專利名稱:提供移動節(jié)點間低等待時間安全會話連續(xù)性的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及移動網(wǎng)絡(luò)��,具體涉及低等待時間移動網(wǎng)絡(luò)�,所述移動網(wǎng)絡(luò)包括一個或多個移動節(jié)點。
與固定(即非無線)網(wǎng)絡(luò)相比���,在無線環(huán)境中�,無線通信的特性增加了提供安全通信的困難。一方面����,諸如已經(jīng)成為主導(dǎo)的電路交換語音網(wǎng)絡(luò)的全球移動通信網(wǎng)(GSM)����、個人通信系統(tǒng)(PCS)、和碼分多址(CDMA)的無線網(wǎng)絡(luò)典型地不能提供完全的互聯(lián)網(wǎng)接入�����,并且因此在某種程度上避開了諸如互聯(lián)網(wǎng)典型弱點的弱點��。隨著互聯(lián)網(wǎng)協(xié)議(IP)多媒體子系統(tǒng)(IMS)解決方案和相關(guān)技術(shù)的引入��,通過無線連接將容易訪問數(shù)據(jù)��、語音和視頻�����,所述無線連接諸如使用通用無線電信系統(tǒng)(UMTS)和碼分多址2000(CDMA2000)的那些連接�����,例如經(jīng)由互聯(lián)網(wǎng)的互聯(lián)網(wǎng)移動電信(IMT)-CDMA多載波、第一階段無線電傳輸技術(shù)(1xRTT)以及第三階段無線電傳輸技術(shù)(3xRTT)�����。移動設(shè)備具有使不同種類的無線接入網(wǎng)與多個無線接口一起工作的能力�����。移動用戶已經(jīng)變得“真正地移動”���,因為他們不再受限于移動設(shè)備���、網(wǎng)絡(luò)和應(yīng)用。然而�,典型地存在對于保護個人之間傳送的信息的需求,這已經(jīng)被證明是專用和公共通信之間的區(qū)別���。不僅是從網(wǎng)絡(luò)的前景來看���,而且根據(jù)對等通信的模型,保密性都是有益的����。
向?qū)儆谙嗤虻囊苿佑脩籼峁㊣P應(yīng)用業(yè)務(wù)保密性存在困難�����。到目前為止���,一個難題是優(yōu)選地在所有時間����,在移動節(jié)點(MN,或者MN與一個或更多固定節(jié)點)之間的通信過程中�����,像在固定的內(nèi)聯(lián)網(wǎng)中(例如���,固定的公司環(huán)境或者固定的住宅環(huán)境)提供的那樣����,確保相似水平的保密性和完整性����。
尚未充分地實現(xiàn)保密性和移動性的目標���。一方面,互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)議不能用于協(xié)商虛擬專用網(wǎng)(VPN)的隧道的安全關(guān)聯(lián)(SA)����。另一方面,移動IP協(xié)議(MIP)能用于支持IP節(jié)點的移動性��。當一起使用時�����,出現(xiàn)以下問題VPN隧道(VPN T)的SA與兩個IP地址相關(guān)�,一個用于隧道的每個端點。MN具有雙標識���,永久性的歸屬地址(HoA)和臨時性的轉(zhuǎn)交地址(CoA)��,所述轉(zhuǎn)交地址典型地與其地理位置相關(guān)����。HoA用于標識VPN隧道的端點�。根據(jù)HoA,業(yè)務(wù)能被重定向到MN的當前位置。如果CoA用作VPN隧道的端點���,則要提供一種無論何時改變CoA用于更新SA的機制����。
一種稱為安全通用移動性(SUM)的結(jié)構(gòu)試圖解決保密性和移動性的問題����。定義了三個不同的區(qū)域。一個這樣的區(qū)域是內(nèi)聯(lián)網(wǎng)�,這是受防火墻保護的可信賴區(qū)域。第二個區(qū)域是非軍事化區(qū)域(DMZ)��,在內(nèi)聯(lián)網(wǎng)之外可以通過具有較弱控制的另一個防火墻訪問該區(qū)域�。第三個區(qū)域是公共的互聯(lián)網(wǎng)�,可以不必認為該區(qū)域本質(zhì)上是安全的。SUM是基于MIP的��。每個MN具有兩個HoA�����,內(nèi)部HoA(i-HoA)和外部HoA(x-HoA)�����。i-HoA用作內(nèi)聯(lián)網(wǎng)的專用地址空間的標識。x-HoA用作內(nèi)聯(lián)網(wǎng)的公共地址空間的標識�����。有兩種歸屬代理(home agent)��,即內(nèi)部HA(i-HA)和外部HA(x-HA)�����。i-HA處理內(nèi)聯(lián)網(wǎng)移動性并且跟蹤內(nèi)部CoA(i-CoA)到內(nèi)部HoA(i-HoA)的綁定���。x-HA處理外部移動性并且跟蹤外部CoA(x-CoA)到外部HoA(x-HoA)的綁定����。x-HA位于DMZ內(nèi)��。存在橋接內(nèi)聯(lián)網(wǎng)和DMZ的VPN網(wǎng)關(guān)��。當MN位于內(nèi)聯(lián)網(wǎng)時����,使用IP安全(IPSec)隧道提供數(shù)據(jù)業(yè)務(wù)的保密性和完整性,所述IPSec隧道的端點是VPN GW的公共地址和MN的x-HoA。
建立完整的三個隧道以向訪問外網(wǎng)的MN提供內(nèi)聯(lián)網(wǎng)專用接入���。在獲得了x-CoA之后��,MN向x-HA登記x-CoA�,這樣將x-HoA與x-CoA綁定�。這導(dǎo)致了MIP隧道的建立,所述MIP隧道端點是x-HA的地址和MN的x-CoA�。接著,MN使用其x-HoA發(fā)起與VPN GW的IPSec隧道的建立�����。這導(dǎo)致關(guān)于專用內(nèi)聯(lián)網(wǎng)到MN的條目的創(chuàng)建���。MN接著登記綁定,該綁定包括與MN的i-HoA配對的VPN GW的內(nèi)聯(lián)網(wǎng)地址�。這導(dǎo)致了i-HA和VPN GW之間MIP類型的第三個隧道的創(chuàng)建。
目的地是MN的內(nèi)聯(lián)網(wǎng)業(yè)務(wù)由i-HA攔截并通過隧道傳送至VPN GW�����。后者使用VPN隧道安全地將業(yè)務(wù)重定向至MN的x-HoA��。業(yè)務(wù)被i-HA攔截,i-HA轉(zhuǎn)而將業(yè)務(wù)通過隧道傳送至MN的當前位置��。
如果SA被綁定到x-CoA�����,則每次MN獲得新的x-CoA時�����,都必須執(zhí)行SA的重協(xié)商�����。建立時間涉及最小的四倍往返時間(RTT)�,具體如下一個RTT用于內(nèi)部登記,最小兩個RTT用于IPSec隧道建立(假設(shè)使用IKE協(xié)議)��,還有一個RTT用于外部登記�����。目的地是MN的互聯(lián)網(wǎng)業(yè)務(wù)經(jīng)過兩個HA����。該方法遭受兩倍三角路由的影響����,所述兩倍三角路由是指多次經(jīng)過三角形網(wǎng)絡(luò)拓撲所造成的網(wǎng)絡(luò)等待時間的四倍RTT���。
當訪問外網(wǎng)時��,來自通信節(jié)點(CN)發(fā)往MN的業(yè)務(wù)首先被傳遞至內(nèi)部歸屬網(wǎng)絡(luò)�。在歸屬網(wǎng)絡(luò)中�����,i-HA意識到MN離開的事實���。它攔截目的地是MN的業(yè)務(wù)并通過隧道將其傳送至MN的當前位置�。由此�,目的地是MN的業(yè)務(wù)要經(jīng)受兩倍網(wǎng)絡(luò)等待時間。
以上技術(shù)未完全解決當兩個都位于內(nèi)聯(lián)網(wǎng)(例如��,受保護的子網(wǎng))外的MN互相通信時的情況����。此外��,對于一個MN位于外部時的情況,這些技術(shù)也造成某些缺陷���。此外�,它們不能提供被優(yōu)化的用以支持低等待時間連接的路徑�����。等待時間(以及等待時間變化)會損害性能�����。因此����,需要這樣的方法和設(shè)備,當一個或更多MN經(jīng)由不能合理地被認為本質(zhì)上安全的連接進行通信時����,實現(xiàn)安全而有效的通信。
通過參照附圖本發(fā)明將得到更好理解��,對于本領(lǐng)域技術(shù)人員來說����,其特點將變得顯而易見�����。
圖1是示出根據(jù)本發(fā)明的至少一個實施例的設(shè)備的框圖�����。
圖2是示出根據(jù)本發(fā)明的至少一個實施例的移動感知網(wǎng)關(guān)(mobile-aware gateway MAG)105的框圖���。
圖3是示出單元間連接的圖,所述單元包括根據(jù)本發(fā)明的至少一個實施例的MN 103/104和CN 110�����。
圖4是示出單元間連接的圖���,所述單元包括根據(jù)本發(fā)明的至少一個實施例的MN1 103和MN2 104����。
圖5是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖���,該方法涉及MN和CN之間的通信����。
圖6是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖����,該方法用于實踐圖5的步驟501。
圖7是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖�����,該方法用于實踐圖5的步驟503�����。
圖8是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖���,該方法用于實踐圖5的步驟506�。
圖9是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖����,該方法用于實踐圖5的步驟502。
圖10是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖�����,該方法用于實踐圖5的步驟505����。
圖11是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖��,該方法涉及第一MN和第二MN之間的通信����。
圖12是示出根據(jù)本發(fā)明的至少一個實施例被傳送的信息的框圖���。
不同附圖中相同的附圖標記代表類似或相同的項目�����。
具體實施例方式
根據(jù)本發(fā)明的至少一個實施例���,IP應(yīng)用業(yè)務(wù)可以保密地提供至或提供自屬于相同域的一個或更多MN,甚至是當這樣的MN位于公司或受保護域之外時�����,這樣的內(nèi)聯(lián)網(wǎng)提供了至和/或自諸如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)的受控接入�����。優(yōu)選地在所有時間在MN之間提供相似的保密性和完整性等級是可能的——這典型地提供在公司環(huán)境內(nèi)(例如在受保護的內(nèi)聯(lián)網(wǎng)范圍內(nèi)),并且如果在公司��、家庭����、學院��、政府�����、非營利的或其他環(huán)境中�����,這樣的保密性和完整性可以對任何類型的網(wǎng)絡(luò)提供�����。當一個或更多MN經(jīng)由不能被推斷為本質(zhì)上安全的連接進行通信時���,提供安全和有效的通信�����,所述連接例如至公共網(wǎng)絡(luò)的連接�����,所述公共網(wǎng)絡(luò)如互聯(lián)網(wǎng)或受保護的內(nèi)聯(lián)網(wǎng)外部的網(wǎng)絡(luò)���。
可以實施本發(fā)明的至少一個實施例�����,以便使用VPN技術(shù)在對等的移動設(shè)備之間提供安全連接����,所述VPN技術(shù)例如那些基于IP安全(IPSec)的����。連同路由優(yōu)化(RO)提供移動性管理,實施移動性管理以便與移動IP(MIP)兼容�����。根據(jù)本發(fā)明的至少一個實施例����,當經(jīng)過諸如IPSec和MIP隧道的隧道時�����,實時業(yè)務(wù)遭受的等待時間可以減少����。
描述在內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng)之間穿越時���,用于在MN之間提供安全和無縫會話連接連續(xù)性的機制。VPN隧道的路由被優(yōu)化�,避免了切換之后IPSec安全關(guān)聯(lián)(SA)的重協(xié)商。
圖1是示出根據(jù)本發(fā)明的至少一個實施例的設(shè)備的框圖�����。該設(shè)備包括內(nèi)聯(lián)網(wǎng)101��、第一移動節(jié)點(MN1)103和/或第二移動節(jié)點(MN2)104以及將MN1 103和/或MN2 104耦合到內(nèi)聯(lián)網(wǎng)101的外部網(wǎng)102�。內(nèi)聯(lián)網(wǎng)101優(yōu)選地包括移動感知網(wǎng)關(guān)(MAG)105、第一內(nèi)部歸屬代理(i-HA1)108和/或第二內(nèi)部歸屬代理(i-HA2)109����,以及通信節(jié)點(CN)110。MAG105優(yōu)選地包括第一外部歸屬代理(x-HA1)106和/或第二外部歸屬代理(x-HA2)107�����。
MN1 103經(jīng)由網(wǎng)絡(luò)連接111耦合到外部網(wǎng)102。MN2 104經(jīng)由網(wǎng)絡(luò)連接112耦合到外部網(wǎng)102��。MAG 105例如經(jīng)由網(wǎng)絡(luò)連接113和/或網(wǎng)絡(luò)連接114耦合到外部網(wǎng)102�����,其中���,網(wǎng)絡(luò)連接113經(jīng)由外部網(wǎng)102和網(wǎng)絡(luò)連接111可以耦合到MN1 103�,網(wǎng)絡(luò)連接114經(jīng)由外部網(wǎng)102和網(wǎng)絡(luò)連接112可以耦合到MN2 104�����。根據(jù)本發(fā)明的至少一個實施例�,外部網(wǎng)102的例子是互聯(lián)網(wǎng),該互聯(lián)網(wǎng)可以包括能夠提供至該互聯(lián)網(wǎng)的接入的其他網(wǎng)絡(luò)����,例如除內(nèi)聯(lián)網(wǎng)101之外的其他內(nèi)聯(lián)網(wǎng)以及諸如蜂窩無線網(wǎng)的其他有線和/或無線網(wǎng)絡(luò)。
x-HA1 106經(jīng)由內(nèi)聯(lián)網(wǎng)連接115耦合到i-HA1 108�。x-HA2 107經(jīng)由內(nèi)聯(lián)網(wǎng)連接116耦合到i-HA2 109。i-HA1 108經(jīng)由內(nèi)聯(lián)網(wǎng)連接117耦合到CN 110�。i-HA2 109經(jīng)由內(nèi)聯(lián)網(wǎng)連接118耦合到CN 110����。優(yōu)選地��,x-HA1 106能經(jīng)由內(nèi)聯(lián)網(wǎng)連接119耦合到CN 110��,并且x-HA2 107能經(jīng)由內(nèi)聯(lián)網(wǎng)連接120耦合到CN 110�����。優(yōu)選地����,x-HA1 106能經(jīng)由連接121耦合到x-HA2 107��,連接121優(yōu)選地在MAG 105中實施�����。
圖2是示出根據(jù)本發(fā)明的至少一個實施例的移動感知網(wǎng)關(guān)(MAG)105的框圖���。MAG 105優(yōu)選地包括處理器201和存儲器202����。處理器201經(jīng)由連接203耦合到存儲器202。優(yōu)選地�,處理器201經(jīng)由諸如一個或多個網(wǎng)絡(luò)連接113和114的連接耦合到外部網(wǎng)102。優(yōu)選地�����,處理器201經(jīng)由諸如一個或多個內(nèi)聯(lián)網(wǎng)連接115�����、116��、119和120的連接耦合到內(nèi)聯(lián)網(wǎng)101或其單元�。處理模塊可以是單個處理裝置或多個處理裝置。這樣的處理裝置可以是微處理器����、微型計算機、微控制器�、數(shù)字信號處理器、中央處理單元�、狀態(tài)機、邏輯電路����,和/或任何基于操作指令處理信號(模擬或數(shù)字)的裝置��。存儲器可以是單個存儲器裝置或多個存儲器裝置�。這樣的存儲器可以是只讀存儲器���、隨機存取存儲器�、磁帶存儲器�����、軟盤存儲器���、硬盤存儲器����、DVD存儲器��、CD存儲器��,和/或任何存儲操作和/或程序指令的裝置��。注意���,如果處理模塊經(jīng)由狀態(tài)機或邏輯電路實施一個或多個功能����,則包含相應(yīng)操作指令的存儲器將嵌入包括該狀態(tài)機或邏輯電路的電路����。下面將參照圖3-11更詳細地描述存儲在存儲器中并且由處理模塊執(zhí)行的操作指令。
假設(shè)兩個MN�,例如MN1和MN2,打算接入內(nèi)聯(lián)網(wǎng)�����,可以存在若干種情況��。一種可能性是MN1和MN2都在內(nèi)聯(lián)網(wǎng)(例如公司網(wǎng)絡(luò))內(nèi)�����。另一種可能性是MN1在內(nèi)聯(lián)網(wǎng)內(nèi)而MN2在內(nèi)聯(lián)網(wǎng)外���。還有一種可能性是MN1和MN2都在內(nèi)聯(lián)網(wǎng)外����。
如果MN1和MN2直接連接在內(nèi)聯(lián)網(wǎng)內(nèi),則專用域內(nèi)兩個MN之間的通信受防火墻�、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)、入侵檢測以及預(yù)防機制的保護�。可以使用MIP來支持內(nèi)聯(lián)網(wǎng)范圍內(nèi)的移動性�。
當一個MN位于內(nèi)聯(lián)網(wǎng)外時,可以經(jīng)由VPN網(wǎng)關(guān)(VPN-GW)使用IPSec隧道從被訪問(例如��,外部)網(wǎng)到內(nèi)聯(lián)網(wǎng)提供安全通信���,同時可以使用MIP來支持移動性��。問題是要保證���,每次由MN執(zhí)行網(wǎng)絡(luò)層切換時不進行IPSecSA的重協(xié)商。根據(jù)本發(fā)明的至少一個實施例�����,不僅能解決這個問題而且還可以獲得其他好處���,例如通過路由優(yōu)化減少了等待時間�����。
盡管多個MN處于內(nèi)聯(lián)網(wǎng)外部的情況可以按照一個MN處于內(nèi)聯(lián)網(wǎng)外部的多重實例來解決�����,但是這樣的方法未必提供MN之間的優(yōu)化路由和低等待時間通信����。根據(jù)本發(fā)明的至少一個實施例�����,可以提供這樣的特征��。
當一個MN處于內(nèi)聯(lián)網(wǎng)外部或者當多個MN處于內(nèi)聯(lián)網(wǎng)外時���,本發(fā)明的至少一個實施例提供安全和有效的通信���。應(yīng)當注意,本發(fā)明實施例的實施并不是以內(nèi)聯(lián)網(wǎng)的存在為條件的����;MAG可以用在沒有其他內(nèi)聯(lián)網(wǎng)單元時以提供位于任何地方的多個節(jié)點之間的安全和有效通信。無論何時關(guān)于內(nèi)聯(lián)網(wǎng)提到MN���,這種認識都應(yīng)該被記住��。本發(fā)明的至少一個實施例可以根據(jù)安全通用移動性(SUM)結(jié)構(gòu)��,Dutta等人(A.Dutta���、T.Zhang�、S.Madhani��、K.Taniuchi�����、K.Fujimoto�、Y.Katsube、Y.Ohba和H.Schulzrinne)在費城關(guān)于無線移動應(yīng)用和WLAN接入點上的服務(wù)(WMASH)的第一ACM國際研討會文件“Secure Universal Mobility for Wireless Internet”(2004年10月第71-80頁)中對這種結(jié)構(gòu)作了描述���。當一個MN位于內(nèi)聯(lián)網(wǎng)外時��,SUM遭受兩倍三角路由問題����。本發(fā)明的至少一個實施例通過將適應(yīng)性的MIP路徑優(yōu)化技術(shù)結(jié)合到SUM結(jié)構(gòu)克服了這個問題�����。
當多個MN位于內(nèi)聯(lián)網(wǎng)外時��,對移動性和VPN管理進行協(xié)調(diào)是有好處的以便獲得優(yōu)化度(degree of optimization)�����。因此�,VPN-GW和外部歸屬代理(x-HA)優(yōu)選地被集成到單個實體中,所述單個實體在這里稱為移動感知VPN網(wǎng)關(guān)(MAG)�����。這樣的集成使得MAG執(zhí)行移動管理連同VPN功能�����?���?梢詫嵤㎝AG功能的一種方式是在兩個MN之間的通信中完全涉及MAG。簡言之����,MAG在VPN隧道和MIP隧道的建立和工作中參與���。可以實施MAG功能的另一種方式是對第一種方式的優(yōu)化�,MAG在密鑰分配和隧道建立過程中參與,但是然后允許通信而不需要持續(xù)的MAG活動����。與完整的MAG參與的第一種方式形成對比,用戶業(yè)務(wù)流經(jīng)路由優(yōu)化的路徑�����。
根據(jù)本發(fā)明的至少一個實施例���,VPN-GW和x-HA可以結(jié)合到單個設(shè)備中�,該設(shè)備是移動感知VPN網(wǎng)關(guān)(MAG)�����。應(yīng)當注意���,在圖3中示出單獨的x-HA和MAG�����,但是在圖4中�����,對于MN至MN的情況以及在MN之間建立端到端安全隧道的情況�,示出了組合的MAG���。示出單獨的x-HA和MAG是為了說明本發(fā)明能在Dutta等人描述的SUM結(jié)構(gòu)的環(huán)境下實施����。應(yīng)當理解��,x-HA和MAG可以單獨實施�,但是通過在MAG內(nèi)實施x-HA功能可以獲得益處。
當移動節(jié)點(MN)移出受保護的內(nèi)聯(lián)網(wǎng)時�,可以執(zhí)行若干步驟以維持或建立與MN的通信。根據(jù)第一個步驟����,發(fā)生向x-HA的MIP登記。MN向MAG登記其x-CoA�����,所述MAG優(yōu)選地具有在其內(nèi)實施的x-HA功能。這在MAG和移動節(jié)點的x-CoA之間建立了外部MIP(x-MIP)隧道(x-MIP T)�����。根據(jù)第二個步驟的第一方面����,建立安全VPN。MN使用IKE與MAG協(xié)商IPSecSA���,所述IPSecSA用x-HoA作為隧道端點之一�;另一個端點是MAG的地址����。根據(jù)第二個步驟的第二方面,發(fā)生MIP向內(nèi)部歸屬代理(i-HA)的登記�。一旦根據(jù)第二步驟建立了VPN隧道,MN使用MAG的專用地址作為MN的i-CoA向i-HA登記�。內(nèi)部MIP(i-MIP)隧道(i-MIP T)因此建立在i-HA和MAG之間。使用建立在MN和MAG之間的安全VPN隧道���,執(zhí)行在第二步驟中出現(xiàn)的移動IP信令��。
對于從MN到CN的用戶業(yè)務(wù)��,由MN使用其專用地址(i-HoA)作為源地址向作為目的地址的CN的內(nèi)部(專用)地址(i-CN)發(fā)送的業(yè)務(wù)首先要按照IPSecSA進行加密和完整性保護�。使用x-MIP T-1將受保護的業(yè)務(wù)通過隧道傳送到MAG,其中x-MIP T-1使用MN的x-HoA���。MAG解封裝數(shù)據(jù)報��。該數(shù)據(jù)報接著被轉(zhuǎn)發(fā)至i-CN�����。
對于從CN到MN的業(yè)務(wù),由MN使用CN的內(nèi)部地址(i-CN)作為源地址向作為目的地址的MN的專用地址(i-HoA)發(fā)送的業(yè)務(wù)被i-HA攔截并且通過i-MIP T-1被隧道傳送至MAG���。MAG然后查詢表格以將i-HoA解析為適當?shù)腗N的x-HoA��。加密和完整性檢查根據(jù)IPSecSA對數(shù)據(jù)報應(yīng)用�����。分組接著被隧道傳送至MN的x-HoA地址���。然后,MAG的HA部件攔截該分組并將受保護的數(shù)據(jù)報隧道傳送至MN的x-CoA�����。接收到分組時,MN解封裝數(shù)據(jù)報并檢查分組的完整性�����、對內(nèi)容解密�,所述內(nèi)容接著由特定應(yīng)用處理。
在SUM結(jié)構(gòu)中�,使用兩個MIP隧道,以便向訪問外網(wǎng)的MN提供安全的網(wǎng)絡(luò)連接����。來自CN的業(yè)務(wù)在到達MN之前經(jīng)過i-HA然后經(jīng)過x-HA。根據(jù)本發(fā)明的至少一個實施例���,路由優(yōu)化技術(shù)用于避免MIP三角路由以及與之相關(guān)的缺陷����,諸如拖延的等待時間等��。
根據(jù)本發(fā)明的至少一個實施例����,在攔截到來自i-CN目的地是MN(i-HoA)的代表MN的分組時���,i-HA通知i-CNMN位于其本地網(wǎng)絡(luò)外并且正在通知CN經(jīng)由MAG到達MN的較短路徑的存在。這樣的通信優(yōu)選地使用路由優(yōu)化消息進行����,所述路由優(yōu)化消息由Perkins和Johnson定義(2001,因特網(wǎng)草案��,Route Optimization in Mobile IP�����,作者C.Perkins����、D.Johnson)�����。然后����,i-CN將目的地是i-HoA的用戶業(yè)務(wù)直接轉(zhuǎn)發(fā)給MAG而不是將它們發(fā)送到i-HA,所述i-HA然后也會把用戶業(yè)務(wù)轉(zhuǎn)發(fā)給MAG。CN和MAG之間的三角路由由此被避免�����,并且因此分組相對快速地被接收���。
在攔截去往i-HoA的分組時���,i-HA向包含MAG的內(nèi)部地址的i-CN發(fā)送綁定更新消息。于是i-CN創(chuàng)建i-HoA與MAG的內(nèi)部地址的綁定條目��,這樣去往i-HoA的分組被隧道傳送至MAG�。這可以代替將分組發(fā)送至MN1的內(nèi)部本地網(wǎng)絡(luò)而發(fā)生。i-CN接著使用i-MIP路由優(yōu)化(i-MIP-RO)隧道(i-MIP-RO T)將用戶分組直接轉(zhuǎn)發(fā)給MAG���。i-CN和MAG的支持MIP路由優(yōu)化的能力是通過在它們內(nèi)部實現(xiàn)使用路由優(yōu)化消息的能力提供的�。
圖3是示出單元間連接的圖�,所述單元包括根據(jù)本發(fā)明的至少一個實施例的MN 103/104和CN 110。該圖包括表示單元的垂直線���,所述單元包括CN 110�、i-HA 108或109�����、MAG 105、x-HA106或107�����,以及MN103或104���。以擇一的方式表示的單元之間的關(guān)系旨在分別進行理解��。因此����,如圖1中的這些單元的連接所示��,i-HA 108關(guān)聯(lián)x-HA 106�����,x-HA 106關(guān)聯(lián)MN 013���,i-HA 109關(guān)聯(lián)x-HA 107,x-HA 107關(guān)聯(lián)MN 014����。CN 110�����、i-HA 108或109以及MAG 105優(yōu)選地存在于內(nèi)聯(lián)網(wǎng)101內(nèi)�����。該圖包括表示單元之間的通信的水平線���。
首先,第一外部移動互聯(lián)網(wǎng)協(xié)議隧道(x-MIP T-1)301建立在MN 103或104和x-HA 106或107之間�。建立外部轉(zhuǎn)交地址(x-CoA)的x-MIP登記應(yīng)答303從x-HA 106或107傳送至MN 013或014。
第二����,VPV隧道304沿x-MIP T-1 301建立在MN 013或014和MAG 105之間。根據(jù)從在MN 013或014至MAG 105的通信305以及從MAG 105至MN 013或014的通信306����,發(fā)生建立VPV隧道304的通信,例如互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)商���、互聯(lián)網(wǎng)協(xié)議安全(IPSec)安全協(xié)商(SA)創(chuàng)建以及地址分配�。
第三,第一內(nèi)部移動互聯(lián)網(wǎng)協(xié)議隧道(i-MIP T-1)307建立在MAG 105和i-HA 108或109之間��,互聯(lián)網(wǎng)協(xié)議(IP)連接308沿著第一i-MIP T-1307����、VPV隧道304以及x-MIP T-1 301,建立在MN 013或014和通信節(jié)點(CN)110之間��。
內(nèi)部移動互聯(lián)網(wǎng)協(xié)議(i-MIP)登記請求309從MN 013或014傳送至i-HA 108或109�����。i-MIP登記應(yīng)答310從i-HA 108或109傳送至MN013或014����。
第四,執(zhí)行路由優(yōu)化以避免三角路由�����。用MN 103或104和MAG 105之間的x-MIP路由優(yōu)化的隧道(x-MIP-RO T-1)311來替換x-MIP T-1301���。改變x-CoA的路由優(yōu)化(RO)綁定更新313從x-HA 106或107傳送至MAG 105����。改變x-CoA的RO綁定確認314從MAG 105傳送至x-HA 106或107��。用MAG 105和CN 110之間的i-MIP-RO T-1 312來替換i-MIPT-1 307�。RO綁定更新315從i-HA 108或109傳送至CN 110。RO綁定確認316從CN 110傳送至i-HA 108或109���。這樣�,MN 103或104和CN 110之間的通信能經(jīng)由MN 103或104和MAG 105之間的x-MIP-RO T-1 311以及MAG 105和CN 110之間的i-MIP-RO T-1 312發(fā)生��。
圖5是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖��,該方法涉及MN和CN之間的通信�。在步驟501中,在第一移動節(jié)點和第一外部歸屬代理之間建立第一外部通信隧道�����。在步驟502中�,在第一移動節(jié)點和安全網(wǎng)關(guān)(例如MAG)之間建立第一外部安全隧道。安全網(wǎng)關(guān)能通過執(zhí)行安全策略建立內(nèi)聯(lián)網(wǎng)的邊界(也就是說���,內(nèi)聯(lián)網(wǎng)由安全網(wǎng)關(guān)定邊界)����,其中所述安全策略用于控制內(nèi)聯(lián)網(wǎng)和耦合到MAG的外部網(wǎng)(例如,諸如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò))之間的通信�����。在步驟503中����,在安全網(wǎng)關(guān)和第一內(nèi)部歸屬代理之間經(jīng)由第一外部安全隧道和/或第一外部通信隧道建立第一內(nèi)部通信隧道。在步驟504中�����,用于用戶數(shù)據(jù)的第一路徑經(jīng)由第一內(nèi)部通信隧道建立在第一移動節(jié)點和通信節(jié)點之間�。
在步驟505中,第一外部通信隧道被取代��,以在第一移動節(jié)點和安全網(wǎng)關(guān)(例如MAG)之間形成第一路由優(yōu)化的外部通信隧道��。在步驟506中�����,第一內(nèi)部通信隧道被取代���,以在安全網(wǎng)關(guān)(例如MAG)和通信節(jié)點之間形成第一路由優(yōu)化的內(nèi)部通信隧道����。在步驟507中,第一路徑用于經(jīng)由第一路由優(yōu)化的內(nèi)部通信隧道的用戶數(shù)據(jù)�����,以在移動節(jié)點和通信節(jié)點之間傳送所述用戶數(shù)據(jù)����。
圖6是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖�����,該方法用于實踐圖5的步驟501�。在步驟601中,第一外部轉(zhuǎn)交地址登記請求從第一移動節(jié)點傳送到第一外部歸屬代理����。在步驟602中,第一外部轉(zhuǎn)交地址登記應(yīng)答從第一外部歸屬代理傳送到第一移動節(jié)點��。
圖7是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖�,該方法用于實踐圖5的步驟503。在步驟701中���,第一內(nèi)部轉(zhuǎn)交地址登記請求從第一移動節(jié)點傳送到第一內(nèi)部歸屬代理���。在步驟702中����,第一內(nèi)部轉(zhuǎn)交地址登記應(yīng)答從第一內(nèi)部歸屬代理傳送到第一移動節(jié)點��。
圖8是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖��,該方法用于實踐圖5的步驟506�����。在步驟801中��,第一內(nèi)部路由優(yōu)化綁定更新從第一內(nèi)部歸屬代理傳送到通信節(jié)點�����。在步驟802中���,第一內(nèi)部路由優(yōu)化綁定確認從通信節(jié)點傳送到第一內(nèi)部歸屬代理����。
圖9是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖,該方法用于實踐圖5的步驟502�。在步驟901中,在安全網(wǎng)關(guān)和第一移動節(jié)點之間交換安全性能并獲取密鑰����。在步驟902中,對第一外部安全隧道創(chuàng)建第一外部安全關(guān)聯(lián)�。
圖10是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖���,該方法用于實踐圖5的步驟505�����。在步驟1001中���,第一外部路由優(yōu)化綁定更新從第一外部歸屬代理傳送到安全網(wǎng)關(guān)。在步驟1002中�,第一外部路由優(yōu)化綁定確認從安全網(wǎng)關(guān)傳送到第一外部歸屬代理。
另一個目前為止尚未充分解決的問題是位于內(nèi)聯(lián)網(wǎng)外以及居于外部網(wǎng)中(例如����,在互聯(lián)網(wǎng)中)的MN之間的可靠、安全和有效通信的問題。還不能保證通信MN能以類似于內(nèi)聯(lián)網(wǎng)環(huán)境的保密級別接收去往它們自身的分組也不能保證它們具有類似的可達性級別����,因為迄今為止還沒有提供充分的完全解決兩個都位于受保護的內(nèi)聯(lián)網(wǎng)外的MN相互通信的解決方案。
當兩個通信節(jié)點之一也決定移出(MN2位于內(nèi)聯(lián)網(wǎng)內(nèi)并且與內(nèi)聯(lián)網(wǎng)外部的MN1通信�����,此時MN2移出內(nèi)聯(lián)網(wǎng)��,簡言之�����,兩個MN都位于內(nèi)聯(lián)網(wǎng)之外)內(nèi)聯(lián)網(wǎng)時�,則期待額外的信令和開銷,因為以上方法證明必須建立兩個單獨的VPN����、外部MIP和內(nèi)部MIP。減少涉及的處理開銷以及等待時間的一個方法是MAG橋接至MN的隧道�����。為了更多地減少處理開銷和/或進一步減少等待時間��,兩個單獨的VPN隧道(從MN1至MAG以及從MN2至MAG)優(yōu)選地合并為單個端到端VPN隧道。
迄今為止�����,還沒有充分解決兩個MN都位于內(nèi)聯(lián)網(wǎng)(例如受保護的子網(wǎng))外時相互通信的情況�����。這里提出的方法和設(shè)備能夠解決要求內(nèi)聯(lián)網(wǎng)外的兩個MN之間的安全通信的情況���。這是通過將VPN-GW與x-HA合并為單個實體而獲得的�,我們稱該單個實體為移動感知VPN網(wǎng)關(guān)(MAG)����。MAG橋接了兩個單獨的VPN隧道和兩個單獨的MIP隧道����,以便促進MN之間的安全連接。
當兩個MN位于內(nèi)聯(lián)網(wǎng)外部并且希望進行它們之間的通信時���,可以執(zhí)行若干步驟�����。首先����,MN向x-HA(例如,向MAG���,其中所述MAG提供x-HA功能)執(zhí)行MIP登記�����。第二�,MN建立至MAG的安全VPN�����。第三��,MN向它們的相應(yīng)i-HA執(zhí)行MIP登記�。這樣的步驟由內(nèi)聯(lián)網(wǎng)外的MN執(zhí)行,以促進與內(nèi)聯(lián)網(wǎng)內(nèi)的節(jié)點或者與其他類似登記的MN的安全通信�。當MN1和MN2執(zhí)行以上步驟時,它們能建立圖4的x-MIP T-1 401����、i-MIP T-1 402�、x-MIPT-2 407以及i-MIP T-2 408��。根據(jù)用于建立一個MN和內(nèi)聯(lián)網(wǎng)之間的安全通信所陳述的步驟�,根據(jù)以上關(guān)于圖5-10所描述的步驟,能獲得與x-MIPT-2 407結(jié)合的i-MIP-RO T-2 413��。
表1是反映由MAG維持的信息結(jié)構(gòu)的抽樣條目的示例性表格�����。
表1綁定例子表格綁定表格條目的更新在MAG中執(zhí)行更新由MAG維持的表格以反映每個MN具有的與MAG的連接����。
當執(zhí)行上述第一步驟時,MN標識符(MN id)����、x-HoA和x-CoA值被加入表格�。在上述第二步驟之后,安全關(guān)聯(lián)標識符(SAiD)針對特定MN的每個方向而添加����,所述特定MN的x-HoA和i-HoA地址與表格匹配。SAiDto-MN是對于從MAG到MN的業(yè)務(wù)協(xié)商的IPSecSA的標識符����,而SAiDfrom-MN是從MN到MAG的業(yè)務(wù)的IPSecSA����。注意��,該表格優(yōu)選地具有將x-HoA映射到i-HoA的條目��。在第一和第二步驟后���,可以輸入x-CoA和SAiD的值���。以上描述的第三個步驟不需要對MAG上維持的該表格有任何作用。具有非空x-CoA字段的條目向MAG表明移動節(jié)點位于內(nèi)聯(lián)網(wǎng)外�����。
根據(jù)本發(fā)明的至少一個實施例���,如關(guān)于該擴展所討論的����,當去往i-HoA的分組被MAG接收時���,MAG檢查以發(fā)現(xiàn)i-HoA是否與相應(yīng)的x-CoA值配對��。如果x-CoA值對特定i-HoA存在��,則MAG確定專用地址是i-HoA的MN位于內(nèi)聯(lián)網(wǎng)外��。因此�����,MAG意識到去往它的分組不必轉(zhuǎn)發(fā)至內(nèi)聯(lián)網(wǎng)���。下面詳細描述從MN1到MN2的業(yè)務(wù)的例子���。
首先,MN1使用i-HoA1并且將分組發(fā)送到i-HoA2(MN2的內(nèi)部地址)���,其中i-HoA1是MN1的內(nèi)部源地址���。第二�����,MN1上的VPN應(yīng)用被調(diào)用(因為分組具有內(nèi)部源地址和目的地址)。分組經(jīng)歷一些步驟(加密����、完整性值計算,等等)以用已經(jīng)與MAG協(xié)商過的IPSecSA確認���。接著�����,用IP報頭對分組進行封裝�,所述IP報頭用x-HoA作為源地址�����。沿MN1和MAG之間的x-MIP T-1的安全隧道被用于傳送該分組���,所述x-MIP T-1具有MAG的公共地址的目的地址��。
第三���,MN1上的MIP客戶端應(yīng)用利用另一個IP報頭對安全分組進行封裝,所述另一個IP報頭用x-CoA1作為源地址���。使用具有MAG的公共地址的目的地址的x-MIP T-1來傳送-MIP分組����。這樣,新IP報頭的目的地址是MAG的公共地址�。(注意原始分組現(xiàn)在優(yōu)選地具有至少三個IP報頭)。
由于最外邊的報頭是去往MAG的����,MAG第一個接收分組并處理MIP報頭并丟棄該報頭。接著����,MAG檢查內(nèi)部報頭和與合適的IPSecSA一致的分組。IPSecSA對于源MN(在這種情況下i-HoA1)由MAG利用來自表1的SAiDfrom-MN值(1388)獲得���。使用該SAiDfrom-MN值以從MAG維持的安全關(guān)聯(lián)數(shù)據(jù)庫中取出SA����。
如果分組遇到認可的IPSecSA用于完整性檢查和加密��,則MAG丟棄IPSec報頭�,然后處理最里邊的報頭。因為分組的目的地址是i-HoA2的,MAG在表中尋找i-HoA2的條目并檢查是否有x-CoA2的有效條目��。
如果有對應(yīng)的x-CoA2�����,這意味著甚至i-HoA2也是位于公司網(wǎng)之外的��。接著SAiDto-MN用于獲得IPSecSA���,并且它被提供給分組。i-HoA2的SAiDto-MN是2076�����。SAiDto-MN用于取得SA并且必要的安全功能被提供給分組�。添加新IP報頭,其源地址是MAG的地址而其目的地址是i-HoA2的地址�。MAG和MN2之間的安全隧道用于傳送該分組。
安全分組接著利用另一個IP報頭(例如MIP報頭)用x-MIP T2通過隧道傳送���,所述另一個IP報頭的源地址是MAG的而目的地址是x-CoA2的目的地址��。
根據(jù)本發(fā)明的至少一個實施例����,可以有利地提供若干特征。舉個例子�����,是否將分組發(fā)送到內(nèi)聯(lián)網(wǎng)的決定可以由MAG自己執(zhí)行��,這樣避免了在確定MN位于內(nèi)聯(lián)網(wǎng)外之前分組不得不經(jīng)歷所有的路程以到達i-HA的低效率�,那樣不僅導(dǎo)致高等待時間還導(dǎo)致了高分組開銷。作為另一個例子����,位于內(nèi)聯(lián)網(wǎng)外且希望互相通信的MN可以安全有效地、具有低等待時間地相互通信����。
盡管提供多個MN之間的安全通信是有益的,但是為了遵照兩個不同的IPSec SA����,在MAG對相同的用戶業(yè)務(wù)進行解密和再加密時會有一些開銷量。通過在希望相互通信的MN之間創(chuàng)建端到端(例如�����,對等)VPN連接能減少這樣的開銷。使用早已建立的VPN隧道用于新的IPSec SA協(xié)商���,新的VPN連接建立在通信移動節(jié)點之間�。當MN1發(fā)送目的地是內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)報時��,MN1上的VPN客戶端進程進行解密并添加VPN報頭��。MIP客戶端接著添加MIP報頭并將數(shù)據(jù)報轉(zhuǎn)發(fā)給MAG���。一旦分組被解封裝和解密,MAG檢查以MN2是否在內(nèi)聯(lián)網(wǎng)內(nèi)�。MN2在內(nèi)聯(lián)網(wǎng)外,MAG查詢漫游數(shù)據(jù)庫�,確定x-HoA,并應(yīng)用適當?shù)腎PSec SA��。HA實體接著解封裝數(shù)據(jù)報至x-CoA1�。
為了減少MAG上與分組的解密和再加密相關(guān)的開銷,可以執(zhí)行如下所述的若干步驟����。第一,MAG得到能被兩個通信移動節(jié)點共享的密鑰�。由MAG發(fā)送到兩個MN的共享密鑰接著能被MN使用以協(xié)商兩個MN之間的IKE和IPSec SA�,直接在兩個MN之間創(chuàng)建新的端到端安全VPN隧道而無需依賴MAG���。第二��,MAG發(fā)送路由優(yōu)化消息至數(shù)據(jù)報的源端和目的端��。路由優(yōu)化消息能作為密鑰分發(fā)的一部分附帶發(fā)生(piggyback)��。第三�,來自MN1的目的地是MN2的數(shù)據(jù)報利用端到端安全隧道被發(fā)送并利用x-MIP T-3被封裝至MN2的x-CoA2����。來自MN1打算去往內(nèi)聯(lián)網(wǎng)內(nèi)的節(jié)點的其他數(shù)據(jù)報使用x-MIP T-1和沿x-MIP T-1存在的VPN隧道。
根據(jù)本發(fā)明的至少一個實施例提供MN之間的端到端VPN隧道的若干方面在至少一些情況下是有利的���。第一���,MAG不必解密和再加密以遵照SA。第二�,建立的隧道通常是可能的最短路徑,避免了三角路由���。第三���,在運動的情況下由MN更新業(yè)務(wù)的路由可以發(fā)生在往返時間的一半(1/2RTT)之內(nèi)并且對于實時應(yīng)用來說不會激烈地增加允許的等待時間��。
根據(jù)本發(fā)明的至少一個實施例��,MN1和MN2之間的端到端VPN隧道以及MN1和MN2之間對應(yīng)的端到端MIP路由優(yōu)化隧道被創(chuàng)建��。單獨的VPN隧道和MIP隧道的改進�,不僅經(jīng)過路由優(yōu)化的路徑�,而且不必在MAG上遭受解密和再加密��。另一個優(yōu)點在于��,為了創(chuàng)建新SA和MIP隧道的信令消息通過早已建立的安全VPN隧道傳送�����。
此外�����,兩個MN之間通信被進行了路由優(yōu)化��,這樣新MIP隧道x-MIP-ROT-3運行在MN1和MN2之間而無需終止于MAG�����。這種優(yōu)化優(yōu)選地由MAG發(fā)起,MAG位于將要感知實施路由優(yōu)化的端到端安全隧道的位置����,因為它感知從MAG到每一個MN的安全隧道的存在。當實現(xiàn)了MN經(jīng)由分立的VPN隧道通信時�,MAG發(fā)起優(yōu)化過程。這樣的優(yōu)化過程的例子可以在下述步驟中表示����。第一,MAG產(chǎn)生共享密鑰�。第二,MAG經(jīng)由安全VPN隧道分發(fā)共享密鑰并且還指示MN開始MN之間的IPSec協(xié)商���。第三�����,MN利用新獲得的密鑰發(fā)起IKE協(xié)商并且建立IPSec SA�。第四���,MAG向兩個MN都發(fā)送MIP路由優(yōu)化消息�����。第五�����,每個MN更新它的綁定更新表以反映MIP隧道端點中的變化���。
當MAG意識到MN正經(jīng)由穿過MN的分離隧道進行通信時���,MAG產(chǎn)生能用于在MN之間建立安全對等VPN連接的共享密鑰。接著��,MAG向兩個MN都分發(fā)密鑰并且指示MN創(chuàng)建MN之間的IPSec SA����。MAG還將MN的外部地址相互發(fā)送��。接著�,MN在它們之間發(fā)起IKE過程,并創(chuàng)建新的IPSec SA����。在MN之間協(xié)商的這些SA并不涉及MAG�。MN之間的任何通信于是都受到新SA的保護��。接著��,MAG發(fā)送路由優(yōu)化消息�,該消息包含每一個MN的當前轉(zhuǎn)交地址。MN在接收到路由優(yōu)化消息時更新它們的內(nèi)部綁定條目���。
MN1和MN2之間的業(yè)務(wù)流的例子如下所示����。第一�����,MN1使用i-HoA1向MN2發(fā)送分組���,MN的專用地址是i-HoA2���。第二,MN1上的VPN應(yīng)用被調(diào)用����,分組經(jīng)歷步驟以遵守與MN2協(xié)商過的新IPSec SA����。接著��,用IP報頭封裝分組�����,該IP報頭用x-HoA1作為源地址�����。分組使用沿x-MIP-RO T-3設(shè)置的安全VPN隧道進行傳送�����,所述分組具有x-HoA1作為源地址����,目的地址是x-HoA2��。第三��,MN1上的MIP客戶端應(yīng)用使用另一個IP報頭封裝安全分組��,所述另一個IP報頭使用x-CoA1作為源地址。安全分組使用x-MIP-ROT-3被傳送�,所述安全分組具有x-CoA1作為源地址。與x-MIP-RO T-3一起使用的新IP報頭的目的地址是x-CoA2(也就是MN2的轉(zhuǎn)交地址)����,與通過MAG的MN-MN通信不同,在MN-MN通信情況下���,目的地址是MAG的目的地址���。第四,由于x-CoA2是目的地址����,MN2接收分組并丟棄外部的MIP報頭。第五����,MN2檢查內(nèi)部的報頭和分組以遵守合適的IPSec SA。第六����,在與IPSec SA一致時,IPSec SA報頭也被丟棄,并且具有i-HoA1作為源地址和i-HoA2作為目的地址的原始分組由該應(yīng)用處理���。用通信對等通知每一個MN關(guān)于新VPN連接的創(chuàng)建����。
根據(jù)本發(fā)明的至少一個實施例��,在正在通信的MN之間建立端到端安全隧道的環(huán)境下�,可以實施以下描述的一個或多個特征。與通過MAG的MN-MN通信不同����,MAG不必為了遵守SA而對通信進行解密和再加密。MAG上的負擔可以大大地減輕��,尤其是在MAG服務(wù)多個CN和MN的情況下��。此外��,在MAG上由于分組的解密����、再加密和重建隧道而引入的等待時間可以完全避免����。另外���,建立的隧道可以選擇為(并且是優(yōu)選地)可能的最短路徑,避免了三角路由�。
圖4是根據(jù)本發(fā)明的至少一個實施例示出的包括MN1 103和MN2 104的單元之間的連接示意圖。該圖示出表示單元的垂直線��,所述單元包括MN1103����、CN 110、i-HA2 109���、MAG 105����、i-HA1 108和MN2 104�����。CN 110��、i-HA2 109�、MAG 105以及i-HA1 108優(yōu)選地存在于內(nèi)聯(lián)網(wǎng)101范圍內(nèi)����。
該圖包括表示單元之間連接的水平線���。
第一����,VPN和x-MIP T-1 401建立在MN1 103和MAG 105之間�。建立VPN隧道的通信,例如互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)商���、互聯(lián)網(wǎng)協(xié)議安全(IPSec)安全關(guān)聯(lián)(SA)創(chuàng)建�����、地址分配和x-MIP登記請求�,根據(jù)從MN1 103到MAG 105的通信403而發(fā)生����。建立VPN隧道和x-MIP登記應(yīng)答的進一步的通信根據(jù)從MAG 105到MN1 103的通信而發(fā)生。i-MIP T-1 402建立在MAG 105和i-HA1 108之間����。i-MIP登記請求405從MN1 103傳送到i-HA1 108�。i-MIP登記應(yīng)答從i-HA1 108傳送到MN1 103��。
第二����,VPN和x-MIP T-2 407建立在MN2 104和MAG 105之間����。建立VPN隧道的通信,例如互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)商�����、互聯(lián)網(wǎng)協(xié)議安全(IPSec)安全關(guān)聯(lián)(SA)創(chuàng)建��、地址分配和x-MIP登記請求�����,根據(jù)從MN2 104到MAG 105的通信409而發(fā)生���。建立VPN隧道和x-MIP登記應(yīng)答的進一步的通信根據(jù)從MAG 105到MN2 104的通信而發(fā)生����。i-MIP T-2 408建立在MAG 105和i-HA2 109之間。i-MIP登記請求411從MN2 104傳送到i-HA2 109���。i-MIP登記應(yīng)答從i-HA2 109傳送到MN2 104��。
第三��,執(zhí)行路由優(yōu)化以取代i-MIP T-2 408���,這樣i-MIP-RO T-2 413存在于MAG 105和CN 110之間。RO綁定更新414從i-HA2 109傳送到CN 110�。RO綁定確認415從CN 110傳送到i-HA2 109。
第四��,當期望在MN1 103和MN2 104之間通信時�,MAG 105意識到在通信中涉及1-HA1 108和i-HA2 109的低效,并且橋接x-MIP T-1 401x-MIP T-2 407(以及它們的相應(yīng)VPN隧道)以用MN1 103和MN2 104之間減少的等待時間來促進更加有效的通信�����。
第五����,執(zhí)行路由優(yōu)化,并且在MN1 103和MN2 104之間建立路由優(yōu)化的x-MIP-RO T-3 416�����。MAG 105確定MN1 103和MN2 104會相互通信而無需讓它們之間的業(yè)務(wù)通過MAG 105(例如,通過公共網(wǎng)絡(luò)MN1 103和MN2104相互之間可達)�����。優(yōu)選地���,作為一個例子,MAG 105獲得密鑰并且將該密鑰分配給MN1 103和MN2 104的至少一個����,以便在MN1 103和MN2 104之間建立保密安全鏈路(例如安全隧道)。作為另一個例子���,在MN1 103和MN2 104之間發(fā)生通信417以執(zhí)行密鑰產(chǎn)生和分配���,從而建立MN1 103和MN2 104的VPN隧道。在MN1 103和MN2 104之間發(fā)生通信418以執(zhí)行MN1 103和MN2 104之間的IKE協(xié)商和IPSec SA創(chuàng)建�����,從而建立MN1 103和MN2 104的VPN隧道���。傳送x-CoA1(MN1的外部轉(zhuǎn)交地址)的RO綁定更新419從MAG 105傳送到MN2 104��。傳送x-CoA2(MN2的外部轉(zhuǎn)交地址)的RO綁定更新420從MAG 105傳送到MN1 103�。這樣,MN1 103和MN2 104能夠用隧道x-MIP-RO T-3 416沿直接在MN1和MN2之間的端到端VPN隧道以減少的等待時間有效率地進行通信����。通過在安全網(wǎng)關(guān)(例如,MAG105)上橋接第一移動節(jié)點(例如MN1 103)和第二移動節(jié)點(例如MN2 104)之間的通信����,使得第一內(nèi)部通信隧道(例如i-MIP T-1 402)和第二內(nèi)部通信隧道(例如i-MIP T-2 408)不必傳送第一移動節(jié)點和第二移動節(jié)點之間的通信。
圖11是示出根據(jù)本發(fā)明的至少一個實施例的方法的流程圖��,該方法涉及第一MN和第二MN之間的通信�����。在步驟1101�,第一內(nèi)部通信隧道經(jīng)由安全網(wǎng)關(guān)建立在第一移動節(jié)點和第一內(nèi)部歸屬代理之間。在步驟1102��,第二內(nèi)部通信隧道經(jīng)由安全網(wǎng)關(guān)建立在第二移動節(jié)點和第二內(nèi)部歸屬代理之間��。
在步驟1103,改變第一內(nèi)部通信隧道以形成第一移動節(jié)點和通信節(jié)點之間的第一路由優(yōu)化的內(nèi)部通信隧道���。步驟1103可以包括步驟1104和1105��。在步驟1104��,第一內(nèi)部路由優(yōu)化綁定更新從第一內(nèi)部歸屬代理傳送到通信節(jié)點���。在步驟1105,第一內(nèi)部路由優(yōu)化綁定確認從通信節(jié)點傳送到第一內(nèi)部歸屬代理���。
在步驟1106,第一內(nèi)部通信隧道和第二內(nèi)部通信隧道在安全網(wǎng)關(guān)上被橋接以提供第一移動節(jié)點和第二移動節(jié)點之間的低等待時間安全通信��。步驟1106可以包括步驟1107�,在步驟1107中,端到端安全隧道建立在第一移動節(jié)點和第二移動節(jié)點之間��。步驟1107可以包括步驟1108����、1109和1110。在步驟1108中����,密鑰信息在第一移動節(jié)點和第二移動節(jié)點之間傳送�����。在步驟1109�����,對端到端安全隧道創(chuàng)建安全關(guān)聯(lián)�����。在步驟1110��,路由優(yōu)化綁定更新從安全網(wǎng)關(guān)傳送到第一移動節(jié)點和第二移動節(jié)點��。
對于實時應(yīng)用��,根據(jù)本發(fā)明的至少一個實施例����,由三角路由和它的實現(xiàn)-即MAG上的解密��、再加密和再建隧道-所引入的等待時間可以被避免��。當在異類的無線接入之間需要會話連續(xù)性或者在高度移動的環(huán)境中,避免這樣的等待時間的好處將進一步增強���,因為這樣的會話連續(xù)性需求會加重由這樣的等待時間導(dǎo)致的通信損害��。
圖12是示出根據(jù)本發(fā)明的至少一個實施例被傳送的信息的框圖����。內(nèi)聯(lián)網(wǎng)1201包括MAG 1202��、i-HA 1203和CN1204��。第一MN1205和第二MN1206可操作地耦合到MAG 1202����。MN1將消息1219傳送至MAG 1202�����。消息1219包括數(shù)據(jù)1207�。頭部1209被添加到數(shù)據(jù)1207和頭部1208。頭部1209表明消息1219具有源端x-HoA1和目的端i-MAG��。頭部1210被添加到數(shù)據(jù)1207和頭部1208及1209�。頭部1210表明消息1219具有CoA的源地址和MAG的目的地址。作為最外層的頭部,頭部1210表明了目的地MAG���,消息1219是發(fā)送到MAG 1202的�,這是它自己的地址��,并且因此MAG 1202處理下一個報頭�。MAG 1202移除頭部1210并且確定報頭1209表明了目的地i-MAG,這是它自己的地址����,因此MAG 1202處理下一個報頭。MAG 1202移除頭部1209以獲得消息1220并且確定報頭1208表明了目的地址i-MN2���。MAG 1202查詢表格并將報頭1214添加到消息1220中�����,表明源地址MAG和目的地址x-HoA2��。MAG 1202添加表明源地址MAG和目的地址x-CoA2的報頭1213����,借此產(chǎn)生消息1221��。由于分組的目的地址是x-CoA2,x-CoA2是MN2 1206的轉(zhuǎn)交地址��,MN2 1206接收該分組并且由MN2從消息1221中將頭部1213移除�����。頭部1214也由MN2從消息1221中移除(在MN2根據(jù)早先建立的SA檢查了消息的完整性和/或真實性之后)����,產(chǎn)生了包括數(shù)據(jù)1207和頭部1208的消息1222,頭部1208表明了源地址i-MN1和目的地址i-MN2�����。相應(yīng)地�����,數(shù)據(jù)1207被傳送至MN2 1206上的應(yīng)用���。
因此,描述了提供移動節(jié)點之間的低等待時間安全會話連續(xù)性的方法和設(shè)備���。應(yīng)當認識到��,本發(fā)明在其各個方面的其他變體和改進的實施對于本領(lǐng)域內(nèi)技術(shù)人員來說是顯而易見的���,并且本發(fā)明不限于所述的特定實施例�。本發(fā)明打算涵蓋落在這里公開和要求的基本原理的精神和范圍內(nèi)的任何及所有修改�����、變體或等效物���。
權(quán)利要求
1.一種方法��,包括在第一移動節(jié)點和第一內(nèi)部歸屬代理之間經(jīng)由安全網(wǎng)關(guān)建立第一內(nèi)部通信隧道�;在第二移動節(jié)點和第二內(nèi)部歸屬代理之間經(jīng)由安全網(wǎng)關(guān)建立第二內(nèi)部通信隧道�;在所述安全網(wǎng)關(guān)上,橋接所述第一移動節(jié)點和所述第二移動節(jié)點之間的通信��,以使得所述第一內(nèi)部通信隧道和所述第二內(nèi)部通信隧道不必傳送所述第一移動節(jié)點和所述第二移動節(jié)點之間的通信�����。
2.根據(jù)權(quán)利要求1的方法�����,進一步包括檢查綁定表的綁定表條目以確定來自所述第一移動節(jié)點的數(shù)據(jù)的目的地是否為內(nèi)聯(lián)網(wǎng)之外的第二移動節(jié)點,所述內(nèi)聯(lián)網(wǎng)具有由所述安全網(wǎng)關(guān)建立的邊界����。
3.根據(jù)權(quán)利要求2的方法,其中檢查綁定表的綁定表條目進一步包括在所述綁定表中檢查以確定去往所述第二移動節(jié)點的外部轉(zhuǎn)交地址字段的內(nèi)容�����。
4.根據(jù)權(quán)利要求3的方法�����,其中在所述綁定表中檢查以確定去往所述第二移動節(jié)點的外部轉(zhuǎn)交地址字段的內(nèi)容進一步包括當去往所述第二移動節(jié)點的外部轉(zhuǎn)交地址為非空時���,確定所述第二移動節(jié)點位于所述內(nèi)聯(lián)網(wǎng)外���。
5.根據(jù)權(quán)利要求2的方法,進一步包括向所述數(shù)據(jù)添加報頭�,所述報頭包括路由報頭和虛擬專用網(wǎng)(VPN)報頭,其中所述虛擬專用網(wǎng)報頭是從存儲在所述綁定表中的安全關(guān)聯(lián)標識符(SAiD)得到的��。
6.根據(jù)權(quán)利要求1的方法����,進一步包括向?qū)⒁獋魉徒o移動節(jié)點的數(shù)據(jù)添加報頭,所述移動節(jié)點是從所述第一移動節(jié)點和所述第二移動節(jié)點中選擇的�,所述報頭包括路由報頭和虛擬專用網(wǎng)(VPN)報頭,其中所述虛擬專用網(wǎng)報頭是從存儲在綁定表中的安全關(guān)聯(lián)標識符(SAiD)得到的����。
7.根據(jù)權(quán)利要求6的方法,進一步包括在所述綁定表中存儲去往所述移動節(jié)點的尋址信息����。
8.根據(jù)權(quán)利要求7的方法,在所述綁定表中存儲去往所述移動節(jié)點的尋址信息進一步包括在所述綁定表中存儲所述移動節(jié)點的外部歸屬地址��、所述移動節(jié)點的內(nèi)部歸屬地址���、以及所述移動節(jié)點的外部轉(zhuǎn)交地址��。
9.根據(jù)權(quán)利要求8的方法����,其中存儲在綁定表中的所述安全關(guān)聯(lián)標識符包括適用于從所述移動節(jié)點到所述安全網(wǎng)關(guān)的第一安全關(guān)聯(lián)標識符以及適用于從所述安全網(wǎng)關(guān)到所述移動節(jié)點的第二安全關(guān)聯(lián)標識符�����。
10.根據(jù)權(quán)利要求1的方法�����,其中在所述第一移動節(jié)點和所述第一內(nèi)部歸屬代理之間經(jīng)由所述安全網(wǎng)關(guān)建立所述第一內(nèi)部通信隧道進一步包括執(zhí)行所述第一移動節(jié)點向第一內(nèi)部歸屬代理的移動互聯(lián)網(wǎng)協(xié)議(MIP)登記。
11.根據(jù)權(quán)利要求10的方法�,其中執(zhí)行所述第一移動節(jié)點和所述內(nèi)部歸屬代理的移動互聯(lián)網(wǎng)協(xié)議登記進一步包括使用所述安全網(wǎng)關(guān)的專用地址作為所述第一移動節(jié)點的第一內(nèi)部轉(zhuǎn)交地址。
12.根據(jù)權(quán)利要求11的方法進一步包括在所述第一移動節(jié)點和第一外部歸屬代理之間建立第一外部通信隧道�。
13.根據(jù)權(quán)利要求12的方法,其中建立所述第一外部通信隧道進一步包括在所述安全網(wǎng)關(guān)和所述第一移動節(jié)點的第一外部轉(zhuǎn)交地址之間建立所述第一外部通信隧道���。
14.根據(jù)權(quán)利要求12的方法��,其中建立所述第一外部通信隧道進一步包括向第一外部歸屬代理執(zhí)行移動互聯(lián)網(wǎng)協(xié)議登記��。
15.根據(jù)權(quán)利要求12的方法進一步包括在所述第一移動節(jié)點和所述安全網(wǎng)關(guān)之間建立第一外部安全隧道�����。
16.根據(jù)權(quán)利要求15的方法�,其中建立所述第一外部安全隧道進一步包括在所述安全網(wǎng)關(guān)和所述第一移動節(jié)點的第一外部歸屬地址之間建立第一虛擬專用網(wǎng)(VPN)���。
17.一種設(shè)備����,包括第一移動節(jié)點;第一歸屬代理�,其經(jīng)由第一內(nèi)部通信隧道耦合到所述第一移動節(jié)點;第二移動節(jié)點���;第二歸屬代理,其經(jīng)由第二內(nèi)部通信隧道耦合到所述第二移動節(jié)點��;安全網(wǎng)關(guān)����,其耦合到所述第一內(nèi)部通信隧道和所述第二內(nèi)部通信隧道,其中所述安全網(wǎng)關(guān)橋接所述第一移動節(jié)點和所述第二移動節(jié)點之間的通信�,以使得所述第一內(nèi)部通信隧道和所述第二內(nèi)部通信隧道不必傳送所述第一移動節(jié)點和所述第二移動節(jié)點之間的通信。
18.根據(jù)權(quán)利要求17的設(shè)備�,其中所述安全網(wǎng)關(guān)維持包括綁定表條目的綁定表,所述綁定表條目包含用于所述第一移動節(jié)點和所述第二移動節(jié)點的尋址信息��。
19.根據(jù)權(quán)利要求18的設(shè)備�����,其中所述尋址信息包括所述第一移動節(jié)點的第一外部歸屬地址和所述第一移動節(jié)點的第一內(nèi)部歸屬地址��。
20.根據(jù)權(quán)利要求19的設(shè)備���,當所述第一移動節(jié)點位于由所述安全網(wǎng)關(guān)界定的內(nèi)聯(lián)網(wǎng)之外時�����,所述尋址信息進一步包括所述第一移動節(jié)點的第一外部轉(zhuǎn)交地址��。
全文摘要
根據(jù)本發(fā)明的至少一個實施例���,IP應(yīng)用業(yè)務(wù)可以保密地提供至或提供自屬于相同域的一個或更多MN����,甚至是當這樣的MN位于公司或受保護域之外時�,這樣的內(nèi)聯(lián)網(wǎng)提供了至和/或自諸如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)的受控接入。優(yōu)選地在所有時間在MN之間提供相似的保密性和完整性等級是可能的——這典型地提供在公司環(huán)境內(nèi)(例如在受保護的內(nèi)聯(lián)網(wǎng)范圍內(nèi))��,并且如果在公司�����、家庭�����、學院��、政府、非營利的或其他環(huán)境中���,這樣的保密性和完整性可以對任何類型的網(wǎng)絡(luò)提供���。當一個或更多MN經(jīng)由不能被推斷為本質(zhì)上安全的連接進行通信時,提供安全和有效的通信�����,所述連接例如至公共網(wǎng)絡(luò)的連接�����,所述公共網(wǎng)絡(luò)如互聯(lián)網(wǎng)或受保護的內(nèi)聯(lián)網(wǎng)外部的網(wǎng)絡(luò)�����。
文檔編號H04L29/06GK101091372SQ200680001590
公開日2007年12月19日 申請日期2006年1月6日 優(yōu)先權(quán)日2005年1月7日
發(fā)明者V·K·喬伊, M·巴爾博 申請人:阿爾卡特朗訊公司