專利名稱:媒體無關(guān)切換協(xié)議的安全的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及異構(gòu)網(wǎng)絡(luò)之間的安全信令,更具體地,涉及在MIH協(xié)議級(jí)別提供安全的概念。
背景技術(shù):
網(wǎng)絡(luò)和因特網(wǎng)協(xié)議有很多類型的計(jì)算機(jī)網(wǎng)絡(luò),其中因特網(wǎng)最出名。因特網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)的全球性網(wǎng)絡(luò)。如今,因特網(wǎng)是對(duì)數(shù)百萬用戶可用的公共自維持(self-sustaining)網(wǎng)絡(luò)。因特網(wǎng)使用稱為TCP/IP (即傳輸控制協(xié)議/因特網(wǎng)協(xié)議)的ー組通信協(xié)議以連接主機(jī)。因特網(wǎng)具有稱為因特網(wǎng)骨干的通信基礎(chǔ)設(shè)施。對(duì)因特網(wǎng)骨干的接入主要由因特網(wǎng)服務(wù)提供商(ISP)控制,其將接入轉(zhuǎn)售給公司和個(gè)人。關(guān)于IP(因特網(wǎng)協(xié)議),這是數(shù)據(jù)可通過它從網(wǎng)絡(luò)上的一個(gè)設(shè)備(例如,電話、PDA(個(gè)人數(shù)字助理)、計(jì)算機(jī)等)向另ー個(gè)設(shè)備發(fā)送的協(xié)議。如今有各種版本的IP,包括例如IPv4、IPv6等。網(wǎng)絡(luò)上的每個(gè)主機(jī)設(shè)備具有至少ー個(gè)IP地址,即它自己的唯一標(biāo)識(shí)符。IP是無連接協(xié)議。在通信期間端點(diǎn)之間的連接不是連續(xù)的。當(dāng)用戶發(fā)送或接收數(shù)據(jù)或消息時(shí),數(shù)據(jù)或消息被劃分成稱為分組的分量。每個(gè)分組被視為獨(dú)立的數(shù)據(jù)單元。為了使因特網(wǎng)等網(wǎng)絡(luò)上各點(diǎn)之間的傳輸標(biāo)準(zhǔn)化,建立了 OSI (開放系統(tǒng)互連)模型。OSI模型將網(wǎng)絡(luò)中兩個(gè)點(diǎn)之間的通信過程分成七個(gè)堆棧層,每ー層添加其自己的功能集。每個(gè)設(shè)備均處理消息,以致在發(fā)送端點(diǎn)有流經(jīng)每ー層的下行流,在接收端點(diǎn)有流經(jīng)各層的上行流。提供七層功能的編程和/或硬件通常是設(shè)備操作系統(tǒng)、應(yīng)用軟件、TCP/IP和/或其它傳輸和網(wǎng)絡(luò)協(xié)議以及其它軟件和硬件的組合。通常,上面四層在消息從用戶傳遞或向用戶傳遞時(shí)使用,下面三層在消息通過設(shè)備(例如,IP主機(jī)設(shè)備)傳遞時(shí)使用。IP主機(jī)是網(wǎng)絡(luò)上能夠傳輸和接收IP分組的任何設(shè)備,例如服務(wù)器、路由器或工作站。去往某個(gè)其它主機(jī)的消息不被傳遞到較高的層,而是轉(zhuǎn)發(fā)到其它主機(jī)。下面列出OSI模型的各個(gè)層。層7(即應(yīng)用層)是例如標(biāo)識(shí)通信伙伴、標(biāo)識(shí)服務(wù)質(zhì)量、考慮用戶認(rèn)證和隱私、標(biāo)識(shí)對(duì)數(shù)據(jù)語法的約束等的層。層6 (即表示層)是例如將進(jìn)入和輸出數(shù)據(jù)從ー種表示格式轉(zhuǎn)換成另ー種表示格式等的層。層5(即會(huì)話層)是例如建立、協(xié)調(diào)和終止應(yīng)用之間的會(huì)話、交換和對(duì)話等的層。層4(即傳輸層)是例如管理端到端控制和錯(cuò)誤檢查等的層。層3(即網(wǎng)絡(luò)層)是例如處理路由和轉(zhuǎn)發(fā)等的層。層2(即數(shù)據(jù) 鏈路層)是例如向物理層提供同步、進(jìn)行比特填充和配備傳輸協(xié)議知識(shí)和管理等的層。電氣和電子工程師協(xié)會(huì)(IEEE)將數(shù)據(jù)鏈路層細(xì)分成兩個(gè)進(jìn)一歩的子層控制數(shù)據(jù)傳送到物理層和從物理層傳送的MAC(媒體訪問控制)層;與網(wǎng)絡(luò)層接口、解釋命令或原語和執(zhí)行差錯(cuò)恢復(fù)的LLC (邏輯鏈路控制)層或CS (會(huì)聚)子層。層I (即物理層)是例如在物理級(jí)別通過網(wǎng)絡(luò)傳遞比特流的層。IEEE將物理層細(xì)分成PLCP(物理層會(huì)聚過程)子層和PMD(物理媒體相關(guān))子層。無線網(wǎng)絡(luò)無線網(wǎng)絡(luò)可以結(jié)合各種類型的移動(dòng)設(shè)備,例如蜂窩和無線電話、PC(個(gè)人計(jì)算機(jī))、膝上型計(jì)算機(jī)、可穿戴計(jì)算機(jī)、無繩電話、尋呼機(jī)、耳機(jī)、打印機(jī)、PDA等。例如,移動(dòng)設(shè)備可包括保證語音和/或數(shù)據(jù)的快速無線傳輸?shù)臄?shù)字系統(tǒng)。典型的移動(dòng)設(shè)備包括以下組件中的一些或全部收發(fā)機(jī)(即發(fā)射機(jī)和接收機(jī),包括例如具有集成的發(fā)射機(jī)、接收機(jī)和其它功能(如果期望的話)的單片收發(fā)機(jī));天線;處理器;一個(gè)或多個(gè)音頻變換器(例如,如在用于音頻通信的設(shè)備中的揚(yáng)聲器或麥克風(fēng));電磁數(shù)據(jù)存儲(chǔ)器(例如,諸如在提供數(shù)據(jù)處理的設(shè)備中的ROM、RAM、數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)器等);存儲(chǔ)器;閃速存儲(chǔ)器;全芯片集或集成電路;接口 (例如 USB、CODEC、UART、PCM 等);等。 其中移動(dòng)用戶可通過無線連接而連接到局域網(wǎng)(LAN)的無線LAN(WLAN)可用于無線通信。無線通信可包括例如經(jīng)由諸如光、紅外線、無線電、微波的電磁波進(jìn)行傳播的通信。當(dāng)前存在各種WLAN標(biāo)準(zhǔn),例如藍(lán)牙、IEEE 802. 11和HomeRF。例如,藍(lán)牙產(chǎn)品可用于在移動(dòng)計(jì)算機(jī)、移動(dòng)電話、便攜式手持設(shè)備、個(gè)人數(shù)字助理(PDA)和其它移動(dòng)設(shè)備之間提供鏈路以及與因特網(wǎng)的連通性。藍(lán)牙是計(jì)算機(jī)和電信行業(yè)規(guī)范,其詳述了移動(dòng)設(shè)備如何使用短距離無線連接輕易地彼此互連以及與非移動(dòng)設(shè)備互連。藍(lán)牙創(chuàng)建了數(shù)字無線協(xié)議以解決由于各種移動(dòng)設(shè)備的激增而引起的需要保持設(shè)備之間的數(shù)據(jù)同步和一致的終端用戶問題,從而允許來自不同供應(yīng)商的裝置可以一起無縫地工作。藍(lán)牙設(shè)備可以根據(jù)通用命名概念來命名。例如,藍(lán)牙設(shè)備可以具有藍(lán)牙設(shè)備名稱(BDN)或與唯一的藍(lán)牙設(shè)備地址(BDA)相關(guān)聯(lián)的名稱。藍(lán)牙設(shè)備還可以加入因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)。如果藍(lán)牙設(shè)備在IP網(wǎng)絡(luò)上工作,則其可以配備IP地址和IP(網(wǎng)絡(luò))名稱。因此,被配置為加入IP網(wǎng)絡(luò)的藍(lán)牙設(shè)備可以包含例如BDN、BDA、IP地址和IP名稱。術(shù)語“IP名稱”是指與接口的IP地址對(duì)應(yīng)的名稱。IEEE標(biāo)準(zhǔn)IEEE 802. 11規(guī)定了用于無線LAN和設(shè)備的技術(shù)。使用802. 11,可以用支持若干設(shè)備的每一個(gè)單點(diǎn)接入點(diǎn)(相當(dāng)于基站)實(shí)現(xiàn)無線聯(lián)網(wǎng)。在一些例子中,設(shè)備可以預(yù)先配備有無線硬件,或者用戶可以安裝可包括天線的諸如卡的單獨(dú)硬件。例如,在802. 11中使用的設(shè)備通常包括三個(gè)主要單元(無論該設(shè)備是接入點(diǎn)(AP)、移動(dòng)站(STA)、橋接器、PCMCIA卡或其它設(shè)備)無線收發(fā)機(jī);天線;控制網(wǎng)絡(luò)中各點(diǎn)之間的分組流的MAC(媒體訪問控制)層。另外,多接口設(shè)備(MID)可在一些無線網(wǎng)絡(luò)中使用。MID可包含兩個(gè)獨(dú)立的網(wǎng)絡(luò)接口,諸如藍(lán)牙接口和802. 11接口,因此允許MID加入兩個(gè)單獨(dú)的網(wǎng)絡(luò)以及與藍(lán)牙設(shè)備相連。MID可以具有IP地址和與該IP地址相關(guān)聯(lián)的通用IP(網(wǎng)絡(luò))名稱。無線網(wǎng)絡(luò)設(shè)備可包括但不限于藍(lán)牙設(shè)備、多接口設(shè)備(MID)、802. Ilx設(shè)備(IEEE802. 11設(shè)備包括例如802. lla、802. Ilb和802. Ilg設(shè)備,通常稱為Wi-Fi (無線保真)設(shè)備)、HomeRF (家庭射頻)設(shè)備、包括GPRS (通用分組無線業(yè)務(wù))設(shè)備的GSM (全球移動(dòng)通信系統(tǒng))設(shè)備、3G蜂窩設(shè)備、2. 5G蜂窩設(shè)備、EDGE (增強(qiáng)型GSM演進(jìn)數(shù)據(jù))設(shè)備和TDMA類型(時(shí)分多址)設(shè)備或包括CDMA2000的CDMA類型(碼分多址)設(shè)備。每個(gè)網(wǎng)絡(luò)設(shè)備可包含可變類型的地址,包括但不限于IP地址、藍(lán)牙設(shè)備地址、藍(lán)牙通用名稱、藍(lán)牙IP地址、藍(lán)牙IP通用名稱、基站標(biāo)識(shí)符(BSID)、802. IlIP地址、802. IlIP通用名稱(例如,SSID (服務(wù)集標(biāo)識(shí)符))或IEEE MAC地址。無線網(wǎng)絡(luò)還可以包含在例如移動(dòng)IP(因特網(wǎng)協(xié)議)系統(tǒng)、PCS系統(tǒng)和其它移動(dòng)網(wǎng)絡(luò)系統(tǒng)中發(fā)現(xiàn)的方法和協(xié)議。關(guān)于移動(dòng)IP,這涉及由因特網(wǎng)工程任務(wù)組(IETF)創(chuàng)建的標(biāo)準(zhǔn)通信協(xié)議。利用移動(dòng)IP,移動(dòng)設(shè)備用戶可以跨網(wǎng)絡(luò)移動(dòng),而維持其曾被分配的IP地址。參見請(qǐng)求注解(RFC) 3344。注意RFC是因特網(wǎng)工程任務(wù)組(IETF)的正式文件。移動(dòng)IP增強(qiáng)了因特網(wǎng)協(xié)議(IP),并增加在移動(dòng)設(shè)備連接到其歸屬網(wǎng)絡(luò)外部時(shí)向移動(dòng)設(shè)備轉(zhuǎn)發(fā)因特網(wǎng)業(yè)務(wù)的方式。移動(dòng)IP向每個(gè)移動(dòng)節(jié)點(diǎn)分配其歸屬網(wǎng)絡(luò)上的歸屬地址和標(biāo)識(shí)設(shè)備在網(wǎng)絡(luò)及其子網(wǎng)內(nèi)的當(dāng)前位置的轉(zhuǎn)交地址(care-of-address,簡稱CoA)。當(dāng)設(shè)備移動(dòng)到不同的網(wǎng)絡(luò)時(shí),其接收新的轉(zhuǎn)交地址。歸屬網(wǎng)絡(luò)上的移動(dòng)代理可將每個(gè)歸屬地址與其轉(zhuǎn)交地址相關(guān)聯(lián)。移動(dòng)節(jié)點(diǎn)可使用例如因特網(wǎng)控制消息協(xié)議(ICMP)在每次改變其轉(zhuǎn)交地址時(shí)向歸屬代理發(fā)送綁定更新。在基本IP路由(例如,除了移動(dòng)IP)中,路由機(jī)制依賴于以下假定每個(gè)網(wǎng)絡(luò)節(jié) 點(diǎn)總是具有固定的附著到例如因特網(wǎng)的附著點(diǎn),并且每個(gè)節(jié)點(diǎn)的IP地址標(biāo)識(shí)其所附著的網(wǎng)絡(luò)鏈路。在該文件中,術(shù)語“節(jié)點(diǎn)”包括連接點(diǎn),其可包括例如用于數(shù)據(jù)傳輸?shù)脑俜职l(fā)(redistribution)點(diǎn)或端點(diǎn),并且可識(shí)別、處理和/或轉(zhuǎn)發(fā)到其它節(jié)點(diǎn)的通信。例如,因特網(wǎng)路由器可以查看例如標(biāo)識(shí)設(shè)備的網(wǎng)絡(luò)的IP地址前綴等。然后,在網(wǎng)絡(luò)級(jí)別,路由器可以查看例如標(biāo)識(shí)特定子網(wǎng)的比特集。然后,在子網(wǎng)級(jí)別,路由器可以查看例如標(biāo)識(shí)特定設(shè)備的比特集。采用典型的移動(dòng)IP通信,如果用戶斷開移動(dòng)設(shè)備與例如因特網(wǎng)的連接,并且試圖在新的子網(wǎng)處重新連接,則該設(shè)備必須被重新配置新的IP地址、適當(dāng)?shù)木W(wǎng)絡(luò)掩碼和缺省路由器。否則,路由協(xié)議將不能正確地傳遞分組。媒體無關(guān)(media independent)切換服務(wù)在2OO6年9 月的題為“Draft IEEE Standard for Local and Metropolitan AreaNetworks :Media Independent Handover Services (IEEE 局域網(wǎng)和城域網(wǎng)標(biāo)準(zhǔn)草案媒體無關(guān)切換服務(wù))”的I. E. E. E. P802. 21/D. 01. 09中規(guī)定了 802媒體接入無關(guān)機(jī)制,其優(yōu)化了 802系統(tǒng)與蜂窩系統(tǒng)之間的切換。I. E. E. E. 802. 21標(biāo)準(zhǔn)定義了可擴(kuò)展的媒體接入無關(guān)機(jī)制,其能夠優(yōu)化異構(gòu)802系統(tǒng)之間的切換,并且可以使802系統(tǒng)與蜂窩系統(tǒng)之間的切換容易。IEEE 802. 21 (媒體無關(guān)切換)標(biāo)準(zhǔn)的范圍是開發(fā)向上層提供鏈路層信息和其它相關(guān)的網(wǎng)絡(luò)信息以優(yōu)化異構(gòu)媒體之間的切換的規(guī)范。這包括由3GPP、3GPP2規(guī)定的鏈路以及IEEE 802標(biāo)準(zhǔn)族中的有線和無線媒體兩者。注意,在該文件中,除非另外指出,否則,“媒體”是指接入電信系統(tǒng)的方法/模式(例如,電纜、無線電、衛(wèi)星等),而不是通信的感知方面(例如音頻、視頻等)。參見2006年9月的題為“Draft I. E. E. E. Standard for Localand Metropolitan Area Networks Media Independent handover service (IEEE 局域網(wǎng)和城域網(wǎng)標(biāo)準(zhǔn)草案媒體無關(guān)切換服務(wù))”的I. E. E. E. P802. 21/D. 01. 09的I. 1,其整個(gè)內(nèi)容在此被包含并作為本專利申請(qǐng)的一部分。另外,在此要求優(yōu)先權(quán)的臨時(shí)專利申請(qǐng)也包含在所述標(biāo)準(zhǔn)的草案05 (在此稱為D05)以及2009年I月21日公布的I. E. E. E標(biāo)準(zhǔn)802. 21中,其全部內(nèi)容再次被包含以作為參考,即,參見由I.E.E.E.計(jì)算機(jī)協(xié)會(huì)的LANMAN標(biāo)準(zhǔn)委員會(huì)提出的2007年4月的I. E. E. E P802. 21/D05. 00 “局域網(wǎng)和城域網(wǎng)標(biāo)準(zhǔn)草案媒體無關(guān)切換服務(wù)”和由I. E. E. E.計(jì)算機(jī)協(xié)會(huì)的LANMAN標(biāo)準(zhǔn)委員會(huì)提出的2009年2月21日公布的I. E. E. E.局域網(wǎng)和城域網(wǎng)標(biāo)準(zhǔn)第21部分媒體無關(guān)切換服務(wù)。一般體系結(jié)構(gòu)介紹IEEE 802. 21標(biāo)準(zhǔn)旨在使各種切換方法便利。根據(jù)切換過程相對(duì)于支持移動(dòng)節(jié)點(diǎn)與網(wǎng)絡(luò)之間數(shù)據(jù)分組的交換的數(shù)據(jù)傳輸設(shè)施是“先斷開后切換”還是“先切換后斷開”,這些方法一般被分類為“硬”切換或“軟”切換。一般地,切換涉及移動(dòng)節(jié)點(diǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施兩者的協(xié)同使用,以便滿足網(wǎng)絡(luò)運(yùn)營 者和終端用戶的需求。在切換決策制定中涉及的切換控制、切換策略和其它算法一般由未落入IEEE 802. 21標(biāo)準(zhǔn)的范圍內(nèi)的通信系統(tǒng)單元處理。然而,有益的是描述整個(gè)切換過程的某些方面,以致整個(gè)切換過程中MIH事件服務(wù)、MIH命令服務(wù)、MIH信息服務(wù)和MIHF的作用和目的是清楚的。一般設(shè)計(jì)原理IEEE 802. 21標(biāo)準(zhǔn)是基于以下的一般設(shè)計(jì)原理。a)MIH功能是幫助并便于切換決策制定的邏輯實(shí)體。上層基于來自MIHF的輸入和上下文制定切換決策和鏈路選擇。方便切換應(yīng)當(dāng)發(fā)生的確認(rèn)是MIHF的關(guān)鍵目標(biāo)之一。發(fā)現(xiàn)有關(guān)如何制定有效的切換決策的信息也是關(guān)鍵組成部分。b)MIHF向較高層提供抽象服務(wù)。從該角度來說,MIHF向上層提供統(tǒng)一接口。由該統(tǒng)一接口顯露的服務(wù)原語(primitive)是基于不同接入網(wǎng)絡(luò)的技術(shù)特定(technologyspecific)協(xié)議實(shí)體。MIHF通過技術(shù)特定接口與移動(dòng)性管理協(xié)議棧的較低層進(jìn)行通信。與較低層之間的MIHF接口的規(guī)范一般不落入該標(biāo)準(zhǔn)的范圍內(nèi)。這種接口可能已經(jīng)被規(guī)定為涉及各個(gè)接入技術(shù)(諸如IEEE 802. UIEEE802. 3,IEEE 802. IUIEEE 802. 16、WiMAX、3GPP和3GPP2)的標(biāo)準(zhǔn)內(nèi)的服務(wù)接入點(diǎn)(SAP)。該標(biāo)準(zhǔn)可包含在較低層接口的修改可以實(shí)現(xiàn)或加強(qiáng)MIHF功能時(shí)修正現(xiàn)有的接入技術(shù)特定的標(biāo)準(zhǔn)的建議。c)切換信令(作為切換執(zhí)行和隨后的更新的一部分)可以不是該標(biāo)準(zhǔn)的一部分。不同的接入網(wǎng)絡(luò)支持水平切換機(jī)制(移動(dòng)臺(tái)發(fā)起的、網(wǎng)絡(luò)發(fā)起的等)。當(dāng)沒有按照同構(gòu)(homogeneous)方案進(jìn)行時(shí),切換啟動(dòng)觸發(fā)可在異構(gòu)切換中有用。d)MIHF可以對(duì)MAC/PHY觸發(fā)和其它相關(guān)的本地事件進(jìn)行進(jìn)一步的處理。該處理的定義在該標(biāo)準(zhǔn)的范圍之外。該標(biāo)準(zhǔn)還應(yīng)當(dāng)提供對(duì)遠(yuǎn)程事件的支持。實(shí)際上,事件是忠告性的。基于這些事件是否引起切換的決策在該標(biāo)準(zhǔn)的范圍之外。e)該標(biāo)準(zhǔn)應(yīng)當(dāng)規(guī)定支持麗發(fā)起的、麗控制的、網(wǎng)絡(luò)發(fā)起的和網(wǎng)絡(luò)控制的切換的機(jī)制。f)該標(biāo)準(zhǔn)可支持與傳統(tǒng)裝置的透明互通。因此,IEEE 802. 21兼容裝置應(yīng)當(dāng)能夠與傳統(tǒng)非IEEE 802. 21裝置共存。媒體無關(guān)切換參考構(gòu)架以下部分描述有關(guān)客戶機(jī)設(shè)備(MN)中的不同MIHF實(shí)體與網(wǎng)絡(luò)之間的通信的方面。
MIHF功能為了各種目的而彼此通信??蛻魴C(jī)設(shè)備(移動(dòng)節(jié)點(diǎn))與其MIH服務(wù)點(diǎn)交換MIH信息。任何網(wǎng)絡(luò)實(shí)體中的MIHF在其直接與基于麗的MIHF通信時(shí)變成MIH PoS0MIH網(wǎng)絡(luò)實(shí)體可以不具有到MN的直接連接,因此,不構(gòu)成用于該特定麗的MIH PoS0相同的MIH網(wǎng)絡(luò)實(shí)體仍然可以充當(dāng)用于不同麗的MIH PoS0 MIHF通信可以不在支持MIH的麗的所有L2接口上發(fā)生。作為例子,在具有三個(gè)L2接口(即802. 11、802. 16和802. 3)的支持MIH的麗上,802. 3接口可以僅用于系統(tǒng)管理和維護(hù)操作,而802. 11和802. 16接口可以參與提供MIHF服務(wù)。MN可以使用L2傳輸以與駐留在與其網(wǎng)絡(luò)PoA相同的網(wǎng)絡(luò)實(shí)體中的MIHPoS交換MIH信息。麗可以使用L3傳輸以與未駐留在與其網(wǎng)絡(luò)PoA相同的網(wǎng)絡(luò)實(shí)體中的MIH PoS交換MIH信息。該構(gòu)架對(duì)于MIH網(wǎng)絡(luò)實(shí)體之間的通信支持使用L2或L3機(jī)制。圖3示出來自802. 21標(biāo)準(zhǔn)的MIH通信模型。該模型示出不同的獨(dú)特作用中的MIHF以及它們之間的通信關(guān)系。圖3所示的通信關(guān)系僅應(yīng)用于MIHF。需要注意,該通信模型中每個(gè)通信關(guān)系并不暗示特定的傳輸機(jī)制。相反,通信關(guān)系僅旨在示出MIHF相關(guān)信息的傳遞可以在兩個(gè)不同的MIHF之間進(jìn)行。此外,I)在麗上的MIHF,2)在包括麗的服務(wù)PoA的網(wǎng)絡(luò)實(shí)體上的MIH PoS, 3)在包括用于MN的候選PoA (候選PoA是麗知道但當(dāng)前未附著到的 PoA;如果最后發(fā)生切換,則它成為目標(biāo)PoA)的網(wǎng)絡(luò)實(shí)體上的MIH PoS, 4)在不包括用于MN的PoA的網(wǎng)絡(luò)實(shí)體上的MIH PoS, 5)在不包括用于麗的PoA的網(wǎng)絡(luò)實(shí)體上的MIH非PoS。通信模型還標(biāo)識(shí)以下在不同的MIHF實(shí)例之間的通信參考點(diǎn)。I)通信參考點(diǎn)Rl :參考點(diǎn)Rl是指在麗上的MIHF與在其服務(wù)PoA的網(wǎng)絡(luò)實(shí)體上的MIH PoS之間的MIHF過程。Rl可包括在L2和L3兩者及以上層上的通信接口。通過Rl傳遞的MIHF內(nèi)容可與MIIS、MIES或MICS有關(guān)。2)通信參考點(diǎn)R2 :參考點(diǎn)R2是指在麗上的MIHF與在候選PoA的網(wǎng)絡(luò)實(shí)體上的MIH PoS之間的MIHF過程。R2可包括在L2和L3兩者及以上層上的通信接口。通過R2傳遞的MIHF內(nèi)容可與MIIS、MIES或MICS有關(guān)。3)通信參考點(diǎn)R3 :參考點(diǎn)R3是指在麗上的MIHF與在非PoA網(wǎng)絡(luò)實(shí)體上的MIHPoS之間的MIHF過程。R3可包括在L3及以上層上的通信接口,并且可能包括如以太網(wǎng)橋接、MPLS等的L2傳輸協(xié)議。通過R3傳遞的MIHF內(nèi)容可與MIIS、MIES或MICS有關(guān)。4)通信參考點(diǎn)R4 :參考點(diǎn)R4是指在網(wǎng)絡(luò)實(shí)體中的MIH PoS與在另一網(wǎng)絡(luò)實(shí)體中的MIH非PoS實(shí)例之間的MIHF過程。R4可包括在L3及以上層上的通信接口。通過R4傳遞的MIHF內(nèi)容可與MIIS、MIES或MICS有關(guān)。5)通信參考點(diǎn)R5 :參考點(diǎn)R5是指在不同的網(wǎng)絡(luò)實(shí)體中的兩個(gè)MIHPoS實(shí)例之間的MIHF過程。R5可包括在L3及以上層上的通信接口。通過R5傳遞的MIHF內(nèi)容可與MIIS、MIES或MICS有關(guān)。MIH通信模型的說明在圖4中示出了包括MIH服務(wù)的網(wǎng)絡(luò)模型,用于更具體地說明MIH通信參考點(diǎn)。從右向左,該模型包括支持多個(gè)有線和無線接入技術(shù)選項(xiàng)的支持MIH的移動(dòng)節(jié)點(diǎn)(MN,最右邊)。該模型假定供應(yīng)服務(wù)提供商運(yùn)行多個(gè)接入技術(shù)或者允許其用戶在已經(jīng)建立了支持互通的SLA時(shí)漫游到其它網(wǎng)絡(luò)。麗具有實(shí)現(xiàn)的MIHF,這使其能夠發(fā)送特定的MIH查詢。麗可以使信息服務(wù)部分地在內(nèi)部實(shí)現(xiàn)。該模型示出了以某種松散的串行方式連接到核心網(wǎng)絡(luò)(運(yùn)營者1-3核心)的接入網(wǎng)絡(luò)。還示出了更緊密互通或連接的接入網(wǎng)絡(luò)(接入網(wǎng)絡(luò)-3)。每一個(gè)運(yùn)營者1-3核心可以代表服務(wù)提供商、公司內(nèi)聯(lián)網(wǎng)提供商或者僅僅是拜訪接入網(wǎng)絡(luò)或歸屬接入網(wǎng)絡(luò)或者甚至核心網(wǎng)絡(luò)的另一部分。在該模型中,供應(yīng)提供商在運(yùn)營經(jīng)由Rl連接到核心(標(biāo)記為拜訪/歸屬核心網(wǎng)絡(luò))的接入網(wǎng)絡(luò)3。術(shù)語“拜訪”和“歸屬”用于指示供應(yīng)服務(wù)提供商或者企業(yè)。根據(jù)運(yùn)營者與MN的供應(yīng)商的關(guān)系,所示出的任何網(wǎng)絡(luò)可以都是拜訪網(wǎng)絡(luò)或歸屬網(wǎng)絡(luò)。網(wǎng)絡(luò)提供商在其接入網(wǎng)絡(luò)(接入網(wǎng)絡(luò)I至4)中提供MIH服務(wù),以便于切換到其網(wǎng)絡(luò)中。每個(gè)接入技術(shù)或者公告其MIH能力或者響應(yīng)于MIH服務(wù)發(fā)現(xiàn)。接入網(wǎng)絡(luò)的每個(gè)服務(wù)提供商允許接入一個(gè)或多個(gè)MIH服務(wù)點(diǎn)(PoS,與通信模型相比)。這些PoS可以提供如在MIH能力發(fā)現(xiàn)期間確定的一些或全部MIH服務(wù)。MIH PoS的位置或節(jié)點(diǎn)并不被標(biāo)準(zhǔn)固定。PoS位置可以根據(jù)運(yùn)營者部署場景和技術(shù)特定的MIH體系結(jié)構(gòu)而變化。MIH PoS可以駐留在接入網(wǎng)絡(luò)(接入網(wǎng)絡(luò)1、2、4是典型的)中的附著點(diǎn)(PoA)附近或者與附著點(diǎn)(PoA)共址在接入網(wǎng)絡(luò)中??蛇x地,PoS可更深地駐留在接入網(wǎng)絡(luò)或核心網(wǎng)絡(luò)(接入網(wǎng)絡(luò)3是典型的)內(nèi)部。如圖3所示,MN中的MIH實(shí)體在任何接入網(wǎng)絡(luò)上通過R1、R2或R3與MIH網(wǎng)絡(luò)實(shí)體進(jìn)行通信。當(dāng)服務(wù)接入網(wǎng)絡(luò)中的PoA具有共址的MIH功能時(shí),Rl參考連接終止在也是PoS的PoA處(MN到該模型的接入網(wǎng)絡(luò)1、2、4可以都是R1)。在這種情況中,R3參考連接將終止在任何非PoA處(也通過MN到接入網(wǎng)絡(luò)1、2、4示出)。MIH事件可以源于活動(dòng)的Rl鏈路的兩側(cè)。MN通常是對(duì)這些事件作出反應(yīng)的第一節(jié)點(diǎn)。拜訪網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)的交互可用于控制和管理目的或者用于數(shù)據(jù)傳輸目的。也可以是由于漫游或者SLA協(xié)議,歸屬網(wǎng)絡(luò)可以允許MN直接通過拜訪網(wǎng)絡(luò)接入公共因特網(wǎng)。正如所說明的,兩個(gè)MIH網(wǎng)絡(luò)實(shí)體可以經(jīng)由R4或R5參考連接彼此通信。支持MIH的PoA還可以經(jīng)由R3和R4參考點(diǎn)與其它MIH網(wǎng)絡(luò)實(shí)體通信。支持MIH的麗可以經(jīng)由R2參考點(diǎn)與候選接入網(wǎng)絡(luò)中的其它PoA進(jìn)行MIH通信以獲得有關(guān)候選網(wǎng)絡(luò)的信息服務(wù)。關(guān)于MIH信息服務(wù)(MIIS),提供商提供對(duì)其位于MIH PoS節(jié)點(diǎn)中的信息服務(wù)器(最左上部)的接入。運(yùn)營者向移動(dòng)節(jié)點(diǎn)提供MIIS,因此,它們可獲得相關(guān)信息,包括但不限于新的漫游列表、費(fèi)用、提供商標(biāo)識(shí)信息、提供商服務(wù)、優(yōu)先級(jí)和任何其它能夠選擇和利用服務(wù)的信息。如所描述的,移動(dòng)節(jié)點(diǎn)可以通過其提供商而被預(yù)先提供MIIS數(shù)據(jù)。移動(dòng)節(jié)點(diǎn)也可以從其提供商的任何接入網(wǎng)絡(luò)獲得MIH信息服務(wù)。MIIS也可以使用該網(wǎng)絡(luò)的MIIS服務(wù)點(diǎn)從另一個(gè)重疊或附近的網(wǎng)絡(luò)獲得。供應(yīng)商的網(wǎng)絡(luò)(在此示為與接入網(wǎng)絡(luò)3連接)可以利用R3和R4接口以接入其它MIH實(shí)體,如供應(yīng)商的MIH信息服務(wù)器或拜訪網(wǎng)絡(luò)的MIH信息服務(wù)器。關(guān)于MIH命令服務(wù)(MICS),任何信息數(shù)據(jù)庫還可用作命令服務(wù)PoS。MN MIHF通常使用層3傳輸來與該服務(wù)器進(jìn)行通信。MIHF 服務(wù)MIHF通過已定義的用于鏈路層和MIH用戶的SAP提供異步和同步服務(wù)。在系統(tǒng)具有任意類型的多個(gè)網(wǎng)絡(luò)接口的情況下,上層可使用由MIH提供的事件服務(wù)、命令服務(wù)和信息服務(wù)以管理、確定和控制下層接口的狀態(tài)。 由MIH提供的這些服務(wù)幫助上層維持服務(wù)連續(xù)性、對(duì)可變服務(wù)質(zhì)量的服務(wù)適應(yīng)性、電池壽命保護(hù)以及網(wǎng)絡(luò)發(fā)現(xiàn)和鏈路選擇。在包含802類型和蜂窩3GPP、3GPP2類型的異構(gòu)網(wǎng)絡(luò)接口的系統(tǒng)中,媒體無關(guān)切換功能可幫助上層實(shí)現(xiàn)跨異構(gòu)網(wǎng)絡(luò)接口連接服務(wù)的有效過程。上層可利用由跨不同實(shí)體的MIHF提供的服務(wù)以查詢異構(gòu)網(wǎng)絡(luò)之間的切換操作所需要的資源。移動(dòng)設(shè)備中的MIH服務(wù)方便異構(gòu)網(wǎng)絡(luò)之間的無縫切換。諸如移動(dòng)性管理協(xié)議(例如移動(dòng)IP)的MIH用戶可被支持用于切換和無縫會(huì)話連續(xù)性。這不應(yīng)當(dāng)阻止除了移動(dòng)IP和甚至其它上層之外的其它協(xié)議使用MIH服務(wù)以優(yōu)化切換。采用MIH服務(wù)的移動(dòng)節(jié)點(diǎn)將從鏈路層接收指示,用于如事件服務(wù)的異步操作。與命令服務(wù)和信息服務(wù)的交互將通過同步查詢和響應(yīng)型機(jī)制進(jìn)行。MIHF還將提供用于在網(wǎng)絡(luò)與相同媒體類型的主機(jī)實(shí)體之間交換信息的功能。需要注意,如果這種信息交換的機(jī)制已經(jīng)與指定類型的媒體(諸如與一些蜂窩媒體類型)存在,則只要有可能,MIHF都將使用現(xiàn)有的機(jī)制。
MIH 協(xié)議IEEE 802. 21標(biāo)準(zhǔn)支持媒體無關(guān)事件服務(wù)、媒體無關(guān)命令服務(wù)和媒體無關(guān)信息服務(wù)。MIH協(xié)議定義了在遠(yuǎn)程MIHF實(shí)體之間交換的消息的格式(即,具有報(bào)頭和有效載荷的MIHF分組)和支持消息的傳遞的傳輸機(jī)制。傳輸機(jī)制的選擇取決于將MN連接到網(wǎng)絡(luò)的接入技術(shù)和MIH PoS的位置。這些服務(wù)的分組有效載荷可通過L2管理幀、L2數(shù)據(jù)幀或其它更高層協(xié)議攜帶。諸如802. 11和802. 16的無線網(wǎng)絡(luò)具有管理平面,并支持可被適當(dāng)增強(qiáng)以攜帶上述有效載荷的管理幀。然而,有線以太網(wǎng)并不具有管理平面,僅可在數(shù)據(jù)幀中攜帶上述有效載荷。IEEE 802. 21標(biāo)準(zhǔn)在標(biāo)準(zhǔn)TLV格式中以媒體無關(guān)的方式定義了分組格式和有效載荷。此后,當(dāng)有效載荷需要如在以太網(wǎng)的情況下通過正常數(shù)據(jù)幀發(fā)送時(shí),這些分組可以使用MIHF以太類型按照L2MIH協(xié)議封裝。在其它情況下,基于TLV的消息和有效載荷可直接封裝在媒體特定(media specific)管理巾貞中??蛇x地,MIH協(xié)議消息可使用較低層(L2)或較高層(L3及以上)傳輸來封裝。IEEE 802. 21標(biāo)準(zhǔn)定義了 MIH協(xié)議數(shù)據(jù)單元(TOU)報(bào)頭和有效載荷的格式。標(biāo)準(zhǔn)TLV格式提供PDU有效載荷內(nèi)容的媒體無關(guān)表示。MIHFPDU被封裝在802鏈路上具有MIHF以太類型的數(shù)據(jù)幀中。對(duì)于802. 11和802. 16鏈路,媒體特定管理幀的擴(kuò)展被推薦用于攜帶MIH消息。在該標(biāo)準(zhǔn)中沒有關(guān)于在L2通過3GPP和3GPP2接入鏈路傳輸MIH消息的假定。媒體無關(guān)信息服務(wù)介紹媒體無關(guān)信息服務(wù)(MIIS)提供在移動(dòng)節(jié)點(diǎn)和網(wǎng)絡(luò)中的MIHF可以發(fā)現(xiàn)和獲取地理區(qū)域內(nèi)的網(wǎng)絡(luò)信息以方便切換的構(gòu)架。其目的是獲取該區(qū)域內(nèi)相對(duì)MN的所有異構(gòu)網(wǎng)絡(luò)的全局情況以方便在這些網(wǎng)絡(luò)之間漫游時(shí)的無縫切換。媒體無關(guān)信息服務(wù)包括支持各種信息單元(IE)。信息單元提供對(duì)于網(wǎng)絡(luò)選擇器制定智能的切換決策重要的信息。根據(jù)移動(dòng)性的類型,支持不同類型的信息單元對(duì)于執(zhí)行切換可能是必要的。例如,在同一接入網(wǎng)絡(luò)內(nèi)不同的POA之間的水平切換的情況下,從接入網(wǎng)絡(luò)的較低鏈路層可獲得的信息可能是足夠的。在這種情況下,如技術(shù)內(nèi)鄰居報(bào)告的信息單元和在切換期間所需的其它鏈路層信息可直接從接入網(wǎng)絡(luò)中獲得。在這種情況下,由網(wǎng)絡(luò)提供的較高層服務(wù)的可用性在不同的網(wǎng)絡(luò)附著點(diǎn)之間可能不會(huì)有什么變化。
另一方面,在垂直切換期間,需要根據(jù)最佳鏈路層連通性以及適當(dāng)?shù)妮^高層服務(wù)的可用性在新網(wǎng)絡(luò)中選擇適當(dāng)?shù)腜oA,以允許用于活動(dòng)的用戶應(yīng)用的服務(wù)和會(huì)話連續(xù)性。媒體無關(guān)信息服務(wù)(MIIS)提供用于獲取切換的必要信息的能力。這包括諸如鄰接地圖和其它鏈路層參數(shù)的有關(guān)較低層的信息以及諸如因特網(wǎng)連通性、VPN服務(wù)的可用性等的有關(guān)較高層的信息。由MIIS提供的不同的較高層服務(wù)的集合可經(jīng)常演變。同時(shí),由MIIS支持的接入網(wǎng)絡(luò)的列表也可以演變。同樣,在MIIS提供對(duì)不同信息單元的支持方面需要靈活性和可擴(kuò)展性。為此,MIIS定義了模式(schema)。該模式幫助MIIS的客戶機(jī)發(fā)現(xiàn)MIIS的能力,并還發(fā)現(xiàn)由特定實(shí)現(xiàn)支持的不同接入網(wǎng)絡(luò)和IE的全集。模式表示還允許移動(dòng)節(jié)點(diǎn)以更靈活和有效的方式查詢信息。作為定義該模式的一部分,MIIS還可標(biāo)識(shí)一組基本信息單元,其可定義不同的MIIS實(shí)現(xiàn)的核心功能。其它信息單元在被添加時(shí)可成為MIIS能力的擴(kuò)展集的一部分。MIIS提供有關(guān)不同的接入網(wǎng)絡(luò)的信息,諸如802網(wǎng)絡(luò)、3GPP網(wǎng)絡(luò)和3GPP2網(wǎng) 絡(luò)。MIIS還允許該集體信息可從任何單個(gè)網(wǎng)絡(luò)中訪問。因此,例如,使用802. 11接入網(wǎng)絡(luò),可以不僅得到有關(guān)特定區(qū)域內(nèi)所有其它802網(wǎng)絡(luò)的信息,而且得到3GPP和3GPP2網(wǎng)絡(luò)的信息。同樣,使用3GPP2接口,可以得到指定區(qū)域內(nèi)有關(guān)所有802和3GPP網(wǎng)絡(luò)的信息。該能力允許移動(dòng)節(jié)點(diǎn)使用其當(dāng)前活動(dòng)的接入網(wǎng)絡(luò)并掃描地理區(qū)域內(nèi)其它可用的接入網(wǎng)絡(luò)。因此,移動(dòng)節(jié)點(diǎn)免除了提高其各個(gè)無線電的功率并建立網(wǎng)絡(luò)連通性以訪問異構(gòu)網(wǎng)絡(luò)信息的負(fù)擔(dān)。MIIS通過提供統(tǒng)一的獲取在任何地理區(qū)域內(nèi)的異構(gòu)網(wǎng)絡(luò)信息的方式能夠在所有可用的接入網(wǎng)絡(luò)上實(shí)現(xiàn)該功能。信息服務(wù)單元在信息服務(wù)后面的主要目標(biāo)是允許移動(dòng)節(jié)點(diǎn)和網(wǎng)絡(luò)實(shí)體發(fā)現(xiàn)可能影響切換期間選擇適當(dāng)?shù)木W(wǎng)絡(luò)的信息。該信息旨在主要由可基于該信息指定有效的切換決策的策略引擎實(shí)體使用。該信息服務(wù)被期望提供大多數(shù)靜態(tài)類型的信息,盡管網(wǎng)絡(luò)配置變化也必須考慮。其它有關(guān)不同的接入網(wǎng)絡(luò)的動(dòng)態(tài)信息,諸如當(dāng)前可用的資源水平、狀態(tài)參數(shù)、動(dòng)態(tài)統(tǒng)計(jì)等,應(yīng)當(dāng)可以直接從各個(gè)接入網(wǎng)絡(luò)中獲得。在信息服務(wù)后面的一些主要?jiǎng)訖C(jī)如下所述I)提供有關(guān)地理區(qū)域中接入網(wǎng)絡(luò)的可用性的信息。進(jìn)一步地,該信息可使用任何無線網(wǎng)絡(luò)獲取,例如,有關(guān)附近WiFi熱點(diǎn)的信息可使用GSM、CDMA或任何其它蜂窩網(wǎng)絡(luò)獲取,不管是利用請(qǐng)求/響應(yīng)信令還是在那些蜂窩網(wǎng)絡(luò)上明確或含蓄地廣播的信息??蛇x擇地,該信息可由麗在內(nèi)部數(shù)據(jù)庫中維持。2)提供可幫助移動(dòng)設(shè)備選擇適當(dāng)?shù)慕尤刖W(wǎng)絡(luò)的靜態(tài)鏈路層信息參數(shù)。例如,安全和QoS在特定接入網(wǎng)絡(luò)上是否被支持的知識(shí)可能影響在切換期間選擇這種接入網(wǎng)絡(luò)的決定。3)包括鄰接報(bào)告和有關(guān)不同PoA的能力的信息的鏈路層信息也可以幫助最優(yōu)地(在可能的范圍內(nèi))配置無線電以用于連接到可用的/所選擇的接入網(wǎng)絡(luò)。例如,與掃描、發(fā)信標(biāo)等相對(duì),知道不同的PoA所支持的信道可有助于最優(yōu)地配置信道,然后找出該信息。然而,對(duì)于大多數(shù)來說,動(dòng)態(tài)鏈路層參數(shù)必須基于與接入網(wǎng)絡(luò)的直接交互來獲取或選擇,而信息服務(wù)可能在這方面不能夠有太多幫助。4)提供由不同的接入網(wǎng)絡(luò)支持的較高層服務(wù)的指示和其它可能有助于制定切換決策的相關(guān)信息。這種信息可能不能直接從特定接入網(wǎng)絡(luò)的MAC/PHY層獲得(或可能不提供),但其可被提供為信息服務(wù)的一部分。例如,在某些情況下,將不同網(wǎng)絡(luò)分類成諸如公共、企業(yè)、家庭、其它等范疇可影響切換決策。在此,其它信息可以是本質(zhì)上更多供應(yīng)商/網(wǎng)絡(luò)特定的,并可以該形式規(guī)定來指定。信息服務(wù)單元可被分成三組I)通用接入網(wǎng)絡(luò)信息這些信息單元給出提供某個(gè)區(qū)域內(nèi)覆蓋范圍的不同網(wǎng)絡(luò)的總概括,諸如可用網(wǎng)絡(luò)及其其它相關(guān)運(yùn)營者的列表、不同運(yùn)營者之間的漫游協(xié)議、連接到網(wǎng)絡(luò)的費(fèi)用以及網(wǎng)絡(luò)安全和服務(wù)質(zhì)量能力。2)有關(guān)附著點(diǎn)(Points of Attachment)的信息這些信息提供有關(guān)用于每個(gè)可用接入網(wǎng)絡(luò)的不同PoA的信息。這些IE包括PoA尋址信息、PoA位置、所支持的數(shù)據(jù)速率、PHY和MAC層的類型以及任何優(yōu)化鏈路層連通性的信道參數(shù)。這還可包括不同PoA的較高層服務(wù)和個(gè)體能力。3)其它信息可以是供應(yīng)商/網(wǎng)絡(luò)特定的,并可以被適當(dāng)?shù)匾?guī)定。 媒體無關(guān)切換協(xié)議介紹MIHF通過已定義的用于較低層和上層的SAP提供異步和同步服務(wù)。所提供的服務(wù)包括事件服務(wù)(ES)、命令服務(wù)(CS)和信息服務(wù)(IS)。關(guān)于MIH服務(wù)的詳細(xì)描述可以在802. 21草案文件中找到。MIH SAP包括MIH上層SAP和MIH較低層SAP,其中,MIH上層SAP被MIH的用戶使用以訪問各種MIHF服務(wù),而MIH較低層SAP被ΜΙ 用于訪問并控制各種媒體相關(guān)較低層資源。MIH協(xié)議定義了用于在對(duì)等MIHF實(shí)體之間交換消息的幀格式。這些消息是基于作為媒體無關(guān)事件服務(wù)、媒體無關(guān)命令服務(wù)和媒體無關(guān)信息服務(wù)的一部分的原語。IEEE802. 21支持移動(dòng)節(jié)點(diǎn)和網(wǎng)絡(luò)中的媒體無關(guān)切換功能。MIH協(xié)議允許對(duì)等MIHF實(shí)體彼此交互。為了移動(dòng)節(jié)點(diǎn)的MIHF實(shí)體開始MIH協(xié)議過程,移動(dòng)節(jié)點(diǎn)的MIHF實(shí)體可發(fā)現(xiàn)其對(duì)等遠(yuǎn)程MIHF實(shí)體。對(duì)等遠(yuǎn)程MIHF實(shí)體是移動(dòng)節(jié)點(diǎn)的MIHF可以與其交換MIH協(xié)議消息的對(duì)應(yīng)MIHF實(shí)體。由于對(duì)等遠(yuǎn)程MIHF實(shí)體駐留在網(wǎng)絡(luò)的任何位置,因此,移動(dòng)節(jié)點(diǎn)的ΜΙ 實(shí)體可在啟動(dòng)MIH協(xié)議過程之前發(fā)現(xiàn)網(wǎng)絡(luò)中的MIHF實(shí)體。這通過MIH功能發(fā)現(xiàn)過程進(jìn)行。MIH功能發(fā)現(xiàn)可在層2或?qū)?完成。然而,該文件只規(guī)定了當(dāng)兩個(gè)MIH功能都位于同一個(gè)廣播域內(nèi)時(shí)如何在層2執(zhí)行MIH功能發(fā)現(xiàn)。MIH功能發(fā)現(xiàn)可通過MIH協(xié)議(即,使用L2封裝,諸如LLC)或者通過媒體特定的層2廣播消息(即,802. 11信標(biāo)、802. 16D⑶)執(zhí)行。在層3的MIH功能發(fā)現(xiàn)在802. 21的范圍之外。一旦對(duì)等MIHF已被發(fā)現(xiàn),麗可發(fā)現(xiàn)對(duì)等MIHF的能力。這通過MIH能力發(fā)現(xiàn)過程進(jìn)行。MIH能力發(fā)現(xiàn)可通過MIH協(xié)議或者通過媒體特定的層2廣播消息(即,802. 11信標(biāo)、802. 16DCD)執(zhí)行。當(dāng)對(duì)等MIHF駐留在與麗相同的廣播域內(nèi)時(shí),MIH功能發(fā)現(xiàn)可僅使用MIH能力發(fā)現(xiàn)執(zhí)行。示意性體系結(jié)構(gòu)圖I示出一些示意性的體系結(jié)構(gòu)組件,其可用在包括客戶機(jī)設(shè)備與其通信的無線接入點(diǎn)的一些示意性和非限制性的實(shí)現(xiàn)中。在這一點(diǎn),圖I示出示意性的有線網(wǎng)絡(luò)20,其連接到標(biāo)記為21的無線局域網(wǎng)(WLAN)。WLAN 21包括接入點(diǎn)(AP) 22和多個(gè)用戶站23、24。例如,有線網(wǎng)絡(luò)20可包括因特網(wǎng)或公司數(shù)據(jù)處理網(wǎng)絡(luò)。例如,接入點(diǎn)22可以是無線路由器,用戶站23、24例如可以是便攜式計(jì)算機(jī)、個(gè)人桌上型計(jì)算機(jī)、PDA、便攜式基于IP的語音電話和/或其它設(shè)備。接入點(diǎn)22具有鏈接到有線網(wǎng)絡(luò)21的網(wǎng)絡(luò)接口 25和與用戶站23、24進(jìn)行通信的無線收發(fā)機(jī)。例如,無線收發(fā)機(jī)26可包括天線27,用于與用戶站23、24進(jìn)行無線或微波頻率通信。接入點(diǎn)22還具有處理器28、程序存儲(chǔ)器29和隨機(jī)存取存儲(chǔ)器31。用戶站23具有無線收發(fā)機(jī)35,其包括與接入點(diǎn)22進(jìn)行通信的天線36。類似地,用戶站24具有無線收發(fā)機(jī)38和與接入點(diǎn)22進(jìn)行通信的天線39。作為例子,在一些實(shí)施例中,認(rèn)證器可在這種接入點(diǎn)(AP)內(nèi)使用和/或請(qǐng)求者或?qū)Φ日呖稍谝苿?dòng)節(jié)點(diǎn)或用戶站內(nèi)使用。圖2示出示意性的計(jì)算機(jī)或控制單元,其在某些實(shí)施例中可用于實(shí)現(xiàn)計(jì)算機(jī)化的處理步驟,并由諸如接入點(diǎn)、用戶站、源節(jié)點(diǎn)或目的節(jié)點(diǎn)的設(shè)備實(shí)現(xiàn)。在某些實(shí)施例中,計(jì)算機(jī)或控制單元包括中央處理單元(CPU) 322,其可通過總線326與一組輸入/輸出(I/O)裝置324進(jìn)行通信。I/O裝置324例如可包括鍵盤、監(jiān)視器和/或其它器件。CPU 322可通過總線326與計(jì)算機(jī)可讀介質(zhì)(例如,傳統(tǒng)的易失性或非易失性數(shù)據(jù)存儲(chǔ)器件)328(此后稱為“存儲(chǔ)器328”)進(jìn)行通信。CPU 322、1/0裝置324、總線326和存儲(chǔ)器328之間的交互與 本領(lǐng)域已知的類似。存儲(chǔ)器328例如可包括數(shù)據(jù)330。存儲(chǔ)器328還可存儲(chǔ)軟件338。軟件338可包括用于實(shí)現(xiàn)處理的步驟的多個(gè)模塊。傳統(tǒng)的編程技術(shù)可用于實(shí)現(xiàn)這些模塊。存儲(chǔ)器328還可存儲(chǔ)上述和/或其它數(shù)據(jù)文件。在某些實(shí)施例中,在此所描述的各種方法可通過與計(jì)算機(jī)系統(tǒng)一起使用的計(jì)算機(jī)程序產(chǎn)品實(shí)現(xiàn)。該實(shí)現(xiàn)例如可包括固化在計(jì)算機(jī)可讀介質(zhì)(例如,磁盤、CD-ROM、ROM等)上或能夠通過經(jīng)由諸如調(diào)制解調(diào)器等的任何接口裝置傳輸?shù)接?jì)算機(jī)系統(tǒng)的一系列計(jì)算機(jī)指令。通信媒體可以是基本上有形的(例如,通信線路)和/或基本上無形的(例如,使用微波、光、紅外等的無線媒體)。計(jì)算機(jī)指令可用各種編程語言編寫和/或可存儲(chǔ)在存儲(chǔ)器裝置中,諸如半導(dǎo)體器件(例如,芯片或電路)、磁器件、光器件和/或其它存儲(chǔ)器裝置。在各種實(shí)施例中,傳輸可使用任何適當(dāng)?shù)耐ㄐ偶夹g(shù)。一般背景參考文獻(xiàn)為了便于參考,下面的一般背景申請(qǐng)作為參考文獻(xiàn)(這些申請(qǐng)?jiān)诖艘舶幸韵掠糜诒尘皡⒖嫉膶@暾?qǐng)的整個(gè)公開,作為參考)I) 2007年2月23日提交的美國臨時(shí)專利申請(qǐng)No. 60/891,349,K. Taniuchi等;2) 2006年9月13日提交的美國臨時(shí)專利申請(qǐng)No. 60/825,567,Y. A. Cheng等;3) 2006年12月5日提交的美國專利申請(qǐng)No. 11/567,134,Y. Oba等;4) 2006年11月23日提交的美國專利申請(qǐng)No. 11/563,000,Y. Oba等;5) 2006年11月12日提交的美國專利申請(qǐng)No. 11/558,922,Y. Oba等;6) 2006年7月27日提交的美國專利申請(qǐng)No. 11/460,616,Y. Oba等;7) 2006年4月14日提交的美國專利申請(qǐng)No. 11/279,856,A. Dutta等,名稱為“Framework Of Media-Independent Pre-Authentication Improvements” ;8)Including Considerations For Failed Switching And Switchback ;9) 2006年3月9日提交的美國專利申請(qǐng)No. 11/308,175,Y. Oba等,名稱為“Framework of Media Independent Pre-Authentication Support for PANA,,;10)2006年2月提交的美國專利申請(qǐng)No. 11/307, 362,A. Dutta等,名稱為“AFramework of Media-Independent Pre-authentication,”,;11) 2008年5月12日提交的美國專利申請(qǐng)No. 12/119,048,Y. Oba等。如上面所指出的,用于切換的媒體無關(guān)方案不能解決在MIH協(xié)議級(jí)別的安全。由于媒體無關(guān)切換提供影響網(wǎng)絡(luò)資源、費(fèi)用和用戶體驗(yàn)的服務(wù),因此,MIH級(jí)別的安全是對(duì)在其網(wǎng)絡(luò)中提供MIH服務(wù)的網(wǎng)絡(luò)提供商重要的因素。由于缺乏MIH安全使其易于受到社會(huì)上惡意單元的攻擊,因此,網(wǎng)絡(luò)提供商對(duì)于確保用戶能夠可靠和安全地使用網(wǎng)絡(luò)而無需使用戶擔(dān)心其身份或其私有信息受到諸如惡意用戶或惡意系統(tǒng)管理員等的惡意實(shí)體的偷聽或桌改的威脅感興趣
發(fā)明內(nèi)容
在某些示例性實(shí)施例中,在媒體無關(guān)切換(MIH)協(xié)議級(jí)別缺乏安全的問題可以通過提供用于認(rèn)證、授權(quán)、接入控制、保密性和數(shù)據(jù)完整性的特征來解決。通過認(rèn)證,MIH實(shí)體的身份可在其能夠接入MIH網(wǎng)絡(luò)之前被驗(yàn)證。另外,MIH實(shí)體可以認(rèn)證指定MIH消息的源,即,它們可以認(rèn)證消息發(fā)端實(shí)體。通過控制接入,只有被授權(quán)的MIH實(shí)體可以被允許訪問來自MIH服務(wù)網(wǎng)絡(luò)內(nèi)信息服務(wù)器的信息。通過提供保密性和數(shù)據(jù)完整性,MIH協(xié)議消息可被保護(hù)而免于被某些諸如惡意用戶或惡意系統(tǒng)管理員的惡意實(shí)體訪問、偷聽和/或修改。保密性和數(shù)據(jù)完整性特征可以使用預(yù)共享密鑰或類似認(rèn)證中心的可信任第三方。下面概述實(shí)現(xiàn)MIH協(xié)議級(jí)別安全的一些示例性實(shí)施例。在示例性實(shí)施例的一個(gè)方面,一種具有用于向媒體無關(guān)切換服務(wù)提供安全的計(jì)算機(jī)實(shí)現(xiàn)協(xié)議的裝置包括用于提供媒體無關(guān)切換服務(wù)的服務(wù)點(diǎn),其包括無關(guān)認(rèn)證器,所述無關(guān)認(rèn)證器在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),其中,服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的每一個(gè)屬于多個(gè)具有特定服務(wù)媒體的異構(gòu)接入網(wǎng)絡(luò)。接入控制器經(jīng)由認(rèn)證服務(wù)器通過與提供媒體無關(guān)切換服務(wù)器的服務(wù)點(diǎn)之間的接入認(rèn)證來應(yīng)用接入控制,其中,當(dāng)接入認(rèn)證在服務(wù)點(diǎn)與認(rèn)證服務(wù)器之間建立時(shí),移動(dòng)設(shè)備被授權(quán)通過用于在異構(gòu)媒體之間附著的移動(dòng)設(shè)備的服務(wù)點(diǎn)訪問媒體無關(guān)切換服務(wù)。接入認(rèn)證包括密鑰建立協(xié)議,用于在移動(dòng)設(shè)備與認(rèn)證服務(wù)器之間建立密鑰;至少一個(gè)密鑰被傳遞到服務(wù)點(diǎn),用于獲取會(huì)話密鑰以保護(hù)在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間傳輸?shù)拿襟w無關(guān)切換消息。用于接入認(rèn)證和密鑰建立協(xié)議的傳輸層安全(TLS)被使用以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手,其中,TLS握手在對(duì)等設(shè)備之間建立安全關(guān)聯(lián)或安全會(huì)話以保護(hù)媒體無關(guān)切換協(xié)議的消息。安全關(guān)聯(lián)或安全會(huì)話在媒體無關(guān)切換協(xié)議內(nèi)被綁定到對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn)),因?yàn)槊襟w無關(guān)切換消息在傳輸級(jí)別安全被添加時(shí)不被封裝。在一種情形中,用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的媒體無關(guān)切換服務(wù)具有同一個(gè)認(rèn)證服務(wù)器。媒體無關(guān)切換密鑰材料從在用于網(wǎng)絡(luò)接入的先驗(yàn)(proactive)認(rèn)證期間建立的密鑰材料中引導(dǎo)。先驗(yàn)認(rèn)證在用于移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)的網(wǎng)絡(luò)接入之前認(rèn)證候選接入網(wǎng)絡(luò)。在另一種情形中,用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò) 的媒體無關(guān)切換服務(wù)具有不同的認(rèn)證服務(wù)器。媒體無關(guān)切換密鑰材料從在用于媒體無關(guān)切換服務(wù)的先驗(yàn)認(rèn)證期間建立的密鑰材料中引導(dǎo),先驗(yàn)認(rèn)證包括在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò)。認(rèn)證服務(wù)器是可擴(kuò)展認(rèn)證協(xié)議(EAP)服務(wù)器或認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器。無關(guān)認(rèn)證器是用于經(jīng)由接口管理多個(gè)異構(gòu)接入網(wǎng)絡(luò)的每一個(gè)之間的雙向通信的單點(diǎn)服務(wù)點(diǎn)。在示例性實(shí)施例的另一個(gè)方面,一種具有用于向媒體無關(guān)切換服務(wù)提供安全的計(jì)算機(jī)實(shí)現(xiàn)協(xié)議的裝置包括用于提供媒體無關(guān)切換服務(wù)的服務(wù)點(diǎn),其包括無關(guān)認(rèn)證器。無關(guān)認(rèn)證器在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),其中,月艮務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的每一個(gè)屬于多個(gè)具有特定服務(wù)媒體的異構(gòu)接入網(wǎng)絡(luò),服務(wù)點(diǎn)和移動(dòng)設(shè)備執(zhí)行相互認(rèn)證和密鑰建立。移動(dòng)設(shè)備和服務(wù)點(diǎn)執(zhí)行特定密鑰的相互認(rèn)證和密鑰建立,以安全地向駐留在網(wǎng)絡(luò)中的服務(wù)點(diǎn)提供移動(dòng)設(shè)備的身份,或反之亦然;特定密鑰綁定一對(duì)身份以保護(hù)媒體無關(guān)切換消息。用于相互認(rèn)證和密鑰建立的傳輸層安全(TLS)被使用,以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手,其中,TLS握手在對(duì)等設(shè)備之間建立安全關(guān)聯(lián)或安全會(huì)話以保護(hù)媒體無關(guān)切換協(xié)議的消息。安全關(guān)聯(lián)或安全會(huì)話媒體無關(guān)切換協(xié)議內(nèi)被綁定到對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn)),因?yàn)槊襟w無關(guān)切換消息在傳輸級(jí)別安全被添加時(shí)不被封裝。相互認(rèn)證可基于預(yù)共享密鑰或如認(rèn)證中心的可信任第三方。
在示例性實(shí)施例的又一個(gè)方面,用于向媒體無關(guān)切換服務(wù)提供安全的系統(tǒng)包括具有媒體無關(guān)接入功能的服務(wù)點(diǎn)。多個(gè)異構(gòu)網(wǎng)絡(luò)的每一個(gè)具有媒體特定(media specific)接入功能,其中,多個(gè)異構(gòu)網(wǎng)絡(luò)包括服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)。移動(dòng)設(shè)備連接到多個(gè)異構(gòu)網(wǎng)絡(luò),服務(wù)點(diǎn)在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò)。認(rèn)證服務(wù)器和接入控制器經(jīng)由認(rèn)證服務(wù)器通過與提供媒體無關(guān)切換服務(wù)的服務(wù)點(diǎn)之間的接入認(rèn)證來應(yīng)用接入控制,其中,當(dāng)接入認(rèn)證在服務(wù)點(diǎn)與認(rèn)證服務(wù)器之間建立時(shí),移動(dòng)設(shè)備被授權(quán)通過用于在異構(gòu)媒體之間附著的移動(dòng)設(shè)備的服務(wù)點(diǎn)訪問媒體無關(guān)切換服務(wù)。接入認(rèn)證包括密鑰建立協(xié)議,用于在移動(dòng)設(shè)備與認(rèn)證服務(wù)器之間建立密鑰;至少一個(gè)密鑰被傳遞到服務(wù)點(diǎn),用于獲取會(huì)話密鑰以保護(hù)在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間傳輸?shù)拿襟w無關(guān)切換消息。用于接入認(rèn)證和密鑰建立協(xié)議的傳輸層安全(TLS)被使用,以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手,其中,TLS握手在對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn))之間建立安全關(guān)聯(lián)或安全會(huì)話以保護(hù)媒體無關(guān)切換協(xié)議的消息。安全關(guān)聯(lián)或安全會(huì)話在媒體無關(guān)切換協(xié)議內(nèi)被綁定到對(duì)等設(shè)備,因?yàn)槊襟w無關(guān)切換消息在傳輸級(jí)別安全被添加時(shí)不被封裝。在一種情形中,用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的媒體無關(guān)切換服務(wù)具有同一個(gè)認(rèn)證服務(wù)器。媒體無關(guān)切換密鑰材料從在用于網(wǎng)絡(luò)接入的先驗(yàn)認(rèn)證期間建立的密鑰材料中引導(dǎo),先驗(yàn)認(rèn)證包括在用于移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)的網(wǎng)絡(luò)接入之前認(rèn)證候選接入網(wǎng)絡(luò)。在另一種情況下,用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的媒體無關(guān)切換服務(wù)具有不同的認(rèn)證服務(wù)器。媒體無關(guān)切換密鑰材料從在用于媒體無關(guān)切換服務(wù)的先驗(yàn)認(rèn)證期間建立的密鑰材料中引導(dǎo)。先驗(yàn)認(rèn)證包括在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò)。在示例性實(shí)施例的再一個(gè)方面,用于向媒體無關(guān)切換服務(wù)提供安全的系統(tǒng)包括具有媒體無關(guān)接入功能的服務(wù)點(diǎn)。多個(gè)異構(gòu)網(wǎng)絡(luò)的每一個(gè)具有媒體特定接入功能,其中多個(gè)異構(gòu)網(wǎng)絡(luò)包括服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)。移動(dòng)設(shè)備連接到多個(gè)異構(gòu)網(wǎng)絡(luò),服務(wù)點(diǎn)在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),其中服務(wù)點(diǎn)和移動(dòng)設(shè)備執(zhí)行相互認(rèn)證和密鑰建立。移動(dòng)設(shè)備和服務(wù)點(diǎn)執(zhí)行特定密鑰的相互認(rèn)證和密鑰建立,以安全地向駐留在網(wǎng)絡(luò)中的服務(wù)點(diǎn)提供移動(dòng)設(shè)備的身份,或反之亦然;特定密鑰綁定一對(duì)身份以保護(hù)媒體無關(guān)切換消息。用于相互認(rèn)證和密鑰建立的傳輸層安全(TLS)被使用以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手,其中,TLS握手在對(duì)等設(shè)備之間建立安全關(guān)聯(lián)或安全會(huì)話以保護(hù)媒體無關(guān)切換協(xié)議的消息。相互認(rèn)證可基于預(yù)共享密鑰或可信任第三方,其中可信任第三方可以是認(rèn)證中心。在示例性實(shí)施例的又一個(gè)方面,一種機(jī)器可訪問媒體,具有在其上編碼的指令以使得處理器能夠執(zhí)行用于向媒體無關(guān)切換服務(wù)提供安全的操作,該操作包括以下步驟提供媒體無關(guān)切換服務(wù),其包括無關(guān)認(rèn)證器,其中,無關(guān)認(rèn)證器在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的每一個(gè)屬于多個(gè)具有特定服務(wù)媒體的異構(gòu)接入網(wǎng)絡(luò)。經(jīng)由認(rèn)證服務(wù)器通過與提供媒體無關(guān)切換服務(wù)的服務(wù)點(diǎn)之間的接入認(rèn)證來應(yīng)用接入控制,并在服務(wù)點(diǎn)與認(rèn)證服務(wù)器之間建立接入認(rèn)證,以致移動(dòng)設(shè)備被授權(quán)通過用于在異構(gòu)媒體之間附著的移動(dòng)設(shè)備的服務(wù)點(diǎn)訪問媒體無關(guān)切換服務(wù)。根據(jù)以下的描述并結(jié)合附圖,各種實(shí)施例的上述和/或其它方面、特征和/或優(yōu)點(diǎn)將更加清楚。各種實(shí)施例可包括和/或不包括不同的方面、特征和/或優(yōu)點(diǎn),如果適用的話。另外,各種實(shí)施例可結(jié)合其它實(shí)施例的一個(gè)或多個(gè)方面或特征,如果適用的話。關(guān)于特定實(shí)施例的方面、特征和/或優(yōu)點(diǎn)的描述不應(yīng)被解釋為限制其它實(shí)施例或權(quán)利要求。
通過參照附圖對(duì)實(shí)施例的詳細(xì)描述,本發(fā)明的實(shí)施例的上述和其它方面和優(yōu)點(diǎn)會(huì)變得更加明顯,其中圖I表示一些示意性的體系結(jié)構(gòu)組件,其可在包括客戶機(jī)設(shè)備與其進(jìn)行通信的無線接入點(diǎn)的一些示例性和非限制性的實(shí)現(xiàn)中使用;圖2示出示意性的計(jì)算機(jī)或控制單元,其可用于實(shí)現(xiàn)計(jì)算機(jī)化的處理步驟,以在一些實(shí)施例中由諸如接入點(diǎn)、用戶站、源節(jié)點(diǎn)或目的節(jié)點(diǎn)的設(shè)備執(zhí)行;圖3是如在IEEE 802. 21標(biāo)準(zhǔn)中公開的示意性媒體無關(guān)切換功能通信模型,其中,認(rèn)證有關(guān)的安全信令可在一些實(shí)施例中實(shí)現(xiàn);圖4是具有媒體無關(guān)切換服務(wù)通信模型的網(wǎng)絡(luò)模型的例子,其中,認(rèn)證有關(guān)的安全信令可在一些實(shí)施例中實(shí)現(xiàn);圖5表示在不同的功能實(shí)體之間的關(guān)系及其在直接先驗(yàn)認(rèn)證信令期間的事務(wù);圖6表示在不同的功能實(shí)體之間的關(guān)系及其在間接先驗(yàn)認(rèn)證信令期間的事務(wù);圖7表示示意性的用于先驗(yàn)認(rèn)證的邏輯體系結(jié)構(gòu),其中兩個(gè)接入網(wǎng)絡(luò)由一個(gè)媒體無關(guān)認(rèn)證器和密鑰持有者管理;圖8表示示意性的用于先驗(yàn)認(rèn)證的邏輯體系結(jié)構(gòu),其中兩個(gè)接入網(wǎng)絡(luò)由兩個(gè)分離的媒體無關(guān)認(rèn)證器和密鑰持有者管理;圖9示出用于網(wǎng)絡(luò)發(fā)起的直接先驗(yàn)認(rèn)證(EAP)的MN與媒體無關(guān)認(rèn)證器之間的消 息流;圖10示出用于移動(dòng)設(shè)備發(fā)起的直接先驗(yàn)認(rèn)證(EAP)的MN與媒體無關(guān)認(rèn)證器之間的消息流;圖11示出用于網(wǎng)絡(luò)發(fā)起的間接先驗(yàn)認(rèn)證(EAP)的MN與媒體無關(guān)認(rèn)證器之間的消息流;圖12示出用于移動(dòng)設(shè)備發(fā)起的間接先驗(yàn)認(rèn)證(EAP)的MN與媒體無關(guān)認(rèn)證器之間的消息流;圖13示出用于網(wǎng)絡(luò)發(fā)起的直接先驗(yàn)認(rèn)證(ERP)的MN與媒體無關(guān)認(rèn)證器之間的消息流;圖14示出用于移動(dòng)設(shè)備發(fā)起的直接先驗(yàn)認(rèn)證(ERP)的MN與媒體無關(guān)認(rèn)證器之間的消息流;圖15示出用于網(wǎng)絡(luò)發(fā)起的間接先驗(yàn)認(rèn)證(ERP)的MN與媒體無關(guān)認(rèn)證器之間的消息流;圖16示出用于移動(dòng)設(shè)備發(fā)起的間接先驗(yàn)認(rèn)證(ERP)的MN與媒體無關(guān)認(rèn)證器之間的消息流; 圖17示出麗、目標(biāo)MSA-KH和目標(biāo)MIA-KH之間的呼叫流;圖18示出用于網(wǎng)絡(luò)發(fā)起的和移動(dòng)設(shè)備發(fā)起的直接終止過程的呼叫流;圖19示出用于網(wǎng)絡(luò)發(fā)起的和移動(dòng)設(shè)備發(fā)起的間接終止過程的呼叫流;圖20示出用于MIH服務(wù)和網(wǎng)絡(luò)接入服務(wù)使用同一個(gè)認(rèn)證服務(wù)器的集成情形的呼叫流;圖21示出在應(yīng)用MIH服務(wù)接入控制并且MIH安全關(guān)聯(lián)(SA)由于在集成情形中的成功認(rèn)證而被引導(dǎo)的情況下的呼叫流;圖22示出在應(yīng)用MIH服務(wù)接入控制并且MIH SA由于成功認(rèn)證而被引導(dǎo)的情況下的呼叫流;圖23示出用于MIH服務(wù)和網(wǎng)絡(luò)接入服務(wù)使用不同的認(rèn)證服務(wù)器的分離情形的呼叫流;圖24示出用于不具有接入控制的MIH安全的呼叫流;圖25和圖26示出用于MIH SA的密鑰體系;圖27示出在傳輸層安全(TLS)握手期間MIH安全分組數(shù)據(jù)單元(MIHS PDU)的幀結(jié)構(gòu);圖28示出在存在MIH SA時(shí)MIHS PDU的幀結(jié)構(gòu);圖29示出在傳輸?shù)刂纷兓瘯r(shí)的幀結(jié)構(gòu)。
具體實(shí)施例方式盡管本發(fā)明可以許多不同的形式體現(xiàn),但在此描述多個(gè)示例性實(shí)施例,并理解本公開應(yīng)當(dāng)被認(rèn)為是提供本發(fā)明的原理的例子,并且這些例子并不意味著將本發(fā)明限定于在此描述和/或說明的優(yōu)選實(shí)施例。術(shù)語EAP :可擴(kuò)展認(rèn)證協(xié)議ERP =EAP重認(rèn)證協(xié)議SA:服務(wù)認(rèn)證器CA :候選認(rèn)證器定義
認(rèn)證過程執(zhí)行認(rèn)證的密碼操作和支持?jǐn)?shù)據(jù)幀。媒體特定認(rèn)證器和密鑰持有者(MSA-KH):媒體特定認(rèn)證器和密鑰持有者是方便對(duì)附著到專用于媒體的鏈路的另一端的其它實(shí)體進(jìn)行認(rèn)證的實(shí)體。媒體無關(guān)認(rèn)證器和密鑰持有者(MIA-KH):媒體無關(guān)認(rèn)證器和密鑰持有者是與MSA-KH進(jìn)行交互并方便對(duì)附著到MSA-KH的鏈路的另一端的其它實(shí)體進(jìn)行先驗(yàn)認(rèn)證的實(shí)體。先驗(yàn)認(rèn)證在MIA-KH和附著到MSA-KH的鏈路的另一端的其它實(shí)體之間執(zhí)行的認(rèn)證過程。該過程在其它實(shí)體想要執(zhí)行到另一個(gè)鏈路的切換時(shí)發(fā)生。服務(wù)MIA-KH :當(dāng)前向附著到接入網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)提供服務(wù)的MIA-KH。候選MIA-KH :向在移動(dòng)節(jié)點(diǎn)的潛在候選接入網(wǎng)絡(luò)的列表中的接入網(wǎng)絡(luò)提供服務(wù)的 MIA-KH。 MIH安全關(guān)聯(lián)(SA) MIH SA是對(duì)等MIH實(shí)體之間的安全關(guān)聯(lián)。參考文獻(xiàn)下列的每個(gè)參考文獻(xiàn)在此被結(jié)合在本說明中以作為參考,其整個(gè)內(nèi)容作為背景參考文獻(xiàn)[RFC4748] H. Levkowetz, Ed.等,Extensible Authentication Protocol (ΕΑΡ),,,RFC 3748 ;[RFC5296] V. Narayan 和 L. Dondet i , “ EAP extensions for ΕΑΡRe-authentication Protocol (ERP) ”,RFC 5296 ;[RFC4306]C. Kaufman, Ed, “Internet Key Exchange(IKEv2)Protocol ”,RFC4306 ;[RFC5246]T. Dierks 和 E. Rescorla,“The Transport Layer Security (TLS)Protocol Version I. 2”,RFC 5246 ;[RFC4347]E. Rescorla 和 N. Modadugu, “Datagram Transport Layer Security,,,RFC 4347 ;[RFC5295] J. Saloway 等,“Specification for the Derivation of Root Keysfrom an Extended Master Session Key (EMSK) ,,v, RFC 5295 ;和[IEEE802. 21] IEEE P802. 21 Std-2008,IEEE Standard for Local andMetropolitan Area Network-Part 21 Media Independent Handover Services。先驗(yàn)認(rèn)證先驗(yàn)認(rèn)證是實(shí)體可與服務(wù)候選網(wǎng)絡(luò)的媒體無關(guān)或媒體相關(guān)認(rèn)證器和密鑰持有者(MIA/MSA-KH)執(zhí)行在先的網(wǎng)絡(luò)接入認(rèn)證的過程。實(shí)體在預(yù)期切換到相鄰網(wǎng)絡(luò)時(shí)執(zhí)行這種認(rèn)證。先驗(yàn)認(rèn)證可以下列兩種方式執(zhí)行i)直接先驗(yàn)認(rèn)證(圖5),其中認(rèn)證信令對(duì)于服務(wù)MIA-KH是透明的;ii)間接先驗(yàn)認(rèn)證(圖6),其中服務(wù)MIA-KH知道認(rèn)證信令。在每種情況下,EAP (可擴(kuò)展認(rèn)證協(xié)議)[RFC4798]或ERP (EAP重認(rèn)證協(xié)議)[RFC5296]可用作認(rèn)證協(xié)議。圖5和圖6說明不同的功能實(shí)體之間的關(guān)系及其在先驗(yàn)認(rèn)證信令期間的事務(wù)。對(duì)于直接先驗(yàn)認(rèn)證,移動(dòng)節(jié)點(diǎn)直接與候選MIA-KH進(jìn)行通信(圖5),對(duì)于間接先驗(yàn)認(rèn)證,移動(dòng)節(jié)點(diǎn)首先與服務(wù)MIA-KH進(jìn)行通信。然后,服務(wù)MIA-KH代表移動(dòng)節(jié)點(diǎn)與候選MIA-KH進(jìn)行通 目。
先驗(yàn)認(rèn)證體系結(jié)構(gòu)圖7和圖8中的示例性實(shí)施例描述了兩個(gè)示例性的用于先驗(yàn)認(rèn)證的邏輯體系結(jié)構(gòu)。媒體無關(guān)認(rèn)證器和密鑰持有者(MIA-KH)是在切換到候選網(wǎng)絡(luò)之前方便認(rèn)證的實(shí)體。在該體系結(jié)構(gòu)中,認(rèn)證功能被添加在媒體無關(guān)切換功能(MIHF)內(nèi),新的實(shí)體被稱為增強(qiáng)POS (例如,PoS+)。媒體特定認(rèn)證器和密鑰持有者(MSA-KH)負(fù)責(zé)對(duì)設(shè)備接入特定接入網(wǎng)絡(luò)進(jìn)行認(rèn)證,所建議的體系結(jié)構(gòu)假定沒有改變這種現(xiàn)有機(jī)制。圖7和圖8的不同之處在于在圖7中,兩個(gè)接入網(wǎng)絡(luò)由一個(gè)MIA-KH管理,因此存在一個(gè)PoS,而在圖8中,每個(gè)接入網(wǎng)絡(luò)有它們自己的MIA-KH,因此需要兩個(gè)單獨(dú)的PoS。圖8中,對(duì)每一個(gè)MIH通信模型都有一個(gè)稱為RP5的附加接口 [IEEE Std 802. 21. 2008]。本說明書支持直接和間接先驗(yàn)認(rèn)證,其包括網(wǎng)絡(luò)發(fā)起的過程和移動(dòng)設(shè)備發(fā)起的過程。操作序列包括 ■ MN使用接入特定認(rèn)證過程附著到接入網(wǎng)絡(luò);■在切換準(zhǔn)備階段,MN發(fā)現(xiàn)候選認(rèn)證器;■根據(jù)媒體無關(guān)認(rèn)證器的可達(dá)性,MN使用RPl接口執(zhí)行直接或間接先驗(yàn)認(rèn)證;■—旦媒體無關(guān)認(rèn)證被成功地執(zhí)行,媒體特定密鑰被推送到MSA-KH或者從MSA-KH 拉取。Interface_MIA-KH-MSA-KH 用于執(zhí)行該操作;■ MN通過執(zhí)行媒體特定安全關(guān)聯(lián)(例如,802. 11的四次握手)來執(zhí)行切換,并附著到被認(rèn)為是目標(biāo)網(wǎng)絡(luò)的一個(gè)候選網(wǎng)絡(luò);以及■在連接建立后,麗向PoS注冊(cè)。在該部分的整個(gè)剩余部分進(jìn)行以下假定假定■認(rèn)證器是 MIS PoS;■ MIH協(xié)議用于攜帶EAP和ERP ;■麗的MIHF-ID用作麗的媒體無關(guān)身份;■認(rèn)證器的MIHF-ID用作認(rèn)證器的媒體無關(guān)身份;■媒體無關(guān)認(rèn)證器保存由EAP生成的MSK (主會(huì)話密鑰)或rMSK (重認(rèn)證MSK);■ MSK或rMSK用于導(dǎo)出媒體無關(guān)對(duì)主密鑰(MI-PMK);以及■當(dāng)麗切換到目標(biāo)MSA-KH且具有從用于目標(biāo)MSA-KH的MI-PMK中導(dǎo)出的媒體特定PMK (MI-PMK)時(shí),使用MS-PMK運(yùn)行媒體特定安全關(guān)聯(lián)。使用EAP的先驗(yàn)認(rèn)證該部分描述使用EAP作為先驗(yàn)認(rèn)證協(xié)議的過程。直接先驗(yàn)認(rèn)證在這種情形下,MN直接用媒體無關(guān)候選認(rèn)證器執(zhí)行認(rèn)證。在此假定MN或者知道候選認(rèn)證器或者通過MIH信息服務(wù)發(fā)現(xiàn)候選認(rèn)證器。候選認(rèn)證器必須是直接從MN經(jīng)由IP鏈路可達(dá)的。呼叫流圖9描述用于網(wǎng)絡(luò)發(fā)起的直接先驗(yàn)認(rèn)證的在MN與媒體無關(guān)認(rèn)證器之間的消息流。包括實(shí)例A體系結(jié)構(gòu)和實(shí)例B體系結(jié)構(gòu)。對(duì)于實(shí)例B體系結(jié)構(gòu),服務(wù)MIA-KH認(rèn)證器和候選MIA-KH認(rèn)證器是兩個(gè)單獨(dú)的實(shí)體,并且使用接口 RP5以彼此通信。兩個(gè)新的MIH消息類型i)MIH Pro_Auth請(qǐng)求(EAP)消息和ii)MIH Pro_Auth響應(yīng)消息被推薦用于攜帶基于MIH的EAP消息。第一個(gè)MIH Pro_Auth請(qǐng)求消息由網(wǎng)絡(luò)發(fā)起,其攜帶EAP_Identity_Request,然后是來自麗的 MIH Pro_Auth 響應(yīng)消息。PoA-Link-Addr-List 和 MN-Link-Addr-Iist 在最后的請(qǐng)求/響應(yīng)消息中是必需的,以便將密鑰與鏈路層身份安全地綁定。圖10描述用于移動(dòng)設(shè)備發(fā)起的先驗(yàn)認(rèn)證的在麗與媒體無關(guān)認(rèn)證器之間的消息流。與前一個(gè)的重要不同之處在于觸發(fā)來自生成MIH Pro_Auth請(qǐng)求并將其直接發(fā)送到候選認(rèn)證器的MN。剩余的呼叫流與圖9所描述的網(wǎng)絡(luò)發(fā)起的直接先驗(yàn)認(rèn)證類似。間接先驗(yàn)認(rèn)證在這種情形中,MN不能直接與媒體無關(guān)候選認(rèn)證器執(zhí)行認(rèn)證。服務(wù)認(rèn)證器參與將消息轉(zhuǎn)發(fā)到MN(如果是網(wǎng)絡(luò)發(fā)起的認(rèn)證)或者候選MIA-KH(如果是移動(dòng)設(shè)備發(fā)起的認(rèn)證)。在此假定MN或者知道候選認(rèn)證器或者通過MIH信息服務(wù)發(fā)現(xiàn)候選認(rèn)證器,但MN不能直接經(jīng)由IP鏈路到達(dá)候選認(rèn)證器。呼叫流圖11描述用于網(wǎng)絡(luò)發(fā)起的間接先驗(yàn)認(rèn)證的在麗與媒體無關(guān)認(rèn)證器之間的消息流。如在前所述的,包括實(shí)例A體系結(jié)構(gòu)和實(shí)例B體系結(jié)構(gòu),對(duì)于實(shí)例B體系結(jié)構(gòu),服務(wù)MIA-KH實(shí)體和候選MIA-KH實(shí)體是兩個(gè)單獨(dú)的實(shí)體,并且使用接口 RP5以彼此通信。第一個(gè)MIH Pro_Auth請(qǐng)求消息由候選MIA-KH發(fā)起,并被發(fā)送到服務(wù)MIA-KH,然后被轉(zhuǎn)發(fā)到MN。麗生成MIH Pro_Auth響應(yīng)消息,隨后的EAP消息通過請(qǐng)求消息和響應(yīng)消息攜帶。PoA-Link-Addr-List和MN-Link-Addr-Iist用于將密鑰與鏈路層身份安全地綁定。圖12描述移動(dòng)設(shè)備發(fā)起的間接先驗(yàn)認(rèn)證,其中觸發(fā)來自生成MIHPro_Auth請(qǐng)求消息并將其發(fā)送到服務(wù)MIA-KH的麗。候選MIA-KH從服務(wù)MIA-KH接收該消息,并向服務(wù)MIA-KH發(fā)送MIH Pro_Auth響應(yīng)消息,然后該MIH Pro_Auth響應(yīng)消息被轉(zhuǎn)發(fā)到MN。剩余的呼叫流與如圖11所描述的網(wǎng)絡(luò)發(fā)起的間接先驗(yàn)認(rèn)證類似。使用ERP的先驗(yàn)認(rèn)證該部分描述使用ERP作為先驗(yàn)認(rèn)證協(xié)議的過程。直接先驗(yàn)認(rèn)證在這種情形中,MN直接與媒體無關(guān)候選認(rèn)證器執(zhí)行認(rèn)證。在此假定MN或者知道候選認(rèn)證器或者通過MH信息服務(wù)發(fā)現(xiàn)候選認(rèn)證器。候選認(rèn)證器必須是直接從MN經(jīng)由IP鏈路可達(dá)的。呼叫流圖13表示用于網(wǎng)絡(luò)發(fā)起的直接先驗(yàn)認(rèn)證的在麗與媒體無關(guān)認(rèn)證器之間的消息流。包括實(shí)例A體系結(jié)構(gòu)和實(shí)例B體系結(jié)構(gòu),對(duì)于實(shí)例B體系結(jié)構(gòu),服務(wù)MIA-KH認(rèn)證器和候選MIA-KH認(rèn)證器是兩個(gè)單獨(dú)的實(shí)體,并且使用接口 RP5以彼此通信。稱為MIH Pro_Auth指示的新的MIH消息類型被推薦用于發(fā)起基于MIH的ERP消息交換。這觸發(fā)MN生成MIHPro_Auth 請(qǐng)求(ERP)消息。PoA-Link-Addr-List 和 MN-Link-Addr-Iist 在請(qǐng)求 / 響應(yīng)消息中是必需的,以便將密鑰安全地與鏈路層身份綁定。圖14表示用于移動(dòng)設(shè)備發(fā)起的先驗(yàn)認(rèn)證的在MN與媒體無關(guān)認(rèn)證器之間的消息流。與前一個(gè)的主要不同之處在于觸發(fā)來自生成MIHPiO_Auth請(qǐng)求并將其直接發(fā)送到候選認(rèn)證器的MN。最后,MIA-KH發(fā)送帶有認(rèn)證成功或失敗的MIH Pro_Auth響應(yīng)。間接先驗(yàn)認(rèn)證在這種情形中,MN不能直接與媒體無關(guān)候選認(rèn)證器執(zhí)行認(rèn)證。服務(wù)認(rèn)證器參與將消息轉(zhuǎn)發(fā)到MN(如果是網(wǎng)絡(luò)發(fā)起的認(rèn)證)或者候選MIA-KH(如果是移動(dòng)設(shè)備發(fā)起的認(rèn)證)。在此假定MN或者知道候選認(rèn)證器或者通過MIH信息服務(wù)發(fā)現(xiàn)候選認(rèn)證器,但MN不能直接經(jīng)由IP鏈路到達(dá)候選認(rèn)證器。呼叫流圖15描述用于網(wǎng)絡(luò)發(fā)起的間接先驗(yàn)認(rèn)證的在麗與媒體無關(guān)認(rèn)證器之間的消息流。第一個(gè)MIH Pro_Auth請(qǐng)求消息由候選MIA-KH發(fā)起,并被發(fā)送到服務(wù)MIA-KH,然后被轉(zhuǎn)發(fā)到MN。MN生成MIH Pro_Auth響應(yīng)消息,隨后的EAP消息通過請(qǐng)求消息和響應(yīng)消息攜帶。 PoA-Link-Addr-List和MN-Link-Addr-Iist用于將密鑰與鏈路層身份安全地綁定。圖16描述移動(dòng)設(shè)備發(fā)起的間接先驗(yàn)認(rèn)證,其中觸發(fā)來自生成具有ERP的MIH Pro_Auth請(qǐng)求消息并將其發(fā)送到服務(wù)MIA-KH的麗。候選MIA-KH從服務(wù)MIA-KH接收該消息,并向服務(wù)MIA-KH發(fā)送具有ERP的MIH Pro_Auth響應(yīng)消息,然后該響應(yīng)消息被轉(zhuǎn)發(fā)到麗。PoA-Link-Addr-List和MN-Link-Addr-Iist在請(qǐng)求/響應(yīng)消息中是必需的,用于將密鑰安全地與鏈路層身份綁定。附著到目標(biāo)認(rèn)證器在執(zhí)行了認(rèn)證并且移動(dòng)節(jié)點(diǎn)決定執(zhí)行切換后,它選擇一個(gè)候選網(wǎng)絡(luò)并切換到該接入網(wǎng)絡(luò)。該候選網(wǎng)絡(luò)成為目標(biāo)網(wǎng)絡(luò),服務(wù)該接入網(wǎng)絡(luò)的認(rèn)證器被稱為目標(biāo)媒體特定認(rèn)證器和密鑰持有者(MSA-KH)。然后,移動(dòng)節(jié)點(diǎn)執(zhí)行媒體特定安全關(guān)聯(lián)(SA),其假定目標(biāo)MSA已從用于該移動(dòng)節(jié)點(diǎn)的目標(biāo)媒體無關(guān)認(rèn)證器和密鑰持有者(MIA-KH)中獲取正確的密鑰集。呼叫流圖17描述在麗、目標(biāo)MSA-KH和目標(biāo)MIA-KH之間的呼叫流。一旦先驗(yàn)認(rèn)證被成功地執(zhí)行,MIA-KH就為每個(gè)移動(dòng)節(jié)點(diǎn)生成媒體特定密鑰,其可被推送到MSA-KH或者被MSA-KH拉取。一旦密鑰在MSA-KH可用,移動(dòng)節(jié)點(diǎn)就可在它切換到網(wǎng)絡(luò)時(shí)執(zhí)行媒體特定安全關(guān)聯(lián),而無需執(zhí)行完整的認(rèn)證。一旦安全關(guān)聯(lián)成功并且建立了 IP連接,MN就向MIA-KH注冊(cè),以便MIA-KH正確地將移動(dòng)節(jié)點(diǎn)注冊(cè)為它的服務(wù)節(jié)點(diǎn)。先驗(yàn)認(rèn)證終止先驗(yàn)認(rèn)證終止的目的是確保移動(dòng)節(jié)點(diǎn)和候選/目標(biāo)/服務(wù)認(rèn)證器終止會(huì)話,并且對(duì)應(yīng)的狀態(tài)機(jī)被同步。此時(shí),MI-PMK和MS-PMk被緩存或者被刪除。直接先驗(yàn)認(rèn)證終止直接先驗(yàn)認(rèn)證終止允許網(wǎng)絡(luò)和移動(dòng)節(jié)點(diǎn)都直接終止認(rèn)證狀態(tài)。呼叫流圖18表示用于網(wǎng)絡(luò)發(fā)起的和移動(dòng)設(shè)備發(fā)起的終止過程的呼叫流。包括完整性檢查的目的是驗(yàn)證終止請(qǐng)求和響應(yīng)的真實(shí)性。間接先驗(yàn)認(rèn)證終止直接先驗(yàn)認(rèn)證終止允許網(wǎng)絡(luò)和移動(dòng)節(jié)點(diǎn)都經(jīng)由服務(wù)MIA-KH終止認(rèn)證狀態(tài)。呼叫流圖19表示用于網(wǎng)絡(luò)發(fā)起的和移動(dòng)設(shè)備發(fā)起的終止過程的呼叫流。包括完整性檢查的目的是驗(yàn)證終止請(qǐng)求和響應(yīng)的真實(shí)性。在兩種情況下,服務(wù)MIA-KH將終止請(qǐng)求轉(zhuǎn)發(fā)到MN或者候選MIA-KH。原語該部分略述實(shí)現(xiàn)先驗(yàn)認(rèn)證所要求的原語和對(duì)應(yīng)參數(shù)。事件原語表I描述鏈路事件的列表。表I:事件原語列表
權(quán)利要求
1.ー種具有用于向媒體無關(guān)切換服務(wù)提供安全的計(jì)算機(jī)實(shí)現(xiàn)協(xié)議的裝置,包括 服務(wù)點(diǎn),用于提供媒體無關(guān)切換服務(wù),其包括無關(guān)認(rèn)證器,所述無關(guān)認(rèn)證器在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),所述服務(wù)接入網(wǎng)絡(luò)和所述候選接入網(wǎng)絡(luò)的每ー個(gè)屬于多個(gè)具有特定服務(wù)媒體的異構(gòu)接入網(wǎng)絡(luò);以及 接入控制器,用于經(jīng)由認(rèn)證服務(wù)器通過與提供媒體無關(guān)切換服務(wù)的所述服務(wù)點(diǎn)之間的接入認(rèn)證來應(yīng)用接入控制; 其中,當(dāng)接入認(rèn)證在服務(wù)點(diǎn)與認(rèn)證服務(wù)器之間建立時(shí),所述移動(dòng)設(shè)備被授權(quán)通過用于在異構(gòu)媒體之間附著的移動(dòng)設(shè)備的所述服務(wù)點(diǎn)訪問所述媒體無關(guān)切換服務(wù)。
2.根據(jù)權(quán)利要求I所述的裝置,其中, 所述接入認(rèn)證包括密鑰建立協(xié)議,用于在移動(dòng)設(shè)備和所述認(rèn)證服務(wù)器之間建立密鑰; 至少ー個(gè)密鑰被傳送到服務(wù)點(diǎn),用于獲取會(huì)話密鑰以保護(hù)在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間傳輸?shù)拿襟w無關(guān)切換消息。
3.根據(jù)權(quán)利要求2所述的裝置,包括 用于接入認(rèn)證和密鑰建立協(xié)議的傳輸層安全(TLS)被使用,以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手; 其中,所述TLS握手在對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn))之間建立安全關(guān)聯(lián)或安全會(huì)話,以保護(hù)所述媒體無關(guān)切換協(xié)議的消息。
4.根據(jù)權(quán)利要求3所述的裝置,其中, 安全關(guān)聯(lián)或安全會(huì)話在媒體無關(guān)切換協(xié)議內(nèi)被綁定到對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn)),所述媒體無關(guān)切換消息在所述傳輸層安全被添加時(shí)不被封裝。
5.根據(jù)權(quán)利要求I所述的裝置,其中, 用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的所述媒體無關(guān)切換服務(wù)具有同一個(gè)所述認(rèn)證服務(wù)器。
6.根據(jù)權(quán)利要求5所述的裝置,其中, 媒體無關(guān)切換密鑰材料從在用于網(wǎng)絡(luò)接入的先驗(yàn)認(rèn)證期間建立的密鑰材料中引導(dǎo),所述先驗(yàn)認(rèn)證包括在用于移動(dòng)設(shè)備從所述服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)的網(wǎng)絡(luò)接入之前認(rèn)證所述候選接入網(wǎng)絡(luò)。
7.根據(jù)權(quán)利要求I所述的裝置,其中, 用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的所述媒體無關(guān)切換服務(wù)具有不同的認(rèn)證服務(wù)器。
8.根據(jù)權(quán)利要求7所述的裝置,其中 媒體無關(guān)切換密鑰材料從在用于所述媒體無關(guān)切換服務(wù)的先驗(yàn)認(rèn)證期間建立的密鑰材料中引導(dǎo),所述先驗(yàn)認(rèn)證包括在移動(dòng)設(shè)備從所述服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證所述候選接入網(wǎng)絡(luò)。
9.根據(jù)權(quán)利要求I所述的裝置,其中, 認(rèn)證服務(wù)器是可擴(kuò)展認(rèn)證協(xié)議(EAP)服務(wù)器。
10.根據(jù)權(quán)利要求I所述的裝置,其中, 認(rèn)證服務(wù)器是認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器。
11.根據(jù)權(quán)利要求I所述的裝置,其中,所述無關(guān)認(rèn)證器是用于經(jīng)由接ロ在多個(gè)異構(gòu)接入網(wǎng)絡(luò)的每ー個(gè)之間管理雙向通信的單點(diǎn)服務(wù)點(diǎn)。
12.—種具有用于向媒體無關(guān)切換服務(wù)提供安全的計(jì)算機(jī)實(shí)現(xiàn)協(xié)議的裝置,包括 服務(wù)點(diǎn),用于提供媒體無關(guān)切換服務(wù),其包括無關(guān)認(rèn)證器,所述無關(guān)認(rèn)證器在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),所述服務(wù)接入網(wǎng)絡(luò)和所述候選接入網(wǎng)絡(luò)的每ー個(gè)屬于多個(gè)具有特定服務(wù)媒體的異構(gòu)接入網(wǎng)絡(luò); 其中,所述服務(wù)點(diǎn)和所述移動(dòng)設(shè)備執(zhí)行相互認(rèn)證和密鑰建立。
13.根據(jù)權(quán)利要求12所述的裝置,其中, 所述移動(dòng)設(shè)備和所述服務(wù)點(diǎn)執(zhí)行特定密鑰的所述相互認(rèn)證和所述密鑰建立,以可靠地向駐留在網(wǎng)絡(luò)中的服務(wù)點(diǎn)提供移動(dòng)設(shè)備的身份,或反之亦然; 所述特定密鑰綁定ー對(duì)所述身份以保護(hù)媒體無關(guān)切換消息。
14.根據(jù)權(quán)利要求13所述的裝置,包括 用于相互認(rèn)證和密鑰建立的傳輸層安全(TLS)被使用,以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手; 其中,所述TLS握手在對(duì)等移動(dòng)設(shè)備之間建立安全關(guān)聯(lián)或安全會(huì)話,以保護(hù)所述媒體無關(guān)切換協(xié)議的消息。
15.根據(jù)權(quán)利要求14所述的裝置,其中, 安全關(guān)聯(lián)或安全會(huì)話在媒體無關(guān)切換協(xié)議內(nèi)被綁定到對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn)),所述媒體無關(guān)切換消息在傳輸層安全被添加時(shí)不被封裝。
16.根據(jù)權(quán)利要求13所述的裝置,其中, 所述相互認(rèn)證基于預(yù)共享密鑰或可信任第三方。
17.根據(jù)權(quán)利要求16所述的裝置,其中, 所述可信任第三方是認(rèn)證中心。
18.一種用于向媒體無關(guān)切換服務(wù)提供安全的系統(tǒng),包括 服務(wù)點(diǎn),其具有媒體無關(guān)接入功能; 多個(gè)異構(gòu)網(wǎng)絡(luò),其每ー個(gè)都具有媒體特定接入功能,所述多個(gè)異構(gòu)網(wǎng)絡(luò)包括服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò); 移動(dòng)設(shè)備,其連接到所述多個(gè)異構(gòu)網(wǎng)絡(luò),所述服務(wù)點(diǎn)在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證所述候選接入網(wǎng)絡(luò); 認(rèn)證服務(wù)器;以及 接入控制器,其經(jīng)由所述認(rèn)證服務(wù)器通過與提供媒體無關(guān)切換服務(wù)的所述服務(wù)點(diǎn)之間的接入認(rèn)證來應(yīng)用接入控制; 其中,當(dāng)接入認(rèn)證在服務(wù)點(diǎn)與認(rèn)證服務(wù)器之間建立時(shí),所述移動(dòng)設(shè)備被授權(quán)通過用于在異構(gòu)媒體之間附著的移動(dòng)設(shè)備的所述服務(wù)點(diǎn)訪問所述媒體無關(guān)切換服務(wù)。
19.根據(jù)權(quán)利要求18所述的系統(tǒng),其中, 所述接入認(rèn)證包括密鑰建立協(xié)議,用于在移動(dòng)設(shè)備和所述認(rèn)證服務(wù)器之間建立密鑰;至少ー個(gè)密鑰被傳送到服務(wù)點(diǎn),用于獲取會(huì)話密鑰以保護(hù)在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間傳輸?shù)拿襟w無關(guān)切換消息。
20.根據(jù)權(quán)利要求19所述的系統(tǒng),包括用于接入認(rèn)證和密鑰建立協(xié)議的傳輸層安全(TLS)被使用,以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手; 其中,所述TLS握手在對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn))之間建立安全關(guān)聯(lián)或安全會(huì)話,以保護(hù)所述媒體無關(guān)切換協(xié)議的消息。
21.根據(jù)權(quán)利要求20所述的系統(tǒng),其中, 安全關(guān)聯(lián)或安全會(huì)話在媒體無關(guān)切換協(xié)議內(nèi)被綁定到對(duì)等設(shè)備,所述媒體無關(guān)切換消息在傳輸層安全被添加時(shí)不被封裝。
22.根據(jù)權(quán)利要求18所述的系統(tǒng),其中, 用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的所述媒體無關(guān)切換服務(wù)具有同一個(gè)所述認(rèn)證服務(wù)器。
23.根據(jù)權(quán)利要求22所述的裝置,其中, 媒體無關(guān)切換密鑰材料從在用于網(wǎng)絡(luò)接入的先驗(yàn)認(rèn)證期間建立的密鑰材料中引導(dǎo),所述先驗(yàn)認(rèn)證包括在用于移動(dòng)設(shè)備從所述服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)的網(wǎng)絡(luò)接入之前認(rèn)證所述候選接入網(wǎng)絡(luò)。
24.根據(jù)權(quán)利要求18所述的裝置,其中, 用于認(rèn)證移動(dòng)設(shè)備、服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的所述媒體無關(guān)切換服務(wù)具有不同的認(rèn)證服務(wù)器。
25.根據(jù)權(quán)利要求24所述的裝置,其中, 媒體無關(guān)切換密鑰材料從在用于所述媒體無關(guān)切換服務(wù)的先驗(yàn)認(rèn)證期間建立的密鑰材料中引導(dǎo),所述先驗(yàn)認(rèn)證包括在移動(dòng)設(shè)備從所述服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證所述候選接入網(wǎng)絡(luò)。
26.一種用于向媒體無關(guān)切換服務(wù)提供安全的系統(tǒng),包括 服務(wù)點(diǎn),其具有媒體無關(guān)接入功能; 多個(gè)異構(gòu)網(wǎng)絡(luò),其每ー個(gè)都具有媒體特定接入功能,所述多個(gè)異構(gòu)網(wǎng)絡(luò)包括服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò);以及 移動(dòng)設(shè)備,其連接到所述多個(gè)異構(gòu)網(wǎng)絡(luò),所述服務(wù)點(diǎn)在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證所述候選接入網(wǎng)絡(luò); 其中,所述服務(wù)點(diǎn)和所述移動(dòng)設(shè)備執(zhí)行相互認(rèn)證和密鑰建立。
27.根據(jù)權(quán)利要求26所述的系統(tǒng),其中, 所述移動(dòng)設(shè)備和所述服務(wù)點(diǎn)執(zhí)行特定密鑰的所述相互認(rèn)證和所述密鑰建立,以可靠地向駐留在網(wǎng)絡(luò)中的服務(wù)點(diǎn)提供移動(dòng)設(shè)備的身份,或反之亦然; 所述特定密鑰綁定ー對(duì)所述身份以保護(hù)媒體無關(guān)切換消息。
28.根據(jù)權(quán)利要求27所述的裝置,包括 用于相互認(rèn)證和密鑰建立的傳輸層安全(TLS)被使用,以通過媒體無關(guān)切換協(xié)議在服務(wù)點(diǎn)與移動(dòng)設(shè)備之間執(zhí)行TLS握手; 其中,所述TLS握手在對(duì)等設(shè)備(移動(dòng)設(shè)備和服務(wù)點(diǎn))之間建立安全關(guān)聯(lián)或安全會(huì)話,以保護(hù)所述媒體無關(guān)切換協(xié)議的消息。
29.根據(jù)權(quán)利要求27所述的裝置,其中, 所述相互認(rèn)證基于預(yù)共享密鑰或可信任第三方,所述可信任第三方是認(rèn)證中心。
30.一種制造廣品,包括 機(jī)器可訪問媒體,其上具有編碼的指令,用于使處理器能夠執(zhí)行用于向媒體無關(guān)切換服務(wù)提供安全的操作,所述操作包括以下步驟 提供媒體無關(guān)切換服務(wù),其包括無關(guān)認(rèn)證器,所述無關(guān)認(rèn)證器在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),所述服務(wù)接入網(wǎng)絡(luò)和所述候選接入網(wǎng)絡(luò)的每ー個(gè)屬于多個(gè)具有特定服務(wù)媒體的異構(gòu)接入網(wǎng)絡(luò);以及 經(jīng)由認(rèn)證服務(wù)器通過與提供媒體無關(guān)切換服務(wù)的服務(wù)點(diǎn)之間的接入認(rèn)證來應(yīng)用接入控制;以及 在服務(wù)點(diǎn)與認(rèn)證服務(wù)器之間建立接入認(rèn)證,以致移動(dòng)設(shè)備被授權(quán)通過用于在異構(gòu)媒體之間附著的移動(dòng)設(shè)備的服務(wù)點(diǎn)訪問媒體無關(guān)切換服務(wù)。
全文摘要
一種用于向媒體無關(guān)切換服務(wù)提供安全的裝置,包括服務(wù)點(diǎn),用于提供媒體無關(guān)切換服務(wù),其包括無關(guān)認(rèn)證器。無關(guān)認(rèn)證器在移動(dòng)設(shè)備從服務(wù)接入網(wǎng)絡(luò)切換到候選接入網(wǎng)絡(luò)之前認(rèn)證候選接入網(wǎng)絡(luò),其中,服務(wù)接入網(wǎng)絡(luò)和候選接入網(wǎng)絡(luò)的每一個(gè)屬于多個(gè)具有特定服務(wù)媒體的異構(gòu)接入網(wǎng)絡(luò);接入控制器經(jīng)由認(rèn)證服務(wù)器通過與提供媒體無關(guān)切換服務(wù)的服務(wù)點(diǎn)之間的接入認(rèn)證來應(yīng)用接入控制,其中,當(dāng)接入認(rèn)證在服務(wù)點(diǎn)與認(rèn)證服務(wù)器之間建立時(shí),移動(dòng)設(shè)備被授權(quán)通過用于在異構(gòu)媒體之間附著的移動(dòng)設(shè)備的服務(wù)點(diǎn)訪問媒體無關(guān)切換服務(wù)。
文檔編號(hào)H04W4/00GK102687537SQ201080029205
公開日2012年9月19日 申請(qǐng)日期2010年5月3日 優(yōu)先權(quán)日2009年5月3日
發(fā)明者A·杜塔, S·達(dá)斯, 大場義洋 申請(qǐng)人:株式會(huì)社 東芝, 特勒克利亞科技公司