向访问网络链接或移交时的安全隧道建立的制作方法

专利名称：向访问网络链接或移交时的安全隧道建立的制作方法
技术领域：
本发明涉及用于建立(或预建立)至可信分组数据网关的安全隧道(secure tunnel)、以准备移动节点向另一访问网络的链接或移交的方法、移动节点或计算机可读介质。此外，本发明还涉及可以使用所述方法和移动节点的移动通信系统。本发明还涉及例如通过提供关于在移动节点的附近可达的ePDG的信息，或者通过在链接到新访问时支持所述移动节点，支持所述移动节点的核心网络(PLMN)中的节点。
背景技术：
UMTS(通用移动通信系统)是由3GPP(第三代合作伙伴计划)标准化的3G(第 3代)移动通信系统。3GPP启动了研究项目“演进的UTRA和UTRAN”，其更被公知为“长期演进(LTE) ”。该研究研究获取性能上的主要飞跃的手段，以便改进服务提供，以及降低用户和运营商成本。根据这些研究，以及为了能够与其它无线电访问技术交互工作 (interworking)，产生了对新的演进分组核心(EPC)网络的定义的需要。进一步的细节请参见 3GPP TS23. 401,"General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network(E_UTRAN)accesses，，，版本 8. 3. 0,以及 3GPP TS 23. 402,"Architecture enhancements for non_3GPP access，，，版本 8. 3. 0，这两个文件都可以从http://WWW. 3gpp. org上获得，并通过引用将它们合并到这里。图1中示出了 LTE的E-UTRAN体系结构的示例图示。下面，说明此体系结构中的最重要的实体，以帮助更好地理解这里所描述的本发明。E-UTRAN由演进的节点B (eNB或eNode B)组成，提供朝向移动节点的E-UTRA用户平面(PDCP/RLC/MAC/PHY)和控制平面(RRC)协议的终结(termination)。eNode B具有物理(PHY)、介质访问控制(MAC)、无线电链路控制(RLC)和分组数据控制协议(PDCP)层， 它们包括用户平面报头压缩和加密的功能。它还提供对应于控制平面的无线电资源控制 (RRC)功能。它执行许多功能，包括无线电资源管理、准许(admission)控制、调度、协商的 UL QoS的增强、小区信息广播、用户和控制平面数据的加密和解密、以及DL/UL用户平面分组报头的压缩/解压缩。eNode B利用X2接口彼此互连。eNode B还利用Sl接口连接到EPC(演进的分组核心)，更具体地，利用Sl-MME连接到MME (移动性管理实体)以及利用Sl-U连接到服务网关(S-GW)。Sl接口支持MME/服务网关与eNodeB之间的多对多关系。服务网关路由和转发用户数据分组，同时还在eNode B之间的移交期间作为用户平面的移动性锚(anchor)，以及作为LTE与其它3GPP技术之间的移动性锚(终结S4接口， 并中继2G/3G系统与PDN-GW之间的流量)。对于空闲状态的UE，当下行链路数据到达UE 时，服务网关终结下行链路数据路径并触发寻呼。它管理和存储UE上下文，例如IP载体服务的参数、网络内部路由信息。它还在合法拦截的情况下执行用户流量的复制。MME是LTE访问网络的密钥(key)控制节点。它负责空闲模式UE的追踪和寻呼过程，包括重传。它被包含在载体激活/去活(deactivation)处理中，并且还负责在初始链接时以及在LTE内移交时为UE选择服务网关，包括核心网络(CN)节点重布置。它负责认证用户(通过与归属用户服务器(HSS)交互)。它检查UE驻入(camp)到服务提供商的公共陆地移动网络(PLMN)的授权，并施加UE漫游限制。MME是网络中用于对非访问层(NAS) 信令的加密/完整性(integrity)保护的终结点，并处理安全密钥管理。MME还提供用于 LTE和2G/3G访问网络之间的移动性的控制平面功能，其中，S3接口从SGSN(服务GPRS支持节点)终结在MME。MME还终结朝向归属HSS的S6a接口用于漫游UE。分组数据网络网关(PDN-GW)通过作为UE的流量出口和入口点而提供UE向外部分组数据网络的连接性。UE可以具有与多于一个的分组数据网络网关的同时连接性，用于访问多个分组数据网络(PDN)。分组数据网络网关执行策略实施，对每个用户的分组过滤、 收费支持、合法拦截以及分组屏蔽。分组数据网络网关的另一关键角色是作为3GPP和非 3GPP技术之间的移动性锚。总结图1中所描绘的体系结构，新的3GPP核心网络主要被分为三个逻辑实体，以便支持新的E-UTRAN访问。在用户平面中，分组数据网络网关(PDN-GW)是对外部网络的网关，以及用于3GPP和非3GPP访问技术(例如，CDMA2000、WiMAX或WIFI)之间的移动性的全局移动性锚。同样，在用户平面中，服务网关可以被认为是用于3GPP访问(E-UTRAN、 UTRAN.GERAN)之间的移动性的移动性锚。移动性管理实体(MME)是负责在不同E-UTRAN基站(eNode B)之间移动的UE (在下文中也被称为移动终端、移动节点或MN)的移动性管理以及负责会话管理的控制平面实体。LTE 的另一方面是对 3GPP 访问(例如，GERAN、UTRAN、E-UTRAN)、非 3GPP 访问 (例如，WLAN、WiMAX、3GPP2等)以及这些不同类型访问(即在异构网络中)之间的移动性的支持。用于3GPP和非3GPP访问之间的移动性的锚是还向外部分组数据网络提供接口的分组数据网络网关。3GPP和非3GPP访问之间的移动性基于移动IP —所使用的协议可以是客户端移动 IP(见 Johnson 等的“Mobility Support in IPv6”，IETF RFC 3775， 2004 年 6 月，以及 Soliman 等的“MobiIe IPv6 Support for Dual Stack Hosts and Routers，，，IETFInternet Draft, draft-ietf-mext-nemo-v4traversal-06. txt, 2008 年 11月，这两个文件都可从http://www. ietf. org上获得，并通过引用将它们合并到这里)， 或者代理移动 IP (见 Gundavelli 等的 “Proxy Mobile IPv6”，IETF RFC 5213,2008 年 8 月，以及 Leung 等的 “WiMAX Forum/3GPP2 Proxy Mobile IPv4”，IETF Internet Draft, draft-leung-mip4-proxy-mode-09. txt, 2008 年 7 月，这两个文件都可以从 http://www. ietf. org上获得，并通过引用将它们合并到这里)。非3GPP访问(访问网络)可以被分类为可靠(trusted)访问网络和不可靠访问网络。对不可靠访问网络的假设是不可靠访问网络中的UE在能够访问运营商服务(即PDN) 之前，首先需要建立到演进的分组数据网关(ePDG)的安全隧道(基于IPsec-参见Kent等的"Security Architecture for the Internet Protocol”，IETF RFC 4301，2005年 12月， 可以从http://WWW. ietf. org上获得，并通过引用将其合并到这里)。ePDG类似于用于交互工作的 WLAN(见 3GPPTS 23. 234，“3GPP system to Wireless Local Area Network(WLAN) interworking ；System description，，,版本 7. 7. 0,可以从 http://www. 3gpp. org 上获得， 并通过引用将其合并到这里)的PDG。在可靠访问中不需要安全隧道，而是可以直接从UE 访问 PDN-GW。
7
对于相同非3GPP访问内的移动性或不同非3GPP访问之间的移动性，可以使用类似的机制用于3GPP和非3GPP访问之间的移动性，即客户端或代理移动IP。当UE连接到网络上时，它具有到至少一个分组数据网络的连接性，并可能还同时连接到多个分组数据网络。例如，可能的PDN是公共因特网、公司网络、IMS/SMS网络。当连接到至少一个分组数据网络的UE想要执行向不可靠的非3GPP访问网络的移交时，该UE必须首先使用所分配的本地IP地址从非3GPP访问中发现ePDG。为此，UE通过 UE中的静态配置或动态地发现/选择ePDG。在动态发现的情况下，如果UE在VPLMN(访问的公共陆地移动网络)中漫游，则它使用VPLMN ID构建FQDN(完全具有资格的域名)，并请求该DNS系统。否则，UE使用HPLMN ID(HPLMN =归属公共陆地移动网络)构建FQDN，并使用DNS查询来解析ePDG地址。接着，UE从所返回的列表中选择ePDG地址，并启动向此 ePDG 的 IKE/IPkc 隧道建立(见 Kaufman，“ Internet Key Exchange (IKEv2) Protocol，，， IETF RFC 4306,2005年12月；可以从http://www. ietf. org上获得，并通过引用将其合并到这里)。如果IKE/II^sec隧道被设立，则UE可以发送和接收用户数据，用于PDN连接。然而，IKEv2/IPSec隧道建立由于创建密钥而相当耗时。因此，为了允许向不可靠非3GPP访问的更快移交，UE应该在进行移交之前，使用对分组数据网络的现有连接和所关联的归属 IP地址发现ePDG并建立安全隧道。依赖于网络结构，可以存在UE可能预先连接的若干个候选ePDG，但它们中的某些可能从新访问不可达，或者可能在路由效率方面不佳。因此，为了避免长时间维持连接到多个ePDG的状态，UE应该在启动到不可靠非3GPP访问的移交之前很短的时间内预先建立与 ePDG 的 IKE/IPSec 隧道。当UE想要执行与目标ePDG的预先建立时可能发生的一个问题是ePDG从现有的 PDN连接不可达(见图2)，经由PDN-GW和经由分组数据网络都不可以。例如，这可能由于分组数据网络(例如，公司网络或IMS/SMS网络)不允许连接到外部网络(即ePDG)的访问限制而发生，或者在ePDG从新的连接不可达的、具有PDN/PDN-GW/IP地址改变的移交的情况下发生。此外，UE可能不知道是否可以从UE所连接的任一 PDN到达ePDG，并且ePDG不可达性的检测可能增加信令负载(例如，用于可达性测试的载体创建)，可能耗时并因此增加移交延迟。该延迟甚至可能花费几分钟，因为根据3GPP TS 23. 402的7. 2. 1和7. 3部分中所描述的过程，UE向ePDG发送IKE_SA_INIT消息，并且如果ePDG不可达，则要么接收不到响应，要么可能接收到不可达的ICMP目的地。IKEv2标准建议在几分钟的时段上重传请求， 并且“[...]端点不能基于任何路由信息(例如ICMP消息)得出另一端点已经失败的结论 [...]，端点必须仅在对接触另一端点的重复尝试经过了超时的时段都未得到答复时才得出该另一端点已经失败的结论[...]，建议在放弃SA之前的至少几分钟的时段上至少重传消息I2次”(见IETF RFC 4306的2. 4部分)。

发明内容
本发明的一个目的在于减小对移交过程的延迟或者移动节点链接到访问网络时的延迟，其由发现可靠分组数据网关(例如ePDG之类)的机制暗示。
通过独立权利要求的主题实现该目的。本发明的优选(advantageous)实施例是从属权利要求的主题。本发明的一个方面是在移动节点链接或移交到目标访问网络时促进至可靠分组数据网关的安全隧道的快速建立。为此目的，移动节点保持可达性列表，该列表可被查阅 (consult)来识别在目标访问网络中可达的一个可靠分组数据网关(例如，ePDG)或者多个可靠分组数据网关，即移动节点可以向其建立安全隧道的可靠分组数据网关。如果移动节点可以从可达性列表中识别出针对给定访问网络的可达的可靠分组数据网关，则该移动节点在链接到该给定访问网络时建立至该可靠分组数据网关的安全隧道。在某些变型中，安全隧道可以在链接到目标访问网络之前被预先建立。可以临时地预先建立此隧道，即，在安全隧道被激活之前，其不被用于路由数据。因此，在移动节点链接到目标访问网络时，可以激活预先建立的隧道。依据本发明的此方面，本发明的一个示例实施例提供了一种用于在移动节点初始链接到目标访问网络或者执行向目标访问网络移交时建立至可靠分组数据网关的安全隧道的方法。根据此方法，移动节点从保持在移动节点中的可达性列表确定通过目标访问网络可达的至少一个可靠分组数据网关，并建立至所确定的可靠分组数据网关的安全隧道。还应该注意，仅在移动节点对所述目标访问网络的接口上设置的IP地址与移动节点对所述源访问网络的接口上设置的IP地址不同的情况下，或者在根据所述可达性列表、通过所述目标访问网络不可达所述移动节点已经通过所述源访问列表对其建立了隧道的可靠分组数据网关的情况下，移动节点才可以执行这里所描述的用于在移动节点初始链接到目标访问网络或者执行向目标访问网络移交时建立至可靠分组数据网关的安全隧道的不同方法。换句话说，仅在不能通过目标访问网络到达可靠分组数据网关的情况下才需要执行不同的方法。这是因为安全隧道(S卩，安全关联(assocation)(例如，II^sec关联))典型地绑定到移动节点的具体IP地址。只要移动节点的IP地址不改变，并且只要安全关联的对端 (counterpart)可靠分组数据网关是可达的，则不需要建立至新的可靠分组数据网关的新安全关联(即，新安全隧道)(除非由于其它原因期望建立)。在本发明的另一实施例中，可达性列表列出数据组。该数据组指示数据路径以及各个已知的可靠分组数据网关对于各个数据路径的可达性状态。可达性列表中指示各个数据路径的方式是实施特定的。例如，数据路径可以由访问网络标识符、核心网络标示符和访问点名称的组合指示，由核心网络标识符和访问点名称的组合指示，或者简单地由访问点名称指示。在本发明的另一实施例中，当移动节点已经链接到目标访问网络时，如果该移动节点不能从所存储的列表中确定通过其可以到达可靠分组数据网关的分组数据网络的任何访问点名称，则移动节点还设法建立至可靠分组数据网关(即，任意的可靠分组数据网关)的安全隧道。例如，可以在移动节点中预先设置或者由移动节点根据由该移动节点发送至目标访问网络的DNS询问获知所述移动节点设法向其建立安全隧道的可靠分组数据网关。在移动节点设法建立至可靠分组数据网关的安全隧道(由于所存储的列表中没有通过其可以到达可靠分组数据网关的分组数据网络的访问点名称列在可达性列表中)的情况下，如果由于可靠分组数据网关不可达而不能建立至可靠分组数据网关的安全隧道，则移动节点还可以选择性地将指示至所述不可达的可靠分组数据网关的数据路径的数据组添加到可达性列表中，并指示该不可达的可靠分组数据网关通过该数据路径不可达。 以同样的方式，如果可以建立至可靠分组数据网关的安全隧道，则移动节点可以选择性地将指示至所述可达的可靠分组数据网关的数据路径并指示所述可达的可靠分组数据网关通过所述数据路径可达的数据组添加到可达性列表。因此，在本发明的另一实施例中，移动节点动态地获知并保持有关通过相应的数据路径可以或者不可以到达的可靠分组数据网关的信息。同样地，如果可靠分组数据网关针对给定数据路径的可达性状态改变，则移动节点可以更新可达性列表。在上面讨论的某些示例实施例中，移动节点已经基于对可靠分组数据网关的成功和失败的连接尝试更新和建立了它的可达性列表。在另一实施例中，可以从访问网络或与其连接的核心网络中的另一移动节点或网络节点接收移动节点的可达性列表。所接收的可达性列表可以被用于更新移动节点已经存在的“本地”可达性列表，或者作为它的替换。为了能够检查这样的可达性列表或其列表条目是否是最新的，该列表或其各个条目可以因此包括时间戳(或者对各个单独的列表条目的时间戳)，基于该时间戳，移动节点可以检查信息何时被最后更新，以便更新可达性列表或其各个单独条目。明显地，移动节点应该尝试保持关于到可靠分组数据网关的可达性状态的最新信息。在一个示例实施方式中，可达性列表可以由两个列表组成白列表列出通过相应数据路径可达的可靠分组数据网关的数据路径以及相应的可靠分组数据网关，黑列表列出通过相应数据路径不可达的可靠分组数据网关的数据路径以及相应的可靠分组数据网关。在上述示例性实施例中，移动节点在已经移交到目标访问网络时(即，通过目标访问网络)已经建立了至可靠分组数据网关的安全隧道。根据本发明的另一实施例的另一可选选择是使移动节点尝试保持与移动节点在位于源访问网络中时已经保持至其的安全隧道的可靠分组数据网关的连接。因此，在本发明的另一示例实施例中，提供了一种用于建立至可靠分组数据网关的安全隧道的方法，其中，所述移动节点在移交到另一访问网络(即目标访问网络)之前， 首先通过源访问网关和经由分组数据网络网关建立至可靠分组数据网关的安全隧道。在链接到目标访问网络之前，移动节点将检查通过目标访问网络是否可以到达可靠分组数据网关。例如可以通过基于移动节点所保持的可达性列表检查可靠分组数据网关通过目标访问网络的可达性状态来完成这一点。如果还可以通过目标访问网络到达可靠分组数据网关， 则移动节点可以在移动节点链接到目标访问网络时，请求(经由源访问网络)连接到源访问网络的核心网络(PLMN)的核心网络节点(例如，AAA，HSS)，经由分组数据网络网关保持与可靠分组数据网关的连接。例如，在移动节点的预定特征(profile)对于PLMN间的移交需要本地移动性锚(LMA)(该LMA的功能例如可以在PDN-GW中实施)的改变，但移动节点期望保持其与其当前的本地移动性锚(例如，PDN-GW)的连接的情况下，此方案可以是有利的。本发明还提供了一种能够执行用于(预先)建立至可靠分组数据网关的安全隧道的不同方法之一的移动节点。因此，根据另一实施例的本发明提供了一种移动节点，其包括处理单元(例如处理器、数字信号处理器(DSP)、或者其它合适的或被合适编程的专用硬件
10或电路)，用于从保持在移动节点中的可达性列表确定通过目标访问网络可达的至少一个可靠分组数据网关。移动节点还包括通信单元(例如传送器单元和接收器单元)，用于在移动节点初始链接到目标访问网络或执行向目标访问网络的移交时，建立至所确定的可靠分组数据网关的安全隧道。本发明的另一实施例提供了一种移动节点，其包括通信单元(例如传送器单元和接收器单元)，用于在移交之前通过源访问网关和经由分组数据网络网关建立至可靠分组数据网关的安全隧道；以及处理单元，用于在链接到目标访问网络之前，通过基于被移动节点保持的可达性列表检查可靠分组数据网关通过目标访问网络的可达性状态，检查通过目标访问网络是否可以到达可靠分组数据网关。移动节点的通信单元还可以适配或由处理单元合适地控制，以在移动节点链接到目标访问网络时，经由源访问网络请求连接到源访问网络的核心网络的核心网络节点经由分组数据网络网关保持与可靠分组数据网关的连接。根据本发明的另一实施例的移动节点可以包括允许移动节点执行根据这里所描述的本发明的各个实施例的任意方法的步骤的单元(诸如存储器、专用的或可编程的硬件或电路，等)。本发明的进一步实施例涉及利用软件/计算机程序实施这里所描述的方法。因此，本发明的另一实施例提供了存储指令的计算机可读介质，当该指令被移动节点的处理器执行时，使得移动节点通过从保持在所述移动节点中的可达性列表确定通过目标访问网络可达的至少一个可靠分组数据网关，以及建立至所确定的可靠分组数据网关的安全隧道，而在所述移动节点初始链接到目标访问网络或执行向目标访问网络的移交时，建立至所述可靠分组数据网关的安全隧道。本发明的另一实施例提供了一种存储指令的计算可读介质，当该指令被移动节点的处理器执行时，使得所述移动节点通过如下步骤而建立至所述可靠分组数据网关的安全隧道在移交之前通过源访问网关以及经由分组数据网络网关建立至可靠分组数据网关的安全隧道，在链接到目标访问网络之前，通过基于由所述移动节点保持的可达性列表检查所述可靠分组数据网关通过所述目标访问网络的可达性状态，检查通过所述目标访问网络是否可达所述可靠分组数据网关，以及当所述移动节点链接到所述目标访问网络时，经由所述源访问网络请求连接到所述源访问网络的核心网络的核心网络节点经由所述分组数据网络网关保持与所述可靠分组数据网关的连接。在上述本发明的大多数示例实施例中，移动节点已经使用可达性列表来确定在给定访问网络中可以到达哪个可靠分组数据网关。以下示例性实施例涉及可选方法，其中，网络对移动节点提供有关可达的可靠分组数据网关的信息。此方法也可以选择性地与保持可达性列表的移动节点一起使用，例如，从网络接收的信息可以用于更新由移动节点保持的本地可达性列表。根据此可选方法，本发明的另一实施例提供了一种用于建立至可靠分组数据网关的安全隧道的方法。当移动节点链接或移交到第一访问网络时或者当移动节点创建至第一访问网络的附加分组数据网络连接时，移动节点向第一访问网络传送消息(例如，链接消息或追踪区域更新消息)。响应于此消息，移动节点接收响应消息，其指示是否可以通过第一访问网络预先建立至可靠分组数据网关的安全隧道。如果是，则在移动节点链接至第二访问网络或执行向第二访问网络的移交之前，该移动节点通过第一访问网络预先建立至可靠分组数据网关的安全隧道。在此实施例中，这种方式也是可行的对其预先建立安全隧道的可靠分组数据网关对于移动节点通过第二访问网络也是可达的。第一访问网络可以是例如基于3GPP的网络。移动节点传送至第一访问网络的消息例如可以包括如下项中的至少一个有关所述移动节点的当前位置的位置信息、所述移动节点期望连接的可靠分组数据网关的IP地址、一个或多个访问网络标识符、一个或多个核心网络标识符、以及一个或多个访问点名称。在本发明的另一实施例中，基于由移动节点包含到所述移动节点传送至所述第一访问网络的消息中的信息，分组数据网关可以编译用于使用响应消息向所述移动节点传送的信息。例如，此分组数据网关可以位于所述移动节点的归属3GPP网络中。根据本发明的另一实施例，响应消息包括可靠分组数据网关的一个或多个地址， 并且选择性地还包括各个可靠分组数据网关通过各个目标访问网络的可达性状态的指示， 以及/或者可靠分组数据网关的优先次序。如上所述，如果这样的列表被移动节点保持，则此信息可以选择性地用于更新可达性列表。与此基于网络的方法一致，本发明的另一实施例提供了一种用于建立至可靠分组数据网关的安全隧道的移动节点。该移动节点包括传送器，用于当移动节点链接或移交至第一访问网络时或者当移动节点创建向第一访问网络的附加分组数据网络连接时，将链接消息(或者追踪区域更新消息)传送至第一访问网络；以及接收器，用于在移动节点接收对链接消息(或追踪区域更新消息)的响应消息，其中所述响应消息指示是否可以通过第一访问网络预先建立至可靠分组数据网关的安全隧道。此外，移动节点包括处理器，其被设置为在移动节点链接到第二访问网络或执行向第二访问网络的移交之前，控制移动节点通过第一访问网络预先建立至可靠分组数据网关的安全隧道。同样地，本发明的另一实施例涉及存储指令的计算机可读介质，当该指令被移动节点的处理器执行时，使得所述移动节点通过下列步骤而建立至所述可靠分组数据网关的安全隧道在所述移动节点链接到第一访问网络或移交到第一访问网络时或者所述移动节点创建至所述第一访问网络的附加分组数据网络连接时，从所述移动节点向所述第一访问网络传送消息，在所述移动节点接收对所述请求消息(或追踪区域更新消息)的响应消息， 其中，所述响应消息指示通过所述第一访问网络是否可以预先建立至可靠分组数据网关的安全隧道，以及在所述移动节点链接到第二访问网络或执行向第二访问网络的移交之前， 所述移动节点通过所述第一访问网络预先建立至可靠分组数据网关的安全隧道。


下面参照附图更详细地描述本发明。附图中类似的或相应的细节被标注了相同的附图标记。图1示出了 3GPP LTE系统的示例体系结构，图2示出了具有不同访问网络的示例通信网络，PLMN和PDN用于强调ePDG的改变的可达性，图3和图4示出了根据本发明的示例实施例的、安全隧道预先建立的示例建立以
12及其在移动节点链接到不可靠访问时的激活，图5和图6示出了根据本发明的另一实施例的示例通信网络和信令流，其中移动节点在链接到新的访问网络时设法保持其与PDN-GW的连接，图7和图8示出了根据本发明的实施例的示例通信网络和信令流，其中移动节点在移交到不可靠访问网络时使用预先建立的安全隧道，图9示出了根据本发明的另一实施例的图8和图9的通信网络中的示例消息流，图10示出了根据本发明的实施例的示例通信网络和信令流，其中移动节点正执行向可靠访问网络的移交，图11示出了根据本发明的另一实施例的示例消息流，其中移动节点使用DNS询问来获得有关其附近的ePDG的信息，图12示出了根据本发明的另一实施例的改进的IKE2信令流，其使用认证的ICMP 目的地不可达消息，图13示出了根据本发明的实施例的示例通信网络，其中PMIP被提供给移动节点， 以及图14示出了根据本发明的另一实施例的图14的通信网络中的示例消息流，其中通过移动访问网关对移动节点提供关于位于其附近的ePDG的信息。
具体实施例方式以下的段落将描述本发明的各个实施例。仅为了示例性的目的，关于上面的背景技术部分中讨论的根据LTE的(演进的)通信系统来描述大多数实施例。请注意术语移动节点(MN)和用户设备(UE)是可互换的术语。本发明的一个方面是在移动节点链接或移交至目标访问网络时，促进到可靠分组数据网关的安全隧道的快速建立。安全隧道的快速建立还包括临时安全隧道的预先建立， 后面当移动节点链接到目标访问网络时由移动节点激活该临时安全隧道，例如作为从源访问网络至目标访问网络的移交的一部分。在本发明的某些实施例中，移动节点保持可达性列表，其可被查阅来识别在目标访问网络中可达的一个可靠分组数据网关(例如ePDG)或多个可靠分组数据网关。可达是指移动节点可以通过给定的访问网络建立至给定的可靠分组数据网关的安全隧道。关于可达性列表的保持，移动节点例如可以调查可靠分组数据网关对于给定访问点名称(或数据路径)的可达性，并且可以将此信息存储在可达性列表中。因此，如果移动节点在以后的时间点再次链接到此访问网络，则其可以从所保持的可达性列表中获知对于给定的访问点名称哪个可靠分组数据网关应该是可达的(假定可达性状态此时还未改变)，并因此避免由尝试建立至不可达的可靠分组数据网关的安全隧道而导致的可达性检测中的延迟。如下面将进一步说明的，存在如何实现可达性列表的各种可能性，S卩，其中保持哪些信息。在最简单的实施方式中，可达性列表指示针对各个访问点名称的一个或多个可靠分组数据网关，以及每个可靠分组数据网关的可达性状态(对于给定访问点名称，可达/不可达)。在更复杂的实施方式中，可达性列表可以针对每个数据路径指示哪些可靠分组数据网关可达或不可达。数据路径最简单的表示是访问点名称-在此情况下，该实施方式对应于上面所讨论的最简单的实施方式。在其它示例中，数据路径可以由访问点名称和给定的PLMN标识符的组合形成，或者由访问点名称、给定的PLMN标识符和给定的访问网络标识符的组合形成。用于访问网络标识符的示例是WLAN访问点的SSID (服务集标识)、访问点标识符、追踪区域标识符、基于3GPP的系统中的节点B的标识符，等等。一般地，应该注意可达性列表的内容和设计是实施特定的，并且还可能依赖于可达性状态。在大多数情况下，可达性列表应该指示访问点名称以及可靠分组数据网关的标识符。对于不可靠访问，存储不可靠访问网络的标识符与可靠分组数据网关及其可达性状态也是可行的。在不可靠访问中，移动节点不经由PDN-GW连接到可靠分组数据网关，从而不需要存储有关PDN-GW或APN的信息。在本发明的一个示例实施例中，可达性列表由两个列表组成，白列表和黑列表， 两者都被移动节点保持。当移动节点执行对访问网络的初始链接或者导致访问网络和/ 或PLMN的改变的移交时，其使用白列表和黑列表确定在移交后可靠分组数据网关(例如， ePDG)是否可达以及哪个可靠分组数据网关将可达。例如，在可靠操作的阶段中(例如，没有向不可靠非3GPP访问的移交到来 (upcoming))，移动节点可以设法建立不同的PDN连接，并设法通过这些PDN连接到达不同的ePDG。例如通过开始IKE/IPSec信令过程以预先建立IKE/IPSec关联/隧道，可以测试 ePDG的可达性。在可以对给定的PDN连接(由给定的访问点名称识别)预先建立安全隧道的情况下，移动节点可以添加或更新白列表，以指示各个可靠分组数据网关(例如ePDG)通过给定数据路径(即PDN连接)可达。在黑列表中追踪不成功的隧道建立。在当检查ePDG 的可达性时移动节点位于可靠访问网络中的情况下，可以仅临时地建立安全隧道，如下面将进一步描述的。在本发明的一个示例实施例中，白列表包括从其可达ePDG的访问点名称和相关的访问网络ID以及PLMN ID的列表。表1中示出了白列表的示例。
权利要求
1.一种用于在移动节点初始链接到目标访问网络或执行向目标访问网络的移交时建立至可靠分组数据网关的安全隧道的方法，所述方法包括步骤从保持在所述移动节点中的可达性列表确定通过所述目标访问网络可达的至少一个可靠分组数据网关，以及建立至所确定的可靠分组数据网关的安全隧道。
2.如权利要求1所述的方法，其中可达性列表列出数据组，所述数据组指示数据路径以及对于各个数据路径的各个已知可靠分组数据网关的可达性状态，其中所述数据路径由以下项指示-访问网络标识符、核心网络标识符和访问点名称的组合，或者-核心网络标识符和访问点名称的组合，或者-访问点名称。
3.如权利要求1或2所述的方法，在不能从所存储的列表中确定通过其可到达可靠分组数据网关的分组数据网络的访问点名称的情况下，还包括步骤当所述移动节点已经链接到所述目标访问网络时，设法建立至可靠分组数据网关的安全隧道，其中，在所述移动节点中预先设置，或者从DNS询问获知所述移动节点设法对其建立安全隧道的所述可靠分组数据网关。
4.如权利要求3所述的方法，在由于所述可靠分组数据网关不可达而不能建立至可靠分组数据网关的安全隧道的情况下，还包括步骤向所述可靠性列表添加数据组，所述数据组指示至所述不可达的可靠分组数据网关的数据路径，并指示所述不可达的可靠分组数据网关通过所述数据路径不可达。
5.如权利要求3或4所述的方法，在可以建立至可靠分组数据网关的安全隧道的情况下，还包括步骤向所述可靠性列表添加数据组，所述数据组指示至所述可达的可靠分组数据网关的数据路径，并指示所述可达的可靠分组数据网关通过所述数据路径可达。
6.如权利要求1至5中的任一项所述的方法，如果对于给定的数据路径，可靠分组数据网关的可达性状态变化，则所述方法还包括更新所述可达性列表的步骤。
7.如权利要求1至6中的任一项所述的方法，还包括步骤从所述访问网络或与其连接的核心网络中的另一移动节点或网络节点接收可达性列表。
8.如权利要求7所述的方法，还包括步骤基于从所述访问网络或与其连接的核心网络中的另一移动节点或网络节点接收的可达性列表更新所保持的可达性列表。
9.如权利要求1至8中的任一项所述的方法，其中，所述可达性列表由两个列表组成， 白列表列出通过相应的数据路径可达的可靠分组数据网关的数据路径以及相应的可靠分组数据网关，黑列表列出通过相应的数据路径不可达的可靠分组数据网关的数据路径以及相应的可靠分组数据网关。
10.如权利要求1至9中的任一项所述的方法，其中，仅在移动节点对所述目标访问网络的接口上设置的IP地址与移动节点对所述源访问网络的接口上设置的IP地址不同的情况下，或者在根据所述可达性列表、通过所述目标访问网络不可达所述移动节点已经通过所述源访问列表对其建立了隧道的可靠分组数据网关的情况下，才由所述移动节点执行所述方法的步骤。
11.一种用于建立至可靠分组数据网关的安全隧道的方法，所述方法包括步骤在移交之前通过源访问网关和经由分组数据网络网关建立至所述可靠分组数据网关的安全隧道，在链接到目标访问网络之前，通过基于由移动节点保持的可达性列表检查所述可靠分组数据网关通过所述目标访问网络的可达性状态，检查通过所述目标访问网络是否可达所述可靠分组数据网关，以及在所述移动节点链接到所述目标访问网络时，经由所述源访问网络，请求连接到所述源访问网络的核心网络的核心网络节点经由所述分组数据网络网关保持与所述可靠分组数据网关的连接。
12.如权利要求11所述的方法，还包括步骤在不能通过所述目标访问网络到达所述可靠分组数据网关的情况下，执行根据权利要求1至10中的任一项所述的方法。
13.—种移动节点，包括处理单元，从保持在所述移动节点中的可达性列表确定通过所述目标访问网络可达的至少一个可靠分组数据网关，以及通信单元，在所述移动节点初始链接到目标访问网络或者执行向目标访问网络的移交时，建立至所确定的可靠分组数据网关的安全隧道。
14.一种移动节点，包括通信单元，在移交之前通过源访问网关以及经由分组数据网络网关建立至可靠分组数据网关的安全隧道，以及处理单元，在链接到目标访问网络之前，通过基于由所述移动节点保持的可达性列表检查所述可靠分组数据网关通过所述目标访问网络的可达性状态，检查通过所述目标访问网络是否可达所述可靠分组数据网关，其中，当所述移动节点链接到所述目标访问网络时，所述通信单元经由所述源访问网络请求连接到所述源访问网络的核心网络的核心网络节点经由所述分组数据网络网关保持与所述可靠分组数据网关的连接。
15.如权利要求14或15所述的移动节点，还包括执行根据权利要求2至10中的任一项所述的方法的单元。
16.一种存储指令的计算机可读介质，当所述指令被移动节点的处理器执行时，使得所述移动节点通过如下步骤，在所述移动节点初始链接到目标访问网络或执行向目标访问网络的移交时建立至可靠分组数据网关的安全隧道从保持在所述移动节点中的可达性列表确定通过目标访问网络可达的至少一个可靠分组数据网关，以及建立至所确定的可靠分组数据网关的安全隧道。
17.一种存储指令的计算机可读介质，当所述指令被移动节点的处理器执行时，使得所述移动节点通过如下步骤建立至可靠分组数据网关的安全隧道在移交之前通过源访问网关以及经由分组数据网络网关建立至可靠分组数据网关的安全隧道，在链接到目标访问网络之前，通过基于由所述移动节点保持的可达性列表检查所述可靠分组数据网关通过所述目标访问网络的可达性状态，检查通过所述目标访问网络是否可达所述可靠分组数据网关，以及当所述移动节点链接到所述目标访问网络时，经由所述源访问网络请求连接到所述源访问网络的核心网络的核心网络节点经由所述分组数据网络网关保持与所述可靠分组数据网关的连接。
18.如权利要求16或17所述的计算机可读介质，还存储如下指令，当所述指令被所述移动节点的处理器执行时，使得所述移动节点执行根据权利要求2至10中的任一项所述的方法。
19.一种用于建立至可靠分组数据网关的安全隧道的方法，所述方法包括步骤在移动节点链接到第一访问网络或移交到第一访问网络时、或者所述移动节点创建至所述第一访问网络的附加分组数据网络连接时，从所述移动节点向所述第一访问网络传送请求消息，在所述移动节点接收对所述请求消息的响应消息，其中，所述响应消息指示通过所述第一访问网络是否可以预先建立至可靠分组数据网关的安全隧道，以及在所述移动节点链接到第二访问网络或执行向第二访问网络的移交之前，由所述移动节点通过所述第一访问网络预先建立至可靠分组数据网关的安全隧道。
20.如权利要求19所述的方法，其中，所述请求消息是链接消息或追踪区域更新消息， 并且其中，所述响应消息分别是链接接受消息或追踪区域更新接受消息。
21.如权利要求19或20所述的方法，其中，由所述移动节点传送至所述第一访问网络的请求消息包括以下各项中的至少一个有关所述移动节点的当前位置的位置信息、所述移动节点期望连接的可靠分组数据网关的IP地址、一个或多个访问网络标识符、一个或多个核心网络标识符、以及一个或多个访问点名称。
22.如权利要求19所述的方法，还包括步骤基于由所述移动节点包含到所述移动节点传送至所述第一访问网络的请求消息中的信息，由分组数据网关使用所述响应消息编译用于向所述移动节点传送的信息。
23.如权利要求22所述的方法，其中，所述分组数据网关位于所述移动节点的归属 3GPP网络中。
24.如权利要求19至23中的任一项所述的方法，其中，所述响应消息包括可靠分组数据网关的一个或多个地址，并可选地还包括通过各个目标访问网络的各个可靠分组数据网络网关的可达性状态，以及/或者所述可靠分组数据网关的优先次序。
25.如权利要求19至M中的任一项所述的方法，其中，所述第一访问网络是基于3GPP 的网络。
26.一种用于建立至可靠分组数据网关的安全隧道的移动节点，所述移动节点包括 传送器，在所述移动节点链接到第一访问网络或移交到第一访问网络时、或者所述移动节点创建至所述第一访问网络的附加分组数据网络连接时，向所述第一访问网络传送请求消息，接收器，在所述移动节点接收对所述请求消息的响应消息，其中，所述响应消息指示通过所述第一访问网络是否可以预先建立至可靠分组数据网关的安全隧道，以及处理器，在所述移动节点链接到第二访问网络或执行向第二访问网络的移交之前，控制所述移动节点通过所述第一访问网络预先建立至可靠分组数据网关的安全隧道。
27.如权利要求沈所述的移动节点，还包括执行根据权利要求20至25中任一项所述的方法的步骤的单元。
28.一种存储指令的计算机可读介质，当所述指令被移动节点的处理器执行时，使得所述移动节点通过下列步骤建立至可靠分组数据网关的安全隧道在所述移动节点链接到第一访问网络或移交到第一访问网络时、或者所述移动节点创建至所述第一访问网络的附加分组数据网络连接时，从所述移动节点向所述第一访问网络传送请求消息，在所述移动节点接收对所述请求消息的响应消息，其中，所述响应消息指示通过所述第一访问网络是否可以预先建立至可靠分组数据网关的安全隧道，以及在所述移动节点链接到第二访问网络或执行向第二访问网络的移交之前，所述移动节点通过所述第一访问网络预先建立至可靠分组数据网关的安全隧道。
29.如权利要求观所述的计算机可读介质，还存储指令，当所述指令被所述移动节点的处理器执行时，使得所述移动节点执行根据权利要求20至25中的任一项所述的方法的步骤。
全文摘要
本发明涉及一种方法、移动节点和计算机可读介质，用于建立(或预先建立)至ePDG的安全隧道，为移动节点链接或移交到另一访问网络做准备。为了降低在发现ePDG的机制中隐含的、移动节点向访问网络的移交和链接时的延迟，移动节点保持可达性列表，该可达性列表可被查阅来识别在目标访问网络中可达的ePDG，即移动节点可以至其建立安全隧道的ePDG。如果对于给定访问网络移动节点可以从可达性列表识别出可达ePDG，则移动节点在链接到给定访问网络时(预先)建立至ePDG的安全隧道。在可选的解决方案中，DNS、DHCP或其它机制可被用于向移动节点提供关于其附近的ePDG的信息。
文档编号H04W36/14GK102224721SQ200980146224
公开日2011年10月19日 申请日期2009年10月28日 优先权日2008年12月3日
发明者池田新吉, 荒牧隆, 詹斯.贝克曼 申请人:松下电器产业株式会社