CN101542967B - Mih预先认证 - Google Patents

Mih预先认证 Download PDF

Info

Publication number
CN101542967B
CN101542967B CN2008800005296A CN200880000529A CN101542967B CN 101542967 B CN101542967 B CN 101542967B CN 2008800005296 A CN2008800005296 A CN 2008800005296A CN 200880000529 A CN200880000529 A CN 200880000529A CN 101542967 B CN101542967 B CN 101542967B
Authority
CN
China
Prior art keywords
authentication
mih
network
mobile node
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008800005296A
Other languages
English (en)
Other versions
CN101542967A (zh
Inventor
大场义洋
S·达斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Trachia Legaci Co ltd
Toshiba Corp
Original Assignee
Toshiba Corp
Telcordia Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Telcordia Technologies Inc filed Critical Toshiba Corp
Publication of CN101542967A publication Critical patent/CN101542967A/zh
Application granted granted Critical
Publication of CN101542967B publication Critical patent/CN101542967B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0077Transmission or use of information for re-establishing the radio link of access information of target access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/005Multiple registrations, e.g. multihoming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/005Control or signalling for completing the hand-off involving radio access media independent information, e.g. MIH [Media independent Hand-off]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)

Abstract

一种用于实现MIH预先认证的系统和方法,其包括提供对直接和/或间接预先认证的支持,以及提供对网络发起的和移动台发起的预先认证的支持。

Description

MIH预先认证
技术领域
本申请涉及无线网络间移动节点的认证和切换。
背景技术
网络和因特网协议:
存在很多类型的计算机网络,其中,以因特网名声最大。因特网是计算机网络的全球网络。如今,因特网是可供数百万用户使用的公共和自我持续网络(self-sustaining network)。因特网使用被称为TCP/IP(即,传输控制协议/因特网协议)的通信协议组来连接主机。因特网具有被称为因特网骨干的通信基础设施。对因特网骨干的接入主要由因特网服务提供商(ISP)来控制,因特网服务提供商(ISP)将接入转售给公司和个人。
关于IP(因特网协议),其是这样的协议,即通过该协议可以从一个设备(例如,电话、PDA(个人数字助理)、计算机等)向网络上的另一设备发送数据。如今有各种版本的IP,包括例如IPv4、IPv6等。网络上的每个主机设备具有至少一个IP地址,该IP地址是其自己的唯一标识符。IP是无连接协议。在通信期间,端点之间的连接不是连续的。当用户发送或接收数据或消息时,该数据或消息被划分成被称为分组的分量。每个分组被视为独立的数据单元。
为了使因特网或类似网络上各点之间的传输标准化,建立了OSI(开放系统互连)模型。OSI模型将网络中两个点之间的通信过程分成七个堆栈层,且每层添加其自己的功能集。每个设备均处理消息,以便存在通过发送端点处每一层的下行流,以及通过接收端点处各层的上行流。提供七层功能的编程和/或硬件通常是设备操作系统、应用软件、TCP/IP和/或其它传输和网络协议以及其它软件和硬件的组合。
通常,当从用户或向用户传递消息时使用上四层,而当通过设备(例如,IP主机设备)传递消息时使用下三层。IP主机是网络上能够传输和接收IP分组的任何设备,例如服务器、路由器或工作站。发往某一其它主机的消息不是被向上传递到上层,而是被转发到该其它主机。下面列出了OSI模型的各层。层7(即应用层)是这样的层,即在该层处,例如,标识了通信伙伴、标识了服务质量、考虑了用户认证和保密性、标识了数据语法上的约束,等等。层6(即表示层)是这样的层,即该层例如将输入和输出数据从一种表示格式转换成另一格式,等等。层5(即会话层)是这样的层,即该层例如建立、协调和终止在应用之间的会话、交流和对话,等等。层4(即传输层)是这样的层,即该层例如管理端到端的控制和查错,等等。层3(即网络层)是这样的层,即该层例如处理路由和转发,等等。层2(即数据链路层)是这样的层,即该层例如提供物理层的同步、进行比特填充和供给传输协议知识和管理,等等。电气和电子工程师协会(IEEE)将数据链路层细分成两个进一步的子层:MAC(介质访问控制)层(其控制从物理层和向物理层的数据传送),以及LLC(逻辑链路控制)层(其与网络层连接,并且解释命令和实现差错恢复)。层1(即物理层)是这样的层,即该层例如在物理级上通过网络传送比特流。IEEE将物理层细分成PLCP(物理层会聚过程)子层和PMD(物理介质相关)子层。
无线网络:
无线网络可以合并各种类型的移动设备,例如像蜂窝和无线电话、PC(个人计算机)、膝上型计算机、可穿戴计算机、无绳电话、寻呼机、耳机、打印机、PDA等。举例来说,移动设备可以包括确保(secure)话音和/或数据的快速无线传输的数字系统。典型的移动设备包括以下组件中的一些或全部:收发机(即发射机和接收机,包括例如具有集成的发射机、接收机以及其它功能(如果期望的话)的单片收发机);天线;处理器;一个或多个音频变换器(transducer)(例如,如在用于音频通信的设备中的扬声器或扩音器);电磁数据存储器(例如像在诸如提供数据处理的设备中的ROM、RAM、数字数据存储器等);存储器;闪速存储器;全芯片集或集成电路;接口(例如像USB、CODEC、UART、PCM等);和/或类似组件。
可以采用无线LAN(WLAN)进行无线通信,在无线LAN(WLAN)中,移动用户可以通过无线连接而连接到局域网(LAN)。无线通信可以包括例如经由诸如光、红外线、无线电、微波这样的电磁波来进行传播的通信。当前存在有多种WLAN标准,例如像蓝牙、IEEE 802.11以及HomeRF。
通过示例的方式,蓝牙产品可以用于在移动计算机、移动电话、便携式手持设备、个人数字助理(PDA)以及其它移动设备之间提供链路以及到因特网的连通性。蓝牙是一种计算和电信行业规范,其详述了移动设备可如何使用短距离无线连接来轻易地彼此互连以及与非移动设备互连。蓝牙创建了数字无线协议来解决由于各种移动设备的激增而引起的终端用户问题,其中,各种移动设备需要保持从一个设备到另一设备的数据同步和一致,由此允许来自不同供应商的装备一起无缝地工作。可以根据通用命名概念来命名蓝牙设备。例如,蓝牙设备可以具有蓝牙设备名称(BDN)或与唯一蓝牙设备地址(BDA)相关联的名称。蓝牙设备还可以参与到因特网协议(IP)网络。如果蓝牙设备在IP网络上工作,则其可以配备有IP地址和IP(网络)名称。因而,被配置成参与IP网络的蓝牙设备可以含有例如BDN、BDA、IP地址和IP名称。术语“IP名称”指的是对应于接口的IP地址的名称。
IEEE标准,IEEE 802.11,详细说明了用于无线LAN和设备的技术。使用802.11,可以利用支持若干设备的每一单个基站来实现无线组网。在一些例子中,设备可以预先装备有无线硬件,或者用户可以安装诸如卡这样的单独硬件块,其可以包括天线。通过示例的方式,在802.11中使用的设备通常包括三个显著的元件(无论该设备是否是接入点(AP)、移动站(STA)、桥接器、PCMCIA卡或另外的设备):无线电收发机;天线;以及控制网络中各点之间的分组流的MAC(介质访问控制)层。
另外,在一些无线网络中可以利用多接口设备(MIDs)。MIDs可以含有两个独立的网络接口,诸如蓝牙接口和802.11接口,因而允许MID参与两个单独的网络以及与蓝牙设备相连。MID可以具有IP地址以及与该IP地址相关联的通用IP(网络)名称。
无线网络设备可以包括但不限于蓝牙设备、多接口设备(MIDs)、802.11x设备(IEEE 802.11设备,包括例如802.11a、802.11b以及802.11g设备)、HomeRF(家庭射频)设备、Wi-Fi(无线保真)设备、GPRS(通用分组无线电业务)设备、3G蜂窝设备、2.5G蜂窝设备、GSM(全球移动通信系统)设备、EDGE(增强型GSM演进数据)设备、TDMA型(时分多址)设备,或者包括CDMA2000在内的CDMA型(码分多址)设备。每个网络设备可以含有变化类型的地址,其包括但不限于IP地址、蓝牙设备地址、蓝牙通用名称、蓝牙IP地址、蓝牙IP通用名称、802.11 IP地址、802.11 IP通用名称或IEEE MAC地址。
无线网络还可以涉及在例如移动IP(因特网协议)系统、PCS系统以及其它移动网络系统中发现的方法和协议。关于移动IP,这涉及由因特网工程任务组(IETF)所创建的标准通信协议。利用移动IP,移动设备用户可以跨网络移动,同时保持其曾被分派的IP地址。参见请求注解(RFC)3344。注意:RFC是因特网工程任务组(IETF)的正式文档。移动IP增强了因特网协议(IP),并且增加了向移动设备(当在其本地网络外部连接时)转发因特网业务的方式。移动IP向每个移动节点分派在其本地网络上的本地地址以及标识了该设备在网络及其子网内的当前位置的转交地址(CoA)。当设备移动到不同网络时,其接收新的转交地址。本地网络上的移动性代理可以将每个本地地址与其转交地址相关联。使用例如因特网控制消息协议(ICMP),移动节点可以在每次改变其转交地址时向本地代理发送绑定更新。
在基本IP路由(例如在移动IP外部)中,路由机制依赖于以下假设:每个网络节点总是具有到例如因特网的恒定依附点,并且每个节点的IP地址标识其所依附的网络链路。在该文档中,术语“节点”包括连接点,该连接点可以包括,例如,用于数据传输的重新分发点(redistribution point)或端点,并且其可以识别、处理和/或转发对于其它节点的通信。例如,因特网路由器可以查看例如标识了设备的网络的IP地址前缀等。然后,在网络层,路由器可以查看例如标识了特定子网的比特集。然后,在子网层,路由器可以查看例如标识了特定设备的比特集。在典型的移动IP通信的情况下,如果用户断开移动设备与例如因特网的连接并且在新的子网处尝试重新连接它,则该设备必须被重新配置新的IP地址、适当的网络掩码和缺省路由器。否则,路由协议将不能正确递送分组。
对于一般的背景参考,在此通过引用的方式将以下列出的每个参考的全部内容纳入本发明:
1.Perkins,C.,“IP Mobility Support for IPv4”,RFC 3344,2002年8月。文中称为[RFC3344]。
2.Johnson,D.,Perkins,C.和J.Arkko,“Mobility Support in IPv6”,RFC 3775,2004年6月。文中称为[RFC3775]。
3.Malki,K.,“Low latency Handoffs in Mobile IPv4”,draft-ietf-mobileip-lowlatency-handoffs-v4-09(进行中),2004年6月。文中称为[I-D.ietf-mobileip-lowlatency-handoffs-v4]。
4.Koodli,R.,“Fast Handovers for Mobile IPv6”,draft-ietf-mipshop-fast-mipv6-03(进行中),2004年10月。文中称为[I-D.ietf-mipshop-fast-mipv6]。
5.Liebsch,M.,“Candidate Access Router Discovery”,draft-ietf-seamoby-card-protocol-08(进行中),2004年9月。文中称为[I-D.ietf-seamoby-card-protocol]。
6.Loughney,J.,“Context Transfer Protocol”,draft-ietf-seamoby-ctp-11(进行中),2004年8月。文中称为[I-D.ietf-seamoby-ctp]。
7.Aboba,B.,“Extensible Authentication Protocol(EAP)KeyManagement Framework”,draft-ietf-eap-keying-04(进行中),2004年11月。文中称为[I-D.ietf-eap-keying]。
8.Forsberg,D.,Ohba,Y.,Patil,B.,Tschofenig,H.和A.Yegin,“Protocol for Carrying Authentication for Network Access(PANA)”,draft-ietf-pana-pana-07(进行中),2004年12月。文中称为[I-D.ietf-pana-pana]。
9.Kim,P.,Volz,B.和S.Park,“Rapid Commit Option for DHCPv4”,draft-ietf-dhc-rapid-commit-opt-05(进行中),2004年6月。文中称为[I-D.ietf-dhc-rapid-commit-opt]。
10.ITU-T,“General Characteristics of International TelephoneConnections and International Telephone Cirsuits:One-Way TransmissionTime”。文中称为[RG98]。
11.ITU-T,“The E-Model,a computational model for use intransmission planning”。文中称为[ITU98]。
12.ETSI,“Telecommunications and Internet Protocol HarmonizationOver Networks(TIPHON)Release 3:End-to-end Quality of Service inTIPHON systems;Part 1:General Aspects of Quality of Service.”。文中称为[ETSI]。
13.Kivinen,T.和H.Tschofenig,“Design of the MOBIKE protocol,”draft-ietf-mobike-design-01(进行中),2005年1月。文中称为[I-D.ietf-mobike-design]。
14.Moskowitz,R.,“Host Identity Protocol”,draft-ietf-hip-base-01(进行中),2004年10月。文中称为[I-D.ietf-hip-base]。
15.Almes,G.,Kalidindi,S.和M.Zekauskas,“A One-way DelayMetric for IPPM”,RFC 2679,1999年9月。文中称为[RFC2679]。
16.Almes,G.,Kalidindi,S.和M.Zekauskas,“A One-way PacketLoss Metric for IPPM”,RFC 2680,1999年9月。文中称为[RFC2680]。
17.Almes,G.,Kalidindi,S.和M.Zekauskas,“A Round-trip DelayMetric for IPPM”,RFC 2681,1999年9月。文中称为[RFC2681]。
18.Simpson,W.,“IP in IP Tunneling”,RFC 1853,1995年10月。文中称为[RFC1853]。
19.Patrick,M.,“DHCP Relay Agent Information Option”,RFC3046,2001年1月。文中称为[RFC3046]。
20.Schulzrine,H.,“Application Layer Mobility Using SIP.”文中称为[SIPMM]。
21.Yegin,A.,“Supporting Optimized Handover for IPMobility-Requirements for Underlying Systems”,draft-manyfolks-12-mobilereq-02(进行中),2002年7月。文中称为[I-D.manyfolks-12-mobilereq]。
22.Cambell,A.,Gomez,J.,Kim,S.,Valko,A.和C.Wan,“Design,Implementation,and Evaluation of Cellular IP.”。文中称为[CELLIP]。
23、Ramjee,R.,Porta,T.,Thuel,S.,Varadhan,K.和S.Wang,“HAWAII:A Domain-based Approach for Supporting Mobility inWide-area Wireless networks.”。文中称为[HAWAII]。
24.Das,S.,Dutta,A.,Misra,A.和S.Das,“IDMP:An Intra-DomainMobility Management Protocol for Next Generation Wireless Networks.”。文中称为[IDMP]。
25.Calhoun,P.,Montenegro,G.,Perkins,C.和E.Gustafsson,“Mobile IPv4 Regional Registration”,draft-ietf-mobileip-reg-tunnel-09(进行中),2004年7月。文中称为[I-D.ietf-mobileip-reg-tunnel]。
26.Yokota,H.,Idoue,A.和T.Hasegawa,“Link Layer Assisted MobileIP Fast Handoff Method over Wireless LAN Networks.”。文中称为[YOKOTA]。
27.Shin,S.,“Reducing MAC Layer Handoff Latency in IEEE 802.11Wireless LANs.”。文中称为[MACD]。
28.Dutta,A.,“Secured Universal Mobility.”文中称为[SUM]。
29.Dutta,A.,“Fast handoff Schemes for Application Layer MobilityManagement.”文中称为[SIPFAST]。
30.Gwon,Y.,Fu,G.和R.Jain,“Fast Handoffs in Wireless LANNetworks using Mobile initiated Tunneling Handoff Protocol for IPv4(MITHv4)”,2005年1月。文中称为[MITH]。
31.Anjum,F.,Das,S.,Dutta,A.,Fajardo,V.,Madhani,S.,Ohba,Y.,Taniuchi,K.,Yaqub,R.和T.Zhang,“A proposal for MIHfunction and Information Service”,2005年1月。文中称为[NETDISC]。
32.Dutta,A.,“GPS-IP based fast-handoff for Mobiles.”文中称为[GPSIP]。
33.[MAGUIRE]Vatn,“The effect of using co-located care-of-addresson macro handover latency.”
关于介质无关的预先认证(media independent pre-authentication)的框架的背景:
在此通过引用的方式将以下美国申请的现有全部公开的整个内容纳入本发明:A.Dutta等人的题为“A Framework of Media-IndependentPre-Authentication”的美国专利申请序列号No.11/307,362;Y.Ohba的题为“A Framework of Media-Independent Pre-Authentication(Support forPANA)”的美国专利申请序列号No.11/308,175。该部分还包括以下引用的序列号为No.11/307,362的所述美国申请的一些内容。
1、介绍
随着包括蜂窝和无线LAN在内的无线技术被普遍使用,支持跨不同类型接入网的诸如从无线LAN到CDMA或到GPRS的终端切换被视为明晰的挑战。另一方面,支持在相同类型的接入网之间的终端切换仍旧具有挑战性,特别是当切换是跨IP子网或管理域时。为了解决那些挑战,以优化的和安全的方式提供终端移动性(其对链路层技术是不可知的)而不产生不合理的复杂性是重要的。在该文献中,我们讨论提供具有低时延和低损耗的无缝切换的终端移动性。无缝切换的特征在于性能要求方面。
通过移动性管理协议来实现终端移动性的基本部分,该移动性管理协议维护在移动终端的标识符与定位符(locator)之间的绑定,其中,该绑定被称为移动性绑定。当移动终端存在移动时,移动节点的定位符可以动态改变。造成定位符变化的移动不仅可以在物理上发生而且可以在逻辑上发生。可以在任何层处定义移动性管理协议。在该文献其余部分,术语“移动性管理协议”指的是在网络层或更高层操作的移动性管理协议。
在不同的层存在若干移动性管理协议。移动IP[RFC3344]和移动IPv6[RFC3775]是在网络层操作的移动性管理协议。在IETF中存在若干正在进行的活动来定义在比网络层更高的层处的移动性管理协议。例如,MOBIKE(IKEv2移动性和多归属(Multihoming))[I-D.ietf-mobike-design]是IKEv2的扩展,其提供处理IKEv2端点的IP地址的改变的能力。HIP(主机身份协议)[I-D.ietf-hip-base]定义了网络层与传输层之间的新协议层,从而以对于网络层和传输层均透明的方式来提供终端移动性。此外,SIP移动性是SIP的扩展,用于维护SIP用户代理的移动性绑定[SIPMM]。
虽然移动性管理协议维护移动性绑定,但是仅以它们当前的形式来使用它们不足以提供无缝切换。需要附加的优化机制来实现无缝切换,该附加的优化机制在移动终端的受访网络中工作,以便防止丢失在更新移动性绑定时被传输的未完成分组。这样的机制被称为移动性优化机制。例如,通过允许相邻的接入路由器(access router)进行通信来携带关于移动终端的信息,为移动IPv4和移动IPv6分别定义了移动性优化机制[I-D.ietf-mobileip-lowlatency-handoffs-v4]和[I-D.ietf-mipshop-fast-mipv6]。存在被视为移动性优化机制的“帮手(helpers)”的协议。CARD(候选接入路由器发现机制)协议[I-D.ietf-seamoby-card-protocol]被设计成发现相邻的接入路由器。CTP(上下文转移协议)[I-D.ietf-seamoby-ctp]被设计成携带与为移动终端所提供的服务相关联的状态或者接入路由器当中的上下文。
在现有移动性优化机制中存在若干问题。首先,现有移动性优化机制与特定的移动性管理协议紧密耦合。例如,使用为移动IPv4或移动IPv6设计的移动性优化机制用于MOBIKE是不可能的。强烈期望的是一种与任何移动性管理协议一起工作的单个统一的移动性优化机制。其次,不存在在不假设管理域之间的预先建立的安全关联的情况下就轻松地支持跨管理域的切换的现有移动性优化机制。移动性优化机制应当以仅基于移动节点与每个管理域之间的信任关系的安全方式来跨管理域工作。第三,移动性优化机制不仅需要支持多接口终端(在其中可以预计有通过多个接口的多个同时的连接),而且需要支持单接口终端。
该文献描述了介质无关的预先认证(MPA)的框架,这是一种具有解决所有那些问题的潜力的新的切换优化机制。MPA是移动辅助的(mobile-assisted)安全切换优化方案,其在任何链路层上工作,并且与包括移动IPv4、移动IPv6、MOBIKE、HIP、SIP移动性等在内的任何移动性管理协议一起工作。在MPA中,利用一种附加机制,IEEE 802.11i预先认证的理念被扩展成在更高层工作,该附加机制实现了:从移动终端可能移动的网络早先获取IP地址,以及在该移动终端仍旧依附于当前网络时先发(proactive)切换到该网络。
此处描述了用于先发建立不同介质的较高层和较低层上下文的系统和方法。就此而言,介质包括例如,移动设备(例如,有线、无线许可的、无线未许可的,等等)可访问的可用网络。参见例如,在I.E.E.E.802(包括I.E.E.E.802.21)中所讨论的介质。介质可以包括例如,无线LAN(例如I.E.E.E.802.11)、I.E.E.E.802.16、I.E.E.E.802.20、蓝牙等。一些说明性例子包括:1)从蜂窝网络切换到无线或WIFI网络的移动设备,例如像具有蜂窝接口和无线接口的尝试通过获得最初在蜂窝网络上的信息(例如密钥等)来得到WIFI接入而不是同时建立无线接口的蜂窝电话;2)在移动设备当前具有无线或WIFI连接的情况下,在无线LAN可能会快速关闭的情况下,或者在类似的情况下,通过示例的方式,移动设备可以先发地经由蜂窝网络进行预先认证(即,从而使得如果需要的话能够进行快速切换)。在一些说明性情况中,具有单个IEEE 802.xx接口的移动节点可以在多个子网和多个管理域之间漫游。虽然保持多个接口总是开启是一种选择,但是移动节点在一些情况(例如像省电等)下可能想要解除激活未使用的接口。另外,MPA可以尤其提供安全的和无缝的移动性优化以及对多个接口的使用,其中,该移动性优化对于子网间切换、域间切换、技术间切换等也起作用。
2、术语
移动性绑定:
在移动终端的标识符和定位符之间的绑定。移动性管理协议(MMP):一种在网络层或更高层操作以维护移动终端的标识符和定位符之间的绑定的协议。
绑定更新:
更新移动性绑定的过程。
介质无关的预先认证移动节点(MN):
介质无关的预先认证(MPA)的移动终端,所述介质无关的预先认证(MPA)是移动辅助的、安全的切换优化方案,其在任何链路层上工作并且与任何移动性管理协议一起工作。MPA移动节点是一种IP节点。在该文献中,没有修饰语的术语“移动节点”或“MN”指的是“MPA移动节点”。MPA移动节点通常还具有移动性管理协议的移动节点的功能性。
候选目标网络(CTN):
移动台在不久的将来可能移动进入的网络。
目标网络(TN):
移动台已决定移动到的网络。目标网络是从一个或多个候选目标网络中选择的。
先发切换隧道(PHT):
在MPA移动节点与候选目标网络的接入路由器之间建立的双向IP隧道。在该文献中,没有修饰语的术语“隧道”指的是“先发切换隧道”。
连接点(PoA):
对MPA移动节点到网络来说起到链路层连接点的作用的链路层设备(例如,交换机、接入点或基站等)。
转交地址(CoA):
被移动性管理协议作为MPA移动节点的定位符使用的IP地址。
3、MPA框架
3.1概述
介质无关的预先认证(MPA)是在任何链路层上工作并且与任何移动性管理协议一起工作的移动辅助的、安全的切换优化方案。在MPA的情况下,当候选目标网络变成目标网络时,在移动节点连接到候选目标网络之前,该移动节点不仅能够安全地从候选目标网络获得IP地址和其它配置参数,而且能够使用所获得的IP地址和其它配置参数来发送和接收IP分组。这使得移动节点有可能在链路层处实现切换之前完成对任何移动性管理协议的绑定更新并且使用新的转交地址。
该功能性被这样提供,即通过允许具有与当前网络的连通性但是还未连接到候选目标网络的移动节点(i)建立与候选目标网络的安全关联来保证后续协议执行,然后(ii)安全地执行用于从候选目标网络获得IP地址和其它配置参数的配置协议,以及用于在移动节点与候选目标网络的接入路由器之间建立双向隧道的隧道管理协议,然后(iii)在使用所获得的IP地址作为隧道内部地址的隧道上发送和接收IP分组,包括用于移动性管理协议的绑定更新的信令消息以及在完成绑定更新之后被传输的数据分组,并且最后(iv)当候选目标网络变成目标网络时,在连接到候选目标网络之前,立即删除或禁用该隧道,并且然后在移动节点通过接口连接到目标网络之后,立即重新分派被删除或被禁用的隧道的内部地址到其物理接口。也可以在连接到目标网络之后立即删除或禁用隧道,而不是在连接到目标网络之前删除或禁用隧道。
特别地,第三过程使得移动台有可能在开始链路层切换之前完成更高层的切换。这意味着移动台能够发送和接收在完成绑定更新之后经过隧道传输的数据分组,同时其仍然能够发送和接收在完成绑定更新之前在隧道外传输的数据分组。
在以上四个MPA的基本过程中,第一过程被称为“预先认证”,第二过程被称为“预先配置”,第三和第四过程的组合被称为“安全的先发切换”。通过预先认证所建立的安全关联被称为“MPA-SA”。通过预先配置所建立的隧道被称为“先发切换隧道”。
3.2功能元件
在MPA框架中,期望以下功能元件驻留在每个候选目标网络中以便与移动节点通信:认证代理(AA)、配置代理(CA)和接入路由器(AR)。这些元件中的一些或全部可以被置于单个网络设备中或单独的网络设备中。
认证代理负责预先认证。在移动节点与认证代理之间执行认证协议来建立MPA-SA。认证协议必须能够导出在移动节点与认证代理之间的密钥,应当能够提供相互认证。认证协议应当能够与诸如RADIUS和Diameter的AAA协议进行交互,以便将认证凭证携带到AAA基础设施中适当的认证服务器。所导出的密钥被用于进一步导出用于保护消息交换的密钥,所述消息交换被用于预先配置和安全的先发切换。被用于对链路层和/或网络层密码进行自举(bootstrap)的其它密钥也可以从MPA-SA中导出。
配置代理负责预先配置的一部分,也就是安全地执行配置协议以便安全地递送IP地址和其它配置参数到移动节点。需要使用从对应于MPA-SA的密钥导出的密钥来保护配置协议的信令消息。
接入路由器是负责预先配置的其它部分的路由器,即,安全地执行隧道管理协议,以便建立到移动节点的先发切换隧道以及使用该先发切换隧道进行安全的先发切换。必须使用从对应于MPA-SA的密钥导出的密钥来保护配置协议的信令消息。应当使用从对应于MPA-SA的密钥导出的密钥来保护经过先发切换隧道传输的IP分组。
3.3基本通信流
假设移动节点已经连接到连接点,即oPoA(旧的连接点),并且被分派转交地址,即oCoA(旧的转交地址)。如下描述MPA的通信流。遍及该通信流,除了步骤5中的切换过程期间的时间段,不应当发生数据分组丢失,并且最小化在该时间段期间的分组丢失是链路层切换的责任。
步骤1(预先认证阶段):移动节点通过某些发现过程找到候选目标网络,并且通过某些手段获得候选目标网络中的IP地址、认证代理、配置代理和接入路由器。移动节点利用认证代理来实现预先认证。如果预先认证是成功的,则在移动节点与认证代理之间创建MPA-SA。从MPA-SA中导出两个密钥,也就是MN-CA密钥和MN-AR密钥,其被分别用来保护配置协议和隧道管理协议的后续信令消息。MN-CA密钥和MN-AR密钥然后被分别安全地递送到配置代理和接入路由器。
步骤2(预先配置阶段):移动节点认识到其连接点很可能从oPoA改变到新的连接点,即nPoA(新的连接点)。其然后利用配置代理使用配置协议从候选目标网络获得IP地址(即nCoA(新的转交地址))和其它配置参数,以及利用接入路由器使用隧道管理协议建立先发切换隧道,从而实现预先配置。在隧道管理协议中,移动节点将oCoA和nCoA分别注册为隧道外部地址和隧道内部地址。使用MN-CA密钥和MN-AR密钥来保护预先配置协议的信令消息。当配置和接入路由器共址于相同设备中时,这两个协议可以被集成到像IKEv2这样的单个协议。在完成隧道建立之后,移动节点能够在步骤4的末尾使用oCoA和nCoA这二者来进行通信。
步骤3(安全先发切换主阶段):移动节点通过某种手段确定切换到新的连接点。在移动节点切换到新的连接点之前,其通过执行移动性管理协议的绑定更新以及在隧道上传输后续数据业务来启动安全的先发切换(主阶段)。
步骤4(安全先发切换预切换阶段):移动节点完成绑定更新并且准备好切换到新的连接点。移动台执行隧道管理协议来删除先发切换隧道。移动节点甚至在删除该隧道之后高速缓存nCoA。关于移动节点何时准备好切换到新的连接点的判定取决于切换策略。
步骤5(切换):预期在该步骤发生链路层切换。
步骤6(安全先发切换后切换(post-switching)阶段):移动节点执行切换过程。在成功完成切换过程时,移动节点立即恢复被高速缓存的nCoA并且将其分派给连接到新的连接点的物理接口。此后,在不使用先发切换隧道的情况下使用nCoA直接传输数据分组是可行的。
4、细节
为了提供最优切换给移动台来体验快速子网和域切换,需要弄清几个问题。这些问题包括发现相邻组网元件、基于特定策略选择将要连接的正确网络、改变层2连接点、从DHCP或PPP服务器获得IP地址、确认IP地址的唯一性、利用诸如在特定域中的AAA服务器这样的认证代理进行预先认证、向对应的主机发送绑定更新,以及获得到新的连接点的重定向的流式业务。在以下段落中我们详细描述这些问题,并且描述在基于MPA的安全先发切换情况中可如何优化这些问题。
5.1发现
发现诸如接入点、接入路由器、认证服务器这样的相邻组网元件有助于当移动台在网络间快速移动期间加快切换过程。通过发现具有所期望的一组坐标、能力和参数的网络邻居,当处在先前的网络中时,移动台可以实现很多操作,例如预先认证、先发IP地址获取、先发地址解析以及绑定更新。
有几种方式移动台可以发现相邻网络。候选接入路由器发现协议[I-D.ietf-seamoby-card-protocol]有助于发现相邻网络中的候选接入路由器。给定特定的网络域SLP和DNS有助于为特定域中的给定服务集提供组网组件的地址。在一些情况下,当移动台接近相邻网络的附近时,可以通过诸如信标这样的链路层管理帧来发送很多网络层和上层参数。IEEE802.11u考虑了诸如使用链路层中所含的信息来发现邻居这样的问题。然而,如果链路层管理帧被某种链路层安全机制加密,那么移动节点可能不能够在建立与接入点的链路层连通性之前获得必要的信息。除此之外,这可能增加带宽受限的无线介质的负担。在这样的情况下,优选较高层协议来获得关于相邻元件的信息。存在诸如[NETDISC]这样的某种建议,其有助于从移动性服务器获得关于相邻网络的这些信息。当移动台即将发生移动时,其通过查询特定服务器来启动发现过程,并且获得所需要的参数,例如接入点的IP地址、其特性、路由器、SIP服务器或相邻网络的认证服务器。在多网络的情况下,其可以从多于一个的相邻网络中获得所需要的参数并且在高速缓存中保存这些参数。在某点,移动台从很多可能的网络中找到若干候选目标网络,并且通过与候选目标网络中所要求的实体进行通信来启动预先认证过程。
4.2先发IP地址获取
一般来说,移动性管理协议结合外地代理(Foreign Agent)工作或以共址地址模式工作。在优选实施例中,当前的MPA方法可以使用共址地址模式和外地代理地址模式这二者。此处我们讨论在共址地址模式中使用的地址分派组件。有若干方式移动节点可以获得IP地址并配置其自身。最常见的是,在缺乏诸如网络中的服务器或路由器这样的任何配置元件时,移动台可以静态配置其自身。IETF Zeroconf工作组定义了自动IP机制,在其中,移动台以adhoc(特定的)方式被配置,并且其从诸如169.254.x.x.这样的指定范围中挑选唯一地址。在LAN环境中,移动台可以从DHCP服务器获得IP地址。在IPv6网络的情况下,移动台还具有使用无状态自动配置来获得IP地址的选项。在广域组网环境中,通过与NAS通信,移动台使用PPP来获得IP地址。
取决于IP地址获取过程的类型以及客户机和服务器的操作系统,这些过程中的每一个占用几百毫秒到几秒的量级。由于IP地址获取是切换过程的一部分,因此其增加了切换延迟,并且因而希望尽可能地减少该时限。存在几个诸如DHCP快速交托[I-D.ietf-dhc-rapid-commit-opt]、基于GPS坐标的IP地址[GPSIP]的最优技术可供使用,其试图减少由于IP地址获取时间而导致的切换时间。然而,在所有这些情况中,移动台在其移动到新的子网之后也要获得IP地址,并且由于移动节点与DHCP服务器之间的信令握手而引起一些时延。
在以下段落中,描述了移动节点可以从候选目标网络和关联的隧道建立过程先发地获得IP地址的几种方式。这些方式可以被广泛定义成三个种类,例如,PANA辅助的先发IP地址获取、IKE辅助的先发IP地址获取,以及仅使用DHCP的先发IP地址获取。
4.2.1PANA辅助的先发IP地址获取
在PANA辅助的先发IP地址获取的情况中,移动节点从候选目标网络先发地获得IP地址。移动节点利用PANA消息来触发DHCP中继代理上的地址获取过程,其中,该DHCP中继代理与PANA认证代理共址于候选目标网络中的接入路由器中。在从移动节点接收到PANA消息时,DHCP中继代理实现正常的DHCP消息交换,以便从候选目标网络中的DHCP服务器获得IP地址。该地址被背载于PANA消息中并且被递送到客户机。
4.2.2IKEv2辅助的先发IP地址获取
IKEv2辅助的先发IP地址获取是在IPsec网关和DHCP中继代理驻留于候选目标网络的每个接入路由器内时工作。在该情况下,候选目标网络中的IPsec网关和DHCP中继代理帮助移动节点从候选目标网络中的DHCP服务器获取IP地址。在预先认证阶段期间建立的MN-AR密钥被用作IKEv2预先共享的秘密,需要该秘密来在移动节点与接入路由器之间运行IKEv2。在使用共址的DHCP中继代理(其用于从使用标准DHCP的目标网络中的DHCP服务器中获得IP地址)的情况下,来自候选目标网络的IP地址是作为标准IKEv2过程的一部分而获得的。在IKEv2配置有效载荷交换中将所获得的IP地址发回给客户机。在该情况下,IKEv2也被用作用于先发切换隧道的隧道管理协议。
4.2.3仅使用DHCP的先发IP地址获取
作为另一备选方案,通过允许在移动节点与候选目标网络中的DHCP中继或DHCP服务器之间的直接DHCP通信,DHCP可以被用于从候选目标网络先发地获得IP地址,而不依赖于PANA方法或基于IKEv2的方法。在该情况下,移动节点向候选目标网络中的DHCP中继代理或DHCP服务器发送单播DHCP消息来请求地址,并且将与当前物理接口相关联的地址用作该请求的源地址。
当该消息被发送到DHCP中继代理时,DHCP中继代理在移动节点与DHCP服务器之间往返中继DHCP消息。在缺乏DHCP中继代理时,移动台还可以与目标网络中的DHCP服务器直接通信。客户机的单播DISCOVER(发现)消息中的广播选项应当被设置成0,以便中继代理或DHCP服务器可以使用移动节点的源地址来直接向移动台发回应答。
为了防止恶意节点从DHCP服务器获得IP地址,应当使用DHCP认证,或者接入路由器应当安装过滤器来阻塞由未预先认证的移动节点发送到远程DHCP服务器的单播DHCP消息。当使用DHCP认证时,可以从在移动节点与候选目标网络中的认证代理之间建立的MPA-SA导出DHCP认证密钥。
在移动台还未移动到新的网络之前,先发获得的IP地址不被分派给移动节点的物理接口。因而从目标网络先发获得的IP地址不应当被分派给物理接口,而是被分派给客户机的虚拟接口。因而,可以与附加信息一起携带这样的经由移动节点与候选目标网络中的DHCP中继或DHCP服务器之间的直接DHCP通信而先发获取的IP地址,其中,使用该附加信息来将该IP地址与被分派给物理接口的其它地址区分开来。
在移动台进入到新网络时,通过使用例如DHCP INFORM(通知),移动节点可以通过与新网络的物理接口来实现DHCP,以便得到诸如SIP服务器、DNS服务器等的其它配置参数。这不应当影响移动台与对应主机之间的正在进行的通信。此外,移动节点可以在与新网络的物理接口上实现DHCP,以便延长在进入新网络之前先发获得的地址的租期(lease)。
为了维护用于移动节点的DHCP绑定以及追踪在安全的先发切换之前和之后所分配(dispensed)的IP地址,对于用于先发IP地址获取的DHCP以及在移动节点进入目标网络之后所实现的DHCP这二者来说,需要为移动节点使用相同的DHCP客户机标识符。DHCP客户机标识符可以是移动节点的MAC地址或一些其它的标识符。
4.3地址解析问题
5.3.1先发的重复地址检测
当DHCP服务器分配IP地址时,其更新租期表,从而使得该相同地址在那个特定时间段不被给予另一客户机。与此同时,客户机还在本地保存租期表,以便当需要时其可以进行更新。在网络既包括DHCP启用的客户机又包括非DHCP启用的客户机的一些情况中,存在这样的可能性,即可能已经利用来自DHCP地址池的IP地址配置了在LAN情况下的另一客户机。在这样的场景中,在分派IP地址之前,服务器基于ARP(地址解析协议)或IPv6邻居发现(Neighbor Discovery)来进行重复地址检测。该检测过程可能占用约4秒至15秒[MAGUIRE],并且因而将造成较大的切换延迟。在先发IP地址获取过程的情况下,该检测被提前实现,并且因而根本不影响切换延迟。通过提前实现重复地址检测,我们减少了切换延迟因素。
4.3.2先发地址解析更新
在预先配置过程期间,移动节点在连接到目标网络之后需要用来与目标网络中的节点进行通信的地址解析映射也可以是已知的,其中,这些节点可以是接入路由器、认证代理、配置代理和通信对应节点。有几种可能的方式实现这样的先发地址解析。
ο使用信息服务机制[NETDISC]来解析节点的MAC地址。这可能要求目标网络中的每个节点涉及信息服务,从而使得该信息服务的服务器可以构造先发地址解析的数据库。
ο扩展用于预先认证的认证协议或用于预先配置的配置协议,以便支持先发地址解析。例如,如果PANA被用作用于预先认证的认证协议,PANA消息可以携带用于先发地址解析的AVP。在该情况下,目标网络中的PANA认证代理可以代表移动节点实现地址解析。
ο定义新的DNS资源重新编码(resource recode)来先发地解析目标网络中的节点的MAC地址。这不是那么值得,因为域名与MAC地址之间的映射一般不稳定。
当移动节点连接到目标网络时,其安装先发获得的地址解析映射,而不必实现对目标网络中的节点的地址解析查询。
另一方面,移动节点一连接到目标网络,驻留在目标网络中并且与该移动节点正在通信的那些节点就应当也更新它们用于该移动节点的地址解析映射。在移动节点连接到目标网络之前,还可以为那些节点使用以上的先发地址解析方法来先发地解析该移动节点的MAC地址。然而,这不是那么值得,因为那些节点在采用先发解析的地址解析映射之前,需要检测移动节点到目标网络的连接。更好的方法将是对连接检测和地址解析映射更新的集成。这是基于无偿地(gratuitously)实现地址解析[RFC3344]、[RFC3775],其中,在移动节点连接到新网络之后,该移动节点在IPv4的情况下立即发送ARP请求或ARP应答,或者在IPv6的情况下立即发送邻居公告(Neighbor Advertisement),从而使得目标网络中的节点可以快速更新用于该移动节点的地址解析映射。
4.4隧道管理
在从候选目标网络中的DHCP服务器先发地获取IP地址之后,在移动节点与候选目标网络中的接入路由器之间建立先发切换隧道。移动节点使用所获取的IP地址作为隧道内部地址,并且其很可能将该地址分派给虚拟接口。
使用隧道管理协议来建立先发切换隧道。当IKEv2被用于先发IP地址获取时,IKEv2也被用作隧道管理协议。可选地,当PANA被用于先发IP地址获取时,PANA可以被用作安全的隧道管理协议。
一旦在移动节点与候选目标网络中的接入路由器之间建立先发切换隧道,接入路由器便还需要代表移动节点来实现代理地址解析,从而使得其可以捕获发往移动节点的新地址的任何分组。
由于当在先前网络中时移动台需要能够与通信对应节点进行通信,因此,从通信对应节点到移动节点的绑定更新和数据中的一些或所有部分需要通过先发切换隧道被发回到该移动节点。当SIP移动性被用于移动性管理协议时,使用SIP Re-INVITE(重新邀请),将作为联系地址的新地址报告给通信对应节点。一旦通信对应节点的SIP用户代理获得新的联系地址,其便向实际上属于目标网络的新的联系地址发送OK。目标网络中的接入路由器拾取OK信号(因为该OK信号被定向至新的联系地址),并且将OK信号隧道传输至处于移动台的先前网络中的移动台。从移动台接收最终的ACK消息到通信对应节点。在缺乏进入过滤(ingress filtering)时,可以不需要隧道传输从移动台到通信对应节点的数据。在完成SIPRe-INVITE信令握手之后,经由先发切换隧道将来自通信对应节点的数据发送到移动台。
为了在移动节点连接到目标网络之后被定向至该移动节点的业务,需要删除或禁用先发切换隧道。用于建立隧道的隧道管理协议被用于该目的。可选地,当PANA被用作认证协议时,移动台一移动到目标网络,便可以借助于PANA更新机制来触发接入路由器处的隧道删除或禁用。链路层触发确保了移动节点确实被连接至目标网络,并且其还可以被用作对于删除或禁用隧道的触发器。
4.5绑定更新
存在几种类型的绑定更新机制用于不同的移动性管理方案。在诸如没有RO的移动IPv4的一些情况中,绑定更新仅被发送到本地代理,在移动IPv6的情况中,绑定更新被发送到本地代理和对应主机这二者。在基于SIP的终端移动性的情况中,移动台使用ReINVITE向注册服务器(registrar)以及对应主机这二者发送绑定更新。基于移动台与通信对应节点之间的距离,绑定更新可能造成切换延迟。SIP快速切换[SIPFAST]提供了几种方式来减少由于绑定更新造成的切换延迟。在使用基于SIP的移动性管理的安全先发切换的情况下,我们完全排除由于绑定更新造成的延迟,因为其发生在先前网络中。因而,当通信对应节点离正在通信的移动节点太远时,该方案看起来更有吸引力。
4.6防止分组丢失
在说明性MPA情况中,我们没有观察到由于IP地址获取、安全认证和绑定更新引起的任何分组丢失。然而,在链路层切换期间并且直到在连接至目标网络之后业务被定向至移动节点,可能存在一些瞬时分组(transient packet)。那些瞬时分组可能会丢失。在接入路由器处双播或缓冲瞬时分组可以用于最小化或消除分组丢失。然而,如果链路层切换不是被无缝实现的话,双播并不消除分组丢失。另一方面,缓冲并不减少分组延迟。虽然分组延迟可以通过接收机侧用于流式应用的播放缓冲器(playout buffer)来补偿,但是,播放缓冲器对无法容忍大的延迟抖动的交互式VoIP应用的帮助不大。因而无论如何,优化链路层切换仍然是重要的。
4.7链路层安全性和移动性
在预先认证阶段期间,使用移动节点与候选目标网络中的认证代理之间所建立的MPA-SA,有可能当移动节点处在当前网络中时按照以下方式自举候选目标网络中的链路层安全性。
(1)移动节点以及候选目标网络中的认证代理使用MPA-SA来导出PMK(成对主密钥)[I-D.ietf-eap-keying],其中,MPA-SA被建立作为成功预先认证的结果。在用于建立MPA-SA的预先认证期间可以涉及执行EAP和AAA协议。根据PMK,直接或间接地为候选目标网络的每个连接点导出用于移动节点的不同的TSK(瞬时会话密钥)[I-D.ietf-eap-keying]。
(2)认证代理可以安装从PMK导出的并且用于到连接点的安全关联的密钥。所导出的密钥可以是TSK或从其导出TSK的中间密钥。
(3)在移动节点选择候选目标网络作为目标网络并且切换到目标网络(其现在成为移动节点的新网络)中的连接点之后,其使用PMK执行诸如IEEE 802.11i四次握手[802.11i]的安全关联协议,以便建立被用于保护移动节点与连接点之间的链路层分组的PTK(成对瞬时密钥)和GTK(组瞬时密钥)[I-D.ietf-eap-keying]。此处不需要附加执行EAP认证。
(4)当移动节点在新网络中漫游时,该移动节点仅需要与其连接点的点实现安全关联协议,而不需要附加执行EAP认证。可以通过这种方式实现MPA与诸如802.11r的链路层切换优化机制的集成。
移动节点可能需要知道候选目标网络中的连接点的链路层身份来导出TSK。如果PANA被用作用于预先认证的认证协议,则通过在从PAA[I-D.ietf-pana-pana]发送的PANA-Bind-Request(PANA-绑定-请求)消息中携带Device-Id AVP(设备-Id AVP),这是可行的,其中,每个AVP含有不同接入点的BSSID。
除了链路层安全性之外,当移动节点仍处在当前网络中时,可以类似地为候选网络自举用于IP层和/或更高层的安全性。
4.8初始网络连接中的认证
当移动节点初始连接到网络时,无论是否使用MPA,都会发生网络接入认证。当MPA被用于切换优化时,被用于网络接入认证的协议可以是诸如IEEE 802.1X的链路层网络接入认证协议或诸如PANA的较高层网络接入认证协议。
5.初始实现和结果
下面描述评估基于MPA和非MPA的两种方法的特定场景。该部分描述了对MPA和非MPA的特定实现之一的细节。除了实现细节之外,该部分还提供了在MPA情况下对被优化的切换的评估结果,并且将其与基于非MPA的切换进行比较。
5.1网络结构
图1中示出了实验网络结构。
在实现环境中定义了三个网络。网络1是旧的连接点(oPoA),网络2是新的连接点(nPoA),网络3是通信对应节点(CN)驻留的网络。移动台最初在网络1中,并且发起与通信对应节点的通信。网络1、网络2和网络3不需要邻接。然而,在说明性实现场景中,网络1、网络2和网络3仅距离一跳(one hop)。在移动台移动的情况下,特定的移动性管理协议(MMP)可以维护由对等应用所建立的流式业务的连续性。
网络1包括DHCP服务器1、接入点(AP)1和接入路由器1。网络2包括DHCP服务器2、AP 2和接入路由器2。AP 1和AP 2是802.11无线LAN接入点。路由器2还作为用于网络2的PANA认证代理(PAA)[I-D.ietf-pana-pana]和DHCP中继代理[RFC3046]来工作,但是它们可以是分离的。DHCP中继代理还起到像配置代理(CA)一样的作用,其帮助从相邻目标网络先发地获得用于移动台的IP地址。网络3包括与网络1中的移动节点进行通信的通信对应节点(CN)。通信对应节点和移动节点都装备有移动性使能的SIP客户机。移动SIP客户机还装备有PANA客户机(PaC)。在该特定情况中,不涉及SIP代理来在通信对应节点与移动节点之间建立初始通信。移动节点(MN)使用802.11无线LAN作为接入方法,并且在移动到其经由AP 2进行通信的网络2之前,其可以经由AP1进行通信。在该特定情况中,移动性管理协议(MMP)是SIP移动性(SIP-M),配置协议是DHCP,认证代理(AA)是PAA,配置代理(CA)是DHCP中继代理,并且接入路由器(AR)是可以提供IP-in-IP隧道(IP的IP隧道)[RFC1853]管理功能的路由器2。MN也装备有IP-in-IP隧道管理功能。因而,移动台具有能力来建立隧道接口,并且对通过路由器2与移动台之间的隧道发送的分组进行拆封(detunnel)。在该特定情况中,我们使用了IPv4,尽管人们也可以使用诸如基于IPv6的SIP移动性或MIPv6这样的用于IPv6的移动性管理。
5.2MPA场景
以下在图2中描述在我们的实现环境中用于MPA的通信流。
步骤0:当MN自举时,其与AP 1相关联并且从网络1中的DHCP服务器1获得IP地址(旧的转交地址(oCoA))。MN的SIP用户代理与CN的SIP用户代理进行通信。当在移动台与通信对应节点之间成功建立连接之后,话音业务在MN与CN之间流动。在RTP/UDP上携带该话音业务。我们已使用RAT(稳健的音频工具)作为介质代理。
在步骤1(预先认证阶段)中,存在一些对步骤1的触发,例如由于MN的移动,AP 1的链路级向下行进(going down)。MN准备启动切换过程,并且从信息服务器获得关于目标网络的所要求的单元的信息。然后MN利用PAA实现预先认证,并且如果预先认证成功的话,从MPA-SA导出MN-CA密钥和MN-AR密钥。
在步骤2(预先配置阶段)中,通过与DHCP代理通信,MN实现预先配置,以获得IP地址等等。DHCP代理和认证代理(AA)在该情况下共址。该IP地址是移动台会在移动到新网络之后而获得的新的转交地址(nCoA)。DHCP代理从DHCP服务器2得到IP地址。移动台的新IP地址被中继回移动台作为其预先认证过程的一部分。在MN得到新IP地址(nCoA)之后,在路由器2与移动台之间创建IP-in-IP隧道。
此时,MN和路由器2的行为基本上遵循[RFC1853],并且通过使用MN-CA密钥来加密地保护信号。
在步骤3(安全先发切换主阶段)中,一旦移动台被配置为在其虚拟接口上具有新IP地址(nCoA),并且在移动台与R2之间建立了隧道,MN便将具有作为其联系地址的nCoA的SIP Re-invite发送到CN。所有的SIP Re-invite信令都在隧道上传送,并且新的RTP流也同样如此。因而,即使CN向nCoA发送业务,移动台也在旧网络中接收业务。
步骤4(安全先发切换预切换阶段):当移动台检测到新的连接点并且决定切换到新网络时,其与AP 2相关联。此时,移动台通过向其物理接口分派nCoA来配置其自身,并且更新来自本地高速缓存(其在预先配置阶段期间被存储在网络1中)的缺省路由器。MN向接入路由器R2发送PANA-Update-Request(PANA-更新-请求)消息。该更新消息删除了路由器R2上的隧道并且在本地删除移动台上的隧道。在安全先发切换期间,还在路由器R2中更新移动台的具有nCoA的ARP条目,因而减少了由于ARP过程(其通常当新节点来到网络时发生)造成的延迟。
EAP预先认证:
当移动台在有效通信会话期间从一个接入网移动到另一接入网并且改变其连接点时,因为关联的切换操作,其经受到对服务的连接性上的破坏。在切换过程期间,当移动台改变其在网络中的连接点时,它可以改变其所连接到的其子网或管理域。
切换经常要求对被分派给移动台的资源的获取或修改进行授权,并且该授权需要与域中的中央授权机构(central authority)进行交互。在很多情况下,在切换过程期间的授权过程是在认证过程之后,该认证过程也要求与域中的中央认证机构进行交互。由于这样的认证和授权过程引入的延迟增加了切换时延,并且由此影响正在进行的多媒体会话。
认证和授权过程可以包括EAP认证,其中,在切换期间,可以在EAP消息传递中涉及AAA服务器。取决于体系结构的类型,在一些情况中,在网络服务被授权给新网络中的移动台之前,AAA信号也遍历所有到移动台的本地域中的AAA服务器的方式。
诸如VoIP的交互式业务和实时通信对延迟非常敏感。因而,必须在切换期间避免或减少移动台与AAA服务器之间的交互是值得期望的。
在该部分中所讨论的EAP预先认证主要是应对这样的环境,即在该环境中,移动设备和候选认证器不在相同的子网中或不具有相同的链路层技术。对EAP预先认证的这种使用将使得移动设备在连接到候选认证器之一以前能够认证并建立密钥。
该框架具有对各种部署场景(先发信令在其中可以生效)的一般适用性。换言之,EAP预先认证的适用性限于可以轻易发现候选认证器、可以轻松做出对移动的准确预测的情形。此外,EAP预先认证的有效性对于特定的技术间切换场景来说可能不那么重要,在所述特定的技术间切换场景中,同时使用多个技术不是主要关心的或者在不同技术当中存在足够的无线电覆盖重叠。
在EAP预先认证中,实现用于候选认证器的AAA认证和授权,此时应用会话经由服务网络而在进行中。EAP预先认证的目标是在设备移动时或不久之后避免用于EAP的AAA信令。
图3示出了与EAP预先认证相关的功能元件。参照图3,移动节点被连接到服务接入网。在移动节点实现从服务接入网到候选接入网的切换之前,其经由服务接入网与候选认证器(候选接入网中的认证器)实现EAP预先认证。移动节点可以与一个或多个候选认证器实现EAP预先认证。假设当认证器在不同IP链路上时,每个认证器均具有IP地址。假设在每个候选接入网中存在至少一个候选认证器,而服务接入网可以具有或可以不具有服务认证器。服务和候选接入网可以使用不同的链路层技术。
每个认证器均具有EAP认证器的功能性,该EAP认证器或者是独立的EAP认证器或者是通行(pass-through)EAP认证器。当认证器起到独立的EAP认证器的作用时,其还具有EAP服务器的功能性。另一方面,当认证器起到通行EAP认证器的作用时,其使用诸如RADIUS和Diameter这样的AAA协议来与通常在AAA服务器上实现的EAP服务器进行通信。
如果候选认证器具有现有的链路层技术(其使用MSK(主会话密钥)来生成较低层加密密钥),则EAP预先认证被用于先发地生成用于候选认证器的MSK。
取决于在EAP预先认证信令中如何涉及服务认证器,存在关于可如何在移动节点、服务认证器、候选认证器和AAA服务器当中发生EAP预先认证信令的两个场景。对于这两个预先认证场景均不要求在服务认证器与候选认证器之间的安全关联。
在图4中示出了第一场景,直接预先认证信令。在该类型的预先认证中,服务认证器转发EAP预先认证业务(如同任何其它的数据业务),或者在服务接入网中可能根本没有服务认证器。而且,MN经由MN-CA信令(L2或L3)进行通信。
在图5中示出了第二场景,间接预先认证信令。在间接预先认证的情况下,在EAP预先认证信令中涉及服务认证器。如果例如MN不能够发现CA的IP地址或者如果出于安全原因在候选认证器与未授权节点之间不允许IP通信,则需要间接预先认证。间接预先认证信令被拼接成(splicedinto)移动节点到服务认证器信令(MN-SA信令)以及服务认证器到候选认证器信令(SA-CA信令)。SA-CA信令在L3上实现。MN-SA信令在L2或L3上实现。服务认证器在间接预先认证中的角色是在移动节点与候选认证器之间转发EAP预先认证信令,而不用作EAP认证器,尽管其对正常的认证信令起到EAP认证器的作用。这在图6中进行了说明。
因而,在一些例子中可以采用以下功能元件:(1)移动节点(MN),其中,除了在802.21规范中定义的功能性之外,MN还具有以下功能性:EAP对等体(Peer);以及(2)连接点(PoA),其中,除了在802.21规范中定义的功能性之外,PoA还具有以下功能性:EAP认证器;对间接预先认证的预先认证转发;并且其中PoA充当MIH PoS。
介质无关的切换服务:
在I.E.E.E.P802.21/D.01.09,2006年9月,题为“Draft IEEE Standardfor Local and Metropolitan Area Networks:Media Independent HandoverServices”(在此通过引用的方式纳入其全部公开的内容)中,该文献尤其详细说明了优化802系统与蜂窝系统之间的切换的802介质接入无关的机制。I.E.E.E.802.21标准定义了可扩展的介质接入无关的机制,其使得能够优化不同802系统之间的切换并且可以促进802系统与蜂窝系统之间的切换。
“IEEE 802.21(介质无关的切换)标准的范围是开发一种规范,该规范向上层提供链路层情报(intelligence)以及其它相关网络信息来优化不同介质之间的切换。这包括由3GPP、3GPP2所指定的链路以及IEEE 802标准族中的有线和无线介质这二者。要注意,在该文献中,除非另外指出,与通信的感知方面(例如音频、视频等)相比,“介质”指的是接入电信系统的方法/模式(例如,线缆、无线电、卫星等)。”参见I.E.E.E.P802.21/D.01.09的1.1,2006年9月,题为“Draft IEEE Standard for Localand Metropolitan Area Networks:Media Independent HandoverServices”,在此纳入该文献的全部内容,并且通过将其完全纳入以上引用的临时申请的C部分内而将其作为本专利申请的一部分。
IEEE 802.21标准旨在促进各种切换方法。取决于切换过程相对于数据传输设施(其支持在移动节点与网络之间交换数据分组)是“先断开后切换”还是“先切换后断开”,这样的方法一般被归类为“硬”或“软”。
一般来说,切换涉及协同使用移动节点和网络基础设施这二者,以便满足网络运营商和终端用户需求。在做出切换判定中所涉及的切换控制、切换策略以及其它算法一般由未落入IEEE 802.21标准范围内的通信系统元件来处理。然而,描述整个切换过程的特定方面是有益的,从而使得整个切换过程中MIH事件服务、MIH命令服务、MIH信息服务和MIHF的角色和目的清晰明了。
一般设计原理:
IEEE 802.21标准基于以下的一般设计原理。
a)MIH功能是帮助并且促进做出切换判定的逻辑实体。上层基于来自MIHF的输入和上下文而做出切换判定和链路选择。促进识别切换应当发生是MIHF的关键目标之一。发现与如何做出有效的切换判定有关的信息也是关键的组成部分。
b)MIHF向较高层提供抽象服务(abstracted services)。从该角度来说,MIHF向上层提供统一接口。由该统一接口陈述的服务原语基于不同接入网的技术特定的协议实体。MIHF通过技术特定的接口与移动性管理协议栈的较低层进行通信。
与较低层的MIHF接口的规范一般不落入该标准的范围内。这样的接口可能已经被指定为涉及相应接入技术(例如,IEEE 802.1、IEEE 802.3、IEEE 802.11、IEEE 802.16、3GPP和3GPP2)的标准内的服务接入点(SAP)。当对于较低层接口的修改可以启用或增强MIHF功能性时,该标准可以含有对于修订现有接入技术特定标准的建议。
c)切换信令(作为切换执行和后续更新的一部分)可以不是该标准的一部分。不同的接入网支持水平切换机制(移动台发起的、网络发起的,等等)。当不是按照同类方案完成时,切换发起触发在异类切换中可能是有用的。
d)MIHF可以进行有关MAC/PHY触发以及其它相关的本地事件的进一步的处理。该处理的定义在该标准的范围之外。该标准还应当提供对远程事件的支持。事件在本质上是警告性的(advisory)。对于是否基于这些事件而引起切换的判定在该标准的范围之外。
e)该标准应当指定支持MN发起的、MN控制的、网络发起的和网络控制的切换的机制。
f)该标准可以支持与原有装备的透明互通。因而,IEEE 802.21兼容装备应当能够与原有非IEEE 802.21兼容装备共存。
介质无关的切换参考框架:
以下部分描述了关于客户机设备(MN)中的不同MIHF实体与网络之间的通信的关键点和显著点。
MIHF功能出于各种目的而彼此通信。客户机设备(移动节点)与其MIH服务点交换MIH信息。在任何网络实体中的MIHF当其直接与基于MN的MIHF通信时变成MIH PoS。MIH网络实体可以没有到MN的直接连接,并且因此不构成用于该特定MN的MIH PoS。相同的MIH网络实体可以仍然充当用于不同MN的MIH PoS。可以不在能够MIH的MN(MIH capable MN)的所有L2接口上发生MIHF通信。作为例子,在具有三个L2接口(即802.11、802.16和802.3)的能够MIH的MN上,802.3接口可以被仅用于系统管理和维护操作,而802.11和802.16接口可以参与提供MIHF服务。MN可以使用L2传输来与MIH PoS(其驻留在与它的网络PoA相同的网络实体中)交换MIH信息。MN可以使用L3传输来与MIH PoS(其可以不驻留在与它的网络PoA相同的网络实体中)交换MIH信息。对于MIH网络实体之间的通信,该框架支持使用L2或L3机制。
图7示出了MIH通信模型。该模型示出了不同独特角色中的MIHF以及它们之间的通信关系。在图7中所示出的通信关系仅应用于MIHF。重要的是要注意,该通信模型中的每个通信关系并不暗指特定的传输机制。而是,通信关系仅旨在示出MIHF相关的信息传递在两个不同的MIHF之间是可行的。此外,1)MN上的MIHF,2)在包括MN的服务PoA的网络实体上的MIH PoS,3)在包括用于MN的候选PoA(候选PoA是MN获知但当前并未连接到的PoA;如果最终发生切换,则其成为目标PoA)的网络实体上的MIH PoS,4)在不包括用于MN的PoA的网络实体上的MIH PoS,5)在不包括用于MN的PoA的网络实体上的MIH非PoS。
该通信模型还标识了在MIHF的不同实例之间的以下通信参考点。
1)通信参考点R1:参考点R1指的是在MN上的MIHF与其服务PoA的网络实体上的MIH PoS之间的MIHF过程。R1可以包括在L2和L3这二者以及之上的通信接口。在R1上传递的MIHF内容可以与MIIS、MIES或MICS相关。
2)通信参考点R2:参考点R2指的是在MN上的MIHF与候选PoA的网络实体上的MIH PoS之间的MIHF过程。R2可以包括在L2和L3这二者以及之上的通信接口。在R2上传递的MIHF内容可以与MIIS、MIES或MICS相关。
3)通信参考点R3:参考点R3指的是在MN上的MIHF与非PoA网络实体上的MIH PoS之间的MIHF过程。R3可以包括在L3以及之上的通信接口,并且可能包括像以太网桥接、MPLS等这样的L2传输协议。在R3上传递的MIHF内容可以与MIIS、MIES或MICS相关。
4)通信参考点R4:参考点R4指的是在网络实体中的MIH PoS与另一网络实体中的MIH非PoS实例之间的MIHF过程。R4可以包括在L3以及之上的通信接口。在R4上传递的MIHF内容可以与MIIS、MIES或MICS相关。
5)通信参考点R5:参考点R5指的是在不同网络实体中的两个MIHPoS实例之间的MIHF过程。R5可以包括在L3以及之上的通信接口。在R5上传递的MIHF内容可以与MIIS、MIES或MICS相关。
MIH通信模型的说明:
在图8中示出了包括MIH服务的网络模型,用于更多地说明MIH通信参考点。从右往左移动,该模型包括支持多个有线和无线接入技术选项的能够MIH的移动节点(MN,极右边)。该模型假设供应业务提供商或者运营多种接入技术,或者当已建立支持互通的SLA时允许其用户漫游到其它网络。MN具有所实现的MIHF,这使其能够发送特定的MIH查询。MN可以使信息服务部分地在内部实现。
该模型示出了以某种松散的串行方式被连接到核心网(运营商1-3核心)的接入网。还示出了更紧密互通或耦合的接入网(接入网-3)。运营商1-3核心各自可以表示服务提供商、公司内联网提供商,或者仅是受访网络或本地接入网,或者甚至是核心网的另一部分。在该模型中,供应提供商在运营经由R1耦合到核心(被标记为受访网络/本地核心网)的接入网-3。术语“受访”和“本地”被用于指示供应服务提供商或者企业。取决于MN的供应商与运营商的关系,所示出的任何网络均可以都是受访网络或本地网络。
网络提供商在其接入网(接入网-1至4)中提供MIH服务以促进切换到其网络。每种接入技术要么公告其MIH能力要么响应于MIH服务发现。用于接入网的每个服务提供商允许接入到一个或多个MIH服务点(PoS,相比于通信模型)。这些PoS可以提供在MIH能力发现期间所确定的MIH服务中的一些或全部。该标准并不固定MIH PoS的位置或节点。PoS位置可以基于运营商部署场景和技术特定的MIH体系结构而变化。
MIH PoS可以驻留于连接点(PoA)附近或者与连接点(PoA)共址于接入网(接入网1、2、4是典型的)。可选地,PoS可以更深入地驻留在接入网或核心网内部(接入网3是典型的)。如图3中所示,MN中的MIH实体通过任何接入网上的R1、R2或R3与MIH网络实体进行通信。当服务接入网中的PoA具有共址的MIH功能时,那么R1参考连接终止于也作为PoS的PoA处(该模型的MN到接入网1、2、4可以全都是R1)。在该情况中,R3参考连接将终止于任何非PoA处(也通过MN到接入网1、2、4来示出)。MIH事件可以源于有效R1链路的两侧。MN通常是对这些事件有所反应的第一节点。
对于受访和本地网络的交互可以用于控制和管理目的,或者用于数据传输目的。这也是有可能的,即:由于漫游或者SLA协定,本地网络可以允许MN直接通过受访网络接入公共因特网。如所示出的,两个MIH网络实体可以经由R4或R5参考连接彼此通信。能够MIH的PoA还可以经由R3和R4参考点与其它MIH网络实体通信。能够MIH的MN可以经由R2参考点与候选接入网中的其它PoA进行MIH通信以获得关于候选网络的信息服务。
关于MIH信息服务(MIIS),提供商提供了对位于MIH PoS节点中的其信息服务器(最左上部)的接入。运营商向移动节点提供MIIS,以便它们可以获得多种相关信息,包括但不限于新的漫游列表、成本、提供商标识信息、提供商服务、优先级以及将使得能够选择和利用服务的任何其它信息。如所示出的,对于移动节点来说,有可能通过其提供商而被预先供应MIIS数据。
对于移动节点来说,还有可能从其提供商的任何接入网获得MIH信息服务。使用该网络的MIIS服务点,还可以从另一重叠或邻近网络获得MIIS。供应商的网络(此处示为与接入网3相耦合)可以利用R3和R4接口来接入其它MIH实体,像供应商的MIH信息服务器或受访网络的MIH信息服务器。
关于MIH命令服务(MICS),任何信息数据库都还可以被用作命令服务PoS。MN MIHF通常使用层3传输与该服务器进行通信。
MIHF服务:
MIHF通过良好定义的用于链路层和MIH用户的SAP来提供异步和同步服务。在系统具有任意类型的多个网络接口的情况下,上层可以使用由MIH提供的事件服务、命令服务和信息服务来管理、确定和控制基础接口(underlying interfaces)的状态。
由MIH所提供的这些服务帮助上层维护服务连续性、对可变服务质量的服务适应性、电池寿命保存,以及网络发现和链路选择。在含有802类型以及蜂窝3GPP、3GPP2类型的异构网络接口的系统中,介质无关的切换功能可以帮助上层实现跨异构网络接口来耦合服务的有效过程。上层可以利用由跨不同实体的MIHF所提供的服务来查询在异构网络之间进行切换操作所要求的资源。
移动设备中的MIH服务促进了异构网络之间的无缝切换。可以支持诸如移动性管理协议(示例的移动IP)的MIH用户用于切换和无缝会话连续性。这不应当阻止除了移动IP以及甚至其它上层之外的其它协议来使用MIH服务以便优化切换。
对于像事件服务这样的异步操作,采用MIH服务的移动节点将从链路层接收指示。与命令服务和信息服务的交互将通过同步查询和响应型机制。MIHF还将提供用于在网络与相同介质类型的主机实体之间交换信息的功能性。要注意,如果用于这样的信息交换的机制已经在给定类型的介质的情况下(例如在一些蜂窝介质类型的情况下)存在,那么无论何时有可能,MIHF都将利用现有的机制。
MIH协议:
IEEE 802.21标准支持介质无关的事件服务、介质无关的命令服务和介质无关的信息服务。MIH协议定义了在远程MIHF实体与支持消息递送的传输机制之间交换的消息的格式(即,具有头部和有效载荷的MIHF分组)。传输机制的选择取决于将MN连接到网络的接入技术以及MIH PoS的位置。
可以通过L2管理帧、L2数据帧或其它较高层协议来携带用于这些服务的分组有效载荷。诸如802.11和802.16的无线网络具有管理平面,并且支持可以被适当地增强来携带以上有效载荷的管理帧。然而,有线以太网不具有管理平面,并且仅可以在数据帧中携带以上有效载荷。
IEEE 802.21标准按照介质无关的方式在标准TLV格式中定义了分组格式和有效载荷。此后,当需要通过正常数据帧来发送有效载荷时(如在以太网的情况中),可以使用MIHF以太类型按照L2MIH协议来封装这些分组。在其它情况下,可以将基于TLV的消息和有效载荷直接封装在介质特定的管理帧中。可选地,可以使用较低层(L2)或较高层(L3及以上)传输来封装MIH协议消息。
IEEE 802.21标准定义了MIH协议数据单元(PDU)头部和有效载荷的格式。标准TLV格式为PDU有效载荷内容提供了介质无关的表示。在802链路上,将MIHF PDU封装在具有MIHF以太类型的数据帧中。对于802.11和802.16链路,建议了对介质特定的管理帧的扩展用于携带MIH消息。在该标准中,没有做出关于在L2处通过3GPP和3GPP2接入链路来传输MIH消息的假设。
说明性体系结构:
图13示出了可以在一些包括无线接入点的说明性和非限制性实现中采用的一些说明性体系结构组件,其中,客户机设备与这些无线接入点进行通信。就此而言,图5示出了连接至无线局域网(WLAN)(概括性地标示为21)的说明性有线网络20。WLAN 21包括接入点(AP)22和多个用户站23、24。举例来说,有线网络20可以包括因特网或公司数据处理网络。举例来说,接入点22可以是无线路由器,并且用户站23、24可以例如是便携式计算机、个人台式计算机、PDA、便携式基于IP的语音电话和/或其它设备。接入点22具有与有线网络21链接的网络接口25,以及与用户站23、24通信的无线收发机。举例来说,无线收发机26可以包括用于与用户站23、25进行无线电或微波频率通信的天线27。接入点22还具有处理器28、程序存储器29和随机访问存储器31。用户站23具有无线收发机35,该无线收发机35包括用于与接入点站22通信的天线36。以类似的方式,用户站24具有无线收发机38以及用于与接入点22通信的天线39。通过示例的方式,在一些实施例中,可以在这样的接入点(AP)内采用认证器和/或可以在移动节点或用户站内采用恳求者(supplicant)或对等体。
图14示出了可以用来实现计算机化的过程步骤的说明性计算机或控制单元,在一些实施例中,这些过程步骤将要通过例如像接入点、认证器、用户站、移动节点或另外的节点这样的设备来实现。在一些实施例中,该计算机或控制单元包括中央处理单元(CPU)322,其可以通过总线326与一组输入/输出(I/O)设备324进行通信。I/O设备324可以包括,例如,键盘、监控器和/或其它设备。CPU 322可以通过总线326与计算机可读介质(例如,常规的易失性或非易失性数据存储设备)328(以下称为“存储器328”)进行通信。CPU 322、I/O设备324、总线326和存储器328之间的交互可以类似于本领域中已知的。存储器328可以包括例如数据330。存储器328还可以存储软件338。软件338可以包括用于实现过程步骤的多个模块340。常规的编程技术可以用于实现这些模块。存储器328还可以存储以上的和/或其它数据文件。在一些实施例中,此处描述的各种方法可以经由用于与计算机系统一起使用的计算机程序产品来实现。该实现可以例如包括被固定在计算机可读介质(例如软盘、CD-ROM、ROM等)上或经由诸如调制解调器等的接口设备可传输到计算机系统的一系列计算机指令。通信介质可以是实质上有形的(例如通信线)和/或实质上无形的(例如使用微波、光、红外线等的无线介质)。计算机指令可以以各种编程语言编写和/或可以被存储在存储设备(例如,半导体设备(例如芯片或电路)、磁设备、光设备和/或其它存储设备)中。在各种实施例中,传输可以使用任何适当的通信技术。
发明内容
本发明改进了以上内容和/或其它背景技术和/或其问题。
本发明的优选实施例在单个协议(即802.21MIH协议)中集成了介质无关的切换信令(例如,事件服务、命令服务和信息服务信令)和网络接入认证信令。显著地,优选实施例使得这样的集成不仅能够在单个链路层技术内进行而且能够关于技术间切换来进行。
另外,本发明的优选实施例将成对主密钥(PMK)分成两个密钥(即,介质无关的PMK(MI-PMK)和介质特定的PMK(MS-PMK))。相应地,在优选实施例中,1)可以采用单个认证器来服务于多种接入技术,以及2)可以增加更多的灵活性来分离用于预先认证的认证器和用于正常认证的认证器。
此外,本发明的优选实施例可以支持间接的和直接的预先认证这二者。相比之下,现有的预先认证解决方案(例如像802.11i预先认证和PANA预先认证)仅支持直接预先认证。
根据一些优选实施例,采用了以下的新颖特征:对直接和/或间接预先认证这二者的支持;和/或对网络发起的和移动台发起的预先认证这二者的支持。
根据一些实施例,提供了一种用于在从服务认证器切换到目标认证器期间对移动节点的介质无关的切换(MIH)预先认证的方法,所述方法包括:在单个协议中集成介质无关的切换信令和网络接入认证信令。在一些实施例中,所述单个协议涉及802.21MIH协议。在一些实施例中,所述方法包括实现网络发起的直接预先认证。在一些实施例中,所述方法包括实现移动台发起的直接预先认证。在一些实施例中,所述方法包括实现网络发起的间接预先认证。在一些实施例中,所述方法包括实现移动台发起的间接预先认证。在一些实施例中,所述方法包括实现用于技术间切换的介质无关的切换(MIH)预先认证。在一些实施例中,所述方法包括:使认证器持有由EAP生成的主会话密钥(MSK),并且使用MSK来导出介质无关的成对主密钥(MI-PMK),以及当所述移动节点切换到其已进行预先认证的目标认证器时,使用从所述介质无关的PMK(MI-PMK)导出的介质特定的PMK(MS-PMK)来运行介质特定的安全关联协议。在一些实施例中,所述方法包括采用单个认证器来服务于多种接入技术。
根据一些实施例,提供了一种用于在从服务认证器切换到目标认证器期间对移动节点的介质无关的切换(MIH)预先认证的系统,所述系统包括:a)认证器,其被配置以便:使用单个协议来实现对移动节点的网络接入认证和对所述移动节点的介质无关的切换,以及服务于多种接入技术;b)所述认证器,其被配置以便:持有在介质特定的认证或介质无关的切换预先认证期间所生成的主会话密钥,所述主会话密钥被用于导出介质无关的成对主密钥和介质特定的成对主密钥用于运行介质特定的安全关联。在一些实施例中,所述单个协议涉及802.21MIH协议。
将针对以下结合附图的描述进一步理解各种实施例的以上和/或其它方面、特征和/或优势。在可用的情况下,各种实施例可以包括和/或排除不同的方面、特征和/或优势。另外,在可用的情况下,各种实施例可以组合其它实施例的一个或多个方面或特征。对特定实施例的各方面、特征和/或优势的描述不应当被解释为限制其它实施例或权利要求。
附图说明
图1是根据一些说明性背景实施例示出了说明性网络结构的体系结构图;
图2是根据说明性背景实现环境示出了介质无关的预先认证(MPA)通信流示图的流程图;
图3是示出了说明性EAP预先认证场景的体系结构图;
图4是示出了与直接预先认证相关的说明性EAP预先认证信号流的体系结构图;
图5是示出了与间接预先认证相关的说明性EAP预先认证信号流的体系结构图;
图6是示出了服务认证器在间接预先认证中的角色的示图;
图7示出了与介质无关的切换(MIH)相关的网络参考模型;
图8示出了MIHF通信模型;
图9至图14示出了与根据本发明的一些优选实施例的特征相关的体系结构特征、消息调用流等等;
图15是演示了根据一些例子的系统体系结构的说明性组件的说明性体系结构图;以及
图16示出了根据可以用于实现计算机化过程步骤的说明性计算机或控制单元的特征,在一些实施例中,该计算机化过程步骤将要通过例如像接入点、用户站、源节点或目的节点这样的设备来实现。
具体实施方式
通过示例方式而不是限制性地在附图中示出了本发明的优选实施例。
虽然可以以很多不同的形式来体现本发明,但是文中是在这样的理解下描述了多个说明性实施例,即:本发明公开要被视为提供了本发明的原理的例子,并且这样的例子并不旨在将本发明限制于文中所描述和/或文中所示出的优选实施例。
本发明的优选实施例在单个协议(即,802.21MIH协议)中集成了介质无关的切换信令(例如,事件服务、命令服务和信息服务信令)和网络接入认证信令。显著地,优选实施例使得这样的集成不仅能够在单个链路层技术内进行而且能够关于技术间切换来进行。
在本发明的优选实施例中,成对主密钥(PMK)被分成两个密钥(即,介质无关的PMK(MI-PMK)和介质特定的PMK(MS-PMK))。相应地,在优选实施例中,1)可以采用单个认证器来服务于多种接入技术,以及2)可以增加更多的灵活性来分离用于预先认证的认证器和用于正常认证的认证器。
另外,本发明的优选实施例可以支持间接和直接预先认证这二者。相比之下,现有的预先认证解决方案(例如像802.11i预先认证和PANA预先认证)仅支持直接预先认证。
根据一些优选实施例,提供了一种系统和方法,所述系统和方法提供:对直接和间接预先认证这二者的支持;以及对网络发起的和移动台发起的预先认证这二者的支持。
根据一些优选实施例,采用了以下方面。
·认证器是服务点(PoS)。
·MN的MIHF-ID被用作MN的介质无关的身份。
·认证器的MIHF-ID被用作认证器的介质无关的身份。
·在介质特定的认证或MIH预先认证期间,认证器持有由EAP生成的MSK(主会话密钥)。
·MSK被用于导出介质无关的成对主密钥(MI-PMK)。
·当MN切换到其已进行预先认证的目标认证器时,其使用从MI-PMK导出的介质特定的PMK(MS-PMK)来运行介质特定的安全关联协议。
·如果MIH传输不是可靠的,则应当使用MIH确认机制,以便提供对EAP消息的有序递送。
·对于MIH预先认证命令,会话ID被用来标识在正进行通信的MIH对等体之间不同的预先认证会话。
-此处,会话ID是由认证器分派的整数,并且在认证器内是唯一的。
·MN或服务认证器(SA)需要知道候选认证器(CA)的IP地址。
·MN在运行预先认证以前实现向服务认证器的MIH注册。
·对于移动台发起的预先认证,服务认证器向MN预定“预先认证发起”事件。
网络发起的直接预先认证:
在一些实施例中,可以采用包括图9中所示出的特征的网络发起的直接预先认证。
就此而言,如所示出的,网络发起的直接预先认证可以涉及以下功能实体:移动节点(MN)或对等体;服务认证器(SA);以及候选认证器(CA)。如所示出的,在网络发起的直接预先认证情形中,服务认证器可以发起被传输到候选认证器的MIH预先认证发起指示(MN-MIHF-ID)消息。作为响应,候选认证器可以向移动节点(MN)传输MIH预先认证请求(EAP)。作为响应,移动节点可以向候选认证器传输MIH预先认证响应(EAP)。作为响应,候选认证器可以向移动节点传输MIH预先认证请求(结果、EAP、生存期、IC)。作为响应,移动节点可以向候选认证器传输MIH预先认证响应(IC)。关于图9中所示出的调用流,要注意的是,源标识符、目的地和SID在该图中未被示出,并且SID由候选认证器进行分派。
更特别地,在实现以上的消息交换中,执行以下步骤(例如,针对在特定节点上发布原语以及传输消息而言):
步骤A1.服务认证器上的MIH用户向服务认证器上的MIH功能(MIHF)发布MIH_Pre-authentication_initiation.Request(MIH_预先认证_发起.请求)原语,其使得MIHF向候选认证器发送MIH_Pre-authentication_Initiation(MIH_预先认证_发起)指示消息。
步骤A2.当候选认证器上的MIHF接收到MIH_Pre-authentication_Initiation指示消息时,其向候选认证器上的MIH用户返回MIH_Pre-authentication_initiation.Indication(MIH_预先认证_发起.指示)原语。
步骤A3.候选认证器上的MIH用户向候选认证器上的MIHF发布MIH_Pre-authentication.Request(MIH_预先认证.请求)原语,其使得MIHF向对等体发送MIH_Pre-authentication(MIH_预先认证)请求消息。
步骤A4.当对等体上的MIHF接收到MIH_Pre-authentication请求消息时,其向对等体上的MIH用户返回MIH_Pre-authentication.Indication(MIH_预先认证.指示)原语。
步骤A5.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication.Response(MIH_预先认证.响应)原语,其使得MIHF向候选认证器发送MIH_Pre-authentication(MIH_预先认证)响应消息。
步骤A6.当候选认证器上的MIHF接收到MIH_Pre-authentication响应消息时,其向候选认证器上的MIH用户返回MIH_Pre-authentication.Confirm(MIH_预先认证.确认)原语。
此后,重复步骤A3至A6直至完成EAP认证。
移动台发起的直接预先认证:
在一些实施例中,可以采用包括图10中所示出的特征的移动台发起的直接预先认证。
就此而言,如所示出的,移动台发起的直接预先认证可以类似地涉及以下功能实体:移动节点(MN)或对等体;服务认证器(SA);以及候选认证器(CA)。如所示出的,在移动台发起的直接预先认证情形中,移动节点发起被传输到服务认证器的MIH预先认证发起指示消息(CA-MIHF-ID)。接下来,服务认证器向候选认证器传输MIH预先认证发起指示(MN-MIHF-ID)。此后,如图8中所示出的,该过程以和图7中所示出的与网络发起的直接预先认证相关(即,尾随MN-MIHF-ID的传输)的过程相同的方式继续。关于图10中所示出的调用流,要注意的是,源标识符、目的地标识符和SID在该图中未被示出。
更特别地,在对以上消息交换的实现中,执行以下步骤(例如,针对在特定节点上发布原语以及传输消息而言):
步骤B1.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication_initiation.Request(MIH_预先认证_发起.请求)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication_Initiation(MIH_预先认证_发起)指示消息。
步骤B2.当服务认证器上的MIHF接收到MIH_Pre-authentication_Initiation指示消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication_initiation.Indication(MIH_预先认证_发起.指示)原语。
步骤B3.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication_Initiation(MIH_预先认证_发起)指示原语,其使得MIHF向候选认证器发送MIH_Pre-authentication_Initiation指示消息。
此后,将采用图9中的步骤A2以及后续步骤。
网络发起的间接预先认证:
在一些实施例中,可以采用包括图11中所示出的特征的网络发起的间接预先认证。
就此而言,如所示出的,网络发起的间接预先认证可以涉及以下功能实体:移动节点(MN)或对等体;服务认证器(SA);以及候选认证器(CA)。如所示出的,在网络发起的间接预先认证情形中,候选认证器可以向服务认证器传输MIH预先认证请求(MN-MIF-ID,EAP)。然后,服务认证器可以向移动节点(MN)传输MIH预先认证请求(CA-MIHF-ID,EAP)。然后,移动节点可以向服务认证器传输MIH预先认证响应(CA-MIHF-ID,EAP)。然后,服务认证器可以向候选认证器传输MIH预先认证响应(MN-MIHF-ID,EAP)。然后,候选认证器可以向服务认证器传输MIH预先认证请求(结果,EAP,生存期,IC)。然后,服务认证器可以向移动节点传输MIH预先认证请求(结果,EAP,生存期,IC)。然后,移动节点可以向服务认证器传输MIH预先认证响应(IC)。而且,服务认证器可以向候选认证器传输MIH预先认证响应(IC)。关于图11中所示出的调用流,要注意的是,源标识符、目的地标识符和SID在该图中未被示出。SID由服务认证器分派用于移动节点与服务认证器之间的消息,并且由候选认证器分派用于服务认证器与候选认证器之间的消息。
更特别地,在对以上消息交换的实现中,执行以下的步骤(例如,针对在特定节点上发布原语以及传输消息而言):
步骤C1.候选认证器上的MIH用户向候选认证器上的MIHF发布MIH_Pre-authentication.Request(MIH_预先认证.请求)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication(MIH_预先认证)请求消息。
步骤C2.当服务认证器上的MIHF接收到MIH_Pre-authentication请求消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication.Indication(MIH_预先认证.指示)原语。
步骤C3.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication.Request(MIH_预先认证.请求)原语,其使得MIHF向对等体发送MIH_Pre-authentication请求消息。
步骤C4.当对等体上的MIHF接收到MIH_Pre-authentication请求消息时,其向对等体上的MIH用户返回MIH_Pre-authentication.Indication(MIH_预先认证.指示)原语。
步骤C5.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication.Response(MIH_预先认证.响应)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication(MIH_预先认证)响应消息。
步骤C6.当服务认证器上的MIHF接收到MIH_Pre-authentication响应消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication.Confirm(MIH_预先认证.确认)原语。
步骤C7.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication.Response(MIH_预先认证.响应)原语,其使得MIHF向候选认证器发送MIH_Pre-authentication(MIH_预先认证)响应消息。
步骤C8.当候选认证器上的MIHF接收到MIH_Pre-authentication响应消息时,其向候选认证器上的MIH用户返回MIH_Pre-authentication.Confirm(MIH_预先认证.确认)原语。
此后,重复步骤C1至C8直至完成EAP认证。
移动台发起的间接预先认证:
在一些实施例中,可以采用包括图12中所示出的特征的移动台发起的间接预先认证。
就此而言,如所示出的,移动台发起的间接预先认证可以涉及以下功能实体:移动节点(MN)或对等体;服务认证器(SA);以及候选认证器(CA)。如所示出的,在移动台发起的间接预先认证中,移动节点可以向服务认证器传输MIH预先认证发起指示(CA-MIHF-ID)。然后,服务认证器可以向候选认证器传输MIH预先认证发起指示(MN-MIHF-ID)。此后,如图12中所示出的,该过程以和图11中所示出的与网络发起的间接预先认证相关(即,与在移动节点和服务认证器之间的通信以及在服务认证器和候选认证器之间的通信相关)的过程相同的方式继续。关于图12中所示出的调用流,要注意的是,源标识符、目的地标识符和SID在该图中未被示出。
更特别地,在对以上消息交换的实现中,执行以下的步骤(例如,针对在特定节点上发布原语以及传输消息而言):
步骤D1.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication_initiation.Request(MIH_预先认证_发起.请求)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication_Initiation(MIH_预先认证_发起)指示消息。
步骤D2.当服务认证器上的MIHF接收到MIH_Pre-authentication_Initiation指示消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication_initiation.Indication(MIH_预先认证_发起.指示)原语。
步骤D3.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication_Initiation(MIH_预先认证_发起)指示原语,其使得MIHF向候选认证器发送MIH_Pre-authentication_Initiation指示消息。
步骤D4.当候选认证器上的MIHF接收到MIH_Pre-authentication_Initiation指示消息时,其向候选认证器上的MIH用户返回MIH_Pre-authentication_initiation.Indication(MIH_预先认证_发起.指示)原语。
此后,将采用图11中的步骤C1以及后续步骤。
直接预先认证终止:
在一些实施例中,可以采用包括如图13中所示出的特征的直接预先认证终止。就此而言,图13示出了网络发起的方法和移动台发起的方法这两种方法。
关于网络发起的方法,如所示出的,候选认证器可以向移动节点传输MIH预先认证终止请求(IC)。而且,移动节点可以向候选认证器传输MIH预先认证终止响应(IC)。
关于移动台发起的方法,如所示出的,移动节点可以向候选认证器传输MIH预先认证终止请求(IC)。而且,候选认证器可以向移动节点传输MIH预先认证终止响应(IC)。
关于图13中所示出的调用流,要注意的是,源标识符、目的地标识符和SID在该图中未被示出。
更特别地,在对以上消息交换的实现中,执行以下的步骤(例如,针对在特定节点上发布原语以及传输消息而言):
1、网络发起的直接预先认证终止:
步骤E1.候选认证器上的MIH用户向候选认证器上的MIHF发布MIH_Pre-authentication_Termination.Request(MIH_预先认证_终止.请求)原语,其使得MIHF向对等体发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)请求消息。
步骤E2.当对等体上的MIHF接收到MIH_Pre-authentication_Termination请求消息时,其向对等体上的MIH用户返回MIH_Pre-authentication_Termination.Indication(MIH_预先认证_终止.指示)原语。
步骤E3.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication_Termination.Response(MIH_预先认证_终止.响应)原语,其使得MIHF向候选认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)响应消息。
步骤E4.当候选认证器上的MIHF接收到MIH_Pre-authentication_Termination响应消息时,其向候选认证器上的MIH用户返回MIH_Pre-authentication_Termination.Confirm(MIH_预先认证_终止.确认)原语。
2、移动台发起的直接预先认证终止:
就此而言,在用于网络发起的直接预先认证终止的每个步骤中的候选认证器和对等体功能在移动台发起的直接预先认证终止中被如下互换:
步骤E1.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication_Termination.Request(MIH_预先认证_终止.请求)原语,其使得MIHF向候选认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)请求消息。
步骤E2.当候选认证器上的MIHF接收到MIH_Pre-authentication_Termination请求消息时,其向候选认证器上的MIH用户返回MIH_Pre-authentication_Termination.Indication(MIH_预先认证_终止.指示)原语。
步骤E3.候选认证器上的MIH用户向候选认证器上的MIHF发布MIH_Pre-authentication_Termination.Response(MIH_预先认证_终止.响应)原语,其使得MIHF向对等体发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)响应消息。
步骤E4.当对等体上的MIHF接收到MIH_Pre-authentication_Termination响应消息时,其向对等体上的MIH用户返回MIH_Pre-authentication_Termination.Confirm(MIH_预先认证_终止.确认)原语。
间接预先认证终止:
在一些实施例中,可以采用包括如图14中所示出的特征的间接预先认证终止。就此而言,图14示出了网络发起的方法和移动台发起的方法这两种方法。
关于网络发起的方法,如所示出的,候选认证器可以向服务认证器传输MIH预先认证终止请求(IC),并且服务认证器可以向移动节点传输MIH预先认证终止请求(IC)。然后,移动节点可以向服务认证器传输MIH预先认证终止响应(IC),并且服务认证器可以向候选认证器传输MIH预先认证终止响应(IC)。
关于移动台发起的方法,如所示出的,移动节点可以向服务认证器传输MIH预先认证终止请求(IC),并且服务认证器可以向候选认证器传输MIH预先认证终止请求(IC)。然后,候选认证器可以向服务认证器传输MIH预先认证终止响应(IC),并且服务认证器可以向移动节点传输MIH预先认证终止响应(IC)。
关于图14中所示出的调用流,要注意的是,在该图中未示出源标识符、目的地标识符和SID。
更特别地,在对以上消息交换的实现中,执行以下步骤(例如,针对在特定节点上发布原语以及传输消息而言):
1、网络发起的间接预先认证终止:
步骤F1.候选认证器上的MIH用户向候选认证器上的MIHF发布MIH_Pre-authentication_Termination.Request(MIH_预先认证_终止.请求)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)请求消息。
步骤F2.当服务认证器上的MIHF接收到MIH_Pre-authentication_Termination请求消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication_Termination.Indication(MIH_预先认证_终止.指示)原语。
步骤F3.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication_Termination.Request(MIH_预先认证_终止.请求)原语,其使得MIHF向对等体发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)请求消息。
步骤F4.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication_Termination.Response(MIH_预先认证_终止.响应)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)响应消息。
步骤F5.当服务认证器上的MIHF接收到MIH_Pre-authentication_Termination响应消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication_Termination.Confirm(MIH_预先认证_终止.确认)原语。
步骤F6.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication_Termination.Response(MIH_预先认证_终止.响应)原语,其使得MIHF向候选认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)响应消息。
步骤F7.当候选认证器上的MIHF接收到MIH_Pre-authentication_Termination响应消息时,其向候选认证器上的MIH用户返回MIH_Pre-authentication_Termination.Confirm(MIH_预先认证_终止.确认)原语。
2、移动台发起的间接预先认证终止:
就此而言,在用于网络发起的间接预先认证终止的每个步骤中的候选认证器和对等体功能在移动台发起的间接预先认证终止中被互换。
步骤F1.对等体上的MIH用户向对等体上的MIHF发布MIH_Pre-authentication_Termination.Request(MIH_预先认证_终止.请求)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)请求消息。
步骤F2.当服务认证器上的MIHF接收到MIH_Pre-authentication_Termination请求消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication_Termination.Indication(MIH_预先认证_终止.指示)原语。
步骤F3.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication_Termination.Request(MIH_预先认证_终止.请求)原语,其使得MIHF向候选认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)请求消息。
步骤F4.候选认证器上的MIH用户向候选认证器上的MIHF发布MIH_Pre-authentication_Termination.Response(MIH_预先认证_终止.响应)原语,其使得MIHF向服务认证器发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)响应消息。
步骤F5.当服务认证器上的MIHF接收到MIH_Pre-authentication_Termination响应消息时,其向服务认证器上的MIH用户返回MIH_Pre-authentication_Termination.Confirm(MIH_预先认证_终止.确认)原语。
步骤F6.服务认证器上的MIH用户向服务认证器上的MIHF发布MIH_Pre-authentication_Termination.Response(MIH_预先认证_终止.响应)原语,其使得MIHF向对等体发送MIH_Pre-authentication_Termination(MIH_预先认证_终止)响应消息。
步骤F7.当对等体上的MIHF接收到MIH_Pre-authentication_Termination响应消息时,其向对等体上的MIH用户返回MIH_Pre-authentication_Termination.Confirm(MIH_预先认证_终止.确认)原语。
预先认证远程原语:
在一些优选实施例中,对应于在以上的图9-14中所示出的功能性的原语可以包括在以下段落中所阐述的特征。就此而言,原语涉及例如对功能的概念性表示,在相同的通信节点内可以跨协议层调用这些功能-例如,像从上层对其进行调用以便触发消息交换。
1、预先认证远程事件原语:
MIH_Pre-authentication_initiation.{Request,Indication}(MIH_预先认证_发起.{请求,指示})。
在一些实施例中,可以采用这样的原语,其中使用以下参数:
-源标识符:MN或CA的MIHF-ID。
-目的地标识符:SA或CA的MIHF-ID。
-SID:会话ID。
-MN-MIHF-ID:MN的MIHF-ID(如果与源标识符不同的话)。
-CA-MIHF-ID:CA的MIHF-ID(如果与目的地标识符不同的话)。
2、预先认证远程命令原语:
MIH_Pre-authentication.{Request,Indication}(MIH_预先认证.{请求,指示})。
在一些实施例中,可以采用这样的原语,其中使用以下参数:
-源标识符:MN或SA的MIHF-ID。
-目的地标识符:SA或CA的MIHF-ID。
-SID:会话ID。
-结果:{成功,失败}:仅当CA发布请求原语并且完成EAP认证时才含有。
-EAP:EAP消息。
-MN-MIHF-ID:MN的MIHF-ID(如果与源标识符不同的话或者在会话ID被分派之前)。
-CA-MIHF-ID:CA的MIHF-ID(如果与目的地标识符不同的话)。
-Lifetime(生存期):预先认证会话的生存期。
-IC(完整性校验和)。
3、预先认证远程命令:
MIH_Pre-authentication_{Response,Confirm}(MIH_预先认证_{响应,确认})
在一些实施例中,就此而言,采用以下参数:
-源标识符:CA或SA的MIHF-ID。
-目的地标识符:MN或SA的MIHF-ID。
-SID:会话ID。
-EAP:EAP消息。
-IC(完整性校验和)。
4、预先认证远程命令:
MIH_Pre-authentication_Termination{Request,Indication}(MIH_预先认证_终止_{请求,指示})
在一些实施例中,就此而言,采用以下参数:
-源标识符:MN、CA或SA的MIHF-ID。
-目的地标识符:MN、CA或SA的MIHF-ID。
-SID:会话ID。
-IC(完整性校验和)。
本发明的宽泛范围:
虽然文中已描述了本发明的说明性实施例,但是,本发明并不限于文中所描述的各种优选实施例,而是包括本领域的技术人员基于本发明公开将会理解的具有等效元件、修改、省略、(例如跨各种实施例的各方面的)组合、调适和/或变换的任何和所有的实施例。权利要求(例如,包括后来将要增加的)中的限制应当基于权利要求中所采用的语言来进行广泛地解释,而不限于在本发明说明书中或者在本申请的审查期间所描述的例子,所述例子应当被解释为是非排它性的。例如,在本发明公开中,术语“优选地”是非排它性的,并且意味着“优选地,但不限于”。在本发明公开中并且在本申请的审查期间,当对于特定权利要求限制来说,所有以下的条件均出现在该限制中时,将仅采用装置加功能或步骤加功能的限制:a)“用于......的装置”或“用于......的步骤”被特别阐述;b)对应的功能被特别阐述;以及c)结构、材料或行为(其支持该结构)未被阐述。在本发明公开中并且在本申请的审查期间,术语“本发明”或“发明”可以被用作对本发明公开内的一个或多个方面的引用。语言“本发明”或“发明”不应当被不适当地解释为对关键程度的标识,不应当被不适当地解释为跨所有方面或实施例来加以应用(即,应当理解本发明具有很多方面和实施例),并且不应当被不适当地解释为限制本申请或权利要求的范围。在本发明公开中和在本申请的审查期间,术语“实施例”可以被用来描述任何方面、特征、过程或步骤、其任何组合和/或其任何部分等。在一些例子中,各种实施例可以包括重叠的特征。在本发明公开中,可以采用以下缩写的术语:“例如”意味着“举例来说”。

Claims (18)

1.一种用于在从服务认证器切换到目标认证器期间对移动节点的介质无关的切换(MIH)预先认证的方法,所述方法包括:
在单个协议中集成介质无关的切换信令和网络接入认证信令;
导出介质无关的PMK(MI-PMK)和介质特定的PMK(MS-PMK);
使认证器持有由EAP生成的主会话密钥(MSK);
使用所述MSK来导出介质无关的成对主密钥(MI-PMK);以及
当所述移动节点切换到其已进行预先认证的目标认证器时,使用从所述介质无关的PMK(MI-PMK)导出的介质特定的PMK(MS-PMK)来运行介质特定的安全关联协议。
2.根据权利要求1的方法,其中,所述单个协议涉及802.21MIH协议。
3.根据权利要求1的方法,其进一步包括:实现网络发起的直接预先认证。
4.根据权利要求3的方法,其中,所述实现网络发起的直接预先认证包括:从服务认证器向候选认证器传输MIH预先认证发起指示消息,从所述候选认证器向移动节点传输MIH预先认证请求消息,以及从所述移动节点向所述候选认证器传输MIH预先认证响应消息。
5.根据权利要求1的方法,其进一步包括:实现移动台发起的直接预先认证。
6.根据权利要求5的方法,其中,所述实现移动台发起的直接预先认证包括:使移动节点向服务认证器传输MIH预先认证发起指示,以及使所述服务认证器向候选认证器传输MIH预先认证发起指示消息。
7.根据权利要求1的方法,其进一步包括:实现网络发起的间接预先认证。
8.根据权利要求7的方法,其中,所述实现网络发起的间接预先认证包括:使候选认证器向所述服务认证器传输MIH预先认证请求消息,以及使所述服务认证器向移动节点传输MIH预先认证请求消息。
9.根据权利要求1的方法,其进一步包括:实现移动台发起的间接预先认证。
10.根据权利要求9的方法,其中,所述实现移动台发起的间接预先认证包括:使移动节点向服务认证器传输MIH预先认证发起指示消息,以及使所述服务认证器向候选认证器传输MIH预先认证发起指示。
11.根据权利要求1的方法,其进一步包括:实现所述介质无关的切换(MIH)预先认证用于链路层协议间切换。
12.根据权利要求1的方法,其进一步包括:采用单个认证器来服务于多种接入技术。
13.根据权利要求1的方法,其进一步包括:在运行预先认证以前,实现所述移动节点向所述服务认证器的MIH注册。
14.根据权利要求1的方法,其进一步包括:实现移动台发起的预先认证,以及使服务认证器向所述移动节点预定预先认证发起事件。
15.根据权利要求1的方法,其进一步包括:在单个协议中集成介质无关的切换信令和网络接入认证信令。
16.根据权利要求15的方法,其中,所述单个协议涉及802.21MIH协议。
17.一种用于在从服务认证器切换到目标认证器期间对移动节点的介质无关的切换(MIH)预先认证的系统,所述系统包括:
用于在单个协议中集成介质无关的切换信令和网络接入认证信令的装置;
用于导出介质无关的PMK(MI-PMK)和介质特定的PMK(MS-PMK)的装置;
用于使认证器持有由EAP生成的主会话密钥(MSK)的装置;
用于使用所述MSK来导出介质无关的成对主密钥(MI-PMK)的装置;以及
用于当所述移动节点切换到其已进行预先认证的目标认证器时,使用从所述介质无关的PMK(MI-PMK)导出的介质特定的PMK(MS-PMK)来运行介质特定的安全关联协议的装置。
18.根据权利要求17的系统,其中,所述单个协议涉及802.21MIH协议。
CN2008800005296A 2007-06-08 2008-06-09 Mih预先认证 Active CN101542967B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US94288007P 2007-06-08 2007-06-08
US60/942,880 2007-06-08
US12/135,194 2008-06-08
US12/135,194 US8036176B2 (en) 2007-06-08 2008-06-08 MIH pre-authentication
PCT/JP2008/060922 WO2008153164A2 (en) 2007-06-08 2008-06-09 Mih pre-authentication

Publications (2)

Publication Number Publication Date
CN101542967A CN101542967A (zh) 2009-09-23
CN101542967B true CN101542967B (zh) 2013-04-17

Family

ID=40076771

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008800005296A Active CN101542967B (zh) 2007-06-08 2008-06-09 Mih预先认证

Country Status (7)

Country Link
US (1) US8036176B2 (zh)
EP (1) EP2160862B1 (zh)
JP (1) JP5211155B2 (zh)
KR (1) KR101124092B1 (zh)
CN (1) CN101542967B (zh)
CA (1) CA2690184C (zh)
WO (1) WO2008153164A2 (zh)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8576795B2 (en) 2007-03-16 2013-11-05 Qualcomm Incorporated Method and apparatus for handoff between source and target access systems
US9049629B2 (en) * 2007-06-18 2015-06-02 Qualcomm Incorporated Method and apparatus for fast inter-system handover
KR100986141B1 (ko) * 2007-06-29 2010-10-07 삼성전자주식회사 광대역 무선통신 시스템의 핸드오버 지원 장치 및 방법
KR101490243B1 (ko) * 2007-07-10 2015-02-11 엘지전자 주식회사 이종망간 핸드오버시 빠른 보안연계 설정방법
EP2091204A1 (en) * 2008-02-18 2009-08-19 Panasonic Corporation Home agent discovery upon changing the mobility management scheme
EP2319266B1 (en) * 2008-09-01 2016-06-29 Nec Corporation Method for supporting quality of service mechanisms during a handover process or in preparation of a handover process
US8990569B2 (en) * 2008-12-03 2015-03-24 Verizon Patent And Licensing Inc. Secure communication session setup
KR101556906B1 (ko) 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
CN101841811B (zh) 2009-03-18 2013-04-17 华为技术有限公司 一种预认证方法、设备及系统
EP2750426A1 (en) 2009-04-07 2014-07-02 Togewa Holding AG Method and system for authenticating a network node in a UAM-based walled garden network
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment
US8505076B2 (en) * 2009-05-03 2013-08-06 Kabushiki Kaisha Toshiba Proactive authentication
WO2010131896A2 (en) * 2009-05-11 2010-11-18 Samsung Electronics Co., Ltd. Method and system for optimizing authentication procedures in media independent handover services
US8812833B2 (en) 2009-06-24 2014-08-19 Marvell World Trade Ltd. Wireless multiband security
US8391283B2 (en) * 2009-07-09 2013-03-05 Yehuda Zisapel System and method for obtaining physical location information for networked devices
US8619735B2 (en) * 2009-07-16 2013-12-31 Blackberry Limited Methods and apparatus to register with external networks in wireless network environments
US8560848B2 (en) 2009-09-02 2013-10-15 Marvell World Trade Ltd. Galois/counter mode encryption in a wireless network
CN102014482A (zh) * 2009-09-04 2011-04-13 株式会社日立制作所 无线通信系统和方法
CN102035802B (zh) * 2009-09-28 2013-08-14 华为终端有限公司 一种认证控制的方法,认证服务器和系统
US8839372B2 (en) * 2009-12-23 2014-09-16 Marvell World Trade Ltd. Station-to-station security associations in personal basic service sets
US8644276B2 (en) 2010-05-13 2014-02-04 Research In Motion Limited Methods and apparatus to provide network capabilities for connecting to an access network
US8467359B2 (en) 2010-05-13 2013-06-18 Research In Motion Limited Methods and apparatus to authenticate requests for network capabilities for connecting to an access network
US8665842B2 (en) 2010-05-13 2014-03-04 Blackberry Limited Methods and apparatus to discover network capabilities for connecting to an access network
CN101980577B (zh) * 2010-10-12 2015-06-03 中兴通讯股份有限公司 一种支持多种方式接入的带路由功能的移动终端及其实现方法
CN103079201B (zh) * 2011-10-26 2015-06-03 中兴通讯股份有限公司 无线局域网的快速认证方法、ac及系统
US8755385B2 (en) 2012-05-03 2014-06-17 Itron, Inc. Authentication using DHCP services in mesh networks
US9591525B2 (en) 2012-05-03 2017-03-07 Itron Global Sarl Efficient device handover/migration in mesh networks
EP2661112A1 (en) * 2012-05-03 2013-11-06 Itron, Inc. Authentication using DHCP Services in Mesh Networks
EP2773144A1 (en) * 2013-03-01 2014-09-03 Thomson Licensing Method of diagnosis of degradation in a heterogeneous network using a neighbour network
US10608985B2 (en) * 2015-08-14 2020-03-31 Oracle International Corporation Multihoming for tunneled encapsulated media
US10165608B2 (en) 2016-06-02 2018-12-25 Cisco Technology, Inc. System and method to provide fast mobility in a residential Wi-Fi network environment
US11388145B2 (en) 2016-09-12 2022-07-12 Telefonaktiebolaget Lm Ericsson (Publ) Tunneling data traffic and signaling over secure etls over wireless local area networks
CN112492597B (zh) * 2020-12-14 2023-03-24 中国联合网络通信集团有限公司 一种认证方法及装置
CN115242490B (zh) * 2022-07-19 2023-09-26 北京计算机技术及应用研究所 一种可信环境下群密钥安全分发方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1943211A (zh) * 2005-02-04 2007-04-04 株式会社东芝 与介质无关的预认证的架构

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7710923B2 (en) * 2004-05-07 2010-05-04 Interdigital Technology Corporation System and method for implementing a media independent handover
US7738882B2 (en) * 2005-06-13 2010-06-15 Toshiba America Research, Inc. Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback
WO2007056042A1 (en) * 2005-11-04 2007-05-18 Interdigital Technology Corporation Media independent handover application server for facilitating seamless integration of multi-technology networks
US9100879B2 (en) * 2006-05-12 2015-08-04 Alcatel Lucent Event context transfer in a heterogeneous communication system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1943211A (zh) * 2005-02-04 2007-04-04 株式会社东芝 与介质无关的预认证的架构

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
draft-nakhjiri-hokey-hierarchy-03》.《IETF》.2007, *
IEEE 802.21 MEDIAN INDEPENDENT HANDOVER PLENARY SESSION.《Handover security in a heterogeneous Access Environment IETF HOKEY-IEEE 802.21 Integration》.《IEEE》.2007, *
IETF STANDARD-WORKING-DRAFT.《A keying Hierarchy for Managing Wireless Handover Security *

Also Published As

Publication number Publication date
WO2008153164A2 (en) 2008-12-18
JP5211155B2 (ja) 2013-06-12
EP2160862B1 (en) 2016-04-06
CA2690184A1 (en) 2008-12-18
EP2160862A2 (en) 2010-03-10
KR20090094799A (ko) 2009-09-08
US8036176B2 (en) 2011-10-11
WO2008153164A3 (en) 2009-02-19
JP2010530159A (ja) 2010-09-02
US20080310366A1 (en) 2008-12-18
KR101124092B1 (ko) 2012-03-20
CA2690184C (en) 2014-01-14
CN101542967A (zh) 2009-09-23

Similar Documents

Publication Publication Date Title
CN101542967B (zh) Mih预先认证
CN1943211B (zh) 与介质无关的预认证的架构
EP2092683B1 (en) Key caching, qos and multicast extensions to media-independent pre-authentication
JP5728543B2 (ja) 媒体非依存事前認証改善策のフレームワーク
JP5641986B2 (ja) 媒体非依存事前認証改善策のフレームワーク
JP2008146632A (ja) キーキャッシング、QoSおよびメディア独立事前認証のマルチキャスト拡張

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210810

Address after: Tokyo, Japan

Patentee after: Toshiba Corp.

Patentee after: Trachia Legaci Co.,Ltd.

Address before: Tokyo, Japan

Patentee before: Toshiba Corp.

Patentee before: TELCORDIA TECH Inc.

Effective date of registration: 20210810

Address after: Tokyo, Japan

Patentee after: Toshiba Corp.

Address before: Tokyo, Japan

Patentee before: Toshiba Corp.

Patentee before: Trachia Legaci Co.,Ltd.

TR01 Transfer of patent right