CN103997501A - 在采用pep和ran的通信系统中传输数据分组的方法和装置 - Google Patents
在采用pep和ran的通信系统中传输数据分组的方法和装置 Download PDFInfo
- Publication number
- CN103997501A CN103997501A CN201410245086.4A CN201410245086A CN103997501A CN 103997501 A CN103997501 A CN 103997501A CN 201410245086 A CN201410245086 A CN 201410245086A CN 103997501 A CN103997501 A CN 103997501A
- Authority
- CN
- China
- Prior art keywords
- pep
- packet
- transmission
- station
- supportive device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/169—Special adaptations of TCP, UDP or IP for interworking of IP based networks with other networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
- H04W88/182—Network node acting on behalf of an other network entity, e.g. proxy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用于在采用PEP和RAN的通信系统中传输数据分组的方法和装置,该通信系统具有在数据分组的发送站和接收的站之间的传输路段,和具有用于支持在所述传输路段的至少一个部分上传输的,连接在其间的支持装置和/或支持功能,在此方法中,支持装置接收,并向接收站发送来自发送站的数据分组,其中,支持装置通过采用标题数据来监控数据分组在传输路段的受支持部分上的安全传输,以及必要时促使重新发送有差错的或丢失的数据分组。为了改善总传输效率而建议,尤其在高的系统负荷时,抉择装置将加密的数据分组在支持装置旁引导经过,这些加密的数据分组在支持装置中对于处理不能被充分识别。
Description
本申请是申请号为03815170.7、申请日为2003-4-15、发明名称为“在采用PEP和RAN的通信系统中传输数据分组的方法和装置”的发明专利申请的分案申请。
技术领域
本发明涉及一种用于在采用支持传输装置(PEP-性能增强代理)的通信系统中传输数据分组的方法。
背景技术
在例如移动无线网的无线支持的通信系统中,传输不同大小的数据分组。这种数据分组通常包括一个标题(英语Header)和一个数据段。关于接收机的、发送机的、以及有可能在数据路径上中间站地址的信息位于标题中。此外附加的信息,例如一个用于以正确的分组顺序在接收机方再建原始数据流的数据分组号,或用于标记某些数据编码或传输条件的标志(英语Flags)也位于标题中。
将例如像所谓的TCP(传输控制协议)那样的传输控制协议,用于控制尤其在网络方的站中的数据流。由于TCP通信连接只提供恶劣的通信连接条件,所以为了在也称为RAN(无线访问网)网络的无线支持的部分中改善TCP通信连接,而采用一个协议或多个协议的逻辑连接,这些多个协议称为PEP(性能增强代理),并在网络的中间节点中实现。
在这种环境中TCP对于所有的分组丢失做出反应,这些分组丢失基于例如转交到其它站上(越区转接)时的比特误差,或由于通过调用相应的算法,例如通过阻塞检查和用于避免问题的、或用于重新传输或申请数据分组的算法而引起的衰落。这种调用却给总系统增加了负担,并导致总传输效率的恶化。
PEP是无线通信连接控制功能(RLC:无线链路控制)的功能性补充,在无线接入网中规定了这些无线通信连接控制功能。在有较强负荷的无线接入网中,PEP应改善TCP的效率,以便实现较好的数据通过量或分组通过量。在有些系统中,例如在WCDMA网络(WCDMA:无线码分多址)中,在较少的负荷状态下RLC协议的较低层的功能充分满足于实施TCP/IP协议(IP:因特网协议)。但是在高负荷的网络中,如果需要负载控制,例如在WCDMA系统中在采用UDD业务时,则有需要使用PEP,以便避免阻塞控制或时限已到问题,否则通过TCP协议会出现该阻塞控制或时限已到问题。
根据所谓的IP安全性,完全加密的数据分组的传输也尤其是成问题的,其中,将包括主要标题信息的,要传输数据分组的整个数据内容完全加密。在这种情况下,PEP由于缺少访问数据分组号的可能性而不再能合宜地用作中间站,因为禁止它访问主要的数据。也公知的是,在某些情况下将用于信息解密的必要的密钥通知PEP,使得也可以在这种加密的分组上使用该PEP。然而在许多情况下密钥信息对于PEP来说是不知道的。
本发明的任务在于改善通信系统,该通信系统在传输数据分组时采用支持传输的装置,尤其是PEP。
通过一种用于在通信系统中传输数据分组的方法,以及通过一种用于执行这种方法的装置来解决该任务。
根据本发明的用于在通信系统中传输数据分组的方法,该通信系统具有在发送数据分组的站和接收站之间的传输路段,和具有用于支持在所述传输路段的至少一个部分上传输的、连接在其间的支持装置,在此方法中,所述的支持装置接收并向所述的接收站发送来自所述发送站的数据分组,并借助标题数据在所述传输路段的受支持部分上监控所述数据分组的传输,其中抉择装置引导加密的数据分组在所述的支持装置旁经过,这些加密的数据分组不为所述的支持装置所知,取决于系统负荷在所述的抉择装置中做出抉择,并且将加密的数据分组和/或消息引导给所述的支持装置,对于这些加密的数据分组和/或消息存在着密钥,用于将至少对于所述的支持装置必要的标题数据解密。
优选地,所述的支持装置接收和向所述的发送站发送所述接收站的有关所述数据分组的消息,以及所述的抉择装置引导加密的消息在所述的支持装置旁经过,这些加密的消息在所述的支持装置中对于处理不能被充分识别。所述的支持装置支持通过无线接口的传输。取决于发送站方预先规定的安全性准则,在所述的抉择装置中对于所述的传输做出抉择。通过TCP通信连接进行所述的传输。在转送之前重新加密所述的数据分组和/或消息。根据基于IP的业务准则来执行所述数据分组和消息的传输。
根据本发明的一种装置,具有支持装置,用于取决于数据分组的标题数据,在通信系统中的传输路段的受支持部分上,支持将发送站的数据分组向接收站传输,还具有抉择装置,用于引导加密的数据分组在所述的支持装置旁经过,这些加密的数据分组不为所述的支持装置所知,其中取决于系统负荷在所述的抉择装置中做出抉择,并且用于将加密的数据分组和/或消息引导给所述的支持装置,对于这些加密的数据分组和/或消息存在着密钥,用于将至少对于所述的支持装置必要的标题数据解密。
优选地在所述装置中附加地构成了所述的支持装置,用于取决于所述消息的标题数据,支持在传输路段的受支持部分上传输接收站的分配给所述数据分组的消息,以及附加地构成了所述的抉择装置,用于抉择将所述接收的消息引导到所述的支持装置上,或在该支持装置旁引导经过。
附图说明
以下借助附图来详述实施例。这些附图是:
图1示意地展示了用于执行这种方法的通信网站;
图2示意地展示了站之间的数据流;
图3A示意地展示了在安全传输时的传输工作方式的基本思路;
图3B展示了信息为此在数据分组中的分布;
图4A展示了根据对于IP 安全的数据分组的隧道工作方式的数据传输;
图4B展示了数据为此在数据分组中的布置;
图5示意地展示了通过具有PEP的无线网控制装置的IP数据分组流;
图6展示了在这种PEP中抉择搜索(Entscheidungsfindung)的流程图;
图7展示了不同协议的效率图(Leistungsdiagramm),以及
图8展示了示范性的方法流程和抉择流程。
具体实施方式
如从图1中可以看到的那样,示范性的通信系统由网络方的段和用户方的段组成。所述的概念,网络方和用户方,在此仅仅用来区别在通信系统的网络支持或无线支持的段中的不同的站。在网络方,将例如以地点固定的主机FH形式的网络方的站连接在核心网CN上。这些网络方的站通过核心网CN彼此通信,或与用户方的站,例如所谓的移动主机MH来通信。在此,从核心网CN通向用户方的站MH的通信连接,优选引导通过网关GW和无线网控制装置RNC(Radio Network Controller,无线网控制器)。在无线网控制装置RNC上连接了一个或多个网络方的无线站NB(节点B),这些网络方的无线站NB可以与一个或多个用户方的,和尤其与无线支持的站MH 建立无线支持的通信连接。可以根据不同种类的标准,例如根据因特网协议IP的,和/或UMTS(通用移动电信系统)的规定来建立通信网。
如从图1中示意性的局部放大图中可以看出的那样,将数据或数据分组从核心网CN出发引导通过无线网控制装置RNC。提高效率的,或支持传输的代理PEP(性能增强代理)位于无线网控制装置RNC中,该代理PEP在功能上作为传输控制协议来支持TCP(传输控制协议)。尤其在出现了高的通信负荷的时候实现支持。当PEP主要作为装置和/或无线网控制装置RNC的功能来示出时,PEP也可以作为独立的装置和/或通信系统中的功能来提供,或是通信系统的另一个装置的组成部分。
选择性地通过两个不同的数据路经,将到达的数据分组引导通过无线网控制装置,或接纳PEP的装置。第一数据路径X在此直接引导通过PEP,而第二数据路径Y绕过PEP。在输入方相应地提供抉择装置和/或开关装置SP,做出抉择,应通过数据路径X或Y中的哪一个来引导到达的数据分组。开关装置SP同样可以构成为独立的装置,而且尤其也可以是PEP的输入方的组成部分。
这种装置实现了具有高度灵活性的PEP与数据负载率匹配的用途,其中,也可以将业务的类型或要求的业务质量(QoS业务质量)用作抉择准则,或用于某些到达的数据分组或其通信连接的其它抉择准则。PEP匹配的用途尤其实现了,不同的通信连接在以下的情况下从协议补充中获益,即不必接受安全性妥协,或对PEP的用途施加另外的限制。
当前因此尤其要说明PEP在无线接入网中匹配应用。为了示范性说明,但是不局限于专门的通信系统,以下从下述情况出发,将无线网控制装置RNC设置为无线网中的网络方智能单元,PEP因此设置在网络方,而功能则定位在无线网控制装置中。但是可替代地也可以在另外的网络方的装置中,或例如在相反的传输方向中也在用户方的装置中采用PEP,或采用PEP作为独立的装置。
为了改善TCP通信连接的效率,有利地对于较差的通信连接条件的情况,应在无线网控制装置中实现PEP的功能性。由于在无线网控制装置RNC中的无线通信连接控制协议(RLC:无线链路控制),在较小的数据负荷率时自己可以处理在无线支持的通信连接中的大多数的数据分组丢失或数据丢失,而不至于不利地恶化这些或另外的通信连接的总传输速率,所以在这种情况下不需要在无线网控制装置中实施PEP的功能。所以合理地仅在具有高数据负荷的情况下,即在以较高的概率会由于时限已到而出现数据传输请求和类似物的情况下,激活在无线网控制装置中实现PEP。换言之,特别优选根据一种实施形式自适应地控制使用PEP。
当今原则上存在着运行通信连接的两种分开的工作方式,即一种具有分散地,或从PEP角度远距地监查控制数据传输的工作方式(分散的方式),和一种具有集中监查控制数据分组的工作方式。在具有远距监查控制的工作方式中,将TCP通信连接实现为网络方站FH和移动用户方站MH之间的终端对终端通信连接,其中,未安排传输层上的无线网控制装置RNC和/或PEP的介入来用于通信连接改善。在信道条件是可以认可的和不极端不利地影响根据协议的效率的情况下采用该工作方式。在这些情况下,无线通信连接控制协议的功能对于支持TCP通信连接是足够的。
在具有集中监控的工作方式的情况下,相反地TCP通信连接引导通过用PEP或其功能性所配备的无线网控制装置,以便改善协议的效率。对于信道条件恶劣的情况,例如由于系统的高负荷率,容量上用尽的用户方的站MH和类似的原因,而配置了集中的工作方式。
图2示出了两种工作方式,其中,在上面的传输段中画出了集中的工作方式,而在附图的下部画出了远距监控的工作方式。在此,分别示出了网络方的站FH和用户方的站MH作为装置,在这些站之间建立了TCP通信连接。无线网控制装置RNC位于这些站之间。
在集中工作方式的情况下,在无线网控制装置RNC中提供了PEP功能性。第一TCP通信连接TCP HOST-RAN在此从网络方的站FH引导到无线接入网,或其无线网控制装置RNC。第二TCP通信连接TCP RAN从无线网控制装置RNC,或其在无线接入网RAN的网络方上的PEP功能性引导到向用户方的,或无线支持的站MH。
在分散或远距监控的工作方式中,TCP通信连接TCP终端作为终端对终端通信连接直接从网络方的站FH引导到无线支持的用户方的站MH。只要安排了PEP功能性,在这种情况下优选在TCP通信连接的终点中,也就是在网络方的站FH或用户方的站MH中提供相应的PEP功能。
以下优选考察一种实施形式,该实施形式经受集中的、通信连接方式的和可以重新配置的方法。在分散或远距监控的工作方式期间,无线网控制装置RNC连续监控信道条件,例如衰落和干扰电平。无线网控制装置RNC,或选择性地抉择装置或开关装置SP基于可使用的信息来抉择,它是否应在集中的工作方式下工作。只要信道条件良好和干扰微小,无线通信连接控制则可以毫无问题地处理出现的丢失,并不进行到集中的工作方式下的转接。
以下来说明用于转接到集中的工作方式下的,或用于选择性引导到达的数据分组通过PEP的步骤。
步骤A:无线网控制装置RNC连续监控通信连接条件或信道条件。
步骤B:如果信道条件良好或数据负荷微小,则重复步骤A。否则无线网控制装置RNC激活具有PEP功能性的PEP模块。
步骤C:无线网控制装置,或选择性地位于其中的开关装置SP,对于各个通信连接或数据分组从采用PEP方面来检查其兼容性。尤其通过安全性考虑来确定兼容性测定的结果:
在大多数情况下,PEP可以处理安全协议已应用在其上的通信或数据分组,其中,通常在传输层之上应用安全协议。这种层也称作为安全的接头层(SSL:Secured Socket Layer,安全插口层),因为所属的SSL协议在TCP/IP(IP:因特网协议)之上,并在更高层上的协议,例如HTTP(超级文本传输协议)或IMAP(因特网消息访问协议)之下来运行。根据在此应用的协议不将TCP标题加密,使得PEP可以访问数据,并因此获得巧妙处理(manipulieren)相应的数据确认的可能性。例如这实现了,PEP给所接收的数据分组的发送者回送确认,该确认否则本来会已由数据分组的本来的接收机发送到了发送机上。以此方式方法可以确保,数据分组已无误差地经历了直至PEP为止的路段,使得对于继续的发送,仅还要渡过和监控在作为中间连接的发送机的PEP和本来的接收机,例如在无线接口的另一侧的用户方站MH之间的路段。
当今却仅有有限数量的应用包含对于采用传输层安全性的支持。另一方面可以通过任意的应用也采用又称为IPsec(IP安全性)的,所谓的网络层安全性。该网络层安全性对于应用是透明的,并提供访问控制,数据完整性,鉴权和可信赖性。所有这些业务的前提是,具备了IP和更高层协议的保护保证。
实际上网络层安全性IPsec不仅提供了信息数据的数据完整性,而且也提供了与此有关消息的或控制数据的数据完整性,也就是例如传输层上的确认(sACK),使得入侵者不能使用信息,例如网络统计,即确认的流,以便实施入侵。否则黑客可能例如入侵TCP标题,并将窗口大小改变为零,这会迫使主机(Host)或发送数据的站FH或MH进入保持(Beharrung)工作方式(持续(persist)方式),并停止发送数据。对于入侵者也可能会再生相同的确认号,使得主机将相应的确认解释为复制的确认,这会导致减小窗口大小,并因而会导致减少通过量。除此之外,甚至于还可能促使脱落(herunterfahren)通信连接。
在将网络层安全性IPsec用于防止入侵和类似事情,即最广泛地加密数据分组的所有情况下,以集中工作方式使用的PEP 不能对通信产生影响,因为它,由于IP分组的加密,不能分析研究IP数据分组的TCP标题。借助网络层安全性IPsec的加密机制来加密IP分组,则生成具有安全有用负载标题(ESP:Encapsulating Security Payload,密封安全的有用负载)的新的数据分组,这些新的数据分组不仅以传输工作方式,而且以隧道工作方式,使得本来的TCP标题和本来的有用负载,或信息数据对于PEP是不可理解的。
如从图3A中可以看出的那样,通过因特网或核心网CN以一种方式方法来实现在网络方的站FH和无线支持的站MH之间的数据分组的传输,在该方式方法中安全条件在传输工作方式下阻止对数据的访问。如从图3B中可以看出的那样,用于在传输工作方式下传输的这种数据分组,由一个IP标题,一个ESP标题和一个加密的段组成。加密的数据又由TCP标题和本来的TCP有用数据或TCP信息数据组成。
典型地在点对点通信,或对等关系(Peer-to-Peer)通信中,从两种工作方式中采用传输工作方式,以便提供中间路段用的网络安全性。相应地将本来的数据分组加密,其中,不将IP标题加密,使得它可以被读取,并由任意的标准化的装置或软件功能来使用。因此也可以由PEP使用这种数据分组。
为此可替代地有一种隧道工作方式,该隧道工作方式用于访问远距离的站,并提供从一个所在地到另一个规定所在地的安全性(实线电路和实线电路间(Side-to-Side)的安全性)。这尤其随同包含了虚拟的专用网。
如从图4A中可以看出的那样,例如从第一虚拟的专用网VPN 1向第二虚拟的专用网VPN 2建立数据通信连接。分别在这些虚拟的专用网VPN 1,VPN 2中的每一个上,中间连接了路由器,即用作为通向因特网或任意另外网络的安全网关的引导装置。通常位于该两个路由器之间的通信连接路段上有其它的路由器,这些其它的路由器组织数据分组通过中间连接的网络的转送。
如从图4B中可以看出的那样,在隧道工作方式时将要发送的数据分组完全加密,并以新的数据分组的形式通过中间连接的网络来发送。这种具有网络层安全性加密IPsec的发送数据分组通常包括一个新的IP标题,该IP标题指向目标地址,或安全的中间站。在该IP标题之后跟随着ESP标题。然后一个序列数据挂在此后,该序列数据是完全加密的,并包括本来的原始IP标题,TCP标题和TCP数据。在此因而完全加密了本来IP标题的原始信息,使得它对于PEP或另外的中间连接的装置和功能是不可利用的。由标题和有用负载组成的整个原始的数据分组因而被加密,并获得根据网络层安全性IPsec预先规定的新标题,其中,该新的标题划分为至少一个ESP标题字段和至少一个具有自动附件(Anhang)(Trailer,尾部)的IP标题字段,使得受保护的所在地的布局隐匿在数据通信连接的本来的末端上。
当在图4A实施例的以上说明中出发点曾在于,所有中间连接的站都不能访问本来加密的数据,使得完全加密的数据分组没有利用提高效率的功能的可能性地通过PEP模块,或围绕该PEP模块来迂回传送的时候,则也有可能,相应的用户可以信赖中间连接的站中的,例如图4A的路由器中的PEP,并将密钥通知该PEP。在这种情况下,在终端系统之间中间连接的PEP为了它的处理目的在此期间取消网络层安全性IPsec,使得可以使用它的提高效率的功能。在通常的情况下,终端方系统的用户却不信任中间连接的PEP,因为没有任何东西像终端对终端安全性那样安全,因为当为了布置在中间的处理而将通信或数据解密时,存在着可能泄露它们的危险。
对于将中间连接的网络认可为安全的网络和获得告知解密码的情况,也有可能,仅在直至这种中间连接的网络为止的路段上,和在从该中间连接的网络通向下一个安全点的路段上,根据网络层安全性IPsec加密地来传输数据分组,而在中间连接的安全的网络之内不加密地,或用较少费事的加密根据传输工作方式来进行传输。在这种情况下,因而在通信连接线路的不同路段上以不同的方式方法来实现安全性,使得在中间连接的网络中可以以有利的方式方法来使用PEP。一种可能的措施是所谓的多层IP安全性,在该多层IP安全性中在一个层上将TCP标题加密,并且PEP包含用于TCP标题解密的安全关联性(Assoziation),其中,经越整个的终端对终端线路来加密TCP有用负载,即本来的信息数据。这使得面对运营商和PEP的功能性的信任较少重要,当然提高了网络层安全性方案的复杂性。
站或其使用者/用户因而具有选择网络层安全性IPsec的可能性,其中,此外还可以确定采用防止入侵的一种高的安全度,但却也不实现在较有效的数据传输方面的妥协,或者例如在正常应用时关断高的安全性,这具有从较高数据通过量的角度涉及安全性的妥协的后果。合理地应如此来配置站或主机MH或 FH,使得支持两种分组类型,加密的和不加密的分组。
为了在网络方,或从支持PEP的装置方可以相应地正确处理到达的数据分组,提供一个小的执行抉择的装置,当前把开关装置SP作为抉择装置。当前例如布置在无线网控制装置RNC中的抉择装置或开关装置SP,对于未曾将网络层安全性IPsec应用于数据分组的情况,向PEP转送该数据分组,尤其IP数据分组,并让借助网络层安全性IPsec加密的数据分组在PEP旁通过。在图1和图5中示意地示出了相应的数据路径X或Y。对于双向传输数据分组的情况,合理地也在这种装置的另一侧上设置抉择装置SP,用于在相反方向上传输数据分组。
为了可以识别,是否或如何编码了所接收的数据分组,可以在数据分组中根据在这里示范性的因特网协议IP,追查标题中的字段,在该字段中说明了,曾采用了何种协议类型。使用记录在该字段中的符号,通常为一个数字,采取的(zugreifende)应用可以容易地确定,是否用像网络层安全性IPsec那样的安全功能性保护了相应的数据分组,并随即采取在进一步处理该数据分组方面的抉择。根据标准IPv4将标题中的该字段表示为“protocol,协议“,并根据IPv6将该字段表示为“next header,下一个标题“。对于存在着ESP标题的情况,根据当今通常的协议该字段含有十进制数字50。
对于PEP值得信赖,即具有安全性分配密钥的情况,将数据分组解密,引导通过PEP模块,并然后重新加密,以及最后向数据分组的目标地址转送。
图5展示了IP分组从一个站穿过无线网控制装置RNC向另一个站的传输。在所示出的实施形式中,不仅在加密的分组和未加密的分组之间,而且附加地也在具有存在于该装置中的所分配的安全性分配密钥的加密的分组之间做出区分。由抉择装置SP通过直接的数据路径Y,将对其不存在密钥的加密分组向无线网控制装置的输出端来引导。因此对于这些数据分组进行透明的传输。与此相反地,通过另一个数据路径X向PEP引导未加密的分组和在该装置中可能被解密的分组,以便在那里按照它的功能性来处理。随后进行重新的加密,并通过无线网控制装置的输出端在本来的接收站方向上进行继续传输。在此,可以选择性地在抉择装置SP,PEP,或该总装置的一个其它的装置中,从事数据分组的加密和解密,对于这些数据分组在该装置中存在着一对密钥。相应的内容当然也适合于用于转送数据分组的重新加密。
图6表明了在抉择装置SP中,从安全性特征的角度在该装置中必要的控制方法的一种可能流程。在一个数据分组到达抉择装置SP中之后启动方法流程(启动)。在第一抉择步骤中来检查, IP标题的“协议“字段中的十进制数字是否具有值“50“。如果不是这种情况,则直接通过数据路径X向PEP模块转送该数据分组。如果值符合“50“,则检验,PEP是否是安全系统的部分,以及是否在装置中存在着相应的安全密钥。如果是肯定的,则同样通过数据路径X向PEP模块转送该数据分组。如果是否定的,则直接通过数据路径Y向装置的输出端,或在目标地址的方向上转送数据分组。在那里相应地处理输送给PEP模块的数据分组,并在重新加密之后同样向装置(RNC)的输出端转送。
除此之外可以考虑许多其它的功能,例如对于大多数的IPsec实现有可能的是,这些IPsec实现具有在两个不同的IP地址之间的安全关联性,并且只要实现了像在图6中示出的第二查询步骤中那样的这种功能性,就可以相应地接通或关断这些安全关联性。当然对于其它的安全协议和安全系统,也可以附加或替代地转换同样的内容。在具有PEP的装置中这种方法流程,给数据分组的发送机或发送站提供了巨大的灵活性,因为在发出数据分组时可以选出,这些数据分组是否应根据网络层安全性IPsec来加密,应根据较简单的安全系统来加密,或应没有任何保护地来自由传输。
因此在发送数据分组时可以在发送机方抉择,是否应在集中的工作方式下,或在远距监控的工作方式(分散的模式)下来传输数据分组,其中,相应地可以由通信连接线路上的一个或多个PEP根本不能,完全能,或仅在值得信赖的PEP时充分利用功能性。
最后,集中的工作方式提供了高的通过量,并与尤其是预先规定的地点固定的主机作为网络方的站FH来起作用。不过在此在无线网控制装置RNC,或接纳PEP的装置之内的切换期间,容忍信令超载(shifting context,移动前后关系)。前后关系在此对于用于传输无线网控制装置之内的转交(übergabe或切换)功能是必要的。此外,安全性方面的妥协是必要的。与此相反在具有远距监控的工作方式下具备了较高的安全性,而在无线网控制装置RNC之内转交时信令工作量是较少的。不过在这种情况下,如果应确保尽可能最佳的支持,在数据通信连接的终端上的站FH则必须懂得PEP协议。
两种工作方式在此基于两种不同的措施(Ansatz),用于在有丢失系统中,即尤其在无线支持网络中的TCP上来改善效率。在PEP实现在无线网控制装置中的集中工作方式的情况下,代理,即PEP,掩盖来自或相对于TCP发送机的任何非阻塞决定的丢失,并因此使得在已有发送机实现方面的变化成为不必要。在该措施后面的直觉在于,问题是局部的,并应局部地,即仅在无线支持的通信连接的范围内,而不在固定网中的通信连接线路的其它范围内加以解决。
在具有远距监控工作方式的情况下,通过采用选择性的确认SACK(选择性的确认),或采用清晰的丢失报告ELN(清晰的丢失通知)来处理无线支持的通信连接上的丢失。
集中工作方式中的一个实例是当前用于TCP可靠的通信连接层协议,例如像已由UC Burkley开发的所谓的SNOOP协议。模拟已经展示了,尤其在比较高的比特误差概率时该措施提供效率的改善。可以用以下的说明来描述主要特征:一个PEP模块捕获进入的分组。在无线支持的通信连接上的分组丢失的情况下,PEP模块重新从其缓冲存储器,或超高速缓冲存储器中发送丢失的分组,阻塞所有复制的确认,并防止这些复制的确认到达原始发送的主机或发送站FH,因为未调用阻塞控制算法或类似物,并可以保住通过量。在该措施上的缺点在于,在无线网控制装置RNC之内的转交可能由于在通信连接状态下的传输而引起滞后,在无线网控制装置中存储了该通信连接状态。此外,该措施与网络层安全性IPsec的采用不兼容,因为不能,或仅选择性地可能访问完全加密的TCP标题。
具有远距监控的工作方式使得终端对终端协议成为必要,这些终端对终端协议要求TCP发送机,当前网络方的站FH,通过采用两种技术来处理丢失。首先,相应的站采用一种类型的选择性确认(SACK),以便使得发送机有可能,没有重新分类地在一个粗略的时间过程窗口中,重新发送在一个时间窗口中的甚至多个丢失分组。选择性确认SACK RFC的当今公知的方案建议,每个确认含有关于直至三个不相邻数据块的信息,这些数据块已由接收机成功地接收。每个数据块通过其开始序列号和末端序列号来描述。由于块的数量有限,最好通过尽可能最后接收的块来通知发送机。其次,它们尝试,通过采用明确的丢失通知(ELN)使得发送机有可能区分阻塞和丢失的其它形式。如果出现了非阻塞决定的丢失,发送机于是可以避免启动阻塞控制算法。在该方法中将通信连接层上分组的不利影响向传输层转送,该传输层发送具有对于已丢失分组的复制确认的ELN通知。
具有选择性确认SACK的终端对终端措施展示了在平均误差率时良好的效率,是可以简单地实现的,并与网络层安全性IPsec的应用可兼容。
图7表明了用于根据上述措施不同传输数据方法的模拟。在此,以虚线示出了典型的无线支持的环境,该环境具有不采用PEP的终端对终端TCP通信连接。在每千字节的平均比特误差率为0至250范围时,通过量(以Mbps为单位)从大约0.1连续地增加到1.4。与其它的传输速率相比较,每个相对比特误差率的通过量却始终是最小的。实线示出了在典型集中工作方式时的效率,该工作方式相对于终端对终端协议提供了信息通过量高得多的速率。在平均比特误差率为0时,通过量已经为多于1.0 Mbps。两个另外的协议,E2E-SACK和E2E-ELN,是用从通信连接线路上的装置的角度在远距监控实现工作方式的实例。对于该两个系统,终端对终端TCP协议效率的加点线,即E2E-SACK,通过采用选择性确认提供了最好的通过量,并可以看作为具有远距监控的分散工作方式最强的协议。在平均比特误差率为零时,开始的通过量接近0.6 Mbps。在每千字节的平均比特误差率为250时,所有四个示出的曲线接近1.4 Mbps的通过量。
总之,因此尤其应强调自适应地采用PEP,这使得在网络内中间连接的装置,尤其像无线网控制装置RNC有可能在无线接入网中抉择,是否应设置直接通向无线支持站MH的TCP通信连接,以便直接转送所接收的数据分组,或是否应引导所接收的数据分组通过PEP模块,以便可以通过添加PEP来从效率提高中获取好处。抉择装置或开关装置SP也是有利的,该抉择装置或开关装置SP可以不仅按数据加密与否的准则来区分,而且可以附加地区分,在加密数据分组的情况下是否存在着所分配的密钥,或一对所分配的密钥。尤其也可以转换不同的PEP实施,以便对于不存在任何安全性限制的情况,可以实行通向PEP的连接。这种处理方式(Verfahrensweise),或相应装置的采用在极其不同类型的无线接入网中,尤其是在其中需要某种程度基于IP业务的无线接入网是合宜的。
图8示意地示出了在这种通信系统中,抉择搜索和功能分配的不同流程。左边的列描述了网络方的站FH的功能和活动。第二列描述了在固定网的,或当前无线接入网的装置中的相应的功能和活动,该装置可以选择性地承担PEP功能性。当前这是无线网控制装置RNC。第三列给出了在各自为通信连接所采用的信道上的传输条件。在第四列中描述了另外的终端方的站的,当前为无线支持的移动站MH的功能性或活动性。在示图中应假设时间流程从上向下,其中,示出了四个方法段。
在开始时假设,网络方的站处于分散的工作方式,即处于具有在通信连接终点上监控的工作方式。网络方的站FH相应地也具有PEP功能性。无线网控制装置RNC同样处于分散的工作方式,并因此从数据分组的角度看是处于静止状态(空闲)。无线支持的站MH同样处于分散的工作方式,并相应地也具有PEP功能性。
如果在稍后的时刻从信道出发向无线网控制装置通告了,或在该无线网控制装置中识别了信道条件的恶化,无线网控制装置RNC则向移动或无线支持的站MH发送用于变换到集中工作方式的请求,该移动或无线支持的站MH当前被看作为发送数据分组的站MH。如果无线支持的站MH出于安全原因或其它的原因而拒绝改变工作方式,站则保持在它们迄今的状态下。在此之下简述的第二种情况示出了以下的态势,即根据变换到集中工作方式的请求,由无线支持的站MH发送认可了该变换的通知到无线网控制装置RNC上。随即,无线网控制装置通过给网络方的站FH和无线支持的站MH相应的通知,来促使再配置这些站或终端,使得实现到集中工作方式的变换,正如这在下一行中所示出的那样。在该集中工作方式下,PEP功能性向无线网控制装置RNC变换,而呈现为所建立传输通信连接的终端方站的两个另外的站FH或MH,则在 PEP功能性方面进入静止状态。
在由无线网控制装置在稍后时刻获知信道条件改善之后,无线网控制装置RNC向两个通信连接终端方的站FH和MH,发送用于改变到远距监控工作方式的请求。对于由这些站MH中的一个由于例如必要的实时业务限制而回送拒绝请求的情况,这些站则保持在集中的工作方式。对于根据两个通信连接终端方的站FH和MH的请求接收认可通知的情况,无线网控制装置RNC发送变换到分散工作方式的相应指令到这些站上。
Claims (9)
1.用于在通信系统中传输数据分组的方法,该通信系统具有在数据分组的发送站(FH;MH)和接收站(MH;FH)之间的传输路段,和具有用于支持在所述传输路段的至少一个部分上传输的、连接在其间的支持装置(PEP),在此方法中,
所述的支持装置(PEP)接收并向所述的接收站(MH;FH)发送来自所述发送站(FH;MH)的数据分组,并借助标题数据在所述传输路段的受支持部分上监控所述数据分组的传输,
其特征在于,
抉择装置(SP)引导加密的数据分组在所述的支持装置(PEP)旁经过,这些加密的数据分组不为所述的支持装置(PEP)所知,
取决于系统负荷在所述的抉择装置(SP)中做出抉择,并且
将加密的数据分组和/或消息引导给所述的支持装置(PEP),对于这些加密的数据分组和/或消息存在着密钥,用于将至少对于所述的支持装置(PEP)必要的标题数据解密。
2.按照权利要求1所述的方法,其中,
所述的支持装置(PEP)接收和向所述的发送站(FH;MH)发送所述接收站(MH;FH)的有关所述数据分组的消息(sACK),以及
所述的抉择装置(SP)引导加密的消息在所述的支持装置(PEP)旁经过,这些加密的消息在所述的支持装置(PEP)中对于处理不能被充分识别。
3.按照权利要求1或2所述的方法,其中,
所述的支持装置(PEP)支持通过无线接口的传输。
4.按照权利要求1或2所述的方法,其中,
取决于发送站方(FH;MH)预先规定的安全性准则,在所述的抉择装置(SP)中对于所述的传输做出抉择。
5.按照权利要求1或2所述的方法,其中,
通过TCP通信连接进行所述的传输。
6.按照权利要求1所述的方法,其中,
在转送之前重新加密所述的数据分组和/或消息。
7.按照权利要求1或2所述的方法,其中,
根据基于IP的业务准则来执行所述数据分组和消息的传输。
8.一种装置,具有
支持装置(PEP),用于取决于数据分组的标题数据,在通信系统中的传输路段的受支持部分上,支持将发送站(FH;MH)的数据分组向接收站(MH;FH)传输,
其特征在于,
具有抉择装置(SP),
用于引导加密的数据分组在所述的支持装置(PEP)旁经过,这些加密的数据分组不为所述的支持装置(PEP)所知,其中取决于系统负荷在所述的抉择装置(SP)中做出抉择,并且
用于将加密的数据分组和/或消息引导给所述的支持装置(PEP),对于这些加密的数据分组和/或消息存在着密钥,用于将至少对于所述的支持装置(PEP)必要的标题数据解密。
9.按照权利要求8所述的装置,其中,
附加地构成了所述的支持装置(PEP),用于取决于所述消息的标题数据,支持在传输路段的受支持部分上传输接收站(MH;FH)的分配给所述数据分组的消息,以及
附加地构成了所述的抉择装置(SP),用于抉择将所述接收的消息引导到所述的支持装置(PEP)上,或在该支持装置(PEP)旁引导经过。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2002118811 DE10218811B4 (de) | 2002-04-26 | 2002-04-26 | Verfahren und Vorrichtung zum Übertragen von Datenpaketen in einem funkgestützten Kommunikationssystem bei Verwendung eines PEP |
EP02009611.1 | 2002-04-26 | ||
EP02009611A EP1357719A1 (de) | 2002-04-26 | 2002-04-26 | Verfahren und Vorrichtung zum Übertragen von Datenpaketen in einem Kommunikationssystem bei Verwendung PEP und eines RAN |
DE10218811.4 | 2002-04-26 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN038151707A Division CN1666485A (zh) | 2002-04-26 | 2003-04-15 | 在采用pep和ran的通信系统中传输数据分组的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103997501A true CN103997501A (zh) | 2014-08-20 |
Family
ID=29271580
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN038151707A Pending CN1666485A (zh) | 2002-04-26 | 2003-04-15 | 在采用pep和ran的通信系统中传输数据分组的方法和装置 |
CN201410245086.4A Pending CN103997501A (zh) | 2002-04-26 | 2003-04-15 | 在采用pep和ran的通信系统中传输数据分组的方法和装置 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN038151707A Pending CN1666485A (zh) | 2002-04-26 | 2003-04-15 | 在采用pep和ran的通信系统中传输数据分组的方法和装置 |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP1500249B1 (zh) |
CN (2) | CN1666485A (zh) |
AU (1) | AU2003226813A1 (zh) |
WO (1) | WO2003092239A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113557706A (zh) * | 2019-03-19 | 2021-10-26 | 西门子股份公司 | 用于传输数据分组的方法 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101631065B (zh) | 2008-07-16 | 2012-04-18 | 华为技术有限公司 | 一种无线多跳网络拥塞的控制方法和装置 |
TWI459768B (zh) | 2011-12-30 | 2014-11-01 | Ind Tech Res Inst | 協助tcp封包傳送的通訊系統與方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000035163A1 (en) * | 1998-12-08 | 2000-06-15 | Nokia Mobile Phones Ltd. | A method for optimizing of data transmission |
WO2001060025A2 (en) * | 2000-02-10 | 2001-08-16 | Hughes Electronics Corporation | Selective spoofer and method of performing selective spoofing |
WO2001063881A1 (en) * | 2000-02-23 | 2001-08-30 | Sun Microsystems, Inc. | Content screening with end-to-end encryption within a firewall |
WO2002000362A2 (en) * | 2000-06-26 | 2002-01-03 | United States Postal Service | Method and system for single pass letter and flat processing |
-
2003
- 2003-04-15 CN CN038151707A patent/CN1666485A/zh active Pending
- 2003-04-15 WO PCT/EP2003/003931 patent/WO2003092239A1/de not_active Application Discontinuation
- 2003-04-15 CN CN201410245086.4A patent/CN103997501A/zh active Pending
- 2003-04-15 AU AU2003226813A patent/AU2003226813A1/en not_active Abandoned
- 2003-04-15 EP EP03747103.4A patent/EP1500249B1/de not_active Expired - Lifetime
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000035163A1 (en) * | 1998-12-08 | 2000-06-15 | Nokia Mobile Phones Ltd. | A method for optimizing of data transmission |
WO2001060025A2 (en) * | 2000-02-10 | 2001-08-16 | Hughes Electronics Corporation | Selective spoofer and method of performing selective spoofing |
WO2001063881A1 (en) * | 2000-02-23 | 2001-08-30 | Sun Microsystems, Inc. | Content screening with end-to-end encryption within a firewall |
WO2002000362A2 (en) * | 2000-06-26 | 2002-01-03 | United States Postal Service | Method and system for single pass letter and flat processing |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113557706A (zh) * | 2019-03-19 | 2021-10-26 | 西门子股份公司 | 用于传输数据分组的方法 |
CN113557706B (zh) * | 2019-03-19 | 2023-05-26 | 西门子股份公司 | 用于传输数据分组的方法和系统、发送节点和接收节点 |
US11805110B2 (en) | 2019-03-19 | 2023-10-31 | Siemens Aktiengesellschaft | Method for transmitting data packets |
Also Published As
Publication number | Publication date |
---|---|
EP1500249A1 (de) | 2005-01-26 |
CN1666485A (zh) | 2005-09-07 |
AU2003226813A1 (en) | 2003-11-10 |
EP1500249B1 (de) | 2018-02-21 |
WO2003092239A1 (de) | 2003-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7143282B2 (en) | Communication control scheme using proxy device and security protocol in combination | |
RU2336665C2 (ru) | Способ обработки сообщения защиты в системе мобильной связи | |
US7392537B2 (en) | Managing a network security application | |
US7366496B2 (en) | Method of checking amount of transmitted data | |
RU2461147C2 (ru) | Способ обработки радиопротокола в системе подвижной связи и передатчик подвижной связи | |
AU724808B2 (en) | Method for the encryption of data transfer | |
US6704866B1 (en) | Compression and encryption protocol for controlling data flow in a network | |
KR101378647B1 (ko) | Ieee 802.15.4 네트워크에서의 보안 설정 가능한 맥프레임 제공 방법 및 장치 | |
US20020120874A1 (en) | Method and system for secure exchange of messages | |
EP1804465A1 (en) | Collaborative communication traffic control network | |
CN106470187A (zh) | 防止dos攻击方法、装置和系统 | |
CN107104902A (zh) | 一种rdma数据传输的方法、相关装置与系统 | |
CN107154917B (zh) | 数据传输方法及服务器 | |
EP0680187A2 (en) | Security device for data communications networks | |
US6175875B1 (en) | Multicast filtering | |
US8170057B2 (en) | Communication-processing apparatus and its method | |
CN108429700A (zh) | 一种发送报文的方法及装置 | |
CN115118526B (zh) | 一种vr设备数据迁移方法 | |
CN103997501A (zh) | 在采用pep和ran的通信系统中传输数据分组的方法和装置 | |
CN113873510A (zh) | 安全通信方法、相关装置及系统 | |
US20010005884A1 (en) | Communication method and communication system | |
US20050226256A1 (en) | Access-controlling method, repeater, and server | |
JPS6324742A (ja) | パケツト交換輻輳抑止方式 | |
EP4181431A1 (en) | Service transmission method and apparatus, network device, and storage medium | |
Assaf et al. | Interworking between IP security and performance enhancing proxies for mobile networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140820 |