CN102244868A - 用于控制访问请求的移动网络管理设备和移动信息管理设备 - Google Patents
用于控制访问请求的移动网络管理设备和移动信息管理设备 Download PDFInfo
- Publication number
- CN102244868A CN102244868A CN2011102295244A CN201110229524A CN102244868A CN 102244868 A CN102244868 A CN 102244868A CN 2011102295244 A CN2011102295244 A CN 2011102295244A CN 201110229524 A CN201110229524 A CN 201110229524A CN 102244868 A CN102244868 A CN 102244868A
- Authority
- CN
- China
- Prior art keywords
- access request
- network
- mobile
- home network
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2816—Controlling appliance services of a home automation network by calling their functionalities
- H04L12/2818—Controlling appliance services of a home automation network by calling their functionalities from a device located outside both the home and the home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/005—Moving wireless networks
Abstract
本发明公开一种技术,能够基于由用户设置的各种安全策略,适当地执行有关从访问者节点发送分组的访问控制。根据该技术,用于管理移动PAN30的MR 10(移动路由器)确定来自连接到移动个人区域网络的通信终端的分组的发送方是否是被允许直接访问归属网络的归属用户节点,或者访问者节点(VN 31),并在从访问者节点向位于DMZ 35中的策略服务器36转发分组的同时,从归属用户节点向HA20转发该分组。这使得策略服务器基于安全策略36a,而对来自试图获得对归属网络的访问的访问者节点的每个分组执行访问控制。
Description
本申请是以下专利申请的分案申请:
申请号:200680049365.7
申请日:2006年12月26日
发明名称:用于控制访问请求的移动网络管理设备和移动信息管理设备
发明领域
本发明涉及移动网络管理设备和移动信息管理设备,其使用移动通信网络来执行通信,并且,具体地,涉及这样的移动网络管理设备和移动信息管理设备,其执行访问控制,以改进个人移动通信网络和归属网络(homenetwork)的安全性。
背景技术
网络移动性的概念允许即使在用户离开他们的家时(在家外)也能够联系到他们。
允许获得这样的行为(action)的一种典型技术是:使用在“‘IPv6中的移动性支持’,Internet Engineering Task Force Request For Comments 3775,2004年6月”中定义的移动IP的技术(在下文中为“非专利文献1”)。
通过使用移动IP技术,即使当用户从其通信线缆连接上拔下移动装置时,连接性也能够从用户的归属DSL线路(线缆连接)转移到蜂窝式访问系统(无线连接)。从线缆连接向无线连接的切换可以允许用户继续下载文件、或者进行基于IP的语音(VoIP)会话。
因此,用户能够携带移动装置来回移动,并且,即使当用户离开家时,也能够通过切换到无线连接点来保持无缝的网络连接性。
此外,用户能够形成移动个人区域网络(PAN),并且,在到处旅行的同时保持无缝的网络连接性。获得类似于PAN的这样的网络移动性的一种典型技术可以是在“网络移动性(NEMO)基本支持协议”,Internet Engineering TaskForce Request For Comments 3963,2005年1月中所定义的网络移动性(NEMO)(在下文中为“非专利文献2”)。
移动PAN中的节点能够通过经由被置于移动PAN中的移动路由器(MR)、来路由它们所针对的(intended)数据流量,而与其它全局节点通信。
MR向归属代理(HA,移动信息管理设备)注册它的当前位置地址,其也被称为转交地址(Care-of-Address,CoA)。归属代理(HA)用作用户的归属网络内的路由器,且截取以移动节点的归属地址为目的地的分组、封装该分组、且以隧道的方式将所封装的分组发送到所注册的移动节点的CoA。
在NEMO中,当MR位于外部链接(foreign link)上时,在MR和HA之间建立双向隧道,以允许在彼此之间经由该双向隧道发送分组。正如在非专利文献2中所描述的,经由该双向隧道发送源自且终止于移动PAN的每个流量。
用户可以授权外部节点在用户的移动PAN内操作。在下文中,该外部节点被称作“访问者节点(VN)”。
用户可以授权VN访问位于用户的归属网络内的数据(例如,存在于用户的归属媒体服务器上的音乐文件)。在这种情况下,在允许VN访问用户的归属网络之前,应该配置VN必须遵循的各种安全策略。
位于DMZ(De-Militarized Zone,非军事区)的策略服务器(安全管理设备,其处于用户的归属网络和外部网络之间)中能够为VN实现在“Benchmarking Terminology for Firewall Performance”,Internet EngineeringTask Force Request For Comments 2647,1999年8月(在下文中为“非专利文献3”)中定义的安全策略。DMZ处于用户的归属域和全球因特网之间。
美国专利申请公开号2004-0120295(在下文中为“专利文献1”)建议了一种方法,其允许位于归属网络内的通信对端节点(correspondent node,CN)与附连于外部链路的移动节点(MN)建立安全通信信道。
移动IP代理连同位于DMZ中的VPN(Virtual Private Network,虚拟私有网络)服务器一起将允许MN和CN在它们之间建立安全隧道。
根据在非专利文献3中所公开的技术,由于在MR和HA中通过隧道发送移动PAN内的每个流量,所以,VN的分组将绕过(bypass)DMZ内的策略服务器,并且,因此,将不会实现已经由用户设置的各种安全策略。
然而,在专利文献1所公开的技术中,移动IP代理扮演对于MN的替代(surrogate)HA,以及对于HA的替代MN。这意味着:移动IP代理需要具有MN和HA两者的安全关联密钥的知识。专利文献1的技术还没有考虑到在位于外部网络的MR的控制之下的所连接的VN的访问控制。
发明内容
考虑到前述问题,本发明的目的在于,提供这样的网络管理设备和移动信息管理设备,其能够:基于由归属用户针对于从访问者节点(VN)发送的分组而设置的各种安全策略,确切地执行访问控制。
为了达到这样的目的,根据本发明,提供了一种用于控制移动网络、且随着移动网络而移动的移动网络管理设备,包括:
访问请求接收单元,用于从连接到移动网络的通信终端接收对移动网络管理设备的归属网络的访问请求;
确定单元,用于确定是否允许已发送了由访问请求接收单元所接收的访问请求的通信终端执行对归属网络的直接访问;
归属网络通信单元,用于当允许已发送了该访问请求的通信终端执行对归属网络的直接访问时,向存在于归属网络中的移动信息管理设备转发该访问请求;以及
安全网络通信单元,用于当不允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向位于安全网络中的安全管理设备转发该访问请求,并执行对归属网络的访问控制,其中,该安全网络位于归属网络和外部网络之间。
通过上面的结构,能够识别连接到移动网络的访问者节点(VN),且安全管理设备(策略服务器)能够执行访问控制,以管理访问者节点获得访问归属网络的权限。
此外,除了该结构,配置本发明的移动网络管理设备,以包括:
通信终端指定单元,用于指定在该通信终端连接到该移动网络的时刻,是否允许该通信终端执行对该归属网络的直接访问;以及
信息存储单元,用于存储指示是否允许该通信终端执行对该归属网络的直接访问的信息,
其中,通过参考存储于信息存储单元中的信息,确定单元确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构可以存储指示在节点被连接到移动网络的时间点上、该节点是否为访问者节点的信息,并通过使用该信息而识别已产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动网络管理设备包括:
前缀(prefix)通知单元,用于将不同地址的前缀分别通知给允许执行对归属网络的直接访问的通信终端、以及不允许执行对归属网络的直接访问的通信终端,
其中,通过参考该访问请求的发送方的地址的前缀,所述确定单元确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构允许被分配给访问者节点的地址的前缀不同于归属用户的节点的地址的前缀,从而使得有可能通过参考已产生访问请求的发送方的地址的前缀,而识别已经产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动网络管理设备包括:
第一隧道传送单元,其形成与移动信息管理设备的隧道,以及当归属网络通信单元转发该访问请求时,第一隧道传送单元封装该访问请求;以及
第二隧道传送单元,其形成与安全管理设备的隧道,以及当安全网络通信单元转发该访问请求时,第二隧道传送单元封装该访问请求。
该结构允许移动网络管理设备(移动路由器)在安全状态下,将从移动网络管理设备(移动路由器)控制下的通信终端接收的访问请求转发到移动信息管理设备(归属代理)或者安全管理设备(策略服务器),而不改变该访问请求。
为了达到这样的目的,根据本发明,提供一种用于控制移动网络、且随着移动网络移动的移动网络管理设备,包括:
访问请求接收单元,用于从连接到移动网络的通信终端接收对移动网络管理设备的归属网络的访问请求;
确定单元,用于确定是否允许已发送了由访问请求接收单元所接收的访问请求的通信终端执行对归属网络的直接访问;
信息添加单元,用于向访问请求添加索引信息,其指示是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问;以及
归属网络通信单元,用于向存在于归属网络中的移动信息管理设备转发具有由信息添加单元对其添加的索引信息的访问请求。
该结构使得有可能通过向从访问者节点到归属网络的访问请求添加索引信息、而识别连接到移动网络的访问者节点(VN)。索引信息的存在指示:该访问请求是从访问者节点产生的。
此外,除了该结构,本发明的移动网络管理设备包括:
通信终端指定单元,用于指定在该通信终端连接到该移动网络的时刻,是否允许该通信终端执行对该归属网络的直接访问;以及
信息存储单元,用于存储指示是否允许该通信终端执行对该归属网络的直接访问的信息,
其中,通过参考存储于信息存储单元中的信息,确定单元确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构可以存储指示在节点被连接到移动网络的时间点上、该节点是访问者节点的信息。该信息也允许用来识别已产生访问请求的通信终端是否为访问者节点的手段。
此外,除了该结构,本发明的移动网络管理设备包括:
前缀通知单元,用于将不同地址的前缀分别通知给允许执行对归属网络的直接访问的通信终端和不允许执行对归属网络的直接访问的通信终端,
其中,通过参考该访问请求的发送方的地址的前缀,所述确定单元确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问。
该结构允许:访问者节点和归属用户的节点为归属网络中的通信单元使用不同的地址前缀。因此,这使得有可能通过参考地址中所使用的前缀、而识别已经产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动网络管理设备包括:
隧道传送单元,其形成与移动信息管理设备的隧道,并且,当归属网络通信单元转发该访问请求时,该隧道传送单元封装该访问请求。
该结构能够允许移动网络管理设备(移动路由器)在安全状态下,将从在移动网络管理设备(移动路由器)控制下的通信终端接收的访问请求转发到移动信息管理设备(归属代理),而不改变该访问请求。
为了达到该目的,根据本发明,提供一种移动信息管理设备,其执行对试图直接访问归属网络的通信终端的移动管理,包括:
分组接收单元,其从控制移动网络、且随着移动网络而移动的移动网络管理设备接收封装的分组;
解封装单元,用于解封装所述封装的分组;
确定单元,用于当解封装的内部分组是对归属网络的访问请求时,通过参考该内部分组中的发送方的地址的前缀,确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问;
归属网络通信单元,用于当允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向由内部分组的目的地地址指定的目的地转发该访问请求;以及
安全网络通信单元,用于当不允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向位于安全网络中的安全管理设备转发该访问请求,并执行对归属网络的访问控制,其中,该安全网络位于归属网络和外部网络之间。
利用该结构,在分配地址的前缀、以便将允许对归属网络执行直接访问的通信终端与不允许对归属网络执行直接访问的通信终端区分的情况下,移动信息管理设备(归属代理)能够通过参考已经产生访问请求的发送方的地址的前缀,而识别已经产生访问请求的通信终端是否是访问者节点。
为了达到该目的,根据本发明,提供一种移动信息管理设备,其执行对试图直接访问归属网络的通信终端的移动管理,包括:
分组接收单元,从控制移动网络、且随着移动网络而移动的移动网络管理设备接收封装的分组;
解封装单元,用于解封装所述封装的分组,并获得添加到所封装的首标、并指示是否允许解封装的内部分组的发送方执行对归属网络的直接访问的索引信息;
确定单元,用于当解封装的内部分组是对归属网络的访问请求时,通过该内部分组中的参考索引信息,确定是否允许已发送了该访问请求的通信终端执行对该归属网络的直接访问;
归属网络通信单元,用于当允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向由内部分组的目的地地址指定的目的地转发该访问请求;以及
安全网络通信单元,用于当不允许已发送了该访问请求的通信终端执行对该归属网络的直接访问时,向位于安全网络中的安全管理设备转发该访问请求,并执行对归属网络的访问控制,其中,该安全网络位于归属网络和外部网络之间。
利用该结构,在使用添加到访问请求的索引信息,以便区分是否允许该通信终端执行对该归属网络的直接访问的情况下,所述移动信息管理设备(归属代理)能够通过参考索引信息,识别已经产生访问请求的通信终端是否为访问者节点。
此外,除了该结构,本发明的移动信息管理设备包括:
隧道传送单元,其形成与安全管理设备的隧道,并且,当安全网络通信单元转发该访问请求时,该隧道传送单元封装该访问请求。
该结构能够允许移动网络管理设备(移动路由器)在安全状态下,转发从安全管理设备(策略服务器)控制下的通信终端接收的访问请求,而不改变访问请求。
具有上述结构的本发明具有优势,以使得有可能基于由归属用户设置的针对于从访问者节点(VN)发送的分组的各种安全策略,确保访问控制的适当执行。
附图说明
图1是图解根据本发明的优选实施例的移动路由器(MR)的配置的优选示例的图;
图2是图解根据本发明的优选实施例的归属代理(HA)的配置的优选示例的图;
图3是图解根据本发明的优选实施例的通信系统的图;
图4A是图解根据本发明的优选实施例的、归属代理(HA)如何向移动路由器(MR)通知与在非军事区域(DMZ)内的策略服务器有关的信息的一个示例的顺序图;
图4B是图解根据本发明的优选实施例、归属代理(HA)如何向移动路由器(MR)通知与在非军事区域(DMZ)内的策略服务器有关的信息的另一个示例的顺序图;
图5是图解根据本发明的优选实施例的向访问者节点(VN)传输文件的过程的一个示例的顺序图;
图6是图解根据本发明的优选实施例的、用于标记分组以在来自归属用户节点的分组和来自访问者节点(VN)的分组之间进行区分的分组结构的一个示例的图;以及
图7是图解根据本发明的优选实施例的从访问者节点(VN)传输文件请求的过程的一个示例的顺序图。
具体实施方式
下面将参考附图描述本发明的优选实施例。首先,将说明根据本发明的一个实施例的移动路由器的配置。图1是图解根据本发明的一个实施例的移动路由器(MR)的配置的优选示例的图。
图1中所示的MR 10包括访问接口11,其允许MR 10向其它节点传送分组、以及从其它节点接收分组。作为示例,访问接口11可以是Wi-Fi(WirelessFidelity,无线保真)、蓝牙(注册商标)、或者蜂窝(蜂窝式电话),但不仅仅限定为这些接口。访问接口11经由路径15,向/从处理器12发送/接收分组。
MR 10还包括处理器12,其处理传入(incoming)和传出(outgoing)的分组。处理器12执行形成双向隧道的过程、以及产生对MR 10的绑定更新的过程。另外,处理器12执行对从它的归属代理接收的绑定应答(bindingacknowledgements)的过程、以及更新存储于数据存储装置14中的绑定更新列表的过程。
当需要安全密钥时,经由路径16,处理器12向位于MR 10内的密钥产生器13发送信号。当该密钥产生器13接收到该信号时,该密钥产生器13产生处理器12所需的密钥,并经由路径16向处理器12发送该密钥。
该MR 10也包括数据存储装置14,其存储MR 10所需的信息。该数据存储装置14经由路径17连接到处理器12,其向/从数据存储装置14存储/读取信息。作为示例,存储于数据存储装置14中的信息可以是归属地址(homeaddress)的前缀(在下文中,其也可以被称作归属地址前缀)、绑定更新列表、或者移动网络的前缀,但并不限于那些信息。
图2是图解根据本发明的优选实施例的归属代理(HA)的配置的优选示例的图。
示于图2中的HA 20包括访问接口21,其允许HA 20向其它节点传送分组,或从其它节点接收分组。访问接口21可以是以太网(注册商标)、Wi-Fi或者蜂窝(蜂窝式电路),但并不限定于那些接口。访问接口21经由路径25向/从处理器22发送/接收分组。
位于HA 20中的处理器22具有诸如处理从路径25传入和传出的分组、以及形成双向隧道的功能。该HA20还具有处理从MR 10发送的绑定更新消息、经由路径27更新存储于数据存储装置14中的绑定更新缓存、以及向MR10发送绑定确认的功能。
该HA20还具有密钥产生器23,其一旦经由路径26从处理器22接收到信号,便产生必要的密钥,并经由路径26将所述密钥发送到处理器22。
该HA 20还具有数据存储装置24,其存储HA 20所需要的信息。作为示例,存储于数据存储装置24的信息可以是归属地址前缀、绑定更新缓存、或者移动网络前缀,但并不限于那些信息。
接下来,将解释根据本发明的优选实施例的通信系统的概览。图3是图解根据本发明的优选实施例的通信系统的一个示例的图。在图3所显示的通信系统中,移动个人区域网络(PAN)30包括访问者节点(VN)31,其作为移动PAN 30的外部节点而活动。该VN 31可以是移动节点或固定节点。
移动PAN 30还包括移动路由器(MR)10,其路由移动PAN 30内的所有流量。在该实施例中,当MR 10执行与通信对端节点(CN)(未在该系统中示出)的路径优化时,MR 10可以直接向CN发送分组,但将向归属代理20(HA)路由移动PAN 30内的所有流量.
该VN 31被连接到移动路由器(MR)10,且将被授权在移动PAN 30内工作。
该MR 10和HA 20通过访问系统32建立双向隧道37a,以允许在它们之间路由流量。访问系统32可以是、但不限于因特网、蜂窝式网络等等。
该MR 10和策略服务器36为了在彼此之间路由流量,而通过访问系统32建立另一个双向隧道37c。例如,如将在后面描述的那样,在MR 10向策略服务器36转发分组的模式中,需要该双向隧道37c,而在MR 10只向HA 20转发分组的模式中,不需要建立该双向隧道37c。
归属网络33包括HA 20,HA 20向其转发所有目的地为MR 10的分组,因此,即使当MR 10不在归属网络33中时,也允许MR 10保持为可到达。
该HA 20维持当前的转交地址(CoA)的更新,并建立到MR 10的双向隧道37a,以便路由流量。另外,该HA20与策略服务器36通信,以便向彼此路由流量。此外,HA20可以与策略服务器36建立双向隧道37b。
归属网络33还包括媒体服务器34。媒体服务器34包括归属用户的VN 31想要获得访问的数据34a。数据34a可以是音频文件或视频文件等等,但并不限于那些文件类型。
为了改进归属网络的33的安全级别,向归属网络33提供DMZ(De-Militarized Zone)35。该DMZ 35包括策略服务器36,其包括将对来自VN 31的数据分组的接收起作用的安全策略36a。
策略服务器36可以是位于DMZ 35中的一个或多个服务器,但并不限于该结构。该策略服务器36可以具有防火墙网关的功能。该安全策略36a具有扩展标记语言的格式(XML),但并不限于此,此外,该安全策略36a可以是用户实现的策略,但并不限于此。
当MR 10在归属网络33内时,该MR 10执行从HA 20获取一个归属地址前缀或多个归属地址前缀、以确定MR 10的归属地址的操作。在这种情况中,一旦MR 10获得该归属地址前缀,该MR 10便使用无国籍(stateless)地址自动配置,以配置唯一的归属地址,并向HA 20注册所述唯一的归属地址。可通过例如人工预设的任意方法设置MR 10的归属地址。
一旦该MR 10已经成功地配置其归属地址,该MR 10便能够在移动PAN30内广播从HA20中所获得的一个归属地址前缀、或多个归属地址前缀。随后,连接到MR 10的节点能够使用所广播的前缀来配置它们的唯一的归属地址。连接到MR 10的节点可以是访问者节点(VN)31、或者归属用户节点,但并不限于此。正如随后所讨论的,此时,MR 10可以向归属用户节点、固定于移动个人区域网络PAN 30中的本地固定节点(LFN)、以及作为访问控制的目标的VN 31分配不同的前缀。
当MR 10离开归属网络33、且被连接到外部链路时,该MR 10从所连接的AR(Access Router,访问路由器)获得转交地址(CoA)。
一旦该MR 10已成功地获得CoA,该MR 10便尝试通过执行安全关联(security association)而与HA 20建立双向隧道。在MR 10和HA 20之间建立安全关联的方法可以是但不限于因特网密钥交换(IKE)。
一旦已建立了该MR 10和HA 20之间的安全关联,该MR 10随后便将执行向HA 20发送绑定更新(BU)消息、以更新当前点的地址的过程。
在更新其BU缓存之前,该HA 20检查BU消息是否是来自有效的归属用户。随后,HA 20将把该MR 10的唯一的归属地址与MR 10的当前的CoA相关联。
一旦已建立了所述双向隧道37a,该HA 20便将把关于DMZ 35内的策略服务器36的信息转发到MR 10。参考图4A和图4B,将讨论所述HA 20如何将关于DMZ 35内的策略服务器36的信息通知给移动路由器。与图4A和图4B相关的过程是:MR 10获得用来与策略服务器36建立双向隧道37c的信息(关于策略服务器36的信息)。这些步骤是可选的,并且,当MR 10预先包含关于策略服务器36的信息时、或者当不需要建立双向隧道37c时,不需要执行这些步骤。
图4A示出了图解根据本发明的优选实施例的、HA 20如何向移动路由器通知与在DMZ 35内的策略服务器36有关的信息的一个示例的顺序图。
在图4A中,当MR 10向HA 20注册当前CoA时,该HA 20将向MR 10转发DMZ 35中的关于策略服务器36的信息(在图4A中描述为PS Info)(步骤S40)。关于策略服务器36的信息是策略服务器36的地址、或者安全关联密钥,但并不限于那些信息。该地址可以是但不限于IP地址。
该MR 10在数据存储装置14中存储策略服务器36的地址,并通过确认(在图4A中描述为Ack)来回复HA 20(步骤S41)。此时,该MR 10可以使用安全关联密钥而与策略服务器36形成双向隧道37c。
图4A示出了图解根据本发明的优选实施例的、HA 20如何向移动路由器通知与在DMZ 35内的策略服务器36有关的信息的另一个示例的顺序图。
在图4B中,该HA 20保持且周期地更新DMZ 35内的可用策略服务器36的列表。策略服务器36的列表被存储于数据存储装置24内。因此,当存在多个策略服务器36时,这将允许HA20执行多个策略服务器之间的负载平衡(load balancing)。
该MR 10向HA20发送针对有关策略服务器36的信息(在图4B中描述为PS Info)的请求(步骤S42)。该HA 20处理该请求(步骤S43),并通过参考策略服务器36的列表,检查哪个策略服务器36是可用的。
一旦该HA 20决定将处理MR 10的分组的该策略服务器36,该HA 20便将对MR 10作出响应。由于接下来的过程与图4A中所示的步骤40和41相同,所以,将略去它们的描述。
访问者节点(VN)31是移动PAN 30外部的节点。当该VN 31进入该移动PAN 30时,该VN 31通过与MR 10通信,而尝试连接到移动PAN 30。
该VN 31从MR 10接收RA(Router Advertisement,路由器广告),其包括可由移动PAN 30使用的归属前缀。该MR 10可以向VN 31分配与分配给归属用户的节点的归属前缀不同的归属前缀(VN 31的前缀)。该VN 31可向MR 10发送RS(Router Solicitation,路由器恳求)请求,以获得该归属前缀。在获得该归属前缀之后,该VN 31配置有效地址,以在移动PAN 30内操作。
当该VN 31首先请求由MR 10所提供的路由服务时,该MR 10执行验证该VN 31的过程。VN 31的验证可以是但不限于802.1x共享的密钥验证。在移动PAN 30内的归属用户节点应与MR 10共享预共享的秘密也是所期望的。
当MR 10已经识别出VN 31是移动PAN 30的外部节点时,该MR 10在数据存储装置14中存储关于VN 31的信息。上述操作将VN 31连接到移动PAN 30。
位于归属网络33中媒体服务器34中的数据34a是位于移动PAN 30内的任一节点都可访问的数据,并且,VN 31也可访问数据34a。
现在,将给出根据本发明的一个优选实施例的VN 31访问存在于媒体服务器34中的数据34a的操作的描述。下面的描述是对MR 10与HA 20建立双向隧道37a且与策略服务器36建立双向隧道37c的情况、以及MR 10只与HA 20建立双向隧道37a的情况而给出的。
参考图5,将给出使用在MR 10和HA 20之间建立的双向隧道37a和在MR 10与策略服务器36之间建立的双向隧道37c两者的情况的描述。尽管图5图解了在HA20和策略服务器36之间建立双向隧道37b的状态,在HA20和策略服务器36之间建立双向隧道37b应当是没有必要的。图5示出了图解根据本发明的优选实施例的对VN 31的文件传输的过程的一个示例的顺序图。
在图5中,VN 31尝试从媒体服务器34检索数据34a,并向MR 10发送文件请求(步骤S50)。该MR 10处理该请求(步骤S51),且确定文件请求的发送方是归属用户节点还是移动PAN 30内的VN 31。当文件请求的发送方是未被授权访问数据34a的节点时,所述MR 10可以在该时间点上拒绝该文件请求。
存在可用于确定文件请求的发送方是归属用户节点还是移动PAN 30中的VN 31的各种方法。例如,该MR 10可在验证该VN 31时,通过参考存储于数据存储装置14中的关于VN 31的信息,指定文件请求的发送方是归属用户节点还是外部节点(即,VN 31)。
当配置该MR 10以为VN 31分配与归属用户节点的前缀不同的前缀时,该MR 10可以通过参考文件请求发送方的地址的前缀,指定文件请求的发送方是归属用户节点还是外部节点(即,VN 31)。确定文件请求的发送方是归属用户节点还是移动PAN 30中的VN 31的方法并不限于上面所描述的方法。
当文件请求的发送方被指定为VN 31时,该MR 10封装文件请求消息,且经由双向隧道37c,向DMZ 35中的策略服务器36隧道传送(tunnel)该文件请求消息(步骤S52)。
在策略服务器36处,来自MR 10的分组被解封装,且在考虑到安全策略36a的情况下处理该文件请求消息(步骤S53)。当文件请求消息满足安全策略36a中的条件(例如,当考虑到安全策略36a,而允许由VN 31访问数据34a时)时,该策略服务器36向媒体服务器34转发该文件请求消息(步骤S54)。该策略服务器36可以在向媒体服务器34转发该文件请求消息之前,封装该文件请求消息。当该文件请求消息不满足安全策略36a中的条件时,例如,策略服务器36以消息的形式向MR 10发送响应,以拒绝该文件请求。
该策略服务器36能够起到VN 31的归属代理的作用。策略服务器36可以经由HA 20向媒体服务器34转发文件请求消息。
该媒体服务器34处理该文件请求消息(步骤S55),以确定请求是否来自被授权实体。
当确定该文件请求来自被授权实体时,该媒体服务器34向HA20转发所请求的文件(步骤S56),并且,随后,HA 20经由双向隧道37a向MR 10传送该文件(步骤S57)。一旦接收到该文件,MR 10便向VN 31转发该文件(步骤S58)。
该MR 10可以使用路径优化技术与媒体服务器34形成双向隧道,以使得安全地在MR 10和媒体服务器34之间传输数据34a。
尽管图5图解了当VN 31已经产生文件请求时的过程,但归属用户节点可以产生文件请求。在这种情况中,该MR 10指定文件请求的发送方是归属用户节点,封装该文件请求消息,并经由双向隧道37a向HA 20发送该文件请求消息。当该VN 31发送目的地为外部网络(即,除了归属网络33之外的网络)的分组时,在策略服务器36检查该分组并并非目的地为归属网络33之后,向HA20提供该分组,并且,随后向外部网络转发该分组。
现在参考图6和7,将给出只使用在MR 10和HA 20之间建立的双向隧道37a的情况的描述。在该情况下,MR 10只建立与HA 20的双向隧道37a。即,在该情况下,MR 10不需要建立与策略服务器36的双向隧道37c。
在该情况下,例如,MR 10识别哪个分组已被归属用户节点发送、以及哪个分组已被VN 31发送,且随后向HA 20转发该分组。作为确定分组的发送方是归属用户节点还是VN 31的方法,上述方法是可用的。例如,如图6所示,标记(tag)从MR 10向HA20转发的分组。
图6示出了图解根据本发明的优选实施例的、用于标记分组以在来自归属用户节点的分组和来自VN的分组之间进行区分的分组结构的一个示例的图。
一旦从移动PAN 30中的任意节点接收到分组,该MR 10便通过封装该分组、且向移动IP(MIP)的头部61中添加标记60,而标记该分组。通过有效负载部分62封装从移动PAN 30中的任意节点接收的分组。
在封装分组之前或同时,该MR 10确定分组发送方是归属用户节点还是VN 31,并且,基于确定结果,向移动IP的头部61添加用来识别归属用户节点或VN 31的信息作为标记60。该标记60可以但不限于地址前缀、令牌或标志位。当在封装之后向头部61添加标记60时,标记60可被添加到接收从MR 10传输的分组的HA20可识别的任何位置。
图7示出了图解根据本发明的优选实施例的从VN 31传输文件请求的过程的一个示例的顺序图。不像图5中所显示的那样,图7中的顺序图不使用MR 10和策略服务器36之间的双向隧道37c。在图7中所图解的操作中,经由双向隧道37b执行HA 20和策略服务器36之间的通信;然而,在HA 20和策略服务器36之间的通信中,没有必要使用隧道。
该MR 10从VN 31接收文件请求消息,以访问位于媒体服务器34内的数据34a(步骤S70)。
该MR 10处理该文件请求消息(步骤S71),以确定该文件请求消息的发送方是归属用户节点还是移动PAN 30中的VN 31。
例如,在文件请求消息的发送方被识别为VN 31的情况中,通过封装该分组、且添加指示该分组已从移动PAN 30的VN 31中产生的标记60,而标记该分组。随后,MR 10经由双向隧道37a,向HA 20隧道传送所标记的文件请求消息(步骤S72)。当文件请求消息的发送方被识别为VN 31时,向该分组添加指示该分组还未从归属用户节点到来的标记60。
该HA20接收并处理所标记的文件请求消息(步骤S73),并识别出该分组已经被标记为来自VN 31的分组。随后,HA 20向策略服务器36发送文件请求消息(步骤S74)。由于HA 20使用双向隧道37b,所以,该HA 20向策略服务器36隧道传送文件请求消息。尽管并未示于图7,但不久之后,该HA20可以从归属用户节点向媒体服务器34转发分组。
策略服务器36接收(随后解封装)该文件请求消息,并且,考虑到安全策略,而执行该过程(步骤S75)。当策略服务器36检查该文件请求消息来自被授权的VN 31时,策略服务器36向媒体服务器34转发该请求文件消息(步骤S76)。例如,当文件请求消息不满足安全策略36a中的条件时,策略服务器36向MR 10发送消息形式的响应,以拒绝文件请求。
该策略服务器36能够经由HA 20向媒体服务器34转发文件请求消息。由于在所请求的文件从媒体服务器34被发送到VN 31时的过程与显示于图5中的步骤S55到S58相同,所以将省略它们的描述。
当将MR 10配置为向VN 31分配与归属用户节点的前缀不同的前缀时,该MR 10可以直接向HA 20转发文件请求消息,以使得HA 20参考文件请求消息的发送方的地址的前缀,以识别文件请求消息的发送方是归属用户节点还是外部节点(即,VN 31)。
例如,该MR 10可以准备包括归属用户节点的前缀的RA消息、以及包括外部节点的前缀的RA消息。该MR 10执行相同的加密方案,以使得只允许归属用户节点解密该包括归属用户节点的前缀的RA消息,因此向归属用户节点和外部节点通知不同的前缀。向归属用户节点和外部节点通知不同德前缀的方法并不限于前述方法。
根据本发明的实施例,如上所述,当连接到移动PAN 30的VN 31访问移动PAN 30的归属网络33时,有可能总是经由DMZ 35中的策略服务器36而使用安全策略36a。
尽管在本发明的实施例中、该HA 20和策略服务器36是不同的实体,但该HA20和策略服务器36可由同一实体实现。
然而,在另一个优选实施例中,HA 20能够使用向HA 20所接收的分组中添加的标记,以执行流过滤。例如,用户在HA20设置过滤策略,其指示:对于HA 20处的处理,应当给予来自归属用户节点的分组超过来自访问者节点的分组的优先权。因此,HA 20检查位于每个HA 20所接收的分组内的标记60,并相应地执行过滤器规则。如果标记60指示分组来自归属用户节点,则HA 20将该分组被置于专用于归属用户节点的分组的分组队列中。然而,如果标记60指示该分组来自于访问者节点,则HA20将该分组被置于专用于访问者节点的分组的分组队列中。在处理位于访问者节点的队列内的分组之前,HA 20将处理在归属用户节点的队列中被首先发现的任何分组。执行这样的过滤的优势允许归属用户确保属于归属用户的所有节点的快速服务。
由于移动网络为移动节点提供到归属网络的透明连接性(transparentconnectivity),所以,本领域的技术人员可以认为:类似于由策略服务器设置的安全策略的连接管理应当为连接到移动网络的移动节点而实现;并且,用户应该知道:要被连接到移动网络的访问者节点的验证等价于要被连接到归属网络的访问者节点的验证。此外,具有这样的考虑的本领域的技术人员可认为:确定地选择可连接到移动网络的移动节点并没有带来本发明所针对的情形。然而,在这样的情况下,由于例如移动路由器或移动网络节点的处理性能和功耗等问题,显然,本发明可以适应于难以为移动网络提供足够的连接管理的情况、以及并不熟悉移动网络中的安全性的用户可以安全地使用该移动网络的情况。
尽管已经使用特别的示例图解本发明,但对于本领域的技术人员而言,显然,可以使用任何可以获得相同目的的安排。尽管该说明书已经给出本发明的基本概念,但用于解释本发明的基本概念的特定实施例并不限制本发明的范围。
用于本发明实施例的前述描述的功能块被典型地实现为LSI(大规模集成),其是集成电路。该功能块中的每个可以被配置为单个芯片,或者,一些或全部的块可以被配置为单个芯片。在此处使用LSI时,依赖于集成的程度,它也可被称作IC(集成电路)、系统LSI、超级LSI、Ultra LSI。
电路集成的机制并不限于LSI,也可以使用专用电路或通用处理器。也可以使用在LSI或可重配置处理器被设计能够重配置LSI中的电路单元的连接和设置之后可编程的FPGA(现场可编程门阵列)。
此外,如果替代LSI的电路集成技术是由于半导体技术或从那里起源的技术的进步,则功能块的电路集成当然能够使用这样的技术实现。例如,生物工程等等的采用是可能的。
工业实用性
本发明具有对于从访问者节点(VN)发送的分组、基于由归属用户设置的各种安全策略而允许精确执行访问控制的效果,并且,本发明适于使用移动通信网络和访问控制技术执行通信的通信技术,以改进个人移动通信网络和用户归属网络中的安全性。
Claims (12)
1.一种用于控制移动网络且随着移动网络而移动的移动网络管理设备,包括:
访问请求接收单元,其从连接到所述移动网络的通信终端接收对所述移动网络管理设备的归属网络的访问请求;
确定单元,其确定是否允许已发送了由访问请求接收单元所接收的访问请求的通信终端执行对所述归属网络的直接访问;
归属网络通信单元,其在允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问时,向存在于所述归属网络中的移动信息管理设备转发所述访问请求;以及
安全网络通信单元,其在不允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问时,向位于安全网络中的安全管理设备转发所述访问请求,并执行对所述归属网络的访问控制,其中所述安全网络位于所述归属网络和外部网络之间。
2.如权利要求1中所述的移动网络管理设备,包括:
通信终端指定单元,其指定在所述通信终端连接到所述移动网络的时刻,是否允许所述通信终端执行对所述归属网络的直接访问;以及
信息存储单元,用于存储指示是否允许所述通信终端执行对所述归属网络的直接访问的信息,
其中,参考存储于所述信息存储单元中的信息,所述确定单元确定是否允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问。
3.如权利要求1中所述的移动网络管理设备,包括:
前缀通知单元,其将不同地址的前缀分别通知给被允许执行对归属网络的直接访问的通信终端、以及不被允许执行对所述归属网络的直接访问的通信终端,
其中,参考所述访问请求的发送方的地址的前缀,所述确定单元确定是否允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问。
4.如权利要求1中所述的移动网络管理设备,包括:
第一隧道传送单元,其形成与所述移动信息管理设备的隧道,并且,当所述归属网络通信单元转发所述访问请求时,第一隧道传送单元封装所述访问请求;以及
第二隧道传送单元,其形成与所述安全管理设备的隧道,并且,当所述安全网络通信单元转发所述访问请求时,第二隧道传送单元封装所述访问请求。
5.一种用于控制移动网络且随着移动网络而移动的移动网络管理设备,包括:
访问请求接收单元,其从连接到所述移动网络的通信终端接收对所述移动网络管理设备的归属网络的访问请求;
确定单元,其确定是否允许已发送了由所述访问请求接收单元所接收的访问请求的通信终端执行对所述归属网络的直接访问;
信息添加单元,其向所述访问请求添加索引信息,所述索引信息指示是否允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问;以及
归属网络通信单元,其向存在于所述归属网络中的移动信息管理设备转发所述访问请求,所述访问请求具有由信息添加单元对所述访问请求添加的索引信息。
6.如权利要求5中所述的移动网络管理设备,包括:
通信终端指定单元,其指定在所述通信终端连接到所述移动网络的时刻,是否允许所述通信终端执行对所述归属网络的直接访问;以及
信息存储单元,其存储指示是否允许所述通信终端执行对所述归属网络的直接访问的信息,
其中,参考存储于信息存储单元中的信息,所述确定单元确定是否允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问。
7.如权利要求5中所述的移动网络管理设备,包括:
前缀通知单元,其将不同地址的前缀分别通知给被允许执行对所述归属网络的直接访问的通信终端、以及不被允许执行对所述归属网络的直接访问的通信终端,
其中,参考所述访问请求的发送方的地址的前缀,所述确定单元确定是否允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问。
8.如权利要求5所述的移动网络管理设备,包括:
隧道传送单元,其形成与所述移动信息管理设备的隧道,并且,当所述归属网络通信单元转发所述访问请求时,所述隧道传送单元封装所述访问请求。
9.一种移动信息管理设备,其执行对试图直接访问归属网络的通信终端的移动管理,所述移动信息管理设备包括:
分组接收单元,其从控制移动网络、且随着移动网络而移动的移动网络管理设备接收封装的分组;
解封装单元,其解封装所述封装的分组;
确定单元,其在解封装的内部分组是对归属网络的访问请求时,参考所述内部分组中的发送方地址的前缀,确定是否允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问;
归属网络通信单元,其在允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问时,向由所述内部分组的目的地地址指定的目的地转发所述访问请求;以及
安全网络通信单元,其在不允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问时,向位于安全网络中的安全管理设备转发所述访问请求,并执行对所述归属网络的访问控制,其中,所述安全网络位于所述归属网络和外部网络之间。
10.如权利要求9所述的移动信息管理设备,包括:
隧道传送单元,其形成与所述安全管理设备的隧道,并且,当所述安全网络通信单元转发所述访问请求时,所述隧道传送单元封装所述访问请求。
11.一种移动信息管理设备,其执行对试图直接访问归属网络的通信终端的移动管理,所述移动信息管理设备包括:
分组接收单元,其从控制移动网络、且随着移动网络而移动的移动网络管理设备接收封装的分组;
解封装单元,其解封装所述封装的分组,并获得索引信息,所述索引信息被添加到所封装的首标、并指示是否允许解封装的内部分组的发送方执行对所述归属网络的直接访问;
确定单元,其在解封装的内部分组是对归属网络的访问请求时,参考所述索引信息,确定是否允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问;
归属网络通信单元,其在允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问时,向由所述内部分组的目的地地址指定的目的地转发所述访问请求;以及
安全网络通信单元,其在不允许已发送了所述访问请求的通信终端执行对所述归属网络的直接访问时,向位于安全网络中的安全管理设备转发所述访问请求,并执行对所述归属网络的访问控制,其中,所述安全网络位于所述归属网络和外部网络之间。
12.如权利要求11所述的移动信息管理设备,包括:
隧道传送单元,其形成与所述安全管理设备的隧道,并且,当所述安全网络通信单元转发所述访问请求时,所述隧道传送单元封装所述访问请求。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP373126/05 | 2005-12-26 | ||
| JP2005373126 | 2005-12-26 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800493657A Division CN101346968B (zh) | 2005-12-26 | 2006-12-26 | 用于控制访问请求的移动网络管理设备和移动信息管理设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102244868A true CN102244868A (zh) | 2011-11-16 |
Family
ID=37896058
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102295244A Pending CN102244868A (zh) | 2005-12-26 | 2006-12-26 | 用于控制访问请求的移动网络管理设备和移动信息管理设备 |
| CN2006800493657A Active CN101346968B (zh) | 2005-12-26 | 2006-12-26 | 用于控制访问请求的移动网络管理设备和移动信息管理设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800493657A Active CN101346968B (zh) | 2005-12-26 | 2006-12-26 | 用于控制访问请求的移动网络管理设备和移动信息管理设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8539554B2 (zh) |
| EP (2) | EP2144416B1 (zh) |
| JP (1) | JP4857342B2 (zh) |
| CN (2) | CN102244868A (zh) |
| WO (1) | WO2007077958A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104331029A (zh) * | 2014-05-30 | 2015-02-04 | 青岛海尔股份有限公司 | 具有双网络连接方式的除菌除异味控制系统及方法 |
| US9961078B2 (en) | 2013-03-28 | 2018-05-01 | Thomson Licensing | Network system comprising a security management server and a home network, and method for including a device in the network system |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2876853A1 (fr) * | 2004-10-20 | 2006-04-21 | France Telecom | Procede d'adressage d'un reseau ip se connectant a un autre reseau ip |
| US8635307B2 (en) * | 2007-02-08 | 2014-01-21 | Microsoft Corporation | Sensor discovery and configuration |
| CN101606361A (zh) * | 2007-02-13 | 2009-12-16 | 日本电气株式会社 | 移动终端管理系统、网络设备及用于它们的移动终端控制方法 |
| EP2153620A1 (en) * | 2007-05-25 | 2010-02-17 | Telefonaktiebolaget L M Ericsson (publ) | Route optimisation for proxy mobile ip |
| KR100881272B1 (ko) * | 2007-07-25 | 2009-02-05 | 한국전자통신연구원 | Pmip6 도메인에서의 이동 라우터 관리 시스템 및 방법 |
| EP2020794A1 (en) * | 2007-08-02 | 2009-02-04 | Siemens Aktiengesellschaft | Method for operating a moving network |
| US8238314B2 (en) * | 2007-09-27 | 2012-08-07 | Alcatel Lucent | Method and apparatus for providing a distributed forwarding plane for a mobility home agent |
| US8634839B2 (en) | 2008-01-29 | 2014-01-21 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic policy server allocation |
| ES2393521T3 (es) * | 2008-02-26 | 2012-12-26 | Vodafone Holding Gmbh | Método y unidad de gestión para gestión de acceso a datos de una red personal |
| CN101272627B (zh) * | 2008-04-30 | 2010-12-22 | 杭州华三通信技术有限公司 | 实现漫游的网络接入控制方法及设备 |
| KR101588887B1 (ko) * | 2009-02-09 | 2016-01-27 | 삼성전자주식회사 | 멀티-홉 기반의 인터넷 프로토콜을 사용하는 네트워크에서 이동 노드의 이동성 지원 방법 및 그 네트워크 시스템 |
| US8671174B2 (en) * | 2009-04-17 | 2014-03-11 | Prem Jothipragasam Kumar | Management of shared client device and device manager |
| EP2641163B1 (en) | 2010-11-17 | 2019-09-04 | ARRIS Enterprises LLC | Cross access login controller |
| EP2647165A4 (en) | 2010-12-02 | 2016-10-19 | Nec Corp | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION PROCESS AND PROGRAM |
| US9338090B2 (en) * | 2011-04-18 | 2016-05-10 | Nec Corporation | Terminal, control device, communication method, communication system, communication module, program, and information processing device |
| EP2700206A4 (en) * | 2011-04-18 | 2014-12-17 | Nec Corp | END DEVICE, CONTROL DEVICE, COMMUNICATION METHOD, COMMUNICATION SYSTEM, COMMUNICATION MODULE, PROGRAM AND INFORMATION PROCESSING DEVICE |
| US9202070B2 (en) * | 2012-10-31 | 2015-12-01 | Broadcom Corporation | Input/output gatekeeping |
| CN103731756B (zh) * | 2014-01-02 | 2016-09-07 | 中国科学院信息工程研究所 | 一种基于智能云电视网关的智能家居远程安全访问控制实现方法 |
| EP2899940B1 (en) * | 2014-01-23 | 2020-06-03 | Vodafone GmbH | Connection method for secure connecting of a mobile device system to a network |
| KR101869347B1 (ko) * | 2016-01-26 | 2018-06-21 | 한국기초과학지원연구원 | 네트워크 접속 제어 시스템 및 제어 방법 |
| JP6614081B2 (ja) * | 2016-09-16 | 2019-12-04 | 京セラドキュメントソリューションズ株式会社 | 端末装置 |
| US11863348B2 (en) * | 2021-07-06 | 2024-01-02 | Cisco Technology, Inc. | Message handling between domains |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2371711B (en) * | 2000-11-27 | 2004-07-07 | Nokia Mobile Phones Ltd | A Server |
| US6978128B1 (en) * | 2001-05-04 | 2005-12-20 | Utstarcom, Inc. | System and method to allow simple IP mobile nodes to operate seamlessly in a mobile IP network with true roaming capabilities |
| JP4186456B2 (ja) * | 2001-11-28 | 2008-11-26 | 沖電気工業株式会社 | 分散ファイル共有システムおよびその制御方法 |
| US7616597B2 (en) | 2002-12-19 | 2009-11-10 | Intel Corporation | System and method for integrating mobile networking with security-based VPNs |
| CN1729663B (zh) * | 2002-12-26 | 2010-10-13 | 松下电器产业株式会社 | 移动网络控制装置和移动网络控制方法 |
| CN100344199C (zh) * | 2003-11-19 | 2007-10-17 | 华为技术有限公司 | 无线局域网网络移动性管理的系统及其方法 |
| US7990935B2 (en) * | 2004-03-09 | 2011-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Network mobility support and access control for movable networks |
-
2006
- 2006-12-26 CN CN2011102295244A patent/CN102244868A/zh active Pending
- 2006-12-26 JP JP2008530053A patent/JP4857342B2/ja active Active
- 2006-12-26 EP EP09174939.0A patent/EP2144416B1/en active Active
- 2006-12-26 CN CN2006800493657A patent/CN101346968B/zh active Active
- 2006-12-26 EP EP06843730.0A patent/EP1966970B1/en active Active
- 2006-12-26 US US12/158,968 patent/US8539554B2/en active Active
- 2006-12-26 WO PCT/JP2006/326359 patent/WO2007077958A1/en active Application Filing
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9961078B2 (en) | 2013-03-28 | 2018-05-01 | Thomson Licensing | Network system comprising a security management server and a home network, and method for including a device in the network system |
| CN104331029A (zh) * | 2014-05-30 | 2015-02-04 | 青岛海尔股份有限公司 | 具有双网络连接方式的除菌除异味控制系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101346968B (zh) | 2011-10-12 |
| EP1966970A1 (en) | 2008-09-10 |
| JP2009521820A (ja) | 2009-06-04 |
| EP2144416B1 (en) | 2017-05-24 |
| EP2144416A1 (en) | 2010-01-13 |
| US8539554B2 (en) | 2013-09-17 |
| JP4857342B2 (ja) | 2012-01-18 |
| CN101346968A (zh) | 2009-01-14 |
| WO2007077958A1 (en) | 2007-07-12 |
| EP1966970B1 (en) | 2017-06-14 |
| US20090313680A1 (en) | 2009-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101346968B (zh) | 用于控制访问请求的移动网络管理设备和移动信息管理设备 | |
| CN101810015B (zh) | 利用代理移动性进行业务局部化 | |
| JP4704441B2 (ja) | 通信経路最適化方法及び通信システム | |
| US7489667B2 (en) | Dynamic re-routing of mobile node support in home servers | |
| US20030093553A1 (en) | Method, system and system entities for providing location privacy in communication networks | |
| EP1956755A1 (en) | Network controlled overhead reduction of data packets by route optimization procedure | |
| CN102224721A (zh) | 向访问网络链接或移交时的安全隧道建立 | |
| JP2013021703A (ja) | 移動端末並びに移動端末により実行される方法 | |
| WO2007097958A2 (en) | Method for route optimization aud location privacy in mobile ip | |
| EP2829094B1 (en) | Method, apparatus and computer program product for automatic tunneling of ipv6 packets with topologically incorrect source addresses | |
| US20100046419A1 (en) | Overlay Network Node, Mobile Node, and Mobile Router | |
| US20100046558A1 (en) | Header reduction of data packets by route optimization procedure | |
| CN102165839A (zh) | 前缀分配方法、前缀分配系统和移动节点 | |
| JPWO2008078632A1 (ja) | 通信方法、通信システム、ホームエージェント及びモバイルノード | |
| US20100208663A1 (en) | Communication system, mobile terminal, and network node | |
| JP4999919B2 (ja) | オーバレイネットワークノード | |
| JP2007533279A (ja) | Ip移動ネットワーク等のルーティング方法及びシステム、対応するネットワーク及びコンピュータプログラムプロダクト | |
| EP2068527A1 (en) | Network control of an MAP selection and of a route selection in a Mobile IP environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111116 |