專利名稱:因特網(wǎng)協(xié)議移動(dòng)性安全控制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例涉及IP移動(dòng)性,更具體地,涉及IP移動(dòng)系統(tǒng)中的控制安全過程。
背景技術(shù):
當(dāng)前,終端設(shè)備是高度移動(dòng)的,并可在任何時(shí)間、也在活動(dòng)網(wǎng)絡(luò)連接期間改變它們附著到因特網(wǎng)的附著點(diǎn)。為IP版本6 (IPv6)和IP版本4 (IPv4)定義的移動(dòng)IP協(xié)議允許移動(dòng)節(jié)點(diǎn)(匪)改變它們到因特網(wǎng)的接入點(diǎn)而無(wú)需改變它們的IP地址。移動(dòng)IP定義ー種用于將移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)路由到該節(jié)點(diǎn)的當(dāng)前位置的系統(tǒng)。這通過使用歸屬代理(HA)實(shí)現(xiàn),其中歸屬代理監(jiān)控永久IP地址和移動(dòng)節(jié)點(diǎn)的當(dāng)前位置。歸屬代理允許移動(dòng)節(jié)點(diǎn)具有永久地址,其被歸屬代理轉(zhuǎn)換成移動(dòng)節(jié)點(diǎn)的當(dāng)前地址。移動(dòng)設(shè)備用于訪問服務(wù)的某些接入網(wǎng)絡(luò)被認(rèn)為是“不安全”的接入網(wǎng)絡(luò),而某些其它網(wǎng)絡(luò)被認(rèn)為是“安全”的接入網(wǎng)絡(luò)。不安全的接入網(wǎng)絡(luò)的例子可以是公共WLAN熱點(diǎn),其通過公共網(wǎng)絡(luò)(例如因特網(wǎng))提供對(duì)運(yùn)營(yíng)商服務(wù)的接入。安全的接入網(wǎng)絡(luò)的例子可以是具有第二層加密使能的通用分組無(wú)線服務(wù)(GPRS)網(wǎng)絡(luò)。因特網(wǎng)協(xié)議安全體系(IPSec)在ー組因特網(wǎng)工程任務(wù)組(IETF)征求意見書(RFC)中規(guī)定,并被廣泛用于在各種配置中提供IP分組的安全傳輸。IPSec可應(yīng)用在麗與HA之間以提供加密的移動(dòng)IP隧道。當(dāng)在安全和不安全的接入網(wǎng)絡(luò)之間切換吋,MN應(yīng)當(dāng)根據(jù)安全策略動(dòng)態(tài)地啟用加密或關(guān)閉加密。麗可被配置為在麗檢測(cè)到IP子網(wǎng)絡(luò)的改變時(shí)檢測(cè)新的IP子網(wǎng)絡(luò)的安全要求,并修改MN的安全關(guān)聯(lián)以適應(yīng)新的IP子網(wǎng)絡(luò)的安全要求。
發(fā)明內(nèi)容
現(xiàn)在提供ー種方法、裝置和計(jì)算機(jī)程序產(chǎn)品,其特征在于獨(dú)立權(quán)利要求中所描述的特征。本發(fā)明的某些實(shí)施例在從屬權(quán)利要求中描述。根據(jù)本發(fā)明的一個(gè)實(shí)施例,提供ー種方法,包括對(duì)于連接到IP子網(wǎng)絡(luò)并在IP子網(wǎng)絡(luò)中由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn),促使建立具有安全模式的指示的IP移動(dòng)綁定;檢測(cè)修改用于連接到IP子網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)的安全模式的觸發(fā)器;以及響應(yīng)于觸發(fā)器,修改用于連接到IP子網(wǎng)絡(luò)并由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn)的安全模式。根據(jù)本發(fā)明的一個(gè)實(shí)施例,提供ー種裝置,包括至少ー個(gè)處理器;至少ー個(gè)包括計(jì)算機(jī)程序代碼的存儲(chǔ)器,所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為用所述裝置的所述至少一個(gè)處理器使得所述裝置至少執(zhí)行對(duì)于連接到IP子網(wǎng)絡(luò)并在IP子網(wǎng)絡(luò)中由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn),建立具有安全模式的指示的IP移動(dòng)綁定;檢測(cè)修改用于連接到IP子網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)的安全模式的觸發(fā)器;以及響應(yīng)觸發(fā)器,修改用于連接到IP子網(wǎng)絡(luò)并由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn)的安全模式。根據(jù)另ー個(gè)實(shí)施例,提供ー種裝置,其包括用于對(duì)于連接到IP子網(wǎng)絡(luò)并在IP子 網(wǎng)絡(luò)中由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn),建立具有安全模式的指示的IP移動(dòng)綁定的裝置;用于檢測(cè)修改用于連接到IP子網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)的安全模式的觸發(fā)器的裝置;以及用于響應(yīng)于觸發(fā)器而修改用于連接到IP子網(wǎng)絡(luò)并由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn)的安全模式的裝置。本發(fā)明和本發(fā)明的各種實(shí)施例提供若干優(yōu)點(diǎn),其將根據(jù)以下的詳細(xì)說(shuō)明而變得更加明顯。
下面參照附圖僅以例子的方式描述本發(fā)明的實(shí)施例,其中圖I表示IP通信系統(tǒng); 圖2表示根據(jù)實(shí)施例的裝置;圖3表示根據(jù)實(shí)施例的方法;圖4至圖6表示根據(jù)某些其它實(shí)施例的方法;圖7至圖10表示根據(jù)某些實(shí)施例的移動(dòng)IP消息;圖11至圖13表示根據(jù)某些實(shí)施例的信令圖。
具體實(shí)施例方式雖然本說(shuō)明書在ー些提及“一”、“ー個(gè)”或“一些”實(shí)施例,但這并不必然意味著每個(gè)這樣的引用是指相同的實(shí)施例,或者特征僅僅應(yīng)用于單個(gè)實(shí)施例。不同實(shí)施例的單個(gè)特征也可以被組合以提供其它實(shí)施例。下面參照?qǐng)DI的簡(jiǎn)化通信系統(tǒng)和實(shí)體來(lái)描述ー些實(shí)施例。然而,當(dāng)前公開的特征的應(yīng)用并不限于任何特定的網(wǎng)絡(luò)配置,這些實(shí)施例可應(yīng)用于任何移動(dòng)節(jié)點(diǎn)與通過應(yīng)用IP移動(dòng)性與該移動(dòng)節(jié)點(diǎn)進(jìn)行通信的實(shí)體之間的安全可以被有選擇地實(shí)施的通信系統(tǒng)。術(shù)語(yǔ)“移動(dòng)節(jié)點(diǎn)”應(yīng)當(dāng)被廣義地理解為是指各種類型的節(jié)點(diǎn),其能夠在接入網(wǎng)絡(luò)之間改變,而無(wú)需限于例如支持當(dāng)前移動(dòng)IP協(xié)議的移動(dòng)節(jié)點(diǎn)。移動(dòng)節(jié)點(diǎn)(MN)IO可通過ー個(gè)或多個(gè)接入網(wǎng)絡(luò)20、22、24連接到各種網(wǎng)絡(luò)資源。例如,這種接入網(wǎng)絡(luò)可以是連接到因特網(wǎng)接入網(wǎng)關(guān)和因特網(wǎng)的(無(wú)線)局域網(wǎng)。另ー個(gè)例子是專用接入網(wǎng)絡(luò),諸如連接到公司企業(yè)內(nèi)部網(wǎng)的無(wú)線公司LAN。WLAN的一些例子包括根據(jù)某些IEEE WLAN規(guī)范的網(wǎng)絡(luò),諸如802. 11家族。接入網(wǎng)絡(luò)的再一個(gè)例子是根據(jù)IEEE 802. 16規(guī)范的WIMAX網(wǎng)絡(luò)。麗10通常能夠在接入網(wǎng)絡(luò)上與多個(gè)網(wǎng)絡(luò)附著點(diǎn)(諸如基站26)建立IP連接。例如,接入網(wǎng)絡(luò)20可以是GSM接入網(wǎng)(基站子系統(tǒng)BSS)、寬帶碼分多址(WCDMA)接入網(wǎng)、和/或由第三代伙伴計(jì)劃(3GPP)標(biāo)準(zhǔn)化的演進(jìn)UMTS無(wú)線接入網(wǎng)(E-UTRAN)。應(yīng)當(dāng)指出,諸如WIFI網(wǎng)絡(luò)和WIMAX網(wǎng)絡(luò)的其它非蜂窩接入網(wǎng)也可以配備多個(gè)接入點(diǎn)。接入網(wǎng)絡(luò)20、22被連接到其它網(wǎng)絡(luò)単元50,其通常是運(yùn)營(yíng)商的核心網(wǎng)絡(luò)。例如,這種核心網(wǎng)絡(luò)可以是GMS/GRRS核心網(wǎng)絡(luò)或由3GPP標(biāo)準(zhǔn)化的長(zhǎng)期演進(jìn)(LTE)核心網(wǎng)絡(luò),其也稱為3GPP核心網(wǎng)絡(luò)或UMTS核心網(wǎng)絡(luò)。這種接入網(wǎng)絡(luò)的其它ー些例子包括第三代伙伴計(jì)劃2 (3GPP2)的無(wú)線接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò),諸如CDMAlx和演進(jìn)數(shù)據(jù)優(yōu)化(EV-DO)網(wǎng)絡(luò)。麗10能夠同時(shí)連接到ー個(gè)或多個(gè)接入網(wǎng)絡(luò)20、22、24。IP移動(dòng)性協(xié)議,諸如在IETF規(guī)范RFC 3775中規(guī)定的移動(dòng)IP版本6 (MIP6)或在RFC 3344中規(guī)定的移動(dòng)IP版本4 (MIP4),適用于支持匪10的IP連接的移動(dòng)性。系統(tǒng)包括ー個(gè)或多個(gè)IP移動(dòng)錨點(diǎn),在所公開的實(shí)施例中是歸屬代理(HA) 30,以通過在MN的歸屬地址與從當(dāng)前拜訪接入網(wǎng)絡(luò)22中獲取的MN的當(dāng)前轉(zhuǎn)交地址(CoA)之間建立綁定來(lái)隱藏MN10的移動(dòng)性??尚纬傻紺oA的隧道90以傳輸來(lái)自連接到網(wǎng)絡(luò)60的通信節(jié)點(diǎn)CN 80的例如目的地是MN的歸屬地址的分組。通信節(jié)點(diǎn)80可以是移動(dòng)的或靜止的。在圖I中 ,HA 30被表示為與網(wǎng)絡(luò)50連接,但應(yīng)當(dāng)知道,可以有超過ー個(gè)的HA為麗10服務(wù),并且HA 30可以位于另ー個(gè)網(wǎng)絡(luò)中,諸如連接到例如因特網(wǎng)的網(wǎng)絡(luò)60。在MIP4的情況下,外部代理可以在接入網(wǎng)絡(luò)20、22、24中提供或者共同位于托管MIP移動(dòng)節(jié)點(diǎn)特征的終端中,但在MIP6中,在接入網(wǎng)絡(luò)中沒有提供特定的外部代理。某些其它可連同當(dāng)前公開的特征一起應(yīng)用的IP移動(dòng)性協(xié)議包括在RFC5555中規(guī)定的雙棧移動(dòng)IPv6(DSMIP6)協(xié)議和在RFC 3963中規(guī)定的網(wǎng)絡(luò)移動(dòng)性(NEMO)協(xié)議。DSMIP6擴(kuò)展移動(dòng)IPv6能力以允許具有雙棧的移動(dòng)節(jié)點(diǎn)請(qǐng)求它們的歸屬代理(也是雙棧的)通過隧道傳送被定址到它們的歸屬地址以及IPv4/IPv6轉(zhuǎn)交地址的IPv4/IPv6分組。NEMO協(xié)議是MIPv6的擴(kuò)展,其允許移動(dòng)網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)在移動(dòng)時(shí)是可達(dá)的。因此,以下描述的用于MN10的特征的應(yīng)用并不限于終端設(shè)備,但至少某些特征也可以應(yīng)用于移動(dòng)網(wǎng)絡(luò)的其它類型的具有路由的能力的節(jié)點(diǎn)。在以下的說(shuō)明中,主要參照MIPv6說(shuō)明其它實(shí)施例,但應(yīng)當(dāng)知道,這些過程還可以應(yīng)用于其它當(dāng)前或未來(lái)的IP移動(dòng)系統(tǒng)。因此,術(shù)語(yǔ)“轉(zhuǎn)交地址”也應(yīng)當(dāng)被廣義地理解為是指任何類型的用于當(dāng)移動(dòng)節(jié)點(diǎn)在其歸屬網(wǎng)絡(luò)之外時(shí)用于尋址移動(dòng)節(jié)點(diǎn)的移動(dòng)綁定的地址,而并不限于MIPv4或MIPv6的轉(zhuǎn)交地址。基于移動(dòng)IP的業(yè)務(wù),至少麗10與HA 30之間的用戶平面業(yè)務(wù)可以是安全的。有至少兩個(gè)安全模式,其中的一個(gè)在啟動(dòng)用戶平面數(shù)據(jù)傳輸時(shí)被MN 10和HA 30選擇。在ー個(gè)實(shí)施例中,應(yīng)用了 IPSec過程,但這些特征并不限于使用任何特定的安全協(xié)議和加密方式。因此,術(shù)語(yǔ)“安全模式”應(yīng)當(dāng)被理解為廣泛地覆蓋任何類型的確定通信實(shí)體間的安全級(jí)別的模式。用于移動(dòng)節(jié)點(diǎn)的安全模式是指至少應(yīng)用于去往移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)傳輸?shù)陌踩J?。這種基于IP移動(dòng)性的數(shù)據(jù)傳送可以設(shè)置在歸屬代理與移動(dòng)節(jié)點(diǎn)之間或者在移動(dòng)節(jié)點(diǎn)與另ー個(gè)利用IP移動(dòng)綁定的節(jié)點(diǎn)之間,諸如能夠支持移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址注冊(cè)的通信節(jié)點(diǎn)。IP移動(dòng)綁定通常是指移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址與歸屬地址之間的關(guān)聯(lián),其具有安全模式的指示。這通常是指對(duì)于綁定設(shè)置安全模式。然后,根據(jù)安全模式,與綁定相關(guān)聯(lián)的數(shù)據(jù)傳送可以是安全的。安全模式的修改可以是指修改在HA 30與MN 10之間應(yīng)用的安全關(guān)聯(lián)(SA)0在ー個(gè)非常簡(jiǎn)單的例子中,可以只有兩個(gè)模式加密開啟和加密關(guān)閉。這也可被稱為具有NULL加密和非NULL加密的安全關(guān)聯(lián)。然而,應(yīng)當(dāng)知道,可以有任何數(shù)量的具有可變安全級(jí)別的安全模式,例如三個(gè)、四個(gè)或更多安全模式。一個(gè)或多個(gè)基于IP的接入網(wǎng)絡(luò)屬于IP子網(wǎng)絡(luò)40、42。在移動(dòng)IP的情況下,當(dāng)麗10從ー個(gè)IP子網(wǎng)絡(luò)移動(dòng)到另ー個(gè)IP子網(wǎng)絡(luò)吋,它從新的IP子網(wǎng)絡(luò)中獲得新的CoA,并通過發(fā)送具有新的Cok的注冊(cè)請(qǐng)求(MIP4)或綁定更新(MIP6)消息來(lái)向HA 30通知該CoA。子網(wǎng)絡(luò)40內(nèi)的ー些或全部附著點(diǎn)20、22、24、26可支持?jǐn)?shù)據(jù)鏈路層,S卩,第二層移動(dòng)性協(xié)議。這種協(xié)議的例子是在RFC 5213中規(guī)定的移動(dòng)IP代理(PMIP)。因此,當(dāng)麗10在子網(wǎng)絡(luò)40內(nèi)的這種附著點(diǎn)20、22、24、26之間移動(dòng)吋,MN 10的移動(dòng)綁定不需要被更新。移動(dòng)綁定只有在附著點(diǎn)的改變導(dǎo)致新的CoA時(shí)才必須被更新。移動(dòng)節(jié)點(diǎn)10可以被配置為在移動(dòng)節(jié)點(diǎn)檢測(cè)到IP子網(wǎng)絡(luò)40、42的改變時(shí),檢測(cè)新的IP子網(wǎng)絡(luò)的安全要求,并將終端的安全關(guān)聯(lián)改變成新的IP子網(wǎng)絡(luò)的安全要求。然而,現(xiàn)在已經(jīng)開發(fā)出一種改進(jìn)的IP移動(dòng)性安全裝置,其中,用于移動(dòng)節(jié)點(diǎn)的安全模式可以被修改,即使該移動(dòng)節(jié)點(diǎn)沒有改變IP子網(wǎng)絡(luò)40并維持其CoA。安全模式的修改可以是指安全模式的改變或更新所應(yīng)用的安全模式的屬性。安全模式之間的修改可意味著加密套件的升級(jí)或降級(jí)。因此,例如,安全模式的修改可意味著安全協(xié)議的改變。這能夠?qū)Ω淖円苿?dòng)節(jié)點(diǎn)的運(yùn)行條件作出反應(yīng),并自動(dòng)地修改安全級(jí)別以滿足所改變的接入鏈路或安全偏好的特征。
該系統(tǒng)還可包括策略服務(wù)器70,諸如認(rèn)證、授權(quán)和計(jì)費(fèi)AAA服務(wù)器或接入網(wǎng)絡(luò)發(fā)現(xiàn)和選擇功能ANDSF服務(wù)器,以提供與附著到至少某些接入網(wǎng)絡(luò)20、22、24有關(guān)的其它服務(wù)。策略服務(wù)器70可以是運(yùn)營(yíng)商核心網(wǎng)絡(luò)50的一部分或與其相連,但應(yīng)當(dāng)知道,策略服務(wù)器70可以采用各種其它方式設(shè)置,并用于與MN 10裝置和/或HA 30裝置進(jìn)行通信。應(yīng)當(dāng)知道,可以存在各種其它實(shí)體和配置,而圖I僅表示某些與當(dāng)前的特征有關(guān)的實(shí)體。例如,MN 10與VPN網(wǎng)關(guān)之間的虛擬專用網(wǎng)絡(luò)(VPN)連接可被要求用于麗10通過不安全的網(wǎng)絡(luò)連接企業(yè)內(nèi)部網(wǎng)。圖2表示根據(jù)ー個(gè)實(shí)施例的裝置200的簡(jiǎn)化框圖。裝置200包括存儲(chǔ)器230和具有一個(gè)或多個(gè)處理器的處理單元210。裝置200還包括ー個(gè)或多個(gè)通信單元220,諸如用于與ー個(gè)或多個(gè)上述網(wǎng)絡(luò)進(jìn)行通信的一個(gè)或多個(gè)收發(fā)機(jī)。裝置還可包括用戶接ロ 240,諸如顯示器和鍵盤。在一個(gè)實(shí)施例中,諸如裝置200的裝置包括安全模式管理器,其被配置為檢測(cè)修改適用于諸如MN 10的移動(dòng)節(jié)點(diǎn)的安全模式的觸發(fā)器,其中該移動(dòng)節(jié)點(diǎn)連接到IP子網(wǎng)絡(luò)并能夠通過使用較早前分配的用于在IP子網(wǎng)絡(luò)中標(biāo)識(shí)MN的IP地址來(lái)尋址。進(jìn)ー步地,安全模式管理器被配置為響應(yīng)于觸發(fā)器而修改移動(dòng)節(jié)點(diǎn)的安全模式。處理單元210可用于根據(jù)來(lái)自存儲(chǔ)器230的安全策略或配置信息以及通過通信単元220接收的信息來(lái)執(zhí)行這種安全模式管理器操作。在裝置200的內(nèi)部存儲(chǔ)器230中存儲(chǔ)有特定的安全策略,或者策略可從外部設(shè)備接收。因此,具有安全模式管理器的裝置可被實(shí)現(xiàn)為電子數(shù)字計(jì)算機(jī)。處理單元210可以被一系列從存儲(chǔ)器230傳送到處理單元的程序指令控制。實(shí)施例提供了在計(jì)算機(jī)可讀存儲(chǔ)媒體上包含的計(jì)算機(jī)程序。這種計(jì)算機(jī)程序包括ー個(gè)或多個(gè)序列的ー個(gè)或多個(gè)指令,其在被裝置的一個(gè)或多個(gè)處理器執(zhí)行時(shí)使得該裝置執(zhí)行至少某些以下結(jié)合圖3至圖13描述的安全模式管理相關(guān)的功能。計(jì)算機(jī)程序可以被存儲(chǔ)在載體上,其可以是能夠攜帶程序的實(shí)體或設(shè)備。在一個(gè)實(shí)施例中,這種計(jì)算機(jī)程序代碼被存儲(chǔ)在裝置200的至少ー個(gè)存儲(chǔ)器230中。存儲(chǔ)器230和計(jì)算機(jī)程序代碼可以被配置為用裝置200的至少ー個(gè)處理器提供用于執(zhí)行至少ー些以下結(jié)合圖3至圖13描述的特征的裝置或者使裝置200執(zhí)行這些特征。計(jì)算機(jī)程序可以是源代碼形式、目標(biāo)代碼形式或某一中間形式。安全模式管理特征例如可以被實(shí)現(xiàn)為通信管理軟件安全I(xiàn)P通信的一部分或者操作系統(tǒng)軟件的一部分。包括安全模式管理器的裝置可以采用芯片單元或者某些其它類型的用于控制IP通信設(shè)備的硬件模塊的形式。硬件模塊可形成設(shè)備的一部分并且可以是可拆裝的。這種硬件模塊的某些其它例子包括局部組件或者附屬設(shè)備。在下面進(jìn)ー步描述的裝置的至少某些特征可通過ー個(gè)或多個(gè)集成電路實(shí)現(xiàn),諸如專用集成電路(ASIC)。其它硬件實(shí)施例也是可行的,諸如由単獨(dú)的邏輯元件組建的電路。這些不同實(shí)現(xiàn)的混合也是可以行的。下面結(jié)合圖3至圖12說(shuō)明用于裝置和安全模式管理器的特征的某些其它實(shí)施例。雖然裝置200和處理單元210被描述為單個(gè)實(shí)體,但不同的模塊和存儲(chǔ)器可以被實(shí)現(xiàn)在ー個(gè)或多個(gè)物理或邏輯實(shí)體中。例如,安全模式管理器可包括特定功能模塊,用于執(zhí)行圖3至圖6中的ー個(gè)或多個(gè)步驟。應(yīng)當(dāng)知道,裝置可包括未在這里詳細(xì)描述的其它單元。裝置200可以是任何能夠支持IP移動(dòng)性的通信裝置。在一個(gè)實(shí)施例中,裝置200包含移動(dòng)節(jié)點(diǎn)10的功能,并可包括一個(gè)或多個(gè)無(wú)線単元和至少ー個(gè)天線,用干與上面結(jié)合圖I標(biāo)識(shí)的接入網(wǎng)絡(luò)20至24中的至少ー些進(jìn)行無(wú)線通信。通常,裝置的各種實(shí)施例可包括但不限于蜂窩電話、個(gè)人數(shù)字助理(PDA)、便攜式計(jì)算機(jī)、成像設(shè)備、游戲設(shè)備、音樂和/或視頻存儲(chǔ)和播放裝置、允許因特網(wǎng)訪問和瀏覽的因特網(wǎng)裝置、以及其它具有移動(dòng)通信功能的便攜式單元或終端。裝置可以是這些裝置的任何類型的結(jié)合。在另ー個(gè)實(shí)施例中,裝置200包含歸屬代理30的功能。因此,裝置可以是網(wǎng)絡(luò)服務(wù)器設(shè)備或其它被配置為用作移動(dòng)IP歸屬代理的適當(dāng)?shù)木W(wǎng)絡(luò)單元。進(jìn)ー步研究有關(guān)其它修改用于IP移動(dòng)綁定已經(jīng)建立的移動(dòng)節(jié)點(diǎn)的安全模式的實(shí)施例。下面結(jié)合圖3至圖6描述的過程可由裝置200應(yīng)用。該裝置可包括歸屬代理、移動(dòng)節(jié)點(diǎn)、或其它能夠注冊(cè)移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址的節(jié)點(diǎn),諸如在圖I中表示的HA 30,MN 10或CN80。為了簡(jiǎn)化的目的,描述將主要集中在涉及移動(dòng)節(jié)點(diǎn)和歸屬代理的實(shí)施例,并且下面的標(biāo)記僅主要針對(duì)麗10和HA 30。圖3表示與建立和修改用于連接到IP子網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)的安全模式有關(guān)的主要步驟。在步驟310,可以對(duì)移動(dòng)節(jié)點(diǎn)(促使)建立或更新IP移動(dòng)綁定。應(yīng)當(dāng)指出,麗10可以被配置為執(zhí)行步驟310,在這種情況下,MNlO可發(fā)送綁定更新消息以觸發(fā)HA 30建立移動(dòng)綁定。步驟310通常響應(yīng)于麗10附著到新的接入網(wǎng)絡(luò)并獲取在拜訪IP子網(wǎng)絡(luò)中使用的CoA而執(zhí)行。該步驟可以被啟動(dòng),以響應(yīng)在外部網(wǎng)絡(luò)中對(duì)麗建立新的IP連接、響應(yīng)麗的IP連接被切換到新的IP子網(wǎng)絡(luò)40、42、或響應(yīng)麗在接入網(wǎng)絡(luò)20、22、24或接入點(diǎn)26之間改變以致新的CoA需要被獲取并且移動(dòng)綁定需要被更新。在步驟310中,對(duì)MN選擇并執(zhí)行適當(dāng)?shù)陌踩J?。該步驟可包含使用移動(dòng)IP信令以表明MN 10與HA30之間所要求的安全級(jí)別。在步驟320,檢測(cè)修改用于MN 10的安全模式的觸發(fā)器,其中麗10連接到IP子網(wǎng)絡(luò)320并使用較早前為MN在本地分配的CoA。換句話說(shuō),盡管不需要更新移動(dòng)綁定和CoA,但可觸發(fā)在麗10與HA 30之間應(yīng)用的安全模式的改變。響應(yīng)于觸發(fā)器,修改330用于連接到IP子網(wǎng)絡(luò)并由CoA標(biāo)識(shí)的麗10的安全模式。在步驟330,對(duì)在MN 10與HA 30之間應(yīng)用的安全功能進(jìn)行適當(dāng)?shù)母淖儭@?,安全模式管理器控制用戶平面業(yè)務(wù)的加密應(yīng)用。因此,提供根據(jù)需要而觸發(fā)用于用戶平面業(yè)務(wù)的安全 的能力,即使MN沒有改變IP子網(wǎng)絡(luò)和CoA,即,在移動(dòng)綁定的更新不會(huì)被觸發(fā)的情況下。這進(jìn)ー步能夠節(jié)省資源,因?yàn)閿?shù)據(jù)加密可以僅在當(dāng)前環(huán)境需要時(shí)才應(yīng)用。有許多實(shí)施例可用于檢測(cè)修改用于持續(xù)地連接到IP子網(wǎng)絡(luò)并使用較早前分配的CoA的MN 10的安全模式的需要,它們中的ー些進(jìn)一歩結(jié)合圖4至圖6描述。圖4表示可在圖3的步驟320和330中應(yīng)用的第一實(shí)施例。在步驟410,檢測(cè)到拜訪IP子網(wǎng)絡(luò)內(nèi)不需要改變CoA的接入網(wǎng)絡(luò)和/或接入點(diǎn)的改變。在步驟420,檢查與新的接入網(wǎng)絡(luò)或接入點(diǎn)相關(guān)聯(lián)的安全要求。如果需要,則根據(jù)在步驟420檢測(cè)的安全要求,在步驟430,修改用于MN 10的安全模式。盡管在圖4中未表示,但可以是根據(jù)步驟420的檢查而不需要改變安全模式的情形。例如,MN可應(yīng)用可靠的低層加密在蜂窩無(wú)線接入網(wǎng)絡(luò)之間改變。優(yōu)選地,圖4的過程在每當(dāng)MN 10通過應(yīng)用數(shù)據(jù)鏈路層移動(dòng)性協(xié)議改變到新的接入網(wǎng)絡(luò)20至24或者接入點(diǎn)26時(shí)執(zhí)行。安全模式管理器可以被配置為響應(yīng)于檢測(cè)這種第ニ層附著點(diǎn)的改變而執(zhí)行圖4的特征。例如,MNlO可通過應(yīng)用IEEE 802. Ilr規(guī)范在接入點(diǎn)之間移動(dòng)。可適用于第二層移動(dòng)性的解決方案的某些其它例子包括基于PMIP或GPRS隧道協(xié)議(GTP)的解決方案。 過程可在步驟420中確定新的接入網(wǎng)絡(luò)被視為是可信任的還是不可信任的。例如,該確定可以基于新的接入網(wǎng)絡(luò)的標(biāo)識(shí)符或標(biāo)識(shí)符類型。例如,可以應(yīng)用由接入網(wǎng)絡(luò)24提供的媒體訪問控制(MAC)地址或WLAN服務(wù)集標(biāo)識(shí)符SSID。如果新的接入網(wǎng)絡(luò)或接入點(diǎn)被視為是可信任的或者加密不被允許,則過程可以選擇不保護(hù)用戶平面業(yè)務(wù)的安全。因此,MN-HA安全模式可以動(dòng)態(tài)地修改以增加安全級(jí)別,以響應(yīng)麗10改變到不可信任的網(wǎng)絡(luò)而無(wú)需改變其IP地址??梢栽诰W(wǎng)絡(luò)附著時(shí)獲取關(guān)于ー個(gè)或多個(gè)接入網(wǎng)絡(luò)或接入點(diǎn)的靜態(tài)或動(dòng)態(tài)安全模式策略。這種策略可以存儲(chǔ)在可由MN 10或HA 30訪問的存儲(chǔ)器中。例如,這種策略可存儲(chǔ)在插入MN裝置中的IC卡上的(UMTS)用戶標(biāo)識(shí)模塊(SM)上。在另ー個(gè)例子中,有關(guān)接入網(wǎng)絡(luò)的信息根據(jù)在規(guī)定了方便媒體無(wú)關(guān)的切換的過程的IEEE 802. 21中規(guī)定的機(jī)制獲取。媒體無(wú)關(guān)的切換(MIH)功能提供媒體無(wú)關(guān)的信息服務(wù),根據(jù)該信息服務(wù),MNlO可以被配置為在指定的地理區(qū)域接收有關(guān)網(wǎng)絡(luò)的信息。在另ー個(gè)例子中,安全模式策略可以從第三方服務(wù)器中獲取,其根據(jù)如濫用或事件報(bào)告的獨(dú)立信息提供接入網(wǎng)絡(luò)的安全級(jí)別。圖5表示可在圖3的步驟320和330中應(yīng)用的第二實(shí)施例。在步驟510,接收有關(guān)麗10在IP子網(wǎng)絡(luò)40中的當(dāng)前物理或邏輯位置的信息。該信息可由麗中的定位単元、基于網(wǎng)絡(luò)的定位裝置或其它用于定義有關(guān)MN的當(dāng)前位置的位置信息的裝置創(chuàng)建。位置信息可包括有關(guān)MN 10的準(zhǔn)確位置或位置區(qū)域的信息。例如,可以應(yīng)用MN 10中的全球定位系統(tǒng)(GPS)接收機(jī)獲取的位置信息,或者也可應(yīng)用有關(guān)分配給MN的CoA的位置信息。在步驟520,檢查與當(dāng)前位置相關(guān)聯(lián)的安全要求。該步驟可包括例如將位置信息與存儲(chǔ)用于指定地理區(qū)域的安全要求的數(shù)據(jù)庫(kù)進(jìn)行比較。圖5的實(shí)施例表示持續(xù)的過程,其中在步驟530檢查改變MN與HA之間的安全模式的需要。如果根據(jù)MN 10的當(dāng)前位置不需要改變安全模式,則該過程可進(jìn)入到等待新的位置信息,并返回到步驟510。如果根據(jù)與MN 10的位置相關(guān)聯(lián)的安全要求而需要改變安全模式,則在步驟540,根據(jù)與當(dāng)前位置相關(guān)聯(lián)的所要求的安全級(jí)別或模式,修改HA與MN 10之間的安全模式。該第二實(shí)施例能夠控制所應(yīng)用的安全級(jí)別以滿足對(duì)諸如公司建筑的特定位置或例如穿過國(guó)界時(shí)設(shè)置的要求。圖6表示可在圖3的步驟320和330中應(yīng)用的第三實(shí)施例。在步驟610,檢測(cè)在IP子網(wǎng)絡(luò)中對(duì)麗10建立新的IP流或更改現(xiàn)有IP流的需要。在步驟620,檢查與新的或所更改的IP流相關(guān)聯(lián)的安全要求。安全模式管理器可用于根據(jù)例如來(lái)自MN 10的應(yīng)用的指示執(zhí)行這些步驟。如果需要,則在步驟630,根據(jù)新的或所更改的IP流所要求的安全級(jí)別,修改用于匪10的安全模式。安全模式管理器可用于在步驟320、620根據(jù)上層協(xié)議層所應(yīng)用的安全過程或模式檢測(cè)所應(yīng)用的安全模式。安全模式管理器可檢測(cè)到上層協(xié)議層已經(jīng)將可靠的安全過程應(yīng)用于新的或所更改的數(shù)據(jù)流,基于此,可在步驟620將加密設(shè)置成關(guān)閉。在另ー個(gè)例子中,如果檢測(cè)到在傳輸層使用安全套接層(SSL)或傳輸層安全(TLS)協(xié)議,則IPSec過程可以被省略。使用IPSEC以確保這種流的安全僅僅實(shí)現(xiàn)有限的好處;IPSec另外能夠隱藏MN 10正通過HA 30與誰(shuí)通話,而該流的實(shí)際內(nèi)容已經(jīng)得到傳輸層安全過程的保護(hù)。在一個(gè)實(shí)施例中,麗10可以被提供IPv6前綴,而不是唯一的IP地址。麗10可決定使用來(lái)自所分配的前綴的多個(gè)地址,并將它們注冊(cè)到HA 30。MN可使用ー些地址以發(fā)送加密后的數(shù)據(jù)業(yè)務(wù),使用一些地址以發(fā)送未加密的數(shù)據(jù)業(yè)務(wù),即使它僅被連接到ー個(gè)附著點(diǎn)。這使得麗10可以基于每個(gè)流開啟/關(guān)閉安全。
因此,對(duì)于麗10的每個(gè)邏輯IP流,可以有選擇地修改330、630安全模式。在MIPv6和DSMIP中,MN 10可以向HA 30注冊(cè)多個(gè)CoA。MN 10能夠通過特定的綁定控制這些流或會(huì)話。這可通過在HA創(chuàng)建與CoA相關(guān)聯(lián)的流特定的綁定或過濾器實(shí)現(xiàn)。通過應(yīng)用至少ー些上述的特征,諸如圖6的實(shí)施例,MN 10可以選擇修改330、630特定綁定的安全模式。例如,匪10可以向HA 30發(fā)送激活僅用于綁定緩存器中麗10與HA 30之間的ー個(gè)綁定的安全的特定綁定更新。作為例子,MN 10已向HA 30注冊(cè)了轉(zhuǎn)交地址CoAl、CoA2和CoA3以及歸屬地址HoAl。匪10可選擇保護(hù)被指定用于HoAK_>HoA2的綁定的業(yè)務(wù)的安全(步驟330)。匪10向HA 30發(fā)送綁定更新,其激活僅用于綁定緩存器中的一個(gè)綁定的安全。在這種情況下,用于與CoA2對(duì)應(yīng)的鏈路的上行鏈路和下行鏈路用戶平面業(yè)務(wù)得到保護(hù)。MN 10或HA 30可以選擇保護(hù)與HoA相關(guān)聯(lián)的任何ー個(gè)或所有綁定。在另ー個(gè)例子中,MNlO具有3GPP和WLAN接ロ。匪10可向兩個(gè)接ロ注冊(cè)CoA,但協(xié)商僅用于WLAN接ロ的用戶平面安全。因此,在MN 10和HA 30中的資源使用率得到進(jìn)ー步優(yōu)化,因?yàn)椴槐匾陌踩P(guān)聯(lián)可以被避免用于安全接入。如果用戶平面安全協(xié)商沒有考慮每個(gè)CoA,并且MN 10具有多個(gè)接ロ,則同樣有多個(gè)安全關(guān)聯(lián),尤其對(duì)于HA 30,它們是不必要的負(fù)擔(dān)。因此,有不同的安全級(jí)別用于IP子網(wǎng)絡(luò)40內(nèi)匪10的不同IP流。例如,IP子網(wǎng)絡(luò)40內(nèi)的某些IP流可以被加密,而其它的不被加密。這可以基于IP流的性質(zhì)。例如,用于網(wǎng)頁(yè)瀏覽的IP流不被加密,而響應(yīng)于(建立新的IP流或使用現(xiàn)有IP流用干)連接到安全的電子郵件,在麗10與HA 30之間加密被設(shè)置為開啟。另ー個(gè)例子可以是基于IP的語(yǔ)音(VoIP)或者HA 30運(yùn)營(yíng)商想要保護(hù)的其它服務(wù)。例如,運(yùn)營(yíng)商可能想要提供VoIP的安全,但對(duì)其它流不提供。在又一個(gè)實(shí)施例中,步驟320和330可以響應(yīng)于來(lái)自用戶接ロ 240的用戶輸入而執(zhí)行。用戶可以將MN 10配置成所有用戶平面業(yè)務(wù)需要被保護(hù)。這可以是用戶在被該用戶認(rèn)為是不可靠的國(guó)家或網(wǎng)絡(luò)中漫游的情形。歸屬代理30裝置的用戶可以有權(quán)觸發(fā)安全模式修改。移動(dòng)節(jié)點(diǎn)10裝置的用戶接ロ 240和/或歸屬代理30裝置還可以有權(quán)改變控制ー個(gè)或多個(gè)其它所公開的實(shí)施例的設(shè)置。例如,被授權(quán)的蜂窩運(yùn)營(yíng)商的雇員可以配置與接入網(wǎng)絡(luò)或位置相關(guān)聯(lián)的安全模式。
如 已經(jīng)指出的,在某些實(shí)施例中,以上在圖3至圖6中表示的過程可應(yīng)用于移動(dòng)節(jié)點(diǎn)10和/或歸屬代理30?,F(xiàn)在研究其它有關(guān)在移動(dòng)節(jié)點(diǎn)10和/或歸屬代理30中實(shí)現(xiàn)安全模式修改有關(guān)的特征的實(shí)施例。不管是麗10還是HA 30被配置為最初決定改變用于連接到IP子網(wǎng)絡(luò)40的麗10的安全模式,都需要信令機(jī)制以通知其它方(HA 30或MN 10)該變化。因此,執(zhí)行決定改變安全模式的裝置200可被配置為在步驟330后執(zhí)行下一步驟以指示需要改變安全模式。圖3的過程也可以被應(yīng)用于接收這種指示的設(shè)備,其可以被看作是步驟320的觸發(fā)器。這種所接收的指示將優(yōu)先于在設(shè)備上存儲(chǔ)的或較早前由策略服務(wù)器70提供的任何策略?,F(xiàn)有的IP移動(dòng)性信令消息或新的信令消息可用于至少指示改變安全模式的需要。下面說(shuō)明某些其它實(shí)施例。在某些實(shí)施例中,MN 10最初決定修改(330)安全模式,例如通過應(yīng)用上面所述的某些實(shí)施例。因此,MN 10可發(fā)送包括所應(yīng)用的安全模式的指示或改變安全模式的需要的特定注冊(cè)更新或綁定更新消息。在一個(gè)用于MIP6的例子中,MN 10發(fā)送具有表明用戶平面業(yè)務(wù)會(huì)或不會(huì)被加密的標(biāo)記設(shè)置的綁定更新。如在圖7的例子中所述的,基于RFC5555或RFC 3775的綁定更新消息700除了傳統(tǒng)的信息之外,還可包括標(biāo)記“S” 710,其也被稱為用戶平面業(yè)務(wù)安全(UPTS)標(biāo)記。當(dāng)該標(biāo)記被設(shè)置為開啟時(shí),這表明MN更愿意開啟用戶平面加密。當(dāng)被清除吋,MN更愿意不對(duì)用戶平面業(yè)務(wù)使用加密。HA 30處理來(lái)自MN 10的這種注冊(cè) 請(qǐng)求或綁定更新消息,并接著發(fā)送確認(rèn)該請(qǐng)求的響應(yīng),并在該響應(yīng)中設(shè)置用于用戶平面業(yè)務(wù)安全的標(biāo)記以相應(yīng)地指示MN在MN與HA之間的鏈路上的業(yè)務(wù)會(huì)或不會(huì)被加密。如在圖8的例子中所描述的,基于RFC 3675的MIP6綁定確認(rèn)消息800或基于RFC 5555的綁定確認(rèn)擴(kuò)展可另外包括標(biāo)記“S”810。當(dāng)該標(biāo)記被設(shè)置時(shí),這表示HA確認(rèn)或強(qiáng)烈推薦使用用戶平面加密。當(dāng)被清除吋,HA不支持或不允許用戶平面業(yè)務(wù)加密。對(duì)圖11和圖12進(jìn)行標(biāo)記,標(biāo)記1100至1120和1200至1220分別表示使用這種所更改的綁定更新和確認(rèn)消息700、800以將加密設(shè)置成關(guān)閉。標(biāo)記1150至1170和1250至1270表示這種所更改的綁定更新和確認(rèn)消息700、800如何與正被加密的用戶平面業(yè)務(wù)建立隧道1170、1280。參照?qǐng)D5所示的第二實(shí)施例,MN 10可在IP移動(dòng)性信令消息(諸如更改的MIP6綁定更新消息)中包括位置信息。HA 30可根據(jù)位置信息和/或綁定更新的源地址來(lái)確定例如用于用戶平面業(yè)務(wù)的安全模式是否需要修改。這可通過IP移動(dòng)性信令消息的新擴(kuò)展來(lái)實(shí)現(xiàn),MIP6綁定更新消息900的這種擴(kuò)展的ー個(gè)例子在圖9中示出。在該例子中,標(biāo)記可以如下定義N 910表明包括網(wǎng)絡(luò)接入點(diǎn)信息,G 920表明地理位置信息的存在,C 930表明城市位置信息的存在。數(shù)據(jù)字段940例如可如下定義如果標(biāo)記N 910被設(shè)置,則該字段可包括接入網(wǎng)絡(luò)有關(guān)的標(biāo)識(shí)信息,諸如小區(qū)標(biāo)識(shí)符。在另ー個(gè)例子中,數(shù)據(jù)字段940可包括具有接入類型、運(yùn)營(yíng)商和接入點(diǎn)名稱(APN)或 SSID 的字符串,例如,“ 3GPP:Elisa: Internet” 或“ WLAN:unknown:FREHTOTSPOT”。如果標(biāo)記G 920被設(shè)置,則數(shù)據(jù)字段可包括例如在RFC 5491中描述的地理位置信息。如果標(biāo)記C 930被設(shè)置,則數(shù)據(jù)字段940可包括如在RFC 4776中描述的城市位置信息。如果需要傳送不同類型的位置信息,則該擴(kuò)展的多個(gè)實(shí)例可在單個(gè)綁定更新消息中存在。在某些實(shí)施例中,HA 30例如通過應(yīng)用上述的某些實(shí)施例來(lái)決定修改(330)安全模式。因此,由于這通常發(fā)生在注冊(cè)或綁定更新過程之外,因此,HA 30使用新的或某些現(xiàn)有的IP移動(dòng)性信令消息以指示MN 10需要修改安全模式或者觸發(fā)注冊(cè)或綁定更新過程以協(xié)商安全模式的修改。在一個(gè)實(shí)施例中,已經(jīng)開發(fā)了新的移動(dòng)IP綁定通知消息。這種消息1000的ー個(gè)例子在圖10中示出。綁定通知消息是信令消息,并可具有與任何其它移動(dòng)IPv6信令消息相同的安全要求。MN 10可以被配置為觸發(fā)綁定更新過程以響應(yīng)接收綁定通知消息。移動(dòng)性選項(xiàng)字段1010可以是可變長(zhǎng)度的字段,其包括控制MN 10觸發(fā)綁定更新過程的數(shù)據(jù)。移動(dòng)性選項(xiàng)字段1010可以根據(jù)RFC 3775的第6. 2部分形成。在一個(gè)例子中,除了類型字段和長(zhǎng)度字段之外,還可以有通知代碼字段和通知原因字段。通知代碼可指示觸發(fā)綁定更新,通知原因字段可指示安全模式改變。應(yīng)當(dāng)指出,這種綁定通知消息的使用并不限于本發(fā)明的實(shí)施例的安全模式修改特 征,而是這種消息可應(yīng)用于其它目的或用途上下文。在某些實(shí)施例中,策略服務(wù)器70用于提供幫助麗10和/或HA 30檢測(cè)(320)修改安全模式的需要的信息。策略服務(wù)器70可確定麗10與HA 30之間所要求的安全級(jí)別或安全模式。這種策略服務(wù)器例如可以是AAA服務(wù)器或ANDSF服務(wù)器。該信息幫助MN 10或HA 30確定匪與HA之間所要求的移動(dòng)IP安全模式,并可以在網(wǎng)絡(luò)附著時(shí)被確定。圖11進(jìn)ー步表示策略服務(wù)器70發(fā)送與有關(guān)移動(dòng)節(jié)點(diǎn)MN 10的網(wǎng)絡(luò)附著點(diǎn)的變化1130有關(guān)的安全策略1140的實(shí)施例。該安全策略指示當(dāng)前的接入網(wǎng)絡(luò)是可信任的還是不可信任的。策略通常與網(wǎng)絡(luò)附著一起發(fā)送,但也可以響應(yīng)于移動(dòng)節(jié)點(diǎn)10的運(yùn)行環(huán)境的某些其它變化而發(fā)生。根據(jù)來(lái)自策略服務(wù)器的該指示1140,匪10確定(310)匪10與HA 30之間所要求的安全模式。然后,響應(yīng)于檢測(cè)改變安全模式的需要,MN 10向HA 30發(fā)送綁定更新信令消息,其指示根據(jù)從策略服務(wù)器接收的策略,用戶平面加密是否將被使用。HA 30根據(jù)在所接收的綁定更新消息1150中的指示來(lái)設(shè)置用于用戶平面業(yè)務(wù)的安全模式。HA向麗發(fā)送綁定確認(rèn)1160。綁定確認(rèn)可包括所應(yīng)用的安全模式的指示,諸如應(yīng)用加密的指示。在圖11的例子中,加密被設(shè)置為開啟。然后,MN 10和HA 30可開始發(fā)送和接收根據(jù)基于策略服務(wù)器70所發(fā)送的策略而確定的安全模式加密的用戶平面業(yè)務(wù)。在另ー個(gè)實(shí)施例中,如圖12所示,在策略服務(wù)器與HA 30之間有接ロ,其用于向HA發(fā)送策略。例如,策略服務(wù)器可響應(yīng)于MN 10附著到新的接入網(wǎng)絡(luò)而發(fā)送策略。也可能是策略服務(wù)器向HA 30發(fā)送策略更新以指示匪10所要求的新的安全級(jí)別。這可例如在圖4至圖6所示的一個(gè)情形中出現(xiàn)。響應(yīng)于從策略服務(wù)器接收策略(更新),HA 30根據(jù)來(lái)自策略服務(wù)器的策略(更新)確定所要求的安全模式。然后,如果需要,HA 30向MN 10通知安全模式變化。在圖12的例子中,加密被設(shè)置為開啟。移動(dòng)節(jié)點(diǎn)10可被配置為向通信節(jié)點(diǎn)80提供有關(guān)它的當(dāng)前位置的信息。至少某些當(dāng)前公開的安全模式修改有關(guān)的功能可用于設(shè)置移動(dòng)節(jié)點(diǎn)與諸如CN 80的通信節(jié)點(diǎn)之間的安全模式。圖13表示MN 10與CN 80之間用于更新移動(dòng)綁定的通信的例子。為了直接與CN80進(jìn)行通信,匪10可向CN發(fā)布(1300)綁定更新。與已針對(duì)HA 30說(shuō)明的類似地,匪10可將安全模式指示即標(biāo)記S設(shè)置為開啟或關(guān)閉。在圖13的例子中,MN 10決定加密是需要的,并且標(biāo)記S為I。CN發(fā)送確認(rèn)1310,其還確認(rèn)對(duì)于移動(dòng)綁定,加密被設(shè)置為開啟。然后,MN 10和CN 80被配置為加密用戶平面業(yè)務(wù)1320。應(yīng)當(dāng)指出,與來(lái)自HA 30的綁定確認(rèn)類似地,CN 80可以在確認(rèn)1310中將標(biāo)記S設(shè)置為I以表示它更愿意通信被加密。然而,優(yōu)選地,CN 80不 能夠這樣強(qiáng)制加密。在步驟1330,發(fā)生諸如接入點(diǎn)改變(410)、MN 10的位置改變(510)、或需要建立或更改IP流(610)的事件。麗10檢查1340在本地存儲(chǔ)的策略,例如在存儲(chǔ)器230中存儲(chǔ)的策略。根據(jù)在本地查閱的策略,MN 10可檢測(cè)修改較早前在移動(dòng)IP CoA注冊(cè)過程1300、1310中同意的安全模式的需要。應(yīng)當(dāng)指出,查閱在本地存儲(chǔ)的策略可應(yīng)用于上面所述的MN10與歸屬代理30之間的安全模式的實(shí)施例。在圖13的例子中,根據(jù)不需要應(yīng)用加密的安全策略,MN 10形成并發(fā)送1350綁定更新,其中標(biāo)記S為“O”。CN 80發(fā)送帶有新的安全模式的確認(rèn)的綁定確認(rèn)1360,麗與CN之間的用戶平面數(shù)據(jù)可以被轉(zhuǎn)換為1370未加密的。在一個(gè)實(shí)施例中,當(dāng)MN與HA之間的安全是基于IPSec時(shí),至少某些IPSec過程可用于保護(hù)用戶平面業(yè)務(wù)。因此,匪10和HA 30包括IPSec協(xié)議實(shí)體。匪10與HA 30之間的用戶平面業(yè)務(wù)可通過在它們之間建立的用于保護(hù)用戶平面數(shù)據(jù)的IPSec安全關(guān)聯(lián)(SA)來(lái)保護(hù)。根據(jù)在步驟320中定義的安全模式,MN 10和HA 30的IPSec功能可以被配置為使用封裝安全載荷(ESP)保護(hù)以保護(hù)HA 30與麗10之間的業(yè)務(wù)。然而,MN與HA之間的安全也可以用另一個(gè)協(xié)議配置,諸如傳輸層安全(TLS)、因特網(wǎng)密鑰交換版本2移動(dòng)性和多主協(xié)議(MOBIKE)或安全HTTP (HTTPS)。應(yīng)當(dāng)指出,上述特征僅提出用于實(shí)現(xiàn)與配置自適應(yīng)服務(wù)有關(guān)的特征可用方法的某些例子。例如,網(wǎng)絡(luò)22中的代理網(wǎng)絡(luò)節(jié)點(diǎn)或代理可以被配置為執(zhí)行與歸屬代理30的信令并代表附著到網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)實(shí)現(xiàn)至少某些上述特征??梢赃M(jìn)行各種修改,并且某些步驟可以按不同的順序執(zhí)行。顯然,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),隨著技術(shù)的進(jìn)步,本發(fā)明的概念可以采用各種方式實(shí)現(xiàn)。本發(fā)明及其實(shí)施例并不限于上述的例子,而是可以在權(quán)利要求的范圍內(nèi)進(jìn)行改變。
權(quán)利要求
1.ー種方法,包括 對(duì)于連接到IP子網(wǎng)絡(luò)并在所述IP子網(wǎng)絡(luò)中由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn),促使建立具有安全模式的指示的因特網(wǎng)協(xié)議(IP)移動(dòng)綁定; 檢測(cè)修改用于連接到所述IP子網(wǎng)絡(luò)的所述移動(dòng)節(jié)點(diǎn)的安全模式的觸發(fā)器;以及 響應(yīng)于所述觸發(fā)器,修改用于連接到所述IP子網(wǎng)絡(luò)并由所述轉(zhuǎn)交地址標(biāo)識(shí)的所述移動(dòng)節(jié)點(diǎn)的安全模式。
2.根據(jù)權(quán)利要求I所述的方法,其中,檢測(cè)觸發(fā)器包括通過應(yīng)用數(shù)據(jù)鏈路層移動(dòng)性協(xié)議來(lái)檢測(cè)所述移動(dòng)節(jié)點(diǎn)移動(dòng)到所述IP子網(wǎng)絡(luò)內(nèi)的新的接入網(wǎng)絡(luò)或節(jié)點(diǎn)。
3.根據(jù)權(quán)利要求I所述的方法,其中,檢測(cè)觸發(fā)器包括檢測(cè)所述移動(dòng)節(jié)點(diǎn)移動(dòng)到與要求修改所述安全模式的安全要求相關(guān)聯(lián)的地理位置。
4.根據(jù)權(quán)利要求I所述的方法,其中,檢測(cè)觸發(fā)器包括檢測(cè)對(duì)于所述移動(dòng)節(jié)點(diǎn)建立具有不同安全模式的新的IP流或者更改現(xiàn)有IP流的安全模式的需要。
5.根據(jù)前面任ー權(quán)利要求所述的方法,其中,所要求的安全級(jí)別的指示從策略服務(wù)器接收; 所述安全模式根據(jù)所述安全級(jí)別的指示來(lái)修改。
6.根據(jù)前面任ー權(quán)利要求所述的方法,其中,修改所述安全模式包括重新協(xié)商或建立因特網(wǎng)協(xié)議安全體系安全關(guān)聯(lián)或傳輸層安全連接以能夠加密與所述移動(dòng)節(jié)點(diǎn)相關(guān)聯(lián)的用戶平面業(yè)務(wù)。
7.根據(jù)前面任ー權(quán)利要求所述的方法,其中,促使建立IP移動(dòng)綁定、檢測(cè)觸發(fā)器和修改所述安全模式由所述移動(dòng)節(jié)點(diǎn)執(zhí)行,以更改所述移動(dòng)節(jié)點(diǎn)與移動(dòng)錨點(diǎn)或通信節(jié)點(diǎn)之間的安全模式,而不改變所述轉(zhuǎn)交地址。
8.根據(jù)權(quán)利要求7所述的方法,其中,檢測(cè)觸發(fā)器包括檢測(cè)從歸屬代理接收并具有觸發(fā)更新移動(dòng)IP綁定的指示的移動(dòng)IP信令消息。
9.根據(jù)權(quán)利要求I至6任意一項(xiàng)所述的方法,其中,促使建立IP移動(dòng)綁定、檢測(cè)觸發(fā)器和修改所述安全模式由移動(dòng)IP歸屬代理執(zhí)行,以更改所述歸屬代理與所述移動(dòng)節(jié)點(diǎn)之間的安全模式,而不改變所述轉(zhuǎn)交地址。
10.根據(jù)前面任ー權(quán)利要求所述的方法,其中,來(lái)自所述移動(dòng)節(jié)點(diǎn)的移動(dòng)IP綁定信令消息包括有關(guān)所述移動(dòng)節(jié)點(diǎn)位置的信息、所述IP子網(wǎng)絡(luò)內(nèi)所述移動(dòng)節(jié)點(diǎn)的新的接入點(diǎn)或網(wǎng)絡(luò)的信息和將要應(yīng)用于所述移動(dòng)節(jié)點(diǎn)的安全模式的指示中的至少ー個(gè)。
11.根據(jù)權(quán)利要求I至6任意一項(xiàng)所述的方法,其中,促使建立IP移動(dòng)綁定、檢測(cè)觸發(fā)器和修改所述安全模式由通信節(jié)點(diǎn)響應(yīng)于來(lái)自所述移動(dòng)節(jié)點(diǎn)的綁定更新消息而執(zhí)行。
12.ー種裝置,包括 至少ー個(gè)處理器, 至少ー個(gè)包括計(jì)算機(jī)程序代碼的存儲(chǔ)器,其中所述至少一個(gè)存儲(chǔ)器和所述計(jì)算機(jī)程序代碼被配置為用所述裝置的所述至少一個(gè)處理器使所述裝置至少執(zhí)行 對(duì)于被連接到IP子網(wǎng)絡(luò)并在所述IP子網(wǎng)絡(luò)中由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn),促使建立具有安全模式的指示的因特網(wǎng)協(xié)議(IP)移動(dòng)綁定; 檢測(cè)修改用于連接到所述IP子網(wǎng)絡(luò)的所述移動(dòng)節(jié)點(diǎn)的安全模式的觸發(fā)器;以及 響應(yīng)于所述觸發(fā)器,修改用于連接到所述IP子網(wǎng)絡(luò)并由所述轉(zhuǎn)交地址標(biāo)識(shí)的所述移動(dòng)節(jié)點(diǎn)的安全模式。
13.根據(jù)權(quán)利要求12所述的裝置,其中,所述裝置被配置為響應(yīng)于通過應(yīng)用數(shù)據(jù)鏈路層移動(dòng)性協(xié)議來(lái)檢測(cè)所述移動(dòng)節(jié)點(diǎn)移動(dòng)到所述IP子網(wǎng)絡(luò)內(nèi)的新的接入網(wǎng)絡(luò)或節(jié)點(diǎn),修改所述安全模式。
14.根據(jù)權(quán)利要求12所述的裝置,其中,所述裝置被配置為響應(yīng)于檢測(cè)所述移動(dòng)節(jié)點(diǎn)移動(dòng)到與要求修改所述安全模式的安全要求相關(guān)聯(lián)的地理位置,修改所述安全模式。
15.根據(jù)權(quán)利要求12所述的裝置,其中,所述裝置被配置為響應(yīng)于檢測(cè)所述移動(dòng)節(jié)點(diǎn)建立新的IP流或更改現(xiàn)有IP流的需要,修改所述安全模式。
16.根據(jù)權(quán)利要求12至15任意一項(xiàng)所述的裝置,其中,所述裝置被配置為根據(jù)來(lái)自策略服務(wù)器的所要求的安全級(jí)別的指示,修改所述安全模式。
17.根據(jù)權(quán)利要求12至16任意一項(xiàng)所述的裝置,其中,所述裝置被配置為通過重新協(xié)商或建立因特網(wǎng)協(xié)議安全體系安全關(guān)聯(lián)或傳輸層安全連接以能夠加密與所述移動(dòng)節(jié)點(diǎn)相關(guān)聯(lián)的用戶平面業(yè)務(wù)來(lái)修改所述安全模式。
18.根據(jù)權(quán)利要求12至17任意一項(xiàng)所述的裝置,其中,所述裝置是移動(dòng)通信終端設(shè)備,其包含所述移動(dòng)節(jié)點(diǎn),被配置為將所述轉(zhuǎn)交地址注冊(cè)到移動(dòng)IP歸屬代理或通信節(jié)點(diǎn),并被配置為更改所述移動(dòng)節(jié)點(diǎn)與移動(dòng)錨點(diǎn)或通信節(jié)點(diǎn)之間的安全模式,而不改變所述轉(zhuǎn)交地址。
19.根據(jù)權(quán)利要求18所述的裝置,其中,所述裝置被配置為響應(yīng)于來(lái)自所述歸屬代理的具有觸發(fā)更新移動(dòng)IP綁定的指示的移動(dòng)IP信令消息,修改所述安全模式,或者被配置為響應(yīng)于所述移動(dòng)IP信令消息,發(fā)送綁定更新消息。
20.根據(jù)權(quán)利要求12至17任意一項(xiàng)所述的裝置,其中,所述裝置包含移動(dòng)IP歸屬代理。
21.根據(jù)權(quán)利要求12至20任意一項(xiàng)所述的裝置,其中,來(lái)自所述移動(dòng)節(jié)點(diǎn)的移動(dòng)IP綁定信令消息包括有關(guān)所述移動(dòng)節(jié)點(diǎn)的位置的信息、所述IP子網(wǎng)絡(luò)內(nèi)所述移動(dòng)節(jié)點(diǎn)的新的接入點(diǎn)或網(wǎng)絡(luò)的信息和將要在所述歸屬代理與所述移動(dòng)節(jié)點(diǎn)之間應(yīng)用的安全模式的指示中的至少ー個(gè)。
22.根據(jù)權(quán)利要求12至17任意一項(xiàng)所述的裝置,其中,所述裝置包含通信節(jié)點(diǎn),其被配置為響應(yīng)于來(lái)自所述移動(dòng)節(jié)點(diǎn)的綁定更新消息,修改所述安全模式。
23.一種計(jì)算機(jī)可讀存儲(chǔ)媒體,其存儲(chǔ)包括ー個(gè)或多個(gè)序列的ー個(gè)或多個(gè)指令的計(jì)算機(jī)程序,當(dāng)所述指令由裝置的一個(gè)或多個(gè)處理器執(zhí)行時(shí),使得所述裝置至少執(zhí)行 對(duì)于被連接到IP子網(wǎng)絡(luò)并在所述IP子網(wǎng)絡(luò)中由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn),促使建立具有安全模式的指示的因特網(wǎng)協(xié)議(IP)移動(dòng)綁定; 檢測(cè)修改用于連接到所述IP子網(wǎng)絡(luò)的所述移動(dòng)節(jié)點(diǎn)的安全模式的觸發(fā)器;以及 響應(yīng)于所述觸發(fā)器,修改用于連接到所述IP子網(wǎng)絡(luò)并由所述轉(zhuǎn)交地址標(biāo)識(shí)的所述移動(dòng)節(jié)點(diǎn)的安全模式。
24.一種計(jì)算機(jī)程序產(chǎn)品,包括用于執(zhí)行權(quán)利要求I至11任意一項(xiàng)所述的方法的計(jì)算機(jī)程序代碼。
全文摘要
在非限定性和示例性的實(shí)施例中,提供一種用于修改移動(dòng)節(jié)點(diǎn)(10)與移動(dòng)錨點(diǎn)(30)之間的安全級(jí)別的方法。對(duì)于連接到IP子網(wǎng)絡(luò)(40)并在IP子網(wǎng)絡(luò)(40)中由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn)(10),建立具有安全模式的指示的IP移動(dòng)綁定。檢測(cè)修改用于連接到IP子網(wǎng)絡(luò)(40)的移動(dòng)節(jié)點(diǎn)(10)的安全模式的觸發(fā)器。響應(yīng)于觸發(fā)器,修改用于連接到IP子網(wǎng)絡(luò)(40)并由轉(zhuǎn)交地址標(biāo)識(shí)的移動(dòng)節(jié)點(diǎn)(10)的安全模式。
文檔編號(hào)H04L29/06GK102656861SQ201080057422
公開日2012年9月5日 申請(qǐng)日期2010年10月25日 優(yōu)先權(quán)日2009年12月18日
發(fā)明者B·帕蒂爾, G·巴伊科, T·薩佛蘭寧 申請(qǐng)人:諾基亞公司