当前位置: 首页 > 专利查询>诺基亚公司专利>正文

因特网协议移动性安全控制制造技术

技术编号:7737986 阅读:193 留言:0更新日期:2012-09-10 01:17
在非限定性和示例性的实施例中,提供一种用于修改移动节点(10)与移动锚点(30)之间的安全级别的方法。对于连接到IP子网络(40)并在IP子网络(40)中由转交地址标识的移动节点(10),建立具有安全模式的指示的IP移动绑定。检测修改用于连接到IP子网络(40)的移动节点(10)的安全模式的触发器。响应于触发器,修改用于连接到IP子网络(40)并由转交地址标识的移动节点(10)的安全模式。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的实施例涉及IP移动性,更具体地,涉及IP移动系统中的控制安全过程。
技术介绍
当前,終端设备是高度移动的,并可在任何时间、也在活动网络连接期间改变它们附着到因特网的附着点。为IP版本6 (IPv6)和IP版本4 (IPv4)定义的移动IP协议允许移动节点(匪)改变它们到因特网的接入点而无需改变它们的IP地址。移动IP定义ー种用于将移动节点的数据路由到该节点的当前位置的系统。这通过使用归属代理(HA)实现,其中归属代理监控永久IP地址和移动节点的当前位置。归属代理允许移动节点具有永久地址,其被归属代理转换成移动节点的当前地址。移动设备用于访问服务的某些接入网络被认为是“不安全”的接入网络,而某些其它网络被认为是“安全”的接入网络。不安全的接入网络的例子可以是公共WLAN热点,其通过公共网络(例如因特网)提供对运营商服务的接入。安全的接入网络的例子可以是具有第二层加密使能的通用分组无线服务(GPRS)网络。因特网协议安全体系(IPSec)在ー组因特网工程任务组(IETF)征求意见书(RFC)中規定,并被广泛用于在各种配置中提供IP分组的安全传输。IPSec可应用在丽与HA之间以提供加密的移动IP隧道。当在安全和不安全的接入网络之间切换吋,MN应当根据安全策略动态地启用加密或关闭加密。丽可被配置为在丽检测到IP子网络的改变时检测新的IP子网络的安全要求,并修改MN的安全关联以适应新的IP子网络的安全要求。
技术实现思路
现在提供ー种方法、装置和计算机程序产品,其特征在于独立权利要求中所描述的特征。本专利技术的某些实施例在从属权利要求中描述。根据本专利技术的一个实施例,提供ー种方法,包括对于连接到IP子网络并在IP子网络中由转交地址标识的移动节点,促使建立具有安全模式的指示的IP移动绑定;检测修改用于连接到IP子网络的移动节点的安全模式的触发器;以及响应于触发器,修改用于连接到IP子网络并由转交地址标识的移动节点的安全模式。根据本专利技术的一个实施例,提供ー种装置,包括至少ー个处理器;至少ー个包括计算机程序代码的存储器,所述至少一个存储器和所述计算机程序代码被配置为用所述装置的所述至少一个处理器使得所述装置至少执行对于连接到IP子网络并在IP子网络中由转交地址标识的移动节点,建立具有安全模式的指示的IP移动绑定;检测修改用于连接到IP子网络的移动节点的安全模式的触发器;以及响应触发器,修改用于连接到IP子网络并由转交地址标识的移动节点的安全模式。根据另ー个实施例,提供ー种装置,其包括用于对于连接到IP子网络并在IP子 网络中由转交地址标识的移动节点,建立具有安全模式的指示的IP移动绑定的装置;用于检测修改用于连接到IP子网络的移动节点的安全模式的触发器的装置;以及用于响应于触发器而修改用于连接到IP子网络并由转交地址标识的移动节点的安全模式的装置。本专利技术和本专利技术的各种实施例提供若干优点,其将根据以下的详细说明而变得更加明显。附图说明下面參照附图仅以例子的方式描述本专利技术的实施例,其中图I表示IP通信系统; 图2表示根据实施例的装置;图3表示根据实施例的方法;图4至图6表示根据某些其它实施例的方法;图7至图10表示根据某些实施例的移动IP消息;图11至图13表示根据某些实施例的信令图。具体实施例方式虽然本说明书在ー些提及“一”、“ー个”或“一些”实施例,但这并不必然意味着每个这样的引用是指相同的实施例,或者特征仅仅应用于单个实施例。不同实施例的单个特征也可以被组合以提供其它实施例。下面參照图I的简化通信系统和实体来描述ー些实施例。然而,当前公开的特征的应用并不限于任何特定的网络配置,这些实施例可应用于任何移动节点与通过应用IP移动性与该移动节点进行通信的实体之间的安全可以被有选择地实施的通信系统。术语“移动节点”应当被广义地理解为是指各种类型的节点,其能够在接入网络之间改变,而无需限于例如支持当前移动IP协议的移动节点。移动节点(MN)IO可通过ー个或多个接入网络20、22、24连接到各种网络资源。例如,这种接入网络可以是连接到因特网接入网关和因特网的(无线)局域网。另ー个例子是专用接入网络,诸如连接到公司企业内部网的无线公司LAN。WLAN的一些例子包括根据某些IEEE WLAN规范的网络,诸如802. 11家族。接入网络的再一个例子是根据IEEE 802. 16规范的WIMAX网络。丽10通常能够在接入网络上与多个网络附着点(诸如基站26)建立IP连接。例如,接入网络20可以是GSM接入网(基站子系统BSS)、宽带码分多址(WCDMA)接入网、和/或由第三代伙伴计划(3GPP)标准化的演进UMTS无线接入网(E-UTRAN)。应当指出,诸如WIFI网络和WIMAX网络的其它非蜂窝接入网也可以配备多个接入点。接入网络20、22被连接到其它网络単元50,其通常是运营商的核心网络。例如,这种核心网络可以是GMS/GRRS核心网络或由3GPP标准化的长期演进(LTE)核心网络,其也称为3GPP核心网络或UMTS核心网络。这种接入网络的其它ー些例子包括第三代伙伴计划2 (3GPP2)的无线接入网络和核心网络,诸如CDMAlx和演进数据优化(EV-DO)网络。丽10能够同时连接到ー个或多个接入网络20、22、24。IP移动性协议,诸如在IETF规范RFC 3775中规定的移动IP版本6 (MIP6)或在RFC 3344中规定的移动IP版本4 (MIP4),适用于支持匪10的IP连接的移动性。系统包括ー个或多个IP移动锚点,在所公开的实施例中是归属代理(HA) 30,以通过在MN的归属地址与从当前拜访接入网络22中获取的MN的当前转交地址(CoA)之间建立绑定来隐藏MN10的移动性。可形成到CoA的隧道90以传输来自连接到网络60的通信节点CN 80的例如目的地是MN的归属地址的分组。通信节点80可以是移动的或静止的。在图I中 ,HA 30被表示为与网络50连接,但应当知道,可以有超过ー个的HA为丽10服务,并且HA 30可以位于另ー个网络中,诸如连接到例如因特网的网络60。在MIP4的情况下,外部代理可以在接入网络20、22、24中提供或者共同位于托管MIP移动节点特征的终端中,但在MIP6中,在接入网络中没有提供特定的外部代理。某些其它可连同当前公开的特征一起应用的IP移动性协议包括在RFC5555中规定的双栈移动IPv6(DSMIP6)协议和在RFC 3963中规定的网络移动性(NEMO)协议。DSMIP6扩展移动IPv6能力以允许具有双栈的移动节点请求它们的归属代理(也是双栈的)通过隧道传送被定址到它们的归属地址以及IPv4/IPv6转交地址的IPv4/IPv6分组。NEMO协议是MIPv6的扩展,其允许移动网络中的每个节点在移动时是可达的。因此,以下描述的用于MN10的特征的应用并不限于終端设备,但至少某些特征也可以应用于移动网络的其它类型的具有路由的能力的节点。在以下的说明中,主要參照MIPv6说明其它实施例,但应当知道,这些过程还可以应用于其它当前或未来的IP移动系统。因此,术语“转交地址”也应当被广义地理解为是指任何类型的用于当移动节点在其归属网络之外时用于寻址移动节点的移动绑定的地址,而并不限于M本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2009.12.18 US 12/642,2301.ー种方法,包括 对于连接到IP子网络并在所述IP子网络中由转交地址标识的移动节点,促使建立具有安全模式的指示的因特网协议(IP)移动绑定; 检测修改用于连接到所述IP子网络的所述移动节点的安全模式的触发器;以及 响应于所述触发器,修改用于连接到所述IP子网络并由所述转交地址标识的所述移动节点的安全模式。2.根据权利要求I所述的方法,其中,检测触发器包括通过应用数据链路层移动性协议来检测所述移动节点移动到所述IP子网络内的新的接入网络或节点。3.根据权利要求I所述的方法,其中,检测触发器包括检测所述移动节点移动到与要求修改所述安全模式的安全要求相关联的地理位置。4.根据权利要求I所述的方法,其中,检测触发器包括检测对于所述移动节点建立具有不同安全模式的新的IP流或者更改现有IP流的安全模式的需要。5.根据前面任ー权利要求所述的方法,其中,所要求的安全级别的指示从策略服务器接收; 所述安全模式根据所述安全级别的指示来修改。6.根据前面任ー权利要求所述的方法,其中,修改所述安全模式包括重新协商或建立因特网协议安全体系安全关联或传输层安全连接以能够加密与所述移动节点相关联的用户平面业务。7.根据前面任ー权利要求所述的方法,其中,促使建立IP移动绑定、检测触发器和修改所述安全模式由所述移动节点执行,以更改所述移动节点与移动锚点或通信节点之间的安全模式,而不改变所述转交地址。8.根据权利要求7所述的方法,其中,检测触发器包括检测从归属代理接收并具有触发更新移动IP绑定的指示的移动IP信令消息。9.根据权利要求I至6任意一项所述的方法,其中,促使建立IP移动绑定、检测触发器和修改所述安全模式由移动IP归属代理执行,以更改所述归属代理与所述移动节点之间的安全模式,而不改变所述转交地址。10.根据前面任ー权利要求所述的方法,其中,来自所述移动节点的移动IP绑定信令消息包括有关所述移动节点位置的信息、所述IP子网络内所述移动节点的新的接入点或网络的信息和将要应用于所述移动节点的安全模式的指示中的至少ー个。11.根据权利要求I至6任意一项所述的方法,其中,促使建立IP移动绑定、检测触发器和修改所述安全模式由通信节点响应于来自所述移动节点的绑定更新消息而执行。12.ー种装置,包括 至少ー个处理器, 至少ー个包括计算机程序代码的存储器,其中所述至少一个存储器和所述计算机程序代码被配置为用所述装置的所述至少一个处理器使所述装置至少执行 对于被连接到IP子网络并在所述IP子网络中由转交地址标识的移动节点,促使建立具有安全模式的指示的因特网协议(IP)移动绑定; 检测修改用于连接到所述IP子网络的所述移动节点的安全模式的触...

【专利技术属性】
技术研发人员:B·帕蒂尔T·萨佛兰宁G·巴伊科
申请(专利权)人:诺基亚公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1