獨立於介質的預驗證改進的框架的製作方法

2023-09-19 12:08:30

專利名稱：獨立於介質的預驗證改進的框架的製作方法
技術領域：
本申請尤其涉及預驗汪的方法，例如，用於獨立於介質的預驗證的方 法等。
背景技術：
存在很多類型的計算機網絡，其中網際網路是最出名的。網際網路是4Mt
界範圍的計算機網絡。今天，網際網路是公共的和自持的網絡，被數以百萬
計的用戶使用著。網際網路使用了稱為TCP/IP (即，傳輸控制協議/網際網路 協議)的一組通信協議來連接主機。網際網路具有稱為網際網路骨幹的通信基 礎設施。主要由網際網路服務提供商(ISP)來控制對網際網路骨幹的訪問，所 述ISP將訪問權轉售給公司或個人。
IP (網際網路協議)是這樣的協議，通過該協議，可以在網絡上從一個 設備(例如，電話、PDA[個人數字助理1、計算機等)向另一個設備發送 數據。現在有多個版本的IP,包括，例如，IPv4、 IPv6等。網絡上的每個 主機設備具有至少一個IP位址，作為其自身唯一的標識符。IP是一種無 連接協議。在通信期間在端點之間的連接是不連續的。當用戶發送或接收 數據或消息時，所述數據或消息被劃分為稱為數據包的組分。每個數據包 被當作獨立的數據單元。
為了將網際網路或類似網絡上的點之間的傳輸標準化，建立了 OSI (開 放系統互連)模型。OSI模型將網絡上兩點之間的通信處理分為七層，每 層添加了其自身的功能集。每個設備處理消息，從而存在通過在發送端點 的各層的下行流，以及通過在接收端點的所述層的上行流。提供所述七層 功能的程序和/或硬體通常是設備作業系統、應用軟體、TCP/IP和/或其它傳輸和網絡協議以及其它軟體和硬體的組合。
通常，當消息從用戶傳送出或者向用戶傳送時，使用上面四層，而當 消息通過設備(例如，IP主機設備)時，使用底下三層。IP主機是網絡上 能夠發送和接收IP數據包的任何設備，諸如，伺服器、路由器或者工作站。
目的地為一些其它主機的消息不向上通過上層，而是#:轉發到其它主機。 以下列出osi模型的各層。第7層(即，應用層)，在其中，例如，識別 通信夥伴、識別服務質量、考慮用戶驗證和隱私、識別數據語法上的限制
條件，等。第6層(即，表示層)，在其中，例如，將輸入和輸出數據從 一種表示格式的轉換為另一種等。第5層(即，會話層)，在其中，例如， 建立、調整以及終止會話，在應用之間進行交換和對話，等。第4層(即， 傳輸層)，在其中，例如，管理端到端的控制和錯誤檢查，等。第3層(即， 網絡層)，在其中，例如，處理路由和轉發，等。第2層(即，數據鏈路 層)，在其中，例如，為物理層次提供同步，進行比特緩沖以及提供傳輸 控制知識和管理，等。電氣和電子工程師協會(IEEE)將所述數據鏈路層 再次劃分為兩個更進一步的子層，MAC (介質訪問控制)層，其用於控制 與物理層的數據傳輸，以及LLC (邏輯鏈路控制)層，其通過接口與網絡 層相連接，並解釋命令以及進行錯誤恢復。第l層(即，物理層)，在其 中，例如，在物理層次通過網絡傳送比特流。IEEE將物理層再次劃分為 PLCP (物理層會聚協議)子層和PMD (物理介質相關)子層。 無線網絡
無線網絡可以結合各種類型的行動裝置，諸如，蜂窩和無線電話、PC (個人計算機)、膝上型計算機、可佩戴式計算機、無繩電話、傳呼機、 頭戴式耳機、印表機、PDA等。例如，行動裝置可以包括用以確保語音和 /或數據的快速無線傳輸的數字系統。典型的移動i殳備可以包括如下組件中 的一些或者全部收發器(即，發送器和接收器，包括，例如，具有集成 的發送器、接收器以及，如果需要的話，其它功能的單晶片收發器)；天 線；處理器； 一個或多個音頻轉換器(例如，作為音頻通信設備的揚聲器 或麥克風)；電磁數據存儲器(例如，在提供了數據處理的設備中的ROM、RAM,數字數據存儲器，等)；內存；快閃記憶體；全晶片集或集成電路；接口 (例如，USB、 CODEC、 UART、 PCM，等)；以^或者其它類似裝置。
可以將無線LAN (WLAN)用於無線通信，在其中，無線用戶可以通 過無線連接連接到區域網(LAN)。無線通信可以包括，例如，經由諸如 光、紅外、射頻、微波的電磁波傳播的通信。當前存在著各種WLAN標 準，例如，藍牙、IEEE802.il以及家用射頻(homeRF)。
作為舉例，使用藍牙產品來提供在移動計算機、行動電話、可攜式手 持設備、個人數字助理(PDA)以及其它行動裝置之間的鏈路以及對因特 網的連接性。藍牙是一種計算和電信業規範，其詳細規定了行動裝置如何 '能夠利用短程無線連接容易地進行互連以及與非行動裝置相連接。藍牙生 成數字無線協議，以解決由於各種行動裝置的^L而導致的終端用戶問題， 如，需要保持數據同步以及設備互相兼容，從而使來自不同製造商的設備 能夠無縫地一起工作。可以根據常用的命名概念來命名藍牙設備。例如， 藍牙設備可以擁有藍牙設備名稱(BDN)或者與唯一的藍牙設備地址 (BDA)相關聯的名稱。藍牙設備也可以參與網際網路協議(IP)網絡。如 果藍牙設備在IP網絡上工作，可以為其提供IP位址和IP (網絡)名稱。 因此，被配置為參與IP網絡的藍牙設備可以包含，例如，BDN、 BDA、 IP位址和IP名稱。術語"IP名稱"指對應於接口的IP位址的名稱。
IEEE標準IEEE 802.11規範了用於無線LAN和設備的技術。利用 802.11，可以利用支持幾個設備的單個基站來實現無線網絡。在一些例子 中，可以為設備預先配備無線硬體，或者用戶可以安裝可能包括天線的諸 如卡的分立硬體。作為舉例，在802.11中使用的設備通常包括三個值得注 意的元素，所述設備是否是接入點(AP )、移動站(STA )、網橋、PCMCIA 卡或者另一種設備無線電收發器；天線；以及用於控制網絡上節點之間 的數據包流的MAC (介質訪問控制)層。
另外，在一些無線網絡中可以使用多接口設備(MID) 。 MID可以包 含兩個獨立的網洛接口，諸如藍牙接口和802.11接口，從而使得MID可 以參與兩個分離的網絡，並與藍牙設備進行接口連接。MID可以具有IP位址和與所述IP位址相關聯的通用IP (網絡)名稱。
無線網絡設備可以包括，但不限於，藍牙設備，多接口設備(MID)， 802.11x設備(IEEE 802.11設備，這包括，例如，802.11a、 802.11b和802.11g 設備)，HomeRF (家用射頻)設備，Wi-Fi (無線保真)設備，GPRS (通 用分組無線業務)設備，3G移動i殳備，2.5G行動裝置，GSM(移動通信 全球系統)設備，EDGE (GSM演進增強數據)設備，TDMA類型(時 分復用)設備，或者CDMA類型(碼分復用)設備，包括CDMA 2000。 各個網絡設備可以包含變化類型的地址，這包括但不限於IP位址，藍牙設 備地址，藍牙通用名稱，藍牙IP位址，藍牙IP通用名稱，802.11 IP位址， 802.11 IP通用名稱，或者IEEE MAC地址。
無線網絡還涉及在移動IP (網際網路協議)系統、PCS系統以及其它移 動網絡系統中發現的方法和協議。關於移動IP,這涉及由網際網路工程任務 組(IETF)創建的標準通信協議。利用移動IP，行動裝置用戶可以在網絡 之間移動，同時保持其曾經被分配的IP位址。參考標準草案(RFC ) 3344。 注意RFC是網際網路工程任務組(IETF)的正式文件。當在內部網絡之 外進行連接時，移動IP增強了網際網路協議(IP)，並增加了向行動裝置轉 發網際網路流量的手段。移動IP為每個移動節點分配了在其內部網絡上的內 部地址以及用於標識所述社備在網絡和其子網中的當前位置的轉交地址 (CoA)。當設備移動到不同網絡時，其接收新的轉交地址。內部網絡上 的移動代理可以將各個內部地址與其轉交地址相關聯。利用例如網際網路控 制報文協議(ICMP),移動節點可以在每次改變其轉交地址時向家鄉代 理髮送綁定更新。
在基本IP路由(例如，外部移動IP)中，路由機制依賴於這樣的假 設，即，每個網絡節點總是具有對於例如，網際網路的不變的附著點 (attachment point)，並且每個節點的IP位址標識其所附著的網絡鏈路。 在此文件中，術語"節點，，包括連接點，其可以包括，例如，用於數據傳 輸的再分配點或端點，並且其能夠識別、處理和/或向其它節點轉發通信。 例如，網際網路路由器能夠察看，例如，IP位址前綴或者類似的用於標識設備的網絡的標識。然後，在網絡層次，路由器能夠察看，例如，用於標識 特定子網的一組字節。然後，在子網層次，路由器能夠察看，例如，用於
標識特定i殳備的一組字節。利用通常的移動IP通信，如果用戶將移動i殳備 從，例如，網際網路斷開，並試圖將其重新連接到新的子網，則所述設備必 須被重新配置新的IP位址、適當的網,碼和預設路由器。否則，路由協 議將不能適當地發送數據包。
圖4描述了可以在包括無線接入點的 一些說明性和非限制性實施中採 用的一些說明性的構造組件，其中客戶端設備與所述無線接入點進行通信。 關於此，圖4示出了一個說明性的有線網絡20，其,皮連接到通常標註為21 的無線區域網(WLAN) 。 WLAN21包括接入點(AP) 22和一些用戶站 23、 24。例如，有線網絡20可以包括網際網路或者企業數據處理網絡。例如， 接入點22可以是無線路由器，而用戶站23、 24可以是，例如，可攜式計 算機、個人臺式計算機、PDA、可攜式IP語音電話和/或其它設備。接入 點22具有網皿口 25，其被連接到有線網絡21，以及與用戶站23、 24 進行通信的無線收發器。例如，無線收發器26可以包括天線27，用於與 用戶站23、 24進行無線電或微波頻率的通信。接入點22還具有處理器28、 程序存儲器29以及隨機訪問存儲器31。用戶站23具有無線收發器35,其 包括用於與接入點站22進行通信的天線36。在類似方式中，用戶站24具 有無線收發器38和天線39，用於與接入點22進行通信。
在此處描述的一些優選實施例中，描述系統和方法，從而主動地建立 不同介質的高層和低層語境。在此，介質包括，例如，行動裝置可訪問的 網絡(例如，有線的、經許可無線的、未經許可無線的，等。)。參見， 例如，IEEE 802 (包括IEEE 802.21)中討論的^h質。介質可以包括，例 如，無線LAN(例如，IEEE 802.11 )， IEEE 802.16， IEEE 802.20,藍牙， 等。 一些說明性例子包括1)從蜂窩網絡到無線或WIFI網絡的行動裝置 交換，例如，具有蜂窩接口和無線接口的行動裝置試圖通過獲取行動網路 上的初始信息(例如，密鑰，等)來進行WIFI訪問，而不是同時建立無 線接口； 2)當行動裝置當前具有無線或WIFI連接時，當處於無線LAN可以潛在地快速關閉等情況時，作為舉例，行動裝置能夠主動地經由蜂窩 網絡進行預驗證(即，如果需要，能夠快速交換)。在一些說明性的情況
下，具有單個IEEE 802.xx接口的移動節點可以在多個子網和多個管理域 中漫遊。雖然保持多個接口總是開啟是一種選項，移動節點在一些情況下 可能希望使未使用的接口停用(例如，為了節省電力，等)。另外，MPA 尤其能夠提供安全無縫的移動性優化，其用於子網間切換、域間切換、技 術間切換，等，以及多接口的使用。 PANA:
為l更於參考，將來自 P.Jayaraman, "PANA Framework," Internet-draft, draft曙ietf-pana-framework-01.txt， work in progress, July 2004的PANA相關的信息在此引用。關於此，PANA是鏈路層不可知網絡 接入^協議，其運行於希望接入到網絡的節點和網絡側的伺服器之間。 PANA定義了新的EAP[參見B.Aboba， et al， "Extensible Authentication Protocol( EAP ), " RFC 3748, June 2004Aboba， B.， Blunk, L.， Vollbrecht， J.， Carlson, J. and H. Levkowetz, Extensible Authentication Protocol
(EAP) ， June 2004.以及在協議端點之間使用IP的低層。
在Yegin.A和Y.Ohba的Protocol for Carrying Authentication for Network Access (PANA) Requirements, draft-ietf-pana-requirements-08
(work in progress ) ， June 2004中，描述了定義這種協議的動機和需求。 Forsberg, D.， Ohba， Y., Patil ， B.， Tschofenig, H.和A.Yegin的Protocol for Carrying Authentication for Network Access ( Forsberg， D.， Ohba， Y. ， Patil ， B. ， Tschofenig ， H.和 A.Yegin , Protocol for Carrying Authentication for Network Access( PANA )， draft-ietf-pana-pana-04( work in progress )，May 2004)中記錄了協議的詳細內容。Parthasarathy, M., PANA Enabling IPsec Based Access Control, draft-ietf-pana-ipsec-03
(work in progress) ， May 2004，描述了遵循基於PANA的^Si進行訪 問控制的IPsec的使用。IPsec能夠被用於每數據包的訪問控制，但是其並 不是實現此功能性的唯一途徑。其它方法包括依賴於物理保護和鏈路層加密。將PANA伺服器與執行訪問控制的實體分開被認為是一種可選的實施 方法。SNMP[參見Mghazli， Y., Ohba， Y. and J. Bournelle, SNMP Usage for PAA-2-EP Interface, draft-ietf-pana畫snmp-OO (work in progress) , April 2004]已經被選為在分離的節點之間攜帶相關信息的協議。
PANA設計為各種類型的實施提供了支持。基於低層安全的可用性、 PANA實體的放置、客戶IP配置的選擇以及驗證方法等，接入網絡可以有 所不同。
與低層的安全性無關，PANA可以被用於任何接入網絡。例如，可以 對所述網絡進行物理保護，或者，在成功進行客戶網絡驗證之後，通過密 碼機制進行保護。
PANA客戶端、PANA驗證代理、IHE伺服器以及執行點是此設計中 的功能實體。可以將PANA驗證代理和執行點放置在所述接入網絡中的各 種元件上(諸如，接入點、接入路由器、專用主機)。
IP位址配置機制也隨之變化。也可以從靜態配置、DHCP、無狀態地 址自動配置中進行選擇。如果客戶端配置用於確保每數據包安全性的IPsec 通道，則配置該通道內部的IP位址也變得相關，因為，有諸如IKE的額 外選擇。
PANA協議被設計為有助於在接入網絡中的客戶端的驗證和授權。 PANA是一種EAP[Aboba， B.， Blunk, L.， Vollbrecht， J.， Carlson, J., and H. Levkowetz, Extensible Authentication Protocol( EAP), June 2004， 參見Aboba， B., Blunk， L.， Vollbrecht, J., Carlson, J.， and H. Levkowetz, Extensible Authentication Protocol (EAP ) , RFC 3748， June 2004，承載
EAP中。雖然PANA允許兩個實體之間的驗證處理，但其僅僅是整個AAA 和訪問控制框架中的一部分。利用PANA的AAA和訪問控制框架包括四 個功能實體，見以下討論以及圖1 (A)到1 (C)所示。
第一功能實體是PANA客戶端(PaC),其是PANA協議的客戶端實 現。此實體位於請求網絡訪問的端主機上。所述端主機包括，例如，膝上型電腦、PDA、行動電話、臺式PC和/或經由有線或無線接口連接到網絡 的類似設備。PaC負責請求網絡訪問以及利用PANA協議進行^L處理。
第二功能實體是PANA驗證代理(PAA),其是PANA協議的服務 器實現。PAA負責與PaC進行接口連接，以針對網絡訪問服務對它們進 行驗證和授權。PAA詢問驗證伺服器，以認證PaC的資格和權利。如果 驗證伺服器位於與PAA相同的主機，應用程式接口 (API)足夠進行此交 互。當它們被分離時(公共接入網絡中的普遍情況)，協議被使用以在兩 個LDAP之間運行[參見Hodges， J. and R. Morgan, Lightweight Directory Access Protocol (v3 ) : Technical Specification, September 2002, Hodges ， J. and R. Morgan, Lightweight Directory Access Protocol (v3 ) : Technical Specification, RFC 3377， September 2002，並且類似RADIUS [參見 Rigney, C. ， Willens, S. ， Rubens ， A., and W. Simpson ， Remote Authentication Dial In User Service ( RADIUS ) ， June 2000. Rigney, C.， Willens, S.， Rubens, A., and W. Simpson, Remote Authentication Dial In User Service ( RADIUS ) ， RFC 2865， June 2000]以及Diameter[參見 Calhoun, P.， Loughney, J.， Guttman， E.， Zorn， G. and J. Arkko， Diameter Base Protocol, September 2003， Calhoun, P.， Loughney， J., Guttman， E.， Zorn， G. and J. Arkko， Diameter Base Protocol, RFC 3588， September 2003]的AAA協i義,皮普遍用於此目的。
所述PAA還負責升級依賴於根據發汪狀態的生成和刪除的訪問控制 狀態(即，濾波器)。所述PAA向網絡中的執行點發送已更新的狀態。如 果PAA和EP位於相同的主機，API足夠進行此通信。否則，協議祐 使用 以從PAA向EP運栽該授權的客戶端屬性。雖然不禁止其它協議，目前已 經建議SNMP[參見Mghazli， Y.， Ohba， Y. and J. Bournelle, SNMP Usage for PAA-2-EP Interface, draft誦ietf畫pana畫snmp-OO( work in progress )， April 2004用於此任務。
PAA位於區域網中通常稱為網M入伺服器(NAS)的節點上。PAA 可以位於與PaC相同的IP子網上的任何啟用IP的節點上。例如，在DSL網絡中的BAS (寬帶接入伺服器)上，或3GPP2網絡中的PDSN上。
第三功能實體是驗證伺服器(AS)，其作為伺服器實現，負責認證請 求網絡訪問服務的PaC的資格。所述AS為PaC接收來自從PAA的請求， 並利用認證結果以及驗證參數(例如，許可的帶寬、IP配置等)進行響應。 所述AS可以位於與PAA相同的主機上，位於所述接入網絡的專用主機上， 或者位於網際網路上其它地方的中心伺服器上。
第四功能實體是執行點(EP)，其作為訪問控制實現，負責允許已授 權的客戶端進行訪問，同時防止其它人的訪問。EP從PAA學習已授^^ 戶端的屬性。EP利用非密碼或密碼濾波器選擇性地允許或丟棄數據包。這 些濾波器被應用於鏈路層或IP層。當使用密碼訪問控制時，需要在PaC 和EP之間運行安全關聯協議(secure association protocol)。在所述安全 關聯協議建立所需要的安全關聯以啟用完整性保護、數據源驗證、重放保 護(replay protection )以及可選的機密性保護之後，使用鏈路或網絡層保 護(例如，TKIP、 IPsecESP) 。 EP可以戰略性地位於區域網上，以最小 化未授斥X^戶端對該網絡的訪問。例如，EP可以位於被直接連接到有線網 絡中的客戶端的交換機上。這樣，EP可以在未授權數據包到達其它客戶端 主機或超出區域網以外之前，丟棄該未授;^又的數據包。
取決於實施場景，可以將一些實體置於一處。例如，PAA和EP可以 在DSL網絡中的相同節點(BAS)上。在這種情況下，在PAA和EP之 間具有筒單的API就足夠了。在小企業應用中，PAA和AS可以位於相同 的節點(例如，接入路由器)上，其消除了在所述兩者之間運行協i^的需 要。是否共同放置這些實體的決定，以及它們在網絡拓樸結構中的準確位 置，都屬於配置決定。
僅在運行PANA之前缺乏任何低層安全時需要使用用於安全關聯的 IKE或4向握手協議。物理保護網絡(physically secured network)(諸 如，DSL )或在PANA運行之前已經進行密碼保護的網織例如，cdma2000 ) 不需要額外的安全關聯和每數據包加密。這些網絡可以將PANA驗證和授 權綁定到已經可用的低層安全信道。接入網絡上的EP允許來自任何授權PaC的通用數據流量，然而，對 於未授權的PaC,其僅允許有限類型的流量(如，PANA、 DHCP、路由 器發現)。這確保了新附加的客戶端具有參與PANA的最小的訪問服務， 並且可以得到未受限服務的授權。
PaC需要在運行PANA之前配置IP位址。在成功的PANA驗證之後， 取決於應用場景，PaC需要重新配置其IP位址，或者配置另外的IP位址。 可以作為安全關聯協議運行的 一部分來執行所述另外的地址配置。
初始未授權的PaC通過發現接入網絡上的PAA來開始PANA驗證， 之後是PANA上的EAP交換。PAA在此過程中與AS進行交互。在接收 到來自AS的驗證和授權結果之後，PAA向PaC告知有關其網絡訪問請求 的結果。
如果PaC被授權可以訪問所述網絡，PAA還利用SNMP向EP發送 特定PaC屬性(例如，IP位址、加密密鑰，等)。EP利用此信息改變其 濾波器，以使得來自PaC和向PaC發出的數據流量可以通過。
在PANA驗證之後需要啟用密碼訪問控制的情況下，在PaC和EP之 間運行安全關聯協i義。作為成功的PANA交換的結果，PaC應該已經具有 對此處理的輸入參數。類似地，EP應該已經經由SNMP從PAA獲得它們。 安全關聯交換在PaC和EP之間產生所需要的安全關聯，以啟用密碼數據 流量保護。每數據包密碼數據流量保護引入額外的每數據包開銷，但是該 開銷僅存在於PaC和EP之間，不會影響EP之外的通信。鑑於此，將EP 儘可能地放在所述網絡的邊緣非常重要。
最後，數據流量可以開始流向新近授權的PaC以及從其流入。
對本發明的介紹
由於廣泛使用包括蜂窩和無線LAN的無線4支術，支持終端在不同類 型的接入網絡之間進行切換，諸如，從無線LAN到CDMA，或者到GPRS， 這被認為是一個明顯的挑戰。另一方面，支持終端在相同類型的接入網絡 之間進行切換仍然更具有挑戰性，尤其當所述切換跨越IP子網或管理域的 時候。為解決上述挑戰，很重要的一點在於，以優化並且安全的方式提供對於鏈路層技術未知的終端移動性，並且無需引入不合理的複雜性。在此 文件中，我們討論了終端移動性，其提供了低潛伏時間和低損耗的無縫切 換。無縫切換的特徵在於下一部分描述的性能需求，以下說明性能需求。
終端移動性的基本部分伴隨有移動性管理協議，所述移動性管理協議 維持移動終端的標識符與定位符之間的綁定，其中，所述綁定被稱為移動 性綁定。當移動終端運動時，移動節點的定位符可動態地變化。導致所述 定位符變化的運動不僅可以是物理地，還可以是邏輯地。在本文件的餘下 部分，術語"移動性管理協議，，指代在網絡層或更高層工作的移動性管理協議。
在不同層具有幾種移動性管理協議。移動IPRFC 3344]和移動 IPv6[RFC 3775是在網絡層工作的移動性管理協議。在IETF中正在進行 幾項工作，以在網絡層的更高層定義移動性管理協議。例如，MOBIKE (IKEv2移動性和多穴(Multihoming ) ) [I畫D.ietf國mobike-design]是到 IKEv2的擴展，其提供處理IKEv2端點的IP位址變化的能力。HIP (主 機辨識協議)[I-D.ietf-hip-base在網絡層和傳輸層之間定義了新的協議層， 以對於網絡層和傳輸層透明的方式提供終端移動性。並且，SIP-Mobility 是到SIP的擴展，以保持SIP用戶代理[SIPMM的移動性綁定。
儘管移動性管理協議保持移動性綁定，只以它們的當前形式來4吏用它 們卻不足以提供無縫切換。需要在所述移動終端的被訪問網絡中工作的額 外優化機制以防止在更新所述移動性綁定時發送的重要數據包丟失，從而 實現無縫切換。這樣的機制被稱為移動性優化機制。例如，通過允許鄰近 接入路由器進行通信並承載有關移動終端的信息，分別為移動IPv4和移動 v6定義移動性優化才幾制[I-D.ietf-mobileip-lowlatency-handoffs-v4和 [I-D.ietf-mipshop-fast醫mipv6]。
一些協議被當作移動性優化機制的"助手"。CARD(候選接入路由 器發現機制)協議[I-D.ietf-seamoby-card-protocol被設計為發現鄰近的接 入路由器。CTP(上下文轉移協議)[I-D.ietf-seamoby-ctp]被設計為在接入目前已有的移動性優化機制中存在幾個問題。第一，已有的移動性優
化機制與特定的移動性管理協議緊密相關。例如，不能為MOBIKE使用 為移動IPv4或移動IPv6設計的移動性優化機制。所強烈希望的是單個統 一的移動性優化機制，其可以與任何移動性管理協議共同工作。第二，如 果不假設管理域之間的預建立的安全關聯，則已有的移動性優化機制不能 容易地支持在管理域之間的切換。僅基於在移動節點和各個管理域之間的 信任關係，移動性優化機制應該以安全方式跨越管理域進行工作。第三， 移動性優化機制不僅需要支持有可能出現通過多個接口的多個同時連接的 多接口終端，還需要支持單接口終端。
本文件描述了獨立於介質的預驗證(MPA)的框架， 一種新的切換優 化機制，其具有解決所有上述問題的可能。MPA是移動輔助的安全切換優 化方案，其能夠工作在任何鏈路層，並可以與任何移動性管理協議一起工 作，這些協議包括移動IPv4、移動IPv6、 MOBIKE、 HIP、 SIP移動性等。 在MPA中，IEEE 802.11i預驗證的概念被擴展為在更高層工作，利用額 外的機制對來自移動終端可能移動到的網絡的IP位址進行早期獲取，並主 動地切換到該網絡，同時，所述移動終端仍然連接到當前網絡。本文件集 中關注所述MPA框架。在使用這樣的框架時，基於本公開，本領域技術 人員可以實施為MPA選擇的實際協議集以及詳細操作。以下標識的文件 [I-D.ohba-mobopts-mpa畫implementation提供了 一種方法,描述了在已有 的協議之間的使用和交互，從而實現MPA功能性。
性能需求
為了為交互式VoIP和流式流量(streaming traffic)提供所期望的月l 務質量，需要將端到端延遲、抖動和數據包丟失的值限制在某個閾值水平 之下。ITU-T和ITU-E標準為這些參數定義了可接受的值。例如，對於單 向延遲，ITU-T G.114建議將150毫秒作為多數應用的上限，而將400毫 秒作為通常不可接受的延遲。視頻會漢的單向延遲容限在200到300毫秒 的範圍。並且，如果在某個闞值之後接收到無序的數據包，則認為其已經 丟失。以下列出的參考文獻[RFC 2679、[RFC 2680]以及[RFC 2681j描述了用於延遲和抖動的一些測量技術。
端到端延遲通常包括幾個部分，諸如，網絡延遲、作業系統(os)延
遲，CODEC延遲和應用延遲(application delay)。網絡延遲包括傳輸延 遲、傳播延遲以及在中間路由器中的排隊延遲。作業系統相關延遲由發送 方和接收方的作業系統的調度行為構成。CODEC延遲通常是由於在發送 方和接收方端的分包和解數據包而導致的。
應用延遲主要歸因於回放延遲(playout delay)，該延遲有助於補償 網絡中的延遲變化。可以在接收器端利用回放緩衝的適當值來調整端到端 延遲和抖動值。例如，在交互式VoIP流量的情況下，端到端延遲影響抖 動值，並且是一個需要考慮的重要問題。在移動裝置(mobile)的頻繁切 換期間，瞬時流量不能到達移動裝置，這也導致了抖動。
如果終端系統有回放緩衝，則將此抖動歸入回放緩衝延遲，否則，將 其加到交互式流量的延遲。數據包丟失通常是由擁塞、路由不穩定性、鏈 路故障，諸如無線鏈路的有損鏈路而導致。在移動裝置的切換期間，由於 其所附著網絡的改變，移動裝置遭到數據包丟失。因此，對於流式流量以 及VoIP交互式流量而言，數據包丟失將影響實時應用的服務質量。
數據包丟失的數目正比於切換期間的延遲以及移動裝置接收的流量 的速率。由於重傳，在TCP流量的情況下，丟失的數據包導致擁塞，但是 在基於RTP/UDP的流式流量的情況下，不會增加任何擁塞。因此，在任 何移動性管理方案中，減少數據包丟失以及切換延遲的影響是一個要點。 在以下的部分2中，說明了已有的工作快速切換(workfast-handover)， 我們描述了 一些嘗試減少切換的快速切換方案。
根據以下的參考資料[ETSIETSI TR 101，正常的語音會話能夠容許 最多2%的數據包丟失。如果在會話期間移動裝置進行頻繁切換，則每次 切換都將影響切換期間的數據包丟失。因此，需要將會話期間的最大丟失 減小到可接受的水平。
對於流式應用中的數據包丟失，還沒有明確的閾值，但是需要儘可能 地減少該數據包丟失，從而為具體的應用提供更好的服務質量。已有的工作快速切換
儘管基本的移動性管理協議，諸如，移動IP(參見以下參考資料[RFC 3344])，移動IPv6 (參見以下參考資料[RFC 3775)，以及SIP移動性 (參見以下參考資料[SIPMM])提供了解決方案，以為TCP和RTP流量 提供連續性，但沒有對這些進行對於減少在子網和域之間的移動裝置的頻 繁運動時的切換潛伏時間的優化。 一般而言，這些移動性管理協議受到在 幾個層中發生的切換延遲的影響，例如，所述層為第2層、第3層以及用 於更新移動裝置的移動性綁定的應用層。
在目前的移動性管理方案中已經應用了幾種優化技術，嘗試減小移動 裝置在小區、子網以及域之間運動時的切換延遲和數據包丟失。存在幾種 微移動性管理方案(例如，參見以下的參考資料[CELLIP]和參考資料 [HAWAII])，以及域內移動性管理方案(例如，參見以下的參考資料[IDMP
和[I-D.ietf-mobileip-reg-tunnel)，其通過將信令更新限制在域內來提供快 速切換。用於IPv4和IPv6網絡的快速移動IP協議(參見以下的參考資料 [I畫D.ietf畫mobileip-lowlatency-handoffs-v4] 和 [I-D.ietf-mipshop-fast-mipv6)提供了快速切換技術，其利用了可通過鏈 路層觸發器得到的移動性信息。Yokota等(參見以下的參考資料 [YOKOTA敗出了聯合使用接入點和專用MAC網橋，從而不改變MIPv4 規範即可提供快速切換。MACD方案(參見以下的參考資料[MACD)通 過提供基於高速緩存的算法，減小了由於MAC層切換帶來的延遲。
一些移動性管理方案使用了雙接口 ，因此，提供了先接後斷 (make-before-break)的情形(參見以下的參考資料[SUM])。在先接後 斷情形中，通信通常利用一個接口繼續，而第二個接口處於被連接狀態。 IEEE 802.21工作組正在詳細討論這些情形。
相比具有多接口的客戶端，利用單接口提供快速切換需要更仔細的設 計技術。以下的參考資料[SIPFAST為基於SIP的移動性管理提供了優化 的切換方案，其中通過利用應用層轉發方案將瞬時流量從舊的子網轉發到 新的子網。以下的參考資料[MITH]為單接口情況提供了快速切換方案，其使用了在舊的外地代理和新的外地代理之間的移動裝置初始化隧道效應
(mobile initiated tunneling)。以下的參考資料[MITH定義了兩種類型的 切換方案，諸如Pre-MIT和Post-MIT。
從某些方面來看，所提出的MPA方案通常與MITH的預測方案類似， 在MITH預測方案中，在實際移動到新網絡之前，移動裝置與外地代理進 行通信。然而，尤其地，本文件描述的所提出的MPA方案並不僅僅限於 MIP類型的移動性協議。另外，此方案還關注在域之間的移動，並且，除 了主動切換，還進行預驗證。因此，尤其地，所提出的方案能夠減少整體 延遲，使其接近於鏈路層切換延遲。
技術
在本文件中，採用了以下技術 移動性綁定
在移動終端的標識符和定位符之間的綁定。 移動性管理協議(MMP):
在網絡層或更高層工作的協議，其維持在移動終端的標識符和定位符 之間的綁定。 綁定更新
更新移動性綁定的過程。 獨立於介質的預發汪移動節點(MN):
獨立於介質的預發江(MPA)的移動終端，所述MPA是移動輔助的 安全切換優化方案，其工作於任何鏈路層，並利用任何移動性管理協議。 MPA移動節點是IP節點。在本文件中，沒有修飾語的術語"移動節點" 或"MN"指代"MPA移動節點"。MPA移動節點通常還具有移動性管 理協議的移動節點的功能性。
候選目標網絡(candidate target network, CTN):
移動裝置即將運動到其中的網絡。
目標網絡(TN):
移動裝置決定運動到其中的網絡。從一個或多個候選目標網絡中選出所述目標網絡。
主動切換隧道(Proactive Handover Tunnel， PHT): 雙向IP隧道，其被建立在MPA移動節點和候選目標網絡的接入路由 器之間。在本文件中，沒有修飾語的術語"隧道"指代"主動切換隧道"。 附著點(PoA)
鏈路層設備(例如，交換機、接入點或基站，等。)其作為MPA移 動節點到網絡的鏈路層附著點。 轉交地址(CoA )
移動性管理協議所使用的IP位址，其作為MPA移動節點的定位符。 MPA框架
以下子部分討論獨立於介質的預發汪(MPA)框架的說明性和非限制 性方面。
1. 概述
獨立於介質的預驗證(MPA)是移動輔助的安全切換優化方案，其工 作於任何鏈路層，並可利用任何移動性管理協議。利用MPA,移動節點不 僅能夠安全地獲得候選目標網絡(CTN)的IP位址和其它配置參數，並 且在其實際連接到所述CTN之前還能夠利用所獲得的IP位址發送和接收 IP數據包。這使得所述移動節點可以完成任何移動性管理協議的綁定更 新，並在進行在鏈路層的切換之前使用新的CoA。
通過允許移動節點進行(i)建立與CTN的安全關聯，以保護後續協 議信令，然後(ii)安全地執行配置協議，以從CTN獲取IP位址和其它 參數，並且執行隧道管理協議，以在所述移動節點和CTN的接入路由器 之間建立主動切換隧道(PHT),接著(iii)利用所獲得的IP位址作為隧 道內部地址，在PHT上發送和接收IP數據包，該數據包包括用於移動性 管理協議(MMP )的綁定更新的信令消息以及在完成綁定更新之後發送的 數據包，並且最後(iv)當所述CTN成為目標網絡時，在連接到該CTN 之前刪除或禁止所述PHT，並且然後在通過接口將移動節點連接到該目標 網絡之後立即將所刪除或禁用的隧道的內部地址重新分配給其物理接口 ，從而提供所述功能性，其中，所述移動節點被連接到當前網絡，但卻沒有
與CTN相連接。取代在連接到所述目標網絡之前刪除或禁用所述隧道， 可以在連接到所述目標網絡之後立即刪除或禁用所述隧道。
特別地，第三步使得移動裝置可以在開始鏈路層切換之前完成較高層 切換。這意^^未著移動裝置能夠發送和接收在完成隧道上的綁定更新之後所 傳送的數據包，同時其仍然能夠發送和接收在完成隧道外的綁定更新之前 所傳送的數據包。
在以上四個MPA基本處理中，第一步也被稱為"預驗證"，第二步 被稱為"預配置"，第三和笫四步的被合稱為"安全主動切換"。將通過 預驗證所建立的安全關聯稱為"MPA-SA"。如上所指出，將通過預配置 建立的隧道稱為"主動切換隧道"(PHT)。
2.功能元件
在所述MPA框架中，在優選實施例中，以下功能元件位於每個CTN 中，以與移動節點進行通信驗證代理(AA),配置代理(CA)以及接 入路由器(AR)。這些元件中的一些或者全部能夠^皮放置在單個網絡設備 或分立的網絡設備中。
驗證代理負責預驗證。在移動節點和驗證代理之間執行驗證協i義，以 建立MPA-SA。所述驗證協議需要能夠得出在移動節點和驗證代理之間的 密鑰，並且能夠提供相互發汪。所述驗證協議應該能夠與諸如RADIUS和 Diameter的AAA協議進行交互，從而向AAA &出設施中的適當^iiE服務 器運送發汪證書。所得到的密鑰用於進一步得到用於保護消息交換的密鑰， 所述消息交換被用於預配置以及安全主動切換。其它用於自舉鏈路層和/ 或網絡層密碼的密鑰也可以從MPA-SA獲得。能夠攜帶EAP (參見，例 如，以下參考資料[RTC 3748)的協議適於用於MPA的發汪協議。
配置代理負責預!Hi的一部分，即，安全地執行配置協議，從而安全 地將IP位址和其它配置參數傳遞給所述移動節點。需要利用從對應於 MPA-SA的密鑰所得到的密鑰來保護所述配置協議的信令消息。
接入路由器是負責預配置的其它部分的路由器，即，安全地執4亍隧道管理協議，以建立通向所述移動節點的主動切換隧道，以及利用所述主動
切換隧道來保護主動切換。需要利用從對應於MPA-SA的密鑰所得到的密 鑰來保護所述配置協議的信令消息。應該利用從對應於MPA-SA的密鑰所 得到的密鑰來保護在主動切換隧道上傳送的IP數據包。 3. 基本通信流
假設所述移動節點已經被連接到附著點，即oPoA(舊附著點)，並 分配了轉交地址，即oCoA (舊轉交地址)。以下描述MPA的通信流。貫 穿所述通信流，除了步驟5的交換過程期間，將不會出現數據包丟失，並 且最小化這個期間的數據包丟失是鏈路層切換的責任。
步驟l (預驗證階段)
移動節點通過一些發現處理來發現CTN，並通過一些方法得到CTN 中的所述IP位址、驗證代理、配置代理以及接入路由器。所述移動節點利 用所述驗證代理進行預發汪。如果所述預驗證成功，則在移動節點和M 代理之間生成MPA-SA。從MPA-SA得到兩個密鑰，即，MN-CA密鑰和 MN-AR密鑰，其分別用於保護配置協議和隧道管理協議的後續信令消息。 然後，分別將所述MN-CA密鑰和MN-AR密鑰安全地傳送到所述配置代 理和所述接入路由器。
步驟2 (預配置階段)
所述移動節點認識到其附著點可能從oPoA變為新的一個，即，nPoA (新附著點)。其然後進行預配置，通過使用了配置協議的配置代理以獲 得IP位址，即，nCoA(新轉交地址)，以及從所述CTN得到其它配置 參數，並且通過使用了隧道管理協議的接入路由器來建立主動切換隧道。 在所述隧道管理協議中，所述移動節點分別將oCoA和nCoA註冊作為隧 道外部地址和隧道內部地址。利用MN-CA密鑰和MN-AR密鑰保護所述 預配置協議的信令消息。當所述配置代理和所述接入路由器共同位於相同 的設備中時，可以將所述兩個協議結合為類似IKEv2的單個協議。在完成 所述隧道建立之後，所述移動節點能夠在步驟4結束之前利用oCoA和 nCoA進行通信。步驟3 (安全主動切換主階段)
所述移動節點通過一些方法決定切換到所述新的附著點。在所述移動 節點切換到新的附著點之前，其通過執行移動性管理協議的綁定更新以及 在所述隧道上傳輸後續數據流量來開始安全主動切換(主階段)。在一些 情況下，可以高速緩存多個nCoA地址，並利用對端主機(correspondent host, CH)或家鄉代理(HA)進行同時綁定(在例如移動IPv6規範RFC 3775中，當移動節點漫遊到外部網絡時，將為其分配轉交地址(CoA)， 並且所述移動節點將通過綁定更新處理向其家鄉代理(HA)和對端節點 (CN)通知其新的CoA)。
步驟4 (安全主動切換預交換階段)
所述移動節點完成綁定更新並準備好交換到新的附著點。所述移動節 點可以執行隧道管理協議，以刪除或禁用所述主動切換隧道，並且在刪除 或禁用所述隧道之後，高速緩存nCoA。有關所述移動節點何時準備好交 換到新的附著點的決定取決於切換策略。
步驟5 (交換)
期望鏈路層切換出現在這個步驟中。 步驟6 (安全主動切換後交換階段)
所述移動節點執行該交換處理。在成功完成所述切換處理之後，所述 移動節點立即恢復被高速緩存的nCoA，並將其分配給連接到新的附著點 的物理接口。如果沒有在步驟4中刪除或禁用所述主動切換隧道，則也可 在此刪除或禁用此隧道。此後，無需利用主動切換隧道，可以利用nCoA 直接傳輸數據包。
接入路由器是負責預配置的其它部分的路由器，即，安全地執4亍隧道 管理協議，以建立通向所述移動節點的主動切換隧道，並利用該主動切換 隧道來確保主動切換。必須利用從對應於MPA-SA的密鑰所得到的密鑰來 保護所述配置協議的信令消息。應該利用從對應於MPA-SA的密鑰所得到 的密鑰來保護在主動切換隧道上傳輸的IP數據包。
參考資料尤其地，本發明為在以下參考資料中描述的系統和方法提供了各種提 高和改進，將所述參考資料的全部公開作為參考。
1. Bradner， S., "The Internet Standards Process-Revision 3，', BCP 9, RFC 2026， October 1996.在此稱為[RFC2026]。
2. Bradner, S.， "IETF Rights in Contributions", BCP 78, RFC 3978, March 2005.在此稱為RFC3978。
3. Perkins, C., "IP Mobility Support for IPv4"，RTC 3344， August 2002.在此稱為RFC3344。
4. Aboba, B.， Blunk, L., Vollbrecht， J., Carlson, J.， and H. Levkowetz， "Extensible Authentication Protocol (EAP)", RFC 3748， June 2004.在此 稱為[RFC3748。
5. Johnson, D, Perkins, C.， and J. Arkko, "Mobility Support in IPv6", RFC 3775, June 2004.在此稱為[RFC3775。
6. Maiki, K.， "Low latency Handoffs in Mobile IPv4", draft曙ietf-mobileip-lowlatency-handoffs-v4-09 (work in progress), June 2004. 在此稱為[I畫D.ietf-mobileip畫lowlatency畫handoffs-v4]。
7. Koodii, R.， "Fast Handovers for Mobile IPv6", draft-ietf畫mipshop-fast國mipv6-03 (work in progress), October 2004. 在此 稱為[I-D.ietf-mipshop-fast誦mipv6]。
8. Liebsch, M.， "Candidate Access Router Discovery," draft-ietf-seamoby-card-protocol-08 (work in progress), September 2004. 在此稱為 [I國D. ietf畫seamoby畫card-protocol。
9. Loughney， J., "Context Transfer Protocol," draft畫ietf畫seamoby-ctp-ll (work in progress), August 2004. 在此稱為 [I-D. ietf-seamoby-ctp。
10. Aboba, B., "Extensible Authentication Protocol (EAP) Key Management Framework", draft-ietf-eap-keying-06 (work in progress), April 2005. 在此稱為[I-D. ietf-eap-keying]。11. Forsberg, D., "Protocol for Carrying Authentication for Network Access (PANA)"， draft-ietf-pana-pana-08 (work in progress). May 2005. 在jt匕稱為[I-D.ietf-pana-pana]。
12. ITU-T, "General Characteristics of International Telephone Connections and International Telephone Circuits: One-Way Transmission Time", ITU-T Recommendation G.114 1998. 在此稱為 [RG98]。
13. ITU-T, "The E-Model, a computational model for use in transmission planning", ITU-T Recommendation G.107 1998. 在此稱為 [IT謂。
14. ETSI, "Telecommunications and Internet Protocol Harmonization Over Networks (TIPHON) Release 3: End-to-end Quality of Service in TIPHON systems; Part 1: General Aspects of Quality of Service.", ETSI TR 101 329-6 V2.1丄在此稱為[ETSI。
15. Kivinen， T. and H. Tschofenig, "Design ofthe MOBIKE protocol", draft畫ietf國mobike國design國02 (work in progress), February 2005. 在此稱為 [I-D.ietf-mobike國design]。
16. Moskowitz， R.， "Host Identity Protocol", draft-ietf-hip-base-03 (work in progress), June 2005.在此稱為 [I-D.ietf國hip國base。
17. Almes， G.， Kalidindi, S., and M. Zekauskas, "A One-way Delay Metric for IPPM", RFC 2679， September 1999. 在此稱為[RFC2679.
18. Almes, G., Kalidindi, S.， and M. Zekauskas, "A One-way Packet Loss Metric for IPPM", RFC 2680， September 1999. 在此稱為 [RFC2680]。
19. Almes, G.， Kalidindi, S.， and M. Zekauskas, "A Round-trip Delay Metric for IPPM", RFC 2681, September 1999. 在此稱為[RFC2681.
20. Simpson, W.， "IP in IP Tunneling", RFC 1853， October 1995. 在 此稱為[RFC1853]。21. Patrick, M., "DHCP Relay Agent Information Option", RFC 3046, January 2001. 在此稱為[RFC3046。
22. Kirn,, P.， Volz, B.， and S. Park, "Rapid Commit Option for DHCPv4"， draft-ietf-dhc-rapid-commit-opt-05 (work in progress), June 2004. 在此稱為[I國D.ietf-dhc國rapid-commit-opt]。
23. Ohba， Y.， "Media-Independent Pre-Authentication (MPA) Implementation Results", draft-ohba-mobopts-mpa-implementation-00 (work in progress), June 2005. 在 此 稱 為 [I-D.ohba-mobopts國mpa-implementation。
24. Schuizrine， H.， "Application Layer Mobility Using SIP", MC2R. 在此稱為[SIPMM。
25. Cambell, A.， Gomez, J., Kim, S., Valko, A.， and C. Wan, "Design, Implementation, and Evaluation of Cellular IP", IEEE Personal communication August 2000.在此稱為[CELLIP]。
26. Ramjee, R., Porta, T., Thuel， S., Varadhan, K., and S. Wang, "HAWAII; A Domain-based Approach for Supporting Mobility in Wide-area Wireless networks", International Conference on Network Protocols ICNP'99.在此稱為[HAWAII]。
27. Das， S., Dutta, A.， Misra, A., and S. Das, "I匪P: An Intra-Domain Mobility Management Protocol for Next Generation Wireless Networks", IEEE Wireless Communication Magazine October 2000. 在此稱為[IDMP。
28. Calhoun, P.， Montenegro, G.， Perkins, C., and E. Gustafsson, "Mobile IPv4 Regional Registration", draft-ietf-mobileip-reg-tunnel-09 (work in progress), July 2004. 在此稱為 [I-D.ietf-mobileip-reg-tunnel。
29. Yokota， H., Idoue， A.， and T. Hasegawa, "Link Layer Assisted Mobile IP Fast Handoff Method over Wireless LAN Networks", Proceedings of ACM Mobicom 2002. 在此稱為[YOKOTA]。30. Shin, S., "Reducing MAC Layer Handoff Latency in IEEE 802.11 Wireless LANs", MOBIWAC Workshop.在此稱為[MACD。
31. Dutta， A.， Zhang, T.， Madhani, S., Taniuchi, K., Ohba, Y.， and H. Schulzrinne, "Secured Universal Mobility", WMASH 2004. 在此稱為 [SUM。
32. Dutta, A., Madhani， S., and H. Schulzrinne, "Fast handoff Schemes for Application Layer Mobility Management", PIMRC 2004. 在 此稱為[SIPFAST。
33. Gwon， Y., Fu, G., and R. Jain, "Fast Handoffs in Wireless LAN Networks using Mobile initiated Tunneling Handoff Protocol for IPv4 (MITHv4)"， Wireless Communications and Networking 2003, January 2005.在此稱為[MITH]。
34. Anjum， F., Das, S.， Dutta， A., Fajardo, V.， Madhani, S.， Ohba， Y.， Taniuchi, K.， Yaqub, R., and T. Zhang, "A proposal for MIH function and Information Service", A contribution to IEEE 802.21 WG, January 2005. 在此稱為[NETDISC。
35. "IEEE Wireless LAN Edition A compilation based on IEEE Std 802.11-1999 (R2003)", Institute of Electrical and Electronics Engineers September 2003.在此稱為[802.11。
36. Dutta, A.， "GPS曙IP based fast-handoff for Mobiles", NYMAN 2003. 在此稱為[GPSIP。
37. Vain, J. and G. Maguire, "The effect of using co-located care畫of-address on macro handover latency", 14th Nordic Teletraffic Seminar 1998. 在此稱為[MAGUIRE]。

發明內容
本發明在上述和/或其它背景技術和/或問題上進行了改進。 一種在獨立於介質的預驗證框架中控制與第一網絡和第二網絡之間的移動節點的交換復位(switchback)有關的切換判定的方法，其包括a) 為所述移動節點提供位置確定模塊，其被配置為提供關於鄰近網絡中的接 入點的位置確定；b)至少部分基於所述位置確定模塊的輸出，利用基於位 置的算法來避免在所述第一和第二網絡之間的振蕩。
在一些例子中，所述方法進一步包括，其中，所述基於位置的算法至 少部分基於在移動節點的位置和與該移動節點的先前切換動作有關的^t高 速緩存的數據之間的相關。在一些例子中，所述方法進一步包括其中， 所述被高速緩存的數據被存儲在所述移動節點上的數字數據存儲裝置中。 在一些例子中，所述方法進一步包括其中，所述基於位置的算法包括基 於有關過去實例的數據來提供到所述第 一 網絡和所述第二網絡中的另 一個 的交換，其中，將所述移動節點交換到所述第一網絡和所述第二網絡中的 另一個。在一些例子中，所述方法進一步包括所述基於位置的算法包括 基於有關過去實例的數據不提供到所述第一網絡和所述第二網絡中的另一 個的交換，其中，不將所述移動節點交換到所述第一網絡和所述第二網絡 中的另一個。在一些例子中，所述方法進一步包括所述位置確定才莫塊包 括GPS接收器。在一些例子中，所述方法進一步包括利用基於位置的算 法來避免在所述第一網絡和第二網絡之間的振蕩，其包括具有至少部分基 於至少一個非位置指示值的算法。在一些例子中，所述至少一個非位置指 示值包括信噪比的指示值。在一些例子中，所述方法包括所述第一網絡 針對第一介質，而所述第二網絡針對不同的介質，其中，所述第一介質是 蜂窩網絡，而所述不同的介質是無線LAN，或者所述第一介質是無線LAN， 而所述不同的介質是蜂窩網絡。
根據一些其它實施例， 一種在獨立於介質的預驗證框架中減輕在第一 網絡和第二網絡之間的移動節點的不希望的交換復位的影響的方法，其包
括a)維持與第一網絡有關的上下文(context) —段時間，從而使得當 移動節點回到所述第一網絡時能夠快速恢復所述上下文；b)使得所述移動 節點在返回所述第一網絡之後，使用所述上下文。在一些例子中，所述方 法進一步包括其中，將所述上下文存儲在移動節點上的數字數據存儲裝置中，並且包括與安全關聯、IP位址或者所建立的隧道相關的數據。在一 些例子中，所述第一網絡針對第一介質，而所述第二網絡針對不同的介質，
其中，所述第一介質是蜂窩網絡，而所述不同的介質是無線LAN，或者所 述第一介質是無線LAN,而所述不同的介質是蜂窩網絡。
根據一些其它實施例， 一種在獨立於介質的預發汪框架中減輕在先前 的網絡和新的網絡之間的移動節點的不希望的交換復位的影響的方法，其 包括在一段時間中向所述先前的網絡和所述新的網絡發送數據包，從而 避免當所述移動節點從所述新的網絡回到所述先前的網絡時的數據包丟 失。在一些例子中，所述發送數據包的步驟包括多播(bicasting)所述數 據包。在一些例子中，所述先前的網絡針對第一介質，而所述新的網絡針 對不同的介質，其中，所述第一介質是蜂窩網絡，而所述不同的介質是無 線LAN，或者所述第一介質是無線LAN，而所述不同的介質是蜂窩網絡。
參考附圖，根據以下描述將進一步解釋各種實施例的上述和/或其它方 面、特徵以力或者優點。各種實施例能夠包括和/或排除不同的可應用的方 面、特徵和/或優點。另外，各種實施例能夠結合可應用的其它實施例的一 個或更多方面或特徵。不應該^人為對特定實施例的方面、特徵和/或優點的 描述是用來限制其它實施例或權利要求的。


圖1是流程圖，其描述了根據一些說明性實施例的基本通信流程，圖 2繼續此流程圖2是流程圖，其描述了圖1所示流程圖的後續基本通信流程；
圖3是框圖，其描述了根據一些說明性實施例的鏈路層安全性的自舉；
以及
圖4是架構圖，其示出了根據本發明的一些說明性實施例的說明性接 入點和說明性客戶端設備或用戶站的示例性子組件。
具體實施方式
在附圖中通過舉例示出了本發明的優選實施例，這不作為限制。 雖然以很多不同形式實施了本發明，在此描述了一些說明性實施例， 需要理解的是，4^>開的目的在於為本發明的原理提供例子，而這些例子 並不是用來將本發明限制為在此描述的和/或在此說明的優選實施例。 詳細討論
為了為移動體驗快速子網(mobile experiencing rapid subnet)以及域 切換提供優化的切換，我們解決幾個問題。這些問題包括發現鄰近的網絡 元件，基於某些策略來選擇正確的網絡進行連接，改變第2層附著點，從 DHCP或PPP伺服器獲得IP位址，確認該IP位址的唯一性，利用諸如特 定域中的AAA伺服器的發汪代理進行預驗證，向對端主機發送綁定更新 以及獲得對於新的附著點的重定向的流式流量、桌球效應以及移動到不止 一個網絡的可能性。以下討論在基於MPA的安全主動切換的語境下解決 或優化這些方面的問題和方法。
l.發現
在移動裝置在網絡之間快速運動時，發現諸如接入點、接入路由器、 驗證伺服器的鄰近網絡元件有助於加快所述切換處理。通過利用所期望的 坐標集、能力(capability)和參數來發現所述網絡鄰居，當在所述先前的 網絡中時，所述移動裝置能夠進行許多操作，諸如預驗證、主動IP位址獲 取、主動地址解析，以及綁定更新。
移動裝置有幾種方法來發現所述鄰近網絡。候選接入路由器發現協議 (參見以上參考資料[I-D.ietf-seamoby-card-protocol])幫助在相鄰網絡中 發現所述候選接入路由器。給定某個網絡域，服務定位協議(SLP)和域 名服務(DNS )有助於為所述指定域中的給定服務集提供網絡組件的地址。 在一些情況下，當移動裝置接近所述鄰近網絡附近時，可以通過諸如信標 的鏈路層管理幀來發送網絡層和更高層參數。IEEE 802.Uu正在考慮諸如 利用鏈路層所包含的信息來發現鄰居的事項。然而，如果通過一些鏈路層 安全機制加密所述鏈路層管理幀，則所述移動節點則有可能不能在建立到 接入點的鏈路層連接之前獲得所需要的信息。另外，這將給帶寬受限的無線介質增加負擔。在這種情況下，優先使用更高層協議來獲得有關鄰近元
件的信息。在上述參考資料[NETDISC1中有一些建議，其有助於從移動性 伺服器獲得這些有關鄰近網絡的信息。當移動裝置的運動即將發生時，其 通過查詢特定伺服器開始所ii^現處理，並獲取所需的參數，諸如接入點 的IP位址、其特徵、路由器、鄰近網絡的SIP伺服器或驗證伺服器。在多 個網絡的情況下，其可以從不止一個鄰近網絡獲得所述需要的參數，並將 這些保存在高速緩存中。在某一點，所述移動裝置從許多可能的網絡中找 到幾個CTN，並通過與CTN中所需要的實體進行通信來開始所述預g 處理。在以下的第2部分將進一步闡明這種情形的詳細情況。 2.多CTN環境中的預^i
在一些情況下，儘管移動裝置決定將某個特定網絡作為目標網絡，但 由於一些超出所述移動裝置控制的因素，其可能實際上最終移動到所述目 標網絡之外的鄰近網絡。因此，利用一些可能的候選目標網絡進行預g， 並且利用在那些網絡中的各個目標路由器來建立有時限的隧道，可能是有 用處的。因此，在移動裝置沒有移動到之前確定的目標網絡的情況下，因 為其最終移動到不同的目標網絡，其不會受到由於後發iit和IP位址獲取延 遲而導致數據包丟失的不利影響。可以看到，通過利用一些候選目標網絡 進行預驗證並保留所述IP位址，移動裝置可以供應能夠另外使用的資源。 但是，由於這僅發生在有限時間內，這不是個大問題。所述移動裝置使用 預驗證流程主動地獲得IP位址，並利用目標接入路由器來建立有時限的隧 道。
在正常情形下，移動裝置為虛擬接口分配新的IP位址。但是在從鄰近 網絡獲得多個IP位址的情況下，它能夠做兩件事情。其能夠利用來自移動 裝置決定去的網絡的IP位址來生成一個虛擬接口，或者，其能夠利用從鄰 近網絡獲得的各個IP位址來生成多個虛擬接口 。移動裝置可以從這些地址 中選擇出一個作為綁定更新地址，並將其發送給對端主機(CH)，並且因 此，當在先前的網絡中時，將經由目標網絡接收隧道流量(tunneled traffic)。但是，在一些實例中，移動裝置最終運動到所述目標網絡之外的網絡。因此，當移動裝置移動到新的網絡時，由於移動裝置需要經過分 配新的IP位址以及再次發送綁定更新的過程，流量上將出現中斷。能夠提 出兩種解決方案來處理這個問題。移動裝置能夠利用同時的移動性綁定並 向對應的主機發送多個綁定更新。因此，所述對應主機在確定的時段內向 分配給虛擬接口的多個IP位址發送流量。在移動裝置移動到所述新的網絡
之後，此綁定更新在CH得到刷新，因而停止到其它候選網絡的數據流。 在特定的移動性方案不支持同時綁定的情況下，從先前的目標網絡轉發流 量將有助於處理所述瞬時流量，直到從所述新的網絡出現新的綁定更新。 3.主動IP位址獲取
一般而言，移動性管理協議與外地代理(FA)—起工作，或者處於協 同定位地址模式(co-located address mode)。我們的MPA方法能夠使用 協同定位地址模式和外地代理地址模式這兩種模式。我們在這裡討論用於 協同定位地址模式的地址分配組件。存在幾種由移動節點獲得IP位址並配 置其自身的方法。最普通的，在所述網絡中沒有任何諸如伺服器或路由器 的配置組件的情況下，移動裝置能夠靜態地配置其自身。IETF Zeroconf 工作組定義了自動IP機制，在其中以專設的方式配置移動裝置，並從諸如 169.254.x.x的特定範圍選取唯一的地址。在LAN環境中，所述移動裝置 能夠從動態主才/L配置協i義(DHCP)伺服器獲得IP位址。在IPv6網絡的 情況下，移動裝置具有利用無狀態自動配置或DHCPv6來獲得IP位址的 選擇。在廣域網絡環境中，移動裝置通過與網絡接入伺服器(NAS)進行 通信來使用PPP獲得所述IP位址。
這些處理的每一個花費幾百毫秒到幾秒量級的時間，這取決於IP位址
獲取處理的類型以;5^:戶端和伺服器的作業系統。
由於ip地址獲取時切換處理的一部分，其增加了切換延遲，並且因此，
期望儘量減少這個時間。可以使用幾種優化技術，諸如，DHCP快速確認 (例如，參見以上參考資料[I-D.ietf-dhc-rapid-commit-opt])以瓦基於GPS 坐標的IP位址(例如，參見以上參考資料[GPSIP])，其試圖減少由於IP 地址獲取時間引起的切換時間。然而，在所有這些情況中，在移動裝置移動到新的子網之後，其還獲得所述IP位址，並且，由於在移動節點和DHCP 伺服器之間的信令握手，還會發生一些延遲。
在以下段落中，我們將描述移動節點能夠從CTN主動地獲得IP位址 的一些方法以及相關聯的隧道建立處理。可以將這些廣義地定義為四個類 別，諸如，PANA輔助主動IP位址獲取、IKE輔助主動IP位址獲取、僅 利用DHCP的主動IP位址獲取以及利用無狀態自動配置的主動IP位址獲 取。
3.1 PANA輔助主動IP位址獲取
在PANA輔助主動IP位址獲取的情況下，所述移動節點從CTN主動 地獲得IP位址。所述移動節點使用PANA消息在DHCP中繼代理上觸發 地址獲取處理，所述DHCP中繼代理和PANA驗證代理共同位於CTN中 的接入路由器中。在從所述移動節點接收到PANA消息之後，DHCP中繼 代理進行正常的DHCP消息交換，以從CTN中的DHCP伺服器獲得IP 地址。此地址^皮承載在PANA消息中，並^皮傳送到客戶端。在具有無狀態 自動配置的MIPv6的情況下，來自新的目標網絡的路由器通告^t作為 PANA消息的一部分傳遞給所述客戶端。移動裝置使用此前綴和MAC地 址來構造唯一的IPv6地址，就像其將在新網絡中所進行的一樣。在狀態模 式中的移動IPv6的工作方式與DHCPv4非常類似。
3.2 IKEv2輔助主動IP位址獲取
當IPsec網關和DHCP中繼代理位於CTN中的每個接入路由器中時， IKEv2輔助主動IP位址獲取進行工作。在這種情況下，CTN中的IPsec 網關和DHCP中繼代理輔助移動節點從CTN中的DHCP伺服器獲取IP 地址。在預m^階段建立的MN-AR密鑰^皮用作為在移動節點和接入路由 器之間運行IKEv2所需要的IKEv2預共享機密。通過利用協同定位DHCP 中繼代理從CTN獲得IP位址，作為標準IKEv2處理的一部分，其中所述 DHCP中繼代理從使用了標準DHCP的目標網絡中的DHCP伺服器獲得 IP位址。所獲得的IP位址被發送回IKEv2配置靜荷交換(IKEv2 Configuration Payload Exchange )中的客戶端。在這種情況下，IKEv2也-皮用作為主動切換隧道的隧道管理協議(參見以下的第5部分)。 3.3僅利用DHCP的主動IP位址獲取
作為另一種替代，通過允許在移動節點和CTN中的DHCP中繼或 DHCP伺服器之間進行直接DHCP通信，無需依賴基於PANA或IKEv2 的方法，DHCP可被用於主動地從CTN獲得IP位址。在這種情況下，移 動節點向CTN中的DHCP中繼代理或DHCP伺服器發送單播DHCP消 息，以請求地址，同時利用與當前物理接口相關聯的地址作為請求的源地 址。
當所述消息被發送到DHCP中繼代理時，所述DHCP中繼代理在移 動節點和DHCP伺服器之間來回中繼所述DHCP消息。在沒有DHCP中 繼代理的情況下，移動裝置也能夠直接與目標網絡中的DHCP伺服器進行 通信。應該將客戶端的單播發現消息中的廣播選項設置為0，從而所述中 繼代理或DHCP伺服器能夠利用移動節點的源地址將回復直接發送回所述 移動裝置。利用狀態配置，這種機制也能夠用於IPv6節點。
為了防止惡意節點從DHCP伺服器獲得IP位址，應該使用DHCP驗 證或者所述接入路由器應該安裝過濾器，以阻止單播DHCP消息被從未經 預驗證的移動節點發送到所述遠程DHCP伺服器。當使用DHCP驗證時， 可以從在移動節點和所述候選目標網絡中的^Hi代理之間建立的MPA-SA 得到DHCP驗證密鑰。
不將所述主動獲得的IP位址分配給移動節點的物理接口 ，直到所述移 動裝置沒有移動到新的網絡。因此，不應該將從所述目標網絡主動獲得的 所述IP位址分配給所述物理接口 ，而應該分配給客戶端的虛擬接口 。因此， 經由在所述移動節點和CTN中的DHCP中繼或DHCP伺服器之間的直接 DHCP通信的主動獲取到的IP位址可以攜帶額外的信息，用於將其與分配 給所述物理接口的其它地址相區分。
3.4利用無狀態自動配置的主動IP位址獲取
在IPv6的情況下，利用DHCPv6或無狀態自動配置進行網絡地址配 置。為了主動地獲取新的IP位址，能夠在所建立的隧道上發送下一跳路由器的路由器通告，並且基於移動裝置的前綴和MAC地址生成新的IPv6地 址。此地址被分配給客戶端的虛擬地址，並作為綁定更新發送給家鄉代理 或者對端節點。所述路由器通告能夠被容易地發送到移動裝置的oCoA， 其中通常在有範圍的多播地址上發送所述路由器通告。這樣將避免獲得IP 地址以及進行重複地址檢測所需要的時間。
在移動裝置進入新網絡之後，移動節點能夠在到該新的網絡的物理接 口上進行DHCP,從而通過利用例如DHCP INFORM來獲得諸如SIP服 務器、DNS伺服器等其它配置參數。這些將不會影響在移動裝置和對端主 機之間正在進行的通信。並且，所述移動節點能夠在到所述新的網絡的物 理接口上進行DHCP，以擴展在^該新的網絡之前主動獲取的地址的租 用時間。
為了保持對於移動節點的DHCP綁定，並且在安全主動切換之前及之 後記住所分配的IP位址，對於用於主動IP位址獲取的DHCP以及在所述 移動節點l目標網絡之後所進行的DHCP，需要將相同的DHCP客戶端 標識符用於所述移動節點。所述DHCP客戶端標識符可以是移動節點的 MAC地址或者一些其它標識符。在無狀態自動配置的情況下，所述移動 裝置進行檢查以察看新網絡中的路由器通告的前綴，並將其與新近分配的 IP位址的前綴相匹配。如果這些確實相同，則所述移動裝置不用再次經歷 所述IP位址獲取階段。
4.地址解析事項
4.1主動重複地址檢測
當DHCP伺服器分配IP位址時，其更新其租用表，從而在特定時間 內不再將此相同的地址給與另一個客戶端。同時，所ii^戶端還本地保留 一個租用表，從而其能夠在需要時進行更新。在一些情況下，網絡由DHCP 和非DHCP啟用的客戶端組成，有可能利用來自DHCP地址池的IP位址 配置具有LAN的另 一個客戶端。
在這種情形中，所述伺服器基於ARP (地址解析協議)進行重複地址 檢測或者在分配所述IP位址之前進行IPv6鄰居發現。此檢測過程可能耗費4到15秒的時間(參見，例如以上的參考資料[MAGUIRE])並且將導 致更多的切換延遲。在主動IP位址獲取處理的情況下，提前進行此檢測， 因而，完全不影響所述切換延遲。通過提前進行所述重複地址檢測，我們 減小了切換延遲因素。
4.2主動地址解析更新
在預配置過程中，也能夠知道在連接到所述目標網絡之後，所述移動 節點與目標網絡中的節點進行通信時所需要的地址解析映射，其中所述節 點可能是接入路由器、驗證代理、配置代理，以及對端節點。有多種進行 這種主動地址解析的方式。
1. 使用信息服務機制(例如，參見以上的參考資料[NETDISC])以解 析所述節點的MAC地址。這樣可能要求目標網絡中的每個節點涉及所述 信息服務，從而使得所述信息服務的伺服器能夠構造主動地址解析的數據 庫。
2. 擴展用於預驗證的驗證協議或用於預配置的配置協議，以支持主動 地址解析。例如，如果使用PANA作為預驗證的^Si協議，PANA消息可 以攜帶用於主動地址解析的AVP。在這種情況下，目標網絡中的PANA驗 證代理可以代表移動節點進行地址解析。
3. 也可以使用DNS來映射與目標網絡中的網絡元件的指定IP位址相 關聯的指定接口的MAC地址。可以定義新的DNS源記錄(RR)，以主 動地解析目標網絡中的節點的MAC地址。但是，由於MAC地址是綁定 到IP位址而不是直接綁定到域名的源，這種方法可能有其自身的局限性。
當移動節點連接到目標網絡時，無需為目標網絡中的節點進行地址解 析查詢，其可以安裝所述主動獲得的地址解析映射。
另一方面，只要所述移動節點連接到所述目標網絡，位於目標網絡中 並與所述移動節點通信的所述節點也應該為所述移動節點更新它們的地址 解析映射。以上的主動地址解析方法也能夠被用於那些節點，從而在所述 移動節點連接到目標網絡之前主動地解析所述移動節點的MAC地址。然 而，由於在採用所述主動解析的地址解析映射之前，那些節點需要檢測所述移動節點到所述目標網絡的連接，這樣並沒有用。 一種更好的方法是結 合連接檢測與地址解析映射更新。這基於無代價地進行地址解析(參見以
上的參考資料[RFC 3344和參考資料[RFC 3775]),其中在所述移動節點 連接到新的網絡之後，所述移動節點立即在IPv4的情況下發送地址解析協 議(ARP ) ARP請求或ARP答覆，或者在IPv6的情況下發送鄰居通告， 從而目標網絡中的所述節點能夠快速為移動節點更新所述地址解析映射。 5.隧道管理
在從CTN中的DHCP伺服器主動獲取IP位址之後，在所述移動節點 和所述CTN中的接入路由器之間建立主動切換隧道。所述移動節點使用 所獲取的IP位址作為隧道內部地址，並且最可能的是，其將所述地址分配 給虛擬接口。
利用隧道管理協議建立所述主動切換隧道。當將IKEv2用於主動IP 地址獲取時，IKEv2也^皮用作所述隧道管理協議。
可選地，當將PANA用於主動IP位址獲取時，可以將PANA用作為 所述安全隧道管理協議。
一旦在移動節點和候選目標網絡中的接入路由器之間建立了所述主動 切換隧道，所述接入路由器還需要代表所述移動節點進行代理地址解析， 從而其能夠捕獲目的地是所述移動節點的新地址的任何數據包。
由於在先前的網絡中時，移動裝置需要能夠與對端節點進行通信，需 要將從對端節點到移動節點的綁定更新以及數據的部分或全部通過主動切 換隧道發送回所述移動節點。當會話初始協議(SIP)移動性被用於移動性 管理協議時，利用SIPRe-INVITE，將新地址作為聯繫地址報告給對端節 點。 一旦所述對端節點的SIP用戶代理獲得了所述新的聯繫地址，其向新 的聯繫地址發送OK,其中，所述新的聯繫地址實際上屬於所述目標網絡。 由於所述OK信號指向所述新的聯繫地址，所述目標網絡中的接入路由器 提取所述OK信號，並將其發送給先前網絡中的移動裝置。接收從移動裝 置到對端節點的最後的ACK消息。在缺少準入過濾時，可以不需要從所 述移動裝置向所述對端節點發送數據。在完成SIP Re-INVITE信令握手之後，經由主動切換隧道將來自對端節點的數據發送給所述移動裝置。
在所述移動節點連接到所述目標網絡之後，為了使流量指向所述移動 節點，需要刪除或禁用所述主動切換隧道。用於建立隧道的所述隧道管理 協議即用於此目的。
可選地，只要所述移動裝置移動到目標網絡，當J吏用PANA作為所述
驗證協議時，能夠通過PANA更新機制來觸發在接入路由器的隧道的刪除
或禁用。鏈路層觸發器確保所述移動節點確實連接到所述目標網絡並且， 也能夠將其用作為刪除或禁止所述隧道的觸發器。
6.綁定更新
對於不同的移動性管理方案，存在幾種類型的綁定更新機制。在一些 情況下，諸如沒有RO的移動IPv4，僅將綁定更新發送給所述家鄉代理 (HA)，而在移動IPv6的情況下，將綁定更新發送給所述家鄉代理和對 應的主機。在基於SIP的終端移動性的情況下，移動裝置利用Re-INVITE 向對端節點發送綁定更新，向註冊器發送註冊消息。基於所述移動裝置和 對端節點之間的距離，綁定更新可能導致切換延遲。SIP-fast切換(例如，
法。在利用基於SIP的移動性管理的安全主動切換的情況下，我們完全排 除由於綁定更新導致的延遲，因為其發生於先前的網絡中。因此，當所述 對端節點遠離所述通信移動節點時，此方案更加具有吸引力。 7.防止數據包丟失
在MPA情況下，我們沒有觀察由於IP位址獲取、安全驗證以及綁定 更新而導致的任何數據包丟失。然而，在所述移動節點能夠連接到目標網 絡之前，可能存在一些在指向所述移動節點的鏈路層切換時的瞬時數據包 (transient packet)。可能丟失這些瞬時數據包。
可以使用多播或在接入路由器緩衝所述瞬時數據包來最小化或消除數 據包丟失。然而，如果沒有無縫地進行鏈路層切換，則多播也不能消除數 據包丟失。另一方面，緩沖不減少數據包延遲。儘管可以通過在用於流式 應用的接收器側進行回放緩衝來補償數據包延遲，對於不能忍受大延遲抖動的交互式VoIP應用來說，回放緩衝沒有太大幫助。因此，不管怎麼說， 優化鏈路層切換仍然非常重要。
另外，所述MN也可以確保在從舊的附著點進行交換之前可以到達所 述新的附著點。這可以通過利用新的附著點交換鏈路層管理幀來進行。應 該儘快進行這種可達性檢查。為了防止此可達性檢查期間的數據包丟失， 在該可達性檢查期間，應該通過在所述鏈路的兩端緩衝所述數據包來延緩 在所述MN和舊的附著點之間的鏈路上的數據包傳輸。可以以各種方式進 行此緩衝，基於本文件可對其進行理解。
8.考慮失敗的交換和換回
桌球效應是切換情形中發現的常見問題之一。當移動裝置處於小區或 判定點的邊界並且頻繁執行切換處理時，出現這樣的桌球效應。
尤其在於，這導致了更高的掉話可能性、更低的連接質量、增加的信 令流量和資源浪費。所有這些都影響了移動性優化。切換算法是在所述網 絡之間進行切換的決定因素。通常，這些算法使用閾值來比較不同量度的 值，從而決定所述切換。所述量度包括信號強度、路徑損失、載波幹擾比 (CIR)、信號幹擾比(SIR)、比特差錯率(BER)、功率預算等。
為了避免桌球效應，所述決策算法使用了一些其他參數，諸如滯後裕 度(hysteresis margin )、停留計時器以及平均窗。對於高速移動車輛，也 可以考慮其它參數以減小所述桌球效應，諸如在移動主機(MH)和附著 點之間的距離、移動裝置的速度、移動裝置位置、流量和帶寬特徵等。
最近，有一些其它的切換算法，其有助於在異質網絡的環境中減小所 述桌球效應，其基於諸如假設檢驗、動態規劃以及模式識別技術等才支術。 雖然實現切換算法以減小所述桌球效應很重要，而實現從此效應中恢復的 方法也很重要。
在MPA框架的情況下，兵乓效應將導致移動裝置在當前網絡和目標 網絡之間以及在候選目標網絡之間來回運動。由於各種隧道建立、綁定更 新的數目以及相關的切換潛伏時間，當前形式的MPA將受到影響。由於 桌球效應和切換速率相關，其也將導致延遲和數據包丟失。在一些實施例中，現在提出了幾種算法，對其執行有助於減小桌球效
應的可能性。另外，現在也出了幾種用於MPA框架的方法，其能夠恢復 桌球效應引起的數據包丟失。
在一些實施例中，MPA框架能夠使用全球定位系統(GPS)來利用所 述移動裝置相對於鄰近網絡中的AP的地理位置。在這點上，說明性的GPS 系統包括繞地球轉動的衛星的星座，並允許GPS接收器精確測定其地理位 置。為了避免網絡之間的振蕩，利用用戶位置和來自先前的切換嘗試的高 速緩存的數據之間的相關性，可以得到基於位置的智能算法。在一些情況 中，位置可能不是用於切換判定的唯一指示符。例如，在曼哈頓 (Manhattan)類型的網絡中，儘管移動裝置接近AP，其也可能沒有足夠 的信號噪聲比(SNR)來進行良好的連接。因此，移動性模式和路徑識別 有可能有助於避免所述桌球效應。
在缺乏能夠避免桌球效應的良好切換算法時，可能需要提出良好的恢 復機制，從而減輕所述兵乓效應。可能需要在一段時間內在當前網絡中保 持已建立的上下文，從而當移動裝置回到上次使用該上下文的網絡中時， 能夠進行快速恢復。這些上下文可以包括安全關聯、所使用的IP位址、已 建立的隧道等。在移動裝置在網絡之間來回運動的情況下，在預先定義的 時段內將數據多播到先前的網絡和新的網絡也將有助於處理丟失的數據 包。移動裝置應該能夠確定，相對於桌球情形，其是否處於穩定狀態。
9.鏈路層安全性和移動性
利用在移動節點和CTN中的驗證代理之間建立的MPA-SA，在預驗 證階段，當所述移動節點以如下方式在當前網絡中時，可以自舉CTN中 的鏈路層安全性。
1. CTN中的驗汪代理和所述移動節點利用所述MPA-SA得到PMK (成對主密鑰)(參見以上參考資料[I-D.ietf-e叩-keying)，其中所述 MPA-SA的建立是成功預驗證的結果。在預驗證期間可能涉及執行EAP 和AAA協議，以建立所述MPA-SA。從所述PMK,為CTN的每個附著 點直接或間接地得到用於移動節點的不同TSK (瞬時M密鑰)(參見以上參考資料[I-D.ietf-eap-keying)。
2. 所述驗證代理可以安裝從PMK得到的密鑰，並用於附著點的安全 關聯。所得到的密鑰可以是TSK或著是中間密鑰，再由所述中間密鑰得到 TSK。
3. 在所述移動節點選擇CTN作為目標網絡並且交換到目標網絡(其 現在對於移動節點而言變成了新的網絡)中的附著點之後，其利用所述 PMK執行諸如IEEE 802.11i 4向握手[802.1 li的安全關聯協議，以建立 PTK (成對瞬時密鑰)和GTK (群組瞬時密鑰)(參見以上參考資料 [I-D.ietf-eap-keyingI)，其用於保護在移動節點和附著點之間的鏈路層數 據包。在此不需要另外執行EAP驗證。
4. 當所述移動節點在所述新的網絡中漫遊時，所述移動節點僅需要與 其附著點進行安全關聯協議，而不需要另外執行EAP驗證。通過這種方式 可以利用諸如802.11r的鏈路層切換優化機制來集成MPA。
所述移動節點可能需要知道CTN中附著點的鏈路層標識，以得到 TSK。如果使用PANA作為預驗證的*逸協議，這可以通過在從PAA發 送的PANA綁定請求消息中攜帶設備ID AVP來實現(參見以上參考資料 [I-D.ietf-pana-pana)，其中各個屬性值對(AVP )包含不同的接入點的 基本服務集標識符(BSSID )。
參考圖3，其圖解性地描述了才艮據一些說明性實施例的自舉鏈路層安 全性。
10. 初始網絡連接中的^ii
當所述移動節點初始連接到網絡時，將會發生網絡訪問驗證，而與 MPA的使用無關。當將MPA用於切換優化時，用於網絡訪問驗證的協議 可以是鏈路層網絡訪問驗證協議，諸如IEEE 802.1X，或者更高層網絡訪 問^ii協議，諸如PANA。
11. 安全性考慮
本文件描述了基於在移動節點和該移動節點將來可能移動到的一個或 多個候選目標網絡之間進行切換相關信令的安全切換優化機制的框架。此框架涉及在所述移動節點物理地連接到那些CTN中的一個之前，從所述 CTN獲取資源，以及從CTN向當前網絡中的移動節點進行數據包重定向。
為了防止未授權的移動節點獲取所述資源，從所述候選目標網絡獲取 資源必須伴隨有適當的驗證和授權過程。為此，MPA框架能夠在所述移動 節點和候選目標網絡之間進行預驗證非常重要。作為成功的預驗證的結果 而生成的MN-CA密鑰和MN-AR密鑰能夠保護在所述移動節點和CTN中 MPA功能性元件之間交換的後續切換信令包和數據包。
所述MPA框架還解決了當跨越多個管理域進行所述切換時的安全性 問題。利用MPA,可以基於在所述移動節點和候選目標網絡中的路由器或 移動性代理之間的直接通信進行切換信令。這消除了對上下文轉移協議的 需要，由於該協議的原因在安全性方面存在已知的限制(參見以上參考資 料[I-D.ietf-eap-keying)。為此，所述MPA框架不要求在管理域或接入路 由器之間的信任關係，這樣使得所述框架在網際網路上更易運用，而不會損 害移動環境中的安全性。
本發明的廣義範圍
雖然在此已經描述了本發明的說明性實施例，本發明不限於在此描述 的各種優選實施例，還包括任何以及所有具有等同的元件、修改、省略、 組合(例如，跨越各種實施例的各個方面)、調整和/或改變，本領域技術
人員基於本公開可以理解這些方面。基於所述權利要求中使用的語言廣義 地理解權利要求(例如，包括後來增加的)中的限制，其不限於本說明或 在申請進行期間所描述的例子，可以將這些例子理解為是非排它性的。例 如，在本公開中，術語"優選地"是非排它性的，其意味著"優選地，但 不限於，，。在此公開中以及此申請進行期間，對於具體的權利要求限制， 僅在所述限制中存在如下所有條件時，將僅使用裝置加功能或者步驟加功 能限制a)明確敘述了 "用於......的裝置"或"用於......的步驟"；b)
明確敘述了相應的功能；以及c)支持沒有敘述出的結構的結構、材料或 動作。在此公開中以及此申請進行期間，術語"本發明，，或"發明"用於 指代本^/Hf中的一個或多個方面。不應該將本發明或發明這種用語不適當地理解為劃界的標識，也不應該將其理解為應用於所有方面或實施例(即， 應該將其理解為^^發明具有一些方面和實施例)，並且不應該將其不適當
地理解為限制本申請或權利要求的範圍。在此公開中以及此申請進行期間， 術語"實施例"可以用於描述任何方面、特徵、過程或步驟，其中的任何
組合，以;sj或者其中的任何部分等。在一些例子中，各種實施例可以包括
重疊特徵。在本公開中，可以使用以下筒略術語"e.g."表示"例如"。
權利要求
1.一種在獨立於介質的預驗證框架中控制與第一網絡和第二網絡之間的移動節點的交換復位有關的切換判定的方法，包括以下步驟a)為所述移動節點提供位置確定模塊，其被配置為提供關於鄰近網絡中的接入點的位置確定；b)至少部分基於所述位置確定模塊的輸出，利用基於位置的算法來避免在所述第一和第二網絡之間的振蕩。
2. 根據權利要求l所述的方法，其中，所述基於位置的算法至少部 分基於在移動節點的位置和與該移動節點的先前切換動作有關的被高速緩 存的數據之間的相關。
3. 根據權利要求2所述的方法，其中，所述被高速緩存的數據被存 儲在所述移動節點上的數字數據存儲裝置中。
4. 根據權利要求2所述的方法，其中，所述基於位置的算法包括基 於有關過去的實例的數據來提供到所述第 一 網絡和所述第二網絡中的另一 個的交換，其中，將所述移動節點交換到所述第一網絡和所述第二網絡中 的所述另一個。
5. 根據權利要求2所述的方法，其中，所述基於位置的算法包括基 於有關過去的實例的數據不提供到所述第一網絡和所述第二網絡中的另一 個的交換，其中，不將所述移動節點交換到所述第一網絡和所述笫二網絡 中的所述另一個。
6. 根據權利要求1所述的方法，其中，所述位置確定模塊包括GPS 接收器。
7. 根據權利要求l所述的方法，其中，所述利用基於位置的算法來 避免在所述第一網絡和第二網絡之間的振蕩，包括具有至少部分基於至 少一個非位置指示值的所述算法。
8. 根據權利要求7所述的方法，其中，所述至少一個非位置指示值 包括信號噪聲比的指示值。
9. 根據權利要求1所述的方法，其中，通過在所述移動節點中編程 來執行所述算法。
10. 根據權利要求1所述的方法，其中，至少部分地通過在所述移動 節點的外部進行編程來執行所述算法。
11. 根據權利要求l所述的方法，進一步包括利用在所述移動節點 和所述笫二網絡上的驗證代理之間的鏈路層診斷網絡訪問驗證協議來進行 預棘。
12. 根據權利要求1所述的方法，進一步包括跨越多個管理域進行
13. 根據權利要求1所述的方法，其中，所述第一網絡針對第一介質， 而所述第二網紹4十對不同的介質，其中，所述第一介質是蜂窩網絡，而所 述不同的介質是無線LAN，或者所述第一介質是無線LAN,而所述不同的介質是蜂窩網絡。
14. 根據權利要求2所述的方法，進一步採用PANA作為網絡訪問驗 證協議。
15. —種在獨立於介質的預驗證框架中減輕在第一網絡和第二網絡 之間的移動節點的不希望的交換復位的影響的方法，包括以下步驟a) 維持與第一網絡有關的上下文一段時間，從而使得當所述移動節點 回到該第一網絡時能夠快速恢復所述上下文；b) 使得所述移動節點在返回所述第一網絡之後，使用所述上下文。
16. 根據權利要求15所述的方法，其中，所述上下文被存儲在所述移 動節點上的數字數據存儲裝置中，並且包括與安全關聯、IP位址或者所建 立的隧道相關的數據。
17. 根據權利要求15所述的方法，其中，所述第一網絡針對第一介質， 而所述第二網紹4十對不同的介質，其中，所述第一介質是蜂窩網絡，而所 述不同的介質是無線LAN,或者所述第一介質是無線LAN,而所述不同 的介質是蜂窩網絡。
18. —種在獨立於介質的預驗證框架中減輕在先前的網絡和新的網絡之間的移動節點的不希望的交換復位的影響的方法，包括步驟在一段時 間中向所述先前的網絡和所述新的網絡發送數據包，從而避免當所述移動 節點從所述新的網絡回到所述先前的網絡時的數據包丟失。
19. 根據權利要求18所述的方法，其中，所述發送數據包的步驟包括 多播所述數據包。
20. 根據權利要求18所述的方法，其中，所述先前的網絡針對第一介 質，而所述新的網絡針對不同的介質，其中，所述第一介質是蜂窩網絡， 而所述不同的介質是無線LAN,或者所述第一介質是無線LAN,而所述 不同的介質是蜂窩網絡。
全文摘要
在此的優選實施例涉及用於在獨立於介質的預驗證框架中控制與在第一網絡和第二網絡之間的移動節點的交換復位有關的切換判定的方法和系統和/或涉及用於在獨立於介質的預驗證框架中減輕在第一網絡和第二網絡之間的移動節點的不希望的交換復位的影響的方法和系統。
文檔編號H04W36/14GK101288273SQ20068000061
公開日2008年10月15日 申請日期2006年7月13日 優先權日2005年7月14日
發明者A·杜塔, V·法雅爾多, 大場義洋, 谷內謙一 申請人:株式會社東芝;特勒克利亞科技公司