CN102656861A - 因特网协议移动性安全控制 - Google Patents
因特网协议移动性安全控制 Download PDFInfo
- Publication number
- CN102656861A CN102656861A CN2010800574222A CN201080057422A CN102656861A CN 102656861 A CN102656861 A CN 102656861A CN 2010800574222 A CN2010800574222 A CN 2010800574222A CN 201080057422 A CN201080057422 A CN 201080057422A CN 102656861 A CN102656861 A CN 102656861A
- Authority
- CN
- China
- Prior art keywords
- safe mode
- network
- mobile node
- sub
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在非限定性和示例性的实施例中,提供一种用于修改移动节点(10)与移动锚点(30)之间的安全级别的方法。对于连接到IP子网络(40)并在IP子网络(40)中由转交地址标识的移动节点(10),建立具有安全模式的指示的IP移动绑定。检测修改用于连接到IP子网络(40)的移动节点(10)的安全模式的触发器。响应于触发器,修改用于连接到IP子网络(40)并由转交地址标识的移动节点(10)的安全模式。
Description
技术领域
本发明的实施例涉及IP移动性,更具体地,涉及IP移动系统中的控制安全过程。
背景技术
当前,终端设备是高度移动的,并可在任何时间、也在活动网络连接期间改变它们附着到因特网的附着点。为IP版本6(IPv6)和IP版本4(IPv4)定义的移动IP协议允许移动节点(MN)改变它们到因特网的接入点而无需改变它们的IP地址。移动IP定义一种用于将移动节点的数据路由到该节点的当前位置的系统。这通过使用归属代理(HA)实现,其中归属代理监控永久IP地址和移动节点的当前位置。归属代理允许移动节点具有永久地址,其被归属代理转换成移动节点的当前地址。
移动设备用于访问服务的某些接入网络被认为是“不安全”的接入网络,而某些其它网络被认为是“安全”的接入网络。不安全的接入网络的例子可以是公共WLAN热点,其通过公共网络(例如因特网)提供对运营商服务的接入。安全的接入网络的例子可以是具有第二层加密使能的通用分组无线服务(GPRS)网络。因特网协议安全体系(IPSec)在一组因特网工程任务组(IETF)征求意见书(RFC)中规定,并被广泛用于在各种配置中提供IP分组的安全传输。IPSec可应用在MN与HA之间以提供加密的移动IP隧道。
当在安全和不安全的接入网络之间切换时,MN应当根据安全策略动态地启用加密或关闭加密。MN可被配置为在MN检测到IP子网络的改变时检测新的IP子网络的安全要求,并修改MN的安全关联以适应新的IP子网络的安全要求。
发明内容
现在提供一种方法、装置和计算机程序产品,其特征在于独立权利要求中所描述的特征。本发明的某些实施例在从属权利要求中描述。
根据本发明的一个实施例,提供一种方法,包括:对于连接到IP子网络并在IP子网络中由转交地址标识的移动节点,促使建立具有安全模式的指示的IP移动绑定;检测修改用于连接到IP子网络的移动节点的安全模式的触发器;以及响应于触发器,修改用于连接到IP子网络并由转交地址标识的移动节点的安全模式。
根据本发明的一个实施例,提供一种装置,包括:至少一个处理器;至少一个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为用所述装置的所述至少一个处理器使得所述装置至少执行:对于连接到IP子网络并在IP子网络中由转交地址标识的移动节点,建立具有安全模式的指示的IP移动绑定;检测修改用于连接到IP子网络的移动节点的安全模式的触发器;以及响应触发器,修改用于连接到IP子网络并由转交地址标识的移动节点的安全模式。
根据另一个实施例,提供一种装置,其包括:用于对于连接到IP子网络并在IP子网络中由转交地址标识的移动节点,建立具有安全模式的指示的IP移动绑定的装置;用于检测修改用于连接到IP子网络的移动节点的安全模式的触发器的装置;以及用于响应于触发器而修改用于连接到IP子网络并由转交地址标识的移动节点的安全模式的装置。
本发明和本发明的各种实施例提供若干优点,其将根据以下的详细说明而变得更加明显。
附图说明
下面参照附图仅以例子的方式描述本发明的实施例,其中:
图1表示IP通信系统;
图2表示根据实施例的装置;
图3表示根据实施例的方法;
图4至图6表示根据某些其它实施例的方法;
图7至图10表示根据某些实施例的移动IP消息;
图11至图13表示根据某些实施例的信令图。
具体实施方式
虽然本说明书在一些提及“一”、“一个”或“一些”实施例,但这并不必然意味着每个这样的引用是指相同的实施例,或者特征仅仅应用于单个实施例。不同实施例的单个特征也可以被组合以提供其它实施例。
下面参照图1的简化通信系统和实体来描述一些实施例。然而,当前公开的特征的应用并不限于任何特定的网络配置,这些实施例可应用于任何移动节点与通过应用IP移动性与该移动节点进行通信的实体之间的安全可以被有选择地实施的通信系统。术语“移动节点”应当被广义地理解为是指各种类型的节点,其能够在接入网络之间改变,而无需限于例如支持当前移动IP协议的移动节点。
移动节点(MN)10可通过一个或多个接入网络20、22、24连接到各种网络资源。例如,这种接入网络可以是连接到因特网接入网关和因特网的(无线)局域网。另一个例子是专用接入网络,诸如连接到公司企业内部网的无线公司LAN。WLAN的一些例子包括根据某些IEEE WLAN规范的网络,诸如802.11家族。接入网络的再一个例子是根据IEEE 802.16规范的WIMAX网络。
MN 10通常能够在接入网络上与多个网络附着点(诸如基站26)建立IP连接。例如,接入网络20可以是GSM接入网(基站子系统BSS)、宽带码分多址(WCDMA)接入网、和/或由第三代伙伴计划(3GPP)标准化的演进UMTS无线接入网(E-UTRAN)。应当指出,诸如WIFI网络和WIMAX网络的其它非蜂窝接入网也可以配备多个接入点。
接入网络20、22被连接到其它网络单元50,其通常是运营商的核心网络。例如,这种核心网络可以是GMS/GRRS核心网络或由3GPP标准化的长期演进(LTE)核心网络,其也称为3GPP核心网络或UMTS核心网络。这种接入网络的其它一些例子包括第三代伙伴计划2(3GPP2)的无线接入网络和核心网络,诸如CDMA1x和演进数据优化(EV-DO)网络。MN 10能够同时连接到一个或多个接入网络20、22、24。
IP移动性协议,诸如在IETF规范RFC 3775中规定的移动IP版本6(MIP6)或在RFC 3344中规定的移动IP版本4(MIP4),适用于支持MN 10的IP连接的移动性。系统包括一个或多个IP移动锚点,在所公开的实施例中是归属代理(HA)30,以通过在MN的归属地址与从当前拜访接入网络22中获取的MN的当前转交地址(CoA)之间建立绑定来隐藏MN 10的移动性。可形成到CoA的隧道90以传输来自连接到网络60的通信节点CN 80的例如目的地是MN的归属地址的分组。通信节点80可以是移动的或静止的。
在图1中,HA 30被表示为与网络50连接,但应当知道,可以有超过一个的HA为MN 10服务,并且HA 30可以位于另一个网络中,诸如连接到例如因特网的网络60。在MIP4的情况下,外部代理可以在接入网络20、22、24中提供或者共同位于托管MIP移动节点特征的终端中,但在MIP6中,在接入网络中没有提供特定的外部代理。
某些其它可连同当前公开的特征一起应用的IP移动性协议包括在RFC5555中规定的双栈移动IPv6(DSMIP6)协议和在RFC 3963中规定的网络移动性(NEMO)协议。DSMIP6扩展移动IPv6能力以允许具有双栈的移动节点请求它们的归属代理(也是双栈的)通过隧道传送被定址到它们的归属地址以及IPv4/IPv6转交地址的IPv4/IPv6分组。NEMO协议是MIPv6的扩展,其允许移动网络中的每个节点在移动时是可达的。因此,以下描述的用于MN 10的特征的应用并不限于终端设备,但至少某些特征也可以应用于移动网络的其它类型的具有路由的能力的节点。在以下的说明中,主要参照MIPv6说明其它实施例,但应当知道,这些过程还可以应用于其它当前或未来的IP移动系统。因此,术语“转交地址”也应当被广义地理解为是指任何类型的用于当移动节点在其归属网络之外时用于寻址移动节点的移动绑定的地址,而并不限于MIPv4或MIPv6的转交地址。
基于移动IP的业务,至少MN 10与HA 30之间的用户平面业务可以是安全的。有至少两个安全模式,其中的一个在启动用户平面数据传输时被MN 10和HA 30选择。在一个实施例中,应用了IPSec过程,但这些特征并不限于使用任何特定的安全协议和加密方式。因此,术语“安全模式”应当被理解为广泛地覆盖任何类型的确定通信实体间的安全级别的模式。用于移动节点的安全模式是指至少应用于去往移动节点的数据传输的安全模式。这种基于IP移动性的数据传送可以设置在归属代理与移动节点之间或者在移动节点与另一个利用IP移动绑定的节点之间,诸如能够支持移动节点的转交地址注册的通信节点。
IP移动绑定通常是指移动节点的转交地址与归属地址之间的关联,其具有安全模式的指示。这通常是指对于绑定设置安全模式。然后,根据安全模式,与绑定相关联的数据传送可以是安全的。安全模式的修改可以是指修改在HA 30与MN 10之间应用的安全关联(SA)。在一个非常简单的例子中,可以只有两个模式:加密开启和加密关闭。这也可被称为具有NULL加密和非NULL加密的安全关联。然而,应当知道,可以有任何数量的具有可变安全级别的安全模式,例如三个、四个或更多安全模式。
一个或多个基于IP的接入网络属于IP子网络40、42。在移动IP的情况下,当MN 10从一个IP子网络移动到另一个IP子网络时,它从新的IP子网络中获得新的CoA,并通过发送具有新的CoA的注册请求(MIP4)或绑定更新(MIP6)消息来向HA 30通知该CoA。子网络40内的一些或全部附着点20、22、24、26可支持数据链路层,即,第二层移动性协议。这种协议的例子是在RFC 5213中规定的移动IP代理(PMIP)。因此,当MN 10在子网络40内的这种附着点20、22、24、26之间移动时,MN 10的移动绑定不需要被更新。移动绑定只有在附着点的改变导致新的CoA时才必须被更新。
移动节点10可以被配置为在移动节点检测到IP子网络40、42的改变时,检测新的IP子网络的安全要求,并将终端的安全关联改变成新的IP子网络的安全要求。然而,现在已经开发出一种改进的IP移动性安全装置,其中,用于移动节点的安全模式可以被修改,即使该移动节点没有改变IP子网络40并维持其CoA。安全模式的修改可以是指安全模式的改变或更新所应用的安全模式的属性。安全模式之间的修改可意味着加密套件的升级或降级。因此,例如,安全模式的修改可意味着安全协议的改变。这能够对改变移动节点的运行条件作出反应,并自动地修改安全级别以满足所改变的接入链路或安全偏好的特征。
该系统还可包括策略服务器70,诸如认证、授权和计费AAA服务器或接入网络发现和选择功能ANDSF服务器,以提供与附着到至少某些接入网络20、22、24有关的其它服务。策略服务器70可以是运营商核心网络50的一部分或与其相连,但应当知道,策略服务器70可以采用各种其它方式设置,并用于与MN 10装置和/或HA 30装置进行通信。
应当知道,可以存在各种其它实体和配置,而图1仅表示某些与当前的特征有关的实体。例如,MN 10与VPN网关之间的虚拟专用网络(VPN)连接可被要求用于MN 10通过不安全的网络连接企业内部网。
图2表示根据一个实施例的装置200的简化框图。装置200包括存储器230和具有一个或多个处理器的处理单元210。装置200还包括一个或多个通信单元220,诸如用于与一个或多个上述网络进行通信的一个或多个收发机。装置还可包括用户接口240,诸如显示器和键盘。
在一个实施例中,诸如装置200的装置包括安全模式管理器,其被配置为检测修改适用于诸如MN 10的移动节点的安全模式的触发器,其中该移动节点连接到IP子网络并能够通过使用较早前分配的用于在IP子网络中标识MN的IP地址来寻址。进一步地,安全模式管理器被配置为响应于触发器而修改移动节点的安全模式。处理单元210可用于根据来自存储器230的安全策略或配置信息以及通过通信单元220接收的信息来执行这种安全模式管理器操作。在装置200的内部存储器230中存储有特定的安全策略,或者策略可从外部设备接收。
因此,具有安全模式管理器的装置可被实现为电子数字计算机。处理单元210可以被一系列从存储器230传送到处理单元的程序指令控制。实施例提供了在计算机可读存储媒体上包含的计算机程序。这种计算机程序包括一个或多个序列的一个或多个指令,其在被装置的一个或多个处理器执行时使得该装置执行至少某些以下结合图3至图13描述的安全模式管理相关的功能。计算机程序可以被存储在载体上,其可以是能够携带程序的实体或设备。
在一个实施例中,这种计算机程序代码被存储在装置200的至少一个存储器230中。存储器230和计算机程序代码可以被配置为用装置200的至少一个处理器提供用于执行至少一些以下结合图3至图13描述的特征的装置或者使装置200执行这些特征。计算机程序可以是源代码形式、目标代码形式或某一中间形式。安全模式管理特征例如可以被实现为通信管理软件安全IP通信的一部分或者操作系统软件的一部分。
包括安全模式管理器的装置可以采用芯片单元或者某些其它类型的用于控制IP通信设备的硬件模块的形式。硬件模块可形成设备的一部分并且可以是可拆装的。这种硬件模块的某些其它例子包括局部组件或者附属设备。
在下面进一步描述的装置的至少某些特征可通过一个或多个集成电路实现,诸如专用集成电路(ASIC)。其它硬件实施例也是可行的,诸如由单独的逻辑元件组建的电路。这些不同实现的混合也是可以行的。
下面结合图3至图12说明用于装置和安全模式管理器的特征的某些其它实施例。虽然装置200和处理单元210被描述为单个实体,但不同的模块和存储器可以被实现在一个或多个物理或逻辑实体中。例如,安全模式管理器可包括特定功能模块,用于执行图3至图6中的一个或多个步骤。应当知道,装置可包括未在这里详细描述的其它单元。
装置200可以是任何能够支持IP移动性的通信装置。在一个实施例中,装置200包含移动节点10的功能,并可包括一个或多个无线单元和至少一个天线,用于与上面结合图1标识的接入网络20至24中的至少一些进行无线通信。通常,装置的各种实施例可包括但不限于蜂窝电话、个人数字助理(PDA)、便携式计算机、成像设备、游戏设备、音乐和/或视频存储和播放装置、允许因特网访问和浏览的因特网装置、以及其它具有移动通信功能的便携式单元或终端。装置可以是这些装置的任何类型的结合。
在另一个实施例中,装置200包含归属代理30的功能。因此,装置可以是网络服务器设备或其它被配置为用作移动IP归属代理的适当的网络单元。
进一步研究有关其它修改用于IP移动绑定已经建立的移动节点的安全模式的实施例。下面结合图3至图6描述的过程可由装置200应用。该装置可包括归属代理、移动节点、或其它能够注册移动节点的转交地址的节点,诸如在图1中表示的HA 30、MN 10或CN 80。为了简化的目的,描述将主要集中在涉及移动节点和归属代理的实施例,并且下面的标记仅主要针对MN 10和HA 30。
图3表示与建立和修改用于连接到IP子网络的移动节点的安全模式有关的主要步骤。在步骤310,可以对移动节点(促使)建立或更新IP移动绑定。应当指出,MN 10可以被配置为执行步骤310,在这种情况下,MN10可发送绑定更新消息以触发HA 30建立移动绑定。
步骤310通常响应于MN 10附着到新的接入网络并获取在拜访IP子网络中使用的CoA而执行。该步骤可以被启动,以响应在外部网络中对MN建立新的IP连接、响应MN的IP连接被切换到新的IP子网络40、42、或响应MN在接入网络20、22、24或接入点26之间改变以致新的CoA需要被获取并且移动绑定需要被更新。在步骤310中,对MN选择并执行适当的安全模式。该步骤可包含使用移动IP信令以表明MN 10与HA30之间所要求的安全级别。
在步骤320,检测修改用于MN 10的安全模式的触发器,其中MN 10连接到IP子网络320并使用较早前为MN在本地分配的CoA。换句话说,尽管不需要更新移动绑定和CoA,但可触发在MN 10与HA 30之间应用的安全模式的改变。
响应于触发器,修改330用于连接到IP子网络并由CoA标识的MN 10的安全模式。在步骤330,对在MN 10与HA 30之间应用的安全功能进行适当的改变。例如,安全模式管理器控制用户平面业务的加密应用。因此,提供根据需要而触发用于用户平面业务的安全的能力,即使MN没有改变IP子网络和CoA,即,在移动绑定的更新不会被触发的情况下。这进一步能够节省资源,因为数据加密可以仅在当前环境需要时才应用。有许多实施例可用于检测修改用于持续地连接到IP子网络并使用较早前分配的CoA的MN 10的安全模式的需要,它们中的一些进一步结合图4至图6描述。
图4表示可在图3的步骤320和330中应用的第一实施例。在步骤410,检测到拜访IP子网络内不需要改变CoA的接入网络和/或接入点的改变。在步骤420,检查与新的接入网络或接入点相关联的安全要求。如果需要,则根据在步骤420检测的安全要求,在步骤430,修改用于MN 10的安全模式。尽管在图4中未表示,但可以是根据步骤420的检查而不需要改变安全模式的情形。例如,MN可应用可靠的低层加密在蜂窝无线接入网络之间改变。
优选地,图4的过程在每当MN 10通过应用数据链路层移动性协议改变到新的接入网络20至24或者接入点26时执行。安全模式管理器可以被配置为响应于检测这种第二层附着点的改变而执行图4的特征。例如,MN10可通过应用IEEE 802.11r规范在接入点之间移动。可适用于第二层移动性的解决方案的某些其它例子包括基于PMIP或GPRS隧道协议(GTP)的解决方案。
过程可在步骤420中确定新的接入网络被视为是可信任的还是不可信任的。例如,该确定可以基于新的接入网络的标识符或标识符类型。例如,可以应用由接入网络24提供的媒体访问控制(MAC)地址或WLAN服务集标识符SSID。如果新的接入网络或接入点被视为是可信任的或者加密不被允许,则过程可以选择不保护用户平面业务的安全。因此,MN-HA安全模式可以动态地修改以增加安全级别,以响应MN 10改变到不可信任的网络而无需改变其IP地址。
可以在网络附着时获取关于一个或多个接入网络或接入点的静态或动态安全模式策略。这种策略可以存储在可由MN 10或HA 30访问的存储器中。例如,这种策略可存储在插入MN装置中的IC卡上的(UMTS)用户标识模块(SIM)上。在另一个例子中,有关接入网络的信息根据在规定了方便媒体无关的切换的过程的IEEE 802.21中规定的机制获取。媒体无关的切换(MIH)功能提供媒体无关的信息服务,根据该信息服务,MN10可以被配置为在指定的地理区域接收有关网络的信息。在另一个例子中,安全模式策略可以从第三方服务器中获取,其根据如滥用或事件报告的独立信息提供接入网络的安全级别。
图5表示可在图3的步骤320和330中应用的第二实施例。在步骤510,接收有关MN 10在IP子网络40中的当前物理或逻辑位置的信息。该信息可由MN中的定位单元、基于网络的定位装置或其它用于定义有关MN的当前位置的位置信息的装置创建。位置信息可包括有关MN 10的准确位置或位置区域的信息。例如,可以应用MN 10中的全球定位系统(GPS)接收机获取的位置信息,或者也可应用有关分配给MN的CoA的位置信息。
在步骤520,检查与当前位置相关联的安全要求。该步骤可包括例如将位置信息与存储用于指定地理区域的安全要求的数据库进行比较。
图5的实施例表示持续的过程,其中在步骤530检查改变MN与HA之间的安全模式的需要。如果根据MN 10的当前位置不需要改变安全模式,则该过程可进入到等待新的位置信息,并返回到步骤510。如果根据与MN 10的位置相关联的安全要求而需要改变安全模式,则在步骤540,根据与当前位置相关联的所要求的安全级别或模式,修改HA与MN 10之间的安全模式。该第二实施例能够控制所应用的安全级别以满足对诸如公司建筑的特定位置或例如穿过国界时设置的要求。
图6表示可在图3的步骤320和330中应用的第三实施例。在步骤610,检测在IP子网络中对MN 10建立新的IP流或更改现有IP流的需要。在步骤620,检查与新的或所更改的IP流相关联的安全要求。安全模式管理器可用于根据例如来自MN 10的应用的指示执行这些步骤。如果需要,则在步骤630,根据新的或所更改的IP流所要求的安全级别,修改用于MN10的安全模式。
安全模式管理器可用于在步骤320、620根据上层协议层所应用的安全过程或模式检测所应用的安全模式。安全模式管理器可检测到上层协议层已经将可靠的安全过程应用于新的或所更改的数据流,基于此,可在步骤620将加密设置成关闭。在另一个例子中,如果检测到在传输层使用安全套接层(SSL)或传输层安全(TLS)协议,则IPSec过程可以被省略。使用IPSEC以确保这种流的安全仅仅实现有限的好处;IPSec另外能够隐藏MN 10正通过HA 30与谁通话,而该流的实际内容已经得到传输层安全过程的保护。
在一个实施例中,MN 10可以被提供IPv6前缀,而不是唯一的IP地址。MN 10可决定使用来自所分配的前缀的多个地址,并将它们注册到HA 30。MN可使用一些地址以发送加密后的数据业务,使用一些地址以发送未加密的数据业务,即使它仅被连接到一个附着点。这使得MN 10可以基于每个流开启/关闭安全。
因此,对于MN 10的每个逻辑IP流,可以有选择地修改330、630安全模式。在MIPv6和DSMIP中,MN 10可以向HA 30注册多个CoA。MN 10能够通过特定的绑定控制这些流或会话。这可通过在HA创建与CoA相关联的流特定的绑定或过滤器实现。通过应用至少一些上述的特征,诸如图6的实施例,MN 10可以选择修改330、630特定绑定的安全模式。例如,MN 10可以向HA 30发送激活仅用于绑定缓存器中MN 10与HA 30之间的一个绑定的安全的特定绑定更新。
作为例子,MN 10已向HA 30注册了转交地址CoA1、CoA2和CoA3以及归属地址HoA1。MN 10可选择保护被指定用于HoA1<->HoA2的绑定的业务的安全(步骤330)。MN 10向HA 30发送绑定更新,其激活仅用于绑定缓存器中的一个绑定的安全。在这种情况下,用于与CoA2对应的链路的上行链路和下行链路用户平面业务得到保护。MN 10或HA 30可以选择保护与HoA相关联的任何一个或所有绑定。在另一个例子中,MN10具有3GPP和WLAN接口。MN 10可向两个接口注册CoA,但协商仅用于WLAN接口的用户平面安全。
因此,在MN 10和HA 30中的资源使用率得到进一步优化,因为不必要的安全关联可以被避免用于安全接入。如果用户平面安全协商没有考虑每个CoA,并且MN 10具有多个接口,则同样有多个安全关联,尤其对于HA 30,它们是不必要的负担。
因此,有不同的安全级别用于IP子网络40内MN 10的不同IP流。例如,IP子网络40内的某些IP流可以被加密,而其它的不被加密。这可以基于IP流的性质。例如,用于网页浏览的IP流不被加密,而响应于(建立新的IP流或使用现有IP流用于)连接到安全的电子邮件,在MN 10与HA 30之间加密被设置为开启。另一个例子可以是基于IP的语音(VoIP)或者HA 30运营商想要保护的其它服务。例如,运营商可能想要提供VoIP的安全,但对其它流不提供。
在又一个实施例中,步骤320和330可以响应于来自用户接口240的用户输入而执行。用户可以将MN 10配置成所有用户平面业务需要被保护。这可以是用户在被该用户认为是不可靠的国家或网络中漫游的情形。归属代理30装置的用户可以有权触发安全模式修改。移动节点10装置的用户接口240和/或归属代理30装置还可以有权改变控制一个或多个其它所公开的实施例的设置。例如,被授权的蜂窝运营商的雇员可以配置与接入网络或位置相关联的安全模式。
如已经指出的,在某些实施例中,以上在图3至图6中表示的过程可应用于移动节点10和/或归属代理30。现在研究其它有关在移动节点10和/或归属代理30中实现安全模式修改有关的特征的实施例。
不管是MN 10还是HA 30被配置为最初决定改变用于连接到IP子网络40的MN 10的安全模式,都需要信令机制以通知其它方(HA 30或MN 10)该变化。因此,执行决定改变安全模式的装置200可被配置为在步骤330后执行下一步骤以指示需要改变安全模式。图3的过程也可以被应用于接收这种指示的设备,其可以被看作是步骤320的触发器。这种所接收的指示将优先于在设备上存储的或较早前由策略服务器70提供的任何策略。
现有的IP移动性信令消息或新的信令消息可用于至少指示改变安全模式的需要。下面说明某些其它实施例。
在某些实施例中,MN 10最初决定修改(330)安全模式,例如通过应用上面所述的某些实施例。因此,MN 10可发送包括所应用的安全模式的指示或改变安全模式的需要的特定注册更新或绑定更新消息。
在一个用于MIP6的例子中,MN 10发送具有表明用户平面业务会或不会被加密的标记设置的绑定更新。如在图7的例子中所述的,基于RFC5555或RFC 3775的绑定更新消息700除了传统的信息之外,还可包括标记“S”710,其也被称为用户平面业务安全(UPTS)标记。当该标记被设置为开启时,这表明MN更愿意开启用户平面加密。当被清除时,MN更愿意不对用户平面业务使用加密。
HA 30处理来自MN 10的这种注册请求或绑定更新消息,并接着发送确认该请求的响应,并在该响应中设置用于用户平面业务安全的标记以相应地指示MN在MN与HA之间的链路上的业务会或不会被加密。如在图8的例子中所描述的,基于RFC 3675的MIP6绑定确认消息800或基于RFC 5555的绑定确认扩展可另外包括标记“S”810。当该标记被设置时,这表示HA确认或强烈推荐使用用户平面加密。当被清除时,HA不支持或不允许用户平面业务加密。
对图11和图12进行标记,标记1100至1120和1200至1220分别表示使用这种所更改的绑定更新和确认消息700、800以将加密设置成关闭。标记1150至1170和1250至1270表示这种所更改的绑定更新和确认消息700、800如何与正被加密的用户平面业务建立隧道1170、1280。
参照图5所示的第二实施例,MN 10可在IP移动性信令消息(诸如更改的MIP6绑定更新消息)中包括位置信息。HA 30可根据位置信息和/或绑定更新的源地址来确定例如用于用户平面业务的安全模式是否需要修改。
这可通过IP移动性信令消息的新扩展来实现,MIP6绑定更新消息900的这种扩展的一个例子在图9中示出。在该例子中,标记可以如下定义:N 910表明包括网络接入点信息,G 920表明地理位置信息的存在,C 930表明城市位置信息的存在。数据字段940例如可如下定义:如果标记N 910被设置,则该字段可包括接入网络有关的标识信息,诸如小区标识符。在另一个例子中,数据字段940可包括具有接入类型、运营商和接入点名称(APN)或SSID的字符串,例如,“3GPP:Elisa:Internet”或“WLAN:unknown:FREEHOTSPOT”。如果标记G 920被设置,则数据字段可包括例如在RFC 5491中描述的地理位置信息。如果标记C 930被设置,则数据字段940可包括如在RFC 4776中描述的城市位置信息。如果需要传送不同类型的位置信息,则该扩展的多个实例可在单个绑定更新消息中存在。
在某些实施例中,HA 30例如通过应用上述的某些实施例来决定修改(330)安全模式。因此,由于这通常发生在注册或绑定更新过程之外,因此,HA 30使用新的或某些现有的IP移动性信令消息以指示MN 10需要修改安全模式或者触发注册或绑定更新过程以协商安全模式的修改。
在一个实施例中,已经开发了新的移动IP绑定通知消息。这种消息1000的一个例子在图10中示出。绑定通知消息是信令消息,并可具有与任何其它移动IPv6信令消息相同的安全要求。MN 10可以被配置为触发绑定更新过程以响应接收绑定通知消息。移动性选项字段1010可以是可变长度的字段,其包括控制MN 10触发绑定更新过程的数据。移动性选项字段1010可以根据RFC 3775的第6.2部分形成。在一个例子中,除了类型字段和长度字段之外,还可以有通知代码字段和通知原因字段。通知代码可指示触发绑定更新,通知原因字段可指示安全模式改变。
应当指出,这种绑定通知消息的使用并不限于本发明的实施例的安全模式修改特征,而是这种消息可应用于其它目的或用途上下文。
在某些实施例中,策略服务器70用于提供帮助MN 10和/或HA 30检测(320)修改安全模式的需要的信息。策略服务器70可确定MN 10与HA 30之间所要求的安全级别或安全模式。这种策略服务器例如可以是AAA服务器或ANDSF服务器。该信息帮助MN 10或HA 30确定MN与HA之间所要求的移动IP安全模式,并可以在网络附着时被确定。
图11进一步表示策略服务器70发送与有关移动节点MN 10的网络附着点的变化1130有关的安全策略1140的实施例。该安全策略指示当前的接入网络是可信任的还是不可信任的。策略通常与网络附着一起发送,但也可以响应于移动节点10的运行环境的某些其它变化而发生。
根据来自策略服务器的该指示1140,MN 10确定(310)MN 10与HA 30之间所要求的安全模式。然后,响应于检测改变安全模式的需要,MN 10向HA 30发送绑定更新信令消息,其指示根据从策略服务器接收的策略,用户平面加密是否将被使用。HA 30根据在所接收的绑定更新消息1150中的指示来设置用于用户平面业务的安全模式。HA向MN发送绑定确认1160。绑定确认可包括所应用的安全模式的指示,诸如应用加密的指示。在图11的例子中,加密被设置为开启。然后,MN 10和HA 30可开始发送和接收根据基于策略服务器70所发送的策略而确定的安全模式加密的用户平面业务。
在另一个实施例中,如图12所示,在策略服务器与HA 30之间有接口,其用于向HA发送策略。例如,策略服务器可响应于MN 10附着到新的接入网络而发送策略。也可能是策略服务器向HA 30发送策略更新以指示MN 10所要求的新的安全级别。这可例如在图4至图6所示的一个情形中出现。响应于从策略服务器接收策略(更新),HA 30根据来自策略服务器的策略(更新)确定所要求的安全模式。然后,如果需要,HA 30向MN 10通知安全模式变化。在图12的例子中,加密被设置为开启。
移动节点10可被配置为向通信节点80提供有关它的当前位置的信息。至少某些当前公开的安全模式修改有关的功能可用于设置移动节点与诸如CN 80的通信节点之间的安全模式。
图13表示MN 10与CN 80之间用于更新移动绑定的通信的例子。为了直接与CN 80进行通信,MN 10可向CN发布(1300)绑定更新。与已针对HA 30说明的类似地,MN 10可将安全模式指示即标记S设置为开启或关闭。在图13的例子中,MN 10决定加密是需要的,并且标记S为1。CN发送确认1310,其还确认对于移动绑定,加密被设置为开启。然后,MN 10和CN 80被配置为加密用户平面业务1320。
应当指出,与来自HA 30的绑定确认类似地,CN 80可以在确认1310中将标记S设置为1以表示它更愿意通信被加密。然而,优选地,CN 80不能够这样强制加密。
在步骤1330,发生诸如接入点改变(410)、MN 10的位置改变(510)、或需要建立或更改IP流(610)的事件。MN 10检查1340在本地存储的策略,例如在存储器230中存储的策略。根据在本地查阅的策略,MN 10可检测修改较早前在移动IP CoA注册过程1300、1310中同意的安全模式的需要。应当指出,查阅在本地存储的策略可应用于上面所述的MN 10与归属代理30之间的安全模式的实施例。
在图13的例子中,根据不需要应用加密的安全策略,MN 10形成并发送1350绑定更新,其中标记S为“0”。CN 80发送带有新的安全模式的确认的绑定确认1360,MN与CN之间的用户平面数据可以被转换为1370未加密的。
在一个实施例中,当MN与HA之间的安全是基于IPSec时,至少某些IPSec过程可用于保护用户平面业务。因此,MN 10和HA 30包括IPSec协议实体。MN 10与HA 30之间的用户平面业务可通过在它们之间建立的用于保护用户平面数据的IPSec安全关联(SA)来保护。根据在步骤320中定义的安全模式,MN 10和HA 30的IPSec功能可以被配置为使用封装安全载荷(ESP)保护以保护HA 30与MN 10之间的业务。
然而,MN与HA之间的安全也可以用另一个协议配置,诸如传输层安全(TLS)、因特网密钥交换版本2移动性和多主协议(MOBIKE)或安全HTTP(HTTPS)。
应当指出,上述特征仅提出用于实现与配置自适应服务有关的特征可用方法的某些例子。例如,网络22中的代理网络节点或代理可以被配置为执行与归属代理30的信令并代表附着到网络的移动节点实现至少某些上述特征。可以进行各种修改,并且某些步骤可以按不同的顺序执行。
显然,对于本领域的普通技术人员来说,随着技术的进步,本发明的概念可以采用各种方式实现。本发明及其实施例并不限于上述的例子,而是可以在权利要求的范围内进行改变。
Claims (24)
1.一种方法,包括:
对于连接到IP子网络并在所述IP子网络中由转交地址标识的移动节点,促使建立具有安全模式的指示的因特网协议(IP)移动绑定;
检测修改用于连接到所述IP子网络的所述移动节点的安全模式的触发器;以及
响应于所述触发器,修改用于连接到所述IP子网络并由所述转交地址标识的所述移动节点的安全模式。
2.根据权利要求1所述的方法,其中,检测触发器包括:通过应用数据链路层移动性协议来检测所述移动节点移动到所述IP子网络内的新的接入网络或节点。
3.根据权利要求1所述的方法,其中,检测触发器包括:检测所述移动节点移动到与要求修改所述安全模式的安全要求相关联的地理位置。
4.根据权利要求1所述的方法,其中,检测触发器包括:检测对于所述移动节点建立具有不同安全模式的新的IP流或者更改现有IP流的安全模式的需要。
5.根据前面任一权利要求所述的方法,其中,所要求的安全级别的指示从策略服务器接收;
所述安全模式根据所述安全级别的指示来修改。
6.根据前面任一权利要求所述的方法,其中,修改所述安全模式包括:重新协商或建立因特网协议安全体系安全关联或传输层安全连接以能够加密与所述移动节点相关联的用户平面业务。
7.根据前面任一权利要求所述的方法,其中,促使建立IP移动绑定、检测触发器和修改所述安全模式由所述移动节点执行,以更改所述移动节点与移动锚点或通信节点之间的安全模式,而不改变所述转交地址。
8.根据权利要求7所述的方法,其中,检测触发器包括:检测从归属代理接收并具有触发更新移动IP绑定的指示的移动IP信令消息。
9.根据权利要求1至6任意一项所述的方法,其中,促使建立IP移动绑定、检测触发器和修改所述安全模式由移动IP归属代理执行,以更改所述归属代理与所述移动节点之间的安全模式,而不改变所述转交地址。
10.根据前面任一权利要求所述的方法,其中,来自所述移动节点的移动IP绑定信令消息包括有关所述移动节点位置的信息、所述IP子网络内所述移动节点的新的接入点或网络的信息和将要应用于所述移动节点的安全模式的指示中的至少一个。
11.根据权利要求1至6任意一项所述的方法,其中,促使建立IP移动绑定、检测触发器和修改所述安全模式由通信节点响应于来自所述移动节点的绑定更新消息而执行。
12.一种装置,包括:
至少一个处理器,
至少一个包括计算机程序代码的存储器,其中所述至少一个存储器和所述计算机程序代码被配置为用所述装置的所述至少一个处理器使所述装置至少执行:
对于被连接到IP子网络并在所述IP子网络中由转交地址标识的移动节点,促使建立具有安全模式的指示的因特网协议(IP)移动绑定;
检测修改用于连接到所述IP子网络的所述移动节点的安全模式的触发器;以及
响应于所述触发器,修改用于连接到所述IP子网络并由所述转交地址标识的所述移动节点的安全模式。
13.根据权利要求12所述的装置,其中,所述装置被配置为响应于通过应用数据链路层移动性协议来检测所述移动节点移动到所述IP子网络内的新的接入网络或节点,修改所述安全模式。
14.根据权利要求12所述的装置,其中,所述装置被配置为响应于检测所述移动节点移动到与要求修改所述安全模式的安全要求相关联的地理位置,修改所述安全模式。
15.根据权利要求12所述的装置,其中,所述装置被配置为响应于检测所述移动节点建立新的IP流或更改现有IP流的需要,修改所述安全模式。
16.根据权利要求12至15任意一项所述的装置,其中,所述装置被配置为根据来自策略服务器的所要求的安全级别的指示,修改所述安全模式。
17.根据权利要求12至16任意一项所述的装置,其中,所述装置被配置为通过重新协商或建立因特网协议安全体系安全关联或传输层安全连接以能够加密与所述移动节点相关联的用户平面业务来修改所述安全模式。
18.根据权利要求12至17任意一项所述的装置,其中,所述装置是移动通信终端设备,其包含所述移动节点,被配置为将所述转交地址注册到移动IP归属代理或通信节点,并被配置为更改所述移动节点与移动锚点或通信节点之间的安全模式,而不改变所述转交地址。
19.根据权利要求18所述的装置,其中,所述装置被配置为响应于来自所述归属代理的具有触发更新移动IP绑定的指示的移动IP信令消息,修改所述安全模式,或者被配置为响应于所述移动IP信令消息,发送绑定更新消息。
20.根据权利要求12至17任意一项所述的装置,其中,所述装置包含移动IP归属代理。
21.根据权利要求12至20任意一项所述的装置,其中,来自所述移动节点的移动IP绑定信令消息包括有关所述移动节点的位置的信息、所述IP子网络内所述移动节点的新的接入点或网络的信息和将要在所述归属代理与所述移动节点之间应用的安全模式的指示中的至少一个。
22.根据权利要求12至17任意一项所述的装置,其中,所述装置包含通信节点,其被配置为响应于来自所述移动节点的绑定更新消息,修改所述安全模式。
23.一种计算机可读存储媒体,其存储包括一个或多个序列的一个或多个指令的计算机程序,当所述指令由装置的一个或多个处理器执行时,使得所述装置至少执行:
对于被连接到IP子网络并在所述IP子网络中由转交地址标识的移动节点,促使建立具有安全模式的指示的因特网协议(IP)移动绑定;
检测修改用于连接到所述IP子网络的所述移动节点的安全模式的触发器;以及
响应于所述触发器,修改用于连接到所述IP子网络并由所述转交地址标识的所述移动节点的安全模式。
24.一种计算机程序产品,包括用于执行权利要求1至11任意一项所述的方法的计算机程序代码。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/642,230 | 2009-12-18 | ||
US12/642,230 US9408078B2 (en) | 2009-12-18 | 2009-12-18 | IP mobility security control |
PCT/FI2010/050837 WO2011073501A1 (en) | 2009-12-18 | 2010-10-25 | Internet protocol mobility security control |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102656861A true CN102656861A (zh) | 2012-09-05 |
CN102656861B CN102656861B (zh) | 2016-11-02 |
Family
ID=44153087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080057422.2A Active CN102656861B (zh) | 2009-12-18 | 2010-10-25 | 因特网协议移动性安全控制 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9408078B2 (zh) |
EP (1) | EP2514168B1 (zh) |
CN (1) | CN102656861B (zh) |
WO (1) | WO2011073501A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014043916A1 (zh) * | 2012-09-24 | 2014-03-27 | 华为技术有限公司 | 一种wlan接入方法和装置 |
CN111600914A (zh) * | 2020-07-27 | 2020-08-28 | 北京信安世纪科技股份有限公司 | 一种数据传输方法、服务端和客户端 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9401892B2 (en) * | 2011-04-01 | 2016-07-26 | Unify Gmbh & Co. Kg | Method for addressing messages in a computer network |
KR20140134821A (ko) * | 2013-05-14 | 2014-11-25 | 삼성전자주식회사 | 보안 방법 및 이를 구현하는 전자 장치 |
US9553849B1 (en) * | 2013-09-11 | 2017-01-24 | Ca, Inc. | Securing data based on network connectivity |
WO2015040280A1 (en) * | 2013-09-20 | 2015-03-26 | Notava Oy | Access control to wireless networks involving a policy proxy server |
JP6335516B2 (ja) * | 2014-01-15 | 2018-05-30 | キヤノン株式会社 | 通信装置、その制御方法、およびプログラム |
US10764944B2 (en) | 2016-11-30 | 2020-09-01 | At&T Mobility Ii Llc | Trust mode switching for wireless access points |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1458132A2 (en) * | 2003-03-11 | 2004-09-15 | Hitachi, Ltd. | Peer-to-peer communication apparatus and communication method |
US20070086382A1 (en) * | 2005-10-17 | 2007-04-19 | Vidya Narayanan | Methods of network access configuration in an IP network |
EP2007097A1 (en) * | 2007-06-19 | 2008-12-24 | Panasonic Corporation | Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3492865B2 (ja) | 1996-10-16 | 2004-02-03 | 株式会社東芝 | 移動計算機装置及びパケット暗号化認証方法 |
US6889328B1 (en) * | 1999-05-28 | 2005-05-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for secure communication |
US7325248B2 (en) * | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
US7606242B2 (en) * | 2002-08-02 | 2009-10-20 | Wavelink Corporation | Managed roaming for WLANS |
US7522906B2 (en) * | 2002-08-09 | 2009-04-21 | Wavelink Corporation | Mobile unit configuration management for WLANs |
US7526800B2 (en) * | 2003-02-28 | 2009-04-28 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
JP4305087B2 (ja) | 2003-07-28 | 2009-07-29 | 日本電気株式会社 | 通信ネットワークシステム及びそのセキュリティ自動設定方法 |
JP4682580B2 (ja) * | 2003-10-28 | 2011-05-11 | パナソニック株式会社 | アドレス情報設定方法および移動端末 |
KR20050058935A (ko) * | 2003-12-13 | 2005-06-17 | 삼성전자주식회사 | 바인딩 관리 장치, 바인딩 관리 방법, 그 방법을 수행하는프로그램이 기록된 컴퓨터 판독가능한 기록매체 |
PT2341723E (pt) * | 2004-09-30 | 2013-03-27 | Telecom Italia Spa | Método e sistema para o controlo da mobilidade numa rede de comunicações, rede relacionada e programa de computador correspondente |
US7461398B2 (en) * | 2004-10-21 | 2008-12-02 | At&T Intellectual Property I, L.P., By Transfer Of Ownership From At&T Delaware Intellectual Property, Inc. | Methods, systems, and computer program products for dynamic management of security parameters during a communications session |
WO2006137037A1 (en) * | 2005-06-24 | 2006-12-28 | Nokia Corporation | Adaptive ipsec processing in mobile-enhanced virtual private networks |
US7680123B2 (en) * | 2006-01-17 | 2010-03-16 | Qualcomm Incorporated | Mobile terminated packet data call setup without dormancy |
CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
US8849983B2 (en) * | 2006-03-16 | 2014-09-30 | Futurewei Technologies, Inc. | Method and system for updating and retrieving state information for mobile nodes in a communication network |
US8045522B2 (en) * | 2006-10-27 | 2011-10-25 | Futurewei Technologies, Inc. | Method and system for performing handoff in wireless networks |
US8406237B2 (en) * | 2006-11-17 | 2013-03-26 | Qualcomm Incorporated | Methods and apparatus for implementing proxy mobile IP in foreign agent care-of address mode |
JP4794520B2 (ja) * | 2007-05-16 | 2011-10-19 | Kddi株式会社 | ネットワーク主導型移動管理プロトコルにおける通信経路を最適化するシステム、アクセスゲートウェイ、ホームエージェント、およびプログラム |
US8191106B2 (en) | 2007-06-07 | 2012-05-29 | Alcatel Lucent | System and method of network access security policy management for multimodal device |
EP2015535A1 (en) * | 2007-07-10 | 2009-01-14 | Panasonic Corporation | Detection of mobility functions implemented in a mobile node |
EP2091204A1 (en) * | 2008-02-18 | 2009-08-19 | Panasonic Corporation | Home agent discovery upon changing the mobility management scheme |
-
2009
- 2009-12-18 US US12/642,230 patent/US9408078B2/en active Active
-
2010
- 2010-10-25 WO PCT/FI2010/050837 patent/WO2011073501A1/en active Application Filing
- 2010-10-25 EP EP10837096.6A patent/EP2514168B1/en active Active
- 2010-10-25 CN CN201080057422.2A patent/CN102656861B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1458132A2 (en) * | 2003-03-11 | 2004-09-15 | Hitachi, Ltd. | Peer-to-peer communication apparatus and communication method |
US20070086382A1 (en) * | 2005-10-17 | 2007-04-19 | Vidya Narayanan | Methods of network access configuration in an IP network |
EP2007097A1 (en) * | 2007-06-19 | 2008-12-24 | Panasonic Corporation | Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014043916A1 (zh) * | 2012-09-24 | 2014-03-27 | 华为技术有限公司 | 一种wlan接入方法和装置 |
CN103828442A (zh) * | 2012-09-24 | 2014-05-28 | 华为技术有限公司 | 一种wlan接入方法和装置 |
US9763183B2 (en) | 2012-09-24 | 2017-09-12 | Huawei Technologies Co., Ltd. | WLAN access method and apparatus |
US10306551B2 (en) | 2012-09-24 | 2019-05-28 | Huawei Technologies Co., Ltd. | WLAN access method and apparatus |
US10952135B2 (en) | 2012-09-24 | 2021-03-16 | Huawei Technologies Co., Ltd. | WLAN access method and apparatus |
US11611932B2 (en) | 2012-09-24 | 2023-03-21 | Huawei Technologies Co., Ltd. | WLAN access method and apparatus |
CN111600914A (zh) * | 2020-07-27 | 2020-08-28 | 北京信安世纪科技股份有限公司 | 一种数据传输方法、服务端和客户端 |
CN111600914B (zh) * | 2020-07-27 | 2020-11-24 | 北京信安世纪科技股份有限公司 | 一种数据传输方法、服务端和客户端 |
Also Published As
Publication number | Publication date |
---|---|
EP2514168B1 (en) | 2018-10-10 |
CN102656861B (zh) | 2016-11-02 |
WO2011073501A1 (en) | 2011-06-23 |
US9408078B2 (en) | 2016-08-02 |
EP2514168A1 (en) | 2012-10-24 |
US20110154432A1 (en) | 2011-06-23 |
EP2514168A4 (en) | 2013-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110268734B (zh) | 使用不可信网络的互通功能 | |
Liu et al. | Distributed mobility management: Current practices and gap analysis | |
EP2837242B1 (en) | Wireless communication device, communication system and method for establishing data connectivity between a wireless communication device and a first access network | |
ES2957533T3 (es) | Métodos y aparato para su uso para facilitar la comunicación de información de redes vecinas a un terminal móvil con la utilización de una solicitud relacionada con un protocolo compatible con RADIUS | |
Soliman et al. | Hierarchical mobile IPv6 (HMIPv6) mobility management | |
CN102687537B (zh) | 媒体无关切换协议的安全 | |
CN102656861A (zh) | 因特网协议移动性安全控制 | |
US7554949B2 (en) | Filtering data packets at a network gateway working as a service-based policy (sblp) enforcement point | |
EP2116070B1 (en) | Media independent pre-authentication supporting fast handoff in proxy mipv6 environment | |
EP2095595B1 (en) | Mobile IP proxy | |
JP5524338B2 (ja) | 移動局の無線アクセス技術機能に関する情報の受信 | |
US20070191014A1 (en) | Authentication mechanism for unlicensed mobile access | |
CN104335637A (zh) | 接入点检测 | |
US20110013566A1 (en) | Communication method, communication system, mobile node, access router | |
CN104247505A (zh) | 用于利用anqp服务器能力增强andsf的系统和方法 | |
JPWO2014112638A1 (ja) | 移動通信システムおよびue | |
US8730869B2 (en) | Mobility management system, home agent, mobile terminal management method used for them, and its program | |
JP4908519B2 (ja) | 移動局の所在地を伝える方法およびデバイス | |
US9596597B2 (en) | Mobile security protocol negotiation | |
Fu et al. | QoS and security in 4G networks | |
Soliman et al. | Rfc 5380: Hierarchical mobile ipv6 (hmipv6) mobility management | |
Kwon et al. | Consideration of UMTS-WLAN seamless handover | |
KR101575578B1 (ko) | IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법 | |
Lee et al. | A context-aware seamless interoperator roaming management framework in 4g networks | |
Pellikka et al. | Comparison and analysis of Secure Mobile Architecture (SMA) and evolved packet system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20151224 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |