TWI300662B - - Google Patents

Description

1300662 【發明所屬之技術領域】 本發明係為一種移動式VPN(Mobile Virtual Private Network)之動態代理器（Home Agent)指派（Assignment)方 法及系統，特別是關於一種在網際網路通訊安全協定 (IPsec)的架構上VPN，可動態指派外部代理器提供移動節 點註冊的方法及系統。 【先前技術】 按，虛擬專用網路（Virtual Private Network，以下 簡稱VPN)是一種可利用廣域網路（如網際網路）將一遠端使 用者電腦與一本地網路的伺服器建立專用的網路通道，進 行數據傳輸’並提供就像在封閉的私人區域網路内部一樣 安全。 VPN為了確認安全性因此具有下列基本要求： 1 ·用戶驗證：VPN必須能夠驗證使用者身份並嚴格控 制只有經註冊授權的使用者才能登入。 2·地址管理：VPN必須能夠為使用者分配專用網路上 的地址，並確保地址安全性。 3 ·數據加密：對於通過網際網路傳輸的數據必須經過 加密，以確保網際網路上的其他未授權使用者無法讀取數 據訊息。 4·密鑰管理：VPN必須能夠產生並更新使用者端電腦 與伺服器的加密金鑰。 5·支援多種協定：VPN必須能夠支援網際網路上普遍 1300662 五、發明說明（2) 使用的基本協定，包括ΙΡ、ΙΡΧ、ρρτρ(點對點通道協定） 、L2TP(第2層通道協定）或ipsec(網際網路通訊安全協定） …等等。 網際網路通訊協定（I p )是一種在電腦網路（如網際網 路）上傳輸資料所使用的通訊協定，然而IP並未定義任何 的安全性機制。因此，網際網路工程任務推動小組 (Internet Engineering Task Force，以下簡稱IETF)在 「Request f〇r Comments (RFC)」240 1 通訊標準中定義一 種IPsec協定，是一種將IP流量加密的方法，可以保護網 路通訊，以防止資料修改、第三者檢視、模擬，以及被擷 取及重播的標準。 4一由於無線網路技術的迅速發展，因此針對無線傳輸 網路如何建立移動式VPN已成為相當重要的研究課題，而 應用無線技術的移動式（M〇biie)vpN，在IETF亦定義了一

Mobile IPV4(IETF RFC 3344)協定標準，但在該 Mobile IPv4標準仍有一些的問題需要解決。 例如’當一移動節點（Mobile Node,以下簡稱MN)(如 裝設有無線網路設備的行動電腦），在一内部網路 (^Intranet)漫遊時，會由一本地代理器（H〇me Agent，HA) 指派一移動IP(Mobile ip，以下簡稱河1]?)給該.，而當該 MN由該内部網路漫遊至一外部網路（Internet)時，如在家 中或外地分公司’該MN會由當地的一外地代理器（F〇reign Agent，FA)進入一以IPsec為安全基礎的VpN閘道器（νρΝ Gateway)向該本地代理器（HA)進行註冊，使該vpN閘道器

1300662

對該外地代理器（FA)建立IPsec通道。 而該MN在所漫遊的外部網路中會得到一個新的轉接址 位（Care of Address，以下簡稱c〇A)，並要求該vpN閘道 器為該MN在每次漫遊到一新的子網路時更新lpsec通道。 然而’所有進入該VPN閘道器的數據封包訊息皆會被Ipsec 安全標準加密，而該外地代理器（FA)並無法解密該些加密 過的數據封包’因此該外地代理器（FA)並無法傳輸該1?訊 息。 為了解決上述的問題’ IETF的Mobile IPv4的工作小 組（Working Group，WG)提出一種利用一部固定的機器 (Mechanism)去支援VPN用戶作國際無縫漫遊 (International Seam less Roaming, ISR)的方法 〇 該方法是在將該内部網路中的本地代理器（H A ) 定義 為一内部本地代理器（Internal Home Agent， 以下簡稱 i-HA)，而在該外部網路（External Network)中建置一外 部本地代理器（External Home Agent, 以下簡稱χ-ΗΑ)， 該i-HA是作為該内部網路管理（Mobi 1 ity Management)該 MN的漫遊狀況之用，而該χ-ΗΑ則是當該MN漫遊至該外部網 路時，作為管理該MN的漫遊狀況之用。 而多出的該X - HA可將已建立的IPsec tunnel包覆在 X - MIP tunnel之下，不需變更到已建立的IPsec tunnel， 因此當該MN由該VPN閘道器獲得一新的CoA後，該VPN閘道 器所建立的I Psec通道則不會被破壞，亦因此該外部代理 器（FA)就可以解密該χ-ΜΙΡ的訊息，故而用此方法可不必

1300662 五、發明說明（4) 修改Mobile IPv4標準及IPsec標準，只改變一些移動節點 所必需要的轉接位址（CoA)。 如第一圖所示，即為IETF所定義的移動式vpn標準架 構示意圖。在第一圖中有一 MN 1透過一 i—HA 11漫遊在一 内部網路1 0内，而當該Μ N 1由該内部網路1 〇移至一外部網 路20時，該ΜΝ 1必須向一χ-ΗΑ 21進行註冊，以獲得一新 的CoA，而該χ-ΗΑ 21再向一 VPN閘道器22要求建立ipsec通 道連接至該X-HA 21。最後該VPN閘道器22再向該i-HA 11 註冊該ΜΝ 1 的VPN-TIA (VPN Tunnel lnner Address)，以 便將所建立該IPsec通道連接該i-HA 11，形成由外部網路 20及内部網路1〇皆可漫遊的虛擬專用網路（vpN)。 該IPsec通道訊息33外再包覆一 道訊息3… 一層外部移動IP(X-MIP)的通

立而第二圖即為該移動式VPN的所建立通道的訊息結構 示意圖，是由該ΜΝ 1由内部網路1〇漫遊到外部網路2〇的通 道訊號數據封包3 0，其中包含一層原始數據封包 (Original Packet)31，在該原始數據封包31前包覆一層 内部移動IP(i-MIP)的通道訊息32(由該卜HA u到該vpN曰間 道器22)，而在該内部移動]^通道訊息32外更包覆一層 IPsec通道訊息33(由該VPN閘道器22到該X — HA 21) , ^在 但是在習知IETF的方法中 5亥X - H A 2 1鹿該姑姑番切v , X-HA是安全的？ 由於在該習知IETF的方法中是在該外部 網路20中建置

第8頁 1300662 五、發明說明（5) —固定（Static)的x-HA 21，若該外部網路2〇中有包含 數個子網路（Subnet)時，則如何安排該χ_ΗΑ 21的放置地 =，將會影響到漫遊子網路間該外部代理器（FA)與該χ_ΗΑ 21間的轉接傳遞（Handoff)時間延遲，以及漫遊子網路間 的端至端（End-to-End)時間延遲問題。且由於該χ_ΗΑ 21 fVPN閘道器22無法控制的外部網路2〇中，因此是否能相 L該x-HA 21是否真的符合iPsec的安全標準？ 職是，本案發明人即為解決上述現^移動式VPN的需 ，以及問題點，乃特潛心研究並配合學理之運用，提出一 ，移動式VPN之動態代理器（X-HA)指派方法及系統，可動一 =指派接近該MN的本地代理器（HA)作為該χ_ΗΑ，因此可 ^遊網路間的轉接傳遞（Handoff)延遲及端至端（End忧， Ejid)延遲降到最小，且可完全結合安全控制， 疋一合理且能有效改善上述缺失之發明。 【發明内容】 时本發明之目的係在於提供一種移動式VPN之動態代理 ，《派=法及系統，可動態派指派在漫遊外部網路中接近 j移動節點的外部本地代理器作為該移動節點的註冊代理 ， 使該移動節點在相同的外部網路中漫遊時，（只需向 ^ 1卜°卩本地代理器註冊即可，而不必再至該内部網路之°内 代理器註冊_IETF的方法亦可），如此可將漫遊時的 正裔間轉接傳遞（Handof f)延遲及端至端（End t〇 End) 延遲降到最小，且可完全結合VPN的I Psec安全控制。

第9頁 1300662 五、發明說明（6) 為達成上述目的，本發明主要提供一種移動式VPN之 動態代理器指派方法，可在至少一外部網路與一内部網路 間建立VPN，該方法首先當一移動節點第一次漫遊於該外 部網路中時，由一DHCP伺服器分配一 IP位址，作為該移動 節點之轉接位址向該外部本地代理器發出註冊請求，該外 部本地代理器則發出一授權確認請求訊息給一外地AAA伺 服器，使該外地AAA伺服器將至少一外部本地代理器之網 路接取標示填入該授權確認請求訊息中，再轉送給一本地 AAA伺服器；接著，該本地AAA伺服器成功認證MN後，建立 該外部本地代理器與該移動節點間之安全聯結，並產生一 本地代理器請求訊息，發送給該外部本地代理器；該外部 本地代理裔為該移動師點指派一外部本地位址，並將該外 部本地位址及本身的位址設定於一本地代理器回答訊息 中’發送給該本地AAA伺服器；然後，該本地aaa伺服器使 用該外部本地位址作為該移動節點的轉接位址，向該内部 本地代理器進行註冊’註冊完畢後，該内部本地代理器授 權該本地AAA伺服器發出一授權確認回答訊息給該外部本 地代理器；最後，該外部本地代理器從該授權確認回答訊 息中獲付包3該外部本地位址及該本地代理器位址之註 冊回覆訊息，轉送給該移動節點，此後該移動節點在該外 部網路漫遊時，即可利用該外部本地位址向該本地代理器 位址之本地代理器進行註冊即可。 本發明更提供一種移動式VPN之動態外部代理器指派 系統，係可在至少一外部網路與一内部網路間建立vpn，

1300662 五、發明說明（7) :安ί地，在該外部網路，該系統包 道器、至少—获理f、至父一外部本地代理器、一 VPN閘 内部本地代理L u指派器及至少一dhcp飼服器’其中該 路中的漫遊鼓：A)係作為管理該移動節點在該内部網 該移動節點在誃’:該外部本地代理器（χ-ΗΑ)係作為管理 建立一網際網網路中的漫遊註冊；該VPN間道器可 與該外部本地代Ϊ = 通道在該内部網路 中体—拉^ 益之間；該代理器指派器係用以動離指 胃:之漫遊Ϊ:移=節點之外部本地代理器來進行該移動節 次漫；器係用以讓該移動節點第- 代理写、兮丄/ 自動分配一1p位址向該外部本地 代里盗该AM伺服器及該内部本地代理器進行漫遊註 :二與該VPN閘道器間之1Ρ·通道後，使該移動節 點=在外部網路内皆僅需向最接近之該外部本地代;； 進仃咗冊即可。 叭埋态 【實施方式】 ^了使貴審查委員能更進一步瞭解本發明為 定目的所採取之技術、手段及功效，料閱以下有關= Ϊί_細，明與附圖，相信本發明之目的、特徵與特點二 當了由此得一深入且具體之瞭解，然而所附圖 考與：明用’並非用來對本發明加以限制者。故供參 一 f參閱第三圖所示，係為本發明移動式νρΝ之系統架 構不意圖。本發明主要是可動態指派一外部網路中最接近

第11頁 1300662

:移動節點（MN)80的本地代理器（HA)作為一外部本地代理 = (x-HA)54，以便讓該〇 8〇向該χ-ΗΑ “進行註冊，完成 動式虛擬專用網路（Mobile vpN) IPsec通道的建立。 本發明可利用在外部網路領域内所使用的DHCp伺服 口 AAA(Authentication， Authorization and

Accounting)伺服器或DNS伺服器…等，都可以用來動態指 派，x-HA，以選擇在外部網路中最接近該M 8〇的本地代 理器（HA)指派成為該x-hA 54，且由於該x-hA 54最接近該 MN 80 ’因此該x-hA 54與該MN 80間的延遲能夠被降到最 低。而在該外部網路中子網（inter-subnet)間的端至端轉 接傳遞（Handof f )也將變的更為快速，另外亦可將在外部 網路中的另一本地代理器（HA)作為負載平衡之用。 雖然如此’但最重要的仍是該X_HA 54的安全機制問 題，因此較佳地可使用AAA伺服器來指派該X-HA 54，例如 我們可以採用Diameter基礎協定（Diameter Base on Protocol) (IETF RFC 3588 )作為該AAA伺服器，不僅能指 派該x-HA，更能夠在漫遊時移動變化的複數代理器 (Agents)之間，建立安全聯結（Security Association,

以下簡稱SA)，並作為金鍮分發中心（Key Distribution Center, KDC) 〇 在第三圖中顯示有一内部網路（Intranet)40及至少一 外部網路（11^61'1161:)50，該内部網路40是一個受保護的私 人網路（Protected Private Network)，連接設有一DHCP 伺服器41及一内部路由器（Interior Router)42，該内部

第12頁 1300662 、發明說明（9) 路由器42連接一非管制區（DMZ)60，該非管制區（DMZ)6()是 網=網路後面的實體區域，面對防火牆位於保護後端系統 和資料的第二層防火牆前面，而該非管制區（DMZ)6()又連 接有一本地AAA伺服器（以下簡稱AAAH)61、一 VPN閘道器62 及一外部路由器（Exterior Router )51，而該外部路由器 51則連接至該外部網路50(Internet)。 而在該内部網路40中又可能包含了複數的子網路 (Subnet)43，每一子網路43都連接至少一無線基地台 (Wireless Access Point, WAP)44，用以無線連接至少一 該MN 80。而在該内部網路4〇中更設有一丨一HA 45及一内部 外地代理器（Internal Foreign Agent,以下簡稱i—FA) 46，如圖三中顯示該i-HA 45是連接於第一子網路（Subnet 1)上’而該i-FA 46則連接於第二子網路（Subnet 2)上， 而該DHCP伺服器41則連接於第三子網路（Subne1： 3)上。 請一併參閱第四圖及第五圖，係為該MN 80在内部網 路40漫遊的註冊流程圖及時態示意圖。由於該DHCp伺服器 41的功能主要是用以動態分配網路内每一部電腦的丨p位 址，故而該DHCP伺服器41會不斷發出一廣播&查詢訊息 100 ’偵測網路上是否有新電腦連線(^2〇〇)。 因此當該MN 80漫遊至該内部網路4〇之其他子網路時 中漫遊時’如從第二子網路（Subnet 2)漫遊至第三子網路 (Subnet 3)時，此時該DHCP伺服器41會發現該MN 80，而 該MN 80會發出一ip位址的要求訊息1〇5給DHCP伺服41，而 該DHCP伺服器41即會分配一新的動態ip位址11〇給該關

第13頁 1300662 五、發明說明（10) (S205) 〇 而該MN 80即可利用新的IP位址作為一轉接位址 (CoA)，向該内部本地代理器（i_HA)45發出一註冊請求 (Registration Request，以下簡稱Reg-Req)訊息 115 (S210)，由於該i-HA 45原本就認識該MN 80，故而會進行 0主冊’並會回覆該MN 80 —註冊回覆（Registration Reply ，以下簡稱Reg-Reply)訊息120(S215)，以完成内部網路 的漫遊註冊程序。 請再參閱第三圖，該外部網路（Internet)50是一個不 受保遵的公眾網路（Unprotected Public Network)，其中 可能包含有複數個外部網路所組成，如第三圖顯示有一第 一外部網路及一第二外部網路，而在每一外部網路中又可 能包含有複數個子網路，且可分別連接有一外地AAA伺服 器（Foreign AAA Server，以下簡稱AAAF)53、一x-HA 54 、一外部外地代理器（External Foreign Agent，以下簡 稱x-FA) 55、一DHCP伺服器56及至少一無線基地台（WAP) 57 〇 請一併參閱第六圖及第七圖A、B所示，係為該MN 80 在外部網路50漫遊的註冊流程圖及時態示意圖。當該MN 8 0從該内部網路4 0漫遊至該外部網路5 〇時，同樣地，當地 該DHCP伺服器56自動分配一動態ip位址給該題8〇 (S4〇〇) ，該MN 80利用該IP位址作為一轉接位址（c〇A)3〇〇，並向 該X-HA 54 發出一Reg-Req 訊息305 (S405 )。 而在該Reg-Req 息305中應包含有一本地位址（Home

第14頁 1300662 五、發明說明（11)

Address，以下簡稱HoA)、一HA位址、一需被該AAAH 61授 權的認證資訊以及一MN的網路接取標示（Network Access Identifier， ΝΑΙ)…等等的請求。 且在該χ-ΗΑ 54所收到的該Reg-Req訊息305中，該HoA 與該HA位址皆應被設為〇·〇·〇·〇，表示該關80是想要在該 外部網路中獲得一外部本地位址（E X t e r n a 1 Η 〇 m e Address，以下簡稱χ-HoA)，因此該x-HA 54會產生一個特 徵向量（MIP-Feature-Vector)屬性值對（Attribute Value

Pair，以下簡稱AVP)，其中設定有MN 80的本地位址請求 (以下稱Home-Address-Requested)，以及本地代理器請求 (以下稱Home-A gent-Requested和一公同位址請求（以下稱

Co - Located - Mobile - Node-Re quested)旗標（Flag)為"1" 〇 此時該χ-ΗΑ 45 會將該MIP-Feature-Vector AVP 設定 於一授權確認請求（AA-Mobile-Node-Request,以下簡稱 AMR)訊息31 0中，從Reg-Req訊息中取得必要的資訊加到相 關的AVP中，並將該AMR訊息310發送至當地的該AAAF 53 (S410)。 該AAAF 53 會先檢查在該MIP-Feature-Vector AVP 中 的Home-Agent-Requested旗標位元（Flag bit)是否 為丨丨1丨丨。 若為” Γ時，該AAAF 53會要求該AAAH 61允許指派在 漫遊之外部網路中的一個x-HA 54作為該MN 80的本地代理 器（HA)，因此該AAAF 53會在所收到之AMR訊息310中該 MIP-Feature - Vector AVP内設定一外地的本地代理器可用

第15頁 1300662 五、發明說明（12) (以下稱 Foreign-Home-Agent-Available)旗標，並且在一 候選本地代理器主機（以下稱MIP-Candidate-Home-Agent-ost)AVP中填入至少一候選x-HA 54的網路接取標示 (ΝΑΙ)，然後該AAAF 53再把該AMR訊息310傳送至該AAAH 61(S415) 〇 當該AAAH 61接收到該AAAF 53所傳來之AMR訊息310 後，必需進行授權該MN 80的Reg-Req訊息30 5，因此該 AAAH 61可透過該AMR訊息310中所設定之一授權工作指標

(MN-AAA-SPI，Security Paremeters Index)來確定該MN 8 0是使用那一種的安全性策略，如加密演算法和長期分享 金鍮。 如果該AAAH 61授權成功則會檢查該AMR訊息310之 MIP-Feature-Vector AVP 中的該Home-Agent-Requested 的 旗標位元以及該Foreign-Home-Agent-Avai 1 able的旗標位 元是否皆等於為π 1π ，若是，則表示ΜΝ要求動態指派一 x-HA 54在所漫遊的外部網路區域中，而該AAAH 61亦會在 漫遊之外部網路區域中建立該X-HA 54與〇之間的安全聯 結（SA)(S420 )。 為此該AAAH 61會產生一個至少128位元亂數的金鑰元 件（Key Materials)，一般統稱為Nonces，利用該Nonces 可計算產生一通信金鑰（Session Key)，以確該安全聯結 (SA)的安全性。 而在該x-HA 54及該AAAF 53所發送之該AMR訊息310中 的MIP-Feature-Vector AVP亦包含有MN 80與本地代理器

第16頁 1300662 五、發明說明（13) (HA)間的金鑰請求（Key-Requested)。而該通信金錄 (Session Key)可透過以Diameter 協定（Diameter Protocol)的AAA伺月艮器被安全地傳輸到x-ha 54上。 這是因為IPsec標準或是運輸層安全（Transport

Layer Security，TLS)標準（IETF RFC 2246 )即是強制應 用在保護Diameter節點（包括伺服器、客端與代理器）之間 的通訊數據。但該通信金鑰（Session Key)並不會直接傳 遞到MN 80上’因為如此將會使該通信金鍮（Session Key) 暴露在沒有保護網路協定中，而只給該MN 80該金鑰元件 (Nonces) 〇 因此該AAAH 61會再產生一本地代理器請求（Home-Agent-MIP-Request，以下簡稱HAR)訊息315，把通信金鑰 (Session Key) 及Reg-Req訊息封裝在HAR訊息315之該相 關的AVP中，透過該AAAF 53傳送給該候選的χ-ΗΑ 54 (S425 )，該AAAF 53主要是扮演代理伺服器（pr0Xy)的角 色。因此該χ-ΗΑ 54能夠從該HAR訊息315中之相關AVP中取 得該X-HA 54與MN 80的金鍮元件（Nonces)。 而該χ-ΗΑ 54在所接收到的HAR訊息315中如果沒有包 含該MN80的位址（以下稱MIP-Mobile-Node-Address) AVP，且在該MIP-Feature-Vector AVP 中的Home-Agent-Address-Requested的旗標位元是被設為π 1”時，則該x-HA 54將自動為該MN 80指派一χ-HoA設定在該MIP-Mobile-Node-Address AVP中，並且該χ-ΗΑ 54會自動將它本身的 位址設定到該MIP-Home -Agent-Address AVP 中。

第17頁 1300662 五、發明說明（14) 接著，該x-HA 54會將該MN 80與該X-HA 54間的該通 信金鑰（Session Key)儲存起來，並將該金鑰元件 (Nonces)複製到一註用回覆（Reg-Repiy)上，然後該χ-ΗΑ 54產生一本地代理器回答（Home-Agent-MIP-Answer,以下 簡稱HAA)訊息320透過該AAAF 53再傳送至該AAAH 61 (S430) ’而該HAA訊息320中至少包括了一包含有該金錄元 件（Nonces)的註冊回覆（以下稱MIP-Reg-Reply)AVP、一結 果碼（1^31111:-(：〇(16)人¥?、一包含有該》〇80乂-11(^的肘1?-Mobile-Node-address AVP，以及一包含該 x-HA 54 位址的 MIP-Home-Agent-Address AVP 〇 該AAAH 61在接收到該χ-ΗΑ 54透過該AAAF 53所送出 之該 HAA 訊息 320 後，該AAAH 61 會從該 MIP-Mobile-Node-Address AVP 中 獲得該MN 80 的 X- HoA ， 以及從 MIP-Home-Agent-Address AVP 中獲得該χ-ΗΑ 54 的位址。 然後該AAAH 61會建立一新的HAR訊息325，並將該X-HoA 及x-HA 位址分別填入MIP-Mobi le-Node-Address 及 MIP-Home-Agent-Address AVP，接著該AAAH 61 發送該HAR 訊息325向該i-HA 45進行註冊（S435)。 當該i-HA 45接收到該HAR訊息325後，該i-HA 45從該 HAR訊息325中的AVP獲得該X-HoA後，會將所獲得x-HoA 54 的位址註冊為該MN 80的公共CoA，使該i-HA 45認識該HAR 訊息325後建立出一新的HAA訊息33 0傳送至該AAAH 61 (S440)。 然後，該AAAH 61在接收該i-HA 45所發出的該HAA訊

第18頁 1300662 五、發明說明（15) 息330後，可由其中之該結果碼（Result - Code)AVP顯示出 已授權成功。因此該AAAH 61會建立一授權確認回答（AA-Mobile-Node-Answer，以下簡稱ΑΜΑ)訊息 335 透過該AAAF 53傳送至該χ-ΗΑ 54 (S445)，而在該ΑΜΑ訊息335中包括一 DIAMETER 成功的結果碼（Result-Code)、該 MIP-Home-Agent-Address AVP 、該MIP-Mobile-Node—Address AVP 以 及該MIP-Reg-Reply AVP，而該些AVP可從所接收到的該 HAA訊息330中被複製出來。 當該X-HA 54接收到由該AAAH 61所傳來之該ΑΜΑ訊息 335後，可從該結果碼（Result-Code)AVP中顯示出已授權 成功，則該χ-ΗΑ 54會從該ΑΜΑ訊息335之MIP-Reg-Reply AVP中獲得一 Reg-Reply訊息340，並將該Reg - Reply訊息 340轉送至該MN 80(S450 )。否則該χ-ΗΑ 54會悄悄地將該 ΑΜΑ訊息335丟掉。 一旦該ΜΝ 80接收到該Reg_Reply訊息340，則該ΜΝ 80 即可取得該新的X-HoA、該χ-ΗΑ位址以及該金鑰元件 (Ν ο n c e s )，然後該Μ N 8 0使用所接收到的金鑰元件 (Nonces)和相同於該AAAH 61的散列算法及長期分享金鑰 (Longterm Shared Key)計算出正確的通信金鑰（Sessi〇n Key) 〇 因此，當該MN 80經過該AAAH 61授權，以及經過該 X - HA 54及i-HA 45以Mobile IPv4安全標準註冊後，即可 使用該x_HoA與該VPN閘道器連結’使該MN 80與該vpn間道 器之間建立IPsec通道345 (S455)，恢復像在内^網路一

第19頁 1300662 五、發明說明（16) 樣的安全通訊。 而在完成該X - Η A 5 4的指派後，在該漫遊之外部網路 内各個當地的本地代理器（HA)間的安全聯結（SA)亦將被建 立完成。此後，該MN 80即可直接使用MIPv4標準與該當地 之x-HA 54進行註冊通訊，而不需要再透過該aaa伺服器， 意即，當該MN 80在該外部網路内獲得一個新的轉接位址 (Co A)後，即可如同在内部網路内漫遊般，只需要向被指 派的x-HA 54註冊即可，而不必再向該i-HA 45進行註冊。 而且在相同的該外部網路内並不需再重建IPsec通 道’不過該通信金鍮（Session Key)是有壽命的，如果壽 命終止’則仍需透過該Diameter基礎的AAA伺服器產生一 新通信金鑰（Session Key)，另外若該MN 80再移動至另外 一個外部網路時，又必須向當地的一個新的x-HA請求註冊 時，則上述的整個過程將再次被執行，讓該χ — ΗΑ再次被指 派，而IP s e c通道亦將再被重建。 職是，本發明確能藉上述所揭露之技術，提供一種使 用動態指派X-HA替換靜止X-HA的技術，因而漫遊時的本地 代理器（HA)間傳遞轉接（Handoff)延遲以及端至端（End to End)的延遲都將被顯者的降低’而且本發明是以Diameter ΜIP v 4應用在轉接的本地代理器（jj a )之間建立的安全聯結 (SA) ’因此該χ-ΗΑ是可以被相任的，且對該乂―HA及該i-HA 的註冊動作是同時被完成的。故而本發明實現了一個移動 式VPN的系統平台，迥然不同於習知者的設計，堪能提高 整體之使用價值，又其申請前未見於刊物或公開使用，誠

第20頁 1300662 五、發明說明（17) 已符合發明專利之要件，爰依法提出發明專利申請。 惟，上述所揭露之圖式、說明，僅為本發明之實施例 而已，凡精于此項技藝者當可依據上述之說明作其他種種 之改良，而這些改變仍屬於本發明之發明精神及以下所界 定之專利範圍中。

第21頁 1300662 圖式簡單說明 【圖示簡單說明】 第一圖係為係為IETF所定義的移動式VPN標準架構示 意圖， 第二圖係為該移動式VPN的所建立通道的訊息結構示 意圖； 第三圖係為本發明移動式VPN之系統架構示意圖； 第四圖係為該MN在内部網路漫遊的註冊流程圖； 第五圖係為該MN在内部網路漫遊的時態示意圖； 第六圖係為該MN在外部網路漫遊的註冊流程圖；及 第七圖A、B係為該MN在外部網路漫遊的時態示意圖。 【主要元件符號說明】 1 移動節點（Μ N ) 11 内部本地代理器（i-HA) 10 内部網路 20 外部網路 21 外部本地代理器（x-HA) 22 VPN閘道器 30 通道訊號數據封包 31 原始數據封包 32 内部移動I P通道訊息 33 IPsec通道訊息 34 外部移動IP通道訊息 80 移動節點（MN)

第22頁 1300662 圖式簡單說明

第23頁 54 外 部 本 地 代理器（X-HA) 40 内 部 網 路 41 DHCP 伺 服 器 42 内 部 路 由 器 43 子 網 路 44 無 線 基 地 台 45 内 部 本 地 代理器（i-HA) 46 内 部 外 地 代理器（i-FA) 50 外部 網 路 51 外 部 路 由 器 53 外 地AAA伺服器（AAAF) 54 外 部 本 地 代理器（x-HA) 55 外 部 外 地 代理器（x-FA) 56 DHCP 伺 服 器 57 無 線 基 地 台 60 非 管 制 區 61 本 地AAA伺服器（AAAH) 62 VPN閘道器

Claims (1)

1300662 六、申請專利範圍 1. 一種移動式VPN之動態代理考户 -外部網路與一内部網路間建立。虛曰擬=二可在至少 Private Network，VPN)，使至少一銘叙— 1 rtual Node, _ 該移動節點第一次漫遊於該外部網路中時，$ rm:轉？位址給該移動節點，使該移動節點可發 =^冊μ求訊息給當地之-外部本地代理器，該註冊請 求包3—外部本地位址請求及一本地代理器位址請求； 該外部本地代理器發出一授權確認請求訊息給一外地 ΑΑΑ伺服器，使該外地ΑΑΑ伺服器將至少一候選之外部本地 理器之網路接取標示（Network Access Identifier*，MAI：» 填入該授權確認請求訊息中，再轉送給一本地AAA伺服 as · ， 該本地AAA伺服器建立該外部本地代理器、該外部外 地理器與該移動郎點間之安全聯結（g e c u r i t y A s s o c i a t i on) ’並產生一本地代理器請求訊息，發送給該 外部本地代理器； 該外部本地代理器為該移動節點指派一外部本地位 址，並將該外部本地位址及本身的位址設定於一本地代理 器回答訊息中，發送給該本地AAA伺服器； 該本地AAA伺服器使用該外部本地位址作為該移動節 點的轉接位址，向該内部本地代理器進行註冊，註冊完畢 後，該内部本地代理器授權該本地AAA伺服器發出一授權 確認回答訊息給該外部外地代理器；及

第24頁 1300662

八，外部外地代理器從該授權確認回答訊息中 > 3 〇外部本地位址及該本地代理器位址之註冊回^二自。 :送：該移動節點’此後該移動節點在該外部網’ 本地代理器進行註冊即可。 η代心位址之 产ί I請ί利範圍第1項所述之移動式V Ρ Ν之動態代理器 =派方法，其中該移動節點係可為裝設有無線網路設備的 行動電腦。 匕3·如申請專利範圍第1項所述之移動式νρΝ之動態代理器

才曰、、方去其中該移動郎點第一次漫遊於該外部網路之步 驟前，更包括： 由該DHCP飼服器不斷發出一廣播（Advertisement)訊 息至該外部網路中，以查詢網路上是否有任何一該移動節 點在網路内漫遊’若有則自動分配一動態IP位址給該移動 節點；及 該移動節點利用該IP位址作為該轉接位址（c〇A)，以 便向該外部本地代理器發出該註冊請求。 4·如申請專利範圍第1項所述之移動sVpN之動態代理器 指派方法’其中該註冊請求訊息中更包含有需被該本地 AAA饲服器授權之一認證資訊及該移動節點之一網路接取 標示（NAI)。 5·如申請專利範圍第1項所述之移動式VPN之動態代理器 指派方法，其中該移動節點第一次漫遊於該外部網路之步 驟後更包括：

第25頁 1300662 六、申清專利範圍 該外部外地代理器接收該註冊請求訊息後，產生一特 仅支向里屬性值對（Mip — Feature-Vector Attribute Value Pa l r) ’其中設定有該移動節點之本地位址請求旗標及該 本地代理器請求旗標；及 將該特微向量屬性值對設定於該授權確認請求訊息 中 0 6·如申請專利範圍第1項所述之移動svpN之動態代理器 指派方法，其中該外部本地代理器發出授權確認請求訊息 之步驟後更包括： 該本地AAA伺服器收到該外地aAA伺服器所傳送之該授 權確認請求後，可透過該授權確認請求中所設定之一 (MN-A A A-Security Parameters Index)來確認該移動節點 是使用那一種安全性策略進行授權認證。 7·如申請專利範圍第1項所述之移動式vpN之動態代理器 指派方法，其中該本地AAA伺服器建立安全聯結的步驟 中，更包括： 該本地AAA伺服器會產生一至少128位元亂數之金鑰元 件（Key Materials)，利用該金鑰元件可計算產生一通信 金鑰（Session Key)，以確該安全聯結的安全性；及 將該通信金鑰設定於該本地代理器請求訊息中。 8·如申請專利範圍第1項所述之移動式vpn之動態代理器 指派方法，其中該本地AAA伺服器建立安全聯結的步驟 中，該本地代理器請求訊息係透過該外地AAA祠服器傳送 給該外部本地代理器。

第26頁 1300662 六、申請專利範圍 --- ·— /、·如申請專利範圍第1項所述之移動式VPN之動態代理器 才曰沭方法 其中該本地AAA伺服器建立安全聯結的步驟 中’該^地代理器請求訊息中包含該移動節點與該外部本 地代理器間的金鑰元件及通信金鑰。 4·如申請專利範圍第1項所述之移動式VPN之動態代理 器指派方法，其中該外部本地代理器為該移動節點指派一 外部本地位址的步驟中，該本地代理器回答訊息係透過該 外地AAA伺服器傳送給該本地AAa伺服器。 11. 如申請專利範圍第i項所述之移動式VPN之動態代理 器指派方法，其中該外部本地代理器將註冊回覆訊息轉送 給該移動節點之步驟中，更包括： 該移動節點使用該外部本地位址與一 y p N閘道器連線 結，使該移動節點與該VPN閘道器間建立—IPsec^道。' 12. —種移動式VPN之動態外部代理器指派系統，係可在 至少一外部網路與一内部網路間建立虛擬專用網路 (Virtual private Network，VPN)，使至少一移動節點 (Mobile Node，MN)可安全地漫遊在該外部網路，該系 包括： 一内部本地代理器（Internal Home Agent， i-HA)， 係設於該内部網路中，作為管理該移動節點在該内部網 中的漫遊註冊； 至少一外部本地代理器（External H()me Agent， x-HA) ’係設於該外部網路中，作為管理該移動節點在該 外部網路中的漫遊註冊； ^