專利名稱:移動(dòng)ip體系結(jié)構(gòu)中的分組處理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)IP體系結(jié)構(gòu)中的分組處理。本發(fā)明特別但不是必
然適用于歸屬代理(Home Agent)與移動(dòng)節(jié)點(diǎn)之間的分組的路由選擇, 其中,移動(dòng)節(jié)點(diǎn)具有多路接入能力。
背景技術(shù):
為了向在(接入)網(wǎng)絡(luò)內(nèi)和之間移動(dòng)的用戶終端提供穩(wěn)定的IP連 接,因特網(wǎng)工程任務(wù)組(正TF)已經(jīng)指定了被稱為移動(dòng)IP的協(xié)議。用于 IPv6的移動(dòng)IP在RFC 3775 -"IPv6中的移動(dòng)性支持"("Mobility Support in IPv6")中指定。根據(jù)移動(dòng)IPv6,全局網(wǎng)絡(luò)內(nèi)用戶終端或移 動(dòng)節(jié)點(diǎn)(MN)的當(dāng)前位置存儲(chǔ)在稱為歸屬代理(HA)的節(jié)點(diǎn)中。HA在 MN移動(dòng)時(shí)動(dòng)態(tài)地更新MN的當(dāng)前位置,以便對(duì)于嘗試連接它的其它 節(jié)點(diǎn)而言MN可到達(dá)。這些其它節(jié)點(diǎn)被稱作通信節(jié)點(diǎn)(CN)。用于IPv4 的移動(dòng)IP在RFC 3344中指定。
MN分配有^f皮稱作歸屬地址(HoA)的穩(wěn)定IP地址。在MN離開其 歸屬網(wǎng)絡(luò)(即,分配HoA的網(wǎng)絡(luò))時(shí),HA代表MN接收業(yè)務(wù),然后將 它向MN隧穿(tunnel),即,MN與CN之間的通信經(jīng)由HA發(fā)送。MN 的當(dāng)前位置由轉(zhuǎn)交地址(CoA)指示,并且因此,在HA需要將分組轉(zhuǎn) 發(fā)到MN的當(dāng)前位置時(shí),HA必須將HoA映射到CoA。 HoA與CoA 之間的映射稱為"綁定"(binding)。
移動(dòng)IPv6定義被稱作"路由優(yōu)化"的機(jī)制,該機(jī)制能用于優(yōu)化由 MN與CN之間的業(yè)務(wù)所采用的路由,從路由中移除HA。然而,路由 優(yōu)化不是協(xié)議的必需部分,并且由于各種原因它可能不是始終可用。 例如, 一些網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)服務(wù)器可造成路由優(yōu)化的問題,有效地使其使用無法實(shí)現(xiàn)。
移動(dòng)通信的最近發(fā)展引入了支持用于MN的多路接入能力的需
要。例如,考慮根據(jù)兩個(gè)不同的CoA同時(shí)可到達(dá)(reachable)的MN。 其中一個(gè)CoA可例如與3G接入網(wǎng)絡(luò)相關(guān)聯(lián),而另一CoA可與WLAN 接入網(wǎng)絡(luò)相關(guān)聯(lián)。"monami6" IETF工作組當(dāng)前在進(jìn)行有關(guān)移動(dòng)IPv6 中提供多路接入支持的工作。
配有不止一個(gè)(接入)通信接口的MN需要控制用于通信的接口使 用的機(jī)制,即,將流引導(dǎo)到特定的接口。此類機(jī)制將根據(jù)與通信流相 關(guān)聯(lián)的選擇符來應(yīng)用定義的策略。為給定流設(shè)置的典型選擇符可包括 用于流分組的源和目的地地址。在移動(dòng)IPv6的情況下,此控制機(jī)制將 在負(fù)責(zé)向MN轉(zhuǎn)發(fā)數(shù)據(jù)的HA內(nèi)實(shí)現(xiàn)。在以MN的HoA為目的地的 數(shù)據(jù)到達(dá)HA時(shí),HA決定數(shù)據(jù)將轉(zhuǎn)發(fā)到(MN的)哪個(gè)接口 。
IPsec(IETF RFC 2401 -"因特網(wǎng)受保護(hù)業(yè)務(wù)的安全體系結(jié)構(gòu)")是 意在為IP數(shù)據(jù)流提供加密和認(rèn)證(authentication)的因特網(wǎng)協(xié)議。能夠 預(yù)期在未采用路由優(yōu)化,即數(shù)據(jù)流傳遞通過HA的情況下,IPsec將用 于保護(hù)MN與CN之間的端對(duì)端數(shù)據(jù)流安全。用于選擇應(yīng)用到數(shù)據(jù)流 的策略的選擇符一般將位于IPsec分組的內(nèi)層IP報(bào)頭內(nèi)。由于IPsec 可加密此內(nèi)層才艮頭,選擇符將不可用于HA,并且因此歸屬代理將不 能夠選擇適用于選擇符的特定策略,而必須應(yīng)用一些默認(rèn)策略。在具 有多路接入能力的MN的情況下,這意味著IPsec受保護(hù)流必須經(jīng)由 可能不是最佳的默認(rèn)通信接口而進(jìn)行路由。
類似的情形可在運(yùn)輸路徑內(nèi)并需要其來應(yīng)用選擇符相關(guān)策略的其 它節(jié)點(diǎn)處發(fā)生[參閱正TF RFC 4140-"分級(jí)移動(dòng)IPv6移動(dòng)性管理 (HMIPv6)"]。策略可以與適當(dāng)通信接口的選擇無關(guān),但可與例如將 被應(yīng)用的服務(wù)質(zhì)量(QoS)或在多個(gè)接口上傳送的決定有關(guān),例如,雙播 (或更一般地,n播)
發(fā)明內(nèi)容
本發(fā)明的目的是提供部件,由此例如歸屬代理等中間節(jié)點(diǎn)能將策
略應(yīng)用到分組,所述策略取決于IPsec通常保護(hù)的分組內(nèi)的數(shù)據(jù)。
根據(jù)本發(fā)明的第一方面,提供了處理使用IPsec安全協(xié)議從通信 節(jié)點(diǎn)經(jīng)由中間節(jié)點(diǎn)而傳送到移動(dòng)節(jié)點(diǎn)的IP分組的方法,該方法包括
在通信節(jié)點(diǎn)處,識(shí)別將加密的分組的部分內(nèi)指定的選擇符信息, 并將所識(shí)別的信息或其摘要合并入將不加密發(fā)送的分組的報(bào)頭部分;
將分組從通信節(jié)點(diǎn)傳送到所述中間節(jié)點(diǎn);以及
在中間節(jié)點(diǎn)處,接收所傳送的分組并使用包含在分組中的所述信 息或摘要來識(shí)別將應(yīng)用到分組的策略,以及將策略應(yīng)用到分組。
本發(fā)明的實(shí)施例允許某些通常加密的數(shù)據(jù)無阻礙地提供到中間節(jié) 點(diǎn)。作出的假設(shè)是無阻礙提供此信息不是安全風(fēng)險(xiǎn),或者只表示可接 受的風(fēng)險(xiǎn)。
用于生成選擇符信息的摘要的優(yōu)選方法是將哈希函數(shù)應(yīng)用到信 息,所得到的哈希值合并入所述報(bào)頭部分。
在所述IP分組是IPv6分組的情況下,所述l艮頭部分可以是IPv6 分組的擴(kuò)展報(bào)頭。更優(yōu)選地,所述擴(kuò)展報(bào)頭是目的地選項(xiàng)報(bào)頭和逐跳 擴(kuò)展報(bào)頭中的一個(gè)。備選地,所述報(bào)頭部分是外層IPv6報(bào)頭內(nèi)的IPv6 流標(biāo)簽。在所述IP分組是IPv4分組的情況下,所述報(bào)頭部分可以是 IPv4報(bào)頭選項(xiàng)或UDP報(bào)頭中的一個(gè)。
本發(fā)明特別適用于所述分組根據(jù)移動(dòng)IPv6協(xié)議而構(gòu)建和處理,并 且所述中間節(jié)點(diǎn)是歸屬代理的情況。考慮所述移動(dòng)節(jié)點(diǎn)是有多路接入 能力的移動(dòng)節(jié)點(diǎn)的情況,所述策略識(shí)別將在其上轉(zhuǎn)發(fā)分組的接入網(wǎng)絡(luò) 和/或技術(shù)。這種情況下,所識(shí)別的信息可包括原始分組的原始源地址、 目的地地址、源端口號(hào)及目的地端口號(hào)中的一個(gè)或多個(gè),這允許歸屬 代理選擇將在其上轉(zhuǎn)發(fā)分組的接口,即轉(zhuǎn)交地址。
將理解,在歸屬代理未能認(rèn)出或識(shí)別與所述信息或其摘要相關(guān)聯(lián)
的策略的情況下,默認(rèn)策略可由歸屬代理應(yīng)用到分組。這種情況下, 在移動(dòng)節(jié)點(diǎn)接收到分組時(shí),移動(dòng)節(jié)點(diǎn)可將綁定更新發(fā)送到歸屬代理,
7所述歸屬代理識(shí)別將應(yīng)用到包含相同信息或摘要的將來分組的策略。
根據(jù)本發(fā)明的第二方面,提供了設(shè)置用于經(jīng)由代表移動(dòng)節(jié)點(diǎn)將策 略應(yīng)用到分組的中間節(jié)點(diǎn)而將IP分組發(fā)送到移動(dòng)節(jié)點(diǎn)的用戶終端,該
用戶終端包括
處理器,用于識(shí)別IP分組內(nèi)的選擇符信息,并用于將該信息或其 摘要合并入分組的報(bào)頭部分,以及用于采用IPsec安全策略以加密除 所述l艮頭部分外分組的至少一部分;以及
發(fā)射器,設(shè)置用于將部分加密的分組發(fā)送到所述中間節(jié)點(diǎn)。 根據(jù)本發(fā)明的笫三方面,提供了在IP通信網(wǎng)絡(luò)內(nèi)使用的節(jié)點(diǎn),該 節(jié)點(diǎn)包括
接收器,用于從通信節(jié)點(diǎn)接收IP分組,分組使用IPsec安全協(xié)議 來保護(hù);以及
處理器,用于識(shí)別包含在所接收的分組的未加密報(bào)頭部分內(nèi)的選 擇符信息,并且用于使用選擇符信息來識(shí)別將應(yīng)用到分組的策略,以
及用于將策略應(yīng)用到分組。
圖1示意性地示例采用移動(dòng)IPv6的通信系統(tǒng); 圖2示意性地示例在目的地選項(xiàng)字段內(nèi)合并哈希選項(xiàng)的IPv6 IPsec安全分組的結(jié)構(gòu);圖3示出IPv6分組的目的地選項(xiàng)擴(kuò)展"t艮頭的結(jié)構(gòu);
圖4示出圖3且包含哈希值的擴(kuò)展報(bào)頭選項(xiàng)數(shù)據(jù)字段的結(jié)構(gòu);
圖5示例包含策略代碼字段的綁定更新消息;
圖6示意性地示例在圖1系統(tǒng)內(nèi)的移動(dòng)IPv6分組的信令流;
圖7示出根據(jù)IPv4的UDP分組的結(jié)構(gòu);
圖8示意性地示例合并哈希UDP才艮頭的IPv4 IPsec安全分組的結(jié)
構(gòu);
圖9示出包含多個(gè)UDPl良頭的IPv4分組的結(jié)構(gòu);以及圖10示意性地示例采用移動(dòng)IPv6并包含策略執(zhí)行點(diǎn)(Policy Enforcement Point)的通寸言系統(tǒng)。
具體實(shí)施例方式
圖1示意性地示例用于允許在一對(duì)用戶終端之間通信的通信系 統(tǒng),其中的第一個(gè)用戶終端標(biāo)識(shí)為移動(dòng)節(jié)點(diǎn)(MN)l,并且其中的第二 個(gè)用戶終端^^皮稱作通信節(jié)點(diǎn)(CN)2。 MN1預(yù)訂到歸屬網(wǎng)絡(luò)3,該網(wǎng)絡(luò) 使用歸屬代理(HA) 4來便于其訂戶進(jìn)行漫游。如已經(jīng)所述一樣,HA 分配穩(wěn)定的IPv6地址到MN,并且MN使用綁定更新(BU)使HA 了解 其當(dāng)前的轉(zhuǎn)交地址(CoA)。在圖1所示情形中,MN1已漫游入兩個(gè)不 同的接入網(wǎng)絡(luò)5 、 6(或技術(shù),例如WLAN和以太網(wǎng))同時(shí)可用的位置。 這些網(wǎng)絡(luò)的確切性質(zhì)對(duì)本論述并不重要。重要的是各接入網(wǎng)絡(luò)或技術(shù) 將轉(zhuǎn)交地址分配到MN。 MN使用單個(gè)BU消息將兩個(gè)轉(zhuǎn)交地址通知 HA。將理解,CN也可以是釆用移動(dòng)IP的漫游MN,盡管這未在圖中 示出。
假設(shè)MN和CN使用IPsec保護(hù)其通信安全。這樣,IP分組的內(nèi) 層IP報(bào)頭將被加密。對(duì)于將從CN發(fā)送到MN的所有分組,在執(zhí)行加 密步驟前,CN將哈希函數(shù)應(yīng)用到協(xié)議報(bào)頭字段以生成哈希值,該字 段形成用于HA內(nèi)路由策略的選擇符(例如,源IP地址、目的地IP、 源端口、目的地端口、協(xié)議版本號(hào))。哈希函數(shù)可以是SHA-1,或任何 其它合適的函數(shù)。哈希值可具有任何適當(dāng)?shù)拈L度。計(jì)算得出的哈希值 隨后插入可在外層IPv6報(bào)頭之后的"擴(kuò)展"報(bào)頭之一。
用于承載哈希值的優(yōu)選擴(kuò)展報(bào)頭是IPv6目的地選項(xiàng)報(bào)頭。這在圖 2中示意性地示例。必須注意的是,這些報(bào)頭不是分組的加密段的部 分。根據(jù)IPv6的預(yù)期行為是目的地報(bào)頭只由分組的目的地節(jié)點(diǎn)(即, 此情況下的MN)看到。使用目的地才艮頭承載哈希值因此與預(yù)期行為相 反。哈希值的備用候選位置是"逐跳"擴(kuò)展報(bào)頭。然而,由于逐跳報(bào)頭 由路徑中的每個(gè)節(jié)點(diǎn)處理,這導(dǎo)致性能惡化,并因此不是最佳選擇。但是,哈希值的另一候選位置是外層IPv6報(bào)頭內(nèi)的IPv6"流標(biāo)簽"(注
意,流標(biāo)簽不包含在擴(kuò)展報(bào)頭內(nèi))。然而,流標(biāo)簽未很好定義,并且一
些應(yīng)用可能將它用于其自己的目的,這意味著會(huì)發(fā)生現(xiàn)有IPv6流標(biāo)簽 的改寫(overwrite)。
進(jìn)一步考慮目的地選項(xiàng)擴(kuò)展報(bào)頭的使用,現(xiàn)有IPv6協(xié)議使得在目
的地選項(xiàng)擴(kuò)展"^艮頭內(nèi)定義新類型的選項(xiàng)可能,v夂人而此類型的選項(xiàng)將一皮
沒有認(rèn)出它的節(jié)點(diǎn)忽略。這確保在不支持新選項(xiàng)類型的網(wǎng)絡(luò)(或網(wǎng)絡(luò)節(jié) 點(diǎn))內(nèi)的兼容性。
目的地選項(xiàng)報(bào)頭內(nèi)的各選項(xiàng)使用類型-長度-值(TLV)編碼,其 中各選項(xiàng)如圖3所示定義。新哈希選項(xiàng)的選項(xiàng)類型以最高階兩比特(比 特16和17)未設(shè)置的方式來定義。因此,根據(jù)IETF RFC2460,如果 HA沒有認(rèn)出該選項(xiàng),則這些最高階比特的設(shè)置將使HA跳過(skip over) 此選項(xiàng)并繼續(xù)處理報(bào)頭。本公開內(nèi)容未定義確切的選項(xiàng)類型值。"選項(xiàng) 長度"(Option Length)字段設(shè)為以八位字節(jié)表示(in octets)的哈希值的 長度。實(shí)際哈希值使用圖4所示的格式而存儲(chǔ)在選項(xiàng)數(shù)據(jù)(Option Data) 字段中。適當(dāng)?shù)?填充,,可添加在哈希選項(xiàng)字段末。
在HA接收目的地是HoA的分組時(shí),由于目的地選項(xiàng)擴(kuò)展凈良頭未 加密,因此,它可從中讀取哈希值。HA保持預(yù)期哈希值與策略之間 的映射。提取的哈希值用于從映射獲得適當(dāng)?shù)牟呗浴4瞬呗远x(兩個(gè) 或可能更多)已注冊(cè)轉(zhuǎn)交地址中哪個(gè)將用作分組的轉(zhuǎn)發(fā)地址。HA將又 一 IPv6纟艮頭添加到包^M乍為目的地地址的適當(dāng)轉(zhuǎn)交地址的分組的前
如果沒有匹配所接收的哈希值的策略,則HA可使用給定HoA的 任何MN的當(dāng)前綁定(MN可具有不止一個(gè)HoA,即節(jié)點(diǎn)是多歸屬型 (multi-homed))。如果MN經(jīng)由錯(cuò)誤或不當(dāng)?shù)慕涌趶腍A接收分組,貝'J MN將確定HA不具有適當(dāng)?shù)牟呗孕畔?。MN可隨后通過向HA發(fā)送 包含哈希值的BU消息而更新HA映射數(shù)據(jù)庫。綁定更新在BU的策 略字段內(nèi)包含適當(dāng)策略代碼以指示哈希值的用途。這在圖5中示例。HA向MN返回綁定確認(rèn)(BA)。
為允許BU消息包含更新信息,通過定義新移動(dòng)性選項(xiàng)("哈希" 選項(xiàng))來擴(kuò)展此消息。移動(dòng)性選項(xiàng)的一般格式在正TF RFC 2460的6.2.1 部分定義。新選項(xiàng)類型可被添加而不會(huì)引入兼容性問題,如RFC所述 "在處理包含接收器沒有認(rèn)出其選項(xiàng)類型值的選項(xiàng)的移動(dòng)性報(bào)頭時(shí),接 收器必須悄悄地忽略并跳過該選項(xiàng),正確地處理消息中的任何剩余選 項(xiàng)"。新"選項(xiàng)類型"字段的確切值在此處保留為空。
在哈希選項(xiàng)內(nèi),"選項(xiàng)長度"字段必須設(shè)為哈希的長度,而"選 項(xiàng)數(shù)據(jù)"字段包含哈希值。原始BU格式包括轉(zhuǎn)交地址,并因此包括 承載該特定轉(zhuǎn)交地址的哈希值的此新移動(dòng)性選項(xiàng)隱式地創(chuàng)建HA將理 解的映射(即,策略)。
在BU消息中包括p合希選項(xiàng)時(shí),MN應(yīng)設(shè)置確認(rèn)(A)比特為on。如 果HA認(rèn)出哈希選項(xiàng),則它必須在由于A比特的設(shè)置而返回到MN的 BA消息中包括所接收的哈希選項(xiàng)。這將確保MN接收HA接收到消 息和HA支持哈希功能性兩者的確認(rèn)。如果MN接收未包括哈希選項(xiàng) 的BA,則它將此解釋為HA沒有認(rèn)出哈希選項(xiàng)的表示。在這種情況 下,MN將停止在發(fā)送到HA的其它BU中包括哈希選項(xiàng)。
如果需要做策略決定的節(jié)點(diǎn)不是HA,則需要HA向該節(jié)點(diǎn)提供 所接收的映射信息。圖10示例為策略決定在策略執(zhí)行點(diǎn)(PEP)7做出 的情況實(shí)例。策略由歸屬代理4向PEP提供,而歸屬代理4繼續(xù)從 MN接收BU消息。然而,此類協(xié)議的細(xì)節(jié)超出了本論述的范圍。
圖6示例如上所述利用哈希值的移動(dòng)IPv6體系結(jié)構(gòu)內(nèi)的消息流, 其中,HA在處理哈希選項(xiàng)前確定是啟用還是禁用哈希標(biāo)記功能性。 將理解,在接口選擇是只基于分組的源和目的地地址并且這些地址包 含在分組的純文本外層報(bào)頭內(nèi)的情況下,無需在HA啟用哈希標(biāo)記功 能性。僅在選擇符包含另外加密的數(shù)據(jù)時(shí),才啟用該功能性。為此, HA為各MN保持(maintain)為其啟用該功能性的CN的列表(即,其中 默認(rèn)值是禁用該功能性)或?yàn)槠浣迷摴δ苄缘腃N的列表(即,其中默認(rèn)值是啟用該功能性)。MN可通過將BU消息發(fā)送到HA,在哈希 選項(xiàng)字段中包含該動(dòng)作應(yīng)用到的CN的IP地址而將CN添加到此列表 (啟用或禁用)(注意,地址未哈?;?。在動(dòng)作是啟用該功能性的情況下, BU消息將包含又一哈希選擇字段,該字段包含映射到給定轉(zhuǎn)交地址 的哈希值。
現(xiàn)在轉(zhuǎn)到IPv4,此協(xié)議未定義目的地選項(xiàng)擴(kuò)展凈艮頭(destination options extension header),并且其使用因此僅限于IPv6。然而,IPv4 報(bào)頭可包含選項(xiàng),并且新選項(xiàng)類型可定義以承載哈希值(參閱RFC 1122 -"因特網(wǎng)主機(jī)的需求一 一通信層")。IPv4指出"IP和傳送層各自 必須解釋它們理解的那些IP選項(xiàng)并悄悄地忽略其它選項(xiàng)"。不過,IPv4
選項(xiàng)處理有時(shí)有問題,并因此不推薦使用IPv4選項(xiàng)。
作為IPv4選項(xiàng)使用的備選,哈希值可由IP分組的UDP報(bào)頭(本 文稱為"哈希UDP")承載。UDP分組具有圖7所示的格式,其中, 包括UDP報(bào)頭的整個(gè)IP分組結(jié)構(gòu)在圖8中示例。UDP報(bào)頭內(nèi)的數(shù)據(jù) 字段可用于承載可變長度哈希值。源端口和目的地端口值應(yīng)設(shè)為某一 /某些已知值,但這些值此處未定義。如果原始IP分組已經(jīng)包含UDP 報(bào)頭,則新UDP報(bào)頭在原始UDP報(bào)頭后插入(此順序至關(guān)重要),在 該情況下,分組具有圖9所示的結(jié)構(gòu)。
在HA接收發(fā)送到MN的HoA的IPv4分組時(shí),HA可檢查分組 并搜索哈希UDP報(bào)頭。如果找到此報(bào)頭,則提取哈希值,并在轉(zhuǎn)發(fā) 分組到MN前從中移除哈希UDP報(bào)頭。
將理解,如果HA不支持所需功能性,它將不從分組移除添加的 UDP報(bào)頭(哈希UDP)。在MN支持哈希標(biāo)記時(shí)的情況下,這不是問題, 因?yàn)镸N恰好能夠移除哈希UDP報(bào)頭。然而,如果HA或MN均不 支持基于UDP的哈希標(biāo)記,則分組將^皮丟棄,并且相關(guān)聯(lián)的數(shù)據(jù)丟 失。因此,最好是默認(rèn)在CN禁用哈希標(biāo)記,并且僅在CN上接收來 自MN的特定信號(hào)后才打開此功能性。此類信號(hào)可包括在BU消息中。 然而,與此相反,如果IPv4選項(xiàng)用于承載哈希標(biāo)簽(hash label),則哈
12希標(biāo)記(hash labelling)可默認(rèn)打開。
在上述使用情況下,包括在IP分組中的哈希值用于選擇將在其上 輸送分組的接口。然而,哈希值也能用于許多其它用途。此類使用的 實(shí)例有選擇服務(wù)質(zhì)量和/或傳輸控制(n播)。用途可在BU消息的"用途" 字段中指示(參見圖5)。
將理解,哈希函數(shù)的使用只是一種方式,由此盡管使用了 IPsec, 選擇符信息也能夠向HA揭示。其它機(jī)制可能實(shí)現(xiàn)。例如,通過級(jí)聯(lián) (concatenate)原始分組的源和目的地端口 ,可構(gòu)建適當(dāng)?shù)臉?biāo)簽?;诠?希的機(jī)制的使用當(dāng)然確實(shí)具有它不會(huì)使?jié)撛跈C(jī)密的信息被泄露的優(yōu) 點(diǎn)。
假設(shè)用于生成選擇符信息的精確機(jī)制已預(yù)定義(例如,基于哈希的 機(jī)制),則不需要MN與CN之間的機(jī)制的協(xié)商,并且默認(rèn)能夠打開該 機(jī)制。然而,在一些環(huán)境中,可能最好是默認(rèn)不打開哈希標(biāo)記。為此, MN可向CN發(fā)送信號(hào)以啟用預(yù)協(xié)定或選定機(jī)制的使用。此信號(hào)可合 并入發(fā)送到CN的下一分組中。同樣,信號(hào)可作為IPv6中目的地選項(xiàng) 擴(kuò)展凈艮頭內(nèi)的選項(xiàng)或作為IPv4中的選項(xiàng)而包括。
本領(lǐng)域的技術(shù)人員將理解,在不脫離本發(fā)明范圍的情況下,可對(duì) 上述實(shí)施例進(jìn)行各種修改。
權(quán)利要求
1.一種處理使用IPsec安全協(xié)議經(jīng)由中間節(jié)點(diǎn)從通信節(jié)點(diǎn)傳送到移動(dòng)節(jié)點(diǎn)的IP分組的方法,所述方法包括在所述通信節(jié)點(diǎn)處,識(shí)別將加密的所述分組的部分內(nèi)的指定選擇符信息,并將所識(shí)別的信息或其摘要合并入將不加密發(fā)送的所述分組的報(bào)頭部分;將所述分組從所述通信節(jié)點(diǎn)傳送到所述中間節(jié)點(diǎn);以及在所述中間節(jié)點(diǎn)處,接收所傳送的分組并使用包含在所述分組中的所述信息或摘要來識(shí)別將應(yīng)用到所述分組的策略,以及將所述策略應(yīng)用到所述分組。
2. 根據(jù)權(quán)利要求1所述的方法,其中所述通信節(jié)點(diǎn)使用應(yīng)用到所述信息的哈希函數(shù)來生成所述選擇符信息的摘要,并將所得到的哈希值合并入所述報(bào)頭部分。
3. 根據(jù)權(quán)利要求1或2所述的方法,其中所述IP分組是IPv6分組。
4. 根據(jù)權(quán)利要求3所述的方法,其中所述l艮頭部分是所述IPv6分組的擴(kuò)展報(bào)頭。
5. 根據(jù)權(quán)利要求4所述的方法,其中所述擴(kuò)展^^頭是目的地選項(xiàng)報(bào)頭和逐跳擴(kuò)展報(bào)頭中的一個(gè)。
6. 根據(jù)權(quán)利要求4所述的方法,其中所述才艮頭部分是外層IPv6報(bào)頭內(nèi)的IPv6流標(biāo)簽。
7. 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中所述信息包括原始分組的原始源地址、目的地地址、源端口號(hào)及目的地端口號(hào)中的一個(gè)或多個(gè)。
8. 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中所述中間節(jié)點(diǎn)在將所述分組轉(zhuǎn)發(fā)到所述移動(dòng)節(jié)點(diǎn)前移除所述報(bào)頭部分。
9. 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中所述分組根據(jù)移動(dòng)IPv6 iH義而構(gòu)建和處理。
10. 根據(jù)權(quán)利要求9所述的方法,其中所述中間節(jié)點(diǎn)是歸屬代理。
11. 根據(jù)權(quán)利要求10所述的方法,其中所述移動(dòng)節(jié)點(diǎn)是有多路接入能力的移動(dòng)節(jié)點(diǎn),并且所述策略識(shí)別所述分組將在其上轉(zhuǎn)發(fā)的接入網(wǎng)絡(luò)和/或技術(shù)。
12. 根據(jù)權(quán)利要求11所述的方法,其中所述策略指定所述移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址。
13. 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中如果所迷中間節(jié)點(diǎn)未能識(shí)別與所述信息或其摘要相關(guān)聯(lián)的策略,則默認(rèn)策略^皮應(yīng)用到所述分組。
14. 在權(quán)利要求13從屬于權(quán)利要求10時(shí),根據(jù)權(quán)利要求13所述的方法,并且包括在所述移動(dòng)節(jié)點(diǎn)處接收已應(yīng)用默認(rèn)策略的分組時(shí),使綁定更新發(fā)送到所述歸屬代理,所述歸屬代理識(shí)別將應(yīng)用到包含相同信息或摘要的將來分組的所述策略。
15. 根據(jù)權(quán)利要求1或2所述的方法,其中所述IP分組是IPv4分組。
16. 根據(jù)權(quán)利要求15所述的方法,其中所述報(bào)頭部分是IPv4報(bào)頭選項(xiàng)或UDP報(bào)頭中的一個(gè)。
17. 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,所述方法包括為各移動(dòng)節(jié)點(diǎn)在所述中間節(jié)點(diǎn)保持將為其應(yīng)用或不應(yīng)用識(shí)別策略和應(yīng)用所述策略的所述步驟的通信節(jié)點(diǎn)的列表。
18. 根據(jù)權(quán)利要求17所述的方法,所述方法包括將綁定更新消息從所述移動(dòng)節(jié)點(diǎn)發(fā)送到所述中間節(jié)點(diǎn)或到負(fù)責(zé)將策略插入所述中間節(jié)點(diǎn)的節(jié)點(diǎn),所述綁定更新消息包含將為其識(shí)別或不識(shí)別所述策略的通信節(jié)點(diǎn)的IP地址。
19. 根據(jù)權(quán)利要求18所述的方法,其中在將識(shí)別所述策略的情況下,所述綁定更新消息也包含所述摘要并識(shí)別對(duì)應(yīng)的策略。
20. —種設(shè)置用于經(jīng)由代表移動(dòng)節(jié)點(diǎn)將策略應(yīng)用到分組的中間節(jié)點(diǎn)而將IP分組發(fā)送到所述移動(dòng)節(jié)點(diǎn)的用戶終端,所述用戶終端包括處理器,用于識(shí)別IP分組內(nèi)的選擇符信息,并用于將該信息或其摘要合并入所述分組的報(bào)頭部分,以及用于采用IPsec安全策略以加密除所述l良頭部分外所述分組的至少 一部分;以及發(fā)射器,設(shè)置用于將部分加密的分組發(fā)送到所述中間節(jié)點(diǎn)。
21. 根據(jù)權(quán)利要求20所述的終端,所迷處理器設(shè)置為使用應(yīng)用到所述信息的哈希函數(shù)來生成所述選擇符信息的摘要,并將所得到的哈希值合并入所述報(bào)頭部分。
22. 根據(jù)權(quán)利要求21所述的終端,所迷處理器設(shè)置為將所述哈希值合并入所述IP分組的目的地選項(xiàng)才艮頭,其中,所述IP分組是IPv6分組。
23. —種在IP通信網(wǎng)絡(luò)內(nèi)使用的節(jié)點(diǎn),所述節(jié)點(diǎn)包括接收器,用于從通信節(jié)點(diǎn)接收IP分組,所述分組使用IPsec安全協(xié)議來保護(hù);和處理器,用于識(shí)別包含在所接收的分組的未加密報(bào)頭部分內(nèi)的選擇符信息,并且用于使用所述選擇符信息來識(shí)別將應(yīng)用到所述分組的策略,以及用于將所述策略應(yīng)用到所述分組。
24. 根據(jù)權(quán)利要求23所述的節(jié)點(diǎn),所述節(jié)點(diǎn)是用于實(shí)現(xiàn)移動(dòng)IP的歸屬代理。
25. 根據(jù)權(quán)利要求23所述的節(jié)點(diǎn),所述節(jié)點(diǎn)是策略執(zhí)行點(diǎn)。
26. 根據(jù)權(quán)利要求23至25中任一項(xiàng)所述的節(jié)點(diǎn),其中所述處理器設(shè)置為識(shí)別包含在所述所接收的分組的目的地選項(xiàng)字段內(nèi)的選擇符信息。
全文摘要
一種處理使用IPsec安全協(xié)議經(jīng)由中間節(jié)點(diǎn)從通信節(jié)點(diǎn)傳送到移動(dòng)節(jié)點(diǎn)的IP分組的方法。該方法包括在通信節(jié)點(diǎn)處識(shí)別要加密的分組的部分內(nèi)指定的選擇符信息,并將所識(shí)別的信息或其摘要合并入要不加密發(fā)送的分組的報(bào)頭部分,將分組從通信節(jié)點(diǎn)傳送到所述中間節(jié)點(diǎn),并在中間節(jié)點(diǎn)處接收所傳送的分組并使用分組中包含的所述信息或摘要識(shí)別要應(yīng)用到分組的策略,以及將策略應(yīng)用到分組。
文檔編號(hào)H04L29/06GK101543001SQ200680056485
公開日2009年9月23日 申請(qǐng)日期2006年11月30日 優(yōu)先權(quán)日2006年11月30日
發(fā)明者H·馬科南, P·約克拉, T·考皮南 申請(qǐng)人:艾利森電話股份有限公司