具有用于移动台和安全网关之间的信令和媒体分组的空加密的方法和装置制造方法及图纸

公开了一种用于通过无线局域网在移动台和安全网关之间高效传输分组以访问归属地服务的方法。在该方法中，建立第一加密安全关联以用于将第一类型分组从安全网关传输到移动台，并且建立第二加密安全关联以用于将第一类型分组从移动台传输到安全网关。接下来，建立第一空加密安全关联以用于将第二类型分组从安全网关传输到移动台，并且建立第二空加密安全关联以用于将第二类型分组从移动台传输到安全网关。基于业务选择符来选择用于使用第二空加密安全关联来传输的第二类型分组。而且，可以基于业务选择符来选择用于使用第一空加密安全关联来传输的第二类型分组。该业务选择符可以是预配置的。

【技术实现步骤摘要】
具有用于移动台和安全网关之间的信令和媒体分组的空加密的方法和装置基于35U. S. C. § 119要求优先权本申请是2007年9月24日提交的、申请号为200780035404. 2的、专利技术名称为“具有用于移动台和安全网关之间的信令和媒体分组的空加密的方法和装置”的申请的分案申请。本申请要求享有2006年9月25日递交的名称为“NULL-ENCRYPTION FOR SIP SIGNALING AND MEDIA PACKETS BETWEEN MS AND PDIF”的临时申请 No. 60/847，195 的优先权。该临时申请被转让给本受让人并通过引用明确地并入本文。
本专利技术概括地说涉及无线通信领域，更具体地涉及选择性内容保护。
技术介绍
通信技术具有许多应用领域，包括例如，寻呼、无线本地环路、因特网电话和卫星通信系统。一种示例性应用是用于移动用户的蜂窝电话系统。(如这里所使用的，术语“蜂窝”系统包括蜂窝和个人通信服务(PCS)系统频率。)已经针对这种蜂窝系统开发了被设计成允许多个用户访问公共通信介质的现代通信系统，比如无线通信系统。这些现代通信系统可以基于多址技术，比如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空分多址 (SDMA)、极分多址(PDMA)或本领域公知的其它调制技术。这些调制技术对从通信系统的多个用户接收的信号进行解调，从而能够增加通信系统的容量。与此相关，已经建立了各种无线通信系统，包括例如，先进移动电话服务(AMPS)、全球移动通信系统(GSM)和其它无线系统。在FDMA系统中，将总频谱划分为多个更小的子带，并且给每个用户指定自己的子带以接入通信介质。可替换地，在TDMA系统中，将总频谱划分为多个更小的子带，每个子带在多个用户之间共享，并且允许每个用户在预定时隙中使用该子带进行发送。CDMA系统相比其它类型的系统提供了潜在的优势，包括增加了系统容量。在CDMA系统中，给每个用户指定了所有时间内的整个频谱，但是通过使用唯一的编码来区分每个用户的传输。CDMA系统可以设计为支持一个或多个CDMA标准，比如(I) “用于双模宽带扩频蜂窝系统的TIA/EIA-95-B移动台-基站兼容标准”(IS-95标准)，(2)由名为“第3代合作伙伴项目”(3GPP)的组织提供的并且体现在一系列文档中的标准，这些文档包括文档No. 3G TS 25. 211、No. 3G TS25. 212、No. 3G TS 25. 213 和 No. 3G TS 25. 214 (W-CDMA 标准)，以及(3)由名为“第3代合作伙伴项目2” (3GPP2)的组织提供的并且体现在“用于cdma2000扩频系统的TR-45. 5物理层标准”(IS-2000标准)中的标准。在上述CDMA通信系统和标准中，在多个用户之间同时共享可用频谱，并且可以利用适当技术来提供服务，比如语音和数据服务。典型移动用户使用诸如移动电话或膝上型计算机的移动台或终端来接入无线通信系统。除语音通信外，移动台可以访问由归属地3G系统提供的其它网络数据服务，比如即时消息服务(IMS)。移动台可以接入无线本地接入网(WLAN)，其可以提供可选择的通信信道，用于访问由归属地3G系统提供的网络数据服务，而不使用归属地3G系统的“蜂窝”容量。图I示出了 3G-WLAN交互架构。移动台(MS)经由无线局域网(WLAN)系统可以访问MS归属地网络中的服务。分组数据互通功能体(PDIF)作为安全网关，保护网络服务(例如，即时消息服务 (IMS)),防止未授权的访问。MS是基于SIP的系统，其允许MS建立因特网语音协议(VoIP) 呼叫。为了从WLAN系统访问MS服务，MS使用因特网密钥加密版本2 (IKEv2)来与分组数据互通功能体(PDIF)建立安全IP隧道。由归属地鉴权认证计费(H-AAA)对该隧道的建立进行鉴权和认证。虚线是用于鉴权、认证、计费(AAA)信息的路径。实线是用户数据业务的承载路径，管道是保护MS和I3DIF之间的用户数据业务的安全IP隧道。在建立安全IP 隧道之后，MS可以在3G归属地网络中注册MS。MS使用会话启动协议(SIP)来与MS中的控制实体(例如，代理呼叫会话控制功能(P-CSCF ))进行通信。然而，该安全IP隧道对于特定业务类型来说效率低下。因此，在本领域中，对于移动台和3G网络来说，需要允许该移动台高效地访问由该3G网络提供的网络数据服务，而不使用该3G系统的“蜂窝”容量。
技术实现思路
本专利技术的一方面在于一种用于通过无线局域网在移动台和安全网关之间高效传输分组以访问归属地服务的方法。在该方法中，建立第一加密安全关联以用于将第一类型分组从安全网关传输到移动台，并且建立第二加密安全关联以用于将第一类型分组从移动台传输到安全网关。接下来，建立第一空加密安全关联以用于将第二类型分组从安全网关传输到移动台，并且建立第二空加密安全关联以用于将第二类型分组从移动台传输到安全网关。基于业务选择符来选择用于使用第二空加密安全关联来传输的第二类型分组。而且， 可以基于业务选择符来选择使用第一空加密安全关联来传输的第二类型分组。在本专利技术的更多具体方面中，业务选择符可以是预配置的并且为移动台和安全网关所已知。业务选择符可以是目的和/或源IP地址和端口号。此外，可以在建立第一和第二加密安全关联之前产生业务选择符，或者可以在建立第一和第二加密安全关联之后产生业务选择符。此外，移动台可以产生业务选择符并使用第二加密安全关联将该业务选择符转发给安全网关，或者安全网关可以产生业务选择符并使用第一加密安全关联转发该业务选择符。在本专利技术的其它更多具体方面中，第一和第二空加密安全关联均可以是子安全关联。每个安全关联可以是安全IP隧道。可以由第三代移动电话归属地网络来提供归属地服务。安全网关可以是分组数据互通功能体。所选择的用于使用第二空加密安全关联来传输的第二类型分组可以是先前加密的语音IP分组，或者其可以是先前加密的会话启动协议分组。本专利技术的另一方面可以在于一种移动台，其包括用于建立第一加密安全关联以用于将第一类型分组通过无线局域网从安全网关传输到移动台的模块，用于建立第二加密安全关联以用于将第一类型分组通过无线局域网从移动台传输到安全网关的模块，用于建立CN 102932783 A书明说3/7页第一空加密安全关联以用于将第二类型分组通过无线局域网从安全网关传输到移动台的模块，用于建立第二空加密安全关联以用于将第二类型分组通过无线局域网从移动台传输到安全网关的模块，以及用于基于业务选择符来选择使用第二空加密安全关联来传输的第二类型分组的模块。本专利技术的另一方面可以在于一种包括计算机可读介质的计算机程序产品，该计算机可读介质包括用于使计算机执行以下操作的代码建立第一加密安全关联以用于将第一类型分组通过无线局域网从安全网关传输到移动台，建立第二加密安全关联以用于将第一类型分组通过无线局域网从移动台传输到安全网关，建立第一空加密安全关联以用于将第二类型分组通过无线局域网从安全网关传输到移动台，建立第二空加密安全关联以用于将第二类型分组通过无线局域网从移动台传输到安全网关，以及基于业务选择符来选择使用第二空加密安全关联来传输的第二类本文档来自技高网...

【技术保护点】
一种用于传输分组的方法，包括：建立针对移动台和安全网关之间的分组业务的加密安全关联；建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联；以及基于业务选择符来选择使用所述空加密安全关联进行传输的分组，其中，所述空加密安全关联应用于一个或多个IMS分组流，并且其中，所述加密安全关联至少应用于非IMS分组流。

【技术特征摘要】
2006.09.25 US 60/847,195;2007.09.20 US 11/858,7141.一种用于传输分组的方法，包括建立针对移动台和安全网关之间的分组业务的加密安全关联；建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联；以及基于业务选择符来选择使用所述空加密安全关联进行传输的分组，其中，所述空加密安全关联应用于一个或多个MS分组流，并且其中，所述加密安全关联至少应用于非MS分组流。2.根据权利要求I所述的方法，其中，所述空加密安全关联应用于SIP信令消息。3.根据权利要求2所述的方法，其中，所述选择包括将所述SIP信令消息映射到被空加密的子安全关联。4.根据权利要求1-3中任意一项所述的方法，其中，所述空加密安全关联应用于VoIP 分组。5.根据权利要求1-4中任意一项所述的方法，其中，所述加密安全关联包括IPsecSA06.根据权利要求1-5中任意一项所述的方法，其中，所述安全网关包括分组数据互通功能体。7.根据权利要求1-6中任意一项所述的方法，其中，所述加密安全关联或所述空加密安全关联包括IP隧道。8.根据权利要求7所述的方法，其中，所述选择包括将所述分组引导到所述IP隧道。9.根据权利要求1-8中任意一项所述的方法，其中，所述加密安全关联或所述空加密安全关联是使用IKEv2来建立的。10.根据权利要求1-9中任意一项所述的方法，还包括使用IKEv2来配置所述业务选择符。11.根据权利要求1-10中任意一项所述的方法，其中，所述业务选择符包括IP地址或端口号。12.根据权利要求1-11中任意一项所述的方法，其中，建立所述加密安全关联包括建立第一加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台，所述方法还包括建立第二加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关。13.根据权利要求1-12中任意一项所述的方法，其中，建立所述空加密安全关联包括建立第一空加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台，所述方法还包括建立第二空加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关。14.一种移动台,包括用于建立针对所述移动台和安全网关之间的分组业务的加密安全关联的模块；用于建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联的模块；以及用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的模块，其中， 所述空加密安全关联应用于一个或多个IMS分组流，并且其中，所述加密安全关联至少应用于非MS分组流。15.根据权利要求14所述的移动台，其中，所述空加密安全关联应用于SIP信令消息。16.根据权利要求15所述的移动台，其中，所述用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的模块包括用于将所述SIP信令消息映射到被空加密的子安全关联的模块。17.根据权利要求14-16中任意一项所述的移动台，其中，所述空加密安全关联应用于 VoIP分组。18.根据权利要求14-17中任意一项所述的移动台，其中，所述加密安全关联包括 IPsec SA。19.根据权利要求14-18中任意一项所述的移动台，其中，所述安全网关包括分组数据互通功能体。20.根据权利要求14-19中任意一项所述的移动台，其中，所述加密安全关联或所述空加密安全关联包括IP隧道。21.根据权利要求20所述的移动台，其中，所述用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的模块包括用于将所述分组引导到所述IP隧道的模块。22.根据权利要求14-21中任意一项所述的移动台，其中，所述加密安全关联或所述空加密安全关联是使用IKEv2来建立的。23.根据权利要求14-22中任意一项所述的移动台，还包括用于使用IKEv2来配置所述业务选择符的模块。24.根据权利要求14-23中任意一项所述的移动台，其中，所述业务选择符包括IP地址或端口号。25.根据权利要求14-24中任意一项所述的移动台，其中，用于建立针对所述移动台和安全网关之间的分组业务的加密安全关联的模块包括用于建立第一加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台的模块，所述移动台还包括用于建立第二加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关的模块。26.根据权利要求14-25中任意一项所述的移动台，其中，用于建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联的模块包括用于建立第一空加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台的模块，所述移动台还包括用于建立第二空加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关的模块。...

【专利技术属性】
技术研发人员：A·C·马亨德兰，徐大生，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：