CN1946233A - 避免移动网络中昂贵的双重加密的机制 - Google Patents
避免移动网络中昂贵的双重加密的机制 Download PDFInfo
- Publication number
- CN1946233A CN1946233A CNA2006101159928A CN200610115992A CN1946233A CN 1946233 A CN1946233 A CN 1946233A CN A2006101159928 A CNA2006101159928 A CN A2006101159928A CN 200610115992 A CN200610115992 A CN 200610115992A CN 1946233 A CN1946233 A CN 1946233A
- Authority
- CN
- China
- Prior art keywords
- datagram
- layer
- mobile node
- base station
- link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于使移动节点能够通过包括无线链路和不可靠链路的路径发送加密数据的方法,同时避免了任何链路上的双重加密。利用应用指定的安全机制来加密端到端路径上的数据,第二层机制用来加密在如无线标准所认可的无线链路上的数据,而应用指定的安全机制用于加密不可靠链路上的数据。通过避免冗余的双重加密,本发明的方法导致了有限带宽的无线网络中网络资源的优化使用,并且增加了移动节点电池的寿命。
Description
技术领域
本发明涉及通信网络,并且特别涉及一种用于避免移动网络中昂贵的双重加密的机制。
背景技术
必须在所有位置一直保持网络中的通信安全,以避免向未授权的实体泄露机密信息。保持网络安全的困难在无线通信网络中显著地增加,其中空中接口的使用使未授权监听者的任务更简单,这是因为当没有应用加密时可以容易地窃听空中交换的信息。保护无线网络的重要性随无线设备(蜂窝电话、膝上型电脑、个人数字助理或PDA、双向寻呼机等)以及由无线网络和设备提供商所提供的服务(电子邮件、文本、消息传送、视频、语音)的增加而增加。
可以使用各种加密算法,以在网络通信信道上将数据维护在安全状态。通常,加密/解密操作是资源密集的,需要非常快的处理器,或很长时间来完成。其它方法依赖于大量存储器。因此,当发展移动网络的安全性时,必须考虑移动设备(或移动节点、或移动电话)所固有的两个主要限制:典型移动设备的低功耗可用性和计算资源(例如处理能力、存储器、带宽)。这些限制由于潮流趋于开发更小更轻的移动节点而日益相关,这是因为电池和计算硬件必须被集成到缩减的体积中。困此,为了使移动用户使用与有线网络用户相同的服务,并且同时保持服务质量,必须尽可能高效地使用移动节点的硬件资源。在所述情况下,这种需求对移动设备的影响与移动网络的安全性直接相关。
为了读者的方便,下面列出了本说明书中使用的一些缩写。
AES-高级加密标准(Advanced Encryption Standard)美国政府使用的当前认可的算法,用于保护重要数据。它针对各种使用指定了算法(Rijndael)和适当的密钥长度。
DES-数据加密标准(Data Encryption Standard)
美国政府使用的算法,用于保护重要数据。这是对称密钥加密系统。
S-HTTP(或HTTPS)-安全超文本传输协议
在因特网上安全传送数据的协议,它被因特网工程任务组(IETF)批准为标准。根据约定,需要安全连接的URL开始于https:而不是http:。
IPSec-因特网协议安全性
因特网工程任务组(IETF)所定义的网络协议的标准集合,以实现数据报在IP层的安全交换。
SSL-安全套接层
Netscape所开发的协议,用于通过因特网传送私人文件(例如信用卡号),其使用私钥来加密数据。
TLS-传输层安全
确保通信应用与它们的因特网上的用户之间的私密性的协议。当服务器与客户端通信时,TLS确保没有第三方可以窃听或用任何消息进行篡改。TLS是安全套接层(SSL)的后继。
GSM-群组专用移动通信体制
英译文是全球移动通信系统。GSM是世界上最广泛使用的数字移动电话系统。
UMTS网络-通用移动电信系统网络
其是在ITU框架内正被开发的主要第三代移动通信技术之一。
WPA-Wi-Fi保护访问(Wi-Fi Protected Access)
Wi-Fi标准被设计用来改进有线等效协议(WEP,Wired EquivalenceProtocol)的安全特性,即标准802.11所定义的安全机制。WPA包括两个WEP上的改进,即使用临时密钥完整性协议(TKIP,Temporal KeyIntegrity Protocol)的数据加密,和使用可扩展认证协议(EAP,ExtensibleAuthentication Protocol)的用户认证。
WiMax-微波存取全球互通(Worldwide Interoperability formicrowave access)
WiMax是无线工业联合,其成员被组织以促进针对宽带无线接入网络的IEEE 802.16标准。期望WiMax 802.16技术实现利用无线连接的多媒体应用,并使网络能够具有无线最后一英里方案。
在当前移动网络部署中,移动节点有时需要执行多重加密和解密。当结合本地接入网的安全机制使用应用指定的安全时,通常是这种情况。首先,IEEE 802.11i规范需要使用AES或TKIP来加密无线链路上的通信以保护空中接口(air interface)上的业务。其次,使用SSL进行加密的、如HTTPS的应用指定的安全性和完整性保护被用来保护用户和应用服务器之间的通信;当移动用户与802.11网络相关联并连接到应用服务器时,HTTPS用来提供因特网上的端到端保护。这提供了非常稳健的机制以保护用户业务免于窃听和数据更改。
所述方法的问题在于首先使用SSL保护来自移动节点的业务,并且然后利用AES的802.11i保护被应用于SSL加密的业务。接入点在接收业务时利用AES来解密相关数据,并且然后转发SSL保护的数据报给适当的网络单元,以进一步转发给最终目的地(应用服务器)。因此,在设备和接入点之间双重加密了用户业务。
类似的双重加密方法也用在多跳无线网络上的节点之间。具体例子是通过IPSec隧道连接到因特网上的VPN(虚拟专用网)网关的膝上型电脑,同时针对本地无线网络使用AES加密。在所述情况下,加密的IPSec业务在被发送给接入点之前通过WPA再次被加密。这个第二次加密是冗余的,因为它无助于安全性并降低了膝上型电脑的性能和电池寿命。对于比膝上型电脑更小型的移动节点(例如PDA和蜂窝电话),电池电源的慎重使用是很重要的。
综上所述,针对移动网络的当前安全解决方案包括一些形式的双重加密/解密,无论其是在移动节点和接入点之间,还是在无线网络节点的之间。这致使CPU资源消耗,因为加密是计算十分密集的操作。所述计算也使得电池消耗更快,并且如上所述,当考虑认为可接受的大小和当前电池技术的限制时,移动设备的供电是非常珍贵的。因此,如果避免所述重复将是非常有利的。
此外,确保不穿越OSI模型的不同层重复加密和完整性保护机制,对于需要以高效可靠的方式接入服务的设备而言是十分重要的。对于需要快速分组处理和后续处理的实时应用,特别是这种情况。在不同网络层添加冗余保护机制可以显著降低与所述应用相关联的总的端到端性能比率。困难的部分是发现一种通过嵌入足够信息到网络数据流中而使得所述层进行智能交互的方式,以便它们可以在网络链路级同步它们的安全保护特性。
需要一种允许双方通过无线网络进行通信的机制,以协商保护联网通信信道的最佳方式,而无需重复与指定网络层相关联的保护特性。
也需要提供一种安全机制,该安全机制是通用的、灵活的,并且可以结合多种无线网络来使用。随着越来越多的无线网络被部署,将主动考虑对降低多重加密/解密过程的复杂度的需要,并且这也意味着标准的最终改变和不同无线标准的互配(inter-working),以仅执行单个加密操作。
发明内容
本发明的目的是提供一种用于无线联网环境中加密数据业务的性能增强的改进的系统和方法。
本发明的另一个目的是提供一种用于避免移动网络中相同数据报的冗余(多重)加密的方法和系统。
因此,本发明提供了一种避免在移动节点(MN)进行双重加密的方法,其中所述移动节点请求与不可靠网络上的远程终端的连接,该方法包括以下步骤:a)建立在MN和基站(BS)之间的第一链路以及BS和远程终端之间的第二链路上的数据路径,所述数据路径服务于所述连接;b)用第一标识符标记包括机密信息的数据报,并用第二标识符标记不包括机密信息的数据;c)根据所述第一和第二标识符,在所述MN加密所述数据报;以及d)在所述BS,仅对标记以所述标识符的数据报进行解密。
本发明还涉及一种用于使移动节点能够通过数据路径接入远程终端的基站(BS),所述数据路径具有MN和BS之间的第一链路以及BS和远程终端之间的第二链路,所述基站包括:装置,用于存储第一标识符和第二标识符并为所述MN分配第一标识符池和第二标识符池;L2解密机制,用于对接收自所述MN并具有第二标识符池中的第二标识符的数据报进行L2解密,并且传送L2解密的数据报给所述远程终端而无需任何额外加密;安全链路表(SLT),用于记录接收自所述MN并具有所述第一标识符池中的第一标识符的数据报的源/目的地址;装置,用于在所述SLT中标识接收自所述远程终端的任何数据报的源/目的地址;L2加密机制,用于L2加密接收自所述远程终端的任何数据报,其中该数据报不具有所述SLT中的源/目的地址。
根据本发明的另一个方面,提供了一种用于与远程终端通过数据路径进行通信的移动节点(MN),其中该数据路径具有MN和基站(BS)之间的第一链路以及BS和远程终端之间的第二链路。所述移动节点包括:处理装置,用于从BS请求第一和第二标识符,并且用第一标识符标记包括机密信息的数据报,而用第二标识符标记不包括机密信息的数据报;应用指定的机制,用于HL加密具有第一标识符的数据报,并且通过所述数据路径传送该数据报给所述远程终端;以及L2加密机制,用于L2加密具有第二标识符的数据报,并且通过所述第一链路传送该数据报给所述BS以进行L2解密。
本发明的又一方面涉及一种避免在移动节点(MN)进行双重加密的方法,其中所述移动节点请求与连接到不可靠网络的远程终端的连接,该方法包括以下步骤:a)建立在MN和智能基站(iBS)之间的第一链路以及iBS和远程终端之间的第二链路上的数据路径,所述数据路径服务于所述连接;b)针对上行链路通信,在所述MN利用L2加密机制来L2加密数据报,并且传送该L2加密的数据报给所述iBS,由此沿所述第一链路来L2加密业务;以及c)在所述iBS,L2解密数据报,利用应用指定的安全机制来HL加密该数据报,并且传送该HL加密的业务给所述远程终端,由此沿所述第二链路来HL加密所述业务,其中所述MN不信任所述BS。
在另一实施例中,本发明提供了一种用于使移动节点能够通过数据路径接入远程终端的智能基站(iBS),其中所述数据路径具有MN和BS之间的第一链路以及BS和远程终端之间的第二链路,所述智能基站包括:用于代表所述MN来创建并管理安全信道的装置;用于L2解密来自所述MN的数据报并且L2加密来自所述远程终端的数据报的装置;以及用于HL加密L2解密的数据报并且HL加密L2解密的数据报的装置。
有利地,本发明的方法避免了冗余的双重加密,其导致了有限带宽的无线网络中网络资源的优化使用。同样,本发明允许更高效地使用移动客户端的计算和硬件资源,所述移动客户端例如是蜂窝电话、PDA、膝上型电脑等。由于根据本发明,移动节点不必执行额外的处理,因此基站可以服务于大量移动节点,这因而改进了CAPEX支出。例如,在多跳或网状网络实现中,本发明可以被用来优化网络性能而无需昂贵的硬件升级。
从用户角度出发,主要关注的是计算和带宽,并且因此关于所述资源的任何节约都极具优势。
附图说明
参考附图,根据下面对优选实施例的具体描述,本发明的前述及其它目的、特征和优点将变得显而易见,其中:
图1a-1c说明了根据本发明实施例的“每帧信令”方法,其中图1a说明了向移动节点分配标识符,图1b示出了应用指定的(或HL)加密业务的流程,而图1c示出了非HL加密业务的流程;
图2说明了根据本发明另一实施例的“iBS安全会话管理”方法;
图3示出了WLAN上的移动终端接入VPN的传统通信的例子;
图4a到4c说明了本发明的“每帧信令”方法应用于图3的情景,其中图4a示出了向移动用户分配MAC地址,图4b示出了HL加密业务的流程,而图4c示出了非HL加密业务的流程;
图5说明了本发明的“iBS安全会话管理”方法应用于图3的情景;
图6示出了由传统移动网络中的用户设备所执行的双重加密的另一情景;
图7说明了传送到无需加密用户业务的SGSN的机制;以及
图8是具有根据本发明的单个加密的网状网络的例子。
具体实施方式
本发明的方法旨在避免冗余的双重加密,以便优化有限带宽的无线网络中网络资源的使用。以下术语用在本说明书中用于描述本发明。
任何具有不可靠/未认证节点的网络,例如因特网,都称为“不可靠网络”或“UN”。通过不可靠网络的敏感业务必须被加密并认证。通常在TCP/IP模型的L3(这里遵循通用符号,并且在整个文献中使用L3,类似地对L4使用L4,对L2使用L2)(针对公司网络等)或L4(针对银行网络等)执行所述加密。“接入网络”或“AN”是移动节点和基站所属的局域网。IEEE 802.11i需要并规定了数据报的L2加密。
术语“移动节点”或“MN”是指用于通过无线网络进行通信的设备,例如膝上型电脑、PDA(个人数字助理)、蜂窝电话等。术语“基站”或“BS”这里是指到任何远程、不可靠网络的移动节点的网关(接入点AP)。BS可以是WLAN接入点、蜂窝基站收发信机(BTS)等。术语“智能基站”或“iBS”是指包括扩展功能性的BS,所述扩展功能性允许它代表客户端MN来协商应用指定的安全会话。例如,可以代表MN协商IPSec连接的BS是iBS。
术语“远程终端”通常是指通信链路另一端的数据终端,其与移动节点交换业务。远程终端可以是“应用指定的安全网关”或“ASG”。ASG是在数据链路层之上的较高层使用安全协议的网关的通用术语。VPN网关或SSL网关是ASG的例子。远程终端也可以是数据终端,其需要或不需要对不可靠公共网上的业务进行加密。应当指出,术语“远程”是为了便利而使用的相对的术语,并且不应当以任何限制性方式被解释。
术语上行链路和下行链路是指传输方向,并且是相对的术语。在本说明书中,“上行链路”是指移动节点到远程终端的方向,而“下行链路”是指远程终端到移动节点的方向。
术语“认证”是指确定网络实体是否实际上就是其所声称的实体的过程。在私有和公共计算机网络中(包括因特网),通常通过使用登录密码来进行认证。每个用户最初使用所分配的或自己声明的密码进行注册。对于每个后续使用,用户必须知道并使用先前声明的密码。所述系统对于重要交易(例如货币兑换)的缺点在于,密码可能经常被盗、意外泄露或被忘记。
术语“完整性检查”是指确保在传输中不会修改所考虑的数据(信息)的过程。完整性在加密系统中扮演重要角色。
术语“可信/安全”基站是指满足容量、性能、可缩放性、可用性和网络管理需求的基站,以向终端用户递送可靠的“可信”服务。
如上所述,在移动节点和到不可靠陆地网络的接入点之间无线链路上的通信必须执行如IEEE 802.11i所需的L2加密和各自的解密,此后称为“L2加密”。移动节点必须也利用在各个层可用的应用指定的机制(IPSec、SSL等)来执行L3或L4加密和各自的解密,后文称为“高层(HL,higher level)加密”。只要移动节点与应用指定的安全网关(ASG)在不可靠网络上通信,就使用HL加密/解密。为避免双重加密,无线网络中的基站(BS)需要知道已经被HL加密的来自移动节点(MN)的业务。类似地,当MN从BS接收业务时,它需要知道是否执行HL解密。在本说明书中提供了两种达成上述目的的可能方式:称作“每帧信令”方法和分别地“iBS安全会话管理”方法。下面描述这两个方法所需的BS和MN功能性。
每帧信令
每帧信令方法适合大量的部署,其中BS和MN之间没有信任关系。在这个方法中,移动节点独立地协商每个链路并且逐帧向基站信号通知哪些帧除了完整性检查之外还应当被解密。尽管用于提供这种信令的指定方法是与实现相关的,然而实现所述方法的通用方式是使BS响应多个目的地址。BS为每个帧分配附加标识符,所述标识符指示是否已经使用高层机制加密各个帧。例如,ID x可能用于非HL加密的帧,而ID Y用于HL加密的帧。每个标识符可能包括帧标识符池;作为例子,ID X可能包括1到100的帧标识符池,而ID Y可能包括101到200的帧标识符池。BS响应各个标识符并且根据业务要被发往的目的地来处理该业务。
如果在已经认证MN之后,BS检测到帧承载ID X的标识符,这意味着该帧已经在移动节点被L2加密,则BS仅对该帧进行L2解密并将其转发给目的地。如果BS看到承载标识符ID Y的帧,这意味着MN没有执行L2加密,则BS无须执行L2解密。
图1a到1c示出了利用每帧信令的典型会话。这里,移动节点(PDA、蜂窝、膝上型电脑等)10与基站(BS)20通过无线链路2进行通信,其中该无线链路是在移动接入网络1(无线、蜂窝)上被建立的。BS 20使移动网络1的用户能够接入通过例如因特网的不可靠网络50而被连接的远程终端40或45。通常用天线20-1和数据终端20-2表示BS,而作为便携式数据终端设备10-1和数据终端(例如膝上型电脑)10-2来表示移动节点10。
所述远程终端可能是应用指定的安全网关(ASG)40(见图1b)。在所述情况下,不可靠网络50上的一些通信必须一直保持安全,以避免共享机密信息(例如信用卡号、公司内网上交换的机密信息等)。同样,网络50上的业务必须被HL加密。所述远程终端也可以是个人计算机45(见图1c)。在所述情况下,不可靠网络50上的通信不必总是保持机密(例如web下载)。同样,网络50上的业务可能无需加密;远程终端45作为例子而显示为膝上型电脑,这旨在说明终端无需对通过不可靠网络50所获得的数据进行加密。例如,远程终端45可能是无线设备,其通过各个无线网络(未示出)连接到网络50。还应当理解,设备10、20、40和45的表示是作为例子而提供的,而不旨在限制本发明的范围。
图1a示出了向移动节点分配标识符。当MN 10请求接入网络时,BS20首先认证MN的身份,如步骤S1所示。其次,MN从BS请求标识符以反映传输的安全等级,即告知BS各个帧是否被HL加密。作为响应,BS向各个MN指示哪些来自池ID X和ID Y的标识符是空闲的,如步骤S2所示。现在,根据所期望的传输安全等级,MN可以为各个连接选择IDX或ID Y标识符。如前所述,假设ID X池用于非HL加密的业务,而IDY池用于HL加密的业务。
图1b示出了HL加密的业务的流程。在图1a所示的初始步骤S1和S2之后,如果MN打算建立与远程终端40的安全通信链路,则它对所述帧进行HL加密并且为其添加来自池ID Y的各自的标识符,如步骤S3所示。然后MN开始传输HL加密的帧给BS,步骤S4。然后,在所述情况下,MN针对无线链路上的帧传输不执行L2加密,如在现有技术系统中,这是因为该帧已经被HL加密。这样,图1所示的系统避免了双重加密。
当BS 20接收了具有ID Y池中的标识符的帧时,BS记录目的IP地址、分组端口、源IP地址和节点端口,步骤S5。所述地址信息被保持在安全链路表(SLT)30中。在所述情况下无需L2解密,因此BS仅执行完整性检查,步骤S6。
对于下行链路方向,数据终端(远程终端)40对所述帧进行HL加密,并且通过不可靠网络50将它们发送给基站20。下面,BS检查源/目的IP地址和源/目的端口。如果源/目的对匹配于SLT 30中的条目,则这意味着数据被HL加密。在所述情况下,所述数据仅被发送给具有完整性检查代码的MN,并且不执行/不需要无线链路的L2加密。
图1c说明了非HL加密的业务的流程,这是针对当MN打算建立与数据终端45的非安全通信链路时的情况。在所述情况下,MN对每个帧添加ID X标识符,所述标识符来自被指示为对各个应用可用的标识符的ID X池。一旦帧被L2加密用于无线链路2上的传输,如步骤S10所示,则将标识符添加给该帧。然后发送L2加密的帧给BS 20,如步骤S11所示。BS接收该帧,检查所述标识符并识别出该帧被L2加密,以便BS对其进行解密,如步骤S12所示。然后在网络50上发送未加密的帧给远程终端,如步骤S13所示。没有加密所述帧,这是因为不打算在不可靠网络上保密所述信息。
对于下行链路方向,远程终端45向BS 20发送“未加密”帧。通过查看安全链路表(SLT)30,基站识别出该帧没有被L2加密。如果SLT中不存在源/目的对的条目,则基站20将ID X标识符添加给该帧,并且所述数据利用接入网络1所采用的安全机制而被L2加密。在无线链路2上将L2加密的帧发送给移动节点10。该移动节点识别出ID X标识符并使用合适的L2L2机制来解密该帧。
表1示出了用于TCP/IP网络的SLT表30的例子。
表1:安全链路表
| 链路标识符 | MNIP地址 | MN端口 | ASGIP地址 | ASG端口 |
| ID X1 | 192.168.0.43 | 3245 | 135.168.33.21 | 10001 |
| ID X2 | 192.168.0.43 | 4335 | 209.120.145.6 | 27005 |
| ID Y1 | 192.168.0.28 | 6249 | 166.135.88.58 | 21 |
| ... | ... | ... | ... | ... |
为实现每帧信令,为所述移动节点配备处理装置,用于从BS请求第一和第二标识符并且根据其机密等级来标记数据报。这样,处理器将为必须在高层被加密的帧(数据报)分配标识符ID Y,而ID X用来标识没有通过高层机制被加密的帧。利用应用指定的机制(IPSec、SSL等)来HL加密具有ID Y标识符的帧,而利用各自的L2L2机制来加密具有ID X标识符的数据报。
这个方法的重要优势在于,不必非常复杂或昂贵地实现BS,这是因为它不必是应用感知的。它根据MN添加给帧的标识符来简单地处理每个分组,并且如果需要对数据进行L2加密或解密。
因此,基站应当包括存储器,用于存储对移动节点可用的ID X和ID Y标识符的池。基站也需要具有L2解密机制以对接收自MN的、具有ID X标识符的帧进行解密,并且发送这些帧给远程终端而无需任何进一步的加密。BS维护安全链路表(SLT),所述表具有与ID Y标识符相关联的帧的各个IP源/目的地址/端口,以及用于在SLT中标识接收自远程终端的任何帧的源/目的地址的一些装置。如果帧的地址信息不在SLT中,则在发送帧给MN之前,传递各个帧给L2加密机制以进行L2加密。
每帧的方法补充了iBS方法(下面将讨论),并且可以用在以下情景中:
1.BS不受MN信任;
2.BS不具有足够的硬件资源来代表大量MN高效地管理会话;
3.BS不是非常安全的,在这种情况下,对BS妥协并没有对MN到ASG的链路妥协;
4.存在大量所需应用指定的安全机制,在这种情况下,BS不必知道MN用来提供安全性的每个应用。
iBS安全会话管理
通过所述方法,通过使用应用感知的智能基站(iBS)来实现单个加密。MN必须信任iBS,以使得所述方法有效。除了标准BS功能性之外,iBS具有三个“智能”能力。即,BS具有用于代表MN创建并管理安全信道的装置;用于通过应用指定的机制针对UN另一侧的ASG加密数据的装置;以及用于解密来自ASG的数据并通过本地安全机制转发该数据给目的MN的装置。
图2示出了可能使用iBS安全会话管理方法的配置。在所述情景中,MN 10打算利用应用指定的安全机制与UN 50另一侧的应用指定的安全网关(ASG)40进行通信。智能基站iBS 25用作移动网络1和不可靠网络50之间的接入点。如图1a所示的情景中,首先由具有各个无线网络机制的iBS 25对MN 10进行认证,步骤S10。其次,MN 10发送“打开会话”请求给iBS 25,步骤S20,以请求到由ASG 40所托管的服务的连接。iBS利用由MN发送的证书来创建与ASG 40的安全会话,如步骤S21所示。
ASG以相同方式运转,好像它直接连接到MN。
此后,MN 10利用本地机制(例如由像802.11i、802.16或其它无线协议的无线标准所定义的AES/DES加密或其它加密)来加密业务,步骤S21,并且通过无线链路2发送L2加密的业务,如步骤S22所示。iBS然后L2解密该业务,并且利用任何HL机制来重新加密该业务,如步骤S23所示。为此,iBS维护映射表35;如下示出这种表的例子:
表2:L2_HL映射表
| MN | 目的地:安全网关@ | 类型/安全等级算法 | 密钥 |
| MN1:128.133.21.14MN2:124.112.10.12 | 145.160.12.12139.140.12.16 | AES,HMAC3DES,HMAC | Acd1289e2393adec93 |
表2示出了当需要针对移动节点-安全网状方向建立安全连接时所填充(populate)的参数。即,在所述例子中表2包括映射到各自ASG地址(145.160.12.12)的移动节点地址(例如128.133.21.14),以及各个用于加密和消息认证(AES和HMAC)的算法。也存储了相应的密钥。如果所使用算法和密钥不同于从MN到安全网关的业务流所用的那些,则可以维护从安全网关到MN的业务流的另一个表。
然后发送HL加密的业务给ASG 40,如步骤S24所示。当MN不再希望与ASG 40通信时,它发送“关闭会话”的消息给iBS,如步骤S25所示。iBS因而关闭与ASG的会话,如步骤S26所示。
在下行链路方向中,iBS 25通过各自应用指定的机制来执行源自ASG40、去往MN 10的业务的解密。它也执行L2加密以在无线链路2上传输帧;这样,通过接入网络1的安全机制来保护所述业务。MN对该业务进行L2解密,并且无须执行任何HL解密。由于iBS执行了能量和处理功耗HL加密和解密,因此MN在它交换业务的方式中看不到差异。
所述方法的主要优势是MN在处理周期和电池寿命方面的更好性能。除了指示iBS打开与ASG的会话的初始消息,以及指示iBS关闭该会话的最终消息,移动节点对于发送业务给ASG并没有招致性能损失。在iBS进行所有连接管理,该iBS是固定的并且可假设具有比MN更高的性能和数据处理能力。如果MN信任iBS,则所述方法对于进行部署是合适的;iBS具有足够的硬件资源来代表大量MN高效管理会话;iBS是非常安全的,这是因为对iBS妥协意味着对MN/ASG链路妥协;并且所需应用指定的安全机制的数量合理地是较低的,这是因为否则iBS实现将变得非常复杂。其中可以使用iBS的例子是到公司网络的VPN连接,其中iBS提供IPSec连接给ASG。在所述情况下,ASG在企业/公司网络的边缘像安全网关那样工作。
应当指出,对于节点可能不总是必须明确告知iBS去打开会话-在其中ASG、iBS和MN都相互信任的情景中,iBS可以无缝地拦截MN的安全会话建立消息并代替MN打开到ASG的链路。
下面提供本说明书中提出的解决方案的例子,以便说明本发明的实现;所述例子不旨在限制本发明的应用。第一例子涉及WLAN(无线LAN),其中MN试图通过BS或iBS与UN另一侧的ASG进行通信。表2中概述了该例子的参数。
表2:应用指定的例子:WLAN
| 移动节点10 | 具有WLAN(Wi-Fi)接口和VPN客户端10-2的个人数字助理(PDA)10-1例子:palmOne,具有Certicom的Tungsten C,movianVPN |
| 基站21智能基站 | 802.11b具有上述扩展的无线接入点 |
| 应用指定的安全网关65 | Alcatel 7130安全VPN网关 |
| 不可靠网络 | 因特网55 |
图3示出了传统的移动VPN接入情景。在所述例子中,漫游用户10试图通过使用他/她的PDA 10-1和移动VPN客户端10-2,从WLAN 1热点(hotspot)接入公司网络。
在当前移动VPN接入情景中,需要PDA在两个层执行加密和认证。实际上,MN 10和VPN网关60之间的数据路径包括两个链路:因特网(UN)55上的无线链路2和链路3。两个链路上的业务必须被加密。需要安全链路3,这是因为VPN网关保护公司网络上的敏感信息。需要安全链路2,以保护PDA通信的私密性和WLAN使用日志的完整性。例如,当用户浏览web和下载数据时,出于私密性和安全的原因,他/她不希望周围节点可以获得他/她的个人信息和/或下载行为。实际上,当没有应用加密时,可以在无线接口上容易地窃听所述信息。
同样,在AP 21和VPN网关60都必须执行认证。为了计费、防抵赖等目的,接入点21必须确信其所服务的每个移动节点的身份。因此,在WLAN也需要认证。由于VPN使用限于授权用户,因此也需要VPN网关60处的认证。因此,当前实现需要在VPN网关60的认证,以及在WLAN1的加密和认证。
这些需求使得与VPN网关的通信对于PDA来说相当昂贵。为了发送消息给公司网络,PDA 10首先需要针对VPN网关对该消息进行HL加密(应用指定的加密),并且然后针对接入点再次加密所述密文(L2加密)。类似地,当它接收了来自公司网络的消息时,PDA 10需要对它解密两次。由于两个加密机制是独立安全的,因此所述双重加密/解密是冗余的并且它不必要地缩短了电池寿命并消耗了PDA的硬件资源。可以利用上述任何方法来解决所述低效性。
下面是利用根据本发明的每帧信令的可能解决方案的描述和说明。如在图3的例子中,图4说明了移动客户端10、如图1a-1c中的BS(接入点)20和VPN网关60之间的业务流。在这个方法中,接入点使用其固定(regular)MAC地址,以及应用指定的MAC地址。例如,假设固定MAC地址是MAC Z,而应用指定的MAC地址是MAC 0(地址00:00:00:00:00:00)。应当指出,不必使用MAC 0来表示HL加密的业务。这个表示可以是任何MAC,只要接入点将配置告知网络。在不太可能的事件中,具有冲突MAC地址的节点进入网络,接入点可以改变其HL加密MAC并且广播新的MAC给认证过的节点。
图4a示出了向移动用户分配MAC地址。当PDA发送帧给AP 20时,建立认证步骤S30,并且AP 20向PDA通知可用MAC地址(MAC Z和MAC 0),以指示消息是否被L2加密,如步骤S31所示。
图4b示出了利用本发明的每帧信令方法的HL加密业务的流程。在所述情况下,PDA 10仅执行HL加密,如步骤S32所示。通过发送帧给MAC0地址,步骤S33,PDA向AP通知已经利用应用指定的机制对用MAC报头封装的数据进行加密(HL加密)。AP监听去往MAC Z或MAC 0的帧,如步骤S34所示。一旦它识别出帧具有MAC 0地址,AP 20就仅对该帧进行完整性检查,如步骤S35所示,并且将该帧转发给VPN网关60,步骤S36。由于在所述情景中,接入点20仅对业务进行完整性检查并转发它,因此所述接入点既不必是受信任的也不必是应用层感知的,这使得它适合在普遍存在的环境中部署,如公共热点等。
图4c示出了非HL加密业务的流程。在所述情况中,PDA使用MACZ地址。PDA对业务进行L2加密以确保它安全穿越无线链路2,步骤S42,并且发送帧给MAC Z地址,步骤S43。AP监听去往MAC Z或MAC 0的帧,如步骤S44所示。一旦它识别出帧具有MAC Z,AP 20就对该帧进行L2解密,如步骤S45所示,并且在因特网55上转发未加密业务给VPN网关,步骤S46。
下面结合图5描述并说明针对图3上述指定WLAN的例子的、利用iBS安全会话管理解决方案的可能解决方案。PDA 10和AP 25所执行的第一步是认证,表示为S50。其次,PDA发送所认证的“打开会话”消息给iBS,步骤S51。假设所选认证方法是预共享密钥(PSK)。PDA也与所述消息一起发送其IKE(因特网密钥交换)证书。IKE是IETF RFC 2409中规定的IPSec(因特网协议安全性)标准协议,其用来确保虚拟专用网(VPN)协商和远程主机或网络接入的安全。IKE定义了IPSec安全关联的协商和认证的自动方式。
在接收所述消息和PSK之后,iBS与VPN网关进行IKE协商,步骤S52,并且创建到公司网络的IPSec隧道3。从此开始,仍然仅针对WLAN(L2L2)加密PDA所发出的任何业务,步骤S53。当iBS发现去往VPN网关60的业务时,对其进行解密,步骤S54,并在将其转发到VPN之前,如步骤S56所示,根据协商的IPSec SA对其进行HL加密,如步骤S55所示。如果所述业务不是去往VPN,例如用户正在网上冲浪,则仅在步骤S54对该业务进行L2解密,并将其未加密地发送出,步骤S57。
为结束会话,PDA在步骤S58发送“关闭链路”消息给AP 25,此时AP删除到公司网络的IPSec隧道以及IKE和SA,如步骤S59所示。
对于反向方向,当iBS 25从VPN网关60接收业务时,iBS根据在步骤S52所协商的IPSec SA解密该业务,并且然后根据针对WLAN所协商的机制、针对PDA对该业务进行L2加密。这样,PDA可以避免多重冗余加密。
下面针对通用移动电信系统(UMTS)网络描述并说明本发明应用的另一个例子。图6示出了利用传统方法在UMTS网络中用户设备10和应用服务器40之间所建立的连接。UMTS网络使用这里用24表示的服务GPRS(通用分组无线服务)支持节点(SGSN)和这里用26表示的网关GPRS支持节点(GGSN)。SGSN 24是移动核心节点,它负责在其地理服务区域内从和向移动台传送数据分组。其任务包括分组路由和传送、移动性管理(附着/去附着和位置管理)、逻辑链路管理、认证、拦截和计费功能。GGSN 26具有互连GPRS网络和例如是因特网的外部网络的功能。GGSN可以帮助移动分组网络运营商演进为高增值服务的提供商。
在无线接入网(RAN)28中,用户设备(UE)10执行上行链路业务(MN到BS)的加密,而在RAN中的无线网络控制器(RNC)22或任何其它网络实体处执行解密。对于下行链路业务,RNC对业务进行L2加密,并且UE对其解密。这是根据3GPP(第三代合作伙伴)的UMTS认证和密钥协定(UMTS-AKA(Authentication Key Agreement))规范。
当前,如图6所示,当UE 10连接到应用服务器40时,需要UE来加密业务以在其通过因特网时保护它,这是因为UMTS-AKA不在无线接入网(RAN)28之外保护该业务。由于AS 40使用HTTPS(SSL/TLS),UE必须使用如SSL/TLS的协议和由SSL/TLS所协商的算法来加密用户业务。这些例如是计算密集的加密引擎,如DES、AES。此外,通过使用基于由3GPP定义的Kasumi(产生64比特输出到64比特输入并使用128比特密钥的块加密(block cipher))的f8算法,由UE来执行双重加密以保护(UMTS内)无线业务。因此,在通常情况下,首先使用AES/DES或其它针对SSL/TLS的方法来加密来自MN的用户数据,然后使用f8在UMTS无线层再次加密该业务,并且然后使用UMTS协议发送该业务到RAN。再次,所述业务在图6所示的例子中经历了多重加密。
图7说明了这样的机制,其中不需要传送给SGSN的无线层的用户业务的加密,这意味着将不使用f8来加密由MN发送到BS的用户业务,并且因此BS不应当试图解密该业务,而是替代地仅检查完整性并按原样转发该业务。通过采用如上所述的选择性加密方法,UE在PDP(分组数据协议)上下文激活阶段向SGSN通知不需要无线用户业务的加密,如步骤S60和S61所示。所述信息然后被传送至RNC22,其因而针对上行链路不使用L2解密,如步骤S62所示,并且针对下行链路不使用L2加密,如步骤S63所示。然后仅使用SSL/TLS来保护用户10和应用服务器40之间的业务,如步骤S64所示。
下面针对多跳/网状网络结合图8描述并说明本发明应用的另一个例子。不像传统无线网络,多跳无线网络是这样的网络:其中来自无线设备的数据报/分组从一个无线设备/基站跳到另一个,直到达到目的地。在所述情况下,目的地不必是另一个无线设备;它也可以是固定设备。可以通过不同的标准和协议来保护通过这些无线/固定跳中每一个的业务。存在针对公共居民服务的802.11WLAN的当前部署,其中用户连接到802.11b接入点,并且然后利用802.11a将业务传送到聚集单元以在固定线路上传输。
在这种网络中,执行加密/解密且然后在每个基站或接入点重新加密的成本是非常高的。需要对BS/接入点处的所有上行链路业务进行解密,并且然后对下一个无线跳重新加密该业务;针对下行链路业务重复所述过程。这些操作甚至对大型基站而言也是非常昂贵的,特别是当所述网状网络的核心部分必须针对大量移动节点执行它们时。
如图8所示,客户端C1和客户端C2之间的通信通过因特网并且通过网状网络100。所述网状网络包括因特网和例如AP1、AP2、AP3的接入点AP之间的固定链路(有线),以及无线路由器WR1-WR5之间的无线链路。原则上,接入点利用WiMax(如802.16或802.20的无线协议)与无线路由器通信,而无线路由器利用802.11a相互之间通信。客户端C1和无线路由器WR2利用802.11b通信。每个标准具有其自己的加密和解密机制,并且因此必须在每个无线跳加密并解密业务。在高层,利用SSL/TLS或其它高层安全协议来保护C1和C2之间的通信。
利用本发明,可以选择不对接入点AP2和无线路由器WR1之间、无线路由器WR1和无线路由器WR2之间以及无线路由器WR2和客户端C1之间的通信进行加密。本发明也可以用来避免在C1与至公司网络85的安全网关(ASG)之间承载业务的数据路径上的双重加密。一旦利用IPSec/ESP(HL加密)保护数据路径,就不必在L2(无线层)、在沿所述路径的任何设备(C1,WR2,WR1,AP2,ASG)处执行加密。
应当指出,如果接入点和WR以及客户端之间的通信都使用相同的无线标准,则可以从C1到接入点AP1端到端地使用第二层加密,而无需每个中间跳选择不加密/解密业务。然后利用高层来加密从接入点到C2的业务。
Claims (24)
1.一种避免在移动节点(MN)进行双重加密的方法,所述移动节点请求与不可靠网络上的远程终端的连接,该方法包括下列步骤:
a)建立在所述移动节点和基站(BS)之间第一链路以及所述基站和所述远程终端之间第二链路上的数据路径,所述数据路径服务于所述连接;
b)用第一标识符标记包括机密信息的数据报,并且用第二标识符标记不包括机密信息的数据报;
c)根据所述第一和第二标识符,在所述移动节点加密所述数据报;以及
d)在所述基站,仅对标记以所述标识符的数据报进行解密。
2.根据权利要求1的方法,其中,所述步骤a)针对上行链路方向包括:
在所述基站认证所述移动节点;以及
向所述移动节点通知第一标识符池以及第二标识符池。
3.根据权利要求1的方法,其中,所述步骤b)包括选择所述第一和第二标识符之一,并且将所述各个标识符添加到所述连接的数据报。
4.根据权利要求3的方法,其中,将所述第一和第二标识符添加到所述数据报的地址信息。
5.根据权利要求2的方法,其中,所述步骤c)包括:
利用应用指定的安全机制来对具有所述第一标识符的数据报进行高层加密,并发送该高层加密的业务给所述远程终端,由此所述业务沿所述整个路径被高层加密;以及
利用第二层加密机制来对具有所述第二标识符的数据报进行第二层加密,并且沿所述无线链路发送该数据报给所述基站以进行第二层解密。
6.根据权利要求5的方法,其中,所述步骤d)针对具有所述第一标识符的数据报包括:
将所述数据报的源/目的地址记录到安全链路表(SLT)中,所述源/目的地址指示了所述远程终端是应用指定的安全网关(ASG);以及
在重传至所述应用指定的安全网关之前,身份检查所述数据报。
7.根据权利要求5的方法,其中,所述步骤d)针对具有所述第二标识符的数据报包括:对所述数据报进行第二层解密,并且发送该未加密的数据报给所述远程终端。
8.根据权利要求7的方法,该方法还包括针对下行链路方向、在所述基站:
确定所述数据报的源/目的地址是否在所述安全链路表中;
如果所述数据报的源/目的地址不在所述安全链路表中,则添加第二标识符给所述数据报;以及
第二层加密具有所述第二标识符的数据报。
否则,直接发送所述高层加密的数据报给所述移动节点。
9.根据权利要求8的方法,该方法还包括在所述远程终端:
针对机密信息,高层加密所述数据报并发送该高层加密的数据报给所述移动节点,由此所述业务沿所述整个数据路径被高层加密;以及
针对非机密信息,沿所述不可靠路径向所述基站发送未加密业务。
10.根据权利要求5的方法,其中,所述应用指定的安全机制是以下机制之一:因特网协议安全性、安全套接层和传输层安全。
11.根据权利要求5的方法,其中,所述第二层加密机制是高级加密标准、有线等效协议、临时密钥完整性协议之一。
12.一种用于使移动节点能够通过数据路径接入远程终端的基站(BS),所述数据路径具有所述移动节点和所述基站之间的第一链路以及所述基站和所述远程终端之间的第二链路,所述基站包括:
装置,用于存储第一标识符和第二标识符,并且向所述移动节点分配第一标识符池和第二标识符池;
第二层解密机制,用于对接收自所述移动节点并具有所述第二标识符池中的第二标识符的数据报进行第二层解密,并且发送该第二层解密的数据报给所述远程终端而无需任何额外加密;
安全链路表(SLT),用于记录接收自所述移动节点并具有所述第一标识符池中的第一标识符的数据报的源/目的地址;
装置,用于在所述安全链路表中标识接收自所述远程终端的任何数据报的源/目的地址;
第二层加密机制,用于第二层加密接收自所述远程终端的任何数据报,其中该数据报不具有所述安全链路表中的源/目的地址。
13.根据权利要求12的基站,其还包括用于通过所述第二链路发送所述第二层解密的数据报给所述远程终端的装置。
14.根据权利要求12的基站,其还包括用于通过所述第一链路发送所述高层加密的数据报或所述第二层加密的数据报给所述移动节点的装置。
15.一种用于与远程终端通过数据路径进行通信的移动节点(MN),其中所述数据路径具有所述移动节点和基站之间的第一链路以及所述基站和所述远程终端之间的第二链路,所述移动节点包括:
处理装置,用于从所述基站请求第一和第二标识符,并且用所述第一标识符标记包含机密信息的数据报并用第二标识符标记不包含机密信息的数据报;
应用指定的机制,用于高层加密所述具有第一标识符的数据报,并且在所述数据路径上发送该数据报给所述远程终端;以及
第二层加密机制,用于第二层加密所述具有第二标识符的数据报,并且在所述第一链路上发送该数据报给所述基站用于进行第二层解密。
16.一种用于避免在移动节点(MN)进行双重加密的方法,其中所述移动节点请求与连接到不可靠网络的远程终端的连接,该方法包括下列步骤:
a)建立在所述移动节点和智能基站(iBS)之间第一链路以及所述智能基站和所述远程终端之间第二链路上的数据路径,所述数据路径服务于所述连接;
b)针对上行链路通信,在所述移动节点利用第二层加密机制来第二层加密数据报,并且沿所述第一链路发送该第二层加密的数据报给所述智能基站;以及
c)在所述智能基站,第二层解密所述数据报,利用应用指定的安全机制来高层加密该数据报,并且沿所述第二链路发送所述高层加密的业务给所述远程终端,
其中,所述移动节点不信任所述基站。
17.根据权利要求16的方法,其中,所述远程终端是应用指定的安全网关。
18.根据权利要求16的方法,其中,所述步骤a)在所述智能基站包括:
检验所述移动节点的可靠性;
响应于来自所述移动节点的“打开会话”,协商所述不可靠网络上的所述第二链路的建立;以及
响应于“关闭会话请求”,关闭所述第二链路。
19.根据权利要求16的方法,其中,所述步骤c)包括在所述智能基站维护第二层-高层映射表,其提供第二层解密应用和所述应用指定的安全机制之间的对应关系,其中该第二层解密应用是用于对通过所述第一链路所接收的数据报进行第二层解密,该应用指定的安全机制是用于对通过所述第二链路所发送的数据报进行高层加密。
20.根据权利要求19的方法,其中,所述第一链路是用所述移动节点的地址来标识的,而所述第二链路是用所述远程终端的地址来标识的。
21.根据权利要求19的方法,其中,所述第二层-高层映射表还包括由所述应用指定的安全机制所使用的安全密钥。
22.根据权利要求16的方法,该方法针对所述数据路径上的下行链路通信还包括:
a)在所述远程终端,通过所述第二链路向所述智能基站发送去往所述移动节点的高层加密的数据报;
b)在所述智能基站,解密所述高层加密的数据报,第二层加密所述数据报,并且通过所述第一链路发送所述第二层加密的数据报给所述移动节点。
23.根据权利要求17的方法,其中,所述步骤e)包括在所述智能基站维护第二层-高层映射表,其提供了所述应用指定的安全机制与第二层解密应用之间的对应关系,其中该应用指定的安全机制是用于对通过所述第二链路所发送的数据报进行高层加密,该第二层解密应用是用于对通过所述第一链路所接收的数据报进行第二层解密。
24.一种用于使移动节点能够通过数据路径接入远程终端的智能基站(iBS),所述数据路径具有在所述移动节点和所述基站之间的第一链路以及所述基站和所述远程终端之间的第二链路,所述智能基站包括:
用于代表所述移动节点创建并管理安全信道的装置;
用于第二层解密来自所述移动节点的数据报并且第二层加密来自所述远程终端的数据报的装置;以及
用于高层加密被第二层解密的数据报并且高层加密被第二层解密的数据报的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/207,801 | 2005-08-22 | ||
| US11/207,801 US7613920B2 (en) | 2005-08-22 | 2005-08-22 | Mechanism to avoid expensive double-encryption in mobile networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1946233A true CN1946233A (zh) | 2007-04-11 |
Family
ID=37401144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101159928A Pending CN1946233A (zh) | 2005-08-22 | 2006-08-22 | 避免移动网络中昂贵的双重加密的机制 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7613920B2 (zh) |
| EP (1) | EP1758310B1 (zh) |
| CN (1) | CN1946233A (zh) |
| AT (1) | ATE506785T1 (zh) |
| DE (1) | DE602006021370D1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101287192B (zh) * | 2007-04-13 | 2011-07-27 | 联想(北京)有限公司 | 非接触式应用升级的方法、设备、应用下载中心和系统 |
| CN105376214A (zh) * | 2014-08-12 | 2016-03-02 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
| CN106465101A (zh) * | 2014-07-03 | 2017-02-22 | 华为技术有限公司 | 无线网络接入保护和安全架构的系统和方法 |
| CN112887970A (zh) * | 2014-08-12 | 2021-06-01 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
| CN113242118A (zh) * | 2021-04-29 | 2021-08-10 | 中国电子科技集团公司第五十四研究所 | 一种基于aes高级加密标准的数据链加密通信方法 |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007033237A2 (en) * | 2005-09-13 | 2007-03-22 | Ist International Inc. | System and method for supporting flexible overlays and mobility in ip communication and computer networks |
| US20080095070A1 (en) * | 2005-12-05 | 2008-04-24 | Chan Tat K | Accessing an IP multimedia subsystem via a wireless local area network |
| US7764650B2 (en) * | 2006-03-02 | 2010-07-27 | Intel Corporation | Mobile station and method for fast roaming with integrity protection and source authentication using a common protocol |
| US7970013B2 (en) * | 2006-06-16 | 2011-06-28 | Airdefense, Inc. | Systems and methods for wireless network content filtering |
| US8281392B2 (en) | 2006-08-11 | 2012-10-02 | Airdefense, Inc. | Methods and systems for wired equivalent privacy and Wi-Fi protected access protection |
| US8000346B2 (en) * | 2006-09-15 | 2011-08-16 | Futurewei Technologies, Inc. | ASON/GMPLS architecture extension for reservation based and time based automatic bandwidth service |
| US8533454B2 (en) * | 2006-09-25 | 2013-09-10 | Qualcomm Incorporated | Method and apparatus having null-encryption for signaling and media packets between a mobile station and a secure gateway |
| US8418241B2 (en) | 2006-11-14 | 2013-04-09 | Broadcom Corporation | Method and system for traffic engineering in secured networks |
| FR2915648B1 (fr) * | 2007-04-26 | 2009-11-13 | Eads Sa | Procede de securisation d'un flux de donnees |
| US8375205B2 (en) | 2007-09-28 | 2013-02-12 | Intel Corporation | Techniques for communicating information over management channels |
| WO2009078103A1 (ja) * | 2007-12-19 | 2009-06-25 | Fujitsu Limited | 暗号化実施制御システム |
| US8745373B2 (en) * | 2008-04-23 | 2014-06-03 | Dell Products L.P. | Systems and methods for applying encryption to network traffic on the basis of policy |
| US8612752B2 (en) * | 2008-10-30 | 2013-12-17 | Symbol Technologies, Inc. | Communicating a packet from a mesh-enabled access point to a mesh portal in a multi-hop mesh network |
| US8484462B2 (en) * | 2008-11-07 | 2013-07-09 | Lockheed Martin Corporation | System and method for establishing a self-realizing expandable communications network |
| US9008314B2 (en) * | 2008-11-18 | 2015-04-14 | Verizon Patent And Licensing Inc. | Secure wireless communications |
| US8769257B2 (en) * | 2008-12-23 | 2014-07-01 | Intel Corporation | Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing |
| US8726043B2 (en) * | 2009-04-29 | 2014-05-13 | Empire Technology Development Llc | Securing backing storage data passed through a network |
| US8799671B2 (en) * | 2009-05-06 | 2014-08-05 | Empire Technology Development Llc | Techniques for detecting encrypted data |
| US9185552B2 (en) * | 2009-05-06 | 2015-11-10 | Qualcomm Incorporated | Method and apparatus to establish trust and secure connection via a mutually trusted intermediary |
| US8924743B2 (en) * | 2009-05-06 | 2014-12-30 | Empire Technology Development Llc | Securing data caches through encryption |
| CN101562813B (zh) * | 2009-05-12 | 2012-01-11 | 中兴通讯股份有限公司 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
| US10481945B2 (en) * | 2011-04-01 | 2019-11-19 | Facebook, Inc. | System and method for communication management of a multi-tasking mobile device |
| US9559868B2 (en) | 2011-04-01 | 2017-01-31 | Onavo Mobile Ltd. | Apparatus and methods for bandwidth saving and on-demand data delivery for a mobile device |
| US8862902B2 (en) | 2011-04-29 | 2014-10-14 | Seagate Technology Llc | Cascaded data encryption dependent on attributes of physical memory |
| US8705291B2 (en) | 2011-05-27 | 2014-04-22 | Seagate Technology Llc | Sanitizing a non-volatile memory through charge accumulation |
| US9414223B2 (en) | 2012-02-17 | 2016-08-09 | Nokia Technologies Oy | Security solution for integrating a WiFi radio interface in LTE access network |
| KR102062688B1 (ko) * | 2012-06-13 | 2020-02-11 | 삼성전자주식회사 | 모바일 광대역 네트워크 환경에서 제어 패킷 및 데이터 패킷을 보호하기 위한 방법 및 시스템 |
| US8949818B2 (en) | 2012-06-29 | 2015-02-03 | Intel Corporation | Mechanism for facilitating dynamic and trusted cloud-based extension upgrades for computing systems |
| CN103813336B (zh) * | 2012-11-07 | 2017-08-18 | 华为技术有限公司 | 无线局域网络传输控制方法、设备及系统 |
| JP6149385B2 (ja) * | 2012-11-29 | 2017-06-21 | ブラザー工業株式会社 | 画像処理システム,画像処理装置,および情報処理装置 |
| WO2016007052A1 (en) * | 2014-07-07 | 2016-01-14 | Telefonaktiebolaget L M Ericsson (Publ) | A wireless device, network node and respective methods therein for transmitting data therebetween |
| CN105307211B (zh) * | 2014-07-25 | 2019-02-22 | 北京信威通信技术股份有限公司 | 一种用于多跳网络的流量控制方法 |
| EP3259665A4 (en) * | 2015-02-20 | 2018-10-10 | Pristine Machine, LLC | Method to split data operational function among system layers |
| EP3119053B1 (en) * | 2015-07-15 | 2019-09-11 | Vodafone GmbH | Method of establishing a data communication between a mobile entity and the internet |
| US10536864B2 (en) * | 2015-12-15 | 2020-01-14 | Signify Holding B.V. | Method for managing a neighbor table and communication apparatus adapted for managing a neighbor table |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| US10903985B2 (en) | 2017-08-25 | 2021-01-26 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques |
| US10992652B2 (en) * | 2017-08-25 | 2021-04-27 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted network traffic flows |
| NL2019735B1 (en) * | 2017-10-16 | 2019-04-23 | Abn Amro Bank N V | Secure communication system and method for transmission of messages |
| US20190364424A1 (en) * | 2018-05-28 | 2019-11-28 | Qualcomm Incorporated | Roll-over of identifiers and keys for unicast vehicle to vehicle communication links |
| US10893030B2 (en) | 2018-08-10 | 2021-01-12 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element |
| US11641274B2 (en) * | 2019-03-22 | 2023-05-02 | Jpmorgan Chase Bank, N.A. | Systems and methods for manipulation of private information on untrusted environments |
| US11190417B2 (en) | 2020-02-04 | 2021-11-30 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for processing network flow metadata at a network packet broker |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020178365A1 (en) | 2001-05-24 | 2002-11-28 | Shingo Yamaguchi | Method and system for controlling access to network resources based on connection security |
| AU2002343424A1 (en) | 2001-09-28 | 2003-04-14 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| BRPI0511097A (pt) * | 2004-05-17 | 2007-12-26 | Thomson Licensing | métodos e equipamentos para gerenciamento de acesso a rede virtual privada para dispositivos portáteis sem cliente vpn |
| ATE387750T1 (de) | 2004-05-28 | 2008-03-15 | Tc Electronic As | Impulsbreitenmodulatorsystem |
-
2005
- 2005-08-22 US US11/207,801 patent/US7613920B2/en not_active Expired - Fee Related
-
2006
- 2006-08-17 EP EP06300882A patent/EP1758310B1/en active Active
- 2006-08-17 DE DE602006021370T patent/DE602006021370D1/de active Active
- 2006-08-17 AT AT06300882T patent/ATE506785T1/de not_active IP Right Cessation
- 2006-08-22 CN CNA2006101159928A patent/CN1946233A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101287192B (zh) * | 2007-04-13 | 2011-07-27 | 联想(北京)有限公司 | 非接触式应用升级的方法、设备、应用下载中心和系统 |
| CN106465101A (zh) * | 2014-07-03 | 2017-02-22 | 华为技术有限公司 | 无线网络接入保护和安全架构的系统和方法 |
| US10530573B2 (en) | 2014-07-03 | 2020-01-07 | Huawei Technologies Co., Ltd. | System and method for wireless network access protection and security architecture |
| CN106465101B (zh) * | 2014-07-03 | 2020-08-25 | 华为技术有限公司 | 无线网络接入保护和安全架构的系统和方法 |
| US11121862B2 (en) | 2014-07-03 | 2021-09-14 | Huawei Technologies Co., Ltd. | System and method for wireless network access protection and security architecture |
| CN105376214A (zh) * | 2014-08-12 | 2016-03-02 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
| CN112887970A (zh) * | 2014-08-12 | 2021-06-01 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
| CN113242118A (zh) * | 2021-04-29 | 2021-08-10 | 中国电子科技集团公司第五十四研究所 | 一种基于aes高级加密标准的数据链加密通信方法 |
| CN113242118B (zh) * | 2021-04-29 | 2022-05-27 | 中国电子科技集团公司第五十四研究所 | 一种基于aes高级加密标准的数据链加密通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7613920B2 (en) | 2009-11-03 |
| EP1758310A1 (en) | 2007-02-28 |
| US20070043940A1 (en) | 2007-02-22 |
| DE602006021370D1 (de) | 2011-06-01 |
| ATE506785T1 (de) | 2011-05-15 |
| EP1758310B1 (en) | 2011-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1946233A (zh) | 避免移动网络中昂贵的双重加密的机制 | |
| AU2010201991B2 (en) | Method and apparatus for security protection of an original user identity in an initial signaling message | |
| CN1156196C (zh) | 通信系统中的完整性检验 | |
| US7945777B2 (en) | Identification information protection method in WLAN inter-working | |
| EP3094127B1 (en) | Method and apparatus for base station self-configuration | |
| CN1805333A (zh) | 无线网络系统中的数据安全 | |
| CN105376737B (zh) | 机器到机器的蜂窝通信安全性 | |
| CN1280727A (zh) | 数据连接的安全性 | |
| US20120272310A1 (en) | Systems and methods for secure communication over a wireless network | |
| CN1977559A (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| CN106797560B (zh) | 用于配置安全参数的方法、服务器、基站和通信系统 | |
| Makda et al. | Security implications of cooperative communications in wireless networks | |
| Xenakis et al. | Dynamic network-based secure VPN deployment in GPRS | |
| Haataja | Security in Bluetooth, WLAN and IrDA: a comparison | |
| Southern et al. | Wireless security: securing mobile UMTS communications from interoperation of GSM | |
| Abreha | History and implementation of IEEE 802 security architecture | |
| Paul et al. | A survey on wireless security | |
| Pervaiz et al. | Security in wireless local area networks | |
| Hung et al. | A Multi-Key Encryption Scheme for the Next Generation Wireless Network | |
| Saedy et al. | Machine-to-machine communications and security solution in cellular systems | |
| CN115767535A (zh) | 一种5G场景下终端vpn网络接入鉴权方法及系统 | |
| Nagesha et al. | A Survey on Wireless Security Standards and Future Scope. | |
| Vennavelli | Security threats in wireless networks: A proposed solution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |