CN1954309A - 使用ip接入网络的服务网络选择与多穴查找 - Google Patents
使用ip接入网络的服务网络选择与多穴查找 Download PDFInfo
- Publication number
- CN1954309A CN1954309A CNA2005800029102A CN200580002910A CN1954309A CN 1954309 A CN1954309 A CN 1954309A CN A2005800029102 A CNA2005800029102 A CN A2005800029102A CN 200580002910 A CN200580002910 A CN 200580002910A CN 1954309 A CN1954309 A CN 1954309A
- Authority
- CN
- China
- Prior art keywords
- network
- client node
- service
- router
- communication tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5691—Access to open networks; Ingress point selection, e.g. ISP selection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/17—Selecting a data network PoA [Point of Attachment]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
在某些示意性实施例中,提供了基于IP层的网络选择和多穴查找的方法,该方法能够灵活且安全动态选择一个或多个服务网络为客户机节点所使用。该方法独立于任何链路层技术。服务网络可为SSP网络、NAP网络交换设备、VLAN等。向客户机节点公告网络信息,客户机节点为使用接入路由器对其进行认证和授权,并在客户机节点与接入路由器之间建立安全隧道。该方法可通过使用标准协议实现,并可工作在能够携载IP数据报的任何现有或未来链路层技术上,而无需进行任何修改。
Description
技术领域
本发明通常涉及网络通信,更具体而言,优选实施例涉及在单个客户机位置处从多个不同可用供应商中选择通信网络服务供应商。根据某些优选实施例,本发明涉及用户在接入网络上客户机节点处的因特网服务供应商(ISP)选择与多穴查找(multihoming)。
背景技术
多穴查找是通过两个或多个ISP同时或动态地连接到因特网的技术。多穴查找具有多方面优点,包括一旦一个ISP失效则提供到公共因特网的基本备份连接,改善的区域和本地连通性,增大的带宽和能够提高性能的负载共享的有效性。目前,存在有在单个用户位置处多个ISP可用的许多情形。例如,家庭用户能够通过拨号连接选择一个ISP,通过电缆或DSL(数字用户线)调制解调器连接选择另一ISP。
使用PPPoE(以太网上的点对点协议)进行IP封装的DSL供应商可允许用户从多个相连的ISP中选择其中之一,这或者在最初签字期间静态地实现,或通过使用用户在PPP认证期间提供的NAI(网络接入标识符)或通过在PPPoE发现阶段中传递ISP信息动态地实现。
在IEEE 802 LAN(局域网)中,VLAN(虚拟LAN)用于将LAN划分成多个更小的LAN。VLAN是这样的计算机的网络,这些计算机即使实际在物理上处在LAN的不同段上,仍表现为仿佛它们互连到同一线路。除可通过硬件配置外,VLAN可通过软件配置,这使得它们极为灵活。当通过有线以太网连接将客户机节点连接到VLAN时,在大多数情形中,静态地配置客户机节点的以太网端口与VLAN之间的映射。在公共无线LAN环境中,接入点公告的IEEE 802.11 SSID(服务设置标识符)可包含服务供应商信息。SSID还用于通过创建SSID与VLAN之间的静态映射,动态地选择VLAN,以便通过指定特定SSID而与接入点相关联的工作站被连接到映射到该SSID的特定VLAN。
用于选择ISP或VLAN的现有方法与特定链路层技术(即,PPP和IEEE802.11)紧密联系在一起,因此,难以应用到所有链路层技术上。这样,在接入网络为异构型网络或者在对客户机节点的VLAN分配中需要更多灵活性的情形中,需要有一种独立于任何链路层技术的IP(网际协议)层方法。
作为简单IP层方法,可在接入网络中设置多个接入路由器,其中,每个接入路由器与特定ISP或VLAN相连,从而,在接入网络上的客户机节点能够选择特定的接入路由器来发送与接收数据包。然而,简单方法有两个问题。首先,在多个ISP或VLAN间的接入网络中会出现信息泄漏,当接入网络使用多种接入技术时尤为如此。其次,如果在接入路由器处执行入口过滤,则在允许具有单个物理接口的客户机节点同时与两个或更多个ISP或VLAN相连的情形中,简单方法难以执行。入口过滤是用于防止这样的情况,即攻击者注入具有伪造源IP地址的数据包的技术,仿佛这些数据包是在与接入路由器连接到的接入网络不同的网络中产生的。在采用入口过滤的接入网络中,在接入网络中生成的数据包仅在其源地址具有由路由器对接收该数据包的网络接口所指派的网络前缀时,才能够通过接入路由器。然而,当对给定接口指定具有不同网络前缀的多个可路由IP地址时,大多数主机实现方式不提供用于选择合适源地址的任何方法,这将是启用与不同ISP或VLAN的同时连接的情形。
从而,本领域中,需要一种能够防止出现任何信息泄漏以及防止IP地址欺骗攻击的方法。
发明内容
本发明的优选实施例能够明显改善现有方法和/或装置。在某些实施例中,本发明提供优于上述方法的重大改进。
根据本发明的一个方面,提供了一种用于网络选择和多穴查找的新的基于IP层的模型,该模型使得能够灵活且安全地动态选择一个或多个服务网络,其中,服务网络为ISP网络,NAP(网络接入点)网络交换设施,VLAN等。根据一个优选实施例的基于IP层的模型包括三个阶段。在第一阶段,向客户机节点公告网络信息,在第二阶段,为使用接入路由器而对客户机节点进行认证和授权,在第三阶段,在客户机节点与接入路由器之间建立安全隧道。本发明模型可通过使用标准协议实现,并可工作在能够传递IP数据包的任何现有或未来链路层技术上,而不必进行任何修改。
特别是,根据一个优选实施例,本发明提供了将客户机节点动态连接到服务网络的方法,包括步骤:提供客户机节点与之具有网络连接的接入网络;提供与所述接入网络具有网络连接且与至少一个服务网络具有网络连接的至少一个接入路由器;向所述客户机节点发送服务网络供应商公告信息;从所述客户机节点接收用于指明所述客户机节点期望接入的服务网络的服务网络供应商信息;以及通过所述接入网络在所述客户机节点与所述接入路由器之间建立通信隧道,使得所述客户机节点能够通过所述接入网络,在所述通信隧道内向所述客户机节点指定的服务网络发送数据包和从该服务网络接收数据包。
根据第二方面,本发明提供一种将客户机节点与多个因特网服务供应商连接的方法,包括步骤:提供接入网络,通过该接入网络,所述客户机节点可与所述多个因特网服务供应商进行通信;以及在所述接入网络内为所述多个因特网服务供应商的每一个建立各自的通信隧道,使得所述客户机节点能够通过所述接入网络,在所述各自通信隧道内向每个所述因特网服务供应商发送数据包和从该服务供应商接收数据包。
根据第三方面,本发明提供了一种将客户机节点与服务网络连接的方法,包括步骤:提供与至少两个服务网络具有网络连接的接入路由器;从所述客户机节点接收指明所述客户机节点期望接入的服务网络的服务网络信息;通过所述接入网络在所述客户机节点与所述接入路由器之间建立通信隧道,使得所述客户机节点能够通过接入网络,在所述通信隧道内向所述客户机节点指定的服务网络发送数据包和从该服务网络接收数据包;以及通过使用所述指定服务网络的服务网络信息作为所述通信隧道的安全关联标识符,将所述通信隧道绑定到所述指定服务网络。
结合附图,通过后面的描述,将进一步理解各种实施例的上述和/或其他方面,特征和/或优点。各种实施例可包括和/或不包括可适用的不同方面,特征和/或优点。此外,各种实施例可将可适用的其他实施例的一个或多个方面或特征组合。关于个别实施例的方面,特征和/或优点的描述不应构成对其他实施例或权利要求的限制。
附图说明
在附图中,示意性地而非限定性地显示出本发明的优选实施例,其中:
图1表示根据本发明一个优选实施例的物理网络拓扑的视图;
图2表示根据本发明一个优选实施例在图1所示拓扑图之上逻辑网络拓扑的视图;
图3表示根据本发明一个优选实施例使用ISP和NAP的网络拓扑的视图;
图4和5表示根据本发明一个优选实施例使用接入VLAN和服务VLAN的网络拓扑的视图;
图6和7表示根据本发明一个优选实施例使用虚拟接入点的网络拓扑的视图;以及
图8表示根据本发明一个优选实施例使用远程网络的网络拓扑的视图。
具体实施方式
尽管本发明可表现为许多不同的形式,但基于这样的理解在这里描述多个示意性实施例,即本发明所披露的内容应被视作提供本发明的原理示例,且这些示例并不意在将本发明局限为此处所描述和/或此处所示的优选实施例。
图1中表示出根据本发明优选实施例的建议IP层模型的示例性物理拓扑。如图所示,IP接入网络101包括接入路由器AR1和AR2,以及客户机节点103。出于简单考虑,未示出接入网络上的其他节点。接入路由器AR1与服务网络N1相连,接入路由器AR2与服务网络N2和N3相连。在IP接入网络101中,通过使用对接入网络内通信有效的可路由或不可路由的IP地址,客户机节点103可与接入路由器以及其他节点(未示出)进行通信。当客户机节点103需要通过服务网络发送或接收数据包时,它通过IP接入网络利用IP安全协议(IPSec隧道)建立到该服务网络的接入路由器的安全隧道(逻辑接口)。隧道化允许一个网络通过另一网络的连接发送其数据,并通过在第二网络所传递的数据包内封装网络协议来运作。例如,PPTP(点对点隧道协议)技术使得组织机构能够使用因特网在VPN(虚拟专用网)上发送数据。这是通过将其自身的网络协议插入到因特网所传递的TCP/IP数据包内来实现。
所建立的IPSec隧道是为通过接入路由器的数据包提供机密性、完整性和重现保护的安全逻辑接口,它还可防止数据包泄漏到其他服务网络。此外,IPSec隧道在节点的物理接口上建立逻辑隧道接口。这保证将特定接口地址(即,指派给特定逻辑隧道接口的地址)用作为转发到相应接入路由器的数据包的源地址。采用入口过滤的接入路由器从不会丢弃具有这样源地址的数据包,因为它将包含由接入路由器指派给逻辑接口的网络前缀。
图2表示出在图1所示物理拓扑之上的示例性逻辑拓扑。如图所示,客户机节点103具有三个IPSec隧道201,202和203,每个隧道均与不同的逻辑接口L1,L2或L3相关联。逻辑接口L1,L2和L3分别用于通过特定服务网络N1,N2和N3发送和接收数据包。服务网络N1,N2和N3可为ISP,NAP,VLAN,或类似服务网络。与逻辑接口L1相对应的IPSec隧道201终结于接入路由器AR1处。与逻辑接口L2和L3相对应的IPSec隧道202和203终结于接入路由器AR2处。
客户机节点103的每个逻辑接口L1,L2和L3的接口地址是从相应服务网络的地址块中指派的。在所示示例中,客户机节点103能够通过三个服务网络N1,N2和N3之中的任何网络发送和接收数据包。当然,客户机节点也可建立仅到其中一个或两个服务网络,而并非是到所有三个服务网络的连通性。具有到接入网络在线连通性的客户机节点可为工作站或路由器。
客户机节点103能够使用作为用于与接入网络101中其他节点进行通信的可路由地址或不可路由地址的IP地址。不允许路由器转发不可路由地址,而路由器能够转发可路由地址。不可路由地址的示例为IPv4链路本地地址或IPv6链路本地地址,对此,客户机节点103能够自动生成该地址。尤其在使用IPv6链路本地地址时,可使用SEND(安全邻居发现,SEcure Neighbor Discovery)保护IPv6邻居发现交换。当使用可路由地址时,使用包括DHCP(动态主机配置协议),DHCPv6或IPv6地址自动配置的任何方法,可将其进行静态或动态的配置。
对于提供服务的服务网络,诸如公共服务接入网络而言,如果安全性并不是至关重要的,则没有必要使用IPSec密钥管理协议建立隧道。在这样的情形中,可使用其他IP隧道化方案,例如,IP-in-IP或GRE(通用路由封装)。
服务网络信息公告
许多无线LAN热点服务供应商当前使用包含在广播信标帧中的802.11 SSID,以便向无线客户机公告服务供应商信息。称为虚拟接入点(VAP)的技术可将该应用进行扩展,以便将单个物理接入点划分成多个虚拟接入点,通过为每个VLAN公告各不相同的SSID,使每个虚拟接入点的行为如同它作为不同的物理接入点那样。VAP的缺点在于,它与特定接入技术紧密联系在一起,难以应用到其他接入技术。另一缺点在于,信标帧占用更多带宽,从而将使总数据通信吞吐量减小。例如,如果有10个虚拟接入点,每个虚拟接入点每100毫秒生成一信标帧,用户站每10毫秒将接收一信标帧,在这种情形中,超过30%的IEEE802.11b链路带宽将被信标帧占用。
相比之下,根据本发明,将网络层协议用于向接入网络101上的客户机节点公告服务网络信息。当可路由网络是ISP或NAP网络时,可按每个服务供应商公告服务供应商标识符和供应商名称的数据对,其中,供应商标识符作为用于识别供应商的惟一标识,供应商名称是表示供应商的名称的字符串。当服务网络为VLAN时,可按每个VLAN公告VLAN标识符和VLAN名称,其中,VLAN标识符作为用于识别VLAN的惟一标识,VLAN名称是表示VLAN的名称的字符串。当接入网络也不是VLAN时,可通过IP发送VLAN公告信息。
根据本发明的一个优选实施例,通过使用PANA(用于传递对于网络接入的认证信息的协议)公告关于服务网络的信息。在某些情形中,对于基于IP的设备,在被授权使用它之前,需要向网络对其本身进行认证。该认证通常需要能够支持各种认证方法的协议。在大多数链路层上缺少这样的认证协议的情况下,体系结构诉诸于使用许多不充分的认证方法。PANA定义出一种协议,该协议允许客户机使用IP协议向接入网络认证其自身,该IP协议允许客户机与站点的后端AAA(认证、授权和核计)基础设施进行交互,以便无需理解在站点处所用特定AAA基础设施协议的条件下获得接入。它还允许在没有链路层专用机制的条件下进行这样的交互。PANA可应用于多接入和点到点链路。本发明利用PANA协议向接入网络上的客户机节点提供服务网络信息。
PANA是客户机-服务器类型的协议,其中,客户机和服务器被分别称为PaC(PANA客户机)和PAA(PANA认证代理)。在本发明中,客户机节点103为PaC。PAA设置在接入网络中,可以或可以不与接入路由器设置在一起。当PAA未与接入路由器设置在一起时,它使用诸如SNMP(简单网络管理协议)或Diameter之类的另一协议,向与PAA要公告的服务网络相连的某些或所有接入路由器发送关于授权客户机的认证信息。
公告序列可按照如下方式执行:
1.Pac发送可在接入网络内多播或对特定PAA单播的PANA-PAA-发现消息。
2.接收到PANA-PAA-发现消息的每个PAA向PaC回送PANA-启动-请求消息。PANA-启动-请求消息包含有关于与PAA相关联的服务网络的信息。
3.接收PANA-启动-请求消息的PaC从接收的消息中提取服务网络信息。
注意,当Pac使用非指定IP地址以便使用PANA接收服务网络信息时,它可不必配置IP地址。在这样的情形中,PAA通过使用层次2专用数据包传递机制以及避开常规IP栈实现,将向PaC发送在IP包中封装的信息。
根据本发明的可选实施例,通过使用IPv4或IPv6的路由器发现机制,可向客户机公告服务网络信息。客户机节点需要配置IP地址,以便通过利用路由器发现来获得服务网络信息。公告序列可按照以下方式执行:
1.客户机节点发送可在接入网络内多播或对特定路由器单播的路由器请求(Router Solicitation)消息。
2.接收到路由器请求消息的每个路由器向回对客户机节点发送路由器公告消息。路由器公告消息包含有关于与该路由器相连的服务网络的信息。
3.接收路由器公告消息的客户机节点从接收的消息中提取服务网络信息。
认证
当将PANA用于公告关于服务网络的信息时,也可将其用于其最初目的,即,对客户机进行认证和授权。IKE(网际密钥交换)也可用于对客户机进行认证。当将IKE用于客户机认证时,客户机节点能够立即建立安全隧道。IKE是结合IPSec标准一起使用的密钥管理协议标准。IPSec是提供IP包的鲁棒认证和加密的IP安全特性。
另一方面,当PAA未与接入路由器处在一起时,PANA总是用于对客户机进行认证。当将PANA用于客户机认证时,认证过程从前一部分中的步骤3继续:
4.Pac响应PANA-启动-请求消息向PAA发送PANA-启动-应答消息。通过在PANA-启动-应答消息中插入关于期望服务网络的信息,Pac可指定一个或多个它希望接入的服务网络。
5.然后,PAA发送PANA-认证-请求消息,该消息携载有EAP(可扩展认证协议)消息和PANA会话标识符。PANA-认证-请求消息可包含关于与正在进行的认证相关联的服务网络的信息。EAP是也支持多种认证方法(例如,令牌卡、一次性密码、证书、公开密钥认证和智能卡)的通用认证协议。认证的目标在于确认客户机或用户的身份。
6.Pac响应PANA-认证-请求消息返回PANA-认证-应答消息,该消息携载有EAP消息。
7.根据需要重复步骤5和6,直至EAP认证过程完成。
8.当EAP认证过程完成时,PAA向PaC发送PANA-绑定-请求消息,该消息包含有EAP成功/失败消息。如果EAP认证成功完成,则在该消息中额外包含与PAA相关联的接入路由器的IP地址列表。如果PAA未与接入路由器定位在一起,在消息中额外包含与PAA相关联并与服务网络相连的接入路由器的名称列表。PANA-绑定-请求可包含关于PAA对PaC授权接入的服务网络的信息。如果客户机认证失败,则客户机节点将被拒绝接入到任何服务网络。
9.PaC向PAA返回PANA-绑定-应答消息。
10.当对于多于一个的服务网络需要进行EAP认证时,针对每个服务网络重复步骤5至9。
在以上序列中,假设使用至少一个能够得出EAP主会话密钥(MSK)的EAP认证方法。得出的MSK在PaC与PAA之间共享。当利用得出的MSK成功完成EAP认证过程时,PAA向与PAA相关联并与步骤4中由PaC指定的服务网络相连的每个接入路由器,发送至少以下信息,以便授权PaC接入到服务网络:
●PANA会话标识符
●从MSK得出的IKE预共享秘密数据
建立到接入路由器的安全隧道
当成功完成服务网络公告信息以及客户机节点认证(在对于公告和认证使用PANA的情形中)的接收或成功接收服务网络公告信息(在使用路由器发现的情形中)时,客户机知道哪个与PAA相关联的接入路由器与哪个(些)服务网络相连。然后,客户机能够与任何接入路由器执行IKE,以建立IPSec隧道。
IKE是在因特网安全关联与密钥管理协议(ISAKMP)框架内实现Oakley密钥交换和Skeme密钥交换的一种混合协议。(ISAKMP,Oakley和Skeme是由IKE实现的安全协议)。IPSec是提供参与对等方之间数据机密性、数据完整性和数据认证的开放标准框架。IPSec在IP层提供这些安全服务;它使用IKE基于本地策略处理协议和算法的协商,以及生成IPSec所要使用的加密和认证密钥。可使用IPSec保护在一对主机之间、一对安全网关之间,或在安全网关与主机之间的一个或多个数据流。
如果认证是在进入安全隧道建立阶段之前执行,则将在认证过程中得出的IKE预共享密钥用于IKE,以便对IKE端点进行认证(从而,在IKE协商内不执行任何其他客户机认证)。客户机可使用在接入网络中的PANA会话标识符或有效IP地址作为在IKEv1中的ISAKMP安全关联(ISAKMP SA)标识符或在IKEv2中的IKE_SA标识符。当使用IP地址作为IKEv1中的ISAKMP SA标识符时,需要使用IKEv1主模式。
否则,如果在进入安全隧道建立阶段之前未执行客户机认证,则在IKE协商内必须执行除使用IKE预共享密钥之外的认证过程。在此情形中,使用专用于认证过程的标识符。
当接入路由器与多个服务网络(例如,图1中的接入路由器AR2)相连时,需要一种用于将IPSec隧道绑定到特定服务网络的机制,以便接入路由器能够(1)从服务网络的地址块中指派IPSec隧道内部地址,(2)在客户机与服务网络之间转发数据包。可通过使用关于服务网络的信息作为IPSec SA标识符证书,在IKE协商中产生绑定。以此方式,可在均绑定到不同服务网络的客户机节点与接入路由器之间建立多个IPSec隧道,如图2所示。可采用多种方案,例如,用于整个接入网络的单个PANA认证和会话标识符,用于每个接入路由器的单个PANA认证和标识符,或用于每个服务网络的单个PANA认证和标识符。在对于每个服务网络都进行认证的情形中,可将PANA会话标识符用作为IKE的标识符,但在其他情形中,客户机必须针对特定服务网络使用/生成IKE的惟一标识符,或在IKE期间可能需要其他信息/标识符交换/协商。
当使用IKEv2来建立IPSec隧道时,也可在均绑定到服务网络的客户机节点与接入路由器之间建立多个IPSec隧道。当接入路由器仅与一个服务网络相连时,仅有一个绑定,且可使用其他标识符。
在IKE协商期间可由终结隧道的接入路由器指派IPSec隧道SA的内部地址。例如,IKEv2定义了配置有效载荷交换,以便指派IPSec隧道内部地址。当在IKE协商中未指派内部地址时,可通过建立的IPSec隧道执行DHCP。在任何情形中,指派的IPSec内部地址对于绑定到IPSec SA的服务网络一定有效。在IKE协商中也可指派其他配置信息,例如,子网前缀(或网络掩码)、DNS(域名系统)服务器地址,或DHCP服务器地址。此外,当客户机节点为IPv6路由器时,通过经由建立的IPSec隧道运行具有前缀委派选项的DHCPv6,也能指派从服务网络委派的IPv6前缀。在此情形中,在客户机路由器作为其到服务网络的客户机侧网关的其他客户机节点当中,可共享委派的前缀。
接入路由器可对其终结的IPSec隧道执行服务质量(QoS)控制,以便在来自不同客户机节点的IPSec隧道当中和/或在来自同一客户机节点的IPSec隧道当中提供有区别的服务。关于服务网络的公告信息也可包含QoS信息,以便客户机节点能够在IKE中的IPSec SA协商期间指定QoS信息。
本发明也允许在同一接入网络上的多个接入路由器与同一服务网络相连。这样,可在接入路由器当中实现负载均衡。当在服务网络公告和认证中使用PANA时,可使用在认证阶段期间在PANA-绑定-请求消息中包含的接入路由器列表来识别哪个接入路由器与哪个服务网络相连。
广播和/或多播业务也可通过IPSec隧道发送。接入路由器可具有用于允许和禁止广播/多播业务通过IPSec隧道发送的配置选项。
具有到接入路由器的IPSec隧道的客户机节点可以不使用IPSec隧道针对接入网络中其他节点发送或接收数据包。这样的数据包包括例如到接入网络中本地打印机的打印数据的应用业务。
应用场景
当将本发明用于DSL或无线LAN热点时,服务网络可为ISP网络或NAP交换网络。接入网络通常为单个NAP所拥有,但也可由多个NAP共享同一接入网络。当单个NAP 301拥有接入网络101时的示例性物理拓扑如图3所示。
在该示例中,客户机节点103能够有选择性地建立到ISP1,ISP2,ISP3或NAP 301所拥有的一个,一些或所有服务网络的连通性。当使用PANA对客户机节点进行认证时,可在单个PANA会话中执行两个EAP认证,一个用于ISP,另一个用于NAP,其中可能使用不同的客户机标识符。当客户机节点103创建到不同ISP的多个IPSec隧道时,实现多穴查找。对于每个供应商(ISP或NAP),可将供应商的标识符和名称用作为服务网络信息。
用于VLAN应用的示例性物理拓扑如图4-8所示。VLAN拓扑主要用于企业网络配置。在图4所示示例中,在网络中配置有四个VLAN。接入VLAN 401是作为客户机节点103的接入网络。服务VLAN 402-404是作为服务网络的VLAN。到服务VLAN的连通性仅通过在客户机节点103与接入路由器AR1和AR2(接入路由器可为在同一物理网络中配置VLAN的虚拟路由器)之间建立的IPSec隧道实现。对于每个服务VLAN,将VLAN的标识符和名称用作为服务网络信息。
接入路由器也可由多个接入VLAN 501和502组成,如图5所示。该配置用于划分接入网络中的业务(如同传统VLAN网络那样),以便客户机节点103可通过接入VLAN 501建立到服务VLAN 402-404的连接,客户机节点104可通过接入VLAN 502建立到服务VLAN 402-404的连接,同时仍允许客户机节点创建到服务VLAN的动态绑定。
下面,将参照图6和7,解释如何将本发明与基于虚拟接入点(VAP)的层次2动态VLAN模型一起使用。虚拟接入点是存在于物理接入点(AP)内的逻辑实体。当单个物理AP支持多个虚拟AP时,每个虚拟AP对客户机站点表现为独立物理AP,即便仅出现单个物理AP也是如此。例如,在单个物理AP内可能存在多个虚拟AP,每个虚拟AP公告不同的SSID和能力集。假设将IEEE 802.11 SSID用作为用于识别VLAN的信息。当本发明应用于VAP时,存在两个可选配置,这将在下面进行描述。也可将这两个配置进行组合。
如果AP支持像IPSec(或IEEE 802.11i)那样强大的安全接入机制和动态VLAN功能(即,处理多个VLAN的能力),则可将AP直接(虚拟)连接到其中对于每个服务VLAN有不同的SSID与之相关联的服务VLAN,如图6所示。客户机节点103利用本发明通过有线以太网连接601连接到服务VLAN 1-3,而无线客户机节点104(其支持IEEE802.11i)通过到虚拟AP 3的无线连接可直接与服务VLAN相连。然而,无线客户机将不能同时与多个服务VLAN连接,除非它具有多个无线LAN卡(或支持在单个物理层上的某种“虚拟站”接口)。
如果AP支持动态VLAN功能,但不支持像IPSec那样强大的安全接入机制,则网络管理员将不会允许AP直接与服务VLAN相连,但它可与接入VLAN相连,如图7所示。在此情形中,客户机节点103(104)首先通过虚拟AP 701(702)与接入VLAN 501(502)相连,然后,使用本发明建立到服务VLAN 402-404的连通性。
如图8所示,客户机节点103可能想要从远程网络站点801连接到服务VLAN 402-404。假设客户机节点103知道PAA或接入路由器AR1或AR2的IP地址,以便接收服务供应商公告信息,则本发明能够支持这样的情形。这是因为,接入路由器和PAA都不向远程网络广播供应商信息。
当客户机节点从外部网络通过在DMZ(非军事化区(DeMilitarizedZone),是处在可信内部网络例如公司专用LAN与不可信外部网络例如公共因特网之间的计算机或小型子网)中的防火墙连接到内部网络时,出现以下情形:
●如果内部网络管理策略要求来自外部网络的所有接入要通过DMZ中IPSec网关利用IPSec进行保护(例如,在服务VLAN的接入路由器设置在内部网络中的情况下)——在此情形中,通过在客户机节点与服务VLAN的接入路由器之间建立的IPSec隧道发送的数据包,将利用在客户机节点与IPSec VPN网关之间建立的另一IPSec隧道进行保护(双IPSec)。
●如果内部网络管理策略要求来自外部网络的所有接入要通过IPSec保护,但IPSec网关不必处在DMZ中——在此情形中,无需附加的IPSec隧道。
本发明也可采用以下方式与移动IP(例如,MIPv4)一起使用。首先,由于本发明允许客户机节点动态地从一个服务网络切换到另一服务网络,对于当切换发生时需要与其相应节点保持持久连通性的应用,需要稳定的IP地址(应该注意,切换可发生在不发生物理移动的移动客户机节点上)。通过使用移动IP,可使用归属地址作为稳定IP地址。
其次,与服务网络相连的移动客户机节点可从一个接入网络所覆盖的区域物理移动到另一接入网络所覆盖的区域,其中,接入网络可为服务网络的接入网络或在远程网络中的接入网络。通过使用移动IP,客户机节点能够在不损失应用连接的条件下在不同接入网络间无缝移动。
在这两种情形中,在数据包中包含归属地址的IP报头出现在IPSec隧道报头内。在客户机节点通过DMZ从外部站点连接到内部服务网络的情形中,可使用附加移动IP支持外部移动性。
在VLAN情形中,如果移动客户机节点建立到多个服务VLAN的连通性,且每个服务VLAN使用其自己的归属代理,则客户机节点可通过使用多个归属地址并行运行双移动IP。以上讨论也可应用于使用移动IPv6代替移动IP的情形。
本发明的广泛应用
尽管在此描述了本发明的示意性实施例,不过,本发明并不局限于此处所述各种优选实施例,而是包括具有本领域技术人员基于本发明所披露的内容会理解的修改、省略、组合(例如,在多个实施例上多个方面的组合)、变型和/或变化的任何和所有实施例。权利要求中的限制应基于在权利要求中所用语言进行广泛理解,不应限制到在本发明说明书中或本申请审理期间所描述的示例,这些示例不应被解释为具有排他性。例如,在本发明披露的内容中,术语“优选”是非排他的,表示“优选,但不限于”。仅在对于特定权利要求限定,该限定中出现所有以下条件的情况下使用装置加功能或步骤加功能的限定:a)清楚地记载″用于...的装置″或″用于...的步骤″(即,非步骤);b)清楚地记载相应功能;和c)未记载结构、材料或支持该结构的操作。在本发明披露内容中以及本申请审理期间,术语“本发明”或“发明”可用来指本披露内容内的一个或多个方面。本发明或发明的表述不应被不适当地解释为关键程度的标识,不应被不适当地解释为适用于所有方面或实施例(即应当理解,本发明具有若干方面和实施例),并且不应被不适当地解释为限制申请或权利要求的范围。在本公开中,以及在本申请的审理期间,术语″实施例″能够用于描述本发明的任何方面、特性、过程或步骤、其任何组合、和/或其任何部分、等等。在某些例子中,各个实施例可以包含重叠特性。
Claims (27)
1.一种将客户机节点动态连接到服务网络的方法,包括步骤:
提供客户机节点与之具有网络连接的接入网络;
提供与所述接入网络具有网络连接且与至少一个服务网络具有网络连接的至少一个接入路由器;
向所述客户机节点发送服务网络供应商公告信息;
从所述客户机节点接收用于指明所述客户机节点期望接入的服务网络的服务网络供应商信息;以及
通过所述接入网络在所述客户机节点与所述接入路由器之间建立通信隧道,使得所述客户机节点能够通过所述接入网络,在所述通信隧道内向所述客户机节点指定的服务网络发送数据包和从该服务网络接收数据包。
2.根据权利要求1所述的方法,还包括,在建立所述通信隧道前对所述客户机节点进行认证的步骤。
3.根据权利要求1所述的方法,还包括,提供与所述接入网络具有网络连接且与至少两个服务网络具有网络连接的第二接入路由器的步骤。
4.根据权利要求3所述的方法,其中,当所述客户机节点所指定的服务网络与所述第二接入路由器相关联时,所述建立步骤还包括,通过将所述指定的服务网络的服务网络信息用作为所述通信隧道的安全关联标识符,将所述通信隧道绑定到与所述第二接入路由器相关联的所述指定服务网络的步骤。
5.根据权利要求1所述的方法,其中,所述接入路由器具有到至少两个服务网络的网络连接,所述方法还包括通过所述接入网络在所述客户机节点与所述接入路由器之间建立第二通信隧道,使得所述客户机节点能够有选择地向所述两个服务网络的每一个发送数据包和从其接收数据包的步骤。
6.根据权利要求1所述的方法,还包括提供与所述接入网络具有网络连接且与至少一个服务网络具有网络连接的第二接入路由器的步骤,所述方法还包括通过所述接入网络在所述客户机节点与所述第二接入路由器之间建立第二通信隧道,使得所述客户机节点能够通过所述通信隧道有选择地向与所述接入路由器相关联的所述服务网络的每一个发送数据包和从其接收数据包的步骤。
7.根据权利要求1所述的方法,其中,所述发送服务网络供应商公告信息的步骤包括使用PANA协议的步骤。
8.根据权利要求1所述的方法,其中,所述发送服务网络供应商公告信息的步骤包括使用路由器发现机制的步骤。
9.根据权利要求1所述的方法,其中,所述至少一个服务网络包括因特网服务供应商网络。
10.根据权利要求1所述的方法,其中,所述至少一个服务网络包括网络接入供应商网络。
11.根据权利要求1所述的方法,其中,所述至少一个服务网络包括VLAN网络。
12.根据权利要求11所述的方法,还包括在所述VLAN服务网络中提供虚拟接入点的步骤,通过所述虚拟接入点,客户机节点可以直接连接到所述VLAN服务网络。
13.根据权利要求1所述的方法,其中,所述接入网络包括IP接入网络。
14.根据权利要求1所述的方法,其中,所述接入网络包括VLAN接入网络。
15.根据权利要求14所述的方法,其中,将所述VLAN接入网络划分成多个VLAN接入子网。
16.根据权利要求14所述的方法,还包括在所述VLAN接入网络中提供虚拟接入点的步骤,通过所述虚拟接入点,客户机节点可以连接到所述VLAN接入网络。
17.根据权利要求1所述的方法,其中,所述客户机节点通过远程网络连接到所述接入网络
18.根据权利要求1所述的方法,其中,建立所述通信隧道的步骤包括使用IPSec密钥管理协议的步骤。
19.根据权利要求1所述的方法,其中,所述客户机节点为移动节点,且所述客户机节点到所述接入网络的所述网络连接为无线连接。
20.根据权利要求1所述的方法,其中,所述通信隧道为安全通信隧道。
21.根据权利要求20所述的方法,还包括使用IPSec密钥管理协议建立所述安全通信隧道的步骤。
22.一种将客户机节点连接到多个因特网服务供应商的方法,包括步骤:
提供接入网络,通过该接入网络,所述客户机节点可与所述多个因特网服务供应商进行通信;以及
在所述接入网络内为所述多个因特网服务供应商的每一个建立各自的通信隧道,使得所述客户机节点能够通过所述接入网络,在所述各自通信隧道内向每个所述因特网服务供应商发送数据包和从该服务供应商接收数据包。
23.根据权利要求22所述的方法,其中,所述通信隧道为安全通信隧道。
24.根据权利要求23所述的方法,还包括使用IPSec密钥管理协议建立所述安全通信隧道的步骤。
25.一种将客户机节点与服务网络连接的方法,包括步骤:
提供与至少两个服务网络具有网络连接的接入路由器;
从所述客户机节点接收指明所述客户机节点期望接入的服务网络的服务网络信息;
通过所述接入网络在所述客户机节点与所述接入路由器之间建立通信隧道,使得所述客户机节点能够通过接入网络,在所述通信隧道内向所述客户机节点指定的服务网络发送数据包和从该服务网络接收数据包;以及
通过使用所述指定服务网络的服务网络信息作为所述通信隧道的安全关联标识符,将所述通信隧道绑定到所述指定服务网络。
26.根据权利要求25所述的方法,其中,所述通信隧道为安全通信隧道。
27.根据权利要求26所述的方法,还包括使用IPSec密钥管理协议建立所述安全通信隧道的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/761,347 | 2004-01-22 | ||
| US10/761,347 US7860978B2 (en) | 2004-01-22 | 2004-01-22 | Establishing a secure tunnel to access router |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1954309A true CN1954309A (zh) | 2007-04-25 |
| CN100507895C CN100507895C (zh) | 2009-07-01 |
Family
ID=34794818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005800029102A Expired - Fee Related CN100507895C (zh) | 2004-01-22 | 2005-01-21 | 使用ip接入网络的服务网络选择与多穴查找 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7860978B2 (zh) |
| EP (1) | EP1709547B1 (zh) |
| JP (1) | JP4675909B2 (zh) |
| KR (1) | KR100826736B1 (zh) |
| CN (1) | CN100507895C (zh) |
| WO (1) | WO2005072276A2 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102484840A (zh) * | 2009-08-17 | 2012-05-30 | 英特尔公司 | 无线网络中利用统一安全控制平面进行动态服务协商的方法和系统 |
| CN102598739A (zh) * | 2009-10-28 | 2012-07-18 | 讯宝科技公司 | 用于使用无线网络对远程网络进行安全访问的系统和方法 |
| CN104243465A (zh) * | 2014-09-09 | 2014-12-24 | 京信通信系统(中国)有限公司 | 一种基于wlan的ipsec的实现方法及装置 |
| CN102282547B (zh) * | 2009-01-07 | 2015-07-29 | 惠普开发有限公司 | 网络连接管理器 |
| CN106961355A (zh) * | 2017-04-01 | 2017-07-18 | 国家电网公司 | 网络系统及用共享备用路由器实现网络故障恢复的方法 |
| WO2018112716A1 (en) * | 2016-12-19 | 2018-06-28 | Arris Enterprises Llc | System and method for enabling coexisting hotspot and dmz |
| CN108494773A (zh) * | 2012-06-27 | 2018-09-04 | J2全球Ip有限公司 | 计算机实现的方法和第一便携式电子设备 |
| US20210105253A1 (en) * | 2019-10-07 | 2021-04-08 | Cameron International Corporation | Security system and method for pressure control equipment |
Families Citing this family (95)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI118170B (fi) * | 2002-01-22 | 2007-07-31 | Netseal Mobility Technologies | Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi |
| US7421736B2 (en) * | 2002-07-02 | 2008-09-02 | Lucent Technologies Inc. | Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network |
| US7978655B2 (en) * | 2003-07-22 | 2011-07-12 | Toshiba America Research Inc. | Secure and seamless WAN-LAN roaming |
| US7533407B2 (en) * | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US7676599B2 (en) * | 2004-01-28 | 2010-03-09 | I2 Telecom Ip Holdings, Inc. | System and method of binding a client to a server |
| US10375023B2 (en) | 2004-02-20 | 2019-08-06 | Nokia Technologies Oy | System, method and computer program product for accessing at least one virtual private network |
| US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
| US9686669B2 (en) * | 2004-04-08 | 2017-06-20 | Nokia Technologies Oy | Method of configuring a mobile node |
| US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
| KR101166765B1 (ko) * | 2004-05-07 | 2012-07-27 | 엘지전자 주식회사 | IPv4 및 IPv6을 지원하기 위한 IP 주소 설정 |
| KR20060047692A (ko) * | 2004-05-07 | 2006-05-18 | 엘지전자 주식회사 | 광대역 무선접속 시스템에 적용되는 수면모드 수행 및 제어방법 |
| KR101119372B1 (ko) * | 2004-05-10 | 2012-06-12 | 엘지전자 주식회사 | Ip 연결 설정 방법 |
| US20060002351A1 (en) * | 2004-07-01 | 2006-01-05 | Telefonaktiebolaget L M Ericsson (Publ) | IP address assignment in a telecommunications network using the protocol for carrying authentication for network access (PANA) |
| CN100474839C (zh) | 2004-10-12 | 2009-04-01 | 上海贝尔阿尔卡特股份有限公司 | IPv6接入网中的网络服务选择和认证,及无状态自动配置 |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| US8839427B2 (en) * | 2005-04-13 | 2014-09-16 | Verizon Patent And Licensing Inc. | WAN defense mitigation service |
| JP4421517B2 (ja) * | 2005-06-07 | 2010-02-24 | 株式会社東芝 | 情報処理サーバ、遠隔操作システムおよび遠隔操作方法 |
| US7801517B2 (en) * | 2005-06-29 | 2010-09-21 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for implementing a roaming controlled wireless network and services |
| US20070009139A1 (en) * | 2005-07-11 | 2007-01-11 | Agere Systems Inc. | Facial recognition device for a handheld electronic device and a method of using the same |
| US8200820B2 (en) * | 2005-08-12 | 2012-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Access selection method |
| FI119863B (fi) * | 2005-08-22 | 2009-04-15 | Teliasonera Ab | Etäasiakkaan aitouden ja oikeuksien varmistaminen |
| DE602005006127T2 (de) * | 2005-08-25 | 2009-07-02 | Alcatel Lucent | Sicheres Kommunikationsverfahren- und gerät zur Verarbeitung von SEND-Datenpaketen |
| US7526677B2 (en) * | 2005-10-31 | 2009-04-28 | Microsoft Corporation | Fragility handling |
| JP2007128331A (ja) * | 2005-11-04 | 2007-05-24 | Inter Net Inishiateibu:Kk | ネットワーク接続機器の自動生成機構 |
| US8009644B2 (en) * | 2005-12-01 | 2011-08-30 | Ruckus Wireless, Inc. | On-demand services by wireless base station virtualization |
| US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| CN101361082B (zh) * | 2005-12-15 | 2013-07-31 | 巴克莱投资银行 | 用于安全远程台式机访问的系统和方法 |
| WO2007077583A1 (en) * | 2005-12-30 | 2007-07-12 | Telecom Italia S.P.A. | Method and system for managing an internet connection and informing a user about connectivity |
| US8006089B2 (en) * | 2006-02-07 | 2011-08-23 | Toshiba America Research, Inc. | Multiple PANA sessions |
| US20070198525A1 (en) * | 2006-02-13 | 2007-08-23 | Microsoft Corporation | Computer system with update-based quarantine |
| US9781162B2 (en) * | 2006-02-15 | 2017-10-03 | International Business Machines Corporation | Predictive generation of a security network protocol configuration |
| US7974249B2 (en) * | 2006-03-01 | 2011-07-05 | Dell Products L.P. | Virtual access point for configuration of a LAN |
| US20070233844A1 (en) | 2006-03-29 | 2007-10-04 | Murata Kikai Kabushiki Kaisha | Relay device and communication system |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
| US9071583B2 (en) | 2006-04-24 | 2015-06-30 | Ruckus Wireless, Inc. | Provisioned configuration for automatic wireless connection |
| US9769655B2 (en) | 2006-04-24 | 2017-09-19 | Ruckus Wireless, Inc. | Sharing security keys with headless devices |
| WO2007127120A2 (en) | 2006-04-24 | 2007-11-08 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
| US8625609B2 (en) * | 2006-05-19 | 2014-01-07 | Futurewei Technologies Inc. | Using DHCPv6 and AAA for mobile station prefix delegation and enhanced neighbor discovery |
| CN101102189B (zh) * | 2006-07-05 | 2011-06-22 | 华为技术有限公司 | 一种实现多种媒体接入的网关系统和方法 |
| US7958368B2 (en) * | 2006-07-14 | 2011-06-07 | Microsoft Corporation | Password-authenticated groups |
| US7742479B1 (en) * | 2006-12-01 | 2010-06-22 | Cisco Technology, Inc. | Method and apparatus for dynamic network address reassignment employing interim network address translation |
| US8751625B2 (en) * | 2006-12-04 | 2014-06-10 | Canon Kabushiki Kaisha | Notification apparatus and notification method |
| KR101329150B1 (ko) * | 2006-12-08 | 2013-11-14 | 삼성전자주식회사 | Pana 인증 방법 및 장치 |
| US8072973B1 (en) * | 2006-12-14 | 2011-12-06 | Cisco Technology, Inc. | Dynamic, policy based, per-subscriber selection and transfer among virtual private networks |
| DE602006005174D1 (de) * | 2006-12-22 | 2009-03-26 | Research In Motion Ltd | Globales virtuelles lokales Netzwerk für Sprachkommunikationssitzungen in einem drahtlosen Kommunikationsnetzwerk |
| US8194605B2 (en) * | 2006-12-22 | 2012-06-05 | Research In Motion Limited | Global virtual local area network for voice communication sessions in a wireless local area network |
| US8307411B2 (en) * | 2007-02-09 | 2012-11-06 | Microsoft Corporation | Generic framework for EAP |
| WO2009001434A1 (ja) * | 2007-06-26 | 2008-12-31 | Fujitsu Limited | データ転送機能検出処理方法,処理システムおよびプログラム |
| US8341277B2 (en) * | 2007-07-03 | 2012-12-25 | International Business Machines Corporation | System and method for connecting closed, secure production network |
| US8160038B1 (en) * | 2007-08-06 | 2012-04-17 | Marvell International Ltd. | Packet data network specific addressing solutions with network-based mobility |
| US8509440B2 (en) * | 2007-08-24 | 2013-08-13 | Futurwei Technologies, Inc. | PANA for roaming Wi-Fi access in fixed network architectures |
| KR100964350B1 (ko) * | 2007-09-14 | 2010-06-17 | 성균관대학교산학협력단 | IPv6 환경에서의 SEND와 IPSec 협업 기법 및시스템 |
| US9225684B2 (en) * | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
| US8825883B2 (en) * | 2008-02-29 | 2014-09-02 | Microsoft Corporation | Connectivity platform |
| US8364847B2 (en) * | 2008-02-29 | 2013-01-29 | Microsoft Corporation | Address management in a connectivity platform |
| CN101547383B (zh) * | 2008-03-26 | 2013-06-05 | 华为技术有限公司 | 一种接入认证方法及接入认证系统以及相关设备 |
| WO2009151480A1 (en) * | 2008-06-13 | 2009-12-17 | Nortel Networks Limited | Unifying virtualizations in a core network and a wireless access network |
| CA2734443A1 (en) * | 2008-08-29 | 2010-04-01 | Shanker Singh Hari | Methods and systems for integrating plurality of infastructure management and automation services including, but not limited to multi-play services of plurality of carriers' communication services (wireline and wireless) including voice, video and data on last-mile active and/or passive optical network and/or copper network for neutral access network operati |
| US8479266B1 (en) * | 2008-11-13 | 2013-07-02 | Sprint Communications Company L.P. | Network assignment appeal architecture and process |
| US8341717B1 (en) | 2008-11-13 | 2012-12-25 | Sprint Communications Company L.P. | Dynamic network policies based on device classification |
| US8363658B1 (en) | 2008-11-13 | 2013-01-29 | Sprint Communications Company L.P. | Dynamic firewall and dynamic host configuration protocol configuration |
| US8769257B2 (en) * | 2008-12-23 | 2014-07-01 | Intel Corporation | Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing |
| KR100911942B1 (ko) * | 2009-01-21 | 2009-08-13 | (주)이소컴 | 고정 아이피 주소를 부여받을 수 있는 이동식 저장장치 및 고정 아이피 주소 부여 방법 |
| US8599860B2 (en) * | 2009-05-14 | 2013-12-03 | Futurewei Technologies, Inc. | Multiple prefix connections with translated virtual local area network |
| US8687609B2 (en) * | 2009-11-04 | 2014-04-01 | Cisco Technology, Inc. | Managing router advertisement messages to support roaming of wireless mobile client devices |
| US8724583B2 (en) * | 2009-11-04 | 2014-05-13 | Cisco Technology, Inc. | Neighbor discovery message handling to support roaming of wireless mobile client devices |
| MY153839A (en) * | 2010-02-10 | 2015-03-31 | Mimos Berhad | Method and system for use in deploying multiple gateways in mobile networks |
| US8428006B2 (en) | 2010-05-04 | 2013-04-23 | Cisco Technology, Inc. | Hierarchical control signaling for mobile clients in distributed wireless controller system |
| US8441983B2 (en) | 2010-05-04 | 2013-05-14 | Cisco Technology, Inc. | Maintaining point of presence at tunneling endpoint for roaming clients in distributed wireless controller system |
| US8446876B2 (en) | 2010-05-04 | 2013-05-21 | Cisco Technology, Inc. | Maintaining point of presence at access switch for roaming clients in distributed wireless controller system |
| US8520595B2 (en) | 2010-05-04 | 2013-08-27 | Cisco Technology, Inc. | Routing to the access layer to support mobility of internet protocol devices |
| US8675601B2 (en) | 2010-05-17 | 2014-03-18 | Cisco Technology, Inc. | Guest access support for wired and wireless clients in distributed wireless controller system |
| BR112013005060A2 (pt) * | 2010-09-03 | 2019-09-24 | Nec Corp | aparelho de controle,sistema de comunicação,método de comunicação e meio de gravação |
| EP2434822B1 (en) | 2010-09-27 | 2014-04-16 | Alcatel Lucent | Method and base station system for providing access to a mobile communication network |
| US8667148B1 (en) * | 2010-10-04 | 2014-03-04 | Netblazr Inc. | Minimal effort network subscriber registration |
| CN102694752B (zh) * | 2011-03-21 | 2015-03-11 | 国基电子(上海)有限公司 | 网关设备 |
| US9792188B2 (en) | 2011-05-01 | 2017-10-17 | Ruckus Wireless, Inc. | Remote cable access point reset |
| US20130034108A1 (en) * | 2011-06-28 | 2013-02-07 | Futurewei Technologies, Inc. | System and Method for Communications Network Configuration |
| US8539055B2 (en) * | 2011-06-30 | 2013-09-17 | Aruba Networks, Inc. | Device abstraction in autonomous wireless local area networks |
| US8756668B2 (en) | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| US9137210B1 (en) * | 2012-02-21 | 2015-09-15 | Amazon Technologies, Inc. | Remote browsing session management |
| WO2013143611A1 (en) * | 2012-03-30 | 2013-10-03 | Nokia Siemens Networks Oy | Centralized ip address management for distributed gateways |
| US9092610B2 (en) | 2012-04-04 | 2015-07-28 | Ruckus Wireless, Inc. | Key assignment for a brand |
| US9166952B2 (en) | 2012-10-15 | 2015-10-20 | Thales Canada Inc | Security device bank and a system including the and SD security device bank |
| US9826399B2 (en) * | 2013-01-04 | 2017-11-21 | Apple Inc. | Facilitating wireless network access by using a ubiquitous SSID |
| WO2015180192A1 (zh) * | 2014-05-31 | 2015-12-03 | 华为技术有限公司 | 一种网络连接方法、热点终端和管理终端 |
| US10142172B2 (en) * | 2015-07-22 | 2018-11-27 | Facebook, Inc. | Internet service provider management platform |
| CN110351772B (zh) * | 2018-04-08 | 2022-10-25 | 慧与发展有限责任合伙企业 | 无线链路和虚拟局域网之间的映射 |
| CN112204925B (zh) * | 2018-07-13 | 2022-10-28 | 三菱电机楼宇解决方案株式会社 | 具有误操作防止功能的电梯系统 |
| US11122054B2 (en) | 2019-08-27 | 2021-09-14 | Bank Of America Corporation | Security tool |
| WO2022150041A1 (en) * | 2021-01-08 | 2022-07-14 | Hewlett-Packard Development Company, L.P. | Data communications via tethered connections |
| US20220393967A1 (en) * | 2021-06-07 | 2022-12-08 | Vmware, Inc. | Load balancing of vpn traffic over multiple uplinks |
| US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
| US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
| WO2024044021A1 (en) * | 2022-08-24 | 2024-02-29 | National Currency Technologies, Inc. | Implementation mechanisms for digital currencies |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7411916B2 (en) * | 1998-02-26 | 2008-08-12 | Nortel Networks Limited | Data forwarding method and apparatus |
| US6636898B1 (en) * | 1999-01-29 | 2003-10-21 | International Business Machines Corporation | System and method for central management of connections in a virtual private network |
| JP3394727B2 (ja) | 1999-06-29 | 2003-04-07 | 日本電信電話株式会社 | ネットワーク間通信方法及びその装置 |
| JP2001237892A (ja) | 2000-02-25 | 2001-08-31 | Nec Corp | アクセスサーバを用いたインターネットアクセス方式および方法 |
| JP2002044076A (ja) | 2000-07-26 | 2002-02-08 | Nippon Telegraph & Telephone East Corp | 端末装置、ネットワーク接続制御方法および接続制御プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2002135313A (ja) | 2000-10-25 | 2002-05-10 | Nippon Telegraph & Telephone East Corp | 通信システムおよび通信方法 |
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| JP3655575B2 (ja) | 2001-10-30 | 2005-06-02 | 株式会社日立コミュニケーションテクノロジー | ゲートウェイ装置 |
| JP2003167805A (ja) | 2001-12-04 | 2003-06-13 | Nippon Telegr & Teleph Corp <Ntt> | 複数ユーザ側閉域網とサーバ側閉域網間のネットワーク通信方法およびサーバ装置 |
| US7099319B2 (en) * | 2002-01-23 | 2006-08-29 | International Business Machines Corporation | Virtual private network and tunnel gateway with multiple overlapping, remote subnets |
| US20040019664A1 (en) * | 2002-02-15 | 2004-01-29 | Franck Le | Method and system for discovering a network element in a network such as an agent in an IP network |
| US20030233580A1 (en) * | 2002-05-29 | 2003-12-18 | Keeler James D. | Authorization and authentication of user access to a distributed network communication system with roaming features |
| US20040236855A1 (en) * | 2003-05-23 | 2004-11-25 | Amir Peles | Multi-link tunneling |
| US7769884B2 (en) * | 2003-10-31 | 2010-08-03 | International Business Machines Corporation | Network route control |
-
2004
- 2004-01-22 US US10/761,347 patent/US7860978B2/en not_active Expired - Fee Related
-
2005
- 2005-01-21 KR KR1020067014782A patent/KR100826736B1/ko active IP Right Grant
- 2005-01-21 EP EP05711827.5A patent/EP1709547B1/en active Active
- 2005-01-21 WO PCT/US2005/002040 patent/WO2005072276A2/en not_active Application Discontinuation
- 2005-01-21 JP JP2006551325A patent/JP4675909B2/ja not_active Expired - Fee Related
- 2005-01-21 CN CNB2005800029102A patent/CN100507895C/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102282547B (zh) * | 2009-01-07 | 2015-07-29 | 惠普开发有限公司 | 网络连接管理器 |
| CN102484840A (zh) * | 2009-08-17 | 2012-05-30 | 英特尔公司 | 无线网络中利用统一安全控制平面进行动态服务协商的方法和系统 |
| CN102484840B (zh) * | 2009-08-17 | 2014-12-31 | 英特尔公司 | 无线网络中利用统一安全控制平面进行动态服务协商的方法和系统 |
| CN102598739A (zh) * | 2009-10-28 | 2012-07-18 | 讯宝科技公司 | 用于使用无线网络对远程网络进行安全访问的系统和方法 |
| CN108494773A (zh) * | 2012-06-27 | 2018-09-04 | J2全球Ip有限公司 | 计算机实现的方法和第一便携式电子设备 |
| CN104243465A (zh) * | 2014-09-09 | 2014-12-24 | 京信通信系统(中国)有限公司 | 一种基于wlan的ipsec的实现方法及装置 |
| WO2018112716A1 (en) * | 2016-12-19 | 2018-06-28 | Arris Enterprises Llc | System and method for enabling coexisting hotspot and dmz |
| CN106961355A (zh) * | 2017-04-01 | 2017-07-18 | 国家电网公司 | 网络系统及用共享备用路由器实现网络故障恢复的方法 |
| CN106961355B (zh) * | 2017-04-01 | 2020-05-15 | 国家电网公司 | 网络系统及用共享备用路由器实现网络故障恢复的方法 |
| US20210105253A1 (en) * | 2019-10-07 | 2021-04-08 | Cameron International Corporation | Security system and method for pressure control equipment |
| US11765131B2 (en) * | 2019-10-07 | 2023-09-19 | Schlumberger Technology Corporation | Security system and method for pressure control equipment |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007519379A (ja) | 2007-07-12 |
| WO2005072276A2 (en) | 2005-08-11 |
| EP1709547A2 (en) | 2006-10-11 |
| CN100507895C (zh) | 2009-07-01 |
| US20050165953A1 (en) | 2005-07-28 |
| WO2005072276A3 (en) | 2005-09-29 |
| EP1709547A4 (en) | 2013-08-07 |
| US7860978B2 (en) | 2010-12-28 |
| KR100826736B1 (ko) | 2008-04-30 |
| EP1709547B1 (en) | 2016-01-06 |
| JP4675909B2 (ja) | 2011-04-27 |
| KR20070008555A (ko) | 2007-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100507895C (zh) | 使用ip接入网络的服务网络选择与多穴查找 | |
| JP3778129B2 (ja) | 無線ネットワークおよび無線ネットワークにおける認証方法 | |
| KR100750370B1 (ko) | 어드레스 획득 | |
| EP1648134B1 (en) | Network service selection and authentication and stateless auto-configuration in an IPv6 access network | |
| US7441043B1 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
| US6970459B1 (en) | Mobile virtual network system and method | |
| CN107995052B (zh) | 用于针对有线和无线节点的公共控制协议的方法和设备 | |
| EP1878169B1 (en) | Operator shop selection in broadband access related application | |
| USRE42871E1 (en) | Extranet workgroup formation across multiple mobile virtual private networks | |
| US20020165972A1 (en) | Methods and apparatus for use in reducing traffic over a communication link used by a computer network | |
| WO2006083414A2 (en) | Method and apparatus for l2tp dialout and tunnel switching | |
| JP2010538554A (ja) | ノマディック型端末に、レイヤ2レベル上でホーム・ネットワークにアクセスすることを可能にする方法および装置 | |
| JP2007518349A (ja) | モバイル仮想プライベートネットワークの中規模/大規模企業ネットワークへの展開を容易にする装置 | |
| US7933253B2 (en) | Return routability optimisation | |
| US20090106831A1 (en) | IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO | |
| WO2003007561A1 (en) | Method for forming a secured network | |
| Ghosh | Transition to IPv6-Based Networks | |
| Jarvinen | Comparing IPv4 and IPv6 mobility and autoconfiguration for residential networks | |
| JP2007028084A (ja) | ネットワークおよびその管理方法 | |
| Vieira | of Deliverable: Access Technologies in LONG Project | |
| ARIF | STATELESS AUTO CONFIGURATION AND SECURED DATA TRANSMISSION IN IPV6 NETWORKS THROUGH IPSEC TUNNELING |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210811 Address after: Tokyo, Japan Patentee after: Toshiba Corp. Address before: Tokyo, Japan Patentee before: Toshiba Corp. Patentee before: Trachia Legaci Co.,Ltd. Effective date of registration: 20210811 Address after: Tokyo, Japan Patentee after: Toshiba Corp. Patentee after: Trachia Legaci Co.,Ltd. Address before: Tokyo, Japan Patentee before: Toshiba Corp. Patentee before: TELCORDIA TECH Inc. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090701 Termination date: 20220121 |