專利名稱:用于控制訪問(wèn)請(qǐng)求的移動(dòng)網(wǎng)絡(luò)管理設(shè)備和移動(dòng)信息管理設(shè)備的制作方法
用于控制訪問(wèn)請(qǐng)求的移動(dòng)網(wǎng)絡(luò)管理設(shè)備和移動(dòng)信息管理設(shè)
備本申請(qǐng)是以下專利申請(qǐng)的分案申請(qǐng)申請(qǐng)?zhí)?00680049365. 7申請(qǐng)日2006年12月26日發(fā)明名稱用于控制訪問(wèn)請(qǐng)求的移動(dòng)網(wǎng)絡(luò)管理設(shè)備和移動(dòng)信息管理設(shè)備發(fā)明領(lǐng)域本發(fā)明涉及移動(dòng)網(wǎng)絡(luò)管理設(shè)備和移動(dòng)信息管理設(shè)備,其使用移動(dòng)通信網(wǎng)絡(luò)來(lái)執(zhí)行通信�����,并且���,具體地��,涉及這樣的移動(dòng)網(wǎng)絡(luò)管理設(shè)備和移動(dòng)信息管理設(shè)備���,其執(zhí)行訪問(wèn)控制, 以改進(jìn)個(gè)人移動(dòng)通信網(wǎng)絡(luò)和歸屬網(wǎng)絡(luò)(home network)的安全性����。
背景技術(shù):
網(wǎng)絡(luò)移動(dòng)性的概念允許即使在用戶離開(kāi)他們的家時(shí)(在家外)也能夠聯(lián)系到他們。允許獲得這樣的行為(action)的一種典型技術(shù)是使用在“ ‘IPv6中的移動(dòng)性支持’�����,Internet Engineering Task Force Request For Comments 3775,2004 年 6 月���,�����,中定義的移動(dòng)IP的技術(shù)(在下文中為“非專利文獻(xiàn)1”)�。通過(guò)使用移動(dòng)IP技術(shù)�����,即使當(dāng)用戶從其通信線纜連接上拔下移動(dòng)裝置時(shí)�,連接性也能夠從用戶的歸屬DSL線路(線纜連接)轉(zhuǎn)移到蜂窩式訪問(wèn)系統(tǒng)(無(wú)線連接)。從線纜連接向無(wú)線連接的切換可以允許用戶繼續(xù)下載文件��、或者進(jìn)行基于IP的語(yǔ)音(VoIP)會(huì)話��。因此����,用戶能夠攜帶移動(dòng)裝置來(lái)回移動(dòng),并且����,即使當(dāng)用戶離開(kāi)家時(shí)�����,也能夠通過(guò)切換到無(wú)線連接點(diǎn)來(lái)保持無(wú)縫的網(wǎng)絡(luò)連接性。此外�����,用戶能夠形成移動(dòng)個(gè)人區(qū)域網(wǎng)絡(luò)(PAN)�,并且,在到處旅行的同時(shí)保持無(wú)縫的網(wǎng)絡(luò)連接性��。獲得類似于PAN的這樣的網(wǎng)絡(luò)移動(dòng)性的一種典型技術(shù)可以是在“網(wǎng)絡(luò)移動(dòng)性(NEMO)基本支持協(xié)議��,�����,���,Internet Engineering Task Force Request For Comments 3963,2005年1月中所定義的網(wǎng)絡(luò)移動(dòng)性(NEMO)(在下文中為“非專利文獻(xiàn)2”)�����。移動(dòng)PAN中的節(jié)點(diǎn)能夠通過(guò)經(jīng)由被置于移動(dòng)PAN中的移動(dòng)路由器(MR)�、來(lái)路由它們所針對(duì)的(intended)數(shù)據(jù)流量,而與其它全局節(jié)點(diǎn)通信�����。MR向歸屬代理(HA����,移動(dòng)信息管理設(shè)備)注冊(cè)它的當(dāng)前位置地址,其也被稱為轉(zhuǎn)交地址(Care-0f-AddresS����,C0A)。歸屬代理(HA)用作用戶的歸屬網(wǎng)絡(luò)內(nèi)的路由器��,且截取以移動(dòng)節(jié)點(diǎn)的歸屬地址為目的地的分組�、封裝該分組、且以隧道的方式將所封裝的分組發(fā)送到所注冊(cè)的移動(dòng)節(jié)點(diǎn)的CoA�����。在NEMO中�����,當(dāng)MR位于外部鏈接(foreign link)上時(shí),在MR和HA之間建立雙向隧道�����,以允許在彼此之間經(jīng)由該雙向隧道發(fā)送分組。正如在非專利文獻(xiàn)2中所描述的,經(jīng)由該雙向隧道發(fā)送源自且終止于移動(dòng)PAN的每個(gè)流量。用戶可以授權(quán)外部節(jié)點(diǎn)在用戶的移動(dòng)PAN內(nèi)操作。在下文中��,該外部節(jié)點(diǎn)被稱作“訪問(wèn)者節(jié)點(diǎn)(VN) ”�����。用戶可以授權(quán)VN訪問(wèn)位于用戶的歸屬網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)(例如�,存在于用戶的歸屬媒體服務(wù)器上的音樂(lè)文件)��。在這種情況下����,在允許VN訪問(wèn)用戶的歸屬網(wǎng)絡(luò)之前,應(yīng)該配置 VN必須遵循的各種安全策略�����。位于DMZ (De-Militarized Zone����,非軍事區(qū))的策略服務(wù)器(安全管理設(shè)備�,其處于用戶的歸屬網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間)中能夠?yàn)閂N實(shí)現(xiàn)在“Benchmarking Terminology for Firewall Performance�����,�����,���,Internet Engineering Task Force Request For Comments 2647,1999年8月(在下文中為“非專利文獻(xiàn)3”)中定義的安全策略�����。DMZ處于用戶的歸屬域和全球因特網(wǎng)之間�����。美國(guó)專利申請(qǐng)公開(kāi)號(hào)2004-0120295(在下文中為“專利文獻(xiàn)1”)建議了一種方法��, 其允許位于歸屬網(wǎng)絡(luò)內(nèi)的通信對(duì)端節(jié)點(diǎn)(correspondent node,CN)與附連于外部鏈路的移動(dòng)節(jié)點(diǎn)(MN)建立安全通信信道�����。移動(dòng)IP代理連同位于DMZ中的VPN(Virtual Private Network����,虛擬私有網(wǎng)絡(luò)) 服務(wù)器一起將允許MN和CN在它們之間建立安全隧道。根據(jù)在非專利文獻(xiàn)3中所公開(kāi)的技術(shù)��,由于在MR和HA中通過(guò)隧道發(fā)送移動(dòng)PAN 內(nèi)的每個(gè)流量��,所以����,VN的分組將繞過(guò)(bypass)DMZ內(nèi)的策略服務(wù)器,并且��,因此�,將不會(huì)實(shí)現(xiàn)已經(jīng)由用戶設(shè)置的各種安全策略�。然而,在專利文獻(xiàn)1所公開(kāi)的技術(shù)中��,移動(dòng)IP代理扮演對(duì)于麗的替代 (surrogate) HA,以及對(duì)于HA的替代MN��。這意味著移動(dòng)IP代理需要具有MN和HA兩者的安全關(guān)聯(lián)密鑰的知識(shí)�。專利文獻(xiàn)1的技術(shù)還沒(méi)有考慮到在位于外部網(wǎng)絡(luò)的MR的控制之下的所連接的VN的訪問(wèn)控制。
發(fā)明內(nèi)容
考慮到前述問(wèn)題��,本發(fā)明的目的在于,提供這樣的網(wǎng)絡(luò)管理設(shè)備和移動(dòng)信息管理設(shè)備���,其能夠基于由歸屬用戶針對(duì)于從訪問(wèn)者節(jié)點(diǎn)(VN)發(fā)送的分組而設(shè)置的各種安全策略��,確切地執(zhí)行訪問(wèn)控制�����。為了達(dá)到這樣的目的���,根據(jù)本發(fā)明,提供了一種用于控制移動(dòng)網(wǎng)絡(luò)�、且隨著移動(dòng)網(wǎng)絡(luò)而移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備,包括訪問(wèn)請(qǐng)求接收單元���,用于從連接到移動(dòng)網(wǎng)絡(luò)的通信終端接收對(duì)移動(dòng)網(wǎng)絡(luò)管理設(shè)備的歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求��;確定單元�,用于確定是否允許已發(fā)送了由訪問(wèn)請(qǐng)求接收單元所接收的訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)��;歸屬網(wǎng)絡(luò)通信單元�����,用于當(dāng)允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí),向存在于歸屬網(wǎng)絡(luò)中的移動(dòng)信息管理設(shè)備轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求��;以及安全網(wǎng)絡(luò)通信單元���,用于當(dāng)不允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)�����,向位于安全網(wǎng)絡(luò)中的安全管理設(shè)備轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求����,并執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)控制����,其中,該安全網(wǎng)絡(luò)位于歸屬網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間�����。通過(guò)上面的結(jié)構(gòu)�,能夠識(shí)別連接到移動(dòng)網(wǎng)絡(luò)的訪問(wèn)者節(jié)點(diǎn)(VN)��,且安全管理設(shè)備 (策略服務(wù)器)能夠執(zhí)行訪問(wèn)控制�,以管理訪問(wèn)者節(jié)點(diǎn)獲得訪問(wèn)歸屬網(wǎng)絡(luò)的權(quán)限���。
此外,除了該結(jié)構(gòu)�,配置本發(fā)明的移動(dòng)網(wǎng)絡(luò)管理設(shè)備,以包括通信終端指定單元���,用于指定在該通信終端連接到該移動(dòng)網(wǎng)絡(luò)的時(shí)刻���,是否允許該通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn);以及信息存儲(chǔ)單元����,用于存儲(chǔ)指示是否允許該通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)的信息,其中���,通過(guò)參考存儲(chǔ)于信息存儲(chǔ)單元中的信息����,確定單元確定是否允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)��。該結(jié)構(gòu)可以存儲(chǔ)指示在節(jié)點(diǎn)被連接到移動(dòng)網(wǎng)絡(luò)的時(shí)間點(diǎn)上�����、該節(jié)點(diǎn)是否為訪問(wèn)者節(jié)點(diǎn)的信息,并通過(guò)使用該信息而識(shí)別已產(chǎn)生訪問(wèn)請(qǐng)求的通信終端是否為訪問(wèn)者節(jié)點(diǎn)�����。此外�����,除了該結(jié)構(gòu)�����,本發(fā)明的移動(dòng)網(wǎng)絡(luò)管理設(shè)備包括前綴(prefix)通知單元�,用于將不同地址的前綴分別通知給允許執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端、以及不允許執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端�,其中,通過(guò)參考該訪問(wèn)請(qǐng)求的發(fā)送方的地址的前綴�����,所述確定單元確定是否允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)�����。該結(jié)構(gòu)允許被分配給訪問(wèn)者節(jié)點(diǎn)的地址的前綴不同于歸屬用戶的節(jié)點(diǎn)的地址的前綴�����,從而使得有可能通過(guò)參考已產(chǎn)生訪問(wèn)請(qǐng)求的發(fā)送方的地址的前綴��,而識(shí)別已經(jīng)產(chǎn)生訪問(wèn)請(qǐng)求的通信終端是否為訪問(wèn)者節(jié)點(diǎn)���。此外���,除了該結(jié)構(gòu),本發(fā)明的移動(dòng)網(wǎng)絡(luò)管理設(shè)備包括第一隧道傳送單元����,其形成與移動(dòng)信息管理設(shè)備的隧道,以及當(dāng)歸屬網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求時(shí)�,第一隧道傳送單元封裝該訪問(wèn)請(qǐng)求;以及第二隧道傳送單元�����,其形成與安全管理設(shè)備的隧道���,以及當(dāng)安全網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求時(shí)����,第二隧道傳送單元封裝該訪問(wèn)請(qǐng)求。該結(jié)構(gòu)允許移動(dòng)網(wǎng)絡(luò)管理設(shè)備(移動(dòng)路由器)在安全狀態(tài)下���,將從移動(dòng)網(wǎng)絡(luò)管理設(shè)備(移動(dòng)路由器)控制下的通信終端接收的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到移動(dòng)信息管理設(shè)備(歸屬代理)或者安全管理設(shè)備(策略服務(wù)器)���,而不改變?cè)撛L問(wèn)請(qǐng)求。 為了達(dá)到這樣的目的�����,根據(jù)本發(fā)明�����,提供一種用于控制移動(dòng)網(wǎng)絡(luò)�、且隨著移動(dòng)網(wǎng)絡(luò)移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備,包括訪問(wèn)請(qǐng)求接收單元���,用于從連接到移動(dòng)網(wǎng)絡(luò)的通信終端接收對(duì)移動(dòng)網(wǎng)絡(luò)管理設(shè)備的歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求����;確定單元�,用于確定是否允許已發(fā)送了由訪問(wèn)請(qǐng)求接收單元所接收的訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn);信息添加單元,用于向訪問(wèn)請(qǐng)求添加索引信息�,其指示是否允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)����;以及歸屬網(wǎng)絡(luò)通信單元,用于向存在于歸屬網(wǎng)絡(luò)中的移動(dòng)信息管理設(shè)備轉(zhuǎn)發(fā)具有由信息添加單元對(duì)其添加的索引信息的訪問(wèn)請(qǐng)求��。該結(jié)構(gòu)使得有可能通過(guò)向從訪問(wèn)者節(jié)點(diǎn)到歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求添加索引信息�����、而識(shí)別連接到移動(dòng)網(wǎng)絡(luò)的訪問(wèn)者節(jié)點(diǎn)(VN)0索引信息的存在指示該訪問(wèn)請(qǐng)求是從訪問(wèn)者節(jié)點(diǎn)產(chǎn)生的��。此外�,除了該結(jié)構(gòu),本發(fā)明的移動(dòng)網(wǎng)絡(luò)管理設(shè)備包括
通信終端指定單元�����,用于指定在該通信終端連接到該移動(dòng)網(wǎng)絡(luò)的時(shí)刻���,是否允許該通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)����;以及信息存儲(chǔ)單元,用于存儲(chǔ)指示是否允許該通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)的信息���,其中��,通過(guò)參考存儲(chǔ)于信息存儲(chǔ)單元中的信息�����,確定單元確定是否允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)���。該結(jié)構(gòu)可以存儲(chǔ)指示在節(jié)點(diǎn)被連接到移動(dòng)網(wǎng)絡(luò)的時(shí)間點(diǎn)上、該節(jié)點(diǎn)是訪問(wèn)者節(jié)點(diǎn)的信息����。該信息也允許用來(lái)識(shí)別已產(chǎn)生訪問(wèn)請(qǐng)求的通信終端是否為訪問(wèn)者節(jié)點(diǎn)的手段。此外���,除了該結(jié)構(gòu)�����,本發(fā)明的移動(dòng)網(wǎng)絡(luò)管理設(shè)備包括前綴通知單元��,用于將不同地址的前綴分別通知給允許執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端和不允許執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端�,其中,通過(guò)參考該訪問(wèn)請(qǐng)求的發(fā)送方的地址的前綴��,所述確定單元確定是否允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)��。該結(jié)構(gòu)允許訪問(wèn)者節(jié)點(diǎn)和歸屬用戶的節(jié)點(diǎn)為歸屬網(wǎng)絡(luò)中的通信單元使用不同的地址前綴��。因此��,這使得有可能通過(guò)參考地址中所使用的前綴�����、而識(shí)別已經(jīng)產(chǎn)生訪問(wèn)請(qǐng)求的通信終端是否為訪問(wèn)者節(jié)點(diǎn)��。此外�,除了該結(jié)構(gòu)���,本發(fā)明的移動(dòng)網(wǎng)絡(luò)管理設(shè)備包括隧道傳送單元����,其形成與移動(dòng)信息管理設(shè)備的隧道�,并且,當(dāng)歸屬網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求時(shí)��,該隧道傳送單元封裝該訪問(wèn)請(qǐng)求。該結(jié)構(gòu)能夠允許移動(dòng)網(wǎng)絡(luò)管理設(shè)備(移動(dòng)路由器)在安全狀態(tài)下�,將從在移動(dòng)網(wǎng)絡(luò)管理設(shè)備(移動(dòng)路由器)控制下的通信終端接收的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)到移動(dòng)信息管理設(shè)備 (歸屬代理),而不改變?cè)撛L問(wèn)請(qǐng)求���。為了達(dá)到該目的�,根據(jù)本發(fā)明���,提供一種移動(dòng)信息管理設(shè)備���,其執(zhí)行對(duì)試圖直接訪問(wèn)歸屬網(wǎng)絡(luò)的通信終端的移動(dòng)管理,包括分組接收單元�����,其從控制移動(dòng)網(wǎng)絡(luò)����、且隨著移動(dòng)網(wǎng)絡(luò)而移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備接收封裝的分組;解封裝單元���,用于解封裝所述封裝的分組���;確定單元����,用于當(dāng)解封裝的內(nèi)部分組是對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求時(shí)��,通過(guò)參考該內(nèi)部分組中的發(fā)送方的地址的前綴�����,確定是否允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)�����;歸屬網(wǎng)絡(luò)通信單元���,用于當(dāng)允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí),向由內(nèi)部分組的目的地地址指定的目的地轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求�;以及安全網(wǎng)絡(luò)通信單元,用于當(dāng)不允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)����,向位于安全網(wǎng)絡(luò)中的安全管理設(shè)備轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求,并執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)控制����,其中�����,該安全網(wǎng)絡(luò)位于歸屬網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間��。利用該結(jié)構(gòu)����,在分配地址的前綴�、以便將允許對(duì)歸屬網(wǎng)絡(luò)執(zhí)行直接訪問(wèn)的通信終端與不允許對(duì)歸屬網(wǎng)絡(luò)執(zhí)行直接訪問(wèn)的通信終端區(qū)分的情況下,移動(dòng)信息管理設(shè)備(歸屬代理)能夠通過(guò)參考已經(jīng)產(chǎn)生訪問(wèn)請(qǐng)求的發(fā)送方的地址的前綴�����,而識(shí)別已經(jīng)產(chǎn)生訪問(wèn)請(qǐng)求的通信終端是否是訪問(wèn)者節(jié)點(diǎn)���。
為了達(dá)到該目的�,根據(jù)本發(fā)明����,提供一種移動(dòng)信息管理設(shè)備,其執(zhí)行對(duì)試圖直接訪問(wèn)歸屬網(wǎng)絡(luò)的通信終端的移動(dòng)管理����,包括分組接收單元����,從控制移動(dòng)網(wǎng)絡(luò)�、且隨著移動(dòng)網(wǎng)絡(luò)而移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備接收封裝的分組;解封裝單元�����,用于解封裝所述封裝的分組�,并獲得添加到所封裝的首標(biāo)、并指示是否允許解封裝的內(nèi)部分組的發(fā)送方執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)的索引信息���;確定單元���,用于當(dāng)解封裝的內(nèi)部分組是對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求時(shí)�,通過(guò)該內(nèi)部分組中的參考索引信息,確定是否允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)��;歸屬網(wǎng)絡(luò)通信單元�����,用于當(dāng)允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)�,向由內(nèi)部分組的目的地地址指定的目的地轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求�;以及安全網(wǎng)絡(luò)通信單元��,用于當(dāng)不允許已發(fā)送了該訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)���,向位于安全網(wǎng)絡(luò)中的安全管理設(shè)備轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求��,并執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)控制�����,其中�,該安全網(wǎng)絡(luò)位于歸屬網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間���。利用該結(jié)構(gòu)�,在使用添加到訪問(wèn)請(qǐng)求的索引信息��,以便區(qū)分是否允許該通信終端執(zhí)行對(duì)該歸屬網(wǎng)絡(luò)的直接訪問(wèn)的情況下���,所述移動(dòng)信息管理設(shè)備(歸屬代理)能夠通過(guò)參考索引信息�����,識(shí)別已經(jīng)產(chǎn)生訪問(wèn)請(qǐng)求的通信終端是否為訪問(wèn)者節(jié)點(diǎn)��。此外��,除了該結(jié)構(gòu)�����,本發(fā)明的移動(dòng)信息管理設(shè)備包括隧道傳送單元����,其形成與安全管理設(shè)備的隧道,并且�����,當(dāng)安全網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求時(shí)�����,該隧道傳送單元封裝該訪問(wèn)請(qǐng)求�。該結(jié)構(gòu)能夠允許移動(dòng)網(wǎng)絡(luò)管理設(shè)備(移動(dòng)路由器)在安全狀態(tài)下���,轉(zhuǎn)發(fā)從安全管理設(shè)備(策略服務(wù)器)控制下的通信終端接收的訪問(wèn)請(qǐng)求�����,而不改變?cè)L問(wèn)請(qǐng)求����。具有上述結(jié)構(gòu)的本發(fā)明具有優(yōu)勢(shì),以使得有可能基于由歸屬用戶設(shè)置的針對(duì)于從訪問(wèn)者節(jié)點(diǎn)(VN)發(fā)送的分組的各種安全策略�,確保訪問(wèn)控制的適當(dāng)執(zhí)行。
圖1是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的移動(dòng)路由器(MR)的配置的優(yōu)選示例的圖��;圖2是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的歸屬代理(HA)的配置的優(yōu)選示例的圖��;圖3是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的通信系統(tǒng)的圖���;圖4A是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的���、歸屬代理(HA)如何向移動(dòng)路由器(MR) 通知與在非軍事區(qū)域(DMZ)內(nèi)的策略服務(wù)器有關(guān)的信息的一個(gè)示例的順序圖;圖4B是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例���、歸屬代理(HA)如何向移動(dòng)路由器(MR)通知與在非軍事區(qū)域(DMZ)內(nèi)的策略服務(wù)器有關(guān)的信息的另一個(gè)示例的順序圖����;圖5是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的向訪問(wèn)者節(jié)點(diǎn)(VN)傳輸文件的過(guò)程的一個(gè)示例的順序圖�;圖6是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的、用于標(biāo)記分組以在來(lái)自歸屬用戶節(jié)點(diǎn)的分組和來(lái)自訪問(wèn)者節(jié)點(diǎn)(VN)的分組之間進(jìn)行區(qū)分的分組結(jié)構(gòu)的一個(gè)示例的圖;以及圖7是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的從訪問(wèn)者節(jié)點(diǎn)(VN)傳輸文件請(qǐng)求的過(guò)程的一個(gè)示例的順序圖��。
具體實(shí)施例方式下面將參考附圖描述本發(fā)明的優(yōu)選實(shí)施例�。首先,將說(shuō)明根據(jù)本發(fā)明的一個(gè)實(shí)施例的移動(dòng)路由器的配置�。圖1是圖解根據(jù)本發(fā)明的一個(gè)實(shí)施例的移動(dòng)路由器(MR)的配置的優(yōu)選示例的圖。圖1中所示的MR 10包括訪問(wèn)接口 11�����,其允許MR 10向其它節(jié)點(diǎn)傳送分組�、以及從其它節(jié)點(diǎn)接收分組。作為示例���,訪問(wèn)接口 11可以是Wi-Fi (Wireless Fidelity���,無(wú)線保真)、藍(lán)牙(注冊(cè)商標(biāo))�����、或者蜂窩(蜂窩式電話)�����,但不僅僅限定為這些接口���。訪問(wèn)接口 11 經(jīng)由路徑15���,向/從處理器12發(fā)送/接收分組。MR 10還包括處理器12��,其處理傳入(incoming)和傳出(outgoing)的分組�。處理器12執(zhí)行形成雙向隧道的過(guò)程、以及產(chǎn)生對(duì)MR 10的綁定更新的過(guò)程����。另外,處理器12 執(zhí)行對(duì)從它的歸屬代理接收的綁定應(yīng)答(binding acknowledgements)的過(guò)程��、以及更新存儲(chǔ)于數(shù)據(jù)存儲(chǔ)裝置14中的綁定更新列表的過(guò)程�。當(dāng)需要安全密鑰時(shí),經(jīng)由路徑16��,處理器12向位于MR 10內(nèi)的密鑰產(chǎn)生器13發(fā)送信號(hào)���。當(dāng)該密鑰產(chǎn)生器13接收到該信號(hào)時(shí)�,該密鑰產(chǎn)生器13產(chǎn)生處理器12所需的密鑰��, 并經(jīng)由路徑16向處理器12發(fā)送該密鑰。該MR 10也包括數(shù)據(jù)存儲(chǔ)裝置14���,其存儲(chǔ)MR 10所需的信息����。該數(shù)據(jù)存儲(chǔ)裝置14 經(jīng)由路徑17連接到處理器12���,其向/從數(shù)據(jù)存儲(chǔ)裝置14存儲(chǔ)/讀取信息�。作為示例��,存儲(chǔ)于數(shù)據(jù)存儲(chǔ)裝置14中的信息可以是歸屬地址(home address)的前綴(在下文中�����,其也可以被稱作歸屬地址前綴)�、綁定更新列表、或者移動(dòng)網(wǎng)絡(luò)的前綴�,但并不限于那些信息。圖2是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的歸屬代理(HA)的配置的優(yōu)選示例的圖��。示于圖2中的HA 20包括訪問(wèn)接口 21�����,其允許HA 20向其它節(jié)點(diǎn)傳送分組,或從其它節(jié)點(diǎn)接收分組�����。訪問(wèn)接口 21可以是以太網(wǎng)(注冊(cè)商標(biāo))�����、Wi-Fi或者蜂窩(蜂窩式電路)�����,但并不限定于那些接口��。訪問(wèn)接口 21經(jīng)由路徑25向/從處理器22發(fā)送/接收分組�。位于HA 20中的處理器22具有諸如處理從路徑25傳入和傳出的分組���、以及形成雙向隧道的功能�����。該HA20還具有處理從MR 10發(fā)送的綁定更新消息��、經(jīng)由路徑27更新存儲(chǔ)于數(shù)據(jù)存儲(chǔ)裝置14中的綁定更新緩存��、以及向MRlO發(fā)送綁定確認(rèn)的功能���。該HA20還具有密鑰產(chǎn)生器23��,其一旦經(jīng)由路徑沈從處理器22接收到信號(hào)���,便產(chǎn)生必要的密鑰,并經(jīng)由路徑沈?qū)⑺雒荑€發(fā)送到處理器22���。該HA 20還具有數(shù)據(jù)存儲(chǔ)裝置M���,其存儲(chǔ)HA 20所需要的信息。作為示例�����,存儲(chǔ)于數(shù)據(jù)存儲(chǔ)裝置M的信息可以是歸屬地址前綴���、綁定更新緩存���、或者移動(dòng)網(wǎng)絡(luò)前綴,但并不限于那些信息����。接下來(lái)���,將解釋根據(jù)本發(fā)明的優(yōu)選實(shí)施例的通信系統(tǒng)的概覽。圖3是圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的通信系統(tǒng)的一個(gè)示例的圖����。在圖3所顯示的通信系統(tǒng)中����,移動(dòng)個(gè)人區(qū)域網(wǎng)絡(luò)(PAN) 30包括訪問(wèn)者節(jié)點(diǎn)(VN) 31,其作為移動(dòng)PAN 30的外部節(jié)點(diǎn)而活動(dòng)�。該VN 31 可以是移動(dòng)節(jié)點(diǎn)或固定節(jié)點(diǎn)。移動(dòng)PAN 30還包括移動(dòng)路由器(MR) 10�����,其路由移動(dòng)PAN 30內(nèi)的所有流量�。在該實(shí)施例中,當(dāng)MR 10執(zhí)行與通信對(duì)端節(jié)點(diǎn)(CN)(未在該系統(tǒng)中示出)的路徑優(yōu)化時(shí)��,MR 10可以直接向CN發(fā)送分組�,但將向歸屬代理20 (HA)路由移動(dòng)PAN 30內(nèi)的所有流量.該VN 31被連接到移動(dòng)路由器(MR) 10,且將被授權(quán)在移動(dòng)PAN 30內(nèi)工作�����。該MR 10和HA 20通過(guò)訪問(wèn)系統(tǒng)32建立雙向隧道37a,以允許在它們之間路由流量�。訪問(wèn)系統(tǒng)32可以是、但不限于因特網(wǎng)��、蜂窩式網(wǎng)絡(luò)等等�。該MR 10和策略服務(wù)器36為了在彼此之間路由流量,而通過(guò)訪問(wèn)系統(tǒng)32建立另一個(gè)雙向隧道37c��。例如��,如將在后面描述的那樣�����,在MR 10向策略服務(wù)器36轉(zhuǎn)發(fā)分組的模式中�����,需要該雙向隧道37c�����,而在MR 10只向HA 20轉(zhuǎn)發(fā)分組的模式中,不需要建立該雙向隧道 37c�����。歸屬網(wǎng)絡(luò)33包括HA 20���,HA 20向其轉(zhuǎn)發(fā)所有目的地為MR 10的分組��,因此����,即使當(dāng)MR 10不在歸屬網(wǎng)絡(luò)33中時(shí)�����,也允許MR 10保持為可到達(dá)����。該HA 20維持當(dāng)前的轉(zhuǎn)交地址(CoA)的更新�,并建立到MR 10的雙向隧道37a,以便路由流量����。另外,該HA20與策略服務(wù)器36通信,以便向彼此路由流量���。此外�,HA20可以與策略服務(wù)器36建立雙向隧道37b����。歸屬網(wǎng)絡(luò)33還包括媒體服務(wù)器34。媒體服務(wù)器34包括歸屬用戶的VN 31想要獲得訪問(wèn)的數(shù)據(jù)34a���。數(shù)據(jù)3 可以是音頻文件或視頻文件等等���,但并不限于那些文件類型。為了改進(jìn)歸屬網(wǎng)絡(luò)的33的安全級(jí)別��,向歸屬網(wǎng)絡(luò)33提供DMZ (De-Militarized Zone) 35 0該DMZ 35包括策略服務(wù)器36�����,其包括將對(duì)來(lái)自VN 31的數(shù)據(jù)分組的接收起作用的安全策略36a�。策略服務(wù)器36可以是位于DMZ 35中的一個(gè)或多個(gè)服務(wù)器,但并不限于該結(jié)構(gòu)�����。 該策略服務(wù)器36可以具有防火墻網(wǎng)關(guān)的功能。該安全策略36a具有擴(kuò)展標(biāo)記語(yǔ)言的格式 (XML)�����,但并不限于此���,此外��,該安全策略36a可以是用戶實(shí)現(xiàn)的策略����,但并不限于此����。當(dāng)MR 10在歸屬網(wǎng)絡(luò)33內(nèi)時(shí),該MR 10執(zhí)行從HA 20獲取一個(gè)歸屬地址前綴或多個(gè)歸屬地址前綴����、以確定MR 10的歸屬地址的操作��。在這種情況中����,一旦MR 10獲得該歸屬地址前綴,該MR 10便使用無(wú)國(guó)籍(stateless)地址自動(dòng)配置,以配置唯一的歸屬地址�,并向HA 20注冊(cè)所述唯一的歸屬地址?��?赏ㄟ^(guò)例如人工預(yù)設(shè)的任意方法設(shè)置MR 10的歸屬地址�����。一旦該MR 10已經(jīng)成功地配置其歸屬地址���,該MR 10便能夠在移動(dòng)PAN30內(nèi)廣播從HA20中所獲得的一個(gè)歸屬地址前綴、或多個(gè)歸屬地址前綴�����。隨后��,連接到MR 10的節(jié)點(diǎn)能夠使用所廣播的前綴來(lái)配置它們的唯一的歸屬地址�����。連接到MR 10的節(jié)點(diǎn)可以是訪問(wèn)者節(jié)點(diǎn)(VN)31���、或者歸屬用戶節(jié)點(diǎn)�,但并不限于此。正如隨后所討論的���,此時(shí)�����,MR 10可以向歸屬用戶節(jié)點(diǎn)����、固定于移動(dòng)個(gè)人區(qū)域網(wǎng)絡(luò)PAN 30中的本地固定節(jié)點(diǎn)(LFN)��、以及作為訪問(wèn)控制的目標(biāo)的VN 31分配不同的前綴�����。當(dāng)MR 10離開(kāi)歸屬網(wǎng)絡(luò)33����、且被連接到外部鏈路時(shí),該MR 10從所連接的 AR(Access Router��,訪問(wèn)路由器)獲得轉(zhuǎn)交地址(CoA)�。一旦該MR 10已成功地獲得CoA�����,該MR 10便嘗試通過(guò)執(zhí)行安全關(guān)聯(lián)(security association)而與HA 20建立雙向隧道。在MR 10和HA 20之間建立安全關(guān)聯(lián)的方法可以是但不限于因特網(wǎng)密鑰交換(IKE)�。一旦已建立了該MR 10和HA 20之間的安全關(guān)聯(lián),該MR 10隨后便將執(zhí)行向HA 20 發(fā)送綁定更新(BU)消息��、以更新當(dāng)前點(diǎn)的地址的過(guò)程�。
在更新其BU緩存之前,該HA 20檢查BU消息是否是來(lái)自有效的歸屬用戶��。隨后�, HA 20將把該MR 10的唯一的歸屬地址與MR 10的當(dāng)前的CoA相關(guān)聯(lián)。一旦已建立了所述雙向隧道37a����,該HA 20便將把關(guān)于DMZ 35內(nèi)的策略服務(wù)器36 的信息轉(zhuǎn)發(fā)到MR 10。參考圖4A和圖4B�,將討論所述HA 20如何將關(guān)于DMZ 35內(nèi)的策略服務(wù)器36的信息通知給移動(dòng)路由器。與圖4A和圖4B相關(guān)的過(guò)程是MR 10獲得用來(lái)與策略服務(wù)器36建立雙向隧道37c的信息(關(guān)于策略服務(wù)器36的信息)���。這些步驟是可選的�, 并且�,當(dāng)MR 10預(yù)先包含關(guān)于策略服務(wù)器36的信息時(shí)、或者當(dāng)不需要建立雙向隧道37c時(shí)���, 不需要執(zhí)行這些步驟���。圖4A示出了圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的����、HA 20如何向移動(dòng)路由器通知與在 DMZ 35內(nèi)的策略服務(wù)器36有關(guān)的信息的一個(gè)示例的順序圖�。在圖4A中,當(dāng)MR 10向HA 20注冊(cè)當(dāng)前CoA時(shí)��,該HA 20將向MR 10轉(zhuǎn)發(fā)DMZ 35 中的關(guān)于策略服務(wù)器36的信息(在圖4A中描述為PS Info)(步驟S40)�����。關(guān)于策略服務(wù)器 36的信息是策略服務(wù)器36的地址���、或者安全關(guān)聯(lián)密鑰�,但并不限于那些信息���。該地址可以是但不限于IP地址���。該MR 10在數(shù)據(jù)存儲(chǔ)裝置14中存儲(chǔ)策略服務(wù)器36的地址,并通過(guò)確認(rèn)(在圖4A 中描述為Ack)來(lái)回復(fù)HA 20(步驟S41)。此時(shí)���,該MR 10可以使用安全關(guān)聯(lián)密鑰而與策略服務(wù)器36形成雙向隧道37c。圖4A示出了圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的�、HA 20如何向移動(dòng)路由器通知與在 DMZ 35內(nèi)的策略服務(wù)器36有關(guān)的信息的另一個(gè)示例的順序圖。在圖4B中���,該HA 20保持且周期地更新DMZ 35內(nèi)的可用策略服務(wù)器36的列表����。 策略服務(wù)器36的列表被存儲(chǔ)于數(shù)據(jù)存儲(chǔ)裝置M內(nèi)���。因此��,當(dāng)存在多個(gè)策略服務(wù)器36時(shí)�, 這將允許HA20執(zhí)行多個(gè)策略服務(wù)器之間的負(fù)載平衡(load balancing)�。該MR 10向HA20發(fā)送針對(duì)有關(guān)策略服務(wù)器36的信息(在圖4B中描述為PS Info) 的請(qǐng)求(步驟S^)。該HA 20處理該請(qǐng)求(步驟S4!3)���,并通過(guò)參考策略服務(wù)器36的列表�����, 檢查哪個(gè)策略服務(wù)器36是可用的�。一旦該HA 20決定將處理MR 10的分組的該策略服務(wù)器36,該HA 20便將對(duì)MR 10 作出響應(yīng)���。由于接下來(lái)的過(guò)程與圖4A中所示的步驟40和41相同�,所以���,將略去它們的描述���。訪問(wèn)者節(jié)點(diǎn)(VN) 31是移動(dòng)PAN 30外部的節(jié)點(diǎn)。當(dāng)該VN 31進(jìn)入該移動(dòng)PAN 30 時(shí)�����,該VN 31通過(guò)與MR 10通信����,而嘗試連接到移動(dòng)PAN 30。該VN 31從MR 10接收RA(Router Advertisement��,路由器廣告)�,其包括可由移動(dòng)PAN 30使用的歸屬前綴。該MR 10可以向VN 31分配與分配給歸屬用戶的節(jié)點(diǎn)的歸屬前綴不同的歸屬前綴(VN 31的前綴)����。該VN 31可向MR 10發(fā)送RS (Router Solicitation, 路由器懇求)請(qǐng)求����,以獲得該歸屬前綴�。在獲得該歸屬前綴之后�����,該VN 31配置有效地址�����, 以在移動(dòng)PAN 30內(nèi)操作����。當(dāng)該VN 31首先請(qǐng)求由MR 10所提供的路由服務(wù)時(shí),該MR 10執(zhí)行驗(yàn)證該VN 31 的過(guò)程����。VN 31的驗(yàn)證可以是但不限于802. Ix共享的密鑰驗(yàn)證。在移動(dòng)PAN 30內(nèi)的歸屬用戶節(jié)點(diǎn)應(yīng)與MR 10共享預(yù)共享的秘密也是所期望的��。當(dāng)MR 10已經(jīng)識(shí)別出VN 31是移動(dòng)PAN 30的外部節(jié)點(diǎn)時(shí)����,該MR 10在數(shù)據(jù)存儲(chǔ)裝置14中存儲(chǔ)關(guān)于VN 31的信息�。上述操作將VN 31連接到移動(dòng)PAN 30���。位于歸屬網(wǎng)絡(luò)33中媒體服務(wù)器34中的數(shù)據(jù)3 是位于移動(dòng)PAN 30內(nèi)的任一節(jié)點(diǎn)都可訪問(wèn)的數(shù)據(jù)��,并且��,VN 31也可訪問(wèn)數(shù)據(jù)34a?�,F(xiàn)在��,將給出根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施例的VN 31訪問(wèn)存在于媒體服務(wù)器34中的數(shù)據(jù)34a的操作的描述��。下面的描述是對(duì)MR 10與HA 20建立雙向隧道37a且與策略服務(wù)器36建立雙向隧道37c的情況���、以及MR 10只與HA 20建立雙向隧道37a的情況而給出的。參考圖5�����,將給出使用在MR 10和HA 20之間建立的雙向隧道37a和在MR 10與策略服務(wù)器36之間建立的雙向隧道37c兩者的情況的描述�。盡管圖5圖解了在HA20和策略服務(wù)器36之間建立雙向隧道37b的狀態(tài),在HA20和策略服務(wù)器36之間建立雙向隧道37b 應(yīng)當(dāng)是沒(méi)有必要的����。圖5示出了圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的對(duì)VN 31的文件傳輸?shù)倪^(guò)程的一個(gè)示例的順序圖��。在圖5中��,VN 31嘗試從媒體服務(wù)器34檢索數(shù)據(jù)34a�����,并向MR 10發(fā)送文件請(qǐng)求 (步驟S50)。該MR 10處理該請(qǐng)求(步驟S51)��,且確定文件請(qǐng)求的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是移動(dòng)PAN 30內(nèi)的VN 31���。當(dāng)文件請(qǐng)求的發(fā)送方是未被授權(quán)訪問(wèn)數(shù)據(jù)34a的節(jié)點(diǎn)時(shí)����,所述MR 10可以在該時(shí)間點(diǎn)上拒絕該文件請(qǐng)求����。存在可用于確定文件請(qǐng)求的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是移動(dòng)PAN 30中的VN 31 的各種方法。例如�,該MR 10可在驗(yàn)證該VN 31時(shí),通過(guò)參考存儲(chǔ)于數(shù)據(jù)存儲(chǔ)裝置14中的關(guān)于VN 31的信息���,指定文件請(qǐng)求的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是外部節(jié)點(diǎn)(即���,VN 31)�。當(dāng)配置該MR 10以為VN 31分配與歸屬用戶節(jié)點(diǎn)的前綴不同的前綴時(shí)����,該MR 10 可以通過(guò)參考文件請(qǐng)求發(fā)送方的地址的前綴,指定文件請(qǐng)求的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是外部節(jié)點(diǎn)(即���,VN 31)����。確定文件請(qǐng)求的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是移動(dòng)PAN 30中的VN 31的方法并不限于上面所描述的方法�。當(dāng)文件請(qǐng)求的發(fā)送方被指定為VN 31時(shí),該MR 10封裝文件請(qǐng)求消息�,且經(jīng)由雙向隧道37c,向DMZ 35中的策略服務(wù)器36隧道傳送(tunnel)該文件請(qǐng)求消息(步驟S52)�。在策略服務(wù)器36處,來(lái)自MR 10的分組被解封裝�,且在考慮到安全策略36a的情況下處理該文件請(qǐng)求消息(步驟S5!3)。當(dāng)文件請(qǐng)求消息滿足安全策略36a中的條件(例如��,當(dāng)考慮到安全策略36a�,而允許由VN 31訪問(wèn)數(shù)據(jù)3 時(shí))時(shí)�����,該策略服務(wù)器36向媒體服務(wù)器34轉(zhuǎn)發(fā)該文件請(qǐng)求消息(步驟S54)�����。該策略服務(wù)器36可以在向媒體服務(wù)器34轉(zhuǎn)發(fā)該文件請(qǐng)求消息之前���,封裝該文件請(qǐng)求消息。當(dāng)該文件請(qǐng)求消息不滿足安全策略36a中的條件時(shí)��,例如����,策略服務(wù)器36以消息的形式向MR 10發(fā)送響應(yīng)���,以拒絕該文件請(qǐng)求�。該策略服務(wù)器36能夠起到VN 31的歸屬代理的作用�����。策略服務(wù)器36可以經(jīng)由HA 20向媒體服務(wù)器34轉(zhuǎn)發(fā)文件請(qǐng)求消息��。該媒體服務(wù)器34處理該文件請(qǐng)求消息(步驟S55),以確定請(qǐng)求是否來(lái)自被授權(quán)實(shí)體����。當(dāng)確定該文件請(qǐng)求來(lái)自被授權(quán)實(shí)體時(shí),該媒體服務(wù)器34向HA20轉(zhuǎn)發(fā)所請(qǐng)求的文件(步驟S56)��,并且�,隨后,HA 20經(jīng)由雙向隧道37a向MR 10傳送該文件(步驟S57)����。一旦接收到該文件,MR 10便向VN 31轉(zhuǎn)發(fā)該文件(步驟S58)���。該MR 10可以使用路徑優(yōu)化技術(shù)與媒體服務(wù)器34形成雙向隧道���,以使得安全地在MR 10和媒體服務(wù)器34之間傳輸數(shù)據(jù)34a。盡管圖5圖解了當(dāng)VN 31已經(jīng)產(chǎn)生文件請(qǐng)求時(shí)的過(guò)程��,但歸屬用戶節(jié)點(diǎn)可以產(chǎn)生文件請(qǐng)求�����。在這種情況中���,該MR 10指定文件請(qǐng)求的發(fā)送方是歸屬用戶節(jié)點(diǎn)����,封裝該文件請(qǐng)求消息,并經(jīng)由雙向隧道37a向HA 20發(fā)送該文件請(qǐng)求消息�。當(dāng)該VN 31發(fā)送目的地為外部網(wǎng)絡(luò)(即,除了歸屬網(wǎng)絡(luò)33之外的網(wǎng)絡(luò))的分組時(shí)���,在策略服務(wù)器36檢查該分組并并非目的地為歸屬網(wǎng)絡(luò)33之后�,向HA20提供該分組���,并且�,隨后向外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)該分組?,F(xiàn)在參考圖6和7,將給出只使用在MR 10和HA 20之間建立的雙向隧道37a的情況的描述����。在該情況下���,MR 10只建立與HA 20的雙向隧道37a���。S卩��,在該情況下����,MR 10不需要建立與策略服務(wù)器36的雙向隧道37c��。在該情況下��,例如�����,MR 10識(shí)別哪個(gè)分組已被歸屬用戶節(jié)點(diǎn)發(fā)送����、以及哪個(gè)分組已被VN 31發(fā)送,且隨后向HA 20轉(zhuǎn)發(fā)該分組��。作為確定分組的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是 VN 31的方法�����,上述方法是可用的���。例如��,如圖6所示�,標(biāo)記(tag)從MR 10向HA20轉(zhuǎn)發(fā)的分組����。圖6示出了圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的、用于標(biāo)記分組以在來(lái)自歸屬用戶節(jié)點(diǎn)的分組和來(lái)自VN的分組之間進(jìn)行區(qū)分的分組結(jié)構(gòu)的一個(gè)示例的圖��。一旦從移動(dòng)PAN 30中的任意節(jié)點(diǎn)接收到分組����,該MR 10便通過(guò)封裝該分組、且向移動(dòng)IP(MIP)的頭部61中添加標(biāo)記60�����,而標(biāo)記該分組��。通過(guò)有效負(fù)載部分62封裝從移動(dòng) PAN 30中的任意節(jié)點(diǎn)接收的分組���。在封裝分組之前或同時(shí),該MR 10確定分組發(fā)送方是歸屬用戶節(jié)點(diǎn)還是VN 31����,并且�,基于確定結(jié)果�����,向移動(dòng)IP的頭部61添加用來(lái)識(shí)別歸屬用戶節(jié)點(diǎn)或VN 31的信息作為標(biāo)記60����。該標(biāo)記60可以但不限于地址前綴、令牌或標(biāo)志位�。當(dāng)在封裝之后向頭部61添加標(biāo)記60時(shí),標(biāo)記60可被添加到接收從MR 10傳輸?shù)姆纸M的HA20可識(shí)別的任何位置����。圖7示出了圖解根據(jù)本發(fā)明的優(yōu)選實(shí)施例的從VN 31傳輸文件請(qǐng)求的過(guò)程的一個(gè)示例的順序圖。不像圖5中所顯示的那樣��,圖7中的順序圖不使用MR 10和策略服務(wù)器36 之間的雙向隧道37c��。在圖7中所圖解的操作中���,經(jīng)由雙向隧道37b執(zhí)行HA 20和策略服務(wù)器36之間的通信����;然而,在HA 20和策略服務(wù)器36之間的通信中��,沒(méi)有必要使用隧道����。該MR 10從VN 31接收文件請(qǐng)求消息,以訪問(wèn)位于媒體服務(wù)器34內(nèi)的數(shù)據(jù)34a (步驟 S70)��。該MR 10處理該文件請(qǐng)求消息(步驟S71)�,以確定該文件請(qǐng)求消息的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是移動(dòng)PAN 30中的VN 31。例如��,在文件請(qǐng)求消息的發(fā)送方被識(shí)別為VN 31的情況中����,通過(guò)封裝該分組、且添加指示該分組已從移動(dòng)PAN 30的VN 31中產(chǎn)生的標(biāo)記60����,而標(biāo)記該分組。隨后�,MR 10經(jīng)由雙向隧道37a,向HA 20隧道傳送所標(biāo)記的文件請(qǐng)求消息(步驟S72)�。當(dāng)文件請(qǐng)求消息的發(fā)送方被識(shí)別為VN 31時(shí),向該分組添加指示該分組還未從歸屬用戶節(jié)點(diǎn)到來(lái)的標(biāo)記60����。該HA20接收并處理所標(biāo)記的文件請(qǐng)求消息(步驟S73),并識(shí)別出該分組已經(jīng)被標(biāo)記為來(lái)自VN 31的分組����。隨后,HA 20向策略服務(wù)器36發(fā)送文件請(qǐng)求消息(步驟S74)����。 由于HA 20使用雙向隧道37b,所以�����,該HA 20向策略服務(wù)器36隧道傳送文件請(qǐng)求消息�����。盡管并未示于圖7����,但不久之后,該HA20可以從歸屬用戶節(jié)點(diǎn)向媒體服務(wù)器34轉(zhuǎn)發(fā)分組�����。策略服務(wù)器36接收(隨后解封裝)該文件請(qǐng)求消息,并且��,考慮到安全策略��,而執(zhí)行該過(guò)程(步驟S75)���。當(dāng)策略服務(wù)器36檢查該文件請(qǐng)求消息來(lái)自被授權(quán)的VN 31時(shí)���,策略服務(wù)器36向媒體服務(wù)器34轉(zhuǎn)發(fā)該請(qǐng)求文件消息(步驟S76)。例如�����,當(dāng)文件請(qǐng)求消息不滿足安全策略36a中的條件時(shí)�����,策略服務(wù)器36向MR 10發(fā)送消息形式的響應(yīng)���,以拒絕文件請(qǐng)求����。該策略服務(wù)器36能夠經(jīng)由HA 20向媒體服務(wù)器34轉(zhuǎn)發(fā)文件請(qǐng)求消息�。由于在所請(qǐng)求的文件從媒體服務(wù)器34被發(fā)送到VN 31時(shí)的過(guò)程與顯示于圖5中的步驟S55到S58 相同����,所以將省略它們的描述�����。當(dāng)將MR 10配置為向VN 31分配與歸屬用戶節(jié)點(diǎn)的前綴不同的前綴時(shí)����,該MR 10 可以直接向HA 20轉(zhuǎn)發(fā)文件請(qǐng)求消息�,以使得HA 20參考文件請(qǐng)求消息的發(fā)送方的地址的前綴,以識(shí)別文件請(qǐng)求消息的發(fā)送方是歸屬用戶節(jié)點(diǎn)還是外部節(jié)點(diǎn)(即�,VN 31)。例如�,該MR 10可以準(zhǔn)備包括歸屬用戶節(jié)點(diǎn)的前綴的RA消息、以及包括外部節(jié)點(diǎn)的前綴的RA消息��。該MR 10執(zhí)行相同的加密方案���,以使得只允許歸屬用戶節(jié)點(diǎn)解密該包括歸屬用戶節(jié)點(diǎn)的前綴的RA消息����,因此向歸屬用戶節(jié)點(diǎn)和外部節(jié)點(diǎn)通知不同的前綴����。向歸屬用戶節(jié)點(diǎn)和外部節(jié)點(diǎn)通知不同德前綴的方法并不限于前述方法����。根據(jù)本發(fā)明的實(shí)施例��,如上所述����,當(dāng)連接到移動(dòng)PAN 30的VN 31訪問(wèn)移動(dòng)PAN 30 的歸屬網(wǎng)絡(luò)33時(shí),有可能總是經(jīng)由DMZ 35中的策略服務(wù)器36而使用安全策略36a��。盡管在本發(fā)明的實(shí)施例中�����、該HA 20和策略服務(wù)器36是不同的實(shí)體�����,但該HA20和策略服務(wù)器36可由同一實(shí)體實(shí)現(xiàn)�����。然而���,在另一個(gè)優(yōu)選實(shí)施例中�,HA 20能夠使用向HA 20所接收的分組中添加的標(biāo)記,以執(zhí)行流過(guò)濾�。例如,用戶在HA20設(shè)置過(guò)濾策略�����,其指示對(duì)于HA 20處的處理���,應(yīng)當(dāng)給予來(lái)自歸屬用戶節(jié)點(diǎn)的分組超過(guò)來(lái)自訪問(wèn)者節(jié)點(diǎn)的分組的優(yōu)先權(quán)。因此��,HA 20檢查位于每個(gè)HA 20所接收的分組內(nèi)的標(biāo)記60��,并相應(yīng)地執(zhí)行過(guò)濾器規(guī)則�。如果標(biāo)記60指示分組來(lái)自歸屬用戶節(jié)點(diǎn),則HA 20將該分組被置于專用于歸屬用戶節(jié)點(diǎn)的分組的分組隊(duì)列中���。然而�����,如果標(biāo)記60指示該分組來(lái)自于訪問(wèn)者節(jié)點(diǎn)����,則HA20將該分組被置于專用于訪問(wèn)者節(jié)點(diǎn)的分組的分組隊(duì)列中。在處理位于訪問(wèn)者節(jié)點(diǎn)的隊(duì)列內(nèi)的分組之前����,HA 20將處理在歸屬用戶節(jié)點(diǎn)的隊(duì)列中被首先發(fā)現(xiàn)的任何分組。執(zhí)行這樣的過(guò)濾的優(yōu)勢(shì)允許歸屬用戶確保屬于歸屬用戶的所有節(jié)點(diǎn)的快速服務(wù)�����。由于移動(dòng)網(wǎng)絡(luò)為移動(dòng)節(jié)點(diǎn)提供到歸屬網(wǎng)絡(luò)的透明連接性(transparent connectivity)�����,所以�����,本領(lǐng)域的技術(shù)人員可以認(rèn)為類似于由策略服務(wù)器設(shè)置的安全策略的連接管理應(yīng)當(dāng)為連接到移動(dòng)網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)而實(shí)現(xiàn)���;并且���,用戶應(yīng)該知道要被連接到移動(dòng)網(wǎng)絡(luò)的訪問(wèn)者節(jié)點(diǎn)的驗(yàn)證等價(jià)于要被連接到歸屬網(wǎng)絡(luò)的訪問(wèn)者節(jié)點(diǎn)的驗(yàn)證。此外,具有這樣的考慮的本領(lǐng)域的技術(shù)人員可認(rèn)為確定地選擇可連接到移動(dòng)網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)并沒(méi)有帶來(lái)本發(fā)明所針對(duì)的情形�。然而,在這樣的情況下����,由于例如移動(dòng)路由器或移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的處理性能和功耗等問(wèn)題,顯然�,本發(fā)明可以適應(yīng)于難以為移動(dòng)網(wǎng)絡(luò)提供足夠的連接管理的情況、以及并不熟悉移動(dòng)網(wǎng)絡(luò)中的安全性的用戶可以安全地使用該移動(dòng)網(wǎng)絡(luò)的情況���。盡管已經(jīng)使用特別的示例圖解本發(fā)明��,但對(duì)于本領(lǐng)域的技術(shù)人員而言�����,顯然,可以使用任何可以獲得相同目的的安排�。盡管該說(shuō)明書(shū)已經(jīng)給出本發(fā)明的基本概念,但用于解釋本發(fā)明的基本概念的特定實(shí)施例并不限制本發(fā)明的范圍��。用于本發(fā)明實(shí)施例的前述描述的功能塊被典型地實(shí)現(xiàn)為L(zhǎng)SI (大規(guī)模集成)�,其是集成電路。該功能塊中的每個(gè)可以被配置為單個(gè)芯片�,或者,一些或全部的塊可以被配置為單個(gè)芯片。在此處使用LSI時(shí)���,依賴于集成的程度��,它也可被稱作IC (集成電路)����、系統(tǒng)LSI��、 超級(jí) LSI����、Ultra LSI。電路集成的機(jī)制并不限于LSI�,也可以使用專用電路或通用處理器。也可以使用在LSI或可重配置處理器被設(shè)計(jì)能夠重配置LSI中的電路單元的連接和設(shè)置之后可編程的 FPGA (現(xiàn)場(chǎng)可編程門陣列)��。此外��,如果替代LSI的電路集成技術(shù)是由于半導(dǎo)體技術(shù)或從那里起源的技術(shù)的進(jìn)步�����,則功能塊的電路集成當(dāng)然能夠使用這樣的技術(shù)實(shí)現(xiàn)���。例如����,生物工程等等的采用是可能的。工業(yè)實(shí)用性本發(fā)明具有對(duì)于從訪問(wèn)者節(jié)點(diǎn)(VN)發(fā)送的分組�、基于由歸屬用戶設(shè)置的各種安全策略而允許精確執(zhí)行訪問(wèn)控制的效果,并且���,本發(fā)明適于使用移動(dòng)通信網(wǎng)絡(luò)和訪問(wèn)控制技術(shù)執(zhí)行通信的通信技術(shù)���,以改進(jìn)個(gè)人移動(dòng)通信網(wǎng)絡(luò)和用戶歸屬網(wǎng)絡(luò)中的安全性。
權(quán)利要求
1.一種用于控制移動(dòng)網(wǎng)絡(luò)且隨著移動(dòng)網(wǎng)絡(luò)而移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備�����,包括訪問(wèn)請(qǐng)求接收單元���,其從連接到所述移動(dòng)網(wǎng)絡(luò)的通信終端接收對(duì)所述移動(dòng)網(wǎng)絡(luò)管理設(shè)備的歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求����;確定單元�����,其確定是否允許已發(fā)送了由訪問(wèn)請(qǐng)求接收單元所接收的訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)���;歸屬網(wǎng)絡(luò)通信單元��,其在允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)�����,向存在于所述歸屬網(wǎng)絡(luò)中的移動(dòng)信息管理設(shè)備轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求���;以及安全網(wǎng)絡(luò)通信單元,其在不允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)�����,向位于安全網(wǎng)絡(luò)中的安全管理設(shè)備轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求�����,并執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的訪問(wèn)控制����,其中所述安全網(wǎng)絡(luò)位于所述歸屬網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間。
2.如權(quán)利要求1中所述的移動(dòng)網(wǎng)絡(luò)管理設(shè)備��,包括通信終端指定單元,其指定在所述通信終端連接到所述移動(dòng)網(wǎng)絡(luò)的時(shí)刻���,是否允許所述通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)����;以及信息存儲(chǔ)單元�����,用于存儲(chǔ)指示是否允許所述通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)的信息�����,其中�����,參考存儲(chǔ)于所述信息存儲(chǔ)單元中的信息���,所述確定單元確定是否允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)�。
3.如權(quán)利要求1中所述的移動(dòng)網(wǎng)絡(luò)管理設(shè)備����,包括前綴通知單元,其將不同地址的前綴分別通知給被允許執(zhí)行對(duì)歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端�、以及不被允許執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端,其中��,參考所述訪問(wèn)請(qǐng)求的發(fā)送方的地址的前綴�����,所述確定單元確定是否允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)���。
4.如權(quán)利要求1中所述的移動(dòng)網(wǎng)絡(luò)管理設(shè)備�����,包括第一隧道傳送單元��,其形成與所述移動(dòng)信息管理設(shè)備的隧道��,并且��,當(dāng)所述歸屬網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求時(shí)��,第一隧道傳送單元封裝所述訪問(wèn)請(qǐng)求�����;以及第二隧道傳送單元��,其形成與所述安全管理設(shè)備的隧道���,并且�,當(dāng)所述安全網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求時(shí)�,第二隧道傳送單元封裝所述訪問(wèn)請(qǐng)求。
5.一種用于控制移動(dòng)網(wǎng)絡(luò)且隨著移動(dòng)網(wǎng)絡(luò)而移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備��,包括訪問(wèn)請(qǐng)求接收單元�����,其從連接到所述移動(dòng)網(wǎng)絡(luò)的通信終端接收對(duì)所述移動(dòng)網(wǎng)絡(luò)管理設(shè)備的歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求��;確定單元�,其確定是否允許已發(fā)送了由所述訪問(wèn)請(qǐng)求接收單元所接收的訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn);信息添加單元���,其向所述訪問(wèn)請(qǐng)求添加索引信息�����,所述索引信息指示是否允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)��;以及歸屬網(wǎng)絡(luò)通信單元���,其向存在于所述歸屬網(wǎng)絡(luò)中的移動(dòng)信息管理設(shè)備轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求,所述訪問(wèn)請(qǐng)求具有由信息添加單元對(duì)所述訪問(wèn)請(qǐng)求添加的索引信息�。
6.如權(quán)利要求5中所述的移動(dòng)網(wǎng)絡(luò)管理設(shè)備,包括通信終端指定單元��,其指定在所述通信終端連接到所述移動(dòng)網(wǎng)絡(luò)的時(shí)刻�����,是否允許所述通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)���;以及信息存儲(chǔ)單元����,其存儲(chǔ)指示是否允許所述通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)的 fn息���,其中��,參考存儲(chǔ)于信息存儲(chǔ)單元中的信息�����,所述確定單元確定是否允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)����。
7.如權(quán)利要求5中所述的移動(dòng)網(wǎng)絡(luò)管理設(shè)備,包括前綴通知單元���,其將不同地址的前綴分別通知給被允許執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端�、以及不被允許執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)的通信終端��,其中����,參考所述訪問(wèn)請(qǐng)求的發(fā)送方的地址的前綴,所述確定單元確定是否允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)���。
8.如權(quán)利要求5所述的移動(dòng)網(wǎng)絡(luò)管理設(shè)備�����,包括隧道傳送單元�����,其形成與所述移動(dòng)信息管理設(shè)備的隧道�,并且,當(dāng)所述歸屬網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求時(shí)����,所述隧道傳送單元封裝所述訪問(wèn)請(qǐng)求。
9.一種移動(dòng)信息管理設(shè)備�,其執(zhí)行對(duì)試圖直接訪問(wèn)歸屬網(wǎng)絡(luò)的通信終端的移動(dòng)管理��, 所述移動(dòng)信息管理設(shè)備包括分組接收單元�����,其從控制移動(dòng)網(wǎng)絡(luò)��、且隨著移動(dòng)網(wǎng)絡(luò)而移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備接收封裝的分組�����;解封裝單元�����,其解封裝所述封裝的分組�����;確定單元,其在解封裝的內(nèi)部分組是對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求時(shí)�����,參考所述內(nèi)部分組中的發(fā)送方地址的前綴����,確定是否允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn);歸屬網(wǎng)絡(luò)通信單元����,其在允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí),向由所述內(nèi)部分組的目的地地址指定的目的地轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求����;以及安全網(wǎng)絡(luò)通信單元,其在不允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)�,向位于安全網(wǎng)絡(luò)中的安全管理設(shè)備轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求,并執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的訪問(wèn)控制����,其中,所述安全網(wǎng)絡(luò)位于所述歸屬網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間�。
10.如權(quán)利要求9所述的移動(dòng)信息管理設(shè)備�,包括隧道傳送單元����,其形成與所述安全管理設(shè)備的隧道,并且�����,當(dāng)所述安全網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求時(shí)����,所述隧道傳送單元封裝所述訪問(wèn)請(qǐng)求�。
11.一種移動(dòng)信息管理設(shè)備,其執(zhí)行對(duì)試圖直接訪問(wèn)歸屬網(wǎng)絡(luò)的通信終端的移動(dòng)管理�����, 所述移動(dòng)信息管理設(shè)備包括分組接收單元�����,其從控制移動(dòng)網(wǎng)絡(luò)�����、且隨著移動(dòng)網(wǎng)絡(luò)而移動(dòng)的移動(dòng)網(wǎng)絡(luò)管理設(shè)備接收封裝的分組;解封裝單元���,其解封裝所述封裝的分組�,并獲得索引信息��,所述索引信息被添加到所封裝的首標(biāo)��、并指示是否允許解封裝的內(nèi)部分組的發(fā)送方執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)�����;確定單元����,其在解封裝的內(nèi)部分組是對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求時(shí),參考所述索引信息����,確定是否允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn);歸屬網(wǎng)絡(luò)通信單元���,其在允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)�,向由所述內(nèi)部分組的目的地地址指定的目的地轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求���;以及安全網(wǎng)絡(luò)通信單元��,其在不允許已發(fā)送了所述訪問(wèn)請(qǐng)求的通信終端執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的直接訪問(wèn)時(shí)�����,向位于安全網(wǎng)絡(luò)中的安全管理設(shè)備轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求�����,并執(zhí)行對(duì)所述歸屬網(wǎng)絡(luò)的訪問(wèn)控制����,其中,所述安全網(wǎng)絡(luò)位于所述歸屬網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間�。
12.如權(quán)利要求11所述的移動(dòng)信息管理設(shè)備,包括隧道傳送單元�,其形成與所述安全管理設(shè)備的隧道���,并且�����,當(dāng)所述安全網(wǎng)絡(luò)通信單元轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求時(shí)����,所述隧道傳送單元封裝所述訪問(wèn)請(qǐng)求。
全文摘要
本發(fā)明公開(kāi)一種技術(shù)�,能夠基于由用戶設(shè)置的各種安全策略,適當(dāng)?shù)貓?zhí)行有關(guān)從訪問(wèn)者節(jié)點(diǎn)發(fā)送分組的訪問(wèn)控制�。根據(jù)該技術(shù),用于管理移動(dòng)PAN30的MR 10(移動(dòng)路由器)確定來(lái)自連接到移動(dòng)個(gè)人區(qū)域網(wǎng)絡(luò)的通信終端的分組的發(fā)送方是否是被允許直接訪問(wèn)歸屬網(wǎng)絡(luò)的歸屬用戶節(jié)點(diǎn)�,或者訪問(wèn)者節(jié)點(diǎn)(VN 31),并在從訪問(wèn)者節(jié)點(diǎn)向位于DMZ 35中的策略服務(wù)器36轉(zhuǎn)發(fā)分組的同時(shí)���,從歸屬用戶節(jié)點(diǎn)向HA20轉(zhuǎn)發(fā)該分組���。這使得策略服務(wù)器基于安全策略36a,而對(duì)來(lái)自試圖獲得對(duì)歸屬網(wǎng)絡(luò)的訪問(wèn)的訪問(wèn)者節(jié)點(diǎn)的每個(gè)分組執(zhí)行訪問(wèn)控制�。
文檔編號(hào)H04W12/08GK102244868SQ20111022952
公開(kāi)日2011年11月16日 申請(qǐng)日期2006年12月26日 優(yōu)先權(quán)日2005年12月26日
發(fā)明者吳振華, 平野純, 林俊強(qiáng), 阿相啟吾, 陳必耀, 高添明 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社