专利名称:专用网络和漫游移动终端之间的通信的制作方法
技术领域:
本发明涉及专用网络和漫游移动终端之间的通信。
背景技术:
许多机构利用专用网络,其同专用网络外部的终端的通信通过安全网关,该安全网关使用包括防火墙的技术保护该专用网络。
在设计信息基础设施时,专用企业信息的保护具有最大的重要性。然而,隔离专用网络解决方案是昂贵的,并且不能快速地更新以适应业务需要的变化。另一方面,互联网是廉价的,但是自身不能确保私密性。虚拟专用网络集合了应用于公网,特别是互联网的技术,以提供用于专用网络需求的解决方案。虚拟专用网络使用通过安全隧道的混淆,而非物理隔离,以保持通信的私密。
因此,虚拟专用网络(VPN)能够使专用网络扩展为能够同漫游终端,即位于专用网络外部的终端,进行安全通信,该通信通过例如,互联网传递,并且可能在移动电话网络上传递。互联网使用网际协议(IP),而移动终端的通信常常使用移动互联网协议(MIP)。
可以预见到,虚拟专用网络的漫游使用将变得更重要和更频繁。将需要通过企业VPN/防火墙结构向该频繁漫游的用户提供与固定漫游终端或偶然漫游终端相同的安全级别。
不同的通信和安全协议用于不同的网络。互联网安全协议的示例是IPsec规范[S.Kent,R.Atkinson,“Security Architecture for the InternetProtocol”,Internet Engineering Task Force(IETF),RFC 2401,November1998]。移动电话通信协议的示例是Mobile IPv4规范[C.Perkins,“IPMobility Support”,RFC 2002,October 1996]和Mobile IPv6规范。当VPN协议是IPsec Encapsulating Security Payload(IPsec封装安全载荷),并且移动协议是Mobile IP时,它们均在相同的IP层中实现,需要指定在同时需要时这两个协议必须如何相互作用。
除了基本应用顺序(首先应用Mobile IP,或者首先应用IPsec)以外,整体解决方案还必须着眼于满足三个主要需要·安全性。VPN基础设施可以支持Mobile-IP用户这一事实必须不能针对任何企业实体(企业网络以及移动用户或偶然漫游用户)产生新的安全漏洞。Mobile IP使能设备必须向移动用户提供如同它们物理位于企业网络中的相同的安全级别。另一方面,Mobile IP实体必须受到企业安全基础设施(防火墙)的充分保护,并且Mobile IP的特殊安全机制必须不会干扰全局安全机制。
·兼容性。能够实现Mobile IP和IPsec之间的最优化相互作用的解决方案必须避免大量修改协议规范。由于使用了最优化的组合解决方案,因此必须使Mobile IP和IPsec协议的未来演变不是过于困难的。最优地,该演变对于组合解决方案的使用应是透明的。
·性能。本发明必须在切换质量方面致力于移动用户的特殊需要切换必须尽可能快地进行。
用于虚拟专用网络的通信协议的一个示例是用于隧道模式的ESP(封装安全载荷)协议(S.Kent,R.Atkinson,”IP Encapsulating SecurityPayload”,Internet Engineering Task Force(IETF),RFC 2406,November1998)。最重要的特点如下·全部的进入IP分组被封装为新的IP分组;内部(原始)源和目标地址不变。
·全部的进入IP分组被加密,并且任选地(推荐)进行鉴权。
ESP隧道模式依据定义是单向对等协议。发送者(加密并封装的一方)和接收者(拆封和解密的一方)必须共享密码密文(例如,用于加密/解密的密钥和算法)。安全参数的集合(协议、密钥、算法、发送者地址、接收者地址、寿命、…)构成了所谓的IPsec安全关联(SA)。IPsec需要两个SA(SA组),以获得安全的单向通信一个在发送者上并且一个在接收者上(其具有某些公共的参数,例如密钥)。
由于VPN通信是双向的(从移动节点(MN)到VPN网关以及从VPN网关到MN),因此需要两个SA组第一SA组描述从MN到VPN网关的隧道,第二SA组描述从VPN网关到MN的隧道。必须注意,名称“VPN网关”不是由协议指定的VPN网关简单地是在企业网一侧终止所有针对/源自漫游移动节点的VPN安全隧道的拓扑实体。
SA选择器被用于处理IPsec分组。基本上,SA选择器是由IPsec使用的参数,用于检查·将在由特定的出站(outbound)SA定义的隧道上发送的分组,实际上合法地同该SA一起发送(例如,该分组的源和目标地址同该SA的源和目标地址匹配)。该测试被称为“出站SA选择器检查”。
·从由特定的入站(inbound)SA定义的隧道接收的分组,实际上合法地同该SA一起被接收。(例如,该分组的源和目标地址同该SA的源和目标地址匹配)。该测试被称为“入站SA选择器检查”。
必须注意,如上面的两个示例中说明的,在本发明中,将仅考虑源地址和目标地址,作为用于入站SA和出站SA的SA选择器。
两组方案致力于该情况IPsec隧道在MIP隧道中通过该组方案,在VPN网关和移动节点归属地址(Home Address)之间建立IPsec隧道。
外部归属代理。归属代理置于IPsec网关和企业防火墙前面,即,在归属网络外部。显然,存在严重的安全漏洞;主要的安全漏洞在于,在网络的边界处,归属代理不再受到公共保护(企业防火墙)机制的保护。事实上,被置于网关外部的归属代理未受益于任何保护,并且变为容易的目标。在设计着眼于安全通信的VPN解决方案时,该类安全漏洞是不能被接受的。
另一问题源于隧道机制,其不能将MIP分组译成密码(IPsec隧道在MIP隧道内部)。MIP报头是明文的,并且任何具有不良企图的攻击者将了解所有的报头区,例如移动节点的归属地址。因此,该解决方案不提供私密性,并且恶意节点可能跟踪移动节点的所有连续位置,这是通过其归属地址识别的。
MIP代理。在草案(F.Adrangi,P.Iyer,″Mobile IPv4 Traversal acrossVPN or NAT & VPN Gateway″,IETF work in progress draft-adrangi-mobileip-natvpn-traversal-01.txt,February 2002)中描述了该方案。其采取这样的形式,即创建新的实体,其被称为移动IP代理(Mobile IPProxy),从移动节点的视角来看,其呈现为代理归属节点,并且相反地,归属代理将其视为移动节点。该解决方案同样基于MIP隧道中的IPsec,其在私密性方面相比于如上文所述的IPsec中的MIP,具有更少的机密性。
简单漫游处理需要MIP代理、VPN网关和归属代理之间的信令消息MIP代理用作移动节点和归属代理(HA)之间的中继;其必须了解移动节点和HA之间的现存的保护,以唯一地传递有效请求。其还同VPN网关相互作用,并且从通信节点到MN的公共分组进行大量的处理其首先由HA进行MIP封装并传递到MIP代理。然后MIP代理将其解封并且将其提供给VPN网关,以便于实现加密。VPN网关将加密分组发回到MIP代理,其再次将其封装为新的MIP分组。
MIP代理位于受保护域外部的非保护区(demilitarized zone,DMZ)中,即,作为公司专用网络和外部公众网络之间的“中间区”而插入的小的网络。DMZ中的机构的安全级别远低于企业网络。防火墙必须不会干扰代理和归属代理之间的注册过程。该结构意味着可能的安全漏洞,原因在于,企业防火墙必须使MIP代理和归属代理之间的任何分组在无任何进一步的检查的情况下进行传递如果攻击者可以设法获得对MIP代理的访问,则这可以容易地导致对整个企业网络的危害。
MIP隧道在IPsec隧道中通过该组方案,在VPN网关和移动节点转交地址(Care-ofAddress)之间建立了IPsec隧道。
瑞士(Switzerland)的伯尔尼大学(University of Bern)在www.iam.unibe.ch/~rvs/publications/secmip_gi.pdf中描述了IPsec隧道中包括MIP隧道的一个方案。在任何新的切换之前重置IPsec隧道。当移动到新的网络时,须通过整个密钥分配处理将其重新建立。该切换模式造成了许多秒的不可接受的延时,同传统的MIP需要不兼容。
关于该方案的另一问题在于,采取了这样的形式,即IPsec提供足够的保护,以及,作为结果,使鉴权失能,并且在MIP注册过程中重新进行保护。使针对归属代理的保护失能是一种选择,其没有真正地改善速度,并且需要专门用于MIP-VPN用户的归属代理,以及其他的专门用于仍使用MIP保护的简单MIP用户的归属代理。
本发明致力于上面的和其他的问题。
发明内容
本发明提供了一种如权利要求中描述的用于通信的方法和装置。
图1是移动虚拟专用网络规划(scenario)的示意图,图2是在ESP隧道模式中封装的数据分组的图示,图3是借助于示例给出的,根据本发明的一个实施例的专用网络和漫游移动终端之间的通信中的交换的流程图,和图4是在图3中说明的通信处理中用于接收注册请求的处理的流程图。
具体实施例方式
图1示出了移动虚拟专用网络规划(scenario),其包括专用网络1,该专用网络1包括安全网关,该安全网关包括VPN网关2和防火墙3;移动节点4,其位于专用网络1中;和归属代理5,其用于移动节点4。在图中示出的本发明的实施例特别适用于这样的情况,其中移动节点4能够在无线链路上通信,这改善了其在专用网络1内部和外部的漫游的能力,但是本发明的该实施例还适用于这样的情况,其中移动节点4仅在有线连接上通信。
图1示出了这样的规划,其中本发明的该实施例的优点是特别显著的,其中移动节点4在专用网络1外部移动,首先移动到被访问网络6,其具有在Mobile IPV4协议下工作的外地代理7,使得网络6中的漫游移动节点4能够通过互联网8同专用网络1通信。在该规划中,漫游移动节点4随后移动到第二被访问网络9,其具有外地代10,同样在Mobile IPV4下工作,用于通过互联网8同专用网络1通信。尽管本发明的该实施例通过Mobile IPv4协议工作,但是应当认识到,本发明还适用于其他的协议,特别是Mobile IPv6协议。
当移动节点4在被访问网络6或9中漫游时,通过互联网8分别在IPsec和MIP隧道11和12中建立同专用网络1的通信。更具体地,所使用的协议是图2中说明的封装安全载荷(ESP)协议。根据该协议,原始分组13包括原始IP报头14和数据15。分组13通过ESP报尾16加密,同时不会改变原始IP报头和目标地址。加密分组通过ESP报头17进行封装,优选地,通过ESP鉴权18进行封装,并且在传输前同新的IP报头19组装。建立了安全关联组(security associationbundles),每个安全关联组包括出站和入站通信安全关联,用于在路径11和12上同VPN网关2通信。安全关联选择器检查,有待使用每个出站安全关联定义的隧道进行发送的分组合法地通过该安全关联发送,并且,特别地,该分组的源和目标地址同该安全关联的源和目标地址匹配,该测试是出站SA选择器检查。接收自入站安全关联定义的隧道的分组通过该安全关联检测接收的合法性,并且,特别地,该分组的源和目标地址同该安全关联的源和目标地址匹配,该测试是入站SA选择器检查。
在本发明的该实施例中,VPN网关2的入站安全关联不包含移动节点4的IP地址作为源地址,而是包含通配符(*)。这允许VPN网关2接收并传递来自移动节点4的分组,无论其可能使用什么样的转交地址。应当注意,这同IPsec协议不是矛盾的,这是因为通配符的值由该协议批准用于安全关联中的源地址选择器。隧道顺序是,IPsec隧道中的MIP隧道,该IPsec隧道位于VPN网关2和移动节点4之间,使用移动节点转交地址作为端点。
在图3中示出了在移动节点4漫游时关于通信的处理,其中出站和入站所牵涉的是移动节点4处的分组。开始,说明了关于这样的情况的IPsec隧道,其中在移动节点4的当前转交地址处建立了通信。出站IPsec隧道20在移动节点4处具有这样的安全关联,其具有当前移动节点的转交地址作为源地址,并且具有VPN网关2的地址作为目标地址;并且,在VPN网关2处具有这样的安全关联,其具有通配符作为源地址,并且具有VPN网关2的地址作为目标地址。开始的入站IPsec隧道在移动节点4处具有这样的安全关联,其具有VPN网关2的地址作为源地址,并且具有移动节点4的当前转交地址作为目标地址;并且,在VPN网关2处具有这样的安全关联,其具有VPN网关地址作为源地址,并且具有移动节点4的转交地址作为目标地址。
当移动节点在22中从一个被访问网络移动到另一个时,例如,从被访问网络6移动到被访问网络9,移动节点4例如,由进入代理广告认识到其位置已改变。随后其设置新的转交地址,其在新的被访问网络7中是可路由的。移动节点4包含VPN客户端软件,其例如,响应网络选择中间件,或者通过监视出站分组的源地址,响应移动节点位置的变化。然后,VPN客户端软件动态地改变移动节点4上的入站安全关联,由此其目标地址是移动节点的新的转交地址,入站IPsec隧道21变为临时入站IPsec隧道23。这样,移动节点4将能够接收由VPN网关2安全发送到其新的转交地址的分组;否则,由于不与前面的入站IPsec隧道21中包括的目标地址匹配,因此分组将被丢下。相似地,VPN客户端软件动态地改变移动节点4上的出站安全关联,由此其源地址是移动节点的新的转交地址,出站IPsec隧道20变为出站IPsec隧道20′;否则,由于不与前面的出站IPsec隧道20中包括的源地址匹配,因此移动节点4将不能够发送外出分组。
然后,移动节点4向其归属代理发送信令消息,以通知该归属代理其新的位置,该信令消息通过出站IPsec隧道20′和VPN网关2。该信令消息具有注册请求的形式,其中所使用的协议是Mobile IPV4,如本发明的实施例中的。
在步骤24中在VPN网关2处接收信令消息。关于出站隧道20′的VPN网关中的SA选择器未拒绝该分组,这是因为源地址是通配符字段且因此未验证源地址,并且将该分组传递到归属代理5。在步骤25中,归属代理5接收并处理来自移动节点4的注册请求消息,其指出了新的转交地址。如果注册请求是有效的,则归属代理5向VPN网关2发送安全信息更新消息(SIU),其包含用于更新VPN网关上的临时IPsec隧道23的安全关联的命令。在VPN网关2处由后台程序,例如,也就是说,向系统提供服务的背景程序,处理该SIU消息。
VPN网关2响应SIU消息,将其关于临时入站IPsec隧道23的安全关联更新为关于新的IPsec隧道26的安全关联,其具有移动节点4的新的转交地址作为目标地址。该更新是在向移动节点4发送任何分组之前,特别是在注册应答之前执行的。在本发明的优选实施例中,从归属代理5到VPN网关2的SIU消息包括针对移动节点4的注册应答。
应当认识到,归属代理1的该具体程序仅在通过诸如2的VPN网关接收到注册请求时触发,对应于移动节点4的位置位于专用网络1外部。如果移动节点位于专用网络1内部,并且因此不使用VPN服务,则归属代理5将根据正常程序通过正常注册应答来响应。
在步骤27中,VPN网关2使用新建立的入站IPsec隧道26将注册应答传递到移动节点4,并且使用隧道26将所有另外的数据分组发送到新的转交地址,直至另外的通知。
如果在步骤25中,注册请求在归属代理5处未成功,则该处理不会受到不可挽回的危害。在移动节点4处将不会接收到注册应答,其将发送另一注册请求。如果归属代理5继续不接受注册请求,则移动节点4将最终放弃尝试,并且建立关于新的转交地址的新的隧道,而不利用本发明的该实施例的处理。该情况在移动IP规划中是固有的。
图4说明了在上面的处理过程中由归属代理5采用的程序。该程序开始于28,并且在步骤29中,自移动节点24接收到具有注册请求形式的输入。在步骤30中检查该注册请求是否有效,并且如果归属代理5不接受该注册,则该程序终止于31。如果归属代理5接受该注册请求,则在32中检查该注册请求是否是通过诸如2的VPN网关接收的。如果不是,则建立注册应答,并且在步骤33中在专用网络1上将其直接发送到移动节点4。如果该注册请求是通过诸如2的VPN网关接收的,则在34中建立关于移动节点4的注册应答。然后,在35中,该注册应答包括在由归属代理35生成的新的分组中,并且该分组还包含移动节点4的前面的转交地址和新的转交地址。随后在步骤36中将该分组发送到VPN网关2,并且在31中该程序再次终止。
权利要求
1.一种在专用网络(1)和漫游移动终端(4)之间通信的方法,所述专用网络(1)包括用于所述移动终端的归属代理(5)和网关(2、3),所述通信通过所述网关(2、3)传递并且所述网关(2、3)提供了关于所述专用网络(1)的安全保护,所述通信的协议包括安全关联组,每个安全关联组包括所述移动终端(4)和所述网关(2、3)之间的关于入站通信的安全关联和关于出站通信的另一安全关联,其特征在于,响应于使所述移动终端(4)的IP地址(MN Co @)变为新的IP地址(MN New Co @)的通信切换,所述移动终端更新其源于所述网关(2、3)的入站安全关联,由此其可以接收发送给其的分组,所述新的IP地址(MN New Co @)作为目标,所述移动终端(4)通过把所述归属代理(5)作为目标,在安全隧道(20′)中将第一信令消息发送到所述网关(2、3),所述第一信令消息以安全的形式向所述归属代理(5)指出了所述新的IP地址(MN New Co @),源于所述移动终端(4)的所述网关(2、3)的入站安全关联接受所述第一信令消息,而不检查其源地址,所述网关(2、3)在所述专用网络(1)中将所述第一信令消息传递到所述归属代理(5),所述归属代理(5)检查所述第一信令消息的有效性,并且如果其是有效的,则更新其地址数据并向所述网关(2、3)发送指出了所述新的地址(MNNew Co @)的第二信令消息,并且所述网关(2、3)响应于所指出的新的地址(MN New Co @)更新其同所述移动终端(4)的出站安全关联。
2.权利要求1的方法,其中所述移动节点(4)和所述网关(2、3)之间的通信根据IPsec协议规范。
3.权利要求2的方法,其中所述网关(2、3)和所述移动终端(4)之间的通信根据隧道模式中使用的封装安全载荷协议。
4.前面任何权利要求的方法,其中在所述第二信令消息中包括关于所述移动节点(4)的注册应答。
5.一种移动终端,用于通过前面任何权利要求的方法进行通信,其包括这样的装置,响应于使所述移动终端的IP地址(MN Co @)变为新的IP地址(MN New Co @)的通信切换,用于更新源于所述网关(2、3)的所述移动终端(4)的入站安全关联,由此其可以接收所发送的分组,所述新的IP地址(MN New Co @)作为目标,并且把所述归属代理(5)作为目标,通过安全隧道(20′)将第一信令消息发送到所述网关,所述第一信令消息以安全的形式向所述归属代理(5)指出了所述新的IP地址(MN New Co @)。
6.一种移动终端,用于通过前面任何权利要求的方法进行通信,其包括这样的装置,响应于使所述移动终端(4)的IP地址(MN Co @)变为新的IP地址(MN New Co @)的通信切换,用于更新针对所述网关(2、3)的所述移动终端(4)的出站安全关联,由此所述移动终端(4)可以向所述网关(2、3)发送分组,所述新的IP地址(MNNew Co @)作为源地址。
7.一种网关,用于通过前面任何权利要求的方法进行通信,其包括如下的装置,响应于在安全隧道(20′)中接收自所述移动终端的以所述归属代理(5)作为目标的所述第一信令消息,用于使所述网关(2、3)处的源于所述移动终端(4)的所述入站安全关联接受所述第一信令消息,而不检查其源地址,并且将所述第一信令消息传递到所述归属代理(5);和如下的装置,响应于指出了所述新的地址(MN New Co @)的所述第二信令消息,用于响应所指出的新的地址(MN New Co @),更新所述网关(2、3)同所述移动终端(4)的所述出站安全关联。
8.一种归属代理,用于通过前面任何权利要求的方法进行通信,其包括这样的装置,响应于接收自所述网关(2、3)的所述第一信令消息,用于将指出了所述新的地址(MN New Co @)的所述第二信令消息发送到所述网关(2、3),其用于所述网关更新其同所述移动终端(4)的出站安全关联。
全文摘要
本发明公开专用网络(1)和漫游移动终端(4)之间的通信,专用网络(1)包括用于移动终端的归属代理(5)和网关(2、3),通信通过网关(2、3)传递并且其提供了关于专用网络(1)的安全保护。通信的协议包括安全关联组,每个安全关联组包括移动终端(4)和网关(2、3)之间的关于入站通信的安全关联和另一个关于出站通信的安全关联。响应使移动终端(4)的IP地址(MN Co @)变为新的IP地址(MN New Co @)的通信切换,移动终端更新其源于网关(2、3)的入站安全关联,由此其可以接收发送给其的分组,新的IP地址(MN New Co @)作为目标。通过作为目标的归属代理(5),其在安全隧道(20′)中将第一信令消息发送到网关(2、3),第一信令消息以安全的形式向归属代理(5)指出了新的IP地址(MN New Co@)。源于移动终端(4)的网关(2、3)的入站安全关联接受第一信令消息,而不检查其源地址。网关(2、3)在专用网络(1)中将第一信令消息传递到归属代理(5),归属代理(5)检查第一信令消息的有效性,并且如果其是有效的,则更新其地址数据并向网关(2、3)发送指出了新的地址(MN New Co @)的第二信令消息。网关(2、3)响应所指出的新的地址(MN New Co @)更新同移动终端(4)的出站安全关联。优选地,移动终端(4)和网关(2、3)之间的通信根据IPsec,并且在隧道模式中使用了封装安全载荷协议。优选地,在第二信令消息中包括关于移动节点(4)的注册应答。
文档编号H04L29/06GK1762140SQ200480007203
公开日2006年4月19日 申请日期2004年3月15日 优先权日2003年3月27日
发明者亚历克西斯·奥利弗罗, 米格尔·卡塔利娜, 克里斯托佩·雅内托, 伊斯梅尔·黑里 申请人:摩托罗拉公司