专利名称:移动式vpn的动态代理器分配方法及系统的制作方法
技术领域:
本发明是为一种移动式虚拟专用网络(Mobile Virtual PrivateNetwork以)动态代理器(Home Agent)分配(Assignment)方法及系统,特别是关于一种在因特网通信安全协议(IPsec)架构上的VPN,可动态分配外部代理器提供移动节点注册的方法及系统。
背景技术:
虚拟专用网络(Virtual Private Network,以下简称VPN)是一种可利用广域网络(如因特网)将一远程使用者计算机与一本地网络的服务器建立专用的网络信道,进行数据传输,并提供就像在封闭的私人局域网络内部一样安全。
VPN为了确认安全性因此具有下列基本要求1.用户验证VPN必须能够验证使用者身份并严格控制只有经注册授权的使用者才能登录。
2.地址管理VPN必须能够为使用者分配专用网络上的地址,并确保地址安全性。
3.数据加密对于通过因特网传输的数据必须经过加密,以确保因特网上的其它未授权使用者无法读取数据信息。
4.密钥管理VPN必须能够产生并更新使用者端计算机与服务器的加密金钥。
5.支持多种协议VPN必须能够支持因特网上普遍使用的基本协议,包括IP、IPX、PPTP(点对点信道协议)、L2TP(第2层通道协议)或因特网通信安全协议...等等。
因特网通信协议(IP)是一种在计算机网络(如因特网)上传输数据所使用的通信协议,然而IP并未定义任何的安全性机制。因此,因特网工程任务组(Internet Engineering Task Force,以下简称IETF)在Request for Comments(RFC)2401通信标准中定义一种因特网通信安全协议,是一种将IP流量加密的方法,可以保护网络通信,以防止数据修改、第三者检视、模拟,以及被撷取及回放的标准。
但由于无线网络技术的迅速发展,因此针对无线传输网络如何建立移动式VPN已成为相当重要的研究课题,而应用无线技术的移动式VPN,在IETF也定义了一Mobile IPv4(IETF RFC 3344)协议标准,但在该Mobile IPv4标准仍有一些的问题需要解决。
例如, 当一移动节点(Mobile Node,以下简称MN)(如装设有无线网络设备的移动计算机),在一个内部网络(Intranet)漫游时,会由一个本地代理器(Home Agent,HA)分配一个移动IP(Mobile IP,以下简称MIP)给该MN,而当MN由该内部网络漫游至一外部网络(Internet)时,如在家中或外地分公司,MN会由当地的一外地代理器(Foreign Agent,FA)进入一个以因特网通信安全协议为安全基础的VPN网关器(VPN Gateway)向本地代理器(HA)进行注册,使VPN网关器对外地代理器(FA)建立因特网通信安全协议通道。
而MN在所漫游的外部网络中会得到一个新的转接地址(Careof Address,以下简称CoA),并要求VPN网关器为MN在每次漫游到一新的子网络时更新因特网通信安全协议信道。然而,所有进入该VPN网关器的数据封包信息都会被因特网通信安全协议安全标准加密,而外地代理器并无法解密这些加密过的数据封包,因此外地代理器(FA)并无法传输IP信息。
为了解决上述的问题,IETF的Mobile IPv4的工作小组(Working Group,WG)提出一种利用一部固定的机器(Mechanism)去支持VPN用户作国际无缝漫游(International Seamless Roaming,ISR)的方法。
该方法是在将内部网络中的本地代理器(HA)定义为一内部本地代理器(Internal Home Agent,以下简称i-HA),而在外部网络(External Network)中建置一外部本地代理器(External HomeAgent,以下简称x-HA),i-HA是作为内部网络管理(MobilityManagement)MN的漫游状况之用,而x-HA则是当MN漫游至外部网络时,作为管理MN的漫游状况之用。
而多出的x-HA可将已建立的因特网通信安全协议通道(Ipsectunnel)包覆在外部移动通信数据通信(x-MIP tunnel)之下,不需变更到已建立的因特网通信安全协议通道,因此当该MN由VPN网关器获得一新的转接地址(CoA)后,VPN网关器所建立的因特网通信安全协议通道则不会被破坏,也因此该外部代理器(FA)就可以解密该外部移动IP(x-MIP)的信道信息,故而用此方法可不必修改Mobile IPv4标准及因特网通信安全协议标准,只改变一些移动节点所必需要的转接地址(CoA)。
如图1所示,即为IETF所定义的移动式VPN标准架构示意图。在图1中有一MN1通过一i-HA11漫游在一内部网络10内,而当MN1由内部网络10移至一外部网络20时,MN1必须向一个x-HA21进行注册,以获得一个新的CoA,而x-HA21再向一VPN网关器22要求建立因特网通信安全协议通道连接至x-HA21。最后VPN网关器22再向i-HA11注册MN1的VPN-TIA(VPN Tunnel InnerAddress),以便将所建立该因特网通信安全协议通道连接该i-HA11,形成由外部网络20及内部网络10皆可漫游的虚拟专用网络。
而图2所示,为移动式VPN的所建立信道的信息结构示意图,是MN1由内部网络10漫游到外部网络20的信道信号数据封包30,其中包含一层原始数据封包(Original Packet)31,在原始数据封包31前包覆一层内部移动IP(i-MIP)的信道信息32(由i-HA11到VPN网关器22),而在内部移动IP信道信息32外更包覆一层因特网通信安全协议信道信息33(由VPN网关器22到x-HA21),又在因特网通信安全协议信道信息33外再包覆一层外部移动IP(x-MIP)的信道信息34(由x-HA21到MN1的转接地址)。
但是在这些公知IETF的方法中,会产生两个问题,第一是x-HA21应该被放置于何处最为适当?第二是可否相信x-HA是安全的?由于在这些公知IETF的方法中是在外部网络20中建置一个固定(Static)的x-HA21,若外部网络20中有包含若干个子网络(Subnet)时,则如何安排x-HA21的放置地点,将会影响到漫游子网络间外部代理器(FA)与x-HA21间的转接传递(Handoff)时间延迟,以及漫游子网络间的端至端(End-to-End)时间延迟问题。且由于x-HA21是VPN网关器22无法控制的外部网络20中,因此是否能相信x-HA21是否真的符合因特网通信安全协议的安全标准?发明人为解决上述现有移动式VPN的需求以及问题,提出一种移动式VPN动态代理器(x-HA)分配方法及系统,可动态分配接近MN的本地代理器(HA)作为x-HA,因此可将漫游网络间的转接传递(Handoff)延迟及端至端(End to End)延迟降到最小,且可完全结合VPN的因特网通信安全协议安全控制,是一合理且能有效改善上述缺点的发明。
发明内容
本发明的目的是在于提供一种移动式VPN的动态代理器分配方法及系统,可动态的分配在漫游外部网络中接近移动节点的外部本地代理器作为该移动节点的注册代理器,使移动节点在相同的外部网络中漫游时,只需向该外部本地代理器注册即可,而不必再至该内部网络的内部本地代理器注册一因特网工程任务组的方法即可,如此可将漫游时的代理器间转接传递(Handoff)延迟及端至端(End to End)延迟降到最小,且可完全结合VPN的因特网通信安全协议安全控制。
为达成上述目的,本发明主要提供一种移动式VPN之动态代理器分配方法,可在至少一外部网络与一内部网络间建立VPN,该方法首先当一移动节点第一次漫游在外部网络中时, 由一个DHCP服务器分配一个IP地址,作为移动节点的转接地址向外部本地代理器发出注册请求,外部本地代理器则发出一授权确认请求信息给一外地AAA服务器,使外地AAA服务器将至少一外部本地代理器的网络接收标识填入授权确认请求信息中,再转送给一本地AAA服务器;接着,本地AAA服务器成功认证MN后,建立外部本地代理器与移动节点间的安全连接,并产生一本地代理器请求信息,发送给外部本地代理器;外部本地代理器为移动节点分配一外部本地地址,并将外部本地地址及本身的地址设定于一本地代理器回复信息中,发送给本地AAA服务器;然后,本地AAA服务器使用外部本地地址作为移动节点的转接地址,向内部本地代理器进行注册,注册完毕后,内部本地代理器授权本地AAA服务器发出一授权确认回复信息给外部本地代理器;最后,外部本地代理器从授权确认回复信息中获得一包含外部本地地址及本地代理器地址的注册回复信息,转送给移动节点,此后移动节点在外部网络漫游时,可利用外部本地地址向本地代理器地址的本地代理器进行注册即可。
本发明更提供一种移动式VPN之动态外部代理器分配系统,是可以在至少一外部网络与一内部网络间建立VPN,使至少一个移动节点可安全地漫游在外部网络,该系统包括一内部本地代理器、至少一外部本地代理器、一VPN网关器、至少一代理器分配器及至少一DHCP服务器,其中内部本地代理器(i-HA)是作为管理移动节点在内部网络中的漫游注册;而外部本地代理器(x-HA)是作为管理移动节点在外部网络中的漫游注册;VPN网关器可建立一个(因特网通信安全协议)信道在内部网络与外部本地代理器之间;代理器分配器是用以动态分配任意一个接近移动节点的外部本地代理器来进行移动节点的漫游注册;及DHCP服务器是用以让移动节点第一次漫游在外部网络时,自动分配一IP地址向外部本地代理器、AAA服务器及内部本地代理器进行漫游注册,以建立与VPN网关器间的因特网通信安全协议通道后,使移动节点漫游在外部网络内仅需向最接近的外部本地代理器进行注册即可。
图1为因特网工程任务组所定义的移动式虚拟专用网络标准架构示意图;图2为该移动式虚拟专用网络的所建立信道的信息结构示意图;图3为本发明移动式虚拟专用网络的是统架构示意图;图4为该移动节点在内部网络漫游的注册流程图;图5为该移动节点在内部网络漫游的时态示意图;图6为该移动节点在外部网络漫游的注册流程图;图7A、图7B是为该移动节点在外部网络漫游的时态示意图。
图号说明1 移动节点(移动节点) 11 内部本地代理器(i-HA)10 内部网络 20 外部网络21 外部本地代理器(x-HA) 22 虚拟专用网络网关器30 信道讯号数据封包 31 原始数据封
32 内部移动IP信道信息 33 IPsec信道信息34 外部移动IP信道信息 80 移动节点(MN)54 外部本地代理器(x-HA) 40 内部网络41 DHCP服务器 42 内部路由器43 子网络(subenet)44 无线基地台(WAP)45 内部本地代理器(i-HA) 46 内部外地代理器(i-FA)50 外部网络 51 外部路由器53 外地AAA服务器(AAAF)54 外部本地代理器(x-HA)55 外部外地代理器(x-FA) 56 DHCP服务器57 无线基地台(WAP)60 非管制区(DMZ)61 本地AAA服务器(AAAH)62 VPN网关器具体实施方法为了使贵审查委员能更进一步了解本发明为达成预定目的所采取的技术、手段及功效,请参阅以下有关本发明的详细说明与附图,相信本发明的目的、特征与特点,当可由此得一深入且具体的了解。如图3所示,为本发明移动式VPN的系统架构示意图。本发明主要是可动态分配一外部网络中最接近一移动节点80的本地代理器(HA)作为一外部本地代理器(x-HA)54,以便让MN80向x-HA54进行注册,完成移动式虚拟专用网络(Mobile VPN)因特网通信安全协议信道的建立。
本发明可利用在外部网络领域内所使用的DHCP服务器、AAA(Authentication,Authorization and Accounting)服务器或DNS服务器...等,都可以用来动态分配x-HA,以选择在外部网络中最接近MN80的本地代理器(HA)分配成为x-HA54,且由于x-HA54最接近MN80,因此x-HA54与MN80间的延迟能够被降到最低。而在外部网络中子网(inter-subnet)间的端至端转接传递(Handoff)也将变的更为快速,另外亦可将在外部网络中的另一本地代理器(HA)作为负载平衡之用。
虽然如此,但最重要的仍是x-HA54的安全机制问题,因此较佳地可使用AAA服务器来分配x-HA54,例如我们可以采用Diameter基础协议(Diameter Base on Protocol)(IETF RFC 3588)作为AAA服务器,不仅能分配x-HA,更能够在漫游时移动变化的若干个代理器(Agents)之间,建立安全连接(Security Association以下简称SA),并作为金钥分发中心(Key Distribution Center,KDC)。
如图3所示有一内部网络(Intranet)40及至少一外部网络(Internet)50,内部网络40是一个受保护的私人网络(ProtectedPrivate Network),连接设有一DHCP服务器41及一内部路由器(Interior Router)42,内部路由器42连接一非管制区(DMZ)60,非管制区(DMZ)60是因特网后面的实体区域,面对防火墙位于保护后端系统和数据的第二层防火墙前面,而非管制区(DMZ)60又连接有一本地AAA服务器(以下简称AAAH)61、一VPN网关器62及一外部路由器(Exterior Router)51,而外部路由器51则连接至外部网络50(Internet)。
而在内部网络40中又可能包含了若干个的子网络(Subnet)43,每一子网络43都连接至少一无线基地台(Wireless Access Point,WAP)44,用以无线连接至少一个MN 80。而在内部网络40中更设置有一个i-HA45及一内部外地代理器(Internal Foreign Agent,以下简称i-FA)46,如图3中显示i-HA45是连接于第一子网络(Subnet1)上,而i-FA46则连接于第二子网络(Subnet 2)上,而DHCP服务器41则连接于第三子网络(Subnet 3)上。
如图4及图5所示,是为MN80在内部网络40漫游的注册流程图及时态示意图。由于DHCP服务器41的功能主要是用以动态分配网络内每一部计算机的IP地址,故而DHCP服务器41会不断发出一个广播和查询信息100,侦测网络上是否有新计算机联机(S200)。
因此当MN80漫游至内部网络40的其它子网络时中漫游时,如从第二子网络(Subnet 2)漫游至第三子网络(Subnet 3)时,此时DHCP服务器41会发现MN80,而MN80会发出一IP地址的要求信息105给DHCP服务器41,而DHCP服务器41即会分配一新的动态IP地址110给MN80(S205)。
而MN80即可利用新的IP地址作为一转接地址(CoA),向内部本地代理器(i-HA)45发出一个注册请求(Registration Request以下简称Reg-Req)信息115(S210),由于i-HA45原本就能识别MN80,故而会进行注册,并会回复MN80一注册回复(Registration Reply,以下简称Reg-Reply)信息120(S215),以完成内部网络的漫游注册程序。
如图3所示,外部网络(Internet)50是一个不受保护的公众网络(Unprotected Public Network),其中可能包含有若干个外部网络所组成,图3所显示有一个第一外部网络及一个第二外部网络,而在每一外部网络中又可能包含有若干个子网络,且可分别连接有一外地AAA服务器(Foreign AAA Server,以下简称AAAF)53、一x-HA54、一外部外地代理器(External Foreign Agent,以下简称x-FA)55、一DHCP服务器56及至少一无线基地台(WAP)57。
如图6及图7A、图7B所示,是为MN 80在外部网络50漫游的注册流程图及时态示意图。当MN80从内部网络40漫游至外部网络50时,同样地,当地DHCP服务器56自动分配一动态IP地址给MN80(S400),MN 80利用IP地址作为一转接地址(CoA)300,并向x-HA54发出一Reg-Req信息305(S405)。
而在Reg-Req信息305中应包含有一本地地址(Home Address,以下简称HoA)、一个HA地址、一个需被AAAH61授权的认证信息以及一MN的网络接收标识(Network Access Identifier,NAI)...等等的请求。
且在x-HA54所收到的Reg-Req信息305中,HoA与HA地址都应被设为0.0.0.0,表示MN80是想要在外部网络中获得一外部本地地址(External Home Address,以下简称x-HoA),因此x-HA54会产生一个特征向量(MIP-Feature-Vector)属性值对(AttributeValue Pair,以下简称AVP),其中设置有MN80的本地地址请求(Home-Address-Requested以下简称HAR),以及本地代理器请求(Home-Agent-Requested)和一个共同地址请求(以下称Co-Located-Mobile-Node-Requested)标识符(Flag)为”1”。
此时x-HA45会将MIP-Feature-Vector AVP设置在一个授权确认请求(AA-Mobile-Node-Request,以下简称AMR)信息310中,从Reg-Req信息中取得必要的信息加到相关的AVP中,并将AMR信息310发送至当地的AAAF 53(S410)。
AAAF 53会先检查在MIP-Feature-Vector AVP中的本地代理器请求标识位(Flag bit)是否为”1”。
若为”1”时,AAAF 53会要求AAAH 61允许分配在漫游的外部网络中的一个x-HA54作为MN80的本地代理器(HA),因此AAAF53会在所收到的AMR信息310中MIP-Feature-Vector AVP内设置一个外地的本地代理器(Foreign-Home-Agent-Available)标识,并且在一候选本地代理器主机(MIP-Can didate-Home-Agent-ost)AVP中填入至少一个候选x-HA54的网络接收标识(NAI),然后AAAF53再把AMR讯息310传送至AAAH 61(S415)。
当AAAH 61接收到AAAF 53所传来的AMR信息310后,必需进行授权MN80的Reg-Req信息305,因此AAAH 61可通过该AMR信息310中所设置的一个授权工作指标(MN-AAA-SPI,SecurityParemeters Index)来确定MN80是使用那一种的安全性策略,如加密算法和长期分享金钥。
如果AAAH 61授权成功则会检查AMR信息310的MIP-Feature-Vector AVP中的Home-Agent-Requested的标识位以及Foreign-Home-Agent-Available的标识位是否都等于为”1”,若是,则表示MN要求动态分配一x-HA54在所漫游的外部网络区域中,而AAAH61也会在漫游的外部网络区域中建立x-HA54与MN的间的安全连接连接(SA)(S420)。
因此AAAH61会产生一个至少128位随机数的金钥组件(KeyMaterials),一般统称为Nonces,利用Nonces可计算产生一个通信金钥(Session Key),以确该安全连接(SA)的安全性。
而在x-HA54及AAAF 53所发送的AMR信息310中的MIP-Feature-Vector AVP也包含有MN80与本地代理器(HA)间的金钥请求(Key-Requested)。而通信金钥(Session Key)可通过以Diameter协议(Diameter Protocol)的AAA服务器被安全地传输到x-HA54上。
这是因为因特网通信安全协议标准或是运输层安全(Transport Layer Security,TLS)标准(IETF RFC 2246)即是强制应用在保护Diameter节点(包括服务器、客端与代理器)之间的通信数据。但该通信金钥(Session Key)并不会直接传递到MN80上,因为如此将会使该通信金钥暴露在没有保护网络协议中,而只给MN80金钥组件(Nonces)。
因此AAAH61会再产生一个本地代理器请求(Home-Agent-MIP-Request,以下简称HAR)信息315,把通信金钥(Session Key)及Reg-Req信息封装在HAR信息315的相关的AVP中,通过AAAF53传送给候选的x-HA54(S425),AAAF53主要是扮演代理服务器(Proxy)的角色。因此x-HA54能够从HAR讯息315中的相关AVP中取得x-HA54与MN80的金钥组件(Nonces)。
而x-HA54在所接收到的HAR信息315中如果没有包含MN80的地址(以下称MIP-Mobile-Node-Address),且在特征向量属性值对中的Home-Agent-Address-Requested的标识位是被设为”1”时,则x-HA54将自动为MN80分配一x-HoA设置在MIP-Mobile-Node-Address AVP中,并且x-HA54会自动将它本身的地址设置到MIP-Home-Agent-Address AVP中。
接着,x-HA54会将MN80与x-HA54间的通信金钥储存起来,并将金钥组件复制到一注册回复(Reg-Reply)上,然后x-HA54产生一本地代理器回复(Home-Agent-MIP-Answer,以下简称HAA)信息320通过通过AAAF53再传送至该AAAH61(S430),而HAA信息320中至少包括了一个包含有该金钥组件(Nonces)的注册回复(以下称MIP-Reg-Reply)AVP、一个结果码(Result-ode)AVP、一个包含有MN80 x-HoA的MIP-Mobile-Node-address AVP,以及一个包含x-HA54地址的MIP-Home-Agent-Address AVP。
AAAH61在接收到x-HA54通过该AAAF53所送出的HAA信息320后,AAAH61会从MIP-Mobile-Node-Address AVP中获得MN80的x-HoA,以及从MIP-Home-Agent-Address AVP中获得x-HA54的地址。
然后AAAH61会建立一新的HAR信息325,并将x-HoA及x-HA地址分别填入MIP-Mobile-Node-Address及MIP-本地代理器地址AVP,接着AAAH61发送HAR信息325向i-HA45进行注册(S435)。
当i-HA45接收到HAR信息325后,i-HA45从HAR信息325中的AVP获得x-HoA后,会将所获得x-HoA54的地址注册为MN80的公共CoA,使i-HA45识别HAR信息325后建立出一新的HAA信息330传送至AAAH61(S440)。
然后,AAAH61在接收i-HA45所发出的HAA信息330后,可由其中的结果码(Result-Code)AVP显示出已授权成功。因此AAAH61会建立一授权确认回复(AA-Mobile-Node-Answer,以下简称AMA)信息335通过AAAF53传送至x-HA54(S445),而在AMA信息335中包括一DIAMETER成功的结果码(Result-Code)、该MIP-Home-Agent-Address AVP、该MIP-Mobile-Node-Address AVP以及MIP-Reg-Reply AVP,而这些AVP可从所接收到的HAA信息330中被复制出来。
当x-HA54接收到由AAAH61所传来的AMA信息335后,可从结果码(Result-Code)AVP中显示出已授权成功,则x-HA54会从AMA信息335的MIP-Reg-Reply AVP中获得一个Reg-Reply信息340,并将该Reg-Reply信息340转送至MN80(S450)。否则x-HA54会悄悄地将AMA信息335丢掉。
一旦MN80接收到Reg-Reply信息340,则MN80即可取得新的x-HoA、x-HA地址以及金钥组件(Nonces),然后MN80使用所接收到的金钥组件(Nonces)和相同于AAAH61的散列算法及长期分享金钥(Longterm Shared Key)计算出正确的通信金钥(SessionKey)。
因此,当MN80经过AAAH61授权,以及通过x-HA54及i-HA45以Mobile IPv4安全标准注册后,即可使用x-HoA与VPN网关器连结,使MN80与VPN网关器之间建立因特网通信安全协议通道345(S455),恢复像在内部网络一样的安全通信。
而在完成x-HA54的分配后,在漫游的外部网络内各个当地的本地代理器(HA)间的安全连接(SA)也将被建立完成。此后,MN80即可直接使用MIPv4标准与当地的x-HA 54进行注册通信,而不需要再通过该AAA服务器,当MN80在外部网络内获得一个新的转接地址(CoA)后,即可如同在内部网络内漫游般,只需要向被分配的x-HA54注册即可,而不必再向i-HA45进行注册。
而且在相同的外部网络内并不需再重建因特网通信安全协议通道,不过通信金钥(Session Key)是有寿命的,如果寿命终止,则仍需通过Diameter基础的AAA服务器产生一新通信金钥(Session Key),另外若MN80再移动至另外一个外部网络时,又必须向当地的一个新的x-HA请求注册时,则上述的整个过程将再次被执行,x-HA再次被分配,而因特网通信安全协议通道也将再被重建。
本发明提供一种使用动态分配x-HA替换静止x-HA的技术,因而漫游时的本地代理器(HA)间传递转接延迟以及端至端的延迟都将被显著的降低,而且本发明是以Diameter MIPv4应用在转接的本地代理器之间建立的安全连接(SA),因此x-HA是可以被相信的,且对x-HA及i-HA的注册动作是同时被完成的。故而本发明实现了一个移动式VPN的系统平台,迥然不同于公知者的设计,能提高整体的使用价值。
上述所揭露的附图、说明,仅为本发明的实施实例而已,凡精于此项技术者当可依据上述说明作其它种种改良,而这些改变仍属于本发明发明精神及所界定的权利要求中。
权利要求
1.一种移动式VPN的动态代理器分配方法,是可在至少一个外部网络与一个内部网络间建立虚拟专用网络VPN,使至少个一移动节点可安全地漫游在外部网络中,其特征在于移动节点第一次漫游于该外部网络中时,由一DHCP服务器配发一转接地址给该移动节点,使移动节点可发出一注册请求信息给当地的一外部本地代理器,注册请求包含一个外部本地地址请求及一个本地代理器地址请求;该外部本地代理器发出一授权确认请求信息给一外地AAA服务器,使该外地AAA服务器将至少一个候选外部本地理器的网络接收标识填入该授权确认请求信息中,再转送给一本地AAA服务器;该本地AAA服务器建立外部本地代理器、该外部外地理器与移动节点间的安全连接,并产生一本地代理器请求信息,发送给该外部本地代理器;外部本地代理器为移动节点分配一外部本地地址,并将该外部本地地址及本身的地址设置在一本地代理器回复信息中,发送给本地AAA服务器;本地AAA服务器使用该外部本地地址作为该移动节点的转接地址,向内部本地代理器进行注册,注册完毕后,内部本地代理器授权本地AAA服务器发出一授权确认回复信息给外部外地代理器;及外部外地代理器从授权确认回复信息中获得一个包含该外部本地地址及本地代理器地址的注册回复信息,转送给该移动节点,此后该移动节点在该外部网络漫游时,即可利用该外部本地地址向该外部本地代理器地址的本地代理器进行注册即可。
2.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于移动节点可为装设有无线网络设备的移动计算机。
3.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于移动节点第一次漫游于外部网络的步骤前,还包括由DHCP服务器不断发出一广播信息至外部网络中,以查询网络上是否有任何一个移动节点在网络内漫游,若有则自动分配一动态IP地址给该移动节点;及移动节点利用该IP地址作为转接地址,以便向外部本地代理器发出注册请求。
4.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于注册请求信息中还包含有需被本地AAA服务器授权的一个认证信息及移动节点的一个网络接收标识。
5.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于该移动节点第一次漫游在外部网络的步骤后还包括该外部外地代理器接收注册请求信息后,产生一特征向量属性值对,其中设置有移动节点的本地地址请求标识符及该本地代理器请求标识符;及将特微向量属性值对设置在授权确认请求信息中。
6.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于外部本地代理器发出授权确认请求信息的步骤后还包括本地AAA服务器收到外地AAA服务器所传送的授权确认请求后,可通过该授权确认请求中所设置的一移动节点服务器的安全参数索引来确认移动节点是使用那一种安全性策略进行授权认证。
7.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于该本地AAA服务器建立安全连接的步骤中,还包括该本地AAA服务器会产生一个至少128位随机数的金钥组件,利用该金钥组件可计算产生一个通信金钥,以确保安全连接的安全性;及将通信金钥设置在该本地代理器请求信息中。
8.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于本地AAA服务器建立安全连接的步骤中,本地代理器请求信息是通过该外地AAA服务器传送给该外部本地代理器。
9.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于本地AAA服务器建立安全连接的步骤中,本地代理器请求信息中包含移动节点与外部本地代理器间的金钥组件及通信金钥。
10.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于外部本地代理器为移动节点分配一个外部本地地址的步骤中,该本地代理器回复信息是通过外地AAA服务器传送给本地AAA服务器。
11.如权利要求1所述,移动式VPN的动态代理器分配方法,其特征在于外部本地代理器将注册回复信息转送给移动节点的步骤中,还包括移动节点使用该外部本地地址与一VPN网关器联机,使该移动节点与VPN网关器间建立一因特网通信安全协议通道。
12.一种移动式VPN的动态外部代理器分配系统,可在至少一个外部网络与一个内部网络间建立虚拟专用网络,使至少一个移动节点可安全地漫游在外部网络,该系统包括一内部本地代理器,是设置在该内部网络中,作为管理移动节点在内部网络中的漫游注册;至少一外部本地代理器,是设置在外部网络中,作为管理移动节点在外部网络中的漫游注册;一VPN网关器,是可建立一因特网通信安全协议信道在该内部网络与外部本地代理器之间,使移动节点在该外部网络漫游时,仍可安全地连接至内部网络;至少一代理器分配器,是用以动态分配任一接近该移动节点的外部本地代理器来进行该移动节点的漫游注册;及至少一DHCP服务器,是设置在该外部网络中,使移动节点第一次漫游在外部网络时,自动分配一IP地址作为一转接地址向外部本地代理器、AAA服务器及内部本地代理器进行漫游注册,以建立与VPN网关器间的因特网通信安全协议通道后,使移动节点漫游在外部网络内都只需向最接近的外部本地代理器进行注册即可。
13.如权利要求12所述,移动式VPN的动态外部代理器分配系统,其特征在于外部网络是包含若干子网络。
14.如权利要求12所述,移动式VPN的动态外部代理器分配系统,其特征在于内部网络是包含若干子网络。
15.如权利要求12所述,移动式VPN的动态外部代理器分配系统,其特征在于移动节点可为装设有无线网络设备的移动计算机。
16.如权利要求12所述,移动式VPN的动态外部代理器分配系统,其特征在于VPN网关器与该代理器分配器是配设在一非管制区内,非管制区60是因特网后面的实体区域,面对防火墙位于保护后端系统和数据的第二层防火墙前面。
17.如权利要求16所述,移动式VPN的动态外部代理器分配系统,其特征在于非管制区是通过一内部路由器连接于内部网络,并通过一外部路由器连接于外部网络。
18.如权利要求12所述,移动式VPN的动态外部代理器分配系统,其特征在于该代理器分配器是可使用一AAA服务器、一DHCP服务器或一DNS服务器。
19.如权利要求18所述,移动式VPN的动态外部代理器分配是统,其特征在于代理器分配器使用AAA服务器不仅能分配该外部本代理器,更能够在漫游区域内的若干个代理器之间,建立安全连接,并作为金钥分发中心。
20.如权利要求19所述,移动式VPN的动态外部代理器分配系统,其特征在于该代理器分配器是采用Diameter基础协议的AAA服务器。
21.如权利要求12所述,移动式VPN的动态外部代理器分配系统,其特征在于还包括至少一内部外地代理器,是在连接于该内部网络的至少一个子网络中,使移动节点漫游在该子网络时,通过内部外地代理器向内部本地代理器进行漫游注册。
22.如权利要求12所述,移动式VPN的动态外部代理器分配系统,其特征在于还包括至少一无线基地台,是设置在内部网络或外部网中,用以无线连接移动节点。
全文摘要
本发明是一种移动式VPN的动态代理器分配方法及系统,是可至少在一外部网络与一内部网络间建立虚拟专用网络(Virtual Private Network),使至少一移动节点(Mobile Node)可安全地漫游在该外部网络中,本发明是可动态分配在该漫游外部网络中接近该移动节点的外部本地代理器作为该移动节点的注册代理器,使该移动节点在相同的外部网络中漫游时,只需向该外部本地代理器注册即可,而不必再到该内部网络的内部本地代理器注册—因特网工程任务组IETF的方法亦可,如此可将漫游时的代理器间转接传递(Handoff)延迟及端至端(End to End)延迟降到最小,且可完全结合VPN的因特网通信安全协议安全控制。
文档编号H04L12/28GK1738280SQ20041005702
公开日2006年2月22日 申请日期2004年8月20日 优先权日2004年8月20日
发明者陈志成, 林俐玮, 刘义文 申请人:合勤科技股份有限公司