業(yè)網(wǎng)中的同一位置進行接入時采用的VPN建立方法圖44和45說明了根據(jù)本發(fā)明優(yōu)選實施例在企業(yè)網(wǎng)中進行通信的情況��。
圖44表示在從處于企業(yè)網(wǎng)中位置A的MN與處于該企業(yè)網(wǎng)中同一位置的CN進行通信的情況下的VPN建立和分組路由����。圖45中示出了處于企業(yè)網(wǎng)中某一位置的MN的位置注冊程序中建立IPinIP VPN的順序。對圖45中所示的MN�����,分配10.10.255.1作為本地地址���,并且對于通信運營商網(wǎng)絡(luò)中的HA的移動IP���,將作為專用網(wǎng)絡(luò)的虛擬本地段(virtual home segment)設(shè)置為企業(yè)網(wǎng)�。將專用地址10.10.255.100設(shè)為虛擬本地段的網(wǎng)關(guān)地址。
在PCN與HA之間�,靜態(tài)地建立起IPSec���,并且在HA和PCN的路由表中設(shè)定可用的路由,(1)���。
MN通過向DHCP服務(wù)器發(fā)送DHCPREQUEST并接收DHCPACK來獲取可在網(wǎng)絡(luò)中路由的IP地址[10.10.1.100]�����,以及域名[asya.com]�,(2)和(3)����。
向HA發(fā)出位置注冊請求信息(Reg.Request),其源地址是由DHCP分配的企業(yè)網(wǎng)專用地址[10.10.1.100]��,作為轉(zhuǎn)交地址���,其目標(biāo)地址是HA的專用地址[10.10.255.100]�,并且含有NAI擴展和AAA驗證報頭(擴展 )��,(4)��。
由于在PCN與HA之間靜態(tài)地建立IPSec VPN�,所以要參考路由表�����,并且將分組傳輸至PCN中的IPSec0虛擬接口����。這是因為目標(biāo)地址為HA的專用地址[10.10.255.100]��。當(dāng)IPSec0虛擬接口接收到分組時����,通過IPSec設(shè)置所指定的加密算法對分組進行加密。然后�,分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標(biāo)地址,執(zhí)行IPSec封裝���,以添加IP報頭和IPSec報頭���,并且參考路由表,從而將分組從實際接口eth1傳輸至HA����。
接收到來自MN的位置注冊請求消息(Reg.Request)的HA參考路由表,并且通過實際接口eth0接收分組。這是因為分組的目標(biāo)地址是HA的全球地址[100.1.1.1]�����。接著HA參考IPSec報頭����,并且對加密的原始分組進行解密�����。解密后的分組的目標(biāo)地址是專用地址[10.10.255.10]�����,其為HA的接口地址����。因此,HA終結(jié)該分組���,并且將位置注冊請求消息(Reg.Request)傳輸至作為應(yīng)用的MA協(xié)議控制單元��。HA對位置注冊請求消息(Reg.Request)進行分析����,并且根據(jù)分析結(jié)果將驗證請求消息(AMR)發(fā)送至AAA。
AAA利用AMR消息中包含的NAI訪問VPN數(shù)據(jù)庫����,并且提取出該用戶特定的VPN信息。由于MN轉(zhuǎn)交地址的網(wǎng)絡(luò)是企業(yè)網(wǎng)�,所以將其中IPinIP設(shè)為VPN類型的VPN信息設(shè)置在服務(wù)概況中。把位置注冊請求消息(Reg.Request)(其中在SPC固定部分(圖9中所示)中設(shè)置了服務(wù)概況)設(shè)定在本地代理注冊請求消息(HAR)中�,然后把本地代理注冊請求消息(HAR)傳輸至HA,(7)��。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設(shè)定在VPN信息緩存中���,并且將含有服務(wù)概況的位置注冊回復(fù)(Reg.Reply)設(shè)定在本地代理注冊確認消息(HAA)中����,并將該消息傳輸至AAA���,(8)�����。
在接收到含有移動IP協(xié)議的位置注冊回復(fù)(Reg.Reply)的本地代理注冊答復(fù)消息(HAA)之后(其中在SPC固定部分(圖9中所示)中設(shè)置了VPN信息)��,AAA在位置注冊回復(fù)(Reg.Reply)上添加驗證碼���,并且向HA發(fā)出驗證答復(fù)(AMA)���,(9)�����。
HA將MN的本地地址[10.10.255.1]和轉(zhuǎn)交地址[10.10.1.100]設(shè)置在移動性綁定表中���。然后HA返回位置注冊回復(fù)(Reg.Reply)(其中設(shè)定了包含為IPinIP隧道而設(shè)的VPN信息的服務(wù)概況)�,建立隧道�����,以將目標(biāo)地址為MN本地地址[10.10.255.1]的該分組傳輸至路由表中MN的轉(zhuǎn)交地址[10.10.255.100]����,并且沿HA至MN的方向建立IPinIP VPN,(10)和(11)�。
在接收到位置注冊回復(fù)(Reg.Reply)之后,MN根據(jù)服務(wù)概況沿MN至HA的方向建立IPinIp VPN�����。
圖46至48說明了企業(yè)網(wǎng)中的路徑切換方法。
當(dāng)在企業(yè)網(wǎng)中在MN與CN之間進行通信時�,如圖46所示,沿CN至MN方向的分組不傳送到HA��,并且通過PCN在企業(yè)網(wǎng)中環(huán)回��,從而可以進行在企業(yè)網(wǎng)中封閉的通信���。圖47中示出了HA指示PCN環(huán)回分組�����,以及優(yōu)化路徑的順序�。
在圖47中�,首先從HA向PCN發(fā)出綁定更新消息(BU),(12)���。
PCN將所通報的本地地址[10.10.255.1]和轉(zhuǎn)交地址[10.10.1.100]設(shè)置在移動性綁定表中����。在路由表中建立隧道���,從而將目標(biāo)地址為MN本地地址的分組傳輸至MN的轉(zhuǎn)交地址�。PCN返回綁定確認消息(BA),(13)���。
在路徑優(yōu)化之后�,將沿CN至MN方向的數(shù)據(jù)分組從CN路由至PCN��,通過PCN環(huán)回���,并傳輸至MN。圖48中示出了路徑優(yōu)化之后數(shù)據(jù)分組的路由��。
分別使用MN的本地地址[10.10.255.1]和CN的專用地址[10.10.2.100]作為源地址和目標(biāo)地址����,將沿MN至CN方向的分組經(jīng)由PCN傳輸至CN。
分別使用CN的專用地址[10.10.1.2]和MN的本地地址[10.10.255.1]作為源地址和目標(biāo)地址��,將沿CN至MN方向的分組傳輸至PCN�����。PCN參考移動性綁定表����,分別使用CN的專用地址[10.10.2.1(1.2�?)]和MN的轉(zhuǎn)交地址[10.10.1.100]作為源地址和目標(biāo)地址��,利用移動IP協(xié)議對分組進行封裝��,并將該分組傳輸至MN�����,(15)���。
-從企業(yè)網(wǎng)中的不同位置進行接入時使用已有設(shè)備在各位置之間進行通信的VPN建立方法圖49至50說明了同一管理域中各位置之間的通信��。
圖49中示出了在使用企業(yè)網(wǎng)中位置A處的GW和該企業(yè)網(wǎng)中另一位置B處的GW之間建立的已有VPN進行企業(yè)網(wǎng)之間的通信�����,并且只在該企業(yè)網(wǎng)A中的位置A處的PCN和通信運營商網(wǎng)絡(luò)中的HA之間建立新的VPN的網(wǎng)絡(luò)配置中�����,在企業(yè)網(wǎng)中位置A處的MN與企業(yè)網(wǎng)中不同位置B處的CN之間進行通信的情況下的VPN建立和分組路由����。圖50中示出了在企業(yè)網(wǎng)中位置A處的MN的位置注冊程序中建立IPinIP VPN的順序。
在圖50中�����,MN利用DHCP獲得IP地址[10.10.1.100]和域名[asya.com]�����,(1)和(2)�����。
向HA發(fā)送位置注冊請求消息(Reg.Request)���,其具有DHCP分配的企業(yè)網(wǎng)專用地址[10.10.1.100]作為源地址,且具有HA的全球地址[100.1.1.1]作為目標(biāo)地址�����,并且含有NAI擴展和AAA驗證報頭�����,(3)��。
由于在企業(yè)網(wǎng)中的GW與HA之間靜態(tài)地建立IPSec VPN,所以企業(yè)網(wǎng)中的GW分別使用企業(yè)網(wǎng)中GW的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標(biāo)地址�����,執(zhí)行IPSec封裝��,并且將分組傳輸至HA��,(4)�。
從MN接收到位置注冊請求消息(Reg.Request)的HA執(zhí)行IPSec解封,并向AAA發(fā)送驗證請求消息(AMR)���,(5)���。
AAA通過AMR消息中包含的NAI來訪問VPN數(shù)據(jù)庫,并且提取出該用戶專有的VPN信息�����。因為MN轉(zhuǎn)交地址的網(wǎng)絡(luò)是企業(yè)網(wǎng)����,所以將其中IPinIP設(shè)為VPN類型的VPN信息設(shè)置在服務(wù)概況中。在本地代理注冊請求消息(HAR)中設(shè)置位置注冊請求消息(Reg.Request),其中在SPC固定部分(圖9中所示)中設(shè)置了服務(wù)概況���,然后將本地代理注冊請求消息(HAR)傳輸至HA�����,(6)�����。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設(shè)置在VPN信息緩存中�,將含有服務(wù)概況的位置注冊回復(fù)(Reg.Reply)設(shè)置在本地代理注冊答復(fù)消息(HAA)中���,并且將該答復(fù)消息傳輸至AAA��,(7)����。
在接收到含有移動IP協(xié)議位置注冊回復(fù)(Reg.Reply)的本地代理注冊答復(fù)消息(HAA)之后(其中在SPC固定部分(圖9中所示)中設(shè)置了VPN信息)���,AAA在注冊回復(fù)(Reg.Reply)中添加驗證碼,并且向HA發(fā)出驗證答復(fù)(AMA)����,(8)����。
HA返回位置注冊回復(fù)(Reg.Reply)(其中IpinIP設(shè)定為VPN類型)�����,并且沿HA至MN的方向建立IPinIp VPN�,(9)和(10)。
在接收到位置注冊回復(fù)(Reg.Reply)之后��,MN根據(jù)服務(wù)概況沿MN至HA的方向建立IPinIP VPN���。
圖51至53說明了企業(yè)網(wǎng)中的路徑切換方法���。
在企業(yè)網(wǎng)中的MN與同樣處于企業(yè)網(wǎng)中的CN之間進行通信時,如圖51所示��,從CN向MN發(fā)送的分組不傳輸至HA�����,而是通過企業(yè)網(wǎng)中各GW之間建立的VPN����,并被企業(yè)網(wǎng)中的PCN環(huán)回�,從而可以進行封閉在企業(yè)網(wǎng)中的通信���。圖52中示出了由HA指示PCN環(huán)回分組以及優(yōu)化路徑的順序��。
在圖52中����,首先從HA向PCN發(fā)送綁定更新消息(BU)���,(11)�。該消息通過通信運營商網(wǎng)絡(luò)與企業(yè)網(wǎng)中GW之間的IPSec隧穿而傳輸���。
PCN將所通報的本地地址和轉(zhuǎn)交地址設(shè)定在移動性綁定表中����。然后PCN在路由表中設(shè)定隧道�����,從而將目標(biāo)地址為MN本地地址的分組傳輸至MN的轉(zhuǎn)交地址��。接著���,PCN向HA返回一個綁定確認消息(BA)����,(12)���。
在路徑優(yōu)化之后����,從CN向MN發(fā)出的數(shù)據(jù)分組被從CN路由至PCN���,由PCN環(huán)回�,并傳輸至MN��。圖53中示出了路徑優(yōu)化之后數(shù)據(jù)分組的路由��。
在圖53中��,分別使用MN的本地地址[10.10.255.1]和CN的專用地址[10.10.2.100]作為源地址和目標(biāo)地址�����,經(jīng)由企業(yè)網(wǎng)中的已有VPN,將從MN發(fā)往CN的分組傳輸至CN��。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標(biāo)地址��,將從CN發(fā)往MN的分組傳輸至PCN�。PCN參考移動性綁定表,分別使用CN的專用地址[10.10.2.100]和MN的轉(zhuǎn)交地址[10.10.1.100]作為源地址和目標(biāo)地址��,利用移動IP協(xié)議對分組執(zhí)行封裝�,并將該分組傳輸至MN,(14)��。
-從企業(yè)網(wǎng)中的不同位置進行接入的情況下在各位置之間進行通信時各位置的VPN建立方法圖54和55說明了在同一管理域中各位置之間的通信����。
圖54中示出了在使用企業(yè)網(wǎng)中位置A處的GW和該企業(yè)網(wǎng)中另一位置B處的GW之間建立的已有VPN進行企業(yè)網(wǎng)之間的通信,PCN 1和2分別位于該企業(yè)網(wǎng)中的位置A和B處�����,并且在PCN 1�����、2與HA之間建立起VPN的網(wǎng)絡(luò)中��,企業(yè)網(wǎng)中位置A處的MN與企業(yè)網(wǎng)中位置B處的CN之間進行通信的情況下的VPN建立和分組路由。圖55中示出了在企業(yè)網(wǎng)中位置A處的MN的位置注冊過程中建立IPinIp VPN的順序���。
在圖55中,首先通過DHCP獲得IP地址[10.10.1.100]和域名[asya.com]�����,(1)和(2)�。
向HA發(fā)送一個位置注冊請求消息(Reg.Request),其具有DHCP分配的企業(yè)網(wǎng)專用地址[10.10.1.100]作為源地址���,且具有HA的全球地址[100.1.1.1]作為目標(biāo)地址���,并且含有NAI擴展和AAA驗證報頭,(3)�。
由于在PCN 1與HA之間靜態(tài)地建立IPSec VPN,所以PCN 2分別使用PCN2的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標(biāo)地址來執(zhí)行IPSec封裝���,并且將該分組傳輸至HA����,(4)�。
從MN接收到位置注冊請求消息(Reg.Request)的HA執(zhí)行IPSec解封��,并且向AAA發(fā)送一個驗證請求消息(AMR)����,(5)�。
AAA通過AMR消息中包含的NAI來訪問VPN數(shù)據(jù)庫,并且提取出該用戶專有的VPN信息��。因為MN轉(zhuǎn)交地址的網(wǎng)絡(luò)是企業(yè)網(wǎng)��,所以AAA將其中IPinIP設(shè)為VPN類型的VPN信息設(shè)置在服務(wù)概況中��。然后AAA在本地代理注冊請求消息(HAR)中設(shè)定位置注冊請求消息(Reg.Request)(其中在SPC固定部分(圖9中所示)中設(shè)置了服務(wù)概況)����,然后將該消息傳輸至HA,(6)�。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設(shè)置在VPN信息緩存中,將包含服務(wù)概況的位置注冊回復(fù)(Reg.Reply)設(shè)置在本地代理注冊答復(fù)消息(HAA)中���,并且將該答復(fù)消息傳輸至AAA��,(7)�。
在接收到包含移動IP協(xié)議位置注冊回復(fù)(Reg.Reply)的本地代理注冊答復(fù)消息(HAA)之后(其中在SPC固定部分(圖9中所示)中設(shè)置了VPN信息)�����,AAA在注冊回復(fù)(Reg.Reply)中添加驗證碼,并且向AA發(fā)送一個驗證答復(fù)(AMA)��,(8)�����。
HA返回其中IPinIP設(shè)為VPN類型的位置注冊回復(fù)(Reg.Reply)����,并且沿從HA至MN的方向建立IPinIP VPN�����,(9)和(10)����。
在接收到位置注冊回復(fù)(Reg.Reply)之后,MN根據(jù)服務(wù)概況沿MN至HA的方向建立IPinIP VPN�。
圖56至58說明了PCN 1和2之間的路徑優(yōu)化方法。
在企業(yè)網(wǎng)中位置A處的MN與企業(yè)網(wǎng)中位置B處的CN之間進行通信時��,如圖56所示�,沿CN至MN方向的分組不傳輸至HA����,而是通過企業(yè)網(wǎng)中各GW之間建立的VPN���,由企業(yè)網(wǎng)中位置A(�����?)處的PCN 1環(huán)回�����,從而可以進行封閉在企業(yè)網(wǎng)中的通信��。圖57中示出了HA指示PCN環(huán)回分組以及優(yōu)化路徑的順序。
在圖57中�����,首先從HA向處于CN一側(cè)的PCN 1發(fā)送綁定更新消息(BU)���,(11)。
PCN 1將所通報的本地地址和轉(zhuǎn)交地址設(shè)定在移動性綁定表中���,并且在路由表中設(shè)定隧道���,從而將目標(biāo)地址為MN本地地址的分組傳輸至PCN 2�。接著�����,PCN 2發(fā)出綁定確認消息(BA)����,(12)���。
在路徑優(yōu)化之后���,通過企業(yè)網(wǎng)中各GW之間建立的VPN,沿CN至MN方向的數(shù)據(jù)分組經(jīng)由PCN 1從CN路由至PCN 2����,并傳輸至MN。圖58中示出了路徑優(yōu)化之后數(shù)據(jù)分組的路由��。
分別使用MN的本地地址[10.10.255.1]和CN的專用地址[10.10.2.100]作為源地址和目標(biāo)地址�,將沿MN至CN方向的分組經(jīng)由PCN 1傳輸至CN。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標(biāo)地址,將沿CN至MN方向的分組傳輸至PCN2���。PCN 2(1�����?)參考移動性綁定表�,分別使用CN的專用地址[10.10.2.100]和MN的轉(zhuǎn)交地址[10.10.1.100]作為源地址和目標(biāo)地址�����,利用移動IP協(xié)議對分組執(zhí)行封裝�����,并將該分組傳輸至MN����,(14)。
-從通信運營商的安全接入網(wǎng)(比如CDMA通信網(wǎng)絡(luò))進行接入時采用的VPN建立方法圖59至61說明了經(jīng)由移動通信運營商進行的通信����。
圖59中示出了在MN處于由通信運營商保證安全性的通信運營商網(wǎng)絡(luò)中,且在企業(yè)網(wǎng)中的PCN與通信運營商網(wǎng)絡(luò)中的HA之間建立了IPSec VPN的網(wǎng)絡(luò)中����,在企業(yè)網(wǎng)中的CN與外部網(wǎng)絡(luò)(其為安全得到保障的通信運營商網(wǎng)絡(luò))中的MN之間進行通信的情況下的VPN建立和分組路由��。圖60中示出了在外部網(wǎng)絡(luò)(其為安全得到保障的通信運營商網(wǎng)絡(luò))中的MN的位置注冊過程中建立IPinIP VPN的順序��。
在圖60中�����,MN利用DHCP獲得IP地址[200.2.1.100]和域名[docomo.com]�,(1)和(2)��。
向HA發(fā)送位置注冊請求消息(Reg.Request)�����,其具有DHCP分配的通信運營商網(wǎng)絡(luò)地址[200.2.1.100]作為源地址�,且具有HA的全球地址[200.1.1.101]作為目標(biāo)地址���,并且包含NAI擴展和AAA驗證報頭�,(3)����。
從MN接收到位置注冊請求消息(Reg.Request)的HA向AAA發(fā)送一個驗證請求消息(AMR),(4)。
AAA通過AMR消息中包含的NAI訪問VPN數(shù)據(jù)庫�,并且提取出該用戶專有的VPN信息。因為MN轉(zhuǎn)交地址的網(wǎng)絡(luò)是安全的通信運營商網(wǎng)絡(luò)�����,所以將其中IPinIP設(shè)為VPN類型的VPN信息設(shè)置在服務(wù)概況中���。把位置注冊請求消息(Reg.Request)(其中服務(wù)概況設(shè)在SPC固定部分(圖9中所示))設(shè)置在本地代理注冊請求消息(HAR)中�����,然后將本地代理注冊請求消息(HAR)傳輸至HA�����,(5)���。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設(shè)置在VPN信息緩存中,將包含服務(wù)概況的位置注冊回復(fù)(Reg.Reply)設(shè)置在本地代理注冊答復(fù)消息(HAA)中�����,并且將該答復(fù)消息傳輸至AAA��,(6)。
在接收到包含移動IP協(xié)議位置注冊回復(fù)(Reg.Reply)的本地代理注冊答復(fù)消息(HAA)之后(其中VPN信息設(shè)置在SPC固定部分(圖9中所示)中)�,AAA在注冊回復(fù)(Reg.Reply)中添加驗證碼,并且向AA發(fā)送一個驗證答復(fù)(AMA)��,(7)���。
HA返回其中IPinIP設(shè)為VPN類型的位置注冊回復(fù)(Reg.Reply)�����,并且沿從HA至MN的方向建立IPinIP VPN��,(8)����。
在接收到位置注冊回復(fù)(Reg.Reply)之后��,MN根據(jù)服務(wù)概況沿MN至HA的方向建立IPinIP VPN�����。
通過如上所述建立的VPN���,經(jīng)由HA在MN與CN之間進行通信�����。圖61中示出了數(shù)據(jù)分組交換順序���。圖61示出了從通信運營商網(wǎng)絡(luò)開始的連接順序。
在圖61中�����,生成從MN向CN發(fā)送的分組(其外部IP報頭的源地址設(shè)為通信運營商網(wǎng)絡(luò)在MN并置模式下分配的地址[200.2.1.100]����,目標(biāo)地址設(shè)為HA的地址[100.1.1.1],其內(nèi)部IP報頭的源地址設(shè)為MN的本地地址[10.10.255.1]��,目標(biāo)地址設(shè)為CN的專用地址[10.10.2.100])�,并傳輸至HA。由于在PCN與HA之間靜態(tài)地建立IPSec VPN���,所以HA分別使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作為源地址和目標(biāo)地址來執(zhí)行IPSec封裝��,并且將該分組傳輸至PCN�。PCN執(zhí)行IPSec解封��,并將該分組傳輸至CN,(9)���。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標(biāo)地址�,將從CN發(fā)往MN的分組傳輸至PCN�����。PCN分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標(biāo)地址執(zhí)行IPSec封裝�����,并將該分組傳輸至HA�。HA執(zhí)行IPSec解封和移動IP協(xié)議封裝,并將該分組傳輸至MN����,(10)。
-從通信運營商的不安全接入網(wǎng)(比如熱區(qū)網(wǎng))進行接入時采用的VPN建立方法圖62至64說明了從直接連接到移動通信運營商網(wǎng)絡(luò)的熱區(qū)網(wǎng)進行通信的操作�。
圖62中示出了在MN處于安全性未得到通信運營商保證的熱區(qū)網(wǎng)中,并且在企業(yè)網(wǎng)中的PCN與通信運營商網(wǎng)絡(luò)中的HA之間建立IPSec VPN的網(wǎng)絡(luò)中����,在企業(yè)網(wǎng)中的CN與外部網(wǎng)絡(luò)(其為安全得不到保障的熱區(qū)網(wǎng)網(wǎng)絡(luò))中的MN之間進行通信的情況下的VPN建立和分組路由。圖63中示出了在安全性不能保障的熱區(qū)網(wǎng)中的MN的位置注冊程序中建立IPSec VPN的順序�。
在圖63中,MN利用DHCP(消息 )獲得IP地址[200.20.1.100]和域名[docomo.com]��,(1)和(2)��。
向HA發(fā)送一個位置注冊請求消息(Reg.Request)����,其具有DHCP分配的通信運營商網(wǎng)絡(luò)地址[200.20.1.100]作為源地址,且具有HA的全球地址[100.1.1.1]作為目標(biāo)地址��,并且包含NAI擴展和AAA驗證報頭�����,(3)���。
從MN接收到位置注冊請求消息(Reg.Request)的HA向AAA發(fā)送一個驗證請求消息(AMR)��,(4)����。
AAA通過AMR消息中包含的NAI訪問VPN數(shù)據(jù)庫���,并且提取出該用戶專有的VPN信息��。因為MN轉(zhuǎn)交地址的網(wǎng)絡(luò)是不安全的通信運營商網(wǎng)絡(luò)����,所以AAA將其中IPSec設(shè)為VPN類型的VPN信息設(shè)置在服務(wù)概況中。AAA然后將位置注冊請求消息(Reg.Request)(其中服務(wù)概況設(shè)置在SPC固定部分(圖9中所示)中)設(shè)置在本地代理注冊請求消息(HAR)中���,并且將該本地代理注冊請求消息傳輸至HA�,(5)�。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設(shè)置在VPN信息緩存中,將包含服務(wù)概況的位置注冊回復(fù)(Reg.Reply)設(shè)置在本地代理注冊答復(fù)消息(HAA)中����,并且將該答復(fù)消息傳輸至AAA,(6)��。
在接收到包含移動IP協(xié)議位置注冊回復(fù)(Reg.Reply)的本地代理注冊答復(fù)消息(HAA)之后(其中VPN信息設(shè)置在SPC固定部分(圖9中所示)中)�����,AAA在注冊回復(fù)(Reg.Reply)中添加驗證碼��,并且向HA發(fā)送一個驗證答復(fù)(AMA)����,(7)����。
HA返回其中IPSec設(shè)為VPN類型的位置注冊回復(fù)(Reg.Reply)����,并且建立從HA至MN的IPSec VPN�,(8)。
在接收到位置注冊回復(fù)(Reg.Reply)之后�,MN根據(jù)服務(wù)概況沿MN至HA的方向建立IPSec VPN。
通過如上所述建立的VPN�����,經(jīng)由HA在MN與CN之間進行通信����。圖64中示出了數(shù)據(jù)分組交換順序。
生成從MN發(fā)往CN的分組(其外部IP報頭的源地址為通信運營商網(wǎng)絡(luò)在MN的并置模式下分配的地址[200.20.1.100]��,目標(biāo)地址為HA的全球地址[100.1.1.1]��,其內(nèi)部IP報頭的源地址為MN的本地地址[10.10.255.1]���,目標(biāo)地址為CN的專用地址[10.10.2.100])���,并傳輸至HA�。由于在PCN與HA之間靜態(tài)地建立IPSec VPN�,所以HA分別使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作為源地址和目標(biāo)地址來執(zhí)行IPSec封裝,并且將該分組傳輸至PCN�。PCN執(zhí)行IPSec解封,并將該分組傳輸至CN�����,(9)�����。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標(biāo)地址����,將從CN發(fā)往MN的分組傳輸至PCN。PCN分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標(biāo)地址執(zhí)行IPSec封裝�,并將該分組傳輸至HA。HA執(zhí)行IPSec解封和移動IP協(xié)議封裝���,并將該分組傳輸至MN�,(10)。
-從與一個通信運營商訂立有漫游協(xié)定的其他通信運營商的接入網(wǎng)進行接入時采用的VPN建立方法圖65至67說明了從漫游合作方進行通信的操作���。
圖65中示出了在MN處于與一個通信運營商訂立有漫游協(xié)定的其它通信運營商的接入網(wǎng)中���,且在企業(yè)網(wǎng)中的PCN與該通信運營商網(wǎng)絡(luò)中的HA之間建立有IPSec VPN的網(wǎng)絡(luò)中,企業(yè)網(wǎng)中的CN與外部網(wǎng)絡(luò)(其為訂立有漫游協(xié)定的其它通信運營商的接入網(wǎng))中的MN之間進行通信的情況下的VPN建立和分組路由��。圖66中示出了在處于與該通信運營商訂立有漫游協(xié)定的不同通信運營商的接入網(wǎng)中的MN的位置注冊過程中�����,建立IPSec+UDPVPN的順序���。
在圖66中,MN通過DHCP(消息�����?)獲得IP地址[10.20.1.100]和域名[unknown.com]���,(1)和(2)�����。
向HA發(fā)送一個位置注冊請求消息(Reg.Request)���,其具有漫游合作方通信運營商網(wǎng)絡(luò)通過DHCP分配的地址[10.20.1.100]作為源地址�����,且具有HA的全球地址[100.1.1.1]作為目標(biāo)地址���,并且包含NAI擴展和AAA驗證報頭,(3)����。
從MN接收到位置注冊請求消息(Reg.Request)的HA向AAA發(fā)送一個驗證請求消息(AMR),(4)��。
AAA通過AMR消息中包含的NAI訪問VPN數(shù)據(jù)庫�����,并且提取出該用戶專有的VPN信息�。因為MN轉(zhuǎn)交地址的網(wǎng)絡(luò)既不是企業(yè)網(wǎng)、安全的通信運營商網(wǎng)絡(luò)����,也不是不安全的通信運營商網(wǎng)絡(luò)���,所以該網(wǎng)絡(luò)被判定為訂立有漫游協(xié)定的另一通信運營商的網(wǎng)絡(luò),并且將其中IPSec+UDP設(shè)為VPN類型的VPN信息設(shè)置在服務(wù)概況中�����。將位置注冊請求消息(Reg.Request)(其中服務(wù)概況設(shè)置在SPC固定部分(圖9中所示))設(shè)置在本地代理注冊請求消息(HAR)中����,并且將本地代理注冊請求消息(HAR)傳輸至HA,(5)����。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設(shè)置在VPN信息緩存中�����,將包含服務(wù)概況的位置注冊回復(fù)(Reg.Reply)設(shè)置在本地代理注冊答復(fù)消息(HAA)中���,并且將該答復(fù)消息傳輸至AAA�����,(6)����。
在接收到包含移動IP協(xié)議位置注冊回復(fù)(Reg.Reply)的本地代理注冊答復(fù)消息(HAA)之后(其中VPN信息設(shè)置在SPC固定部分(圖9中所示)中),AAA在注冊回復(fù)(Reg.Reply)中添加驗證碼�����,并且向AA發(fā)送一個驗證答復(fù)(AMA)��,(7)����。
HA返回其中IPSec+UDP設(shè)為VPN類型的位置注冊回復(fù)(Reg.Reply),并且沿從HA至MN的方向建立IPSec+UDP VPN���,(8)���。
在接收到位置注冊回復(fù)(Reg.Reply)之后,MN根據(jù)服務(wù)概況沿MN至HA的方向建立IPSec+UDP VPN����。
通過如上所述建立的VPN,在MN與CN之間進行通信���。圖67中示出了數(shù)據(jù)分組交換順序�。
生成從MN發(fā)往CN的分組,其外部IP報頭的源地址為通信運營商網(wǎng)絡(luò)在MN的并置模式下分配的地址[10.20.1.100]�����,目標(biāo)地址為HA的全球地址[100.1.1.1]��,其內(nèi)部IP報頭的源地址為MN的本地地址[10.10.255.1]�����,目標(biāo)地址為CN的專用地址[10.10.2.100]�����,并傳輸至HA�����。通過GW的NAT/NAPT功能將該源地址重寫為GW的全球地址[100.10.1.100]����,并將該分組傳輸至HA��。由于在PCN與HA之間靜態(tài)地建立IPSec VPN��,所以HA分別使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作為源地址和目標(biāo)地址來執(zhí)行IPSec+UDP封裝,并且將該分組傳輸至PCN���。PCN執(zhí)行IPSec+UDP解封���,并將該分組傳輸至CN,(9)�����。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標(biāo)地址����,將從CN發(fā)往MN的分組傳輸至HA。PCN分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標(biāo)地址執(zhí)行IPSec封裝�,并將該分組傳輸至HA。HA執(zhí)行IPSec+UDP解封和移動IP協(xié)議封裝��,并將該分組傳輸至MN�。然后通過GW的NAT/NAPT功能將目標(biāo)地址重寫為GW的專用地址[10.10.1.100],并將該分組傳輸至MN�,(10)。
-從一個外部網(wǎng)絡(luò)向另一個外部網(wǎng)絡(luò)進行通信圖68表示在經(jīng)由企業(yè)網(wǎng)中的代理與因特網(wǎng)進行連接的情況下進行的操作����。
該優(yōu)選實施例表示了在外部網(wǎng)絡(luò)中的MN與企業(yè)網(wǎng)之外的網(wǎng)絡(luò)進行通信的情況下的分組路由����。圖68中示出了在外部網(wǎng)絡(luò)之間的分組路由��。
MN利用企業(yè)網(wǎng)中的GW作為代理地址將分組傳輸至外部網(wǎng)絡(luò)��。來自外部網(wǎng)絡(luò)的分組經(jīng)由企業(yè)網(wǎng)的GW傳輸至MN���。
-從通信運營商的安全網(wǎng)絡(luò)(比如FOMA和CDMA)接入企業(yè)網(wǎng)時的路徑優(yōu)化圖69至71說明了經(jīng)由移動通信運營商網(wǎng)絡(luò)進行通信的操作�����。
圖70中示出了在企業(yè)網(wǎng)中的PCN與通信運營商網(wǎng)絡(luò)中的HA之間建立了IPSec VPN�,并且與通信運營商核心網(wǎng)絡(luò)連接的接入網(wǎng)是圖69所示的通信運營商安全接入網(wǎng)(比如CDMA)的情況下��,當(dāng)從通信運營商的安全接入網(wǎng)中的MN向企業(yè)網(wǎng)中的CN進行通信時���,��,應(yīng)用EaseNet路徑優(yōu)化機制(日本專利申請No.2000-50220中公開的)而不經(jīng)由HA在MN與PCN之間直接進行通信的IPSec VPN建立方法。
企業(yè)通過IPSec注冊通信運營商的安全接入網(wǎng)(比如CDMA)中的可接入位置作為服務(wù)概況���,(1)�。
當(dāng)MN連接至通信運營商的安全接入網(wǎng)(比如CDMA)時,EaseNet在驗證時根據(jù)預(yù)設(shè)的服務(wù)概況將VPN信息下載至HA中�����。
將通過位置注冊回復(fù)消息指定的所有位置的VPN信息發(fā)布給MN����,(2)和(3)。
HA通過綁定更新消息將VPN信息發(fā)布給各指定位置處的PCN�,(4)。
通過發(fā)布的VPN信息�,PCN和MN直接建立用于合作方節(jié)點的IPSec VPN。以此方式���,可以不經(jīng)由HA而在MN與企業(yè)網(wǎng)中的指定位置之間進行通信����。
當(dāng)MN移動時����,通過與驗證時類似的處理重新建立VPN。
-從通信運營商的不安全接入網(wǎng)(比如熱區(qū)網(wǎng))接入企業(yè)網(wǎng)時的路徑優(yōu)化圖72至74說明了從直接連接至移動通信運營商網(wǎng)絡(luò)的熱區(qū)網(wǎng)進行通信的操作����。
圖73中示出了在企業(yè)網(wǎng)中的PCN與通信運營商網(wǎng)絡(luò)中的HA之間建立了IPSec VPN�����,并且與通信運營商核心網(wǎng)絡(luò)連接的接入網(wǎng)是圖72所示的通信運營商不安全接入網(wǎng)(比如熱區(qū)網(wǎng))的情況下��,當(dāng)從通信運營商的不安全接入網(wǎng)中的MN向企業(yè)網(wǎng)中的CN進行通信時�,應(yīng)用EaseNet路徑優(yōu)化機制(日本專利申請No.2000-50220中公開的)而不經(jīng)由HA在MN與PCN之間直接進行通信的IPSec VPN建立方法�����。
企業(yè)通過IPSec注冊通信運營商不安全接入網(wǎng)(比如熱區(qū)網(wǎng))中的可接入位置作為服務(wù)概況����,(1)。
當(dāng)MN連接至通信運營商的不安全接入網(wǎng)(比如熱區(qū)網(wǎng))時�����,EaseNet根據(jù)預(yù)設(shè)的服務(wù)概況將VPN信息下載至HA����。
把通過位置注冊回復(fù)消息指定的所有位置的VPN信息發(fā)布給MN,(2)和(3)����。
HA通過綁定更新消息將VPN信息發(fā)布給各指定位置處的PCN,(4)����。
通過所發(fā)布的VPN信息,PCN和MN直接建立用于合作方節(jié)點的IPSecVPN�。以此方式,可以不經(jīng)由HA而在MN與企業(yè)網(wǎng)中的指定位置之間進行通信�����。
當(dāng)MN移動時���,通過與驗證時類似的處理重新建立VPN�����。
-從與一個通信運營商訂立有漫游協(xié)定的不同通信運營商的接入網(wǎng)接入企業(yè)網(wǎng)時的路徑優(yōu)化圖75至77說明了從漫游合作方進行通信的操作����。
圖76中示出了在企業(yè)網(wǎng)中的PCN與通信運營商網(wǎng)絡(luò)中的HA之間建立了IPSec VPN�����,并且與通信運營商核心網(wǎng)絡(luò)連接的接入網(wǎng)是圖75所示的與該通信運營商簽訂有漫游協(xié)定的另一通信運營商的接入網(wǎng)的情況下,當(dāng)從該通信運營商的安全接入網(wǎng)中的MN向企業(yè)網(wǎng)中的CN進行通信時����,應(yīng)用EaseNet路徑優(yōu)化機制(日本專利申請No.2000-50220中公開的)不經(jīng)由HA而在MN與PCN之間直接進行通信的IPSec+UDP VPN建立方法。
企業(yè)通過IPSec+UDP��,把與該通信運營商訂立有漫游協(xié)定的另一通信運營商的接入網(wǎng)注冊為可接入位置���,作為服務(wù)概況���。
當(dāng)MN連接至與該通信運營商訂立有漫游協(xié)定的另一通信運營商的接入網(wǎng)時,EaseNet根據(jù)預(yù)設(shè)的服務(wù)概況將VPN信息下載至HA����。
把通過位置注冊回復(fù)消息指定的所有位置的VPN信息發(fā)布給MN,(1)��、(2)和(3)��。
HA通過綁定更新消息將VPN信息發(fā)布給各指定位置處的PCN��,(4)����。
通過所發(fā)布的VPN信息�,PCN和MN直接建立用于合作方節(jié)點的IPSec+UDP VPN����。以此方式,可以不經(jīng)由HA而在MN與企業(yè)中的指定位置之間進行通信���。
當(dāng)MN移動時,通過與驗證時類似的處理重新建立VPN��。
根據(jù)本發(fā)明��,在建立第一移動裝置移動時也可以通信的會話的過程中建立虛擬專用網(wǎng)絡(luò)����,從而可以同時建立移動通信和虛擬專用網(wǎng)絡(luò)。相應(yīng)地�����,可以快速地創(chuàng)建通信環(huán)境�,例如,在由于第一裝置的移動而導(dǎo)致越區(qū)切換時��。因此����,可以實現(xiàn)平穩(wěn)的越區(qū)切換�。另外�,第一裝置可以在固定地保持第一地址的同時進行通信,從而不管訪問哪個網(wǎng)絡(luò)�����,第一裝置都可以使用相同的地址進行通信�。相應(yīng)地,當(dāng)試圖向第一裝置進行傳輸時可以繼續(xù)使用第一地址��,從而提高了便利性����。
另外,為此構(gòu)造了一種本地代理�����,其包括用于在移動節(jié)點與該本地代理本身之間建立虛擬專用網(wǎng)絡(luò)的裝置�����,并且向移動節(jié)點通報驗證該移動節(jié)點而獲得的并且是建立虛擬專用網(wǎng)絡(luò)所需的信息�,從而允許該移動節(jié)點進入所述虛擬專用網(wǎng)絡(luò)�,因此不需要單獨的處理來使移動節(jié)點進入虛擬專用網(wǎng)絡(luò)��。
另外��,通過移動節(jié)點傳來的轉(zhuǎn)交地址或者域?qū)σ苿庸?jié)點所處網(wǎng)絡(luò)的安全性進行檢測��,如果安全性較差���,則設(shè)定具有較高安全性的通信協(xié)議。這降低了重要信息泄露的可能性��。
還提供了一種移動節(jié)點��,其包括用于獲得該移動節(jié)點本身所處網(wǎng)絡(luò)的信息的裝置��,并且根據(jù)該移動節(jié)點本身所處網(wǎng)絡(luò)的特性改變用于啟動通信的通信協(xié)議����。這同樣可以防止重要信息泄露。
特別地�,提供了一種移動節(jié)點,其采用一個隧道進行通信���,該隧道既用作移動IP通信的隧道����,也用作專用網(wǎng)絡(luò)通信的隧道,從而可以平穩(wěn)地進行越區(qū)切換���。
權(quán)利要求
1.一種移動節(jié)點�,其使得能夠與連接至一專用網(wǎng)絡(luò)的節(jié)點進行通信�,該移動節(jié)點包括獲取單元,用于獲取所述移動節(jié)點本身當(dāng)前所屬網(wǎng)絡(luò)的信息�����;和控制單元��,用于執(zhí)行控制�,如果所獲取的網(wǎng)絡(luò)信息指示一個專用網(wǎng)絡(luò),則向管理該移動節(jié)點的位置的路由器的專用地址發(fā)出位置注冊請求消息���,如果所獲取的網(wǎng)絡(luò)信息指示一個預(yù)定的通信運營商網(wǎng)絡(luò)�,則向該路由器的全球地址發(fā)出位置注冊請求消息���,或者在其它情況下��,向該路由器的全球地址發(fā)出包含建立具有較高保密度的通信路徑的請求的位置注冊請求消息�����。
2.如權(quán)利要求1所述的移動節(jié)點�,其中所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議為IPSec+UDP隧道。
3.一種通信控制方法����,用在能夠與連接至一專用網(wǎng)絡(luò)的節(jié)點進行通信的移動節(jié)點中,包括獲取所述移動節(jié)點本身當(dāng)前所屬網(wǎng)絡(luò)的信息���;以及執(zhí)行控制���,如果所獲取的網(wǎng)絡(luò)信息指示一個專用網(wǎng)絡(luò)����,則向管理該移動節(jié)點的位置的路由器的專用地址發(fā)出位置注冊請求消息,如果所獲取的網(wǎng)絡(luò)信息指示一個與所述專用網(wǎng)絡(luò)訂立有互連協(xié)定的通信運營商的接入網(wǎng)���,則向該路由器的全球地址發(fā)出位置注冊請求消息���,或者在其它情況下,向本地代理的全球地址發(fā)出包含建立具有較高保密度的通信路徑的請求的位置注冊請求消息�����。
全文摘要
使本地代理(HA)具有包含企業(yè)網(wǎng)安全功能的網(wǎng)關(guān)功能。當(dāng)通信運營商與企業(yè)之間訂立有服務(wù)協(xié)定時�,在通信運營商的本地代理與企業(yè)網(wǎng)中的安全網(wǎng)關(guān)之間預(yù)先建立VPN。結(jié)果�����,采用移動節(jié)點(MN)的并置模式����,并且在移動IP位置注冊過程中根據(jù)容納該移動節(jié)點的網(wǎng)絡(luò)的安全級別發(fā)布VPN信息,從而構(gòu)造起有效利用移動IP隧道建立處理的VPN��。
文檔編號H04L29/06GK1770727SQ20051011575
公開日2006年5月10日 申請日期2003年8月8日 優(yōu)先權(quán)日2002年8月9日
發(fā)明者掛水光明, 山村新也, 若目田宏, 谷口浩之 申請人:富士通株式會社