專利名稱:建立遺留與主機(jī)標(biāo)識(shí)協(xié)議節(jié)點(diǎn)之間的主機(jī)標(biāo)識(shí)協(xié)議連接的標(biāo)識(shí)方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及將主機(jī)標(biāo)識(shí)協(xié)議(HIP)用于至少部分保護(hù)在兩個(gè)不同的相應(yīng)網(wǎng)絡(luò)環(huán)境中工作的兩個(gè)主機(jī)之間的通信的方法,兩個(gè)主機(jī)中至少一個(gè)是HIP使能的。
背景技術(shù):
在最初設(shè)計(jì)因特網(wǎng)時(shí),主機(jī)的位置是固定的,并且用戶之間存在隱含信任而不管缺乏實(shí)際安全性或主機(jī)標(biāo)識(shí)協(xié)議,而且這種情況甚至在更廣泛地了解和使用該技術(shù)后繼續(xù)存在。極少需要考慮用于處理主機(jī)移動(dòng)性的技術(shù),因?yàn)橛?jì)算機(jī)體積較大并且不能移動(dòng)。
隨著二十世紀(jì)九十年代初期電信和計(jì)算機(jī)工業(yè)的變革,更小的通信設(shè)備和計(jì)算機(jī)成為更廣泛可獲得的,并且萬(wàn)維網(wǎng)的發(fā)明以及伴隨它出現(xiàn)的所有服務(wù)最終使因特網(wǎng)吸引大眾。網(wǎng)絡(luò)和移動(dòng)電信的不斷增加的使用的結(jié)合產(chǎn)生對(duì)于因特網(wǎng)中的安全移動(dòng)性管理的需要。
有關(guān)各方的增加數(shù)量以及某些業(yè)務(wù)需要的現(xiàn)金交易也產(chǎn)生對(duì)于附加應(yīng)用級(jí)安全性的需要。目前,最廣泛使用的加密協(xié)議、例如SSL/TLS在上網(wǎng)絡(luò)層、例如TCP中運(yùn)行。
考慮到上述移動(dòng)性管理和安全性問題,引入了移動(dòng)IP標(biāo)準(zhǔn)(C.Perkins的“IPv4的IP移動(dòng)性支持”,RFC 3220,IETF,2002)以及移動(dòng)IPv6標(biāo)準(zhǔn)(D.Johnson、C.Perkins、J.Arkko的“IPv6中的移動(dòng)性支持”,Internet Draft,制訂中,draft-ietf-mobileip-ipv6-24.txt,IETF,2003)。這些規(guī)范共同計(jì)劃為下一代因特網(wǎng)提供移動(dòng)性支持。安全性工作正以IPsec及相關(guān)活動(dòng)、如各種密鑰交換協(xié)議的形式發(fā)展,其目的是提供IP層的安全性。但是,經(jīng)驗(yàn)表明,很難采用當(dāng)前標(biāo)準(zhǔn)來得到結(jié)合的安全性和移動(dòng)性。
IP地址描述網(wǎng)絡(luò)中的節(jié)點(diǎn)的拓?fù)湮恢?。IP地址用于把分組從源節(jié)點(diǎn)路由到目的地。同時(shí),IP地址還用于標(biāo)識(shí)節(jié)點(diǎn),在一個(gè)實(shí)體中提供兩種不同的功能。這類似于某個(gè)人在被詢問其身份時(shí)以其家庭地址作答的情況。在還考慮移動(dòng)性時(shí),情況變得更為復(fù)雜由于IP地址在這個(gè)方案中用作主機(jī)標(biāo)識(shí)符,因此它們不得改變;但是,由于IP地址還描述拓?fù)湮恢?,因此它們?dāng)主機(jī)在網(wǎng)絡(luò)中改變其位置時(shí)一定必須改變。顯然不可能同時(shí)實(shí)現(xiàn)穩(wěn)定性和動(dòng)態(tài)改變。
在移動(dòng)IP的情況中,解決方案是采用提供節(jié)點(diǎn)的“歸屬地址”的固定歸屬位置。歸屬地址標(biāo)識(shí)節(jié)點(diǎn)以及在其處于歸屬地時(shí)提供其穩(wěn)定位置。當(dāng)前位置信息以轉(zhuǎn)交地址的形式可得,它在節(jié)點(diǎn)遠(yuǎn)離歸屬地時(shí)用于路由選擇目的。
對(duì)該問題的另一個(gè)解決方案是把標(biāo)識(shí)和定位功能相互分離,這是主機(jī)標(biāo)識(shí)協(xié)議(HIP)建議(R.Moskowitz、P.Nikander、P.Jokela的“主機(jī)標(biāo)識(shí)協(xié)議”,Intemet Draft,制訂中,draft-moskowitz-hip-09.txt,IETF,2004)中采用的方法。HIP通過引入新的名稱空間、主機(jī)標(biāo)識(shí)(HI)來分離IP地址的定位和標(biāo)識(shí)作用。在HIP中,主機(jī)標(biāo)識(shí)基本上是公開-私有密鑰對(duì)的公開密鑰。公鑰標(biāo)識(shí)保存私鑰的唯一副本的一方。擁有密鑰對(duì)的私鑰的主機(jī)可直接證明它“擁有”用于在網(wǎng)絡(luò)中標(biāo)識(shí)它的公鑰。分離還提供以安全方式處理移動(dòng)性和多歸屬的手段。
下面更詳細(xì)地論述HIP,但不是基于圍繞位置和標(biāo)識(shí)分離的概念的唯一建議。FARA(D.Clark、R.Braden、A.Falk、V.Pingali的“FARA重組尋址體系結(jié)構(gòu)”,ACM SIGCOMM 2003 Workshops,2003年8月25日和27日)是提供從其中可導(dǎo)出實(shí)際體系結(jié)構(gòu)的框架的概念的一般化模型。FARA可在節(jié)點(diǎn)標(biāo)識(shí)被檢驗(yàn)時(shí)利用HIP,因此HIP可能是特定FARA例示的一部分。PeerNet建議(J.Eriksson、M.Faloutsos、S.Krishnamurthy的“PeerNetPushing Peer-to-Peer Down the Stack”,IPTPS’03,2003年2月20-21日)也論述了位置和標(biāo)識(shí)分離。因特網(wǎng)間接基礎(chǔ)設(shè)施I3(I.Stoica等人的“因特網(wǎng)間接基礎(chǔ)設(shè)施”,ACMSIGCOMM’02,2002年8月19-23日)還定義了標(biāo)識(shí)與路由選擇信息之間的分離。
主機(jī)標(biāo)識(shí)協(xié)議在IP層引入位置與標(biāo)識(shí)信息之間的分離。除了分離之外,還定義了協(xié)議以協(xié)商HIP使能節(jié)點(diǎn)之間的安全關(guān)聯(lián)(SA)。
對(duì)于HIP,每個(gè)主機(jī)具有一個(gè)或多個(gè)標(biāo)識(shí),它們可能是長(zhǎng)期或者是短期的,可用于在網(wǎng)絡(luò)中標(biāo)識(shí)它。對(duì)于HIP,標(biāo)識(shí)符是公開-私有密鑰對(duì)的公鑰。當(dāng)主機(jī)擁有私鑰時(shí),它可證明它實(shí)際上“擁有”公鑰所代表的這個(gè)標(biāo)識(shí);這與出示ID卡相似。
每個(gè)主機(jī)可產(chǎn)生僅供短時(shí)間使用的短期密鑰。它們?cè)诓恍枰院蟛捎孟嗤瑯?biāo)識(shí)來標(biāo)識(shí)節(jié)點(diǎn)時(shí)是有用的。例如,從書店購(gòu)買書籍可能是長(zhǎng)期關(guān)系,而一次性聯(lián)系服務(wù)器以收集用戶簡(jiǎn)檔則可認(rèn)為是短期動(dòng)作。在后一種情況中,可創(chuàng)建短期標(biāo)識(shí)以避免長(zhǎng)期標(biāo)識(shí)的更廣泛散布。
作為公鑰的HIP主機(jī)標(biāo)識(shí)(HI)可能相當(dāng)長(zhǎng),因而不是在所有情況中都實(shí)用。在HIP中,HI采用從HI中通過對(duì)其進(jìn)行散列處理所產(chǎn)生的128位長(zhǎng)的主機(jī)標(biāo)識(shí)標(biāo)志(HIT)來表示。因此,HIT標(biāo)識(shí)HI。由于HIT為128位長(zhǎng),因此它可直接用于IPv6應(yīng)用,因?yàn)樗cIPv6地址的長(zhǎng)度完全相同。
主機(jī)標(biāo)識(shí)的另一個(gè)表示是局部范圍標(biāo)識(shí)符(LSI),它是主機(jī)標(biāo)識(shí)的32位表示。LSI的目的是促進(jìn)在現(xiàn)有協(xié)議和API中使用主機(jī)標(biāo)識(shí)。例如,由于LSI是與IPv4地址相同的長(zhǎng)度,因此它可直接用于IPv4應(yīng)用。雖然這個(gè)描述的其余部分中的許多將基于較長(zhǎng)HIT的使用,但是大家會(huì)理解,相同或相似的考慮因素適用于備選LSI表示。
當(dāng)使用HIP時(shí),包括應(yīng)用在內(nèi)的上層不再查看IP地址。而是,它們把HIT看作目標(biāo)主機(jī)的“地址”。位置信息在新的層被隱藏,下面進(jìn)行描述。IP地址不再標(biāo)識(shí)節(jié)點(diǎn);它們僅用于在網(wǎng)絡(luò)中路由分組。
應(yīng)用通常不關(guān)注位置信息,但一定需要知道它們的對(duì)等體的標(biāo)識(shí)。標(biāo)識(shí)由HIT表示。這意味著,IP地址僅對(duì)涉及路由選擇的下層具有重要性。應(yīng)用所使用的HIT必須在任何分組離開主機(jī)之前被映射到相應(yīng)的IP地址。這在新的主機(jī)標(biāo)識(shí)層中按照以下所述來實(shí)現(xiàn)。
附圖的圖1說明HIP中的各個(gè)層,包括標(biāo)準(zhǔn)傳輸層4、網(wǎng)絡(luò)層8和鏈路層10,其中進(jìn)程2與它下面的傳輸層4進(jìn)行通信。對(duì)于HIP,新的主機(jī)標(biāo)識(shí)層6設(shè)置在傳輸層4與網(wǎng)絡(luò)層8之間。
每個(gè)HI及其關(guān)聯(lián)HIT在本地映射到節(jié)點(diǎn)的IP地址。當(dāng)分組離開主機(jī)時(shí),正確的路由被選擇(無論通過什么方式),以及相應(yīng)的IP地址被輸入分組,作為源和目標(biāo)地址。從上層到達(dá)的每個(gè)分組包含對(duì)等體的HIT作為目標(biāo)地址。HIT與位置信息之間的映射可位于HI層6。因此,目標(biāo)地址被轉(zhuǎn)換為所映射的IP地址,以及源HIT被轉(zhuǎn)換為源IP地址。
對(duì)等HIT與IP地址之間的映射可通過若干方式來檢索,其中的一種方式是從DNS服務(wù)器進(jìn)行檢索。位置信息可在任何時(shí)間由對(duì)等節(jié)點(diǎn)更新。更新過程將在移動(dòng)性管理小節(jié)進(jìn)行更詳細(xì)論述。
HIP定義包含四個(gè)消息的基本消息交換、即四方握手,這用來創(chuàng)建HIP使能主機(jī)之間的安全關(guān)聯(lián)(SA)。在消息交換期間,Diffie-Hellman過程用來創(chuàng)建會(huì)話密鑰以及建立節(jié)點(diǎn)之間的一對(duì)IPsec封裝安全凈荷(ESP)安全關(guān)聯(lián)(SA)。
附圖的圖2說明四方握手的操作。協(xié)商方稱作開始連接的發(fā)起方和應(yīng)答方。發(fā)起方通過發(fā)送包含參與協(xié)商的節(jié)點(diǎn)的HIT的I1分組開始協(xié)商。如果應(yīng)答方的HIT不是發(fā)起方已知的,則目標(biāo)HIT也可能被試射過。
當(dāng)應(yīng)答方得到I1分組時(shí),它回送包含要由發(fā)起方解答的謎題的R1分組。協(xié)議經(jīng)過設(shè)計(jì),使得發(fā)起方必須在謎題解答中進(jìn)行大部分計(jì)算。這提供了對(duì)于DoS攻擊的某種保護(hù)。R1還發(fā)起Diffie-Hellman過程,其中包含應(yīng)答方的公鑰以及Diffie-Hellman參數(shù)。
一旦接收到R1分組,發(fā)起方解答謎題,并且在I2分組中向應(yīng)答方發(fā)送響應(yīng)信息塊以及IPsec SPI值及其加密公鑰。應(yīng)答方檢驗(yàn)是否已經(jīng)解答謎題,對(duì)發(fā)起方進(jìn)行鑒權(quán),并創(chuàng)建IPsec ESP SA。最后的R2消息包含應(yīng)答方的SPI值。
主機(jī)之間的SA被綁定到由HIT所表示的主機(jī)標(biāo)識(shí)。但是,網(wǎng)絡(luò)中傳遞的分組不包含實(shí)際HI信息,但是到達(dá)的分組被標(biāo)識(shí)并采用IPsec首標(biāo)中的安全性參數(shù)索引(SPI)值映射到正確的SA。附圖的圖3說明通過網(wǎng)絡(luò)時(shí)的邏輯和實(shí)際分組結(jié)構(gòu)。
從以上清楚表明,改變分組中的位置信息沒有對(duì)IPsec處理造成任何問題。分組仍然采用SPI正確標(biāo)識(shí)。如果由于某種原因而使分組路由到錯(cuò)誤目的地,則接收方無法打開該分組,因?yàn)樗鼪]有正確的密鑰。
當(dāng)出去的分組從上層到達(dá)HI層時(shí),目標(biāo)HIT從IPsec SADB被檢驗(yàn)。如果找到匹配目標(biāo)HIT的SA,則分組采用與SA關(guān)聯(lián)的會(huì)話密鑰來加密。
HIT不能用來路由分組。因此,目標(biāo)(以及源)地址必須變更以匹配節(jié)點(diǎn)的IP地址。如前面所述,這些映射存儲(chǔ)在HI層。在地址已經(jīng)變更之后,分組可被發(fā)送給網(wǎng)絡(luò),在其中采用IP地址信息將它路由到目的地。
在接收主機(jī),SPI值用于從IPsec SADB查找正確的SA。如果找到某個(gè)條目,則IP地址可變更到相應(yīng)HIT,以及分組可采用會(huì)話密鑰進(jìn)行解密。
移動(dòng)性被定義為以下情況主機(jī)在將其通信上下文保持為活動(dòng)的同時(shí)移動(dòng),或者換言之,主機(jī)在使所有現(xiàn)有連接保持為活動(dòng)的同時(shí)改變它的通過IP地址描述的拓?fù)湮恢?。在主機(jī)上運(yùn)行的進(jìn)程未看到移動(dòng)性,但在遇到的服務(wù)質(zhì)量改變時(shí)有可能看到。
移動(dòng)主機(jī)可在一個(gè)接入網(wǎng)內(nèi)部、在不同接入技術(shù)之間或者甚至在不同IP地址域之間、例如在IPv4與IPv6網(wǎng)絡(luò)之間改變位置。在HIP中,應(yīng)用沒有注意IP地址版本的變化。HI層對(duì)上層完全隱藏該變化。對(duì)等節(jié)點(diǎn)無疑必須能夠處理改變IP版本的位置更新,以及分組必須是采用某個(gè)兼容地址可路由的。如果節(jié)點(diǎn)沒有IPv4以及IPv6連通性,則可采用執(zhí)行地址版本轉(zhuǎn)換并代表節(jié)點(diǎn)提供連通性的代理節(jié)點(diǎn)。
多歸屬表示其中的端點(diǎn)具有可使用的若干并行通信路徑的情況。多歸屬通常是主機(jī)具有若干網(wǎng)絡(luò)接口(終端主機(jī)多歸屬)或者由于主機(jī)與網(wǎng)絡(luò)的其余部分之間的網(wǎng)絡(luò)具有冗余路徑(站點(diǎn)多歸屬)的結(jié)果。
對(duì)于HIP,位置與標(biāo)識(shí)信息之間的分離清楚地表明,分組標(biāo)識(shí)和路由選擇可完全相互分離。接收分組的主機(jī)通過首先得到正確密鑰、然后對(duì)分組進(jìn)行解密來識(shí)別發(fā)送方。因此,分組中的IP地址不相關(guān)。
在網(wǎng)絡(luò)中移動(dòng)的HIP移動(dòng)節(jié)點(diǎn)(HMN)可經(jīng)常改變對(duì)因特網(wǎng)的連接點(diǎn)。當(dāng)連接點(diǎn)改變時(shí),IP地址也改變。這個(gè)改變的位置信息必須發(fā)送給對(duì)等節(jié)點(diǎn)、即HIP對(duì)應(yīng)節(jié)點(diǎn)(HCN),這種情況如附圖的圖4所示。相同的地址也可發(fā)送給HMN的轉(zhuǎn)發(fā)代理(FA),使得也可經(jīng)由更穩(wěn)定的點(diǎn)到達(dá)HMN。DNS系統(tǒng)太慢而無法用于經(jīng)常改變位置信息。因此,必須有一種可用來聯(lián)絡(luò)HMN的更穩(wěn)定地址。這種地址是FA所提供的地址。
HIP移動(dòng)性和多歸屬協(xié)議(P.Nikander、J.Arkko、P.Jokela的“采用主機(jī)標(biāo)識(shí)協(xié)議的終端主機(jī)移動(dòng)性和多歸屬”,Intemet Draft,制訂中,draft-nikander-hip-mm-00.txt,IETF,2003)定義了包含HMN的當(dāng)前IP地址的重新尋址(REA)分組。當(dāng)HMN改變位置和IP地址時(shí),它產(chǎn)生REA分組,采用匹配所使用HI的私鑰簽署分組,并把分組發(fā)送給對(duì)等節(jié)點(diǎn)和FA。
當(dāng)對(duì)等節(jié)點(diǎn)接收REA分組時(shí),它必須開始對(duì)于包含在REA分組中的IP地址的地址檢驗(yàn)過程。需要地址檢驗(yàn)來避免接收來自HMN的錯(cuò)誤更新。它向REA分組中的地址發(fā)送地址校驗(yàn)(AC)分組。當(dāng)HMN接收匹配先前發(fā)送的REA的AC時(shí),它采用地址校驗(yàn)應(yīng)答(ACR)分組進(jìn)行響應(yīng)。在對(duì)等節(jié)點(diǎn)已經(jīng)接收到ACR分組之后,地址檢驗(yàn)完成,并且它可添加IP地址作為HMN的位置信息。
由于HMN可在采用不同IP地址版本的網(wǎng)絡(luò)之間移動(dòng),因此,HCN所接收的地址也可能來自不同于前一個(gè)地址的地址系列。
HCN可能僅支持一個(gè)IP地址版本。在這種情況中,HCN必須采用可用于把分組路由到另外的IP地址版本網(wǎng)絡(luò)的另外某個(gè)代理節(jié)點(diǎn)。
具有在連接到不同接入網(wǎng)的不同接口上配置的多個(gè)IP地址的多歸屬HIP主機(jī)具有處理送往對(duì)等節(jié)點(diǎn)的業(yè)務(wù)的更多可能性。由于它具有在網(wǎng)絡(luò)中提供其當(dāng)前位置的多個(gè)IP地址,因此它可能希望把所有這些地址告訴它的對(duì)等節(jié)點(diǎn)。要進(jìn)行這種操作,多歸屬HIP節(jié)點(diǎn)創(chuàng)建包含能夠?qū)δ莻€(gè)特定節(jié)點(diǎn)使用的所有地址的REA分組。這個(gè)地址集可包含它具有的所有地址或者這些地址的某個(gè)子集。當(dāng)對(duì)等節(jié)點(diǎn)接收具有多個(gè)地址的REA分組時(shí),它必須對(duì)這些地址的每個(gè)進(jìn)行地址檢驗(yàn),以便避免可能的錯(cuò)誤更新。
HCN發(fā)送要送往包含在REA分組中的IP地址的AC分組集合。當(dāng)HMN接收這些AC時(shí),它采用ACR來響應(yīng)它們的每個(gè)。HCN可從所接收ACR分組中確定地址的哪一個(gè)有效。
可能因HMN是惡意節(jié)點(diǎn)、它在堆棧實(shí)現(xiàn)中有錯(cuò)誤、或者HMN可能位于采用在因特網(wǎng)中不可路由的私有地址的網(wǎng)絡(luò)內(nèi)部而產(chǎn)生REA分組中的錯(cuò)誤或不可路由的地址。
多歸屬HIP節(jié)點(diǎn)能夠使用所有可用連接,但是,連接的有效使用需要了解基礎(chǔ)接入網(wǎng)并且可控制其使用的策略系統(tǒng)。這樣一種策略系統(tǒng)可采用不同種類的信息用戶偏好、操作員偏好、來自網(wǎng)絡(luò)連接的輸入、如QoS等。
為了開始與移動(dòng)節(jié)點(diǎn)的HIP交換,發(fā)起方節(jié)點(diǎn)需要知道如何到達(dá)移動(dòng)節(jié)點(diǎn)。雖然動(dòng)態(tài)DNS可用于不經(jīng)常移動(dòng)節(jié)點(diǎn)的這個(gè)功能,但是,對(duì)于以這種方式使用DNS的一個(gè)備選方案是采用上述靜態(tài)基礎(chǔ)設(shè)施段、即轉(zhuǎn)發(fā)代理(又稱作HIP聚集服務(wù)器)。不是向DNS服務(wù)器登記它的當(dāng)前動(dòng)態(tài)地址,而是移動(dòng)節(jié)點(diǎn)登記它的轉(zhuǎn)發(fā)代理的地址。移動(dòng)節(jié)點(diǎn)使轉(zhuǎn)發(fā)代理采用其當(dāng)前IP地址連續(xù)更新。轉(zhuǎn)發(fā)代理只在其當(dāng)前位置把初始HIP分組從發(fā)起方轉(zhuǎn)發(fā)給移動(dòng)節(jié)點(diǎn)。其它所有分組在發(fā)起方與移動(dòng)節(jié)點(diǎn)之間流動(dòng)。通常在轉(zhuǎn)發(fā)代理上存在極少活動(dòng),主要為地址更新和初始HIP分組轉(zhuǎn)發(fā)。因此,一個(gè)轉(zhuǎn)發(fā)代理可支持大量可能的移動(dòng)節(jié)點(diǎn)。移動(dòng)節(jié)點(diǎn)必須信任轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)代理正確地維護(hù)其HIT和IP地址映射。轉(zhuǎn)發(fā)代理甚至可用于位置固定的節(jié)點(diǎn),因?yàn)榍闆r通常是,固定節(jié)點(diǎn)可經(jīng)常改變其IP地址,例如當(dāng)它每次由那個(gè)節(jié)點(diǎn)的服務(wù)提供商建立因特網(wǎng)連接而被分配時(shí)。
如果兩種節(jié)點(diǎn)都是移動(dòng)的,并且正好同時(shí)移動(dòng),則還需要轉(zhuǎn)發(fā)代理。在那種情況中,HIP重新尋址分組將在網(wǎng)絡(luò)中相互交叉,并且絕不會(huì)到達(dá)對(duì)等節(jié)點(diǎn)。為了解決這種情況,節(jié)點(diǎn)應(yīng)當(dāng)記住轉(zhuǎn)發(fā)代理地址,并且在沒有接收到應(yīng)答時(shí)向轉(zhuǎn)發(fā)代理重新發(fā)送HIP重新尋址分組。
移動(dòng)節(jié)點(diǎn)通過建立與轉(zhuǎn)發(fā)代理的HIP關(guān)聯(lián)并向其發(fā)送HIP重新尋址分組來使它的地址在轉(zhuǎn)發(fā)代理上是當(dāng)前的。如果它們具有不同于DNS查詢的方法以得到彼此的HI和HIT,則轉(zhuǎn)發(fā)代理將允許兩個(gè)移動(dòng)系統(tǒng)使用HIP而無需任何外部基礎(chǔ)設(shè)施(除了轉(zhuǎn)發(fā)代理本身之外),其中包括DNS。
在遺留設(shè)備的情況中,主機(jī)可能不是HIP使能的,以及唯一選項(xiàng)是采用IP地址來標(biāo)識(shí)主機(jī)之間的連接。這不是安全的。情況可通過在HIP使能的主機(jī)與無法使用HIP的主機(jī)之間設(shè)置HIP代理得到改進(jìn)。一種典型情況是其中的客戶機(jī)終端不是HIP使能的小公司LAN。業(yè)務(wù)經(jīng)由HIP代理路由到對(duì)應(yīng)主機(jī)(它們是HIP使能的)。
這種配置如附圖的圖5所示。在圖5中,遺留主機(jī)12表示為經(jīng)由HIP代理16與HIP使能的節(jié)點(diǎn)14(具有域名“hip.foo.com”)進(jìn)行通信。遺留主機(jī)12通過接入網(wǎng)18訪問HIP代理16,而HIP代理16則通過因特網(wǎng)20訪問HIP節(jié)點(diǎn)14。為了部分保護(hù)遺留主機(jī)12與HIP節(jié)點(diǎn)14之間的連接,HIP代理16與HIP節(jié)點(diǎn)14之間的所有通信都以如以上參照?qǐng)D3所述的相似方式通過HIP代理16與HIP節(jié)點(diǎn)14之間建立的安全關(guān)聯(lián)。
但是,甚至在圖5所示的安全關(guān)聯(lián)22可被建立以便實(shí)現(xiàn)遺留主機(jī)12與HIP節(jié)點(diǎn)14之間的通信之前,當(dāng)遺留主機(jī)12在HIP節(jié)點(diǎn)14如上所述位于轉(zhuǎn)發(fā)代理26之后時(shí)嘗試通過向DNS服務(wù)器24-1(以及DNS服務(wù)器24-2)發(fā)送查詢來解析HIP節(jié)點(diǎn)14的IP地址時(shí)出現(xiàn)問題。DNS服務(wù)器24-1將返回HIP節(jié)點(diǎn)14的HIT以及轉(zhuǎn)發(fā)代理26的IP地址。由于遺留主機(jī)12不是HIP使能的,因此將忽略HIT并開始向轉(zhuǎn)發(fā)代理26發(fā)送消息。如果沒有HIT,則轉(zhuǎn)發(fā)代理26無法解析這些消息的目標(biāo)地址,因?yàn)闃O有可能的是若干HIP節(jié)點(diǎn)將使用同一個(gè)轉(zhuǎn)發(fā)代理26。同樣,由于遺留主機(jī)12忽略HIT并且在發(fā)起連接時(shí)僅使用HIP節(jié)點(diǎn)14的IP地址,因此HIP代理16無法發(fā)起它本身與HIP節(jié)點(diǎn)14之間的HIP協(xié)商,因?yàn)樗恢繦IP節(jié)點(diǎn)14的HIT。在我們的共同未決PCT申請(qǐng)No.PCT/EP04/050129中解決這個(gè)問題。
在并非3G環(huán)境中的所有用戶設(shè)備(UE)都是HIP使能的第三代(3G)移動(dòng)電信網(wǎng)絡(luò)中實(shí)現(xiàn)HIP時(shí)出現(xiàn)其它技術(shù)考慮因素。在這種上下文中,通用移動(dòng)電信系統(tǒng)(UMTS)是全球移動(dòng)通信系統(tǒng)(GSM)的3G后續(xù)方案。GSM向UMTS的最重要發(fā)展步驟是通用分組無線電業(yè)務(wù)(GPRS)。GPRS把分組交換引入GSM核心網(wǎng),并且允許對(duì)分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)的直接訪問。這實(shí)現(xiàn)遠(yuǎn)遠(yuǎn)超過通過GSM核心網(wǎng)的ISDN的64kbps限制的高數(shù)據(jù)速率分組交換傳輸,這是高達(dá)2Mbps的UMTS數(shù)據(jù)傳輸速率所必需的。GPRS是UMTS引進(jìn)的前提。
希望為在一個(gè)網(wǎng)絡(luò)環(huán)境、如UMTS或GPRS中工作的主機(jī)與在另一個(gè)網(wǎng)絡(luò)環(huán)境、如因特網(wǎng)中工作的HIP使能主機(jī)之間的通信提供以上所述的主機(jī)標(biāo)識(shí)協(xié)議的益處。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的第一方面,提供把主機(jī)標(biāo)識(shí)協(xié)議(HIP)用于至少部分保護(hù)在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)與在第二網(wǎng)絡(luò)環(huán)境中工作的第二HIP使能主機(jī)之間的通信的方法,其中網(wǎng)關(guān)節(jié)點(diǎn)形成兩種環(huán)境之間的網(wǎng)關(guān),該方法包括把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián),在網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)標(biāo)識(shí)符,以及向第一主機(jī)發(fā)送標(biāo)識(shí)符;在從第一主機(jī)發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息中采用標(biāo)識(shí)符作為源地址,并且具有消息的目的地是第二主機(jī)的指示;以及采用網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接。
標(biāo)識(shí)符可在網(wǎng)關(guān)節(jié)點(diǎn)上產(chǎn)生。可響應(yīng)上下文激活請(qǐng)求從第一主機(jī)發(fā)送到網(wǎng)關(guān)節(jié)點(diǎn)而產(chǎn)生標(biāo)識(shí)符。上下文激活請(qǐng)求可能是激活PDP上下文的分組數(shù)據(jù)協(xié)議(PDP)上下文激活請(qǐng)求,以及標(biāo)識(shí)符用作PDP上下文中的PDP地址。
第一主機(jī)可能不是HIP使能的,在這種情況中,在網(wǎng)關(guān)節(jié)點(diǎn)與第二主機(jī)之間協(xié)商安全HIP連接。
或者,第一主機(jī)可能是HIP使能的,在這種情況中,在第一與第二主機(jī)之間協(xié)商安全HIP連接。
標(biāo)識(shí)符可能具有與由第一主機(jī)用于與網(wǎng)關(guān)節(jié)點(diǎn)的通信的尋址方案中的地址相同的長(zhǎng)度。例如,IP尋址方案可被使用,使得標(biāo)識(shí)符可用作會(huì)話發(fā)起消息中的源IP地址。
標(biāo)識(shí)符可能是和為第一主機(jī)產(chǎn)生并與其關(guān)聯(lián)的HIP標(biāo)識(shí)標(biāo)記關(guān)聯(lián)的查找標(biāo)識(shí)符,允許在網(wǎng)關(guān)節(jié)點(diǎn)上采用查找標(biāo)識(shí)符來檢索第一主機(jī)的HIP標(biāo)識(shí)標(biāo)記。
或者,標(biāo)識(shí)符本身可能是HIP標(biāo)識(shí)標(biāo)記。
HIP標(biāo)識(shí)標(biāo)記可在網(wǎng)關(guān)與第二主機(jī)之間的HIP連接的協(xié)商期間包含在HIP首標(biāo)中。
HIP標(biāo)識(shí)標(biāo)記可能是主機(jī)標(biāo)識(shí)標(biāo)記(HIT)或局部范圍標(biāo)識(shí)符(LSI)。HIP標(biāo)識(shí)標(biāo)記可能從密鑰對(duì)產(chǎn)生。密鑰對(duì)可存儲(chǔ)在網(wǎng)關(guān)節(jié)點(diǎn)中,在網(wǎng)關(guān)節(jié)點(diǎn)與第二主機(jī)之間的后續(xù)HIP通信期間使用。
標(biāo)識(shí)符可采取IP地址的形式。
第一網(wǎng)絡(luò)環(huán)境可能是移動(dòng)網(wǎng)絡(luò)環(huán)境。移動(dòng)網(wǎng)絡(luò)環(huán)境可能是3G移動(dòng)環(huán)境,例如UMTS移動(dòng)網(wǎng)絡(luò)環(huán)境。第二網(wǎng)絡(luò)環(huán)境可能是因特網(wǎng)網(wǎng)絡(luò)環(huán)境。
網(wǎng)關(guān)節(jié)點(diǎn)可提供HIP代理的功能性。網(wǎng)關(guān)節(jié)點(diǎn)可能是網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)。
該方法可包括采用與網(wǎng)關(guān)節(jié)點(diǎn)關(guān)聯(lián)的地址來代替標(biāo)識(shí)符,作為發(fā)送給第二主機(jī)的后續(xù)消息中的源地址。
根據(jù)本發(fā)明的第二方面,提供一種通信系統(tǒng),包括在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)、在第二網(wǎng)絡(luò)環(huán)境中工作的第二主機(jī)標(biāo)識(shí)協(xié)議(HIP)使能主機(jī)、形成兩種環(huán)境之間的網(wǎng)關(guān)的網(wǎng)關(guān)節(jié)點(diǎn)、用于把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián)的裝置、用于在網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)標(biāo)識(shí)符的裝置、用于把標(biāo)識(shí)符發(fā)送給第一主機(jī)的裝置、用于在從第一主機(jī)發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息中采用標(biāo)識(shí)符作為源地址并且具有消息的目的地是第二主機(jī)的指示的裝置、以及用于采用網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接的裝置。
根據(jù)本發(fā)明的第三方面,提供由網(wǎng)關(guān)節(jié)點(diǎn)使用的、把主機(jī)標(biāo)識(shí)協(xié)議(HIP)用于至少部分保護(hù)在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)與在第二網(wǎng)絡(luò)環(huán)境中工作的第二HIP使能主機(jī)之間的通信的方法,其中網(wǎng)關(guān)節(jié)點(diǎn)形成兩種環(huán)境之間的網(wǎng)關(guān),該方法包括把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián),在網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)標(biāo)識(shí)符,以及向第一主機(jī)發(fā)送標(biāo)識(shí)符;接收從第一主機(jī)發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息,該消息具有作為源地址的標(biāo)識(shí)符并且還具有消息的目的地是第二主機(jī)的指示;以及采用網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接。
根據(jù)本發(fā)明的第四方面,提供一種設(shè)備,用作在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)與在第二網(wǎng)絡(luò)環(huán)境中工作的第二主機(jī)標(biāo)識(shí)協(xié)議(HIP)使能主機(jī)之間的網(wǎng)關(guān)節(jié)點(diǎn),包括用于把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián)的裝置,用于在網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)標(biāo)識(shí)符的裝置,用于向第一主機(jī)發(fā)送標(biāo)識(shí)符的裝置,用于接收從第一主機(jī)發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息的裝置,所述消息具有作為源地址的標(biāo)識(shí)符并且還具有消息的目的地是第二主機(jī)的指示,以及用于采用網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接的裝置。
根據(jù)本發(fā)明的第五方面,提供一種操作程序,它在網(wǎng)關(guān)節(jié)點(diǎn)上運(yùn)行時(shí),使網(wǎng)關(guān)節(jié)點(diǎn)執(zhí)行根據(jù)本發(fā)明的第三方面的方法。
根據(jù)本發(fā)明的第六方面,提供一種操作程序,它在加載到網(wǎng)關(guān)節(jié)點(diǎn)中時(shí),使網(wǎng)關(guān)節(jié)點(diǎn)成為根據(jù)本發(fā)明的第四方面的設(shè)備。
操作程序可在承載媒體上承載。承載媒體可能是例如傳輸媒體或者存儲(chǔ)媒體。
前面所述的圖1說明主機(jī)標(biāo)識(shí)協(xié)議中的各個(gè)層;同樣是前面所述的圖2說明HIP協(xié)議中的四方握手的操作;同樣是前面所述的圖3說明HIP中的邏輯和實(shí)際分組結(jié)構(gòu);同樣是前面所述的圖4說明IPv6與IPv4之間的切換;同樣是前面所述的圖5是示意圖,說明經(jīng)由HIP代理為遺留主機(jī)與HIP節(jié)點(diǎn)之間的通信所建立的一般網(wǎng)絡(luò);圖6是框圖,說明可應(yīng)用本發(fā)明的實(shí)施例的GPRS/UMTS網(wǎng)絡(luò)體系結(jié)構(gòu)的單元;圖7是信號(hào)圖,說明PDP上下文激活過程的一個(gè)實(shí)例;圖8是信號(hào)圖,說明根據(jù)本發(fā)明的第一實(shí)施例的方法;圖9說明采用標(biāo)識(shí)符的128位表示的本發(fā)明的一個(gè)實(shí)施例中的終端用戶地址信息;圖10說明采用標(biāo)識(shí)符的32位表示的本發(fā)明的一個(gè)實(shí)施例中的終端用戶地址信息;圖11說明在第一實(shí)施例中發(fā)送的某些消息的HIP和IP首標(biāo)的內(nèi)容;圖12是信號(hào)圖,說明根據(jù)本發(fā)明的第二實(shí)施例的方法;以及圖13說明在第二實(shí)施例中發(fā)送的某些消息的HIP和IP首標(biāo)的內(nèi)容。
具體實(shí)施例方式
在圖6所示的GPRS/UMTS網(wǎng)絡(luò)體系結(jié)構(gòu)的框架中描述本發(fā)明的實(shí)施例。構(gòu)成本發(fā)明的一個(gè)實(shí)施例的基礎(chǔ)的原理與它們對(duì)于GPRS一樣適用于UMTS。
如上所述,GPRS作為對(duì)現(xiàn)有GSM網(wǎng)絡(luò)基礎(chǔ)設(shè)施的擴(kuò)充而設(shè)計(jì),其目的是提供無連接分組數(shù)據(jù)業(yè)務(wù)。
GPRS引入在GSM之上的支持基于IP的分組數(shù)據(jù)的端到端傳輸?shù)亩鄠€(gè)新功能單元,下面將進(jìn)行描述。
圖6所示的通信系統(tǒng)100包括與基站收發(fā)信臺(tái)(BTS)104進(jìn)行通信的移動(dòng)臺(tái)(MS)102,基站收發(fā)信臺(tái)(BTS)104又與基站控制器(BSC)106進(jìn)行通信。BTS 104和BSC 106共同構(gòu)成基站子系統(tǒng)(BSS)。在BSC 106,分組控制單元(PCU,未示出)區(qū)分送往電話網(wǎng)110的電路交換數(shù)據(jù)與送往分組數(shù)據(jù)網(wǎng)絡(luò)120的分組交換數(shù)據(jù)。電話網(wǎng)110例如可能是公共交換電話網(wǎng)(PSTN)或綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN),而分組數(shù)據(jù)網(wǎng)絡(luò)例如可能是分組交換公共數(shù)據(jù)網(wǎng)、因特網(wǎng)或公司LAN。
電路交換數(shù)據(jù)被經(jīng)由結(jié)合來訪位置寄存器(VLR)的移動(dòng)交換中心(MSC)路由到電話網(wǎng)110。另一方面,分組交換數(shù)據(jù)經(jīng)由在服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)112和網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)114路由到分組數(shù)據(jù)網(wǎng)絡(luò)120。MSC 108、SGSN 112和GGSN 114有權(quán)訪問歸屬位置寄存器(HLR)116,它是包含例如與訂戶關(guān)聯(lián)的服務(wù)、帳戶狀態(tài)信息、偏好和IP地址之類的訂戶信息的數(shù)據(jù)庫(kù)。在圖6中,域名系統(tǒng)(DNS)服務(wù)器118表示為通過分組數(shù)據(jù)網(wǎng)絡(luò)120可訪問。還表示的是連接到分組數(shù)據(jù)網(wǎng)絡(luò)120的主機(jī)122。
對(duì)于標(biāo)準(zhǔn)GSM網(wǎng)絡(luò)之上的GPRS引入兩個(gè)主要的新核心網(wǎng)單元SGSN 112和GGSN 114。SGSN 112監(jiān)測(cè)移動(dòng)臺(tái)102的狀態(tài),并跟蹤它在給定地理區(qū)域中的移動(dòng)。它還負(fù)責(zé)建立和管理移動(dòng)用戶與目標(biāo)網(wǎng)絡(luò)之間的數(shù)據(jù)連接。如果用戶移動(dòng)到由不同的SGSN所管理的一段網(wǎng)絡(luò)中,則它將執(zhí)行到新的SGSN的切換。
GGSN 114提供GPRS網(wǎng)絡(luò)環(huán)境與外部分組數(shù)據(jù)網(wǎng)絡(luò)環(huán)境120、如因特網(wǎng)和公司內(nèi)聯(lián)網(wǎng)之間的附加點(diǎn)。對(duì)各外部網(wǎng)絡(luò)120提供唯一接入點(diǎn)名稱(APN),它由移動(dòng)用戶用來建立到所要求目標(biāo)網(wǎng)絡(luò)的連接。其它信息可見于GPRS和UMTS的技術(shù)規(guī)范,可從http://www.3gpp.org獲得。
在移動(dòng)臺(tái)102能夠使用GPRS業(yè)務(wù)之前,它必須采用GPRS附加過程向GPRS網(wǎng)絡(luò)的SGSN 112進(jìn)行登記。在附加過程中,網(wǎng)絡(luò)檢查用戶是否經(jīng)過授權(quán),把用戶簡(jiǎn)檔從HLR 116復(fù)制到SGSN 112,以及向用戶分配分組臨時(shí)移動(dòng)訂戶身份(P-TMSI)。在移動(dòng)臺(tái)102已經(jīng)連接到SGSN 112的情況中,更新位置消息被發(fā)送給適當(dāng)?shù)腍LR 116,它由新SGSN 112看來執(zhí)行位置更新過程。與GPRS附加過程有關(guān)的更詳細(xì)信息可見于GPRS技術(shù)規(guī)范3GPP TS 23.060 V6.3.0(2003-12)的小節(jié)6.5。從GPRS網(wǎng)絡(luò)斷開連接稱作GPRS分離。它可由移動(dòng)臺(tái)或者由網(wǎng)絡(luò)(SGSN 112或HLR 116)發(fā)起。
在完成附加過程時(shí),網(wǎng)絡(luò)能夠跟蹤MS 102(經(jīng)由后續(xù)位置更新),并且了解用戶有權(quán)訪問的服務(wù)和網(wǎng)絡(luò)。但是,在這一點(diǎn)上,用戶不能向或從分組數(shù)據(jù)網(wǎng)絡(luò)120發(fā)送或接收數(shù)據(jù)。為了在成功的GPRS附加之后與分組數(shù)據(jù)網(wǎng)絡(luò)120交換數(shù)據(jù)分組,分組數(shù)據(jù)協(xié)議(PDP)上下文必須首先被激活。
在沒有HIP協(xié)議的先有技術(shù)的GPRS系統(tǒng)中,為了在成功的GPRS附加之后與外部分組數(shù)據(jù)網(wǎng)絡(luò)交換數(shù)據(jù)分組,移動(dòng)臺(tái)必須申請(qǐng)分組數(shù)據(jù)網(wǎng)絡(luò)中的一個(gè)或多個(gè)地址,例如在分組數(shù)據(jù)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)的情況中的IP地址。這個(gè)地址稱作PDP地址。對(duì)于各會(huì)話,創(chuàng)建PDP上下文,它描述會(huì)話的特性。它包含PDP類型(例如IPv4)、分配給移動(dòng)臺(tái)的PDP地址、所請(qǐng)求服務(wù)質(zhì)量(QoS)以及用作分組數(shù)據(jù)網(wǎng)絡(luò)的接入點(diǎn)的GGSN 114的地址。這個(gè)上下文存儲(chǔ)在移動(dòng)臺(tái)102、SGSN 112和GGSN 114中。通過激活的PDP上下文,移動(dòng)臺(tái)102是外部分組數(shù)據(jù)網(wǎng)絡(luò)120“可見的”,并且能夠發(fā)送和接收數(shù)據(jù)分組。兩個(gè)地址PDP與IMSI(國(guó)際移動(dòng)系統(tǒng)標(biāo)識(shí)符)之間的映射使GGSN 114能夠在分組數(shù)據(jù)網(wǎng)絡(luò)120與移動(dòng)臺(tái)102之間傳送數(shù)據(jù)分組。
圖7說明這種PDP上下文激活過程的一個(gè)實(shí)例。在步驟S1,激活PDP上下文請(qǐng)求從MS 102發(fā)送給SGSN 112。在步驟S2,執(zhí)行普通安全功能(例如用戶的鑒權(quán))。如果接入被允許,則SGSN 112將向受影響GGSN 114發(fā)送創(chuàng)建PDP上下文請(qǐng)求消息(步驟S3)。GGSN 114在它的PDP上下文表中創(chuàng)建新條目,它使GGSN 114能夠在SGSN112與外部分組數(shù)據(jù)網(wǎng)絡(luò)120之間路由數(shù)據(jù)分組。GGSN 114則在步驟S4向SGSN 112返回創(chuàng)建PDP上下文響應(yīng),它包含所分配的PDP地址、例如IPv4地址。SGSN 112更新其PDP上下文表,并且在步驟S5中采用激活PDP上下文接受消息向MS 102確認(rèn)新PDP上下文的激活。在上述GPRS技術(shù)規(guī)范的小節(jié)9.2.2中更詳細(xì)地描述了GPRSPDP上下文激活過程,以及在UMTS/GPRS技術(shù)規(guī)范ETSI TS 129.060V5.8.0(2003-12)的小節(jié)7.3中更詳細(xì)地描述了上述消息交換(稱作“隧道管理消息”)。
在本發(fā)明的當(dāng)前實(shí)施例中,上述PDP上下文激活過程仍然適用,但經(jīng)過修改以便使GPRS網(wǎng)絡(luò)環(huán)境中的移動(dòng)臺(tái)102與分組數(shù)據(jù)網(wǎng)絡(luò)環(huán)境120中的主機(jī)122之間的通信能夠采用HIP得到至少部分保護(hù)。如上所述,為了對(duì)網(wǎng)絡(luò)內(nèi)部的節(jié)點(diǎn)提供HIP支持,需要HIP代理對(duì)于在網(wǎng)絡(luò)環(huán)境中工作的遺留終端至少部分提供HIP的優(yōu)點(diǎn)。在GPRS網(wǎng)絡(luò)環(huán)境的上下文中,在當(dāng)前實(shí)施例中,HIP代理作為GGSN 114的組成部分來提供。因此,在當(dāng)前實(shí)施例中,圖6的GGSN 114是GGSNHIP代理114。
現(xiàn)在參照?qǐng)D8更詳細(xì)地描述當(dāng)前實(shí)施例,在其中,圖6的主機(jī)122是HIP使能主機(jī)122,以及移動(dòng)臺(tái)102是遺留(非HIP使能的)移動(dòng)臺(tái)102。
圖8是信號(hào)圖,說明實(shí)施本發(fā)明、把主機(jī)標(biāo)識(shí)協(xié)議用于至少部分保護(hù)在第一網(wǎng)絡(luò)環(huán)境(GPRS網(wǎng)絡(luò)環(huán)境)中工作的第一主機(jī)(遺留MS102)與在第二網(wǎng)絡(luò)環(huán)境(分組數(shù)據(jù)交換網(wǎng)絡(luò)環(huán)境)中工作的第二主機(jī)(HIP主機(jī)122)之間的通信的方法。GGSN HIP代理114形成兩個(gè)網(wǎng)絡(luò)環(huán)境之間的網(wǎng)關(guān)。
在步驟T1,遺留MS 102發(fā)起PDP上下文激活過程。在根據(jù)本發(fā)明的這個(gè)實(shí)施例的PDP上下文激活過程中,GGSN HIP代理114產(chǎn)生密鑰對(duì)(HI和保密密鑰),并將它與遺留MS 102關(guān)聯(lián),把密鑰對(duì)存儲(chǔ)在GGSN HIP代理114中。根據(jù)公開密鑰(HI),標(biāo)識(shí)符被產(chǎn)生并與遺留MS 102關(guān)聯(lián),然后被發(fā)送給遺留MS 102,作為要在PDP上下文中使用的地址。這與其中的IP地址通常被返回給移動(dòng)臺(tái)102作為PDP地址的上述傳統(tǒng)PDP上下文激活過程不同。
在IPv6被用于遺留MS 102上的情況中,與遺留MS 102關(guān)聯(lián)的標(biāo)識(shí)符是上述主機(jī)標(biāo)識(shí)標(biāo)記(HIT),它具有與IPv6地址相同的長(zhǎng)度,并且在這里稱作HITMS(GGSN)。在IPv4被用于遺留MS 102上的情況中,標(biāo)識(shí)符是上述局部范圍標(biāo)識(shí)符(LSI),它具有與IPv4地址相同的長(zhǎng)度,并且在這里稱作LSIMS(GGSN)。在前一種情況(IPv6)中,創(chuàng)建PDP上下文響應(yīng)中的終端用戶地址如圖9所示,而在后一種情況(IPv4)中,終端用戶地址如圖10所示。
采取無論什么形式的標(biāo)識(shí)符由終端用戶地址中的遺留MS 102接收,以及MS 102存儲(chǔ)標(biāo)識(shí)符,用作后續(xù)會(huì)話發(fā)起消息中的源地址,下面進(jìn)行描述。因此,重要的是,標(biāo)識(shí)符的長(zhǎng)度與遺留MS 102所使用的尋址方案的源地址字段相同。
當(dāng)遺留MS 102隨后希望進(jìn)行到HIP主機(jī)122的連接時(shí),如圖8的步驟T2所示,它發(fā)送DNS查詢以獲取HIP主機(jī)122的IP地址。DNS查詢經(jīng)由GGSN HIP代理114傳播到DNS服務(wù)器118。DNS服務(wù)器118返回HIP主機(jī)122的IP地址IPHH以及HIP主機(jī)122的HIT即HITHH,并且這個(gè)信息存儲(chǔ)在GGSN HIP代理114上。HITHH則被發(fā)送給遺留MS 102,并且將用作后續(xù)會(huì)話發(fā)起消息中的目標(biāo)指示符,下面進(jìn)行描述。目標(biāo)指示符將被插入會(huì)話發(fā)起消息的目標(biāo)地址字段,因此重要的是,目標(biāo)指示符具有與會(huì)話發(fā)起消息的目標(biāo)地址字段相同的長(zhǎng)度。因此,如果遺留MS 102是僅具備IPv4能力的,則響應(yīng)DNS查詢而發(fā)送給遺留MS 102的目標(biāo)指示符必須具有與IPv4地址相同的長(zhǎng)度。因此,GGSN HIP代理114必須分配LSI或IPv4地址或者HIP主機(jī)122的其它某個(gè)32位表示,它在移動(dòng)網(wǎng)絡(luò)環(huán)境中是唯一的。隨后在GGSN HIP代理114上需要地址轉(zhuǎn)換,它是技術(shù)人員易于實(shí)現(xiàn)的。
在步驟T3,會(huì)話發(fā)起消息從遺留MS 102發(fā)送給GGSN HIP代理114,其中IP首標(biāo)中的源字段設(shè)置為HITMS(GGSN)標(biāo)識(shí)符,以及目標(biāo)字段設(shè)置為HITHH,如圖11所示。在IPv4尋址的情況中,目標(biāo)地址設(shè)置為HIP主機(jī)122的LSI即LSIHH(或者在IPv6到IPv4的轉(zhuǎn)換正在進(jìn)行的情況中分配給HIP主機(jī)122的LSI)。
在接收到會(huì)話發(fā)起消息時(shí),GGSN HIP代理114注意到它在以上步驟T2所述的DNS查詢之后已經(jīng)存儲(chǔ)匹配所接收分組的目標(biāo)HIT(或LSI)的HIT(或LSI)。因此,GGSN HIP代理114知道預(yù)定目標(biāo)節(jié)點(diǎn)是HIP使能的,以及遺留MS 102與HIP主機(jī)122之間的通信可采用主機(jī)標(biāo)識(shí)協(xié)議至少部分得到保護(hù)。在這個(gè)實(shí)例中,GGSN HIP代理114無法找到它與HIP主機(jī)122之間的連接的安全關(guān)聯(lián),因此它隨后執(zhí)行以上參照?qǐng)D2所述的HIP四方握手,從而創(chuàng)建GGSN HIP代理114與HIP主機(jī)122之間的安全關(guān)聯(lián)。HIP握手在圖8中表示為步驟T4。
四方HIP握手的I1和R1分組首標(biāo)如圖11所示。在I1和R1分組的HIP首標(biāo)中,發(fā)起方字段設(shè)置為HITMS(GGSN),以及應(yīng)答方字段設(shè)置為HITHH。在IP首標(biāo)中,IPGGSN用于I1分組的源字段以及R1分組的目標(biāo)字段,而IPHH則用于I1分組的目標(biāo)字段以及R1分組的源字段。
當(dāng)安全關(guān)聯(lián)已經(jīng)在GGSN HIP代理114與HIP主機(jī)122之間建立時(shí),在步驟T5,GGSN HIP代理114采用安全關(guān)聯(lián)向HIP主機(jī)122發(fā)送會(huì)話發(fā)起消息(在步驟T3從遺留MS 102接收)。在步驟T6,會(huì)話發(fā)起確認(rèn)被返回給遺留MS 102。
遺留MS 102與HIP主機(jī)122之間的后續(xù)通信這時(shí)可繼續(xù)進(jìn)行,其中GGSN HIP代理114與HIP主機(jī)122之間的通信采用HIP安全關(guān)聯(lián)來保護(hù)。當(dāng)GGSN HIP代理114接收來自HIP主機(jī)122的分組時(shí),它對(duì)其進(jìn)行處理,并根據(jù)與步驟T1中分配給遺留MS 102相同的分組目標(biāo)HIT把數(shù)據(jù)作為常規(guī)IP分組發(fā)送給遺留MS 102。
如上所述,在建立GGSN HIP代理114與HIP主機(jī)122之間的安全關(guān)聯(lián)的HIP協(xié)商期間,以及在遺留MS 102與HIP主機(jī)122經(jīng)由GGSN HIP代理114的后續(xù)通信期間,采用為遺留MS 102產(chǎn)生的HITMS(GGSN)及關(guān)聯(lián)密鑰對(duì),而不是GGSN HIP代理114本身的HIT和密鑰對(duì)。情況是這樣,使得為與HIP主機(jī)122進(jìn)行通信的各遺留MS102創(chuàng)建分開的安全關(guān)聯(lián)(或者安全關(guān)聯(lián)對(duì))。如果采用GGSN HIP代理114的HIT和密鑰對(duì),以及有多個(gè)移動(dòng)臺(tái)與同一個(gè)HIP主機(jī)122進(jìn)行通信,則GGSN HIP代理114與HIP主機(jī)122之間的通信會(huì)采用相同的安全關(guān)聯(lián),并且在GGSN HIP代理114上沒有任何信息可用來分離不同移動(dòng)臺(tái)之間的連接;來自對(duì)等體的所有入局分組均包含相同的目標(biāo)IP和SPI。但是,如果只有一個(gè)MS與特定HIP主機(jī)122通話,則通常可能使用GGSN HIP代理114的HIT和密鑰對(duì)。
在上述第一實(shí)施例中,移動(dòng)臺(tái)102不是HIP使能的?,F(xiàn)在描述本發(fā)明的第二實(shí)施例,在其中,移動(dòng)臺(tái)102是HIP使能移動(dòng)臺(tái)102。
圖12是信號(hào)圖,說明第二實(shí)施例的操作。步驟P1和P2以對(duì)應(yīng)于第一實(shí)施例中的相應(yīng)步驟T1和T2的方式來執(zhí)行,因此在這里不作進(jìn)一步描述。在HIP MS 102上接收到HIP主機(jī)122的HIT即HITHH之后,HIP MS 102知道HIP主機(jī)122是具備HIP能力的。與第一實(shí)施例中不同,由于MS 102以及主機(jī)122都是具備HIP能力的,因此在第二實(shí)施例中,HIP協(xié)商可直接在MS 102與主機(jī)122之間執(zhí)行。GGSN HIP代理114不參與實(shí)際的HIP協(xié)商,而是收集關(guān)于HIT、IP地址和SPI的信息。在步驟P3,HIP握手通過I1分組經(jīng)由GGSN HIP代理114從HIP MS 102到HIP主機(jī)122的發(fā)送來發(fā)起。在第二實(shí)施例中,I1分組被認(rèn)為相當(dāng)于在步驟T3從遺留MS 102發(fā)送到GGSNHIP代理114的第一實(shí)施例的會(huì)話發(fā)起消息。
從HIP MS 102發(fā)送的I1分組的HIP和IP首標(biāo)在圖13的頂部示出。在整個(gè)HIP協(xié)商中,HIP首標(biāo)的發(fā)起方字段設(shè)置為HIP MS 102的HIT(HITMS)而不是由GGSN HIP代理114所分配的HIT(HITMS(GGSN))。在第二實(shí)施例中,這是因?yàn)榫邆銱IP能力的MS 102本身必須負(fù)責(zé)它本身與HIP主機(jī)122之間的HIP協(xié)商和安全關(guān)聯(lián)。由GGSN HIP代理114所分配的HITMS(GGSN)不能用于HIP MS 102與HIP主機(jī)122之間的通信,因?yàn)镸S 102沒有對(duì)應(yīng)的私鑰,因而無法使用HITMS(GGSN)來簽署分組。在步驟P3的整個(gè)HIP協(xié)商中,HIP首標(biāo)的應(yīng)答方字段設(shè)置為HIP主機(jī)122的HIT(HITHH)。
在GGSN HIP代理114上所接收的I1分組中,IP首標(biāo)的源字段設(shè)置為先前由GGSN HIP代理114所分配的標(biāo)識(shí)符HITMS(GGSN),以及目標(biāo)字段設(shè)置為在步驟P2的DNS查詢之后通知HIP MS 102的HITHH。從I1分組中,GGSN HIP代理114可從IP首標(biāo)的源字段(包含標(biāo)識(shí)符HITMS(GGSN))來確定哪一個(gè)終端發(fā)送了這個(gè)分組。GGSN HIP代理114進(jìn)行適當(dāng)?shù)牡刂忿D(zhuǎn)換,從而把源IP地址替換為GGSN的全局可路由IP地址IPGGSN,以及采用HIP主機(jī)122的IP地址IPHH取代目標(biāo)IP地址。根據(jù)目標(biāo)地址,分組直接或者經(jīng)由HIP主機(jī)122的轉(zhuǎn)發(fā)代理路由到HIP主機(jī)122。
HIP主機(jī)122采用具有HIP和IP首標(biāo)的R1分組進(jìn)行響應(yīng),如圖13所示。R1分組的首標(biāo)與在HIP主機(jī)122上所接收的I1分組相同,但源和目標(biāo)IP字段相反。
當(dāng)GGSN HIP代理114接收R1分組時(shí),它采用HIP首標(biāo)中的HITMS來檢驗(yàn)正確的接收方并檢索正確的目標(biāo)地址,用HITMS(GGSN)取代目標(biāo)IP地址,如圖13的底部所示。
I2分組包含與I1分組相似的首標(biāo)信息。I2分組還包含由HIP MS102所選的SPI值。SPI值存儲(chǔ)在GGSN HIP代理114上,因而形成連接條目{HITMS(GGSN);SPIHH->MS;HITHH}。向正確的MS傳遞入局?jǐn)?shù)據(jù)業(yè)務(wù)需要這個(gè)信息。
從R2分組中,GGSN HIP代理114可了解MS對(duì)HIP主機(jī)122使用的SPI值,但在通信期間不需要這個(gè)信息。SPI值在3G網(wǎng)絡(luò)內(nèi)部必須是唯一的。因此,GGSN HIP代理114可在I2/R2分組通過它時(shí)執(zhí)行SPI轉(zhuǎn)換。因此,終端主機(jī)會(huì)具有它們使用的不同SPI。HIP MS102向HIP主機(jī)122發(fā)送SPI,以便用于從HIP主機(jī)122送往HIP MS102的分組。GGSN HIP代理114產(chǎn)生唯一SPI,它沒有與對(duì)3G網(wǎng)絡(luò)所使用的其它任何SPI重疊,并在分組中取代它。因此,GGSN HIP代理114在分組流過時(shí)執(zhí)行SPI映射。在HIP中,這意味著,GGSNHIP代理114必須能夠改變I2和R2分組中的SPI值。目前,SPI值屬于由發(fā)送方簽署的區(qū)域,因此改變?cè)撝禃?huì)破壞簽名。一個(gè)選擇是把SPI值放置在I2和R2分組中的簽名外部,并且這可在將來的HIP規(guī)范中進(jìn)行更改。GGSN HIP代理114可能分配HIP MS 102會(huì)使用的SPI的區(qū)域。因此,HIP MS 102可能使用的SPI值通常由GGSN HIP代理114來控制,并且不會(huì)出現(xiàn)重疊。這將需要插入上下文激活過程中的字段,它通常包含HIP MS 102可能使用的所允許SPI。
在上述第二實(shí)施例中,參照HIT而不是LSI的使用。然而大家會(huì)理解,這兩種表示實(shí)質(zhì)上等效,以及LSI表示可在適當(dāng)?shù)臅r(shí)候使用。
第二實(shí)施例的PDP上下文激活過程的以上描述依靠第一實(shí)施例中所述的等效過程,在其中,GGSN HIP代理114產(chǎn)生與MS 102關(guān)聯(lián)的HIT或LSI標(biāo)識(shí)符,把標(biāo)識(shí)符存儲(chǔ)在GGSN HIP代理114中。大家會(huì)理解,在第二實(shí)施例中,對(duì)于MS 102與HIP主機(jī)122之間的通信的建立,不一定要求標(biāo)識(shí)符實(shí)際上存儲(chǔ)在GGSN HIP代理114上。例如,參照?qǐng)D13,標(biāo)識(shí)符HITMS(GGSN)作為發(fā)送給GGSN HIP代理114的I1分組的源IP字段被包含,并由轉(zhuǎn)發(fā)給HIP主機(jī)122的I1分組的IPGGSN取代;不需要把在I1分組中接收的HITMS(GGSN)與GGSN HIP代理114上所存儲(chǔ)的任何標(biāo)識(shí)符進(jìn)行匹配以執(zhí)行這個(gè)替換操作。因此,標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián),發(fā)送給第一主機(jī),以及隨后用作從第一主機(jī)發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)的會(huì)話發(fā)起消息中的源地址,其中在網(wǎng)關(guān)節(jié)點(diǎn)上在發(fā)起消息中所接收的標(biāo)識(shí)符用來協(xié)商到第二主機(jī)的安全HIP連接。在第一實(shí)施例中,要求存儲(chǔ)標(biāo)識(shí)符,使得可為后續(xù)HIP協(xié)商檢索關(guān)聯(lián)密鑰對(duì)。但是,在兩個(gè)實(shí)施例中,不一定要求標(biāo)識(shí)符存儲(chǔ)在GGSNHIP代理114本身,而是可存儲(chǔ)在服務(wù)器或者與GGSN HIP代理114進(jìn)行通信的其它這種存儲(chǔ)器中。也不一定要求標(biāo)識(shí)符在GGSN HIP代理114本身中產(chǎn)生,因?yàn)樗赡苓h(yuǎn)離GGSN HIP代理114而產(chǎn)生并從那里檢索。
在以上所述的第一和第二兩個(gè)實(shí)施例中,在步驟T2/P2的DNS查詢之后,HIP主機(jī)122的HIPHH作為DNS響應(yīng)的組成部分被返回給MS 102。隨后,HITHH被用作會(huì)話發(fā)起消息中的目標(biāo)IP地址,其中在I1分組被發(fā)送給HIP主機(jī)122之前在GGSN HIP代理114上進(jìn)行從HITHH到IPHH的適當(dāng)轉(zhuǎn)換。大家會(huì)理解,實(shí)際IP地址IPHH也可作為DNS響應(yīng)的組成部分返回給MS 102,使得IPHH可直接用于會(huì)話發(fā)起消息的目標(biāo)IP地址字段中。在這種情況中,GGSN HIP代理114需要以某種方式、例如通過參考HITHH與IPHH之間的本地存儲(chǔ)關(guān)聯(lián)來確定主機(jī)122實(shí)際上是HIP使能的。
在以上所述的第二實(shí)施例中,大家會(huì)理解,在GGSN HIP代理114上形成的I1分組首標(biāo)轉(zhuǎn)換產(chǎn)生根本不包含HITMS(GGSN)的I1分組。因此,在第二實(shí)施例中,GGSN HIP代理114所產(chǎn)生并與HIP MS 102關(guān)聯(lián)的標(biāo)識(shí)符的基礎(chǔ)格式并不重要,標(biāo)識(shí)符只是用來標(biāo)識(shí)HIP MS102。因此可采用任何類型的128位標(biāo)識(shí)符,其中地址映射以類似方式執(zhí)行。大家還會(huì)理解,在第二實(shí)施例中實(shí)際上不需要GGSN HIP代理114產(chǎn)生密鑰對(duì)以表示HIP MS 102,其中類似HIT的位模式足以作為標(biāo)識(shí)符。在第一實(shí)施例中,在HIP協(xié)商期間使用標(biāo)識(shí)符HITMS(GGSN),因此它必須采取正確的形式并與密鑰對(duì)關(guān)聯(lián)。但是,即使在第一實(shí)施例中,標(biāo)識(shí)符HITMS(GGSN)本身也不需要被發(fā)送給遺留MS 102;所需的只是與HITMS(GGSN)相關(guān)的某種標(biāo)識(shí)符被發(fā)送給遺留MS 102,并且隨后用作會(huì)話發(fā)起消息中的源IP地址。這個(gè)標(biāo)識(shí)符則可在GGSN HIP代理114上鏈接到HITMS(GGSN),以便用于后續(xù)HIP協(xié)商。
大家會(huì)理解,MS 102、GGSN HIP代理114和HIP主機(jī)122的一個(gè)或多個(gè)的操作可通過在裝置上運(yùn)行的程序來控制。這種操作程序可存儲(chǔ)在計(jì)算機(jī)可讀媒體中,或者例如可能通過信號(hào)、例如從因特網(wǎng)網(wǎng)站提供的可下載數(shù)據(jù)信號(hào)來體現(xiàn)。所附權(quán)利要求將被解釋為本身涵蓋操作程序,或作為載體上的記錄,或作為信號(hào),或者采取其它任何形式。
本領(lǐng)域的技術(shù)人員會(huì)理解,本發(fā)明的實(shí)施例不一定限制到各層、例如傳輸或網(wǎng)絡(luò)層中的任何特定協(xié)議或?qū)ぶ贩桨?,并且將在HIP框架中起作用,而不管圍繞那個(gè)框架采用什么尋址或傳輸協(xié)議。
權(quán)利要求
1.一種把主機(jī)標(biāo)識(shí)協(xié)議(HIP)用于至少部分保護(hù)在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)與在第二網(wǎng)絡(luò)環(huán)境中工作的第二HIP使能主機(jī)之間的通信的方法,其中網(wǎng)關(guān)節(jié)點(diǎn)形成所述兩種環(huán)境之間的網(wǎng)關(guān),所述方法包括把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián),在所述網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)所述標(biāo)識(shí)符,以及向第一主機(jī)發(fā)送所述標(biāo)識(shí)符;在從第一主機(jī)發(fā)送給所述網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息中采用所述標(biāo)識(shí)符作為源地址并且具有所述消息的目的地是第二主機(jī)的指示;以及采用所述網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接。
2.如權(quán)利要求1所述的方法,其特征在于,所述標(biāo)識(shí)符在所述網(wǎng)關(guān)節(jié)點(diǎn)上產(chǎn)生。
3.如權(quán)利要求2所述的方法,其特征在于,響應(yīng)上下文激活請(qǐng)求從第一主機(jī)發(fā)送到網(wǎng)關(guān)節(jié)點(diǎn)而產(chǎn)生所述標(biāo)識(shí)符。
4.如權(quán)利要求3所述的方法,其特征在于,所述上下文激活請(qǐng)求是激活PDP上下文的分組數(shù)據(jù)協(xié)議(PDP)上下文激活請(qǐng)求,以及所述標(biāo)識(shí)符用作所述PDP上下文中的PDP地址。
5.如以上任一權(quán)利要求所述的方法,其特征在于,第一主機(jī)不是HIP使能的,以及在所述網(wǎng)關(guān)節(jié)點(diǎn)與第二主機(jī)之間協(xié)商所述安全HIP連接。
6.如權(quán)利要求1至4中的任一項(xiàng)所述的方法,其特征在于,第一主機(jī)是HIP使能的,以及在第一與第二主機(jī)之間協(xié)商所述安全HIP連接。
7.如以上任一權(quán)利要求所述的方法,其特征在于,所述標(biāo)識(shí)符具有與由第一主機(jī)用于與所述網(wǎng)關(guān)節(jié)點(diǎn)通信的尋址方案中的地址相同的長(zhǎng)度。
8.如權(quán)利要求7所述的方法,其特征在于,采用IP尋址方案,以及所述標(biāo)識(shí)符用作所述會(huì)話發(fā)起消息中的源IP地址。
9.如以上任一權(quán)利要求所述的方法,其特征在于,所述標(biāo)識(shí)符是和為第一主機(jī)產(chǎn)生并與其關(guān)聯(lián)的HIP標(biāo)識(shí)標(biāo)記關(guān)聯(lián)的查找標(biāo)識(shí)符,允許在所述網(wǎng)關(guān)節(jié)點(diǎn)上采用所述查找標(biāo)識(shí)符來檢索第一主機(jī)的所述HIP標(biāo)識(shí)標(biāo)記。
10.如權(quán)利要求1至8中的任一項(xiàng)所述的方法,其特征在于,所述標(biāo)識(shí)符是HIP標(biāo)識(shí)標(biāo)記。
11.如從屬于權(quán)利要求5時(shí)的權(quán)利要求9或10所述的方法,其特征在于,所述HIP標(biāo)識(shí)標(biāo)記在所述網(wǎng)關(guān)與第二主機(jī)之間的所述HIP連接的協(xié)商期間包含在HIP首標(biāo)中。
12.如權(quán)利要求9、10或11所述的方法,其特征在于,所述HIP標(biāo)識(shí)標(biāo)記是主機(jī)標(biāo)識(shí)標(biāo)記(HIT)或局部范圍標(biāo)識(shí)符(LSI)。
13.如權(quán)利要求9至12中的任一項(xiàng)所述的方法,其特征在于,所述HIP標(biāo)識(shí)標(biāo)記從密鑰對(duì)中產(chǎn)生。
14.如從屬于權(quán)利要求5時(shí)的權(quán)利要求13所述的方法,其特征在于,所述密鑰對(duì)存儲(chǔ)在所述網(wǎng)關(guān)節(jié)點(diǎn)中,以供在所述網(wǎng)關(guān)節(jié)點(diǎn)與第二主機(jī)之間的后續(xù)HIP通信期間使用。
15.如權(quán)利要求1至9中的任一項(xiàng)所述的方法,其特征在于,所述標(biāo)識(shí)符采取IP地址的形式。
16.如以上任一權(quán)利要求所述的方法,其特征在于,所述第一網(wǎng)絡(luò)環(huán)境是移動(dòng)網(wǎng)絡(luò)環(huán)境。
17.如權(quán)利要求16所述的方法,其特征在于,所述移動(dòng)網(wǎng)絡(luò)環(huán)境是3G移動(dòng)環(huán)境。
18.如權(quán)利要求17所述的方法,其特征在于,所述移動(dòng)網(wǎng)絡(luò)環(huán)境是UMTS移動(dòng)網(wǎng)絡(luò)環(huán)境。
19.如以上任一權(quán)利要求所述的方法,其特征在于,所述第二網(wǎng)絡(luò)環(huán)境是因特網(wǎng)網(wǎng)絡(luò)環(huán)境。
20.如以上任一權(quán)利要求所述的方法,其特征在于,所述網(wǎng)關(guān)節(jié)點(diǎn)提供HIP代理的功能性。
21.如以上任一權(quán)利要求所述的方法,其特征在于,所述網(wǎng)關(guān)節(jié)點(diǎn)是網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)。
22.如以上任一權(quán)利要求所述的方法,其特征在于,包括采用與所述網(wǎng)關(guān)節(jié)點(diǎn)關(guān)聯(lián)的地址來代替所述標(biāo)識(shí)符,作為發(fā)送給第二主機(jī)的后續(xù)消息中的源地址。
23.一種通信系統(tǒng),包括在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)、在第二網(wǎng)絡(luò)環(huán)境中工作的第二主機(jī)標(biāo)識(shí)協(xié)議(HIP)使能主機(jī)、形成所述兩種環(huán)境之間的網(wǎng)關(guān)的網(wǎng)關(guān)節(jié)點(diǎn)、用于把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián)的裝置、用于在所述網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)所述標(biāo)識(shí)符的裝置、用于把所述標(biāo)識(shí)符發(fā)送給第一主機(jī)的裝置、用于在從第一主機(jī)發(fā)送給所述網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息中采用所述標(biāo)識(shí)符作為源地址并且具有所述消息的目的地是第二主機(jī)的指示的裝置、以及用于采用所述網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接的裝置。
24.一種供網(wǎng)關(guān)節(jié)點(diǎn)使用的、把主機(jī)標(biāo)識(shí)協(xié)議(HIP)用于至少部分保護(hù)在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)與在第二網(wǎng)絡(luò)環(huán)境中工作的第二HIP使能主機(jī)之間的通信的方法,其中網(wǎng)關(guān)節(jié)點(diǎn)形成所述兩種環(huán)境之間的網(wǎng)關(guān),所述方法包括把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián),在所述網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)所述標(biāo)識(shí)符,以及向第一主機(jī)發(fā)送所述標(biāo)識(shí)符;接收從第一主機(jī)發(fā)送給所述網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息,所述消息具有作為源地址的所述標(biāo)識(shí)符,并且還具有所述消息的目的地是第二主機(jī)的指示;以及采用所述網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接。
25.一種設(shè)備,用作在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)與在第二網(wǎng)絡(luò)環(huán)境中工作的第二主機(jī)標(biāo)識(shí)協(xié)議(HIP)使能主機(jī)之間的網(wǎng)關(guān)節(jié)點(diǎn),包括用于把標(biāo)識(shí)符與第一主機(jī)關(guān)聯(lián)的裝置;用于在所述網(wǎng)關(guān)節(jié)點(diǎn)上存儲(chǔ)所述標(biāo)識(shí)符的裝置;用于向第一主機(jī)發(fā)送所述標(biāo)識(shí)符的裝置;用于接收從第一主機(jī)發(fā)送給所述網(wǎng)關(guān)節(jié)點(diǎn)的后續(xù)會(huì)話發(fā)起消息的裝置,所述消息具有作為源地址的所述標(biāo)識(shí)符并且還具有所述消息的目的地是第二主機(jī)的指示;以及用于采用所述網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符來協(xié)商到第二主機(jī)的安全HIP連接的裝置。
26.一種操作程序,在網(wǎng)關(guān)節(jié)點(diǎn)上運(yùn)行時(shí),使所述網(wǎng)關(guān)節(jié)點(diǎn)執(zhí)行如權(quán)利要求24所述的方法。
27.一種操作程序,在加載到網(wǎng)關(guān)節(jié)點(diǎn)中時(shí),使所述網(wǎng)關(guān)節(jié)點(diǎn)成為如權(quán)利要求25所述的設(shè)備。
28.如權(quán)利要求26或27所述的操作程序,其特征在于,在承載媒體上承載。
29.如權(quán)利要求28所述的操作程序,其特征在于,所述承載媒體是傳輸媒體。
30.如權(quán)利要求28所述的操作程序,其特征在于,所述承載媒體是存儲(chǔ)媒體。
全文摘要
提供一種把主機(jī)標(biāo)識(shí)協(xié)議(HIP)用于至少部分保護(hù)在第一網(wǎng)絡(luò)環(huán)境中工作的第一主機(jī)(102)與在第二網(wǎng)絡(luò)環(huán)境中工作的第二HIP使能主機(jī)(122)之間的通信的方法,其中網(wǎng)關(guān)節(jié)點(diǎn)(114)形成兩種環(huán)境之間的網(wǎng)關(guān)。在該方法中,標(biāo)識(shí)符與第一主機(jī)(102)關(guān)聯(lián),在網(wǎng)關(guān)節(jié)點(diǎn)(114)上存儲(chǔ),并發(fā)送給第一主機(jī)(102)。該標(biāo)識(shí)符則用作從第一主機(jī)(102)發(fā)送給網(wǎng)關(guān)節(jié)點(diǎn)(114)的后續(xù)會(huì)話發(fā)起消息中的源地址,該消息具有消息的目的地是第二主機(jī)(122)的指示。網(wǎng)關(guān)節(jié)點(diǎn)上的已存儲(chǔ)標(biāo)識(shí)符則用來協(xié)商到第二主機(jī)的安全HIP連接。第一網(wǎng)絡(luò)環(huán)境可能是UMTS或GPRS環(huán)境,在這種情況中,網(wǎng)關(guān)節(jié)點(diǎn)可能是網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)。
文檔編號(hào)H04L29/06GK1939000SQ200480042690
公開日2007年3月28日 申請(qǐng)日期2004年4月15日 優(yōu)先權(quán)日2004年4月15日
發(fā)明者P·A·約克拉, P·尼坎德, P·M·薩爾梅拉, J·阿科, J·伊利塔洛 申請(qǐng)人:艾利森電話股份有限公司