專利名稱:在通信網(wǎng)絡(luò)中提供地址保密的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在通信網(wǎng)絡(luò)中提供地址保密的方法和系統(tǒng)以及系統(tǒng)實(shí)體��。
背景技術(shù):
最近通信網(wǎng)絡(luò)的發(fā)展取得了很大進(jìn)步���。在這些通信網(wǎng)絡(luò)中,越來越多的通信網(wǎng)絡(luò)支持加入該網(wǎng)絡(luò)的用戶的移動(dòng)性�����。用戶利用其為了與通信伙伴節(jié)點(diǎn)進(jìn)行通信所使用的終端節(jié)點(diǎn)來代表����。需要注意的是,通信伙伴節(jié)點(diǎn)一般是與終端節(jié)點(diǎn)相同或相似的類型����,而“伙伴節(jié)點(diǎn)”只被用來說明它是在通信中的目標(biāo)或被呼叫節(jié)點(diǎn)�����。例如終端節(jié)點(diǎn)/通信伙伴節(jié)點(diǎn)可以是移動(dòng)電話����,移動(dòng)筆記本計(jì)算機(jī)或相似裝置����。而被呼叫通信伙伴節(jié)點(diǎn)也可以是個(gè)人計(jì)算機(jī)之類的固定終端�����。
隨著互聯(lián)網(wǎng)日益普及和被接受�����,使得通信網(wǎng)絡(luò)越來越與互聯(lián)網(wǎng)兼容��。因此有這樣一種趨勢(shì)�,將互聯(lián)網(wǎng)協(xié)議IP不僅用在互聯(lián)網(wǎng)中,也用于通信網(wǎng)絡(luò)中��。特別是在支持移動(dòng)性的通信網(wǎng)絡(luò)中����,IP在與IP“本身”兼容的支持移動(dòng)性的版本中被采用��。例如��,存在移動(dòng)IPv4����,移動(dòng)IPv6或蜂窩IP協(xié)議版本�。為了本發(fā)明的目的,只要協(xié)議支持終端在通信網(wǎng)絡(luò)(或網(wǎng)絡(luò)系統(tǒng))中的移動(dòng)性并且只要使用的協(xié)議是基于分組的協(xié)議����,使用哪種協(xié)議并不是至管重要的?�;诜纸M的協(xié)議是這樣一種協(xié)議�����,即依照該協(xié)議數(shù)據(jù)以分組(也被稱為單元)為單位被傳輸��,所述分組由負(fù)載段和首標(biāo)段組成����。所述負(fù)載段傳送要傳遞的數(shù)據(jù)�,而所述首標(biāo)段包含例如為了該分組路由要求的����,以及例如表示提供給該分組的服務(wù)QoS質(zhì)量的管理數(shù)據(jù)。只要網(wǎng)絡(luò)是支持諸如GPRS�����,UMTS�����,互聯(lián)網(wǎng)或其他類似的用戶移動(dòng)性的分組交換網(wǎng)絡(luò)����,對(duì)于本發(fā)明而言網(wǎng)絡(luò)本身也不局限于后邊描述的網(wǎng)絡(luò)�。
對(duì)移動(dòng)IP的簡(jiǎn)短概要的介紹以及本技術(shù)領(lǐng)域中通用術(shù)語(yǔ)的定義可以在http//www.darmstadt.gmd.de/mobile/mobileip/mobileIP.html中找到,在互聯(lián)網(wǎng)中于2001年10月10日檢索�。
在通信網(wǎng)絡(luò)中,終端和/或通信伙伴節(jié)點(diǎn)通過一個(gè)永久的地址PA來識(shí)別����。如果終端固定的,那么該終端對(duì)網(wǎng)絡(luò)的接入點(diǎn)地址與該終端的永久地址可以相互一致。但是��,如果終端是移動(dòng)的�,那么這種尋址方案就不再有效。
圖1粗略的示出了一個(gè)在通信網(wǎng)絡(luò)NW中利用其永久地址MN_PA識(shí)別的移動(dòng)終端MN���。在左側(cè)����,該終端MN位于第一位置pos1處并且通過接入點(diǎn)AP1接入所述網(wǎng)絡(luò)NW�����。一個(gè)表示為CoA_1的接入點(diǎn)地址被分配給該接入點(diǎn)AP1����。例如,在UMTS網(wǎng)絡(luò)中��,接入點(diǎn)可以用Node_B代表��,而在GPRS網(wǎng)絡(luò)中���,接入點(diǎn)可以用SGSN代表��。假如該終端是移動(dòng)的���,它可以到達(dá)不同于位置pos1的位置pos2����。但是��,在位置pos2處��,接入網(wǎng)絡(luò)的接入點(diǎn)已經(jīng)變?yōu)榻尤朦c(diǎn)AP2(具有地址CoA_2)��。在這種情況下�����,不再可能用終端MN的永久地址MN_PA對(duì)其尋址�����。
因此�����,在移動(dòng)網(wǎng)絡(luò)中終端通過它映射到其永久地址的臨時(shí)地址CoA(也被稱為轉(zhuǎn)交地址)來尋址�。
例如,移動(dòng)IPv6定義了一種被稱為最優(yōu)路由的機(jī)制���。這種機(jī)制使對(duì)應(yīng)節(jié)點(diǎn)CN(通信伙伴節(jié)點(diǎn))能夠直接向移動(dòng)節(jié)點(diǎn)MN(終端節(jié)點(diǎn))發(fā)送分組���。即,當(dāng)使用最優(yōu)路由時(shí)���,移動(dòng)節(jié)點(diǎn)MN向?qū)?yīng)節(jié)點(diǎn)CN發(fā)送指出其轉(zhuǎn)交地址CoA的消息(稱為綁定更新消息)�����。該對(duì)應(yīng)節(jié)點(diǎn)CN高速緩沖存儲(chǔ)(緩沖)移動(dòng)節(jié)點(diǎn)MN的綁定(即它把MN_PA地址映射到MN_CoA地址)�����,并且把它的以所述移動(dòng)節(jié)點(diǎn)MN為目的地的數(shù)據(jù)報(bào)(分組)繞道移動(dòng)節(jié)點(diǎn)的本地代理直接發(fā)送給所述轉(zhuǎn)交地址��。移動(dòng)IPv6綁定更新消息傳送了移動(dòng)節(jié)點(diǎn)MN的CoA���,因此暴露了關(guān)于其地理位置的信息,但是運(yùn)營(yíng)商需要支持地址保密����。即�,通過了解移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址���,對(duì)應(yīng)節(jié)點(diǎn)能夠推斷出該移動(dòng)節(jié)點(diǎn)的地理位置�。也就是說���,知道所述(呼叫)終端的轉(zhuǎn)交地址的通信伙伴可以象前邊解釋的那樣�����,從這個(gè)臨時(shí)地址中推斷出該終端的地址(例如pos1或pos2)����。(注意����,當(dāng)MN離開“本地”時(shí)是與MN_CoA相關(guān)聯(lián)的,而當(dāng)其在本地時(shí)�����,該MN能夠用MN_PA來尋址和識(shí)別���。)避免這種情況的一種可能性是使用一種被稱為三角形路由的機(jī)制���,這種機(jī)制使用移動(dòng)節(jié)點(diǎn)在網(wǎng)絡(luò)中的本地代理HA。在這種情況下����,不進(jìn)行路由優(yōu)化,相反的��,對(duì)應(yīng)節(jié)點(diǎn)CN向移動(dòng)節(jié)點(diǎn)MN的永久地址PA發(fā)送分組����。(不用接收綁定更新,該移動(dòng)節(jié)點(diǎn)的永久地址MN_PA是對(duì)應(yīng)節(jié)點(diǎn)CN知道的關(guān)于該移動(dòng)節(jié)點(diǎn)MN的唯一地址)����。然后所述本地代理HA截取這些分組。并且由于綁定高速緩沖寄存器該本地代理知道把這些分組發(fā)送到哪兒去并且因此能夠?qū)⑵渌淼纻魉偷組N���,所述綁定高速緩沖寄存器把MN_PA映射到保持在HA中的���,通過使MN用綁定更新消息來更新它的MN_CoA上。在另一個(gè)方向上�����,MN將使用MN_PA作為其發(fā)送到CN的分組的源;并且為了繞道進(jìn)口過濾��,該移動(dòng)節(jié)點(diǎn)MN首先通過隧道將其分組發(fā)送到所述本地代理處�����,該本地代理將其剝離并把他們轉(zhuǎn)發(fā)到所述對(duì)應(yīng)節(jié)點(diǎn)CN�����。
使用這些機(jī)制����,三角形路由和反向隧道,MN和CN也能夠交換分組并且MN_CoA不被暴露給CN�。盡管這種方法不通過該移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址MN_CoA把地址信息暴露給對(duì)應(yīng)節(jié)點(diǎn)CN,但是由于被通信的分組不可避免的必須通過該移動(dòng)節(jié)點(diǎn)的MN本地代理��,這種機(jī)制就對(duì)通信分組的路由而言并沒有被優(yōu)化�����。這樣���,三角形路由和反向隧道要求對(duì)上行(從MN到CN)和下行(從CN到MN)通信往回通過該移動(dòng)節(jié)點(diǎn)的MN本地代理��,因此意味著長(zhǎng)的路由路徑�����。這可能意味著分組傳遞的延誤�。同樣���,由于所有分組都通過位于移動(dòng)終端節(jié)點(diǎn)MN的本地網(wǎng)絡(luò)中的本地代理來路由�����,依賴于通過網(wǎng)絡(luò)的同一個(gè)本地代理或至少通過同一個(gè)本地網(wǎng)絡(luò)中的適當(dāng)本地代理進(jìn)行通信的同一個(gè)本地網(wǎng)絡(luò)的其他節(jié)點(diǎn)的數(shù)量�,存在這樣的風(fēng)險(xiǎn)�����,即用這種數(shù)據(jù)庫(kù)單元路由的流量使該本地網(wǎng)絡(luò)或該網(wǎng)絡(luò)的一部分超過負(fù)載����。
在現(xiàn)有的蜂窩網(wǎng)絡(luò)中,必須支持地址保密接收節(jié)點(diǎn)不應(yīng)該知道發(fā)起節(jié)點(diǎn)的地理位置�。基于移動(dòng)IP的網(wǎng)絡(luò)應(yīng)該至少支持用于商業(yè)應(yīng)用的現(xiàn)在存在的服務(wù),并且因此在基于移動(dòng)IP的網(wǎng)絡(luò)中應(yīng)該支持地址保密�。
因此,基本上如上所述��,為了允許一個(gè)IPv6移動(dòng)節(jié)點(diǎn)在不同子網(wǎng)絡(luò)中無縫漫游�,移動(dòng)Ipv6已經(jīng)發(fā)展了。當(dāng)?shù)竭_(dá)了一個(gè)新的接入點(diǎn)時(shí)�,移動(dòng)節(jié)點(diǎn)獲得一個(gè)轉(zhuǎn)交地址并且用它來發(fā)送和接收分組。這個(gè)轉(zhuǎn)交地址包含關(guān)于該移動(dòng)節(jié)點(diǎn)當(dāng)前地址的信息例如所述轉(zhuǎn)交地址的網(wǎng)絡(luò)前綴可以反映關(guān)于當(dāng)前移動(dòng)節(jié)點(diǎn)諸如域和/或其他任何地理信息的地址的信息���。
但是�,一個(gè)移動(dòng)節(jié)點(diǎn)可能不需要它的對(duì)應(yīng)節(jié)點(diǎn)了解這類信息���,而可能更愿意隱藏它的地址����。這種被稱為地址保密的特性在一些現(xiàn)有蜂窩網(wǎng)絡(luò)中被要求并且在IP移動(dòng)網(wǎng)絡(luò)中如果不是強(qiáng)制性特征也是非常值得要的�。其目的在于對(duì)通信節(jié)點(diǎn)來說它不能知道移動(dòng)節(jié)點(diǎn)位于哪兒。對(duì)于基于移動(dòng)IP的網(wǎng)絡(luò)需要至少支持為了商用應(yīng)用的現(xiàn)在存在的服務(wù)���,因此在基于移動(dòng)IP的網(wǎng)絡(luò)中應(yīng)該支持地址保密���。
移動(dòng)IPv6使用三角形路由和反向隧道二者來允許支持地址保密。但是,由于他們要求所有分組�����,要發(fā)送到移動(dòng)節(jié)點(diǎn)的和由移動(dòng)節(jié)點(diǎn)生成的兩種分組�,都要經(jīng)過本地代理��,所以這兩種解決方案都不是有效率的��。因此這些分組的路由不是最優(yōu)的�。另外,這些機(jī)制依賴于隧道����,因此導(dǎo)致了對(duì)所有來源于和發(fā)送到MN的分組的巨大的開銷(兩個(gè)IP首標(biāo))。這對(duì)于帶寬有限和昂貴的接入線路是不可接受的�。
在移動(dòng)IPv6中,每個(gè)移動(dòng)節(jié)點(diǎn)總是用其本地地址識(shí)別的���,而不管其接入互聯(lián)網(wǎng)的現(xiàn)在的點(diǎn)�。當(dāng)位于其本地之外時(shí)����,移動(dòng)節(jié)點(diǎn)也與一個(gè)轉(zhuǎn)交地址相關(guān)聯(lián),該地址可以把關(guān)于該移動(dòng)節(jié)點(diǎn)的當(dāng)前地址的信息提供給對(duì)應(yīng)節(jié)點(diǎn)。
尋址到移動(dòng)節(jié)點(diǎn)本地地址的IPv6分組被透明的路由到其轉(zhuǎn)交地址該分組實(shí)際上被本地代理截取���,然后這個(gè)本地代理把他們封裝到該移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址中��。
MN可以決定不向CN發(fā)送任何綁定更新�����,但是每個(gè)從CN來的以該MN為目的地的分組將必須通過HA���。這就叫三角形路由。該MN也能向?qū)?yīng)節(jié)點(diǎn)發(fā)送綁定更新來將其轉(zhuǎn)交地址告訴它����。因此該對(duì)應(yīng)節(jié)點(diǎn)能夠直接把這些分組發(fā)送到移動(dòng)節(jié)點(diǎn)而不需通過本地代理。
移動(dòng)IPv6也允許MN直接發(fā)送分組給CN這些分組的源IP地址必須被配置為MN的CoA來繞道入口過濾并且這些分組也將傳送本地地址的選項(xiàng)��。
在這兩種情況下��,綁定更新和源分組轉(zhuǎn)交地址的使用允許CN了解相應(yīng)于MN的CoA并且因此了解關(guān)于該MN地址的信息�。
為了隱藏它的地址,該MN需要使用它的本地地址作為分組的源IP地址�����,并且隧道傳送分組到HA來繞道入口過濾。這被稱為反向隧道��。
為了用存在的機(jī)制支持地址保密��,三角形路由和反向隧道二者都必須被使用���。但是,由于他們要求所有分組����,從MN到CN的以及從CN到MN的,都通過本地代理�,所以這兩種解決方案都不是有效率的。這可能導(dǎo)致非常沒有效率的分組路由例如MN可能是來自澳大利亞的(因此本地代理在澳大利亞)并且漫游到法國(guó)���。它的CN可能在德國(guó)�。所有在MN和CN之間交換的分組必須通過澳大利亞(法國(guó)<->澳大利亞<->德國(guó))����。在MN和CN間的分組路由因此不是最優(yōu)的并且還可能引起更大的延誤。
除了這些缺點(diǎn)外�,由于三角形路由和反向隧道發(fā)送二者都依賴于隧道發(fā)送,所以需要一個(gè)額外的外部IP首標(biāo)�����。對(duì)于在移動(dòng)節(jié)點(diǎn)和對(duì)應(yīng)節(jié)點(diǎn)間交換的每個(gè)分組都要求額外的40字節(jié)。
發(fā)明內(nèi)容
因此����,本發(fā)明的目的是提供用于為在通信網(wǎng)絡(luò)系統(tǒng),相應(yīng)通信網(wǎng)絡(luò)系統(tǒng)和相應(yīng)網(wǎng)絡(luò)實(shí)體中與通信伙伴節(jié)點(diǎn)進(jìn)行通信的終端節(jié)點(diǎn)提供地址保密的方法��,通過該方法能夠消除上述缺點(diǎn)����。
根據(jù)本發(fā)明,這個(gè)目的是例如通過一種方法實(shí)現(xiàn)的����,該方法用于為在通信網(wǎng)絡(luò)系統(tǒng)中與通信伙伴節(jié)點(diǎn)進(jìn)行通信的終端節(jié)點(diǎn)提供地址保密,該通信網(wǎng)絡(luò)系統(tǒng)至少包括第一通信網(wǎng)絡(luò)�,其中通過所述通信網(wǎng)絡(luò)系統(tǒng)通信的各自節(jié)點(diǎn)利用其永久網(wǎng)絡(luò)地址識(shí)別,并能夠利用臨時(shí)網(wǎng)絡(luò)地址尋址���,還包括至少一個(gè)服務(wù)器實(shí)體���,多個(gè)代理實(shí)體,其中每個(gè)所述服務(wù)器實(shí)體保持著所述代理實(shí)體及其各自在該網(wǎng)絡(luò)系統(tǒng)中的地址的記錄�,所述方法包括以下步驟所述終端節(jié)點(diǎn)向所述服務(wù)器實(shí)體發(fā)出地址保密要求�����,在所述服務(wù)器實(shí)體中選擇代理實(shí)體的特定一個(gè)��,這個(gè)選擇基于保持在服務(wù)器實(shí)體的記錄中的數(shù)據(jù)以及所述發(fā)出要求終端節(jié)點(diǎn)的臨時(shí)網(wǎng)絡(luò)地址����,以及在所述終端節(jié)點(diǎn)和所述通信伙伴節(jié)點(diǎn)間通過所選定的一個(gè)代理實(shí)體來通信消息���。
根據(jù)本方法的進(jìn)一步精練,所述請(qǐng)求包括需要與其進(jìn)行通信的通信伙伴節(jié)點(diǎn)的網(wǎng)絡(luò)地址���,所述發(fā)出請(qǐng)求的終端節(jié)點(diǎn)的永久網(wǎng)絡(luò)地址�,以及所述發(fā)出請(qǐng)求的終端節(jié)點(diǎn)的臨時(shí)網(wǎng)絡(luò)地址���,通過該臨時(shí)網(wǎng)絡(luò)地址該節(jié)點(diǎn)在所述通信網(wǎng)絡(luò)系統(tǒng)中可尋址����;基于所述代理實(shí)體被分配的網(wǎng)絡(luò)域��,該代理實(shí)體的所述各自位置是可得到����,所述網(wǎng)絡(luò)域由網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)地址區(qū)間代表�����;所述選擇是以需要與之進(jìn)行通信的所述通信伙伴節(jié)點(diǎn)的已知網(wǎng)絡(luò)地址為基礎(chǔ)的��,該網(wǎng)絡(luò)地址包含在所述請(qǐng)求中�����;所述選擇包括以下步驟第一次檢索由發(fā)出請(qǐng)求終端節(jié)點(diǎn)的臨時(shí)地址所屬的網(wǎng)絡(luò)地址區(qū)間代表的第一網(wǎng)絡(luò)域�����,第二次檢索由通信伙伴節(jié)點(diǎn)所屬的網(wǎng)絡(luò)地址區(qū)間代表的第二網(wǎng)絡(luò)域�����,以及基于所述檢索信息確定所選擇的代理實(shí)體��;該方法還包括一個(gè)步驟在通信消息前將所選擇的代理實(shí)體通知所述發(fā)出請(qǐng)求終端節(jié)點(diǎn)���;該方法還包括以下步驟在所選擇的代理實(shí)體中由所述終端節(jié)點(diǎn)創(chuàng)建該終端節(jié)點(diǎn)的永久網(wǎng)絡(luò)地址與其臨時(shí)網(wǎng)絡(luò)地址間的映射,以及在所述通信伙伴節(jié)點(diǎn)中由所述終端節(jié)點(diǎn)創(chuàng)建該終端節(jié)點(diǎn)的永久網(wǎng)絡(luò)地址與所選擇的代理實(shí)體的地址間的映射�。
根據(jù)本發(fā)明�,這個(gè)目的是例如通過一個(gè)通信網(wǎng)絡(luò)系統(tǒng)被實(shí)現(xiàn)的���,該通信網(wǎng)絡(luò)系統(tǒng)包括至少第一通信網(wǎng)絡(luò)�����,其中通過所述通信網(wǎng)絡(luò)系統(tǒng)通信的各個(gè)節(jié)點(diǎn)利用它的永久網(wǎng)絡(luò)地址識(shí)別并且可以利用臨時(shí)網(wǎng)絡(luò)地址尋址���,至少一個(gè)服務(wù)器實(shí)體,多個(gè)代理實(shí)體��,其中每個(gè)所述服務(wù)器實(shí)體保持所述代理實(shí)體以及它們?cè)谠摼W(wǎng)絡(luò)系統(tǒng)中的地址的記錄���。
根據(jù)該系統(tǒng)的有利的精練,所述代理實(shí)體的各自地址可以基于該代理實(shí)體被分配到的網(wǎng)絡(luò)域而得到�����,所述網(wǎng)絡(luò)域是用在網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址區(qū)間來代表的�;對(duì)于每個(gè)所述通信網(wǎng)絡(luò)來說,存在著與其相關(guān)的一個(gè)服務(wù)器實(shí)體��。
對(duì)于每個(gè)所述通信網(wǎng)絡(luò)來說���,存在著與其相關(guān)的多個(gè)代理實(shí)體���。
根據(jù)本發(fā)明�����,這個(gè)目的是例如通過服務(wù)器實(shí)體來實(shí)現(xiàn)的����,該服務(wù)器實(shí)體包括用于保持多個(gè)代理實(shí)體以及它們?cè)谕ㄐ啪W(wǎng)絡(luò)系統(tǒng)中各自地址的記錄的數(shù)據(jù)庫(kù)單元�,以及用于基于被保持在所述記錄中的數(shù)據(jù)以及發(fā)出請(qǐng)求終端節(jié)點(diǎn)的臨時(shí)網(wǎng)絡(luò)地址來選擇所述代理實(shí)體的特定一個(gè)的處理數(shù)據(jù)庫(kù)單元。
根據(jù)該服務(wù)器實(shí)體有利的精練��,所述代理實(shí)體的各自地址可以基于該代理實(shí)體被分配到的網(wǎng)絡(luò)域而得到��,所述網(wǎng)絡(luò)域是利用網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址區(qū)間來代表的��;所述處理數(shù)據(jù)庫(kù)單元包括選擇數(shù)據(jù)庫(kù)單元����,選擇數(shù)據(jù)庫(kù)單元包括用于檢索由發(fā)出請(qǐng)求終端節(jié)點(diǎn)的臨時(shí)地址所屬的網(wǎng)絡(luò)地址區(qū)間代表的第一網(wǎng)絡(luò)域的第一檢索數(shù)據(jù)庫(kù)單元,用于檢索由通信伙伴節(jié)點(diǎn)的地址所屬的網(wǎng)絡(luò)地址區(qū)間代表的第二網(wǎng)絡(luò)域的第二檢索數(shù)據(jù)庫(kù)單元��,和用于基于所述被檢索到的信息確定將所選擇的代理實(shí)體的確定數(shù)據(jù)庫(kù)單元;所述記錄由網(wǎng)絡(luò)運(yùn)營(yíng)商根據(jù)形成通信網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來配置�;所述記錄由網(wǎng)絡(luò)運(yùn)營(yíng)商根據(jù)形成通信網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來配置,并且所述服務(wù)器實(shí)體用于通過添加來自所述通信網(wǎng)絡(luò)系統(tǒng)內(nèi)的其他服務(wù)器實(shí)體的記錄信息來擴(kuò)展所述記錄�;所述服務(wù)器實(shí)體包括用于接收和發(fā)送用于形成和保持所述記錄的信息,從終端節(jié)點(diǎn)接收請(qǐng)求的傳輸數(shù)據(jù)庫(kù)單元�����,而且還用于向發(fā)出請(qǐng)求終端發(fā)送處理結(jié)果�;所述傳輸數(shù)據(jù)庫(kù)單元用于向所選擇的代理實(shí)體發(fā)送處理結(jié)果。
根據(jù)本發(fā)明�����,這個(gè)目的是例如通過代理實(shí)體來實(shí)現(xiàn)的���,該代理實(shí)體包括存儲(chǔ)器數(shù)據(jù)庫(kù)單元�,該存儲(chǔ)器數(shù)據(jù)庫(kù)單元用于高速緩存識(shí)別終端節(jié)點(diǎn)的永久地址到表示所述終端節(jié)點(diǎn)地址的所述終端節(jié)點(diǎn)的臨時(shí)地址的映射���,以及路由數(shù)據(jù)庫(kù)單元,該路由數(shù)據(jù)庫(kù)單元用于將從所述終端節(jié)點(diǎn)接收的數(shù)據(jù)分組轉(zhuǎn)發(fā)到被尋址的通信伙伴節(jié)點(diǎn)����,并且把從所述通信伙伴接收的數(shù)據(jù)分組轉(zhuǎn)發(fā)到所述終端節(jié)點(diǎn),其中所述轉(zhuǎn)發(fā)是基于在所述存儲(chǔ)器數(shù)據(jù)庫(kù)單元中被高速緩存的映射信息。
根據(jù)本發(fā)明�,這個(gè)目的是例如通過如上面指定的通信網(wǎng)絡(luò)系統(tǒng)的終端節(jié)點(diǎn)來實(shí)現(xiàn)的,該終端節(jié)點(diǎn)用于執(zhí)行上面指定的方法��。
由于本發(fā)明的優(yōu)點(diǎn)��,可以實(shí)現(xiàn)下列優(yōu)點(diǎn)a)能夠?yàn)樵谕ㄐ啪W(wǎng)絡(luò)系統(tǒng)中與通信伙伴節(jié)點(diǎn)通信的終端節(jié)點(diǎn)提供地址保密�;即對(duì)應(yīng)節(jié)點(diǎn)CN沒有關(guān)于移動(dòng)節(jié)點(diǎn)終端地理地址/位置的任何信息,b)在性能方面��,在移動(dòng)終端節(jié)點(diǎn)MN與對(duì)應(yīng)節(jié)點(diǎn)CN間的分組路由基本上象使用了路由最優(yōu)化一樣被優(yōu)化�,這是因?yàn)榈刂繁C艽砦挥贛N和CN之間;不需要通過本地代理的三角形路由或反向隧道����,而且避免了長(zhǎng)的路由路程;c)由于對(duì)于不同的對(duì)應(yīng)節(jié)點(diǎn)根據(jù)該對(duì)應(yīng)節(jié)點(diǎn)的位置使用不同的地址保密代理��,所以在網(wǎng)絡(luò)系統(tǒng)中的流量進(jìn)一步分散了并且在網(wǎng)絡(luò)某部分擁堵的危險(xiǎn)也進(jìn)一步降低了���。
因此本發(fā)明描述了為移動(dòng)節(jié)點(diǎn)提供具有在移動(dòng)節(jié)點(diǎn)與對(duì)應(yīng)節(jié)點(diǎn)間最優(yōu)化過的路由的地址保密的解決方案�。在本文檔中描述的機(jī)制也解決了前面的開銷問題�����。
本發(fā)明的上面的以及其他目的,特征和優(yōu)點(diǎn)將參考附圖變得更加全面清楚����,其中圖1粗略的說明了在通信網(wǎng)絡(luò)NW中用其永久地址MN_PA識(shí)別的,并利用其臨時(shí)轉(zhuǎn)交地址MN_CoA可尋址的移動(dòng)終端MN����。
圖2示出了根據(jù)本發(fā)明的通信網(wǎng)絡(luò)系統(tǒng)NW_SYS的第一個(gè)例子,該系統(tǒng)包括單一的通信網(wǎng)絡(luò)NW_1��。
圖3示出了根據(jù)本發(fā)明的通信網(wǎng)絡(luò)系統(tǒng)NW_SYS的第二個(gè)例子����,該系統(tǒng)包括兩個(gè)通信網(wǎng)絡(luò)NW_1,NW_2�����;圖4示出了與根據(jù)本發(fā)明的方法相關(guān)的在網(wǎng)絡(luò)系統(tǒng)實(shí)體和終端節(jié)點(diǎn)之間涉及的信號(hào)�����;圖5用簡(jiǎn)化的框圖示出了根據(jù)本發(fā)明的服務(wù)器實(shí)體LPS的組件��,以及圖5A示出了在服務(wù)器實(shí)體方保持的記錄的入口的一個(gè)例子���;圖6用簡(jiǎn)化的框圖示出了根據(jù)本發(fā)明的代理實(shí)體LPA的組件�;圖7A�,7B,和7C示出了地址保密請(qǐng)求消息格式的細(xì)節(jié)����;以及圖8A和8B示出了地址保密應(yīng)答消息格式的細(xì)節(jié)。
具體實(shí)施例方式
根據(jù)本發(fā)明���,避免了通過本地代理的三角形路由和反向隧道發(fā)送����。簡(jiǎn)單的說�����,取而代之的是使用多個(gè)地址保密代理LPA中所選定的一個(gè)���,并且路由是通過所選定的地址保密代理(代理實(shí)體)實(shí)現(xiàn)的�。選擇合適的代理實(shí)體是通過與地址保密服務(wù)器LPS(服務(wù)器實(shí)體)協(xié)同工作來實(shí)現(xiàn)的����。
本發(fā)明提供了對(duì)地址保密的一種替代方法���,該方法允許同時(shí)優(yōu)化路由。這種解決方案取決于位于移動(dòng)節(jié)點(diǎn)本地域中的地址保密服務(wù)器(LPS)和分布在不同地址的地址保密代理(LPA)��。該解決方案既不要求對(duì)所述本地代理也不要求對(duì)所述CN進(jìn)行任何修改�。
當(dāng)從CN接收到分組,或開始與CN對(duì)話時(shí)����,如果移動(dòng)節(jié)點(diǎn)也需要地址保密的話,該移動(dòng)節(jié)點(diǎn)向地址保密服務(wù)器發(fā)送地址保密請(qǐng)求��。該移動(dòng)節(jié)點(diǎn)可以被預(yù)先配置地址保密服務(wù)器的地址�,或者能夠向一個(gè)眾所周知的任何映射(anycast)地址發(fā)送該請(qǐng)求。(注意要發(fā)送到任何映射地址的分組被傳遞給由那個(gè)地址識(shí)別的多個(gè)可能節(jié)點(diǎn)中的任何一個(gè)�����,特別是最接近該分組的發(fā)送者的節(jié)點(diǎn)���。)地址保密服務(wù)器將截取該請(qǐng)求并對(duì)其進(jìn)行處理���。所述地址保密請(qǐng)求應(yīng)該受到保護(hù)。例如安全關(guān)聯(lián)可以在MN及其本地網(wǎng)絡(luò)之間預(yù)先建立并被用于保護(hù)這個(gè)消息���。所述地址保密請(qǐng)求應(yīng)該(至少)包含MN的本地地址�����,MN的CoA以及CN地址��。
基于所述MN的CoA以及CN地址�,所述LPS將指派合適的LPA該LPA應(yīng)該盡可能的接近所述CN以便使地址保密有效率����;并且該LPA應(yīng)該這樣被指派,以便MN的CoA和CN地址之間的路由盡可能的被優(yōu)化�����。
所述LPS向所述移動(dòng)節(jié)點(diǎn)發(fā)送地址保密應(yīng)答這個(gè)消息將包括被指派的LPA的地址�。所述地址保密應(yīng)答應(yīng)該受到保護(hù)。地址保密請(qǐng)求和地址保密應(yīng)答的格式在后面將進(jìn)一步詳細(xì)描述����。
然后移動(dòng)節(jié)點(diǎn)向所述LPA發(fā)送綁定更新。這將在LPA中創(chuàng)建MN的CoA和MN本地地址間的綁定高速緩沖存儲(chǔ)器�����,然后它能轉(zhuǎn)發(fā)由CN發(fā)送的分組。
移動(dòng)節(jié)點(diǎn)也能向CN發(fā)送綁定更新來創(chuàng)建MN的本地地址和LPA地址之間的綁定高速緩沖存儲(chǔ)器����。這種IP分組的源被配置為MN的本地地址,并且交替的轉(zhuǎn)交地址選項(xiàng)將發(fā)送LPA地址�;或者分組的源可以簡(jiǎn)單的被配置為L(zhǎng)PA地址。這個(gè)綁定更新將被封裝并且首先通過隧道傳送給LPA����,該LPA將其轉(zhuǎn)發(fā)給CN。這允許繞道入口過濾��。
在這些程序之后���,所述CN將發(fā)送分組給LPA��,該LPA將把它們轉(zhuǎn)發(fā)到MN的CoA中�����;并且所述MN將通過該LPA向CN發(fā)送分組����。這些分組的路由在下面進(jìn)一步討論�����。
當(dāng)移動(dòng)到不同的位置并且改變了CoA時(shí),MN只需要通過綁定更新消息來更新LPA中的綁定高速緩沖存儲(chǔ)器��。
在改變位置多次以后�,所述LPA可能不再是最優(yōu)化的了,并且移動(dòng)節(jié)點(diǎn)因此能夠執(zhí)行這些相同的程序它向提供它的本地地址�����,它的新的轉(zhuǎn)交地址以及CN的地址的LPS發(fā)送地址保密請(qǐng)求�����。然后如果象前面那樣指派了新的LPA�����,該移動(dòng)節(jié)點(diǎn)向所述新的LPA發(fā)送綁定更新并且向CN發(fā)送綁定更新�����,以便用所述新的LPA地址更新它的綁定高速緩沖存儲(chǔ)器���。
這種機(jī)制的安全考慮也將在后邊進(jìn)一步討論�。
隨后本發(fā)明將參考附圖被詳細(xì)描述�����。
圖2示出了根據(jù)本發(fā)明的通信網(wǎng)絡(luò)系統(tǒng)NW_SYS的第一個(gè)例子��。所述系統(tǒng)NW_SYS包括單一通信網(wǎng)絡(luò)NW_1����。根據(jù)本發(fā)明作為服務(wù)器實(shí)體的地址保密服務(wù)器LPS_1與該網(wǎng)絡(luò)NW_1相關(guān)聯(lián)。另外�,還有多個(gè)也被稱為地址保密代理LPA_1,...�,LPA_n的代理實(shí)體與網(wǎng)絡(luò)NW_1相關(guān)聯(lián)。(注意并不排除服務(wù)器實(shí)體LPS和代理實(shí)體可能具有相同的物理位置或在一起�。)由其永久地址MN_PA識(shí)別的移動(dòng)終端節(jié)點(diǎn)MN通過所述通信網(wǎng)絡(luò)系統(tǒng)NW_SYS,或通過所述通信網(wǎng)絡(luò)NW_1�,各自與由其永久地址CN_PA識(shí)別的通信伙伴節(jié)點(diǎn)CN(也被稱為對(duì)應(yīng)節(jié)點(diǎn))通信。該通信用MN與CN之間的實(shí)線雙向箭頭標(biāo)明��。(因此����,在圖2所示的例子中根據(jù)本發(fā)明已經(jīng)選定了LPA_2)。在圖2的例子中,可以假設(shè)NW_1對(duì)于終端節(jié)點(diǎn)MN是本地網(wǎng)絡(luò)��,而對(duì)于對(duì)應(yīng)節(jié)點(diǎn)CN��,網(wǎng)絡(luò)NW_1既可以是本地網(wǎng)絡(luò)也可以是被接入網(wǎng)絡(luò)�。然而,NW_1對(duì)于終端節(jié)點(diǎn)MN也可以是被接入網(wǎng)絡(luò)����。
注意,盡管沒有標(biāo)出來���,LPA自然也與網(wǎng)絡(luò)NW_1相連。另外���,正如用帶點(diǎn)的虛線表示的那樣�,該網(wǎng)絡(luò)地址空間被分為域�����。即���,每個(gè)域?qū)?yīng)于在該網(wǎng)絡(luò)中可用的地址的特定地址區(qū)間��。正如圖2所示�����,對(duì)每個(gè)域都有一個(gè)相關(guān)聯(lián)的一個(gè)LPA�。當(dāng)然,多于四個(gè)域����,一般可以定義n個(gè)域,取決于地址空間劃分的大小和/或提供給網(wǎng)絡(luò)NW_1的代理實(shí)體數(shù)目����。對(duì)于本發(fā)明域/地址區(qū)間的意義將連同圖5和5A一起詳細(xì)陳述。
圖3示出了根據(jù)本發(fā)明的通信網(wǎng)絡(luò)系統(tǒng)NW_SYS的第二個(gè)例子�����。圖3所示系統(tǒng)包括兩個(gè)通信網(wǎng)絡(luò)NW_1�,NW_2,如NW_1和NW_2之間的虛線表示那樣相互連接��。但是�,本發(fā)明并不局限在兩個(gè)網(wǎng)絡(luò),選擇圖3的說明是為了使說明簡(jiǎn)單��。另外,為了使附圖簡(jiǎn)單����,上面圖2所示的對(duì)一個(gè)網(wǎng)絡(luò)的域分割在圖3中被省略。但是各個(gè)網(wǎng)絡(luò)的域相互是可區(qū)分的����,例如通過地址的網(wǎng)絡(luò)特定前綴。如圖3所示�����,網(wǎng)絡(luò)數(shù)目�����,服務(wù)器實(shí)體數(shù)目以及代理實(shí)體數(shù)目都是“雙倍的”�����。對(duì)應(yīng)于網(wǎng)絡(luò)NW_1有一個(gè)地址保密服務(wù)器實(shí)體LPS_1以及地址保密代理實(shí)體LPA_11�,...�����,LPA_1n,而對(duì)應(yīng)于網(wǎng)絡(luò)NW_2有一個(gè)地址保密服務(wù)器實(shí)體LPA_2以及地址保密代理實(shí)體LPA_21����,...,LPA_2i����。根據(jù)圖3,移動(dòng)終端節(jié)點(diǎn)MN通過NW_2以及選定的代理實(shí)體LPA_22與通信伙伴節(jié)點(diǎn)CN通信�,如實(shí)線雙向箭頭所示。
盡管圖3說明了i=n的情況���,即每個(gè)網(wǎng)絡(luò)具有相同數(shù)量的代理實(shí)體�����,但本發(fā)明并不局限此���。n不需要等于i并且n,i對(duì)每個(gè)網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)配置單獨(dú)被確定��,并且取決于網(wǎng)絡(luò)的大小和/或網(wǎng)絡(luò)用戶數(shù)目�����,和/或可用地址空間等。
盡管對(duì)每個(gè)網(wǎng)絡(luò)顯示了單一服務(wù)器實(shí)體LPS_1���,LPS_2����,但是也能提供多于一個(gè)的物理地址保密服務(wù)器實(shí)體�����。不過�,不管只作為單一實(shí)體還是作為分布實(shí)體被提供,服務(wù)器實(shí)體必須被視為網(wǎng)絡(luò)系統(tǒng)中每個(gè)網(wǎng)絡(luò)的單一功能服務(wù)器實(shí)體��。
注意到如果系統(tǒng)中出現(xiàn)多于一個(gè)LPS����,例如如圖3所示,服務(wù)器實(shí)體相互間可以通信以相互了解他們保持的記錄的各自內(nèi)容�����。這可以通過以下途徑來實(shí)現(xiàn)一個(gè)特定服務(wù)器實(shí)體向其他服務(wù)器實(shí)體發(fā)出請(qǐng)求�����,或每個(gè)服務(wù)器實(shí)體向其他服務(wù)器實(shí)體廣播/發(fā)布它的信息���。注意到不是全部記錄內(nèi)容都必須交換�����,但是一旦其他服務(wù)器實(shí)體了解了全部記錄���,就能夠有規(guī)律的通知其他服務(wù)器關(guān)于發(fā)生在記錄中的變化。
圖4說明了與根據(jù)本發(fā)明的方法相關(guān)的涉及網(wǎng)絡(luò)系統(tǒng)實(shí)體和終端節(jié)點(diǎn)之間的信號(hào)�。發(fā)起與通信伙伴節(jié)點(diǎn)CN進(jìn)行具有地址保密的通信的移動(dòng)終端節(jié)點(diǎn)MN被排列在圖4的水平方向上。根據(jù)本發(fā)明���,在建立地址保密中��,涉及地址保密服務(wù)器LPS(服務(wù)器實(shí)體)和多個(gè)地址保密代理LPA中的一個(gè)���。
隨后,根據(jù)本發(fā)明的方法將參考圖4被描述�����。要注意的是��,在圖4中,節(jié)點(diǎn)與實(shí)體之間交換的消息用水平箭頭表示�����,而箭頭從上到下的垂直排列代表消息在時(shí)間上的連續(xù)順序���。
所述方法在步驟S41處開始��。在步驟S41中�,移動(dòng)終端節(jié)點(diǎn)MN向地址保密服務(wù)器實(shí)體LPS發(fā)出一個(gè)地址保密請(qǐng)求LOC_Priv_Req���。
這可以是終端MN本地網(wǎng)絡(luò)的LPS�����。作為替代�,這也可以是當(dāng)前被終端MN接入的網(wǎng)絡(luò)的LPS���。該MN能夠或者預(yù)先配置了LPS的地址或者能夠知道它LPS的地址能夠例如被廣播或MN能夠發(fā)現(xiàn)它��,例如發(fā)送請(qǐng)求到眾所周知的任何映射地址�����。在步驟S41中發(fā)送的請(qǐng)求包含通信伙伴節(jié)點(diǎn)的CN地址CN以及終端節(jié)點(diǎn)MN的永久地址(MN_PA)和臨時(shí)地址(MN_CoA)�。
當(dāng)LPS接收到該請(qǐng)求時(shí)��,LPS評(píng)價(jià)該請(qǐng)求����,在步驟S42中選擇合適的地址保密代理LPA用于在移動(dòng)終端節(jié)點(diǎn)MN和通信伙伴節(jié)點(diǎn)CN之間進(jìn)行通信?��;旧?�,服務(wù)器實(shí)體LPS保持關(guān)于所述代理實(shí)體LPA及其各自在網(wǎng)絡(luò)系統(tǒng)中的位置的記錄��,而且基于保持在所述服務(wù)器實(shí)體的記錄中的數(shù)據(jù)和包含在請(qǐng)求中的MN_CoA來選擇所述代理實(shí)體中的特定一個(gè)����。
根據(jù)選擇的精練��,該選擇包括以下步驟選擇��,包括第一次檢索由發(fā)出請(qǐng)求的終端節(jié)點(diǎn)MN的臨時(shí)地址MN_CoA所屬的網(wǎng)絡(luò)地址區(qū)間代表的第一網(wǎng)絡(luò)域�,第二次檢索由通信伙伴節(jié)點(diǎn)CN的地址CN_A所屬的網(wǎng)絡(luò)地址區(qū)間代表的第二網(wǎng)絡(luò)域,和基于所述被檢索的信息確定所選定的代理實(shí)體(LPA)�。
基本上���,LPA的選擇是基于MN_CoA和CN地址,通過LPS盡可能的試圖匹配這些地址來實(shí)現(xiàn)的�,與IP路由相似。換言之��,LPA是這樣被選擇的�����,即如果選定了���,就要達(dá)到發(fā)出請(qǐng)求的MN(MN_CoA)與被尋址的CN之間的路由的最優(yōu)化���。選擇過程的進(jìn)一步詳情將在后面參考一個(gè)例子與圖5和5A一起描述。
選擇合適的代理實(shí)體LPA后���,在步驟S43中���,服務(wù)器實(shí)體LPS返回一個(gè)地址保密應(yīng)答Loc_Priv_Resp到發(fā)出請(qǐng)求的終端節(jié)點(diǎn)MN。該應(yīng)答向終端節(jié)點(diǎn)MN說明所選擇的代理實(shí)體LPA的網(wǎng)絡(luò)地址LPA_Addr�����。既然地址保密代理實(shí)體根據(jù)他們?cè)诰W(wǎng)絡(luò)中的位置/地址是固定的代理實(shí)體,所以他們可以用固定的永久地址來唯一的識(shí)別和尋址����。
另外�,在步驟S43a中,服務(wù)器實(shí)體LPS也可以通知所選擇的代理實(shí)體LPA關(guān)于它被選擇用于在終端節(jié)點(diǎn)MN和通信伙伴節(jié)點(diǎn)CN間隨后的通信消息路由的狀態(tài)�����。在這種情況下�,代理實(shí)體可以已經(jīng)發(fā)起了用于進(jìn)一步通信的合適的準(zhǔn)備措施。
在步驟S44中���,移動(dòng)終端節(jié)點(diǎn)MN發(fā)送消息(例如綁定更新)到所選擇的代理實(shí)體LPA�。這個(gè)所述終端節(jié)點(diǎn)發(fā)出的消息在所選擇的代理實(shí)體LPA中創(chuàng)建了終端節(jié)點(diǎn)的永久地址(MN_PA)和其臨時(shí)網(wǎng)絡(luò)地址(MN_CoA)之間的映射�。因此,當(dāng)把消息從代理實(shí)體LPA處轉(zhuǎn)發(fā)和/或路由到終端節(jié)點(diǎn)MN時(shí)����,被尋址到移動(dòng)終端節(jié)點(diǎn)的永久地址MN_PA的消息被路由到它的臨時(shí)地址MN_CoA。
在代理實(shí)體LPA處“解壓縮”的����、從代理實(shí)體LPA轉(zhuǎn)發(fā)到通信伙伴節(jié)點(diǎn)CN的其他消息(例如綁定更新消息)(S45)被包含和/或封裝在S44的消息中(或添加在其中)�。步驟S45中的綁定更新包括移動(dòng)終端節(jié)點(diǎn)MN的永久地址和所選擇的地址保密代理實(shí)體地址LPA_Addr���。因此�����,從通信伙伴節(jié)點(diǎn)CN向移動(dòng)終端節(jié)點(diǎn)MN傳送的消息/分組被路由到地址保密代理的地址�����,這個(gè)地址對(duì)于通信伙伴節(jié)點(diǎn)CN表現(xiàn)為移動(dòng)終端節(jié)點(diǎn)MN的CoA地址����。換言之�����,步驟S45中的消息(例如綁定更新)創(chuàng)建終端節(jié)點(diǎn)的永久網(wǎng)絡(luò)地址MN_PA和所選擇的代理實(shí)體的永久地址LPA_Addr之間的映射�,這是由所述終端節(jié)點(diǎn)MN在所述通信伙伴節(jié)點(diǎn)CN處發(fā)起的。由消息(例如綁定更新)實(shí)現(xiàn)的地址的各自映射被高速緩沖存儲(chǔ)在寄存器單元的代理實(shí)體LPA中���,并且被用于在終端節(jié)點(diǎn)MN���,CN之間路由消息�����。
注意到消息(例如綁定更新)��,S44����,S45能夠在適當(dāng)?shù)墓?jié)點(diǎn)間被驗(yàn)證S44在MN和LPA之間�����,而S45在MN和CN之間�。建立驗(yàn)證將在后面與安全考慮一起被粗略的描述�。不過還注意到,用于驗(yàn)證的密鑰可以被靜態(tài)的設(shè)定或者用一個(gè)已經(jīng)在不同因特網(wǎng)草案中被描述的�����,已存在的驗(yàn)證機(jī)制中的一個(gè)來建立����。另外�����,消息S44和S45也能夠通過在步驟S44a和S45a中返回一個(gè)確認(rèn)消息ACK分別被確認(rèn)��。
然后���,正如前面描述的已經(jīng)創(chuàng)建了地址映射,在步驟S46中終端節(jié)點(diǎn)MN�����,CN通過所選擇的LPA相互進(jìn)行通信����。因此,節(jié)點(diǎn)CN把LPA網(wǎng)絡(luò)地址(例如在基于IP的通信網(wǎng)絡(luò)中它的IP地址)視為移動(dòng)節(jié)點(diǎn)MN的臨時(shí)地址MN_CoA��。
在通信中��,當(dāng)終端節(jié)點(diǎn)MN發(fā)送分組到通信伙伴節(jié)點(diǎn)CN時(shí)����,它首先將這些分組通過隧道傳送到所選擇的LPA。這就保證源地址的有效性���,并且實(shí)現(xiàn)入口過濾�����。然后LPA剝離并且基于(已解壓縮)內(nèi)部分組的首標(biāo)表明的地址把這些分組轉(zhuǎn)發(fā)到節(jié)點(diǎn)CN����。
注意,“通過隧道傳送”意味著原分組作為內(nèi)部分組被封裝在外部分組之中�。
外部首標(biāo)具有LPA地址作為目的地址,而MN_CoA作為源地址�,其中內(nèi)部首標(biāo)具有CN地址作為目的地址,而MN_PA作為源地址����。
當(dāng)CN為MN向LPA發(fā)送一個(gè)分組時(shí)�����,這個(gè)分組�����,例如通過移動(dòng)IPv6指定��,傳送包含MN本地地址或永久地址MN_PA的路由首標(biāo)。根據(jù)它創(chuàng)建的綁定高速緩沖存儲(chǔ)器�����,目的地址是LPA的IP地址����。當(dāng)接收到分組時(shí),LPA查看路由首標(biāo)并且從綁定得知它轉(zhuǎn)發(fā)分組的相應(yīng)CoA這可以用通過隧道傳送或區(qū)域性轉(zhuǎn)發(fā)來實(shí)現(xiàn)��。換言之��,從節(jié)點(diǎn)CN轉(zhuǎn)發(fā)到所選擇的LPA的分組包含CN地址作為源地址����,地址保密代理地址LPA_Addr作為目的地址,并且在路由首標(biāo)中包括MN_PA��,移動(dòng)節(jié)點(diǎn)MN的永久地址���。這樣被結(jié)構(gòu)化的分組由LPA進(jìn)一步處理和/或路由到MN���,這樣從LPA流出的分組-或者指出LPA作為它的源地址,以及終端節(jié)點(diǎn)MN的臨時(shí)地址CoA���,即MN_CoA���,作為目的地址�,并且包括包含有效負(fù)載的內(nèi)部分組-或者LPA用目的地址代替MN_CoA����。
圖5用簡(jiǎn)化的框圖示出了根據(jù)本發(fā)明的服務(wù)器實(shí)體LPS的組件。如圖所示�����,服務(wù)器實(shí)體LPS用于利用傳輸數(shù)據(jù)庫(kù)單元與移動(dòng)終端節(jié)點(diǎn)MN和/或網(wǎng)絡(luò)進(jìn)行通信��。所述傳輸數(shù)據(jù)庫(kù)單元與處理數(shù)據(jù)庫(kù)單元相連����。所述處理數(shù)據(jù)庫(kù)單元又與數(shù)據(jù)庫(kù)單元相關(guān)聯(lián)。
所述處理數(shù)據(jù)庫(kù)單元按順序包括檢測(cè)數(shù)據(jù)庫(kù)單元��,寫入數(shù)據(jù)庫(kù)單元和檢索/比較/確定數(shù)據(jù)庫(kù)單元����。所述檢測(cè)數(shù)據(jù)庫(kù)單元通過所述傳輸數(shù)據(jù)庫(kù)單元的接收功能接收輸入消息和/或數(shù)據(jù)����,并且檢測(cè)接收到的數(shù)據(jù)是否代表例如地址保密請(qǐng)求(圖4�,步驟S41)�,或者接收到的數(shù)據(jù)是否是關(guān)于所述代理實(shí)體LPA及其在網(wǎng)絡(luò)系統(tǒng)中各自的位置的數(shù)據(jù),和/或關(guān)于可用于通信的節(jié)點(diǎn)CN及其在通信網(wǎng)絡(luò)系統(tǒng)中各自的地址的數(shù)據(jù)�。檢測(cè)可以以各個(gè)消息中的首標(biāo)信息為基礎(chǔ)來實(shí)現(xiàn)。要注意的是���,所述代理實(shí)體的各自地址可以基于該代理實(shí)體被分配的網(wǎng)絡(luò)域而得到��,所述網(wǎng)絡(luò)域由網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址區(qū)間來代表���。
如果已接收的數(shù)據(jù)關(guān)系到數(shù)據(jù)庫(kù)單元的記錄,那么把該數(shù)據(jù)提供給寫入數(shù)據(jù)庫(kù)單元�,該寫入數(shù)據(jù)庫(kù)單元寫和/或更新數(shù)據(jù)庫(kù)單元的記錄。即�����,用代理實(shí)體信息和通信終端節(jié)點(diǎn)(地址��,地址區(qū)間)信息來更新記錄�����。
如果被接收的數(shù)據(jù)關(guān)系到地址保密請(qǐng)求,則把他們提供給檢索�,比較和確定數(shù)據(jù)庫(kù)單元。分析位于請(qǐng)求中的MN_CoA地址以獲知MN目前在哪個(gè)域中��。相似的����,基于請(qǐng)求中通信伙伴節(jié)點(diǎn)CN的地址,節(jié)點(diǎn)CN的位置�����,即它目前所在域���,從記錄中被檢索(如果被尋址的節(jié)點(diǎn)是可用的)���。換言之,核對(duì)包含在請(qǐng)求中的地址CN_PA(圖4中步驟S41)是否與位于數(shù)據(jù)庫(kù)單元的記錄中的域入口的一個(gè)匹配�。
在隨后的步驟中,基于為MN和CN檢索的域信息����,代理實(shí)體從數(shù)據(jù)庫(kù)單元的記錄中被選擇出來���?����;旧?���,基于節(jié)點(diǎn)CN的位置與代理實(shí)體LPA的地址間的距離,選擇最接近通信伙伴節(jié)點(diǎn)CN的代理實(shí)體作為合適的地址保密代理�����,這樣來優(yōu)化發(fā)出請(qǐng)求的節(jié)點(diǎn)MN和被呼叫節(jié)點(diǎn)CN間的路由����。
假設(shè)在圖3中終端節(jié)點(diǎn)MN要求與通信伙伴節(jié)點(diǎn)CN進(jìn)行地址保密的通信,作為服務(wù)器核對(duì)的結(jié)果����,地址保密代理LPA_22將作為最近的代理實(shí)體被選擇。(服務(wù)器核對(duì)可以包括核對(duì)服務(wù)器LPS_1和LPS_2的聯(lián)合數(shù)據(jù)庫(kù)記錄�,如上面略述的那樣)。
在這個(gè)假設(shè)的例子中�����,所選擇的代理實(shí)體LPA_22的地址通過檢索,比較和確定數(shù)據(jù)庫(kù)單元被檢索并且從這兒輸出到傳輸數(shù)據(jù)庫(kù)單元�����。
然后傳輸數(shù)據(jù)庫(kù)單元向移動(dòng)終端MN提供地址保密應(yīng)答(圖4中的步驟S43)和/或可選的所選擇的代理實(shí)體LPA_22的通知(圖4中的步驟S43a)��。
圖5A更詳細(xì)的示出了LPS的數(shù)據(jù)庫(kù)記錄的一個(gè)例子����。正如在圖5中已經(jīng)略述的一樣,該記錄包括三列��?�;谄渲邪男畔?,使合適的LPA能夠以這樣一種方式被選擇,即��,它從請(qǐng)求地址保密的MN處到通信伙伴節(jié)點(diǎn)CN處被檢索���。這主要是以涉及到的節(jié)點(diǎn)的地址為基礎(chǔ)����,正如參考圖5A的解釋。分析MN_CoA并且基于在域級(jí)別上的地址(地址區(qū)間)來檢索MN的位置��。相似的����,基于在域級(jí)別上的地址來檢索被呼叫節(jié)點(diǎn)CN的位置����。基于被檢索的域級(jí)別����,記錄就包含所選擇的合適LPA的入口。因此����,基于MN_CoA和CN地址,能夠選擇最接近CN的LPA��,但也能選擇優(yōu)化MN_CoA和CN地址之間路由的一個(gè)LPA�����。
例如在圖5A中���,MN_CoA位于域#1中����,而CN地址位于域#3中,于是選擇LPA#3��。另一方面����,MN_CoA位于域#2中,而CN地址位于域#3中��,那么就選擇LPA#1����。
因此,為了優(yōu)化路由基于MN_CoA地址和CN地址選擇LPA���。(注意���,圖5A中的例子并不是必須與例如圖2和3中的例子一致,而是獨(dú)立于這些圖的�����。)圖6用簡(jiǎn)化的框圖示出了根據(jù)本發(fā)明的代理實(shí)體LPA的組件。如前面提到的那樣�����,地址保密代理基本上用做移動(dòng)終端節(jié)點(diǎn)MN和通信伙伴CN之間或反向的路由器����。如圖6所示�����,地址保密代理包括與寄存器數(shù)據(jù)庫(kù)單元相連的路由數(shù)據(jù)庫(kù)單元�。該寄存器數(shù)據(jù)庫(kù)單元包括如前面描述的與創(chuàng)建綁定相關(guān)聯(lián)的地址映射。即��,用于MN->CN轉(zhuǎn)發(fā)方向的剝離功能和用于CN->MN轉(zhuǎn)發(fā)方向的地址映射�,這樣他們的重復(fù)描述是多余的。
另外���,這也是可以理解�����,即根據(jù)上面的描述通信網(wǎng)絡(luò)系統(tǒng)的諸如MN的每個(gè)地址保密請(qǐng)求終端節(jié)點(diǎn)用于實(shí)現(xiàn)前面描述的方法��。
分組格式根據(jù)本發(fā)明的解決方案要求在MN和地址保密服務(wù)器之間交換的兩個(gè)新的消息(地址保密請(qǐng)求�����,地址保密應(yīng)答)以獲得地址保密代理�。這些消息可以是例如在圖7(7A,7B����,7C)和圖8(8A,8B)中詳細(xì)描述的兩個(gè)新的UDP消息�。
地址保密請(qǐng)求消息[圖7(7A,7B�,7C)]移動(dòng)節(jié)點(diǎn)使用地址保密請(qǐng)求消息來獲得地址保密代理。該移動(dòng)節(jié)點(diǎn)或者在不知道任何LPS地址的情況下向預(yù)先定義的眾所周知的任何映射地址����,或者在其被預(yù)先配置了一個(gè)LPS地址的情況下向LPS的單一映射地址發(fā)送地址保密請(qǐng)求消息。該消息應(yīng)該傳送移動(dòng)節(jié)點(diǎn)的本地地址以及它的轉(zhuǎn)交地址和對(duì)應(yīng)節(jié)點(diǎn)的地址�����。然后LPS用地址保密應(yīng)答消息來向移動(dòng)節(jié)點(diǎn)作出反應(yīng)����,該消息給出了被指派的LPA的地址�����。
地址保密應(yīng)答消息[圖8(8A����,8B)]地址保密應(yīng)答消息響應(yīng)地址保密請(qǐng)求消息被發(fā)送���。LPS向移動(dòng)節(jié)點(diǎn)通知被指派的LPA��。
協(xié)議細(xì)節(jié)從移動(dòng)節(jié)點(diǎn)到對(duì)應(yīng)節(jié)點(diǎn)的分組路由
MN不應(yīng)該以CoA作為源IP地址向CN發(fā)送分組;否則��,CN將能夠從這些接收到的分組的源地址中檢索到關(guān)于MN地址的信息�。
但是來自MN的流出分組必須將他們的源地址作為CoA來繞道入口過濾。
正如先前上面描述的那樣�����,因此MN應(yīng)該首先向LPA發(fā)送它的分組���?���?梢杂袃煞N選擇1)第一種,來自于MN的分組可以這樣被發(fā)送把源IP地址配置為MN的LPA地址��,而目的IP地址被配置為CN地址�;這些分組將首先根據(jù)外部首標(biāo)通過隧道被傳送到LPA,該外部首標(biāo)被配置為源IP地址等于MN的CoA���,并且目的IP地址指向LPA地址�����。然后LPA將剝離這些分組然后把他們路由到CN�����,CN將不會(huì)知道MN的CoA而相信分組是來自于LPA地址的�����。這個(gè)第一種選擇只取決于IP路由能力�,并且只要求LPA能夠封裝/剝離IP分組���。但是其不足在于����,從MN來的分組具有兩個(gè)首標(biāo)。在一些資源有限或昂貴的接入線路中���,這是不可取的����。
2)第二種選擇以LPA處更多的處理為代價(jià)來解決這個(gè)問題MN發(fā)送分組���,該分組包含--配置為MN的CoA的源IP地址--配置為L(zhǎng)PA地址的目的IP地址--具有CN的地址的路由首標(biāo)目的選項(xiàng)--本地地址目的選項(xiàng)接收到分組后����,LPA驗(yàn)證它是否具有用于這個(gè)MN的含有相應(yīng)本地地址和CoA的綁定高速緩沖存儲(chǔ)器�����,如果驗(yàn)證成功的話--用目的IP地址替代在路由首標(biāo)中傳送的CN的地址--為不能識(shí)別MN的CoA的CN去除路由首標(biāo)目的選項(xiàng)--用源IP地址替代LPA地址從CN到MN的分組傳送從對(duì)應(yīng)節(jié)點(diǎn)發(fā)送到移動(dòng)節(jié)點(diǎn)的分組將與傳送了移動(dòng)節(jié)點(diǎn)的本地地址的路由首標(biāo)一起被發(fā)送到LPA���。
由于這個(gè)MN的本地地址,LPA能夠檢索MN的CoA并把它轉(zhuǎn)發(fā)到MN����。所述LPA可以--或者,直接用隧道把分組發(fā)送到MN的CoA(但是其缺點(diǎn)在于存在附加的IP首標(biāo),這在某些帶寬有限的接入線路中是不可取的)--或者用被配置為L(zhǎng)PA地址的目的IP地址字段替代MN的CoA��。
安全考慮地址保密請(qǐng)求/應(yīng)答消息的安全地址保密請(qǐng)求和地址保密應(yīng)答消息應(yīng)該至少被鑒別��,并且最后被加密�。既然這些消息被定義為新的UDP消息,所以AH和ESP可以不需對(duì)這些協(xié)議進(jìn)行任何修改的被應(yīng)用另外����,CN和LPA的地址能夠被加密。移動(dòng)節(jié)點(diǎn)和LPS可以或者具有一個(gè)預(yù)先建立的安全關(guān)聯(lián)或者可以用諸如IKE或其他合適的協(xié)議來動(dòng)態(tài)的建立它���。
綁定更新消息的安全正如移動(dòng)IP要求的那樣�,從移動(dòng)節(jié)點(diǎn)發(fā)送到LPA和發(fā)送到CN的綁定更新消息必須用合適的安全關(guān)聯(lián)被鑒別����。如果需要在MN和LPA之間進(jìn)行徹底的鑒別,那么當(dāng)指派LPA時(shí)���,LPS也可以作為密鑰發(fā)布中心并且在地址保密應(yīng)答中向MN發(fā)送某些密鑰元素����,并且發(fā)送相應(yīng)的對(duì)話密鑰給LPA�����。
MN和LPA也可以有一個(gè)預(yù)先建立的安全關(guān)聯(lián)。
至于鑒別MN和CN之間的綁定更新�����,這個(gè)并不受影響根據(jù)策略和能力MN應(yīng)該使用它與CN已經(jīng)建立的安全關(guān)聯(lián)�。
端到端協(xié)議必須注意,如果MN和CN使用ESP或AH來保護(hù)他們的數(shù)據(jù)�,這個(gè)地址保密機(jī)制并不破壞端到端安全。
鑒別數(shù)據(jù)的計(jì)算與被用來路由在移動(dòng)接點(diǎn)和對(duì)應(yīng)節(jié)點(diǎn)之間被交換的分組的機(jī)制無關(guān)(參考上邊����,隧道vs.LPA處的處理),移動(dòng)節(jié)點(diǎn)應(yīng)該--對(duì)于傳出的分組�,當(dāng)被對(duì)應(yīng)節(jié)點(diǎn)接收時(shí),基于分組來計(jì)算鑒別數(shù)據(jù)--對(duì)于傳入的分組�����,當(dāng)被對(duì)應(yīng)節(jié)點(diǎn)發(fā)送時(shí)��,基于分組來驗(yàn)證鑒別數(shù)據(jù)�����。
這樣��,總的來說���,在例如IPv6終端MN和目的節(jié)點(diǎn)CN之間的通信中�����,如果使用路由優(yōu)化�,MN的地址可以通過它的(臨時(shí))IPv6地址(轉(zhuǎn)交地址)來被確定����。一個(gè)避免這種情況的優(yōu)先解決方法是通過本地代理轉(zhuǎn)發(fā)任何通信量,這樣將隱藏MN的IPv6地址不讓CN知道����。從MN到CN的分組,以及從CN到MN的分組二者都需要經(jīng)過本地代理來提供地址保密來自MN的分組需要經(jīng)過本地代理以便不把MN_CoA暴露給CN�����,并且繞道入口過濾而來自CN的分組需要經(jīng)過本地代理是為了能夠被傳送到MN�。這些路由機(jī)制,也被稱作三角形路由和反向隧道發(fā)送��,可能暗含了長(zhǎng)的通信距離。
上面描述的本發(fā)明提供了一種提供地址保密同時(shí)避免了這些長(zhǎng)的路徑的方法�。MN向特定的地址保密服務(wù)器發(fā)送地址保密請(qǐng)求消息。LPS指派一個(gè)特定的地址保密代理��,它將代替HA在隱藏UEIPv6地址中被使用�����。LPA的物理地址將盡可能接近CN的被確定��,并且盡可能接近MN-CN路徑��,以避免在路徑CN=>LPA=>MN中長(zhǎng)的通信距離����。
因此,正如這里上邊已經(jīng)描述的那樣�����,本發(fā)明涉及一種用于為在通信網(wǎng)絡(luò)系統(tǒng)中與通信伙伴節(jié)點(diǎn)CN進(jìn)行通信的終端節(jié)點(diǎn)MN提供地址保密的方法�����,所述通信網(wǎng)絡(luò)系統(tǒng)包括至少第一通信網(wǎng)絡(luò)HN���,VN���,其中通過所述通信網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信的各個(gè)節(jié)點(diǎn)MN用其永久網(wǎng)絡(luò)地址MN_PA識(shí)別并且用臨時(shí)網(wǎng)絡(luò)地址MN_CoA是可尋址的,至少一個(gè)服務(wù)器實(shí)體LPS�����,多個(gè)代理實(shí)體LPA1����,...,LPAn���,其中每個(gè)所述服務(wù)器實(shí)體LPS保持關(guān)于所述代理實(shí)體LPA1����,...�����,LPAn以及他們各自在網(wǎng)絡(luò)系統(tǒng)中的位置的記錄����,所述方法包括以下步驟由所述終端節(jié)點(diǎn)MN為了地址保密向所述服務(wù)器實(shí)體LPS發(fā)出請(qǐng)求S41����,在所述服務(wù)器實(shí)體LPS處�����,基于所述服務(wù)器實(shí)體的記錄中保持的數(shù)據(jù)和所述發(fā)出請(qǐng)求的終端節(jié)點(diǎn)的臨時(shí)網(wǎng)絡(luò)地址�����,來選擇所述代理實(shí)體LPA1����,...,LPAn中特定的一個(gè)(S42)�,以及在所述終端節(jié)點(diǎn)MN和所述通信伙伴節(jié)點(diǎn)CN之間通過被選擇的代理實(shí)體中的一個(gè)LPA來通信消息S46。本發(fā)明也涉及相應(yīng)的網(wǎng)絡(luò)系統(tǒng)��,服務(wù)器實(shí)體��,代理實(shí)體以及終端節(jié)點(diǎn)���。
盡管這里在上面已經(jīng)參考本發(fā)明的優(yōu)選實(shí)施例描述了本發(fā)明���,但可以理解的是���,可以對(duì)其進(jìn)行大量的改動(dòng)而不會(huì)違背本發(fā)明的精神和范圍。所有這樣的改動(dòng)都將包含在附加的權(quán)利要求的范圍內(nèi)�����。
特別是�,為本發(fā)明的不同單個(gè)方面描述的選項(xiàng)可以相互結(jié)合�,除非明確的提到這種結(jié)合是不可行的。
權(quán)利要求
1.一種在通信網(wǎng)絡(luò)系統(tǒng)中為與通信伙伴節(jié)點(diǎn)(CN)進(jìn)行通信的終端節(jié)點(diǎn)(MN)提供地址保密的方法�,所述通信網(wǎng)絡(luò)系統(tǒng)包括至少第一通信網(wǎng)絡(luò)(HN,VN)��,其中通過所述通信網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信的各個(gè)節(jié)點(diǎn)(MN)利用它的永久網(wǎng)絡(luò)地址(MN_PA)來識(shí)別���,并且可以利用臨時(shí)網(wǎng)絡(luò)地址(MN_CoA)進(jìn)行尋址�����,至少一個(gè)服務(wù)器實(shí)體(LPS)�����,多個(gè)代理實(shí)體(LPA1�����,…�,LPAn),其中每個(gè)所述服務(wù)器實(shí)體(LPS)保持關(guān)于所述代理實(shí)體(LPA1��,…�,LPAn)以及它們?cè)谒鼍W(wǎng)絡(luò)系統(tǒng)中各自位置的記錄,所述方法包括以下步驟所述終端節(jié)點(diǎn)(MN)為了地址保密向所述服務(wù)器實(shí)體(LPS)發(fā)出請(qǐng)求(S41)�,在所述服務(wù)器實(shí)體(LPS)中,基于保持在所述服務(wù)器實(shí)體的記錄中的數(shù)據(jù)以及所述發(fā)出請(qǐng)求的終端節(jié)點(diǎn)的臨時(shí)網(wǎng)絡(luò)地址���,選擇所述代理實(shí)體(LPA1����,…����,LPAn)中的特定一個(gè)(S42),以及在所述終端節(jié)點(diǎn)(MN)和所述通信伙伴節(jié)點(diǎn)(CN)之間����,通過所選擇的一個(gè)所述代理實(shí)體通信消息(S46)。
2.根據(jù)權(quán)利要求1的方法,其中所述請(qǐng)求包括需要與其進(jìn)行通信的所述通信伙伴節(jié)點(diǎn)(CN)的網(wǎng)絡(luò)地址�����,所述請(qǐng)求終端節(jié)點(diǎn)(MN)的永久網(wǎng)絡(luò)地址(MN_PA)����,以及所述發(fā)出請(qǐng)求的終端節(jié)點(diǎn)(MN)的臨時(shí)網(wǎng)絡(luò)地址(MN_CoA),通過所述臨時(shí)地址可以在所述通信網(wǎng)絡(luò)系統(tǒng)中對(duì)所述終端節(jié)點(diǎn)進(jìn)行尋址�。
3.根據(jù)權(quán)利要求1的方法��,其中可以基于所述代理實(shí)體被分配到的網(wǎng)絡(luò)域得到所述代理實(shí)體的各自位置���,其中所述網(wǎng)絡(luò)域由所述網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址區(qū)間代表���。
4.根據(jù)權(quán)利要求3的方法,其中所述選擇基于需要與其進(jìn)行通信的所述通信伙伴節(jié)點(diǎn)(CN)的已知網(wǎng)絡(luò)地址(CN_A)�,其中所述已知網(wǎng)絡(luò)地址被包含在所述請(qǐng)求中。
5.根據(jù)權(quán)利要求4的方法����,其中所述選擇包括以下步驟第一次檢索所述由發(fā)出請(qǐng)求的終端節(jié)點(diǎn)(MN)的臨時(shí)地址(MN_CoA)所屬的網(wǎng)絡(luò)地址區(qū)間所代表的第一網(wǎng)絡(luò)域,第二次檢索由所述通信伙伴節(jié)點(diǎn)(CN)的地址(CN_A)所屬的網(wǎng)絡(luò)地址區(qū)間所代表的第二網(wǎng)絡(luò)域�,以及基于所述被檢索的信息,確定將被選擇的代理實(shí)體(LPA)。
6.根據(jù)權(quán)利要求1的方法�,還包括步驟在通信消息前,向所述發(fā)出請(qǐng)求的終端節(jié)點(diǎn)(MN)通知所選擇的代理實(shí)體(LPA)�。
7.根據(jù)權(quán)利要求6的方法,還包括步驟在所選擇的代理實(shí)體(LPA)中�,由所述終端節(jié)點(diǎn)創(chuàng)建所述終端節(jié)點(diǎn)的永久網(wǎng)絡(luò)地址(MN_PA)與其臨時(shí)網(wǎng)絡(luò)地址(MN_CoA)之間的映射(S44),以及在所述通信伙伴節(jié)點(diǎn)(CN)中�,由所述終端節(jié)點(diǎn)創(chuàng)建所述終端節(jié)點(diǎn)的永久網(wǎng)絡(luò)地址(MN_PA)與所選擇的代理實(shí)體的地址之間的映射(S45)。
8.一種通信網(wǎng)絡(luò)系統(tǒng)��,包括至少第一通信網(wǎng)絡(luò)(HN)��,其中通過所述通信網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信的各個(gè)節(jié)點(diǎn)(MN)利用其永久網(wǎng)絡(luò)地址(MN_PA)來識(shí)別����,并且可以利用臨時(shí)網(wǎng)絡(luò)地址(MN_CoA)尋址,至少一個(gè)服務(wù)器實(shí)體(LPS)�,多個(gè)代理實(shí)體(LPA1,…�,LPAn),其中每個(gè)所述服務(wù)器實(shí)體(LPS)保持關(guān)于所述代理實(shí)體(LPA1��,…����,LPAn)以及它們?cè)谒鼍W(wǎng)絡(luò)系統(tǒng)中的位置的記錄�����。
9.根據(jù)權(quán)利要求8的通信網(wǎng)絡(luò)系統(tǒng)����,其中所述代理實(shí)體的各自位置可以基于所述代理實(shí)體被分配到的網(wǎng)絡(luò)域而得到�����,其中所述網(wǎng)絡(luò)域由所述網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址區(qū)間代表����。
10.根據(jù)權(quán)利要求8的通信網(wǎng)絡(luò)系統(tǒng)��,其中對(duì)于每個(gè)所述通信網(wǎng)絡(luò)來說�,存在著與其相關(guān)的一個(gè)服務(wù)器實(shí)體。
11.根據(jù)權(quán)利要求8的通信網(wǎng)絡(luò)系統(tǒng)��,其中對(duì)于每個(gè)所述通信網(wǎng)絡(luò)來說����,存在著與其相關(guān)的多個(gè)代理實(shí)體。
12.一種服務(wù)器實(shí)體(LPS)��,包括保持關(guān)于多個(gè)代理實(shí)體(LPA1,…�����,LPAn)以及它們?cè)谕ㄐ啪W(wǎng)絡(luò)系統(tǒng)中各自位置的記錄的數(shù)據(jù)庫(kù)單元���,以及基于保持在所述記錄中的數(shù)據(jù)以及發(fā)出請(qǐng)求的終端節(jié)點(diǎn)(MN)的臨時(shí)網(wǎng)絡(luò)地址(MN_CoA)�����,選擇所述代理實(shí)體(LPA1�,…���,LPAn)中的特定一個(gè)的處理單元�����。
13.根據(jù)權(quán)利要求12的服務(wù)器實(shí)體�����,其中所述代理實(shí)體的各自位置可以基于所述代理實(shí)體被分配到的網(wǎng)絡(luò)域而得到�,其中所述網(wǎng)絡(luò)域由所述網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址區(qū)間代表��。
14.根據(jù)權(quán)利要求13的服務(wù)器實(shí)體,其中所述處理單元包括選擇單元�,所述選擇單元包括用于檢索由所述發(fā)出請(qǐng)求的終端節(jié)點(diǎn)(MN)的臨時(shí)地址(MN_CoA)所屬的網(wǎng)絡(luò)地址區(qū)間所代表的第一網(wǎng)絡(luò)域的第一檢索單元,用于檢索由通信伙伴節(jié)點(diǎn)(CN)的地址(CN_A)所屬的網(wǎng)絡(luò)地址區(qū)間所代表的第二網(wǎng)絡(luò)域的第二檢索單元����,以及用于基于所述檢索的信息確定所選擇的代理實(shí)體(LPA)的確定單元。
15.根據(jù)權(quán)利要求12的服務(wù)器實(shí)體����,其中所述記錄由網(wǎng)絡(luò)運(yùn)營(yíng)商根據(jù)構(gòu)成通信網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來配置。
16.根據(jù)權(quán)利要求12或15的服務(wù)器實(shí)體���,其中所述記錄由網(wǎng)絡(luò)運(yùn)營(yíng)商根據(jù)構(gòu)成通信網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來配置�����,并且所述服務(wù)器實(shí)體通過添加來自所述通信網(wǎng)絡(luò)系統(tǒng)中的其他服務(wù)器實(shí)體的記錄信息來擴(kuò)展所述記錄。
17.根據(jù)權(quán)利要求12的服務(wù)器實(shí)體��,還包括傳輸單元�,所述傳輸單元用于接收和發(fā)送用以形成和保持所述記錄的信息,從終端節(jié)點(diǎn)(MN)中接收請(qǐng)求�,以及向發(fā)出請(qǐng)求的終端發(fā)送處理結(jié)果。
18.根據(jù)權(quán)利要求17的服務(wù)器實(shí)體�����,其中所述傳輸單元用于向所選擇的代理實(shí)體發(fā)送處理結(jié)果。
19.一種代理實(shí)體(LPA1����,…,LPAn)�����,包括存儲(chǔ)器單元��,用于高速緩沖存儲(chǔ)識(shí)別終端節(jié)點(diǎn)(MN)的永久地址到指示終端節(jié)點(diǎn)(MN)位置的所述終端節(jié)點(diǎn)(MN)的臨時(shí)地址(CoA)的映射�����,以及路由單元�����,用于將從所述終端節(jié)點(diǎn)(MN)接收的數(shù)據(jù)分組轉(zhuǎn)發(fā)到所尋址的通信伙伴節(jié)點(diǎn)(CN)��,并且將從所述通信伙伴(CN)接收的數(shù)據(jù)分組轉(zhuǎn)發(fā)到所述終端節(jié)點(diǎn)(MN)�,其中所述轉(zhuǎn)發(fā)基于在所述存儲(chǔ)器單元中被高速緩沖存儲(chǔ)的映射信息。
20.一種用于根據(jù)上述權(quán)利要求8至11中任一項(xiàng)的通信網(wǎng)絡(luò)系統(tǒng)的終端節(jié)點(diǎn)�,執(zhí)行根據(jù)權(quán)利要求1至7中任一項(xiàng)的方法���。
全文摘要
本發(fā)明涉及一種提供地址保密的方法。由其永久地址所識(shí)別的移動(dòng)節(jié)點(diǎn)可以由臨時(shí)地址尋址����。與所述移動(dòng)節(jié)點(diǎn)進(jìn)行通信的相應(yīng)節(jié)點(diǎn)總是發(fā)送它的分組到永久地址。與移動(dòng)IP本地代理相似�����,這些分組由一個(gè)代理截取�����,然后該代理利用隧道發(fā)送這些分組到臨時(shí)地址�����。因此���,移動(dòng)節(jié)點(diǎn)的臨時(shí)地址不被暴露給相應(yīng)節(jié)點(diǎn)�����,從所述臨時(shí)地址中可以得到該移動(dòng)節(jié)點(diǎn)的位置���。為了優(yōu)化路由,引入了保持關(guān)于代理及其位置的記錄的服務(wù)器實(shí)體����,該服務(wù)器實(shí)體在每次連接的基礎(chǔ)上動(dòng)態(tài)地為移動(dòng)節(jié)點(diǎn)分配代理。
文檔編號(hào)H04L29/06GK1682510SQ02821650
公開日2005年10月12日 申請(qǐng)日期2002年11月7日 優(yōu)先權(quán)日2001年11月9日
發(fā)明者弗蘭克·利, 斯蒂凡諾·M.·法森 申請(qǐng)人:諾基亞公司