在采用pep和ran的通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法和裝置制造方法
【專利摘要】本發(fā)明涉及用于在采用PEP和RAN的通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法和裝置�����,該通信系統(tǒng)具有在數(shù)據(jù)分組的發(fā)送站和接收的站之間的傳輸路段����,和具有用于支持在所述傳輸路段的至少一個部分上傳輸?shù)模B接在其間的支持裝置和/或支持功能�����,在此方法中����,支持裝置接收,并向接收站發(fā)送來自發(fā)送站的數(shù)據(jù)分組���,其中��,支持裝置通過采用標(biāo)題數(shù)據(jù)來監(jiān)控數(shù)據(jù)分組在傳輸路段的受支持部分上的安全傳輸�����,以及必要時促使重新發(fā)送有差錯的或丟失的數(shù)據(jù)分組����。為了改善總傳輸效率而建議,尤其在高的系統(tǒng)負(fù)荷時�,抉擇裝置將加密的數(shù)據(jù)分組在支持裝置旁引導(dǎo)經(jīng)過����,這些加密的數(shù)據(jù)分組在支持裝置中對于處理不能被充分識別���。
【專利說明】在采用PEP和RAN的通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法和裝
[0001]本申請是申請?zhí)枮?3815170.7、申請日為2003-4-15���、發(fā)明名稱為“在采用PEP和RAN的通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法和裝置”的發(fā)明專利申請的分案申請�。
【技術(shù)領(lǐng)域】
[0002]本發(fā)明涉及一種用于在采用支持傳輸裝置(PEP-性能增強(qiáng)代理)的通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法。
【背景技術(shù)】
[0003]在例如移動無線網(wǎng)的無線支持的通信系統(tǒng)中�,傳輸不同大小的數(shù)據(jù)分組。這種數(shù)據(jù)分組通常包括一個標(biāo)題(英語Header)和一個數(shù)據(jù)段�����。關(guān)于接收機(jī)的��、發(fā)送機(jī)的��、以及有可能在數(shù)據(jù)路徑上中間站地址的信息位于標(biāo)題中。此外附加的信息����,例如一個用于以正確的分組順序在接收機(jī)方再建原始數(shù)據(jù)流的數(shù)據(jù)分組號,或用于標(biāo)記某些數(shù)據(jù)編碼或傳輸條件的標(biāo)志(英語Flags)也位于標(biāo)題中���。
[0004]將例如像所謂的TCP (傳輸控制協(xié)議)那樣的傳輸控制協(xié)議,用于控制尤其在網(wǎng)絡(luò)方的站中的數(shù)據(jù)流����。由于TCP通信連接只提供惡劣的通信連接條件����,所以為了在也稱為RAN(無線訪問網(wǎng))網(wǎng)絡(luò)的無線支持的部分中改善TCP通信連接�����,而采用一個協(xié)議或多個協(xié)議的邏輯連接�,這些多個協(xié)議稱為PEP (性能增強(qiáng)代理)����,并在網(wǎng)絡(luò)的中間節(jié)點中實現(xiàn)�����。
[0005]在這種環(huán)境中TCP對于所有的分組丟失做出反應(yīng)���,這些分組丟失基于例如轉(zhuǎn)交到其它站上(越區(qū)轉(zhuǎn)接)時的比特誤差,或由于通過調(diào)用相應(yīng)的算法���,例如通過阻塞檢查和用于避免問題的�、或用于重新傳輸或申請數(shù)據(jù)分組的算法而引起的衰落���。這種調(diào)用卻給總系統(tǒng)增加了負(fù)擔(dān)��,并導(dǎo)致總傳輸效率的惡化。
[0006]PEP是無線通信連接控制功能(RLC:無線鏈路控制)的功能性補(bǔ)充�,在無線接入網(wǎng)中規(guī)定了這些無線通信連接控制功能。在有較強(qiáng)負(fù)荷的無線接入網(wǎng)中�,PEP應(yīng)改善TCP的效率���,以便實現(xiàn)較好的數(shù)據(jù)通過量或分組通過量�����。在有些系統(tǒng)中�����,例如在WCDMA網(wǎng)絡(luò)(WCDMA:無線碼分多址)中�����,在較少的負(fù)荷狀態(tài)下RLC協(xié)議的較低層的功能充分滿足于實施TCP/IP協(xié)議(IP:因特網(wǎng)協(xié)議)�����。但是在高負(fù)荷的網(wǎng)絡(luò)中��,如果需要負(fù)載控制�,例如在WCDMA系統(tǒng)中在采用UDD業(yè)務(wù)時�����,則有需要使用PEP����,以便避免阻塞控制或時限已到問題�����,否則通過TCP協(xié)議會出現(xiàn)該阻塞控制或時限已到問題。
[0007]根據(jù)所謂的IP安全性��,完全加密的數(shù)據(jù)分組的傳輸也尤其是成問題的�,其中����,將包括主要標(biāo)題信息的,要傳輸數(shù)據(jù)分組的整個數(shù)據(jù)內(nèi)容完全加密�����。在這種情況下,PEP由于缺少訪問數(shù)據(jù)分組號的可能性而不再能合宜地用作中間站��,因為禁止它訪問主要的數(shù)據(jù)��。也公知的是��,在某些情況下將用于信息解密的必要的密鑰通知PEP�,使得也可以在這種加密的分組上使用該PEP����。然而在許多情況下密鑰信息對于PEP來說是不知道的。
[0008]本發(fā)明的任務(wù)在于改善通信系統(tǒng)����,該通信系統(tǒng)在傳輸數(shù)據(jù)分組時采用支持傳輸?shù)难b置,尤其是PEP���。[0009]通過一種用于在通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法�����,以及通過一種用于執(zhí)行這種方法的裝置來解決該任務(wù)�����。
[0010]根據(jù)本發(fā)明的用于在通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法�,該通信系統(tǒng)具有在發(fā)送數(shù)據(jù)分組的站和接收站之間的傳輸路段����,和具有用于支持在所述傳輸路段的至少一個部分上傳輸?shù)?��、連接在其間的支持裝置,在此方法中�,所述的支持裝置接收并向所述的接收站發(fā)送來自所述發(fā)送站的數(shù)據(jù)分組��,并借助標(biāo)題數(shù)據(jù)在所述傳輸路段的受支持部分上監(jiān)控所述數(shù)據(jù)分組的傳輸��,其中抉擇裝置引導(dǎo)加密的數(shù)據(jù)分組在所述的支持裝置旁經(jīng)過�����,這些加密的數(shù)據(jù)分組不為所述的支持裝置所知��,取決于系統(tǒng)負(fù)荷在所述的抉擇裝置中做出抉擇�,并且將加密的數(shù)據(jù)分組和/或消息引導(dǎo)給所述的支持裝置,對于這些加密的數(shù)據(jù)分組和/或消息存在著密鑰���,用于將至少對于所述的支持裝置必要的標(biāo)題數(shù)據(jù)解密����。
[0011]優(yōu)選地��,所述的支持裝置接收和向所述的發(fā)送站發(fā)送所述接收站的有關(guān)所述數(shù)據(jù)分組的消息,以及所述的抉擇裝置引導(dǎo)加密的消息在所述的支持裝置旁經(jīng)過�,這些加密的消息在所述的支持裝置中對于處理不能被充分識別。所述的支持裝置支持通過無線接口的傳輸�����。取決于發(fā)送站方預(yù)先規(guī)定的安全性準(zhǔn)則���,在所述的抉擇裝置中對于所述的傳輸做出抉擇�����。通過TCP通信連接進(jìn)行所述的傳輸�。在轉(zhuǎn)送之前重新加密所述的數(shù)據(jù)分組和/或消息����。根據(jù)基于IP的業(yè)務(wù)準(zhǔn)則來執(zhí)行所述數(shù)據(jù)分組和消息的傳輸。
[0012]根據(jù)本發(fā)明的一種裝置�,具有支持裝置,用于取決于數(shù)據(jù)分組的標(biāo)題數(shù)據(jù)��,在通信系統(tǒng)中的傳輸路段的受支持部分上��,支持將發(fā)送站的數(shù)據(jù)分組向接收站傳輸���,還具有抉擇裝置����,用于引導(dǎo)加密的數(shù)據(jù)分組在所述的支持裝置旁經(jīng)過,這些加密的數(shù)據(jù)分組不為所述的支持裝置所知���,其中取決于系統(tǒng)負(fù)荷在所述的抉擇裝置中做出抉擇�,并且用于將加密的數(shù)據(jù)分組和/或消息引導(dǎo)給所述的支持裝置��,對于這些加密的數(shù)據(jù)分組和/或消息存在著密鑰�����,用于將至少對于所述的支持裝置必要的標(biāo)題數(shù)據(jù)解密�����。
[0013]優(yōu)選地在所述裝置中附加地構(gòu)成了所述的支持裝置���,用于取決于所述消息的標(biāo)題數(shù)據(jù),支持在傳輸路段的受支持部分上傳輸接收站的分配給所述數(shù)據(jù)分組的消息�,以及附加地構(gòu)成了所述的抉擇裝置,用于抉擇將所述接收的消息引導(dǎo)到所述的支持裝置上����,或在該支持裝置旁引導(dǎo)經(jīng)過��。
【專利附圖】
【附圖說明】
[0014]以下借助附圖來詳述實施例�����。這些附圖是:
圖1示意地展示了用于執(zhí)行這種方法的通信網(wǎng)站���;
圖2示意地展示了站之間的數(shù)據(jù)流;
圖3A示意地展示了在安全傳輸時的傳輸工作方式的基本思路��;
圖3B展示了信息為此在數(shù)據(jù)分組中的分布�;
圖4A展示了根據(jù)對于IP安全的數(shù)據(jù)分組的隧道工作方式的數(shù)據(jù)傳輸;
圖4B展示了數(shù)據(jù)為此在數(shù)據(jù)分組中的布置�;
圖5示意地展示了通過具有PEP的無線網(wǎng)控制裝置的IP數(shù)據(jù)分組流;
圖6展示了在這種PEP中抉擇搜索(Entscheidungsfindung)的流程圖�;
圖7展示了不同協(xié)議的效率圖(Leistungsdiagramm),以及 圖8展示了示范性的方法流程和抉擇流程?!揪唧w實施方式】
[0015]如從圖1中可以看到的那樣,示范性的通信系統(tǒng)由網(wǎng)絡(luò)方的段和用戶方的段組成���。所述的概念�,網(wǎng)絡(luò)方和用戶方,在此僅僅用來區(qū)別在通信系統(tǒng)的網(wǎng)絡(luò)支持或無線支持的段中的不同的站�。在網(wǎng)絡(luò)方,將例如以地點固定的主機(jī)ra形式的網(wǎng)絡(luò)方的站連接在核心網(wǎng)CN上�。這些網(wǎng)絡(luò)方的站通過核心網(wǎng)CN彼此通信,或與用戶方的站����,例如所謂的移動主機(jī)MH來通信。在此���,從核心網(wǎng)CN通向用戶方的站MH的通信連接�,優(yōu)選引導(dǎo)通過網(wǎng)關(guān)GW和無線網(wǎng)控制裝置RNC (Radio Network Controller,無線網(wǎng)控制器)����。在無線網(wǎng)控制裝置RNC上連接了一個或多個網(wǎng)絡(luò)方的無線站NB (節(jié)點B)�,這些網(wǎng)絡(luò)方的無線站NB可以與一個或多個用戶方的,和尤其與無線支持的站MH建立無線支持的通信連接���?��?梢愿鶕?jù)不同種類的標(biāo)準(zhǔn),例如根據(jù)因特網(wǎng)協(xié)議IP的�,和/或UMTS (通用移動電信系統(tǒng))的規(guī)定來建立通信網(wǎng)。
[0016]如從圖1中示意性的局部放大圖中可以看出的那樣,將數(shù)據(jù)或數(shù)據(jù)分組從核心網(wǎng)CN出發(fā)引導(dǎo)通過無線網(wǎng)控制裝置RNC�����。提高效率的�,或支持傳輸?shù)拇鞵EP (性能增強(qiáng)代理)位于無線網(wǎng)控制裝置RNC中,該代理PEP在功能上作為傳輸控制協(xié)議來支持TCP (傳輸控制協(xié)議)��。尤其在出現(xiàn)了高的通信負(fù)荷的時候?qū)崿F(xiàn)支持���。當(dāng)PEP主要作為裝置和/或無線網(wǎng)控制裝置RNC的功能來示出時��,PEP也可以作為獨立的裝置和/或通信系統(tǒng)中的功能來提供���,或是通信系統(tǒng)的另一個裝置的組成部分。
[0017]選擇性地通過兩個不同的數(shù)據(jù)路經(jīng)���,將到達(dá)的數(shù)據(jù)分組引導(dǎo)通過無線網(wǎng)控制裝置��,或接納PEP的裝置��。第一數(shù)據(jù)路徑X在此直接引導(dǎo)通過PEP��,而第二數(shù)據(jù)路徑Y(jié)繞過PEP��。在輸入方相應(yīng)地提供抉擇裝置和/或開關(guān)裝置SP���,做出抉擇,應(yīng)通過數(shù)據(jù)路徑X或Y中的哪一個來引導(dǎo)到達(dá)的數(shù)據(jù)分組�。開關(guān)裝置SP同樣可以構(gòu)成為獨立的裝置,而且尤其也可以是PEP的輸入方的組成部分���。
[0018]這種裝置實現(xiàn)了具有高度靈活性的PEP與數(shù)據(jù)負(fù)載率匹配的用途���,其中,也可以將業(yè)務(wù)的類型或要求的業(yè)務(wù)質(zhì)量(QoS業(yè)務(wù)質(zhì)量)用作抉擇準(zhǔn)則���,或用于某些到達(dá)的數(shù)據(jù)分組或其通信連接的其它抉擇準(zhǔn)則����。PEP匹配的用途尤其實現(xiàn)了��,不同的通信連接在以下的情況下從協(xié)議補(bǔ)充中獲益����,即不必接受安全性妥協(xié)����,或?qū)EP的用途施加另外的限制���。
[0019]當(dāng)前因此尤其要說明PEP在無線接入網(wǎng)中匹配應(yīng)用。為了示范性說明�����,但是不局限于專門的通信系統(tǒng)��,以下從下述情況出發(fā)�,將無線網(wǎng)控制裝置RNC設(shè)置為無線網(wǎng)中的網(wǎng)絡(luò)方智能單元,PEP因此設(shè)置在網(wǎng)絡(luò)方��,而功能則定位在無線網(wǎng)控制裝置中�����。但是可替代地也可以在另外的網(wǎng)絡(luò)方的裝置中�,或例如在相反的傳輸方向中也在用戶方的裝置中采用PEP,或采用PEP作為獨立的裝置���。
[0020]為了改善TCP通信連接的效率���,有利地對于較差的通信連接條件的情況��,應(yīng)在無線網(wǎng)控制裝置中實現(xiàn)PEP的功能性����。由于在無線網(wǎng)控制裝置RNC中的無線通信連接控制協(xié)議(RLC:無線鏈路控制)���,在較小的數(shù)據(jù)負(fù)荷率時自己可以處理在無線支持的通信連接中的大多數(shù)的數(shù)據(jù)分組丟失或數(shù)據(jù)丟失�����,而不至于不利地惡化這些或另外的通信連接的總傳輸速率����,所以在這種情況下不需要在無線網(wǎng)控制裝置中實施PEP的功能�。所以合理地僅在具有高數(shù)據(jù)負(fù)荷的情況下,即在以較高的概率會由于時限已到而出現(xiàn)數(shù)據(jù)傳輸請求和類似物的情況下��,激活在無線網(wǎng)控制裝置中實現(xiàn)PEP��。換言之��,特別優(yōu)選根據(jù)一種實施形式自適應(yīng)地控制使用PEP���。[0021]當(dāng)今原則上存在著運行通信連接的兩種分開的工作方式����,即一種具有分散地�����,或從PEP角度遠(yuǎn)距地監(jiān)查控制數(shù)據(jù)傳輸?shù)墓ぷ鞣绞?分散的方式)�,和一種具有集中監(jiān)查控制數(shù)據(jù)分組的工作方式。在具有遠(yuǎn)距監(jiān)查控制的工作方式中�����,將TCP通信連接實現(xiàn)為網(wǎng)絡(luò)方站!^和移動用戶方站MH之間的終端對終端通信連接�����,其中����,未安排傳輸層上的無線網(wǎng)控制裝置RNC和/或PEP的介入來用于通信連接改善。在信道條件是可以認(rèn)可的和不極端不利地影響根據(jù)協(xié)議的效率的情況下采用該工作方式�。在這些情況下,無線通信連接控制協(xié)議的功能對于支持TCP通信連接是足夠的�����。
[0022]在具有集中監(jiān)控的工作方式的情況下,相反地TCP通信連接引導(dǎo)通過用PEP或其功能性所配備的無線網(wǎng)控制裝置����,以便改善協(xié)議的效率。對于信道條件惡劣的情況���,例如由于系統(tǒng)的高負(fù)荷率�,容量上用盡的用戶方的站MH和類似的原因���,而配置了集中的工作方式��。
[0023]圖2示出了兩種工作方式���,其中,在上面的傳輸段中畫出了集中的工作方式�,而在附圖的下部畫出了遠(yuǎn)距監(jiān)控的工作方式。在此��,分別示出了網(wǎng)絡(luò)方的站FH和用戶方的站MH作為裝置�,在這些站之間建立了 TCP通信連接。無線網(wǎng)控制裝置RNC位于這些站之間�。
[0024]在集中工作方式的情況下,在無線網(wǎng)控制裝置RNC中提供了 PEP功能性��。第一TCP通信連接TCP HOST-RAN在此從網(wǎng)絡(luò)方的站!7H引導(dǎo)到無線接入網(wǎng),或其無線網(wǎng)控制裝置RNC���。第二 TCP通信連接TCP RAN從無線網(wǎng)控制裝置RNC,或其在無線接入網(wǎng)RAN的網(wǎng)絡(luò)方上的PEP功能性引導(dǎo)到向用戶方的��,或無線支持的站MH���。
[0025]在分散或遠(yuǎn)距監(jiān)控的工作方式中�,TCP通信連接TCP終端作為終端對終端通信連接直接從網(wǎng)絡(luò)方的站FH引導(dǎo)到無線支持的用戶方的站MH���。只要安排了 PEP功能性�����,在這種情況下優(yōu)選在TCP通信連接的終點中�,也就是在網(wǎng)絡(luò)方的站FH或用戶方的站MH中提供相應(yīng)的PEP功能����。
[0026]以下優(yōu)選考察一種實施形式,該實施形式經(jīng)受集中的�、通信連接方式的和可以重新配置的方法。在分散或遠(yuǎn)距監(jiān)控的工作方式期間�����,無線網(wǎng)控制裝置RNC連續(xù)監(jiān)控信道條件,例如衰落和干擾電平��。無線網(wǎng)控制裝置RNC����,或選擇性地抉擇裝置或開關(guān)裝置SP基于可使用的信息來抉擇,它是否應(yīng)在集中的工作方式下工作��。只要信道條件良好和干擾微小���,無線通信連接控制則可以毫無問題地處理出現(xiàn)的丟失��,并不進(jìn)行到集中的工作方式下的轉(zhuǎn)接����。
[0027]以下來說明用于轉(zhuǎn)接到集中的工作方式下的����,或用于選擇性引導(dǎo)到達(dá)的數(shù)據(jù)分組通過PEP的步驟。
[0028]步驟A:無線網(wǎng)控制裝置RNC連續(xù)監(jiān)控通信連接條件或信道條件��。
[0029]步驟B:如果信道條件良好或數(shù)據(jù)負(fù)荷微小,則重復(fù)步驟A�����。否則無線網(wǎng)控制裝置RNC激活具有PEP功能性的PEP模塊���。
[0030]步驟C:無線網(wǎng)控制裝置����,或選擇性地位于其中的開關(guān)裝置SP��,對于各個通信連接或數(shù)據(jù)分組從采用PEP方面來檢查其兼容性���。尤其通過安全性考慮來確定兼容性測定的結(jié)果:
在大多數(shù)情況下,PEP可以處理安全協(xié)議已應(yīng)用在其上的通信或數(shù)據(jù)分組�,其中,通常在傳輸層之上應(yīng)用安全協(xié)議����。這種層也稱作為安全的接頭層(SSL:Secured Socket Layer,安全插口層),因為所屬的SSL協(xié)議在TCP/IP(IP:因特網(wǎng)協(xié)議)之上�����,并在更高層上的協(xié)議,例如HTTP (超級文本傳輸協(xié)議)或IMAP (因特網(wǎng)消息訪問協(xié)議)之下來運行�。根據(jù)在此應(yīng)用的協(xié)議不將TCP標(biāo)題加密,使得PEP可以訪問數(shù)據(jù)���,并因此獲得巧妙處理(manipulieren)相應(yīng)的數(shù)據(jù)確認(rèn)的可能性���。例如這實現(xiàn)了,PEP給所接收的數(shù)據(jù)分組的發(fā)送者回送確認(rèn)���,該確認(rèn)否則本來會已由數(shù)據(jù)分組的本來的接收機(jī)發(fā)送到了發(fā)送機(jī)上�����。以此方式方法可以確保��,數(shù)據(jù)分組已無誤差地經(jīng)歷了直至PEP為止的路段���,使得對于繼續(xù)的發(fā)送,僅還要渡過和監(jiān)控在作為中間連接的發(fā)送機(jī)的PEP和本來的接收機(jī)����,例如在無線接口的另一側(cè)的用戶方站MH之間的路段。
[0031]當(dāng)今卻僅有有限數(shù)量的應(yīng)用包含對于采用傳輸層安全性的支持�����。另一方面可以通過任意的應(yīng)用也采用又稱為IPsec (IP安全性)的,所謂的網(wǎng)絡(luò)層安全性��。該網(wǎng)絡(luò)層安全性對于應(yīng)用是透明的��,并提供訪問控制�����,數(shù)據(jù)完整性���,鑒權(quán)和可信賴性。所有這些業(yè)務(wù)的前提是�,具備了 IP和更高層協(xié)議的保護(hù)保證。
[0032]實際上網(wǎng)絡(luò)層安全性IPsec不僅提供了信息數(shù)據(jù)的數(shù)據(jù)完整性����,而且也提供了與此有關(guān)消息的或控制數(shù)據(jù)的數(shù)據(jù)完整性,也就是例如傳輸層上的確認(rèn)(sACK)�����,使得入侵者不能使用信息�,例如網(wǎng)絡(luò)統(tǒng)計,即確認(rèn)的流,以便實施入侵�。否則黑客可能例如入侵TCP標(biāo)題,并將窗口大小改變?yōu)榱?��,這會迫使主機(jī)(Host)或發(fā)送數(shù)據(jù)的站FH或MH進(jìn)入保持(Beharrung)工作方式(持續(xù)(persist)方式),并停止發(fā)送數(shù)據(jù)����。對于入侵者也可能會再生相同的確認(rèn)號���,使得主機(jī)將相應(yīng)的確認(rèn)解釋為復(fù)制的確認(rèn)�����,這會導(dǎo)致減小窗口大小�����,并因而會導(dǎo)致減少通過量�。除此之外����,甚至于還可能促使脫落(herunterfahren)通信連接。
[0033]在將網(wǎng)絡(luò)層安全性IPsec用于防止入侵和類似事情��,即最廣泛地加密數(shù)據(jù)分組的所有情況下,以集中工作方式使用的PEP不能對通信產(chǎn)生影響�,因為它,由于IP分組的加密����,不能分析研究IP數(shù)據(jù)分組的TCP標(biāo)題。借助網(wǎng)絡(luò)層安全性IPsec的加密機(jī)制來加密IP分組���,貝1J生成具有安全有用負(fù)載標(biāo)題(ESP Encapsulating Security Payload,密封安全的有用負(fù)載)的新的數(shù)據(jù)分組���,這些新的數(shù)據(jù)分組不僅以傳輸工作方式,而且以隧道工作方式���,使得本來的TCP標(biāo)題和本來的有用負(fù)載�����,或信息數(shù)據(jù)對于PEP是不可理解的。
[0034]如從圖3A中可以看出的那樣�,通過因特網(wǎng)或核心網(wǎng)CN以一種方式方法來實現(xiàn)在網(wǎng)絡(luò)方的站FH和無線支持的站MH之間的數(shù)據(jù)分組的傳輸,在該方式方法中安全條件在傳輸工作方式下阻止對數(shù)據(jù)的訪問���。如從圖3B中可以看出的那樣����,用于在傳輸工作方式下傳輸?shù)倪@種數(shù)據(jù)分組,由一個IP標(biāo)題,一個ESP標(biāo)題和一個加密的段組成�����。加密的數(shù)據(jù)又由TCP標(biāo)題和本來的TCP有用數(shù)據(jù)或TCP信息數(shù)據(jù)組成����。
[0035]典型地在點對點通信,或?qū)Φ汝P(guān)系(Peer-to-Peer)通信中,從兩種工作方式中采用傳輸工作方式�����,以便提供中間路段用的網(wǎng)絡(luò)安全性����。相應(yīng)地將本來的數(shù)據(jù)分組加密,其中�,不將IP標(biāo)題加密,使得它可以被讀取���,并由任意的標(biāo)準(zhǔn)化的裝置或軟件功能來使用��。因此也可以由PEP使用這種數(shù)據(jù)分組��。
[0036]為此可替代地有一種隧道工作方式��,該隧道工作方式用于訪問遠(yuǎn)距離的站�,并提供從一個所在地到另一個規(guī)定所在地的安全性(實線電路和實線電路間(Side-to-Side)的安全性)。這尤其隨同包含了虛擬的專用網(wǎng)�。
[0037]如從圖4A中可以看出的那樣,例如從第一虛擬的專用網(wǎng)VPN I向第二虛擬的專用網(wǎng)VPN 2建立數(shù)據(jù)通信連接�����。分別在這些虛擬的專用網(wǎng)VPN 1,VPN 2中的每一個上�����,中間連接了路由器�,即用作為通向因特網(wǎng)或任意另外網(wǎng)絡(luò)的安全網(wǎng)關(guān)的引導(dǎo)裝置。通常位于該兩個路由器之間的通信連接路段上有其它的路由器����,這些其它的路由器組織數(shù)據(jù)分組通過中間連接的網(wǎng)絡(luò)的轉(zhuǎn)送。
[0038]如從圖4B中可以看出的那樣�,在隧道工作方式時將要發(fā)送的數(shù)據(jù)分組完全加密����,并以新的數(shù)據(jù)分組的形式通過中間連接的網(wǎng)絡(luò)來發(fā)送���。這種具有網(wǎng)絡(luò)層安全性加密IPsec的發(fā)送數(shù)據(jù)分組通常包括一個新的IP標(biāo)題,該IP標(biāo)題指向目標(biāo)地址��,或安全的中間站����。在該IP標(biāo)題之后跟隨著ESP標(biāo)題。然后一個序列數(shù)據(jù)掛在此后���,該序列數(shù)據(jù)是完全加密的�,并包括本來的原始IP標(biāo)題���,TCP標(biāo)題和TCP數(shù)據(jù)���。在此因而完全加密了本來IP標(biāo)題的原始信息,使得它對于PEP或另外的中間連接的裝置和功能是不可利用的��。由標(biāo)題和有用負(fù)載組成的整個原始的數(shù)據(jù)分組因而被加密�,并獲得根據(jù)網(wǎng)絡(luò)層安全性IPsec預(yù)先規(guī)定的新標(biāo)題,其中�,該新的標(biāo)題劃分為至少一個ESP標(biāo)題字段和至少一個具有自動附件(Anhang)(Trailer,尾部)的IP標(biāo)題字段�,使得受保護(hù)的所在地的布局隱匿在數(shù)據(jù)通信連接的本來的末端上����。
[0039]當(dāng)在圖4A實施例的以上說明中出發(fā)點曾在于�,所有中間連接的站都不能訪問本來加密的數(shù)據(jù),使得完全加密的數(shù)據(jù)分組沒有利用提高效率的功能的可能性地通過PEP模塊�����,或圍繞該PEP模塊來迂回傳送的時候��,則也有可能����,相應(yīng)的用戶可以信賴中間連接的站中的,例如圖4A的路由器中的PEP���,并將密鑰通知該PEP���。在這種情況下,在終端系統(tǒng)之間中間連接的PEP為了它的處理目的在此期間取消網(wǎng)絡(luò)層安全性IPsec��,使得可以使用它的提高效率的功能��。在通常的情況下��,終端方系統(tǒng)的用戶卻不信任中間連接的PEP��,因為沒有任何東西像終端對終端安全性那樣安全���,因為當(dāng)為了布置在中間的處理而將通信或數(shù)據(jù)解密時�����,存在著可能泄露它們的危險�。
[0040]對于將中間連接的網(wǎng)絡(luò)認(rèn)可為安全的網(wǎng)絡(luò)和獲得告知解密碼的情況�����,也有可能���,僅在直至這種中間連接的網(wǎng)絡(luò)為止的路段上��,和在從該中間連接的網(wǎng)絡(luò)通向下一個安全點的路段上���,根據(jù)網(wǎng)絡(luò)層安全性IPsec加密地來傳輸數(shù)據(jù)分組,而在中間連接的安全的網(wǎng)絡(luò)之內(nèi)不加密地�����,或用較少費事的加密根據(jù)傳輸工作方式來進(jìn)行傳輸。在這種情況下�����,因而在通信連接線路的不同路段上以不同的方式方法來實現(xiàn)安全性�����,使得在中間連接的網(wǎng)絡(luò)中可以以有利的方式方法來使用PEP�。一種可能的措施是所謂的多層IP安全性,在該多層IP安全性中在一個層上將TCP標(biāo)題加密�����,并且PEP包含用于TCP標(biāo)題解密的安全關(guān)聯(lián)性(Assoziation)���,其中���,經(jīng)越整個的終端對終端線路來加密TCP有用負(fù)載,即本來的信息數(shù)據(jù)�。這使得面對運營商和PEP的功能性的信任較少重要,當(dāng)然提高了網(wǎng)絡(luò)層安全性方案的復(fù)雜性��。
[0041 ] 站或其使用者/用戶因而具有選擇網(wǎng)絡(luò)層安全性IPsec的可能性,其中�,此外還可以確定采用防止入侵的一種高的安全度,但卻也不實現(xiàn)在較有效的數(shù)據(jù)傳輸方面的妥協(xié)���,或者例如在正常應(yīng)用時關(guān)斷高的安全性,這具有從較高數(shù)據(jù)通過量的角度涉及安全性的妥協(xié)的后果����。合理地應(yīng)如此來配置站或主機(jī)MH或ra,使得支持兩種分組類型��,加密的和不加密的分組���。
[0042]為了在網(wǎng)絡(luò)方�,或從支持PEP的裝置方可以相應(yīng)地正確處理到達(dá)的數(shù)據(jù)分組����,提供一個小的執(zhí)行抉擇的裝置,當(dāng)前把開關(guān)裝置SP作為抉擇裝置�。當(dāng)前例如布置在無線網(wǎng)控制裝置RNC中的抉擇裝置或開關(guān)裝置SP,對于未曾將網(wǎng)絡(luò)層安全性IPsec應(yīng)用于數(shù)據(jù)分組的情況�,向PEP轉(zhuǎn)送該數(shù)據(jù)分組,尤其IP數(shù)據(jù)分組�����,并讓借助網(wǎng)絡(luò)層安全性IPsec加密的數(shù)據(jù)分組在PEP旁通過。在圖1和圖5中示意地示出了相應(yīng)的數(shù)據(jù)路徑X或Y��。對于雙向傳輸數(shù)據(jù)分組的情況��,合理地也在這種裝置的另一側(cè)上設(shè)置抉擇裝置SP�����,用于在相反方向上傳輸數(shù)據(jù)分組����。
[0043]為了可以識別,是否或如何編碼了所接收的數(shù)據(jù)分組���,可以在數(shù)據(jù)分組中根據(jù)在這里示范性的因特網(wǎng)協(xié)議IP�,追查標(biāo)題中的字段����,在該字段中說明了,曾采用了何種協(xié)議類型��。使用記錄在該字段中的符號�,通常為一個數(shù)字�����,采取的(ZUgreifende)應(yīng)用可以容易地確定���,是否用像網(wǎng)絡(luò)層安全性IPsec那樣的安全功能性保護(hù)了相應(yīng)的數(shù)據(jù)分組,并隨即采取在進(jìn)一步處理該數(shù)據(jù)分組方面的抉擇����。根據(jù)標(biāo)準(zhǔn)IPv4將標(biāo)題中的該字段表示為“protocol�����,協(xié)議“�����,并根據(jù)IPv6將該字段表示為“next header���,下一個標(biāo)題“���。對于存在著ESP標(biāo)題的情況,根據(jù)當(dāng)今通常的協(xié)議該字段含有十進(jìn)制數(shù)字50�。
[0044]對于PEP值得信賴�,即具有安全性分配密鑰的情況����,將數(shù)據(jù)分組解密,引導(dǎo)通過PEP模塊���,并然后重新加密�,以及最后向數(shù)據(jù)分組的目標(biāo)地址轉(zhuǎn)送�����。
[0045]圖5展示了 IP分組從一個站穿過無線網(wǎng)控制裝置RNC向另一個站的傳輸����。在所示出的實施形式中,不僅在加密的分組和未加密的分組之間���,而且附加地也在具有存在于該裝置中的所分配的安全性分配密鑰的加密的分組之間做出區(qū)分�����。由抉擇裝置SP通過直接的數(shù)據(jù)路徑Y(jié)����,將對其不存在密鑰的加密分組向無線網(wǎng)控制裝置的輸出端來引導(dǎo)。因此對于這些數(shù)據(jù)分組進(jìn)行透明的傳輸�����。與此相反地�,通過另一個數(shù)據(jù)路徑X向PEP引導(dǎo)未加密的分組和在該裝置中可能被解密的分組,以便在那里按照它的功能性來處理�。隨后進(jìn)行重新的加密,并通過無線網(wǎng)控制裝置的輸出端在本來的接收站方向上進(jìn)行繼續(xù)傳輸��。在此����,可以選擇性地在抉擇裝置SP�,PEP,或該總裝置的一個其它的裝置中��,從事數(shù)據(jù)分組的加密和解密����,對于這些數(shù)據(jù)分組在該裝置中存在著一對密鑰。相應(yīng)的內(nèi)容當(dāng)然也適合于用于轉(zhuǎn)送數(shù)據(jù)分組的重新加密��。
[0046]圖6表明了在抉擇裝置SP中����,從安全性特征的角度在該裝置中必要的控制方法的一種可能流程���。在一個數(shù)據(jù)分組到達(dá)抉擇裝置SP中之后啟動方法流程(啟動)。在第一抉擇步驟中來檢查����,IP標(biāo)題的“協(xié)議“字段中的十進(jìn)制數(shù)字是否具有值“50 “。如果不是這種情況���,則直接通過數(shù)據(jù)路徑X向PEP模塊轉(zhuǎn)送該數(shù)據(jù)分組��。如果值符合“50 “�,則檢驗�����,PEP是否是安全系統(tǒng)的部分�����,以及是否在裝置中存在著相應(yīng)的安全密鑰���。如果是肯定的��,則同樣通過數(shù)據(jù)路徑X向PEP模塊轉(zhuǎn)送該數(shù)據(jù)分組��。如果是否定的�����,則直接通過數(shù)據(jù)路徑Y(jié)向裝置的輸出端�����,或在目標(biāo)地址的方向上轉(zhuǎn)送數(shù)據(jù)分組����。在那里相應(yīng)地處理輸送給PEP模塊的數(shù)據(jù)分組,并在重新加密之后同樣向裝置(RNC)的輸出端轉(zhuǎn)送���。
[0047]除此之外可以考慮許多其它的功能,例如對于大多數(shù)的IPsec實現(xiàn)有可能的是���,這些IPsec實現(xiàn)具有在兩個不同的IP地址之間的安全關(guān)聯(lián)性��,并且只要實現(xiàn)了像在圖6中示出的第二查詢步驟中那樣的這種功能性��,就可以相應(yīng)地接通或關(guān)斷這些安全關(guān)聯(lián)性����。當(dāng)然對于其它的安全協(xié)議和安全系統(tǒng),也可以附加或替代地轉(zhuǎn)換同樣的內(nèi)容�����。在具有PEP的裝置中這種方法流程�,給數(shù)據(jù)分組的發(fā)送機(jī)或發(fā)送站提供了巨大的靈活性,因為在發(fā)出數(shù)據(jù)分組時可以選出��,這些數(shù)據(jù)分組是否應(yīng)根據(jù)網(wǎng)絡(luò)層安全性IPsec來加密�����,應(yīng)根據(jù)較簡單的安全系統(tǒng)來加密�,或應(yīng)沒有任何保護(hù)地來自由傳輸。
[0048]因此在發(fā)送數(shù)據(jù)分組時可以在發(fā)送機(jī)方抉擇����,是否應(yīng)在集中的工作方式下,或在遠(yuǎn)距監(jiān)控的工作方式(分散的模式)下來傳輸數(shù)據(jù)分組�,其中,相應(yīng)地可以由通信連接線路上的一個或多個PEP根本不能����,完全能���,或僅在值得信賴的PEP時充分利用功能性。
[0049]最后���,集中的工作方式提供了高的通過量�����,并與尤其是預(yù)先規(guī)定的地點固定的主機(jī)作為網(wǎng)絡(luò)方的站FH來起作用���。不過在此在無線網(wǎng)控制裝置RNC,或接納PEP的裝置之內(nèi)的切換期間���,容忍信令超載(shifting context��,移動前后關(guān)系)���。前后關(guān)系在此對于用于傳輸無線網(wǎng)控制裝置之內(nèi)的轉(zhuǎn)交(iibergabe或切換)功能是必要的。此外����,安全性方面的妥協(xié)是必要的。與此相反在具有遠(yuǎn)距監(jiān)控的工作方式下具備了較高的安全性�,而在無線網(wǎng)控制裝置RNC之內(nèi)轉(zhuǎn)交時信令工作量是較少的。不過在這種情況下��,如果應(yīng)確保盡可能最佳的支持����,在數(shù)據(jù)通信連接的終端上的站FH則必須懂得PEP協(xié)議。
[0050]兩種工作方式在此基于兩種不同的措施(Ansatz)���,用于在有丟失系統(tǒng)中��,即尤其在無線支持網(wǎng)絡(luò)中的TCP上來改善效率����。在PEP實現(xiàn)在無線網(wǎng)控制裝置中的集中工作方式的情況下����,代理,即PEP���,掩蓋來自或相對于TCP發(fā)送機(jī)的任何非阻塞決定的丟失���,并因此使得在已有發(fā)送機(jī)實現(xiàn)方面的變化成為不必要����。在該措施后面的直覺在于���,問題是局部的�����,并應(yīng)局部地����,即僅在無線支持的通信連接的范圍內(nèi)���,而不在固定網(wǎng)中的通信連接線路的其它范圍內(nèi)加以解決���。
[0051]在具有遠(yuǎn)距監(jiān)控工作方式的情況下,通過采用選擇性的確認(rèn)SACK (選擇性的確認(rèn))���,或采用清晰的丟失報告ELN (清晰的丟失通知)來處理無線支持的通信連接上的丟失�。
[0052]集中工作方式中的一個實例是當(dāng)前用于TCP可靠的通信連接層協(xié)議�,例如像已由UC Burkley開發(fā)的所謂的SNOOP協(xié)議。模擬已經(jīng)展示了�,尤其在比較高的比特誤差概率時該措施提供效率的改善�����。可以用以下的說明來描述主要特征:一個PEP模塊捕獲進(jìn)入的分組��。在無線支持的通信連接上的分組丟失的情況下�,PEP模塊重新從其緩沖存儲器,或超高速緩沖存儲器中發(fā)送丟失的分組�����,阻塞所有復(fù)制的確認(rèn)���,并防止這些復(fù)制的確認(rèn)到達(dá)原始發(fā)送的主機(jī)或發(fā)送站FH����,因為未調(diào)用阻塞控制算法或類似物����,并可以保住通過量。在該措施上的缺點在于����,在無線網(wǎng)控制裝置RNC之內(nèi)的轉(zhuǎn)交可能由于在通信連接狀態(tài)下的傳輸而引起滯后�����,在無線網(wǎng)控制裝置中存儲了該通信連接狀態(tài)�����。此外�,該措施與網(wǎng)絡(luò)層安全性IPsec的采用不兼容�,因為不能,或僅選擇性地可能訪問完全加密的TCP標(biāo)題�。
[0053]具有遠(yuǎn)距監(jiān)控的工作方式使得終端對終端協(xié)議成為必要,這些終端對終端協(xié)議要求TCP發(fā)送機(jī)�,當(dāng)前網(wǎng)絡(luò)方的站FH,通過采用兩種技術(shù)來處理丟失�。首先,相應(yīng)的站采用一種類型的選擇性確認(rèn)(SACK)��,以便使得發(fā)送機(jī)有可能�,沒有重新分類地在一個粗略的時間過程窗口中,重新發(fā)送在一個時間窗口中的甚至多個丟失分組��。選擇性確認(rèn)SACK RFC的當(dāng)今公知的方案建議�����,每個確認(rèn)含有關(guān)于直至三個不相鄰數(shù)據(jù)塊的信息,這些數(shù)據(jù)塊已由接收機(jī)成功地接收���。每個數(shù)據(jù)塊通過其開始序列號和末端序列號來描述����。由于塊的數(shù)量有限�,最好通過盡可能最后接收的塊來通知發(fā)送機(jī)�。其次,它們嘗試���,通過采用明確的丟失通知(ELN)使得發(fā)送機(jī)有可能區(qū)分阻塞和丟失的其它形式���。如果出現(xiàn)了非阻塞決定的丟失,發(fā)送機(jī)于是可以避免啟動阻塞控制算法���。在該方法中將通信連接層上分組的不利影響向傳輸層轉(zhuǎn)送�,該傳輸層發(fā)送具有對于已丟失分組的復(fù)制確認(rèn)的ELN通知�����。
[0054]具有選擇性確認(rèn)SACK的終端對終端措施展示了在平均誤差率時良好的效率�����,是可以簡單地實現(xiàn)的,并與網(wǎng)絡(luò)層安全性IPsec的應(yīng)用可兼容��。
[0055]圖7表明了用于根據(jù)上述措施不同傳輸數(shù)據(jù)方法的模擬��。在此���,以虛線示出了典型的無線支持的環(huán)境����,該環(huán)境具有不采用PEP的終端對終端TCP通信連接��。在每千字節(jié)的平均比特誤差率為O至250范圍時�,通過量(以Mbps為單位)從大約0.1連續(xù)地增加到1.4。與其它的傳輸速率相比較��,每個相對比特誤差率的通過量卻始終是最小的����。實線示出了在典型集中工作方式時的效率,該工作方式相對于終端對終端協(xié)議提供了信息通過量高得多的速率����。在平均比特誤差率為O時����,通過量已經(jīng)為多于1.0 Mbps�。兩個另外的協(xié)議,E2E-SACK和E2E-ELN���,是用從通信連接線路上的裝置的角度在遠(yuǎn)距監(jiān)控實現(xiàn)工作方式的實例�。對于該兩個系統(tǒng)����,終端對終端TCP協(xié)議效率的加點線�,即E2E-SACK,通過采用選擇性確認(rèn)提供了最好的通過量��,并可以看作為具有遠(yuǎn)距監(jiān)控的分散工作方式最強(qiáng)的協(xié)議��。在平均比特誤差率為零時���,開始的通過量接近0.6 Mbps��。在每千字節(jié)的平均比特誤差率為250時�,所有四個示出的曲線接近1.4 Mbps的通過量。
[0056]總之�����,因此尤其應(yīng)強(qiáng)調(diào)自適應(yīng)地采用PEP�,這使得在網(wǎng)絡(luò)內(nèi)中間連接的裝置,尤其像無線網(wǎng)控制裝置RNC有可能在無線接入網(wǎng)中抉擇���,是否應(yīng)設(shè)置直接通向無線支持站MH的TCP通信連接��,以便直接轉(zhuǎn)送所接收的數(shù)據(jù)分組,或是否應(yīng)引導(dǎo)所接收的數(shù)據(jù)分組通過PEP模塊�����,以便可以通過添加PEP來從效率提高中獲取好處。抉擇裝置或開關(guān)裝置SP也是有利的���,該抉擇裝置或開關(guān)裝置SP可以不僅按數(shù)據(jù)加密與否的準(zhǔn)則來區(qū)分�,而且可以附加地區(qū)分,在加密數(shù)據(jù)分組的情況下是否存在著所分配的密鑰�,或一對所分配的密鑰。尤其也可以轉(zhuǎn)換不同的PEP實施����,以便對于不存在任何安全性限制的情況����,可以實行通向PEP的連接����。這種處理方式(Verfahrensweise),或相應(yīng)裝置的采用在極其不同類型的無線接入網(wǎng)中����,尤其是在其中需要某種程度基于IP業(yè)務(wù)的無線接入網(wǎng)是合宜的����。
[0057]圖8示意地示出了在這種通信系統(tǒng)中����,抉擇搜索和功能分配的不同流程����。左邊的列描述了網(wǎng)絡(luò)方的站FH的功能和活動。第二列描述了在固定網(wǎng)的���,或當(dāng)前無線接入網(wǎng)的裝置中的相應(yīng)的功能和活動,該裝置可以選擇性地承擔(dān)PEP功能性���。當(dāng)前這是無線網(wǎng)控制裝置RNC���。第三列給出了在各自為通信連接所采用的信道上的傳輸條件����。在第四列中描述了另外的終端方的站的�����,當(dāng)前為無線支持的移動站MH的功能性或活動性�����。在示圖中應(yīng)假設(shè)時間流程從上向下��,其中�,示出了四個方法段����。
[0058]在開始時假設(shè)�����,網(wǎng)絡(luò)方的站處于分散的工作方式�,即處于具有在通信連接終點上監(jiān)控的工作方式�。網(wǎng)絡(luò)方的站FH相應(yīng)地也具有PEP功能性����。無線網(wǎng)控制裝置RNC同樣處于分散的工作方式���,并因此從數(shù)據(jù)分組的角度看是處于靜止?fàn)顟B(tài)(空閑)����。無線支持的站MH同樣處于分散的工作方式���,并相應(yīng)地也具有PEP功能性��。
[0059]如果在稍后的時刻從信道出發(fā)向無線網(wǎng)控制裝置通告了����,或在該無線網(wǎng)控制裝置中識別了信道條件的惡化��,無線網(wǎng)控制裝置RNC則向移動或無線支持的站MH發(fā)送用于變換到集中工作方式的請求����,該移動或無線支持的站MH當(dāng)前被看作為發(fā)送數(shù)據(jù)分組的站MH����。如果無線支持的站MH出于安全原因或其它的原因而拒絕改變工作方式�,站則保持在它們迄今的狀態(tài)下。在此之下簡述的第二種情況示出了以下的態(tài)勢���,即根據(jù)變換到集中工作方式的請求�����,由無線支持的站MH發(fā)送認(rèn)可了該變換的通知到無線網(wǎng)控制裝置RNC上���。隨即����,無線網(wǎng)控制裝置通過給網(wǎng)絡(luò)方的站FH和無線支持的站MH相應(yīng)的通知����,來促使再配置這些站或終端��,使得實現(xiàn)到集中工作方式的變換���,正如這在下一行中所示出的那樣�。在該集中工作方式下��,PEP功能性向無線網(wǎng)控制裝置RNC變換,而呈現(xiàn)為所建立傳輸通信連接的終端方站的兩個另外的站FH或MH�����,則在PEP功能性方面進(jìn)入靜止?fàn)顟B(tài)���。
[0060]在由無線網(wǎng)控制裝置在稍后時刻獲知信道條件改善之后,無線網(wǎng)控制裝置RNC向兩個通信連接終端方的站FH和MH��,發(fā)送用于改變到遠(yuǎn)距監(jiān)控工作方式的請求。對于由這些站MH中的一個由于例如必要的實時業(yè)務(wù)限制而回送拒絕請求的情況��,這些站則保持在集中的工作方式。對于根據(jù)兩個通信連接終端方的站FH和MH的請求接收認(rèn)可通知的情況�����,無線網(wǎng)控制裝置RNC發(fā)送變換到分散工作方式的相應(yīng)指令到這些站上。
【權(quán)利要求】
1.用于在通信系統(tǒng)中傳輸數(shù)據(jù)分組的方法�,該通信系統(tǒng)具有在數(shù)據(jù)分組的發(fā)送站(FH ;MH)和接收站(MH �;FH)之間的傳輸路段,和具有用于支持在所述傳輸路段的至少一個部分上傳輸?shù)?����、連接在其間的支持裝置(PEP),在此方法中�����, 所述的支持裝置(PEP)接收并向所述的接收站(MH �;FH)發(fā)送來自所述發(fā)送站(冊�����;MH)的數(shù)據(jù)分組�����,并借助標(biāo)題數(shù)據(jù)在所述傳輸路段的受支持部分上監(jiān)控所述數(shù)據(jù)分組的傳輸�, 其特征在于, 抉擇裝置(SP)引導(dǎo)加 密的數(shù)據(jù)分組在所述的支持裝置(PEP)旁經(jīng)過��,這些加密的數(shù)據(jù)分組不為所述的支持裝置(PEP)所知�����, 取決于系統(tǒng)負(fù)荷在所述的抉擇裝置(SP)中做出抉擇����,并且 將加密的數(shù)據(jù)分組和/或消息引導(dǎo)給所述的支持裝置(PEP),對于這些加密的數(shù)據(jù)分組和/或消息存在著密鑰����,用于將至少對于所述的支持裝置(PEP)必要的標(biāo)題數(shù)據(jù)解密。
2.按照權(quán)利要求1所述的方法���,其中�, 所述的支持裝置(PEP)接收和向所述的發(fā)送站(冊;MH)發(fā)送所述接收站(MH �;FH)的有關(guān)所述數(shù)據(jù)分組的消息(sACK)��,以及 所述的抉擇裝置(SP)引導(dǎo)加密的消息在所述的支持裝置(PEP)旁經(jīng)過��,這些加密的消息在所述的支持裝置(PEP)中對于處理不能被充分識別��。
3.按照權(quán)利要求1或2所述的方法��,其中����, 所述的支持裝置(PEP)支持通過無線接口的傳輸���。
4.按照權(quán)利要求1或2所述的方法,其中����, 取決于發(fā)送站方(FH ;MH)預(yù)先規(guī)定的安全性準(zhǔn)則,在所述的抉擇裝置(SP)中對于所述的傳輸做出抉擇�。
5.按照權(quán)利要求1或2所述的方法,其中�, 通過TCP通信連接進(jìn)行所述的傳輸。
6.按照權(quán)利要求1所述的方法���,其中�, 在轉(zhuǎn)送之前重新加密所述的數(shù)據(jù)分組和/或消息。
7.按照權(quán)利要求1或2所述的方法���,其中���, 根據(jù)基于IP的業(yè)務(wù)準(zhǔn)則來執(zhí)行所述數(shù)據(jù)分組和消息的傳輸。
8.一種裝置�����,具有 支持裝置(PEP)�,用于取決于數(shù)據(jù)分組的標(biāo)題數(shù)據(jù)����,在通信系統(tǒng)中的傳輸路段的受支持部分上,支持將發(fā)送站(FH ����;MH)的數(shù)據(jù)分組向接收站(MH ���;FH)傳輸����, 其特征在于��, 具有抉擇裝置(SP), 用于引導(dǎo)加密的數(shù)據(jù)分組在所述的支持裝置(PEP)旁經(jīng)過����,這些加密的數(shù)據(jù)分組不為所述的支持裝置(PEP)所知���,其中取決于系統(tǒng)負(fù)荷在所述的抉擇裝置(SP)中做出抉擇,并且 用于將加密的數(shù)據(jù)分組和/或消息引導(dǎo)給所述的支持裝置(PEP)����,對于這些加密的數(shù)據(jù)分組和/或消息存在著密鑰,用于將至少對于所述的支持裝置(PEP)必要的標(biāo)題數(shù)據(jù)解LU O
9.按照權(quán)利要求8所述的裝置�����,其中��,附加地構(gòu)成了所述的支持裝置(PEP)���,用于取決于所述消息的標(biāo)題數(shù)據(jù)����,支持在傳輸路段的受支持部分上傳輸接收站(MH �����;FH)的分配給所述數(shù)據(jù)分組的消息�,以及 附加地構(gòu)成了所述的抉擇裝置(SP)����,用于抉擇將所述接收的消息引導(dǎo)到所述的支持裝置(PEP )上����,或在該支持裝置(PEP )旁引導(dǎo)經(jīng)過。
【文檔編號】H04L29/08GK103997501SQ201410245086
【公開日】2014年8月20日 申請日期:2003年4月15日 優(yōu)先權(quán)日:2002年4月26日
【發(fā)明者】N.阿斯薩夫, M.迪爾林格, 羅濟(jì)軍, L.梅內(nèi)德滋 申請人:西門子公司