專利名稱:用于在基于mobike的移動應用中優(yōu)化nsis信令的方法
技術領域:
本發(fā)明涉及一種根據(jù)權利要求1的前序部分用來減少移動節(jié)點的信令費用的方法,該移動節(jié)點保持至少一個有效的下一代信令(Next StepsIn Signaling)信令會話(Signalisierungssession ), 以及具有與虛擬專用網(VPN)網關的MOBIKE連接,并且該移動節(jié)點變換它到互聯(lián)網的連接點。
背景技術:
虛擬專用網(VPN: Virtuelles Privates Netz)是計算機網絡,該計算機網絡使用諸如因特網的公共網來傳輸專用數(shù)據(jù)。VPN的用戶可以將數(shù)據(jù)象在局域網(Local Area Network; LAN)中那樣進行交換。單個的用戶本身不需要為此直接相互連接。通過公共網的連接通常是經過加密的。使用所謂VPN客戶端的用戶與他的提供所謂VPN服務器的家用網絡的連接,通過在VPN客戶端和VPN服務器之間的隧道來實現(xiàn)。在此在大多數(shù)情況下隧道是被保護的,但是未被保護的明文隧道(Klartexttunnel )也可以用于將VPN客戶端與VPN服務器連接。
VPN可以用來4吏在組織或者企業(yè)之外的員工訪問內部網。為此,員工的計算機建立通向企業(yè)的VPN網關的VPN連接。通過該連接使得員工可以就好像他在企業(yè)的本地網中一樣工作。
為了使數(shù)據(jù)在VPNs中安全地傳輸,需要專門的協(xié)議。 一組這樣的協(xié)議組合起來以IP安全(IP security: IPsec )公知。屬于這種IP安全的首先是因特網密匙交換協(xié)i義版本2 (Internet Key ExchangeVersion 2: IKEv2 )。該因特網密匙交換協(xié)議版本2負責產生密匙,該密匙也被其他協(xié)議的密碼機制所需要。在使用IPsec的情況下所建立的用于VPN連接的隧道也被稱為IPsec隧道。移動因特網密匙交換協(xié)議(M0BIKE協(xié)議)擴展了包含在IPsec中的IKEv2,這是通過使得VPN客戶端可以變換他的連接到網絡的連接點來實現(xiàn)的,而因此進行的該VPN客戶端的因特網協(xié)議(IP)地址的變換不會導致該VPN客戶端的VPN會話必須被重新建立。
在典型的VPN場景中,VPN客戶端和VPN網關通過IPsec隧道來交 換數(shù)據(jù)。當VPN客戶端是例如膝上型電腦、掌上型電腦、個人數(shù)字助理
(PDA)等等的移動節(jié)點(MK)時,并且當該移動節(jié)點改變其通向因特 網的連接點時,該移動節(jié)點的IP地址也發(fā)生改變。在MOBIKE協(xié)議中詳 細說明了如何在VPN場景中有效地操作該地址變換。如果MK已經針對 該隧道對下一代信令(NSIS)信令會話進行了初始化,則在變換連接點 時,必須對所有具有NSIS能力的節(jié)點的狀態(tài)進行更新,使得能夠跟隨 MK的IP地址的變換,所述有NSIS能力的節(jié)點沿著所述隧道的路徑參加 信令。在這個過程中存在費用,MK越頻繁地變換它的連接點,該費用就 越大。此外可能產生對資源的附加的浪費,如果上述NSIS節(jié)點為IPsec 隧道的數(shù)據(jù)流保留資源的話。諸如傳輸速度、帶寬等等的資源保留例如 在信令是服務質量(QoS)信令,例如是由NSIS工作組產生的QoS-NSLP
(Quality of Service NSIS Signaling Uyer Protocol,月良務質量 NSIS信令層協(xié)議)時被保留下來。因此,上述浪費的產生是因為在地址 變換和上述狀態(tài)更新之間的時間段內,所保留的資源既不能為Ipsec隧 道的數(shù)據(jù)流所用,又不能在其他位置上使用。這也意味著,在對沿著該 路徑的所有NSIS節(jié)點進行更新之前,數(shù)據(jù)流不能要求為它保留的資源。 這又意味著,在開始時所允諾的QoS保證不能被保持了。通過例如傳輸 速度明顯變壞,用戶意識到這種情況。
根據(jù)現(xiàn)有技術沒有公開這樣的解決方案,即使得對NSIS信令的優(yōu) 化可以在MOBIKE環(huán)境中在MK的連接點變換時進行。NSIS工作組的工作 報告只說明了如何在移動場景中使用NSIS信令協(xié)議的基本方法。這些 方法要求,當MK的IP地址改變時,該MK總是發(fā)送信令消息。該消息 的任務是,用MK的當前IP地址來更新參與信令會話的NSIS節(jié)點的狀 態(tài)。
發(fā)明內容
因此,本發(fā)明要解決的技術問題是,提供一種抑制上述延遲以及由 此帶來的資源浪費的方法。
該技術問題通過按照權利要求1所述的方法來解決。本發(fā)明的優(yōu)選 擴展由從屬權利要求和下面的說明給出。在本發(fā)明用于減少信令費用或者用于減少資源浪費的方法中,當移 動節(jié)點在變換它的連接到因特網的連接點時,就產生了所述信令費用或 資源浪費,所述移動節(jié)點保持至少一個有效的下一代信令信令會話,并
且該移動節(jié)點具有與VPN網關的M0BIKE連接,該方法包括下述方法步
-將VPN網關的IP地址和/或與VPN網關的子網一致的地址空間的 IP地址插入按照通用因特網信令傳輸(General Internet Signaling Transport; GIST )協(xié)議包含在NSIS信令消息中的消息路由信息 (Message —Routing -Information ; MRI )對象中,
-確定安全參數(shù)索引(Security Parameter Index; SPI)的值,
-在MRI對象中插入SPI值,
-在MRI對象中設置在GIST中定義的S標志(Flags),以及 -在MRI對象中插入與MK的IP地址有關的地址空間。 與MK的IP地址有關的地址空間通過給出MK的IP地址和前綴來給 出。前綴i兌明,MK的IP地址的哪部分可以改變而不會導致MK的IP地 址離開所屬的地址空間。按照GIST標準,參與信令會話的NSIS節(jié)點使 用IP地址域,該IP地址域通過包含MK的IP地址和前綴的配對(Paar) 來定義,以識別屬于IPsec隧道的數(shù)據(jù)流的分組。更確切地,當在IP 標題中所說明的MK的IP地址位于這個地址域中時,數(shù)據(jù)分組屬于該數(shù) 據(jù)流。當MK的IP地址在該地址域中改變時,不需要再對沿著IPsec隧 道的路徑的NSIS節(jié)點的狀態(tài)進行更新。由此有效地減小了或者避免了 費用和可能產生的資源浪費。在MK和MOBIKE服務器之間的數(shù)據(jù)流可以 沒有延遲地繼續(xù)傳輸。
本發(fā)明方法的優(yōu)選設置規(guī)定,在MRI對象中為MK的IP地址給出地 址空間,該地址空間包括在考慮到MK的常規(guī)運動的情況下期待的、針 對MK的可能的IP地址。在此可以考慮監(jiān)纟見MK的運動,并且保存在MK 運動期間為MK分配的IP地址,以便由此導出優(yōu)選的運動輪廓 (Bewegungsprofil )和地址空間,該地址空間包括在MK的已確定的優(yōu) 選運動空間中為該MK分配的IP地址。
根據(jù)本發(fā)明的優(yōu)選設置規(guī)定,在MRI對象中MK優(yōu)選只能給出一個 唯一的IP地址用于VPN網關,并且該MK盡可能地限制針對自身的IP 地址的地址空間。這在MK當前只在屬于它自身的瞬時IP地址的、被分配給該MK的接入網的地址空間中運動時是有意義的。這種情況經常在 較大的企業(yè)或組織的網絡中出現(xiàn),在這樣的企業(yè)或組織中MK可以自由 運動??梢酝ㄟ^給出位于地址空間中的IP地址并且通過給出新的IP地 址與預定IP地址相差的范圍來給出地址空間。通過MK盡可能地限制該 MK的IP地址所在的地址空間,來減少發(fā)生沖突的概率。
在上述給出的根據(jù)本發(fā)明方法的所有實施方式中,可以考慮,通過 VPN網關來確定SPI值,使得避免在不同的IPsec隧道之間的沖突,所 述不同的IPsec隧道位于不同的MK和同一個VPN網關之間。VPN網關可 以確定SPI值,使得在VPN中為多個不同的、按照M0BIKE標準建立的 "MK到VPN"的IPsec隧道產生不相同的SPI值。鑒于SPI值具有32 位(Stellen),相應于232個可能的不同SPI值,這在大多數(shù)情況下是 足夠的。
也可以考慮隨機地選擇SPI值,或者借助于合適的函數(shù)通過NSIS 會話標識符(NSIS-Session-Identifier )、或者借助于其他合適的數(shù)據(jù) 來確定SPI值。這種隨機的確定可以非常簡單并廉價地轉換,并且隨機 選擇的用于MK的"MK到VPN"隧道的SPI值非常不可能與其他MK的SPI 值一致。
下面借助附圖對本發(fā)明進一步闡述。在此
圖1示出在MK和VPN網關之間經過多個NSIS節(jié)點的IPsec隧道的 示意圖,以及
圖2示出根據(jù)本發(fā)明方法的流程的示意圖。
具體實施例方式
在圖1中示意性示出的場景,其中移動節(jié)點MK改變它的IP地址, 所述移動節(jié)點
a )具有與通過MOBIKE所管理的VPN網關VPNG的IPsec連接,并
且
b)參與NSIS信令會話,
已經安裝在沿著隧道路徑分布的NSIS節(jié)點NF中的信令狀態(tài)變得無 效,并且必須被更新。在圖1中,用IS標志的箭頭表示通過MOBIKE所是運動的。該運動導致MK獲得新的 IP地址IP2來代替它到目前為止的IP地址IP1,因為該MK的通向VPN 網關VPNG的連接點在因特網I中發(fā)生改變。接著,MOBIKE協(xié)議必須更 新在VPN網關VPNG上的狀態(tài)。用NF (代表NSIS輸送器)標志的NSIS 節(jié)點是那些在MK移動后必須對自己的狀態(tài)進行更新的NSIS節(jié)點。由此 出現(xiàn)了下面的問題
-必須初始化用于更新的信令。只這一項已經產生了費用
-在沿著隧道路徑的所有NSIS節(jié)點的狀態(tài)被更新之前,數(shù)據(jù)流,也 就是沿著IPsec隧道對數(shù)據(jù)分組的傳輸,都不會得到通過該信令所設置 的處理。因此,連接的效率受到損害,并且甚至可能針對使用者由于延 遲而不能獲得或者只能有限獲得的服務也給使用者產生費用。
-在沿著隧道路徑的NSIS節(jié)點的所有狀態(tài)都被更新之前,資源必須 為沒有一直存在的信令會話始終保持開放。這浪費了資源。
上述問題通過在圖2中以流程圖示意性地示出的根據(jù)本發(fā)明的方法 來解決,所述方法用于在MK到VPN的連接點變換時減少在VPN中MK的 NSIS信令消息的費用,其中MK與VPN網關通過IPsec隧道連接,所述 IPsec隧道的路徑經過至少一個NSIS節(jié)點。
在此在第一方法步驟A中設置,至少將VPN網關的IP地址和/或與 VPN網關的子網一致的地址空間的IP地址插入到包含在NSIS信令消息 中的MRI對象(0bjekt)中。
在第二方法步驟B中確定SPI值。
在第三方法步驟C中,將SPI值插入NSIS信令消息的MRI對象中。 在第四方法步驟D中,將S標志(S-Flag)設置在MRI對象中。 在第五方法步驟E中,將與MK的IP地址有關的地址空間插入MRI 對象中。這可以例如通過給出MK的IP地址以及前綴(Prafix)來進行。 在GIST協(xié)議中規(guī)定的MRI對象除了允許給出唯一的IP地址之外, 還允許給出地址空間。因此,自己的連接點在確定的接入網中進行變換 的MK,可以在MRI對象中例如通過前綴也給出這樣一個地址空間, 該地址空間包括接入網的全部地址空間,MK當前通過該接入網接通, 或者MK的連接點在該接入網中。同樣,在不同的接入網之間進行變 換的MK也可以在MRI對象中給出全部IP地址空間,通常MK在該 地址空間中運動。
7相反,在大多數(shù)情況下,VPN網關只具有一個唯一的IP地址或者 只具有極少的屬于一個唯一的IP子網的IP地址。因此,在大多數(shù)情況 下,只在MRI對象中給出一個唯一的用于網關的IP地址或者又例如借 助前綴來給出與網關的子網一致的地址空間就足夠了。
與其他的標題字段相結合地,沿著隧道路徑的NSIS節(jié)點使用安全 參數(shù)索引(Security Parameter Index; SPI )以識另'J出信令消息所涉 及的數(shù)據(jù)業(yè)務。為了使這種方法起作用,針對IPsec隧道的信令消息根 據(jù)本發(fā)明這樣建立,即這些信令消息在路徑耦合的MRI對象中包含可 選的SPI字段。此外,必須設置針對MRI對象的S標志。
因為SPI值只有32位長,可以為兩個不同MK的IPsec隧道選擇相 同的SPI值。因此,當兩個MK與同一個VPN網關連接,以及當兩個MK 使用相同的地址空間或者相同的前綴時,也就是當兩個MK在相同的地 址空間中運動時,就會產生沖突。這樣的沖突是不期望的,這是因為位 于兩個隧道的路徑上的相同片段中的那些NSIS節(jié)點,不能區(qū)分屬于不 同隧道的數(shù)據(jù)分組。然而,原則上可以考慮多個方法,利用這些方法可 以防止這種沖突的出現(xiàn)。例如,下面列出了四種不同的可能性
-VPN網關為多個不同的、按照M0BIKE標準建立的"MK到VPN ( MK -zu-VPN)"的IPsec隧道選擇不相同的SPI值。鑒于SPI值具有32 位(Stellen),相應于2"個可能的不同SPI值,這在大多數(shù)情況下應 該被視作足夠的。
-不僅應該利用在數(shù)據(jù)分組中的SPI值來調整NSIS節(jié)點,而且還 應該利用在MRI對象中所給出的MK的IP地址域來調整NSIS節(jié)點。這 種方法基本上與按照標準的思考過程(Geist-Ablauf ) —致。
-為了使上面給出的措施是有益的,MK應該在MRI對象中給出用于 VPN網關的一個唯一的IP地址,并且該MK應該盡可能地限制針對自身 IP地址的地址空間。這樣做在MK目前具有例如地址155. 234. 15. 6并且 該MK只在155.234的B級網絡的子網中運動時是有意義的。這種情況 經常在較大的企業(yè)或組織中出現(xiàn),在這樣的企業(yè)或組織中,員工可以帶 著他們的被稱作MK的設備自由運動。在上面的例子中,MK在MRI對象 中給出它的當前IP地址以及一個16位的前綴。
一 MK選擇用于"VPN到MK的隧道(VPN - nach - MK - Tunnel )"的 SPI值,所述SPI值非常不可能與其他MK的SPI值一致。因此可以例如隨機地選擇SPI值,或者借助合適的函數(shù)通過NSIS會話標識符 (NSIS-Session-Identifier)來確定SPI值。
本發(fā)明在商業(yè)上尤其適用于可借助移動終端設備使用的虛擬專用 網以及用于這種網絡的網絡元件的制造和銷售領域。
權利要求
1. 一種用于減少移動節(jié)點(MK)的信令費用的方法,所述移動節(jié)點保持至少一個有效的下一代信令(NSIS)信令會話,以及具有與虛擬專用網(VPN)網關的MOBIKE連接,并且所述移動節(jié)點變換它連接到互聯(lián)網的連接點,其特征是下列方法步驟,-將VPN網關的至少一個IP地址和/或與VPN網關的子網一致的地址空間的至少一個IP地址插入包含在NSIS信令消息中的路由信息(Message-Routing-Information;MRI)對象,-確定安全參數(shù)索引(Security Parameter Index;SPI)的值,-在MRI對象中插入SPI值,以及-在MRI對象中設置S標志,以及-在MRI對象中插入與MK的IP地址有關的地址空間。
2. 根據(jù)權利要求1所述的方法,其特征是,另外在MRI對象中給出 針對MK的IP地址的地址空間,該地址空間包括在考慮到MK的常規(guī)運 動情況下期待的針對MK的可能的IP地址。
3. 根據(jù)權利要求2所述的方法,其特征是,所述MK盡可能地限制針 對自身的IP地址的地址空間。
4. 根據(jù)前面任何一項權利要求所述的方法,其特征是,通過VPN網關 確定SPI值,使得避免IPsec隧道之間的沖突,所述IPsec隧道位于不 同的MK和同一個VPN網關之間。
5. 根據(jù)權利要求1至3中任何一項所述的方法,其特征是,隨機地 選擇SPI值,或者借助于合適的函數(shù)通過NSIS會話標識符來確定SPI 值。
全文摘要
本發(fā)明涉及一種用于減少移動節(jié)點的信令費用的方法,所述移動節(jié)點保持至少一個有效的下一代信令(NSIS)信令會話,以及具有與虛擬專用網(VPN)網關的MOBIKE連接,并且所述移動節(jié)點變換它到互聯(lián)網的連接點,所述方法的方法步驟包括將VPN網關的至少一個IP地址和/或與VPN網關的子網一致的地址空間的至少一個IP地址插入到在NSIS信令消息中所包含的路由信息(Message-Routing-Information;MRI)對象中;確定安全參數(shù)索引(Security Parameter Index;SPI)的值;在MRI對象中插入SPI值;在MRI對象中設置S標志(Flags),以及在MRI對象中插入與MK的IP地址有關的地址空間。
文檔編號H04L29/06GK101523847SQ200780036285
公開日2009年9月2日 申請日期2007年9月24日 優(yōu)先權日2006年9月28日
發(fā)明者A·帕沙利迪斯 申請人:西門子公司