專利名稱:在移動網(wǎng)內(nèi)分組數(shù)據(jù)業(yè)務(wù)傳輸中傳輸控制協(xié)議代理的使用的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及分組數(shù)據(jù)通信����,更具體地,涉及在遠(yuǎn)端網(wǎng)主站和與遠(yuǎn)端網(wǎng)互聯(lián)的移動網(wǎng)內(nèi)運行的移動臺之間的通信���。
相關(guān)技術(shù)描述移動電信網(wǎng)的開發(fā)和改進(jìn)已經(jīng)使得移動用戶能夠在服務(wù)的移動電信網(wǎng)上�,除了僅僅傳送話音以外���,還傳送數(shù)據(jù)�����。隨著互聯(lián)網(wǎng)和電子郵件應(yīng)用項的廣泛擴展����,移動用戶能夠通過他們的相關(guān)的移動臺接入他們的電子郵件消息或甚至瀏覽互聯(lián)網(wǎng)或在互聯(lián)網(wǎng)上沖浪�����。因此����,移動臺可以用作為數(shù)據(jù)終端設(shè)備(DTE),或與數(shù)據(jù)終端設(shè)備(DTE)結(jié)合���,提供到相關(guān)移動用戶的互聯(lián)網(wǎng)接入�,或到相關(guān)的移動用戶的分組通信。在移動網(wǎng)上的話音通信通常使用電路交換運行模式����。在移動網(wǎng)上的分組數(shù)據(jù)通信使用在分組信道上的分組交換通信(例如,TCP/IP)�。
被配置用于分組數(shù)據(jù)通信的移動臺包括移動網(wǎng)所知道的互聯(lián)網(wǎng)協(xié)議(IP)地址。附屬在移動臺上的數(shù)據(jù)終端設(shè)備配備有這個地址��。從外部網(wǎng)(例如�,互聯(lián)網(wǎng))尋址到與移動臺有關(guān)的DTE的進(jìn)入的TCP/IP分組迫使與該移動臺相關(guān)的移動網(wǎng)進(jìn)行該移動臺的尋呼。這種尋呼要求移動臺切換到分組運行模式�,以及與移動網(wǎng)建立分組信道。一旦在移動網(wǎng)上建立分組信道��,在移動臺處和在發(fā)起TCP/IP分組的互聯(lián)網(wǎng)主站處的DTE就可透明地互相之間傳送數(shù)據(jù)��。
在互聯(lián)網(wǎng)主站和移動臺之間的互聯(lián)利用一種使用如
圖1所示的“三個步驟握手(three-way handshake)”程序的TCP/IP協(xié)議���。在這種情況下,客戶機包括聯(lián)系的互聯(lián)網(wǎng)主站�,而服務(wù)器包括移動臺。該三個步驟握手程序使用在TCP數(shù)據(jù)頭內(nèi)的SYN和ACK標(biāo)志����。來自客戶機(互聯(lián)網(wǎng)主站)的進(jìn)入的TCP分組包括設(shè)置的SYN標(biāo)志比特�����。外出的分組應(yīng)答具有SYN和ACK標(biāo)志設(shè)置��?�?蛻魴C通過發(fā)送具有設(shè)置的ACK標(biāo)志的分組應(yīng)答而響應(yīng)于此����。一旦這個程序被執(zhí)行��,就在客戶機和服務(wù)器之間建立TCP/IP連接����。
今天在互聯(lián)網(wǎng)上所利用的一個熟知的對服務(wù)攻擊的抵制是TCP SYN滿溢攻擊。在這種攻擊中�����,客戶機發(fā)送具有SYN標(biāo)志設(shè)置的TCP分組給服務(wù)器�����,但不回答具有SYN和ACK標(biāo)志設(shè)置的應(yīng)答TCP分組。這使得服務(wù)器等待包括設(shè)置的ACK標(biāo)志的TCP分組����,直至服務(wù)器時間超時為止。這在服務(wù)器超時期間終止之前具有擱置系統(tǒng)資源的效果�����。
在移動網(wǎng)方面�,當(dāng)攻擊者發(fā)送TCP SYN分組到移動網(wǎng)內(nèi)的特定的地址時,移動網(wǎng)將執(zhí)行對有關(guān)的移動臺的尋呼�,只要移動臺處在空閑模式。如果移動臺是能夠的�,則為移動臺建立一個分組數(shù)據(jù)信道。如果攻擊是針對整個的地址基站�����,則網(wǎng)絡(luò)為該地址基站尋呼所有的移動臺�����。這實際上下載整個移動網(wǎng)���。這包括對于網(wǎng)絡(luò)和與網(wǎng)絡(luò)有關(guān)的無線資源的很大的威脅�����,如果TCP SYN滿溢攻擊正在被利用的話����。
發(fā)明概要本發(fā)明通過一個使得能夠產(chǎn)生在第一網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))上的遠(yuǎn)端主站與移動網(wǎng)內(nèi)的具有所包括的數(shù)字終端設(shè)備的移動臺之間的TCP分組連接的系統(tǒng)和方法�����,克服了上述的和其它的問題�。起始,在遠(yuǎn)端主站和與移動網(wǎng)有關(guān)的網(wǎng)關(guān)分組移動交換中心(GPMSC)之間執(zhí)行三個步驟握手程序���。由從遠(yuǎn)端主站到移動臺的TCP SYN分組傳送啟動該三個步驟握手程序�。不是把TCP SYN分組轉(zhuǎn)發(fā)到移動臺�,而是與網(wǎng)關(guān)分組移動交換中心有關(guān)的TCP代理功能塊緩存TCP SYN分組,以及發(fā)送TCP SYN+ACK分組應(yīng)答到遠(yuǎn)端主站�����。該遠(yuǎn)端主站發(fā)送TCP ACK分組應(yīng)答到GPMSC���。TCP SYN應(yīng)答被TCP代理功能塊緩存���,而同時通過訪問當(dāng)前服務(wù)于該移動臺的分組移動交換中心在GPMSC與移動臺之間產(chǎn)生分組信道�。
在建立到移動臺的分組信道后�,在GPMSC與移動臺之間啟動第二個三個步驟握手程序。在這種握手程序中����,將已經(jīng)從GPMSC轉(zhuǎn)發(fā)到訪問的分組移動交換中心的緩存的TCO SYN分組,又從訪問的分組移動交換中心發(fā)送到移動臺和有關(guān)的數(shù)字終端設(shè)備����。應(yīng)答的TCP SYN+ACK分組從移動臺被發(fā)送回GPMSC。作為響應(yīng)���,GPMSC發(fā)送原先的三個步驟握手程序的緩存的TCP ACK分組給移動臺����,以便起始在移動臺與遠(yuǎn)端主站之間的TCP連接�����。
附圖簡述為了更全面地理解本發(fā)明����,現(xiàn)在參考以下的結(jié)合附圖所作出的詳細(xì)說明��,其中圖1是用于建立TCP連接的三個步驟握手程序的說明圖����;圖2是表示包括TCP代理功能的分組移動網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)的方框圖�;以及圖3是表示在互聯(lián)網(wǎng)主站和帶有相關(guān)的數(shù)字終端設(shè)備的移動臺之間的TCP連接的建立的信號圖��。
發(fā)明詳細(xì)描述現(xiàn)在參照附圖��,更具體地參照圖2��,圖上顯示了包括TCP代理功能的分組移動網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)�。本發(fā)明的目標(biāo)是使得在具有相關(guān)的數(shù)字終端設(shè)備(DTE)35的移動臺30和遠(yuǎn)端主站40之間能夠通過移動網(wǎng)45和遠(yuǎn)端網(wǎng)50(互聯(lián)網(wǎng)或內(nèi)聯(lián)網(wǎng)(Intranet))進(jìn)行互聯(lián)。對于從遠(yuǎn)端主站40到移動臺30和相關(guān)的DTE 35的TCP連接的請求�,起始地通過互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)50傳送到移動網(wǎng)45,其中連接請求起始地由包括TCP代理功能塊60的網(wǎng)關(guān)移動交換中心55接收���。響應(yīng)于TCP連接請求�����,在GPMSC 55與遠(yuǎn)端主站40之間實行三個步驟握手程序����,這將接著被更充分地討論。來自遠(yuǎn)端主站40的TCP SYN分組和TCP ACK分組作為三個步驟握手程序的結(jié)果被緩存在與TCP代理功能塊60有關(guān)的存儲器65內(nèi)�����。
GPMSC 55詢問與移動臺30有關(guān)的原藉位置寄存器(HLR)70��,以確定對于移動臺的路由和定位信息���。通過使用這個信息�,進(jìn)入的分組請求被發(fā)送到服務(wù)于移動臺30的訪問分組移動交換中心(VPMSC)75���。進(jìn)入的分組請求包括被緩存的TCP SYN分組����。VPMSC 75發(fā)出尋呼請求給為移動臺30提供無線支持的訪問移動交換中心(VMSC)80����,以及VMSC通過有關(guān)的基站發(fā)射機85進(jìn)行移動臺的尋呼。
如果移動臺30對尋呼作出應(yīng)答���,則在移動臺與VPMSC 75之間建立分組數(shù)據(jù)信道�����。VPMSC 75通過使用緩存的TCP SYN分組啟動在VPMSC��、移動臺30與GPMSC 55之間的第二個三個步驟握手程序���。這種握手程序?qū)е略贕PMSC 55的存儲器65內(nèi)所存儲的TCP ACK分組應(yīng)答被發(fā)送到移動臺30�����。在移動臺30接收到TCP ACK分組應(yīng)答后,就完成了從移動臺到GPMSC 55和遠(yuǎn)端主站40的TCP連接��。這樣����,可以實現(xiàn)從遠(yuǎn)端主站通過互聯(lián)網(wǎng)50和移動網(wǎng)45到移動臺30和相關(guān)的DTE 35的TCP分組通信。
現(xiàn)在參照圖3����,圖上顯示了描述在遠(yuǎn)端主站40和帶有相關(guān)的數(shù)字終端設(shè)備35的移動臺30之間的TCP連接160的建立的信號圖。這個過程是由從互聯(lián)網(wǎng)主站40發(fā)送的TCP SYN分組100啟動的���。TCP SYN分組100被發(fā)送到移動臺30的IP地址和相關(guān)的DTE35���。當(dāng)TCP SYN分組100被GPMSC 55接收時�,GPMSC內(nèi)的TCP代理功能塊60截取���,緩存TCP SYN分組100���,并以被發(fā)送到互聯(lián)網(wǎng)主站40的TCP SYN+ACK分組105作為應(yīng)答。通過發(fā)送TCP SYN+ACK分組105�����,TCP代理功能塊60起到移動臺30的作用�����。響應(yīng)于TCPSYN+ACK分組105�,互聯(lián)網(wǎng)主站40以TCP ACK分組110作為應(yīng)答。GPMSC 55緩存TCP ACK分組110連同來自互聯(lián)網(wǎng)主站40的TCP SYN分組100和任何跟隨的TCP分組���,如果有的話(未示出)����。如果由于某種原因沒有接收到TCP ACK分組115,則GPMSC 55不采取進(jìn)一步行動����。
如果接收到TCP ACK分組110,則GPMSC 55執(zhí)行IP地址到移動臺網(wǎng)絡(luò)地址的變換��,以及產(chǎn)生PMAP協(xié)議信息請求115送到移動臺30的HLR 70��,以請求服務(wù)于移動臺的VPMSC 75和移動臺的移動臺識別號(MSI)���。原藉位置寄存器70以PMAP協(xié)議消息120作為應(yīng)答�,提供VPMSC 75和移動臺30的MSI給GPMSC 55�。通過使用這個信息,GPMSC 55產(chǎn)生另一個PMAP協(xié)議消息125給所指出的VPMSC 75��。PMAP協(xié)議消息125包括給所指出的VPMSC 75的����、被包裝的緩存的TCP SYN分組和地址信息�����。
VPMSC 75確定用戶是否沒有登錄(即���,不是在分組模式)��,如果不是的話�,發(fā)送PMAP協(xié)議尋呼請求130給服務(wù)于移動臺30的VMSC 80。VMSC 80產(chǎn)生尋呼消息135給移動臺30��,請求移動臺切換到分組運行模式���。響應(yīng)于尋呼消息135�,移動臺建立與VPMSC 75的分組信道140��。分組信道建立程序包括通過VPMSC 75對移動臺30的登錄和鑒權(quán)���。
一旦移動臺建立與VPMSC 75的分組信道140�����,VPMSC發(fā)送所接收的����、緩存的�、由GPMSC 55提供給移動臺的TCP SYN分組145。移動臺30以TCP SYN+ACK分組150應(yīng)答TCP SYN分組145���,該TCPSYN+ACK分組150是由TCP代理功能塊60獲取的�����。響應(yīng)于TCPSYN+ACK分組150���,GPMSC 55把緩存的TCP ACK分組155連同由GPMSC緩存的任何跟隨的分組(如果有的話)一起發(fā)送給移動臺30�。GPMSC 55現(xiàn)在對于在互聯(lián)網(wǎng)主站40和移動臺35之間的數(shù)據(jù)業(yè)務(wù)是透明的����,以及TCP連接160被建立。
這樣��,移動網(wǎng)45被保護(hù)免受TCP SYN滿溢攻擊���。移動網(wǎng)45不建立與空閑的移動臺30的分組數(shù)據(jù)信道��,除非該發(fā)起的遠(yuǎn)端主站40由TCP代理功能塊60按照三個步驟握手程序被驗證。TCP SYN滿溢攻擊將在GPMSC 55處被終止����,以及不會使得移動網(wǎng)45內(nèi)的系統(tǒng)資源不能提供。
雖然在附圖中表示了并在上面的詳細(xì)說明中描述了本發(fā)明的方法和裝置的最佳實施例����,但應(yīng)當(dāng)看到����,本發(fā)明不限于所公開的實施例����,能夠作出許多重新安排,修改�,和替換,而不背離由以下的權(quán)利要求所闡述和限定的本發(fā)明的精神���。
權(quán)利要求
1.用于產(chǎn)生在第一網(wǎng)絡(luò)上的遠(yuǎn)端主站與移動網(wǎng)上的移動臺之間的分組連接的方法�,包括以下步驟接收從遠(yuǎn)端主站到移動臺的分組連接請求�;響應(yīng)于從遠(yuǎn)端主站到移動臺的分組連接請求,執(zhí)行在遠(yuǎn)端主站與移動網(wǎng)的網(wǎng)關(guān)分組移動交換中心之間的第一個三個步驟握手程序��;在移動網(wǎng)的網(wǎng)關(guān)分組移動交換中心緩存來自遠(yuǎn)端主站的第一個三個步驟握手程序的傳輸���;通過使用該緩存的傳輸�����,執(zhí)行在移動網(wǎng)的網(wǎng)關(guān)分組移動交換中心與移動臺之間的第二個三個步驟握手程序�;以及在執(zhí)行第二個三個步驟握手程序后,完成在遠(yuǎn)端主站與移動臺之間的分組連接�。
2.如權(quán)利要求1的方法,還包括步驟建立在網(wǎng)關(guān)分組移動交換中心與移動臺之間的分組連接�����。
3.如權(quán)利要求2的方法���,其中該建立步驟還包括步驟通過接入移動臺的原藉位置寄存器來確定該移動臺的位置�;以及產(chǎn)生給移動臺的尋呼請求�����。
4.如權(quán)利要求3的方法����,其中該產(chǎn)生步驟還包括步驟從服務(wù)于移動臺的分組移動交換中心產(chǎn)生尋呼請求給當(dāng)前服務(wù)于移動臺的移動交換中心;以及從服務(wù)的移動交換中心尋呼移動臺����。
5.如權(quán)利要求1的方法,其中執(zhí)行第一個三個步驟握手程序的步驟還包括步驟從遠(yuǎn)端主站發(fā)送一個起動分組給網(wǎng)關(guān)分組移動交換中心���,以起動分組連接����;響應(yīng)該起動分組�,從網(wǎng)關(guān)分組移動交換中心發(fā)送一個應(yīng)答分組給遠(yuǎn)端主站;以及響應(yīng)該應(yīng)答分組�����,從遠(yuǎn)端主站發(fā)送確認(rèn)應(yīng)答給網(wǎng)關(guān)分組移動交換中心���。
6.如權(quán)利要求5的方法�����,其中緩存步驟還包括以下步驟緩存來自遠(yuǎn)端主站的該起動分組����;以及緩存來自遠(yuǎn)端主站的該確認(rèn)應(yīng)答���。
7.如權(quán)利要求6的方法�,其中執(zhí)行第二個三個步驟握手程序的步驟還包括步驟把緩存的起動分組從網(wǎng)關(guān)分組移動交換中心轉(zhuǎn)發(fā)到訪問的分組移動交換中心����;在建立分組信道后�����,把緩存的起動分組從訪問的分組移動交換中心發(fā)送到服務(wù)的移動臺����;響應(yīng)該起動分組�,從移動臺發(fā)送應(yīng)答分組給網(wǎng)關(guān)分組移動交換中心;以及響應(yīng)該應(yīng)答分組����,從網(wǎng)關(guān)分組移動交換中心發(fā)送緩存的確認(rèn)應(yīng)答給移動臺。
8.如權(quán)利要求1的方法����,其中緩存步驟還包括緩存跟隨在該確認(rèn)應(yīng)答后面的所有分組。
9.用于產(chǎn)生在互聯(lián)網(wǎng)上的遠(yuǎn)端主站與移動網(wǎng)上的移動臺之間的TCP分組連接的方法�,包括以下步驟響應(yīng)從遠(yuǎn)端主站到移動臺的分組連接請求��,在遠(yuǎn)端主站與移動網(wǎng)的網(wǎng)關(guān)分組移動交換中心之間執(zhí)行第一個三個步驟握手程序���;緩存從遠(yuǎn)端主站到移動網(wǎng)的網(wǎng)關(guān)分組移動交換中心的第一個三個步驟握手程序的TCP SYN分組和TCP ACK分組以及任何隨后的TCP分組�����;在網(wǎng)關(guān)分組移動交換中心與移動臺之間建立分組信道��;在建立分組信道后��,從訪問的分組移動交換中心發(fā)送緩存的TCP SYN分組到移動臺����;響應(yīng)于TCP SYN分組�����,從移動臺發(fā)送TCP SYN+ACK分組到網(wǎng)關(guān)分組移動交換中心��;以及響應(yīng)于TCP SYN+ACK協(xié)議��,從網(wǎng)關(guān)分組移動交換中心發(fā)送TCPACK分組到移動臺�。
10.如權(quán)利要求9的方法,其中該建立步驟還包括步驟通過接入移動臺的原藉位置寄存器來確定移動臺的位置�;以及產(chǎn)生給移動臺的尋呼請求。
11.如權(quán)利要求10的方法���,其中該產(chǎn)生步驟還包括步驟從服務(wù)于移動臺的訪問的分組移動交換中心產(chǎn)生尋呼請求給當(dāng)前服務(wù)于移動臺的移動交換中心����;以及從服務(wù)的移動交換中心尋呼移動臺。
12.如權(quán)利要求9的方法�����,其中執(zhí)行第一個三個步驟握手程序的步驟還包括步驟從遠(yuǎn)端主站發(fā)送TCP SYN分組給網(wǎng)關(guān)分組移動交換中心�,以起動分組連接;響應(yīng)TCP SYN分組�,從網(wǎng)關(guān)分組移動交換中心發(fā)送TCPSYN+ACK分組給遠(yuǎn)端主站;以及響應(yīng)TCP SYN+ACK分組�����,從遠(yuǎn)端主站發(fā)送TCP ACK分組給網(wǎng)關(guān)分組移動交換中心�����。
13.如權(quán)利要求9的方法�,還包括步驟在PMAP協(xié)議消息內(nèi)把緩存的、第一個三個步驟握手程序的TCP SYN分組從網(wǎng)關(guān)分組移動交換中心轉(zhuǎn)發(fā)到訪問的分組移動交換中心�����。
14.一種網(wǎng)關(guān)分組移動交換中心�����,包括與第一網(wǎng)絡(luò)的第一互聯(lián);與移動網(wǎng)的第二互聯(lián)�;響應(yīng)從第一網(wǎng)絡(luò)中的遠(yuǎn)端主站到服務(wù)于分組移動交換中心的移動臺的連接請求,用于應(yīng)答在分組移動交換中心與第一網(wǎng)絡(luò)中的遠(yuǎn)端主站之間的三個步驟握手程序的裝置����;存儲器��,用于存儲來自第一網(wǎng)絡(luò)中的遠(yuǎn)端主站的傳輸�;以及用于通過使用被存儲在存儲器中的傳輸,啟動第二個三個步驟握手程序����,以便完成從遠(yuǎn)端主站到移動臺的分組信道的裝置。
15.如權(quán)利要求14的網(wǎng)關(guān)分組移動交換中心�,其中第一網(wǎng)絡(luò)包括Internet(互聯(lián)網(wǎng))。
16.如權(quán)利要求14的網(wǎng)關(guān)分組移動交換中心��,其中第一網(wǎng)絡(luò)包括Intranet(內(nèi)聯(lián)網(wǎng))�����。
17.如權(quán)利要求14的網(wǎng)關(guān)分組移動交換中心���,其中該傳輸包括TCP SYN分組和TCP ACK分組��。
18.如權(quán)利要求17的網(wǎng)關(guān)分組移動交換中心���,其中該傳輸還包括多個存儲數(shù)據(jù)分組���。
全文摘要
揭示了用于產(chǎn)生在第一網(wǎng)絡(luò)(互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng))內(nèi)的遠(yuǎn)端主站(40)與移動網(wǎng)內(nèi)的移動臺(30)之間的TCP分組連接(160)的方法和裝置。該方法起始地涉及執(zhí)行在遠(yuǎn)端主站(40)和移動網(wǎng)的網(wǎng)關(guān)分組移動交換中心(55)之間的三個步驟握手程序(100,105,110)以確立TCP分組連接請求的合法性����。在握手程序期間,來自遠(yuǎn)端主站(40)的傳輸(100,105,110)被網(wǎng)關(guān)分組移動交換中心(55)緩存。然后通過使用該緩存的傳輸,執(zhí)行在網(wǎng)關(guān)分組移動交換中心(55)與移動臺(30)之間的第二個三個步驟握手程序(145,150,155),以完成在移動臺(30)與遠(yuǎn)端主站(40)之間的TCP連接��。
文檔編號H04L29/06GK1285106SQ9881365
公開日2001年2月21日 申請日期1998年12月8日 優(yōu)先權(quán)日1997年12月16日
發(fā)明者D·安德森, T·卡爾松, A·赫爾利茨 申請人:艾利森電話股份有限公司