专利名称:外部私有网络下实现无缝交递的方法、移动装置及系统的制作方法
技术领域:
本发明是有关于交递架构,特别是有关于用于在移动虚拟私人网络(Virtual Private Network,以下简称为VPN)与移动代理(Mobile Agent,以下简称为MA)的先期用户识别模块的认证的无缝快速交递架构的系统和方法。
背景技术:
近年来移动装置的使用愈来愈普遍,通讯的移动性已是不可缺少,而在讲求方便的同时,安全性逐渐为大家所重视,同时提供移动性与安全性似乎已经势在必行。要达成这个目标有许多方法,较直觉的如个人用的Mobile IP和IPSec、企业的VPN和Mobile IP,然而单纯地结合两个协议虽然可避免部署新的网络元件,或降低重写程序的麻烦,但却牺牲了使用的效能,因为两个网络层协议在结合时,通常会有不必要继续存在的协议要素,例如VPN信道与Mobile IP信道的重复性。
自成一个网域而与外界(如因特网)隔绝的称为私人网络(private network),这网域与外界的联系需经过防火墙,以确保内部安全性,通常见于企业网络,又称为Intranet。而身在公司外的公司成员想连接企业网络存取资源时,可以拉专线或直接拨接到公司内部。也就是说私人网络具有实体部署上的私密性。
然而这对于远程访问资源的成本太高,距离太远的话专线受限于物理传递限制而需转接,布线成本亦随距离大幅增加;使用长途拨接的电话费也很高。至于跨海跨洲的成本更是限制其可使用性。
VPN则是利用几乎无所不在的因特网来大幅降低成本,且能达到私人网络的私密安全性。单一使用者移动台(Mobile Node,以下简称为移动台)会向VPN网关建立一条信道(tunnel),此信道可以是PPTP、L2TP、IPSec等协议,此信道不仅使移动台在系统架构上如同在企业网络内一般,也保障这段通讯的私密安全性。除单一使用者外,也有母子公司的架构,即两个VPN网关间建立信道,将两个网域连成一个,两个网关通常有主从关系,如第二层信道协议(Layer 2 Tunneling Protocol,以下简称为L2TP)中的L2TP网络服务器(L2TP Network Server,以下简称为LNS)与远程L2TP存取集中器(L2TP Access Concentrator,以下简称为LAC)。
美国专利US6,496,491 B2描述一种利用VPN架构为点对点协议(Point to Point Protocol,以下简称为PPP)连线提供移动性。让计算机得以在不同LAC之下漫游,而不需中断或重建与企业网络(Intranet)的PPP连线。然而,该发明并非无缝式(seamless)信号交递,且需要使用者介入认证过程,所以无法支持实时通讯协议。
发明内容
本发明针对上述的已知技术的问题设计出一套认证和安全存取应用层服务的系统及方法。于是本发明在原本企业所使用的VPN架构上,加上移动代理(Mobile Agent,以下简称为MA)的技术与一些移动因特网协议(Mobile Internet Protocol,以下简称为Mobile IP)机制来同时提供移动性与安全性。MA不仅增加移动交递的效率,也加强了VPN的安全与掌控性。VPN的架构亦也被利用来提升交递效能。移动性与安全性不再彼此牵制,反而相辅相成。如此在传输效能与安全性上将与仅使用VPN一样,而交递却比Mobile IP快速且无间断,使本系统得以支持实时通讯协议。
有鉴于此,本发明提供一种在移动VPN网络上的无缝快速交递架构方法与系统。首先,预先架设VPN信道于企业网络与外部企业网络之间。VPN采用L2TP来实现VPN信道,这连接企业网络的LNS与各外部企业网络LAC,形成一个大网域在使用者和企业网络之间。接着对由一个外部企业网络漫游至第二个外部企业网络的移动台做用户识别模块可扩展认证协议(Exte nsibleAuthentication Protocol-Subscriber Identification Module,以下简称为,EAP-SIM)为基础的先期认证。然后,交递该移动台的通讯到上述第二个外部企业网络。
本发明是这样实现的本发明提供一种外部私有网络下实现无缝交递的方法,所述交递方法在移动装置和企业网络的路由器(border gateway)之间的通讯连线,由第一无线服务器交递到相邻无线服务器之中的第二无线服务器,包括在交递该通讯连线到该第二无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理;以及在一个既定的状况下,交递该通讯连线到该第二无线服务器。
本发明所述的外部私有网络下实现无缝交递的方法,上述使用步骤包括回报该相邻无线服务器的数目到该路由器;发送该移动代理到该第二无线服务器;以及经由该移动代理,执行以用户识别模块为基础的认证。
本发明所述的外部私有网络下实现无缝交递的方法,更包括更新以用户识别模块为基础的认证通过的无线服务器到该路由器的连结列表;以及根据该连结列表,传送下传数据到该认证通过的无线服务器。
本发明所述的外部私有网络下实现无缝交递的方法,上述既定的状况为当由该第一无线服务器至该移动装置的信号强度比第一既定值小,且第二无线服务器至该移动装置的信号强度比第二既定值大。
本发明所述的外部私有网络下实现无缝交递的方法,更包括由该移动代理接收该第二无线服务器的认证报告于该移动装置;如果该认证报告结果为认证拒绝,停止该通讯连线;以及如果该认证报告结果为认证许可,写入该第二无线服务器至该连结列表。
本发明所述的外部私有网络下实现无缝交递的方法,更包括建立虚拟私人网络信道于该第二无线服务器和该路由器间;以及经由该虚拟私人网络信道,接收整个该通讯连线都相同的该移动装置地址的数据于该第二无线服务器。
本发明还提供一种无线服务器,所述无线服务器在通讯连线用于移动装置和企业网络的路由器之间,包括处理器;连接端口,与该处理器在该通讯连线耦接;以及程序储存存储器,与该处理器耦接,包括程序用于第一程序代码,在交递该通讯连线到该无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理;以及第二程序代码,在一个既定的状况下,交递该通讯连线到该无线服务器。
本发明所述的无线服务器,上述第一程序代码包括于该无线服务器,接收该移动代理;以及经由该移动代理,执行以用户识别模块为基础的认证。
本发明所述的无线服务器,上述第一程序代码更包括根据该路由器的连结列表所储存的以用户识别模块为基础的认证通过的无线服务器的数据,接收下传数据于该无线服务器。
本发明所述的无线服务器,上述程序更用于由该移动代理传送认证报告给该移动装置。
本发明所述的无线服务器,上述既定的状况为远程无线服务器至该移动装置的信号强度比第一既定值小,且无线服务器至该移动装置的信号强度比第二既定值大。
本发明所述的无线服务器,上述程序更用于于该无线服务器和该路由器间,建立虚拟私人网络信道;以及于该无线服务器,经由该虚拟私人网络信道,接收整个该通讯连线都相同的该移动装置地址的数据。
本发明另提供一种移动装置,所述移动装置经由第一无线服务器在通讯连线与企业网络的路由器耦接,包括处理器;连接端口,与该处理器及该路由器耦接;以及程序储存存储器,与该处理器耦接,包括程序用于第一程序代码,在交递该通讯连线到相邻无线服务器之中的第二无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理;以及第二程序代码,在一个既定的状况下,交递该通讯连线到该第二无线服务器。
本发明所述的移动装置,上述第一程序代码包括回报该相邻无线服务器的数目到该路由器;传送该移动代理,到该相邻无线服务器;以及经由该移动代理,执行以用户识别模块为基础的认证。
本发明所述的移动装置,上述更包括根据该路由器的连结列表所储存的以用户识别模块为基础的认证无线服务器数据,接收下传数据于该移动装置。
本发明所述的移动装置,上述程序更用于由该移动代理接收认证报告到该移动装置;如果该认证报告结果为认证拒绝,停止该通讯连线;以及如果该认证报告结果为认证许可,由该移动装置写入该第二无线服务器至该连结列表。
本发明所述的移动装置,上述既定的状况为该第一无线服务器至该移动装置的信号强度比第一既定值小,且该第二无线服务器至该移动装置的信号强度比第二既定值大。
本发明所述的移动装置,上述程序更用于经由建立于该第二无线服务器和该路由器的虚拟私人网络信道,传送整个该通讯连线都相同的该移动装置地址的数据。
本发明还提供一种通讯系统,所述通讯系统包含移动装置,参与一个通讯连线;企业网络,与该移动装置耦接在该通讯连线;第一无线服务器,在该通讯连线,连接该移动装置和该企业网络的路由器;以及相邻无线服务器,连接该移动装置和该路由器在该通讯连线,在交递该通讯连线到该第二无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理,以及在一个既定的状况下,交递该通讯连线到该相邻无线服务器之中的第二无线服务器。
本发明所述的通讯系统,上述以用户识别模块为基础的先期认证包括回报该相邻无线服务器的数目到该路由器;传送该移动代理到该相邻无线服务器;以及经由该移动代理,执行以用户识别模块为基础的认证。
本发明所述的通讯系统,上述以用户识别模块为基础的先期认证更包括更新以用户识别模块为基础的认证通过的无线服务器到该路由器中的连结列表;以及根据该连结列表,传送下传数据到该认证通过的无线服务器。
本发明所述的通讯系统,上述第二无线服务器更包括由该移动代理传送认证报告至该移动装置;如果该认证报告结果为认证拒绝,停止该通讯连线;以及如果该认证报告结果为认证许可,由该移动装置写入该第二无线服务器至该连结列表。
本发明所述的通讯系统,上述既定的状况为当由该第一无线服务器至该移动装置的信号强度比第一既定值小,且第二无线服务器至该移动装置的信号强度比第二既定值大。
本发明所述的通讯系统,上述第二无线服务器更包括建立虚拟私人网络信道于该第二无线服务器和该路由器间;以及经由该虚拟私人网络信道,接收整个该通讯连线都相同的该移动装置地址的数据该第二无线服务器。
图1为本实施例中移动VPN无缝快速交递架构的系统基本架构图;图2a和图2b为本实施例中移动VPN无缝快速交递架构的信息交换流程图;图3为本实施例中无线服务器的构造方块图;图4为本实施例中移动装置的构造方块图。
具体实施例方式
于下揭露内容中所提出的不同实施例或范例,是用以说明本发明所揭示的不同技术特征,其所描述的特定范例或排列是用以简化本发明,然非用以限定本发明。
图1为本实施例中移动VPN无缝快速交递架构的系统基本架构图。如图1所示,该VPN无缝快速交递架构的系统包含移动台(Mobile Node)30,LNS 20,第一LAC 40,和第二LAC 60。
移动台30为一台在可以网络上改变连接点的机器;它可以改变位置却不改IP地址,也可以使用固定的IP地址在任何地方与因特网(Internet)5上的端点沟通。该移动台30可由笔记型计算机,个人数字助理(Personal Digital Assistant),移动电话,或任何以后发展有类似功能的移动装置实现。LNS 20为企业网络(Intranet)对外唯一网关,所有进出企业网络的封包都要经由LNS20。LNS 20经由第一LAC 40或第二LAC 60与远程的移动台连线。在这里第一LAC 40和第二LAC 60分别管理底下的网域,称为外部企业网络(Foreign Intranet)4和外部企业网络6。虽不像企业网络具有实体部署上的安全性,但可借认证授权与传输加密来取得类似的安全能力。LNS 20与LAC 40、LAC 60之间分别由固定存在的L2TP信道连接,这亦将企业网络与外部企业网络4及外部企业网络6连成了一个网域,在外部企业网络4和外部企业网络6中移动的移动台30将不会感觉到自己是在不同的网域。该企业网络更包含认证服务器(Authentication Server,以下简称为AS)22,和相对应节点(Corresponding Node,以下简称为CN)24的应用服务器(Application Server)。AS 22接受移动台30的认证要求信息,验证通过后授权移动台30。CN24提供应用服务给移动台30。
LAC让未经授权的移动台30只被允许连向AS22与LNS 20。因此AS22先会经由LNS 20对移动台30作以SIM(用户识别模块,Subscriber Identification Module)为基础的认证。在本实施例中使用用户识别模块可扩展认证协议(ExtensibleAuthentication Protocol-Subscriber Identification Module,以下简称为,EAP-SIM)作为该以SIM为基础的认证。移动台必须在EAP-SIM为基础的认证成功后,才能向CN24要求应用服务。LNS 20要在企业网络中利用代理(proxy ARP)代替移动台30收下封包,以因特网协定安全协定(Internet Protocol SecurityProtocol,以下简称为IPSec)加密后,经由L2TP信道到移动台30所在的LAC 40或LAC 60下。移动台30也将要给应用服务器24的封包以IPSec加密送出,LAC收到后经L2TP信道送到LNS20,LNS 20先解开L2TP信道再解IPSec,最后封包传至该应用服务器24。
图2a及图2b为本实施例中移动VPN无缝快速交递架构的信息交换流程图。其中第一阶段P1包含移动台30经由LAC 40建立IPSec信道,通过EAP-SIM认证的过程,和启始一个应用服务器服务的信息流。第二阶段P2为本实施例中为了达成EAP-SIM先期认证(pre-authentication)信息流。第三阶段P3则为移动台30由原来的LAC 40传输交递至新侦测到的LAC 60的信息流。
在第二阶段P2中,当移动台30在外部企业网络1网络中漫游,且发现正在使用LAC 40的存取点(Access Point,以下简称为AP)信号减弱到一定程度时,就会开始侦测邻近的LAC。这里使用的侦测方式可借由侦测AP的ESSID来辨别。
然后移动台30复制移动代理(Mobile Agent,简称为MA)传送给上述那些侦测到的LAC。移动代理在本实施例中为EAP-SIM的认证移动代理。移动代理替移动台30在侦测到的LAC上作预先认证,所以移动台30在切换到新LAC下后得以立即取得授权,省去移动台30重新认证的时间。实际操作中,移动代理为一个对象(Object),可传送到某机器上的移动代理平台(platform)做事,在本实施例中即是送至侦测到LAC来代替移动台30认证。该复制的移动代理先由封包121从移动台30传送到现用的LAC40,再经由LAC 40分别转送移动代理封包122和封包123到侦测到的LAC 60和LAC 80。一个移动代理会送去一个LAC,并在LAC的移动代理平台上执行所携带的程序代码。
在传送移动代理的同时,移动台30会经由封包124告诉LNS20它所复制的移动代理个数。移动代理到达LAC 60和LAC 80后,就开始分别向AS 22发出认证要求封包126和封包127,用以进行以EAP-SIM为基础的认证。为了配合移动代理,LNS 20还要整合转送认证信息。LNS 20只在第一个认证要求封包来的时候会转送认证要求封包128给AS 22,然后保留之后认证要求封包送来的相同认证信息。这是为了避免短时间内多次重复注册。LNS 20再将AS 22的回复转给有送相同认证要求封包来的移动代理,移动代理总个数已由移动台30事先告知。
AS 22根据收到的认证要求封包执行EAP-SIM为基础的认证,并回送认证结果封包129给LNS 20。LNS 20记录了LAC 60和LAC 80中移动代理的认证状态(state)。如果LNS 20收到的认证结果封包129是认证拒绝,则中断对LAC 60和LAC 80的数据传输。如果LNS 20收到的为认证成功,则继续下一步。
LNS 20除了原企业网络2网关的功能外,也具备Mobile IP中的原属代理器(Home Agent,以下简称为HA)的部分功能,包含当作移动台30的代理代收与转送封包。HA有连结列表(bindinglist)记录移动台30所在地址。连结列表记录移动台30现在所用地(Care of Addre ss,以下简称为CoA),即指示给移动台30的封包要转送至何处。本实施例中CoA就是通过认证的移动代理所在LAC地址。这样HA会将封包传送至LAC,LAC再把封包交给对应的移动台30。因此LNS 20将完成认证的LAC 60和LAC 80加入移动台30的连结列表之中,表示移动台30有可能在LAC 60和LAC 80之下。
LNS 20会根据连结列表以多重播送(multicast)133的方式将给移动台30的数据封包送到移动台30与有移动代理在的LAC60和LAC 80,并同时接收从连结列表里各LAC来的封包,分别由数据传输封包136和137显示。所以移动台30切换到那些LAC下时可以使数据传输不中断,也避免数据转向的延迟时间。对公众的(public)接口的L2TP信道来说是多重播送,但以私人的(private)接口来看,那些封包的端点地址都是相同不变的移动台IP地址。
LNS 20在接到AS 22的响应后才更新连结列表,以便进行多重播送;LAC则有部分防火墙的功能,它在接到响应后才允许移动台30连往LNS 20与AS 22之外的端点(CN24)。LAC会记录哪些移动台已通过认证。因为信道的使用权也属于VPN资源保护的一部分,这是为了保障信道的使用频宽。
在第三阶段P3中,现用LAC 40的AP信号低于某临界值(threshold),且有信号较强且属于LAC 60或LAC 80的AP的信号时,会进行第2层(Layer 2,以下简称为L2)的交递140,即切换所接触的AP。做完L2交递后,移动台30已可传接当地网络的封包,这是因为移动台30的IP地址没变,不需作第3层(Layer 3)交递,也不用在当地要新的IP地址。
交递后,移动台30会跟移动代理联系,由经由IPsec认证取得认证报告结果147,包含认证结果与其它所需的信息。移动台30与LNS 20间的传输由IPSec保障其安全性,由于移动台30与LNS 20两端的地址都不会改变,所以移动台30移动时不需重建IPSec。如果得到认证许可,则此时移动台30仍保持对CN 24的数据传输。否则如果得到认证拒绝,则中断和CN 24的连线后跳出交递程序(exit handover procedure)。
接着移动台30会对LNS 20发出位置更新封包148,让LNS20储存的连结列表中只剩现用的LAC 60。同时由LNS 20分别发出封包150和151,通知其它LAC 40和LAC 80,移动台30已确定新地址,不需再帮移动台30转送封包,在上面的移动代理也不用再等待了。由于连结列表中只剩一个LAC 60,LNS 20将以单一播送(uni-cast)的方式转接移动台30的封包。
在本发明实施例的设计架构之下,采用以EAP-SIM为基础的先期认证,在通讯连线交递之前预先为该移动台做EAP-SIM为基础的认证;以及在企业网络及各外部企业网络之间建立VPN信道。该EAP-SIM为基础的认证让使用者不必介入认证过程,从而掌控交递的延迟。执行该先期认证使交递的切换速度提高,不需另外等待该移动台的认证时间。使用VPN信道使企业网络及各外部企业网络自成一个私人网络。因为移动台漫游于同一个私人网络当中,给该移动台数据封包可使用同一个第3层IP地址传送,所以不需要重新分派第3层IP地址的时间。
因此除了L2交递时传输数据流会中断约100ms以外,其余时间数据流都持续传输,真正做到无缝交递的目标。若为了网络频宽效能或机器的效能的考量,而取消多重播送能力的话,本发明实施例仍只增加140ms。该增加的时间用于更新HA中连结列表(还有封包由LNS传至MN的时间)。本发明的无缝交递架构得以支持实时通讯协议。
图3显示本发明实施例中一种无线服务器40的构造方块图。该无线服务器40在通讯连线连接该移动装置和该无线网络。该无线服务器包括处理器400,连接端口402,和程序储存存储器404。该连接端口402与该处理器400耦接。该程序储存存储器404与该处理器400耦接。该程序储存存储器404包括程序用于,第一程序代码,在交递该通讯连线到该无线服务器之前对于该移动装置的EAP-SIM先期认证,以及第二程序代码,在一个既定的状况下交递该通讯连线到该无线服务器。该第一程序代码如同上述图2a及图2b的信息交换流程图第二阶段P2所述。该第二程序代码如同上述图2a及图2b的信息交换流程图第三阶段P 3所述。
图4显示本发明实施例中一种移动装置30的构造方块图。该移动装置30经由第一无线服务器在通讯连线与无线网络耦接。该无线服务器包括处理器300,连接端口302,和程序储存存储器304。该连接端口302与该处理器300及该无线网络耦接。该程序储存存储器304与该处理器300耦接。该程序储存存储器包括程序用于,第一程序代码,在交递该通讯连线到第二无线服务器之前对于该移动装置的EAP-SIM先期认证,以及第二程序代码,在一个既定的状况下交递该通讯连线到该第二无线服务器。该第一程序代码如同上述图2a及图2b的信息交换流程图第二阶段P2所述。该第二程序代码如同上述图2a及图2b的信息交换流程图第三阶段P3所述。
以上所述仅为本发明较佳实施例,然其并非用以限定本发明的范围,任何熟悉本项技术的人员,在不脱离本发明的精神和范围内,可在此基础上做进一步的改进和变化,因此本发明的保护范围当以本申请的权利要求书所界定的范围为准。
附图中符号的简单说明如下30移动台2企业网络20L2TP网络服务器22认证服务器24相对应节点4第一外部企业网络40第一L2TP存取集中器6第二外部企业网络60第二L2TP存取集中器80其它邻近L2TP存取集中器100~118建立通讯连线封包120侦测邻近L2TP存取集中器121移动代理封包122移动代理封包123移动代理封包124总共移动代理数目封包125总共移动代理数目封包
126认证要求封包127认证要求封包128认证要求封包129认证回应封包130认证回应封包131认证回应封包132更新连结列表133多重播送134~137多重播送封包138数据传输封包140L2交递142~145多重播送封包141多重播送146数据传输封包147认证报告确定封包148~149更新连结列表封包150~152通知更新连结列表封包153删除移动代理154~155数据传输封包300移动装置处理器302移动装置连接端口304移动装置程序储存存储器400无线服务器处理器402无线服务器连接端口404无线服务器程序储存存储器
权利要求
1.一种外部私有网络下实现无缝交递的方法,其特征在于所述实现无缝交递的方法是在移动装置和企业网络的路由器之间的通讯连线,由第一无线服务器交递到相邻无线服务器之中的第二无线服务器,包括在交递该通讯连线到该第二无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理;以及在一个既定的状况下,交递该通讯连线到该第二无线服务器。
2.根据权利要求1所述外部私有网络下实现无缝交递的方法,其特征在于上述使用步骤包括回报该相邻无线服务器的数目到该路由器;发送该移动代理到该第二无线服务器;以及经由该移动代理,执行以用户识别模块为基础的认证。
3.根据权利要求2所述外部私有网络下实现无缝交递的方法,其特征在于更包括更新以用户识别模块为基础的认证通过的无线服务器到该路由器的连结列表;以及根据该连结列表,传送下传数据到该认证通过的无线服务器。
4.根据权利要求1所述外部私有网络下实现无缝交递的方法,其特征在于上述既定的状况为当由该第一无线服务器至该移动装置的信号强度比第一既定值小,且第二无线服务器至该移动装置的信号强度比第二既定值大。
5.根据权利要求1所述外部私有网络下实现无缝交递的方法,其特征在于更包括由该移动代理接收该第二无线服务器的认证报告于该移动装置;如果该认证报告结果为认证拒绝,停止该通讯连线;以及如果该认证报告结果为认证许可,写入该第二无线服务器至该连结列表。
6.根据权利要求1所述外部私有网络下实现无缝交递的方法,其特征在于更包括建立虚拟私人网络信道于该第二无线服务器和该路由器间;以及经由该虚拟私人网络信道,接收整个该通讯连线都相同的该移动装置地址的数据于该第二无线服务器。
7.一种无线服务器,其特征在于所述无线服务器在通讯连线用于移动装置和企业网络的路由器之间,包括处理器;连接端口,与该处理器在该通讯连线耦接;以及程序储存存储器,与该处理器耦接,包括程序用于第一程序代码,在交递该通讯连线到该无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理;以及第二程序代码,在一个既定的状况下,交递该通讯连线到该无线服务器。
8.根据权利要求7所述的无线服务器,其特征在于上述第一程序代码包括于该无线服务器,接收该移动代理;以及经由该移动代理,执行以用户识别模块为基础的认证。
9.根据权利要求8所述的无线服务器,其特征在于上述第一程序代码更包括根据该路由器的连结列表所储存的以用户识别模块为基础的认证通过的无线服务器的数据,接收下传数据于该无线服务器。
10.根据权利要求8所述的无线服务器,其特征在于上述程序更用于由该移动代理传送认证报告给该移动装置。
11.根据权利要求7所述的无线服务器,其特征在于上述既定的状况为远程无线服务器至该移动装置的信号强度比第一既定值小,且无线服务器至该移动装置的信号强度比第二既定值大。
12.根据权利要求7所述的无线服务器,其特征在于上述程序更用于于该无线服务器和该路由器间,建立虚拟私人网络信道;以及于该无线服务器,经由该虚拟私人网络信道,接收整个该通讯连线都相同的该移动装置地址的数据。
13.一种移动装置,其特征在于所述移动装置经由第一无线服务器在通讯连线与企业网络的路由器耦接,包括处理器;连接端口,与该处理器及该路由器耦接;以及程序储存存储器,与该处理器耦接,包括程序用于第一程序代码,在交递该通讯连线到相邻无线服务器之中的第二无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理;以及第二程序代码,在一个既定的状况下,交递该通讯连线到该第二无线服务器。
14.根据权利要求13所述的移动装置,其特征在于上述第一程序代码包括回报该相邻无线服务器的数目到该路由器;传送该移动代理,到该相邻无线服务器;以及经由该移动代理,执行以用户识别模块为基础的认证。
15.根据权利要求14所述的移动装置,其特征在于上述更包括根据该路由器的连结列表所储存的以用户识别模块为基础的认证无线服务器数据,接收下传数据于该移动装置。
16.根据权利要求13所述的移动装置,其特征在于上述程序更用于由该移动代理接收认证报告到该移动装置;如果该认证报告结果为认证拒绝,停止该通讯连线;以及如果该认证报告结果为认证许可,由该移动装置写入该第二无线服务器至该连结列表。
17.根据权利要求13所述的移动装置,其特征在于上述既定的状况为该第一无线服务器至该移动装置的信号强度比第一既定值小,且该第二无线服务器至该移动装置的信号强度比第二既定值大。
18.根据权利要求13所述的移动装置,其特征在于上述程序更用于经由建立于该第二无线服务器和该路由器的虚拟私人网络信道,传送整个该通讯连线都相同的该移动装置地址的数据。
19.一种通讯系统,其特征在于所述通讯系统包含移动装置,参与一个通讯连线;企业网络,与该移动装置耦接在该通讯连线;第一无线服务器,在该通讯连线,连接该移动装置和该企业网络的路由器;以及相邻无线服务器,连接该移动装置和该路由器在该通讯连线,在交递该通讯连线到该第二无线服务器之前,于以用户识别模块为基础的先期认证,使用该移动装置的移动代理,以及在一个既定的状况下,交递该通讯连线到该相邻无线服务器之中的第二无线服务器。
20.根据权利要求19所述的通讯系统,其特征在于上述以用户识别模块为基础的先期认证包括回报该相邻无线服务器的数目到该路由器;传送该移动代理到该相邻无线服务器;以及经由该移动代理,执行以用户识别模块为基础的认证。
21.根据权利要求20所述的通讯系统,其特征在于上述以用户识别模块为基础的先期认证更包括更新以用户识别模块为基础的认证通过的无线服务器到该路由器中的连结列表;以及根据该连结列表,传送下传数据到该认证通过的无线服务器。
22.根据权利要求21所述的通讯系统,其特征在于上述第二无线服务器更包括由该移动代理传送认证报告至该移动装置;如果该认证报告结果为认证拒绝,停止该通讯连线;以及如果该认证报告结果为认证许可,由该移动装置写入该第二无线服务器至该连结列表。
23.根据权利要求19所述的通讯系统,其特征在于上述既定的状况为当由该第一无线服务器至该移动装置的信号强度比第一既定值小,且第二无线服务器至该移动装置的信号强度比第二既定值大。
24.根据权利要求19所述的通讯系统,其特征在于上述第二无线服务器更包括建立虚拟私人网络信道于该第二无线服务器和该路由器间;以及经由该虚拟私人网络信道,接收整个该通讯连线都相同的该移动装置地址的数据该第二无线服务器。
全文摘要
本发明是一种外部私有网络下实现无缝交递的方法、移动装置及系统,具体涉及在外部私有网络内的移动装置和私有网络之间的通讯连线,由一无线服务器交递到另一无线服务器的交递方法,无线服务器,移动装置,和系统,是利用移动代理技术,以及部分移动因特网协议架构达成先期用户识别模块可扩展认证协议认证,和虚拟私人网络,以达成的无缝交递方法,装置,和系统。
文档编号H04L12/28GK1825819SQ20051000877
公开日2006年8月30日 申请日期2005年2月25日 优先权日2005年2月25日
发明者吴科庆, 杨人顺, 林晨浩 申请人:财团法人工业技术研究院