移动设备网络地址更改的方法及装置的制作方法

专利名称：移动设备网络地址更改的方法及装置的制作方法
技术领域：
本发明涉及计算机网络，尤其涉及与网络相连接的移动设备，其中移动设 备可由于例如失去连接、漫游、租约期满等原因而更改网络地址。
背景技术：
随着无线网络技术的日益发展，以及基于这些技术的高速网络的成本曰益 降低，越来越多的计算设备通过无线连接与网络相连。无线技术提供了便利， 使得人们可以在多个不同的场所操作诸如个人计算机(PC)、移动电话、个人 数字助理(PDA)之类的移动设备和其它便携式计算设备。
与通常固定或半固定关联在单一位置、往往具有静态分配的网络地址的传 统有线计算设备不同，移动设备的位置发生变动时，需要新的网络地址。也就 是说，要在不同的位置中操作移动设备，需要不同的网络地址，凭借这些网络 地址来定位移动设备。例如，当连接到特定网络时，由不同服务提供商运营的 网络可能需要移动设备更改其网络地址。因此，在无线模式中，对于使用移动 设备的各个无线位置，移动设备可被分配不同的网络地址。在高度移动的环境， 可允许移动设备从一个网络漫游到另一个网络，因而需要进行网络地址更改， 网络地址更改必须动态执行；尤其当设备当前正与一个或多个网络设备通信， 同时需要进行网络地址更改时。
为了解决移动设备连接到无线网络中存在的网络地址更改问题，因特网工 程任务组(IETF)请求注释(RFC) 2002， 3220和3344中提出因特网协议版 本4 (IPv4)下移动性的因特网标准，其中描述了采用传输控制协议(TCP) / 因特网协议(IP)支持移动设备的通用解决方案。在这个方案中，每一个移动 设备都与所谓的归属网络(homenetwork)相关联。当移动设备参与与主机的 端到端通信时，主机总是在与移动设备的归属网络相关联的地址处，与移动设 备通信，即使当移动设备移动到不同的网络，在此指外区网络(foreign network)
(例如，由与归属网络提供商不同的提供商提供服务'的网络)。
当移动设备位于它的归属网络内时，则Slg报(例如网络包)在主机和移 动设备之间的路由可当作标准的IP路由运行。例如，在IPv4中，网络地址包括分成网络标识部分和主机标识部分的32位二进制数据。网络标识和主机标 识可采用不同数目的32位地址。主机标识部分采用的位数越多，连接到相关 联网络的主机就越多。网络主机连接到局域网，并且利用其主机标识部分以在 该网络上唯一地标识自己。网络标识部分将不同的网络区分开来。网络通常经 由一个或多个称为路由器的设备互相连接。
因此，当一个或多个网络包在其归属网络的移动设备和主机之间进行交换 时，采用各自网络地址的主机标识部分，可直接传送网络包。网络包可直接被 发送到目标主机的数据链路层，例如，移动设备与移动设备和/或主机相连接。
当移动设备位于外区网络内(例如除了其归属网络外的其它网络)，归属 网络将网络包或数据报转发(forward)给移动设备当前所在的网络。归属网络 进行这个转发操作，该操作对于主机和位于主机与归属网络之间的路由基本是 透明的。特别地，与移动设备通信的主机可能不知道网络地址的更改，因为数 据包的重新定位发生在从主机到设备的下行，以下会进一步详述。当移动设备 位于其归属网络的外部时，它在外区网络上获得一个转交地址(care-of-address)，归属网络将任何打算给该移动设备的包转发给外区网络。 这个转交地址是移动设备停留在外区网络期间的临时地址。
为了使移动设备离开其归属网络进行漫游，归属网络必须提供称为归属代 理的专用路由器，当移动设备位于外区网络中时，归属代理负责将包转发给移 动设备。在移动设备可连接和/或定位的每个外区网络中， 一般会提供称为外区 代理的专用路由器以根据移动设备相应行动。外区代理可在诸如外区网络中， 作为移动设备的缺省路由器运行。在一些情形中，归属代理所知晓的转交地址， 是外区代理的网络地址。外区代理收到来自归属代理的网络包后，就将网络包 转发给移动设备。因此，归属代理和外区代理(一般统称为移动代理)都知晓 网络地址更改，但主机和其它路由器并不知晓，因为归属和外区代理各自作为 旧网络地址和新网络地址的代理服务器。
这个架构是不用移动支持就能克服IPv4中的主要困难的扩展。特别地，当 涉及多个网络时，路由器保持传送路由表，路由表描述了传入的网络包应当发 送到何处以找到目标网络。路由器彼此互相合作，采用各种路由协议，交换关 于如何通过称为下 一跳路由的进程到达不同网络的信息。
这些路由协议涉及网络路由发现，而不是主机发现。IPv4地址空间足够大， 使得让所有主机都保持有单个路由器是极其昂贵和低效的。此外，因为IPv4 地址连接网络标识和主机标识如此紧密，并且由于在给定网络中可获取的主机
标识的数量各个网络互不相同，所以很难设计一个方案使得，当网络标识更改、 同时保持主机标识时，客户端地址更改可被通信。上述的移动网络扩展解决了 这个难题。
移动设备通常通过代理公告来定位和识别外区代理。这个称为代理发现的 进程涉及移动代理周期性地在其提供服务的网络上广播它的服务。因为移动代 理在代理运行的本地网络上广播它的公告，所以移动设备既能确定是归属网络 还是外区网络，又能在移动设备确定它已经离开自己的归属网络时，定位外区 代理。当移动设备发现它在外区网络中并定位外区代理时，移动设备就将转交 地址(例如，从公告获取的外区代理的网络地址)转发给它的归属代理，从而 注册和建立起允许将打算给移动设备的网络包转发的通信路径。

发明内容
本发明的一个实施例包括更改移动设备的第一网络地址的方法，移动设备 在第一网络地址连接到网络，而且移动设备通过网络与主机相连接，网络地址 更改是由移动处理设备执行，移动处理设备通过网络既连接到移动客户端又连 接到主机。所述方法包括以下动作从移动设备将地址更改请求发送到移动处 理设备，地址更改请求包括第二网络地址；从移动处理设备将地址更改请求的 通告提供给主机，通告包括第二网络地址；由主机修改主机和移动客户端之间 的连接，从而采用第二网络地址与移动客户端进行通信；以及通过所述已修改 的连接，进行主机和移动客户端之间的通信，其中已修改的连接的通信路径不 包括移动处理设备。
本发明的另一实施例包括一种可执行网络地址更改的系统，所述系统包 括与多个主机相互连接的网络；连接到所述网络的移动设备，移动设备与和 网络上的移动设备的第一网络位置相对应的第一网络地址相关联；连接到网络 的第一主机；以及可通过网络与移动设备和主机进行通信的移动处理设备。其 中移动处理设备设置成接收来自移动设备的地址更改请求，地址更改请求包括 与网络上的移动设备的第二网络位置相对应的第二网络地址，移动处理设备设 置成将地址更改请求通告给第一主机，通告包括第二网络地址，以及其中第一 主机适用于接收通告并发起与在第二网络地址的移动设备的连接，其中连接的 通信路径不包括移动处理设备。
本发明的另一个实施例包括便于更改移动设备的第一网络地址的网络设 备，移动设备通过网络与主机相连接，其中连接采用移动设备的第一网络地址， 网络设备包括至少一个网络端口，网络端口允许网络设备连接到网络；连接 到至少一个网络端口的控制器，控制器适用于对至少一个网络端口从移动设备 接收的地址更改请求进行处理，地址更改请求包括第二网络地址，控制器进一步适用于至少发送第二网络地址给主机，从而将地址更改请求通告给主机，其 中在主机和移动设备之间，通过在第二网络地址建立的连接经由通信路径进行 随后的通信，该通信路径不包括所述网络设备。


图1A-1I根据本发明的一个实施例，示出了实施便于对移动设备进行网络 地址更改的移动网络的系统；
图2A-2C根据本发明的另一个实施例，示出了实施便于对与防火墙后的服 务器进行通信的移动设备进行网络地址更改的移动网络的系统；
图3A-3D根据本发明的另一个实施例，示出了实施便于对无状态移动设备 进行网络地址更改的移动网络的系统。
具体实施例方式
如上所述，现有设备的移动可通过这样一个架构实施，其中每个移动网络 被分配一个具有归属代理的归属网络，归属代理代表移动设备运行。此外，移 动设备可能在所漫游的每个外区网络中都需要一个外区代理，作为代理服务器 运行，将从归属网络接收的通信转发给外区网络所在位置上的移动设备。申请 人认为网络移动的现有解决方案具有很多不足之处。
特别地，要求每个移动设备有一个指定的归属网络是不灵活的。基于移动 设备通常会位于指定的归属网络中的假设，对归属网络的架构进行建模。由于 网络移动和网间漫游变得日益普遍和普及，对于特定移动设备，可能无法明确 哪个网络应当被认为是归属网络，这使得架构难以管理和使用。
此外，经由归属网络的网络包(例如数据报)路由是低效的。特别地，参 与端到端通信的给定主机和移动设备可彼此邻近，从网络角度上看，则它们都 连接到指定的归属网络。因而，主机和移动客户端之间交换的网络包可能不得 不经由归属代理通过归属网络低效地重路由。这对网络移动解决方案的可伸縮 性造成不利影响。例如，随着移动设备数量的增加，现有架构的需求引起的低 效对网络带宽有负面作用。通过归属代理和外区代理路由数据包会引发大量不 必要的网络流量，并且低效的路由造成端点之间的不必要的等待时间，因而对 传输质量造成不利影响。
移动代理的实施(例如归属代理和外区代理)需要额外的专用路由器，其 设置成提供公告、接收注册、执行各种转发功能和/或代表移动设备处理其它代 理服务。必须在归属网络和移动设备要在其中漫游的任何外区网络中部署这个 额外的网络基础设施，这使得实施分布广泛、高度移动的网络的费用非常高， 并且管理和维护的成本也很高。例如，网络漫游可能仅限于已经实施并遵守如
上所述的移动代理架构的网络。
目前所提出了诸如IP网络实施扩展的解决方案，进一步限制上述现有网络 移动技术的应用，因而限制了可实施这些技术的网络类型。移动设备会希望访 问基于非IP的网络和/或与只有从其归属网络(根据定义，其必须是基于IP的) 的外部才能访问的网络进行连接。若有任何连接网络不是基于IP的，则移动客 户端将不能够漫游到那些网络，至少当移动客户端与连接到兼容基于IP网络的 主机同时通信时，不能漫游。要求移动设备可能连接的归属网络和任何外区网 络都是基于IP的网络，使移动设备可用的网络减小。
如上所述，当移动设备漫游时，对于其新近进入的网络，移动设备可能需 要请求或被分配一个新的网络地址。在传统移动网络中，这可能会引发对来自 外区代理的公告的响应，或是请求来自外区网络的帮助并向归属网络(例如经 由归属代理)注册新的地址。当设备不仅与外区网络连接，还同时漫游与一个 或多个远程网络主机通信时，情况是十分复杂的。在这些情形中，主机当前与 移动设备的通信会继续将包传送给先前的移动设备的网络地址。
主机，或是代表移动设备和/或主机起作用的诸如路由器的某些其它设备， 都必须知晓移动设备的地址更改以允许重定向与新地址通信，优选地，不必停 止和重建/重启主机和移动设备之间的连接，和/或重复已经执行过的验证进程。 因此，现有的地址更改程序易于受到安全侵犯。例如，在主机仍在发送包给先 前地址的时段中和/或利用伪造地址更改程序使通信重定向到恶意的网络设备 时，恶意的网络设备可能试图截获主机和移动设备之间的通信。
申请人认为，通过实行适于在高度移动环境中处理通信的移动网络，其中 移动设备可能需要或许比较频繁的网络地址更改，可消除上述缺点中的一个或
多个。例如，在一个实施例中，在2002年12月23日申请的，题为"提供通 用无状态数字和计算服务的系统和方法"的第10/328,660('660)号美国专利申请 中描述的网络体系结构可用作模型来促进设备的移动性，使得移动设备可自 动、安全、无缝及动态地更改它的网络地址，同时通过一个包定向的非受信网 络参与到--- 个已经建立的、与另一主机的端到端的通信中，并在网络地址更改 过程中保持通信。通过完全引用将'660申请的内容合并在此。
在-一个实施例中，主机和移动设备都连接到，或设置成能够连接到称为移 动处理设备(MH)的第三方设备。该MH —般被移动设备和主机所信任。例 如，主机可识别来自MH的通信，并且相信信息不是从恶意网络设备发送的。 移动设备和主机可与MH通信以交换信息，从而验证移动设备并对移动设备执 行网络地址更改，这样使得主机能够在新的网络地址和移动设备通信。网络地 址更改可由于多种原因发生，例如，移动设备在不同的网络间漫游和/或移动设 备连接到不同的网络弓I起的网络切换，禾U /或失去与当前网络的连接等情况。
以下是与本发明所述的实施例、方法以及装置相关的各种概念的更详细的 说明。应当认为在此描述的本发明的各个方面可用多种方式实施。在此提供的 具体实施的例子仅用于阐示。特别地，可使用采用任何网络、网络协议等的任 何网络实施和设置，本发明的各个方面并不限于任何特定的网络、网络设置和 /或网络设备。
图1示出了根据本发明的一个实施例，实施移动网络的系统。系统100包
括经由路由器U5连接到非受信网络150 (例如因特网)的主机110。系统IOO 还包括经由路由器125连接到非受信网络150的移动设备120。移动设备120 可经由无线链接连接到网络150。例如，路由器125可包括将移动设备无线连 接到网络150的一个或多个无线访问点。移动设备120对主机IIO来说，可能 是未知和非受信的。然而，这并不会限制本发明的各个方面，因为移动设备120 可是已知的或受信的，或既是已知的又是受信的。系统100还包括MH130，其 连接到非受信网络150并且便于移动设备120和主机IIO之间建立通信链接。 主机和/或MH还可经由无线链接连接到网络150。
应当认为网络150可包括多个任何类型和设置的网络。例如，网络150可 包括多个网络，每个网络通过网络地址的不同网络标识部分进行识别，网络标 识部分由连接到网络的不同网络设备产生。因为本发明的各个方面并不局限于 这个方面，网络150可包括一个或多个专用网络局域网(LAN)、广域网 (WAN)、因特网等。网络150可包括在不同网络之间引导网络流量、方便连 接到网络的移动设备漫游的一个或多个协作路由器。
MH130对主机IIO来说， 一般是已知并且受信的，并且具有与主机建立的 受信链接，MH可通过该链接传送信息给主机。例如，主机可经由传输控制协 议(TCP)连接或安全套接层(SSL)连接到MH。如图1B所示，主机110可 发起和建立与MH的通信链接。或者，MH130可发起链接。但是，通过主机发 起进程，主机110对进程有更强的控制以确保MH130受信。主机110可执行 满足自身对MH的可靠性和可信性要求的任何类型的安全措施或验证程序。
同样地，MH130对移动设备120来说， 一般是已知并且受信的。移动设备 120可设置成当其要求和主机IIO通信时，与MH130进行连接和交互。移动 设备120会想要使用由主机IIO提供的一个或多个服务。因此，MH130作为移 动设备120和主机IIO之间的受信中介运行。因为本发明的各个方面并不局限 于这个方面，应当认为MH130可连接到多个主机和多个移动设备，从而作为 任何数量的受信和/或非受信移动设备/主机对之间的一般受信中介而运行。
如图1C所示，移动设备可经由网络连接117 (例如SSL之类的加密连接 或任何其它类型的连接)。当移动设备与MH130相连接时，为移动设备建了 一个临时标识，用于验证。临时标识可包括密钥标识(ID)和唯一网络标识(例如移动设备的IP地址)。因为本发明的各个方面并不局限于这个方面，临时标识可包括用于安全识别移动设备的不同标识或附加标识。也就是说，MH可采用能唯一识别移动设备并且有助于防止恶意设备欺骗移动设备标识的任何验 证机制(例如，为了防止恶意行动者假装是授权的移动设备而获取对一个或多 个服务的访问和/或获得数据或其它机密信息)。
MH130获得用来建立连接的移动设备的网络地址，并生成密钥ID127以形 成移动设备的唯一标识。例如，MH可生成随机数作为密钥ID。在一些实施例 中，密钥ID随机生成，并且与MH或移动设备相关联的任何已知或可知属性 无关，从而确保密钥ID不会被试图欺骗移动设备标识的恶意进攻者轻易猜出。 例如，MH可生成至少128位的随机整数值，其中整数值与MH或移动设备的 IP地址、硬件地址、地理位置等不相关。密钥ID和网络ID可一起操作，作为 对于MH的移动设备标识的证明.。
如图1D所示，MH130通过移动设备和MH之间建立的链接传送密钥 ID127。 MH和移动设备可是拥有密钥ID的唯一实体，保持两者用于验证，直 到移动设备重新启动、重新导入或经过引起密钥ID过期的其它操作时。因为 本发明的各个方面并不局限于这个方面，当网络地址和密钥ID作为验证机制 操作时，可采用任何安全识别移动设备的验证方法。
在图IE中，MH130通告主机110移动设备120想要连接主机。来自MH130 的通告可包括移动设备的网络地址，并且可包括主机110需要和/或需求的任何 附加信息(例如，移动设备请求的一个或多个服务)。如图1F所示，主机IIO 则采用由MH130提供给它的信息(例如网络地址)，发起和建立与移动设备 的通信链接。则移动设备和主机可通过这个已经建立的链接任意通信。 一旦主 机110和移动设备120之间的连接被建立，MH就不再通过这个建立的连接参 与随后的通信。也就是说，通过非受信网络的通信路径不包括MH130。因而， MH作为建立连接的中介操作，但在利用连接进行通信的期间不操作。
在主机110和移动设备120之间进行通信期间的某点上，移动设备可请求 网络地址更改。例如，移动设备可能已经或将要漫游到当前的网络地址不再有 效的另一网络，因而需要网络切换。网络切换可能由于当前无线网络不可到达、 由另一网络提供的信号强度或资费较优或其它任何这类的因素而引起。此外， 网络地址更改可能由于移动设备与当前网络暂时失去连接而发生。无论如何， 在移动设备的旧网络地址上，移动设备120可能不再是可到达的，或即将变得 不可到达。
如图1G所示，为了发起一个网络地址更改，移动设备120通过地址更改 请求129，将地址更改通告MH130。移动设备120通过已建立的链接，向MH130 提供密钥ID、它的旧网络地址和对应移动设备在网络上的新位置的新网络地址
(例如，移动设备漫游进入的、现在可到达的网络的网络地址)给MH130，从 而做出地址更改请求。例如，网络150可包括由第一网络供应商提供服务的第 一网络和第二网络供应商提供服务的第二网络。移动设备可能己经从第一网络 漫游到第二网络，在第二网络处，旧网络地址不再是有效的并且需要一个新网 络地址。MH则使用移动设备提供的信息来验证移动设备的标识并将地址更改 通告主机。
可以采用许多方法来进行移动设备和MH之间的地址更改处理。特别地， 移动设备是否是自发请求网络地址更改还是由于占主导的网络环境而被迫这 么做(例如，移动设备可由于漫游、低信号强度和/或其它这类因素而无意中失 去与旧网络的连接)，可决定MH和移动设备之间的地址更改处理如何完成。
在一个实施例中，移动设备仍采用其旧网络地址连接(或重新连接)到 MH，通过已存在的与MH的连接进行地址更改。通常，当移动设备自发做出 地址更改时，进行这个处理，尽管这个处理并不限于自发场景。在另一个实施 例中，移动设备断开与MH130的连接，局部更改它的地址，并采用新的网络 地址重新连接到MH，采用新的网络地址通过已建立的新连接发出地址更改请 求。
然后MH130验证该请求，检验移动设备是否被授权做出请求的地址更改。 --旦请求被验证，MH130通告主机110，主机和移动设备之间当前建立的连接 已经更改或将要更改，并传送新的网络地址119给主机，如图1H所示。MH130 和主机IIO之间的通告处理可用多种方式进行。例如，通告进程可取决于移动 设备发出的地址更改请求是自发的还是非自发的。若移动设备120断开与 MH130的连接，则MH可发信号给主机110，以暂时停止通过移动设备和主机 之间已建立的连接来传送网络包或数据报给移动设备，从而避免将包传送到错 误的地址。然后主机可等到MH130将新的网络地址转发后，再恢复发送网络 包给移动设备。
如图ll所示，主机IIO采用MH130提供的新的网络地址建立起与移动设 备110的连接，或者调整它和移动设备IIO的连接状态。 一旦地址更改完成， 主机110和移动设备120就直接通信，无需MH130干涉，直到以及如果移动 设备发出另一个地址更改请求。也就是说，随后的通信经由不包括MH的通信 路径被路由。因而，MH仅在建立初始连接期间和进行网络地址更改时，作为 中介运行。
应当认为移动设备和主机之间的连接是直接的，并且因而与移动设备更改 网络地址的频繁程度无关，也与移动设备漫游到哪一个网络无关。因此，主机 和移动设备之间的信息传送可被优化为移动设备和主机之间的成本最小的路 由，并且不必通过第三方网络和/或主机被路由(例如，通过归属网络/归属代理，外区代理等被路由)。因此，可优化网络效率，并且提供了网络移动的高 可伸缩的解决方案。
结合图l进行说明的移动机制同样是高可信和安全的。在移动设备和主机 之间发生地址更改之前，移动设备和主机已经以安全的方法连接到MH，使恶 意攻击的可能性最小。例如，在现有的移动网络中，主机和/或移动设备可能对
外区网络在特定网络上的公告毫不知情。相比之下，MH可被双方所信任，并 且当有必要建立连接和/或进行地址更改时，MH可进行干涉。因而，任何级别 的安全/验证可在这样的处理过程中进行。通过已知和受信的中介执行这些处 理，可实现安全和无缝地建立连接和实现网络地址更改程序。
此外，根据本发明各个方面的移动网络可以被实施，而无需对网络基础架 构进行实质上的添加。特别地，归属和外区代理无需确保当在不同的网络间漫 游时，移动设备能继续通信。而且，根据本发明的各方面的移动网络可兼容于， 但无需依赖于，IP协议或其它任何特定的下层协议。因而这样的移动网络可在 各处实施。因为无需实施移动代理，所以移动设备能够漫游到任何网络，甚至 是与现有网络架构不兼容的网络。
应当认为上述优点仅仅是本发明某些实施例的期望的效果。本发明的各方 面不限于在实现一个或多个期望的优点的移动网络中使用，尽管上述优点的任 一或全部都可实现。
应当认为主机也可以是移动设备。特别地，MH作为中介运行辅助建立的
连接可在两个移动设备之间，移动设备和无线连接到非受信网络的主机之间， 移动设备和有线连接到非受信网络的主机之间，或是其中任何的组合。在一个
实施例中，移动设备连接到多个主机，并且MH将移动设备发出的地址更改请 求通告给多个主机中的每一个。因为本发明的各个方面不限于此方面，可采用 任何配置的移动设备、主机、服务器等。
本发明的各个方面可用于其中一个或多个主机位于防火墙后的网络配置。 特别地，可采用MH中介来实现移动设备和主机(例如服务器)之间的通信， 由于主机所处位置位于由防火墙保护的专用网络上，主机可能无法被直接连 接。例如，在2005年4月12日申请的，题为"在防火墙服务器和防火墙客户 端之间自动发起和动态建立安全因特网连接的系统和方法"的第 11/104,982('982)号美国专利申请中描述的各种网络配置，其中一个或多个服务 器作为经由防火墙连接到非受信网络的专用网络的一部分，其可包括网络地址 转换(NAT)路由器。特别地，在'982申请中描述的会话控制服务器(SCS) 可作为MH运行，接收地址更改请求并将该地址更改请求通告给一个或多个服 务器，如图1所示。应当认为'982申请中描述的实施例并不限于和仅仅采用本 发明方面的示例网络配置。
图2A示出了根据本发明的一个实施例，实现网络移动性的系统。系统200 可与如图1所示的系统100相似。然而，主机110是位于防火墙后的服务器210， 其中服务器210的专用网络地址对专用网络205外部的设备来说， 一般是未知 的。例如，专用网络205可以是企业内部网或其它一些不能从LAN外部直接 获取地址的局域网(LAN)。专用网络205通过NAT路由器215连接到非受 信网络(例如因特网)。在某些受限和安全的基础上，要求专用网络205可被 专用网络外部的一个或多个移动客户端所使用。例如，当雇员在办公室外并且 没有直接连接到企业LAN时，企业LAN可能要提供电子邮件或其它服务给雇 员。可采用NAT路由器215与MH230相结合以实现安全的外部访问，并为连 接到专用网络的移动客户端提供相对无缝和安全的网络移动性，正如以下将进 一步详述的。
通常，NAT路由器215存储NAT表，NAT表将从专用网络外部的路由器 接收的网络地址转换为专用网络上的目标服务器的专用网络地址。因此，NAT 路由器隐藏了专用网络上的服务器的专用网络地址，并且可作为网守运行，在 允许某些网络包被路由到专用网络上的服务器的同时，忽视其它网络包。凭借 这个功能，NAT路由器作为防火墙的组成部分起作用。NAT路由器本身具有 也许为公众(例如连接到非受信网络的其它主机和设备)所知或也许不为公众 所知的网络地址。无论如何，与专用网络的通信要经过NAT路由器。
在图2的设置中，MH可作为受信的中介运行，以便于在移动客户端220 和服务器210之间建立安全通信，从而实现安全和动态的网络地址更改。例如， 为了在移动客户端220和服务器210之间建立初始连接，可执行如图1B-1D所 示的操作。特别地，服务器210和移动客户端220可各与MH230建立连接。 MH230和移动客户端220交换信息，以唯一和安全地识别客户端。然后MH230 通过NAT路由器215向服务器210通告，移动客户端220要求连接到服务器 210，例如要求访问服务器210提供的一个或多个服务。因为MH230被专用网 络所信任，所以它可同意提供一个或多个服务给移动客户端。然而，因为专用 网络的利益在亍保持内部专用网络地址为专用的，服务器210可与NAT路由 器215联合运行，以建立与客户端的连接，而不发布内部网络地址信息。
如图2B所示，服务器210发起一个处理以在服务器和移动客户端220之 间建立连接。由于移动客户端不知晓服务器的专用网络地址，移动客户端本身 不能与服务器建立连接。照这样，服务器可以用可进行联系的临时网络地址联 系移动设备。然后NAT路由器215可将临时网络地址与服务器的专用网络地 址相关联。而且，若从移动客户端220的网络地址接收到信息，则可指令NAT 路由器只将在临时网络地址处接收的信息路由给专用网络地址(如MH所提供 的)。因而，可在服务器和移动客户端之间建立连接，而移动客户端无需获悉服务器的专用地址。
在服务器210和移动客户端220之间已经建立连接后的某点，移动客户端 220可发出地址更改请求给MH。正如与图1相关的描述，用MH可进行地址 更改处理。也就是说，移动客户端可提供由MH提供的密钥ID以及该移动客 户端可到达的新网络地址。或者，若移动客户端已经切换网络，失去与当前网 络的连接，和/或以其它方式非自发地被迫离开网络，移动客户端可利用它的新 的网络地址，重新连接到MH。验证移动客户端之后，MH可将地址更改请求
通告给服务器，并将移动客户端的新的网络地址提供给服务器。
如图2C所示，服务器发起一个处理以重新建立或调整与移动客户端的连 接。例如，服务器210可利用移动客户端的新的网络地址，重复上述与图2B 相关的程序。服务器可选择给NAT路由器发布一个与移动客户端的新的网络 地址相关联的新的临时地址。或者，NAT表可被告知新的网络地址，并修改为 仅从新的网络地址路由信息到服务器210的专用网络地址。因为本发明的各方 面不限于此方面，可采用其它机制重新建立和/或调整服务器和移动客户端之间 的连接。
因为本发明的各方面不限于使用任何特定网络配置，应当认为移动客户端 可具有NAT路由器，它通过NAT路由器与非受信网络交互，它本身可以是专 用网络的一部分和/或由防火墙保护等等。如上所述，移动设备(例如移动客户 端)可与任何数目的主机(例如服务器)通信。因为本发明的各方面不限于此 方面，这些服务器可以是，经由非受信网络直接连接和访问的或在任何其它的 网络配置中的专用网络的一部分。
应当认为，与网络层(ISO堆栈的第三层)中实施的背景中描述的现有架 构不同，上述技术可在应用层实施，与下层协议(包括IP协议)无关，使得本 发明的各个方面可与任何类型的网络结合使用。例如，上述的地址更改技术可 经由NAT在传输层下实施，或由移动设备作出的地址更改之后经由外在的传 输层重新连接在应用层实施。然而，因为本发明的各方面不限于此方面，地址 更改可在其它层实施。
申请人认为本发明的各个方面便于便携式无状态设备的移动性。无状态设 备在这里指基本可作为网络和显示器管理设备运行的设备。特别地，当以无状 态功能运行时，无状态设备可主要作为网络的人机交互设备运行。无状态设备 通常不运行任何应用程序，除了执行网络功能并显示通过网络接收的信息的软 件外。因此，无状态设备(当以无状态功能运行时)不需要执行实质的用户功 能和/或包括任何重要的和/或永久性的用户数据。
使无状态设备访问、交互和/或从其它网络设备接收服务减轻和/或消除了 与现有网络计算有关的一个或多个问题。例如，许多安全性问题大部分都归咎于全状态计算设备，诸如向用户提供的功能包括便于入侵、以及为病毒的寄生 和传播建立计算环境，和/或其它使用户违反安全性，攻击网络环境中易受攻击 处，和/或其它对全状态设备的功能的漏洞进行利用。
比较之下，无状态设备剥离了为上述各种性能提供便利的大部分功能。然 而，无状态设备与上述体系结构结合使用，允许无状态设备作为俗称的"观终 端"运行，但仍从通过网络可获取的资源中获益。特别地，无状态设备可模拟 任何计算环境，而无需要求设备本身能够以相关联的功能运作。例如，与网络服务交互的无状态设备，可作为Windows TM设备运行而无需在无状态设备上安 装Windows TM操作系统。由于无状态设备作为与网络的接口运行，可通过网络 提供信息，从而允许无状态设备模拟任何设备或功能，无需要求在无状态设备 上保留功能所伴随的弊端。
无状态设备便于在网络计算中从计算和功能负荷施加在与网络相连接的 设备(例如便携式电脑或PC)上的范式转换到功能和计算主要由与网络连接的服务器执行的范式。在上述的一些优点中，这个新的范式使传统并不享有或享 有有限网络性能的设备(例如，电视或其它任何具有显示器的设备)变成完全 拥有网络功能的设备。无状态设备提供较廉价的方法通过一个或多个网络与服 务进行完整的交互和访问，同时保持与无状态设备交互/接口的主机/服务器所 持有数据的完整性。
应当认为全状态设备(诸如个人计算机、个人数字助理等)可以无状态性 能运行。也就是说，全状态设备可通过某种程度上抑制其全状态设备所拥有的 全性能而作为无状态设备运行，诸如抑制执行应用程序、存储用户数据和信息 等功能。虽然纯粹的无状态设备基本是作为网络装置运行，该网络装置允许用 户与网络上其它地方存储的信息交互，和/或接收由网络上其它位置计算、执行和提供的服务和功能(例如，通过网络装置所连接到的--个或多个主机或服务 器)。
申请人已经认识到，日益增长的对移动网络、电信和在移动环境中从任何 地方无缝获取信息等的需求和/或必要性这一趋势，产生了这样一个环境，其中 无状态移动设备具有显著的优势。例如，本发明的各个方面便于采用移动无状 态设备作为和网络的接口。移动无状态设备的用户可与网络，例如专用网络， 进行交互，就像无状态设备连接到该专用网络中(例如在防火墙后)。因而， 移动无状态设备的用户可采用由特定网络的服务器提供的服务，基本就像用户 处于与服务器本地连接-一样。上述的移动网络便于以无缝、安全且可伸縮的方式，实施移动无状态设备，如以下进一步详述的。
根据本发明的一个实施例，图3示出了包括移动无状态设备的移动网络。 移动网络300可与图2所述的网络200类似。然而，移动网络300可包括无状
态网络装置(SNAP) 320。 SNAP320可以是纯粹的无状态设备或者可以是能够 以基本无状态性能运行的全状态网络设备。特别地，SNAP320可以是可执行诸 如通过非受信网络350接收和发送网络包，以及显示通过网络(例如从MH330、 服务器310等)所接收信息的网络活动的任何设备。
在-一个实施例中，SNAP320包括一个或多个处理器，诸如中央处理器 (CPU)、存储器、帧缓冲设备、网络端口、诸如键盘、小键盘、鼠标、触敏 屏等输入设备，以及将网络所接收的信息显示给用户的显示器。如上所述， SNAP可包括用在全状态设备中的其它组件，但是以上列出的组件足够SNAP 在移动环境通过非受信网络通信。特别地，组件仅需要足够用于允许SNAP交 换网络信息，显示从网络接收的信息，以及允许用户和显示器交互(例如，经 由一个或多个输入设备)。
如图3B所示，SNAP联系MH330以请求连接到服务器310。例如，SNAP320 可包括实施网络堆栈以允许通过网络与设备通信的软件。在实施例中，其中 SNAP320是纯粹无状态的，SNAP320可设置成在启动时自动联系和连接到 MH330 (因为与网络分离的话，纯粹的无状态SNAP只具有极少的功能或不具 有任何功能)。
凭借与图1和图2有关描述相同的方式，网络连接(例如，诸如SSL或 TCP/IP连接的加密链接)可在SNAP320和MH330之间建立，并且交换唯一的 标识确保安全(例如，SNAP320提供它的网络地址，并且MH生成和发送密钥 ID给SNAP)。然后MH330通告服务器310， SNAP320想要连接到服务器并 提供SNAP320的网络地址给服务器，如图3C所示。服务器310可传送临时地 址给SNAP，可采用该临时地址在服务器和SNAP之间建立链接，使得SNAP320 可与防火墙后的服务器通信(例如，就像SNAP直接连接到专用网络305，如 图3D所示)。
以这个方式，无状态设备可用来访问由位于专用网络(例如，防火墙后受 保护的企业LAN)内的服务器提供的一个或多个设备。若SNAP由于任何原因 需要更改它的网络地址(例如，因为它已经漫游到具有新的网络供应商的新的 网络；或因为它己经漫游到另一个位置，其中另一个网络的信号强度或资费较 优；或因为它已经暂时与网络失去连接等等)，SNAP320提供地址更改请求给 MH330, MH330转播该请求给服务器310，服务器310则在新的网络地址与 SNAP开始通信。因而，SNAP可自动、安全、无缝和动态地获得新的网络地 址，无需用户千涉。因此，无状态设备可从任何位置和/或在高度移动环境内接 收--个或多个服务，和/或与专用网络305交互。
应当认为SNAP320不需要依靠与传统全状态设备，诸如个人计算机、移 动电话等相关联的特性和Z或组件。例如，SNAP320无需包括永久存储功能来保存客户端的特定信息、申请状态信息等。唯一的相关状态信息与涉及网络连
通性的临时状态信息相关(例如TCP连接状态等)。SNAP不需要能够(并且 在某些情况下可能要避免)下载数据或上传数据到网络。例如，SNAP采用的 服务可提供给整个服务器端，并且服务器可仅仅传送显示信息给SNAP (例如， 在'660和'982申请中所述的)。因而，SNAP不需要存储和/或自己修改属 于专用网络的任何信息，通过保护专用网络内可获得的信息使SNAP和服务器 之间进行安全移动交互，同时仍提供服务给SNAP。
此外，由于机制和用户标识之间无需关联，因此无需与SNAP的用户关联。 而且与其所要通信的任何服务器也无需关联，包括服务器的标识或从服务器接 收的数据。
应当认为，移动无状态设备可连接到与非受信网络直接相连的主机，诸如 结合图1进行描述的主机110。因为本发明的各个方面不限于此方面，上述移 动网络的任何组件可采用任何组合、数目和/或设置。
本发明的上述实施例可以多种方式中的任何方式实施。例如，实施例可采 用硬件、软件或其组合来实施。当在软件中实施时，软件代码可在任何适当的 处理器或处理器集群上执行，不管是提供在单个计算机内或是分布在多个计算 机中。应当认为执行上述功能的组件或组件集群， 一般可被认为是控制上述功 能的一个或多个控制器。 一个或多个控制器可以多种方式实施，诸如以专用硬 件或采用微码或软件以执行上述功能的通用硬件(例如， 一个或多个处理器)。
应当认为，在此概述的各种方法可编码成软件，其在使用任何种类的操作 系统或平台的-个或多个处理器上是可执行的。因此，这样的软件可采用任何 合适的编程语言和/或现有的编程或脚本工具编写，并且也可编译成可执行的机 器语言代码。
在这个方面，应当认为本发明的一个实施例指向以一种或多种以程序进行 编码的计算机可读媒介(或多个计算机可读介质)(例如，计算机存储器、一 个或多个软磁盘、压縮盘、光盘、磁带等)，当程序在一个或多个计算机或其 它处理器上执行时，完成实施上述发明的各实施例的方法。计算机可读媒介或 介质可以是可传送的，使得存储在其中的程序或多个程序可被装载到一个或多 个不同的计算机或其它处理器，从而实施如上所述的本发明的各个方面。
应当理解在此采用术语"程序"， 一般意义上指任何类型的计算机代码或 指令集，可采用其来对计算机或其它处理器编程以实施如上所述的本发明的各 个方面。此外，应当认为，根据本发明的一个方面， 一个或多个在执行时完成 本发明方法的计算机程序无需驻留于单个计算机或处理器中，而是可在多个不 同的计算机或处理器之间以模块化方式分布，从而实施本发明的各个方面。
本发明的各个方面可串-独、组合或以不特定于上述实施例中所论述的多种设置采用，并且因而并不将其应用限于本发明中上述的说明书所提及的或附图 中所显示的组件的细节和设置。本发明适用于其它实施例，并且可以多种方法 被实施或实现。特别地，本发明的各个方面可与任何类型、集群或设置网络结 合实施。不对网络实施做任何限制。因此，上述说明书和附图仅是举例的方式。
在权利要求书中使用诸如"第一"、"第二"、"第三"等术语来修饰权 利要求的要素，其本身并不表示一个权利要求的要素与另一个权利要求的要素 相比具有任何优先权、优越权或优先序，或执行方法的动作的时间顺序，而是 仅采用其作为符号将具有某个名字的一个权利要求的要素与另一个具有相同 名字(用于表示顺序的术语)的权利要求的要素相区别。
而且，在此使用的措词和术语是用于说明，并且不应被认为是限制性的。 在此使用的"包括"。"包含"、"具有"、"含有"、"涉及"及其变体意 欲将随后列出的物品和其等同物连同附加的物品包括在内。
权利要求
1.一种更改移动设备的第一网络地址的方法，所述移动设备在第一网络地址连接到网络，所述移动设备通过所述网络与主机连接，所述网络地址的更改是由通过所述网络连接到该移动客户端和所述主机的移动处理设备进行，所述方法包括以下动作从所述移动设备将地址更改请求发送到所述移动处理设备，所述地址更改请求包括第二网络地址；从所述移动处理设备将地址更改请求的通告提供给所述主机，所述通告包括所述第二网络地址；由所述主机修改所述主机和所述移动客户端之间的所述连接，以采用所述第二网络地址与所述移动客户端进行通信；以及通过所述已修改的连接，进行主机和移动客户端之间的通信，其中已修改的连接的通信路径不包括所述移动处理设备。
2. 如权利要求l所述的方法，其中所述网络包括第一网络和第二网络，所述方法进一步包括以下动作由所述移动设备从所述第一网络漫游到所述第二网络，其中所述第二网络地址对应于所述移动设备在所述第二网络上的位置。
3. 如权利要求2所述的方法，进一步包括以下动作 在发送所述地址更改请求的动作之前由所述移动设备将连接请求发送给所述移动处理设备，所述连接请求包括所述第一网络地址；由所述移动处理设备将所述连接请求的通告提供给所述主机，所述通告包括所述移动设备的所述第一网络地址；以及在所述主机和在所述第一网络地址的所述移动设备之间，建立由所述主机发起的连接，其中通过所述连接的通信路径不包括所述移动处理设备。
4. 如权利要求3所述的方法，进一步包括以下动作由所述移动处理设备将让移动处理设备识别所述移动设备的标识提供给所述移动设备，并且其中发送所述地址更改请求包括发送含有所述标识的所述 地址更改的动作；以及由所述移动处理设备至少部分基于所述标识来验证所述移动设备。
5. 如权利要求1所述的方法，其中所述主机是连接到局域网(LAN)的第 一服务器，所述局域网可从所述网络访问，该访问受限于具有网络地址转换(NAT)表的网络地址转换(NAT)路由器，所述网络地址转换(NAT)表将从所述网络接收的网络地址转换成与所述局域网上的至少-个服务器的位置 相对应的专用网络地址，并且其中所述第一服务器的所述专用网络地址对所述 移动客户端是未知的。
6. 如权利要求5所述的方法，其中修改所述主机和所述移动客户端之间的 所述连接的所述动作包括更新所述网络地址转换(NAT)表的动作，使得从所 述第二网络地址接收的通信被路由给所述第一服务器。
7. —种可执行网络地址更改的系统，所述系统包括 与多个主机相互连接的网络；连接到所述网络的移动设备，所述移动设备与和所述网络上的所述移动设 备的第一网络位置相对应的第一网络地址相关联； 连接到所述网络的第一主机；以及能够通过所述网络与所述移动设备以及所述主机进行通信的移动处理设备，其中所述移动处理设备设置成接收来自所述移动设备的地址更改请求，所 述地址更改请求包括与所述网络上的所述移动设备的第二网络位置相对应的 第二网络地址，所述移动处理设备设置成将所述地址更改请求通告给所述第一 主机，所述通告包括所述第二网络地址，以及其中所述第一主机适用于接收所述通告并发起与在所述第二网络地址的 所述移动设备的连接，其中所述连接的通信路径不包括所述移动处理设备。
8. 如权利要求7所述的系统，其中所述网络至少包括第一网络和第二网 络，其中所述移动设备能够连接到所述第一网络和所述第二网络中的任意一个，并且其中所述移动设备设置成当所述移动设备从所述第一网络漫游到所 述第二网络时，发送所述地址更改请求，所述第一网络位置与所述第一网络相 关联，并且所述第二网络位置与所述第二网络相关联。
9. 如权利要求7所述的系统，其中所述移动处理设备设置成接收来自所述 移动设备的连接请求以连接主机，并且其中，作为对接收所述连接请求的响应， 所述移动处理设备提供标识给所述移动设备，从而至少临时地识别所述移动设备。
10. 如权利要求9所述的系统，其中所述移动设备设置成包括作为所述地 址更改请求一部分的所述标识，并且其中所述移动处理设备设置成至少部分基于所述标识来验证所述移动设备。
11. 如权利要求IO所述的系统，其中所述移动处理设备设置成仅在所述 移动设备已经被验证后，将所述地址更改请求通告给所述主机。
12. 如权利要求9所述的系统，其中所述移动处理设备设置成将所述连 接请求通告所述主机，并且将所述移动设备的所述第一网络地址提供给所述主机。
13. 如权利要求12所述的系统，其中所述第一主机连接到位于防火墙后的专用局域网(LAN)，所述第一主机在所述局域网上具有所述移动设备未知的专用网络地址，并且其中所述主机设置成发起一个与采用由所述移动处理设 备提供的所述第一网络地址的所述移动设备的连接。
14. 如权利要求13所述的系统，进一步包括网络地址转换(NAT)路由器， 所述网络地址转换路由器是所述防火墙的一部分，其中所述网络地址转换路由 器包括网络地址转换表，所述网络地址转换表将从所述网络接收到的网络地址 转换成所述专用局域网的相应的专用地址。
15. 如权利要求14所述的系统，其中所述第一主机发起与在所述第一网络 地址的所述移动设备的连接时，发布与所述第一主机相关联的临时网络地址， 并且其中所述网络地址转换路由器在所述网络地址转换表中，将所述临时网络 地址与所述第一主机的所述专用网络地址相关联，使得所述移动设备可经由网 络地址转换路由器与所述第一主机进行通信。
16. 如权利要求9所述的系统，其中所述移动设备是无状态设备，并且所 述移动设备设置成在启动时自动提供连接请求。
17. —种便于更改移动设备的第一网络地址的网络设备，所述移动设备通 过网络与主机相连接，其中所述连接采用所述移动设备的第一网络地址，所述网络设备包括至少一个网络端口，所述网络端口允许所述网络设备连接到所述网络； 连接到所述至少一个网络端口的控制器，所述控制器适用于对所述至少一个网络端口从所述移动设备接收的地址更改请求进行处理，所述地址更改请求包括第二网络地址，所述控制器进一步适用于至少发送所述第二网络地址给所述主机，从而将所述地址更改请求通告给所述主机，其中在所述主机和所述移动设备之间、通过在所述第二网络地址建立的连接经由通信路径进行随后的通信，所述通信路径不包括所述网络设备。
18. 如权利要求17所述的网络设备，其中所述控制器包括验证部分，所述 验证部分从所述地址更改请求检验所述移动设备的真实性。
19. 如权利要求18所述的网络设备，其中所述第一控制器适用于对所述至 少一个网络端口从所述移动设备接收的连接请求进行处理，所述连接请求包括 所述移动设备的所述第一网络地址，并且其中所述第一控制器发送至少所述第 一网络地址给所述主机，作为对接收所述连接请求的响应，其中在所述主机和所述移动设备之间、通过在所述第一网络地址建立的连 接经由通信路径进行随后的通信，所述通信路径不包括所述网络设备。
20. 如权利要求19所述的网络设备，其中所述控制器生成标识并发送所述 标识给所述移动设备，作为对所述连接请求的响应，并且其中所述地址更改请 求包括所述标识，所述验证部至少部分基于所述标识检验所述移动设备的真实 性。
全文摘要
在一个方面，提供了一种可执行网络地址更改的系统。系统包括与多个主机相互连接的网络，连接到网络、与和网络上的移动设备的第一网络位置相对应的第一网络地址相关联的移动设备，连接到网络的第一主机，以及可通过网络与移动设备以及主机进行通信的移动处理设备。其中移动处理设备设置成接收来自移动设备的地址更改请求，地址更改请求包括与网络上的移动设备的第二网络位置相对应的第二网络地址。移动处理设备设置成将地址更改请求通告给第一主机，通告包括第二网络地址，并且其中第一主机适用于接收通告并在第二网络地址发起一个与移动设备的连接，其中连接的通信路径不包括移动处理设备。
文档编号H04L29/12GK101204071SQ200680022616
公开日2008年6月18日 申请日期2006年6月23日 优先权日2005年6月23日
发明者布莱恩·吉里斯皮, 戴维·特雷西, 赫尔穆特·萨门 申请人:Xds有限公司