一种基于网络的身份标识与位置分离的实现方法及系统的制作方法

文档序号:7717687阅读:266来源:国知局
专利名称:一种基于网络的身份标识与位置分离的实现方法及系统的制作方法
技术领域
本发明涉及通信技术领域,尤其涉及一种基于网络的身份标识与位置分离的实现 方法及系统。
背景技术
当前因特网的各层结构中,除了物理层以外,各层协议实体均有自己的名字空间, 分别是链路层的MAC地址、网络层的IP地址、传输层的IP地址和端口号、应用层的域名。 在这些名字空间中,MAC地址只要求在子网内唯一,而端口号只要求在移动终端内部唯一, 因此,因特网中存在两个重要的全局名字空间——IP地址和域名。域名和IP地址中间通 过DNS(Domain Name System,域名系统)实现解析。在这样的名字空间结构中,IP地址具 有双重功能,既作为网络层通信的移动终端在网络拓扑中的位置标识,又作为传输层移动 终端的身份标识。TCP/IP设计之初并没有考虑移动终端移动的情况,但是,随着NGN(Next Generation Networks,下一代网络)的发展,移动终端移动性(mobility)和移动终端多穴 性(multihoming)和路由表冗余的问题越来越普遍,这种IP地址的语义过载缺陷日益明 显。当移动终端的IP地址发生变化时,不仅路由要发生变化,移动终端的身份标识也发生 变化。对于路由的变化是可以接受的,但是移动终端的身份标识的变化却会导致应用和连 接的中断。为了支持移动性和多穴性,更好的支持通话的连续性,业界提出了 IPSPLIT(ID/ locator separation in NGN,NGN中的身份标识/位置分离)技术,IPSPLIT技术用移动终 端标识符(Host ID)作为移动终端的身份标识,移动终端标识符全球唯一地标识每台连接 到hternet的移动终端。其目的是将传输层与网络层分开,为hternet提供一个安全的 移动终端移动和多穴性的方法;提供一个加密的移动终端标识命名空间,更容易地对通信 双方进行认证,从而实现安全的、可信任的网络系统。在IPSPLIT网络中,IP地址仅表示移 动终端在网络拓扑中的路由位置。此技术解决IP地址的语义过载问题,将IP地址的双重 功能进行分离,实现对移动性、多穴性、IP地址动态重分配及不同网络区域之间的互访等问 题的支持。IPSPLIT技术基于NGN。在IPSPLIT网络中,用户可以是移动的也可以是多穴的, 这时对一个用户IP地址是非唯一分配的,一个移动终端标识符可以对应于多个IP地址,因 此能很好地解决多穴性和移动性问题。多穴性设备的移动终端标识符对应多个IP地址,如 果一个IP地址不能使用了,或者有更好用的IP地址,已经建立的传输层连接可以很容易地 转移到其他IP地址。由于移动终端的移动,IP地址会发生变化,但移动终端标识并没有变, 因此传输层的连接可以不中断,但是移动节点应该通知自己IP地址的改变。由于传输层连 接是与移动终端标识绑定的,IP地址只是被用来进行路由,因此,IPSPLIT技术可以实现不 同网络区域之间的互访,如公共网络与私有网络之间,以及IPv4网络与IPv6网络之间等。基于IPSPLIT的NGN体系架构包括网络接入控制部分、身份标识与位置分离控制 部分、身份标识与位置分离映射部分、资源控制部分、传输部分、业务控制功能部分和用户 终端/用户网络部分。其中,网络接入控制部分为接入NGN网络的用户终端/用户网络提供注册、鉴权授权、地址分配、参数配置、位置管理等功能,例如图1所示的ITU-T NGN网络 中网络附着控制功能(Network Attachment Control Functions,简称为NACF)。身份标 识与位置分离控制功能(Id-loc-control functions,简称为ILCF)进行ID/L0C映射的存 储和动态更新。资源控制部分基于策略和网络资源状态,完成用户终端/用户网络接入网 络时接纳控制、资源预留等功能,例如ITU-T NGN网络中资源接纳控制功能(Resource and Admission Control Functions,简称为 RACF),NGN 中接入管理功能(Acess management Functions)。传输部分完成信息的传输功能,例如ITU-T NGN网络中传输功能CTransport Functions)。业务控制功能(Service Control Functions)部分属于业务层(Service stratum)中的一部分,在业务层次上完成注册、鉴权授权、资源控制等功能,例如ITU-T NGN 网络中业务终端认证和鉴权过程。用户终端/用户网络部分向用户提供网络接入功能,例 如 ITU-T NGN 网络中 LE (User Equipment,用户设备)。基于IPSPLIT的NGN体系功能框架如图2所示,其中各功能实体的作用如下传输层用户配置功能实体(TransportUser Profile Functional Entity, TUP-FE),用于负责保存与传送层面相关的用户信息;传输层认证禾口鉴权功能实体(Transport Authentication and Authorization Functional Entity, TAA-FE),用于提供传送层鉴权和认证功能,基于用户信息对用户的网 络接入执行鉴权和授权检查;接入管理功能实体(Access Management Functional Entity, AM-FE),用于对用 户发起的网络接入请求进行翻译转换,将分配IP地址和其他网络配置参数的请求发送给 NAC-FE ;传输层位置管理功能实体(Transport Location Management Functional Entity, TLM-FE),用于注册分配给用户的IP地址和NAC-FE提供的其它网络位置信息;网络接入管理功能实体(Network Access Configuration Functional Entity, NAC-FE),用于负责向用户终端分配IP地址,同时可能向用户终端分配其他网络配置参数, 如DNS服务器的地址、信令代理的地址等。身份标识与位置分离映射功能实体(Id-loc-Mapping Functional entity, ILM-FE),存储ID/L0C影视及动态更新映射的功能实体;接入边界网关功能实体(Access Border Gateway Functional Entity),在接入网 和核心网间的一个数据包网关。网络接入控制功能(Network access control function,NACF),它是网络接入控 制的功能;身份标识与位置分离映射控制功能(Id-loc-Mapping Control function,简称为 ILMCF);资源与策略控制功能(Resource and Admission Control Functions);业务层用户配置功能实体(Service User Profile Functional Entity,简称为 SUP-FE)用于负责配置业务层用户信息;IPSPLIT技术包括基于移动终端的IPSPLIT和基于网络的IPSPLIT。基于移动终 端的IPSPLIT技术现在已有部分标准,基于网络的IPSPLIT技术,目前,还没有解决身份标 识与位置分离的技术方案。

发明内容
本发明要解决的技术问题是提供一种基于网络的身份标识与位置分离的实现方 法及系统。为解决上述技术问题,本发明提供了一种基于网络的身份标识与位置分离的实现 方法,包括源网关在收到发送方的首个数据包后,通过身份标识与位置分离的映射功能实体 (ILM-FE)注册或更新发送方身份标识和位置的绑定关系;源网关收到所述ILM-FE返回的响应后,封装所述首个数据包,将封装后的数据包 通过目的网关发送至接收方;源网关在收到发送方的首包以外的数据包后,封装所述首包以外的数据包并通过 目的网关发送至接收方。进一步地,源网关在通过所述ILM-FE注册或更新发送方身份标识和位置的绑定 关系的同时,向所述ILM-FE查询接收方身份标识和位置的绑定关系,根据所述查询的绑定 关系封装首个数据包以及首包以外的数据包。进一步地,源网关收到所述ILM-FE返回的接收方身份标识和位置的绑定关系后, 封装所述数据包,在报头中携带发送方身份标识和位置以及接收方身份标识和位置,将封 装好的数据包发送给目的网关;所述目的网关收到数据包后,解封装所述数据包,根据其中 携带的接收方身份标识和位置将所述数据包发送给接收方。进一步地,如果源网关向所述ILM-FE注册发送方身份标识和位置的绑定关系失 败,则重新向所述ILM-FE发起注册。为解决上述技术问题,本发明提供了一种基于网络的身份标识与位置分离的系 统,包括身份标识与位置分离的映射功能(ILMF)和网关,其中所述ILMF,用于注册或更新身份标识和位置的绑定关系;所述网关包括源网关和目的网关,其中所述源网关,用于在收到发送方的首个数据包后,通过所述ILMF注册或更新发送 方身份标识和位置的绑定关系;收到所述ILMF返回的响应后,封装所述首个数据包,将封 装后的数据包通过目的网关发送至接收方;在收到发送方的首包以外的数据包后,封装所 述首包以外的数据包并通过目的网关发送至接收方;所述目的网关,用于接收到所述源网关发送的封装后的数据包后,发送至接收方。进一步地,所述ILMF还用于接收源网关的查询,向所述源网关返回接收方身份标 识和位置的绑定关系;所述源网关,还用于在通过所述ILMF注册或更新发送方身份标识和 位置的绑定关系的同时,向所述ILMF查询接收方身份标识和位置的绑定关系,根据所述查 询的绑定关系封装首个数据包以及首包以外的数据包。进一步地,所述源网关进一步用于在收到所述ILMF返回的接收方身份标识和位 置的绑定关系后,封装所述数据包,在报头中携带发送方身份标识和位置以及接收方身份 标识和位置,将封装好的数据包发送给目的网关;所述目的网关进一步用于在收到数据包 后,解封装所述数据包,根据其中携带的接收方身份标识和位置将所述数据包发送给接收方。
进一步地,所述ILMF进一步用于在注册发送方身份标识和位置的绑定关系失败 时,向所述源网关发送失败消息;所述源网关进一步用于在收到所述ILMF发送的失败消息 后,重新向所述ILMF发起注册。针对现有技术中存在的问题,本发明提出了一种基于网络的身份标识与位置分离 的实现方法及系统;所述的方法为了克服现在IPSPLIT技术的不足而构建的一种全新的基 于网络的IPSPLIT,实现NGN中身份标识与位置分离。


图1为基于IPSPLIT技术的NGN体系架构示意图;图2为基于IPSPLIT技术的NGN体系功能框架示意图;图3为基于网络的IPSPLIT在IPSPLIT框架中的组成示意图;图4为基于网络的IPSPLIT-based NGN中用户接入及其与网络之间互相认证成功 后数据传输过程示意图;图5为基于网络的IPSPLIT-based NGN中数据转发过程中发起方发生移动后数据 传输过程示意图。
具体实施例方式本发明的技术方案是源网关在收到发送方的首个数据包后,通过身份标识与位 置分离的映射功能实体(ILM-FE)注册或更新发送方身份标识和位置的绑定关系;源网关 收到所述ILM-FE返回的响应后,封装所述首个数据包,将封装后的数据包通过目的网关发 送至接收方;源网关在收到发送方的首包以外的数据包后,封装所述首包以外的数据包并 通过目的网关发送至接收方。进一步地,源网关在通过所述ILM-FE注册或更新发送方身份标识和位置的绑定 关系的同时,向所述ILM-FE查询接收方身份标识和位置的绑定关系,根据所述查询的绑定 关系封装首个数据包以及首包以外的数据包。目的网关可以在收到数据包后,将数据包解封装后再发送给接收方。源网关收到所述ILM-FE返回的接收方身份标识和位置的绑定关系后,封装所述 数据包,在报头中携带发送方身份标识和位置以及接收方身份标识和位置,将封装好的数 据包发送给目的网关;所述目的网关收到数据包后,解封装所述数据包,根据其中携带的接 收方身份标识和位置将所述数据包发送给接收方。进一步地,如果源网关向所述ILM-FE注册发送方身份标识和位置的绑定关系失 败,则重新向所述ILM-FE发起注册。基于网络的IPSPLIT在IPSPLIT框架中的组成如图3所示,包括ILMF以及网关, 其中ILMF用于注册或更新身份标识和位置的绑定关系;所述网关包括源网关和目的网关,其中所述源网关,用于在收到发送方的首个数据包后,通过所述ILMF注册或更新发送 方身份标识和位置的绑定关系;收到所述ILMF返回的响应后,封装所述首个数据包,将封 装后的数据包通过目的网关发送至接收方;在收到发送方的首包以外的数据包后,封装所述首包以外的数据包并通过目的网关发送至接收方;所述目的网关,用于接收到所述源网关发送的封装后的数据包后,发送至接收方。本文所述的ILMF通常由ILM-FE即身份标识与位置分离的映射功能实体来实现。进一步地,所述ILMF还用于接收源网关的查询,向所述源网关返回接收方身份标 识和位置的绑定关系;所述源网关还用于在通过所述ILMF注册或更新发送方身份标识和 位置的绑定关系的同时,向所述ILMF查询接收方身份标识和位置的绑定关系,根据所述查 询的绑定关系封装首个数据包以及首包以外的数据包。所述源网关进一步用于在收到所述ILMF返回的接收方身份标识和位置的绑定关 系后,封装所述数据包,在报头中携带发送方身份标识和位置以及接收方身份标识和位置, 将封装好的数据包发送给目的网关;所述目的网关进一步用于在收到数据包后,解封装所 述数据包,根据其中携带的接收方身份标识和位置将所述数据包发送给接收方。所述ILMF进一步用于在注册发送方身份标识和位置的绑定关系失败时,向所述 源网关发送失败消息;所述源网关进一步用于在收到所述ILMF发送的失败消息后,重新向 所述ILMF发起注册。在所述系统中,任何一个网关既有可能是源网元也有可能是目的网关,一个网关 可以有两个模块分别实现源网关的功能以及目的网关的功能。基于网络的IPSPLIT技术,当UE接入网络和完成互相认证后,开始数据传输。其 首包触发其在ILMF中进行ID/L0C绑定注册,注册的同时还获取接收方的位置标识。在ID/ LOC绑定注册了首包后,ILMF再将这个包发送到网关。源网关收到这个包后对此包进行封 装,然后将封装了的包通过用户数据传输功能传到目的网关,目的网关在对这个包进行解 封装后传输给对端。除了首包要经过ILM-FE外,其余的包都直接由源网关进行封装然后通 过用户数据传输功能传给目的网关,然后目的网关对包进行解封装并将解封装了的包发送 到目的地。为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对 本发明进一步详细说明。实施方式一用户在网络接入及其与网络的互相认证成功后,通信过程中数据传输过程如图4 所示,图4中的MN表示发送方移动节点,CN表示接收方移动节点此过程分为两个部分。部分一数据包传输过程中首包触发源网关发起在ILM-FE 中注册IDl和LOCl的绑定,同时源网关还向ILM-FE查询ID2和L0C2的绑定,其中,Dl是 发起方丽的用户标识,LOCl是源网关ABG-FEl的IP地址,ID2是通信对端即接收方CN的 用户标识,L0C2是目的网关ABG-FE2的IP地址。部分二 首包传输成功后进行其它包的转 发。部分一步骤101,发起方丽发送IP报文到源网关ABG-FE1,此IP报文中携带发起方的用 户标识(IDl)和接收方的用户标识(ID2)以及有效载荷(即数据);步骤102,源网关ABG-FEl收到此报文后,到ILM-FE中注册IDl和LOCl的绑定,并 根据接收方的用户标识查找ID2和L0C2的绑定;数据包的传输过程中会有字段或标识符表示它是否是首包,网关收到传来的包后8会根据字段或标识符判断是首包还是后续包。如果网关判断该数据包为首包,则先向ILM-FE注册IDl和LOCl的绑定。通过此 注册机制,ILM-FE可以及时获知用户当前的位置信息(ILM-FE也可以通过其他现有技术的 机制获取用户当前的位置信息),在ILM-FE中一个用户标识(ID)可以对应一个或多个位置 标识(LOC),如果一个ID对应多个不同的L0C,则各个绑定关系之间有优先级关系,例如可 将最近一次注册的ID和LOC绑定作为优先级最高的绑定,或将信号质量最好的一组ID和 LOC绑定作为优先级最高的绑定,当该ID作为接收方时,ILM-FE将优先级最高的绑定反馈 给发送方。ILM-FE中设置有定时器,定时删除过期的绑定关系。所述注册IDl和LOCl的绑定,是指ILM-FE中注册IDl和LOCl,并保存二者的对应关系。步骤103,ILM-FE返回注册及查询响应给ABG-FE1,响应中携带IDl和LOCl的绑 定,以及ID2和L0C2的绑定;在其他实施例中,由于源网关了解发送方的ID1和LOCl,ILM-FE也可以不返回ID1 和LOCl的绑定,而是通过消息或标识告知源网关注册成功。步骤104,ABG-FEl收到注册及查询响应后,根据响应结果进行处理,如果IDl和 LOCl的绑定注册,以及ID2和L0C2的绑定查询都成功,则ABG-FEl对此报文进行封装,此时 的报头中的信息有发起方和接收方的用户标识(IDl和ID2)及LOCl和L0C2 ;如果IDl和 LOCl的绑定注册失败,则返回步骤102,重新开始绑定注册及查询处理。步骤105,ABG-FEl将封装后的报文通过NGN的转发功能实体发送到目的网关 ABG-FE2 ;步骤106,ABG-FE2收到此报文后对数据包进行解封装;步骤107,ABG-FE2将解封装的IP报文发送到通信对端即接收方CN。部分二步骤108,发起方MN发送IP报文到源网关ABG-FE1,此IP报文中带发起方和接收 方的用户标识以及有效载荷;如果传完首个数据包后,接收方CN位置发生了移动,在后续数据发送的过程中, 如果源网关收到报错消息反馈数据包的目的地不可达,则会进行重传,即重复101-107。步骤109,源网关ABG-FEl对从丽接收来的报文进行封装,此时的报头中的信息有 发起方和接收方的用户标识及LOCl和L0C2 ;步骤110,ABG-FEl将封装后的报文通过NGN的转发功能实体发送到目的网关 ABG-FE2 ;步骤111,ABG-FE2收到此报文后对数据包进行解封装;步骤112,ABG-FE2将解封装的IP报文发送到通信对端即接收方CN。实施方式二用户在网络接入及其与网络的互相认证成功后,在数据流发送的过程中,如果发 起方MN位置发生移动,发生移动后通信过程中数据传输过程如图5所示此过程亦分为两个部分。部分一数据包传输过程中发起方位置发生移动后,其 首包触发其在ILM-FE中更新自己的IDl和LOCl的绑定,并查询ID2和L0C2的绑定,其中, IDl是发起方丽的用户标识,LOCl是新的源网关ABG-FEl的IP地址,ID2是通信对端即接收方CN的用户标识,L0C2是目的网关ABG-FE2的IP地址。部分二 更新成功后进行其它 包的转发。如果发起方MN所移动的位置之前注册过,则触发向ILM-FE的更新过程;如果没 有注册过,则触发向ILM-FE的注册过程。步骤201,此步同实施例一;步骤202,源网关ABG-FEl收到此报文后,ABG-FEl到ILM-FE中更新ID1/L0C1的 绑定,并根据接收方的用户标识查找ID2/L0C2的绑定;由于LOCl是源网关分配的,源网关ABG-FEl收到报文后,如果发现LOCl发生变 化,则向ILM-FE更新IDl和LOCl的绑定。步骤203,ILM-FE返回更新及查询结果的响应给ABG-FE1,ABG-FE1根据从ILM-FE 中接收到的响应结果进行处理,如果ILM-FE返回的更新响应消息显示IDl和LOCl的绑定 更新成功,则后面就按实施例一中103中ILM-FE返回更新及查询结果给ABG-FEl后的流 程继续进行处理,见图5中的205-212步,同105-112步骤,其中消息名称略有差别;如果 ILM-FE返回的更新响应消息显示IDl和LOCl的绑定更新没有成功,则表明发起方位置发生 移动后其新的地址是以前没有使用过的IP地址或新的IP地址与用户标识在ILM-FE中的 绑定已经过期,ILM-FE中不再存有发起方用户标识和其新地址IPl的绑定,这时候用户要 重新注册(参见实施例一流程),重新传输数据。
权利要求
1.一种基于网络的身份标识与位置分离的实现方法,包括源网关在收到发送方的首个数据包后,通过身份标识与位置分离的映射功能实体 (ILM-FE)注册或更新发送方身份标识和位置的绑定关系;源网关收到所述ILM-FE返回的响应后,封装所述首个数据包,将封装后的数据包通过 目的网关发送至接收方;源网关在收到发送方的首包以外的数据包后,封装所述首包以外的数据包并通过目的 网关发送至接收方。
2.如权利要求1所述的方法,其特征在于,源网关在通过所述ILM-FE注册或更新发送方身份标识和位置的绑定关系的同时,向 所述ILM-FE查询接收方身份标识和位置的绑定关系,根据所述查询的绑定关系封装首个 数据包以及首包以外的数据包。
3.如权利要求2所述的方法,其特征在于,源网关收到所述ILM-FE返回的接收方身份标识和位置的绑定关系后,封装所述数据 包,在报头中携带发送方身份标识和位置以及接收方身份标识和位置,将封装好的数据包 发送给目的网关;所述目的网关收到数据包后,解封装所述数据包,根据其中携带的接收方身份标识和 位置将所述数据包发送给接收方。
4.如权利要求2所述的方法,其特征在于,如果源网关向所述ILM-FE注册发送方身份标识和位置的绑定关系失败,则重新向所 述ILM-FE发起注册。
5.一种基于网络的身份标识与位置分离的系统,其特征在于,包括身份标识与位置分 离的映射功能(ILMF)和网关,其中所述ILMF,用于注册或更新身份标识和位置的绑定关系;所述网关包括源网关和目的网关,其中所述源网关,用于在收到发送方的首个数据包后,通过所述ILMF注册或更新发送方身 份标识和位置的绑定关系;收到所述ILMF返回的响应后,封装所述首个数据包,将封装后 的数据包通过目的网关发送至接收方;在收到发送方的首包以外的数据包后,封装所述首 包以外的数据包并通过目的网关发送至接收方;所述目的网关,用于接收到所述源网关发送的封装后的数据包后,发送至接收方。
6.如权利要求5所述的系统,其特征在于,所述ILMF还用于接收源网关的查询,向所述源网关返回接收方身份标识和位置的绑 定关系;所述源网关,还用于在通过所述ILMF注册或更新发送方身份标识和位置的绑定关系 的同时,向所述ILMF查询接收方身份标识和位置的绑定关系,根据所述查询的绑定关系封 装首个数据包以及首包以外的数据包。
7.如权利要求6所述的系统,其特征在于,所述源网关进一步用于在收到所述ILMF返回的接收方身份标识和位置的绑定关系 后,封装所述数据包,在报头中携带发送方身份标识和位置以及接收方身份标识和位置,将 封装好的数据包发送给目的网关;所述目的网关进一步用于在收到数据包后,解封装所述数据包,根据其中携带的接收 方身份标识和位置将所述数据包发送给接收方。
8.如权利要求6所述的系统,其特征在于,所述ILMF进一步用于在注册发送方身份标识和位置的绑定关系失败时,向所述源网 关发送失败消息;所述源网关进一步用于在收到所述ILMF发送的失败消息后,重新向所述ILMF发起注
全文摘要
本发明公开了一种基于网络的身份标识与位置分离的实现方法及系统。所述方法包括源网关在收到发送方的首个数据包后,通过身份标识与位置分离的映射功能实体(ILM-FE)注册或更新发送方身份标识和位置的绑定关系;源网关收到所述ILM-FE返回的响应后,封装所述首个数据包,将封装后的数据包通过目的网关发送至接收方;源网关在收到发送方的首包以外的数据包后,封装所述首包以外的数据包并通过目的网关发送至接收方。
文档编号H04W60/00GK102056287SQ200910211240
公开日2011年5月11日 申请日期2009年11月5日 优先权日2009年11月5日
发明者吴强, 吴波, 赵凝霞 申请人:中兴通讯股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1