CN1939000A - 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 - Google Patents
建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 Download PDFInfo
- Publication number
- CN1939000A CN1939000A CNA2004800426901A CN200480042690A CN1939000A CN 1939000 A CN1939000 A CN 1939000A CN A2004800426901 A CNA2004800426901 A CN A2004800426901A CN 200480042690 A CN200480042690 A CN 200480042690A CN 1939000 A CN1939000 A CN 1939000A
- Authority
- CN
- China
- Prior art keywords
- hip
- main frame
- identifier
- gateway node
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Conveying And Assembling Of Building Elements In Situ (AREA)
- Synchronisation In Digital Transmission Systems (AREA)
- Mechanical Coupling Of Light Guides (AREA)
- Computer And Data Communications (AREA)
Abstract
提供一种把主机标识协议(HIP)用于至少部分保护在第一网络环境中工作的第一主机(102)与在第二网络环境中工作的第二HIP使能主机(122)之间的通信的方法,其中网关节点(114)形成两种环境之间的网关。在该方法中,标识符与第一主机(102)关联,在网关节点(114)上存储,并发送给第一主机(102)。该标识符则用作从第一主机(102)发送给网关节点(114)的后续会话发起消息中的源地址,该消息具有消息的目的地是第二主机(122)的指示。网关节点上的已存储标识符则用来协商到第二主机的安全HIP连接。第一网络环境可能是UMTS或GPRS环境,在这种情况中,网关节点可能是网关GPRS支持节点(GGSN)。
Description
技术领域
本发明涉及将主机标识协议(HIP)用于至少部分保护在两个不同的相应网络环境中工作的两个主机之间的通信的方法,两个主机中至少一个是HIP使能的。
背景技术
在最初设计因特网时,主机的位置是固定的,并且用户之间存在隐含信任而不管缺乏实际安全性或主机标识协议,而且这种情况甚至在更广泛地了解和使用该技术后继续存在。极少需要考虑用于处理主机移动性的技术,因为计算机体积较大并且不能移动。
随着二十世纪九十年代初期电信和计算机工业的变革,更小的通信设备和计算机成为更广泛可获得的,并且万维网的发明以及伴随它出现的所有服务最终使因特网吸引大众。网络和移动电信的不断增加的使用的结合产生对于因特网中的安全移动性管理的需要。
有关各方的增加数量以及某些业务需要的现金交易也产生对于附加应用级安全性的需要。目前,最广泛使用的加密协议、例如SSL/TLS在上网络层、例如TCP中运行。
考虑到上述移动性管理和安全性问题,引入了移动IP标准(C.Perkins的“IPv4的IP移动性支持”,RFC 3220,IETF,2002)以及移动IPv6标准(D.Johnson、C.Perkins、J.Arkko的“IPv6中的移动性支持”,Internet Draft,制订中,draft-ietf-mobileip-ipv6-24.txt,IETF,2003)。这些规范共同计划为下一代因特网提供移动性支持。安全性工作正以IPsec及相关活动、如各种密钥交换协议的形式发展,其目的是提供IP层的安全性。但是,经验表明,很难采用当前标准来得到结合的安全性和移动性。
IP地址描述网络中的节点的拓扑位置。IP地址用于把分组从源节点路由到目的地。同时,IP地址还用于标识节点,在一个实体中提供两种不同的功能。这类似于某个人在被询问其身份时以其家庭地址作答的情况。在还考虑移动性时,情况变得更为复杂:由于IP地址在这个方案中用作主机标识符,因此它们不得改变;但是,由于IP地址还描述拓扑位置,因此它们当主机在网络中改变其位置时一定必须改变。显然不可能同时实现稳定性和动态改变。
在移动IP的情况中,解决方案是采用提供节点的“归属地址”的固定归属位置。归属地址标识节点以及在其处于归属地时提供其稳定位置。当前位置信息以转交地址的形式可得,它在节点远离归属地时用于路由选择目的。
对该问题的另一个解决方案是把标识和定位功能相互分离,这是主机标识协议(HIP)建议(R.Moskowitz、P.Nikander、P.Jokela的“主机标识协议”,Intemet Draft,制订中,draft-moskowitz-hip-09.txt,IETF,2004)中采用的方法。HIP通过引入新的名称空间、主机标识(HI)来分离IP地址的定位和标识作用。在HIP中,主机标识基本上是公开-私有密钥对的公开密钥。公钥标识保存私钥的唯一副本的一方。拥有密钥对的私钥的主机可直接证明它“拥有”用于在网络中标识它的公钥。分离还提供以安全方式处理移动性和多归属的手段。
下面更详细地论述HIP,但不是基于围绕位置和标识分离的概念的唯一建议。FARA(D.Clark、R.Braden、A.Falk、V.Pingali的“FARA:重组寻址体系结构”,ACM SIGCOMM 2003 Workshops,2003年8月25日和27日)是提供从其中可导出实际体系结构的框架的概念的一般化模型。FARA可在节点标识被检验时利用HIP,因此HIP可能是特定FARA例示的一部分。PeerNet建议(J.Eriksson、M.Faloutsos、S.Krishnamurthy的“PeerNet:Pushing Peer-to-Peer Down the Stack”,IPTPS’03,2003年2月20-21日)也论述了位置和标识分离。因特网间接基础设施I3(I.Stoica等人的“因特网间接基础设施”,ACMSIGCOMM’02,2002年8月19-23日)还定义了标识与路由选择信息之间的分离。
主机标识协议在IP层引入位置与标识信息之间的分离。除了分离之外,还定义了协议以协商HIP使能节点之间的安全关联(SA)。
对于HIP,每个主机具有一个或多个标识,它们可能是长期或者是短期的,可用于在网络中标识它。对于HIP,标识符是公开-私有密钥对的公钥。当主机拥有私钥时,它可证明它实际上“拥有”公钥所代表的这个标识;这与出示ID卡相似。
每个主机可产生仅供短时间使用的短期密钥。它们在不需要稍后采用相同标识来标识节点时是有用的。例如,从书店购买书籍可能是长期关系,而一次性联系服务器以收集用户简档则可认为是短期动作。在后一种情况中,可创建短期标识以避免长期标识的更广泛散布。
作为公钥的HIP主机标识(HI)可能相当长,因而不是在所有情况中都实用。在HIP中,HI采用从HI中通过对其进行散列处理所产生的128位长的主机标识标志(HIT)来表示。因此,HIT标识HI。由于HIT为128位长,因此它可直接用于IPv6应用,因为它与IPv6地址的长度完全相同。
主机标识的另一个表示是局部范围标识符(LSI),它是主机标识的32位表示。LSI的目的是促进在现有协议和API中使用主机标识。例如,由于LSI是与IPv4地址相同的长度,因此它可直接用于IPv4应用。虽然这个描述的其余部分中的许多将基于较长HIT的使用,但是大家会理解,相同或相似的考虑因素适用于备选LSI表示。
当使用HIP时,包括应用在内的上层不再查看IP地址。而是,它们把HIT看作目标主机的“地址”。位置信息在新的层被隐藏,下面进行描述。IP地址不再标识节点;它们仅用于在网络中路由分组。
应用通常不关注位置信息,但一定需要知道它们的对等体的标识。标识由HIT表示。这意味着,IP地址仅对涉及路由选择的下层具有重要性。应用所使用的HIT必须在任何分组离开主机之前被映射到相应的IP地址。这在新的主机标识层中按照以下所述来实现。
附图的图1说明HIP中的各个层,包括标准传输层4、网络层8和链路层10,其中进程2与它下面的传输层4进行通信。对于HIP,新的主机标识层6设置在传输层4与网络层8之间。
每个HI及其关联HIT在本地映射到节点的IP地址。当分组离开主机时,正确的路由被选择(无论通过什么方式),以及相应的IP地址被输入分组,作为源和目标地址。从上层到达的每个分组包含对等体的HIT作为目标地址。HIT与位置信息之间的映射可位于HI层6。因此,目标地址被转换为所映射的IP地址,以及源HIT被转换为源IP地址。
对等HIT与IP地址之间的映射可通过若干方式来检索,其中的一种方式是从DNS服务器进行检索。位置信息可在任何时间由对等节点更新。更新过程将在移动性管理小节进行更详细论述。
HIP定义包含四个消息的基本消息交换、即四方握手,这用来创建HIP使能主机之间的安全关联(SA)。在消息交换期间,Diffie-Hellman过程用来创建会话密钥以及建立节点之间的一对IPsec封装安全净荷(ESP)安全关联(SA)。
附图的图2说明四方握手的操作。协商方称作开始连接的发起方和应答方。发起方通过发送包含参与协商的节点的HIT的I1分组开始协商。如果应答方的HIT不是发起方已知的,则目标HIT也可能被试射过。
当应答方得到I1分组时,它回送包含要由发起方解答的谜题的R1分组。协议经过设计,使得发起方必须在谜题解答中进行大部分计算。这提供了对于DoS攻击的某种保护。R1还发起Diffie-Hellman过程,其中包含应答方的公钥以及Diffie-Hellman参数。
一旦接收到R1分组,发起方解答谜题,并且在I2分组中向应答方发送响应信息块以及IPsec SPI值及其加密公钥。应答方检验是否已经解答谜题,对发起方进行鉴权,并创建IPsec ESP SA。最后的R2消息包含应答方的SPI值。
主机之间的SA被绑定到由HIT所表示的主机标识。但是,网络中传递的分组不包含实际HI信息,但是到达的分组被标识并采用IPsec首标中的安全性参数索引(SPI)值映射到正确的SA。附图的图3说明通过网络时的逻辑和实际分组结构。
从以上清楚表明,改变分组中的位置信息没有对IPsec处理造成任何问题。分组仍然采用SPI正确标识。如果由于某种原因而使分组路由到错误目的地,则接收方无法打开该分组,因为它没有正确的密钥。
当出去的分组从上层到达HI层时,目标HIT从IPsec SADB被检验。如果找到匹配目标HIT的SA,则分组采用与SA关联的会话密钥来加密。
HIT不能用来路由分组。因此,目标(以及源)地址必须变更以匹配节点的IP地址。如前面所述,这些映射存储在HI层。在地址已经变更之后,分组可被发送给网络,在其中采用IP地址信息将它路由到目的地。
在接收主机,SPI值用于从IPsec SADB查找正确的SA。如果找到某个条目,则IP地址可变更到相应HIT,以及分组可采用会话密钥进行解密。
移动性被定义为以下情况:主机在将其通信上下文保持为活动的同时移动,或者换言之,主机在使所有现有连接保持为活动的同时改变它的通过IP地址描述的拓扑位置。在主机上运行的进程未看到移动性,但在遇到的服务质量改变时有可能看到。
移动主机可在一个接入网内部、在不同接入技术之间或者甚至在不同IP地址域之间、例如在IPv4与IPv6网络之间改变位置。在HIP中,应用没有注意IP地址版本的变化。HI层对上层完全隐藏该变化。对等节点无疑必须能够处理改变IP版本的位置更新,以及分组必须是采用某个兼容地址可路由的。如果节点没有IPv4以及IPv6连通性,则可采用执行地址版本转换并代表节点提供连通性的代理节点。
多归属表示其中的端点具有可使用的若干并行通信路径的情况。多归属通常是主机具有若干网络接口(终端主机多归属)或者由于主机与网络的其余部分之间的网络具有冗余路径(站点多归属)的结果。
对于HIP,位置与标识信息之间的分离清楚地表明,分组标识和路由选择可完全相互分离。接收分组的主机通过首先得到正确密钥、然后对分组进行解密来识别发送方。因此,分组中的IP地址不相关。
在网络中移动的HIP移动节点(HMN)可经常改变对因特网的连接点。当连接点改变时,IP地址也改变。这个改变的位置信息必须发送给对等节点、即HIP对应节点(HCN),这种情况如附图的图4所示。相同的地址也可发送给HMN的转发代理(FA),使得也可经由更稳定的点到达HMN。DNS系统太慢而无法用于经常改变位置信息。因此,必须有一种可用来联络HMN的更稳定地址。这种地址是FA所提供的地址。
HIP移动性和多归属协议(P.Nikander、J.Arkko、P.Jokela的“采用主机标识协议的终端主机移动性和多归属”,Intemet Draft,制订中,draft-nikander-hip-mm-00.txt,IETF,2003)定义了包含HMN的当前IP地址的重新寻址(REA)分组。当HMN改变位置和IP地址时,它产生REA分组,采用匹配所使用HI的私钥签署分组,并把分组发送给对等节点和FA。
当对等节点接收REA分组时,它必须开始对于包含在REA分组中的IP地址的地址检验过程。需要地址检验来避免接收来自HMN的错误更新。它向REA分组中的地址发送地址校验(AC)分组。当HMN接收匹配先前发送的REA的AC时,它采用地址校验应答(ACR)分组进行响应。在对等节点已经接收到ACR分组之后,地址检验完成,并且它可添加IP地址作为HMN的位置信息。
由于HMN可在采用不同IP地址版本的网络之间移动,因此,HCN所接收的地址也可能来自不同于前一个地址的地址系列。
HCN可能仅支持一个IP地址版本。在这种情况中,HCN必须采用可用于把分组路由到另外的IP地址版本网络的另外某个代理节点。
具有在连接到不同接入网的不同接口上配置的多个IP地址的多归属HIP主机具有处理送往对等节点的业务的更多可能性。由于它具有在网络中提供其当前位置的多个IP地址,因此它可能希望把所有这些地址告诉它的对等节点。要进行这种操作,多归属HIP节点创建包含能够对那个特定节点使用的所有地址的REA分组。这个地址集可包含它具有的所有地址或者这些地址的某个子集。当对等节点接收具有多个地址的REA分组时,它必须对这些地址的每个进行地址检验,以便避免可能的错误更新。
HCN发送要送往包含在REA分组中的IP地址的AC分组集合。当HMN接收这些AC时,它采用ACR来响应它们的每个。HCN可从所接收ACR分组中确定地址的哪一个有效。
可能因HMN是恶意节点、它在堆栈实现中有错误、或者HMN可能位于采用在因特网中不可路由的私有地址的网络内部而产生REA分组中的错误或不可路由的地址。
多归属HIP节点能够使用所有可用连接,但是,连接的有效使用需要了解基础接入网并且可控制其使用的策略系统。这样一种策略系统可采用不同种类的信息:用户偏好、操作员偏好、来自网络连接的输入、如QoS等。
为了开始与移动节点的HIP交换,发起方节点需要知道如何到达移动节点。虽然动态DNS可用于不经常移动节点的这个功能,但是,对于以这种方式使用DNS的一个备选方案是采用上述静态基础设施段、即转发代理(又称作HIP聚集服务器)。不是向DNS服务器登记它的当前动态地址,而是移动节点登记它的转发代理的地址。移动节点使转发代理采用其当前IP地址连续更新。转发代理只在其当前位置把初始HIP分组从发起方转发给移动节点。其它所有分组在发起方与移动节点之间流动。通常在转发代理上存在极少活动,主要为地址更新和初始HIP分组转发。因此,一个转发代理可支持大量可能的移动节点。移动节点必须信任转发转发代理正确地维护其HIT和IP地址映射。转发代理甚至可用于位置固定的节点,因为情况通常是,固定节点可经常改变其IP地址,例如当它每次由那个节点的服务提供商建立因特网连接而被分配时。
如果两种节点都是移动的,并且正好同时移动,则还需要转发代理。在那种情况中,HIP重新寻址分组将在网络中相互交叉,并且绝不会到达对等节点。为了解决这种情况,节点应当记住转发代理地址,并且在没有接收到应答时向转发代理重新发送HIP重新寻址分组。
移动节点通过建立与转发代理的HIP关联并向其发送HIP重新寻址分组来使它的地址在转发代理上是当前的。如果它们具有不同于DNS查询的方法以得到彼此的HI和HIT,则转发代理将允许两个移动系统使用HIP而无需任何外部基础设施(除了转发代理本身之外),其中包括DNS。
在遗留设备的情况中,主机可能不是HIP使能的,以及唯一选项是采用IP地址来标识主机之间的连接。这不是安全的。情况可通过在HIP使能的主机与无法使用HIP的主机之间设置HIP代理得到改进。一种典型情况是其中的客户机终端不是HIP使能的小公司LAN。业务经由HIP代理路由到对应主机(它们是HIP使能的)。
这种配置如附图的图5所示。在图5中,遗留主机12表示为经由HIP代理16与HIP使能的节点14(具有域名“hip.foo.com”)进行通信。遗留主机12通过接入网18访问HIP代理16,而HIP代理16则通过因特网20访问HIP节点14。为了部分保护遗留主机12与HIP节点14之间的连接,HIP代理16与HIP节点14之间的所有通信都以如以上参照图3所述的相似方式通过HIP代理16与HIP节点14之间建立的安全关联。
但是,甚至在图5所示的安全关联22可被建立以便实现遗留主机12与HIP节点14之间的通信之前,当遗留主机12在HIP节点14如上所述位于转发代理26之后时尝试通过向DNS服务器24-1(以及DNS服务器24-2)发送查询来解析HIP节点14的IP地址时出现问题。DNS服务器24-1将返回HIP节点14的HIT以及转发代理26的IP地址。由于遗留主机12不是HIP使能的,因此将忽略HIT并开始向转发代理26发送消息。如果没有HIT,则转发代理26无法解析这些消息的目标地址,因为极有可能的是若干HIP节点将使用同一个转发代理26。同样,由于遗留主机12忽略HIT并且在发起连接时仅使用HIP节点14的IP地址,因此HIP代理16无法发起它本身与HIP节点14之间的HIP协商,因为它不知道HIP节点14的HIT。在我们的共同未决PCT申请No.PCT/EP04/050129中解决这个问题。
在并非3G环境中的所有用户设备(UE)都是HIP使能的第三代(3G)移动电信网络中实现HIP时出现其它技术考虑因素。在这种上下文中,通用移动电信系统(UMTS)是全球移动通信系统(GSM)的3G后续方案。GSM向UMTS的最重要发展步骤是通用分组无线电业务(GPRS)。GPRS把分组交换引入GSM核心网,并且允许对分组数据网络(PDN)的直接访问。这实现远远超过通过GSM核心网的ISDN的64kbps限制的高数据速率分组交换传输,这是高达2Mbps的UMTS数据传输速率所必需的。GPRS是UMTS引进的前提。
希望为在一个网络环境、如UMTS或GPRS中工作的主机与在另一个网络环境、如因特网中工作的HIP使能主机之间的通信提供以上所述的主机标识协议的益处。
发明内容
根据本发明的第一方面,提供把主机标识协议(HIP)用于至少部分保护在第一网络环境中工作的第一主机与在第二网络环境中工作的第二HIP使能主机之间的通信的方法,其中网关节点形成两种环境之间的网关,该方法包括:把标识符与第一主机关联,在网关节点上存储标识符,以及向第一主机发送标识符;在从第一主机发送给网关节点的后续会话发起消息中采用标识符作为源地址,并且具有消息的目的地是第二主机的指示;以及采用网关节点上的已存储标识符来协商到第二主机的安全HIP连接。
标识符可在网关节点上产生。可响应上下文激活请求从第一主机发送到网关节点而产生标识符。上下文激活请求可能是激活PDP上下文的分组数据协议(PDP)上下文激活请求,以及标识符用作PDP上下文中的PDP地址。
第一主机可能不是HIP使能的,在这种情况中,在网关节点与第二主机之间协商安全HIP连接。
或者,第一主机可能是HIP使能的,在这种情况中,在第一与第二主机之间协商安全HIP连接。
标识符可能具有与由第一主机用于与网关节点的通信的寻址方案中的地址相同的长度。例如,IP寻址方案可被使用,使得标识符可用作会话发起消息中的源IP地址。
标识符可能是和为第一主机产生并与其关联的HIP标识标记关联的查找标识符,允许在网关节点上采用查找标识符来检索第一主机的HIP标识标记。
或者,标识符本身可能是HIP标识标记。
HIP标识标记可在网关与第二主机之间的HIP连接的协商期间包含在HIP首标中。
HIP标识标记可能是主机标识标记(HIT)或局部范围标识符(LSI)。HIP标识标记可能从密钥对产生。密钥对可存储在网关节点中,在网关节点与第二主机之间的后续HIP通信期间使用。
标识符可采取IP地址的形式。
第一网络环境可能是移动网络环境。移动网络环境可能是3G移动环境,例如UMTS移动网络环境。第二网络环境可能是因特网网络环境。
网关节点可提供HIP代理的功能性。网关节点可能是网关GPRS支持节点(GGSN)。
该方法可包括采用与网关节点关联的地址来代替标识符,作为发送给第二主机的后续消息中的源地址。
根据本发明的第二方面,提供一种通信系统,包括在第一网络环境中工作的第一主机、在第二网络环境中工作的第二主机标识协议(HIP)使能主机、形成两种环境之间的网关的网关节点、用于把标识符与第一主机关联的装置、用于在网关节点上存储标识符的装置、用于把标识符发送给第一主机的装置、用于在从第一主机发送给网关节点的后续会话发起消息中采用标识符作为源地址并且具有消息的目的地是第二主机的指示的装置、以及用于采用网关节点上的已存储标识符来协商到第二主机的安全HIP连接的装置。
根据本发明的第三方面,提供由网关节点使用的、把主机标识协议(HIP)用于至少部分保护在第一网络环境中工作的第一主机与在第二网络环境中工作的第二HIP使能主机之间的通信的方法,其中网关节点形成两种环境之间的网关,该方法包括:把标识符与第一主机关联,在网关节点上存储标识符,以及向第一主机发送标识符;接收从第一主机发送给网关节点的后续会话发起消息,该消息具有作为源地址的标识符并且还具有消息的目的地是第二主机的指示;以及采用网关节点上的已存储标识符来协商到第二主机的安全HIP连接。
根据本发明的第四方面,提供一种设备,用作在第一网络环境中工作的第一主机与在第二网络环境中工作的第二主机标识协议(HIP)使能主机之间的网关节点,包括:用于把标识符与第一主机关联的装置,用于在网关节点上存储标识符的装置,用于向第一主机发送标识符的装置,用于接收从第一主机发送给网关节点的后续会话发起消息的装置,所述消息具有作为源地址的标识符并且还具有消息的目的地是第二主机的指示,以及用于采用网关节点上的已存储标识符来协商到第二主机的安全HIP连接的装置。
根据本发明的第五方面,提供一种操作程序,它在网关节点上运行时,使网关节点执行根据本发明的第三方面的方法。
根据本发明的第六方面,提供一种操作程序,它在加载到网关节点中时,使网关节点成为根据本发明的第四方面的设备。
操作程序可在承载媒体上承载。承载媒体可能是例如传输媒体或者存储媒体。
附图说明
前面所述的图1说明主机标识协议中的各个层;
同样是前面所述的图2说明HIP协议中的四方握手的操作;
同样是前面所述的图3说明HIP中的逻辑和实际分组结构;
同样是前面所述的图4说明IPv6与IPv4之间的切换;
同样是前面所述的图5是示意图,说明经由HIP代理为遗留主机与HIP节点之间的通信所建立的一般网络;
图6是框图,说明可应用本发明的实施例的GPRS/UMTS网络体系结构的单元;
图7是信号图,说明PDP上下文激活过程的一个实例;
图8是信号图,说明根据本发明的第一实施例的方法;
图9说明采用标识符的128位表示的本发明的一个实施例中的终端用户地址信息;
图10说明采用标识符的32位表示的本发明的一个实施例中的终端用户地址信息;
图11说明在第一实施例中发送的某些消息的HIP和IP首标的内容;
图12是信号图,说明根据本发明的第二实施例的方法;以及
图13说明在第二实施例中发送的某些消息的HIP和IP首标的内容。
具体实施方式
在图6所示的GPRS/UMTS网络体系结构的框架中描述本发明的实施例。构成本发明的一个实施例的基础的原理与它们对于GPRS一样适用于UMTS。
如上所述,GPRS作为对现有GSM网络基础设施的扩充而设计,其目的是提供无连接分组数据业务。
GPRS引入在GSM之上的支持基于IP的分组数据的端到端传输的多个新功能单元,下面将进行描述。
图6所示的通信系统100包括与基站收发信台(BTS)104进行通信的移动台(MS)102,基站收发信台(BTS)104又与基站控制器(BSC)106进行通信。BTS 104和BSC 106共同构成基站子系统(BSS)。在BSC 106,分组控制单元(PCU,未示出)区分送往电话网110的电路交换数据与送往分组数据网络120的分组交换数据。电话网110例如可能是公共交换电话网(PSTN)或综合业务数字网(ISDN),而分组数据网络例如可能是分组交换公共数据网、因特网或公司LAN。
电路交换数据被经由结合来访位置寄存器(VLR)的移动交换中心(MSC)路由到电话网110。另一方面,分组交换数据经由在服务GPRS支持节点(SGSN)112和网关GPRS支持节点(GGSN)114路由到分组数据网络120。MSC 108、SGSN 112和GGSN 114有权访问归属位置寄存器(HLR)116,它是包含例如与订户关联的服务、帐户状态信息、偏好和IP地址之类的订户信息的数据库。在图6中,域名系统(DNS)服务器118表示为通过分组数据网络120可访问。还表示的是连接到分组数据网络120的主机122。
对于标准GSM网络之上的GPRS引入两个主要的新核心网单元:SGSN 112和GGSN 114。SGSN 112监测移动台102的状态,并跟踪它在给定地理区域中的移动。它还负责建立和管理移动用户与目标网络之间的数据连接。如果用户移动到由不同的SGSN所管理的一段网络中,则它将执行到新的SGSN的切换。
GGSN 114提供GPRS网络环境与外部分组数据网络环境120、如因特网和公司内联网之间的附加点。对各外部网络120提供唯一接入点名称(APN),它由移动用户用来建立到所要求目标网络的连接。其它信息可见于GPRS和UMTS的技术规范,可从
http://www.3gpp.org获得。
在移动台102能够使用GPRS业务之前,它必须采用GPRS附加过程向GPRS网络的SGSN 112进行登记。在附加过程中,网络检查用户是否经过授权,把用户简档从HLR 116复制到SGSN 112,以及向用户分配分组临时移动订户身份(P-TMSI)。在移动台102已经连接到SGSN 112的情况中,更新位置消息被发送给适当的HLR 116,它由新SGSN 112看来执行位置更新过程。与GPRS附加过程有关的更详细信息可见于GPRS技术规范3GPP TS 23.060 V6.3.0(2003-12)的小节6.5。从GPRS网络断开连接称作GPRS分离。它可由移动台或者由网络(SGSN 112或HLR 116)发起。
在完成附加过程时,网络能够跟踪MS 102(经由后续位置更新),并且了解用户有权访问的服务和网络。但是,在这一点上,用户不能向或从分组数据网络120发送或接收数据。为了在成功的GPRS附加之后与分组数据网络120交换数据分组,分组数据协议(PDP)上下文必须首先被激活。
在没有HIP协议的先有技术的GPRS系统中,为了在成功的GPRS附加之后与外部分组数据网络交换数据分组,移动台必须申请分组数据网络中的一个或多个地址,例如在分组数据网络为IP网络的情况中的IP地址。这个地址称作PDP地址。对于各会话,创建PDP上下文,它描述会话的特性。它包含PDP类型(例如IPv4)、分配给移动台的PDP地址、所请求服务质量(QoS)以及用作分组数据网络的接入点的GGSN 114的地址。这个上下文存储在移动台102、SGSN 112和GGSN 114中。通过激活的PDP上下文,移动台102是外部分组数据网络120“可见的”,并且能够发送和接收数据分组。两个地址PDP与IMSI(国际移动系统标识符)之间的映射使GGSN 114能够在分组数据网络120与移动台102之间传送数据分组。
图7说明这种PDP上下文激活过程的一个实例。在步骤S1,激活PDP上下文请求从MS 102发送给SGSN 112。在步骤S2,执行普通安全功能(例如用户的鉴权)。如果接入被允许,则SGSN 112将向受影响GGSN 114发送创建PDP上下文请求消息(步骤S3)。GGSN 114在它的PDP上下文表中创建新条目,它使GGSN 114能够在SGSN112与外部分组数据网络120之间路由数据分组。GGSN 114则在步骤S4向SGSN 112返回创建PDP上下文响应,它包含所分配的PDP地址、例如IPv4地址。SGSN 112更新其PDP上下文表,并且在步骤S5中采用激活PDP上下文接受消息向MS 102确认新PDP上下文的激活。在上述GPRS技术规范的小节9.2.2中更详细地描述了GPRSPDP上下文激活过程,以及在UMTS/GPRS技术规范ETSI TS 129.060V5.8.0(2003-12)的小节7.3中更详细地描述了上述消息交换(称作“隧道管理消息”)。
在本发明的当前实施例中,上述PDP上下文激活过程仍然适用,但经过修改以便使GPRS网络环境中的移动台102与分组数据网络环境120中的主机122之间的通信能够采用HIP得到至少部分保护。如上所述,为了对网络内部的节点提供HIP支持,需要HIP代理对于在网络环境中工作的遗留终端至少部分提供HIP的优点。在GPRS网络环境的上下文中,在当前实施例中,HIP代理作为GGSN 114的组成部分来提供。因此,在当前实施例中,图6的GGSN 114是GGSNHIP代理114。
现在参照图8更详细地描述当前实施例,在其中,图6的主机122是HIP使能主机122,以及移动台102是遗留(非HIP使能的)移动台102。
图8是信号图,说明实施本发明、把主机标识协议用于至少部分保护在第一网络环境(GPRS网络环境)中工作的第一主机(遗留MS102)与在第二网络环境(分组数据交换网络环境)中工作的第二主机(HIP主机122)之间的通信的方法。GGSN HIP代理114形成两个网络环境之间的网关。
在步骤T1,遗留MS 102发起PDP上下文激活过程。在根据本发明的这个实施例的PDP上下文激活过程中,GGSN HIP代理114产生密钥对(HI和保密密钥),并将它与遗留MS 102关联,把密钥对存储在GGSN HIP代理114中。根据公开密钥(HI),标识符被产生并与遗留MS 102关联,然后被发送给遗留MS 102,作为要在PDP上下文中使用的地址。这与其中的IP地址通常被返回给移动台102作为PDP地址的上述传统PDP上下文激活过程不同。
在IPv6被用于遗留MS 102上的情况中,与遗留MS 102关联的标识符是上述主机标识标记(HIT),它具有与IPv6地址相同的长度,并且在这里称作HITMS(GGSN)。在IPv4被用于遗留MS 102上的情况中,标识符是上述局部范围标识符(LSI),它具有与IPv4地址相同的长度,并且在这里称作LSIMS(GGSN)。在前一种情况(IPv6)中,创建PDP上下文响应中的终端用户地址如图9所示,而在后一种情况(IPv4)中,终端用户地址如图10所示。
采取无论什么形式的标识符由终端用户地址中的遗留MS 102接收,以及MS 102存储标识符,用作后续会话发起消息中的源地址,下面进行描述。因此,重要的是,标识符的长度与遗留MS 102所使用的寻址方案的源地址字段相同。
当遗留MS 102随后希望进行到HIP主机122的连接时,如图8的步骤T2所示,它发送DNS查询以获取HIP主机122的IP地址。DNS查询经由GGSN HIP代理114传播到DNS服务器118。DNS服务器118返回HIP主机122的IP地址IPHH以及HIP主机122的HIT即HITHH,并且这个信息存储在GGSN HIP代理114上。HITHH则被发送给遗留MS 102,并且将用作后续会话发起消息中的目标指示符,下面进行描述。目标指示符将被插入会话发起消息的目标地址字段,因此重要的是,目标指示符具有与会话发起消息的目标地址字段相同的长度。因此,如果遗留MS 102是仅具备IPv4能力的,则响应DNS查询而发送给遗留MS 102的目标指示符必须具有与IPv4地址相同的长度。因此,GGSN HIP代理114必须分配LSI或IPv4地址或者HIP主机122的其它某个32位表示,它在移动网络环境中是唯一的。随后在GGSN HIP代理114上需要地址转换,它是技术人员易于实现的。
在步骤T3,会话发起消息从遗留MS 102发送给GGSN HIP代理114,其中IP首标中的源字段设置为HITMS(GGSN)标识符,以及目标字段设置为HITHH,如图11所示。在IPv4寻址的情况中,目标地址设置为HIP主机122的LSI即LSIHH(或者在IPv6到IPv4的转换正在进行的情况中分配给HIP主机122的LSI)。
在接收到会话发起消息时,GGSN HIP代理114注意到它在以上步骤T2所述的DNS查询之后已经存储匹配所接收分组的目标HIT(或LSI)的HIT(或LSI)。因此,GGSN HIP代理114知道预定目标节点是HIP使能的,以及遗留MS 102与HIP主机122之间的通信可采用主机标识协议至少部分得到保护。在这个实例中,GGSN HIP代理114无法找到它与HIP主机122之间的连接的安全关联,因此它随后执行以上参照图2所述的HIP四方握手,从而创建GGSN HIP代理114与HIP主机122之间的安全关联。HIP握手在图8中表示为步骤T4。
四方HIP握手的I1和R1分组首标如图11所示。在I1和R1分组的HIP首标中,发起方字段设置为HITMS(GGSN),以及应答方字段设置为HITHH。在IP首标中,IPGGSN用于I1分组的源字段以及R1分组的目标字段,而IPHH则用于I1分组的目标字段以及R1分组的源字段。
当安全关联已经在GGSN HIP代理114与HIP主机122之间建立时,在步骤T5,GGSN HIP代理114采用安全关联向HIP主机122发送会话发起消息(在步骤T3从遗留MS 102接收)。在步骤T6,会话发起确认被返回给遗留MS 102。
遗留MS 102与HIP主机122之间的后续通信这时可继续进行,其中GGSN HIP代理114与HIP主机122之间的通信采用HIP安全关联来保护。当GGSN HIP代理114接收来自HIP主机122的分组时,它对其进行处理,并根据与步骤T1中分配给遗留MS 102相同的分组目标HIT把数据作为常规IP分组发送给遗留MS 102。
如上所述,在建立GGSN HIP代理114与HIP主机122之间的安全关联的HIP协商期间,以及在遗留MS 102与HIP主机122经由GGSN HIP代理114的后续通信期间,采用为遗留MS 102产生的HITMS(GGSN)及关联密钥对,而不是GGSN HIP代理114本身的HIT和密钥对。情况是这样,使得为与HIP主机122进行通信的各遗留MS102创建分开的安全关联(或者安全关联对)。如果采用GGSN HIP代理114的HIT和密钥对,以及有多个移动台与同一个HIP主机122进行通信,则GGSN HIP代理114与HIP主机122之间的通信会采用相同的安全关联,并且在GGSN HIP代理114上没有任何信息可用来分离不同移动台之间的连接;来自对等体的所有入局分组均包含相同的目标IP和SPI。但是,如果只有一个MS与特定HIP主机122通话,则通常可能使用GGSN HIP代理114的HIT和密钥对。
在上述第一实施例中,移动台102不是HIP使能的。现在描述本发明的第二实施例,在其中,移动台102是HIP使能移动台102。
图12是信号图,说明第二实施例的操作。步骤P1和P2以对应于第一实施例中的相应步骤T1和T2的方式来执行,因此在这里不作进一步描述。在HIP MS 102上接收到HIP主机122的HIT即HITHH之后,HIP MS 102知道HIP主机122是具备HIP能力的。与第一实施例中不同,由于MS 102以及主机122都是具备HIP能力的,因此在第二实施例中,HIP协商可直接在MS 102与主机122之间执行。GGSN HIP代理114不参与实际的HIP协商,而是收集关于HIT、IP地址和SPI的信息。在步骤P3,HIP握手通过I1分组经由GGSN HIP代理114从HIP MS 102到HIP主机122的发送来发起。在第二实施例中,I1分组被认为相当于在步骤T3从遗留MS 102发送到GGSNHIP代理114的第一实施例的会话发起消息。
从HIP MS 102发送的I1分组的HIP和IP首标在图13的顶部示出。在整个HIP协商中,HIP首标的发起方字段设置为HIP MS 102的HIT(HITMS)而不是由GGSN HIP代理114所分配的HIT(HITMS(GGSN))。在第二实施例中,这是因为具备HIP能力的MS 102本身必须负责它本身与HIP主机122之间的HIP协商和安全关联。由GGSN HIP代理114所分配的HITMS(GGSN)不能用于HIP MS 102与HIP主机122之间的通信,因为MS 102没有对应的私钥,因而无法使用HITMS(GGSN)来签署分组。在步骤P3的整个HIP协商中,HIP首标的应答方字段设置为HIP主机122的HIT(HITHH)。
在GGSN HIP代理114上所接收的I1分组中,IP首标的源字段设置为先前由GGSN HIP代理114所分配的标识符HITMS(GGSN),以及目标字段设置为在步骤P2的DNS查询之后通知HIP MS 102的HITHH。从I1分组中,GGSN HIP代理114可从IP首标的源字段(包含标识符HITMS(GGSN))来确定哪一个终端发送了这个分组。GGSN HIP代理114进行适当的地址转换,从而把源IP地址替换为GGSN的全局可路由IP地址IPGGSN,以及采用HIP主机122的IP地址IPHH取代目标IP地址。根据目标地址,分组直接或者经由HIP主机122的转发代理路由到HIP主机122。
HIP主机122采用具有HIP和IP首标的R1分组进行响应,如图13所示。R1分组的首标与在HIP主机122上所接收的I1分组相同,但源和目标IP字段相反。
当GGSN HIP代理114接收R1分组时,它采用HIP首标中的HITMS来检验正确的接收方并检索正确的目标地址,用HITMS(GGSN)取代目标IP地址,如图13的底部所示。
I2分组包含与I1分组相似的首标信息。I2分组还包含由HIP MS102所选的SPI值。SPI值存储在GGSN HIP代理114上,因而形成连接条目{HITMS(GGSN);SPIHH->MS;HITHH}。向正确的MS传递入局数据业务需要这个信息。
从R2分组中,GGSN HIP代理114可了解MS对HIP主机122使用的SPI值,但在通信期间不需要这个信息。SPI值在3G网络内部必须是唯一的。因此,GGSN HIP代理114可在I2/R2分组通过它时执行SPI转换。因此,终端主机会具有它们使用的不同SPI。HIP MS102向HIP主机122发送SPI,以便用于从HIP主机122送往HIP MS102的分组。GGSN HIP代理114产生唯一SPI,它没有与对3G网络所使用的其它任何SPI重叠,并在分组中取代它。因此,GGSN HIP代理114在分组流过时执行SPI映射。在HIP中,这意味着,GGSNHIP代理114必须能够改变I2和R2分组中的SPI值。目前,SPI值属于由发送方签署的区域,因此改变该值会破坏签名。一个选择是把SPI值放置在I2和R2分组中的签名外部,并且这可在将来的HIP规范中进行更改。GGSN HIP代理114可能分配HIP MS 102会使用的SPI的区域。因此,HIP MS 102可能使用的SPI值通常由GGSN HIP代理114来控制,并且不会出现重叠。这将需要插入上下文激活过程中的字段,它通常包含HIP MS 102可能使用的所允许SPI。
在上述第二实施例中,参照HIT而不是LSI的使用。然而大家会理解,这两种表示实质上等效,以及LSI表示可在适当的时候使用。
第二实施例的PDP上下文激活过程的以上描述依靠第一实施例中所述的等效过程,在其中,GGSN HIP代理114产生与MS 102关联的HIT或LSI标识符,把标识符存储在GGSN HIP代理114中。大家会理解,在第二实施例中,对于MS 102与HIP主机122之间的通信的建立,不一定要求标识符实际上存储在GGSN HIP代理114上。例如,参照图13,标识符HITMS(GGSN)作为发送给GGSN HIP代理114的I1分组的源IP字段被包含,并由转发给HIP主机122的I1分组的IPGGSN取代;不需要把在I1分组中接收的HITMS(GGSN)与GGSN HIP代理114上所存储的任何标识符进行匹配以执行这个替换操作。因此,标识符与第一主机关联,发送给第一主机,以及随后用作从第一主机发送给网关节点的会话发起消息中的源地址,其中在网关节点上在发起消息中所接收的标识符用来协商到第二主机的安全HIP连接。在第一实施例中,要求存储标识符,使得可为后续HIP协商检索关联密钥对。但是,在两个实施例中,不一定要求标识符存储在GGSNHIP代理114本身,而是可存储在服务器或者与GGSN HIP代理114进行通信的其它这种存储器中。也不一定要求标识符在GGSN HIP代理114本身中产生,因为它可能远离GGSN HIP代理114而产生并从那里检索。
在以上所述的第一和第二两个实施例中,在步骤T2/P2的DNS查询之后,HIP主机122的HIPHH作为DNS响应的组成部分被返回给MS 102。随后,HITHH被用作会话发起消息中的目标IP地址,其中在I1分组被发送给HIP主机122之前在GGSN HIP代理114上进行从HITHH到IPHH的适当转换。大家会理解,实际IP地址IPHH也可作为DNS响应的组成部分返回给MS 102,使得IPHH可直接用于会话发起消息的目标IP地址字段中。在这种情况中,GGSN HIP代理114需要以某种方式、例如通过参考HITHH与IPHH之间的本地存储关联来确定主机122实际上是HIP使能的。
在以上所述的第二实施例中,大家会理解,在GGSN HIP代理114上形成的I1分组首标转换产生根本不包含HITMS(GGSN)的I1分组。因此,在第二实施例中,GGSN HIP代理114所产生并与HIP MS 102关联的标识符的基础格式并不重要,标识符只是用来标识HIP MS102。因此可采用任何类型的128位标识符,其中地址映射以类似方式执行。大家还会理解,在第二实施例中实际上不需要GGSN HIP代理114产生密钥对以表示HIP MS 102,其中类似HIT的位模式足以作为标识符。在第一实施例中,在HIP协商期间使用标识符HITMS(GGSN),因此它必须采取正确的形式并与密钥对关联。但是,即使在第一实施例中,标识符HITMS(GGSN)本身也不需要被发送给遗留MS 102;所需的只是与HITMS(GGSN)相关的某种标识符被发送给遗留MS 102,并且随后用作会话发起消息中的源IP地址。这个标识符则可在GGSN HIP代理114上链接到HITMS(GGSN),以便用于后续HIP协商。
大家会理解,MS 102、GGSN HIP代理114和HIP主机122的一个或多个的操作可通过在装置上运行的程序来控制。这种操作程序可存储在计算机可读媒体中,或者例如可能通过信号、例如从因特网网站提供的可下载数据信号来体现。所附权利要求将被解释为本身涵盖操作程序,或作为载体上的记录,或作为信号,或者采取其它任何形式。
本领域的技术人员会理解,本发明的实施例不一定限制到各层、例如传输或网络层中的任何特定协议或寻址方案,并且将在HIP框架中起作用,而不管围绕那个框架采用什么寻址或传输协议。
Claims (30)
1.一种把主机标识协议(HIP)用于至少部分保护在第一网络环境中工作的第一主机与在第二网络环境中工作的第二HIP使能主机之间的通信的方法,其中网关节点形成所述两种环境之间的网关,所述方法包括:
把标识符与第一主机关联,在所述网关节点上存储所述标识符,以及向第一主机发送所述标识符;
在从第一主机发送给所述网关节点的后续会话发起消息中采用所述标识符作为源地址并且具有所述消息的目的地是第二主机的指示;以及
采用所述网关节点上的已存储标识符来协商到第二主机的安全HIP连接。
2.如权利要求1所述的方法,其特征在于,所述标识符在所述网关节点上产生。
3.如权利要求2所述的方法,其特征在于,响应上下文激活请求从第一主机发送到网关节点而产生所述标识符。
4.如权利要求3所述的方法,其特征在于,所述上下文激活请求是激活PDP上下文的分组数据协议(PDP)上下文激活请求,以及所述标识符用作所述PDP上下文中的PDP地址。
5.如以上任一权利要求所述的方法,其特征在于,第一主机不是HIP使能的,以及在所述网关节点与第二主机之间协商所述安全HIP连接。
6.如权利要求1至4中的任一项所述的方法,其特征在于,第一主机是HIP使能的,以及在第一与第二主机之间协商所述安全HIP连接。
7.如以上任一权利要求所述的方法,其特征在于,所述标识符具有与由第一主机用于与所述网关节点通信的寻址方案中的地址相同的长度。
8.如权利要求7所述的方法,其特征在于,采用IP寻址方案,以及所述标识符用作所述会话发起消息中的源IP地址。
9.如以上任一权利要求所述的方法,其特征在于,所述标识符是和为第一主机产生并与其关联的HIP标识标记关联的查找标识符,允许在所述网关节点上采用所述查找标识符来检索第一主机的所述HIP标识标记。
10.如权利要求1至8中的任一项所述的方法,其特征在于,所述标识符是HIP标识标记。
11.如从属于权利要求5时的权利要求9或10所述的方法,其特征在于,所述HIP标识标记在所述网关与第二主机之间的所述HIP连接的协商期间包含在HIP首标中。
12.如权利要求9、10或11所述的方法,其特征在于,所述HIP标识标记是主机标识标记(HIT)或局部范围标识符(LSI)。
13.如权利要求9至12中的任一项所述的方法,其特征在于,所述HIP标识标记从密钥对中产生。
14.如从属于权利要求5时的权利要求13所述的方法,其特征在于,所述密钥对存储在所述网关节点中,以供在所述网关节点与第二主机之间的后续HIP通信期间使用。
15.如权利要求1至9中的任一项所述的方法,其特征在于,所述标识符采取IP地址的形式。
16.如以上任一权利要求所述的方法,其特征在于,所述第一网络环境是移动网络环境。
17.如权利要求16所述的方法,其特征在于,所述移动网络环境是3G移动环境。
18.如权利要求17所述的方法,其特征在于,所述移动网络环境是UMTS移动网络环境。
19.如以上任一权利要求所述的方法,其特征在于,所述第二网络环境是因特网网络环境。
20.如以上任一权利要求所述的方法,其特征在于,所述网关节点提供HIP代理的功能性。
21.如以上任一权利要求所述的方法,其特征在于,所述网关节点是网关GPRS支持节点(GGSN)。
22.如以上任一权利要求所述的方法,其特征在于,包括采用与所述网关节点关联的地址来代替所述标识符,作为发送给第二主机的后续消息中的源地址。
23.一种通信系统,包括在第一网络环境中工作的第一主机、在第二网络环境中工作的第二主机标识协议(HIP)使能主机、形成所述两种环境之间的网关的网关节点、用于把标识符与第一主机关联的装置、用于在所述网关节点上存储所述标识符的装置、用于把所述标识符发送给第一主机的装置、用于在从第一主机发送给所述网关节点的后续会话发起消息中采用所述标识符作为源地址并且具有所述消息的目的地是第二主机的指示的装置、以及用于采用所述网关节点上的已存储标识符来协商到第二主机的安全HIP连接的装置。
24.一种供网关节点使用的、把主机标识协议(HIP)用于至少部分保护在第一网络环境中工作的第一主机与在第二网络环境中工作的第二HIP使能主机之间的通信的方法,其中网关节点形成所述两种环境之间的网关,所述方法包括:
把标识符与第一主机关联,在所述网关节点上存储所述标识符,以及向第一主机发送所述标识符;
接收从第一主机发送给所述网关节点的后续会话发起消息,所述消息具有作为源地址的所述标识符,并且还具有所述消息的目的地是第二主机的指示;以及
采用所述网关节点上的已存储标识符来协商到第二主机的安全HIP连接。
25.一种设备,用作在第一网络环境中工作的第一主机与在第二网络环境中工作的第二主机标识协议(HIP)使能主机之间的网关节点,包括:用于把标识符与第一主机关联的装置;用于在所述网关节点上存储所述标识符的装置;用于向第一主机发送所述标识符的装置;用于接收从第一主机发送给所述网关节点的后续会话发起消息的装置,所述消息具有作为源地址的所述标识符并且还具有所述消息的目的地是第二主机的指示;以及用于采用所述网关节点上的已存储标识符来协商到第二主机的安全HIP连接的装置。
26.一种操作程序,在网关节点上运行时,使所述网关节点执行如权利要求24所述的方法。
27.一种操作程序,在加载到网关节点中时,使所述网关节点成为如权利要求25所述的设备。
28.如权利要求26或27所述的操作程序,其特征在于,在承载媒体上承载。
29.如权利要求28所述的操作程序,其特征在于,所述承载媒体是传输媒体。
30.如权利要求28所述的操作程序,其特征在于,所述承载媒体是存储媒体。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2004/050533 WO2005101753A1 (en) | 2004-04-15 | 2004-04-15 | Identification method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1939000A true CN1939000A (zh) | 2007-03-28 |
CN1939000B CN1939000B (zh) | 2011-01-12 |
Family
ID=34957366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004800426901A Expired - Fee Related CN1939000B (zh) | 2004-04-15 | 2004-04-15 | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 |
Country Status (8)
Country | Link |
---|---|
US (1) | US7873825B2 (zh) |
EP (1) | EP1735963B1 (zh) |
CN (1) | CN1939000B (zh) |
AT (1) | ATE366018T1 (zh) |
CA (1) | CA2559076A1 (zh) |
DE (1) | DE602004007303T2 (zh) |
PL (1) | PL1735963T3 (zh) |
WO (1) | WO2005101753A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009012668A1 (en) * | 2007-07-20 | 2009-01-29 | Huawei Technologies Co., Ltd. | Network architecture of mutiple address spaces, and method for host information register and data transmission |
WO2011147265A3 (en) * | 2011-02-28 | 2012-01-26 | Huawei Technologies Co., Ltd. | System and method for mobility management in a wireless communications system |
WO2012019525A1 (zh) * | 2010-08-09 | 2012-02-16 | 中兴通讯股份有限公司 | 基于hip的通信方法、系统及设备 |
CN102413098A (zh) * | 2010-09-20 | 2012-04-11 | 中兴通讯股份有限公司 | 一种基于hip设备的数据传输方法及系统 |
WO2012055112A1 (zh) * | 2010-10-29 | 2012-05-03 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
CN106603513A (zh) * | 2016-11-30 | 2017-04-26 | 中国人民解放军理工大学 | 基于主机标识的资源访问控制方法以及系统 |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8316438B1 (en) | 2004-08-10 | 2012-11-20 | Pure Networks Llc | Network management providing network health information and lockdown security |
US7904712B2 (en) * | 2004-08-10 | 2011-03-08 | Cisco Technology, Inc. | Service licensing and maintenance for networks |
US7925729B2 (en) * | 2004-12-07 | 2011-04-12 | Cisco Technology, Inc. | Network management |
US7827252B2 (en) | 2004-12-07 | 2010-11-02 | Cisco Technology, Inc. | Network device management |
US8478849B2 (en) | 2004-12-07 | 2013-07-02 | Pure Networks LLC. | Network administration tool |
GB2426672B (en) * | 2005-05-27 | 2009-12-16 | Ericsson Telefon Ab L M | Host identity protocol method and apparatus |
WO2006133740A1 (en) * | 2005-06-17 | 2006-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Host identity protocol method and apparatus |
GB2442044B8 (en) * | 2006-05-11 | 2011-02-23 | Ericsson Telefon Ab L M | Addressing and routing mechanism for web server clusters. |
JP4938891B2 (ja) * | 2007-06-14 | 2012-05-23 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ネットワークベース・ローカル移動管理 |
CN101335747B (zh) * | 2007-07-01 | 2012-10-03 | 华为技术有限公司 | 通信地址通知、探索及通信检测、恢复方法及其装置 |
US9026639B2 (en) | 2007-07-13 | 2015-05-05 | Pure Networks Llc | Home network optimizing system |
US9491077B2 (en) | 2007-07-13 | 2016-11-08 | Cisco Technology, Inc. | Network metric reporting system |
US8700743B2 (en) * | 2007-07-13 | 2014-04-15 | Pure Networks Llc | Network configuration device |
US7853829B2 (en) * | 2007-07-13 | 2010-12-14 | Cisco Technology, Inc. | Network advisor |
US8014356B2 (en) * | 2007-07-13 | 2011-09-06 | Cisco Technology, Inc. | Optimal-channel selection in a wireless network |
WO2009049663A1 (en) * | 2007-10-15 | 2009-04-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Provisioning mobility services to legacy terminals |
WO2010088957A1 (en) * | 2009-02-05 | 2010-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Host identity protocol server address configuration |
CN101827011B (zh) * | 2009-03-04 | 2013-03-27 | 华为技术有限公司 | 一种主机通信的方法、系统和设备 |
US8649297B2 (en) | 2010-03-26 | 2014-02-11 | Cisco Technology, Inc. | System and method for simplifying secure network setup |
US8724515B2 (en) | 2010-03-26 | 2014-05-13 | Cisco Technology, Inc. | Configuring a secure network |
CN102223353A (zh) * | 2010-04-14 | 2011-10-19 | 华为技术有限公司 | 主机标识协议安全通道复用方法及装置 |
US10200325B2 (en) * | 2010-04-30 | 2019-02-05 | Shazzle Llc | System and method of delivering confidential electronic files |
US8683019B1 (en) * | 2011-01-25 | 2014-03-25 | Sprint Communications Company L.P. | Enabling external access to a private-network host |
US9712566B2 (en) * | 2012-02-10 | 2017-07-18 | Empire Technology Development Llc | Providing session identifiers |
GB201410089D0 (en) * | 2014-06-06 | 2014-07-23 | Bae Systems Plc | Secured network bridge |
US10893126B2 (en) * | 2018-03-29 | 2021-01-12 | Siemens Aktiengesellschaft | Method and apparatus for protocol translation and exchange of selectable, contextualized data between a server using a next-generation protocol and a legacy server |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6101549A (en) * | 1996-09-27 | 2000-08-08 | Intel Corporation | Proxy-based reservation of network resources |
EP1773013B1 (en) * | 1996-11-01 | 2013-05-22 | Hitachi, Ltd. | Communicating method between IPv4 terminal and IPv6 terminal and IPv4-IPv6 converting apparatus |
US6061346A (en) * | 1997-01-17 | 2000-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access method, and associated apparatus, for accessing a private IP network |
US6973057B1 (en) * | 1999-01-29 | 2005-12-06 | Telefonaktiebolaget L M Ericsson (Publ) | Public mobile data communications network |
FR2804269A1 (fr) * | 2000-01-06 | 2001-07-27 | Avalon | Passerelle de communicaton entre des elements heterogenes de protocoles differents et les membres specifiques d'une communaute en reseau |
KR100442425B1 (ko) * | 2000-11-15 | 2004-07-30 | 엘지전자 주식회사 | 이동통신 시스템에서 인터넷 아이피멀티캐스팅/브로드캐스팅 방법 |
KR100566703B1 (ko) * | 2000-12-21 | 2006-04-03 | 닛뽕덴끼 가부시끼가이샤 | 로커 시스템, 로커 제어 방법, 제어 센터, 및 기록 매체 |
US7171453B2 (en) * | 2001-04-19 | 2007-01-30 | Hitachi, Ltd. | Virtual private volume method and system |
WO2003084184A1 (en) * | 2002-03-27 | 2003-10-09 | British Telecommunications Public Limited Company | Tunnel broker management |
US7346771B2 (en) * | 2002-11-13 | 2008-03-18 | Nokia Corporation | Key distribution across networks |
WO2005081466A1 (en) * | 2004-02-13 | 2005-09-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Addressing method and method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes |
GB2423448B (en) * | 2005-02-18 | 2007-01-10 | Ericsson Telefon Ab L M | Host identity protocol method and apparatus |
-
2004
- 2004-04-15 AT AT04727571T patent/ATE366018T1/de not_active IP Right Cessation
- 2004-04-15 WO PCT/EP2004/050533 patent/WO2005101753A1/en active IP Right Grant
- 2004-04-15 EP EP04727571A patent/EP1735963B1/en not_active Expired - Lifetime
- 2004-04-15 DE DE602004007303T patent/DE602004007303T2/de not_active Expired - Lifetime
- 2004-04-15 US US10/599,761 patent/US7873825B2/en not_active Expired - Fee Related
- 2004-04-15 CA CA002559076A patent/CA2559076A1/en not_active Abandoned
- 2004-04-15 PL PL04727571T patent/PL1735963T3/pl unknown
- 2004-04-15 CN CN2004800426901A patent/CN1939000B/zh not_active Expired - Fee Related
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8787206B2 (en) | 2007-07-20 | 2014-07-22 | Huawei Technologies Co., Ltd. | Multi-address space mobile network architecture, method for registering host information, and method for sending data |
WO2009012668A1 (en) * | 2007-07-20 | 2009-01-29 | Huawei Technologies Co., Ltd. | Network architecture of mutiple address spaces, and method for host information register and data transmission |
WO2012019525A1 (zh) * | 2010-08-09 | 2012-02-16 | 中兴通讯股份有限公司 | 基于hip的通信方法、系统及设备 |
CN102377829A (zh) * | 2010-08-09 | 2012-03-14 | 中兴通讯股份有限公司 | 基于hip的通信方法、系统及设备 |
CN102377829B (zh) * | 2010-08-09 | 2015-11-25 | 中兴通讯股份有限公司 | 基于hip的通信方法、系统及设备 |
CN102413098B (zh) * | 2010-09-20 | 2016-07-06 | 中兴通讯股份有限公司 | 一种基于hip设备的数据传输方法及系统 |
CN102413098A (zh) * | 2010-09-20 | 2012-04-11 | 中兴通讯股份有限公司 | 一种基于hip设备的数据传输方法及系统 |
CN102714617A (zh) * | 2010-10-29 | 2012-10-03 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
CN102714617B (zh) * | 2010-10-29 | 2015-10-21 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
WO2012055112A1 (zh) * | 2010-10-29 | 2012-05-03 | 华为技术有限公司 | 连接建立方法、装置及通信系统 |
CN103385011A (zh) * | 2011-02-28 | 2013-11-06 | 华为技术有限公司 | 无线通信系统中移动性管理的系统和方法 |
US9021104B2 (en) | 2011-02-28 | 2015-04-28 | Futurewei Technologies, Inc. | System and method for mobility management in a wireless communications system |
WO2011147265A3 (en) * | 2011-02-28 | 2012-01-26 | Huawei Technologies Co., Ltd. | System and method for mobility management in a wireless communications system |
CN103385011B (zh) * | 2011-02-28 | 2017-07-07 | 华为技术有限公司 | 无线通信系统中移动性管理的方法和设备 |
CN106603513A (zh) * | 2016-11-30 | 2017-04-26 | 中国人民解放军理工大学 | 基于主机标识的资源访问控制方法以及系统 |
Also Published As
Publication number | Publication date |
---|---|
DE602004007303T2 (de) | 2008-03-13 |
EP1735963A1 (en) | 2006-12-27 |
PL1735963T3 (pl) | 2008-01-31 |
WO2005101753A1 (en) | 2005-10-27 |
CA2559076A1 (en) | 2005-10-27 |
CN1939000B (zh) | 2011-01-12 |
ATE366018T1 (de) | 2007-07-15 |
US7873825B2 (en) | 2011-01-18 |
WO2005101753A8 (en) | 2006-05-18 |
EP1735963B1 (en) | 2007-06-27 |
US20070204150A1 (en) | 2007-08-30 |
DE602004007303D1 (de) | 2007-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1939000B (zh) | 建立遗留与主机标识协议节点之间的主机标识协议连接的标识方法及设备 | |
CN1938999B (zh) | 寻址方法及建立遗留与主机标识协议节点之间的主机标识协议连接的方法和设备 | |
EP1849279B1 (en) | Host identity protocol method and apparatus | |
CN101444064B (zh) | 用于web服务器集群的寻址和路由机制 | |
CN101185309B (zh) | 主机标识协议方法和设备 | |
EP1735990B1 (en) | Mobile ipv6 authentication and authorization | |
Jokela et al. | Host Identity Protocol: Achieving IPv4 œ IPv6 handovers without tunneling | |
Sadio et al. | Improving security and mobility for remote access: a wireless sensor network case | |
Bhatti et al. | Network Working Group D. von Hugo Internet-Draft Deutsche Telekom Intended status: Informational B. Sarikaya Expires: July 10, 2018 Huawei |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110112 Termination date: 20170415 |
|
CF01 | Termination of patent right due to non-payment of annual fee |