專利名稱:具有用于移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的信令和媒體分組的空加密的方法和裝置的制作方法
具有用于移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的信令和媒體分組的空加密的方法和裝置
基于35U. S. C. § 119要求優(yōu)先權(quán)
本申請(qǐng)是2007年9月24日提交的����、申請(qǐng)?zhí)枮?00780035404. 2的、發(fā)明名稱為“具有用于移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的信令和媒體分組的空加密的方法和裝置”的申請(qǐng)的分案申請(qǐng)���。本申請(qǐng)要求享有2006年9月25日遞交的名稱為“NULL-ENCRYPTION FOR SIP SIGNALING AND MEDIA PACKETS BETWEEN MS AND PDIF”的臨時(shí)申請(qǐng) No. 60/847,195 的優(yōu)先權(quán)�。該臨時(shí)申請(qǐng)被轉(zhuǎn)讓給本受讓人并通過(guò)引用明確地并入本文。技術(shù)領(lǐng)域
本發(fā)明概括地說(shuō)涉及無(wú)線通信領(lǐng)域����,更具體地涉及選擇性內(nèi)容保護(hù)�����。
背景技術(shù):
通信技術(shù)具有許多應(yīng)用領(lǐng)域����,包括例如��,尋呼�����、無(wú)線本地環(huán)路����、因特網(wǎng)電話和衛(wèi)星通信系統(tǒng)。一種示例性應(yīng)用是用于移動(dòng)用戶的蜂窩電話系統(tǒng)���。(如這里所使用的���,術(shù)語(yǔ)“蜂窩”系統(tǒng)包括蜂窩和個(gè)人通信服務(wù)(PCS)系統(tǒng)頻率。)已經(jīng)針對(duì)這種蜂窩系統(tǒng)開發(fā)了被設(shè)計(jì)成允許多個(gè)用戶訪問(wèn)公共通信介質(zhì)的現(xiàn)代通信系統(tǒng)����,比如無(wú)線通信系統(tǒng)��。這些現(xiàn)代通信系統(tǒng)可以基于多址技術(shù)���,比如碼分多址(CDMA)、時(shí)分多址(TDMA)���、頻分多址(FDMA)���、空分多址 (SDMA)、極分多址(PDMA)或本領(lǐng)域公知的其它調(diào)制技術(shù)�����。這些調(diào)制技術(shù)對(duì)從通信系統(tǒng)的多個(gè)用戶接收的信號(hào)進(jìn)行解調(diào)�����,從而能夠增加通信系統(tǒng)的容量�。與此相關(guān),已經(jīng)建立了各種無(wú)線通信系統(tǒng)���,包括例如���,先進(jìn)移動(dòng)電話服務(wù)(AMPS)、全球移動(dòng)通信系統(tǒng)(GSM)和其它無(wú)線系統(tǒng)��。
在FDMA系統(tǒng)中���,將總頻譜劃分為多個(gè)更小的子帶�����,并且給每個(gè)用戶指定自己的子帶以接入通信介質(zhì)�����?����?商鎿Q地����,在TDMA系統(tǒng)中����,將總頻譜劃分為多個(gè)更小的子帶���,每個(gè)子帶在多個(gè)用戶之間共享,并且允許每個(gè)用戶在預(yù)定時(shí)隙中使用該子帶進(jìn)行發(fā)送����。CDMA系統(tǒng)相比其它類型的系統(tǒng)提供了潛在的優(yōu)勢(shì),包括增加了系統(tǒng)容量��。在CDMA系統(tǒng)中�,給每個(gè)用戶指定了所有時(shí)間內(nèi)的整個(gè)頻譜,但是通過(guò)使用唯一的編碼來(lái)區(qū)分每個(gè)用戶的傳輸�。
CDMA系統(tǒng)可以設(shè)計(jì)為支持一個(gè)或多個(gè)CDMA標(biāo)準(zhǔn),比如(I) “用于雙模寬帶擴(kuò)頻蜂窩系統(tǒng)的TIA/EIA-95-B移動(dòng)臺(tái)-基站兼容標(biāo)準(zhǔn)”(IS-95標(biāo)準(zhǔn))���,(2)由名為“第3代合作伙伴項(xiàng)目”(3GPP)的組織提供的并且體現(xiàn)在一系列文檔中的標(biāo)準(zhǔn)�,這些文檔包括文檔No. 3G TS 25. 211�����、No. 3G TS25. 212����、No. 3G TS 25. 213 和 No. 3G TS 25. 214 (W-CDMA 標(biāo)準(zhǔn)),以及(3)由名為“第3代合作伙伴項(xiàng)目2” (3GPP2)的組織提供的并且體現(xiàn)在“用于cdma2000擴(kuò)頻系統(tǒng)的TR-45. 5物理層標(biāo)準(zhǔn)”(IS-2000標(biāo)準(zhǔn))中的標(biāo)準(zhǔn)。
在上述CDMA通信系統(tǒng)和標(biāo)準(zhǔn)中��,在多個(gè)用戶之間同時(shí)共享可用頻譜����,并且可以利用適當(dāng)技術(shù)來(lái)提供服務(wù)����,比如語(yǔ)音和數(shù)據(jù)服務(wù)。
典型移動(dòng)用戶使用諸如移動(dòng)電話或膝上型計(jì)算機(jī)的移動(dòng)臺(tái)或終端來(lái)接入無(wú)線通信系統(tǒng)����。除語(yǔ)音通信外,移動(dòng)臺(tái)可以訪問(wèn)由歸屬地3G系統(tǒng)提供的其它網(wǎng)絡(luò)數(shù)據(jù)服務(wù)���,比如即時(shí)消息服務(wù)(IMS)����。
移動(dòng)臺(tái)可以接入無(wú)線本地接入網(wǎng)(WLAN)���,其可以提供可選擇的通信信道��,用于訪問(wèn)由歸屬地3G系統(tǒng)提供的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)����,而不使用歸屬地3G系統(tǒng)的“蜂窩”容量。圖I示出了 3G-WLAN交互架構(gòu)�。移動(dòng)臺(tái)(MS)經(jīng)由無(wú)線局域網(wǎng)(WLAN)系統(tǒng)可以訪問(wèn)MS歸屬地網(wǎng)絡(luò)中的服務(wù)。分組數(shù)據(jù)互通功能體(PDIF)作為安全網(wǎng)關(guān)�,保護(hù)網(wǎng)絡(luò)服務(wù)(例如,即時(shí)消息服務(wù) (IMS)),防止未授權(quán)的訪問(wèn)����。MS是基于SIP的系統(tǒng),其允許MS建立因特網(wǎng)語(yǔ)音協(xié)議(VoIP) 呼叫��。
為了從WLAN系統(tǒng)訪問(wèn)MS服務(wù)���,MS使用因特網(wǎng)密鑰加密版本2 (IKEv2)來(lái)與分組數(shù)據(jù)互通功能體(PDIF)建立安全I(xiàn)P隧道��。由歸屬地鑒權(quán)認(rèn)證計(jì)費(fèi)(H-AAA)對(duì)該隧道的建立進(jìn)行鑒權(quán)和認(rèn)證����。虛線是用于鑒權(quán)����、認(rèn)證、計(jì)費(fèi)(AAA)信息的路徑�����。實(shí)線是用戶數(shù)據(jù)業(yè)務(wù)的承載路徑,管道是保護(hù)MS和I3DIF之間的用戶數(shù)據(jù)業(yè)務(wù)的安全I(xiàn)P隧道�����。在建立安全I(xiàn)P 隧道之后����,MS可以在3G歸屬地網(wǎng)絡(luò)中注冊(cè)MS��。MS使用會(huì)話啟動(dòng)協(xié)議(SIP)來(lái)與MS中的控制實(shí)體(例如���,代理呼叫會(huì)話控制功能(P-CSCF ))進(jìn)行通信����。
然而�,該安全I(xiàn)P隧道對(duì)于特定業(yè)務(wù)類型來(lái)說(shuō)效率低下。因此�����,在本領(lǐng)域中��,對(duì)于移動(dòng)臺(tái)和3G網(wǎng)絡(luò)來(lái)說(shuō),需要允許該移動(dòng)臺(tái)高效地訪問(wèn)由該3G網(wǎng)絡(luò)提供的網(wǎng)絡(luò)數(shù)據(jù)服務(wù)��,而不使用該3G系統(tǒng)的“蜂窩”容量���。發(fā)明內(nèi)容
本發(fā)明的一方面在于一種用于通過(guò)無(wú)線局域網(wǎng)在移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間高效傳輸分組以訪問(wèn)歸屬地服務(wù)的方法���。在該方法中,建立第一加密安全關(guān)聯(lián)以用于將第一類型分組從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)�����,并且建立第二加密安全關(guān)聯(lián)以用于將第一類型分組從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)����。接下來(lái),建立第一空加密安全關(guān)聯(lián)以用于將第二類型分組從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)���,并且建立第二空加密安全關(guān)聯(lián)以用于將第二類型分組從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)��?���;跇I(yè)務(wù)選擇符來(lái)選擇用于使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M���。而且����, 可以基于業(yè)務(wù)選擇符來(lái)選擇使用第一空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M。
在本發(fā)明的更多具體方面中�,業(yè)務(wù)選擇符可以是預(yù)配置的并且為移動(dòng)臺(tái)和安全網(wǎng)關(guān)所已知。業(yè)務(wù)選擇符可以是目的和/或源IP地址和端口號(hào)����。
此外,可以在建立第一和第二加密安全關(guān)聯(lián)之前產(chǎn)生業(yè)務(wù)選擇符�����,或者可以在建立第一和第二加密安全關(guān)聯(lián)之后產(chǎn)生業(yè)務(wù)選擇符�。此外����,移動(dòng)臺(tái)可以產(chǎn)生業(yè)務(wù)選擇符并使用第二加密安全關(guān)聯(lián)將該業(yè)務(wù)選擇符轉(zhuǎn)發(fā)給安全網(wǎng)關(guān),或者安全網(wǎng)關(guān)可以產(chǎn)生業(yè)務(wù)選擇符并使用第一加密安全關(guān)聯(lián)轉(zhuǎn)發(fā)該業(yè)務(wù)選擇符��。
在本發(fā)明的其它更多具體方面中�����,第一和第二空加密安全關(guān)聯(lián)均可以是子安全關(guān)聯(lián)。每個(gè)安全關(guān)聯(lián)可以是安全I(xiàn)P隧道�。可以由第三代移動(dòng)電話歸屬地網(wǎng)絡(luò)來(lái)提供歸屬地服務(wù)�����。安全網(wǎng)關(guān)可以是分組數(shù)據(jù)互通功能體����。所選擇的用于使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M可以是先前加密的語(yǔ)音IP分組,或者其可以是先前加密的會(huì)話啟動(dòng)協(xié)議分組����。
本發(fā)明的另一方面可以在于一種移動(dòng)臺(tái),其包括用于建立第一加密安全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)的模塊�����,用于建立第二加密安全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)的模塊�,用于建立CN 102932783 A書明說(shuō)3/7頁(yè)第一空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)的模塊,用于建立第二空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)的模塊�,以及用于基于業(yè)務(wù)選擇符來(lái)選擇使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M的模塊。
本發(fā)明的另一方面可以在于一種包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品�,該計(jì)算機(jī)可讀介質(zhì)包括用于使計(jì)算機(jī)執(zhí)行以下操作的代碼建立第一加密安全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái),建立第二加密安全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)�����,建立第一空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái),建立第二空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)�,以及基于業(yè)務(wù)選擇符來(lái)選擇使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M。
圖I是通過(guò)無(wú)線局域網(wǎng)與歸屬地3G系統(tǒng)進(jìn)行通信的移動(dòng)臺(tái)的方框圖��。
圖2是無(wú)線通信系統(tǒng)的實(shí)例�����。
圖3是用于在移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間建立安全關(guān)聯(lián)的方法的流程圖�。
圖4是移動(dòng)臺(tái)的方框圖。
具體實(shí)施方式
詞語(yǔ)“示例性”在這里用于表示“作為實(shí)例����、例子或圖示”。沒(méi)有必要將這里描述為 “示例性”的任何實(shí)施例均視為比其它實(shí)施例更優(yōu)選或有利����。
也稱為移動(dòng)臺(tái)(MS)�����、接入終端(AT)��、用戶設(shè)備或用戶單元的遠(yuǎn)程站可以是移動(dòng)的或固定的,并且可以與也稱為收發(fā)基站(BTS)或節(jié)點(diǎn)B的一個(gè)或多個(gè)基站進(jìn)行通信�。遠(yuǎn)程站通過(guò)一個(gè)或多個(gè)基站向也稱為無(wú)線網(wǎng)絡(luò)控制器(RNC)的基站控制器發(fā)送和接收數(shù)據(jù)分組。 基站和基站控制器是被稱為接入網(wǎng)的網(wǎng)絡(luò)的一部分���。接入網(wǎng)在多個(gè)遠(yuǎn)程站之間傳送數(shù)據(jù)分組�。接入網(wǎng)還可以連接到接入網(wǎng)外部的附加網(wǎng)絡(luò)�����,比如企業(yè)內(nèi)部網(wǎng)或因特網(wǎng)�����,并且接入網(wǎng)可以在每個(gè)遠(yuǎn)程站和這種外部網(wǎng)絡(luò)之間傳送數(shù)據(jù)分組�����。已經(jīng)與一個(gè)或多個(gè)基站建立活動(dòng)業(yè)務(wù)信道連接的遠(yuǎn)程站��,稱為活動(dòng)遠(yuǎn)程站并且被稱為處于業(yè)務(wù)狀態(tài)中����。在與一個(gè)或多個(gè)基站建立活動(dòng)業(yè)務(wù)信道連接過(guò)程中的遠(yuǎn)程站被稱為處于連接建立狀態(tài)。遠(yuǎn)程站可以是通過(guò)無(wú)線信道進(jìn)行通信的任何數(shù)據(jù)設(shè)備���。遠(yuǎn)程站還可以是多種類型設(shè)備中的任何設(shè)備����,包括但不局限于PC卡、壓縮閃存����、外部或內(nèi)部調(diào)制解調(diào)器或無(wú)線電話。遠(yuǎn)程站向基站發(fā)送信號(hào)所通過(guò)的通信鏈路稱為上行鏈路����,也稱為反向鏈路?���;鞠蜻h(yuǎn)程終端發(fā)送信號(hào)所通過(guò)的通信鏈路稱為下行鏈路,也稱為前向鏈路���。
參照?qǐng)D2�,無(wú)線通信系統(tǒng)100包括一個(gè)或多個(gè)無(wú)線移動(dòng)臺(tái)(MS) 102�����、一個(gè)或多個(gè)基站(BS) 104���、一個(gè)或多個(gè)基站控制器(BSC) 106以及核心網(wǎng)108�。核心網(wǎng)可以經(jīng)由適當(dāng)回程連接到因特網(wǎng)110和公共交換電話網(wǎng)(PSTN) 112�����。典型的無(wú)線移動(dòng)臺(tái)可以包括手持電話或膝上型計(jì)算機(jī)�����。無(wú)線通信系統(tǒng)100可以采用多個(gè)多址技術(shù)中的任意一種技術(shù)�,比如碼分多址(CDMA )、時(shí)分多址(TDMA )���、頻分多址(FDMA )����、空分多址(SDMA )���、極分多址(PDMA )或本領(lǐng)域公知的其它調(diào)制技術(shù)����。8
再次參照?qǐng)D1,MS可以訪問(wèn)由該MS的歸屬地第三代(3G)網(wǎng)絡(luò)18提供的服務(wù)����。分組數(shù)據(jù)互通功能體(PDIF)20用作防止未授權(quán)使用3G網(wǎng)絡(luò)服務(wù)的安全網(wǎng)關(guān)。因?yàn)橐呀?jīng)經(jīng)由 IPsec傳輸模式對(duì)在MS和P-CSCF之間交換的會(huì)話啟動(dòng)協(xié)議(SIP)信令進(jìn)行了加密,所以該方法和裝置可以對(duì)MS和H)IF之間傳輸?shù)腟IP信令消息禁用IPsec加密。該目的是為了避免在MS處對(duì)SIP信令消息的嵌套IPsec加密/解密���。
因?yàn)閂oIP媒體分組的加密/解密(每20ms —次)可能會(huì)引起I3DIF和MS中的顯著處理負(fù)荷,所以應(yīng)當(dāng)對(duì)在MS和roiF之間傳輸?shù)腣oIP媒體分組禁用IPsec加密。下面描述的方法和裝置節(jié)省了 MS中的處理資源���,更具體地節(jié)省了支持許多MS的H)IF中的處理資源。
盡管需要對(duì)SIP信令和VoIP媒體分組禁用IPsec加密�,但是優(yōu)選地對(duì)其它非MS 分組流(例如,emial消息��、IM等)應(yīng)用IPsec加密���。
該方法的目的是為MS和roiF沿每個(gè)方向建立兩個(gè)IPsec SA�。(沿每個(gè)方向均需要兩個(gè)IPsec SA是因?yàn)槊總€(gè)IPsec SA均是單方向的���。)一個(gè)IPsec SA用于加密����,另一個(gè) IPsec SA用于空加密。MS配置安全策略數(shù)據(jù)庫(kù)(SB))中的業(yè)務(wù)選擇符�����,使得將該空加密 IPsec SA應(yīng)用于SIP信令消息以及可選地應(yīng)用于VoIP媒體分組��,并且將加密IPsec SA應(yīng)用于其它業(yè)務(wù)��。
在初始IKEv2協(xié)商期間�,MS和TOIF建立默認(rèn)IPsec SA以用于對(duì)發(fā)往該MS和源于該MS的所有業(yè)務(wù)(初始的非MS業(yè)務(wù))進(jìn)行加密����。在該IPsec SA的建立期間,MS和TOIF 使用IKEv2來(lái)配置SH)中的業(yè)務(wù)選擇符�����,使得該加密IPsec SA應(yīng)用于發(fā)往該MS的IP地址的所有分組和源于該MS的IP地址的所有分組���。
當(dāng)MS需要MS業(yè)務(wù)時(shí)�,MS執(zhí)行SIP注冊(cè)�。經(jīng)由與P-CSCF的SIP REGISTER/2000K 交換,MS獲得客戶/服務(wù)器端口號(hào)���,該端口號(hào)將用于攜帶后續(xù)SIP信令消息�,并且這些消息將通過(guò)MS和P-CSCF之間的IPsec加密來(lái)保護(hù)。在MS獲得客戶/服務(wù)器端口號(hào)之后�����,MS使用創(chuàng)建子SA (Create-ChiId-SA)交換來(lái)建立用于SIP信令和可選地用于VoIP媒體分組的空加密IPsec SA0在空加密IPsec SA的建立期間�����,MS和PDIF使用IKEv2來(lái)配置SPD中的業(yè)務(wù)選擇符�,使得該空加密IPsec SA應(yīng)用于具有該客戶/服務(wù)器端口號(hào)的分組(指示該分組攜帶已加密的SIP信令消息)。
此外���,MS和roiF可以配置SPD中的附加業(yè)務(wù)選擇符���,使得該空加密IPsec SA應(yīng)用于VoIP媒體分組。有兩種方法來(lái)進(jìn)行該操作
I)如果將MS靜態(tài)地配置為總是利用源端口 X發(fā)送VoIP媒體分組并利用目的端口 y接收VoIP媒體分組����,則在空加密IPsec SA的建立期間,MS可以配置SB)中的附加業(yè)務(wù)選擇符(針對(duì)端口 X和y)�,使得該空加密IPsec SA應(yīng)用于具有端口 X的源于MS的分組和具有端口 y的終止于MS的分組。
2)如果為每個(gè)VoIP會(huì)話動(dòng)態(tài)地選擇端口號(hào)�����,則在每個(gè)VoIP會(huì)話的開始,MS知道其將使用哪個(gè)端口(例如�����,端口 u)來(lái)發(fā)送VoIP媒體分組以及其將使用哪個(gè)端口(例如�����,端口 V)來(lái)接收VoIP媒體分組�。MS可以使用IKEv2信息交換(Informational Exchange)來(lái)更新SPD中的業(yè)務(wù)選擇符(針對(duì)端口 u和V)�����,使得該空加密IPsec SA應(yīng)用于具有端口 u的源于MS的分組和具有端口 V的終止于MS的分組���。
MS具有以下性能在MS通過(guò)SIP交換獲得客戶/服務(wù)器端口號(hào)之后��,MS使用CN 102932783 A書明說(shuō)5/7頁(yè)IKEv2來(lái)為具有這些客戶/服務(wù)器端口號(hào)的分組(這些分組將攜帶已加密的SIP信令消息�����, 并且不需要在MS和I3DIF之間再次加密)建立空加密IPsec SA;并且MS可以使用IKEv2來(lái)配置SPD中的業(yè)務(wù)選擇符�,以便對(duì)VoIP媒體分組應(yīng)用空加密IPsec SA。TOIF具有以下性能支持SIP信令消息的空加密IPsec SA ;以及支持用于VoIP媒體分組的空IPsec SA�����。
參照?qǐng)DI和3�,本發(fā)明的一方面在于一種用于通過(guò)無(wú)線局域網(wǎng)WLAN 22在移動(dòng)臺(tái) MS 102和安全網(wǎng)關(guān)20 (例如,PDIF)之間高效傳輸分組以訪問(wèn)歸屬地服務(wù)的方法300��。在該方法中��,建立第一加密安全關(guān)聯(lián)ESAl以用于將第一類型分組從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái) (步驟302)�����,并且建立第二加密安全關(guān)聯(lián)ESA2以用于將第一類型分組從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)(步驟304)�。接下來(lái),建立第一空加密安全關(guān)聯(lián)N-ESAl以用于將第二類型分組從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)(步驟306)�,并且建立第二空加密安全關(guān)聯(lián)N-ESA2以用于將第二類型分組從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)(步驟308)?��;跇I(yè)務(wù)選擇符來(lái)選擇用于使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M����。而且����,可以基于業(yè)務(wù)選擇符來(lái)選擇用于使用第一空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M��。
第一類型分組是那些需要加密的分組���,并且使用第一和第二加密安全關(guān)聯(lián)來(lái)傳輸。第二類型分組是那些已加密的分組(例如�,SIP信令、VoIP等)�,并且使用第一和第二空加密安全關(guān)聯(lián)來(lái)傳輸���。
業(yè)務(wù)選擇符可以是預(yù)配置的并且為移動(dòng)臺(tái)和安全網(wǎng)關(guān)所已知�。業(yè)務(wù)選擇符可以是目的和/或源IP地址和端口號(hào)���。分組的類型可以通過(guò)關(guān)聯(lián)的IP地址和/或端口號(hào)來(lái)確定�。
可替換地�,可以在建立第一和第二加密安全關(guān)聯(lián)之前產(chǎn)生業(yè)務(wù)選擇符,或者可以在建立第一和第二加密安全關(guān)聯(lián)之后產(chǎn)生業(yè)務(wù)選擇符��。例如�,移動(dòng)臺(tái)可以產(chǎn)生業(yè)務(wù)選擇符并使用第二加密安全關(guān)聯(lián)將該業(yè)務(wù)選擇符轉(zhuǎn)發(fā)到安全網(wǎng)關(guān)(步驟310),或者安全網(wǎng)關(guān)可以產(chǎn)生業(yè)務(wù)選擇符并使用第一加密安全關(guān)聯(lián)轉(zhuǎn)發(fā)該業(yè)務(wù)選擇符(步驟312)���。
在本發(fā)明的其它更多具體方面中���,第一和第二空加密安全關(guān)聯(lián)均可以是子安全關(guān)聯(lián)�����。每個(gè)安全關(guān)聯(lián)均可以是安全I(xiàn)P隧道24���。可以由第三代移動(dòng)電話歸屬地網(wǎng)絡(luò)18來(lái)提供歸屬地服務(wù)�。安全網(wǎng)關(guān)可以是分組數(shù)據(jù)互通功能體20。所選擇的用于使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M可以是先前加密的語(yǔ)音IP (VoIP)分組�,或者其可以是先前加密的會(huì)話啟動(dòng)協(xié)議(SIP)分組。
參照?qǐng)D4���,本發(fā)明的另一方面可以在于一種移動(dòng)臺(tái)102����,其包括用于建立第一加密安全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)的模塊�����,用于建立第二加密安全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)的模塊,用于建立第一空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)的模塊���,用于建立第二空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)的模塊����,以及用于基于業(yè)務(wù)選擇符來(lái)選擇用于使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M的模塊�。上述模塊可以包括控制處理器402。該移動(dòng)臺(tái)還可以包括如移動(dòng)電話通常所具有的存儲(chǔ)器件404���、鍵盤406���、麥克風(fēng)408、顯示器410����、揚(yáng)聲器�、 天線等。
本發(fā)明的另一方面可以在于一種包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品���,該計(jì)算機(jī)可讀介質(zhì)�����,比如存儲(chǔ)器件404���,包括用于使計(jì)算機(jī)執(zhí)行以下操作的代碼建立第一加密安全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)�,建立第二加密安`10全關(guān)聯(lián)以用于將第一類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)�����,建立第一空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)�,建立第二空加密安全關(guān)聯(lián)以用于將第二類型分組通過(guò)無(wú)線局域網(wǎng)從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān),以及基于業(yè)務(wù)選擇符來(lái)選擇用于使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M��。
本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�����,可以使用各種不同的方法和技術(shù)中的任何一種來(lái)表示信息和信號(hào)�。例如,在以上整個(gè)說(shuō)明書中所提及的數(shù)據(jù)�、指令、命令�、信息、信號(hào)���、比特���、符號(hào)和碼片可以用電壓��、電流��、電磁波��、磁場(chǎng)或磁性粒子�����、光場(chǎng)或光粒子或者其任何組合來(lái)表示�。
本領(lǐng)域技術(shù)人員還應(yīng)當(dāng)注意�����,結(jié)合這里公開的實(shí)施例所描述的各種示例性邏輯塊�、模塊、電路和算法步驟可以實(shí)現(xiàn)為電子硬件�����、計(jì)算機(jī)軟件或兩者的組合����。為了清楚地說(shuō)明硬件和軟件的這種可互換性,已經(jīng)就各種示意性組件�、方塊、模塊��、電路和步驟的功能對(duì)其進(jìn)行了整體描述�����。這種功能是實(shí)現(xiàn)為軟件還是實(shí)現(xiàn)為硬件取決于具體應(yīng)用以及施加給整個(gè)系統(tǒng)的設(shè)計(jì)約束�。本領(lǐng)域技術(shù)人員可以針對(duì)每種具體應(yīng)用以各種方式來(lái)實(shí)現(xiàn)所述的功能,但是這種實(shí)現(xiàn)決定不應(yīng)被解釋為導(dǎo)致脫離本發(fā)明的范圍�����。
結(jié)合這里公開的實(shí)施例所描述的各種示例性邏輯塊�����、模塊和電路可以利用被設(shè)計(jì)成用于執(zhí)行這里所述功能的下列部件來(lái)實(shí)現(xiàn)或執(zhí)行通用處理器�、數(shù)字信號(hào)處理器(DSP)、 專用集成電路(ASIC)���、現(xiàn)場(chǎng)可編程門陣列(FPGA)或其它可編程邏輯器件��、離散門或晶體管邏輯�����、分立的硬件組件或者這些部件的任何組合�����。通用處理器可以是微處理器���,但是可選地�����,處理器可以是任何傳統(tǒng)處理器����、控制器����、微控制器或狀態(tài)機(jī)。處理器也可以實(shí)現(xiàn)為計(jì)算設(shè)備的組合��,例如�,DSP和微處理器的組合���、多個(gè)微處理器�����、一個(gè)或多個(gè)微處理器結(jié)合DSP 核�、或任何其它這種配置。
結(jié)合這里公開的實(shí)施例所描述的方法或算法的步驟可以直接包含在硬件中�、由處理器執(zhí)行的軟件模塊中或這兩者的組合中。軟件模塊可以位于RAM存儲(chǔ)器��、閃速存儲(chǔ)器����、 ROM存儲(chǔ)器、EPROM存儲(chǔ)器���、EEPROM存儲(chǔ)器����、寄存器�、硬盤、可移動(dòng)盤���、CD-ROM�����、或本領(lǐng)域已知的任何其它存儲(chǔ)介質(zhì)形式���。示例性的存儲(chǔ)介質(zhì)耦合到處理器��,使得處理器能夠從該存儲(chǔ)介質(zhì)中讀取信息或向該存儲(chǔ)介質(zhì)寫入信息�����。作為替換����,所述存儲(chǔ)介質(zhì)可以與處理器集成在一起�����。處理器和存儲(chǔ)介質(zhì)可以位于ASIC中�。ASIC可以位于用戶終端中。作為替換��,處理器和存儲(chǔ)介質(zhì)可以作為分立的部件位于用戶終端中����。
在一個(gè)或多個(gè)示例性實(shí)施例中����,所述功能可以實(shí)現(xiàn)在硬件�、軟件�、固件或其任意組合中。如果實(shí)現(xiàn)在作為計(jì)算機(jī)程序產(chǎn)品的軟件中���,則可以將這些功能作為一個(gè)或多個(gè)指令或代碼來(lái)存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上或通過(guò)計(jì)算機(jī)可讀介質(zhì)來(lái)傳送�。計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)�,該通信介質(zhì)包括有助于將計(jì)算機(jī)程序從一個(gè)位置傳送到另一個(gè)位置的任何介質(zhì)。存儲(chǔ)介質(zhì)可以是能夠由計(jì)算機(jī)訪問(wèn)的任何可用介質(zhì)����。舉例而言而非限制性地,該計(jì)算機(jī)可讀介質(zhì)可以包括RAM���、ROM�、EEPROM�����、CD-ROM或其它光盤存儲(chǔ)介質(zhì)��、磁盤存儲(chǔ)介質(zhì)或其它磁性存儲(chǔ)設(shè)備,或者是可以用于攜帶或存儲(chǔ)以指令或數(shù)據(jù)結(jié)構(gòu)形式的所需程序代碼并且能夠由計(jì)算機(jī)訪問(wèn)的任何其它介質(zhì)����。此外,任何連接都可以適當(dāng)?shù)胤Q為計(jì)算機(jī)可讀介質(zhì)��。例如����,如果使用同軸線纜、光纖線纜���、雙絞線�、數(shù)字用戶線路(DSL)或諸如紅外�����、 無(wú)線電和微波的無(wú)線技術(shù)來(lái)從網(wǎng)站����、服務(wù)器或其它遠(yuǎn)程源發(fā)送軟件,則上述同軸線纜��、光纖線纜、雙絞線�����、DSL或諸如紅外��、無(wú)線電和微波的無(wú)線技術(shù)均包括在介質(zhì)的定義�����。如這里所使用的�,磁盤和光盤包括壓縮盤(CD)�����、激光盤�����、光學(xué)盤�����、數(shù)字多功能盤(DVD)���、軟盤�����、藍(lán)光盤����,其中磁盤通常通過(guò)磁性再現(xiàn)數(shù)據(jù),而光盤利用激光通過(guò)光學(xué)技術(shù)再現(xiàn)數(shù)據(jù)�。上述內(nèi)容的組合也應(yīng)當(dāng)包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。
上面描述了所公開的實(shí)施例�,以使本領(lǐng)域的任何技術(shù)人員均能夠?qū)崿F(xiàn)或者使用本發(fā)明。對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)����,對(duì)這些實(shí)施例的各種修改是顯而易見(jiàn)的,并且本申請(qǐng)定義的一般性原理也可以在不脫離本發(fā)明的精神和范圍的基礎(chǔ)上應(yīng)用于其它實(shí)施例�。因此,本發(fā)明并不限于這里所給出的實(shí)施例�,而是與本申請(qǐng)公開的原理和新穎性特征的最廣范圍相一致。
權(quán)利要求
1.一種用于傳輸分組的方法�,包括建立針對(duì)移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的加密安全關(guān)聯(lián);建立針對(duì)所述移動(dòng)臺(tái)和所述安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的空加密安全關(guān)聯(lián)�����;以及基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M,其中��,所述空加密安全關(guān)聯(lián)應(yīng)用于一個(gè)或多個(gè)MS分組流��,并且其中����,所述加密安全關(guān)聯(lián)至少應(yīng)用于非MS分組流。
2.根據(jù)權(quán)利要求I所述的方法����,其中��,所述空加密安全關(guān)聯(lián)應(yīng)用于SIP信令消息����。
3.根據(jù)權(quán)利要求2所述的方法,其中���,所述選擇包括將所述SIP信令消息映射到被空加密的子安全關(guān)聯(lián)����。
4.根據(jù)權(quán)利要求1-3中任意一項(xiàng)所述的方法�����,其中,所述空加密安全關(guān)聯(lián)應(yīng)用于VoIP 分組��。
5.根據(jù)權(quán)利要求1-4中任意一項(xiàng)所述的方法�,其中,所述加密安全關(guān)聯(lián)包括IPsecSA0
6.根據(jù)權(quán)利要求1-5中任意一項(xiàng)所述的方法�,其中,所述安全網(wǎng)關(guān)包括分組數(shù)據(jù)互通功能體�����。
7.根據(jù)權(quán)利要求1-6中任意一項(xiàng)所述的方法��,其中����,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)包括IP隧道。
8.根據(jù)權(quán)利要求7所述的方法�����,其中�,所述選擇包括將所述分組引導(dǎo)到所述IP隧道。
9.根據(jù)權(quán)利要求1-8中任意一項(xiàng)所述的方法����,其中���,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)是使用IKEv2來(lái)建立的。
10.根據(jù)權(quán)利要求1-9中任意一項(xiàng)所述的方法���,還包括使用IKEv2來(lái)配置所述業(yè)務(wù)選擇符��。
11.根據(jù)權(quán)利要求1-10中任意一項(xiàng)所述的方法�����,其中���,所述業(yè)務(wù)選擇符包括IP地址或端口號(hào)。
12.根據(jù)權(quán)利要求1-11中任意一項(xiàng)所述的方法�,其中��,建立所述加密安全關(guān)聯(lián)包括建立第一加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái)�����,所述方法還包括建立第二加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)���。
13.根據(jù)權(quán)利要求1-12中任意一項(xiàng)所述的方法����,其中,建立所述空加密安全關(guān)聯(lián)包括建立第一空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái)�,所述方法還包括建立第二空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)。
14.一種移動(dòng)臺(tái),包括用于建立針對(duì)所述移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的加密安全關(guān)聯(lián)的模塊����;用于建立針對(duì)所述移動(dòng)臺(tái)和所述安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的空加密安全關(guān)聯(lián)的模塊;以及用于基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M的模塊���,其中�����, 所述空加密安全關(guān)聯(lián)應(yīng)用于一個(gè)或多個(gè)IMS分組流�,并且其中���,所述加密安全關(guān)聯(lián)至少應(yīng)用于非MS分組流��。
15.根據(jù)權(quán)利要求14所述的移動(dòng)臺(tái)�����,其中����,所述空加密安全關(guān)聯(lián)應(yīng)用于SIP信令消息。
16.根據(jù)權(quán)利要求15所述的移動(dòng)臺(tái)��,其中����,所述用于基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M的模塊包括用于將所述SIP信令消息映射到被空加密的子安全關(guān)聯(lián)的模塊。
17.根據(jù)權(quán)利要求14-16中任意一項(xiàng)所述的移動(dòng)臺(tái)����,其中,所述空加密安全關(guān)聯(lián)應(yīng)用于 VoIP分組�����。
18.根據(jù)權(quán)利要求14-17中任意一項(xiàng)所述的移動(dòng)臺(tái)�,其中,所述加密安全關(guān)聯(lián)包括 IPsec SA��。
19.根據(jù)權(quán)利要求14-18中任意一項(xiàng)所述的移動(dòng)臺(tái)���,其中�����,所述安全網(wǎng)關(guān)包括分組數(shù)據(jù)互通功能體�。
20.根據(jù)權(quán)利要求14-19中任意一項(xiàng)所述的移動(dòng)臺(tái)����,其中,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)包括IP隧道��。
21.根據(jù)權(quán)利要求20所述的移動(dòng)臺(tái)��,其中����,所述用于基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M的模塊包括用于將所述分組引導(dǎo)到所述IP隧道的模塊。
22.根據(jù)權(quán)利要求14-21中任意一項(xiàng)所述的移動(dòng)臺(tái)�,其中,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)是使用IKEv2來(lái)建立的�。
23.根據(jù)權(quán)利要求14-22中任意一項(xiàng)所述的移動(dòng)臺(tái),還包括用于使用IKEv2來(lái)配置所述業(yè)務(wù)選擇符的模塊����。
24.根據(jù)權(quán)利要求14-23中任意一項(xiàng)所述的移動(dòng)臺(tái),其中��,所述業(yè)務(wù)選擇符包括IP地址或端口號(hào)。
25.根據(jù)權(quán)利要求14-24中任意一項(xiàng)所述的移動(dòng)臺(tái)�,其中,用于建立針對(duì)所述移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的加密安全關(guān)聯(lián)的模塊包括用于建立第一加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái)的模塊��,所述移動(dòng)臺(tái)還包括用于建立第二加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)的模塊����。
26.根據(jù)權(quán)利要求14-25中任意一項(xiàng)所述的移動(dòng)臺(tái),其中�,用于建立針對(duì)所述移動(dòng)臺(tái)和所述安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的空加密安全關(guān)聯(lián)的模塊包括用于建立第一空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái)的模塊,所述移動(dòng)臺(tái)還包括用于建立第二空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)的模塊�����。
27.一種計(jì)算機(jī)可讀介質(zhì)���,包括用于建立針對(duì)移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的加密安全關(guān)聯(lián)的代碼�����;用于建立針對(duì)所述移動(dòng)臺(tái)和所述安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的空加密安全關(guān)聯(lián)的代碼��;以及用于基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M的代碼���,其中, 所述空加密安全關(guān)聯(lián)應(yīng)用于一個(gè)或多個(gè)IMS分組流�,并且其中,所述加密安全關(guān)聯(lián)至少應(yīng)用于非MS分組流���。
28.根據(jù)權(quán)利要求27所述的計(jì)算機(jī)可讀介質(zhì)���,其中,所述空加密安全關(guān)聯(lián)應(yīng)用于SIP信令消息����。
29.根據(jù)權(quán)利要求28所述的計(jì)算機(jī)可讀介質(zhì),其中��,所述用于基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M的代碼包括用于將所述SIP信令消息映射到被空加密的子安全關(guān)聯(lián)的代碼�����。
30.根據(jù)權(quán)利要求27-29中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì)��,其中����,所述空加密安全關(guān)聯(lián)應(yīng)用于VoIP分組。
31.根據(jù)權(quán)利要求27-30中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì),其中���,所述加密安全關(guān)聯(lián)包括 IPsec SA��。
32.根據(jù)權(quán)利要求27-31中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì)����,其中�����,所述安全網(wǎng)關(guān)包括分組數(shù)據(jù)互通功能體����。
33.根據(jù)權(quán)利要求27-32中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì),其中��,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)包括IP隧道���。
34.根據(jù)權(quán)利要求33所述的計(jì)算機(jī)可讀介質(zhì)��,其中����,所述用于基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M的代碼包括用于將所述分組引導(dǎo)到所述IP隧道的代碼。
35.根據(jù)權(quán)利要求27-34中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì)�����,其中���,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)是使用IKEv2來(lái)建立的。
36.根據(jù)權(quán)利要求27-35中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì)��,還包括用于使用IKEv2來(lái)配置所述業(yè)務(wù)選擇符的代碼�。
37.根據(jù)權(quán)利要求27-36中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì),其中�,所述業(yè)務(wù)選擇符包括IP地址或端口號(hào)。
38.根據(jù)權(quán)利要求27-37中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì)����,其中,用于建立針對(duì)移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的加密安全關(guān)聯(lián)的代碼包括用于建立第一加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái)的代碼��,所述計(jì)算機(jī)可讀介質(zhì)還包括用于建立第二加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)的代碼����。
39.根據(jù)權(quán)利要求27-38中任意一項(xiàng)所述的計(jì)算機(jī)可讀介質(zhì),其中�,用于建立針對(duì)所述移動(dòng)臺(tái)和所述安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的空加密安全關(guān)聯(lián)的代碼包括用于建立第一空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái)的代碼, 所述計(jì)算機(jī)可讀介質(zhì)還包括用于建立第二空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)的代碼。
40.一種裝置,包括存儲(chǔ)器�;以及處理器,用于建立針對(duì)移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的加密安全關(guān)聯(lián)��,建立針對(duì)所述移動(dòng)臺(tái)和所述安全網(wǎng)關(guān)之間的分組業(yè)務(wù)的空加密安全關(guān)聯(lián)�,以及基于業(yè)務(wù)選擇符來(lái)選擇使用所述空加密安全關(guān)聯(lián)進(jìn)行傳輸?shù)姆纸M,其中�,所述空加密安全關(guān)聯(lián)應(yīng)用于一個(gè)或多個(gè)MS分組流,并且其中��,所述加密安全關(guān)聯(lián)至少應(yīng)用于非MS分組流���。
41.根據(jù)權(quán)利要求40所述的裝置����,其中�����,所述空加密安全關(guān)聯(lián)應(yīng)用于SIP信令消息�����。
42.根據(jù)權(quán)利要求41所述的裝置��,其中,所述選擇包括將所述SIP信令消息映射到被空加密的子安全關(guān)聯(lián)�。
43.根據(jù)權(quán)利要求40-42中任意一項(xiàng)所述的裝置,其中���,所述空加密安全關(guān)聯(lián)應(yīng)用于VoIP分組��。
44.根據(jù)權(quán)利要求40-43中任意一項(xiàng)所述的裝置��,其中,所述加密安全關(guān)聯(lián)包括IPsecSA���。
45.根據(jù)權(quán)利要求40-44中任意一項(xiàng)所述的裝置�����,其中�,所述安全網(wǎng)關(guān)包括分組數(shù)據(jù)互通功能體�����。
46.根據(jù)權(quán)利要求40-45中任意一項(xiàng)所述的裝置�,其中,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)包括IP隧道���。
47.根據(jù)權(quán)利要求46所述的裝置���,其中����,所述選擇包括將所述分組引導(dǎo)到所述IP隧道���。
48.根據(jù)權(quán)利要求40-47中任意一項(xiàng)所述的裝置�����,其中�,所述加密安全關(guān)聯(lián)或所述空加密安全關(guān)聯(lián)是使用IKEv2來(lái)建立的�����。
49.根據(jù)權(quán)利要求40-48中任意一項(xiàng)所述的裝置����,其中,所述處理器還用于使用IKEv2 來(lái)配置所述業(yè)務(wù)選擇符����。
50.根據(jù)權(quán)利要求40-49中任意一項(xiàng)所述的裝置���,其中,所述業(yè)務(wù)選擇符包括IP地址或端口號(hào)�。
51.根據(jù)權(quán)利要求40-50中任意一項(xiàng)所述的裝置,其中��,建立所述加密安全關(guān)聯(lián)包括建立第一加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái)�,所述處理器還用于建立第二加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)。
52.根據(jù)權(quán)利要求40-51中任意一項(xiàng)所述的裝置���,其中�����,建立所述空加密安全關(guān)聯(lián)包括建立第一空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)無(wú)線局域網(wǎng)從所述安全網(wǎng)關(guān)傳輸?shù)剿鲆苿?dòng)臺(tái),所述處理器還用于建立第二空加密安全關(guān)聯(lián)以用于將分組業(yè)務(wù)通過(guò)所述無(wú)線局域網(wǎng)從所述移動(dòng)臺(tái)傳輸?shù)剿霭踩W(wǎng)關(guān)����。
全文摘要
公開了一種用于通過(guò)無(wú)線局域網(wǎng)在移動(dòng)臺(tái)和安全網(wǎng)關(guān)之間高效傳輸分組以訪問(wèn)歸屬地服務(wù)的方法。在該方法中�����,建立第一加密安全關(guān)聯(lián)以用于將第一類型分組從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)�,并且建立第二加密安全關(guān)聯(lián)以用于將第一類型分組從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)�����。接下來(lái)��,建立第一空加密安全關(guān)聯(lián)以用于將第二類型分組從安全網(wǎng)關(guān)傳輸?shù)揭苿?dòng)臺(tái)����,并且建立第二空加密安全關(guān)聯(lián)以用于將第二類型分組從移動(dòng)臺(tái)傳輸?shù)桨踩W(wǎng)關(guān)����。基于業(yè)務(wù)選擇符來(lái)選擇用于使用第二空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M���。而且��,可以基于業(yè)務(wù)選擇符來(lái)選擇用于使用第一空加密安全關(guān)聯(lián)來(lái)傳輸?shù)牡诙愋头纸M�。該業(yè)務(wù)選擇符可以是預(yù)配置的�����。
文檔編號(hào)H04W12/02GK102932783SQ20121046897
公開日2013年2月13日 申請(qǐng)日期2007年9月24日 優(yōu)先權(quán)日2006年9月25日
發(fā)明者A·C·馬亨德蘭, 徐大生 申請(qǐng)人:高通股份有限公司