安全代理移动IP的方法和装置转让专利
申请号 : CN200480010365.7
文献号 : CN1774906B
文献日 : 2012-01-18
发明人 : 肯特·K·莱翁 , 戈帕尔·多梅提
申请人 : 思科技术公司
摘要 :
所公开的发明使得能够以安全的方式执行代理移动IP注册。可以独立使用各种安全机制,或者彼此结合使用,以在注册处理期间认证节点的标识。首先,接收到来自节点的分组的接入点验证在该分组中标识出的源MAC地址是否在该接入点的客户关联表中。另外,作为第二机制,接入点确保在分组中标识出的源MAC地址和源IP地址的一到一映射存在在由该接入点维护的映射表中。作为第三机制,不修改由归属代理维护的移动绑定表中的绑定,除非在绑定表中存在源MAC地址和源IP地址之间的一到一映射。类似地,外部代理也可以在其访客表中维护源IP地址和源MAC地址之间的映射,以确保源IP地址和关联的MAC地址之间的一到一映射。优选在对注册请求和注册答复分组的MAC地址扩展中传输MAC地址。这样,接入点、归属代理和外部代理都可以在注册处理期间确认该节点的MAC地址,并且确保IP地址和MAC地址之间的一到一映射。
权利要求 :
1.一种用于在接入点中代表未实现移动IP协议的节点执行代理移动IP注册之前认证所述未实现移动IP协议的节点的方法,所述方法包括下述步骤:接收来自所述未实现移动IP协议的节点的分组,所述分组包括源MAC地址和源IP地址;
确认所述源MAC地址是否在标识一个或多个源MAC地址的客户关联表中;和在确认所述源MAC地址在所述客户关联表中之后,建立注册请求并发送所述注册请求,从而代表所述未实现移动IP协议的节点执行代理移动IP注册,所述注册请求包括包括所述源IP地址的归属地址字段和包括所述源MAC地址的MAC地址扩展。
2.如权利要求1所述的方法,还包括:
确认所述源MAC地址和所述源IP地址之间的映射是否存在于映射表中,以及在确认所述源MAC地址和所述源IP地址之间的映射存在在所述映射表中,并且确认所述源MAC地址在所述客户关联表中之后,建立注册请求被执行。
3.如权利要求1所述的方法,还包括:
确认映射表是否包括所述源IP地址的条目;和
在确认所述映射表不包括所述源IP地址的条目后用所述源MAC地址和所述源IP地址之间的映射更新所述映射表。
4.一种用于在归属代理中处理移动IP的注册请求的方法,所述方法包括下述步骤:接收注册请求,所述注册请求具有包括源IP地址的归属地址字段、包括转交地址的转交地址字段,并且具有包括源MAC地址的MAC地址扩展;
确定所述源IP地址是否匹配移动绑定表中的绑定;
当所述源IP地址匹配所述移动绑定表中的绑定时,确定所述绑定是否将所述源MAC地址映射到所述源IP地址;
当确定出所述绑定将所述源MAC地址映射到所述源IP地址时,建立注册答复并将所述注册答复发送到所述转交地址,所述注册答复包括包括所述源IP地址的归属地址字段、包括所述转交地址的转交地址字段,并且具有包括所述源MAC地址的MAC地址扩展。
5.如权利要求4所述的方法,还包括:
当所述源IP地址不匹配所述移动绑定表中的绑定时,用所述源MAC地址和所述源IP地址之间的映射更新所述移动绑定表,以使得所述映射被关联到所述转交地址。
6.一种用于在外部代理中处理移动IP的注册请求的方法,所述方法包括下述步骤:接收注册请求,所述注册请求具有包括源IP地址的归属地址字段、包括归属代理地址的归属代理字段、以及包括源MAC地址的MAC地址扩展;
确定包括所述源IP地址的条目是否在由所述外部代理维护的访客表中;
当包括所述源IP地址的条目在所述访客表中时,确定所述条目是否包括所述源MAC地址;
当确定出所述条目包括所述源MAC地址时,转发所述注册请求到所述归属代理地址;
接收注册答复,所述注册答复具有包括所述源IP地址的归属地址字段、包括所述归属代理地址的归属代理字段、以及包括所述源MAC地址的MAC地址扩展;和转发所述注册答复到所述源IP地址。
7.如权利要求6所述的方法,还包括:
更新所述访客表,以使所述访客表包括将所述源IP地址和所述源MAC地址关联到所述归属代理地址的条目。
8.如权利要求7所述的方法,其中,在所述注册答复被接收到时执行更新访客表。
9.如权利要求6所述的方法,还包括:
当确定出所述条目不包括所述源MAC地址时,丢弃所述注册请求。
10.一种用于在接入点中代表未实现移动IP协议的节点执行代理移动IP注册之前认证所述未实现移动IP协议的节点的方法,所述方法包括下述步骤:接收来自所述未实现移动IP协议的节点的分组,所述分组包括源MAC地址和源IP地址;
确认所述源MAC地址和所述源IP地址之间的映射是否存在在映射表中;和在确认所述源MAC地址和所述源IP地址之间的映射存在在所述映射表中之后,建立注册请求并发送所述注册请求,从而代表所述未实现移动IP协议的节点执行代理移动IP注册,所述注册请求包括包括所述源IP地址的归属地址字段和包括所述源MAC地址的MAC地址扩展。
11.一种适于执行下述方法的接入点,所述方法用于在代表未实现移动IP协议的节点执行代理移动IP注册之前认证所述未实现移动IP协议的节点,包括:用于接收来自所述未实现移动IP协议的节点的分组的装置,所述分组包括源MAC地址和源IP地址;
用于确认所述源MAC地址和所述源IP地址之间的映射是否存在在映射表中的装置;和用于在所述源MAC地址和所述源IP地址之间的映射存在在所述映射表中的情况下,建立注册请求并发送所述注册请求从而代表所述未实现移动IP协议的节点执行代理移动IP注册的装置,所述注册请求包括包括所述源IP地址的归属地址字段和包括所述源MAC地址的MAC地址扩展。
说明书 :
安全代理移动IP的方法和装置
技术领域
[0001] 本发明涉及移动IP网络技术。更具体地说,本发明涉及在代表节点执行代理注册期间对该节点的标识进行认证。
背景技术
[0002] 移动IP是一种协议,其允许膝上型计算机或其他移动计算单元(在这里称作“移动节点”)在位于多个位置的多个子网之间漫游,同时维持因特网和/或WAN连通性。没有移动IP或相关协议,移动节点就不能在保持连接的同时漫游过各个子网。这使由于任何节点通过因特网通信所需要的IP地址是位置相关(location specific)的。每个IP地址都具有这样的字段,其指定该节点所驻留的特定子网。如果用户希望携带通常附接到一个节点的计算机,并且带着该计算机漫游,以使该计算机穿过不同的子网,则该计算机就不能使用其归属IP地址。结果,跨国旅行的商人就不能仅仅只携带着他或她的计算机跨过地理上不同的网段或无线节点,同时保持连接到互联网。在便携式计算设备的时代,这是不可接受的事情。
[0003] 为了解决这一问题,开发并实现了移动IP协议。移动IP的实现在网络工作组的RFC 2002(C.Perkins,ED.,1996年10月)作了描述。在由Prentice Hall出版的J.Solomon的“Mobile IP Unplugged”中也描述了移动IP。处于一切目的,这二者都在整体上通过引用结合于此。
[0004] 在图1中示出了移动IP过程和环境。如图所示,移动IP环境2包括因特网(或WAN)4,通过因特网4,移动节点6可以利用归属代理8和外部代理10经由媒介远程通信。一般来说,归属代理和外部代理是执行适当的移动IP功能的路由器或其他网络连接设备,这些移动IP功能由软件、硬件和/或固件实现。插入到其归属网段的特定移动节点(例如,膝上型计算机)连接到因特网。当移动节点漫游时,它就通过可用外部代理经由因特网通信。假定在地理上不同的位置处存在许多外部代理,可用来允许利用移动IP协议的广泛分布的因特网连接。注意,移动节点也可以直接注册到其归属代理。
[0005] 如图1所示,移动节点6通常驻留在(或者“以其为基地”)网段12,该网段允许它的网络实体通过因特网4通信。注意,归属代理8不需要直接连接到因特网。例如,如图1所示,归属代理8可以通过另一路由器(在此情形中是路由器R1)连接到因特网。路由器R1可以再连接到一个或多个其他连接到因特网的路由器(例如,路由器R3)。
[0006] 现在,假定移动节点6离开其归属网段12,并且漫游到远程网段14。网段14可以包括各种其他节点,例如PC 16。网段14上的节点通过还充当外部代理10的路由器与因特网通信。移动节点6可以通过形成移动IP协议一部分的各种请求(solicitaion)和通告来标识外部代理10。当移动节点6与网段14交互时,外部代理10将注册请求中继到归属代理8(如虚线“注册”所示)。然后,归属代理和外部代理可以协商移动节点附接到外部代理10的条件。例如,该附接可限于一段时间,例如2小时。当该协商成功结束时,归属代理8更新内部的“移动绑定表”,该表指定与移动节点6的标识相关联的转交地址(例如,所配置的转交地址或外部代理的IP地址)。然后,外部代理10更新内部的“访客表”,该表指定移动节点地址、归属代理地址等。实际上,移动节点的归属IP地址(与网段12相关联)已被转移到外部代理的IP地址(与网段14相关联)。
[0007] 现在,假定移动节点6想从其新位置向对端节点18发送消息。则根据标准因特网协议,来自移动节点的输出消息被分组化,然后经外部代理10通过因特网4转发到对端节点18(如虚线“来自MN的分组”所示)。如果对端节点18想发送消息到移动节点,不管是答复来自移动节点的消息还是出于其他任何原因,它就将该消息的地址定为子网12上的移动节点6的IP地址。然后,该消息的分组被转发过因特网4,到达路由器R1,并且最终到达归属代理8(如虚线“到MN(1)的分组”所示)。根据其移动绑定表,归属代理8识别出移动节点6不再附接到网段12。然后,归属代理8根据移动IP协议对来自对端节点18的分组(其被定址为网段12上的移动节点6)进行封装,并且将这些封装后的分组转发到移动节点6的转交地址(如虚线“到MN(2)的分组”所示)。该转交地址例如可以是外部代理10的IP地址。然后,外部代理10剥离封装,并且将消息转发到子网14上的移动节点6。由归属代理和外部代理实现的分组转发机制常常被称作“隧穿”(tunneling)。
[0008] 常常希望向网络中的每个用户或设备分配唯一的IP地址。此外,各种协议使得能够在特定的网络中自动分配IP地址。例如,根据动态主机配置协议(DHCP),网络管理员可以集中管理网络,并且在一个组织的网络内自动分配因特网协议(IP)地址。更具体地说,使用因特网协议组(TCP/IP),能够连接到因特网的每个设备都需要唯一的IP地址。当一个组织设立具有到因特网的连接的计算机网络时,必须为每个机器分配IP地址。没有DHCP,必须在每台机器处手工输入IP地址,并且如果计算机移动到网络的另一部分中的另一位置,则必须输入新的IP地址。DHCP允许网络管理员从一个集中位置监管并分配IP地址,并且当计算机被插入到网络中的不同的位置时,自动发送新的IP地址。
[0009] DHCP使用“租借”时间或一定量时间的概念,在该时间内给定的IP地址有效。该租借时间可以取决于用户在特定位置可能要求的因特网连接的时间长短而变化。在用户频繁改变的教育和其他环境中,DHCP尤其有用。使用非常短的租借,DHCP可以动态重配置其中计算机远多于可用IP地址的网络。因此,DHCP支持用于包含需要永久IP地址的Web服务器的计算机的静态地址。
[0010] 尽管在静态环境中DHCP正常工作,但是在移动环境中,每次计算机改变其在网络中的地址时新IP地址的分配远不理想。更具体地说,当移动节点漫游到网络中的新位置时,该移动节点最好维持其归属地址。然而,对于改变其在使用DHCP的网络中的位置时仍希望保持单个IP地址的节点,并未作出规定。此外,不是移动使能的节点当前不能在使用DHCP的网络中改变其位置,并且仍旧维持它的已分配的IP地址。
[0011] 可以利用无线链路向经由诸如DHCP连接之类的连接附接到网络的移动用户提供因特网服务,即使该节点不支持移动IP。具体地说,代理设备可以代表不支持移动IP功能的节点实现移动IP。一种这类代理设备是接入点(AP)。接入点(AP)可以定义为全无线网络中的集中点(centerpoint),或者充当有线和无线网络之间的连接点。可以在整个设施内放置多个AP,以使具有WLAN适配器的用户能够在整个扩展区域内自由移动,同时维持到所有网络资源的不间断接入。
[0012] 序列号为No.10/080,995,题为“METHODS AND APPARATUS FORSUPPORTING PROXY MOBILE IP REGISTRATION IN A WIRELESSLOCAL AREA NETWORK”的专利申请公开了一种系统,用于传输支持网络中的AP的网关(例如,归属代理)的子网地址。当AP接收到数据分组时,该AP可以将该数据分组(例如,源地址)与一个或多个AP的AP信息相比较,以确定是否代表该节点发送注册请求。更具体地说,AP根据源地址确定节点是否位于与该AP的子网相同的子网。如果节点位于AP的子网,则不代表该节点要求移动IP服务。然而,当接入点根据源地址确定出节点不位于与其子网相同的子网上时,该AP就代表该节点建立并发送移动IP注册请求。例如,可以将关联到“归属”AP(例如,具有匹配子网)的网关用作节点的归属代理来建立移动IP注册请求。
[0013] 代理移动IP允许客户在网络之间移动,同时维持会话。这是通过移动IP控制消息实实现的,例如在下述专利申请中所公开的那些,所述专利申请为:律师案卷号No.CISCP263,申请序列号No.10/080,995,题为“METHODS AND APPARATUS FOR SUPPORTING PROXY MOBILE IPREGISTRATION IN A WIRELESS LOCAL AREA NETWORK”,由发明人Wang等于2002年2月20日提交。这样,即使客户不支撑移动IP,也可以在网络之间移动,同时维持会话。
[0014] 如图2所示,代理移动IP由无线局域网(WLAN)中的多个接入点支持。在此示例中,两个接入点202和204支持子网A的代理移动IP。在此示例中,DHCP服务器将子网A上的IP地址分配给节点205。接入点202和204之一检测节点205的IP地址是否在不同的子网上。由于节点205的IP地址在与接入点202和204相同的子网上,所以不要求代理注册,这是由于节点205在其归属网络上。
[0015] 或者,如果节点205在不同的子网上,则代表客户205建立注册请求,并且发送到外部代理。然后,外部代理(在这里示作路由器206)处理注册请求,随后该客户的归属代理处理该注册请求。一旦完成节点205向其归属代理的注册,地址为节点205的分组就由其归属代理经由外部代理和接入点隧穿到节点205。
[0016] 在节点205随后漫游过第三层边界从子网A到子网B时,一旦支持子网B的代理移动IP的接入点208和210之一确定出节点205的IP地址在不同的子网上,其就代表客户205建立注册请求。然后,该注册请求被这里示作路由器212的外部代理处理,然后转发到该客户的归属代理。一旦完成节点205向其归属代理的注册,地址为节点205的分组就由其归属代理经由外部代理和接入点隧穿到节点205。
[0017] 尽管由于代理移动IP允许非移动IP使能的节点移动的同时维持会话而具有优点,但是该方法易受路由中毒(route poisoning)和拒绝服务(DoS)攻击。具体地说,另一个客户可以发送具有各种源IP地址和MAC地址的分组。当该第二客户发送具有另一个客户的IP地址的分组时,网络会将流量导向在第二客户位置处的IP地址,这是由于接入点假定第一客户已移走了。
[0018] 考虑到上述情况,最好可以实现认证机制来对针对其执行代理移动IP注册的客户的标识进行认证。
发明内容
[0019] 所公开的发明使得能够以安全的方式执行代理移动IP注册。可以独立使用各种安全机制,或者彼此结合使用,以在注册处理期间执行对节点的标识的认证。这至少部分通过在注册处理的各个步骤中验证和/或传输分配给该节点的MAC地址实现的。
[0020] 根据本发明一个方面,作为第一安全机制,接收到来自节点的分组的接入点验证在该分组中标识出的源MAC地址在该接入点的客户关联表中。在满足该安全机制之后,接入点可以建立注册请求,或者在代表节点建立注册请求之前要求满足其他安全机制。
[0021] 根据本发明另一个方面,作为第二安全机制,接入点确保在分组中标识出的源MAC地址和源IP地址的一到一映射存在在由该接入点维护的映射表中。在此安全机制得到满足之后,接入点可以建立注册请求分组。换言之,接入点可以在代表节点建立注册请求分组之前要求第一和第二安全机制都得到满足。
[0022] 根据本发明另一个方面,作为第三安全机制,不修改由归属代理维护的移动绑定表中的绑定,除非在绑定表中存在源MAC地址和源IP地址之间的一到一映射。类似地,外部代理也可以在其访客表中维护源IP地址和源MAC地址之间的映射,以确保该源IP地址和关联的MAC地址之间的一到一映射。
[0023] 根据本发明另一个方面,优选在对注册请求和注册答复分组的MAC地址扩展中传输MAC地址。这样,接入点、归属代理和外部代理都可以在注册处理期间确认该节点的MAC地址,并且确保IP地址和MAC地址之间的一到一映射。通过使用上述(一种或多种)技术,可以减少路由中毒和拒绝服务(DoS)攻击的风险。
附图说明
[0024] 图1是示出了移动IP网段和关联的环境的图。
[0025] 图2是示出了其中支持代理移动IP的系统的框图。
[0026] 图3是示出了根据本发明各种实施例在代理注册处理期间认证客户的方法的处理流程图。
[0027] 图4是示出了根据本发明各种实施例由接入点维护的客户关联表的图。
[0028] 图5是示出了根据本发明各种实施例由接入点维护的映射表的图。
[0029] 图6是示出了根据本发明各种实施例由归属代理维护的示例性移动绑定表的图。
[0030] 图7是示出了根据本发明各种实施例由外部代理维护的示例性访客表的图。
[0031] 图8是示出了根据本发明各种实施例由接入点建立并传输的的示例性注册请求分组的图。
[0032] 图9是示出了根据本发明各种实施例由归属代理建立并传输的示例性注册答复分组。
[0033] 图10是可配置来实现本发明各个方面的网络设备的框图。
具体实施方式
[0034] 在下面的描述中,阐述了许多具体细节,以便提供对本发明的全面的理解。但是,对于本领域的技术人员很明显,没有某些或全部这些具体细节也可以实施本发明。在其他示例中,未详细描述公知的处理步骤,以免不必要地模糊了本发明。
[0035] 这里所描述的发明使得节点(例如,未实现移动IP协议的节点)能够漫游到网络中的各个外部代理处,包括DHCP支持的网络。这部分是通过使用在网络内的接入点之间发送的控制消息实现的。为了下面的讨论,术语“移动节点”将用来指实现了移动IP协议的移动节点,而术语“节点”将用来指未实现移动IP协议的节点。
[0036] 图2是示出了可以在其中实现本发明的系统的框图。在下面的描述中,本发明被实现在无线网络中。然而,尽管本发明被描述为实现在无线网络中,但是本发明也可以被实现在非无线网络中。如图所示,节点205可能想要从其归属代理200漫游到第一外部代理206。类似地,一旦附接到第一外部代理206,节点205就可能又希望移动到第二外部代理
212。尽管节点205可能具有分配的IP地址,但是当节点205漫游时,该节点优选维持这个分配的IP地址。例如,尽管当节点在网络内的位置改变后,DHCP服务器一般动态向该节点分配新的IP地址,但是优选维持由DHCP服务器最初分配给该节点的IP地址。
212。尽管节点205可能具有分配的IP地址,但是当节点205漫游时,该节点优选维持这个分配的IP地址。例如,尽管当节点在网络内的位置改变后,DHCP服务器一般动态向该节点分配新的IP地址,但是优选维持由DHCP服务器最初分配给该节点的IP地址。
[0037] 在无线网络中,接入点202、204和208、210分别被耦合到外部代理206和212。作为示例,在无线网络中,接入点202、204和208、210可以具有天线和接收机,用于接收分组。作为另一个示例,接入点202、204和208、210可以指代非无线网络中的连接点。一般来说,实现了移动IP的移动节点通过注册处理注册到其归属代理和从其归属代理解注册(de-registration)。然而,根据在下述专利申请中公开的发明的各种实施例,注册是由接入点代表移动IP节点发起的,所述专利申请是序列号为No.10/080,995,题为“METHODS AND APPARATUS FOR SUPPORTINGPROXY MOBILE IP REGISTERATION IN A WIRELESS LOCAL AREANETWORK”的专利申请。类似地,解注册可以由接入点代表漫游节点发起。例如,在第一接入点202建立并经由第一外部代理206发送注册请求分组之后,已漫游到第一外部代理
206的节点205被向该节点的归属代理200注册。从而,第一外部代理的访客表和归属代理的移动绑定表被更新,以指示出该节点已漫游到第一外部代理206。当节点205漫游到第二外部代理212时,经由第二外部代理212,节点205被注册到归属代理(例如,利用接入点
208、210之一,外部代理212和/或归属代理200)。换言之,第一外部代理206更新其访客表来反映节点205的移动。类似地,归属代理的移动绑定表被更新来反映出节点205移动到第二外部代理212。这样,第一外部代理的访客表和归属代理的移动绑定表中的适当条目可以被删除。然后,一旦移动节点向归属代理的注册完成,新的条目就被输入到归属代理的移动绑定表和第二代理的访客表中。或者,可以由接入点维护和更新访客表。
206的节点205被向该节点的归属代理200注册。从而,第一外部代理的访客表和归属代理的移动绑定表被更新,以指示出该节点已漫游到第一外部代理206。当节点205漫游到第二外部代理212时,经由第二外部代理212,节点205被注册到归属代理(例如,利用接入点
208、210之一,外部代理212和/或归属代理200)。换言之,第一外部代理206更新其访客表来反映节点205的移动。类似地,归属代理的移动绑定表被更新来反映出节点205移动到第二外部代理212。这样,第一外部代理的访客表和归属代理的移动绑定表中的适当条目可以被删除。然后,一旦移动节点向归属代理的注册完成,新的条目就被输入到归属代理的移动绑定表和第二代理的访客表中。或者,可以由接入点维护和更新访客表。
[0038] 图3是示出了根据本发明各种实施例在代理注册处理期间认证客户的方法的处理流程图。如框302所示,节点关联到接入点。具体地说,当节点关联到接入点时,接入点获得该节点的MAC地址。当节点希望连接到接入点时,它首先关联到接入点。关联是这样的处理,节点(例如,包括无线LAN卡)用其来通知接入点,告知该节点的存在(例如,其MAC地址)和该节点要连接到该接入点。在关联完成之后,节点被连接到接入点,但是在认证该节点之前,可能不能发送消息。在关联期间,接入点接收到分组,根据该分组,接入点确认MAC地址。然后,在框304,接入点用获得的源MAC地址更新其客户关联表。在节点随后在框306发送包括源MAC地址和源IP地址的分组后,在框308,接入点获知节点的源IP地址。
[0039] 接入点既可以通过其他机制获知节点的IP地址和MAC地址,也可以根据接入点所接收到的分组获知节点的IP地址和MAC地址。例如,在节点的移动IP认证期间,IP地址可以由诸如归属代理或外部代理之类的实体分配给节点。在这种认证处理中,接入点可以从而获知IP地址和MAC地址。在另一个实施例中,接入点可以得到来自节点的DHCP查询,根据这些查询,可以获得IP地址和MAC地址。
[0040] 为了确认是否要求代理移动IP服务,在框310中,接入点确定出源IP地址是否在与接入点不同的子网上。如果源IP地址不在不同的子网上,如框312所示,则在框314执行符合RFC 3440的标准注册。否则,接入点执行代理注册处理。
[0041] 首先,在框316中,接入点确定根据分组的源MAC地址是否在其客户关联表中。示例性的客户关联表将在下面参考图4更详细地描述。如果在框318确定出源MAC地址不在客户关联表中,在框320中该分组将被忽略,并且代理注册未完成。换言之,如果确定出分组来自无效的源MAC地址,则它们将被丢弃。
[0042] 尽管该第一安全机制可以单独使用,但是优选与后续安全机制结合使用,这确保在分组中标识出的源MAC地址和源IP地址之间的一到一映射。这样,作为第二安全机制,接入点在框322中检查源IP地址和源MAC地址之间的映射是否存在在接入点的映射表中。示例性的映射表将在下面参考图5详细描述。具体地说,接入点可以检查源IP地址的条目是否存在。如果映射表不包括源IP地址的条目,则用源MAC地址和源IP地址之间的映射更新映射表。但是,如果存在源IP地址的映射,则接入点检查分组的源MAC地址和源IP地址是否匹配映射表中的条目。
[0043] 第一和第二安全机制每个都可以单独用来确保代表有效的节点发送了注册请求。然而,如上所述,这两个安全机制优选彼此结合使用。这样,一旦两个安全机制都已满意地通过,如框323所示,则接入点在框324建立注册请求。注册请求优选包括包括源MAC地址的MAC地址扩展。示例性的注册请求将在下面参考图8更详细地描述。然而,如果接入点确定出映射表不包括在分组中标识出的源IP地址和源MAC地址的条目,在在框325中该分组被忽略,并且不建立注册请求。
[0044] 一旦注册请求被发送到外部代理,在框326中,外部代理就执行标准移动IP处理。另外,外部代理还可以分别或者一起维护例如图5所示的映射表和例如下面参考图7所述的访客表。这样,外部代理在将注册请求向归属代理转发之前,可以检查是否存在IP地址和MAC地址之间的映射。换言之,如果不存在映射,外部代理可以丢弃注册请求分组。例如,如果条目包括IP地址但是包括不同的MAC地址,则外部代理可以丢弃该注册请求分组。这可以通过搜索包括IP地址的条目,并且随后检查该条目来确定该条目是否包括MAC地址来实现。这种检查可以由外部代理执行,或结合参考接入点的上述其他安全机制执行。
[0045] 当归属代理在框328接收到注册请求分组时,该归属代理按需更新其移动绑定表。示例性的移动绑定表将在下面参考图6更详细地描述。根据一种实施例,归属代理用来自注册请求分组的归属地址字段的源IP地址和来自注册请求分组的MAC地址扩展的源MAC地址之间的映射更新移动绑定表。具体地说,归属代理检查是否存在源IP地址的绑定,在框330中,如果绑定不存在,则归属代理在框332中更新移动绑定表,以将源IP地址和源MAC地址映射到在注册请求分组中标识出的转交地址(例如,与节点的新位置关联起来)。或者,如果在移动绑定表中存在源IP地址的绑定,则归属代理在框334中可以执行作为第三安全机制的安全检查,以确保该条目包含源IP地址和源MAC地址之间的映射。如果在框
336中,该映射不匹配源IP地址和源MAC地址,则在框338中可以忽略注册请求分组。否则,归属代理在框340中执行标准移动IP处理,并且在框342中建立注册答复。注册答复优选包括包括源MAC地址的MAC地址扩展。然后,注册答复被发送到转交地址(例如,外部代理)。示例性的注册答复将在下面参考图9更详细地描述。
336中,该映射不匹配源IP地址和源MAC地址,则在框338中可以忽略注册请求分组。否则,归属代理在框340中执行标准移动IP处理,并且在框342中建立注册答复。注册答复优选包括包括源MAC地址的MAC地址扩展。然后,注册答复被发送到转交地址(例如,外部代理)。示例性的注册答复将在下面参考图9更详细地描述。
[0046] 当外部代理在框344中接收到注册答复时,它就适当更新其访客表。例如,如果注册成功,则访客表被更新,以使归属代理地址被关联到源IP地址和源MAC地址。示例性的访客表将在下面参考图7更详细地描述。然后,在框346中,经由接入点,注册答复被转发到节点。
[0047] 一旦移动注册完成,分组可以被归属代理转发到在其新位置处的节点。具体地说,归属代理将在归属代理的移动绑定表中查找在分组中指定的目的地IP地址,以确认该节点的转交地址。然后,经由分组转交地址,分组可以被转发到源IP地址。
[0048] 图4是示出了根据本发明各种实施例由接入点维护的客户关联表的图。客户关联表402包括多个条目404,每个条目都标识源MAC地址。换言之,该表充当MAC地址列表,维护该列表的接入点可以搜索该列表。
[0049] 图5是示出了根据本发明各种实施例由接入点维护的映射表的图。映射表502在单个条目中将源IP地址504映射到源MAC地址506。这样,有效的IP/MAC地址对可以由搜索表502的接入点识别出。
[0050] 图6示出了根据本发明各种实施例由归属代理维护的示例性移动绑定表的图。如图所示,移动绑定表602一般利用诸如其归属地址604(源IP地址)之类的节点标识符标识节点。另外,移动绑定表还可以包括在注册请求(和注册答复)分组的MAC地址扩展中标识出的源MAC地址606。每个条目也将标识转交地址608和隧道(tunnel)接口610。
[0051] 图7是示出了根据本发明各种实施例的由外部代理维护的示例性访客表的图。如上所述,访客表702一般包括诸如归属地址704(源IP地址)之类的节点标识符。另外,访客表还可以包括在注册答复分组的MAC地址扩展中标识出的源MAC地址706。每个条目也将标识归属代理地址708和隧道接口710。
[0052] 图8是示出了根据本发明各种实施例由接入点建立并传输的示例性注册请求分组的图。一般来说,注册请求分组802将包括:包括源IP地址的归属地址字段;包括转交地址的转交地址字段;和包括归属代理地址的归属代理地址字段。另外,MAC地址扩展将被附加在注册请求分组后。该MAC地址扩展将包括根据从节点接收到的分组获得的源MAC地址。
[0053] 图9是示出了根据本发明各种实施例由归属代理建立并传输的示例性注册答复分组的图。注册答复分组902包括:包括源IP地址的归属地址字段;包括转交地址的转交地址字段;和包括归属代理地址的归属代理地址字段。另外,MAC地址扩展将被附加在注册答复分组之后,这使得外部代理能够用IP地址和对应的MAC地址标识出的节点的信息更新访客表。被转发向节点的注册答复分组不需要包括MAC地址扩展。
[0054] 其他实施例
[0055] 一般来说,本发明的技术可以被实现在软件和/或硬件上。例如,它们可以被实现在操作系统内核中,在独立的用户进程中,在包括在网络应用中的库包中,在专门构造的机器中,或者在网络接口卡上。在本发明的特定实施例中,本发明的技术被实现在软件中,例如操作系统或在操作系统上运行的应用中。
[0056] 本发明的技术的软件或软件/硬件混合实现可以被实现在通用可编程机器上,该机器由存储在存储器中的计算机程序有选择地激活或重配置。这种可编程机器可以是设计来处理网络流量的网络设备,例如路由器或交换机。这种网络设备可以具有多个网络接口,例如包括帧中继和ISDN接口。这种网络设备的特定的示例包括路由器和交换机。例如,本发明的接入点可以被实现在专门配置的路由器或服务器中,以及可从San Jose,California的Cisco Systems公司获得的Cisco Aironet Access Points中。从下面给出的描述将清楚这些机器中的某些的通用体系结构。在替换实施例中,本发明的技术可以实现在通用网络主机上,例如个人计算机或工作站。此外,本发明至少可以部分实现在网络设备或通用计算设备的卡上(例如,接口卡)。
[0057] 参考图10,适于实现本发明的技术的网络设备1560包括主中央处理单元(CPU)1562,接口1568和总线1567(例如,PCI总线)。当在适当软件或固件的控制下动作时,CPU 1562可以负责实现与所希望的网络设备的功能有关的专门功能。例如,当被配置为中间路由器(intermediaterouter)时,CPU 1562可负责分析分组、封装分组、并且转发分组以传输到机顶盒。CPU 1562优选在包括操作系统(例如,Windows NT)和任何适当应用软件在内的软件的控制下实现所有这些功能。
[0058] CPU 1562可以包括一个或多个处理器1563,例如来自Motorola微处理器族或MIPS微处理器族的处理器。在替换实施例中,处理器1563是专门设计的硬件,用于控制网络设备1560的操作。在特定的实施例中,存储器1561(例如,非易失性RAM和/或ROM)也形成CPU 1562的部分。然而,存在多种存储器可以被耦合到系统的不同方式。存储器块1561可以用于多种目的,例如缓存和/或存储数据、编程指令等。
[0059] 接口1568一般作为接口卡(某些时候称作“线路卡”)提供。一般来说,它们控制网络上的数据分组的发送和接收,并且有些时候支持与网络设备1560一起使用的其他外围设备。可以提供的这些接口中有以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口等。另外,可以提供各种甚高速接口,例如快速以太网接口、G比特以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、ASI接口、DHEI接口等。一般来说,这些接口可以包括适于与适当的介质通信的端口。在某些情形中,它们也可以包括独立的处理器,在某些情形中,可以包括易失性RAM。独立的处理器可以控制诸如分组交换、介质控制和管理之类的通信密集任务。通过为通信密集任务提供独立的处理器,这些接口允许主微处理器1562有效地执行路由计算、网络诊断、安全功能等。
[0060] 尽管未示出,但是可以使用各种可移除天线来进一步增加接入点的范围和可靠性。另外,Cisco Aironet-Access Point Series上的无线电发射功率(例如,1、5、20、30、50和100mW)可配置来满足覆盖需求和最小化干扰。另外,Cisco Aironet AP可以配置为在同一覆盖范围内的另一个AP的冗余热备份。该热备份AP连续监控同一信道上的主AP,并且在极少发生的主AP故障的情形中承担其角色。
[0061] 尽管图10示出的系统示出了本发明的一个特定网络设备,但是这决不是可以在其上实现本发明的唯一网络设备体系结构。例如,常常使用这样的体系结构,该体系结构具有单个处理器处理通信以及路由计算等。此外,其他类型的接口和介质也可以与该网络设备一起使用。
[0062] 不管网络设备的配置如何,它都可以应用一个或多个存储器或存储器模块(例如,存储器块1565),这些存储器和存储器模块配置来存储用于通用网络操作和/或与这里所述的技术的功能相关的其他信息的数据和程序指令。这些程序指令例如可以控制操作系统和/或一个或多个应用的操作。
[0063] 因为这些信息和程序指令可以被应用来实现这里所述的系统/方法,所以本发明涉及机器可读介质,这些介质包括用于执行这里所述的各种操作的程序指令、状态信息等。计算机可读介质的示例包括但不限于:诸如硬盘、软盘和磁带之类的磁介质;诸如CD-ROM盘之类的光介质;诸如可光读盘(floptical disk)之类的磁光介质;以及专门配置为存储并执行程序指令的硬件器件,例如只读存储器件(ROM)和随机访问存储器(RAM)。本发明也可以包含在沿适当的介质传输的载波中,例如,无线电波、光线路、电线路等。程序指令的示例包括机器可读代码和包含高级代码的文件,机器可读代码例如是由编译器生成的,高级代码可以使用解释器的计算机执行。
[0064] 尽管在这里示出并描述了本发明的说明性实施例和应用,但是仍可以有在本发明的原理、范围和精神内的多种变体和修改,并且在详细研究本申请后,这些变体将对本领域的普通技术人员变清楚。例如,尽管说明书已描述了接入点,但是也可以使用其他实体来将分组隧穿到远程网段上的移动节点。例如,路由器、网桥或其他较少智能的分组交换机也可以应用本发明的特性。此外,尽管本发明对不支持移动IP的节点有用,但是本发明也适用于支持移动IP的节点。因此,应当认为本实施例是说明性的,而不是限制性的,并且本发明不限于这里给出的细节,而是可以在所附权利要求的范围和等同内作出修改。