CN101496425A - 用于在多个网络交互工作中通过本地代理进行动态本地地址分配的方法及设备 - Google Patents

Abstract

本发明涉及一种用于在多个网络交互工作中通过本地代理进行动态本地地址分配的方法及设备。本发明提供将来自移动台的密钥授权请求发送到网络装置的方法及设备，所述请求指示所述移动台期望使用外地代理转交地址以继续接收数据。所述网络装置给所述移动台分配临时地址且创建用于所述移动台的安全策略数据库。所述移动台从可能能够提供服务的外地代理接收代理广告。所述移动台向外地代理进行注册。然后，所述网络装置修改所述安全策略数据库以反映所述外地代理的信息。然后，本地代理给所述移动台分配本地地址且所述网络装置更新所述安全策略数据库以仅包括所述移动装置的本地地址作为选择者。

Description

用于在多个网络交互工作中通过本地代理进行动态本地地址分配的方法及设备

主张35U.S.C§119下的优先权

本专利申请案主张基于2005年6月14日提出申请且名称为“DYNAMIC HOMEADDRESS ASSIGNMENT BY HOME AGENT FN 3G-WLAN INTERWORKING”的第60/650,621号临时申请案的优先权，所述临时申请案受让于本申请案的受让人且以引用的方式明确地并入本文中。

技术领域

一般来说，本发明涉及通信系统，且更具体来说，涉及一种用于在多个网络交互工作中通过本地代理进行动态本地地址分配的方法及设备。此外，本发明提供用于多个网络交互工作的结构。

背景技术

在最近几年中，无线通信技术已经历巨大发展。由无线技术提供的移动自由及在无线媒体上的语音及数据通信的巨大改善的质量部分地推动了此发展。语音服务的改善的质量以及数据服务的增加已经并将继续对通信公众产生显著影响。所述附加服务包括在漫游时使用移动装置接入因特网。

在移动时维持数据对话的能力对于使用者及系统操作者两者都很重要。当使用者移动时，所述使用者可从一个网络类型转变为另一个网络类型，举例来说，从无线局域网(WLAN)移动到第三代(3G)网络。各种协议(例如，移动因特网协议版本4(MTPv4))可用于在移动台(MS)在WLAN与3G系统之间移动时提供数据对话连续性。

图1显示用于支持WLAN系统与3G系统之间的数据对话的连续性的交互工作体系结构。体系结构100包括多个连接到3G本地接入网络104或WLAN系统110的MS 102。所述3G本地接入网络包括多个基站收发台(BTS)(虽然图中仅显示一个BTS)及多个基站控制器/包控制功能装置(BSC/PCF)108，其中仅显示一个BSC/PCF装置。BTS连接到3G本地核心网络116中的BSC/PCF。WLAN系统110包括接入点(AP)112及接入路由器(AR)114。WLAN系统也连接到3G本地核心网络116。3G本地接入网络104通过包数据服务节点(PDSN)118连接到3G本地核心网络116。PDSN连接到本地代理(HA)124及本地验证、授权及计费(H-AAA)装置120。相反，WLAN系统通过包数据交互工作功能(PDIF)122连接到3G本地核心网络116。PDIF 122也连接到HA124及H-AAA 120。

移动IPv4为系统间移动提供外地代理转交地址(FA CoA)模式。在此模式中，HA用作使用者数据业务的锚定点。当MS移动到WLAN或3G系统中时，MS向HA注册。在HA将指定给MS的数据包路由到MS所注册的WLAN或3G系统之前验证且授权所述注册。由于HA是本地3G系统中的资源，因此其仅允许经授权的MS接入所述系统。

FA CoA如以下实例所阐述运作。最初，MS在WLAN系统110中开始包数据对话且然后移动到3G系统104。在WLAN系统中时，MS建立与PDIF的因特网协议安全性(IPsec)隧道。在建立所述隧道后，PDIF可担当FA以向MS广告其CoA。MS向HA 124注册此CoA。此注册使HA将指定给MS的包遂穿到PDIF 122，PDIF 122又将所述包转发到MS。MS可继续移动且可最终移出WLAN覆盖区域而进入到由3G网络服务的区域。一旦进入3G网络，MS建立与PDSN 118的点对点协议(PPP)连接。在建立PPP连接后，PDSN 118可担当FA以向MS广告其CoA。当MS在WLAN系统中起始MIPv4对话时，应通过HA动态地分配本地地址(HoA)。目前需要通过HA动态地给MS分配HoA的方法及设备。

发明内容

一种包含以下步骤的方法：将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；给所述移动装置分配临时地址；将所述临时地址发送到所述移动装置；创建用于所述移动装置的安全策略数据库；将来自外地代理的代理广告发送到所述移动装置；将来自所述移动装置的注册请求发送到所述外地代理；使用所述注册请求中所含有的信息修改所述安全策略数据库；通过本地代理给所述移动装置分配本地地址；及修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者。

一种包含以下步骤的方法：将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；给所述移动装置分配临时地址；将所述临时地址发送到所述移动装置；创建用于所述移动装置的安全策略数据库；将来自外地代理的代理广告发送到所述移动装置；将来自所述移动装置的注册请求发送到所述外地代理；使用所述注册请求中所含有的信息修改所述安全策略数据库；通过本地代理给所述移动装置分配本地地址；修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者；及修改所述安全策略数据库以包括外部隧道的源因特网协议地址作为所述移动装置的额外选择者。

一种包含以下元件的设备：发射器，其用于将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；接收器，其用于从网络装置接收临时地址；处理器，其用于创建用于所述移动装置的安全策略数据库；发射器，其用于将来自所述移动装置的注册请求发送到外地代理；及接收器，其用于接收本地地址。

一种包含以下元件的设备：接收器，其用于从移动装置接收密钥授权请求；处理器，其用于存储临时地址；发射器用于将临时地址发送到移动装置发射器；及处理器，其用于产生且修改安全策略数据库。

一种包含以下元件的设备：用于将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址的装置；用于给所述移动装置分配临时地址的装置；用于将所述临时地址发送到所述移动装置的装置；用于创建用于所述移动装置的安全策略数据库的装置；用于将来自外地代理的代理广告发送到所述移动装置的装置；用于将来自所述移动装置的注册请求发送到所述外地代理的装置；用于使用所述注册请求中所含有的信息修改所述安全策略数据库的装置；用于通过本地代理给所述移动装置分配本地地址的装置；及用于修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者的装置。

一种包括计算机可执行指令的计算机可读媒体，以实施以下步骤：将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；给所述移动装置分配临时地址；将所述临时地址发送到所述移动装置；创建用于所述移动装置的安全策略数据库；将来自外地代理的代理广告发送到所述移动装置；将来自所述移动装置的注册请求发送到所述外地代理；使用所述注册请求中所含有的信息修改所述安全策略数据库；通过本地代理给所述移动装置分配本地地址；及修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者。

一种包括计算机可读指令的计算机可读媒体，以实施以下步骤：将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；给所述移动装置分配临时地址；将所述临时地址发送到所述移动装置；为所述移动装置产生安全策略数据库；将来自外地代理的代理广告发送到所述移动装置；将来自所述移动装置的注册请求发送到所述外地代理；使用所述注册请求中所含有的信息修改所述安全策略数据库；通过本地代理给所述移动装置分配本地地址；修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者；及修改所述安全策略数据库以包括外部隧道的源因特网协议地址作为所述移动装置的额外选择者。

附图说明

图1是显示根据本发明实施例的用于支持不同系统之间的数据对话连续性的交互工作体系结构的方块图。

图2显示根据本发明实施例的移动IPv4的运作。

图3显示根据本发明实施例的安全网关到安全网关隧道。

图4显示根据本发明实施例的端点对端点输送。

图5显示根据本发明实施例的端点到安全网关输送。

图6显示根据本发明实施例的隧道建立流程。

图7是绘示根据本发明实施例的通过本地代理进行动态本地地址分配的流程图。

具体实施方式

在本文中，“实例性”一词用于意指“用作实例、例示或例解”。本文阐述为“实例性”的任何实施例未必被解释为较其它实施例为优选或有利。

MTPv4允许因特网中IP数据报到移动节点的透明路由。每一移动节点的总是通过其本地地址而被识别，不管其因特网连接的当前点。当远离其本地时，移动节点还与转交地址(CoA)相关联，所述CoA提供关于所述移动节点的当前因特网连接点的信息。MTPv4提供用于向HA注册所述CoA的机制及程序。HA通过隧道将指定给所述移动节点的数据报发送到所述CoA。在通过所述隧道后，将数据报投递到所述移动节点。

MIPv4假定移动节点的IP地址唯一地识别所述移动节点到因特网的连接点。移动节点必须位于通过其IP地址所识别的网络上以接收指定给所述移动节点的数据报，否则无法投递所述数据报。移动节点可使用以下机制中的一者来维持其连接点而不丧失通信能力。第一种方法需要所述移动节点每当改变其到因特网的连接点时必须改变其IP地址。另一选择为，所述移动节点必须使用特定主机路由，所述路由经传播而遍及多数因特网路由架构。所述两种选择可证明是不可接受的。反复地改变IP地址可使移动节点不可能随着所述移动节点改变位置而维持输送及更高层连接。第二种方法可导致严重的缩放困难。MIPv4是用于适应因特网中移动节点移动性的协议。

移动因特网协议引入如下所述的新功能实体。

移动节点是将其连接点从一个网络或子网络改变为另一网络或子网络的主机或路由器。移动节点可改变其位置而不改变其IP地址，从而允许其使用其不变的IP地址在任何位置继续与其它因特网节点通信，只要到连接点的链路层连通性可用。

本地代理是移动节点的本地网络上的路由器，当所述移动节点远离本地时其将供投递的数据报遂穿到所述移动节点且维持所述移动节点的当前位置信息。

外地代理是移动节点所访问网络上的路由器，在所述移动节点注册后其向所述移动节点提供路由服务。所述外地代理将由所述移动节点的本地代理所遂穿的数据报解遂穿且投递到所述移动节点。对于已注册移动节点来说，所述外地代理可用作由移动节点发送的数据报的缺省路由器。

移动节点被给予在本地网络上的长期IP地址。以类似固定主机的“永久性”IP地址的方式管理此本地地址。当所述移动节点远离其本地网络时，转交地址(CoA)与所述移动节点相关联且反映所述移动节点到因特网的当前连接点。所述移动节点将其本地地址用作其发送的所有IP数据报(仅除独立于本发明的某些移动性管理功能数据报之外)的源地址。

移动IPv4使用许多应在审查所述协议的运作之前界定的术语。所述术语界定如下。

代理广告是通过将特定扩展部分附接到路由器广告消息所构建的广告消息。

验证是使用加密技术以核对消息的始发方的身份的过程。

转交地址是面向移动节点的用于当所述移动节点远离其本地网络时将数据报转发到所述移动节点的隧道的终点。所述协议可使用两种不同类型的转交地址：外地代理转交地址，其是所述移动节点所注册的外地代理的地址，及共同定位转交地址，其是外部获得的局部地址，所述移动节点将所述局部地址与其自身的网络接口中的一者相关联。

本地地址是分配给移动节点的延长时间周期的IP地址。不管所述移动节点在何处连接到因特网，所述IP地址保持不变。

本地网络是具有与移动节点的本地地址的网络前缀相匹配的网络前缀的网络。标准IP路由机制将投递指定给移动节点的本地地址的数据报到所述移动节点的本地网络。

隧道是在数据报经封装后所沿行的路径。在封装后，将数据报路由到有知识的解封装代理，所述代理对数据报解封装且然后正确地将其投递到其最终目的地。

虚拟网络是除在另一网络上具有物理网络接口的路由器之外不具有物理例示的网络。所述路由器或HA通常使用常规路由协议向所述虚拟网络广告可到达性。

受访问网络是移动节点当前连接到的非所述移动节点的本地网络的网络。

移动IP提供下列支持服务。

当本地代理及外地代理广告在每一其为之提供服务的链路本地外地上的其可用性时，代理发现出现。新到达的移动节点可在所述链路上发送征求以探知是否存在任何预期代理。

当所述移动节点远离本地网络时出现注册。远离其本地网络的移动节点向其本地代理注册其转交地址。依据连接到因特网的模式，所述移动节点将直接地向其本地代理进行注册或通过将所述注册转发到本地代理的外地代理进行注册。

以下步骤提供移动IP协议的运作的大体轮廓。移动性代理，也就是说，外地代理及本地代理使用代理广告消息广告其存在。移动节点还可使用代理征求消息从任何局域连接的移动性代理征求代理广告消息。移动节点接收所述代理广告且确定其是在其本地网络上还是外地网络上。

如果所述移动侦测到其是在本地网络上，则其在不使用移动性服务的情况下运作。如果所述移动节点在别处注册后返回到本地网络，则所述移动节点首先使用注册请求且接收注册回复消息来而向所述本地代理注销。

如果所述移动侦测到其已从本地网络移动到外地网络，则所述移动获得所述外地网络上的转交地址。可从所述外地代理的广告确定所述转交地址(外地转交地址)，或通过外部分配机制确定所述转交地址(共同定位转交地址)。然后，远离本地网络运作的移动节点通过注册请求消息与注册回复消息的交换向本地代理注册所述新的转交地址。在此发生之后，发送到所述移动节点的本地地址的数据报被本地代理截取，通过本地代理遂穿到所述移动节点的转交地址，在隧道端点(在外地代理处或在所述移动节点本身)处接收，且最后投递到所述移动节点。在相反方向，通常使用标准IP路由机制将由所述移动节点发送的数据报投递到其目的地且不必通过本地代理。

当远离本地网络时，移动IP使用协议遂穿以对本地网络与移动节点的当前位置之间的中间路由器隐藏所述移动节点的本地地址。所述隧道终止于所述移动节点的转交地址处。所述转交地址必须是可经由常规IP路由将数据报投递到的地址。在所述转交地址处，从隧道移出原始数据报且将其投递到所述移动节点。

移动IPv4提供两种用于获取转交地址的机制。在第一个机制中，外地代理转交地址是由外地代理通过代理广告消息提供的转交地址。在此机制中，所述转交地址是所述外地代理的IP地址。当所述外地代理接收经遂穿的数据报时，其对数据报进行解封装且将内部数据报投递到所述移动节点。此机制是优选的，因为其允许许多移动节点共享相同的转交地址且不对有限的地址空间设置不必要的要求。

第二个机制提供共同定位转交地址。所述移动节点通过某些外部装置获取此共同定位转交地址作为本地IP地址。然后，所述移动节点使所述共同定位转交地址与其自身的网络接口中的一者相关联。可通过所述移动节点动态地获取所述共同定位转交地址作为临时地址或由所述移动节点拥有为仅在访问外地网络时使用的长期地址。当使用共同定位转交地址时，所述移动节点用作隧道的端点且对遂穿到所述地址的数据报实施解封装。此机制具有允许移动节点在无外地代理的情况下起作用的优点。由于所述情况需要所述外地网络内的地址池可用于访问移动节点而使IPv4地址空间负担沉重。

转交地址不同于外地代理功能。转交地址是所述隧道的端点。其可以是外地代理的地址，但其还可以是由移动节点临时获取的地址(共同定位转交地址)。外地代理是向所述移动节点提供服务的移动性代理。

图2显示在移动节点通过本地代理注册后指定给及来自远离其本地网络的所述移动节点的数据报的路由。方法200图解说明所述移动节点使用外地代理转交地址。所述移动节点的数据报使用标准IP路由到达本地网络上的主机202。本地代理204截取所述数据报且将所述数据报遂穿到所述转交地址。外地代理206对所述数据报进行解遂穿且将所述数据报投递到移动节点208，对于由所述移动节点发送的数据报来说，标准IP路由将每一数据报投递到规定的目的地。在图2中，所述外地代理是所述移动节点的缺省路由器。

本地代理必须能够吸引且截取寄送到任何其已注册移动节点的本地地址的数据报。如果所述本地代理在由所述移动节点的本地地址指示的链路上具有网络接口则可满足此需要。相对于所述移动节点的本地代理的其它布置也是可能的，然而，可能需要用于截取寄送到所述移动节点的本地地址的数据报的其它方法。

移动节点及当前或预期外地代理必须能够交换数据报而不依靠标准IP路由机制，特别是那些根据IP标头中的目的地地址的网络前缀进行转发决定的机制。如果所述外地代理及访问移动节点具有相同链路上的接口则此可实现。在此情况下，当彼此发送数据报时所述移动节点及所述外地代理简单地绕开正常IP路由机制，从而将基本链路层包寄送其相应链路层地址。

如果移动节点使用共同定位转交地址，则所述移动节点应在由所述转交地址的网络前缀识别的链路上。如果不，则将无法投递数据报。

从一个网络移动到另一网络的移动节点需要灵活的机制以告知如何到达所述移动节点。可在移动IP中使用注册实现。注册是在访问外地网络时移动节点借之以请求转发服务，通知其本地代理当前的转交地址，更新即将终止的注册，且当所述移动节点返回本地时注销的方法。注册消息在移动节点、外地代理与所述本地代理之间交换信息。注册过程创建或修改绑定于本地代理的移动性，从而使所述移动节点的本地地址与其转交地址相关联一规定时间周期。

移动IP提供两种不同的注册程序，一种经由将信息中继到所述移动节点的本地代理的外地代理，且另一种直接向所述移动节点的本地代理进行注册。规则根据环境界定应使用哪一种程序。任一注册程序均与本发明的方法及设备兼容。

注册程序提供验证及一些安全性且遂穿也提供安全性。然而，需要额外的安全性来保护在多个网络中穿行的数据报。将移动IPv4与称为因特网密钥交换版本2(IKEv2)的密钥交换协议一起使用。IKEv2是用于实施共同验证且建立且维持安全性关联的IP安全性(IPsec)的部分。IPsec向IP数据报提供机密性、数据完整性、接入控制及数据源验证。通过维持IP数据报的源与槽之间的共享状态提供所述服务。此状态界定给数据报提供的特定服务，将使用哪一种密码算法及用作输入到所述密码算法中的密钥。IKEv2允许动态地建立此状态。

所有IKEv2通信由消息对组成：请求与响应。此对称为交换。请求后跟响应。保证可靠性是请求者的责任。如果在超时间隔内未接收到所述响应，则请求者必须重新传输所述请求或放弃连接。第一交换商议安全性关联的安全性参数。第二请求传输身份、证明对应于两个身份的秘密的知识且设立安全性关联。

IKE可用于多个不同的情景中，每一情景均具有特定的需要。IKE可与安全性网关一起用于安全性隧道。图3显示此情景的方块图。在此情景中，IP连接的无一端点执行IPsec，然而，所述端点之间的网络节点保护部分路由的业务。保护对于端点是透明的且依靠普通路由将包发送通过用于处理的隧道端点。每一端点通告其“后”的地址组，且以其中内部IP标头含有实际端点的IP地址的隧道模式发送包。

图4显示其中IP连接的两个端点均执行IPsec的情景(或端点对端点)。可在无内部IP标头的情况下使用输送模式。如果存在内部IP标头，则所述内部及外部地址是相同的。为受此安全性关联保护的包商议单个对的地址。所述端点可根据经IPsec验证的参与者的身份执行应用层接入控制。此情景的一个优点是其提供端对端安全性。

图5显示端点到安全性网关隧道情景的方块图。在此情景中，受保护端点(通常是便携式漫游装置)通过受IPsec保护的隧道向后连接到其企业网络。所述装置或移动节点可使用此隧道仅以接入所述企业网络上的信息，或其可将其所有业务向后遂穿通过所述企业网络以利用由企业防火墙提供的保护。在任一情况下，受保护端点将期望具有与所述安全性网关相关联的IP地址，以便返回到所述受保护端点的包将指定给所述安全性网关且被遂穿回来。此IP地址可以是静态或可由所述安全性网关动态地分配。为支持动态分配，IKEv2包括用于发起者请求由所述安全性网关拥有的IP地址以用于所述安全性分配的持续的机制。

在此情景中，包使用所述隧道模式。在来自受保护端点的每一包上，所述外部IP标头含有与当前位置相关联的源IP地址(即，将业务直接路由到所述端点的地址)，而所述内部IP标头含有由所述安全性网关分配的源IP地址(即，将业务转发到所述安全性网关以转发到所述端点的地址)。所述外部目的地地址将是所述安全性网关的地址，而所述内部目的地地址将是所述包的最终目的地。本发明可与所述情景中的任一者一起使用，但最适合与隧道一起运作。

上文结合3G系统阐述了移动IPv4及IKEv2。本发明解决了当移动节点从3G系统移动到WLAN时所发现的问题。将提供对在cdma2000IP数据连通性的背景下的WLAN网络的概述。

图1显示经设计以与3G本地核心网络接合的WLAN网络的一部分。与所述WLAN实体接合的3G本地核心网络中的功能包括PDIF及HA。

PDIF是包数据交互工作功能，其担当保护服务cdma2000网络中的资源及包数据服务免受未经授权接入的安全性网关。PDIF 122位于所述服务网络(在此情况下，即3G本地核心网络)中。HA 124或本地代理也位于3G本地核心网络中。PDIF 122通过提供到3G本地核心网络及其它外部网络的IP连通性来提供对包数据服务的接入。其支持其本身与移动节点或移动台(MS)之间的安全隧道管理程序，包括隧道的建立及释放，IP地址到来自所述服务网络的MS的分配及对到达及来自MS或移动节点的业务的封装及解封装。其还强制实行服务网络策略，例如包过滤及路由。通过到H-AAA120的接口，PDIF 122支持授权策略信息的使用者验证及转移。此外，PDIF 122收集且报告计费信息。

如上所述，隧道是通过因特网转移数据报的安全装置。使用下述程序建立隧道。

图6显示在隧道建立程序中的消息流。为开始建立隧道，MS或移动节点验证WLAN接入网络且接收因特网接入。此可包括WLAN接入网络通过H-AAA针对授权进行检查。MS或移动节点配置来自所述接入网络的IP地址且发现所述缺省路由器及服务器。

然后，所述MS或移动台实施PDIF发现。PDIF IP地址是全球性、可公开路由的IP地址。

然后，MS或移动节点开始与PDIF的IKEv2交换。第一组消息是交换密钥所需要的交换。所述交换也支持数据报端口封装的商议。

接下来，MS或移动节点开始与PDIF的密钥交换授权。使用在前面步骤中商议的密钥加密且保护所述消息。然后，MS或移动节点请求隧道内部IP地址(TIA)。MS或移动节点将其网络接入标识符(NAI)包括在所述服务授权请求中的有效荷载中。

PDIF接收所述IKE授权请求且接触H-AAA以请求服务授权及使用者验证。H-AAA验证用户且将所述验证信息向后转发到PDIF。PDIF通过将授权消息发送到MS或移动节点来完成所述IKE授权交换。一旦此IKE授权完成，在MS或移动节点与PDIF之间建立IPsec隧道。

图7是在3G-WLAN交互工作中通过本地代理进行动态本地地址分配的流程图。在图7中，左手边的数字(例如，1、2、3等)通常是指根据本发明的实施例在3G-WLAN交互工作结构中通过本地代理进行动态本地地址分配的方法中的步骤。在步骤1中，如上所述，当使用隧道模式时需要TIA用于IKEv2运作。由于此需要，MS或移动节点将Internal_IP4_Address设定成零以向PDIF发信号以给MS分配TIA。MS还包括指示所述MS期望使用上述MIPV4 FA CoA运作的3GPP2特定参数。

在步骤2中，PDIF给MS分配临时地址x。在步骤9后，稍后将恢复此地址。

在步骤3处，PDIF将所述临时地址x传达到IKE授权响应消息中的MS。

在步骤4处，PDIF为MS产生安全策略数据库(SPD)。在所述方法中的此点上，SPD的策略是不允许指定给临时地址x的所有包。

在步骤5中，由于MS已指示其将使用MIPv4 FA CoA运作，因此PDIF周期性地将代理广告发送到MS。所述代理广告含有FA CoA。

在步骤6中，MS将MIPv4注册请求(RRQ)发送到FA。源及目的地IP地址分别是0.0.0.0与FA CoA。源及目的地端口编号分别是w(由MS选择)与434(用于MIPv4注册的众所周知的端口)。RRQ含有MS的NAI及设定为等于0.0.0.0.的本地地址(HoA)字段以发信号通知对HA的请求，从而分配HoA。

在步骤7中，PDIF通过将目的地端口w及MS的NAI增加为选择者来改变SPD。此意指PDIF将仅使指定给MS的MTPv4注册回复(RRP)与从PDIF到MS的IPsec隧道相关联。此允许PDIF将RRP发送到正确的IPsec隧道。

在步骤8处，HA分配HoA y且以也含有MS的NAI的RRP响应。源及目的地IP地址分别是HA与CoA。源及目的地端口编号分别是z(由HA选择)与w。

在步骤9中，PDIF通过仅包括目的地地址y(即，MS的HoA)作为选择者来改变SPD。此意指PDIF将使指定给MS的随后IP包与从PDIF到MS的IPsec隧道相关联。此允许PDIF将所述包发送到正确的IPsec隧道。

额外实施例允许私有寻址支持。也就是说，每一HA可分配私有地址且管理其自己的私有地址空间。在此实施例中，两个HA有可能向由相同PDIF服务的不同MS分配相同的私有地址。在此情况下，打算提供给两个MS的两个包具有相同的目的地IP地址，因此PDIF必须为每一包确定适当的IPsec隧道。指定给MS的每一IP包通过IP-IP封装从MS的HA到达PDIF。在此情况下，外部包的源及目的地地址分别是HA的IP地址与FA的IP地址。内部包的源及目的地地址分别是MS的IP地址与相应节点的IP地址。虽然两个MS具有相同的私有地址，但其具有可全球性路由的不同HA IP地址，此因为两个MS由不同的Has服务。

在另外实施例中，PDIF包括外部隧道的源IP地址作为MS的SPD中的额外选择者，所述源IP地址是HA的IP地址。此改变上述方法的步骤9。此实施例中的步骤9需要PDIF发现RRP中所分配的HoA(即，y)(见步骤8)是私有地址。然后，PDIF将外部隧道的源IP地址增加为MS的SPD中的额外选择者，将所述源IP地址设定成等于MS的HA IP地址。

在另外实施例中，所属领域的技术人员将了解，可通过执行体现在计算机可读媒体(例如，计算机平台的存储器)上的程序来执行以上方法。所述指令可驻留在各种类型的信号承载或数据存储第一级、第二级、或第三级媒体中。举例来说，所述媒体可包含可由客户端装置及/或服务器接入或贮存在客户端装置及/或服务器中的RAM。无论是包含在RAM、磁盘还是其它第二级存储媒体中，所述指令可存储在各种机器可读数据存储媒体上，例如DASD存储装置(例如，传统的“硬盘驱动器”或RAID阵列)、磁带、电子只读存储器(例如，ROM或EEPROM)、快闪存储器卡、光学存储装置(例如，CD-ROM、WORM、DVD、数字光学磁带)、纸“打孔”卡、或包括数字及类似传输媒体在内的其它合适数据存储媒体。

虽然以上揭示显示了本发明的阐释性实施例，但应注意，可在不背离随附权利要求书所界定的本发明的范围的情况下对这些实施例做各种改变及修改。根据本文所述的本发明实施例的方法权利要求书的活动或步骤无需以任何特定次序实施。此外，虽然可能以单数形式描述本发明的元件或要求其权利，但除非明确指明限定为单数外，也涵盖复数。

因此，已显示且阐述本发明的优选实施例。然而，所属领域技术人员将明了，可在不背离本发明的精神或范畴的情况下对本文中所揭示实施例做许多变更。因此，仅根据以下权利要求书来限定本发明。

Claims (17)

1、一种方法，其包含：

将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；

给所述移动装置分配临时地址；

将所述临时地址发送到所述移动装置；

创建用于所述移动装置的安全策略数据库；

将来自外地代理的代理广告发送到所述移动装置；

将来自所述移动装置的注册请求发送到所述外地代理；

使用所述注册请求中所含有的信息修改所述安全策略数据库；

通过本地代理给所述移动装置分配本地地址；及

修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者。

2、如权利要求1所述的方法，其中发送所述密钥授权请求包括将内部因特网协议地址设定为零。

3、如权利要求1所述的方法，其中发送所述密钥授权请求包括指示所述移动装置将使用外地代理转交地址的参数。

4、如权利要求1所述的方法，其中发送所述密钥授权请求包括将内部因特网协议地址设定为零及包括指示所述移动装置将使用外地代理转交地址的参数。

5、如权利要求1所述的方法，其中所述注册请求包括源因特网协议地址及目的地因特网协议地址。

6、如权利要求5所述的方法，其中所述注册请求源因特网协议地址、目的地因特网协议地址、源端口编号、目的地端口编号及网络接入标识符。

7、一种方法，其包含：

将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；

给所述移动装置分配临时地址；

将所述临时地址发送到所述移动装置；

创建用于所述移动装置的安全策略数据库；

将来自外地代理的代理广告发送到所述移动装置；

将来自所述移动装置的注册请求发送到所述外地代理；

使用所述注册请求中所含有的信息修改所述安全策略数据库；

通过本地代理给所述移动装置分配本地地址；

修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者；及

修改所述安全策略数据库以包括外部隧道的源因特网协议地址作为所述移动装置的额外选择者。

8、一种设备，其包含：

发射器，其用于将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；

接收器，其用于从网络装置接收临时地址；

处理器，其用于创建用于所述移动装置的安全策略数据库；

发射器，其用于将来自所述移动装置的注册请求发送到外地代理；

接收器，其用于接收本地地址。

9、一种设备，其包含：

接收器，其用于从移动装置接收密钥授权请求；

处理器，其用于存储临时地址；

发射器，其用于将临时地址发送到移动装置；

处理器，其用于创建且修改安全策略数据库。

10、一种设备，其包含：

用于将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址的装置；

用于给所述移动装置分配临时地址的装置；

用于将所述临时地址发送到所述移动装置的装置；

用于创建用于所述移动装置的安全策略数据库的装置；

用于将来自外地代理的代理广告发送到所述移动装置的装置；

用于将来自所述移动装置的注册请求发送到所述外地代理的装置；

用于使用所述注册请求中所含有的信息修改所述安全策略数据库的装置；

用于通过本地代理给所述移动装置分配本地地址的装置；及

用于修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者的装置。

11、如权利要求1所述的设备，其中用于发送所述密钥授权请求的装置包括将内部因特网协议地址设定为零。

12、如权利要求1所述的设备，其中用于发送所述密钥授权请求的装置包括指示所述移动装置将使用外地代理转交地址的参数。

13、如权利要求1所述的设备，其中用于发送所述密钥授权请求的装置包括将内部因特网协议地址设定为零及包括指示所述移动装置将使用外地代理转交地址的参数。

14、如权利要求1所述的设备，其中用于所述注册请求的所述装置包括源因特网协议地址及目的地因特网协议地址。

15、如权利要求5所述的设备，其中用于所述注册请求的所述装置包括源因特网协议地址、目的地因特网协议地址、源端口编号、目的地端口编号及网络接入标识符。

16、一种包括计算机可执行指令的计算机可读媒体，其包含：

将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；

给所述移动装置分配临时地址；

将所述临时地址发送到所述移动装置；

创建用于所述移动装置的安全策略数据库；

将来自外地代理的代理广告发送到所述移动装置；

将来自所述移动装置的注册请求发送到所述外地代理；

使用所述注册请求中所含有的信息修改所述安全策略数据库；

通过本地代理给所述移动装置分配本地地址；及

修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者。

17、一种包括计算机可读指令的计算机可读媒体，其包含：

将来自移动装置的密钥授权请求发送到网络装置以请求隧道内部地址；

给所述移动装置分配临时地址；

将所述临时地址发送到所述移动装置；

创建用于所述移动装置的安全策略数据库；

将来自外地代理的代理广告发送到所述移动装置；

将来自所述移动装置的注册请求发送到所述外地代理；

使用所述注册请求中所含有的信息修改所述安全策略数据库；

通过本地代理给所述移动装置分配本地地址；

修改所述安全策略数据库以仅包括所述移动装置本地地址作为选择者；及

修改所述安全策略数据库以包括外部隧道的源因特网协议地址作为所述移动装置的额外选择者。

Images