專利名稱:虛擬專用網絡系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及用于在作為專用網絡的組織網絡與容納移動節(jié)點的網絡之間建立虛擬專用網絡的系統(tǒng)��、移動節(jié)點����、本地代理,以及通信控制方法�。
背景技術:
近年來��,已經實現了采用多種網絡(以IMT-2000�、熱區(qū)網(hot spot)�����、無線LAN等為代表)的移動環(huán)境����,并且通過這些網絡接入作為專用網絡(以企業(yè)網為代表)的組織網絡(organization network)的情況日益增加���。
當從一個外部網絡接入組織網絡時���,通常需要用外部網絡分配的地址,經由組織網絡的安全網關進行通信���?����?紤]到安全�����,采用這種分配地址過濾方法的組織網絡不多��。
然而����,通過上述接入方法,在組織網絡內部和外部使用不同的地址����。因此,不能認為提供了與那種和組織網絡進行直接連接的情況中類似的網絡環(huán)境�����,并且提高用戶便利度��,以及與連接狀態(tài)無關地實現無縫和安全的通信的要求正在日益增加�����。
作為實現無縫通信的手段�,存在由RFC 3220定義的移動IP(IPv4的IP移動性支持)。然而�,該移動IP被設想為用在以相同尋址體系工作的網絡中,在具有不同尋址體系的網絡之間移動是不可能的��。特別是該移動IP一般用于組織網絡中的專用地址�����,在公共網絡(比如互聯(lián)網)中進行路由是不可能的�。
目前,作為在公共網絡中利用專用地址透明地進行路由的技術��,存在由RFC 2764定義的虛擬專用網絡(基于IP的虛擬專用網絡架構)����。此處,在各主機之間建立的隧道(tunnel)被認為包含在虛擬專用網絡中�����。利用容納節(jié)點的外部網絡所分配的地址為組織網絡中的VPN網關建立隧道的方法是公知的�。
VPN設備具有向傳輸IP分組(transfer IP packet)添加IP報頭的功能(IPinIP),這個報頭是由RFC 2003定義的(IP內的IP封裝���,IPEncapsulation within IP)��,并且可以傳送以實現VPN通信���。利用TCP/IP之外的(例如)專用地址或協(xié)議在互聯(lián)網(其本來只可以傳輸具有全球地址的IP分組)上進行通信被稱作“隧穿(tunneling)”,這意味著在進行互聯(lián)網通信的同時進行另一種通信�����。另外,由RFC 2401定義的IPSec(互聯(lián)網協(xié)議安全架構)作為對待隧穿的IP分組進行加密和驗證以確保其保密性和安全的技術而存在�。
為了經由公共網絡與利用專用地址工作的組織網絡進行無縫的通信,必須把組織網絡中的專用地址應用于本地地址(home address��,移動IP的固定地址)��,利用公共網絡中的VPN來進行路由���。
圖1和2解釋了根據現有技術��,經由公共網絡(比如互聯(lián)網)與組織網絡進行無縫通信的方法��。
外部網絡中的網絡連接服務是由不同于以互聯(lián)網服務提供商�、FOMA�����、CDMA 2000和熱區(qū)網為代表的組織網絡的組織提供的���,或者是由通信運營商提供的�。此處���,熱區(qū)網(hot spot)是其區(qū)域受到限制并且由無線LAN構成的通信網絡��。熱區(qū)網的例子包括在商場�、公司大樓等之中由無線LAN等構成的網絡。相應地����,商場或公司與移動通信運營商簽訂協(xié)定�,使得熱區(qū)網配置為限制在商場或公司大樓內,盡管它處于移動通信運營商的服務控制之下����。
傳統(tǒng)上,如圖1中所示�����,無法在移動節(jié)點(mobile node���,RFC 3220定義的MN)與外部代理(Foreign Agent��,RFC 3220定義的FA)之間用專用地址進行路由��,即使事先在組織網絡的本地代理(home agent���,RFC 3220定義的HA)與外部網絡中設置的外部代理(FA)之間建立了VPN�����。也就是說�����,盡管可以在本地代理(HA)與外部代理(FA)之間建立用專用地址進行路由的隧道�����,但如果沒有使用外部網絡分配給移動節(jié)點(MN)的全球地址�,則也不能在移動節(jié)點(MN)與外部代理(FA)之間進行通信�����。這是因為外部代理(FA)與移動節(jié)點(MN)之間的通信是經由外部網絡進行的���。
因此�����,如圖2所示采用了支持并置模式(co-located mode)的移動節(jié)點(MN)�,從而在用移動IP進行位置注冊之前在VPN網關之間建立用專用地址進行路由的VPN,并且用所建立的VPN進行移動IP的位置注冊����。
以此方式,可以在本地代理(HA)與移動節(jié)點(MN)之間利用專用地址進行通信�。也就是說,如果采用了并置模式����,則必須進行兩階段的隧道建立操作��,首先通過隧穿在移動節(jié)點(MN)與容納本地代理(HA)的網絡的網關(GW)之間建立一個VPN����,然后通過所建立的VPN在本地代理(HA)與移動節(jié)點(MN)之間建立移動IP隧道。
并置模式是由RFC 3220定義的一種模式��,其中通過DHCP(DynamicHost Configuration Protocol�,動態(tài)主機配置協(xié)議)等分配給移動節(jié)點(MN)的地址被用作轉交地址(care-of-address),而移動節(jié)點(MN)本身建立起移動IP隧道�,并且執(zhí)行封裝和解封。
上述RFC 3220描述了用于將IP數據報路由至互聯(lián)網上移動節(jié)點的協(xié)議的改進(參見非專利文獻1)���。
而且��,在VPN系統(tǒng)中與移動IP位置注冊過程協(xié)同地通過IPSec隧道在任意終端之間提供VPN建立服務但不提供特殊VPN功能的現有技術已經存在�����,在移動IP網絡中建立VPN的方法也已經存在(參見專利文獻1)����。
Network Working Group,Request For Comments3220����,Obsoletes2002,CategoryStandards Track����,C.Perkins,Ed�,Nokia ResearchCenter,January 2002�����,“IP mobility Support for IPv4”[專利文獻1]日本專利申請公開No.2002-44141通過上述方法�,如果在外部網絡中設置了外部代理,則不能在外部網絡中利用專用地址進行路由����。目前����,如果采用了支持并置模式的移動節(jié)點��,則移動IP通信與移動節(jié)點的VPN建立無關��,并且必須建立用于通過專用地址進行路由的隧道以及移動IP隧道���。因此�,不能有效地利用移動IP的隧道建立處理��,并且在移動節(jié)點移動時執(zhí)行的越區(qū)切換也會失效(不能進行平穩(wěn)的越區(qū)切換�,因為在網絡之間進行切換時需要時間來建立新的路徑)���。另外�����,由于在傳送過程中要對分組進行雙倍的封裝和解封����,所以降低了處理能力����。
根據本發(fā)明����,對組織網絡中設置的本地代理賦予組織網絡的安全網關功能,或者當通信運營商與組織之間訂立服務協(xié)定時在通信運營商網絡中設置的本地代理與組織網絡的安全網關之間預先建立VPN�����,從而采用移動節(jié)點的并置模式���,并且在移動IP位置注冊過程中向移動節(jié)點發(fā)布VPN信息,從而有效地利用了移動IP隧道建立處理����。其結果是,隧道建立處理的系統(tǒng)開銷得到抑制,可以用組織網絡的專用地址在公共網絡上進行路由��,并且可以不改變該專用地址而進行無縫且安全的通信���。
發(fā)明內容
本發(fā)明的目的在于提供一種使得無需改變組織網絡等分配的專用地址�,而能夠在組織網絡內部/外部的移動環(huán)境中提供無縫且安全的虛擬專用網絡服務的系統(tǒng)。
根據本發(fā)明的虛擬專用網絡系統(tǒng)控制與一第二地址的通信�,連接至一第一網絡�����,并且經由一第二網絡與在作為專用網絡的所述第一網絡中使用的第一地址進行通信�。該虛擬專用網絡系統(tǒng)包括第一移動單元����,其固定地保持著第一地址而進行通信����;和第二移動單元,其獲取所述第一單元的第一地址與第二地址之間的對應關系��,以經由所述第二網絡進行通信����,并且在建立即使在所述第一單元移動時也可以通信的會話的過程中��,對所述第一單元進行驗證�,并通過所述第二網絡在接入第一網絡的通信設備與所述第二單元之間形成虛擬專用網絡���。
根據本發(fā)明的本地代理使得在移動節(jié)點與連接至一專用網絡的節(jié)點之間能夠根據移動IP進行通信。該本地代理包括用于在移動節(jié)點與本地代理之間建立虛擬專用網絡的單元���;用于對移動節(jié)點的接入進行驗證的單元����;和用于將有關該虛擬專用網絡的信息通報給移動節(jié)點的單元。
根據本發(fā)明的第一路由器使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信��。該第一路由器包括用于對從移動節(jié)點發(fā)出的位置注冊請求的轉交地址或域進行檢測的單元�;和通信控制單元,如果檢測到的轉交地址或域指示一個能夠保障通信秘密的網絡�,則使用所述移動節(jié)點與所述路由器之間具有較低保密度的通信協(xié)議,或者如果所述轉交地址指示一個不能完全保障通信秘密的網絡��,則使用所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議���,經由所述路由器在所述移動節(jié)點與所述節(jié)點之間進行通信����。
根據本發(fā)明的第二路由器使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信。該第二路由器包括用于對移動節(jié)點發(fā)出的位置注冊請求的轉交地址與源地址進行比較的單元�;和通信控制單元,如果所述轉交地址不指示預定的通信運營商且與所述源地址匹配�����,則使用所述移動節(jié)點與所述路由器之間具有較低保密度的通信協(xié)議�,或者如果所述轉交地址與所述源地址不匹配,則使用所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議���,經由所述路由器在所述移動節(jié)點與所述節(jié)點之間進行通信根據本發(fā)明的第一移動節(jié)點能夠與連接至一專用網絡的節(jié)點進行通信����。該第一移動節(jié)點包括獲取單元��,用于獲取所述移動節(jié)點本身當前所屬網絡的信息�����;和控制單元���,用于執(zhí)行控制�,如果所獲取的網絡信息指示一個專用網絡則向一個管理該移動節(jié)點位置的路由器的專用地址發(fā)出位置注冊請求消息,如果所獲取的網絡信息指示一個預定的通信運營商網絡��,則向該路由器的全球地址發(fā)出位置注冊請求消息���,或者在其它情況下向該路由器的全球地址發(fā)出含有建立具有較高保密度的通信路徑的請求的位置注冊請求消息�。
根據本發(fā)明的第二移動節(jié)點能夠與連接至一專用網絡的節(jié)點進行通信�����。該第二移動節(jié)點包括用于對所述移動節(jié)點當前所屬網絡的轉交地址與源地址進行比較的單元�����;和通信控制單元����,如果所述轉交地址不指示預定的通信運營商且與所述源地址匹配��,則在所述移動節(jié)點與路由器之間使用具有較低保密度的通信協(xié)議�,或者如果所述轉交地址與所述源地址不匹配,則在所述移動節(jié)點與路由器之間使用具有較高保密度的通信協(xié)議�,經由路由器進行所述移動節(jié)點與所述節(jié)點之間的通信����。
根據本發(fā)明的第三移動節(jié)點位于使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信的系統(tǒng)中����。該第三移動節(jié)點包括用于建立移動IP通信隧道的單元;和用于在移動IP通信隧道建立過程中建立專用網絡通信隧道的單元�,其中所述移動節(jié)點通過采用一個既用作移動IP通信隧道也用作專用網絡通信隧道的通信隧道進行通信。
根據本發(fā)明�,在第一地址(作為本地地址的不變專用地址)與第二地址(可以用于通信,作為轉交地址)之間建立對應關系���,在移動節(jié)點與本地代理之間交換虛擬專用網絡的信息����,并且在實現移動節(jié)點的漫游的過程中建立虛擬專用網絡�����,從而簡化了設定移動IP以及建立虛擬專用網絡的程序���。其結果是��,在越區(qū)切換時可以快速地為移動節(jié)點建立虛擬專用網絡���。這解決了現有技術中由于必需進行雙重封裝而引發(fā)的問題�。
圖1表示采用現有技術經由公共網絡與企業(yè)網進行通信的方法�����;圖2表示采用現有技術經由公共網絡與企業(yè)網進行無縫通信的方法���;圖3為本發(fā)明的功能框圖��;圖4A和4B表示DIAMETER協(xié)議的細節(jié)(No.1)�;圖5A至5C表示DIAMETER協(xié)議的細節(jié)(No.2)����;圖6表示DIAMETER協(xié)議的細節(jié)(No.3)���;圖7表示DIAMETER協(xié)議的細節(jié)(No.4)�����;圖8表示DIAMETER協(xié)議的細節(jié)(No.5)����;圖9表示DIAMETER協(xié)議的細節(jié)(No.6)����;圖10表示DIAMETER協(xié)議的細節(jié)(No.7)��;圖11表示DIAMETER協(xié)議的細節(jié)(No.8)�;圖12表示DIAMETER協(xié)議的細節(jié)(No.9);圖13表示DIAMETER協(xié)議的細節(jié)(No.10);圖14表示DIAMETER協(xié)議的細節(jié)(No.11);
圖15表示本發(fā)明一個優(yōu)選實施例中使用的VPN數據庫的結構��;圖16表示由具有圖3至15所示功能的驗證服務器和網絡設備構成的IP網絡的結構(No.1)�����;圖17表示由具有圖3至15所示功能的驗證服務器和網絡設備構成的IP網絡的結構(No.2);圖18表示由具有圖3至15所示功能的驗證服務器和網絡設備構成的IP網絡的結構(No.3)����;圖19表示由具有圖3至15所示功能的驗證服務器和網絡設備構成的IP網絡的結構(No.4)��;圖20表示由具有圖3至15所示功能的驗證服務器和網絡設備構成的IP網絡的結構(No.5)���;圖21表示由具有圖3至15所示功能的驗證服務器和網絡設備構成的IP網絡的結構(No.6)�;圖22表示由具有圖3至15所示功能的驗證服務器和網絡設備構成的IP網絡的結構(No.7)��;圖23為表示AAA功能的方框圖���;圖24表示VPN信息緩存的結構��;圖25表示路由表的結構;圖26表示AAA所執(zhí)行的處理的流程圖(No.1)����;圖27表示AAA所執(zhí)行的處理的流程圖(No.2)�����;圖28表示AAA所執(zhí)行的處理的流程圖(No.3);圖29為表示HA和PCN的功能的方框圖��;圖30表示VPN信息表����;圖31表示MA(移動代理,Mobile Agent)所執(zhí)行的處理的流程圖(No.1)�;圖32表示MA(移動代理)所執(zhí)行的處理的流程圖(No.2);圖33表示MA(移動代理)所執(zhí)行的處理的流程圖(No.3)�����;圖34表示MA(移動代理)所執(zhí)行的處理的流程圖(No.4)���;圖35表示MA(移動代理)所執(zhí)行的處理的流程圖(No.5)��;
圖36表示MA(移動代理)所執(zhí)行的處理的流程圖(No.6)��;圖37表示MA(移動代理)所執(zhí)行的處理的流程圖(No.7)��;圖38為表示MN的功能的方框圖�;圖39表示MN所執(zhí)行的處理的流程圖(No.1)���;圖40表示MN所執(zhí)行的處理的流程圖(No.2)�;圖41表示MN所執(zhí)行的處理的流程圖(No.3)���;圖42表示MN所執(zhí)行的處理的流程圖(No.4)����;圖43表示MN所執(zhí)行的處理的流程圖(No.5)�����;圖44表示根據本發(fā)明的一個優(yōu)選實施例����,在企業(yè)網中進行通信的情形(No.1);圖45表示根據本發(fā)明的這個優(yōu)選實施例在企業(yè)網中進行通信的情形(No.2)�����;圖46表示在企業(yè)網中的路徑切換方法(No.1);圖47表示在企業(yè)網中的路徑切換方法(No.2)��;圖48表示在企業(yè)網中的路徑切換方法(No.3)����;圖49表示在同一管理域中各位置之間的通信(No.1);圖50表示在同一管理域中各位置之間的通信(No.2)��;圖51表示在企業(yè)網中的路徑切換方法(No.1)���;圖52表示在企業(yè)網中的路徑切換方法(No.2)��;圖53表示在企業(yè)網中的路徑切換方法(No.3)��;圖54表示在同一管理域中各位置之間進行的通信(No.1)����;圖55表示在同一管理域中各位置之間進行的通信(No.2)��;圖56表示PCN之間的路徑優(yōu)化方法(No.1)����;圖57表示PCN之間的路徑優(yōu)化方法(No.2)��;圖58表示PCN之間的路徑優(yōu)化方法(No.3)��;圖59表示經由移動通信運營商進行的通信(No.1)����;圖60表示經由移動通信運營商進行的通信(No.2)��;圖61表示經由移動通信運營商進行的通信(No.3)��;
圖62表示從熱區(qū)網直接連接至移動通信運營商網絡進行通信的操作(No.1)���;圖63表示從熱區(qū)網直接連接至移動通信運營商網絡進行通信的操作(No.2);圖64表示從熱區(qū)網直接連接至移動通信運營商網絡進行通信的操作(No.3)�;圖65表示從漫游合作方進行通信的操作(No.1);圖66表示從漫游合作方進行通信的操作(No.2)�����;圖67表示從漫游合作方進行通信的操作(No.3)����;圖68表示在經由企業(yè)網中的代理進行互聯(lián)網連接的情況下所執(zhí)行的操作;圖69表示經由移動通信運營商網絡進行通信的操作(No.1);圖70表示經由移動通信運營商網絡進行通信的操作(No.2)��;圖71表示經由移動通信運營商網絡進行通信的操作(No.3)�;圖72表示從熱區(qū)網直接連接至移動通信運營商網絡進行通信的操作(No.1);圖73表示從熱區(qū)網直接連接至移動通信運營商網絡進行通信的操作(No.2)�;圖74表示從熱區(qū)網直接連接至移動通信運營商網絡進行通信的操作(No.3);圖75表示從漫游合作方進行通信的操作(No.1)�;圖76表示從漫游合作方進行通信的操作(No.2);以及圖77表示從漫游合作方進行通信的操作(No.3)�����。
具體實施例方式
圖3為表示本發(fā)明的功能框圖�����。
其功能概述如下�����。
組織網絡11和12
組織網絡11和12為封閉于組織(比如企業(yè)�����、大學���、政府機構等)之中的專用網絡����,并且經由防火墻連接至公共網絡(比如互聯(lián)網)。在組織中可以采用專用地址或全球地址作為地址格式��。然而����,本發(fā)明中所用的地址被稱為“專用地址”,意味著只能在組織網絡內進行通信��。同時����,可以在公共網絡中通信的地址被稱作“全球地址”�。相應地,在移動IP協(xié)議中�, “專用地址”為本地地址,其對應于固定的第一地址���,而“全球地址”為轉交地址�����,其對應于可以用來通信的第二地址����。
以下,以企業(yè)網作為組織網絡的代表性例子來描述根據本發(fā)明的優(yōu)選實施例�����。
在圖3中����,通常設置多個本地代理19,并為一個組織網絡12執(zhí)行分布式處理���。對于每個不同的組織網絡12設置一組這樣的多個本地代理19���。
驗證服務器18驗證服務器18為一個服務器組,具有IETF使用的名稱(以下稱作AAA)����,并且執(zhí)行驗證、授權和統(tǒng)計��。驗證服務器18由AAA協(xié)議控制單元和AAA VPN控制單元構成�����,其中AAA協(xié)議控制單元從VPN數據庫17中提取發(fā)出驗證請求的用戶的VPN信息,并且通過AAA協(xié)議21將VPN信息通報給HA19����,AAA VPN控制單元除上述功能之外,還從用戶單元中提取VPN信息���,并且確定VPN路徑�����。在圖3中��,驗證服務器18設置在通信運營商網絡或企業(yè)網11中�。
AAA協(xié)議21這是AAA系統(tǒng)使用的協(xié)議���。AAA協(xié)議可以由能夠傳輸驗證、授權�����、統(tǒng)計和策略信息的任何協(xié)議使用��。在本發(fā)明的優(yōu)選實施例中,所用協(xié)議不具體限定���,但是假定使用IETF目前正在研究的DIAMETER協(xié)議��。為傳輸本發(fā)明優(yōu)選實施例中所需的新信息��,使用了DIAMETER協(xié)議定義的稱作AVP(屬性值對�,Attribute Value Pair)的可擴展屬性參數�。擴展屬性是有關VPN建立的信息。
數據庫檢索協(xié)議這是一個用于檢索VPN數據庫17的協(xié)議�。所用協(xié)議取決于實施VPN數據庫17的數據庫產品。通常采用LDAP(Light Directory Access Protocol����,輕量目錄訪問協(xié)議)或SQL。本發(fā)明的優(yōu)選實施例不限制數據庫的檢索協(xié)議和操作�。
VPN數據庫17圖15示例地顯示了本發(fā)明優(yōu)選實施例中采用的VPN和數據庫17的結構。
VPN數據庫17是由各用戶設置的一組VPN數據實例��。各個實例對應于一個VPN����。每個VPN數據實例由作為唯一地表示VPN信息的標識符的概要編號(ProfileNumber)、用戶網絡標識(Nai)�����、用于指示采用的是各安全網關共享的安全關系還是用戶特定的安全關系的VPN共享標志(vpnshare)、VPN類型(vpnkind)�、通信目標終端的IP地址(destaddr)、上行QoS級別(upclass)��、下行QoS級別(downclass)�、IPSec使用的上行SPI(upSPI)、IPSec使用的下行SPI(downSPI)����、以及用于UDP封裝的IP端口號(portNumber)構成��。
如果共享標志設定為0�����,則upclass、downclass��、upSPI�、和downSPI可以省略����。該數據庫通過用戶NAI檢索����。所有檢索到的實例加上地址信息被記錄在VPN信息緩存中����,后面將加以說明。
DHCP協(xié)議23這表示由RFC 2131定義的對于節(jié)點的所有網絡建立協(xié)議以及對其的任何未來改變���。移動節(jié)點(MN 16)使用DHCPREQUEST消息��,并且向作為外部接入網10的網絡中設置的DHCP服務器15發(fā)出網絡信息請求��。DHCP服務器15通過DHCPPACK消息向移動節(jié)點(MN 16)通報網絡信息�。通過DHCPPACK消息通報的網絡信息包括移動節(jié)點(MN 16)的IP地址�、網絡掩碼、網關地址���、域名�、DNS地址等��。雖然本發(fā)明優(yōu)選實施例假定DHCP協(xié)議作為移動節(jié)點(MN 16)的地址獲取手段��,但是只要能從網絡中獲取IP地址,協(xié)議不受局限�。
移動IP協(xié)議22這表示由RFC 3220定義的所有移動IP協(xié)議以及對其的任何未來改變。
圖4至16顯示了DIAMETER協(xié)議的細節(jié)�。
圖4和5表示移動IP消息以及DIAMETER消息的結構。在這些消息中都使用了IP報頭和UDP報頭����。這些報頭以及圖4A中移動IP消息和DIAMETER消息的AVP格式如圖4B至5C中所示構造。
另外�����,圖6表示移動IP的位置注冊請求(Reg.Request)消息的結構����,圖7表示DIAMETER的驗證請求(AMRAA移動節(jié)點請求)消息的結構,以及圖8表示DIAMETER的本地代理注冊請求(HAR本地代理MIP請求)消息的結構�����。
圖9和10表示移動IP的位置注冊回復(Reg.Reply)消息的結構�,圖11A表示DIAMETER的驗證答復(AMAAA移動節(jié)點答復)消息的結構,以及圖11B表示DIAMETER的本地代理注冊答復(HAA本地代理MIP答復)消息的結構����。
圖12和13表示移動IP的綁定更新(BU)消息的結構,其意在優(yōu)化沿CN至MN的方向不經HA而直接傳輸分組的路徑。圖14表示移動IP的綁定確認(BA)消息的結構��。
本地代理(HA)19這是用于通過RFC 3220定義的移動IP協(xié)議22的程序管理移動節(jié)點(MN16)位置的功能(以下縮寫為HA)��。本地代理有時稱作移動通信控制設備或路由器�����。
本發(fā)明優(yōu)選實施例的網絡設備作為通信運營商網絡或企業(yè)網11中的安全網關��。本地代理(HA 19)是一個具有由企業(yè)網12分配的專用地址作為本地地址的代理�。發(fā)送至本地代理(HA 19)的分組(其目標地址為移動節(jié)點(MN 16)本地地址)被封裝并傳輸至移動節(jié)點(MN 16)的轉交地址���,該轉交地址對應于該本地地址����。該地址對應關系由一個稱作移動性綁定的表加以管理����。另外,HA 19通過在位置注冊回復(Reg.Reply)消息中設定服務概況(service profile)而將VPN信息通報給移動節(jié)點(MN16)��。本發(fā)明優(yōu)選實施例中的HA 19還用作VPN網關功能���,用于在UDPinIP封裝之后執(zhí)行IPSec封裝��,以支持要進行NAT(網絡地址轉換)和NAPT(網絡地址端口轉換)的IPinIP���、IPSec或IPSec+UDP分組��,并且包括MA協(xié)議控制單元(移動代理協(xié)議控制單元)�����,用于分析通過AAA協(xié)議和IP協(xié)議通報的VPN信息�,和MA VPN控制單元(移動代理VPN控制單元),用于根據所分析的VPN信息����,以網絡內核(network kernel)所指定的安全級別建立隧道���。
代理對應節(jié)點(PCN��,Proxy Correspondent Node)20這是用于通過移動IP協(xié)議22的移動性綁定更新處理為本地代理(HA19)所通報的目標地址建立VPN的網絡功能(以下縮寫為PCN)���。利用來自本地代理(HA 19)的綁定更新(BU)消息建立企業(yè)網中的回環(huán)(loopback)以及PCN之間的隧道,從而進行移動節(jié)點(MN 16)的路徑優(yōu)化���。本發(fā)明優(yōu)選實施例的PCN還用作IPinIP�、IPSec和IPSec+UDP的安全網關功能�,并且包括MA協(xié)議控制單元,用于分析通過移動IP協(xié)議通報的VPN信息��,和MAVPN控制單元���,用于根據所分析的VPN信息���,以網絡內核所指定的安全級別建立隧道。在圖3中�,PCN 20設置在企業(yè)網12中。
移動節(jié)點(MN)16移動節(jié)點(MN 16)�,在本發(fā)明優(yōu)選實施例中為網絡設備,是由RFC 3220所定義的功能(以下縮寫為MN)�����,其利用移動IP協(xié)議22的進程可以在保持會話的同時在網絡中移動。本發(fā)明優(yōu)選實施例的移動節(jié)點(MN 16)具有IPinIP���、IPSec和IPSec+UDP的隧穿功能�����,并且執(zhí)行加密/解密以及封裝/解封����。移動節(jié)點(MN 16)對傳輸至轉交地址的封裝分組進行解封�����,并且通報給與該分組的本地地址相對應的應用��。另外����,MN利用轉交地址對通過本地地址從應用通報來的用戶分組進行封裝,并且將該分組傳輸至對應節(jié)點(CN)�����。此外,MN根據來自本地代理(HA 19)的位置注冊回復(Reg.Reply)消息所通報的服務概況中設定的安全級別��,在通常的IPinIP隧道之外還建立IPSec或IPSec+UDP隧道��,并且還建立與從移動節(jié)點(MN16)至本地代理(HA 19)的隧道(通常稱作反向隧道)類似的隧道����。MN包括MA協(xié)議控制單元,用于分析通過移動IP協(xié)議通報的VPN信息��,和MA VPN控制單元�,用于根據所分析的VPN信息以網絡內核所指定的安全級別建立隧道��。通過以能夠使用移動IP協(xié)議進行通信的膝上型個人計算機為例對本發(fā)明進行說明����。
圖16至22表示由具有參照圖3至15所述功能的網絡設備和驗證服務器構成的IP網絡的結構。
圖16基于由利用專用地址進行操作的企業(yè)網�、利用全球地址進行操作的公共網絡(比如互聯(lián)網)、和用于根據與企業(yè)網的互連協(xié)議向與該網絡連接的節(jié)點分配全球地址����、并且提供對企業(yè)網的接入手段的接入網所構成的網絡。
圖16所示的系統(tǒng)構成部分有移動節(jié)點(MN)�����,具有企業(yè)網內的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址�,移動節(jié)點在企業(yè)網和作為外部網絡的接入網之間移動,同時保留所述專用(本地)地址����,并且與企業(yè)網繼續(xù)進行通信;驗證服務器(AAA)��,用于對企業(yè)網中的移動節(jié)點(MN)進行驗證�����;以及本地代理(HA)���,存在于企業(yè)網內�����,并且對移動節(jié)點(MN)的位置進行管理�。
圖17基于由利用專用地址進行操作的企業(yè)網���、利用全球地址進行操作的公共網絡(比如互聯(lián)網)����、和用于根據與企業(yè)網的互連協(xié)議向與該網絡連接的節(jié)點分配全球地址、并且提供對企業(yè)網的接入手段的接入網所構成的網絡��。
圖17所示的系統(tǒng)構成部分有移動節(jié)點(MN)����,具有企業(yè)網中的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址�,移動節(jié)點在企業(yè)網和作為外部網絡的接入網之間移動,同時保留所述專用(本地)地址���,并且與企業(yè)網繼續(xù)進行通信;驗證服務器(AAA)����,存在于企業(yè)網中,用于對移動節(jié)點(MN)進行驗證����;本地代理(HA),存在于企業(yè)網的安全網關中�����,并且對移動節(jié)點(MN)的位置進行管理;以及代理對應節(jié)點(PCN)�����,存在于企業(yè)網中���,并且使用來自本地代理(HA)的綁定更新消息對路徑進行優(yōu)化�。
圖18基于由利用專用地址進行操作的企業(yè)網��、利用全球地址進行操作的公共網絡(比如互聯(lián)網)���、和用于根據與企業(yè)網的互連協(xié)議向與該網絡連接的節(jié)點分配全球地址���、并且提供對企業(yè)網的接入手段的接入網所構成的網絡。
圖18所示的系統(tǒng)構成部分有移動節(jié)點(MN)�,具有企業(yè)網中的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址�,移動節(jié)點在企業(yè)網和作為外部網絡的接入網之間移動,同時保留所述專用(本地)地址�����,并且與企業(yè)網繼續(xù)進行通信;驗證服務器(AAA)�����,存在于企業(yè)網中�����,用于對移動節(jié)點(MN)進行驗證�;本地代理(HA),存在于企業(yè)網的安全網關中���,并且對移動節(jié)點(MN)的位置進行管理�;以及代理對應節(jié)點(PCN)�,存在于企業(yè)網中,并且使用來自本地代理(HA)的綁定更新消息對路徑進行優(yōu)化���。當服務開始時,考慮到安全性而用IPSec(由IETF標準化的分組加密和驗證技術)在HA與PCN之間建立隧道�����。
圖19基于由利用專用地址進行操作的企業(yè)網�����、利用全球地址進行操作的公共網絡(比如互聯(lián)網)、和用于根據與企業(yè)網的互連協(xié)議向與該網絡連接的節(jié)點分配全球地址��、并且提供對企業(yè)網的接入手段的通信運營商網絡所構成的網絡�����。
圖19所示的系統(tǒng)構成部分有移動節(jié)點(MN)�����,具有企業(yè)網中的專用地址作為本地地址����,該本地地址是移動IP協(xié)議的不變地址,移動節(jié)點在企業(yè)網和作為外部網絡的接入網之間移動���,同時保留所述專用(本地)地址�,并且與企業(yè)網繼續(xù)進行通信�����;驗證服務器(AAA)��,存在于通信運營商網絡中,用于對移動節(jié)點(MN)進行驗證�;本地代理(HA),存在于通信運營商網絡中���,并且利用企業(yè)網的專用地址對移動節(jié)點(MN)的位置進行管理���;網關設備,存在于企業(yè)網中����,利用VPN經由公共網絡來連接企業(yè)網和本地代理(HA);以及代理對應節(jié)點(PCN)����,存在于企業(yè)網的安全網關中,根據企業(yè)網中本地代理(HA)的指令把通信環(huán)回至企業(yè)網中的移動節(jié)點(MN)�。當服務開始時,考慮到安全性而建立IPSec隧道��。
圖20基于由利用專用地址進行操作的企業(yè)網�、利用全球地址進行操作的公共網絡(比如互聯(lián)網)、和用于根據與企業(yè)網的互連協(xié)議向與該網絡連接的節(jié)點分配全球地址�����、并且提供對企業(yè)網的接入手段的通信運營商網絡所構成的網絡����。
圖20所示的系統(tǒng)構成部分有移動節(jié)點(MN),具有企業(yè)網中的專用地址作為本地地址�,該本地地址是移動IP協(xié)議的不變地址,移動節(jié)點在企業(yè)網和作為外部網絡的接入網之間移動��,同時保留所述專用(本地)地址�����,并且與企業(yè)網繼續(xù)進行通信���;驗證服務器(AAA)�,存在于通信運營商網絡中�����,用于對移動節(jié)點(MN)進行驗證���;本地代理(HA)�,存在于通信運營商網絡中���,并且利用企業(yè)網的專用地址對移動節(jié)點(MN)的位置進行管理����;網關設備,存在于企業(yè)網中���,利用VPN經由公共網絡來連接企業(yè)網和本地代理(HA)���;以及代理對應節(jié)點(PCN),存在于通信運營商網絡的網關中����,根據企業(yè)網中本地代理(HA)的指令把通信環(huán)回至企業(yè)網中的移動節(jié)點(MN)。當服務開始時�����,考慮到安全性而在HA與PCN之間建立IPSec隧道�����。
圖21基于由利用專用地址進行操作的企業(yè)網����、利用全球地址進行操作的公共網絡(比如互聯(lián)網)�、和根據與企業(yè)網的互連協(xié)議向與該網絡連接的節(jié)點分配全球地址�����、并且提供對企業(yè)網的接入手段的通信運營商網絡所構成的網絡����。
圖21所示的系統(tǒng)構成部分有移動節(jié)點(MN)�����,具有企業(yè)網中的專用地址作為本地地址����,該本地地址是移動IP協(xié)議的不變地址,移動節(jié)點在企業(yè)網和作為外部網絡的接入網之間移動����、同時保留所述專用(本地)地址,并且與企業(yè)網繼續(xù)進行通信�;驗證服務器(AAA),存在于通信運營商網絡中����,用于對移動節(jié)點(MN)進行驗證��;本地代理(HA)�,存在于通信運營商網絡中�����,并且利用企業(yè)網的專用地址對移動節(jié)點(MN)的位置進行管理�����;網關設備��,存在于企業(yè)網中���,利用VPN經由公共網絡來連接企業(yè)網和本地代理(HA)�;以及代理對應節(jié)點(PCN)���,存在于企業(yè)網中�����,根據企業(yè)網中本地代理(HA)的指令把通信環(huán)回至企業(yè)網中的移動節(jié)點(MN)���。當服務開始時��,考慮到安全性而在HA與PCN之間建立IPSec隧道�。
圖22基于由利用專用地址進行操作的企業(yè)網����、利用全球地址進行操作的公共網絡(比如互聯(lián)網)����、和根據與企業(yè)網的互連協(xié)議向與該網絡連接的節(jié)點分配全球地址、并且提供對企業(yè)網的接入手段的通信運營商網絡所構成的網絡���。
圖22所示的系統(tǒng)構成部分有移動節(jié)點(MN)�����,具有企業(yè)網中的專用地址作為本地地址,該本地地址是移動IP協(xié)議的不變地址���,移動節(jié)點在企業(yè)網和作為外部網絡的接入網之間移動�,同時保留所述專用(本地)地址,并且與企業(yè)網繼續(xù)進行通信����;驗證服務器(AAA)�����,存在于通信運營商網絡中,用于對移動節(jié)點(MN)進行驗證���;本地代理(HA),存在于通信運營商網絡中�����,并且利用企業(yè)網的專用地址對移動節(jié)點(MN)的位置進行管理��;網關設備,存在于企業(yè)網中,利用VPN經由公共網絡來連接企業(yè)網和本地代理(HA)���;以及代理對應節(jié)點(PCN),存在于企業(yè)網中,根據企業(yè)網中本地代理(HA)的指令把通信環(huán)回至企業(yè)網中的移動節(jié)點(MN)�。當服務開始時�,考慮到安全性而在HA與PCN之間建立IPSec隧道�����。
功能實體的詳細描述AAA圖23為圖3所示AAA 18的示例性功能框圖。
AAA由AAA協(xié)議控制單元30����、AAA VPN控制單元31、數據庫服務器32���、網絡內核33和網絡設備接口34構成�����。
AAA協(xié)議控制單元30由用于控制AAA協(xié)議的AAA協(xié)議處理單元35構成�。
AAA VPN控制單元31由用于對從VPN數據庫中提取的VPN信息進行緩存的VPN信息緩存(圖24中所示)���、和密鑰發(fā)生器37構成����。密鑰發(fā)生器37產生的密鑰被用于(例如)對通過所建立VPN的數據進行加密����。
圖24示例性地顯示了VPN信息緩存的結構。
VPN信息緩存是(例如)一組VPN信息緩存實例��,利用包含特定于網絡中用戶的信息的唯一的會話ID進行檢索,并且在用戶接入該網絡時有效����。每個VPN信息緩存實例由作為唯一的標識符的會話ID、指示對應用戶建立的VPN數目的概況數目�、和含有各VPN的建立信息的VPN信息概況所構成。VPN信息概況包括作為唯一地標識一個VPN的標識符的概況編號�����;用于標識VPN所應用的分組的源和目標IP地址���;其網絡掩碼��;分組中設定的TOS值�;安全類型�����,指示是采用AH(Authentication Header Protocol����,驗證報頭協(xié)議)���、ESP(Encapsulating Security Payload���,封裝安全凈荷)�����、還是僅采用封裝來設定IPSec�����;作為IPSec隧道的入口和出口并且在IPSec隧道模式中引用的源和目標的網關地址�;目標GW類型��,指示目標網關是否能夠建立動態(tài)VPN���;SPI(Security Parameter Index�����,安全參數索引)����,其為上行和下行方向上的安全標識符����;ESP加密密鑰���;和ESP驗證密鑰。
數據庫服務器32由VPN數據庫(圖15所示)和WEB應用構成�����。
網絡內核33是一個操作系統(tǒng)��,其控制IP分組傳輸和作為與網絡的連接點的物理接口�����,并且具有一個路由表(如圖25中所示)����,用于確定IP分組傳輸的路由。網絡內核33為封裝���、編輯和傳輸分組等執(zhí)行隊列控制。然而����,這些功能取決于操作系統(tǒng)����,并不局限于本發(fā)明的優(yōu)選實施例��。
圖25示例性地顯示了路由表的結構�����。通常的路由表由目標地址�����、網關地址�、網絡掩碼、度量(metric)和輸出接口構成�。利用目標地址和度量確定目標網絡節(jié)點。本發(fā)明的優(yōu)選實施例不依賴于路由表的結構����。下面以能夠在輸出目標地址建立虛擬網絡設備接口的網絡內核為例進行具體的說明。
另外����,網絡內核33具有在接收到封裝分組之后進行解封的功能。如果解封后的分組含有ESP報頭�,則網絡內核33還具有通過參考隧道控制部分所保有的ESP信息對分組進行解密和加密的功能�。另外�,如果利用IPSec解封的數據具有UDP(User Datagram Protocol,用戶數據報協(xié)議)格式���,則網絡內核33執(zhí)行UDP解封��。這些功能取決于封裝的實施和IPSec本身�,并且不是關鍵��。因此���,這里只提供了其概述��。
網絡設備接口34是與網絡設備的接口���。網絡設備接口34根據實施方法分成物理網絡設備接口和虛擬網絡設備接口。
物理網絡設備接口為(例如)LAN�����、ISDN����、ATM等的接口卡。物理網絡設備接口的控制驅動器稱作“實際設備”�。
虛擬網絡設備接口是與虛擬網絡設備的接口。該接口是虛擬接口卡���,根據與物理網絡設備接口類似的控制�,通過軟件��、IPSec等實現隧穿的功能�����。具有隧穿等功能的虛擬網絡設備接口的驅動器被稱作“虛擬設備”���。網絡內核33參考路由表�����,向/從虛擬設備發(fā)送/接收分組��,從而執(zhí)行封裝/解封���。在本發(fā)明的說明中,由虛擬設備隧道實現IPinIP�����,由虛擬設備ipsec實現IPSec和IPSec+UDP。當然�,這些功能可以由硬件(物理網絡設備接口)實現。
圖26至28為表示AAA所執(zhí)行的處理的流程圖���。參照這些流程圖對AAA所執(zhí)行的處理加以說明��。
圖26為示例性地顯示AAA所執(zhí)行的全部處理的流程圖�����。
S100在接收到來自物理網絡接口34的分組之后����,網絡內核33通過檢索IP端口號選擇AAA協(xié)議信令分組(DIAMETER)�����,并且將所接收的分組的信息傳送至AAA協(xié)議控制單元30�����。
圖27為示例性地顯示圖23所示AAA協(xié)議控制單元30所執(zhí)行的處理的流程圖。
S110AAA協(xié)議控制單元30中的AAA協(xié)議處理單元35根據從網絡內核33接收倒的AAA(DIAMETER)協(xié)議指令代碼AVP對所接收的消息進行判定��。如果所接收消息為AMR(AA Mobile Node Request�����,AA移動節(jié)點請求)����,則處理分支到S111���。如果所接收消息為HAA(Home Agent MIP Answer��,本地代理MIP答復)����,則處理分支到S114�。
S111接收到AMR的AAA協(xié)議處理單元35啟動AAA VPN控制單元31。
S112AAA VPN控制單元31從數據庫服務器32中的VPN數據庫讀取VPN信息��,并且將所讀取的VPN信息設定在VPN信息緩存36中���。
S113AAA協(xié)議處理單元35設定移動IP協(xié)議的位置注冊請求消息(Reg.Request)�����,其中在AAA協(xié)議的本地代理注冊請求消息(HAR本地代理MIP請求)中��,在SPC固定部分(圖9所示)中設定了服務概況作為VPN信息��。
S114接收到HAA的AAA協(xié)議處理單元35啟動AAA VPN控制單元31�,于是AAA VPN控制單元31生成驗證碼,用于確保通過移動IP協(xié)議位置注冊請求消息(Reg.Request)來請求位置注冊的MN的合法性�����。
S115AAA協(xié)議處理單元35將驗證碼添加在移動IP協(xié)議位置注冊回復消息(Reg.Reply)上(其中在SPC固定部分(圖9中所示)中設定了VPN信息)���,并且在位置請求回復消息中設定驗證答復消息(AMA)�����。
S116AAA協(xié)議控制單元30將驗證答復消息(AMA)或本地代理注冊請求消息(HAR)傳輸給HA����。
圖28為示例性地顯示圖23中所示AAA VPN控制單元31所執(zhí)行的處理的流程圖���。在圖27中所示的S112操作中開始這個處理�����。
S120AAA VPN控制單元31通過數據庫訪問語言(比如SQL等)�,利用MN的NAI(Network Access Identifier,網絡訪問標識符)對數據庫服務器32進行查詢���。數據庫服務器32從VPN數據庫中讀取對應的VPN信息����。
S121如果從數據庫服務器32中的VPN數據庫讀取的SPI(安全參數索引)為默認SPI��,則AAA VPN控制單元31不加改變地將處理分支到S112�����。否則���,AAA VPN控制單元31將處理分支到S122。假定默認SPI是在初始配置時預設在AAA中的�����,或者通過AAA的本地維護控制臺加以設定�。
S122AAA VPN控制單元31啟動密鑰發(fā)生器37���。密鑰發(fā)生器37根據從VPN數據庫讀取的VPN信息中設定的密鑰長度產生隨機數。
圖29為示例性地顯示圖3中移動代理(MA)和PCN 20的功能的方框圖����,其中移動代理(MA)為HA 19。處理移動IP協(xié)議的程序或代理統(tǒng)稱為移動代理(MA)����。
這些網絡設備由MA協(xié)議控制單元40、MA VPN控制單元41���、網絡內核42���、和網絡設備接口43構成。
MA協(xié)議控制單元40由用于控制AAA協(xié)議的AAA協(xié)議處理單元44�、和用于控制移動IP的移動IP協(xié)議處理單元45構成。
MA VPN控制單元41由用于對利用AA協(xié)議和移動IP協(xié)議通報的VPN信息進行緩存的VPN信息緩存46(圖24中所示)���、和隧道控制單元47構成���。
隧道控制單元47根據VPN信息緩存46中設定的VPN類型重寫用于目標IP地址的路由表的輸出設備。如果VPN類型為IPinIP����,則輸出設備被重寫為隧道虛擬設備��。如果VPN類型為IPSec或IPSec+UDP�����,則輸出設備被重寫為ipsec虛擬設備�。另外���,在VPN信息表48(圖30中所示)中設定VPN類型��、源和目標IP地址以及其網絡掩碼���、安全類型、源和目標的網關地址����、作為上行和下行方向安全標識符的SPI(安全參數索引)、ESP加密密鑰���、ESP驗證密鑰����、以及UDP封裝時的IP端口號(portNumber)���。通過參考VPN信息表48�����,對網絡內核42輸出至虛擬設備的分組進行加密/解密以及封裝/解封����。
圖30示例性地顯示了VPN信息表��。
圖30中所示的VPN信息表由(例如)IPSec信息、ESP信息以及隧道信息構成���。IPSec信息由一組IPSec信息實例構成�,并且由一對源和目標地址加以標識����。IPSec信息實例由源地址/網絡掩碼、目標地址/網絡掩碼�����、作為分組的實際傳輸目的地的實際目標地址���、施加在分組上的隧道信息標識符����、和施加在分組上的ESP信息標識符構成�。ESP信息由一組ESP信息實例構成��,各個ESP信息實例由用于唯一地標識ESP信息的ESP標識符�、加密方法、方向���、AH驗證密鑰長度�、ESP驗證密鑰長度、ESP加密密鑰長度�、AH驗證密鑰、ESP驗證密鑰�����、和ESP加密密鑰構成����。隧道信息由一組隧道信息實例構成,每個隧道信息實例由用于唯一地標識隧道信息的隧道標識符���、封裝方法�����、方向�、以及作為隧道入口和出口的源和目標地址構成�����。
VPN信息緩存46、網絡內核42和網絡設備接口43已經在AAA的詳細說明中加以描述���。
圖31至37為MA(移動代理)所執(zhí)行的處理的流程圖�。下面參照這些流程圖說明MA所執(zhí)行的處理���。此處�����,將處理移動IP協(xié)議的程序或代理統(tǒng)稱為移動代理��。
圖31為示例性地顯示MA所執(zhí)行的全部處理的流程圖�����。
S200在網絡內核42從網絡設備接口43接收到分組�����,如前所述對分組進行解封��、加密和解密之后,其判斷該分組是信令分組還是數據分組���。
根據所接收的分組是否具有一個由MA協(xié)議控制單元40指定的端口號來判斷該分組是否是信令分組��。如果該分組是信令分組�����,則處理分支到S201���。否則�����,處理分支到S203���。
S201所接收分組的信息被傳輸至MA協(xié)議控制單元40,并根據端口號執(zhí)行AAA的AAA協(xié)議以及MN的移動IP協(xié)議的處理���。
S202MA協(xié)議控制單元40啟動設定VPN信息的MA VPN控制單元41����。
S203網絡內核42參考路由表來確定所接收分組的輸出目的地的接口���。如果輸出目的地為虛擬設備���,則網絡內核42對分組進行封裝和加密�����。網絡內核42再次用封裝分組的地址來查詢參考路由表�,并確定輸出設備��。如果輸出目的地是物理設備�,則網絡內核42將分組傳輸至該設備。
圖32為示例性地顯示圖29中所示MA協(xié)議控制單元40所執(zhí)行的處理的流程圖����。
S210圖29中所示MA協(xié)議控制單元40檢查從網絡內核42接收到的分組的IP端口號。如果該端口號是AAA協(xié)議的端口號���,則處理分支到S211�����。如果該端口號是移動IP協(xié)議的端口號�,則處理分支到S212��。
S211啟動AAA協(xié)議處理單元��。在AAA協(xié)議的處理結束之后���,提取出添加至AAA協(xié)議作為信息一部分的移動IP協(xié)議�����,處理轉至S212���。
S212啟動移動IP協(xié)議處理單元45,然后處理結束�。
圖33為示例性地顯示圖29中所示AAA協(xié)議處理單元44所執(zhí)行的處理的流程圖。
S220AAA協(xié)議處理單元44從接收自網絡內核42的AAA協(xié)議中提取出VPN信息�����,并啟動MA VPN控制單元41���。MA VPN控制單元41將AAA協(xié)議處理單元44所提取的VPN信息設置在VPN信息緩存46中��。如果設置或更新了緩存區(qū)以由移動IP協(xié)議處理單元進行訪問(這在后面進行說明)��,則在共享存儲器中設置一個用于指示緩存區(qū)被更新的標志��。
S221在AAA協(xié)議的處理結束之后���,提取出添加至AAA協(xié)議作為信息一部分的移動IP協(xié)議�。
圖34為示例性地顯示圖29中所示移動IP協(xié)議處理單元45所執(zhí)行的處理的流程圖��。
S230判斷所接收移動IP協(xié)議消息的類型�����。如果消息類型是位置注冊請求(Reg.Request)�,則處理分支到S231。如果消息類型是綁定更新(BU)或綁定確認(BA)��,則處理分支到S235�����。
在位置注冊請求(Reg.Request)的情況下S231如果接收到注冊請求的移動代理(MA)為本地代理(HA)����,則移動IP協(xié)議處理單元45在注冊請求消息的轉交地址與移動性綁定表的前一轉交地址之間進行比較��。如果它們不匹配�,則處理分支到S232����。
S232在移動IP協(xié)議處理單元45將AAA協(xié)議處理單元44通過驗證答復消息(AMA)通報來的VPN信息通報給MA VPN控制單元41之后�,MA VPN控制單元41用所通報的VPN信息來更新VPN信息緩存。
S233MA協(xié)議控制單元40啟動MA VPN控制單元41�����。
S234如果所接收消息是位置注冊請求(Reg.Request)���,則移動IP協(xié)議處理單元45發(fā)出位置注冊回復(Reg.Reply)���。如果所接收消息是綁定更新(BU),則移動IP協(xié)議處理單元40發(fā)出綁定確認(BA)���。
在綁定更新(BU)或綁定確認(BA)的情況下S235如果所接收消息是BU���,則移動IP協(xié)議處理單元45將處理分支到S236��。如果所接收消息是BA���,則移動IP協(xié)議處理單元45將處理分支到S234��。如果移動代理(MA)正在作為PCN工作,則移動IP協(xié)議處理單元45在作為代理的PCN的控制下接收所有發(fā)給CN的BU消息�����。例如���,這個機制可以通過日本專利申請No.2000-32372中公開的方法來實施�。
S236如果請求處理的MA為PCN��,則移動IP協(xié)議處理單元45將設定在BU消息中的VPN信息設置在VPN信息緩存中����,或者用該VPN信息替換VPN信息緩存。
圖35為示例性地顯示圖29中所示MA VPN控制單元41所執(zhí)行的處理的流程圖�����。
S240MA VPN控制單元31啟動隧道控制單元47以建立VPN。
圖36和37為示例性地顯示圖29中所示隧道控制單元47所執(zhí)行的處理的流程圖��。
S250為了進行周期性的位置注冊�,隧道控制單元47根據VPN信息實例中的信息,刪除已經設定在網絡內核42中的路由表信息��,并刪除VPN信息表48中的對應信息�,以切換至新的VPN。
S251隧道控制單元47根據VPN信息實例的VPN信息概況中設置的VPN類型�,設定網絡內核42的路由表。如果VPN類型是IPinIP��,則將分組輸出至作為路由表的輸出設備接口的物理設備�����。如果VPN類型是IPSec+UDP�����,則將分組輸出至作為路由表的輸出設備接口的IPSec虛擬設備����。
S252隧道控制單元47將隧道信息設定在VPN信息表48中����。
S253如果該通信是根據位置注冊請求消息(Reg.Request)的轉交地址���,與通信運營商或者訂立了互連協(xié)定的通信運營商的安全接入網(使用全球地址進行操作��,在這里認為由CDMA通信系統(tǒng)構成的通信運營商接入網的安全性是很高的)進行的通信��,則隧道控制單元47將處理分支到S255���。如果該通信是與通信運營商或者訂立了互連協(xié)定的通信運營商的不安全接入網(使用全球地址進行操作,例如���,有線LAN等的熱區(qū)網,其僅僅限制在商場等的范圍內)進行的通信���,則隧道控制單元47將處理分支到S256����。在其它情況下�����,隧道控制單元47將處理分支到S254。
S254隧道控制單元47將位置注冊請求消息(Reg.Request)的源地址與其轉交地址進行比較��。如果它們匹配���,則隧道控制單元47將該接入識別為來自企業(yè)網的接入��。如果它們不匹配���,則隧道控制單元47將該接入識別為來自訂立有互連協(xié)定的通信運營商的使用專用地址進行操作的接入網的接入,并且將處理分支到S257��?��?梢杂脤NS(域名系統(tǒng))的查詢或者使用域比較的處理來替代上述使用地址的判斷處理����。
S255隧道控制單元47將IPinIP設定為VPN類型�����。
S256隧道控制單元47將IPSec設定為VPN類型���。
S255隧道控制單元47將IPSec+UDP設定為VPN類型���。
S260如果VPN類型為IPinIP��,則隧道控制單元47結束該處理�。如果VPN類型為IPSec��,則隧道控制單元47將處理分支到S262�����。如果VPN類型為IPSec+UDP�����,則隧道控制單元47將處理分支到S261����。
S261網絡內核42利用VPN信息實例的端口號來執(zhí)行UDP封裝���。
S262網絡內核42參考VPN信息實例的VPN信息概況中的SPI����。如果SPI是用戶專有的SPI,則網絡內核42將處理分支到S263�����。如果SPI為默認SPI�����,則網絡內核42將處理分支到S264��。假定默認SPI已在初始配置時預先設定在移動代理(MA)中��,或者由移動代理(MA)的本地維護控制臺進行設定���。
S263網絡內核42設定IPSec信息實例中的ESP標識符�����。
S264網絡內核42設定IPSec信息實例中的隧道標識符����。
圖38為示例性地顯示圖3中所示MN 16的功能的方框圖���。
稱為MN的網絡設備由MN協(xié)議控制單元50�����、MNVPN控制單元51���、網絡內核52����、和網絡設備接口53構成�����。
MN協(xié)議控制單元50由用于控制移動IP的移動IP協(xié)議處理單元54構成��。MN VPN控制單元51由隧道控制單元55構成�。隧道控制單元55根據VPN信息表58中設定的VPN類型重寫用于目標IP地址的路由表58的輸出設備。如果VPN類型為IPinIP�,則輸出設備被重寫為隧道虛擬設備。如果VPN類型為IPSec或IPSec+UDP����,則輸出設備被重寫為IPSec虛擬設備。在從VPN信息緩存57(圖24中所示)讀取的VPN信息表56中設定VPN信息�����。
通過參照VPN信息表56對網絡內核52輸出至虛擬設備的分組進行加密/解密以及封裝/解封�����。由于VPN信息表56�、網絡內核52、和網絡設備接口53已經在AAA的詳細說明中加以描述�����,所以在此省略其細節(jié)的描述����。
圖39至43為MN所執(zhí)行的處理的流程圖。下面參照這些流程圖說明MN所執(zhí)行的處理��。
圖39為示例性地顯示MN所執(zhí)行的全部處理的流程圖��。
S300在網絡內核52從物理網絡接口53接收到分組�����,如前所述對分組進行解封和解密之后����,其判斷該分組是信令分組還是數據分組���。根據所接收的分組是否具有MN協(xié)議控制單元50指定的IP端口號來判斷該分組是否是信令分組。如果該分組是信令分組���,則處理分支到S301����。否則����,處理分支到S303。
S301MN協(xié)議控制單元50從網絡內核52接收信令分組�����,并執(zhí)行移動IP協(xié)議的處理����。
S302MNVPN控制單元51啟動,并設定VPN信息�。
S303網絡內核52參考路由表來判定所接收分組的輸出目的地的接口。如果輸出目的地為虛擬設備��,則對分組進行封裝和加密。網絡內核42再次參考路由表���,通過封裝分組的目的地來確定輸出設備。如果輸出目的地是物理設備�,則將分組傳輸至該設備。
圖40為示例性地顯示圖38中所示MN協(xié)議控制單元50所執(zhí)行的處理的流程圖����。
S310檢查所接收分組的IP端口號。如果該端口號是移動IP協(xié)議的端口號���,則移動IP協(xié)議處理單元啟動�����,并且結束該處理�����。
圖41為示例性地顯示圖38中所示移動IP協(xié)議處理單元54所執(zhí)行的處理的流程圖��。
S320移動IP協(xié)議處理單元54檢查所接收消息的類型�。如果其類型是DHCP����,則移動IP協(xié)議處理單元54將處理分支到S321���。如果其類型為位置注冊回復消息(Reg.Reply),則移動IP協(xié)議處理單元54將處理分支到S327��。
S321移動IP協(xié)議處理單元54檢查通過DHCP消息通報的地址�����。如果該地址與MN的轉交地址匹配���,則移動IP協(xié)議處理單元54將處理分支到S323�����。如果該地址與轉交地址不匹配����,則協(xié)議處理單元54將處理分支到S322����。
S322移動IP協(xié)議處理單元54從DHCPACK消息中獲得作為轉交地址的IP地址,以及網絡的域名��。
S323移動IP協(xié)議處理單元54檢查通過DHCP消息獲得的地址。如果該地址與企業(yè)網的地址匹配����,則移動IP協(xié)議處理單元54將處理分支到S325。如果該地址與訂立有互連協(xié)定的通信運營商的使用全球地址工作的接入網的地址相匹配��,則移動IP協(xié)議處理單元54將處理分支到S324�。這個使用地址的判斷處理可以由使用DNS(域名系統(tǒng))查詢的處理或者使用域比較的處理來替代���。
S324移動IP協(xié)議處理單元54向HA的全球地址發(fā)出含有UDP隧道請求的位置注冊請求消息(Reg.Request)�����,并且結束該處理�。
S325移動IP協(xié)議處理單元54向HA的專用地址發(fā)出位置注冊請求消息(Reg.Request)��,并且結束該處理�。
S326移動IP協(xié)議處理單元54向HA的全球地址發(fā)出位置注冊請求消息(Reg.Request),并且結束該處理��。
S327移動IP協(xié)議處理單元54將位置注冊回復消息(Reg.Reply)中設定的VPN信息設置在VPN信息緩存57中�����。
S328移動IP協(xié)議處理單元54啟動MN VPN控制單元51,并且結束該處理����。
圖42為示例性地顯示圖38中所示MN VPN控制單元51所執(zhí)行的處理的流程圖。
S330MN VPN控制單元51啟動隧道控制單元55以建立VPN��,并且結束該處理��。
圖43為示例性地顯示圖38中所示隧道控制單元55所執(zhí)行的處理的流程圖�。
S340為了進行周期性的位置注冊,隧道控制單元55根據VPN信息實例中的信息�����,刪除已經設定在網絡內核中的路由表信息�����,并且刪除VPN信息表56中的對應信息���,以切換至新的VPN�。
S341隧道控制單元55根據VPN信息實例的VPN信息概況中設置的VPN類型設定輸出設備���。如果VPN類型是IPinIP��,則將分組輸出至物理設備�����。如果VPN類型是IPSec+UDP��,則將分組輸出至IPSec虛擬設備�����。
S342隧道控制單元55參考VPN信息實例的VPN信息概況來設定IPSec信息表的隧道信息實例�����。
S343隧道控制單元55參考VPN信息實例的VPN類型�����。如果VPN類型是IPinIP���,則隧道控制單元55結束隧穿處理。如果VPN類型是IPSec��,則隧道控制單元55將處理分支到S345����。如果VPN類型是IPSec+UDP�����,則隧道控制單元55將處理分支到S344����。
S344網絡內核52利用VPN信息實例的IP端口號來執(zhí)行UDP封裝����。
S345網絡內核52參考VPN信息實例的VPN信息概況中的SPI。如果SPI是用戶專有的SPI��,則網絡內核52將處理分支到S346�����。如果SPI為默認SPI�,則網絡內核52將處理分支到S347。假定默認SPI已在初始配置時預先設定在MN中�����,或者由MN的本地維護控制臺進行設定�。
S346網絡內核53設定IPSec信息實例中的ESP標識符����。
S347網絡內核52設定IPSec信息實例中的隧道標識符���。
下面����,舉幾個例子來說明MN接入網時如何建立VPN��。后面的優(yōu)選實施例中假定HA設置在通信運營商網絡中����。同樣,HA設置在企業(yè)網中的情況是類似的����。就從企業(yè)網中的同一位置進行接入時采用的VPN建立方法,詳細說明終止隧道的網絡設備中的封裝和解封�。因為VPN建立方法的操作與其它優(yōu)選實施例中的類似�����,所以在其它優(yōu)選實施例中省略其說明�����。
—從企業(yè)網中的同一位置進行接入時采用的VPN建立方法圖44和45說明了根據本發(fā)明優(yōu)選實施例在企業(yè)網中進行通信的情況。
圖44表示在從處于企業(yè)網中位置A的MN與處于該企業(yè)網中同一位置的CN進行通信的情況下的VPN建立和分組路由��。圖45中示出了處于企業(yè)網中某一位置的MN的位置注冊程序中建立IPinIP VPN的順序�。對圖45中所示的MN���,分配10.10.255.1作為本地地址��,并且對于通信運營商網絡中的HA的移動IP���,將作為專用網絡的虛擬本地段(virtual home segment)設置為企業(yè)網。將專用地址10.10.255.100設為虛擬本地段的網關地址��。
在PCN與HA之間�����,靜態(tài)地建立起IPSec,并且在HA和PCN的路由表中設定可用的路由����,(1)。
MN通過向DHCP服務器發(fā)送DHCPREQUEST并接收DHCPACK來獲取可在網絡中路由的IP地址[10.10.1.100]����,以及域名[asya.com]���,(2)和(3)��。
向HA發(fā)出位置注冊請求信息(Reg.Request),其源地址是由DHCP分配的企業(yè)網專用地址[10.10.1.100],作為轉交地址��,其目標地址是HA的專用地址[10.10.255.100]��,并且含有NAI擴展和AAA驗證報頭(擴展��?)�,(4)����。
由于在PCN與HA之間靜態(tài)地建立IPSec VPN�,所以要參考路由表����,并且將分組傳輸至PCN中的IPSec0虛擬接口��。這是因為目標地址為HA的專用地址[10.10.255.100]。當IPSec0虛擬接口接收到分組時����,通過IPSec設置所指定的加密算法對分組進行加密�。然后�,分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標地址��,執(zhí)行IPSec封裝��,以添加IP報頭和IPSec報頭���,并且參考路由表�����,從而將分組從實際接口eth1傳輸至HA��。
接收到來自MN的位置注冊請求消息(Reg.Request)的HA參考路由表����,并且通過實際接口eth0接收分組�。這是因為分組的目標地址是HA的全球地址[100.1.1.1]�。接著HA參考IPSec報頭�����,并且對加密的原始分組進行解密���。解密后的分組的目標地址是專用地址[10.10.255.10]�,其為HA的接口地址��。因此,HA終結該分組���,并且將位置注冊請求消息(Reg.Request)傳輸至作為應用的MA協(xié)議控制單元�����。HA對位置注冊請求消息(Reg.Request)進行分析�,并且根據分析結果將驗證請求消息(AMR)發(fā)送至AAA。
AAA利用AMR消息中包含的NAI訪問VPN數據庫�����,并且提取出該用戶特定的VPN信息��。由于MN轉交地址的網絡是企業(yè)網�,所以將其中IPinIP設為VPN類型的VPN信息設置在服務概況中。把位置注冊請求消息(Reg.Request)(其中在SPC固定部分(圖9中所示)中設置了服務概況)設定在本地代理注冊請求消息(HAR)中�,然后把本地代理注冊請求消息(HAR)傳輸至HA,(7)�。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設定在VPN信息緩存中,并且將含有服務概況的位置注冊回復(Reg.Reply)設定在本地代理注冊確認消息(HAA)中�����,并將該消息傳輸至AAA�����,(8)����。
在接收到含有移動IP協(xié)議的位置注冊回復(Reg.Reply)的本地代理注冊答復消息(HAA)之后(其中在SPC固定部分(圖9中所示)中設置了VPN信息)�����,AAA在位置注冊回復(Reg.Reply)上添加驗證碼��,并且向HA發(fā)出驗證答復(AMA)��,(9)���。
HA將MN的本地地址[10.10.255.1]和轉交地址[10.10.1.100]設置在移動性綁定表中。然后HA返回位置注冊回復(Reg.Reply)(其中設定了包含為IPinIP隧道而設的VPN信息的服務概況)��,建立隧道����,以將目標地址為MN本地地址[10.10.255.1]的該分組傳輸至路由表中MN的轉交地址[10.10.255.100]�,并且沿HA至MN的方向建立IPinIP VPN,(10)和(11)��。
在接收到位置注冊回復(Reg.Reply)之后�,MN根據服務概況沿MN至HA的方向建立IPinIP VPN。
圖46至48說明了企業(yè)網中的路徑切換方法�。
當在企業(yè)網中在MN與CN之間進行通信時,如圖46所示,沿CN至MN方向的分組不傳送到HA����,并且通過PCN在企業(yè)網中環(huán)回,從而可以進行在企業(yè)網中封閉的通信���。圖47中示出了HA指示PCN環(huán)回分組�,以及優(yōu)化路徑的順序���。
在圖47中���,首先從HA向PCN發(fā)出綁定更新消息(BU),(12)���。
PCN將所通報的本地地址[10.10.255.1]和轉交地址[10.10.1.100]設置在移動性綁定表中���。在路由表中建立隧道,從而將目標地址為MN本地地址的分組傳輸至MN的轉交地址�����。PCN返回綁定確認消息(BA)�����,(13)。
在路徑優(yōu)化之后���,將沿CN至MN方向的數據分組從CN路由至PCN�,通過PCN環(huán)回��,并傳輸至MN�。圖48中示出了路徑優(yōu)化之后數據分組的路由。
分別使用MN的本地地址[10.10.255.1]和CN的專用地址[10.10.2.100]作為源地址和目標地址�,將沿MN至CN方向的分組經由PCN傳輸至CN�����。
分別使用CN的專用地址[10.10.1.2]和MN的本地地址[10.10.255.1]作為源地址和目標地址��,將沿CN至MN方向的分組傳輸至PCN��。PCN參考移動性綁定表�,分別使用CN的專用地址[10.10.2.1(1.2����?)]和MN的轉交地址[10.10.1.100]作為源地址和目標地址���,利用移動IP協(xié)議對分組進行封裝����,并將該分組傳輸至MN�����,(15)。
—從企業(yè)網中的不同位置進行接入時使用已有設備在各位置之間進行通信的VPN建立方法圖49至50說明了同一管理域中各位置之間的通信。
圖49中示出了在使用企業(yè)網中位置A處的GW和該企業(yè)網中另一位置B處的GW之間建立的已有VPN進行企業(yè)網之間的通信,并且只在該企業(yè)網A中的位置A處的PCN和通信運營商網絡中的HA之間建立新的VPN的網絡配置中,在企業(yè)網中位置A處的MN與企業(yè)網中不同位置B處的CN之間進行通信的情況下的VPN建立和分組路由����。圖50中示出了在企業(yè)網中位置A處的MN的位置注冊程序中建立IPinIP VPN的順序���。
在圖50中�����,MN利用DHCP獲得IP地址[10.10.1.100]和域名[asya.com]����,(1)和(2)�����。
向HA發(fā)送位置注冊請求消息(Reg.Request)�����,其具有DHCP分配的企業(yè)網專用地址[10.10.1.100]作為源地址�,且具有HA的全球地址[100.1.1.1]作為目標地址,并且含有NAI擴展和AAA驗證報頭��,(3)�。
由于在企業(yè)網中的GW與HA之間靜態(tài)地建立IPSec VPN,所以企業(yè)網中的GW分別使用企業(yè)網中GW的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標地址���,執(zhí)行IPSec封裝�,并且將分組傳輸至HA�,(4)。
從MN接收到位置注冊請求消息(Reg.Request)的HA執(zhí)行IPSec解封���,并向AAA發(fā)送驗證請求消息(AMR)����,(5)��。
AAA通過AMR消息中包含的NAI來訪問VPN數據庫,并且提取出該用戶專有的VPN信息�。因為MN轉交地址的網絡是企業(yè)網,所以將其中IPinIP設為VPN類型的VPN信息設置在服務概況中����。在本地代理注冊請求消息(HAR)中設置位置注冊請求消息(Reg.Request),其中在SPC固定部分(圖9中所示)中設置了服務概況���,然后將本地代理注冊請求消息(HAR)傳輸至HA�,(6)��。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設置在VPN信息緩存中��,將含有服務概況的位置注冊回復(Reg.Reply)設置在本地代理注冊答復消息(HAA)中�����,并且將該答復消息傳輸至AAA�,(7)。
在接收到含有移動IP協(xié)議位置注冊回復(Reg.Reply)的本地代理注冊答復消息(HAA)之后(其中在SPC固定部分(圖9中所示)中設置了VPN信息)�,AAA在注冊回復(Reg.Reply)中添加驗證碼,并且向HA發(fā)出驗證答復(AMA)�,(8)。
HA返回位置注冊回復(Reg.Reply)(其中IpinIP設定為VPN類型)���,并且沿HA至MN的方向建立IPinIP VPN�,(9)和(10)。
在接收到位置注冊回復(Reg.Reply)之后��,MN根據服務概況沿MN至HA的方向建立IPinIP VPN�����。
圖51至53說明了企業(yè)網中的路徑切換方法��。
在企業(yè)網中的MN與同樣處于企業(yè)網中的CN之間進行通信時��,如圖51所示��,從CN向MN發(fā)送的分組不傳輸至HA�����,而是通過企業(yè)網中各GW之間建立的VPN���,并被企業(yè)網中的PCN環(huán)回,從而可以進行封閉在企業(yè)網中的通信�����。圖52中示出了由HA指示PCN環(huán)回分組以及優(yōu)化路徑的順序。
在圖52中��,首先從HA向PCN發(fā)送綁定更新消息(BU)���,(11)����。該消息通過通信運營商網絡與企業(yè)網中GW之間的IPSec隧穿而傳輸�。
PCN將所通報的本地地址和轉交地址設定在移動性綁定表中。然后PCN在路由表中設定隧道�����,從而將目標地址為MN本地地址的分組傳輸至MN的轉交地址����。接著,PCN向HA返回一個綁定確認消息(BA)����,(12)。
在路徑優(yōu)化之后���,從CN向MN發(fā)出的數據分組被從CN路由至PCN��,由PCN環(huán)回�,并傳輸至MN。圖53中示出了路徑優(yōu)化之后數據分組的路由�����。
在圖53中�,分別使用MN的本地地址[10.10.255.1]和CN的專用地址[10.10.2.100]作為源地址和目標地址,經由企業(yè)網中的已有VPN�,將從MN發(fā)往CN的分組傳輸至CN��。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標地址���,將從CN發(fā)往MN的分組傳輸至PCN�。PCN參考移動性綁定表����,分別使用CN的專用地址[10.10.2.100]和MN的轉交地址[10.10.1.100]作為源地址和目標地址,利用移動IP協(xié)議對分組執(zhí)行封裝�����,并將該分組傳輸至MN,(14)�。
—從企業(yè)網中的不同位置進行接入的情況下在各位置之間進行通信時各位置的VPN建立方法圖54和55說明了在同一管理域中各位置之間的通信。
圖54中示出了在使用企業(yè)網中位置A處的GW和該企業(yè)網中另一位置B處的GW之間建立的已有VPN進行企業(yè)網之間的通信�,PCN 1和2分別位于該企業(yè)網中的位置A和B處,并且在PCN 1�����、2與HA之間建立起VPN的網絡中�,企業(yè)網中位置A處的MN與企業(yè)網中位置B處的CN之間進行通信的情況下的VPN建立和分組路由。圖55中示出了在企業(yè)網中位置A處的MN的位置注冊過程中建立IPinIP VPN的順序�����。
在圖55中�,首先通過DHCP獲得IP地址[10.10.1.100]和域名[asya.com],(1)和(2)��。
向HA發(fā)送一個位置注冊請求消息(Reg.Request)����,其具有DHCP分配的企業(yè)網專用地址[10.10.1.100]作為源地址,且具有HA的全球地址[100.1.1.1]作為目標地址�,并且含有NAI擴展和AAA驗證報頭,(3)����。
由于在PCN 1與HA之間靜態(tài)地建立IPSec VPN�����,所以PCN 2分別使用PCN2的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標地址來執(zhí)行IPSec封裝���,并且將該分組傳輸至HA,(4)�����。
從MN接收到位置注冊請求消息(Reg.Request)的HA執(zhí)行IPSec解封�,并且向AAA發(fā)送一個驗證請求消息(AMR),(5)�����。
AAA通過AMR消息中包含的NAI來訪問VPN數據庫��,并且提取出該用戶專有的VPN信息��。因為MN轉交地址的網絡是企業(yè)網�,所以AAA將其中IPinIP設為VPN類型的VPN信息設置在服務概況中��。然后AAA在本地代理注冊請求消息(HAR)中設定位置注冊請求消息(Reg.Request)(其中在SPC固定部分(圖9中所示)中設置了服務概況),然后將該消息傳輸至HA��,(6)���。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設置在VPN信息緩存中��,將包含服務概況的位置注冊回復(Reg.Reply)設置在本地代理注冊答復消息(HAA)中�����,并且將該答復消息傳輸至AAA��,(7)�����。
在接收到包含移動IP協(xié)議位置注冊回復(Reg.Reply)的本地代理注冊答復消息(HAA)之后(其中在SPC固定部分(圖9中所示)中設置了VPN信息)�,AAA在注冊回復(Reg.Reply)中添加驗證碼��,并且向AA發(fā)送一個驗證答復(AMA)�����,(8)�。
HA返回其中IPinIP設為VPN類型的位置注冊回復(Reg.Reply)����,并且沿從HA至MN的方向建立IPinIP VPN�,(9)和(10)。
在接收到位置注冊回復(Reg.Reply)之后�,MN根據服務概況沿MN至HA的方向建立IPinIP VPN。
圖56至58說明了PCN 1和2之間的路徑優(yōu)化方法���。
在企業(yè)網中位置A處的MN與企業(yè)網中位置B處的CN之間進行通信時���,如圖56所示,沿CN至MN方向的分組不傳輸至HA�����,而是通過企業(yè)網中各GW之間建立的VPN�,由企業(yè)網中位置A(?)處的PCN 1環(huán)回�����,從而可以進行封閉在企業(yè)網中的通信���。圖57中示出了HA指示PCN環(huán)回分組以及優(yōu)化路徑的順序���。
在圖57中,首先從HA向處于CN一側的PCN 1發(fā)送綁定更新消息(BU)�����,(11)����。
PCN 1將所通報的本地地址和轉交地址設定在移動性綁定表中,并且在路由表中設定隧道����,從而將目標地址為MN本地地址的分組傳輸至PCN 2。接著�,PCN 2發(fā)出綁定確認消息(BA),(12)�。
在路徑優(yōu)化之后,通過企業(yè)網中各GW之間建立的VPN��,沿CN至MN方向的數據分組經由PCN 1從CN路由至PCN 2�,并傳輸至MN。圖58中示出了路徑優(yōu)化之后數據分組的路由����。
分別使用MN的本地地址[10.10.255.1]和CN的專用地址[10.10.2.100]作為源地址和目標地址�,將沿MN至CN方向的分組經由PCN 1傳輸至CN��。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標地址����,將沿CN至MN方向的分組傳輸至PCN2。PCN 2(1��?)參考移動性綁定表�,分別使用CN的專用地址[10.10.2.100]和MN的轉交地址[10.10.1.100]作為源地址和目標地址,利用移動IP協(xié)議對分組執(zhí)行封裝�����,并將該分組傳輸至MN�����,(14)�����。
—從通信運營商的安全接入網(比如CDMA通信網絡)進行接入時采用的VPN建立方法圖59至61說明了經由移動通信運營商進行的通信����。
圖59中示出了在MN處于由通信運營商保證安全性的通信運營商網絡中,且在企業(yè)網中的PCN與通信運營商網絡中的HA之間建立了IPSec VPN的網絡中�����,在企業(yè)網中的CN與外部網絡(其為安全得到保障的通信運營商網絡)中的MN之間進行通信的情況下的VPN建立和分組路由�。圖60中示出了在外部網絡(其為安全得到保障的通信運營商網絡)中的MN的位置注冊過程中建立IPinIP VPN的順序。
在圖60中��,MN利用DHCP獲得IP地址[200.2.1.100]和域名[docomo.com]�,(1)和(2)。
向HA發(fā)送位置注冊請求消息(Reg.Request)��,其具有DHCP分配的通信運營商網絡地址[200.2.1.100]作為源地址�����,且具有HA的全球地址[200.1.1.101]作為目標地址���,并且包含NAI擴展和AAA驗證報頭�,(3)�。
從MN接收到位置注冊請求消息(Reg.Request)的HA向AAA發(fā)送一個驗證請求消息(AMR),(4)����。
AAA通過AMR消息中包含的NAI訪問VPN數據庫���,并且提取出該用戶專有的VPN信息。因為MN轉交地址的網絡是安全的通信運營商網絡�,所以將其中IPinIP設為VPN類型的VPN信息設置在服務概況中。把位置注冊請求消息(Reg.Request)(其中服務概況設在SPC固定部分(圖9中所示))設置在本地代理注冊請求消息(HAR)中�,然后將本地代理注冊請求消息(HAR)傳輸至HA,(5)��。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設置在VPN信息緩存中�����,將包含服務概況的位置注冊回復(Reg.Reply)設置在本地代理注冊答復消息(HAA)中�����,并且將該答復消息傳輸至AAA����,(6)。
在接收到包含移動IP協(xié)議位置注冊回復(Reg.Reply)的本地代理注冊答復消息(HAA)之后(其中VPN信息設置在SPC固定部分(圖9中所示)中)���,AAA在注冊回復(Reg.Reply)中添加驗證碼����,并且向AA發(fā)送一個驗證答復(AMA),(7)�。
HA返回其中IPinIP設為VPN類型的位置注冊回復(Reg.Reply)�����,并且沿從HA至MN的方向建立IPinIP VPN�,(8)。
在接收到位置注冊回復(Reg.Reply)之后����,MN根據服務概況沿MN至HA的方向建立IPinIP VPN。
通過如上所述建立的VPN���,經由HA在MN與CN之間進行通信��。圖61中示出了數據分組交換順序�����。圖61示出了從通信運營商網絡開始的連接順序��。
在圖61中��,生成從MN向CN發(fā)送的分組(其外部IP報頭的源地址設為通信運營商網絡在MN并置模式下分配的地址[200.2.1.100]���,目標地址設為HA的地址[100.1.1.1]�,其內部IP報頭的源地址設為MN的本地地址[10.10.255.1]��,目標地址設為CN的專用地址[10.10.2.100])���,并傳輸至HA����。由于在PCN與HA之間靜態(tài)地建立IPSec VPN�,所以HA分別使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作為源地址和目標地址來執(zhí)行IPSec封裝,并且將該分組傳輸至PCN��。PCN執(zhí)行IPSec解封���,并將該分組傳輸至CN�,(9)���。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標地址�,將從CN發(fā)往MN的分組傳輸至PCN���。PCN分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標地址執(zhí)行IPSec封裝���,并將該分組傳輸至HA�����。HA執(zhí)行IPSec解封和移動IP協(xié)議封裝,并將該分組傳輸至MN��,(10)��。
—從通信運營商的不安全接入網(比如熱區(qū)網)進行接入時采用的VPN建立方法圖62至64說明了從直接連接到移動通信運營商網絡的熱區(qū)網進行通信的操作�。
圖62中示出了在MN處于安全性未得到通信運營商保證的熱區(qū)網中,并且在企業(yè)網中的PCN與通信運營商網絡中的HA之間建立IPSec VPN的網絡中���,在企業(yè)網中的CN與外部網絡(其為安全得不到保障的熱區(qū)網網絡)中的MN之間進行通信的情況下的VPN建立和分組路由�����。圖63中示出了在安全性不能保障的熱區(qū)網中的MN的位置注冊程序中建立IPSec VPN的順序�����。
在圖63中�,MN利用DHCP(消息?)獲得IP地址[200.20.1.100]和域名[docomo.com]���,(1)和(2)�����。
向HA發(fā)送一個位置注冊請求消息(Reg.Request)�����,其具有DHCP分配的通信運營商網絡地址[200.20.1.100]作為源地址���,且具有HA的全球地址[100.1.1.1]作為目標地址,并且包含NAI擴展和AAA驗證報頭�,(3)。
從MN接收到位置注冊請求消息(Reg.Request)的HA向AAA發(fā)送一個驗證請求消息(AMR)�����,(4)�����。
AAA通過AMR消息中包含的NAI訪問VPN數據庫���,并且提取出該用戶專有的VPN信息��。因為MN轉交地址的網絡是不安全的通信運營商網絡�����,所以AAA將其中IPSec設為VPN類型的VPN信息設置在服務概況中�����。AAA然后將位置注冊請求消息(Reg.Request)(其中服務概況設置在SPC固定部分(圖9中所示)中)設置在本地代理注冊請求消息(HAR)中�����,并且將該本地代理注冊請求消息傳輸至HA����,(5)���。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設置在VPN信息緩存中��,將包含服務概況的位置注冊回復(Reg.Reply)設置在本地代理注冊答復消息(HAA)中���,并且將該答復消息傳輸至AAA�,(6)��。
在接收到包含移動IP協(xié)議位置注冊回復(Reg.Reply)的本地代理注冊答復消息(HAA)之后(其中VPN信息設置在SPC固定部分(圖9中所示)中)�����,AAA在注冊回復(Reg.Reply)中添加驗證碼��,并且向HA發(fā)送一個驗證答復(AMA)��,(7)���。
HA返回其中IPSec設為VPN類型的位置注冊回復(Reg.Reply)�����,并且建立從HA至MN的IPSec VPN�,(8)�。
在接收到位置注冊回復(Reg.Reply)之后,MN根據服務概況沿MN至HA的方向建立IPSec VPN����。
通過如上所述建立的VPN,經由HA在MN與CN之間進行通信��。圖64中示出了數據分組交換順序。
生成從MN發(fā)往CN的分組(其外部IP報頭的源地址為通信運營商網絡在MN的并置模式下分配的地址[200.20.1.100]���,目標地址為HA的全球地址[100.1.1.1]���,其內部IP報頭的源地址為MN的本地地址[10.10.255.1],目標地址為CN的專用地址[10.10.2.100])����,并傳輸至HA。由于在PCN與HA之間靜態(tài)地建立IPSec VPN����,所以HA分別使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作為源地址和目標地址來執(zhí)行IPSec封裝,并且將該分組傳輸至PCN���。PCN執(zhí)行IPSec解封,并將該分組傳輸至CN�,(9)。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標地址�����,將從CN發(fā)往MN的分組傳輸至PCN��。PCN分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標地址執(zhí)行IPSec封裝,并將該分組傳輸至HA����。HA執(zhí)行IPSec解封和移動IP協(xié)議封裝,并將該分組傳輸至MN�,(10)。
—從與一個通信運營商訂立有漫游協(xié)定的其他通信運營商的接入網進行接入時采用的VPN建立方法圖65至67說明了從漫游合作方進行通信的操作�����。
圖65中示出了在MN處于與一個通信運營商訂立有漫游協(xié)定的其它通信運營商的接入網中�,且在企業(yè)網中的PCN與該通信運營商網絡中的HA之間建立有IPSec VPN的網絡中,企業(yè)網中的CN與外部網絡(其為訂立有漫游協(xié)定的其它通信運營商的接入網)中的MN之間進行通信的情況下的VPN建立和分組路由���。圖66中示出了在處于與該通信運營商訂立有漫游協(xié)定的不同通信運營商的接入網中的MN的位置注冊過程中�,建立IPSec+UDPVPN的順序���。
在圖66中��,MN通過DHCP(消息�����?)獲得IP地址[10.20.1.100]和域名[unknown.com]�,(1)和(2)。
向HA發(fā)送一個位置注冊請求消息(Reg.Request)�,其具有漫游合作方通信運營商網絡通過DHCP分配的地址[10.20.1.100]作為源地址,且具有HA的全球地址[100.1.1.1]作為目標地址��,并且包含NAI擴展和AAA驗證報頭��,(3)�。
從MN接收到位置注冊請求消息(Reg.Request)的HA向AAA發(fā)送一個驗證請求消息(AMR),(4)����。
AAA通過AMR消息中包含的NAI訪問VPN數據庫,并且提取出該用戶專有的VPN信息�。因為MN轉交地址的網絡既不是企業(yè)網、安全的通信運營商網絡�,也不是不安全的通信運營商網絡,所以該網絡被判定為訂立有漫游協(xié)定的另一通信運營商的網絡����,并且將其中IPSec+UDP設為VPN類型的VPN信息設置在服務概況中�����。將位置注冊請求消息(Reg.Request)(其中服務概況設置在SPC固定部分(圖9中所示))設置在本地代理注冊請求消息(HAR)中���,并且將本地代理注冊請求消息(HAR)傳輸至HA�����,(5)��。
HA將通過本地代理注冊請求消息(HAR)通報的VPN信息設置在VPN信息緩存中�,將包含服務概況的位置注冊回復(Reg.Reply)設置在本地代理注冊答復消息(HAA)中,并且將該答復消息傳輸至AAA����,(6)。
在接收到包含移動IP協(xié)議位置注冊回復(Reg.Reply)的本地代理注冊答復消息(HAA)之后(其中VPN信息設置在SPC固定部分(圖9中所示)中)��,AAA在注冊回復(Reg.Reply)中添加驗證碼�,并且向AA發(fā)送一個驗證答復(AMA),(7)�����。
HA返回其中IPSec+UDP設為VPN類型的位置注冊回復(Reg.Reply)�����,并且沿從HA至MN的方向建立IPSec+UDP VPN,(8)�。
在接收到位置注冊回復(Reg.Reply)之后,MN根據服務概況沿MN至HA的方向建立IPSec+UDP VPN���。
通過如上所述建立的VPN����,在MN與CN之間進行通信�����。圖67中示出了數據分組交換順序�����。
生成從MN發(fā)往CN的分組�����,其外部IP報頭的源地址為通信運營商網絡在MN的并置模式下分配的地址[10.20.1.100]����,目標地址為HA的全球地址[100.1.1.1],其內部IP報頭的源地址為MN的本地地址[10.10.255.1]�,目標地址為CN的專用地址[10.10.2.100],并傳輸至HA����。通過GW的NAT/NAPT功能將該源地址重寫為GW的全球地址[100.10.1.100],并將該分組傳輸至HA�。由于在PCN與HA之間靜態(tài)地建立IPSec VPN,所以HA分別使用HA的全球地址[100.1.1.1]和PCN的全球地址[100.1.1.100]作為源地址和目標地址來執(zhí)行IPSec+UDP封裝�����,并且將該分組傳輸至PCN�����。PCN執(zhí)行IPSec+UDP解封���,并將該分組傳輸至CN���,(9)。
分別使用CN的專用地址[10.10.2.100]和MN的本地地址[10.10.255.1]作為源地址和目標地址����,將從CN發(fā)往MN的分組傳輸至HA。PCN分別使用PCN的全球地址[100.1.1.100]和HA的全球地址[100.1.1.1]作為源地址和目標地址執(zhí)行IPSec封裝�,并將該分組傳輸至HA����。HA執(zhí)行IPSec+UDP解封和移動IP協(xié)議封裝����,并將該分組傳輸至MN。然后通過GW的NAT/NAPT功能將目標地址重寫為GW的專用地址[10.10.1.100]�,并將該分組傳輸至MN,(10)��。
—從一個外部網絡向另一個外部網絡進行通信圖68表示在經由企業(yè)網中的代理與因特網進行連接的情況下進行的操作�����。
該優(yōu)選實施例表示了在外部網絡中的MN與企業(yè)網之外的網絡進行通信的情況下的分組路由�����。圖68中示出了在外部網絡之間的分組路由�。
MN利用企業(yè)網中的GW作為代理地址將分組傳輸至外部網絡。來自外部網絡的分組經由企業(yè)網的GW傳輸至MN�。
—從通信運營商的安全網絡(比如FOMA和CDMA)接入企業(yè)網時的路徑優(yōu)化圖69至71說明了經由移動通信運營商網絡進行通信的操作。
圖70中示出了在企業(yè)網中的PCN與通信運營商網絡中的HA之間建立了IPSec VPN��,并且與通信運營商核心網絡連接的接入網是圖69所示的通信運營商安全接入網(比如CDMA)的情況下����,當從通信運營商的安全接入網中的MN向企業(yè)網中的CN進行通信時�,��,應用EaseNet路徑優(yōu)化機制(日本專利申請No.2000-50220中公開的)而不經由HA在MN與PCN之間直接進行通信的IPSec VPN建立方法���。
企業(yè)通過IPSec注冊通信運營商的安全接入網(比如CDMA)中的可接入位置作為服務概況,(1)����。
當MN連接至通信運營商的安全接入網(比如CDMA)時,EaseNet在驗證時根據預設的服務概況將VPN信息下載至HA中����。
將通過位置注冊回復消息指定的所有位置的VPN信息發(fā)布給MN,(2)和(3)�����。
HA通過綁定更新消息將VPN信息發(fā)布給各指定位置處的PCN�����,(4)����。
通過發(fā)布的VPN信息��,PCN和MN直接建立用于合作方節(jié)點的IPSec VPN����。以此方式����,可以不經由HA而在MN與企業(yè)網中的指定位置之間進行通信。
當MN移動時�,通過與驗證時類似的處理重新建立VPN。
—從通信運營商的不安全接入網(比如熱區(qū)網)接入企業(yè)網時的路徑優(yōu)化圖72至74說明了從直接連接至移動通信運營商網絡的熱區(qū)網進行通信的操作�����。
圖73中示出了在企業(yè)網中的PCN與通信運營商網絡中的HA之間建立了IPSec VPN�����,并且與通信運營商核心網絡連接的接入網是圖72所示的通信運營商不安全接入網(比如熱區(qū)網)的情況下�����,當從通信運營商的不安全接入網中的MN向企業(yè)網中的CN進行通信時���,應用EaseNet路徑優(yōu)化機制(日本專利申請No.2000-50220中公開的)而不經由HA在MN與PCN之間直接進行通信的IPSec VPN建立方法����。
企業(yè)通過IPSec注冊通信運營商不安全接入網(比如熱區(qū)網)中的可接入位置作為服務概況,(1)���。
當MN連接至通信運營商的不安全接入網(比如熱區(qū)網)時,EaseNet根據預設的服務概況將VPN信息下載至HA����。
把通過位置注冊回復消息指定的所有位置的VPN信息發(fā)布給MN,(2)和(3)�����。
HA通過綁定更新消息將VPN信息發(fā)布給各指定位置處的PCN�����,(4)����。
通過所發(fā)布的VPN信息,PCN和MN直接建立用于合作方節(jié)點的IPSecVPN�。以此方式����,可以不經由HA而在MN與企業(yè)網中的指定位置之間進行通信���。
當MN移動時�����,通過與驗證時類似的處理重新建立VPN�����。
—從與一個通信運營商訂立有漫游協(xié)定的不同通信運營商的接入網接入企業(yè)網時的路徑優(yōu)化圖75至77說明了從漫游合作方進行通信的操作��。
圖76中示出了在企業(yè)網中的PCN與通信運營商網絡中的HA之間建立了IPSec VPN����,并且與通信運營商核心網絡連接的接入網是圖75所示的與該通信運營商簽訂有漫游協(xié)定的另一通信運營商的接入網的情況下�����,當從該通信運營商的安全接入網中的MN向企業(yè)網中的CN進行通信時�,應用EaseNet路徑優(yōu)化機制(日本專利申請No.2000-50220中公開的)不經由HA而在MN與PCN之間直接進行通信的IPSec+UDP VPN建立方法。
企業(yè)通過IPSec+UDP,把與該通信運營商訂立有漫游協(xié)定的另一通信運營商的接入網注冊為可接入位置�,作為服務概況。
當MN連接至與該通信運營商訂立有漫游協(xié)定的另一通信運營商的接入網時�����,EaseNet根據預設的服務概況將VPN信息下載至HA����。
把通過位置注冊回復消息指定的所有位置的VPN信息發(fā)布給MN,(1)�����、(2)和(3)���。
HA通過綁定更新消息將VPN信息發(fā)布給各指定位置處的PCN,(4)�����。
通過所發(fā)布的VPN信息�,PCN和MN直接建立用于合作方節(jié)點的IPSec+UDP VPN。以此方式����,可以不經由HA而在MN與企業(yè)中的指定位置之間進行通信��。
當MN移動時�,通過與驗證時類似的處理重新建立VPN����。
根據本發(fā)明,在建立第一移動裝置移動時也可以通信的會話的過程中建立虛擬專用網絡�,從而可以同時建立移動通信和虛擬專用網絡�����。相應地�����,可以快速地創(chuàng)建通信環(huán)境���,例如���,在由于第一裝置的移動而導致越區(qū)切換時。因此����,可以實現平穩(wěn)的越區(qū)切換���。另外,第一裝置可以在固定地保持第一地址的同時進行通信��,從而不管訪問哪個網絡�����,第一裝置都可以使用相同的地址進行通信�����。相應地�,當試圖向第一裝置進行傳輸時可以繼續(xù)使用第一地址,從而提高了便利性���。
另外,為此構造了一種本地代理����,其包括用于在移動節(jié)點與該本地代理本身之間建立虛擬專用網絡的裝置,并且向移動節(jié)點通報驗證該移動節(jié)點而獲得的并且是建立虛擬專用網絡所需的信息����,從而允許該移動節(jié)點進入所述虛擬專用網絡��,因此不需要單獨的處理來使移動節(jié)點進入虛擬專用網絡�����。
另外���,通過移動節(jié)點傳來的轉交地址或者域對移動節(jié)點所處網絡的安全性進行檢測,如果安全性較差���,則設定具有較高安全性的通信協(xié)議���。這降低了重要信息泄露的可能性。
還提供了一種移動節(jié)點�����,其包括用于獲得該移動節(jié)點本身所處網絡的信息的裝置�,并且根據該移動節(jié)點本身所處網絡的特性改變用于啟動通信的通信協(xié)議。這同樣可以防止重要信息泄露�。
特別地,提供了一種移動節(jié)點�,其采用一個隧道進行通信�,該隧道既用作移動IP通信的隧道�,也用作專用網絡通信的隧道,從而可以平穩(wěn)地進行越區(qū)切換���。
權利要求
1.一種虛擬專用網絡系統(tǒng)�����,用于控制與一第二地址的通信��,其連接至一第一網絡�����,并且利用在作為專用網絡的所述第一網絡中使用的第一地址�����,經由一第二網絡進行通信�,該虛擬專用網絡系統(tǒng)包括第一移動單元�����,用于固定地保持所述第一地址而進行通信�;和第二單元,其獲取所述第一單元的第一地址與所述第二地址之間的對應關系�����,以經由所述第二網絡進行通信���,并且在建立即使所述第一單元移動時也可以通信的會話的過程中�����,對所述第一單元進行驗證�����,并經由所述第二網絡在一個接入第一網絡的通信設備與所述第二單元之間形成一虛擬專用網絡���。
2.如權利要求1所述的虛擬專用網絡系統(tǒng),還包括當所述第一單元與連接至第一網絡的節(jié)點進行通信時用于優(yōu)化所述第一單元與該節(jié)點之間通信路徑的單元�。
3.如權利要求1所述的虛擬專用網絡系統(tǒng),其中在所述第二單元與第一網絡之間預先建立一虛擬專用網絡�����。
4.如權利要求1所述的虛擬專用網絡系統(tǒng)���,其中使得能夠進行移動通信的協(xié)議為移動IP��。
5.如權利要求4所述的虛擬專用網絡系統(tǒng)���,其中所述第二單元將有關虛擬專用網絡的信息通報給所述第一單元���,并且在所述第一單元與所述第二單元本身之間的移動IP隧道建立過程中,在所述第一單元與所述第二單元之間建立一虛擬專用網絡���。
6.如權利要求5所述的虛擬專用網絡系統(tǒng)�����,其中采用所述第一單元的并置模式來設定移動IP����,并建立所述虛擬專用網絡�。
7.如權利要求6所述的虛擬專用網絡系統(tǒng),其中第二網絡由公共網絡和由通信運營商擁有的移動通信網絡構成��,并且如果所述第一單元接入的移動通信網絡是安全的接入網�����,則在所述第一單元與所述第二單元之間建立IPinIP隧道�。
8.如權利要求6所述的虛擬專用網絡系統(tǒng),其中第二網絡由公共網絡和由通信運營商擁有的移動通信網絡構成�����,并且如果所述第一單元接入的移動通信網絡是不安全的接入網�����,則在所述第一單元與所述第二單元之間建立IPSec隧道�����。
9.如權利要求6所述的虛擬專用網絡系統(tǒng)����,其中第二網絡由公共網絡、由第一通信運營商擁有的第一移動通信網絡�、和由第二通信運營商擁有的第二移動通信網絡構成,并且當所述第一單元從所述第一移動通信網絡經由所述第二移動通信網絡和所述公共網絡接入所述第一網絡時�,在所述第一單元與所述第二單元之間建立IPSec+UDP隧道。
10.如權利要求1所述的虛擬專用網絡系統(tǒng)���,其中在所述第二單元與第一網絡之間預先建立一個固定的虛擬專用網絡���。
11.一種本地代理���,其使得在移動節(jié)點與連接至一專用網絡的節(jié)點之間能夠根據移動IP進行通信,該本地代理包括用于在所述移動節(jié)點與所述本地代理之間建立虛擬專用網絡的單元�����;用于對移動節(jié)點的接入進行驗證的單元����;和用于將從所述驗證單元獲取的有關該虛擬專用網絡的信息通報給所述移動節(jié)點的單元。
12.一種路由器�,其使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信,該路由器包括用于對從所述移動節(jié)點發(fā)出的位置注冊請求的轉交地址或域進行檢測的單元�;和通信控制單元,如果檢測到的轉交地址或域指示一個能夠保障通信秘密的網絡��,則使用所述移動節(jié)點與所述路由器之間具有較低保密度的通信協(xié)議����,或者如果所述轉交地址指示一個不能完全保障通信秘密的網絡,則使用所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議���,經由所述路由器在所述移動節(jié)點與所述節(jié)點之間進行通信���。
13.一種路由器���,其使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信��,該路由器包括用于對從所述移動節(jié)點發(fā)出的位置注冊請求的轉交地址與源地址進行比較的單元�;和通信控制單元,如果所述轉交地址不指示預定的通信運營商且與所述源地址匹配��,則使用所述移動節(jié)點與所述路由器之間具有較低保密度的通信協(xié)議����,或者如果所述轉交地址與所述源地址不匹配,則使用所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議�����,經由所述路由器在所述移動節(jié)點與所述節(jié)點之間進行通信���。
14.如權利要求13所述的路由器�����,其中所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議為IPSec+UDP隧道��。
15.一種移動節(jié)點�����,其使得能夠與連接至一專用網絡的節(jié)點進行通信���,該移動節(jié)點包括獲取單元��,用于獲取所述移動節(jié)點本身當前所屬網絡的信息��;和控制單元�,用于執(zhí)行控制����,如果所獲取的網絡信息指示一個專用網絡,則向管理該移動節(jié)點的位置的路由器的專用地址發(fā)出位置注冊請求消息�����,如果所獲取的網絡信息指示一個預定的通信運營商網絡�,則向該路由器的全球地址發(fā)出位置注冊請求消息,或者在其它情況下��,向該路由器的全球地址發(fā)出包含建立具有較高保密度的通信路徑的請求的位置注冊請求消息。
16.如權利要求15所述的移動節(jié)點�,其中所述移動節(jié)點與所述路由器之間具有較高保密度的通信協(xié)議為IPSec+UDP隧道。
17.一種移動節(jié)點���,位于使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信的系統(tǒng)中�����,包括用于建立移動IP通信隧道的單元�;和用于在移動IP通信隧道建立過程中建立專用網絡通信隧道的單元���,其中所述移動節(jié)點利用一個既用作移動IP通信隧道也用作專用網絡通信隧道的通信隧道進行通信。
18.一種虛擬專用網絡系統(tǒng)中使用的通信控制方法���,該虛擬專用網絡系統(tǒng)控制與一第二地址的通信�����,連接至一第一網絡��,并且經由一第二網絡與作為專用網絡的第一網絡中使用的第一地址進行通信�����,該方法包括設置固定地保持第一地址而進行通信的移動節(jié)點�����;以及設置路由器�,其獲取所述移動節(jié)點的第一地址與所述第二地址之間的對應關系,以經由所述第二網絡進行通信����,并且在建立即使移動節(jié)點移動時也可以通信的會話的過程中,對所述移動節(jié)點進行驗證�����,并經由所述第二網絡在接入第一網絡的通信設備與所述路由器之間形成一虛擬專用網絡����。
19.如權利要求18所述的通信控制方法,進一步包括當所述移動節(jié)點與連接至所述第一網絡的節(jié)點進行通信時�,優(yōu)化所述移動節(jié)點與該節(jié)點之間的通信路徑。
20.如權利要求18所述的通信控制方法��,其中在本地代理與所述第一網絡之間預先建立一虛擬專用網絡����。
21.如權利要求18所述的通信控制方法�����,其中使得能夠進行移動通信的協(xié)議為移動IP�����。
22.如權利要求21所述的通信控制方法�����,其中本地代理將有關虛擬專用網絡的信息通報給所述移動節(jié)點�����,并且在與所述移動節(jié)點建立移動IP隧道的過程中,在該移動節(jié)點與路由器之間建立一虛擬專用網絡�。
23.如權利要求21所述的通信控制方法,其中采用所述移動節(jié)點的并置模式來設定移動IP�����,并建立所述虛擬專用網絡�����。
24.如權利要求22所述的通信控制方法,其中第二網絡由公共網絡和由通信運營商擁有的移動通信網絡構成�,并且如果所述移動節(jié)點接入的移動通信網絡是安全的接入網,則在所述本地代理與所述移動節(jié)點之間建立IPinIP隧道����。
25.如權利要求22所述的通信控制方法,其中第二網絡由公共網絡和由通信運營商擁有的移動通信網絡構成���,并且如果所述移動節(jié)點接入的移動通信網絡是不安全的接入網��,則在所述本地代理與所述移動節(jié)點之間建立IPSec隧道�����。
26.如權利要求22所述的通信控制方法����,其中第二網絡由公共網絡�����、由第一通信運營商擁有的第一移動通信網絡����、和由第二通信運營商擁有的第二移動通信網絡構成�����,并且如果所述移動節(jié)點從所述第一移動通信網絡經由所述公共網絡和所述第二移動通信網絡接入所述第一網絡����,則在所述路由器與所述移動節(jié)點之間建立IPSec+UDP隧道�����。
27.如權利要求17所述的通信控制方法�����,其中在所述路由器與所述第一網絡之間預先建立一個固定的虛擬專用網絡���。
28.一種通信控制方法���,用在使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信的路由器中���,包括對從所述移動節(jié)點發(fā)出的位置注冊請求的轉交地址進行檢測�����;以及如果檢測到的轉交地址指示一個通信秘密能夠得到通信運營商保障的接入網�,則使用具有較低保密度的通信協(xié)議,或者如果檢測到的轉交地址指示一個通信秘密不能得到通信運營商完全保障的接入網�,則使用具有較高保密度的通信協(xié)議,在所述移動節(jié)點與所述節(jié)點之間進行通信�。
29.一種通信控制方法,用在使得能夠在移動節(jié)點與連接至一專用網絡的節(jié)點之間進行通信的路由器中��,包括對從所述移動節(jié)點發(fā)出的位置注冊請求的轉交地址與源地址進行比較����;以及如果所述轉交地址與所述源地址匹配,則使用具有較低保密度的通信協(xié)議���,或者如果所述轉交地址與所述源地址不匹配���,則使用具有較高保密度的通信協(xié)議,在所述移動節(jié)點與所述節(jié)點之間進行通信���。
30.一種通信控制方法����,用在能夠與連接至一專用網絡的節(jié)點進行通信的移動節(jié)點中,包括獲取所述移動節(jié)點本身當前所屬網絡的信息����;以及執(zhí)行控制,如果所獲取的網絡信息指示一個專用網絡��,則向管理該移動節(jié)點的位置的路由器的專用地址發(fā)出位置注冊請求消息�����,如果所獲取的網絡信息指示一個與所述專用網絡訂立有互連協(xié)定的通信運營商的接入網��,則向該路由器的全球地址發(fā)出位置注冊請求消息���,或者在其它情況下����,向本地代理的全球地址發(fā)出包含建立具有較高保密度的通信路徑的請求的位置注冊請求消息���。
31.一種通信控制方法����,用在使得移動節(jié)點與連接至一專用網絡的節(jié)點能夠根據移動IP進行通信的系統(tǒng)中的移動節(jié)點中��,該方法包括建立用于移動IP通信的隧道�����;以及在用于移動IP通信的隧道的建立過程中���,建立用于專用網絡通信的隧道�����,其中所述移動節(jié)點使用一個既用作移動IP通信隧道也用作專用網絡通信隧道的通信隧道進行通信����。
全文摘要
使本地代理(HA)具有包含企業(yè)網安全功能的網關功能���。當通信運營商與企業(yè)之間訂立有服務協(xié)定時�����,在通信運營商的本地代理與企業(yè)網中的安全網關之間預先建立VPN���。結果,采用移動節(jié)點(MN)的并置模式�,并且在移動IP位置注冊過程中根據容納該移動節(jié)點的網絡的安全級別發(fā)布VPN信息,從而構造起有效利用移動IP隧道建立處理的VPN。
文檔編號H04L12/56GK1481081SQ03153169
公開日2004年3月10日 申請日期2003年8月8日 優(yōu)先權日2002年8月9日
發(fā)明者掛水光明, 山村新也, 若目田宏, 谷口浩之, 之, 也, 宏, 水光明 申請人:富士通株式會社