Suche in nationalen und internationalen Patentsammlungen
Einige Inhalte dieser Anwendung sind momentan nicht verfügbar.
Wenn diese Situation weiterhin besteht, kontaktieren Sie uns bitte unterFeedback&Kontakt
1. (CN103906162) Framework of media-independent pre-authentication improvements
Anmerkung: Text basiert auf automatischer optischer Zeichenerkennung (OCR). Verwenden Sie bitte aus rechtlichen Gründen die PDF-Version.
独立于介质的预验证改进的框架


本申请是于2006年7月13日提交的、题为“独立于介质的预验证改进的框架”的中国专利申请200680000615.8的分案申请。
技术领域
本申请尤其涉及预验证的方法,例如,用于独立于介质的预验证的方法等。
背景技术
存在很多类型的计算机网络,其中因特网是最出名的。因特网是全世界范围的计算机网络。今天,因特网是公共的和自持的网络,被数以百万计的用户使用着。因特网使用了称为TCP/IP(即,传输控制协议/因特网协议)的一组通信协议来连接主机。因特网具有称为因特网骨干的通信基础设施。主要由因特网服务提供商(ISP)来控制对因特网骨干的访问,所述ISP将访问权转售给公司或个人。
IP(因特网协议)是这样的协议,通过该协议,可以在网络上从一个设备(例如,电话、PDA[个人数字助理]、计算机等)向另一个设备发送数据。现在有多个版本的IP,包括,例如,IPv4、IPv6等。网络上的每个主机设备具有至少一个IP地址,作为其自身唯一的标识符。IP是一种无连接协议。在通信期间在端点之间的连接是不连续的。当用户发送或接收数据或消息时,所述数据或消息被划分为称为数据包的组分。每个数据包被当作独立的数据单元。
为了将因特网或类似网络上的点之间的传输标准化,建立了OSI(开放系统互连)模型。OSI模型将网络上两点之间的通信处理分为七层,每层添加了其自身的功能集。每个设备处理消息,从而存在通过在发送端点的各层的下行流,以及通过在接收端点的所述层的上行流。提供所述七层功能的程序和/或硬件通常是设备操作系统、应用软件、TCP/IP和/或其它传输和网络协议以及其它软件和硬件的组合。
通常,当消息从用户传送出或者向用户传送时,使用上面四层,而当消息通过设备(例如,IP主机设备)时,使用底下三层。IP主机是网络上能够发送和接收IP数据包的任何设备,诸如,服务器、路由器或者工作站。目的地为一些其它主机的消息不向上通过上层,而是被转发到其它主机。以下列出OSI模型的各层。第7层(即,应用层),在其中,例如,识别通信伙伴、识别服务质量、考虑用户验证和隐私、识别数据语法上的限制条件,等。第6层(即,表示层),在其中,例如,将输入和输出数据从一种表示格式的转换为另一种等。第5层(即,会话层),在其中,例如,建立、调整以及终止会话,在应用之间进行交换和对话,等。第4层(即,传输层),在其中,例如,管理端到端的控制和错误检查,等。第3层(即,网络层),在其中,例如,处理路由和转发,等。第2层(即,数据链路层),在其中,例如,为物理层次提供同步,进行比特缓冲以及提供传输控制知识和管理,等。电气和电子工程师协会(IEEE)将所述数据链路层再次划分为两个更进一步的子层,MAC(介质访问控制)层,其用于控制与物理层的数据传输,以及LLC(逻辑链路控制)层,其通过接口与网络层相连接,并解释命令以及进行错误恢复。第1层(即,物理层),在其中,例如,在物理层次通过网络传送比特流。IEEE将物理层再次划分为PLCP(物理层会聚协议)子层和PMD(物理介质相关)子层。
无线网络:
无线网络可以结合各种类型的移动设备,诸如,蜂窝和无线电话、PC(个人计算机)、膝上型计算机、可佩戴式计算机、无绳电话、传呼机、头戴式耳机、打印机、PDA等。例如,移动设备可以包括用以确保语音和/或数据的快速无线传输的数字系统。典型的移动设备可以包括如下组件中的一些或者全部:收发器(即,发送器和接收器,包括,例如,具有集成的发送器、接收器以及,如果需要的话,其它功能的单芯片收发器);天线;处理器;一个或多个音频转换器(例如,作为音频通信设备的扬声器或麦克风);电磁数据存储器(例如,在提供了数据处理的设备中的ROM、RAM,数字数据存储器,等);内存;闪存;全芯片集或集成电路;接口(例如,USB、CODEC、UART、PCM,等);以及/或者其它类似装置。
可以将无线LAN(WLAN)用于无线通信,在其中,无线用户可以通过无线连接连接到局域网(LAN)。无线通信可以包括,例如,经由诸如光、红外、射频、微波的电磁波传播的通信。当前存在着各种WLAN标准,例如,蓝牙、IEEE802.11以及家用射频(homeRF)。
作为举例,使用蓝牙产品来提供在移动计算机、移动电话、便携式手持设备、个人数字助理(PDA)以及其它移动设备之间的链路以及对因特网的连接性。蓝牙是一种计算和电信业规范,其详细规定了移动设备如何能够利用短程无线连接容易地进行互连以及与非移动设备相连接。蓝牙生成数字无线协议,以解决由于各种移动设备的分散而导致的终端用户问题,如,需要保持数据同步以及设备互相兼容,从而使来自不同制造商的设备能够无缝地一起工作。可以根据常用的命名概念来命名蓝牙设备。例如,蓝牙设备可以拥有蓝牙设备名称(BDN)或者与唯一的蓝牙设备地址(BDA)相关联的名称。蓝牙设备也可以参与因特网协议(IP)网络。如果蓝牙设备在IP网络上工作,可以为其提供IP地址和IP(网络)名称。因此,被配置为参与IP网络的蓝牙设备可以包含,例如,BDN、BDA、IP地址和IP名称。术语“IP名称”指对应于接口的IP地址的名称。
IEEE标准IEEE802.11规范了用于无线LAN和设备的技术。利用802.11,可以利用支持几个设备的单个基站来实现无线网络。在一些例子中,可以为设备预先配备无线硬件,或者用户可以安装可能包括天线的诸如卡的分立硬件。作为举例,在802.11中使用的设备通常包括三个值得注意的元素,所述设备是否是接入点(AP)、移动站(STA)、网桥、PCMCIA卡或者另一种设备:无线电收发器;天线;以及用于控制网络上节点之间的数据包流的MAC(介质访问控制)层。
另外,在一些无线网络中可以使用多接口设备(MID)。MID可以包含两个独立的网络接口,诸如蓝牙接口和802.11接口,从而使得MID可以参与两个分离的网络,并与蓝牙设备进行接口连接。MID可以具有IP地址和与所述IP地址相关联的通用IP(网络)名称。
无线网络设备可以包括,但不限于,蓝牙设备,多接口设备(MID),802.11x设备(IEEE802.11设备,这包括,例如,802.11a、802.11b和802.11g设备),HomeRF(家用射频)设备,Wi-Fi(无线保真)设备,GPRS(通用分组无线业务)设备,3G移动设备,2.5G移动设备,GSM(移动通信全球系统)设备,EDGE(GSM演进增强数据)设备,TDMA类型(时分复用)设备,或者CDMA类型(码分复用)设备,包括CDMA2000。各个网络设备可以包含变化类型的地址,这包括但不限于IP地址,蓝牙设备地址,蓝牙通用名称,蓝牙IP地址,蓝牙IP通用名称,802.11IP地址,802.11IP通用名称,或者IEEE MAC地址。
无线网络还涉及在移动IP(因特网协议)系统、PCS系统以及其它移动网络系统中发现的方法和协议。关于移动IP,这涉及由因特网工程任务组(IETF)创建的标准通信协议。利用移动IP,移动设备用户可以在网络之间移动,同时保持其曾经被分配的IP地址。参考标准草案(RFC)3344。注意:RFC是因特网工程任务组(IETF)的正式文件。当在内部网络之外进行连接时,移动IP增强了因特网协议(IP),并增加了向移动设备转发因特网流量的手段。移动IP为每个移动节点分配了在其内部网络上的内部地址以及用于标识所述社备在网络和其子网中的当前位置的转交地址(CoA)。当设备移动到不同网络时,其接收新的转交地址。内部网络上的移动代理可以将各个内部地址与其转交地址相关联。利用例如因特网控制报文协议(ICMP),移动节点可以在每次改变其转交地址时向家乡代理发送绑定更新。
在基本IP路由(例如,外部移动IP)中,路由机制依赖于这样的假设,即,每个网络节点总是具有对于例如,因特网的不变的附着点(attachment point),并且每个节点的IP地址标识其所附着的网络链路。在此文件中,术语“节点”包括连接点,其可以包括,例如,用于数据传输的再分配点或端点,并且其能够识别、处理和/或向其它节点转发通信。例如,因特网路由器能够察看,例如,IP地址前缀或者类似的用于标识设备的网络的标识。然后,在网络层次,路由器能够察看,例如,用于标识特定子网的一组字节。然后,在子网层次,路由器能够察看,例如,用于标识特定设备的一组字节。利用通常的移动IP通信,如果用户将移动设备从,例如,因特网断开,并试图将其重新连接到新的子网,则所述设备必须被重新配置新的IP地址、适当的网络掩码和缺省路由器。否则,路由协议将不能适当地发送数据包。
图4描述了可以在包括无线接入点的一些说明性和非限制性实施中采用的一些说明性的构造组件,其中客户端设备与所述无线接入点进行通信。关于此,图4示出了一个说明性的有线网络20,其被连接到通常标注为21的无线局域网(WLAN)。WLAN21包括接入点(AP)22和一些用户站23、24。例如,有线网络20可以包括因特网或者企业数据处理网络。例如,接入点22可以是无线路由器,而用户站23、24可以是,例如,便携式计算机、个人台式计算机、PDA、便携式IP语音电话和/或其它设备。接入点22具有网络接口25,其被连接到有线网络21,以及与用户站23、24进行通信的无线收发器。例如,无线收发器26可以包括天线27,用于与用户站23、24进行无线电或微波频率的通信。接入点22还具有处理器28、程序存储器29以及随机访问存储器31。用户站23具有无线收发器35,其包括用于与接入点站22进行通信的天线36。在类似方式中,用户站24具有无线收发器38和天线39,用于与接入点22进行通信。
在此处描述的一些优选实施例中,描述系统和方法,从而主动地建立不同介质的高层和低层语境。在此,介质包括,例如,移动设备可访问的网络(例如,有线的、经许可无线的、未经许可无线的,等。)。参见,例如,IEEE802(包括IEEE802.21)中讨论的介质。介质可以包括,例如,无线LAN(例如,IEEE802.11),IEEE802.16,IEEE802.20,蓝牙,等。一些说明性例子包括:1)从蜂窝网络到无线或WIFI网络的移动设备交换,例如,具有蜂窝接口和无线接口的移动设备试图通过获取移动网络上的初始信息(例如,密钥,等)来进行WIFI访问,而不是同时建立无线接口;2)当移动设备当前具有无线或WIFI连接时,当处于无线LAN可以潜在地快速关闭等情况时,作为举例,移动设备能够主动地经由蜂窝网络进行预验证(即,如果需要,能够快速交换)。在一些说明性的情况下,具有单个IEEE802.xx接口的移动节点可以在多个子网和多个管理域中漫游。虽然保持多个接口总是开启是一种选项,移动节点在一些情况下可能希望使未使用的接口停用(例如,为了节省电力,等)。另外,MPA尤其能够提供安全无缝的移动性优化,其用于子网间切换、域间切换、技术间切换,等,以及多接口的使用。
PANA:
为便于参考,将来自P.Jayaraman,“PANA Framework,”Internet-draft,draft-ietf-pana-framework-01.txt,work in progress,July2004的PANA相关的信息在此引用。关于此,PANA是链路层不可知网络接入验证协议,其运行于希望接入到网络的节点和网络侧的服务器之间。PANA定义了新的EAP[参见B.Aboba,et al,“Extensible AuthenticationProtocol(EAP),”RFC3748,June2004]Aboba,B.,Blunk,L.,Vollbrecht,J.,Carlson,J.andH.Levkowetz,Extensible Authentication Protocol(EAP),June2004.以及在协议端点之间使用IP的低层。
在Yegin.A和Y.Ohba的Protocol for Carrying Authentication for NetworkAccess(PANA)Requirements,draft-ietf-pana-requirements-08(work in progress),June2004中,描述了定义这种协议的动机和需求。Forsberg,D.,Ohba,Y.,Patil,B.,Tschofenig,H.和A.Yegin的Protocol for Carrying Authentication for NetworkAccess(Forsberg,D.,Ohba,Y.,Patil,B.,Tschofenig,H.和A.Yegin,Protocol forCarrying Authentication for Network Access(PANA),draft-ietf-pana-pana-04(workin progress),May2004)中记录了协议的详细内容。Parthasarathy,M.,PANA EnablingIPsec Based Access Control,draft-ietf-pana-ipsec-03(work in progress),May2004,描述了遵循基于PANA的验证进行访问控制的IPsec的使用。IPsec能够被用于每数据包的访问控制,但是其并不是实现此功能性的唯一途径。其它方法包括依赖于物理保护和链路层加密。将PANA服务器与执行访问控制的实体分开被认为是一种可选的实施方法。SNMP[参见Mghazli,Y.,Ohba,Y.and J.Bournelle,SNMP Usage for PAA-2-EP Interface,draft-ietf-pana-snmp-00(work in progress),April2004]已经被选为在分离的节点之间携带相关信息的协议。
PANA设计为各种类型的实施提供了支持。基于低层安全的可用性、PANA实体的放置、客户IP配置的选择以及验证方法等,接入网络可以有所不同。
与低层的安全性无关,PANA可以被用于任何接入网络。例如,可以对所述网络进行物理保护,或者,在成功进行客户网络验证之后,通过密码机制进行保护。
PANA客户端、PANA验证代理、验证服务器以及执行点是此设计中的功能实体。可以将PANA验证代理和执行点放置在所述接入网络中的各种元件上(诸如,接入点、接入路由器、专用主机)。
IP地址配置机制也随之变化。也可以从静态配置、DHCP、无状态地址自动配置中进行选择。如果客户端配置用于确保每数据包安全性的IPsec通道,则配置该通道内部的IP地址也变得相关,因为,有诸如IKE的额外选择。
PANA协议被设计为有助于在接入网络中的客户端的验证和授权。PANA是一种EAP[Aboba,B.,Blunk,L.,Vollbrecht,J.,Carlson,J.,and H.Levkowetz,ExtensibleAuthentication Protocol(EAP),June2004],参见Aboba,B.,Blunk,L.,Vollbrecht,J.,Carlson,J.,and H.Levkowetz,Extensible Authentication Protocol(EAP),RFC3748,June2004,承载EAP验证方法的低层被封装在接入网络中的客户端主机和代理之间的EAP中。虽然PANA允许两个实体之间的验证处理,但其仅仅是整个AAA和访问控制框架中的一部分。利用PANA的AAA和访问控制框架包括四个功能实体,见以下讨论以及图1(A)到1(C)所示。
第一功能实体是PANA客户端(PaC),其是PANA协议的客户端实现。此实体位于请求网络访问的端主机上。所述端主机包括,例如,膝上型电脑、PDA、移动电话、台式PC和/或经由有线或无线接口连接到网络的类似设备。PaC负责请求网络访问以及利用PANA协议进行验证处理。
第二功能实体是PANA验证代理(PAA),其是PANA协议的服务器实现。PAA负责与PaC进行接口连接,以针对网络访问服务对它们进行验证和授权。PAA询问验证服务器,以认证PaC的资格和权利。如果验证服务器位于与PAA相同的主机,应用程序接口(API)足够进行此交互。当它们被分离时(公共接入网络中的普遍情况),协议被使用以在两个LDAP之间运行[参见Hodges,J.and R.Morgan,Lightweight Directory Access Protocol(v3):Technical Specification,September2002,Hodges,J.and R.Morgan,LightweightDirectory Access Protocol(v3):Technical Specification,RFC3377,September2002],并且类似RADIUS[参见Rigney,C.,Willens,S.,Rubens,A.,and W.Simpson,RemoteAuthentication Dial In User Service(RADIUS),June2000.Rigney,C.,Willens,S.,Rubens,A.,and W.Simpson,Remote Authentication Dial In User Service(RADIUS),RFC2865,June2000]以及Diameter[参见Calhoun,P.,Loughney,J.,Guttman,E.,Zorn,G.and J.Arkko,Diameter Base Protocol,September2003,Calhoun,P.,Loughney,J.,Guttman,E.,Zorn,G.and J.Arkko,Diameter Base Protocol,RFC3588,September2003]的AAA协议被普遍用于此目的。
所述PAA还负责升级依赖于根据验证状态的生成和删除的访问控制状态(即,滤波器)。所述PAA向网络中的执行点发送已更新的状态。如果PAA和EP位于相同的主机,API足够进行此通信。否则,协议被使用以从PAA向EP运载该授权的客户端属性。虽然不禁止其它协议,目前已经建议SNMP[参见Mghazli,Y.,Ohba,Y.and J.Bournelle,SNMP Usage for PAA-2-EP Interface,draft-ietf-pana-snmp-00(work in progress),April2004]用于此任务。
PAA位于局域网中通常称为网络接入服务器(NAS)的节点上。PAA可以位于与PaC相同的IP子网上的任何启用IP的节点上。例如,在DSL网络中的BAS(宽带接入服务器)上,或3GPP2网络中的PDSN上。
第三功能实体是验证服务器(AS),其作为服务器实现,负责认证请求网络访问服务的PaC的资格。所述AS为PaC接收来自从PAA的请求,并利用认证结果以及验证参数(例如,许可的带宽、IP配置等)进行响应。所述AS可以位于与PAA相同的主机上,位于所述接入网络的专用主机上,或者位于因特网上其它地方的中心服务器上。
第四功能实体是执行点(EP),其作为访问控制实现,负责允许已授权的客户端进行访问,同时防止其它人的访问。EP从PAA学习已授权客户端的属性。EP利用非密码或密码滤波器选择性地允许或丢弃数据包。这些滤波器被应用于链路层或IP层。当使用密码访问控制时,需要在PaC和EP之间运行安全关联协议(secure association protocol)。在所述安全关联协议建立所需要的安全关联以启用完整性保护、数据源验证、重放保护(replayprotection)以及可选的机密性保护之后,使用链路或网络层保护(例如,TKIP、IPsecESP)。EP可以战略性地位于局域网上,以最小化未授权客户端对该网络的访问。例如,EP可以位于被直接连接到有线网络中的客户端的交换机上。这样,EP可以在未授权数据包到达其它客户端主机或超出局域网以外之前,丢弃该未授权的数据包。
取决于实施场景,可以将一些实体置于一处。例如,PAA和EP可以在DSL网络中的相同节点(BAS)上。在这种情况下,在PAA和EP之间具有简单的API就足够了。在小企业应用中,PAA和AS可以位于相同的节点(例如,接入路由器)上,其消除了在所述两者之间运行协议的需要。是否共同放置这些实体的决定,以及它们在网络拓扑结构中的准确位置,都属于配置决定。
仅在运行PANA之前缺乏任何低层安全时需要使用用于安全关联的IKE或4向握手协议。物理保护网络(physically secured network)(诸如,DSL)或在PANA运行之前已经进行密码保护的网络(例如,cdma2000)不需要额外的安全关联和每数据包加密。这些网络可以将PANA验证和授权绑定到已经可用的低层安全信道。
接入网络上的EP允许来自任何授权PaC的通用数据流量,然而,对于未授权的PaC,其仅允许有限类型的流量(如,PANA、DHCP、路由器发现)。这确保了新附加的客户端具有参与PANA的最小的访问服务,并且可以得到未受限服务的授权。
PaC需要在运行PANA之前配置IP地址。在成功的PANA验证之后,取决于应用场景,PaC需要重新配置其IP地址,或者配置另外的IP地址。可以作为安全关联协议运行的一部分来执行所述另外的地址配置。
初始未授权的PaC通过发现接入网络上的PAA来开始PANA验证,之后是PANA上的EAP交换。PAA在此过程中与AS进行交互。在接收到来自AS的验证和授权结果之后,PAA向PaC告知有关其网络访问请求的结果。
如果PaC被授权可以访问所述网络,PAA还利用SNMP向EP发送特定PaC属性(例如,IP地址、加密密钥,等)。EP利用此信息改变其滤波器,以使得来自PaC和向PaC发出的数据流量可以通过。
在PANA验证之后需要启用密码访问控制的情况下,在PaC和EP之间运行安全关联协议。作为成功的PANA交换的结果,PaC应该已经具有对此处理的输入参数。类似地,EP应该已经经由SNMP从PAA获得它们。安全关联交换在PaC和EP之间产生所需要的安全关联,以启用密码数据流量保护。每数据包密码数据流量保护引入额外的每数据包开销,但是该开销仅存在于PaC和EP之间,不会影响EP之外的通信。鉴于此,将EP尽可能地放在所述网络的边缘非常重要。
最后,数据流量可以开始流向新近授权的PaC以及从其流入。
对本发明的介绍
由于广泛使用包括蜂窝和无线LAN的无线技术,支持终端在不同类型的接入网络之间进行切换,诸如,从无线LAN到CDMA,或者到GPRS,这被认为是一个明显的挑战。另一方面,支持终端在相同类型的接入网络之间进行切换仍然更具有挑战性,尤其当所述切换跨越IP子网或管理域的时候。为解决上述挑战,很重要的一点在于,以优化并且安全的方式提供对于链路层技术未知的终端移动性,并且无需引入不合理的复杂性。在此文件中,我们讨论了终端移动性,其提供了低潜伏时间和低损耗的无缝切换。无缝切换的特征在于下一部分描述的性能需求,以下说明性能需求。
终端移动性的基本部分伴随有移动性管理协议,所述移动性管理协议维持移动终端的标识符与定位符之间的绑定,其中,所述绑定被称为移动性绑定。当移动终端运动时,移动节点的定位符可动态地变化。导致所述定位符变化的运动不仅可以是物理地,还可以是逻辑地。在本文件的余下部分,术语“移动性管理协议”指代在网络层或更高层工作的移动性管理协议。
在不同层具有几种移动性管理协议。移动IP[RFC3344]和移动IPv6[RFC3775]是在网络层工作的移动性管理协议。在IETF中正在进行几项工作,以在网络层的更高层定义移动性管理协议。例如,MOBIKE(IKEv2移动性和多穴(Multihoming))[I-D.ietf-mobike-design]是到IKEv2的扩展,其提供处理IKEv2端点的IP地址变化的能力。HIP(主机辨识协议)[I-D.ietf-hip-base]在网络层和传输层之间定义了新的协议层,以对于网络层和传输层透明的方式提供终端移动性。并且,SIP-Mobility是到SIP的扩展,以保持SIP用户代理[SIPMM]的移动性绑定。
尽管移动性管理协议保持移动性绑定,只以它们的当前形式来使用它们却不足以提供无缝切换。需要在所述移动终端的被访问网络中工作的额外优化机制以防止在更新所述移动性绑定时发送的重要数据包丢失,从而实现无缝切换。这样的机制被称为移动性优化机制。例如,通过允许邻近接入路由器进行通信并承载有关移动终端的信息,分别为移动IPv4和移动v6定义移动性优化机制[I-D.ietf-mobileip-lowlatency-handoffs-v4]和[I-D.ietf-mipshop-fast-mipv6]。
一些协议被当作移动性优化机制的“助手”。CARD(候选接入路由器发现机制)协议[I-D.ietf-seamoby-card-protocol]被设计为发现邻近的接入路由器。CTP(上下文转移协议)[I-D.ietf-seamoby-ctp]被设计为在接入路由器之间运载与为所述移动终端提供的服务相关联的状态或者上下文。
目前已有的移动性优化机制中存在几个问题。第一,已有的移动性优化机制与特定的移动性管理协议紧密相关。例如,不能为MOBIKE使用为移动IPv4或移动IPv6设计的移动性优化机制。所强烈希望的是单个统一的移动性优化机制,其可以与任何移动性管理协议共同工作。第二,如果不假设管理域之间的预建立的安全关联,则已有的移动性优化机制不能容易地支持在管理域之间的切换。仅基于在移动节点和各个管理域之间的信任关系,移动性优化机制应该以安全方式跨越管理域进行工作。第三,移动性优化机制不仅需要支持有可能出现通过多个接口的多个同时连接的多接口终端,还需要支持单接口终端。
本文件描述了独立于介质的预验证(MPA)的框架,一种新的切换优化机制,其具有解决所有上述问题的可能。MPA是移动辅助的安全切换优化方案,其能够工作在任何链路层,并可以与任何移动性管理协议一起工作,这些协议包括移动IPv4、移动IPv6、MOBIKE、HIP、SIP移动性等。在MPA中,IEEE802.11i预验证的概念被扩展为在更高层工作,利用额外的机制对来自移动终端可能移动到的网络的IP地址进行早期获取,并主动地切换到该网络,同时,所述移动终端仍然连接到当前网络。本文件集中关注所述MPA框架。在使用这样的框架时,基于本公开,本领域技术人员可以实施为MPA选择的实际协议集以及详细操作。以下标识的文件[I-D.ohba-mobopts-mpa-implementation]提供了一种方法,描述了在已有的协议之间的使用和交互,从而实现MPA功能性。
性能需求
为了为交互式VoIP和流式流量(streaming traffic)提供所期望的服务质量,需要将端到端延迟、抖动和数据包丢失的值限制在某个阈值水平之下。ITU-T和ITU-E标准为这些参数定义了可接受的值。例如,对于单向延迟,ITU-T G.114建议将150毫秒作为多数应用的上限,而将400毫秒作为通常不可接受的延迟。视频会议的单向延迟容限在200到300毫秒的范围。并且,如果在某个阈值之后接收到无序的数据包,则认为其已经丢失。以下列出的参考文献[RFC2679]、[RFC2680]以及[RFC2681]描述了用于延迟和抖动的一些测量技术。
端到端延迟通常包括几个部分,诸如,网络延迟、操作系统(OS)延迟,CODEC延迟和应用延迟(application delay)。网络延迟包括传输延迟、传播延迟以及在中间路由器中的排队延迟。操作系统相关延迟由发送方和接收方的操作系统的调度行为构成。CODEC延迟通常是由于在发送方和接收方端的分包和解数据包而导致的。
应用延迟主要归因于回放延迟(playout delay),该延迟有助于补偿网络中的延迟变化。可以在接收器端利用回放缓冲的适当值来调整端到端延迟和抖动值。例如,在交互式VoIP流量的情况下,端到端延迟影响抖动值,并且是一个需要考虑的重要问题。在移动装置(mobile)的频繁切换期间,瞬时流量不能到达移动装置,这也导致了抖动。
如果终端系统有回放缓冲,则将此抖动归入回放缓冲延迟,否则,将其加到交互式流量的延迟。数据包丢失通常是由拥塞、路由不稳定性、链路故障,诸如无线链路的有损链路而导致。在移动装置的切换期间,由于其所附着网络的改变,移动装置遭到数据包丢失。因此,对于流式流量以及VoIP交互式流量而言,数据包丢失将影响实时应用的服务质量。
数据包丢失的数目正比于切换期间的延迟以及移动装置接收的流量的速率。由于重传,在TCP流量的情况下,丢失的数据包导致拥塞,但是在基于RTP/UDP的流式流量的情况下,不会增加任何拥塞。因此,在任何移动性管理方案中,减少数据包丢失以及切换延迟的影响是一个要点。在以下的部分2中,说明了已有的工作快速切换(work fast-handover),我们描述了一些尝试减少切换的快速切换方案。
根据以下的参考资料[ETSI]ETSI TR101,正常的语音会话能够容许最多2%的数据包丢失。如果在会话期间移动装置进行频繁切换,则每次切换都将影响切换期间的数据包丢失。因此,需要将会话期间的最大丢失减小到可接受的水平。
对于流式应用中的数据包丢失,还没有明确的阈值,但是需要尽可能地减少该数据包丢失,从而为具体的应用提供更好的服务质量。
已有的工作快速切换
尽管基本的移动性管理协议,诸如,移动IP(参见以下参考资料[RFC3344]),移动IPv6(参见以下参考资料[RFC3775]),以及SIP移动性(参见以下参考资料[SIPMM])提供了解决方案,以为TCP和RTP流量提供连续性,但没有对这些进行对于减少在子网和域之间的移动装置的频繁运动时的切换潜伏时间的优化。一般而言,这些移动性管理协议受到在几个层中发生的切换延迟的影响,例如,所述层为第2层、第3层以及用于更新移动装置的移动性绑定的应用层。
在目前的移动性管理方案中已经应用了几种优化技术,尝试减小移动装置在小区、子网以及域之间运动时的切换延迟和数据包丢失。存在几种微移动性管理方案(例如,参见以下的参考资料[CELLIP]和参考资料[HAWAII]),以及域内移动性管理方案(例如,参见以下的参考资料[IDMP]和[I-D.ietf-mobileip-reg-tunnel]),其通过将信令更新限制在域内来提供快速切换。用于IPv4和IPv6网络的快速移动IP协议(参见以下的参考资料[I-D.ietf-mobileip-lowlatency-handoffs-v4]和[I-D.ietf-mipshop-fast-mipv6])提供了快速切换技术,其利用了可通过链路层触发器得到的移动性信息。Yokota等(参见以下的参考资料[YOKOTA])提出了联合使用接入点和专用MAC网桥,从而不改变MIPv4规范即可提供快速切换。MACD方案(参见以下的参考资料[MACD])通过提供基于高速缓存的算法,减小了由于MAC层切换带来的延迟。
一些移动性管理方案使用了双接口,因此,提供了先接后断(make-before-break)的情形(参见以下的参考资料[SUM])。在先接后断情形中,通信通常利用一个接口继续,而第二个接口处于被连接状态。IEEE802.21工作组正在详细讨论这些情形。
相比具有多接口的客户端,利用单接口提供快速切换需要更仔细的设计技术。以下的参考资料[SIPFAST]为基于SIP的移动性管理提供了优化的切换方案,其中通过利用应用层转发方案将瞬时流量从旧的子网转发到新的子网。以下的参考资料[MITH]为单接口情况提供了快速切换方案,其使用了在旧的外地代理和新的外地代理之间的移动装置初始化隧道效应(mobile initiated tunneling)。以下的参考资料[MITH]定义了两种类型的切换方案,诸如Pre-MIT和Post-MIT。
从某些方面来看,所提出的MPA方案通常与MITH的预测方案类似,在MITH预测方案中,在实际移动到新网络之前,移动装置与外地代理进行通信。然而,尤其地,本文件描述的所提出的MPA方案并不仅仅限于MIP类型的移动性协议。另外,此方案还关注在域之间的移动,并且,除了主动切换,还进行预验证。因此,尤其地,所提出的方案能够减少整体延迟,使其接近于链路层切换延迟。
技术
在本文件中,采用了以下技术:
移动性绑定:
在移动终端的标识符和定位符之间的绑定。
移动性管理协议(MMP):
在网络层或更高层工作的协议,其维持在移动终端的标识符和定位符之间的绑定。
绑定更新:
更新移动性绑定的过程。
独立于介质的预验证移动节点(MN):
独立于介质的预验证(MPA)的移动终端,所述MPA是移动辅助的安全切换优化方案,其工作于任何链路层,并利用任何移动性管理协议。MPA移动节点是IP节点。在本文件中,没有修饰语的术语“移动节点”或“MN”指代“MPA移动节点”。MPA移动节点通常还具有移动性管理协议的移动节点的功能性。
候选目标网络(candidate target network,CTN):
移动装置即将运动到其中的网络。
目标网络(TN):
移动装置决定运动到其中的网络。从一个或多个候选目标网络中选出所述目标网络。
主动切换隧道(Proactive Handover Tunnel,PHT):
双向IP隧道,其被建立在MPA移动节点和候选目标网络的接入路由器之间。在本文件中,没有修饰语的术语“隧道”指代“主动切换隧道”。
附着点(PoA)
链路层设备(例如,交换机、接入点或基站,等。)其作为MPA移动节点到网络的链路层附着点。
转交地址(CoA)
移动性管理协议所使用的IP地址,其作为MPA移动节点的定位符。
MPA框架
以下子部分讨论独立于介质的预验证(MPA)框架的说明性和非限制性方面。
1.概述
独立于介质的预验证(MPA)是移动辅助的安全切换优化方案,其工作于任何链路层,并可利用任何移动性管理协议。利用MPA,移动节点不仅能够安全地获得候选目标网络(CTN)的IP地址和其它配置参数,并且在其实际连接到所述CTN之前还能够利用所获得的IP地址发送和接收IP数据包。这使得所述移动节点可以完成任何移动性管理协议的绑定更新,并在进行在链路层的切换之前使用新的CoA。
通过允许移动节点进行(i)建立与CTN的安全关联,以保护后续协议信令,然后(ii)安全地执行配置协议,以从CTN获取IP地址和其它参数,并且执行隧道管理协议,以在所述移动节点和CTN的接入路由器之间建立主动切换隧道(PHT),接着(iii)利用所获得的IP地址作为隧道内部地址,在PHT上发送和接收IP数据包,该数据包包括用于移动性管理协议(MMP)的绑定更新的信令消息以及在完成绑定更新之后发送的数据包,并且最后(iv)当所述CTN成为目标网络时,在连接到该CTN之前删除或禁止所述PHT,并且然后在通过接口将移动节点连接到该目标网络之后立即将所删除或禁用的隧道的内部地址重新分配给其物理接口,从而提供所述功能性,其中,所述移动节点被连接到当前网络,但却没有与CTN相连接。取代在连接到所述目标网络之前删除或禁用所述隧道,可以在连接到所述目标网络之后立即删除或禁用所述隧道。
特别地,第三步使得移动装置可以在开始链路层切换之前完成较高层切换。这意味着移动装置能够发送和接收在完成隧道上的绑定更新之后所传送的数据包,同时其仍然能够发送和接收在完成隧道外的绑定更新之前所传送的数据包。
在以上四个MPA基本处理中,第一步也被称为“预验证”,第二步被称为“预配置”,第三和第四步的被合称为“安全主动切换”。将通过预验证所建立的安全关联称为“MPA-SA”。如上所指出,将通过预配置建立的隧道称为“主动切换隧道”(PHT)。
2.功能元件
在所述MPA框架中,在优选实施例中,以下功能元件位于每个CTN中,以与移动节点进行通信:验证代理(AA),配置代理(CA)以及接入路由器(AR)。这些元件中的一些或者全部能够被放置在单个网络设备或分立的网络设备中。
验证代理负责预验证。在移动节点和验证代理之间执行验证协议,以建立MPA-SA。所述验证协议需要能够得出在移动节点和验证代理之间的密钥,并且能够提供相互验证。所述验证协议应该能够与诸如RADIUS和Diameter的AAA协议进行交互,从而向AAA基础设施中的适当验证服务器运送验证证书。所得到的密钥用于进一步得到用于保护消息交换的密钥,所述消息交换被用于预配置以及安全主动切换。其它用于自举链路层和/或网络层密码的密钥也可以从MPA-SA获得。能够携带EAP(参见,例如,以下参考资料[RFC3748])的协议适于用于MPA的验证协议。
配置代理负责预验证的一部分,即,安全地执行配置协议,从而安全地将IP地址和其它配置参数传递给所述移动节点。需要利用从对应于MPA-SA的密钥所得到的密钥来保护所述配置协议的信令消息。
接入路由器是负责预配置的其它部分的路由器,即,安全地执行隧道管理协议,以建立通向所述移动节点的主动切换隧道,以及利用所述主动切换隧道来保护主动切换。需要利用从对应于MPA-SA的密钥所得到的密钥来保护所述配置协议的信令消息。应该利用从对应于MPA-SA的密钥所得到的密钥来保护在主动切换隧道上传送的IP数据包。
3.基本通信流
假设所述移动节点已经被连接到附着点,即oPoA(旧附着点),并分配了转交地址,即oCoA(旧转交地址)。以下描述MPA的通信流。贯穿所述通信流,除了步骤5的交换过程期间,将不会出现数据包丢失,并且最小化这个期间的数据包丢失是链路层切换的责任。
步骤1(预验证阶段):
移动节点通过一些发现处理来发现CTN,并通过一些方法得到CTN中的所述IP地址、验证代理、配置代理以及接入路由器。所述移动节点利用所述验证代理进行预验证。如果所述预验证成功,则在移动节点和验证代理之间生成MPA-SA。从MPA-SA得到两个密钥,即,MN-CA密钥和MN-AR密钥,其分别用于保护配置协议和隧道管理协议的后续信令消息。然后,分别将所述MN-CA密钥和MN-AR密钥安全地传送到所述配置代理和所述接入路由器。
步骤2(预配置阶段):
所述移动节点认识到其附着点可能从oPoA变为新的一个,即,nPoA(新附着点)。其然后进行预配置,通过使用了配置协议的配置代理以获得IP地址,即,nCoA(新转交地址),以及从所述CTN得到其它配置参数,并且通过使用了隧道管理协议的接入路由器来建立主动切换隧道。在所述隧道管理协议中,所述移动节点分别将oCoA和nCoA注册作为隧道外部地址和隧道内部地址。利用MN-CA密钥和MN-AR密钥保护所述预配置协议的信令消息。当所述配置代理和所述接入路由器共同位于相同的设备中时,可以将所述两个协议结合为类似IKEv2的单个协议。在完成所述隧道建立之后,所述移动节点能够在步骤4结束之前利用oCoA和nCoA进行通信。
步骤3(安全主动切换主阶段)
所述移动节点通过一些方法决定切换到所述新的附着点。在所述移动节点切换到新的附着点之前,其通过执行移动性管理协议的绑定更新以及在所述隧道上传输后续数据流量来开始安全主动切换(主阶段)。在一些情况下,可以高速缓存多个nCoA地址,并利用对端主机(correspondent host,CH)或家乡代理(HA)进行同时绑定(在例如移动IPv6规范RFC3775中,当移动节点漫游到外部网络时,将为其分配转交地址(CoA),并且所述移动节点将通过绑定更新处理向其家乡代理(HA)和对端节点(CN)通知其新的CoA)。
步骤4(安全主动切换预交换阶段):
所述移动节点完成绑定更新并准备好交换到新的附着点。所述移动节点可以执行隧道管理协议,以删除或禁用所述主动切换隧道,并且在删除或禁用所述隧道之后,高速缓存nCoA。有关所述移动节点何时准备好交换到新的附着点的决定取决于切换策略。
步骤5(交换):
期望链路层切换出现在这个步骤中。
步骤6(安全主动切换后交换阶段):
所述移动节点执行该交换处理。在成功完成所述切换处理之后,所述移动节点立即恢复被高速缓存的nCoA,并将其分配给连接到新的附着点的物理接口。如果没有在步骤4中删除或禁用所述主动切换隧道,则也可在此删除或禁用此隧道。此后,无需利用主动切换隧道,可以利用nCoA直接传输数据包。
接入路由器是负责预配置的其它部分的路由器,即,安全地执行隧道管理协议,以建立通向所述移动节点的主动切换隧道,并利用该主动切换隧道来确保主动切换。必须利用从对应于MPA-SA的密钥所得到的密钥来保护所述配置协议的信令消息。应该利用从对应于MPA-SA的密钥所得到的密钥来保护在主动切换隧道上传输的IP数据包。
参考资料
尤其地,本发明为在以下参考资料中描述的系统和方法提供了各种提高和改进,将所述参考资料的全部公开作为参考。
1.Bradner,S.,"The Internet Standards Process-Revision3",BCP9,RFC2026,October1996.在此称为[RFC2026]。
2.Bradner,S.,"IETF Rights in Contributions",BCP78,RFC3978,March2005.在此称为[RFC3978]。
3.Perkins,C.,"IP Mobility Support for IPv4",RFC3344,August2002.在此称为[RFC3344]。
4.Aboba,B.,Blunk,L.,Vollbrecht,J.,Carlson,J.,and H.Levkowetz,"Extensible Authentication Protocol(EAP)",RFC3748,June2004.在此称为[RFC3748]。
5.Johnson,D.,Perkins,C.,and J.Arkko,"Mobility Support in IPv6",RFC3775,June2004.在此称为[RFC3775]。
6.Maiki,K.,"Low latency Handoffs in Mobile IPv4",draft-ietf-mobileip-lowlatency-handoffs-v4-09(work in progress),June2004.在此称为[I-D.ietf-mobileip-lowlatency-handoffs-v4]。
7.Koodii,R.,"Fast Handovers for Mobile IPv6",draft-ietf-mipshop-fast-mipv6-03(work in progress),October2004.在此称为[I-D.ietf-mipshop-fast-mipv6]。
8.Liebsch,M.,"Candidate Access Router Discovery,"draft-ietf-seamoby-card-protocol-O8(work in progress),September2004.在此称为[I-D.ietf-seamoby-card-protocol]。
9.Loughney,J.,"Context Transfer Protocol,"draft-ietf-seamoby-ctp-11(work in progress),August2004.在此称为[I-D.ietf-seamoby-ctp]。
10.Aboba,B.,"Extensible Authentication Protocol(EAP)KeyManagementFramework",draft-ietf-eap-keying-06(work in progress),April2005.在此称为[I-D.ietf-eap-keying]。
11.Forsberg,D.,"Protocol for Carrying Authentication for NetworkAccess(PANA)",draft-ietf-pana-pana-08(work in progress).May2005.在此称为[I-D.ietf-pana-pana]。
12.ITU-T,"General Characteristics of International TelephoneConnections and International Telephone Circuits:One-Way Transmission Time",ITU-T Recommendation G.1141998.在此称为[RG98]。
13.ITU-T,"The E-Model,a computational model for use in transmissionplanning",ITU-T Recommendation G.1071998.在此称为[ITU98]。
14.ETSI,"Telecommunications and Internet Protocol Harmonization OverNetworks(TIPHON)Release3:End-to-end Quality of Service in TIPHON systems;Part1:General Aspects of Quality of Service.",ETSI TR101329-6V2.1.1.在此称为[ETSI]。
15.Kivinen,T.and H.Tschofenig,"Design of the MOBIKE protocol",draft-ietf-mobike-design-02(work in progress),February2005.在此称为[I-D.ietf-mobike-design]。
16.Moskowitz,R.,"Host Identity Protocol",draft-ietf-hip-base-03(workin progress),June2005.在此称为[I-D.ietf-hip-base]。
17.Almes,G.,Kalidindi,S.,and M.Zekauskas,"A One-way Delay Metric forIPPM",RFC2679,September1999.在此称为[RFC2679].
18.Almes,G.,Kalidindi,S.,and M.Zekauskas,"A One-way Packet LossMetric for IPPM",RFC2680,September1999.在此称为[RFC2680]。
19.Almes,G.,Kalidindi,S.,and M.Zekauskas,"A Round-trip Delay Metricfor IPPM",RFC2681,September1999.在此称为[RFC2681].
20.Simpson,W.,"IP in IP Tunneling",RFC1853,October1995.在此称为[RFC1853]。
21.Patrick,M.,"DHCP Relay Agent Information Option",RFC3046,January2001.在此称为[RFC3046]。
22.Kirn,,P.,Volz,B.,and S.Park,"Rapid Commit Option for DHCPv4",draft-ietf-dhc-rapid-commit-opt-05(work in progress),June2004.在此称为[I-D.ietf-dhc-rapid-commit-opt]。
23.Ohba,Y.,"Media-Independent Pre-Authentication(MPA)ImplementationResults",draft-ohba-mobopts-mpa-implementation-00(work in progress),June2005.在此称为[I-D.ohba-mobopts-mpa-implementation]。
24.Schuizrine,H.,"Application Layer Mobility Using SIP",MC2R.在此称为[SIPMM]。
25.Cambell,A.,Gomez,J.,Kim,S.,Valko,A.,and C.Wan,"Design,Implementation,and Evaluation of Cellular IP",IEEE Personal communicationAugust2000.在此称为[CELLIP]。
26.Ramjee,R.,Porta,T.,Thuel,S.,Varadhan,K.,and S.Wang,"HAWAII;ADomain-based Approach for Supporting Mobility in Wide-area Wirelessnetworks",International Conference on Network Protocols ICNP'99.在此称为[HAWAII]。
27.Das,S.,Dutta,A.,Misra,A.,and S.Das,"IDMP:An Intra-Domain MobilityManagement Protocol for Next Generation Wireless Networks",IEEE WirelessCommunication Magazine October 2000.在此称为[IDMP]。
28.Calhoun,P.,Montenegro,G.,Perkins,C.,and E.Gustafsson,"MobileIPv4Regional Registration",draft-ietf-mobileip-reg-tunnel-09(work inprogress),July2004.在此称为[I-D.ietf-mobileip-reg-tunnel]。
29.Yokota,H.,Idoue,A.,and T.Hasegawa,"Link Layer AssistedMobile IPFast Handoff Method over Wireless LAN Networks",Proceedings of ACMMobicom2002.在此称为[YOKOTA]。
30.Shin,S.,"Reducing MAC Layer Handoff Latency in IEEE802.11WirelessLANs",MOBIWAC Workshop.在此称为[MACD]。
31.Dutta,A.,Zhang,T.,Madhani,S.,Taniuchi,K.,Ohba,Y.,andH.Schulzrinne,"Secured Universal Mobility",WMASH2004.在此称为[SUM]。
32.Dutta,A.,Madhani,S.,and H.Schulzrinne,"Fast handoff Schemes forApplication Layer Mobility Management",PIMRC2004.在此称为[SIPFAST]。
33.Gwon,Y.,Fu,G.,and R.Jain,"Fast Handoffs in Wireless LAN Networksusing Mobile initiated Tunneling Handoff Protocol for IPv4(MITHv4)",WirelessCommunications and Networking2003,January2005.在此称为[MITH]。
34.Anjum,F.,Das,S.,Dutta,A.,Fajardo,V.,Madhani,S.,Ohba,Y.,Taniuchi,K.,Yaqub,R.,and T.Zhang,"A proposal for MIH function and InformationService",A contribution to IEEE802.21WG,January2005.在此称为[NETDISC]。
35."IEEE Wireless LAN Edition A compilation based on IEEE Std802.11-1999(R2003)",Institute of Electrical and Electronics Engineers September2003.在此称为[802.11]。
36.Dutta,A.,"GPS-IP based fast-handoff for Mobiles",NYMAN2003.在此称为[GPSIP]。
37.Vain,J.and G.Maguire,"The effect of using co-located care-of-address on macro handover latency",14th Nordic Teletraffic Seminar1998.在此称为[MAGUIRE]。
发明内容
本发明在上述和/或其它背景技术和/或问题上进行了改进。
一种在独立于介质的预验证框架中控制与第一网络和第二网络之间的移动节点的交换复位(switch back)有关的切换判定的方法,其包括:a)为所述移动节点提供位置确定模块,其被配置为提供关于邻近网络中的接入点的位置确定;b)至少部分基于所述位置确定模块的输出,利用基于位置的算法来避免在所述第一和第二网络之间的振荡。
在一些例子中,所述方法进一步包括,其中,所述基于位置的算法至少部分基于在移动节点的位置和与该移动节点的先前切换动作有关的被高速缓存的数据之间的相关。在一些例子中,所述方法进一步包括:其中,所述被高速缓存的数据被存储在所述移动节点上的数字数据存储装置中。在一些例子中,所述方法进一步包括:其中,所述基于位置的算法包括基于有关过去实例的数据来提供到所述第一网络和所述第二网络中的另一个的交换,其中,将所述移动节点交换到所述第一网络和所述第二网络中的另一个。在一些例子中,所述方法进一步包括:所述基于位置的算法包括基于有关过去实例的数据不提供到所述第一网络和所述第二网络中的另一个的交换,其中,不将所述移动节点交换到所述第一网络和所述第二网络中的另一个。在一些例子中,所述方法进一步包括:所述位置确定模块包括GPS接收器。在一些例子中,所述方法进一步包括:利用基于位置的算法来避免在所述第一网络和第二网络之间的振荡,其包括具有至少部分基于至少一个非位置指示值的算法。在一些例子中,所述至少一个非位置指示值包括信噪比的指示值。在一些例子中,所述方法包括:所述第一网络针对第一介质,而所述第二网络针对不同的介质,其中,所述第一介质是蜂窝网络,而所述不同的介质是无线LAN,或者所述第一介质是无线LAN,而所述不同的介质是蜂窝网络。
根据一些其它实施例,一种在独立于介质的预验证框架中减轻在第一网络和第二网络之间的移动节点的不希望的交换复位的影响的方法,其包括:a)维持与第一网络有关的上下文(context)一段时间,从而使得当移动节点回到所述第一网络时能够快速恢复所述上下文;b)使得所述移动节点在返回所述第一网络之后,使用所述上下文。在一些例子中,所述方法进一步包括:其中,将所述上下文存储在移动节点上的数字数据存储装置中,并且包括与安全关联、IP地址或者所建立的隧道相关的数据。在一些例子中,所述第一网络针对第一介质,而所述第二网络针对不同的介质,其中,所述第一介质是蜂窝网络,而所述不同的介质是无线LAN,或者所述第一介质是无线LAN,而所述不同的介质是蜂窝网络。
根据一些其它实施例,一种在独立于介质的预验证框架中减轻在先前的网络和新的网络之间的移动节点的不希望的交换复位的影响的方法,其包括:在一段时间中向所述先前的网络和所述新的网络发送数据包,从而避免当所述移动节点从所述新的网络回到所述先前的网络时的数据包丢失。在一些例子中,所述发送数据包的步骤包括多播(bicasting)所述数据包。在一些例子中,所述先前的网络针对第一介质,而所述新的网络针对不同的介质,其中,所述第一介质是蜂窝网络,而所述不同的介质是无线LAN,或者所述第一介质是无线LAN,而所述不同的介质是蜂窝网络。
参考附图,根据以下描述将进一步解释各种实施例的上述和/或其它方面、特征以及/或者优点。各种实施例能够包括和/或排除不同的可应用的方面、特征和/或优点。另外,各种实施例能够结合可应用的其它实施例的一个或更多方面或特征。不应该认为对特定实施例的方面、特征和/或优点的描述是用来限制其它实施例或权利要求的。
附图说明
图1是流程图,其描述了根据一些说明性实施例的基本通信流程,图2继续此流程图;
图2是流程图,其描述了图1所示流程图的后续基本通信流程;
图3是框图,其描述了根据一些说明性实施例的链路层安全性的自举;以及
图4是架构图,其示出了根据本发明的一些说明性实施例的说明性接入点和说明性客户端设备或用户站的示例性子组件。
具体实施方式
在附图中通过举例示出了本发明的优选实施例,这不作为限制。
虽然以很多不同形式实施了本发明,在此描述了一些说明性实施例,需要理解的是,本公开的目的在于为本发明的原理提供例子,而这些例子并不是用来将本发明限制为在此描述的和/或在此说明的优选实施例。
详细讨论
为了为移动体验快速子网(mobile experiencing rapid subnet)以及域切换提供优化的切换,我们解决几个问题。这些问题包括发现邻近的网络元件,基于某些策略来选择正确的网络进行连接,改变第2层附着点,从DHCP或PPP服务器获得IP地址,确认该IP地址的唯一性,利用诸如特定域中的AAA服务器的验证代理进行预验证,向对端主机发送绑定更新以及获得对于新的附着点的重定向的流式流量、乒乓效应以及移动到不止一个网络的可能性。以下讨论在基于MPA的安全主动切换的语境下解决或优化这些方面的问题和方法。
1.发现
在移动装置在网络之间快速运动时,发现诸如接入点、接入路由器、验证服务器的邻近网络元件有助于加快所述切换处理。通过利用所期望的坐标集、能力(capability)和参数来发现所述网络邻居,当在所述先前的网络中时,所述移动装置能够进行许多操作,诸如预验证、主动IP地址获取、主动地址解析,以及绑定更新。
移动装置有几种方法来发现所述邻近网络。候选接入路由器发现协议(参见以上参考资料[I-D.ietf-seamoby-card-protocol])帮助在相邻网络中发现所述候选接入路由器。给定某个网络域,服务定位协议(SLP)和域名服务(DNS)有助于为所述指定域中的给定服务集提供网络组件的地址。在一些情况下,当移动装置接近所述邻近网络附近时,可以通过诸如信标的链路层管理帧来发送网络层和更高层参数。IEEE802.11u正在考虑诸如利用链路层所包含的信息来发现邻居的事项。然而,如果通过一些链路层安全机制加密所述链路层管理帧,则所述移动节点则有可能不能在建立到接入点的链路层连接之前获得所需要的信息。另外,这将给带宽受限的无线介质增加负担。在这种情况下,优先使用更高层协议来获得有关邻近元件的信息。在上述参考资料[NETDISC]中有一些建议,其有助于从移动性服务器获得这些有关邻近网络的信息。当移动装置的运动即将发生时,其通过查询特定服务器开始所述发现处理,并获取所需的参数,诸如接入点的IP地址、其特征、路由器、邻近网络的SIP服务器或验证服务器。在多个网络的情况下,其可以从不止一个邻近网络获得所述需要的参数,并将这些保存在高速缓存中。在某一点,所述移动装置从许多可能的网络中找到几个CTN,并通过与CTN中所需要的实体进行通信来开始所述预验证处理。在以下的第2部分将进一步阐明这种情形的详细情况。
2.多CTN环境中的预验证
在一些情况下,尽管移动装置决定将某个特定网络作为目标网络,但由于一些超出所述移动装置控制的因素,其可能实际上最终移动到所述目标网络之外的邻近网络。因此,利用一些可能的候选目标网络进行预验证,并且利用在那些网络中的各个目标路由器来建立有时限的隧道,可能是有用处的。因此,在移动装置没有移动到之前确定的目标网络的情况下,因为其最终移动到不同的目标网络,其不会受到由于后验证和IP地址获取延迟而导致数据包丢失的不利影响。可以看到,通过利用一些候选目标网络进行预验证并保留所述IP地址,移动装置可以供应能够另外使用的资源。但是,由于这仅发生在有限时间内,这不是个大问题。所述移动装置使用预验证流程主动地获得IP地址,并利用目标接入路由器来建立有时限的隧道。
在正常情形下,移动装置为虚拟接口分配新的IP地址。但是在从邻近网络获得多个IP地址的情况下,它能够做两件事情。其能够利用来自移动装置决定去的网络的IP地址来生成一个虚拟接口,或者,其能够利用从邻近网络获得的各个IP地址来生成多个虚拟接口。移动装置可以从这些地址中选择出一个作为绑定更新地址,并将其发送给对端主机(CH),并且因此,当在先前的网络中时,将经由目标网络接收隧道流量(tunneledtraffic)。但是,在一些实例中,移动装置最终运动到所述目标网络之外的网络。因此,当移动装置移动到新的网络时,由于移动装置需要经过分配新的IP地址以及再次发送绑定更新的过程,流量上将出现中断。能够提出两种解决方案来处理这个问题。移动装置能够利用同时的移动性绑定并向对应的主机发送多个绑定更新。因此,所述对应主机在确定的时段内向分配给虚拟接口的多个IP地址发送流量。在移动装置移动到所述新的网络之后,此绑定更新在CH得到刷新,因而停止到其它候选网络的数据流。在特定的移动性方案不支持同时绑定的情况下,从先前的目标网络转发流量将有助于处理所述瞬时流量,直到从所述新的网络出现新的绑定更新。
3.主动IP地址获取
一般而言,移动性管理协议与外地代理(FA)一起工作,或者处于协同定位地址模式(co-located address mode)。我们的MPA方法能够使用协同定位地址模式和外地代理地址模式这两种模式。我们在这里讨论用于协同定位地址模式的地址分配组件。存在几种由移动节点获得IP地址并配置其自身的方法。最普通的,在所述网络中没有任何诸如服务器或路由器的配置组件的情况下,移动装置能够静态地配置其自身。IETF Zeroconf工作组定义了自动IP机制,在其中以专设的方式配置移动装置,并从诸如169.254.x.x的特定范围选取唯一的地址。在LAN环境中,所述移动装置能够从动态主机配置协议(DHCP)服务器获得IP地址。在IPv6网络的情况下,移动装置具有利用无状态自动配置或DHCPv6来获得IP地址的选择。在广域网络环境中,移动装置通过与网络接入服务器(NAS)进行通信来使用PPP获得所述IP地址。
这些处理的每一个花费几百毫秒到几秒量级的时间,这取决于IP地址获取处理的类型以及客户端和服务器的操作系统。
由于IP地址获取时切换处理的一部分,其增加了切换延迟,并且因此,期望尽量减少这个时间。可以使用几种优化技术,诸如,DHCP快速确认(例如,参见以上参考资料[I-D.ietf-dhc-rapid-commit-opt])以及基于GPS坐标的IP地址(例如,参见以上参考资料[GPSIP]),其试图减少由于IP地址获取时间引起的切换时间。然而,在所有这些情况中,在移动装置移动到新的子网之后,其还获得所述IP地址,并且,由于在移动节点和DHCP服务器之间的信令握手,还会发生一些延迟。
在以下段落中,我们将描述移动节点能够从CTN主动地获得IP地址的一些方法以及相关联的隧道建立处理。可以将这些广义地定义为四个类别,诸如,PANA辅助主动IP地址获取、IKE辅助主动IP地址获取、仅利用DHCP的主动IP地址获取以及利用无状态自动配置的主动IP地址获取。
3.1PANA辅助主动IP地址获取
在PANA辅助主动IP地址获取的情况下,所述移动节点从CTN主动地获得IP地址。所述移动节点使用PANA消息在DHCP中继代理上触发地址获取处理,所述DHCP中继代理和PANA验证代理共同位于CTN中的接入路由器中。在从所述移动节点接收到PANA消息之后,DHCP中继代理进行正常的DHCP消息交换,以从CTN中的DHCP服务器获得IP地址。此地址被承载在PANA消息中,并被传送到客户端。在具有无状态自动配置的MIPv6的情况下,来自新的目标网络的路由器通告被作为PANA消息的一部分传递给所述客户端。移动装置使用此前缀和MAC地址来构造唯一的IPv6地址,就像其将在新网络中所进行的一样。在状态模式中的移动IPv6的工作方式与DHCPv4非常类似。
3.2IKEv2辅助主动IP地址获取
当IPsec网关和DHCP中继代理位于CTN中的每个接入路由器中时,IKEv2辅助主动IP地址获取进行工作。在这种情况下,CTN中的IPsec网关和DHCP中继代理辅助移动节点从CTN中的DHCP服务器获取IP地址。在预验证阶段建立的MN-AR密钥被用作为在移动节点和接入路由器之间运行IKEv2所需要的IKEv2预共享机密。通过利用协同定位DHCP中继代理从CTN获得IP地址,作为标准IKEv2处理的一部分,其中所述DHCP中继代理从使用了标准DHCP的目标网络中的DHCP服务器获得IP地址。所获得的IP地址被发送回IKEv2配置静荷交换(IKEv2Configuration Payload Exchange)中的客户端。在这种情况下,IKEv2也被用作为主动切换隧道的隧道管理协议(参见以下的第5部分)。
3.3仅利用DHCP的主动IP地址获取
作为另一种替代,通过允许在移动节点和CTN中的DHCP中继或DHCP服务器之间进行直接DHCP通信,无需依赖基于PANA或IKEv2的方法,DHCP可被用于主动地从CTN获得IP地址。在这种情况下,移动节点向CTN中的DHCP中继代理或DHCP服务器发送单播DHCP消息,以请求地址,同时利用与当前物理接口相关联的地址作为请求的源地址。
当所述消息被发送到DHCP中继代理时,所述DHCP中继代理在移动节点和DHCP服务器之间来回中继所述DHCP消息。在没有DHCP中继代理的情况下,移动装置也能够直接与目标网络中的DHCP服务器进行通信。应该将客户端的单播发现消息中的广播选项设置为0,从而所述中继代理或DHCP服务器能够利用移动节点的源地址将回复直接发送回所述移动装置。利用状态配置,这种机制也能够用于IPv6节点。
为了防止恶意节点从DHCP服务器获得IP地址,应该使用DHCP验证或者所述接入路由器应该安装过滤器,以阻止单播DHCP消息被从未经预验证的移动节点发送到所述远程DHCP服务器。当使用DHCP验证时,可以从在移动节点和所述候选目标网络中的验证代理之间建立的MPA-SA得到DHCP验证密钥。
不将所述主动获得的IP地址分配给移动节点的物理接口,直到所述移动装置没有移动到新的网络。因此,不应该将从所述目标网络主动获得的所述IP地址分配给所述物理接口,而应该分配给客户端的虚拟接口。因此,经由在所述移动节点和CTN中的DHCP中继或DHCP服务器之间的直接DHCP通信的主动获取到的IP地址可以携带额外的信息,用于将其与分配给所述物理接口的其它地址相区分。
3.4利用无状态自动配置的主动IP地址获取
在IPv6的情况下,利用DHCPv6或无状态自动配置进行网络地址配置。为了主动地获取新的IP地址,能够在所建立的隧道上发送下一跳路由器的路由器通告,并且基于移动装置的前缀和MAC地址生成新的IPv6地址。此地址被分配给客户端的虚拟地址,并作为绑定更新发送给家乡代理或者对端节点。所述路由器通告能够被容易地发送到移动装置的oCoA,其中通常在有范围的多播地址上发送所述路由器通告。这样将避免获得IP地址以及进行重复地址检测所需要的时间。
在移动装置进入新网络之后,移动节点能够在到该新的网络的物理接口上进行DHCP,从而通过利用例如DHCP INFORM来获得诸如SIP服务器、DNS服务器等其它配置参数。这些将不会影响在移动装置和对端主机之间正在进行的通信。并且,所述移动节点能够在到所述新的网络的物理接口上进行DHCP,以扩展在进入该新的网络之前主动获取的地址的租用时间。
为了保持对于移动节点的DHCP绑定,并且在安全主动切换之前及之后记住所分配的IP地址,对于用于主动IP地址获取的DHCP以及在所述移动节点进入目标网络之后所进行的DHCP,需要将相同的DHCP客户端标识符用于所述移动节点。所述DHCP客户端标识符可以是移动节点的MAC地址或者一些其它标识符。在无状态自动配置的情况下,所述移动装置进行检查以察看新网络中的路由器通告的前缀,并将其与新近分配的IP地址的前缀相匹配。如果这些确实相同,则所述移动装置不用再次经历所述IP地址获取阶段。
4.地址解析事项
4.1主动重复地址检测
当DHCP服务器分配IP地址时,其更新其租用表,从而在特定时间内不再将此相同的地址给与另一个客户端。同时,所述客户端还本地保留一个租用表,从而其能够在需要时进行更新。在一些情况下,网络由DHCP和非DHCP启用的客户端组成,有可能利用来自DHCP地址池的IP地址配置具有LAN的另一个客户端。
在这种情形中,所述服务器基于ARP(地址解析协议)进行重复地址检测或者在分配所述IP地址之前进行IPv6邻居发现。此检测过程可能耗费4到15秒的时间(参见,例如以上的参考资料[MAGUIRE])并且将导致更多的切换延迟。在主动IP地址获取处理的情况下,提前进行此检测,因而,完全不影响所述切换延迟。通过提前进行所述重复地址检测,我们减小了切换延迟因素。
4.2主动地址解析更新
在预配置过程中,也能够知道在连接到所述目标网络之后,所述移动节点与目标网络中的节点进行通信时所需要的地址解析映射,其中所述节点可能是接入路由器、验证代理、配置代理,以及对端节点。有多种进行这种主动地址解析的方式。
1.使用信息服务机制(例如,参见以上的参考资料[NETDISC])以解析所述节点的MAC地址。这样可能要求目标网络中的每个节点涉及所述信息服务,从而使得所述信息服务的服务器能够构造主动地址解析的数据库。
2.扩展用于预验证的验证协议或用于预配置的配置协议,以支持主动地址解析。例如,如果使用PANA作为预验证的验证协议,PANA消息可以携带用于主动地址解析的AVP。在这种情况下,目标网络中的PANA验证代理可以代表移动节点进行地址解析。
3.也可以使用DNS来映射与目标网络中的网络元件的指定IP地址相关联的指定接口的MAC地址。可以定义新的DNS源记录(RR),以主动地解析目标网络中的节点的MAC地址。但是,由于MAC地址是绑定到IP地址而不是直接绑定到域名的源,这种方法可能有其自身的局限性。
当移动节点连接到目标网络时,无需为目标网络中的节点进行地址解析查询,其可以安装所述主动获得的地址解析映射。
另一方面,只要所述移动节点连接到所述目标网络,位于目标网络中并与所述移动节点通信的所述节点也应该为所述移动节点更新它们的地址解析映射。以上的主动地址解析方法也能够被用于那些节点,从而在所述移动节点连接到目标网络之前主动地解析所述移动节点的MAC地址。然而,由于在采用所述主动解析的地址解析映射之前,那些节点需要检测所述移动节点到所述目标网络的连接,这样并没有用。一种更好的方法是结合连接检测与地址解析映射更新。这基于无代价地进行地址解析(参见以上的参考资料[RFC3344]和参考资料[RFC3775]),其中在所述移动节点连接到新的网络之后,所述移动节点立即在IPv4的情况下发送地址解析协议(ARP)ARP请求或ARP答复,或者在IPv6的情况下发送邻居通告,从而目标网络中的所述节点能够快速为移动节点更新所述地址解析映射。
5.隧道管理
在从CTN中的DHCP服务器主动获取IP地址之后,在所述移动节点和所述CTN中的接入路由器之间建立主动切换隧道。所述移动节点使用所获取的IP地址作为隧道内部地址,并且最可能的是,其将所述地址分配给虚拟接口。
利用隧道管理协议建立所述主动切换隧道。当将IKEv2用于主动IP地址获取时,IKEv2也被用作所述隧道管理协议。
可选地,当将PANA用于主动IP地址获取时,可以将PANA用作为所述安全隧道管理协议。
一旦在移动节点和候选目标网络中的接入路由器之间建立了所述主动切换隧道,所述接入路由器还需要代表所述移动节点进行代理地址解析,从而其能够捕获目的地是所述移动节点的新地址的任何数据包。
由于在先前的网络中时,移动装置需要能够与对端节点进行通信,需要将从对端节点到移动节点的绑定更新以及数据的部分或全部通过主动切换隧道发送回所述移动节点。当会话初始协议(SIP)移动性被用于移动性管理协议时,利用SIP Re-INVITE,将新地址作为联系地址报告给对端节点。一旦所述对端节点的SIP用户代理获得了所述新的联系地址,其向新的联系地址发送OK,其中,所述新的联系地址实际上属于所述目标网络。由于所述OK信号指向所述新的联系地址,所述目标网络中的接入路由器提取所述OK信号,并将其发送给先前网络中的移动装置。接收从移动装置到对端节点的最后的ACK消息。在缺少准入过滤时,可以不需要从所述移动装置向所述对端节点发送数据。在完成SIP Re-INVITE信令握手之后,经由主动切换隧道将来自对端节点的数据发送给所述移动装置。
在所述移动节点连接到所述目标网络之后,为了使流量指向所述移动节点,需要删除或禁用所述主动切换隧道。用于建立隧道的所述隧道管理协议即用于此目的。
可选地,只要所述移动装置移动到目标网络,当使用PANA作为所述验证协议时,能够通过PANA更新机制来触发在接入路由器的隧道的删除或禁用。链路层触发器确保所述移动节点确实连接到所述目标网络并且,也能够将其用作为删除或禁止所述隧道的触发器。
6.绑定更新
对于不同的移动性管理方案,存在几种类型的绑定更新机制。在一些情况下,诸如没有RO的移动IPv4,仅将绑定更新发送给所述家乡代理(HA),而在移动IPv6的情况下,将绑定更新发送给所述家乡代理和对应的主机。在基于SIP的终端移动性的情况下,移动装置利用Re-INVITE向对端节点发送绑定更新,向注册器发送注册消息。基于所述移动装置和对端节点之间的距离,绑定更新可能导致切换延迟。SIP-fast切换(例如,参见[SIPFAST])提供了用于减少由于绑定更新导致的切换延迟的几种方法。在利用基于SIP的移动性管理的安全主动切换的情况下,我们完全排除由于绑定更新导致的延迟,因为其发生于先前的网络中。因此,当所述对端节点远离所述通信移动节点时,此方案更加具有吸引力。
7.防止数据包丢失
在MPA情况下,我们没有观察由于IP地址获取、安全验证以及绑定更新而导致的任何数据包丢失。然而,在所述移动节点能够连接到目标网络之前,可能存在一些在指向所述移动节点的链路层切换时的瞬时数据包(transient packet)。可能丢失这些瞬时数据包。
可以使用多播或在接入路由器缓冲所述瞬时数据包来最小化或消除数据包丢失。然而,如果没有无缝地进行链路层切换,则多播也不能消除数据包丢失。另一方面,缓冲不减少数据包延迟。尽管可以通过在用于流式应用的接收器侧进行回放缓冲来补偿数据包延迟,对于不能忍受大延迟抖动的交互式VoIP应用来说,回放缓冲没有太大帮助。因此,不管怎么说,优化链路层切换仍然非常重要。
另外,所述MN也可以确保在从旧的附着点进行交换之前可以到达所述新的附着点。这可以通过利用新的附着点交换链路层管理帧来进行。应该尽快进行这种可达性检查。为了防止此可达性检查期间的数据包丢失,在该可达性检查期间,应该通过在所述链路的两端缓冲所述数据包来延缓在所述MN和旧的附着点之间的链路上的数据包传输。可以以各种方式进行此缓冲,基于本文件可对其进行理解。
8.考虑失败的交换和换回
乒乓效应是切换情形中发现的常见问题之一。当移动装置处于小区或判定点的边界并且频繁执行切换处理时,出现这样的乒乓效应。
尤其在于,这导致了更高的掉话可能性、更低的连接质量、增加的信令流量和资源浪费。所有这些都影响了移动性优化。切换算法是在所述网络之间进行切换的决定因素。通常,这些算法使用阈值来比较不同量度的值,从而决定所述切换。所述量度包括信号强度、路径损失、载波干扰比(CIR)、信号干扰比(SIR)、比特差错率(BER)、功率预算等。
为了避免乒乓效应,所述决策算法使用了一些其他参数,诸如滞后裕度(hysteresis margin)、停留计时器以及平均窗。对于高速移动车辆,也可以考虑其它参数以减小所述乒乓效应,诸如在移动主机(MH)和附着点之间的距离、移动装置的速度、移动装置位置、流量和带宽特征等。
最近,有一些其它的切换算法,其有助于在异质网络的环境中减小所述乒乓效应,其基于诸如假设检验、动态规划以及模式识别技术等技术。虽然实现切换算法以减小所述乒乓效应很重要,而实现从此效应中恢复的方法也很重要。
在MPA框架的情况下,乒乓效应将导致移动装置在当前网络和目标网络之间以及在候选目标网络之间来回运动。由于各种隧道建立、绑定更新的数目以及相关的切换潜伏时间,当前形式的MPA将受到影响。由于乒乓效应和切换速率相关,其也将导致延迟和数据包丢失。
在一些实施例中,现在提出了几种算法,对其执行有助于减小乒乓效应的可能性。另外,现在也出了几种用于MPA框架的方法,其能够恢复乒乓效应引起的数据包丢失。
在一些实施例中,MPA框架能够使用全球定位系统(GPS)来利用所述移动装置相对于邻近网络中的AP的地理位置。在这点上,说明性的GPS系统包括绕地球转动的卫星的星座,并允许GPS接收器精确测定其地理位置。为了避免网络之间的振荡,利用用户位置和来自先前的切换尝试的高速缓存的数据之间的相关性,可以得到基于位置的智能算法。在一些情况中,位置可能不是用于切换判定的唯一指示符。例如,在曼哈顿(Manhattan)类型的网络中,尽管移动装置接近AP,其也可能没有足够的信号噪声比(SNR)来进行良好的连接。因此,移动性模式和路径识别有可能有助于避免所述乒乓效应。
在缺乏能够避免乒乓效应的良好切换算法时,可能需要提出良好的恢复机制,从而减轻所述乒乓效应。可能需要在一段时间内在当前网络中保持已建立的上下文,从而当移动装置回到上次使用该上下文的网络中时,能够进行快速恢复。这些上下文可以包括安全关联、所使用的IP地址、已建立的隧道等。在移动装置在网络之间来回运动的情况下,在预先定义的时段内将数据多播到先前的网络和新的网络也将有助于处理丢失的数据包。移动装置应该能够确定,相对于乒乓情形,其是否处于稳定状态。
9.链路层安全性和移动性
利用在移动节点和CTN中的验证代理之间建立的MPA-SA,在预验证阶段,当所述移动节点以如下方式在当前网络中时,可以自举CTN中的链路层安全性。
1.CTN中的验证代理和所述移动节点利用所述MPA-SA得到PMK(成对主密钥)(参见以上参考资料[I-D.ietf-eap-keying]),其中所述MPA-SA的建立是成功预验证的结果。在预验证期间可能涉及执行EAP和AAA协议,以建立所述MPA-SA。从所述PMK,为CTN的每个附着点直接或间接地得到用于移动节点的不同TSK(瞬时会话密钥)(参见以上参考资料[I-D.ietf-eap-keying])。
2.所述验证代理可以安装从PMK得到的密钥,并用于附着点的安全关联。所得到的密钥可以是TSK或着是中间密钥,再由所述中间密钥得到TSK。
3.在所述移动节点选择CTN作为目标网络并且交换到目标网络(其现在对于移动节点而言变成了新的网络)中的附着点之后,其利用所述PMK执行诸如IEEE802.11i4向握手[802.11i]的安全关联协议,以建立PTK(成对瞬时密钥)和GTK(群组瞬时密钥)(参见以上参考资料[I-D.ietf-eap-keying]),其用于保护在移动节点和附着点之间的链路层数据包。在此不需要另外执行EAP验证。
4.当所述移动节点在所述新的网络中漫游时,所述移动节点仅需要与其附着点进行安全关联协议,而不需要另外执行EAP验证。通过这种方式可以利用诸如802.11r的链路层切换优化机制来集成MPA。
所述移动节点可能需要知道CTN中附着点的链路层标识,以得到TSK。如果使用PANA作为预验证的验证协议,这可以通过在从PAA发送的PANA绑定请求消息中携带设备IDAVP来实现(参见以上参考资料[I-D.ietf-pana-pana]),其中各个属性值对(AVP)包含不同的接入点的基本服务集标识符(BSSID)。
参考图3,其图解性地描述了根据一些说明性实施例的自举链路层安全性。
10.初始网络连接中的验证
当所述移动节点初始连接到网络时,将会发生网络访问验证,而与MPA的使用无关。当将MPA用于切换优化时,用于网络访问验证的协议可以是链路层网络访问验证协议,诸如IEEE802.1X,或者更高层网络访问验证协议,诸如PANA。
11.安全性考虑
本文件描述了基于在移动节点和该移动节点将来可能移动到的一个或多个候选目标网络之间进行切换相关信令的安全切换优化机制的框架。此框架涉及在所述移动节点物理地连接到那些CTN中的一个之前,从所述CTN获取资源,以及从CTN向当前网络中的移动节点进行数据包重定向。
为了防止未授权的移动节点获取所述资源,从所述候选目标网络获取资源必须伴随有适当的验证和授权过程。为此,MPA框架能够在所述移动节点和候选目标网络之间进行预验证非常重要。作为成功的预验证的结果而生成的MN-CA密钥和MN-AR密钥能够保护在所述移动节点和CTN中MPA功能性元件之间交换的后续切换信令包和数据包。
所述MPA框架还解决了当跨越多个管理域进行所述切换时的安全性问题。利用MPA,可以基于在所述移动节点和候选目标网络中的路由器或移动性代理之间的直接通信进行切换信令。这消除了对上下文转移协议的需要,由于该协议的原因在安全性方面存在已知的限制(参见以上参考资料[I-D.ietf-eap-keying])。为此,所述MPA框架不要求在管理域或接入路由器之间的信任关系,这样使得所述框架在因特网上更易运用,而不会损害移动环境中的安全性。
本发明的广义范围:
虽然在此已经描述了本发明的说明性实施例,本发明不限于在此描述的各种优选实施例,还包括任何以及所有具有等同的元件、修改、省略、组合(例如,跨越各种实施例的各个方面)、调整和/或改变,本领域技术人员基于本公开可以理解这些方面。基于所述权利要求中使用的语言广义地理解权利要求(例如,包括后来增加的)中的限制,其不限于本说明或在申请进行期间所描述的例子,可以将这些例子理解为是非排它性的。例如,在本公开中,术语“优选地”是非排它性的,其意味着“优选地,但不限于”。在此公开中以及此申请进行期间,对于具体的权利要求限制,仅在所述限制中存在如下所有条件时,将仅使用装置加功能或者步骤加功能限制:a)明确叙述了“用于……的装置”或“用于……的步骤”;b)明确叙述了相应的功能;以及c)支持没有叙述出的结构的结构、材料或动作。在此公开中以及此申请进行期间,术语“本发明”或“发明”用于指代本公开中的一个或多个方面。不应该将本发明或发明这种用语不适当地理解为划界的标识,也不应该将其理解为应用于所有方面或实施例(即,应该将其理解为本发明具有一些方面和实施例),并且不应该将其不适当地理解为限制本申请或权利要求的范围。在此公开中以及此申请进行期间,术语“实施例”可以用于描述任何方面、特征、过程或步骤,其中的任何组合,以及/或者其中的任何部分等。在一些例子中,各种实施例可以包括重叠特征。在本公开中,可以使用以下简略术语:“e.g.”表示“例如”。