專利名稱:移動網(wǎng)絡中基于安全網(wǎng)絡的路由優(yōu)化的方法
技術領域:
概括地說�,本發(fā)明涉及通信系統(tǒng),更具體地���,涉及無線通信系統(tǒng)�����。
背景技術:
傳統(tǒng)無線通信系統(tǒng)使用無線電接入網(wǎng)絡或其他無線實體(例如接入點�����、基站�����、基站路由器等)提供無線連接性����。例如,移動單元可在空中接口上建立與通信地耦合至網(wǎng)絡的無線電接入網(wǎng)絡的無線通信鏈路�����。移動單元可使用該無線通信鏈路來訪問網(wǎng)絡提供的服務����,例如與另一移動單元建立通信會話。在兩個移動單元之間使用通信會話發(fā)送的信息可以是模擬或數(shù)字信息�����,并且移動單元之間的通信路徑可使用電路交換架構或分組交換架構來形成�����。在電路交換架構中,例如在兩個移動單元之間形成專用通信路徑��,并且其可僅由該兩個移動單元來使用��。相反�����,分組交換架構將信息分割成可沿著多條使用共同分組網(wǎng)絡架構的該兩個移動單元之間的路徑發(fā)送的分組��,所述共同分組網(wǎng)絡架構用于在移動單元和他們的網(wǎng)絡對端之間轉發(fā)分組�。因此��,通過分組交換架構的路徑的一些或全部可由耦合至分組交換網(wǎng)絡的其他移動單元或其他實體共享(例如網(wǎng)絡服務器或固定訂戶)���。此外���,幾乎所有分組交換無線系統(tǒng)依賴于因特網(wǎng)協(xié)議(IP)進行路由和轉發(fā)。分組交換網(wǎng)絡更加開放����,因此易于受到攻擊�。因此�����,安全性是分組交換網(wǎng)絡中的主要重點�����。無線通信系統(tǒng)在概念上可構成為多層模型�����。例如��,開放系統(tǒng)互連(OSI)參考模型包括七層應用層�、表示層、會話層��、傳輸層���、網(wǎng)絡層�、數(shù)據(jù)鏈路層��、和物理層。應用層是“最高”層�,所以他最接近于終端用戶。應用層包括提供各種應用的軟件�。表示層建立上下文, 并在不同應用層實體之間轉換�����。會話層控制不同計算機之間建立的會話���,并管理本地和遠程應用之間的連接�。傳輸層提供終端用戶之間的透明數(shù)據(jù)傳送�����,并支持向上層的可靠數(shù)據(jù)傳送服務�����。網(wǎng)絡層提供經(jīng)由一個或多個網(wǎng)絡從源向目的傳送可變長度數(shù)據(jù)序列的功能和過程支持����。數(shù)據(jù)鏈路層提供用于在網(wǎng)絡實體之間傳送數(shù)據(jù)以及提供糾錯的功能和過程支持�。 物理層是“最底”層,其定義了電和物理規(guī)范�����,以及設備之間無錯誤傳輸所需的編碼和調制方案。在物理層和鏈路層可實現(xiàn)各個無線接入技術以支持分組數(shù)據(jù)應用�。一些示例性無線接入技術包括第二代(2G)、第三代(3G)��、和第四代GG)技術�,例如HRPD、1X-EVD0��、UMTS/ HSPA���、WIMAX/IEEE-802. 16�、3GPP2_UMB�����、和3GPP-LTE���。這些無線接入技術根據(jù)標準和/或協(xié)議(例如由第三代合作伙伴計劃(3GPP�����、3GPP2)和WiMAX論壇網(wǎng)絡工作組(NWG)建立的標準和/或協(xié)議)運行����。為了利用已經(jīng)部署的技術的不同信號強度和現(xiàn)有覆蓋區(qū)域,設備供貨商正在開發(fā)和部署能夠使用多個無線接入技術通信的雙模(或多模)移動單元�。例如, 雙模移動單元可提供根據(jù)兩個不同無線接入技術運行的IP連接的兩個獨立部件���。同時�����,服務提供商逐漸使用多于一個的無線接入技術來提供無線連接���。例如,一些服務提供商部署了異構網(wǎng)絡��,其包括用不同接入技術覆蓋的網(wǎng)格和/或相互重疊的覆蓋區(qū)域����。覆蓋的網(wǎng)格和相互重疊的覆蓋區(qū)域可用作從遺留技術向更新技術或用于其他原因的演進的一部分�����,例如減少部署和/或運行成本,提高整體通信頻譜特征等��。
應用層技術也快速演進�。例如,新瀏覽器技術是基于快速替換更舊WAP的方法�,幾乎每個因特網(wǎng)應用正致力于被“移動”以迎合移動訂戶。更多基于因特網(wǎng)協(xié)議(IP)的移動到移動的服務也正在引入���,以補充和升級現(xiàn)有的蜂窩移動到移動服務�。這些移動到移動服務的實例包括補充現(xiàn)有蜂窩語音服務的移動VoIP�����、和具有文本�、音頻和視頻的移動IM,其共享探究傳統(tǒng)蜂窩SMS的更豐富版本�����。因特網(wǎng)協(xié)議語音(VoIP)是將音頻信號(例如語音信號)編碼成數(shù)字格式的技術���,后者可用于形成在網(wǎng)絡層處使用因特網(wǎng)協(xié)議(IP)的分組交換網(wǎng)絡上傳輸?shù)姆纸M��。典型地����,VoIP分組稱為不耐延遲和抖動敏感的信息,因為從發(fā)送器到接收器的傳輸中的大延遲或在目的VoIP會話端(例如移動單元)處連續(xù)分組之間的大延遲可降低由源端生成的音頻信號的質量���。因此��,VoIP應用典型地被限制為以選擇的服務質量(Q0S)等級提供VoIP分組��。例如����,在移動單元中實施的VoIP應用可需要對于網(wǎng)絡上傳輸?shù)姆纸M保持最小等級的延遲����、延遲抖動等。在一些情況下���,客戶可支付更高的費用獲得對于某些應用的總體更高QoS等級�����。典型的無線接入網(wǎng)絡通常分成兩個組件無線電網(wǎng)絡和核心網(wǎng)絡。如圖1中所示的通信網(wǎng)絡100所示����,傳統(tǒng)核心網(wǎng)絡包括兩級IP網(wǎng)關����,其允許移動單元接入因特網(wǎng)���。拜訪網(wǎng)關(VGW)提供核心網(wǎng)絡和無線電網(wǎng)絡之間的接口�����,其包括例如基站�����、基站控制器����、基站路由器�、接入點等的實體。歸屬網(wǎng)關(HGW)與拜訪網(wǎng)關通信����,并提供核心網(wǎng)絡和因特網(wǎng)之間的接口。除了用作因特網(wǎng)的網(wǎng)關之外���,歸屬網(wǎng)關典型地負責IP地址分配和管理���。特別當歸屬網(wǎng)關和拜訪網(wǎng)關通過不同服務提供商操作時和/或當兩個網(wǎng)關地理上或拓撲上彼此遠離時����, 如圖2中所示的通信網(wǎng)絡200所示�����,歸屬網(wǎng)關和拜訪網(wǎng)關可通過一個或多個對等網(wǎng)絡來分
1 O歸屬網(wǎng)關��、拜訪網(wǎng)關和這些網(wǎng)關之間的任意對等網(wǎng)絡可成為將分組傳送至因特網(wǎng)或從因特網(wǎng)傳送分組的阻塞點��。例如��,如果兩個移動單元具有建立的呼叫會話����,用于該兩個移動單元的核心網(wǎng)絡網(wǎng)關可能處于兩個不同城市。提供空中接口的基站也可在與任意核心網(wǎng)絡網(wǎng)關完全不同的城市中��。在一些情況下�����,由于骨干網(wǎng)運營商之間的對等關系,基站和歸屬網(wǎng)關之間的路由可經(jīng)歷不同城市中的多個對等網(wǎng)絡�。依據(jù)網(wǎng)絡的拓撲�����,連相同拜訪網(wǎng)關服務的呼叫也可通過多個網(wǎng)關和/或對等網(wǎng)絡來路由����。例如,參加位于芝加哥的會議的兩個用戶(一個來自紐約城�����,一個來自洛杉磯)之間的呼叫可能必須從芝加哥路由至紐約城到洛杉磯���,然后路由回芝加哥���,即使當建立呼叫時用戶可能在相同建筑中。這個情形有時候稱為“三角路由問題”�����,因為分組通過歸屬代理從因特網(wǎng)主機路由至移動節(jié)點(即沿著三角的兩條直角邊)��,盡管存在從因特網(wǎng)主機到移動節(jié)點的直接路徑(即三角的斜邊)。真實通信網(wǎng)絡的多樣性使得三角路由問題明顯復雜化�����。由于用戶位置的地理多樣性���、無線電網(wǎng)絡��、核心網(wǎng)絡的拜訪網(wǎng)關�、和核心網(wǎng)絡中的傳輸�����,運營商被迫使用各個對端點將業(yè)務路由至因特網(wǎng)���。事實上�,網(wǎng)絡的多個簇通過各個標準和對端策略聲明的路由和轉發(fā)路徑來建立�����,這可帶來低效性�。例如,通過多個對端點的移動單元呼叫的被迫路由可導致引起終端用戶不滿的端對端延遲的明顯增加,以及可導致增加運行費用(OPEX)的傳輸成本增加�����。由于固有的缺乏故障冗余�����,阻塞點還具有造成低效和大規(guī)模故障的可能性���。這些缺陷可破壞訪問通過物理層和應用層技術的演進提供的網(wǎng)絡的效率。這些效果也可由于移動到移動呼叫的明顯百分比受限于由相同拜訪網(wǎng)關潛在服務的地理區(qū)域的事實而加劇��。出版的各個因特網(wǎng)/無線標準草案和研究提出了改善三角路由問題的方法�����。一個技術是基于客戶端的路由優(yōu)化技術��,其用作Mobile IPv6的一部分����。然而,這個技術需要包含客戶端(例如因特網(wǎng)主機和/或移動節(jié)點)���,并且對于每個對應節(jié)點執(zhí)行一次����。此外,協(xié)議僅在移動節(jié)點和對應節(jié)點兼容于IPv6并且可使用IPv6歸屬和轉交地址來尋址時適用����。 因為其復雜、繁瑣��、和易于安全失效�,基于客戶端的路由優(yōu)化技術還未廣泛實施。解決三角路由問題的另一方法是基于策略的本地突破(local breakout)技術�����,其對于客戶端使用多個IP地址并基于策略路由特定流��?���;诓呗缘谋镜赝黄萍夹g主要用于尋址從一個網(wǎng)絡向另一網(wǎng)絡漫游的和/或在多個服務提供商之間漫游的訂戶。作為實例����, 考慮訪問美國網(wǎng)絡的亞洲訂戶。在這個情況下,基于策略的本地突破技術可將訂戶分配給兩個“歸屬”網(wǎng)關-一個在亞洲�,另一個在美國。然后����,可使用一個或多個策略來確定如何路由呼叫。例如�,策略可聲明使用美國歸屬網(wǎng)關分配的IP地址本地路由延遲敏感的呼叫。 策略還聲明僅通過亞洲的歸屬網(wǎng)關(例如訂戶的語言的音樂服務)來路由其他應用��。通過亞洲歸屬網(wǎng)關路由的應用可使用亞洲歸屬網(wǎng)關分配的IP地址來解決用戶的移動性�����。另一備選方案是利用媒體感知路由概念��,其可用于與各種設備(有線和無線)通信的異構網(wǎng)絡����。例如�����,實現(xiàn)媒體感知路由的系統(tǒng)可嘗試基于正發(fā)送的媒體類型提供最佳路由���。例如��,VoIP呼叫可根據(jù)一個策略路由�,流視頻可根據(jù)另一策略路由,以及文本消息可根據(jù)另一策略路由����。
發(fā)明內容
公開的主題旨在解決以上闡述的一個或多個問題的影響。以下提供公開主題的簡化發(fā)明內容���,以提供公開的主題的一些方面的基本理解��。這個內容并非公開的主題的窮盡性概括�����。他并非旨在識別公開的主題的主要或關鍵元素��,或界定公開的主題的范圍�。其唯一目的在于以簡化形式提供一些概念�����,作為隨后討論的更多具體實施方式
的前序����。在一個實施例中�����,提供一種涉及與第一歸屬網(wǎng)關關聯(lián)的第一移動設備的路由優(yōu)化的方法���。本發(fā)明的一個實施例在第一移動轉發(fā)實體中實現(xiàn)并包括在所述第一移動轉發(fā)實體處登記所述第一移動設備。所述第一移動設備使用由所述第一移動設備發(fā)送的登記消息中包括的會話密鑰來登記�。該實施例還包括使用所述會話密鑰建立所述第一移動轉發(fā)實體和終止節(jié)點之間的安全路由。所述安全路由繞過所述第一歸屬網(wǎng)關���。
參照結合附圖進行的以下描述�,可理解公開的主題����,其中類似標號標識類似元素���, 其中圖1概念性示出示例性無線通信系統(tǒng)�;圖2概念性示出通過各個對端網(wǎng)絡的移動交換中心和內部連接的傳統(tǒng)網(wǎng)絡����;圖3概念性示出支持基于安全代理的路由優(yōu)化的無線通信系統(tǒng)的第一示例性實施例�����;圖4概念性示出支持基于安全代理的路由優(yōu)化的無線通信系統(tǒng)的第二示例性實施例���;以及圖5概念性示出基于安全代理的路由優(yōu)化的方法的一個示例性實施例。盡管公開的主題可進行各種修改和備選形式����,在附圖中通過實例示出其特定實施
6例,并在這里詳細描述�。然而,應理解�����,這里特定實施例的描述并非旨在將公開的主題限制在公開的特定形式���,而是相反����,本發(fā)明覆蓋落入所附權利要求的范圍內的所有修改��、等同物�����、和備選。
具體實施例方式以下描述示例性實施例�����。為了簡明����,本說明書中并未描述實際方案的所有特征。當然��,可理解����,在任意這樣的實際實施例的開發(fā)中,應做出各個方案特定的決定以實現(xiàn)開發(fā)者的特定目標��,例如兼容于系統(tǒng)相關和商務相關的限制��,這將在方案之間彼此不同���。此外,應理解���,這樣的開發(fā)努力可能是復雜耗時的��,但是對于獲益于本發(fā)明的本領域技術人員是常規(guī)性任務?�,F(xiàn)在將參照附圖描述公開的主題�����。僅為了說明的目的��,在附圖中示意性示出個結構�����、系統(tǒng)和設備�����,并沒有用對于本領域技術人員已知的細節(jié)掩蓋本發(fā)明�����。但是��,包括附圖以描述和說明公開的主題的示例性實例�����。這里使用的詞語和短語應理解和解釋為具有與本領域技術人員對于那些詞語和術語的理解相一致的含義。并沒有術語或短語的特定定義�,即與本領域技術人員理解的普通和習慣性含義不同的定義旨在通過這里的術語或短語的一般性使用來暗示。如果術語或短語用于具有特定含義���,即不同于本領域技術人員理解的含義�,這樣的特定定義將在說明書中通過直接和明確提供對于術語或短語的特定定義的定義方式來明確闡述�����。一般來說��,本申請的主題是基于安全代理(或基于網(wǎng)絡)的路由優(yōu)化���,其通過降低延遲提供高的終端用戶體驗質量OioE)���。這里所述的技術還提高了網(wǎng)絡效率,導致充分發(fā)展的公共陸地移動數(shù)據(jù)網(wǎng)絡(PLMN)�,其還可稱為移動因特網(wǎng)。這里所述的基于安全代理的路由優(yōu)化技術的實施例實現(xiàn)了以下設計原理中的一個或多個 優(yōu)化的路由提供了消除公知的拒絕服務(DoS)攻擊的安全路由���。此外�����,安全路由應該以最佳方式在多個移動運營商之間工作��?��!せ诰W(wǎng)絡(或代理)的路由優(yōu)化技術可用于最小化客戶端輸入以及空中接口上的業(yè)務,這是昂貴的�����。使用基于網(wǎng)絡的方法還對客戶端提供了隱含式保護��,并且可縮減客戶端設備的作用�,因此簡化客戶端設備的操作/設計并保留電池電力?�!ぐ踩酚蓛?yōu)化技術反映了支持與現(xiàn)有標準���、移動網(wǎng)絡和因特網(wǎng)的互通和/或后向兼容的進化方法�����。這里所述的安全路由優(yōu)化技術的實施例可因此用于遺留的移動和因特網(wǎng)協(xié)議��,例如IPv4和IPv6����,并且可獨立于在接入網(wǎng)絡中實施的宏移動性管理協(xié)議在多個接入網(wǎng)絡之間無縫工作。這里所述的安全路由優(yōu)化技術的一些實施例可因此看作現(xiàn)有標準和網(wǎng)絡的提高���,因此能夠實現(xiàn)安全路由優(yōu)化技術的逐漸鋪開�����。在一個實施例中�����,這里所述的安全路由優(yōu)化技術可通過引入兩個功能實體來實現(xiàn)�,這里稱為移動路由實體(MRE)和移動轉發(fā)實體(MFE)�。然而,本領域技術人員可理解����,這些功能實體的不同實施例可使用不同術語來提及。使用新功能實體可允許與現(xiàn)有移動數(shù)據(jù)組網(wǎng)標準��、產(chǎn)品以及因特網(wǎng)容易結合和相互操作。這里�,術語“路由”理解為表示策略、表���、 和控制面路徑的建立,其用于通過無線指示系統(tǒng)來路由數(shù)據(jù)����。這里,術語“轉發(fā)”理解為表示按照通過路由功能以經(jīng)由無線通信系統(tǒng)移動信息(通常以分組形式)所建立的策略動作的處理���。
這里���,主要在通過(可能異構的)無線通信系統(tǒng)通信的兩個移動設備的環(huán)境下討論安全路由優(yōu)化。兩個移動設備可在不同空中接口上訪問無線通信系統(tǒng)���。然而��,獲益于本發(fā)明的本領域技術人員應理解����,這里描述的技術可用于在漫游移動設備和任意其他端點或無線通信系統(tǒng)中或因特網(wǎng)外的終止節(jié)點之間建立安全路由�����。例如,這里所述的技術可用于在與漫游移動設備關聯(lián)的移動轉發(fā)實體和提供由漫游移動設備訪問的web服務的服務器之間建立安全路由�����。在這個情形下����,安全路由優(yōu)化可使用IP地址或服務器的其他標識符在移動轉發(fā)實體和服務器之間建立安全路由。相比于現(xiàn)有技術��,這里所述的安全路由優(yōu)化技術的實施例具有多個優(yōu)點�。主要通過電路網(wǎng)絡的封閉性在語音網(wǎng)絡中提供安全性。類似地�����,在第二代蜂窩網(wǎng)絡中實現(xiàn)的本地突破技術基于本地骨干網(wǎng)����,這表面上是電路概念。因此���,對于當前和未來的基于IP(即開放)移動數(shù)據(jù)網(wǎng)絡����,這些技術沒有提供充分的安全性。這里所述的安全路由優(yōu)化技術提供通過在第三代和隨后蜂窩網(wǎng)絡中實現(xiàn)的異構開放網(wǎng)絡的安全路徑���。此外�����,第二代蜂窩具有大量引入的創(chuàng)新,而沒有考慮到現(xiàn)有網(wǎng)絡����,因為第一代蜂窩部署在那個時候并不多見。然而��,新興的蜂窩數(shù)據(jù)網(wǎng)絡的前景大有不同���,并且必須遵循以接近一億數(shù)據(jù)訂戶為大核心的現(xiàn)有標準和網(wǎng)絡����。這里所述的安全路由優(yōu)化技術的后向兼容性可有助于方便與現(xiàn)有和新興的蜂窩數(shù)據(jù)網(wǎng)絡結合�����。參照圖3,示出無線通信系統(tǒng)300的第一示例性實施例�����。在所示實施例中�����,無線通信系統(tǒng)300包括多個互連的運營商網(wǎng)絡305 (1-11)��。不同的索引(1-11)可用來表示各個運營商網(wǎng)絡或運營商網(wǎng)絡的子集��。然而���,當共同表示運營商網(wǎng)絡305時可去掉這些索引�。本發(fā)明可應用于附圖中所示并通過數(shù)字和一個或多個不同索引識別的其他部件�。獲益于本發(fā)明的本領域技術人員應理解,運營商網(wǎng)絡305(還可稱為骨干運營商網(wǎng)絡305)可根據(jù)多個標準和/或協(xié)議運行�。例如�,無線通信系統(tǒng)300可以是包括根據(jù)2G和3G標準和/或協(xié)議的混合運行的運營商網(wǎng)絡305的異構系統(tǒng)�����。此外��,用于運營商網(wǎng)絡305的實現(xiàn)和操作的技術是本領域已知的,并且為了清楚��,這里僅討論與本申請所述主題相關的運營商網(wǎng)絡305 的實現(xiàn)和運行的那些方面����。無線通信系統(tǒng)305還包括用于提供無線連接性的無線接入點310。圖3中僅示出兩個無線接入點310��,但是獲益于本發(fā)明的本領域技術人員應理解��,無線通信系統(tǒng)305可包括多個接入點310����。此外�����,接入點310可包括基站�����、基站路由器����、藍牙接入點�����、根據(jù)IEEE 802 協(xié)議運行的接入點等�。移動單元315可因此在移動單元315和接入點310之間的空中接口 320上接入無線通信305��。移動單元315還可稱為使用例如移動節(jié)點���、對應節(jié)點�、移動站�����、用戶設備�、訂戶設備、訂戶站等的術語�。在所示實施例中,移動單元315 (1)連接至基站310 (1)����,而該基站連接至在運營商網(wǎng)絡305(1)中實現(xiàn)的拜訪網(wǎng)關325(1)。移動單元315( 連接至基站310 )��,其連接至在運營商網(wǎng)絡305(3)中實現(xiàn)的拜訪網(wǎng)關325(2)���。在所示實施例中�,兩個移動單元315 (1_2) 錨接在相同歸屬網(wǎng)關330。拜訪網(wǎng)關325與歸屬網(wǎng)關330地理和/或拓撲分離的這樣的情形是相當?shù)湫偷?�,因為拜訪網(wǎng)關325的數(shù)目通常遠大于歸屬網(wǎng)關330的數(shù)目�。此外,歸屬網(wǎng)關330可中心化�����,以使歸屬網(wǎng)關330更易于分配和管理IP地址和策略���。然而�����,獲益于本發(fā)明的本領域技術人員應理解,在備選實施例中����,移動單元315可在不同歸屬網(wǎng)關330中錨接。如圖3所示���,通過歸屬網(wǎng)關330的傳統(tǒng)路徑340涉及通過多個骨干網(wǎng)絡310和對等點的傳輸�����。傳統(tǒng)路徑340中的多個骨干網(wǎng)絡310和/或對等點可導致延遲����、丟失分組、增加延遲��、以及可降低用戶的體驗質量的其他缺陷�����。在操作中�,安全路由優(yōu)化可用于生成拜訪網(wǎng)關325之間的安全優(yōu)化路徑345。在所示實施例中�,安全優(yōu)化路徑345繞過歸屬網(wǎng)關 330,因此相對于傳統(tǒng)路徑340減少了介入的運營商網(wǎng)絡305的數(shù)目�����。安全路由優(yōu)化包括移動單元315(1)的登記�����、與移動單元315(1)關聯(lián)的拜訪網(wǎng)關325( 的發(fā)現(xiàn)、在拜訪網(wǎng)關325 之間建立安全路由345����、以及隨后在安全路由345上轉發(fā)分組。在所示實施例中����,移動單元 315(1)授權拜訪網(wǎng)關325(1)執(zhí)行安全路由優(yōu)化,然后移動單元315(1)將這個功能的責任委派給拜訪網(wǎng)關325(1)���。在這個情況下��,僅移動單元315(1)具有任意給定流的“權力”���,并且路由的任何改變可由移動單元315(1)授權,其隨后將責任委派給拜訪網(wǎng)關325(1)以執(zhí)行這樣的行為���。在一個實施例中�����,拜訪網(wǎng)關325均可支持移動轉發(fā)實體(MFE,圖3中未示出)�����,這是用于實現(xiàn)安全路由優(yōu)化功能的邏輯實體。MFE還與移動路由實體(MRE)交互��,以識別可用作被定義以及用于在移動單元315之間傳播分組的安全路由的端點的其他MFE�。在一個實施例中,MRE是提供關于移動單元315的拜訪位置以及拜訪網(wǎng)絡325的身份的信息的大型分布式數(shù)據(jù)庫����。盡管圖3示出移動單元315之間的通信,本領域技術人員應理解��,這里所述的技術還可用于在與一個移動單元315關聯(lián)的移動轉發(fā)實體和任意其他網(wǎng)絡端點或終止節(jié)點(例如用于由IP地址可識別的網(wǎng)站的服務器)之間提供安全路由優(yōu)化����。圖4概念性示出無線通信系統(tǒng)400的第二示例性實施例。在所示實施例中�����,無線通信系統(tǒng)400包括基站405���,其用于在空中接口 415上向移動單元410提供無線連接����。無線通信系統(tǒng)400的第二示例性實施例還包括通信地耦合至基站405的多個移動轉發(fā)實體420。 一個或多個移動路由實體425也包括在無線通信系統(tǒng)400中��。在各個備選實施例中���,移動路由實體425可以是獨立的����,或可以是分布式移動路由實體425的一部分��。獲益于本發(fā)明的本領域技術人員應理解�,圖3中所示的特定數(shù)目的實體以及這些實體之間的互連用于圖示,并且備選實施例可包括以不同方式互連的不同數(shù)目的這些實體��。在一些情況下�����,圖4中所示的第二示例性實施例中示出的各個實體可重疊于圖3 所示的實體和/或實現(xiàn)于圖3所示的實體中����。例如,移動轉發(fā)實體420和/或移動路由實體425的一個或多個可實現(xiàn)在圖3所示的拜訪網(wǎng)關325或歸屬網(wǎng)關330的一個或多個中���。 然而�,獲益于本發(fā)明的本領域技術人員應理解����,這對于這里描述的技術的實踐并非必要。在一些實施例中�����,移動轉發(fā)實體420和/或移動路由實體425可以是獨立于拜訪網(wǎng)關325和歸屬網(wǎng)關330實現(xiàn)的獨立實體���,例如����,移動實體可通過在不同物理位置部署的不同“箱體” 中實現(xiàn)��。在所示實施例中�,移動單元410(1)連接至基站405(1),其可與移動轉發(fā)實體 420(1)通信�����。移動單元410(1)可嘗試與移動單元410( 建立呼叫會話�����,后者連接至基站 405(2)和移動轉發(fā)實體420( 。然后����,可執(zhí)行安全路由優(yōu)化,以允許分組在安全路由430 上在移動轉發(fā)實體420 (1-2)之間直接隧接��。安全路由優(yōu)化技術開始于移動單元410(1)向移動轉發(fā)實體420(1)登記��。在一個實施例中�����,使用多步登記處理來實現(xiàn)基于策略的路由優(yōu)化����,并使得移動移動單元410(1)能夠將授權委派給移動轉發(fā)實體(或拜訪網(wǎng)關)420(1),以執(zhí)行安全路由優(yōu)化�。登記還可允許無線通信系統(tǒng)400驗證移動單元410(1)是否被授權調用網(wǎng)絡中的安全路由優(yōu)化服務。例如����,移動單元410(1)可請求通告,以要求移動轉發(fā)實體420 (2)發(fā)送對于可由移動轉發(fā)實體 420(1)提供的基于安全代理(或基于網(wǎng)絡)路由優(yōu)化和/或其他服務的通告�。移動轉發(fā)實體420(1)可隨后通告所提供的路由優(yōu)化服務,并在一些情況下�,與移動單元410(1)交換用于登記和委派的隨機數(shù)(nonce)����。此外�����,移動轉發(fā)實體420 (1)可通告其他服務和性能提高����,其可包括報頭壓縮���、防火墻服務�、加密等���。移動單元410(1)可隨后向移動轉發(fā)實體420(1)發(fā)送所簽署的綁定登記��,后者可返回綁定確認�。然而���,本領域技術人員應理解��,當前技術不限于綁定登記和/或綁定確認的傳輸�����,并且備選實施例可支持其他消息的交換��。來自移動單元410(1)的綁定登記可包括與安全路由優(yōu)化服務關聯(lián)的服務ID���。移動單元410(1)也可選擇額外服務�����,并可在綁定登記中指示額外服務����。來自移動轉發(fā)實體420(1)的綁定確認可包括移動單元410(1)可用于隨后通信的隨機數(shù)����。綁定可具有有限的生存時間,所以如果移動單元410(1)想要繼續(xù)使用綁定���,他可需要在登記過期之前重新登記�����。成功的綁定登記和確認指示了移動單元410(1)將授權委派給網(wǎng)絡以執(zhí)行安全路由優(yōu)化(和其他服務)��,以及網(wǎng)絡確認移動單元410(1)被授權用于這樣的服務���。在一個實施例中���,移動單元410(1)和移動轉發(fā)實體420(1)共享針對綁定登記和確認而指定的會話密鑰,并且可用于簽署綁定登記����。在一個實施例中���,會話密鑰可從先前的訪問認證過程來導出���。一旦移動單元410(1)向移動轉發(fā)實體420(1)登記,可執(zhí)行發(fā)現(xiàn)以定位與移動單元410( 鄰近的移動轉發(fā)實體420( ����。可與呼叫建立同時或在開始業(yè)務流之后執(zhí)行發(fā)現(xiàn)���。 在一個實施例中����,移動單元410(1)從綁定確認中發(fā)送的隨機數(shù)列表挑選隨機數(shù),并發(fā)送具有目的移動單元410(2)的IP地址和基于安全代理的路由優(yōu)化服務ID的請求消息�。請求消息可使用會話密鑰來簽署。如果移動單元410(1)已經(jīng)具有相同目的移動單元410 (2)的進行流����,則源移動單元410(1)包括用于簽署的消息中的新流(除了目的IP地址)的源和目的端口號。此時�,在協(xié)議中,移動轉發(fā)實體420(1)潛在地不知道錨接目的移動單元410 (2)的拜訪網(wǎng)絡��。源移動轉發(fā)實體420(1)可因此向本地移動路由實體425(1)發(fā)送具有目的移動單元410(2)的IP地址的安全請求���。在所示實施例中��,移動路由實體425(1)維持分布式數(shù)據(jù)庫�����,其提供關于移動的拜訪位置的信息以及拜訪網(wǎng)絡的身份��。移動路由實體425(1)可因此使用目的移動單元410 (2)的IP地址來搜索分布式數(shù)據(jù)庫�����,以定位移動轉發(fā)實體420 (2) 的目的IP地址��。移動路由實體425(1)還可需要聯(lián)系另一移動路由實體(例如425 ))以獲得移動單元410 (2)的拜訪坐標(例如目的移動轉發(fā)實體420 (2)的IP地址)�����。移動路由實體425(1)可隨后返回目的移動轉發(fā)實體420(2)的IP地址���、以及目的移動轉發(fā)實體 420(2)的域名或身份�����。在移動單元410(1)正在訪問由服務器(圖4中未示出)提供的web服務的情形下����,安全路由的一個端點是服務器�,其可不具有關聯(lián)的移動轉發(fā)實體420����。因此,移動單元410(1)和服務器之間的通信路徑可不包括第二移動轉發(fā)實體420����。相反,移動轉發(fā)實體 420(1)可使用服務器的已知IP地址或其他標識符,將服務器識別為用于路由優(yōu)化過程的適當端點����。移動轉發(fā)實體420(1)可因此能夠識別服務器,而不必與移動路由實體425(1)通信��。識別目的移動轉發(fā)實體420 (2)的信息可通過源移動轉發(fā)實體420 (1)高速緩存�����,以用于未來轉發(fā)決定��。換句話說����,如果源移動轉發(fā)實體420(1)已經(jīng)知曉目的移動轉發(fā)實體 420(2)的身份和IP地址,這個步驟可能不必執(zhí)行��。高速緩存識別信息(例如目的移動轉發(fā)實體420的IP地址和/或域名或身份)可允許在這個信息已經(jīng)提供至源移動轉發(fā)實體 420的情況下相對快速地訪問這個信息��。因此�����,高速緩存識別信息可通過減少延遲來明顯改善系統(tǒng)的性能�。如果移動路由實體425(1)在其數(shù)據(jù)庫中不能夠定位目的移動轉發(fā)實體 420(2)的IP地址�,其可將對于該信息的請求轉發(fā)至無線通信系統(tǒng)400中的其他實體����,例如其他移動路由實體425 (1),并使用這個信息來填充數(shù)據(jù)庫和返回所請求的信息�。然后,可在源和目的移動轉發(fā)實體420 (1-2)之間建立安全路由430���。在一個實施例中��,在源和目的移動轉發(fā)實體420(1-2)之間協(xié)商相互認證的密鑰協(xié)議����,以建立安全路由 430����。可依據(jù)目的和源移動性隨后進行不同過程��。在目的和源移動轉發(fā)實體420(1- 沒有在他們之間建立活動會話的情形下�,源移動轉發(fā)實體420(1)基于源和目的移動轉發(fā)實體420 (1-2)的身份與目的移動轉發(fā)實體 420(2)執(zhí)行認證的密鑰交換過程�����。轉發(fā)實體可能不具有預共享密鑰,在這個情況下可使用證書或基于身份加密(IBE)協(xié)議來執(zhí)行認證的密鑰交換�����?����;贗BE的相互認證的密鑰協(xié)議的優(yōu)點是固有的簡單性(無H(I)�����,同時保持不具有密鑰托管的良好前向保密����。一旦執(zhí)行了這個步驟,源移動轉發(fā)實體420(1)向目的移動轉發(fā)實體420( 發(fā)送簽署的綁定登記���,其包括源和目的移動單元410 (1-2)的IP地址�。這個登記有效地向目的移動轉發(fā)實體420 (2) 通知了優(yōu)化流的路由的意圖�。在響應中,如果目的移動單元410(2)在目的移動轉發(fā)實體 420(2)錨接�����,目的移動轉發(fā)實體420 (2)確認綁定。目的移動轉發(fā)實體420 (2)也確認為了基于安全代理的路由優(yōu)化向目的移動轉發(fā)實體420 (2)登記了目的移動單元410(1)��。在發(fā)送綁定確認之前���,目的移動轉發(fā)實體420( 可選地可通過聯(lián)系本地移動轉發(fā)實體420(1) 來選擇驗證源移動單元410(1)的位置����。該驗證步驟可防止流氓MFE建立假流���。在源和目的移動轉發(fā)實體420(1-2)已經(jīng)共享活動會話的情況下�����,例如因為他們彼此認證并由于在針對潛在不同移動單元之間的一些其他呼叫的相同移動轉發(fā)實體 420(1-2)之間的先前基于安全代理的優(yōu)化請求而具有會話密鑰����。在這個情況下�,執(zhí)行綁定登記和綁定確認,但是可跳過認證密鑰協(xié)議步驟���。如果源和目的移動單元410 (1-2)已經(jīng)共享活動會話,則源移動轉發(fā)實體420(1)可在登記消息中還包括源和目的端口(除了移動單元的IP地址)���。然后�,可在安全路由430上轉發(fā)分組。從源移動單元410(1)接收的分組包含目的移動單元410 (2)的IP地址作為目的IP地址�����,因此路徑的任意改變將需要分組的修改���,以確保中間路由器不拒絕分組��。這可通過多個方式實現(xiàn)�����,包括隧接���、網(wǎng)絡地址轉換、和路由報頭的修改��。隧接可通過在移動轉發(fā)實體420 (1-2)之間建立IP-in_IP (或GRE)隧道來實現(xiàn)�����。 模擬隧接技術的實例是在移動IP�、GTP��、以及代理移動IP中使用的隧接技術��。在一個實施例中���,在分組的封裝之前,可使用報頭壓縮來最小化分組開銷�。還可實施網(wǎng)絡地址轉換機制。例如���,當移動轉發(fā)實體420 (1-2)交換綁定登記和確認時����,可交換專用于拜訪域的移動特定拜訪地址����。換句話說,移動轉發(fā)實體420 (1- 兩者可針對他們各自移動單元建立移動單元特定的共置轉交地址并進行交換�����。一旦進行這個操作���,當通過移動單元將分組發(fā)送至MFE (上游或下游)時����,進行適當網(wǎng)絡地址轉換�,其中將移動單元的IP地址用他們對應的共置轉交地址代替。類似地����,當MEF準備向移動單元發(fā)送分組時,將進行從共置的轉交地址向移動單元的IP地址(由歸屬網(wǎng)絡分配)的反向轉換���。這樣的過程適用于IPv4和IPv6移動單元兩者���,并且移動單元不需要知曉給定移動單元的共置轉交地址。例如���,當源和目的移動單元410(1)兩者支持IPv6時���,可使用路由器報頭。例如��, 當MFE從移動單元接收分組時�����,在路由報頭中增加其他MFE的IP地址,作為到達目的地之前的中間跳���。在一些實施例中�,在轉發(fā)過程期間�,移動轉發(fā)實體420還可對于例如報頭壓縮和業(yè)務流的加密的服務提供支持。例如�,源和目的移動轉發(fā)實體420可導出在認證密鑰協(xié)定階段期間的加密和業(yè)務認證密鑰,以加密和簽署業(yè)務流�����。通過類似方式��,登記過程允許移動單元410委派網(wǎng)絡以提供這樣的性能提升��,同時網(wǎng)絡可驗證這樣的服務是否針對移動單元而被授權��。每個移動路由實體(MRE) 425維持數(shù)據(jù)庫����,其存儲移動單元410的拜訪坐標。數(shù)據(jù)庫坐標包括每個移動單元410登記的移動轉發(fā)實體420的IP地址以及登記的移動轉發(fā)實體420的域名或身份���。因此�,每個移動單元410可使用歸屬IP地址尋址,并且移動路由實體 425可提供對于基于安全代理的路由優(yōu)化操作相關的拜訪網(wǎng)絡的坐標��。在一個實施例中���, 移動路由實體425可實現(xiàn)為包括在不同位置建立和維持的本地數(shù)據(jù)庫的分布式數(shù)據(jù)庫。但是���,在需要時���,分布式移動路由實體425可用作一個合成數(shù)據(jù)庫。一般地��,移動路由實體425 響應于來自MFE 420的查詢����,響應于來自另一 MRE 425的查詢,以及當移動性事件發(fā)生時更新數(shù)據(jù)庫���。移動路由實體425使用數(shù)據(jù)庫來定位與移動單元410關聯(lián)的移動轉發(fā)實體420�����。 例如����,移動路由實體(MRE)425(1)可從移動轉發(fā)實體420(1)接收對于與移動單元410 (2) 關聯(lián)的另一移動轉發(fā)實體420( 的身份和/或位置的請求MRE 425(1)可通過移動單元 410(2)的拜訪坐標和/或指示移動轉發(fā)實體420 (2)的尋址信息來響應,如果該信息本地可用��。如果該信息本地不可用��,例如����,如果移動單元410 (1)嘗試聯(lián)系移動單元410 (3),則MRE 425(1)可聯(lián)系移動單元410 (3)的歸屬網(wǎng)絡中的另一 MRE 425 O)�,以獲得移動單元410 (3) 和/或移動轉發(fā)實體420 C3)的拜訪坐標。這個信息隨后與MFE 420(1)共享��,并且還可高速緩存以備未來使用��。如果MRE 425(1)不能夠在“合理”時間解析查詢���,則他可返回“坐標未知”消息給MFE 420(1)���。這個結果可能并非災難性的,因為沒有排除通過移動單元的歸屬網(wǎng)關的“缺省”路由����。在一個實施例中�,當MRE 425(1)聯(lián)系移動單元的歸屬網(wǎng)絡中的另一 MRE 425(2) 時����,MRE 425(2)的IP地址(或域名)可能對于MRE425(1)未知。例如����,當移動主機的運營商不同于聯(lián)系MRE的運營商時,MRE 425可能不知道彼此的IP地址或域名���。這個問題可通過兩個步驟的過程來解決。首先��,本地MRE 425(1)到達其自身歸屬MRE(這由與本地MRE 425(1)相同的運營商維持)�����,并轉發(fā)從MFE 420(1)接收的請求����。如果信息本地可用,則將其繼續(xù)傳遞至本地MRE 425(1)�����。如果不,則“歸屬MRE”隨后到達移動單元的“歸屬MRE”(在相關運營商的域中)��,并獲得移動單元的拜訪坐標���。在以上實施例中存在兩個基本假設��。第一�����,可假設歸屬網(wǎng)絡中的MRE與歸屬網(wǎng)關工作以維持其本地數(shù)據(jù)庫����。第二���,每個運營商可將一個或多個MRE指定為“歸屬MRE”���,此外,這些部件將各個“歸屬MRE”的坐標維持在其他運營商網(wǎng)絡中���。換句話說�,MRE可組織為跨運營商邊界工作的層級分布式數(shù)據(jù)庫。這可通過使得每個拜訪網(wǎng)絡具有一個本地MRE�����,以及使得每個歸屬網(wǎng)關具有一個“歸屬MRE”來容易地實現(xiàn)�����。額外MRE可本地地增加����,否則用于冗余目的。此外����,拜訪網(wǎng)絡可隨后與本地MRE共享信息����,其中移動單元的坐標連接至他們的網(wǎng)絡。如先前所觀察����,使用這個查詢處理獲得的信息可被高速緩存,用于通過涉及的每個MRE隨后使用�����。在一個實施例中,可存在與高速緩存的信息關聯(lián)的期滿時間����。移動單元410可繼續(xù)在整個無線通信系統(tǒng)400中漫游,所以無線通信系統(tǒng)400可支持宏移動性功能�。在一個實施例中,當移動單元410從一個拜訪網(wǎng)關切換至另一個時�,通知移動單元410的歸屬網(wǎng)關。例如���,在新興的網(wǎng)絡中���,目標拜訪網(wǎng)關和歸屬網(wǎng)關之間的代理移動IP綁定更新和確認可用于支持宏移動性。在更新/確認的事件中����,涉及的拜訪網(wǎng)關可更新對應的本地MRE數(shù)據(jù)庫,并且歸屬網(wǎng)關可更新歸屬MRE��。數(shù)據(jù)庫更新的特征(即基于事件的推或周期性拉)是設計選擇的問題����。當MFE 420從MRE 425請求信息時����,MRE 425中高速緩存的信息可潛在地是舊的����, 并且MRE 425可能不知曉高速緩存的信息變?yōu)榕f的。當MFE 420使用舊的信息并聯(lián)系移動單元410的拜訪網(wǎng)絡時����,可清楚信息是舊的。在這個情形下��,源MFE 420可再次通過額外指示(他在先前查詢中接收的信息是舊的)來查詢MRE 425��。MRE 425可刪除高速緩存的項目����,并返回至移動單元410的歸屬網(wǎng)絡中的MRE 425以獲得移動單元410的坐標(如先前討論),以獲得移動單元410的拜訪坐標��。當這個事件發(fā)生時�,“呼叫”通過缺省路由在移動單元410之間繼續(xù)�。隨后,一旦最佳路由被確立并建立����,可發(fā)生沿著最佳路徑轉發(fā)分組�����。無線通信系統(tǒng)400可實施各個安全原理�����,以支持基于安全代理的路由優(yōu)化�����。在一個實施例中��,僅為了授權的流支持基于網(wǎng)絡的路由優(yōu)化���。這用于確保由網(wǎng)絡實現(xiàn)運營商策略提供的服務,并且不可用于(未授權的)對方�����。此外����,當給定移動單元410的流被授權接收由基于安全代理的路由優(yōu)化提供的性能提高時����,在網(wǎng)絡可對于與移動單元410關聯(lián)的流執(zhí)行基于安全代理的路由優(yōu)化之前����,可需要移動單元410將需要時修改分組的責任(例如封裝或網(wǎng)絡地址轉換等)委派給網(wǎng)絡。網(wǎng)絡和移動單元410可搭載(如果可能)在現(xiàn)有鏈路層認證機制上���,以建立特權并委派責任����。在信令傳送事件和信息交換之前�,路由優(yōu)化中涉及的網(wǎng)絡部件也可共享或建立安全關聯(lián)。這用于降低由未授權的對方劫持會話的可能性�����。 可實現(xiàn)各個安全需求用于會話建立��,以及與數(shù)據(jù)庫的通信����,以獲得信息和提供更新。在無線通信系統(tǒng)400中可實現(xiàn)的安全架構的一個示例性實施例中�����,移動單元410 可使用標準的現(xiàn)有協(xié)議通過接入網(wǎng)絡認證他們�����。因此�����,認證和密鑰協(xié)定的方法可能是標準特定的����。在成功認證之后,移動單元410和認證中心(圖4中未示出)可導出用于基于安全代理的路由優(yōu)化的額外密鑰���。額外密鑰可由移動單元410通過修改現(xiàn)有密鑰導出處理來導出��。網(wǎng)絡中的認證中心可同時導出相同密鑰��,并將其傳送至拜訪網(wǎng)絡�。例如��,在基于WiMAX 和UMB的網(wǎng)絡中,接入認證基于各個EAP方法�����。最近����,還將EAP-AKA用作演進HRPD系統(tǒng)的接入認證協(xié)議。EAP認證協(xié)議允許生成兩個密鑰-MSK和EMSK��。將MSK傳送至接入網(wǎng)絡�,但是在AAA維持EMSK用于以后使用。在一個實施例中�����,可從EMSK導出基于安全代理的路由優(yōu)化密鑰����。然后,將基于安全代理的路由優(yōu)化密鑰傳送至拜訪網(wǎng)絡中的MFE��,并用在協(xié)議的登記階段中�����。對于另一實例,在基于3GPP的HSPA和LTE網(wǎng)絡中�����,接入認證基于AKA����,移動單元410中的SIM卡依據(jù)此導出一組會話密鑰�����。對于HSP系統(tǒng)��,在網(wǎng)絡中�,AKA使用包括被傳
13送至稱為服務GPRS支持節(jié)點(SGSN)的拜訪網(wǎng)關的會話密鑰的向量。對于LTE系統(tǒng)���,在網(wǎng)絡中�����,AKA使用包括被傳送至移動管理實體(MME)的會話密鑰的向量����。基于安全代理的路由優(yōu)化密鑰可以是被導出并傳送至在無線通信系統(tǒng)400中的適當實體的額外密鑰����。例如, MME可隨后將基于安全代理的路由優(yōu)化密鑰傳送至MFE 420��。涉及密鑰(例如基于安全代理的路由優(yōu)化密鑰)傳送的事務應在基于預配置的安全關聯(lián)的安全隧道上執(zhí)行���。與MRE 425的通信(特別地由于移動性事件的數(shù)據(jù)庫更新)也應在安全隧道上���。對于確保數(shù)據(jù)庫不受到對方用錯誤信息破壞是重要的;這可導致稱為“路由毒化”并可能是災難性的服務拒絕攻擊(DoS)�。在源MFE和目的MFE之間的安全關聯(lián)可基于認證的密鑰協(xié)定協(xié)議。一個實施例實現(xiàn)與IKE類似的證書使用和隨后的密鑰交換�����。一個備選實施例是基于身份加密(IBE)協(xié)議的使用���?;贗BE的相互認證的密鑰交換的優(yōu)點是固有的簡單性(無H(I)����,同時維持不具有密鑰托管的良好前向保密�����。在無線通信系統(tǒng)400中實現(xiàn)的基于安全代理的路由優(yōu)化技術也可在現(xiàn)有網(wǎng)絡中和/或與其結合來實現(xiàn)��。這里所述的基于安全代理的路由優(yōu)化技術的實施例適用于IPv4和 IPv6流��,并且可適用于獨立于接入網(wǎng)絡架構和協(xié)議的任意移動網(wǎng)絡����。例如��,在本地MRE 425 和MFE 420之間可存在一一對應�,并且在一些實施例中����,每個拜訪網(wǎng)關(例如圖3中所示的拜訪網(wǎng)關32 可存在一個MFE 420。在一個實施例中���,每個歸屬網(wǎng)關(如圖3中所示的歸屬網(wǎng)關330)存在一個歸屬MRE 425����。對于HRPD網(wǎng)絡���,可將MFE 420結合至PDSN中�����,并且本地MRE 425可保持為本地AAA上的單獨數(shù)據(jù)庫����。歸屬MRE 425可增加至現(xiàn)有的歸屬AAA 服務器。對于HSPA網(wǎng)絡�,本地MRE和MFE可結合到SGSN,并且歸屬MRE可結合至HSS合成體中��。對于WiMAX網(wǎng)絡����,MFE可結合到ASN網(wǎng)關中,并且MRE可保持為本地AAA上的單獨數(shù)據(jù)庫�����。歸屬MRE可增加至現(xiàn)有的歸屬AAA服務器���。對于UMB/CAN網(wǎng)絡����,MFE可增加至AGW, 以及MRE可增加至本地AAA����。對于HRPD、HSPA���、WiMAX和UMB/CAN網(wǎng)絡���,MRE 425和MFE 420 可實現(xiàn)為diameter接口,并且MRE間接口也可實現(xiàn)為diameter接口�。對于基于LTE/SAE 的EPS網(wǎng)絡�����,本地MRE可增加至MME����,以及MFE可增加至服務SAE網(wǎng)關。歸屬MRE服務器可結合到3GPP-AAA服務器或HSS��。除了以上接口���,如果采用證書���,則MFE 420可與證書授權方對接��,用于證書的提供�����、撤回�����、和更新���。如果使用基于IBE的認證密鑰協(xié)定,則可提供到密鑰生成功能(KGF)的接口�����。盡管協(xié)議討論典型地以移動到移動的應用為中心��,基于安全代理的路由優(yōu)化也可在移動到因特網(wǎng)應用中實現(xiàn)��。此外�,移動到因特網(wǎng)應用可能更容易實現(xiàn)在網(wǎng)絡地址轉換之后通過拜訪MFE將業(yè)務卸載至本地因特網(wǎng)POP的優(yōu)化。來自因特網(wǎng)的分組可通過拜訪MRE路由,因為拜訪MFE分配的IP地址對應于拜訪網(wǎng)關管理的路由域���。圖5概念性示出基于安全代理的路由優(yōu)化(SPRO)的方法500的一個實施例��。在所示實施例中�,移動節(jié)點(MN)從源移動轉發(fā)實體(S-MFE)請求(在505)SPR0的通告(以及潛在地其他服務)���。S-MFE通告(在510)所提供的SPRO服務�,并且在所示實施例中���,S-MFE 還可通告(在510)用于登記和委派的隨機數(shù)�����。此外��,S-MFE可通告(在510)向麗提供的其他服務和/或性能提高。MN向S-MFE發(fā)送(51 綁定登記��。來自MN的綁定登記可包括 SPRO服務標識符(ID)����。MN也可選擇額外服務。S-MFE發(fā)送(在520)綁定確認,其可包括移動單元可用于隨后通信的隨機數(shù)����。此時,在方法500����,由箭頭520下方的虛線所示,MN可向S-MFE登記��。
方法500的下一階段包括目標移動轉發(fā)實體(T-MFE)的發(fā)現(xiàn)��。MN選擇接收的隨機數(shù)(在520)��,并向S-MFE發(fā)送(在525)請求消息��,其具有目的對應移動單元(CN)的IP地址以及使用與SPRO服務的網(wǎng)絡協(xié)定的會話密鑰簽署的SPRO服務ID����。由于S-MFE可能不知曉當前錨接的目的移動單元的拜訪網(wǎng)絡,所以S-MFE向本地MRE發(fā)送(在530)具有目的移動單元(CN)的IP地址的安全請求�����。MRE使用適當數(shù)據(jù)庫執(zhí)行T-MFE的發(fā)現(xiàn)(在533)����, 并返回(在535) T-MFE的IP地址以及T-MFE的域名或身份����。此時��,在方法500�,由箭頭535 下方的虛線所示,T-MFE已經(jīng)由S-MFE和MRE發(fā)現(xiàn)��。如這里所述���,在麗接入由服務器(圖 5中未示出)提供的服務的實施例中�,安全路由的其他端點可以是服務器���,可能并非移動轉發(fā)實體��。方法500的一些實施例因此可修改來使用IP地址或其他標識符以識別或“發(fā)現(xiàn)” 服務器���。S-MFE基于其身份執(zhí)行(在M0)與T-MFE的認證密鑰交換過程。例如���,可使用IBE 認證方案執(zhí)行(在M0)認證�����。在認證時��,S-MFE向T-MFE發(fā)送(在討幻簽署的綁定登記�����, 其包括源和目的移動單元的IP地址���。在發(fā)送綁定確認之前,可選地T-MFE可選擇通過聯(lián)系 (在550)本地MRE驗證源移動單元的位置�����。在驗證時��,T-MFE確認(在55 綁定(如果目的移動單元實際上在目標MFE處錨接)�,并且目的移動單元針對SPRO向目標MFE登記。此時��,在方法500�,通過箭頭555下方的虛線所示,T-MFE和S-MFE共享可用于轉發(fā)與MN/CN或其他通信節(jié)點之間的當前會話或其他未來會話關聯(lián)的分組的安全路由或隧道����。在源和目的移動單元之間轉發(fā)(在560)分組���。例如,可使用T-MFE和S-MFE之間的安全IP-in-IP隧道轉發(fā)(在555)分組���。然而�,獲益于本發(fā)明的本領域技術人員應理解�����, 可使用備選安全路由和/或隧接技術����。公開的主題的部分和對應的詳細描述以軟件、或算法和對計算機存儲器中的數(shù)據(jù)位的操作的符號表示來呈現(xiàn)�����。這些描述和表示是本領域技術人員向本領域其他技術人員有效傳達他們工作實質內容所借助的手段���。算法作為這里使用的術語并且被一般性使用��,認為是導致期望結果的自相一致的步驟序列����。步驟是需要物理量的物理操作的那些步驟����。通常,盡管不必要����,這些量采用能夠被存儲、傳送�、組合、比較�、和操作的光、電����、或磁信號的形式。原理上為了通用的原因�,有時候被證明是方便地,將這些信號指示為比特�����、值�、元素����、符號����、字符、項�����、數(shù)字等��。然而�,應認識到,這些和類似術語的全部與適當物理量相關�,并且僅是適用于這些量的方便標簽。除非特別指出���,或從討論中明顯地����,例如“處理”或“計算”或“運算”或“確定”或“顯示”等的術語指的是計算機系統(tǒng)或類似電子計算設備的行為和處理�����,其操作和將表示為計算機系統(tǒng)的寄存器和存儲器中的物理、電子量的數(shù)據(jù)轉換成類似地表示為計算機系統(tǒng)存儲器或寄存器或其他這樣的信息存儲裝置�、傳輸或顯示設備的其他數(shù)據(jù)。還注意�,公開的主題的實現(xiàn)的軟件方面典型地編碼在某種形式的程序存儲介質上�����,或實現(xiàn)在某種類型的傳輸介質上���。程序存儲介質可以是磁(例如軟盤或硬盤驅動器) 或光(例如壓縮盤只讀存儲器或CD ROM)���,并且可以是只讀或隨機存取。類似地����,傳輸介質可以是雙絞線、同軸電纜��、光纖��、或本領域已知的某些其他適當傳輸介質��。公開的主題不限于任意給定方案的這些方面。以上公開的特定實施例僅是示例性�,因為公開的主題可通過對于獲益于本發(fā)明的本領域技術人員清楚地不同但等同方式修改和實踐。此外��,不限制這里所述的設計的結構的細節(jié)�����,除了在以下權利要求中所述�。因此,明顯地�,上述特定實施例可被修改或更改,并且所有這樣的變形認為在公開的主題的范圍內���。由此����,這里尋求的保護如以下權利要求所述�。
權利要求
1.一種涉及與第一歸屬網(wǎng)關關聯(lián)的第一移動設備的路由優(yōu)化的方法,所述方法在第一移動轉發(fā)實體中實施并包括使用由所述第一移動設備發(fā)送的登記消息中包括的會話密鑰�����,在所述第一移動轉發(fā)實體處登記所述第一移動設備�����;以及使用所述會話密鑰建立所述第一移動轉發(fā)實體和終止節(jié)點之間的安全路由,所述安全路由繞過所述第一歸屬網(wǎng)關�。
2.如權利要求1所述的方法,其中向所述第一移動轉發(fā)實體登記所述第一移動設備包括從所述第一移動設備接收綁定登記�,所述綁定登記由所述第一移動設備使用會話密鑰來簽署;以及向所述第一移動設備發(fā)送綁定確認�����,其指示所述第一移動設備向所述第一移動轉發(fā)實體登記���,因此所述第一移動轉發(fā)實體被授權執(zhí)行用于所述第一移動設備的路由優(yōu)化。
3.如權利要求1所述的方法�,其中所述終止節(jié)點是被配置為向所述第一移動設備提供 web服務的服務器,以及其中建立所述安全路由包括使用向所述服務器或web服務分配的因特網(wǎng)協(xié)議(IP)地址或域名中的至少一個建立所述安全路由��。
4.如權利要求1所述的方法�,其中所述終止節(jié)點是與第二移動設備關聯(lián)的第二移動轉發(fā)實體,以及其中建立所述安全路由包括響應于來自所述第一移動設備的請求以優(yōu)化到達向所述第二移動轉發(fā)實體登記的第二移動設備的路由��,發(fā)現(xiàn)所述第二轉發(fā)實體��。
5.如權利要求1所述的方法����,其中建立所述安全路由包括相互認證所述第一移動轉發(fā)實體和所述終止節(jié)點�,以及使用所述安全路由將至少一個分組從所述第一移動設備轉發(fā)至所述終止節(jié)點�。
6.如權利要求1所述的方法,包括在所述第一移動設備和所述終止節(jié)點之間建立第一呼叫會話之后保持所述第一移動轉發(fā)實體和所述終止節(jié)點之間的安全路由��,從而可使用所述安全路由轉發(fā)與第二呼叫會話關聯(lián)的至少一個分組��。
7.—種在分別與第一和第二歸屬網(wǎng)關關聯(lián)的第一和第二移動設備之間的路由優(yōu)化的方法�����,所述方法在第一移動路由實體中實施并包括在所述第一移動路由實體處��,接收來自登記了所述第一移動設備的第一移動轉發(fā)實體的請求以發(fā)現(xiàn)登記了所述第二移動設備的第二移動轉發(fā)實體�,所述請求包括所述第二移動設備的地址;使用所述第二移動設備的地址以及所述第一移動路由實體維持的數(shù)據(jù)庫發(fā)現(xiàn)所述第二移動轉發(fā)實體的地址或身份中的至少一個��;以及向所述第一移動轉發(fā)實體提供所述第二移動轉發(fā)實體的所述至少一個地址或身份��,從而可在所述第一和第二移動轉發(fā)實體之間建立繞過所述第一和第二歸屬網(wǎng)關的安全路由��。
8.如權利要求7所述的方法�����,其中發(fā)現(xiàn)所述第二移動轉發(fā)實體的所述至少一個地址或身份包括當所述數(shù)據(jù)庫包含先前確定的、在所述第二移動轉發(fā)實體的所述至少一個地址或身份以及所述第二移動設備的所述地址之間的關聯(lián)時�����,使用所述第二移動設備的所述至少一個地址或身份從所述數(shù)據(jù)庫訪問所述第二移動轉發(fā)實體的地址�;當所述數(shù)據(jù)庫不包含先前確定的、在所述第二移動轉發(fā)實體的所述至少一個地址或身份以及所述第二移動設備的所述地址之間的關聯(lián)時��,查詢至少一個其他移動路由實體或至少一個其他實體�,以獲得關聯(lián)所述第二移動轉發(fā)實體的所述至少一個地址或身份以及所述第二移動設備的所述地址的信息;向所述數(shù)據(jù)庫增加在所述第二移動轉發(fā)實體的所述至少一個地址或身份以及所述第二移動設備的所述地址之間的關聯(lián)���;以及向所述第一移動轉發(fā)實體提供所述第二移動轉發(fā)實體的所述至少一個地址或身份�。
9.一種涉及與第一歸屬網(wǎng)關關聯(lián)的第一移動設備的路由優(yōu)化的方法�����,所述方法在第一移動設備實施并包括使用由所述第一移動設備發(fā)送的登記消息中包括的會話密鑰����,向第一移動轉發(fā)實體登記所述第一移動設備��;通過使用所述會話密鑰建立所述第一移動轉發(fā)實體和終止節(jié)點之間的安全路由�,向所述第一移動轉發(fā)實體發(fā)送優(yōu)化到達終止節(jié)點的路由的請求�����,所述安全路由繞過所述第一歸屬網(wǎng)關��。
10.如權利要求9所述的方法��,其中登記所述第一移動設備包括向所述第一移動轉發(fā)實體提供綁定登記����,所述綁定登記由所述第一移動設備使用會話密鑰來簽署����。
全文摘要
本發(fā)明提供一種涉及與第一歸屬網(wǎng)關關聯(lián)的第一移動設備的路由優(yōu)化的方法。本發(fā)明的一個實施例在第一移動轉發(fā)實體中實施并包括在所述第一移動轉發(fā)實體處登記所述第一移動設備���。所述第一移動設備使用由所述第一移動設備發(fā)送的登記消息中包括的會話密鑰來登記�。該實施例還包括使用所述會話密鑰建立所述第一移動轉發(fā)實體和終止節(jié)點之間的安全路由�����。所述安全路由繞過所述第一歸屬網(wǎng)關����。
文檔編號H04W8/08GK102318381SQ201080007337
公開日2012年1月11日 申請日期2010年1月22日 優(yōu)先權日2009年2月11日
發(fā)明者G·桑達拉姆, V·卡庫萊夫 申請人:阿爾卡特朗訊公司