專利名稱:再使用于移動計算設(shè)備的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及計算機系統(tǒng)領(lǐng)域。更具體地說����,本發(fā)明關(guān)于用于維持移動網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)連接性的方法和系統(tǒng)。移動網(wǎng)絡(luò)節(jié)點包括�����,例如���,具有無線網(wǎng)絡(luò)通信接口的便攜式計算設(shè)備�����。更確切地說����,本發(fā)明是針對確保在移動節(jié)點的當(dāng)前分配的物理網(wǎng)絡(luò)(即����,因特網(wǎng)協(xié)議)地址改變后網(wǎng)絡(luò)中的其他節(jié)點仍然可以與該節(jié)點通信的方法和系統(tǒng)。
背景技術(shù):
移動網(wǎng)絡(luò)服務(wù)在便攜式設(shè)備由用戶攜帶至不同的地點時幫助將便攜式計算設(shè)備��,一般是臨時地,連接至多個網(wǎng)絡(luò)中的任何一個�����。這種能力通常���,盡管不是總是和無線WAN/LAN連接相關(guān)���。例如,一筆記本電腦可通過多個在地理上位于分散的位置的無線熱點(hotspot)連接至一網(wǎng)絡(luò)(或者其子網(wǎng)絡(luò))���。當(dāng)一便攜式設(shè)備連接到一個這樣的子網(wǎng)絡(luò)時,該便攜式設(shè)備接收唯一的網(wǎng)絡(luò)(即��,因特網(wǎng)協(xié)議)地址�。移動計算的一方面是使其他節(jié)點保持維持接入到一移動節(jié)點的通信的能力,盡管實際上是接入到一使用不同于永久的“本地”地址的當(dāng)前地址的網(wǎng)絡(luò)�。因此,開發(fā)了一些機制來適應(yīng)在一些地點���,移動節(jié)點的網(wǎng)絡(luò)地址會發(fā)生改變的實際可能性��,且之后其他節(jié)點將會以其新的網(wǎng)絡(luò)地址試圖與該移動節(jié)點通信��。
在描述一種先前的公知的網(wǎng)絡(luò)操作移動節(jié)點網(wǎng)絡(luò)地址改變的方法之前����,示例的相關(guān)網(wǎng)絡(luò)協(xié)議將會被簡要地描述。多種網(wǎng)絡(luò)協(xié)議支持為便攜式計算設(shè)備建立臨時連接并為這些計算設(shè)備分配網(wǎng)絡(luò)地址���。一種公知的動態(tài)主機配置協(xié)議(DHCP)能在連接到一網(wǎng)絡(luò)時集中地���、自動地將因特網(wǎng)協(xié)議地址分配給機器。DHCP使得計算機能夠移動到網(wǎng)絡(luò)中的另一個位置并自動地接收和新位置相對應(yīng)的新的因特網(wǎng)協(xié)議地址���。DHCP并入了網(wǎng)絡(luò)地址的“租用”功能����,其會分配可變量的時間��,在這段時間內(nèi)一特定分配的因特網(wǎng)協(xié)議地址可有效用于連接計算機��。DHCP在僅有有限數(shù)量的因特網(wǎng)協(xié)議地址可用于分配給大量計算機的網(wǎng)絡(luò)環(huán)境中尤其有用�。
點對點協(xié)議(PPP)是一種用于兩臺計算機之間的串行通信的通信協(xié)議(例如,個人計算機通過電話線連接至服務(wù)器)�。PPP使用因特網(wǎng)協(xié)議并提供數(shù)據(jù)鏈路層(第二層)服務(wù)。具體地說�����,PPP壓縮TCP/IP或者其他網(wǎng)絡(luò)層協(xié)議分組并將如同從客戶機網(wǎng)關(guān)傳送到因特網(wǎng)般地將它們從客戶機傳送到服務(wù)器。
和移動計算潛在相關(guān)的其他協(xié)議包括點對點隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)����。PPTP是PPP的擴展,其幫助網(wǎng)絡(luò)通過公共網(wǎng)絡(luò)(例如�,因特網(wǎng))上的專用的“隧道”進行擴展。這種形式的互聯(lián)稱為虛擬專用網(wǎng)絡(luò)(VPN)���,其使得具有PPP客戶機支持的計算機能夠通過因特網(wǎng)服務(wù)提供者建立至服務(wù)器的安全連接�����。L2PT是PPTP的一種變化。這兩個隧道協(xié)議都使用本地接入集中器(concentrator)來使得分組可在公共網(wǎng)絡(luò)鏈接中用隧道傳輸(tunneled)����,從而避免建立長距離電話連接以保證客戶機和服務(wù)器之間的安全通信的潛在需求。
在一種公知的網(wǎng)絡(luò)環(huán)境中���,移動計算設(shè)備被分配一和“本地”網(wǎng)絡(luò)位置相對永久的網(wǎng)絡(luò)地址�。然而���,當(dāng)移動節(jié)點從其本地網(wǎng)絡(luò)之外的位置連接時�,一網(wǎng)絡(luò)通信服務(wù)器,例如使用DHCP來分配臨時的當(dāng)前地址給移動節(jié)點以支持在本地網(wǎng)絡(luò)位置以外的連接��。在移動節(jié)點使用臨時地址而不是其本地地址期間�����,相應(yīng)的節(jié)點(即��,其他節(jié)點試圖與移動節(jié)點進行通信)將使用之前被提供給該移動節(jié)點的地址����。通常,除非通知了移動節(jié)點的當(dāng)前的����、非本地的地址,對應(yīng)的節(jié)點在發(fā)送分組至移動節(jié)點時使用移動節(jié)點的本地(永久地址)����。如果移動節(jié)點在不同于其本地位置的網(wǎng)絡(luò)位置連接,本地地址和移動節(jié)點的當(dāng)前地址不匹配���。在公知的網(wǎng)絡(luò)安排中����,這種情況通過在移動節(jié)點的本地網(wǎng)絡(luò)上提供移動節(jié)點的本地代理來解決。本地代理維持具有特定本地網(wǎng)絡(luò)地址的移動節(jié)點的當(dāng)前地址���。本地代理接收指向移動節(jié)點的本地網(wǎng)絡(luò)地址的分組�、按照隧道協(xié)議壓縮分組����、并將壓縮后的分組傳送到移動節(jié)點的當(dāng)前地址。外殼(envelope)的“來”和“去”地址分別識別了本地代理和節(jié)點附件的臨時當(dāng)前點�,而所壓縮的分組識別了所接收的地址的始發(fā)源和目的地址。
下面說明公知的基于本地代理的移動網(wǎng)絡(luò)安排的操作�。據(jù)有本地地址為1111的移動節(jié)點當(dāng)前通過臨時分配的為2222的非本地地址遠程連接到其本地網(wǎng)絡(luò)。具有本地地址為7777的對應(yīng)節(jié)點使用為1111的本地地址來與移動節(jié)點通信���。本地代理(具有地址1110)感覺到的移動節(jié)點的當(dāng)前非本地地址為2222���,攔截識別移動節(jié)點的本地地址(1111)的分組����。本地代理按照一隧道協(xié)議壓縮指向本地地址1111的分組。壓縮后的分組指定了本地代理源地址(1110)和移動節(jié)點當(dāng)前地址(2222)。
本地代理解決在移動網(wǎng)絡(luò)環(huán)境中出現(xiàn)的許多網(wǎng)絡(luò)地址跟蹤問題�����。例如���,如果對應(yīng)的節(jié)點和移動節(jié)點同時移動��,由每個節(jié)點提供的關(guān)于該節(jié)點的最新已知地址的捆綁更新會丟失���。如果這兩個節(jié)點參加到一個會話中,該會話會由于正確地址的丟失而不能繼續(xù)��。換句話說�����,如果存在用于這兩個節(jié)點的本地代理��,則兩個節(jié)點可使用用于這些節(jié)點的本地代理來繼續(xù)通信�����。本地代理攔截并傳送(用隧道傳輸)識別本地地址的分組至用于移動和對應(yīng)節(jié)點的當(dāng)前(“轉(zhuǎn)接(care of)”)地址���。
考慮移動節(jié)點的另一個會出現(xiàn)的潛在的地址跟蹤問題涉及����,在用于將名字和網(wǎng)絡(luò)地址相關(guān)的域名系統(tǒng)(DNS)服務(wù)器已經(jīng)緩存了和移動節(jié)點相關(guān)的名稱的舊地址時,新節(jié)點聯(lián)系該移動節(jié)點的能力����。在這種情況下,DNS服務(wù)器�����,或者更一般地說名稱服務(wù)器繼續(xù)提供舊的/無效的地址直到該緩存的用于已命名的移動節(jié)點的地址的生存時間終止為止(TTL)���。本地代理通過攔截包含由DNS服務(wù)器向新節(jié)點提供的移動節(jié)點的(本地)地址的分組(并之后用隧道傳輸至移動節(jié)點)來解決這個問題����。當(dāng)移動節(jié)點接收用隧道傳輸?shù)姆纸M時����,可通過捆綁更新通知新節(jié)點關(guān)于其新的地址(本地代理之后被繞過)。
另一個地址跟蹤問題涉及移動在網(wǎng)絡(luò)地址傳送器/防火墻之后的移動節(jié)點�。在這種情況下本地代理從新客戶機用隧道傳輸業(yè)務(wù)至該移動節(jié)點。本地代理具有用于與移動節(jié)點進行通信的開放端口��,作為之前由移動節(jié)點從NAT/防火墻后面起始的至本地代理的通信的結(jié)果�。新的客戶機使用已知的移動節(jié)點的本地地址非直接地與移動節(jié)點通信(通過本地代理)。當(dāng)管理網(wǎng)絡(luò)地址/通信的復(fù)雜度增加時�����,本地代理被視為充滿移動節(jié)點的網(wǎng)絡(luò)環(huán)境中有價值的����,即使不是不可或缺的組件。
另外一個涉及移動節(jié)點的挑戰(zhàn)是在建立了虛擬專用網(wǎng)絡(luò)隧道至其本地網(wǎng)或之后且仍然處于其本地網(wǎng)絡(luò)之外時移動節(jié)點改變地址的可能性��。新的地址會使得之前建立的虛擬專用網(wǎng)絡(luò)隧道結(jié)構(gòu)廢棄��。在這種情況下����,新的隧道和相關(guān)的結(jié)構(gòu),包括網(wǎng)絡(luò)安全結(jié)構(gòu)在每一次網(wǎng)絡(luò)地址改變時被建立�����。在高度移動網(wǎng)絡(luò)節(jié)點的情況下��,這種瓦解嚴(yán)重削弱用戶的整體經(jīng)歷�。
發(fā)明內(nèi)容
本發(fā)明包括解決上述的在移動節(jié)點被分配新的網(wǎng)絡(luò)地址時出現(xiàn)的問題的方法和網(wǎng)絡(luò)管理框架���。具體地說,本發(fā)明包括由移動節(jié)點執(zhí)行的方法�,其在分配給移動節(jié)點的多個網(wǎng)絡(luò)地址上維持虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)。起始時����,虛擬專用網(wǎng)絡(luò)隧道在移動節(jié)點和虛擬專用網(wǎng)絡(luò)隧道服務(wù)器之間建立。支持虛擬專用網(wǎng)絡(luò)隧道的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)是基于指定用于該移動節(jié)點的本地地址(home address)��。此后��,該移動站被分配一新的網(wǎng)絡(luò)地址��。新的網(wǎng)絡(luò)地址不同于用于該節(jié)點的本地地址�����。
移動節(jié)點通過傳送一指定新的網(wǎng)絡(luò)地址的捆綁更新至虛擬專用網(wǎng)絡(luò)隧道服務(wù)器來通知虛擬專用網(wǎng)絡(luò)隧道服務(wù)器關(guān)于其新的網(wǎng)絡(luò)地址��。建立從移動節(jié)點的新的網(wǎng)絡(luò)地址至本地地址的映射關(guān)系����。該映射關(guān)系,以及網(wǎng)絡(luò)通信協(xié)議棧的較低層中的替代邏輯一起幫助繼續(xù)使用基于移動節(jié)點的本地地址的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)���。
本發(fā)明還記載在移動節(jié)點或者計算機可執(zhí)行的指令中���,其結(jié)合了上述的映射功能。此外�����,按照本發(fā)明的具體實施例��,對于虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的再使用可采取各種不同的形式�����,包括安全結(jié)構(gòu)和隧道結(jié)構(gòu)���。
此外���,本發(fā)明的實施例中,方法還包括VPN服務(wù)器更新映射結(jié)構(gòu)以使移動節(jié)點的新地址被映射到將被用于使用再使用的隧道數(shù)據(jù)結(jié)構(gòu)執(zhí)行特定的安全以及隧道操作的本地地址����。移動節(jié)點還維持這些映射的地址關(guān)系。如此���,在本地地址和新的網(wǎng)絡(luò)地址之間建立了映射關(guān)系之后��,一旦移動節(jié)點從虛擬專用網(wǎng)絡(luò)隧道服務(wù)器接收包括新網(wǎng)絡(luò)地址的消息�,移動節(jié)點使用所接收的消息分組的目的地字段中的本地地址來替換新的網(wǎng)絡(luò)地址。在本發(fā)明的一個實施例中�����,該替換在TCP/IP協(xié)議棧的中間(例如����,IP-因特網(wǎng)協(xié)議)層被執(zhí)行。此外�,這些替換在反向消息傳輸方向上由虛擬專用網(wǎng)絡(luò)隧道服務(wù)器在從移動節(jié)點接收的分組上實現(xiàn)(基于在所接收的消息的擴展中所提供的本地地址)。
所附的權(quán)利要求具體說明了本發(fā)明的特征����,本發(fā)明以及其目標(biāo)和優(yōu)勢可以從下列結(jié)合附圖的詳細描述中得到最佳的理解,其中����,圖1是說明用于實現(xiàn)本發(fā)明的實施例的計算設(shè)備的示例架構(gòu)的簡化示意圖;圖2是一示例網(wǎng)絡(luò)環(huán)境�����,其中一個或多個移動節(jié)點通過多種遠程位置中的任何一個可通信地連接到本地網(wǎng)絡(luò)并接收不同于相對靜態(tài)分配給本地網(wǎng)絡(luò)中的移動節(jié)點的本地地址的動態(tài)分配的地址;圖3概述了用于適用于實現(xiàn)本發(fā)明的網(wǎng)絡(luò)化節(jié)點的示例通信棧����;圖4概述了由移動節(jié)點執(zhí)行的用于以不同于分配給該移動節(jié)點的之前的網(wǎng)絡(luò)地址的地址連接至一非本地網(wǎng)絡(luò)的一組步驟;圖5概述了響應(yīng)于兩個節(jié)點在基本上相同的時間移動到新的網(wǎng)絡(luò)位置時���,在一組網(wǎng)絡(luò)節(jié)點和與它們相關(guān)的授權(quán)名稱服務(wù)器之間傳送的通信,以及���;圖6概述了當(dāng)移動節(jié)點移動到不同的外部網(wǎng)絡(luò)地址時���,一組被執(zhí)行以實現(xiàn)再使用虛擬專用節(jié)點和其相關(guān)結(jié)構(gòu)的步驟。
附圖詳述此處揭示了一種用于支持與移動網(wǎng)絡(luò)節(jié)點相關(guān)的變化地址的方法和框架����。這種支持通過下列步驟而被提供對移動網(wǎng)絡(luò)節(jié)點的增強和使用DNS動態(tài)主機配置協(xié)議(DHCP),以及虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器(或者它們的功能等價體)來動態(tài)分配一當(dāng)前網(wǎng)絡(luò)地址至一移動節(jié)點��,提供當(dāng)前網(wǎng)絡(luò)地址至授權(quán)名稱服務(wù)器���,并之后使相應(yīng)的節(jié)點基于由授權(quán)名稱服務(wù)器所提供的地址升級它們的用于移動節(jié)點的地址——相對于在復(fù)制的名稱服務(wù)器中緩存的地址�。
更具體地說��,移動節(jié)點在其授權(quán)DNS服務(wù)器上使用為0的生存時間注冊其所有的名稱——地址映射。將生存時間指定為0保證了非授權(quán)的(緩存/復(fù)制)DNS服務(wù)器或者客戶機上的DNS名稱解析器不會在其緩存中保存名稱/地址的組合����。因此,當(dāng)對應(yīng)的節(jié)點丟失對于移動節(jié)點的當(dāng)前地址的跟蹤時����,由于移動節(jié)點位置的改變,對應(yīng)的節(jié)點將依靠保存在非授權(quán)DNS服務(wù)器或者其自己的名稱解析器緩存中的舊地址�。
所說明的本發(fā)明的實施例的第二個方面包括配置移動節(jié)點來起始一至安全區(qū)域中的虛擬專用節(jié)點服務(wù)器的虛擬專用網(wǎng)絡(luò)連接,當(dāng)移動節(jié)點從該安全區(qū)域以外建立連接時�,移動節(jié)點與該服務(wù)器相關(guān)。移動節(jié)點在起始注冊到其本地安全區(qū)域之外的新網(wǎng)絡(luò)(以及在該新網(wǎng)絡(luò)上接收新的地址配置)之后�����,通過其本地安全區(qū)域中的VPN服務(wù)器建立一用隧道傳輸?shù)倪B接至其本地安全區(qū)域�。VPN服務(wù)器在本地安全區(qū)域中為該移動節(jié)點建立一新的地址。該新的地址保存在授權(quán)DNS服務(wù)器中用于本地安全區(qū)域(生存時間為0)����。當(dāng)使用之前的用于該移動節(jié)點的地址注冊失敗時,相應(yīng)節(jié)點的獲得由授權(quán)DNS服務(wù)器提供的新地址來通過該由該VPN服務(wù)器支持的用隧道傳輸?shù)倪B接與該移動節(jié)點通信�。在安全區(qū)域是公共的情況下,即網(wǎng)絡(luò)上的機器可以直接接入到其他網(wǎng)絡(luò)上的其他機器,建立虛擬專用網(wǎng)絡(luò)連接時不必要的��。
此外�,在所說明的本發(fā)明的實施例中,當(dāng)移動節(jié)點移動到新的外部網(wǎng)絡(luò)地址時��,之前建立的VPN隧道被再使用���。這種功能通過使用在移動因特網(wǎng)協(xié)議分組中支持的擴展頭部和發(fā)布至一負(fù)責(zé)VPN服務(wù)器的捆綁更新來協(xié)助����,該更新用于映射當(dāng)前外部轉(zhuǎn)接(care of)網(wǎng)絡(luò)地址至形成用于按照VPN隧道再使用所維持的結(jié)構(gòu)的基礎(chǔ)用戶移動節(jié)點的本地地址�����。因此�����,在初始設(shè)置了VPN隧道和其相關(guān)的結(jié)構(gòu)之后��,當(dāng)移動節(jié)點接收新的外部轉(zhuǎn)接網(wǎng)絡(luò)地址時�����,該結(jié)構(gòu)被維持��。
圖1圖示地說明了用于在由多個����、可通信地耦合的網(wǎng)絡(luò)所支持的環(huán)境中使用的移動計算設(shè)備(例如,筆記本或者平板電腦)的合適的操作環(huán)境100的示例����,其中該移動計算設(shè)備能夠連接到這些網(wǎng)絡(luò)。計算系統(tǒng)環(huán)境100僅為合適的計算環(huán)境的一個示例����,并非暗示對本發(fā)明的使用范圍或功能的局限。本發(fā)明可以使用眾多其它通用或?qū)S糜嬎阆到y(tǒng)環(huán)境或配置來操作�����。適合使用本發(fā)明的眾所周知的計算系統(tǒng)��、環(huán)境和/或配置包括但不限于個人計算機����、服務(wù)器計算機、手持式或膝上設(shè)備���、平板設(shè)備���、多處理器系統(tǒng)�、基于微處理器的系統(tǒng)�、機頂盒、可編程消費者電子設(shè)備����、網(wǎng)絡(luò)PC、小型機�、大型機、包括任一上述系統(tǒng)或設(shè)備的分布式計算環(huán)境等等����。
本發(fā)明將在諸如由網(wǎng)絡(luò)環(huán)境中的計算機執(zhí)行的程序模塊等計算機可執(zhí)行指令的一般上下文環(huán)境中描述。一般而言��,程序模塊包括例程��、程序�、對象��、組件�、數(shù)據(jù)結(jié)構(gòu)等等�,執(zhí)行特定的任務(wù)或?qū)崿F(xiàn)特定的抽象數(shù)據(jù)類型����。本發(fā)明潛在地可被結(jié)合于在分布式計算環(huán)境中操作的網(wǎng)絡(luò)節(jié)點,在分布式網(wǎng)絡(luò)環(huán)境中�,任務(wù)由通過一通信網(wǎng)絡(luò)相鏈接的遠程處理設(shè)備執(zhí)行。在分布式網(wǎng)絡(luò)環(huán)境中���,程序模塊一般位于本地以及/或者包括存儲儲存設(shè)備的遠程計算機存儲媒質(zhì)中�����。
繼續(xù)參考圖4�,用于實現(xiàn)本發(fā)明的示例系統(tǒng)包括以常規(guī)計算機形式110的通用計算裝置�。計算機110的組件,但不限于處理單元120�、系統(tǒng)存儲器130以及將包括系統(tǒng)存儲器耦合至處理單元120的系統(tǒng)總線121。系統(tǒng)總線121可以是若干種總線結(jié)構(gòu)類型的任一種����,包括存儲器總線或存儲器控制器、外圍總線以及使用各類總線體系結(jié)構(gòu)的局部總線�。作為示例而非局限,這類體系結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線��、微通道體系結(jié)構(gòu)(MCA)總線、增強ISA(EISA)總線�����、視頻電子技術(shù)標(biāo)準(zhǔn)協(xié)會(VESA)局部總線以及外圍部件互連(PCI)總線���,也稱為Mezzanine總線����。
計算機110通常包括各種計算機可讀媒質(zhì)����。計算機可讀媒質(zhì)可以是可由計算機110訪問的任一可用媒質(zhì),包括易失和非易失媒質(zhì)��、可移動和不可移動媒質(zhì)����。作為示例而非局限,計算機可讀媒質(zhì)包括計算機存儲媒質(zhì)和通信媒質(zhì)��。計算機存儲媒質(zhì)包括以用于儲存諸如計算機可讀指令�、數(shù)據(jù)結(jié)構(gòu)����、程序模塊或其它數(shù)據(jù)等信息的任一方法或技術(shù)實現(xiàn)的易失和非易失�,可移動和不可移動媒質(zhì)����。計算機存儲媒質(zhì)包括但不限于,RAM�����、ROM�、EEPROM、閃存或其它存儲器技術(shù)�、CD-ROM、數(shù)字多功能盤(DVD)或其它光盤存儲��、磁盒、磁帶、磁盤存儲或其它磁存儲設(shè)備�、或可以用來儲存所期望的信息并可由計算機110訪問的任一其它媒質(zhì)。通信媒質(zhì)通常在諸如載波或其它傳輸機制的已調(diào)制數(shù)據(jù)信號中包含計算機可讀指令��、數(shù)據(jù)結(jié)構(gòu)����、程序模塊或其它數(shù)據(jù)�����,并包括任一信息傳送媒質(zhì)。術(shù)語“已調(diào)制數(shù)據(jù)信號”指以對信號中的信息進行編碼的方式設(shè)置或改變其一個或多個特征的信號�。作為示例而非局限,通信媒質(zhì)包括有線媒質(zhì)�����,如有線網(wǎng)絡(luò)或直接連線連接���,以及無線媒質(zhì)���,如聲學(xué)、RF���、紅外和其它無線媒質(zhì)���,例如無線PAN、無線LAN以及無線WAN媒質(zhì)�����。上述任一的組合也應(yīng)當(dāng)包括在計算機可讀媒質(zhì)的范圍之內(nèi)。
系統(tǒng)存儲器130包括以易失和/或非易失存儲器形式的計算機存儲媒質(zhì)����,如只讀存儲器(ROM)131和隨機存取存儲器(RAM)132�。基本輸入/輸出系統(tǒng)133(BIOS)包括如在啟動時幫助在計算機110內(nèi)的元件之間傳輸信息的基本例程�����,通常儲存在ROM 131中���。RAM 132通常包含處理單元120立即可訪問或者當(dāng)前正在操作的數(shù)據(jù)和/或程序模塊���。作為示例而非局限,圖1示出了操作系統(tǒng)134����、應(yīng)用程序135、其它程序模塊136和程序數(shù)據(jù)137�。
計算機110也可包括其它可移動/不可移動、易失/非易失計算機存儲媒質(zhì)��。僅作示例��,圖1示出了對不可移動、非易失磁媒質(zhì)進行讀寫的硬盤驅(qū)動器141����、對可移動、非易失磁盤152進行讀寫的磁盤驅(qū)動器151以及對可移動��、非易失光盤156���,如CD ROM或其它光媒質(zhì)進行讀寫的光盤驅(qū)動器155�����??梢栽谑纠圆僮鳝h(huán)境中使用的其它可移動/不可移動���、易失/非易失計算機存儲媒質(zhì)包括但不限于�����,磁帶盒�、閃存卡����、數(shù)字多功能盤、數(shù)字視頻帶、固態(tài)RAM����、固態(tài)ROM等等。硬盤驅(qū)動器141通常通過不可移動存儲器接口�,如接口140連接到系統(tǒng)總線121����,磁盤驅(qū)動器151和光盤驅(qū)動器155通常通過可移動存儲器接口,如接口150連接到系統(tǒng)總線121����。
圖1討論并示出的驅(qū)動器及其關(guān)聯(lián)的計算機存儲媒質(zhì)為計算機110提供了計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)����、程序模塊和其它數(shù)據(jù)的存儲。例如��,在圖1中���,示出硬盤驅(qū)動器141儲存操作系統(tǒng)144��、應(yīng)用程序145�、其它程序模塊146和程序數(shù)據(jù)147。注意����,這些組件可以與操作系統(tǒng)134、應(yīng)用程序135�����、其它程序模塊136和程序數(shù)據(jù)137相同����,也可以與它們不同。這里對操作系統(tǒng)144�、應(yīng)用程序145、其它程序模塊146和程序數(shù)據(jù)147給予不同的標(biāo)號來說明至少它們是不同的副本�。用戶可以通過輸入設(shè)備,如輸入板或電子數(shù)字化儀164��、麥克風(fēng)163��、鍵盤162和定位設(shè)備161(通常指鼠標(biāo)����、跟蹤球或觸摸板)向計算機110輸入命令和信息。其它輸入設(shè)備(未示出)可包括操縱桿��、游戲墊、圓盤式衛(wèi)星天線����、掃描儀等等。這些和其它輸入設(shè)備通常通過耦合至系統(tǒng)總線的用戶輸入接口160連接至處理單元120����,但是也可以通過其它接口和總線結(jié)構(gòu)連接,如并行端口�����、游戲端口或通用串行總線(USB)����。監(jiān)視器191或其它類型的顯示設(shè)備也通過接口���,如視頻接口190連接至系統(tǒng)總線121���。監(jiān)視器191也可以與觸摸屏面板或其類似物組合。注意�,監(jiān)視器和/或觸摸屏面板可以物理地耦合至結(jié)合計算設(shè)備110的外殼,如平板類型的個人計算機����。另外����,諸如計算設(shè)備110的計算機也包括其它外圍輸出設(shè)備�����,如揚聲器197和打印機196���,通過輸出外圍接口194或其類似物連接��。
計算機110可以在使用到一個或多個遠程計算機�����,如遠程計算機180的邏輯連接的網(wǎng)絡(luò)化環(huán)境中操作���。遠程計算機180可以是個人計算機、服務(wù)器���、路由器��、網(wǎng)絡(luò)PC�����、對等設(shè)備或其它公用網(wǎng)絡(luò)節(jié)點��,并通常包括許多或所有上述與計算機110相關(guān)的元件�,盡管在圖1中僅示出了存儲器存儲設(shè)備181。圖1描述的邏輯連接包括局域網(wǎng)(LAN)171和廣域網(wǎng)(WAN)172����,這里示出作為示例而非局限。這類網(wǎng)絡(luò)環(huán)境常見于辦公室范圍或企業(yè)范圍計算機網(wǎng)絡(luò)�����、內(nèi)聯(lián)網(wǎng)以及因特網(wǎng)���。
當(dāng)在局域網(wǎng)網(wǎng)絡(luò)環(huán)境中使用時,計算機110通過網(wǎng)絡(luò)接口或適配器170連接至局域網(wǎng)171��。此外����,一個或多個有線/無線網(wǎng)絡(luò)接口170的組支持在WAN 173上的通信。雖然沒有在圖1中示出�,計算機110可潛在地包括內(nèi)置的或者外置的調(diào)制解調(diào)器����,通過用戶輸入接口160或者其他合適的機制連接到系統(tǒng)總線121�。在網(wǎng)絡(luò)化環(huán)境中,描述的與計算機110相關(guān)的程序模塊或其部分可儲存在遠程存儲器存儲設(shè)備中����。為了示例而不是限制,圖1示出了遠程應(yīng)用程序駐留在存儲設(shè)備181上�����?���?梢岳斫猓境龅木W(wǎng)絡(luò)連接是示例性的�,也可以使用在計算機之間建立通信鏈路的其它裝置。
在描述其中可以具有優(yōu)勢地結(jié)合本發(fā)明的示例網(wǎng)絡(luò)環(huán)境之前��,用于描述本發(fā)明的實施例的術(shù)語將首先被提供����。一般,本發(fā)明在一網(wǎng)絡(luò)環(huán)境中實現(xiàn)��,包括企業(yè)網(wǎng)(即,有公司維護的網(wǎng)絡(luò))�,這種網(wǎng)絡(luò)一般由包括一個或多個虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器集成在內(nèi)的防火墻保護。因此���,用戶可以通過初始連接到公共和本地網(wǎng)絡(luò)(即���,在本地網(wǎng)絡(luò)中的)并之后建立一至企業(yè)網(wǎng)的VPN隧道來接入連接到企業(yè)網(wǎng)的資源/實體。
“安全區(qū)域”是接入至/來自在一些其他形式中限制(例如���,要求通過注冊過程對用戶進行識別/授權(quán))的區(qū)域的互連性的最小區(qū)域�。安全區(qū)域的例子包括由防火墻/NAT保護的本地網(wǎng)絡(luò)���、由周圍(perimeter)防火墻保護的企業(yè)網(wǎng)絡(luò)�、以及諸如因特網(wǎng)的未保護的公共網(wǎng)絡(luò)�����,其中的接入是不受保護的�,但是其區(qū)域?qū)挾?domain breadth)通過由所連接的其他安全區(qū)域所建立的周圍防火墻定界(delimited)��。
“移動區(qū)域”是節(jié)點區(qū)域�,其中與該節(jié)點建立的會話在節(jié)點在一個或者多個安全區(qū)域中以及/或者之間移動時保持不變����。移動區(qū)域潛在地擴展了多個安全區(qū)域���。
參考圖2����,說明了其中可以潛在地實現(xiàn)本發(fā)明的網(wǎng)絡(luò)計算環(huán)境的簡單示例���。在所示出的環(huán)境中����,以幾乎是任何便攜式計算設(shè)備(例如����,筆記本或者平板計算機、PDA����、智能電話等等)的形式出現(xiàn)的移動節(jié)點200包括一個或多個網(wǎng)絡(luò)接口(沒有專門示出),這些網(wǎng)絡(luò)接口幫助通過多種網(wǎng)絡(luò)接口技術(shù)連接至多個網(wǎng)絡(luò)�。在圖2說明的特定實施例中,移動節(jié)點200潛在地通過的無線收發(fā)機204(通過802 11a/b/g媒體規(guī)則/協(xié)議)通信,該無線收發(fā)機可通信地耦合至對應(yīng)于移動節(jié)點200的本地網(wǎng)絡(luò)的局域網(wǎng)206����。無線收發(fā)機204(也稱為無線接入點或者WAP)提供對于LAN 206上的多種資源的接入。例如�����,無線收發(fā)機204提供筆記本計算機200接入至在文件服務(wù)器208和由DNS服務(wù)器209支持的名稱服務(wù)器所維持的目錄�����。
移動節(jié)點200和214���,如它們的名稱所表明的�����,能夠移動并在不同于它們的本地網(wǎng)絡(luò)的網(wǎng)絡(luò)上建立新的網(wǎng)絡(luò)地址(與以太網(wǎng)鏈接206相關(guān))�。在圖2說明的示例性移動網(wǎng)絡(luò)環(huán)境中����,當(dāng)位于它們的本地網(wǎng)絡(luò)之外時,移動節(jié)點200和214通過包括蜂窩傳輸塔202的蜂窩傳輸網(wǎng)絡(luò)接入到多個網(wǎng)絡(luò)/資源�����,包括相互接入�����。在圖2說明的移動網(wǎng)絡(luò)環(huán)境中�����,移動節(jié)點200和214通過提供第一跳躍(hop)連接至一連接至因特網(wǎng)212的蜂窩網(wǎng)絡(luò)的蜂窩傳輸塔202與連接至其他網(wǎng)絡(luò)��,包括LAN 206的實體(直接或者間接地)相連接����。當(dāng)移動節(jié)點200和214位于它們的本地網(wǎng)絡(luò)(即,LAN 206)之外時���,包括/相關(guān)于一虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器的網(wǎng)關(guān)/防火墻/調(diào)制解調(diào)器210支持因特網(wǎng)212和連接至LAN 206的計算設(shè)備之間的通信����。VPN服務(wù)器組件允許通過要求外部節(jié)點建立VPN隧道來授權(quán)在LAN 206的周圍(perimeter)的網(wǎng)絡(luò)業(yè)務(wù)����。如果沒有VPN服務(wù)器,網(wǎng)關(guān)/防火墻/調(diào)制解調(diào)器210在許多情況下會接收對于從位于防火墻之后的實體發(fā)布的請求的響應(yīng)。網(wǎng)關(guān)/防火墻/調(diào)制解調(diào)器210還提供因特網(wǎng)212的用戶接入至LAN 206上的資源����。
在移動節(jié)點200和214上執(zhí)行的應(yīng)用程序潛在地建立網(wǎng)絡(luò)連接并以對等安排的形式與靜態(tài)連接的客戶機節(jié)點211(例如,桌面PC)以及其他移動節(jié)點通過無線收發(fā)機204和蜂窩傳輸塔202通信�����。DNS服務(wù)器209通過提供命名的網(wǎng)絡(luò)實體的當(dāng)前地址來支持這種對等連接���。DNS 209服務(wù)器為命名的網(wǎng)絡(luò)實體維持一對應(yīng)的地址(即��,命名的網(wǎng)絡(luò)實體在本地網(wǎng)絡(luò)上的地址)�。對于移動節(jié)點�,諸如節(jié)點200和214,當(dāng)移動節(jié)點當(dāng)前沒有連接至其本地網(wǎng)絡(luò)時��,當(dāng)前地址潛在地與本地地址不同����。作為示例,移動節(jié)點200被分配了本地地址1111����,移動節(jié)點214被分配了本地地址1112�����。當(dāng)移動節(jié)點200和214連接至另一個網(wǎng)絡(luò)時。它們接收不同于它們所分配的本地地址的網(wǎng)絡(luò)地址���。
DNS服務(wù)器209響應(yīng)于由試圖與命名的實體建立/重新建立連接的網(wǎng)絡(luò)實體提交的名稱請求��,為命名的網(wǎng)絡(luò)實體�����,包括移動節(jié)點提供當(dāng)前地址�����。此外�����,由DNS服務(wù)器��,例如DNS服務(wù)器209使用的名稱/地址相關(guān)表可被復(fù)制以改善對于多個DNS服務(wù)器的接入���,一個這樣的服務(wù)器被指定為對于給定網(wǎng)絡(luò)實體的“授權(quán)”�。
當(dāng)移動節(jié)點移動到新的網(wǎng)絡(luò)地址時�,由非授權(quán)DNS服務(wù)器在名稱緩存中維持的移動節(jié)點(例如,移動節(jié)點200和214)的當(dāng)前地址可能臨時地變得不正確����。不正確的地址保留在名稱緩存中直到其被更新的地址所替換,替換是由于DNS服務(wù)器之間可能存在的復(fù)制或者其生存時間(TTL)變成0�����。結(jié)果���,當(dāng)移動節(jié)點改變地址時��,與在對應(yīng)的網(wǎng)絡(luò)節(jié)點上執(zhí)行的應(yīng)用程序的會話會丟失/瓦解直到新的移動節(jié)點的新的地址被發(fā)現(xiàn)并放置(bound)到棧中��。在對等連接的兩個節(jié)點都是移動節(jié)點(例如�,節(jié)點200和214)且兩個移動節(jié)點在基本相同的時間釋放它們的本地網(wǎng)絡(luò)(并因此丟失對授權(quán)DNS服務(wù)器的接入)的情況下���,重新發(fā)現(xiàn)的過程會變得更加復(fù)雜���。
參考圖3,示例協(xié)議棧300被示意性地說明用于實現(xiàn)本發(fā)明的移動節(jié)點200��。示出的協(xié)議棧300包括,在物理層網(wǎng)絡(luò)接口卡(NIC)310通過移動節(jié)點200上的物理接口發(fā)送并接收通信����。NIC 310通過網(wǎng)絡(luò)驅(qū)動器接口320(例如,NDIS)與協(xié)議棧300的上層通信����。這種上層中的一種包括VPN/隧道驅(qū)動器330���。VPN/隧道驅(qū)動器330支持移動節(jié)點200和VPN服務(wù)器之間的隧道連接��。VPN/隧道驅(qū)動器330將消息壓縮到合適的外殼中���,識別在節(jié)點200的本地安全區(qū)域的安全區(qū)域之外的非本地地址。當(dāng)移動節(jié)點不使用VPN/隧道功能來在其本地網(wǎng)絡(luò)(LAN 206)上通信的時�,VPN/隧道驅(qū)動器330被繞過。在圖3示出的實施例中�����,NDIS 320被示為彎曲了隧道驅(qū)動器330的一部分�,因為其被VPN/隧道驅(qū)動器330用于連接NIC 310和TCP/IP層340兩者。
在示例實施例中——TCP/IP層340(也包括UDP驅(qū)動器功能)位于VPN/隧道驅(qū)動器330之上或者之下��,為了反映這個,在示出的實施例中�,VPN/隧道驅(qū)動器330即是客戶機也是由TCP/IP層340調(diào)用的驅(qū)動器。TCP/IP層340實現(xiàn)公知的傳輸層操作�。在本發(fā)明的一個實施例中,TCP/IP層340包括按條件執(zhí)行的進程�����,以使如果響應(yīng)于捆綁更新(當(dāng)移動節(jié)點200接收新的網(wǎng)絡(luò)地址)�,沒有確認(rèn)從再定位的移動對應(yīng)節(jié)點接收,則TCP/IP層340發(fā)布一針對相應(yīng)的節(jié)點的名稱查詢以獲得最新的可用網(wǎng)絡(luò)地址���,該地址是來自移動節(jié)點的棧被配置成要進行查詢的DNS服務(wù)器�。
一名稱注冊客戶機350�,在示例實施例中其是移動節(jié)點200的動態(tài)主機配置協(xié)議(DHCP)客戶機的一部分,包括一功能性改變以保證在從授權(quán)DNS服務(wù)器209到(leaf)DNS服務(wù)器獲取改變的網(wǎng)絡(luò)地址時的傳播時延不會影響相應(yīng)的節(jié)點從leafDNS服務(wù)器接收過時的信息�。在一個特定實施例中,操作用于建立一本地網(wǎng)絡(luò)安全區(qū)域中的移動節(jié)點200的網(wǎng)絡(luò)地址的名稱注冊服務(wù)器350使用更加直接的方式(further directive)提供當(dāng)前地址至其授權(quán)DNS服務(wù)器209����,葉(leaf)DNS服務(wù)器不在它們的名稱緩存中保存移動節(jié)點的名稱/地址組合。在本發(fā)明的特定實施例中���,這些功能由名稱注冊客戶機350實現(xiàn)�,其向授權(quán)DNS服務(wù)器209提供具有生存時間為0的名稱/網(wǎng)絡(luò)地址更新。非授權(quán)DNS服務(wù)器不會緩存來自授權(quán)DNS服務(wù)器的地址解析響應(yīng)�����,其中該相應(yīng)指定了TTL為0�。結(jié)果,所有的用于移動節(jié)點200的名稱請求唯一地參考由授權(quán)DNS服務(wù)器209維持的名稱/地址解析信息而被解析���。為了說明簡單(scalability)�����,僅僅一個移動節(jié)點將包括TTL為0的功能。這種移動性可通過檢測一起始的裝置而實現(xiàn)自動化�����,該裝置檢測節(jié)點是否是配置成移動的(例如�����,啟用了電池功率和DHCP)����。
圖3中最后一個被識別的組件是VPN客戶機360�。在示出的本發(fā)明的實施例中�����,VPN客戶機360起始建立一與駐留在不同于移動節(jié)點當(dāng)前駐留的區(qū)域的安全區(qū)域中的VPN服務(wù)器的VPN隧道連接�。在本發(fā)明的其他實施例中,沒有VPN服務(wù)器出現(xiàn)在移動客戶機的本地網(wǎng)絡(luò)上���。在這種情況下�����,移動節(jié)點通過公知的“集合(rendezvous)”服務(wù)器建立鏈路回到由防火墻保護的LAN 206�����。該集合服務(wù)器駐留在LAN 206外并可由移動節(jié)點接入�����。集合服務(wù)器維持至LAN206中的節(jié)點的恒定連接并使用該連接來通知位于LAN 206的防火墻的另一側(cè)的節(jié)點��,移動節(jié)點200試圖與該節(jié)點建立連接���。
轉(zhuǎn)到圖4���,概述了一組有移動節(jié)點(例如移動節(jié)點200)執(zhí)行的用于再建立至對應(yīng)節(jié)點,例如移動節(jié)點214的連接的示例步驟��,上述的連接由于移動節(jié)點200將其位置從網(wǎng)絡(luò)地址(1111)改變到和其他網(wǎng)絡(luò)相關(guān)的網(wǎng)絡(luò)地址�����,例如通過傳輸塔202接入的蜂窩網(wǎng)絡(luò)�����。移動節(jié)點200之前將其本地地址直接提供給其授權(quán)DNS服務(wù)器209以使得該地址不需要被緩存在非授權(quán)的DNS服務(wù)器中(例如�,指定TTL為0)。還假設(shè)沒有用于移動節(jié)點200的本地代理存在�����。在示出的示例中�����,在移動節(jié)點200從LAN 206解除連接之后��,移動節(jié)點200通過網(wǎng)關(guān)/防火墻/調(diào)制解調(diào)器210從其在蜂窩網(wǎng)絡(luò)上的新地址建立VPN隧道連接至其本地網(wǎng)絡(luò)LAN 206�。
起始時,在步驟400���,移動節(jié)點200接收表示移動節(jié)點不再連接至LAN206的解除連接通知�。該解除連接通知可從多種環(huán)境中的任何一種產(chǎn)生���,包括���,作為示例,用戶斷開了移動節(jié)點200和LAN 206之間的網(wǎng)絡(luò)連接�����。作為響應(yīng)��,移動節(jié)點200上的網(wǎng)絡(luò)通信協(xié)議棧處理該解除連接通知并發(fā)布通知到移動節(jié)點200上受影響的組件���。作為示例���,當(dāng)接收解除連接通知時,協(xié)議棧組件或者駐留在上述協(xié)議棧中的應(yīng)用程序會產(chǎn)生一對話框來邀請用戶建立一個新的連接�。在一個示例實施例中�,對話框展現(xiàn)了一組可用的與用戶進行通信的網(wǎng)絡(luò)/接口/模式����。還需要注意,在一些示例中�����,NDIS和TCP/IP?����?赡懿粫邮战獬B接通知(例如���,移動無線)����。作為取代��,移動節(jié)點將會從信的接入點接收媒體連接通知�����。
繼續(xù)本示例�,在步驟402用戶(或者可能是在移動節(jié)點200上執(zhí)行的標(biāo)準(zhǔn)驅(qū)動(criterion-driven)的自動化網(wǎng)絡(luò)選擇組件)選擇新的網(wǎng)絡(luò),與該網(wǎng)絡(luò)將建立連接��。在示出的示例中����,用戶選擇和傳輸塔202相關(guān)的蜂窩網(wǎng)絡(luò)。之后執(zhí)行一組步驟來建立至節(jié)點200的本地網(wǎng)絡(luò)(LAN 206)的新連接和通過該新的網(wǎng)絡(luò)連接至相應(yīng)的節(jié)點的連接��。
在步驟404期間��,移動節(jié)點200連接/注冊至蜂窩無線網(wǎng)絡(luò)(具有和LAN206不同的安全區(qū)域)并被動態(tài)地分配不同于其本地網(wǎng)絡(luò)地址(1111)的在蜂窩網(wǎng)絡(luò)上的新的網(wǎng)絡(luò)地址(例如��,3331)并進行配置��。用于新網(wǎng)絡(luò)的DNS服務(wù)器被更新以包括移動節(jié)點在其名稱解析表中的新地址(以及在新的安全區(qū)域內(nèi)移動節(jié)點的名稱)��。因此���,例如�,在移動節(jié)點解除通過無線收發(fā)機204從LAN 206的連接并通過傳輸塔202重新連接至該蜂窩網(wǎng)絡(luò)的情況下���,分配給移動節(jié)點200的網(wǎng)絡(luò)地址從本地地址“1111”變成遠程網(wǎng)絡(luò)地址“3331”�����。
此后�����,在步驟406做出決定移動節(jié)點200目前駐留在移動節(jié)點200的本地網(wǎng)絡(luò)(LAN 206)的安全區(qū)域之外��。按照本發(fā)明的一實施例���,移動節(jié)點200通過按照有移動節(jié)點200維持的策略來檢驗其新的網(wǎng)絡(luò)地址和配置以確定它已經(jīng)移動到了其本地網(wǎng)絡(luò)的安全區(qū)域之外(例如����,之前建立連接的對應(yīng)節(jié)點的安全區(qū)域)�����。例如�,移動節(jié)點200上的策略說明,當(dāng)當(dāng)前分配的IP地址表示不同于11xx的網(wǎng)絡(luò)時�����,移動節(jié)點200需要考慮其自己處于不同的安全區(qū)域中�。該策略還進一步指定其應(yīng)該連接的VPN服務(wù)器的IP地址為1150。
在步驟408�,在移動節(jié)點200上執(zhí)行的VPN客戶機360初始通過與例如網(wǎng)關(guān)/防火墻/調(diào)制解調(diào)器210相關(guān)執(zhí)行的VPN服務(wù)器建立VPN隧道連接。VPN服務(wù)器連接在移動節(jié)點200向VPN服務(wù)器提供一組注冊標(biāo)準(zhǔn)(logoncredential)之后被建立���。響應(yīng)于成功的注冊���,VPN服務(wù)器通過動態(tài)主機配置協(xié)議(DHCP)進程——或者諸如點對點協(xié)議(PPP)的多種協(xié)議中的任何一種在LAN 206上建立用于節(jié)點200的新連接,例如1115�����。因此�����,在完成步驟408之后�,VPN服務(wù)器作為用于LAN 206上的移動節(jié)點200的可信的消息發(fā)送者。作為移動節(jié)點200可信的消息發(fā)送者��,VPN服務(wù)器提供用于LAN 206上的節(jié)點200的授權(quán)�����、安全以及消息集成服務(wù)�����。
之后,在步驟410期間���,移動節(jié)點200通過VPN隧道連接將其新的網(wǎng)絡(luò)地址(1115)提供給其授權(quán)DNS服務(wù)器209�。如上面所描述的�����,按照本發(fā)明的一個實施例�����,移動節(jié)點表示在步驟410期間���,非授權(quán)DNS服務(wù)器不應(yīng)該緩存網(wǎng)絡(luò)節(jié)點的新的網(wǎng)絡(luò)地址(1115)���。在本發(fā)明的一具體實施例中,該功能由指定TTL為0的移動節(jié)點200實現(xiàn)��。結(jié)果�,試圖具有移動節(jié)點的地址的節(jié)點將僅僅依靠授權(quán)的DNS服務(wù)器209來提供移動節(jié)點200的地址。
此后��,在步驟412,如果需要的話����,移動節(jié)點200通過發(fā)布捆綁更新至對應(yīng)節(jié)點的最后所知的地址來重新建立至對應(yīng)的節(jié)點的潛在丟失的連接。該捆綁更新通知對應(yīng)的節(jié)點分配給移動節(jié)點的新地址(1115)——在完成步驟408之后用于移動節(jié)點200的VPN服務(wù)器地址���。如果對應(yīng)的節(jié)點也改變了其地址(例如,移動節(jié)點214在與移動節(jié)點200基本上相同的時間也移動了)����,則捆綁更新會失敗。移動節(jié)點200發(fā)布識別分配給對應(yīng)節(jié)點的唯一名稱的名稱查詢���。如果返回的名稱查詢地址與由移動節(jié)點當(dāng)前維持的對應(yīng)節(jié)點的地址不相同���,則移動節(jié)點使用所提供的地址來發(fā)布另一個捆綁更新。在接收到捆綁更新響應(yīng)時���,移動節(jié)點和對應(yīng)節(jié)點之間的連接在步驟414期間被保存�����。
需要注意作為潛在的優(yōu)化(特別是如果移動節(jié)點200感覺到捆綁更新的目標(biāo)接收者同樣是移動的)���,不是等待初始的捆綁更新請求失敗���,移動節(jié)點200在接收對于初始捆綁更新請求的響應(yīng)之前執(zhí)行名稱查詢。如果對于名稱查詢的響應(yīng)不同于在初始的捆綁更新請求期間使用的地址��,則移動節(jié)點200發(fā)布進一步的捆綁更新請求����。這樣的優(yōu)化,盡管通常會導(dǎo)致不必要的名稱請求��,加快重新連接至一對應(yīng)的節(jié)點也被重新定位����。該優(yōu)化可進一步被修整為僅僅基于應(yīng)用程序的相關(guān)容忍度(tolerance)而觸發(fā),該容忍度是關(guān)于在移動節(jié)點200重新定位時至對應(yīng)節(jié)點的連接瓦解長度���。上述的用于重新建立連接的安排和方法�,使用在動態(tài)網(wǎng)絡(luò)環(huán)境中的DNS和VPN服務(wù)器組件����,使得移動節(jié)點能在在移動節(jié)點移動到位于其本地網(wǎng)絡(luò)以外的位置時重新建立至對應(yīng)節(jié)點的連接而不依靠本地代理。
轉(zhuǎn)到圖5�,其是一組示例通信/動作,描述用于兩個移動節(jié)點改變在基本上相同的時間改變它們的位置的情況。初始時�����,移動節(jié)點A和B(例如���,移動節(jié)點200和214)被配置了它們的主DNS后綴����。節(jié)點A和B還具有用于它們的每個適配器的連接專用DNS后綴����。該后綴確定它們的附件DNS區(qū)域的當(dāng)前點���。節(jié)點A和B注冊到它們分別的授權(quán)DNS服務(wù)器500和502(它們可能是相同的服務(wù)器)�����。移動節(jié)點指示葉DNS服務(wù)器通過指定TTL為0而不緩存它們的地址�����。一連接基于它們的當(dāng)前地址而在節(jié)點A和B之間建立�。
然而,在步驟1a�����、1b��,節(jié)點A和B改變了它們的地址��。之后�,在步驟2a、2b�����,節(jié)點A和B獲得并注冊它們的新地址至它們的授權(quán)DNS服務(wù)器�。在步驟3a、3b期間���,節(jié)點A和B中的每一個相互發(fā)布捆綁更新�,但是捆綁更新的目的地是每一個節(jié)點的舊地址�。因此捆綁更新會失敗(潛在會有多次)。
在步驟4a�、4b期間,節(jié)點A和B的每一個詢問它們的DNS服務(wù)器500和502以獲得它們所希望的目標(biāo)的當(dāng)前地址�����。因為每一個節(jié)點都指定TTL為0,DNS服務(wù)器500和502在步驟5a和5b期間傳動請求至用于該移動節(jié)點的授權(quán)DNS服務(wù)器����。在步驟6a、6b期間��,授權(quán)DNS服務(wù)器500和502返回節(jié)點A和B的新地址��。名稱詢問響應(yīng)在步驟7a�、7b期間被傳回節(jié)點A和B。
現(xiàn)在獲得了移動的節(jié)點的最新的地址����,節(jié)點A和B在步驟8a��、8b期間重新發(fā)布它們的捆綁更新并在步驟9a�、9b期間接收它們的捆綁更新的成功確認(rèn)。需要注意僅僅需要節(jié)點A或者節(jié)點B的捆綁更新中的一個被發(fā)布/確認(rèn)以重新建立(當(dāng)兩個節(jié)點移動時)瓦解的連接���,由于捆綁更新的接收者將在此更新中獲得發(fā)送者的新地址��。還需要注意�����,按照之前描述的優(yōu)化����,節(jié)點不需要在發(fā)布名稱詢問以獲得節(jié)點更新的網(wǎng)絡(luò)地址之前等待一個或者更多的捆綁更新失敗。
快速VPN隧道再使用對于之前公知支持移動節(jié)點的系統(tǒng)的另一個增強涉及對VPN隧道的操作���。具體地說��,按照本發(fā)明的一個實施例���,移動節(jié)點的VPN隧道在移動節(jié)點從地址一個外部轉(zhuǎn)交(care of)地址移動到地址的另一個外部轉(zhuǎn)交(care of)地址時會快速的重設(shè)置?����?焖賄PN重設(shè)置功能由位于由移動節(jié)點實現(xiàn)的通信棧的TCP/IP層340的頂部的因特網(wǎng)安全組件(例如���,IPSEC)部分地支持����。
在下列情況下移動節(jié)點200可自動并快速地建立VPN連接(1)具有將要與之建立VPN隧道的在LAN 206上的VPN服務(wù)器的地址�����,以及(2)在移動節(jié)點200和VPN服務(wù)器之間的網(wǎng)絡(luò)接入服務(wù)器(以及任何干涉網(wǎng)絡(luò))允許移動節(jié)點接入到VPN服務(wù)器。這樣的接入通過提供VPN服務(wù)器地址作為移動節(jié)點200的配置的一部分來輔助����。該地址可以多種方式中的任何一種被提供,包括通過配置用戶接口人工提供�、來自DHCP服務(wù)器、通過策略下載��。此外���,移動節(jié)點連接的網(wǎng)絡(luò)提供至因特網(wǎng)的連接����。用于移動節(jié)點200連接至的外部網(wǎng)絡(luò)的授權(quán)服務(wù)器被配置為對于通過VLAN或者VPN的節(jié)點支持至因特網(wǎng)的客人連接并因而支持至LAN 206的VPN服務(wù)器的連接�。此后����,移動節(jié)點200潛在地使用嵌套的VPN(例如,在客人連接是通過VPN的情況下)連接至LAN 206的安全區(qū)域中的節(jié)點���。作為示例���,L2TP/IPSEC或者IPSEC隧道模式VPN連接被建立�。
針對VPN連接設(shè)置的性能優(yōu)化使得在其網(wǎng)絡(luò)地址改變時�,快速再使用所建立的用于移動節(jié)點200安全數(shù)據(jù)結(jié)構(gòu)。這種優(yōu)化通過下列的對于存在的支持網(wǎng)絡(luò)通信的協(xié)議棧的增強來輔助����。首先,位于TCP/IP層340的頂端的互連網(wǎng)安全組件(例如�,IPSEC)在處理移動節(jié)點200的本地地址之后被調(diào)用,而對于移動節(jié)點200的不會改變的本地地址被用于授權(quán)該移動節(jié)點用于VPN隧道�。因特網(wǎng)SA(安全關(guān)聯(lián))是用于機器之間的安全會話環(huán)境。指定用于IP安全SA的屬性包括����,但不限于,IP地址���、授權(quán)機制���、加密算法、算法模式以及密鑰素材��?;诒镜氐刂返囊蛱鼐W(wǎng)SA在移動節(jié)點200改變其地址時不會改變�����。因此不需要在移動節(jié)點改變其地址時更新安全結(jié)構(gòu)(例如��,IPSEC過濾器)�����。
第二���,之前建立的在移動節(jié)點200和在LAN 206上的VPN服務(wù)器之間的VPN隧道被再使用。在本發(fā)明的一個實施例中��,移動節(jié)點200和LAN 206上的VPN服務(wù)器之間的第二層隧道協(xié)議(L2TP)隧道在移動節(jié)點200按照移動IPv6規(guī)則在轉(zhuǎn)交地址之間移動時維持�����。移動節(jié)點200使用本地安全區(qū)域之外的其節(jié)點的第一轉(zhuǎn)交地址作為其本地地址�。其指定第一轉(zhuǎn)交地址作為其本地地址并將其用于隧道和安全結(jié)構(gòu)以建立VPN隧道。因此IPSEC過濾器被使用該本地地址建立����。
轉(zhuǎn)到圖6�����,概述了當(dāng)移動節(jié)點多次改變其在公共網(wǎng)絡(luò)中的地址時,由上述的對VPN操作的增強所支持的快速VPN隧道再使用方法���。初始時��,在步驟600期間移動節(jié)點200在第一外部轉(zhuǎn)交地址建立至LAN 206上的VPN服務(wù)器的VPN隧道(例如�����,L2TP隧道端點)�����。移動節(jié)點使用第一外部轉(zhuǎn)交地址作為其針對外部區(qū)域的本地地址�。
在步驟602��,移動節(jié)點200改變其地址至第二外部地址����。在步驟604,移動節(jié)點200發(fā)送捆綁更新至其VPN服務(wù)器/隧道端點��。捆綁更新按照,例如Ipv6映射第一地址至第二地址���。響應(yīng)于捆綁更新�����,在步驟606VPN服務(wù)器改變其映射(原始是第一至第一地址)來映射第一地址至新的第二地址���,但是維持所有的之前在VPN隧道被在第一外部轉(zhuǎn)交地址創(chuàng)建用于移動節(jié)點時創(chuàng)建的原始互連網(wǎng)協(xié)議安全結(jié)構(gòu)(例如,源地址——外部網(wǎng)絡(luò)上第一轉(zhuǎn)交地址——建立VPN隧道的客戶機和與該客戶機在其之前的地址相關(guān)的其他區(qū)域)����。隧道結(jié)構(gòu)同樣被再使用。這種隧道結(jié)構(gòu)的示例包括下列類型隧道(L2TP����、IPSEC)、客戶機的IP地址��、隧道服務(wù)器的IP地址����、(可選擇的)在兩個端(如果是L2TP隧道協(xié)議)的端口、所使用的安全的種類(例如IPSEC)����。一般,當(dāng)移動客戶機的地址改變時����,本發(fā)明維持適當(dāng)?shù)闹爱a(chǎn)生的隧道結(jié)構(gòu)。這是通過總是使用本地地址來查找該結(jié)構(gòu)來輔助(例如��,在查找之前取代IP地址頭部中的本地地址)�。
此后,VPN服務(wù)器將附加一個路由擴展頭部����,目的頭部可選擇地指定第一地址作為發(fā)送到移動節(jié)點200的新(第二)地址的所有分組的IPv6頭部的目的地址。
在步驟608�,當(dāng)在第二地址時移動節(jié)點200接收這樣的分組時,IP層使用第一(外部本地)地址來替換第二地址用于該移動節(jié)點����。修改后的節(jié)點之后傳送給IP層的客戶機(例如,TCP�、UDP等等)。因此�����,當(dāng)移動節(jié)點200確實不再處于第一外部轉(zhuǎn)交地址時,IP層的客戶機繼續(xù)相信移動節(jié)點200仍然處于其第一地址���。
在步驟610����,當(dāng)移動節(jié)點200發(fā)送分組至VPN服務(wù)器用于LAN 206時��,移動節(jié)點200將第一地址放置到附加到IPv6頭部的主機擴展頭部的“本地地址”選項中���。第二�,移動節(jié)點的新地址被放置于所傳送的分組中的IPv6頭部的源地址中��。
在步驟612�����,當(dāng)VPN服務(wù)器接收所傳送的分組時��,IPv6棧組件在將所接收的分組傳送到通信棧的更加高的層之前使用第一地址來替換在源字段中的第二地址�����。再一次�����,更高的層的棧的組件(負(fù)責(zé)進行用隧道傳輸、認(rèn)證對于通過該隧道傳輸?shù)姆纸M的授權(quán)并過濾未授權(quán)的分組)�����,諸如L2TP和IP安全過濾��,不會感知到移動節(jié)點200的地址的變化����。因此�,原始創(chuàng)建的用于移動節(jié)點200和用于LAN 206的VPN服務(wù)器之間的VPN隧道的隧道和安全結(jié)構(gòu)繼續(xù)工作。
參考許多可能的計算環(huán)境�����,其中本發(fā)明的原理可被應(yīng)用且靈活地實現(xiàn)網(wǎng)絡(luò)接入配置的以滿足在一包括多個移動節(jié)點的網(wǎng)絡(luò)環(huán)境中維持地址和連接的挑戰(zhàn)����,需要認(rèn)識到此處描述的實施例意味著是說明性的并不應(yīng)該被作為對于本發(fā)明的范圍的限制。熟悉應(yīng)用本發(fā)明的領(lǐng)域的技術(shù)人員將會理解示出的實施例可在順序上修改或者在細節(jié)上修改而不脫離本發(fā)明的原理�����。因此,此處描述的本發(fā)明預(yù)見了所有的這種實施例���,其可以在權(quán)利要求或其等價描述的范圍之內(nèi)��。
權(quán)利要求
1.一種在分配給移動節(jié)點的多個網(wǎng)絡(luò)地址之間維持虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的方法����,該方法包括在虛擬專用網(wǎng)絡(luò)隧道服務(wù)器和移動節(jié)點之間設(shè)置虛擬專用網(wǎng)絡(luò)隧道��,其中支持該虛擬專用網(wǎng)絡(luò)隧道的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)是基于用于移動節(jié)點的本地地址的����;分配新的網(wǎng)絡(luò)地址給移動節(jié)點,該新的網(wǎng)絡(luò)地址不同于移動節(jié)點的本地地址��;由移動節(jié)點傳送捆綁更新至指定新網(wǎng)絡(luò)地址的虛擬專用網(wǎng)絡(luò)隧道服務(wù)器��,以及�����;創(chuàng)建用于移動節(jié)點的從新網(wǎng)絡(luò)地址至本地網(wǎng)絡(luò)地址的映射關(guān)系��,由此促進基于移動節(jié)點的本地地址的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的繼續(xù)使用�����。
2.如權(quán)利要求1所述的方法,其特征在于����,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括安全結(jié)構(gòu)。
3.如權(quán)利要求2所述的方法����,其特征在于��,所述安全結(jié)構(gòu)包括因特網(wǎng)安全結(jié)構(gòu)����。
4.如權(quán)利要求1所述的方法,其特征在于�����,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括隧道結(jié)構(gòu)�。
5.如權(quán)利要求1所述的方法,其特征在于���,所述創(chuàng)建步驟包括由所述虛擬專用網(wǎng)絡(luò)隧道服務(wù)器更新一映射結(jié)構(gòu)以把在捆綁更新中提供的新的網(wǎng)絡(luò)地址信息結(jié)合進來�����。
6.如權(quán)利要求1所述的方法���,還包括在傳送步驟之后����,由移動節(jié)點從虛擬專用網(wǎng)絡(luò)隧道服務(wù)器接收包括新的網(wǎng)絡(luò)地址的消息���,以及由移動節(jié)點以所接收的消息分組中的目的地字段中的本地地址來替換新的網(wǎng)絡(luò)地址�����。
7.如權(quán)利要求6所述的方法�,其特征在于�,所述替換步驟由中間協(xié)議棧層執(zhí)行,該層實現(xiàn)分組地址操作策略���,所接收的消息分組之后被傳送到中間協(xié)議棧層的客戶機����。
8.如權(quán)利要求7所述的方法���,其特征在于���,所述中間協(xié)議棧層包括因特網(wǎng)協(xié)議層�����。
9.如權(quán)利要求1所述的方法�����,還包括在傳送步驟之后���,由移動節(jié)點把所述新網(wǎng)絡(luò)地址置入在源地址字段中���、把本地地址置入傳送到虛擬專用網(wǎng)絡(luò)隧道服務(wù)器的分組的擴展頭部中�����。
10.如權(quán)利要求9所述的方法��,還包括下述步驟由虛擬專用網(wǎng)絡(luò)隧道服務(wù)器以由移動節(jié)點傳送到虛擬專用網(wǎng)絡(luò)隧道服務(wù)器的分組的擴展頭部中指定的本地地址來替換新的網(wǎng)絡(luò)地址��。
11.如權(quán)利要求10所述的方法����,其特征在于,所述替換步驟由中間協(xié)議棧層執(zhí)行����,該層實現(xiàn)分組地址操作策略,其中所接收的消息分組之后被傳送到中間協(xié)議棧層的客戶機�����。
12.一種計算機可讀媒質(zhì)���,包括幫助在分配給移動節(jié)點的多個網(wǎng)絡(luò)地址之間維持虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的計算機可執(zhí)行指令����,該方法包括在虛擬專用網(wǎng)絡(luò)隧道服務(wù)器和移動節(jié)點之間設(shè)置虛擬專用網(wǎng)絡(luò)隧道�����,其中支持該虛擬專用網(wǎng)絡(luò)隧道的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)是基于用于移動節(jié)點的本地地址的����;分配新的網(wǎng)絡(luò)地址給移動節(jié)點,該新的網(wǎng)絡(luò)地址不同于移動節(jié)點的本地地址;由移動節(jié)點傳送捆綁更新至指定新網(wǎng)絡(luò)地址的虛擬專用網(wǎng)絡(luò)隧道服務(wù)器����,以及;創(chuàng)建用于移動節(jié)點的從新網(wǎng)絡(luò)地址至本地網(wǎng)絡(luò)地址的映射關(guān)系�����,由此便于基于移動節(jié)點的本地地址的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的繼續(xù)使用�。
13.如權(quán)利要求12所述的計算機可讀媒質(zhì),其特征在于��,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括安全結(jié)構(gòu)�。
14.如權(quán)利要求13所述的計算機可讀媒質(zhì),其特征在于����,所述安全結(jié)構(gòu)包括因特網(wǎng)安全結(jié)構(gòu)。
15.如權(quán)利要求12所述的計算機可讀媒質(zhì)�,其特征在于,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括隧道結(jié)構(gòu)�。
16.如權(quán)利要求12所述的計算機可讀媒質(zhì)���,其特征在于�����,所述創(chuàng)建步驟包括由所述虛擬專用網(wǎng)絡(luò)隧道服務(wù)器更新一映射結(jié)構(gòu)以結(jié)合進在捆綁更新中提供的新的網(wǎng)絡(luò)地址信息���。
17.如權(quán)利要求12所述的計算機可讀媒質(zhì)���,還包括,在傳送步驟之后���,進一步執(zhí)行下述步驟的計算機可讀指令由移動節(jié)點從虛擬專用網(wǎng)絡(luò)隧道服務(wù)器接收包括新的網(wǎng)絡(luò)地址的消息��,以及由移動節(jié)點使用所接收的消息分組中的目的地字段中的本地地址來替換新的網(wǎng)絡(luò)地址��。
18.如權(quán)利要求17所述的計算機可讀指令��,其特征在于�����,所述替換步驟由中間協(xié)議棧層執(zhí)行����,該層實現(xiàn)分組地址操作策略���,且其中所接收的消息分組之后被傳送到中間協(xié)議棧層的客戶機�。
19.如權(quán)利要求18所述的計算機可讀指令,其特征在于����,所述中間協(xié)議棧層包括因特網(wǎng)協(xié)議層。
20.如權(quán)利要求12所述的計算機可讀媒質(zhì)����,還包括,在傳送步驟之后���,進一步執(zhí)行下述步驟的指令由移動節(jié)點把新網(wǎng)絡(luò)地址置入在源地址字段中���、把的本地地址置入在傳送到虛擬專用網(wǎng)絡(luò)隧道服務(wù)器的分組的擴展頭部中。
21.一種移動節(jié)點���,幫助在分配給移動節(jié)點的多個網(wǎng)絡(luò)地址之間維持虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)�,該移動節(jié)點包括包含計算機可執(zhí)行指令的通信協(xié)議棧��,所述指令幫助移動節(jié)點執(zhí)行下述的步驟在虛擬專用網(wǎng)絡(luò)隧道服務(wù)器和移動節(jié)點之間設(shè)置虛擬專用網(wǎng)絡(luò)隧道�����,其中支持該虛擬專用網(wǎng)絡(luò)隧道的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)是基于用于移動節(jié)點的本地地址的��;分配新的網(wǎng)絡(luò)地址給移動節(jié)點���,該新的網(wǎng)絡(luò)地址不同于移動節(jié)點的本地地址���;由移動節(jié)點傳送捆綁更新至指定新網(wǎng)絡(luò)地址的虛擬專用網(wǎng)絡(luò)隧道服務(wù)器,以及��;創(chuàng)建用于移動節(jié)點的從新網(wǎng)絡(luò)地址至本地網(wǎng)絡(luò)地址的映射關(guān)系�����,由此便于基于移動節(jié)點的本地地址的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的繼續(xù)使用���。
22.如權(quán)利要求21所述的移動節(jié)點�����,其特征在于�,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括安全結(jié)構(gòu)�����。
23.如權(quán)利要求22所述的移動節(jié)點,其特征在于�,所述安全結(jié)構(gòu)包括因特網(wǎng)安全結(jié)構(gòu)。
24.如權(quán)利要求21所述的移動節(jié)點���,其特征在于�����,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括隧道結(jié)構(gòu)�。
25.如權(quán)利要求21所述的移動節(jié)點���,還包括用于在傳送步驟之后執(zhí)行進一步的步驟的計算機可讀指令由移動節(jié)點從虛擬專用網(wǎng)絡(luò)隧道服務(wù)器接收包括新的網(wǎng)絡(luò)地址的消息分組����,以及由移動節(jié)點使用所接收的消息分組中的目的地字段中的本地地址來替換新的網(wǎng)絡(luò)地址�����。
26.如權(quán)利要求25所述的移動節(jié)點���,其特征在于�����,所述替換步驟由中間協(xié)議棧層執(zhí)行���,該層實現(xiàn)分組地址操作策略,且其中所接收的消息分組之后被傳送到中間協(xié)議棧層的客戶機�。
27.如權(quán)利要求26所述的移動節(jié)點,其特征在于���,所述中間協(xié)議棧層包括因特網(wǎng)協(xié)議層�����。
28.如權(quán)利要求21所述的移動節(jié)點����,還包括用于在傳送步驟之后����,執(zhí)行下述步驟的計算機可讀指令由移動節(jié)點替換把新網(wǎng)絡(luò)地址置入源地址字段中、把本地地址置入傳送到虛擬專用網(wǎng)絡(luò)隧道服務(wù)器的分組的擴展頭部中����。
29.一種虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器,幫助在分配給移動節(jié)點的多個網(wǎng)絡(luò)地址之間維持虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)����,該VPN服務(wù)器包括計算機可執(zhí)行指令�,所述指令幫助VPN服務(wù)器執(zhí)行以下步驟在虛擬專用網(wǎng)絡(luò)隧道服務(wù)器和移動節(jié)點之間設(shè)置虛擬專用網(wǎng)絡(luò)隧道���,其中支持該虛擬專用網(wǎng)絡(luò)隧道的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)是基于用于移動節(jié)點的本地地址的�����;首先從移動節(jié)點接收一指定分配給該移動節(jié)點的新的網(wǎng)絡(luò)地址的對虛擬專用網(wǎng)絡(luò)隧道服務(wù)器的捆綁更新����,該新的網(wǎng)絡(luò)地址不同于該移動節(jié)點的本地地址�,以及;創(chuàng)建用于移動節(jié)點的從新網(wǎng)絡(luò)地址至本地網(wǎng)絡(luò)地址的映射關(guān)系�����,由此幫助基于移動節(jié)點的本地地址繼續(xù)使用虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)�����。
30.如權(quán)利要求29所述的VPN服務(wù)器��,其特征在于�,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括安全結(jié)構(gòu)�����。
31.如權(quán)利要求30所述的VPN服務(wù)器��,其特征在于��,所述安全結(jié)構(gòu)包括因特網(wǎng)安全結(jié)構(gòu)。
32.如權(quán)利要求29所述的VPN服務(wù)器���,其特征在于����,所述虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)包括隧道結(jié)構(gòu)�����。
33.如權(quán)利要求29所述的VPN服務(wù)器���,其特征在于�����,所述創(chuàng)建步驟包括由所述虛擬專用網(wǎng)絡(luò)隧道服務(wù)器更新一映射結(jié)構(gòu)以結(jié)合進在捆綁更新中提供的新的網(wǎng)絡(luò)地址信息�。
34.如權(quán)利要求29所述的VPN服務(wù)器,還包括����,在傳送步驟之后,執(zhí)行進一步的步驟的計算機可讀指令由移動節(jié)點從虛擬專用網(wǎng)絡(luò)隧道服務(wù)器接收包括新的網(wǎng)絡(luò)地址的消息����,以及由移動節(jié)點使用所接收的消息分組中的目的地字段中的本地地址來替換新的網(wǎng)絡(luò)地址。
35.如權(quán)利要求34所述的VPN服務(wù)器�����,其特征在于�,所述替換步驟由中間協(xié)議棧層執(zhí)行,該層實現(xiàn)分組地址操作策略�����,且其中所接收的消息分組之后被傳送到中間協(xié)議棧層的客戶機�。
36.如權(quán)利要求35所述的VPN服務(wù)器,其特征在于���,所述中間協(xié)議棧層包括因特網(wǎng)協(xié)議層����。
全文摘要
揭示了幫助在分配給移動節(jié)點的多個網(wǎng)絡(luò)地址之間維持虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)的方法和移動節(jié)點。該方法包括初始在移動節(jié)點和虛擬專用網(wǎng)絡(luò)隧道服務(wù)器之間建立虛擬專用網(wǎng)絡(luò)隧道��。支持虛擬專用網(wǎng)絡(luò)隧道的虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)是基于指定用于移動節(jié)點的本地地址���。當(dāng)移動節(jié)點改變地址時���,移動節(jié)點傳送捆綁更新至指定新的網(wǎng)絡(luò)地址的虛擬專用網(wǎng)絡(luò)隧道服務(wù)器。此后����,創(chuàng)建從移動節(jié)點的新的網(wǎng)絡(luò)地址至本地地址的映射關(guān)系�,因此幫助基于移動節(jié)點的本地地址繼續(xù)使用虛擬專用網(wǎng)絡(luò)結(jié)構(gòu)。
文檔編號H04L12/56GK1677976SQ20051005909
公開日2005年10月5日 申請日期2005年3月21日 優(yōu)先權(quán)日2004年3月19日
發(fā)明者P·巴爾 申請人:微軟公司