ES2264756T3 - Comunicacion entre una red privada y un terminal movil itinerante. - Google Patents
Comunicacion entre una red privada y un terminal movil itinerante.Info
- Publication number
- ES2264756T3 ES2264756T3 ES03290770T ES03290770T ES2264756T3 ES 2264756 T3 ES2264756 T3 ES 2264756T3 ES 03290770 T ES03290770 T ES 03290770T ES 03290770 T ES03290770 T ES 03290770T ES 2264756 T3 ES2264756 T3 ES 2264756T3
- Authority
- ES
- Spain
- Prior art keywords
- new
- gateway
- address
- mobile terminal
- signaling message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004891 communication Methods 0.000 title claims abstract description 41
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 title 1
- 238000000034 method Methods 0.000 claims abstract description 24
- 230000011664 signaling Effects 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims abstract description 16
- 230000004224 protection Effects 0.000 claims abstract description 10
- 230000008859 change Effects 0.000 claims abstract description 6
- 238000012546 transfer Methods 0.000 claims abstract description 5
- 230000008569 process Effects 0.000 description 10
- 230000000694 effects Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0019—Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Un método de comunicación entre una red privada (1) y un terminal móvil itinerante (4), incluyendo la mencionada red privada (1) un agente local (5) para el mencionado terminal móvil, y la pasarela (2, 3) a través de la cual pasa la mencionada comunicación, y que proporciona protección de seguridad para la mencionada red privada (1), incluyendo los protocolos de la mencionada comunicación, paquetes de asociación de seguridad que incluyen, cada uno, una asociación de seguridad entre el mencionado terminal móvil (4) y la mencionada pasarela (2, 3) para comunicaciones entrantes, y otra asociación de seguridad para comunicaciones salientes, caracterizado porque en respuesta al traspaso de comunicación, que provoca que una dirección IP (MN Co @) del mencionado terminal móvil (4) cambie a una nueva dirección IP (MN nueva Co @), el mencionado terminal móvil actualiza su asociación de seguridad entrante desde la mencionada pasarela (2, 3), de forma que puede recibir paquetes enviados a este, con lamencionada nueva dirección IP (MN nueva Co @) como destino, el mencionado terminal móvil (4) envía un primer mensaje de señalización con el mencionado agente local (5) como destino, en un túnel de seguridad (20'') hasta la mencionada pasarela (2, 3), el mencionado primer mensaje de señalización, indicando la mencionada nueva dirección IP (MN nueva Co @) en forma segura al mencionado agente local (5), la asociación de seguridad entrante de la mencionada pasarela (2, 3), procedente del mencionado terminal móvil (4), acepta el mencionado primer mensaje de señalización sin verificar su dirección de origen, la mencionada pasarela (2, 3) transmite el mencionado primer mensaje de señalización dentro de la mencionada red privada (1), al mencionado agente local (5), el mencionado agente local (5) verifica la validez del mencionado primer mensaje de señalización y, si este es válido, actualiza sus datos de dirección y envía un segundo mensaje de señalización a la mencionada pasarela (2, 3), indicandola mencionada nueva dirección (MN nueva Co @), y la mencionada pasarela (2, 3) actualiza su asociación de seguridad saliente con el mencionado terminal móvil (4), en respuesta la nueva dirección (MN nueva Co @) indicada.
Description
Comunicación entre una red privada y un terminal
móvil itinerante.
La invención se refiere a la comunicación entre
una red privada y un terminal móvil itinerante.
Muchas organizaciones utilizan redes privadas
cuyas comunicaciones con terminales fuera de la red privada pasan a
través de pasarelas, que protegen la red privada utilizando técnicas
que incluyen técnicas de cortafuegos.
La protección de información corporativa privada
es de suma importancia cuando se diseña una infraestructura de
información. Sin embargo, las soluciones de redes privadas separadas
son costosas, y no pueden ser actualizadas rápidamente para
adaptarse a cambios en los requisitos de negocio. La red Internet,
por otra parte, es barata pero no asegura por sí misma privacidad.
La conexión en red privada virtual, es la colección de tecnologías
aplicadas a una red publica -en concreto la red Internet- para
proporcionar soluciones a las necesidades de la conexión en red
privada. Las redes privadas virtuales utilizan la ofuscación a
través de túneles seguros, en lugar de por separación física, para
mantener la privacidad de las comunicaciones.
Las redes privadas virtuales ("VPN")
habilitan correspondientemente redes privadas para extenderlas, al
efecto de habilitar la comunicación segura con terminales
itinerantes, es decir situados los mencionados terminales fuera de
la red privada, pasando la comunicación por ejemplo a través de la
red Internet, y posiblemente sobre redes de telefonía móvil. La red
Internet utiliza el Protocolo de Internet ("IP"), y las
comunicaciones de terminales móviles utilizan a menudo el Protocolo
de Internet Móvil ("MIP").
Se espera que el uso itinerante de las redes
privadas virtuales, se hará más extenso y más frecuente. Tales
usuarios frecuentemente itinerantes, necesitarán que se les
proporcione el mismo nivel de seguridad que los terminales
itinerantes ocasionales o u, a través de la arquitectura corporativa
de VPN/corta fuegos.
Se utiliza diferentes protocolos de seguridad y
comunicaciones, para diferentes redes. Un ejemplo de un protocolo de
seguridad de la red Internet, es la especificación IPsec [S. Kent,
R. Atkinson, "Security Architecture for the Internet Protocol",
Internet Engineering Task Force (IETF), RFC 2401, noviembre de
1998]. Ejemplos de protocolos de comunicación de telefonía móvil,
son la especificación IPv4 Móvil [C. Perkins, "IP Mobility
Support", RFC 2002, octubre de 1996], y la especificación IPv6
Móvil. Cuando el protocolo de VPN es Carga de Seguridad Encapsulada
IPsec, y el protocolo de movilidad es IP Móvil, estando ambos
implementados en la misma capa -IP-, existe la necesidad especificar
como deben interaccionar entre sí estos dos protocolos, cuando son
requeridos simultáneamente.
Más allá del orden de aplicación básico (bien
aplicar IP Móvil primero, o aplicar IPsec primero), la solución
global debe apuntar a la satisfacción de tres requisitos
principales:
- \bullet
- Seguridad. El hecho de que la infraestructura VPN pueda soportar usuarios de IP Móvil, no debe crear nuevos fallos de seguridad a ninguna entidad corporativa (red corporativa y usuarios ocasionalmente itinerantes o móviles). Los dispositivos con IP Móvil habilitada deben estar adecuadamente protegidos por infraestructuras de seguridad corporativas (corta fuegos), y los mecanismos de seguridad específicos de IP Móvil deben no interferir con el mecanismo de seguridad global.
- \bullet
- Compatibilidad. Una solución que habilita la interacción optimizada entre IP Móvil e IPsec, debe evitar modificar sensiblemente las especificaciones de protocolo. Las futuras evoluciones de los protocolos de IP Móvil e IPsec, deben no hacerse excesivamente difíciles debido al uso de una solución combinada optimizada. Óptimamente, tales evoluciones deberían ser transparentes para el uso de la solución combinada.
- \bullet
- Rendimiento. La invención debe ocuparse de requisitos específicos de los usuarios móviles, en términos de calidad de traspaso: el traspaso debe realizarse tan rápido como sea posible.
Un ejemplo de un protocolo de comunicaciones
para una red privada virtual, es el protocolo ESP (Carga de
Seguridad Encapsulada) (S. Kent, R. Atkinson, "IP Encapsulating
Security Payload", Internet Engineering Task Force (IETF), RFC
2406, noviembre de 1998), utilizado en modo túnel. Los puntos más
significativos son los siguientes:
- \bullet
- La totalidad del paquete IP entrante es sometido a efecto túnel, en uno nuevo; no se cambia las direcciones internas (originales) de fuente y destino.
- \bullet
- La totalidad del paquete IP entrante está cifrada, y ocasionalmente (recomendado) autenticada.
El modo túnel ESP es, por definición, un
protocolo unidireccional punto a punto. El emisor (el que cifra y
aplica efecto túnel) y el receptor (el que deshace el efecto túnel y
descifra) deben compartir un secreto criptográfico (por ejemplo la
clave y el algoritmo utilizados para el cifrado/descifre). El
conjunto de parámetros de seguridad (protocolo, clave, algoritmo,
dirección del emisor, dirección del receptor, vida útil,...)
constituye una denominada Asociación de Seguridad IPsec ("SA").
A IPsec necesita dos SAs (un paquete SA) para obtener una
comunicación unidireccional asegurada: una en el emisor y una en el
receptor (con algunos parámetros comunes, por ejemplo la
clave).
Como una comunicación VPN es bidireccional
(desde el Nodo Móvil ("MN") a la Pasarela VPN, y desde la
Pasarela VPN al MN), se necesita dos paquetes SA: el primero
describe un túnel desde MN a la Pasarela VPN, el segundo describe el
túnel desde la Pasarela VPN al MN. Debe notarse que la denominación
"Pasarela VPN" no está especificada por el protocolo: una
Pasarela VPN es simplemente la entidad topológica que pone término,
en el lado de la red corporativa, a la totalidad de los túneles de
seguridad VPN hacia/desde nodos móviles itinerantes.
Los selectores SA son utilizados para
procesamiento de paquetes IPsec. Básicamente, los selectores SA son
parámetros IP que son utilizados por la capa IPsec para verificar
que:
- \bullet
- Un paquete que esta próximo a ser enviado en un túnel definido por una cierta SA saliente, está realmente legitimado para ser enviado con tal SA (por ejemplo direcciones de fuente y destino, del paquete, cuadran con las direcciones de fuente y destino de la SA). Esta prueba se denomina la "verificación del selectores sea de salida".
- \bullet
- Un paquete que ha sido recibido desde un túnel definido por cierta SA entrante, está realmente legitimado para haber sido recibido por este SA (por ejemplo las direcciones de fuente y destino del paquete, cuadran con las direcciones de fuente y destino de la SA). Esta prueba se denomina "verificación de selector SA entrante".
Debe notarse que, tal como se ilustra en los dos
ejemplos más abajo, sólo la dirección de la fuente y la dirección
del destino, deben ser consideradas en esta invención como
selectores SA, para SAs tanto entrantes como
salientes.
salientes.
Dos familias de propuestas tratan esta
situación:
Con esta familia de propuestas, se establece el
túnel IPsec entre la Pasarela VPN, y la Dirección Local del Nodo
Móvil.
Agente local externo. El agente local
está situado enfrente de la pasarela IPsec y el cortafuegos
corporativo, es decir fuera de la red local. Obviamente, hay
profundos fallos de seguridad; el principal es que el agente local
ya no está protegido mediante el mecanismo de protección común
(cortafuegos corporativo) en el límite en de la red. Sin duda, un
agente local situado fuera de la pasarela, no se beneficia de
ninguna protección, y se convierte en un objetivo fácil. Esta clase
de fallo de seguridad podría no ser aceptada cuando se diseña una
solución VPN orientada a proteger comunicaciones.
Otro problema procede del mecanismo de efecto
túnel, que no cifra los paquetes MIP (el túnel IPsec está dentro del
túnel MIP). El encabezamiento del MIP es un texto plano, y cualquier
atacante con malas intenciones tendrá conocimiento de los campos de
todo el encabezamiento, por ejemplo la dirección local del nodo
móvil. Así, esta solución no proporciona privacidad, y un nodo
malicioso puede rastrear todas las sucesivas localizaciones de un
nodo móvil, identificado a través de su dirección local.
Servidor intermediario MIP. Esta
propuesta se describe en un borrador (F. Adrangi, P. lyer, "Mobile
IPv4 Traversal across VPN or NAT & VPN Gateway", IETF trabajo
en curso
draftadrangi-mobileip-natvpn-traversal-01.txt,
febrero de 2002). Este documento asume la creación de una nueva
entidad denominada Servidor Intermediario de IP Móvil, que aparece
como un agente local sustituto, desde el punto de vista de un nodo
móvil y, a la inversa, es visto como un nodo móvil por el agente
local. Esta solución está además basada en efecto túnel IPsec en
MIP, que es menos confidencial en términos de privacidad, que la
MIP en IPsec mencionada arriba.
El proceso itinerante simple necesita nuevos
mensajes de señalización entre el servidor intermediario MIP, la
pasarela VPN, y el agente local: el servidor intermediario MIP actúa
como un relevo entre el nodo móvil y el agente local ("HA");
debe ser consciente de la protección existente entre el nodo móvil y
el HA, para transferir únicamente las peticiones válidas. Además
interactúa con la pasarela VPN, y un paquete común procedente de un
nodo correspondiente a un MN, sigue un proceso pesado: primero es
encapsulado MIP mediante el HA, al servidor intermediario MIP.
Después el servidor intermediario MIP lo desencapsula y lo
proporciona a la pasarela VPN, para realizar el cifrado. La
pasarela VPN envía de vuelta los paquetes cifrados al servidor
intermediario MIP, que los encapsula de nuevo en un nuevo paquete
MIP.
El servidor intermediario MIP está localizado
fuera del dominio protegido en la Zona Desmilitarizada ("DMZ"),
es decir, una pequeña red insertada como una "zona neutral"
entre una red privada de la compañía, y la red pública exterior. El
nivel de seguridad de las máquinas dentro de la DMZ es muy inferior
a la red corporativa. Los cortafuegos no deben interferir con el
procedimiento de registro entre el servidor intermediario y el
Agente Local. La arquitectura implica a posibles fallos de
seguridad, puesto que el cortafuegos corporativo debe permitir que
cualesquiera paquetes entre el servidor intermediario MIP y el
Agente Local, transiten sin más inspecciones: esto puede fácilmente
conducir a comprometer toda la red corporativa si un atacante puede
conseguir obtener acceso al servidor intermediario MIP.
Con esta familia de propuestas, se establece un
túnel IPsec entre la pasarela VPN y la Dirección a Cargo del
Nodo Móvil.
Una propuesta que incluye el túnel MIP en el
túnel IPsec, ha sido descrita por la Universidad de Berna, Suiza, en
el documento www.iam.unibe.ch/-rvs/publications/secmip_gi.pdf. El
túnel IPsec es reiniciado antes de cualquier nuevo traspaso. Cuando
se mueve a una red local, tiene que ser restablecido a través de la
totalidad del proceso de distribución de claves. Tal modo de
traspaso, crea latencias inaceptables de varios segundos,
incompatibles con los requisitos MIP clásicos.
Otra cuestión relativa a esta propuesta consiste
en asumir que el IPsec ofrece una protección suficiente y, como
consecuencia, inhabilitar las protecciones de reproducción y
autenticación durante el procedimiento de registro MIP. Inhabilitar
las protecciones en el Agente Local, es una opción que no mejorar
realmente la velocidad, y necesita agentes locales dedicados a
usuarios MIP-VPN, así como otros agentes locales
dedicados a simples usuarios MIP que siguen utilizando protecciones
MIP.
El documento WO 00/8 818 describe un método para
negociar el acceso a una red privada, desde un nodo móvil que ha
migrado más allá de la red privada en la que una pasarela VPN actúa
como un nodo móvil sustituto.
La presente invención trata el anterior, y otros
problemas.
La presente invención proporciona un método y un
aparato para comunicación, como se describe en las reivindicaciones
anexas.
La figura 1 es un diagrama esquemático, de un
escenario de red privada virtual móvil,
la figura 2 es un diagrama de un paquete de
datos, encapsulado en modo túnel ESP,
la figura 3 es un diagrama de flujo de
intercambios en una comunicación, entre una red privada y un
terminal móvil itinerante, de acuerdo con una realización de la
invención proporcionada modo de ejemplo, y
la figura 4 es un diagrama de flujo, de un
proceso para la recepción de una solicitud de registro, en el
proceso ilustrado en la figura 3.
La figura 1 muestra un escenario de red privada
virtual móvil, que comprende una red privada 1 que incluye una
pasarela de seguridad que comprende una pasarela VPN 2, y un
cortafuegos 3, un nodo móvil 4 situado en la red privada 1, y un
agente local 5 para el nodo móvil 4. La realización de la presente
invención mostrada en los dibujos, es aplicable especialmente donde
el nodo móvil 4 es capaz de comunicar sobre un enlace inalámbrico,
lo que mejora su capacidad itinerante, tanto dentro como fuera de la
red privada 1, pero esta realización de la invención, es además
aplicable donde nodo móvil 4 sólo comunica sobre conexiones de
cable.
La figura 1 muestra un escenario en el que son
particularmente apreciables las ventajas de esta realización de la
invención, donde el nodo móvil 4 se mueve fuera de la red privada 1,
primero a una red visitada 6 que tiene un agente externo 7, que
funciona bajo el protocolo IPV4 móvil, habilitando la comunicación
del nodo móvil itinerante 4 en la red 6, a través de la red Internet
8, con la red privada 1. En este escenario, el nodo móvil itinerante
4 se mueve después a una segunda red visitada 9, que tiene un agente
externo 10, que funciona también bajo IPV4 móvil, para la
comunicación a través de la red Internet 8 con la red privada 1. Si
bien esta realización de la invención funciona con los protocolos
IPv4 Móvil, se apreciará que la invención es también aplicable a
otros protocolos, especialmente al protocolo IPv6 Móvil.
Cuando el nodo móvil es itinerante en las redes
visitadas 6 o 9, se establece la comunicación con la red privada 1 a
través de la red Internet 8, en túneles IPsec y MIP 11 y 12
respectivamente. Más en concreto, el protocolo utilizado es el
protocolo de Carga de Seguridad Encapsulada ("ESP"), ilustrado
en la figura 2. De acuerdo con este protocolo, el paquete original
13 comprende un encabezamiento IP original 14, y datos 15. El
paquete 13 es cifrado con un tráiler ESP 16, sin cambiar el
encabezamiento IP original y la dirección de destino. El paquete
cifrado es encapsulado con un encabezamiento ESP en 17 y,
preferentemente, una autenticación TCP 18, y montado con un nuevo
encabezamiento IP 19, antes de su transmisión. Se establece paquetes
de asociación de seguridad, que comprenden cada uno una asociación
de seguridad de comunicación saliente y entrante, para las
comunicaciones sobre las trayectorias 11 y 12 con la pasarela VPN 2.
Los selectores de asociación de seguridad, verifican que los
paquetes a ser enviados utilizando el túnel definido por cada
asociación de seguridad de salida, están legitimados para ser
enviados con tal asociación de seguridad y, en concreto, que las
direcciones de origen y destino del paquete cuadran con las
direcciones origen y destino de la asociación de seguridad, siendo
esta verificación la prueba del selector SA de salida. Los paquetes
recibidos procedentes de un túnel definido por la asociación de
seguridad entrante, son verificados en cuanto a la legitimidad de su
recepción con esta asociación de seguridad y, en concreto, en cuanto
a que las direcciones de origen y destino del paquete cuadran con
las direcciones de origen y destino de la asociación de seguridad,
siendo esta verificación la prueba del selector SA entrante.
En esta realización de la invención, la
asociación de seguridad entrante de la pasarela VPN 2, no contiene
la dirección del nodo móvil 4 como dirección de origen, sino un
carácter comodín ("*"). Esto permite a la pasarela VPN 2
recibir y transmitir un paquete desde el nodo móvil 4, cualquiera
que sea la Dirección a cargo, que pueda usarse. Se notará que esto
no es contradictorio con el protocolo IPsec, puesto que el valor del
carácter comodín está autorizado por este protocolo, para el
selector de dirección de origen, en una asociación de seguridad. El
orden del túnel, es el de un túnel MIP en el túnel IPsec, con el
túnel IPsec entre la pasarela VPN 210 y el nodo móvil 4, utilizando
la Dirección a cargo del nodo móvil, como punto final.
El proceso para las comunicaciones cuando el
nodo móvil 4 es itinerante, se muestra en la figura 3, en la cual
las referencias a saliente y entrante, se refieren a paquetes del
nodo móvil 4. Inicialmente, los túneles IPsec están ilustrados para
la situación en la que la comunicación se establece en la actual
Dirección a cargo del nodo móvil 4. El túnel IPsec de salida 20,
tiene una asociación de seguridad en el nodo móvil 4, teniendo la
actual Dirección a cargo del nodo móvil, como dirección de origen, y
la dirección de la pasarela VPN 2 como dirección de destino, y una
asociación de seguridad en la pasarela VPN 2, que tiene un comodín
como dirección de origen y la dirección de la pasarela VPN 2, como
dirección de destino. El túnel IPsec entrante inicial, tiene una
asociación de seguridad en el nodo móvil 4, con la dirección de la
pasarela VPN 2 como dirección de origen, y Dirección a cargo del
nodo móvil 4 como dirección de destino, y una asociación de
seguridad en la pasarela VPN 2, que tiene la dirección de la
pasarela VPN, dirección de origen, y la Dirección a cargo del nodo
móvil 4, como dirección de destino.
Cuando en 22 el nodo móvil se mueve, desde una
red visitada a otra, por ejemplo desde la red visitada 6 a la red
visitada 9, el nodo móvil 4 reconoce que su localización ha
cambiado, por ejemplo a partir de un anuncio de agente entrante.
Después configura una nueva Dirección a cargo, que puede encaminarse
dentro de la nueva red visitada 7. El nodo móvil 4 contiene el
soporte lógico de cliente VPN, que responde al cambio la
localización del nodo móvil, por ejemplo en respuesta al soporte
intermedio de selección de red, o comprobando las direcciones de
origen de paquetes salientes. El soporte lógico de cliente VPN
cambia entonces dinámicamente la asociación de seguridad entrante,
en el nodo móvil 4, de forma que su dirección de destino es la nueva
Dirección a cargo del nodo móvil, convirtiéndose el túnel IPsec
entrante 21 en un túnel IPsec y entrante provisional 23. De este
modo, el nodo móvil 4 será capaz de recibir paquetes de forma
segura, enviados por la pasarela VPN 2, a su nueva Dirección a
cargo; de otro modo, los paquetes se caerían puesto que no
cuadrarían con la dirección de destino incluida en el primer túnel
IPsec entrante 21. De forma similar, el soporte lógico de cliente
VPN cambia dinámicamente la asociación de seguridad de salida en el
nodo móvil 4, de forma que su dirección de origen es la nueva
Dirección a cargo del nodo móvil, convirtiéndose el túnel IPsec
saliente 20 en un túnel IPsec saliente 20'; de otro modo, el nodo
móvil 4 no sería capaz de enviar a paquetes salientes, puesto que
éstos no cuadrarían con la dirección de origen incluida en el primer
túnel IPsec saliente 20.
El nodo móvil 4 envía entonces un mensaje de
señalización a su agente local, para informarle de su nueva
localización, pasando el mensaje de señalización a través del túnel
IPsec saliente 20', y la pasarela VPN 2. Este mensaje de
señalización tiene la forma de una solicitud de registro, donde el
protocolo usado sea IPv4 móvil, como en esta realización de la
invención.
El mensaje de señalización es recibido en la
pasarela VPN 2, en el paso 24. El selector SA en la pasarela VPN
para el túnel saliente 20' no rechaza el paquete, puesto que la
dirección de origen es un campo comodín, y por tanto la dirección de
origen no es verificada, y el paquete es transmitido al agente local
5. En el paso 25 el agente local 5 recibe y procesa el mensaje de
solicitud de registro procedente de la estación móvil 4, indicando
la nueva Dirección a cargo. Si la solicitud de registro es válida,
el agente local 5 envía un mensaje de actualización de información
de seguridad ("SIU") a la pasarela VPN 2, que contiene una
orden de actualizar la asociación de seguridad del túnel IPsec
provisional 23, en la pasarela VPN. Este mensaje SIU es procesado
en la pasarela VPN 2, por ejemplo mediante un demonio, es decir un
programa en segundo plano que proporciona servicios al sistema.
En respuesta al mensaje SIU, la pasarela VPN 2
actualiza su asociación de seguridad para el túnel IPsec entrante
provisional 23, a un nuevo túnel IPsec 26, que tiene la nueva
Dirección a cargo del nodo móvil 4, como dirección de destino. Esta
actualización se lleva a cabo antes de que sea enviado ningún
paquete al nodo móvil 4, en concreto la respuesta de registro. En
una realización preferida de la invención, el mensaje SIU procedente
del agente local 5 a la pasarela VPN 2, incluye la respuesta de
registro al nodo móvil 4.
Se apreciará que esta rutina concreta del agente
local 1, se dispara sólo cuando la solicitud de registro es recibida
a través de una pasarela VPN como en 2, que corresponde a una
localización del nodo móvil 4 fuera de la red privada 1. Si el nodo
móvil estuviera situado dentro de la red privada 1 y, por lo tanto,
no estuviera utilizando el servicio VPN, el agente local 5
respondería de acuerdo con la rutina normal, con una respuesta de
registro normal.
En el paso 27, la pasarela VPN 2 transmite la
respuesta de registro al nodo móvil 4, utilizando el recién
establecido túnel IPsec entrante 26, y envía todos los paquetes de
datos a la nueva Dirección a cargo, utilizando el túnel 26 hasta
nueva orden.
Si en el paso 25, la solicitud de registro no
tiene como resultado un agente local 5, el proceso no se ve
irremediablemente comprometido. No se recibirá ninguna respuesta de
registro en el nodo móvil 4, el cual enviará una solicitud de
registro más. Si el agente local 5 continúa sin aceptar la solicitud
de registro, el nodo móvil 4 abandonará finalmente el intento, y
establecerá un nuevo túnel para una nueva Dirección a cargo, sin
sacar ventaja del proceso de esta realización de la invención. Esta
situación es inherente a escenarios de IP móvil.
La figura 4 ilustra las rutinas seguidas por el
agente local 5 durante el proceso anterior. La rutina comienza en
28, y en el paso 29 se recibe una entrada en forma de solicitud de
registro, procedente del nodo móvil 24. Se realiza una comprobación
en el paso 30, sobre si la solicitud de registro es válida y, si el
agente local 5 no acepta el registro, la rutina termina en 31. Si el
agente local 5 acepta la solicitud de registro, se realiza una
comprobación en 32, sobre si la solicitud de registro se recibió a
través de una pasarela VPN como en 2. Si no fue el caso, se
construye una respuesta de registro, y es enviada directamente al
nodo móvil 4 sobre la red privada 1, en el paso 33. Si la solicitud
de registro fue recibida a través de la pasarela VPN como en 2, se
construye una respuesta de registro para el nodo móvil 4, en 34.
Esta respuesta de registro es incluida después en un nuevo paquete
generado por el agente local 5, en 35, y el cual contiene además la
primera Dirección a cargo, y la nueva Dirección a cargo del nodo
móvil 4. Después, el paquete es enviado, en el paso 36, a la
pasarela VPN 2, y la rutina termina de nuevo en 31.
Claims (7)
1. Un método de comunicación entre una red
privada (1) y un terminal móvil itinerante (4), incluyendo la
mencionada red privada (1) un agente local (5) para el mencionado
terminal móvil, y la pasarela (2, 3) a través de la cual pasa la
mencionada comunicación, y que proporciona protección de seguridad
para la mencionada red privada (1), incluyendo los protocolos de la
mencionada comunicación, paquetes de asociación de seguridad que
incluyen, cada uno, una asociación de seguridad entre el mencionado
terminal móvil (4) y la mencionada pasarela (2, 3) para
comunicaciones entrantes, y otra asociación de seguridad para
comunicaciones salientes, caracterizado porque en respuesta
al traspaso de comunicación, que provoca que una dirección IP (MN Co
@) del mencionado terminal móvil (4) cambie a una nueva dirección IP
(MN nueva Co @), el mencionado terminal móvil actualiza su
asociación de seguridad entrante desde la mencionada pasarela (2,
3), de forma que puede recibir paquetes enviados a este, con la
mencionada nueva dirección IP (MN nueva Co @) como destino, el
mencionado terminal móvil (4) envía un primer mensaje de
señalización con el mencionado agente local (5) como destino, en un
túnel de seguridad (20') hasta la mencionada pasarela (2, 3), el
mencionado primer mensaje de señalización, indicando la mencionada
nueva dirección IP (MN nueva Co @) en forma segura al mencionado
agente local (5), la asociación de seguridad entrante de la
mencionada pasarela (2, 3), procedente del mencionado terminal móvil
(4), acepta el mencionado primer mensaje de señalización sin
verificar su dirección de origen, la mencionada pasarela (2, 3)
transmite el mencionado primer mensaje de señalización dentro de la
mencionada red privada (1), al mencionado agente local (5), el
mencionado agente local (5) verifica la validez del mencionado
primer mensaje de señalización y, si este es válido, actualiza sus
datos de dirección y envía un segundo mensaje de señalización a la
mencionada pasarela (2, 3), indicando la mencionada nueva dirección
(MN nueva Co @), y la mencionada pasarela (2, 3) actualiza su
asociación de seguridad saliente con el mencionado terminal móvil
(4), en respuesta la nueva dirección (MN nueva Co @) indicada.
2. Un método como el reivindicado en la
reivindicación 1, en el que la comunicación entre el mencionado nodo
móvil (4) y la mencionada pasarela (2, 3), es acorde con una
especificación de protocolo IPsec.
3. Un método como el reivindicado en la
reivindicación 2, el que la comunicación entre la mencionada
pasarela (2, 3) y el mencionado terminal (4), es conforme con un
protocolo de Carga de Seguridad Encapsulada utilizado en modo
túnel.
4. Un método como el reivindicado en cualquier
reivindicación precedente, en el que una respuesta de registro para
el mencionado nodo móvil (4), está incluida en el mencionado segundo
mensaje de señalización.
5. Un terminal móvil para ser utilizado en
comunicación, mediante un método como el reivindicado en cualquier
reivindicación precedente, comprendiendo el terminal móvil medios
sensibles a un traspaso de comunicación, que provocan que una
dirección IP (MN Co @) del mencionado terminal móvil, cambie a una
nueva dirección IP (MN nueva Co @) para actualizar la asociación de
seguridad entrante del mencionado terminal móvil (4) desde la
mencionada pasarela (2, 3), de forma que este puede recibir paquetes
enviados con la nueva dirección IP (MN nueva Co @) como destino,
caracterizado por medios para enviar una solicitud de
registro como un primer mensaje de señalización con el mencionado
agente local (5) como destino, a través de un túnel seguro (20')
hasta la mencionada pasarela, indicando la mencionada solicitud de
registro, la mencionada nueva dirección IP (MN nueva Co @) en forma
segura, al mencionado agente local (5).
6. Una pasarela para ser utilizada en
comunicación, mediante un método como el reivindicado en cualquiera
de las reivindicaciones 1 a 4, la pasarela caracterizada por
medios sensibles al mencionado primer mensaje de señalización
recibido en un túnel seguro (20'), desde el mencionado terminal
móvil, con el mencionado agente (5) como destino, para provocar la
mencionada asociación de seguridad entrante en la mencionada
pasarela (2, 3), desde el mencionado terminal móvil (4), para
aceptar el mencionado primer mensaje de señalización sin verificar
su dirección de origen, y para transmitir el mencionado primer
mensaje de señalización al mencionado agente local (5), y medios
sensibles al mencionado segundo mensaje de señalización, que indican
la mencionada nueva dirección (MN nueva Co @) para actualizar la
mencionada asociación de seguridad saliente de la mencionada
pasarela (2, 3), con el mencionado terminal móvil (4), en respuesta
a la nueva dirección (MN nueva Co @) indicada.
7. Un agente local para ser utilizado en
comunicación, mediante un método como el reivindicado en cualquiera
de las reivindicaciones precedentes 1 a 4, el agente local
caracterizado por medios sensibles al mencionado primer
mensaje de señalización recibido desde la mencionada pasarela (2,
3), para enviar el mencionado segundo mensaje de señalización a la
mencionada pasarela (2, 3), indicando la mencionada nueva dirección
(MN nueva Co @) para que la mencionada pasarela actualice su
asociación de seguridad saliente con el mencionado terminal móvil
(4).
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP03290770A EP1463257B1 (en) | 2003-03-27 | 2003-03-27 | Communication between a private network and a roaming mobile terminal |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2264756T3 true ES2264756T3 (es) | 2007-01-16 |
Family
ID=32799149
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES03290770T Expired - Lifetime ES2264756T3 (es) | 2003-03-27 | 2003-03-27 | Comunicacion entre una red privada y un terminal movil itinerante. |
Country Status (9)
Country | Link |
---|---|
US (1) | US7516486B2 (es) |
EP (1) | EP1463257B1 (es) |
JP (1) | JP4163215B2 (es) |
KR (1) | KR100679882B1 (es) |
CN (1) | CN100525300C (es) |
AT (1) | ATE329443T1 (es) |
DE (1) | DE60305869T2 (es) |
ES (1) | ES2264756T3 (es) |
WO (1) | WO2004086718A1 (es) |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
WO2005046126A1 (en) * | 2003-10-31 | 2005-05-19 | Juniper Networks, Inc. | Secure transport of multicast traffic |
TWI236255B (en) * | 2003-12-15 | 2005-07-11 | Ind Tech Res Inst | System and method for supporting inter-NAT-domain handoff within a VPN by associating L2TP with mobile IP |
US7620979B2 (en) | 2003-12-22 | 2009-11-17 | Nokia Corporation | Supporting mobile internet protocol in a correspondent node firewall |
JP4654006B2 (ja) * | 2004-11-16 | 2011-03-16 | パナソニック株式会社 | サーバ装置、携帯端末、通信システム及びプログラム |
US7792072B2 (en) * | 2004-12-13 | 2010-09-07 | Nokia Inc. | Methods and systems for connecting mobile nodes to private networks |
US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
US20060248337A1 (en) * | 2005-04-29 | 2006-11-02 | Nokia Corporation | Establishment of a secure communication |
US20070198837A1 (en) * | 2005-04-29 | 2007-08-23 | Nokia Corporation | Establishment of a secure communication |
CN1874343B (zh) * | 2005-06-03 | 2010-04-21 | 华为技术有限公司 | IPSec安全联盟的创建方法 |
US8856311B2 (en) | 2005-06-30 | 2014-10-07 | Nokia Corporation | System coordinated WLAN scanning |
WO2007027958A1 (en) * | 2005-08-29 | 2007-03-08 | Junaid Islam | ARCHITECTURE FOR MOBILE IPv6 APPLICATIONS OVER IPv4 |
US8316226B1 (en) * | 2005-09-14 | 2012-11-20 | Juniper Networks, Inc. | Adaptive transition between layer three and layer four network tunnels |
CN100444690C (zh) * | 2005-09-22 | 2008-12-17 | 中兴通讯股份有限公司 | 集群系统中实现漫游终端群组信息更新的方法 |
DE102006014350A1 (de) * | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum teilnehmerspezifischen Aktivieren eines netzbasierten Mobilitätsmanagements |
GB2434506A (en) * | 2006-01-18 | 2007-07-25 | Orange Personal Comm Serv Ltd | Providing a mobile telecommunications session to a mobile node using an internet protocol |
CN100488284C (zh) | 2006-01-26 | 2009-05-13 | 华为技术有限公司 | 一种3gpp演进网络中漫游用户数据路由优化方法 |
CN100466816C (zh) * | 2006-03-21 | 2009-03-04 | 华为技术有限公司 | 路由优化选择方法 |
US20070254634A1 (en) * | 2006-04-27 | 2007-11-01 | Jose Costa-Requena | Configuring a local network device using a wireless provider network |
US8296839B2 (en) * | 2006-06-06 | 2012-10-23 | The Mitre Corporation | VPN discovery server |
US8174995B2 (en) * | 2006-08-21 | 2012-05-08 | Qualcom, Incorporated | Method and apparatus for flexible pilot pattern |
US8978103B2 (en) * | 2006-08-21 | 2015-03-10 | Qualcomm Incorporated | Method and apparatus for interworking authorization of dual stack operation |
BRPI0715736B1 (pt) | 2006-08-21 | 2020-02-04 | Qualcomm Inc | método e equipamento para autorização de interfuncionamento de operação de pilha dual |
CN100452799C (zh) * | 2006-09-19 | 2009-01-14 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
DE102006046023B3 (de) * | 2006-09-28 | 2008-04-17 | Siemens Ag | Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen |
WO2008073735A2 (en) * | 2006-12-08 | 2008-06-19 | Adaptix, Inc. | System and method for managing wireless base station handoff information |
CN101198156B (zh) | 2006-12-08 | 2012-10-31 | 昂达博思公司 | 管理无线基站切换信息的系统和方法 |
CN101675676B (zh) * | 2007-05-04 | 2014-01-22 | 苹果公司 | 协商不同的移动ip输送方式 |
EP2007111A1 (fr) * | 2007-06-22 | 2008-12-24 | France Telecom | Procédé de filtrage de paquets en provenance d'un réseau de communication |
JP4430091B2 (ja) * | 2007-08-17 | 2010-03-10 | 富士通株式会社 | パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ |
US20090129301A1 (en) * | 2007-11-15 | 2009-05-21 | Nokia Corporation And Recordation | Configuring a user device to remotely access a private network |
CA2714280A1 (en) * | 2008-02-08 | 2009-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for use in a communications network |
US8209749B2 (en) | 2008-09-17 | 2012-06-26 | Apple Inc. | Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement |
US8719337B1 (en) | 2009-04-27 | 2014-05-06 | Junaid Islam | IPv6 to web architecture |
KR101382620B1 (ko) * | 2009-10-14 | 2014-04-10 | 한국전자통신연구원 | 가상사설망을 구성하는 장치 및 방법 |
CN102088438B (zh) * | 2009-12-03 | 2013-11-06 | 中兴通讯股份有限公司 | 一种解决因特网协议安全性客户端地址冲突的方法及客户端 |
US8443435B1 (en) | 2010-12-02 | 2013-05-14 | Juniper Networks, Inc. | VPN resource connectivity in large-scale enterprise networks |
US9491686B2 (en) * | 2011-07-28 | 2016-11-08 | Pulse Secure, Llc | Virtual private networking with mobile communication continuity |
US9608962B1 (en) | 2013-07-09 | 2017-03-28 | Pulse Secure, Llc | Application-aware connection for network access client |
CN107579932B (zh) * | 2017-10-25 | 2020-06-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
JP7139943B2 (ja) | 2018-12-28 | 2022-09-21 | 住友ゴム工業株式会社 | 空気入りタイヤ |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4038732A1 (de) * | 1990-12-05 | 1992-06-11 | Henkel Kgaa | Mit synthetischen polymerverbindungen modifizierte werkstoffe und/oder formteile auf staerkebasis und verfahren zu ihrer herstellung |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6571289B1 (en) * | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
US6823386B1 (en) * | 1999-02-25 | 2004-11-23 | Nortel Networks Limited | Correlating data streams of different protocols |
JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
KR100464374B1 (ko) * | 2000-11-01 | 2004-12-31 | 삼성전자주식회사 | 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법 |
US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
US7036143B1 (en) * | 2001-09-19 | 2006-04-25 | Cisco Technology, Inc. | Methods and apparatus for virtual private network based mobility |
-
2003
- 2003-03-27 ES ES03290770T patent/ES2264756T3/es not_active Expired - Lifetime
- 2003-03-27 DE DE60305869T patent/DE60305869T2/de not_active Expired - Lifetime
- 2003-03-27 EP EP03290770A patent/EP1463257B1/en not_active Expired - Lifetime
- 2003-03-27 AT AT03290770T patent/ATE329443T1/de not_active IP Right Cessation
-
2004
- 2004-03-15 JP JP2005518696A patent/JP4163215B2/ja not_active Expired - Lifetime
- 2004-03-15 US US10/550,109 patent/US7516486B2/en active Active
- 2004-03-15 CN CNB2004800072038A patent/CN100525300C/zh not_active Expired - Lifetime
- 2004-03-15 WO PCT/EP2004/050310 patent/WO2004086718A1/en active Application Filing
- 2004-03-15 KR KR1020057018261A patent/KR100679882B1/ko active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
JP4163215B2 (ja) | 2008-10-08 |
ATE329443T1 (de) | 2006-06-15 |
JP2006514815A (ja) | 2006-05-11 |
WO2004086718A1 (en) | 2004-10-07 |
EP1463257B1 (en) | 2006-06-07 |
US20060185012A1 (en) | 2006-08-17 |
EP1463257A1 (en) | 2004-09-29 |
CN100525300C (zh) | 2009-08-05 |
CN1762140A (zh) | 2006-04-19 |
KR20050122221A (ko) | 2005-12-28 |
US7516486B2 (en) | 2009-04-07 |
DE60305869T2 (de) | 2006-10-05 |
DE60305869D1 (de) | 2006-07-20 |
KR100679882B1 (ko) | 2007-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2264756T3 (es) | Comunicacion entre una red privada y un terminal movil itinerante. | |
ES2596177T3 (es) | Método, equipo y sistema de red para hacer comunicar un terminal con un servidor de infraestructura de un subsistema multimedia IP (IMS) atravesando una red privada | |
Patel et al. | Securing L2TP using IPsec | |
ES2336898T3 (es) | Metodo y red para asegurar el envio seguro de mensajes. | |
ES2379074T3 (es) | Método y sistema para el establecimiento de un canal de comunicaciones de tipo "peer-to-peer". | |
ES2362993T3 (es) | Un método y disposición para proporcionar seguridad a través de conversión de direcciones de red utilizando tunelado y compensaciones. | |
JP4756048B2 (ja) | プレフィックススコープバインディング更新をセキュアにするためのシステム及び関連方法並びに装置 | |
KR100988186B1 (ko) | 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치 | |
US10812454B2 (en) | Methods and apparatuses for providing security in a roaming environment | |
US20060182103A1 (en) | System and method for routing network messages | |
US20020066036A1 (en) | System and method for secure network mobility | |
JP5102372B2 (ja) | 通信ネットワークにおいて使用する方法および装置 | |
US20070214502A1 (en) | Technique for processing data packets in a communication network | |
ES2376991T3 (es) | Procedimientos y aparatos para el envío de paquetes de datos entre nodos móviles | |
US8037302B2 (en) | Method and system for ensuring secure forwarding of messages | |
CN1949705B (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
US7756061B2 (en) | Mobile router device and home agent device | |
Gokulakrishnan et al. | A survey report on VPN security & its technologies | |
US20040037284A1 (en) | Method for secure packet-based communication between two units via an intermedia unit | |
CN101360096B (zh) | 一种应用于数字医疗的系统安全规划方法 | |
CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
KR100799575B1 (ko) | IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이 | |
Patel et al. | RFC3193: Securing L2TP using IPsec | |
ES2616499T3 (es) | Aparatos y método para autenticación en redes de IP heterogéneas | |
Zorn et al. | Network Working Group B. Patel Request for Comments: 3193 Intel Category: Standards Track B. Aboba W. Dixon Microsoft |