CN101091372B - 提供移动节点间低等待时间安全会话连续性的方法和设备 - Google Patents
提供移动节点间低等待时间安全会话连续性的方法和设备 Download PDFInfo
- Publication number
- CN101091372B CN101091372B CN200680001590.3A CN200680001590A CN101091372B CN 101091372 B CN101091372 B CN 101091372B CN 200680001590 A CN200680001590 A CN 200680001590A CN 101091372 B CN101091372 B CN 101091372B
- Authority
- CN
- China
- Prior art keywords
- mobile node
- mag
- tunnel
- address
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
根据本发明的至少一个实施例,IP应用业务可以保密地提供至或提供自属于相同域的一个或更多MN,甚至是当这样的MN位于公司或受保护域之外时,这样的内联网提供了至和/或自诸如互联网的公共网络的受控接入。优选地在所有时间在MN之间提供相似的保密性和完整性等级是可能的--这典型地提供在公司环境内(例如在受保护的内联网范围内),并且如果在公司、家庭、学院、政府、非营利的或其他环境中,这样的保密性和完整性可以对任何类型的网络提供。当一个或更多MN经由不能被推断为本质上安全的连接进行通信时,提供安全和有效的通信,所述连接例如至公共网络的连接,所述公共网络如互联网或受保护的内联网外部的网络。
Description
相关申请的交叉引用
本申请根据35 u.S.C§119(e)要求以下美国临时申请的优先权:2005年1月7日提交的申请60/642,255,以及2005年1月10日提交的申请60/642,690。
本申请涉及与本申请具有相同提交目的申请“METHOD AND APPARATUSFOR PROVIDING ROUTE-OPTIMIZED SECURE SESSION CONTINUITY BETWEENMOBILE NODES”(代理人案号1400.1400.1500550)。
技术领域
本发明一般涉及移动网络,具体涉及低等待时间移动网络,所述移动网络包括一个或多个移动节点。
与固定(即非无线)网络相比,在无线环境中,无线通信的特性增加了提供安全通信的困难。一方面,诸如已经成为主导的电路交换语音网络的全球移动通信网(GSM)、个人通信系统(PCS)、和码分多址(CDMA)的无线网络典型地不能提供完全的互联网接入,并且因此在某种程度上避开了诸如互联网典型弱点的弱点。随着互联网协议(IP)多媒体子系统(IMS)解决方案和相关技术的引入,通过无线连接将容易访问数据、语音和视频,所述无线连接诸如使用通用无线电信系统(UMTS)和码分多址2000(CDMA2000)的那些连接,例如经由互联网的互联网移动电信(IMT)-CDMA多载波、第一阶段无线电传输技术(1xRTT)以及第三阶段无线电传输技术(3xRTT)。移动设备具有使不同种类的无线接入网与多个无线接口一起工作的能力。移动用户已经变得“真正地移动”,因为他们不再受限于移动设备、网络和应用。然而,典型地存在对于保护个人之间传送的信息的需求,这已经被证明是专用和公共通信之间的区别。不仅是从网络的前景来 看,而且根据对等通信的模型,保密性都是有益的。
向属于相同域的移动用户提供IP应用业务保密性存在困难。到目前为止,一个难题是:优选地在所有时间,在移动节点(MN,或者MN与一个或更多固定节点)之间的通信过程中,像在固定的内联网中(例如,固定的公司环境或者固定的住宅环境)提供的那样,确保相似水平的保密性和完整性。
尚未充分地实现保密性和移动性的目标。一方面,互联网密钥交换(IKE)协议不能用于协商虚拟专用网(VPN)的隧道的安全关联(SA)。另一方面,移动IP协议(MIP)能用于支持IP节点的移动性。当一起使用时,出现以下问题:VPN隧道(VPN T)的SA与两个IP地址相关,一个用于隧道的每个端点。MN具有双标识,永久性的归属地址(HoA)和临时性的转交地址(CoA),所述转交地址典型地与其地理位置相关。HoA用于标识VPN隧道的端点。根据HoA,业务能被重定向到MN的当前位置。如果CoA用作VPN隧道的端点,则要提供一种无论何时改变CoA用于更新SA的机制。
一种称为安全通用移动性(SUM)的结构试图解决保密性和移动性的问题。定义了三个不同的区域。一个这样的区域是内联网,这是受防火墙保护的可信赖区域。第二个区域是非军事化区域(DMZ),在内联网之外可以通过具有较弱控制的另一个防火墙访问该区域。第三个区域是公共的互联网,可以不必认为该区域本质上是安全的。SUM是基于MIP的。每个MN具有两个HoA,内部HoA(i-HoA)和外部HoA(x-HoA)。i-HoA用作内联网的专用地址空间的标识。x-HoA用作内联网的公共地址空间的标识。有两种归属代理(home agent),即内部HA(i-HA)和外部HA(x-HA)。i-HA处理内联网移动性并且跟踪内部CoA(i-CoA)到内部HoA(i-HoA)的绑定。x-HA处理外部移动性并且跟踪外部CoA(x-CoA)到外部HoA(x-HoA)的绑定。x-HA位于DMZ内。存在桥接内联网和DMZ的VPN网关。当MN位于内联网时,使用IP安全(IPSec)隧道提供数据业务的保密性和完整性,所述IPSec隧道的端点是VPN GW的公共地址和MN的x- HoA。
建立完整的三个隧道以向访问外网的MN提供内联网专用接入。在获得了x-CoA之后,MN向x-HA登记x-CoA,这样将x-HoA与x-CoA绑定。这导致了MIP隧道的建立,所述MIP隧道端点是x-HA的地址和MN的x-CoA。接着,MN使用其x-HoA发起与VPN GW的IPSec隧道的建立。这导致关于专用内联网到MN的条目的创建。MN接着登记绑定,该绑定包括与MN的i-HoA配对的VPN GW的内联网地址。这导致了i-HA和VPN GW之间MIP类型的第三个隧道的创建。
目的地是MN的内联网业务由i-HA拦截并通过隧道传送至VPN GW。后者使用VPN隧道安全地将业务重定向至MN的x-HoA。业务被i-HA拦截,i-HA转而将业务通过隧道传送至MN的当前位置。
如果SA被绑定到x-CoA,则每次MN获得新的x-CoA时,都必须执行SA的重协商。建立时间涉及最小的四倍往返时间(RTT),具体如下:一个RTT用于内部登记,最小两个RTT用于IPSec隧道建立(假设使用IKE协议),还有一个RTT用于外部登记。目的地是MN的互联网业务经过两个HA。该方法遭受两倍三角路由的影响,所述两倍三角路由是指多次经过三角形网络拓扑所造成的网络等待时间的四倍RTT。
当访问外网时,来自通信节点(CN)发往MN的业务首先被传递至内部归属网络。在归属网络中,i-HA意识到MN离开的事实。它拦截目的地是MN的业务并通过隧道将其传送至MN的当前位置。由此,目的地是MN的业务要经受两倍网络等待时间。
以上技术未完全解决当两个都位于内联网(例如,受保护的子网)外的MN互相通信时的情况。此外,对于一个MN位于外部时的情况,这些技术也造成某些缺陷。此外,它们不能提供被优化的用以支持低等待时间连接的路径。等待时间(以及等待时间变化)会损害性能。因此,需要这样的方法和设备,当一个或更多MN经由不能合理地被认为本质上安全的连接进行通信时,实现安全而有效的通信。发明内容
根据本发明的至少一个实施例,IP应用业务可以保密地提供至或提供自属于相同域的一个或更多MN,甚至是当这样的MN位于公司或受保护域之外时,这样的内联网提供了至和/或自诸如互联网的公共网络的受控接入。优选地在所有时间在MN之间提供相似的保密性和完整性等级是可能的——这典型地提供在公司环境内(例如在受保护的内联网范围内),并且如果在公司、家庭、学院、政府、非营利的或其他环境中,这样的保密性和完整性可以对任何类型的网络提供。当一个或更多MN经由不能被推断为本质上安全的连接进行通信时,提供安全和有效的通信,所述连接例如至公共网络的连接,所述公共网络如互联网或受保护的内联网外部的网络。
可以实施本发明的至少一个实施例,以便使用VPN技术在对等的移动设备之间提供安全连接,所述VPN技术例如那些基于IP安全(IPSec)的。连同路由优化(RO)提供移动性管理,实施移动性管理以便与移动IP(MIP)兼容。根据本发明的至少一个实施例,当经过诸如IPSec和MIP隧道的隧道时,实时业务遭受的等待时间可以减少。
描述在内联网和互联网之间穿越时,用于在MN之间提供安全和无缝会话连接连续性的机制。VPN隧道的路由被优化,避免了切换之后IPSec安全关联(SA)的重协商。
附图说明
通过参照附图本发明将得到更好理解,对于本领域技术人员来说,其特点将变得显而易见。
图1是示出根据本发明的至少一个实施例的设备的框图。
图2示出根据本发明的至少一个实施例的移动感知网关105的框图。
图3是示出单元间连接的图,所述单元包括根据本发明的至少一个实施例的MN 103/104和CN 110。
图4是示出单元间连接的图,所述单元包括根据本发明的至少一个实施例的MN1103和MN2104。
图5是示出根据本发明的至少一个实施例的方法的流程图,该方法涉及MN和CN之间的通信。
图6是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤501。
图7是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤503。
图8是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤506。
图9是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤502。
图10是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤505。
图11是示出根据本发明的至少一个实施例的方法的流程图,该方法涉及第一MN和第二MN之间的通信。
图12是示出根据本发明的至少一个实施例被传送的信息的框图。
不同附图中相同的附图标记代表类似或相同的项目。
具体实施方式
图1是示出根据本发明至少一个实施例的设备框图。该设备包括内联网101、第一移动节点(MN1)103和/或第二移动节点(MN2)104及将MN1103和/或MN2104耦合到内联网101的外部网102。内联网101优选地包括移动感知网关(MAG)105、第一内部归属代理(i-HA1)108和/或第二内部归属代理(i-HA2)109及通信节点(CN)110。MAG105优选地包括第一外部归属代理(x-HA1)106和/或第二外部归属代理(x-HA2)107。
MN1103经由网络连接111耦合到外部网102。MN2104经由网络连接112耦合到外部网102。MAG 105例如经由网络连接113和/或网络连接114耦合到外部网102,其中,网络连接113经由外部网102和网络连接111可以耦合到MN1103,网络连接114经由外部网102和网络连接112可以耦合到MN2 104。根据本发明的至少一个实施例,外部网102的例子是互联网,该互联网可以包括能够提供至该互联网的接入的其他网络,例如除内联网101之外的其他内联网以及诸如蜂窝无线网的其他有线和/或无线网络。
x-HA1 106经由内联网连接115耦合到i-HA1 108。x-HA2 107经由内联网连接116耦合到i-HA2 109。i-HA1 108经由内联网连接117耦合到CN 110。i-HA2 109经由内联网连接118耦合到CN 110。优选地,x-HA1 106能经由内联网连接119耦合到CN 110,并且x-HA2 107能经由内联网连接120耦合到CN 110。优选地,x-HA1 106能经由连接121耦合到x-HA2 107,连接121优选地在MAG 105中实施。
图2是示出根据本发明的至少一个实施例的移动感知网关(MAG)105的框图。MAG 105优选地包括处理器201和存储器202。处理器201经由连接203耦合到存储器202。优选地,处理器201经由诸如一个或多个网络连接113和114的连接耦合到外部网102。优选地,处理器201经由诸如一个或多个内联网连接115、116、119和120的连接耦合到内联网101或其单元。处理模块可以是单个处理装置或多个处理装置。这样的处理装置可以是微处理器、微型计算机、微控制器、数字信号处理器、中央处理单元、状态机、逻辑电路,和/或任何基于操作指令处理信号(模拟或数字)的装置。存储器可以是单个存储器装置或多个存储器装置。这样的存储器可以是只读存储器、随机存取存储器、磁带存储器、软盘存储器、硬盘存储器、DVD存储器、CD存储器,和/或任何存储操作和/或程序指令的装置。注意,如果处理模块经由状态机或逻辑电路实施一个或多个功能,则包含相应操作指令的存储器将嵌入包括该状态机或逻辑电路的电路。下面将参照图3-11更详细地描述存储在存储器中并且由处理模块执行的操作指令。
假设两个MN,例如MN1和MN2,打算接入内联网,可以存在若干种情况。一种可能性是MN1和MN2都在内联网(例如公司网络)内。另一种可能性是MN1在内联网内而MN2在内联网外。还有一种可能性是MN1和MN2 都在内联网外。
如果MN1和MN2直接连接在内联网内,则专用域内两个MN之间的通信受防火墙、网络地址转换(NAT)技术、入侵检测以及预防机制的保护。可以使用MIP来支持内联网范围内的移动性。
当一个MN位于内联网外时,可以经由VPN网关(VPN-GW)使用IPSec隧道从被访问(例如,外部)网到内联网提供安全通信,同时可以使用MIP来支持移动性。问题是要保证,每次由MN执行网络层切换时不进行IPSecSA的重协商。根据本发明的至少一个实施例,不仅能解决这个问题而且还可以获得其他好处,例如通过路由优化减少了等待时间。
尽管多个MN处于内联网外部的情况可以按照一个MN处于内联网外部的多重实例来解决,但是这样的方法未必提供MN之间的优化路由和低等待时间通信。根据本发明的至少一个实施例,可以提供这样的特征。
当一个MN处于内联网外部或者当多个MN处于内联网外时,本发明的至少一个实施例提供安全和有效的通信。应当注意,本发明实施例的实施并不是以内联网的存在为条件的;MAG可以用在没有其他内联网单元时以提供位于任何地方的多个节点之间的安全和有效通信。无论何时关于内联网提到MN,这种认识都应该被记住。本发明的至少一个实施例可以根据安全通用移动性(SUM)结构,Dutta等人(A.Dutta、T.Zhang、S.Madhani、K.Taniuchi、K.Fujimoto、Y.Katsube、Y.Ohba和H.Schulzrinne)在费城关于无线移动应用和WLAN接入点上的服务(WMASH)的第一ACM国际研讨会文件“Secure Universal Mobility for Wireless Internet”(2004年10月第71-80页)中对这种结构作了描述。当一个MN位于内联网外时,SUM遭受两倍三角路由问题。本发明的至少一个实施例通过将适应性的MIP路径优化技术结合到SUM结构克服了这个问题。
当多个MN位于内联网外时,对移动性和VPN管理进行协调是有好处的以便获得优化度(degree of optimization)。因此,VPN-GW和外部归属代理(x-HA)优选地被集成到单个实体中,所述单个实体在这里称为移动感知VPN网关(MAG)。这样的集成使得MAG执行移动管理连同VPN功 能。可以实施MAG功能的一种方式是在两个MN之间的通信中完全涉及MAG。简言之,MAG在VPN隧道和MIP隧道的建立和工作中参与。可以实施MAG功能的另一种方式是对第一种方式的优化,MAG在密钥分配和隧道建立过程中参与,但是然后允许通信而不需要持续的MAG活动。与完整的MAG参与的第一种方式形成对比,用户业务流经路由优化的路径。
根据本发明的至少一个实施例,VPN-GW和x-HA可以结合到单个设备中,该设备是移动感知VPN网关(MAG)。应当注意,在图3中示出单独的x-HA和MAG,但是在图4中,对于MN至MN的情况以及在MN之间建立端到端安全隧道的情况,示出了组合的MAG。示出单独的x-HA和MAG是为了说明本发明能在Dutta等人描述的SUM结构的环境下实施。应当理解,x-HA和MAG可以单独实施,但是通过在MAG内实施x-HA功能可以获得益处。
当移动节点(MN)移出受保护的内联网时,可以执行若干步骤以维持或建立与MN的通信。根据第一个步骤,发生向x-HA的MIP登记。MN向MAG登记其x-CoA,所述MAG优选地具有在其内实施的x-HA功能。这在MAG和移动节点的x-CoA之间建立了外部MIP(x-MIP)隧道(x-MIP T)。根据第二个步骤的第一方面,建立安全VPN。MN使用IKE与MAG协商IPSecSA,所述IPSecSA用x-HoA作为隧道端点之一;另一个端点是MAG的地址。根据第二个步骤的第二方面,发生MIP向内部归属代理(i-HA)的登记。一旦根据第二步骤建立了VPN隧道,MN使用MAG的专用地址作为MN的i-CoA向i-HA登记。内部MIP(i-MIP)隧道(i-MIP T)因此建立在i-HA和MAG之间。使用建立在MN和MAG之间的安全VPN隧道,执行在第二步骤中出现的移动IP信令。
对于从MN到CN的用户业务,由MN使用其专用地址(i-HoA)作为源地址向作为目的地址的CN的内部(专用)地址(i-CN)发送的业务首先要按照IPSecSA进行加密和完整性保护。使用x-MIP T-1将受保护的业务通过隧道传送到MAG,其中x-MIP T-1使用MN的x-HoA。MAG解封装数据报。该数据报接着被转发至i-CN。
对于从CN到MN的业务,由MN使用CN的内部地址(i-CN)作为源地址向作为目的地址的MN的专用地址(i-HoA)发送的业务被i-HA拦截并且通过i-MIP T-1被隧道传送至MAG。MAG然后查询表格以将i-HoA解析为适当的MN的x-HoA。加密和完整性检查根据IPSecSA对数据报应用。分组接着被隧道传送至MN的x-HoA地址。然后,MAG的HA部件拦截该分组并将受保护的数据报隧道传送至MN的x-CoA。接收到分组时,MN解封装数据报并检查分组的完整性、对内容解密,所述内容接着由特定应用处理。
在SUM结构中,使用两个MIP隧道,以便向访问外网的MN提供安全的网络连接。来自CN的业务在到达MN之前经过i-HA然后经过x-HA。根据本发明的至少一个实施例,路由优化技术用于避免MIP三角路由以及与之相关的缺陷,诸如拖延的等待时间等。
根据本发明的至少一个实施例,在拦截到来自i-CN目的地是MN(i-HoA)的代表MN的分组时,i-HA通知i-CN:MN位于其本地网络外并且正在通知CN经由MAG到达MN的较短路径的存在。这样的通信优选地使用路由优化消息进行,所述路由优化消息由Perkins和Johnson定义(2001,因特网草案,Route Opt imization in Mobile IP,作者C.Perkins、D.Johnson)。然后,i-CN将目的地是i-HoA的用户业务直接转发给MAG而不是将它们发送到i-HA,所述i-HA然后也会把用户业务转发给MAG。CN和MAG之间的三角路由由此被避免,并且因此分组相对快速地被接收。
在拦截去往i-HoA的分组时,i-HA向包含MAG的内部地址的i-CN发送绑定更新消息。于是i-CN创建i-HoA与MAG的内部地址的绑定条目,这样去往i-HoA的分组被隧道传送至MAG。这可以代替将分组发送至MN1的内部本地网络而发生。i-CN接着使用i-MIP路由优化(i-MIP-RO)隧道(i-MIP-RO T)将用户分组直接转发给MAG。i-CN和MAG的支持MIP路由优化的能力是通过在它们内部实现使用路由优化消息的能力提供的。
图3是示出单元间连接的图,所述单元包括根据本发明的至少一个实施例的MN 103/104和CN 110。该图包括表示单元的垂直线,所述单元包括CN 110、i-HA 108或109、MAG 105、x-HA106或107,以及MN103或104。以择一的方式表示的单元之间的关系旨在分别进行理解。因此,如图1中的这些单元的连接所示,i-HA 108关联x-HA 106,x-HA 106关联MN 103,i-HA 109关联x-HA 107,x-HA 107关联MN 104。CN 110、i-HA 108或109以及MAG 105优选地存在于内联网101内。该图包括表示单元之间的通信的水平线。
首先,第一外部移动互联网协议隧道(x-MIP T-1)301建立在MN 103或104和x-HA 106或107之间。建立外部转交地址(x-CoA)的x-MIP登记应答303从x-HA 106或107传送至MN 103或104。
第二,VPN隧道304沿x-MIP T-1 301建立在MN 103或104和MAG 105之间。根据从在MN 103或104至MAG 105的通信305以及从MAG 105至MN 103或104的通信306,发生建立VPN隧道304的通信,例如互联网密钥交换(IKE)协商、互联网协议安全(IPSec)安全协商(SA)创建以及地址分配。
第三,第一内部移动互联网协议隧道(i-MIP T-1)307建立在MAG 105和i-HA 108或109之间,互联网协议(IP)连接308沿着第一i-MIP T-1307、VPN隧道304以及x-MIP T-1301,建立在MN 103或104和通信节点(CN)110之间。
内部移动互联网协议(i-MIP)登记请求309从MN 103或104传送至i-HA 108或109。i-MIP登记应答310从i-HA 108或109传送至MN103或104。
第四,执行路由优化以避免三角路由。用MN 103或104和MAG 105之间的x-MIP路由优化的隧道(x-MIP-RO T-1)311来替换x-MIP T-1301。改变x-CoA的路由优化(RO)绑定更新313从x-HA 106或107传送至MAG 105。改变x-CoA的RO绑定确认314从MAG 105传送至x-HA 106或107。用MAG 105和CN 110之间的i-MIP-RO T-1312来替换i-MIPT-1 307。RO绑定更新315从i-HA 108或109传送至CN 110。RO绑定确认316从CN 110传送至i-HA 108或109。这样,MN 103或104和CN 110之间的通信能经由MN 103或104和MAG 105之间的x-MIP-RO T-1 311以及MAG 105和CN 110之间的i-MIP-RO T-1 312发生。
图5是示出根据本发明的至少一个实施例的方法的流程图,该方法涉及MN和CN之间的通信。在步骤501中,在第一移动节点和第一外部归属代理之间建立第一外部通信隧道。在步骤502中,在第一移动节点和安全网关(例如MAG)之间建立第一外部安全隧道。安全网关能通过执行安全策略建立内联网的边界(也就是说,内联网由安全网关定边界),其中所述安全策略用于控制内联网和耦合到MAG的外部网(例如,诸如互联网的公共网络)之间的通信。在步骤503中,在安全网关和第一内部归属代理之间经由第一外部安全隧道和/或第一外部通信隧道建立第一内部通信隧道。在步骤504中,用于用户数据的第一路径经由第一内部通信隧道建立在第一移动节点和通信节点之间。
在步骤505中,第一外部通信隧道被取代,以在第一移动节点和安全网关(例如MAG)之间形成第一路由优化的外部通信隧道。在步骤506中,第一内部通信隧道被取代,以在安全网关(例如MAG)和通信节点之间形成第一路由优化的内部通信隧道。在步骤507中,第一路径用于经由第一路由优化的内部通信隧道的用户数据,以在移动节点和通信节点之间传送所述用户数据。
图6是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤501。在步骤601中,第一外部转交地址登记请求从第一移动节点传送到第一外部归属代理。在步骤602中,第一外部转交地址登记应答从第一外部归属代理传送到第一移动节点。
图7是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤503。在步骤701中,第一内部转交地址登记请求从第一移动节点传送到第一内部归属代理。在步骤702中,第一内部转交地址登记应答从第一内部归属代理传送到第一移动节点。
图8是示出根据本发明的至少一个实施例的方法的流程图,该方法用 于实践图5的步骤506。在步骤801中,第一内部路由优化绑定更新从第一内部归属代理传送到通信节点。在步骤802中,第一内部路由优化绑定确认从通信节点传送到第一内部归属代理。
图9是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤502。在步骤901中,在安全网关和第一移动节点之间交换安全性能并获取密钥。在步骤902中,对第一外部安全隧道创建第一外部安全关联。
图10是示出根据本发明的至少一个实施例的方法的流程图,该方法用于实践图5的步骤505。在步骤1001中,第一外部路由优化绑定更新从第一外部归属代理传送到安全网关。在步骤1002中,第一外部路由优化绑定确认从安全网关传送到第一外部归属代理。
另一个目前为止尚未充分解决的问题是位于内联网外以及居于外部网中(例如,在互联网中)的MN之间的可靠、安全和有效通信的问题。还不能保证通信MN能以类似于内联网环境的保密级别接收去往它们自身的分组也不能保证它们具有类似的可达性级别,因为迄今为止还没有提供充分的完全解决两个都位于受保护的内联网外的MN相互通信的解决方案。
当两个通信节点之一也决定移出(MN2位于内联网内并且与内联网外部的MN1通信,此时MN2移出内联网,简言之,两个MN都位于内联网之外)内联网时,则期待额外的信令和开销,因为以上方法证明必须建立两个单独的VPN、外部MIP和内部MIP。减少涉及的处理开销以及等待时间的一个方法是MAG桥接至MN的隧道。为了更多地减少处理开销和/或进一步减少等待时间,两个单独的VPN隧道(从MN1至MAG以及从MN2至MAG)优选地合并为单个端到端VPN隧道。
迄今为止,还没有充分解决两个MN都位于内联网(例如受保护的子网)外时相互通信的情况。这里提出的方法和设备能够解决要求内联网外的两个MN之间的安全通信的情况。这是通过将VPN-GW与x-HA合并为单个实体而获得的,我们称该单个实体为移动感知VPN网关(MAG)。MAG桥接了两个单独的VPN隧道和两个单独的MIP隧道,以便促进MN之间的安 全连接。
当两个MN位于内联网外部并且希望进行它们之间的通信时,可以执行若干步骤。首先,MN向x-HA(例如,向MAG,其中所述MAG提供x-HA功能)执行MIP登记。第二,MN建立至MAG的安全VPN。第三,MN向它们的相应i-HA执行MIP登记。这样的步骤由内联网外的MN执行,以促进与内联网内的节点或者与其他类似登记的MN的安全通信。当MN1和MN2执行以上步骤时,它们能建立图4的x-MIP T-1 401、i-MIP T-1 402、x-MIPT-2 407以及i-MIP T-2 408。根据用于建立一个MN和内联网之间的安全通信所陈述的步骤,根据以上关于图5-10所描述的步骤,能获得与x-MIPT-2 407结合的i-MIP-RO T-2 413。
表1是反映由MAG维持的信息结构的抽样条目的示例性表格。
MN id | x-HoA | i-HoA | x-CoA | SAiDto-MN | SAiDfrom-MN |
MN1 MN2 | 192.1.3.9 192.1.3.13 | 10.1.10.6 10.4.7.12 | 198.12.4.8 133.25.1.7 | 1387 2076 | 1388 2078 |
表1:绑定例子表格
绑定表格条目的更新在MAG中执行:更新由MAG维持的表格以反映每个MN具有的与MAG的连接。
当执行上述第一步骤时,MN标识符(MN id)、x-HoA和x-CoA值被加入表格。在上述第二步骤之后,安全关联标识符(SAiD)针对特定MN的每个方向而添加,所述特定MN的x-HoA和i-HoA地址与表格匹配。SAiDto-MN是对于从MAG到MN的业务协商的IPSecSA的标识符,而SAiDfrom-MN是从MN到MAG的业务的IPSecSA。注意,该表格优选地具有将x-HoA映射到i-HoA的条目。在第一和第二步骤后,可以输入x-CoA和SAiD的值。以上描述的第三个步骤不需要对MAG上维持的该表格有任何作用。具有非空x-CoA字段的条目向MAG表明移动节点位于内联网外。
根据本发明的至少一个实施例,如关于该扩展所讨论的,当去往i-HoA的分组被MAG接收时,MAG检查以发现i-HoA是否与相应的x-CoA值配对。如果x-CoA值对特定i-HoA存在,则MAG确定专用地址是i-HoA的MN位 于内联网外。因此,MAG意识到去往它的分组不必转发至内联网。下面详细描述从MN1到MN2的业务的例子。
首先,MN1使用i-HoA1并且将分组发送到i-HoA2(MN2的内部地址),其中i-HoA1是MN1的内部源地址。第二,MN1上的VPN应用被调用(因为分组具有内部源地址和目的地址)。分组经历一些步骤(加密、完整性值计算,等等)以用已经与MAG协商过的IPSecSA确认。接着,用IP报头对分组进行封装,所述IP报头用x-HoA作为源地址。沿MN1和MAG之间的x-MIP T-1的安全隧道被用于传送该分组,所述x-MIP T-1具有MAG的公共地址的目的地址。
第三,MN1上的MIP客户端应用利用另一个IP报头对安全分组进行封装,所述另一个IP报头用x-CoA1作为源地址。使用具有MAG的公共地址的目的地址的x-MIP T-1来传送-MIP分组。这样,新IP报头的目的地址是MAG的公共地址。(注意:原始分组现在优选地具有至少三个IP报头)。
由于最外边的报头是去往MAG的,MAG第一个接收分组并处理MIP报头并丢弃该报头。接着,MAG检查内部报头和与合适的IPSecSA一致的分组。IPSecSA对于源MN(在这种情况下i-HoA1)由MAG利用来自表1的SAiDfrom-MN值(1388)获得。使用该SAiDfrom-MN值以从MAG维持的安全关联数据库中取出SA。
如果分组遇到认可的IPSecSA用于完整性检查和加密,则MAG丢弃IPSec报头,然后处理最里边的报头。因为分组的目的地址是i-HoA2的,MAG在表中寻找i-HoA2的条目并检查是否有x-CoA2的有效条目。
如果有对应的x-CoA2,这意味着甚至i-HoA2也是位于公司网之外的。接着SAiDto-MN用于获得IPSecSA,并且它被提供给分组。i-HoA2的SAiDto-MN是2076。SAiDto-MN用于取得SA并且必要的安全功能被提供给分组。添加新IP报头,其源地址是MAG的地址而其目的地址是i-HoA2的地址。MAG和MN2之间的安全隧道用于传送该分组。
安全分组接着利用另一个IP报头(例如MIP报头)用x-MIP T2通过隧道传送,所述另一个IP报头的源地址是MAG的而目的地址是x-CoA2的 目的地址。
根据本发明的至少一个实施例,可以有利地提供若干特征。举个例子,是否将分组发送到内联网的决定可以由MAG自己执行,这样避免了在确定MN位于内联网外之前分组不得不经历所有的路程以到达i-HA的低效率,那样不仅导致高等待时间还导致了高分组开销。作为另一个例子,位于内联网外且希望互相通信的MN可以安全有效地、具有低等待时间地相互通信。
尽管提供多个MN之间的安全通信是有益的,但是为了遵照两个不同的IPSec SA,在MAG对相同的用户业务进行解密和再加密时会有一些开销量。通过在希望相互通信的MN之间创建端到端(例如,对等)VPN连接能减少这样的开销。使用早已建立的VPN隧道用于新的IPSec SA协商,新的VPN连接建立在通信移动节点之间。当MN1发送目的地是内联网的数据报时,MN1上的VPN客户端进程进行解密并添加VPN报头。MIP客户端接着添加MIP报头并将数据报转发给MAG。一旦分组被解封装和解密,MAG检查以MN2是否在内联网内。MN2在内联网外,MAG查询漫游数据库,确定x-HoA,并应用适当的IPSec SA。HA实体接着解封装数据报至x-CoA1。
为了减少MAG上与分组的解密和再加密相关的开销,可以执行如下所述的若干步骤。第一,MAG得到能被两个通信移动节点共享的密钥。由MAG发送到两个MN的共享密钥接着能被MN使用以协商两个MN之间的IKE和IPSec SA,直接在两个MN之间创建新的端到端安全VPN隧道而无需依赖MAG。第二,MAG发送路由优化消息至数据报的源端和目的端。路由优化消息能作为密钥分发的一部分附带发生(piggyback)。第三,来自MN1的目的地是MN2的数据报利用端到端安全隧道被发送并利用x-MIP T-3被封装至MN2的x-CoA2。来自MN1打算去往内联网内的节点的其他数据报使用x-MIP T-1和沿x-MIP T-1存在的VPN隧道。
根据本发明的至少一个实施例提供MN之间的端到端VPN隧道的若干方面在至少一些情况下是有利的。第一,MAG不必解密和再加密以遵照SA。第二,建立的隧道通常是可能的最短路径,避免了三角路由。第三,在运 动的情况下由MN更新业务的路由可以发生在往返时间的一半(1/2RTT)之内并且对于实时应用来说不会激烈地增加允许的等待时间。
根据本发明的至少一个实施例,MN1和MN2之间的端到端VPN隧道以及MN1和MN2之间对应的端到端MIP路由优化隧道被创建。单独的VPN隧道和MIP隧道的改进,不仅经过路由优化的路径,而且不必在MAG上遭受解密和再加密。另一个优点在于,为了创建新SA和MIP隧道的信令消息通过早已建立的安全VPN隧道传送。
此外,两个MN之间通信被进行了路由优化,这样新MIP隧道x-MIP-ROT-3运行在MN1和MN2之间而无需终止于MAG。这种优化优选地由MAG发起,MAG位于将要感知实施路由优化的端到端安全隧道的位置,因为它感知从MAG到每一个MN的安全隧道的存在。当实现了MN经由分立的VPN隧道通信时,MAG发起优化过程。这样的优化过程的例子可以在下述步骤中表示。第一,MAG产生共享密钥。第二,MAG经由安全VPN隧道分发共享密钥并且还指示MN开始MN之间的IPSec协商。第三,MN利用新获得的密钥发起IKE协商并且建立IPSec SA。第四,MAG向两个MN都发送MIP路由优化消息。第五,每个MN更新它的绑定更新表以反映MIP隧道端点中的变化。
当MAG意识到MN正经由穿过MN的分离隧道进行通信时,MAG产生能用于在MN之间建立安全对等VPN连接的共享密钥。接着,MAG向两个MN都分发密钥并且指示MN创建MN之间的IPSec SA。MAG还将MN的外部地址相互发送。接着,MN在它们之间发起IKE过程,并创建新的IPSec SA。在MN之间协商的这些SA并不涉及MAG。MN之间的任何通信于是都受到新SA的保护。接着,MAG发送路由优化消息,该消息包含每一个MN的当前转交地址。MN在接收到路由优化消息时更新它们的内部绑定条目。
MN1和MN2之间的业务流的例子如下所示。第一,MN1使用i-HoA1向MN2发送分组,MN的专用地址是i-HoA2。第二,MN1上的VPN应用被调用,分组经历步骤以遵守与MN2协商过的新IPSec SA。接着,用IP报头封装分组,该IP报头用x-HoA1作为源地址。分组使用沿x-MIP-RO T-3设置 的安全VPN隧道进行传送,所述分组具有x-HoA1作为源地址,目的地址是x-HoA2。第三,MN1上的MIP客户端应用使用另一个IP报头封装安全分组,所述另一个IP报头使用x-CoA1作为源地址。安全分组使用x-MIP-ROT-3被传送,所述安全分组具有x-CoA1作为源地址。与x-MIP-RO T-3一起使用的新IP报头的目的地址是x-CoA2(也就是MN2的转交地址),与通过MAG的MN-MN通信不同,在MN-MN通信情况下,目的地址是MAG的目的地址。第四,由于x-CoA2是目的地址,MN2接收分组并丢弃外部的MIP报头。第五,MN2检查内部的报头和分组以遵守合适的IPSec SA。第六,在与IPSec SA一致时,IPSec SA报头也被丢弃,并且具有i-HoA1作为源地址和i-HoA2作为目的地址的原始分组由该应用处理。用通信对等通知每一个MN关于新VPN连接的创建。
根据本发明的至少一个实施例,在正在通信的MN之间建立端到端安全隧道的环境下,可以实施以下描述的一个或多个特征。与通过MAG的MN-MN通信不同,MAG不必为了遵守SA而对通信进行解密和再加密。MAG上的负担可以大大地减轻,尤其是在MAG服务多个CN和MN的情况下。此外,在MAG上由于分组的解密、再加密和重建隧道而引入的等待时间可以完全避免。另外,建立的隧道可以选择为(并且是优选地)可能的最短路径,避免了三角路由。
图4是根据本发明的至少一个实施例示出的包括MN1 103和MN2 104的单元之间的连接示意图。该图示出表示单元的垂直线,所述单元包括MN1103、CN 110、i-HA2 109、MAG 105、i-HA1 108和MN2 104。CN 110、i-HA2 109、MAG 105以及i-HA1 108优选地存在于内联网101范围内。该图包括表示单元之间连接的水平线。
第一,VPN和x-MIP T-1 401建立在MN1 103和MAG 105之间。建立VPN隧道的通信,例如互联网密钥交换(IKE)协商、互联网协议安全(IPSec)安全关联(SA)创建、地址分配和x-MIP登记请求,根据从MN1 103到MAG 105的通信403而发生。建立VPN隧道和x-MIP登记应答的进一步的通信根据从MAG 105到MN1 103的通信而发生。i-MIP T-1 402建立在 MAG 105和i-HA1 108之间。i-MIP登记请求405从MN1 103传送到i-HA1 108。i-MIP登记应答从i-HA1 108传送到MN1 103。
第二,VPN和x-MIP T-2 407建立在MN2 104和MAG 105之间。建立VPN隧道的通信,例如互联网密钥交换(IKE)协商、互联网协议安全(IPSec)安全关联(SA)创建、地址分配和x-MIP登记请求,根据从MN2 104到MAG 105的通信409而发生。建立VPN隧道和x-MIP登记应答的进一步的通信根据从MAG 105到MN2 104的通信而发生。i-MIP T-2 408建立在MAG 105和i-HA2 109之间。i-MIP登记请求411从MN2 104传送到i-HA2 109。i-MIP登记应答从i-HA2 109传送到MN2 104。
第三,执行路由优化以取代i-MIP T-2 408,这样i-MIP-RO T-2 413存在于MAG 105和CN 110之间。RO绑定更新414从i-HA2 109传送到CN 110。RO绑定确认415从CN 110传送到i-HA2 109。
第四,当期望在MN1 103和MN2 104之间通信时,MAG 105意识到在通信中涉及i-HA1 108和i-HA2 109的低效,并且桥接x-MIP T-1 401x-MIP T-2 407(以及它们的相应VPN隧道)以用MN1 103和MN2 104之间减少的等待时间来促进更加有效的通信。
第五,执行路由优化,并且在MN1 103和MN2 104之间建立路由优化的x-MIP-RO T-3 416。MAG 105确定MN1 103和MN2 104会相互通信而无需让它们之间的业务通过MAG 105(例如,通过公共网络MN1 103和MN2104相互之间可达)。优选地,作为一个例子,MAG 105获得密钥并且将该密钥分配给MN1 103和MN2 104的至少一个,以便在MN1 103和MN2 104之间建立保密安全链路(例如安全隧道)。作为另一个例子,在MN1 103和MN2 104之间发生通信417以执行密钥产生和分配,从而建立MN1 103和MN2 104的VPN隧道。在MN1 103和MN2 104之间发生通信418以执行MN1 103和MN2 104之间的IKE协商和IPSec SA创建,从而建立MN1 103和MN2 104的VPN隧道。传送x-CoA1(MN1的外部转交地址)的RO绑定更新419从MAG 105传送到MN2 104。传送x-CoA2(MN2的外部转交地址)的RO绑定更新420从MAG 105传送到MN1 103。这样,MN1 103和MN2 104 能够用隧道x-MIP-RO T-3 416沿直接在MN1和MN2之间的端到端VPN隧道以减少的等待时间有效率地进行通信。通过在安全网关(例如,MAG105)上桥接第一移动节点(例如MN1 103)和第二移动节点(例如MN2 104)之间的通信,使得第一内部通信隧道(例如i-MIP T-1 402)和第二内部通信隧道(例如i-MIP T-2 408)不必传送第一移动节点和第二移动节点之间的通信。
图11是示出根据本发明的至少一个实施例的方法的流程图,该方法涉及第一MN和第二MN之间的通信。在步骤1101,第一内部通信隧道经由安全网关建立在第一移动节点和第一内部归属代理之间。在步骤1102,第二内部通信隧道经由安全网关建立在第二移动节点和第二内部归属代理之间。
在步骤1103,改变第一内部通信隧道以形成第一移动节点和通信节点之间的第一路由优化的内部通信隧道。步骤1103可以包括步骤1104和1105。在步骤1104,第一内部路由优化绑定更新从第一内部归属代理传送到通信节点。在步骤1105,第一内部路由优化绑定确认从通信节点传送到第一内部归属代理。
在步骤1106,第一内部通信隧道和第二内部通信隧道在安全网关上被桥接以提供第一移动节点和第二移动节点之间的低等待时间安全通信。步骤1106可以包括步骤1107,在步骤1107中,端到端安全隧道建立在第一移动节点和第二移动节点之间。步骤1107可以包括步骤1108、1109和1110。在步骤1108中,密钥信息在第一移动节点和第二移动节点之间传送。在步骤1109,对端到端安全隧道创建安全关联。在步骤1110,路由优化绑定更新从安全网关传送到第一移动节点和第二移动节点。
对于实时应用,根据本发明的至少一个实施例,由三角路由和它的实现-即MAG上的解密、再加密和再建隧道-所引入的等待时间可以被避免。当在异类的无线接入之间需要会话连续性或者在高度移动的环境中,避免这样的等待时间的好处将进一步增强,因为这样的会话连续性需求会加重由这样的等待时间导致的通信损害。
图12是示出根据本发明的至少一个实施例被传送的信息的框图。内联网1201包括MAG 1202、i-HA 1203和CN1204。第一MN1205和第二MN1206可操作地耦合到MAG 1202。MN1将消息1219传送至MAG 1202。消息1219包括数据1207。头部1209被添加到数据1207和头部1208。头部1209表明消息1219具有源端x-HoA1和目的端i-MAG。头部1210被添加到数据1207和头部1208及1209。头部1210表明消息1219具有CoA的源地址和MAG的目的地址。作为最外层的头部,头部1210表明了目的地MAG,消息1219是发送到MAG 1202的,这是它自己的地址,并且因此MAG 1202处理下一个报头。MAG 1202移除头部1210并且确定报头1209表明了目的地i-MAG,这是它自己的地址,因此MAG 1202处理下一个报头。MAG 1202移除头部1209以获得消息1220并且确定报头1208表明了目的地址i-MN2。MAG 1202查询表格并将报头1214添加到消息1220中,表明源地址MAG和目的地址x-HoA2。MAG 1202添加表明源地址MAG和目的地址x-CoA2的报头1213,借此产生消息1221。由于分组的目的地址是x-CoA2,x-CoA2是MN2 1206的转交地址,MN2 1206接收该分组并且由MN2从消息1221中将头部1213移除。头部1214也由MN2从消息1221中移除(在MN2根据早先建立的SA检查了消息的完整性和/或真实性之后),产生了包括数据1207和头部1208的消息1222,头部1208表明了源地址i-MN1和目的地址i-MN2。相应地,数据1207被传送至MN2 1206上的应用。
因此,描述了提供移动节点之间的低等待时间安全会话连续性的方法和设备。应当认识到,本发明在其各个方面的其他变体和改进的实施对于本领域内技术人员来说是显而易见的,并且本发明不限于所述的特定实施例。本发明打算涵盖落在这里公开和要求的基本原理的精神和范围内的任何及所有修改、变体或等效物。
Claims (17)
1.一种用于提供属于同一内联网(101)的第一移动节点(103)和第二移动节点(104)间的低等待时间安全通信的方法,所述内联网具有与外部网络(102)建立边界的安全网关(105),该方法包括:
在所述第一移动节点(103)和所述内联网的第一内部归属代理(108)之间经由所述安全网关(105)建立(1101)第一内部通信隧道;
在所述第二移动节点(104)和所述内联网的第二内部归属代理(109)之间经由所述安全网关建立第二内部通信隧道;
其中使用所述安全网关的专用地址作为所述第一、第二移动节点的第一、第二内部转交地址以分别执行所述第一、第二移动节点向第一、第二内部归属代理的移动互联网协议MIP登记;
在所述安全网关上,通过建立(1107)端到端安全隧道桥接(1106)所述第一移动节点和所述第二移动节点之间的通信,以使得所述第一内部通信隧道和所述第二内部通信隧道不必传送所述第一移动节点和所述第二移动节点之间的通信。
2.根据权利要求1的方法,进一步包括:在所述安全网关上检查绑定表的绑定表条目以确定来自所述第一移动节点的数据的目的地是否为所述内联网之外的移动节点。
3.根据权利要求2的方法,其中检查绑定表的绑定表条目进一步包括:在所述绑定表中检查以确定去往所述移动节点的外部转交地址字段的内容。
4.根据权利要求3的方法,其中在所述绑定表中检查以确定去往所述移动节点的外部转交地址字段的内容进一步包括:
当去往所述移动节点的外部转交地址为非空时,确定所述移动节点位于所述内联网外。
5.根据权利要求2的方法,进一步包括:
在所述第一移动节点处向所述数据添加报头,所述报头包括路由报头和虚拟专用网(VPN)报头,其中所述虚拟专用网报头是从存储在所述绑定表中的安全关联标识符(SAiD)得到的。
6.根据权利要求1的方法,进一步包括:
向将要传送给从所述第一移动节点和所述第二移动节点中选择的移动节点的数据添加报头,所述报头包括路由报头和虚拟专用网(VPN)报头,其中所述虚拟专用网报头是从存储在绑定表中的安全关联标识符(SAiD)得到的。
7.根据权利要求6的方法,进一步包括:
在所述绑定表中存储去往所述移动节点的寻址信息。
8.根据权利要求7的方法,在所述绑定表中存储去往所述移动节点的寻址信息进一步包括:
在所述绑定表中存储所述移动节点的外部归属地址、所述移动节点的内部归属地址、以及所述移动节点的外部转交地址。
9.根据权利要求8的方法,其中存储在绑定表中的所述安全关联标识符包括适用于从所述移动节点到所述安全网关的第一安全关联标识符以及适用于从所述安全网关到所述移动节点的第二安全关联标识符。
10.根据权利要求9的方法进一步包括:
在建立所述第一内部通信隧道之前,在所述第一移动节点和第一外部归属代理之间建立第一外部通信隧道。
11.根据权利要求10的方法,其中建立所述第一外部通信隧道进一步包括:
在所述安全网关和所述第一移动节点的第一外部转交地址之间建立所述第一外部通信隧道。
12.根据权利要求10的方法,其中建立所述第一外部通信隧道进一步包括:
向第一外部归属代理执行移动互联网协议登记。
13.根据权利要求10的方法进一步包括:
在所述第一外部通信已经建立之后,在所述第一移动节点和所述安全网关之间建立第一外部安全隧道。
14.根据权利要求13的方法,其中建立所述第一外部安全隧道进一步包括:
在所述安全网关和所述第一移动节点的第一外部归属地址之间建立第一虚拟专用网(VPN)。
15.一种用于提供移动节点间低等待时间安全会话连续性的设备,包括:
第一移动节点;
第一归属代理,其经由第一内部通信隧道耦合到所述第一移动节点;
第二移动节点;
第二归属代理,其经由第二内部通信隧道耦合到所述第二移动节点;
安全网关,部署在所述第一移动节点和所述第一归属代理之间,以及所述第二移动节点和所述第二归属代理之间,所述安全网关耦合到所述第一内部通信隧道和所述第二内部通信隧道,其中所述安全网关通过建立端到端安全隧道桥接所述第一移动节点和所述第二移动节点之间的通信,以使得所述第一内部通信隧道和所述第二内部通信隧道不必传送所述第一移动节点和所述第二移动节点之间的通信,其中所述安全网关维持包括绑定表条目的绑定表,所述绑定表条目包含用于所述第一移动节点和所述第二移动节点的寻址信息。
16.根据权利要求15的设备,其中所述寻址信息包括所述第一移动节点的第一外部归属地址和所述第一移动节点的第一内部归属地址。
17.根据权利要求16的设备,当所述第一移动节点位于由所述安全网关界定的内联网之外时,所述寻址信息进一步包括所述第一移动节点的第一外部转交地址。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US64225505P | 2005-01-07 | 2005-01-07 | |
US60/642,255 | 2005-01-07 | ||
US64269005P | 2005-01-10 | 2005-01-10 | |
US60/642,690 | 2005-01-10 | ||
PCT/IB2006/000375 WO2006072890A1 (en) | 2005-01-07 | 2006-01-06 | Method and apparatus for providing low-latency secure session continuity between mobile nodes |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101091372A CN101091372A (zh) | 2007-12-19 |
CN101091372B true CN101091372B (zh) | 2013-03-06 |
Family
ID=38943810
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200680001537 Pending CN101091371A (zh) | 2005-01-07 | 2006-01-06 | 提供移动节点之间路由优化安全会话连续性的方法和装置 |
CN200680001590.3A Expired - Fee Related CN101091372B (zh) | 2005-01-07 | 2006-01-06 | 提供移动节点间低等待时间安全会话连续性的方法和设备 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200680001537 Pending CN101091371A (zh) | 2005-01-07 | 2006-01-06 | 提供移动节点之间路由优化安全会话连续性的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN101091371A (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101790162B (zh) * | 2010-01-29 | 2013-01-02 | 华为技术有限公司 | 安全关联获取方法及装置 |
EP2605453B1 (en) * | 2011-12-16 | 2014-11-12 | Alcatel Lucent | Method and apparatus for monitoring transmission characteristics in a network |
US10142293B2 (en) | 2015-12-15 | 2018-11-27 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1381202A2 (en) * | 2002-07-11 | 2004-01-14 | Birdstep Technology ASA | Apparatuses and computer software for providing seamless IP mobility across security boundaries |
CN1478232A (zh) * | 2000-11-13 | 2004-02-25 | Ecutel公司 | 用于安全网络移动性的系统和方法 |
WO2004036834A1 (en) * | 2002-10-17 | 2004-04-29 | Nokia Corporation | Secured virtual private network with mobile nodes |
CN1509111A (zh) * | 2002-12-18 | 2004-06-30 | ض� | 用于安全移动的基于ip的漫游解决方案的方法、设备和系统 |
WO2004072807A2 (en) * | 2003-02-11 | 2004-08-26 | Cisco Technology, Inc. | Arrangement for establishing a bidirectional tunnel between a mobile router and a correspondent router |
-
2006
- 2006-01-06 CN CN 200680001537 patent/CN101091371A/zh active Pending
- 2006-01-06 CN CN200680001590.3A patent/CN101091372B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1478232A (zh) * | 2000-11-13 | 2004-02-25 | Ecutel公司 | 用于安全网络移动性的系统和方法 |
EP1381202A2 (en) * | 2002-07-11 | 2004-01-14 | Birdstep Technology ASA | Apparatuses and computer software for providing seamless IP mobility across security boundaries |
WO2004036834A1 (en) * | 2002-10-17 | 2004-04-29 | Nokia Corporation | Secured virtual private network with mobile nodes |
CN1509111A (zh) * | 2002-12-18 | 2004-06-30 | ض� | 用于安全移动的基于ip的漫游解决方案的方法、设备和系统 |
WO2004072807A2 (en) * | 2003-02-11 | 2004-08-26 | Cisco Technology, Inc. | Arrangement for establishing a bidirectional tunnel between a mobile router and a correspondent router |
Also Published As
Publication number | Publication date |
---|---|
CN101091371A (zh) | 2007-12-19 |
CN101091372A (zh) | 2007-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101165825B1 (ko) | 모바일 노드 사이의 저지연성 보안 통신을 제공하는 방법 및 장치 | |
Ng et al. | Network mobility route optimization solution space analysis | |
US8279807B2 (en) | Communication control method, network node, and mobile terminal | |
JP5238029B2 (ja) | 通信ネットワーク間でのローミングの方法および装置 | |
US8259649B2 (en) | Route optimization with location privacy support | |
JP5102372B2 (ja) | 通信ネットワークにおいて使用する方法および装置 | |
US20100097992A1 (en) | Network controlled overhead reduction of data packets by route optimization procedure | |
WO2004036332A2 (en) | Virtual private network with mobile nodes | |
KR20080026166A (ko) | 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치 | |
CN1741523B (zh) | 一种实现主机移动性和多家乡功能的密钥交换协议方法 | |
JP2010517344A (ja) | ルート最適化手順によるデータパケットのヘッダ縮小の方法 | |
CN101091372B (zh) | 提供移动节点间低等待时间安全会话连续性的方法和设备 | |
AU2010267639B2 (en) | Methods and systems for mobile IP route optimization | |
US20100175109A1 (en) | Route optimisation for proxy mobile ip | |
Céspedes et al. | An efficient hybrid HIP-PMIPv6 scheme for seamless Internet access in urban vehicular scenarios | |
Ng et al. | RFC 4889: Network mobility route optimization solution space analysis | |
Muslam et al. | HIP based micro-mobility management optimization | |
Sornlertlamvanich et al. | Route optimization in nested mobile networks using binding update for top-level MR | |
Martinez | Enabling efficient and operational mobility in large heterogeneous IP networks | |
WO2008054022A2 (en) | Mobile node and access router | |
Iapichino et al. | Mobility, Access Heterogeneity and Security for Next Generation Public Safety Communications | |
Watari et al. | Network Working Group C. Ng Request for Comments: 4889 Panasonic Singapore Labs Category: Informational F. Zhao UC Davis | |
Rónai et al. | IST-2001-35125 (OverDRiVE) D07 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130306 Termination date: 20190106 |
|
CF01 | Termination of patent right due to non-payment of annual fee |