CN101707759B - 在两重和三重隧道之间进行切换的移动节点、系统和方法 - Google Patents

在两重和三重隧道之间进行切换的移动节点、系统和方法 Download PDF

Info

Publication number
CN101707759B
CN101707759B CN200910208858.6A CN200910208858A CN101707759B CN 101707759 B CN101707759 B CN 101707759B CN 200910208858 A CN200910208858 A CN 200910208858A CN 101707759 B CN101707759 B CN 101707759B
Authority
CN
China
Prior art keywords
mip
addr
address
mobile node
bag
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CN200910208858.6A
Other languages
English (en)
Other versions
CN101707759A (zh
Inventor
谷内谦一
张涛
巴蒂马·阿格拉瓦尔
阿舒托什·杜塔
苏尼尔·麦德哈尼
马场伸一
藤本谦作
胜部泰弘
儿玉利一
大场义洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuoxin Heritage Co
Toshiba Corp
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Toshiba Corp
Telcordia Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34197889&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN101707759(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Toshiba Corp, Telcordia Technologies Inc filed Critical Toshiba Corp
Priority claimed from CNB2004800174563A external-priority patent/CN100574228C/zh
Publication of CN101707759A publication Critical patent/CN101707759A/zh
Application granted granted Critical
Publication of CN101707759B publication Critical patent/CN101707759B/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • H04W80/045Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及在两重和三重隧道之间进行切换的移动节点、系统和方法。用于在到归属网络的两重隧道和三重隧道连接之间转换的移动节点包括:外部移动IP驱动器,用于从第一网络驱动器接收信息;内部移动IP驱动器,用于从外部移动IP驱动器接收信息;控制器,用于控制用于在两重隧道和三重隧道之间进行切换的信令。其中,内部移动IP驱动器确定所述信息是否为移动节点应当从两重隧道切换到三重隧道的指示,并且向控制器提供有关所述指示的数据。

Description

在两重和三重隧道之间进行切换的移动节点、系统和方法
本申请是2004年7月22日递交的、申请号为200480017456.3、名称为“在内部和外部网络间进行安全和无缝漫游,在双重和三重隧道间切换,以及保护归属代理和移动节点间的通信”的发明专利申请的分案申请。
技术领域
本发明的方面涉及无线通信。本发明的方面尤其涉及在无线网络之间漫游的同时保持连接性。
背景技术
对于移动数据用户存在不同的无线技术。移动数据用户可以使用蜂窝技术、基于IEEE802.11的技术、蓝牙及其他无线技术,以便连接到网络。虽然在单个网络中在接入点之间切换(handoff)是众所周知的,但是在运行不同无线协议的接入点之间进行切换是困难的。这时,用户期望尽管网络发生改变,但是具有无缝的移动性。此外,为了保护网络不受有害的侵入影响,可以在跨越网络的位置处使用多个防火墙。防火墙的一个负面效应是阻止了用户自由地访问它们的网络。因此,用户需要一种提供移动性以及对他们的归属网络(homenetwork)的安全接入的解决方案。
移动IP系统包括在用户终端上的移动IP客户端软件和在网络基础结构中的移动IP归属代理(homeagent)(HA),归属代理控制移动节点的正确的拓扑地址(这里称为归属地址(homeaddress)),并保持与移动节点(MN)的当前位置的绑定列表(这里称为转交(care-of)地址)。移动节点用它的当前转交地址(care-of-address)更新归属代理。这可以直接进行,或者可选地,借助于中间外部代理(FA)进行。归属代理设置前向隧道,以把来自正确的拓扑归属地址的业务重定向到当前的转交地址。隧道从归属代理执行的包封装中产生。作为参考,任何非移动主机可以称为通信节点(CN)。
无缝IP移动性,当与安全连接结合时,允许用户从远程位置接入他们的归属网络。远程VPN技术允许在移动节点和对于通信节点来说在本地的VPN网关(VPNgw)之间的这种类型的连接。VPN解决方案包括总计(totaling)和加密,以保持从安全域到终端的两个假期(vacation),其中该终端是从不同域中的不安全位置远程连接的。VPN解决方案通常是到达安全域内部的部件的优选方法。
一种创建跨越防火墙的VPN隧道的方法是使用图1所示的体系结构。图1包括TCPIP层101、内部移动IP驱动器(i-MIP)102、VPN103、外部移动IP驱动器(x-MIP)104、和两个网络接口驱动器(网络驱动器A105和网络驱动器B106)。这里,TCPIP层101可以通过三个通道与网络驱动器A105和B106连接。第一通道是通过i-MIP驱动器102、VPN103、和x-MIP驱动器104。这通常是可用的最安全的远程连接。第二通道是通过i-MIP驱动器102和x-MIP驱动器104。这也是远程连接。第三通道是从TCP/IP层101直接到x-MIP驱动器104。当例如移动节点在围绕通信节点的防火墙之内时使用第三连接。
图1中的方法不能容易地提供在网络驱动器A105和网络驱动器B106之间的无缝转换。这是因为x-MIP驱动器104处理本地连接通道以及其它通道。当使用本地连接路径时,x-MIP驱动器104可以容易地处理在这个通道上的信息。如果用户然后请求建立VPN连接的话,则x-MIP驱动器104将需要丢弃当前的连接、建立VPN通道、然后重建与网络驱动器A105的连接。
因此,需要一种用于无缝漫游的改进系统。
发明内容
本发明的方面解决了一个或多个上述问题,由此提供了其中无线用户可以在网络之间漫游的环境。
附图说明
图1示出了传统的隧道(tunneling)系统。
图2示出了依据本发明方面的隧道系统。
图3示出了依据本发明另一方面的隧道系统。
图4示出了依据本发明方面的说明性体系结构。
图5示出了依据本发明方面的另一说明性体系结构。
图6示出了依据本发明方面的三重(triple)隧道。
图7示出了依据本发明方面的两重(double)隧道。
图8示出了本发明方面的数据信号。
图9示出了依据本发明的方面、使用代理的数据信号。
图10A-10L示出了依据本发明的方面当移动节点正从内部网络移动到外部网络时的数据信号。
图11A-11F示出了依据本发明的方面当移动节点正从外部网络移动到内部网络时的数据信号。
图12A-12L示出了依据本发明的方面当移动负载正从内部网络移动到外部网络时的数据信号。
图13A-13T示出了依据本发明的方面、当移动节点在两重MIP隧道和三重隧道之间切换时的数据信号的一个示例。
图14A-14NN示出了依据本发明的方面、当移动节点在两重MIP隧道和三重隧道之间切换时的数据信号的另一个示例。
图15A-15BB示出了依据本发明的方面、与图14A-14NN有关的在结构项目之间的数据流。
图16A-16D示出了依据本发明的方面的说明性触发包处理的说明示例。
图17A-17J示出了依据本发明的方面、来自外部归属代理的注册。
图18示出了依据本发明的方面、与使用VPN隧道的i-MIP注册方法有关的数据流。
图19示出了依据本发明的方面、与使用内部网络的i-MIP注册方法相关的数据流。
具体实施方式
本发明的方面涉及允许安全的网络漫游。要注意到,在以下的描述中阐述了在单元之间的各种连接。要注意到,除非特别指出,否则这些连接通常可以是直接或者间接的连接,而且这个说明书不打算在这方面进行限制。
将以下的描述分成以下的部分以帮助读者理解,这些部分为:术语;一般体系结构;数据流;安全考虑和回应;以及详细数据流和路由表。
术语
下面提供了在本申请中使用的术语列表:
网络节点
a.MN:移动节点
b.CH:通信主机(correspondenthost)
c.x-HA:外部归属代理(SMG)
d.i-HA:内部归属代理
e.VPN-GW:VPN网关
MN网络接口(包括伪接口):
a.phy-IF:物理接口(有线以太网或者无线接口)
b.i-MIP-tun:内部MIP隧道接口(伪设备)
c.x-MIP-tun:外部MIP隧道接口(伪设备)
d.VPN-tun:VPN隧道接口(伪设备)
IP地址:
所有IP地址用后缀“-addr/i”或者“-addr/x”表示。这里,“/i”是指内部地址,而“/x”是指外部地址。在“/i”和“/x”之间的边界设置为VPN-GW,然而其可以依照要求进行修改。可以或者也可以不对来自“/x”地址的消息或者送到该地址的消息进行保护(例如通过加密实现)。
a.cell-addr/x:蜂窝网络中的位置地址
b.hs-addr/x:在热点网络中的位置地址
c.cell-router-addr/x:在蜂窝网络中的缺省路由器地址
d.hs-router-addr/x:在热点网络中的缺省路由器地址
e.h0-router-addr/x:在归属网络中的缺省路由器地址
f.i-HA-addr/i:i-HA的IP地址
g.i-HoA-addr/i:要由i-HA处理的归属地址
h.x-HA-addr/x:x-HA的IP地址
i.x-HoA-addr/x:要由x-HA处理的归属地址
j.CH-addr/i:在内部网络中的CH地址
k.VPNgw-addr/x:VPN网关的IP地址
l.VPNinn-addr1/i:分配给隧道的MN端的VPN隧道内部地址
m.VPNinn-addr2/i:分配给隧道的VPN端的VPN隧道内部地址。
n.N-addr/i:内部网络地址
总体体系结构
图2示出了用于本发明的一个或者多个方面的总体体系结构。TCP/IP层201与i-MIP驱动器202交换信息。i-MIP驱动器202可以直接地、通过x-MIP驱动器204、或者通过VPN203和x-MIP驱动器204的组合,与网络驱动器A205和B206进行通信。此外,图2包括可以由i-MIP驱动器202和x-MIP驱动器204访问的网络驱动器A205和网络驱动器B206。
图3示出了在i-MIP驱动器和x-MIP驱动器上的接口示例。图3包括控制器301、i-MIP驱动器302、x-MIP驱动器303、和三个网络适配器A-C304-306。为了说明的目的,网络适配器可以包括Wi-Fi、蜂窝、蓝牙及其他无线技术。要注意到,Wi-Fi和蜂窝技术二者不必存在于系统中。作为替换的组合也是可能的。
图3示出了具有多个接口的i-MIP驱动器302。这些接口允许i-MIP驱动器302连接到各种网络适配器304-306。x-MIP驱动器303具有类似的(可以是或者可以不是相同的)接口集。各种接口允许i-MIP驱动器302和x-MIP驱动器303彼此独立地与网络适配器进行通信。与图1相比,i-MIP驱动器302可以直接与网络适配器304-306相连接。在i-MIP驱动器302与网络适配器304-306进行通信的同时,x-MIP驱动器303可以与网络适配器304-306中的目前没有被i-MIP驱动器302访问的另一个网络适配器建立起新的通信通道(或者记录下一状态通道)。这允许系统创建通道,以允许在可由网络适配器304-306访问的不同网络之间无缝漫游。
图4示出了依据本发明方面的体系结构的说明性示例。图4所示的体系结构可以是基于UNIX的系统。该体系结构可以包括应用程序401、TCP/IP层403、WLAN接口404、蜂窝接口405、i-MIP接口406、VPN接口407、和x-MIP接口408。在这个基于UNIX的示例中,软件包括应用级程序和内核级模块。在应用层中,可以有几个能够用网络中的其它节点指示的应用程序。
这里,将称为安全的通用移动控制器402的附加程序添加到应用层中。安全的通用移动控制器402控制网络接口和某些内核级表格,以管理安全的通用移动性。安全的通用移动控制器402与路由表409和安全策略数据库410进行通信。
图4中用大的箭头示出了包路径,并且在图4中用小的箭头示出了对该路径的控制性能。
TCP/IP模块403接收来自应用程序和网络接口的包,并且依据路由表409和安全策略数据库410将它们转发到其它应用或者接口。安全策略数据库(SPD)410确定应该加密或者解密哪些IP包,以及怎样加密或者解密它们。路由表409确定应该将IP包转发到哪里。
某些网络接口驱动器具有连接到实际网络、例如有线以太网、无线局域网(LAN)、和蜂窝网络的物理网络设备。其它网络接口可能不具有物理设备,但是可能能够从TCP/IP层接收包,对它们进行处理,并且将它们发送回TCP/IP层。这些网络接口被称为伪(pseudo)网络接口。这些伪网络接口例如解决移动IP或者VPN问题。MIP接口对IP包或者封装的IP在IP中的(IP-in-IP)包进行封装。VPN接口对IP包进行加密,或者对加密的包进行解密。
图5示出了可以在本发明中使用的另一种形式的体系结构。这里,TCP/IP层可以是基于视窗(Windows)的。图5包括一个或多个应用500和控制器501。控制器501控制各种驱动器和路由表,管理网络相关状态(诸如无线信号强度、网络位置等)。控制器501可以或者可以不必被分离成为几个处理。分离的处理可以包括应用点(AP)选择软件502、VPN客户端503、i-MIP客户端504、x-MIP客户端505、及其他处理(例如包括1xrttSDK506)。
TCP/IP驱动器507可以处理传输层功能(例如,UDP或者TCP)和网络层功能(例如,IP)。路由表515保持TCPIP驱动器507的路由信息。路由表515允许TCP/IP驱动器507具有知道向哪里转发包的性能。i-MIP驱动器508处理i-MIP包,以便进行接收和发送。VPN驱动器509处理VPN包。x-MIP驱动器510处理x-MIP包。网络接口连接驱动器(例如,WLAN驱动器511和1x/rtt驱动器513)处理用于相应接口设备(例如,分别为接口卡512和514)的包。
上述驱动器可能或者可以不必由应用级的软件控制。图5中用大的箭头示出了包路径,并且在图5中用小的箭头示出了对该路径的控制性能。
数据流
图6示出了依据本发明方面的各个数据流。图6包括具有内部归属代理i-HA602的通信节点(correspondentnode)601。图6包括两个防火墙603和604。防火墙603对输出的包进行过滤,而防火墙604对进入的包进行过滤。在防火墙603和604之间是IPsec网关606和外部归属代理x-HA605。外部防火墙604是移动节点607。为简单起见,在防火墙603内部的区域称为内部网络。在防火墙604外部的区域称为外部网络。在防火墙603和604之间的区域称为非军事化区(demilitarizedzone)(DMZ)。
为了在移动节点607和通信主机601之间传输数据,可以建立各种隧道以通过防火墙603和604传送信息。第一隧道可以包括x-MIP隧道608,其允许将包从移动节点607传送到x-HA605。第二隧道可以包括IPsec隧道609。第三隧道可以包括i-MIP隧道610。
这里,外部移动IP(x-MIP)(根据先前的图)提供了外部IP移动性。在x-MIP隧道608中输送IPsec隧道化的(tunneled)包,以便提供IPsec隧道609的移动性。为此,外部归属代理(x-HA)605驻留在DMZ中。DMZ可以由企业或者是其中提供企业防火墙服务的操作者管理。
内部移动IP(i-MIP)(根据先前的图)提供了内部IP移动性。这用于不仅在内部网络中而且也在内部和外部网络之间支持切换(handoff)。为了后一种原因,即使当移动节点(MN)607处于外部网络中时也使用i-MIP。为了提供i-MIP,内部归属代理(i-HA)602驻留在内部网络中。
本发明的方面使用IPsec来保护在内部网络和在外部网络中的MN607之间交换的业务。为此,IPsec网关驻留在DMZ(在防火墙603和604之间)或者内部网络(在防火墙603内部)中。
在总节点607处于外部网络中期间,曾经在移动节点607和IPsec网关606之间建立的IPsec隧道可以或者可以不必保持处于建立状态。尤其是由于诸如不活动超时或者达到同时建立的IPsec隧道的最大数目之类的多种原因,可以由隧道的任意一方结束该IPsec隧道609。
本发明的方面可以或者可以不必允许有限种类型的要在不使用IPsec隧道的情况下从内部网络转发到在外部网络中的MN607的包,以便MN607可以在远离内部网络期间接收到来话呼叫的应用呼叫而不用始终保持IPsec连接。
图7示出了图6所示的方法的替换方法,其中已经建立了x-MIP隧道608和i-MIP隧道610而没有使用图6中的IPsec隧道。
相对于各种隧道,取决于IPsec隧道609是否已经建立了,该模型在MN处于外部网络中期间允许两种操作模式。这两种模式分别包括图6中的MIP-IPsec-MIP封装模式和图7中的MIP-MIP封装模式。
安全考虑及回应
安全性对于VPN用户来说是重要的。以下部分描述了与图6中的MIP-IPsec-MIP封装模式和/或图7中的MIP-MIP封装模式有关的各种安全性威胁。
威胁1:在i-HA上的DoS攻击
本发明的方面允许在外部网络中的MN607执行i-MIP注册。因此,如果i-MIP注册是危及安全的,则有可能让外部网络中的攻击者发动DoS(DenialofService,拒绝服务)攻击,以修改或者清除在i-HA602上的MIP绑定高速缓存。如果注册请求消息没有受到与用于IPsec的典型MAC(消息验证码)算法一样强大并且能够重新协商密钥(re-keying)的机制保护,则i-MIP注册可能是危及安全的。
威胁2:信息泄露
本发明的方面允许某些包从内部网络转发到外部网络中的MN607而不使用IPsec隧道609。存在有企业信息可以以明文方式发送到外部网络的可能性。
威胁3:虚假的来话呼叫和病毒感染
本发明的方面允许在外部网络中的MN607打开一个或多个TCP/UDP端口,以从内部网络接收来话呼叫。因此,攻击者可以在打开的端口上发送伪造的来话呼叫,这将使MN607耗费用于处理来话呼叫并建立IPsec隧道609以对呼叫者进行响应的资源。取决于如何处理来话呼叫,MN607可能接收病毒而不是真正的来话呼叫,并且受到病毒感染。这样的病毒可能损害各个实体,这些损害包括劫持连接和清除硬盘,而且一旦建立了IPsec隧道后,它将影响内部网络的整体安全性。
对威胁1的处理:
对于威胁1,本发明的方面支持由在外部网络中的MN607发送的i-MIP注册请求消息总是通过IPsec隧道传输,以便为注册请求消息提供与IPsec相同的保护等级。如果IPsec隧道不存有,则MN607首先建立IPsec隧道609,然后通过隧道609发送i-MIP注册请求。如果经由IKE(Internet密钥交换)自动地建立IPsec隧道609,则同样通过IKE支持重新密钥协商(re-keying)。通过这种方法,为i-MIP注册请求提供了可接受的安全等级。另一方面,存在当外部归属地址(x-HoA)用作外部转交地址时(这是当允许MIP-MIP封装隧道时的情况),i-MIP注册应答消息直接通过x-HA605传输到MN607的可能性,因此i-MIP注册应答消息不是和i-MIP注册请求消息一样安全的。虽然这可能表示在MN607上的DoS攻击,但是这不可能是在i-HA上的DoS攻击,并且该模式提供了对于威胁1的可接受的安全等级。
对威胁2的处理:
本发明的方面通常不允许反方向的业务(即,起源于外部网络并且进入内部网络的业务)在没有用IPsec隧道609保护的情况下进入内部网络。因此,除了用于进入MIP-MIP封装模式并且直接通过x-HA605进行传送而没有进行加密的i-MIP注册应答消息,以及从内部网络发送到MN的可以既不进行完整性保护又不进行加密的第一个数据包之外,包括信令和数据包在内的所有业务都使用IPsec隧道609。i-MIP注册应答消息包含诸如i-HA602的IP地址之类的内部拓扑信息,但是不包含任何应用数据。对于第一个数据包,它通常是TCP-SYN或者SIP邀请消息,其用于发起连接并且不包含任何重要的数据。因此,如果在DMZ中的防火墙路由器这样进行配置,以便仅仅有限类型的包可以不用IPsec进行保护就传到外部网络中,则对于这些消息就不可能出现重要信息泄露,从而减轻了威胁2。
对威胁3的处理:
为了最小化虚假的来话呼叫的可能性,MN607设备可以用个人防火墙进行配置,以便可以仅仅接受有限类型的包作为发起IPsec隧道609建立的触发。此外,MN607可以限制接受这样的触发包的速率,以防止消耗资源的DoS攻击。为了最小化病毒感染的可能性,除了将触发包由发送器重新传输,而且一旦构造了隧道并且将i-MIP绑定高速缓存更新为使用VPN转交地址作为i-MIP转交地址,就通过该IPsec隧道619传输该重新传输的包之外,MN607可以或者可以不必使用未受保护的到来包作为建立IPsec隧道的触发,并且静静地丢弃它,而不处理该包的应用有效负载。
详细的数据流和路由表
以下的部分描述了各种情形,这些情形包括对本发明的方面所遇到的各种数据流和路由表的描述。以下部分描述了三重隧道集的情形和两重隧道集的情形。
总是三重隧道的情形
第一个要描述的情形称为总是三重隧道的(always-triple)情形。这里,当移动节点(MN)移动到外部网络时,它总是建立i-MIP/VPN/x-MIP三重隧道。
情形
以下描述了在包括移动节点在内的各种网络节点中的详细的网络消息和处理。移动节点可以有各种实现方式。下面描述移动节点的基于视窗和基于UNIX的版本。
MN从内部网络移动到外部网络的情形
以下情形是其中移动节点从内部网络移动到外部网络的一个情形。图10A-10L用于说明这个转换。这里,系统包括通信主机601、i-HA602、VPN网关1001(位于防火墙603的内部)、外部归属代理605、防火墙604和移动节点607。对于这个示例,描述了对于移动节点607的基于UNIX的限制。
在初始状态下,移动节点607确定它位于什么地方。这可以通过检查网络连接信息(包括但不局限于以太网接口、WLAN接口、拨号ppp等)、网络配置(由DHCP、路由器公告或者移动代理给出)和/或WLAN/蜂窝信号强度来进行。
为了说明移动节点607的移动,对于这个示例,假定移动节点607位于内部网络中,而且移动节点的路由表处于初始状态(参考内部网络)。
在图10A中,移动节点607移动到蜂窝网络中。移动节点607可以依据例如WLAN信号的强度或者其它位置标识技术,检测它的移动。
移动节点607的PPP接口接收IP地址和路由信息。移动节点607接下来依据该信息改变它的路由表。图10A示出了移动节点607的路由表。
图10B和10C描述了x-MIP注册。在图10B中,移动节点607发送x-MIP注册请求消息到x-HA605,并且从x-HA605接收x-MIP注册响应消息。在x-HA605发送成功的响应到移动节点607之后,x-HA605更新它的移动绑定。在移动节点607从x-HA605接收到成功响应之后,如果需要用于x-MIP的反向隧道的话,则移动节点607向它的路由表中添加新的条目。外部防火墙的配置可以要求用于x-MIP的反向隧道。从MN发送到内部网络中的任何地址的更多IP包被认为是通过x-MIP隧道传输。图10B和10C示出了对表格的更新。
也可以参考如下所述的先通后断(Make-Before-Break)的部分。
图10D和10E描述了建立VPN隧道。在x-MIP注册成功之后,移动节点607请求VPN-gw1001通过x-MIP隧道建立VPN隧道。如果成功地建立了VPN,则移动节点607在它的安全策略数据库中创建一个条目并且更新路由表,以便在移动节点607和内部网络之间传输的更多IP包(除送往VPNGW地址和DMZ的包之外)通过VPN/x-MIP隧道发送。
VPN-gw1001还更新它的SPD,以与移动节点607进行通信。在图10D和10E中示出了这些更新。
图10F和10G说明了i-MIP注册。在成功地建立VPN连接之后,移动节点607通过VPN/x-MIP隧道发送i-MIP注册请求。如果i-HA602接受了注册请求,则i-HA602更新它的移动绑定表,并且对移动节点607做出答复。在移动节点607接收了成功的响应消息之后,移动节点607改变路由表中的条目,以便在移动节点607和内部网络之间传输的更多IP包(除了发送到i-HA602的VPN-gw1001的地址、DMZ和i-MIP更新包之外)通过VPN/x-MIP隧道发送。
图10F和10G示出了已修改的表格。
图10H描述了通过三重隧道发送数据。当移动节点607将IP包发送到通信节点601(CH-addr/i)时,移动节点607的IP层参考该路由表,并且查找用于N-addr/i的条目。这里,移动节点607注意到包应该经由i-HA-tun接口发送。如果需要反向隧道,则i-HA-tun接口用i-MIP报头封装该包。接下来,移动节点607再次参考路由表。然而,该包的目的地址现在是i-HA-addr/i。移动节点607查找用于i-HA-addr/i的条目,该条目指示该包应该经由VPN-tun接口发送。外出的SPD可以指示发送到内部网络的包应该被加密。因此,VPN-tun接口对包进行加密,用IPsecESP封装该包,并且依据SPD将该包标记为由VPNgw-addr/x发送。
接下来,当新的包到达时,移动节点607参考路由表,并且查找用于VPNgw-addr/x的条目,该条目表示该包应该经由x-MIP-tun接口发送。如果需要反向隧道,则x-MIP-tun接口用x-MIP报头封装该包。x-MIP-tun将该包标记为要发送到x-HA-addr/x。移动节点607参考该路由表,并且查找用于x-HAaddr/x的条目。该条目指示包应该经由蜂窝接口发送。该包最终经由蜂窝接口发送到作为第一跳点(hop)的cellrouter-addr/x。
图10H示出了相关的表格。
图10I用于描述通过三重隧道接收数据。当移动节点607的蜂窝接口通过三重隧道接收包时,移动节点607的IP层检查该包的最外面的IP报头。报头的协议字段表明其是IP-in-IP(x-MIP)包。因此,MIP层解封装最外面的IP-in-IP报头。接下来的IP报头表明其包含IPsecESP,所以VPN接口对包进行解密。接下来的IP报头表明其是IP-in-IP(i-MIP)包,所以MIP层对包进行解封装。最后,出现最内部的IP报头,而且该包由应用程序接收和处理。
图10J示出了移动节点607移动到另一个外部网络(例如,热点)。当在新网络中时,移动节点607依据WLAN信号强度或者其它处理检测它的移动。移动节点607的WLAN网络接口接收IP地址和路由信息。接下来,移动节点607依据该信息更新它的路由表。图10J中示出了这个更新。
图10K和10L示出了x-MIP更新改变。这里,移动节点607发送x-MIP注册请求消息到x-HA605,并且从x-HA605接收x-MIP注册响应消息。当x-HA605发送成功响应到移动节点607时,x-HA605更新它的移动绑定。要注意的是,移动节点607不需要修改其与VPN和i-MIP的连接。
MN从外部网络移动到内部网络的情形
图11A-11F示出了其中移动节点607从外部网络移动到内部网络的系统。以下描述了用于移动节点607的基于UNIX的实现方式。
在图11A中,移动节点607移动回到归属网络。这里,这个示例的前提为移动节点607已经移动到内部网络。移动节点607依据WLAN信号强度等检测它的移动。当使用WLAN信号强度确定MN的位置时,MN的WLAN网络接口获得IP地址和路由信息。移动节点607依据该信息更新它的路由表。
此时,移动节点607与相应节点601进行通信而不用任何隧道。如果人们不关注VPN-gw1001和x-HA605,则当期望时,移动节点607可以简单地破坏和清理隧道信息。做为选择,人们可以保留让隧道打开。
以下示出了可以如何破坏隧道。这里,允许x-HA605和VPN-gw1001立即释放它们的资源。
移动节点607可以首先发送i-MIP取消注册(deregistration)请求到i-HA602。它除去由隧道的断开所导致的延迟,并且允许一方连续地与CN进行通信。当i-HA602接收取消注册请求时,其除去移动绑定中的条目并且对移动节点607作出应答。在移动节点607接收了成功的取消注册响应之后,移动节点607更新表格中用于N-addr/i的条目,以便直接使用网络接口与内部网络中的节点进行通信。图12J和12K示出了这个处理。
图11B示出了x-MIP的更新(如有必要的话)。可以应用两个情况:
a.情况1:移动节点607不能使用在外部网络中所使用的网络接口。例如,移动节点607正重新使用在外部网络中使用的同一个网络接口,直到移动节点607移动到内部网络中为止,以便该接口具有与在外部网络中所设置的地址不同的另一个IP地址。
b.情况2:移动节点607能够使用在外部网络中所使用的网络接口。换句话说,移动节点607具有至少两个网络接口(物理地或者虚拟地),而且它们能够被同时使用。
例如,移动节点607用于在外部网络中使用蜂窝接口,而且在内部网络中使用WLAN接口。
如果情况为1,则移动节点607需要更新x-MIP(参见图11B和12I)。移动节点607将i-HoA-addr/i注册为x-MIPCoA。x-HA605更新它的移动绑定,以便再次建立隧道。
如果情况为2,则如以下的图所示,移动节点607能够使用网络接口,而不用更新x-MIP。
图11C和11D示出了VPN隧道断开。移动节点607通过x-MIP隧道发送VPN断开请求。VPN-gw1001从它的SPD中除去移动节点607的条目。移动节点607还从它的SPD中除去VPN-gw1001的条目,并且更新路由表。这允许释放在VPN中使用的资源,而且移动节点607停止使用VPN。
图11E和11F示出了x-MIP取消注册。移动节点607发送x-MIP取消注册请求消息到x-HA605,并且从x-HA605接收x-MIP取消注册响应消息。当x-HA605发送成功响应到移动节点607时,x-HA605除去用于移动节点607的移动绑定条目。
在移动节点607从x-HA605接收到成功响应之后,移动节点607从它的路由表中除去条目。这允许所有的隧道消失。最终,移动节点607返回到与初始状态相同的状态。
MN从内部网络移动到外部网络的情形(基于视窗(Windows)的节点)
图12A-12K描述了其中移动节点607从内部网络移动到外部网络(使用基于视窗的移动节点)的情形。在有些情况下,参考与移动节点从内部网络移动到外部网络的情形相关的其它附图。
图13A-13T示出了在移动节点的部件中的信号交换。
在这个情形中,假定NIC11310是类似无线LAN或者有线LAN的接口。假定NIC21311为类似蜂窝或者某些其它协议的接口。
图12A示出了移动节点607开始传输数据。参考图13A,可以使用以下的处理:
a.应用1301发送数据到TCP/IP驱动器1303。TCP/IP驱动器1303向TCP/IP报头添加来自路由表1304的数据。
b.接下来,将包发送到NIC1驱动器1308。NIC1驱动器1308依据该数据创建用于NIC11310的特定包。
c.接下来,将数据发送到NIC11310。
图12B和13B示出了其中移动节点607接收数据的示例。在移动节点607内部的动作如下:
a.NIC11310接收数据并且将其发送到NIC1驱动器1308。
b.NIC1驱动器1308创建它的用于TCP/IP1303的特定包。
c.NIC1驱动器1308然后发送数据到TCP/IP驱动器1303。
d.TCP/IP驱动器1303删除TCP/IP报头。
e.TCP/IP驱动器1303然后将该数据转发到应用1301。
图10B和13C描述了移动节点607创建x-MIP注册请求。移动节点607的内部动作可以包括:
a.控制器1302发送信号到x-MIP驱动器1307。
b.x-MIP驱动器1307创建x-MIP注册请求,并且将它发送到NIC2驱动器1312。
c.NIC2驱动器1312创建它的用于NIC21311的特定包,并且将其转发到NIC21311。
图10C和13D示出了移动节点607接收x-MIP注册应答。内部动作可以包含:
a.NIC21311接收x-MIP注册应答,并且将其发送到NIC2驱动器1309。
b.NIC2驱动器1309创建它的用于x-MIP驱动器1307的特定包,并且将其发送到x-MIP驱动器1307。
c.x-MIP驱动器1307接收数据并且将其转发到控制器1302。
d.控制器1302然后更新路由表1304。
图10D和13E示出了移动节点607创建VPN连接请求。参见图13E:
a.控制器1302向VPN驱动器1306发送信号。
b.VPN驱动器1306创建包含IKE或者其它协议的包,并且将它们转发到x-MIP驱动器1307。
c.x-MIP驱动器1307将x-MIP报头添加到包中,并且将其转发到NIC2驱动器1308。
d.NIC2驱动器1309从包中创建它的用于NIC21311的特定包,并且将其发送到NIC21311。
在图10E和13F中,移动节点607接收VPN连接响应。内部动作如下:
a.NIC21311接收VPN连接响应,并且将其发送到NIC2驱动器1309。NIC2驱动器1309创建它的用于x-MIP驱动器1307的特定包,并且将数据发送到x-MIP驱动器1307。x-MIP驱动器1307接收并且除去x-MIP报头,并且将其发送到VPN驱动器1306。
b.VPN驱动器1306接收并且将数据转发到控制器1302。
c.控制器1302然后更新路由表1304。
图10F和13G描述了移动节点607创建i-MIP注册请求。以下参考图13G:
a.控制器1302发送信号到i-MIP驱动器1305。i-MIP驱动器1305创建i-MIP注册请求,并且将其发送到VPN驱动器1306。
b.VPN驱动器1306对该请求进行加密并且添加报头信息,然后将其发送到x-MIP驱动器1307。x-MIP驱动器1307添加x-MIP报头信息,并且将其发送到NIC2驱动器1309。
c.NIC2驱动器1309从信号中创建它的用于NIC21311的特定包,并且将其发送到NIC21311。
图10G和13H涉及移动节点607接收i-MIP注册应答。图13H的动作如下:
a.NIC21311接收i-MIP注册应答,并且将它发送到NIC2驱动器1309。NIC2驱动器1309创建它的用于x-MIP驱动器1307的特定包,并且转发该包。
b.x-MIP驱动器1307接收并且除去x-MIP报头,并且将其发送到VPN驱动器1306。
c.VPN驱动器1306进行解密,并且将它发送到i-MIP驱动器1305。
d.i-MIP驱动器1305接收并且处理数据。
e.最后,将信息转发到控制器1302,在其中对路由表1303进行更新。
图10H和13I涉及移动节点发送应用数据到通信主机。根据图13I,示出了移动节点的动作:
a.应用创建数据,并且将它发送到TCP/IP驱动器。
b.TCP/IP驱动器添加报头,并且在参考路由表之后将它发送到i-MIP驱动器。
c.i-MIP驱动器添加i-MIP报头,并且将数据发送到VPN驱动器。
d.VPN驱动器1306对它进行加密,添加报头,然后将它发送到x-MIP驱动器。
e.x-MIP驱动器添加x-MIP报头,并且将数据发送到NIC2驱动器。NIC2驱动器从其中创建它的用于NIC2的特定包,并且将它发送到NIC2。
f.NIC2将包传输到它的下一跳点(hop)。
图10I和13J示出了移动节点607从通信主机601接收应用数据的处理。图13J中示出了在移动节点607内部的数据流。
a.NIC21311接收数据并且将它发送到NIC2驱动器1309。
b.NIC2驱动器1309从该数据中创建它的用于x-MIP驱动器1307的特定包,并且将它发送到x-MIP驱动器1307。
c.x-MIP驱动器1307接收并且除去x-MIP报头,并且将它发送到VPN驱动器1306。
d.VPN驱动器1306进行解密,并且将已解密的包发送到i-MIP驱动器1305。
e.i-MIP驱动器1305除去i-MIP报头,并且将包发送到TCP/IP驱动器1303。
f.TCP/IP驱动器1303除去报头并且将包发送到应用1301。
图10K和13K示出了当移动节点607移动到热点时、在网络接口之间进行改变的处理。图13K示出了在移动节点607内部的处理。这里,移动节点发送x-MIP注册请求。
a.控制器1302发送信号到x-MIP驱动器1307。
b.x-MIP驱动器1307创建x-MIP注册请求,并且将它发送到NIC1驱动器1308。
c.NIC1驱动器1308从该包中创建用于NIC11310的特定包,并且将它发送到NIC11310。
d.NIC11310然后将该包传输到网络。
图10L和13L描述了在接收到x-MIP注册响应时的移动节点607。图13L示出了在移动节点607内部的处理。
a.NIC11310接收x-MIP注册响应,并且将它发送到NIC1驱动器1308。
b.NIC1驱动器1308从包中创建用于x-MIP驱动器1307的特定包,并且将它发送到x-MIP驱动器1307。
c.x-MIP驱动器1307接收包并且将其转发到控制器1302。
图12C和13M示出了当移动节点607将应用数据发送到通信主机1301时的处理。图13M示出了在移动节点607内部的处理。
a.应用1301创建数据,并且将它发送到TCP/IP驱动器1303。TCP/IP驱动器1303在利用路由表1304检查之后,添加报头,并且将它发送到i-MIP驱动器1305。
b.i-MIP驱动器1305添加i-MIP报头,并且将包发送到VPN驱动器1306。
c.VPN驱动器1306对它进行加密、添加报头、并且将它发送到x-MIP驱动器1307。
d.x-MIP驱动器1307添加x-MIP报头,并且将包发送到NIC1驱动器1308。
e.NIC1驱动器1308从包中创建用于NIC11310的特定包,并且将它发送到NIC11310。
f.NIC11310然后将包转发到网络中。
图12D和13N示出了移动节点607从通信主机601中接收应用数据。图13N示出了移动节点607的内部处理。
a.NIC11310接收数据并且将其发送到NIC1驱动器1308。
b.NIC1驱动器1308从该数据中创建用于x-MIP驱动器1307的特定包,并且将包发送到x-MIP驱动器1307。
c.x-MIP驱动器1307接收包、除去x-MIP报头、并且将包发送到VPN驱动器1306。
d.VPN驱动器1306进行解密,并且将已解密的包发送到i-MIP驱动器1305。
e.i-MIP驱动器1305除去i-MIP报头,并且将包发送到TCP/IP驱动器1303。
f.TCP/IP驱动器1303除去报头并且将包发送到应用1301。
图12E示出了移动节点607移回到蜂窝网络时的处理。
图12F和12G示出了与x-MIP注册有关的处理。在图12F中,移动节点607发送x-MIP注册请求消息到x-HA605,并且从x-HA605接收x-MIP注册响应消息。在x-HA605发送成功的响应到移动节点607之后,x-HA605更新它的移动绑定。在移动节点607从x-HA605接收到成功响应之后,如果需要用于x-MIP的反向隧道的话,则移动节点607向它的路由表中添加新的条目。外部防火墙的配置可以要求用于x-MIP的反向隧道。从MN发送到内部网络中的任何地址的更多IP包被认为是通过x-MIP隧道传输。
图12H和12I示出了通过三重隧道发送数据。当移动节点607将IP包发送到通信节点601(CH-addr/i)时,移动节点607的IP层参考路由表,并且查找用于N-addr/i的条目。这里,移动节点607注意到包应该经由i-HA-tun接口发送。如果需要反向隧道,则i-HA-tun接口用i-MIP报头封装该包。接下来,移动节点607再次参考路由表。然而,现在该包的目的地址是i-HA-addr/i。移动节点607查找用于i-HA-addr/i的条目,而且该条目指示该包应当经由VPN-tun接口发送。外出的SPD可以指示发送到内部网络的包应该被加密。因此,VPN-tun接口对包进行加密,用IPsecESP对它进行封装,并且依据SPD将该包标记为由VPNgw-addr/x发送。
接下来,当新的包到达时,移动节点607参考路由表并且查找用于VPNgw-addr/x的条目,该条目表明该包应该经由x-MIP-tun接口发送。如果需要反向隧道,则x-MIP-tun接口用x-MIP报头封装该包。x-MIP-tun将该包标记为要发送到x-HA-addr/x。移动节点607参考路由表并且查找用于x-HA-addr/x的条目。该条目指示包应该经由蜂窝接口发送。该包最终经由蜂窝接口发送到作为第一跳点的cellrouter-addr/x。
图12H示出了相关的表格。
图12I用于描述通过三重隧道接收数据。当移动节点607的蜂窝接口通过三重隧道接收包时,移动节点607的IP层检查该包的最外面的IP报头。报头的协议字段表明它是IP-in-IP(x-MIP)包。因此,MIP层解封装最外面的IP-in-IP报头。接下来的IP报头表明其包含IPsecESP,所以VPN接口对包进行解密。接下来的IP报头表明其是IP-in-IP(i-MIP)包,所以MIP层对包进行解封装。最后,出现最内部的IP报头,而且该包由应用程序接收和处理。
图11B和12J示出了x-MIP更新变化。这里,移动节点607发送x-MIP注册请求消息到x-HA605,并且从x-HA605接收x-MIP注册响应消息。当x-HA605发送成功的响应到移动节点607时,x-HA605更新它的移动绑定。要注意的是,移动节点607不需要修改其与VPN和i-MIP的连接。
图12K和13O描述了移动节点创建i-MIP取消注册请求。移动节点607的内部动作描述如下:
a.控制器1302发送信号到i-MIP驱动器1305。
b.i-MIP驱动器1305创建i-MIP取消注册请求,并且将它发送到VPN驱动器1306。
c.VPN驱动器对该它进行加密、添加报头、并且将包发送到x-MIP驱动器1307。
d.x-MIP驱动器1307添加x-MIP报头,并且将包发送到NIC1驱动器1308。
e.NIC1驱动器l308从该包中创建它的用于NIC11310的特定包,并且将它发送到NICl1310。
f.NIC11310然后将它传输到网络中。
图12L和13P描述了移动节点607接收i-MIP取消注册应答。
a.NIC11310接收i-MIP取消注册应答,并且将它发送到NIC1驱动器1308。
b.NIC1驱动器1308创建用于x-MIP驱动器1307的特定包,并且将它发送到x-MIP驱动器1307。
c.x-MIP驱动器1307接收包、除去x-MIP报头、并且将包发送到VPN驱动器1306。
d.VPN驱动器1306进行解密,并且将该包发送到i-MIP驱动器1305。
e.i-MIP驱动器1305进行接收和处理,并且警告控制器1302。
f.控制器为任何变化更新路由表1304。
图11C和13Q描述了创建VPN断开请求的移动节点607。图11C在上文中已经描述了。图13Q示出了用于移动节点607的内部信号流。
a.控制器1302发送信号到VPN驱动器1306。
b.VPN驱动器1306创建VPN断开请求,并且发送该请求到x-MIP驱动器1307。
c.x-MIP驱动器1307将x-MIP报头添加到请求中,并且将它转发到NIC1驱动器1308。
d.NIC1驱动器1308创建用于NIC11310的包,并且将该包发送到NIC11310。
e.NIC11310然后将该包转发到网络中。
图11D和13R描述了接收VPN断开响应的移动节点607。图11D在上文中已经描述过了。图13R示出了移动节点607的内部信令。
a.NIC11310接收VPN断开响应,并且将它发送到NIC1驱动器1308。
b.NIC1驱动器1308创建用于x-MIP驱动器1307的包,并且将该包转发到x-MIP驱动器1307。
c.x-MIP驱动器1307接收并且除去x-MIP报头。该驱动器然后将包发送到VPN驱动器1306。
d.VPN驱动器1306接收该包、处理它、并且将信息转发到控制器1302。
e.控制器1302然后用任何更新来更新路由表1304。
图11E和13S描述了创建x-MIP取消注册请求的移动节点607。图11E在上面已经描述过了。图13S中描述了移动节点607的内部信令。
a.控制器1302发送信号到x-MIP驱动器1307。
b.x-MIP驱动器1307创建x-MIP取消注册请求,并且将该请求发送到NIC1驱动器1308。
c.NIC1驱动器1308创建它的用于NIC11310的特定包,并且将该包转发到NIC11310。
d.NIC11310然后将该请求传输到网络中。
图11F和13T描述了接收x-MIP取消注册应答的移动节点607。图11F在上面已经描述过了。图13T描述了移动节点607的内部信号。
a.NIC11310接收x-MIP注册响应,并且将它发送到NIC1驱动器1308。
b.NIC1驱动器1308创建用于x-MIP驱动器1307的包,并且将它转发到x-MIP驱动器1307。
c.x-MIP驱动器1307接收该包、对它进行处理、而且将信息发送到控制器1302。
d.控制器1302然后处理该信息,并且将任何更新发送到路由表1304。
移动节点的初始状态
以下描述了移动节点607的初始状态。初始状态可以包括移动节点607确定它位于什么地方。这可以通过多个处理进行,这些处理包括但不局限于:确定它的网络连通性和相关地址(以太网接口、WLAN接口、拨号ppp等)、网络配置(由DHCP、路由器公告或者移动代理给出)和WLAN/蜂窝信号强度。
验证MN中的初始网络设置
接下来,移动节点607试图验证它的初始网络设置。这可以包括验证它的某些或者所有网络设置。这些设置可以或者可以不必包括网络接口配置、路由表和SPD。此外,移动节点607可以使用DHCP、路由器公告和移动代理公告来验证网络接口配置和路由表。如有必要,移动节点607能够根据需要更新它们。
确定移动节点的移动状态
接下来,移动节点607确定它的移动状态。移动节点607检查在先前步骤中验证的网络配置模式,并且查找在任何一种可能的移动状态中的适当配置。
例如,移动节点607未必具有任何特定的移动绑定和SPD条目。活动的网络接口具有内部归属地址602。最简单的网络配置是其中移动节点607处于内部归属网络中的一个配置。这也提供了移动节点607可以容易地确定它的内部归属网络的优点。
检查触发以改变状态
移动节点607可以定期或者偶尔地检查是否出现了任何触发,这些触发指示移动节点607应当试图改变它的移动状态。例如,内部WLAN信号强度低于阈值的事实可以建议移动节点607应当从在防火墙603内部操作的内部模式切换到在防火墙603之外操作。如果移动节点607检测到这样的触发,则移动节点607可以立即对这个或者这些触发做出响应,或者可以在短的间隔之后对它们做出响应(例如,以查看信号强度是否在几秒、几分钟之后增加,等)。
先通后断(Make-Before-Break)
依据本发明的方面的移动节点607的一个方面是它的在中断先前的连接之前进行连接的性能。因此,例如如果一个移动节点移动到新的网络的话,则可以在结束旧的连接之前构造新的连接。这允许移动节点进行转换而不会丢失到归属网络的连接性。
例如,移动节点607可以从在WLAN网络内部中的内部移动节点607移动到外部的蜂窝网络。为了实现先通后断,MN一直监视WLAN的信号强度等级。在内部WLAN信号强度变为低于阈值A之前,MN开始使用蜂窝网络,并且建立x-MIP隧道和VPN隧道作为备用路径。当信号电平降到低于另一个阈值(比阈值A低的“B”)时,MN在备用路径上发送i-MIP注册请求,并且建立i-MIP隧道。然后,移动节点607停用WLAN接口,并且开始使用在蜂窝上的i-MIP/VPN/x-MIP隧道。
这种方法可以除去切换延迟的主要因素,这是因为在转接(switch-over)之前就进行了PPP会话建立和VPN隧道建立。
两重MIP隧道情形
以下描述了两重MIP隧道的情形。如果移动节点没有与内部网络进行通信,则当移动节点607移动到外部网络中时,它可以建立i-MIP/x-MIP两重隧道。但是一旦移动节点607检测到需要VPN,则它可以或者可以不必自动地切换到i-MIP/VPN/x-MIP三重隧道模式。
在两重和三重隧道模式之间的切换
下面描述了在两重和三重隧道模式之间的切换。
关于两重隧道->三重隧道
为了不开始应用业务,可以对触发包进行排队,直到建立了三重隧道为止。
关于三重隧道->两重隧道
当移动节点607和通信节点601完成应用业务时,可以删除VPN隧道。
情形
以下描述了包括在移动节点的网络节点中的各种网络消息和处理。移动节点可以有各种实现方式。例如,它可以包括基于UNIX的体系结构或者基于视窗的体系结构。
对于基于Unix的移动节点,移动节点从两重切换到三重以及反过来的情形
下列参考图14A-14NN的情形描述了在基于UNIX的移动节点中,移动节点从两重隧道切换到三重隧道并且再次切换回两重隧道。
图14A示出了在防火墙1404内部的通信主机1401、i-HA1402、和VPN-gw1403。图14A还包括在防火墙1404外部但是仍在防火墙1406内部的SMG/x-HA1405。最后,移动节点1407在防火墙1406的外部。移动节点1407由外部网络所支持。移动节点1407可以具有路由表,该路由表具有以下的信息:
a.目的地:缺省(全部目的地),网关/接口:local-router/x
图14B示出了当已经检测到其位于外部网络上时的移动节点1407。这里,移动节点1407创建x-MIP注册请求,并且将其发送到SMG/x-HA1405。x-MIP注册请求的格式具有以下的信息:
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x(x-归属代理地址)
c.归属地址:x-HoA-addr/x
d.归属代理:x-HA-addr/x
e.转交地址=local-addr/x
f.反向隧道请求标志=真
g.用于x-HA的认证扩展值
图14C示出了进行移动绑定的SMG/x-HA1405。这里,当SMG/x-HA1405接收x-MIP注册请求时,SMG/x-HA1405用认证扩展值对它进行认证。如果认证成功,则SMG/x-HA1405用以下的信息构造移动绑定:
a.归属地址:x-HoA-addr/x,转交地址:local-addr/x
SMG/x-HA1405然后可以利用以下信息将x-MIP注册应答发送到移动节点1407:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
c.归属地址:x-HoA-addr/x
d.归属代理:x-HA-addr/x
当移动节点1407接收x-MIP注册应答时,移动节点1407可以利用以下信息向它的路由表中添加条目:
a.目的地:x-HA-addr/x,网关/接口:local-router-addr/x
b.目的地:VPN-gateway-addr/x,网关/接口:x-MIP-tunnel
c.目的地:internal-network-addr/i,网关/接口:x-MIP-tunnel
以下示出了i-MIP注册的两种方法。还可以使用其它的方法。在下面使用“SMG”和“MIP”描述这两种方法。
图14D示出了SMG注册。这里,移动节点1407用以下的信息创建一个i-MIP注册请求,并且将其发送到SMG/x-HA1405,所述信息包括:
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
e.转交地址:x-HoA-addr/x
f.用于i-HA的认证扩展值
g.用于x-HA认证的供应商扩展
当SMG/x-HA1405接收到i-MIP注册请求时,对它进行认证,而且如果认证成功,则用以下的信息改变源和目的地IP地址信息,并且将它们发送到i-HA1402:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:i-HA-addr/i
图14E示出了SMG注册。当i-HA1402接收到i-MIP注册请求时,它对该请求进行认证,而且如果认证成功,则i-HA1402用以下信息创建移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建一个i-MIP注册应答并且将其发送到SMG/x-HA1405:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1405接收到i-MIP注册应答时,SMG/x-HA1405用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i
反向移动绑定可以在分开隧道(splittunnel)模式中使用。
SMG/x-HA1405利用以下的信息改变源IP地址和目的地IP地址,并且将信号发送到移动节点1407:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
当移动节点1407接收gci-MIP注册应答时,它利用以下的信息它的路由表中添加条目:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
图14F示出了利用以下信息创建i-MIP注册请求并且将该请求发送到SMG/x-HA1405的移动节点1407,所述信息为:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:i-HA-addr/x
e.归属地址:i-HoA-addr/i
f.归属代理:i-HA-addr/i
g.转交地址:x-HoA-addr/x
h.用于i-HA的认证扩展值
i.用于x-HA认证的供应商扩展
当SMG/x-HA1405接收到i-MIP注册请求时,对该请求进行认证,而且如果认证成功,则它除去x-MIP源和x-MIP目的地IP地址,并且将其发送到i-HA。
图14G示出了注册响应。当i-HA1402接收到i-MIP注册请求时,它对该请求进行认证,而且如果认证成功,则i-HA1402用以下信息创建移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建一个i-MIP注册应答并且将其发送到SMG/x-HA1405:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HoA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1405接收到i-MIP注册应答时,SMG/x-HA1405用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i可以通过分开隧道模式使用反向移动绑定。
SMG/x-HA1405利用以下信息添加x-MIP源IP地址和x-MIP
目的地IP地址,并且将它发送到移动节点1407:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点1407接收到i-MIP注册应答时,它利用以下的信息在它的路由表中添加条目:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
存在至少两种类型的两重MIP隧道。首先,存在用于两重MIP(x-MIP和i-MIP)的两种模式,一种为重叠(overlaid)MIP,另一种为分开(split)MIP。以下在附图中描述了数据怎样在移动节点1407和通信主机1401之间流动。
图14H示出了移动节点1407发送数据到通信主机1401而不使用VPN(重叠MIP)。当移动节点1407发送数据包时,它利用以下的信息创建封装的包,并且将其发送到SMG/x-HA1405:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.i-MIP源IP地址:i-HoA-addr/x
d.i-MIP目的地IP地址:i-HA-addr/i
e.源IP地址:i-HoA-addr/i
f.目的地IP地址:CH-addr/i
g.有效负载数据
当SMG/x-HA1405接收到数据包时,它除去x-MIPIP报头,然后将其发送到i-HA1402。
当i-HA1402接收到数据包时,它除去i-MIPIP报头,然后将包发送到通信主机1401。
通信主机1401接收没有被封装的普通IP数据包。
图14I示出了通信主机对移动节点进行应答而不使用VPN(称为重叠API)。当通信主机1401发送数据包时,它使用以下的信息创建包,并且将它发送到i-HA1402:
a.源IP地址:CH-addr/i
b.目的地IP地址:i-HoA-addr/i
c.有效负载数据
当i-HA1402接收到数据包时,它利用以下信息添加i-MIPIP报头,并且将包发送到SMG/x-HA1405:
a.i-MIP源IP地址:i-HA-addr/i
b.i-MIP目的地IP地址:x-HoA-addr/x
当SMG/x-HA1404接收数据包时,它利用以下信息添加x-MIP报头,并且将它发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/i
b.x-MIP目的地IP地址:local-addr/i
图14J示出了其中移动节点1405发送数据到通信主机1401而没有使用VPN的示例。这也可以称为分开MIP。
当移动节点1405发送数据包时,它利用以下的信息创建封装的包,并且将其发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:i-HoA-addr/i
d.目的地IP地址:CH-addr/i
e.有效负载数据
当SMG/x-HA1404接收到数据包时,它除去x-MIPIP报头,并且利用以下信息利用反向移动绑定添加i-MIPIP报头,然后将该包发送到i-HA1402:
a.i-MIP源IP地址:x-HoA-addr/x
b.i-MIP目的地IP地址:i-HA-addr/i
当i-HA1402接收到数据包时,它除去i-MIPIP报头,然后将它发送到通信主机1401。
通信主机1401接收普通的IP数据包(其没有被封装)。
图14K示出了通信主机1401对移动节点1405进行应答而不使用VPN。当通信主机1401发送数据包时,它使用以下的信息创建包,并且将它发送到i-HA1402:
a.源IP地址:CH-addr/i
b.目的地IP地址:i-HoA-addr/i
c.有效负载数据
当i-HA1402接收到数据包时,它利用以下信息添加i-MIPIP报头,并且将包发送到SMG/x-HA1404:
a.i-MIP源IP地址:i-HA-addr/i
b.i-MIP目的地IP地址:x-HoA-addr/x
当SMG/x-HA1404接收到数据包时,它除去i-MIP报头,利用以下信息添加x-MIP报头,并且将它发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/i
b.x-MIP目的地IP地址:local-addr/i
图14L示出了移动节点1405请求VPN隧道。当移动节点1405想要创建VPN隧道时,移动节点1405使用以下信息发起VPN连接请求,并且将其发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:VPNgw-addr/x
e.IKE或者其它协议
当SMG/x-HA1404接收到VPN连接请求时,它除去x-MIPIP报头,并且将该包发送到VPN-gw1403用于处理。
图14M示出了对移动节点1405请求VPN隧道的响应。当VPN-gw1403接收VPN连接请求时,VPN-gw1403利用以下信息创建外出的SPD:
a.选择器:源地址=任意,目的地址=VPNinn-addr1/i
b.动作:IPSec隧道(源地址=VPNgw-addr/x,目的地址=x-HoA-addr/x)
VPN-gw1403利用以下信息创建VPN连接响应,并且将其发送到SMG/x-HA1404:
a.源IP地址:VPNgw-addr/x
b.目的地IP地址:x-HoA-addr/x
c.IKE或者其它协议
d.用于MN的VPN隧道内部地址=VPNinn-addr1/i
e.用于GW的VPN隧道内部地址=VPNinn-addr2/i
当SMG/x-HA1404接收到VPN连接响应时,它利用以下信息添加x-MIP报头,并且将包发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点接收到VPN连接响应时,其利用以下信息向路由表中添加条目或者改变路由表中的条目:
a.目的地:VPNinn-addr2/i,网关/接口:VPN-tun
b.目的地:i-HA-addr/i,网关/接口:VPN-tun
c.目的地:内部网络,网关/接口:VPN-tun
移动节点1405利用以下信息创建外出的SPD:
a.选择器:源地址=VPNinn-addr1/i,目的地址=internal-network-addr/i
b.动作:IPSec隧道(源地址=x-HoA-addr/x,目的地址=VPNgw-addr/x)
图14N示出了通过VPN隧道传送的i-MIP注册请求。
在创建VPN连接之后,移动节点1405可能必须经由VPN隧道重新注册i-MIP。为了实现它,移动节点1405利用以下信息创建i-MIP注册请求,并且将它发送到SMG/x-HA1404。
a.x-MIP源IP地址=local-addr/x
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/x
d.目的地IP地址=VPNgw-addr/x
e.ESP加密的包
f.源IP地址=VPNinn-addr1/i
g.目的地IP地址=i-HA-addr/i
h.i-MIP归属地址=i-HoA-addr/i
i.i-MIP归属代理=i-HA-addr/i
j.转交地址=VPNinn-addr1/i
当SMG/x-HA1404接收到i-MIP注册请求时,它除去x-MIP报头,并且将其发送到VPN-GW。
当VPN-gw1403接收到i-MIP注册请求时,它除去IP报头,对ESP进行解密并且将其发送到i-HA1402。
图14O示出了通过VPN隧道对i-MIP注册请求的响应。当i-HA1402接收到i-MIP注册请求时,它利用以下信息修改它的移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:VPNinn-addr1/i
i-HA1402用以下的信息创建一个i-MIP注册应答,并且将它发送到VPN-gw1403:
a.源IP地址=i-HA-addr/i
b.目的地IP地址=VPNinn-addr1/i
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理=i-HA-addr/i
当VPN-gw1403接收到i-MIP注册应答时,它对IP包进行加密,利用以下信息添加IP报头,并且将它发送到SMG/x-HA1404,所述信息为:
a.源IP地址IP包=VPNgw-addr/x
b.目的地IP地址=x-HoA-addr/x
当SMG/x-HA1404接收到i-MIP注册应答时,它利用以下信息添加x-MIP报头、并且将它发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/x
图14P示出了移动节点1405使用VPN发送数据到通信主机1401。移动节点1405利用以下信息创建数据,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址=local-addr/x
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/i
d.目的地IP地址=VPNgw-addr/x
e.ESP加密的包
f.i-MIP源IP地址=VPNinn-addr1/i
g.i-MIP目的地IP地址=i-HA-addr/i
h.源IP地址=i-HoA-addr/i
i.目的地IP地址=CH-addr/i
j.有效负载数据
当SMG/x-HA1404接收到数据时,它除去x-MIPIP报头,并且将其发送到VPN-gw1403。当VPN-gw1403接收到数据时,它除去IP报头,对ESP进行解密,并且将包发送到i-HA1402。当i-HA1402接收到数据包时,它除去i-MIPIP报头并且将它发送到通信主机1401。
图14Q示出了通信主机1401使用VPN发送数据到移动节点1405。当通信主机1401发送数据时,通信主机1401使用以下的信息创建数据包,并且将它发送到i-HA1402:
a.源IP地址=CH-addr/i
b.目的地IP地址=i-HoA-addr/i
c.有效负载数据
当i-HA1402接收到数据时,i-HA1402利用以下信息添加i-MIPIP报头,并且将它发送到VPN-gw1403:
a.i-MIP源地址=i-HA-addr/i
b.i-MIP目的地址=VPNinn-addr1/i
当VPN-gw1403接收到数据时,它对该数据进行加密、利用以下信息添加IP报头、并且将它发送到SMG/x-HA1404:
a.源IP地址=VPNgw-addr/x
b.目的地IP地址=VPNinn-addr1/i
当SMG/x-HA1404接收到数据时,它利用以下信息添加x-MIP报头,并且将包发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/x
图14R示出了移动节点1405移动到另一个外部网络。当使用三重隧道的移动节点1405已经移动到另一个外部网络时,用以下信息改变用于x-HA-addr/x的路由表条目:
a.目的地:x-HA-addr/x,网关/接口:local-router-addr2/x
移动节点1405利用以下信息创建用于重新注册的i-MIP注册请求,并且将它发送到SMG/x-HA1404。
a.源IP地址=local-addr2/x
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr2/x
图14S示出了移动节点1405移动到另一个外部网络(x-MIP注册响应)。当SMG/x-HA1404接收到x-MIP注册请求时,其用以下的信息改变它的移动绑定:
a.归属地址:x-HoA-addr/x,转交地址:local-addr2/x
SMG/x-HA1404利用以下信息创建x-MIP注册应答,并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr2/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
图14T、14U、14V、和14W涉及i-MIP注册。这里,一旦移动节点1405除去了VPN隧道,移动节点1405就可能需要经由x-MIP重新注册i-MIP隧道。例如,示出了2种情形:一种是经由SMG的i-MIP注册,另一种是通过x-MIP隧道的i-MIP注册。
对于以下的描述,移动节点1405处于原来的外部网络中,而且本地地址为local-addr/x。
在图14T中,移动节点1405利用以下信息创建i-MIP注册请求,并且将该请求发送到SMG/x-HA1404。
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
e.转交地址:x-HoA-addr/x
f.用于i-HA的认证扩展值
g.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP注册请求时,其对该请求进行认证,而且如果认证成功,则利用以下信息改变该请求的源和目的地IP地址,并且将它发送到i-HA1402:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:i-HA-addr/i
在图14V中,i-HA1402接收i-MIP注册请求,对该请求进行认证,而且如果认证成功,则i-HA1402用以下信息改变移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建i-MIP注册应答,并且将其发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i可以由分开隧道模式使用反向移动绑定。
SMG/x-HA1404利用以下的信息改变源IP地址和目的地IP地址,并且将请求发送到移动节点1405:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP注册应答时,在路由表中进行如下的改变:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
在图14U中,移动节点1405利用以下信息创建i-MIP注册请求,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:i-HA-addr/x
e.归属地址:i-HoA-addr/i
f.归属代理:i-HA-addr/i
g.转交地址:x-HoA-addr/x
h.用于i-HA的认证扩展值
i.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP注册请求时,SMG/x-HA1404对它进行认证,而且如果认证成功,则除去x-MIP源和x-MIP目的地IP地址,并且将它发送到i-HA1402。
在图14W中,当i-HA1402接收到i-MIP注册请求时,i-HA1402对它进行认证,而且如果认证成功,则i-HA1402用以下信息改变移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建i-MIP注册应答,并且将其发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HoA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i
可以由分开隧道模式使用反向移动绑定。
SMG/x-HA1405利用以下信息添加x-MIP源IP地址和x-MIP目的地IP地址,并且将它发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP注册应答时,它利用以下的信息将条目添加到路由表中:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
图14X示出了移动节点1405从VPN隧道中断开。在i-MIP的取消注册之后,移动节点1405利用以下信息创建VPN断开请求,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址=local-addr/x
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/x
d.目的地IP地址=VPNgw-addr/x
e.VPN断开请求
当SMG/x-HA1404接收到VPN断开请求时,它除去x-MIPIP报头,并且将该请求发送到VPN-gw1403。
图14Y示出了对移动节点1405请求断开VPN隧道的响应。当VPN-gw1403接收到VPN断开请求时,它删除外出SPD,利用以下的信息创建VPN断开响应,并且将它发送到SMG/x-HA1404:
a.源IP地址=VPNgw-addr/x
b.目的地IP地址=x-HoA-addr/x
c.VPN断开响应
当SMG/x-HA1404接收到VPN断开请求时,它利用以下信息添加x-MIPIP报头,并且将请求发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/x
当移动节点1405接收到VPN断开请求时,移动节点1405删除路由表中用于VPNinnaddr2/i和i-HA-addr/i的条目。
以下描述了i-MIP取消注册。至少有两种用于发送取消注册请求的方法:一种是经由SMG,而另一种是通过x-MIP隧道。
图14Z示出了通过SMG发送取消注册请求。这里,移动节点1405用以下的信息创建i-MIP取消注册请求,并且将其发送到SMG/x-HA:
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
e.转交地址:x-HoA-addr/x
f.持续时间=0
g.用于i-HA的认证扩展值
h.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP取消注册请求时,SMG/x-HA1404对它进行认证,而且如果认证成功,则利用以下信息改变源和目的地IP地址,并且将该请求发送到i-HA1402:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:i-HA-addr/i
图14BB示出了对SMG取消注册请求的进一步处理。当i-HA1402接收到i-MIP取消注册请求时,i-HA1402对它进行认证,而且如果认证成功,则i-HA1402删除移动绑定。
i-HA1402用以下的信息创建i-MIP取消注册应答,并且将其发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP取消注册应答时,SMG/x-HA1404删除反向移动绑定。此外,SMG/x-HA1404利用以下的信息改变源IP地址和目的地IP地址,并且将该应答发送到移动节点1405:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP取消注册应答时,移动节点1405利用以下信息改变路由表中的条目:
a.目的地:内部网络地址/i,网关/接口:正在关闭的x-MIP-tunnel
图14Z-14EE示出了移动节点1405关闭隧道。
图14AA示出了正通过x-MIP隧道发送i-MIP取消注册请求。移动节点1405利用以下信息创建i-MIP取消注册请求,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:i-HA-addr/x
e.归属地址:i-HoA-addr/i
f.归属代理:i-HA-addr/i
g.转交地址:x-HoA-addr/x
h.持续时间=0
g.用于i-HA的认证扩展值
j.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP取消注册请求时,SMG/x-HA1404对它进行认证,而且如果认证成功,则除去x-MIP源和x-MIP目的地IP地址,并且将该请求发送到i-HA1402。
图14CC示出了系统对取消注册请求的后续响应。当i-HA1402接收到i-MIP取消注册请求时,i-HA1402对它进行认证,而且如果认证成功,则i-HA1402删除移动绑定。
i-HA1402用以下的信息创建i-MIP取消注册应答,并且将它发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HoA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404删除反向移动绑定。SMG/x-HA1404利用以下信息添加x-MIP源IP地址和x-MIP目的地IP地址,并且将该应答发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP取消注册应答时,它利用以下信息改变路由表中的条目:
a.目的地:内部网络地址/i,网关/接口:x-MIP-tunnel
图14DD示出了x-MIP取消注册请求的处理。当移动节点1405取消注册i-MIP时,移动节点1405利用以下信息创建x-MIP取消注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址=local-addr/x
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr/x
f.持续时间=0
g.用于x-HA的认证扩展值
图14EE示出了对x-MIP取消注册响应的处理。当SMG/x-HA1404接收到x-MIP取消注册请求时,在成功认证之后,SMG/x-HA1404利用以下信息创建x-MIP取消注册应答,并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr/x
c.归属地址=x-HoA-addr/x
d.归属代理=x-HA-addr/x
当移动节点1405接收到x-MIP取消注册应答时,移动节点1405删除路由表中用于Internal-network-addr/i、VPNgw-addr/x的条目,并且改变以下信息:
a.目的地:缺省,网关/接口:local-router-addr/x
以下示出了返回到内部网络的移动节点1405。尤其是,图14GG-14NN示出了当移动节点1405处于图14FF所示的类似三重隧道模式的状态中时,移动到内部访问网络的移动节点1405。
在图14GG中,移动节点1405移动到内部访问网络(使用i-MIP注册请求)。当移动节点1405移动到内部访问网络时,为x-HA-addr/x改变路由表并且缺省是local-router-addr/i。
移动节点1405利用以下信息创建i-MIP注册请求,并且将它发送到i-HA1402:
a.源IP地址=local-addr/i
b.目的地IP地址=i-HA-addr/i
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理=i-HA-addr/i
e.转交地址=local-addr/i
图14HH示出了i-MIP注册响应。当i-HA1402接收到i-MIP注册请求时,它利用以下信息修改移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:local-addr/i
i-HA1402用以下的信息创建i-MIP注册应答,并且将它发送到移动节点1405:
a.源IP地址=i-HA-addr/i
b.目的地IP地址=local-addr/i
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理=i-HA-addr/i
当移动节点1405接收到i-MIP注册应答时,它利用以下信息在路由表中添加条目:
a.目的地:i-HA-addr/i,网关/接口:local-router-addr/i
b.目的地:internal-network-addr/i,网关/接口:i-MIP-tun
图14II示出了x-MIP注册请求。这里,移动节点1405经由x-MIP隧道向SMG/xHA1404注册,以断开VPN隧道。移动节点1405利用以下信息创建x-MIP注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址=local-addr/i
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr/i
在图14JJ中,示出了对x-MP注册响应的处理。当SMG/x-HA1404接收到x-MIP注册请求时,它用以下的信息改变移动绑定:
a.归属地址:x-HoA-addr/i,转交地址:local-addr/i
SMG/x-HA1404利用以下信息创建x-MIP注册应答,并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr/i
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
图14KK示出了移动节点1405断开VPN隧道。移动节点1405利用以下信息创建VPN断开请求,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址=local-addr/i
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/x
d.目的地IP地址=VPNgw-addr/x
e.VPN断开请求
当SMG/x-HA1404接收到VPN断开请求时,它除去x-MIPIP报头,并且将它发送到VPN-gw1403。
图14LL示出了对移动节点1405的VPN断开请求的响应。当VPN-GWVPN-gw1403接收到VPN断开请求时,它利用以下信息创建VPN断开响应,并且将它发送到SMG/x-HA1404:
a.源IP地址=VPNgw-addr/x
b.目的地IP地址=x-HoA-addr/x
c.VPN断开响应
当SMG/x-HA1404接收到VPN断开响应时,它利用以下信息添加x-MIPIP报头,并且将它发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/i
当移动节点1405接收到VPN断开响应时,它删除路由表中用于VPNinnaddr2/i的条目。
图14MM示出了x-MIP取消注册请求。移动节点1405利用以下信息创建x-MIP取消注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址=local-addr/i
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr/i
f.持续时间=0
g.用于x-HA的认证扩展值
图14NN示出了x-MIP取消注册响应。当SMG/x-HA1404接收到x-MIP取消注册请求时,并且在成功认证之后,SMG/x-HA1404删除移动绑定,利用以下信息创建x-MIP取消注册应答、并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr/i
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
当移动节点1405接收到x-MIP取消注册应答时,它删除路由表中用于VPNgwaddr/x的条目:
移动节点为类似视窗系统的实现方式的情形
以下描述了其中移动节点具有基于视窗系统的实现方式的上述情形。这里,以下示出了移动节点1405如何从两重MIP隧道切换到三重隧道模式。与图14A-14NN相关联地描述了图15A-15BB。图15A-15BB示出了具有以下部件的移动节点1405:
a.应用1501
b.控制器1502
c.TCP/IP驱动器1503
d.路由表1504
e.i-MIP驱动器1505
f.VPN驱动器1506
g.x-MIP驱动器1507
h.NIC1驱动器1508
i.NIC2驱动器1509
j.网络接口卡11510
k.网络接口卡21511
在图14A中,移动节点1405在外部网络中接通电源。移动节点1405具有路由表,该路由表具有以下信息:
a.目的地:缺省(所有目的地),网关/接口:local-router/x
在图14B和图15A中,移动节点1405检测到其位于外部网络中。接下来,移动节点1405创建x-MIP注册请求,并且将它发送到SMG/x-HA1404。x-MIP注册请求包括以下信息:
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x(x-归属代理地址)
c.归属地址:x-HoA-addr/x
d.归属代理:x-HA-addr/x
e.转交地址=local-addr/x
f.反向隧道请求标志=真
g.用于x-HA的认证扩展值
在图14C和15B,当SMG/x-HA1404接收到x-MIP注册请求时,SMG/x-HA1404用认证扩展值对它进行认证。如果认证成功,则SMG/x-HA1404用以下的信息构造移动绑定:
a.归属地址:x-HoA-addr/x,转交地址:local-addr/x
接下来,SMG/x-HA1404利用以下信息将x-MIP注册应答发送到移动节点1405:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
c.归属地址:x-HoA-addr/x
d.归属代理:x-HA-addr/x
当移动节点1405接收到x-MIP注册应答时,移动节点1405利用以下信息将条目添加到路由表1504中:
a.目的地:x-HA-addr/x,网关/接口:local-router-addr/x
b.目的地:VPN-gateway-addr/x,网关/接口:x-MIP-tunnel
c.目的地:internal-network-addr/i,网关/接口:x-MIP-tunnel
以下描述了i-MIP注册。存在有几种可用于构造i-MIP隧道的方法。以下示出了两个示例,这两个示例包括使用SMG和MIP。
图14D和15C示出了使用SMG创建i-MIP隧道。移动节点1405用以下的信息创建i-MIP注册请求,并且将其发送到SMG/x-HA1404:
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
e.转交地址:x-HoA-addr/x
f.用于i-HA的认证扩展值
g.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP注册请求时,它对该请求进行认证,而且如果认证成功,则它利用以下信息改变源和目的IP地址,并且将请求发送到i-HA1402:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:i-HA-addr/i
图14F和15E示出了使用SMG的下一步骤。当i-HA1402接收到i-MIP注册请求时,i-HA1402对它进行认证,而且如果认证成功,则i-HA1402利用以下信息创建移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建i-MIP注册应答,并且将其发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i
可以由分开隧道模式使用反向移动绑定。
SMG/x-HA1404利用以下的信息改变源IP地址和目的地IP地址,并且将它发送到移动节点1405:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP注册应答时,它利用以下的信息在路由表1504中添加条目:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
图14E和15D示出了使用一种替换的方法创建i-MIP。移动节点1405用以下的信息创建i-MIP注册请求,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:i-HA-addr/x
e.归属地址:i-HoA-addr/i
f.归属代理:i-HA-addr/i
g.转交地址:x-HoA-addr/x
h.用于i-HA的认证扩展值
i.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP注册请求时,对它进行认证,而且如果认证成功,则除去x-MIP源和x-MIP目的地IP地址,并且将该请求发送到i-HA1402。
图14G和15F示出了对注册请求的进一步处理。当i-HA1402接收到i-MIP注册请求时,它对该请求进行认证,而且如果认证成功,则i-HA1402用以下信息创建移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建i-MIP注册应答,并且将它发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HoA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i
可以由分开隧道模式使用反向移动绑定。
接下来,SMG/x-HA1404利用以下信息添加x-MIP源IP地址和x-MIP目的地IP地址,并且将应答发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP注册应答时,它利用以下的信息在路由表1504中添加条目:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
以下描述了两种类型的两重MIP隧道:重叠和分开。这些在数据在移动节点1405和通信主机1401之间传输时是明显的。
图14H和15G示出了数据从移动节点1405发送到通信主机1401的重叠方法。当移动节点1405发送数据包时,移动节点1405利用以下的信息创建封装的包,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.i-MIP源IP地址:x-HoA-addr/x
d.i-MIP目的地IP地址:i-HA-addr/i
e.源IP地址:i-HoA-addr/i
f.目的地IP地址:CH-addr/i
g.有效负载数据
当SMG/x-HA1404接收到数据包时,它除去x-MIPIP报头,然后将其发送到i-HA1402。当i-HA1402接收到该数据包时,它除去i-MIPIP报头,然后将包发送到通信主机1401。通信主机1401然后接收没有封装的普通IP数据包。
图14I和15H示出了通信主机1401使用重叠隧道将包发送到移动节点1405。当通信主机1401发送数据包时,它使用以下的信息创建包,并且将它发送到i-HA1402:
a.源IP地址:CH-addr/i
b.目的地IP地址:i-HoA-addr/i
c.有效负载数据
当i-HA1402接收到数据包时,它利用以下信息添加i-MIPIP报头,并且将包发送到SMG/x-HA1404:
a.i-MIP源IP地址:i-HA-addr/i
b.i-MIP目的地IP地址:x-HoA-addr/x
当SMG/x-HA1404接收到该数据包时,它利用以下信息添加x-MIP报头,并且将它发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/i
b.x-MIP目的地IP地址:local-addr/i
图14J和15I示出了用于从移动节点1405发送到通信主机1401的数据的分开隧道。当移动节点1405发送数据包时,移动节点1405利用以下的信息创建封装的包,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:i-HoA-addr/i
d.目的地IP地址:CH-addr/i
e.有效负载数据
当SMG/x-HA1404接收到数据包时,它除去x-MIPIP报头,并且利用以下信息利用反向移动绑定添加i-MIPIP报头,然后将它发送到i-HA1402:
a.i-MIP源IP地址:x-HoA-addr/x
b.i-MIP目的地IP地址:i-HA-addr/i
当i-HA1402接收到该数据包时,它除去i-MIPIP报头,然后将它发送到通信主机1401。
通信主机1401接收到已经解封装了的普通IP数据包。
图14K和15J示出了通信主机1401发送数据到移动节点1405。当通信主机1401希望发送数据包时,它使用以下的信息创建包,并且将它发送到i-HA1402:
a.源IP地址:CH-addr/i
b.目的地IP地址:i-HoA-addr/i
c.有效负载数据
当i-HA1402接收到数据包时,它利用以下信息添加i-MIPIP报头,并且将包发送到SMG/x-HA1404:
a.i-MIP源IP地址:i-HA-addr/i
b.i-MIP目的地IP地址:x-HoA-addr/x
当SMG/x-HA1404接收到数据包时,它除去i-MIP报头,利用以下信息添加x-MIP报头,并且将包发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/i
b.x-MIP目的地IP地址:local-addr/i
图14L和15K示出了移动节点1405请求建立VPN隧道。当移动节点期望创建VPN隧道时,移动节点1405使用以下的信息创建VPN连接请求,并且将它发送到SMG/x-HA:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:VPNgw-addr/x
e.IKE或者其它协议
当SMG/x-HA1404接收到VPN连接请求时,它除去x-MIPIP报头,并且将请求发送到VPN-gw1403。
图14M和15L示出了相应的响应。当VPN-gw1403接收到VPN连接请求时,VPN-gw1403利用以下信息创建外出SPD:
a.选择器:源地址=任意,目的地址=VPNinn-addr1/i
b.动作:IPSec隧道(源地址=VPNgw-addr/x,目的地址=x-HoA-addr/x)
VPN-gw1403利用以下信息创建VPN连接响应,并且将它发送到SMG/x-HA1404:
a.源IP地址:VPNgw-addr/x
b.目的地IP地址:x-HoA-addr/x
c.IKE或者其它协议
d.用于MN的VPN隧道内部地址=VPNinn-addr1/i
e.用于GW的VPN隧道内部地址=VPNinn-addr2/i
当SMG/x-HA1404接收到该VPN连接响应时,它利用以下信息添加x-MIP报头,并且将它发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点1405接收到VPN连接响应时,它利用以下信息在路由表1504中添加条目或者改变路由表1504中的条目:
a.目的地:VPNinn-addr2/i,网关/接口:VPN-tun
b.目的地:i-HA-addr/i,网关/接口:VPN-tun
c.目的地:内部网络,网关/接口:VPN-tun
此外,移动节点1405利用以下信息创建外出SPD:
a.选择器:源地址=VPNinn-addr1/i,目的地址=internal-network-addr/i
b.动作:IPSec隧道(源地址=x-HoA-addr/x,目的地址=VPNgw-addr/x)
图14N和15M示出了在存在VPN的情况下的i-MIP注册请求。在构造了VPN连接之后,移动节点1405可能需要经由VPN隧道重新注册i-MIP。移动节点1405利用以下信息创建i-MIP注册请求,并且将它发送到SMG/i-HA1404:
a.x-MIP源IP地址=local-addr/x
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/x
d.目的地IP地址=VPNgw-addr/x
e.ESP加密的包
f.源IP地址=VPNinn-addr1/i
g.目的地IP地址=i-HA-addr/i
h.i-MIP归属地址=i-HoA-addr/i
i.i-MIP归属代理=i-HA-addr/i
j.转交地址=VPNinn-addr1/i
当SMG/x-HA1404接收到该i-MIP注册请求时,它除去x-MIP报头,并且将它发送到VPN-gw1403。
当VPN-gw1403接收到i-MIP注册请求时,它除去IP报头,对ESP进行解密并且将它发送到i-HA1402。
图14O和15N示出了通过VPN隧道的i-MIP注册响应。当i-HA1402接收到该i-MIP注册请求时,i-HA1402利用以下信息改变它的移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:VPNinn-addr1/i
i-HA1402用以下的信息创建i-MIP注册应答,并且将它发送到VPN-gw1403:
a.源IP地址=i-HA-addr/i
b.目的地IP地址=VPNinn-addr1/i
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理=i-HA-addr/i
当VPN-gw1403接收到该i-MIP注册应答时,它对IP包进行加密,利用以下信息添加IP报头、并且将它发送到SMG/x-HA1404:
a.源IP地址=VPNgw-addr/x
b.目的地IP地址=x-HoA-addr/x
当SMG/x-HA1404接收到该i-MIP注册应答时,它利用以下信息添加x-MIP报头、并且将包发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/x
图14P和15O示出了移动节点1405使用VPN发送数据到通信主机1401。移动节点1405利用以下信息创建数据,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址=local-addr/x
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/i
d.目的地IP地址=VPNgw-addr/x
e.ESP加密的包
f.i-MIP源IP地址=VPNinn-addr1/i
g.i-MIP目的地IP地址=i-HA-addr/i
h.源IP地址=i-HoA-addr/i
b.目的地IP地址=CH-addr/i
j.有效负载数据
当SMG/x-HA1404接收到数据时,它除去x-MIPIP报头,并且将它发送到VPN-gw1403。当VPN-gw1403接收到该数据时,它除去IP报头,对ESP进行解密,并且将它发送到i-HA1402。当i-HA1402接收到该数据时,它除去i-MIPIP报头并且将它发送到通信主机1401。
图14Q和15P示出了通信主机1401使用VPN发送数据到移动节点1405。当通信主机1401期望发送数据时,通信主机1401使用以下的信息创建数据,并且将它发送到i-HA1402:
a.源IP地址=CH-addr/i
b.目的地IP地址=i-HoA-addr/i
c.有效负载数据
当i-HA1402接收到数据时,i-HA1402利用以下信息添加i-MIPIP报头,并且将它发送到VPN-gw1403:
a.i-MIP源地址=i-HA-addr/i
b.i-MIP目的地址=VPNinn-addr1/i
当VPN-gw1403接收到数据时,它对该数据进行加密,利用以下信息添加IP报头,并且将它发送到SMG/x-HA1404:
a.源IP地址=VPNgw-addr/x
b.目的地IP地址=VPNinn-addr1/i
当SMG/x-HA1404接收到数据包时,它利用以下信息添加x-MIP报头,并且将它发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/x
图14R和15Q示出了移动节点1405移动到另一个外部网络。当移动节点1405(使用三重隧道)已经移动到另一个外部网络时,用以下信息修改用于x-HA-addr/x的路由表条目:
a.目的地:x-HA-addr/x,网关/接口:local-router-addr2/x
移动节点1405利用以下信息创建用于重新注册的i-MIP注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址=local-addr2/x
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr2/x
图14S和15R示出了移动节点1405移动到另一个外部网络(利用x-MIP注册响应)。当SMG/x-HA1404接收到x-MIP注册请求时,它用以下的信息改变它的移动绑定:
a.归属地址:x-HoA-addr/x,转交地址:local-addr2/x
接下来,SMG/x-HA1404利用以下信息创建x-MIP注册应答,并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr2/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
以下涉及i-MIP注册。图14T-14W涉及如上所述的用于注册的各种方法。这里,移动节点1405处于原来的外部网络中,而且本地地址为local-addr/x。
在图14T中,移动节点1405用以下的信息创建i-MIP注册请求,并且将其发送到SMG/x-HA1404:
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
e.转交地址:x-HoA-addr/x
f.用于i-HA的认证扩展值
g.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP注册请求时,对它进行认证,而且如果认证成功,则利用以下的信息改变源和目的地IP地址,并且将请求发送到i-HA1402:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:i-HA-addr/i
在图14V中,当i-HA1402接收到i-MIP注册请求时,它对该请求进行认证,而且如果认证成功,则i-HA1402用以下信息改变它的移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建i-MIP注册应答,并且将它发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i
可以由分开隧道模式使用反向移动绑定。
SMG/x-HA1404利用以下的信息改变源IP地址和目的地IP地址,并且将应答发送到移动节点1405:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP注册应答时,它利用以下的信息改变路由表1504中的条目:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
在图14U中,移动节点1405用以下的信息创建i-MIP注册请求,并且将其发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:i-HA-addr/x
e.归属地址:i-HoA-addr/i
f.归属代理:i-HA-addr/i
g.转交地址:x-HoA-addr/x
g.用于i-HA的认证扩展值
i.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP注册请求时,它对该请求进行认证,而且如果认证成功,则除去x-MIP源和x-MIP目的地IP地址,并且利用以下信息将它发送到i-HA1402。
在图14W中,当i-HA1402接收到i-MIP注册请求时,它对该请求进行认证,而且如果认证成功,则i-HA1402用以下信息改变移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:x-HoA-addr/x
i-HA1402用以下的信息创建i-MIP注册应答,并且将它发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HoA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404用以下信息记录反向移动绑定:
a.源地址:i-HoA-addr/x,i-HA地址:i-HA-addr/i
可以由分开隧道模式使用反向移动绑定。
SMG/x-HA1404利用以下信息添加x-MIP源IP地址和x-MIP目的地IP地址到上述应答中,并且将它发送到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP注册应答时,它利用以下的信息在路由表中添加条目:
a.目的地:i-HA-addr/i,网关/接口:x-MIP-tunnel
b.目的地:内部网络地址/i,网关/接口:i-MIP-tunnel
图14X和15S示出了移动节点1405从VPN隧道中断开。在取消注册i-MIP之后,移动节点1405利用以下信息创建VPN断开请求,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址=local-addr/x
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/x
d.目的地IP地址=VPNgw-addr/x
e.VPN断开请求
当SMG/x-HA1404接收到VPN断开请求时,它除去x-MIPIP报头,并且将它发送到VPN-gw1403。
图14Y和15T示出了对移动节点1405的断开请求的响应。当VPN-gw1403接收到VPN断开请求时,它删除外出SPD,利用以下的信息创建VPN断开响应,并且将它发送到SMG/x-HA1404:
a.源IP地址=VPNgw-addr/x
b.目的地IP地址=x-HoA-addr/x
c.VPN断开响应
当SMG/x-HA1404接收到VPN断开响应时,它利用以下信息添加x-MIPIP报头,并且将响应发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/x
当移动节点1405接收到VPN断开响应时,它删除路由表中用于VPNinnaddr2/i和i-HA-addr/i的条目。
以下涉及i-MIP取消注册。有两种用于发送取消注册请求的方法:一种是经由SMG,而且另一种是通过x-MIP隧道。
图14Z涉及通过SMG发送请求。这里,移动节点1405用以下的信息创建i-MIP取消注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址:local-addr/x
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
e.转交地址:x-HoA-addr/x
f.持续时间=0
g.用于i-HA的认证扩展值
h.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP取消注册请求时,对它进行认证,而且如果认证成功,则利用以下的信息改变源和目的地IP地址,并且将请求发送到i-HA1402:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:i-HA-addr/i
在图14BB中,当i-HA1402接收到i-MIP取消注册请求时,对它进行认证,而且如果认证成功,则i-HA1402删除移动绑定。i-HA1402用以下信息创建i-MIP取消注册应答,并且将它发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP取消注册应答时,SMG/x-HA1404删除反向移动绑定。接下来,SMG/x-HA1404利用以下的信息改变源IP地址和目的地IP地址,并且将它发送到移动节点1405:
a.源IP地址:x-HA-addr/x
b.目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP取消注册应答时,移动节点1405利用以下的信息改变路由表1504中的条目:
a.目的地:内部网络地址/i,网关/接口:取消注册两个MIP隧道的x-MIP-tunnel
图14Z-14EE示出了移动节点1405如何在外部网络中关闭隧道。
图14AA示出了i-MIP取消注册请求(通过x-MIP隧道)的传输。移动节点1405用以下的信息创建i-MIP取消注册请求,并且将其发送到SMG/x-HA1404:
a.x-MIP源IP地址:local-addr/x
b.x-MIP目的地IP地址:x-HA-addr/x
c.源IP地址:x-HoA-addr/x
d.目的地IP地址:i-HA-addr/x
e.归属地址:i-HoA-addr/i
f.归属代理:i-HA-addr/i
g.转交地址:x-HoA-addr/x
h.持续时间=0
i.用于i-HA的认证扩展值
j.用于x-HA认证的供应商扩展
当SMG/x-HA1404接收到i-MIP取消注册请求时,对它进行认证,而且如果认证成功,则除去x-MIP源和x-MIP目的地IP地址,并且将请求发送到i-HA1402。
在图14BB中,当i-HA1402接收到i-MIP取消注册请求时,它对该请求进行认证,而且如果认证成功,则i-HA1402删除移动绑定。
i-HA1402用以下的信息创建i-MIP取消注册应答,并且将它发送到SMG/x-HA1404:
a.源IP地址:i-HA-addr/i
b.目的地IP地址:x-HoA-addr/x
c.归属地址:i-HoA-addr/i
d.归属代理:i-HA-addr/i
当SMG/x-HA1404接收到i-MIP注册应答时,SMG/x-HA1404删除反向移动绑定。
SMG/x-HA1404添加x-MIP源IP地址和x-MIP目的地IP地址。它然后利用以下信息发送所述应答到移动节点1405:
a.x-MIP源IP地址:x-HA-addr/x
b.x-MIP目的地IP地址:local-addr/x
当移动节点1405接收到i-MIP取消注册应答时,它利用以下的信息改变路由表1504中的条目:
a.目的地:内部网络地址/i,网关/接口:x-MIP-tunnel
图14DD示出了x-MIP取消注册请求的传输。当移动节点1405取销注册i-MIP时,移动节点1405利用以下信息创建x-MIP取消注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址=local-addr/x
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr/x
f.持续时间=0
g.用于x-HA的认证扩展值
图14EE示出了x-MIP取消注册响应的传输。当SMG/x-HA1404接收到x-MIP取消注册请求时,并且在进行成功认证之后,其利用以下信息创建x-MIP取消注册应答,并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr/x
c.归属地址=x-HoA-addr/x
d.归属代理=x-HA-addr/x
当移动节点1405接收到x-MIP取消注册应答时,移动节点1405删除路由表1504中用于Internal-network-addr/i、VPNgw-addr/x的条目,并且改变以下信息:
a.目的地:缺省,网关/接口:local-router-addr/x
图14GG-14NN和15U-15BB示出了移动节点1405利用图14FF所示的三重隧道模式从外部网络移动回到内部网络。
图15U示出了移动节点1405移动到内部访问网络(用i-MIP注册请求)。当移动节点1405移动到内部访问网络时,为x-HA-addr/x而改变路由表,并且缺省为local-router-addr/i。移动节点1405利用以下信息创建i-MIP注册请求,并且将它发送到i-HA1402:
a.源IP地址=local-addr/i
b.目的地IP地址=i-HA-addr/i
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理=i-HA-addr/i
e.转交地址=local-addr/i
图14HH和15V示出了对i-MIP注册响应的处理。这里,当i-HA1402接收到i-MIP注册请求时,它利用以下信息改变移动绑定:
a.归属地址:i-HoA-addr/i,转交地址:local-addr/i
i-HA1402用以下的信息创建i-MIP注册应答,并且将它发送到移动节点1405:
a.源IP地址=i-HA-addr/i
b.目的地IP地址=local-addr/i
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理=i-HA-addr/i
当移动节点1405接收到i-MIP注册应答时,它利用以下的信息在路由表1504中添加条目:
a.目的地:i-HA-addr/i,网关/接口:local-router-addr/i
b.目的地:internal-network-addr/i,网关/接口:i-MIP-tun
图14II和15W涉及x-MIP注册请求。这里,移动节点1405经由x-MIP隧道向x-HA1404进行注册,以断开VPN隧道。
移动节点1405利用以下信息创建x-MIP注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址=local-addr/i
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr/i
图14JJ和15X涉及x-MIP注册响应。当SMG/x-HA1404接收到x-MIP注册请求时,它用以下的信息改变移动绑定:
a.归属地址:x-HoA-addr/x,转交地址:local-addr/i
接下来,SMG/x-HA1404利用以下信息创建x-MIP注册应答,并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr/i
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
图14KK和15Y涉及从VPN隧道断开的移动节点1405。移动节点1405利用以下信息创建VPN断开请求,并且将它发送到SMG/x-HA1404:
a.x-MIP源IP地址=local-addr/i
b.x-MIP目的地IP地址=x-HA-addr/x
c.源IP地址=x-HoA-addr/x
d.目的地IP地址=VPNgw-addr/x
e.VPN断开请求
当SMG/x-HA1404接收到VPN断开请求时,它除去x-MIPIP报头,并且将它发送到VPN-gw1403。
图14LL和15Z示出了对VPN断开请求的响应。当VPN-gw1403接收到VPN断开请求时,它利用以下信息创建VPN断开响应,并且将该响应发送到SMG/x-HA1404:
a.源IP地址=VPNgw-addr/x
b.目的地IP地址=x-HoA-addr/x
c.VPN断开响应
当SMG/x-HA1404接收到VPN断开响应时,它利用以下信息添加x-MIPIP报头,并且将该响应发送到移动节点1405:
a.x-MIP源IP地址=x-HA-addr/x
b.x-MIP目的地IP地址=local-addr/i
当移动节点1405接收到VPN断开响应时,它删除路由表中用于VPNinnaddr2/i的条目。
图14MM和15AA示出了x-MIP取消注册请求。这里,移动节点1405利用以下信息创建x-MIP取消注册请求,并且将它发送到SMG/x-HA1404:
a.源IP地址=local-addr/i
b.目的地IP地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
e.转交地址=local-addr/i
f.持续时间=0
g.用于x-HA的认证扩展值
图14NN和15BB示出了x-MIP取消注册响应。当SMG/x-HA1404接收到x-MIP取消注册请求时,并且在进行成功认证之后,其删除移动绑定,利用以下信息创建x-MIP取消注册应答,并且将它发送到移动节点1405:
a.源IP地址=x-HA-addr/x
b.目的地IP地址=local-addr/i
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理=x-HA-addr/x
当移动节点1405接收到x-MIP取消注册应答时,它删除路由表中用于VPNgwaddr/x的条目。
触发包
以下涉及触发包处理。触发包是这样一种类型的应用业务,它们在建立了x-MIP和i-MIP时开始用于形成VPN隧道的处理。
触发包处理的示例
以下示出了触发包和触发包处理的示例。例如,触发包可能涉及:
a.移动节点1405从通信主机1401(在内部网络中)接收的任何包,诸如TCPSYN包、SIPINVITE包之类的包,或者取决于移动节点1405为应用程序1501使用什么的包。
b.移动节点1405发送到内部网络的任何包。例如,i-MIP注册可以经由VPN隧道发送,以便创建x-MIP和i-MIP隧道。
图16A-16D涉及触发包的处理。
以下描述了对移动节点1405所接收到的触发包进行处理的示例。
在图16A中,当移动节点1600接收到触发包时,它的内部信令描述如下。NIC21612接收触发包并且将它发送到NIC2驱动器1610。NIC2驱动器1610从该触发包中创建它的用于x-MIP驱动器1608的特定包,并且将该特定包发送到x-MIP驱动器1608。x-MIP驱动器1608接收该包,并且在协议处理之后将该包发送到i-MIP驱动器1606。i-MIP驱动器1606处理它的协议,识别出该包为触发包,然后向控制器1602进行指示,并且将该触发包转发到触发包队列1613。
图16B示出了在建立VPN隧道时移动节点1600的内部动作。控制器1602发送消息到i-MIP驱动器1606,以请求建立VPN隧道。i-MIP驱动器1606从队列1613中取得触发包,并且将它发送到TCP/IP驱动器1603。TCP/IP驱动器1603在处理了协议之后,将它发送到应用程序1601。
图16C描述了对由移动节点1600传输的触发包的处理。应用程序1601发送触发包到TCP/IP驱动器1603。TCP/IP驱动器1603在处理了协议之后将它发送到i-MIP驱动器1606。iMIP驱动器1606检测到该包是触发包,并且向控制器1602进行指示,而且将该包保持在队列1613中。
图16D示出了当移动节点1600建立VPN隧道时的内部信令。控制器1601发送有关建立VPN隧道的消息到i-MIP驱动器1606。i-MIP驱动器1606然后从队列1613中取得该触发包,并且将它发送到VPN驱动器1607。VPN驱动器1607在进行处理之后将它发送到x-MIP驱动器1608。然后x-MIP驱动器1608在进行处理之后将它发送到NIC驱动器1610。NIC驱动器1610在进行处理之后将它发送到NIC1612。NIC1612然后将该包发送到网络。
在利用动态分配的端口的会话中检测到触发消息的示例
以下是其中在利用与传统静态端口相反的动态分配端口的会话内检测到触发消息的示例。
例如,某些SIP实现方式如图8所示运行。源SRC和目的地DST的描述表示IP源地址和目的地址。A是在移动节点802和通信主机801处预先配置的端口。x、y和z是动态分配的端口号。因为它们是动态的,所以在会话开始之前不知道它们是什么。移动节点802用“使用X进行响应”的指令,发送具有源=y和目的地=A的指令到通信主机801。通信主机用具有源=A和目的地=y的OK消息做出响应。稍后,在来自源z的来话呼叫期间,目的地为X,并且具有用于呼叫的有效负载“邀请”。响应是具有源x和目的地z的OK消息。
如果x不变,则网络驱动器可以容易地检测出“邀请”消息。但是x是动态分配的,所以网络驱动器不能容易地检测出触发。
图9解决了这个问题。这里,使用了代理服务器901。首先,通过将端口A′设置为服务器端口、并且将本地主机地址设置为服务器地址,可以把应用902配置为使用代理服务器901。
当应用902发送“使用x进行响应”的消息903时,代理改变该消息,并且发送“使用x′进行响应”904到实际的服务器通信主机801。接着发送OK消息905和906。这允许代理901捕获在相反方向的连接907。该连接接着作为消息908、通过代理901到应用902。其后面接着两个OK消息(从应用902到代理901以及从代理901到通信主机801)。
触发从三重模式切换到两重模式
以下描述了从三重隧道模式切换到两重隧道模式的触发。当应用卸下或者结束时,i-MIP驱动器检测到它,并且指示给控制器以断开VPN隧道。
为了检测应用是否已经卸下或者完成,可以出现下列中的至少一个:
a.i-MIP驱动器可以包括一个用于测量有多长时间没有发送或者接收到数据包的定时器,而且该定时器的到期触发VPN断开。
b.i-MIP驱动器可以检测某些用于关闭应用会话的包,这些包包括但不局限于诸如TCPFIN之类的包(当然对于其它协议可以使用其它包)。
来自外部网络的i-MIP注册
以下描述了来自外部网络的i-MIP注册。描述了各种i-MIP注册方法。图17A-17J、18、和19涉及各种注册方法。
这里,图17A-17J包括i-HA1701、VPN-gw1702、SMG/x-HA1703、和移动节点1704。
当移动节点1704早已具有i-MIP/VPN/x-MIP三重隧道,并且将要构造i-MIP/x-MIP两重隧道时,移动节点1704使用i-MIP注册消息将x-HoA注册为用于i-MIP的CoA,并且断开VPN隧道。
如果移动节点1704不具有任何隧道,则移动节点1704构造x-MIP隧道,然后将x-HoA注册为用于i-MIP的CoA。
下列图描述了几种用于为MN注册i-MIPCoA的方法,而且在下面对它们进行描述。
当SMG也是外部MIP归属代理时,经由SMG的i-MIP注册方法
图17A-17J涉及当SMG也是外部MIP归属代理时,经由SMG执行i-MIP注册的各种方法。
这里,该示例基于:
a.移动节点1704处于外部(公众)网络中。
b.除x-MIP和i-MIP具有机载(piggyback)注册之外,早已经建立了x-MIP隧道(参见图17I-17J)。
c.SMG/x-HA1703对i-MIP注册请求包进行认证。
图17A示出了使用SMG的注册。移动节点1704具有路由表,该路由表具有以下信息:
目的地和网关对。
a.目的地:x-HA-addr/x,网关:移动节点位于其中的外部网络的路由器。
b.目的地:VPNgw-addr/x,网关:x-MIP隧道。
c.目的地:内部网络,网关:x-MIP隧道。
SMG/x-HA1703具有用于移动节点1704的移动绑定表,其具有以下信息:
a.归属地址=x-HoA-addr/x
b.转交地址=local-addr/x
移动节点1704用以下的信息创建i-MIP注册请求,并且将其发送给SMG/x-HA1704:
a.IP报头的源地址=local-addr/x
b.IP报头的目的地址=x-HA-addr/x
c.归属地址=i-HoA-addr/i
d.归属代理地址=i-HA-addr/i
e.CoA地址=x-HoA-addr/x
i-MIP注册请求具有用于i-HA1701的认证扩展值,以及用于x-HA1703认证的供应商扩展。
当x-HA1703接收到i-MIP注册请求时,x-HA1703用用于x-HA认证的供应商扩展执行强(strong)认证。SMG/x-HA1703在将i-MIP注册请求发送到i-HA1701之前,将IP报头中的源地址从local-addr/x改变为x-HA-addr/x。在SMG/x-HA1703将请求发送到i-HA1701之前,可以由它除去用于x-HA认证的供应商扩展。
当i-HA1701接收到i-MIP注册请求时,i-HA1701对它进行认证,并且创建i-MIP注册响应。
图17B示出了一个响应。当i-HA1701创建i-MIP注册应答时,i-HA1701具有用于移动节点1704的移动绑定表,其具有以下信息:
a.归属地址=i-HoA-addr/i
b.转交地址=x-HoA-addr/x
i-HA1701利用以下信息将i-MIP注册应答发送到SMG/x-HA1703:
a.IP报头中的源地址=i-HA-addr/i
b.IP报头中的目的地址=x-HA-addr/x
c.归属地址=i-HoA-addr/i
d.归属代理地址=i-HA-addr/i
当SMG/x-HA1703接收到i-MIP注册应答时,SMG/x-HA1703使用以下信息创建用于移动节点1704的反向移动绑定表:
a.源地址=i-HoA-addr/i
b.i-HA地址=i-HA-addr/i
分开MIP隧道需要该反向移动绑定。当SMG/x-HA1703接收到x-MIP数据包时,SMG/x-HA1703用反向移动绑定构造i-MIP报头。
在SMG/x-HA1703将所述应答发送到移动节点1704之前,它将IP报头中的源地址从i-HA-addr/i改变为x-HA-addr/x,并且将目的地址从x-HA-addr/x改变为local-addr/x。
当移动节点1704接收到i-MIP注册应答时,它利用以下的信息在路由表中添加条目:
a.目的地:i-HA-addr/i,网关:x-MIP隧道
b.目的地:内部网络,网关:i-MIP隧道。
图17C示出了通过x-MIP隧道的注册,移动节点1704发送封装在x-MIPIP-in-IP报头中的i-MIP注册包。一旦SMG/x-HA1703接收到它,SMG/x-HA1703就对该i-MIP注册包进行解封装,并且将其转发到i-HA1701。这里,这个示例使i-HA1701具有强认证,这是因为i-MIP注册包可以在外部网络中传输而没有受到保护。i-HA1701可以检查接收的注册消息,并且以一种安全的方式对它们进行认证。
图17D示出了用于隧道的请求。移动节点1704包括具有以下信息的路由表:
对于目的地和网关对:
a.目的地:x-HA-addr/x,网关:移动节点位于其中的外部网络的路由器。
b.目的地:VPNgw-addr/x,网关:x-MIP隧道。
c.目的地:内部网络,网关:x-MIP隧道。
SMG/x-HA1703具有用于移动节点1704的移动绑定表,该移动绑定表具有以下信息:
a.归属地址=x-HoA-addr/x
b.转交地址=local-addr/x
移动节点1704用以下的信息创建i-MIP注册请求,并且将其发送到SMG/x-HA1703:
a.x-MIPIP报头中的源地址=local-addr/x
b.x-MIPIP报头中的目的地址=x-HA-addr/x
c.IP报头中的源地址=x-HoA-addr/x
d.IP报头中的目的地址=i-HA-addr/i
e.归属地址=i-HoA-addr/i
f.归属代理地址=i-HA-addr/i
g.CoA地址=x-HoA-addr/x
i-MIP注册请求具有用于i-HA1701的认证扩展值,以及用于x-HA认证的供应商扩展。
当SMG/x-HA1703接收到i-MIP注册请求时,SMG/x-HA1703用用于x-HA认证的供应商扩展执行强认证。在SMG/x-HA1703将i-MIP注册请求发送到i-HA1701之前,它除去x-MIPIP报头。在将该请求发送到i-HA1701之前,可以由SMG/x-HA1703除去用于x-HA认证的供应商扩展。
当i-HA1701接收到i-MIP注册请求时,i-HA1701对它进行认证,并且创建i-MIP注册响应。
图17D示出了响应的创建和处理。当i-HA1701创建i-MIP注册应答时,i-HA1701具有用于移动节点1704的移动绑定表,该移动绑定表具有以下信息:
a.归属地址=i-HoA-addr/i
b.转交地址=x-HoA-addr/x
i-HA1701利用以下信息将i-MIP注册应答发送到SMG/x-HA1703:
a.IP报头中的源地址=i-HA-addr/i
b.IP报头中的目的地址=x-HA-addr/x
c.归属地址=i-HoA-addr/i
d.归属代理地址=i-HA-addr/i
当SMG/x-HA1703接收到i-MIP注册应答时,SMG/x-HA1703使用以下信息创建用于移动节点1704的反向移动绑定表:
a.源地址=i-HoA-addr/i
b.i-HA地址=i-HA-addr/i
分开MIP隧道需要该反向移动绑定。当SMG/x-HA1703接收到x-MIP数据包时,SMG/x-HA1703利用反向移动绑定创建i-MIP报头。
SMG/x-HA1703在IP报头之前添加x-MIPIP报头。源x-MIPIP地址是x-HA-addr/x,而且源x-MIPIP地址是local-addr/x。接下来,SMG/x-HA1703将i-MIP注册应答发送到移动节点1704。
当移动节点1704接收到i-MIP注册应答时,利用以下的信息在移动节点1704的路由表中添加条目:
a.目的地:i-HA-addr/i,网关:x-MIP隧道
b.目的地:内部网络,网关:i-MIP隧道。
图17E和17F示出了经由SMG的注册(利用src=CoA)。
在图17E中,移动节点1704包括具有以下信息的路由表:目的地和网关对。
a.目的地:x-HA-addr/x,网关:移动节点位于其中的外部网络的路由器。
b.目的地:VPNgw-addr/x,网关:x-MIP隧道。
c.目的地:内部网络,网关:x-MIP隧道。
SMG/x-HA1703具有用于移动节点1704的移动绑定表,该移动绑定表具有以下信息:
a.归属地址=x-HoA-addr/x
b.转交地址=local-addr/x
移动节点1704用以下的信息创建i-MIP注册请求,并且将其发送到SMG/x-HA1703:
a.IP报头的源地址=local-addr/x
b.IP报头中的目的地址=x-HA-addr/x
c.归属地址=i-HoA-addr/i
d.归属代理地址=i-HA-addr/i
e.CoA地址=x-HoA-addr/x
i-MIP注册请求可以具有用于i-HA1701的认证扩展值,以及用于x-HA认证的供应商扩展。
当SMG/x-HA1703接收到i-MIP注册请求时,SMG/x-HA1703用用于x-HA认证的供应商扩展执行强认证。SMG/x-HA1703在将i-MIP注册请求发送到i-HA1701之前,将IP报头中的源地址从local-addr/x改变为x-HA-addr/x。在将该请求发送到i-HA1701之前,可以由SMG/x-HA1703除去用于x-HA认证的供应商扩展。
当i-HA1701接收到i-MIP注册请求时,i-HA1701对它进行认证,并且创建i-MIP注册响应。
在图17A和17E之间的差别是,IP报头中的用于SMG/x-HA1703的源地址改变了。
图17F示出了一个响应。当i-HA1701创建i-MIP注册应答时,i-HA1701具有用于移动节点1704的移动绑定表,该移动绑定表具有以下信息:
a.归属地址=i-HoA-addr/i
b.转交地址=x-HoA-addr/x
i-HA1701利用以下信息将i-MIP注册应答发送到SMG/x-HA1703:
a.IP报头中的源地址=i-HA-addr/i
b.IP报头中的目的地址=x-HoA-addr/x
c.归属地址=i-HoA-addr/i
d.归属代理地址=i-HA-addr/i
当SMG/x-HA1703接收到i-MIP注册应答时,SMG/x-HA1703使用以下信息创建用于移动节点1704的反向移动绑定表:
a.源地址=i-HoA-addr/i
b.i-HA地址=i-HA-addr/i
可以由分开MIP隧道使用反向移动绑定。当SMG/xHA1703接收到x-MIP数据包时,SMG/x-HA1703用反向移动绑定构造i-MIP报头。
在将所述应答发送到移动节点1704之前,SMG/x-HA1703将IP报头中的源地址从i-HA-addr/i改变为x-HA-addr/x,并且将目的地址从x-HoA-addr/x改变为local-addr/x。
当移动节点1704接收到i-MIP注册应答时,利用以下的信息在移动节点1704的路由表中添加条目:
a.目的地:i-HA-addr/i,网关:x-MIP隧道
b.目的地:内部网络,网关:i-MIP隧道。
图71B和图17F之间的差别是i-HA1701所发送的IP报头中的目的地址。
图17G和17H示出了利用替换封装的注册。
在图17G中,移动节点1704具有路由表,该路由表具有以下信息:
目的地和网关对。
a.目的地:x-HA-addr/x,网关:移动节点位于其中的外部网络的路由器。
b.目的地:VPNgw-addr/x,网关:x-MIP隧道。
c.目的地:内部网络,网关:x-MIP隧道。
SMG/x-HA1703具有用于移动节点1704的移动绑定表,该移动绑定表具有以下信息:
a.归属地址=x-HoA-addr/x
b.转交地址=local-addr/x
移动节点1704用以下的信息创建i-MIP注册请求,并且将其发送到SMG/x-HA1703:
a.x-MIPIP报头中的源地址=local-addr/x
b.x-MIPIP报头中的目的地址=x-HA-addr/x
c.x-HA认证值
d.IP报头中的源地址=x-HoA-addr/x
e.IP报头中的目的地址=i-HA-addr/i
f.归属地址=i-HoA-addr/i
g.归属代理地址=i-HA-addr/i
h.CoA地址=x-HoA-addr/x
i-MIP注册请求具有用于i-HA的认证扩展值。
i-MIP注册请求在供应商扩展中不具有x-HA认证值。当SMG/x-HA1703接收到i-MIP注册请求时,SMG/x-HA1703用该x-HA认证值执行强认证。在SMG/x-HA1703将i-MIP注册请求发送到i-HA1701之前,它除去x-MIPIP报头和x-HA认证值。
当i-HA1701接收到i-MIP注册请求时,i-HA1701对它进行认证,并且创建i-MIP注册响应。
图17H与图17D相同。
图17I和17J涉及x-MIP和iMIP机载(piggyback)注册。移动节点1704发送包括在x-MIP注册消息中的i-MIP注册消息。移动节点1704可以使用x-MIP消息中的供应商扩展字段用作用于i-MIP注册消息的容器。换句话说,以机载方式将i-MIP注册消息发送到x-MIP消息。
当SMG/x-HA1703接收到机载包时,SMG/x-HA1703以安全的方式对该包信息进行认证,创建i-MIP注册消息,并且将它发送到i-HA1701。
在这种方法中,i-HA1701不是必须具有强认证特征,这是因为注册消息由SMG/x-HA1703认证了。
图17I示出了一个请求。移动节点1704具有如下所示的路由表:目的地和网关对。
a.目的地:缺省,网关:移动节点位于其中的外部网络的路由器。
移动节点1704用以下的信息创建x-MIP和i-MIP注册请求,并且发送它们:
a.IP报头中的x-MIP源地址=local-addr/x
b.IP报头中的x-MIP目的地址=x-HA-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理地址=x-HA-addr/x
e.x-MIPCoA地址=local-addr/x
f.用于x-HA的x-MIP认证扩展值
g.IP报头中的i-MIP源地址=x-HoA-addr/x
h.IP报头中的i-MIP目的地址=i-HA-addr/i
i.i-MIP归属地址=i-HoA-addr/i
j.i-MIP归属代理=i-HA-addr/i
k.i-MPCoA地址=x-HoA-addr/x
l.用于i-HA的i-MIP认证扩展值
当SMG/x-HA1703接收到x-MIP和i-MIP注册请求时,SMG/x-HA1703用用于SMG/x-HA1703的认证扩展值执行强认证。SMG/x-HA1703用以下信息创建具有后一半的i-MIP注册请求:
a.IP报头中的i-MIP源地址=x-HoA-addr/x
b.IP报头中的i-MIP目的地址=i-HA-addr/i
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理=i-HA-addr/i
e.i-MIPCoA地址=x-HoA-addr/x
f.用于i-HA的i-MIP认证扩展值
当i-HA1701接收到i-MIP注册请求时,i-HA1701对它进行认证,并且创建i-MIP注册响应。
在图17J中,当i-HA1701创建i-MIP注册应答时,i-HA1701具有用于移动节点1704的移动绑定表,该移动绑定表具有以下信息:
a.归属地址=i-HoA-addr/i
b.转交地址=x-HoA-addr/x
i-HA1701利用以下信息将i-MIP注册应答发送到SMG/x-HA1703:
a.IP报头中的IP源地址=i-HA-addr/i
b.IP报头中的IP目的地址=x-HoA-addr/x
c.i-MIP归属地址=i-HoA-addr/i
d.i-MIP归属代理地址=i-HA-addr/i
当SMG/x-HA1703接收到i-MIP注册应答时,SMG/x-HA1703使用以下信息创建用于移动节点1704的反向移动绑定表:
a.源地址=i-HoA-addr/i
b.i-HA地址=i-HA-addr/i
可以由分开MIP隧道使用反向移动绑定。当SMG/x-HA1703接收到x-MIP数据包时,SMG/x-HA1703用反向移动绑定构造i-MIP报头。
当SMG/x-HA1703创建x-MIP和i-MIP注册应答时,SMG/x-HA1703使用以下信息创建用于移动节点1704的移动绑定表:
a.归属地址=x-HoA-addr/x
b.转交地址=local-addr/x
SMG/x-HA1703用以下信息在i-MIP注册应答之前添加x-MIP注册应答:
a.IP报头中的源地址=x-HA-addr/x
b.IP报头中的目的地址=local-addr/x
c.x-MIP归属地址=x-HoA-addr/x
d.x-MIP归属代理地址=x-HA-addr/x
当移动节点1704接收到x-MIP和i-MIP注册应答时,用以下信息添加用于路由表的条目:
a.目的地:x-HA-addr/x,网关:移动节点位于其中的外部网络的路由器。
b.目的地:VPNgw-addr/x,网关:x-MIP隧道
c.目的地:i-HA-addr/i,网关:x-MIP隧道
d.目的地:内部网络,网关:i-MIP隧道。
使用VPN隧道的i-MIP注册方法
图18示出了使用VPN隧道的i-MIP注册方法。图18包括通信主机1801、i-HA1802、解封装器1803、VPN网关1804、x-HA1805、和移动节点1806。
为了创建i-MIP/x-MIP隧道,移动节点1806首先创建VPN/x-MIP隧道,并且使用VPN/x-MIP隧道发送i-MIP注册消息。如果移动节点1806已经具有i-MIP/VPN/x-MIP三重隧道,则移动节点1806不必创建新的隧道,而且可以使用已有的VPN/x-MIP隧道。
当VPN/x-MIP隧道就绪时,移动节点1806创建其中IP源地址和i-MIPCoA为x-HoA的i-MIP注册消息。如果移动节点1806仅仅通过VPN/x-MIP隧道发送该信息,则已有的VPN网关1804实现方式可以拒绝它,这是因为在VPN隧道内部地址和它的IP源地址之间地址不匹配。
所以移动节点1806用另一个IP报头封装该i-MIP注册消息,其中该IP报头的源地址是VPN隧道内部地址,目的地址是解封装器1803的预先配置的地址。经封装的包通过VPN/x-MIP隧道传输,并且到达解封装器1803。解封装器对该包进行解封装,并且将内部的i-MIP注册消息转发到i-HA1802。
i-HA1802和解封装器1803可以组合在一起或者保持分离。
在这种方法中,i-HA1802不是必须具有强认证特征,这是因为注册消息通过受到良好保护的VPN网关1804传输。当然,作为替换方法,其可以具有强加密。
使用内部网络的i-MIP注册方法
图19示出了使用内部网络的i-MIP注册方法。图19包括移动节点1901、x-HA1902、i-HA1903、内部网络和外部网络。移动节点1901包括WLAN接口和蜂窝接口(作为网络的示例)。
当移动节点1901从内部网络移动到外部网络中时,移动节点1901可以在出去之前发送i-MIP注册消息。
移动节点1901可以同时具有两个或更多的网络链路,其中一个是到移动节点1901位于其中的内部网络,而另一个是到移动节点1901正要进入其中的外部网络。在这种情况下,移动节点1901已知用于外部网络的位置地址,所以移动节点1901可以在保持内部网络链路的同时,建立x-MIP隧道。然后,移动节点1901创建其中CoA是x-HoA的i-MIP注册消息,并且经由内部网络链路发送该i-MIP注册消息。
在这种方法中,i-HA1903不是必须具有强认证特征,这是因为注册消息在内部网络中传输。作为选择,i-HA1903同样可以包括强认证特征。
已经依据本发明的优选和说明性实施例描述了本发明。本领域普通技术人员在阅读这个公开之后将会想到落入权利要求的范围和精神之内的许多其它实施例、修改和变化。

Claims (8)

1.一种用于在到归属网络的两重隧道和三重隧道连接之间转换的移动节点,包括:
外部移动IP驱动器,用于从第一网络驱动器接收信息;
内部移动IP驱动器,用于从所述外部移动IP驱动器接收信息,并且根据所述信息确定移动节点是否应当从两重隧道切换到三重隧道,并且还用于确定移动节点是否应当从三重隧道切换到两重隧道;
控制器,用于从内部移动IP驱动器接收识别移动节点应当从两重隧道切换到三重隧道还是从三重隧道切换到两重隧道的指示,并且根据接收到的指示在两重隧道和三重隧道之间进行切换。
2.如权利要求1所述的移动节点,
其中,所述内部移动IP驱动器将所述信息转发到所述移动节点中的触发包队列。
3.一种用于对在两重隧道和三重隧道之间的连接进行切换的方法,包括以下步骤:
在移动节点接收包;
在移动节点确定所述包是否为触发包;
如果所述包是触发包,在触发包队列中存储所述包;以及
响应于在所述移动节点接收到所述触发包,对从所述两重隧道到所述三重隧道或者从所述三重隧道到所述双重隧道的连接进行切换。
4.如权利要求3所述的方法,其中,所述包是从网络接收的。
5.如权利要求3所述的方法,其中,所述包是从应用接收的。
6.一种用于对在两重隧道和三重隧道之间的连接进行切换的系统,包括:
用于接收包的装置;
用于确定接收的包是否为触发包的装置;
用于存储所述触发包的装置;以及
用于响应于接收到所述触发包,对在所述两重隧道和所述三重隧道之间的连接进行切换的装置。
7.如权利要求6所述的系统,其中,所述包是从网络接收的。
8.如权利要求6所述的系统,其中,所述包是从应用接收的。
CN200910208858.6A 2003-07-22 2004-07-22 在两重和三重隧道之间进行切换的移动节点、系统和方法 Expired - Lifetime CN101707759B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US48880903P 2003-07-22 2003-07-22
US60/488,809 2003-07-22
US10/895,411 US7978655B2 (en) 2003-07-22 2004-07-21 Secure and seamless WAN-LAN roaming
US10/895,411 2004-07-21
CNB2004800174563A CN100574228C (zh) 2003-07-22 2004-07-22 在内部和外部网络间进行安全和无缝漫游,在双重和三重隧道间切换,以及保护归属代理和移动节点间的通信

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CNB2004800174563A Division CN100574228C (zh) 2003-07-22 2004-07-22 在内部和外部网络间进行安全和无缝漫游,在双重和三重隧道间切换,以及保护归属代理和移动节点间的通信

Publications (2)

Publication Number Publication Date
CN101707759A CN101707759A (zh) 2010-05-12
CN101707759B true CN101707759B (zh) 2016-05-18

Family

ID=34197889

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910208858.6A Expired - Lifetime CN101707759B (zh) 2003-07-22 2004-07-22 在两重和三重隧道之间进行切换的移动节点、系统和方法

Country Status (5)

Country Link
US (4) US7978655B2 (zh)
EP (2) EP2398263B1 (zh)
JP (3) JP4540671B2 (zh)
CN (1) CN101707759B (zh)
WO (1) WO2005018165A2 (zh)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7804826B1 (en) * 2002-11-15 2010-09-28 Nortel Networks Limited Mobile IP over VPN communication protocol
US7978655B2 (en) 2003-07-22 2011-07-12 Toshiba America Research Inc. Secure and seamless WAN-LAN roaming
US7616613B2 (en) * 2004-05-05 2009-11-10 Cisco Technology, Inc. Internet protocol authentication in layer-3 multipoint tunneling for wireless access points
US20060146781A1 (en) * 2004-12-30 2006-07-06 Intel Corporation Acess to cellular services from an internet protocol network
US7685633B2 (en) * 2005-02-25 2010-03-23 Microsoft Corporation Providing consistent application aware firewall traversal
US7602786B2 (en) * 2005-07-07 2009-10-13 Cisco Technology, Inc. Methods and apparatus for optimizing mobile VPN communications
US8170021B2 (en) * 2006-01-06 2012-05-01 Microsoft Corporation Selectively enabled quality of service policy
US9071701B2 (en) * 2006-08-31 2015-06-30 Qualcomm Incorporated Using wireless characteristic to trigger generation of position fix
US8989763B2 (en) * 2008-03-27 2015-03-24 Qualcomm Incorporated Updating position assist data on a mobile computing device
JP4874037B2 (ja) * 2006-09-12 2012-02-08 株式会社リコー ネットワーク機器
US8700784B2 (en) * 2006-10-31 2014-04-15 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for enabling multimedia communication with a private network
US20090129346A1 (en) * 2006-11-06 2009-05-21 Hong Tengywe E Method and Apparatus for Monitoring TCP Sessions in a Mobile Data Network and Developing Corresponding Performance Metrics
US8514698B2 (en) * 2006-11-21 2013-08-20 The Boeing Company Routing and forwarding of packets over a non-persistent communication link
CN105407513A (zh) * 2006-12-01 2016-03-16 西格拉姆申德勒有限公司 将信息递交给主电信过程的至少两个用户的方法和设备
US20100103875A1 (en) * 2007-03-07 2010-04-29 Telefonaktiebolaget Lm Ericsson (Publ) Establishing Parallel Tunnels for Higher Bit Rate
CA2664671C (en) * 2007-03-12 2014-07-08 Nec Corporation Mobile communication system and communication control method
US8184637B2 (en) * 2007-04-04 2012-05-22 Research In Motion Limited Method, system and apparatus for dynamic quality of service modification
KR101398908B1 (ko) * 2007-05-22 2014-05-26 삼성전자주식회사 모바일 아이피를 사용하는 이동 통신 시스템에서 단말의이동성 관리 방법 및 시스템
US7799696B2 (en) 2007-12-20 2010-09-21 Qimonda Ag Method of manufacturing an integrated circuit
CN101547483B (zh) * 2008-03-28 2011-04-20 华为技术有限公司 一种跨网隧道切换的方法及网间互联设备
US20090316650A1 (en) * 2008-05-02 2009-12-24 Electronics And Telecommunications Research Institute Fast handover method using l2/l3 combination
US9401855B2 (en) * 2008-10-31 2016-07-26 At&T Intellectual Property I, L.P. Methods and apparatus to deliver media content across foreign networks
US20110128943A1 (en) * 2009-12-02 2011-06-02 Chang Hong Shan WiFi and WiMAX Internetworking
US20130104207A1 (en) * 2010-06-01 2013-04-25 Nokia Siemens Networks Oy Method of Connecting a Mobile Station to a Communcations Network
US8881261B1 (en) * 2010-06-29 2014-11-04 F5 Networks, Inc. System and method for providing proactive VPN establishment
EP2761935B1 (en) * 2011-09-28 2017-02-01 Smith Micro Software, Inc. Self-adjusting mobile platform policy enforcement agent for controlling network access, mobility and efficient use of local and network resources
US9629018B2 (en) 2014-02-05 2017-04-18 Ibasis, Inc. Method and apparatus for triggering management of communication flow in an inter-network system
US10263903B2 (en) 2014-02-05 2019-04-16 Ibasis, Inc. Method and apparatus for managing communication flow in an inter-network system
US10257869B2 (en) 2014-10-29 2019-04-09 Hewlett Packard Enterprise Development Lp Dynamically including an active tunnel as a member of a virtual network
US9923874B2 (en) * 2015-02-27 2018-03-20 Huawei Technologies Co., Ltd. Packet obfuscation and packet forwarding
CN104753950B (zh) * 2015-04-08 2018-04-13 北京汉柏科技有限公司 一种基于ipsec隧道双链路的报文转发方法及系统
CN104954529B (zh) * 2015-06-09 2018-07-20 深圳市财富之舟科技有限公司 一种手机虚拟来电的方法
US10979890B2 (en) 2016-09-09 2021-04-13 Ibasis, Inc. Policy control framework
CA3047342C (en) * 2016-12-19 2023-04-11 Arris Enterprises Llc System and method for enabling coexisting hotspot and dmz
US10440762B2 (en) * 2017-01-26 2019-10-08 Safer Social Ltd. Automatic establishment of a VPN connection over unsecure wireless connection
US10506082B2 (en) * 2017-03-09 2019-12-10 Fortinet, Inc. High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client
EP3603141B1 (en) 2017-03-30 2021-02-17 iBasis, Inc. Esim profile switching without sms
US10524116B2 (en) 2017-06-27 2019-12-31 Ibasis, Inc. Internet of things services architecture
US10938787B2 (en) * 2017-12-01 2021-03-02 Kohl's, Inc. Cloud services management system and method
JP7243211B2 (ja) * 2019-01-22 2023-03-22 日本電気株式会社 通信管理システム、管理サーバ、vpnサーバ、通信管理方法、及びプログラム
US11741248B2 (en) 2019-08-20 2023-08-29 Bank Of America Corporation Data access control using data block level encryption
US11176264B2 (en) 2019-08-20 2021-11-16 Bank Of America Corporation Data access control using data block level decryption
EP4052414B1 (en) * 2019-12-06 2024-02-07 Samsung Electronics Co., Ltd. Method and electronic device for managing digital keys
US11477112B2 (en) * 2021-03-09 2022-10-18 Cisco Technology, Inc. On-the-fly SD-WAN tunnel creation for application-driven routing

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI105978B (fi) 1998-05-12 2000-10-31 Nokia Mobile Phones Ltd Menetelmä langattoman päätelaitteen kytkemiseksi tiedonsiirtoverkkoon ja langaton päätelaite
JP3113650B2 (ja) 1998-06-12 2000-12-04 日本電信電話株式会社 チェックパケットを用いた通信方式
FI108832B (fi) 1999-03-09 2002-03-28 Nokia Corp IP-reitityksen optimointi accessverkossa
US6254645B1 (en) 1999-08-20 2001-07-03 Genencor International, Inc. Enzymatic modification of the surface of a polyester fiber or article
WO2001031472A1 (en) 1999-10-22 2001-05-03 Telcordia Technologies, Inc. Method and system for host mobility management protocol
US6992994B2 (en) 2000-04-17 2006-01-31 Telcordia Technologies, Inc. Methods and systems for a generalized mobility solution using a dynamic tunneling agent
JP4201466B2 (ja) 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7165173B1 (en) * 2000-09-01 2007-01-16 Samsung Electronics Co., Ltd. System and method for secure over-the-air administration of a wireless mobile station
CA2428712A1 (en) 2000-11-13 2002-05-30 Ecutel System and method for secure network mobility
US6954790B2 (en) 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US7372868B2 (en) * 2000-12-14 2008-05-13 Intel Corporation Mobile agent connectivity
JP3580250B2 (ja) * 2000-12-22 2004-10-20 株式会社デンソー 無線通信システム、ネットワークおよび無線通信システムに用いられる移動端末
JP3670624B2 (ja) * 2001-06-07 2005-07-13 株式会社東芝 移動端末、移動端末の通信方法、移動端末の制御系ドライバ、移動端末の制御系ドライバの処理方法、およびコンピュータプログラム製品
GB2383495A (en) * 2001-12-20 2003-06-25 Hewlett Packard Co Data processing devices which communicate via short range telecommunication signals with other compatible devices
CN1636356A (zh) 2002-01-29 2005-07-06 皇家飞利浦电子股份有限公司 基于网际协议的无线通信方案
ATE321409T1 (de) 2002-07-11 2006-04-15 Birdstep Technology Asa Vorrichtungen und computersoftware zur bereitstellung nahtloser ip-mobilität über sicherheitsgrenzen hinweg
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7685317B2 (en) * 2002-09-30 2010-03-23 Intel Corporation Layering mobile and virtual private networks using dynamic IP address management
US20040103311A1 (en) 2002-11-27 2004-05-27 Melbourne Barton Secure wireless mobile communications
US7978655B2 (en) 2003-07-22 2011-07-12 Toshiba America Research Inc. Secure and seamless WAN-LAN roaming
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
KR100689500B1 (ko) * 2004-04-20 2007-03-02 삼성전자주식회사 이동 네트워크에서 피기배킹을 이용한 경로 최적화 시스템및 방법
US7486951B2 (en) * 2004-09-24 2009-02-03 Zyxel Communications Corporation Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same
US7813319B2 (en) * 2005-02-04 2010-10-12 Toshiba America Research, Inc. Framework of media-independent pre-authentication
EP1956755A1 (en) * 2007-02-08 2008-08-13 Matsushita Electric Industrial Co., Ltd. Network controlled overhead reduction of data packets by route optimization procedure
US20120051321A1 (en) * 2010-08-24 2012-03-01 Clear Wireless Llc Method for seamless ip session continuity for multi-mode mobile stations

Also Published As

Publication number Publication date
JP2012114946A (ja) 2012-06-14
JP2010158048A (ja) 2010-07-15
EP2398263B1 (en) 2016-04-20
US20050163079A1 (en) 2005-07-28
US20120287904A1 (en) 2012-11-15
JP5449425B2 (ja) 2014-03-19
US20110249653A1 (en) 2011-10-13
US20140380470A1 (en) 2014-12-25
EP2398263A3 (en) 2013-07-03
JP4971474B2 (ja) 2012-07-11
CN101707759A (zh) 2010-05-12
JP2007501540A (ja) 2007-01-25
EP1661319B1 (en) 2015-09-09
JP4540671B2 (ja) 2010-09-08
WO2005018165A3 (en) 2005-09-29
US8243687B2 (en) 2012-08-14
EP2398263A2 (en) 2011-12-21
WO2005018165A2 (en) 2005-02-24
US7978655B2 (en) 2011-07-12
US8792454B2 (en) 2014-07-29
EP1661319A2 (en) 2006-05-31

Similar Documents

Publication Publication Date Title
CN101707759B (zh) 在两重和三重隧道之间进行切换的移动节点、系统和方法
JP4431112B2 (ja) 端末及び通信システム
JP4091428B2 (ja) 異種通信ネットワーク間のハンドオーバ方法
KR100679882B1 (ko) 사설 네트워크와 로밍 모바일 단말 사이의 통신
US7428226B2 (en) Method, apparatus and system for a secure mobile IP-based roaming solution
RU2406267C2 (ru) Способ и устройство для динамического назначения домашнего адреса домашним агентом при организации межсетевого взаимодействия множества сетей
US20060245362A1 (en) Method and apparatus for providing route-optimized secure session continuity between mobile nodes
US20070006295A1 (en) Adaptive IPsec processing in mobile-enhanced virtual private networks
US20060182083A1 (en) Secured virtual private network with mobile nodes
US9172722B2 (en) Method for network access, related network and computer program product therefor
Braun et al. Secure mobile IP communication
KR101176391B1 (ko) 네트워크 기반 이동성 관리에서 2 개의 노드들 사이에서 라우팅 최적화를 수행하는 방법
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
CN100574228C (zh) 在内部和外部网络间进行安全和无缝漫游,在双重和三重隧道间切换,以及保护归属代理和移动节点间的通信
Byoung-Jo et al. Simple mobility support for IPsec tunnel mode
CN101091371A (zh) 提供移动节点之间路由优化安全会话连续性的方法和装置
Alshalan MobiVPN: Towards a Reliable and Efficient Mobile VPN
Patel et al. Mobile agents in wireless LAN and cellular data networks
Durr et al. An analysis of security threats to mobile IPv6
Mun et al. Security in Mobile IP

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220112

Address after: Texas, USA

Patentee after: Zhuoxin heritage Co.

Address before: Tokyo, Japan

Patentee before: Toshiba Corp.

Patentee before: Zhuoxin heritage Co.

Effective date of registration: 20220112

Address after: Tokyo, Japan

Patentee after: Toshiba Corp.

Patentee after: Zhuoxin heritage Co.

Address before: Tokyo, Japan

Patentee before: Toshiba Corp.

Patentee before: TELCORDIA TECH Inc.

Effective date of registration: 20220112

Address after: Stockholm, SWE

Patentee after: Telefonaktiebolaget LM Ericsson (publ)

Address before: Texas, USA

Patentee before: Zhuoxin heritage Co.

TR01 Transfer of patent right
CX01 Expiry of patent term

Granted publication date: 20160518

CX01 Expiry of patent term