ES2264756T3 - Comunicacion entre una red privada y un terminal movil itinerante. - Google Patents

Comunicacion entre una red privada y un terminal movil itinerante.

Info

Publication number
ES2264756T3
ES2264756T3 ES03290770T ES03290770T ES2264756T3 ES 2264756 T3 ES2264756 T3 ES 2264756T3 ES 03290770 T ES03290770 T ES 03290770T ES 03290770 T ES03290770 T ES 03290770T ES 2264756 T3 ES2264756 T3 ES 2264756T3
Authority
ES
Spain
Prior art keywords
new
gateway
address
mobile terminal
signaling message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03290770T
Other languages
English (en)
Inventor
Alexis Olivereau
Miguel Catalina
Christophe Janneteau
Ismael Hery
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Application granted granted Critical
Publication of ES2264756T3 publication Critical patent/ES2264756T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0019Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Un método de comunicación entre una red privada (1) y un terminal móvil itinerante (4), incluyendo la mencionada red privada (1) un agente local (5) para el mencionado terminal móvil, y la pasarela (2, 3) a través de la cual pasa la mencionada comunicación, y que proporciona protección de seguridad para la mencionada red privada (1), incluyendo los protocolos de la mencionada comunicación, paquetes de asociación de seguridad que incluyen, cada uno, una asociación de seguridad entre el mencionado terminal móvil (4) y la mencionada pasarela (2, 3) para comunicaciones entrantes, y otra asociación de seguridad para comunicaciones salientes, caracterizado porque en respuesta al traspaso de comunicación, que provoca que una dirección IP (MN Co @) del mencionado terminal móvil (4) cambie a una nueva dirección IP (MN nueva Co @), el mencionado terminal móvil actualiza su asociación de seguridad entrante desde la mencionada pasarela (2, 3), de forma que puede recibir paquetes enviados a este, con lamencionada nueva dirección IP (MN nueva Co @) como destino, el mencionado terminal móvil (4) envía un primer mensaje de señalización con el mencionado agente local (5) como destino, en un túnel de seguridad (20'') hasta la mencionada pasarela (2, 3), el mencionado primer mensaje de señalización, indicando la mencionada nueva dirección IP (MN nueva Co @) en forma segura al mencionado agente local (5), la asociación de seguridad entrante de la mencionada pasarela (2, 3), procedente del mencionado terminal móvil (4), acepta el mencionado primer mensaje de señalización sin verificar su dirección de origen, la mencionada pasarela (2, 3) transmite el mencionado primer mensaje de señalización dentro de la mencionada red privada (1), al mencionado agente local (5), el mencionado agente local (5) verifica la validez del mencionado primer mensaje de señalización y, si este es válido, actualiza sus datos de dirección y envía un segundo mensaje de señalización a la mencionada pasarela (2, 3), indicandola mencionada nueva dirección (MN nueva Co @), y la mencionada pasarela (2, 3) actualiza su asociación de seguridad saliente con el mencionado terminal móvil (4), en respuesta la nueva dirección (MN nueva Co @) indicada.

Description

Comunicación entre una red privada y un terminal móvil itinerante.
Campo de la invención
La invención se refiere a la comunicación entre una red privada y un terminal móvil itinerante.
Antecedentes de la invención
Muchas organizaciones utilizan redes privadas cuyas comunicaciones con terminales fuera de la red privada pasan a través de pasarelas, que protegen la red privada utilizando técnicas que incluyen técnicas de cortafuegos.
La protección de información corporativa privada es de suma importancia cuando se diseña una infraestructura de información. Sin embargo, las soluciones de redes privadas separadas son costosas, y no pueden ser actualizadas rápidamente para adaptarse a cambios en los requisitos de negocio. La red Internet, por otra parte, es barata pero no asegura por sí misma privacidad. La conexión en red privada virtual, es la colección de tecnologías aplicadas a una red publica -en concreto la red Internet- para proporcionar soluciones a las necesidades de la conexión en red privada. Las redes privadas virtuales utilizan la ofuscación a través de túneles seguros, en lugar de por separación física, para mantener la privacidad de las comunicaciones.
Las redes privadas virtuales ("VPN") habilitan correspondientemente redes privadas para extenderlas, al efecto de habilitar la comunicación segura con terminales itinerantes, es decir situados los mencionados terminales fuera de la red privada, pasando la comunicación por ejemplo a través de la red Internet, y posiblemente sobre redes de telefonía móvil. La red Internet utiliza el Protocolo de Internet ("IP"), y las comunicaciones de terminales móviles utilizan a menudo el Protocolo de Internet Móvil ("MIP").
Se espera que el uso itinerante de las redes privadas virtuales, se hará más extenso y más frecuente. Tales usuarios frecuentemente itinerantes, necesitarán que se les proporcione el mismo nivel de seguridad que los terminales itinerantes ocasionales o u, a través de la arquitectura corporativa de VPN/corta fuegos.
Se utiliza diferentes protocolos de seguridad y comunicaciones, para diferentes redes. Un ejemplo de un protocolo de seguridad de la red Internet, es la especificación IPsec [S. Kent, R. Atkinson, "Security Architecture for the Internet Protocol", Internet Engineering Task Force (IETF), RFC 2401, noviembre de 1998]. Ejemplos de protocolos de comunicación de telefonía móvil, son la especificación IPv4 Móvil [C. Perkins, "IP Mobility Support", RFC 2002, octubre de 1996], y la especificación IPv6 Móvil. Cuando el protocolo de VPN es Carga de Seguridad Encapsulada IPsec, y el protocolo de movilidad es IP Móvil, estando ambos implementados en la misma capa -IP-, existe la necesidad especificar como deben interaccionar entre sí estos dos protocolos, cuando son requeridos simultáneamente.
Más allá del orden de aplicación básico (bien aplicar IP Móvil primero, o aplicar IPsec primero), la solución global debe apuntar a la satisfacción de tres requisitos principales:
\bullet
Seguridad. El hecho de que la infraestructura VPN pueda soportar usuarios de IP Móvil, no debe crear nuevos fallos de seguridad a ninguna entidad corporativa (red corporativa y usuarios ocasionalmente itinerantes o móviles). Los dispositivos con IP Móvil habilitada deben estar adecuadamente protegidos por infraestructuras de seguridad corporativas (corta fuegos), y los mecanismos de seguridad específicos de IP Móvil deben no interferir con el mecanismo de seguridad global.
\bullet
Compatibilidad. Una solución que habilita la interacción optimizada entre IP Móvil e IPsec, debe evitar modificar sensiblemente las especificaciones de protocolo. Las futuras evoluciones de los protocolos de IP Móvil e IPsec, deben no hacerse excesivamente difíciles debido al uso de una solución combinada optimizada. Óptimamente, tales evoluciones deberían ser transparentes para el uso de la solución combinada.
\bullet
Rendimiento. La invención debe ocuparse de requisitos específicos de los usuarios móviles, en términos de calidad de traspaso: el traspaso debe realizarse tan rápido como sea posible.
Un ejemplo de un protocolo de comunicaciones para una red privada virtual, es el protocolo ESP (Carga de Seguridad Encapsulada) (S. Kent, R. Atkinson, "IP Encapsulating Security Payload", Internet Engineering Task Force (IETF), RFC 2406, noviembre de 1998), utilizado en modo túnel. Los puntos más significativos son los siguientes:
\bullet
La totalidad del paquete IP entrante es sometido a efecto túnel, en uno nuevo; no se cambia las direcciones internas (originales) de fuente y destino.
\bullet
La totalidad del paquete IP entrante está cifrada, y ocasionalmente (recomendado) autenticada.
El modo túnel ESP es, por definición, un protocolo unidireccional punto a punto. El emisor (el que cifra y aplica efecto túnel) y el receptor (el que deshace el efecto túnel y descifra) deben compartir un secreto criptográfico (por ejemplo la clave y el algoritmo utilizados para el cifrado/descifre). El conjunto de parámetros de seguridad (protocolo, clave, algoritmo, dirección del emisor, dirección del receptor, vida útil,...) constituye una denominada Asociación de Seguridad IPsec ("SA"). A IPsec necesita dos SAs (un paquete SA) para obtener una comunicación unidireccional asegurada: una en el emisor y una en el receptor (con algunos parámetros comunes, por ejemplo la clave).
Como una comunicación VPN es bidireccional (desde el Nodo Móvil ("MN") a la Pasarela VPN, y desde la Pasarela VPN al MN), se necesita dos paquetes SA: el primero describe un túnel desde MN a la Pasarela VPN, el segundo describe el túnel desde la Pasarela VPN al MN. Debe notarse que la denominación "Pasarela VPN" no está especificada por el protocolo: una Pasarela VPN es simplemente la entidad topológica que pone término, en el lado de la red corporativa, a la totalidad de los túneles de seguridad VPN hacia/desde nodos móviles itinerantes.
Los selectores SA son utilizados para procesamiento de paquetes IPsec. Básicamente, los selectores SA son parámetros IP que son utilizados por la capa IPsec para verificar que:
\bullet
Un paquete que esta próximo a ser enviado en un túnel definido por una cierta SA saliente, está realmente legitimado para ser enviado con tal SA (por ejemplo direcciones de fuente y destino, del paquete, cuadran con las direcciones de fuente y destino de la SA). Esta prueba se denomina la "verificación del selectores sea de salida".
\bullet
Un paquete que ha sido recibido desde un túnel definido por cierta SA entrante, está realmente legitimado para haber sido recibido por este SA (por ejemplo las direcciones de fuente y destino del paquete, cuadran con las direcciones de fuente y destino de la SA). Esta prueba se denomina "verificación de selector SA entrante".
Debe notarse que, tal como se ilustra en los dos ejemplos más abajo, sólo la dirección de la fuente y la dirección del destino, deben ser consideradas en esta invención como selectores SA, para SAs tanto entrantes como
salientes.
Dos familias de propuestas tratan esta situación:
Túnel IPsec en el túnel MIP
Con esta familia de propuestas, se establece el túnel IPsec entre la Pasarela VPN, y la Dirección Local del Nodo Móvil.
Agente local externo. El agente local está situado enfrente de la pasarela IPsec y el cortafuegos corporativo, es decir fuera de la red local. Obviamente, hay profundos fallos de seguridad; el principal es que el agente local ya no está protegido mediante el mecanismo de protección común (cortafuegos corporativo) en el límite en de la red. Sin duda, un agente local situado fuera de la pasarela, no se beneficia de ninguna protección, y se convierte en un objetivo fácil. Esta clase de fallo de seguridad podría no ser aceptada cuando se diseña una solución VPN orientada a proteger comunicaciones.
Otro problema procede del mecanismo de efecto túnel, que no cifra los paquetes MIP (el túnel IPsec está dentro del túnel MIP). El encabezamiento del MIP es un texto plano, y cualquier atacante con malas intenciones tendrá conocimiento de los campos de todo el encabezamiento, por ejemplo la dirección local del nodo móvil. Así, esta solución no proporciona privacidad, y un nodo malicioso puede rastrear todas las sucesivas localizaciones de un nodo móvil, identificado a través de su dirección local.
Servidor intermediario MIP. Esta propuesta se describe en un borrador (F. Adrangi, P. lyer, "Mobile IPv4 Traversal across VPN or NAT & VPN Gateway", IETF trabajo en curso draftadrangi-mobileip-natvpn-traversal-01.txt, febrero de 2002). Este documento asume la creación de una nueva entidad denominada Servidor Intermediario de IP Móvil, que aparece como un agente local sustituto, desde el punto de vista de un nodo móvil y, a la inversa, es visto como un nodo móvil por el agente local. Esta solución está además basada en efecto túnel IPsec en MIP, que es menos confidencial en términos de privacidad, que la MIP en IPsec mencionada arriba.
El proceso itinerante simple necesita nuevos mensajes de señalización entre el servidor intermediario MIP, la pasarela VPN, y el agente local: el servidor intermediario MIP actúa como un relevo entre el nodo móvil y el agente local ("HA"); debe ser consciente de la protección existente entre el nodo móvil y el HA, para transferir únicamente las peticiones válidas. Además interactúa con la pasarela VPN, y un paquete común procedente de un nodo correspondiente a un MN, sigue un proceso pesado: primero es encapsulado MIP mediante el HA, al servidor intermediario MIP. Después el servidor intermediario MIP lo desencapsula y lo proporciona a la pasarela VPN, para realizar el cifrado. La pasarela VPN envía de vuelta los paquetes cifrados al servidor intermediario MIP, que los encapsula de nuevo en un nuevo paquete MIP.
El servidor intermediario MIP está localizado fuera del dominio protegido en la Zona Desmilitarizada ("DMZ"), es decir, una pequeña red insertada como una "zona neutral" entre una red privada de la compañía, y la red pública exterior. El nivel de seguridad de las máquinas dentro de la DMZ es muy inferior a la red corporativa. Los cortafuegos no deben interferir con el procedimiento de registro entre el servidor intermediario y el Agente Local. La arquitectura implica a posibles fallos de seguridad, puesto que el cortafuegos corporativo debe permitir que cualesquiera paquetes entre el servidor intermediario MIP y el Agente Local, transiten sin más inspecciones: esto puede fácilmente conducir a comprometer toda la red corporativa si un atacante puede conseguir obtener acceso al servidor intermediario MIP.
Túnel MIP en el túnel IPsec
Con esta familia de propuestas, se establece un túnel IPsec entre la pasarela VPN y la Dirección a Cargo del Nodo Móvil.
Una propuesta que incluye el túnel MIP en el túnel IPsec, ha sido descrita por la Universidad de Berna, Suiza, en el documento www.iam.unibe.ch/-rvs/publications/secmip_gi.pdf. El túnel IPsec es reiniciado antes de cualquier nuevo traspaso. Cuando se mueve a una red local, tiene que ser restablecido a través de la totalidad del proceso de distribución de claves. Tal modo de traspaso, crea latencias inaceptables de varios segundos, incompatibles con los requisitos MIP clásicos.
Otra cuestión relativa a esta propuesta consiste en asumir que el IPsec ofrece una protección suficiente y, como consecuencia, inhabilitar las protecciones de reproducción y autenticación durante el procedimiento de registro MIP. Inhabilitar las protecciones en el Agente Local, es una opción que no mejorar realmente la velocidad, y necesita agentes locales dedicados a usuarios MIP-VPN, así como otros agentes locales dedicados a simples usuarios MIP que siguen utilizando protecciones MIP.
El documento WO 00/8 818 describe un método para negociar el acceso a una red privada, desde un nodo móvil que ha migrado más allá de la red privada en la que una pasarela VPN actúa como un nodo móvil sustituto.
La presente invención trata el anterior, y otros problemas.
Sumario de la invención
La presente invención proporciona un método y un aparato para comunicación, como se describe en las reivindicaciones anexas.
Breve descripción de los dibujos
La figura 1 es un diagrama esquemático, de un escenario de red privada virtual móvil,
la figura 2 es un diagrama de un paquete de datos, encapsulado en modo túnel ESP,
la figura 3 es un diagrama de flujo de intercambios en una comunicación, entre una red privada y un terminal móvil itinerante, de acuerdo con una realización de la invención proporcionada modo de ejemplo, y
la figura 4 es un diagrama de flujo, de un proceso para la recepción de una solicitud de registro, en el proceso ilustrado en la figura 3.
Descripción detallada de las realizaciones preferidas
La figura 1 muestra un escenario de red privada virtual móvil, que comprende una red privada 1 que incluye una pasarela de seguridad que comprende una pasarela VPN 2, y un cortafuegos 3, un nodo móvil 4 situado en la red privada 1, y un agente local 5 para el nodo móvil 4. La realización de la presente invención mostrada en los dibujos, es aplicable especialmente donde el nodo móvil 4 es capaz de comunicar sobre un enlace inalámbrico, lo que mejora su capacidad itinerante, tanto dentro como fuera de la red privada 1, pero esta realización de la invención, es además aplicable donde nodo móvil 4 sólo comunica sobre conexiones de cable.
La figura 1 muestra un escenario en el que son particularmente apreciables las ventajas de esta realización de la invención, donde el nodo móvil 4 se mueve fuera de la red privada 1, primero a una red visitada 6 que tiene un agente externo 7, que funciona bajo el protocolo IPV4 móvil, habilitando la comunicación del nodo móvil itinerante 4 en la red 6, a través de la red Internet 8, con la red privada 1. En este escenario, el nodo móvil itinerante 4 se mueve después a una segunda red visitada 9, que tiene un agente externo 10, que funciona también bajo IPV4 móvil, para la comunicación a través de la red Internet 8 con la red privada 1. Si bien esta realización de la invención funciona con los protocolos IPv4 Móvil, se apreciará que la invención es también aplicable a otros protocolos, especialmente al protocolo IPv6 Móvil.
Cuando el nodo móvil es itinerante en las redes visitadas 6 o 9, se establece la comunicación con la red privada 1 a través de la red Internet 8, en túneles IPsec y MIP 11 y 12 respectivamente. Más en concreto, el protocolo utilizado es el protocolo de Carga de Seguridad Encapsulada ("ESP"), ilustrado en la figura 2. De acuerdo con este protocolo, el paquete original 13 comprende un encabezamiento IP original 14, y datos 15. El paquete 13 es cifrado con un tráiler ESP 16, sin cambiar el encabezamiento IP original y la dirección de destino. El paquete cifrado es encapsulado con un encabezamiento ESP en 17 y, preferentemente, una autenticación TCP 18, y montado con un nuevo encabezamiento IP 19, antes de su transmisión. Se establece paquetes de asociación de seguridad, que comprenden cada uno una asociación de seguridad de comunicación saliente y entrante, para las comunicaciones sobre las trayectorias 11 y 12 con la pasarela VPN 2. Los selectores de asociación de seguridad, verifican que los paquetes a ser enviados utilizando el túnel definido por cada asociación de seguridad de salida, están legitimados para ser enviados con tal asociación de seguridad y, en concreto, que las direcciones de origen y destino del paquete cuadran con las direcciones origen y destino de la asociación de seguridad, siendo esta verificación la prueba del selector SA de salida. Los paquetes recibidos procedentes de un túnel definido por la asociación de seguridad entrante, son verificados en cuanto a la legitimidad de su recepción con esta asociación de seguridad y, en concreto, en cuanto a que las direcciones de origen y destino del paquete cuadran con las direcciones de origen y destino de la asociación de seguridad, siendo esta verificación la prueba del selector SA entrante.
En esta realización de la invención, la asociación de seguridad entrante de la pasarela VPN 2, no contiene la dirección del nodo móvil 4 como dirección de origen, sino un carácter comodín ("*"). Esto permite a la pasarela VPN 2 recibir y transmitir un paquete desde el nodo móvil 4, cualquiera que sea la Dirección a cargo, que pueda usarse. Se notará que esto no es contradictorio con el protocolo IPsec, puesto que el valor del carácter comodín está autorizado por este protocolo, para el selector de dirección de origen, en una asociación de seguridad. El orden del túnel, es el de un túnel MIP en el túnel IPsec, con el túnel IPsec entre la pasarela VPN 210 y el nodo móvil 4, utilizando la Dirección a cargo del nodo móvil, como punto final.
El proceso para las comunicaciones cuando el nodo móvil 4 es itinerante, se muestra en la figura 3, en la cual las referencias a saliente y entrante, se refieren a paquetes del nodo móvil 4. Inicialmente, los túneles IPsec están ilustrados para la situación en la que la comunicación se establece en la actual Dirección a cargo del nodo móvil 4. El túnel IPsec de salida 20, tiene una asociación de seguridad en el nodo móvil 4, teniendo la actual Dirección a cargo del nodo móvil, como dirección de origen, y la dirección de la pasarela VPN 2 como dirección de destino, y una asociación de seguridad en la pasarela VPN 2, que tiene un comodín como dirección de origen y la dirección de la pasarela VPN 2, como dirección de destino. El túnel IPsec entrante inicial, tiene una asociación de seguridad en el nodo móvil 4, con la dirección de la pasarela VPN 2 como dirección de origen, y Dirección a cargo del nodo móvil 4 como dirección de destino, y una asociación de seguridad en la pasarela VPN 2, que tiene la dirección de la pasarela VPN, dirección de origen, y la Dirección a cargo del nodo móvil 4, como dirección de destino.
Cuando en 22 el nodo móvil se mueve, desde una red visitada a otra, por ejemplo desde la red visitada 6 a la red visitada 9, el nodo móvil 4 reconoce que su localización ha cambiado, por ejemplo a partir de un anuncio de agente entrante. Después configura una nueva Dirección a cargo, que puede encaminarse dentro de la nueva red visitada 7. El nodo móvil 4 contiene el soporte lógico de cliente VPN, que responde al cambio la localización del nodo móvil, por ejemplo en respuesta al soporte intermedio de selección de red, o comprobando las direcciones de origen de paquetes salientes. El soporte lógico de cliente VPN cambia entonces dinámicamente la asociación de seguridad entrante, en el nodo móvil 4, de forma que su dirección de destino es la nueva Dirección a cargo del nodo móvil, convirtiéndose el túnel IPsec entrante 21 en un túnel IPsec y entrante provisional 23. De este modo, el nodo móvil 4 será capaz de recibir paquetes de forma segura, enviados por la pasarela VPN 2, a su nueva Dirección a cargo; de otro modo, los paquetes se caerían puesto que no cuadrarían con la dirección de destino incluida en el primer túnel IPsec entrante 21. De forma similar, el soporte lógico de cliente VPN cambia dinámicamente la asociación de seguridad de salida en el nodo móvil 4, de forma que su dirección de origen es la nueva Dirección a cargo del nodo móvil, convirtiéndose el túnel IPsec saliente 20 en un túnel IPsec saliente 20'; de otro modo, el nodo móvil 4 no sería capaz de enviar a paquetes salientes, puesto que éstos no cuadrarían con la dirección de origen incluida en el primer túnel IPsec saliente 20.
El nodo móvil 4 envía entonces un mensaje de señalización a su agente local, para informarle de su nueva localización, pasando el mensaje de señalización a través del túnel IPsec saliente 20', y la pasarela VPN 2. Este mensaje de señalización tiene la forma de una solicitud de registro, donde el protocolo usado sea IPv4 móvil, como en esta realización de la invención.
El mensaje de señalización es recibido en la pasarela VPN 2, en el paso 24. El selector SA en la pasarela VPN para el túnel saliente 20' no rechaza el paquete, puesto que la dirección de origen es un campo comodín, y por tanto la dirección de origen no es verificada, y el paquete es transmitido al agente local 5. En el paso 25 el agente local 5 recibe y procesa el mensaje de solicitud de registro procedente de la estación móvil 4, indicando la nueva Dirección a cargo. Si la solicitud de registro es válida, el agente local 5 envía un mensaje de actualización de información de seguridad ("SIU") a la pasarela VPN 2, que contiene una orden de actualizar la asociación de seguridad del túnel IPsec provisional 23, en la pasarela VPN. Este mensaje SIU es procesado en la pasarela VPN 2, por ejemplo mediante un demonio, es decir un programa en segundo plano que proporciona servicios al sistema.
En respuesta al mensaje SIU, la pasarela VPN 2 actualiza su asociación de seguridad para el túnel IPsec entrante provisional 23, a un nuevo túnel IPsec 26, que tiene la nueva Dirección a cargo del nodo móvil 4, como dirección de destino. Esta actualización se lleva a cabo antes de que sea enviado ningún paquete al nodo móvil 4, en concreto la respuesta de registro. En una realización preferida de la invención, el mensaje SIU procedente del agente local 5 a la pasarela VPN 2, incluye la respuesta de registro al nodo móvil 4.
Se apreciará que esta rutina concreta del agente local 1, se dispara sólo cuando la solicitud de registro es recibida a través de una pasarela VPN como en 2, que corresponde a una localización del nodo móvil 4 fuera de la red privada 1. Si el nodo móvil estuviera situado dentro de la red privada 1 y, por lo tanto, no estuviera utilizando el servicio VPN, el agente local 5 respondería de acuerdo con la rutina normal, con una respuesta de registro normal.
En el paso 27, la pasarela VPN 2 transmite la respuesta de registro al nodo móvil 4, utilizando el recién establecido túnel IPsec entrante 26, y envía todos los paquetes de datos a la nueva Dirección a cargo, utilizando el túnel 26 hasta nueva orden.
Si en el paso 25, la solicitud de registro no tiene como resultado un agente local 5, el proceso no se ve irremediablemente comprometido. No se recibirá ninguna respuesta de registro en el nodo móvil 4, el cual enviará una solicitud de registro más. Si el agente local 5 continúa sin aceptar la solicitud de registro, el nodo móvil 4 abandonará finalmente el intento, y establecerá un nuevo túnel para una nueva Dirección a cargo, sin sacar ventaja del proceso de esta realización de la invención. Esta situación es inherente a escenarios de IP móvil.
La figura 4 ilustra las rutinas seguidas por el agente local 5 durante el proceso anterior. La rutina comienza en 28, y en el paso 29 se recibe una entrada en forma de solicitud de registro, procedente del nodo móvil 24. Se realiza una comprobación en el paso 30, sobre si la solicitud de registro es válida y, si el agente local 5 no acepta el registro, la rutina termina en 31. Si el agente local 5 acepta la solicitud de registro, se realiza una comprobación en 32, sobre si la solicitud de registro se recibió a través de una pasarela VPN como en 2. Si no fue el caso, se construye una respuesta de registro, y es enviada directamente al nodo móvil 4 sobre la red privada 1, en el paso 33. Si la solicitud de registro fue recibida a través de la pasarela VPN como en 2, se construye una respuesta de registro para el nodo móvil 4, en 34. Esta respuesta de registro es incluida después en un nuevo paquete generado por el agente local 5, en 35, y el cual contiene además la primera Dirección a cargo, y la nueva Dirección a cargo del nodo móvil 4. Después, el paquete es enviado, en el paso 36, a la pasarela VPN 2, y la rutina termina de nuevo en 31.

Claims (7)

1. Un método de comunicación entre una red privada (1) y un terminal móvil itinerante (4), incluyendo la mencionada red privada (1) un agente local (5) para el mencionado terminal móvil, y la pasarela (2, 3) a través de la cual pasa la mencionada comunicación, y que proporciona protección de seguridad para la mencionada red privada (1), incluyendo los protocolos de la mencionada comunicación, paquetes de asociación de seguridad que incluyen, cada uno, una asociación de seguridad entre el mencionado terminal móvil (4) y la mencionada pasarela (2, 3) para comunicaciones entrantes, y otra asociación de seguridad para comunicaciones salientes, caracterizado porque en respuesta al traspaso de comunicación, que provoca que una dirección IP (MN Co @) del mencionado terminal móvil (4) cambie a una nueva dirección IP (MN nueva Co @), el mencionado terminal móvil actualiza su asociación de seguridad entrante desde la mencionada pasarela (2, 3), de forma que puede recibir paquetes enviados a este, con la mencionada nueva dirección IP (MN nueva Co @) como destino, el mencionado terminal móvil (4) envía un primer mensaje de señalización con el mencionado agente local (5) como destino, en un túnel de seguridad (20') hasta la mencionada pasarela (2, 3), el mencionado primer mensaje de señalización, indicando la mencionada nueva dirección IP (MN nueva Co @) en forma segura al mencionado agente local (5), la asociación de seguridad entrante de la mencionada pasarela (2, 3), procedente del mencionado terminal móvil (4), acepta el mencionado primer mensaje de señalización sin verificar su dirección de origen, la mencionada pasarela (2, 3) transmite el mencionado primer mensaje de señalización dentro de la mencionada red privada (1), al mencionado agente local (5), el mencionado agente local (5) verifica la validez del mencionado primer mensaje de señalización y, si este es válido, actualiza sus datos de dirección y envía un segundo mensaje de señalización a la mencionada pasarela (2, 3), indicando la mencionada nueva dirección (MN nueva Co @), y la mencionada pasarela (2, 3) actualiza su asociación de seguridad saliente con el mencionado terminal móvil (4), en respuesta la nueva dirección (MN nueva Co @) indicada.
2. Un método como el reivindicado en la reivindicación 1, en el que la comunicación entre el mencionado nodo móvil (4) y la mencionada pasarela (2, 3), es acorde con una especificación de protocolo IPsec.
3. Un método como el reivindicado en la reivindicación 2, el que la comunicación entre la mencionada pasarela (2, 3) y el mencionado terminal (4), es conforme con un protocolo de Carga de Seguridad Encapsulada utilizado en modo túnel.
4. Un método como el reivindicado en cualquier reivindicación precedente, en el que una respuesta de registro para el mencionado nodo móvil (4), está incluida en el mencionado segundo mensaje de señalización.
5. Un terminal móvil para ser utilizado en comunicación, mediante un método como el reivindicado en cualquier reivindicación precedente, comprendiendo el terminal móvil medios sensibles a un traspaso de comunicación, que provocan que una dirección IP (MN Co @) del mencionado terminal móvil, cambie a una nueva dirección IP (MN nueva Co @) para actualizar la asociación de seguridad entrante del mencionado terminal móvil (4) desde la mencionada pasarela (2, 3), de forma que este puede recibir paquetes enviados con la nueva dirección IP (MN nueva Co @) como destino, caracterizado por medios para enviar una solicitud de registro como un primer mensaje de señalización con el mencionado agente local (5) como destino, a través de un túnel seguro (20') hasta la mencionada pasarela, indicando la mencionada solicitud de registro, la mencionada nueva dirección IP (MN nueva Co @) en forma segura, al mencionado agente local (5).
6. Una pasarela para ser utilizada en comunicación, mediante un método como el reivindicado en cualquiera de las reivindicaciones 1 a 4, la pasarela caracterizada por medios sensibles al mencionado primer mensaje de señalización recibido en un túnel seguro (20'), desde el mencionado terminal móvil, con el mencionado agente (5) como destino, para provocar la mencionada asociación de seguridad entrante en la mencionada pasarela (2, 3), desde el mencionado terminal móvil (4), para aceptar el mencionado primer mensaje de señalización sin verificar su dirección de origen, y para transmitir el mencionado primer mensaje de señalización al mencionado agente local (5), y medios sensibles al mencionado segundo mensaje de señalización, que indican la mencionada nueva dirección (MN nueva Co @) para actualizar la mencionada asociación de seguridad saliente de la mencionada pasarela (2, 3), con el mencionado terminal móvil (4), en respuesta a la nueva dirección (MN nueva Co @) indicada.
7. Un agente local para ser utilizado en comunicación, mediante un método como el reivindicado en cualquiera de las reivindicaciones precedentes 1 a 4, el agente local caracterizado por medios sensibles al mencionado primer mensaje de señalización recibido desde la mencionada pasarela (2, 3), para enviar el mencionado segundo mensaje de señalización a la mencionada pasarela (2, 3), indicando la mencionada nueva dirección (MN nueva Co @) para que la mencionada pasarela actualice su asociación de seguridad saliente con el mencionado terminal móvil (4).
ES03290770T 2003-03-27 2003-03-27 Comunicacion entre una red privada y un terminal movil itinerante. Expired - Lifetime ES2264756T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP03290770A EP1463257B1 (en) 2003-03-27 2003-03-27 Communication between a private network and a roaming mobile terminal

Publications (1)

Publication Number Publication Date
ES2264756T3 true ES2264756T3 (es) 2007-01-16

Family

ID=32799149

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03290770T Expired - Lifetime ES2264756T3 (es) 2003-03-27 2003-03-27 Comunicacion entre una red privada y un terminal movil itinerante.

Country Status (9)

Country Link
US (1) US7516486B2 (es)
EP (1) EP1463257B1 (es)
JP (1) JP4163215B2 (es)
KR (1) KR100679882B1 (es)
CN (1) CN100525300C (es)
AT (1) ATE329443T1 (es)
DE (1) DE60305869T2 (es)
ES (1) ES2264756T3 (es)
WO (1) WO2004086718A1 (es)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
WO2005046126A1 (en) * 2003-10-31 2005-05-19 Juniper Networks, Inc. Secure transport of multicast traffic
TWI236255B (en) * 2003-12-15 2005-07-11 Ind Tech Res Inst System and method for supporting inter-NAT-domain handoff within a VPN by associating L2TP with mobile IP
US7620979B2 (en) 2003-12-22 2009-11-17 Nokia Corporation Supporting mobile internet protocol in a correspondent node firewall
JP4654006B2 (ja) * 2004-11-16 2011-03-16 パナソニック株式会社 サーバ装置、携帯端末、通信システム及びプログラム
US7792072B2 (en) * 2004-12-13 2010-09-07 Nokia Inc. Methods and systems for connecting mobile nodes to private networks
US20060230445A1 (en) * 2005-04-06 2006-10-12 Shun-Chao Huang Mobile VPN proxy method based on session initiation protocol
US20060248337A1 (en) * 2005-04-29 2006-11-02 Nokia Corporation Establishment of a secure communication
US20070198837A1 (en) * 2005-04-29 2007-08-23 Nokia Corporation Establishment of a secure communication
CN1874343B (zh) * 2005-06-03 2010-04-21 华为技术有限公司 IPSec安全联盟的创建方法
US8856311B2 (en) 2005-06-30 2014-10-07 Nokia Corporation System coordinated WLAN scanning
WO2007027958A1 (en) * 2005-08-29 2007-03-08 Junaid Islam ARCHITECTURE FOR MOBILE IPv6 APPLICATIONS OVER IPv4
US8316226B1 (en) * 2005-09-14 2012-11-20 Juniper Networks, Inc. Adaptive transition between layer three and layer four network tunnels
CN100444690C (zh) * 2005-09-22 2008-12-17 中兴通讯股份有限公司 集群系统中实现漫游终端群组信息更新的方法
DE102006014350A1 (de) * 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum teilnehmerspezifischen Aktivieren eines netzbasierten Mobilitätsmanagements
GB2434506A (en) * 2006-01-18 2007-07-25 Orange Personal Comm Serv Ltd Providing a mobile telecommunications session to a mobile node using an internet protocol
CN100488284C (zh) 2006-01-26 2009-05-13 华为技术有限公司 一种3gpp演进网络中漫游用户数据路由优化方法
CN100466816C (zh) * 2006-03-21 2009-03-04 华为技术有限公司 路由优化选择方法
US20070254634A1 (en) * 2006-04-27 2007-11-01 Jose Costa-Requena Configuring a local network device using a wireless provider network
US8296839B2 (en) * 2006-06-06 2012-10-23 The Mitre Corporation VPN discovery server
US8174995B2 (en) * 2006-08-21 2012-05-08 Qualcom, Incorporated Method and apparatus for flexible pilot pattern
US8978103B2 (en) * 2006-08-21 2015-03-10 Qualcomm Incorporated Method and apparatus for interworking authorization of dual stack operation
BRPI0715736B1 (pt) 2006-08-21 2020-02-04 Qualcomm Inc método e equipamento para autorização de interfuncionamento de operação de pilha dual
CN100452799C (zh) * 2006-09-19 2009-01-14 清华大学 IPv6子网内基于签名认证的防止源地址伪造的方法
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
DE102006046023B3 (de) * 2006-09-28 2008-04-17 Siemens Ag Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen
WO2008073735A2 (en) * 2006-12-08 2008-06-19 Adaptix, Inc. System and method for managing wireless base station handoff information
CN101198156B (zh) 2006-12-08 2012-10-31 昂达博思公司 管理无线基站切换信息的系统和方法
CN101675676B (zh) * 2007-05-04 2014-01-22 苹果公司 协商不同的移动ip输送方式
EP2007111A1 (fr) * 2007-06-22 2008-12-24 France Telecom Procédé de filtrage de paquets en provenance d'un réseau de communication
JP4430091B2 (ja) * 2007-08-17 2010-03-10 富士通株式会社 パケットルーティング制御方法、パケットルーティング制御プログラム、端末装置、およびvpnサーバ
US20090129301A1 (en) * 2007-11-15 2009-05-21 Nokia Corporation And Recordation Configuring a user device to remotely access a private network
CA2714280A1 (en) * 2008-02-08 2009-08-13 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for use in a communications network
US8209749B2 (en) 2008-09-17 2012-06-26 Apple Inc. Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement
US8719337B1 (en) 2009-04-27 2014-05-06 Junaid Islam IPv6 to web architecture
KR101382620B1 (ko) * 2009-10-14 2014-04-10 한국전자통신연구원 가상사설망을 구성하는 장치 및 방법
CN102088438B (zh) * 2009-12-03 2013-11-06 中兴通讯股份有限公司 一种解决因特网协议安全性客户端地址冲突的方法及客户端
US8443435B1 (en) 2010-12-02 2013-05-14 Juniper Networks, Inc. VPN resource connectivity in large-scale enterprise networks
US9491686B2 (en) * 2011-07-28 2016-11-08 Pulse Secure, Llc Virtual private networking with mobile communication continuity
US9608962B1 (en) 2013-07-09 2017-03-28 Pulse Secure, Llc Application-aware connection for network access client
CN107579932B (zh) * 2017-10-25 2020-06-16 北京天融信网络安全技术有限公司 一种数据传输方法、设备和存储介质
JP7139943B2 (ja) 2018-12-28 2022-09-21 住友ゴム工業株式会社 空気入りタイヤ

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4038732A1 (de) * 1990-12-05 1992-06-11 Henkel Kgaa Mit synthetischen polymerverbindungen modifizierte werkstoffe und/oder formteile auf staerkebasis und verfahren zu ihrer herstellung
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6571289B1 (en) * 1998-08-03 2003-05-27 Sun Microsystems, Inc. Chained registrations for mobile IP
US6823386B1 (en) * 1999-02-25 2004-11-23 Nortel Networks Limited Correlating data streams of different protocols
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
KR100464374B1 (ko) * 2000-11-01 2004-12-31 삼성전자주식회사 이동통신 단말기에 고정 주소를 할당하기 위한 시스템 및방법
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US7036143B1 (en) * 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility

Also Published As

Publication number Publication date
JP4163215B2 (ja) 2008-10-08
ATE329443T1 (de) 2006-06-15
JP2006514815A (ja) 2006-05-11
WO2004086718A1 (en) 2004-10-07
EP1463257B1 (en) 2006-06-07
US20060185012A1 (en) 2006-08-17
EP1463257A1 (en) 2004-09-29
CN100525300C (zh) 2009-08-05
CN1762140A (zh) 2006-04-19
KR20050122221A (ko) 2005-12-28
US7516486B2 (en) 2009-04-07
DE60305869T2 (de) 2006-10-05
DE60305869D1 (de) 2006-07-20
KR100679882B1 (ko) 2007-02-07

Similar Documents

Publication Publication Date Title
ES2264756T3 (es) Comunicacion entre una red privada y un terminal movil itinerante.
ES2596177T3 (es) Método, equipo y sistema de red para hacer comunicar un terminal con un servidor de infraestructura de un subsistema multimedia IP (IMS) atravesando una red privada
Patel et al. Securing L2TP using IPsec
ES2336898T3 (es) Metodo y red para asegurar el envio seguro de mensajes.
ES2379074T3 (es) Método y sistema para el establecimiento de un canal de comunicaciones de tipo "peer-to-peer".
ES2362993T3 (es) Un método y disposición para proporcionar seguridad a través de conversión de direcciones de red utilizando tunelado y compensaciones.
JP4756048B2 (ja) プレフィックススコープバインディング更新をセキュアにするためのシステム及び関連方法並びに装置
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US10812454B2 (en) Methods and apparatuses for providing security in a roaming environment
US20060182103A1 (en) System and method for routing network messages
US20020066036A1 (en) System and method for secure network mobility
JP5102372B2 (ja) 通信ネットワークにおいて使用する方法および装置
US20070214502A1 (en) Technique for processing data packets in a communication network
ES2376991T3 (es) Procedimientos y aparatos para el envío de paquetes de datos entre nodos móviles
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
CN1949705B (zh) 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置
US7756061B2 (en) Mobile router device and home agent device
Gokulakrishnan et al. A survey report on VPN security & its technologies
US20040037284A1 (en) Method for secure packet-based communication between two units via an intermedia unit
CN101360096B (zh) 一种应用于数字医疗的系统安全规划方法
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
KR100799575B1 (ko) IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이
Patel et al. RFC3193: Securing L2TP using IPsec
ES2616499T3 (es) Aparatos y método para autenticación en redes de IP heterogéneas
Zorn et al. Network Working Group B. Patel Request for Comments: 3193 Intel Category: Standards Track B. Aboba W. Dixon Microsoft