专利名称:移动ip体系结构中的分组处理的制作方法
技术领域:
本发明涉及移动IP体系结构中的分组处理。本发明特别但不是必
然适用于归属代理(Home Agent)与移动节点之间的分组的路由选择, 其中,移动节点具有多路接入能力。
背景技术:
为了向在(接入)网络内和之间移动的用户终端提供稳定的IP连 接,因特网工程任务组(正TF)已经指定了被称为移动IP的协议。用于 IPv6的移动IP在RFC 3775 -"IPv6中的移动性支持"("Mobility Support in IPv6")中指定。根据移动IPv6,全局网络内用户终端或移 动节点(MN)的当前位置存储在称为归属代理(HA)的节点中。HA在 MN移动时动态地更新MN的当前位置,以便对于尝试连接它的其它 节点而言MN可到达。这些其它节点被称作通信节点(CN)。用于IPv4 的移动IP在RFC 3344中指定。
MN分配有^f皮称作归属地址(HoA)的稳定IP地址。在MN离开其 归属网络(即,分配HoA的网络)时,HA代表MN接收业务,然后将 它向MN隧穿(tunnel),即,MN与CN之间的通信经由HA发送。MN 的当前位置由转交地址(CoA)指示,并且因此,在HA需要将分组转 发到MN的当前位置时,HA必须将HoA映射到CoA。 HoA与CoA 之间的映射称为"绑定"(binding)。
移动IPv6定义被称作"路由优化"的机制,该机制能用于优化由 MN与CN之间的业务所采用的路由,从路由中移除HA。然而,路由 优化不是协议的必需部分,并且由于各种原因它可能不是始终可用。 例如, 一些网络地址转换(NAT)服务器可造成路由优化的问题,有效地使其使用无法实现。
移动通信的最近发展引入了支持用于MN的多路接入能力的需
要。例如,考虑根据两个不同的CoA同时可到达(reachable)的MN。 其中一个CoA可例如与3G接入网络相关联,而另一CoA可与WLAN 接入网络相关联。"monami6" IETF工作组当前在进行有关移动IPv6 中提供多路接入支持的工作。
配有不止一个(接入)通信接口的MN需要控制用于通信的接口使 用的机制,即,将流引导到特定的接口。此类机制将根据与通信流相 关联的选择符来应用定义的策略。为给定流设置的典型选择符可包括 用于流分组的源和目的地地址。在移动IPv6的情况下,此控制机制将 在负责向MN转发数据的HA内实现。在以MN的HoA为目的地的 数据到达HA时,HA决定数据将转发到(MN的)哪个接口 。
IPsec(IETF RFC 2401 -"因特网受保护业务的安全体系结构")是 意在为IP数据流提供加密和认证(authentication)的因特网协议。能够 预期在未采用路由优化,即数据流传递通过HA的情况下,IPsec将用 于保护MN与CN之间的端对端数据流安全。用于选择应用到数据流 的策略的选择符一般将位于IPsec分组的内层IP报头内。由于IPsec 可加密此内层才艮头,选择符将不可用于HA,并且因此归属代理将不 能够选择适用于选择符的特定策略,而必须应用一些默认策略。在具 有多路接入能力的MN的情况下,这意味着IPsec受保护流必须经由 可能不是最佳的默认通信接口而进行路由。
类似的情形可在运输路径内并需要其来应用选择符相关策略的其 它节点处发生[参阅正TF RFC 4140-"分级移动IPv6移动性管理 (HMIPv6)"]。策略可以与适当通信接口的选择无关,但可与例如将 被应用的服务质量(QoS)或在多个接口上传送的决定有关,例如,双播 (或更一般地,n播)
发明内容
本发明的目的是提供部件,由此例如归属代理等中间节点能将策
略应用到分组,所述策略取决于IPsec通常保护的分组内的数据。
根据本发明的第一方面,提供了处理使用IPsec安全协议从通信 节点经由中间节点而传送到移动节点的IP分组的方法,该方法包括
在通信节点处,识别将加密的分组的部分内指定的选择符信息, 并将所识别的信息或其摘要合并入将不加密发送的分组的报头部分;
将分组从通信节点传送到所述中间节点;以及
在中间节点处,接收所传送的分组并使用包含在分组中的所述信 息或摘要来识别将应用到分组的策略,以及将策略应用到分组。
本发明的实施例允许某些通常加密的数据无阻碍地提供到中间节 点。作出的假设是无阻碍提供此信息不是安全风险,或者只表示可接 受的风险。
用于生成选择符信息的摘要的优选方法是将哈希函数应用到信 息,所得到的哈希值合并入所述报头部分。
在所述IP分组是IPv6分组的情况下,所述l艮头部分可以是IPv6 分组的扩展报头。更优选地,所述扩展报头是目的地选项报头和逐跳 扩展报头中的一个。备选地,所述报头部分是外层IPv6报头内的IPv6 流标签。在所述IP分组是IPv4分组的情况下,所述报头部分可以是 IPv4报头选项或UDP报头中的一个。
本发明特别适用于所述分组根据移动IPv6协议而构建和处理,并 且所述中间节点是归属代理的情况。考虑所述移动节点是有多路接入 能力的移动节点的情况,所述策略识别将在其上转发分组的接入网络 和/或技术。这种情况下,所识别的信息可包括原始分组的原始源地址、 目的地地址、源端口号及目的地端口号中的一个或多个,这允许归属 代理选择将在其上转发分组的接口,即转交地址。
将理解,在归属代理未能认出或识别与所述信息或其摘要相关联
的策略的情况下,默认策略可由归属代理应用到分组。这种情况下, 在移动节点接收到分组时,移动节点可将绑定更新发送到归属代理,
7所述归属代理识別将应用到包含相同信息或摘要的将来分组的策略。
根据本发明的第二方面,提供了设置用于经由代表移动节点将策 略应用到分组的中间节点而将IP分组发送到移动节点的用户终端,该
用户终端包括
处理器,用于识别IP分组内的选择符信息,并用于将该信息或其 摘要合并入分组的报头部分,以及用于采用IPsec安全策略以加密除 所述l艮头部分外分组的至少一部分;以及
发射器,设置用于将部分加密的分组发送到所述中间节点。 根据本发明的笫三方面,提供了在IP通信网络内使用的节点,该 节点包括
接收器,用于从通信节点接收IP分组,分组使用IPsec安全协议 来保护;以及
处理器,用于识别包含在所接收的分组的未加密报头部分内的选 择符信息,并且用于使用选择符信息来识别将应用到分组的策略,以
及用于将策略应用到分组。
图1示意性地示例采用移动IPv6的通信系统; 图2示意性地示例在目的地选项字段内合并哈希选项的IPv6 IPsec安全分组的结构;图3示出IPv6分组的目的地选项扩展"t艮头的结构;
图4示出图3且包含哈希值的扩展报头选项数据字段的结构;
图5示例包含策略代码字段的绑定更新消息;
图6示意性地示例在图1系统内的移动IPv6分组的信令流;
图7示出根据IPv4的UDP分组的结构;
图8示意性地示例合并哈希UDP才艮头的IPv4 IPsec安全分组的结
构;
图9示出包含多个UDPl良头的IPv4分组的结构;以及图10示意性地示例采用移动IPv6并包含策略执行点(Policy Enforcement Point)的通寸言系统。
具体实施例方式
图1示意性地示例用于允许在一对用户终端之间通信的通信系 统,其中的第一个用户终端标识为移动节点(MN)l,并且其中的第二 个用户终端^^皮称作通信节点(CN)2。 MN1预订到归属网络3,该网络 使用归属代理(HA) 4来便于其订户进行漫游。如已经所述一样,HA 分配稳定的IPv6地址到MN,并且MN使用绑定更新(BU)使HA 了解 其当前的转交地址(CoA)。在图1所示情形中,MN1已漫游入两个不 同的接入网络5 、 6(或技术,例如WLAN和以太网)同时可用的位置。 这些网络的确切性质对本论述并不重要。重要的是各接入网络或技术 将转交地址分配到MN。 MN使用单个BU消息将两个转交地址通知 HA。将理解,CN也可以是釆用移动IP的漫游MN,尽管这未在图中 示出。
假设MN和CN使用IPsec保护其通信安全。这样,IP分组的内 层IP报头将被加密。对于将从CN发送到MN的所有分组,在执行加 密步骤前,CN将哈希函数应用到协议报头字段以生成哈希值,该字 段形成用于HA内路由策略的选择符(例如,源IP地址、目的地IP、 源端口、目的地端口、协议版本号)。哈希函数可以是SHA-1,或任何 其它合适的函数。哈希值可具有任何适当的长度。计算得出的哈希值 随后插入可在外层IPv6报头之后的"扩展"报头之一。
用于承载哈希值的优选扩展报头是IPv6目的地选项报头。这在图 2中示意性地示例。必须注意的是,这些报头不是分组的加密段的部 分。根据IPv6的预期行为是目的地报头只由分组的目的地节点(即, 此情况下的MN)看到。使用目的地才艮头承载哈希值因此与预期行为相 反。哈希值的备用候选位置是"逐跳"扩展报头。然而,由于逐跳报头 由路径中的每个节点处理,这导致性能恶化,并因此不是最佳选择。但是,哈希值的另一候选位置是外层IPv6报头内的IPv6"流标签"(注
意,流标签不包含在扩展报头内)。然而,流标签未很好定义,并且一
些应用可能将它用于其自己的目的,这意味着会发生现有IPv6流标签 的改写(overwrite)。
进一步考虑目的地选项扩展报头的使用,现有IPv6协议使得在目
的地选项扩展"^艮头内定义新类型的选项可能,v夂人而此类型的选项将一皮
没有认出它的节点忽略。这确保在不支持新选项类型的网络(或网络节 点)内的兼容性。
目的地选项报头内的各选项使用类型-长度-值(TLV)编码,其 中各选项如图3所示定义。新哈希选项的选项类型以最高阶两比特(比 特16和17)未设置的方式来定义。因此,根据IETF RFC2460,如果 HA没有认出该选项,则这些最高阶比特的设置将使HA跳过(skip over) 此选项并继续处理报头。本公开内容未定义确切的选项类型值。"选项 长度"(Option Length)字段设为以八位字节表示(in octets)的哈希值的 长度。实际哈希值使用图4所示的格式而存储在选项数据(Option Data) 字段中。适当的"填充,,可添加在哈希选项字段末。
在HA接收目的地是HoA的分组时,由于目的地选项扩展净良头未 加密,因此,它可从中读取哈希值。HA保持预期哈希值与策略之间 的映射。提取的哈希值用于从映射获得适当的策略。此策略定义(两个 或可能更多)已注册转交地址中哪个将用作分组的转发地址。HA将又 一 IPv6纟艮头添加到包^M乍为目的地地址的适当转交地址的分组的前
如果没有匹配所接收的哈希值的策略,则HA可使用给定HoA的 任何MN的当前绑定(MN可具有不止一个HoA,即节点是多归属型 (multi-homed))。如果MN经由错误或不当的接口从HA接收分组,贝'J MN将确定HA不具有适当的策略信息。MN可随后通过向HA发送 包含哈希值的BU消息而更新HA映射数据库。绑定更新在BU的策 略字段内包含适当策略代码以指示哈希值的用途。这在图5中示例。HA向MN返回绑定确认(BA)。
为允许BU消息包含更新信息,通过定义新移动性选项("哈希" 选项)来扩展此消息。移动性选项的一般格式在正TF RFC 2460的6.2.1 部分定义。新选项类型可被添加而不会引入兼容性问题,如RFC所述 "在处理包含接收器没有认出其选项类型值的选项的移动性报头时,接 收器必须悄悄地忽略并跳过该选项,正确地处理消息中的任何剩余选 项"。新"选项类型"字段的确切值在此处保留为空。
在哈希选项内,"选项长度"字段必须设为哈希的长度,而"选 项数据"字段包含哈希值。原始BU格式包括转交地址,并因此包括 承载该特定转交地址的哈希值的此新移动性选项隐式地创建HA将理 解的映射(即,策略)。
在BU消息中包括p合希选项时,MN应设置确认(A)比特为on。如 果HA认出哈希选项,则它必须在由于A比特的设置而返回到MN的 BA消息中包括所接收的哈希选项。这将确保MN接收HA接收到消 息和HA支持哈希功能性两者的确认。如果MN接收未包括哈希选项 的BA,则它将此解释为HA没有认出哈希选项的表示。在这种情况 下,MN将停止在发送到HA的其它BU中包括哈希选项。
如果需要做策略决定的节点不是HA,则需要HA向该节点提供 所接收的映射信息。图10示例为策略决定在策略执行点(PEP)7做出 的情况实例。策略由归属代理4向PEP提供,而归属代理4继续从 MN接收BU消息。然而,此类协议的细节超出了本论述的范围。
图6示例如上所述利用哈希值的移动IPv6体系结构内的消息流, 其中,HA在处理哈希选项前确定是启用还是禁用哈希标记功能性。 将理解,在接口选择是只基于分组的源和目的地地址并且这些地址包 含在分组的纯文本外层报头内的情况下,无需在HA启用哈希标记功 能性。仅在选择符包含另外加密的数据时,才启用该功能性。为此, HA为各MN保持(maintain)为其启用该功能性的CN的列表(即,其中 默认值是禁用该功能性)或为其禁用该功能性的CN的列表(即,其中默认值是启用该功能性)。MN可通过将BU消息发送到HA,在哈希 选项字段中包含该动作应用到的CN的IP地址而将CN添加到此列表 (启用或禁用)(注意,地址未哈希化)。在动作是启用该功能性的情况下, BU消息将包含又一哈希选择字段,该字段包含映射到给定转交地址 的哈希值。
现在转到IPv4,此协议未定义目的地选项扩展净艮头(destination options extension header),并且其使用因此仅限于IPv6。然而,IPv4 报头可包含选项,并且新选项类型可定义以承载哈希值(参阅RFC 1122 -"因特网主机的需求一 一通信层")。IPv4指出"IP和传送层各自 必须解释它们理解的那些IP选项并悄悄地忽略其它选项"。不过,IPv4
选项处理有时有问题,并因此不推荐使用IPv4选项。
作为IPv4选项使用的备选,哈希值可由IP分组的UDP报头(本 文称为"哈希UDP")承载。UDP分组具有图7所示的格式,其中, 包括UDP报头的整个IP分组结构在图8中示例。UDP报头内的数据 字段可用于承载可变长度哈希值。源端口和目的地端口值应设为某一 /某些已知值,但这些值此处未定义。如果原始IP分组已经包含UDP 报头,则新UDP报头在原始UDP报头后插入(此顺序至关重要),在 该情况下,分组具有图9所示的结构。
在HA接收发送到MN的HoA的IPv4分组时,HA可检查分组 并搜索哈希UDP报头。如果找到此报头,则提取哈希值,并在转发 分组到MN前从中移除哈希UDP报头。
将理解,如果HA不支持所需功能性,它将不从分组移除添加的 UDP报头(哈希UDP)。在MN支持哈希标记时的情况下,这不是问题, 因为MN恰好能够移除哈希UDP报头。然而,如果HA或MN均不 支持基于UDP的哈希标记,则分组将^皮丢弃,并且相关联的数据丟 失。因此,最好是默认在CN禁用哈希标记,并且仅在CN上接收来 自MN的特定信号后才打开此功能性。此类信号可包括在BU消息中。 然而,与此相反,如果IPv4选项用于承载哈希标签(hash label),则哈
12希标记(hash labelling)可默认打开。
在上述使用情况下,包括在IP分组中的哈希值用于选择将在其上 输送分组的接口。然而,哈希值也能用于许多其它用途。此类使用的 实例有选择服务质量和/或传输控制(n播)。用途可在BU消息的"用途" 字段中指示(参见图5)。
将理解,哈希函数的使用只是一种方式,由此尽管使用了 IPsec, 选择符信息也能够向HA揭示。其它机制可能实现。例如,通过级联 (concatenate)原始分组的源和目的地端口 ,可构建适当的标签。基于哈 希的机制的使用当然确实具有它不会使潜在机密的信息被泄露的优 点。
假设用于生成选择符信息的精确机制已预定义(例如,基于哈希的 机制),则不需要MN与CN之间的机制的协商,并且默认能够打开该 机制。然而,在一些环境中,可能最好是默认不打开哈希标记。为此, MN可向CN发送信号以启用预协定或选定机制的使用。此信号可合 并入发送到CN的下一分组中。同样,信号可作为IPv6中目的地选项 扩展净艮头内的选项或作为IPv4中的选项而包括。
本领域的技术人员将理解,在不脱离本发明范围的情况下,可对 上述实施例进行各种修改。
权利要求
1.一种处理使用IPsec安全协议经由中间节点从通信节点传送到移动节点的IP分组的方法,所述方法包括在所述通信节点处,识别将加密的所述分组的部分内的指定选择符信息,并将所识别的信息或其摘要合并入将不加密发送的所述分组的报头部分;将所述分组从所述通信节点传送到所述中间节点;以及在所述中间节点处,接收所传送的分组并使用包含在所述分组中的所述信息或摘要来识别将应用到所述分组的策略,以及将所述策略应用到所述分组。
2. 根据权利要求1所述的方法,其中所述通信节点使用应用到所述信息的哈希函数来生成所述选择符信息的摘要,并将所得到的哈希值合并入所述报头部分。
3. 根据权利要求1或2所述的方法,其中所述IP分组是IPv6分组。
4. 根据权利要求3所述的方法,其中所述l艮头部分是所述IPv6分组的扩展报头。
5. 根据权利要求4所述的方法,其中所述扩展^^头是目的地选项报头和逐跳扩展报头中的一个。
6. 根据权利要求4所述的方法,其中所述才艮头部分是外层IPv6报头内的IPv6流标签。
7. 根据前述权利要求中任一项所述的方法,其中所述信息包括原始分组的原始源地址、目的地地址、源端口号及目的地端口号中的一个或多个。
8. 根据前述权利要求中任一项所述的方法,其中所述中间节点在将所述分组转发到所述移动节点前移除所述报头部分。
9. 根据前述权利要求中任一项所述的方法,其中所述分组根据移动IPv6 iH义而构建和处理。
10. 根据权利要求9所述的方法,其中所述中间节点是归属代理。
11. 根据权利要求10所述的方法,其中所述移动节点是有多路接入能力的移动节点,并且所述策略识别所述分组将在其上转发的接入网络和/或技术。
12. 根据权利要求11所述的方法,其中所述策略指定所述移动节点的转交地址。
13. 根据前述权利要求中任一项所述的方法,其中如果所迷中间节点未能识别与所述信息或其摘要相关联的策略,则默认策略^皮应用到所述分组。
14. 在权利要求13从属于权利要求10时,根据权利要求13所述的方法,并且包括在所述移动节点处接收已应用默认策略的分组时,使绑定更新发送到所述归属代理,所述归属代理识别将应用到包含相同信息或摘要的将来分组的所述策略。
15. 根据权利要求1或2所述的方法,其中所述IP分组是IPv4分组。
16. 根据权利要求15所述的方法,其中所述报头部分是IPv4报头选项或UDP报头中的一个。
17. 根据前述权利要求中任一项所述的方法,所述方法包括为各移动节点在所述中间节点保持将为其应用或不应用识别策略和应用所述策略的所述步骤的通信节点的列表。
18. 根据权利要求17所述的方法,所述方法包括将绑定更新消息从所述移动节点发送到所述中间节点或到负责将策略插入所述中间节点的节点,所述绑定更新消息包含将为其识别或不识别所述策略的通信节点的IP地址。
19. 根据权利要求18所述的方法,其中在将识别所述策略的情况下,所述绑定更新消息也包含所述摘要并识别对应的策略。
20. —种设置用于经由代表移动节点将策略应用到分组的中间节点而将IP分組发送到所述移动节点的用户终端,所述用户终端包括处理器,用于识别IP分组内的选择符信息,并用于将该信息或其摘要合并入所述分组的报头部分,以及用于采用IPsec安全策略以加密除所述l良头部分外所述分组的至少 一部分;以及发射器,设置用于将部分加密的分组发送到所述中间节点。
21. 根据权利要求20所述的终端,所迷处理器设置为使用应用到所述信息的哈希函数来生成所述选择符信息的摘要,并将所得到的哈希值合并入所述报头部分。
22. 根据权利要求21所述的终端,所迷处理器设置为将所述哈希值合并入所述IP分组的目的地选项才艮头,其中,所述IP分组是IPv6分组。
23. —种在IP通信网络内使用的节点,所述节点包括接收器,用于从通信节点接收IP分组,所述分组使用IPsec安全协议来保护;和处理器,用于识别包含在所接收的分组的未加密报头部分内的选择符信息,并且用于使用所述选择符信息来识别将应用到所述分组的策略,以及用于将所述策略应用到所述分组。
24. 根据权利要求23所述的节点,所述节点是用于实现移动IP的归属代理。
25. 根据权利要求23所述的节点,所述节点是策略执行点。
26. 根据权利要求23至25中任一项所述的节点,其中所述处理器设置为识别包含在所述所接收的分组的目的地选项字段内的选择符信息。
全文摘要
一种处理使用IPsec安全协议经由中间节点从通信节点传送到移动节点的IP分组的方法。该方法包括在通信节点处识别要加密的分组的部分内指定的选择符信息,并将所识别的信息或其摘要合并入要不加密发送的分组的报头部分,将分组从通信节点传送到所述中间节点,并在中间节点处接收所传送的分组并使用分组中包含的所述信息或摘要识别要应用到分组的策略,以及将策略应用到分组。
文档编号H04L29/06GK101543001SQ200680056485
公开日2009年9月23日 申请日期2006年11月30日 优先权日2006年11月30日
发明者H·马科南, P·约克拉, T·考皮南 申请人:艾利森电话股份有限公司