背景技术
网络移动性的概念允许即使在用户离开他们的家时(在家外)也能够联系到他们。
允许获得这样的行为(action)的一种典型技术是:使用在“‘IPv6中的移动性支持’,Internet Engineering Task Force Request For Comments 3775,2004年6月”中定义的移动IP的技术(在下文中为“非专利文献1”)。
通过使用移动IP技术,即使当用户从其通信线缆连接上拔下移动装置时,连接性也能够从用户的归属DSL线路(线缆连接)转移到蜂窝式访问系统(无线连接)。从线缆连接向无线连接的切换可以允许用户继续下载文件、或者进行基于IP的语音(VoIP)会话。
因此,用户能够携带移动装置来回移动,并且,即使当用户离开家时,也能够通过切换到无线连接点来保持无缝的网络连接性。
此外,用户能够形成移动个人区域网络(PAN),并且,在到处旅行的同时保持无缝的网络连接性。获得类似于PAN的这样的网络移动性的一种典型技术可以是在“网络移动性(NEMO)基本支持协议”,Internet Engineering TaskForce Request For Comments 3963,2005年1月中所定义的网络移动性(NEMO)(在下文中为“非专利文献2”)。
移动PAN中的节点能够通过经由被置于移动PAN中的移动路由器(MR)、来路由它们所针对的(intended)数据流量,而与其它全局节点通信。
MR向归属代理(HA,移动信息管理设备)注册它的当前位置地址,其也被称为转交地址(Care-of-Address,CoA)。归属代理(HA)用作用户的归属网络内的路由器,且截取以移动节点的归属地址为目的地的分组、封装该分组、且以隧道的方式将所封装的分组发送到所注册的移动节点的CoA。
在NEMO中,当MR位于外部链接(foreign link)上时,在MR和HA之间建立双向隧道,以允许在彼此之间经由该双向隧道发送分组。正如在非专利文献2中所描述的,经由该双向隧道发送源自且终止于移动PAN的每个流量。
用户可以授权外部节点在用户的移动PAN内操作。在下文中,该外部节点被称作“访问者节点(VN)”。
用户可以授权VN访问位于用户的归属网络内的数据(例如,存在于用户的归属媒体服务器上的音乐文件)。在这种情况下,在允许VN访问用户的归属网络之前,应该配置VN必须遵循的各种安全策略。
位于DMZ(De-Militarized Zone,非军事区)的策略服务器(安全管理设备,其处于用户的归属网络和外部网络之间)中能够为VN实现在“Benchmarking Terminology for Firewall Performance”,Internet EngineeringTask Force Request For Comments 2647,1999年8月(在下文中为“非专利文献3”)中定义的安全策略。DMZ处于用户的归属域和全球因特网之间。
美国专利申请公开号2004-0120295(在下文中为“专利文献1”)建议了一种方法,其允许位于归属网络内的通信对端节点(correspondent node,CN)与附连于外部链路的移动节点(MN)建立安全通信信道。
移动IP代理连同位于DMZ中的VPN(Virtual Private Network,虚拟私有网络)服务器一起将允许MN和CN在它们之间建立安全隧道。
根据在非专利文献3中所公开的技术,由于在MR和HA中通过隧道发送移动PAN内的每个流量,所以,VN的分组将绕过(bypass)DMZ内的策略服务器,并且,因此,将不会实现已经由用户设置的各种安全策略。
然而,在专利文献1所公开的技术中,移动IP代理扮演对于MN的替代(surrogate)HA,以及对于HA的替代MN。这意味着:移动IP代理需要具有MN和HA两者的安全关联密钥的知识。专利文献1的技术还没有考虑到在位于外部网络的MR的控制之下的所连接的VN的访问控制。
发明内容
考虑到前述问题,本发明的目的在于,提供这样的网络管理设备和移动信息管理设备,其能够:基于由归属用户针对于从访问者节点(VN)发送的分组而设置的各种安全策略,确切地执行访问控制。
为了达到这样的目的,根据本发明,提供了一种用于控制移动网络、且随着移动网络而移动的移动网络管理设备,包括:
访问请求接收部件,用于从连接到移动网络的通信终端接收对移动网络管理设备的归属网络的访问请求;
确定部件,用于确定是否允许已发送了由访问请求接收部件所接收的访问请求的通信终端执行对归属网络的直接访问;
归属网络通信部件,用于当允许已发送了该访问请求的通信终端执行对归属网络的直接访问时,向存在于归属网络中的移动信息管理设备转发该访问请求;以及
安全网络通信部件,用于当不允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向位于安全网络中的安全管理设备转发该访问请求,并执行对归属网络的访问控制,其中,该安全网络位于归属网络和外部网络之间。
通过上面的结构,能够识别连接到移动网络的访问者节点(VN),且安全管理设备(策略服务器)能够执行访问控制,以管理访问者节点获得访问归属网络的权限。
此外,除了该结构,配置本发明的移动网络管理设备,以包括:
通信终端指定部件,用于指定在该通信终端连接到该移动网络的时刻,是否允许该通信终端执行对该归属网络的直接访问;以及
信息存储部件,用于存储指示是否允许该通信终端执行对该归属网络的直接访问的信息,
其中,通过参考存储于信息存储部件中的信息,确定部件确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构可以存储指示在节点被连接到移动网络的时间点上、该节点是否为访问者节点的信息,并通过使用该信息而识别已产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动网络管理设备包括:
前缀(prefix)通知部件,用于将不同地址的前缀分别通知给允许执行对归属网络的直接访问的通信终端、以及不允许执行对归属网络的直接访问的通信终端,
其中,通过参考该访问请求的发送方的地址的前缀,所述确定部件确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构允许被分配给访问者节点的地址的前缀不同于归属用户的节点的地址的前缀,从而使得有可能通过参考已产生访问请求的发送方的地址的前缀,而识别已经产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动网络管理设备包括:
第一隧道传送部件,其形成与移动信息管理设备的隧道,以及当归属网络通信部件转发该访问请求时,第一隧道传送部件封装该访问请求;以及
第二隧道传送部件,其形成与安全管理设备的隧道,以及当安全网络通信部件转发该访问请求时,第二隧道传送部件封装该访问请求。
该结构允许移动网络管理设备(移动路由器)在安全状态下,将从移动网络管理设备(移动路由器)控制下的通信终端接收的访问请求转发到移动信息管理设备(归属代理)或者安全管理设备(策略服务器),而不改变该访问请求。
为了达到这样的目的,根据本发明,提供一种用于控制移动网络、且随着移动网络移动的移动网络管理设备,包括:
访问请求接收部件,用于从连接到移动网络的通信终端接收对移动网络管理设备的归属网络的访问请求;
确定部件,用于确定是否允许已发送了由访问请求接收部件所接收的访问请求的通信终端执行对归属网络的直接访问;
信息添加部件,用于向访问请求添加索引信息,其指示是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问;以及
归属网络通信部件,用于向存在于归属网络中的移动信息管理设备转发具有由信息添加部件对其添加的索引信息的访问请求。
该结构使得有可能通过向从访问者节点到归属网络的访问请求添加索引信息、而识别连接到移动网络的访问者节点(VN)。索引信息的存在指示:该访问请求是从访问者节点产生的。
此外,除了该结构,本发明的移动网络管理设备包括:
通信终端指定部件,用于指定在该通信终端连接到该移动网络的时刻,是否允许该通信终端执行对该归属网络的直接访问;以及
信息存储部件,用于存储指示是否允许该通信终端执行对该归属网络的直接访问的信息,
其中,通过参考存储于信息存储部件中的信息,确定部件确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构可以存储指示在节点被连接到移动网络的时间点上、该节点是访问者节点的信息。该信息也允许用来识别已产生访问请求的通信终端是否为访问者节点的手段。
此外,除了该结构,本发明的移动网络管理设备包括:
前缀通知部件,用于将不同地址的前缀分别通知给允许执行对归属网络的直接访问的通信终端和不允许执行对归属网络的直接访问的通信终端,
其中,通过参考该访问请求的发送方的地址的前缀,所述确定部件确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构允许:访问者节点和归属用户的节点为归属网络中的通信部件使用不同的地址前缀。因此,这使得有可能通过参考地址中所使用的前缀、而识别已经产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动网络管理设备包括:
隧道传送部件,其形成与移动信息管理设备的隧道,并且,当归属网络通信部件转发该访问请求时,该隧道传送部件封装该访问请求。
该结构能够允许移动网络管理设备(移动路由器)在安全状态下,将从在移动网络管理设备(移动路由器)控制下的通信终端接收的访问请求转发到移动信息管理设备(归属代理),而不改变该访问请求。
为了达到该目的,根据本发明,提供一种移动信息管理设备,其执行对试图直接访问归属网络的通信终端的移动管理,包括:
分组接收部件,其从控制移动网络、且随着移动网络而移动的移动网络管理设备接收封装的分组;
解封装部件,用于解封装所述封装的分组;
确定部件,用于当解封装的内部分组是对归属网络的访问请求时,通过参考该内部分组中的发送方的地址的前缀,确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问;
归属网络通信部件,用于当允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向由内部分组的目的地地址指定的目的地转发该访问请求;以及
安全网络通信部件,用于当不允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向位于安全网络中的安全管理设备转发该访问请求,并执行对归属网络的访问控制,其中,该安全网络位于归属网络和外部网络之间。
利用该结构,在分配地址的前缀、以便将允许对归属网络执行直接访问的通信终端与不允许对归属网络执行直接访问的通信终端区分的情况下,移动信息管理设备(归属代理)能够通过参考已经产生访问请求的发送方的地址的前缀,而识别已经产生访问请求的通信终端是否是访问者节点。
为了达到该目的,根据本发明,提供一种移动信息管理设备,其执行对试图直接访问归属网络的通信终端的移动管理,包括:
分组接收部件,从控制移动网络、且随着移动网络而移动的移动网络管理设备接收封装的分组;
解封装部件,用于解封装所述封装的分组,并获得添加到所封装的首标、并指示是否允许解封装的内部分组的发送方执行对归属网络的直接访问的索引信息;
确定部件,用于当解封装的内部分组是对归属网络的访问请求时,通过该内部分组中的参考索引信息,确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问;
归属网络通信部件,用于当允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向由内部分组的目的地地址指定的目的地转发该访问请求;以及
安全网络通信部件,用于当不允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向位于安全网络中的安全管理设备转发该访问请求,并执行对归属网络的访问控制,其中,该安全网络位于归属网络和外部网络之间。
利用该结构,在使用添加到访问请求的索引信息,以便区分是否允许该通信终端执行对该归属网络的直接访问的情况下,所述移动信息管理设备(归属代理)能够通过参考索引信息,识别已经产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动信息管理设备包括:
隧道传送部件,其形成与安全管理设备的隧道,并且,当安全网络通信部件转发该访问请求时,该隧道传送部件封装该访问请求。
该结构能够允许移动网络管理设备(移动路由器)在安全状态下,转发从安全管理设备(策略服务器)控制下的通信终端接收的访问请求,而不改变访问请求。
具有上述结构的本发明具有优势,以使得有可能基于由归属用户设置的针对于从访问者节点(VN)发送的分组的各种安全策略,确保访问控制的适当执行。
具体实施方式
下面将参考附图描述本发明的优选实施例。首先,将说明根据本发明的一个实施例的移动路由器的配置。图1是图解根据本发明的一个实施例的移动路由器(MR)的配置的优选示例的图。
图1中所示的MR10包括访问接口11,其允许MR10向其它节点传送分组、以及从其它节点接收分组。作为示例,访问接口11可以是Wi-Fi(WirelessFidelity,无线保真)、蓝牙(注册商标)、或者蜂窝(蜂窝式电话),但不仅仅限定为这些接口。访问接口11经由路径15,向/从处理器12发送/接收分组。
MR10还包括处理器12,其处理传入(incoming)和传出(outgoing)的分组。处理器12执行形成双向隧道的过程、以及产生对MR10的绑定更新的过程。另外,处理器12执行对从它的归属代理接收的绑定应答(bindingacknowledgements)的过程、以及更新存储于数据存储装置14中的绑定更新列表的过程。
当需要安全密钥时,经由路径16,处理器12向位于MR10内的密钥产生器13发送信号。当该密钥产生器13接收到该信号时,该密钥产生器13产生处理器12所需的密钥,并经由路径16向处理器12发送该密钥。
该MR10也包括数据存储装置14,其存储MR10所需的信息。该数据存储装置14经由路径17连接到处理器12,其向/从数据存储装置14存储/读取信息。作为示例,存储于数据存储装置14中的信息可以是归属地址(homeaddress)的前缀(在下文中,其也可以被称作归属地址前缀)、绑定更新列表、或者移动网络的前缀,但并不限于那些信息。
图2是图解根据本发明的优选实施例的归属代理(HA)的配置的优选示例的图。
示于图2中的HA20包括访问接口21,其允许HA20向其它节点传送分组,或从其它节点接收分组。访问接口21可以是以太网(注册商标)、Wi-Fi或者蜂窝(蜂窝式电路),但并不限定于那些接口。访问接口21经由路径25向/从处理器22发送/接收分组。
位于HA20中的处理器22具有诸如处理从路径25传入和传出的分组、以及形成双向隧道的功能。该HA20还具有处理从MR10发送的绑定更新消息、经由路径27更新存储于数据存储装置14中的绑定更新缓存、以及向MR10发送绑定确认的功能。
该HA20还具有密钥产生器23,其一旦经由路径26从处理器22接收到信号,便产生必要的密钥,并经由路径26将所述密钥发送到处理器22。
该HA20还具有数据存储装置24,其存储HA20所需要的信息。作为示例,存储于数据存储装置24的信息可以是归属地址前缀、绑定更新缓存、或者移动网络前缀,但并不限于那些信息。
接下来,将解释根据本发明的优选实施例的通信系统的概览。图3是图解根据本发明的优选实施例的通信系统的一个示例的图。在图3所显示的通信系统中,移动个人区域网络(PAN)30包括访问者节点(VN)31,其作为移动PAN30的外部节点而活动。该VN31可以是移动节点或固定节点。
移动PAN30还包括移动路由器(MR)10,其路由移动PAN30内的所有流量。在该实施例中,当MR10执行与通信对端节点(CN)(未在该系统中示出)的路径优化时,MR10可以直接向CN发送分组,但将向归属代理20(HA)路由移动PAN30内的所有流量。
该VN31被连接到移动路由器(MR)10,且将被授权在移动PAN30内工作。
该MR10和HA20通过访问系统32建立双向隧道37a,以允许在它们之间路由流量。访问系统32可以是、但不限于因特网、蜂窝式网络等等。
该MR10和策略服务器36为了在彼此之间路由流量,而通过访问系统32建立另一个双向隧道37c。例如,如将在后面描述的那样,在MR10向策略服务器36转发分组的模式中,需要该双向隧道37c,而在MR10只向HA20转发分组的模式中,不需要建立该双向隧道37c。
归属网络33包括HA20,HA20向其转发所有目的地为MR10的分组,因此,即使当MR10不在归属网络33中时,也允许MR10保持为可到达。
该HA20维持当前的转交地址(CoA)的更新,并建立到MR10的双向隧道37a,以便路由流量。另外,该HA20与策略服务器36通信,以便向彼此路由流量。此外,HA20可以与策略服务器36建立双向隧道37b。
归属网络33还包括媒体服务器34。媒体服务器34包括归属用户的VN31想要获得访问的数据34a。数据34a可以是音频文件或视频文件等等,但并不限于那些文件类型。
为了改进归属网络的33的安全级别,向归属网络33提供DMZ(De-Militarized Zone)35。该DMZ35包括策略服务器36,其包括将对来自VN31的数据分组的接收起作用的安全策略36a。
策略服务器36可以是位于DMZ35中的一个或多个服务器,但并不限于该结构。该策略服务器36可以具有防火墙网关的功能。该安全策略36a具有扩展标记语言的格式(XML),但并不限于此,此外,该安全策略36a可以是用户实现的策略,但并不限于此。
当MR10在归属网络33内时,该MR10执行从HA20获取一个归属地址前缀或多个归属地址前缀、以确定MR10的归属地址的操作。在这种情况中,一旦MR10获得该归属地址前缀,该MR10便使用无国籍(stateless)地址自动配置,以配置唯一的归属地址,并向HA20注册所述唯一的归属地址。可通过例如人工预设的任意方法设置MR10的归属地址。
一旦该MR10已经成功地配置其归属地址,该MR10便能够在移动PAN30内广播从HA20中所获得的一个归属地址前缀、或多个归属地址前缀。随后,连接到MR10的节点能够使用所广播的前缀来配置它们的唯一的归属地址。连接到MR10的节点可以是访问者节点(VN)31、或者归属用户节点,但并不限于此。正如随后所讨论的,此时,MR10可以向归属用户节点、固定于移动个人区域网络PAN30中的本地固定节点(LFN)、以及作为访问控制的目标的VN31分配不同的前缀。
当MR10离开归属网络33、且被连接到外部链路时,该MR10从所连接的AR(Access Router,访问路由器)获得转交地址(CoA)。
一旦该MR10已成功地获得CoA,该MR10便尝试通过执行安全关联(security association)而与HA20建立双向隧道。在MR10和HA20之间建立安全关联的方法可以是但不限于因特网密钥交换(IKE)。
一旦已建立了该MR10和HA20之间的安全关联,该MR10随后便将执行向HA20发送绑定更新(BU)消息、以更新当前点的地址的过程。
在更新其BU缓存之前,该HA20检查BU消息是否是来自有效的归属用户。随后,HA20将把该MR10的唯一的归属地址与MR10的当前的CoA相关联。
一旦已建立了所述双向隧道37a,该HA20便将把关于DMZ35内的策略服务器36的信息转发到MR10。参考图4A和图4B,将讨论所述HA20如何将关于DMZ35内的策略服务器36的信息通知给移动路由器。与图4A和图4B相关的过程是:MR10获得用来与策略服务器36建立双向隧道37c的信息(关于策略服务器36的信息)。这些步骤是可选的,并且,当MR10预先包含关于策略服务器36的信息时、或者当不需要建立双向隧道37c时,不需要执行这些步骤。
图4A示出了图解根据本发明的优选实施例的、HA20如何向移动路由器通知与在DMZ35内的策略服务器36有关的信息的一个示例的顺序图。
在图4A中,当MR10向HA20注册当前CoA时,该HA20将向MR10转发DMZ35中的关于策略服务器36的信息(在图4A中描述为PS Info)(步骤S40)。关于策略服务器36的信息是策略服务器36的地址、或者安全关联密钥,但并不限于那些信息。该地址可以是但不限于IP地址。
该MR10在数据存储装置14中存储策略服务器36的地址,并通过确认(在图4A中描述为Ack)来回复HA20(步骤S41)。此时,该MR10可以使用安全关联密钥而与策略服务器36形成双向隧道37c。
图4A示出了图解根据本发明的优选实施例的、HA20如何向移动路由器通知与在DMZ35内的策略服务器36有关的信息的另一个示例的顺序图。
在图4B中,该HA20保持且周期地更新DMZ35内的可用策略服务器36的列表。策略服务器36的列表被存储于数据存储装置24内。因此,当存在多个策略服务器36时,这将允许HA20执行多个策略服务器之间的负载平衡(load balancing)。
该MR10向HA20发送针对有关策略服务器36的信息(在图4B中描述为PS Info)的请求(步骤S42)。该HA20处理该请求(步骤S43),并通过参考策略服务器36的列表,检查哪个策略服务器36是可用的。
一旦该HA20决定将处理MR10的分组的该策略服务器36,该HA20便将对MR10作出响应。由于接下来的过程与图4A中所示的步骤40和41相同,所以,将略去它们的描述。
访问者节点(VN)31是移动PAN30外部的节点。当该VN31进入该移动PAN30时,该VN31通过与MR10通信,而尝试连接到移动PAN30。
该VN31从MR10接收RA(Router Advertisement,路由器广告),其包括可由移动PAN30使用的归属前缀。该MR10可以向VN31分配与分配给归属用户的节点的归属前缀不同的归属前缀(VN31的前缀)。该VN31可向MR10发送RS(Router Solicitation,路由器恳求)请求,以获得该归属前缀。在获得该归属前缀之后,该VN31配置有效地址,以在移动PAN30内操作。
当该VN31首先请求由MR10所提供的路由服务时,该MR10执行验证该VN31的过程。VN31的验证可以是但不限于802.1x共享的密钥验证。在移动PAN30内的归属用户节点应与MR10共享预共享的秘密也是所期望的。
当MR10已经识别出VN31是移动PAN30的外部节点时,该MR10在数据存储装置14中存储关于VN31的信息。上述操作将VN31连接到移动PAN30。
位于归属网络33中媒体服务器34中的数据34a是位于移动PAN30内的任一节点都可访问的数据,并且,VN31也可访问数据34a。
现在,将给出根据本发明的一个优选实施例的VN31访问存在于媒体服务器34中的数据34a的操作的描述。下面的描述是对MR10与HA20建立双向隧道37a且与策略服务器36建立双向隧道37c的情况、以及MR10只与HA20建立双向隧道37a的情况而给出的。
参考图5,将给出使用在MR10和HA20之间建立的双向隧道37a和在MR10与策略服务器36之间建立的双向隧道37c两者的情况的描述。尽管图5图解了在HA20和策略服务器36之间建立双向隧道37b的状态,在HA20和策略服务器36之间建立双向隧道37b应当是没有必要的。图5示出了图解根据本发明的优选实施例的对VN31的文件传输的过程的一个示例的顺序图。
在图5中,VN31尝试从媒体服务器34检索数据34a,并向MR10发送文件请求(步骤S50)。该MR10处理该请求(步骤S51),且确定文件请求的发送方是归属用户节点还是移动PAN30内的VN31。当文件请求的发送方是未被授权访问数据34a的节点时,所述MR10可以在该时间点上拒绝该文件请求。
存在可用于确定文件请求的发送方是归属用户节点还是移动PAN30中的VN31的各种方法。例如,该MR10可在验证该VN31时,通过参考存储于数据存储装置14中的关于VN31的信息,指定文件请求的发送方是归属用户节点还是外部节点(即,VN31)。
当配置该MR10以为VN31分配与归属用户节点的前缀不同的前缀时,该MR10可以通过参考文件请求发送方的地址的前缀,指定文件请求的发送方是归属用户节点还是外部节点(即,VN31)。确定文件请求的发送方是归属用户节点还是移动PAN30中的VN31的方法并不限于上面所描述的方法。
当文件请求的发送方被指定为VN31时,该MR10封装文件请求消息,且经由双向隧道37c,向DMZ35中的策略服务器36隧道传送(tunnel)该文件请求消息(步骤S52)。
在策略服务器36处,来自MR10的分组被解封装,且在考虑到安全策略36a的情况下处理该文件请求消息(步骤S53)。当文件请求消息满足安全策略36a中的条件(例如,当考虑到安全策略36a,而允许由VN31访问数据34a时)时,该策略服务器36向媒体服务器34转发该文件请求消息(步骤S54)。该策略服务器36可以在向媒体服务器34转发该文件请求消息之前,封装该文件请求消息。当该文件请求消息不满足安全策略36a中的条件时,例如,策略服务器36以消息的形式向MR10发送响应,以拒绝该文件请求。
该策略服务器36能够起到VN31的归属代理的作用。策略服务器36可以经由HA20向媒体服务器34转发文件请求消息。
该媒体服务器34处理该文件请求消息(步骤S55),以确定请求是否来自被授权实体。
当确定该文件请求来自被授权实体时,该媒体服务器34向HA20转发所请求的文件(步骤S56),并且,随后,HA20经由双向隧道37a向MR10传送该文件(步骤S57)。一旦接收到该文件,MR10便向VN31转发该文件(步骤S58)。
该MR10可以使用路径优化技术与媒体服务器34形成双向隧道,以使得安全地在MR10和媒体服务器34之间传输数据34a。
尽管图5图解了当VN31已经产生文件请求时的过程,但归属用户节点可以产生文件请求。在这种情况中,该MR10指定文件请求的发送方是归属用户节点,封装该文件请求消息,并经由双向隧道37a向HA20发送该文件请求消息。当该VN31发送目的地为外部网络(即,除了归属网络33之外的网络)的分组时,在策略服务器36检查该分组并并非目的地为归属网络33之后,向HA20提供该分组,并且,随后向外部网络转发该分组。
现在参考图6和7,将给出只使用在MR10和HA20之间建立的双向隧道37a的情况的描述。在该情况下,MR10只建立与HA20的双向隧道37a。即,在该情况下,MR10不需要建立与策略服务器36的双向隧道37c。
在该情况下,例如,MR10识别哪个分组已被归属用户节点发送、以及哪个分组已被VN31发送,且随后向HA20转发该分组。作为确定分组的发送方是归属用户节点还是VN31的方法,上述方法是可用的。例如,如图6所示,标记(tag)从MR10向HA20转发的分组。
图6示出了图解根据本发明的优选实施例的、用于标记分组以在来自归属用户节点的分组和来自VN的分组之间进行区分的分组结构的一个示例的图。
一旦从移动PAN30中的任意节点接收到分组,该MR10便通过封装该分组、且向移动IP(MIP)的头部61中添加标记60,而标记该分组。通过有效负载部分62封装从移动PAN30中的任意节点接收的分组。
在封装分组之前或同时,该MR10确定分组发送方是归属用户节点还是VN31,并且,基于确定结果,向移动IP的头部61添加用来识别归属用户节点或VN31的信息作为标记60。该标记60可以但不限于地址前缀、令牌或标志位。当在封装之后向头部61添加标记60时,标记60可被添加到接收从MR10传输的分组的HA20可识别的任何位置。
图7示出了图解根据本发明的优选实施例的从VN31传输文件请求的过程的一个示例的顺序图。不像图5中所显示的那样,图7中的顺序图不使用MR10和策略服务器36之间的双向隧道37c。在图7中所图解的操作中,经由双向隧道37b执行HA20和策略服务器36之间的通信;然而,在HA20和策略服务器36之间的通信中,没有必要使用隧道。
该MR10从VN31接收文件请求消息,以访问位于媒体服务器34内的数据34a(步骤S70)。
该MR10处理该文件请求消息(步骤S71),以确定该文件请求消息的发送方是归属用户节点还是移动PAN30中的VN31。
例如,在文件请求消息的发送方被识别为VN31的情况中,通过封装该分组、且添加指示该分组已从移动PAN30的VN31中产生的标记60,而标记该分组。随后,MR10经由双向隧道37a,向HA20隧道传送所标记的文件请求消息(步骤S72)。当文件请求消息的发送方被识别为VN31时,向该分组添加指示该分组还未从归属用户节点到来的标记60。
该HA20接收并处理所标记的文件请求消息(步骤S73),并识别出该分组已经被标记为来自VN31的分组。随后,HA20向策略服务器36发送文件请求消息(步骤S74)。由于HA20使用双向隧道37b,所以,该HA20向策略服务器36隧道传送文件请求消息。尽管并未示于图7,但不久之后,该HA20可以从归属用户节点向媒体服务器34转发分组。
策略服务器36接收(随后解封装)该文件请求消息,并且,考虑到安全策略,而执行该过程(步骤S75)。当策略服务器36检查该文件请求消息来自被授权的VN31时,策略服务器36向媒体服务器34转发该请求文件消息(步骤S76)。例如,当文件请求消息不满足安全策略36a中的条件时,策略服务器36向MR10发送消息形式的响应,以拒绝文件请求。
该策略服务器36能够经由HA20向媒体服务器34转发文件请求消息。由于在所请求的文件从媒体服务器34被发送到VN31时的过程与显示于图5中的步骤S55到S58相同,所以将省略它们的描述。
当将MR10配置为向VN31分配与归属用户节点的前缀不同的前缀时,该MR10可以直接向HA20转发文件请求消息,以使得HA20参考文件请求消息的发送方的地址的前缀,以识别文件请求消息的发送方是归属用户节点还是外部节点(即,VN31)。
例如,该MR10可以准备包括归属用户节点的前缀的RA消息、以及包括外部节点的前缀的RA消息。该MR10执行相同的加密方案,以使得只允许归属用户节点解密该包括归属用户节点的前缀的RA消息,因此向归属用户节点和外部节点通知不同的前缀。向归属用户节点和外部节点通知不同德前缀的方法并不限于前述方法。
根据本发明的实施例,如上所述,当连接到移动PAN30的VN31访问移动PAN30的归属网络33时,有可能总是经由DMZ35中的策略服务器36而使用安全策略36a。
尽管在本发明的实施例中、该HA20和策略服务器36是不同的实体,但该HA20和策略服务器36可由同一实体实现。
然而,在另一个优选实施例中,HA20能够使用向HA20所接收的分组中添加的标记,以执行流过滤。例如,用户在HA20设置过滤策略,其指示:对于HA20处的处理,应当给予来自归属用户节点的分组超过来自访问者节点的分组的优先权。因此,HA20检查位于每个HA20所接收的分组内的标记60,并相应地执行过滤器规则。如果标记60指示分组来自归属用户节点,则HA20将该分组被置于专用于归属用户节点的分组的分组队列中。然而,如果标记60指示该分组来自于访问者节点,则HA20将该分组被置于专用于访问者节点的分组的分组队列中。在处理位于访问者节点的队列内的分组之前,HA20将处理在归属用户节点的队列中被首先发现的任何分组。执行这样的过滤的优势允许归属用户确保属于归属用户的所有节点的快速服务。
由于移动网络为移动节点提供到归属网络的透明连接性(transparentconnectivity),所以,本领域的技术人员可以认为:类似于由策略服务器设置的安全策略的连接管理应当为连接到移动网络的移动节点而实现;并且,用户应该知道:要被连接到移动网络的访问者节点的验证等价于要被连接到归属网络的访问者节点的验证。此外,具有这样的考虑的本领域的技术人员可认为:确定地选择可连接到移动网络的移动节点并没有带来本发明所针对的情形。然而,在这样的情况下,由于例如移动路由器或移动网络节点的处理性能和功耗等问题,显然,本发明可以适应于难以为移动网络提供足够的连接管理的情况、以及并不熟悉移动网络中的安全性的用户可以安全地使用该移动网络的情况。
尽管已经使用特别的示例图解本发明,但对于本领域的技术人员而言,显然,可以使用任何可以获得相同目的的安排。尽管该说明书已经给出本发明的基本概念,但用于解释本发明的基本概念的特定实施例并不限制本发明的范围。
用于本发明实施例的前述描述的功能块被典型地实现为LSI(大规模集成),其是集成电路。该功能块中的每个可以被配置为单个芯片,或者,一些或全部的块可以被配置为单个芯片。在此处使用LSI时,依赖于集成的程度,它也可被称作IC(集成电路)、系统LSI、超级LSI、Ultra LSI。
电路集成的机制并不限于LSI,也可以使用专用电路或通用处理器。也可以使用在LSI或可重配置处理器被设计能够重配置LSI中的电路单元的连接和设置之后可编程的FPGA(现场可编程门阵列)。
此外,如果替代LSI的电路集成技术是由于半导体技术或从那里起源的技术的进步,则功能块的电路集成当然能够使用这样的技术实现。例如,生物工程等等的采用是可能的。