專利名稱:使用預(yù)認(rèn)證、預(yù)配置和/或虛擬軟切換的移動(dòng)體系結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及移動(dòng)網(wǎng)絡(luò)通信�,在某些優(yōu)選實(shí)施例中,本申請(qǐng)涉及在移動(dòng)節(jié)點(diǎn)���、站點(diǎn)或 設(shè)備的移動(dòng)期間改變網(wǎng)絡(luò)接入點(diǎn)���,這在移動(dòng)電話領(lǐng)域通常被稱為例如"切換"���。本發(fā)明的 優(yōu)選實(shí)施例提供例如用于改變移動(dòng)設(shè)備到網(wǎng)絡(luò)的接入點(diǎn),例如改變到因特網(wǎng)或其它網(wǎng)絡(luò)的 無(wú)線接入點(diǎn)連接的移動(dòng)體系結(jié)構(gòu)���。
背景技術(shù):
網(wǎng)絡(luò)和網(wǎng)際協(xié)議存在許多類型的計(jì)算機(jī)網(wǎng)絡(luò)�,其中以因特網(wǎng)最著名�。因特網(wǎng)是全世界的計(jì)算機(jī)網(wǎng) 絡(luò)。今天�����,因特網(wǎng)是可供數(shù)百萬(wàn)用戶訪問(wèn)的公共和自維持的網(wǎng)絡(luò)��。因特網(wǎng)使用稱作TCP/ IP(即傳輸控制協(xié)議/網(wǎng)際協(xié)議)的一組通信協(xié)議連接主機(jī)�。因特網(wǎng)具有被稱為因特網(wǎng)主 干網(wǎng)的通信基礎(chǔ)設(shè)施。對(duì)因特網(wǎng)主干網(wǎng)的接入主要受因特網(wǎng)服務(wù)提供商(ISP)的控制��,因 特網(wǎng)服務(wù)提供商將接入轉(zhuǎn)售給公司和個(gè)人��。對(duì)于IP (網(wǎng)際協(xié)議)���,這是借以能夠在網(wǎng)絡(luò)上從一個(gè)設(shè)備(例如電話�����、PDA [個(gè)人數(shù) 字助理]�、計(jì)算機(jī)等等)向另一個(gè)設(shè)備發(fā)送數(shù)據(jù)的協(xié)議。當(dāng)前存在各種版本的IP�����,包含例如 IPv4�、IPv6等等。網(wǎng)絡(luò)上的每個(gè)主機(jī)設(shè)備具有至少一個(gè)IP地址���,該IP地址是其自身獨(dú)有 的標(biāo)識(shí)符。IP是無(wú)連接的協(xié)議�。通信期間端點(diǎn)之間的連接不是連續(xù)的。當(dāng)用戶發(fā)送或接收數(shù) 據(jù)或消息時(shí)�,數(shù)據(jù)或消息被分成稱為分組的部分。每個(gè)分組被視作獨(dú)立的數(shù)據(jù)單元�����。為了標(biāo)準(zhǔn)化因特網(wǎng)或類似網(wǎng)絡(luò)上點(diǎn)之間的傳輸�����,建立了 0SI(開(kāi)放系統(tǒng)互聯(lián))模 型。0SI模型將網(wǎng)絡(luò)中2個(gè)點(diǎn)之間的通信過(guò)程分成7個(gè)疊加的層次��,其中每個(gè)層次增加其自 身的功能集合����。每個(gè)設(shè)備處理消息,使得在發(fā)送端點(diǎn)處存在通過(guò)每個(gè)層次的下行流�����,并且在 接收端點(diǎn)處存在通過(guò)所述層次的上行流��。提供7個(gè)功能層次的程序和/或硬件通常是設(shè)備 操作系統(tǒng)����、應(yīng)用軟件、TCP/IP和/或其它傳送和網(wǎng)絡(luò)協(xié)議����、以及其它軟件和硬件的組合。通常��,當(dāng)針對(duì)用戶來(lái)回傳送消息時(shí)��,使用上面4個(gè)層次,而當(dāng)消息通過(guò)設(shè)備(例如 IP主機(jī)設(shè)備)時(shí)��,使用下面3個(gè)層次����。IP主機(jī)是網(wǎng)絡(luò)上能夠發(fā)送和接收IP分組的任何設(shè) 備,例如服務(wù)器��、路由器或工作站�����。送往某些其它主機(jī)的消息不被傳遞到上層��,而是被傳遞 到其它主機(jī)����。在0SI和其它類似模型中��,IP處于層次3�,即網(wǎng)絡(luò)層。下面列出0SI模型的層 次��。層次7 (即應(yīng)用層)是在其中例如識(shí)別通信各方����、識(shí)別服務(wù)質(zhì)量���、考慮用戶認(rèn)證和 隱私、識(shí)別數(shù)據(jù)語(yǔ)法約束等等的層次���。層次6 (即表示層)是例如將傳入和傳出數(shù)據(jù)從一個(gè)表示格式轉(zhuǎn)換到另一個(gè)表示 格式等等的層次���。層次5(即會(huì)話層)是例如建立、協(xié)調(diào)和終止應(yīng)用程序之間的會(huì)話���、交換和對(duì)話等 等的層次�����。層次4(即傳送層)是例如管理端到端控制和差錯(cuò)檢查等等的層次��。
層次3(即網(wǎng)絡(luò)層)是處理路由和轉(zhuǎn)發(fā)等等的層次��。層次2 (即數(shù)據(jù)鏈路層)是例如提供物理級(jí)同步�����、進(jìn)行位填充和提供傳輸協(xié)議知識(shí) 和管理等等的層次��。電氣電子工程師協(xié)會(huì)(IEEE)將數(shù)據(jù)鏈路層細(xì)分成2個(gè)進(jìn)一步的子層�����, 即控制針對(duì)物理層的數(shù)據(jù)傳送的MAC(介質(zhì)訪問(wèn)控制)層�����,和與網(wǎng)絡(luò)層接口并且解釋命令和 執(zhí)行差錯(cuò)恢復(fù)的LLC (邏輯鏈路控制)層�。層次1 (即物理層)是例如在物理級(jí)傳送比特流通過(guò)網(wǎng)絡(luò)的層次。IEEE將物理層 細(xì)分成PLCP(物理層會(huì)聚過(guò)程)子層和PMD(物理介質(zhì)相關(guān))子層���。在本文中��,高于層次2的層次(例如包含0SI模型和類似模型中網(wǎng)絡(luò)層或?qū)哟? 的層次)被稱為高層��。無(wú)線網(wǎng)絡(luò)無(wú)線網(wǎng)絡(luò)能夠包括各種類型的移動(dòng)設(shè)備��,例如蜂窩和無(wú)線電話��、PC(個(gè)人計(jì)算 機(jī))���、膝上型計(jì)算機(jī)、佩帶式計(jì)算機(jī)��、無(wú)繩電話�����、尋呼機(jī)��、耳機(jī)����、打印機(jī)、PDA等等����。例如,移動(dòng) 設(shè)備可以包含用于保證語(yǔ)音和/或數(shù)據(jù)的快速無(wú)線傳輸?shù)臄?shù)字系統(tǒng)�。典型的移動(dòng)設(shè)備包含 以下部件中的某些或全部收發(fā)器,(即發(fā)送器和接收器����,包含例如具有集成發(fā)送器、接收 器和其它功能(必要時(shí))的單芯片收發(fā)器)����;天線;處理器;一或多個(gè)音頻轉(zhuǎn)換器(例如像 在用于音頻通信的設(shè)備中那樣的揚(yáng)聲器或話筒)���;電磁數(shù)據(jù)存儲(chǔ)設(shè)備(例如在提供數(shù)據(jù)處 理的設(shè)備中的R0M�、RAM�、數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)設(shè)備等等);存儲(chǔ)器���;快擦寫存儲(chǔ)器�����;全芯片集合或集 成電路���;接口(例如,USB�����、編解碼器���、UART��、PCM等等)����;和/或類似部件���。其中移動(dòng)用戶能夠通過(guò)無(wú)線連接連接到局域網(wǎng)(LAN)的無(wú)線LAN(WLAN)可以被用 于無(wú)線通信��。無(wú)線通信能夠包含例如通過(guò)電磁波����,例如光����、紅外、無(wú)線電�、微波傳播的通信。 當(dāng)前存在各種WLAN標(biāo)準(zhǔn)�,例如藍(lán)牙、IEEE802. 11和HomeRF���。例如�����,藍(lán)牙產(chǎn)品可以被用于在移動(dòng)計(jì)算機(jī)��、移動(dòng)電話�、便攜手持設(shè)備、個(gè)人數(shù)字助 理(PDA)和其它移動(dòng)設(shè)備之間提供鏈路����,并且提供到因特網(wǎng)的連通性。藍(lán)牙是詳細(xì)規(guī)定移 動(dòng)設(shè)備如何能夠容易地使用短程無(wú)線連接彼此互連以及與非移動(dòng)設(shè)備互連的計(jì)算機(jī)和電 信行業(yè)規(guī)范�����。藍(lán)牙制定數(shù)字無(wú)線協(xié)議以解決需要保持?jǐn)?shù)據(jù)同步和設(shè)備彼此的一致性的各種 移動(dòng)設(shè)備的普及所導(dǎo)致的終端用戶問(wèn)題����,從而允許來(lái)自不同廠商的設(shè)備無(wú)縫地一起工作。 藍(lán)牙設(shè)備可以根據(jù)公共命名構(gòu)思來(lái)命名����。例如,藍(lán)牙設(shè)備可以擁有藍(lán)牙設(shè)備名(BDN)或與 唯一藍(lán)牙設(shè)備地址(BDA)相關(guān)的名字�����。藍(lán)牙設(shè)備也可以參與網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò)��。如果藍(lán) 牙設(shè)備在IP網(wǎng)絡(luò)上工作��,它可以配有IP地址和IP(網(wǎng)絡(luò))名字。如此�����,被配置成參加IP 網(wǎng)絡(luò)的藍(lán)牙設(shè)備可以包含例如BDN�����、BDA����、IP地址和IP名字��。術(shù)語(yǔ)"IP名字"是指對(duì)應(yīng)于 接口的IP地址的名字��。IEEE標(biāo)準(zhǔn)�����,即IEEE802. 11規(guī)定了用于無(wú)線LAN和設(shè)備的技術(shù)����。通過(guò)使用802. 11, 可以用支持若干設(shè)備的每個(gè)單獨(dú)基站實(shí)現(xiàn)無(wú)線聯(lián)網(wǎng)���。在某些例子中�����,設(shè)備可以預(yù)先配備無(wú) 線硬件��,或者用戶可以安裝硬件的分立部分�,例如卡,其可以包含天線�����。例如���,802. 11中使用 的設(shè)備通常包含3個(gè)顯著的單元����,不管設(shè)備是接入點(diǎn)(AP)��、移動(dòng)站(STA)��、橋接器�、PCMCIA卡 還是其它設(shè)備無(wú)線收發(fā)器;天線����;和控制網(wǎng)絡(luò)中點(diǎn)之間的分組流的MAC(介質(zhì)訪問(wèn)控制) 層�����。另外���,在某些無(wú)線網(wǎng)絡(luò)中可以使用多接口設(shè)備(MID)。MID可以包含2個(gè)獨(dú)立網(wǎng)絡(luò) 接口�,例如藍(lán)牙接口和802. 11接口��,從而允許MID參加2個(gè)分立網(wǎng)絡(luò)����,以及與藍(lán)牙設(shè)備接口。MID可以具有IP地址和與該IP地址相關(guān)的公共IP(網(wǎng)絡(luò))名字����。
無(wú)線網(wǎng)絡(luò)設(shè)備可以包含但不限于藍(lán)牙設(shè)備、多接口設(shè)備(MID)��、802. Ilx設(shè)備 (IEEE802. 11 設(shè)備包含例如 802. Ila,802. Ilb 和 802. Ilg 設(shè)備)�、HomeRF(家庭射頻)設(shè) 備、Wi-Fi (無(wú)線保真)設(shè)備�����、GPRS (通用分組無(wú)線業(yè)務(wù))設(shè)備、3G蜂窩設(shè)備����、2. 5G蜂窩設(shè)備、 GSM(全球移動(dòng)通信系統(tǒng))設(shè)備�����、EDGE (增強(qiáng)數(shù)據(jù)GSM演進(jìn))設(shè)備�、TDMA類型(時(shí)分多址) 設(shè)備或包含CDMA2000的CDMA類型(碼分多址)設(shè)備。每個(gè)網(wǎng)絡(luò)設(shè)備可以包含各種類型的 地址���,包含但不局限于IP地址����、藍(lán)牙設(shè)備地址����、藍(lán)牙公共名字、藍(lán)牙IP地址����、藍(lán)牙IP公共名 字�����、802. IlIP地址�、802. IlIP公共名字或IEEE MAC地址��。無(wú)線網(wǎng)絡(luò)也可以涉及在例如移動(dòng)IP (網(wǎng)際協(xié)議)系統(tǒng)��、PCS系統(tǒng)和其它移動(dòng)網(wǎng)絡(luò) 系統(tǒng)上發(fā)現(xiàn)的方法和協(xié)議���。對(duì)于移動(dòng)IP��,這涉及由互聯(lián)網(wǎng)工程任務(wù)組(IETF)建立的標(biāo)準(zhǔn)通 信協(xié)議���。通過(guò)移動(dòng)IP�����,移動(dòng)設(shè)備用戶能夠在保持其曾經(jīng)分配的IP地址的同時(shí)跨網(wǎng)絡(luò)移動(dòng)��。 參見(jiàn)因特網(wǎng)標(biāo)準(zhǔn)(草案)(RFC) 3344�����。NB :RFC是互聯(lián)網(wǎng)工程任務(wù)組(IETF)的正式文檔。移 動(dòng)IP增強(qiáng)網(wǎng)際協(xié)議(IP)�,并且增加向連接到其歸屬網(wǎng)絡(luò)之外的移動(dòng)設(shè)備轉(zhuǎn)發(fā)因特網(wǎng)業(yè)務(wù) 的手段。移動(dòng)IP為每個(gè)移動(dòng)節(jié)點(diǎn)分配其歸屬網(wǎng)絡(luò)上的歸屬地址����,以及標(biāo)識(shí)該設(shè)備在網(wǎng)絡(luò)及 其子網(wǎng)內(nèi)的當(dāng)前位置的轉(zhuǎn)交地址(CoA)。當(dāng)設(shè)備被移動(dòng)到不同網(wǎng)絡(luò)時(shí)��,它接收新的轉(zhuǎn)交地 址�。歸屬網(wǎng)絡(luò)上的移動(dòng)代理(mobility agent)能夠?qū)⒚總€(gè)歸屬地址與其轉(zhuǎn)交地址關(guān)聯(lián)。移 動(dòng)節(jié)點(diǎn)能夠每當(dāng)其使用互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)改變其轉(zhuǎn)交地址時(shí)向歸屬代理發(fā)送綁 定更新���。在基本IP路由(即在移動(dòng)IP之外)中��,路由機(jī)制依賴這樣的假設(shè)�,即每個(gè)網(wǎng)絡(luò)節(jié) 點(diǎn)總是具有到例如因特網(wǎng)的固定接入點(diǎn)��,并且每個(gè)節(jié)點(diǎn)的IP地址標(biāo)識(shí)其連接到的網(wǎng)絡(luò)鏈 路�。在本文中,術(shù)語(yǔ)"節(jié)點(diǎn)"包含連接點(diǎn)��,其能夠包含例如用于數(shù)據(jù)傳輸?shù)闹匦路峙潼c(diǎn)或端 點(diǎn)�,并且能夠識(shí)別�����、處理通信和/或轉(zhuǎn)發(fā)通信到其它節(jié)點(diǎn)�。例如��,因特網(wǎng)路由器能夠看到例 如標(biāo)識(shí)設(shè)備的網(wǎng)絡(luò)的IP地址前綴等等�。接著,在網(wǎng)絡(luò)層�����,路由器能夠看到例如一組標(biāo)識(shí)具 體子網(wǎng)的位�。接著,在子網(wǎng)層次�,路由器能夠看到例如一組標(biāo)識(shí)具體設(shè)備的位。對(duì)于典型的 移動(dòng)IP通信��,如果用戶將移動(dòng)設(shè)備與例如因特網(wǎng)斷開(kāi)并且在新子網(wǎng)處嘗試再連接該移動(dòng) 設(shè)備�,則該設(shè)備必須重新配置以新IP地址、適當(dāng)?shù)木W(wǎng)絡(luò)掩碼和缺省路由器���。否則,路由協(xié)議 將不能夠適當(dāng)傳送分組�。切換和改變網(wǎng)絡(luò)接入點(diǎn)切換是移動(dòng)站將其網(wǎng)絡(luò)接入點(diǎn)從一個(gè)點(diǎn)改變到另一個(gè)點(diǎn)的動(dòng)作,其中網(wǎng)絡(luò)接入點(diǎn) 能夠包含例如基站和IP(網(wǎng)際協(xié)議)路由器。當(dāng)在例如連接的基站和IP路由器發(fā)生改變 的情況下進(jìn)行切換時(shí)���,切換通常分別包含層次2切換和層次3切換�����。層次2切換和層次3 切換大約同時(shí)進(jìn)行�����。在任何切換期間���,系統(tǒng)需要重新建立在移動(dòng)站和新網(wǎng)絡(luò)接入點(diǎn)之間保 持的狀態(tài)。這些涉及切換的狀態(tài)也被稱作切換上下文���,或簡(jiǎn)稱為"上下文"���。存在兩種上下文,即可轉(zhuǎn)移上下文和非可轉(zhuǎn)移上下文�����?���?赊D(zhuǎn)移上下文可在舊和新 接入點(diǎn)之間轉(zhuǎn)移���,而非可轉(zhuǎn)移上下文需要重新或使用可轉(zhuǎn)移上下文來(lái)建立。示例性可轉(zhuǎn)移 上下文能夠包含例如用于對(duì)移動(dòng)站進(jìn)行重新認(rèn)證的認(rèn)證上下文��,和例如用于分配足夠?yàn)橐?動(dòng)站提供特定等級(jí)的服務(wù)的網(wǎng)絡(luò)資源的QoS(服務(wù)質(zhì)量)上下文�����。移動(dòng)站的動(dòng)態(tài)分配的IP 地址是示例性的非可轉(zhuǎn)移上下文�����。層次2和層次3加密密鑰�,例如802. Ili (參見(jiàn)例如下 面在這里引用的參考文獻(xiàn)#11)中的TKIP(臨時(shí)密鑰完整性協(xié)議)和CCMP(計(jì)數(shù)器模式與CBC-MAC協(xié)議)加密密鑰,以及用于保護(hù)移動(dòng)站和接入點(diǎn)(AP)或路由器之間傳送的數(shù)據(jù)分 組的IPsec AH(認(rèn)證頭)和ESP (封裝安全有效負(fù)載)加密密鑰(參見(jiàn)例如下面在這里引 用的參考文獻(xiàn)#15�、#16和#17),是其它示例性非可轉(zhuǎn)移上下文����,因?yàn)槟切┟荑€與該2個(gè)實(shí) 體的特定MAC(介質(zhì)訪問(wèn)控制)或IP地址對(duì)相關(guān),并且需要根據(jù)其間的協(xié)商來(lái)重新建立����。 作為參考,如上所述����,802. 11是由電氣電子工程師協(xié)會(huì)(IEEE)的工作組開(kāi)發(fā)的無(wú) 線局域網(wǎng)(WLAN)規(guī)范族,其包含例如使用以太網(wǎng)協(xié)議和CSMA/CA (帶沖突避免的載波檢測(cè) 多路存取)進(jìn)行路徑共享的協(xié)議族802. 11,802. lla�、802. lib、和802. Ilg中的規(guī)范��。參見(jiàn) 例如下面引用的參考文獻(xiàn)#13��。另外�,802. Ili是正在開(kāi)發(fā)的用于WLAN中的安全的IEEE標(biāo) 準(zhǔn)。另外��,IPsec (網(wǎng)際協(xié)議安全)是針對(duì)用于網(wǎng)絡(luò)通信的網(wǎng)絡(luò)或分組處理層上的安全的一 組協(xié)議的框架���。另外���,MAC地址涉及例如設(shè)備的唯一硬件地址,并且能夠被數(shù)據(jù)鏈路層的介 質(zhì)訪問(wèn)控制子層使用��,而IP地址涉及例如標(biāo)識(shí)在例如因特網(wǎng)上通過(guò)分組發(fā)送的信息的每 個(gè)發(fā)送方或接收方的數(shù)(例如最廣泛安裝的網(wǎng)際協(xié)議[IP]層中的32位數(shù)����、IPv6中的128 位數(shù)���、無(wú)等級(jí)域間路由(CIDR)網(wǎng)絡(luò)地址和/或類似信息)。在切換之前或之后將可轉(zhuǎn)移上下文從一個(gè)網(wǎng)絡(luò)接入點(diǎn)傳送到另一個(gè)網(wǎng)絡(luò)接入點(diǎn) 能夠降低切換延遲�。若干協(xié)議,例如IEEE 802. Ilf協(xié)議(即802. Ilf是用于802. 11接入 點(diǎn)的信息交換�����,例如接入點(diǎn)之間涉及移動(dòng)站的信息的交換的AP間協(xié)議-參見(jiàn)例如下面引用 的參考文獻(xiàn)#12)�����,以及IP層上下文傳送協(xié)議(參見(jiàn)例如下面引用的參考文獻(xiàn)#14)能夠被 用于這個(gè)目的�����。另一方面�����,通過(guò)一系列關(guān)于每個(gè)上下文的協(xié)商累積出重新建立非可轉(zhuǎn)移上 下文的延遲���,盡管一些非可轉(zhuǎn)移上下文可以并行協(xié)商���。這個(gè)延遲尤其會(huì)成為問(wèn)題��。存在2種其中這個(gè)協(xié)商非可轉(zhuǎn)移上下文的延遲可以不成為問(wèn)題的情形�����。第一個(gè)情 形是基礎(chǔ)無(wú)線鏈路層使用CDMA(碼分多址)。在這個(gè)第一情形中��,通過(guò)使用所謂軟切換機(jī) 制���,移動(dòng)站可以與新基站建立某種上下文�,同時(shí)仍然通過(guò)舊基站進(jìn)行通信����,在所述軟切換機(jī) 制中,在與無(wú)線電覆蓋范圍中的不同基站通信的同時(shí)�,移動(dòng)站能夠使用不同的CDMA代碼。 第二個(gè)情形是移動(dòng)站具有多個(gè)接口���,并且在所述接口間進(jìn)行切換�����。在這個(gè)第二情形中�,通過(guò) 允許這些接口同時(shí)操作,能夠?qū)崿F(xiàn)與CDMA軟切換基本上相同的效果��。 在上述2個(gè)模式均不可用的環(huán)境中�,非可轉(zhuǎn)移上下文是最有問(wèn)題的。例如����,具有單 獨(dú)IEEE802. 11無(wú)線LAN接口的移動(dòng)站不能使用CDMA軟切換模式或接口切換模式。鑒于此問(wèn)題���,IEEE802. IlTGi正開(kāi)發(fā)被稱作預(yù)認(rèn)證的新模式����,其中已經(jīng)通過(guò)認(rèn)證并 且與接入點(diǎn)(AP)關(guān)聯(lián)的IEEE 802. Ili站點(diǎn)(STA)被允許在其與其它接入點(diǎn)關(guān)聯(lián)之前通過(guò) 當(dāng)前關(guān)聯(lián)接入點(diǎn)與其它接入點(diǎn)執(zhí)行IEEE 802. IX認(rèn)證���。IEEE 802. Ili預(yù)認(rèn)證也允許在該站 點(diǎn)和非關(guān)聯(lián)AP之間確立802. Ili加密密鑰��。然而����,由于IEEE 802. IX被定義為在LAN中工作�����,IEEE802. Ili預(yù)認(rèn)證的適用性限 于相同LAN中的移動(dòng)站和接入點(diǎn)。原始802. Ili預(yù)認(rèn)證文檔(參見(jiàn)例如下面引用的參考文 獻(xiàn)#1)沒(méi)有提供用于擴(kuò)展IEEE 802. Ili預(yù)認(rèn)證以在IP層上工作�����,使得移動(dòng)站能夠?qū)Σ煌?LAN中的AP進(jìn)行預(yù)認(rèn)證的詳細(xì)資料�����。作為參考����,802. Ili是解決802. 11中某些安全問(wèn)題的無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)��,802. IX是作 為總體IEEE 802. IlWLAN支持的一部分而開(kāi)發(fā)的WLAN標(biāo)準(zhǔn)組(參見(jiàn)例如下面引用的參考 文獻(xiàn)#1和#10)��。根據(jù)802. 11�,通過(guò)主動(dòng)或被動(dòng)掃描能夠檢測(cè)其它接入點(diǎn)的存在。在被動(dòng) 掃描中���,移動(dòng)站掃描來(lái)自AP的信標(biāo)信號(hào)(包含例如服務(wù)設(shè)置標(biāo)識(shí)符[SSID]和其它密鑰信息)����,而在主動(dòng)掃描中,移動(dòng)站發(fā)送探測(cè)幀以得到來(lái)自AP的探測(cè)響應(yīng)����。作為進(jìn)一步的參考, 802. Ili預(yù)認(rèn)證涉及在允許接入之前實(shí)施認(rèn)證的認(rèn)證方實(shí)體�����,請(qǐng)求可經(jīng)由認(rèn)證方得到的對(duì) 服務(wù)的接入(例如接入點(diǎn))的請(qǐng)求方設(shè)備(例如移動(dòng)站)�����,和執(zhí)行認(rèn)證功能(即檢查請(qǐng)求方 的證書)并且響應(yīng)認(rèn)證方以識(shí)別請(qǐng)求方是否得到授權(quán)的認(rèn)證服務(wù)器(例如遠(yuǎn)程認(rèn)證撥入用 戶業(yè)務(wù)服務(wù)器等等)���。在某些實(shí)施例中���,認(rèn)證方和認(rèn)證方服務(wù)器能夠布置在一起,但是它們 也可以是分立的�。雖然已知有各種系統(tǒng)和方法,然而仍然需要改進(jìn)的系統(tǒng)和方法�。優(yōu)選實(shí)施例提供 優(yōu)于上述和/或其它系統(tǒng)和方法(包含例如下面參考文獻(xiàn)中描述的系統(tǒng)和方法)的根本改 進(jìn)和/或進(jìn)步,這些參考文獻(xiàn)的全部公開(kāi)內(nèi)容在這里被引為參考·參考文獻(xiàn) #1 :B. Aboba, “ IEEE 802. IX Pre-Authentication “���,IEEE 802. 1 l-02/389rl, 2002 年 6 月����。 參考文獻(xiàn)#2 :B. Aboba和D. Simon,〃 PPP EAP TLSAuthentication Protocol"����, RFC 2716,1999 年 10 月�����。 參考文獻(xiàn) #3 :L. Blunk����,J. Vollbrecht����,B. Aboba,J. Carlson 禾口 H. Levkoffetz," Extensible Authentication Protocol (ΕΑΡ),Internet-Draft,Work in progress (廢除RFC 2284)����,2003年5月(參見(jiàn)例如2003年11月的文檔)。 參考文獻(xiàn) #4 :R. Droms 禾口 W. Arbaugh���,“ Authentication forDHCP Messages"�, RFC 3118,2001 年 6 月。Droms����,“ Dynamic Host ConfigurationProtocol, " RFC 2131, 1997年3月。 參考文獻(xiàn) #6 :Ρ· Funk��,S. Blake-Wilson�,“ EAP Tunneled TLSAuthentication Protocol (EAP-TTLS) " , Internet-Draft, Work inprogress,2002 年 11 月(參見(jiàn)例如 2003 年8月的文檔)����。 參考文獻(xiàn) #7 :D. Forsberg, Y. Ohba�����, B. Patil���, H. Tschofenig 禾口 A. Yegin, " Protocol for Carrying Authenticationfor Network Access (PANA)", Internet-Draft, Work in progress, 2003 年 3 月(參見(jiàn)例如 2003 年 10 月的文檔)�����。 參考文獻(xiàn) #8 :R. Glenn 和 S.Kent����,“ The Null EneryptionAlgorithm and Its Use With IPsec, “ RFC 2410,1998 年 11 月����。·參考文獻(xiàn) #9 :D. Harkins 和 D. Carrel, “ The Internet KeyExchange (IKE)“��, RFC 2409����,1998 年 11 月?���!?0JC Μ. #10Standard for Local and MetropolitanArea Networks, “ Port-Based Network Access Control",IEEE Std802. 1X-2001���。· # % t #11Standard for Local and MetropolitanArea Networks, ' Wireless Medium Access Control (MAC)andphysical layer (PHY) specifications :Medium Access Control(MAC)Security Enhancements, " IEEE Std 802. lli/D4. 0�,May 2003 (參見(jiàn)例如 IEEE Std 802. lli/D7. 0,2003 年 10 月文檔)��?��!?0JC Μ. #12 :ΙΕΕΕ Standard for Local and MetropolitanArea Networks, " Draft Recommended Practice for Multi-VendorAccess Point Interoperability via an Inter-Access Point ProtocolAcross Distribution SystemsSupporting IEEE 802.11 Operation, “ IEEE P802. 11F/D5�,2003 年 1 月?!?0JC Μ. #13 :ΙΕΕΕ Standard for Local and MetropolitanArea Networks, " Wireless LAN Medium Access Control(MAC)andPhysical Layer(PHY) Specifications, “ ANSI/IEEE Std 802.11,1999Edition�,1999?���!⒖嘉墨I(xiàn) #14 :J. Loughney, Μ. Nakhjiri, C. Perkins 和 R. Koodli, “ Context Transfer Protocol, " Internet-Draft, Work inprogress,2003 年 6 月(參見(jiàn)例如 2003 年10月文檔)�。·參考文獻(xiàn) #15 :C. Kaufman�����,〃 Internet Key Exchange (IKEv2) Protocol “�, Internet-Draft, Work in progress, April 2003 (參見(jiàn)例如 2003 年 10 月 9 曰禾口 2004 年 1月文檔)。 參考文獻(xiàn) #16 :S. Kent 和 R. Atkinson�,“ IP AuthenticationHeader, “ RFC 2402,199811 月?����!⒖嘉墨I(xiàn) #17 :S. Kent 禾口 R. Atkinson, “ IP EncapsulatingSecurity Payload (ESP)�,“ RFC 2406,1998 年 11 月���。
參考文獻(xiàn) #18 :T. Kivinen����,“ DHCP over IKE “ , Internet-Draft, Work in progress, 2003 年 4 月?!⒖嘉墨I(xiàn) #20 :M. Liebsch, A. Singh, H. Chaskar 和 D. Funato, “ Candidate Access Router Discovery" , Internet-Draft,work inProgress, 2003 年 3 月(參見(jiàn)例如 2003年9月和2003年11月文檔)?����!⒖嘉墨I(xiàn) #21 -.A. Palekar, D. Simon, G. Zorn 禾口 S. Josefsson, “ Protected ΕΑΡ Protocol (PEAP) “�����,Internet-Draft, Work in Progress, 2003 年 3 月(參見(jiàn)"Protected EAP Protocol(PEAP)Version 2, “ 2003 年 10 月)�。·參考文獻(xiàn) #22 :B. Patel�����,B. Aboba, S. Kelly 和 V. Gupta, “ Dynamic Host Configuration Protocol (DHCPv4)Configuration ofIPsec Tunnel Mode " , RFC 3456, 2003年1月����。 參考文獻(xiàn) #23 J. Puthenkulam�����,V. Lortz,A. Palekar 禾口 D. Simon����," The Compound Authentication Binding Problem“ , Internet-Draft, Work in Progress�,2003 年 3 月 (參見(jiàn)例如2003年10月文檔)。 參考文獻(xiàn) #24 :R. Seifert����,“ The Switch Book-The CompleteGuide to LAN Switching Technology" , Wiley Computer Publishing, ISBN 0-471-34586-5。 參考文獻(xiàn) #25 :Y. Sheffer�,H. Krawczyk和 B. Aboba, “ PIC, APre-IKE Credential Provisioning Protoeol“ , Internet-Draft, Work inprogress,2002 年 10 月?��!⒖嘉墨I(xiàn) #26 :H. Tschofenig, A. Yegin 禾口 D. Forsburg, “ Bootstrapping RFC3118 Delayed Authentication using PANA“ , Internet-Draft, 2003 ^Ξ 6 ^ (
如2003年10月文檔)��。 參考文獻(xiàn) #27 :Μ· Kulkarni���,A Patel 和 K. Leung,“ MobileIPv4 Dynamic Home Agent Assignment" ����, IETF Internet-Draft��,2004 年 1 月 8 日���。
發(fā)明內(nèi)容
本發(fā)明的優(yōu)選實(shí)施例能夠明顯改進(jìn)現(xiàn)有的方法和/或設(shè)備。 在某些圖解實(shí)施例中��,提供新穎的系統(tǒng)和方法�,其能夠例如擴(kuò)展預(yù)認(rèn)證(例如 IEEE 802. IX預(yù)認(rèn)證)的構(gòu)思以跨越IP網(wǎng)絡(luò)或子網(wǎng)進(jìn)行操作。在某些優(yōu)選實(shí)施例中���,新穎 的體系結(jié)構(gòu)包含2個(gè)能夠大大改進(jìn)例如高層切換性能的新機(jī)制中的一個(gè)或兩個(gè)�����。第一個(gè)機(jī) 制被稱為"預(yù)配置"����,其允許移動(dòng)設(shè)備在切換之前預(yù)配置候選IP子網(wǎng)中有效的高層信息�����。 第二個(gè)機(jī)制被稱為"虛擬軟切換"���,其允許移動(dòng)站甚至在其實(shí)際執(zhí)行到候選IP子網(wǎng)的切 換之前通過(guò)候選IP子網(wǎng)發(fā)送或接收分組���。根據(jù)某些實(shí)施例,提供一種方法����,包含在移動(dòng)站被配置用于與當(dāng)前IP子網(wǎng)通信 的同時(shí),用針對(duì)新候選IP子網(wǎng)的高層信息預(yù)配置移動(dòng)站�。優(yōu)選地,該方法還包含移動(dòng)站在 執(zhí)行到該新IP子網(wǎng)的切換之前通過(guò)候選IP子網(wǎng)發(fā)送或接收分組����。根據(jù)某些其它實(shí)施例,提供用于使移動(dòng)站在當(dāng)前和新子網(wǎng)中的接入點(diǎn)之間進(jìn)行切 換時(shí)的中斷最少的方法���,包含在與當(dāng)前子網(wǎng)中的接入點(diǎn)分離之前�,獲得針對(duì)具有單獨(dú)無(wú)線 接口的移動(dòng)站的預(yù)認(rèn)證��,以通過(guò)新子網(wǎng)中的接入點(diǎn)工作��。在某些實(shí)施例中���,該方法還包含通 過(guò)IP層進(jìn)行預(yù)授權(quán)��。根據(jù)某些其它實(shí)施例�,提供一種方法,包含當(dāng)移動(dòng)站處于當(dāng)前子網(wǎng)時(shí)解析新子網(wǎng) 中的接入點(diǎn)的IP地址�����;和獲得針對(duì)移動(dòng)站的預(yù)認(rèn)證以通過(guò)當(dāng)前和新子網(wǎng)工作�。在某些實(shí)施 例中,存在多個(gè)新候選子網(wǎng)���。優(yōu)選地�,移動(dòng)站能夠與其將來(lái)可能移動(dòng)到或可能不移動(dòng)到的網(wǎng) 絡(luò)中的一或多個(gè)網(wǎng)絡(luò)實(shí)體執(zhí)行預(yù)認(rèn)證(例如L2認(rèn)證和高層認(rèn)證)�。在某些實(shí)施例中,該方 法包含該解析包含IP地址的動(dòng)態(tài)解析��。在某些實(shí)施例中��,該方法包含動(dòng)態(tài)解析包含使接 入點(diǎn)信標(biāo)或探測(cè)響應(yīng)包含IP地址��。在某些實(shí)施例中�,該方法包含該解析包含IP地址的靜 態(tài)解析。在某些實(shí)施例中�����,新子網(wǎng)中的接入點(diǎn)不支持高層預(yù)認(rèn)證,并且經(jīng)由委托代理(proxy agent)與移動(dòng)站通信���,并且在某些實(shí)施例中���,新子網(wǎng)中的接入點(diǎn)支持高層預(yù)認(rèn)證���,并且與該 移動(dòng)站通信�����。在一些優(yōu)選實(shí)現(xiàn)中�,新子網(wǎng)中的接入點(diǎn)通過(guò)使用傳遞802. IX幀的高層協(xié)議與 移動(dòng)遠(yuǎn)程站點(diǎn)通信���。根據(jù)某些其它實(shí)施例��,提供一種方法�,包含通過(guò)根據(jù)高層預(yù)認(rèn)證在切換之前預(yù)先 建立高層上下文���,降低移動(dòng)站的切換延遲�。優(yōu)選地����,高層上下文包含客戶端網(wǎng)絡(luò)地址(例如 客戶端IP地址)和/或類似信息��。在某些實(shí)施例中�,該方法還包含保證用于預(yù)先建立高層 上下文的消息的安全���。在某些實(shí)施例中����,該方法還包含使用高層認(rèn)證協(xié)議���,該協(xié)議用于導(dǎo)出 用來(lái)保護(hù)高層預(yù)配置消息的加密密鑰�。在某些實(shí)施例中����,該方法還包含使用802. IX預(yù)認(rèn)證 和基于IP的802. IX來(lái)執(zhí)行層次2預(yù)配置。在某些實(shí)施例中�����,該方法還包含使用單個(gè)高層 認(rèn)證協(xié)議預(yù)先建立多個(gè)高層上下文�。在某些實(shí)施例中,該方法還包含使用IKE或IKEv2預(yù) 先建立多個(gè)高層上下文�。在某些實(shí)施例中�����,該方法還包含使用PANA和IKE或IKEv2預(yù)先建 立多個(gè)高層上下文�����。在某些實(shí)施例中��,該方法還包含在移動(dòng)站和新子網(wǎng)中的接入點(diǎn)之間建 立IPsec隧道,以將針對(duì)移動(dòng)站的預(yù)配置IP地址的業(yè)務(wù)重定向到當(dāng)前連接的子網(wǎng)���。根據(jù)某些其它實(shí)施例�,提供用于以最少的中斷和保持的安全性在不同接入網(wǎng)絡(luò)的 接入點(diǎn)之間執(zhí)行移動(dòng)站的切換的方法���,包含在切換之前預(yù)先建立移動(dòng)站的高層上下文�,并 且安全地將來(lái)自或送往預(yù)先確定的IP地址的業(yè)務(wù)重定向到新接入網(wǎng)絡(luò)���。在某些實(shí)施例中���, 該方法還包含在移動(dòng)站和新接入網(wǎng)絡(luò)中的接入路由器之間建立IPsec隧道,其中IPsec隧道內(nèi)部地址被綁定到預(yù)先確定的IP地址����。在某些實(shí)施例中�����,該方法還包含新接入網(wǎng)絡(luò)中 的接入路由器被用作臨時(shí)歸屬代理�����,其中客戶端設(shè)備在該臨時(shí)歸屬代理上將其預(yù)先確定的 IP地址登記為歸屬地址��,并且將物理連接的網(wǎng)絡(luò)中分配的IP地址登記為轉(zhuǎn)交地址���。
根據(jù)某些其它實(shí)施例,提供一種方法���,包含執(zhí)行高層預(yù)認(rèn)證���、預(yù)配置和數(shù)據(jù)業(yè)務(wù) 重定向,以降低或消除高層切換對(duì)接入網(wǎng)絡(luò)之間移動(dòng)站的低層切換的定時(shí)依賴���。根據(jù)各種 實(shí)施例����,切換是移動(dòng)IP切換、VPN切換����、OSI網(wǎng)絡(luò)層切換和/或類似切換。在某些實(shí)施例中���, 該方法還包含比低層切換更早地啟動(dòng)高層切換����。在某些實(shí)施例中�,該方法還包含在低層切 換之前完全完成高層切換。根據(jù)某些其它實(shí)施例�����,提供一種方法�,包含通過(guò)允許移動(dòng)設(shè)備在切換之前針對(duì)接 入點(diǎn)中的新接入點(diǎn)發(fā)送和接收分組��,在鄰近網(wǎng)絡(luò)或子網(wǎng)中的接入點(diǎn)之間執(zhí)行移動(dòng)設(shè)備的虛 擬軟切換����,以使通信中斷最少。在某些實(shí)施例中��,該方法還包含在低層切換之前執(zhí)行高層切 換。在某些實(shí)施例中���,該方法還包含進(jìn)一步使用低層CDMA軟切換來(lái)減少通信中斷���。在某些實(shí) 施例中,該方法還包含通過(guò)高層來(lái)控制層次2切換定時(shí)����,使得能夠在開(kāi)始層次2切換之前完成 預(yù)認(rèn)證和預(yù)配置。在某些實(shí)施例中�����,該方法還包含在虛擬軟切換期間使用IPsec隧道進(jìn)行業(yè) 務(wù)重定向����,其中用于IPsec隧道的設(shè)備的外部和內(nèi)部IP地址分別是當(dāng)前子網(wǎng)中的轉(zhuǎn)交地址和 新子網(wǎng)中的轉(zhuǎn)交地址。在某些實(shí)施例中����,該方法還包含對(duì)所有業(yè)務(wù)使用IPsec隧道。根據(jù)某些其它實(shí)施例����,提供一種移動(dòng)通信網(wǎng)絡(luò)節(jié)點(diǎn)����,包含a)收發(fā)器�;和b)用于針 對(duì)不同網(wǎng)絡(luò)或子網(wǎng)中的另一個(gè)移動(dòng)通信網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送或接收網(wǎng)絡(luò)地址,以在移動(dòng)通信網(wǎng)絡(luò) 節(jié)點(diǎn)和該另一個(gè)移動(dòng)通信網(wǎng)絡(luò)節(jié)點(diǎn)之間進(jìn)行高層預(yù)認(rèn)證的裝置���,其中所述節(jié)點(diǎn)處于不同網(wǎng) 絡(luò)或子網(wǎng)�。在某些實(shí)施例中��,移動(dòng)通信網(wǎng)絡(luò)節(jié)點(diǎn)是移動(dòng)節(jié)點(diǎn)����,而在其它實(shí)施例中,移動(dòng)通信 網(wǎng)絡(luò)節(jié)點(diǎn)是接入點(diǎn)���。在某些實(shí)施例中�����,節(jié)點(diǎn)還包含用于存儲(chǔ)高層上下文的裝置,所述高層上 下文當(dāng)節(jié)點(diǎn)處于不同網(wǎng)絡(luò)或子網(wǎng)時(shí)用于與其它移動(dòng)通信網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全關(guān)聯(lián)����。在某些實(shí) 施例中�,節(jié)點(diǎn)還包含用于建立高層上下文的裝置�,所述高層上下文當(dāng)節(jié)點(diǎn)處于不同網(wǎng)絡(luò)或 子網(wǎng)時(shí)用于與其它移動(dòng)通信網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全關(guān)聯(lián)。在某些實(shí)施例中�,節(jié)點(diǎn)還包含用于通 過(guò)允許節(jié)點(diǎn)中的移動(dòng)節(jié)點(diǎn)在切換之前針對(duì)其它節(jié)點(diǎn)發(fā)送或接收業(yè)務(wù),從而在不同網(wǎng)絡(luò)或子 網(wǎng)之間執(zhí)行虛擬軟切換的裝置��。通過(guò)下面結(jié)合附圖進(jìn)行的描述可進(jìn)一步理解各種實(shí)施例的上述和/或其它方面����、 特性和/或優(yōu)點(diǎn)。各種實(shí)施例能夠包含和/或排除不同方面�、特性和/或優(yōu)點(diǎn),如果合適的 話�。另外,各種實(shí)施例能夠組合其它實(shí)施例的一或多個(gè)方面或特性�,如果合適的話。有關(guān) 具體實(shí)施例的方面�����、特性和/或優(yōu)點(diǎn)的描述不應(yīng)被解釋為針對(duì)其它實(shí)施例或權(quán)利要求的限 制���。
通過(guò)舉例但非限制性的方式在附圖中示出了本發(fā)明的優(yōu)選實(shí)施例���,其中圖1是示出IEEE 802. Ili預(yù)認(rèn)證的示例性序列的示意圖�����;圖2(A)是演示中間委托代理的使用的圖例�����;圖2(B)是演示支持高層預(yù)認(rèn)證的接入點(diǎn)的使用的圖例����;圖3和4是示出使用PANA和IKE的組合進(jìn)行高層預(yù)配置的例子的示意流程圖���,其 中在假定配置服務(wù)器與接入路由器共同定位的示例性條件下����,圖3示出了 PANA和原始IKE的組合����,圖4示出了 PANA和IKEv2的組合;圖5根據(jù)某些示例性和非限制性實(shí)施例示出了當(dāng)不使用高層軟切換時(shí)(參見(jiàn)上面 的時(shí)線)和當(dāng)使用高層軟切換時(shí)(參見(jiàn)下面的時(shí)線)的示意對(duì)比時(shí)序�����;圖6示出了演示移動(dòng)客戶端設(shè)備在虛擬軟切換期間使用IPsec隧道進(jìn)行業(yè)務(wù)重定 向的第一示例性情形的示意流程圖����;圖7示出了演示移動(dòng)客戶端設(shè)備針對(duì)基本上所有或所有業(yè)務(wù)使用IPsec隧道的第 二示例性情形的示意流程圖;圖8㈧到8(E)示出了演示使用虛擬軟切換的VPN切換的示例性序列的示例性例 子��;圖9示出了示例性原始分組和具有其IPsec標(biāo)記并且具有其新IP報(bào)頭的新IPsec 隧道分組�;圖10(A)示出了示例性移動(dòng)IP環(huán)境,其中當(dāng)移動(dòng)節(jié)點(diǎn)從其歸屬網(wǎng)絡(luò)移動(dòng)到外部網(wǎng) 絡(luò)并且獲得該外部網(wǎng)絡(luò)的新CoA時(shí)���,能夠使用虛擬軟切換和/或本發(fā)明的其它原理�;而 圖10⑶示出了示例性會(huì)話發(fā)起協(xié)議(SIP)IP電話(VoIP)環(huán)境����,其中當(dāng)客戶端移 動(dòng)到外部網(wǎng)絡(luò)并且獲得新CoA時(shí),能夠使用虛擬軟切換和/或本發(fā)明的其它原理��。
具體實(shí)施例方式雖然可以以許多不同形式實(shí)施本發(fā)明��,然而這里描述了若干示例性實(shí)施例��,應(yīng)當(dāng) 理解��,這里的公開(kāi)內(nèi)容應(yīng)被認(rèn)為是提供本發(fā)明的原理的例子�,并且這樣的例子的目的不是 將本發(fā)明限于這里描述和/或這里圖解的優(yōu)選實(shí)施例����。例如���,雖然這里描述了在802. 11 i和 /或其它環(huán)境內(nèi)實(shí)現(xiàn)的圖解實(shí)施例�,然而如根據(jù)本公開(kāi)內(nèi)容所能夠明白的���,本發(fā)明的各方面 能夠在各種其它環(huán)境中實(shí)現(xiàn)��。IEEE 802. Ili 預(yù)認(rèn)證圖1示出了 IEEE 802. Ili預(yù)認(rèn)證的示例性序列��。圖1假定移動(dòng)站已經(jīng)執(zhí)行了 802. Ili認(rèn)證���,并且與第一接入點(diǎn)APl關(guān)聯(lián)。如圖1中的(1)處所示���,移動(dòng)站通過(guò)接收信標(biāo)發(fā)現(xiàn)新接入點(diǎn)�����。在這點(diǎn)上��,當(dāng)移動(dòng)站 (STA)進(jìn)入第二接入點(diǎn)AP2的無(wú)線覆蓋范圍��,從AP2接收信標(biāo)幀并且它希望與AP2進(jìn)行預(yù)認(rèn) 證時(shí)��,它能夠向APl發(fā)送EAPOL-Start (基于LAN的可擴(kuò)展認(rèn)證協(xié)議[ΕΑΡ])�,其中將信標(biāo)幀 中包含的ΑΡ2的MAC地址指定為目的MAC地址���。作為參考�,信標(biāo)幀允許站點(diǎn)建立和保持無(wú) 線LAN上的通信��。例如�����,公共信標(biāo)幀能夠有大約五十字節(jié)長(zhǎng)�。信標(biāo)幀的大約一半能夠包含 例如公共幀頭和循環(huán)冗余校驗(yàn)(CRC)字段。類似于其它幀����,該頭能夠包含源和目的MAC地 址,以及涉及通信處理的其它信息�。信標(biāo)的幀主體的大約另一半能夠例如位于頭和CRC字 段之間,并且能夠在幀主體中攜帶例如下面的信息信標(biāo)間隔(例如�����,表示信標(biāo)發(fā)送之間的 時(shí)間量);時(shí)間標(biāo)簽(例如����,允許與AP關(guān)聯(lián)的站點(diǎn)間的同步);服務(wù)設(shè)置標(biāo)識(shí)符(SSID)(例 如�,標(biāo)識(shí)特定無(wú)線LAN);支持的速率(例如�����,具體無(wú)線LAN支持的速率)���;參數(shù)集(例如��,關(guān) 于特定信令方法等等的信息)�;能力信息(例如���,標(biāo)識(shí)希望屬于無(wú)線LAN的站點(diǎn)的要求)����;和 /或業(yè)務(wù)指示映射(TIM)����。如圖1中的(2)處所示�,通過(guò)當(dāng)前接入點(diǎn)APl在移動(dòng)站和新接入點(diǎn)AP2之間交換 802. IX幀(攜帶有ΕΑΡ)���。在這點(diǎn)上��,當(dāng)前接入點(diǎn)APl通過(guò)例如后臺(tái)有線LAN向新接入點(diǎn)AP2轉(zhuǎn)發(fā)EAPOL-Start幀��。新接入點(diǎn)AP2于是接收EAPOL-Start幀,并且通過(guò)當(dāng)前接入點(diǎn)APl在新接入點(diǎn)AP2和移動(dòng)站(STA)之間交換后續(xù)802. IX幀�。如圖1中的(3)處所示,移動(dòng)站能夠例如在切換期間從第一子網(wǎng)等等移動(dòng)到第二 子網(wǎng)等等�����。如圖1中的(4)處所示�,當(dāng)移動(dòng)站與新接入點(diǎn)關(guān)聯(lián)時(shí),它能夠使用在上述(2)處確 定的加密密鑰來(lái)執(zhí)行受保護(hù)的關(guān)聯(lián)�。在這點(diǎn)上,作為成功預(yù)認(rèn)證的結(jié)果�,在AP2和移動(dòng)之間 也確定了 802. Ili加密密鑰。除非在APl和AP2之間使用802. Ilf或IAPP (接入點(diǎn)間協(xié)議) (參見(jiàn)例如上面引用的參考文獻(xiàn)#12)����,否則AP2將需要聯(lián)系認(rèn)證或AAA服務(wù)器(NB :AAA服 務(wù)器能夠包含處理用于訪問(wèn)計(jì)算機(jī)資源的用戶請(qǐng)求并且提供認(rèn)證、授權(quán)或核計(jì)[AAA]服務(wù) 的服務(wù)器程序�,并且設(shè)備或應(yīng)用程序可以使用例如RADIUS客戶/服務(wù)器協(xié)議和軟件與AAA 服務(wù)器通信)��,以便以和在通過(guò)APl進(jìn)行初始認(rèn)證期間采取的方式相同的方式認(rèn)證移動(dòng)站���。 然而,如果EAP (可擴(kuò)展認(rèn)證協(xié)議-參見(jiàn)例如上面引用的參考文獻(xiàn)#3)中使用的認(rèn)證方法支 持PEAP(受保護(hù)的EAP-參見(jiàn)例如上面引用的參考文獻(xiàn)#21) ,EAP-TLS(ΕΑΡ傳送層安全-參 見(jiàn)例如上面引用的參考文獻(xiàn)#2)和EAP-TTLS (ΕΑΡ隧道化TLS-參見(jiàn)例如上面引用的參考文 獻(xiàn)#6)所支持的快速重新連接或會(huì)話恢復(fù)��,則重新認(rèn)證能夠比初始認(rèn)證更快速。由于IEEE 802. IX被設(shè)計(jì)成在LAN內(nèi)操作���,IEEE 802. IX預(yù)認(rèn)證的適用性限于子網(wǎng) 內(nèi)切換_除非將其擴(kuò)展為按照下述實(shí)施例在高層操作。在網(wǎng)絡(luò)可能根據(jù)例如部門或部分邊 界被分成多個(gè)VLAN(虛擬LAN)以提高安全性或減少?gòu)V播業(yè)務(wù)的大型企業(yè)中�����,這是顯著的限 制����。如果假定移動(dòng)站例如在多個(gè)VLAN間移動(dòng),則支持子網(wǎng)間和子網(wǎng)內(nèi)預(yù)認(rèn)證會(huì)非常有利���。涉及高層預(yù)認(rèn)證的問(wèn)題擴(kuò)展IEEE 802. Ili預(yù)認(rèn)證以支持子網(wǎng)間預(yù)認(rèn)證并不簡(jiǎn)單�����,更不用說(shuō)對(duì)其進(jìn)行擴(kuò) 展以便獲得本發(fā)明各種實(shí)施例中可能的各種益處����。例如,不能僅僅在IP數(shù)據(jù)報(bào)(NB:數(shù)據(jù) 報(bào)或分組��,是網(wǎng)際協(xié)議所涉及并且網(wǎng)絡(luò)所傳送的消息單元)中封裝802. IX幀����。在本發(fā)明的 某些優(yōu)選實(shí)施例中,在實(shí)現(xiàn)優(yōu)選實(shí)施例的各方面時(shí)克服了若干額外的問(wèn)題����,例如包含·解析AP的IP地址的能力當(dāng)移動(dòng)站發(fā)現(xiàn)可能與移動(dòng)站在或不在相同LAN上的 AP時(shí)�,它需要知道該AP是否在相同LAN上。并且����,如果AP不在相同LAN上,它需要知道該 AP的IP地址以便使用高層協(xié)議進(jìn)行通信��。 支持高層預(yù)認(rèn)證的能力對(duì)于不支持高層預(yù)認(rèn)證的AP���,可能需要此支持�。在這點(diǎn) 上,某些AP可能支持802. Ili預(yù)認(rèn)證�,但是可能不支持高層預(yù)認(rèn)證。這樣的AP假定被預(yù)認(rèn) 證的移動(dòng)站是在相同LAN上��?�?赡苡斜匾试S這樣的AP從高層預(yù)認(rèn)證中受益��。 通過(guò)IP傳遞消息的能力EAP需要其傳送協(xié)議提供有序的傳送��。參見(jiàn)例如上面引 用的參考文獻(xiàn)#3����。在這點(diǎn)上,由于IEEE 802LAN交換機(jī)被要求保持順序不變��,IEEE 802. IX 滿足EAP的有序傳送要求��。參見(jiàn)例如上面引用的參考文獻(xiàn)#24��。另一方面����,當(dāng)在高層傳遞 EAP消息時(shí),由于IP層不保持順序不變����,所以IP層上定義的EAP傳送協(xié)議必須提供有序傳 送����?�!ゎA(yù)先建立高層上下文的能力為了執(zhí)行子網(wǎng)間切換��,移動(dòng)站不僅需要重新建立 層次2上下文����,而且移動(dòng)站需要重新建立高層上下文,所述高層上下文包含例如IP轉(zhuǎn)交地 址���,以及當(dāng)使用IP層逐分組保護(hù)時(shí)移動(dòng)站和例如接入路由器(AR)之間的IPsec安全關(guān)聯(lián) (SA)��。這些高層上下文的建立可能比層次2上下文需要更多時(shí)間。因而����,在切換之前預(yù)先確定這些上下文有助于減少切換延遲和導(dǎo)致的數(shù)據(jù)損失。由于不使用IEEE 802. IX建立高 層上下文�,所以需要在高層定義額外的機(jī)制以預(yù)先確定它們?���!?shí)現(xiàn)進(jìn)一步性能提高的能力使用高層預(yù)認(rèn)證預(yù)先建立高層上下文的能力能夠 幫助減少切換延遲和導(dǎo)致的數(shù)據(jù)損失���。然而本發(fā)明人發(fā)現(xiàn),如果移動(dòng)站能夠在執(zhí)行層次2 切換之前不僅基于當(dāng)前上下文而且基于預(yù)先建立的上下文發(fā)送和/或接收高層分組��,則能 夠?qū)崿F(xiàn)進(jìn)一步的性能提高���。在以后幾節(jié)里提出尤其涉及上述問(wèn)題的詳細(xì)解決方案�����。解析AP的IP地址如上所述��,由于高層預(yù)認(rèn)證需要跨越多個(gè)LAN工作�����,移動(dòng)站需要能夠與不同LAN中 的接入點(diǎn)通信����。因而�,需要解析AP的IP地址和MAC地址之間的映射。如下所述�����,在某些情 況下,IP地址可以是委托代理的地址�。存在2個(gè)用于AP解析的優(yōu)選方案預(yù)配置的解析 (例如靜態(tài)解析)和動(dòng)態(tài)解析。在靜態(tài)解析中�����,移動(dòng)站能夠例如在其從每個(gè)鄰近AP接收信 標(biāo)幀之前獲得所述AP的IP地址和MAC地址對(duì)的列表����。在動(dòng)態(tài)解析中,當(dāng)移動(dòng)站從AP接收 信標(biāo)幀等等時(shí)���,能夠例如解析針對(duì)AP的映射��。在某些實(shí)施例中�����,能夠組合兩個(gè)方案。下面 列出能夠使用的若干示例性方法����。 在某些實(shí)施例中�,可以擴(kuò)展802. 11規(guī)范��,使得信標(biāo)幀(探測(cè)響應(yīng)等等)能夠包含 針 對(duì)AP的MAC地址的IP地址�。如上所述,這可以被分類為動(dòng)態(tài)解析����。 在某些實(shí)施例中,IETF Seamoby WG (工作組)的CARD (候選接入路由器發(fā)現(xiàn))機(jī) 制能夠被用于這個(gè)目的��。參見(jiàn)例如上面引用的M. Liebsch,A. Singh, H. Chaskar和D. Funato 的"Candidate AccessRouter Discovery" ,Internet-Draft,work in Progress,2003年 3月�。如上所述,這可以被分類為動(dòng)態(tài)解析����。·在某些實(shí)施例中�,具有傳遞每個(gè)鄰近AP的MAC地址和IP地址對(duì)的列表的新 選項(xiàng)的DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)能夠被用于這個(gè)目的。參見(jiàn)例如上面引用的R. Droms 的〃 Dynamic Host ConfigurationProtocol “�����,RFC 2131�,1997 年 3 月。如上所述�,這可以 被分類為靜態(tài)解析��。 在某些實(shí)施例中����,EAP-TLV (ΕΑΡ類型-長(zhǎng)度-值)方法能夠被用于傳遞每個(gè)鄰近 AP的MAC地址和IP地址對(duì)的列表�,以用于期望的解析目的。參見(jiàn)例如上面引用的參考文獻(xiàn) #21�。這個(gè)EAP方法通常在例如PEAP (參見(jiàn)Id.)的隧道EAP方法中執(zhí)行,并且列表可能需 要從后臺(tái)認(rèn)證服務(wù)器中的隧道端點(diǎn)發(fā)送��,以實(shí)現(xiàn)期望的解析目的���。如上所述���,這個(gè)方法可以 被分類為靜態(tài)解析?�!ぴ谀承?shí)施例中����,通過(guò)在用于向移動(dòng)客戶端通知認(rèn)證結(jié)果的消息(即PANA-綁 定-請(qǐng)求)中增加新的AVP (屬性-值對(duì)),PANA協(xié)議能夠被用于這個(gè)目的�。·在某些實(shí)施例中��,IEEE 802. IX��、PPP (點(diǎn)到點(diǎn)協(xié)議)和/或其它鏈路層認(rèn)證協(xié)議 能夠被用于這個(gè)目的����。在多數(shù)優(yōu)選實(shí)施例中�,接入點(diǎn)解析應(yīng)當(dāng)解析不同管理域中的接入點(diǎn)的MAC和IP地 址之間的映射。在考慮這種多域情景時(shí)���,對(duì)于這種域間切換情景�,上述第一方案尤其適用�。 然而,如果移動(dòng)節(jié)點(diǎn)在其通過(guò)上述或其它類似方案連接到新網(wǎng)絡(luò)時(shí)記憶每個(gè)接入點(diǎn)的IP 地址和MAC地址��,則其它方案也適用�����。這些方案也可以用于定義下述配置服務(wù)器的IP地址����。除解析AP的IP地址的問(wèn)題之外,還存在解析的并列問(wèn)題a)與AP共同定位或位于AP后面的PANA認(rèn)證代理的IP地址(即PANA認(rèn)證代理可以被用于高層預(yù)認(rèn)證)��;b)AP 的IP前綴(即AP的IP地址可能不足以使客戶端知道AP是否與客戶端屬于相同網(wǎng)絡(luò))���; 和/或c) AP的域名。 為解決除AP的IP地址之外的這些并列問(wèn)題��,也可以和AP的IP地址一起解析AP 屬于的子網(wǎng)的一或多個(gè)IP前綴�,與AP共同定位或與AP連接在相同子網(wǎng)中的PANA認(rèn)證代 理的一或多個(gè)IP地址,AP的域名��,和/或執(zhí)行高層預(yù)認(rèn)證����、高層上下文的預(yù)配置和/或虛 擬軟切換所需的任何其他信息����。IEEE 802. IX 代理如上所示,某些接入點(diǎn)可能支持802. Ili預(yù)認(rèn)證����,但是可能不支持高層預(yù)認(rèn)證。如 圖2㈧所示,在某些實(shí)施例中�,通過(guò)引入在接入點(diǎn)和遠(yuǎn)程移動(dòng)站之間傳遞802. IX消息的委 托代理,可以使不支持高層預(yù)認(rèn)證的接入點(diǎn)與遠(yuǎn)程LAN中移動(dòng)站STA傳送IEEE 802. IX幀�����。 例如�,委托代理能夠包含充當(dāng)中介的代理服務(wù)器�����。在某些例子中���,這種委托代理能夠被稱為 IEEE 802. IX代理�。在操作期間�����,IEEE 802. IX代理和接入點(diǎn)之間的IEEE 802. IX幀傳送能 夠完全基于IEEE 802MAC機(jī)制�,其中代理使用遠(yuǎn)程移動(dòng)站的MAC地址而不是其自身的MAC 地址,使得IEEE 802. Ili預(yù)認(rèn)證的AP實(shí)現(xiàn)能夠不經(jīng)任何改變而工作��。代理和移動(dòng)站之間 的IEEE 802. IX幀傳送能夠基于下面的子章節(jié)中討論的高層傳送機(jī)制���。由于代理看不見(jiàn)從 移動(dòng)站接收的MAC層幀的頭中的遠(yuǎn)程移動(dòng)站的MAC地址���,優(yōu)選地在高層分組的有效負(fù)載中 傳遞MAC地址����。另一方面�����,如圖2(B)所示���,如果接入點(diǎn)支持高層預(yù)認(rèn)證��,則不需要IEEE 802. IX代 理�。在這種情況下���,這種AP能夠使用傳遞802. IX幀的高層協(xié)議直接與遠(yuǎn)程移動(dòng)站(STA)
通{曰����。因而�����,圖2(A)和2(B)示出了 2個(gè)示例性方法,其中圖2(A)演示了中間委托代理 的使用���,而圖2(B)演示了支持高層預(yù)認(rèn)證的接入點(diǎn)的使用��。因此�,在這些實(shí)施例的示例性 實(shí)現(xiàn)中�����,移動(dòng)站只需要知道委托代理或AP的IP地址��?����;赥P 的 IEEE 802. IX如上所述�,由于IEEE 802. IX幀傳遞需要保持順序不變的EAP (可擴(kuò)展認(rèn)證協(xié)議) 消息���,因此簡(jiǎn)單地通過(guò)IP傳遞IEEE 802. IX幀不能滿足EAP傳送要求����。因此���,為了在IP層 上傳遞802. IX幀�,能夠使用下面列出的一或多個(gè)方案或其它適當(dāng)方法?���!ぴ谀承?shí)施例中,PANA(用于對(duì)網(wǎng)絡(luò)接入進(jìn)行認(rèn)證的協(xié)議)能夠被用于通過(guò) UDP(用戶數(shù)據(jù)報(bào)協(xié)議)傳遞EAP消息����。參見(jiàn)例如上面引用的D. Forsberg,Y. Oh ba,B. Patil, H. Tsehofenig 禾口 k. Yegin 的“Protocol for Carrying Authentication for Network Access (PANA) “,Internet-Draft, Work in progress����,2003 年 3 月。由于 PANA 在性質(zhì)上 是設(shè)計(jì)用于傳遞EAP消息的�,它具有保持順序不變的機(jī)制。 在某些實(shí)施例中����,也在UDP上定義的IKEv2(網(wǎng)際密鑰交換,版本2)支持傳遞EAP 消息�,以支持建立IKE安全關(guān)聯(lián)的各種認(rèn)證方法。由于IKEv2定義了可靠消息傳送機(jī)制�, IKEv2滿足有序傳送要求。 在某些實(shí)施例中����,新協(xié)議能夠被定義以通過(guò)可靠的傳送����,例如TCP來(lái)傳遞802. IX 幀���。在某些優(yōu)選實(shí)施例中����,后一種方案(即定義新協(xié)議)能夠更加適合于要求��,因?yàn)榭紤]到只是以保持EAP消息順序的方式傳遞IEEE802. IX幀的要求�����,其它2個(gè)方案在功能上可 能有冗余����。預(yù)先確定高層上下文預(yù)認(rèn)證的一個(gè)目的包含為客戶端設(shè)備提供在其執(zhí)行到目標(biāo)網(wǎng)絡(luò)的切換之前預(yù)先 確定要用于目標(biāo)接入網(wǎng)絡(luò)的上下文的手段�����。根據(jù)這里的某些優(yōu)選實(shí)施例���,預(yù)先確定的上下 文不僅包含低層上下文����,而是包含例如層次2上下文(例如數(shù)據(jù)加密密鑰、802. Ili加密密 鑰和/或類似信息)的低層上下文���,和例如客戶端IP地址����、IP前綴��、子網(wǎng)掩碼��、路由器地址���、 DNS (域名系統(tǒng))服務(wù)器地址�����、IPsec密碼(如果IPsec被用于接入網(wǎng)絡(luò)中的數(shù)據(jù)分組保護(hù)) 和/或等等的高層上下文�����。除其它以外�����,這種新穎的高層上下文的預(yù)先建立允許得到如下 面詳細(xì)列出的根本優(yōu)點(diǎn)��。這些上下文能夠被例如存儲(chǔ)(例如臨時(shí))在移動(dòng)站等等的例如電 磁存儲(chǔ)設(shè)備��、RAM��、高速緩沖存儲(chǔ)器等等中�����。在本公開(kāi)中��,預(yù)先確定上下文也可以被稱為"預(yù)配置"���。雖然能夠通過(guò)例如使用 802. IX預(yù)認(rèn)證和基于IP的802. IX來(lái)進(jìn)行層次2預(yù)配置,然而需要為高層預(yù)配置定義一種 機(jī)制����。另一方面,在客戶端設(shè)備和配置服務(wù)器之間需要保證用于高層預(yù)配置的信令消息的 安全����,以防止未經(jīng)授權(quán)的客戶端例如執(zhí)行預(yù)配置或?qū)︻A(yù)配置消息交換啟動(dòng)DoS (拒絕服務(wù)) 攻擊���。由于在客戶端和配置服務(wù)器之間不存在先前配置的SA(安全關(guān)聯(lián))的漫游環(huán)境中可 能出現(xiàn)此情況,優(yōu)選地�����,以用于根據(jù)作為成功802. IX認(rèn)證的結(jié)果在移動(dòng)站和接入點(diǎn)之間確 定的會(huì)話密鑰導(dǎo)出802. Ili加密密鑰的類似方式���,動(dòng)態(tài)導(dǎo)出用于保證高層預(yù)配置信令的安 全的SA�����。然而�,IKEv2不為客戶端提供動(dòng)態(tài)發(fā)現(xiàn)IKEv2服務(wù)器的能力����。 雖然能夠使用CARD (參見(jiàn)例如上面引用的參考文獻(xiàn)#20)預(yù)先確定客戶端IPv6地 址和IPv6前綴,然而優(yōu)選方案包含使用能夠被用于預(yù)先確定基本上所有或所有這些上下 文的單個(gè)協(xié)議來(lái)預(yù)先確定上下文�。在這點(diǎn)上,IKE或IKEv2能夠被用作示例性的協(xié)議���,該協(xié) 議在客戶端設(shè)備被連接到另一個(gè)網(wǎng)絡(luò)的同時(shí)支持客戶端設(shè)備的安全遠(yuǎn)程配置��。參見(jiàn)例如上 面引用的參考文獻(xiàn)#9�。對(duì)于IKE,對(duì)IKE的擴(kuò)展定義了標(biāo)準(zhǔn)機(jī)制����,其被用于在客戶端主機(jī)和 共同定位在遠(yuǎn)程IPsec網(wǎng)關(guān)上的DHCP代理之間傳遞DHCP (動(dòng)態(tài)主機(jī)配置協(xié)議)消息。參 見(jiàn)例如上面引用的參考文獻(xiàn)#22���。對(duì)于IKEv2��,IKEv2缺省具有配置機(jī)制����,并且允許擴(kuò)展為 通過(guò)IKEv2消息傳遞DHCP消息�。參見(jiàn)例如上面引用的參考文獻(xiàn)#18。IKE支持實(shí)體認(rèn)證�����, 但是假定通信對(duì)等方具有要求相互認(rèn)證的預(yù)先共享的秘密密鑰或數(shù)字證書��。因而IKE對(duì)于 漫游環(huán)境不是所期望的�����。另一方面���,通過(guò)可選地在第一 CHILD_SA交換(見(jiàn)下文)期間傳遞 EAP消息以支持漫游客戶端的認(rèn)證�����,IKEv2支持更加靈活的認(rèn)證���。然而這會(huì)涉及至少兩次基 于公開(kāi)密鑰、高權(quán)重的密鑰交換(一次是確定IKE_SA(見(jiàn)下文)���,另一次是確定EAP主會(huì)話 密鑰)�����,以處理密碼密鑰綁定問(wèn)題���。參見(jiàn)例如上面引用的參考文獻(xiàn)#23。作為參考�,IPsecdP安全)能夠?qū)P數(shù)據(jù)報(bào)提供例如保密、數(shù)據(jù)完整性�、訪問(wèn)控 制和數(shù)據(jù)源認(rèn)證。通過(guò)保持IP數(shù)據(jù)報(bào)的源(例如數(shù)據(jù)傳輸發(fā)送方)和宿(例如數(shù)據(jù)傳輸 接收方)之間的共享狀態(tài)����,提供這些服務(wù)�。這種狀態(tài)尤其定義了提供給數(shù)據(jù)報(bào)的特定服務(wù) (其中加密算法將被用于提供該服務(wù))�,以及用作該加密算法的輸入的密鑰。參見(jiàn)例如參考 文獻(xiàn)#15��。IPsec的基本思路是在發(fā)送之前標(biāo)記分組����,并且在接收時(shí)使用標(biāo)記。IPsec標(biāo)記 處理涉及被加到要保護(hù)的分組中的某些字段�。出現(xiàn)說(shuō)明目的,圖9示出了示例性原始分組 和具有其IPsec標(biāo)記并且具有其新IP報(bào)頭的新IPsec隧道分組�����。在IPsec中��,2方進(jìn)入稱作安全關(guān)聯(lián)(SA)的邏輯關(guān)系����,其中它們同意涉及使用的算法和密鑰的參數(shù)。網(wǎng)際密鑰交 換(IKE)協(xié)議能夠動(dòng)態(tài)建立這種共享狀態(tài)��。如上所示�����,當(dāng)前存在2個(gè)版本的IKE�,即IKE和 IKEv2。IKE在2方之間執(zhí)行相互認(rèn)證���,并且建立IKE安全關(guān)聯(lián)����,其包含能夠用于為ESP (封 裝安全有效負(fù)載)(參見(jiàn)例如RFC 2406)和/或AH(認(rèn)證頭)(例如參見(jiàn)RFC2402)有效建 立安全關(guān)聯(lián)的共享保密信息���,和用于保護(hù)SA的一組加密算法����。發(fā)起方能夠通過(guò)列出所支持 的算法來(lái)建議一或多套(即用于保護(hù)SA的算法全集)���,所列表的算法能夠以混合和匹配方 式被合并成套��。
作為進(jìn)一步參考��,IKEv2產(chǎn)生稱作〃 IKE_SA〃的安全關(guān)聯(lián)����。通過(guò)IKE_SA建立的用 于ESP和/或AH的安全關(guān)聯(lián)被稱作〃 CHILD_SA〃。參見(jiàn)例如參考文獻(xiàn)#15��。IKE通信包 含一對(duì)消息請(qǐng)求和響應(yīng)��。該對(duì)被稱作"交換"�����。IKE消息流包含后跟響應(yīng)的請(qǐng)求����。請(qǐng)求 方的職責(zé)是保證可靠性。如果未在超時(shí)間隔內(nèi)接收到響應(yīng)�,則請(qǐng)求方重發(fā)請(qǐng)求(或放棄連 接)。IKE會(huì)話的第一請(qǐng)求/響應(yīng)協(xié)商IKE_SA的安全參數(shù)�,發(fā)送現(xiàn)時(shí)信息(nonce),和發(fā)送 Diffie-Hellman值�����。初始交換(即請(qǐng)求和響應(yīng))被稱作IKE_SA_INIT�����。稱作IKE_AUTH的 第二請(qǐng)求和響應(yīng)傳送身份���,證明對(duì)應(yīng)于2個(gè)身份的秘密的知識(shí)���,并且為第一 AH和/或ESP_ CHILD_SA 建立 SA0作為進(jìn)一步的參考�,IKE包含2個(gè)不同階段�。第一階段(ph. 1)涉及在發(fā)送方和接 收方之間建立受保護(hù)環(huán)境(即安全關(guān)聯(lián))以保護(hù)用于以后數(shù)據(jù)傳送階段的認(rèn)證和加密參數(shù) 的協(xié)商�。第二階段(Ph. 2)涉及協(xié)商用于以后數(shù)據(jù)傳送階段的保護(hù)參數(shù)。通過(guò)這種方式�,除 其它以外,參數(shù)的協(xié)商也可以受保護(hù)���。在某些實(shí)施例中�,有利的方案包含使用類似于例如PANA(參見(jiàn)例如上面引用的參 考文獻(xiàn)#7)的高層網(wǎng)絡(luò)接入認(rèn)證協(xié)議����,其支持客戶端發(fā)現(xiàn)一組實(shí)施點(diǎn)或配置服務(wù)器(或在 某些實(shí)施例中的IKEv2服務(wù)器)。雖然PIC (預(yù)IKE證書提供協(xié)議)被設(shè)計(jì)用于建立IKE 證書(參見(jiàn)例如上面引用的參考文獻(xiàn)#25)��,然而PIC不具有解決密碼綁定問(wèn)題的機(jī)制����。雖 然在某些PANA設(shè)計(jì)中可以假定PANA認(rèn)證代理必須與客戶端設(shè)備在相同IP鏈路上,然而這 主要是用于簡(jiǎn)化PANA認(rèn)證代理發(fā)現(xiàn)��。然而,通過(guò)例如在多個(gè)IP鏈路上配置IP中IP隧道 (IP-in-IPtunnel)以構(gòu)造PANA認(rèn)證代理和客戶端設(shè)備之間的邏輯IP鏈路����,或直接在客戶 端和PANA認(rèn)證代理之間運(yùn)行PANA而不使用IP中IP隧道,能夠?qū)ANA擴(kuò)展為跨越多個(gè)IP 鏈路工作����。尤其是,PANA不僅能夠用于導(dǎo)出用于預(yù)先確定高層上下文的IKE證書�����,而且能夠 用于導(dǎo)出用于DHCP認(rèn)證的證書�����。參見(jiàn)例如上面引用的參考文獻(xiàn)#4�����。IKE和IKEv2可能不 適于不具有任何IP地址的移動(dòng)客戶端設(shè)備的配置��,這通常是移動(dòng)客戶端設(shè)備最初連接到 接入網(wǎng)絡(luò)時(shí)的情形���。首先應(yīng)當(dāng)注意�����,在接入點(diǎn)和移動(dòng)站之間用802. Ili密碼保護(hù)DHCP消 息交換并不真正防止例如鏈路層上已經(jīng)通過(guò)認(rèn)證的內(nèi)部知情方發(fā)出偽造DHCP消息����。因此, 可能出現(xiàn)這樣的情況���,即客戶端設(shè)備能夠在不同層被認(rèn)證兩次,其中一次通過(guò)IEEE 802. IX 進(jìn)行�����,另一次通過(guò)PANA進(jìn)行��。在這種情況下����,由基于TLS(傳送層安全)的EAP認(rèn)證方法,例 如PEAP (參見(jiàn)例如上面引用的參考文獻(xiàn)#21)��、EAP-TLS (參見(jiàn)例如上面引用的參考文獻(xiàn)#2) 和EAP-TTLS(參見(jiàn)例如上面引用的參考文獻(xiàn)#6)支持的快速重新連接或會(huì)話恢復(fù)機(jī)制����,能 夠以使得相同TLS會(huì)話能夠被重用于后臺(tái)認(rèn)證服務(wù)器和移動(dòng)客戶端設(shè)備之間層次2認(rèn)證和 高層認(rèn)證以減少認(rèn)證業(yè)務(wù)量和延遲的方式�,跨越不同認(rèn)證層工作����。
圖3和4示出了使用PANA和IKE的組合的高層預(yù)配置的某些例子。具體地����,在假定配置服務(wù)器共同定位在接入路由器上的示例性條件下,圖3示出了 PANA和原始IKE的組 合�����,圖4示出了 PANA和IKEv2的組合���。如圖所示���,能夠在移動(dòng)客戶端設(shè)備和新子網(wǎng)中的接 入路由器之間建立被綁定到預(yù)配置的IP地址的IPsec隧道。這種IPsec隧道例如能夠被 用于將針對(duì)移動(dòng)客戶端設(shè)備的預(yù)配置的IP地址的業(yè)務(wù)重定向到當(dāng)前連接的網(wǎng)絡(luò)�,以減少 切換延遲和導(dǎo)致的數(shù)據(jù)損失(例如下面部分中描述的)。對(duì)于圖3中示出的示例性例子����,pAR標(biāo)識(shí)當(dāng)前接入路由器,nAP標(biāo)識(shí)新接入點(diǎn),nAR 表示新接入路由器����,MN表示移動(dòng)節(jié)點(diǎn)(通常也可以被稱為例如移動(dòng)站、移動(dòng)設(shè)備或移動(dòng)客 戶端)��。在圖3中����,索引(1)說(shuō)明在移動(dòng)節(jié)點(diǎn)和新AP之間使用基于的IP的802. 1X(用于 L2方面(如果有的話)的預(yù)配置)。索引(2)說(shuō)明了使用用于引導(dǎo)IKE的PANA�����,在該點(diǎn)之 后移動(dòng)節(jié)點(diǎn)建立IKE證書�。索引(3)說(shuō)明了執(zhí)行IKE階段1和2�����,其中使用pCoA作為發(fā)起 方的地址�����,例如使用0. 0. 0. 0作為快速模式ID����,此點(diǎn)之后建立DHCP-SA�����。箭頭A所在的點(diǎn)處 的隧道是IPsec隧道����。在這個(gè)IPsec隧道A上進(jìn)行配置過(guò)程��。IPsec隧道A涉及通過(guò)當(dāng)前 接入路由器pAR的安全隧道�����。在箭頭B所在的點(diǎn)處��,移動(dòng)節(jié)點(diǎn)具有由新接入路由器nAR分 配的IP地址�����,并且現(xiàn)在知道例如新子網(wǎng)中的IP地址和上下文���。對(duì)此��,圖3示出了示例性地 址200. 1.0. 100����。另外,這里移動(dòng)節(jié)點(diǎn)仍然具有涉及當(dāng)前子網(wǎng)的這種信息�。索引(4)則說(shuō)明 了執(zhí)行IKE階段2,其中使用nCoA作為發(fā)起方的快速模式ID��。在箭頭C所在的點(diǎn)處�,IPsec 安全關(guān)聯(lián)已經(jīng)建立,并且移動(dòng)節(jié)點(diǎn)MN已經(jīng)被配置成使用新子網(wǎng)����,同時(shí)它并行保留當(dāng)前子網(wǎng) 的配置。接著�����,如圖所示��,能夠?yàn)镮Psec隧道BOiCoA-pCoAo nAR)表示的重定向的業(yè)務(wù) 建立IPsec隧道��。對(duì)于圖4中示出的示例性例子��,pAR再次標(biāo)識(shí)當(dāng)前接入路由器�����,nAP再次標(biāo)識(shí)新接 入點(diǎn)�,nAR再次表示新接入路由器,MN再次表示移動(dòng)節(jié)點(diǎn)����。在圖4中,索引(1)說(shuō)明在移動(dòng) 節(jié)點(diǎn)和新AP之間使用基于的IP的802. 1X(用于L2方面(如果有的話)的預(yù)配置)�����。索 引(2)說(shuō)明了使用用于引導(dǎo)IKE的PANA����,在該點(diǎn)之后移動(dòng)節(jié)點(diǎn)建立IKE證書。索引(3)說(shuō) 明了 IKE版本2IKE_SA_INIT和IKE_AUTH交換�����,其中使用pCoA作為發(fā)起方的地址���,在IKE_ AUTH交換中使用配置有效負(fù)載或運(yùn)行DHCP���。接著,如圖所示�����,建立IP安全關(guān)聯(lián)(SA),并且 獲得新的轉(zhuǎn)交地址nCoA���。因而�����,在示出的點(diǎn)C2處�����,移動(dòng)客戶端設(shè)備已經(jīng)被配置成使用新子 網(wǎng)���,同時(shí)它仍然保留當(dāng)前子網(wǎng)的配置。接著�,如圖所示,能夠?yàn)镮Psec隧道(nCoA-pCoAe nAR)表示的重定向的業(yè)務(wù)建立IPsec隧道�。尤其是,這個(gè)子部分中用于預(yù)先確定上述高層上下文的方法既不依賴也不需要網(wǎng) 絡(luò)中802. IX及其預(yù)認(rèn)證的基礎(chǔ)���。應(yīng)當(dāng)理解�,在優(yōu)選實(shí)施例中�����,移動(dòng)客戶端能夠與它將來(lái)可能移動(dòng)到或可能不移動(dòng) 到的網(wǎng)絡(luò)中的一或多個(gè)網(wǎng)絡(luò)實(shí)體執(zhí)行預(yù)認(rèn)證(例如L2認(rèn)證和高層認(rèn)證)���。另一方面�,在優(yōu) 選實(shí)施例中����,僅與移動(dòng)客戶端將移動(dòng)到的網(wǎng)絡(luò)中的一個(gè)網(wǎng)絡(luò)實(shí)體執(zhí)行虛擬軟切換。虛擬軟切換如上所述�,將例如IKE或IKEv2等等用于預(yù)先確定高層上下文允許來(lái)自或送往預(yù) 先確定的客戶端設(shè)備(例如移動(dòng)站)的IP地址的數(shù)據(jù)業(yè)務(wù)被安全地重定向到客戶端設(shè)備 連接到的接入網(wǎng)絡(luò)。例如通過(guò)在客戶端設(shè)備和目標(biāo)網(wǎng)絡(luò)中的AR(接入路由器)之間建立 IPsec隧道�,能夠?qū)崿F(xiàn)這點(diǎn),其中該設(shè)備的IPsec隧道內(nèi)部地址被綁定到預(yù)先確定的IP地址�。這相當(dāng)于在客戶端設(shè)備和接入路由器之間具有基于IPsec的VPN(虛擬專用網(wǎng)) 隧道。作為參考�,VPN允許在通過(guò)安全過(guò)程和隧道協(xié)議保持隱私的同時(shí)使用例如因特網(wǎng)的 共享公共基礎(chǔ)設(shè)施。也可以以目標(biāo)網(wǎng)絡(luò)中的AR被用作臨時(shí)歸屬代理的方式將例如移動(dòng)IP或移動(dòng)IPv6 用于業(yè)務(wù)重定向�,其中針對(duì)該臨時(shí)歸屬代理,移動(dòng)客戶端設(shè)備將其預(yù)先確定的IP地址登記 為歸屬地址�����,并且將物理連接的網(wǎng)絡(luò)中分配的IP地址登記為轉(zhuǎn)交地址���。然而����,這個(gè)方案應(yīng) 當(dāng)仍然使用例如IKE或IKEV2等等進(jìn)行目標(biāo)網(wǎng)絡(luò)中的歸屬地址的預(yù)配置(參見(jiàn)例如上面引 用的參考文獻(xiàn)#27),而以上討論的基于IPsec的解決方案進(jìn)行預(yù)配置和數(shù)據(jù)業(yè)務(wù)重定向�����。 作為參考��,如上所述�����,移動(dòng)IP通常為每個(gè)移動(dòng)節(jié)點(diǎn)分配其歸屬網(wǎng)絡(luò)上的歸屬地址�,以及標(biāo) 識(shí)該設(shè)備在網(wǎng)絡(luò)及其子網(wǎng)內(nèi)的當(dāng)前位置的轉(zhuǎn)交地址(CoA)。當(dāng)設(shè)備被移動(dòng)到不同網(wǎng)絡(luò)時(shí)����,它 接收新的轉(zhuǎn)交地址。在各種可選實(shí)施例中��,用于客戶端設(shè)備和AR之間的業(yè)務(wù)重定向的IPsec隧道不需 要是加密的隧道���,而例如如果數(shù)據(jù)分組的加密處理成為問(wèn)題�����,則它應(yīng)當(dāng)用重放保護(hù)進(jìn)行完 整性保護(hù)�。在這種情況下�,IPsec隧道能夠使用例如NULL加密算法,其中有或者沒(méi)有逐分組 認(rèn)證�。參見(jiàn)例如上面引用的 R. Glenn 和 S.Kent 的〃 The Null EncryptionAlgorithm and Its Use With IPsec “,RFC 2410�����,1998 年 11 月��。
除其它以外��,預(yù)認(rèn)證����、預(yù)配置和后續(xù)數(shù)據(jù)業(yè)務(wù)重定向的組合能夠消除高層切換對(duì) 低層切換的定時(shí)依賴(例如在移動(dòng)IP切換、VPN切換等等的情況下)����,使得甚至能夠在執(zhí)行 低層切換之前執(zhí)行高層切換。這個(gè)提供早執(zhí)行高層切換的技術(shù)允許進(jìn)行"虛擬軟切換"��, 其中移動(dòng)單元能夠在切換之前通過(guò)候選網(wǎng)絡(luò)或子網(wǎng)發(fā)送或接收分組等等。通過(guò)使用按照 優(yōu)選實(shí)施例的虛擬軟切換技術(shù)�����,可以使切換期間的通信中斷最小化至低層切換所導(dǎo)致的范 圍���,或在某些情況下���,甚至在例如低層支持CDMA軟切換的情況下消除通信中斷。在優(yōu)選實(shí)施例中�,虛擬軟切換假定能夠通過(guò)上層來(lái)控制層次2切換定時(shí),使得能 夠在開(kāi)始層次2切換之前完成預(yù)認(rèn)證和預(yù)配置����。在這點(diǎn)上,多數(shù)無(wú)線LAN卡驅(qū)動(dòng)程序?yàn)閼?yīng) 用程序提供API (應(yīng)用程序接口)來(lái)在具有不同SSID (服務(wù)設(shè)置標(biāo)識(shí)符)的多個(gè)AP中選擇 AP0如上所述�,CDMA軟切換或跨多個(gè)接口的切換能夠提供與虛擬軟切換類似的功能。 然而���,對(duì)于基本上所有類型的客戶端設(shè)備���,虛擬軟切換機(jī)制均能夠工作。因而,虛擬軟切換 機(jī)制具有根本的優(yōu)點(diǎn)���。在這點(diǎn)上�,圖5根據(jù)某些示例性和非限制性實(shí)施例示出了當(dāng)不使用高層軟切換時(shí) (參見(jiàn)上面的時(shí)線)和當(dāng)使用高層軟切換時(shí)(參見(jiàn)下面的時(shí)線)的可以發(fā)現(xiàn)的對(duì)比時(shí)序�。這 些示意時(shí)線僅用于示例性目的��,并且不應(yīng)被解釋為對(duì)各種實(shí)施例的特定定時(shí)等等的限制��。 例如��,應(yīng)當(dāng)理解���,各個(gè)步驟可以具有子步驟,并且這些子步驟不必同時(shí)進(jìn)行�����。參照上面的示例性時(shí)線,如圖所示,當(dāng)在新子網(wǎng)中檢測(cè)到新AP時(shí)(例如通過(guò)信標(biāo) 或探測(cè)響應(yīng)等等)�����,序列開(kāi)始�。接著�,開(kāi)始層次2預(yù)認(rèn)證和預(yù)配置。接著,完成層次2預(yù)認(rèn) 證和預(yù)配置���。接著�����,開(kāi)始層次2切換�����。接著�����,完成層次2切換和進(jìn)行層次2關(guān)聯(lián)��。在完成層 次2切換之后的這些延遲時(shí)間處,開(kāi)始層次3認(rèn)證和配置���。接著���,在進(jìn)一步延遲之后�����,完成 層次3認(rèn)證���。接著�,開(kāi)始層次3/層次4切換。在短時(shí)間之后,完成層次3/層次4切換��。根據(jù)這個(gè)示例性時(shí)線應(yīng)當(dāng)看出�,這個(gè)方法產(chǎn)生顯著的關(guān)鍵時(shí)間段����,在其中會(huì)發(fā)生通信延遲和 通信中斷��。參照下面的示例性時(shí)線���,如圖所示,當(dāng)在新子網(wǎng)中檢測(cè)到新AP時(shí)���,序列以類似方 式開(kāi)始����。接著�,開(kāi)始層次2和高層(即高于層次2的層次)預(yù)認(rèn)證和預(yù)配置�。除其它以外���, 高層預(yù)認(rèn)證和預(yù)配置的早啟動(dòng)能夠?qū)е聲r(shí)間節(jié)省和其它優(yōu)點(diǎn)(例如如上所述)�。接著�,完成 層次2和高層預(yù)認(rèn)證和預(yù)配置。除其它以外���,高層預(yù)認(rèn)證和預(yù)配置的早完成能夠?qū)е逻M(jìn)一 步時(shí)間節(jié)省和其它優(yōu)點(diǎn)(例如如上所述)��。再次地�����,應(yīng)當(dāng)理解���,這是示例性、示意性和非限制 性的時(shí)線���。除其它以外�����,可以在各種時(shí)間進(jìn)行層次2和高層預(yù)認(rèn)證和預(yù)配置��。接著��,開(kāi)始層 次3/層次4切換(NB 如上所示��,能夠?qū)崿F(xiàn)各種其它實(shí)施例�,這些實(shí)施例不具有早層次3和 類似切換,同時(shí)仍然獲得這里討論的其它優(yōu)點(diǎn))���。除其它以外����,層次3和類似切換的早啟動(dòng) 能夠?qū)е逻M(jìn)一步時(shí)間節(jié)省和其它優(yōu)點(diǎn)(例如如上所述)����。接著,層次3和類似切換能夠完 成����。層次3和類似切換的這種早完成能夠被用于有效提供例如虛擬軟切換(如上所述)。 除其它以外��,層次3和類似切換的早完成能夠?qū)е逻M(jìn)一步時(shí)間節(jié)省和其它優(yōu)點(diǎn)(例如如上 所述)��。接著����,如圖所示,能夠開(kāi)始層次2切換���。并且�����,在短時(shí)間段之后���,能夠完成層次2切 換。根據(jù)這個(gè)示例性時(shí)線應(yīng)當(dāng)看出�����,這個(gè)后一種方法導(dǎo)致最小關(guān)鍵時(shí)間段��。
在某些優(yōu)選實(shí)施例中���,對(duì)于基于IPsec的虛擬軟切換存在2個(gè)示例性情況����。第一 個(gè)示例性情形基于基本上使用IPsec保護(hù)來(lái)保護(hù)重定向的業(yè)務(wù)(即保護(hù)重定向期間的業(yè) 務(wù))����。第二個(gè)示例性情形基于使用IPsec保護(hù)來(lái)基本上保護(hù)所有業(yè)務(wù)(即保護(hù)重定向期間 和在移動(dòng)到新子網(wǎng)之后的業(yè)務(wù))。僅對(duì)重定向的業(yè)務(wù)使用IPsec的虛擬軟切換圖6示出了其中移動(dòng)客戶端設(shè)備在虛擬軟切換期間使用IPsec隧道進(jìn)行業(yè)務(wù)重定 向的第一示例性情形。在這個(gè)例子中���,IPsec隧道被用于切換期間的保護(hù)�,而在切換之后���,如 果需要����,可以使用另一形式的保護(hù)(例如層次2保護(hù))���,例如加密等等�。在圖6示出的例子 中����,設(shè)備的用于IPsec隧道的外部和內(nèi)部IP地址分別是當(dāng)前子網(wǎng)中的轉(zhuǎn)交地址(pCoA)和 新子網(wǎng)中的轉(zhuǎn)交地址(nCoA)。參照?qǐng)D6�,當(dāng)設(shè)備準(zhǔn)備執(zhí)行層次2切換時(shí),它應(yīng)當(dāng)在執(zhí)行層次 2切換之前刪除建立的IPsec隧道�,使得通過(guò)設(shè)備將與之關(guān)聯(lián)的新AP直接傳遞針對(duì)新IP地 址的后續(xù)數(shù)據(jù)業(yè)務(wù)。如果沒(méi)有這個(gè)操作�,送往nCoA的業(yè)務(wù)會(huì)繼續(xù)通過(guò)舊AP傳遞,即使是在 完成層次2切換之后���。另外�����,新接入路由器(nAR)應(yīng)當(dāng)防止分配給移動(dòng)設(shè)備的nCoA被未經(jīng) 授權(quán)地用于網(wǎng)絡(luò)接入�,或防止被分配給其它設(shè)備�����,即使是在刪除隧道之后����,以便避免通過(guò)重 用nCoA來(lái)進(jìn)行能夠的服務(wù)盜用。例如通過(guò)利用寬限時(shí)間段來(lái)延遲過(guò)程以清除nCoA的授權(quán) 狀態(tài)并且釋放CoA的租用����,可達(dá)到此目的。參照?qǐng)D6示出的圖解實(shí)施例���,在移動(dòng)客戶端設(shè)備只能使用當(dāng)前子網(wǎng)的點(diǎn)處�,如索 引(1)處所示�,能夠執(zhí)行高層預(yù)授權(quán)和預(yù)配置(如上所述)。接著����,如圖所示��,能夠?yàn)镮Psec 隧道(nCoA—pCoAenAR)表示的針對(duì)nCoA的重定向的業(yè)務(wù)建立IPsec隧道����。如圖所示�, 在某些使用移動(dòng)IP的實(shí)施例中,這也可以被用于移動(dòng)IP登記����。這時(shí),已經(jīng)建立了 IPsec安 全關(guān)聯(lián)��。接著��,如索引⑵處所示�����,刪除IPsec隧道并停止重定向���。這可以例如使用IKE來(lái) 進(jìn)行��。接著��,完成層次2切換�。這里,如索引(3)處所示��,移動(dòng)客戶端設(shè)備只能使用新子網(wǎng)���。 接著�����,如索引(4)處所示,在新AR和移動(dòng)客戶端之間執(zhí)行針對(duì)nCoA的直接業(yè)務(wù)�����。對(duì)所有業(yè)務(wù)使用IPsec的虛擬軟切換
圖7示出了其中虛擬軟切換對(duì)所有業(yè)務(wù)使用IPsec隧道的第二個(gè)示例性情形����。通 過(guò)這種方式,通過(guò)在切換期間���,甚至在切換之后提供IPsec隧道保護(hù)��,能夠?qū)崿F(xiàn)高層保護(hù)���。 在這個(gè)第二例子中�,設(shè)備的用于新子網(wǎng)的IPsec隧道的外部和內(nèi)部IP地址是用于新子網(wǎng)的 設(shè)備的IP地址(參見(jiàn)例如圖7示出的IPsec隧道B)�。如圖7所示,水平圓柱表示IPsec隧 道�。在虛擬軟切換期間,建立另一 IPsec隧道(例如圖7示出的交叉陰影線IPsec隧道A)�。 設(shè)備的用于IPsec隧道A的外部和內(nèi)部IP地址能夠與前一部分中描述的用于IPsec隧道 的外部和內(nèi)部IP地址相同。優(yōu)選地�����,通過(guò)在后一 IPsec隧道上運(yùn)行IKE或IKEv2來(lái)建立新 子網(wǎng)的IPsec隧道���。通過(guò)這種方式����,除其它以外�,可以實(shí)現(xiàn)的某些能夠優(yōu)點(diǎn)能夠包含(i)始 終或基本上始終能夠?yàn)橐苿?dòng)客戶端提供基于IPsec的保護(hù),從而增強(qiáng)網(wǎng)絡(luò)層安全性���;和/或 ( )轉(zhuǎn)交地址的生命周期能夠基本上與IPsec隧道的生命周期同步���。當(dāng)設(shè)備準(zhǔn)備執(zhí)行層次2切換時(shí)����,它應(yīng)當(dāng)在執(zhí)行層次2切換之前刪除后一 IPsec隧 道�����,使得能夠通過(guò)移動(dòng)設(shè)備將與之關(guān)聯(lián)的新AP直接傳遞用于傳遞針對(duì)新轉(zhuǎn)交地址的數(shù)據(jù) 業(yè)務(wù)的IPsec隧道B����。在圖7示出的圖解實(shí)施例中,在移動(dòng)客戶端設(shè)備只能通過(guò)表示為IPsec隧道 (pCoA-pCoA^pAR)的現(xiàn)有IPsec隧道使用當(dāng)前子網(wǎng)的點(diǎn)處��,如索引⑴處所示����,能夠執(zhí)行 高層預(yù)授權(quán)和預(yù)配置(如上所述)�。接著,如圖所示���,能夠如IPsec隧道AfcCoA-pCoAe nAR)所示建立IPsec隧道Α�����。這里�����,這可以涉及例如在IPsec隧道SA上使用IKE (使用nCoA 作為發(fā)起方的地址)���。接著��,如圖所示�����,能夠?yàn)镮Psec隧道BOiCoA-nCoAenAR)表示的針 對(duì)nCoA的重定向的業(yè)務(wù)建立IPsec隧道B���。如圖所示,在某些涉及移動(dòng)IP的實(shí)施例中�,這 也可以被用于移動(dòng)IP登記。這里����,移動(dòng)客戶端能夠使用當(dāng)前和新子網(wǎng)。接著����,如索引(3) 處所示,刪除IPsec隧道A并停止重定向。這可以例如使用IKE來(lái)進(jìn)行�����。接著�����,完成層次2 切換�。這里, 如索引(3)處所示���,移動(dòng)客戶端設(shè)備只能使用新子網(wǎng)����。接著���,如索引(4)處所 示,在新AR和移動(dòng)客戶端之間使用IPsec隧道B執(zhí)行針對(duì)nCoA的直接業(yè)務(wù)�����。接著�,能夠在 之后的時(shí)間點(diǎn)重復(fù)這個(gè)處理,以完成另一新接入點(diǎn)處的另一切換。切換回到前一接入點(diǎn)在移動(dòng)客戶端設(shè)備完成到目標(biāo)網(wǎng)絡(luò)的切換之后�����,可能存在客戶端設(shè)備需要切換回 到前一網(wǎng)絡(luò)的某些情況����。為了避免重新建立針對(duì)前一網(wǎng)絡(luò)的上下文,優(yōu)選地���,客戶端設(shè)備在 完成新網(wǎng)絡(luò)連接之后將前一上下文存儲(chǔ)或緩存一個(gè)時(shí)間段��。在某些優(yōu)選實(shí)施例中��,這個(gè)向 后切換能夠執(zhí)行如下·如果移動(dòng)客戶端設(shè)備緩存針對(duì)前一網(wǎng)絡(luò)的上下文以便向后切換�����,它不需要重新 執(zhí)行上下文的預(yù)配置����。例如����,它能夠建立到前一 AR的IPsec隧道����,其中將用于前一網(wǎng)絡(luò)的 緩存的IP地址指定為內(nèi)部IP地址�,而不是請(qǐng)求新IP地址。否則��,它會(huì)像最初連接時(shí)那樣 重新執(zhí)行預(yù)認(rèn)證和預(yù)配置����,并且執(zhí)行虛擬軟切換?�!?一旦當(dāng)前網(wǎng)絡(luò)中的移動(dòng)客戶端設(shè)備建立了到前一 AR的IPsec隧道�����,通過(guò)該隧道 傳遞業(yè)務(wù)���?�?蛻舳嗽O(shè)備建立到前一 AR的另一 IPsec隧道�,其中前一 IP地址被用作外部IP 地址(即如果設(shè)備仍然不具有它)���。業(yè)務(wù)將首先被放在后一隧道中,接著后一隧道將被放在 前一隧道中。當(dāng)客戶端設(shè)備準(zhǔn)備執(zhí)行層次2切換時(shí)��,它刪除前一 IPsec隧道以停止重定向��, 如上所述���。用于VPN切換的虛擬軟切換
在某些示例性應(yīng)用中�,虛擬軟切換技術(shù)能夠被應(yīng)用于VPN切換�����,其中能夠改變客 戶端設(shè)備的VPN隧道端點(diǎn)IP地址��。然而����,當(dāng)移動(dòng)IP正在VPN上運(yùn)行并且VPN隧道端點(diǎn)IP 地址是客戶端設(shè)備的歸屬地址時(shí),端點(diǎn)IP地址沒(méi)有變化��,因而能夠從VPN切換中排除這個(gè) 情形���。下面討論2個(gè)處理VPN切換的示例性方案����。在第一個(gè)示例性方案中,每個(gè)VPN信令協(xié)議能夠被設(shè)計(jì)為允許VPN客戶端更 新其端點(diǎn)IP地址��,而不重新建立針對(duì)新端點(diǎn)IP地址的新VPN����。例如,IKEV2允許重 用Diffie-Hellman指數(shù)以減少更新VPN隧道的端點(diǎn)IP地址的信令延遲��。作為參考���, Diffie-Hellman密鑰一致協(xié)議是由Diffie和Hellman在1976年開(kāi)發(fā)的眾所周知的協(xié)議�, 并且允許2個(gè)用戶在沒(méi)有任何先前秘密的情況下在非安全的介質(zhì)上建立和共享私有密鑰����。在第二個(gè)示例性方案中,能夠以和針對(duì)用于舊端點(diǎn)IP地址的VPN隧道所做的相同 的方式針對(duì)新端點(diǎn)IP地址建立另一 VPN隧道���。如果不使用虛擬軟切換機(jī)制��,則由于不能進(jìn) 行新VPN隧道的建立����,直到在客戶端設(shè)備完成L2切換到新網(wǎng)絡(luò)之后�,并且一旦L2切換完 成��,則舊VPN隧道不再可用,因此這個(gè)方案導(dǎo)致顯著的通信中斷時(shí)間段�����。相對(duì)比地���,當(dāng)使用 虛擬軟切換時(shí)����,客戶端設(shè)備能夠在它執(zhí)行到新網(wǎng)絡(luò)的L2切換之前建立新VPN隧道并使用 它��,并且它也可以同時(shí)使用舊VPN隧道����。在性能方面,這個(gè)解決方案具有顯著的優(yōu)點(diǎn)���,例如 使VPN切換期間的通信中斷最少的優(yōu)點(diǎn)��。另外�,該解決方案不需要在VPN隧道之外運(yùn)行移 動(dòng)IP�����。結(jié)果,除其它以外���,能夠減少數(shù)據(jù)分組封裝開(kāi)銷(即在虛擬軟切換的時(shí)間段期間)�。 另外����,解決方案能夠有利地避免損害安全性。圖8(A)到8(E)示出了這個(gè)第二示例性方案的示例性例子���,并且演示使用虛擬軟 切換的VPN切換的示例性序列�。在這點(diǎn)上�����,圖8(A)描述了預(yù)認(rèn)證和預(yù)配置(包含到riARW IPsec隧道的建立)的第一和第二步驟(如(1)和(2)處所示)����。圖8 (B)描 述了第三步驟, 包含(如⑶處所示)通過(guò)到nAR的IPsec隧道建立新VPN(nVPN)隧道�。圖8 (C)描述了 第四步驟(如(4)、(4')處所示),包含刪除舊VPN隧道(在需要的情況下����,可以包含執(zhí)行 內(nèi)部移動(dòng)綁定更新)。圖8(D)描述了用于切換到新子網(wǎng)的第五和第六步驟��,如(5)處所示�, 包含刪除到nAR的IPsec隧道�,并且如(6)處所示,包含切換pAR到nAR��。并且���,圖8(E)描 述了表示VPN切換的完成的最終階段��。優(yōu)選實(shí)施例的各種應(yīng)用根據(jù)本發(fā)明應(yīng)當(dāng)理解�,能夠在各種環(huán)境和應(yīng)用中使用優(yōu)選實(shí)施例的一或多個(gè)方 面�����。例如�����,能夠在任何類型的無(wú)線應(yīng)用切換環(huán)境中使用一或多個(gè)方面�,在該環(huán)境中�,移動(dòng)設(shè) 備能夠獲得新網(wǎng)絡(luò)地址(例如IP地址或轉(zhuǎn)交地址)和針對(duì)新網(wǎng)絡(luò)或子網(wǎng)的新高層上下文�����, 同時(shí)移動(dòng)設(shè)備與當(dāng)前網(wǎng)絡(luò)或子網(wǎng)通信(例如位于當(dāng)前網(wǎng)絡(luò)或子網(wǎng)內(nèi))�����。例如����,能夠在任何適當(dāng)?shù)膽?yīng)用中使用虛擬軟切換,例如在無(wú)線因特網(wǎng)服務(wù)提供商 (WISP)環(huán)境��、VPN環(huán)境�����、移動(dòng)IP環(huán)境��、IP電話(VoIP)環(huán)境等等中����。例如,圖10(A)示出了 示例性移動(dòng)IP環(huán)境,其中當(dāng)移動(dòng)節(jié)點(diǎn)從其歸屬網(wǎng)絡(luò)移動(dòng)到外部網(wǎng)絡(luò)并且獲得該外部網(wǎng)絡(luò) 的新CoA時(shí)����,能夠使用虛擬軟切換和/或本發(fā)明的其它原理。作為另一例子�����,圖10(B)示出 了示例性會(huì)話發(fā)起協(xié)議(SIP)IP電話(VoIP)環(huán)境���,其中當(dāng)客戶端移動(dòng)到外部網(wǎng)絡(luò)并且獲得 新CoA時(shí),能夠使用虛擬軟切換和/或本發(fā)明的其它原理�。通過(guò)這種方式,除其它以外�,能 夠使與這些切換相關(guān)的延遲最小。例如參見(jiàn)Wireless and the Mobile Internet, S. Dixit 和 R. Prasad����,Artech House Publishers,2003���,362 頁(yè)(“與[SIP]相關(guān)的延遲會(huì)包括若干因素����,例如由于...移動(dòng)站的IP地址獲得導(dǎo)致的延遲"),這里參考引用了全部所述公開(kāi)內(nèi)容�。本發(fā)明的范圍 雖然這里描述了本發(fā)明的圖解實(shí)施例,然而本發(fā)明不局限于這里描述的各種優(yōu)選 實(shí)施例��,本發(fā)明包含本領(lǐng)域技術(shù)人員根據(jù)本發(fā)明能夠理解的具有等同要素�、修改、省略�、組 合(例如各個(gè)實(shí)施例的各方面的組合)、調(diào)整和/或變化的任何實(shí)施例���。權(quán)利要求中的限 定應(yīng)當(dāng)根據(jù)權(quán)利要求中使用的語(yǔ)言作出寬泛的解釋�,并且不限于在當(dāng)前說(shuō)明書中或在申請(qǐng) 的審理期間描述的例子��,這些例子應(yīng)被解釋為非排它性的�����。例如�,在本公開(kāi)中,術(shù)語(yǔ)"優(yōu)選 地"是非排它性的����,并且表示"優(yōu)選地,但不局限于"�。在本公開(kāi)中���,以及在本申請(qǐng)的審理 期間,僅在對(duì)于特定權(quán)利要求限定�����,該限定中出現(xiàn)所有以下條件的情況下使用裝置加功能 或步驟加功能的限定a)清楚地記載"用于...的裝置"或"用于...的步驟"����;b)清楚 地記載相應(yīng)功能;和c)未記載結(jié)構(gòu)�����、材料或支持該結(jié)構(gòu)的操作�����。在本公開(kāi)中����,以及在本申 請(qǐng)的審理期間���,術(shù)語(yǔ)"本發(fā)明"或"發(fā)明"可以被用作對(duì)本公開(kāi)內(nèi)一或多個(gè)方面的引用��。 本發(fā)明或發(fā)明的表述不應(yīng)被不適當(dāng)?shù)亟忉尀殛P(guān)鍵程度的標(biāo)識(shí)�,不應(yīng)被不適當(dāng)?shù)亟忉尀檫m用 于所有方面或?qū)嵤├?即應(yīng)當(dāng)理解,本發(fā)明具有若干方面和實(shí)施例)���,并且不應(yīng)被不適當(dāng)?shù)?解釋為限制申請(qǐng)或權(quán)利要求的范圍����。在本公開(kāi)中��,以及在本申請(qǐng)的審理期間��,術(shù)語(yǔ)"實(shí)施 例"能夠用于描述本發(fā)明的任何方面��、特性��、過(guò)程或步驟��、其任何組合���、和/或其任何部分����、 等等����。在某些例子中����,各個(gè)實(shí)施例可以包含重疊特性��。在本公開(kāi)中���,可以使用以下簡(jiǎn)稱“ 例如〃表示〃例如〃�����,“NB"表示〃注意"�。
權(quán)利要求
一種方法�����,包括當(dāng)移動(dòng)站處于當(dāng)前子網(wǎng)時(shí)解析新子網(wǎng)中的接入點(diǎn)的IP地址���;和使用所述IP地址獲得針對(duì)移動(dòng)站的預(yù)認(rèn)證,以通過(guò)當(dāng)前和新子網(wǎng)工作����。
2.如權(quán)利要求1所述的方法����,其中所述解析包含IP地址的動(dòng)態(tài)解析�。
3.如權(quán)利要求2所述的方法,其中動(dòng)態(tài)解析包含使接入點(diǎn)信標(biāo)或探測(cè)響應(yīng)包含IP地址�����。
4.如權(quán)利要求2所述的方法��,其中動(dòng)態(tài)解析包含使用CARD機(jī)制進(jìn)行動(dòng)態(tài)解析�����。
5.如權(quán)利要求1所述的方法�����,其中所述解析包含IP地址的靜態(tài)解析��。
6.如權(quán)利要求5所述的方法����,其中所述靜態(tài)解析包含使用DHCP傳遞至少一個(gè)鄰近AP 的MAC地址和IP地址對(duì)的列表。
7.如權(quán)利要求5所述的方法�,其中所述靜態(tài)解析包含使用EAP-TLV傳遞至少一個(gè)鄰近 接入點(diǎn)的MAC地址和IP地址對(duì)的列表�。
8.如權(quán)利要求1所述的方法��,其中新子網(wǎng)中的所述接入點(diǎn)不支持高層預(yù)認(rèn)證��,并且通 過(guò)委托代理與移動(dòng)站通信��,所述IP地址是所述委托代理的��。
9.如權(quán)利要求8所述的方法�����,其中委托代理使用移動(dòng)站的MAC地址����。
10.如權(quán)利要求8所述的方法,其中新子網(wǎng)中的所述接入點(diǎn)通過(guò)委托代理向移動(dòng)站傳 送 IEEE 802. IX 中貞�。
11.如權(quán)利要求8所述的方法,其中在高層分組的有效負(fù)載中傳遞移動(dòng)站的MAC地址��。
12.如權(quán)利要求1所述的方法��,其中新子網(wǎng)中的所述接入點(diǎn)支持高層預(yù)認(rèn)證并且與移動(dòng)站通信�����。
13.如權(quán)利要求12所述的方法����,其中新子網(wǎng)中的所述接入點(diǎn)通過(guò)使用傳遞802.IX幀的 高層協(xié)議與移動(dòng)遠(yuǎn)程站點(diǎn)通信。
14.如權(quán)利要求13所述的方法���,還包含傳遞802.IX幀和保持EAP消息的順序不變����。
15.如權(quán)利要求13所述的方法���,還包含使用PANA傳遞EAP消息���。
16.如權(quán)利要求13所述的方法,還包含使用IKEv2傳遞EAP消息���。
17.如權(quán)利要求13所述的方法�����,還包含使用新定義的協(xié)議通過(guò)可靠傳送來(lái)傳遞802.IX幀����。
18.如權(quán)利要求17所述的方法,其中該可靠傳送使用TCP�����。
19.一種方法�,包括通過(guò)根據(jù)高層預(yù)認(rèn)證在切換之前預(yù)先建立高層上下文來(lái)減少移動(dòng) 站的切換延遲,還包含使用單個(gè)高層認(rèn)證協(xié)議預(yù)先建立多個(gè)高層上下文����。
20.如權(quán)利要求19所述的方法,還包含使用IKE或IKEv2預(yù)先建立多個(gè)高層上下文��。
21.如權(quán)利要求19所述的方法��,還包含使用PANA和IKE或IKEv2預(yù)先建立多個(gè)高層上 下文����。
22.一種方法,包括通過(guò)根據(jù)高層預(yù)認(rèn)證在切換之前預(yù)先建立高層上下文來(lái)減少移動(dòng) 站的切換延遲��,還包含在移動(dòng)站和新子網(wǎng)中的接入點(diǎn)之間建立IPsec隧道����,以將針對(duì)移動(dòng) 站的預(yù)配置IP地址的業(yè)務(wù)重定向到當(dāng)前連接的子網(wǎng)。
23.一種用于以最少的中斷和保持的安全性在不同接入網(wǎng)絡(luò)的接入點(diǎn)之間執(zhí)行移動(dòng)站 的切換的方法,包括在切換之前預(yù)先建立移動(dòng)站的高層上下文��,并且安全地將來(lái)自或送往 預(yù)先確定的IP地址的業(yè)務(wù)重定向到新接入網(wǎng)絡(luò)���,還包含在移動(dòng)站和新接入網(wǎng)絡(luò)中的接入路由器之間建立IPsec隧道,其中IPsec隧道內(nèi)部地址被綁定到預(yù)先確定的IP地址���。
24.一種用于以最少的中斷和保持的安全性在不同接入網(wǎng)絡(luò)的接入點(diǎn)之間執(zhí)行移動(dòng)站 的切換的方法����,包括在切換之前預(yù)先建立移動(dòng)站的高層上下文���,并且安全地將來(lái)自或送往 預(yù)先確定的IP地址的業(yè)務(wù)重定向到新接入網(wǎng)絡(luò)���,其中新接入網(wǎng)絡(luò)中的接入路由器被用作 臨時(shí)歸屬代理,其中客戶端設(shè)備在該臨時(shí)歸屬代理上將其預(yù)先確定的IP地址登記為歸屬 地址��,并且將物理連接的網(wǎng)絡(luò)中分配的IP地址登記為轉(zhuǎn)交地址�。
25.一種方法,包括通過(guò)允許移動(dòng)設(shè)備在切換之前針對(duì)所述接入點(diǎn)中的新接入點(diǎn)發(fā) 送和接收分組�����,在鄰近網(wǎng)絡(luò)或子網(wǎng)中的接入點(diǎn)之間執(zhí)行移動(dòng)設(shè)備的虛擬軟切換,以使通信 中斷最少����,還包含通過(guò)高層來(lái)控制層次2切換定時(shí),使得能夠在開(kāi)始層次2切換之前完成預(yù) 認(rèn)證和預(yù)配置�。
26.一種方法,包括通過(guò)允許移動(dòng)設(shè)備在切換之前針對(duì)所述接入點(diǎn)中的新接入點(diǎn)發(fā) 送和接收分組��,在鄰近網(wǎng)絡(luò)或子網(wǎng)中的接入點(diǎn)之間執(zhí)行移動(dòng)設(shè)備的虛擬軟切換���,以使通信 中斷最少���,還包含在虛擬軟切換期間使用IPsec隧道進(jìn)行業(yè)務(wù)重定向,其中設(shè)備的用于 IPsec隧道的外部和內(nèi)部IP地址分別是當(dāng)前子網(wǎng)中的轉(zhuǎn)交地址和新子網(wǎng)中的轉(zhuǎn)交地址�����。
27.如權(quán)利要求26所述的方法�����,還包含在執(zhí)行層次2切換之前刪除建立的IPsec隧道��。
28.一種方法�����,包括通過(guò)允許移動(dòng)設(shè)備在切換之前針對(duì)所述接入點(diǎn)中的新接入點(diǎn)發(fā) 送和接收分組,在鄰近網(wǎng)絡(luò)或子網(wǎng)中的接入點(diǎn)之間執(zhí)行移動(dòng)設(shè)備的虛擬軟切換�,以使通信 中斷最少,還包含對(duì)所有業(yè)務(wù)使用IPsec隧道���。
29.如權(quán)利要求28所述的方法,還包含在執(zhí)行層次2切換之前刪除建立的IPsec隧道�。
全文摘要
在某些圖解實(shí)施例中,提供了新穎的系統(tǒng)和方法�����,其能夠例如擴(kuò)展預(yù)認(rèn)證(例如IEEE 802.11i預(yù)認(rèn)證)的構(gòu)思以跨越網(wǎng)絡(luò)或子網(wǎng)(例如IP子網(wǎng))進(jìn)行操作����。在優(yōu)選實(shí)施例中,新穎的體系結(jié)構(gòu)包含2個(gè)能夠大大改進(jìn)例如高層切換性能的新機(jī)制中的一個(gè)或兩個(gè)�����。第一個(gè)機(jī)制被稱為″預(yù)配置″�����,其允許移動(dòng)設(shè)備預(yù)配置候選IP子網(wǎng)中有效的高層信息以進(jìn)行切換。第二個(gè)機(jī)制被稱為″虛擬軟切換″�,其允許移動(dòng)站甚至在其實(shí)際執(zhí)行到任何候選IP子網(wǎng)的切換之前通過(guò)候選IP子網(wǎng)發(fā)送或接收分組。
文檔編號(hào)H04W80/04GK101848508SQ20101018421
公開(kāi)日2010年9月29日 申請(qǐng)日期2005年1月21日 優(yōu)先權(quán)日2004年1月22日
發(fā)明者大場(chǎng)義洋, 馬場(chǎng)伸一 申請(qǐng)人:株式會(huì)社東芝;特爾科迪亞科技公司