專利名稱:在作為基于業(yè)務(wù)的策略(sblp)的執(zhí)行點(diǎn)的網(wǎng)絡(luò)網(wǎng)關(guān)處的數(shù)據(jù)分組過(guò)濾的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及使得分組交換數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)關(guān)節(jié)點(diǎn)能夠在會(huì)話過(guò)程中改變分組報(bào)頭目的地址時(shí)保持基于目的地址的分組過(guò)濾器的裝置和方法。
更具體地��,但并非唯一地���,本發(fā)明涉及使得2G或3G通用分組無(wú)線業(yè)務(wù)(GPRS)網(wǎng)絡(luò)的通用分組無(wú)線業(yè)務(wù)網(wǎng)關(guān)支持節(jié)點(diǎn)(GGSN)能夠在IP會(huì)話過(guò)程中支持可能導(dǎo)致目的地址改變的漫游的同時(shí)����,根據(jù)離開(kāi)或到達(dá)GPRS網(wǎng)絡(luò)的數(shù)據(jù)分組的目的地址來(lái)應(yīng)用基于SBLP(基于業(yè)務(wù)的本地策略)的選通(gating)功能�。
背景技術(shù):
雖然傳統(tǒng)的2G移動(dòng)網(wǎng)絡(luò)(例如遵循全球移動(dòng)通信系統(tǒng)(GSM)標(biāo)準(zhǔn)的網(wǎng)絡(luò))為用戶的移動(dòng)站(MS)提供了電路交換語(yǔ)音和數(shù)據(jù)業(yè)務(wù),但是在移動(dòng)通信工業(yè)中存在采用分組交換移動(dòng)網(wǎng)絡(luò)的強(qiáng)大勢(shì)頭�。分組交換移動(dòng)網(wǎng)絡(luò)在網(wǎng)絡(luò)和無(wú)線資源有效性方面具有顯著的優(yōu)勢(shì),并且能夠提供更先進(jìn)的用戶業(yè)務(wù)�����。通過(guò)固定通信網(wǎng)絡(luò)和移動(dòng)通信網(wǎng)絡(luò)的結(jié)合��,在固定網(wǎng)絡(luò)中普及的互聯(lián)網(wǎng)協(xié)議(IP)是移動(dòng)分組網(wǎng)絡(luò)的分組路由機(jī)制的自然選擇�����。當(dāng)前IP版本4(IPv4)廣泛應(yīng)用于固定網(wǎng)絡(luò)域�����。但是,期望將其逐漸移植到IP版本6(IPv6)�,其在如下方面提供了比IPv4更為顯著的優(yōu)勢(shì)大大增加的地址空間、更有效的路由���、更大的擴(kuò)展性���、提高的安全性、服務(wù)質(zhì)量(QoS)綜合性�����、支持多播以及其它特征�。
目前采用的移動(dòng)分組交換業(yè)務(wù)的具體示例包括在2G GSM網(wǎng)絡(luò)和3G通用移動(dòng)通信系統(tǒng)(UMTS)網(wǎng)絡(luò)(下文中稱為GPRS網(wǎng)絡(luò))中實(shí)現(xiàn)的通用分組無(wú)線業(yè)務(wù)(GPRS)�。還預(yù)期諸如無(wú)線局域網(wǎng)(wLAN)的非GPRS無(wú)線接入技術(shù)將在諸如熱點(diǎn)的某些區(qū)域(會(huì)議中心、機(jī)場(chǎng)����、展覽中心等)中為本地寬帶業(yè)務(wù)接入提供對(duì)于GPRS的靈活低成本的補(bǔ)充。因此��,移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商希望支持移動(dòng)站在GPRS與非GPRS網(wǎng)絡(luò)或子網(wǎng)之間的漫游�����。
讀者可以參考GPRS業(yè)務(wù)描述(版本1999)技術(shù)規(guī)范,其被稱為3GTS 23.060 v3.12.0(2002-06)�,并且該技術(shù)規(guī)范可以從3GPP網(wǎng)站http//www.3gpp.org/ftp/specs/2002-06/R1999/23_series/獲得,該技術(shù)規(guī)范提供了2G(GPRS/GSM)和3G(GPRS/UMTS)移動(dòng)分組網(wǎng)絡(luò)的詳細(xì)業(yè)務(wù)描述����。盡管將在下面詳細(xì)說(shuō)明其它的方面,但是GPRS網(wǎng)絡(luò)的功能通常是公知的���。
為了接入GPRS分組交換業(yè)務(wù)�����,MS首先通過(guò)SGSN執(zhí)行GPRS附著(attach)過(guò)程(2G GSM GPRS附著或3G UMTS GPRS附著)���。執(zhí)行驗(yàn)證和位置更新過(guò)程,如果成功�����,則GPRS附著過(guò)程使得可以通過(guò)SGSN尋呼到MS并通知該MS有輸入分組數(shù)據(jù)���。但是�����,為了實(shí)際發(fā)送和接收分組數(shù)據(jù)�����,該MS必須具有分配的分組數(shù)據(jù)協(xié)議(PDP)地址(例如IP地址)����,并且必須激活通過(guò)該P(yáng)DP使用的至少一個(gè)PDP上下文。MS的各個(gè)PDP地址可以具有與其相關(guān)聯(lián)的一個(gè)或更多個(gè)PDP上下文��,并且將定義PDP上下文的數(shù)據(jù)存儲(chǔ)在該MS�、SGSN和GGSN中。PDP上下文激活處理使得不僅SGSN獲悉該MS��,還使對(duì)應(yīng)的GGSN獲悉該MS�����,并可以開(kāi)始與外部數(shù)據(jù)網(wǎng)的交互工作��。
盡管從開(kāi)始時(shí)就被設(shè)計(jì)為移動(dòng)網(wǎng)絡(luò)的GPRS網(wǎng)絡(luò)具有嵌入的移動(dòng)性管理(對(duì)于GPRS網(wǎng)絡(luò)內(nèi)的MS)和漫游功能(對(duì)于GPRS網(wǎng)絡(luò)之間的MS漫游)��,但是互聯(lián)網(wǎng)工程任務(wù)組(IETF)仍進(jìn)行工作以總體上支持IP用戶終端的移動(dòng)性�����。為此��,IETF已經(jīng)開(kāi)發(fā)出移動(dòng)IP(MIP)協(xié)議��。MIP被設(shè)計(jì)為當(dāng)移動(dòng)站(或者M(jìn)IP術(shù)語(yǔ)中的移動(dòng)節(jié)點(diǎn)(MN))在具有不同子網(wǎng)前綴的IP網(wǎng)絡(luò)之間移動(dòng)時(shí)支持移動(dòng)性(宏移動(dòng)性)���。例如��,MIP可以用于支持GPRS網(wǎng)絡(luò)與諸如wLAN網(wǎng)絡(luò)的非GPRS網(wǎng)絡(luò)之間的移動(dòng)性��。并不預(yù)期將移動(dòng)IP用于網(wǎng)絡(luò)或子網(wǎng)內(nèi)的移動(dòng)性管理(微移動(dòng)性)�,該移動(dòng)性通常由諸如WCDMA較軟/軟切換的接入技術(shù)專用層2機(jī)制來(lái)進(jìn)行管理��。
存在兩個(gè)版本的MIP�,以與兩個(gè)版本的IP相對(duì)應(yīng)。MIP版本4(MIPv4)被設(shè)計(jì)用來(lái)提供IP版本4(IPv4)地址的IP地址移動(dòng)性��,而較新的MIP版本6(MIPv6)被設(shè)計(jì)用來(lái)提供IP版本6(IPv6)地址的IP地址移動(dòng)性��。在IETF請(qǐng)求注解(RFC)2002中描述了MIPv4����,其可以在IETF網(wǎng)站http//www.ietf.org/rfc/rfc2002.txt���?number=2002獲得。在正在進(jìn)行編撰的IETF互聯(lián)網(wǎng)草案“Mobility Support in IPv6”中描述了互聯(lián)網(wǎng)草案MIPv6����,其可以在IETF網(wǎng)站http//www.ietf.org/internet-drafts/draft-ietf-mobileip-ipv6-19.txt獲得,并被稱為draft-ietf-mobileip-ipv6-19.txt���,2002年10月29日發(fā)表�����。
在圖1中示出了涉及通過(guò)路由優(yōu)化進(jìn)行的MIP漫游的情況�。在MN的本地網(wǎng)絡(luò)(HN)中為該MN分配本地IP地址(HAddr)���。HN中的路由過(guò)程確保無(wú)論MN在HN的什么地方�,從對(duì)端節(jié)點(diǎn)(CN)通過(guò)IP網(wǎng)絡(luò)發(fā)送的IP分組都將到達(dá)該MN��。當(dāng)該MN漫游到外網(wǎng)(FN)時(shí)���,對(duì)該MN分配該FN內(nèi)的轉(zhuǎn)交地址,需要將IP分組路由到該轉(zhuǎn)交地址。然而�,在會(huì)話過(guò)程中,MN的移動(dòng)對(duì)于IP層和上層(例如傳輸層和應(yīng)用層)必須透明��,從而由CN的IP層創(chuàng)建的分組將繼續(xù)帶有該HAddr作為目的地址�����。
在MIPv6路由優(yōu)化協(xié)議中���,當(dāng)MN漫游到FN時(shí)����,該MN將綁定更新發(fā)送到該CN��,以將CoA通知該CN���。然后���,該CN的MIP層在到CoA的會(huì)話中設(shè)置后續(xù)分組的目的地址,將采用路由報(bào)頭類型2的MN的HAddr作為該分組的擴(kuò)展報(bào)頭�����。在MN MIP層中,從路由報(bào)頭類型2字段中檢索HAddr�����,并將其用作傳輸?shù)組N的IP層的對(duì)應(yīng)分組中的目的地址�。
在這種情況下,CN位于通過(guò)通用分組無(wú)線業(yè)務(wù)網(wǎng)關(guān)支持節(jié)點(diǎn)(GGSN)與IP網(wǎng)絡(luò)相連接的GPRS網(wǎng)絡(luò)(GN)中�,并且具有在文獻(xiàn)3GPPTS 23.207 V5.3.0(March 2003),條款5.2.1中限定的功能����。該GGSN包括基于業(yè)務(wù)的本地策略(SBLP)執(zhí)行點(diǎn),其對(duì)通過(guò)GGSN的數(shù)據(jù)包進(jìn)行基于策略的允許控制����。通過(guò)‘選通器(gate)’來(lái)定義各個(gè)會(huì)話的策略執(zhí)行,對(duì)上行和下行通信量分別定義選通器�����。各個(gè)選通器都包括分組分類器以及將分組與分組分類器相匹配的行為��。分組分類器包括源IP地址�、目的IP地址、源端口����、目的端口和協(xié)議。分組分類器源和目的IP地址可以包括通配符��,以限定地址范圍�。阻擋與對(duì)應(yīng)選通器的分組分類器不匹配的分組。
為了建立通過(guò)GGSN進(jìn)行的IP會(huì)話�,CN將授權(quán)請(qǐng)求發(fā)送到GGSN,該授權(quán)請(qǐng)求指定了源IP地址�、目的IP地址(即,HAddr)����、源端口、目的端口和協(xié)議�����。文獻(xiàn)3GPP TS 23.207 V5.3.0(March 2002)的條款5.2.3中定義的GGSN內(nèi)的SBLP決策點(diǎn)(本地決策點(diǎn))�����,或者GGSN外部的策略控制功能(PCF)確定是否對(duì)該IP會(huì)話進(jìn)行授權(quán)��。如果對(duì)該會(huì)話進(jìn)行授權(quán)���,則在SBLP執(zhí)行點(diǎn)處對(duì)各個(gè)方向的會(huì)話建立選通器����,并將授權(quán)令牌發(fā)送給CN。該授權(quán)令牌遵循關(guān)于媒體授權(quán)的SIP擴(kuò)展的IETF規(guī)范�����。
可以使用上行SBLP來(lái)防止CN(或GN內(nèi)的其它節(jié)點(diǎn))對(duì)指定目的IP地址的訪問(wèn)���。因此��,如果按照SBLP���,所請(qǐng)求的目的IP地址是可接受的,則可以只對(duì)選通器進(jìn)行授權(quán)�。然而,由于如從GGSN所觀察到的���,在會(huì)話過(guò)程中目的地址從HAddr變化為CoA���,所以該選通器將與上述MIPv6路由優(yōu)化協(xié)議相抵觸。尋址到CoA的分組與對(duì)應(yīng)于該會(huì)話的上行選通器的分組分類器不匹配��,從而該分組可能被阻擋。
在MIPv6中��,路由優(yōu)化是必須的����,而在MIPv4中是可選的�。在圖2中示出了無(wú)路由優(yōu)化的另選路由。在MN的HN中的CN與該MN之間建立IP會(huì)話��。該MN在會(huì)話過(guò)程中漫游到FN���,并發(fā)送綁定更新����,以將FN中的CoA通知給HN中的本地代理(HA)�����。在本示例中��,該FN是通過(guò)GGSN與IPN相連的GPRS網(wǎng)絡(luò)��。
響應(yīng)于該綁定更新���,HA通過(guò)下述操作來(lái)建立到該CoA的IP隧道截取以HAddr為目的地址的任何后續(xù)分組���,并將它們封裝為以HA的IP地址為源地址����,以MN的CoA為目的地址的多個(gè)分組�����。該MN的MIP層對(duì)這些分組進(jìn)行解封裝�,并將它們傳送到IP層,以使得漫游對(duì)于IP層和上層是透明的�。可以使用IETF RFC 2473中所描述的IPv6通用分組隧道化機(jī)制來(lái)實(shí)現(xiàn)隧道化��。
在上行鏈路方向上���,MN可以不需在漫游到FN中之后改變其分組的源地址和目的地址��,這是因?yàn)镃N的IP地址沒(méi)有改變�。但是�����,GGSN可以對(duì)發(fā)出的分組應(yīng)用流出過(guò)濾器,以阻擋具有不在FN之內(nèi)的源地址的任何分組����。這可以通過(guò)具有被設(shè)置為與GGSN內(nèi)的任何IP地址相匹配的分組分類器源地址的SBLP選通器來(lái)實(shí)現(xiàn)。結(jié)果���,來(lái)自MN的具有作為源地址的HAddr的分組將被阻擋��。
為了解決該問(wèn)題,MIPv4和MIPv6標(biāo)準(zhǔn)包括反向隧道化協(xié)議���,其中MN在其CoA和HA地址之間建立上行方向的隧道���。由于上行分組被封裝在具有作為源地址的CoA的多個(gè)分組中,并且該CoA在FN內(nèi)�����,所以流出過(guò)濾器將允許封裝分組通過(guò)����。HA對(duì)這些分組進(jìn)行解封裝,并將它們轉(zhuǎn)發(fā)到CN。例如在正在編撰的IETF移動(dòng)IP工作組草案‘Mobility Supportin IPv6’���,29 October 2002中描述了MIPv6反向隧道化�,該草案位于http//www.ietf.org/internet-drafts/draft-ietf-mobileip-ipv6-19.txt���。
然而�,該解決方法產(chǎn)生了下述問(wèn)題FN中的GGSN實(shí)現(xiàn)了用于上行分組的SBLP選通器��。當(dāng)MN進(jìn)入FN時(shí)���,其必須將授權(quán)請(qǐng)求發(fā)送到GGSN�����,以使得與CN的IP會(huì)話能夠通過(guò)GGSN進(jìn)行路由���。這本身不是問(wèn)題,因?yàn)槭跈?quán)協(xié)議允許在會(huì)話過(guò)程中進(jìn)行授權(quán)����,即使在GGSN本地網(wǎng)絡(luò)外部開(kāi)始會(huì)話。然而�����,源自應(yīng)用層(例如SIP會(huì)話層)的授權(quán)請(qǐng)求將HA地址指定為目的地址,并且HA地址不識(shí)別最終目的地址�����,這是因?yàn)镸N的移動(dòng)性管理(例如CoA的使用)對(duì)于應(yīng)用層是透明的��。由于SBLP執(zhí)行點(diǎn)隨后不對(duì)發(fā)出分組的最終目的地進(jìn)行控制���,所以基于HA地址對(duì)上行SBLP選通器進(jìn)行授權(quán)將使SBLP選通器對(duì)象失效(defeat)���。此外,不允許GGSN檢查封裝分組的有效載荷以找到最終目的地址�����,即使對(duì)該有效載荷進(jìn)行了加密(例如使用IPSec)也不允許GGSN這樣做����。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個(gè)方面��,提供了一種在網(wǎng)絡(luò)網(wǎng)關(guān)處過(guò)濾數(shù)據(jù)分組的方法���,這些數(shù)據(jù)分組具有包括目的地址在內(nèi)的報(bào)頭以及擴(kuò)展報(bào)頭���,該方法包括選擇性地阻擋這些數(shù)據(jù)分組中目的地址和擴(kuò)展報(bào)頭與預(yù)定地址準(zhǔn)則均不匹配的多個(gè)數(shù)據(jù)分組��。
根據(jù)本發(fā)明的另一方面�,提供了一種在網(wǎng)絡(luò)網(wǎng)關(guān)處過(guò)濾數(shù)據(jù)分組的方法����,這些數(shù)據(jù)分組具有包括目的地址在內(nèi)的報(bào)頭,該方法包括選擇性地阻擋這些數(shù)據(jù)分組中目的地址不滿足目的地址準(zhǔn)則或轉(zhuǎn)發(fā)代理準(zhǔn)則的多個(gè)數(shù)據(jù)分組�����,其中該轉(zhuǎn)發(fā)代理準(zhǔn)則限定至少一個(gè)轉(zhuǎn)發(fā)代理的地址���,該至少一個(gè)轉(zhuǎn)發(fā)代理將尋址到該轉(zhuǎn)發(fā)代理的分組轉(zhuǎn)發(fā)到該分組的有效載荷中所指定的網(wǎng)絡(luò)地址處的目的節(jié)點(diǎn)�����。
下面將參照附圖詳細(xì)說(shuō)明本發(fā)明的特定實(shí)施例���,其中圖1表示由于試圖將發(fā)出SBLP應(yīng)用于其中目的節(jié)點(diǎn)使用路由優(yōu)化進(jìn)行漫游的GGSN中而產(chǎn)生的問(wèn)題;圖2是表示由于將發(fā)出SBLP應(yīng)用于反向隧道而產(chǎn)生的問(wèn)題的概念圖���;圖3a是表示圖1的情況下的路由優(yōu)化的信號(hào)圖��;圖3b是本發(fā)明第一實(shí)施例中的采用發(fā)出SBLP選通器的SBLP執(zhí)行點(diǎn)的操作的流程圖�;圖4a是表示本發(fā)明第二實(shí)施例的信號(hào)圖,用于解決圖1所示的問(wèn)題���;圖4b是第二實(shí)施例中采用發(fā)出SBLP選通器的SBLP執(zhí)行點(diǎn)的操作的流程圖��;圖5a是本發(fā)明第三實(shí)施例的信號(hào)圖��,用于解決圖2所示的問(wèn)題�;圖5b是第三實(shí)施例中采用發(fā)出SBLP選通器的SBLP執(zhí)行點(diǎn)的操作的流程圖��;圖6是本發(fā)明第四實(shí)施例中的采用發(fā)出SBLP選通器的SBLP執(zhí)行點(diǎn)的操作的流程圖�。
具體實(shí)施例方式
本發(fā)明的第一實(shí)施例提供了對(duì)于參照?qǐng)D1所述的采用基于SBLP的選通功能(其中在子網(wǎng)漫游過(guò)程中使用MIPv6路由優(yōu)化)的問(wèn)題的第一解決方案。在MIPv6路由優(yōu)化時(shí)���,將HAddr存儲(chǔ)在路由報(bào)頭類型2擴(kuò)展報(bào)頭(T2H)中,以使得可以通過(guò)MN MIP層檢索到該HAddr��,并將其恢復(fù)為傳送到IP層的分組中的目的地址�。
如圖3a所示,在MN在FN中漫游之前的IP會(huì)話過(guò)程中�,從CN發(fā)送到MN的分組具有作為它們的目的IP地址(DA)的HAddr�����。當(dāng)MN漫游到FN中時(shí)���,其將包括CoA在內(nèi)的綁定更新(BU)發(fā)送到CN。根據(jù)MIPv6路由優(yōu)化協(xié)議��,響應(yīng)于該BU�,CN通過(guò)T2H中的HAddr發(fā)送尋址到該CoA的后續(xù)分組。
本發(fā)明人已經(jīng)意識(shí)到可以由GGSN來(lái)檢查路由報(bào)頭類型2擴(kuò)展報(bào)頭���,以識(shí)別分組的最終目的地址����。傳統(tǒng)分組分類器不包括路由報(bào)頭類型2擴(kuò)展報(bào)頭IP地址�����。但是���,SBLP協(xié)議對(duì)于其網(wǎng)絡(luò)是本地的���,從而可以修改SBLP執(zhí)行�,而不產(chǎn)生與其它網(wǎng)絡(luò)的互用性問(wèn)題�����。
在第一實(shí)施例中�����,如圖3b所示�,為發(fā)出SBLP選通器創(chuàng)建傳統(tǒng)的分組分類器,其包括分組分類器目的地址PCD���。SBLP執(zhí)行點(diǎn)通過(guò)將分組分類器目的地址PCD與分組目的地址PD進(jìn)行比較(步驟30)以及與路由報(bào)頭類型2擴(kuò)展報(bào)頭進(jìn)行比較(步驟32)來(lái)實(shí)現(xiàn)選通���。如果都不匹配,則阻擋該分組(步驟34)��,否則對(duì)于任何其它選通器狀態(tài)都允許該分組通過(guò)(步驟36)���。
第一實(shí)施例的方案由于只需修改SBLP執(zhí)行點(diǎn)而無(wú)需修改MN或CN的行為�����、或者創(chuàng)建諸如遠(yuǎn)程代理的任何新對(duì)象而有利���。可以通過(guò)定義擴(kuò)展分組分類器來(lái)實(shí)現(xiàn)類似的效果����,該分組分類器指定了要作為目的IP地址的另選進(jìn)行匹配的路由報(bào)頭類型2擴(kuò)展報(bào)頭,但是由于預(yù)期該路由報(bào)頭類型2擴(kuò)展報(bào)頭與分組分類器中的HAddr相同�,所以其是冗余的?���?梢酝ㄟ^(guò)在GGSN內(nèi)部的對(duì)象之間不同地分配功能來(lái)實(shí)現(xiàn)該效果。
雖然MIPv6不禁止檢查路由報(bào)頭類型2擴(kuò)展報(bào)頭的方案���,但是可能認(rèn)為這與路由報(bào)頭類型2擴(kuò)展報(bào)頭的預(yù)期目的相沖突����,即在目的用戶設(shè)備本地恢復(fù)原始目的地址�����。如果進(jìn)行技術(shù)測(cè)量來(lái)防止該沖突���,則將使第一實(shí)施例的方案無(wú)效��。
在第二實(shí)施例中�����,如圖4a所示��,在發(fā)出分組的逐跳(hop-by-hop)選項(xiàng)擴(kuò)展報(bào)頭HH中存儲(chǔ)最終目的地址(HAddr)�����。IPv4和IPv6均允許逐跳選項(xiàng)擴(kuò)展報(bào)頭�,該逐跳選項(xiàng)擴(kuò)展報(bào)頭必須由中間節(jié)點(diǎn)讀取。通過(guò)在IPv6下一報(bào)頭字段中設(shè)置零來(lái)表示逐跳選項(xiàng)擴(kuò)展報(bào)頭�。
響應(yīng)于由MN發(fā)送到CN的BU,CN將HAddr存儲(chǔ)在后續(xù)分組的HH中��。除了將HAddr存儲(chǔ)在類型2報(bào)頭中以及將CoA存儲(chǔ)在目的IP地址字段中以外��,還執(zhí)行該操作�。
如圖4b所示,SBLP執(zhí)行點(diǎn)將分組分類器目的地址PCD與分組目的地址PD進(jìn)行比較(步驟40)�����,還將其與HH中的任何IP地址進(jìn)行比較(步驟42)。如果都不匹配�,則阻擋該分組(步驟44)。否則����,對(duì)于任何其它限制都允許該分組通過(guò)(步驟46)���。
第二實(shí)施例對(duì)于第一實(shí)施例是優(yōu)選的�,因?yàn)镚GSN只檢查允許其檢查的字段�,因此可以確保不會(huì)引入使第二實(shí)施例的方案無(wú)效的技術(shù)測(cè)量。然而��,第二實(shí)施例需要改變遵照現(xiàn)有的MIPv6互聯(lián)網(wǎng)草案的規(guī)范的MN的操作����,而第一實(shí)施例則不需要。
第三實(shí)施例提供了參照?qǐng)D2所述的將SBLP發(fā)出選通器應(yīng)用于反向隧道的問(wèn)題的第一解決方案�。反向隧道將CN地址隱藏在有效載荷中,可以對(duì)該CN地址進(jìn)行加密���。另選地�����,第三實(shí)施例可以采用與第二實(shí)施例類似的方案��。
如圖5a所示�����,在IP會(huì)話時(shí)��,MN最初將分組發(fā)送到具有被設(shè)置為HAddr的分組源地址以及被設(shè)置為CN地址(CNAddr)的PD的CN��。當(dāng)MN漫游到FN中時(shí)�,其將BU發(fā)送到其HA,然后在其CoA與HA地址(HAAddr)處的HA之間建立反向IP隧道����。
在本實(shí)施例中,MN包括反向隧道化分組的HH中的CNAddr(或者在CN本身是移動(dòng)的并且遠(yuǎn)離其利用用于移動(dòng)性的移動(dòng)IPv6的本地網(wǎng)絡(luò)的情況下����,為CN的本地地址)。如圖5b所示���,SBLP執(zhí)行點(diǎn)將分組分類器目的地址PCD與分組目的IP地址PD進(jìn)行比較(步驟50)�����,還將其與HH中的任意IP地址進(jìn)行比較(步驟52)�����。如果都不匹配�����,則阻擋該分組(步驟54)���。否則,對(duì)于任何其它限制都允許該分組通過(guò)(步驟56)�����。
對(duì)于反向隧道化已需要的功能���,第三實(shí)施例在CN處需要附加功能����。第四實(shí)施例提供了將SBLP發(fā)出選通器應(yīng)用于反向隧道的問(wèn)題的第二解決方案��,其不需要該附加功能��。
在第四實(shí)施例中,定義了包括HA IP地址的擴(kuò)展分組分類器PCHA�����。如圖6所示�,SBLP執(zhí)行點(diǎn)將分組目的地址PD與分組分類器目的地址PCD進(jìn)行比較(步驟60),并將其與分組分類器HA地址PCHA進(jìn)行比較(步驟62)�����。如果都不匹配�,則阻擋該分組(步驟64)。否則�����,對(duì)于任何其它限制都將允許該分組通過(guò)(步驟66)�����。
如上所述���,這將導(dǎo)致SBLP失效的效果���,除非在GGSN與HA之間存在信任或控制關(guān)系�����。
作為控制關(guān)系的示例�����,F(xiàn)N的GGSN和HN的HA可以訪問(wèn)公共SBLP決策點(diǎn)���,該公共SBLP決策點(diǎn)根據(jù)公共策略對(duì)FN和HN中的SBLP執(zhí)行點(diǎn)進(jìn)行授權(quán)。另選地�����,為了減少FN與HN之間的授權(quán)通信量����,例如可以通過(guò)共享被阻擋的IP地址列表來(lái)在FN與HN之間復(fù)制SBLP決策點(diǎn)��。
作為信任關(guān)系的示例����,GGSN的SBLP決策點(diǎn)可以存儲(chǔ)信任HA的IP地址列表,并對(duì)包含存在于該列表中的HA地址的分組分類器的選通器進(jìn)行授權(quán)����。該GGSN對(duì)于HA的SBLP不具有任何控制����,而是信任該SBLP以保持與其自身的SBLP一致的SBLP�����??梢酝ㄟ^(guò)從信任地址列表中刪除該HA地址來(lái)取消該信任關(guān)系。
盡管參照GPRS網(wǎng)絡(luò)中的SBLP描述了以上實(shí)施例��,但是應(yīng)當(dāng)理解����,在不需要為無(wú)線網(wǎng)絡(luò)的其它情況下(例如本地IP網(wǎng)絡(luò)中的防火墻),可能需要基于目的地址的分組過(guò)濾器��。在圖1的情況下����,CN可以為本地IP網(wǎng)絡(luò)中的節(jié)點(diǎn)?����?赡茉贛IPv6路徑優(yōu)化之外的情況下產(chǎn)生目的地址的明顯變化。例如���,IP轉(zhuǎn)發(fā)設(shè)置可能需要由發(fā)送節(jié)點(diǎn)設(shè)置的在會(huì)話過(guò)程中改變的目的地址�,以將會(huì)話傳送到另一物理設(shè)備����。可以將第一和第二實(shí)施例的變型應(yīng)用于這些另選情況�����。
類似地�,在移動(dòng)IP中漫游之外的情況下,可能產(chǎn)生反向隧道化設(shè)置�����,可以將第三和第四實(shí)施例的變型應(yīng)用于這些另選情況�����。
雖然以上實(shí)施例描述了應(yīng)用于網(wǎng)絡(luò)網(wǎng)關(guān)(對(duì)于發(fā)送節(jié)點(diǎn)是本地的)中的發(fā)出分組的基于目的地的過(guò)濾器�,但是也可以將基于目的地的過(guò)濾器應(yīng)用于遠(yuǎn)程網(wǎng)絡(luò)的網(wǎng)關(guān)(對(duì)于發(fā)送節(jié)點(diǎn))中的輸入分組�。在第二和第三實(shí)施例中�,這需要本地和遠(yuǎn)程網(wǎng)絡(luò)之間的標(biāo)準(zhǔn)化���,以確保發(fā)送節(jié)點(diǎn)將目的地址設(shè)置在HH中�。
在第一到第三實(shí)施例中�����,SBLP執(zhí)行點(diǎn)并非總是檢查分組目的地址和擴(kuò)展報(bào)頭���;而是開(kāi)始時(shí)�,選通器僅檢查分組目的地址����,并且響應(yīng)于漫游事件而改變選通器,以僅檢查擴(kuò)展報(bào)頭����。
僅以示例的方式提供了以上實(shí)施例,其修改和變型也落入本發(fā)明的范圍之內(nèi)��。
權(quán)利要求
1.一種在網(wǎng)絡(luò)網(wǎng)關(guān)處過(guò)濾數(shù)據(jù)分組的方法�����,所述數(shù)據(jù)分組具有包括目的地址在內(nèi)的報(bào)頭以及擴(kuò)展報(bào)頭,所述方法包括選擇性地阻擋所述數(shù)據(jù)分組中目的地址或擴(kuò)展報(bào)頭與預(yù)定的地址準(zhǔn)則均不匹配的多個(gè)數(shù)據(jù)分組�。
2.根據(jù)權(quán)利要求1所述的方法,其中僅將所述地址準(zhǔn)則應(yīng)用于在對(duì)應(yīng)分組數(shù)據(jù)通信會(huì)話過(guò)程中從源節(jié)點(diǎn)傳送到目的節(jié)點(diǎn)的分組�。
3.根據(jù)權(quán)利要求2所述的方法,其中所述目的節(jié)點(diǎn)在所述分組數(shù)據(jù)通信會(huì)話的第一階段過(guò)程中具有第一網(wǎng)絡(luò)地址�����,而在所述數(shù)據(jù)通信會(huì)話的后續(xù)的第二階段中具有不同的第二網(wǎng)絡(luò)地址��,并且所述源節(jié)點(diǎn)在所述第一階段中發(fā)送具有作為所述目的地址的所述第一網(wǎng)絡(luò)地址的分組�����,而在所述第二階段中發(fā)送具有作為所述目的地址的所述第二網(wǎng)絡(luò)地址以及所述擴(kuò)展報(bào)頭中的所述第一網(wǎng)絡(luò)地址的分組�。
4.根據(jù)權(quán)利要求3所述的方法,其中所述目的節(jié)點(diǎn)通過(guò)在對(duì)所述分組的有效載荷進(jìn)行解碼之前��,以所述第一網(wǎng)絡(luò)地址替換所述第二網(wǎng)絡(luò)地址來(lái)轉(zhuǎn)換在所述第二階段過(guò)程中接收的分組�����。
5.根據(jù)權(quán)利要求4所述的方法�,其中所述擴(kuò)展報(bào)頭是路由報(bào)頭類型2擴(kuò)展報(bào)頭����。
6.根據(jù)權(quán)利要求3到5中的任何一個(gè)所述的方法�����,其中所述目的節(jié)點(diǎn)在所述第一和第二階段之間從包括所述第一網(wǎng)絡(luò)地址的第一網(wǎng)絡(luò)漫游到包括所述第二網(wǎng)絡(luò)地址的第二網(wǎng)絡(luò)��。
7.根據(jù)權(quán)利要求2所述的方法���,其中所述源節(jié)點(diǎn)在所述分組數(shù)據(jù)通信會(huì)話的第一階段過(guò)程中具有第一網(wǎng)絡(luò)地址,而在所述數(shù)據(jù)通信會(huì)話的后續(xù)的第二階段過(guò)程中具有不同的第二網(wǎng)絡(luò)地址�,所述分組包括源地址,并且所述源節(jié)點(diǎn)在所述第一階段過(guò)程中發(fā)送具有作為所述源地址的所述第一網(wǎng)絡(luò)地址的分組�����,而在所述第二階段過(guò)程中發(fā)送具有作為所述源地址的所述第二網(wǎng)絡(luò)地址���、所述擴(kuò)展報(bào)頭中的所述目的節(jié)點(diǎn)的地址����、以及作為所述目的地址的轉(zhuǎn)發(fā)代理的地址���,該轉(zhuǎn)發(fā)代理將所述分組轉(zhuǎn)發(fā)到所述目的節(jié)點(diǎn)���。
8.根據(jù)權(quán)利要求7所述的方法��,其中在所述第二階段過(guò)程中由所述源節(jié)點(diǎn)傳送的所述分組的有效載荷包含所述目的節(jié)點(diǎn)的地址�����。
9.根據(jù)權(quán)利要求7或8所述的方法�,其中所述源節(jié)點(diǎn)在所述第一和第二階段之間從包括所述第一網(wǎng)絡(luò)地址的第一網(wǎng)絡(luò)漫游到包含所述第二網(wǎng)絡(luò)地址的第二網(wǎng)絡(luò)�。
10.根據(jù)權(quán)利要求3、7或8中的任何一個(gè)所述的方法�����,其中一個(gè)或更多個(gè)中間節(jié)點(diǎn)讀取所述擴(kuò)展報(bào)頭中的信息�,其中通過(guò)所述中間節(jié)點(diǎn)在所述源節(jié)點(diǎn)與所述目的節(jié)點(diǎn)之間對(duì)所述分組進(jìn)行路由。
11.根據(jù)權(quán)利要求10所述的方法�,其中所述擴(kuò)展報(bào)頭是逐跳選項(xiàng)擴(kuò)展報(bào)頭。
12.一種在網(wǎng)絡(luò)網(wǎng)關(guān)處過(guò)濾數(shù)據(jù)分組的方法�����,所述數(shù)據(jù)分組具有包括目的地址在內(nèi)的報(bào)頭����,所述方法包括選擇性地阻擋所述數(shù)據(jù)分組中目的地址不滿足目的地址準(zhǔn)則或轉(zhuǎn)發(fā)代理準(zhǔn)則的多個(gè)數(shù)據(jù)分組,其中所述轉(zhuǎn)發(fā)代理準(zhǔn)則限定至少一個(gè)轉(zhuǎn)發(fā)代理的地址�,所述至少一個(gè)轉(zhuǎn)發(fā)代理將尋址到所述轉(zhuǎn)發(fā)代理的分組轉(zhuǎn)發(fā)到所述分組的有效載荷中指定的網(wǎng)絡(luò)地址處的目的節(jié)點(diǎn)。
13.根據(jù)權(quán)利要求12所述的方法��,其中所述至少一個(gè)轉(zhuǎn)發(fā)代理阻擋所述網(wǎng)絡(luò)地址不滿足所述目的地址準(zhǔn)則的分組��。
14.根據(jù)權(quán)利要求12所述的方法���,其中所述轉(zhuǎn)發(fā)代理準(zhǔn)則是可變的��,以包括或排除所述至少一個(gè)轉(zhuǎn)發(fā)代理的地址���。
15.一種發(fā)送分組數(shù)據(jù)網(wǎng)絡(luò)的源節(jié)點(diǎn)中的數(shù)據(jù)分組的方法,包括通過(guò)網(wǎng)絡(luò)網(wǎng)關(guān)建立與第一網(wǎng)絡(luò)地址處的目的節(jié)點(diǎn)的分組數(shù)據(jù)通信會(huì)話�,以使得所述網(wǎng)關(guān)根據(jù)所述數(shù)據(jù)分組的目的地址將過(guò)濾器應(yīng)用于所述通信會(huì)話的數(shù)據(jù)分組;在所述會(huì)話過(guò)程中接收所述目的節(jié)點(diǎn)的第二網(wǎng)絡(luò)地址的表示�;以及發(fā)送所述會(huì)話中尋址到所述第二網(wǎng)絡(luò)地址并將所述第一網(wǎng)絡(luò)地址包含在擴(kuò)展報(bào)頭中的后續(xù)分組,其中所述擴(kuò)展報(bào)頭用于包含要由所述源節(jié)點(diǎn)與所述目的節(jié)點(diǎn)之間的中間節(jié)點(diǎn)讀取的信息�。
16.一種將網(wǎng)絡(luò)網(wǎng)關(guān)處的基于目的地址的過(guò)濾器應(yīng)用于源節(jié)點(diǎn)與目的節(jié)點(diǎn)之間的分組數(shù)據(jù)會(huì)話的方法,其中所述目的節(jié)點(diǎn)從本地網(wǎng)絡(luò)中的本地地址漫游到外網(wǎng)中的轉(zhuǎn)交地址����,并將綁定更新發(fā)送到所述源節(jié)點(diǎn)����,以使得所述源節(jié)點(diǎn)將所述會(huì)話中的后續(xù)分組尋址到所述轉(zhuǎn)交地址����,并將所述本地地址設(shè)置在所述后續(xù)分組的擴(kuò)展報(bào)頭中,所述方法包括將所述基于目的地址的分組過(guò)濾器應(yīng)用于所述后續(xù)分組的擴(kuò)展報(bào)頭�����。
17.根據(jù)權(quán)利要求16所述的方法���,其中所述擴(kuò)展報(bào)頭由所述目的地址使用���,以將所述本地地址恢復(fù)為所述后續(xù)分組的目的地址。
18.根據(jù)權(quán)利要求16所述的方法�����,其中由所述源節(jié)點(diǎn)與所述目的節(jié)點(diǎn)之間的中間節(jié)點(diǎn)讀取所述擴(kuò)展報(bào)頭���。
19.一種將網(wǎng)絡(luò)網(wǎng)關(guān)處的基于目的地址的分組過(guò)濾器應(yīng)用于源節(jié)點(diǎn)與目的節(jié)點(diǎn)之間的分組數(shù)據(jù)會(huì)話的方法����,其中所述源節(jié)點(diǎn)從本地網(wǎng)絡(luò)的本地地址漫游到具有所述網(wǎng)絡(luò)網(wǎng)關(guān)的外網(wǎng)中的轉(zhuǎn)交地址,并建立到所述本地網(wǎng)絡(luò)中的本地代理的反向隧道�����,以將分組轉(zhuǎn)發(fā)到所述目的節(jié)點(diǎn)���,所述源節(jié)點(diǎn)將所述目的節(jié)點(diǎn)的地址設(shè)置在從所述外網(wǎng)發(fā)送的分組的擴(kuò)展報(bào)頭中,并且所述網(wǎng)絡(luò)網(wǎng)關(guān)將所述目的地址過(guò)濾器應(yīng)用于所述分組的擴(kuò)展報(bào)頭�����。
20.一種用于執(zhí)行上述任一權(quán)利要求所述方法的計(jì)算機(jī)程序�。
21.一種被設(shè)置用來(lái)執(zhí)行權(quán)利要求1到19中的任意一項(xiàng)所述方法的裝置。
22.一種基本上如在此參照附圖所描述的方法���。
全文摘要
本發(fā)明涉及在分組數(shù)據(jù)通信會(huì)話過(guò)程中通過(guò)網(wǎng)絡(luò)網(wǎng)關(guān)對(duì)從源節(jié)點(diǎn)發(fā)送到目的節(jié)點(diǎn)的數(shù)據(jù)分組進(jìn)行過(guò)濾的方法��。在所述網(wǎng)絡(luò)網(wǎng)關(guān)(GGSN)執(zhí)行所述過(guò)濾���。所述目的節(jié)點(diǎn)或所述源節(jié)點(diǎn)在所述會(huì)話的第一階段過(guò)程中具有第一網(wǎng)絡(luò)地址,而在所述會(huì)話的后續(xù)的第二階段過(guò)程中具有不同的第二地址�。所述數(shù)據(jù)包具有包括目的地址在內(nèi)的報(bào)頭以及擴(kuò)展報(bào)頭,該擴(kuò)展報(bào)頭用于在所述第二階段過(guò)程中發(fā)送進(jìn)一步的地址信息�����,所述方法包括選擇性的阻擋所述數(shù)據(jù)分組中所述目的地址和所述擴(kuò)展報(bào)頭均不匹配預(yù)定地址準(zhǔn)則的多個(gè)數(shù)據(jù)分組。
文檔編號(hào)H04W12/00GK1711728SQ200380103043
公開(kāi)日2005年12月21日 申請(qǐng)日期2003年11月7日 優(yōu)先權(quán)日2002年11月11日
發(fā)明者陳曉保 申請(qǐng)人:奧蘭治公司