專利名稱:專用網(wǎng)絡和漫游移動終端之間的通信的制作方法
技術領域:
本發(fā)明涉及專用網(wǎng)絡和漫游移動終端之間的通信�����。
背景技術:
許多機構利用專用網(wǎng)絡��,其同專用網(wǎng)絡外部的終端的通信通過安全網(wǎng)關,該安全網(wǎng)關使用包括防火墻的技術保護該專用網(wǎng)絡����。
在設計信息基礎設施時,專用企業(yè)信息的保護具有最大的重要性�����。然而�����,隔離專用網(wǎng)絡解決方案是昂貴的�����,并且不能快速地更新以適應業(yè)務需要的變化��。另一方面���,互聯(lián)網(wǎng)是廉價的�����,但是自身不能確保私密性���。虛擬專用網(wǎng)絡集合了應用于公網(wǎng)���,特別是互聯(lián)網(wǎng)的技術,以提供用于專用網(wǎng)絡需求的解決方案���。虛擬專用網(wǎng)絡使用通過安全隧道的混淆�����,而非物理隔離��,以保持通信的私密�。
因此�,虛擬專用網(wǎng)絡(VPN)能夠使專用網(wǎng)絡擴展為能夠同漫游終端��,即位于專用網(wǎng)絡外部的終端�����,進行安全通信����,該通信通過例如���,互聯(lián)網(wǎng)傳遞,并且可能在移動電話網(wǎng)絡上傳遞�。互聯(lián)網(wǎng)使用網(wǎng)際協(xié)議(IP)���,而移動終端的通信常常使用移動互聯(lián)網(wǎng)協(xié)議(MIP)�。
可以預見到��,虛擬專用網(wǎng)絡的漫游使用將變得更重要和更頻繁����。將需要通過企業(yè)VPN/防火墻結構向該頻繁漫游的用戶提供與固定漫游終端或偶然漫游終端相同的安全級別。
不同的通信和安全協(xié)議用于不同的網(wǎng)絡�����?����;ヂ?lián)網(wǎng)安全協(xié)議的示例是IPsec規(guī)范[S.Kent����,R.Atkinson��,“Security Architecture for the InternetProtocol”���,Internet Engineering Task Force(IETF),RFC 2401�,November1998]。移動電話通信協(xié)議的示例是Mobile IPv4規(guī)范[C.Perkins��,“IPMobility Support”��,RFC 2002���,October 1996]和Mobile IPv6規(guī)范�。當VPN協(xié)議是IPsec Encapsulating Security Payload(IPsec封裝安全載荷)�����,并且移動協(xié)議是Mobile IP時�,它們均在相同的IP層中實現(xiàn),需要指定在同時需要時這兩個協(xié)議必須如何相互作用����。
除了基本應用順序(首先應用Mobile IP,或者首先應用IPsec)以外�,整體解決方案還必須著眼于滿足三個主要需要·安全性。VPN基礎設施可以支持Mobile-IP用戶這一事實必須不能針對任何企業(yè)實體(企業(yè)網(wǎng)絡以及移動用戶或偶然漫游用戶)產(chǎn)生新的安全漏洞�����。Mobile IP使能設備必須向移動用戶提供如同它們物理位于企業(yè)網(wǎng)絡中的相同的安全級別�。另一方面,Mobile IP實體必須受到企業(yè)安全基礎設施(防火墻)的充分保護���,并且Mobile IP的特殊安全機制必須不會干擾全局安全機制�����。
·兼容性�����。能夠實現(xiàn)Mobile IP和IPsec之間的最優(yōu)化相互作用的解決方案必須避免大量修改協(xié)議規(guī)范�。由于使用了最優(yōu)化的組合解決方案��,因此必須使Mobile IP和IPsec協(xié)議的未來演變不是過于困難的���。最優(yōu)地�����,該演變對于組合解決方案的使用應是透明的�。
·性能。本發(fā)明必須在切換質量方面致力于移動用戶的特殊需要切換必須盡可能快地進行�����。
用于虛擬專用網(wǎng)絡的通信協(xié)議的一個示例是用于隧道模式的ESP(封裝安全載荷)協(xié)議(S.Kent��,R.Atkinson�����,”IP Encapsulating SecurityPayload”�����,Internet Engineering Task Force(IETF)����,RFC 2406,November1998)��。最重要的特點如下·全部的進入IP分組被封裝為新的IP分組���;內部(原始)源和目標地址不變���。
·全部的進入IP分組被加密,并且任選地(推薦)進行鑒權����。
ESP隧道模式依據(jù)定義是單向對等協(xié)議。發(fā)送者(加密并封裝的一方)和接收者(拆封和解密的一方)必須共享密碼密文(例如����,用于加密/解密的密鑰和算法)。安全參數(shù)的集合(協(xié)議�����、密鑰����、算法、發(fā)送者地址�����、接收者地址�����、壽命、…)構成了所謂的IPsec安全關聯(lián)(SA)��。IPsec需要兩個SA(SA組)���,以獲得安全的單向通信一個在發(fā)送者上并且一個在接收者上(其具有某些公共的參數(shù)�,例如密鑰)����。
由于VPN通信是雙向的(從移動節(jié)點(MN)到VPN網(wǎng)關以及從VPN網(wǎng)關到MN),因此需要兩個SA組第一SA組描述從MN到VPN網(wǎng)關的隧道��,第二SA組描述從VPN網(wǎng)關到MN的隧道�。必須注意,名稱“VPN網(wǎng)關”不是由協(xié)議指定的VPN網(wǎng)關簡單地是在企業(yè)網(wǎng)一側終止所有針對/源自漫游移動節(jié)點的VPN安全隧道的拓撲實體�����。
SA選擇器被用于處理IPsec分組�。基本上��,SA選擇器是由IPsec使用的參數(shù),用于檢查·將在由特定的出站(outbound)SA定義的隧道上發(fā)送的分組�����,實際上合法地同該SA一起發(fā)送(例如�,該分組的源和目標地址同該SA的源和目標地址匹配)�����。該測試被稱為“出站SA選擇器檢查”�����。
·從由特定的入站(inbound)SA定義的隧道接收的分組���,實際上合法地同該SA一起被接收��。(例如����,該分組的源和目標地址同該SA的源和目標地址匹配)��。該測試被稱為“入站SA選擇器檢查”���。
必須注意���,如上面的兩個示例中說明的����,在本發(fā)明中����,將僅考慮源地址和目標地址,作為用于入站SA和出站SA的SA選擇器��。
兩組方案致力于該情況IPsec隧道在MIP隧道中通過該組方案��,在VPN網(wǎng)關和移動節(jié)點歸屬地址(Home Address)之間建立IPsec隧道�����。
外部歸屬代理��。歸屬代理置于IPsec網(wǎng)關和企業(yè)防火墻前面�,即,在歸屬網(wǎng)絡外部����。顯然,存在嚴重的安全漏洞;主要的安全漏洞在于����,在網(wǎng)絡的邊界處,歸屬代理不再受到公共保護(企業(yè)防火墻)機制的保護�����。事實上�,被置于網(wǎng)關外部的歸屬代理未受益于任何保護,并且變?yōu)槿菀椎哪繕?。在設計著眼于安全通信的VPN解決方案時����,該類安全漏洞是不能被接受的。
另一問題源于隧道機制����,其不能將MIP分組譯成密碼(IPsec隧道在MIP隧道內部)。MIP報頭是明文的�,并且任何具有不良企圖的攻擊者將了解所有的報頭區(qū),例如移動節(jié)點的歸屬地址����。因此,該解決方案不提供私密性,并且惡意節(jié)點可能跟蹤移動節(jié)點的所有連續(xù)位置�,這是通過其歸屬地址識別的。
MIP代理���。在草案(F.Adrangi��,P.Iyer�,″Mobile IPv4 Traversal acrossVPN or NAT & VPN Gateway″�����,IETF work in progress draft-adrangi-mobileip-natvpn-traversal-01.txt��,F(xiàn)ebruary 2002)中描述了該方案�����。其采取這樣的形式�,即創(chuàng)建新的實體,其被稱為移動IP代理(Mobile IPProxy)����,從移動節(jié)點的視角來看,其呈現(xiàn)為代理歸屬節(jié)點�����,并且相反地,歸屬代理將其視為移動節(jié)點�。該解決方案同樣基于MIP隧道中的IPsec,其在私密性方面相比于如上文所述的IPsec中的MIP�����,具有更少的機密性��。
簡單漫游處理需要MIP代理��、VPN網(wǎng)關和歸屬代理之間的信令消息MIP代理用作移動節(jié)點和歸屬代理(HA)之間的中繼�;其必須了解移動節(jié)點和HA之間的現(xiàn)存的保護,以唯一地傳遞有效請求��。其還同VPN網(wǎng)關相互作用����,并且從通信節(jié)點到MN的公共分組進行大量的處理其首先由HA進行MIP封裝并傳遞到MIP代理�����。然后MIP代理將其解封并且將其提供給VPN網(wǎng)關�,以便于實現(xiàn)加密�。VPN網(wǎng)關將加密分組發(fā)回到MIP代理�,其再次將其封裝為新的MIP分組。
MIP代理位于受保護域外部的非保護區(qū)(demilitarized zone����,DMZ)中,即��,作為公司專用網(wǎng)絡和外部公眾網(wǎng)絡之間的“中間區(qū)”而插入的小的網(wǎng)絡�����。DMZ中的機構的安全級別遠低于企業(yè)網(wǎng)絡����。防火墻必須不會干擾代理和歸屬代理之間的注冊過程。該結構意味著可能的安全漏洞��,原因在于��,企業(yè)防火墻必須使MIP代理和歸屬代理之間的任何分組在無任何進一步的檢查的情況下進行傳遞如果攻擊者可以設法獲得對MIP代理的訪問����,則這可以容易地導致對整個企業(yè)網(wǎng)絡的危害。
MIP隧道在IPsec隧道中通過該組方案�,在VPN網(wǎng)關和移動節(jié)點轉交地址(Care-ofAddress)之間建立了IPsec隧道��。
瑞士(Switzerland)的伯爾尼大學(University of Bern)在www.iam.unibe.ch/~rvs/publications/secmip_gi.pdf中描述了IPsec隧道中包括MIP隧道的一個方案��。在任何新的切換之前重置IPsec隧道��。當移動到新的網(wǎng)絡時�����,須通過整個密鑰分配處理將其重新建立�����。該切換模式造成了許多秒的不可接受的延時����,同傳統(tǒng)的MIP需要不兼容�����。
關于該方案的另一問題在于�,采取了這樣的形式���,即IPsec提供足夠的保護���,以及��,作為結果����,使鑒權失能�,并且在MIP注冊過程中重新進行保護。使針對歸屬代理的保護失能是一種選擇�����,其沒有真正地改善速度���,并且需要專門用于MIP-VPN用戶的歸屬代理���,以及其他的專門用于仍使用MIP保護的簡單MIP用戶的歸屬代理。
本發(fā)明致力于上面的和其他的問題��。
發(fā)明內容
本發(fā)明提供了一種如權利要求中描述的用于通信的方法和裝置����。
圖1是移動虛擬專用網(wǎng)絡規(guī)劃(scenario)的示意圖,圖2是在ESP隧道模式中封裝的數(shù)據(jù)分組的圖示����,圖3是借助于示例給出的����,根據(jù)本發(fā)明的一個實施例的專用網(wǎng)絡和漫游移動終端之間的通信中的交換的流程圖�,和圖4是在圖3中說明的通信處理中用于接收注冊請求的處理的流程圖。
具體實施例方式
圖1示出了移動虛擬專用網(wǎng)絡規(guī)劃(scenario)����,其包括專用網(wǎng)絡1,該專用網(wǎng)絡1包括安全網(wǎng)關���,該安全網(wǎng)關包括VPN網(wǎng)關2和防火墻3�����;移動節(jié)點4���,其位于專用網(wǎng)絡1中;和歸屬代理5�,其用于移動節(jié)點4。在圖中示出的本發(fā)明的實施例特別適用于這樣的情況���,其中移動節(jié)點4能夠在無線鏈路上通信�����,這改善了其在專用網(wǎng)絡1內部和外部的漫游的能力���,但是本發(fā)明的該實施例還適用于這樣的情況,其中移動節(jié)點4僅在有線連接上通信��。
圖1示出了這樣的規(guī)劃��,其中本發(fā)明的該實施例的優(yōu)點是特別顯著的�,其中移動節(jié)點4在專用網(wǎng)絡1外部移動,首先移動到被訪問網(wǎng)絡6���,其具有在Mobile IPV4協(xié)議下工作的外地代理7�����,使得網(wǎng)絡6中的漫游移動節(jié)點4能夠通過互聯(lián)網(wǎng)8同專用網(wǎng)絡1通信����。在該規(guī)劃中�����,漫游移動節(jié)點4隨后移動到第二被訪問網(wǎng)絡9,其具有外地代10�,同樣在Mobile IPV4下工作,用于通過互聯(lián)網(wǎng)8同專用網(wǎng)絡1通信�。盡管本發(fā)明的該實施例通過Mobile IPv4協(xié)議工作,但是應當認識到����,本發(fā)明還適用于其他的協(xié)議,特別是Mobile IPv6協(xié)議�。
當移動節(jié)點4在被訪問網(wǎng)絡6或9中漫游時,通過互聯(lián)網(wǎng)8分別在IPsec和MIP隧道11和12中建立同專用網(wǎng)絡1的通信�。更具體地,所使用的協(xié)議是圖2中說明的封裝安全載荷(ESP)協(xié)議�。根據(jù)該協(xié)議,原始分組13包括原始IP報頭14和數(shù)據(jù)15����。分組13通過ESP報尾16加密,同時不會改變原始IP報頭和目標地址����。加密分組通過ESP報頭17進行封裝,優(yōu)選地�,通過ESP鑒權18進行封裝,并且在傳輸前同新的IP報頭19組裝。建立了安全關聯(lián)組(security associationbundles)��,每個安全關聯(lián)組包括出站和入站通信安全關聯(lián)�����,用于在路徑11和12上同VPN網(wǎng)關2通信���。安全關聯(lián)選擇器檢查,有待使用每個出站安全關聯(lián)定義的隧道進行發(fā)送的分組合法地通過該安全關聯(lián)發(fā)送����,并且,特別地��,該分組的源和目標地址同該安全關聯(lián)的源和目標地址匹配����,該測試是出站SA選擇器檢查。接收自入站安全關聯(lián)定義的隧道的分組通過該安全關聯(lián)檢測接收的合法性��,并且��,特別地��,該分組的源和目標地址同該安全關聯(lián)的源和目標地址匹配,該測試是入站SA選擇器檢查����。
在本發(fā)明的該實施例中,VPN網(wǎng)關2的入站安全關聯(lián)不包含移動節(jié)點4的IP地址作為源地址�����,而是包含通配符(*)���。這允許VPN網(wǎng)關2接收并傳遞來自移動節(jié)點4的分組����,無論其可能使用什么樣的轉交地址�����。應當注意���,這同IPsec協(xié)議不是矛盾的�,這是因為通配符的值由該協(xié)議批準用于安全關聯(lián)中的源地址選擇器��。隧道順序是�,IPsec隧道中的MIP隧道���,該IPsec隧道位于VPN網(wǎng)關2和移動節(jié)點4之間,使用移動節(jié)點轉交地址作為端點�����。
在圖3中示出了在移動節(jié)點4漫游時關于通信的處理�����,其中出站和入站所牽涉的是移動節(jié)點4處的分組�。開始���,說明了關于這樣的情況的IPsec隧道�,其中在移動節(jié)點4的當前轉交地址處建立了通信���。出站IPsec隧道20在移動節(jié)點4處具有這樣的安全關聯(lián)��,其具有當前移動節(jié)點的轉交地址作為源地址�,并且具有VPN網(wǎng)關2的地址作為目標地址���;并且���,在VPN網(wǎng)關2處具有這樣的安全關聯(lián)���,其具有通配符作為源地址,并且具有VPN網(wǎng)關2的地址作為目標地址�。開始的入站IPsec隧道在移動節(jié)點4處具有這樣的安全關聯(lián),其具有VPN網(wǎng)關2的地址作為源地址�,并且具有移動節(jié)點4的當前轉交地址作為目標地址;并且��,在VPN網(wǎng)關2處具有這樣的安全關聯(lián)�,其具有VPN網(wǎng)關地址作為源地址,并且具有移動節(jié)點4的轉交地址作為目標地址�。
當移動節(jié)點在22中從一個被訪問網(wǎng)絡移動到另一個時,例如���,從被訪問網(wǎng)絡6移動到被訪問網(wǎng)絡9�����,移動節(jié)點4例如���,由進入代理廣告認識到其位置已改變。隨后其設置新的轉交地址����,其在新的被訪問網(wǎng)絡7中是可路由的��。移動節(jié)點4包含VPN客戶端軟件�����,其例如����,響應網(wǎng)絡選擇中間件�,或者通過監(jiān)視出站分組的源地址�,響應移動節(jié)點位置的變化。然后���,VPN客戶端軟件動態(tài)地改變移動節(jié)點4上的入站安全關聯(lián)�,由此其目標地址是移動節(jié)點的新的轉交地址��,入站IPsec隧道21變?yōu)榕R時入站IPsec隧道23�。這樣,移動節(jié)點4將能夠接收由VPN網(wǎng)關2安全發(fā)送到其新的轉交地址的分組;否則,由于不與前面的入站IPsec隧道21中包括的目標地址匹配���,因此分組將被丟下�。相似地���,VPN客戶端軟件動態(tài)地改變移動節(jié)點4上的出站安全關聯(lián)�,由此其源地址是移動節(jié)點的新的轉交地址,出站IPsec隧道20變?yōu)槌稣綢Psec隧道20′;否則,由于不與前面的出站IPsec隧道20中包括的源地址匹配,因此移動節(jié)點4將不能夠發(fā)送外出分組。
然后��,移動節(jié)點4向其歸屬代理發(fā)送信令消息�����,以通知該歸屬代理其新的位置�,該信令消息通過出站IPsec隧道20′和VPN網(wǎng)關2���。該信令消息具有注冊請求的形式����,其中所使用的協(xié)議是Mobile IPV4�,如本發(fā)明的實施例中的����。
在步驟24中在VPN網(wǎng)關2處接收信令消息��。關于出站隧道20′的VPN網(wǎng)關中的SA選擇器未拒絕該分組�����,這是因為源地址是通配符字段且因此未驗證源地址�,并且將該分組傳遞到歸屬代理5。在步驟25中�����,歸屬代理5接收并處理來自移動節(jié)點4的注冊請求消息���,其指出了新的轉交地址。如果注冊請求是有效的��,則歸屬代理5向VPN網(wǎng)關2發(fā)送安全信息更新消息(SIU),其包含用于更新VPN網(wǎng)關上的臨時IPsec隧道23的安全關聯(lián)的命令。在VPN網(wǎng)關2處由后臺程序����,例如,也就是說,向系統(tǒng)提供服務的背景程序,處理該SIU消息����。
VPN網(wǎng)關2響應SIU消息,將其關于臨時入站IPsec隧道23的安全關聯(lián)更新為關于新的IPsec隧道26的安全關聯(lián)���,其具有移動節(jié)點4的新的轉交地址作為目標地址����。該更新是在向移動節(jié)點4發(fā)送任何分組之前�,特別是在注冊應答之前執(zhí)行的。在本發(fā)明的優(yōu)選實施例中�����,從歸屬代理5到VPN網(wǎng)關2的SIU消息包括針對移動節(jié)點4的注冊應答���。
應當認識到����,歸屬代理1的該具體程序僅在通過諸如2的VPN網(wǎng)關接收到注冊請求時觸發(fā)���,對應于移動節(jié)點4的位置位于專用網(wǎng)絡1外部����。如果移動節(jié)點位于專用網(wǎng)絡1內部���,并且因此不使用VPN服務����,則歸屬代理5將根據(jù)正常程序通過正常注冊應答來響應����。
在步驟27中�����,VPN網(wǎng)關2使用新建立的入站IPsec隧道26將注冊應答傳遞到移動節(jié)點4�����,并且使用隧道26將所有另外的數(shù)據(jù)分組發(fā)送到新的轉交地址,直至另外的通知。
如果在步驟25中,注冊請求在歸屬代理5處未成功�,則該處理不會受到不可挽回的危害�����。在移動節(jié)點4處將不會接收到注冊應答,其將發(fā)送另一注冊請求��。如果歸屬代理5繼續(xù)不接受注冊請求,則移動節(jié)點4將最終放棄嘗試�����,并且建立關于新的轉交地址的新的隧道,而不利用本發(fā)明的該實施例的處理。該情況在移動IP規(guī)劃中是固有的��。
圖4說明了在上面的處理過程中由歸屬代理5采用的程序�����。該程序開始于28��,并且在步驟29中��,自移動節(jié)點24接收到具有注冊請求形式的輸入。在步驟30中檢查該注冊請求是否有效�����,并且如果歸屬代理5不接受該注冊��,則該程序終止于31�����。如果歸屬代理5接受該注冊請求���,則在32中檢查該注冊請求是否是通過諸如2的VPN網(wǎng)關接收的�。如果不是���,則建立注冊應答���,并且在步驟33中在專用網(wǎng)絡1上將其直接發(fā)送到移動節(jié)點4。如果該注冊請求是通過諸如2的VPN網(wǎng)關接收的����,則在34中建立關于移動節(jié)點4的注冊應答。然后,在35中���,該注冊應答包括在由歸屬代理35生成的新的分組中�����,并且該分組還包含移動節(jié)點4的前面的轉交地址和新的轉交地址��。隨后在步驟36中將該分組發(fā)送到VPN網(wǎng)關2���,并且在31中該程序再次終止。
權利要求
1.一種在專用網(wǎng)絡(1)和漫游移動終端(4)之間通信的方法��,所述專用網(wǎng)絡(1)包括用于所述移動終端的歸屬代理(5)和網(wǎng)關(2���、3),所述通信通過所述網(wǎng)關(2����、3)傳遞并且所述網(wǎng)關(2、3)提供了關于所述專用網(wǎng)絡(1)的安全保護����,所述通信的協(xié)議包括安全關聯(lián)組,每個安全關聯(lián)組包括所述移動終端(4)和所述網(wǎng)關(2、3)之間的關于入站通信的安全關聯(lián)和關于出站通信的另一安全關聯(lián)�����,其特征在于����,響應于使所述移動終端(4)的IP地址(MN Co @)變?yōu)樾碌腎P地址(MN New Co @)的通信切換,所述移動終端更新其源于所述網(wǎng)關(2�、3)的入站安全關聯(lián),由此其可以接收發(fā)送給其的分組�,所述新的IP地址(MN New Co @)作為目標,所述移動終端(4)通過把所述歸屬代理(5)作為目標�����,在安全隧道(20′)中將第一信令消息發(fā)送到所述網(wǎng)關(2��、3)����,所述第一信令消息以安全的形式向所述歸屬代理(5)指出了所述新的IP地址(MN New Co @),源于所述移動終端(4)的所述網(wǎng)關(2�、3)的入站安全關聯(lián)接受所述第一信令消息,而不檢查其源地址����,所述網(wǎng)關(2���、3)在所述專用網(wǎng)絡(1)中將所述第一信令消息傳遞到所述歸屬代理(5),所述歸屬代理(5)檢查所述第一信令消息的有效性�����,并且如果其是有效的���,則更新其地址數(shù)據(jù)并向所述網(wǎng)關(2��、3)發(fā)送指出了所述新的地址(MNNew Co @)的第二信令消息����,并且所述網(wǎng)關(2���、3)響應于所指出的新的地址(MN New Co @)更新其同所述移動終端(4)的出站安全關聯(lián)。
2.權利要求1的方法����,其中所述移動節(jié)點(4)和所述網(wǎng)關(2、3)之間的通信根據(jù)IPsec協(xié)議規(guī)范���。
3.權利要求2的方法����,其中所述網(wǎng)關(2、3)和所述移動終端(4)之間的通信根據(jù)隧道模式中使用的封裝安全載荷協(xié)議���。
4.前面任何權利要求的方法�����,其中在所述第二信令消息中包括關于所述移動節(jié)點(4)的注冊應答���。
5.一種移動終端,用于通過前面任何權利要求的方法進行通信�,其包括這樣的裝置,響應于使所述移動終端的IP地址(MN Co @)變?yōu)樾碌腎P地址(MN New Co @)的通信切換����,用于更新源于所述網(wǎng)關(2、3)的所述移動終端(4)的入站安全關聯(lián)�,由此其可以接收所發(fā)送的分組,所述新的IP地址(MN New Co @)作為目標�����,并且把所述歸屬代理(5)作為目標,通過安全隧道(20′)將第一信令消息發(fā)送到所述網(wǎng)關�,所述第一信令消息以安全的形式向所述歸屬代理(5)指出了所述新的IP地址(MN New Co @)。
6.一種移動終端��,用于通過前面任何權利要求的方法進行通信���,其包括這樣的裝置�,響應于使所述移動終端(4)的IP地址(MN Co @)變?yōu)樾碌腎P地址(MN New Co @)的通信切換�,用于更新針對所述網(wǎng)關(2、3)的所述移動終端(4)的出站安全關聯(lián)��,由此所述移動終端(4)可以向所述網(wǎng)關(2�、3)發(fā)送分組,所述新的IP地址(MNNew Co @)作為源地址�����。
7.一種網(wǎng)關�,用于通過前面任何權利要求的方法進行通信,其包括如下的裝置����,響應于在安全隧道(20′)中接收自所述移動終端的以所述歸屬代理(5)作為目標的所述第一信令消息�����,用于使所述網(wǎng)關(2、3)處的源于所述移動終端(4)的所述入站安全關聯(lián)接受所述第一信令消息�,而不檢查其源地址,并且將所述第一信令消息傳遞到所述歸屬代理(5)����;和如下的裝置,響應于指出了所述新的地址(MN New Co @)的所述第二信令消息��,用于響應所指出的新的地址(MN New Co @)����,更新所述網(wǎng)關(2、3)同所述移動終端(4)的所述出站安全關聯(lián)�����。
8.一種歸屬代理����,用于通過前面任何權利要求的方法進行通信,其包括這樣的裝置�,響應于接收自所述網(wǎng)關(2、3)的所述第一信令消息��,用于將指出了所述新的地址(MN New Co @)的所述第二信令消息發(fā)送到所述網(wǎng)關(2、3)�����,其用于所述網(wǎng)關更新其同所述移動終端(4)的出站安全關聯(lián)�����。
全文摘要
本發(fā)明公開專用網(wǎng)絡(1)和漫游移動終端(4)之間的通信��,專用網(wǎng)絡(1)包括用于移動終端的歸屬代理(5)和網(wǎng)關(2�����、3)�����,通信通過網(wǎng)關(2�、3)傳遞并且其提供了關于專用網(wǎng)絡(1)的安全保護。通信的協(xié)議包括安全關聯(lián)組�,每個安全關聯(lián)組包括移動終端(4)和網(wǎng)關(2、3)之間的關于入站通信的安全關聯(lián)和另一個關于出站通信的安全關聯(lián)���。響應使移動終端(4)的IP地址(MN Co @)變?yōu)樾碌腎P地址(MN New Co @)的通信切換��,移動終端更新其源于網(wǎng)關(2�、3)的入站安全關聯(lián)���,由此其可以接收發(fā)送給其的分組����,新的IP地址(MN New Co @)作為目標�����。通過作為目標的歸屬代理(5)��,其在安全隧道(20′)中將第一信令消息發(fā)送到網(wǎng)關(2����、3),第一信令消息以安全的形式向歸屬代理(5)指出了新的IP地址(MN New Co@)�。源于移動終端(4)的網(wǎng)關(2、3)的入站安全關聯(lián)接受第一信令消息�,而不檢查其源地址。網(wǎng)關(2��、3)在專用網(wǎng)絡(1)中將第一信令消息傳遞到歸屬代理(5),歸屬代理(5)檢查第一信令消息的有效性��,并且如果其是有效的�,則更新其地址數(shù)據(jù)并向網(wǎng)關(2、3)發(fā)送指出了新的地址(MN New Co @)的第二信令消息���。網(wǎng)關(2�、3)響應所指出的新的地址(MN New Co @)更新同移動終端(4)的出站安全關聯(lián)���。優(yōu)選地��,移動終端(4)和網(wǎng)關(2�����、3)之間的通信根據(jù)IPsec���,并且在隧道模式中使用了封裝安全載荷協(xié)議。優(yōu)選地���,在第二信令消息中包括關于移動節(jié)點(4)的注冊應答�。
文檔編號H04L29/06GK1762140SQ200480007203
公開日2006年4月19日 申請日期2004年3月15日 優(yōu)先權日2003年3月27日
發(fā)明者亞歷克西斯·奧利弗羅, 米格爾·卡塔利娜, 克里斯托佩·雅內托, 伊斯梅爾·黑里 申請人:摩托羅拉公司