專利名稱:提供移動(dòng)節(jié)點(diǎn)之間路由優(yōu)化安全會(huì)話連續(xù)性的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及移動(dòng)聯(lián)網(wǎng)��,并且更具體涉及包括一個(gè)或多個(gè)移動(dòng)節(jié)點(diǎn)的低時(shí)延安全聯(lián)網(wǎng)�。
背景技術(shù):
與固定(即非無線)網(wǎng)絡(luò)相比,無線通信的特性增加了提供無線環(huán)境中的安全通信的難度����。另一方面,例如全球移動(dòng)通信系統(tǒng)(GSM)����、個(gè)人通信系統(tǒng)(PCS)和碼分多址(CDMA)的����、曾經(jīng)是主要電路交換語音網(wǎng)絡(luò)的無線網(wǎng)絡(luò),通常還未提供完全的互聯(lián)網(wǎng)接入����,并且因此在某種程度上避免了例如互聯(lián)網(wǎng)中的那些典型的弱點(diǎn)。隨著互聯(lián)網(wǎng)協(xié)議(IP)多媒體子系統(tǒng)(IMS)解決方案和相關(guān)技術(shù)的引入����,數(shù)據(jù)、語音和視頻可以經(jīng)由互聯(lián)網(wǎng)通過無線連接訪問���,其中所述無線連接例如是使用通用移動(dòng)電信系統(tǒng)(UMTS)和碼分多址2000(CDMA2000���,例如國際移動(dòng)電信(IMT)-CDMA多載波��、相位1無線傳輸技術(shù)(1xRTT����,phase 1 radio transmissiontechnology)�,或相位3無線傳輸技術(shù)(3xRTT))的連接。移動(dòng)設(shè)備具有與使用異構(gòu)無線接入網(wǎng)絡(luò)的多無線接口合作的能力�。移動(dòng)用戶也已經(jīng)變?yōu)椤罢嬲苿?dòng)的”,因?yàn)槠洳皇芟抻谝苿?dòng)設(shè)備�、網(wǎng)絡(luò)和應(yīng)用。然而��,通常仍然期望保護(hù)個(gè)體之間傳送的信息��,其可以證明為私有和公共通信之間的區(qū)別�。私密性是有益的,這不僅從網(wǎng)絡(luò)角度來說而且還根據(jù)端到端通信模型�����。
問題在于向?qū)儆谙嗤虻囊苿?dòng)用戶提供IP應(yīng)用業(yè)務(wù)機(jī)密性的困難�����。迄今所面臨的挑戰(zhàn)是優(yōu)選地總是確保移動(dòng)節(jié)點(diǎn)(MN)(或MN和一個(gè)或多個(gè)固定節(jié)點(diǎn))之間通信中與固定內(nèi)聯(lián)網(wǎng)(例如固定公司環(huán)境或固定家庭環(huán)境)中所提供的類似的機(jī)密性和完整性級(jí)別。
機(jī)密性和移動(dòng)性目標(biāo)還未被完全達(dá)到�。一方面,互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)議可以被用于協(xié)商用于虛擬專用網(wǎng)(VPN)的隧道的安全關(guān)聯(lián)(SA)�。另一方面,移動(dòng)IP(MIP)協(xié)議可以被用于支持IP節(jié)點(diǎn)的移動(dòng)性����。當(dāng)一起使用時(shí)出現(xiàn)下面的問題VPN隧道(VPN T)的SA與兩個(gè)IP地址有關(guān),一個(gè)用于隧道的每個(gè)端點(diǎn)���。MN具有雙重身份一永久家鄉(xiāng)地址(HoA�,permanent home address)和臨時(shí)轉(zhuǎn)交地址(CoA�����,temporary care-ofaddress)��,其通常與MN的地理位值有關(guān)��。HoA被用于標(biāo)識(shí)VPN隧道的端點(diǎn)��。從HoA�,業(yè)務(wù)可以被重定向到MN的當(dāng)前位值����。如果CoA被用作VPN隧道的端點(diǎn)�����,則每當(dāng)CoA改變時(shí)提供用于更新SA的機(jī)制�����。
一種稱為安全通用移動(dòng)性(SUM�����,Secure Universal Mobility)的結(jié)構(gòu)試圖同時(shí)解決機(jī)密性和移動(dòng)性����。定義了三個(gè)不同的區(qū)域���。一個(gè)這種區(qū)域是內(nèi)聯(lián)網(wǎng)�,其是由防火墻保護(hù)的可信區(qū)�。第二區(qū)域是非軍事區(qū)(DMZ,de-militarized zone)����,其可以通過另一具有較弱控制的防火墻從內(nèi)聯(lián)網(wǎng)外部接入�。第三區(qū)域是公共互聯(lián)網(wǎng)�����,其可以假設(shè)為不是固有安全的��。SUM是基于MIP的�����。每個(gè)MN具有兩個(gè)HoA-內(nèi)部HoA(i-HoA)和外部HoA(x-HoA)��。i-HoA用作內(nèi)聯(lián)網(wǎng)的私有地址空間中的身份����。x-HoA用作互聯(lián)網(wǎng)的公共地址空間中的身份。存在兩種家鄉(xiāng)代理(HA)��,即內(nèi)部HA(i-HA)和外部HA(x-HA)���。i-HA處理內(nèi)聯(lián)網(wǎng)移動(dòng)性并且保持對內(nèi)部CoA(i-CoA)到內(nèi)部HoA(i-HoA)的綁定的跟蹤。x-HA處理外部移動(dòng)性并且保持對外部CoA(x-CoA)到外部HoA(x-HoA)的綁定的跟蹤���。x-HA位于DMZ中���。存在橋接內(nèi)聯(lián)網(wǎng)和DMZ的VPN網(wǎng)關(guān)(VPN GW)����。當(dāng)MN在互聯(lián)網(wǎng)中時(shí)�,數(shù)據(jù)業(yè)務(wù)的機(jī)密性和完整性是利用IP安全(IPSec)隧道來提供的,所述IP安全隧道的端點(diǎn)是VPN GW的公共地址和MN的x-HoA�。
全部三個(gè)隧道被建立,以向訪問外地網(wǎng)絡(luò)的MN提供內(nèi)聯(lián)網(wǎng)私有接入�。在獲取x-CoA之后,MN將該x-CoA注冊到x-HA���,由此將x-HoA與x-CoA綁定�。這導(dǎo)致端點(diǎn)是x-HA的地址和MN的x-CoA的MIP隧道的建立����。然后,MN利用其x-HoA發(fā)起與VPN GW的IPSec隧道的建立�����。這導(dǎo)致對MN的私有內(nèi)聯(lián)網(wǎng)上入口的創(chuàng)建����。MN然后注冊綁定���,該綁定包括與MN的i-HoA配對的VPN GW的內(nèi)聯(lián)網(wǎng)地址。這導(dǎo)致i-HA與VPN GW之間的MIP類型的第三隧道的創(chuàng)建�。
去往MN的內(nèi)聯(lián)網(wǎng)業(yè)務(wù)被i-HA截獲,然后隧道發(fā)送到VPN GW�����。后者利用VPN隧道安全地將業(yè)務(wù)重定向到MN的x-HoA���。業(yè)務(wù)被x-HA截獲����,該x-HA又將其隧道發(fā)送到MN的當(dāng)前位置�。
如果SA被綁定到x-CoA,則SA的重新協(xié)商必須在每次MN獲得新的x-CoA時(shí)被執(zhí)行�。建立時(shí)間包括最少四個(gè)往返時(shí)間(RTT),如下一個(gè)RTT用于內(nèi)部注冊��,最少兩個(gè)RTT用于IPSec隧道建立(假設(shè)使用IKE協(xié)議)��,以及一個(gè)RTT用于外部注冊���。去往MN的內(nèi)聯(lián)網(wǎng)業(yè)務(wù)通過兩個(gè)HA���。該方法經(jīng)歷了雙倍三角路由,這是指由多次穿過三角網(wǎng)絡(luò)拓?fù)渌斐傻乃膫€(gè)RTT的網(wǎng)絡(luò)時(shí)延����。
當(dāng)訪問外地網(wǎng)絡(luò)時(shí),從通信節(jié)點(diǎn)(CN)到MN的業(yè)務(wù)首先被遞送到內(nèi)部家鄉(xiāng)網(wǎng)絡(luò)�。在家鄉(xiāng)網(wǎng)絡(luò)中,i-HA知道MN離開這一事實(shí)���。它截獲去往MN的業(yè)務(wù)并將其隧道發(fā)送到MN的當(dāng)前位置��。因此���,去往該MN的業(yè)務(wù)經(jīng)歷了雙倍網(wǎng)絡(luò)時(shí)延。
上述技術(shù)不足以解決當(dāng)兩個(gè)MN在都位于內(nèi)聯(lián)網(wǎng)(例如受保護(hù)子網(wǎng))外部時(shí)相互通信這一情況��。此外���,它們對于僅一個(gè)MN在外部時(shí)的情況帶來一些缺陷����。同樣��,它們不能提供被優(yōu)化為支持低時(shí)延連接的路徑����。時(shí)延(以及時(shí)延變化)會(huì)降低性能�����。因此��,需要一種方法和裝置來在一個(gè)或多個(gè)MN經(jīng)由不能被合理假設(shè)為固有安全的連接進(jìn)行通信時(shí)實(shí)現(xiàn)安全和高效的通信�����。
通過參考附圖�,本發(fā)明可以被更好地理解并且其特征對本領(lǐng)域技術(shù)人員變得明顯���。
圖1是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的裝置的框圖�;圖2是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的移動(dòng)感知網(wǎng)關(guān)(MAG)105的框圖�;圖3示出了根據(jù)本發(fā)明至少一個(gè)實(shí)施例的包括MN 103/104和CN 110的單元之間的連接;圖4示出了根據(jù)本發(fā)明至少一個(gè)實(shí)施例的包括MN1 103和MN2 104的單元之間的連接�����;圖5是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的涉及MN與CN之間的通信的方法的流程圖;圖6是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟501的方法的流程圖�;圖7是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟503的方法的流程圖;圖8是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟506的方法的流程圖��;圖9是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟502的方法的流程圖��;圖10是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟505的方法的流程圖���;圖11是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的涉及第一MN與第二MN之間的通信的方法的流程圖;圖12是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例而傳送的信息的框圖��;圖13是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例而傳送的信息的框圖�����;圖14是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的裝置的框圖�����;圖15是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的裝置的框圖��。
不同圖中使用的相同參考標(biāo)記指示相似或相同的部分����。
具體實(shí)施例方式
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例��,甚至當(dāng)這種MN在公司或受保護(hù)域外部時(shí)����,去往或來自屬于相同域的一個(gè)或多個(gè)MN的IP應(yīng)用業(yè)務(wù)可以被機(jī)密地提供��,其中所述內(nèi)聯(lián)網(wǎng)提供到和/或來自例如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)的受控接入��。優(yōu)選地總是可以在MN之間的通信中提供與通常在公司環(huán)境中(例如受保護(hù)內(nèi)聯(lián)網(wǎng)中)所提供的相似的機(jī)密性和完整性級(jí)別���,以及這種機(jī)密性和完整性可以對于任意類型的網(wǎng)絡(luò)而被提供�����,不論是公司��、家庭��、學(xué)院�����、政府�����、非贏利性或其它背景��。安全和高效通信在一個(gè)或多個(gè)MN經(jīng)由不能被假設(shè)為固有安全的連接進(jìn)行通信時(shí)被提供���,所述連接例如是至例如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)或受保護(hù)內(nèi)聯(lián)網(wǎng)外部的網(wǎng)絡(luò)的連接���。
本發(fā)明的至少一個(gè)實(shí)施例可以被實(shí)現(xiàn)為通過使用VPN技術(shù)提供端到端移動(dòng)之間的安全連接��,例如基于IP安全(IPSec)的那些技術(shù)����。假設(shè)移動(dòng)性管理可以被實(shí)現(xiàn)為與帶有路由優(yōu)化(RO)技術(shù)的移動(dòng)IP(MIP)相容。根據(jù)本發(fā)明的至少一個(gè)實(shí)施例�,當(dāng)穿過例如IPSec和MIP隧道的隧道時(shí),實(shí)時(shí)業(yè)務(wù)所經(jīng)歷的時(shí)延可以被減小��。
描述了用于在內(nèi)聯(lián)網(wǎng)和公共網(wǎng)絡(luò)之間穿過時(shí)提供MN之間的安全無縫會(huì)話連續(xù)性的機(jī)制��。優(yōu)化了VPN隧道的選路���,并且避免了切換(handoff)后IPSec安全關(guān)聯(lián)(SA)的重新協(xié)商����。因此,避免了三角選路���。
圖1是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的裝置的框圖�。所述裝置包括內(nèi)聯(lián)網(wǎng)101����、第一移動(dòng)節(jié)點(diǎn)(MN1)103和/或第二移動(dòng)節(jié)點(diǎn)(MN2)104以及將MN1 103和/或MN2 104耦合到內(nèi)聯(lián)網(wǎng)101的外部網(wǎng)絡(luò)102。內(nèi)聯(lián)網(wǎng)101優(yōu)選地包括移動(dòng)感知網(wǎng)關(guān)(MAG��,mobile-aware gateway)105��、第一內(nèi)部家鄉(xiāng)代理(i-HA1)108和/或第二家鄉(xiāng)代理(i-HA2)109以及通信節(jié)點(diǎn)(CN)110�����。MAG 105優(yōu)選地包括第一外部家鄉(xiāng)代理(x-HA1)106和/或第二外部家鄉(xiāng)代理(x-HA2)107����。
MN1 103經(jīng)由網(wǎng)絡(luò)連接111耦合到外部網(wǎng)絡(luò)102。MN2 104經(jīng)由網(wǎng)絡(luò)連接112耦合到外部網(wǎng)絡(luò)102��。MAG 105例如經(jīng)由網(wǎng)絡(luò)連接113和/或經(jīng)由網(wǎng)絡(luò)連接114耦合到外部網(wǎng)絡(luò)102���,其中網(wǎng)絡(luò)連接113可以經(jīng)由外部網(wǎng)絡(luò)102和網(wǎng)絡(luò)連接111耦合到MN1 103,網(wǎng)絡(luò)連接114可以經(jīng)由外部網(wǎng)絡(luò)102和網(wǎng)絡(luò)連接112耦合到MN2 104。根據(jù)本發(fā)明至少一個(gè)實(shí)施例的外部網(wǎng)絡(luò)102的例子是互聯(lián)網(wǎng),其可以包括能夠提供到互聯(lián)網(wǎng)的接入的其它網(wǎng)絡(luò),例如除內(nèi)聯(lián)網(wǎng)101之外的其它內(nèi)聯(lián)網(wǎng)�,以及例如蜂窩無線網(wǎng)絡(luò)的其它有線和/或無線網(wǎng)絡(luò)����。
x-HA1 106經(jīng)由內(nèi)聯(lián)網(wǎng)連接115耦合到i-HA1 108�。x-HA2 107經(jīng)由內(nèi)聯(lián)網(wǎng)連接116耦合到i-HA2 109��。i-HA1 108經(jīng)由內(nèi)聯(lián)網(wǎng)連接117耦合到CN 110��。i-HA2 109經(jīng)由內(nèi)聯(lián)網(wǎng)連接118耦合到CN 110。優(yōu)選地,x-HA1106可以經(jīng)由內(nèi)聯(lián)網(wǎng)連接119耦合到CN 110,以及x-HA2 107可以經(jīng)由內(nèi)聯(lián)網(wǎng)連接120耦合到CN 110�。優(yōu)選地,x-HA1 106可以經(jīng)由連接121耦合到x-HA1 107���,其中所述連接被優(yōu)選地實(shí)現(xiàn)在MAG 105中��。
圖2是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的MAG 105的框圖�����。MAG 105優(yōu)選地包括處理器201和存儲(chǔ)器202��。處理器201經(jīng)由連接203耦合到存儲(chǔ)器202���。處理器201優(yōu)選地經(jīng)由例如網(wǎng)絡(luò)連接113和114中的一個(gè)或多個(gè)的連接而耦合到外部網(wǎng)絡(luò)102��。處理器201優(yōu)選地經(jīng)由例如內(nèi)聯(lián)網(wǎng)連接115���、116、119和120中的一個(gè)或多個(gè)的連接而耦合到內(nèi)聯(lián)網(wǎng)101或其單元��。所述處理模塊可以是單個(gè)處理設(shè)備或多個(gè)處理設(shè)備�。這種處理設(shè)備可以是微處理器、微計(jì)算機(jī)�����、微控制器����、數(shù)字信號(hào)處理器�����、中央處理單元、狀態(tài)機(jī)����、邏輯電路和/或基于操作指令操縱(模擬或數(shù)字)信號(hào)的任意設(shè)備。所述存儲(chǔ)器可以是單個(gè)存儲(chǔ)設(shè)備或多個(gè)存儲(chǔ)設(shè)備���。這種存儲(chǔ)設(shè)備可以是只讀存儲(chǔ)器����、隨機(jī)存取存儲(chǔ)器�����、磁帶存儲(chǔ)器���、軟盤存儲(chǔ)器����、硬盤存儲(chǔ)器�����、DVD存儲(chǔ)器�����、CD存儲(chǔ)器和/或存儲(chǔ)操作和/或編程指令的任意設(shè)備。注意�,如果所述處理模塊經(jīng)由狀態(tài)機(jī)或邏輯電路實(shí)現(xiàn)了一個(gè)或多個(gè)功能,則包含相應(yīng)操作指令的存儲(chǔ)器被嵌入包括狀態(tài)機(jī)和/或邏輯電路的電路中�����。存儲(chǔ)在存儲(chǔ)器中并由處理模塊執(zhí)行的操作指令將在下面參考圖3至11詳細(xì)討論�。
假設(shè)例如MN1和MN2的兩個(gè)MN期望接入內(nèi)聯(lián)網(wǎng),可能存在幾種場景����。一種可能是MN1和MN2都在內(nèi)聯(lián)網(wǎng)(例如公司網(wǎng)絡(luò))中。另一種可能是MN1在內(nèi)聯(lián)網(wǎng)中而MN2在內(nèi)聯(lián)網(wǎng)外部���。又另一種可能是MN1和MN2都在內(nèi)聯(lián)網(wǎng)外部�����。
如果兩個(gè)MN在內(nèi)聯(lián)網(wǎng)中被直接連接,則該私有域中的MN之間的通信受防火墻���、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)以及指令檢測和預(yù)防機(jī)制的保護(hù)����。內(nèi)聯(lián)網(wǎng)中的移動(dòng)性可以利用MIP來支持。
當(dāng)一個(gè)MN在內(nèi)聯(lián)網(wǎng)外部時(shí)���,安全通信可以利用經(jīng)由VPN網(wǎng)關(guān)(VPN-GW)從訪問(即外部)網(wǎng)絡(luò)中的MN到內(nèi)聯(lián)網(wǎng)的IPSec隧道而被提供�,而MIP可以被用于支持移動(dòng)性��。挑戰(zhàn)在于確保MN每次執(zhí)行網(wǎng)絡(luò)層切換時(shí)不進(jìn)行IPSec SA的重新協(xié)商�����。根據(jù)本發(fā)明的至少一個(gè)實(shí)施例���,不僅可能遭遇到所述挑戰(zhàn)�����,而且獲得了其它益處��,例如通過路由優(yōu)化(RO)的減小的時(shí)延�����。
盡管其中多個(gè)MN在內(nèi)聯(lián)網(wǎng)外部的場景可以如一個(gè)MN的多個(gè)實(shí)例在內(nèi)聯(lián)網(wǎng)外部那樣被處理����,但所述方法不必提供多個(gè)MN之間的優(yōu)化路由和低時(shí)延通信。根據(jù)本發(fā)明的至少一個(gè)實(shí)施例���,可以提供這種特征����。
本發(fā)明的至少一個(gè)實(shí)施例提供了當(dāng)一個(gè)MN在內(nèi)聯(lián)網(wǎng)外部或當(dāng)多個(gè)MN在內(nèi)聯(lián)網(wǎng)外部時(shí)的安全高效的通信�。應(yīng)當(dāng)指出,本發(fā)明實(shí)施例的實(shí)現(xiàn)不依賴于內(nèi)聯(lián)網(wǎng)的存在����;MAG可以在不存在其它內(nèi)聯(lián)網(wǎng)單元的情況下被用于提供任何位置的多個(gè)節(jié)點(diǎn)之間的安全高效的通信。應(yīng)當(dāng)記住����,只要這里提到MN都是關(guān)于內(nèi)聯(lián)網(wǎng)的。本發(fā)明的至少一個(gè)實(shí)施例可以根據(jù)安全通用移動(dòng)性(SUM)結(jié)構(gòu)來實(shí)現(xiàn)���,所述結(jié)構(gòu)由Dutta等人(A.Dutta����,T.Zhang,S.Madhani��,K.Taniuchi����,K.Fujimoto��,Y.Katsube��,Y.Ohba和H.Schulzrinne����,在2004年10月于Philadephia舉行的關(guān)于WLAN點(diǎn)上的無線移動(dòng)應(yīng)用和服務(wù)的第一屆ACM國際討論會(huì)上的“Secure UniversalMobility for Wireless Internet”的71-80頁)描述。當(dāng)一個(gè)MN在內(nèi)聯(lián)網(wǎng)外部時(shí)�����,SUM經(jīng)歷雙倍的三角選路問題����。本發(fā)明的至少一個(gè)實(shí)施例通過將自適應(yīng)MIP路由優(yōu)化技術(shù)集成到SUM結(jié)構(gòu)中而克服了所述問題。
當(dāng)多個(gè)MN在內(nèi)聯(lián)網(wǎng)外部時(shí)��,為達(dá)到一定程度的優(yōu)化而協(xié)調(diào)移動(dòng)性和VPN管理是有益的�����。因此,VPN-GW和外部家鄉(xiāng)代理(x-HA)角色被優(yōu)選地集成到稱作移動(dòng)感知VPN網(wǎng)關(guān)(MAG)的單個(gè)實(shí)體中�。這種集成使得MAG能夠結(jié)合VPN功能執(zhí)行移動(dòng)性管理。其中可實(shí)現(xiàn)MAG功能性的一種方式在于使MAG完全參與兩個(gè)MN之間的通信��。簡言之���,MAG參與了VPN隧道和MIP隧道的建立和操作��。作為所述第一種方式的優(yōu)化的其中可實(shí)現(xiàn)MAG功能性的另一種方式在于使MAG參與密鑰分發(fā)和隧道建立��,但然后在不需要連續(xù)MAG活動(dòng)性的情況下允許通信�����。與完全MAG參與的第一種方式相反�����,用戶業(yè)務(wù)流經(jīng)路由優(yōu)化的路徑����。
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例��,VPN-GW和x-HA可以被合并為單個(gè)設(shè)備,即移動(dòng)感知VPN網(wǎng)關(guān)(MAG)��。應(yīng)當(dāng)指出�����,在圖3中�,顯示了分離的x-HA和MAG����,但所合并的MAG是同時(shí)針對MN到MN情形和其中在MN間建立端到端安全隧道的情形而被顯示在圖4中。分離的x-HA和MAG被顯示以說明本發(fā)明可以在由Dutta等人描述的SUM結(jié)構(gòu)的情況下被實(shí)現(xiàn)����。應(yīng)當(dāng)理解,x-HA和MAG可以被分離地實(shí)現(xiàn)�,但通過在MAG中實(shí)現(xiàn)x-HA功能性可以獲得益處。
當(dāng)移動(dòng)節(jié)點(diǎn)(MN)移出受保護(hù)內(nèi)聯(lián)網(wǎng)時(shí)���,可以執(zhí)行幾個(gè)步驟以維持或建立與該MN的通信��。根據(jù)第一步驟���,進(jìn)行向外部家鄉(xiāng)代理(x-HA)的MIP注冊。MN將其x-CoA注冊到MAG,該MAG優(yōu)選地具有實(shí)現(xiàn)于其中的x-HA功能性�����。這在MAG與移動(dòng)節(jié)點(diǎn)的x-CoA之間建立了外部MIP(x-MIP)隧道(x-MIP T)��。根據(jù)第二步驟的第一方面�,安全VPN被建立。利用IKE�,MN利用x-HoA作為隧道端點(diǎn)之一與MAG協(xié)商IPSec SA;其另一端點(diǎn)是MAG的地址�����。根據(jù)該第二步驟的第二方面���,進(jìn)行向內(nèi)部家鄉(xiāng)代理(i-HA)的MIP注冊���。一旦VPN隧道根據(jù)第二步驟而被建立,MN就利用MAG的私有地址作為該MN的i-CoA注冊到i-HA����。內(nèi)部MIP(i-MIP)隧道(i-MIP T)因此在i-HA與MAG之間被建立。在第二步驟中發(fā)生的移動(dòng)IP信令通過利用建立在MN與MAG之間的安全VPN隧道來傳送���。
對于從MN到CN的用戶業(yè)務(wù)�����,由MN使用其私有地址(i-HoA)作為源地址發(fā)送到作為目的地址的CN的內(nèi)部(私有)地址(i-CN)的業(yè)務(wù)�����,首先經(jīng)歷了按照IPSec SA的計(jì)算和完整性保護(hù)�。所保護(hù)的業(yè)務(wù)然后利用使用MN的x-HoA的x-MIP T-1被隧道發(fā)送到MAG�。MAG拆封數(shù)據(jù)報(bào)。MAG然后檢查業(yè)務(wù)完整性�����,并且還解密該數(shù)據(jù)報(bào)�����。該數(shù)據(jù)報(bào)然后被轉(zhuǎn)發(fā)到i-CN����。
對于從CN到MN的業(yè)務(wù),由CN使用該CN的內(nèi)部地址(i-CN)作為源地址發(fā)送到作為目的地的MN的私有地址(i-HoA)的業(yè)務(wù)���,被i-HA截獲并通過i-MIP T-1被隧道發(fā)送到MAG���。MAG然后查詢表以將i-HoA解析為MN的合適的x-HoA�����。加密和完整性檢查按照IPSec SA而被應(yīng)用于數(shù)據(jù)報(bào)�����。分組然后被隧道發(fā)送到MN的x-HoA地址���。MAG的HA部件然后截獲該分組,并將該受保護(hù)的數(shù)據(jù)報(bào)隧道發(fā)送到MN的x-CoA�����。MN在接收到該分組時(shí)拆封該數(shù)據(jù)報(bào)并檢查該分組的完整性����,對之后由特定應(yīng)用處理的內(nèi)容解密。
在SUM結(jié)構(gòu)中�����,為向訪問外地網(wǎng)絡(luò)的MN提供安全網(wǎng)絡(luò)連接,使用兩個(gè)MIP隧道�。來自CN的業(yè)務(wù)在到達(dá)MN之前經(jīng)過i-HA并然后經(jīng)過x-HA。根據(jù)本發(fā)明的至少一個(gè)實(shí)施例�����,路由優(yōu)化技術(shù)被使用以避免MIP三角選路和例如延長的時(shí)延的與其關(guān)聯(lián)的缺點(diǎn)����。
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例,i-HA在代表MN截獲從i-CN去往該MN(i-HoA)的分組時(shí)�����,通知i-CN該MN在其家鄉(xiāng)網(wǎng)絡(luò)外部��,并通知CN存在經(jīng)由MAG到達(dá)MN的較短路徑����。這種通信優(yōu)選地通過使用由Perkins和Johnson(C.Perkins���,D.Johnson的2001年的互聯(lián)網(wǎng)草案“RouteOptimization in Mobile IP”)定義的路由優(yōu)化消息來進(jìn)行����。i-CN然后將去往i-HoA的用戶業(yè)務(wù)直接轉(zhuǎn)發(fā)到MAG,而不是將其發(fā)送到之后將用戶業(yè)務(wù)轉(zhuǎn)發(fā)到MAG的i-HA���。CN與MAG之間的三角選路由此被避免����,并且因此相對較快地接收到分組���。
i-HA在截獲去往i-HoA的分組后�����,向i-CN發(fā)送包含MAG的內(nèi)部地址的綁定更新消息���。i-CN然后創(chuàng)建與該MAG的內(nèi)部地址配對的i-BoA的綁定條目,以便去往i-HoA的分組被隧道發(fā)送到MAG��?��?赡馨l(fā)生上述情況而不是向MN1的內(nèi)部家鄉(xiāng)網(wǎng)絡(luò)發(fā)送分組�。i-CN然后利用i-MIP路由優(yōu)化的(i-MIP-RO)隧道(i-MIP-RO T)直接向MAG轉(zhuǎn)發(fā)用戶分組����。i-CN和MAG支持路由優(yōu)化的能力是通過在其中實(shí)現(xiàn)利用路由優(yōu)化消息的能力來提供的�����。
圖3示出了根據(jù)本發(fā)明至少一個(gè)實(shí)施例的包括MN 103/104和CN 110的單元之間的連接�。該圖包括代表單元的垂直線��,所述單元包括CN 110����、i-HA 108或109、MAG 105���、x-HA 106或107以及MN 103或104����?�?蛇x地表述的前述單元之間的關(guān)系旨在分別地理解�。因此��,i-HA 108涉及x-HA106�,該x-HA 106涉及MN 103,以及���,i-HA 109涉及x-HA 107��,該x-HA107涉及MN 104���,如由圖1中示出的所述單元的連接所表明的那樣���。CN110、i-HA 108或109和MAG 105優(yōu)選地存在于內(nèi)聯(lián)網(wǎng)101中����。該圖包括代表單元之間的通信的水平線。
首先�,第一外部移動(dòng)互聯(lián)網(wǎng)協(xié)議隧道(x-MIP T-1)301在MN 103或104與x-HA 106或107之間被建立。用于建立外部轉(zhuǎn)交地址(x-CoA)的外部移動(dòng)互聯(lián)網(wǎng)協(xié)議(x-MIP)注冊請求302從MN 103或104被傳送到x-HA 106或107�。用于建立外部轉(zhuǎn)交地址(x-CoA)的x-MIP注冊應(yīng)答303從x-HA 106或107被傳送到MN 103或104。
其次�,VPN隧道304在MN 103或104與MAG 105之間沿x-MIP T-1301而被建立。例如互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)商���、互聯(lián)網(wǎng)協(xié)議安全(IPSec)安全關(guān)聯(lián)(SA)創(chuàng)建和地址分配的��、用于建立VPN隧道304的通信��,是按照從MN 103或104到MAG 105的通信305和從MAG 105到MN 103或104的通信306而發(fā)生的��。
第三�,第一內(nèi)部移動(dòng)互聯(lián)網(wǎng)協(xié)議隧道(i-MIP T-1)307在MAG 105與i-HA 108或109之間被建立,以及互聯(lián)網(wǎng)協(xié)議(IP)連接308在MN 103或104與通信節(jié)點(diǎn)(CN)110之間沿第一i-MIP T-1307�����、VPN隧道304和x-MIP T-1 301而被建立�����。內(nèi)部移動(dòng)互聯(lián)網(wǎng)協(xié)議(i-MIP)注冊請求309從MN 103或104被傳送到i-HA 108或109����。i-MIP注冊應(yīng)答310從i-HA108或109被傳送到MN 103或104。
第四���,路由優(yōu)化被執(zhí)行以避免三角選路����。x-MIP T-1301被MN 103或104與MAG 105之間的x-MIP路由優(yōu)化的隧道(x-MIP-RO T-1)311所替代�。用于改變x-CoA的路由優(yōu)化(RO)綁定更新313從x-HA 106或107被傳送到MAG 105��。用于改變x-CoA的RO綁定確認(rèn)314從MAG 105被傳送到x-HA 106或107����。i-MIP T-1307被MAG 105與CN 110之間的i-MIP-RO T-1312所替代����。RO綁定更新315從i-HA 108或109被傳送到CN 110����。RO綁定確認(rèn)316從CN 110被傳送到i-HA 108或109。因此�,MN 103或104與CN 110之間的通信可以經(jīng)由MN 103或104與MAG 105之間的x-MIP-RO T-1311以及MAG 105與CN 110之間的i-MIP-RO T-1312而發(fā)生。
圖5是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的涉及MN與CN之間的通信的方法的流程圖��。在步驟501中����,第一外部通信隧道在第一移動(dòng)節(jié)點(diǎn)與第一外部家鄉(xiāng)代理之間被建立。在步驟502中����,第一外部安全隧道在第一移動(dòng)節(jié)點(diǎn)與安全網(wǎng)關(guān)(例如MAG)之間被建立。所述安全網(wǎng)關(guān)可以通過實(shí)現(xiàn)控制耦合到MAG的外部網(wǎng)絡(luò)(像例如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò))與內(nèi)聯(lián)網(wǎng)之間通信的安全策略來建立內(nèi)聯(lián)網(wǎng)的邊界(即所速內(nèi)聯(lián)網(wǎng)由所述安全網(wǎng)關(guān)劃界)��。在步驟503中���,第一內(nèi)部通信隧道在第一安全網(wǎng)關(guān)與第一內(nèi)部家鄉(xiāng)代理之間經(jīng)由第一外部安全隧道和/或第一外部通信隧道而被建立�。在步驟504中,用于用戶數(shù)據(jù)的第一路徑在所述第一移動(dòng)節(jié)點(diǎn)與通信節(jié)點(diǎn)之間經(jīng)由所述第一內(nèi)部通信隧道而被建立��。
在步驟505中�����,所述第一外部通信隧道被代替�,以形成所述第一移動(dòng)節(jié)點(diǎn)與所述安全網(wǎng)關(guān)(例如MAG 105)之間的第一路由優(yōu)化的外部通信隧道。在步驟506中���,所述第一內(nèi)部通信隧道被代替�,以形成所述安全網(wǎng)關(guān)(例如MAG 105)與所述通信節(jié)點(diǎn)之間的第一路由優(yōu)化的內(nèi)部通信隧道���。在步驟507中���,經(jīng)由所述第一路由優(yōu)化的內(nèi)部通信隧道、針對用戶數(shù)據(jù)而使用所述第一路徑以在移動(dòng)節(jié)點(diǎn)與通信節(jié)點(diǎn)之間傳送用戶數(shù)據(jù)��。
圖6是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟501的方法的流程圖�����。在步驟601中,第一外部轉(zhuǎn)交地址注冊請求從所述第一移動(dòng)節(jié)點(diǎn)被傳送到所述第一外部家鄉(xiāng)代理��。在步驟602中���,第一外部轉(zhuǎn)交地址注冊應(yīng)答從所述第一家鄉(xiāng)代理被傳送到所述第一移動(dòng)節(jié)點(diǎn)。
圖7是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟503的方法的流程圖����。在步驟701中,第一內(nèi)部轉(zhuǎn)交地址注冊請求從所述第一移動(dòng)節(jié)點(diǎn)被傳送到所述第一內(nèi)部家鄉(xiāng)代理����。在步驟702中,第一內(nèi)部轉(zhuǎn)交地址注冊應(yīng)答從所述第一內(nèi)部家鄉(xiāng)代理被傳送到所述第一移動(dòng)節(jié)點(diǎn)�����。
圖8是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟506的方法的流程圖����。在步驟801中,第一內(nèi)部路由優(yōu)化綁定更新從所述第一內(nèi)部家鄉(xiāng)代理被傳送到所述通信節(jié)點(diǎn)����。在步驟802中�����,第一內(nèi)部路由優(yōu)化綁定確認(rèn)從所述通信節(jié)點(diǎn)被傳送到所述第一內(nèi)部家鄉(xiāng)代理��。
圖9是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟502的方法的流程圖���。在步驟901中,在所述安全網(wǎng)關(guān)與所述第一移動(dòng)節(jié)點(diǎn)之間交換安全能力并且導(dǎo)出密鑰�。在步驟902中,第一外部安全關(guān)聯(lián)是針對所述第一外部安全隧道而被創(chuàng)建的���。
圖10是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的用于實(shí)施圖5的步驟505的方法的流程圖����。在步驟1001中�,第一外部路由優(yōu)化綁定更新從所述第一外部家鄉(xiāng)代理被傳送到所述安全網(wǎng)關(guān)。在步驟1002中�,第一外部路由優(yōu)化綁定確認(rèn)從所述安全網(wǎng)關(guān)被傳送到所述第一外部家鄉(xiāng)代理。
至今仍未完全解決的另一問題是在內(nèi)聯(lián)網(wǎng)外部并駐留在外部網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))中的MN之間的可靠����、安全和高效的通信。通信的MN還未被保證以與內(nèi)聯(lián)網(wǎng)環(huán)境類似的機(jī)密級(jí)別接收去往它們的數(shù)據(jù)分組以及具有類似的可接入級(jí)別��,這是因?yàn)橛糜诔浞痔幚砥渲袃蓚€(gè)相互通信的MN在受保護(hù)內(nèi)聯(lián)網(wǎng)外部這一情形的解決方案至今仍未充分地提供。
當(dāng)兩個(gè)通信的移動(dòng)中的一個(gè)也決定移出(位于內(nèi)聯(lián)網(wǎng)內(nèi)并與在內(nèi)聯(lián)網(wǎng)外部的MN1通信的MN2現(xiàn)在移出內(nèi)聯(lián)網(wǎng)�����,簡言之�����,現(xiàn)在兩個(gè)MN都在內(nèi)聯(lián)網(wǎng)外部)內(nèi)聯(lián)網(wǎng)時(shí)�,將預(yù)計(jì)產(chǎn)生額外的信令和開銷���,這是因?yàn)樗龇椒ū砻餍枰獌蓚€(gè)分離的VPN�,外部MIP和內(nèi)部MIP隧道必須被建立����。一種用于減小所涉及的處理開銷以及時(shí)延的方法是使MAG橋接隧道到MN。為提供甚至更多的處理開銷縮減和/或進(jìn)一步減小時(shí)延�����,兩個(gè)分離的VPN隧道(從MN1到MAG和從MN2到MAG)優(yōu)選地被合并為單個(gè)端到端VPN隧道�。
至今仍未充分解決其中兩個(gè)MN在它們都位于內(nèi)聯(lián)網(wǎng)(例如受保護(hù)子網(wǎng))外部時(shí)相互通信這一情況。這里����,介紹了一種能夠解決其中期望進(jìn)行內(nèi)聯(lián)網(wǎng)外部的兩個(gè)MN之間的安全通信這一情況的方法和裝置����。這通過將VPN-GW與x-HA組合成稱為移動(dòng)感知VPN網(wǎng)關(guān)(MAG)的單個(gè)實(shí)體來達(dá)到�。MAG橋接兩個(gè)分離的VPN隧道和兩個(gè)分離的MIP隧道,以促進(jìn)MN之間的安全連接��。
當(dāng)兩個(gè)MN在內(nèi)聯(lián)網(wǎng)外部并且期望進(jìn)行它們之間的通信時(shí)���,可以執(zhí)行幾個(gè)步驟����。首先�����,MN執(zhí)行向x-HA(例如向MAG�����,其中該MAG提供x-HA功能性)的MIP注冊���。其次����,MN建立到該MAG的安全VPN隧道。第三���,MN執(zhí)行向其各自的i-HA的MIP注冊�。所述步驟由內(nèi)聯(lián)網(wǎng)外部的MN執(zhí)行�����,以促進(jìn)與內(nèi)聯(lián)網(wǎng)內(nèi)部的節(jié)點(diǎn)或與其它類似注冊的MN之間的安全通信�。當(dāng)MN1和MN2執(zhí)行上述步驟時(shí)�,它們可以建立圖4的x-MIP T-1401、i-MIP T-1402�、x-MIPT-2407和i-MIP T-2408。結(jié)合x-MIP T-2 407的i-MIP-RO T-2413可以按照用于建立MN與內(nèi)聯(lián)網(wǎng)之間的安全通信的步驟來獲得���,例如上面關(guān)于圖5至10所描述的那樣���。
表1是具有用于反映由MAG維護(hù)的信息的結(jié)構(gòu)的采樣條目的示例表。
表1綁定表實(shí)例綁定表?xiàng)l目的更新在MAG處執(zhí)行由MAG維護(hù)的表被更新以反映每個(gè)MN具有的與該MAG的連接���。
當(dāng)執(zhí)行上面描述的第一步驟時(shí)����,MN標(biāo)識(shí)符(MN id)、x-HoA和x-CoA值被輸入所述表中���。在上面描述的第二步驟之后�����,安全關(guān)聯(lián)標(biāo)識(shí)符(SAiD)對于其x-HoA和i-HoA地址匹配該表的特定MN針對每個(gè)方向而被添加�����。SAiDto-MN是對于從MAG到MN的業(yè)務(wù)而協(xié)商的IPSec SA的標(biāo)識(shí)符�����,而SAiDfrom-MN是對于從MN到MAG的業(yè)務(wù)的IPSec SA�����。注意����,所述表優(yōu)選地具有將x-HoA映射到i-HoA的條目。x-CoA和SAiD的值可以在所述第一和第二步驟之后被輸入���。上面描述的第三步驟不需要對在MAG所維護(hù)的表有任何作用��。具有非空x-CoA字段的條目向MAG指示移動(dòng)在內(nèi)聯(lián)網(wǎng)外部�����。
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例����,如關(guān)于該擴(kuò)展所討論的那樣����,當(dāng)去往i-HoA的分組被MAG接收到時(shí)��,該MAG檢查該i-HoA是否與相應(yīng)的x-CoA值配對���。如果對于特定i-HoA存在x-CoA值�,則該MAG確定私有地址為i-HoA的MN在內(nèi)聯(lián)網(wǎng)外部�����。因此,該MAG認(rèn)識(shí)到去往它的分組不必被轉(zhuǎn)發(fā)到內(nèi)聯(lián)網(wǎng)中��。從MN1到MN2的業(yè)務(wù)流的例子在下面詳細(xì)描述����。
首先,MN1使用i-HoA1并且向i-HoA2(MN2的內(nèi)部地址)發(fā)送分組��,其中i-HoA1是MN1的內(nèi)部源地址����。其次,MN1上的VPN應(yīng)用被調(diào)用(因?yàn)榉纸M具有內(nèi)部源和目的地址)��。所述分組經(jīng)歷一些步驟(加密�、完整性值計(jì)算等)以符合與MAG協(xié)商的IPSec SA。然后����,所述分組以使用x-HoA作為源地址的IP報(bào)頭而被封裝。具有作為MAG的公共地址的目的地址的MAG與MN1之間的沿X-MIP T1的安全隧道被用于傳輸分組��。
第三�,MN1上的MIP客戶端應(yīng)用以使用x-CoA1作為源地址的另一IP報(bào)頭封裝安全分組。具有作為MAG的公共地址的目的地址的x-MIP T-1隧道被用于傳輸MIP分組�����。因此,新IP報(bào)頭的目的地址是MAG的公共地址(注意原始分組現(xiàn)在優(yōu)選地具有至少三個(gè)IP報(bào)頭)�。
由于最外層報(bào)頭去往MAG,因此MAG第一個(gè)接收所述分組并且處理MIP報(bào)頭和丟棄該報(bào)頭�。MAG然后檢查內(nèi)部報(bào)頭和所述分組,以符合于合適的IPSec SA����。IPSec SA是通過MAG使用針對源MN(在所述情況下為i-HoA1)的來自表1的合適的SAiDfrom-MN值(1388)來獲得的。SAiDfrom-MN值被用于從由MAG維護(hù)的安全關(guān)聯(lián)數(shù)據(jù)庫中取SA����。
如果分組滿足用于完整性檢查和加密的協(xié)定IPSec SA,則MAG丟棄該IPSec報(bào)頭并且然后處理最內(nèi)層報(bào)頭��。由于分組目的地址是i-HoA2的地址��,因此MAG在所述表中查找用于i-HoA2的條目并且檢查是否存在用于x-CoA2的有效條目�����。
如果存在相應(yīng)的x-CoA2����,則其暗示甚至i-HoA2也在公司網(wǎng)絡(luò)外部。然后�,SAiDto-MN被用于獲取IPSec SA,并且其被應(yīng)用于所述分組�����。用于i-HoA2的SAiDto-MN是2076�����。該SAiDto-MN被用于取SA�,并且必要的安全功能被應(yīng)用于所述分組。源地址是MAG地址并且目的地是x-HoA2地址的新的IP報(bào)頭被添加�。MAG與MN2之間的安全隧道被用于傳送分組。安全分組然后利用x-MIP-T2而被隧道發(fā)送��,其中所述x-MIP-T2使用源地址為MAG地址并且目的地址為x-CoA2地址的另一IP報(bào)頭(例如MIP報(bào)頭)�����。
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例����,可以有利地提供幾個(gè)特征。作為一個(gè)實(shí)例����,可以在MAG自身處進(jìn)行關(guān)于是否將分組發(fā)送到內(nèi)聯(lián)網(wǎng)中的判定�,由此避免了在確定MN在內(nèi)聯(lián)網(wǎng)外部之前所述分組必須經(jīng)歷到i-HA的所有路徑的低效�����,這不僅導(dǎo)致高時(shí)延而且還導(dǎo)致高分組開銷�����。作為另一實(shí)例�,在內(nèi)聯(lián)網(wǎng)外部并且期望相互通信的MN可以以低時(shí)延安全高效地進(jìn)行。
盡管提供多個(gè)MN之間的安全通信是有益的��,然而當(dāng)必須解密并重新加密相同的用戶業(yè)務(wù)以符合兩個(gè)不同的IPSeC SA時(shí)����,在MAG處存在一些開銷。這種開銷可以通過創(chuàng)建想要相互通信的MN之間的端到端(例如對等)VPN連接來減少�。該新的VPN連接利用對于新IPSec SA協(xié)商已建立的VPN隧道而在通信的移動(dòng)之間被建立。
當(dāng)MN1發(fā)送去往內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)報(bào)時(shí)��,MN1處的VPN客戶端處理加密并添加VPN報(bào)頭��。MIP客戶端然后添加MIP報(bào)頭并將該數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到MAG����。一旦所述分組被解封裝和解密,MAG就檢查MN2是否在內(nèi)聯(lián)網(wǎng)內(nèi)部�����。如果MN2在內(nèi)聯(lián)網(wǎng)外部��,則MAG查詢漫游數(shù)據(jù)庫���、確定x-HoA并且應(yīng)用合適的IPSec SA���。HA實(shí)體然后將該數(shù)據(jù)報(bào)封裝到x-CoA1。
為減少與在MAG處對分組進(jìn)行的解密和重新加密相關(guān)聯(lián)的開銷����,可以執(zhí)行幾個(gè)步驟,如下面所描述的那樣���。首先�����,MAG導(dǎo)出可以由兩個(gè)通信的移動(dòng)共享的密鑰�����。被MAG發(fā)送到兩個(gè)MN的共享密鑰然后可以被MN用于協(xié)商這兩個(gè)MN之間的IKE和IPSec SA�,這在不依賴于MAG的情況下創(chuàng)建了兩個(gè)MN之間的新的端到端安全VPN隧道。其次�����,MAG同時(shí)向所述數(shù)據(jù)報(bào)的源和目的地發(fā)送路由優(yōu)化消息��。所述路由優(yōu)化消息可以作為密鑰分發(fā)的一部分而被捎帶(piggybacked)�。第三,從MN1去往MN2的數(shù)據(jù)報(bào)利用端到端安全隧道而被發(fā)送��,并利用x-MIP T-3被封裝到MN2的x-CoA2��。從MN1去往內(nèi)聯(lián)網(wǎng)內(nèi)的節(jié)點(diǎn)的其它數(shù)據(jù)報(bào)使用x-MIPT-1和沿x-MIP T-1存在的VPN隧道�。
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例提供MN之間的端到端VPN隧道的幾個(gè)方面在至少一些情況下是有益的。首先����,MAG不需要解密和重新加密以符合SA。其次���,所建立的隧道通常是最短的可能路徑��,這避免了三角選路���。第三,在MN移動(dòng)(例如x-CoA地址改變)的情況下更新業(yè)務(wù)選路會(huì)在一半往返時(shí)間(1/2 RTT)中發(fā)生并且沒有顯著增加對于實(shí)時(shí)應(yīng)用所允許的時(shí)延���。
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例��,MN1與MN2之間的端到端VPN隧道以及MN1與MN2之間的相應(yīng)端到端MIP路由優(yōu)化的隧道被創(chuàng)建��。相對于分離VPN隧道和MIP隧道的改進(jìn)不僅在于穿過路由優(yōu)化的路徑���,而且分組不必在MAG經(jīng)歷解密和重新加密。另一優(yōu)點(diǎn)在于���,為創(chuàng)建新SA和MIP隧道的信令消息是通過已建立的安全VPN隧道被傳送的����。
同樣��,兩個(gè)MN之間的通信被路由優(yōu)化���,以便新的MIP隧道x-MIP-ROT-3現(xiàn)在在MN1與MN2之間運(yùn)行而不會(huì)在MAG被終止�。所述優(yōu)化優(yōu)選地由MAG發(fā)起,該MAG能夠知道實(shí)現(xiàn)路由優(yōu)化的端到端安全隧道的可能����,因?yàn)樗缽脑揗AG到每個(gè)MN的安全隧道的存在。MAG在發(fā)現(xiàn)MN正經(jīng)由分離VPN隧道通信時(shí)����,發(fā)起優(yōu)化過程。所述優(yōu)化過程的實(shí)例可以在如下描述的步驟中表達(dá)��。首先����,MAG生成共享密鑰。其次�����,MAG經(jīng)由安全VPN隧道分發(fā)共享密鑰�����,并且還指示MN開始MN之間的IPSec協(xié)商��。第三,MN利用新獲得的密鑰發(fā)起IKE過程�����,并建立IPSec SA��。第四�,MAG同時(shí)向兩個(gè)MN發(fā)送MIP路由優(yōu)化消息。第五����,每個(gè)MN更新其綁定更新表以反映MIP隧道端點(diǎn)中的改變��。
當(dāng)MAG認(rèn)識(shí)到MN正經(jīng)由穿過該MAG的分離隧道進(jìn)行通信時(shí)��,該MAG生成可被用于建立MN之間的安全對等VPN連接的共享密鑰���。然后����,MAG同時(shí)向兩個(gè)MN分配這些密鑰�,并且還指示MN創(chuàng)建MN之間的IPSec SA。MAG還將MN的外部地址發(fā)送給雙方�。然后,MN發(fā)起它們之間的IKE過程,并且新的IPSec SA被創(chuàng)建�����。在MN之間協(xié)商的這些SA沒有涉及到MAG�。MN之間的任何通信因而由該新的SA保護(hù)。然后�,MAG發(fā)送包含每個(gè)MN的當(dāng)前轉(zhuǎn)交地址的路由優(yōu)化消息。MN在接收到該路由優(yōu)化消息時(shí)更新它們的內(nèi)部綁定條目�。
下面描述MN1與MN2之間的業(yè)務(wù)流的實(shí)例。首先��,MN1使用i-HoA1向MN2發(fā)送分組���,其中MN2的私有地址為i-HoA2�。其次����,MN1上的VPN應(yīng)用被調(diào)用,并且所述分組經(jīng)歷一些步驟以符合與MN2協(xié)商的新的IPSec SA���。然后�,以使用x-HoA1作為源地址的IP報(bào)頭封裝所述分組���。利用沿x-MIP-RO T-3提供的安全VPN隧道傳送所述分組��,其使用x-HoA1作為源地址并且x-HoA2作為目的地址����。第三,MN1上的MIP客戶端應(yīng)用以使用x-CoA1作為源地址的另一IP報(bào)頭封裝安全分組��。利用x-MIP-ROT-3傳送所述安全分組�����,該x-MIP-RO T-3使用x-CoA1作為源地址����。與其中目的地址是MAG地址的通過MAG的MN到MN通信的情況不同����,用于x-MIP-RO T3隧道的新IP報(bào)頭的目的地址是x-CoA2(即MN2的轉(zhuǎn)交地址)。第四�,由于x-CoA2是目的地,因此MN2接收所述分組并且丟棄外層MIP報(bào)頭���。第五�����,MN2然后檢查內(nèi)層報(bào)頭和所述分組以符合于合適的IPSec SA�。第六,當(dāng)符合所述SA時(shí)����,IPSec報(bào)頭也被丟棄,并且使用i-HoA1作為源地址和i-HoA2作為目的地的原始分組由應(yīng)用來處理���。向每個(gè)MN通知與通信對等體的新VPN連接的創(chuàng)建����。
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例�,在建立通信的MN之間的端到端安全隧道的情況下,可以實(shí)現(xiàn)下面描述的一個(gè)或多個(gè)特征�����。與通過MAG的MN到MN通信的情況不同�����,MAG不需要解密和重新加密通信以符合SA����。MAG上的負(fù)載可以被大大減少���,尤其如果所述MAG正服務(wù)于若干CN和MN。同樣����,由于在MAG對分組進(jìn)行解密、重新加密和重新隧道化而由用戶業(yè)務(wù)導(dǎo)致的時(shí)延可以被完全避免�����。此外����,所建立的隧道可以被選擇為(并且優(yōu)選為)最短可能路徑,這避免了三角選路����。
圖4示出了根據(jù)本發(fā)明至少一個(gè)實(shí)施例的在包括MN1 103和MN2 104的單元之間的連接�。該圖包括代表單元的垂直線,所述單元包括MN1 103�����、CN 110、i-HA2 109��、MAG 105��、i-HA1 108和MN2 104�����。CN 110���、i-HA2109��、MAG 105和i-HA1 108優(yōu)選地存在于內(nèi)聯(lián)網(wǎng)101內(nèi)����。該圖包括代表單元之間的連接的水平線�。
首先,VPN和x-MIP T-1 401在MN1 103與MAG 105之間被建立����。例如互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)商、互聯(lián)網(wǎng)協(xié)議安全(IPSec)安全關(guān)聯(lián)(SA)創(chuàng)建和地址分配的用于建立VPN隧道的通信以及x-MIP注冊請求����,按照從MN1 103到MAG 105的通信403而發(fā)生�。用于建立VPN隧道的其它通信和x-MIP注冊應(yīng)答按照從MAG 105到MN1 103的通信404而發(fā)生�����。i-MIP T-1402在MAG 105和i-HA1 108之間被建立�。i-MIP注冊請求405從MN1 103被傳送到i-HA1 108。i-MIP注冊應(yīng)答從i-HA1 108被傳送到MN1 103�����。
其次�����,VPN和x-MIP T-2407在MN2 104與MAG 105之間被建立��。例如互聯(lián)網(wǎng)密鑰交換(IKE)協(xié)商��、互聯(lián)網(wǎng)協(xié)議安全(IPSec)安全關(guān)聯(lián)(SA)創(chuàng)建和地址分配的�、用于建立VPN隧道的通信以及x-MIP注冊請求,按照從MN2 104到MAG 105的通信409而發(fā)生���。用于建立VPN隧道的其它通信和x-MIP注冊應(yīng)答按照從MAG 105到MN2 104的通信410而發(fā)生。i-MIP T-2 408在MAG 105和i-HA2 109之間被建立���。i-MIP注冊請求411從MN2 104被傳送到i-HA2 109���。i-MIP注冊應(yīng)答從i-HA2 109被傳送到MN2 104����。
第三����,路由優(yōu)化被執(zhí)行以代替i-MIP T-2408,以便i-MIP-RO T-2413存在于MAG 105和CN 110之間����。RO綁定更新414從i-HA2 109被傳送到CN 110。RO綁定確認(rèn)415從CN 110被傳送到i-HA2 109�。
第四,當(dāng)希望在MN1 103與MN2 104之間通信時(shí)�����,MAG 105認(rèn)識(shí)到在通信中涉及i-HA1 108和i-HA2 109的低效��,并且橋接x-MIP T-1401和x-MIP T-2407(以及它們各自的VPN隧道)�,以促進(jìn)MN1 103與MN2104之間具有減小時(shí)延的更高效通信。
第五��,路由優(yōu)化被執(zhí)行,并且端到端VPN隧道和路由優(yōu)化的x-MIP-RO T-3416在MN1 103與MN2 104之間被建立��。MAG 105確定MN1 103和MN2 104可以在不需要它們的業(yè)務(wù)經(jīng)過MAG 105的情況下相互通信(例如����,MN1 103和MN2 104可通過公共網(wǎng)絡(luò)到達(dá)彼此)。優(yōu)選地����,作為一個(gè)實(shí)例,MAG 105導(dǎo)出密碼密鑰���,并將該密碼密鑰分發(fā)給MN1103和MN2 104中的至少一個(gè)�����,從而實(shí)現(xiàn)MN1 103與MN2 104之間的密碼保護(hù)鏈路(例如安全隧道)的建立��。作為另一實(shí)例����,通信417在MN1 103與MN2 104之間發(fā)生�,以執(zhí)行密碼密鑰生成和分發(fā),從而建立MN1 103與MN2 104之間的VPN隧道。通信418在MN1 103與MN2 104之間發(fā)生�����,以執(zhí)行MN1 103與MN2 104之間的IKE協(xié)商和IPSec SA創(chuàng)建���,從而建立MN1 103與MN2 104之間的VPN隧道。用于傳送x-CoA1(MN1的外部轉(zhuǎn)交地址)的RO綁定更新419從MAG 105被傳送到MN2 104�����。用于傳送x-CoA2(MN2的轉(zhuǎn)交地址)的RO綁定更新420被MAG 105發(fā)送到MN1 103�。因此,MN1 103和MN2 104能夠利用隧道x-MIP-RO T-3416����、沿直接在MN1與MN2之間的端到端VPN隧道、以減小的時(shí)延高效地通信�����。通過在安全網(wǎng)關(guān)(例如MAG 105)橋接第一移動(dòng)節(jié)點(diǎn)(例如MN1103)與第二移動(dòng)節(jié)點(diǎn)(例如MN2 104)之間的通信�����,第一內(nèi)部通信隧道(例如i-MIP T-1402)和第二內(nèi)部通信隧道(例如i-MIP T-2408)不必在第一移動(dòng)節(jié)點(diǎn)與第二移動(dòng)節(jié)點(diǎn)之間傳送通信。
圖11是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的涉及第一MN與第二MN之間的通信的方法的流程圖�����。在步驟1101中�����,第一內(nèi)部通信隧道被在第一移動(dòng)節(jié)點(diǎn)與第一內(nèi)部家鄉(xiāng)代理之間經(jīng)由安全網(wǎng)關(guān)而被建立��。在步驟1102中���,第二內(nèi)部通信隧道在第二移動(dòng)節(jié)點(diǎn)與第二內(nèi)部家鄉(xiāng)代理之間經(jīng)由安全網(wǎng)關(guān)而被建立��。
在步驟1103中�����,第一內(nèi)部通信隧道被改變以形成第一移動(dòng)節(jié)點(diǎn)與通信節(jié)點(diǎn)之間的第一路由優(yōu)化的內(nèi)部通信隧道���。步驟1103可以包括步驟1104和1105。在步驟1104中���,第一內(nèi)部路由優(yōu)化綁定更新從第一內(nèi)部家鄉(xiāng)代理被發(fā)送到通信節(jié)點(diǎn)����。在步驟1105中,第一內(nèi)部路由優(yōu)化綁定確認(rèn)從通信節(jié)點(diǎn)被傳送到第一內(nèi)部家鄉(xiāng)代理�。
在步驟1106中,第一內(nèi)部通信隧道和第二內(nèi)部通信隧道在安全網(wǎng)關(guān)處被橋接���,以提供第一移動(dòng)節(jié)點(diǎn)與第二移動(dòng)節(jié)點(diǎn)之間的低時(shí)延安全通信。步驟1106可以包括步驟1107�����,其中端到端安全隧道在第一移動(dòng)節(jié)點(diǎn)與第二移動(dòng)節(jié)點(diǎn)之間被建立����。步驟1107可以包括步驟1108、1109和1110�����。在步驟1108中�����,密碼密鑰信息在第一移動(dòng)節(jié)點(diǎn)與第二移動(dòng)節(jié)點(diǎn)之間被傳送�����。在步驟1109中,安全關(guān)聯(lián)對于端到端安全隧道而被創(chuàng)建��。在步驟1110中�,路由優(yōu)化綁定更新從安全網(wǎng)關(guān)被傳送到第一移動(dòng)節(jié)點(diǎn)和第二移動(dòng)節(jié)點(diǎn)。
對于實(shí)時(shí)應(yīng)用��,由三角路由及其效應(yīng)(即在MAG進(jìn)行解密�����、重新加密和重新隧道化)導(dǎo)致的時(shí)延可以根據(jù)本發(fā)明的至少一個(gè)實(shí)施例而避免����。當(dāng)在異構(gòu)無線接入之間或高移動(dòng)性環(huán)境中需要會(huì)話連續(xù)性時(shí),避免所述時(shí)延的益處可以進(jìn)一步放大��,這是因?yàn)樗鰰?huì)話連續(xù)性需求可以加劇由所述時(shí)延導(dǎo)致的通信損害�����。
圖12是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例而傳送的信息的框圖���。內(nèi)聯(lián)網(wǎng)1201包括MAG 1202�、i-HA 1203和CN 1204。MN1 1205可操作地耦合到MAG 1202�。MN1 1205向MAG 1202傳送消息1219。消息1219包括數(shù)據(jù)1206��。報(bào)頭1207已被添加到數(shù)據(jù)1206���。報(bào)頭1207指示消息1219具有源i-HoA1和目的地i-CN�。報(bào)頭1208已被安全隧道化(例如IPSec)應(yīng)用添加到數(shù)據(jù)1206和報(bào)頭1207��。報(bào)頭1208指示消息1219具有源X-HoA和目的地MAG��。MIP報(bào)頭1209已被移動(dòng)性管理(例如MIP)應(yīng)用添加到數(shù)據(jù)1206以及報(bào)頭1207和1208�����。報(bào)頭1209指示消息1219具有源CoA和目的地MAG���。作為最外層報(bào)頭,報(bào)頭1209指示目的地MAG�,消息1219被發(fā)送到MAG 1202。MAG 1202移除移動(dòng)性管理(例如MIP)報(bào)頭1209��,并且確定報(bào)頭1208指示目的地MAG��,并且還確定分組是IPSec保護(hù)的分組并因此被安全隧道化(例如IPSec)應(yīng)用所處理。MAG 1202在檢驗(yàn)完整性和機(jī)密性被保護(hù)之后移除報(bào)頭1208以獲得消息1220�����。MAG 1202然后確定報(bào)頭1207指示目的地i-CN���。因此�,MAG 1202向CN 1204發(fā)送消息1220���。
CN 1204向第一MN1 1205傳送消息或應(yīng)答1221���。消息1221包括數(shù)據(jù)1214。報(bào)頭1213已被添加到數(shù)據(jù)1214����。報(bào)頭1213指示源i-CN和目的地i-HoA1。報(bào)頭1212被具有路由優(yōu)化的移動(dòng)性管理(例如MIP)應(yīng)用添加到數(shù)據(jù)1214和報(bào)頭1213����。報(bào)頭1212指示源i-CN和目的地MAG。作為最外層報(bào)頭���,報(bào)頭1212指示目的MAG����,消息1221被發(fā)送到MAG 1202。MAG 1202移除報(bào)頭1212���,并且確定報(bào)頭1213指示目的地i-HoA1����。MAG1202根據(jù)綁定表確定MN1 1205在域外并且因此必須利用安全隧道化(例如IPSec)而被保護(hù)����;因此,MAG 1202處的安全隧道化(例如IPSec)應(yīng)用向數(shù)據(jù)1214和報(bào)頭1213添加安全隧道化(例如IPSec)報(bào)頭1216��,其指示源MAG和目的地x-HoA�����。由于MN1 1205在外部并且因此在漫游�����,MAG 1202處的移動(dòng)性管理(例如MIP)應(yīng)用添加指示源MAG和目的地CoA的MIP報(bào)頭1215����,由此得到消息1222。消息1222的數(shù)據(jù)1214被傳送到MN1 1205��。
圖13是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例而傳送的信息的框圖���。內(nèi)聯(lián)網(wǎng)1301包括MAG 1302�����。MN1 1303和MN2 1304可操作地耦合到MAG 1302��。由于路由優(yōu)化的端到端安全隧道已在MN1 1303與MN2 1304之間被建立��,消息1311可以從MN1 1303被傳送到MN2 1304�����。消息1311包括數(shù)據(jù)1305以及報(bào)頭1306����、1307和1308�。報(bào)頭1306被添加到數(shù)據(jù)1305,并且指示源i-HoA1和目的地i-HoA2����。安全隧道化(例如IPSec)報(bào)頭1307被安全隧道化(例如IPSec應(yīng)用)添加到數(shù)據(jù)1305和報(bào)頭1306��,并且指示源X-HoA1和目的地i-HoA2��。移動(dòng)性管理(例如MIP)報(bào)頭1308由已被路由優(yōu)化的移動(dòng)性管理(例如MIP)應(yīng)用添加到數(shù)據(jù)1305以及報(bào)頭1306和1307���,并且指示源CoA1和目的地CoA2。MN2 1304當(dāng)接收到分組時(shí)移除最外層報(bào)頭1308����,因?yàn)樗驯粚ぶ返組N2 1304的轉(zhuǎn)交地址CoA2。安全隧道化(例如IPSec)報(bào)頭1307被MN2 1304處理���,并且檢驗(yàn)分組的完整性和機(jī)密性����。安全隧道化(例如IPSec)報(bào)頭1307也被移除���,并且分組的剩余部分由特定應(yīng)用處理。在路由優(yōu)化的端到端安全隧道已在MN1 1303和MN2 1304之間被建立后��,MAG 1302不必參與MN1 1303與MN2 1304之間的通信���。
圖14是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的裝置的框圖�����。內(nèi)聯(lián)網(wǎng)1401包括MAG 1402和MN1 1403�。MN2 1404可操作地經(jīng)由MAG 1402耦合到MN1 1403。
圖15是示出根據(jù)本發(fā)明至少一個(gè)實(shí)施例的裝置的框圖����。內(nèi)聯(lián)網(wǎng)1501包括MAG 1502。MN1 1503和MN2 1504可操作地耦合到MAG 1502�。MN1經(jīng)由安全隧道1505耦合到MAG 1502。MN2 1504經(jīng)由安全隧道1506耦合到MAG 1502�����。然而�����,一旦MAG 1502幫助建立MN1 1503與MN2 1504之間的通信��,路由優(yōu)化的安全隧道1507就可以在MN1 1503與MN2 1504之間被建立�。路由優(yōu)化的端到端安全隧道1507提供了不需要與MAG 1502或內(nèi)聯(lián)網(wǎng)1501的交互的MN1 1503與MN2 1504之間的通信。MN1 1503和MN2 1504可以與網(wǎng)絡(luò)中另一可信節(jié)點(diǎn)無關(guān)地相互通信(例如與內(nèi)聯(lián)網(wǎng)1501中的節(jié)點(diǎn)無關(guān)���,例如MAG 1502)��,因?yàn)镸N1 1503和MN2 1504當(dāng)它們經(jīng)由路由優(yōu)化的端到端安全隧道1507耦合時(shí)不需要依賴于網(wǎng)絡(luò)中的任意其它一個(gè)或多個(gè)可信節(jié)點(diǎn)�����。
因此��,描述了一種用于提供移動(dòng)節(jié)點(diǎn)之間的低時(shí)延安全會(huì)話連續(xù)性的方法和裝置��。應(yīng)當(dāng)理解��,本發(fā)明在其各個(gè)方面中的其它變型和修改的實(shí)現(xiàn)對于本領(lǐng)域的技術(shù)人員是顯而易見的�����,并且本發(fā)明不限于所描述的指定實(shí)施例���。因此設(shè)想本發(fā)明覆蓋了落在這里所公開和要求其權(quán)利的基本原理的精神和范圍內(nèi)的任意和所有修改��、變型或等價(jià)物�����。
權(quán)利要求
1.一種方法,包括建立第一移動(dòng)節(jié)點(diǎn)與安全網(wǎng)關(guān)之間的第一外部安全隧道;建立所述安全網(wǎng)關(guān)與第一內(nèi)部家鄉(xiāng)代理之間經(jīng)由所述第一外部安全隧道的第一內(nèi)部通信隧道���;建立所述第一移動(dòng)節(jié)點(diǎn)與通信節(jié)點(diǎn)之間經(jīng)由所述第一內(nèi)部通信隧道的用于用戶數(shù)據(jù)的第一路徑���;擴(kuò)展所述第一內(nèi)部通信隧道以形成所述安全網(wǎng)關(guān)與所述通信節(jié)點(diǎn)之間的第一路由優(yōu)化的內(nèi)部通信隧道;以及使用經(jīng)由所述第一路由優(yōu)化的內(nèi)部通信隧道的用于用戶數(shù)據(jù)的所述第一路徑���,在所述移動(dòng)節(jié)點(diǎn)與所述通信節(jié)點(diǎn)之間傳送用戶數(shù)據(jù)�。
2.根據(jù)權(quán)利要求1的方法��,還包括建立所述第一移動(dòng)節(jié)點(diǎn)與第一外部家鄉(xiāng)代理之間的第一外部通信隧道��;以及擴(kuò)展所述第一外部通信隧道���,以形成所述第一移動(dòng)節(jié)點(diǎn)與所述安全網(wǎng)關(guān)之間的第一路由優(yōu)化的外部通信隧道���。
3.根據(jù)權(quán)利要求2的方法,其中�����,建立所述第一外部通信隧道包括從所述第一移動(dòng)節(jié)點(diǎn)向所述第一外部家鄉(xiāng)代理傳送第一外部轉(zhuǎn)交地址注冊請求����;以及從所述第一外部家鄉(xiāng)代理向所述第一移動(dòng)節(jié)點(diǎn)傳送第一外部轉(zhuǎn)交地址注冊應(yīng)答��。
4.根據(jù)權(quán)利要求1的方法����,其中��,建立所述第一內(nèi)部通信隧道包括從所述第一移動(dòng)節(jié)點(diǎn)向所述第一內(nèi)部家鄉(xiāng)代理傳送第一內(nèi)部轉(zhuǎn)交地址注冊請求���;以及從所述第一內(nèi)部家鄉(xiāng)代理向所述第一移動(dòng)節(jié)點(diǎn)傳送第一內(nèi)部轉(zhuǎn)交地址注冊應(yīng)答�。
5.根據(jù)權(quán)利要求4的方法��,其中����,擴(kuò)展所述第一內(nèi)部通信隧道包括從所述第一內(nèi)部家鄉(xiāng)代理向所述通信節(jié)點(diǎn)傳送第一內(nèi)部路由優(yōu)化綁定更新;以及從所述通信節(jié)點(diǎn)向所述第一內(nèi)部家鄉(xiāng)代理傳送第一內(nèi)部路由優(yōu)化綁定確認(rèn)��。
6.根據(jù)權(quán)利要求5的方法��,其中���,建立所述第一外部安全隧道包括在所述安全網(wǎng)關(guān)與所述第一移動(dòng)節(jié)點(diǎn)之間交換第一外部密碼密鑰信息�;以及創(chuàng)建用于所述第一外部安全隧道的第一外部安全關(guān)聯(lián)。
7.根據(jù)權(quán)利要求6的方法�,其中��,擴(kuò)展所述第一外部通信隧道包括從所述第一外部家鄉(xiāng)代理向所述安全網(wǎng)關(guān)傳送第一外部路由優(yōu)化綁定更新����;以及從所述安全網(wǎng)關(guān)向所述第一外部家鄉(xiāng)代理傳送第一外部路由優(yōu)化綁定確認(rèn)。
8.一種方法���,包括建立第一移動(dòng)節(jié)點(diǎn)與第一內(nèi)部家鄉(xiāng)代理之間的經(jīng)由安全網(wǎng)關(guān)的第一內(nèi)部通信隧道���;建立第二移動(dòng)節(jié)點(diǎn)與第二內(nèi)部家鄉(xiāng)代理之間的經(jīng)由所述安全網(wǎng)關(guān)的第二內(nèi)部通信隧道;擴(kuò)展所述第一內(nèi)部通信隧道��,以形成所述第一移動(dòng)節(jié)點(diǎn)與通信節(jié)點(diǎn)之間的第一路由優(yōu)化的內(nèi)部通信隧道����。
9.根據(jù)權(quán)利要求8的方法,其中�����,所述第一路由優(yōu)化的內(nèi)部通信隧道跨越從所述安全網(wǎng)關(guān)到所述通信節(jié)點(diǎn)�����。
10.根據(jù)權(quán)利要求8的方法,其中�����,擴(kuò)展所述第一內(nèi)部通信隧道包括從所述第一內(nèi)部家鄉(xiāng)代理向所述通信節(jié)點(diǎn)傳送第一內(nèi)部路由優(yōu)化綁定更新����;以及從所述通信節(jié)點(diǎn)向所述第一內(nèi)部家鄉(xiāng)代理傳送第一內(nèi)部路由優(yōu)化綁定確認(rèn)。
11.一種方法�����,包括建立第一移動(dòng)節(jié)點(diǎn)與第一內(nèi)部家鄉(xiāng)代理之間的經(jīng)由安全網(wǎng)關(guān)的第一內(nèi)部通信隧道��;建立第二移動(dòng)節(jié)點(diǎn)與第二內(nèi)部家鄉(xiāng)代理之間的經(jīng)由所述安全網(wǎng)關(guān)的第二內(nèi)部通信隧道�����;建立所述第一移動(dòng)節(jié)點(diǎn)與所述第二移動(dòng)節(jié)點(diǎn)之間的端到端安全隧道��。
12.根據(jù)權(quán)利要求11的方法�,其中,建立所述端到端安全隧道包括從所述安全網(wǎng)關(guān)向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)中的至少一個(gè)傳送密碼密鑰信息���,以便所述第一移動(dòng)節(jié)點(diǎn)和第二移動(dòng)節(jié)點(diǎn)二者都可以知道所述密碼密鑰信息���;創(chuàng)建用于所述端到端安全隧道的安全關(guān)聯(lián)�����;以及向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送路由優(yōu)化綁定更新。
13.根據(jù)權(quán)利要求12的方法����,其中,向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送路由優(yōu)化綁定更新還包括從所述安全網(wǎng)關(guān)向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送所述路由優(yōu)化綁定更新����。
14.根據(jù)權(quán)利要求13的方法,其中�,向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送路由優(yōu)化綁定更新還包括向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送外部轉(zhuǎn)交地址更新。
15.一種方法���,包括從移動(dòng)感知網(wǎng)關(guān)向第一移動(dòng)節(jié)點(diǎn)和第二移動(dòng)節(jié)點(diǎn)中的至少一個(gè)傳送密碼密鑰信息�,以便所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)二者都可以知道所述密碼密鑰信息�;創(chuàng)建用于從所述第一移動(dòng)節(jié)點(diǎn)到所述第二移動(dòng)節(jié)點(diǎn)的端到端安全隧道的安全關(guān)聯(lián);以及向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送路由優(yōu)化綁定更新���。
16.根據(jù)權(quán)利要求15的方法�,其中,向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送路由優(yōu)化綁定更新還包括從所述移動(dòng)感知網(wǎng)關(guān)向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送所述路由優(yōu)化綁定更新����。
17.根據(jù)權(quán)利要求16的方法,其中�����,向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送路由優(yōu)化綁定更新還包括從所述移動(dòng)感知網(wǎng)關(guān)向所述第一移動(dòng)節(jié)點(diǎn)和所述第二移動(dòng)節(jié)點(diǎn)傳送外部地址改變更新�����。
18.根據(jù)權(quán)利要求15的方法���,還包括檢查綁定表的綁定表?xiàng)l目��,以確定來自所述第一移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)的目的地是否是在內(nèi)聯(lián)網(wǎng)外部的所述第二移動(dòng)節(jié)點(diǎn)�,其中所述內(nèi)聯(lián)網(wǎng)具有由所述移動(dòng)感知網(wǎng)關(guān)建立的邊界���。
19.根據(jù)權(quán)利要求18的方法�,其中,檢查綁定表?xiàng)l目還包括在所述綁定表中檢查以確定用于所述第二移動(dòng)節(jié)點(diǎn)的外部轉(zhuǎn)交地址字段的內(nèi)容�。
20.根據(jù)權(quán)利要求19的方法,其中�,在所述綁定表中檢查以確定用于所述第二移動(dòng)節(jié)點(diǎn)的外部轉(zhuǎn)交地址字段的內(nèi)容還包括當(dāng)用于所述第二移動(dòng)節(jié)點(diǎn)的外部轉(zhuǎn)交地址字段非空時(shí),確定所述第二移動(dòng)節(jié)點(diǎn)在所述內(nèi)聯(lián)網(wǎng)外部����。
21.一種裝置,包括第一移動(dòng)節(jié)點(diǎn)����;經(jīng)由第一外部安全隧道耦合到所述第一移動(dòng)節(jié)點(diǎn)的安全網(wǎng)關(guān)�,其中所述第一外部安全隧道是經(jīng)由第一外部通信隧道而建立的;經(jīng)由第一內(nèi)部通信隧道耦合到所述第一移動(dòng)節(jié)點(diǎn)的第一內(nèi)部家鄉(xiāng)代理���,其中所述第一內(nèi)部通信隧道是經(jīng)由第一外部安全隧道而建立的����;經(jīng)由用于用戶數(shù)據(jù)的第一路徑耦合到所述第一移動(dòng)節(jié)點(diǎn)的通信節(jié)點(diǎn)����,其中所述第一路徑是經(jīng)由第一內(nèi)部通信隧道而建立的,其中�����,所述第一內(nèi)部通信隧道擴(kuò)展至所述通信節(jié)點(diǎn)。
22.根據(jù)權(quán)利要求21的裝置����,還包括經(jīng)由第一外部通信隧道耦合到所述第一移動(dòng)節(jié)點(diǎn)的第一外部家鄉(xiāng)代理,其中�,所述第一外部通信隧道擴(kuò)展至所述安全網(wǎng)關(guān)。
23.根據(jù)權(quán)利要求22的裝置����,其中,所述第一外部家鄉(xiāng)代理被并入所述安全網(wǎng)關(guān)中����。
24.一種裝置,包括第一移動(dòng)節(jié)點(diǎn)��;經(jīng)由第一內(nèi)部通信隧道耦合到所述第一移動(dòng)節(jié)點(diǎn)的第一家鄉(xiāng)代理����;第二移動(dòng)節(jié)點(diǎn);經(jīng)由第二內(nèi)部通信隧道耦合到所述第二移動(dòng)節(jié)點(diǎn)的第二家鄉(xiāng)代理�����;耦合到所述第一內(nèi)部通信隧道和所述第二內(nèi)部通信隧道的安全網(wǎng)關(guān),其中���,所述安全網(wǎng)關(guān)還導(dǎo)致所述第一移動(dòng)節(jié)點(diǎn)與所述第二移動(dòng)節(jié)點(diǎn)之間端到端安全隧道的形成�����。
25.根據(jù)權(quán)利要求24的裝置���,其中,具有第一移動(dòng)節(jié)點(diǎn)地址的所述第一移動(dòng)節(jié)點(diǎn)利用所述第二移動(dòng)節(jié)點(diǎn)的第二移動(dòng)節(jié)點(diǎn)地址對去往所述第二移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)尋址����。
26.根據(jù)權(quán)利要求24的裝置,其中���,所述第一移動(dòng)節(jié)點(diǎn)與網(wǎng)絡(luò)中的另一可信節(jié)點(diǎn)無關(guān)地、經(jīng)由所述安全網(wǎng)關(guān)向所述第二移動(dòng)節(jié)點(diǎn)傳送數(shù)據(jù)��。
全文摘要
根據(jù)本發(fā)明的至少一個(gè)實(shí)施例����,甚至當(dāng)MN遠(yuǎn)程定位時(shí),也可以為去往或來自屬于相同域的一個(gè)或多個(gè)移動(dòng)節(jié)點(diǎn)(MN)IP應(yīng)用業(yè)務(wù)提供機(jī)密性��。優(yōu)選地總是可以提供與在公司環(huán)境中(例如安全內(nèi)聯(lián)網(wǎng)中)通常提供的類似的MN之間通信的機(jī)密性和完整性級(jí)別。當(dāng)一個(gè)或多個(gè)MN經(jīng)由不能假設(shè)為固有安全的連接進(jìn)行通信時(shí)��,提供安全和高效的通信�,其中所述連接例如是到公共網(wǎng)絡(luò)的連接,所述公共網(wǎng)絡(luò)例如是互聯(lián)網(wǎng)或安全內(nèi)聯(lián)網(wǎng)外部的網(wǎng)絡(luò)�����。
文檔編號(hào)H04L29/06GK101091371SQ200680001537
公開日2007年12月19日 申請日期2006年1月6日 優(yōu)先權(quán)日2005年1月7日
發(fā)明者V·K·喬伊, M·巴爾博 申請人:阿爾卡特朗訊公司