独立于介质的预验证改进的框架的制作方法

专利名称：独立于介质的预验证改进的框架的制作方法
技术领域：
本申请尤其涉及预验汪的方法，例如，用于独立于介质的预验证的方 法等。
背景技术：
存在很多类型的计算机网络，其中因特网是最出名的。因特网是4Mt
界范围的计算机网络。今天，因特网是公共的和自持的网络，被数以百万
计的用户使用着。因特网使用了称为TCP/IP (即，传输控制协议/因特网 协议)的一组通信协议来连接主机。因特网具有称为因特网骨干的通信基 础设施。主要由因特网服务提供商(ISP)来控制对因特网骨干的访问，所 述ISP将访问权转售给公司或个人。
IP (因特网协议)是这样的协议，通过该协议，可以在网络上从一个 设备(例如，电话、PDA[个人数字助理1、计算机等)向另一个设备发送 数据。现在有多个版本的IP,包括，例如，IPv4、 IPv6等。网络上的每个 主机设备具有至少一个IP地址，作为其自身唯一的标识符。IP是一种无 连接协议。在通信期间在端点之间的连接是不连续的。当用户发送或接收 数据或消息时，所述数据或消息被划分为称为数据包的组分。每个数据包 被当作独立的数据单元。
为了将因特网或类似网络上的点之间的传输标准化，建立了 OSI (开 放系统互连)模型。OSI模型将网络上两点之间的通信处理分为七层，每 层添加了其自身的功能集。每个设备处理消息，从而存在通过在发送端点 的各层的下行流，以及通过在接收端点的所述层的上行流。提供所述七层 功能的程序和/或硬件通常是设备操作系统、应用软件、TCP/IP和/或其它传输和网络协议以及其它软件和硬件的组合。
通常，当消息从用户传送出或者向用户传送时，使用上面四层，而当 消息通过设备(例如，IP主机设备)时，使用底下三层。IP主机是网络上 能够发送和接收IP数据包的任何设备，诸如，服务器、路由器或者工作站。
目的地为一些其它主机的消息不向上通过上层，而是#:转发到其它主机。 以下列出osi模型的各层。第7层(即，应用层)，在其中，例如，识别 通信伙伴、识别服务质量、考虑用户验证和隐私、识别数据语法上的限制
条件，等。第6层(即，表示层)，在其中，例如，将输入和输出数据从 一种表示格式的转换为另一种等。第5层(即，会话层)，在其中，例如， 建立、调整以及终止会话，在应用之间进行交换和对话，等。第4层(即， 传输层)，在其中，例如，管理端到端的控制和错误检查，等。第3层(即， 网络层)，在其中，例如，处理路由和转发，等。第2层(即，数据链路 层)，在其中，例如，为物理层次提供同步，进行比特緩沖以及提供传输 控制知识和管理，等。电气和电子工程师协会(IEEE)将所述数据链路层 再次划分为两个更进一步的子层，MAC (介质访问控制)层，其用于控制 与物理层的数据传输，以及LLC (逻辑链路控制)层，其通过接口与网络 层相连接，并解释命令以及进行错误恢复。第l层(即，物理层)，在其 中，例如，在物理层次通过网络传送比特流。IEEE将物理层再次划分为 PLCP (物理层会聚协议)子层和PMD (物理介质相关)子层。 无线网络
无线网络可以结合各种类型的移动设备，诸如，蜂窝和无线电话、PC (个人计算机)、膝上型计算机、可佩戴式计算机、无绳电话、传呼机、 头戴式耳机、打印机、PDA等。例如，移动设备可以包括用以确保语音和 /或数据的快速无线传输的数字系统。典型的移动i殳备可以包括如下组件中 的一些或者全部收发器(即，发送器和接收器，包括，例如，具有集成 的发送器、接收器以及，如果需要的话，其它功能的单芯片收发器)；天 线；处理器； 一个或多个音频转换器(例如，作为音频通信设备的扬声器 或麦克风)；电磁数据存储器(例如，在提供了数据处理的设备中的ROM、RAM,数字数据存储器，等)；内存；闪存；全芯片集或集成电路；接口 (例如，USB、 CODEC、 UART、 PCM，等)；以^或者其它类似装置。
可以将无线LAN (WLAN)用于无线通信，在其中，无线用户可以通 过无线连接连接到局域网(LAN)。无线通信可以包括，例如，经由诸如 光、红外、射频、微波的电磁波传播的通信。当前存在着各种WLAN标 准，例如，蓝牙、IEEE802.il以及家用射频(homeRF)。
作为举例，使用蓝牙产品来提供在移动计算机、移动电话、便携式手 持设备、个人数字助理(PDA)以及其它移动设备之间的链路以及对因特 网的连接性。蓝牙是一种计算和电信业规范，其详细规定了移动设备如何 '能够利用短程无线连接容易地进行互连以及与非移动设备相连接。蓝牙生 成数字无线协议，以解决由于各种移动设备的^L而导致的终端用户问题， 如，需要保持数据同步以及设备互相兼容，从而使来自不同制造商的设备 能够无缝地一起工作。可以根据常用的命名概念来命名蓝牙设备。例如， 蓝牙设备可以拥有蓝牙设备名称(BDN)或者与唯一的蓝牙设备地址 (BDA)相关联的名称。蓝牙设备也可以参与因特网协议(IP)网络。如 果蓝牙设备在IP网络上工作，可以为其提供IP地址和IP (网络)名称。 因此，被配置为参与IP网络的蓝牙设备可以包含，例如，BDN、 BDA、 IP地址和IP名称。术语"IP名称"指对应于接口的IP地址的名称。
IEEE标准IEEE 802.11规范了用于无线LAN和设备的技术。利用 802.11，可以利用支持几个设备的单个基站来实现无线网络。在一些例子 中，可以为设备预先配备无线硬件，或者用户可以安装可能包括天线的诸 如卡的分立硬件。作为举例，在802.11中使用的设备通常包括三个值得注 意的元素，所述设备是否是接入点(AP )、移动站(STA )、网桥、PCMCIA 卡或者另一种设备无线电收发器；天线；以及用于控制网络上节点之间 的数据包流的MAC (介质访问控制)层。
另外，在一些无线网络中可以使用多接口设备(MID) 。 MID可以包 含两个独立的网洛接口，诸如蓝牙接口和802.11接口，从而使得MID可 以参与两个分离的网络，并与蓝牙设备进行接口连接。MID可以具有IP地址和与所述IP地址相关联的通用IP (网络)名称。
无线网络设备可以包括，但不限于，蓝牙设备，多接口设备(MID)， 802.11x设备(IEEE 802.11设备，这包括，例如，802.11a、 802.11b和802.11g 设备)，HomeRF (家用射频)设备，Wi-Fi (无线保真)设备，GPRS (通 用分组无线业务)设备，3G移动i殳备，2.5G移动设备，GSM(移动通信 全球系统)设备，EDGE (GSM演进增强数据)设备，TDMA类型(时 分复用)设备，或者CDMA类型(码分复用)设备，包括CDMA 2000。 各个网络设备可以包含变化类型的地址，这包括但不限于IP地址，蓝牙设 备地址，蓝牙通用名称，蓝牙IP地址，蓝牙IP通用名称，802.11 IP地址， 802.11 IP通用名称，或者IEEE MAC地址。
无线网络还涉及在移动IP (因特网协议)系统、PCS系统以及其它移 动网络系统中发现的方法和协议。关于移动IP,这涉及由因特网工程任务 组(IETF)创建的标准通信协议。利用移动IP，移动设备用户可以在网络 之间移动，同时保持其曾经被分配的IP地址。参考标准草案(RFC ) 3344。 注意RFC是因特网工程任务组(IETF)的正式文件。当在内部网络之 外进行连接时，移动IP增强了因特网协议(IP)，并增加了向移动设备转 发因特网流量的手段。移动IP为每个移动节点分配了在其内部网络上的内 部地址以及用于标识所述社备在网络和其子网中的当前位置的转交地址 (CoA)。当设备移动到不同网络时，其接收新的转交地址。内部网络上 的移动代理可以将各个内部地址与其转交地址相关联。利用例如因特网控 制报文协议(ICMP),移动节点可以在每次改变其转交地址时向家乡代 理发送绑定更新。
在基本IP路由(例如，外部移动IP)中，路由机制依赖于这样的假 设，即，每个网络节点总是具有对于例如，因特网的不变的附着点 (attachment point)，并且每个节点的IP地址标识其所附着的网络链路。 在此文件中，术语"节点，，包括连接点，其可以包括，例如，用于数据传 输的再分配点或端点，并且其能够识别、处理和/或向其它节点转发通信。 例如，因特网路由器能够察看，例如，IP地址前缀或者类似的用于标识设备的网络的标识。然后，在网络层次，路由器能够察看，例如，用于标识 特定子网的一组字节。然后，在子网层次，路由器能够察看，例如，用于
标识特定i殳备的一组字节。利用通常的移动IP通信，如果用户将移动i殳备 从，例如，因特网断开，并试图将其重新连接到新的子网，则所述设备必 须被重新配置新的IP地址、适当的网,码和缺省路由器。否则，路由协 议将不能适当地发送数据包。
图4描述了可以在包括无线接入点的 一些说明性和非限制性实施中采 用的一些说明性的构造组件，其中客户端设备与所述无线接入点进行通信。 关于此，图4示出了一个说明性的有线网络20，其,皮连接到通常标注为21 的无线局域网(WLAN) 。 WLAN21包括接入点(AP) 22和一些用户站 23、 24。例如，有线网络20可以包括因特网或者企业数据处理网络。例如， 接入点22可以是无线路由器，而用户站23、 24可以是，例如，便携式计 算机、个人台式计算机、PDA、便携式IP语音电话和/或其它设备。接入 点22具有网皿口 25，其被连接到有线网络21，以及与用户站23、 24 进行通信的无线收发器。例如，无线收发器26可以包括天线27，用于与 用户站23、 24进行无线电或微波频率的通信。接入点22还具有处理器28、 程序存储器29以及随机访问存储器31。用户站23具有无线收发器35,其 包括用于与接入点站22进行通信的天线36。在类似方式中，用户站24具 有无线收发器38和天线39，用于与接入点22进行通信。
在此处描述的一些优选实施例中，描述系统和方法，从而主动地建立 不同介质的高层和低层语境。在此，介质包括，例如，移动设备可访问的 网络(例如，有线的、经许可无线的、未经许可无线的，等。)。参见， 例如，IEEE 802 (包括IEEE 802.21)中讨论的^h质。介质可以包括，例 如，无线LAN(例如，IEEE 802.11 )， IEEE 802.16， IEEE 802.20,蓝牙， 等。 一些说明性例子包括1)从蜂窝网络到无线或WIFI网络的移动设备 交换，例如，具有蜂窝接口和无线接口的移动设备试图通过获取移动网络 上的初始信息(例如，密钥，等)来进行WIFI访问，而不是同时建立无 线接口； 2)当移动设备当前具有无线或WIFI连接时，当处于无线LAN可以潜在地快速关闭等情况时，作为举例，移动设备能够主动地经由蜂窝 网络进行预验证(即，如果需要，能够快速交换)。在一些说明性的情况
下，具有单个IEEE 802.xx接口的移动节点可以在多个子网和多个管理域 中漫游。虽然保持多个接口总是开启是一种选项，移动节点在一些情况下 可能希望使未使用的接口停用(例如，为了节省电力，等)。另外，MPA 尤其能够提供安全无缝的移动性优化，其用于子网间切换、域间切换、技 术间切换，等，以及多接口的使用。 PANA:
为l更于参考，将来自 P.Jayaraman, "PANA Framework," Internet-draft, draft曙ietf-pana-framework-01.txt， work in progress, July 2004的PANA相关的信息在此引用。关于此，PANA是链路层不可知网络 接入^协议，其运行于希望接入到网络的节点和网络側的服务器之间。 PANA定义了新的EAP[参见B.Aboba， et al， "Extensible Authentication Protocol( EAP ), " RFC 3748, June 2004Aboba， B.， Blunk, L.， Vollbrecht， J.， Carlson, J. and H. Levkowetz, Extensible Authentication Protocol
(EAP) ， June 2004.以及在协议端点之间使用IP的低层。
在Yegin.A和Y.Ohba的Protocol for Carrying Authentication for Network Access (PANA) Requirements, draft-ietf-pana-requirements-08
(work in progress ) ， June 2004中，描述了定义这种协议的动机和需求。 Forsberg, D.， Ohba， Y., Patil ， B.， Tschofenig, H.和A.Yegin的Protocol for Carrying Authentication for Network Access ( Forsberg， D.， Ohba， Y. ， Patil ， B. ， Tschofenig ， H.和 A.Yegin , Protocol for Carrying Authentication for Network Access( PANA )， draft-ietf-pana-pana-04( work in progress )，May 2004)中记录了协议的详细内容。Parthasarathy, M., PANA Enabling IPsec Based Access Control, draft-ietf-pana-ipsec-03
(work in progress) ， May 2004，描述了遵循基于PANA的^Si进行访 问控制的IPsec的使用。IPsec能够被用于每数据包的访问控制，但是其并 不是实现此功能性的唯一途径。其它方法包括依赖于物理保护和链路层加密。将PANA服务器与执行访问控制的实体分开被认为是一种可选的实施 方法。SNMP[参见Mghazli， Y., Ohba， Y. and J. Bournelle, SNMP Usage for PAA-2-EP Interface, draft-ietf-pana画snmp-OO (work in progress) , April 2004]已经被选为在分离的节点之间携带相关信息的协议。
PANA设计为各种类型的实施提供了支持。基于低层安全的可用性、 PANA实体的放置、客户IP配置的选择以及验证方法等，接入网络可以有 所不同。
与低层的安全性无关，PANA可以被用于任何接入网络。例如，可以 对所述网络进行物理保护，或者，在成功进行客户网络验证之后，通过密 码机制进行保护。
PANA客户端、PANA验证代理、IHE服务器以及执行点是此设计中 的功能实体。可以将PANA验证代理和执行点放置在所述接入网络中的各 种元件上(诸如，接入点、接入路由器、专用主机)。
IP地址配置机制也随之变化。也可以从静态配置、DHCP、无状态地 址自动配置中进行选择。如果客户端配置用于确保每数据包安全性的IPsec 通道，则配置该通道内部的IP地址也变得相关，因为，有诸如IKE的额 外选择。
PANA协议被设计为有助于在接入网络中的客户端的验证和授权。 PANA是一种EAP[Aboba， B.， Blunk, L.， Vollbrecht， J.， Carlson, J., and H. Levkowetz, Extensible Authentication Protocol( EAP), June 2004， 参见Aboba， B., Blunk， L.， Vollbrecht, J., Carlson, J.， and H. Levkowetz, Extensible Authentication Protocol (EAP ) , RFC 3748， June 2004，承载
EAP中。虽然PANA允许两个实体之间的验证处理，但其仅仅是整个AAA 和访问控制框架中的一部分。利用PANA的AAA和访问控制框架包括四 个功能实体，见以下讨论以及图1 (A)到1 (C)所示。
第一功能实体是PANA客户端(PaC),其是PANA协议的客户端实 现。此实体位于请求网络访问的端主机上。所述端主机包括，例如，膝上型电脑、PDA、移动电话、台式PC和/或经由有线或无线接口连接到网络 的类似设备。PaC负责请求网络访问以及利用PANA协议进行^L处理。
第二功能实体是PANA验证代理(PAA),其是PANA协议的服务 器实现。PAA负责与PaC进行接口连接，以针对网络访问服务对它们进 行验证和授权。PAA询问验证服务器，以认证PaC的资格和权利。如果 验证服务器位于与PAA相同的主机，应用程序接口 (API)足够进行此交 互。当它们被分离时(公共接入网络中的普遍情况)，协议被使用以在两 个LDAP之间运行[参见Hodges， J. and R. Morgan, Lightweight Directory Access Protocol (v3 ) : Technical Specification, September 2002, Hodges ， J. and R. Morgan, Lightweight Directory Access Protocol (v3 ) : Technical Specification, RFC 3377， September 2002，并且类似RADIUS [参见 Rigney, C. ， Willens, S. ， Rubens ， A., and W. Simpson ， Remote Authentication Dial In User Service ( RADIUS ) ， June 2000. Rigney, C.， Willens, S.， Rubens, A., and W. Simpson, Remote Authentication Dial In User Service ( RADIUS ) ， RFC 2865， June 2000]以及Diameter[参见 Calhoun, P.， Loughney, J.， Guttman， E.， Zorn， G. and J. Arkko， Diameter Base Protocol, September 2003， Calhoun, P.， Loughney， J., Guttman， E.， Zorn， G. and J. Arkko， Diameter Base Protocol, RFC 3588， September 2003]的AAA协i义,皮普遍用于此目的。
所述PAA还负责升级依赖于根据發汪状态的生成和删除的访问控制 状态(即，滤波器)。所述PAA向网络中的执行点发送已更新的状态。如 果PAA和EP位于相同的主机，API足够进行此通信。否则，协议祐 使用 以从PAA向EP运栽该授权的客户端属性。虽然不禁止其它协议，目前已 经建议SNMP[参见Mghazli， Y.， Ohba， Y. and J. Bournelle, SNMP Usage for PAA-2-EP Interface, draft誦ietf画pana画snmp-OO( work in progress )， April 2004用于此任务。
PAA位于局域网中通常称为网M入服务器(NAS)的节点上。PAA 可以位于与PaC相同的IP子网上的任何启用IP的节点上。例如，在DSL网络中的BAS (宽带接入服务器)上，或3GPP2网络中的PDSN上。
第三功能实体是验证服务器(AS)，其作为服务器实现，负责认证请 求网络访问服务的PaC的资格。所述AS为PaC接收来自从PAA的请求， 并利用认证结果以及验证参数(例如，许可的带宽、IP配置等)进行响应。 所述AS可以位于与PAA相同的主机上，位于所述接入网络的专用主机上， 或者位于因特网上其它地方的中心服务器上。
第四功能实体是执行点(EP)，其作为访问控制实现，负责允许已授 权的客户端进行访问，同时防止其它人的访问。EP从PAA学习已授^^ 户端的属性。EP利用非密码或密码滤波器选择性地允许或丟弃数据包。这 些滤波器被应用于链路层或IP层。当使用密码访问控制时，需要在PaC 和EP之间运行安全关联协议(secure association protocol)。在所述安全 关联协议建立所需要的安全关联以启用完整性保护、数据源验证、重放保 护(replay protection )以及可选的机密性保护之后，使用链路或网络层保 护(例如，TKIP、 IPsecESP) 。 EP可以战略性地位于局域网上，以最小 化未授斥X^户端对该网络的访问。例如，EP可以位于被直接连接到有线网 络中的客户端的交换机上。这样，EP可以在未授权数据包到达其它客户端 主机或超出局域网以外之前，丢弃该未授;^又的数据包。
取决于实施场景，可以将一些实体置于一处。例如，PAA和EP可以 在DSL网络中的相同节点(BAS)上。在这种情况下，在PAA和EP之 间具有筒单的API就足够了。在小企业应用中，PAA和AS可以位于相同 的节点(例如，接入路由器)上，其消除了在所述两者之间运行协i^的需 要。是否共同放置这些实体的决定，以及它们在网络拓朴结构中的准确位 置，都属于配置决定。
仅在运行PANA之前缺乏任何低层安全时需要使用用于安全关联的 IKE或4向握手协议。物理保护网络(physically secured network)(诸 如，DSL )或在PANA运行之前已经进行密码保护的网织例如，cdma2000 ) 不需要额外的安全关联和每数据包加密。这些网络可以将PANA验证和授 权绑定到已经可用的低层安全信道。接入网络上的EP允许来自任何授权PaC的通用数据流量，然而，对 于未授权的PaC,其仅允许有限类型的流量(如，PANA、 DHCP、路由 器发现)。这确保了新附加的客户端具有参与PANA的最小的访问服务， 并且可以得到未受限服务的授权。
PaC需要在运行PANA之前配置IP地址。在成功的PANA验证之后， 取决于应用场景，PaC需要重新配置其IP地址，或者配置另外的IP地址。 可以作为安全关联协议运行的 一部分来执行所述另外的地址配置。
初始未授权的PaC通过发现接入网络上的PAA来开始PANA验证， 之后是PANA上的EAP交换。PAA在此过程中与AS进行交互。在接收 到来自AS的验证和授权结果之后，PAA向PaC告知有关其网络访问请求 的结果。
如果PaC被授权可以访问所述网络，PAA还利用SNMP向EP发送 特定PaC属性(例如，IP地址、加密密钥，等)。EP利用此信息改变其 滤波器，以使得来自PaC和向PaC发出的数据流量可以通过。
在PANA验证之后需要启用密码访问控制的情况下，在PaC和EP之 间运行安全关联协i义。作为成功的PANA交换的结果，PaC应该已经具有 对此处理的输入参数。类似地，EP应该已经经由SNMP从PAA获得它们。 安全关联交换在PaC和EP之间产生所需要的安全关联，以启用密码数据 流量保护。每数据包密码数据流量保护引入额外的每数据包开销，但是该 开销仅存在于PaC和EP之间，不会影响EP之外的通信。鉴于此，将EP 尽可能地放在所述网络的边缘非常重要。
最后，数据流量可以开始流向新近授权的PaC以及从其流入。
对本发明的介绍
由于广泛使用包括蜂窝和无线LAN的无线4支术，支持终端在不同类 型的接入网络之间进行切换，诸如，从无线LAN到CDMA，或者到GPRS， 这被认为是一个明显的挑战。另一方面，支持终端在相同类型的接入网络 之间进行切换仍然更具有挑战性，尤其当所述切换跨越IP子网或管理域的 时候。为解决上述挑战，很重要的一点在于，以优化并且安全的方式提供对于链路层技术未知的终端移动性，并且无需引入不合理的复杂性。在此 文件中，我们讨论了终端移动性，其提供了低潜伏时间和低损耗的无缝切 换。无缝切换的特征在于下一部分描述的性能需求，以下说明性能需求。
终端移动性的基本部分伴随有移动性管理协议，所述移动性管理协议 维持移动终端的标识符与定位符之间的绑定，其中，所述绑定被称为移动 性绑定。当移动终端运动时，移动节点的定位符可动态地变化。导致所述 定位符变化的运动不仅可以是物理地，还可以是逻辑地。在本文件的余下 部分，术语"移动性管理协议，，指代在网络层或更高层工作的移动性管理协议。
在不同层具有几种移动性管理协议。移动IPRFC 3344]和移动 IPv6[RFC 3775是在网络层工作的移动性管理协议。在IETF中正在进行 几项工作，以在网络层的更高层定义移动性管理协议。例如，MOBIKE (IKEv2移动性和多穴(Multihoming ) ) [I画D.ietf國mobike-design]是到 IKEv2的扩展，其提供处理IKEv2端点的IP地址变化的能力。HIP (主 机辨识协议)[I-D.ietf-hip-base在网络层和传输层之间定义了新的协议层， 以对于网络层和传输层透明的方式提供终端移动性。并且，SIP-Mobility 是到SIP的扩展，以保持SIP用户代理[SIPMM的移动性绑定。
尽管移动性管理协议保持移动性绑定，只以它们的当前形式来4吏用它 们却不足以提供无缝切换。需要在所述移动终端的被访问网络中工作的额 外优化机制以防止在更新所述移动性绑定时发送的重要数据包丟失，从而 实现无缝切换。这样的机制被称为移动性优化机制。例如，通过允许邻近 接入路由器进行通信并承载有关移动终端的信息，分别为移动IPv4和移动 v6定义移动性优化才几制[I-D.ietf-mobileip-lowlatency-handoffs-v4和 [I-D.ietf-mipshop-fast醫mipv6]。
一些协议被当作移动性优化机制的"助手"。CARD(候选接入路由 器发现机制)协议[I-D.ietf-seamoby-card-protocol被设计为发现邻近的接 入路由器。CTP(上下文转移协议)[I-D.ietf-seamoby-ctp]被设计为在接入目前已有的移动性优化机制中存在几个问题。第一，已有的移动性优
化机制与特定的移动性管理协议紧密相关。例如，不能为MOBIKE使用 为移动IPv4或移动IPv6设计的移动性优化机制。所强烈希望的是单个统 一的移动性优化机制，其可以与任何移动性管理协议共同工作。第二，如 果不假设管理域之间的预建立的安全关联，则已有的移动性优化机制不能 容易地支持在管理域之间的切换。仅基于在移动节点和各个管理域之间的 信任关系，移动性优化机制应该以安全方式跨越管理域进行工作。第三， 移动性优化机制不仅需要支持有可能出现通过多个接口的多个同时连接的 多接口终端，还需要支持单接口终端。
本文件描述了独立于介质的预验证(MPA)的框架， 一种新的切换优 化机制，其具有解决所有上述问题的可能。MPA是移动辅助的安全切换优 化方案，其能够工作在任何链路层，并可以与任何移动性管理协议一起工 作，这些协议包括移动IPv4、移动IPv6、 MOBIKE、 HIP、 SIP移动性等。 在MPA中，IEEE 802.11i预验证的概念被扩展为在更高层工作，利用额 外的机制对来自移动终端可能移动到的网络的IP地址进行早期获取，并主 动地切换到该网络，同时，所述移动终端仍然连接到当前网络。本文件集 中关注所述MPA框架。在使用这样的框架时，基于本公开，本领域技术 人员可以实施为MPA选择的实际协议集以及详细操作。以下标识的文件 [I-D.ohba-mobopts-mpa画implementation提供了 一种方法,描述了在已有 的协议之间的使用和交互，从而实现MPA功能性。
性能需求
为了为交互式VoIP和流式流量(streaming traffic)提供所期望的月l 务质量，需要将端到端延迟、抖动和数据包丟失的值限制在某个阈值水平 之下。ITU-T和ITU-E标准为这些参数定义了可接受的值。例如，对于单 向延迟，ITU-T G.114建议将150毫秒作为多数应用的上限，而将400毫 秒作为通常不可接受的延迟。视频会汉的单向延迟容限在200到300毫秒 的范围。并且，如果在某个阚值之后接收到无序的数据包，则认为其已经 丟失。以下列出的参考文献[RFC 2679、[RFC 2680]以及[RFC 2681j描述了用于延迟和抖动的一些测量技术。
端到端延迟通常包括几个部分，诸如，网络延迟、操作系统(os)延
迟，CODEC延迟和应用延迟(application delay)。网络延迟包括传输延 迟、传播延迟以及在中间路由器中的排队延迟。操作系统相关延迟由发送 方和接收方的操作系统的调度行为构成。CODEC延迟通常是由于在发送 方和接收方端的分包和解数据包而导致的。
应用延迟主要归因于回放延迟(playout delay)，该延迟有助于补偿 网络中的延迟变化。可以在接收器端利用回放緩冲的适当值来调整端到端 延迟和抖动值。例如，在交互式VoIP流量的情况下，端到端延迟影响抖 动值，并且是一个需要考虑的重要问题。在移动装置(mobile)的频繁切 换期间，瞬时流量不能到达移动装置，这也导致了抖动。
如果终端系统有回放緩冲，则将此抖动归入回放緩冲延迟，否则，将 其加到交互式流量的延迟。数据包丟失通常是由拥塞、路由不稳定性、链 路故障，诸如无线链路的有损链路而导致。在移动装置的切换期间，由于 其所附着网络的改变，移动装置遭到数据包丟失。因此，对于流式流量以 及VoIP交互式流量而言，数据包丟失将影响实时应用的服务质量。
数据包丟失的数目正比于切换期间的延迟以及移动装置接收的流量 的速率。由于重传，在TCP流量的情况下，丟失的数据包导致拥塞，但是 在基于RTP/UDP的流式流量的情况下，不会增加任何拥塞。因此，在任 何移动性管理方案中，减少数据包丟失以及切换延迟的影响是一个要点。 在以下的部分2中，说明了已有的工作快速切换(workfast-handover)， 我们描述了 一些尝试减少切换的快速切换方案。
根据以下的参考资料[ETSIETSI TR 101，正常的语音会话能够容许 最多2%的数据包丟失。如果在会话期间移动装置进行频繁切换，则每次 切换都将影响切换期间的数据包丟失。因此，需要将会话期间的最大丟失 减小到可接受的水平。
对于流式应用中的数据包丢失，还没有明确的阈值，但是需要尽可能 地减少该数据包丟失，从而为具体的应用提供更好的服务质量。已有的工作快速切换
尽管基本的移动性管理协议，诸如，移动IP(参见以下参考资料[RFC 3344])，移动IPv6 (参见以下参考资料[RFC 3775)，以及SIP移动性 (参见以下参考资料[SIPMM])提供了解决方案，以为TCP和RTP流量 提供连续性，但没有对这些进行对于减少在子网和域之间的移动装置的频 繁运动时的切换潜伏时间的优化。 一般而言，这些移动性管理协议受到在 几个层中发生的切换延迟的影响，例如，所述层为第2层、第3层以及用 于更新移动装置的移动性绑定的应用层。
在目前的移动性管理方案中已经应用了几种优化技术，尝试减小移动 装置在小区、子网以及域之间运动时的切换延迟和数据包丢失。存在几种 微移动性管理方案(例如，参见以下的参考资料[CELLIP]和参考资料 [HAWAII])，以及域内移动性管理方案(例如，参见以下的参考资料[IDMP
和[I-D.ietf-mobileip-reg-tunnel)，其通过将信令更新限制在域内来提供快 速切换。用于IPv4和IPv6网络的快速移动IP协议(参见以下的参考资料 [I画D.ietf画mobileip-lowlatency-handoffs-v4] 和 [I-D.ietf-mipshop-fast-mipv6)提供了快速切换技术，其利用了可通过链 路层触发器得到的移动性信息。Yokota等(参见以下的参考资料 [YOKOTA败出了联合使用接入点和专用MAC网桥，从而不改变MIPv4 规范即可提供快速切换。MACD方案(参见以下的参考资料[MACD)通 过提供基于高速緩存的算法，减小了由于MAC层切换带来的延迟。
一些移动性管理方案使用了双接口 ，因此，提供了先接后断 (make-before-break)的情形(参见以下的参考资料[SUM])。在先接后 断情形中，通信通常利用一个接口继续，而第二个接口处于被连接状态。 IEEE 802.21工作组正在详细讨论这些情形。
相比具有多接口的客户端，利用单接口提供快速切换需要更仔细的设 计技术。以下的参考资料[SIPFAST为基于SIP的移动性管理提供了优化 的切换方案，其中通过利用应用层转发方案将瞬时流量从旧的子网转发到 新的子网。以下的参考资料[MITH]为单接口情况提供了快速切换方案，其使用了在旧的外地代理和新的外地代理之间的移动装置初始化隧道效应
(mobile initiated tunneling)。以下的参考资料[MITH定义了两种类型的 切换方案，诸如Pre-MIT和Post-MIT。
从某些方面来看，所提出的MPA方案通常与MITH的预测方案类似， 在MITH预测方案中，在实际移动到新网络之前，移动装置与外地代理进 行通信。然而，尤其地，本文件描述的所提出的MPA方案并不仅仅限于 MIP类型的移动性协议。另外，此方案还关注在域之间的移动，并且，除 了主动切换，还进行预验证。因此，尤其地，所提出的方案能够减少整体 延迟，使其接近于链路层切换延迟。
技术
在本文件中，采用了以下技术 移动性绑定
在移动终端的标识符和定位符之间的绑定。 移动性管理协议(MMP):
在网络层或更高层工作的协议，其维持在移动终端的标识符和定位符 之间的绑定。 绑定更新
更新移动性绑定的过程。 独立于介质的预發汪移动节点(MN):
独立于介质的预發江(MPA)的移动终端，所述MPA是移动辅助的 安全切换优化方案，其工作于任何链路层，并利用任何移动性管理协议。 MPA移动节点是IP节点。在本文件中，没有修饰语的术语"移动节点" 或"MN"指代"MPA移动节点"。MPA移动节点通常还具有移动性管 理协议的移动节点的功能性。
候选目标网络(candidate target network, CTN):
移动装置即将运动到其中的网络。
目标网络(TN):
移动装置决定运动到其中的网络。从一个或多个候选目标网络中选出所述目标网络。
主动切换隧道(Proactive Handover Tunnel， PHT): 双向IP隧道，其被建立在MPA移动节点和候选目标网络的接入路由 器之间。在本文件中，没有修饰语的术语"隧道"指代"主动切换隧道"。 附着点(PoA)
链路层设备(例如，交换机、接入点或基站，等。)其作为MPA移 动节点到网络的链路层附着点。 转交地址(CoA )
移动性管理协议所使用的IP地址，其作为MPA移动节点的定位符。 MPA框架
以下子部分讨论独立于介质的预發汪(MPA)框架的说明性和非限制 性方面。
1. 概述
独立于介质的预验证(MPA)是移动辅助的安全切换优化方案，其工 作于任何链路层，并可利用任何移动性管理协议。利用MPA,移动节点不 仅能够安全地获得候选目标网络(CTN)的IP地址和其它配置参数，并 且在其实际连接到所述CTN之前还能够利用所获得的IP地址发送和接收 IP数据包。这使得所述移动节点可以完成任何移动性管理协议的绑定更 新，并在进行在链路层的切换之前使用新的CoA。
通过允许移动节点进行(i)建立与CTN的安全关联，以保护后续协 议信令，然后(ii)安全地执行配置协议，以从CTN获取IP地址和其它 参数，并且执行隧道管理协议，以在所述移动节点和CTN的接入路由器 之间建立主动切换隧道(PHT),接着(iii)利用所获得的IP地址作为隧 道内部地址，在PHT上发送和接收IP数据包，该数据包包括用于移动性 管理协议(MMP )的绑定更新的信令消息以及在完成绑定更新之后发送的 数据包，并且最后(iv)当所述CTN成为目标网络时，在连接到该CTN 之前删除或禁止所述PHT，并且然后在通过接口将移动节点连接到该目标 网络之后立即将所删除或禁用的隧道的内部地址重新分配给其物理接口 ，从而提供所述功能性，其中，所述移动节点被连接到当前网络，但却没有
与CTN相连接。取代在连接到所述目标网络之前删除或禁用所述隧道， 可以在连接到所述目标网络之后立即删除或禁用所述隧道。
特别地，第三步使得移动装置可以在开始链路层切换之前完成较高层 切换。这意^^未着移动装置能够发送和接收在完成隧道上的绑定更新之后所 传送的数据包，同时其仍然能够发送和接收在完成隧道外的绑定更新之前 所传送的数据包。
在以上四个MPA基本处理中，第一步也被称为"预验证"，第二步 被称为"预配置"，第三和笫四步的被合称为"安全主动切换"。将通过 预验证所建立的安全关联称为"MPA-SA"。如上所指出，将通过预配置 建立的隧道称为"主动切换隧道"(PHT)。
2.功能元件
在所述MPA框架中，在优选实施例中，以下功能元件位于每个CTN 中，以与移动节点进行通信验证代理(AA),配置代理(CA)以及接 入路由器(AR)。这些元件中的一些或者全部能够^皮放置在单个网络设备 或分立的网络设备中。
验证代理负责预验证。在移动节点和验证代理之间执行验证协i义，以 建立MPA-SA。所述验证协议需要能够得出在移动节点和验证代理之间的 密钥，并且能够提供相互發汪。所述验证协议应该能够与诸如RADIUS和 Diameter的AAA协议进行交互，从而向AAA &出设施中的适当^iiE服务 器运送發汪证书。所得到的密钥用于进一步得到用于保护消息交换的密钥， 所述消息交换被用于预配置以及安全主动切换。其它用于自举链路层和/ 或网络层密码的密钥也可以从MPA-SA获得。能够携带EAP (参见，例 如，以下参考资料[RTC 3748)的协议适于用于MPA的發汪协议。
配置代理负责预!Hi的一部分，即，安全地执行配置协议，从而安全 地将IP地址和其它配置参数传递给所述移动节点。需要利用从对应于 MPA-SA的密钥所得到的密钥来保护所述配置协议的信令消息。
接入路由器是负责预配置的其它部分的路由器，即，安全地执4亍隧道管理协议，以建立通向所述移动节点的主动切换隧道，以及利用所述主动
切换隧道来保护主动切换。需要利用从对应于MPA-SA的密钥所得到的密 钥来保护所述配置协议的信令消息。应该利用从对应于MPA-SA的密钥所 得到的密钥来保护在主动切换隧道上传送的IP数据包。 3. 基本通信流
假设所述移动节点已经被连接到附着点，即oPoA(旧附着点)，并 分配了转交地址，即oCoA (旧转交地址)。以下描述MPA的通信流。贯 穿所述通信流，除了步骤5的交换过程期间，将不会出现数据包丟失，并 且最小化这个期间的数据包丟失是链路层切换的责任。
步骤l (预验证阶段)
移动节点通过一些发现处理来发现CTN，并通过一些方法得到CTN 中的所述IP地址、验证代理、配置代理以及接入路由器。所述移动节点利 用所述验证代理进行预發汪。如果所述预验证成功，则在移动节点和M 代理之间生成MPA-SA。从MPA-SA得到两个密钥，即，MN-CA密钥和 MN-AR密钥，其分别用于保护配置协议和隧道管理协议的后续信令消息。 然后，分别将所述MN-CA密钥和MN-AR密钥安全地传送到所述配置代 理和所述接入路由器。
步骤2 (预配置阶段)
所述移动节点认识到其附着点可能从oPoA变为新的一个，即，nPoA (新附着点)。其然后进行预配置，通过使用了配置协议的配置代理以获 得IP地址，即，nCoA(新转交地址)，以及从所述CTN得到其它配置 参数，并且通过使用了隧道管理协议的接入路由器来建立主动切换隧道。 在所述隧道管理协议中，所述移动节点分别将oCoA和nCoA注册作为隧 道外部地址和隧道内部地址。利用MN-CA密钥和MN-AR密钥保护所述 预配置协议的信令消息。当所述配置代理和所述接入路由器共同位于相同 的设备中时，可以将所述两个协议结合为类似IKEv2的单个协议。在完成 所述隧道建立之后，所述移动节点能够在步骤4结束之前利用oCoA和 nCoA进行通信。步骤3 (安全主动切换主阶段)
所述移动节点通过一些方法决定切换到所述新的附着点。在所述移动 节点切换到新的附着点之前，其通过执行移动性管理协议的绑定更新以及 在所述隧道上传输后续数据流量来开始安全主动切换(主阶段)。在一些 情况下，可以高速緩存多个nCoA地址，并利用对端主机(correspondent host, CH)或家乡代理(HA)进行同时绑定(在例如移动IPv6规范RFC 3775中，当移动节点漫游到外部网络时，将为其分配转交地址(CoA)， 并且所述移动节点将通过绑定更新处理向其家乡代理(HA)和对端节点 (CN)通知其新的CoA)。
步骤4 (安全主动切换预交换阶段)
所述移动节点完成绑定更新并准备好交换到新的附着点。所述移动节 点可以执行隧道管理协议，以删除或禁用所述主动切换隧道，并且在删除 或禁用所述隧道之后，高速緩存nCoA。有关所述移动节点何时准备好交 换到新的附着点的决定取决于切换策略。
步骤5 (交换)
期望链路层切换出现在这个步骤中。 步骤6 (安全主动切换后交换阶段)
所述移动节点执行该交换处理。在成功完成所述切换处理之后，所述 移动节点立即恢复被高速緩存的nCoA，并将其分配给连接到新的附着点 的物理接口。如果没有在步骤4中删除或禁用所述主动切换隧道，则也可 在此删除或禁用此隧道。此后，无需利用主动切换隧道，可以利用nCoA 直接传输数据包。
接入路由器是负责预配置的其它部分的路由器，即，安全地执4亍隧道 管理协议，以建立通向所述移动节点的主动切换隧道，并利用该主动切换 隧道来确保主动切换。必须利用从对应于MPA-SA的密钥所得到的密钥来 保护所述配置协议的信令消息。应该利用从对应于MPA-SA的密钥所得到 的密钥来保护在主动切换隧道上传输的IP数据包。
参考资料尤其地，本发明为在以下参考资料中描述的系统和方法提供了各种提 高和改进，将所述参考资料的全部公开作为参考。
1. Bradner， S., "The Internet Standards Process-Revision 3，', BCP 9, RFC 2026， October 1996.在此称为[RFC2026]。
2. Bradner, S.， "IETF Rights in Contributions", BCP 78, RFC 3978, March 2005.在此称为RFC3978。
3. Perkins, C., "IP Mobility Support for IPv4"，RTC 3344， August 2002.在此称为RFC3344。
4. Aboba, B.， Blunk, L., Vollbrecht， J., Carlson, J.， and H. Levkowetz， "Extensible Authentication Protocol (EAP)", RFC 3748， June 2004.在此 称为[RFC3748。
5. Johnson, D, Perkins, C.， and J. Arkko, "Mobility Support in IPv6", RFC 3775, June 2004.在此称为[RFC3775。
6. Maiki, K.， "Low latency Handoffs in Mobile IPv4", draft曙ietf-mobileip-lowlatency-handoffs-v4-09 (work in progress), June 2004. 在此称为[I画D.ietf-mobileip画lowlatency画handoffs-v4]。
7. Koodii, R.， "Fast Handovers for Mobile IPv6", draft-ietf画mipshop-fast國mipv6-03 (work in progress), October 2004. 在此 称为[I-D.ietf-mipshop-fast誦mipv6]。
8. Liebsch, M.， "Candidate Access Router Discovery," draft-ietf-seamoby-card-protocol-08 (work in progress), September 2004. 在此称为 [I國D. ietf画seamoby画card-protocol。
9. Loughney， J., "Context Transfer Protocol," draft画ietf画seamoby-ctp-ll (work in progress), August 2004. 在此称为 [I-D. ietf-seamoby-ctp。
10. Aboba, B., "Extensible Authentication Protocol (EAP) Key Management Framework", draft-ietf-eap-keying-06 (work in progress), April 2005. 在此称为[I-D. ietf-eap-keying]。11. Forsberg, D., "Protocol for Carrying Authentication for Network Access (PANA)"， draft-ietf-pana-pana-08 (work in progress). May 2005. 在jt匕称为[I-D.ietf-pana-pana]。
12. ITU-T, "General Characteristics of International Telephone Connections and International Telephone Circuits: One-Way Transmission Time", ITU-T Recommendation G.114 1998. 在此称为 [RG98]。
13. ITU-T, "The E-Model, a computational model for use in transmission planning", ITU-T Recommendation G.107 1998. 在此称为 [IT謂。
14. ETSI, "Telecommunications and Internet Protocol Harmonization Over Networks (TIPHON) Release 3: End-to-end Quality of Service in TIPHON systems; Part 1: General Aspects of Quality of Service.", ETSI TR 101 329-6 V2.1丄在此称为[ETSI。
15. Kivinen， T. and H. Tschofenig, "Design ofthe MOBIKE protocol", draft画ietf國mobike國design國02 (work in progress), February 2005. 在此称为 [I-D.ietf-mobike國design]。
16. Moskowitz， R.， "Host Identity Protocol", draft-ietf-hip-base-03 (work in progress), June 2005.在此称为 [I-D.ietf國hip國base。
17. Almes， G.， Kalidindi, S., and M. Zekauskas, "A One-way Delay Metric for IPPM", RFC 2679， September 1999. 在此称为[RFC2679.
18. Almes, G., Kalidindi, S.， and M. Zekauskas, "A One-way Packet Loss Metric for IPPM", RFC 2680， September 1999. 在此称为 [RFC2680]。
19. Almes, G.， Kalidindi, S.， and M. Zekauskas, "A Round-trip Delay Metric for IPPM", RFC 2681, September 1999. 在此称为[RFC2681.
20. Simpson, W.， "IP in IP Tunneling", RFC 1853， October 1995. 在 此称为[RFC1853]。21. Patrick, M., "DHCP Relay Agent Information Option", RFC 3046, January 2001. 在此称为[RFC3046。
22. Kirn,, P.， Volz, B.， and S. Park, "Rapid Commit Option for DHCPv4"， draft-ietf-dhc-rapid-commit-opt-05 (work in progress), June 2004. 在此称为[I國D.ietf-dhc國rapid-commit-opt]。
23. Ohba， Y.， "Media-Independent Pre-Authentication (MPA) Implementation Results", draft-ohba-mobopts-mpa-implementation-00 (work in progress), June 2005. 在 此 称 为 [I-D.ohba-mobopts國mpa-implementation。
24. Schuizrine， H.， "Application Layer Mobility Using SIP", MC2R. 在此称为[SIPMM。
25. Cambell, A.， Gomez, J., Kim, S., Valko, A.， and C. Wan, "Design, Implementation, and Evaluation of Cellular IP", IEEE Personal communication August 2000.在此称为[CELLIP]。
26. Ramjee, R., Porta, T., Thuel， S., Varadhan, K., and S. Wang, "HAWAII; A Domain-based Approach for Supporting Mobility in Wide-area Wireless networks", International Conference on Network Protocols ICNP'99.在此称为[HAWAII]。
27. Das， S., Dutta, A.， Misra, A., and S. Das, "I匪P: An Intra-Domain Mobility Management Protocol for Next Generation Wireless Networks", IEEE Wireless Communication Magazine October 2000. 在此称为[IDMP。
28. Calhoun, P.， Montenegro, G.， Perkins, C., and E. Gustafsson, "Mobile IPv4 Regional Registration", draft-ietf-mobileip-reg-tunnel-09 (work in progress), July 2004. 在此称为 [I-D.ietf-mobileip-reg-tunnel。
29. Yokota， H., Idoue， A.， and T. Hasegawa, "Link Layer Assisted Mobile IP Fast Handoff Method over Wireless LAN Networks", Proceedings of ACM Mobicom 2002. 在此称为[YOKOTA]。30. Shin, S., "Reducing MAC Layer Handoff Latency in IEEE 802.11 Wireless LANs", MOBIWAC Workshop.在此称为[MACD。
31. Dutta， A.， Zhang, T.， Madhani, S., Taniuchi, K., Ohba, Y.， and H. Schulzrinne, "Secured Universal Mobility", WMASH 2004. 在此称为 [SUM。
32. Dutta, A., Madhani， S., and H. Schulzrinne, "Fast handoff Schemes for Application Layer Mobility Management", PIMRC 2004. 在 此称为[SIPFAST。
33. Gwon， Y., Fu, G., and R. Jain, "Fast Handoffs in Wireless LAN Networks using Mobile initiated Tunneling Handoff Protocol for IPv4 (MITHv4)"， Wireless Communications and Networking 2003, January 2005.在此称为[MITH]。
34. Anjum， F., Das, S.， Dutta， A., Fajardo, V.， Madhani, S.， Ohba， Y.， Taniuchi, K.， Yaqub, R., and T. Zhang, "A proposal for MIH function and Information Service", A contribution to IEEE 802.21 WG, January 2005. 在此称为[NETDISC。
35. "IEEE Wireless LAN Edition A compilation based on IEEE Std 802.11-1999 (R2003)", Institute of Electrical and Electronics Engineers September 2003.在此称为[802.11。
36. Dutta, A.， "GPS曙IP based fast-handoff for Mobiles", NYMAN 2003. 在此称为[GPSIP。
37. Vain, J. and G. Maguire, "The effect of using co-located care画of-address on macro handover latency", 14th Nordic Teletraffic Seminar 1998. 在此称为[MAGUIRE]。

发明内容
本发明在上述和/或其它背景技术和/或问题上进行了改进。 一种在独立于介质的预验证框架中控制与第一网络和第二网络之间的移动节点的交换复位(switchback)有关的切换判定的方法，其包括a) 为所述移动节点提供位置确定模块，其被配置为提供关于邻近网络中的接 入点的位置确定；b)至少部分基于所述位置确定模块的输出，利用基于位 置的算法来避免在所述第一和第二网络之间的振荡。
在一些例子中，所述方法进一步包括，其中，所述基于位置的算法至 少部分基于在移动节点的位置和与该移动节点的先前切换动作有关的^t高 速緩存的数据之间的相关。在一些例子中，所述方法进一步包括其中， 所述被高速緩存的数据被存储在所述移动节点上的数字数据存储装置中。 在一些例子中，所述方法进一步包括其中，所述基于位置的算法包括基 于有关过去实例的数据来提供到所述第 一 网络和所述第二网络中的另 一个 的交换，其中，将所述移动节点交换到所述第一网络和所述第二网络中的 另一个。在一些例子中，所述方法进一步包括所述基于位置的算法包括 基于有关过去实例的数据不提供到所述第一网络和所述第二网络中的另一 个的交换，其中，不将所述移动节点交换到所述第一网络和所述第二网络 中的另一个。在一些例子中，所述方法进一步包括所述位置确定才莫块包 括GPS接收器。在一些例子中，所述方法进一步包括利用基于位置的算 法来避免在所述第一网络和第二网络之间的振荡，其包括具有至少部分基 于至少一个非位置指示值的算法。在一些例子中，所述至少一个非位置指 示值包括信噪比的指示值。在一些例子中，所述方法包括所述第一网络 针对第一介质，而所述第二网络针对不同的介质，其中，所述第一介质是 蜂窝网络，而所述不同的介质是无线LAN，或者所述第一介质是无线LAN， 而所述不同的介质是蜂窝网络。
根据一些其它实施例， 一种在独立于介质的预验证框架中减轻在第一 网络和第二网络之间的移动节点的不希望的交换复位的影响的方法，其包
括a)维持与第一网络有关的上下文(context) —段时间，从而使得当 移动节点回到所述第一网络时能够快速恢复所述上下文；b)使得所述移动 节点在返回所述第一网络之后，使用所述上下文。在一些例子中，所述方 法进一步包括其中，将所述上下文存储在移动节点上的数字数据存储装置中，并且包括与安全关联、IP地址或者所建立的隧道相关的数据。在一 些例子中，所述第一网络针对第一介质，而所述第二网络针对不同的介质，
其中，所述第一介质是蜂窝网络，而所述不同的介质是无线LAN，或者所 述第一介质是无线LAN,而所述不同的介质是蜂窝网络。
根据一些其它实施例， 一种在独立于介质的预發汪框架中减轻在先前 的网络和新的网络之间的移动节点的不希望的交换复位的影响的方法，其 包括在一段时间中向所述先前的网络和所述新的网络发送数据包，从而 避免当所述移动节点从所述新的网络回到所述先前的网络时的数据包丢 失。在一些例子中，所述发送数据包的步骤包括多播(bicasting)所述数 据包。在一些例子中，所述先前的网络针对第一介质，而所述新的网络针 对不同的介质，其中，所述第一介质是蜂窝网络，而所述不同的介质是无 线LAN，或者所述第一介质是无线LAN，而所述不同的介质是蜂窝网络。
参考附图，根据以下描述将进一步解释各种实施例的上述和/或其它方 面、特征以力或者优点。各种实施例能够包括和/或排除不同的可应用的方 面、特征和/或优点。另外，各种实施例能够结合可应用的其它实施例的一 个或更多方面或特征。不应该^人为对特定实施例的方面、特征和/或优点的 描述是用来限制其它实施例或权利要求的。


图1是流程图，其描述了根据一些说明性实施例的基本通信流程，图 2继续此流程图2是流程图，其描述了图1所示流程图的后续基本通信流程；
图3是框图，其描述了根据一些说明性实施例的链路层安全性的自举；
以及
图4是架构图，其示出了根据本发明的一些说明性实施例的说明性接 入点和说明性客户端设备或用户站的示例性子组件。
具体实施方式
在附图中通过举例示出了本发明的优选实施例，这不作为限制。 虽然以很多不同形式实施了本发明，在此描述了一些说明性实施例， 需要理解的是，4^>开的目的在于为本发明的原理提供例子，而这些例子 并不是用来将本发明限制为在此描述的和/或在此说明的优选实施例。 详细讨论
为了为移动体验快速子网(mobile experiencing rapid subnet)以及域 切换提供优化的切换，我们解决几个问题。这些问题包括发现邻近的网络 元件，基于某些策略来选择正确的网络进行连接，改变第2层附着点，从 DHCP或PPP服务器获得IP地址，确认该IP地址的唯一性，利用诸如特 定域中的AAA服务器的發汪代理进行预验证，向对端主机发送绑定更新 以及获得对于新的附着点的重定向的流式流量、乒乓效应以及移动到不止 一个网络的可能性。以下讨论在基于MPA的安全主动切换的语境下解决 或优化这些方面的问题和方法。
l.发现
在移动装置在网络之间快速运动时，发现诸如接入点、接入路由器、 验证服务器的邻近网络元件有助于加快所述切换处理。通过利用所期望的 坐标集、能力(capability)和参数来发现所述网络邻居，当在所述先前的 网络中时，所述移动装置能够进行许多操作，诸如预验证、主动IP地址获 取、主动地址解析，以及绑定更新。
移动装置有几种方法来发现所述邻近网络。候选接入路由器发现协议 (参见以上参考资料[I-D.ietf-seamoby-card-protocol])帮助在相邻网络中 发现所述候选接入路由器。给定某个网络域，服务定位协议(SLP)和域 名服务(DNS )有助于为所述指定域中的给定服务集提供网络组件的地址。 在一些情况下，当移动装置接近所述邻近网络附近时，可以通过诸如信标 的链路层管理帧来发送网络层和更高层参数。IEEE 802.Uu正在考虑诸如 利用链路层所包含的信息来发现邻居的事项。然而，如果通过一些链路层 安全机制加密所述链路层管理帧，则所述移动节点则有可能不能在建立到 接入点的链路层连接之前获得所需要的信息。另外，这将给带宽受限的无线介质增加负担。在这种情况下，优先使用更高层协议来获得有关邻近元
件的信息。在上述参考资料[NETDISC1中有一些建议，其有助于从移动性 服务器获得这些有关邻近网络的信息。当移动装置的运动即将发生时，其 通过查询特定服务器开始所ii^现处理，并获取所需的参数，诸如接入点 的IP地址、其特征、路由器、邻近网络的SIP服务器或验证服务器。在多 个网络的情况下，其可以从不止一个邻近网络获得所述需要的参数，并将 这些保存在高速緩存中。在某一点，所述移动装置从许多可能的网络中找 到几个CTN，并通过与CTN中所需要的实体进行通信来开始所述预g 处理。在以下的第2部分将进一步阐明这种情形的详细情况。 2.多CTN环境中的预^i
在一些情况下，尽管移动装置决定将某个特定网络作为目标网络，但 由于一些超出所述移动装置控制的因素，其可能实际上最终移动到所述目 标网络之外的邻近网络。因此，利用一些可能的候选目标网络进行预g， 并且利用在那些网络中的各个目标路由器来建立有时限的隧道，可能是有 用处的。因此，在移动装置没有移动到之前确定的目标网络的情况下，因 为其最终移动到不同的目标网络，其不会受到由于后發iit和IP地址获取延 迟而导致数据包丟失的不利影响。可以看到，通过利用一些候选目标网络 进行预验证并保留所述IP地址，移动装置可以供应能够另外使用的资源。 但是，由于这仅发生在有限时间内，这不是个大问题。所述移动装置使用 预验证流程主动地获得IP地址，并利用目标接入路由器来建立有时限的隧 道。
在正常情形下，移动装置为虚拟接口分配新的IP地址。但是在从邻近 网络获得多个IP地址的情况下，它能够做两件事情。其能够利用来自移动 装置决定去的网络的IP地址来生成一个虛拟接口，或者，其能够利用从邻 近网络获得的各个IP地址来生成多个虛拟接口 。移动装置可以从这些地址 中选择出一个作为绑定更新地址，并将其发送给对端主机(CH)，并且因 此，当在先前的网络中时，将经由目标网络接收隧道流量(tunneled traffic)。但是，在一些实例中，移动装置最终运动到所述目标网络之外的网络。因此，当移动装置移动到新的网络时，由于移动装置需要经过分 配新的IP地址以及再次发送绑定更新的过程，流量上将出现中断。能够提 出两种解决方案来处理这个问题。移动装置能够利用同时的移动性绑定并 向对应的主机发送多个绑定更新。因此，所述对应主机在确定的时段内向 分配给虚拟接口的多个IP地址发送流量。在移动装置移动到所述新的网络
之后，此绑定更新在CH得到刷新，因而停止到其它候选网络的数据流。 在特定的移动性方案不支持同时绑定的情况下，从先前的目标网络转发流 量将有助于处理所述瞬时流量，直到从所述新的网络出现新的绑定更新。 3.主动IP地址获取
一般而言，移动性管理协议与外地代理(FA)—起工作，或者处于协 同定位地址模式(co-located address mode)。我们的MPA方法能够使用 协同定位地址模式和外地代理地址模式这两种模式。我们在这里讨论用于 协同定位地址模式的地址分配组件。存在几种由移动节点获得IP地址并配 置其自身的方法。最普通的，在所述网络中没有任何诸如服务器或路由器 的配置组件的情况下，移动装置能够静态地配置其自身。IETF Zeroconf 工作组定义了自动IP机制，在其中以专设的方式配置移动装置，并从诸如 169.254.x.x的特定范围选取唯一的地址。在LAN环境中，所述移动装置 能够从动态主才/L配置协i义(DHCP)服务器获得IP地址。在IPv6网络的 情况下，移动装置具有利用无状态自动配置或DHCPv6来获得IP地址的 选择。在广域网络环境中，移动装置通过与网络接入服务器(NAS)进行 通信来使用PPP获得所述IP地址。
这些处理的每一个花费几百毫秒到几秒量级的时间，这取决于IP地址
获取处理的类型以;5^:户端和服务器的操作系统。
由于ip地址获取时切换处理的一部分，其增加了切换延迟，并且因此，
期望尽量减少这个时间。可以使用几种优化技术，诸如，DHCP快速确认 (例如，参见以上参考资料[I-D.ietf-dhc-rapid-commit-opt])以瓦基于GPS 坐标的IP地址(例如，参见以上参考资料[GPSIP])，其试图减少由于IP 地址获取时间引起的切换时间。然而，在所有这些情况中，在移动装置移动到新的子网之后，其还获得所述IP地址，并且，由于在移动节点和DHCP 服务器之间的信令握手，还会发生一些延迟。
在以下段落中，我们将描述移动节点能够从CTN主动地获得IP地址 的一些方法以及相关联的隧道建立处理。可以将这些广义地定义为四个类 别，诸如，PANA辅助主动IP地址获取、IKE辅助主动IP地址获取、仅 利用DHCP的主动IP地址获取以及利用无状态自动配置的主动IP地址获 取。
3.1 PANA辅助主动IP地址获取
在PANA辅助主动IP地址获取的情况下，所述移动节点从CTN主动 地获得IP地址。所述移动节点使用PANA消息在DHCP中继代理上触发 地址获取处理，所述DHCP中继代理和PANA验证代理共同位于CTN中 的接入路由器中。在从所述移动节点接收到PANA消息之后，DHCP中继 代理进行正常的DHCP消息交换，以从CTN中的DHCP服务器获得IP 地址。此地址^皮承载在PANA消息中，并^皮传送到客户端。在具有无状态 自动配置的MIPv6的情况下，来自新的目标网络的路由器通告^t作为 PANA消息的一部分传递给所述客户端。移动装置使用此前缀和MAC地 址来构造唯一的IPv6地址，就像其将在新网络中所进行的一样。在状态模 式中的移动IPv6的工作方式与DHCPv4非常类似。
3.2 IKEv2辅助主动IP地址获取
当IPsec网关和DHCP中继代理位于CTN中的每个接入路由器中时， IKEv2辅助主动IP地址获取进行工作。在这种情况下，CTN中的IPsec 网关和DHCP中继代理辅助移动节点从CTN中的DHCP服务器获取IP 地址。在预m^阶段建立的MN-AR密钥^皮用作为在移动节点和接入路由 器之间运行IKEv2所需要的IKEv2预共享机密。通过利用协同定位DHCP 中继代理从CTN获得IP地址，作为标准IKEv2处理的一部分，其中所述 DHCP中继代理从使用了标准DHCP的目标网络中的DHCP服务器获得 IP地址。所获得的IP地址被发送回IKEv2配置静荷交换(IKEv2 Configuration Payload Exchange )中的客户端。在这种情况下，IKEv2也-皮用作为主动切换隧道的隧道管理协议(参见以下的第5部分)。 3.3仅利用DHCP的主动IP地址获取
作为另一种替代，通过允许在移动节点和CTN中的DHCP中继或 DHCP服务器之间进行直接DHCP通信，无需依赖基于PANA或IKEv2 的方法，DHCP可被用于主动地从CTN获得IP地址。在这种情况下，移 动节点向CTN中的DHCP中继代理或DHCP服务器发送单播DHCP消 息，以请求地址，同时利用与当前物理接口相关联的地址作为请求的源地 址。
当所述消息被发送到DHCP中继代理时，所述DHCP中继代理在移 动节点和DHCP服务器之间来回中继所述DHCP消息。在没有DHCP中 继代理的情况下，移动装置也能够直接与目标网络中的DHCP服务器进行 通信。应该将客户端的单播发现消息中的广播选项设置为0，从而所述中 继代理或DHCP服务器能够利用移动节点的源地址将回复直接发送回所述 移动装置。利用状态配置，这种机制也能够用于IPv6节点。
为了防止恶意节点从DHCP服务器获得IP地址，应该使用DHCP验 证或者所述接入路由器应该安装过滤器，以阻止单播DHCP消息被从未经 预验证的移动节点发送到所述远程DHCP服务器。当使用DHCP验证时， 可以从在移动节点和所述候选目标网络中的^Hi代理之间建立的MPA-SA 得到DHCP验证密钥。
不将所述主动获得的IP地址分配给移动节点的物理接口 ，直到所述移 动装置没有移动到新的网络。因此，不应该将从所述目标网络主动获得的 所述IP地址分配给所述物理接口 ，而应该分配给客户端的虛拟接口 。因此， 经由在所述移动节点和CTN中的DHCP中继或DHCP服务器之间的直接 DHCP通信的主动获取到的IP地址可以携带额外的信息，用于将其与分配 给所述物理接口的其它地址相区分。
3.4利用无状态自动配置的主动IP地址获取
在IPv6的情况下，利用DHCPv6或无状态自动配置进行网络地址配 置。为了主动地获取新的IP地址，能够在所建立的隧道上发送下一跳路由器的路由器通告，并且基于移动装置的前缀和MAC地址生成新的IPv6地 址。此地址被分配给客户端的虚拟地址，并作为绑定更新发送给家乡代理 或者对端节点。所述路由器通告能够被容易地发送到移动装置的oCoA， 其中通常在有范围的多播地址上发送所述路由器通告。这样将避免获得IP 地址以及进行重复地址检测所需要的时间。
在移动装置进入新网络之后，移动节点能够在到该新的网络的物理接 口上进行DHCP,从而通过利用例如DHCP INFORM来获得诸如SIP服 务器、DNS服务器等其它配置参数。这些将不会影响在移动装置和对端主 机之间正在进行的通信。并且，所述移动节点能够在到所述新的网络的物 理接口上进行DHCP，以扩展在^该新的网络之前主动获取的地址的租 用时间。
为了保持对于移动节点的DHCP绑定，并且在安全主动切换之前及之 后记住所分配的IP地址，对于用于主动IP地址获取的DHCP以及在所述 移动节点l目标网络之后所进行的DHCP，需要将相同的DHCP客户端 标识符用于所述移动节点。所述DHCP客户端标识符可以是移动节点的 MAC地址或者一些其它标识符。在无状态自动配置的情况下，所述移动 装置进行检查以察看新网络中的路由器通告的前缀，并将其与新近分配的 IP地址的前缀相匹配。如果这些确实相同，则所述移动装置不用再次经历 所述IP地址获取阶段。
4.地址解析事项
4.1主动重复地址检测
当DHCP服务器分配IP地址时，其更新其租用表，从而在特定时间 内不再将此相同的地址给与另一个客户端。同时，所ii^户端还本地保留 一个租用表，从而其能够在需要时进行更新。在一些情况下，网络由DHCP 和非DHCP启用的客户端组成，有可能利用来自DHCP地址池的IP地址 配置具有LAN的另 一个客户端。
在这种情形中，所述服务器基于ARP (地址解析协议)进行重复地址 检测或者在分配所述IP地址之前进行IPv6邻居发现。此检测过程可能耗费4到15秒的时间(参见，例如以上的参考资料[MAGUIRE])并且将导 致更多的切换延迟。在主动IP地址获取处理的情况下，提前进行此检测， 因而，完全不影响所述切换延迟。通过提前进行所述重复地址检测，我们 减小了切换延迟因素。
4.2主动地址解析更新
在预配置过程中，也能够知道在连接到所述目标网络之后，所述移动 节点与目标网络中的节点进行通信时所需要的地址解析映射，其中所述节 点可能是接入路由器、验证代理、配置代理，以及对端节点。有多种进行 这种主动地址解析的方式。
1. 使用信息服务机制(例如，参见以上的参考资料[NETDISC])以解 析所述节点的MAC地址。这样可能要求目标网络中的每个节点涉及所述 信息服务，从而使得所述信息服务的服务器能够构造主动地址解析的数据 库。
2. 扩展用于预验证的验证协议或用于预配置的配置协议，以支持主动 地址解析。例如，如果使用PANA作为预验证的^Si协议，PANA消息可 以携带用于主动地址解析的AVP。在这种情况下，目标网络中的PANA验 证代理可以代表移动节点进行地址解析。
3. 也可以使用DNS来映射与目标网络中的网络元件的指定IP地址相 关联的指定接口的MAC地址。可以定义新的DNS源记录(RR)，以主 动地解析目标网络中的节点的MAC地址。但是，由于MAC地址是绑定 到IP地址而不是直接绑定到域名的源，这种方法可能有其自身的局限性。
当移动节点连接到目标网络时，无需为目标网络中的节点进行地址解 析查询，其可以安装所述主动获得的地址解析映射。
另一方面，只要所述移动节点连接到所述目标网络，位于目标网络中 并与所述移动节点通信的所述节点也应该为所述移动节点更新它们的地址 解析映射。以上的主动地址解析方法也能够被用于那些节点，从而在所述 移动节点连接到目标网络之前主动地解析所述移动节点的MAC地址。然 而，由于在采用所述主动解析的地址解析映射之前，那些节点需要检测所述移动节点到所述目标网络的连接，这样并没有用。 一种更好的方法是结 合连接检测与地址解析映射更新。这基于无代价地进行地址解析(参见以
上的参考资料[RFC 3344和参考资料[RFC 3775]),其中在所述移动节点 连接到新的网络之后，所述移动节点立即在IPv4的情况下发送地址解析协 议(ARP ) ARP请求或ARP答复，或者在IPv6的情况下发送邻居通告， 从而目标网络中的所述节点能够快速为移动节点更新所述地址解析映射。 5.隧道管理
在从CTN中的DHCP服务器主动获取IP地址之后，在所述移动节点 和所述CTN中的接入路由器之间建立主动切换隧道。所述移动节点使用 所获取的IP地址作为隧道内部地址，并且最可能的是，其将所述地址分配 给虚拟接口。
利用隧道管理协议建立所述主动切换隧道。当将IKEv2用于主动IP 地址获取时，IKEv2也^皮用作所述隧道管理协议。
可选地，当将PANA用于主动IP地址获取时，可以将PANA用作为 所述安全隧道管理协议。
一旦在移动节点和候选目标网络中的接入路由器之间建立了所述主动 切换隧道，所述接入路由器还需要代表所述移动节点进行代理地址解析， 从而其能够捕获目的地是所述移动节点的新地址的任何数据包。
由于在先前的网络中时，移动装置需要能够与对端节点进行通信，需 要将从对端节点到移动节点的绑定更新以及数据的部分或全部通过主动切 换隧道发送回所述移动节点。当会话初始协议(SIP)移动性被用于移动性 管理协议时，利用SIPRe-INVITE，将新地址作为联系地址报告给对端节 点。 一旦所述对端节点的SIP用户代理获得了所述新的联系地址，其向新 的联系地址发送OK,其中，所述新的联系地址实际上属于所述目标网络。 由于所述OK信号指向所述新的联系地址，所述目标网络中的接入路由器 提取所述OK信号，并将其发送给先前网络中的移动装置。接收从移动装 置到对端节点的最后的ACK消息。在缺少准入过滤时，可以不需要从所 述移动装置向所述对端节点发送数据。在完成SIP Re-INVITE信令握手之后，经由主动切换隧道将来自对端节点的数据发送给所述移动装置。
在所述移动节点连接到所述目标网络之后，为了使流量指向所述移动 节点，需要删除或禁用所述主动切换隧道。用于建立隧道的所述隧道管理 协议即用于此目的。
可选地，只要所述移动装置移动到目标网络，当J吏用PANA作为所述
验证协议时，能够通过PANA更新机制来触发在接入路由器的隧道的删除
或禁用。链路层触发器确保所述移动节点确实连接到所述目标网络并且， 也能够将其用作为删除或禁止所述隧道的触发器。
6.绑定更新
对于不同的移动性管理方案，存在几种类型的绑定更新机制。在一些 情况下，诸如没有RO的移动IPv4，仅将绑定更新发送给所述家乡代理 (HA)，而在移动IPv6的情况下，将绑定更新发送给所述家乡代理和对 应的主机。在基于SIP的终端移动性的情况下，移动装置利用Re-INVITE 向对端节点发送绑定更新，向注册器发送注册消息。基于所述移动装置和 对端节点之间的距离，绑定更新可能导致切换延迟。SIP-fast切换(例如，
法。在利用基于SIP的移动性管理的安全主动切换的情况下，我们完全排 除由于绑定更新导致的延迟，因为其发生于先前的网络中。因此，当所述 对端节点远离所述通信移动节点时，此方案更加具有吸引力。 7.防止数据包丟失
在MPA情况下，我们没有观察由于IP地址获取、安全验证以及绑定 更新而导致的任何数据包丟失。然而，在所述移动节点能够连接到目标网 络之前，可能存在一些在指向所述移动节点的链路层切换时的瞬时数据包 (transient packet)。可能丢失这些瞬时数据包。
可以使用多播或在接入路由器緩冲所述瞬时数据包来最小化或消除数 据包丟失。然而，如果没有无缝地进行链路层切换，则多播也不能消除数 据包丟失。另一方面，緩沖不减少数据包延迟。尽管可以通过在用于流式 应用的接收器侧进行回放緩冲来补偿数据包延迟，对于不能忍受大延迟抖动的交互式VoIP应用来说，回放緩冲没有太大帮助。因此，不管怎么说， 优化链路层切换仍然非常重要。
另外，所述MN也可以确保在从旧的附着点进行交换之前可以到达所 述新的附着点。这可以通过利用新的附着点交换链路层管理帧来进行。应 该尽快进行这种可达性检查。为了防止此可达性检查期间的数据包丢失， 在该可达性检查期间，应该通过在所述链路的两端緩冲所述数据包来延緩 在所述MN和旧的附着点之间的链路上的数据包传输。可以以各种方式进 行此緩冲，基于本文件可对其进行理解。
8.考虑失败的交换和换回
乒乓效应是切换情形中发现的常见问题之一。当移动装置处于小区或 判定点的边界并且频繁执行切换处理时，出现这样的乒乓效应。
尤其在于，这导致了更高的掉话可能性、更低的连接质量、增加的信 令流量和资源浪费。所有这些都影响了移动性优化。切换算法是在所述网 络之间进行切换的决定因素。通常，这些算法使用阈值来比较不同量度的 值，从而决定所述切换。所述量度包括信号强度、路径损失、载波干扰比 (CIR)、信号干扰比(SIR)、比特差错率(BER)、功率预算等。
为了避免乒乓效应，所述决策算法使用了一些其他参数，诸如滞后裕 度(hysteresis margin )、停留计时器以及平均窗。对于高速移动车辆，也 可以考虑其它参数以减小所述乒乓效应，诸如在移动主机(MH)和附着 点之间的距离、移动装置的速度、移动装置位置、流量和带宽特征等。
最近，有一些其它的切换算法，其有助于在异质网络的环境中减小所 述乒乓效应，其基于诸如假设检验、动态规划以及模式识别技术等才支术。 虽然实现切换算法以减小所述乒乓效应很重要，而实现从此效应中恢复的 方法也很重要。
在MPA框架的情况下，兵乓效应将导致移动装置在当前网络和目标 网络之间以及在候选目标网络之间来回运动。由于各种隧道建立、绑定更 新的数目以及相关的切换潜伏时间，当前形式的MPA将受到影响。由于 乒乓效应和切换速率相关，其也将导致延迟和数据包丟失。在一些实施例中，现在提出了几种算法，对其执行有助于减小乒乓效
应的可能性。另外，现在也出了几种用于MPA框架的方法，其能够恢复 乒乓效应引起的数据包丟失。
在一些实施例中，MPA框架能够使用全球定位系统(GPS)来利用所 述移动装置相对于邻近网络中的AP的地理位置。在这点上，说明性的GPS 系统包括绕地球转动的卫星的星座，并允许GPS接收器精确测定其地理位 置。为了避免网络之间的振荡，利用用户位置和来自先前的切换尝试的高 速緩存的数据之间的相关性，可以得到基于位置的智能算法。在一些情况 中，位置可能不是用于切换判定的唯一指示符。例如，在曼哈顿 (Manhattan)类型的网络中，尽管移动装置接近AP，其也可能没有足够 的信号噪声比(SNR)来进行良好的连接。因此，移动性模式和路径识别 有可能有助于避免所述乒乓效应。
在缺乏能够避免乒乓效应的良好切换算法时，可能需要提出良好的恢 复机制，从而减轻所述兵乓效应。可能需要在一段时间内在当前网络中保 持已建立的上下文，从而当移动装置回到上次使用该上下文的网络中时， 能够进行快速恢复。这些上下文可以包括安全关联、所使用的IP地址、已 建立的隧道等。在移动装置在网络之间来回运动的情况下，在预先定义的 时段内将数据多播到先前的网络和新的网络也将有助于处理丢失的数据 包。移动装置应该能够确定，相对于乒乓情形，其是否处于稳定状态。
9.链路层安全性和移动性
利用在移动节点和CTN中的验证代理之间建立的MPA-SA，在预验 证阶段，当所述移动节点以如下方式在当前网络中时，可以自举CTN中 的链路层安全性。
1. CTN中的验汪代理和所述移动节点利用所述MPA-SA得到PMK (成对主密钥)(参见以上参考资料[I-D.ietf-e叩-keying)，其中所述 MPA-SA的建立是成功预验证的结果。在预验证期间可能涉及执行EAP 和AAA协议，以建立所述MPA-SA。从所述PMK,为CTN的每个附着 点直接或间接地得到用于移动节点的不同TSK (瞬时M密钥)(参见以上参考资料[I-D.ietf-eap-keying)。
2. 所述验证代理可以安装从PMK得到的密钥，并用于附着点的安全 关联。所得到的密钥可以是TSK或着是中间密钥，再由所述中间密钥得到 TSK。
3. 在所述移动节点选择CTN作为目标网络并且交换到目标网络(其 现在对于移动节点而言变成了新的网络)中的附着点之后，其利用所述 PMK执行诸如IEEE 802.11i 4向握手[802.1 li的安全关联协议，以建立 PTK (成对瞬时密钥)和GTK (群组瞬时密钥)(参见以上参考资料 [I-D.ietf-eap-keyingI)，其用于保护在移动节点和附着点之间的链路层数 据包。在此不需要另外执行EAP验证。
4. 当所述移动节点在所述新的网络中漫游时，所述移动节点仅需要与 其附着点进行安全关联协议，而不需要另外执行EAP验证。通过这种方式 可以利用诸如802.11r的链路层切换优化机制来集成MPA。
所述移动节点可能需要知道CTN中附着点的链路层标识，以得到 TSK。如果使用PANA作为预验证的*逸协议，这可以通过在从PAA发 送的PANA绑定请求消息中携带设备ID AVP来实现(参见以上参考资料 [I-D.ietf-pana-pana)，其中各个属性值对(AVP )包含不同的接入点的 基本服务集标识符(BSSID )。
参考图3，其图解性地描述了才艮据一些说明性实施例的自举链路层安 全性。
10. 初始网络连接中的^ii
当所述移动节点初始连接到网络时，将会发生网络访问验证，而与 MPA的使用无关。当将MPA用于切换优化时，用于网络访问验证的协议 可以是链路层网络访问验证协议，诸如IEEE 802.1X，或者更高层网络访 问^ii协议，诸如PANA。
11. 安全性考虑
本文件描述了基于在移动节点和该移动节点将来可能移动到的一个或 多个候选目标网络之间进行切换相关信令的安全切换优化机制的框架。此框架涉及在所述移动节点物理地连接到那些CTN中的一个之前，从所述 CTN获取资源，以及从CTN向当前网络中的移动节点进行数据包重定向。
为了防止未授权的移动节点获取所述资源，从所述候选目标网络获取 资源必须伴随有适当的验证和授权过程。为此，MPA框架能够在所述移动 节点和候选目标网络之间进行预验证非常重要。作为成功的预验证的结果 而生成的MN-CA密钥和MN-AR密钥能够保护在所述移动节点和CTN中 MPA功能性元件之间交换的后续切换信令包和数据包。
所述MPA框架还解决了当跨越多个管理域进行所述切换时的安全性 问题。利用MPA,可以基于在所述移动节点和候选目标网络中的路由器或 移动性代理之间的直接通信进行切换信令。这消除了对上下文转移协议的 需要，由于该协议的原因在安全性方面存在已知的限制(参见以上参考资 料[I-D.ietf-eap-keying)。为此，所述MPA框架不要求在管理域或接入路 由器之间的信任关系，这样使得所述框架在因特网上更易运用，而不会损 害移动环境中的安全性。
本发明的广义范围
虽然在此已经描述了本发明的说明性实施例，本发明不限于在此描述 的各种优选实施例，还包括任何以及所有具有等同的元件、修改、省略、 组合(例如，跨越各种实施例的各个方面)、调整和/或改变，本领域技术
人员基于本公开可以理解这些方面。基于所述权利要求中使用的语言广义 地理解权利要求(例如，包括后来增加的)中的限制，其不限于本说明或 在申请进行期间所描述的例子，可以将这些例子理解为是非排它性的。例 如，在本公开中，术语"优选地"是非排它性的，其意味着"优选地，但 不限于，，。在此公开中以及此申请进行期间，对于具体的权利要求限制， 仅在所述限制中存在如下所有条件时，将仅使用装置加功能或者步骤加功 能限制a)明确叙述了 "用于......的装置"或"用于......的步骤"；b)
明确叙述了相应的功能；以及c)支持没有叙述出的结构的结构、材料或 动作。在此公开中以及此申请进行期间，术语"本发明，，或"发明"用于 指代本^/Hf中的一个或多个方面。不应该将本发明或发明这种用语不适当地理解为划界的标识，也不应该将其理解为应用于所有方面或实施例(即， 应该将其理解为^^发明具有一些方面和实施例)，并且不应该将其不适当
地理解为限制本申请或权利要求的范围。在此公开中以及此申请进行期间， 术语"实施例"可以用于描述任何方面、特征、过程或步骤，其中的任何
组合，以;sj或者其中的任何部分等。在一些例子中，各种实施例可以包括
重叠特征。在本公开中，可以使用以下筒略术语"e.g."表示"例如"。
权利要求
1.一种在独立于介质的预验证框架中控制与第一网络和第二网络之间的移动节点的交换复位有关的切换判定的方法，包括以下步骤a)为所述移动节点提供位置确定模块，其被配置为提供关于邻近网络中的接入点的位置确定；b)至少部分基于所述位置确定模块的输出，利用基于位置的算法来避免在所述第一和第二网络之间的振荡。
2. 根据权利要求l所述的方法，其中，所述基于位置的算法至少部 分基于在移动节点的位置和与该移动节点的先前切换动作有关的被高速緩 存的数据之间的相关。
3. 根据权利要求2所述的方法，其中，所述被高速緩存的数据被存 储在所述移动节点上的数字数据存储装置中。
4. 根据权利要求2所述的方法，其中，所述基于位置的算法包括基 于有关过去的实例的数据来提供到所述第 一 网络和所述第二网络中的另一 个的交换，其中，将所述移动节点交换到所述第一网络和所述第二网络中 的所述另一个。
5. 根据权利要求2所述的方法，其中，所述基于位置的算法包括基 于有关过去的实例的数据不提供到所述第一网络和所述第二网络中的另一 个的交换，其中，不将所述移动节点交换到所述第一网络和所述笫二网络 中的所述另一个。
6. 根据权利要求1所述的方法，其中，所述位置确定模块包括GPS 接收器。
7. 根据权利要求l所述的方法，其中，所述利用基于位置的算法来 避免在所述第一网络和第二网络之间的振荡，包括具有至少部分基于至 少一个非位置指示值的所述算法。
8. 根据权利要求7所述的方法，其中，所述至少一个非位置指示值 包括信号噪声比的指示值。
9. 根据权利要求1所述的方法，其中，通过在所述移动节点中编程 来执行所述算法。
10. 根据权利要求1所述的方法，其中，至少部分地通过在所述移动 节点的外部进行编程来执行所述算法。
11. 根据权利要求l所述的方法，进一步包括利用在所述移动节点 和所述笫二网络上的验证代理之间的链路层诊断网络访问验证协议来进行 预棘。
12. 根据权利要求1所述的方法，进一步包括跨越多个管理域进行
13. 根据权利要求1所述的方法，其中，所述第一网络针对第一介质， 而所述第二网绍4十对不同的介质，其中，所述第一介质是蜂窝网络，而所 述不同的介质是无线LAN，或者所述第一介质是无线LAN,而所述不同的介质是蜂窝网络。
14. 根据权利要求2所述的方法，进一步采用PANA作为网络访问验 证协议。
15. —种在独立于介质的预验证框架中减轻在第一网络和第二网络 之间的移动节点的不希望的交换复位的影响的方法，包括以下步骤a) 维持与第一网络有关的上下文一段时间，从而使得当所述移动节点 回到该第一网络时能够快速恢复所述上下文；b) 使得所述移动节点在返回所述第一网络之后，使用所述上下文。
16. 根据权利要求15所述的方法，其中，所述上下文被存储在所述移 动节点上的数字数据存储装置中，并且包括与安全关联、IP地址或者所建 立的隧道相关的数据。
17. 根据权利要求15所述的方法，其中，所述第一网络针对第一介质， 而所述第二网绍4十对不同的介质，其中，所述第一介质是蜂窝网络，而所 述不同的介质是无线LAN,或者所述第一介质是无线LAN,而所述不同 的介质是蜂窝网络。
18. —种在独立于介质的预验证框架中减轻在先前的网络和新的网络之间的移动节点的不希望的交换复位的影响的方法，包括步骤在一段时 间中向所述先前的网络和所述新的网络发送数据包，从而避免当所述移动 节点从所述新的网络回到所述先前的网络时的数据包丢失。
19. 根据权利要求18所述的方法，其中，所述发送数据包的步骤包括 多播所述数据包。
20. 根据权利要求18所述的方法，其中，所述先前的网络针对第一介 质，而所述新的网络针对不同的介质，其中，所述第一介质是蜂窝网络， 而所述不同的介质是无线LAN,或者所述第一介质是无线LAN,而所述 不同的介质是蜂窝网络。
全文摘要
在此的优选实施例涉及用于在独立于介质的预验证框架中控制与在第一网络和第二网络之间的移动节点的交换复位有关的切换判定的方法和系统和/或涉及用于在独立于介质的预验证框架中减轻在第一网络和第二网络之间的移动节点的不希望的交换复位的影响的方法和系统。
文档编号H04W36/14GK101288273SQ20068000061
公开日2008年10月15日 申请日期2006年7月13日 优先权日2005年7月14日
发明者A·杜塔, V·法雅尔多, 大场义洋, 谷内谦一 申请人:株式会社东芝;特勒克利亚科技公司