CN101014925B - 分组数据通信中的加密数据流的承载控制 - Google Patents
分组数据通信中的加密数据流的承载控制 Download PDFInfo
- Publication number
- CN101014925B CN101014925B CN200580030072XA CN200580030072A CN101014925B CN 101014925 B CN101014925 B CN 101014925B CN 200580030072X A CN200580030072X A CN 200580030072XA CN 200580030072 A CN200580030072 A CN 200580030072A CN 101014925 B CN101014925 B CN 101014925B
- Authority
- CN
- China
- Prior art keywords
- communication session
- intermediary
- parameter index
- security parameter
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
在通信会话中,带有加密的数据分组的数据流通过用于数据业务控制的监视中介。加密的数据分组包括SPI(安全参数索引),SPI被用于标识用于数据解密的SA(安全关联)。在通信会话的初始信令处理期间,寻求通信会话的节点将SPI包括在信令消息中,并通过监视中介发送信令消息,监视中介继而将信令消息的SPI与从数据分组中提取的相应SPI匹配。在实施数据业务控制的过程中,如果发现SPI的比较是匹配的,则监视中介允许数据流通过。否则,数据流被拒绝。
Description
根据35U.S.C§119要求的优先权
本专利申请要求2004年7月15日提交的标题为“Service BasedBearer Control for Mobile IP Co-located Care of Address”的美国临时申请第60/588,664号的优先权,该临时申请已被转让给其受让人,并将其明确地引用在此作为参考。
技术领域
本发明一般涉及分组数据通信,并更具体涉及分组数据通信期间对分组数据流的监视和控制。
背景技术
网络的全球互连允许快捷地访问信息,而不管地理距离如何。图1示出了通常称为因特网的以附图标记20表示的网络的全球连接的简化示意图。因特网20实质上是连接在一起的具有不同分级等级的许多网络。因特网20依据由IETF(因特网工程任务组)发布的IP(因特网协议)工作。IP的细节可在由IETF公布的RFC(请求注解)791中找到。
连接到因特网20的是各种单独的网络,取决于网络大小而有时被称为LAN(局域网)或WAN(广域网)。图1中所示的是这样的网络22、24和26中的一些。
在每个网络22、24和26内,可以有相互连接并相互通信的各种设备。实例有计算机、打印机和服务器,仅是举出一些。每个设备具有唯一的硬件地址,通常称为MAC(媒体接入控制)地址。带有MAC地址的设备有时被称为节点。当节点经由因特网20超出其本身的网络通信时,需要给该节点分配IP地址。
IP地址的分配可以是手动的或自动的。IP地址的手动分配可由例如网络管理员来执行。更加普遍地,IP地址被自动分配。例如,在LAN中,IP地址可由位于节点的LAN内部的称作DHCP(动态主机控制协议)服务器的服务器(未示出)分配。此外,在支持无线技术的WAN中,IP地址可被自动地和远程地分配。
现在返回到图1,作为一个实例,假设网络22中的节点30试图向网络24中的另一个节点34发送数据分组。在依据IP的情况下,每个数据分组都需要具有源地址和目的地地址。在这种情况下,源地址是网络22中的节点30的地址。目的地地址是网络24中的节点34的地址。当以这样的方式工作时,节点30和34被称为在简单IP传输模式下进行通信,其中在简单IP传输模式中,两个节点30和34在数据分组的交换中都简单地使用它们自身的IP地址以符合IP。
无线技术的出现允许节点离开它们初始登记的网络而到达另一个网络。例如,返回来参考图1,节点30可以是无线设备,诸如PDA(个人设备助理)、蜂窝电话或移动计算机,而不是永久地有线连接到网络22。无线节点30可以游历到其归属网络22的边界之外。这样,节点30可以从它的归属网络22漫游至外部网络26。在这种情形下,分配给节点30的初始地址将不再适用于节点30。同样,目的地为节点30的该地址的数据分组可能不能到达节点30。
由IETF提出的移动IP(移动因特网协议)是为了解决节点移动性问题而提出的。根据IETF公布的RFC2002,无论何时节点30离开归属网络22并在另一网络中漫游,节点30都被分配“转交地址”,缩写为CoA(Care-of Address)。
依据RFC2002,有两种类型的CoA,即,FA CoA(外部代理转交地址(Foreign Agent Care-of Address))和CCoA(同机配置转交地址(Co-located Care of Address))。
FA CoA实质上是FA(外部代理)的地址,该FA是节点30所在的外部网络中的指定服务器。FA CoA可应用在IPv4中。
CCoA是由外部网络分配给节点30的单独的但是暂时的地址。CCoA可应用在IPv4和IPv6中。
在任何情况下,无论何时节点30在外部领域中,节点30都必须向其归属网络22登记CoA(无论是FA CoA还是CCoA),使得归属网络22始终知道节点30的所在之处。在登记之后,CoA被存储在由称为归属网络22的HA(本地代理)25的指定服务器维护的路由表中。
用几个实例来进行说明。
对于FA CoA的情况,假设节点30漫游到外部网络26中。一到达外部网络26的领域界限,节点30就接收到来自外部网络26的公告消息,该公告消息通知节点30其位于外部领域中。从公告消息中,节点30得知外部网络26的FA36的地址。然后节点30向归属网络22中的HA25登记FA CoA。
例如,当外部网络26中的节点30向网络24中的节点34发送出数据分组时,在得知网络24中的节点34的地址的情况下,可直接地发送数据分组。即,根据IP,在数据分组中,可将源地址设置成节点30的HoA,并且可将目的地地址设置成网络24中的节点34的地址。数据分组的方向以图1中所示的数据路径38示出。
关于反向数据业务,则不是这样直接。在反向数据路由中,当网络24中的节点34试图向现在处于外部网络26中的节点30发送数据分组时,如上所述,根据IP,源地址和目的地地址二者都必须在数据分组中被指定。在这种情况下,源地址是网络24中的节点34的IP地址。关于目的地地址,在没有任何来自节点30的更新通知的情况下,节点34仅知道节点30的HoA,而不知道节点30的FA CoA。这样,目的地地址将被设置成节点30的HoA。不过,由于节点30的FA CoA被存储在归属网络22中的HA25的路由表中,所以当数据分组到达归属网络22时,网络22的HA25将接收到的数据分组与所存储的FA CoA封装在一起,并将其发送到外部网络26中的节点30。即,经封装的数据分组利用FA CoA作为目的地地址。一旦外部网络26接收到经封装的数据分组,FA36就仅去掉封装的FA CoA并将初始分组传递给移动节点30。数据分组的路由在图1中以数据路径40示出。
还应注意的是,诸如路径38和40的数据路径在实际中穿过了因特网20许多次。为了清楚以便不使图1变得模糊,仅将路径显示为穿过相关的服务器,诸如HA25和FA36。即,将数据路径38和40显示为如图1中所示的逻辑路径。
当以上述方式工作时,移动节点30被称为在使用FA CoA在移动IP隧道模式下与对应节点34进行通信。
在以上实例中,数据隧道被称为通过HA25存在于节点30和34之间,即使移动节点30看起来像是直接从相应节点90接收数据分组。使用隧道模式的优点在于,当移动节点30移动到再一个外部网络时,除了发给归属网络22的更新通知外,移动节点30不需要再向相应节点34发送类似的通知。这样,相应节点34所发送和接收的数据看起来像是不间断的。
关于CCoA的情况,当节点30漫游离开归属网络22时,节点30可以不请求FA CoA,而是从外部网络请求CCoA。如果网络26是支持无线技术(诸如由TIA/EIA(电信工业协会/电子工业协会)发布的cdma2000标准和3GPP2(第三代合作伙伴计划2))的WAN,则CCoA可被请求并经由例如PDSN(分组数据服务节点)41和移动节点30之间的PPP(点对点协议)而由外部网络26远程地分配。PDSN41基本上是网络26中的服务器,服务和处理网络26的无线部分中的数据业务。然而,除了外部网络26对CCoA的分配之外,节点30可执行诸如前述的FA36的外部代理的所有功能。同样,移动节点30需要向归属网络22登记CCoA。
例如,为了与网络24中的节点34通信,节点30发送出具有两层地址的数据分组。在外层中,源地址被设置成CCoA,目的地地址被设置成HA25。在内层中,源地址是节点30的HoA,目的地地址是外部网络24中的节点34的地址。一接收到来自漫游节点30的数据分组,HA25就剥去外地址层并采用内地址层将数据分组发送给节点34。数据分组的逻辑路径在图1中以数据路径42示出。
在反向数据路径中,即,当节点34向节点30发送数据分组时,数据分组仅具有一个地址层,在该地址层,源地址被设置成节点34,并且目的地地址被设置成节点30的HoA。一接收到数据分组,HA25就将数据分组与作为目的地地址的CCoA和作为源地址的HA25的地址封装在一起,并将经封装的数据分组发送给节点30。节点30独立地执行解封装而不通过FA36执行解封装。数据分组的方向在图1中以数据路径44示出。
当以上述方式工作时,漫游节点30被称为在使用CCoA在移动IP隧道模式下与对应节点34进行通信。
非常普遍的是,由于不同的原因需要对节点之间的数据通信进行监视和控制。例如,当移动节点30和相应节点34在进行VoIP(语音IP传输)会话时,需要确定的是,参与方即这种情况下的移动节点30和相应节点34是被授权的。尤其是,对于每个数据分组,需要确定源地址、目的地地址和目的地端口。如果该会话是基于收费的,则出于计费目的必须实现用于跟踪的装置。由于安全性和保密性的原因,通常节点之间交换的数据分组被加密。传输模式下和隧道模式下的数据分组的加密方案是不同的。这样,对加密的数据分组的监视提出了特别的挑战。但是,对共享网络上的安全和保密的通信的需求正在不断增加。
因此,需要提供对使用加密的数据流的分组数据通信进行安全监视的方案。
发明内容
出于安全性和机密性的原因,常常,使用加密的通信数据分组来安全地传输数据流。有时候,需要通过监视中介(intermediary)来监视数据流,以进行数据业务控制。加密的数据分组包括SPI(安全参数索引),其用于标识用于数据解密的SA(安全关联)。根据本发明的示例性实施例,寻求互相通信的节点,在建立任何正式数据业务之前,首先通过监视中介在信令消息中发送SPI。此后,监视中介将来自信令消息的SPI与从数据分组中提取的SPI匹配。在数据业务控制的过程中,如果发现SPI的匹配,则监视中介允许数据流通过。否则,数据流被拒绝。
以这种配置工作,监视中介可因而相对快捷地实施数据业务控制。
对于本领域的专业技术人员而言,根据结合附图进行的以下详细描述,这些和其它特征及优点将是显而易见的,其中在附图中相似的附图标记指代相似的部分。
附图说明
图1是网络的全球连接的示意图;
图2是示出本发明的一个实施例的示意图;
图3是未加密的和加密的数据分组的各种格式的示意图;
图4是示出根据本发明的实施例的用于初始信令和建立内容业务的步骤的流程图;
图5是根据本发明配置的移动节点的电路的示意图;和
图6是根据本发明的监视中介的电路的示意图。
具体实施方式
以下描述的提供是为了使本领域的任何专业技术人员能够实现和使用本发明。在以下描述中阐述的细节是为了说明的目的。应该理解的是,本领域的普通技术人员可实现本发明而不使用这些具体细节。在其它实例中,没有详细阐述公知的结构和处理,以便使本发明的描述不会由不必要的细节所遮蔽。因此,本发明不应由所示的实施例限制,而是要符合与本文所公开的原理和特征相一致的最宽的范围。
根据由第三代合作伙伴计划(3GPP)和第三代合作伙伴计划2(3GPP2)发布的IMS/MMD(IP多媒体子系统/多媒体域)标准,下面描述的实施例是切实可行的。IMS/MMD的全面讨论可在以下公布的文献中找到:标题为“3rdGeneration Partnership Project:TechnicalSpecification Group Services and System Aspects,IP MultimediaSubsystem(IMS),Stage2”3GPP TS23.228;“3rdGeneration PartnershipProject:Technical Specification Group Core Network,End-to-End Qualityof Service(QoS)Signaling Flows,”3GPP TS29.208;以及“IP MultimediaSystem,Stage2,”3GPP2X.S0013-002和3GPP2X.P0013-012。
IMS可应用在多种标准中,诸如cdma2000、WCDMA(宽带码分多址)、GPRS(通用分组无线电业务)和各种其它WAN。
现参考图2,其示意性地示出了本发明的示例性实施例。整个系统总体以附图标记50表示,该系统包括主干网52,诸如企业内部互联网或因特网。
举例来说,如图2所示,在其它网络中,连接到主干网52的是HN(归属网络)54、FN(外部网络)56和RN(远程网络)58。
在HN54中,存在有HA(归属代理)62,其承担着管理HN54内的数据业务的任务,并且还承担着对HN54的数据业务的入站(inbound)和出站(outbound)路由进行控制的任务。如果HN54支持无线技术,则通常安装有RAN(无线电接入网)55,并且该RAN55被连接到PDSN(分组数据服务节点)64。例如,如果RAN55依据cdma2000标准工作,则RAN55一般至少包括BSC(基站控制器)和多个BS(基站)。PDSN64实质上是主干网52和RAN55之间的接入网关。
为了实施各种IMS/MMD功能和特征,服务提供商在HN54中安装了不同的服务器。这样的服务器的实例包括P-CSCF(代理呼叫状态会话功能)70和S-CSCF(服务呼叫状态会话功能)72。这些服务器的功能性描述将连同系统50的操作描述一起在后面描述。
除了上述节点外,在HN54内还有其它节点,但为了清楚起见并未将其示出。这样的节点可以是各种类型的计算机,打印机,以及可以是移动或非移动的任何其它设备。
图2中示出的是连接到主干网52的FN56和RN58。此外,为了简洁和易于说明,将FN56和RN58图解为有点类似于HN54。应该理解的是,取决于用途,FN56和RN58可以以非常不同的方式进行构造。因此,在这种情况下,FN56尤其还包括FA(外部代理)66、RAN76、PDSN68、P-CSCF71和PCRF(策略和计费规则功能)75。同样,RN58尤其还包括PDSN78、P-CSCF80、S-CSCF82和PCRF84。
应注意的是,在图2中,FN56中的FA66和PDSN68被显示为分离的实体。非常普遍的是,FA66和PDSN68被集成为一个单元。
在系统50中,存在有初始向HN54中的HA62登记了HoA(归属地址)的MN(移动节点)60。MN60能够移动到诸如FN56的其它外部网络,并能在移动IP(移动因特网协议)下经由FN56或其它网络访问主干网52。MN60在实际中可以是例如PDA(个人数字助理)、膝上型计算机或移动电话的形式。
假设MN60正在FN56中漫游。在该具体实例中,假定MN60的用户想与RN58中操作CN(对应节点)90的另一用户进行视频会议会话。节点90可以是移动的或非移动的。
一到达FN56的领域,MN60就可通过FN56的公告而获取FA66的地址。然后MN60向HN54中的HA62登记FA CoA,使得HA62能够保持对MN60的位置的跟踪。可替换地,MN60可从FA66请求CCoA。然后出于同一原因,即为了允许HA62维持与MN60的接触,MN60还向HA62登记CCoA。
在建立任何通信业务之前,MN60需要经历信令处理。为了完成该目的,MN60经由下面将描述的中介向CN90发送出邀请消息。同样,CN90需要采用响应信令处理来确认邀请消息。
在该实例中,MN60使用初始由HN54中的HA62分配的HoA来向HN54中的S-CSCF72登记,以用于访问包括HN54中的S-CSCF72的SIP(会话启动协议)网络。
然后MN60向HN54中的P-CSCF70发送SIP INVITE消息。应注意的是,在实际操作中,如同所有其它数据业务一样,SIP INVITE消息在到达P-CSCF70之前首先经过RAN76、PDSN68、FA66、主干网52和HA62。此外,如本领域公知的那样,数据业务是以电子信号的形式经由信号载波穿过系统50的。为了清楚起见,以类似于上述的方式,将数据业务简单地图解为逻辑路径。即,在下面的描述中,除非特别强调,否则仅描述数据业务的逻辑路径。
还应注意的是,可替换地,MN60可向FN56中的P-CSCF71发送SIP INVITE消息以启动会议会话。即,可替换地,MN60可不使用HN54中的SIP网络来用于发送信号,而使用FN56中的SIP网络。为了说明的连贯和简洁,在下面的描述中,HN54中的SIP网络被用于信令处理。
假设视频会议会话将是私人会话。这样,MN60和CN90之间交换的数据分组是被加密的,如通常实施的那样。
在这个当口,离题一下来一般性地解释IP安全性并进一步特别解释未加密的和加密的数据分组之间的差别,将是有帮助的。
在IP下,根据IPSec(因特网协议安全性)对数据分组进行加密,其中IPSec是具有处理数据机密性、完整性和参与方之间的认证的各种标准的安全协议。IPSec的细节可在RFC2401、2412和2451中找到。
根据IPSec,寻求安全通信的通信节点首先需要预先就称为SA(安全关联)的一套安全参数达成一致。SA可以尤其包括加密算法、认证算法、加密密钥和认证密钥。这样,在达成一致后,SA被存储在请求安全通信会话的每个节点中。公共SA可由与每个数据分组一起传输的SPI(安全参数索引)来标识。在任何安全通信会话期间,接收节点可以始终从任何数据分组中提取SPI,并调用所存储的SA以用于解密。带有公共加密算法和密钥的SA允许接收节点解密加密过的数据分组。
图3中所示的是不同形式的加密的数据分组和未加密的数据分组。
附图标记100表示公共的加密前的数据分组。数据分组100包括IP头102,IP头102存储IP下所要求的诸如分组100的源地址和目的地地址的信息。与IP头102相邻的是层4头104。层4是传输层,其包括关于数据分组100是在TCP(传输控制协议)下还是在UDP(用户数据报协议)下的信息。TCP和UDP的细节可分别在RFC793和RFC768中找到。这样,层4头104至少可标识分组100是TCP分组还是UDP分组,并进一步包括源端口和目的地端口的位置。对于监视中介执行其数据监视职责来说,关于目的地端口的信息是必要的。与层4头104相邻的是数据分组100所携带的净荷数据106。
附图标记108表示传输模式下的加密的数据分组。阴影线部分指示加密下的数据区域。加密的数据分组108还包括与未加密的分组100相同的IP头102。然而,加密分组100的层4头104A和净荷数据106A是未加密的数据分组100的相应的层4头104和净荷数据106的加密的对应部分。在数据分组108中,布置在IP头102和层4头104A之间的是ESP(封装安全净荷)头110。ESP头110包括SPI,该SPI可用于标识带有用来如前所述解密数据分组108的预先安排的算法的SA。在数据分组108末端的是ESP报尾112和认证数据114。ESP报尾112尤其包括标识下一个ESP头的信息。如果执行任何认证协议,则认证数据分段114具有用于该用途的信息。
附图标记118表示根据IPSec在隧道模式下的加密的数据分组。在数据分组118中,主要是加密前的分组100被加密并封装到分组118中。这样,分组分段(packet segment)IP头102B、层4头104B和净荷数据106B包含初始分组100的相应分段的信息。然而,分组118的前部IP头102的内容不同于IP头102B的内容。例如,IP头120包括隧道的外层地址,并且IP头102B具有隧道的内层地址。与IP头120相邻的是ESP头110,其实质上与数据分组108中的ESP头110相同。也就是说,ESP头110包括SPI,该SPI用于标识带有用于解密数据分组118的预先安排的算法的SA。ESP报尾112和认证数据114与分组108的那些基本相同。
应该注意,在IPv6下,在每个分组108、100和118的IP头102之后,有称为“流标签”的任选头,其包括标识数据分组108、100或118是音频分组还是视频分组的信息。为了简洁扼要,流标签头在图3中未示出。
如在图3中可看到的那样,在数据分组108中,层4头104A被加密。因而,监视中介不能识别分组108例如是TCP分组还是UDP分组。首要的是,层4头104A包括的有关目的地端口的信息也是不容易得到的。任何监视中介在没有任何关于目的地端口的信息的情况下,不能执行任何数据监视。
同样,在数据分组118中,除了层4头104B的加密,IP头102B也被加密。例如,在没有来自IP头104B的信息的情况下,监视中介进一步不能得知数据分组118的内层地址。因此,可能不能监视数据分组118。
如前所述,嵌入每个数据分组108和118中的是SPI,该SPI可用于标识用于数据加密的相关联的SA。然而,在该实施例中,SPI还被隐式地用于标识和对应于与加密的数据分组108或118相关联的特定目的地端口。更具体地,在加密的数据分组108或118中,各个ESP头110中的每个SPI对应于例如特定数据流,而特定数据流的特征在于该数据流是音频流还是视频流,并进一步对应于目的地端口的标识。根据示例性实施例,在初始信令处理期间,SPI通过监视中介被直接发送并最终到达监视中介。在数据监视期间,监视中介仅需将在信令处理期间所获取的SPI与相应的从加密的数据分组中提取的SPI匹配。如果发现匹配,则特定流(即,不管该流是音频还是视频)以及加密的数据分组的目的地端口,因此可被隐式地标识。
现在返回来参考图2。为了启动视频会议会话,MN60如前面所述地通过SIP网络发送出SIP INVITE消息。SIP INVITE消息包括称为SDP(会话描述协议)的描述部分,该描述部分实质上描述的是为正确执行所请求的视频会议会话所需的基本要求。例如,包括在SDP中的是MN60的IP地址和端口号,以及用于会话的编解码器规范。更重要的是,在该实施例中,SDP包括将由MN60使用的SPI。在通信会话是视频会议会话的该实例中,需要两个SPI,也就是说,一个用于视频流,另一个用于音频流。如前所述,每个SPI对应于特定数据流,而特定的数据流唯一地与特定目的地端口相关联。要重申的是,在数据监视的过程中,如果SIP INVITE消息中包括的SPI与从承载业务的数据分组中提取的SPI相匹配,则目的地端口可被隐式地标识。承载业务是会议会话的音频和视频信号的内容流。利用目的地端口地址的标识以及源地址和目的地地址,数据监视中介可以履行其数据监视职责。
现返回图2,HN54中的P-CSCF70是承担呼叫会话管理职责的节点。一接收到SIP INVITE消息,P-CSCF70就将SIP INVITE消息发送给HN54中的S-CSCF72。S-CSCF72继而将SIP INVITE消息发送给RN58以请求接受。
一旦HN54中的S-CSCF72同意会话并且RN58中的CN90接受会议会话,P-CSCF70然后就向HN54中的PCRF74发送策略相关信息,诸如收费规则、授权的QoS(服务质量)和流标识符。
同时,即在CN90接受之后,MN60将TFT(业务流模板)连同被请求的QoS一起发送给FN56中的PDSN68以建立承载业务。
然后PDSN68从FN56中的PCRF75请求相同的如前所述的策略相关信息,即用于会议会话的授权的QoS、收费规则和流标识符。然后PCRF75将该请求中继给HN54中的PCRF74。由PCRF75许可的任何参数必须与某种批准的策略相一致。这样的策略可包括在IMS/MMD标准下规定的规则,网络之间的特定协定,诸如HN54和FN56之间关于承载业务的处理的协定,网络特有的策略,诸如仅对FN56是唯一的策略。如果请求的会议会话是基于收费的,则策略可包括用于计费目的的某些跟踪过程。尤其是,未授权的业务将被阻断。在IMS/MMD标准下,策略的实施被称作SBBC(基于服务的承载控制)。
SBBC的操作细节可在3GPP2X.S0013-012标题为“3GPP2 MMDService Based Bearer Control Document,Work in Progress,”的文献中找到。SDP的描述可在Stage3:3GPP2-X.S0013-0004标题为“IPMultimedia Call Control Protocol Based on SIP and SDP”的文献中找到。
FN56中的PCRF75被安装以用于决定所有强加的策略。在决定处理中,PCRF75被置于HN54中的PCRF74和FN56中的PDSN68之间。此外,在PDSN68和PCRF75之间置有Ty接口92。在HN54中的PCRF74和P-CSCF70之间还置有Tx接口94,如图2中所示。前述的Ty和Tx接口被用于会议会话和承载业务之间的策略控制。Ty和Tx接口的细节可在由3GPP公布的3GPP TS23.107和由3GPP2公布的3GPP2X.P0013-012文献中找到。
现在返回到图2,如果SIP INVITE消息中宣称的所请求的会话参数被授权,则它们将经由HN54中的PCRF74和FN56中的PCRF75从P-CSCF70传递到PDSN68。
在该实施例中,假定CN90具有由RN58分配的CCoA。因此,一接收到SIP INVITE消息,CN90就采用SIP200 OK消息做出返回响应。SIP200 OK消息基本上重新确认初始SIP INVITE消息的参数。另外,在该实施例中,CN90在SIP200 OK消息的SDP中还包括将由CN90使用以用于承载业务的SPI。SIP200 OK沿着与SIP INVITE消息相同的数据路径但以相反的顺序流动。
然后MN60通过沿着与初始SIP INVITE消息相同的数据路径往回发送确认消息(ACK)来确认SIP200 OK消息的接收。
此后承载业务就绪,以便由FN56中的PDSN68根据SIP INVITE消息中提出的授权参数进行建立。
如前所述,在IMS/MMD标准下,承载业务需要由网络经由SBBC进行监视和控制。在该实例中,由FN56中的PCRF75指挥的PDSN68承担着实施SBBC以便与前述策略相一致的职责。
在SBBC实施期间,在允许每个数据分组通过之前需要对其进行筛选。由于承载业务的数据分组如前面所述地被加密,所以诸如目的地端口标识的一些必要信息不会被容易且方便地得到。在该实施例中,如前所述,在初始信令处理期间,PDSN68就预先具有了来自SIPINVITE消息和SIP200 OK消息的数据流的SPI的信息。在操作中,PDSN68从每个数据分组中提取SBBC所需的必要信息,诸如源地址和目的地地址以及隐式地标识数据流的SPI,并且如果信息与从信令处理获得的相应信息匹配,则作为SBBC实施的一部分,数据分组被允许通过。另一方面,如果存在失配,则数据分组被称为使SBBC失败并被丢弃。
以上述方式工作,也就是说,利用包括在信令消息的SDP中的SPI,PDSN68可快捷地实施所请求的视频会议会话的加密数据业务的SBBC。SBBC的实施是连续的,直到MN60和CN90之间的会话终止。
图4的流程图示出了上述处理。
图5示意性地示出了根据本发明的由附图标记121表示的移动节点装置的硬件实现方案的一部分。装置121可例如被构建并包含在各种设备中,诸如膝上型计算机、PDA或蜂窝电话中。
装置121包括将若干电路连接在一起的中央数据总线122。这些电路包括CPU(中央处理单元)或控制器124、接收电路126、发射电路128和存储器单元130。
接收和发射电路126和128可连接到RF(射频)电路,但在附图中未示出。接收电路126在将接收到的信号发送出至数据总线122之前处理和缓冲接收到的信号。另一方面,发射电路128在将来自数据总线122的数据发送出设备120之前处理和缓冲来自数据总线122的数据。CPU/控制器124执行数据总线122的数据管理的功能,并进一步执行通用数据处理的功能,包括执行存储器单元130的指令内容。
存储器单元130包括总体用附图标记131表示的一组指令。在该实施例中,指令尤其包括诸如移动IP客户机132和SIP客户机134的部分。SIP客户机134包括根据如前所述的本发明的指令组。移动IP客户机132包括用于允许装置121在IP或移动IP下工作的指令组,诸如用于获取各种通信模式的各种类型的地址的指令组,同样如前所述。
在该实施例中,存储器单元130是RAM(随机存取存储器)电路。示例性的指令部分132和134是软件例程或模块。存储器单元130可被连接至可以是易失性或非易失性类型的另一个存储器电路(未示出)。可替代地,存储器单元130可由其它电路类型构成,诸如EEPROM(电可擦可编程只读存储器)、EPROM(电可编程只读存储器)、ROM(只读存储器)、磁盘、光盘以及技术领域中公知的其它电路类型。
图6示意性地示出了根据本发明的用附图标记140表示的PDSN装置的硬件实现方案的一部分。PDSN装置140包括将若干电路连接在一起的中央数据总线142。这些电路包括CPU(中央处理单元)或控制器144、接收电路146、发射电路148、数据库存储单元149和存储器单元150。
接收和发射电路146和148可连接到PDSN装置140所连接到的网络数据总线(未示出)。接收电路146在将从网络数据总线(未示出)接收到的信号经路由传送至内部数据总线142之前处理和缓冲从网络数据总线接收到的信号。发射电路148在将来自数据总线142的数据发送出装置140之前处理和缓冲来自数据总线142的数据。CPU/控制器144执行数据总线142的数据管理的职责,并执行通用数据处理的功能,包括执行存储器单元150的指令内容。数据库存储单元149存储数据记录,诸如带有其相应的各种参数的SA。
存储器电路150包括总体用附图标记154表示的一组指令。在该实施例中,指令尤其包括PDSN功能156和SBBC功能158的部分。存储器单元可由如上所述的存储器电路类型构成,并且不再重复。PDSN和SBBC功能156和158包括根据如前所述的本发明的指令组。
最后,在实施例中描述的是在使用CCoA的移动IP下工作的MN60。如前所述,MN60可在其它通信模式下很好地工作并采用其它类型的地址。例如,作为许多可选方案中的一个实例,MN60可使用FACoA并可在移动IP隧道模式下与CN90通信。另外,该实施例中描述的加密被双向地应用于MN60和CN90之间。还可以仅单向地应用数据加密,而不是双向地应用数据加密。此外,如上所述,节点60被描述为漫游至外部网络的移动设备。应该理解的是,节点60完全可以是静止节点。另外,结合实施例描述的任何逻辑块、电路和算法步骤可以用硬件、软件、固件或其结合来实现。本领域的技术人员应该理解的是,可以做出这些及其它形式和细节上的变更而不脱离本发明的范围和精神。
Claims (14)
1.一种通过监视中介采用加密的数据分组进行通信会话的方法,包括:
向源移动设备提供用于加密处理的标识安全关联SA的安全参数索引SPI;
将所述SPI包括在选自SIP INVITE消息和SIP 200OK消息所组成的组的要发到目的地移动设备的信令消息中;和
通过经由所述监视中介发送具有所述SPI的所述信令消息,为所述源移动设备和目的地移动设备之间的所述通信会话发信号,使得所述监视中介使用所述SPI执行分组数据监视并且对所述通信会话实施与所述SPI相关的一组安全策略。
2.如权利要求1所述的方法,其中,所述为所述通信会话发信号包括通过所述监视中介响应对所述通信会话的邀请。
3.如权利要求1所述的方法,还包括在所述通信会话的所述数据分组中提供所述SPI。
4.一种监视采用加密的数据分组的通信会话的方法,包括:
在监视中介从选自SIP INVITE消息和SIP 200OK消息所组成的组的信令消息中接收标识解密处理的第一安全参数索引,该信令消息从源移动设备传送到目的地移动设备;
在所述监视中介从所述源移动设备和目的地移动设备之间的通信会话的所述数据分组接收第二安全参数索引;和
通过所述监视中介通过包括比较所述第一安全参数索引和第二安全参数索引而对所述通信会话实施一组策略。
5.如权利要求4所述的方法,还包括当所述比较所述第一安全参数索引和第二安全参数索引的结果是匹配时,允许所述通信会话的所述数据分组通过所述监视中介,并且当所述比较所述第一安全参数索引和第二安全参数索引的结果是失配时,拒绝让所述通信会话的所述数据分组通过。
6.如权利要求4所述的方法,其中,所述信令消息是第一信令消息,所述方法还包括从第二信令消息中接收所述第一安全参数索引。
7.如权利要求6所述的方法,其中,所述第一信令消息是所述通信会话的邀请消息,并且所述第二信令消息是所述邀请消息的响应消息。
8.一种用于通过监视中介采用加密的数据分组进行通信会话的设备,包括:
用于向源移动设备提供标标识安全关联SA的安全参数索引SPI的装置;
用于将所述SPI包括在发向目的地移动设备的选自SIP INVITE消息和SIP 200OK消息所组成的组的信令消息中的装置;和
用于通过所述监视中介发送具有所述SPI的所述信令消息的装置,使得所述监视中介使用所述SPI来对所述通信会话实施与所述SPI相关的一组安全策略。
9.如权利要求8所述的设备,其中,所述信令消息是邀请消息,所述设备还包括用于将所述SPI包括在响应于所述邀请消息的响应消息中的装置。
10.如权利要求8所述的设备,还包括用于将所述SPI包括在所述通信会话的所述加密的数据分组中的装置。
11.一种用于监视采用加密的数据分组的通信会话的设备,包括:
用于在监视中介从选自SIP INVITE消息和SIP 200OK消息所组成的组的信令消息中接收标识解密处理的第一安全参数索引的装置,该信令消息从源移动设备发送到目的地移动设备;
用于在所述监视中介从在所述源和目的地移动设备之间的所述通信会话的所述数据分组接收第二安全参数索引的装置;和
用于通过所述监视中介通过比较所述第一安全参数索引和第二安全参数索引而对所述通信会话实施一组策略的装置。
12.如权利要求11所述的设备,还包括用于在所述比较所述第一安全参数索引和第二安全参数索引的结果是匹配时,允许所述通信会话的所述数据分组通过所述监视中介的装置,以及用于在所述比较所述第一安全参数索引和第二安全参数索引的结果是失配时,拒绝让所述通信会话的所述数据分组通过的装置。
13.如权利要求11所述的设备,其中,所述信令消息是第一信令消息,所述设备还包括用于从第二信令消息中接收所述第一安全参数索引的装置。
14.如权利要求13所述的设备,其中,所述第一信令消息是所述分组数据通信会话的邀请消息,并且所述第二信令消息是所述邀请消息的响应消息。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US58866404P | 2004-07-15 | 2004-07-15 | |
| US60/588,664 | 2004-07-15 | ||
| US11/180,131 | 2005-07-12 | ||
| US11/180,131 US8042170B2 (en) | 2004-07-15 | 2005-07-12 | Bearer control of encrypted data flows in packet data communications |
| PCT/US2005/025150 WO2006020014A1 (en) | 2004-07-15 | 2005-07-14 | Bearer control of encrypted data flows in packet data communications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101014925A CN101014925A (zh) | 2007-08-08 |
| CN101014925B true CN101014925B (zh) | 2012-07-04 |
Family
ID=38701554
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200580027689 Pending CN101006700A (zh) | 2004-07-15 | 2005-07-14 | 分组数据过滤 |
| CN200580030072XA Active CN101014925B (zh) | 2004-07-15 | 2005-07-14 | 分组数据通信中的加密数据流的承载控制 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200580027689 Pending CN101006700A (zh) | 2004-07-15 | 2005-07-14 | 分组数据过滤 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN101006700A (zh) |
| TW (2) | TWI378694B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2714196C (en) * | 2007-12-27 | 2012-03-27 | Keiko Ogawa | Information distribution system and program for the same |
| CN102056118B (zh) * | 2009-10-30 | 2015-05-20 | 中兴通讯股份有限公司 | 计费控制的方法、装置及系统 |
-
2005
- 2005-07-14 CN CN 200580027689 patent/CN101006700A/zh active Pending
- 2005-07-14 CN CN200580030072XA patent/CN101014925B/zh active Active
- 2005-07-15 TW TW94124012A patent/TWI378694B/zh active
- 2005-07-15 TW TW094124016A patent/TW200627886A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| CN101014925A (zh) | 2007-08-08 |
| TW200635305A (en) | 2006-10-01 |
| TWI378694B (en) | 2012-12-01 |
| TW200627886A (en) | 2006-08-01 |
| CN101006700A (zh) | 2007-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5112864B2 (ja) | パケット・データ通信における暗号化されたデータ・フローのベアラ制御 | |
| US10511961B2 (en) | Service in WLAN inter-working, address management system, and method | |
| KR100904168B1 (ko) | 패킷 데이터 필터링 | |
| EP1938523B1 (en) | Policy control in the evolved system architecture | |
| US8185935B2 (en) | Method and apparatus for dynamic home address assignment by home agent in multiple network interworking | |
| CN100571258C (zh) | 提供通信网之间安全通信的方法和系统 | |
| CN101014925B (zh) | 分组数据通信中的加密数据流的承载控制 | |
| JP2009512343A (ja) | 接続を確立するための基地局の方法及び装置 | |
| KR20020061826A (ko) | 통신시스템에서의 망요소 통합을 위한 제어 관리 방법 | |
| JP5180085B2 (ja) | 接続を確立するための無線端末の方法および装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1110400 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1110400 Country of ref document: HK |