用于利用移動ip連接移動結點和虛擬專用網絡的方法

專利名稱：用于利用移動ip連接移動結點和虛擬專用網絡的方法
技術領域：
本發明涉及一種與虛擬專用網絡的連接，具體地，涉及一種在移動環境 下利用移動IP連接虛擬專用網絡的方法。
背景技術：
虛擬專用網絡定義為一種技術或一種通訊網絡，其允許利用公用網絡例 如因特網構造專用網絡。根據公用虛擬專用網絡連接方法，將一個IP地址分配給一個外地網絡的終端，用戶VPN網關執行用戶驗證，然后分配專用 IP地址，接著利用隧道技術傳輸或接收數據包。同吋，訪問虛擬專用網絡的終端為應該保障移動性的移動結點(例如， 移動電話，筆記本或PDA)的情況下，通常采用IETF提出的移動IP。如 果采用該移動IP，則可通過一個由于移動而改變的連結點提供數據服務， 不需要月1戶具冇用于服務的固定連結點。在該移動IP中，移動結點被分配兩個IP地址從而保障移動性。 一個是 固定的"本地IP地址"，另一個是當移動結點從本地網絡移動到外地網絡 時獲得的"移動后IP地址"。這里，移動后IP地址可以是COA (轉交地址)禾QCCOA (共同定位轉 交地址)中的任何一個，COA從作為外地網絡的路由器的FA (外地代理) 代理廣告信息獲得，CCOA通過移動結點手動設置，該移動結點臨時在屬 于外地網絡或通過PPP/DHCP服務器獲得的IP地址中。移動結點的本地IP地址和移動后IP地址用于在移動結點和對方相應結 點(與該移動結點通訊的相應結點，例如服務器)之間的數據包傳送。因 此，HA (本地代理)在現有技術中是必須的，以注冊并管理該移動結點的 本地IP地址和移動后IP地址的綁定信息。這里，HA是一種路由器，其通過接收每當網絡改變的時候來自移動結點的移動IP注冊請求信息從而不斷更新并管理綁定信息。 另外，為了在移動IP環境下利用移動結點訪問虛擬專用網絡，應該預先執行兩個步驟，分配來自HA或FA的移動IP，然后通過與虛擬專用網絡 網關內連接的VPN用戶驗證再次分配專用IP。如上所述，為了保障移動性的移動結點訪問虛擬專用網絡，應該與虛擬 專用網絡網關一同考慮用于移動IP的獨立設備HA。另外，應該獨立執行 移動IP分配管理和專用IP分配管理。因此產生許多問題，例如，網絡拓撲結構和訪問步驟的復雜性增加，由 于HA和虛擬專用網絡網關的獨立操作而需要的高成本。此外，用于訪問虛擬專用網絡和用于分配移動IP的所有程序應該安裝 在移動結點中，其將工作負荷強加在移動結點的系統上。
發明內容
技術問題本發明是考慮到上述問題而設計的，因此本發明的目的在于提供 一 種 連接虛擬專用網絡的方法，其利用一個移動IP以低成本構造一個連接虛擬 專用網絡的網絡，而不用將工作負荷強加到移動結點上。技術方案為了實現上述目的，本發明提供一種用于利用移動IP (網際協議)連接 移動結點和虛擬專用網絡的方法，其包括(a)移動結點產生包括VPN (虛 擬專用網絡)用戶驗證信息的移動IP注冊請求信息并將該信息傳輸到虛擬 專用網絡網關；(b)虛擬專用網絡網關讀出來自移動IP注冊請求信息的 VPN用戶驗證信息，并査詢已存儲有VPN用戶驗證信息的數據庫，從而驗 證移動結點的虛擬專用網絡訪問權限；及(c)如果驗證了訪問權限，則將
專用IP記錄到響應于移動IP注冊請求信息的響應信息中，并將該響應信息 傳輸到移動結點，從而分配專用IP。優選地，VPN用戶驗證信息包括用戶識別信息和移動結點識別信息，并且在歩驟(b)中，對于訪問權限驗證，驗證VPN用戶驗證信息、數據 庫中記錄的用戶識別信息和移動結點識別信息的同 一 性。例如，用戶識別信息是NAI (網絡訪問指示器)，移動結點識別信息是 通過將ESN (電子序列號)作為密鑰編碼一個隨機數獲得的代碼。在這種 情況下，數據庫存儲移動結點的NAI和ESN， VPN用戶驗證信息進一步包 括一個隨機數。然后，執行步驟(b)，包括(bl)虛擬專用網絡網關產生一個包括NAI、 隨機數和編碼過的代碼的VPN用戶驗證請求信息，并將該信息傳輸到擁有 數據庫的AAA (驗證、權限、核算)；(b2) AAA查詢數據庫以檢驗NAI 的注冊；(b3) AAA檢驗利用數據庫中注冊的ESN作為密鑰進行的隨機數 編碼結果是否與傳輸自虛擬專用網絡網關的編碼過的代碼一致；以及(b4) AAA根據檢驗歩驟的結果將VPN用戶驗證結果傳輸到虛擬專用網絡網關。作為替換方案，歩驟(b)包括(bl)虛擬專用網絡網關查詢數據庫以 檢驗包括在VPN用戶驗證信息中的NAI的注冊；(b2)虛擬專用網絡網關 檢驗利用數據庫中注冊的ESN作為密鑰進行的隨機數編碼結果是否與包括 在VPN用戶驗證信息中的編碼代碼一致；以及(b3)虛擬專用網絡網關根 據檢驗步驟的結果檢驗移動結點是否具有一個虛擬專用網絡訪問權限。根據本發明，移動IP注冊請求信息可以包括移動結點的本地IP地址和 移動后IP地址。另外，該方法可以進一步包括虛擬專用網絡網關注冊移 動結點的本地IP地址和移動后IP地址的綁定信息的步驟。這里，移動后IP地址可以是CCOA (共同定位轉交地址)。作為一個可 替換選擇，移動后IP地址可以是通過移動結點從FA (外地代理)獲得的 COA(轉交地址)，在這種情況下，通過FA將移動IP注冊請求信息傳輸到 虛擬專用網絡網關。
優選地，專用IP地址記錄在響應信息的本地IP地址域中。


本發明優選實施例的這些和其他特征、方面結合附圖將在下面的詳細描 述中更全面地闡述。在附圖中圖1表示根據本發明一個實施例的利用移動IP連接虛擬專用網絡的方法的流程圖。
具體實施方式
在下文將參考附圖詳細描述本發明的優選實施例。在描述之前，應該理 解，說明書和所附權利要求中使用的術語不應該被解釋為限制在普通的及 字典上的含義，而應該在允許發明者為了最佳解釋而適當定義術語的原則 基礎上，基于相當于本發明技術方面的含義和概念進行解釋。因此，這里提;l',的描述僅僅是為了說明的優選實施例，并不傾向于限制本發明的范圍， 所以應該理解，在不脫離本發明實質和范圍的情況下可以進行其它等效替 換和修改。圖i是說明根據本發明一個實施例的利用移動ip連接虛擬專用網絡的 方法的流程圖。在圖1中，分別地，參考編號IO表示移動結點，20表示無線LAN， 30 表示虛擬專用網絡網關，40表示AAA(驗證、權限、核算)，50表示相應結點。假設移動結點10從本地網絡移動到外地網絡，且其同時包括一個本地 IP地址和一個移動后地址。優選地，該移動后地址是CCOA。如圖l所示，移動結點10首先向無線LAN20請求驗證，然后為其響應 做準備(SIO)。接著，無線LAN20驗證移動結點IO的身份并分配一個本 地IP (S20)。接著，移動結點IO產生一個移動IP注冊請求信息然后直接將其傳輸到
虛擬專用網絡網關30 ( S30)。出于兩個目的產生移動IP注冊請求信息，即， VPN用戶驗證和移動結點的本地IP地址和CCOA的綁定信息的注冊。移動IP注冊請求信息根據RFC標準產生，其進一步包括在其擴展域中 的用于VPN用戶驗證的信息。用戶驗證信息用于驗證移動結點10的虛擬 專用網絡訪問權限，其包括用戶識另(j信息和移動結點識另'j信息。優選地，VPN用戶驗證信息至少包括用NAI (網絡訪問指示器)和ESN (電子序列號)編碼的代碼。更具體地，驗證信息包括作為響應于NAI的 信息的IMSI (國際移動臺/用戶一致性)，還包括跟蹤代碼A和B。作為參 考，在計算代碼A的公式中，MD5是編碼算法，A是根據RADIUS標準和 RFC標準的移動IP驗證利用MD5計算出來的。A=MD5 (B's 1字節HKeyllMD5 (處理移動IP數據||類型，子類型(如果 存在)，K;度，SPI) ||B)， Key=ESNB-隨機值(4字節).卜.述IMSI、 A和B分別存儲在NAI擴展中，是移動IP注冊請求信息的 MN-A A A擴展和MN-FA詢問擴展，并傳輸到虛擬專用網絡網關3 0 。其問，盡管附圖中沒有示出，作為一個可替換實施例，移動結點io可 以具有山FA廣告作為移動后地址的C()A地址。在這種情況下，移動結點 10將移動IP注冊請求信息傳輸到FA， FA通過繼電器操作將該移動IP注 冊請求信息傳輸到虛擬專用網絡網關30。如果移動IP注冊請求信息在步驟S30中被傳輸，則虛擬專用網絡網關 30將綁定信息注冊到一個數據庫中(S40)。其使虛擬專用網絡網關30起 HA的作用。此外，虛擬專用網絡網關30產生VPN用戶驗證請求信息，并 將其傳輸到AAA40 (S50)。VPN用戶驗證請求信息包括參數，例如用戶名、CHAP密碼 (CHAP-PASSWORD)禾B Chap 口令(Chap-Challenge),跟蹤代碼存儲在 各個參數中。-用戶名-NAI (IMSI)-CHAP密碼-B'l字節+A-Chap口令MD5 (處理MIPRRQ，類型，子類型，長度，SPI) ||B 如果VPN用戶驗證請求信息在步驟S50中被傳輸，則AAA40查詢存儲 了用于各個虛擬專用網絡用戶(S60)的NAI (IMSI)和ESN的數據庫中 的NAI(IMSI)。優選地，當移動結點預定了通過本發明實現的虛擬專用網 絡訪問服務時，建立數據庫。如果確定包括在VPN用戶驗證請求信息中的NAI (IMSI)作為査詢步 驟S60的結果沒有注冊到數據庫中(S70中的否)，則AAA40通知虛擬專 用網絡網關30其VPN用戶驗證失敗(S80)。接著，虛擬專用網絡網關30 認為移動結點不具有訪問虛擬專用網絡的權限，那么就不會向移動結點10 分配專用IP。相反，如果NAI (IMSI)注冊在數據庫中(S70中的是)，貝UAAA40讀 出與NAI (IMSI) (S卯)匹配的存儲的ESN。然后，確定從包括在VPN用 戶驗證請求信息中的CHAP-PASSWORD中取出的A是否與通過下面公式 計算出來的A'相同(SIOO)。A'=MD5 (B' 1字節IIKey (=ESN) ||Chap 口令)結果，如果不相同(S100中的否)，則AAA40就通知虛擬專用網絡網 關30其VPN用戶驗證失敗(SllO)。然后，虛擬專用網絡網關30認為移 動結點10不具有訪問虛擬專用網絡的權限，那么就不會向移動結點10分 配專用IP地址。因此，移動結點IO不能訪問虛擬專用網絡。相反，如果具有同一性(S100中的是)，則AAA40向虛擬專用網絡網 關30傳輸VPN用戶驗證允許代碼(S120)。此時，虛擬專用網絡網關30 移動結點10具有訪問虛擬專用網絡的權限，則虛擬專用網絡網關30向移 動結點IO分配一個確定的專用IP地址，然后產生一個響應于移動IP注冊 請求的信息，并將其傳輸到移動結點10 (S130)。接著，虛擬專用網絡網關 30允許移動結點訪問虛擬專用網絡。響應信息根據RFC標準產生，專用IP地址優選記錄在響應信息的本地IP地址域中。在步驟S130中，如果響應信息被傳輸，虛擬專用網絡網關30和移動結 點10連接。另外，移動結點IO可以通過IP隧道(或，反向隧道)中的IP 在移動環境下與包括在虛擬專用網絡中的相應結點50交換數據包(S140)。 這里，IP隧道中的IP遵循RFC2003[15]中所述的標準。其間，在上述實施例中，VPN用戶驗證管理是通過虛擬專用網絡網關 30和AAA40的相互作用進行的。然而，有時，虛擬專用網絡網關30可以 單獨構造數據庫并直接進行由AAA40執行的VPN用戶驗證處理。已經詳細描述了本發明。然而，應該理解，由于在本發明的實質和范圍 內的各種變化將使本領域的技術人員根據這個詳細描述變得顯而易見，所 以表示本發明優選實施例的詳細描述和特殊例子僅僅通過說明給出。工業實用性根據本發明，由于HA不單獨操作，所以可以不消耗大量成本地實現移 動環境下的虛擬專用網絡訪問服務。另外，由于該虛擬專用網絡網關可以實現復雜的HA功能，所以網絡拓 撲結構可以簡化。此外，由于移動結點的本地IP地址和移動后IP地址的綁定信息注冊管 理和VPN用戶驗證處理是整體的，所以可以同樣地降低流通量。另外，用于訪問虛擬專用網絡的專用程序和用于實現移動IP的專用程 序可以作為移動結點中的一個程序整體操作，不單獨加載，所以可以降低 強加到移動結點上的工作負荷。如果移動IP在未來發展到特殊形式，則本發明允許在移動環境下不特 殊改變網絡和移動結點而實現虛擬專用網絡訪問服務。另外，盡管其移動 性可能不會得到保障，但移動IP還是可以用作VPN環境的專用IP。
權利要求
1、用于利用移動IP(網際協議)連接移動結點和虛擬專用網絡的方法，包括(a)移動結點產生包括VPN(虛擬專用網絡)用戶驗證信息的移動IP注冊請求信息，并將該信息傳輸到虛擬專用網絡網關；(b)虛擬專用網絡網關從移動IP注冊請求信息中讀出VPN用戶驗證信息，查詢已存儲了VPN用戶驗證信息的數據庫，從而驗證移動結點的虛擬專用網絡訪問權限；以及(c)如果訪問權限驗證成立，將專用IP記錄到響應于移動IP注冊請求信息的響應信息中，并將該響應信息傳輸到移動結點從而分配該專用IP。
2、 根據權利要求1的用于利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于VPN用戶驗證信息包括用戶識別信息和移動結點 識別信息，及其特征在于，在步驟(b)中，對于訪問權限的驗證，驗證記錄在數 據庫中的VPN用戶驗證信息和用戶識別信息以及移動結點識別信息之間的同一性。
3、 根據權利要求2的用于利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于用戶識別信息是NAI (網絡訪問指示器)，移動結 點識別信息是用ESN (電子序列號)作為密鑰對一個隨機數進行編碼獲 得的代碼。
4、 根據權利要求3的用于利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于數據庫存儲移動結點的NAI和ESN，其特征在于VPN用戶驗證信息進一步包括一個隨機數，及其特征在于步驟(b)包括(bl)虛擬專用網絡產生包括NAI、隨機數和編碼過的代碼的VPN 用戶驗證請求信息，并將該信息傳輸到擁有數據庫的AAA(驗證、權限、 核算)；(b2) AAA查詢數據庫以檢驗NAI的注冊；(b3) AAA檢驗利用注冊到數據庫中的ESN作為密鑰編碼隨機數的結果是否與虛擬專用網絡網關傳輸來的編碼過的代碼一致；及(b4) AAA根據檢驗步驟的結果將VPN用戶驗證結果傳輸到虛擬 專用網絡網關。
5、 根據權利要求3的用于利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于數據庫存儲移動結點的NAI和ESN，其特征在亍VPN用戶驗證信息進一步包括一個隨機數，及 其特征在于步驟(b)包括 (bl)虛擬專用網絡網關査詢數據庫以檢驗包括在VPN用戶驗證信 息中的NAI的注冊；(b2)虛擬專用網絡網關檢驗利用汴冊在數據庫中的ESN作為密鑰 編碼隨機數的結果與包括在VPN用戶驗證信息中的編碼過的代碼是否一 致；以及(b3)虛擬專用網絡網關根據檢驗步驟的結果檢驗移動結點是否具 有虛擬專用網絡訪問權限。
6、 根據權利要求1的用于利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于移動IP注冊請求信息包括移動結點的一個本地IP 地址和一個移動后IP地址，以及其特征在于該方法進一步包括.-虛擬專用網絡網關注冊移動結點的本地IP地址和移動后IP地址的綁定信息歩驟。
7、 根據權利要求1的用于利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于移動后IP地址是CCOA (共同定位轉交地址)。
8、 根據權利要求1的用戶利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于移動后IP地址是通過移動結點從FA (外地代理) 獲得的COA (轉交地址)，以及其特征在于移動IP注冊請求信息通過FA被傳輸到虛擬專用網絡網關。
9、 根據權利要求1的用于利用移動IP連接移動結點和虛擬專用網 絡的方法，其特征在于虛擬IP地址記錄在響應信息的本地IP地址域中。
全文摘要
本發明提供一種用于在移動環境下利用移動IP連接移動結點和虛擬專用網絡的方法。根據該方法，移動結點首先產生包括VPN用戶驗證信息的移動IP注冊請求信息，并將該信息傳輸到VPN網關。接著，VPN網關讀出來自該信息VPN用戶驗證信息，并查詢已經存儲了VPN用戶驗證信息的數據庫，以驗證移動結點的VPN訪問權限。如果訪問權限驗證成立，則在響應于移動IP注冊請求信息的響應信息中記錄專用IP，并將該響應信息傳輸到移動結點以分配專用IP。因此，可以在移動環境下構建具有低工程成本、簡單的拓撲結構、較小的網絡信息流通量和移動結點上的低工作負荷的VPN以及網絡。
文檔編號H04L12/28GK101151849SQ200680010077
公開日2008年3月26日 申請日期2006年3月21日 優先權日2005年3月28日
發明者白己真, 金洛浦, 陳圣一 申請人:客得富移動通信股份有限公司