与介质无关的预认证的架构的制作方法

专利名称：与介质无关的预认证的架构的制作方法
技术领域：
本发明特别涉及用于网络发现机制的方法，包括例如用于安全快速切换等等的网络发现机制的方法。
背景技术：
计算机网络的类型许多，而以互联网最为出名。互联网是世界范围的计算机网络。如今，互联网成为拥有无数用户的公共自持网络。所述互联网使用被称为TCP/IP(即传输控制协议/互联网协议)的一组通信协议来连接主机。互联网基于被称为互联网骨干的通信基础设施。到互联网骨干的接入主要由互联网服务提供商(ISP)控制，他们将接入转售给企业和个人。
IP(互联网协议)是这样的协议，即通过所述协议，在网络中可以将数据从一设备(例如电话、PDA[个人数字助理]、计算机，等等)传送到另一设备。如今，存在多种版本的IP协议，包括例如IPv4、IPv6等。网络中的每一主机设备拥有至少一个IP地址，以作为所述设备的唯一的标识符。IP是无连接协议。在通信过程中，端点之间的连接并不是持续的。当用户发送或者接收数据或消息时，所述数据或消息被拆分为被称作分组的组元。每一个分组都作为独立的数据单元被处理。
为了标准化在互联网或者类似网络上的点到点的传输，建立了OSI(开放系统互连)模型。OSI模型将网络中两点之间的通信过程分为七个层叠的层，每一层添加其自己的一套功能。每一设备对消息进行处理，这样，在发送端点形成经过每层的下行流，并且在接收端点形成经过每层的上行流。提供所述七层功能的程序和/或硬件通常是设备操作系统、应用软件、TCP/IP和/或其他传输和网络协议、以及其他软硬件的组合。
典型地，当消息发自或者传给用户时，使用顶部的四层；当消息经过设备(例如IP主机设备)时，使用底部的三层。IP主机可以是能够收发IP分组的网络中的任何设备，例如服务器、路由器或者工作站。去往某些其他主机的消息并不向上经过较上的层，而是被转发给其他主机。以下列出OSI模型的各层。层7即应用层，在此进行例如识别通信对象、确定服务质量、考虑用户认证和私密、确定对数据句法的压缩，等等。层6即表示层，在此进行例如将流入和流出的数据从一种表示格式转换为另一种，等等。层5即会话层，其例如建立、协调并且终结应用之间的会话、交互和对话，等等。层4即传输层，其例如管理端到端的控制和检错，等等。层3即网络层，其例如处理路由和转发，等等。层2即数据链路层，其例如为物理层提供同步、进行比特填充并且提供传输协议的资料和管理，等等。电气和电子工程师协会(IEEE)将数据链路层进一步分为两个子层，即控制向物理层发送数据或者从物理层接收数据的MAC(媒体接入控制)层，以及与网络层接口并且进行命令解释和差错恢复的LLC(逻辑链路控制)层。层1即物理层，其例如在物理层面上传送通过网络的比特流。IEEE将物理层细分为PLCP(物理层汇聚过程)子层和PMD(物理介质相关)子层。
无线网络无线网络可以综合多种类型的移动设备，例如蜂窝和无线电话、PC(个人计算机)、笔记本电脑、便携计算机、无绳电话、寻呼机、耳机、打印机、PDA，等等。例如，移动设备可以包括数字系统，以确保语音和/或数据的快速无线传输。典型的移动设备包括以下组件中的部分或者全部收发机(即，发射机和接收机，包括例如集成了发射机、接收机的单芯片收发机，如有需要，所述收发机还能集成其他功能)；天线；处理器；一个或者多个音频变换器(例如，作为语音通信设备的扬声器或者扩音器)；电磁数据存储器(例如在提供数据处理的设备中的例如ROM、RAM、数字数据存储器等等)、存储器；瞬时存储器；全套芯片组或者集成电路；接口(例如USB、CODEC、UART、PCM，等等)；以及/或者类似的组件。
无线LAN(WLAN)可用于无线通信，在无线LAN中，移动用户可以通过无线连接耦合到本地局域网(LAN)。无线通信可以包括例如通过诸如光、红外线、无线电、微波的电磁波传播的通信。目前，存在多种WLAN标准，例如蓝牙、IEEE 802.11以及HomeRF。
举例来说，蓝牙产品可以用于提供在移动计算机、移动电话、便携式手持设备、个人数字助理(PDA)以及其他移动设备之间的链路，并且提供到互联网的连接。蓝牙是一种计算和通信行业规范，其详细说明了移动设备如何利用短程无线连接来容易地彼此互连，并且与非移动设备互连。蓝牙制订了数字无线协议，以解决由于需要保持设备之间的数据同步和一致的各种移动设备不断增多而带来的终端用户问题，因而使得不同生产商的设备能够无缝地共同工作。可以根据通用命名概念命名蓝牙设备。例如，蓝牙设备可以拥有蓝牙设备名称(BDN)或者与唯一的蓝牙设备地址(BDA)相关联的名称。蓝牙设备也可以用在互联网协议(IP)网络中。如果在IP网络中运行蓝牙设备，则可以为其分配IP地址和IP(网络)名称。这样，被配置为在IP网络中使用的蓝牙设备可以包括例如BDN、BDA、IP地址和IP名称。术语“IP名称”指的是与接口的IP地址相对应的名称。
IEEE的标准IEEE 802.11详细说明了用于无线LAN的技术和设备。使用802.11，通过支持若干设备的每个单独的基站能够实现无线网络。在某些例子中，设备可以预先安装在无线硬件上，或者用户可以安装单独的硬件，例如卡，其可能包括天线。举例来说，802.11中使用的设备，无论是接入点(AP)、移动站点(STA)、网桥、PCMCIA卡还是其他设备，都典型地包括三个显著的部件无线收发机、天线以及控制网络中的各点之间的分组流的MAC(媒体接入控制)层。
另外，在某些无线网络中可以使用多接口设备(MID)。MID可以包括两个独立的网络接口，例如蓝牙接口和802.11接口，这样使得所述MID可以用于两个单独的网络，并且与蓝牙设备连接。所述MID可以拥有IP地址和与所述IP地址相关联的通用IP(网络)名称。
无线网络设备包括，但并不局限于，蓝牙设备、多接口设备(MID)、802.11x设备(IEEE 802.11设备包括例如802.11a、802.1b和802.11g设备)、HomeRF(家庭射频)设备、Wi-Fi(无线保真)设备、GPRS(通用分组无线业务)设备、3G蜂窝设备、2.5G蜂窝设备、GSM(全球移动通信系统)设备、EDGE(增强型GSM演进数据业务)设备、TDMA类型(时分多址)设备或者包括CDMA2000的CDMA类型(码分多址)设备。每一网络设备可以包括，但并不局限于，以下不同类型的地址IP地址、蓝牙设备地址、蓝牙通用名称、蓝牙IP地址、蓝牙IP通用名称、802.11IP地址、802.11 IP通用名称或者IEEE MAC地址。
无线网络也可以包括在例如移动IP(互联网协议)系统、PCS系统和其他移动网络系统中使用的方法和协议。关于移动IP，所述协议包括由互联网工程任务组(IETF)制订的标准通信协议。通过移动IP，移动设备的用户可以在网络中穿梭移动，而始终保持曾经分配的IP地址。参照请求注释(RFC)3344。附言RFC是互联网工程任务组(IETF)的正式文档。移动IP增强了互联网协议(IP)，并且增添了当用户从外面连接他们的本地网络时将互联网业务转发给移动设备的方法。移动IP为每一个移动节点分配在其本地网络中的本地地址和用于标识所述设备在网络及其子网中的当前位置的转交地址(CoA)。当设备移动到不同的网络时，其将接收到新的转交地址。本地网络中的移动性代理能够将每个本地地址与其转交地址进行关联。每次移动节点改变其转交地址时，其可以使用例如互联网控制消息协议(ICMP)向本地代理发送绑定更新。
在基本的IP路由(例如外部移动IP)中，路由机制依赖于这样的假设，即每一个网络节点总有一个不变的附着点附着于例如互联网上，并且一个节点的IP地址标识了所述节点所附着的网络链路。在本文中，术语的“节点”包括可以识别、处理和/或向其他节点转发通信的连接点，所述连接点包括例如用于数据传输的再分配点或者端点。例如，互联网路由器可以查看例如用于标识设备所处网络的IP地址前缀等。这样，从网络层面来看，路由器能够查看例如用于标识特定子网的一组比特。于是，从子网层面来看，路由器能够查看例如用于标识特定设备的一组比特。在典型的移动IP通信中，如果用户断开移动设备与例如互联网的连接，并且尝试在新的子网中重新连接互联网，则必须为所述设备重新配置新的IP地址、适当的网络掩码和默认的路由器。否则，路由协议将无法正确传送分组。
优选实施例改进了例如在下列参考资料中的上述技术，以下列出每一参考资料，将其合并至此以供参考1.Perkins，C.，“IP Mobility Support for IPv4”，RFC3344，2002年8月。在此称之为[RFC3344]。
2.Johnson，D.，Perkins，C.，和J.Arkko，“Mobility Support inIPv6”，RFC3775，2004年6月。在此称之为[RFC3775]。
3.Malki，K.，“Low latency Handoffs in Mobile IPv4”，draft-ietf-mobileip-lowlatency-handoffs-v4-09(工作进行中)，2004年6月。在此称之为[I-D.ietf-mobileip-lowlatency-handoffs-v4]。
4.Koodli，R.，“Fast Handovers for Mobile IPv6”，draft-ietf-mpshop-fast-mipv6-03(工作进行中)，2004年10月。在此称之为[I-D.ietf-mipshop-fast-mipv6]。
5.Liebsch，M.，“Candidate Access Router Discovery”，draft-ietf-seamoby-card-protocol-08(工作进行中)，2004年9月。在此称之为[I-D.ietf-seamoby-card-protocol]。
6.Loughney，J.，“Context Transfer Protocol”，draft-ietf-seamoby-ctp-11(工作进行中)，2004年8月。在此称之为[I-D.ietf-seamoby-ctp]。
7.Aboba，B.，“Extensible Authentication Protocol(EAP)KeyManagement Framework”，draft-ietf-eap-keying-04(工作进行中)，2004年11月。在此称之为[I-D.ietf-eap-keying]。
8.Forsberg，D.，Ohba，Y.，Patil，B.，Tschofenig，H.和A.Yegin，”Protocol for Carrying Authentication for NetworkAccess(PANA)”，draft-ietf-pana-pana-07(工作进行中)，2004年12月。在此称之为[I-D.ietf-pana-pana]。
9.Kim，P.，Volz，B.和S.Park，“Rapid Commit Option forDHCPv4“，draft-ietf-dhc-rapid-commit-opt-05(工作进行中)，2004年6月。在此称之为[I-D.ietf-dhc-rapid-commit-opt]。
10.ITU-T，”General Characteristics of International TelephoneConnections and International Telephone CircuitsOne-way TransmissionTime.”在此称之为[RG98]。
11.ITU-T，”The E-Model，a computational model for use intransmission planning”在此称之为[ITU98]。
12.ETSI，“Telecommunications and Internet ProtocolHarmonization Over Networks(TIPHON)Release 3End-to-end Qualityof Service in TIPHON systems；Part 1General Aspects of Quality ofService.”在此称之为[ETSI]。
13.Kivinen，T.和H.Tschofenig，“Design of the MOBIKEprotocol”，draft-ietf-mobike-design-01(工作进行中)，2005年1月。在此称之为[I-D.ietf-mobike-design]。
14.Moskowitz，R.，“Host Identity Protocol”，draft-ietf-hip-base-01(工作进行中)，2004年10月。在此称之为[I-D.ietf-hip-base]。
15.Almes，G.，Kalidindi，S.和M.Zekauskas，”A One-way DelayMetric for IPPM”，RFC 2679，1999年9月。在此称之为[RFC2679]。
16.Almes，G.，Kalidindi，S.和M.Zekauskas，”A One-way PacketLoss Metric for IPPM”，RFC 2680，1999年9月。在此称之为[RFC2680]。
17.Almes，G.，Kalidindi，S.和M.Zekauskas，”A Round-trip DelayMetric for IPPM”，RFC 2681，1999年9月。在此称之为[RFC2681]。
18.Simpson，W.，“IP in IP Tunneling”，RFC 1853，1995年10月。在此称之为[RFC1853]。
19.Patrick，M.，“DHCP Relay Agent Information Option”，RFC3046，2001年1月。在此称之为[RFC3046]。
20.Schulzrine，H.，“Application Layer Mobility Using SIP”在此称之为[SIPMM]。
21.Yegin，A.，“Supporting Optimized Handover for IP Mobility-Requirements for Underlying Systems”，draft-manyfolks-12-mobilereq-02(工作进行中)，2002年7月。在此称之为[I-D.manyfolks-12-mobilereq]。
22.Cambell，A.，Gomez，J.，Kim，S.，Valko.A.，和C.Wan，“Design，Implementation，and Evaluation of Cellular IP.”在此称之为[CELLIP]。
23.Ramjee，R.，Porta，T.，Thuel，S.，Varadhan，K.，和S.Wang，“HAWAIIA Domain-based Application for Supporting Mobility inwide-area Wireless networks.”在此称之为[HAWAII]。
24.Das，S.，Dutta，A.，Misra，A.和S.Das，“IDMPAn Intra-DomainMobility Management Protocol for Next Generation Wireless Networks”在此称之为[IDMP]。
25.Calhoun，P.，Montenegro，G.，Perkins，C.，和E.Gustafsson，“Mobile IPv4 Regional Registration”draft-ietf-mobileip-reg-tunnel-09(工作进行中)，2004年7月。在此称之为[I-D.ietf-mobileip-reg-tunnel]。
26.Yokota，H.，Idoue，A.和T.Hasegawa，”Link Layer AssistedMobile IP Fast Handoff Method over Wireless LAN Networks”在此称之为[YOKOTA]。
27.Shin，S.，“Reducing MAC Layer Handoff Latency in IEEE802.11 Wireless LANs”在此称之为[MACD]。
28.Dutta，A.，“Secured Universal Mobility.”在此称之为[SUM]。
29.Dutta，A.，”Fast handoff Schemes for Application Layer MobilityManagement.”在此称之为[SIPFAST]。
30.Gwon，Y.，Fu，G.和R.Jain，“Fast handoffs in Wireless LANNetworks using Mobile initiated Tunneling Handoff Protocol for Ipv4(MITHv4)”，2005年1月。在此称之为[MITH]。
31.Anjum，F.，Das，S.，Dutta，A.，Fajardo，V.，Madhani，S.，Ohba，Y.，Taniuchi，K.，Yaqub，R.和T.Zhang，“A proposal for MIH function andInformation Service”，2005年1月，在此称之为[NETDISC]。
32.Dutta，A.，“GPS-IP based fast-handoff for Mobiles”在此称之为[GPSIP]。
33.[MAGUIRE]Vatn，“The effect of using co-locatedcare-of-address on macro handover latency.”发明内容本发明改进了上述以及/或者其他背景的技术和/或其中的问题。
根据某些优选实施例，一种在任意链路层技术的网络间提供终端移动性的方法，包括使用在网络层或者更高层中运行的移动性管理协议，所述网络层或更高层保持在移动节点的定位器和标识符之间的移动性绑定。优选地，所述方法进一步包括使用工作在所述移动节点所访问的网络中的移动性优化机制，以减少未完成的传输分组的丢失。更优选地，所述方法进一步包括这样的移动性优化机制，其允许相邻接入路由器进行通信以传送关于移动节点的信息。在某些优选实施例中，所述方法进一步包括这样的移动性优化机制，其为能与任何移动性管理协议一起工作的统一标准的机制。在某些优选实施例中，所述方法进一步包括支持跨管理域的切换，而无须采取管理域之间事先建立的安全性关联。在某些优选实施例中，所述方法进一步包括基于移动节点和每个管理域之间的信任关系，以安全的方式跨管理域工作的移动性管理机制。在某些优选实施例中，所述方法进一步包括同时支持多接口终端和单接口终端的移动性管理机制。
根据某些优选实施例，一种移动台辅助的安全切换优化方法，其用于从当前网络到新网络的移动节点切换，所述方法包括a)提供能在任何链路层上并且能与任何移动性管理协议一起工作的移动性优化方案；b)当所述移动节点仍然附着于当前网络时，在更高层进行预认证，并且从所述移动节点可能进入的新网络提前获取IP地址，并执行到所述新网络的提前切换(proactive handover)。在某些实施例中，所述方法进一步包括使移动节点从候选目标网络安全地获取IP地址和其他配置参数，并且在所述候选目标网络变成目标网络时，在所述移动节点附着到所述候选目标网络之前，所述节点使用所得的IP地址和配置参数发送和接收IP分组。在某些实施例中，所述方法进一步包括在执行链路层的切换之前，使所述移动节点完成移动性管理协议的绑定更新，并且使用新的转交地址。在某些实施例中，所述方法进一步包括使得耦合到当前网络但尚未附着于候选目标网络的移动节点执行下列操作(i)与所述候选目标网络建立安全性关联，以确保随后的协议执行；接着(ii)安全地执行配置协议，以从所述候选目标网络中获取IP地址和其他配置参数，以及安全地执行隧道管理协议，以在所述移动节点和所述候选目标网络的接入路由器之间建立双向隧道；然后(iii)使用所获取的IP地址作为隧道内部地址，在所述隧道上发送和接收IP分组，所述IP分组包括用于移动性管理协议的绑定更新的信令消息，和绑定更新完成之后所传送的数据分组。在某些其他的实施例中，所述方法包括然后，当所述候选目标网络变成目标网络时，在所述节点将附着于所述候选目标网络之前立即删除或者禁用所述隧道；然后在所述移动节点通过其物理接口附着于所述目标网络之后，立即将所述被删除或者被禁用的隧道的内部地址重新分配给所述物理接口，然而在某些实施例中，所述方法包括在所述节点附着于所述目标网络之后立即删除或者终止所述隧道。
根据某些其他实施例，一种用于执行与介质无关的预认证(MPA)的方法，包括a)设置移动节点，其在当前网络中附着于原附着点并被分配了原转交地址；b)执行预认证阶段，其中，所述移动节点通过发现过程找到候选目标网络，并且获得IP地址和所述候选目标网络中的认证代理、配置代理以及接入路由器，同时所述移动节点利用所述认证代理执行预认证；c)执行预配置阶段，其中，所述移动节点意识到其附着点有可能从所述原附着点变为新附着点，然后所述节点执行预配置，即通过所述配置代理利用配置协议从所述候选目标网络获取IP地址或者新转交地址，以及其他配置参数，并且通过接入路由器利用隧道管理协议来建立提前切换隧道；d)执行安全提前切换的主体阶段，其中，所述移动节点决定转移到所述新附着点，并且在其转移之前，通过执行移动性管理协议的绑定更新来开始进行安全提前切换，并且在所述隧道上传送随后的数据业务；e)执行安全提前切换的预转移阶段，其中，所述移动节点完成所述绑定更新，并且准备好转移到新附着点；f)执行转移阶段，其中进行链路层切换；以及g)执行安全提前切换的后转移阶段，其中所述移动节点执行转移过程。在某些实施例中，所述方法进一步包括执行重复地址检测，以避免切换时延。在某些其他实施例中，所述方法进一步包括执行提前地址解析。在某些其他实施例中，所述方法进一步包括一旦在所述移动节点和所述候选目标网络中的接入路由器之间建立了所述提前切换隧道，所述接入路由器就代表所述移动节点执行代理地址解析，以使所述接入路由器能够捕获去往所述移动节点的新地址的分组。在某些其他实施例中，所述方法进一步包括在所述接入路由器双播或者缓存瞬时分组，以减小或者消除分组的丢失。在某些其他实施例中，所述方法进一步包括，当所述移动节点尚处于当前网络中时，在所述预认证阶段内，利用在所述移动节点和候选目标网络中的所述认证代理之间建立的MPA-SA，来自举(bootstap)所述候选目标网络中的链路层安全性。在某些实施例中，在移动节点转移到新附着点之前，通过执行移动性管理协议的绑定更新，所述节点开始进行安全提前切换，并且在所述隧道上传送随后的数据业务。
通过结合附图的以下描述，可以进一步理解上述以及/或者其他方面、各种实施例的特性和优势。在应用时，各种实施例可以包括并且/或者排除不同的方面、特性和/或优势。此外，在应用中，各种实施例可以结合其他实施例的一个或者多个方面或特性。不应将关于特定实施例的各方面、特性和/或优势的描述解释为对其他实施例或者权利要求的限制。


图1是描述根据某些示例性实施例的基本通信流程的流程图，所述流程图在图2中继续示出；图2是图1所示流程图的延续；图3是描述根据某些示例性实施例的链路层安全性自举的图；图4是描述根据某些示例性实施例的示例性网络结构的框架图；图5是描述根据示例性实现环境的与介质无关的预认证(MPA)通信流程的流程图；以及图6是描述根据示例性实现环境的非MPA通信流程的流程图。
具体实施例方式
本发明可以体现为多种不同形式，在这里描述了许多示例性实施例，应理解，本公开只是提供了体现本发明原理的示例，并且所述示例并不是要将本发明限制于在此所描述和/或说明的优选实施例。
1.介绍随着包括蜂窝网和无线LAN的无线技术的广泛使用，支持终端进行跨越不同类型的接入网的切换(例如从无线LAN切换到CDMA或GPRS)被认为是一个绝对挑战。另一方面，支持终端在相同类型的接入网络之间进行切换仍然具有挑战性，尤其是跨越IP子网或者管理域的切换。为了应对这些挑战，尤为重要的是，以最优化的和安全的方式提供适合于任何链路层技术的终端移动性，并且不会导致过高的复杂性。在本文中，我们将讨论提供低时延低损耗的无缝切换的终端移动性。无缝切换的特征是1.1节中描述的性能要求。
终端移动性的基本部分由保持在定位器和移动终端标识符之间的绑定的移动性管理协议来完成，其中所述绑定被称为移动性绑定。当移动终端运动时，所述移动节点的定位器会动态变化。使得所述定位器变化的运动可能不仅是物理上的而且还是逻辑上的。可以在任何层中定义移动性管理协议。在下文中，术语“移动性管理协议”指的是在网络层或者更高层中运行的移动性管理协议。
有几个存在于不同层的移动性管理协议。移动IP[RFC3344]和移动IPv6[RFC3775]是在网络层运行的移动性管理协议。IETF正在进行一些工作，以定义在比网络层更高的层中的移动性管理协议。例如，MOBIKE(IKEv2移动性和多归属)[I-D.ietf-mobike-design]是IKEv2的扩展，所述IKEv2提供用于处理IKEv2端点的IP地址变化的能力。HIP(主机标识协议)[I-D.ietf-hip-base]定义了在网络层和传输层之间的新的协议层，从而以对网络层和传输层均透明的方式提供终端移动性。同时，SIP移动性是对SIP的扩展，以保持SIP用户代理的移动性绑定[SIPMM]。
尽管移动性管理协议保持了移动性绑定，但是仅仅以它们现有形式来使用所述协议尚不足以提供无缝切换。为了实现无缝切换，需要采用这样的附加优化机制，其工作在所述移动终端访问的网络中，以避免在更新所述移动性绑定时丢失未完成的传输分组。所述机制被称为移动性优化机制。例如，分别为移动IPv4和移动IPv6定义了移动性优化机制[I-D.ietf-mobileip-lowlatency-handoffs-v4]和[I-D.ietf-mipshop-fast-mipv6]，其中允许相邻的接入路由器进行通信以传送关于移动终端的信息。有些协议被认为是移动性优化机制的“助手”。CARD(候选接入路由器发现机制)协议[I-D.ietf-seamoby-card-protocol]用于发现相邻的接入路由器。CTP(上下文转移协议)[I-D.ietf-seamoby-ctp]用于在接入路由器之间传送与提供给所述移动终端的服务相关联的状态，或者上下文。
在现有的移动性优化机制中存在若干问题。首先，现有的移动性优化机制都与特定的移动性管理协议紧密联系。例如，不可能将为移动IPv4和移动IPv6设计的移动性优化机制用于MOBIKE。强烈需要的是单独的统一的移动性优化机制，其能够与任何移动性管理协议一起工作。其次，现有的移动性优化机制无法轻松地支持跨管理域的切换而无须采取事先建立的管理域之间的安全性关联。移动性优化机制必须仅基于移动节点和每个管理域之间的信赖关系，以安全方式来进行跨管理域的工作。第三，移动性优化机制不仅要支持多接口终端，而且还要支持单一接口的终端，其中在所述多接口终端上，可以通过多种接口进行多种同时发生的连接。
本文描述了一种与介质无关的预认证(MPA)的架构，即一种可能解决所有上述问题的新的切换优化机制。MPA是一种移动台辅助的安全切换优化方案，其能工作于任何链路层中，并且能与包括移动IPv4、移动IPv6、MOBIKE、HIP、SIP移动性，等等的任何移动性管理协议一起工作。在MPA中，IEEE 802.11i预认证的概念被扩展到在更高层工作，在所述移动节点仍然附着于当前网络的情况下，通过附加机制，从所述移动节点可能进入的网络中提前获取IP地址并且执行提前切换。此外，本发明示出了在我们试验台中的初步的示例性MPA实现情况和某些性能结果，以说明如何利用现有协议来实现MPA功能。
在此所述的某些优选实施例中，描述了用于提前建立不同介质的较高层和较低层的上下文的系统和方法。在此，介质包括例如移动设备可接入的可用网络(例如有线的、获得许可的无线的、未获许可的无线的，等等)。请注意，例如IEEE 802中讨论的介质包括IEEE 802.21。介质可以包括例如蜂窝网、无线LAN(例如IEEE 802.11)、IEEE 802.16、IEEE 802.20、蓝牙，等等。某些说明性的示例包括1)移动设备从蜂窝网转移到无线或者WIFI网络，例如，具有蜂窝接口和无线接口的蜂窝电话试图最初通过蜂窝网获取信息(例如密钥，等等)来得到WIFI接入，而不是同时建立无线接口；2)当移动设备当前具有无线的或者WIFI的连接时，而无线LAN有可能快速关闭或者发生类似行为，在这种情况下，作为例子，所述移动设备可以通过蜂窝网络提前进行预认证(即，使得如果需要的话，能够进行快速切换)。在某些示例性情况下，具有单一IEEE 802.xx接口的移动节点可以在多个子网和多个管理域中漫游。尽管保持多种接口总在开通是一种选择，但在某些情况下(例如为了节约电量，等等)，移动节点可能希望关闭不使用的接口。此外，MPA不仅支持使用多接口，而且可以提供安全无缝的移动性优化，用于子网之间的切换、域之间的切换、不同技术之间的切换，等等。
1.1性能要求为了给交互式VoIP和流式业务提供满意的服务质量，需要将端到端的时延、抖动和丢包限制在某个门限级。ITU-T和ITU-E标准为上述参数定义了可接受的数值。例如，对于单向时延，ITU-T G.114推荐将150ms作为大多数应用的上限，将400ms作为通常所无法接受的时延。视频会议的单向时延容限范围在200ms到300ms。同时，如果在某个门限之外收到失序的分组，则认为所述分组已经丢失。参考文献[RFC2679]、[RFC2680]和2681[RFC2681]描述了对于时延和抖动的某些测量技术。同时，如果在某个门限之外收到失序的分组，则认为所述分组已经丢失。
端到端时延包括若干组成部分，例如网络时延、OS时延、CODEC时延和应用时延。网络时延包括传输时延、传播时延、在中间路由器中的排队时延。与操作系统相关的时延包括在发端和收端中的操作系统的调度行为。CODEC时延通常由在发端和收端中的生成分组和分解分组过程引起。应用时延主要由帮助补偿网络中的时延变化的播放时延(playout delay)引起。可以利用在接收机端的适当的播放缓冲区值，来调整端到端时延和抖动值。若是交互式VoIP业务，端到端时延会影响抖动值，值得重视。在移动台的频繁切换过程中，瞬时业务无法到达移动台，而且这也造成了抖动。如果所述终端系统具有播放缓冲区，则所述抖动被归入所述播放缓冲区时延中，但是如果所述终端系统没有播放缓冲区，这会增大交互式业务的时延。典型地，丢包由拥塞、路由的不稳定性、连接失败、例如无线链路的有损链路所引起。在移动台的切换过程中，由于所附着的网络发生变化，所述移动台会发生丢包。因此，对于流式业务和VoIP交互式业务来说，丢包将影响实时应用的服务质量。丢包的数量与切换过程中的时延和所述移动台接收的业务速率成比例。若是TCP业务，则因为重传，丢失的分组会造成拥塞，但若是基于RTP/UDP的流式业务，则它并不会增加任何拥塞。因此，在任何移动性管理方案中，减少丢包及其对切换时延的影响至关重要。在第2节中，我们将描述某些已经设法减少切换的快速切换方案。
根据ETSI TR 101[ETSI]，正常的语音通话能够忍受的最大丢包率为2％。如果在通话过程中，移动台进行频繁切换，则每次切换都将会造成切换期间的丢包。因此，需要将通话过程中的最大丢包率降至可以接收的水平。对于流式应用的丢包率，虽然没有明确的门限值，但是需要将其尽可能地降低，从而为特定应用提供更佳的服务质量。
2.现有的工作着的快速切换尽管例如移动IP[RFC3344]、移动IPv6[RFC3775]、SIP移动性[SIPMM]的基本移动性管理协议提出了为TCP和RTP业务提供连续性的方案，但这些并不是降低移动台在子网和域之间频繁移动过程中的切换时延的最佳方案。通常，为了更新所述移动台的移动性绑定，所述移动性管理协议会遭受在例如层2、层3和应用层的若干层引起的切换时延。参考文献[Yegin]讨论了用以支持在下列情况下进行最优化切换的需求，所述情况为在同一子网的两个接入点之间切换、在不同子网的两个接入路由器之间切换，以及在接入路由器之间传送上下文。所述需求适用于上述任何类型的移动性管理协议。
已经有若干种优化技术适用于现有的移动性管理方案，所述方案设法减小在移动台在蜂窝小区、子网和域之间运动期间的切换时延和丢包率。微移动性管理方案[CELLIP]、[HAWAII]以及通过在域内限制信令更新以提供快速切换的域内移动性管理方案(例如[IDMP]、[I-D.ietf-mobileip-reg-tunnel])很少。用于IPv4和IPv6网络的快速移动IP协议[I-D.ietf-mobileip-lowlatency-handoffs-v4]、[I-D.ietf-mipshop-fast-mipv6]提供了快速切换技术，其通过链路层触发机制而使得利用移动性信息变得可行。Yokota等人[YOKOTA]提出联合使用接入点和专用MAC桥接器以提供快速切换，而无须改变MIPv4规范。[MACD]方案通过提供一种基于高速缓存的算法，来降低由MAC层切换引起的时延。
某些移动性管理方案使用双重接口，这样能够提供中断前先建立的方案[SUM]。在中断前先建立的方案中，通常用一个接口保持通信，而第二个接口处于获取连接的过程中。IEEE 802.21工作组详细讨论了所述方案。使用单个接口来提供快速切换需要精细的设计技术，而不仅仅是使用含有多接口的客户机。[SIPFAST]为基于SIP的移动性管理提供优化的切换方案，其中，通过应用层转发方案，将瞬时业务从原来子网转发到新子网中。[MITH]提供了用于单一接口情况下的快速切换方案，其中使用了在原外部代理和新外部代理之间的移动台启动的隧道。[MITH]定义了两种类型的切换方案，例如Pre-MIT和Post-MIT。通常，我们的MPA方案与MITH的预言性方案相当，在所述MITH的预言性方案中，与所述外部代理的通信实际上是在移到所述新网络之前进行的。然而，本文所提出的MPA方案并不仅局限于MIP类型的移动性协议，并且本方案可以处理域间的移动、执行预认证和提前切换。这样，所提出的方案将全部时延降低至接近链路层切换时延。
3.术语移动性绑定在移动终端的定位器和标识符之间的绑定。
移动性管理协议(MMP)运行在网络层或更高层以保持在移动终端的定位器和标识符之间的绑定的协议。
绑定更新更新移动性绑定的过程。
与介质无关的预认证移动节点(MN)采用与介质无关的预认证(MPA)的移动终端，所述MPA是移动台辅助的安全切换优化方案，其能工作在任何链路层并且能与任何移动性管理协议一起工作。MPA移动节点是IP节点。在本文中，不带修饰语的术语“移动节点”或“MN”指的是“MPA移动节点”。通常，MPA移动节点还具有移动性管理协议的移动节点的功能。
候选目标网络(CTN)在不久的将来移动台可能移入的网络。
目标网络(TN)移动台已经决定要移入的网络。所述目标网络是从一个或者多个候选目标网络中挑选出来的。
提前切换隧道(PHT)在MPA移动节点和候选目标网络的接入路由器之间建立的双向IP隧道。在本文中，不带修饰语的术语“隧道”指的是“提前切换隧道”。
附着点(PoA)
作为MPA移动节点附着到网络上的链路层附着点的链路层设备(例如开关、接入点或者基站，等等)。
转交地址(CoA)被移动性管理协议用作MPA移动节点的定位器的IP地址。
4.MPA架构4.1概述与介质无关的预认证(MPA)是移动台辅助的安全切换优化方案，其能工作在任何链路层并且能与任何移动性管理协议一起工作。通过MPA，移动节点不但能够从候选目标网络安全地获得IP地址和其他配置参数，而且能够在所述候选目标网络变成目标网络时，在所述移动节点附着到候选目标网络之前，利用所获得的IP地址和其他配置参数来发送和接收IP分组。这使得所述移动节点有可能完成任何移动性管理协议的绑定更新，并且有可能在执行链路层切换之前使用新的转交地址。
通过使耦合到当前网络但尚未附着于候选目标网络的移动节点执行以下步骤可提供所述功能(i)与所述候选目标网络建立安全性关联，以确保随后的协议执行，接着(ii)安全地执行配置协议，以从所述候选目标网络获取IP地址和其他配置参数，并且安全地执行隧道管理协议，以在所述移动节点和所述候选目标网络的接入路由器之间建立双向隧道，然后(iii)使用所获取的IP地址作为隧道内部地址，在所述隧道上发送和接收IP分组，所述IP分组包括用于移动性管理协议的绑定更新的信令消息，和绑定更新完成之后所传送的数据分组，以及最后(iv)当所述候选目标网络变成所述目标网络时，在所述节点将要附着于候选目标网络之前立即删除或者禁用所述隧道，并且在所述移动节点通过其物理接口附着于目标网络之后，立即将所述被删除或者被禁用的隧道的内部地址重新分配给所述物理接口。也可以不在所述节点附着于目标网络之前删除或者禁用所述隧道，而在附着于所述目标网络之后，立即删除或者禁用所述隧道。
特别地，第三个步骤使得移动台有可能在开始链路层切换之前，完成更高层的切换。这意味着，所述移动台能够通过所述隧道发送和接收在完成绑定更新之后所传送的数据分组，而它仍然能够在所述隧道之外发送和接收完成绑定更新之前所传送的数据分组。
在上述四个MPA基本步骤中，第一步被称为“预认证”，第二步被称为“预配置”，第三步和第四步的组合被称为“安全提前切换”。通过预认证建立的安全性关联被称为“MPA-SA”。通过预配置建立的隧道被称为“提前切换隧道”。
4.2功能单元在MPA架构中，期望在每个候选目标网络中存在下列功能单元，以与移动节点进行通信认证代理(AA)、配置代理(CA)和接入路由器(AR)。上述单元中的某些或者全部可以设置在单个网络设备中或不同网络设备中。
认证代理负责预认证。认证协议在移动节点和认证代理之间执行，以建立MPA-SA。所述认证协议必须能够导出所述移动节点和所述认证代理之间的密钥，应该能够提供相互的认证。所述认证协议应该能够与例如RADIUS和Diameter的AAA协议进行互动，以将认证证书传送给AAA基础结构中的适当的认证服务器。所导出的密钥用于进一步导出用于保护预配置和安全提前切换所用的消息交换的密钥。用于自举链路层和/或网络层的密码MAY的其他密钥也由MPA-SA导出。
配置代理负责预配置中的一部分，即可靠地执行配置协议，以将IP地址和其他配置参数安全地交付所述移动节点。所述配置协议的信令消息必须使用从对应于MPA-SA的密钥导出的密钥来保护。
接入路由器是负责预配置中的另一部分的路由器，即安全地执行隧道管理协议，以建立到所述移动节点的提前切换隧道，并且利用所述提前切换隧道来执行安全提前切换。所述配置协议的信令消息必须使用从对应于MPA-SA的密钥导出的密钥来保护。通过所述提前切换隧道传送的IP分组应该使用从对应于MPA-SA的密钥导出的密钥来保护。
4.3基本通信流程假定所述移动节点已经耦合到附着点上，假定为oPoA(原附着点)，并且被分配了转交地址，假定为oCoA(原转交地址)。以下，描述MPA的通信流程。在整个通信流程中，数据分组的丢失只会发生在步骤5的转移过程中，并且由链路层的切换负责最小化所述过程中的丢包。
步骤1(预认证阶段)所述移动节点通过某些发现过程，找到候选目标网络，并且用某种方法获取在所述候选目标网络中的IP地址、认证代理、配置代理和接入路由器。所述移动节点通过所述认证代理来执行预认证。如果所述预认证成功，则在所述移动节点和所述认证代理之间建立起MPA-SA。从MPA-SA导出两个密钥，即MN-CA密钥和MN-AR密钥，其分别用于保护随后的配置协议和隧道管理协议的信令消息。然后，分别将MN-CA密钥和MN-AR密钥安全地交付所述配置代理和所述接入路由器。
步骤2(预配置阶段)所述移动节点意识到它的附着点有可能从oPoA变为新附着点，假定为nPoA(新附着点)。然后，所述移动节点执行预配置，即通过所述配置代理利用所述配置协议从所述候选目标网络获取IP地址(假定为nCoA，即新转交地址)和其他配置参数，并且通过所述接入路由器利用所述隧道管理协议来建立提前切换隧道。在所述隧道管理协议中，所述移动节点将oCoA和nCoA分别注册为隧道外部地址和隧道内部地址。所述预配置协议的信令消息利用MN-CA密钥和MN-AR密钥来保护。当所述配置代理和接入路由器同位于同一设备中时，所述两个协议可以合并为单个协议，例如IKEv2。完成隧道建立之后，所述移动节点可以在步骤4的结束部分使用oCoA和nCoA进行通信。
步骤3(安全提前切换的主体阶段)所述移动节点决定用某种方法转移到新附着点上。在所述移动节点转移到所述新附着点之前，所述节点开始进行安全提前切换，即执行移动性管理协议的绑定更新并且在所述隧道中传送随后的数据业务(主体阶段)。
步骤4(安全提前切换的预转移阶段)所述移动节点完成了绑定更新，并且准备好转移到新附着点。所述移动台执行所述隧道管理协议以删除所述提前切换隧道。所述移动台甚至在删除所述隧道之后缓存nCoA。所述移动节点何时准备好转移到新附着点取决于切换策略。
步骤5(转移)期望在该步骤中发生链路层切换。
步骤6(安全提前切换的后转移阶段)所述移动节点执行转移过程。在成功地完成了转移过程之后，所述移动节点立刻恢复缓存的nCoA，并且将其分配给与新附着点相连的物理接口。之后，有可能不使用提前切换隧道而使用nCoA来直接传送数据分组。
5.细节问题为了给进行迅速的子网和域切换的移动台提供最优化的切换，需要弄清几个问题。所述问题包括相邻网络单元的发现、基于某种策略选择合适的网络相连、改变层2的附着点、从DHCP或者PPP服务器获取IP地址、确认所述IP地址的唯一性、在特定域内利用例如AAA服务器的认证代理进行预认证、发送绑定更新给相应的主机并且获取改送到新附着点的流式业务。在以下段落中，将详细描述所述问题，并且说明在基于MPA的安全提前切换的情况下如何优化所述问题。
5.1发现机制当移动台在网络之间快速移动时，发现例如接入点、接入路由器、认证服务器的相邻网络单元，有助于加速切换过程。通过发现带有想要的一套坐标、性能和参数的网络邻居，当所述移动台还在原来的网络中时，其就能够执行许多操作，例如预认证、提前获取IP地址、提前地址解析以及绑定更新。
移动台能够发现相邻网络的方法有若干种。候选接入路由器发现协议[I-D.ietf-seamoby-card-protocol]有助于发现在相邻网络中的候选接入路由器。指定某个网络域，SLP和DNS有助于提供用于特定域中的一组指定服务的组网组件的地址。在某些情况下，当移动台接近相邻网络的附近时，可以通过例如信标帧的链路层管理帧来发送许多网络层以及更高层的参数。IEEE 802.11u正在考虑这样的问题，例如使用在链路层中获取的信息来发现邻居。然而，如果所述链路层管理帧被某些链路层安全机制进行了加密，则在建立了到所述接入点的链路层连接之前，所述移动节点可能无法获取必需的信息。此外，这样可能给有带宽限制的无线介质增加负担。在这种情况下，更适合通过更高层的协议来获取关于相邻单元的信息。例如[NETDISC]的某些提案有助于从移动性服务器中获取相邻网络的信息。当移动台即将移动时，它通过询问特定服务器来启动发现过程，并且获取所需的参数，例如所述接入点的IP地址、所述IP地址的特性、路由器、相邻网络的SIP服务器或者认证服务器。在多网络的情况下，所述移动台可以从多于一个的相邻网络获取所需参数，并且将这些参数保存于高速缓存中。有时，移动台从多个可能的网络中找出几个候选目标网络，并且通过与所述候选目标网络中的所需实体进行通信来启动所述预认证过程。
5.2提前获取IP地址通常，移动性管理协议与外部代理一起工作，或者工作在配置地址模式(co-location address mode)。在优选实施例中，所述MPA方法既能够使用配置地址模式也能使用外部代理地址模式。在此，我们讨论用于配置地址模式中的地址分配部分。移动台可以通过若干种方式获取IP地址并配置自己。最通常地，在网络中缺少例如服务器或路由器的任何配置单元的情况下，移动台能够静态地配置自己。IETF Zeroconf工作组定义了这样的自动IP机制，其中移动台以adhoc方式配置，并且从例如169.254.x.x的特定范围内挑选唯一的地址。在LAN环境内，所述移动台可以从DHCP服务器获取IP地址。在IPv6的网络中，移动台也可以选择通过使用无国籍的自动配置来获取所述IP地址。在广域网环境内，移动台通过与NAS进行通信来利用PPP获取所述IP地址。
所述过程中的每一个持续几百毫秒到几秒数量级，这取决于IP地址获取过程的类型以及客户端和服务器的操作系统。由于IP地址获取是切换过程的一部分，增加了切换时延，因此，希望尽可能减少其耗时。尝试通过减少获取IP地址的耗时来减少切换耗时的可用的优化技术很少，例如DHCP快速提交[I-D.ietf-dhc-rapid-commit-opt]、基于GPS坐标的IP地址[GPSIP]。然而，在所有上述情况中，所述移动台在移入新的子网之后也会获取IP地址，并且会因为在所述移动节点和DHCP服务器之间的握手信令而导致一些时延。
在以下段落中，将描述移动节点从所述候选目标网络中提前获取IP地址的一些方法，以及关联隧道的建立过程。将所要描述的内容宽泛地定义为三类，例如，PANA辅助的IP地址提前获取、IKE辅助的IP地址提前获取和仅使用DHCP的IP地址提前获取。
5.2.1PANA辅助的IP地址提前获取在PANA辅助的IP地址提前获取的情况下，所述移动节点从候选目标网络中提前获取IP地址。所述移动节点利用PANA消息来触发在DHCP中继代理中的地址获取过程，所述DHCP中继代理与PANA认证代理共同位于所述候选目标网络中的接入路由器中。从移动节点收到PANA消息之后，DHCP中继代理就执行正常的DHCP消息交换，以从所述候选目标网络的DHCP服务器中获取IP地址。在PANA消息中捎带返回所述地址，并将其送到客户端。
5.2.2IKE辅助的IP地址提前获取当在所述候选目标网络中IPsec网关和DHCP中继代理位于每一接入路由器中时，采用IKE辅助的IP地址提前获取。在这种情况下，候选目标网络中的IPsec网关和DHCP中继代理协助所述移动节点从候选目标网络中的DHCP服务器获取IP地址。在预认证阶段建立的MN-AR密钥用作在所述移动节点和接入路由器之间运行IKEv2所需的IKEv2预共享的密钥。从候选目标网络中获取所述IP地址是标准的IKEv2过程的一部分，即通过共处于一处的DHCP中继代理，使用标准的DHCP从所述候选目标网络的DHCP服务器中获取所述IP地址。在IKEv2配置净荷交换中将获取的IP地址回送到客户端。在这种情况下，也可以将IKEv2用作提前切换隧道的隧道管理协议(参见5.4节)5.2.3仅使用DHCP的IP地址提前获取作为另一种选择，可以使用DHCP，通过在所述移动节点和候选目标网络中的DHCP中继或DHCP服务器之间进行直接的DHCP通信，从所述候选目标网络获取IP地址，而无须依靠基于PANA或者IKEv2的方法。在这种情况下，所述移动节点向所述候选目标网络中的DHCP中继代理或者DHCP服务器发送单播DHCP消息，以用于请求地址，其中使用与当前的物理接口相关联的地址作为所述请求的原地址。
当所述消息被发送到DHCP中继代理时，所述DHCP中继代理在所述移动节点和DHCP服务器之间来回中继所述DHCP消息。如果没有DHCP中继代理，所述移动台也可以直接和目标网络中的DHCP服务器通信。客户端的单播DISCOVER消息中的广播选项应该置为0，以使得所述中继代理或者DHCP服务器可以利用所述移动节点原地址将所述答复直接送回给所述移动台。
为了避免恶意节点从DHCP服务器中获取IP地址，应该使用DHCP认证，或者所述接入路由器应该安装过滤器，以阻止未进行预认证的移动节点向远端DHCP服务器发送单播DHCP消息。当使用DHCP认证时，可以从在所述移动节点和所述候选目标网络中的认证代理之间建立的MPA-SA导出DHCP认证密钥。
在所述移动台未移入所述新网络之前，不给所述移动节点的物理接口分配所述提前获取的IP地址。因此，从目标网络中提前获取的IP地址不应该被分配给所述物理接口，而应该分配给所述客户端的虚拟接口。这样，通过所述移动节点和所述候选目标网络中的DHCP中继或DHCP服务器之间的直接DHCP通信而提前获取的IP地址，可以用附加信息来传送，所述附加信息用于将所述IP地址从分配给所述物理接口的其他地址中区分出来。
所述移动台刚一进入新网络后，所述移动节点就可以通过到所述新网络的物理接口，使用例如DHCP INFORM来执行DHCP，以获取其他配置信息，例如SIP服务器、DNS服务器等等。这不会影响所述移动台和相应主机之间正在进行的通信。同样，所述移动节点可以通过到所述新网络的物理接口执行DHCP，以延长在进入所述新网络之前提前获取的IP地址的租约(lease)。
为了保持所述移动节点的DHCP绑定，并且记录在安全提前切换之前和之后所分配的IP地址，对于用于提前获取IP地址的DHCP和在所述移动节点进入目标网络之后执行的DHCP，需要使用相同的DHCP客户端标识符来标识所述移动节点。所述DHCP客户端标识符可以是所述移动节点的MAC地址或者某些其他标识符。
5.3地址解析问题5.3.1提前重复检测地址当所述DHCP服务器分配IP地址时，它将更新其租约表，以使得在这段特定时间内，不会将同一个地址分给另外的客户端。同时，所述客户端也在本地保留一份租约表，以使得当需要时能够进行更新。在网络包括支持DHCP的和不支持DHCP的客户端的某些情况下，LAN中的另一个客户端有可能已经配置有来自所述DHCP地址池中的IP地址。在这种情况下，在分配IP地址之前，所述服务器基于ARP(地址解析协议)或IPv6邻居发现协议进行重复地址检测。所述检测程序可能持续4秒到15秒[MAGUIRE]，并且将因此导致更大的切换时延。在提前获取IP地址过程的情况下，所述检测被提早执行，因此根本不会影响所述切换时延。通过提前执行重复地址检测，我们减少了所述切换时延因素。
5.3.2提前地址解析更新在预配置过程中，还能够知道所述移动节点在附着到目标网络之后与所述目标网络中的节点进行通信所需的地址解析映射，其中所述目标网络中的节点可以是接入路由器、认证代理、配置代理和通信节点。执行所述提前地址解析的方法有以下几种。
·使用信息服务机制[NETDISC]来解析所述节点的MAC地址。这可能要求所述目标网络中的每个节点都包含所述信息服务，以使得信息服务的服务器能够创建提前地址解析的数据库。
·扩展用于预认证的认证协议或者用于预配置的配置协议，以支持提前地址解析。例如，如果使用PANA作为预认证的认证协议，则PANA消息可以传送用于提前地址解析的AVP。在这种情况下，所述目标网络中的PANA认证代理可以执行代表所述移动节点的地址解析。
·定义新的DNS资源重新编码，以提前解析在目标网络中所述节点的MAC地址。但并不太希望这么做，因为域名和MAC地址之间的映射通常并不稳定。
当所述移动节点附着于所述目标网络时，它安装了提前获取的地址解析映射，而不必向所述目标网络中的节点发送地址解析询问。
另一方面，位于目标网络中的并且与所述移动节点通信的节点，也应该在所述移动节点一附着于所述目标网络时，就更新其关于所述移动节点的地址解析映射。所述节点也可以使用上述提前解析地址的方法，从而在所述移动节点附着于所述目标网络之前，提前解析所述移动节点MAC地址。然而，并不希望如此，因为在采用所述提前解析了的地址解析映射之前，所述节点需要检测到所述移动节点附着于所述目标网络。更好的方法是将附着检测和地址解析映射更新相结合。所述方法基于无条件执行地址解析[RFC334][RFC3775]，其中，在所述移动节点附着于新网络之后，如果是Ipv4的情况，所述移动节点立即发送ARP请求或者ARP回复，或者如果是Ipv6的情况，立即发送邻居通告，这样使得所述目标网络中的节点能够迅速更新关于所述移动节点的地址解析映射。
5.4隧道管理从候选目标网络中的DHCP服务器中提前获取IP地址之后，在所述移动节点和所述候选目标网络中的接入路由器之间建立起提前切换隧道。所述移动节点将所获取的IP地址用作隧道内部地址，并且很可能将所述地址分配给虚拟接口。
所述提前切换隧道是使用隧道管理协议建立的。当使用IKEv2提前获得IP地址时，也将IKEv2用作所述隧道管理协议。或者，当使用PANA提前获得IP地址时，可以将PANA用作所述安全隧道管理协议。
一旦在所述移动节点和所述候选目标网络中的接入路由器之间建立起提前切换隧道，所述接入路由器就也需要执行代表所述移动节点的代理地址解析，以使得它能够捕获发往所述移动节点的新地址的任何分组。
由于移动台需要当在原来的网络中时，能够与通信节点进行通信，所以需要通过提前切换隧道，将从所述通信节点到移动节点的绑定更新和数据中的某些或者全部，回送给所述移动节点。当使用SIP移动性作为移动性管理协议时，使用SIP Re-INVITE将作为联系地址的新地址报告给通信节点。一旦所述通信节点的SIP用户代理获得了新地址，它就发送OK到实际上属于所述目标网络的所述新联系地址。因为所述OK信号指向所述新联系地址，所以所述目标网络中的接入路由器将获取OK信号，并且将其隧传至原网络中的移动台。最后，接收到从所述移动台到所述通信节点的ACK消息。当没有入口过滤器时，从所述移动台到所述通信节点的数据可以不需要经过隧传。在完成SIP Re-INVITE的信令握手之后，通过所述提前切换隧道，将来自所述通信节点的数据发送到移动台。
为了使业务在所述移动节点附着于所述目标网络之后直达所述移动节点，需要删除或者终止所述提前切换隧道。可以利用用于建立所述隧道的隧道管理协议来完成。或者，当使用PANA作为认证协议时，所述移动台一进入目标网络，就可以通过PANA更新机制来触发在接入路由器删除或禁用所述隧道。链路层触发机制确保了所述移动节点真正耦合到目标网络，并且也能够用于触发删除或者禁用所述隧道的机制。
5.5绑定更新对于不同移动性管理方案的绑定更新机制有若干种。在例如不使用RO的移动IPv4的某些情况下，仅仅将绑定更新发送给本地代理，在移动IPv6的情况下，则将绑定更新发送给本地代理和相应主机。在基于SIP的终端移动性的情况下，所述移动台使用ReINVITE将绑定更新发送给注册服务器和相应主机。基于所述移动台和通信节点之间的距离，绑定更新会造成切换时延。SIP快速切换[SIPFAST]提供了几种降低由绑定更新造成的切换时延的方法。若是使用基于SIP移动性管理的安全提前切换，我们能够完全排除由绑定更新引起的时延，这是因为它发生于原网络中。这样，当通信节点距离正在通信的移动节点很远时，所述方案显得更具有吸引力。
5.6防止丢包在示例性的MPA例子中，我们未发现由IP地址获取、安全的认证和绑定更新引起的任何丢包。然而，在链路层切换当中存在一些瞬时分组，并且直到移动节点附着于目标网络之后，业务被直接发到所述移动节点。所述瞬时分组有可能丢失。在所述接入路由器双播或者缓存所述瞬时分组，可以减小或者消除丢包。然而，如果不是无缝地进行链路层切换，则双播无法消除丢包。另一方面，缓存无法减少分组时延。尽管可以通过在接收端的用于流式应用的播放缓冲区来补偿分组时延，但对于不能容忍较大时延抖动的交互式VoIP应用，播放缓冲区的帮助不大。因此，无论如何，优化链路层的切换任很重要。
5.7链路层的安全性和移动性在预认证阶段，使用在所述移动节点和候选目标网络中的认证代理之间建立的MPA-SA，依照以下方法，有可能在所述移动节点尚处于当前网络中时，自举所述候选目标网络中的链路层安全性。尽管已经详细描述了链路层安全性，但类似地，某些实施例可以提供当所述移动节点尚处于当前网络中时，所述候选网络中的IP层和/或更高层的安全性自举。
(1)所述候选目标网络中的所述认证代理和所述移动节点使用作为成功预认证的结果而建立的MPA-SA，导出PMK(成对主密钥)[I-D.ietf-eap-keying]。在进行预认证以建立MAP-SA的过程中，可以包括执行EAP和AAA协议。从PMK，可以为所述候选目标网络的每个附着点直接或者间接导出对于所述移动节点的各个TSK(瞬时会话密钥)[I-D.ietf-eap-keying]。
(2)所述认证代理可以安装从PMK导出的并且用于与附着点的安全性关联的密钥。所导出的密钥可以是TSK或者导出TSK的中间密钥。
(3)在所述移动节点选择了所述候选目标网络作为目标网络，并且转移至所述目标网络(如今已变成所述移动节点的新网络)中的附着点之后，所述移动节点使用PMK执行例如IEEE 802.11i四次握手[802.11i]的安全性关联协议，以建立用于保护在所述移动节点和所述附着点之间的链路层分组的PTK(成对瞬时密钥)和GTK(组瞬时密钥)[I-D.ietf-eap-keying]。在此无需额外执行EAP认证。
(4)当所述移动节点在所述新网络中漫游时，所述移动节点只需要执行关于其附着点的安全性关联协议，而无需额外执行EAP认证。通过这种方式，能够实现MPA和例如802.11r的链路层切换优化机制的结合。
所述移动节点可能需要知道所述候选目标网络中的附着点的链路层标识符，以导出TSK。如果使用PANA作为预认证的认证协议，这有可能通过在从PAA发送的PANA-Bind-Request消息中传送Device-ID AVP，每个AVP包括不同接入点的BSSID[I-D.ietf-pana-pana]，来实现。
5.8初始网络附着中的认证当移动节点最初附着于网络中时，尽管使用了MPA，仍进行网络接入认证。当使用MPA进行切换优化时，用于网络接入认证的协议可以是例如IEEE 802.1x的链路层网络接入认证协议，或者是例如PANA的更高层的网络接入认证协议。
6.初步实现和结果我们将描述对基于MPA和基于非MPA的方法进行评估的特定方案。本节详细描述了一个对于MPA和非MPA的特定实施例。除了实现细节外，本节还提供对于使用MPA的优化切换的评估结果，并且将其与基于非MPA的切换进行比较。
6.1网络结构图4示出了试验网络结构。
在所述实现环境中，定义了三个网络。网络1是原附着点(oPoA)，网络2是新附着点(nPoA)，网络3是通信节点(CN)所在之处。所述移动台最初位于网络1中，并且开始与所述通信节点进行通信。网络1、网络2和网络3不必相邻。不过，在所述示例性实施例方案中，网络1、网络2和网络3相距一跳。如果所述移动台发生移动，特定移动性管理协议(MMP)将负责由对等应用建立的流式业务的连续性。
网络1包括DHCP服务器1、接入点(AP)1和接入路由器1。网络2包括DHCP服务器2、AP 2和接入路由器2。AP 1和AP 2是802.11无线LAN的接入点。路由器2还作为网络2的PANA认证代理(PAA)[I-D.ietf-pana-pana]和DHCP中继代理[RFC3046]，但是可以将它们分开。DHCP中继代理还担当配置代理(CA)，协助提前从相邻目标网络中获取所述移动台的IP地址。网络3包括与网络1中的所述移动节点进行通信的通信节点(CN)。所述通信节点和移动节点都装有支持移动性SIP客户端。移动SIP客户端也装有PANA客户端(PaC)。在所述特定情况下，SIP代理不参与在所述通信节点和移动节点之间建立初始通信。移动节点(MN)使用802.11无线LAN作为接入方式，并且在它移入网络2之前通过AP 1进行通信，之后则通过AP 2进行通信。在所述特定情况下，移动性管理协议(MMP)是SIP移动性(SIP-M)，配置协议是DHCP，认证代理(AA)是PAA，配置代理(CA)是DHCP中继代理，并且接入路由器(AR)是提供IP-in-IP隧道[RFC1853]管理功能的路由器2。所述MN也装有IP-in-IP隧道管理功能。所以，所述移动台能够建立隧道接口，并且能够拆封在路由器2和所述移动台之间的隧道中传送的分组。在所述特定情况下，我们使用的是IPv4，但也可以使用IPv6的移动性管理，例如MIPv6或者基于IPv6的SIP移动性。
6.2MPA方案图5及以下描述了在我们的实现环境中的MPA的通信流程。
步骤0由于MN自举，它与AP 1相关联，并且从网络1中的DHCP服务器1获取IP地址，即原转交地址(oCoA)。所述MN的SIP用户代理与CN的SIP用户代理进行通信。成功建立了所述移动台和通信节点之间的连接之后，在所述MN和CN之间传送语音业务。所述语音业务通过RTP/UDP传送。我们使用了RAT(健壮音频工具，Robust Audio Tool)作为介质代理。
在步骤1(预认证阶段)中，存在一些对于步骤1的触发机制，例如AP 1的链路级别由于MN的移动而下降。MN准备启动切换过程，并且从信息服务器获取关于所需的目标网络单元的信息。然后，所述MN利用PAA执行预认证，并且如果预认证成功，则从MPA-SA导出MN-CA密钥和MN-AR密钥。
在步骤2(预配置阶段)中，所述MN通过与DHCP代理进行通信以获取IP地址等等，来执行预配置。在本示例中，DHCP代理和认证代理(AA)共处于一处。所述IP地址是所述移动台在移入新网络之后应该获得的新转交地址(nCoA)。DHCP代理从DHCP服务器2获取所述IP地址。作为所述移动台预认证过程的一部分，所述新IP地址被中继回所述移动台。MN获得所述新IP地址(nCoA)之后，将在路由器2与所述移动台之间建立IP-in-IP隧道。
此时，所述MN和路由器2的行为基本遵从[RFC1853]，并且使用所述MN-CA密钥加密保护信号。
在步骤3(安全提前切换主体阶段)中，一旦所述移动台在其虚拟接口上配置了所述新IP地址，并且在移动台和R2之间建立起隧道，所述MN就使用nCoA作为其联系地址，发送SIP Re-invite给CN。所有SIPRe-invite信令都将承载于所述隧道上，新的RTP流也如此。这样，即使所述CN向nCoA发送业务，所述移动台仍在原网络中接收业务。
步骤4(安全提前切换预转移阶段)由于所述移动台检测到新附着点，并且决定转移到所述新网络中，因此它与AP 2相关联。此时，所述移动台通过将所述nCoA指配给其物理接口来配置自己，并且更新在网络1中的预配置阶段中存储在本地缓存中的默认路由器。所述MN向接入路由器R2发送PANA-Update-Request消息。所述更新消息删除路由器R2上的隧道，并且删除位于所述移动台本地的隧道。在安全提前切换过程中，还在路由器R2中更新移动台ARP的nCoA入口，这样能够减少由经常发生在新节点进入网络时的ARP过程所带来的时延。
6.3非MPA方案为了比较，也对非MPA方案做了试验，并在此进行描述。非MPA方案不提供类似的任何提前切换机制，但是遵循标准的切换过程。
以下是在可能的类似环境中的非MPA方案的步骤。在这种情况下，不涉及提前切换。当所述移动台在网络1中时的初始通信建立部分所涉及的步骤与MPA方案的步骤相同。基于某些策略判决，例如信噪比，所述移动台决定切换到新网络。
在第一步中，所述MN与AP 2相关联，并且从DHCP服务器2获取新的IP地址，然后将所述IP地址指配给网络接口。
在第二步中，所述MN通过PAA进行认证。在所述移动台成功通过PAA的认证之前，没有数据能够流过路由器R2。这增加了后认证的时延。
在第三步中，所述MN以从新网络中的DHCP服务器获得的新IP地址来发送SIP Re-invite，然后语音业务将被送达所述新IP地址。如果所述移动台的目标网络和通信节点相距很远，则所述绑定更新可能会占用许多时间。
6.4评估和结果在MPA方案的情况下，当所述移动台进入新网络时，在预认证过程中以及链路层切换发生之前的安全提前切换过程中，没有丢包。可以观察到，在切换期间由于链路层切换时延和隧道删除机制造成了时延以及相关联的丢包。所述切换时延限制在280ms，其中包括链路层时延。这等于总共有14个分组由于上述过程而丢失。使用例如[MACD]的方案优化链路层时延，可以将总丢包数降至大约4个。值得注意的是，在[MACD]中描述的方案已经仅使用HOSTAP驱动进行了试验。
在非MPA方案的情况下，由于移动过程中L2的切换、IP地址分配、后认证过程、以及移动性绑定更新，产生了切换时延并导致了丢包。特别地，DHCP花费很长时间来完成网络中IP地址的重复检测，并且如果通信节点距离所述移动节点太远，绑定更新将持续很长时间。在我们的试验台中，由于所有上述因素，基于非MPA的切换需要4秒的时延。基于使用RAT每20ms发送一次的流式业务，会大约丢失200个分组。
6.5进一步注解在本示例的网络中，省略了一部分功能，例如预认证过程，但是它可以在所述网络中实现，并且不是切换的关键环节。
在本示例的网络中，总是可以使用其他协议代替候选协议，例如，可以用移动IPv4或者移动IPv6代替移动性管理协议。在这种情况下，本地代理可以位于网络3中，类似地，可以用IKEv2和IPsec隧道模式代替所述隧道管理协议。基于所使用的候选协议的类型，性能评估也各不相同。我们发现，L2的时延会基于所使用的驱动和操作系统的不同而有所变化。
本发明的宽泛范围尽管在此描述了本发明的示例性实施例，但是本发明并不局限于在此描述的各种优选实施例，而是包括任何以及所有这样的实施例，其包括本领域技术人员根据本发明应该能够理解的相同意义的单元、修改、省略、组合(即，跨各种实施例的多方面)、改装和/或变更。应该基于权利要求中的用语，宽泛地解释所述权利要求中的限制(例如，之后将要添加的包括)，而不局限于本说明书中或者在本申请审查期间所描述的示例，这些示例应被认为是非独占性的。例如，在本发明中，术语“优选地”是非独占性的，意思是“优选地，但并不局限于”。在本发明中和本申请审查期间，方法加功能或者步骤加功能的限制仅仅在特定权利要求限制中使用，在所述限制中给出了所有下列条件a)明确表述“……的方法”或者“……的步骤”；b)明确表述相应的功能；并且c)不表述结构、材料或者支持所述结构的行为。在本发明中和本申请审查期间，可以使用术语“本发明”或者“发明”指示本发明中的一个或者多个方面。本发明或者发明这个术语不应该被不恰当地理解为临界状态的标识，不应该被不恰当地理解为适用于所有方面或者实施例(即，应该理解为本发明拥有许多方面和许多实施例)，并且不应该被不恰当地理解为限制了所述应用或者权利要求的范围。在本发明中和本申请审查期间，可以使用术语“实施例”描述任何方面、特性、过程或者步骤，它们的任何组合，以及/或者它们的任何部分，等等。在某些示例中，各种实施例可以包括重叠的特性。在本发明中，使用了以下缩略术语“e.g.”指的是“例如”；“NB”指的是“附言”。
权利要求
1.一种通过使用移动性优化方案来执行与介质无关的预认证的方法，其中所述优化方案被配置为能工作于任何链路层上，并且能与任何移动性管理协议一起工作，所述方法包括a)设置耦合到第一种介质的网络的移动节点；b)经由第一种介质的网络，在更高层执行预认证，并且提前建立所述移动节点可以移入的不同介质的候选目标网络的较高层和较低层之间的上下文。
2.根据权利要求1的方法，其中，所述第一种介质是蜂窝网，并且所述不同介质是无线LAN，或者，所述第一种介质是无线LAN，并且所述不同介质是蜂窝网。
3.根据权利要求1的方法，进一步包括使所述移动节点从所述候选目标网络中安全地获取IP地址和其他配置参数，并且在其附着到所述候选目标网络之前，也使用所获取的IP地址和所获取的配置参数来发送和接收IP分组。
4.根据权利要求1的方法，进一步包括使耦合到所述第一种介质的网络但尚未附着到所述候选目标网络的移动节点(i)建立与所述候选目标网络的安全性关联，以确保随后的协议执行，接着(ii)安全地执行配置协议，以从所述候选目标网络获取IP地址和其他配置参数，并且安全地执行隧道管理协议，以在所述移动节点和所述候选目标网络的接入路由器之间建立双向隧道，然后(iii)利用所获取的IP地址作为隧道内部地址，通过所述隧道发送和接收IP分组，所述IP分组包括用于移动性管理协议的绑定更新的信令消息，和绑定更新完成之后所传的数据分组。
5.根据权利要求1的方法，进一步包括在所述候选目标网络中设置下列功能单元认证代理、配置代理和接入设备，其中的每一个或者位于单个网络设备中，或者位于不同的网络设备中。
6.一种用于执行与介质无关的预认证的方法，包括a)执行预认证阶段，其中，移动节点通过发现过程找到候选目标网络，并且获取IP地址和所述候选目标网络中的认证代理、配置代理以及接入设备，并且所述移动节点通过所述认证代理执行预认证；b)执行预配置阶段，以从所述候选目标网络获取IP地址或者新转交地址，以及其他配置参数，并且通过所述接入设备使用隧道管理协议建立提前切换隧道；c)进一步包括在切换到所述候选目标网络之前，为所述移动节点执行地址解析程序。
7.根据权利要求6的方法，其中，所述地址解析程序由所述候选目标网络中的设备执行。
8.根据权利要求7的方法，其中，所述地址解析程序由所述候选目标网络中的接入路由器执行。
9.根据权利要求6的方法，其中，所述地址解析程序包括执行重复地址检测。
10.根据权利要求9的方法，其中，在给所述移动节点分配IP地址之前，基于地址解析协议或者IPv6邻居发现来执行所述重复地址检测。
11.根据权利要求6的方法，其中，所述地址解析程序包括执行提前地址解析。
12.根据权利要求11的方法，其中，所述提前地址解析包括在所述预配置过程中，提前建立所述移动节点在所述候选目标网络中与接入设备、认证代理和配置代理进行通信所需的地址解析映射。
13.根据权利要求12的方法，其中，一旦所述移动节点附着到所述候选目标网络，在所述候选目标网络中与所述移动节点通信的节点就将更新对于所述移动节点的地址映射。
14.根据权利要求13的方法，进一步包括执行所述移动节点的附着检测和地址解析映射更新这两者的综合过程。
15.一种用于执行与介质无关的预认证的方法，包括a)执行预认证阶段，其中，移动节点通过发现过程找到候选目标网络，并且获取IP地址和所述候选目标网络中的认证代理、配置代理以及接入设备，并且所述移动节点通过所述认证代理执行预认证；b)执行预配置阶段，以从所述候选目标网络获取IP地址或者新转交地址，以及其他配置参数，并且通过所述接入设备利用隧道管理协议建立提前切换隧道；以及c)多播、双播或者缓存瞬时分组，以减小或者消除丢包。
16.根据权利要求15的方法，进一步包括在接入路由器缓存发往所述移动节点的分组。
17.根据权利要求15的方法，进一步包括在接入路由器将分组发往多重接入网络。
18.一种用于执行与介质无关的预认证的方法，包括a)执行预认证阶段，其中，移动节点通过发现过程找到候选目标网络，并且获取IP地址和所述候选目标网络中的认证代理、配置代理以及接入设备，并且所述移动节点通过所述认证代理执行预认证；b)执行预配置阶段，以从所述候选目标网络中获取IP地址或者新转交地址，以及其他配置参数，并且通过所述接入设备利用隧道管理协议建立提前切换隧道；c)在预认证或者预配置阶段，使用建立于所述移动节点和所述候选目标网络中的认证代理之间的MPA-SA，在所述移动节点尚处于当前网络中时，自举所述候选目标网络中的链路层、IP层或者更高层的安全性。
19.根据权利要求16的方法，其中，所述候选目标网络中的所述认证代理和所述移动节点利用所述MPA-SA导出密钥。
20.一种用于在采用与介质无关的预认证的系统中执行初始网络附着的方法，包括a)提供一种系统，其被配置为执行预认证阶段，在所述预认证阶段中，移动节点通过发现过程找到候选目标网络，并且获取IP地址和所述候选目标网络中认证代理、配置代理以及接入设备，并且所述移动节点通过所述认证代理执行预认证；而且所述系统被配置为执行预配置阶段，以从所述候选目标网络获取IP地址或者新转交地址，以及其他配置参数，并且通过所述接入设备利用隧道管理协议建立提前切换隧道；b)包括当所述移动节点最初附着到网络时，使用链路层网络接入认证协议或者更高层网络接入认证协议，执行在初始网络附着中的认证。
21.根据权利要求20的方法，包括使用IEEE 802.x链路层网络接入认证协议。
22.根据权利要求20的方法，包括使用PANA网络层网络接入认证协议。
23.一种用于执行与介质无关的预认证的方法，包括a)执行预认证阶段，其中，移动节点通过发现过程找到候选目标网络，并且获取IP地址和所述候选目标网络中的认证代理、配置代理以及接入设备，并且所述移动节点通过所述认证代理执行预认证；b)执行预配置阶段，以从所述候选目标网络获取IP地址或者新转交地址，以及其他配置参数，并且通过所述接入设备利用隧道管理协议建立提前切换隧道；以及c)使用DHCP执行IP地址提前获取，其中，所述移动节点与所述DHCP服务器或者与所述候选目标网络中的DHCP中继代理直接进行通信。
24.根据权利要求23的方法，进一步包括在所述候选目标网络中设置DHCP中继代理，在所述移动节点和DHCP服务器之间中继DHCP消息。
25.根据权利要求23的方法，进一步包括设置过滤器，以阻止来自未进行预认证的移动节点的DHCP消息。
全文摘要
本发明专门描述了与介质无关的预认证(MPA)的架构，以及一种新的切换优化机制，其有可能解决现有移动性管理协议和移动性优化机制中的问题。MPA是一种移动台辅助的安全切换优化方案，能工作于任何链路层上，并且能与任何移动性管理协议一起工作。此外，本发明还示出了在我们试验台中的MPA的初步实现以及一些性能结果，以说明如何利用现有协议来实现MPA功能。
文档编号H04W36/14GK1943211SQ20068000008
公开日2007年4月4日 申请日期2006年2月6日 优先权日2005年2月4日
发明者A·杜塔, 大场义洋, 谷内谦一 申请人:株式会社东芝, 特勒克利亚科技公司