Wlan相互连接中的服务和地址管理系统及方法

专利名称：Wlan相互连接中的服务和地址管理系统及方法
技术领域：
本发明涉及无线数据通信领域。另外，本发明特别是涉及在无线LAN(WLAN)环境中从其他网络访问的移动用户所需的地址管理，例如，可用于WLAN与存在于另一管理域内、使用其他无线技术的3G网络或WLAN等公众无线网络的相互连接(inter-networking)。另外，本发明除了WLAN及相互连接网络(inter-worked network)之外还可由移动终端利用，用来进行地址分配、构成、隧道设定等；其结果是，移动终端可在WLAN中访问加入的服务。
背景技术：
WLAN相互连接(WLAN inter-working)中，终端必须可寻址(addressable)，以便使终端能够访问所加入的所有服务。当服务通过IP传送时，终端应该是与某个IP地址关联起来的。在移动通信领域，终端的连接点改变频繁，终端在某个有效服务会话期间，很有可能经过若干个域。为了满足该终端的移动性要求，地址管理机制中，终端每次改变连接点时都要求配置(configure)并更新终端的地址。
移动IP是由互联网技术研究委员会(IETF)公布的标准化技术(非专利文献1)(非专利文献2)，提供了对移动终端所需的地址管理和通讯路由的解决方案。借助于该技术，当在各种各样的IP网络内漫游时，用户可以使用同一个地址，同时处于可特定位置的状态(reachable)。由于移动性在IP层次进行管理，所以移动IP不受作为基础的链路层技术束缚，对于3G的蜂窝网络或无线LAN(例如802.11网络)内的终端，可以使用同一协议栈。例如，在WLAN与3G蜂窝网络的相互连接等访问技术的融合中，这种调和水平的解决方案特别有效。在移动IP中，通过IP连接进行地址管理，当IP连接不可用时，就不可能进行地址管理。另外，进而在移动IP中，终端具有归属地址(home address)，并且需要知道其归属代理(home agent)。在例如终端最初是在外地WLAN中启动的情况等中，这样的条件在相互连接的工作过程中有可能无法满足。
另外，移动IPv6的草案中导入了移动节点(mobile node)的归属地址的设置方法(非专利文献2)。例如，终端使用DHCPv6(非专利文献3)，首先在开始时生成转交地址(Care of address)，使用该地址与设定最终归属地址的归属网络进行通信。但是，当使用从WLAN获取的转交地址的情况下，由于移动节点的归属网络不一定是可定位状态，因此在WLAN相互连接中，其工作变为不可能。进而，进行多次约定的配置处理既耗时，又难以满足用户需要。
另外，借助于Diameter Mobile IPv6的应用(非专利文献4)，提出了一种基于AAA结构进行移动IPv6的地址管理的解决方案。该解决方案中利用AAA服务器与移动目的地及归属网络的客户端进行地址更新及代理发现。在其机制中，要求移动节点具有用于消息交换的归属IP连接，例如能够监听路由器通告消息等；但借助于外部域的归属策略，并不一定限定于此。进而，该机构仅在地址属于移动终端的归属域(Home Domain)的状况下提供。在WLAN相互连接中，终端使用依赖于终端所访问的其他域的地址，由于该地址不保有终端的服务请求信息，因此，该机构不能支持WLAN相互连接。该机构是为移动IPv6环境而设计的，因此，在没有移动IP栈的终端上无法工作。
进而，借助于3GPP提供了解决方案、用于管理终端寻址和隧道技术的GTP(非专利文献5)。GTP具有控制用GTP-C、及用户数据的通信用的GTP-U这2部分。GTP在UDP上工作，将UDP包中的用户数据封装起来。该GTP设计用于GPRS(非专利文献6)网络，例如，高度依赖于GGSN、SGSN节点等GPRS网络的特征，难以应用于单纯的无线服务网络(例如，WLAN)。
非专利文献1“IP mobility support for IPv4”http//www.ietf.org/rfc/rfc3344.txt非专利文献2“Mobility support in IPv6”http//www.ietf.org/internet-drafts/draft-ietf-mobileip-ipv6-19.txt非专利文献3“Dynamic Host Configuration Protocol for IPv6(DHCPv6)”http//www.ietf.org/internet-drafts/draft-ietf-dhc-dhcpv6-28.txt
非专利文献4“Diameter Mobile IPv6 Application”http//www.ietf.org/internet-drafts/draft-le-aaa-diameter-mobileipv6-02.txt非专利文献5“GPRS Tunnelling Protocol(GTP)across the Gnand Gp Interface(Release 5)”3GPP TS 29.060 V5.3.0(2002-09)ftp//ftp.3gpp.org/Specs/archive/29_series/非专利文献6“General Packet Radio Service(GPRS)；Servicedescription；Stage2(Release 5)”3GPP TS 23.060 V5.2.0(2002-06)ftp//ftp.3gpp.org/Specs/archive/23_series/非专利文献7“IP Multimedia Subsystem(IMS)；Stage 2(Release 5)”3GPP TS 23.228 V5.6.0(2002-09)ftp//ftp.3gpp.org/Specs/archive/23_series/非专利文献8“Diameter Base Protocol”http//www.ietf.org/internet-drafts/draft-ietf-aaa-diameter-15.txt非专利文献9“PPP Extensible AuthenticationProtocol(EAP)”http//www.ietf.org/rfc/rfc2284.txt非专利文献10 3GPP project http//www.3gpp.org非专利文献11 3GPP2 project http//www.3gpp2.org非专利文献12“The Network Access Identifier”http//www.ietf.org/rfc/rfc2486.txt非专利文献13“Numbering，addressing and identification(Release5)”3GPP TS 23.003 V5.3.0(2002-06)ftp//ftp.3gpp.org/Specs/archive/23_series/非专利文献14“Port-Based Network Access Control”IEEEStd802.1X-2001 http//standards.ieee.org/getieee802/非专利文献15“Diameter Extensible AuthenticationProtocol(EAP)Application”http//www.ietf.org/internet-drafts/draft-ietf-aaa-eap-00.txt
非专利文献16“Diameter NASREQ Application”http//www.ietf.org/internet-drafts/draft-ietf-aaa-diameter-nasreq-09.txt非专利文献7“IPv6 Stateless Address Autoconfiguration”http//www.ietf.org/rfc/rfc2462.txt通常，WLAN及相互连接网络存在于不同管理域。这意味着，地址空间被分别管理。因此，当移动终端移动到与其归属网络不同的域的WLAN时，为了确保向终端连续发送服务，必须执行某种地址构造。该地址构造也包含例如IP地址分配、地址登录、隧道设定等。
为了经由WLAN向终端发送任意的服务，进行地址限定。例如，为了从WLAN访问3G网络内的IMS(非专利文献7)服务，终端必须具有属于提供IMS的网络的地址，其结果是，并行访问不同服务的移动终端必须分配有多个IP地址。
在WLAN中，在认证及其许可授予前，不允许终端使用例如通常的数据包收发等所有资源。例如，在MIPv6中所示的通常的机构中，只在许可处理成功后进行地址构造，但这种作法非常耗时，无法满足若干个服务条件。为了在该许可处理之前进行地址构造，需要将与地址构造关联的信息整合为访问控制消息。另外，地址管理通常基于用户的加入信息，需要通过移动终端的归属网络进行管理。但是，在任意的外部服务中，必须从归属网络之外的域分配地址。这种情况下，归属网络需要具有执行地址分配及与该域所具有的其他信息相关的约定的机制。
另外，当终端改变地址时，与该终端关联的终结点之间(终端对终端)QoS会受到影响。例如，如果地址改变了，基于发送源地址或发送目的地地址信息的通信过滤器就不能对流量(flow)正确分类。对于实施防火墙及其他通信控制功能的WLAN，进一步需要表示终端的新地址，否则的话，通信会受到影响甚至中断。

发明内容
当终端进入WLAN时，终端为了访问资源，必须完成认证处理及许可处理。本发明提出了整合到访问控制机制中的地址管理解决方案。利用这种整合，可以在访问许可的同时进行终端的地址分配。另外，终端重新利用访问控制机制进行扩展，因此无需实施新协议。地址构造管理通过访问控制处理固有的加密及保护进行防护，因此不需要特别的安全设定。
另外，本发明进一步提供了终端的归属网络与提供终端服务的网络约定地址管理所需的装置。这种约定是后端处理，对于移动终端与WLAN是透明的(transparent)，其约定结果利用服务许可处理发送到WLAN及移动终端。
另外，当并行的访问会话存在于同一终端时，要求多个地址。本发明中使用精细的服务许可处理，提供终端取得会话相关的地址所需的方法。各会话使用关联起来的地址转移到新的地址。
另外，地址管理也整合到策略控制机制中。策略控制在地址改变后，在必要的情况下，为终端及其归属网络提供构造WLAN所需装置。QoS或隧道技术信息按照使用现有策略控制处理中可用的通道的新状况进行修正后提供。由此，在漫游期间，就有可能实现地址的顺利迁移，能够将QoS的中断抑制到最低限度。


图1是表示本发明的WLAN相互连接中的移动终端的地址分配、隧道设定、服务约定的管理中使用的网络结构的一个实例的框图。
图2是表示图1所示结构中使用的终端的地址分配、隧道设定、服务约定所需的消息序列的一个实例的序列图。
图3是表示图2所示消息交换中由移动终端使用的消息的结构的一个实施例的数据结构图。
图4是表示为了进行地址分配要求由移动终端使用的格式的一个实例的数据结构图。
图5是表示WLAN相互连接中的移动终端的地址分配、隧道设定、服务约定所需的图1中表示的框架中的归属网络认证器的一个实施实例的状态迁移图。
图6是表示归属网络认证器中执行请求消息的处理手续所用的流程的一个实例的流程图。
图7是表示进行服务提供商网络服务器与移动终端的服务详情、地址分配、隧道设定的约定所需的由归属网络认证器使用的消息的结构的一个实施例的数据结构图。
图8是表示进行WLAN服务器与移动终端的服务详情、地址分配、隧道设定的约定所需的由归属网络认证器使用的消息的结构的一个实施例的数据结构图。
图9是表示进行与归属网络域内的策略服务器的移动终端的状态相关的更新所需的由归属网络认证器使用的消息的结构一个实施例的数据结构图。
具体实施例方式
本发明用于WLAN与其他网络的相互连接(inter-work)。相互连接的网络可以是其他WLAN或公众蜂窝网络，无论在哪种情况下，都能够很容易地使用本发明。另外，本发明用于提供与地址管理、地址迁移(即移动控制)相关的服务。
在应用这里所提案的机构(方案)时，不需要实施特别的接口或协议。该机构重复利用现有的访问控制机制，为了支援必要的功能性，对其属性中的若干内容进行扩展。在地址分配中，其修正整合到服务许可手续中。许可手续通过认证获得信任而被加密保护，因此，地址信息也得到同样安全级别的保护，表示为许可信息的一部分，可使用与通常的许可信息相同的方法传送。例如，可以作为AVP中的特定许可包含在Diameter(非专利文献8)中，或者在可以使用EAP方法许可的情况下，作为EAP(非专利文献9)的属性而包含。
当终端进入了WLAN时，在允许利用服务之前，进行认证和许可处理。许可手续中，终端请求想要访问的服务，该信息经由WLAN传递到终端的归属网络。终端的归属网络基于用户的加入者配置文件决定是否应许可服务。进而，终端的归属网络对应于所请求的服务决定服务所用的地址。例如，对于IMS服务，地址必须从IMS地址空间分配，另一方面，对于本地WLAN服务，从本地取得的地址即可。另外，进而对地址管理相关的隧道信息进行确认。
地址信息包含在许可信息中，与许可成功消息一起发送。该信息的一部分被发送到WLAN，一部分与通常的许可手续一样发送到终端。例如，为了使终端进行终端自身的地址构造，地址必须发送到终端。另外，在需要网络隧道的情况下，通过WLAN使用隧道信息。
另外，在需要改变地址的情况下，为了不执行服务许可的详细手续而迅速地进行更新，可以使用再次许可手续。
另外，在终端已经开始访问服务的情况下，策略控制被启动。地址信息借助于终端的归属网络的策略服务器而变为可用，其后，策略服务器就能够基于地址信息执行策略决定。另外，在改变地址时，针对策略服务器通报，使其更新对应的策略，其结果是，QoS及服务提供得到保障。
为了便于理解发明，使用以下定义。
“WLAN”是指无线的局域网络，包含通过无线技术向移动终端提供LAN服务所需的任意数量的装置。
“3G网络”是指第3代公众访问网络，例如由3GPP(非专利文献10)及3GPP2(非专利文献11)所定义的系统。
“移动终端”是指利用无线技术访问由WLAN及其他网络提供的服务时所使用的装置。
“归属网络”是指保存了移动终端(MT)的服务加入信息的网络，在相互连接的情况下是MT最初加入的网络或被允许可完全访问MT的加入信息的访问目的地网络。
“服务提供商网络”是指提供MT所请求的服务的网络，可以是例如归属网络、WLAN、外部网络等任意网络。
“网络成分”是指在能够执行信息处理的网络中发挥作用的任意装置。
“策略服务器”是指执行网络域的策略控制功能的网络成分。策略控制功能包含例如本地的资源分配、包过滤器的更新、路由的更新等。
“无线接口”是指移动终端访问WLAN时所需的任意无线访问技术。
“流(stream)”是在网络中传输的具有某种共同属性的包的集合。
“通信”是网络中传送的流的集合。
“流量(flow)”是指数据总线及传送流时使用的数据总线所需的网络资源。
“QoS”是指数据流或通信的服务质量(Quality of Service)用语。
“消息”是指为了控制相互连接而在网络成分之间交换的信息。
“操作序列”是指为了控制相互连接而在任意网络成分之间进行的一系列消息交换。
“上位层”是指存在于现在的实体之上、对从现在的实体传递过来的包进行处理的所有实体。
“基于客户端的隧道”是指隧道的终结点之一是移动终端的隧道机构。
“基于网络的隧道”是指隧道的终结点存在于除移动终端之外的网络成分中的隧道机构。
在以下记述中，为了完全理解本发明，在说明中使用了具体数字、时间、结构、协议名称、其他参数；但即使没有这样的具体叙述，本领域技术人员也明白本发明是可实施的。另外，关于众所周知的结构要素或模块，为了使本发明清楚明确，也在框图中表示出来。
终端具有高度的移动性，由于这种特性，移动控制是WLAN相互连接中最显著的问题之一。当终端移动时，终端要求对连接点使用非局部(local本地)的地址。例如，进入WLAN的3G终端，为了访问其归属网络的服务(例如IMS服务)，需要3G域的地址。终端在启动了3G网络内的服务时，地址按照例如GPRS服务(非专利文献6)等3G体系分配，该地址与终端的3G蜂窝接口关联起来。另外，终端进入WLAN域时，能够实现高吞吐量，因此，最好是使用该WLAN接口进行通信。例如，具备双接口(GPRS及IEEE802.11)的PDA最好是在路上使用GPRS接口，而在热点区域则使用IEEE802.11接口。终端使用WLAN接口访问3G服务时，终端需要继续使用与从3G接口获得的相同地址。否则，终端就会面临服务中断，必须重新进行会话的初始化设定，这对用户是不方便的。另外，正在使用的地址不是WLAN中的局部地址，因此，隧道必须设定为从终端至服务提供商网络。
图1表示了地址分配与隧道设置所需的本发明的实施例。此外，为了避免混乱，只对参与信号发送的网络实体进行图示。
移动终端(101)是从网络请求某种服务的实体。实际上，例如，通过蓝牙链接连接到膝上型电脑的手持设备等虽然可能具有若干个实体，但为了简化起见，图1中只表示了1个设备。在WLAN功能(WLANfunction)(1001)内，访问点(105)是向移动终端(101)提供WLAN访问的实体。移动终端(101)在获得使用WLAN服务的许可之前，访问点(105)将来自移动终端(101)的数据通信全部切断，只允许某个特定数据包通过的控制通道为了进行访问控制信号发送而呈开放状态(open)。移动终端(101)通过无线链接(1011)与访问点(105)通信。该链接既可以使用例如IEEE802.11、HiperLAN/2、红外线等任意种类的无线技术，在可以使用同样的访问控制技术的情况下，该链接中也可以使用例如光纤等其他技术。另外，WLAN管理服务器(WLAN服务器)(102)作为WLAN内的其他实体而存在。该WLAN服务器(102)负责地址空间的管理及WLAN的资源管理，位于WLAN网关，在单纯的WLAN中与访问点(105)设置在一起。WLAN服务器(102)通过接口(1015)与访问点(105)通信。这是为了例如通过无线接口进行QoS管理等提供WLAN资源控制和服务。另外，为了进行WLAN管理，该服务器也可以与例如未图示的WLAN网关或防火墙等WLAN的其他实体进行相互作用。
终端的归属网络(1002)中，归属网络认证器(Home NetworkAuthorizer)(103)进行服务许可及地址分配管理。访问点(105)及WLAN服务器(102)两者都为了取得服务控制信息而通过链接(1012)及链接(1014)分别与归属网络认证器(103)进行通信。此外，在物理上，可以将链接(1012)及链接(1014)合而为一，即，在使用同一个协议在同一终端间封装为同一个包的情况下，它们可以在逻辑上分离。
移动终端(101)可以请求其加入的所有服务。这些服务有可能存在于归属网络(1002)、个别服务提供商网络(1003)、或WLAN自身。当服务由归属网络(1002)或WLAN提供时，服务提供商网络(1003)即与这些网络交叠，有可能将控制功能在两者之间关联起来。另外，服务提供商网络管理服务器(服务提供商网络服务器)(104)管理服务许可及服务提供商网络(1003)的地址分配。归属网络认证器(103)通过控制接口(1013)与服务提供商网络服务器(104)通信。实际上，服务提供商网络(1003)可以利用WLAN、归属网络(1002)、或其他网络。另外，当服务由归属网络(1002)提供时，该接口为内部接口，不需要使用正确的格式或如后述实施例中记述的一样的协议。
图2是表示使用上述框架进行WLAN相互连接的地址管理所需的操作序列的一个实例。此外，该工作中假定移动终端(MT)(101)已经完成了WLAN的关联及认证手续(201)。即，移动终端(101)与访问点(105)相互认证，已经进行了以后的消息交换所需的加密保护。移动终端(101)在通过WLAN试图访问任意服务时，经由链接(1011)向访问点(105)发送MT_Request_A消息(202A)，该消息被送达归属网络认证器(103)。该消息借助于从认证手续(201)生成的密钥在终结点之间(终端对终端)保护起来。图3表示消息MT_Request_A消息(202A)的实施例。
消息从Message_Type字段(301)开始。该字段识别是例如请求、应答等哪种消息被封装了。该字段的长度为1个八位位组，消息类型通过整数编号表示。这是为了节约用来通过无线接口进行信号发送的有限资源。此外，在必要的情况下，该字段也可以采用其他格式，这对本领域技术人员来说是清楚明确的。紧接着Message_Type字段(301)有Message_Length字段(302)。其中包含了包含Message_Type字段(301)在内的全部消息的长度信息。另外，下一字段是Domain_Name字段(303)。该字段识别移动终端(101)的归属域。此外，也可以使用网络访问标识符(Network Access IdentifierNAI)(非专利文献12)，这种情况下，成为例如“UserID@home.domain.3gpp.org”的形式。为了保护用户的识别信息，“@”符号前面的UserID部分使用例如“roamed”等通配值。归属域信息用于针对移动终端(101)的归属网络认证器(103)进行消息路由。
上述3个字段Message_Type字段(301)、Message_Length字段(302)及Domain_Name字段(303)通过移动终端(101)与访问点(105)之间的安全性关联保护起来。该安全性关联从用于无线接口的认证手续(201)获得。因此，为了实现目标，访问点(105)可以访问这些字段中包含的信息。紧接着Domain_Name字段(303)的字段通过移动终端(101)与归属网络认证器(103)之间的安全性关联保护起来。例如，这可以是归属网络认证器(103)的公开密钥，即从认证手续(201)导出的会话密钥；另外，为了表示用于消息保护的密钥的索引，也可以使用Domain_Name字段(303)的UserID部分。
Domain_Name字段(303)之后有MT_ID字段(304)。该字段包含在用来在归属网络(1002)的环境中唯一标识移动终端(101)的信息。这可以是例如移动终端(101)的IMSI(非专利文献13)或通过认证手续获得的TMSI(非专利文献13)。归属网络认证器(103)利用这些标识符检索用户的加入信息。归属网络认证器(103)只要能将它们映射到实际的用户识别信息，该字段中就可以使用其他格式，这对本领域技术人员来说是清楚明确的。
下一字段是Service_Request字段(305)。该字段被移动终端(101)用来表示针对归属网络认证器(103)所希望访问的服务。消息用于移动终端(101)及其归属网络认证器(103)之间，因此，是特定操作者及网络所特有的。例如，在3GPP网络中，这可以是用来识别所用的GGSN及所访问的特别服务的APN(非专利文献13)。当归属网络(1002)是其他类型时可以使用其他格式，这对本领域技术人员来说是清楚明确的。进一步，也可以追加例如带宽要求等其他服务请求信息。字段中可用的值可以是“2M.bandwidth.request.IMS.foo.bar.operator-name.operator-group.gprs”。“request”之后的部分是标识服务的标准APN，另外，“request”之前的部分是特定的服务请求。实际的请求属性依赖于服务，另外，也可以是操作者定义的。移动终端(101)可以从SIM或USIM卡获取格式相关信息。
另外，Session_ID字段(306)提供会话控制信息。这用于移动终端(101)识别该服务请求是否是与归属网络认证器(103)关联的会话。会话的标识符在移动终端(101)内应该是局部唯一的，移动终端(101)应该保持全部服务会话的本地记录。在新的服务会话开始时，总是生成具备新的会话标识符的新的项，在会话结束时，该项被删除，标识符被释放后可供重新使用。在本实施方式中，字段是2个八位位组，另外，标识符是16进制数值。此外，也可以使用终端所支持的其他类型的标识符，这对本领域技术人员来说是清楚明确的。MT_ID字段(304)及Session_ID字段(306)在归属网络认证器(103)中唯一性地标识服务会话。
另外，Address_Request字段(307)包含来自移动终端(101)的地址分配请求相关的信息。如图4所示，在本实施例中使用了复合结构。该结构的第1部分是Address_Type字段(401)。这用来标识移动终端(101)支持何种类型的地址。该字段的大小为1个八位位组，可取的值如下所示。
No_IP∷＝0x00；Single_Stack_IPv4∷＝0x01；Single_Stack_IPv6_FullAddress∷＝0x02；Single_Stack_IPv6_Prefix∷＝0x03；Dual_Stack_IPv4_Preferred∷＝0x04；Dual_Stack_IPv6_Preferred_FullAddress∷＝0x05；Dual_Stack_IPv6_Preferred_Prefix∷＝0x06也支持其他类型，并可以使用其他数值；这对本领域技术人员来说是清楚明确的。另外，该结构的第2字段为Suggestion_Length字段(402)。该字段表示下一字段Address_Suggestions字段(403)的长度。Address_Suggestions字段(403)列举希望分配移动终端(101)的地址。例如，正在进行的会话使用了某个地址的情况下，为了不使该会话中断，分配同一地址是很重要的。例如，Address_Suggestions字段(403)是地址列表。列表中的各个项从表示例如IPv4或IPv6等地址类型的1个八位位组的类型字段开始，其后是实际的地址。不支持由终端提示地址的特征的归属网络认证器(103)中，Suggestion_Length字段(402)及Address_Suggestions字段(403)被忽略。
另外，Address_Request字段(307)之后，有Tunnel_Request字段(308)。该字段表示支持何种类型的隧道，由移动终端(101)使用。该字段的开始的八位位组表示包含其自身在内的该字段的长度，该字段的内容可以是具有占2个八位位组的各项的列表。各项的开头的八位位组包含移动终端(101)所支持的隧道类型的标识符，该八位位组值中可以是以下内容。
网络隧道--普通式∷＝0x01；网络隧道--移动IPv4∷＝0x02；客户端隧道--普通式∷＝0x04；客户端隧道--移动IPv4∷＝0x05；客户端隧道--移动IPv6∷＝0x06；
无隧道∷＝0x08该字段中也可以定义并使用其他隧道类型，这对本领域技术人员来说是清楚明确的。另外，各项的第2个八位位组表示隧道方向。该八位位组的可用值如下所示。
隧道--从终端开始∷＝0x01；隧道--去往终端∷＝0x02；隧道--双向∷＝0x03；列表内的最初的项表示移动终端(101)的优选类型。
另外，MT_Request_A消息(202A)内的下一字段为WLAN_ID字段(309)。这包含识别针对归属网络认证器(103)的WLAN的信息，由此，归属网络认证器(103)可以基于位置作出决定，或者提供基于去往移动终端(101)的位置的服务。WLAN_ID可以从认证手续或例如在IEEE802网络中的SSID等访问点(105)所广播的信息之中取得。进一步包含了移动终端(101)的本地标识符。这用于访问点(105)识别终端。
另外，最后的字段是Security_Field(310)。该字段包含用于消息保护的信息。用于该字段的正确的算法通过移动终端(101)与其归属网络认证器(103)之间约定。另外，这既可以通过用户的加入时间决定，也可以保存在终端的SIM或USIM卡中。另外，进一步可作为软件模块实施，在必要的情况下也可以置为可随时下载。
此外，MT_Request_A消息(202A)内的字段无需遵循上述正确的序列，例如，实际上只要在最前面配置字段的标识符，就可以将字段(304)至字段(309)以任意顺序配置。
实际上，可以使用任意的适当机制通过链接(1011)传送消息。例如，IEEE802.11网络中，可以使用IEEE 802.1x所定义的EAPOL实现为EAP消息(非专利文献14)。
访问点(105)接收到该消息时，可以从Domain_Name字段(303)中提取归属域信息，例如，进行DNS对照等，利用该域信息，取得归属网络认证器(103)的地址。访问点(105)按照该信息，将消息转送到对应的归属网络认证器(103)。例如，当WLAN具有中心AAA服务器的情况下，访问点(105)将消息直接转送到AAA服务器。然后，WLAN的AAA服务器分析域信息，将消息转送到实际的归属网络认证器(103)。此外，访问点(105)与归属网络认证器(103)之间以存在安全的链接为前提，这可以在认证手续(201)设定，或使用该过程导出的安全性关联动态设定。
另外，访问点(105)不需要参加消息处理，因此，无需为了分析消息而实施全部栈。这只需要简单地读取消息类型、进行MT_Request_B消息(202B)的步骤所示的重新封装及转送。用于转送的协议可以是任意的适当的AAA协议(例如用于Diameter的EAP应用程序(非专利文献15)或用于Diameter的NASREQ应用程序(非专利文献16))。这些协议以认证为目的，在访问点(105)均可使用。因此，消息MT_Request_A消息(202A)与终结点之间的认证手续(201)相同，本质上是从移动终端(101)以终端对终端方式发送到归属网络认证器(103)。
另外，图5表示归属网络认证器(103)的状态机的实施例。归属网络认证器(103)从初始状态(501)开始，在迁移(/intiate())(5001)执行初始化()的处理，转移到空闲状态(502)。初始化()过程包含确立与其他后端服务器的连接、安全性关联等所需的全部步骤。实际上，依赖于设定，也包含了其他过程，这对本领域技术人员来说是清楚明确的。
归属网络认证器(103)在迁移(5002)接收到从访问点(105)转送过来的MT_Request_B消息(202B)的情况下，迁移到消息解码状态(503)。图6表示消息解码状态(503)的实施例。在消息解码状态(503)，归属网络认证器(103)使用在步骤(6001)通过Domain_Name字段(303)识别出来的密钥解码MT_Request_B消息(202B)内的字段。当在步骤(6002)检测到消息已经损坏或已经使用Security_Field(310)修正的情况下，归属网络认证器(103)在步骤(6013)中设置非法消息的标志，状态机在迁移(5004)中迁移至服务驳回状态(504)。
根据MT_Request_B消息(202B)，归属网络认证器(103)在步骤(6003)中能够从MT_ID字段(304)获取与终端的识别信息相关的信息。使用该识别信息，归属网络认证器(103)从该数据库或后端服务器(例如3GPP网络的HSS)检索用户的加入信息。另外，归属网络认证器(103)进一步在步骤(6004)中分析从Service_Request字段(305)获得的服务请求信息。服务请求可以包含例如带宽、迟延、不稳定性等插入的各种各样的服务固有信息。在步骤(6005)，归属网络认证器(103)中使用用户加入信息作出是否应该暂时不向用户提供服务的决定。基于用户的加入，当判定为不应该提供所请求的服务时，归属网络认证器(103)在步骤(6013)中设置否定服务的标志，状态机在迁移(5004)中迁移到服务驳回状态(504)。如果服务被允许，归属网络认证器(103)则在步骤(6007)中求取在Session_ID字段(306)中接收到的会话标识符的服务的终端，检索其记录。当存在具有同一会话标识符的记录时，意味着这是传递请求，终端应该被分配相同的地址。由此，服务会话不会被中断。另外，当记录不存在时，就意味着这是新请求，在步骤(6008)中生成记录项，保存到归属网络认证器(103)的保存部中，或更新例如HSS等后端数据库。归属网络认证器(103)进一步使用请求信息识别服务提供商网络(1003)，建立与服务提供商网络服务器(104)的连接。
步骤(6009)中，归属网络认证器(103)从Address_Request字段(307)取得移动终端(101)希望使用的地址。此外，归属网络认证器(103)根据操作者的策略及其他因素而不愿意支持该功能时，可以忽略该信息。移动终端(101)应该总是使用归属网络认证器(103)分配的最终地址。归属网络认证器(103)根据所请求的服务决定地址应该是局部的还是在归属网络(1002)内分配，或者在服务提供商网络(1003)内分配。例如，如果只允许用户使用WLAN本地服务，则地址在WLAN内分配；另一方面，对于加入了VPN服务的用户，应该使用该VPN内的地址进行分配。
另外，归属网络认证器(103)在步骤(6010)从Tunnel_Request字段(308)检索移动终端(101)所支持的隧道类型。该信息用于服务提供所需的隧道设置。移动终端(101)可以列举1个以上的隧道类型，将列表中最初的项作为优选的类型。归属网络认证器(103)必须与服务提供商网络服务器(104)一起进行检查，决定应该使用哪种类型。此外，也可以包含例如隧道方向等附加信息。
在步骤(6011)，归属网络认证器(103)从WLAN_ID字段(309)取得移动终端(101)当前相关的无线LAN的识别信息。归属网络认证器(103)使用该信息找到对应的WLAN管理服务器(102)。此外，作为漫游协定的一部分，归属网络认证器(103)的数据库中可以保存该信息，另外，也可以使之能够从后端服务器(例如HSS)提取该信息。取得服务器的信息之后，即可确立安全链接。该链接用于以后的服务消息信号发送。
在取得全部信息之后，归属网络认证器(103)作成Service_Request消息(203)及WLAN_Request消息(205)，归属网络认证器(103)的状态机迁移到待机状态(504)的情况下，该消息被发送出去。
图7表示Service_Request消息(203)的实施例。该消息从Home_Network_ID字段(701)开始。该字段包含移动终端(101)的归属网络标识符相关信息，有可能是操作者的名字或大的网络的子系统。标识符必须是全球唯一的，例如“network.operator.3gpp.org”等网络DNS名是该标识符的适合候选。借助于归属网络信息的存在，服务提供商网络服务器(104)就可以将例如漫游协定等网络策略应用于服务请求。另外，用户的配置文件通过归属网络(1002)进行管理。因此，用户信息虽然不应该发送到服务提供商网络服务器(104)，但为了更好地控制服务，也可以在消息中附加用户优先权/分组信息。这也可以像“goldmember.network.operator.3gPP.org”等这样与归属网络标识符关联起来。服务提供商网络服务器(104)可以使用它们在提供服务时对用户进行区别对待。
另外，下一字段是MT_ID字段(702)。该字段包含移动终端(101)的标识符相关的信息，用于归属网络认证器(103)进行服务跟踪。标识符可以是终端的IMSI或是由归属网络认证器(103)分配的服务会话固有的临时ID。此外，该信息必须具有直至服务会话结束的一贯性。
另外，紧接着上述字段有Session_ID字段(703)。这是由终端分配的会话标识符。服务提供商网络服务器(104)应该保存当前进行的全部会话信息的记录。因此，当会话标识符存在于数据库中时，就意味着服务请求是由传递引起的，另外，也意味着为了避免服务中断而应该使用相同地址结构。例如，当会话正在进行(活动)时，服务提供商网络服务器(104)应该针对移动终端(101)分配相同的地址。其结果是，与对应节点的通信可以无需发送信号而继续进行。
另外，Address_Request字段(704)与MT_Request_A消息(202A)中的相同。该部分用来向服务提供商网络服务器(104)提供例如IPv6等应该分配的地址类型。进一步，与MT_Request_A消息(202A)的Address_Request字段(307)同样地提供移动终端(101)所请求的地址。此外，当服务提供商网络服务器(104)不希望支持该功能时，忽略该信息即可。另外，当特定为不需要由归属网络认证器(103)从服务提供商网络(1003)分配地址的情况下，该字段也可以省略。
Service_Spec字段(705)是复合字段，包含基于用户的加入信息由归属网络认证器(103)所要求的特定条件相关的信息。该字段的可能的实施例(数据结构1)如下所示。
<pre listing-type="program-listing">struct Service_Spec{ u_long bitrate_avg； u_long bitrate_max； int deliver_order； int MTU_size； double delay； double jitter； int priority； int service_direction； int QoS_type struct timeval start_time； struct timeval end_time； }；</pre>这些属性之中，bitrate_avg及bitrate_max是可保障所请求的服务的比特率及最大比特率。另外，deliver_order属性表示是否按顺序发送。另外，MTU_size用来特定用于服务的最大传送数据单元大小。另外，delay和jitter字段用来指定用于服务的若干个基本QoS属性。另外，priority属性表示用于该服务的数据通信的处理优先级。另外，service_direction属性表示服务是单向还是双向。另外，QoS_type属性表示为了提供具备例如DiffServ或RSVP等InterServ服务等服务所使用的QoS方案。另外，start_time及end_time表示服务开始时间及结束时间。服务提供商网络服务器(104)使用这些信息可以特定用于服务的资源的计划。此外，在实际实施时的结构中，也可以包含服务所固有的其他属性，这对本领域技术人员来说是清楚明确的。
另外，Service_Spec字段(705)之后，有Tunnel_Spec字段(706)。该字段包含隧道信息，与MT_Request_A消息(202A)的Tunnel_Request字段(308)相同，但附加了若干个特别的信息。例如，关于网络隧道项，提供了WLAN的终结点；关于终端隧道，可以附加安全密钥，用于数据加密。
另外，Service_Request消息(203)的最后字段是Security_Field(707)。该字段使用归属网络认证器(103)与服务提供商网络服务器(104)之间的安全性关联，用于消息整体的保护。此外，这里使用的正确的算法依赖于实际的实施方式。
此外，Service_Request消息(203)内的字段无需遵守所记述的顺序，这对本领域技术人员来说是清楚明确的；实际上，归属网络认证器(103)及服务提供商网络服务器(104)为了达到信号发送的最优化，可以进行任意的适当顺序的协调。
服务提供商网络服务器(104)接收到Service_Request消息(203)之后，执行服务地址管理(204)手续。该手续中，服务提供商网络服务器(104)求取Session_ID(703)中所含的会话标识符，在数据库中对其进行检索。当存在相同移动终端(101)的会话标识符时，服务提供商网络服务器(104)复制MT的地址、服务的详细情况等该记录中的全部信息，将其作为回答消息直接返回到归属网络认证器(103)。
另外，当会话标识符不存在的情况下，服务提供商网络服务器(104)使用新的会话标识符生成新的项，作为其数据库指标(索引)。服务提供商网络服务器(104)检查Address_Request字段(704)，基于该字段中指定的地址类型为移动终端(101)分配适当地址。
服务提供商网络服务器(104)检查来自归属网络认证器(103)的Service_Spec字段(705)，当请求的服务不被支持时，将表示失败的消息发送到归属网络认证器(103)。此外，为了特定失败的原因，也可以使用某个错误代码。另外，当Service_Spec字段(705)内的指定属性超出了服务提供商网络(1003)的现有能力时，服务提供商网络服务器(104)也可以尝试以新的设置属性与归属网络认证器(103)进行交涉。这可以通过将具有修正为服务提供商网络服务器(104)所提议的值的Service_Spec字段(705)的同一Service_Request消息(203)返送到归属网络认证器(103)来实现。
另外，服务提供商网络服务器(104)检查Tunnel_Spec字段(706)，求取匹配的隧道类型。有可能存在多个匹配，服务提供商网络服务器(104)应该选择第一个。关于基于网络的隧道类型，服务提供商网络服务器(104)必须准备好应答消息内的隧道的终结点信息。关于基于客户端的隧道，服务提供商网络服务器(104)准备隧道类型固有的信息，包含在应答信息中。例如，关于移动IPv6类型的方案，服务提供商网络服务器(104)必须为移动终端(101)分配归属代理。另外，应答消息内也可以包含某些安全信息。此外，也可以将方向性信息(例如单向、双向)附加到隧道信息的字段中。
服务提供商网络服务器(104)使用Service_Reply消息(205)对归属网络认证器(103)作出应答。Service_Reply消息(205)中可以使用与图7所示的Service_Request消息(203)同样的结构。Home_Network_ID字段(701)、MT_ID字段(702)、及Session_ID字段(703)的内容从对应的Service_Request消息(203)中直接复制。此外，当信号发送链接被多个终端再利用时，归属网络认证器(103)使用这些字段将请求及应答消息对进行匹配。
Service_Reply消息(205)内的Address_Request字段(704)的内容包含分配给移动终端(101)的地址，可以是具有以字节表示字段长度的开头的八位位组的地址的项的列表。接下来的字段部分是地址列表，具有1个八位位组，用来表示伴随实际地址的地址的类型。也允许带通配符的地址，例如，如果地址字段全部为0，就表示移动终端(101)使用WLAN的本地机制(例如IPv6自动分配(非专利文献17))或DHCP来形成地址。
另外，Service_Reply消息(205)内的Service_Spec字段(705)的内容中包含由服务提供商网络服务器(104)所同意的属性。在全部属性均为由服务提供商网络服务器(104)所承认的情况下，与对应的Service_Request消息(203)内的Service_Spec字段(705)相同。另一方面，在不相同的情况下，服务提供商网络服务器(104)就针对归属网络认证器(103)进行对立的提案。
另外，Service_Reply消息(205)内的Tunnel_Spec字段(706)包含了由服务提供商网络服务器(104)所选择的隧道设定。该字段的正确内容依赖于隧道类型，当选择了基于客户端的隧道类型时，只需要1个设定即可。例如，如果移动IPv6得到同意，则该字段中就会包含分配给移动终端(101)的归属代理的地址及用于绑定更新认证的安全密钥等。另外，Address_Request字段(704)内的地址用作移动终端(101)的归属地址。另外，当选择了基于网络的隧道类型时，该字段中就会包含例如终结点地址或隧道标识符、与所支持的各个隧道类型相关的所有必要的详细信息。
与Service_Request消息(203)并列，归属网络认证器(103)向WLAN服务器(102)发送WLAN_Request消息(206)。该消息用来特定WLAN内的服务提供所必需的设定。图8表示该消息的实施例。
WLAN_Request消息(206)如同Service_Request消息(203)那样，包含Home_Network_ID字段(801)及MT_ID字段(802)这2个字段。Home_Network_ID字段(801)包含加入者的归属网络的标识符，在某个网络策略被应用于服务提供时，传递给WLAN服务器(102)。另外，MT_ID字段(802)用于移动终端(101)的位置跟踪。例如，可以使用与移动终端(101)的下位层的标识符(例如MAC地址)关联的访问点的标识符。
另外，Address_Alloc字段(803)是表示是否需要为移动终端(101)分配WLAN的本地地址的标志及应该使用的地址的类型。归属网络认证器(103)基于所选择的隧道方案，决定是否需要本地地址。实际上，例如使用以下的定义，通过该字段最初的八位位组来表示是否需要地址分配。
No_Allocation∷＝0x00；Single_Stack_IPv4∷＝0x01；Single_Stack_IPv6_FullAddress∷＝0x02；Single_Stack_IPv6_Prefix∷＝0x03；Dual_Stack_IPv4_Preferred∷＝0x04；Dual_Stack_IPv6_Preferred_FullAddress∷＝0x05；Dual_Stack_IPv6_Preferred_Prefix∷＝0x06此外，在该消息的实际实施中也可以使用其他值，这对本领域技术人员来说是清楚明确的。
Service_Support字段(804)包含在WLAN内支持服务提供所需的全部必要属性，是复合字段。实际内容随服务而定，该字段的内容的实例如数据结构1所说明。
另外，Tunnel_Setup字段(805)也是复合字段，使用与Service_Request消息(203)内的Tunnel_Spec字段(706)相同的格式。
另外，WLAN_Request消息(206)的最后字段是Security_Field(806)。该字段使用安全性关联来对消息整体进行完全保护。用于计算该字段的算法依赖于实际的实施方式。
接收到WLAN_Request消息(206)之后，WLAN服务器(102)执行WLAN服务地址管理(207)。例如，当归属网络认证器(103)要求进行本地的IPv6地址分配时，WLAN服务器(102)寻找适当的网络会话，为终端分配IPv6地址。此外，必要的话，WLAN服务器(102)进一步进行网关的更新(即，为WLAN的防火墙分配新的地址)。由此，移动终端(101)就可以使用所分配的这个本地地址访问服务。
WLAN服务器(102)为了进一步执行本地的承认控制而使用Service_Support字段(804)内的信息。与服务提供商网络服务器(104)同样地，如果某个属性超出了WLAN当前的能力，WLAN服务器(102)就在归属网络认证器(103)之间尝试进行例如比特率缩小或服务时间间隔的改变等，特定与服务的详细情况相关的新的设置。
如果基于客户端的隧道的方案被归属网络认证器(103)所选择，则WLAN服务器(102)不需进行特别的设定。另一方面，当基于网络的隧道方案的情况下，WLAN服务器(102)必须使用来自MT_ID字段(802)的信息来识别隧道的终结点。
WLAN服务器(102)使用WLAN_Reply消息(208)进行WLAN_Request消息(206)的应答。WLAN_Reply消息(208)中使用与图8所示的WLAN_Request消息(206)相同的结构。Home_Network_ID字段(801)与MT_ID字段(802)从所对应的WLAN_Request消息(206)直接复制。归属网络认证器(103)使用这些字段将请求及应答消息对进行匹配。
另外，WLAN_Reply消息(208)内的Address_Alloc字段(803)中包含分配给移动终端(101)的WLAN的本地地址信息。如MT_Request_A消息(202A)内的Address_Request字段(307)所定义的那样，该字段的最初的八位位组表示地址的类型。该字段的接下来的部分中包含分配给移动终端(101)的实际地址，例如，当分配了IPv6地址的情况下，最初的八位位组为0x02，接下来的32八位位组中包含实际的IPv6地址。
另外，WLAN_Reply消息(208)内的Service_Support字段(804)中包含WLAN_Request消息(206)所定义的服务属性信息。如果WLAN接受了这些服务的属性，WLAN服务器(102)就从WLAN_Request消息(206)直接复制它们。另一方面，当WLAN服务器(102)不能接受该属性时，就在WLAN_Reply消息(208)内添加设置了新值的属性，发送新的提案。
另外，WLAN_Reply消息(208)内的Tunnel_Setup字段(805)是通向移动终端(101)的隧道信息。这里，最初的八位位组表示所用的隧道类型并在下一八位位组中表示隧道类型所固有的数据。例如，对数据通信使用移动IPv6的情况下，该字段内只存在隧道的类型，Address_Alloc字段(803)的地址用作移动终端(101)的转交地址。另一方面，当使用移动IPv4的情况下，该字段中，最初的八位位组包含隧道类型，后面接着是分配给移动终端(101)的外部代理地址。
接收到Service_Reply消息(205)及WLAN_Reply消息(208)之后，归属网络认证器(103)将来自WLAN服务器(102)及服务提供商网络服务器(104)的信息整合起来。如果Service_Spec字段(705)或Service_Support字段(706)包含与Service_Request消息(203)或WLAN_Request消息(206)内不同的属性值，就需要重新决定服务的详细内容。这时，归属网络认证器(103)检查由服务提供商网络服务器(104)或WLAN服务器(102)提案的新的值，如果这些新值可以接受，则使用SPN_Config消息(210)及WLAN_Config消息(211)，对新设定进行承认。
Service_Request消息(203)、Service_Reply消息(205)和WLAN_Request消息(206)、WLAN_Reply消息(208)的消息对没有时间相关性。即，它们并行进行，或者分别依赖于归属网络认证器(103)的实施而各自执行。例如，如果与WLAN服务器(102)的连接处于空闲状态，则归属网络认证器(103)可以决定发送WLAN_Request消息(206)以取代Service_Request消息(203)。
另外，当需要再次进行协调时，为了确认新的服务参数，从归属网络认证器(103)向服务提供商网络服务器(104)发送SPN_Config消息(210)。此外，SPN_Config消息(210)中使用与Service_Request消息(203)相同的消息格式。另外，在不使用相同消息格式的情况下，有时候省略例如Address_Request等若干个字段。
另外，根据需要，也可以附加隧道信息。例如，当使用基于客户端的隧道(例如移动IP)的情况下，由WLAN服务器(102)分配的移动终端(101)的转交地址插入到Tunnel_Request字段(308)。另外，当使用基于网络的隧道的情况下，WLAN的隧道终结点地址或端口号等通过该消息转送。
另外，WLAN_Config消息(211)用于相同目的，归属网络认证器(103)根据需要使用该消息由WLAN服务器(102)对新设定进行确认。另外，进一步，该信息也可以用于转送隧道信息。例如，当使用基于网络的隧道的情况下，服务提供商网络(1003)的隧道终结点地址或端口号等通过该消息转送到WLAN服务器(102)，其后，WLAN服务器(102)命令对应节点设置隧道。另一方面，当使用基于客户端的隧道的情况下，终端的地址包含在该消息中，其结果是，WLAN可以为数据通信打开防火墙。
此外，服务会话结束时，为了使分配给移动终端(101)的资源无效，这2个消息、SPN_Config消息(210)及WLAN_Config消息(211)可供归属网络认证器(103)使用，这对本领域技术人员来说是清楚明确的。例如，当归属网络认证器(103)检测到在WLAN内已经不存在移动终端(101)的情况下，能够输出包含全部设定为0的Service_Support字段(804)的WLAN_Config消息(211)。WLAN服务器(102)接收到这种消息后，释放分配给移动终端(101)的全部资源，并执行其他的适当工作。
归属网络认证器(103)发送MT_Reply_B消息(212B)作为对MT_Request_B消息(202B)的应答。该消息由访问点(105)或其他附带装置作为消息MT_Reply_A消息(212A)转送到移动终端(101)。此外，MT_Reply_A消息(212A)及MT_Reply_B消息(212B)具有相同内容和格式。归属网络认证器(103)与移动终端(101)之间的网络成分不访问这些消息内容，另外，访问点(105)只是将消息整体重新封装后转送。MT_Reply_A消息(212A)或MT_Reply_B消息(212B)通过移动终端(101)与归属网络认证器(103)之间共享的安全性关联进行加密。此外，MT_Reply_A消息(212A)是对所对应的MT_Request_A消息(202A)的应答，访问点(105)可以把握应转送的移动终端(101)。
另外，当WLAN服务器(102)位于MT_Reply_B消息(212B)的总线上时，可以在该消息中加载WLAN_Config消息(211)而运送。例如，当WLAN服务器(102)是使用WLAN内的Diameter向移动终端(101)转送MT_Reply_B消息(212B)的AAA服务器的情况下，MT_Reply_B消息(212B)可封装为Diameter-EAP-Answer AVP。另一方面，相同消息内的另一个AVP中也可以封装WLAN_Config消息(211)。另外，当使用其他转送协议的情况下，也可以使用相同方案，这对本领域技术人员来说是清楚明确的。
另外，MT_Reply_A消息(212A)具有与图3所示的MT_Request_A消息(202A)相同的结构。Message_Type字段(301)具有与MT_Request_A消息(202A)中同样的格式，使用整数来表明该消息不是请求而是应答。另外，Message_Length字段(302)表示包含Message_Type字段(301)的消息的长度合计。另外，MT_Reply_A消息(212A)内的Domain_Name字段(303)及MT_ID字段(304)与MT_Request_A消息(202A)内的相同。此外，为了使信号发送最优化，实际上这些字段可以省略，这对本领域技术人员来说是清楚明确的。
另外，MT_Reply_A消息(212A)内的Service_Request字段(305)包含了基于用户的加入信息由归属网络认证器(103)设定的服务特定信息。例如，当用户请求IMS服务的情况下，可以使用P-CSCF地址。此外，该字段也可以包含服务提供所必需的其他信息，这对本领域技术人员来说是清楚明确的。另外，该字段的正确格式依赖于服务。
另外，MT_Reply_A消息(212A)内的Session_ID字段(306)是从MT_Request_A消息(202A)直接复制的，当没有被移动终端(101)请求的情况下，实际上也可以省略。
另外，MT_Reply_A消息(212A)内的Address_Request字段(307)包含分配给移动终端(101)的地址。这应该作为源地址供服务应用程序使用。该字段的最初的八位位组是地址类型，其后是实际地址。例如，如果分配了IPv6地址的前缀，则最初的八位位组为0x03。另外，接下来的32八位位组包含为了构造实际的IPv6地址而由移动终端(101)使用的前缀信息，例如，也可以包含WLAN网关地址、DNS服务器地址等其他地址信息。这些属性紧接在上述地址信息之后。另外，全部为0的通配值表示移动终端(101)为了获得实际的地址信息而应该使用本地的无状态(Stateless)机制。
另外，MT_Reply_A消息(212A)内的Tunnel_Request字段(308)包含为了服务由移动终端(101)请求的服务所需隧道设定。这依赖于隧道类型，该字段的最初八位位组表示所用的隧道类型。
例如，当使用基于客户端的隧道类型的移动IPv6的情况下，如MT_Request_A消息(202A)中的隧道类型定义那样，其值为0x06。紧接着类型属性的是由WLAN分配的转交地址及归属代理地址、必要时还有安全密钥。Address_Request字段(307)内的地址为分配给终端的归属地址。
另外，当使用基于网络的隧道的类型时，紧接着类型属性是隧道的本地终结点地址和移动终端(101)与终结点进行安全的通信所需的安全密钥。
MT_Reply_A消息(212A)内的WLAN_ID字段(309)从MT_Request_A消息(202A)直接复制。此外，为了使信号发送最优化，实际上这些字段可以省略。
另外，MT_Reply_A消息(212A)的Security_Field(310)用于对消息整体进行完全的保护，使用了移动终端(101)与归属网络认证器(103)之间的安全性关联。此外，这里应该使用与MT_Request_A消息(202A)相同的算法。
在接收到MT_Reply_A消息(212A)之后，移动终端(101)检索所用的必要信息，按照该信息进行构造，使用该设定，就可以启动实际的服务会话(213)。
实际上，移动终端(101)可以例如与视频流会话一起进行Voice-over-IP会话等同时请求若干个服务。即，可以在信号发送内将不同服务提供商网络关联起来。在同一个消息内将若干个服务请求整合起来的方案中，可以使用与上述相同的机制及消息结构。例如，可以MT_Request_A消息(202A)内包含多个Service_Request字段(305)、Session_ID字段(306)、Address_Request字段(307)、Tunnel_Request字段(308)的集合。这4个字段被组合起来，由移动终端(101)请求的各个服务包含这4个字段的一个组合。例如，当MT_Request_A消息(202A)请求Voice-over-IP会话及视频流会话的情况下，会有2个上述列举的4字段组合。
在接收到包含与MT_Request_A消息(202A)相同内容的MT_Request_B消息(202B)之后，归属网络认证器(103)从与由移动终端(101)请求的1个特定服务对应的这4个字段的各个集合中检索信息。归属网络认证器(103)针对单一的服务请求执行上述请求的服务的每一个所需的信号发送。例如，归属网络认证器(103)向IMS子系统及提供流服务的网络双方发送Service_Request消息(203)。另外，与各个不同的服务相关的WLAN_Request消息(206)被发送到同一WLAN。归属网络认证器(103)可以将信息收集起来，只发送1个消息。当需要向同一WLAN发送多个WLAN_Request消息(206)的情况下，其中只有1个需要进行本地地址分配请求。
归属网络认证器(103)按照所请求的服务的顺序，将全部服务信息整合为1个MT_Reply_B消息(212B)，通过访问点(105)转送到移动终端(101)。其后，移动终端(101)可以使用整合起来的MT_Reply_A消息(212A)内的信息，构造其自身的地址。
此外，当移动终端(101)并行请求多个服务的情况下，有可能会从不同服务提供商网络为该终端分配不同地址，进一步，在不同服务会话中有可能设定不同隧道。在这种情况下，就需要有特殊的中间层处理器(mid-layer processer)。如Session_ID字段(306)中所使用的服务会话标识符由中间层处理器使用，地址及隧道设定被复用。
移动终端(101)内的中间层处理器保持不同服务会话的地址及隧道信息的本地数据库。当服务会话在移动终端(101)生成的情况下，中间层处理器为此生成标识符。这是在MT_Request_A消息(202A)的Session_ID字段(306)内使用的会话标识符。在接收到包含全部地址及隧道信息的MT_Reply_A消息(212A)之后，中间层处理器在包含由会话标识符指标化(索引化)的全部信息的数据库中作成新的项。在服务应用程序需要启动新的连接会话的情况下，向中间层处理器发送设定了会话标识符的请求，中间层处理器使用该会话标识符从数据库中检索对应的地址及隧道信息。地址及隧道信息由例如IP层等通常的栈使用，为了进行连接，生成套接字等适当绑定。
此外，实际上，也存在没有例如WLAN服务器(102)等之类的控制器的WLAN，这对本领域技术人员来说是清楚明确的。在这种情况下，移动终端(101)必须使用WLAN的本地机制进行地址分配及隧道设定。归属网络认证器(103)将MT_Reply_A消息(212A)内的Address_Request字段(307)及Tunnel_Request字段(308)全部置为0，由此，可以强制移动终端(101)使用例如DHCPv6、MIPv6等WLAN机制进行地址构造。
另外，在某些情况下，移动终端(101)会希望取消WLAN内的服务登录。即使在取消服务登录的情况下也可以使用上述机制，这对本领域技术人员来说是清楚明确的。移动终端(101)可以发送在Service_Request字段(305)中设定了表示服务结束的特殊值的MT_Request_A消息(202A)。例如，Service_Request字段(305)可以包含“terminate.request.IMS.foo.bar.operator-name.operatorgroup.gprs”之类的值。此外，“request(请求)”关键字之前的“terminate(结束)”是用来结束由“request(请求)”关键字之后附属的APN所表示的服务的标志。另外，MT_Request_A消息(202A)的Session_ID字段(306)可以设定为要结束的服务的会话标识符，这类MT_Request_A消息(202A)中可以省略Address_Request字段(307)及Tunnel_Request字段(308)。
归属网络认证器(103)与通常一样执行MT_Request_A消息(202A)处理，当在其Service_Request字段(305)中发现“结束”关键字时，从Session_ID字段(306)之中提取服务会话标识符。然后，归属网络认证器(103)检索其数据库寻找服务登录时生成的会话项。该会话项保存了例如所分配的地址、隧道设定等与服务的设定有关的信息。使用该信息，与通常一样，归属网络认证器(103)向服务提供商网络服务器(104)发送Service_Request消息(203)，向WLAN服务器(102)发送WLAN_Request消息(206)。在这些消息之中，Service_Spec字段(705)及Service_Support字段(804)全部置为0。
服务提供商网络服务器(104)与WLAN服务器(102)如通常那样处理消息，根据全部置为0的Service_Spec字段(705)及Service_Support字段(804)，知道是服务结束请求。这2个服务器检索这些数据库寻找服务登录时生成的服务会话项，释放例如IP地址或预约的带宽等与服务会话对应的资源。
归属网络认证器(103)从服务提供商网络(1003)及WLAN接收到通知之后，向移动终端(101)返回MT_Reply_A消息(212A)。该消息用来通知服务结束、预约资源被释放。该MT_Reply_A消息(212A)的Service_Request字段(305)中包含与其结果相关的信息。例如，该字段中可以使用“removed.request.IMS.foo.bar.operator-name.operator-group.gprs”。这里，“request”关键字之前的“removed”关键字表示已经成功取消了服务登录。此外，也可以在例如“removed”关键字之后附加信息等，包含特殊信息，这对本领域技术人员来说是清楚明确的。
另外，在向移动终端(101)提供服务的过程中，也可以包含策略控制。例如，为使用GPRS接口的终端提供149Kbps的访问速率。当该终端进入WLAN时，该终端改用WLAN接口以便访问同一服务。WLAN提供相当高的无线接口带宽，因此，终端可望享有更高访问速率(例如1Mbps)。为了给移动终端(101)提供这种更高的服务速率，需要启动策略控制框架，修正例如网关过滤器等策略设定。在上述实例中，当例如GGSN等控制点使用GPRS接口启动服务时，GGSN只要为终端的服务预约149Kbps的带宽即可。另外，当移动终端(101)再次使用WLAN服务、登录服务会话时，策略服务器应将GGSN的设定修正为1Mbps。此外，其他种类的设定或控制节点也包含在策略控制中，这对本领域技术人员来说是清楚明确的。
这种策略控制应该按照用户的加入信息执行，因此，应该在归属网络域内执行。本发明为了处理服务请求及地址(隧道设定)，使用归属网络认证器(103)。因此，其具有策略控制决定所必需的全部信息，可以从归属网络认证器(103)向归属网络域的策略服务器传递这种信息。这时，策略服务器可以使用策略控制接口来操作例如GGSN等对应节点，使其适当工作。进一步，策略服务器可以对与使用了策略控制框架的服务提供相关的其他网络进行通知，例如，归属网络域的策略服务器可以对WLAN内的策略服务器发出新的服务速率限制的通知，其结果是，WLAN策略服务器能够适当调整本地的承认管理机制。
另外，图9表示在归属网络认证器(103)与策略服务器之间使用的消息的实施例。该消息从Operation字段(901)开始。该字段表示由策略服务器执行的工作，可用值如下所示。
Install∷＝0x01Remove∷＝0x02Update∷＝0x03当归属网络认证器(103)从移动终端(101)接收到新的服务会话请求的情况下，Operation字段(901)中使用“Install”值。另外，当移动终端(101)结束了服务会话时，归属网络认证器(103)在Operation字段(901)中使用“Removed”值。另外，当来自移动终端(101)的服务请求引用了活动的服务会话的情况下，使用“Update”值。此外，在实际的实施中，可以使用其他类型的值，这对本领域技术人员来说是清楚明确的。
另外，第2个字段是MT_ID字段(902)。该字段包含了移动终端(101)的标识符，可以是例如移动用户的IMSI。
另外，第3个字段是MT_Location字段(903)。该字段可供策略服务器使用，用于检索基于位置的服务的策略，例如当终端存在于指定WLAN中的情况下提供2倍的访问速率等。该字段包含例如来自MT_Request_A消息(202A)的WLAN_ID字段(309)的WLAN标识符。
另外，下一字段是MT_Service字段(904)。该字段表示移动终端(101)正在访问哪种类型的服务。进一步也可以包含服务会话信息。该字段的内容实例可以是在APN中添加了会话标识符。
另外，下一个字段是Tunnel_Setting字段(905)。该字段表示WLAN内由移动终端(101)使用的隧道设定。该字段的内容为隧道类型，后面接着是隧道的终结点地址、端口号等。此外，正确的格式依赖于隧道类型。另外，所用的隧道类型是由MT_Request_A消息(202A)的Tunnel_Request字段(308)定义的。
另外，消息的最后字段是MT_Address字段(906)。该字段表示WLAN内由移动终端(101)使用的地址。这由策略服务器使用，可以设定访问服务的过滤的规则。
此外，实际上消息字段不需要遵循上述那样严格的顺序排列，这对本领域技术人员来说是清楚明确的。另外，各字段可进一步包含本实施例中没有记述的其他信息。
本发明提供在WLAN相互连接中用来管理终端的地址分配的管理方法。应用本发明，基于移动终端所请求的服务和其加入信息为其分配地址，无需访问本地资源即可实施地址管理。进一步，本发明提供在WLAN相互连接中隧道设定的控制方法。这里，移动终端能够在服务许可的同时支持基于网络及基于客户端的隧道设定。进一步，本发明提供策略控制框架中的相互连接方法。通过使用所提供的接口，能够将服务许可、地址分配、隧道设定信息传播到策略服务器，能够执行适当的工作，以更好地向终端分发服务。在所有方法中，能够通过终端与其归属域服务器之间的1次往返消息交换实现地址管理、隧道设定、及服务许可。因此，节约了宝贵的信号发送时间和带宽。
权利要求
1.一种系统，用于不基于本地WLAN访问控制地在WLAN相互连接中对移动终端的地址分配进行管理，其中，在地址管理中利用上述移动终端与能够访问上述移动终端的用户加入信息的、配置于上述移动终端的归属域内的控制器之间的受到安全保护的终结点间服务许可信号，由此，上述控制器能够基于服务许可信息管理地址分配。
2.一种系统，用于不基于本地WLAN访问控制地在WLAN相互连接中对移动终端的隧道进行管理，其中，在隧道管理中利用上述移动终端与能够访问上述移动终端的用户加入信息的、配置于上述移动终端的归属域内的控制器之间的受到安全保护的终结点间服务许可信号，由此，上述控制器能够基于服务许可信息进行隧道管理。
3.一种系统，用于不基于本地WLAN访问控制地在WLAN相互连接中对移动终端的地址分配及隧道进行管理，其中，在地址及隧道管理中使用上述移动终端与能够访问上述移动终端的用户加入信息的、配置于上述移动终端的归属域内的控制器之间的受到安全保护的终结点间服务许可信号，由此，上述控制器能够基于服务许可信息进行地址分配及隧道管理。
4.如权利要求1至3的任意一个所述的系统，其中，利用自上述本地WLAN访问控制处理导出的用于信号消息的保护及加密的安全性关联，来保护上述WLAN相互连接的上述信号消息。
5.如权利要求1至3的任意一个所述的系统，其中，通过利用上述移动终端的域信息来特定上述移动终端的归属域内的上述控制器的位置信息。
6.如权利要求1至3的任意一个所述的系统，其中，上述移动终端将其域信息嵌入消息中，存在于上述移动终端和上述控制器之间的中间节点参照上述域信息，基于上述域信息转送上述消息，由此，上述中间节点决定向上述控制器转送上述消息所需的地址。
7.如权利要求1或3所述的系统，其中，i.在地址分配请求及地址分配应答中使用规定的通配值，由此支持上述移动终端的无状态地址构造；ii.在上述地址分配请求及上述地址分配应答中加入地址类型列表，由此支持上述移动终端的不同地址类型；iii.在地址管理信息中加入地址前缀，由此支持对上述移动终端的多个地址分配。
8.如权利要求1或3所述的系统，其中，i.上述移动终端生成唯一标识上述服务访问会话的标识符；ii.在与上述移动终端和上述控制器之间的地址相关的消息中加入上述服务访问会话的标识符，由此将地址分配处理与上述服务访问会话进行关联；iii.上述控制器跟踪上述移动终端的上述服务访问会话中利用的上述地址；iv.上述控制器利用上述服务访问会话的标识符检索在上述服务访问会话中由上述移动终端使用的地址。
9.如权利要求8所述的系统，其中，上述控制器利用上述服务访问会话中使用的上述移动终端的地址保存管理所需的后端服务器。
10.如权利要求8所述的系统，其中，上述控制器i.当以上述移动终端的标识符与上述服务访问会话的标识符为标引的项在上述控制器的记录内不存在时，作成以上述移动终端的标识符与上述服务访问会话的标识符为标引的新项；ii.保存设定了为上述移动终端分配的用于上述服务访问会话的上述地址的上述项；iii.当上述移动终端结束了上述服务访问会话时，删除所保存的上述项，上述控制器保持上述WLAN相互连接中的上述移动终端的上述地址结构。
11.如权利要求1或3所述的系统，其中，i.在服务许可消息中将地址分配请求和与其对应的服务访问请求组合起来，由此，支持对多个不同的服务访问会话的多个地址分配；ii.上述控制器基于上述移动终端的不同服务访问请求取得不同的地址结构，能够同时进行上述移动终端的服务会话。
12.如权利要求11所述的系统，其中，i.上述移动终端保持用来将上述服务访问会话信息与对应的上述地址结构一起保存起来的本地数据库；ii.使用服务访问会话的标识符将地址复用，由此，上述移动终端为了访问不同服务而使用不同地址，支持针对多个服务会话的多个地址结构。
13.如权利要求1至3的任意一个所述的系统，其中，i.通过设定与上述策略服务器的接口，上述控制器能够修正用于向上述移动终端提供服务的策略结构；ii.使通过了对向WLAN内的上述移动终端提供服务用的控制节点的策略控制框架的策略信号在上述控制器开始，由此适当设定与上述控制节点相关的策略，能够进行策略设定的调整。
14.如权利要求13所述的系统，其中，进行上述服务许可的服务认证器与上述策略服务器之间的信息交换中利用的消息格式具备i.操作标识符部，表示在上述策略服务器中进行的工作；ii.移动终端标识符部，包含上述移动终端的标识符；iii.移动终端位置信息部，包含用来将基于上述移动终端的位置的策略应用到上述移动终端的上述移动终端的位置信息；iv.移动终端服务信息部，包含上述服务类型、必要时包含上述服务的会话标识符；v.隧道设定信息部，包含用于访问上述服务的、上述移动终端利用的隧道设定信息；以及vi.地址信息部，包含用于访问上述服务的上述移动终端的上述地址。
15.一种方法，用于不基于本地WLAN访问控制地在WLAN相互连接中对移动终端访问服务所需的地址分配进行管理，其中，其具备下述步骤i.上述移动终端将地址管理请求与受到安全保护的终结点之间的服务许可请求一起发送给能够访问上述移动终端的用户加入信息的、配置在上述移动终端的归属域内的控制器；ii.上述控制器基于上述服务许可请求及上述用户加入信息，分配上述移动终端访问上述服务所需的地址；以及iii.上述控制器使用受到安全保护的终结点间服务许可信号，将地址管理信息发送到上述移动终端。
16.一种方法，用于不基于本地WLAN访问控制地在WLAN相互连接中对移动终端访问服务所需的隧道进行管理，其中，其具备下述步骤i.上述移动终端将隧道管理请求与受到安全保护的终结点之间的服务许可请求一起发送给能够访问上述移动终端的用户加入信息的、配置在上述移动终端的归属域内的控制器；ii.上述控制器基于上述服务许可请求及上述用户加入信息，决定上述移动终端访问上述服务所需的隧道结构；以及iii.上述控制器使用受到安全保护的终结点间服务许可信号，将上述隧道结构信息发送到上述移动终端。
17.一种方法，用于不基于本地WLAN访问控制地在WLAN相互连接中对移动终端访问服务所需的地址分配及隧道进行管理，其中，其具备下述步骤i.上述移动终端将地址和隧道管理请求与受到安全保护的终结点之间的服务许可请求一起发送给能够访问上述移动终端的用户加入信息的、配置在上述移动终端的归属域内的控制器；ii.上述控制器基于上述服务许可请求及上述用户加入信息，决定上述移动终端访问上述服务所需的地址和隧道结构；以及iii.上述控制器使用受到安全保护的终结点间服务许可信号，将与上述地址和上述隧道结构相关的信息发送到上述移动终端。
18.如权利要求15至17的任意一个所述的方法，其中，利用自上述本地WLAN访问控制处理导出的用于信号消息的保护及加密的安全性关联，来保护上述WLAN相互连接的上述信号消息。
19.如权利要求15至17的任意一个所述的方法，其中，通过利用上述移动终端的域信息来特定上述移动终端的归属域内的上述控制器的位置信息。
20.如权利要求15至17的任意一个所述的方法，其中，上述移动终端将其域信息嵌入消息中，存在于上述移动终端与上述控制器之间的中间节点参照上述域信息，基于上述域信息转送上述消息，由此，上述中间节点决定向上述控制器转送上述消息所需的地址。
21.如权利要求15所述的方法，其中，其还具备在提供由上述移动终端所请求的上述服务的网络内的地址管理实体与上述控制器之间执行上述移动终端访问上述服务时所利用的地址的协调的步骤。
22.如权利要求15所述的方法，其中，其具备下述步骤i.上述移动终端在向上述控制器发送的地址分配请求中加入特定地址；以及ii.按照来自上述移动终端的上述地址分配请求和由上述移动终端所访问的服务相关的信息，将所使用的上述地址分配给上述移动终端，抑制上述移动终端的服务中断。
23.如权利要求16或17所述的方法，其中，其具备下述步骤i.上述移动终端在上述隧道请求消息中加入上述隧道类型列表；以及ii.上述移动终端及控制器在上述隧道请求消息及隧道结构消息中加入与隧道方向相关的信息，支持多个隧道类型及方向。
24.如权利要求16或17所述的方法，其中，还具备在提供由上述移动终端所请求的上述服务的网络内的实际隧道终结点与上述控制器之间执行上述移动终端访问上述服务时所利用的隧道结构协调的步骤，对上述移动终端的上述隧道结构进行管理。
25.如权利要求16或17所述的方法，其中，还具备下述步骤i.上述控制器与对上述移动终端访问上述服务时所利用的隧道进行管理的上述WLAN内的隧道管理实体进行通信；以及ii.上述WLAN内的上述隧道管理实体根据与上述控制器的通信结果将上述隧道置为可用或不可用，对上述移动终端的上述隧道结构进行管理。
26.如权利要求16或17所述的方法，其中，还具备下述步骤上述控制器为了对上述WLAN内的上述隧道终结点进行识别和构造，与上述WLAN内的隧道管理实体进行通信；以及上述控制器为了对向上述移动终端提供上述服务的网络内的上述隧道终结点进行识别和构造，与上述网络内的隧道管理实体进行通信，对上述移动终端访问上述服务所需的站点之间的网络隧道进行设定。
27.如权利要求16或17所述的方法，其中，具备上述控制器为了参照上述用户加入信息而与上述移动终端的归属网络内的后端服务器进行通信的步骤。
28.如权利要求15或17所述的方法，其中，由上述移动终端所使用的消息格式具备i.全部网络节点可访问的上述移动终端的归属域信息部；ii.只有允许上述服务请求的节点可访问的上述用户的识别信息部；iii.包含只有允许上述服务请求的节点可访问的1个以上的服务许可请求的服务请求信息部；iv.WLAN识别信息部；以及v.包含与上述服务请求对应的1个以上的地址请求的地址请求信息部。
29.如权利要求16或17所述的方法，其中，上述移动终端所用的消息格式具备i.上述移动终端的归属域的识别信息部；ii.只有允许上述服务请求的节点可访问的上述用户的识别信息部；iii.包含只有允许上述服务请求的节点可访问的1个以上的服务许可请求的服务请求信息部；iv.包含WLAN的标识符的WLAN识别信息部；以及v.包含与上述服务请求对应的1个以上的隧道构造请求的隧道构造请求信息部。
30.如权利要求21所述的方法，其中，由上述控制器所使用的消息格式具备i.上述移动终端的归属网络的识别信息部；ii.与上述服务请求相关的服务会话的识别信息部；iii.上述服务请求中的上述移动终端的识别信息部；iv.包含1个以上的服务请求的服务请求信息部；以及v.包含与上述服务请求对应的1个以上的地址构造请求的地址构造请求信息部。
31.如权利要求24所述的方法，其中，由上述控制器所使用的消息格式具备i.上述移动终端的归属网络的识别信息部；ii.与上述服务请求相关的服务会话的识别信息部；iii.上述服务请求中的上述移动终端的识别信息部；iv.包含1个以上的服务请求的服务请求信息部；以及v.包含与上述服务请求对应的1个以上的隧道构造请求的隧道构造请求信息部。
全文摘要
本发明提供WLAN相互连接中移动终端的地址分配管理所需的解决方案。利用访问控制框架，移动终端可以在允许访问服务的同时取得地址并设定隧道。另外，在管理过程中，利用访问控制过程所特有的加密进行保护，不需要特殊的安全设定手续。另外，借助于本发明，提供一种利用服务许可手续取得与会话相关的地址的方法。即使在终端访问多个并行会话时也能够保持多个地址。另外，地址管理整合到策略控制机构中。提供了一种方法，利用该策略控制，在地址改变后，在需要时由终端及其归属网络构成WLAN。另外，利用现有的策略控制手续中可用的频道，能够根据新的状态修正并提供QoS或隧道信息。由此，实现了漫游时间内的流畅的地址改变，将QoS中断抑制到最小限度。
文档编号H04L12/28GK1762129SQ20048000695
公开日2006年4月19日 申请日期2004年1月14日 优先权日2003年1月14日
发明者P·Y·谭, H·程, C·B·谭 申请人:松下电器产业株式会社