CN1682510A - 在通信网络中提供地址保密 - Google Patents
在通信网络中提供地址保密 Download PDFInfo
- Publication number
- CN1682510A CN1682510A CNA028216504A CN02821650A CN1682510A CN 1682510 A CN1682510 A CN 1682510A CN A028216504 A CNA028216504 A CN A028216504A CN 02821650 A CN02821650 A CN 02821650A CN 1682510 A CN1682510 A CN 1682510A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- node
- entity
- terminal node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/082—Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/16—Mobility data transfer selectively restricting mobility data tracking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
- H04W8/065—Registration at serving network Location Register, VLR or user mobility server involving selection of the user mobility server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
本发明涉及一种提供地址保密的方法。由其永久地址所识别的移动节点可以由临时地址寻址。与所述移动节点进行通信的相应节点总是发送它的分组到永久地址。与移动IP本地代理相似,这些分组由一个代理截取,然后该代理利用隧道发送这些分组到临时地址。因此,移动节点的临时地址不被暴露给相应节点,从所述临时地址中可以得到该移动节点的位置。为了优化路由,引入了保持关于代理及其位置的记录的服务器实体,该服务器实体在每次连接的基础上动态地为移动节点分配代理。
Description
技术领域
本发明涉及一种在通信网络中提供地址保密的方法和系统以及系统实体。
背景技术
最近通信网络的发展取得了很大进步。在这些通信网络中,越来越多的通信网络支持加入该网络的用户的移动性。用户利用其为了与通信伙伴节点进行通信所使用的终端节点来代表。需要注意的是,通信伙伴节点一般是与终端节点相同或相似的类型,而“伙伴节点”只被用来说明它是在通信中的目标或被呼叫节点。例如终端节点/通信伙伴节点可以是移动电话,移动笔记本计算机或相似装置。而被呼叫通信伙伴节点也可以是个人计算机之类的固定终端。
随着互联网日益普及和被接受,使得通信网络越来越与互联网兼容。因此有这样一种趋势,将互联网协议IP不仅用在互联网中,也用于通信网络中。特别是在支持移动性的通信网络中,IP在与IP“本身”兼容的支持移动性的版本中被采用。例如,存在移动IPv4,移动IPv6或蜂窝IP协议版本。为了本发明的目的,只要协议支持终端在通信网络(或网络系统)中的移动性并且只要使用的协议是基于分组的协议,使用哪种协议并不是至管重要的。基于分组的协议是这样一种协议,即依照该协议数据以分组(也被称为单元)为单位被传输,所述分组由负载段和首标段组成。所述负载段传送要传递的数据,而所述首标段包含例如为了该分组路由要求的,以及例如表示提供给该分组的服务QoS质量的管理数据。只要网络是支持诸如GPRS,UMTS,互联网或其他类似的用户移动性的分组交换网络,对于本发明而言网络本身也不局限于后边描述的网络。
对移动IP的简短概要的介绍以及本技术领域中通用术语的定义可以在
http://www.darmstadt.gmd.de/mobile/mobileip/mobileIP.html中找到,在互联网中于2001年10月10日检索。
在通信网络中,终端和/或通信伙伴节点通过一个永久的地址PA来识别。如果终端固定的,那么该终端对网络的接入点地址与该终端的永久地址可以相互一致。但是,如果终端是移动的,那么这种寻址方案就不再有效。
图1粗略的示出了一个在通信网络NW中利用其永久地址MN_PA识别的移动终端MN。在左侧,该终端MN位于第一位置pos1处并且通过接入点AP1接入所述网络NW。一个表示为CoA_1的接入点地址被分配给该接入点AP1。例如,在UMTS网络中,接入点可以用Node_B代表,而在GPRS网络中,接入点可以用SGSN代表。假如该终端是移动的,它可以到达不同于位置pos1的位置pos2。但是,在位置pos2处,接入网络的接入点已经变为接入点AP2(具有地址CoA_2)。在这种情况下,不再可能用终端MN的永久地址MN_PA对其寻址。
因此,在移动网络中终端通过它映射到其永久地址的临时地址CoA(也被称为转交地址)来寻址。
例如,移动IPv6定义了一种被称为最优路由的机制。这种机制使对应节点CN(通信伙伴节点)能够直接向移动节点MN(终端节点)发送分组。即,当使用最优路由时,移动节点MN向对应节点CN发送指出其转交地址CoA的消息(称为绑定更新消息)。该对应节点CN高速缓冲存储(缓冲)移动节点MN的绑定(即它把MN_PA地址映射到MN_CoA地址),并且把它的以所述移动节点MN为目的地的数据报(分组)绕道移动节点的本地代理直接发送给所述转交地址。移动IPv6绑定更新消息传送了移动节点MN的CoA,因此暴露了关于其地理位置的信息,但是运营商需要支持地址保密。即,通过了解移动节点的转交地址,对应节点能够推断出该移动节点的地理位置。也就是说,知道所述(呼叫)终端的转交地址的通信伙伴可以象前边解释的那样,从这个临时地址中推断出该终端的地址(例如pos1或pos2)。(注意,当MN离开“本地”时是与MN_CoA相关联的,而当其在本地时,该MN能够用MN_PA来寻址和识别。)
避免这种情况的一种可能性是使用一种被称为三角形路由的机制,这种机制使用移动节点在网络中的本地代理HA。在这种情况下,不进行路由优化,相反的,对应节点CN向移动节点MN的永久地址PA发送分组。(不用接收绑定更新,该移动节点的永久地址MN_PA是对应节点CN知道的关于该移动节点MN的唯一地址)。然后所述本地代理HA截取这些分组。并且由于绑定高速缓冲寄存器该本地代理知道把这些分组发送到哪儿去并且因此能够将其隧道传送到MN,所述绑定高速缓冲寄存器把MN_PA映射到保持在HA中的,通过使MN用绑定更新消息来更新它的MN_CoA上。在另一个方向上,MN将使用MN_PA作为其发送到CN的分组的源;并且为了绕道进口过滤,该移动节点MN首先通过隧道将其分组发送到所述本地代理处,该本地代理将其剥离并把他们转发到所述对应节点CN。
使用这些机制,三角形路由和反向隧道,MN和CN也能够交换分组并且MN_CoA不被暴露给CN。尽管这种方法不通过该移动节点的转交地址MN_CoA把地址信息暴露给对应节点CN,但是由于被通信的分组不可避免的必须通过该移动节点的MN本地代理,这种机制就对通信分组的路由而言并没有被优化。这样,三角形路由和反向隧道要求对上行(从MN到CN)和下行(从CN到MN)通信往回通过该移动节点的MN本地代理,因此意味着长的路由路径。这可能意味着分组传递的延误。同样,由于所有分组都通过位于移动终端节点MN的本地网络中的本地代理来路由,依赖于通过网络的同一个本地代理或至少通过同一个本地网络中的适当本地代理进行通信的同一个本地网络的其他节点的数量,存在这样的风险,即用这种数据库单元路由的流量使该本地网络或该网络的一部分超过负载。
在现有的蜂窝网络中,必须支持地址保密:接收节点不应该知道发起节点的地理位置。基于移动IP的网络应该至少支持用于商业应用的现在存在的服务,并且因此在基于移动IP的网络中应该支持地址保密。
因此,基本上如上所述,为了允许一个IPv6移动节点在不同子网络中无缝漫游,移动Ipv6已经发展了。当到达了一个新的接入点时,移动节点获得一个转交地址并且用它来发送和接收分组。这个转交地址包含关于该移动节点当前地址的信息:例如所述转交地址的网络前缀可以反映关于当前移动节点诸如域和/或其他任何地理信息的地址的信息。
但是,一个移动节点可能不需要它的对应节点了解这类信息,而可能更愿意隐藏它的地址。这种被称为地址保密的特性在一些现有蜂窝网络中被要求并且在IP移动网络中如果不是强制性特征也是非常值得要的。其目的在于对通信节点来说它不能知道移动节点位于哪儿。对于基于移动IP的网络需要至少支持为了商用应用的现在存在的服务,因此在基于移动IP的网络中应该支持地址保密。
移动IPv6使用三角形路由和反向隧道二者来允许支持地址保密。但是,由于他们要求所有分组,要发送到移动节点的和由移动节点生成的两种分组,都要经过本地代理,所以这两种解决方案都不是有效率的。因此这些分组的路由不是最优的。另外,这些机制依赖于隧道,因此导致了对所有来源于和发送到MN的分组的巨大的开销(两个IP首标)。这对于带宽有限和昂贵的接入线路是不可接受的。
在移动IPv6中,每个移动节点总是用其本地地址识别的,而不管其接入互联网的现在的点。当位于其本地之外时,移动节点也与一个转交地址相关联,该地址可以把关于该移动节点的当前地址的信息提供给对应节点。
寻址到移动节点本地地址的IPv6分组被透明的路由到其转交地址:该分组实际上被本地代理截取,然后这个本地代理把他们封装到该移动节点的转交地址中。
MN可以决定不向CN发送任何绑定更新,但是每个从CN来的以该MN为目的地的分组将必须通过HA。这就叫三角形路由。该MN也能向对应节点发送绑定更新来将其转交地址告诉它。因此该对应节点能够直接把这些分组发送到移动节点而不需通过本地代理。
移动IPv6也允许MN直接发送分组给CN:这些分组的源IP地址必须被配置为MN的CoA来绕道入口过滤并且这些分组也将传送本地地址的选项。
在这两种情况下,绑定更新和源分组转交地址的使用允许CN了解相应于MN的CoA并且因此了解关于该MN地址的信息。
为了隐藏它的地址,该MN需要使用它的本地地址作为分组的源IP地址,并且隧道传送分组到HA来绕道入口过滤。这被称为反向隧道。
为了用存在的机制支持地址保密,三角形路由和反向隧道二者都必须被使用。但是,由于他们要求所有分组,从MN到CN的以及从CN到MN的,都通过本地代理,所以这两种解决方案都不是有效率的。这可能导致非常没有效率的分组路由:例如MN可能是来自澳大利亚的(因此本地代理在澳大利亚)并且漫游到法国。它的CN可能在德国。所有在MN和CN之间交换的分组必须通过澳大利亚(法国<->澳大利亚<->德国)。在MN和CN间的分组路由因此不是最优的并且还可能引起更大的延误。
除了这些缺点外,由于三角形路由和反向隧道发送二者都依赖于隧道发送,所以需要一个额外的外部IP首标。对于在移动节点和对应节点间交换的每个分组都要求额外的40字节。
发明内容
因此,本发明的目的是提供用于为在通信网络系统,相应通信网络系统和相应网络实体中与通信伙伴节点进行通信的终端节点提供地址保密的方法,通过该方法能够消除上述缺点。
根据本发明,这个目的是例如通过一种方法实现的,该方法用于为在通信网络系统中与通信伙伴节点进行通信的终端节点提供地址保密,该通信网络系统至少包括第一通信网络,其中通过所述通信网络系统通信的各自节点利用其永久网络地址识别,并能够利用临时网络地址寻址,还包括至少一个服务器实体,多个代理实体,其中每个所述服务器实体保持着所述代理实体及其各自在该网络系统中的地址的记录,所述方法包括以下步骤:所述终端节点向所述服务器实体发出地址保密要求,在所述服务器实体中选择代理实体的特定一个,这个选择基于保持在服务器实体的记录中的数据以及所述发出要求终端节点的临时网络地址,以及在所述终端节点和所述通信伙伴节点间通过所选定的一个代理实体来通信消息。
根据本方法的进一步精练,
所述请求包括需要与其进行通信的通信伙伴节点的网络地址,所述发出请求的终端节点的永久网络地址,以及所述发出请求的终端节点的临时网络地址,通过该临时网络地址该节点在所述通信网络系统中可寻址;
基于所述代理实体被分配的网络域,该代理实体的所述各自位置是可得到,所述网络域由网络内的网络地址区间代表;
所述选择是以需要与之进行通信的所述通信伙伴节点的已知网络地址为基础的,该网络地址包含在所述请求中;
所述选择包括以下步骤:第一次检索由发出请求终端节点的临时地址所属的网络地址区间代表的第一网络域,第二次检索由通信伙伴节点所属的网络地址区间代表的第二网络域,以及基于所述检索信息确定所选择的代理实体;
该方法还包括一个步骤:在通信消息前将所选择的代理实体通知所述发出请求终端节点;
该方法还包括以下步骤:在所选择的代理实体中由所述终端节点创建该终端节点的永久网络地址与其临时网络地址间的映射,以及在所述通信伙伴节点中由所述终端节点创建该终端节点的永久网络地址与所选择的代理实体的地址间的映射。
根据本发明,这个目的是例如通过一个通信网络系统被实现的,
该通信网络系统包括至少第一通信网络,其中通过所述通信网络系统通信的各个节点利用它的永久网络地址识别并且可以利用临时网络地址寻址,至少一个服务器实体,多个代理实体,其中每个所述服务器实体保持所述代理实体以及它们在该网络系统中的地址的记录。
根据该系统的有利的精练,
所述代理实体的各自地址可以基于该代理实体被分配到的网络域而得到,所述网络域是用在网络中的网络地址区间来代表的;
对于每个所述通信网络来说,存在着与其相关的一个服务器实体。
对于每个所述通信网络来说,存在着与其相关的多个代理实体。
根据本发明,这个目的是例如通过服务器实体来实现的,该服务器实体包括用于保持多个代理实体以及它们在通信网络系统中各自地址的记录的数据库单元,以及用于基于被保持在所述记录中的数据以及发出请求终端节点的临时网络地址来选择所述代理实体的特定一个的处理数据库单元。
根据该服务器实体有利的精练,
所述代理实体的各自地址可以基于该代理实体被分配到的网络域而得到,所述网络域是利用网络中的网络地址区间来代表的;
所述处理数据库单元包括选择数据库单元,选择数据库单元包括用于检索由发出请求终端节点的临时地址所属的网络地址区间代表的第一网络域的第一检索数据库单元,用于检索由通信伙伴节点的地址所属的网络地址区间代表的第二网络域的第二检索数据库单元,和用于基于所述被检索到的信息确定将所选择的代理实体的确定数据库单元;
所述记录由网络运营商根据形成通信网络系统的通信网络的拓扑结构来配置;
所述记录由网络运营商根据形成通信网络系统的通信网络的拓扑结构来配置,并且所述服务器实体用于通过添加来自所述通信网络系统内的其他服务器实体的记录信息来扩展所述记录;
所述服务器实体包括用于接收和发送用于形成和保持所述记录的信息,从终端节点接收请求的传输数据库单元,而且还用于向发出请求终端发送处理结果;
所述传输数据库单元用于向所选择的代理实体发送处理结果。
根据本发明,这个目的是例如通过代理实体来实现的,该代理实体包括存储器数据库单元,该存储器数据库单元用于高速缓存识别终端节点的永久地址到表示所述终端节点地址的所述终端节点的临时地址的映射,以及路由数据库单元,该路由数据库单元用于将从所述终端节点接收的数据分组转发到被寻址的通信伙伴节点,并且把从所述通信伙伴接收的数据分组转发到所述终端节点,其中所述转发是基于在所述存储器数据库单元中被高速缓存的映射信息。
根据本发明,这个目的是例如通过如上面指定的通信网络系统的终端节点来实现的,该终端节点用于执行上面指定的方法。
由于本发明的优点,可以实现下列优点:
a)能够为在通信网络系统中与通信伙伴节点通信的终端节点提供地址保密;即对应节点CN没有关于移动节点终端地理地址/位置的任何信息,
b)在性能方面,在移动终端节点MN与对应节点CN间的分组路由基本上象使用了路由最优化一样被优化,这是因为地址保密代理位于MN和CN之间;不需要通过本地代理的三角形路由或反向隧道,而且避免了长的路由路程;
c)由于对于不同的对应节点根据该对应节点的位置使用不同的地址保密代理,所以在网络系统中的流量进一步分散了并且在网络某部分拥堵的危险也进一步降低了。
因此本发明描述了为移动节点提供具有在移动节点与对应节点
间最优化过的路由的地址保密的解决方案。在本文档中描述的机制也解决了前面的开销问题。
附图说明
本发明的上面的以及其他目的,特征和优点将参考附图变得更加全面清楚,其中
图1粗略的说明了在通信网络NW中用其永久地址MN_PA识别的,并利用其临时转交地址MN_CoA可寻址的移动终端MN。
图2示出了根据本发明的通信网络系统NW_SYS的第一个例子,该系统包括单一的通信网络NW_1。
图3示出了根据本发明的通信网络系统NW_SYS的第二个例子,该系统包括两个通信网络NW_1,NW_2;
图4示出了与根据本发明的方法相关的在网络系统实体和终端节点之间涉及的信号;
图5用简化的框图示出了根据本发明的服务器实体LPS的组件,以及
图5A示出了在服务器实体方保持的记录的入口的一个例子;
图6用简化的框图示出了根据本发明的代理实体LPA的组件;
图7A,7B,和7C示出了地址保密请求消息格式的细节;以及
图8A和8B示出了地址保密应答消息格式的细节。
具体实施方式
根据本发明,避免了通过本地代理的三角形路由和反向隧道发送。简单的说,取而代之的是使用多个地址保密代理LPA中所选定的一个,并且路由是通过所选定的地址保密代理(代理实体)实现的。选择合适的代理实体是通过与地址保密服务器LPS(服务器实体)协同工作来实现的。
本发明提供了对地址保密的一种替代方法,该方法允许同时优化路由。这种解决方案取决于位于移动节点本地域中的地址保密服务器(LPS)和分布在不同地址的地址保密代理(LPA)。该解决方案既不要求对所述本地代理也不要求对所述CN进行任何修改。
当从CN接收到分组,或开始与CN对话时,如果移动节点也需要地址保密的话,该移动节点向地址保密服务器发送地址保密请求。该移动节点可以被预先配置地址保密服务器的地址,或者能够向一个众所周知的任何映射(anycast)地址发送该请求。(注意:要发送到任何映射地址的分组被传递给由那个地址识别的多个可能节点中的任何一个,特别是最接近该分组的发送者的节点。)地址保密服务器将截取该请求并对其进行处理。所述地址保密请求应该受到保护。例如安全关联可以在MN及其本地网络之间预先建立并被用于保护这个消息。所述地址保密请求应该(至少)包含MN的本地地址,MN的CoA以及CN地址。
基于所述MN的CoA以及CN地址,所述LPS将指派合适的LPA:该LPA应该尽可能的接近所述CN以便使地址保密有效率;并且该LPA应该这样被指派,以便MN的CoA和CN地址之间的路由尽可能的被优化。
所述LPS向所述移动节点发送地址保密应答:这个消息将包括被指派的LPA的地址。所述地址保密应答应该受到保护。地址保密请求和地址保密应答的格式在后面将进一步详细描述。
然后移动节点向所述LPA发送绑定更新。这将在LPA中创建MN的CoA和MN本地地址间的绑定高速缓冲存储器,然后它能转发由CN发送的分组。
移动节点也能向CN发送绑定更新来创建MN的本地地址和LPA地址之间的绑定高速缓冲存储器。这种IP分组的源被配置为MN的本地地址,并且交替的转交地址选项将发送LPA地址;或者分组的源可以简单的被配置为LPA地址。这个绑定更新将被封装并且首先通过隧道传送给LPA,该LPA将其转发给CN。这允许绕道入口过滤。
在这些程序之后,所述CN将发送分组给LPA,该LPA将把它们转发到MN的CoA中;并且所述MN将通过该LPA向CN发送分组。这些分组的路由在下面进一步讨论。
当移动到不同的位置并且改变了CoA时,MN只需要通过绑定更新消息来更新LPA中的绑定高速缓冲存储器。
在改变位置多次以后,所述LPA可能不再是最优化的了,并且移动节点因此能够执行这些相同的程序:它向提供它的本地地址,它的新的转交地址以及CN的地址的LPS发送地址保密请求。然后如果象前面那样指派了新的LPA,该移动节点向所述新的LPA发送绑定更新并且向CN发送绑定更新,以便用所述新的LPA地址更新它的绑定高速缓冲存储器。
这种机制的安全考虑也将在后边进一步讨论。
随后本发明将参考附图被详细描述。
图2示出了根据本发明的通信网络系统NW_SYS的第一个例子。所述系统NW_SYS包括单一通信网络NW_1。根据本发明作为服务器实体的地址保密服务器LPS_1与该网络NW_1相关联。另外,还有多个也被称为地址保密代理LPA_1,...,LPA_n的代理实体与网络NW_1相关联。(注意并不排除服务器实体LPS和代理实体可能具有相同的物理位置或在一起。)由其永久地址MN_PA识别的移动终端节点MN通过所述通信网络系统NW_SYS,或通过所述通信网络NW_1,各自与由其永久地址CN_PA识别的通信伙伴节点CN(也被称为对应节点)通信。该通信用MN与CN之间的实线双向箭头标明。(因此,在图2所示的例子中根据本发明已经选定了LPA_2)。在图2的例子中,可以假设NW_1对于终端节点MN是本地网络,而对于对应节点CN,网络NW_1既可以是本地网络也可以是被接入网络。然而,NW_1对于终端节点MN也可以是被接入网络。
注意,尽管没有标出来,LPA自然也与网络NW_1相连。另外,正如用带点的虚线表示的那样,该网络地址空间被分为域。即,每个域对应于在该网络中可用的地址的特定地址区间。正如图2所示,对每个域都有一个相关联的一个LPA。当然,多于四个域,一般可以定义n个域,取决于地址空间划分的大小和/或提供给网络NW_1的代理实体数目。对于本发明域/地址区间的意义将连同图5和5A一起详细陈述。
图3示出了根据本发明的通信网络系统NW_SYS的第二个例子。图3所示系统包括两个通信网络NW_1,NW_2,如NW_1和NW_2之间的虚线表示那样相互连接。但是,本发明并不局限在两个网络,选择图3的说明是为了使说明简单。另外,为了使附图简单,上面图2所示的对一个网络的域分割在图3中被省略。但是各个网络的域相互是可区分的,例如通过地址的网络特定前缀。如图3所示,网络数目,服务器实体数目以及代理实体数目都是“双倍的”。对应于网络NW_1有一个地址保密服务器实体LPS_1以及地址保密代理实体LPA_11,...,LPA_1n,而对应于网络NW_2有一个地址保密服务器实体LPA_2以及地址保密代理实体LPA_21,...,LPA_2i。根据图3,移动终端节点MN通过NW_2以及选定的代理实体LPA_22与通信伙伴节点CN通信,如实线双向箭头所示。
尽管图3说明了i=n的情况,即每个网络具有相同数量的代理实体,但本发明并不局限此。n不需要等于i并且n,i对每个网络根据网络配置单独被确定,并且取决于网络的大小和/或网络用户数目,和/或可用地址空间等。
尽管对每个网络显示了单一服务器实体LPS_1,LPS_2,但是也能提供多于一个的物理地址保密服务器实体。不过,不管只作为单一实体还是作为分布实体被提供,服务器实体必须被视为网络系统中每个网络的单一功能服务器实体。
注意到如果系统中出现多于一个LPS,例如如图3所示,服务器实体相互间可以通信以相互了解他们保持的记录的各自内容。这可以通过以下途径来实现:一个特定服务器实体向其他服务器实体发出请求,或每个服务器实体向其他服务器实体广播/发布它的信息。注意到不是全部记录内容都必须交换,但是一旦其他服务器实体了解了全部记录,就能够有规律的通知其他服务器关于发生在记录中的变化。
图4说明了与根据本发明的方法相关的涉及网络系统实体和终端节点之间的信号。发起与通信伙伴节点CN进行具有地址保密的通信的移动终端节点MN被排列在图4的水平方向上。根据本发明,在建立地址保密中,涉及地址保密服务器LPS(服务器实体)和多个地址保密代理LPA中的一个。
随后,根据本发明的方法将参考图4被描述。要注意的是,在图4中,节点与实体之间交换的消息用水平箭头表示,而箭头从上到下的垂直排列代表消息在时间上的连续顺序。
所述方法在步骤S41处开始。在步骤S41中,移动终端节点MN向地址保密服务器实体LPS发出一个地址保密请求LOC_Priv_Req。
这可以是终端MN本地网络的LPS。作为替代,这也可以是当前被终端MN接入的网络的LPS。该MN能够或者预先配置了LPS的地址或者能够知道它:LPS的地址能够例如被广播或MN能够发现它,例如发送请求到众所周知的任何映射地址。在步骤S41中发送的请求包含通信伙伴节点的CN地址CN以及终端节点MN的永久地址(MN_PA)和临时地址(MN_CoA)。
当LPS接收到该请求时,LPS评价该请求,在步骤S42中选择合适的地址保密代理LPA用于在移动终端节点MN和通信伙伴节点CN之间进行通信。基本上,服务器实体LPS保持关于所述代理实体LPA及其各自在网络系统中的位置的记录,而且基于保持在所述服务器实体的记录中的数据和包含在请求中的MN_CoA来选择所述代理实体中的特定一个。
根据选择的精练,该选择包括以下步骤:选择,包括第一次检索由发出请求的终端节点MN的临时地址MN_CoA所属的网络地址区间代表的第一网络域,第二次检索由通信伙伴节点CN的地址CN_A所属的网络地址区间代表的第二网络域,和基于所述被检索的信息确定所选定的代理实体(LPA)。
基本上,LPA的选择是基于MN_CoA和CN地址,通过LPS尽可能的试图匹配这些地址来实现的,与IP路由相似。换言之,LPA是这样被选择的,即如果选定了,就要达到发出请求的MN(MN_CoA)与被寻址的CN之间的路由的最优化。选择过程的进一步详情将在后面参考一个例子与图5和5A一起描述。
选择合适的代理实体LPA后,在步骤S43中,服务器实体LPS返回一个地址保密应答Loc_Priv_Resp到发出请求的终端节点MN。该应答向终端节点MN说明所选择的代理实体LPA的网络地址LPA_Addr。既然地址保密代理实体根据他们在网络中的位置/地址是固定的代理实体,所以他们可以用固定的永久地址来唯一的识别和寻址。
另外,在步骤S43a中,服务器实体LPS也可以通知所选择的代理实体LPA关于它被选择用于在终端节点MN和通信伙伴节点CN间随后的通信消息路由的状态。在这种情况下,代理实体可以已经发起了用于进一步通信的合适的准备措施。
在步骤S44中,移动终端节点MN发送消息(例如绑定更新)到所选择的代理实体LPA。这个所述终端节点发出的消息在所选择的代理实体LPA中创建了终端节点的永久地址(MN_PA)和其临时网络地址(MN_CoA)之间的映射。因此,当把消息从代理实体LPA处转发和/或路由到终端节点MN时,被寻址到移动终端节点的永久地址MN_PA的消息被路由到它的临时地址MN_CoA。
在代理实体LPA处“解压缩”的、从代理实体LPA转发到通信伙伴节点CN的其他消息(例如绑定更新消息)(S45)被包含和/或封装在S44的消息中(或添加在其中)。步骤S45中的绑定更新包括移动终端节点MN的永久地址和所选择的地址保密代理实体地址LPA_Addr。因此,从通信伙伴节点CN向移动终端节点MN传送的消息/分组被路由到地址保密代理的地址,这个地址对于通信伙伴节点CN表现为移动终端节点MN的CoA地址。换言之,步骤S45中的消息(例如绑定更新)创建终端节点的永久网络地址MN_PA和所选择的代理实体的永久地址LPA_Addr之间的映射,这是由所述终端节点MN在所述通信伙伴节点CN处发起的。由消息(例如绑定更新)实现的地址的各自映射被高速缓冲存储在寄存器单元的代理实体LPA中,并且被用于在终端节点MN,CN之间路由消息。
注意到消息(例如绑定更新),S44,S45能够在适当的节点间被验证:S44在MN和LPA之间,而S45在MN和CN之间。建立验证将在后面与安全考虑一起被粗略的描述。不过还注意到,用于验证的密钥可以被静态的设定或者用一个已经在不同因特网草案中被描述的,已存在的验证机制中的一个来建立。另外,消息S44和S45也能够通过在步骤S44a和S45a中返回一个确认消息ACK分别被确认。
然后,正如前面描述的已经创建了地址映射,在步骤S46中终端节点MN,CN通过所选择的LPA相互进行通信。因此,节点CN把LPA网络地址(例如在基于IP的通信网络中它的IP地址)视为移动节点MN的临时地址MN_CoA。
在通信中,当终端节点MN发送分组到通信伙伴节点CN时,它首先将这些分组通过隧道传送到所选择的LPA。这就保证源地址的有效性,并且实现入口过滤。然后LPA剥离并且基于(已解压缩)内部分组的首标表明的地址把这些分组转发到节点CN。
注意,“通过隧道传送”意味着原分组作为内部分组被封装在外部分组之中。
外部首标具有LPA地址作为目的地址,而MN_CoA作为源地址,其中内部首标具有CN地址作为目的地址,而MN_PA作为源地址。
当CN为MN向LPA发送一个分组时,这个分组,例如通过移动IPv6指定,传送包含MN本地地址或永久地址MN_PA的路由首标。根据它创建的绑定高速缓冲存储器,目的地址是LPA的IP地址。当接收到分组时,LPA查看路由首标并且从绑定得知它转发分组的相应CoA:这可以用通过隧道传送或区域性转发来实现。换言之,从节点CN转发到所选择的LPA的分组包含CN地址作为源地址,地址保密代理地址LPA_Addr作为目的地址,并且在路由首标中包括MN_PA,移动节点MN的永久地址。这样被结构化的分组由LPA进一步处理和/或路由到MN,这样从LPA流出的分组:
-或者指出LPA作为它的源地址,以及终端节点MN的临时地址CoA,即MN_CoA,作为目的地址,并且包括包含有效负载的内部分组
-或者LPA用目的地址代替MN_CoA。
图5用简化的框图示出了根据本发明的服务器实体LPS的组件。如图所示,服务器实体LPS用于利用传输数据库单元与移动终端节点MN和/或网络进行通信。所述传输数据库单元与处理数据库单元相连。所述处理数据库单元又与数据库单元相关联。
所述处理数据库单元按顺序包括检测数据库单元,写入数据库单元和检索/比较/确定数据库单元。所述检测数据库单元通过所述传输数据库单元的接收功能接收输入消息和/或数据,并且检测接收到的数据是否代表例如地址保密请求(图4,步骤S41),或者接收到的数据是否是关于所述代理实体LPA及其在网络系统中各自的位置的数据,和/或关于可用于通信的节点CN及其在通信网络系统中各自的地址的数据。检测可以以各个消息中的首标信息为基础来实现。要注意的是,所述代理实体的各自地址可以基于该代理实体被分配的网络域而得到,所述网络域由网络中的网络地址区间来代表。
如果已接收的数据关系到数据库单元的记录,那么把该数据提供给写入数据库单元,该写入数据库单元写和/或更新数据库单元的记录。即,用代理实体信息和通信终端节点(地址,地址区间)信息来更新记录。
如果被接收的数据关系到地址保密请求,则把他们提供给检索,比较和确定数据库单元。分析位于请求中的MN_CoA地址以获知MN目前在哪个域中。相似的,基于请求中通信伙伴节点CN的地址,节点CN的位置,即它目前所在域,从记录中被检索(如果被寻址的节点是可用的)。换言之,核对包含在请求中的地址CN_PA(图4中步骤S41)是否与位于数据库单元的记录中的域入口的一个匹配。
在随后的步骤中,基于为MN和CN检索的域信息,代理实体从数据库单元的记录中被选择出来。基本上,基于节点CN的位置与代理实体LPA的地址间的距离,选择最接近通信伙伴节点CN的代理实体作为合适的地址保密代理,这样来优化发出请求的节点MN和被呼叫节点CN间的路由。
假设在图3中终端节点MN要求与通信伙伴节点CN进行地址保密的通信,作为服务器核对的结果,地址保密代理LPA_22将作为最近的代理实体被选择。(服务器核对可以包括核对服务器LPS_1和LPS_2的联合数据库记录,如上面略述的那样)。
在这个假设的例子中,所选择的代理实体LPA_22的地址通过检索,比较和确定数据库单元被检索并且从这儿输出到传输数据库单元。
然后传输数据库单元向移动终端MN提供地址保密应答(图4中的步骤S43)和/或可选的所选择的代理实体LPA_22的通知(图4中的步骤S43a)。
图5A更详细的示出了LPS的数据库记录的一个例子。正如在图5中已经略述的一样,该记录包括三列。基于其中包含的信息,使合适的LPA能够以这样一种方式被选择,即,它从请求地址保密的MN处到通信伙伴节点CN处被检索。这主要是以涉及到的节点的地址为基础,正如参考图5A的解释。分析MN_CoA并且基于在域级别上的地址(地址区间)来检索MN的位置。相似的,基于在域级别上的地址来检索被呼叫节点CN的位置。基于被检索的域级别,记录就包含所选择的合适LPA的入口。因此,基于MN_CoA和CN地址,能够选择最接近CN的LPA,但也能选择优化MN_CoA和CN地址之间路由的一个LPA。
例如在图5A中,MN_CoA位于域#1中,而CN地址位于域#3中,于是选择LPA#3。另一方面,MN_CoA位于域#2中,而CN地址位于域#3中,那么就选择LPA#1。
因此,为了优化路由基于MN_CoA地址和CN地址选择LPA。(注意,图5A中的例子并不是必须与例如图2和3中的例子一致,而是独立于这些图的。)
图6用简化的框图示出了根据本发明的代理实体LPA的组件。如前面提到的那样,地址保密代理基本上用做移动终端节点MN和通信伙伴CN之间或反向的路由器。如图6所示,地址保密代理包括与寄存器数据库单元相连的路由数据库单元。该寄存器数据库单元包括如前面描述的与创建绑定相关联的地址映射。即,用于MN->CN转发方向的剥离功能和用于CN->MN转发方向的地址映射,这样他们的重复描述是多余的。
另外,这也是可以理解,即根据上面的描述通信网络系统的诸如MN的每个地址保密请求终端节点用于实现前面描述的方法。
分组格式
根据本发明的解决方案要求在MN和地址保密服务器之间交换的两个新的消息(地址保密请求,地址保密应答)以获得地址保密代理。这些消息可以是例如在图7(7A,7B,7C)和图8(8A,8B)中详细描述的两个新的UDP消息。
地址保密请求消息[图7(7A,7B,7C)]
移动节点使用地址保密请求消息来获得地址保密代理。该移动节点或者在不知道任何LPS地址的情况下向预先定义的众所周知的任何映射地址,或者在其被预先配置了一个LPS地址的情况下向LPS的单一映射地址发送地址保密请求消息。该消息应该传送移动节点的本地地址以及它的转交地址和对应节点的地址。然后LPS用地址保密应答消息来向移动节点作出反应,该消息给出了被指派的LPA的地址。
地址保密应答消息[图8(8A,8B)]
地址保密应答消息响应地址保密请求消息被发送。LPS向移动节点通知被指派的LPA。
协议细节
从移动节点到对应节点的分组路由
MN不应该以CoA作为源IP地址向CN发送分组;否则,CN将能够从这些接收到的分组的源地址中检索到关于MN地址的信息。
但是来自MN的流出分组必须将他们的源地址作为CoA来绕道入口过滤。
正如先前上面描述的那样,因此MN应该首先向LPA发送它的分组。可以有两种选择:
1)第一种,来自于MN的分组可以这样被发送:把源IP地址配置为MN的LPA地址,而目的IP地址被配置为CN地址;这些分组将首先根据外部首标通过隧道被传送到LPA,该外部首标被配置为:源IP地址等于MN的CoA,并且目的IP地址指向LPA地址。然后LPA将剥离这些分组然后把他们路由到CN,CN将不会知道MN的CoA而相信分组是来自于LPA地址的。这个第一种选择只取决于IP路由能力,并且只要求LPA能够封装/剥离IP分组。但是其不足在于,从MN来的分组具有两个首标。在一些资源有限或昂贵的接入线路中,这是不可取的。
2)第二种选择以LPA处更多的处理为代价来解决这个问题:MN发送分组,该分组包含
--配置为MN的CoA的源IP地址
--配置为LPA地址的目的IP地址
--具有CN的地址的路由首标目的选项
--本地地址目的选项
接收到分组后,LPA验证它是否具有用于这个MN的含有相应本地地址和CoA的绑定高速缓冲存储器,如果验证成功的话:
--用目的IP地址替代在路由首标中传送的CN的地址
--为不能识别MN的CoA的CN去除路由首标目的选项
--用源IP地址替代LPA地址
从CN到MN的分组传送
从对应节点发送到移动节点的分组将与传送了移动节点的本地地址的路由首标一起被发送到LPA。
由于这个MN的本地地址,LPA能够检索MN的CoA并把它转发到MN。所述LPA可以:
--或者,直接用隧道把分组发送到MN的CoA(但是其缺点在于存在附加的IP首标,这在某些带宽有限的接入线路中是不可取的)
--或者用被配置为LPA地址的目的IP地址字段替代MN的CoA。
安全考虑
地址保密请求/应答消息的安全
地址保密请求和地址保密应答消息应该至少被鉴别,并且最后被加密。既然这些消息被定义为新的UDP消息,所以AH和ESP可以不需对这些协议进行任何修改的被应用:另外,CN和LPA的地址能够被加密。移动节点和LPS可以或者具有一个预先建立的安全关联或者可以用诸如IKE或其他合适的协议来动态的建立它。
绑定更新消息的安全
正如移动IP要求的那样,从移动节点发送到LPA和发送到CN的绑定更新消息必须用合适的安全关联被鉴别。如果需要在MN和LPA之间进行彻底的鉴别,那么当指派LPA时,LPS也可以作为密钥发布中心并且在地址保密应答中向MN发送某些密钥元素,并且发送相应的对话密钥给LPA。
MN和LPA也可以有一个预先建立的安全关联。
至于鉴别MN和CN之间的绑定更新,这个并不受影响:根据策略和能力MN应该使用它与CN已经建立的安全关联。
端到端协议
必须注意,如果MN和CN使用ESP或AH来保护他们的数据,这个地址保密机制并不破坏端到端安全。
鉴别数据的计算
与被用来路由在移动接点和对应节点之间被交换的分组的机制无关(参考上边,隧道vs.LPA处的处理),移动节点应该:
--对于传出的分组,当被对应节点接收时,基于分组来计算鉴别数据
--对于传入的分组,当被对应节点发送时,基于分组来验证鉴别数据。
这样,总的来说,在例如IPv6终端MN和目的节点CN之间的通
信中,如果使用路由优化,MN的地址可以通过它的(临时)IPv6地址(转交地址)来被确定。一个避免这种情况的优先解决方法是通过本地代理转发任何通信量,这样将隐藏MN的IPv6地址不让CN知道。从MN到CN的分组,以及从CN到MN的分组二者都需要经过本地代理来提供地址保密:来自MN的分组需要经过本地代理以便不把MN_CoA暴露给CN,并且绕道入口过滤:而来自CN的分组需要经过本地代理是为了能够被传送到MN。这些路由机制,也被称作三角形路由和反向隧道发送,可能暗含了长的通信距离。
上面描述的本发明提供了一种提供地址保密同时避免了这些长的路径的方法。MN向特定的地址保密服务器发送地址保密请求消息。LPS指派一个特定的地址保密代理,它将代替HA在隐藏UEIPv6地址中被使用。LPA的物理地址将尽可能接近CN的被确定,并且尽可能接近MN-CN路径,以避免在路径CN=>LPA=>MN中长的通信距离。
因此,正如这里上边已经描述的那样,本发明涉及一种用于为在通信网络系统中与通信伙伴节点CN进行通信的终端节点MN提供地址保密的方法,所述通信网络系统包括至少第一通信网络HN,VN,其中通过所述通信网络系统进行通信的各个节点MN用其永久网络地址MN_PA识别并且用临时网络地址MN_CoA是可寻址的,至少一个服务器实体LPS,多个代理实体LPA1,...,LPAn,其中每个所述服务器实体LPS保持关于所述代理实体LPA1,...,LPAn以及他们各自在网络系统中的位置的记录,所述方法包括以下步骤:由所述终端节点MN为了地址保密向所述服务器实体LPS发出请求S41,在所述服务器实体LPS处,基于所述服务器实体的记录中保持的数据和所述发出请求的终端节点的临时网络地址,来选择所述代理实体LPA1,...,LPAn中特定的一个(S42),以及在所述终端节点MN和所述通信伙伴节点CN之间通过被选择的代理实体中的一个LPA来通信消息S46。本发明也涉及相应的网络系统,服务器实体,代理实体以及终端节点。
尽管这里在上面已经参考本发明的优选实施例描述了本发明,但可以理解的是,可以对其进行大量的改动而不会违背本发明的精神和范围。所有这样的改动都将包含在附加的权利要求的范围内。
特别是,为本发明的不同单个方面描述的选项可以相互结合,除非明确的提到这种结合是不可行的。
Claims (20)
1.一种在通信网络系统中为与通信伙伴节点(CN)进行通信的终端节点(MN)提供地址保密的方法,所述通信网络系统包括:
至少第一通信网络(HN,VN),其中通过所述通信网络系统进行通信的各个节点(MN)利用它的永久网络地址(MN_PA)来识别,并且可以利用临时网络地址(MN_CoA)进行寻址,
至少一个服务器实体(LPS),
多个代理实体(LPA1,…,LPAn),
其中每个所述服务器实体(LPS)保持关于所述代理实体(LPA1,…,LPAn)以及它们在所述网络系统中各自位置的记录,
所述方法包括以下步骤:
所述终端节点(MN)为了地址保密向所述服务器实体(LPS)发出请求(S41),
在所述服务器实体(LPS)中,基于保持在所述服务器实体的记录中的数据以及所述发出请求的终端节点的临时网络地址,选择所述代理实体(LPA1,…,LPAn)中的特定一个(S42),以及
在所述终端节点(MN)和所述通信伙伴节点(CN)之间,通过所选择的一个所述代理实体通信消息(S46)。
2.根据权利要求1的方法,其中所述请求包括
需要与其进行通信的所述通信伙伴节点(CN)的网络地址,
所述请求终端节点(MN)的永久网络地址(MN_PA),以及
所述发出请求的终端节点(MN)的临时网络地址(MN_CoA),通过所述临时地址可以在所述通信网络系统中对所述终端节点进行寻址。
3、根据权利要求1的方法,其中可以基于所述代理实体被分配到的网络域得到所述代理实体的各自位置,其中所述网络域由所述网络中的网络地址区间代表。
4、根据权利要求3的方法,其中所述选择基于需要与其进行通信的所述通信伙伴节点(CN)的已知网络地址(CN_A),其中所述已知网络地址被包含在所述请求中。
5、根据权利要求4的方法,其中所述选择包括以下步骤:
第一次检索所述由发出请求的终端节点(MN)的临时地址(MN_CoA)所属的网络地址区间所代表的第一网络域,
第二次检索由所述通信伙伴节点(CN)的地址(CN_A)所属的网络地址区间所代表的第二网络域,以及
基于所述被检索的信息,确定将被选择的代理实体(LPA)。
6、根据权利要求1的方法,还包括步骤
在通信消息前,向所述发出请求的终端节点(MN)通知所选择的代理实体(LPA)。
7、根据权利要求6的方法,还包括步骤
在所选择的代理实体(LPA)中,由所述终端节点创建所述终端节点的永久网络地址(MN_PA)与其临时网络地址(MN_CoA)之间的映射(S44),以及
在所述通信伙伴节点(CN)中,由所述终端节点创建所述终端节点的永久网络地址(MN_PA)与所选择的代理实体的地址之间的映射(S45)。
8、一种通信网络系统,包括
至少第一通信网络(HN),
其中通过所述通信网络系统进行通信的各个节点(MN)利用其永久网络地址(MN_PA)来识别,并且可以利用临时网络地址(MN_CoA)寻址,
至少一个服务器实体(LPS),
多个代理实体(LPA1,…,LPAn),
其中每个所述服务器实体(LPS)保持关于所述代理实体(LPA1,…,LPAn)以及它们在所述网络系统中的位置的记录。
9、根据权利要求8的通信网络系统,其中所述代理实体的各自位置可以基于所述代理实体被分配到的网络域而得到,其中所述网络域由所述网络中的网络地址区间代表。
10、根据权利要求8的通信网络系统,其中对于每个所述通信网络来说,存在着与其相关的一个服务器实体。
11、根据权利要求8的通信网络系统,其中对于每个所述通信网络来说,存在着与其相关的多个代理实体。
12、一种服务器实体(LPS),包括
保持关于多个代理实体(LPA1,…,LPAn)以及它们在通信网络系统中各自位置的记录的数据库单元,以及
基于保持在所述记录中的数据以及发出请求的终端节点(MN)的临时网络地址(MN_CoA),选择所述代理实体(LPA1,…,LPAn)中的特定一个的处理单元。
13、根据权利要求12的服务器实体,其中所述代理实体的各自位置可以基于所述代理实体被分配到的网络域而得到,其中所述网络域由所述网络中的网络地址区间代表。
14、根据权利要求13的服务器实体,其中所述处理单元包括选择单元,所述选择单元包括:
用于检索由所述发出请求的终端节点(MN)的临时地址(MN_CoA)所属的网络地址区间所代表的第一网络域的第一检索单元,
用于检索由通信伙伴节点(CN)的地址(CN_A)所属的网络地址区间所代表的第二网络域的第二检索单元,以及
用于基于所述检索的信息确定所选择的代理实体(LPA)的确定单元。
15、根据权利要求12的服务器实体,其中所述记录由网络运营商根据构成通信网络系统的通信网络的拓扑结构来配置。
16、根据权利要求12或15的服务器实体,其中所述记录由网络运营商根据构成通信网络系统的通信网络的拓扑结构来配置,并且所述服务器实体通过添加来自所述通信网络系统中的其他服务器实体的记录信息来扩展所述记录。
17、根据权利要求12的服务器实体,还包括传输单元,所述传输单元用于:
接收和发送用以形成和保持所述记录的信息,
从终端节点(MN)中接收请求,以及
向发出请求的终端发送处理结果。
18、根据权利要求17的服务器实体,其中所述传输单元用于向所选择的代理实体发送处理结果。
19、一种代理实体(LPA1,…,LPAn),包括
存储器单元,用于高速缓冲存储识别终端节点(MN)的永久地址到指示终端节点(MN)位置的所述终端节点(MN)的临时地址(CoA)的映射,以及
路由单元,用于将从所述终端节点(MN)接收的数据分组转发到所寻址的通信伙伴节点(CN),并且将从所述通信伙伴(CN)接收的数据分组转发到所述终端节点(MN),其中所述转发基于在所述存储器单元中被高速缓冲存储的映射信息。
20、一种用于根据上述权利要求8至11中任一项的通信网络系统的终端节点,执行根据权利要求1至7中任一项的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/986,602 | 2001-11-09 | ||
| US09/986,602 US7349377B2 (en) | 2001-11-09 | 2001-11-09 | Method, system and system entities for providing location privacy in communication networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1682510A true CN1682510A (zh) | 2005-10-12 |
Family
ID=25532584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA028216504A Pending CN1682510A (zh) | 2001-11-09 | 2002-11-07 | 在通信网络中提供地址保密 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7349377B2 (zh) |
| EP (1) | EP1442579B1 (zh) |
| CN (1) | CN1682510A (zh) |
| AT (1) | ATE308850T1 (zh) |
| DE (1) | DE60207100T2 (zh) |
| ES (1) | ES2249624T3 (zh) |
| WO (1) | WO2003041358A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007079628A1 (fr) * | 2006-01-09 | 2007-07-19 | Huawei Technologies Co., Ltd. | Procédé de communication pour les noeuds mobiles mipv6 |
| CN102754398A (zh) * | 2010-02-16 | 2012-10-24 | 西门子公司 | 一种用于在通信网络中进行数据传输的方法 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE359641T1 (de) * | 2001-08-16 | 2007-05-15 | Nokia Corp | Einrichtung, verfahren und system für verbessertes routing bei der mobil-ip-vernetzung |
| US7023828B2 (en) * | 2001-11-19 | 2006-04-04 | Motorola, Inc. | Method and apparatus for a mobile node to maintain location privacy from selected correspondent nodes |
| FI114190B (fi) * | 2002-01-11 | 2004-08-31 | Radionet Oy | Menetelmä liikkuvuuden tukemiseksi langattomissa verkoissa |
| JP3634814B2 (ja) * | 2002-03-29 | 2005-03-30 | 株式会社東芝 | 転送制御方法、サーバ装置及び移動端末装置 |
| US7539164B2 (en) * | 2002-06-14 | 2009-05-26 | Nokia Corporation | Method and system for local mobility management |
| US7209491B2 (en) * | 2002-06-28 | 2007-04-24 | Nokia Corporation | Method and system for transmitting data in a packet based communication network |
| US20040039841A1 (en) * | 2002-08-22 | 2004-02-26 | Logalbo Robert D. | Methods for associating addresses in a wireless system with scalable adaptive modulation ("SAM") |
| US7489667B2 (en) * | 2002-11-08 | 2009-02-10 | Faccin Stefano M | Dynamic re-routing of mobile node support in home servers |
| US6999437B2 (en) * | 2002-12-17 | 2006-02-14 | Nokia Corporation | End-to-end location privacy in telecommunications networks |
| GB2400274B (en) * | 2003-04-05 | 2006-11-29 | Hewlett Packard Development Co | Apparatus and related methods for establishing a network connection |
| US7328256B2 (en) * | 2003-06-02 | 2008-02-05 | Apple Inc. | Method and apparatus for distributing computer files across a network to multiple clients |
| US20040266420A1 (en) * | 2003-06-24 | 2004-12-30 | Nokia Inc. | System and method for secure mobile connectivity |
| FI20031258A0 (fi) * | 2003-09-04 | 2003-09-04 | Nokia Corp | Sijainnin yksityisyys viestintäjärjestelmässä |
| US7668145B2 (en) * | 2003-12-22 | 2010-02-23 | Nokia Corporation | Method to support mobile IP mobility in 3GPP networks with SIP established communications |
| GB0407335D0 (en) * | 2004-03-31 | 2004-05-05 | British Telecomm | Authorisation |
| EP1738549B1 (en) * | 2004-04-19 | 2008-04-09 | Telecom Italia S.p.A. | Routing method and system e.g. for ip mobile networks, corresponding network and computer program product |
| JP4208793B2 (ja) * | 2004-08-16 | 2009-01-14 | キヤノン株式会社 | インクジェットヘッド用基板、該基板の製造方法および前記基板を用いるインクジェットヘッド |
| KR100636318B1 (ko) * | 2004-09-07 | 2006-10-18 | 삼성전자주식회사 | CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템 |
| US8005093B2 (en) * | 2004-09-23 | 2011-08-23 | Nokia Corporation | Providing connection between networks using different protocols |
| JP2006166040A (ja) | 2004-12-08 | 2006-06-22 | Nec Corp | 移動体通信システム、管理エージェント装置及びそれらに用いるサーバ機能移動方法並びにそのプログラム |
| US7886076B2 (en) * | 2005-01-12 | 2011-02-08 | International Business Machines Corporation | Bypassing routing stacks using mobile internet protocol |
| JP2006217096A (ja) * | 2005-02-02 | 2006-08-17 | Nec Corp | 移動管理システム、移動管理サーバ及びそれらに用いる移動管理方法並びにそのプログラム |
| WO2007101628A1 (en) * | 2006-03-08 | 2007-09-13 | Matsushita Electric Industrial Co., Ltd. | Mobile ipv6 optimised reverse tunnelling for multi-homed terminals |
| EP1739893A1 (en) * | 2005-06-30 | 2007-01-03 | Matsushita Electric Industrial Co., Ltd. | Optimized reverse tunnelling for packet switched mobile communication systems |
| EP1826958A1 (en) | 2006-02-28 | 2007-08-29 | Matsushita Electric Industrial Co., Ltd. | Route optimization with location privacy support |
| JP5048761B2 (ja) | 2006-05-29 | 2012-10-17 | パナソニック株式会社 | 通信セッションのためのロケーション・プライバシーとルート最適化とを同時に実施する方法及び装置 |
| EP1863251B1 (en) | 2006-05-29 | 2011-08-24 | Panasonic Corporation | Method and apparatus for mobile IPV6 simultaneous location privacy and route optimization |
| WO2007142317A1 (en) * | 2006-06-02 | 2007-12-13 | Panasonic Corporation | Node discovery method and mobile node, relay node, home agent which is used by the method |
| CN101480015A (zh) * | 2006-07-03 | 2009-07-08 | 艾利森电话股份有限公司 | 移动代理的拓扑隐藏 |
| US8179859B2 (en) | 2008-02-21 | 2012-05-15 | Wang Ynjiun P | Roaming encoded information reading terminal |
| US8191785B2 (en) * | 2009-03-05 | 2012-06-05 | Hand Held Products, Inc. | Encoded information reading terminal operating in infrastructure mode and ad-hoc mode |
| EP2244495B1 (en) * | 2009-04-20 | 2012-09-19 | Panasonic Corporation | Route optimazion of a data path between communicating nodes using a route optimization agent |
| US8707271B2 (en) | 2011-05-20 | 2014-04-22 | International Business Machines Corporation | Fake check-in entries posted on behalf of social network users |
| US9654441B2 (en) | 2011-08-12 | 2017-05-16 | Nokia Technologies Oy | Limiting rate of MAC address change in wireless modem |
| KR102054195B1 (ko) * | 2013-07-02 | 2019-12-11 | 삼성전자 주식회사 | 이동 통신 시스템에서 데이터 경로 최적화 방법 및 장치 |
| US10764250B2 (en) | 2018-09-17 | 2020-09-01 | Winston Privacy | Method and system for first party and third party detection and for the occlusion of network device TLS signatures |
| US11337177B2 (en) | 2020-09-23 | 2022-05-17 | Glowstik, Inc. | System and method for generating amorphous dynamic display icons |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5572528A (en) * | 1995-03-20 | 1996-11-05 | Novell, Inc. | Mobile networking method and apparatus |
| US6608832B2 (en) | 1997-09-25 | 2003-08-19 | Telefonaktiebolaget Lm Ericsson | Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services |
| FI106831B (fi) | 1998-01-14 | 2001-04-12 | Nokia Networks Oy | Pääsyn kontrollointimenetelmä matkaviestinjärjestelmää varten |
| US6535493B1 (en) * | 1998-01-15 | 2003-03-18 | Symbol Technologies, Inc. | Mobile internet communication protocol |
| US6160804A (en) | 1998-11-13 | 2000-12-12 | Lucent Technologies Inc. | Mobility management for a multimedia mobile network |
| JP4639016B2 (ja) | 1999-06-08 | 2011-02-23 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動インターネットアクセス |
| US6891820B1 (en) * | 1999-07-06 | 2005-05-10 | Broadcom Corporation | Utilization of the internet protocol to facilitate communication involving mobile devices |
| US6804720B1 (en) * | 2000-06-07 | 2004-10-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Mobile internet access |
| US6982967B1 (en) * | 2000-06-29 | 2006-01-03 | Cisco Technology, Inc. | Methods and apparatus for implementing a proxy mobile node in a wireless local area network |
| US7146636B2 (en) * | 2000-07-24 | 2006-12-05 | Bluesocket, Inc. | Method and system for enabling centralized control of wireless local area networks |
| US7333482B2 (en) * | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
| US7167466B2 (en) | 2001-02-09 | 2007-01-23 | Nortel Networks Limited | Method and apparatus for dynamically assigning a home agent |
-
2001
- 2001-11-09 US US09/986,602 patent/US7349377B2/en not_active Expired - Fee Related
-
2002
- 2002-11-07 DE DE60207100T patent/DE60207100T2/de not_active Expired - Lifetime
- 2002-11-07 ES ES02781478T patent/ES2249624T3/es not_active Expired - Lifetime
- 2002-11-07 WO PCT/IB2002/004656 patent/WO2003041358A1/en not_active Application Discontinuation
- 2002-11-07 AT AT02781478T patent/ATE308850T1/de not_active IP Right Cessation
- 2002-11-07 CN CNA028216504A patent/CN1682510A/zh active Pending
- 2002-11-07 EP EP02781478A patent/EP1442579B1/en not_active Expired - Lifetime
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007079628A1 (fr) * | 2006-01-09 | 2007-07-19 | Huawei Technologies Co., Ltd. | Procédé de communication pour les noeuds mobiles mipv6 |
| CN102754398A (zh) * | 2010-02-16 | 2012-10-24 | 西门子公司 | 一种用于在通信网络中进行数据传输的方法 |
| US8811427B2 (en) | 2010-02-16 | 2014-08-19 | Siemens Aktiengesellschaft | Method for data transmission in a communication network |
| CN102754398B (zh) * | 2010-02-16 | 2015-04-01 | 西门子公司 | 一种用于在通信网络中进行数据传输的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7349377B2 (en) | 2008-03-25 |
| EP1442579A1 (en) | 2004-08-04 |
| ES2249624T3 (es) | 2006-04-01 |
| US20030093553A1 (en) | 2003-05-15 |
| DE60207100T2 (de) | 2006-07-13 |
| ATE308850T1 (de) | 2005-11-15 |
| WO2003041358A1 (en) | 2003-05-15 |
| EP1442579B1 (en) | 2005-11-02 |
| DE60207100D1 (de) | 2005-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1682510A (zh) | 在通信网络中提供地址保密 | |
| CN1262090C (zh) | 移动网络中管理移动节点的系统 | |
| CN1241370C (zh) | 移动终端管理系统 | |
| CN1166119C (zh) | 进行数据通信的方法、交换设备、通信系统及终端台 | |
| CN1231079C (zh) | 用于在接入系统中指示宏移动实体的方法以及接入系统 | |
| CN1842995A (zh) | 一种无线漫游上网的方法 | |
| CN1263267C (zh) | 漫游的转换器或路由器 | |
| CN1511404A (zh) | 互联网协议层中低架空移动率管理协议的方法与系统 | |
| CN101065940A (zh) | 中继装置、中继方法和程序 | |
| CN1625275A (zh) | 地址获取 | |
| CN1496154A (zh) | 移动通信控制系统、移动通信控制方法、路由器、服务器以及数据结构 | |
| CN1870658A (zh) | 分组网络中的用户定位系统及方法 | |
| CN1960566A (zh) | 演进的移动通信网及3gpp和非3gpp接入网之间移动性管理方法 | |
| CN1838824A (zh) | 无线通信系统中广播多播区域管理的实现方法 | |
| CN1650663A (zh) | 与移动通信系统中ip会话的重新定位相关的优化信息传送 | |
| CN1859445A (zh) | 一种移动终端ip地址分配方法 | |
| CN1833412A (zh) | 验证通信方法 | |
| CN1845527A (zh) | 在微波接入全球互通系统中提供组播业务的方法及系统 | |
| CN1825827A (zh) | IPv6和IPv4 GPRS核心网互通的方法及装置 | |
| CN101047958A (zh) | 3gpp演进网络中漫游场景下用户网络附着方法及系统 | |
| CN1192576C (zh) | 移动网络中实现多播业务的方法 | |
| CN1913713A (zh) | 公共数据网接入方法及系统 | |
| CN1160979C (zh) | 移动通信系统内的分组数据业务 | |
| CN101076791A (zh) | 提供端口的动态专用的处理器间通信网络 | |
| CN1905569A (zh) | 移动通信网络改变用户ip地址的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |