CN101091371A - 提供移动节点之间路由优化安全会话连续性的方法和装置 - Google Patents
提供移动节点之间路由优化安全会话连续性的方法和装置 Download PDFInfo
- Publication number
- CN101091371A CN101091371A CN 200680001537 CN200680001537A CN101091371A CN 101091371 A CN101091371 A CN 101091371A CN 200680001537 CN200680001537 CN 200680001537 CN 200680001537 A CN200680001537 A CN 200680001537A CN 101091371 A CN101091371 A CN 101091371A
- Authority
- CN
- China
- Prior art keywords
- mobile node
- tunnel
- mag
- security
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
根据本发明的至少一个实施例,甚至当MN远程定位时,也可以为去往或来自属于相同域的一个或多个移动节点(MN)IP应用业务提供机密性。优选地总是可以提供与在公司环境中(例如安全内联网中)通常提供的类似的MN之间通信的机密性和完整性级别。当一个或多个MN经由不能假设为固有安全的连接进行通信时,提供安全和高效的通信,其中所述连接例如是到公共网络的连接,所述公共网络例如是互联网或安全内联网外部的网络。
Description
相关申请的交叉引用
本申请按照35 U.S.C§119(e)主张以下美国临时申请的优先权:2005年1月7日提交的申请60/642,255,以及2005年1月10日提交的申请60/642,690。
本申请与以下申请相关:“METHOD AND APPARATUS FORPROVIDING LOW-LATENCY SECURE SESSION CONTINUITYBETWEEN MOBILE NODES”(代理人案号1400.1400.1500260),该申请与本申请的提交日相同。
技术领域
本发明一般涉及移动联网,并且更具体涉及包括一个或多个移动节点的低时延安全联网。
背景技术
与固定(即非无线)网络相比,无线通信的特性增加了提供无线环境中的安全通信的难度。另一方面,例如全球移动通信系统(GSM)、个人通信系统(PCS)和码分多址(CDMA)的、曾经是主要电路交换语音网络的无线网络,通常还未提供完全的互联网接入,并且因此在某种程度上避免了例如互联网中的那些典型的弱点。随着互联网协议(IP)多媒体子系统(IMS)解决方案和相关技术的引入,数据、语音和视频可以经由互联网通过无线连接访问,其中所述无线连接例如是使用通用移动电信系统(UMTS)和码分多址2000(CDMA2000,例如国际移动电信(IMT)-CDMA多载波、相位1无线传输技术(1xRTT,phase 1 radio transmissiontechnology),或相位3无线传输技术(3xRTT))的连接。移动设备具有与使用异构无线接入网络的多无线接口合作的能力。移动用户也已经变为“真正移动的”,因为其不受限于移动设备、网络和应用。然而,通常仍然期望保护个体之间传送的信息,其可以证明为私有和公共通信之间的区别。私密性是有益的,这不仅从网络角度来说而且还根据端到端通信模型。
问题在于向属于相同域的移动用户提供IP应用业务机密性的困难。迄今所面临的挑战是优选地总是确保移动节点(MN)(或MN和一个或多个固定节点)之间通信中与固定内联网(例如固定公司环境或固定家庭环境)中所提供的类似的机密性和完整性级别。
机密性和移动性目标还未被完全达到。一方面,互联网密钥交换(IKE)协议可以被用于协商用于虚拟专用网(VPN)的隧道的安全关联(SA)。另一方面,移动IP(MIP)协议可以被用于支持IP节点的移动性。当一起使用时出现下面的问题:VPN隧道(VPN T)的SA与两个IP地址有关,一个用于隧道的每个端点。MN具有双重身份一永久家乡地址(HoA,permanent home address)和临时转交地址(CoA,temporary care-ofaddress),其通常与MN的地理位值有关。HoA被用于标识VPN隧道的端点。从HoA,业务可以被重定向到MN的当前位值。如果CoA被用作VPN隧道的端点,则每当CoA改变时提供用于更新SA的机制。
一种称为安全通用移动性(SUM,Secure Universal Mobility)的结构试图同时解决机密性和移动性。定义了三个不同的区域。一个这种区域是内联网,其是由防火墙保护的可信区。第二区域是非军事区(DMZ,de-militarized zone),其可以通过另一具有较弱控制的防火墙从内联网外部接入。第三区域是公共互联网,其可以假设为不是固有安全的。SUM是基于MIP的。每个MN具有两个HoA-内部HoA(i-HoA)和外部HoA(x-HoA)。i-HoA用作内联网的私有地址空间中的身份。x-HoA用作互联网的公共地址空间中的身份。存在两种家乡代理(HA),即内部HA(i-HA)和外部HA(x-HA)。i-HA处理内联网移动性并且保持对内部CoA(i-CoA)到内部HoA(i-HoA)的绑定的跟踪。x-HA处理外部移动性并且保持对外部CoA(x-CoA)到外部HoA(x-HoA)的绑定的跟踪。x-HA位于DMZ中。存在桥接内联网和DMZ的VPN网关(VPN GW)。当MN在互联网中时,数据业务的机密性和完整性是利用IP安全(IPSec)隧道来提供的,所述IP安全隧道的端点是VPN GW的公共地址和MN的x-HoA。
全部三个隧道被建立,以向访问外地网络的MN提供内联网私有接入。在获取x-CoA之后,MN将该x-CoA注册到x-HA,由此将x-HoA与x-CoA绑定。这导致端点是x-HA的地址和MN的x-CoA的MIP隧道的建立。然后,MN利用其x-HoA发起与VPN GW的IPSec隧道的建立。这导致对MN的私有内联网上入口的创建。MN然后注册绑定,该绑定包括与MN的i-HoA配对的VPN GW的内联网地址。这导致i-HA与VPN GW之间的MIP类型的第三隧道的创建。
去往MN的内联网业务被i-HA截获,然后隧道发送到VPN GW。后者利用VPN隧道安全地将业务重定向到MN的x-HoA。业务被x-HA截获,该x-HA又将其隧道发送到MN的当前位置。
如果SA被绑定到x-CoA,则SA的重新协商必须在每次MN获得新的x-CoA时被执行。建立时间包括最少四个往返时间(RTT),如下:一个RTT用于内部注册,最少两个RTT用于IPSec隧道建立(假设使用IKE协议),以及一个RTT用于外部注册。去往MN的内联网业务通过两个HA。该方法经历了双倍三角路由,这是指由多次穿过三角网络拓扑所造成的四个RTT的网络时延。
当访问外地网络时,从通信节点(CN)到MN的业务首先被递送到内部家乡网络。在家乡网络中,i-HA知道MN离开这一事实。它截获去往MN的业务并将其隧道发送到MN的当前位置。因此,去往该MN的业务经历了双倍网络时延。
上述技术不足以解决当两个MN在都位于内联网(例如受保护子网)外部时相互通信这一情况。此外,它们对于仅一个MN在外部时的情况带来一些缺陷。同样,它们不能提供被优化为支持低时延连接的路径。时延(以及时延变化)会降低性能。因此,需要一种方法和装置来在一个或多个MN经由不能被合理假设为固有安全的连接进行通信时实现安全和高效的通信。
附图说明
通过参考附图,本发明可以被更好地理解并且其特征对本领域技术人员变得明显。
图1是示出根据本发明至少一个实施例的装置的框图;
图2是示出根据本发明至少一个实施例的移动感知网关(MAG)105的框图;
图3示出了根据本发明至少一个实施例的包括MN 103/104和CN 110的单元之间的连接;
图4示出了根据本发明至少一个实施例的包括MN1 103和MN2 104的单元之间的连接;
图5是示出根据本发明至少一个实施例的涉及MN与CN之间的通信的方法的流程图;
图6是示出根据本发明至少一个实施例的用于实施图5的步骤501的方法的流程图;
图7是示出根据本发明至少一个实施例的用于实施图5的步骤503的方法的流程图;
图8是示出根据本发明至少一个实施例的用于实施图5的步骤506的方法的流程图;
图9是示出根据本发明至少一个实施例的用于实施图5的步骤502的方法的流程图;
图10是示出根据本发明至少一个实施例的用于实施图5的步骤505的方法的流程图;
图11是示出根据本发明至少一个实施例的涉及第一MN与第二MN之间的通信的方法的流程图;
图12是示出根据本发明至少一个实施例而传送的信息的框图;
图13是示出根据本发明至少一个实施例而传送的信息的框图;
图14是示出根据本发明至少一个实施例的装置的框图;
图15是示出根据本发明至少一个实施例的装置的框图。
不同图中使用的相同参考标记指示相似或相同的部分。
具体实施方式
根据本发明的至少一个实施例,甚至当这种MN在公司或受保护域外部时,去往或来自属于相同域的一个或多个MN的IP应用业务可以被机密地提供,其中所述内联网提供到和/或来自例如互联网的公共网络的受控接入。优选地总是可以在MN之间的通信中提供与通常在公司环境中(例如受保护内联网中)所提供的相似的机密性和完整性级别,以及这种机密性和完整性可以对于任意类型的网络而被提供,不论是公司、家庭、学院、政府、非赢利性或其它背景。安全和高效通信在一个或多个MN经由不能被假设为固有安全的连接进行通信时被提供,所述连接例如是至例如互联网的公共网络或受保护内联网外部的网络的连接。
本发明的至少一个实施例可以被实现为通过使用VPN技术提供端到端移动之间的安全连接,例如基于IP安全(IPSec)的那些技术。假设移动性管理可以被实现为与带有路由优化(RO)技术的移动IP(MIP)相容。根据本发明的至少一个实施例,当穿过例如IPSec和MIP隧道的隧道时,实时业务所经历的时延可以被减小。
描述了用于在内联网和公共网络之间穿过时提供MN之间的安全无缝会话连续性的机制。优化了VPN隧道的选路,并且避免了切换(handoff)后IPSec安全关联(SA)的重新协商。因此,避免了三角选路。
图1是示出根据本发明至少一个实施例的装置的框图。所述装置包括内联网101、第一移动节点(MN1)103和/或第二移动节点(MN2)104以及将MN1 103和/或MN2 104耦合到内联网101的外部网络102。内联网101优选地包括移动感知网关(MAG,mobile-aware gateway)105、第一内部家乡代理(i-HA1)108和/或第二家乡代理(i-HA2)109以及通信节点(CN)110。MAG 105优选地包括第一外部家乡代理(x-HA1)106和/或第二外部家乡代理(x-HA2)107。
MN1 103经由网络连接111耦合到外部网络102。MN2 104经由网络连接112耦合到外部网络102。MAG 105例如经由网络连接113和/或经由网络连接114耦合到外部网络102,其中网络连接113可以经由外部网络102和网络连接111耦合到MN1 103,网络连接114可以经由外部网络102和网络连接112耦合到MN2 104。根据本发明至少一个实施例的外部网络102的例子是互联网,其可以包括能够提供到互联网的接入的其它网络,例如除内联网101之外的其它内联网,以及例如蜂窝无线网络的其它有线和/或无线网络。
x-HA1 106经由内联网连接115耦合到i-HA1 108。x-HA2 107经由内联网连接116耦合到i-HA2 109。i-HA1 108经由内联网连接117耦合到CN 110。i-HA2 109经由内联网连接118耦合到CN 110。优选地,x-HA1106可以经由内联网连接119耦合到CN 110,以及x-HA2 107可以经由内联网连接120耦合到CN 110。优选地,x-HA1 106可以经由连接121耦合到x-HA1 107,其中所述连接被优选地实现在MAG 105中。
图2是示出根据本发明至少一个实施例的MAG 105的框图。MAG 105优选地包括处理器201和存储器202。处理器201经由连接203耦合到存储器202。处理器201优选地经由例如网络连接113和114中的一个或多个的连接而耦合到外部网络102。处理器201优选地经由例如内联网连接115、116、119和120中的一个或多个的连接而耦合到内联网101或其单元。所述处理模块可以是单个处理设备或多个处理设备。这种处理设备可以是微处理器、微计算机、微控制器、数字信号处理器、中央处理单元、状态机、逻辑电路和/或基于操作指令操纵(模拟或数字)信号的任意设备。所述存储器可以是单个存储设备或多个存储设备。这种存储设备可以是只读存储器、随机存取存储器、磁带存储器、软盘存储器、硬盘存储器、DVD存储器、CD存储器和/或存储操作和/或编程指令的任意设备。注意,如果所述处理模块经由状态机或逻辑电路实现了一个或多个功能,则包含相应操作指令的存储器被嵌入包括状态机和/或逻辑电路的电路中。存储在存储器中并由处理模块执行的操作指令将在下面参考图3至11详细讨论。
假设例如MN1和MN2的两个MN期望接入内联网,可能存在几种场景。一种可能是MN1和MN2都在内联网(例如公司网络)中。另一种可能是MN1在内联网中而MN2在内联网外部。又另一种可能是MN1和MN2都在内联网外部。
如果两个MN在内联网中被直接连接,则该私有域中的MN之间的通信受防火墙、网络地址转换(NAT)技术以及指令检测和预防机制的保护。内联网中的移动性可以利用MIP来支持。
当一个MN在内联网外部时,安全通信可以利用经由VPN网关(VPN-GW)从访问(即外部)网络中的MN到内联网的IPSec隧道而被提供,而MIP可以被用于支持移动性。挑战在于确保MN每次执行网络层切换时不进行IPSec SA的重新协商。根据本发明的至少一个实施例,不仅可能遭遇到所述挑战,而且获得了其它益处,例如通过路由优化(RO)的减小的时延。
尽管其中多个MN在内联网外部的场景可以如一个MN的多个实例在内联网外部那样被处理,但所述方法不必提供多个MN之间的优化路由和低时延通信。根据本发明的至少一个实施例,可以提供这种特征。
本发明的至少一个实施例提供了当一个MN在内联网外部或当多个MN在内联网外部时的安全高效的通信。应当指出,本发明实施例的实现不依赖于内联网的存在;MAG可以在不存在其它内联网单元的情况下被用于提供任何位置的多个节点之间的安全高效的通信。应当记住,只要这里提到MN都是关于内联网的。本发明的至少一个实施例可以根据安全通用移动性(SUM)结构来实现,所述结构由Dutta等人(A.Dutta,T.Zhang,S.Madhani,K.Taniuchi,K.Fujimoto,Y.Katsube,Y.Ohba和H.Schulzrinne,在2004年10月于Philadephia举行的关于WLAN点上的无线移动应用和服务的第一届ACM国际讨论会上的“Secure UniversalMobility for Wireless Internet”的71-80页)描述。当一个MN在内联网外部时,SUM经历双倍的三角选路问题。本发明的至少一个实施例通过将自适应MIP路由优化技术集成到SUM结构中而克服了所述问题。
当多个MN在内联网外部时,为达到一定程度的优化而协调移动性和VPN管理是有益的。因此,VPN-GW和外部家乡代理(x-HA)角色被优选地集成到称作移动感知VPN网关(MAG)的单个实体中。这种集成使得MAG能够结合VPN功能执行移动性管理。其中可实现MAG功能性的一种方式在于使MAG完全参与两个MN之间的通信。简言之,MAG参与了VPN隧道和MIP隧道的建立和操作。作为所述第一种方式的优化的其中可实现MAG功能性的另一种方式在于使MAG参与密钥分发和隧道建立,但然后在不需要连续MAG活动性的情况下允许通信。与完全MAG参与的第一种方式相反,用户业务流经路由优化的路径。
根据本发明的至少一个实施例,VPN-GW和x-HA可以被合并为单个设备,即移动感知VPN网关(MAG)。应当指出,在图3中,显示了分离的x-HA和MAG,但所合并的MAG是同时针对MN到MN情形和其中在MN间建立端到端安全隧道的情形而被显示在图4中。分离的x-HA和MAG被显示以说明本发明可以在由Dutta等人描述的SUM结构的情况下被实现。应当理解,x-HA和MAG可以被分离地实现,但通过在MAG中实现x-HA功能性可以获得益处。
当移动节点(MN)移出受保护内联网时,可以执行几个步骤以维持或建立与该MN的通信。根据第一步骤,进行向外部家乡代理(x-HA)的MIP注册。MN将其x-CoA注册到MAG,该MAG优选地具有实现于其中的x-HA功能性。这在MAG与移动节点的x-CoA之间建立了外部MIP(x-MIP)隧道(x-MIP T)。根据第二步骤的第一方面,安全VPN被建立。利用IKE,MN利用x-HoA作为隧道端点之一与MAG协商IPSec SA;其另一端点是MAG的地址。根据该第二步骤的第二方面,进行向内部家乡代理(i-HA)的MIP注册。一旦VPN隧道根据第二步骤而被建立,MN就利用MAG的私有地址作为该MN的i-CoA注册到i-HA。内部MIP(i-MIP)隧道(i-MIP T)因此在i-HA与MAG之间被建立。在第二步骤中发生的移动IP信令通过利用建立在MN与MAG之间的安全VPN隧道来传送。
对于从MN到CN的用户业务,由MN使用其私有地址(i-HoA)作为源地址发送到作为目的地址的CN的内部(私有)地址(i-CN)的业务,首先经历了按照IPSec SA的计算和完整性保护。所保护的业务然后利用使用MN的x-HoA的x-MIP T-1被隧道发送到MAG。MAG拆封数据报。MAG然后检查业务完整性,并且还解密该数据报。该数据报然后被转发到i-CN。
对于从CN到MN的业务,由CN使用该CN的内部地址(i-CN)作为源地址发送到作为目的地的MN的私有地址(i-HoA)的业务,被i-HA截获并通过i-MIP T-1被隧道发送到MAG。MAG然后查询表以将i-HoA解析为MN的合适的x-HoA。加密和完整性检查按照IPSec SA而被应用于数据报。分组然后被隧道发送到MN的x-HoA地址。MAG的HA部件然后截获该分组,并将该受保护的数据报隧道发送到MN的x-CoA。MN在接收到该分组时拆封该数据报并检查该分组的完整性,对之后由特定应用处理的内容解密。
在SUM结构中,为向访问外地网络的MN提供安全网络连接,使用两个MIP隧道。来自CN的业务在到达MN之前经过i-HA并然后经过x-HA。根据本发明的至少一个实施例,路由优化技术被使用以避免MIP三角选路和例如延长的时延的与其关联的缺点。
根据本发明的至少一个实施例,i-HA在代表MN截获从i-CN去往该MN(i-HoA)的分组时,通知i-CN该MN在其家乡网络外部,并通知CN存在经由MAG到达MN的较短路径。这种通信优选地通过使用由Perkins和Johnson(C.Perkins,D.Johnson的2001年的互联网草案“RouteOptimization in Mobile IP”)定义的路由优化消息来进行。i-CN然后将去往i-HoA的用户业务直接转发到MAG,而不是将其发送到之后将用户业务转发到MAG的i-HA。CN与MAG之间的三角选路由此被避免,并且因此相对较快地接收到分组。
i-HA在截获去往i-HoA的分组后,向i-CN发送包含MAG的内部地址的绑定更新消息。i-CN然后创建与该MAG的内部地址配对的i-BoA的绑定条目,以便去往i-HoA的分组被隧道发送到MAG。可能发生上述情况而不是向MN1的内部家乡网络发送分组。i-CN然后利用i-MIP路由优化的(i-MIP-RO)隧道(i-MIP-RO T)直接向MAG转发用户分组。i-CN和MAG支持路由优化的能力是通过在其中实现利用路由优化消息的能力来提供的。
图3示出了根据本发明至少一个实施例的包括MN 103/104和CN 110的单元之间的连接。该图包括代表单元的垂直线,所述单元包括CN 110、i-HA 108或109、MAG 105、x-HA 106或107以及MN 103或104。可选地表述的前述单元之间的关系旨在分别地理解。因此,i-HA 108涉及x-HA106,该x-HA 106涉及MN 103,以及,i-HA 109涉及x-HA 107,该x-HA107涉及MN 104,如由图1中示出的所述单元的连接所表明的那样。CN110、i-HA 108或109和MAG 105优选地存在于内联网101中。该图包括代表单元之间的通信的水平线。
首先,第一外部移动互联网协议隧道(x-MIP T-1)301在MN 103或104与x-HA 106或107之间被建立。用于建立外部转交地址(x-CoA)的外部移动互联网协议(x-MIP)注册请求302从MN 103或104被传送到x-HA 106或107。用于建立外部转交地址(x-CoA)的x-MIP注册应答303从x-HA 106或107被传送到MN 103或104。
其次,VPN隧道304在MN 103或104与MAG 105之间沿x-MIP T-1301而被建立。例如互联网密钥交换(IKE)协商、互联网协议安全(IPSec)安全关联(SA)创建和地址分配的、用于建立VPN隧道304的通信,是按照从MN 103或104到MAG 105的通信305和从MAG 105到MN 103或104的通信306而发生的。
第三,第一内部移动互联网协议隧道(i-MIP T-1)307在MAG 105与i-HA 108或109之间被建立,以及互联网协议(IP)连接308在MN 103或104与通信节点(CN)110之间沿第一i-MIP T-1307、VPN隧道304和x-MIP T-1 301而被建立。内部移动互联网协议(i-MIP)注册请求309从MN 103或104被传送到i-HA 108或109。i-MIP注册应答310从i-HA108或109被传送到MN 103或104。
第四,路由优化被执行以避免三角选路。x-MIP T-1301被MN 103或104与MAG 105之间的x-MIP路由优化的隧道(x-MIP-RO T-1)311所替代。用于改变x-CoA的路由优化(RO)绑定更新313从x-HA 106或107被传送到MAG 105。用于改变x-CoA的RO绑定确认314从MAG 105被传送到x-HA 106或107。i-MIP T-1307被MAG 105与CN 110之间的i-MIP-RO T-1312所替代。RO绑定更新315从i-HA 108或109被传送到CN 110。RO绑定确认316从CN 110被传送到i-HA 108或109。因此,MN 103或104与CN 110之间的通信可以经由MN 103或104与MAG 105之间的x-MIP-RO T-1311以及MAG 105与CN 110之间的i-MIP-RO T-1312而发生。
图5是示出根据本发明至少一个实施例的涉及MN与CN之间的通信的方法的流程图。在步骤501中,第一外部通信隧道在第一移动节点与第一外部家乡代理之间被建立。在步骤502中,第一外部安全隧道在第一移动节点与安全网关(例如MAG)之间被建立。所述安全网关可以通过实现控制耦合到MAG的外部网络(像例如互联网的公共网络)与内联网之间通信的安全策略来建立内联网的边界(即所速内联网由所述安全网关划界)。在步骤503中,第一内部通信隧道在第一安全网关与第一内部家乡代理之间经由第一外部安全隧道和/或第一外部通信隧道而被建立。在步骤504中,用于用户数据的第一路径在所述第一移动节点与通信节点之间经由所述第一内部通信隧道而被建立。
在步骤505中,所述第一外部通信隧道被代替,以形成所述第一移动节点与所述安全网关(例如MAG 105)之间的第一路由优化的外部通信隧道。在步骤506中,所述第一内部通信隧道被代替,以形成所述安全网关(例如MAG 105)与所述通信节点之间的第一路由优化的内部通信隧道。在步骤507中,经由所述第一路由优化的内部通信隧道、针对用户数据而使用所述第一路径以在移动节点与通信节点之间传送用户数据。
图6是示出根据本发明至少一个实施例的用于实施图5的步骤501的方法的流程图。在步骤601中,第一外部转交地址注册请求从所述第一移动节点被传送到所述第一外部家乡代理。在步骤602中,第一外部转交地址注册应答从所述第一家乡代理被传送到所述第一移动节点。
图7是示出根据本发明至少一个实施例的用于实施图5的步骤503的方法的流程图。在步骤701中,第一内部转交地址注册请求从所述第一移动节点被传送到所述第一内部家乡代理。在步骤702中,第一内部转交地址注册应答从所述第一内部家乡代理被传送到所述第一移动节点。
图8是示出根据本发明至少一个实施例的用于实施图5的步骤506的方法的流程图。在步骤801中,第一内部路由优化绑定更新从所述第一内部家乡代理被传送到所述通信节点。在步骤802中,第一内部路由优化绑定确认从所述通信节点被传送到所述第一内部家乡代理。
图9是示出根据本发明至少一个实施例的用于实施图5的步骤502的方法的流程图。在步骤901中,在所述安全网关与所述第一移动节点之间交换安全能力并且导出密钥。在步骤902中,第一外部安全关联是针对所述第一外部安全隧道而被创建的。
图10是示出根据本发明至少一个实施例的用于实施图5的步骤505的方法的流程图。在步骤1001中,第一外部路由优化绑定更新从所述第一外部家乡代理被传送到所述安全网关。在步骤1002中,第一外部路由优化绑定确认从所述安全网关被传送到所述第一外部家乡代理。
至今仍未完全解决的另一问题是在内联网外部并驻留在外部网络(例如互联网)中的MN之间的可靠、安全和高效的通信。通信的MN还未被保证以与内联网环境类似的机密级别接收去往它们的数据分组以及具有类似的可接入级别,这是因为用于充分处理其中两个相互通信的MN在受保护内联网外部这一情形的解决方案至今仍未充分地提供。
当两个通信的移动中的一个也决定移出(位于内联网内并与在内联网外部的MN1通信的MN2现在移出内联网,简言之,现在两个MN都在内联网外部)内联网时,将预计产生额外的信令和开销,这是因为所述方法表明需要两个分离的VPN,外部MIP和内部MIP隧道必须被建立。一种用于减小所涉及的处理开销以及时延的方法是使MAG桥接隧道到MN。为提供甚至更多的处理开销缩减和/或进一步减小时延,两个分离的VPN隧道(从MN1到MAG和从MN2到MAG)优选地被合并为单个端到端VPN隧道。
至今仍未充分解决其中两个MN在它们都位于内联网(例如受保护子网)外部时相互通信这一情况。这里,介绍了一种能够解决其中期望进行内联网外部的两个MN之间的安全通信这一情况的方法和装置。这通过将VPN-GW与x-HA组合成称为移动感知VPN网关(MAG)的单个实体来达到。MAG桥接两个分离的VPN隧道和两个分离的MIP隧道,以促进MN之间的安全连接。
当两个MN在内联网外部并且期望进行它们之间的通信时,可以执行几个步骤。首先,MN执行向x-HA(例如向MAG,其中该MAG提供x-HA功能性)的MIP注册。其次,MN建立到该MAG的安全VPN隧道。第三,MN执行向其各自的i-HA的MIP注册。所述步骤由内联网外部的MN执行,以促进与内联网内部的节点或与其它类似注册的MN之间的安全通信。当MN1和MN2执行上述步骤时,它们可以建立图4的x-MIP T-1401、i-MIP T-1402、x-MIPT-2407和i-MIP T-2408。结合x-MIP T-2 407的i-MIP-RO T-2413可以按照用于建立MN与内联网之间的安全通信的步骤来获得,例如上面关于图5至10所描述的那样。
表1是具有用于反映由MAG维护的信息的结构的采样条目的示例表。
| MN id | x-HoA | i-HoA | x-CoA | SAiDto-MN | SAiDfrom-MN |
| MN1MN2 | 192.1.3.9192.1.3.13 | 10.1.10.610.4.7.12 | 198.12.4.8133.25.1.7 | 13872076 | 13882078 |
表1:绑定表实例
绑定表条目的更新在MAG处执行:由MAG维护的表被更新以反映每个MN具有的与该MAG的连接。
当执行上面描述的第一步骤时,MN标识符(MN id)、x-HoA和x-CoA值被输入所述表中。在上面描述的第二步骤之后,安全关联标识符(SAiD)对于其x-HoA和i-HoA地址匹配该表的特定MN针对每个方向而被添加。SAiDto-MN是对于从MAG到MN的业务而协商的IPSec SA的标识符,而SAiDfrom-MN是对于从MN到MAG的业务的IPSec SA。注意,所述表优选地具有将x-HoA映射到i-HoA的条目。x-CoA和SAiD的值可以在所述第一和第二步骤之后被输入。上面描述的第三步骤不需要对在MAG所维护的表有任何作用。具有非空x-CoA字段的条目向MAG指示移动在内联网外部。
根据本发明的至少一个实施例,如关于该扩展所讨论的那样,当去往i-HoA的分组被MAG接收到时,该MAG检查该i-HoA是否与相应的x-CoA值配对。如果对于特定i-HoA存在x-CoA值,则该MAG确定私有地址为i-HoA的MN在内联网外部。因此,该MAG认识到去往它的分组不必被转发到内联网中。从MN1到MN2的业务流的例子在下面详细描述。
首先,MN1使用i-HoA1并且向i-HoA2(MN2的内部地址)发送分组,其中i-HoA1是MN1的内部源地址。其次,MN1上的VPN应用被调用(因为分组具有内部源和目的地址)。所述分组经历一些步骤(加密、完整性值计算等)以符合与MAG协商的IPSec SA。然后,所述分组以使用x-HoA作为源地址的IP报头而被封装。具有作为MAG的公共地址的目的地址的MAG与MN1之间的沿X-MIP T1的安全隧道被用于传输分组。
第三,MN1上的MIP客户端应用以使用x-CoA1作为源地址的另一IP报头封装安全分组。具有作为MAG的公共地址的目的地址的x-MIP T-1隧道被用于传输MIP分组。因此,新IP报头的目的地址是MAG的公共地址(注意:原始分组现在优选地具有至少三个IP报头)。
由于最外层报头去往MAG,因此MAG第一个接收所述分组并且处理MIP报头和丢弃该报头。MAG然后检查内部报头和所述分组,以符合于合适的IPSec SA。IPSec SA是通过MAG使用针对源MN(在所述情况下为i-HoA1)的来自表1的合适的SAiDfrom-MN值(1388)来获得的。SAiDfrom-MN值被用于从由MAG维护的安全关联数据库中取SA。
如果分组满足用于完整性检查和加密的协定IPSec SA,则MAG丢弃该IPSec报头并且然后处理最内层报头。由于分组目的地址是i-HoA2的地址,因此MAG在所述表中查找用于i-HoA2的条目并且检查是否存在用于x-CoA2的有效条目。
如果存在相应的x-CoA2,则其暗示甚至i-HoA2也在公司网络外部。然后,SAiDto-MN被用于获取IPSec SA,并且其被应用于所述分组。用于i-HoA2的SAiDto-MN是2076。该SAiDto-MN被用于取SA,并且必要的安全功能被应用于所述分组。源地址是MAG地址并且目的地是x-HoA2地址的新的IP报头被添加。MAG与MN2之间的安全隧道被用于传送分组。安全分组然后利用x-MIP-T2而被隧道发送,其中所述x-MIP-T2使用源地址为MAG地址并且目的地址为x-CoA2地址的另一IP报头(例如MIP报头)。
根据本发明的至少一个实施例,可以有利地提供几个特征。作为一个实例,可以在MAG自身处进行关于是否将分组发送到内联网中的判定,由此避免了在确定MN在内联网外部之前所述分组必须经历到i-HA的所有路径的低效,这不仅导致高时延而且还导致高分组开销。作为另一实例,在内联网外部并且期望相互通信的MN可以以低时延安全高效地进行。
尽管提供多个MN之间的安全通信是有益的,然而当必须解密并重新加密相同的用户业务以符合两个不同的IPSeC SA时,在MAG处存在一些开销。这种开销可以通过创建想要相互通信的MN之间的端到端(例如对等)VPN连接来减少。该新的VPN连接利用对于新IPSec SA协商已建立的VPN隧道而在通信的移动之间被建立。
当MN1发送去往内联网的数据报时,MN1处的VPN客户端处理加密并添加VPN报头。MIP客户端然后添加MIP报头并将该数据报转发到MAG。一旦所述分组被解封装和解密,MAG就检查MN2是否在内联网内部。如果MN2在内联网外部,则MAG查询漫游数据库、确定x-HoA并且应用合适的IPSec SA。HA实体然后将该数据报封装到x-CoA1。
为减少与在MAG处对分组进行的解密和重新加密相关联的开销,可以执行几个步骤,如下面所描述的那样。首先,MAG导出可以由两个通信的移动共享的密钥。被MAG发送到两个MN的共享密钥然后可以被MN用于协商这两个MN之间的IKE和IPSec SA,这在不依赖于MAG的情况下创建了两个MN之间的新的端到端安全VPN隧道。其次,MAG同时向所述数据报的源和目的地发送路由优化消息。所述路由优化消息可以作为密钥分发的一部分而被捎带(piggybacked)。第三,从MN1去往MN2的数据报利用端到端安全隧道而被发送,并利用x-MIP T-3被封装到MN2的x-CoA2。从MN1去往内联网内的节点的其它数据报使用x-MIPT-1和沿x-MIP T-1存在的VPN隧道。
根据本发明的至少一个实施例提供MN之间的端到端VPN隧道的几个方面在至少一些情况下是有益的。首先,MAG不需要解密和重新加密以符合SA。其次,所建立的隧道通常是最短的可能路径,这避免了三角选路。第三,在MN移动(例如x-CoA地址改变)的情况下更新业务选路会在一半往返时间(1/2 RTT)中发生并且没有显著增加对于实时应用所允许的时延。
根据本发明的至少一个实施例,MN1与MN2之间的端到端VPN隧道以及MN1与MN2之间的相应端到端MIP路由优化的隧道被创建。相对于分离VPN隧道和MIP隧道的改进不仅在于穿过路由优化的路径,而且分组不必在MAG经历解密和重新加密。另一优点在于,为创建新SA和MIP隧道的信令消息是通过已建立的安全VPN隧道被传送的。
同样,两个MN之间的通信被路由优化,以便新的MIP隧道x-MIP-ROT-3现在在MN1与MN2之间运行而不会在MAG被终止。所述优化优选地由MAG发起,该MAG能够知道实现路由优化的端到端安全隧道的可能,因为它知道从该MAG到每个MN的安全隧道的存在。MAG在发现MN正经由分离VPN隧道通信时,发起优化过程。所述优化过程的实例可以在如下描述的步骤中表达。首先,MAG生成共享密钥。其次,MAG经由安全VPN隧道分发共享密钥,并且还指示MN开始MN之间的IPSec协商。第三,MN利用新获得的密钥发起IKE过程,并建立IPSec SA。第四,MAG同时向两个MN发送MIP路由优化消息。第五,每个MN更新其绑定更新表以反映MIP隧道端点中的改变。
当MAG认识到MN正经由穿过该MAG的分离隧道进行通信时,该MAG生成可被用于建立MN之间的安全对等VPN连接的共享密钥。然后,MAG同时向两个MN分配这些密钥,并且还指示MN创建MN之间的IPSec SA。MAG还将MN的外部地址发送给双方。然后,MN发起它们之间的IKE过程,并且新的IPSec SA被创建。在MN之间协商的这些SA没有涉及到MAG。MN之间的任何通信因而由该新的SA保护。然后,MAG发送包含每个MN的当前转交地址的路由优化消息。MN在接收到该路由优化消息时更新它们的内部绑定条目。
下面描述MN1与MN2之间的业务流的实例。首先,MN1使用i-HoA1向MN2发送分组,其中MN2的私有地址为i-HoA2。其次,MN1上的VPN应用被调用,并且所述分组经历一些步骤以符合与MN2协商的新的IPSec SA。然后,以使用x-HoA1作为源地址的IP报头封装所述分组。利用沿x-MIP-RO T-3提供的安全VPN隧道传送所述分组,其使用x-HoA1作为源地址并且x-HoA2作为目的地址。第三,MN1上的MIP客户端应用以使用x-CoA1作为源地址的另一IP报头封装安全分组。利用x-MIP-ROT-3传送所述安全分组,该x-MIP-RO T-3使用x-CoA1作为源地址。与其中目的地址是MAG地址的通过MAG的MN到MN通信的情况不同,用于x-MIP-RO T3隧道的新IP报头的目的地址是x-CoA2(即MN2的转交地址)。第四,由于x-CoA2是目的地,因此MN2接收所述分组并且丢弃外层MIP报头。第五,MN2然后检查内层报头和所述分组以符合于合适的IPSec SA。第六,当符合所述SA时,IPSec报头也被丢弃,并且使用i-HoA1作为源地址和i-HoA2作为目的地的原始分组由应用来处理。向每个MN通知与通信对等体的新VPN连接的创建。
根据本发明的至少一个实施例,在建立通信的MN之间的端到端安全隧道的情况下,可以实现下面描述的一个或多个特征。与通过MAG的MN到MN通信的情况不同,MAG不需要解密和重新加密通信以符合SA。MAG上的负载可以被大大减少,尤其如果所述MAG正服务于若干CN和MN。同样,由于在MAG对分组进行解密、重新加密和重新隧道化而由用户业务导致的时延可以被完全避免。此外,所建立的隧道可以被选择为(并且优选为)最短可能路径,这避免了三角选路。
图4示出了根据本发明至少一个实施例的在包括MN1 103和MN2 104的单元之间的连接。该图包括代表单元的垂直线,所述单元包括MN1 103、CN 110、i-HA2 109、MAG 105、i-HA1 108和MN2 104。CN 110、i-HA2109、MAG 105和i-HA1 108优选地存在于内联网101内。该图包括代表单元之间的连接的水平线。
首先,VPN和x-MIP T-1 401在MN1 103与MAG 105之间被建立。例如互联网密钥交换(IKE)协商、互联网协议安全(IPSec)安全关联(SA)创建和地址分配的用于建立VPN隧道的通信以及x-MIP注册请求,按照从MN1 103到MAG 105的通信403而发生。用于建立VPN隧道的其它通信和x-MIP注册应答按照从MAG 105到MN1 103的通信404而发生。i-MIP T-1402在MAG 105和i-HA1 108之间被建立。i-MIP注册请求405从MN1 103被传送到i-HA1 108。i-MIP注册应答从i-HA1 108被传送到MN1 103。
其次,VPN和x-MIP T-2407在MN2 104与MAG 105之间被建立。例如互联网密钥交换(IKE)协商、互联网协议安全(IPSec)安全关联(SA)创建和地址分配的、用于建立VPN隧道的通信以及x-MIP注册请求,按照从MN2 104到MAG 105的通信409而发生。用于建立VPN隧道的其它通信和x-MIP注册应答按照从MAG 105到MN2 104的通信410而发生。i-MIP T-2 408在MAG 105和i-HA2 109之间被建立。i-MIP注册请求411从MN2 104被传送到i-HA2 109。i-MIP注册应答从i-HA2 109被传送到MN2 104。
第三,路由优化被执行以代替i-MIP T-2408,以便i-MIP-RO T-2413存在于MAG 105和CN 110之间。RO绑定更新414从i-HA2 109被传送到CN 110。RO绑定确认415从CN 110被传送到i-HA2 109。
第四,当希望在MN1 103与MN2 104之间通信时,MAG 105认识到在通信中涉及i-HA1 108和i-HA2 109的低效,并且桥接x-MIP T-1401和x-MIP T-2407(以及它们各自的VPN隧道),以促进MN1 103与MN2104之间具有减小时延的更高效通信。
第五,路由优化被执行,并且端到端VPN隧道和路由优化的x-MIP-RO T-3416在MN1 103与MN2 104之间被建立。MAG 105确定MN1 103和MN2 104可以在不需要它们的业务经过MAG 105的情况下相互通信(例如,MN1 103和MN2 104可通过公共网络到达彼此)。优选地,作为一个实例,MAG 105导出密码密钥,并将该密码密钥分发给MN1103和MN2 104中的至少一个,从而实现MN1 103与MN2 104之间的密码保护链路(例如安全隧道)的建立。作为另一实例,通信417在MN1 103与MN2 104之间发生,以执行密码密钥生成和分发,从而建立MN1 103与MN2 104之间的VPN隧道。通信418在MN1 103与MN2 104之间发生,以执行MN1 103与MN2 104之间的IKE协商和IPSec SA创建,从而建立MN1 103与MN2 104之间的VPN隧道。用于传送x-CoA1(MN1的外部转交地址)的RO绑定更新419从MAG 105被传送到MN2 104。用于传送x-CoA2(MN2的转交地址)的RO绑定更新420被MAG 105发送到MN1 103。因此,MN1 103和MN2 104能够利用隧道x-MIP-RO T-3416、沿直接在MN1与MN2之间的端到端VPN隧道、以减小的时延高效地通信。通过在安全网关(例如MAG 105)桥接第一移动节点(例如MN1103)与第二移动节点(例如MN2 104)之间的通信,第一内部通信隧道(例如i-MIP T-1402)和第二内部通信隧道(例如i-MIP T-2408)不必在第一移动节点与第二移动节点之间传送通信。
图11是示出根据本发明至少一个实施例的涉及第一MN与第二MN之间的通信的方法的流程图。在步骤1101中,第一内部通信隧道被在第一移动节点与第一内部家乡代理之间经由安全网关而被建立。在步骤1102中,第二内部通信隧道在第二移动节点与第二内部家乡代理之间经由安全网关而被建立。
在步骤1103中,第一内部通信隧道被改变以形成第一移动节点与通信节点之间的第一路由优化的内部通信隧道。步骤1103可以包括步骤1104和1105。在步骤1104中,第一内部路由优化绑定更新从第一内部家乡代理被发送到通信节点。在步骤1105中,第一内部路由优化绑定确认从通信节点被传送到第一内部家乡代理。
在步骤1106中,第一内部通信隧道和第二内部通信隧道在安全网关处被桥接,以提供第一移动节点与第二移动节点之间的低时延安全通信。步骤1106可以包括步骤1107,其中端到端安全隧道在第一移动节点与第二移动节点之间被建立。步骤1107可以包括步骤1108、1109和1110。在步骤1108中,密码密钥信息在第一移动节点与第二移动节点之间被传送。在步骤1109中,安全关联对于端到端安全隧道而被创建。在步骤1110中,路由优化绑定更新从安全网关被传送到第一移动节点和第二移动节点。
对于实时应用,由三角路由及其效应(即在MAG进行解密、重新加密和重新隧道化)导致的时延可以根据本发明的至少一个实施例而避免。当在异构无线接入之间或高移动性环境中需要会话连续性时,避免所述时延的益处可以进一步放大,这是因为所述会话连续性需求可以加剧由所述时延导致的通信损害。
图12是示出根据本发明至少一个实施例而传送的信息的框图。内联网1201包括MAG 1202、i-HA 1203和CN 1204。MN1 1205可操作地耦合到MAG 1202。MN1 1205向MAG 1202传送消息1219。消息1219包括数据1206。报头1207已被添加到数据1206。报头1207指示消息1219具有源i-HoA1和目的地i-CN。报头1208已被安全隧道化(例如IPSec)应用添加到数据1206和报头1207。报头1208指示消息1219具有源X-HoA和目的地MAG。MIP报头1209已被移动性管理(例如MIP)应用添加到数据1206以及报头1207和1208。报头1209指示消息1219具有源CoA和目的地MAG。作为最外层报头,报头1209指示目的地MAG,消息1219被发送到MAG 1202。MAG 1202移除移动性管理(例如MIP)报头1209,并且确定报头1208指示目的地MAG,并且还确定分组是IPSec保护的分组并因此被安全隧道化(例如IPSec)应用所处理。MAG 1202在检验完整性和机密性被保护之后移除报头1208以获得消息1220。MAG 1202然后确定报头1207指示目的地i-CN。因此,MAG 1202向CN 1204发送消息1220。
CN 1204向第一MN1 1205传送消息或应答1221。消息1221包括数据1214。报头1213已被添加到数据1214。报头1213指示源i-CN和目的地i-HoA1。报头1212被具有路由优化的移动性管理(例如MIP)应用添加到数据1214和报头1213。报头1212指示源i-CN和目的地MAG。作为最外层报头,报头1212指示目的MAG,消息1221被发送到MAG 1202。MAG 1202移除报头1212,并且确定报头1213指示目的地i-HoA1。MAG1202根据绑定表确定MN1 1205在域外并且因此必须利用安全隧道化(例如IPSec)而被保护;因此,MAG 1202处的安全隧道化(例如IPSec)应用向数据1214和报头1213添加安全隧道化(例如IPSec)报头1216,其指示源MAG和目的地x-HoA。由于MN1 1205在外部并且因此在漫游,MAG 1202处的移动性管理(例如MIP)应用添加指示源MAG和目的地CoA的MIP报头1215,由此得到消息1222。消息1222的数据1214被传送到MN1 1205。
图13是示出根据本发明至少一个实施例而传送的信息的框图。内联网1301包括MAG 1302。MN1 1303和MN2 1304可操作地耦合到MAG 1302。由于路由优化的端到端安全隧道已在MN1 1303与MN2 1304之间被建立,消息1311可以从MN1 1303被传送到MN2 1304。消息1311包括数据1305以及报头1306、1307和1308。报头1306被添加到数据1305,并且指示源i-HoA1和目的地i-HoA2。安全隧道化(例如IPSec)报头1307被安全隧道化(例如IPSec应用)添加到数据1305和报头1306,并且指示源X-HoA1和目的地i-HoA2。移动性管理(例如MIP)报头1308由已被路由优化的移动性管理(例如MIP)应用添加到数据1305以及报头1306和1307,并且指示源CoA1和目的地CoA2。MN2 1304当接收到分组时移除最外层报头1308,因为它已被寻址到MN2 1304的转交地址CoA2。安全隧道化(例如IPSec)报头1307被MN2 1304处理,并且检验分组的完整性和机密性。安全隧道化(例如IPSec)报头1307也被移除,并且分组的剩余部分由特定应用处理。在路由优化的端到端安全隧道已在MN1 1303和MN2 1304之间被建立后,MAG 1302不必参与MN1 1303与MN2 1304之间的通信。
图14是示出根据本发明至少一个实施例的装置的框图。内联网1401包括MAG 1402和MN1 1403。MN2 1404可操作地经由MAG 1402耦合到MN1 1403。
图15是示出根据本发明至少一个实施例的装置的框图。内联网1501包括MAG 1502。MN1 1503和MN2 1504可操作地耦合到MAG 1502。MN1经由安全隧道1505耦合到MAG 1502。MN2 1504经由安全隧道1506耦合到MAG 1502。然而,一旦MAG 1502帮助建立MN1 1503与MN2 1504之间的通信,路由优化的安全隧道1507就可以在MN1 1503与MN2 1504之间被建立。路由优化的端到端安全隧道1507提供了不需要与MAG 1502或内联网1501的交互的MN1 1503与MN2 1504之间的通信。MN1 1503和MN2 1504可以与网络中另一可信节点无关地相互通信(例如与内联网1501中的节点无关,例如MAG 1502),因为MN1 1503和MN2 1504当它们经由路由优化的端到端安全隧道1507耦合时不需要依赖于网络中的任意其它一个或多个可信节点。
因此,描述了一种用于提供移动节点之间的低时延安全会话连续性的方法和装置。应当理解,本发明在其各个方面中的其它变型和修改的实现对于本领域的技术人员是显而易见的,并且本发明不限于所描述的指定实施例。因此设想本发明覆盖了落在这里所公开和要求其权利的基本原理的精神和范围内的任意和所有修改、变型或等价物。
Claims (26)
1.一种方法,包括:
建立第一移动节点与安全网关之间的第一外部安全隧道;
建立所述安全网关与第一内部家乡代理之间经由所述第一外部安全隧道的第一内部通信隧道;
建立所述第一移动节点与通信节点之间经由所述第一内部通信隧道的用于用户数据的第一路径;
扩展所述第一内部通信隧道以形成所述安全网关与所述通信节点之间的第一路由优化的内部通信隧道;以及
使用经由所述第一路由优化的内部通信隧道的用于用户数据的所述第一路径,在所述移动节点与所述通信节点之间传送用户数据。
2.根据权利要求1的方法,还包括:
建立所述第一移动节点与第一外部家乡代理之间的第一外部通信隧道;以及
扩展所述第一外部通信隧道,以形成所述第一移动节点与所述安全网关之间的第一路由优化的外部通信隧道。
3.根据权利要求2的方法,其中,建立所述第一外部通信隧道包括:
从所述第一移动节点向所述第一外部家乡代理传送第一外部转交地址注册请求;以及
从所述第一外部家乡代理向所述第一移动节点传送第一外部转交地址注册应答。
4.根据权利要求1的方法,其中,建立所述第一内部通信隧道包括:
从所述第一移动节点向所述第一内部家乡代理传送第一内部转交地址注册请求;以及
从所述第一内部家乡代理向所述第一移动节点传送第一内部转交地址注册应答。
5.根据权利要求4的方法,其中,扩展所述第一内部通信隧道包括:
从所述第一内部家乡代理向所述通信节点传送第一内部路由优化绑定更新;以及
从所述通信节点向所述第一内部家乡代理传送第一内部路由优化绑定确认。
6.根据权利要求5的方法,其中,建立所述第一外部安全隧道包括:
在所述安全网关与所述第一移动节点之间交换第一外部密码密钥信息;以及
创建用于所述第一外部安全隧道的第一外部安全关联。
7.根据权利要求6的方法,其中,扩展所述第一外部通信隧道包括:
从所述第一外部家乡代理向所述安全网关传送第一外部路由优化绑定更新;以及
从所述安全网关向所述第一外部家乡代理传送第一外部路由优化绑定确认。
8.一种方法,包括:
建立第一移动节点与第一内部家乡代理之间的经由安全网关的第一内部通信隧道;
建立第二移动节点与第二内部家乡代理之间的经由所述安全网关的第二内部通信隧道;
扩展所述第一内部通信隧道,以形成所述第一移动节点与通信节点之间的第一路由优化的内部通信隧道。
9.根据权利要求8的方法,其中,所述第一路由优化的内部通信隧道跨越从所述安全网关到所述通信节点。
10.根据权利要求8的方法,其中,扩展所述第一内部通信隧道包括:
从所述第一内部家乡代理向所述通信节点传送第一内部路由优化绑定更新;以及
从所述通信节点向所述第一内部家乡代理传送第一内部路由优化绑定确认。
11.一种方法,包括:
建立第一移动节点与第一内部家乡代理之间的经由安全网关的第一内部通信隧道;
建立第二移动节点与第二内部家乡代理之间的经由所述安全网关的第二内部通信隧道;
建立所述第一移动节点与所述第二移动节点之间的端到端安全隧道。
12.根据权利要求11的方法,其中,建立所述端到端安全隧道包括:
从所述安全网关向所述第一移动节点和所述第二移动节点中的至少一个传送密码密钥信息,以便所述第一移动节点和第二移动节点二者都可以知道所述密码密钥信息;
创建用于所述端到端安全隧道的安全关联;以及
向所述第一移动节点和所述第二移动节点传送路由优化绑定更新。
13.根据权利要求12的方法,其中,向所述第一移动节点和所述第二移动节点传送路由优化绑定更新还包括:
从所述安全网关向所述第一移动节点和所述第二移动节点传送所述路由优化绑定更新。
14.根据权利要求13的方法,其中,向所述第一移动节点和所述第二移动节点传送路由优化绑定更新还包括:
向所述第一移动节点和所述第二移动节点传送外部转交地址更新。
15.一种方法,包括:
从移动感知网关向第一移动节点和第二移动节点中的至少一个传送密码密钥信息,以便所述第一移动节点和所述第二移动节点二者都可以知道所述密码密钥信息;
创建用于从所述第一移动节点到所述第二移动节点的端到端安全隧道的安全关联;以及
向所述第一移动节点和所述第二移动节点传送路由优化绑定更新。
16.根据权利要求15的方法,其中,向所述第一移动节点和所述第二移动节点传送路由优化绑定更新还包括:
从所述移动感知网关向所述第一移动节点和所述第二移动节点传送所述路由优化绑定更新。
17.根据权利要求16的方法,其中,向所述第一移动节点和所述第二移动节点传送路由优化绑定更新还包括:
从所述移动感知网关向所述第一移动节点和所述第二移动节点传送外部地址改变更新。
18.根据权利要求15的方法,还包括:
检查绑定表的绑定表条目,以确定来自所述第一移动节点的数据的目的地是否是在内联网外部的所述第二移动节点,其中所述内联网具有由所述移动感知网关建立的边界。
19.根据权利要求18的方法,其中,检查绑定表条目还包括:
在所述绑定表中检查以确定用于所述第二移动节点的外部转交地址字段的内容。
20.根据权利要求19的方法,其中,在所述绑定表中检查以确定用于所述第二移动节点的外部转交地址字段的内容还包括:
当用于所述第二移动节点的外部转交地址字段非空时,确定所述第二移动节点在所述内联网外部。
21.一种装置,包括:
第一移动节点;
经由第一外部安全隧道耦合到所述第一移动节点的安全网关,其中所述第一外部安全隧道是经由第一外部通信隧道而建立的;
经由第一内部通信隧道耦合到所述第一移动节点的第一内部家乡代理,其中所述第一内部通信隧道是经由第一外部安全隧道而建立的;
经由用于用户数据的第一路径耦合到所述第一移动节点的通信节点,其中所述第一路径是经由第一内部通信隧道而建立的,其中,所述第一内部通信隧道扩展至所述通信节点。
22.根据权利要求21的装置,还包括:
经由第一外部通信隧道耦合到所述第一移动节点的第一外部家乡代理,其中,所述第一外部通信隧道扩展至所述安全网关。
23.根据权利要求22的装置,其中,所述第一外部家乡代理被并入所述安全网关中。
24.一种装置,包括:
第一移动节点;
经由第一内部通信隧道耦合到所述第一移动节点的第一家乡代理;
第二移动节点;
经由第二内部通信隧道耦合到所述第二移动节点的第二家乡代理;
耦合到所述第一内部通信隧道和所述第二内部通信隧道的安全网关,其中,所述安全网关还导致所述第一移动节点与所述第二移动节点之间端到端安全隧道的形成。
25.根据权利要求24的装置,其中,具有第一移动节点地址的所述第一移动节点利用所述第二移动节点的第二移动节点地址对去往所述第二移动节点的数据寻址。
26.根据权利要求24的装置,其中,所述第一移动节点与网络中的另一可信节点无关地、经由所述安全网关向所述第二移动节点传送数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US64225505P | 2005-01-07 | 2005-01-07 | |
| US60/642,255 | 2005-01-07 | ||
| US60/642,690 | 2005-01-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101091371A true CN101091371A (zh) | 2007-12-19 |
Family
ID=38943810
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680001590.3A Expired - Fee Related CN101091372B (zh) | 2005-01-07 | 2006-01-06 | 提供移动节点间低等待时间安全会话连续性的方法和设备 |
| CN 200680001537 Pending CN101091371A (zh) | 2005-01-07 | 2006-01-06 | 提供移动节点之间路由优化安全会话连续性的方法和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680001590.3A Expired - Fee Related CN101091372B (zh) | 2005-01-07 | 2006-01-06 | 提供移动节点间低等待时间安全会话连续性的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN101091372B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101790162B (zh) * | 2010-01-29 | 2013-01-02 | 华为技术有限公司 | 安全关联获取方法及装置 |
| CN104115448A (zh) * | 2011-12-16 | 2014-10-22 | 阿尔卡特朗讯公司 | 监测网络传输特性的方法与装置 |
| CN106888143A (zh) * | 2015-12-15 | 2017-06-23 | 国际商业机器公司 | 混合云环境中的动态定义的虚拟私有网络隧道 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2428712A1 (en) * | 2000-11-13 | 2002-05-30 | Ecutel | System and method for secure network mobility |
| ATE321409T1 (de) * | 2002-07-11 | 2006-04-15 | Birdstep Technology Asa | Vorrichtungen und computersoftware zur bereitstellung nahtloser ip-mobilität über sicherheitsgrenzen hinweg |
| WO2004036834A1 (en) * | 2002-10-17 | 2004-04-29 | Nokia Corporation | Secured virtual private network with mobile nodes |
| US7428226B2 (en) * | 2002-12-18 | 2008-09-23 | Intel Corporation | Method, apparatus and system for a secure mobile IP-based roaming solution |
| US7552234B2 (en) * | 2003-02-11 | 2009-06-23 | Cisco Technology, Inc. | Arrangement for establishing a bidirectional tunnel between a mobile router and a correspondent node |
-
2006
- 2006-01-06 CN CN200680001590.3A patent/CN101091372B/zh not_active Expired - Fee Related
- 2006-01-06 CN CN 200680001537 patent/CN101091371A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101790162B (zh) * | 2010-01-29 | 2013-01-02 | 华为技术有限公司 | 安全关联获取方法及装置 |
| CN104115448A (zh) * | 2011-12-16 | 2014-10-22 | 阿尔卡特朗讯公司 | 监测网络传输特性的方法与装置 |
| CN104115448B (zh) * | 2011-12-16 | 2017-06-23 | 阿尔卡特朗讯公司 | 监测网络传输特性的方法与装置 |
| CN106888143A (zh) * | 2015-12-15 | 2017-06-23 | 国际商业机器公司 | 混合云环境中的动态定义的虚拟私有网络隧道 |
| US10505904B2 (en) | 2015-12-15 | 2019-12-10 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
| CN106888143B (zh) * | 2015-12-15 | 2020-03-10 | 国际商业机器公司 | 用于混合云环境中虚拟私有网络通信的方法和装置 |
| US10834100B2 (en) | 2015-12-15 | 2020-11-10 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101091372B (zh) | 2013-03-06 |
| CN101091372A (zh) | 2007-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101165825B1 (ko) | 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치 | |
| Ng et al. | Network mobility route optimization solution space analysis | |
| US7174018B1 (en) | Security framework for an IP mobility system using variable-based security associations and broker redirection | |
| CA2466912C (en) | Enabling secure communication in a clustered or distributed architecture | |
| US6167513A (en) | Mobile computing scheme using encryption and authentication processing based on mobile computer location and network operating policy | |
| US20060111113A1 (en) | Virtual private network with mobile nodes | |
| JP5238029B2 (ja) | 通信ネットワーク間でのローミングの方法および装置 | |
| JP5087012B2 (ja) | ロケーションプライバシをサポートする経路最適化 | |
| US20100023765A1 (en) | Method for updating a routing entry | |
| KR20080026166A (ko) | 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치 | |
| CN1741523B (zh) | 一种实现主机移动性和多家乡功能的密钥交换协议方法 | |
| JP2010517344A (ja) | ルート最適化手順によるデータパケットのヘッダ縮小の方法 | |
| AU2010267639B2 (en) | Methods and systems for mobile IP route optimization | |
| CN101091371A (zh) | 提供移动节点之间路由优化安全会话连续性的方法和装置 | |
| JPWO2009066439A1 (ja) | 通信方法、通信システム、モバイルノード及び通信ノード | |
| Lim et al. | TMSP: terminal mobility support protocol | |
| US20100175109A1 (en) | Route optimisation for proxy mobile ip | |
| Barbudhe et al. | Comparative analysis of security mechanism of mobile IPv6 threats against binding update, Route Optimization and Tunneling | |
| CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
| Ng et al. | RFC 4889: Network mobility route optimization solution space analysis | |
| Taha et al. | Multihop mobile authentication for pmip networks | |
| FI113597B (fi) | Menetelmä viestien lähettämiseksi usean yhteyden läpi | |
| Xenakis et al. | A secure mobile VPN scheme for UMTS | |
| Park et al. | Secure firewall traversal in mobile IP network | |
| Choyi et al. | Low-latency secure mobile communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20071219 |