使用预认证、预配置和/或虚拟软切换的移动体系结构的制作方法

专利名称：使用预认证、预配置和/或虚拟软切换的移动体系结构的制作方法
技术领域：
本申请涉及移动网络通信，在某些优选实施例中，本申请涉及在移动节点、站点或 设备的移动期间改变网络接入点，这在移动电话领域通常被称为例如"切换"。本发明的 优选实施例提供例如用于改变移动设备到网络的接入点，例如改变到因特网或其它网络的 无线接入点连接的移动体系结构。
背景技术：
网络和网际协议存在许多类型的计算机网络，其中以因特网最著名。因特网是全世界的计算机网 络。今天，因特网是可供数百万用户访问的公共和自维持的网络。因特网使用称作TCP/ IP(即传输控制协议/网际协议)的一组通信协议连接主机。因特网具有被称为因特网主 干网的通信基础设施。对因特网主干网的接入主要受因特网服务提供商(ISP)的控制，因 特网服务提供商将接入转售给公司和个人。对于IP (网际协议)，这是借以能够在网络上从一个设备(例如电话、PDA [个人数 字助理]、计算机等等)向另一个设备发送数据的协议。当前存在各种版本的IP，包含例如 IPv4、IPv6等等。网络上的每个主机设备具有至少一个IP地址，该IP地址是其自身独有 的标识符。IP是无连接的协议。通信期间端点之间的连接不是连续的。当用户发送或接收数 据或消息时，数据或消息被分成称为分组的部分。每个分组被视作独立的数据单元。为了标准化因特网或类似网络上点之间的传输，建立了 0SI(开放系统互联)模 型。0SI模型将网络中2个点之间的通信过程分成7个叠加的层次，其中每个层次增加其自 身的功能集合。每个设备处理消息，使得在发送端点处存在通过每个层次的下行流，并且在 接收端点处存在通过所述层次的上行流。提供7个功能层次的程序和/或硬件通常是设备 操作系统、应用软件、TCP/IP和/或其它传送和网络协议、以及其它软件和硬件的组合。通常，当针对用户来回传送消息时，使用上面4个层次，而当消息通过设备(例如 IP主机设备)时，使用下面3个层次。IP主机是网络上能够发送和接收IP分组的任何设 备，例如服务器、路由器或工作站。送往某些其它主机的消息不被传递到上层，而是被传递 到其它主机。在0SI和其它类似模型中，IP处于层次3，即网络层。下面列出0SI模型的层 次。层次7 (即应用层)是在其中例如识别通信各方、识别服务质量、考虑用户认证和 隐私、识别数据语法约束等等的层次。层次6 (即表示层)是例如将传入和传出数据从一个表示格式转换到另一个表示 格式等等的层次。层次5(即会话层)是例如建立、协调和终止应用程序之间的会话、交换和对话等 等的层次。层次4(即传送层)是例如管理端到端控制和差错检查等等的层次。
层次3(即网络层)是处理路由和转发等等的层次。层次2 (即数据链路层)是例如提供物理级同步、进行位填充和提供传输协议知识 和管理等等的层次。电气电子工程师协会(IEEE)将数据链路层细分成2个进一步的子层， 即控制针对物理层的数据传送的MAC(介质访问控制)层，和与网络层接口并且解释命令和 执行差错恢复的LLC (逻辑链路控制)层。层次1 (即物理层)是例如在物理级传送比特流通过网络的层次。IEEE将物理层 细分成PLCP(物理层会聚过程)子层和PMD(物理介质相关)子层。在本文中，高于层次2的层次(例如包含0SI模型和类似模型中网络层或层次3 的层次)被称为高层。无线网络无线网络能够包括各种类型的移动设备，例如蜂窝和无线电话、PC(个人计算 机)、膝上型计算机、佩带式计算机、无绳电话、寻呼机、耳机、打印机、PDA等等。例如，移动 设备可以包含用于保证语音和/或数据的快速无线传输的数字系统。典型的移动设备包含 以下部件中的某些或全部收发器，(即发送器和接收器，包含例如具有集成发送器、接收 器和其它功能(必要时)的单芯片收发器)；天线；处理器；一或多个音频转换器(例如像 在用于音频通信的设备中那样的扬声器或话筒)；电磁数据存储设备(例如在提供数据处 理的设备中的R0M、RAM、数字数据存储设备等等)；存储器；快擦写存储器；全芯片集合或集 成电路；接口(例如，USB、编解码器、UART、PCM等等)；和/或类似部件。其中移动用户能够通过无线连接连接到局域网(LAN)的无线LAN(WLAN)可以被用 于无线通信。无线通信能够包含例如通过电磁波，例如光、红外、无线电、微波传播的通信。 当前存在各种WLAN标准，例如蓝牙、IEEE802. 11和HomeRF。例如，蓝牙产品可以被用于在移动计算机、移动电话、便携手持设备、个人数字助 理(PDA)和其它移动设备之间提供链路，并且提供到因特网的连通性。蓝牙是详细规定移 动设备如何能够容易地使用短程无线连接彼此互连以及与非移动设备互连的计算机和电 信行业规范。蓝牙制定数字无线协议以解决需要保持数据同步和设备彼此的一致性的各种 移动设备的普及所导致的终端用户问题，从而允许来自不同厂商的设备无缝地一起工作。 蓝牙设备可以根据公共命名构思来命名。例如，蓝牙设备可以拥有蓝牙设备名(BDN)或与 唯一蓝牙设备地址(BDA)相关的名字。蓝牙设备也可以参与网际协议(IP)网络。如果蓝 牙设备在IP网络上工作，它可以配有IP地址和IP(网络)名字。如此，被配置成参加IP 网络的蓝牙设备可以包含例如BDN、BDA、IP地址和IP名字。术语"IP名字"是指对应于 接口的IP地址的名字。IEEE标准，即IEEE802. 11规定了用于无线LAN和设备的技术。通过使用802. 11， 可以用支持若干设备的每个单独基站实现无线联网。在某些例子中，设备可以预先配备无 线硬件，或者用户可以安装硬件的分立部分，例如卡，其可以包含天线。例如，802. 11中使用 的设备通常包含3个显著的单元，不管设备是接入点(AP)、移动站(STA)、桥接器、PCMCIA卡 还是其它设备无线收发器；天线；和控制网络中点之间的分组流的MAC(介质访问控制) 层。另外，在某些无线网络中可以使用多接口设备(MID)。MID可以包含2个独立网络 接口，例如蓝牙接口和802. 11接口，从而允许MID参加2个分立网络，以及与蓝牙设备接口。MID可以具有IP地址和与该IP地址相关的公共IP(网络)名字。
无线网络设备可以包含但不限于蓝牙设备、多接口设备(MID)、802. Ilx设备 (IEEE802. 11 设备包含例如 802. Ila,802. Ilb 和 802. Ilg 设备)、HomeRF(家庭射频)设 备、Wi-Fi (无线保真)设备、GPRS (通用分组无线业务)设备、3G蜂窝设备、2. 5G蜂窝设备、 GSM(全球移动通信系统)设备、EDGE (增强数据GSM演进)设备、TDMA类型(时分多址) 设备或包含CDMA2000的CDMA类型(码分多址)设备。每个网络设备可以包含各种类型的 地址，包含但不局限于IP地址、蓝牙设备地址、蓝牙公共名字、蓝牙IP地址、蓝牙IP公共名 字、802. IlIP地址、802. IlIP公共名字或IEEE MAC地址。无线网络也可以涉及在例如移动IP (网际协议)系统、PCS系统和其它移动网络 系统上发现的方法和协议。对于移动IP，这涉及由互联网工程任务组(IETF)建立的标准通 信协议。通过移动IP，移动设备用户能够在保持其曾经分配的IP地址的同时跨网络移动。 参见因特网标准(草案)(RFC) 3344。NB :RFC是互联网工程任务组(IETF)的正式文档。移 动IP增强网际协议(IP)，并且增加向连接到其归属网络之外的移动设备转发因特网业务 的手段。移动IP为每个移动节点分配其归属网络上的归属地址，以及标识该设备在网络及 其子网内的当前位置的转交地址(CoA)。当设备被移动到不同网络时，它接收新的转交地 址。归属网络上的移动代理(mobility agent)能够将每个归属地址与其转交地址关联。移 动节点能够每当其使用互联网控制消息协议(ICMP)改变其转交地址时向归属代理发送绑 定更新。在基本IP路由(即在移动IP之外)中，路由机制依赖这样的假设，即每个网络节 点总是具有到例如因特网的固定接入点，并且每个节点的IP地址标识其连接到的网络链 路。在本文中，术语"节点"包含连接点，其能够包含例如用于数据传输的重新分配点或端 点，并且能够识别、处理通信和/或转发通信到其它节点。例如，因特网路由器能够看到例 如标识设备的网络的IP地址前缀等等。接着，在网络层，路由器能够看到例如一组标识具 体子网的位。接着，在子网层次，路由器能够看到例如一组标识具体设备的位。对于典型的 移动IP通信，如果用户将移动设备与例如因特网断开并且在新子网处尝试再连接该移动 设备，则该设备必须重新配置以新IP地址、适当的网络掩码和缺省路由器。否则，路由协议 将不能够适当传送分组。切换和改变网络接入点切换是移动站将其网络接入点从一个点改变到另一个点的动作，其中网络接入点 能够包含例如基站和IP(网际协议)路由器。当在例如连接的基站和IP路由器发生改变 的情况下进行切换时，切换通常分别包含层次2切换和层次3切换。层次2切换和层次3 切换大约同时进行。在任何切换期间，系统需要重新建立在移动站和新网络接入点之间保 持的状态。这些涉及切换的状态也被称作切换上下文，或简称为"上下文"。存在两种上下文，即可转移上下文和非可转移上下文。可转移上下文可在旧和新 接入点之间转移，而非可转移上下文需要重新或使用可转移上下文来建立。示例性可转移 上下文能够包含例如用于对移动站进行重新认证的认证上下文，和例如用于分配足够为移 动站提供特定等级的服务的网络资源的QoS(服务质量)上下文。移动站的动态分配的IP 地址是示例性的非可转移上下文。层次2和层次3加密密钥，例如802. Ili (参见例如下 面在这里引用的参考文献#11)中的TKIP(临时密钥完整性协议)和CCMP(计数器模式与CBC-MAC协议)加密密钥，以及用于保护移动站和接入点(AP)或路由器之间传送的数据分 组的IPsec AH(认证头)和ESP (封装安全有效负载)加密密钥(参见例如下面在这里引 用的参考文献#15、#16和#17)，是其它示例性非可转移上下文，因为那些密钥与该2个实 体的特定MAC(介质访问控制)或IP地址对相关，并且需要根据其间的协商来重新建立。 作为参考，如上所述，802. 11是由电气电子工程师协会(IEEE)的工作组开发的无 线局域网(WLAN)规范族，其包含例如使用以太网协议和CSMA/CA (带冲突避免的载波检测 多路存取)进行路径共享的协议族802. 11,802. lla、802. lib、和802. Ilg中的规范。参见 例如下面引用的参考文献#13。另外，802. Ili是正在开发的用于WLAN中的安全的IEEE标 准。另外，IPsec (网际协议安全)是针对用于网络通信的网络或分组处理层上的安全的一 组协议的框架。另外，MAC地址涉及例如设备的唯一硬件地址，并且能够被数据链路层的介 质访问控制子层使用，而IP地址涉及例如标识在例如因特网上通过分组发送的信息的每 个发送方或接收方的数(例如最广泛安装的网际协议[IP]层中的32位数、IPv6中的128 位数、无等级域间路由(CIDR)网络地址和/或类似信息)。在切换之前或之后将可转移上下文从一个网络接入点传送到另一个网络接入点 能够降低切换延迟。若干协议，例如IEEE 802. Ilf协议(即802. Ilf是用于802. 11接入 点的信息交换，例如接入点之间涉及移动站的信息的交换的AP间协议-参见例如下面引用 的参考文献#12)，以及IP层上下文传送协议(参见例如下面引用的参考文献#14)能够被 用于这个目的。另一方面，通过一系列关于每个上下文的协商累积出重新建立非可转移上 下文的延迟，尽管一些非可转移上下文可以并行协商。这个延迟尤其会成为问题。存在2种其中这个协商非可转移上下文的延迟可以不成为问题的情形。第一个情 形是基础无线链路层使用CDMA(码分多址)。在这个第一情形中，通过使用所谓软切换机 制，移动站可以与新基站建立某种上下文，同时仍然通过旧基站进行通信，在所述软切换机 制中，在与无线电覆盖范围中的不同基站通信的同时，移动站能够使用不同的CDMA代码。 第二个情形是移动站具有多个接口，并且在所述接口间进行切换。在这个第二情形中，通过 允许这些接口同时操作，能够实现与CDMA软切换基本上相同的效果。 在上述2个模式均不可用的环境中，非可转移上下文是最有问题的。例如，具有单 独IEEE802. 11无线LAN接口的移动站不能使用CDMA软切换模式或接口切换模式。鉴于此问题，IEEE802. IlTGi正开发被称作预认证的新模式，其中已经通过认证并 且与接入点(AP)关联的IEEE 802. Ili站点(STA)被允许在其与其它接入点关联之前通过 当前关联接入点与其它接入点执行IEEE 802. IX认证。IEEE 802. Ili预认证也允许在该站 点和非关联AP之间确立802. Ili加密密钥。然而，由于IEEE 802. IX被定义为在LAN中工作，IEEE802. Ili预认证的适用性限 于相同LAN中的移动站和接入点。原始802. Ili预认证文档(参见例如下面引用的参考文 献#1)没有提供用于扩展IEEE 802. Ili预认证以在IP层上工作，使得移动站能够对不同 LAN中的AP进行预认证的详细资料。作为参考，802. Ili是解决802. 11中某些安全问题的无线网络标准，802. IX是作 为总体IEEE 802. IlWLAN支持的一部分而开发的WLAN标准组(参见例如下面引用的参考 文献#1和#10)。根据802. 11，通过主动或被动扫描能够检测其它接入点的存在。在被动 扫描中，移动站扫描来自AP的信标信号(包含例如服务设置标识符[SSID]和其它密钥信息)，而在主动扫描中，移动站发送探测帧以得到来自AP的探测响应。作为进一步的参考， 802. Ili预认证涉及在允许接入之前实施认证的认证方实体，请求可经由认证方得到的对 服务的接入(例如接入点)的请求方设备(例如移动站)，和执行认证功能(即检查请求方 的证书)并且响应认证方以识别请求方是否得到授权的认证服务器(例如远程认证拨入用 户业务服务器等等)。在某些实施例中，认证方和认证方服务器能够布置在一起，但是它们 也可以是分立的。虽然已知有各种系统和方法，然而仍然需要改进的系统和方法。优选实施例提供 优于上述和/或其它系统和方法(包含例如下面参考文献中描述的系统和方法)的根本改 进和/或进步，这些参考文献的全部公开内容在这里被引为参考·参考文献 #1 :B. Aboba, “ IEEE 802. IX Pre-Authentication “，IEEE 802. 1 l-02/389rl, 2002 年 6 月。 参考文献#2 :B. Aboba和D. Simon，〃 PPP EAP TLSAuthentication Protocol"， RFC 2716，1999 年 10 月。 参考文献 #3 :L. Blunk，J. Vollbrecht，B. Aboba，J. Carlson 禾口 H. Levkoffetz," Extensible Authentication Protocol (ΕΑΡ),Internet-Draft,Work in progress (废除RFC 2284)，2003年5月(参见例如2003年11月的文档)。 参考文献 #4 :R. Droms 禾口 W. Arbaugh，“ Authentication forDHCP Messages"， RFC 3118,2001 年 6 月。Droms，“ Dynamic Host ConfigurationProtocol, " RFC 2131, 1997年3月。 参考文献 #6 :Ρ· Funk，S. Blake-Wilson，“ EAP Tunneled TLSAuthentication Protocol (EAP-TTLS) " , Internet-Draft, Work inprogress，2002 年 11 月(参见例如 2003 年8月的文档)。 参考文献 #7 :D. Forsberg， Y. Ohba， B. Patil， H. Tschofenig 禾口 A. Yegin, " Protocol for Carrying Authenticationfor Network Access (PANA)", Internet-Draft, Work in progress, 2003 年 3 月(参见例如 2003 年 10 月的文档)。 参考文献 #8 :R. Glenn 和 S.Kent，“ The Null EneryptionAlgorithm and Its Use With IPsec, “ RFC 2410，1998 年 11 月。·参考文献 #9 :D. Harkins 和 D. Carrel, “ The Internet KeyExchange (IKE)“， RFC 2409，1998 年 11 月。· 0JC Μ. #10Standard for Local and MetropolitanArea Networks, “ Port-Based Network Access Control"，IEEE Std802. 1X-2001。· # % t #11Standard for Local and MetropolitanArea Networks, ' Wireless Medium Access Control (MAC)andphysical layer (PHY) specifications :Medium Access Control(MAC)Security Enhancements, " IEEE Std 802. lli/D4. 0，May 2003 (参见例如 IEEE Std 802. lli/D7. 0，2003 年 10 月文档)。· 0JC Μ. #12 :ΙΕΕΕ Standard for Local and MetropolitanArea Networks, " Draft Recommended Practice for Multi-VendorAccess Point Interoperability via an Inter-Access Point ProtocolAcross Distribution SystemsSupporting IEEE 802.11 Operation, “ IEEE P802. 11F/D5，2003 年 1 月。· 0JC Μ. #13 :ΙΕΕΕ Standard for Local and MetropolitanArea Networks, " Wireless LAN Medium Access Control(MAC)andPhysical Layer(PHY) Specifications, “ ANSI/IEEE Std 802.11，1999Edition，1999。·参考文献 #14 :J. Loughney, Μ. Nakhjiri, C. Perkins 和 R. Koodli, “ Context Transfer Protocol, " Internet-Draft, Work inprogress，2003 年 6 月(参见例如 2003 年10月文档)。·参考文献 #15 :C. Kaufman，〃 Internet Key Exchange (IKEv2) Protocol “， Internet-Draft, Work in progress, April 2003 (参见例如 2003 年 10 月 9 曰禾口 2004 年 1月文档)。 参考文献 #16 :S. Kent 和 R. Atkinson，“ IP AuthenticationHeader, “ RFC 2402,199811 月。·参考文献 #17 :S. Kent 禾口 R. Atkinson, “ IP EncapsulatingSecurity Payload (ESP)，“ RFC 2406，1998 年 11 月。
参考文献 #18 :T. Kivinen，“ DHCP over IKE “ , Internet-Draft, Work in progress, 2003 年 4 月。·参考文献 #20 :M. Liebsch, A. Singh, H. Chaskar 和 D. Funato, “ Candidate Access Router Discovery" , Internet-Draft,work inProgress, 2003 年 3 月(参见例如 2003年9月和2003年11月文档)。·参考文献 #21 -.A. Palekar, D. Simon, G. Zorn 禾口 S. Josefsson, “ Protected ΕΑΡ Protocol (PEAP) “，Internet-Draft, Work in Progress, 2003 年 3 月(参见"Protected EAP Protocol(PEAP)Version 2, “ 2003 年 10 月)。·参考文献 #22 :B. Patel，B. Aboba, S. Kelly 和 V. Gupta, “ Dynamic Host Configuration Protocol (DHCPv4)Configuration ofIPsec Tunnel Mode " , RFC 3456, 2003年1月。 参考文献 #23 J. Puthenkulam，V. Lortz，A. Palekar 禾口 D. Simon，" The Compound Authentication Binding Problem“ ， Internet-Draft, Work in Progress，2003 年 3 月 (参见例如2003年10月文档)。 参考文献 #24 :R. Seifert，“ The Switch Book-The CompleteGuide to LAN Switching Technology" , Wiley Computer Publishing, ISBN 0-471-34586-5。 参考文献 #25 :Y. Sheffer，H. Krawczyk和 B. Aboba, “ PIC, APre-IKE Credential Provisioning Protoeol“ , Internet-Draft, Work inprogress,2002 年 10 月。·参考文献 #26 :H. Tschofenig, A. Yegin 禾口 D. Forsburg, “ Bootstrapping RFC3118 Delayed Authentication using PANA“ , Internet-Draft, 2003 ^Ξ 6 ^ (
如2003年10月文档)。 参考文献 #27 :Μ· Kulkarni，A Patel 和 K. Leung，“ MobileIPv4 Dynamic Home Agent Assignment" ， IETF Internet-Draft，2004 年 1 月 8 日。

发明内容
本发明的优选实施例能够明显改进现有的方法和/或设备。 在某些图解实施例中，提供新颖的系统和方法，其能够例如扩展预认证(例如 IEEE 802. IX预认证)的构思以跨越IP网络或子网进行操作。在某些优选实施例中，新颖 的体系结构包含2个能够大大改进例如高层切换性能的新机制中的一个或两个。第一个机 制被称为"预配置"，其允许移动设备在切换之前预配置候选IP子网中有效的高层信息。 第二个机制被称为"虚拟软切换"，其允许移动站甚至在其实际执行到候选IP子网的切 换之前通过候选IP子网发送或接收分组。根据某些实施例，提供一种方法，包含在移动站被配置用于与当前IP子网通信 的同时，用针对新候选IP子网的高层信息预配置移动站。优选地，该方法还包含移动站在 执行到该新IP子网的切换之前通过候选IP子网发送或接收分组。根据某些其它实施例，提供用于使移动站在当前和新子网中的接入点之间进行切 换时的中断最少的方法，包含在与当前子网中的接入点分离之前，获得针对具有单独无线 接口的移动站的预认证，以通过新子网中的接入点工作。在某些实施例中，该方法还包含通 过IP层进行预授权。根据某些其它实施例，提供一种方法，包含当移动站处于当前子网时解析新子网 中的接入点的IP地址；和获得针对移动站的预认证以通过当前和新子网工作。在某些实施 例中，存在多个新候选子网。优选地，移动站能够与其将来可能移动到或可能不移动到的网 络中的一或多个网络实体执行预认证(例如L2认证和高层认证)。在某些实施例中，该方 法包含该解析包含IP地址的动态解析。在某些实施例中，该方法包含动态解析包含使接 入点信标或探测响应包含IP地址。在某些实施例中，该方法包含该解析包含IP地址的静 态解析。在某些实施例中，新子网中的接入点不支持高层预认证，并且经由委托代理(proxy agent)与移动站通信，并且在某些实施例中，新子网中的接入点支持高层预认证，并且与该 移动站通信。在一些优选实现中，新子网中的接入点通过使用传递802. IX帧的高层协议与 移动远程站点通信。根据某些其它实施例，提供一种方法，包含通过根据高层预认证在切换之前预先 建立高层上下文，降低移动站的切换延迟。优选地，高层上下文包含客户端网络地址(例如 客户端IP地址)和/或类似信息。在某些实施例中，该方法还包含保证用于预先建立高层 上下文的消息的安全。在某些实施例中，该方法还包含使用高层认证协议，该协议用于导出 用来保护高层预配置消息的加密密钥。在某些实施例中，该方法还包含使用802. IX预认证 和基于IP的802. IX来执行层次2预配置。在某些实施例中，该方法还包含使用单个高层 认证协议预先建立多个高层上下文。在某些实施例中，该方法还包含使用IKE或IKEv2预 先建立多个高层上下文。在某些实施例中，该方法还包含使用PANA和IKE或IKEv2预先建 立多个高层上下文。在某些实施例中，该方法还包含在移动站和新子网中的接入点之间建 立IPsec隧道，以将针对移动站的预配置IP地址的业务重定向到当前连接的子网。根据某些其它实施例，提供用于以最少的中断和保持的安全性在不同接入网络的 接入点之间执行移动站的切换的方法，包含在切换之前预先建立移动站的高层上下文，并 且安全地将来自或送往预先确定的IP地址的业务重定向到新接入网络。在某些实施例中， 该方法还包含在移动站和新接入网络中的接入路由器之间建立IPsec隧道，其中IPsec隧道内部地址被绑定到预先确定的IP地址。在某些实施例中，该方法还包含新接入网络中 的接入路由器被用作临时归属代理，其中客户端设备在该临时归属代理上将其预先确定的 IP地址登记为归属地址，并且将物理连接的网络中分配的IP地址登记为转交地址。
根据某些其它实施例，提供一种方法，包含执行高层预认证、预配置和数据业务 重定向，以降低或消除高层切换对接入网络之间移动站的低层切换的定时依赖。根据各种 实施例，切换是移动IP切换、VPN切换、OSI网络层切换和/或类似切换。在某些实施例中， 该方法还包含比低层切换更早地启动高层切换。在某些实施例中，该方法还包含在低层切 换之前完全完成高层切换。根据某些其它实施例，提供一种方法，包含通过允许移动设备在切换之前针对接 入点中的新接入点发送和接收分组，在邻近网络或子网中的接入点之间执行移动设备的虚 拟软切换，以使通信中断最少。在某些实施例中，该方法还包含在低层切换之前执行高层切 换。在某些实施例中，该方法还包含进一步使用低层CDMA软切换来减少通信中断。在某些实 施例中，该方法还包含通过高层来控制层次2切换定时，使得能够在开始层次2切换之前完成 预认证和预配置。在某些实施例中，该方法还包含在虚拟软切换期间使用IPsec隧道进行业 务重定向，其中用于IPsec隧道的设备的外部和内部IP地址分别是当前子网中的转交地址和 新子网中的转交地址。在某些实施例中，该方法还包含对所有业务使用IPsec隧道。根据某些其它实施例，提供一种移动通信网络节点，包含a)收发器；和b)用于针 对不同网络或子网中的另一个移动通信网络节点发送或接收网络地址，以在移动通信网络 节点和该另一个移动通信网络节点之间进行高层预认证的装置，其中所述节点处于不同网 络或子网。在某些实施例中，移动通信网络节点是移动节点，而在其它实施例中，移动通信 网络节点是接入点。在某些实施例中，节点还包含用于存储高层上下文的装置，所述高层上 下文当节点处于不同网络或子网时用于与其它移动通信网络节点进行安全关联。在某些实 施例中，节点还包含用于建立高层上下文的装置，所述高层上下文当节点处于不同网络或 子网时用于与其它移动通信网络节点进行安全关联。在某些实施例中，节点还包含用于通 过允许节点中的移动节点在切换之前针对其它节点发送或接收业务，从而在不同网络或子 网之间执行虚拟软切换的装置。通过下面结合附图进行的描述可进一步理解各种实施例的上述和/或其它方面、 特性和/或优点。各种实施例能够包含和/或排除不同方面、特性和/或优点，如果合适的 话。另外，各种实施例能够组合其它实施例的一或多个方面或特性，如果合适的话。有关 具体实施例的方面、特性和/或优点的描述不应被解释为针对其它实施例或权利要求的限 制。


通过举例但非限制性的方式在附图中示出了本发明的优选实施例，其中图1是示出IEEE 802. Ili预认证的示例性序列的示意图；图2(A)是演示中间委托代理的使用的图例；图2(B)是演示支持高层预认证的接入点的使用的图例；图3和4是示出使用PANA和IKE的组合进行高层预配置的例子的示意流程图，其 中在假定配置服务器与接入路由器共同定位的示例性条件下，图3示出了 PANA和原始IKE的组合，图4示出了 PANA和IKEv2的组合；图5根据某些示例性和非限制性实施例示出了当不使用高层软切换时(参见上面 的时线)和当使用高层软切换时(参见下面的时线)的示意对比时序；图6示出了演示移动客户端设备在虚拟软切换期间使用IPsec隧道进行业务重定 向的第一示例性情形的示意流程图；图7示出了演示移动客户端设备针对基本上所有或所有业务使用IPsec隧道的第 二示例性情形的示意流程图；图8㈧到8(E)示出了演示使用虚拟软切换的VPN切换的示例性序列的示例性例 子；图9示出了示例性原始分组和具有其IPsec标记并且具有其新IP报头的新IPsec 隧道分组；图10(A)示出了示例性移动IP环境，其中当移动节点从其归属网络移动到外部网 络并且获得该外部网络的新CoA时，能够使用虚拟软切换和/或本发明的其它原理；而 图10⑶示出了示例性会话发起协议(SIP)IP电话(VoIP)环境，其中当客户端移 动到外部网络并且获得新CoA时，能够使用虚拟软切换和/或本发明的其它原理。
具体实施例方式虽然可以以许多不同形式实施本发明，然而这里描述了若干示例性实施例，应当 理解，这里的公开内容应被认为是提供本发明的原理的例子，并且这样的例子的目的不是 将本发明限于这里描述和/或这里图解的优选实施例。例如，虽然这里描述了在802. 11 i和 /或其它环境内实现的图解实施例，然而如根据本公开内容所能够明白的，本发明的各方面 能够在各种其它环境中实现。IEEE 802. Ili 预认证图1示出了 IEEE 802. Ili预认证的示例性序列。图1假定移动站已经执行了 802. Ili认证，并且与第一接入点APl关联。如图1中的(1)处所示，移动站通过接收信标发现新接入点。在这点上，当移动站 (STA)进入第二接入点AP2的无线覆盖范围，从AP2接收信标帧并且它希望与AP2进行预认 证时，它能够向APl发送EAPOL-Start (基于LAN的可扩展认证协议[ΕΑΡ])，其中将信标帧 中包含的ΑΡ2的MAC地址指定为目的MAC地址。作为参考，信标帧允许站点建立和保持无 线LAN上的通信。例如，公共信标帧能够有大约五十字节长。信标帧的大约一半能够包含 例如公共帧头和循环冗余校验(CRC)字段。类似于其它帧，该头能够包含源和目的MAC地 址，以及涉及通信处理的其它信息。信标的帧主体的大约另一半能够例如位于头和CRC字 段之间，并且能够在帧主体中携带例如下面的信息信标间隔(例如，表示信标发送之间的 时间量)；时间标签(例如，允许与AP关联的站点间的同步)；服务设置标识符(SSID)(例 如，标识特定无线LAN)；支持的速率(例如，具体无线LAN支持的速率)；参数集(例如，关 于特定信令方法等等的信息)；能力信息(例如，标识希望属于无线LAN的站点的要求)；和 /或业务指示映射(TIM)。如图1中的(2)处所示，通过当前接入点APl在移动站和新接入点AP2之间交换 802. IX帧(携带有ΕΑΡ)。在这点上，当前接入点APl通过例如后台有线LAN向新接入点AP2转发EAPOL-Start帧。新接入点AP2于是接收EAPOL-Start帧，并且通过当前接入点APl在新接入点AP2和移动站(STA)之间交换后续802. IX帧。如图1中的(3)处所示，移动站能够例如在切换期间从第一子网等等移动到第二 子网等等。如图1中的(4)处所示，当移动站与新接入点关联时，它能够使用在上述(2)处确 定的加密密钥来执行受保护的关联。在这点上，作为成功预认证的结果，在AP2和移动之间 也确定了 802. Ili加密密钥。除非在APl和AP2之间使用802. Ilf或IAPP (接入点间协议) (参见例如上面引用的参考文献#12)，否则AP2将需要联系认证或AAA服务器(NB :AAA服 务器能够包含处理用于访问计算机资源的用户请求并且提供认证、授权或核计[AAA]服务 的服务器程序，并且设备或应用程序可以使用例如RADIUS客户/服务器协议和软件与AAA 服务器通信)，以便以和在通过APl进行初始认证期间采取的方式相同的方式认证移动站。 然而，如果EAP (可扩展认证协议-参见例如上面引用的参考文献#3)中使用的认证方法支 持PEAP(受保护的EAP-参见例如上面引用的参考文献#21) ,EAP-TLS(ΕΑΡ传送层安全-参 见例如上面引用的参考文献#2)和EAP-TTLS (ΕΑΡ隧道化TLS-参见例如上面引用的参考文 献#6)所支持的快速重新连接或会话恢复，则重新认证能够比初始认证更快速。由于IEEE 802. IX被设计成在LAN内操作，IEEE 802. IX预认证的适用性限于子网 内切换_除非将其扩展为按照下述实施例在高层操作。在网络可能根据例如部门或部分边 界被分成多个VLAN(虚拟LAN)以提高安全性或减少广播业务的大型企业中，这是显著的限 制。如果假定移动站例如在多个VLAN间移动，则支持子网间和子网内预认证会非常有利。涉及高层预认证的问题扩展IEEE 802. Ili预认证以支持子网间预认证并不简单，更不用说对其进行扩 展以便获得本发明各种实施例中可能的各种益处。例如，不能仅仅在IP数据报(NB:数据 报或分组，是网际协议所涉及并且网络所传送的消息单元)中封装802. IX帧。在本发明的 某些优选实施例中，在实现优选实施例的各方面时克服了若干额外的问题，例如包含·解析AP的IP地址的能力当移动站发现可能与移动站在或不在相同LAN上的 AP时，它需要知道该AP是否在相同LAN上。并且，如果AP不在相同LAN上，它需要知道该 AP的IP地址以便使用高层协议进行通信。 支持高层预认证的能力对于不支持高层预认证的AP，可能需要此支持。在这点 上，某些AP可能支持802. Ili预认证，但是可能不支持高层预认证。这样的AP假定被预认 证的移动站是在相同LAN上。可能有必要允许这样的AP从高层预认证中受益。 通过IP传递消息的能力EAP需要其传送协议提供有序的传送。参见例如上面引 用的参考文献#3。在这点上，由于IEEE 802LAN交换机被要求保持顺序不变，IEEE 802. IX 满足EAP的有序传送要求。参见例如上面引用的参考文献#24。另一方面，当在高层传递 EAP消息时，由于IP层不保持顺序不变，所以IP层上定义的EAP传送协议必须提供有序传 送。·预先建立高层上下文的能力为了执行子网间切换，移动站不仅需要重新建立 层次2上下文，而且移动站需要重新建立高层上下文，所述高层上下文包含例如IP转交地 址，以及当使用IP层逐分组保护时移动站和例如接入路由器(AR)之间的IPsec安全关联 (SA)。这些高层上下文的建立可能比层次2上下文需要更多时间。因而，在切换之前预先确定这些上下文有助于减少切换延迟和导致的数据损失。由于不使用IEEE 802. IX建立高 层上下文，所以需要在高层定义额外的机制以预先确定它们。·实现进一步性能提高的能力使用高层预认证预先建立高层上下文的能力能够 帮助减少切换延迟和导致的数据损失。然而本发明人发现，如果移动站能够在执行层次2 切换之前不仅基于当前上下文而且基于预先建立的上下文发送和/或接收高层分组，则能 够实现进一步的性能提高。在以后几节里提出尤其涉及上述问题的详细解决方案。解析AP的IP地址如上所述，由于高层预认证需要跨越多个LAN工作，移动站需要能够与不同LAN中 的接入点通信。因而，需要解析AP的IP地址和MAC地址之间的映射。如下所述，在某些情 况下，IP地址可以是委托代理的地址。存在2个用于AP解析的优选方案预配置的解析 (例如静态解析)和动态解析。在静态解析中，移动站能够例如在其从每个邻近AP接收信 标帧之前获得所述AP的IP地址和MAC地址对的列表。在动态解析中，当移动站从AP接收 信标帧等等时，能够例如解析针对AP的映射。在某些实施例中，能够组合两个方案。下面 列出能够使用的若干示例性方法。 在某些实施例中，可以扩展802. 11规范，使得信标帧(探测响应等等)能够包含 针 对AP的MAC地址的IP地址。如上所述，这可以被分类为动态解析。 在某些实施例中，IETF Seamoby WG (工作组)的CARD (候选接入路由器发现)机 制能够被用于这个目的。参见例如上面引用的M. Liebsch,A. Singh, H. Chaskar和D. Funato 的"Candidate AccessRouter Discovery" ,Internet-Draft,work in Progress,2003年 3月。如上所述，这可以被分类为动态解析。·在某些实施例中，具有传递每个邻近AP的MAC地址和IP地址对的列表的新 选项的DHCP(动态主机配置协议)能够被用于这个目的。参见例如上面引用的R. Droms 的〃 Dynamic Host ConfigurationProtocol “，RFC 2131，1997 年 3 月。如上所述，这可以 被分类为静态解析。 在某些实施例中，EAP-TLV (ΕΑΡ类型-长度-值)方法能够被用于传递每个邻近 AP的MAC地址和IP地址对的列表，以用于期望的解析目的。参见例如上面引用的参考文献 #21。这个EAP方法通常在例如PEAP (参见Id.)的隧道EAP方法中执行，并且列表可能需 要从后台认证服务器中的隧道端点发送，以实现期望的解析目的。如上所述，这个方法可以 被分类为静态解析。·在某些实施例中，通过在用于向移动客户端通知认证结果的消息(即PANA-绑 定-请求)中增加新的AVP (属性-值对)，PANA协议能够被用于这个目的。·在某些实施例中，IEEE 802. IX、PPP (点到点协议)和/或其它链路层认证协议 能够被用于这个目的。在多数优选实施例中，接入点解析应当解析不同管理域中的接入点的MAC和IP地 址之间的映射。在考虑这种多域情景时，对于这种域间切换情景，上述第一方案尤其适用。 然而，如果移动节点在其通过上述或其它类似方案连接到新网络时记忆每个接入点的IP 地址和MAC地址，则其它方案也适用。这些方案也可以用于定义下述配置服务器的IP地址。除解析AP的IP地址的问题之外，还存在解析的并列问题a)与AP共同定位或位于AP后面的PANA认证代理的IP地址(即PANA认证代理可以被用于高层预认证)；b)AP 的IP前缀(即AP的IP地址可能不足以使客户端知道AP是否与客户端属于相同网络)； 和/或c) AP的域名。 为解决除AP的IP地址之外的这些并列问题，也可以和AP的IP地址一起解析AP 属于的子网的一或多个IP前缀，与AP共同定位或与AP连接在相同子网中的PANA认证代 理的一或多个IP地址，AP的域名，和/或执行高层预认证、高层上下文的预配置和/或虚 拟软切换所需的任何其他信息。IEEE 802. IX 代理如上所示，某些接入点可能支持802. Ili预认证，但是可能不支持高层预认证。如 图2㈧所示，在某些实施例中，通过引入在接入点和远程移动站之间传递802. IX消息的委 托代理，可以使不支持高层预认证的接入点与远程LAN中移动站STA传送IEEE 802. IX帧。 例如，委托代理能够包含充当中介的代理服务器。在某些例子中，这种委托代理能够被称为 IEEE 802. IX代理。在操作期间，IEEE 802. IX代理和接入点之间的IEEE 802. IX帧传送能 够完全基于IEEE 802MAC机制，其中代理使用远程移动站的MAC地址而不是其自身的MAC 地址，使得IEEE 802. Ili预认证的AP实现能够不经任何改变而工作。代理和移动站之间 的IEEE 802. IX帧传送能够基于下面的子章节中讨论的高层传送机制。由于代理看不见从 移动站接收的MAC层帧的头中的远程移动站的MAC地址，优选地在高层分组的有效负载中 传递MAC地址。另一方面，如图2(B)所示，如果接入点支持高层预认证，则不需要IEEE 802. IX代 理。在这种情况下，这种AP能够使用传递802. IX帧的高层协议直接与远程移动站(STA)
通{曰。因而，图2(A)和2(B)示出了 2个示例性方法，其中图2(A)演示了中间委托代理 的使用，而图2(B)演示了支持高层预认证的接入点的使用。因此，在这些实施例的示例性 实现中，移动站只需要知道委托代理或AP的IP地址。基于TP 的 IEEE 802. IX如上所述，由于IEEE 802. IX帧传递需要保持顺序不变的EAP (可扩展认证协议) 消息，因此简单地通过IP传递IEEE 802. IX帧不能满足EAP传送要求。因此，为了在IP层 上传递802. IX帧，能够使用下面列出的一或多个方案或其它适当方法。·在某些实施例中，PANA(用于对网络接入进行认证的协议)能够被用于通过 UDP(用户数据报协议)传递EAP消息。参见例如上面引用的D. Forsberg,Y. Oh ba,B. Patil, H. Tsehofenig 禾口 k. Yegin 的“Protocol for Carrying Authentication for Network Access (PANA) “，Internet-Draft, Work in progress，2003 年 3 月。由于 PANA 在性质上 是设计用于传递EAP消息的，它具有保持顺序不变的机制。 在某些实施例中，也在UDP上定义的IKEv2(网际密钥交换，版本2)支持传递EAP 消息，以支持建立IKE安全关联的各种认证方法。由于IKEv2定义了可靠消息传送机制， IKEv2满足有序传送要求。 在某些实施例中，新协议能够被定义以通过可靠的传送，例如TCP来传递802. IX 帧。在某些优选实施例中，后一种方案(即定义新协议)能够更加适合于要求，因为考虑到只是以保持EAP消息顺序的方式传递IEEE802. IX帧的要求，其它2个方案在功能上可 能有冗余。预先确定高层上下文预认证的一个目的包含为客户端设备提供在其执行到目标网络的切换之前预先 确定要用于目标接入网络的上下文的手段。根据这里的某些优选实施例，预先确定的上下 文不仅包含低层上下文，而是包含例如层次2上下文(例如数据加密密钥、802. Ili加密密 钥和/或类似信息)的低层上下文，和例如客户端IP地址、IP前缀、子网掩码、路由器地址、 DNS (域名系统)服务器地址、IPsec密码(如果IPsec被用于接入网络中的数据分组保护) 和/或等等的高层上下文。除其它以外，这种新颖的高层上下文的预先建立允许得到如下 面详细列出的根本优点。这些上下文能够被例如存储(例如临时)在移动站等等的例如电 磁存储设备、RAM、高速缓冲存储器等等中。在本公开中，预先确定上下文也可以被称为"预配置"。虽然能够通过例如使用 802. IX预认证和基于IP的802. IX来进行层次2预配置，然而需要为高层预配置定义一种 机制。另一方面，在客户端设备和配置服务器之间需要保证用于高层预配置的信令消息的 安全，以防止未经授权的客户端例如执行预配置或对预配置消息交换启动DoS (拒绝服务) 攻击。由于在客户端和配置服务器之间不存在先前配置的SA(安全关联)的漫游环境中可 能出现此情况，优选地，以用于根据作为成功802. IX认证的结果在移动站和接入点之间确 定的会话密钥导出802. Ili加密密钥的类似方式，动态导出用于保证高层预配置信令的安 全的SA。然而，IKEv2不为客户端提供动态发现IKEv2服务器的能力。 虽然能够使用CARD (参见例如上面引用的参考文献#20)预先确定客户端IPv6地 址和IPv6前缀，然而优选方案包含使用能够被用于预先确定基本上所有或所有这些上下 文的单个协议来预先确定上下文。在这点上，IKE或IKEv2能够被用作示例性的协议，该协 议在客户端设备被连接到另一个网络的同时支持客户端设备的安全远程配置。参见例如上 面引用的参考文献#9。对于IKE，对IKE的扩展定义了标准机制，其被用于在客户端主机和 共同定位在远程IPsec网关上的DHCP代理之间传递DHCP (动态主机配置协议)消息。参 见例如上面引用的参考文献#22。对于IKEv2，IKEv2缺省具有配置机制，并且允许扩展为 通过IKEv2消息传递DHCP消息。参见例如上面引用的参考文献#18。IKE支持实体认证， 但是假定通信对等方具有要求相互认证的预先共享的秘密密钥或数字证书。因而IKE对于 漫游环境不是所期望的。另一方面，通过可选地在第一 CHILD_SA交换(见下文)期间传递 EAP消息以支持漫游客户端的认证，IKEv2支持更加灵活的认证。然而这会涉及至少两次基 于公开密钥、高权重的密钥交换(一次是确定IKE_SA(见下文)，另一次是确定EAP主会话 密钥)，以处理密码密钥绑定问题。参见例如上面引用的参考文献#23。作为参考，IPsecdP安全)能够对IP数据报提供例如保密、数据完整性、访问控 制和数据源认证。通过保持IP数据报的源(例如数据传输发送方)和宿(例如数据传输 接收方)之间的共享状态，提供这些服务。这种状态尤其定义了提供给数据报的特定服务 (其中加密算法将被用于提供该服务)，以及用作该加密算法的输入的密钥。参见例如参考 文献#15。IPsec的基本思路是在发送之前标记分组，并且在接收时使用标记。IPsec标记 处理涉及被加到要保护的分组中的某些字段。出现说明目的，图9示出了示例性原始分组 和具有其IPsec标记并且具有其新IP报头的新IPsec隧道分组。在IPsec中，2方进入称作安全关联(SA)的逻辑关系，其中它们同意涉及使用的算法和密钥的参数。网际密钥交 换(IKE)协议能够动态建立这种共享状态。如上所示，当前存在2个版本的IKE，即IKE和 IKEv2。IKE在2方之间执行相互认证，并且建立IKE安全关联，其包含能够用于为ESP (封 装安全有效负载)(参见例如RFC 2406)和/或AH(认证头)(例如参见RFC2402)有效建 立安全关联的共享保密信息，和用于保护SA的一组加密算法。发起方能够通过列出所支持 的算法来建议一或多套(即用于保护SA的算法全集)，所列表的算法能够以混合和匹配方 式被合并成套。
作为进一步参考，IKEv2产生称作〃 IKE_SA〃的安全关联。通过IKE_SA建立的用 于ESP和/或AH的安全关联被称作〃 CHILD_SA〃。参见例如参考文献#15。IKE通信包 含一对消息请求和响应。该对被称作"交换"。IKE消息流包含后跟响应的请求。请求 方的职责是保证可靠性。如果未在超时间隔内接收到响应，则请求方重发请求(或放弃连 接)。IKE会话的第一请求/响应协商IKE_SA的安全参数，发送现时信息(nonce)，和发送 Diffie-Hellman值。初始交换(即请求和响应)被称作IKE_SA_INIT。称作IKE_AUTH的 第二请求和响应传送身份，证明对应于2个身份的秘密的知识，并且为第一 AH和/或ESP_ CHILD_SA 建立 SA0作为进一步的参考，IKE包含2个不同阶段。第一阶段(ph. 1)涉及在发送方和接 收方之间建立受保护环境(即安全关联)以保护用于以后数据传送阶段的认证和加密参数 的协商。第二阶段(Ph. 2)涉及协商用于以后数据传送阶段的保护参数。通过这种方式，除 其它以外，参数的协商也可以受保护。在某些实施例中，有利的方案包含使用类似于例如PANA(参见例如上面引用的参 考文献#7)的高层网络接入认证协议，其支持客户端发现一组实施点或配置服务器(或在 某些实施例中的IKEv2服务器)。虽然PIC (预IKE证书提供协议)被设计用于建立IKE 证书(参见例如上面引用的参考文献#25)，然而PIC不具有解决密码绑定问题的机制。虽 然在某些PANA设计中可以假定PANA认证代理必须与客户端设备在相同IP链路上，然而这 主要是用于简化PANA认证代理发现。然而，通过例如在多个IP链路上配置IP中IP隧道 (IP-in-IPtunnel)以构造PANA认证代理和客户端设备之间的逻辑IP链路，或直接在客户 端和PANA认证代理之间运行PANA而不使用IP中IP隧道，能够将PANA扩展为跨越多个IP 链路工作。尤其是，PANA不仅能够用于导出用于预先确定高层上下文的IKE证书，而且能够 用于导出用于DHCP认证的证书。参见例如上面引用的参考文献#4。IKE和IKEv2可能不 适于不具有任何IP地址的移动客户端设备的配置，这通常是移动客户端设备最初连接到 接入网络时的情形。首先应当注意，在接入点和移动站之间用802. Ili密码保护DHCP消 息交换并不真正防止例如链路层上已经通过认证的内部知情方发出伪造DHCP消息。因此， 可能出现这样的情况，即客户端设备能够在不同层被认证两次，其中一次通过IEEE 802. IX 进行，另一次通过PANA进行。在这种情况下，由基于TLS(传送层安全)的EAP认证方法，例 如PEAP (参见例如上面引用的参考文献#21)、EAP-TLS (参见例如上面引用的参考文献#2) 和EAP-TTLS(参见例如上面引用的参考文献#6)支持的快速重新连接或会话恢复机制，能 够以使得相同TLS会话能够被重用于后台认证服务器和移动客户端设备之间层次2认证和 高层认证以减少认证业务量和延迟的方式，跨越不同认证层工作。
图3和4示出了使用PANA和IKE的组合的高层预配置的某些例子。具体地，在假定配置服务器共同定位在接入路由器上的示例性条件下，图3示出了 PANA和原始IKE的组 合，图4示出了 PANA和IKEv2的组合。如图所示，能够在移动客户端设备和新子网中的接 入路由器之间建立被绑定到预配置的IP地址的IPsec隧道。这种IPsec隧道例如能够被 用于将针对移动客户端设备的预配置的IP地址的业务重定向到当前连接的网络，以减少 切换延迟和导致的数据损失(例如下面部分中描述的)。对于图3中示出的示例性例子，pAR标识当前接入路由器，nAP标识新接入点，nAR 表示新接入路由器，MN表示移动节点(通常也可以被称为例如移动站、移动设备或移动客 户端)。在图3中，索引(1)说明在移动节点和新AP之间使用基于的IP的802. 1X(用于 L2方面(如果有的话)的预配置)。索引(2)说明了使用用于引导IKE的PANA，在该点之 后移动节点建立IKE证书。索引(3)说明了执行IKE阶段1和2，其中使用pCoA作为发起 方的地址，例如使用0. 0. 0. 0作为快速模式ID，此点之后建立DHCP-SA。箭头A所在的点处 的隧道是IPsec隧道。在这个IPsec隧道A上进行配置过程。IPsec隧道A涉及通过当前 接入路由器pAR的安全隧道。在箭头B所在的点处，移动节点具有由新接入路由器nAR分 配的IP地址，并且现在知道例如新子网中的IP地址和上下文。对此，图3示出了示例性地 址200. 1.0. 100。另外，这里移动节点仍然具有涉及当前子网的这种信息。索引(4)则说明 了执行IKE阶段2，其中使用nCoA作为发起方的快速模式ID。在箭头C所在的点处，IPsec 安全关联已经建立，并且移动节点MN已经被配置成使用新子网，同时它并行保留当前子网 的配置。接着，如图所示，能够为IPsec隧道BOiCoA-pCoAo nAR)表示的重定向的业务 建立IPsec隧道。对于图4中示出的示例性例子，pAR再次标识当前接入路由器，nAP再次标识新接 入点，nAR再次表示新接入路由器，MN再次表示移动节点。在图4中，索引(1)说明在移动 节点和新AP之间使用基于的IP的802. 1X(用于L2方面(如果有的话)的预配置)。索 引(2)说明了使用用于引导IKE的PANA，在该点之后移动节点建立IKE证书。索引(3)说 明了 IKE版本2IKE_SA_INIT和IKE_AUTH交换，其中使用pCoA作为发起方的地址，在IKE_ AUTH交换中使用配置有效负载或运行DHCP。接着，如图所示，建立IP安全关联(SA)，并且 获得新的转交地址nCoA。因而，在示出的点C2处，移动客户端设备已经被配置成使用新子 网，同时它仍然保留当前子网的配置。接着，如图所示，能够为IPsec隧道(nCoA-pCoAe nAR)表示的重定向的业务建立IPsec隧道。尤其是，这个子部分中用于预先确定上述高层上下文的方法既不依赖也不需要网 络中802. IX及其预认证的基础。应当理解，在优选实施例中，移动客户端能够与它将来可能移动到或可能不移动 到的网络中的一或多个网络实体执行预认证(例如L2认证和高层认证)。另一方面，在优 选实施例中，仅与移动客户端将移动到的网络中的一个网络实体执行虚拟软切换。虚拟软切换如上所述，将例如IKE或IKEv2等等用于预先确定高层上下文允许来自或送往预 先确定的客户端设备(例如移动站)的IP地址的数据业务被安全地重定向到客户端设备 连接到的接入网络。例如通过在客户端设备和目标网络中的AR(接入路由器)之间建立 IPsec隧道，能够实现这点，其中该设备的IPsec隧道内部地址被绑定到预先确定的IP地址。这相当于在客户端设备和接入路由器之间具有基于IPsec的VPN(虚拟专用网) 隧道。作为参考，VPN允许在通过安全过程和隧道协议保持隐私的同时使用例如因特网的 共享公共基础设施。也可以以目标网络中的AR被用作临时归属代理的方式将例如移动IP或移动IPv6 用于业务重定向，其中针对该临时归属代理，移动客户端设备将其预先确定的IP地址登记 为归属地址，并且将物理连接的网络中分配的IP地址登记为转交地址。然而，这个方案应 当仍然使用例如IKE或IKEV2等等进行目标网络中的归属地址的预配置(参见例如上面引 用的参考文献#27)，而以上讨论的基于IPsec的解决方案进行预配置和数据业务重定向。 作为参考，如上所述，移动IP通常为每个移动节点分配其归属网络上的归属地址，以及标 识该设备在网络及其子网内的当前位置的转交地址(CoA)。当设备被移动到不同网络时，它 接收新的转交地址。在各种可选实施例中，用于客户端设备和AR之间的业务重定向的IPsec隧道不需 要是加密的隧道，而例如如果数据分组的加密处理成为问题，则它应当用重放保护进行完 整性保护。在这种情况下，IPsec隧道能够使用例如NULL加密算法，其中有或者没有逐分组 认证。参见例如上面引用的 R. Glenn 和 S.Kent 的〃 The Null EncryptionAlgorithm and Its Use With IPsec “，RFC 2410，1998 年 11 月。
除其它以外，预认证、预配置和后续数据业务重定向的组合能够消除高层切换对 低层切换的定时依赖(例如在移动IP切换、VPN切换等等的情况下)，使得甚至能够在执行 低层切换之前执行高层切换。这个提供早执行高层切换的技术允许进行"虚拟软切换"， 其中移动单元能够在切换之前通过候选网络或子网发送或接收分组等等。通过使用按照 优选实施例的虚拟软切换技术，可以使切换期间的通信中断最小化至低层切换所导致的范 围，或在某些情况下，甚至在例如低层支持CDMA软切换的情况下消除通信中断。在优选实施例中，虚拟软切换假定能够通过上层来控制层次2切换定时，使得能 够在开始层次2切换之前完成预认证和预配置。在这点上，多数无线LAN卡驱动程序为应 用程序提供API (应用程序接口)来在具有不同SSID (服务设置标识符)的多个AP中选择 AP0如上所述，CDMA软切换或跨多个接口的切换能够提供与虚拟软切换类似的功能。 然而，对于基本上所有类型的客户端设备，虚拟软切换机制均能够工作。因而，虚拟软切换 机制具有根本的优点。在这点上，图5根据某些示例性和非限制性实施例示出了当不使用高层软切换时 (参见上面的时线)和当使用高层软切换时(参见下面的时线)的可以发现的对比时序。这 些示意时线仅用于示例性目的，并且不应被解释为对各种实施例的特定定时等等的限制。 例如，应当理解，各个步骤可以具有子步骤，并且这些子步骤不必同时进行。参照上面的示例性时线，如图所示，当在新子网中检测到新AP时(例如通过信标 或探测响应等等)，序列开始。接着，开始层次2预认证和预配置。接着，完成层次2预认 证和预配置。接着，开始层次2切换。接着，完成层次2切换和进行层次2关联。在完成层 次2切换之后的这些延迟时间处，开始层次3认证和配置。接着，在进一步延迟之后，完成 层次3认证。接着，开始层次3/层次4切换。在短时间之后，完成层次3/层次4切换。根据这个示例性时线应当看出，这个方法产生显著的关键时间段，在其中会发生通信延迟和 通信中断。参照下面的示例性时线，如图所示，当在新子网中检测到新AP时，序列以类似方 式开始。接着，开始层次2和高层(即高于层次2的层次)预认证和预配置。除其它以外， 高层预认证和预配置的早启动能够导致时间节省和其它优点(例如如上所述)。接着，完成 层次2和高层预认证和预配置。除其它以外，高层预认证和预配置的早完成能够导致进一 步时间节省和其它优点(例如如上所述)。再次地，应当理解，这是示例性、示意性和非限制 性的时线。除其它以外，可以在各种时间进行层次2和高层预认证和预配置。接着，开始层 次3/层次4切换(NB 如上所示，能够实现各种其它实施例，这些实施例不具有早层次3和 类似切换，同时仍然获得这里讨论的其它优点)。除其它以外，层次3和类似切换的早启动 能够导致进一步时间节省和其它优点(例如如上所述)。接着，层次3和类似切换能够完 成。层次3和类似切换的这种早完成能够被用于有效提供例如虚拟软切换(如上所述)。 除其它以外，层次3和类似切换的早完成能够导致进一步时间节省和其它优点(例如如上 所述)。接着，如图所示，能够开始层次2切换。并且，在短时间段之后，能够完成层次2切 换。根据这个示例性时线应当看出，这个后一种方法导致最小关键时间段。
在某些优选实施例中，对于基于IPsec的虚拟软切换存在2个示例性情况。第一 个示例性情形基于基本上使用IPsec保护来保护重定向的业务(即保护重定向期间的业 务)。第二个示例性情形基于使用IPsec保护来基本上保护所有业务(即保护重定向期间 和在移动到新子网之后的业务)。仅对重定向的业务使用IPsec的虚拟软切换图6示出了其中移动客户端设备在虚拟软切换期间使用IPsec隧道进行业务重定 向的第一示例性情形。在这个例子中，IPsec隧道被用于切换期间的保护，而在切换之后，如 果需要，可以使用另一形式的保护(例如层次2保护)，例如加密等等。在图6示出的例子 中，设备的用于IPsec隧道的外部和内部IP地址分别是当前子网中的转交地址(pCoA)和 新子网中的转交地址(nCoA)。参照图6，当设备准备执行层次2切换时，它应当在执行层次 2切换之前删除建立的IPsec隧道，使得通过设备将与之关联的新AP直接传递针对新IP地 址的后续数据业务。如果没有这个操作，送往nCoA的业务会继续通过旧AP传递，即使是在 完成层次2切换之后。另外，新接入路由器(nAR)应当防止分配给移动设备的nCoA被未经 授权地用于网络接入，或防止被分配给其它设备，即使是在删除隧道之后，以便避免通过重 用nCoA来进行能够的服务盗用。例如通过利用宽限时间段来延迟过程以清除nCoA的授权 状态并且释放CoA的租用，可达到此目的。参照图6示出的图解实施例，在移动客户端设备只能使用当前子网的点处，如索 引(1)处所示，能够执行高层预授权和预配置(如上所述)。接着，如图所示，能够为IPsec 隧道(nCoA—pCoAenAR)表示的针对nCoA的重定向的业务建立IPsec隧道。如图所示， 在某些使用移动IP的实施例中，这也可以被用于移动IP登记。这时，已经建立了 IPsec安 全关联。接着，如索引⑵处所示，删除IPsec隧道并停止重定向。这可以例如使用IKE来 进行。接着，完成层次2切换。这里，如索引(3)处所示，移动客户端设备只能使用新子网。 接着，如索引(4)处所示，在新AR和移动客户端之间执行针对nCoA的直接业务。对所有业务使用IPsec的虚拟软切换
图7示出了其中虚拟软切换对所有业务使用IPsec隧道的第二个示例性情形。通 过这种方式，通过在切换期间，甚至在切换之后提供IPsec隧道保护，能够实现高层保护。 在这个第二例子中，设备的用于新子网的IPsec隧道的外部和内部IP地址是用于新子网的 设备的IP地址(参见例如图7示出的IPsec隧道B)。如图7所示，水平圆柱表示IPsec隧 道。在虚拟软切换期间，建立另一 IPsec隧道(例如图7示出的交叉阴影线IPsec隧道A)。 设备的用于IPsec隧道A的外部和内部IP地址能够与前一部分中描述的用于IPsec隧道 的外部和内部IP地址相同。优选地，通过在后一 IPsec隧道上运行IKE或IKEv2来建立新 子网的IPsec隧道。通过这种方式，除其它以外，可以实现的某些能够优点能够包含(i)始 终或基本上始终能够为移动客户端提供基于IPsec的保护，从而增强网络层安全性；和/或 ( )转交地址的生命周期能够基本上与IPsec隧道的生命周期同步。当设备准备执行层次2切换时，它应当在执行层次2切换之前删除后一 IPsec隧 道，使得能够通过移动设备将与之关联的新AP直接传递用于传递针对新转交地址的数据 业务的IPsec隧道B。在图7示出的图解实施例中，在移动客户端设备只能通过表示为IPsec隧道 (pCoA-pCoA^pAR)的现有IPsec隧道使用当前子网的点处，如索引⑴处所示，能够执行 高层预授权和预配置(如上所述)。接着，如图所示，能够如IPsec隧道AfcCoA-pCoAe nAR)所示建立IPsec隧道Α。这里，这可以涉及例如在IPsec隧道SA上使用IKE (使用nCoA 作为发起方的地址)。接着，如图所示，能够为IPsec隧道BOiCoA-nCoAenAR)表示的针 对nCoA的重定向的业务建立IPsec隧道B。如图所示，在某些涉及移动IP的实施例中，这 也可以被用于移动IP登记。这里，移动客户端能够使用当前和新子网。接着，如索引(3) 处所示，删除IPsec隧道A并停止重定向。这可以例如使用IKE来进行。接着，完成层次2 切换。这里， 如索引(3)处所示，移动客户端设备只能使用新子网。接着，如索引(4)处所 示，在新AR和移动客户端之间使用IPsec隧道B执行针对nCoA的直接业务。接着，能够在 之后的时间点重复这个处理，以完成另一新接入点处的另一切换。切换回到前一接入点在移动客户端设备完成到目标网络的切换之后，可能存在客户端设备需要切换回 到前一网络的某些情况。为了避免重新建立针对前一网络的上下文，优选地，客户端设备在 完成新网络连接之后将前一上下文存储或缓存一个时间段。在某些优选实施例中，这个向 后切换能够执行如下·如果移动客户端设备缓存针对前一网络的上下文以便向后切换，它不需要重新 执行上下文的预配置。例如，它能够建立到前一 AR的IPsec隧道，其中将用于前一网络的 缓存的IP地址指定为内部IP地址，而不是请求新IP地址。否则，它会像最初连接时那样 重新执行预认证和预配置，并且执行虚拟软切换。· 一旦当前网络中的移动客户端设备建立了到前一 AR的IPsec隧道，通过该隧道 传递业务。客户端设备建立到前一 AR的另一 IPsec隧道，其中前一 IP地址被用作外部IP 地址(即如果设备仍然不具有它)。业务将首先被放在后一隧道中，接着后一隧道将被放在 前一隧道中。当客户端设备准备执行层次2切换时，它删除前一 IPsec隧道以停止重定向， 如上所述。用于VPN切换的虚拟软切换
在某些示例性应用中，虚拟软切换技术能够被应用于VPN切换，其中能够改变客 户端设备的VPN隧道端点IP地址。然而，当移动IP正在VPN上运行并且VPN隧道端点IP 地址是客户端设备的归属地址时，端点IP地址没有变化，因而能够从VPN切换中排除这个 情形。下面讨论2个处理VPN切换的示例性方案。在第一个示例性方案中，每个VPN信令协议能够被设计为允许VPN客户端更 新其端点IP地址，而不重新建立针对新端点IP地址的新VPN。例如，IKEV2允许重 用Diffie-Hellman指数以减少更新VPN隧道的端点IP地址的信令延迟。作为参考， Diffie-Hellman密钥一致协议是由Diffie和Hellman在1976年开发的众所周知的协议， 并且允许2个用户在没有任何先前秘密的情况下在非安全的介质上建立和共享私有密钥。在第二个示例性方案中，能够以和针对用于旧端点IP地址的VPN隧道所做的相同 的方式针对新端点IP地址建立另一 VPN隧道。如果不使用虚拟软切换机制，则由于不能进 行新VPN隧道的建立，直到在客户端设备完成L2切换到新网络之后，并且一旦L2切换完 成，则旧VPN隧道不再可用，因此这个方案导致显著的通信中断时间段。相对比地，当使用 虚拟软切换时，客户端设备能够在它执行到新网络的L2切换之前建立新VPN隧道并使用 它，并且它也可以同时使用旧VPN隧道。在性能方面，这个解决方案具有显著的优点，例如 使VPN切换期间的通信中断最少的优点。另外，该解决方案不需要在VPN隧道之外运行移 动IP。结果，除其它以外，能够减少数据分组封装开销(即在虚拟软切换的时间段期间)。 另外，解决方案能够有利地避免损害安全性。图8(A)到8(E)示出了这个第二示例性方案的示例性例子，并且演示使用虚拟软 切换的VPN切换的示例性序列。在这点上，图8(A)描述了预认证和预配置(包含到riARW IPsec隧道的建立)的第一和第二步骤(如(1)和(2)处所示)。图8 (B)描 述了第三步骤， 包含(如⑶处所示)通过到nAR的IPsec隧道建立新VPN(nVPN)隧道。图8 (C)描述了 第四步骤(如(4)、(4')处所示)，包含删除旧VPN隧道(在需要的情况下，可以包含执行 内部移动绑定更新)。图8(D)描述了用于切换到新子网的第五和第六步骤，如(5)处所示， 包含删除到nAR的IPsec隧道，并且如(6)处所示，包含切换pAR到nAR。并且，图8(E)描 述了表示VPN切换的完成的最终阶段。优选实施例的各种应用根据本发明应当理解，能够在各种环境和应用中使用优选实施例的一或多个方 面。例如，能够在任何类型的无线应用切换环境中使用一或多个方面，在该环境中，移动设 备能够获得新网络地址(例如IP地址或转交地址)和针对新网络或子网的新高层上下文， 同时移动设备与当前网络或子网通信(例如位于当前网络或子网内)。例如，能够在任何适当的应用中使用虚拟软切换，例如在无线因特网服务提供商 (WISP)环境、VPN环境、移动IP环境、IP电话(VoIP)环境等等中。例如，图10(A)示出了 示例性移动IP环境，其中当移动节点从其归属网络移动到外部网络并且获得该外部网络 的新CoA时，能够使用虚拟软切换和/或本发明的其它原理。作为另一例子，图10(B)示出 了示例性会话发起协议(SIP)IP电话(VoIP)环境，其中当客户端移动到外部网络并且获得 新CoA时，能够使用虚拟软切换和/或本发明的其它原理。通过这种方式，除其它以外，能 够使与这些切换相关的延迟最小。例如参见Wireless and the Mobile Internet, S. Dixit 和 R. Prasad，Artech House Publishers，2003，362 页(“与[SIP]相关的延迟会包括若干因素，例如由于...移动站的IP地址获得导致的延迟")，这里参考引用了全部所述公开内容。本发明的范围 虽然这里描述了本发明的图解实施例，然而本发明不局限于这里描述的各种优选 实施例，本发明包含本领域技术人员根据本发明能够理解的具有等同要素、修改、省略、组 合(例如各个实施例的各方面的组合)、调整和/或变化的任何实施例。权利要求中的限 定应当根据权利要求中使用的语言作出宽泛的解释，并且不限于在当前说明书中或在申请 的审理期间描述的例子，这些例子应被解释为非排它性的。例如，在本公开中，术语"优选 地"是非排它性的，并且表示"优选地，但不局限于"。在本公开中，以及在本申请的审理 期间，仅在对于特定权利要求限定，该限定中出现所有以下条件的情况下使用装置加功能 或步骤加功能的限定a)清楚地记载"用于...的装置"或"用于...的步骤"；b)清楚 地记载相应功能；和c)未记载结构、材料或支持该结构的操作。在本公开中，以及在本申 请的审理期间，术语"本发明"或"发明"可以被用作对本公开内一或多个方面的引用。 本发明或发明的表述不应被不适当地解释为关键程度的标识，不应被不适当地解释为适用 于所有方面或实施例(即应当理解，本发明具有若干方面和实施例)，并且不应被不适当地 解释为限制申请或权利要求的范围。在本公开中，以及在本申请的审理期间，术语"实施 例"能够用于描述本发明的任何方面、特性、过程或步骤、其任何组合、和/或其任何部分、 等等。在某些例子中，各个实施例可以包含重叠特性。在本公开中，可以使用以下简称“ 例如〃表示〃例如〃，“NB"表示〃注意"。
权利要求
一种方法，包括当移动站处于当前子网时解析新子网中的接入点的IP地址；和使用所述IP地址获得针对移动站的预认证，以通过当前和新子网工作。
2.如权利要求1所述的方法，其中所述解析包含IP地址的动态解析。
3.如权利要求2所述的方法，其中动态解析包含使接入点信标或探测响应包含IP地址。
4.如权利要求2所述的方法，其中动态解析包含使用CARD机制进行动态解析。
5.如权利要求1所述的方法，其中所述解析包含IP地址的静态解析。
6.如权利要求5所述的方法，其中所述静态解析包含使用DHCP传递至少一个邻近AP 的MAC地址和IP地址对的列表。
7.如权利要求5所述的方法，其中所述静态解析包含使用EAP-TLV传递至少一个邻近 接入点的MAC地址和IP地址对的列表。
8.如权利要求1所述的方法，其中新子网中的所述接入点不支持高层预认证，并且通 过委托代理与移动站通信，所述IP地址是所述委托代理的。
9.如权利要求8所述的方法，其中委托代理使用移动站的MAC地址。
10.如权利要求8所述的方法，其中新子网中的所述接入点通过委托代理向移动站传 送 IEEE 802. IX 中贞。
11.如权利要求8所述的方法，其中在高层分组的有效负载中传递移动站的MAC地址。
12.如权利要求1所述的方法，其中新子网中的所述接入点支持高层预认证并且与移动站通信。
13.如权利要求12所述的方法，其中新子网中的所述接入点通过使用传递802.IX帧的 高层协议与移动远程站点通信。
14.如权利要求13所述的方法，还包含传递802.IX帧和保持EAP消息的顺序不变。
15.如权利要求13所述的方法，还包含使用PANA传递EAP消息。
16.如权利要求13所述的方法，还包含使用IKEv2传递EAP消息。
17.如权利要求13所述的方法，还包含使用新定义的协议通过可靠传送来传递802.IX帧。
18.如权利要求17所述的方法，其中该可靠传送使用TCP。
19.一种方法，包括通过根据高层预认证在切换之前预先建立高层上下文来减少移动 站的切换延迟，还包含使用单个高层认证协议预先建立多个高层上下文。
20.如权利要求19所述的方法，还包含使用IKE或IKEv2预先建立多个高层上下文。
21.如权利要求19所述的方法，还包含使用PANA和IKE或IKEv2预先建立多个高层上 下文。
22.一种方法，包括通过根据高层预认证在切换之前预先建立高层上下文来减少移动 站的切换延迟，还包含在移动站和新子网中的接入点之间建立IPsec隧道，以将针对移动 站的预配置IP地址的业务重定向到当前连接的子网。
23.一种用于以最少的中断和保持的安全性在不同接入网络的接入点之间执行移动站 的切换的方法，包括在切换之前预先建立移动站的高层上下文，并且安全地将来自或送往 预先确定的IP地址的业务重定向到新接入网络，还包含在移动站和新接入网络中的接入路由器之间建立IPsec隧道，其中IPsec隧道内部地址被绑定到预先确定的IP地址。
24.一种用于以最少的中断和保持的安全性在不同接入网络的接入点之间执行移动站 的切换的方法，包括在切换之前预先建立移动站的高层上下文，并且安全地将来自或送往 预先确定的IP地址的业务重定向到新接入网络，其中新接入网络中的接入路由器被用作 临时归属代理，其中客户端设备在该临时归属代理上将其预先确定的IP地址登记为归属 地址，并且将物理连接的网络中分配的IP地址登记为转交地址。
25.一种方法，包括通过允许移动设备在切换之前针对所述接入点中的新接入点发 送和接收分组，在邻近网络或子网中的接入点之间执行移动设备的虚拟软切换，以使通信 中断最少，还包含通过高层来控制层次2切换定时，使得能够在开始层次2切换之前完成预 认证和预配置。
26.一种方法，包括通过允许移动设备在切换之前针对所述接入点中的新接入点发 送和接收分组，在邻近网络或子网中的接入点之间执行移动设备的虚拟软切换，以使通信 中断最少，还包含在虚拟软切换期间使用IPsec隧道进行业务重定向，其中设备的用于 IPsec隧道的外部和内部IP地址分别是当前子网中的转交地址和新子网中的转交地址。
27.如权利要求26所述的方法，还包含在执行层次2切换之前删除建立的IPsec隧道。
28.一种方法，包括通过允许移动设备在切换之前针对所述接入点中的新接入点发 送和接收分组，在邻近网络或子网中的接入点之间执行移动设备的虚拟软切换，以使通信 中断最少，还包含对所有业务使用IPsec隧道。
29.如权利要求28所述的方法，还包含在执行层次2切换之前删除建立的IPsec隧道。
全文摘要
在某些图解实施例中，提供了新颖的系统和方法，其能够例如扩展预认证(例如IEEE 802.11i预认证)的构思以跨越网络或子网(例如IP子网)进行操作。在优选实施例中，新颖的体系结构包含2个能够大大改进例如高层切换性能的新机制中的一个或两个。第一个机制被称为″预配置″，其允许移动设备预配置候选IP子网中有效的高层信息以进行切换。第二个机制被称为″虚拟软切换″，其允许移动站甚至在其实际执行到任何候选IP子网的切换之前通过候选IP子网发送或接收分组。
文档编号H04W80/04GK101848508SQ20101018421
公开日2010年9月29日 申请日期2005年1月21日 优先权日2004年1月22日
发明者大场义洋, 马场伸一 申请人:株式会社东芝;特尔科迪亚科技公司