专利名称:具有用于移动台和安全网关之间的信令和媒体分组的空加密的方法和装置的制作方法
具有用于移动台和安全网关之间的信令和媒体分组的空加密的方法和装置
基于35U. S. C. § 119要求优先权
本申请是2007年9月24日提交的、申请号为200780035404. 2的、发明名称为“具有用于移动台和安全网关之间的信令和媒体分组的空加密的方法和装置”的申请的分案申请。本申请要求享有2006年9月25日递交的名称为“NULL-ENCRYPTION FOR SIP SIGNALING AND MEDIA PACKETS BETWEEN MS AND PDIF”的临时申请 No. 60/847,195 的优先权。该临时申请被转让给本受让人并通过引用明确地并入本文。技术领域
本发明概括地说涉及无线通信领域,更具体地涉及选择性内容保护。
背景技术:
通信技术具有许多应用领域,包括例如,寻呼、无线本地环路、因特网电话和卫星通信系统。一种示例性应用是用于移动用户的蜂窝电话系统。(如这里所使用的,术语“蜂窝”系统包括蜂窝和个人通信服务(PCS)系统频率。)已经针对这种蜂窝系统开发了被设计成允许多个用户访问公共通信介质的现代通信系统,比如无线通信系统。这些现代通信系统可以基于多址技术,比如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空分多址 (SDMA)、极分多址(PDMA)或本领域公知的其它调制技术。这些调制技术对从通信系统的多个用户接收的信号进行解调,从而能够增加通信系统的容量。与此相关,已经建立了各种无线通信系统,包括例如,先进移动电话服务(AMPS)、全球移动通信系统(GSM)和其它无线系统。
在FDMA系统中,将总频谱划分为多个更小的子带,并且给每个用户指定自己的子带以接入通信介质。可替换地,在TDMA系统中,将总频谱划分为多个更小的子带,每个子带在多个用户之间共享,并且允许每个用户在预定时隙中使用该子带进行发送。CDMA系统相比其它类型的系统提供了潜在的优势,包括增加了系统容量。在CDMA系统中,给每个用户指定了所有时间内的整个频谱,但是通过使用唯一的编码来区分每个用户的传输。
CDMA系统可以设计为支持一个或多个CDMA标准,比如(I) “用于双模宽带扩频蜂窝系统的TIA/EIA-95-B移动台-基站兼容标准”(IS-95标准),(2)由名为“第3代合作伙伴项目”(3GPP)的组织提供的并且体现在一系列文档中的标准,这些文档包括文档No. 3G TS 25. 211、No. 3G TS25. 212、No. 3G TS 25. 213 和 No. 3G TS 25. 214 (W-CDMA 标准),以及(3)由名为“第3代合作伙伴项目2” (3GPP2)的组织提供的并且体现在“用于cdma2000扩频系统的TR-45. 5物理层标准”(IS-2000标准)中的标准。
在上述CDMA通信系统和标准中,在多个用户之间同时共享可用频谱,并且可以利用适当技术来提供服务,比如语音和数据服务。
典型移动用户使用诸如移动电话或膝上型计算机的移动台或终端来接入无线通信系统。除语音通信外,移动台可以访问由归属地3G系统提供的其它网络数据服务,比如即时消息服务(IMS)。
移动台可以接入无线本地接入网(WLAN),其可以提供可选择的通信信道,用于访问由归属地3G系统提供的网络数据服务,而不使用归属地3G系统的“蜂窝”容量。图I示出了 3G-WLAN交互架构。移动台(MS)经由无线局域网(WLAN)系统可以访问MS归属地网络中的服务。分组数据互通功能体(PDIF)作为安全网关,保护网络服务(例如,即时消息服务 (IMS)),防止未授权的访问。MS是基于SIP的系统,其允许MS建立因特网语音协议(VoIP) 呼叫。
为了从WLAN系统访问MS服务,MS使用因特网密钥加密版本2 (IKEv2)来与分组数据互通功能体(PDIF)建立安全IP隧道。由归属地鉴权认证计费(H-AAA)对该隧道的建立进行鉴权和认证。虚线是用于鉴权、认证、计费(AAA)信息的路径。实线是用户数据业务的承载路径,管道是保护MS和I3DIF之间的用户数据业务的安全IP隧道。在建立安全IP 隧道之后,MS可以在3G归属地网络中注册MS。MS使用会话启动协议(SIP)来与MS中的控制实体(例如,代理呼叫会话控制功能(P-CSCF ))进行通信。
然而,该安全IP隧道对于特定业务类型来说效率低下。因此,在本领域中,对于移动台和3G网络来说,需要允许该移动台高效地访问由该3G网络提供的网络数据服务,而不使用该3G系统的“蜂窝”容量。发明内容
本发明的一方面在于一种用于通过无线局域网在移动台和安全网关之间高效传输分组以访问归属地服务的方法。在该方法中,建立第一加密安全关联以用于将第一类型分组从安全网关传输到移动台,并且建立第二加密安全关联以用于将第一类型分组从移动台传输到安全网关。接下来,建立第一空加密安全关联以用于将第二类型分组从安全网关传输到移动台,并且建立第二空加密安全关联以用于将第二类型分组从移动台传输到安全网关。基于业务选择符来选择用于使用第二空加密安全关联来传输的第二类型分组。而且, 可以基于业务选择符来选择使用第一空加密安全关联来传输的第二类型分组。
在本发明的更多具体方面中,业务选择符可以是预配置的并且为移动台和安全网关所已知。业务选择符可以是目的和/或源IP地址和端口号。
此外,可以在建立第一和第二加密安全关联之前产生业务选择符,或者可以在建立第一和第二加密安全关联之后产生业务选择符。此外,移动台可以产生业务选择符并使用第二加密安全关联将该业务选择符转发给安全网关,或者安全网关可以产生业务选择符并使用第一加密安全关联转发该业务选择符。
在本发明的其它更多具体方面中,第一和第二空加密安全关联均可以是子安全关联。每个安全关联可以是安全IP隧道。可以由第三代移动电话归属地网络来提供归属地服务。安全网关可以是分组数据互通功能体。所选择的用于使用第二空加密安全关联来传输的第二类型分组可以是先前加密的语音IP分组,或者其可以是先前加密的会话启动协议分组。
本发明的另一方面可以在于一种移动台,其包括用于建立第一加密安全关联以用于将第一类型分组通过无线局域网从安全网关传输到移动台的模块,用于建立第二加密安全关联以用于将第一类型分组通过无线局域网从移动台传输到安全网关的模块,用于建立CN 102932783 A书明说3/7页第一空加密安全关联以用于将第二类型分组通过无线局域网从安全网关传输到移动台的模块,用于建立第二空加密安全关联以用于将第二类型分组通过无线局域网从移动台传输到安全网关的模块,以及用于基于业务选择符来选择使用第二空加密安全关联来传输的第二类型分组的模块。
本发明的另一方面可以在于一种包括计算机可读介质的计算机程序产品,该计算机可读介质包括用于使计算机执行以下操作的代码建立第一加密安全关联以用于将第一类型分组通过无线局域网从安全网关传输到移动台,建立第二加密安全关联以用于将第一类型分组通过无线局域网从移动台传输到安全网关,建立第一空加密安全关联以用于将第二类型分组通过无线局域网从安全网关传输到移动台,建立第二空加密安全关联以用于将第二类型分组通过无线局域网从移动台传输到安全网关,以及基于业务选择符来选择使用第二空加密安全关联来传输的第二类型分组。
图I是通过无线局域网与归属地3G系统进行通信的移动台的方框图。
图2是无线通信系统的实例。
图3是用于在移动台和安全网关之间建立安全关联的方法的流程图。
图4是移动台的方框图。
具体实施方式
词语“示例性”在这里用于表示“作为实例、例子或图示”。没有必要将这里描述为 “示例性”的任何实施例均视为比其它实施例更优选或有利。
也称为移动台(MS)、接入终端(AT)、用户设备或用户单元的远程站可以是移动的或固定的,并且可以与也称为收发基站(BTS)或节点B的一个或多个基站进行通信。远程站通过一个或多个基站向也称为无线网络控制器(RNC)的基站控制器发送和接收数据分组。 基站和基站控制器是被称为接入网的网络的一部分。接入网在多个远程站之间传送数据分组。接入网还可以连接到接入网外部的附加网络,比如企业内部网或因特网,并且接入网可以在每个远程站和这种外部网络之间传送数据分组。已经与一个或多个基站建立活动业务信道连接的远程站,称为活动远程站并且被称为处于业务状态中。在与一个或多个基站建立活动业务信道连接过程中的远程站被称为处于连接建立状态。远程站可以是通过无线信道进行通信的任何数据设备。远程站还可以是多种类型设备中的任何设备,包括但不局限于PC卡、压缩闪存、外部或内部调制解调器或无线电话。远程站向基站发送信号所通过的通信链路称为上行链路,也称为反向链路。基站向远程终端发送信号所通过的通信链路称为下行链路,也称为前向链路。
参照图2,无线通信系统100包括一个或多个无线移动台(MS) 102、一个或多个基站(BS) 104、一个或多个基站控制器(BSC) 106以及核心网108。核心网可以经由适当回程连接到因特网110和公共交换电话网(PSTN) 112。典型的无线移动台可以包括手持电话或膝上型计算机。无线通信系统100可以采用多个多址技术中的任意一种技术,比如码分多址(CDMA )、时分多址(TDMA )、频分多址(FDMA )、空分多址(SDMA )、极分多址(PDMA )或本领域公知的其它调制技术。8
再次参照图1,MS可以访问由该MS的归属地第三代(3G)网络18提供的服务。分组数据互通功能体(PDIF)20用作防止未授权使用3G网络服务的安全网关。因为已经经由 IPsec传输模式对在MS和P-CSCF之间交换的会话启动协议(SIP)信令进行了加密,所以该方法和装置可以对MS和H)IF之间传输的SIP信令消息禁用IPsec加密。该目的是为了避免在MS处对SIP信令消息的嵌套IPsec加密/解密。
因为VoIP媒体分组的加密/解密(每20ms —次)可能会引起I3DIF和MS中的显著处理负荷,所以应当对在MS和roiF之间传输的VoIP媒体分组禁用IPsec加密。下面描述的方法和装置节省了 MS中的处理资源,更具体地节省了支持许多MS的H)IF中的处理资源。
尽管需要对SIP信令和VoIP媒体分组禁用IPsec加密,但是优选地对其它非MS 分组流(例如,emial消息、IM等)应用IPsec加密。
该方法的目的是为MS和roiF沿每个方向建立两个IPsec SA。(沿每个方向均需要两个IPsec SA是因为每个IPsec SA均是单方向的。)一个IPsec SA用于加密,另一个 IPsec SA用于空加密。MS配置安全策略数据库(SB))中的业务选择符,使得将该空加密 IPsec SA应用于SIP信令消息以及可选地应用于VoIP媒体分组,并且将加密IPsec SA应用于其它业务。
在初始IKEv2协商期间,MS和TOIF建立默认IPsec SA以用于对发往该MS和源于该MS的所有业务(初始的非MS业务)进行加密。在该IPsec SA的建立期间,MS和TOIF 使用IKEv2来配置SH)中的业务选择符,使得该加密IPsec SA应用于发往该MS的IP地址的所有分组和源于该MS的IP地址的所有分组。
当MS需要MS业务时,MS执行SIP注册。经由与P-CSCF的SIP REGISTER/2000K 交换,MS获得客户/服务器端口号,该端口号将用于携带后续SIP信令消息,并且这些消息将通过MS和P-CSCF之间的IPsec加密来保护。在MS获得客户/服务器端口号之后,MS使用创建子SA (Create-ChiId-SA)交换来建立用于SIP信令和可选地用于VoIP媒体分组的空加密IPsec SA0在空加密IPsec SA的建立期间,MS和PDIF使用IKEv2来配置SPD中的业务选择符,使得该空加密IPsec SA应用于具有该客户/服务器端口号的分组(指示该分组携带已加密的SIP信令消息)。
此外,MS和roiF可以配置SPD中的附加业务选择符,使得该空加密IPsec SA应用于VoIP媒体分组。有两种方法来进行该操作
I)如果将MS静态地配置为总是利用源端口 X发送VoIP媒体分组并利用目的端口 y接收VoIP媒体分组,则在空加密IPsec SA的建立期间,MS可以配置SB)中的附加业务选择符(针对端口 X和y),使得该空加密IPsec SA应用于具有端口 X的源于MS的分组和具有端口 y的终止于MS的分组。
2)如果为每个VoIP会话动态地选择端口号,则在每个VoIP会话的开始,MS知道其将使用哪个端口(例如,端口 u)来发送VoIP媒体分组以及其将使用哪个端口(例如,端口 V)来接收VoIP媒体分组。MS可以使用IKEv2信息交换(Informational Exchange)来更新SPD中的业务选择符(针对端口 u和V),使得该空加密IPsec SA应用于具有端口 u的源于MS的分组和具有端口 V的终止于MS的分组。
MS具有以下性能在MS通过SIP交换获得客户/服务器端口号之后,MS使用CN 102932783 A书明说5/7页IKEv2来为具有这些客户/服务器端口号的分组(这些分组将携带已加密的SIP信令消息, 并且不需要在MS和I3DIF之间再次加密)建立空加密IPsec SA;并且MS可以使用IKEv2来配置SPD中的业务选择符,以便对VoIP媒体分组应用空加密IPsec SA。TOIF具有以下性能支持SIP信令消息的空加密IPsec SA ;以及支持用于VoIP媒体分组的空IPsec SA。
参照图I和3,本发明的一方面在于一种用于通过无线局域网WLAN 22在移动台 MS 102和安全网关20 (例如,PDIF)之间高效传输分组以访问归属地服务的方法300。在该方法中,建立第一加密安全关联ESAl以用于将第一类型分组从安全网关传输到移动台 (步骤302),并且建立第二加密安全关联ESA2以用于将第一类型分组从移动台传输到安全网关(步骤304)。接下来,建立第一空加密安全关联N-ESAl以用于将第二类型分组从安全网关传输到移动台(步骤306),并且建立第二空加密安全关联N-ESA2以用于将第二类型分组从移动台传输到安全网关(步骤308)。基于业务选择符来选择用于使用第二空加密安全关联来传输的第二类型分组。而且,可以基于业务选择符来选择用于使用第一空加密安全关联来传输的第二类型分组。
第一类型分组是那些需要加密的分组,并且使用第一和第二加密安全关联来传输。第二类型分组是那些已加密的分组(例如,SIP信令、VoIP等),并且使用第一和第二空加密安全关联来传输。
业务选择符可以是预配置的并且为移动台和安全网关所已知。业务选择符可以是目的和/或源IP地址和端口号。分组的类型可以通过关联的IP地址和/或端口号来确定。
可替换地,可以在建立第一和第二加密安全关联之前产生业务选择符,或者可以在建立第一和第二加密安全关联之后产生业务选择符。例如,移动台可以产生业务选择符并使用第二加密安全关联将该业务选择符转发到安全网关(步骤310),或者安全网关可以产生业务选择符并使用第一加密安全关联转发该业务选择符(步骤312)。
在本发明的其它更多具体方面中,第一和第二空加密安全关联均可以是子安全关联。每个安全关联均可以是安全IP隧道24。可以由第三代移动电话归属地网络18来提供归属地服务。安全网关可以是分组数据互通功能体20。所选择的用于使用第二空加密安全关联来传输的第二类型分组可以是先前加密的语音IP (VoIP)分组,或者其可以是先前加密的会话启动协议(SIP)分组。
参照图4,本发明的另一方面可以在于一种移动台102,其包括用于建立第一加密安全关联以用于将第一类型分组通过无线局域网从安全网关传输到移动台的模块,用于建立第二加密安全关联以用于将第一类型分组通过无线局域网从移动台传输到安全网关的模块,用于建立第一空加密安全关联以用于将第二类型分组通过无线局域网从安全网关传输到移动台的模块,用于建立第二空加密安全关联以用于将第二类型分组通过无线局域网从移动台传输到安全网关的模块,以及用于基于业务选择符来选择用于使用第二空加密安全关联来传输的第二类型分组的模块。上述模块可以包括控制处理器402。该移动台还可以包括如移动电话通常所具有的存储器件404、键盘406、麦克风408、显示器410、扬声器、 天线等。
本发明的另一方面可以在于一种包括计算机可读介质的计算机程序产品,该计算机可读介质,比如存储器件404,包括用于使计算机执行以下操作的代码建立第一加密安全关联以用于将第一类型分组通过无线局域网从安全网关传输到移动台,建立第二加密安`10全关联以用于将第一类型分组通过无线局域网从移动台传输到安全网关,建立第一空加密安全关联以用于将第二类型分组通过无线局域网从安全网关传输到移动台,建立第二空加密安全关联以用于将第二类型分组通过无线局域网从移动台传输到安全网关,以及基于业务选择符来选择用于使用第二空加密安全关联来传输的第二类型分组。
本领域技术人员应当理解,可以使用各种不同的方法和技术中的任何一种来表示信息和信号。例如,在以上整个说明书中所提及的数据、指令、命令、信息、信号、比特、符号和码片可以用电压、电流、电磁波、磁场或磁性粒子、光场或光粒子或者其任何组合来表示。
本领域技术人员还应当注意,结合这里公开的实施例所描述的各种示例性逻辑块、模块、电路和算法步骤可以实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了整体描述。这种功能是实现为软件还是实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明的范围。
结合这里公开的实施例所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行通用处理器、数字信号处理器(DSP)、 专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、离散门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可选地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP 核、或任何其它这种配置。
结合这里公开的实施例所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以位于RAM存储器、闪速存储器、 ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它存储介质形式。示例性的存储介质耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。作为替换,所述存储介质可以与处理器集成在一起。处理器和存储介质可以位于ASIC中。ASIC可以位于用户终端中。作为替换,处理器和存储介质可以作为分立的部件位于用户终端中。
在一个或多个示例性实施例中,所述功能可以实现在硬件、软件、固件或其任意组合中。如果实现在作为计算机程序产品的软件中,则可以将这些功能作为一个或多个指令或代码来存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够由计算机访问的任何可用介质。举例而言而非限制性地,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储介质、磁盘存储介质或其它磁性存储设备,或者是可以用于携带或存储以指令或数据结构形式的所需程序代码并且能够由计算机访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外、 无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光学盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常通过磁性再现数据,而光盘利用激光通过光学技术再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
上面描述了所公开的实施例,以使本领域的任何技术人员均能够实现或者使用本发明。对于本领域技术人员来说,对这些实施例的各种修改是显而易见的,并且本申请定义的一般性原理也可以在不脱离本发明的精神和范围的基础上应用于其它实施例。因此,本发明并不限于这里所给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
权利要求
1.一种用于传输分组的方法,包括建立针对移动台和安全网关之间的分组业务的加密安全关联;建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联;以及基于业务选择符来选择使用所述空加密安全关联进行传输的分组,其中,所述空加密安全关联应用于一个或多个MS分组流,并且其中,所述加密安全关联至少应用于非MS分组流。
2.根据权利要求I所述的方法,其中,所述空加密安全关联应用于SIP信令消息。
3.根据权利要求2所述的方法,其中,所述选择包括将所述SIP信令消息映射到被空加密的子安全关联。
4.根据权利要求1-3中任意一项所述的方法,其中,所述空加密安全关联应用于VoIP 分组。
5.根据权利要求1-4中任意一项所述的方法,其中,所述加密安全关联包括IPsecSA0
6.根据权利要求1-5中任意一项所述的方法,其中,所述安全网关包括分组数据互通功能体。
7.根据权利要求1-6中任意一项所述的方法,其中,所述加密安全关联或所述空加密安全关联包括IP隧道。
8.根据权利要求7所述的方法,其中,所述选择包括将所述分组引导到所述IP隧道。
9.根据权利要求1-8中任意一项所述的方法,其中,所述加密安全关联或所述空加密安全关联是使用IKEv2来建立的。
10.根据权利要求1-9中任意一项所述的方法,还包括使用IKEv2来配置所述业务选择符。
11.根据权利要求1-10中任意一项所述的方法,其中,所述业务选择符包括IP地址或端口号。
12.根据权利要求1-11中任意一项所述的方法,其中,建立所述加密安全关联包括建立第一加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台,所述方法还包括建立第二加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关。
13.根据权利要求1-12中任意一项所述的方法,其中,建立所述空加密安全关联包括建立第一空加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台,所述方法还包括建立第二空加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关。
14.一种移动台,包括用于建立针对所述移动台和安全网关之间的分组业务的加密安全关联的模块;用于建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联的模块;以及用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的模块,其中, 所述空加密安全关联应用于一个或多个IMS分组流,并且其中,所述加密安全关联至少应用于非MS分组流。
15.根据权利要求14所述的移动台,其中,所述空加密安全关联应用于SIP信令消息。
16.根据权利要求15所述的移动台,其中,所述用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的模块包括用于将所述SIP信令消息映射到被空加密的子安全关联的模块。
17.根据权利要求14-16中任意一项所述的移动台,其中,所述空加密安全关联应用于 VoIP分组。
18.根据权利要求14-17中任意一项所述的移动台,其中,所述加密安全关联包括 IPsec SA。
19.根据权利要求14-18中任意一项所述的移动台,其中,所述安全网关包括分组数据互通功能体。
20.根据权利要求14-19中任意一项所述的移动台,其中,所述加密安全关联或所述空加密安全关联包括IP隧道。
21.根据权利要求20所述的移动台,其中,所述用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的模块包括用于将所述分组引导到所述IP隧道的模块。
22.根据权利要求14-21中任意一项所述的移动台,其中,所述加密安全关联或所述空加密安全关联是使用IKEv2来建立的。
23.根据权利要求14-22中任意一项所述的移动台,还包括用于使用IKEv2来配置所述业务选择符的模块。
24.根据权利要求14-23中任意一项所述的移动台,其中,所述业务选择符包括IP地址或端口号。
25.根据权利要求14-24中任意一项所述的移动台,其中,用于建立针对所述移动台和安全网关之间的分组业务的加密安全关联的模块包括用于建立第一加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台的模块,所述移动台还包括用于建立第二加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关的模块。
26.根据权利要求14-25中任意一项所述的移动台,其中,用于建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联的模块包括用于建立第一空加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台的模块,所述移动台还包括用于建立第二空加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关的模块。
27.一种计算机可读介质,包括用于建立针对移动台和安全网关之间的分组业务的加密安全关联的代码;用于建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联的代码;以及用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的代码,其中, 所述空加密安全关联应用于一个或多个IMS分组流,并且其中,所述加密安全关联至少应用于非MS分组流。
28.根据权利要求27所述的计算机可读介质,其中,所述空加密安全关联应用于SIP信令消息。
29.根据权利要求28所述的计算机可读介质,其中,所述用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的代码包括用于将所述SIP信令消息映射到被空加密的子安全关联的代码。
30.根据权利要求27-29中任意一项所述的计算机可读介质,其中,所述空加密安全关联应用于VoIP分组。
31.根据权利要求27-30中任意一项所述的计算机可读介质,其中,所述加密安全关联包括 IPsec SA。
32.根据权利要求27-31中任意一项所述的计算机可读介质,其中,所述安全网关包括分组数据互通功能体。
33.根据权利要求27-32中任意一项所述的计算机可读介质,其中,所述加密安全关联或所述空加密安全关联包括IP隧道。
34.根据权利要求33所述的计算机可读介质,其中,所述用于基于业务选择符来选择使用所述空加密安全关联进行传输的分组的代码包括用于将所述分组引导到所述IP隧道的代码。
35.根据权利要求27-34中任意一项所述的计算机可读介质,其中,所述加密安全关联或所述空加密安全关联是使用IKEv2来建立的。
36.根据权利要求27-35中任意一项所述的计算机可读介质,还包括用于使用IKEv2来配置所述业务选择符的代码。
37.根据权利要求27-36中任意一项所述的计算机可读介质,其中,所述业务选择符包括IP地址或端口号。
38.根据权利要求27-37中任意一项所述的计算机可读介质,其中,用于建立针对移动台和安全网关之间的分组业务的加密安全关联的代码包括用于建立第一加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台的代码,所述计算机可读介质还包括用于建立第二加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关的代码。
39.根据权利要求27-38中任意一项所述的计算机可读介质,其中,用于建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联的代码包括用于建立第一空加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台的代码, 所述计算机可读介质还包括用于建立第二空加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关的代码。
40.一种装置,包括存储器;以及处理器,用于建立针对移动台和安全网关之间的分组业务的加密安全关联,建立针对所述移动台和所述安全网关之间的分组业务的空加密安全关联,以及基于业务选择符来选择使用所述空加密安全关联进行传输的分组,其中,所述空加密安全关联应用于一个或多个MS分组流,并且其中,所述加密安全关联至少应用于非MS分组流。
41.根据权利要求40所述的装置,其中,所述空加密安全关联应用于SIP信令消息。
42.根据权利要求41所述的装置,其中,所述选择包括将所述SIP信令消息映射到被空加密的子安全关联。
43.根据权利要求40-42中任意一项所述的装置,其中,所述空加密安全关联应用于VoIP分组。
44.根据权利要求40-43中任意一项所述的装置,其中,所述加密安全关联包括IPsecSA。
45.根据权利要求40-44中任意一项所述的装置,其中,所述安全网关包括分组数据互通功能体。
46.根据权利要求40-45中任意一项所述的装置,其中,所述加密安全关联或所述空加密安全关联包括IP隧道。
47.根据权利要求46所述的装置,其中,所述选择包括将所述分组引导到所述IP隧道。
48.根据权利要求40-47中任意一项所述的装置,其中,所述加密安全关联或所述空加密安全关联是使用IKEv2来建立的。
49.根据权利要求40-48中任意一项所述的装置,其中,所述处理器还用于使用IKEv2 来配置所述业务选择符。
50.根据权利要求40-49中任意一项所述的装置,其中,所述业务选择符包括IP地址或端口号。
51.根据权利要求40-50中任意一项所述的装置,其中,建立所述加密安全关联包括建立第一加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台,所述处理器还用于建立第二加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关。
52.根据权利要求40-51中任意一项所述的装置,其中,建立所述空加密安全关联包括建立第一空加密安全关联以用于将分组业务通过无线局域网从所述安全网关传输到所述移动台,所述处理器还用于建立第二空加密安全关联以用于将分组业务通过所述无线局域网从所述移动台传输到所述安全网关。
全文摘要
公开了一种用于通过无线局域网在移动台和安全网关之间高效传输分组以访问归属地服务的方法。在该方法中,建立第一加密安全关联以用于将第一类型分组从安全网关传输到移动台,并且建立第二加密安全关联以用于将第一类型分组从移动台传输到安全网关。接下来,建立第一空加密安全关联以用于将第二类型分组从安全网关传输到移动台,并且建立第二空加密安全关联以用于将第二类型分组从移动台传输到安全网关。基于业务选择符来选择用于使用第二空加密安全关联来传输的第二类型分组。而且,可以基于业务选择符来选择用于使用第一空加密安全关联来传输的第二类型分组。该业务选择符可以是预配置的。
文档编号H04W12/02GK102932783SQ20121046897
公开日2013年2月13日 申请日期2007年9月24日 优先权日2006年9月25日
发明者A·C·马亨德兰, 徐大生 申请人:高通股份有限公司