专利名称:在作为基于业务的策略(sblp)的执行点的网络网关处的数据分组过滤的制作方法
技术领域:
本发明涉及使得分组交换数据网络的网关节点能够在会话过程中改变分组报头目的地址时保持基于目的地址的分组过滤器的装置和方法。
更具体地,但并非唯一地,本发明涉及使得2G或3G通用分组无线业务(GPRS)网络的通用分组无线业务网关支持节点(GGSN)能够在IP会话过程中支持可能导致目的地址改变的漫游的同时,根据离开或到达GPRS网络的数据分组的目的地址来应用基于SBLP(基于业务的本地策略)的选通(gating)功能。
背景技术:
虽然传统的2G移动网络(例如遵循全球移动通信系统(GSM)标准的网络)为用户的移动站(MS)提供了电路交换语音和数据业务,但是在移动通信工业中存在采用分组交换移动网络的强大势头。分组交换移动网络在网络和无线资源有效性方面具有显著的优势,并且能够提供更先进的用户业务。通过固定通信网络和移动通信网络的结合,在固定网络中普及的互联网协议(IP)是移动分组网络的分组路由机制的自然选择。当前IP版本4(IPv4)广泛应用于固定网络域。但是,期望将其逐渐移植到IP版本6(IPv6),其在如下方面提供了比IPv4更为显著的优势大大增加的地址空间、更有效的路由、更大的扩展性、提高的安全性、服务质量(QoS)综合性、支持多播以及其它特征。
目前采用的移动分组交换业务的具体示例包括在2G GSM网络和3G通用移动通信系统(UMTS)网络(下文中称为GPRS网络)中实现的通用分组无线业务(GPRS)。还预期诸如无线局域网(wLAN)的非GPRS无线接入技术将在诸如热点的某些区域(会议中心、机场、展览中心等)中为本地宽带业务接入提供对于GPRS的灵活低成本的补充。因此,移动网络运营商希望支持移动站在GPRS与非GPRS网络或子网之间的漫游。
读者可以参考GPRS业务描述(版本1999)技术规范,其被称为3GTS 23.060 v3.12.0(2002-06),并且该技术规范可以从3GPP网站http//www.3gpp.org/ftp/specs/2002-06/R1999/23_series/获得,该技术规范提供了2G(GPRS/GSM)和3G(GPRS/UMTS)移动分组网络的详细业务描述。尽管将在下面详细说明其它的方面,但是GPRS网络的功能通常是公知的。
为了接入GPRS分组交换业务,MS首先通过SGSN执行GPRS附着(attach)过程(2G GSM GPRS附着或3G UMTS GPRS附着)。执行验证和位置更新过程,如果成功,则GPRS附着过程使得可以通过SGSN寻呼到MS并通知该MS有输入分组数据。但是,为了实际发送和接收分组数据,该MS必须具有分配的分组数据协议(PDP)地址(例如IP地址),并且必须激活通过该PDP使用的至少一个PDP上下文。MS的各个PDP地址可以具有与其相关联的一个或更多个PDP上下文,并且将定义PDP上下文的数据存储在该MS、SGSN和GGSN中。PDP上下文激活处理使得不仅SGSN获悉该MS,还使对应的GGSN获悉该MS,并可以开始与外部数据网的交互工作。
尽管从开始时就被设计为移动网络的GPRS网络具有嵌入的移动性管理(对于GPRS网络内的MS)和漫游功能(对于GPRS网络之间的MS漫游),但是互联网工程任务组(IETF)仍进行工作以总体上支持IP用户终端的移动性。为此,IETF已经开发出移动IP(MIP)协议。MIP被设计为当移动站(或者MIP术语中的移动节点(MN))在具有不同子网前缀的IP网络之间移动时支持移动性(宏移动性)。例如,MIP可以用于支持GPRS网络与诸如wLAN网络的非GPRS网络之间的移动性。并不预期将移动IP用于网络或子网内的移动性管理(微移动性),该移动性通常由诸如WCDMA较软/软切换的接入技术专用层2机制来进行管理。
存在两个版本的MIP,以与两个版本的IP相对应。MIP版本4(MIPv4)被设计用来提供IP版本4(IPv4)地址的IP地址移动性,而较新的MIP版本6(MIPv6)被设计用来提供IP版本6(IPv6)地址的IP地址移动性。在IETF请求注解(RFC)2002中描述了MIPv4,其可以在IETF网站http//www.ietf.org/rfc/rfc2002.txt?number=2002获得。在正在进行编撰的IETF互联网草案“Mobility Support in IPv6”中描述了互联网草案MIPv6,其可以在IETF网站http//www.ietf.org/internet-drafts/draft-ietf-mobileip-ipv6-19.txt获得,并被称为draft-ietf-mobileip-ipv6-19.txt,2002年10月29日发表。
在图1中示出了涉及通过路由优化进行的MIP漫游的情况。在MN的本地网络(HN)中为该MN分配本地IP地址(HAddr)。HN中的路由过程确保无论MN在HN的什么地方,从对端节点(CN)通过IP网络发送的IP分组都将到达该MN。当该MN漫游到外网(FN)时,对该MN分配该FN内的转交地址,需要将IP分组路由到该转交地址。然而,在会话过程中,MN的移动对于IP层和上层(例如传输层和应用层)必须透明,从而由CN的IP层创建的分组将继续带有该HAddr作为目的地址。
在MIPv6路由优化协议中,当MN漫游到FN时,该MN将绑定更新发送到该CN,以将CoA通知该CN。然后,该CN的MIP层在到CoA的会话中设置后续分组的目的地址,将采用路由报头类型2的MN的HAddr作为该分组的扩展报头。在MN MIP层中,从路由报头类型2字段中检索HAddr,并将其用作传输到MN的IP层的对应分组中的目的地址。
在这种情况下,CN位于通过通用分组无线业务网关支持节点(GGSN)与IP网络相连接的GPRS网络(GN)中,并且具有在文献3GPPTS 23.207 V5.3.0(March 2003),条款5.2.1中限定的功能。该GGSN包括基于业务的本地策略(SBLP)执行点,其对通过GGSN的数据包进行基于策略的允许控制。通过‘选通器(gate)’来定义各个会话的策略执行,对上行和下行通信量分别定义选通器。各个选通器都包括分组分类器以及将分组与分组分类器相匹配的行为。分组分类器包括源IP地址、目的IP地址、源端口、目的端口和协议。分组分类器源和目的IP地址可以包括通配符,以限定地址范围。阻挡与对应选通器的分组分类器不匹配的分组。
为了建立通过GGSN进行的IP会话,CN将授权请求发送到GGSN,该授权请求指定了源IP地址、目的IP地址(即,HAddr)、源端口、目的端口和协议。文献3GPP TS 23.207 V5.3.0(March 2002)的条款5.2.3中定义的GGSN内的SBLP决策点(本地决策点),或者GGSN外部的策略控制功能(PCF)确定是否对该IP会话进行授权。如果对该会话进行授权,则在SBLP执行点处对各个方向的会话建立选通器,并将授权令牌发送给CN。该授权令牌遵循关于媒体授权的SIP扩展的IETF规范。
可以使用上行SBLP来防止CN(或GN内的其它节点)对指定目的IP地址的访问。因此,如果按照SBLP,所请求的目的IP地址是可接受的,则可以只对选通器进行授权。然而,由于如从GGSN所观察到的,在会话过程中目的地址从HAddr变化为CoA,所以该选通器将与上述MIPv6路由优化协议相抵触。寻址到CoA的分组与对应于该会话的上行选通器的分组分类器不匹配,从而该分组可能被阻挡。
在MIPv6中,路由优化是必须的,而在MIPv4中是可选的。在图2中示出了无路由优化的另选路由。在MN的HN中的CN与该MN之间建立IP会话。该MN在会话过程中漫游到FN,并发送绑定更新,以将FN中的CoA通知给HN中的本地代理(HA)。在本示例中,该FN是通过GGSN与IPN相连的GPRS网络。
响应于该绑定更新,HA通过下述操作来建立到该CoA的IP隧道截取以HAddr为目的地址的任何后续分组,并将它们封装为以HA的IP地址为源地址,以MN的CoA为目的地址的多个分组。该MN的MIP层对这些分组进行解封装,并将它们传送到IP层,以使得漫游对于IP层和上层是透明的。可以使用IETF RFC 2473中所描述的IPv6通用分组隧道化机制来实现隧道化。
在上行链路方向上,MN可以不需在漫游到FN中之后改变其分组的源地址和目的地址,这是因为CN的IP地址没有改变。但是,GGSN可以对发出的分组应用流出过滤器,以阻挡具有不在FN之内的源地址的任何分组。这可以通过具有被设置为与GGSN内的任何IP地址相匹配的分组分类器源地址的SBLP选通器来实现。结果,来自MN的具有作为源地址的HAddr的分组将被阻挡。
为了解决该问题,MIPv4和MIPv6标准包括反向隧道化协议,其中MN在其CoA和HA地址之间建立上行方向的隧道。由于上行分组被封装在具有作为源地址的CoA的多个分组中,并且该CoA在FN内,所以流出过滤器将允许封装分组通过。HA对这些分组进行解封装,并将它们转发到CN。例如在正在编撰的IETF移动IP工作组草案‘Mobility Supportin IPv6’,29 October 2002中描述了MIPv6反向隧道化,该草案位于http//www.ietf.org/internet-drafts/draft-ietf-mobileip-ipv6-19.txt。
然而,该解决方法产生了下述问题FN中的GGSN实现了用于上行分组的SBLP选通器。当MN进入FN时,其必须将授权请求发送到GGSN,以使得与CN的IP会话能够通过GGSN进行路由。这本身不是问题,因为授权协议允许在会话过程中进行授权,即使在GGSN本地网络外部开始会话。然而,源自应用层(例如SIP会话层)的授权请求将HA地址指定为目的地址,并且HA地址不识别最终目的地址,这是因为MN的移动性管理(例如CoA的使用)对于应用层是透明的。由于SBLP执行点随后不对发出分组的最终目的地进行控制,所以基于HA地址对上行SBLP选通器进行授权将使SBLP选通器对象失效(defeat)。此外,不允许GGSN检查封装分组的有效载荷以找到最终目的地址,即使对该有效载荷进行了加密(例如使用IPSec)也不允许GGSN这样做。
发明内容
根据本发明的一个方面,提供了一种在网络网关处过滤数据分组的方法,这些数据分组具有包括目的地址在内的报头以及扩展报头,该方法包括选择性地阻挡这些数据分组中目的地址和扩展报头与预定地址准则均不匹配的多个数据分组。
根据本发明的另一方面,提供了一种在网络网关处过滤数据分组的方法,这些数据分组具有包括目的地址在内的报头,该方法包括选择性地阻挡这些数据分组中目的地址不满足目的地址准则或转发代理准则的多个数据分组,其中该转发代理准则限定至少一个转发代理的地址,该至少一个转发代理将寻址到该转发代理的分组转发到该分组的有效载荷中所指定的网络地址处的目的节点。
下面将参照附图详细说明本发明的特定实施例,其中图1表示由于试图将发出SBLP应用于其中目的节点使用路由优化进行漫游的GGSN中而产生的问题;图2是表示由于将发出SBLP应用于反向隧道而产生的问题的概念图;图3a是表示图1的情况下的路由优化的信号图;图3b是本发明第一实施例中的采用发出SBLP选通器的SBLP执行点的操作的流程图;图4a是表示本发明第二实施例的信号图,用于解决图1所示的问题;图4b是第二实施例中采用发出SBLP选通器的SBLP执行点的操作的流程图;图5a是本发明第三实施例的信号图,用于解决图2所示的问题;图5b是第三实施例中采用发出SBLP选通器的SBLP执行点的操作的流程图;图6是本发明第四实施例中的采用发出SBLP选通器的SBLP执行点的操作的流程图。
具体实施例方式
本发明的第一实施例提供了对于参照图1所述的采用基于SBLP的选通功能(其中在子网漫游过程中使用MIPv6路由优化)的问题的第一解决方案。在MIPv6路由优化时,将HAddr存储在路由报头类型2扩展报头(T2H)中,以使得可以通过MN MIP层检索到该HAddr,并将其恢复为传送到IP层的分组中的目的地址。
如图3a所示,在MN在FN中漫游之前的IP会话过程中,从CN发送到MN的分组具有作为它们的目的IP地址(DA)的HAddr。当MN漫游到FN中时,其将包括CoA在内的绑定更新(BU)发送到CN。根据MIPv6路由优化协议,响应于该BU,CN通过T2H中的HAddr发送寻址到该CoA的后续分组。
本发明人已经意识到可以由GGSN来检查路由报头类型2扩展报头,以识别分组的最终目的地址。传统分组分类器不包括路由报头类型2扩展报头IP地址。但是,SBLP协议对于其网络是本地的,从而可以修改SBLP执行,而不产生与其它网络的互用性问题。
在第一实施例中,如图3b所示,为发出SBLP选通器创建传统的分组分类器,其包括分组分类器目的地址PCD。SBLP执行点通过将分组分类器目的地址PCD与分组目的地址PD进行比较(步骤30)以及与路由报头类型2扩展报头进行比较(步骤32)来实现选通。如果都不匹配,则阻挡该分组(步骤34),否则对于任何其它选通器状态都允许该分组通过(步骤36)。
第一实施例的方案由于只需修改SBLP执行点而无需修改MN或CN的行为、或者创建诸如远程代理的任何新对象而有利。可以通过定义扩展分组分类器来实现类似的效果,该分组分类器指定了要作为目的IP地址的另选进行匹配的路由报头类型2扩展报头,但是由于预期该路由报头类型2扩展报头与分组分类器中的HAddr相同,所以其是冗余的。可以通过在GGSN内部的对象之间不同地分配功能来实现该效果。
虽然MIPv6不禁止检查路由报头类型2扩展报头的方案,但是可能认为这与路由报头类型2扩展报头的预期目的相冲突,即在目的用户设备本地恢复原始目的地址。如果进行技术测量来防止该冲突,则将使第一实施例的方案无效。
在第二实施例中,如图4a所示,在发出分组的逐跳(hop-by-hop)选项扩展报头HH中存储最终目的地址(HAddr)。IPv4和IPv6均允许逐跳选项扩展报头,该逐跳选项扩展报头必须由中间节点读取。通过在IPv6下一报头字段中设置零来表示逐跳选项扩展报头。
响应于由MN发送到CN的BU,CN将HAddr存储在后续分组的HH中。除了将HAddr存储在类型2报头中以及将CoA存储在目的IP地址字段中以外,还执行该操作。
如图4b所示,SBLP执行点将分组分类器目的地址PCD与分组目的地址PD进行比较(步骤40),还将其与HH中的任何IP地址进行比较(步骤42)。如果都不匹配,则阻挡该分组(步骤44)。否则,对于任何其它限制都允许该分组通过(步骤46)。
第二实施例对于第一实施例是优选的,因为GGSN只检查允许其检查的字段,因此可以确保不会引入使第二实施例的方案无效的技术测量。然而,第二实施例需要改变遵照现有的MIPv6互联网草案的规范的MN的操作,而第一实施例则不需要。
第三实施例提供了参照图2所述的将SBLP发出选通器应用于反向隧道的问题的第一解决方案。反向隧道将CN地址隐藏在有效载荷中,可以对该CN地址进行加密。另选地,第三实施例可以采用与第二实施例类似的方案。
如图5a所示,在IP会话时,MN最初将分组发送到具有被设置为HAddr的分组源地址以及被设置为CN地址(CNAddr)的PD的CN。当MN漫游到FN中时,其将BU发送到其HA,然后在其CoA与HA地址(HAAddr)处的HA之间建立反向IP隧道。
在本实施例中,MN包括反向隧道化分组的HH中的CNAddr(或者在CN本身是移动的并且远离其利用用于移动性的移动IPv6的本地网络的情况下,为CN的本地地址)。如图5b所示,SBLP执行点将分组分类器目的地址PCD与分组目的IP地址PD进行比较(步骤50),还将其与HH中的任意IP地址进行比较(步骤52)。如果都不匹配,则阻挡该分组(步骤54)。否则,对于任何其它限制都允许该分组通过(步骤56)。
对于反向隧道化已需要的功能,第三实施例在CN处需要附加功能。第四实施例提供了将SBLP发出选通器应用于反向隧道的问题的第二解决方案,其不需要该附加功能。
在第四实施例中,定义了包括HA IP地址的扩展分组分类器PCHA。如图6所示,SBLP执行点将分组目的地址PD与分组分类器目的地址PCD进行比较(步骤60),并将其与分组分类器HA地址PCHA进行比较(步骤62)。如果都不匹配,则阻挡该分组(步骤64)。否则,对于任何其它限制都将允许该分组通过(步骤66)。
如上所述,这将导致SBLP失效的效果,除非在GGSN与HA之间存在信任或控制关系。
作为控制关系的示例,FN的GGSN和HN的HA可以访问公共SBLP决策点,该公共SBLP决策点根据公共策略对FN和HN中的SBLP执行点进行授权。另选地,为了减少FN与HN之间的授权通信量,例如可以通过共享被阻挡的IP地址列表来在FN与HN之间复制SBLP决策点。
作为信任关系的示例,GGSN的SBLP决策点可以存储信任HA的IP地址列表,并对包含存在于该列表中的HA地址的分组分类器的选通器进行授权。该GGSN对于HA的SBLP不具有任何控制,而是信任该SBLP以保持与其自身的SBLP一致的SBLP。可以通过从信任地址列表中删除该HA地址来取消该信任关系。
尽管参照GPRS网络中的SBLP描述了以上实施例,但是应当理解,在不需要为无线网络的其它情况下(例如本地IP网络中的防火墙),可能需要基于目的地址的分组过滤器。在图1的情况下,CN可以为本地IP网络中的节点。可能在MIPv6路径优化之外的情况下产生目的地址的明显变化。例如,IP转发设置可能需要由发送节点设置的在会话过程中改变的目的地址,以将会话传送到另一物理设备。可以将第一和第二实施例的变型应用于这些另选情况。
类似地,在移动IP中漫游之外的情况下,可能产生反向隧道化设置,可以将第三和第四实施例的变型应用于这些另选情况。
虽然以上实施例描述了应用于网络网关(对于发送节点是本地的)中的发出分组的基于目的地的过滤器,但是也可以将基于目的地的过滤器应用于远程网络的网关(对于发送节点)中的输入分组。在第二和第三实施例中,这需要本地和远程网络之间的标准化,以确保发送节点将目的地址设置在HH中。
在第一到第三实施例中,SBLP执行点并非总是检查分组目的地址和扩展报头;而是开始时,选通器仅检查分组目的地址,并且响应于漫游事件而改变选通器,以仅检查扩展报头。
仅以示例的方式提供了以上实施例,其修改和变型也落入本发明的范围之内。
权利要求
1.一种在网络网关处过滤数据分组的方法,所述数据分组具有包括目的地址在内的报头以及扩展报头,所述方法包括选择性地阻挡所述数据分组中目的地址或扩展报头与预定的地址准则均不匹配的多个数据分组。
2.根据权利要求1所述的方法,其中仅将所述地址准则应用于在对应分组数据通信会话过程中从源节点传送到目的节点的分组。
3.根据权利要求2所述的方法,其中所述目的节点在所述分组数据通信会话的第一阶段过程中具有第一网络地址,而在所述数据通信会话的后续的第二阶段中具有不同的第二网络地址,并且所述源节点在所述第一阶段中发送具有作为所述目的地址的所述第一网络地址的分组,而在所述第二阶段中发送具有作为所述目的地址的所述第二网络地址以及所述扩展报头中的所述第一网络地址的分组。
4.根据权利要求3所述的方法,其中所述目的节点通过在对所述分组的有效载荷进行解码之前,以所述第一网络地址替换所述第二网络地址来转换在所述第二阶段过程中接收的分组。
5.根据权利要求4所述的方法,其中所述扩展报头是路由报头类型2扩展报头。
6.根据权利要求3到5中的任何一个所述的方法,其中所述目的节点在所述第一和第二阶段之间从包括所述第一网络地址的第一网络漫游到包括所述第二网络地址的第二网络。
7.根据权利要求2所述的方法,其中所述源节点在所述分组数据通信会话的第一阶段过程中具有第一网络地址,而在所述数据通信会话的后续的第二阶段过程中具有不同的第二网络地址,所述分组包括源地址,并且所述源节点在所述第一阶段过程中发送具有作为所述源地址的所述第一网络地址的分组,而在所述第二阶段过程中发送具有作为所述源地址的所述第二网络地址、所述扩展报头中的所述目的节点的地址、以及作为所述目的地址的转发代理的地址,该转发代理将所述分组转发到所述目的节点。
8.根据权利要求7所述的方法,其中在所述第二阶段过程中由所述源节点传送的所述分组的有效载荷包含所述目的节点的地址。
9.根据权利要求7或8所述的方法,其中所述源节点在所述第一和第二阶段之间从包括所述第一网络地址的第一网络漫游到包含所述第二网络地址的第二网络。
10.根据权利要求3、7或8中的任何一个所述的方法,其中一个或更多个中间节点读取所述扩展报头中的信息,其中通过所述中间节点在所述源节点与所述目的节点之间对所述分组进行路由。
11.根据权利要求10所述的方法,其中所述扩展报头是逐跳选项扩展报头。
12.一种在网络网关处过滤数据分组的方法,所述数据分组具有包括目的地址在内的报头,所述方法包括选择性地阻挡所述数据分组中目的地址不满足目的地址准则或转发代理准则的多个数据分组,其中所述转发代理准则限定至少一个转发代理的地址,所述至少一个转发代理将寻址到所述转发代理的分组转发到所述分组的有效载荷中指定的网络地址处的目的节点。
13.根据权利要求12所述的方法,其中所述至少一个转发代理阻挡所述网络地址不满足所述目的地址准则的分组。
14.根据权利要求12所述的方法,其中所述转发代理准则是可变的,以包括或排除所述至少一个转发代理的地址。
15.一种发送分组数据网络的源节点中的数据分组的方法,包括通过网络网关建立与第一网络地址处的目的节点的分组数据通信会话,以使得所述网关根据所述数据分组的目的地址将过滤器应用于所述通信会话的数据分组;在所述会话过程中接收所述目的节点的第二网络地址的表示;以及发送所述会话中寻址到所述第二网络地址并将所述第一网络地址包含在扩展报头中的后续分组,其中所述扩展报头用于包含要由所述源节点与所述目的节点之间的中间节点读取的信息。
16.一种将网络网关处的基于目的地址的过滤器应用于源节点与目的节点之间的分组数据会话的方法,其中所述目的节点从本地网络中的本地地址漫游到外网中的转交地址,并将绑定更新发送到所述源节点,以使得所述源节点将所述会话中的后续分组寻址到所述转交地址,并将所述本地地址设置在所述后续分组的扩展报头中,所述方法包括将所述基于目的地址的分组过滤器应用于所述后续分组的扩展报头。
17.根据权利要求16所述的方法,其中所述扩展报头由所述目的地址使用,以将所述本地地址恢复为所述后续分组的目的地址。
18.根据权利要求16所述的方法,其中由所述源节点与所述目的节点之间的中间节点读取所述扩展报头。
19.一种将网络网关处的基于目的地址的分组过滤器应用于源节点与目的节点之间的分组数据会话的方法,其中所述源节点从本地网络的本地地址漫游到具有所述网络网关的外网中的转交地址,并建立到所述本地网络中的本地代理的反向隧道,以将分组转发到所述目的节点,所述源节点将所述目的节点的地址设置在从所述外网发送的分组的扩展报头中,并且所述网络网关将所述目的地址过滤器应用于所述分组的扩展报头。
20.一种用于执行上述任一权利要求所述方法的计算机程序。
21.一种被设置用来执行权利要求1到19中的任意一项所述方法的装置。
22.一种基本上如在此参照附图所描述的方法。
全文摘要
本发明涉及在分组数据通信会话过程中通过网络网关对从源节点发送到目的节点的数据分组进行过滤的方法。在所述网络网关(GGSN)执行所述过滤。所述目的节点或所述源节点在所述会话的第一阶段过程中具有第一网络地址,而在所述会话的后续的第二阶段过程中具有不同的第二地址。所述数据包具有包括目的地址在内的报头以及扩展报头,该扩展报头用于在所述第二阶段过程中发送进一步的地址信息,所述方法包括选择性的阻挡所述数据分组中所述目的地址和所述扩展报头均不匹配预定地址准则的多个数据分组。
文档编号H04W12/00GK1711728SQ200380103043
公开日2005年12月21日 申请日期2003年11月7日 优先权日2002年11月11日
发明者陈晓保 申请人:奥兰治公司