用於安全移動的基於ip的漫遊解決方案的方法、設備和系統的製作方法

2023-08-10 22:06:51 3

專利名稱：用於安全移動的基於ip的漫遊解決方案的方法、設備和系統的製作方法
技術領域：
本發明涉及移動計算領域，並且尤其涉及一種穿越企業防火牆的無縫、安全漫遊解決方案。
背景技術：
目前，諸如膝上型電腦、筆記本計算機、個人數字助理(「PDA」)和蜂窩電話的移動計算裝置(在下文中稱作「移動節點」)的使用變得越來越流行。這些移動節點使用戶能夠從一個位置移動到另一個位置(「漫遊」)，同時繼續保持其到同一網絡的連接。隨著移動節點日益流行，大多數公司(「企業」)網絡當今試圖提供快速和安全移動計算之便利就不足為奇了。
為了自由漫遊，網絡當今通常符合由網際網路工程任務組(「IETF」)頒布的移動IP標準。移動(Mobile)IPv4(IETF RFC 3344，2002年8月)目前是主流標準，並且目前許多網絡都符合移動IPv4。然而，該標準不能為在某些漫遊情況中出現的障礙提供解決方案。


通過例子和非限制性地在附圖的各幅圖中圖示了本發明，圖中相同的參考標記指相似的部件，以及在附圖中圖1表示一個已知的公司內部網結構；圖2表示一個已知的企業網絡布局；圖3表示本發明一個實施例的網絡布局；圖4從概念上表示了在外部網上的移動節點與公司內部網上的對應節點之間建立IPSec隧道以及經由該IPSec隧道傳遞IP分組的處理過程；圖5表示從外部網上的移動節點(MN)發送到內部網之內的對應節點(CN)的IP分組的分組流程圖；和圖6表示從內部網之內的對應節點(CN)發送到外部網上的移動節點(MN)的IP分組的分組流程圖。
具體實施例方式
本發明的實施例提供了穿越企業安全機構(如防火牆)的無縫漫遊解決方案。在說明書中提到的本發明的「一個實施例」或「實施例」是指結合該實施例所描述的一個具體特徵、結構或特性包含在本發明的至少一個實施例中。因此，在整個說明書的各個部分中出現的「在一個實施例中」、「根據一個實施例」或者類似的短語沒有必要全是指同一實施例。
圖1表示一個公知的公司內部網(「公司內部網100」)結構。公司內部網100可以同時包含有線網和無線網，並且可以包括多個子網。子網是指可以共享同一公共地址格式的多個網絡部分。例如，在傳輸控制協議/網際協議(「TCP/IP」)網絡上，所有的子網都可以使用相同的前三組數字(例如100.10.10)。符合移動IPv4標準的移動節點目前可以穿越公司內部網100內的子網自由漫遊。因此，例如，當移動節點(「MN 140」)離開它的原籍(home)子網時，它可以按照兩種方式之一繼續地維持其當前的傳輸連接和恆定的可達性。在第一種情況下，當MN 140離開它的原籍子網時，它可以向原籍代理(「HA 130」)登記。在登記處理期間，MN 140將MN 140的「轉交地址(care-of-address)」(以下稱之為「COA」)(即，MN 140在其新子網上的地址)通知給HA 130。此後，HA 130截取所有尋址至MN 140的IP分組，並為這些分組重新選擇路由到MN140的COA。當MN 140從一個子網移動到另一個子網時，MN 140可以通過動態主機配置協議(「DHCP」)或者其它類似協議獲得新的COA。為了確保HA130能夠正確地為這些分組選擇路由到MN 140，MN 140必須在它在公司內部網100上漫遊時用其新COA不斷地更新HA 130。這種配置通常稱作「協同定位(co-located)」通信模式。
作為另一種選擇，當MN 140離開其原籍子網時，它可以通過MN 140的新(「外部」)子網上的外部代理(「FA 135」)向HA 130登記。通過向FA 135登記，MN 140可以使用FA 135的IP位址作為其向HA 130登記時的COA。在這種情況下，HA 130繼續截取所有尋址到MN 140的分組，但是現在為這些分組重新選擇路由到FA 135，即，提供給HA 130的MN 140的COA。FA 135檢查它所接收的所有分組，並將合適的分組發送給在外部子網的當前位置上的MN 140，這種配置通常稱之為「非協同定位」通信模式。使用協同定位還是使用非協同定位的判決對於本領域的熟練技術人員是公知的。例如，某些網絡可以強迫MN 140向FA 135登記，以保持其傳輸連接。在其它網絡中，MN 140可以選擇向FA 135登記還是以協同定位模式操作。
公司內部網100還可以耦合到一個外部網，例如網際網路，並且MN 140可以在公司內部網100與外部網之間漫遊。圖2表示當今的公知網絡布局，包括公司內部網100，該內部網100利用公司停火區域(demilitarized zone)210(「公司DMZ 210」)與外部網(「外部網205」)分離。公司DMZ 210是本領域熟練技術人員所公知的，並且DMZ 210通常包括兩個防火牆內防火牆215和外防火牆220。內防火牆215將公司內部網100與公司DMZ 210相分離，而外部網220將外部網205與公司DMZ 210相分離。類似於公司內部網100，外部網205還可以同時包含有線網和無線網，並包含多個子網。除了內部網100上的HA 130和FA 135之外，網絡布局還可以包含外部網205上的一個或多個外部代理(「FA 235」)。FA 235可以在與公司內部網100上的HA 130和FA 135不同的(即不是由相同的實體管理的)一個管理域上。
為了安全目的，許多網絡布局很可能包括安全網關，例如虛擬專用網(「VPN」)網關(在圖2中集中圖示為「VPN網關225」)，這些網關將公司內部網與外部網205分離。VPN網關225可以被配置以提供在公司內部網100上的節點與外部網205上的節點之間通信的安全裝置。VPN網關對於本領域熟練技術人員是公知的，並因此省略對其詳細的說明。
當MN 140試圖在公司內部網100與外部網205之間漫遊時，VPN網關225的存在引入了一定的複雜性。具體而言，如果VPN網關225存在於公司內部網100與外部網205之間，當MN 140離開公司內部網100而在外部網205上漫遊時，MN 140必須首先與VPN網關225建立安全的IP連接(概念性地圖示為「IPSec隧道245」)，以保持其當前的傳輸連接。MN 140與VPN網關225之間的IPSec隧道245與兩個隧道IP位址相關聯。這兩個地址對應於隧道外部地址(「TOA」)(即，對應於外部網205上的MN 140的地址)和隧道內部地址(「TIA」)，即分配給MN 140的邏輯上在公司內部網100之內一個子網上的地址。在上述實例中，IPSec隧道225的TOA對應於MN 140的COA。IPSec隧道與VPN網關的使用是本領域熟練技術人員所公知的，因此省略對其進一步的描述。
一旦在MN 140與VPN網關225之間建立IPSec隧道245，如果MN 140在外部網205上漫遊，則MN 140必須採用它的新COA經由IPSec隧道145繼續更新HA 130。然而，如上所述，IPSec隧道145的TOA對應於MN 140的COA。這樣，在協同定位模式中，當MN 140改變它的網絡連接的當前點以及它的COA改變時，MN 140將不得不使用它的新COA作為新IPSec隧道的TOA來與VPN網關225重新協商一條新的IPSec隧道。該重新協商處理具有顯著的性能牽連(performance implication)，並且可能在成功的重新協商之前造成分組流超時。
在非協同定位模式下，當MN 140在外部網205漫遊時，其COA也可能連續地改變。每當MN 140從外部網205上的一個子網移動到另一個子網時，它可以向每個相應子網上的不同外部代理登記。每當MN 140向不同的外部代理登記時，MN 140的COA可以改變，這是因為MN 140把外部代理的地址用作它的COA。然而，在這種配置中，VPN網關225的存在，並且通過擴展而言，IPSec隧道145的使用使FA 235(很可能處於與HA 130和外部網205上的任何其它外部代理都不同的管理域中)不能觀看到它從MN 140和HA 130接收到的IP分組的內容。換言之，FA235將不能解密MN 140與HA 130之間的IP分組。因此，FA 235可能不能將分組發送給MN 140和/或HA 130以及從中接收分組。
本發明的這些實施例解決了移動節點試圖穿越包括VPN網關的企業DMZ安全地漫遊而出現的困難。在協同定位模式(其中移動節點通過DHCP或者其它類似協議獲得COA)中，本發明的這些實施例解決了上述問題，即移動節點每當其從一個子網移動到外部網的另一個子網時必須與VPN網關重新協商IPSec隧道，從而改善了性能。在非協同定位模式(其中移動節點向外部代理登記並使用外部代理的IP位址作為其COA)，本發明的這些實施例能夠使移動節點經由IPSec隧道穿越網關通信，同時保持其傳輸連接。
圖3圖示了本發明一個實施例的網絡布局。具體地，如圖所示，此網絡布局可以至少包括兩個原籍代理，一個(或者多個)原籍代理位於公司內部網100上(「HAi 300」)，而另一個原籍代理位於公司內部網100的外部(「HAx 305」)。公司內部網的「外部」可以包括公司DMZ 210之內的位置或者外部網205上的位置。為了解釋的目的，下面的描述假設HAx 305位於外部網205上，但是本發明的這些實施例不限於此。HAx 305例如可以位於公司DMZ 210之內。
此外，在某些實施例中，HAx 305可以在公司DMZ 210之內的一個獨立數據處理裝置上實現HAx 305。HAx 305在其它實施例中，也可以在與VPN網關225相同的數據處理裝置上實現HAx 305。顯然本領域的熟練技術人員可以以各種方式實現HAx 305，而這不影響本發明的這些實施例的精神。
下面將描述符合移動IPv4標準(IETF RFC 3344，2002年8月)的本發明的實施例。然而，本領域的熟練技術人員將會明白，本發明的這些實施例也可以在符合其它漫遊標準的網絡上實現。例如，網絡可以符合移動IPv6(IETFMobile IPv6，Intemet Dratf draft-ietf-mobileip-ipv6-19.txt.(Work In Progress)(IETF移動IPv6，網際網路草案draft-ietf-mobileip-ipv6-19.txt(研究中))，2002年10月)，但是由於這些網絡的當前特性，上述問題不太可能出現。然而，本領域熟練技術人員將會明白，如果此種問題出現在移動IPv6或者類似網絡中，則可以容易地修改本發明實施例以便在這些網絡上使用。
根據本發明的實施例，MN 140可以包括但不限於膝上型電腦、筆記本計算機、手持計算裝置、個人數字助理(PDA)、蜂窩電話機以及其它能夠無線接入的裝置。下面說明用於MN 140的典型漫遊情況。首先，如上結合圖1所述的，MN 140可以從它的原籍子網漫遊到公司內部網100之內的其它子網。在公司內部網100內的漫遊維持不受本發明實施例的影響，因為不涉及VPN網關和/或IPSec保護的IP分組。其它的漫遊情況包括從公司內部網100到外部網205的漫遊、從外部網205到公司內部網100的漫遊和/或外部網205上的漫遊。在這後三種漫遊情況中可涉及本發明的實施例。
在一種實施例中，MN 140可以穿越公司DMZ 210從公司內部網100的子網漫遊到外部網205上的子網。在這種情況中，為了與諸如公司內部網100的對應節點(「CN」)310通信(或保持現有通信)，根據本發明的一種實施例，MN 140向HAi 300和HAx 305登記。更具體地說，MN 140首先向HAx 305登記，並然後獲得其在HAx 305上的原籍地址(「MN_Hx」)以及它在外部網205上的轉交地址(以下稱之為「COAx」)，這可以通過一個DHCP伺服器和/或其它類似裝置獲得。DHCP伺服器例如可以由外部網205上提供的服務供應商所擁有。在其它的實施例中，MN 140可以從外部代理235中獲得COAx。
然後，MN 140建立到VPN網關225的IPSec隧道315。再一次，將MN 140與VPN網關225之間的IPSec隧道315與兩個隧道地址(TOA和TIA)相關聯。根據本發明的這些實施例，在與VPN網關225協商以建立IPSec隧道315的處理之前或者在此期間，MN 140和/或VPN網關225可以指定MN_Hx為TOA，並指定HAi上的MN 140的原籍地址(「MN_Hi」)為TIA。本領域的熟練技術人員將容易明白，可以以各種方式分別執行把MN_Hx和MN_Hi指定為TOA和TIA的處理。MN_Hi是一個靜態或者動態地分配給MN 140的不變地址(恆定地址)。MN_Hi例如可以通過公司信息技術部門或者其它這樣的實體手動地與MN 140相關聯。作為選擇，可以通過來自MN 140的與網絡地址識別符(「NAT」)擴展相組合的登記請求來動態地分配此地址。可以在各實施例中使用其它類似的方法。上面的描述假定MN 140在漫遊到公司內部網100之外之前已經知道它的恆定原籍地址。然而，如果MN 140在從公司內部網100漫遊到外部網205之前最初不知道它的原籍地址，則MN 140也許不得不執行稍後將詳細說明的步驟。
一旦建立了IPSec隧道315，MN 140就可以(經由IPSec隧道315)向HAi300登記，並向HAi 300提供它的原籍地址(MN_Hi)以及關於HAi 300的轉交地址(「COAi」)。在一個實施例中，COAi是VPN網關225的專用IP位址。此後，MN 140可以把IPSec安全協議應用於它所發送的所有IP分組，並經由IPSec隧道315向公司內部網100上的節點安全地發送這些分組，反之亦然。IPSec安全協議可以包括IP鑑權報頭(Authentication Header)(「AH」)協議和封裝安全有效負載(「ESP」)協議。AH可以提供無連接的完整性、數據起源鑑權和任選的抗再播業務，而ESP可以提供加密、有限業務流機密性、無連接的完整性、數據起源鑑權和抗再播(anti-replay)服務。為了說明的目的，所提到的「加密」和/或其同義詞一般是指將AH和/或ESP應用於IP分組，所提到的「IPSec保護IP分組」是指被加密的IP分組。執行這種加密的機制對本領域熟練技術人員來說是已知的，因此在此省略對其的說明，因此不會不必要地使本發明的圖4從概念上圖示根據本發明一種實施例的上面所描述的處理。儘管下面的說明假定處理是順序地進行的，但是本發明實施例並不限制於此。某些處理可以順序地進行，而其他的處理則可以同時地進行，這並不背離本發明實施例的精神。如圖所示，在步驟401，MN 140向HAx 305登記。MN 140還在步驟402中與VPN網關225建立一條IPSec隧道。IPSec隧道包括分別對應於MN_Hx和MN_Hi的TOA和TIA。MN 140隨後在步驟403經由IPSec隧道向HAi 300登記，並向HAi 300提供它的轉交地址(COAi，即VPN網關225的專用地址)。然後，MN 140向諸如公司內部網100上的CN 310的節點發送IPSec保護IP分組。
一旦向HAx和HAi登記了MN 140，並且已經建立了IPSec隧道315，MN 140就可以向CN 310發送和接收IPSec保護IP分組。如圖4概念性地圖示的，MN140可以向CN 310發送IPSec保護IP分組，如下所述。在步驟404中，將來自MN 140的IP分組加密並「反向隧道發送」到HAx 305。反向隧道化的處理基本上是利用IP報頭封裝IPSec保護IP分組，該IP報頭把MN 140的COAx識別為源地址，並把HAx 305識別為目的節點。在步驟405，HAx 305接收並解封分組並將其發送到VPN網關225。VPN網關225接收此分組並將其解密以識別最終的目的節點，即CN 310。在步驟406，VPN網關225隨後通過把MN_Hi用作源節點的地址以及把CN 310地址用作目的節點地址來將已解密的分組發送給CN 310。
在一個實施例中，CN 310可以通過向MN 140發送一個響應IP分組來響應這些IP分組。在一個可替代的實施例中，CN 310可以啟動與MN 140的通信(correspondence)。在任一實例中，由於MN 140被HAi 300登記，因此在步驟407，HAi 300可以截取來自CN 310的所有分組。在步驟408中，HAi 300檢查該分組並把該分組發送到COAi(即VPN網關225的專用地址，它是與HAi300有關的MN 140的轉交地址)。VPN網關225接收已加密的IP分組、去除外部IP封裝並檢查該分組，以確定目的節點的地址，在這種情況下目的節點是MN 140。一旦把MN 140識別為目的節點，VPN網關225加密分組並將其發送到MN Hx。由於MN 140被外部網205上的HAx登記，因此，在步驟409，HAx 305截取該分組。HAx 305檢查IP分組，將MN 140識別為目的節點，並在步驟410中，HAx 305為該分組選擇路由到MN 140的COAx(即，外部網205上的MN 140的當前子網位置)。圖5是分組流程圖，從概念上圖示了從外部網205上的MN 140到公司內部網100上的CN 310的上述分組的發送。具體地說，如圖所示，來自MN 140的IP分組501被從MN_Hi(被HAi登記的MN 140的恆定原籍地址)尋址到CN 310。該分組被加密(增加502)，通過將MN 140的COAx用作外部IP報頭中的源IP位址，使此分組尋址到VPN網關225(增加503)並經過反向隧道到達HAx 305(增加504)。HAx 305接收該分組、解封該分組(除去504)、將VPN網關225識別為目的地並將該分組發送給VPN網關225。VPN網關225接收該分組(除去503)、解密該分組(除去502)、識別原分組501內的目的節點CN310並將該分組發送給CN310。
圖6是分組流程圖，在概念上圖示了從公司內部網上的CN 310到外部網205上的MN 140的上述分組的發送。從CN 310到MN 140的IP分組601可以被HAi 300截取(由於MN 140被HAi 300登記)。HAi 300隨後將該分組轉發給MN 140的VPN網關225(增加602)。VPN網關225接著接收該分組(除去602)，加密該分組(增加603)並向MN Hx發送該分組(增加604)。HAx 305截取分組、將MN 140識別為最終目的節點並將該分組發送到MN 140的COAx，即它在外部網205上的當前子網位置(增加605)。
如上所述，上述的說明假定MN 140在它最初離開公司內部網100時就知道它的原籍地址。如果MN 140在離開公司內部網100進入外部網205時不知道它的原籍地址和/或還沒有被分配一個原籍地址，則仍然可以應用本發明的實施例。然而，在這種情況下，MN 140最初可以向HAx 305登記、與VPN網關225建立一個臨時IPSec隧道(「IPSec Temp」)並向HAi 235登記。當向HAi235登記時，MN 140可以使「原籍地址」欄位為空，因而允許HAi分配一個原籍地址給MN 140。一旦MN 140接收到這個分配的原籍地址，它隨後可以拆除該臨時IPSec隧道(IPSec Tunnel Temp)，並使用最新分配的恆定原籍地址作為TIA來建立IPSec隧道315。此後，可以如上所述應用本發明的實施例。
根據本發明的實施例，當MN 140從外部網205漫遊回到公司內部網100時，MN 140可以保持被HAi 300登記。然而，MN 140可以拆除IPSec隧道315。為了說明的目的，「拆除」包括除去MN 140、HAx 305、TIA與TOA之間的聯繫。MN 140隨後可以繼續在公司內部網100之內漫遊，同時保持它的傳輸連接。
如果MN移動節點140離開公司內部網100，打算只在外部網205上漫遊，即它不打算與公司網100上的任何節點通信，則MN 140可以僅向HAx 305登記，並且與VPN網關225建立IPSec隧道315。在此情況下，MN 140不必向HAi 300登記，因為HAi 300僅僅在公司網100之內擇路發送分組。然而，通過與VPN網關225建立IPSec隧道315，MN 140可以保持其在公司網100上的傳輸連接，並與外部網205上的其它節點安全地通信。
根據本發明實施例的移動節點、原籍代理和VPN可以在各種數據處理裝置上實現。本領域熟練技術人員將容易明白，這些數據處理裝置可以包括各種軟體，並且可以包括能夠支持移動網的任何裝置，包括但不限於主機、工作站、個人計算機、膝上型電腦、便攜手持計算機、PDA和/或蜂窩電話機。在一個實施例中，移動節點可以包括便攜數據處理系統，例如膝上型電腦、手持計算裝置、個人數字助理和/或蜂窩電話機。根據一個實施例，原籍代理和/或VPN可以包括數據處理裝置，例如個人計算機、工作站和/或主機計算機。在可替代的實施例中，原籍代理和VPN也可以包括便攜數據處理系統，這類似於用來實施移動節點的便攜數據處理系統。
根據本發明的實施例，數據處理裝置可以包括能夠運行實現本發明實施例的指令的各種部件。例如，數據處理裝置可以包括和/或連接到至少一個機器可訪問介質。在本說明書使用時，「機器」包括但不限於具有一個或多個處理器的任何數據處理裝置。在本說明書中使用時，機器可訪問媒體包括以數據處理裝置可訪問的任何形式存儲和/或發送信息的任何機構，該機器可訪問媒體包括但不限於可記錄/不可記錄介質(例如只讀存儲器(ROM)、隨機存取存儲器(RAM)、磁碟存儲介質、光存儲介質以及快快閃記憶體儲裝置以及電、光、聲或者其它形式的傳播信號(例如載波，紅外信號和數位訊號)。
根據一個實施例，數據處理裝置可以包括各種其它公知的部件，例如一個或多個處理器。使用橋接器/存儲器控制器可以通信地連接處理器和機器可訪問介質，並且處理器能夠運行存儲在機器可訪問介質中的指令。橋接器/存儲器控制器可以耦合到一個圖形控制器，該圖形控制器可以控制顯示裝置的顯示數據的輸出。橋接器/存儲器控制器可以耦合到一條或多條總線。主機總線主機控制器(例如通用串行總線(「USB」)主機控制器)可以被耦合到一條或多條總線上，以及多個裝置可以被耦合到USB上。例如，諸如鍵盤和滑鼠的用戶輸入裝置可以被包括在數據處理裝置中以提供輸入數據。
在上述說明書中，已經參照本發明的具體示範性實施例說明了本發明，但是本領域熟練技術人員將會明白，在不背離所附權利要求所述的本發明寬泛精神和範圍的條件下，可以對本發明作出各種修改和改變。因此，應當按照說明性意義而不是限制性意義來看待本說明書和附圖。
權利要求
1.一種用於安全發送網絡分組的方法，包括以下步驟使用外部原籍地址向外部原籍代理登記一個移動節點；在所述移動節點與安全網關之間建立一個IPSec隧道，所述安全網關使原籍網絡與外部網分離，所述IPSec隧道包括一個對應於外部原籍地址的隧道外部地址(TOA)和一個對應於內部原籍地址的隧道內部地址(TIA)；和通過所述IPSec隧道在所述移動節點與一個對應節點之間發送分組。
2.根據權利要求1所述的方法，其中所述移動節點和所述對應節點位於所述外部網上。
3.根據權利要求1所述的方法，其中所述移動節點位於所述外部網上，而所述對應節點位於原籍網絡上，並且所述方法還包括使用所述內部原籍地址通過所述IPSec隧道向所述原籍網絡上的內部原籍代理登記所述移動節點。
4.根據權利要求3所述的方法，其中向所述內部原籍代理登記所述移動節點的步驟還包括使用所述內部原籍地址和外部轉交地址向所述內部原籍代理登記所述移動節點。
5.根據權利要求1所述的方法，其中向所述外部原籍代理登記所述移動節點的步驟還包括利用所述外部原籍地址和內部轉交地址向所述外部原籍代理登記所述移動節點。
6.根據權利要求1所述的方法，其中所述外部原籍代理位於所述外部網上。
7.根據權利要求1所述的方法，其中所述外部原籍代理位於使所述原籍網絡與所述外部網分離開來的公司停火區域之內。
8.根據權利要求7所述的方法，其中所述安全網關位於所述公司停火區域之內。
9.一種用於通過安全網關為分組選擇路由的方法，包括以下步驟從一個移動節點接收建立IPSec隧道的請求；建立IPSec隧道，所述IPSec隧道包括一個與所述移動節點的外部原籍地址相對應的隧道外部地址(TOA)和一個與所述移動節點的內部原籍地址相對應的隧道內部地址(TIA)；和通過所述IPSec隧道在所述移動節點與一個對應節點之間為分組選擇路由。
10.根據權利要求9所述的方法，其中所述安全網關使原籍網絡與外部網分離。
11.根據權利要求9所述的方法，其中所述移動節點位於所述外部網上，並且所述方法還包括使用所述外部原籍地址在外部網的外部原籍代理上登記所述移動節點。
12.根據權利要求10所述的方法，其中所述對應節點位於所述原籍網絡上，並且所述方法還包括使用所述內部原籍地址通過所述IPSec隧道在所述原籍網絡的內部原籍代理上登記所述移動節點。
13.根據權利要求9所述的方法，其中接收建立IPSec隧道的請求還包括接收通過使用所述移動節點的外部原籍地址作為TOA並使用所述移動節點的內部原籍地址作為TIA來建立IPSec隧道的請求。
14.一種安全發送網絡分組的系統，包括一個安全網關，使原籍網絡與外部網分離；一個移動節點，能夠在所述原籍網絡與所述外部網之間漫遊；一個外部原籍代理，能夠在所述移動節點在所述外部網上時登記所述移動節點的外部原籍地址，並且所述外部原籍代理還能夠在所述外部原籍代理與所述安全網關之間建立安全隧道，其中所述安全網關包括外部原籍地址和內部原籍地址；和一個對應節點，能夠通過安全隧道從所述移動節點接收通信。
15.根據權利要求14所述的系統，其中所述安全網關是一個虛擬專用網(「VPN」)網關。
16.根據權利要求14所述的系統，其中所述移動節點和所述對應節點位於所述外部網上。
17.根據權利要求14所述的系統，其中所述移動節點位於所述外部網上，而所述對應節點位於所述原籍網絡上，並且所述系統還包括一個內部原籍代理，所述內部原籍代理能夠在所述移動節點位於所述原籍網絡上時登記所述移動節點的內部原籍地址。
18.一種產品，包括在其上存儲指令的機器可訪問介質，所述指令當由機器運行時使所述機器執行以下操作利用外部原籍地址向外部原籍代理登記移動節點；在所述移動節點與安全網關之間建立IPSec隧道，所述安全網關使原籍網絡與外部網分離，所述IPSec隧道包括一個對應於外部原籍地址的隧道外部地址(TOA)和一個對應於內部原籍地址的隧道內部地址(TIA)；和通過所述IPSec隧道在所述移動節點與一個對應節點之間發送分組。
19.根據權利要求18所述的產品，其中所述移動節點位於所述外部網上，而所述對應節點位於所述原籍網絡上，並且該產品還包括當由機器運行時進一步使所述機器利用內部原籍地址經由所述IPSec隧道向所述原籍網絡上的內部原籍代理登記所述移動節點的指令。
20.根據權利要求18所述的產品，還包括當由機器運行時進一步使所述機器利用內部原籍地址和內部轉交地址向所述內部原籍代理登記所述移動節點的指令。
21.根據權利要求18所述的產品，還包括當由機器運行時進一步使所述機器利用外部原籍地址和外部轉交地址向所述外部原籍代理登記所述移動節點的指令。
22.一種產品，包括在其上存儲指令的機器可訪問介質，所述指令當由機器運行時使所述機器執行以下操作從移動節點接收建立IPSec隧道的請求；建立IPSec隧道，所述IPSec隧道包括一個與所述移動節點的外部原籍地址相對應的隧道外部地址(TOA)和一個與所述移動節點的內部原籍地址相對應的隧道內部地址(TIA)；和經由所述IPSec隧道在所述移動節點與一個對應節點之間為分組選擇路由。
23.根據權利要求22所述的產品，還包括當由機器運行時進一步使所述機器利用外部原籍地址在外部網的外部原籍代理上登記所述移動節點的指令。
24.根據權利要求22所述的產品，還包括當由機器運行時進一步使所述機器利用內部原籍地址經由所述IPSec隧道在所述原籍網絡的內部原籍代理上登記所述移動節點的指令。
25.根據權利要求18所述的產品，還包括當由機器運行時進一步使所述機器接收使用所述移動節點的外部原籍地址作為TOA和使用所述移動節點的內部原籍地址作為TIA來建立IPSec隧道的請求的指令。
全文摘要
本發明公開了提供無縫、安全漫遊解決方案的方法、設備和系統。本發明的實施例能夠穿越企業安全網關安全地傳輸IP分組。根據一個實施例，外部網上的移動節點可以利用外部原籍地址向外部原籍代理登記。移動節點還使用外部原籍地址和內部原籍地址來建立一條到達安全網關的安全路徑。然後，移動節點可以使用此安全路徑與外部網上的節點通信。在其它實施例中，移動節點可以使用該安全路徑、利用內部原籍地址向原籍網絡上的內部原籍代理登記。然後，移動節點可以通過該安全路徑與原籍網絡上的節點相對應。
文檔編號H04L29/06GK1509111SQ0312729
公開日2004年6月30日 申請日期2003年9月18日 優先權日2002年12月18日
發明者F·阿蘭吉, R·S·納亞拉, M·B·安德魯斯, F 阿蘭吉, 安德魯斯, 納亞拉 申請人:英特爾公司