專利名稱:用于安全網(wǎng)絡(luò)移動(dòng)性的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)移動(dòng)性的系統(tǒng)和方法���。更具體說����,本發(fā)明涉及提供安全的、互連網(wǎng)協(xié)議(IP)移動(dòng)性的系統(tǒng)和方法����。
背景技術(shù):
用于移動(dòng)IP的目前標(biāo)準(zhǔn),能使移動(dòng)用戶通過互連網(wǎng)漫游時(shí)保持連接����,還能以同一IP地址連接至移動(dòng)用戶。因此����,移動(dòng)IP的目前系統(tǒng)有利于雙向通信,也支持移動(dòng)服務(wù)器(或路由器或其他網(wǎng)絡(luò)資源)�����。
移動(dòng)IP(Mobile IP)是開放的互連網(wǎng)標(biāo)準(zhǔn)��,主要內(nèi)容在ITEF-RFC2002中規(guī)定�����,本文引用該標(biāo)準(zhǔn),供參考���。移動(dòng)IP的基本前題是���,不論移動(dòng)用戶漫游到何處,他能夠保持同一網(wǎng)絡(luò)地址����?��;趦蓚€(gè)原因����,這一能力是十分重要也是十分必要的(1)當(dāng)從一個(gè)網(wǎng)絡(luò)漫游至另一個(gè)網(wǎng)絡(luò)時(shí)��,能夠保持連接���,和(2)能夠雙向通信��。例如用戶數(shù)據(jù)報(bào)協(xié)議(UDP)和傳輸控制協(xié)議(TCP)等基于IP的通信協(xié)議���,連接能夠保持。對(duì)這些協(xié)議��,連接是通過四個(gè)參數(shù)標(biāo)識(shí)的,即源與目的地IP地址��,及源與目的地端口號(hào)碼��。沒有移動(dòng)IP�,在漫游時(shí),要求改變移動(dòng)用戶的IP地址���,隨之導(dǎo)致丟失先前IP地址建立的連接�����。因此�,移動(dòng)IP保持同一IP地址的能力�,在保持漫游時(shí)的連接的意義下,能提供“無縫隙”網(wǎng)的漫游���。保持單一IP地址的另一個(gè)好處�,是真正的雙向通信���。這一點(diǎn)意味著����,能夠把漫游的移動(dòng)裝置(本文此后稱為“客戶”)作為目的地而建立連接。該種能力是交互式應(yīng)用程序(類似MSNetMeeting�、CUSeeMe、PowWow�����、及其他)的關(guān)鍵���。該種能力同樣為各種移動(dòng)信息服務(wù)器鋪平道路����。實(shí)現(xiàn)所有基于IP的應(yīng)用程序都具有這些好處�,是十分重要的���。從應(yīng)用程序����,因而也從用戶的角度看��,前景是����,只需用標(biāo)識(shí)每一客戶(即�����,便攜電腦�����、移動(dòng)電話手持機(jī)�����、智能電話)的單一的����、永久的IP地址�,無需理會(huì)客戶的位置。
移動(dòng)IP通過采用兩個(gè)IP地址而工作一個(gè)永久IP地址�����,對(duì)于應(yīng)用程序和用戶是可見的�,而第二個(gè)臨時(shí)的或轉(zhuǎn)交的地址,則用于確保適當(dāng)?shù)穆酚?�。因此,?dāng)一方離開它們的原籍網(wǎng)絡(luò)漫游���,它們的客戶建立一新的IP地址�����,且該新的IP地址作為轉(zhuǎn)發(fā)地址���,把訪問原先的、永久的IP地址的所有消息業(yè)務(wù)量��,轉(zhuǎn)發(fā)回它們的原籍網(wǎng)絡(luò)���。因此����,移動(dòng)用戶將獲得路由至它們的分組�,仿佛它們?nèi)耘f與它們的原籍網(wǎng)絡(luò)終端連接一樣�����。操作時(shí)��,移動(dòng)IP軟件在兩個(gè)地址之間判斷,并隱藏移動(dòng)性��,使應(yīng)用程序與用戶不能察覺�����。
在大多數(shù)應(yīng)用程序中��,移動(dòng)IP通過駐留在移動(dòng)用戶原籍網(wǎng)絡(luò)中的軟件工作�。該種軟件(有時(shí)稱之為“代理”)為已離開的客戶截接到達(dá)的分組,并把它們轉(zhuǎn)發(fā)至它們的轉(zhuǎn)交地址�。在某些情況中,移動(dòng)IP包括使用駐留在漫游客戶訪問的各個(gè)子網(wǎng)上的移動(dòng)IP軟件(稱為“外部代理”)����。在許多情況下,外部代理的使用不是嚴(yán)格必需的��,因?yàn)樗墓δ芸梢园ㄔ诳蛻糇陨碇?��。沒有外部代理的客戶的操作���,被稱為處于局內(nèi)模式。
移動(dòng)IP協(xié)議的力量顯然在于它能進(jìn)行無縫隙漫游和雙向通信���。但是�,從實(shí)際的遠(yuǎn)景看,單靠移動(dòng)IP本身是不適當(dāng)?shù)?����。最重要的是���,移?dòng)IP已經(jīng)設(shè)計(jì)供開放的互連網(wǎng)使用��。在它的說明書中�����,很少考慮安全性��。實(shí)際上�����,移動(dòng)用戶的通信必須受到保護(hù),避免竊聽和竄改�����。
正如目前的配置和實(shí)踐,除了沒有為它自身網(wǎng)絡(luò)提供安全性外�����,移動(dòng)IP網(wǎng)絡(luò)不提供任何實(shí)際裝置�,用于安全地接入與它通信的受保護(hù)的公司聯(lián)合網(wǎng)。具體說���,移動(dòng)IP協(xié)議是不能通過諸如防火墻或VPN網(wǎng)關(guān)等裝置工作的�����,而這些裝置越來越普遍��。
發(fā)明內(nèi)容
按照本發(fā)明���,提供一種系統(tǒng)和方法,用于安全的IP移動(dòng)性�,能使漫游用戶安全地接入它們的原籍網(wǎng)絡(luò)。
本發(fā)明的另外的優(yōu)點(diǎn)���,是提供一種用于先進(jìn)的IP移動(dòng)性的系統(tǒng)��,它從任何位置和在任何時(shí)間�,都能提供安全的互連網(wǎng)通信。
本發(fā)明的另一個(gè)優(yōu)點(diǎn)���,是提供一種用于先進(jìn)的IP移動(dòng)性的系統(tǒng)����,它提供雙向通信����。
本發(fā)明還有另一個(gè)優(yōu)點(diǎn),是提供一種用于先進(jìn)的IP移動(dòng)性的系統(tǒng)��,它不會(huì)讓網(wǎng)絡(luò)接口的管理來麻煩用戶���。
本發(fā)明的另外的目的和優(yōu)點(diǎn)���,部分將在下面的說明中闡述,部分將從該說明中明顯看出���,或可由本發(fā)明的實(shí)踐知道��。本發(fā)明另外的目的和優(yōu)點(diǎn)��,可以通過各種手段和組合����,特別是后面權(quán)利要求書中指出的各種手段和組合而實(shí)現(xiàn)和取得��。
本發(fā)明在某些部件和部件的安排中�,將以物理形式表示,它的一個(gè)優(yōu)選實(shí)施例將在本說明書中詳細(xì)說明�,并畫在構(gòu)成本說明書一部分的附圖中,附圖有圖1是簡(jiǎn)化的示意表示��,畫出本發(fā)明一個(gè)實(shí)施例使用的計(jì)算機(jī)網(wǎng)絡(luò)配置的一個(gè)例子��;圖2是簡(jiǎn)化的示意表示����,畫出本發(fā)明第二個(gè)實(shí)施例的計(jì)算機(jī)網(wǎng)絡(luò)配置的另一個(gè)例子;圖3按照本發(fā)明的一個(gè)實(shí)施例�,畫出一種方法的簡(jiǎn)化流程圖,用于提供安全的網(wǎng)絡(luò)通信����;圖4畫出一種簡(jiǎn)化的網(wǎng)絡(luò)布局,表明用鑒證了的HTTP隧道�����,安全橫越防火墻;圖5按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,畫出防火墻安全橫越的方法的流程圖;圖6畫出一種簡(jiǎn)化的網(wǎng)絡(luò)布局����,表明用中繼或代理服務(wù)器,安全橫越防火墻與VPN網(wǎng)關(guān)���;圖7畫出一種簡(jiǎn)化的網(wǎng)絡(luò)布局��,表明用IPSec網(wǎng)關(guān)�����,安全橫越防火墻��。
具體實(shí)施例方式
現(xiàn)在詳細(xì)參照本發(fā)明的本優(yōu)選實(shí)施例�����,該例子畫在附圖中���,圖上相同的參考字符指相同的單元�����。下面說明的本發(fā)明的系統(tǒng)和方法,最好用交互式計(jì)算機(jī)軟件應(yīng)用程序?qū)嵤?�,該交互式?jì)算機(jī)軟件應(yīng)用程序���,可以存入如硬盤驅(qū)動(dòng)器�、光學(xué)媒體如光盤�,諸如此類的計(jì)算機(jī)可讀媒體中。還有����,該計(jì)算機(jī)可讀媒體可供用戶使用,或者在用戶的計(jì)算機(jī)本機(jī)上��,或者在諸如局域網(wǎng)(LAN)或通過互連網(wǎng)的遠(yuǎn)程計(jì)算機(jī)網(wǎng)絡(luò)上�。
本發(fā)明的設(shè)計(jì),是向移動(dòng)通信專業(yè)人員提供非并行組網(wǎng)支持和安全性的����。這一點(diǎn)要求移動(dòng)性對(duì)本發(fā)明的用戶成為透明的。因此,當(dāng)本發(fā)明的用戶離開他的辦公室漫游��,并到達(dá)設(shè)有網(wǎng)絡(luò)的地方時(shí)���,他能夠繼續(xù)通信而不被中斷���,也無需重新配置他已啟動(dòng)的裝置或客戶(即,便攜電腦�����、移動(dòng)電話手持機(jī)�、智能電話)。本發(fā)明提供一種綜合解決方案��,一旦移動(dòng)用戶離開他們的公司聯(lián)合網(wǎng)的保護(hù)��,便用密碼保護(hù)他們交換的信息�����。此外����,本發(fā)明還提供多種獲得接入受保護(hù)的公司聯(lián)合網(wǎng)上資源的手段�。
本發(fā)明提供一種唯一的且重要的特性��,是保持同一網(wǎng)絡(luò)(IP)地址的能力��,如同在公司聯(lián)合網(wǎng)一樣����。這一點(diǎn)使本發(fā)明成為允許用戶接收連接的唯一方案。當(dāng)移動(dòng)用戶是“呼叫”的接收者時(shí)�����,這一能力在交互式����、對(duì)等應(yīng)用程序(類似MS NetMeeting)中是關(guān)鍵�����。
圖1畫出一個(gè)網(wǎng)絡(luò)布局10的例子�����,它按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例�,采用本發(fā)明的系統(tǒng)和方法。應(yīng)當(dāng)指出���,本發(fā)明的操作與網(wǎng)絡(luò)部件的任何特定布局或其混合無關(guān)�����,而且為了解釋的目的��,畫在圖1的該網(wǎng)絡(luò)10,純粹是示例性的并簡(jiǎn)化了的�����。
如圖1所示����,示例性網(wǎng)絡(luò)布局10包括原籍網(wǎng)絡(luò)12��,它又包括原籍網(wǎng)絡(luò)服務(wù)器14和位于原籍網(wǎng)絡(luò)12之內(nèi)的客戶16��。如圖1所示���,當(dāng)在客戶16的原籍網(wǎng)絡(luò)12中操作時(shí)��,客戶16可以經(jīng)過LAN或類似的連接18��,直接與原籍服務(wù)器14連接�����。如圖1進(jìn)一步所表明��,當(dāng)客戶24在它的原籍網(wǎng)絡(luò)12之外漫游時(shí)���,客戶24仍舊可以經(jīng)過加密鏈路26��,中繼服務(wù)器22和加密隧道20���,接入它的原籍服務(wù)器14�����,下面將參照?qǐng)D3詳細(xì)說明����。
圖3畫出的方框圖100,表明本發(fā)明的工作原理�。在步驟100,漫游客戶24為它在它的原籍網(wǎng)絡(luò)12之外的新位置����,建立一新的IP地址。在步驟102����,客戶24向中繼服務(wù)器102發(fā)送標(biāo)識(shí)和注冊(cè)它的新地址的消息,該中繼服務(wù)器可以包含與原籍服務(wù)器14通信的外部代理�����。在步驟103����,中繼服務(wù)器22鑒證客戶24的消息,以確?���?蛻?4的標(biāo)識(shí)。在步驟104����,中繼服務(wù)器22封裝客戶24的注冊(cè)消息�����,并把該封裝消息發(fā)送至原籍服務(wù)器14�����。在步驟105��,原籍服務(wù)器14把新IP地址作為客戶24的轉(zhuǎn)交地址注冊(cè)�����。在步驟106�����,原籍服務(wù)器14向客戶發(fā)送回答消息����,確認(rèn)所述新IP地址的注冊(cè)�����。在步驟107�,如下面詳細(xì)說明的,原籍服務(wù)器14和中繼服務(wù)器22代表所述客戶建立安全性關(guān)聯(lián)�。在步驟108,原籍服務(wù)器14開始在客戶24的永久IP地址與客戶24的新IP地址之間����,對(duì)訪問客戶24的業(yè)務(wù)量,執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換���。在步驟109����,原籍服務(wù)器14和中繼服務(wù)器22���,建立加密隧道20并根據(jù)已為客戶24建立的安全性關(guān)聯(lián)及地址轉(zhuǎn)換����,開始對(duì)從原籍服務(wù)器14到中繼服務(wù)器22訪問客戶24的分組��,進(jìn)行封裝和隧穿(tunneling)���。在步驟110���,中繼服務(wù)器22把隧穿的分組解封裝�,并經(jīng)過鏈路26�,把解封裝的分組轉(zhuǎn)發(fā)至客戶,鏈路26可以是加密的��。
參考圖2�,當(dāng)中繼服務(wù)器22由于安全性原因不可用或認(rèn)為不可靠時(shí),客戶24可以按局內(nèi)模式工作���。在該模式中�,中繼服務(wù)器22執(zhí)行的所有功能�,由客戶24自身執(zhí)行。因此���,在圖2所示的局內(nèi)模式中�����,客戶24可以直接與它的原籍服務(wù)器14通信����,注冊(cè)它的新IP地址(步驟102和103)�����,封裝并發(fā)送它的注冊(cè)(步驟104����、105、和106)����,建立與它的原籍服務(wù)器14的安全性關(guān)聯(lián)和加密隧道20(步驟107和109),以及把接收的分組解封裝(步驟110)�����。按照本發(fā)明���,當(dāng)工作在局內(nèi)模式時(shí)�,客戶24本身必須獲取一拓?fù)涓恼?����、臨時(shí)的網(wǎng)絡(luò)地址�。按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例,客戶24可以使用多種手段獲得這種地址�。例如,客戶24可以使用PPP(用于撥號(hào)連接),DHCP(用于沒有外部代理的LAN)����,甚至手動(dòng)配置一有效的轉(zhuǎn)交地址。在客戶24獲得轉(zhuǎn)交地址之后���,本發(fā)明的操作便準(zhǔn)確地如前所述�����。
按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,在客戶24����、原籍服務(wù)器14與中繼服務(wù)器22之間發(fā)送的所有數(shù)據(jù),最好用IPSec ESP協(xié)議加密和鑒證��。但是��,另外可以用各種加密方法和算法���,例如包括����,PKI����、RSA、DSA���、DES���、3DES、和IKE協(xié)議�。
此外,按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例�,安全連接即所謂安全性關(guān)聯(lián)的建立,最好按照Internet Key Exchange(IKE���,互連網(wǎng)密鑰交換)協(xié)議執(zhí)行���。此外,本發(fā)明在安全性關(guān)聯(lián)協(xié)商時(shí)��,支持分享機(jī)密和數(shù)字認(rèn)證(經(jīng)PKI分配)�����。最好由本發(fā)明的原籍服務(wù)器14執(zhí)行PKI配置(如加密算法的選擇)及管理(如,分享機(jī)密或認(rèn)證管理的分配)��。
在建立安全性關(guān)聯(lián)中�����,IKE要求兩個(gè)不同的階段�����。第一階段服務(wù)于兩個(gè)目的��。第一��,各協(xié)商方彼此鑒證��,然后�,第二,他們協(xié)商一中間安全性關(guān)聯(lián)�����,用于保護(hù)第二階段���。按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例��,在IKE協(xié)商時(shí)�����,最好使用Public Key Infrastructure(PKI�����,公共密鑰基礎(chǔ)結(jié)構(gòu))數(shù)字認(rèn)證�。
當(dāng)客戶24漫游進(jìn)入受防火墻和/或IPSec(VPN)網(wǎng)關(guān)(總的稱為“周邊防護(hù)系統(tǒng)”)保護(hù)的網(wǎng)絡(luò)中時(shí)�����,本發(fā)明的補(bǔ)充方面��,要求在客戶24與它的原籍網(wǎng)絡(luò)服務(wù)器14之間自由交換分組��。按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例�����,為安全橫越網(wǎng)絡(luò)周邊防護(hù)系統(tǒng)提供三種不同方法�。簡(jiǎn)單地說�����,這些方法是(a)在鑒證了的HTTP隧道中業(yè)務(wù)量的封裝�����,(b)經(jīng)過位于鑒證了的防火墻公共側(cè)的代理原籍代理或代理服務(wù)器����,橫越該防火墻�����,和(c)安全地�、基于IPSec地橫越VPN網(wǎng)關(guān)。現(xiàn)在參考圖4-7對(duì)每一方法的討論�����。
圖4畫出計(jì)算機(jī)網(wǎng)絡(luò)布局10的方框圖��,該網(wǎng)絡(luò)布局按照本發(fā)明�����,使用安全橫越網(wǎng)絡(luò)周邊防護(hù)的第一種方法。圖5畫出流程圖200�����,表明本發(fā)明的工作原理���。在步驟201�����,漫游的客戶24按HTTP請(qǐng)求格式產(chǎn)生消息。為本發(fā)明的目的��,各HTTPS響應(yīng)及請(qǐng)求格式中����,考慮一種,也只一種HTTP響應(yīng)及請(qǐng)求格式�。
按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例,該HTTP請(qǐng)求格式的消息���,最好加密���、分組����、并封裝��,以便隧穿���。在步驟202�,客戶24把該HTTP請(qǐng)求格式的消息��,經(jīng)HTTP鏈路51�,通過任何介入的防火墻54、26����,發(fā)送至它的原籍服務(wù)器14。
按照本發(fā)明�����,因?yàn)閬碜钥蛻?4的該HTTP請(qǐng)求格式的業(yè)務(wù)量����,對(duì)防火墻來說仿佛是公共互連網(wǎng)業(yè)務(wù)量,所以它能成功橫越該第一防火墻54,并最終到達(dá)原籍網(wǎng)絡(luò)的防火墻26��。按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,來自客戶24的HTTP請(qǐng)求格式的業(yè)務(wù)量,首先被原籍網(wǎng)絡(luò)防火墻26用諸如SOCKS協(xié)議之類鑒證協(xié)議����,進(jìn)行鑒證。另外����,也可以配置防火墻26,使它能讓HTTP請(qǐng)求格式的業(yè)務(wù)量以或少或多的鑒證度通過�����。
在步驟203����,一旦通過網(wǎng)絡(luò)防火墻26轉(zhuǎn)發(fā)了HTTP請(qǐng)求格式的消息業(yè)務(wù)量�,該消息業(yè)務(wù)量被復(fù)用器子系統(tǒng)44處理,其中���,該消息業(yè)務(wù)量被封裝成UDP分組����,以便通過UDP鏈路45轉(zhuǎn)發(fā)至原籍服務(wù)器14。如在圖4中所示�����,按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,本發(fā)明的復(fù)用器子系統(tǒng)44,可以包括HTTP客戶服務(wù)器50和復(fù)用器46�。此外,復(fù)用器子系統(tǒng)44如果需要增加網(wǎng)絡(luò)效率和速度�����,還可以包括Fast CGI模塊48或其他部件����。
在復(fù)用器子系統(tǒng)44內(nèi),如在圖4中所示�,HTTP服務(wù)器50最好從原籍網(wǎng)絡(luò)防火墻26,經(jīng)過HTTP鏈路51����,接收該消息業(yè)務(wù)量�����。接收后��,HTTP服務(wù)器50接著路由該消息業(yè)務(wù)量�,以便進(jìn)一步處理和路由�����。按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,HTTP服務(wù)器50最好把該消息業(yè)務(wù)量路由至Fast CGI模塊48,然后��,F(xiàn)ast CGI模塊48經(jīng)TCP鏈路47���,把該消息業(yè)務(wù)量轉(zhuǎn)發(fā)至復(fù)用器46。從復(fù)用器46來的消息�����,被句法分析成UDP分組,并經(jīng)UDP鏈路45���,轉(zhuǎn)發(fā)至原籍服務(wù)器14����。
在步驟204���,原籍服務(wù)器14可以通過產(chǎn)生封裝在UDP分組中的回答���,作為對(duì)客戶24的響應(yīng)。在步驟205��,該封裝的響應(yīng)被轉(zhuǎn)換為HTTP響應(yīng)格式���。如圖4中所示��,該封裝的響應(yīng)��,可以如上所述����,經(jīng)復(fù)用器子系統(tǒng)44轉(zhuǎn)換為HTTP響應(yīng)格式�����。在步驟206中,該封裝的響應(yīng)�,接著作為HTTP響應(yīng)格式消息業(yè)務(wù)量,被轉(zhuǎn)發(fā)至它指定的接收者�。按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例,每一HTTP鏈路51���,可以包括強(qiáng)鑒證�,以創(chuàng)建安全的HTTP隧道���。最好在每一防火墻內(nèi)�����,提供SOCKS協(xié)議鑒證或類似的鑒證�����,并在選擇的網(wǎng)和HTTP服務(wù)器內(nèi)����,使用SecureSocket Layer(SSL����,安全套接字層)或類似的鑒證。
現(xiàn)在參考圖6�����,圖上畫出用作本發(fā)明一部分的另外一種防火墻橫越方法�����。如圖6所示�,按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例,來自客戶24的HTTP請(qǐng)求格式業(yè)務(wù)量(按“局內(nèi)”模式畫出)可以經(jīng)過代理或“中繼”服務(wù)器32����,轉(zhuǎn)發(fā)至原籍服務(wù)器14。按照本發(fā)明�,中繼服務(wù)器32可以按原籍網(wǎng)絡(luò)12如上述相同方式,對(duì)客戶24發(fā)送的注冊(cè)消息進(jìn)行鑒證��。因此�����,中繼服務(wù)器32可以從客戶24接收注冊(cè)消息���,并且�����,如果鑒證成功����,中繼服務(wù)器32可以經(jīng)鏈路30,通過防火墻26�����,把消息封裝并轉(zhuǎn)發(fā)至原籍網(wǎng)絡(luò)服務(wù)器14�����。之后��,按照本發(fā)明��,原籍網(wǎng)絡(luò)服務(wù)器14可以處理該注冊(cè)消息��,并把響應(yīng)公式化��,然后把公式化的響應(yīng)封裝并發(fā)送至中繼服務(wù)器32。因此���,如果該響應(yīng)指示成功注冊(cè)��,中繼服務(wù)器26的服務(wù)器,可以開始在客戶24與原籍服務(wù)器24之間����,經(jīng)過加密鏈路30和34,對(duì)隧穿的分組進(jìn)行中繼���。按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例���,中繼服務(wù)器32本身,對(duì)訪問客戶24和來自客戶24的分組�,執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換。再按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例��,緊接注冊(cè)之后��,客戶24可以開始IKE協(xié)商�����,以建立與原籍網(wǎng)絡(luò)32的安全性關(guān)聯(lián)��。
至于在代理服務(wù)器32與原籍服務(wù)器14之間發(fā)送的分組,按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例����,這些分組最好用標(biāo)準(zhǔn)協(xié)議類型4的封裝法(IP-in-IP封裝法)封裝。按照本發(fā)明�,該封裝法使用兩個(gè)IP地址、協(xié)議號(hào)碼��、和可能甚至硬件地址�,可供防火墻非常密實(shí)的過濾使用。結(jié)果是�,即使中繼服務(wù)器永遠(yuǎn)受到危害,防火墻整體卻不受危害�。在另外的實(shí)施例中,中繼服務(wù)器32可以納入防火墻自身之內(nèi)���。
現(xiàn)在參考圖7�����,圖上畫出本發(fā)明提供的又一個(gè)另外的實(shí)施例�����。如在圖7中所示����,可以引入IPSec網(wǎng)關(guān)38,作為網(wǎng)絡(luò)布局10的一部分���,以保證原籍網(wǎng)絡(luò)12周邊的安全���。如圖所示��,由于使用IPSec網(wǎng)關(guān)38或類似的裝置�,現(xiàn)在的客戶24可以直接在它本身與IPSec網(wǎng)關(guān)38之間,建立IPSec隧道40��。IPSec隧道40的配置�����,最好能使來自客戶24的分組����,經(jīng)過加密鏈路42,通向網(wǎng)絡(luò)12的內(nèi)部前�����,讓IPSec網(wǎng)關(guān)38來鑒證它們。另外�,按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例,可以配置IPSec網(wǎng)關(guān)38����,引入如上述中繼服務(wù)器22的相同功能。
按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例��,IPSec網(wǎng)關(guān)38可以是VPN網(wǎng)關(guān)或類似的裝置��。又按照本發(fā)明的一個(gè)優(yōu)選實(shí)施例���,可以用IPSec ESP或AH協(xié)議來鑒證分組��。
從上面的詳細(xì)說明容易明白�,本發(fā)明的系統(tǒng)和方法��,可以用于各種需要網(wǎng)絡(luò)安全性和移動(dòng)性的網(wǎng)絡(luò)配置�。本發(fā)明的系統(tǒng)和方法還有高度的靈活性且易于修改和定制,以適應(yīng)特定的情況�����。例如,本發(fā)明可以在各種網(wǎng)絡(luò)布局內(nèi)使用��,如包括以太網(wǎng)與Token Ring接入方法的區(qū)域網(wǎng)(LAN)�����、無線區(qū)域網(wǎng)(WLAN)��、城域網(wǎng)(MAN)���、虛擬區(qū)域網(wǎng)(VLAN)����、廣域網(wǎng)(WAN)����、和藍(lán)牙網(wǎng)絡(luò)�����。此外�,本發(fā)明可以在無線數(shù)據(jù)網(wǎng)絡(luò)內(nèi)工作,如GPRS�、NTT DoCoMo��、Hot Spots�����、GSM-Data���、CDMA-One、和HS-CDS網(wǎng)絡(luò)�����,以及布線的公共網(wǎng)絡(luò)���,如POTS�、DSL��、Cable和ISDN網(wǎng)絡(luò)����。
還有,雖然各優(yōu)選實(shí)施例的討論沒有指明特定的操作環(huán)境����,但本發(fā)明可以用于各種服務(wù)器平臺(tái)與操作環(huán)境��,諸如��,舉例說��,WindowsNT�����、Me����、XP���、95���、98�、和2000,以及Unix��、OS/2���、Pocket PC�、和NetWare。
此外�,本發(fā)明可以與各種組網(wǎng)鏈路和協(xié)議一起使用,例如�,包括那些基于Network File System(NFS);Web NFS��;Server MessageBlock(SMB)����;Samba;Netware Core Protocol(NCP)��;DistributedFile System(DFS)�;和Common Internet File System(CIFS)結(jié)構(gòu),以及使用諸如TCP/IP��、IPX/SPX�、HTTP、HTTPS�、及NetBEUI這樣的傳播協(xié)議。
已經(jīng)具體參考各優(yōu)選實(shí)施例�,說明了本發(fā)明,各優(yōu)選實(shí)施例應(yīng)認(rèn)為是示范而不是限制�����。本領(lǐng)域熟練人員顯然知道,還存在不違背本發(fā)明的精神和范圍���,從而屬于本發(fā)明的另外實(shí)施例���。因此,本發(fā)明的這些變化和修改����,可以認(rèn)為是在下面權(quán)利要求書的精神和范圍內(nèi)實(shí)現(xiàn)的。
權(quán)利要求
1.在一種計(jì)算機(jī)網(wǎng)絡(luò)布局中包括至少有一個(gè)原籍網(wǎng)絡(luò)服務(wù)器的原籍網(wǎng)絡(luò)及保護(hù)所述原籍網(wǎng)絡(luò)服務(wù)器的防火墻�����、在所述原籍網(wǎng)絡(luò)以外的中繼服務(wù)器�����、和在所述原籍網(wǎng)絡(luò)內(nèi)有永久IP地址的客戶����,在該種計(jì)算機(jī)網(wǎng)絡(luò)布局中����,當(dāng)所述客戶在所述原籍網(wǎng)絡(luò)之外漫游�����,到達(dá)新的位置時(shí)�,一種在該原籍網(wǎng)絡(luò)服務(wù)器與該客戶間保持安全通信的方法����,所述方法包括為新的客戶位置建立新的IP地址;向所述中繼服務(wù)器發(fā)送注冊(cè)消息�,標(biāo)識(shí)所述新IP地址位置;鑒證所述注冊(cè)消息�;封裝并發(fā)送所述注冊(cè)消息至所述原籍服務(wù)器;把所述新IP地址作為轉(zhuǎn)交地址��,為所述客戶在所述原籍服務(wù)器注冊(cè)���;確認(rèn)伴隨所述客戶的所述新IP地址的注冊(cè)�����;在所述原籍服務(wù)器與所述中繼服務(wù)器之間��,代表所述客戶建立安全關(guān)聯(lián)����;在客戶的永久IP地址與客戶的新IP地址之間,執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換����;根據(jù)已為所述客戶建立的安全關(guān)聯(lián)和所述地址轉(zhuǎn)換,把訪問所述客戶的分組�����,在所述原籍服務(wù)器與所述中繼服務(wù)器之間隧穿���;和把所述分組在所述中繼服務(wù)器上解封裝�����,并把所述分組轉(zhuǎn)發(fā)至所述客戶�����。
2.按照權(quán)利要求1的方法��,其中所述原籍網(wǎng)絡(luò)還包括復(fù)用器子系統(tǒng)�����。
3.按照權(quán)利要求1的方法�,其中�����,從所述客戶到所述原籍服務(wù)器的通信的至少一部分��,是按HTTP請(qǐng)求格式��。
4.按照權(quán)利要求3的方法���,其中��,從所述原籍服務(wù)器到所述客戶的通信的至少一部分���,是按HTTP響應(yīng)格式。
5.按照權(quán)利要求4的方法�����,其中�,從所述客戶到所述原籍服務(wù)器的通信的至少一部分,是封裝在UDP分組中����。
6.按照權(quán)利要求5的方法����,其中���,從所述原籍服務(wù)器到所述客戶的通信的至少一部分����,是封裝在UDP分組中��。
7.按照權(quán)利要求1的方法�,其中所述方法還包括步驟設(shè)置網(wǎng)絡(luò)網(wǎng)關(guān),其中所述網(wǎng)絡(luò)網(wǎng)關(guān)的操作��,是把分組隧穿所述防火墻���,到達(dá)所述原籍服務(wù)器�。
8.按照權(quán)利要求7的方法����,其中所述網(wǎng)絡(luò)網(wǎng)關(guān)是Virtual PrivateNetwork網(wǎng)關(guān)。
9.在一種計(jì)算機(jī)網(wǎng)絡(luò)布局中包括至少有一個(gè)原籍網(wǎng)絡(luò)服務(wù)器的原籍網(wǎng)絡(luò)及保護(hù)所述原籍網(wǎng)絡(luò)服務(wù)器的防火墻����、在所述原籍網(wǎng)絡(luò)以外的中繼服務(wù)器�、和在所述原籍網(wǎng)絡(luò)內(nèi)有永久IP地址的客戶��,在該種計(jì)算機(jī)網(wǎng)絡(luò)布局中�����,當(dāng)所述客戶在所述原籍網(wǎng)絡(luò)之外漫游�����,到達(dá)新的位置時(shí)����,一種在該原籍網(wǎng)絡(luò)服務(wù)器與該客戶間保持安全通信的方法�,所述方法包括為新的客戶位置建立新的IP地址;向所述原籍服務(wù)器發(fā)送注冊(cè)消息��,標(biāo)識(shí)所述新IP地址位置�;封裝并發(fā)送所述注冊(cè)消息至所述原籍服務(wù)器;把所述新IP地址作為轉(zhuǎn)交地址����,為所述客戶在所述原籍服務(wù)器注冊(cè)��;確認(rèn)伴隨所述客戶的所述新IP地址的注冊(cè)�;在所述原籍服務(wù)器與所述客戶之間建立安全關(guān)聯(lián)����;在客戶的永久IP地址與客戶的新IP地址之間,執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換���;和根據(jù)已為所述客戶建立的安全關(guān)聯(lián)和所述地址轉(zhuǎn)換��,把訪問所述客戶的分組��,在所述原籍服務(wù)器與所述客戶之間隧穿��。
10.按照權(quán)利要求9的方法����,其中所述原籍網(wǎng)絡(luò)還包括復(fù)用器子系統(tǒng)���。
11.按照權(quán)利要求9的方法�,其中�,從所述客戶到所述原籍服務(wù)器的通信的至少一部分,是按HTTP請(qǐng)求格式�����。
12.按照權(quán)利要求11的方法,其中�����,從所述原籍服務(wù)器到所述客戶的通信的至少一部分�,是按HTTP響應(yīng)格式。
13.按照權(quán)利要求12的方法�,其中����,從所述客戶到所述原籍服務(wù)器的通信的至少一部分,是由所述復(fù)用器子系統(tǒng)封裝在UDP分組中��。
14.按照權(quán)利要求13的方法�����,其中��,從所述原籍服務(wù)器到所述客戶的通信的至少一部分��,是由所述復(fù)用器子系統(tǒng)封裝在UDP分組中��。
15.按照權(quán)利要求9的方法,其中所述方法還包括步驟設(shè)置網(wǎng)絡(luò)網(wǎng)關(guān)���,其中所述網(wǎng)絡(luò)網(wǎng)關(guān)的操作��,是把分組隧穿所述防火墻����,到達(dá)所述原籍服務(wù)器��。
16.按照權(quán)利要求15的方法��,其中所述網(wǎng)絡(luò)網(wǎng)關(guān)是VirtualPrivate Network網(wǎng)關(guān)����。
17.一種為客戶保持安全通信的系統(tǒng),該客戶在原籍網(wǎng)絡(luò)系統(tǒng)內(nèi)有一永久IP地址�,又當(dāng)該客戶在所述原籍網(wǎng)絡(luò)系統(tǒng)之外漫游時(shí),有一臨時(shí)的�����、轉(zhuǎn)交的IP地址���,所述系統(tǒng)包括原籍網(wǎng)絡(luò)服務(wù)器���,其中���,所述原籍網(wǎng)絡(luò)服務(wù)器鑒證漫游至所述原籍網(wǎng)絡(luò)系統(tǒng)外的客戶發(fā)來的消息,同時(shí)在客戶的永久IP地址與客戶注冊(cè)的轉(zhuǎn)交IP地址之間�����,執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����,還有�����,其中所述原籍網(wǎng)絡(luò)服務(wù)器��,把訪問所述客戶永久IP地址的消息���,封裝并再發(fā)送至客戶注冊(cè)的轉(zhuǎn)交IP地址;中繼服務(wù)器�,所述中繼服務(wù)器位于所述原籍網(wǎng)絡(luò)之外,其中���,所述中繼服務(wù)器在所述原籍網(wǎng)絡(luò)服務(wù)器與所述客戶之間隧穿消息����;和復(fù)用器子系統(tǒng),其中����,所述復(fù)用器子系統(tǒng)由HTTP服務(wù)器和復(fù)用器模塊構(gòu)成。
18.一種在漫游的客戶與原籍服務(wù)器之間通信的方法���,其中���,客戶或原籍服務(wù)器中至少一個(gè)受防火墻保護(hù),所述方法包括按HTTP請(qǐng)求格式產(chǎn)生第一消息����;通過所述防火墻發(fā)送所述HTTP請(qǐng)求格式的消息;處理所述第一消息�,其中,所述第一消息被封裝在UDP分組中并轉(zhuǎn)發(fā)至它的指定接收者���;響應(yīng)所述第一消息���,產(chǎn)生第二消息����,其中所述第二消息被封裝在UDP分組中��;把所述第二消息轉(zhuǎn)換為HTTP響應(yīng)格式����;把所述第二消息發(fā)送至它的指定接收者。
19.按照權(quán)利要求1的方法�����,其中�,所述方法還包括步驟按HTTP請(qǐng)求格式產(chǎn)生第一消息;通過所述防火墻發(fā)送所述HTTP請(qǐng)求格式的消息�;處理所述第一消息,其中��,所述第一消息被封裝在UDP分組中并轉(zhuǎn)發(fā)至它的指定接收者���;響應(yīng)所述第一消息,產(chǎn)生第二消息��,其中所述第二消息被封裝在UDP分組中;把所述第二消息轉(zhuǎn)換為HTTP響應(yīng)格式����;和把所述第二消息發(fā)送至它的指定接收者。
20.按照權(quán)利要求9的方法��,其中��,所述方法還包括步驟按HTTP請(qǐng)求格式產(chǎn)生第一消息�;通過所述防火墻發(fā)送所述HTTP請(qǐng)求格式的消息;處理所述第一消息�����,其中���,所述第一消息被封裝在UDP分組中并轉(zhuǎn)發(fā)至它的指定接收者����;響應(yīng)所述第一消息���,產(chǎn)生第二消息�����,其中所述第二消息被封裝在UDP分組中�;把所述第二消息轉(zhuǎn)換為HTTP響應(yīng)格式;和把所述第二消息發(fā)送至它的指定接收者����。
全文摘要
當(dāng)移動(dòng)客戶漫游至原籍網(wǎng)絡(luò)以外,到達(dá)新位置時(shí)���,本發(fā)明提供一種在原籍網(wǎng)絡(luò)與移動(dòng)客戶之間���,保持安全通信的系統(tǒng)和方法。本發(fā)明的一種方法�,包括的步驟有為新的客戶位置建立新的IP地址,發(fā)送標(biāo)識(shí)該新IP地址位置的注冊(cè)消息���;鑒證該注冊(cè)消息���;把該注冊(cè)消息封裝,并發(fā)送至原籍服務(wù)器��;把新IP地址作為轉(zhuǎn)交地址�����,為客戶在原籍服務(wù)器上注冊(cè)�;確認(rèn)伴隨該客戶的新IP地址的注冊(cè);在原籍服務(wù)器與中繼服務(wù)器之間��,代表該客戶建立安全關(guān)聯(lián)���;在客戶的永久IP地址與客戶的新IP地址之間�����,執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換����;根據(jù)為該客戶建立的安全關(guān)聯(lián)及地址轉(zhuǎn)換���,把訪問該客戶的分組�,在原籍服務(wù)器及中繼服務(wù)器之間隧穿��;最后�����,在中繼服務(wù)器上把分組解封裝�,并把分組轉(zhuǎn)發(fā)至該客戶�。
文檔編號(hào)H04L12/46GK1478232SQ01819703
公開日2004年2月25日 申請(qǐng)日期2001年11月13日 優(yōu)先權(quán)日2000年11月13日
發(fā)明者高里·馬基安尼, 拉維·納加拉健, 張強(qiáng), 哈里·加蒂, 德尊·塔蘭, 加蒂, 塔蘭, 納加拉健, 高里 馬基安尼 申請(qǐng)人:Ecutel公司