專(zhuān)利名稱(chēng):分組數(shù)據(jù)通信中的加密數(shù)據(jù)流的承載控制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及分組數(shù)據(jù)通信���,并更具體涉及分組數(shù)據(jù)通信期間對(duì)分組數(shù)據(jù)流的監(jiān)視和控制。
背景技術(shù):
網(wǎng)絡(luò)的全球互連允許快捷地訪(fǎng)問(wèn)信息����,而不管地理距離如何����。圖1示出了通常稱(chēng)為因特網(wǎng)的以附圖標(biāo)記20表示的網(wǎng)絡(luò)的全球連接的簡(jiǎn)化示意圖�����。因特網(wǎng)20實(shí)質(zhì)上是連接在一起的具有不同分級(jí)等級(jí)的許多網(wǎng)絡(luò)�����。因特網(wǎng)20依據(jù)由IETF(因特網(wǎng)工程任務(wù)組)發(fā)布的IP(因特網(wǎng)協(xié)議)工作���。IP的細(xì)節(jié)可在由IETF公布的RFC(請(qǐng)求注解)791中找到����。
連接到因特網(wǎng)20的是各種單獨(dú)的網(wǎng)絡(luò)�,取決于網(wǎng)絡(luò)大小而有時(shí)被稱(chēng)為L(zhǎng)AN(局域網(wǎng))或WAN(廣域網(wǎng))。圖1中所示的是這樣的網(wǎng)絡(luò)22����、24和26中的一些。
在每個(gè)網(wǎng)絡(luò)22�、24和26內(nèi)��,可以有相互連接并相互通信的各種設(shè)備。實(shí)例有計(jì)算機(jī)�����、打印機(jī)和服務(wù)器�����,僅是舉出一些���。每個(gè)設(shè)備具有唯一的硬件地址�����,通常稱(chēng)為MAC(媒體接入控制)地址�。帶有MAC地址的設(shè)備有時(shí)被稱(chēng)為節(jié)點(diǎn)��。當(dāng)節(jié)點(diǎn)經(jīng)由因特網(wǎng)20超出其本身的網(wǎng)絡(luò)通信時(shí)�����,需要給該節(jié)點(diǎn)分配IP地址�。
IP地址的分配可以是手動(dòng)的或自動(dòng)的��。IP地址的手動(dòng)分配可由例如網(wǎng)絡(luò)管理員來(lái)執(zhí)行����。更加普遍地�����,IP地址被自動(dòng)分配��。例如����,在LAN中,IP地址可由位于節(jié)點(diǎn)的LAN內(nèi)部的稱(chēng)作DHCP(動(dòng)態(tài)主機(jī)控制協(xié)議)服務(wù)器的服務(wù)器(未示出)分配����。此外,在支持無(wú)線(xiàn)技術(shù)的WAN中����,IP地址可被自動(dòng)地和遠(yuǎn)程地分配。
現(xiàn)在返回到圖1�����,作為一個(gè)實(shí)例,假設(shè)網(wǎng)絡(luò)22中的節(jié)點(diǎn)30試圖向網(wǎng)絡(luò)24中的另一個(gè)節(jié)點(diǎn)34發(fā)送數(shù)據(jù)分組��。在依據(jù)IP的情況下��,每個(gè)數(shù)據(jù)分組都需要具有源地址和目的地地址�����。在這種情況下�,源地址是網(wǎng)絡(luò)22中的節(jié)點(diǎn)30的地址�。目的地地址是網(wǎng)絡(luò)24中的節(jié)點(diǎn)34的地址。當(dāng)以這樣的方式工作時(shí)�,節(jié)點(diǎn)30和34被稱(chēng)為在簡(jiǎn)單IP傳輸模式下進(jìn)行通信,其中在簡(jiǎn)單IP傳輸模式中��,兩個(gè)節(jié)點(diǎn)30和34在數(shù)據(jù)分組的交換中都簡(jiǎn)單地使用它們自身的IP地址以符合IP�。
無(wú)線(xiàn)技術(shù)的出現(xiàn)允許節(jié)點(diǎn)離開(kāi)它們初始登記的網(wǎng)絡(luò)而到達(dá)另一個(gè)網(wǎng)絡(luò)。例如�,返回來(lái)參考圖1,節(jié)點(diǎn)30可以是無(wú)線(xiàn)設(shè)備�����,諸如PDA(個(gè)人設(shè)備助理)�、蜂窩電話(huà)或移動(dòng)計(jì)算機(jī)�,而不是永久地有線(xiàn)連接到網(wǎng)絡(luò)22����。無(wú)線(xiàn)節(jié)點(diǎn)30可以游歷到其歸屬網(wǎng)絡(luò)22的邊界之外。這樣����,節(jié)點(diǎn)30可以從它的歸屬網(wǎng)絡(luò)22漫游至外部網(wǎng)絡(luò)26。在這種情形下��,分配給節(jié)點(diǎn)30的初始地址將不再適用于節(jié)點(diǎn)30�。同樣,目的地為節(jié)點(diǎn)30的該地址的數(shù)據(jù)分組可能不能到達(dá)節(jié)點(diǎn)30���。
由IETF提出的移動(dòng)IP(移動(dòng)因特網(wǎng)協(xié)議)是為了解決節(jié)點(diǎn)移動(dòng)性問(wèn)題而提出的���。根據(jù)IETF公布的RFC 2002,無(wú)論何時(shí)節(jié)點(diǎn)30離開(kāi)歸屬網(wǎng)絡(luò)22并在另一網(wǎng)絡(luò)中漫游�����,節(jié)點(diǎn)30都被分配“轉(zhuǎn)交地址”���,縮寫(xiě)為CoA(Care-of Address)�。
依據(jù)RFC 2002,有兩種類(lèi)型的CoA���,即�,F(xiàn)A CoA(外部代理轉(zhuǎn)交地址(Foreign Agent Care-of Address))和CCoA(同機(jī)配置轉(zhuǎn)交地址(Co-located Care of Address))��。
FA CoA實(shí)質(zhì)上是FA(外部代理)的地址�����,該FA是節(jié)點(diǎn)30所在的外部網(wǎng)絡(luò)中的指定服務(wù)器�。FA CoA可應(yīng)用在IPv4中��。
CCoA是由外部網(wǎng)絡(luò)分配給節(jié)點(diǎn)30的單獨(dú)的但是暫時(shí)的地址�����。CCoA可應(yīng)用在IPv4和IPv6中�。
在任何情況下,無(wú)論何時(shí)節(jié)點(diǎn)30在外部領(lǐng)域中����,節(jié)點(diǎn)30都必須向其歸屬網(wǎng)絡(luò)22登記CoA(無(wú)論是FA CoA還是CCoA),使得歸屬網(wǎng)絡(luò)22始終知道節(jié)點(diǎn)30的所在之處�����。在登記之后,CoA被存儲(chǔ)在由稱(chēng)為歸屬網(wǎng)絡(luò)22的HA(本地代理)25的指定服務(wù)器維護(hù)的路由表中�。
用幾個(gè)實(shí)例來(lái)進(jìn)行說(shuō)明。
對(duì)于FA CoA的情況����,假設(shè)節(jié)點(diǎn)30漫游到外部網(wǎng)絡(luò)26中。一到達(dá)外部網(wǎng)絡(luò)26的領(lǐng)域界限�����,節(jié)點(diǎn)30就接收到來(lái)自外部網(wǎng)絡(luò)26的公告消息���,該公告消息通知節(jié)點(diǎn)30其位于外部領(lǐng)域中���。從公告消息中,節(jié)點(diǎn)30得知外部網(wǎng)絡(luò)26的FA 36的地址���。然后節(jié)點(diǎn)30向歸屬網(wǎng)絡(luò)22中的HA 25登記FA CoA���。
例如,當(dāng)外部網(wǎng)絡(luò)26中的節(jié)點(diǎn)30向網(wǎng)絡(luò)24中的節(jié)點(diǎn)34發(fā)送出數(shù)據(jù)分組時(shí),在得知網(wǎng)絡(luò)24中的節(jié)點(diǎn)34的地址的情況下�,可直接地發(fā)送數(shù)據(jù)分組。即����,根據(jù)IP,在數(shù)據(jù)分組中��,可將源地址設(shè)置成節(jié)點(diǎn)30的HoA�����,并且可將目的地地址設(shè)置成網(wǎng)絡(luò)24中的節(jié)點(diǎn)34的地址�����。數(shù)據(jù)分組的方向以圖1中所示的數(shù)據(jù)路徑38示出�。
關(guān)于反向數(shù)據(jù)業(yè)務(wù)����,則不是這樣直接。在反向數(shù)據(jù)路由中��,當(dāng)網(wǎng)絡(luò)24中的節(jié)點(diǎn)34試圖向現(xiàn)在處于外部網(wǎng)絡(luò)26中的節(jié)點(diǎn)30發(fā)送數(shù)據(jù)分組時(shí)���,如上所述��,根據(jù)IP���,源地址和目的地地址二者都必須在數(shù)據(jù)分組中被指定�。在這種情況下��,源地址是網(wǎng)絡(luò)24中的節(jié)點(diǎn)34的IP地址��。關(guān)于目的地地址���,在沒(méi)有任何來(lái)自節(jié)點(diǎn)30的更新通知的情況下����,節(jié)點(diǎn)34僅知道節(jié)點(diǎn)30的HoA�����,而不知道節(jié)點(diǎn)30的FA CoA��。這樣�����,目的地地址將被設(shè)置成節(jié)點(diǎn)30的HoA。不過(guò)�����,由于節(jié)點(diǎn)30的FA CoA被存儲(chǔ)在歸屬網(wǎng)絡(luò)22中的HA 25的路由表中�����,所以當(dāng)數(shù)據(jù)分組到達(dá)歸屬網(wǎng)絡(luò)22時(shí)���,網(wǎng)絡(luò)22的HA 25將接收到的數(shù)據(jù)分組與所存儲(chǔ)的FA CoA封裝在一起���,并將其發(fā)送到外部網(wǎng)絡(luò)26中的節(jié)點(diǎn)30。即����,經(jīng)封裝的數(shù)據(jù)分組利用FA CoA作為目的地地址。一旦外部網(wǎng)絡(luò)26接收到經(jīng)封裝的數(shù)據(jù)分組�����,F(xiàn)A 36就僅去掉封裝的FA CoA并將初始分組傳遞給移動(dòng)節(jié)點(diǎn)30��。數(shù)據(jù)分組的路由在圖1中以數(shù)據(jù)路徑40示出��。
還應(yīng)注意的是�,諸如路徑38和40的數(shù)據(jù)路徑在實(shí)際中穿過(guò)了因特網(wǎng)20許多次。為了清楚以便不使圖1變得模糊����,僅將路徑顯示為穿過(guò)相關(guān)的服務(wù)器,諸如HA 25和FA 36�。即,將數(shù)據(jù)路徑38和40顯示為如圖1中所示的邏輯路徑�����。
當(dāng)以上述方式工作時(shí)�����,移動(dòng)節(jié)點(diǎn)30被稱(chēng)為在使用FA CoA在移動(dòng)IP隧道模式下與對(duì)應(yīng)節(jié)點(diǎn)34進(jìn)行通信����。
在以上實(shí)例中,數(shù)據(jù)隧道被稱(chēng)為通過(guò)HA 25存在于節(jié)點(diǎn)30和34之間�,即使移動(dòng)節(jié)點(diǎn)30看起來(lái)像是直接從相應(yīng)節(jié)點(diǎn)90接收數(shù)據(jù)分組。使用隧道模式的優(yōu)點(diǎn)在于�����,當(dāng)移動(dòng)節(jié)點(diǎn)30移動(dòng)到再一個(gè)外部網(wǎng)絡(luò)時(shí),除了發(fā)給歸屬網(wǎng)絡(luò)22的更新通知外��,移動(dòng)節(jié)點(diǎn)30不需要再向相應(yīng)節(jié)點(diǎn)34發(fā)送類(lèi)似的通知��。這樣�����,相應(yīng)節(jié)點(diǎn)34所發(fā)送和接收的數(shù)據(jù)看起來(lái)像是不間斷的��。
關(guān)于CCoA的情況�����,當(dāng)節(jié)點(diǎn)30漫游離開(kāi)歸屬網(wǎng)絡(luò)22時(shí)��,節(jié)點(diǎn)30可以不請(qǐng)求FA CoA�����,而是從外部網(wǎng)絡(luò)請(qǐng)求CCoA��。如果網(wǎng)絡(luò)26是支持無(wú)線(xiàn)技術(shù)(諸如由TIA/EIA(電信工業(yè)協(xié)會(huì)/電子工業(yè)協(xié)會(huì))發(fā)布的cdma2000標(biāo)準(zhǔn)和3GPP2(第三代合作伙伴計(jì)劃2))的WAN���,則CCoA可被請(qǐng)求并經(jīng)由例如PDSN(分組數(shù)據(jù)服務(wù)節(jié)點(diǎn))41和移動(dòng)節(jié)點(diǎn)30之間的PPP(點(diǎn)對(duì)點(diǎn)協(xié)議)而由外部網(wǎng)絡(luò)26遠(yuǎn)程地分配���。PDSN 41基本上是網(wǎng)絡(luò)26中的服務(wù)器,服務(wù)和處理網(wǎng)絡(luò)26的無(wú)線(xiàn)部分中的數(shù)據(jù)業(yè)務(wù)�����。然而�,除了外部網(wǎng)絡(luò)26對(duì)CCoA的分配之外,節(jié)點(diǎn)30可執(zhí)行諸如前述的FA 36的外部代理的所有功能����。同樣,移動(dòng)節(jié)點(diǎn)30需要向歸屬網(wǎng)絡(luò)22登記CCoA�����。
例如�����,為了與網(wǎng)絡(luò)24中的節(jié)點(diǎn)34通信��,節(jié)點(diǎn)30發(fā)送出具有兩層地址的數(shù)據(jù)分組��。在外層中���,源地址被設(shè)置成CCoA��,目的地地址被設(shè)置成HA25����。在內(nèi)層中,源地址是節(jié)點(diǎn)30的HoA�,目的地地址是外部網(wǎng)絡(luò)24中的節(jié)點(diǎn)34的地址。一接收到來(lái)自漫游節(jié)點(diǎn)30的數(shù)據(jù)分組��,HA 25就剝?nèi)ネ獾刂穼硬⒉捎脙?nèi)地址層將數(shù)據(jù)分組發(fā)送給節(jié)點(diǎn)34�����。數(shù)據(jù)分組的邏輯路徑在圖1中以數(shù)據(jù)路徑42示出�����。
在反向數(shù)據(jù)路徑中�����,即�,當(dāng)節(jié)點(diǎn)34向節(jié)點(diǎn)30發(fā)送數(shù)據(jù)分組時(shí),數(shù)據(jù)分組僅具有一個(gè)地址層��,在該地址層,源地址被設(shè)置成節(jié)點(diǎn)34��,并且目的地地址被設(shè)置成節(jié)點(diǎn)30的HoA���。一接收到數(shù)據(jù)分組,HA 25就將數(shù)據(jù)分組與作為目的地地址的CCoA和作為源地址的HA 25的地址封裝在一起�����,并將經(jīng)封裝的數(shù)據(jù)分組發(fā)送給節(jié)點(diǎn)30�����。節(jié)點(diǎn)30獨(dú)立地執(zhí)行解封裝而不通過(guò)FA 36執(zhí)行解封裝�����。數(shù)據(jù)分組的方向在圖1中以數(shù)據(jù)路徑44示出�。
當(dāng)以上述方式工作時(shí),漫游節(jié)點(diǎn)30被稱(chēng)為在使用CCoA在移動(dòng)IP隧道模式下與對(duì)應(yīng)節(jié)點(diǎn)34進(jìn)行通信����。
非常普遍的是,由于不同的原因需要對(duì)節(jié)點(diǎn)之間的數(shù)據(jù)通信進(jìn)行監(jiān)視和控制�����。例如,當(dāng)移動(dòng)節(jié)點(diǎn)30和相應(yīng)節(jié)點(diǎn)34在進(jìn)行VoIP(語(yǔ)音IP傳輸)會(huì)話(huà)時(shí)����,需要確定的是,參與方即這種情況下的移動(dòng)節(jié)點(diǎn)30和相應(yīng)節(jié)點(diǎn)34是被授權(quán)的�。尤其是,對(duì)于每個(gè)數(shù)據(jù)分組����,需要確定源地址、目的地地址和目的地端口���。如果該會(huì)話(huà)是基于收費(fèi)的���,則出于計(jì)費(fèi)目的必須實(shí)現(xiàn)用于跟蹤的裝置。由于安全性和保密性的原因���,通常節(jié)點(diǎn)之間交換的數(shù)據(jù)分組被加密����。傳輸模式下和隧道模式下的數(shù)據(jù)分組的加密方案是不同的。這樣���,對(duì)加密的數(shù)據(jù)分組的監(jiān)視提出了特別的挑戰(zhàn)��。但是�,對(duì)共享網(wǎng)絡(luò)上的安全和保密的通信的需求正在不斷增加��。
因此��,需要提供對(duì)使用加密的數(shù)據(jù)流的分組數(shù)據(jù)通信進(jìn)行安全監(jiān)視的方案��。
發(fā)明內(nèi)容
出于安全性和機(jī)密性的原因����,常常�,使用加密的通信數(shù)據(jù)分組來(lái)安全地傳輸數(shù)據(jù)流。有時(shí)候���,需要通過(guò)監(jiān)視中介(intermediary)來(lái)監(jiān)視數(shù)據(jù)流���,以進(jìn)行數(shù)據(jù)業(yè)務(wù)控制。加密的數(shù)據(jù)分組包括SPI(安全參數(shù)索引)�����,其用于標(biāo)識(shí)用于數(shù)據(jù)解密的SA(安全關(guān)聯(lián))。根據(jù)本發(fā)明的示例性實(shí)施例���,尋求互相通信的節(jié)點(diǎn)��,在建立任何正式數(shù)據(jù)業(yè)務(wù)之前����,首先通過(guò)監(jiān)視中介在信令消息中發(fā)送SPI���。此后�����,監(jiān)視中介將來(lái)自信令消息的SPI與從數(shù)據(jù)分組中提取的SPI匹配��。在數(shù)據(jù)業(yè)務(wù)控制的過(guò)程中��,如果發(fā)現(xiàn)SPI的匹配�,則監(jiān)視中介允許數(shù)據(jù)流通過(guò)�����。否則,數(shù)據(jù)流被拒絕�����。
以這種配置工作�,監(jiān)視中介可因而相對(duì)快捷地實(shí)施數(shù)據(jù)業(yè)務(wù)控制。
對(duì)于本領(lǐng)域的專(zhuān)業(yè)技術(shù)人員而言�����,根據(jù)結(jié)合附圖進(jìn)行的以下詳細(xì)描述���,這些和其它特征及優(yōu)點(diǎn)將是顯而易見(jiàn)的,其中在附圖中相似的附圖標(biāo)記指代相似的部分�����。
圖1是網(wǎng)絡(luò)的全球連接的示意圖����;圖2是示出本發(fā)明的一個(gè)實(shí)施例的示意圖;
圖3是未加密的和加密的數(shù)據(jù)分組的各種格式的示意圖�����;圖4是示出根據(jù)本發(fā)明的實(shí)施例的用于初始信令和建立內(nèi)容業(yè)務(wù)的步驟的流程圖;圖5是根據(jù)本發(fā)明配置的移動(dòng)節(jié)點(diǎn)的電路的示意圖�;和圖6是根據(jù)本發(fā)明的監(jiān)視中介的電路的示意圖。
具體實(shí)施例方式
以下描述的提供是為了使本領(lǐng)域的任何專(zhuān)業(yè)技術(shù)人員能夠?qū)崿F(xiàn)和使用本發(fā)明�����。在以下描述中闡述的細(xì)節(jié)是為了說(shuō)明的目的����。應(yīng)該理解的是,本領(lǐng)域的普通技術(shù)人員可實(shí)現(xiàn)本發(fā)明而不使用這些具體細(xì)節(jié)��。在其它實(shí)例中����,沒(méi)有詳細(xì)闡述公知的結(jié)構(gòu)和處理,以便使本發(fā)明的描述不會(huì)由不必要的細(xì)節(jié)所遮蔽����。因此,本發(fā)明不應(yīng)由所示的實(shí)施例限制����,而是要符合與本文所公開(kāi)的原理和特征相一致的最寬的范圍。
根據(jù)由第三代合作伙伴計(jì)劃(3GPP)和第三代合作伙伴計(jì)劃2(3GPP2)發(fā)布的IMS/MMD(IP多媒體子系統(tǒng)/多媒體域)標(biāo)準(zhǔn)�����,下面描述的實(shí)施例是切實(shí)可行的。IMS/MMD的全面討論可在以下公布的文獻(xiàn)中找到標(biāo)題為“3rdGeneration Partnership ProjectTechnicalSpecification Group Services and System Aspects�����,IP MultimediaSubsystem (IMS)�,Stage 2”3 GPP TS 23.228;“3rdGeneration PartnershipProjectTechnical Specification Group Core Network�,End-to-End Qualityof Service(QoS)Signaling Flows,”3GPP TS 29.208�;以及“IP MultimediaSystem,Stage 2���,”3GPP2 X.S0013-002和3GPP2 X.P0013-012。
IMS可應(yīng)用在多種標(biāo)準(zhǔn)中��,諸如cdma2000�����、WCDMA(寬帶碼分多址)�����、GPRS(通用分組無(wú)線(xiàn)電業(yè)務(wù))和各種其它WAN。
現(xiàn)參考圖2�����,其示意性地示出了本發(fā)明的示例性實(shí)施例����。整個(gè)系統(tǒng)總體以附圖標(biāo)記50表示,該系統(tǒng)包括主干網(wǎng)52�,諸如企業(yè)內(nèi)部互聯(lián)網(wǎng)或因特網(wǎng)。
舉例來(lái)說(shuō)��,如圖2所示���,在其它網(wǎng)絡(luò)中�����,連接到主干網(wǎng)52的是HN(歸屬網(wǎng)絡(luò))54�����、FN(外部網(wǎng)絡(luò))56和RN(遠(yuǎn)程網(wǎng)絡(luò))58�����。
在HN 54中�����,存在有HA(歸屬代理)62��,其承擔(dān)著管理HN 54內(nèi)的數(shù)據(jù)業(yè)務(wù)的任務(wù)�����,并且還承擔(dān)著對(duì)HN 54的數(shù)據(jù)業(yè)務(wù)的入站(inbound)和出站(outbound)路由進(jìn)行控制的任務(wù)��。如果HN 54支持無(wú)線(xiàn)技術(shù)�����,則通常安裝有RAN(無(wú)線(xiàn)電接入網(wǎng))55���,并且該RAN 55被連接到PDSN(分組數(shù)據(jù)服務(wù)節(jié)點(diǎn))64。例如���,如果RAN 55依據(jù)cdma2000標(biāo)準(zhǔn)工作�����,則RAN 55一般至少包括BSC(基站控制器)和多個(gè)BS(基站)�����。PDSN 64實(shí)質(zhì)上是主干網(wǎng)52和RAN 55之間的接入網(wǎng)關(guān)��。
為了實(shí)施各種IMS/MMD功能和特征���,服務(wù)提供商在HN 54中安裝了不同的服務(wù)器�。這樣的服務(wù)器的實(shí)例包括P-CSCF(代理呼叫狀態(tài)會(huì)話(huà)功能)70和S-CSCF(服務(wù)呼叫狀態(tài)會(huì)話(huà)功能)72��。這些服務(wù)器的功能性描述將連同系統(tǒng)50的操作描述一起在后面描述�����。
除了上述節(jié)點(diǎn)外����,在HN 54內(nèi)還有其它節(jié)點(diǎn),但為了清楚起見(jiàn)并未將其示出�����。這樣的節(jié)點(diǎn)可以是各種類(lèi)型的計(jì)算機(jī)���,打印機(jī)���,以及可以是移動(dòng)或非移動(dòng)的任何其它設(shè)備����。
圖2中示出的是連接到主干網(wǎng)52的FN 56和RN 58����。此外,為了簡(jiǎn)潔和易于說(shuō)明�����,將FN 56和RN 58圖解為有點(diǎn)類(lèi)似于HN 54����。應(yīng)該理解的是,取決于用途�����,F(xiàn)N 56和RN 58可以以非常不同的方式進(jìn)行構(gòu)造���。因此����,在這種情況下����,F(xiàn)N 56尤其還包括FA(外部代理)66、RAN 76����、PDSN 68、P-CSCF 71和PCRF(策略和計(jì)費(fèi)規(guī)則功能)75�����。同樣�����,RN 58尤其還包括PDSN 78�����、P-CSCF 80��、S-CSCF 82和PCRF 84。
應(yīng)注意的是�,在圖2中,F(xiàn)N 56中的FA 66和PDSN 68被顯示為分離的實(shí)體���。非常普遍的是�,F(xiàn)A 66和PDSN 68被集成為一個(gè)單元��。
在系統(tǒng)50中���,存在有初始向HN 54中的HA 62登記了HoA(歸屬地址)的MN(移動(dòng)節(jié)點(diǎn))60�。MN 60能夠移動(dòng)到諸如FN 56的其它外部網(wǎng)絡(luò)�,并能在移動(dòng)IP(移動(dòng)因特網(wǎng)協(xié)議)下經(jīng)由FN 56或其它網(wǎng)絡(luò)訪(fǎng)問(wèn)主干網(wǎng)52。MN 60在實(shí)際中可以是例如PDA(個(gè)人數(shù)字助理)����、膝上型計(jì)算機(jī)或移動(dòng)電話(huà)的形式。
假設(shè)MN 60正在FN 56中漫游�。在該具體實(shí)例中,假定MN 60的用戶(hù)想與RN 58中操作CN(對(duì)應(yīng)節(jié)點(diǎn))90的另一用戶(hù)進(jìn)行視頻會(huì)議會(huì)話(huà)�。節(jié)點(diǎn)90可以是移動(dòng)的或非移動(dòng)的。
一到達(dá)FN 56的領(lǐng)域�����,MN 60就可通過(guò)FN 56的公告而獲取FA 66的地址。然后MN 60向HN 54中的HA 62登記FA CoA���,使得HA 62能夠保持對(duì)MN 60的位置的跟蹤?����?商鎿Q地��,MN 60可從FA 66請(qǐng)求CCoA��。然后出于同一原因�����,即為了允許HA 62維持與MN 60的接觸���,MN 60還向HA 62登記CCoA�����。
在建立任何通信業(yè)務(wù)之前����,MN 60需要經(jīng)歷信令處理。為了完成該目的����,MN 60經(jīng)由下面將描述的中介向CN 90發(fā)送出邀請(qǐng)消息。同樣�,CN 90需要采用響應(yīng)信令處理來(lái)確認(rèn)邀請(qǐng)消息。
在該實(shí)例中���,MN 60使用初始由HN 54中的HA 62分配的HoA來(lái)向HN 54中的S-CSCF 72登記��,以用于訪(fǎng)問(wèn)包括HN 54中的S-CSCF72的SIP(會(huì)話(huà)啟動(dòng)協(xié)議)網(wǎng)絡(luò)���。
然后MN 60向HN 54中的P-CSCF 70發(fā)送SIP INVITE消息。應(yīng)注意的是�����,在實(shí)際操作中�����,如同所有其它數(shù)據(jù)業(yè)務(wù)一樣����,SIP INVITE消息在到達(dá)P-CSCF 70之前首先經(jīng)過(guò)RAN 76���、PDSN 68、FA 66����、主干網(wǎng)52和HA 62。此外��,如本領(lǐng)域公知的那樣��,數(shù)據(jù)業(yè)務(wù)是以電子信號(hào)的形式經(jīng)由信號(hào)載波穿過(guò)系統(tǒng)50的�。為了清楚起見(jiàn)�����,以類(lèi)似于上述的方式���,將數(shù)據(jù)業(yè)務(wù)簡(jiǎn)單地圖解為邏輯路徑�。即��,在下面的描述中�,除非特別強(qiáng)調(diào),否則僅描述數(shù)據(jù)業(yè)務(wù)的邏輯路徑����。
還應(yīng)注意的是�,可替換地���,MN 60可向FN 56中的P-CSCF 71發(fā)送SIP INVITE消息以啟動(dòng)會(huì)議會(huì)話(huà)����。即���,可替換地���,MN 60可不使用HN 54中的SIP網(wǎng)絡(luò)來(lái)用于發(fā)送信號(hào),而使用FN 56中的SIP網(wǎng)絡(luò)�����。為了說(shuō)明的連貫和簡(jiǎn)潔��,在下面的描述中�,HN 54中的SIP網(wǎng)絡(luò)被用于信令處理。
假設(shè)視頻會(huì)議會(huì)話(huà)將是私人會(huì)話(huà)�����。這樣,MN 60和CN 90之間交換的數(shù)據(jù)分組是被加密的�,如通常實(shí)施的那樣。
在這個(gè)當(dāng)口����,離題一下來(lái)一般性地解釋IP安全性并進(jìn)一步特別解釋未加密的和加密的數(shù)據(jù)分組之間的差別,將是有幫助的�����。
在IP下�����,根據(jù)IPSec(因特網(wǎng)協(xié)議安全性)對(duì)數(shù)據(jù)分組進(jìn)行加密��,其中IPSec是具有處理數(shù)據(jù)機(jī)密性�����、完整性和參與方之間的認(rèn)證的各種標(biāo)準(zhǔn)的安全協(xié)議���。IPSec的細(xì)節(jié)可在RFC 2401、2412和2451中找到�。
根據(jù)IPSec�����,尋求安全通信的通信節(jié)點(diǎn)首先需要預(yù)先就稱(chēng)為SA(安全關(guān)聯(lián))的一套安全參數(shù)達(dá)成一致����。SA可以尤其包括加密算法�����、認(rèn)證算法���、加密密鑰和認(rèn)證密鑰��。這樣�,在達(dá)成一致后�����,SA被存儲(chǔ)在請(qǐng)求安全通信會(huì)話(huà)的每個(gè)節(jié)點(diǎn)中�。公共SA可由與每個(gè)數(shù)據(jù)分組一起傳輸?shù)腟PI(安全參數(shù)索引)來(lái)標(biāo)識(shí)。在任何安全通信會(huì)話(huà)期間���,接收節(jié)點(diǎn)可以始終從任何數(shù)據(jù)分組中提取SPI�,并調(diào)用所存儲(chǔ)的SA以用于解密。帶有公共加密算法和密鑰的SA允許接收節(jié)點(diǎn)解密加密過(guò)的數(shù)據(jù)分組���。
圖3中所示的是不同形式的加密的數(shù)據(jù)分組和未加密的數(shù)據(jù)分組���。
附圖標(biāo)記100表示公共的加密前的數(shù)據(jù)分組。數(shù)據(jù)分組100包括IP頭102����,IP頭102存儲(chǔ)IP下所要求的諸如分組100的源地址和目的地地址的信息。與IP頭102相鄰的是層4頭104�。層4是傳輸層,其包括關(guān)于數(shù)據(jù)分組100是在TCP(傳輸控制協(xié)議)下還是在UDP(用戶(hù)數(shù)據(jù)報(bào)協(xié)議)下的信息���。TCP和UDP的細(xì)節(jié)可分別在RFC 793和RFC 768中找到�。這樣����,層4頭104至少可標(biāo)識(shí)分組100是TCP分組還是UDP分組��,并進(jìn)一步包括源端口和目的地端口的位置����。對(duì)于監(jiān)視中介執(zhí)行其數(shù)據(jù)監(jiān)視職責(zé)來(lái)說(shuō)��,關(guān)于目的地端口的信息是必要的��。與層4頭104相鄰的是數(shù)據(jù)分組100所攜帶的凈荷數(shù)據(jù)106�����。
附圖標(biāo)記108表示傳輸模式下的加密的數(shù)據(jù)分組����。陰影線(xiàn)部分指示加密下的數(shù)據(jù)區(qū)域�。加密的數(shù)據(jù)分組108還包括與未加密的分組100相同的IP頭102。然而����,加密分組100的層4頭104A和凈荷數(shù)據(jù)106A是未加密的數(shù)據(jù)分組100的相應(yīng)的層4頭104和凈荷數(shù)據(jù)106的加密的對(duì)應(yīng)部分。在數(shù)據(jù)分組108中���,布置在IP頭102和層4頭104A之間的是ESP(封裝安全凈荷)頭110�����。ESP頭110包括SPI��,該SPI可用于標(biāo)識(shí)帶有用來(lái)如前所述解密數(shù)據(jù)分組108的預(yù)先安排的算法的SA�。在數(shù)據(jù)分組108末端的是ESP報(bào)尾112和認(rèn)證數(shù)據(jù)114。ESP報(bào)尾112尤其包括標(biāo)識(shí)下一個(gè)ESP頭的信息���。如果執(zhí)行任何認(rèn)證協(xié)議�,則認(rèn)證數(shù)據(jù)分段114具有用于該用途的信息����。
附圖標(biāo)記118表示根據(jù)IPSec在隧道模式下的加密的數(shù)據(jù)分組。在數(shù)據(jù)分組118中�����,主要是加密前的分組100被加密并封裝到分組118中�����。這樣����,分組分段(packet segment)IP頭102B�����、層4頭104B和凈荷數(shù)據(jù)106B包含初始分組100的相應(yīng)分段的信息。然而�,分組118的前部IP頭102的內(nèi)容不同于IP頭102B的內(nèi)容。例如����,IP頭120包括隧道的外層地址,并且IP頭102B具有隧道的內(nèi)層地址�����。與IP頭120相鄰的是ESP頭110��,其實(shí)質(zhì)上與數(shù)據(jù)分組108中的ESP頭110相同����。也就是說(shuō),ESP頭110包括SPI��,該SPI用于標(biāo)識(shí)帶有用于解密數(shù)據(jù)分組118的預(yù)先安排的算法的SA�。ESP報(bào)尾112和認(rèn)證數(shù)據(jù)114與分組108的那些基本相同。
應(yīng)該注意����,在IPv6下,在每個(gè)分組108�、100和118的IP頭102之后���,有稱(chēng)為“流標(biāo)簽”的任選頭,其包括標(biāo)識(shí)數(shù)據(jù)分組108��、100或118是音頻分組還是視頻分組的信息��。為了簡(jiǎn)潔扼要��,流標(biāo)簽頭在圖3中未示出��。
如在圖3中可看到的那樣���,在數(shù)據(jù)分組108中��,層4頭104A被加密�����。因而��,監(jiān)視中介不能識(shí)別分組108例如是TCP分組還是UDP分組�����。首要的是���,層4頭104A包括的有關(guān)目的地端口的信息也是不容易得到的。任何監(jiān)視中介在沒(méi)有任何關(guān)于目的地端口的信息的情況下�����,不能執(zhí)行任何數(shù)據(jù)監(jiān)視�。
同樣,在數(shù)據(jù)分組118中�����,除了層4頭104B的加密��,IP頭102B也被加密����。例如,在沒(méi)有來(lái)自IP頭104B的信息的情況下����,監(jiān)視中介進(jìn)一步不能得知數(shù)據(jù)分組118的內(nèi)層地址。因此���,可能不能監(jiān)視數(shù)據(jù)分組118��。
如前所述��,嵌入每個(gè)數(shù)據(jù)分組108和118中的是SPI�,該SPI可用于標(biāo)識(shí)用于數(shù)據(jù)加密的相關(guān)聯(lián)的SA。然而�����,在該實(shí)施例中�,SPI還被隱式地用于標(biāo)識(shí)和對(duì)應(yīng)于與加密的數(shù)據(jù)分組108或118相關(guān)聯(lián)的特定目的地端口。更具體地��,在加密的數(shù)據(jù)分組108或118中��,各個(gè)ESP頭110中的每個(gè)SPI對(duì)應(yīng)于例如特定數(shù)據(jù)流�����,而特定數(shù)據(jù)流的特征在于該數(shù)據(jù)流是音頻流還是視頻流�,并進(jìn)一步對(duì)應(yīng)于目的地端口的標(biāo)識(shí)。根據(jù)示例性實(shí)施例�����,在初始信令處理期間�����,SPI通過(guò)監(jiān)視中介被直接發(fā)送并最終到達(dá)監(jiān)視中介。在數(shù)據(jù)監(jiān)視期間����,監(jiān)視中介僅需將在信令處理期間所獲取的SPI與相應(yīng)的從加密的數(shù)據(jù)分組中提取的SPI匹配�。如果發(fā)現(xiàn)匹配,則特定流(即����,不管該流是音頻還是視頻)以及加密的數(shù)據(jù)分組的目的地端口,因此可被隱式地標(biāo)識(shí)����。
現(xiàn)在返回來(lái)參考圖2。為了啟動(dòng)視頻會(huì)議會(huì)話(huà)��,MN 60如前面所述地通過(guò)SIP網(wǎng)絡(luò)發(fā)送出SIP INVITE消息����。SIP INVITE消息包括稱(chēng)為SDP(會(huì)話(huà)描述協(xié)議)的描述部分,該描述部分實(shí)質(zhì)上描述的是為正確執(zhí)行所請(qǐng)求的視頻會(huì)議會(huì)話(huà)所需的基本要求�。例如,包括在SDP中的是MN 60的IP地址和端口號(hào)�,以及用于會(huì)話(huà)的編解碼器規(guī)范��。更重要的是�,在該實(shí)施例中��,SDP包括將由MN 60使用的SPI����。在通信會(huì)話(huà)是視頻會(huì)議會(huì)話(huà)的該實(shí)例中,需要兩個(gè)SPI�����,也就是說(shuō)��,一個(gè)用于視頻流�����,另一個(gè)用于音頻流�。如前所述,每個(gè)SPI對(duì)應(yīng)于特定數(shù)據(jù)流�,而特定的數(shù)據(jù)流唯一地與特定目的地端口相關(guān)聯(lián)。要重申的是����,在數(shù)據(jù)監(jiān)視的過(guò)程中�����,如果SIP INVITE消息中包括的SPI與從承載業(yè)務(wù)的數(shù)據(jù)分組中提取的SPI相匹配��,則目的地端口可被隱式地標(biāo)識(shí)�。承載業(yè)務(wù)是會(huì)議會(huì)話(huà)的音頻和視頻信號(hào)的內(nèi)容流�。利用目的地端口地址的標(biāo)識(shí)以及源地址和目的地地址����,數(shù)據(jù)監(jiān)視中介可以履行其數(shù)據(jù)監(jiān)視職責(zé)。
現(xiàn)返回圖2��,HN 54中的P-CSCF 70是承擔(dān)呼叫會(huì)話(huà)管理職責(zé)的節(jié)點(diǎn)��。一接收到SIP INVITE消息���,P-CSCF 70就將SIP INVITE消息發(fā)送給HN 54中的S-CSCF 72����。S-CSCF 72繼而將SIP INVITE消息發(fā)送給RN 58以請(qǐng)求接受����。
一旦HN 54中的S-CSCF 72同意會(huì)話(huà)并且RN 58中的CN 90接受會(huì)議會(huì)話(huà)�����,P-CSCF 70然后就向HN 54中的PCRF 74發(fā)送策略相關(guān)信息�����,諸如收費(fèi)規(guī)則��、授權(quán)的QoS(服務(wù)質(zhì)量)和流標(biāo)識(shí)符�����。
同時(shí)��,即在CN 90接受之后�,MN 60將TFT(業(yè)務(wù)流模板)連同被請(qǐng)求的QoS一起發(fā)送給FN 56中的PDSN 68以建立承載業(yè)務(wù)���。
然后PDSN 68從FN 56中的PCRF 75請(qǐng)求相同的如前所述的策略相關(guān)信息���,即用于會(huì)議會(huì)話(huà)的授權(quán)的QoS、收費(fèi)規(guī)則和流標(biāo)識(shí)符����。然后PCRF 75將該請(qǐng)求中繼給HN 54中的PCRF 74�。由PCRF 75許可的任何參數(shù)必須與某種批準(zhǔn)的策略相一致�����。這樣的策略可包括在IMS/MMD標(biāo)準(zhǔn)下規(guī)定的規(guī)則����,網(wǎng)絡(luò)之間的特定協(xié)定,諸如HN 54和FN 56之間關(guān)于承載業(yè)務(wù)的處理的協(xié)定�,網(wǎng)絡(luò)特有的策略,諸如僅對(duì)FN 56是唯一的策略���。如果請(qǐng)求的會(huì)議會(huì)話(huà)是基于收費(fèi)的,則策略可包括用于計(jì)費(fèi)目的的某些跟蹤過(guò)程���。尤其是��,未授權(quán)的業(yè)務(wù)將被阻斷����。在IMS/MMD標(biāo)準(zhǔn)下��,策略的實(shí)施被稱(chēng)作SBBC(基于服務(wù)的承載控制)。
SBBC的操作細(xì)節(jié)可在3GPP2 X.S0013-012標(biāo)題為“3GPP2 MMDService Based Bearer Control Document����,Work in Progress,”的文獻(xiàn)中找到��。SDP的描述可在Stage 33GPP2-X.S0013-0004標(biāo)題為“IPMultimedia Call Control Protocol Based on SIP and SDP”的文獻(xiàn)中找到����。
FN 56中的PCRF 75被安裝以用于決定所有強(qiáng)加的策略。在決定處理中��,PCRF 75被置于HN 54中的PCRF 74和FN 56中的PDSN 68之間�����。此外��,在PDSN 68和PCRF 75之間置有Ty接口92�����。在HN 54中的PCRF 74和P-CSCF 70之間還置有Tx接口94����,如圖2中所示�。前述的Ty和Tx接口被用于會(huì)議會(huì)話(huà)和承載業(yè)務(wù)之間的策略控制���。Ty和Tx接口的細(xì)節(jié)可在由3GPP公布的3GPP TS 23.107和由3GPP2公布的3GPP2 X.P0013-012文獻(xiàn)中找到��。
現(xiàn)在返回到圖2����,如果SIP INVITE消息中宣稱(chēng)的所請(qǐng)求的會(huì)話(huà)參數(shù)被授權(quán)����,則它們將經(jīng)由HN 54中的PCRF 74和FN 56中的PCRF 75從P-CSCF 70傳遞到PDSN 68。
在該實(shí)施例中�,假定CN 90具有由RN 58分配的CCoA。因此�,一接收到SIP INVITE消息,CN 90就采用SIP 200 OK消息做出返回響應(yīng)���。SIP 200 OK消息基本上重新確認(rèn)初始SIP INVITE消息的參數(shù)。另外����,在該實(shí)施例中,CN 90在SIP 200 OK消息的SDP中還包括將由CN 90使用以用于承載業(yè)務(wù)的SPI�。SIP 200 OK沿著與SIP INVITE消息相同的數(shù)據(jù)路徑但以相反的順序流動(dòng)�。
然后MN 60通過(guò)沿著與初始SIP INVITE消息相同的數(shù)據(jù)路徑往回發(fā)送確認(rèn)消息(ACK)來(lái)確認(rèn)SIP 200 OK消息的接收��。
此后承載業(yè)務(wù)就緒��,以便由FN 56中的PDSN 68根據(jù)SIP INVITE消息中提出的授權(quán)參數(shù)進(jìn)行建立����。
如前所述,在IMS/MMD標(biāo)準(zhǔn)下��,承載業(yè)務(wù)需要由網(wǎng)絡(luò)經(jīng)由SBBC進(jìn)行監(jiān)視和控制����。在該實(shí)例中,由FN 56中的PCRF 75指揮的PDSN 68承擔(dān)著實(shí)施SBBC以便與前述策略相一致的職責(zé)��。
在SBBC實(shí)施期間��,在允許每個(gè)數(shù)據(jù)分組通過(guò)之前需要對(duì)其進(jìn)行篩選�����。由于承載業(yè)務(wù)的數(shù)據(jù)分組如前面所述地被加密����,所以諸如目的地端口標(biāo)識(shí)的一些必要信息不會(huì)被容易且方便地得到����。在該實(shí)施例中��,如前所述��,在初始信令處理期間���,PDSN 68就預(yù)先具有了來(lái)自SIPINVITE消息和SIP 200 OK消息的數(shù)據(jù)流的SPI的信息��。在操作中��,PDSN 68從每個(gè)數(shù)據(jù)分組中提取SBBC所需的必要信息���,諸如源地址和目的地地址以及隱式地標(biāo)識(shí)數(shù)據(jù)流的SPI,并且如果信息與從信令處理獲得的相應(yīng)信息匹配�,則作為SBBC實(shí)施的一部分,數(shù)據(jù)分組被允許通過(guò)�。另一方面,如果存在失配��,則數(shù)據(jù)分組被稱(chēng)為使SBBC失敗并被丟棄��。
以上述方式工作�����,也就是說(shuō)���,利用包括在信令消息的SDP中的SPI��,PDSN 68可快捷地實(shí)施所請(qǐng)求的視頻會(huì)議會(huì)話(huà)的加密數(shù)據(jù)業(yè)務(wù)的SBBC�。SBBC的實(shí)施是連續(xù)的��,直到MN 60和CN 90之間的會(huì)話(huà)終止�����。
圖4的流程圖示出了上述處理�����。
圖5示意性地示出了根據(jù)本發(fā)明的由附圖標(biāo)記121表示的移動(dòng)節(jié)點(diǎn)裝置的硬件實(shí)現(xiàn)方案的一部分�����。裝置121可例如被構(gòu)建并包含在各種設(shè)備中���,諸如膝上型計(jì)算機(jī)�����、PDA或蜂窩電話(huà)中��。
裝置121包括將若干電路連接在一起的中央數(shù)據(jù)總線(xiàn)122��。這些電路包括CPU(中央處理單元)或控制器124�、接收電路126、發(fā)射電路128和存儲(chǔ)器單元130���。
接收和發(fā)射電路126和128可連接到RF(射頻)電路�����,但在附圖中未示出�����。接收電路126在將接收到的信號(hào)發(fā)送出至數(shù)據(jù)總線(xiàn)122之前處理和緩沖接收到的信號(hào)�����。另一方面����,發(fā)射電路128在將來(lái)自數(shù)據(jù)總線(xiàn)122的數(shù)據(jù)發(fā)送出設(shè)備120之前處理和緩沖來(lái)自數(shù)據(jù)總線(xiàn)122的數(shù)據(jù)���。CPU/控制器124執(zhí)行數(shù)據(jù)總線(xiàn)122的數(shù)據(jù)管理的功能�,并進(jìn)一步執(zhí)行通用數(shù)據(jù)處理的功能�����,包括執(zhí)行存儲(chǔ)器單元130的指令內(nèi)容����。
存儲(chǔ)器單元130包括總體用附圖標(biāo)記131表示的一組指令。在該實(shí)施例中��,指令尤其包括諸如移動(dòng)IP客戶(hù)機(jī)132和SIP客戶(hù)機(jī)134的部分��。SIP客戶(hù)機(jī)134包括根據(jù)如前所述的本發(fā)明的指令組��。移動(dòng)IP客戶(hù)機(jī)132包括用于允許裝置121在IP或移動(dòng)IP下工作的指令組���,諸如用于獲取各種通信模式的各種類(lèi)型的地址的指令組�����,同樣如前所述�。
在該實(shí)施例中,存儲(chǔ)器單元130是RAM(隨機(jī)存取存儲(chǔ)器)電路����。示例性的指令部分132和134是軟件例程或模塊。存儲(chǔ)器單元130可被連接至可以是易失性或非易失性類(lèi)型的另一個(gè)存儲(chǔ)器電路(未示出)���?���?商娲?��,存儲(chǔ)器單元130可由其它電路類(lèi)型構(gòu)成��,諸如EEPROM(電可擦可編程只讀存儲(chǔ)器)�、EPROM(電可編程只讀存儲(chǔ)器)���、ROM(只讀存儲(chǔ)器)���、磁盤(pán)、光盤(pán)以及技術(shù)領(lǐng)域中公知的其它電路類(lèi)型�����。
圖6示意性地示出了根據(jù)本發(fā)明的用附圖標(biāo)記140表示的PDSN裝置的硬件實(shí)現(xiàn)方案的一部分。PDSN裝置140包括將若干電路連接在一起的中央數(shù)據(jù)總線(xiàn)142���。這些電路包括CPU(中央處理單元)或控制器144��、接收電路146、發(fā)射電路148�����、數(shù)據(jù)庫(kù)存儲(chǔ)單元149和存儲(chǔ)器單元150���。
接收和發(fā)射電路146和148可連接到PDSN裝置140所連接到的網(wǎng)絡(luò)數(shù)據(jù)總線(xiàn)(未示出)���。接收電路146在將從網(wǎng)絡(luò)數(shù)據(jù)總線(xiàn)(未示出)接收到的信號(hào)經(jīng)路由傳送至內(nèi)部數(shù)據(jù)總線(xiàn)142之前處理和緩沖從網(wǎng)絡(luò)數(shù)據(jù)總線(xiàn)接收到的信號(hào)。發(fā)射電路148在將來(lái)自數(shù)據(jù)總線(xiàn)142的數(shù)據(jù)發(fā)送出裝置140之前處理和緩沖來(lái)自數(shù)據(jù)總線(xiàn)142的數(shù)據(jù)��。CPU/控制器144執(zhí)行數(shù)據(jù)總線(xiàn)142的數(shù)據(jù)管理的職責(zé)���,并執(zhí)行通用數(shù)據(jù)處理的功能��,包括執(zhí)行存儲(chǔ)器單元150的指令內(nèi)容����。數(shù)據(jù)庫(kù)存儲(chǔ)單元149存儲(chǔ)數(shù)據(jù)記錄,諸如帶有其相應(yīng)的各種參數(shù)的SA���。
存儲(chǔ)器電路150包括總體用附圖標(biāo)記154表示的一組指令��。在該實(shí)施例中���,指令尤其包括PDSN功能156和SBBC功能158的部分。存儲(chǔ)器單元可由如上所述的存儲(chǔ)器電路類(lèi)型構(gòu)成�,并且不再重復(fù)。PDSN和SBBC功能156和158包括根據(jù)如前所述的本發(fā)明的指令組�。
最后,在實(shí)施例中描述的是在使用CCoA的移動(dòng)IP下工作的MN60��。如前所述�,MN 60可在其它通信模式下很好地工作并采用其它類(lèi)型的地址。例如���,作為許多可選方案中的一個(gè)實(shí)例����,MN 60可使用FACoA并可在移動(dòng)IP隧道模式下與CN 90通信�����。另外,該實(shí)施例中描述的加密被雙向地應(yīng)用于MN 60和CN 90之間��。還可以?xún)H單向地應(yīng)用數(shù)據(jù)加密�,而不是雙向地應(yīng)用數(shù)據(jù)加密。此外����,如上所述,節(jié)點(diǎn)60被描述為漫游至外部網(wǎng)絡(luò)的移動(dòng)設(shè)備��。應(yīng)該理解的是����,節(jié)點(diǎn)60完全可以是靜止節(jié)點(diǎn)����。另外,結(jié)合實(shí)施例描述的任何邏輯塊�����、電路和算法步驟可以用硬件����、軟件�����、固件或其結(jié)合來(lái)實(shí)現(xiàn)����。本領(lǐng)域的技術(shù)人員應(yīng)該理解的是�,可以做出這些及其它形式和細(xì)節(jié)上的變更而不脫離本發(fā)明的范圍和精神。
權(quán)利要求
1.一種通過(guò)監(jiān)視中介采用加密的數(shù)據(jù)分組進(jìn)行通信會(huì)話(huà)的方法�,包括提供標(biāo)識(shí)加密處理的索引;將所述索引包括在信令消息中���;和通過(guò)經(jīng)由所述監(jiān)視中介發(fā)送具有所述索引的所述信令消息���,為所述通信會(huì)話(huà)發(fā)信號(hào)。
2.如權(quán)利要求1所述的方法��,其中�,所述為所述通信會(huì)話(huà)發(fā)信號(hào)包括通過(guò)所述監(jiān)視中介響應(yīng)對(duì)所述通信會(huì)話(huà)的邀請(qǐng)。
3.如權(quán)利要求1所述的方法����,還包括在所述通信會(huì)話(huà)的所述數(shù)據(jù)分組中提供所述索引���。
4.一種在IP(因特網(wǎng)協(xié)議)所支持的通信系統(tǒng)中通過(guò)監(jiān)視中介采用加密的數(shù)據(jù)分組進(jìn)行通信會(huì)話(huà)的方法,包括提供標(biāo)識(shí)SA(安全關(guān)聯(lián))的SPI(安全參數(shù)索引)��;將所述SPI包括在選自SIP INVITE消息和SIP 200 OK消息所組成的組的信令消息中�;和通過(guò)經(jīng)由所述監(jiān)視中介發(fā)送具有所述SPI的所述信令消息,為所述通信會(huì)話(huà)發(fā)信號(hào)�����,以便允許所述監(jiān)視中介使用所述SPI用于分組數(shù)據(jù)監(jiān)視�����。
5.一種監(jiān)視采用加密的數(shù)據(jù)分組的通信會(huì)話(huà)的方法��,包括從信令消息中接收標(biāo)識(shí)解密處理的第一索引�����;從所述通信會(huì)話(huà)的所述數(shù)據(jù)分組接收第二索引���;和通過(guò)包括比較所述第一和第二索引而對(duì)所述通信會(huì)話(huà)實(shí)施一組策略。
6.如權(quán)利要求5所述的方法����,還包括當(dāng)所述比較所述第一和第二索引的結(jié)果是比較匹配時(shí)���,允許所述通信會(huì)話(huà)的所述數(shù)據(jù)分組通過(guò),并且當(dāng)所述比較所述第一和第二索引的結(jié)果是比較失配時(shí)���,拒絕讓所述通信會(huì)話(huà)的所述數(shù)據(jù)分組通過(guò)�����。
7.如權(quán)利要求5所述的方法����,其中���,所述信令消息是第一信令消息����,所述方法還包括從第二信令消息中接收所述第一索引��。
8.如權(quán)利要求7所述的方法�����,其中,所述第一信令消息是所述通信會(huì)話(huà)的邀請(qǐng)消息�����,并且所述第二信令消息是所述邀請(qǐng)消息的響應(yīng)消息���。
9.一種在IP(因特網(wǎng)協(xié)議)所支持的通信系統(tǒng)中監(jiān)視采用加密的數(shù)據(jù)分組的通信會(huì)話(huà)的方法�,包括從選自SIP INVITE消息和SIP 200 OK消息所組成的組的信令消息中接收第一SPI(安全參數(shù)索引)��;從所述通信會(huì)話(huà)的所述數(shù)據(jù)分組接收第二SPI�;和通過(guò)包括比較所述第一SPI和所述第二SPI,對(duì)所述通信會(huì)話(huà)實(shí)施一組策略���。
10.一種用于通過(guò)監(jiān)視中介采用加密的數(shù)據(jù)分組進(jìn)行通信會(huì)話(huà)的設(shè)備����,包括用于提供標(biāo)識(shí)加密處理的索引的裝置����;用于將所述索引包括在信令消息中的裝置���;和用于通過(guò)所述監(jiān)視中介發(fā)送具有所述索引的所述信令消息的裝置�����。
11.如權(quán)利要求10所述的設(shè)備����,其中,所述信令消息是邀請(qǐng)消息��,所述設(shè)備還包括用于將所述索引包括在響應(yīng)于所述邀請(qǐng)消息的響應(yīng)消息中的裝置�。
12.如權(quán)利要求10所述的設(shè)備,還包括用于將所述索引包括在所述通信會(huì)話(huà)的所述加密的數(shù)據(jù)分組中的裝置���。
13.一種用于在IP(因特網(wǎng)協(xié)議)所支持的通信系統(tǒng)中通過(guò)監(jiān)視中介采用加密的數(shù)據(jù)分組進(jìn)行通信會(huì)話(huà)的設(shè)備�����,包括用于提供標(biāo)識(shí)SA(安全關(guān)聯(lián))的SPI(安全參數(shù)索引)的裝置����;用于將所述SPI包括在選自SIP INVITE消息和SIP 200 OK消息所組成的組的信令消息中的裝置����;和用于通過(guò)所述監(jiān)視中介發(fā)送具有所述SPI的所述信令消息以便允許所述監(jiān)視中介使用所述索引用于分組數(shù)據(jù)監(jiān)視的裝置。
14.一種用于監(jiān)視采用加密的數(shù)據(jù)分組的通信會(huì)話(huà)的設(shè)備,包括用于從信令消息中接收標(biāo)識(shí)解密處理的第一索引的裝置��;用于從所述通信會(huì)話(huà)的所述數(shù)據(jù)分組接收第二索引的裝置����;和用于通過(guò)包括比較所述第一和第二索引而對(duì)所述通信會(huì)話(huà)實(shí)施一組策略的裝置。
15.如權(quán)利要求14所述的設(shè)備�,還包括用于在所述比較所述第一和第二索引的結(jié)果是比較匹配時(shí),允許所述通信會(huì)話(huà)的所述數(shù)據(jù)分組通過(guò)的裝置����,以及用于在所述比較所述第一和第二索引的結(jié)果是比較失配時(shí),拒絕讓所述通信會(huì)話(huà)的所述數(shù)據(jù)分組通過(guò)的裝置��。
16.如權(quán)利要求14所述的設(shè)備��,其中��,所述信令消息是第一信令消息����,所述設(shè)備還包括用于從第二信令消息中接收所述第一索引的裝置。
17.如權(quán)利要求16所述的設(shè)備����,其中,所述第一信令消息是所述分組數(shù)據(jù)通信會(huì)話(huà)的邀請(qǐng)消息�,并且所述第二信令消息是所述邀請(qǐng)消息的響應(yīng)消息。
18.一種用于在IP(因特網(wǎng)協(xié)議)所支持的通信系統(tǒng)中監(jiān)視采用加密的數(shù)據(jù)分組的通信會(huì)話(huà)的加密的分組數(shù)據(jù)的設(shè)備��,包括用于從選自SIP INVITE消息和SIP 200 OK消息所組成的組的信令消息中接收第一SPI(安全參數(shù)索引)的裝置��;用于從所述通信會(huì)話(huà)的所述數(shù)據(jù)分組接收第二SPI的裝置�����;和用于通過(guò)包括比較所述第一SPI和所述第二SPI而對(duì)所述通信會(huì)話(huà)實(shí)施一組策略的裝置�����。
19.一種用于通過(guò)監(jiān)視中介采用加密的數(shù)據(jù)分組進(jìn)行通信會(huì)話(huà)的設(shè)備�����,包括存儲(chǔ)器單元����,其具有計(jì)算機(jī)可讀指令,用于提供標(biāo)識(shí)加密處理的索引�,將所述索引包括在信令消息中,以及通過(guò)所述監(jiān)視中介發(fā)送具有所述索引的所述信令消息���;和處理器單元�,其被連接到所述存儲(chǔ)器單元,用于處理所述計(jì)算機(jī)可讀指令���。
20.如權(quán)利要求19所述的設(shè)備����,其中�,所述信令消息是邀請(qǐng)消息,所述設(shè)備還包括用于將所述索引包括在響應(yīng)于所述邀請(qǐng)消息的響應(yīng)消息中的計(jì)算機(jī)可讀指令����。
21.如權(quán)利要求19所述的設(shè)備,還包括用于將所述索引包括在所述通信會(huì)話(huà)的所述數(shù)據(jù)分組中的計(jì)算機(jī)可讀指令�。
22.一種用于在IP(因特網(wǎng)協(xié)議)所支持的通信系統(tǒng)中通過(guò)監(jiān)視中介采用加密的數(shù)據(jù)分組進(jìn)行通信會(huì)話(huà)的設(shè)備,包括存儲(chǔ)器單元�,其具有計(jì)算機(jī)可讀指令,用于提供標(biāo)識(shí)SA(安全關(guān)聯(lián))的SPI(安全參數(shù)索引)��,將所述SPI包括在選自SIP INVITE消息和SIP 200 OK消息所組成的組的信令消息中�,以及通過(guò)所述監(jiān)視中介發(fā)送具有所述SPI的所述信令消息以便允許所述監(jiān)視中介使用所述索引用于分組數(shù)據(jù)監(jiān)視;和處理器單元��,其被連接到所述存儲(chǔ)器單元���,用于處理所述計(jì)算機(jī)可讀指令�����。
23.一種用于監(jiān)視采用加密的數(shù)據(jù)分組的通信會(huì)話(huà)的設(shè)備��,包括存儲(chǔ)器單元�,其具有計(jì)算機(jī)可讀指令�,用于從信令消息中接收標(biāo)識(shí)解密處理的第一索引,從所述通信會(huì)話(huà)的所述數(shù)據(jù)分組接收第二索引�,以及通過(guò)包括比較所述第一和第二索引而對(duì)所述通信會(huì)話(huà)實(shí)施一組策略;和處理器單元����,其被連接到所述存儲(chǔ)器單元,用于處理所述計(jì)算機(jī)可讀指令���。
24.如權(quán)利要求23所述的設(shè)備����,還包括用于在所述比較所述第一和第二索引的結(jié)果是比較匹配時(shí)���,允許所述通信會(huì)話(huà)的所述數(shù)據(jù)分組通過(guò)的計(jì)算機(jī)可讀指令���,以及用于在所述比較所述第一和第二索引的結(jié)果是比較失配時(shí)���,拒絕讓所述通信會(huì)話(huà)的所述數(shù)據(jù)分組通過(guò)的計(jì)算機(jī)可讀指令。
25.如權(quán)利要求23所述的設(shè)備����,其中,所述信令消息是第一信令消息�,所述設(shè)備還包括用于從第二信令消息中接收所述第一索引的計(jì)算機(jī)可讀指令。
26.如權(quán)利要求25所述的設(shè)備�����,其中��,所述第一信令消息是所述通信會(huì)話(huà)的邀請(qǐng)消息��,并且所述第二信令消息是所述邀請(qǐng)消息的響應(yīng)消息���。
27.一種用于在IP(因特網(wǎng)協(xié)議)所支持的通信系統(tǒng)中監(jiān)視采用加密的數(shù)據(jù)分組的通信會(huì)話(huà)的設(shè)備��,包括存儲(chǔ)器單元�,其具有計(jì)算機(jī)可讀指令��,用于從選自SIP INVITE消息和SIP 200 OK消息所組成的組的信令消息中接收第一SPI(安全參數(shù)索引),從所述通信會(huì)話(huà)的所述數(shù)據(jù)分組接收第二SPI����,以及通過(guò)包括比較所述第一SPI和所述第二SPI而對(duì)所述通信會(huì)話(huà)實(shí)施一組策略;和處理器單元����,其被連接到所述存儲(chǔ)器單元�����,用于處理所述計(jì)算機(jī)可讀指令�����。
28.一種在通信系統(tǒng)中經(jīng)由信號(hào)載波傳輸?shù)碾娦盘?hào)�,所述電信號(hào)包括計(jì)算機(jī)可讀指令,所述計(jì)算機(jī)可讀指令用于提供標(biāo)識(shí)加密處理的索引���;將所述索引包括在信令消息中���;和通過(guò)經(jīng)由監(jiān)視中介發(fā)送具有所述索引的所述信令消息,為通信會(huì)話(huà)發(fā)信號(hào)�����。
29.一種在通信系統(tǒng)中經(jīng)由信號(hào)載波傳輸?shù)碾娦盘?hào),所述電信號(hào)包括計(jì)算機(jī)可讀指令��,所述計(jì)算機(jī)可讀指令用于從信令消息中接收標(biāo)識(shí)解密處理的第一索引���;從通信會(huì)話(huà)的數(shù)據(jù)分組接收第二索引��;和通過(guò)包括比較所述第一和第二索引而對(duì)所述通信會(huì)話(huà)實(shí)施一組策略����。
全文摘要
在通信會(huì)話(huà)中����,帶有加密的數(shù)據(jù)分組的數(shù)據(jù)流通過(guò)用于數(shù)據(jù)業(yè)務(wù)控制的監(jiān)視中介。加密的數(shù)據(jù)分組包括SPI(安全參數(shù)索引)��,SPI被用于標(biāo)識(shí)用于數(shù)據(jù)解密的SA(安全關(guān)聯(lián))�����。在通信會(huì)話(huà)的初始信令處理期間���,尋求通信會(huì)話(huà)的節(jié)點(diǎn)將SPI包括在信令消息中����,并通過(guò)監(jiān)視中介發(fā)送信令消息,監(jiān)視中介繼而將信令消息的SPI與從數(shù)據(jù)分組中提取的相應(yīng)SPI匹配�。在實(shí)施數(shù)據(jù)業(yè)務(wù)控制的過(guò)程中,如果發(fā)現(xiàn)SPI的比較是匹配的�,則監(jiān)視中介允許數(shù)據(jù)流通過(guò)。否則��,數(shù)據(jù)流被拒絕�。
文檔編號(hào)G06F1/24GK101014925SQ200580030072
公開(kāi)日2007年8月8日 申請(qǐng)日期2005年7月14日 優(yōu)先權(quán)日2004年7月15日
發(fā)明者A·C·馬亨德蘭, R·T-S·蘇, 王軍 申請(qǐng)人:高通股份有限公司