CN100525300C - 专用网络和漫游移动终端之间的通信 - Google Patents
专用网络和漫游移动终端之间的通信 Download PDFInfo
- Publication number
- CN100525300C CN100525300C CNB2004800072038A CN200480007203A CN100525300C CN 100525300 C CN100525300 C CN 100525300C CN B2004800072038 A CNB2004800072038 A CN B2004800072038A CN 200480007203 A CN200480007203 A CN 200480007203A CN 100525300 C CN100525300 C CN 100525300C
- Authority
- CN
- China
- Prior art keywords
- gateway
- new
- mobile terminal
- address
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000006854 communication Effects 0.000 title claims abstract description 39
- 238000004891 communication Methods 0.000 title claims abstract description 38
- 230000011664 signaling Effects 0.000 claims abstract description 24
- 230000004224 protection Effects 0.000 claims abstract description 13
- 230000004044 response Effects 0.000 claims abstract description 9
- 238000000034 method Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 230000008859 change Effects 0.000 abstract description 2
- 230000007246 mechanism Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000012360 testing method Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 206010011968 Decreased immune responsiveness Diseases 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004069 differentiation Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0019—Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开专用网络(1)和漫游移动终端(4)之间的通信,专用网络(1)包括用于移动终端的归属代理(5)和网关(2、3),通信通过网关(2、3)传递并且其提供了关于专用网络(1)的安全保护。通信的协议包括安全关联组,每个安全关联组包括移动终端(4)和网关(2、3)之间的关于入站通信的安全关联和另一个关于出站通信的安全关联。响应使移动终端(4)的IP地址(MN Co @)变为新的IP地址(MN New Co @)的通信切换,移动终端更新其源于网关(2、3)的入站安全关联,由此其可以接收发送给其的分组,新的IP地址(MN New Co @)作为目标。通过作为目标的归属代理(5),其在安全隧道(20′)中将第一信令消息发送到网关(2、3),第一信令消息以安全的形式向归属代理(5)指出了新的IP地址(MN New Co@)。源于移动终端(4)的网关(2、3)的入站安全关联接受第一信令消息,而不检查其源地址。网关(2、3)在专用网络(1)中将第一信令消息传递到归属代理(5),归属代理(5)检查第一信令消息的有效性,并且如果其是有效的,则更新其地址数据并向网关(2、3)发送指出了新的地址(MN New Co @)的第二信令消息。网关(2、3)响应所指出的新的地址(MN New Co @)更新同移动终端(4)的出站安全关联。优选地,移动终端(4)和网关(2、3)之间的通信根据IPsec,并且在隧道模式中使用了封装安全载荷协议。优选地,在第二信令消息中包括关于移动节点(4)的注册应答。
Description
技术领域
本发明涉及专用网络和漫游移动终端之间的通信。
背景技术
许多机构利用专用网络,其同专用网络外部的终端的通信通过安全网关,该安全网关使用包括防火墙的技术保护该专用网络。
在设计信息基础设施时,专用企业信息的保护具有最大的重要性。然而,隔离专用网络解决方案是昂贵的,并且不能快速地更新以适应业务需要的变化。另一方面,互联网是廉价的,但是自身不能确保私密性。虚拟专用网络集合了应用于公网,特别是互联网的技术,以提供用于专用网络需求的解决方案。虚拟专用网络使用通过安全隧道的混淆,而非物理隔离,以保持通信的私密。
因此,虚拟专用网络(VPN)能够使专用网络扩展为能够同漫游终端,即位于专用网络外部的终端,进行安全通信,该通信通过例如,互联网传递,并且可能在移动电话网络上传递。互联网使用网际协议(IP),而移动终端的通信常常使用移动互联网协议(MIP)。
可以预见到,虚拟专用网络的漫游使用将变得更重要和更频繁。将需要通过企业VPN/防火墙结构向该频繁漫游的用户提供与固定漫游终端或偶然漫游终端相同的安全级别。
不同的通信和安全协议用于不同的网络。互联网安全协议的示例是IPsec规范[S.Kent,R.Atkinson,“Security Architecture for the InternetProtocol”,Internet Engineering Task Force(IETF),RFC 2401,November1998]。移动电话通信协议的示例是Mobile IPv4规范[C.Perkins,“IPMobility Support”,RFC 2002,October 1996]和Mobile IPv6规范。当VPN协议是IPsec Encapsulating Security Payload(IPsec封装安全载荷),并且移动协议是Mobile IP时,它们均在相同的IP层中实现,需要指定在同时需要时这两个协议必须如何相互作用。
除了基本应用顺序(首先应用Mobile IP,或者首先应用IPsec)以外,整体解决方案还必须着眼于满足三个主要需要:
·安全性。VPN基础设施可以支持Mobile-IP用户这一事实必须不能针对任何企业实体(企业网络以及移动用户或偶然漫游用户)产生新的安全漏洞。Mobile IP使能设备必须向移动用户提供如同它们物理位于企业网络中的相同的安全级别。另一方面,Mobile IP实体必须受到企业安全基础设施(防火墙)的充分保护,并且Mobile IP的特殊安全机制必须不会干扰全局安全机制。
·兼容性。能够实现Mobile IP和IPsec之间的最优化相互作用的解决方案必须避免大量修改协议规范。由于使用了最优化的组合解决方案,因此必须使Mobile IP和IPsec协议的未来演变不是过于困难的。最优地,该演变对于组合解决方案的使用应是透明的。
·性能。本发明必须在切换质量方面致力于移动用户的特殊需要:切换必须尽可能快地进行。
用于虚拟专用网络的通信协议的一个示例是用于隧道模式的ESP(封装安全载荷)协议(S.Kent,R.Atkinson,”IP Encapsulating SecurityPayload”,Internet Engineering Task Force(IETF),RFC 2406,November1998)。最重要的特点如下:
·全部的进入IP分组被封装为新的IP分组;内部(原始)源和目标地址不变。
·全部的进入IP分组被加密,并且任选地(推荐)进行鉴权。
ESP隧道模式依据定义是单向对等协议。发送者(加密并封装的一方)和接收者(拆封和解密的一方)必须共享密码密文(例如,用于加密/解密的密钥和算法)。安全参数的集合(协议、密钥、算法、发送者地址、接收者地址、寿命、...)构成了所谓的IPsec安全关联(SA)。IPsec需要两个SA(SA组),以获得安全的单向通信:一个在发送者上并且一个在接收者上(其具有某些公共的参数,例如密钥)。
由于VPN通信是双向的(从移动节点(MN)到VPN网关以及从VPN网关到MN),因此需要两个SA组:第一SA组描述从MN到VPN网关的隧道,第二SA组描述从VPN网关到MN的隧道。必须注意,名称“VPN网关”不是由协议指定的:VPN网关简单地是在企业网一侧终止所有针对/源自漫游移动节点的VPN安全隧道的拓扑实体。
SA选择器被用于处理IPsec分组。基本上,SA选择器是由IPsec使用的参数,用于检查:
·将在由特定的出站(outbound)SA定义的隧道上发送的分组,实际上合法地同该SA一起发送(例如,该分组的源和目标地址同该SA的源和目标地址匹配)。该测试被称为“出站SA选择器检查”。
·从由特定的入站(inbound)SA定义的隧道接收的分组,实际上合法地同该SA一起被接收。(例如,该分组的源和目标地址同该SA的源和目标地址匹配)。该测试被称为“入站SA选择器检查”。
必须注意,如上面的两个示例中说明的,在本发明中,将仅考虑源地址和目标地址,作为用于入站SA和出站SA的SA选择器。
两组方案致力于该情况:
IPsec隧道在MIP隧道中
通过该组方案,在VPN网关和移动节点归属地址(Home Address)之间建立IPsec隧道。
外部归属代理。归属代理置于IPsec网关和企业防火墙前面,即,在归属网络外部。显然,存在严重的安全漏洞;主要的安全漏洞在于,在网络的边界处,归属代理不再受到公共保护(企业防火墙)机制的保护。事实上,被置于网关外部的归属代理未受益于任何保护,并且变为容易的目标。在设计着眼于安全通信的VPN解决方案时,该类安全漏洞是不能被接受的。
另一问题源于隧道机制,其不能将MIP分组译成密码(IPsec隧道在MIP隧道内部)。MIP报头是明文的,并且任何具有不良企图的攻击者将了解所有的报头区,例如移动节点的归属地址。因此,该解决方案不提供私密性,并且恶意节点可能跟踪移动节点的所有连续位置,这是通过其归属地址识别的。
MIP代理。在草案(F.Adrangi,P.Iyer,"Mobile IPv4 Traversal acrossVPN or NAT & VPN Gateway",IETF work in progress draft-adrangi-mobileip-natvpn-traversal-01.txt,February 2002)中描述了该方案。其采取这样的形式,即创建新的实体,其被称为移动IP代理(Mobile IPProxy),从移动节点的视角来看,其呈现为代理归属节点,并且相反地,归属代理将其视为移动节点。该解决方案同样基于MIP隧道中的IPsec,其在私密性方面相比于如上文所述的IPsec中的MIP,具有更少的机密性。
简单漫游处理需要MIP代理、VPN网关和归属代理之间的信令消息:MIP代理用作移动节点和归属代理(HA)之间的中继;其必须了解移动节点和HA之间的现存的保护,以唯一地传递有效请求。其还同VPN网关相互作用,并且从通信节点到MN的公共分组进行大量的处理:其首先由HA进行MIP封装并传递到MIP代理。然后MIP代理将其解封并且将其提供给VPN网关,以便于实现加密。VPN网关将加密分组发回到MIP代理,其再次将其封装为新的MIP分组。
MIP代理位于受保护域外部的非保护区(demilitarized zone,DMZ)中,即,作为公司专用网络和外部公众网络之间的“中间区”而插入的小的网络。DMZ中的机构的安全级别远低于企业网络。防火墙必须不会干扰代理和归属代理之间的注册过程。该结构意味着可能的安全漏洞,原因在于,企业防火墙必须使MIP代理和归属代理之间的任何分组在无任何进一步的检查的情况下进行传递:如果攻击者可以设法获得对MIP代理的访问,则这可以容易地导致对整个企业网络的危害。
MIP隧道在IPsec隧道中
通过该组方案,在VPN网关和移动节点转交地址(Care-ofAddress)之间建立了IPsec隧道。
瑞士(Switzerland)的伯尔尼大学(University of Bern)在www.iam.unibe.ch/~rvs/publications/secmip_gi.pdf中描述了IPsec隧道中包括MIP隧道的一个方案。在任何新的切换之前重置IPsec隧道。当移动到新的网络时,须通过整个密钥分配处理将其重新建立。该切换模式造成了许多秒的不可接受的延时,同传统的MIP需要不兼容。
关于该方案的另一问题在于,采取了这样的形式,即IPsec提供足够的保护,以及,作为结果,使鉴权失能,并且在MIP注册过程中重新进行保护。使针对归属代理的保护失能是一种选择,其没有真正地改善速度,并且需要专门用于MIP-VPN用户的归属代理,以及其他的专门用于仍使用MIP保护的简单MIP用户的归属代理。
本发明致力于上面的和其他的问题。
发明内容
本发明提供了一种如权利要求中描述的用于通信的方法和装置。
附图说明
图1是移动虚拟专用网络规划(scenario)的示意图,
图2是在ESP隧道模式中封装的数据分组的图示,
图3是借助于示例给出的,根据本发明的一个实施例的专用网络和漫游移动终端之间的通信中的交换的流程图,和
图4是在图3中说明的通信处理中用于接收注册请求的处理的流程图。
具体实施方式
图1示出了移动虚拟专用网络规划(scenario),其包括专用网络1,该专用网络1包括:安全网关,该安全网关包括VPN网关2和防火墙3;移动节点4,其位于专用网络1中;和归属代理5,其用于移动节点4。在图中示出的本发明的实施例特别适用于这样的情况,其中移动节点4能够在无线链路上通信,这改善了其在专用网络1内部和外部的漫游的能力,但是本发明的该实施例还适用于这样的情况,其中移动节点4仅在有线连接上通信。
图1示出了这样的规划,其中本发明的该实施例的优点是特别显著的,其中移动节点4在专用网络1外部移动,首先移动到被访问网络6,其具有在Mobile IPV4协议下工作的外地代理7,使得网络6中的漫游移动节点4能够通过互联网8同专用网络1通信。在该规划中,漫游移动节点4随后移动到第二被访问网络9,其具有外地代理10,同样在Mobile IPV4下工作,用于通过互联网8同专用网络1通信。尽管本发明的该实施例通过Mobile IPv4协议工作,但是应当认识到,本发明还适用于其他的协议,特别是Mobile IPv6协议。
当移动节点4在被访问网络6或9中漫游时,通过互联网8分别在IPsec和MIP隧道11和12中建立同专用网络1的通信。更具体地,所使用的协议是图2中说明的封装安全载荷(ESP)协议。根据该协议,原始分组13包括原始IP报头14和数据15。分组13通过ESP报尾16加密,同时不会改变原始IP报头和目标地址。加密分组通过ESP报头17进行封装,优选地,通过ESP鉴权18进行封装,并且在传输前同新的IP报头19组装。建立了安全关联组(security associationbundles),每个安全关联组包括出站和入站通信安全关联,用于在路径11和12上同VPN网关2通信。安全关联选择器检查,有待使用每个出站安全关联定义的隧道进行发送的分组合法地通过该安全关联发送,并且,特别地,该分组的源和目标地址同该安全关联的源和目标地址匹配,该测试是出站SA选择器检查。接收自入站安全关联定义的隧道的分组通过该安全关联检测接收的合法性,并且,特别地,该分组的源和目标地址同该安全关联的源和目标地址匹配,该测试是入站SA选择器检查。
在本发明的该实施例中,VPN网关2的入站安全关联不包含移动节点4的IP地址作为源地址,而是包含通配符(*)。这允许VPN网关2接收并传递来自移动节点4的分组,无论其可能使用什么样的转交地址。应当注意,这同IPsec协议不是矛盾的,这是因为通配符的值由该协议批准用于安全关联中的源地址选择器。隧道顺序是,IPsec隧道中的MIP隧道,该IPsec隧道位于VPN网关2和移动节点4之间,使用移动节点转交地址作为端点。
在图3中示出了在移动节点4漫游时关于通信的处理,其中出站和入站所牵涉的是移动节点4处的分组。开始,说明了关于这样的情况的IPsec隧道,其中在移动节点4的当前转交地址处建立了通信。出站IPsec隧道20在移动节点4处具有这样的安全关联,其具有当前移动节点的转交地址作为源地址,并且具有VPN网关2的地址作为目标地址;并且,在VPN网关2处具有这样的安全关联,其具有通配符作为源地址,并且具有VPN网关2的地址作为目标地址。开始的入站IPsec隧道在移动节点4处具有这样的安全关联,其具有VPN网关2的地址作为源地址,并且具有移动节点4的当前转交地址作为目标地址;并且,在VPN网关2处具有这样的安全关联,其具有VPN网关地址作为源地址,并且具有移动节点4的转交地址作为目标地址。
当移动节点在22中从一个被访问网络移动到另一个时,例如,从被访问网络6移动到被访问网络9,移动节点4例如,由进入代理广告认识到其位置已改变。随后其设置新的转交地址,其在新的被访问网络7中是可路由的。移动节点4包含VPN客户端软件,其例如,响应网络选择中间件,或者通过监视出站分组的源地址,响应移动节点位置的变化。然后,VPN客户端软件动态地改变移动节点4上的入站安全关联,由此其目标地址是移动节点的新的转交地址,入站IPsec隧道21变为临时入站IPsec隧道23。这样,移动节点4将能够接收由VPN网关2安全发送到其新的转交地址的分组;否则,由于不与前面的入站IPsec隧道21中包括的目标地址匹配,因此分组将被丢下。相似地,VPN客户端软件动态地改变移动节点4上的出站安全关联,由此其源地址是移动节点的新的转交地址,出站IPsec隧道20变为出站IPsec隧道20′;否则,由于不与前面的出站IPsec隧道20中包括的源地址匹配,因此移动节点4将不能够发送外出分组。
然后,移动节点4向其归属代理发送信令消息,以通知该归属代理其新的位置,该信令消息通过出站IPsec隧道20′和VPN网关2。该信令消息具有注册请求的形式,其中所使用的协议是Mobile IPV4,如本发明的实施例中的。
在步骤24中在VPN网关2处接收信令消息。关于出站隧道20′的VPN网关中的SA选择器未拒绝该分组,这是因为源地址是通配符字段且因此未验证源地址,并且将该分组传递到归属代理5。在步骤25中,归属代理5接收并处理来自移动节点4的注册请求消息,其指出了新的转交地址。如果注册请求是有效的,则归属代理5向VPN网关2发送安全信息更新消息(SIU),其包含用于更新VPN网关上的临时IPsec隧道23的安全关联的命令。在VPN网关2处由后台程序,例如,也就是说,向系统提供服务的背景程序,处理该SIU消息。
VPN网关2响应SIU消息,将其关于临时入站IPsec隧道23的安全关联更新为关于新的IPsec隧道26的安全关联,其具有移动节点4的新的转交地址作为目标地址。该更新是在向移动节点4发送任何分组之前,特别是在注册应答之前执行的。在本发明的优选实施例中,从归属代理5到VPN网关2的SIU消息包括针对移动节点4的注册应答。
应当认识到,归属代理1的该具体程序仅在通过诸如2的VPN网关接收到注册请求时触发,对应于移动节点4的位置位于专用网络1外部。如果移动节点位于专用网络1内部,并且因此不使用VPN服务,则归属代理5将根据正常程序通过正常注册应答来响应。
在步骤27中,VPN网关2使用新建立的入站IPsec隧道26将注册应答传递到移动节点4,并且使用隧道26将所有另外的数据分组发送到新的转交地址,直至另外的通知。
如果在步骤25中,注册请求在归属代理5处未成功,则该处理不会受到不可挽回的危害。在移动节点4处将不会接收到注册应答,其将发送另一注册请求。如果归属代理5继续不接受注册请求,则移动节点4将最终放弃尝试,并且建立关于新的转交地址的新的隧道,而不利用本发明的该实施例的处理。该情况在移动IP规划中是固有的。
图4说明了在上面的处理过程中由归属代理5采用的程序。该程序开始于28,并且在步骤29中,自移动节点24接收到具有注册请求形式的输入。在步骤30中检查该注册请求是否有效,并且如果归属代理5不接受该注册,则该程序终止于31。如果归属代理5接受该注册请求,则在32中检查该注册请求是否是通过诸如2的VPN网关接收的。如果不是,则建立注册应答,并且在步骤33中在专用网络1上将其直接发送到移动节点4。如果该注册请求是通过诸如2的VPN网关接收的,则在34中建立关于移动节点4的注册应答。然后,在35中,该注册应答包括在由归属代理35生成的新的分组中,并且该分组还包含移动节点4的前面的转交地址和新的转交地址。随后在步骤36中将该分组发送到VPN网关2,并且在31中该程序再次终止。
Claims (5)
1.一种在专用网络(1)和漫游移动终端(4)之间通信的方法,所述专用网络(1)包括用于所述漫游移动终端的归属代理(5)和网关(2、3),所述通信通过所述网关(2、3)传递并且所述网关(2、3)提供了关于所述专用网络(1)的安全保护,所述通信的协议包括安全关联组,每个安全关联组包括所述漫游移动终端(4)和所述网关(2、3)之间的关于入站通信的安全关联和关于出站通信的另一安全关联,
其特征在于,响应于使所述漫游移动终端(4)的IP地址(MN Co@)变为新的IP地址(MN New Co@)的通信切换,所述漫游移动终端更新其源于所述网关(2、3)的入站安全关联,由此其可以接收发送给其的分组,所述新的IP地址(MN New Co@)作为目标,所述漫游移动终端(4)通过把所述归属代理(5)作为目标,在安全隧道(20′)中将第一信令消息发送到所述网关(2、3),所述第一信令消息以安全的形式向所述归属代理(5)指出了所述新的IP地址(MN New Co@),源于所述漫游移动终端(4)的所述网关(2、3)的入站安全关联接收所述第一信令消息,而不检查其源地址,所述网关(2、3)在所述专用网络(1)中将所述第一信令消息传递到所述归属代理(5),所述归属代理(5)检查所述第一信令消息的有效性,并且如果其是有效的,则更新其地址数据并向所述网关(2、3)发送指出了所述新的地址(MN New Co@)的第二信令消息,并且所述网关(2、3)响应于所指出的新的地址(MN New Co@)更新其同所述漫游移动终端(4)的出站安全关联。
2.权利要求1的方法,其中所述漫游移动终端(4)和所述网关(2、3)之间的通信遵循IPsec协议规范。
3.权利要求2的方法,其中所述网关(2、3)和所述漫游移动终端(4)之间的通信遵循隧道模式中使用的封装安全载荷协议。
4.前面任何一项权利要求的方法,其中在所述第二信令消息中包括关于所述漫游移动终端(4)的注册应答。
5.一种用于在专用网络(1)和漫游移动终端(4)之间通信的系统,所述专用网络(1)包括用于所述漫游移动终端的归属代理(5)和网关(2、3),所述通信通过所述网关(2、3)传递并且所述网关(2、3)提供了关于所述专用网络(1)的安全保护,所述通信的协议包括安全关联组,每个安全关联组包括所述漫游移动终端(4)和所述网关(2、3)之间的关于入站通信的安全关联和关于出站通信的另一安全关联,所述系统包括:
这样的装置,用于响应于使所述漫游移动终端(4)的IP地址(MNCo@)变为新的IP地址(MN New Co@)的通信切换,供所述漫游移动终端更新其源于所述网关(2、3)的入站安全关联,由此所述漫游移动终端(4)可以接收发送给其的分组,所述新的IP地址(MN NewCo@)作为目标;
供所述漫游移动终端(4)通过把所述归属代理(5)作为目标,在安全隧道(20′)中将第一信令消息发送到所述网关(2、3)的装置,所述第一信令消息以安全的形式向所述归属代理(5)指出了所述新的IP地址(MN New Co@);
供源于所述漫游移动终端(4)的所述网关(2、3)的入站安全关联接收所述第一信令消息,而不检查其源地址的装置;
供所述网关(2、3)在所述专用网络(1)中将所述第一信令消息传递到所述归属代理(5)的装置;
供所述归属代理(5)检查所述第一信令消息的有效性,并且如果其是有效的,则更新其地址数据并向所述网关(2、3)发送指出了所述新的地址(MN New Co@)的第二信令消息的装置;和
供所述网关(2、3)响应于所指出的新的地址(MN New Co@)更新其同所述漫游移动终端(4)的出站安全关联的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03290770A EP1463257B1 (en) | 2003-03-27 | 2003-03-27 | Communication between a private network and a roaming mobile terminal |
| EP03290770.1 | 2003-03-27 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1762140A CN1762140A (zh) | 2006-04-19 |
| CN100525300C true CN100525300C (zh) | 2009-08-05 |
Family
ID=32799149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800072038A Expired - Lifetime CN100525300C (zh) | 2003-03-27 | 2004-03-15 | 专用网络和漫游移动终端之间的通信 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7516486B2 (zh) |
| EP (1) | EP1463257B1 (zh) |
| JP (1) | JP4163215B2 (zh) |
| KR (1) | KR100679882B1 (zh) |
| CN (1) | CN100525300C (zh) |
| AT (1) | ATE329443T1 (zh) |
| DE (1) | DE60305869T2 (zh) |
| ES (1) | ES2264756T3 (zh) |
| WO (1) | WO2004086718A1 (zh) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
| US7587591B2 (en) * | 2003-10-31 | 2009-09-08 | Juniper Networks, Inc. | Secure transport of multicast traffic |
| TWI236255B (en) * | 2003-12-15 | 2005-07-11 | Ind Tech Res Inst | System and method for supporting inter-NAT-domain handoff within a VPN by associating L2TP with mobile IP |
| US7620979B2 (en) | 2003-12-22 | 2009-11-17 | Nokia Corporation | Supporting mobile internet protocol in a correspondent node firewall |
| JP4654006B2 (ja) * | 2004-11-16 | 2011-03-16 | パナソニック株式会社 | サーバ装置、携帯端末、通信システム及びプログラム |
| US7792072B2 (en) * | 2004-12-13 | 2010-09-07 | Nokia Inc. | Methods and systems for connecting mobile nodes to private networks |
| US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
| US20070198837A1 (en) * | 2005-04-29 | 2007-08-23 | Nokia Corporation | Establishment of a secure communication |
| US20060248337A1 (en) * | 2005-04-29 | 2006-11-02 | Nokia Corporation | Establishment of a secure communication |
| CN1874343B (zh) * | 2005-06-03 | 2010-04-21 | 华为技术有限公司 | IPSec安全联盟的创建方法 |
| US8856311B2 (en) | 2005-06-30 | 2014-10-07 | Nokia Corporation | System coordinated WLAN scanning |
| WO2007027958A1 (en) * | 2005-08-29 | 2007-03-08 | Junaid Islam | ARCHITECTURE FOR MOBILE IPv6 APPLICATIONS OVER IPv4 |
| US8316226B1 (en) * | 2005-09-14 | 2012-11-20 | Juniper Networks, Inc. | Adaptive transition between layer three and layer four network tunnels |
| CN100444690C (zh) * | 2005-09-22 | 2008-12-17 | 中兴通讯股份有限公司 | 集群系统中实现漫游终端群组信息更新的方法 |
| DE102006014350A1 (de) * | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum teilnehmerspezifischen Aktivieren eines netzbasierten Mobilitätsmanagements |
| GB2434506A (en) * | 2006-01-18 | 2007-07-25 | Orange Personal Comm Serv Ltd | Providing a mobile telecommunications session to a mobile node using an internet protocol |
| CN100488284C (zh) | 2006-01-26 | 2009-05-13 | 华为技术有限公司 | 一种3gpp演进网络中漫游用户数据路由优化方法 |
| CN100466816C (zh) * | 2006-03-21 | 2009-03-04 | 华为技术有限公司 | 路由优化选择方法 |
| US20070254634A1 (en) * | 2006-04-27 | 2007-11-01 | Jose Costa-Requena | Configuring a local network device using a wireless provider network |
| US8296839B2 (en) * | 2006-06-06 | 2012-10-23 | The Mitre Corporation | VPN discovery server |
| US8174995B2 (en) * | 2006-08-21 | 2012-05-08 | Qualcom, Incorporated | Method and apparatus for flexible pilot pattern |
| US8978103B2 (en) * | 2006-08-21 | 2015-03-10 | Qualcomm Incorporated | Method and apparatus for interworking authorization of dual stack operation |
| EP2055078B1 (en) | 2006-08-21 | 2017-03-08 | QUALCOMM Incorporated | Method and apparatus for interworking authorization of dual stack operation |
| CN100452799C (zh) * | 2006-09-19 | 2009-01-14 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
| US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
| DE102006046023B3 (de) * | 2006-09-28 | 2008-04-17 | Siemens Ag | Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen |
| WO2008073735A2 (en) * | 2006-12-08 | 2008-06-19 | Adaptix, Inc. | System and method for managing wireless base station handoff information |
| CN101198156B (zh) * | 2006-12-08 | 2012-10-31 | 昂达博思公司 | 管理无线基站切换信息的系统和方法 |
| WO2008137098A1 (en) * | 2007-05-04 | 2008-11-13 | Nortel Networks Limited | Negotiating different mobile ip delivery styles |
| EP2007111A1 (fr) * | 2007-06-22 | 2008-12-24 | France Telecom | Procédé de filtrage de paquets en provenance d'un réseau de communication |
| JP4430091B2 (ja) * | 2007-08-17 | 2010-03-10 | 富士通株式会社 | パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ |
| US20090129301A1 (en) * | 2007-11-15 | 2009-05-21 | Nokia Corporation And Recordation | Configuring a user device to remotely access a private network |
| CA2714280A1 (en) * | 2008-02-08 | 2009-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for use in a communications network |
| US8209749B2 (en) * | 2008-09-17 | 2012-06-26 | Apple Inc. | Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement |
| US8719337B1 (en) | 2009-04-27 | 2014-05-06 | Junaid Islam | IPv6 to web architecture |
| KR101382620B1 (ko) * | 2009-10-14 | 2014-04-10 | 한국전자통신연구원 | 가상사설망을 구성하는 장치 및 방법 |
| CN102088438B (zh) * | 2009-12-03 | 2013-11-06 | 中兴通讯股份有限公司 | 一种解决因特网协议安全性客户端地址冲突的方法及客户端 |
| US8443435B1 (en) | 2010-12-02 | 2013-05-14 | Juniper Networks, Inc. | VPN resource connectivity in large-scale enterprise networks |
| US9491686B2 (en) * | 2011-07-28 | 2016-11-08 | Pulse Secure, Llc | Virtual private networking with mobile communication continuity |
| US9608962B1 (en) | 2013-07-09 | 2017-03-28 | Pulse Secure, Llc | Application-aware connection for network access client |
| CN107579932B (zh) * | 2017-10-25 | 2020-06-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
| JP7139943B2 (ja) | 2018-12-28 | 2022-09-21 | 住友ゴム工業株式会社 | 空気入りタイヤ |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4038732A1 (de) * | 1990-12-05 | 1992-06-11 | Henkel Kgaa | Mit synthetischen polymerverbindungen modifizierte werkstoffe und/oder formteile auf staerkebasis und verfahren zu ihrer herstellung |
| US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| US6571289B1 (en) * | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
| US6823386B1 (en) * | 1999-02-25 | 2004-11-23 | Nortel Networks Limited | Correlating data streams of different protocols |
| JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
| KR100464374B1 (ko) * | 2000-11-01 | 2004-12-31 | 삼성전자주식회사 | 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법 |
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| US7036143B1 (en) * | 2001-09-19 | 2006-04-25 | Cisco Technology, Inc. | Methods and apparatus for virtual private network based mobility |
-
2003
- 2003-03-27 AT AT03290770T patent/ATE329443T1/de not_active IP Right Cessation
- 2003-03-27 ES ES03290770T patent/ES2264756T3/es not_active Expired - Lifetime
- 2003-03-27 DE DE60305869T patent/DE60305869T2/de not_active Expired - Lifetime
- 2003-03-27 EP EP03290770A patent/EP1463257B1/en not_active Expired - Lifetime
-
2004
- 2004-03-15 JP JP2005518696A patent/JP4163215B2/ja not_active Expired - Lifetime
- 2004-03-15 WO PCT/EP2004/050310 patent/WO2004086718A1/en active Application Filing
- 2004-03-15 US US10/550,109 patent/US7516486B2/en active Active
- 2004-03-15 KR KR1020057018261A patent/KR100679882B1/ko active IP Right Grant
- 2004-03-15 CN CNB2004800072038A patent/CN100525300C/zh not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004086718A1 (en) | 2004-10-07 |
| US7516486B2 (en) | 2009-04-07 |
| EP1463257A1 (en) | 2004-09-29 |
| DE60305869D1 (de) | 2006-07-20 |
| KR20050122221A (ko) | 2005-12-28 |
| KR100679882B1 (ko) | 2007-02-07 |
| CN1762140A (zh) | 2006-04-19 |
| EP1463257B1 (en) | 2006-06-07 |
| US20060185012A1 (en) | 2006-08-17 |
| DE60305869T2 (de) | 2006-10-05 |
| JP4163215B2 (ja) | 2008-10-08 |
| ATE329443T1 (de) | 2006-06-15 |
| JP2006514815A (ja) | 2006-05-11 |
| ES2264756T3 (es) | 2007-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100525300C (zh) | 专用网络和漫游移动终端之间的通信 | |
| US7937581B2 (en) | Method and network for ensuring secure forwarding of messages | |
| US6167513A (en) | Mobile computing scheme using encryption and authentication processing based on mobile computer location and network operating policy | |
| JP4861426B2 (ja) | モビリティキーを提供する方法とサーバ | |
| US20060182083A1 (en) | Secured virtual private network with mobile nodes | |
| US7861080B2 (en) | Packet communication system | |
| US20060171365A1 (en) | Method and apparatus for L2TP dialout and tunnel switching | |
| ES2337585T3 (es) | Procedimiento para transmitir paquetes de datos basados en el protocolo de transmision de ethernet entre al menos una unidad de comunicacion movil y un sistema de comunicaciones. | |
| EP1466458B1 (en) | Method and system for ensuring secure forwarding of messages | |
| WO2008095598A2 (en) | Network controlled overhead reduction of data packets by route optimization procedure | |
| CN1741523B (zh) | 一种实现主机移动性和多家乡功能的密钥交换协议方法 | |
| US7756061B2 (en) | Mobile router device and home agent device | |
| Mink et al. | Towards secure mobility support for IP networks | |
| Inoue et al. | Secure mobile IP using IP security primitives | |
| CN101091371A (zh) | 提供移动节点之间路由优化安全会话连续性的方法和装置 | |
| EP1906615A1 (en) | Method and devices for delegating the control of protected connections | |
| Luo et al. | Internet roaming: A WLAN/3G integration system for enterprises | |
| WO2008054022A2 (en) | Mobile node and access router | |
| Hollick | The Evolution of Mobile IP Towards Security | |
| Tsuda et al. | Design and implementation of Network CryptoGate-IP-layer security and mobility support | |
| Douligeris et al. | Mobile IP protocols |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MOTOROLA MOBILE CO., LTD. Free format text: FORMER OWNER: MOTOROLA INC. Effective date: 20110107 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20110107 Address after: Illinois State Patentee after: MOTOROLA MOBILITY, Inc. Address before: Illinois, USA Patentee before: Motorola, Inc. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Illinois State Patentee after: MOTOROLA MOBILITY LLC Address before: Illinois State Patentee before: MOTOROLA MOBILITY, Inc. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20160307 Address after: California, USA Patentee after: Google Technology Holdings LLC Address before: Illinois State Patentee before: MOTOROLA MOBILITY LLC |
|
| CX01 | Expiry of patent term |
Granted publication date: 20090805 |
|
| CX01 | Expiry of patent term |