分组数据通信中的加密数据流的承载控制制造技术

在通信会话中，带有加密的数据分组的数据流通过用于数据业务控制的监视中介。加密的数据分组包括ＳＰＩ（安全参数索引），ＳＰＩ被用于标识用于数据解密的ＳＡ（安全关联）。在通信会话的初始信令处理期间，寻求通信会话的节点将ＳＰＩ包括在信令消息中，并通过监视中介发送信令消息，监视中介继而将信令消息的ＳＰＩ与从数据分组中提取的相应ＳＰＩ匹配。在实施数据业务控制的过程中，如果发现ＳＰＩ的比较是匹配的，则监视中介允许数据流通过。否则，数据流被拒绝。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及分组数据通信，并更具体涉及分组数据通信期间对分组数据流的监视和控制。
技术介绍
网络的全球互连允许快捷地访问信息，而不管地理距离如何。图1示出了通常称为因特网的以附图标记20表示的网络的全球连接的简化示意图。因特网20实质上是连接在一起的具有不同分级等级的许多网络。因特网20依据由IETF(因特网工程任务组)发布的IP(因特网协议)工作。IP的细节可在由IETF公布的RFC(请求注解)791中找到。连接到因特网20的是各种单独的网络，取决于网络大小而有时被称为LAN(局域网)或WAN(广域网)。图1中所示的是这样的网络22、24和26中的一些。在每个网络22、24和26内，可以有相互连接并相互通信的各种设备。实例有计算机、打印机和服务器，仅是举出一些。每个设备具有唯一的硬件地址，通常称为MAC(媒体接入控制)地址。带有MAC地址的设备有时被称为节点。当节点经由因特网20超出其本身的网络通信时，需要给该节点分配IP地址。IP地址的分配可以是手动的或自动的。IP地址的手动分配可由例如网络管理员来执行。更加普遍地，IP地址被自动分配。例如，在LAN中，IP地址可由位于节点的LAN内部的称作DHCP(动态主机控制协议)服务器的服务器(未示出)分配。此外，在支持无线技术的WAN中，IP地址可被自动地和远程地分配。现在返回到图1，作为一个实例，假设网络22中的节点30试图向网络24中的另一个节点34发送数据分组。在依据IP的情况下，每个数据分组都需要具有源地址和目的地地址。在这种情况下，源地址是网络22中的节点30的地址。目的地地址是网络24中的节点34的地址。当以这样的方式工作时，节点30和34被称为在简单IP传输模式下进行通信，其中在简单IP传输模式中，两个节点30和34在数据分组的交换中都简单地使用它们自身的IP地址以符合IP。无线技术的出现允许节点离开它们初始登记的网络而到达另一个网络。例如，返回来参考图1，节点30可以是无线设备，诸如PDA(个人设备助理)、蜂窝电话或移动计算机，而不是永久地有线连接到网络22。无线节点30可以游历到其归属网络22的边界之外。这样，节点30可以从它的归属网络22漫游至外部网络26。在这种情形下，分配给节点30的初始地址将不再适用于节点30。同样，目的地为节点30的该地址的数据分组可能不能到达节点30。由IETF提出的移动IP(移动因特网协议)是为了解决节点移动性问题而提出的。根据IETF公布的RFC 2002，无论何时节点30离开归属网络22并在另一网络中漫游，节点30都被分配“转交地址”，缩写为CoA(Care-of Address)。依据RFC 2002，有两种类型的CoA，即，FA CoA(外部代理转交地址(Foreign Agent Care-of Address))和CCoA(同机配置转交地址(Co-located Care of Address))。FA CoA实质上是FA(外部代理)的地址，该FA是节点30所在的外部网络中的指定服务器。FA CoA可应用在IPv4中。CCoA是由外部网络分配给节点30的单独的但是暂时的地址。CCoA可应用在IPv4和IPv6中。在任何情况下，无论何时节点30在外部领域中，节点30都必须向其归属网络22登记CoA(无论是FA CoA还是CCoA)，使得归属网络22始终知道节点30的所在之处。在登记之后，CoA被存储在由称为归属网络22的HA(本地代理)25的指定服务器维护的路由表中。用几个实例来进行说明。对于FA CoA的情况，假设节点30漫游到外部网络26中。一到达外部网络26的领域界限，节点30就接收到来自外部网络26的公告消息，该公告消息通知节点30其位于外部领域中。从公告消息中，节点30得知外部网络26的FA 36的地址。然后节点30向归属网络22中的HA 25登记FA CoA。例如，当外部网络26中的节点30向网络24中的节点34发送出数据分组时，在得知网络24中的节点34的地址的情况下，可直接地发送数据分组。即，根据IP，在数据分组中，可将源地址设置成节点30的HoA，并且可将目的地地址设置成网络24中的节点34的地址。数据分组的方向以图1中所示的数据路径38示出。关于反向数据业务，则不是这样直接。在反向数据路由中，当网络24中的节点34试图向现在处于外部网络26中的节点30发送数据分组时，如上所述，根据IP，源地址和目的地地址二者都必须在数据分组中被指定。在这种情况下，源地址是网络24中的节点34的IP地址。关于目的地地址，在没有任何来自节点30的更新通知的情况下，节点34仅知道节点30的HoA，而不知道节点30的FA CoA。这样，目的地地址将被设置成节点30的HoA。不过，由于节点30的FA CoA被存储在归属网络22中的HA 25的路由表中，所以当数据分组到达归属网络22时，网络22的HA 25将接收到的数据分组与所存储的FA CoA封装在一起，并将其发送到外部网络26中的节点30。即，经封装的数据分组利用FA CoA作为目的地地址。一旦外部网络26接收到经封装的数据分组，FA 36就仅去掉封装的FA CoA并将初始分组传递给移动节点30。数据分组的路由在图1中以数据路径40示出。还应注意的是，诸如路径38和40的数据路径在实际中穿过了因特网20许多次。为了清楚以便不使图1变得模糊，仅将路径显示为穿过相关的服务器，诸如HA 25和FA 36。即，将数据路径38和40显示为如图1中所示的逻辑路径。当以上述方式工作时，移动节点30被称为在使用FA CoA在移动IP隧道模式下与对应节点34进行通信。在以上实例中，数据隧道被称为通过HA 25存在于节点30和34之间，即使移动节点30看起来像是直接从相应节点90接收数据分组。使用隧道模式的优点在于，当移动节点30移动到再一个外部网络时，除了发给归属网络22的更新通知外，移动节点30不需要再向相应节点34发送类似的通知。这样，相应节点34所发送和接收的数据看起来像是不间断的。关于CCoA的情况，当节点30漫游离开归属网络22时，节点30可以不请求FA CoA，而是从外部网络请求CCoA。如果网络26是支持无线技术(诸如由TIA/EIA(电信工业协会/电子工业协会)发布的cdma2000标准和3GPP2(第三代合作伙伴计划2))的WAN，则CCoA可被请求并经由例如PDSN(分组数据服务节点)41和移动节点30之间的PPP(点对点协议)而由外部网络26远程地分配。PDSN 41基本上是网络26中的服务器，服务和处理网络26的无线部分中的数据业务。然而，除了外部网络26对CCoA的分配之外，节点30可执行诸如前述的FA 36的外部代理的所有功能。同样，移动节点30需要向归属网络22登记CCoA。例如，为了与网络24中的节点34通信，节点30发送出具有两层地址的数据分组。在外层中，源地址被设置成CCoA，目的地地址被设置成HA25。在内层中，源地址是节点30的HoA，目的地地址是外部网络24中的节点34的地址。一接收到来自漫游节点30的数据分组，HA 25就剥去外地址层并采用内地址层将数据分组发送给节点34。数据分组的逻辑路径在图1中以数本文档来自技高网...

【技术保护点】
一种通过监视中介采用加密的数据分组进行通信会话的方法，包括：　　　　提供标识加密处理的索引；　　　　将所述索引包括在信令消息中；和　　　　通过经由所述监视中介发送具有所述索引的所述信令消息，为所述通信会话发信号。

【技术特征摘要】
【国外来华专利技术】US 2004-7-15 60/588,664;US 2005-7-12 11/180,1311.一种通过监视中介采用加密的数据分组进行通信会话的方法，包括提供标识加密处理的索引；将所述索引包括在信令消息中；和通过经由所述监视中介发送具有所述索引的所述信令消息，为所述通信会话发信号。2.如权利要求1所述的方法，其中，所述为所述通信会话发信号包括通过所述监视中介响应对所述通信会话的邀请。3.如权利要求1所述的方法，还包括在所述通信会话的所述数据分组中提供所述索引。4.一种在IP(因特网协议)所支持的通信系统中通过监视中介采用加密的数据分组进行通信会话的方法，包括提供标识SA(安全关联)的SPI(安全参数索引)；将所述SPI包括在选自SIP INVITE消息和SIP 200 OK消息所组成的组的信令消息中；和通过经由所述监视中介发送具有所述SPI的所述信令消息，为所述通信会话发信号，以便允许所述监视中介使用所述SPI用于分组数据监视。5.一种监视采用加密的数据分组的通信会话的方法，包括从信令消息中接收标识解密处理的第一索引；从所述通信会话的所述数据分组接收第二索引；和通过包括比较所述第一和第二索引而对所述通信会话实施一组策略。6.如权利要求5所述的方法，还包括当所述比较所述第一和第二索引的结果是比较匹配时，允许所述通信会话的所述数据分组通过，并且当所述比较所述第一和第二索引的结果是比较失配时，拒绝让所述通信会话的所述数据分组通过。7.如权利要求5所述的方法，其中，所述信令消息是第一信令消息，所述方法还包括从第二信令消息中接收所述第一索引。8.如权利要求7所述的方法，其中，所述第一信令消息是所述通信会话的邀请消息，并且所述第二信令消息是所述邀请消息的响应消息。9.一种在IP(因特网协议)所支持的通信系统中监视采用加密的数据分组的通信会话的方法，包括从选自SIP INVITE消息和SIP 200 OK消息所组成的组的信令消息中接收第一SPI(安全参数索引)；从所述通信会话的所述数据分组接收第二SPI；和通过包括比较所述第一SPI和所述第二SPI，对所述通信会话实施一组策略。10.一种用于通过监视中介采用加密的数据分组进行通信会话的设备，包括用于提供标识加密处理的索引的装置；用于将所述索引包括在信令消息中的装置；和用于通过所述监视中介发送具有所述索引的所述信令消息的装置。11.如权利要求10所述的设备，其中，所述信令消息是邀请消息，所述设备还包括用于将所述索引包括在响应于所述邀请消息的响应消息中的装置。12.如权利要求10所述的设备，还包括用于将所述索引包括在所述通信会话的所述加密的数据分组中的装置。13.一种用于在IP(因特网协议)所支持的通信系统中通过监视中介采用加密的数据分组进行通信会话的设备，包括用于提供标识SA(安全关联)的SPI(安全参数索引)的装置；用于将所述SPI包括在选自SIP INVITE消息和SIP 200 OK消息所组成的组的信令消息中的装置；和用于通过所述监视中介发送具有所述SPI的所述信令消息以便允许所述监视中介使用所述索引用于分组数据监视的装置。14.一种用于监视采用加密的数据分组的通信会话的设备，包括用于从信令消息中接收标识解密处理的第一索引的装置；用于从所述通信会话的所述数据分组接收第二索引的装置；和用于通过包括比较所述第一和第二索引而对所述通信会话实施一组策略的装置。15.如权利要求14所述的设备，还包括用于在所述比较所述第一和第二索引的结果是比较匹配时，允许所述通信会话的所述数据分组通过的装置，以及用于在所述比较所述第一和第二索引的结果是比较失配时，拒绝让所述通信会话的所述数据分组通过的装置。16.如权利要求14所述的设备，其中，所述信令消息是第一信令消息，所述设备还...

【专利技术属性】
技术研发人员：AC马亨德兰，RTS苏，王军，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：US[美国]