專利名稱:以用戶特定的方式強制代理移動ip(pmip)代替客戶端移動ip(cmip)的制作方法
以用戶特定的方式強制代理移動
IP ( PMIP )代替客戶端移動IP ( CMIP )
本發(fā)明涉及用于尤其在WiMax網(wǎng)絡(luò)中以用戶特定的方式激活基 于網(wǎng)絡(luò)的移動性管理的方法和鑒權(quán)服務(wù)器。
利用TCP/IP協(xié)議的因特網(wǎng)為開發(fā)移動領(lǐng)域的更高協(xié)議而提供平 臺���。因為因特網(wǎng)協(xié)議廣泛普及��,所以可以利用用于移動環(huán)境的相應(yīng)協(xié) 議擴展來開辟廣大的用戶圈�。但常規(guī)的因特網(wǎng)協(xié)議最初并非針對移動 應(yīng)用被構(gòu)思的�。在常規(guī)因特網(wǎng)的分組交換中,所述分組在固定的計算 機之間被交換�����,所述固定的計算機既不改變其網(wǎng)絡(luò)地址���,又不在不同 的子網(wǎng)之間移動����。在具有移動計算機的無線電網(wǎng)絡(luò)中�,移動計算機MS 經(jīng)常被內(nèi)連到不同的網(wǎng)絡(luò)中。DHCP(動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol))允許借助相應(yīng)的服務(wù)器將IP地址和其它配置 參數(shù)動態(tài)地分配給網(wǎng)絡(luò)中的計算機����。內(nèi)連到網(wǎng)絡(luò)中的計算機通過DHCP 協(xié)議自動地被分配得到自由的IP地址�����。如果移動計算機已安裝了 DHCP ����,則該移動計算機只須進入通過DHCP協(xié)議支持配置的本地網(wǎng)絡(luò) 的有效范圍內(nèi)���。在DHCP協(xié)議情況下����,動態(tài)的地址分配是可能的��,也就 是說�����,對于確定的時間���,自由的IP地址自動地被分配�����。在經(jīng)過所述時 間之后��,必須由移動計算機重新提出詢問或者可以以其它方式分配IP 地址���。
利用DHCP,移動計算機在無需手動配置的情況下可以被內(nèi)連到網(wǎng) 絡(luò)中��。作為前提條件,僅僅DHCP服務(wù)器必須可供使用���。因此移動計算 機可以使用本地網(wǎng)絡(luò)服務(wù)并且例如可使用在中央所存儲的文件�����。但如 果移動計算機自身提供服務(wù)����,則潛在的服務(wù)用戶不能找到該移動計算 機�����,因為該移動計算機的IP地址在該移動計算機所內(nèi)連到的每個網(wǎng)絡(luò) 中都發(fā)生變化�����。如果IP地址在已有的TCP連接期間改變,則同樣的情 況發(fā)生�����。這導致連接中斷�。因此在移動IP的情況下,移動計算機被分 配得到該移動計算機也保留在另一網(wǎng)絡(luò)中的IP地址�,在常規(guī)的IP網(wǎng)絡(luò) 轉(zhuǎn)變的情況下,需要相應(yīng)地匹配IP地址設(shè)定���。但在終端設(shè)備上的IP和 路由配置的持續(xù)匹配幾乎無法手動實現(xiàn)��。在常規(guī)的自動配置機制情況 下����,已有的連接在IP地址轉(zhuǎn)變時被中斷���。MIP協(xié)i義(RFC 2002��、 RFC2977��、 RFC 3344��、 RFC 3846����、 RFC 3957、 RFC 3775����、 RFC 3776、 RFC 4285)支持移動終端設(shè)備的移動性��。在常規(guī)的IP協(xié)議的情況下�����,移動 終端設(shè)備在每次轉(zhuǎn)變IP子網(wǎng)時必須匹配其IP地址�����,以便正確地對向移 動終端設(shè)備尋址的數(shù)據(jù)分組進行路由�。為了維持已有的TCP連接����,移 動終端設(shè)備必須保持其IP地址,因為地址轉(zhuǎn)變導致連接中斷��。MIP協(xié) 議通過允許移動終端設(shè)備或移動節(jié)點(MN)具有兩個IP地址而消除這 種沖突。MIP協(xié)i義可以實現(xiàn)在兩個地址�����、即永久歸屬地址 (Home-Adresse )和第二臨時轉(zhuǎn)交地址(Care-of-Adresse )之間的透 明連接��。轉(zhuǎn)交地址是IP地址�,其中在該IP地址下,移動終端設(shè)備當前 是可達的�����。
只要移動終端設(shè)備不停留在最初的歸屬網(wǎng)絡(luò)中�,則歸屬代理 (Home Agent)是移動終端設(shè)備的代理(Stellvertreter )。歸屬代理 持續(xù)地被通知關(guān)于移動計算機的當前停留位置�。歸屬代理通常是移動 終端設(shè)備的歸屬網(wǎng)絡(luò)中的路由器的組件。如果移動終端設(shè)備處于歸屬 網(wǎng)絡(luò)之外�,則歸屬代理提供一種功能,以便移動終端設(shè)備可以登錄����。 于是歸屬代理將向移動終端設(shè)備尋址的數(shù)據(jù)分組轉(zhuǎn)發(fā)至移動終端設(shè)備 的當前子網(wǎng)中。
外部代理(Foreign Agent)處于子網(wǎng)中�����,其中所述移動終端設(shè)備 在所述子網(wǎng)中移動。外部代理將到達的數(shù)據(jù)分組轉(zhuǎn)發(fā)至移動終端設(shè)備 或移動計算機��。外部代理處于所謂的外部網(wǎng)絡(luò)(受訪網(wǎng)絡(luò)(Visited Network))中����。外部代理同樣通常是路由器的組件。外部代理在移動 終端設(shè)備與其歸屬代理之間路由所有管理性移動數(shù)據(jù)分組�����。外部代理 對由歸屬代理以隧道方式(getunnelt)所發(fā)送的IP數(shù)據(jù)分組進行解包�, 并將其數(shù)據(jù)轉(zhuǎn)發(fā)至移動終端設(shè)備。
移動終端設(shè)備的歸屬地址是以下地址����,其中所述移動終端設(shè)備在 該地址下永久可達。歸屬地址具有與歸屬代理相同的地址前綴�。轉(zhuǎn)交 地址是移動終端設(shè)備在外部網(wǎng)絡(luò)中所使用的該IP地址��。
歸屬代理維護所謂的移動性綁定表(MBT: Mobility Binding Table)����。所述表中的項用于相互分配移動終端設(shè)備的兩個地址、即歸 屬地址和轉(zhuǎn)交地址��,并相應(yīng)地轉(zhuǎn)移數(shù)據(jù)分組。MBT表含有關(guān)于歸屬地 址��、轉(zhuǎn)交地址的項和關(guān)于所述分配有效的時間間隔(壽命)的說明����。 圖l示出根據(jù)現(xiàn)有技術(shù)的移動性綁定表的實例。5外部代理(FA)含有訪客列表(VL: Visitor List)�����,該訪客列表 含有關(guān)于恰好處于外部代理的1P網(wǎng)絡(luò)中的移動終端設(shè)備的信息����。圖2示 出根據(jù)現(xiàn)有技術(shù)的這種訪客列表的實例,
為了可以將移動計算機內(nèi)連到網(wǎng)絡(luò)中�����,所述移動計算機必須首先 設(shè)法知道所述移動計算機是處于其歸屬網(wǎng)絡(luò)中還是外部網(wǎng)絡(luò)中���。移 動終端設(shè)備還必須設(shè)法知道子網(wǎng)中的哪個計算機是歸屬代理或外部代 理����。這些信息通過所謂的代理發(fā)現(xiàn)(Agent Discovery )來確定�����。
通過隨后的注冊,移動終端設(shè)備可以將其當前所在地通知給其歸 屬代理����。為此,移動計算機或移動終端設(shè)備將當前的轉(zhuǎn)交地址發(fā)送給 歸屬代理���。為了注冊����,移動計算機將注冊請求(Registration-Request) 發(fā)送至歸屬代理���。歸屬代理(HA)將轉(zhuǎn)交地址記錄到其列表中�,并利 用注冊應(yīng)答(Registration Reply)來應(yīng)答����。但在這種情況下產(chǎn)生安全 問題。因為原則上每個計算機都可以向歸屬代理發(fā)送注冊請求���,所以 可以以簡單的方式給歸屬代理假象計算機已移動到另一網(wǎng)絡(luò)中。因 此外部計算機可能會在發(fā)送器不知情的情況下接受移動計算機或移動
終端設(shè)備的所有數(shù)據(jù)分組�����。為了防止這一點,移動計算機和歸屬代理 具有公共秘密密鑰����。如果移動計算機返回到其歸屬網(wǎng)絡(luò)中,則該移動 計算機在歸屬代理處注銷�,因為移動計算機從現(xiàn)在起可以自身接受所 有的數(shù)據(jù)分組。移動無線電網(wǎng)絡(luò)此外必須具有如下安全性特性���。只允 許針對所希望的通信方訪問信息����,也就是說�,所不希望的竊聽者不允 許訪問所傳輸?shù)臄?shù)據(jù)。因此移動無線電網(wǎng)絡(luò)必須具有機密性 (Confidentiality)特性��。此外必須存在真實性��。真實性(Authenticity) 允許通信方毫無疑問地確定���,是否實際上建立了與所希望的通信方的 通信�����,或者是否外部方冒充通信方�。可以對每個消息或每個連接執(zhí)行 鑒權(quán)�。如果基于連接被鑒權(quán),則在通信方開始會話(Session)時只被 識別一次����。于是對于會話的繼續(xù)過程來說認為,隨后的消息繼續(xù)來自 于相應(yīng)的發(fā)送器����。即使通信方的標識(Identitat)確定了,也就是說����, 通信方被鑒權(quán),也可能出現(xiàn)以下情況該通信方不允許訪問所有的資 源或者不允許使用所有關(guān)于網(wǎng)絡(luò)的服務(wù)����。在這種情況下,相應(yīng)的授權(quán) 以先前對通信方的鑒權(quán)為前提����。
在移動數(shù)據(jù)網(wǎng)絡(luò)的情況下,消息必須經(jīng)由空中接口經(jīng)過較長的路 段����,并且因此對于潛在的攻擊者來說是輕易可達的。因此在移動的和無線的數(shù)據(jù)網(wǎng)絡(luò)的情況下���,安全性方面起特殊的作用���。用于提高數(shù)據(jù) 網(wǎng)絡(luò)中的安全性的重要手段是加密技術(shù)。通過加密能夠經(jīng)由不安全的 通信通路�、例如經(jīng)由空中接口傳輸數(shù)據(jù),而不使未被授權(quán)的第三方訪
問數(shù)據(jù)�����。為了加密�,數(shù)據(jù)、即所謂的明碼文本(Klartext)借助于加密 算法被轉(zhuǎn)換成密碼文本�����。經(jīng)加密的文本可以經(jīng)由不安全的數(shù)據(jù)傳輸信 道傳輸并且接著被解密或譯解�。
作為大有希望的無線接入技術(shù),建議WiMax (全球微波接入互操 作性)作為新標準���,該新標準為無線電傳輸而使用IEEE 802.16�。在 WiMax的情況下,利用發(fā)送站應(yīng)該將超過每秒100Mbit的數(shù)據(jù)速率供應(yīng) 給高達50km的范圍��。
圖3示出WiMax無線電網(wǎng)絡(luò)的參考模型����。移動終端設(shè)備MS位于接 入網(wǎng)絡(luò)(ASN:接入服務(wù)網(wǎng)絡(luò)(Access Serving Network))的范圍內(nèi)。 接入網(wǎng)絡(luò)ASN通過至少一個受訪網(wǎng)絡(luò)(受訪連接性服務(wù)網(wǎng)絡(luò)VCSN
(Visited Connectivity Service Network ))或中間網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò) HCSN (歸屬連接性服務(wù)網(wǎng)絡(luò)(Home Connectivity Service Network)) 相連接���。不同的網(wǎng)絡(luò)通過接口或參考點R相互連接��。移動站MS的歸屬 代理HA位于歸屬網(wǎng)絡(luò)HCSN中或者受訪網(wǎng)絡(luò)VCSN之一 中�����。
WiMax支持移動IP的兩種實現(xiàn)變型方案所謂的客戶端MIP
(CMIP)和代理MIP (PMIP)�,其中在所述客戶端MIP中�,移動站
自身實現(xiàn)MIP客戶端功能,在所述代理MIP中�����,MIP客戶端功能通過 WiMax接入網(wǎng)絡(luò)來實現(xiàn)���。為此設(shè)置在ASN中的功能性稱為代理移動節(jié) 點(PMN�, Proxy Mobile Node)或PMIP客戶端。由此還可以利用本身 不支持MIP的移動站來使用MIP ����。
圖4示出根據(jù)現(xiàn)有技術(shù)在歸屬代理處于受訪網(wǎng)絡(luò)中時在代理MIP
(PMIP)情況下的連接建立����。
當在移動終端設(shè)備和基站之間建立無線電連接之后,首先進行接 入鑒權(quán)��。鑒權(quán)����、授權(quán)和計賬的功能借助于所謂的AAA服務(wù)器(AAA: 鑒權(quán)、授權(quán)和計費)來實現(xiàn)���。在移動終端設(shè)備MS和歸屬網(wǎng)絡(luò)的AAA服 務(wù)器(HAAA)之間交換鑒權(quán)消息���,借助于所述鑒權(quán)消息得到歸屬代理 的地址和鑒權(quán)密鑰。歸屬網(wǎng)絡(luò)中的鑒權(quán)服務(wù)器含有用戶的配置文件數(shù) 據(jù)(Profildaten ) �����。 AAA服務(wù)器獲得鑒權(quán)詢問消息,所述鑒權(quán)詢問消息 含有移動終端設(shè)備的用戶標識�。在接入鑒權(quán)成功之后,AAA服務(wù)器產(chǎn)生MSK密鑰(MSK:主會話密鑰(Master Session Key ))用于保護移 動終端設(shè)備MS和接入網(wǎng)絡(luò)ASN的基站之間的數(shù)據(jù)傳輸路段����。所述MSK 密鑰從歸屬網(wǎng)絡(luò)的AAA服務(wù)器通過中間網(wǎng)絡(luò)CSN被傳輸至接入網(wǎng)絡(luò) ASN。
如在圖4中可見���,在接入鑒權(quán)之后配置接入網(wǎng)絡(luò)ASN中的DHCP代 理服務(wù)器�����。如果IP地址和主機配置已經(jīng)包含在AAA應(yīng)答消息中�����,則將 整個信息下載到DHCP代理服務(wù)器中�����。
在成功鑒權(quán)和授權(quán)之后��,移動站或移動終端設(shè)備MS發(fā)送DHCP發(fā) 現(xiàn)消息并進行IP地址分配�。
如果移動終端設(shè)備被內(nèi)連到網(wǎng)絡(luò)中�,那么該移動終端設(shè)備可能能 夠設(shè)法知道該移動終端設(shè)備是位于歸屬網(wǎng)絡(luò)中還是外部網(wǎng)絡(luò)中����。另外 該移動終端設(shè)備必須設(shè)法知道在相應(yīng)網(wǎng)絡(luò)中哪個計算機是歸屬代理或 外部代理�。這些信息通過所謂的代理發(fā)現(xiàn)(Agent Discovery)來確定。 存在兩種類型的代理發(fā)現(xiàn)���、也即所謂的代理通告(Agent Advertisement) 和代理征求(Agent Solicitation )���。
在所述代理通告的情況下���,代理���、也即歸屬或外部代理周期性地 向子網(wǎng)的所有計算機或移動終端設(shè)備發(fā)送廣播消息。因此����,在某一時 間段內(nèi)偵聽所述廣播消息的每個計算機都可以對相應(yīng)子網(wǎng)中的代理進 4亍識別。
如果移動終端設(shè)備被新激活�����,那么該移動終端設(shè)備通常實際上不 等待下一代理通告���。該移動終端設(shè)備必須立即知道它正好位于哪個子 網(wǎng)中����。在所謂的代理征求的情況下,移動終端設(shè)備從而向相應(yīng)子網(wǎng)的 所有計算機發(fā)送邀請來執(zhí)行代理通告��。該移動終端設(shè)備可以通過代理 征求來強迫該代理立即知道��,使得等待時間大大縮短����。即使代理通告 比如在分組丟失或網(wǎng)絡(luò)轉(zhuǎn)變的情況下沒有出現(xiàn),代理征求也被執(zhí)行�����。 借助所述代理發(fā)現(xiàn)����,移動終端設(shè)備也可以確定該移動終端設(shè)備是否 位于其歸屬網(wǎng)絡(luò)中或者位于外部網(wǎng)絡(luò)中。借助在代理通告消息內(nèi)的分 組信息��,該移動終端設(shè)備來識別其歸屬代理����。如果移動終端設(shè)備從外 部網(wǎng)絡(luò)收到消息分組���,那么該移動終端設(shè)備附加地可以確定其所在地 自最后的通告以來是否已經(jīng)變化了 。如果該移動終端設(shè)備未接收到通 告消息���,那么該移動終端設(shè)備首先假定該移動終端設(shè)備位于歸屬網(wǎng) 絡(luò)中并且該歸屬代理受到干擾�����。于是該移動終端設(shè)備嘗試與網(wǎng)絡(luò)的路由器建立聯(lián)系��,用以確認這種假定�。如果該移動終端設(shè)備沒有位于其
歸屬網(wǎng)絡(luò)中���,那么于是嘗試到達DHCP服務(wù)器并獲得子網(wǎng)的地址。如 果這成功了��,那么該移動終端設(shè)備把該地址用作所謂的共同定位
(Colocated)轉(zhuǎn)交地址���,并且與該歸屬代理建立聯(lián)系���。該共同定位轉(zhuǎn) 交地址是在外部網(wǎng)絡(luò)中分配給該移動終端設(shè)備的地址,其中該地址也 被傳輸?shù)剿鰵w屬代理����。
在基于網(wǎng)絡(luò)的移動性管理(PMIP)與基于終端設(shè)備的移動性管理
(CMIP)之間進行區(qū)分���。在基于終端設(shè)備的移動性管理CMIP中,該 終端設(shè)備支持移動IP (MIP)����。
圖4示出在常規(guī)的基于網(wǎng)絡(luò)的移動性管理(PMIP)情況下的連接 建立,而圖5示出在常規(guī)的基于終端設(shè)備的移動性管理(CMIP)情況 下的連接建立�。
當在移動終端設(shè)備與網(wǎng)絡(luò)之間建立連接時,歸屬網(wǎng)絡(luò)的鑒權(quán)服務(wù) 器(H-AAA )在該用戶的鑒權(quán)成功之后發(fā)送鑒權(quán)確認消息(SUCCESS )���。 該鑒權(quán)確認消息向鑒權(quán)客戶端通知該用戶的鑒權(quán)已成功結(jié)束����。在代 理MIP或基于網(wǎng)絡(luò)的移動性管理(PMIP)的情況下�,移動終端設(shè)備 不支持移動IP,或者相應(yīng)的MIP軟件在該移動終端設(shè)備中未被激活����。 與此相反,在客戶端MIP(CMIP)或在基于終端設(shè)備的移動性管理的情 況下��,相應(yīng)的終端設(shè)備或移動站MS支持移動IP����。在代理MIP的情況 下�����,該移動終端設(shè)備僅僅識別由DHCP服務(wù)器所分配的地址�����。該移動 終端設(shè)備的轉(zhuǎn)交地址對于該移動終端設(shè)備是未知的�����,而對于PMIP客 戶端��、外部代理以及歸屬代理是已知的�����。與此相反,在客戶端MIP的 情況下�����,移動終端設(shè)備識別其兩個IP地址����,�、也即歸屬地址以及轉(zhuǎn)交 地址���。
如在圖4���、 5中可看出,在IP地址分配之后進行MIP注冊�����。在 MIP注冊時����,歸屬代理被通知關(guān)于該移動終端設(shè)備的當前所在地。為 了對其注冊�����,該移動終端設(shè)備或相應(yīng)的PMIP客戶端向歸屬代理發(fā)送 注冊請求���,其中所述注冊請求包含當前的轉(zhuǎn)交地址�。該歸屬代理把該 轉(zhuǎn)交地址記錄到由其所管理的列表中,并利用注冊應(yīng)答(Registration Reply)來應(yīng)答���。因為原則上每個計算機都可以向歸屬代理發(fā)送注冊請 求����,所以可以以筒單的方法給歸屬代理假象計算機或移動終端設(shè)備 已經(jīng)移動到另一網(wǎng)絡(luò)中��。為了避免此點���,不僅該移動終端設(shè)備�����、而且歸屬代理都具有公共秘密密鑰��、也即所謂的MIP密鑰����。
在代理MIP (PMIP)的情況下��,注冊請求MIPRRQ由接入網(wǎng)絡(luò) 中的PMIP客戶端經(jīng)由外部代理^t傳輸?shù)綒w屬代理HA����。該歸屬代理 HA可以由所屬的鑒權(quán)服務(wù)器H-AAA為用戶被分配密鑰���,并將所述密 鑰利用MIP注冊應(yīng)答(MIP Registration R印ly)來傳輸�����,如在圖4中 所示����。
在基于終端設(shè)備的移動性管理(CMIP)的情況下,注冊請求消息 (MIPRRQ )直接從移動終端設(shè)備MS經(jīng)由外部代理對準歸屬代理HA��, 如在圖5中所示���。
在基于終端設(shè)備的移動性管理(CMIP)的情況下��,必須經(jīng)由移動 終端設(shè)備MS和歸屬網(wǎng)絡(luò)的鑒權(quán)服務(wù)器H-AAA生成公共移動性密鑰用 以對移動性信令消息進行密碼保護����,其中所述公共密鑰接著對在移動 終端設(shè)備MS與歸屬代理之間的通信進行保護�。在基于網(wǎng)絡(luò)的移動性 管理PMIP的情況下,必須經(jīng)由PMIP客戶端和歸屬代理HA通過鑒 權(quán)服務(wù)器生成公共移動性密鑰����。在常規(guī)的系統(tǒng)中,只有當移動終端設(shè) 備MS不支持基于終端設(shè)備的移動性管理CMIP時,才使用基于網(wǎng)絡(luò) 的移動性管理PMIP(代理MIP)���。如果現(xiàn)在移動終端設(shè)備MS的歸屬網(wǎng) 絡(luò)與該移動終端設(shè)備相反自身不提供對MIP的支持�����,那么在移動終端 設(shè)備的MIP配置中產(chǎn)生問題�����。
因此本發(fā)明的任務(wù)在于����,提供一種方法和一種鑒權(quán)服務(wù)器��,其中 網(wǎng)絡(luò)運營商通過移動性管理在其網(wǎng)絡(luò)中獲得完全的控制��,并避免在移 動終端設(shè)備的MIP配置中的配置問題����。
根據(jù)本發(fā)明,該任務(wù)通過具有權(quán)利要求1中所說明的特征的方法 而得到解決�����。
本發(fā)明提供一種用于以用戶特定的方式激活基于網(wǎng)絡(luò)的移動性管 理(PMIP)的方法,其中如果鑒權(quán)服務(wù)器不為基于終端設(shè)備的移動性 管理(CMIP)提供公共密鑰�����,則用戶的鑒權(quán)服務(wù)器在成功鑒權(quán)該用戶 之后把鑒權(quán)確認消息(SUCCESS)發(fā)送到接入網(wǎng)絡(luò)(ASN)中的鑒權(quán) 客戶端���,其中所述鑒權(quán)確認消息(SUCCESS)包含用于激活基于網(wǎng)絡(luò) 的移動性管理(PMIP)的激活屬性(PMIP_ONLY)。
本發(fā)明方法的基本思想在于�,即使移動終端設(shè)備MS不支持基于 終端設(shè)備的移動性管理(CMIP),那么就強制進行基于網(wǎng)絡(luò)的移動性管理(PMIP)�。
由此,連接性業(yè)務(wù)網(wǎng)絡(luò)(CSN (Connectivity Service Network)) 的運營商在其網(wǎng)絡(luò)中獲得對宏移動性管理的完全控制���。
在本發(fā)明方法的一個優(yōu)選實施形式中����,鑒權(quán)服務(wù)器位于用戶的歸 屬網(wǎng)絡(luò)中�。
在本發(fā)明方法的另一優(yōu)選實施形式中,鑒權(quán)服務(wù)器把鑒權(quán)確認消 息(SUCCESS)傳輸?shù)浇尤刖W(wǎng)絡(luò)的網(wǎng)關(guān)�,其中所述網(wǎng)關(guān)包含鑒權(quán)客戶 端。
在本發(fā)明方法的一個優(yōu)選實施形式中���,激活屬性(PMIP—ONLY) 由標志構(gòu)成����,其中通過該鑒權(quán)服務(wù)器對所述標志設(shè)置。
在本發(fā)明方法的一個優(yōu)選實施形式中�����,鑒權(quán)確i^消息(SUCCESS ) 還包含MSK密鑰���、DHCP服務(wù)器地址����、歸屬代理地址和結(jié)算標識符
(cm)��。
在本發(fā)明方法的一個優(yōu)選實施形式中�����,所傳輸?shù)募せ顚傩?br>
(PMIP一ONLY)被暫存在接入網(wǎng)絡(luò)的網(wǎng)關(guān)中���,其中給相應(yīng)的激活屬性 (PMIP—ONLY)分配用戶的相應(yīng)移動終端設(shè)備(MS)��。
在本發(fā)明方法的一個優(yōu)選實施形式中����,如果所屬的被暫存的激活 屬性(PMIP_ONLY)被設(shè)置,那么鑒權(quán)客戶端促使接入網(wǎng)絡(luò)(ASN) 中的外部代理(FA)不向用戶的移動終端設(shè)備(MS)發(fā)送通告消息�, 用以使對相應(yīng)用戶的基于終端設(shè)備的移動性管理(CMIP)去活。
外部代理(FA)優(yōu)選地也不對征求消息進行應(yīng)答����。
在本發(fā)明方法的一個優(yōu)選實施形式中,如果用戶的網(wǎng)絡(luò)接入標識 不是明確的���,那么另外通過鑒權(quán)服務(wù)器設(shè)置激活屬性(PMIP_ONLY)。
在本發(fā)明方法的另 一實施形式中��,如果用戶的網(wǎng)絡(luò)接入標識(NAI) 表明該用戶的移動終端設(shè)備或該用戶的歸屬網(wǎng)絡(luò)不支持WiMax特定 的移動IP��,那么另外通過鑒權(quán)服務(wù)器設(shè)置激活屬性(PMIP—ONLY)�����。
在本發(fā)明方法的一個優(yōu)選實施形式中�����,歸屬網(wǎng)絡(luò)由3GPP網(wǎng)絡(luò)����、 3GPP2網(wǎng)絡(luò)�、WLAN網(wǎng)絡(luò)或WiMax網(wǎng)絡(luò)構(gòu)成�����。
在本發(fā)明方法的一個優(yōu)選實施形式中���,接入網(wǎng)絡(luò)(ASN)由WiMax 網(wǎng)絡(luò)構(gòu)成�。
本發(fā)明另外還提供一種用于以用戶特定的方式激活基于網(wǎng)絡(luò)的移 動性管理的鑒權(quán)服務(wù)器���,其中如果所述鑒權(quán)服務(wù)器不為基于終端設(shè)備的移動性管理(CMIP)提供公共移動性密鑰�,那么所述鑒權(quán)服務(wù)器在 成功鑒權(quán)用戶之后把鑒權(quán)確認消息(SUCCESS )發(fā)送到接入網(wǎng)絡(luò)(ASN ) 中的鑒權(quán)客戶端��,其中鑒權(quán)確認消息包含用于激活基于網(wǎng)絡(luò)的移動性 管理(PMIP)的激活屬性(PMIP—ONLY)���。
在圖4中所示的連接建立結(jié)束之后���,移動終端設(shè)備已經(jīng)獲得歸屬 地址,并且在歸屬代理處注冊���。
下面參照附圖來對本發(fā)明方法的優(yōu)選實施形式和本發(fā)明的鑒權(quán)代 理服務(wù)器進行描述用以解釋本發(fā)明重要的特征�。
圖1示出按照現(xiàn)有技術(shù)的移動性綁定表的例子�����;
圖2示出按照現(xiàn)有技術(shù)的訪客列表的例子;
圖3示出WiMax無線電網(wǎng)絡(luò)的參照網(wǎng)絡(luò)結(jié)構(gòu)���;
圖4示出在按照現(xiàn)有技術(shù)的常規(guī)網(wǎng)絡(luò)中的PMIP連接建立����;
圖5示出在按照現(xiàn)有技術(shù)的常規(guī)網(wǎng)絡(luò)中的CMIP連接建立�;
圖6示出按照本發(fā)明方法的優(yōu)選實施形式的網(wǎng)絡(luò)構(gòu)造;
圖7示出用以解釋本發(fā)明方法的可能實施形式的工作方式的流程
圖8示出表���,所述表被存儲在網(wǎng)關(guān)內(nèi)以便應(yīng)用于本發(fā)明的方法中;
圖9a��、 9b示出本發(fā)明方法的工作方式的筒如由圖6可見�����,移動終端設(shè)備1通過無線接口2與接入網(wǎng)絡(luò)4的基站3
連接�����。移動終端設(shè)備l是任意的移動終端設(shè)備��,例如膝上型電腦、PDA���、 移動電話或者其它移動終端設(shè)備�����。接入網(wǎng)絡(luò)4的基站3通過數(shù)據(jù)傳輸線 路5與接入網(wǎng)絡(luò)網(wǎng)關(guān)6連接��。在接入網(wǎng)關(guān)計算機6中優(yōu)選地集成有其它功 能性��,特別是外部代理6A��、 PMIP客戶端6B���、 AAA客戶端服務(wù)器6C和 DHCP代理服務(wù)器6D。外部代理6A是為移動終端設(shè)備1提供路由服務(wù)的 路由器��。對準移動終端設(shè)備l的數(shù)據(jù)分組以隧道方式傳輸且被外部代理 6A解包(entpacken )�����。
接入網(wǎng)絡(luò)4的網(wǎng)關(guān)6通過接口 7與中間網(wǎng)絡(luò)9的計算機8連接�����。計算機 8含有DHCP服務(wù)器8A、歸屬代理8B和AAA代理服務(wù)器8C�。如果移動終 端設(shè)備l并未處于其最初的歸屬網(wǎng)絡(luò)中,則歸屬代理8B是該移動終端設(shè) 備1的代理��。持續(xù)地將移動終端設(shè)備l的當前停留位置通知給歸屬代理 8B����。用于移動終端設(shè)備l的數(shù)據(jù)分組首先被傳輸至該歸屬代理,且從該 歸屬代理以隧道的方式轉(zhuǎn)發(fā)至外部代理6A���。相反�,由移動終端設(shè)備l發(fā)出的數(shù)據(jù)分組可以直接被發(fā)送至相應(yīng)的通信方�����。在此�,移動終端設(shè) 備l的數(shù)據(jù)分組含有作為發(fā)送方地址的歸屬地址��。歸屬地址具有與歸屬
代理8B相同的地址前綴��、即網(wǎng)絡(luò)地址和子網(wǎng)地址��。發(fā)送至移動終端設(shè) 備1的歸屬地址的數(shù)據(jù)分組被歸屬代理8B截取,并以隧道的方式從歸屬 代理8B被傳輸至移動終端設(shè)備1的轉(zhuǎn)交地址���,并且最后在隧道的端點 處�、即通過外部代理6A或移動終端設(shè)備自身接收����。
中間網(wǎng)絡(luò)9的計算機8通過另 一接口 IO與歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器 ll連接。歸屬網(wǎng)絡(luò)例如是用于UMTS的3GPP網(wǎng)絡(luò)�����。在一種替代實施形 式中�,服務(wù)器11是WLAN網(wǎng)絡(luò)的鑒權(quán)服務(wù)器。圖5中所示的鑒權(quán)服務(wù)器 ll不支持MIP注冊���。
從網(wǎng)絡(luò)運營商的觀點���,值得期望的是,總是或者以用戶特定的方 式實施基于網(wǎng)絡(luò)的移動性管理(PMIP),并在傳輸相應(yīng)的鑒權(quán)確認消 息(SUCCESS)時傳輸激活屬性���,其中所述激活屬性表明可以激活基 于網(wǎng)絡(luò)的移動性管理PMIP��。該激活屬性優(yōu)選地是標志�����,其中所述標志 通過歸屬網(wǎng)絡(luò)12中的鑒權(quán)服務(wù)器11來設(shè)置�����,并接著由鑒權(quán)服務(wù)器在 鑒權(quán)確認消息的范圍內(nèi)被發(fā)送到接入網(wǎng)絡(luò)4處的網(wǎng)關(guān)6��。從鑒權(quán)服務(wù)器 11傳輸?shù)骄W(wǎng)關(guān)6的鑒權(quán)確認消息(SUCCESS)除了激活屬性 PMIP—ONLY之外還優(yōu)選地另外包含MSK密鑰����、DHCP服務(wù)器地址和 歸屬代理地址以及比如結(jié)算標識符(Abrechnungsidentifizierer X CUI )。 如果鑒權(quán)服務(wù)器ll不能為相應(yīng)的用戶提供用于基于終端設(shè)備的移動性 管理CMIP的公共移動性密鑰��,那么以用戶特定的方式通過鑒權(quán)服務(wù) 器ll來設(shè)置激活屬性(PMIP—ONLY)�����。
在鑒權(quán)確認消息的范圍內(nèi)所傳輸?shù)募せ顚傩?PMIP—ONLY)優(yōu)選 地被暫存在路由器或接入網(wǎng)絡(luò)4的網(wǎng)關(guān)6中�����。在此�,用戶的相應(yīng)移動 終端設(shè)備MS被分配給相應(yīng)的激活屬性PMIP一ONLY�����。
圖8示意性示出表,其中在不同的移動終端設(shè)備或用戶中分別分 配所傳輸?shù)募せ顚傩訮MIP一ONLY���。在圖8中所示的表位于路由器6 的存儲器中����。在圖8中所示的例子的情況下�����,比如為移動終端設(shè)備MS1 設(shè)置激活屬性PMIP_ONLY(H)���,而不為另一移動終端設(shè)備MS2設(shè)置 激活屬性PMIP—ONLY(L)��。
在可替代的實施形式中����,如果由鑒權(quán)服務(wù)器ll所接收的���、用戶的 網(wǎng)絡(luò)接入標識符NAI不是明確的(比如user@vodafone.com)�����,那么該鑒權(quán)服務(wù)器ll另外還設(shè)置在鑒權(quán)確認消息中所包含的激活屬性���,這 比如可以通過在網(wǎng)絡(luò)運營商之間的漫游協(xié)商來確定�。在其他情況下�, 對于訪客網(wǎng)絡(luò)所已知的是,在一些歸屬網(wǎng)絡(luò)的情況下���、比如在雖然原
則上支持MIP�����、但在由WiMax所期待的擴展方案中不是確切地支持 MIP的歸屬網(wǎng)絡(luò)的情況下出現(xiàn)支持MIP方面的問題�����,使得可能出現(xiàn)互 操作性問題����。另外可能的是����,比如如果所述歸屬網(wǎng)絡(luò)距離遠或者如果 所述歸屬網(wǎng)絡(luò)不能為在受訪網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò)之間的通信提供足夠自由 的帶寬,那么在與歸屬網(wǎng)絡(luò)的通信中出現(xiàn)太長的等候時間或者過載���。 在所有這些情況下���,與確定的歸屬網(wǎng)絡(luò)是否支持MIP無關(guān)地,網(wǎng)絡(luò)運 營商可以通過本發(fā)明的方法強制相應(yīng)的配置��,使得僅使用基于網(wǎng)絡(luò)的 移動性管理PMIP��。
在本發(fā)明方法的一個實施形式中����,如果用戶的網(wǎng)絡(luò)訪問標識符 NAI表明該用戶的移動終端設(shè)備或者該用戶的歸屬網(wǎng)絡(luò)不支持 WiMax特定的MIP,那么另外還通過鑒權(quán)服務(wù)器11設(shè)置激活屬性 (PMIP_ONLY)��。
在圖6中所示的歸屬網(wǎng)絡(luò)12可以是3GPP網(wǎng)絡(luò)���、3GPP2網(wǎng)絡(luò)��、 WLAN網(wǎng)絡(luò)或者WiMax網(wǎng)絡(luò)����。
圖7示出了根據(jù)本發(fā)明在ASN網(wǎng)關(guān)6內(nèi)運行的過程的流程圖�。接 入網(wǎng)絡(luò)ASN的網(wǎng)關(guān)或路由器6包含有外部代理6A、 PMIP客戶端6B���、 鑒權(quán)客戶端6C以及DHCP代理服務(wù)器6D����。在網(wǎng)關(guān)的存儲器中存儲有 在圖8中所示的表。為每個移動終端設(shè)備MS1存儲標志或激活屬性 PMIP_ONLY����,其表明是否可以為相應(yīng)的用戶進行基于網(wǎng)絡(luò)的移動性管 理PMIP。
在步驟S1中���,路由器6檢查是否為相應(yīng)的用戶設(shè)置激活標志��。 如果情況如此����,那么在步驟S2中該路由器6不通過所屬的基站3 發(fā)送通告消息�����。接著該網(wǎng)關(guān)6等待所述網(wǎng)關(guān)是否在步驟S3中從所屬 的終端設(shè)備l接收消息��。如果該網(wǎng)關(guān)6接收到征求消息��,那么該網(wǎng)關(guān)6 不進行反應(yīng)�����,并且該過程返回到步驟S1。這意味著����,支持移動IP的移 動終端設(shè)備1沒有從接入網(wǎng)絡(luò)獲得應(yīng)答����。由此接入網(wǎng)絡(luò)4強制使用基 于網(wǎng)絡(luò)的移動性管理PMIP。
如果在步驟Sl中確定沒有為相應(yīng)的用戶設(shè)置激活屬性 PMIP ONLY,那么該網(wǎng)關(guān)6通過所擴建的無線電連接或鏈路向移動終端設(shè)備發(fā)送通告消息S4���。
在步驟S5中�,路由器6或者網(wǎng)關(guān)6檢查從移動終端設(shè)備l接收 了哪種消息�。如果所接收的消息是DHCP發(fā)現(xiàn)消息,那么存在PMIP��, 并且該過程繼續(xù)進行步驟S6���。如果該消息是PMIP注冊請求MIPRRQ�����, 那么存在CMIP�����,并且該過程繼續(xù)進行步驟S7����。在步驟S6中,PMIP 客戶端6B把注冊請求MIPRRQ傳輸?shù)酵獠看?A���。
該外部代理6A在步驟S7中把注冊請求轉(zhuǎn)發(fā)到用戶的歸屬代理����, 其中所述歸屬代理位于中間網(wǎng)絡(luò)9中或者歸屬網(wǎng)絡(luò)12中���。 在步驟S8中進行MIP注冊��,如在圖4����、 5中所示��。 圖9A�、 9B示意性示出在本發(fā)明方法中的實施方式。 ASN網(wǎng)關(guān)6在獲得激活屬性PMIP—ONLY之后不向相應(yīng)的移動終 端設(shè)備l發(fā)送通告消息,如在圖9A中所示��。
如果在圖8所示的表中所屬的激活屬性PMIP—ONLY被設(shè)置(H )����,
息進行應(yīng)答。
接入網(wǎng)絡(luò)4對于移動終端設(shè)備1或用戶如此行為���,使得好像在該 接入網(wǎng)絡(luò)4中不存在外部代理。
網(wǎng)關(guān)6的反應(yīng)是用戶特定的���。比如阻止或禁止CMIP功能的移動 IP支持僅僅不被提供給其歸屬網(wǎng)絡(luò)的用戶�,而CMIP支持被提供給使 用相同接入網(wǎng)絡(luò)4的其他用戶���。
權(quán)利要求
1.用于以用戶特定的方式激活基于網(wǎng)絡(luò)的移動性管理的方法�����,其中用戶的鑒權(quán)服務(wù)器(11)在成功鑒權(quán)用戶之后把鑒權(quán)確認消息(SUCCESS)發(fā)送到在接入網(wǎng)絡(luò)(4)中的鑒權(quán)客戶端(6C)�����,其中如果所述鑒權(quán)服務(wù)器(11)不為基于終端設(shè)備的移動性管理(CMIP)提供公共移動性密鑰���,那么所接收的鑒權(quán)確認消息(SUCCESS)包含用以激活基于網(wǎng)絡(luò)的移動性管理(PMIP)的激活屬性(PMIP_ONLY)�����。
2. 根據(jù)權(quán)利要求l所述的方法��,其中所述鑒權(quán)服務(wù)器(11)位于 用戶的歸屬網(wǎng)絡(luò)(12)中����,或者由位于中間網(wǎng)絡(luò)(12)中的鑒權(quán)代理 服務(wù)器(8C)構(gòu)成�����。
3. 根據(jù)權(quán)利要求l所述的方法�����,其中所述鑒權(quán)服務(wù)器(11)把鑒 權(quán)確認消息(SUCCESS)傳輸?shù)浇尤刖W(wǎng)絡(luò)(4)的網(wǎng)關(guān)(6)�����,其中所 述網(wǎng)關(guān)包含鑒權(quán)客戶端(6C)�����。
4. 根據(jù)權(quán)利要求2所述的方法,其中激活屬性(PMIP—ONLY) 由標志構(gòu)成�����,其中所述標志通過鑒權(quán)服務(wù)器(11)來設(shè)置��。
5. 根據(jù)權(quán)利要求1所述的方法����,其中鑒權(quán)確認消息(SUCCESS) 另外還具有MSK密鑰、DHCP服務(wù)器地址����、歸屬代理地址和結(jié)算標識 符(CUI)���。
6. 根據(jù)權(quán)利要求1所述的方法���,其中所傳輸?shù)募せ顚傩?(PMIP—ONLY)被暫存在接入網(wǎng)絡(luò)(4)的網(wǎng)關(guān)(6)中,其中用戶的相應(yīng)移動終端設(shè)備(1);故分配給相應(yīng)的激活屬性(PMIP—ONLY)��。
7. 根據(jù)權(quán)利要求6所述的方法���,其中如果所屬的被暫存的激活屬 性(PMIP一ONLY)被設(shè)置�,用以針對相應(yīng)的用戶使基于終端設(shè)備的移 動性管理(CMIP)去活,那么鑒權(quán)客戶端(6C)促使接入網(wǎng)絡(luò)(4) 中的外部代理(6A)不向用戶的移動終端設(shè)備(1)發(fā)送通告消息���。
8. 根據(jù)權(quán)利要求6所述的方法�,其中如果所屬的被暫存的激活屬 性(PMIP—ONLY)被設(shè)置��,用以針對相應(yīng)的用戶使基于終端設(shè)備的移 動性管理(CMIP)去活���,那么鑒權(quán)客戶端(6C)促使接入網(wǎng)絡(luò)(4) 中的外部代理(6A)不對用戶的移動終端設(shè)備(1)的代理征求消息進 行應(yīng)答�����。
9. 根據(jù)權(quán)利要求1所述的方法����,其中如果用戶的網(wǎng)絡(luò)接入標識符 (NAI)不是明確的��,那么此外通過鑒權(quán)服務(wù)器(11)設(shè)置激活屬性(PMIP_ONLY)�。
10. 根據(jù)權(quán)利要求1所述的方法,其中如果用戶的網(wǎng)絡(luò)接入標識 符(NAI)表明用戶的移動終端設(shè)備(1)或用戶的歸屬網(wǎng)絡(luò)(12)不 支持WiMax特定的MIP,那么此外通過鑒權(quán)服務(wù)器(11)設(shè)置激活屬 性(PMIP—ONLY)���。
11. 根據(jù)權(quán)利要求2所述的方法�,其中所述歸屬網(wǎng)絡(luò)(12)由3GPP 網(wǎng)絡(luò)����、3GPP2網(wǎng)絡(luò)��、WLAN網(wǎng)絡(luò)或WiMax網(wǎng)絡(luò)構(gòu)成��。
12. 根據(jù)權(quán)利要求1所述的方法��,其中所述接入網(wǎng)絡(luò)(4)由WiMax 網(wǎng)絡(luò)構(gòu)成��。
13. 用于以用戶特定的方式激活基于網(wǎng)絡(luò)的移動性管理的鑒權(quán)服 務(wù)器��,其中所迷鑒權(quán)服務(wù)器(11)在成功鑒權(quán)用戶之后把鑒權(quán)確認消 息(SUCCESS)發(fā)送到接入網(wǎng)絡(luò)(4)中的鑒權(quán)客戶端(6C),其中如果鑒權(quán)服務(wù)器(11)不為基于終端設(shè)備的移動性管理 (CMIP)提供公共移動性密鑰�,那么所接收的鑒權(quán)確認消息 (SUCCESS)包含用于激活基于網(wǎng)絡(luò)的移動性管理(PMIP)的激活屬 性(PMIP一ONLY)����。
14. 根據(jù)權(quán)利要求13所述的鑒權(quán)服務(wù)器,其中所述鑒權(quán)服務(wù)器(11 ) 設(shè)置在用戶的歸屬網(wǎng)絡(luò)(12)中��,或者由位于中間網(wǎng)絡(luò)(12)中的鑒 權(quán)代理服務(wù)器(8C)構(gòu)成��。
15. 根據(jù)權(quán)利要求14所述的鑒權(quán)服務(wù)器�,其中所述歸屬網(wǎng)絡(luò)(12) 是3GPP網(wǎng)絡(luò)����、3GPP2網(wǎng)絡(luò)���、WLAN網(wǎng)絡(luò)或WiMax網(wǎng)絡(luò)。
16. 根據(jù)權(quán)利要求13所述的鑒權(quán)服務(wù)器��,其中所述接入網(wǎng)絡(luò)(4) 是WiMax網(wǎng)絡(luò)����,
全文摘要
本發(fā)明涉及用于以用戶特定的方式激活基于網(wǎng)絡(luò)的移動性管理的方法以及用于以用戶特定的方式激活基于網(wǎng)絡(luò)的移動性管理的鑒權(quán)服務(wù)器。在本發(fā)明的方法中��,即使移動終端設(shè)備支持基于終端設(shè)備的移動性管理(CMIP)����,也強制進行基于網(wǎng)絡(luò)的移動性管理(PMIP)。由此網(wǎng)絡(luò)運營商在其網(wǎng)絡(luò)中獲得對移動性管理的完全控制���,并避免在移動終端設(shè)備的MIP配置中的配置問題���。在本發(fā)明的方法中,所述鑒權(quán)服務(wù)器(11)在成功鑒權(quán)用戶之后把鑒權(quán)確認消息(SUCCESS)發(fā)送到在接入網(wǎng)絡(luò)(4)中的鑒權(quán)客戶端(6C)�。在此,如果所述鑒權(quán)服務(wù)器不為基于終端設(shè)備的移動性管理(CMIP)提供公共移動性密鑰�,那么所接收的鑒權(quán)確認消息(SUCCESS)包含用以激活基于網(wǎng)絡(luò)的移動性管理(PMIP)的激活屬性(PMIP_ONLY)。
文檔編號H04L29/06GK101300814SQ200680041147
公開日2008年11月5日 申請日期2006年10月31日 優(yōu)先權(quán)日2005年11月4日
發(fā)明者C·岡瑟, D·克羅塞爾伯格, R·法爾克 申請人:西門子公司