移动网络中基于安全网络的路由优化的方法

摘要

本发明提供一种涉及与第一归属网关关联的第一移动设备的路由优化的方法。本发明的一个实施例在第一移动转发实体中实施并包括：在所述第一移动转发实体处登记所述第一移动设备。所述第一移动设备使用由所述第一移动设备发送的登记消息中包括的会话密钥来登记。该实施例还包括：使用所述会话密钥建立所述第一移动转发实体和终止节点之间的安全路由。所述安全路由绕过所述第一归属网关。

说明书

技术领域

概括地说，本发明涉及通信系统，更具体地，涉及无线通信系统。

背景技术

传统无线通信系统使用无线电接入网络或其他无线实体(例如接入点、 基站、基站路由器等)提供无线连接性。例如，移动单元可在空中接口上 建立与通信地耦合至网络的无线电接入网络的无线通信链路。移动单元可 使用该无线通信链路来访问网络提供的服务，例如与另一移动单元建立通 信会话。在两个移动单元之间使用通信会话发送的信息可以是模拟或数字 信息，并且移动单元之间的通信路径可使用电路交换架构或分组交换架构 来形成。在电路交换架构中，例如在两个移动单元之间形成专用通信路径， 并且其可仅由该两个移动单元来使用。相反，分组交换架构将信息分割成 可沿着多条使用共同分组网络架构的该两个移动单元之间的路径发送的分 组，所述共同分组网络架构用于在移动单元和他们的网络对端之间转发分 组。因此，通过分组交换架构的路径的一些或全部可由耦合至分组交换网 络的其他移动单元或其他实体共享(例如网络服务器或固定订户)。此外， 几乎所有分组交换无线系统依赖于因特网协议(IP)进行路由和转发。分 组交换网络更加开放，因此易于受到攻击。因此，安全性是分组交换网络 中的主要重点。

无线通信系统在概念上可构成为多层模型。例如，开放系统互连(OSI) 参考模型包括七层：应用层、表示层、会话层、传输层、网络层、数据链 路层、和物理层。应用层是“最高”层，所以他最接近于终端用户。应用 层包括提供各种应用的软件。表示层建立上下文，并在不同应用层实体之 间转换。会话层控制不同计算机之间建立的会话，并管理本地和远程应用 之间的连接。传输层提供终端用户之间的透明数据传送，并支持向上层的 可靠数据传送服务。网络层提供经由一个或多个网络从源向目的传送可变 长度数据序列的功能和过程支持。数据链路层提供用于在网络实体之间传 送数据以及提供纠错的功能和过程支持。物理层是“最底”层，其定义了 电和物理规范，以及设备之间无错误传输所需的编码和调制方案。

在物理层和链路层可实现各个无线接入技术以支持分组数据应用。一 些示例性无线接入技术包括第二代(2G)、第三代(3G)、和第四代(4G) 技术，例如HRPD、1X-EVDO、UMTS/HSPA、WIMAX/IEEE-802.16、 3GPP2-UMB、和3GPP-LTE。这些无线接入技术根据标准和/或协议(例 如由第三代合作伙伴计划(3GPP、3GPP2)和WiMAX论坛网络工作组 (NWG)建立的标准和/或协议)运行。为了利用已经部署的技术的不同 信号强度和现有覆盖区域，设备供货商正在开发和部署能够使用多个无线 接入技术通信的双模(或多模)移动单元。例如，双模移动单元可提供根 据两个不同无线接入技术运行的IP连接的两个独立部件。同时，服务提供 商逐渐使用多于一个的无线接入技术来提供无线连接。例如，一些服务提 供商部署了异构网络，其包括用不同接入技术覆盖的网格和/或相互重叠的 覆盖区域。覆盖的网格和相互重叠的覆盖区域可用作从遗留技术向更新技 术或用于其他原因的演进的一部分，例如减少部署和/或运行成本，提高整 体通信频谱特征等。

应用层技术也快速演进。例如，新浏览器技术是基于快速替换更旧 WAP的方法，几乎每个因特网应用正致力于被“移动”以迎合移动订户。 更多基于因特网协议(IP)的移动到移动的服务也正在引入，以补充和升 级现有的蜂窝移动到移动服务。这些移动到移动服务的实例包括补充现有 蜂窝语音服务的移动VoIP、和具有文本、音频和视频的移动IM，其共享 探究传统蜂窝SMS的更丰富版本。因特网协议语音(VoIP)是将音频信 号(例如语音信号)编码成数字格式的技术，后者可用于形成在网络层处 使用因特网协议(IP)的分组交换网络上传输的分组。典型地，VoIP分组 称为不耐延迟和抖动敏感的信息，因为从发送器到接收器的传输中的大延 迟或在目的VoIP会话端(例如移动单元)处连续分组之间的大延迟可降 低由源端生成的音频信号的质量。因此，VoIP应用典型地被限制为以选择 的服务质量(QoS)等级提供VoIP分组。例如，在移动单元中实施的VoIP 应用可需要对于网络上传输的分组保持最小等级的延迟、延迟抖动等。在 一些情况下，客户可支付更高的费用获得对于某些应用的总体更高QoS等 级。

典型的无线接入网络通常分成两个组件：无线电网络和核心网络。如 图1中所示的通信网络100所示，传统核心网络包括两级IP网关，其允许 移动单元接入因特网。拜访网关(VGW)提供核心网络和无线电网络之间 的接口，其包括例如基站、基站控制器、基站路由器、接入点等的实体。 归属网关(HGW)与拜访网关通信，并提供核心网络和因特网之间的接口。 除了用作因特网的网关之外，归属网关典型地负责IP地址分配和管理。特 别当归属网关和拜访网关通过不同服务提供商操作时和/或当两个网关地 理上或拓扑上彼此远离时，如图2中所示的通信网络200所示，归属网关 和拜访网关可通过一个或多个对等网络来分离。

归属网关、拜访网关和这些网关之间的任意对等网络可成为将分组传 送至因特网或从因特网传送分组的阻塞点。例如，如果两个移动单元具有 建立的呼叫会话，用于该两个移动单元的核心网络网关可能处于两个不同 城市。提供空中接口的基站也可在与任意核心网络网关完全不同的城市中。 在一些情况下，由于骨干网运营商之间的对等关系，基站和归属网关之间 的路由可经历不同城市中的多个对等网络。依据网络的拓扑，连相同拜访 网关服务的呼叫也可通过多个网关和/或对等网络来路由。例如，参加位于 芝加哥的会议的两个用户(一个来自纽约城，一个来自洛杉矶)之间的呼 叫可能必须从芝加哥路由至纽约城到洛杉矶，然后路由回芝加哥，即使当 建立呼叫时用户可能在相同建筑中。这个情形有时候称为“三角路由问题”， 因为分组通过归属代理从因特网主机路由至移动节点(即沿着三角的两条 直角边)，尽管存在从因特网主机到移动节点的直接路径(即三角的斜边)。

真实通信网络的多样性使得三角路由问题明显复杂化。由于用户位置 的地理多样性、无线电网络、核心网络的拜访网关、和核心网络中的传输， 运营商被迫使用各个对端点将业务路由至因特网。事实上，网络的多个簇 通过各个标准和对端策略声明的路由和转发路径来建立，这可带来低效性。 例如，通过多个对端点的移动单元呼叫的被迫路由可导致引起终端用户不 满的端对端延迟的明显增加，以及可导致增加运行费用(OPEX)的传输 成本增加。由于固有的缺乏故障冗余，阻塞点还具有造成低效和大规模故 障的可能性。这些缺陷可破坏访问通过物理层和应用层技术的演进提供的 网络的效率。这些效果也可由于移动到移动呼叫的明显百分比受限于由相 同拜访网关潜在服务的地理区域的事实而加剧。

出版的各个因特网/无线标准草案和研究提出了改善三角路由问题的 方法。一个技术是基于客户端的路由优化技术，其用作Mobile IPv6的一 部分。然而，这个技术需要包含客户端(例如因特网主机和/或移动节点)， 并且对于每个对应节点执行一次。此外，协议仅在移动节点和对应节点兼 容于IPv6并且可使用IPv6归属和转交地址来寻址时适用。因为其复杂、 繁琐、和易于安全失效，基于客户端的路由优化技术还未广泛实施。

解决三角路由问题的另一方法是基于策略的本地突破(local  breakout)技术，其对于客户端使用多个IP地址并基于策略路由特定流。 基于策略的本地突破技术主要用于寻址从一个网络向另一网络漫游的和/ 或在多个服务提供商之间漫游的订户。作为实例，考虑访问美国网络的亚 洲订户。在这个情况下，基于策略的本地突破技术可将订户分配给两个“归 属”网关-一个在亚洲，另一个在美国。然后，可使用一个或多个策略来 确定如何路由呼叫。例如，策略可声明使用美国归属网关分配的IP地址本 地路由延迟敏感的呼叫。策略还声明仅通过亚洲的归属网关(例如订户的 语言的音乐服务)来路由其他应用。通过亚洲归属网关路由的应用可使用 亚洲归属网关分配的IP地址来解决用户的移动性。

另一备选方案是利用媒体感知路由概念，其可用于与各种设备(有线 和无线)通信的异构网络。例如，实现媒体感知路由的系统可尝试基于正 发送的媒体类型提供最佳路由。例如，VoIP呼叫可根据一个策略路由，流 视频可根据另一策略路由，以及文本消息可根据另一策略路由。

发明内容

公开的主题旨在解决以上阐述的一个或多个问题的影响。以下提供公 开主题的简化发明内容，以提供公开的主题的一些方面的基本理解。这个 内容并非公开的主题的穷尽性概括。他并非旨在识别公开的主题的主要或 关键元素，或界定公开的主题的范围。其唯一目的在于以简化形式提供一 些概念，作为随后讨论的更多具体实施方式的前序。

在一个实施例中，提供一种涉及与第一归属网关关联的第一移动设备 的路由优化的方法。本发明的一个实施例在第一移动转发实体中实现并包 括：在所述第一移动转发实体处登记所述第一移动设备。所述第一移动设 备使用由所述第一移动设备发送的登记消息中包括的会话密钥来登记。该 实施例还包括：使用所述会话密钥建立所述第一移动转发实体和终止节点 之间的安全路由。所述安全路由绕过所述第一归属网关。

附图说明

参照结合附图进行的以下描述，可理解公开的主题，其中类似标号标 识类似元素，其中：

图1概念性示出示例性无线通信系统；

图2概念性示出通过各个对端网络的移动交换中心和内部连接的传统 网络；

图3概念性示出支持基于安全代理的路由优化的无线通信系统的第一 示例性实施例；

图4概念性示出支持基于安全代理的路由优化的无线通信系统的第二 示例性实施例；以及

图5概念性示出基于安全代理的路由优化的方法的一个示例性实施 例。

尽管公开的主题可进行各种修改和备选形式，在附图中通过实例示出 其特定实施例，并在这里详细描述。然而，应理解，这里特定实施例的描 述并非旨在将公开的主题限制在公开的特定形式，而是相反，本发明覆盖 落入所附权利要求的范围内的所有修改、等同物、和备选。

具体实施方式

以下描述示例性实施例。为了简明，本说明书中并未描述实际方案的 所有特征。当然，可理解，在任意这样的实际实施例的开发中，应做出各 个方案特定的决定以实现开发者的特定目标，例如兼容于系统相关和商务 相关的限制，这将在方案之间彼此不同。此外，应理解，这样的开发努力 可能是复杂耗时的，但是对于获益于本发明的本领域技术人员是常规性任 务。

现在将参照附图描述公开的主题。仅为了说明的目的，在附图中示意 性示出个结构、系统和设备，并没有用对于本领域技术人员已知的细节掩 盖本发明。但是，包括附图以描述和说明公开的主题的示例性实例。这里 使用的词语和短语应理解和解释为具有与本领域技术人员对于那些词语和 术语的理解相一致的含义。并没有术语或短语的特定定义，即与本领域技 术人员理解的普通和习惯性含义不同的定义旨在通过这里的术语或短语的 一般性使用来暗示。如果术语或短语用于具有特定含义，即不同于本领域 技术人员理解的含义，这样的特定定义将在说明书中通过直接和明确提供 对于术语或短语的特定定义的定义方式来明确阐述。

一般来说，本申请的主题是基于安全代理(或基于网络)的路由优化， 其通过降低延迟提供高的终端用户体验质量(QoE)。这里所述的技术还 提高了网络效率，导致充分发展的公共陆地移动数据网络(PLMN)，其 还可称为移动因特网。这里所述的基于安全代理的路由优化技术的实施例 实现了以下设计原理中的一个或多个：

·优化的路由提供了消除公知的拒绝服务(DoS)攻击的安全路由。 此外，安全路由应该以最佳方式在多个移动运营商之间工作。

·基于网络(或代理)的路由优化技术可用于最小化客户端输入以及 空中接口上的业务，这是昂贵的。使用基于网络的方法还对客户端提供了 隐含式保护，并且可缩减客户端设备的作用，因此简化客户端设备的操作/ 设计并保留电池电力。

·安全路由优化技术反映了支持与现有标准、移动网络和因特网的互 通和/或后向兼容的进化方法。这里所述的安全路由优化技术的实施例可因 此用于遗留的移动和因特网协议，例如IPv4和IPv6，并且可独立于在接 入网络中实施的宏移动性管理协议在多个接入网络之间无缝工作。这里所 述的安全路由优化技术的一些实施例可因此看作现有标准和网络的提高， 因此能够实现安全路由优化技术的逐渐铺开。

在一个实施例中，这里所述的安全路由优化技术可通过引入两个功能 实体来实现，这里称为移动路由实体(MRE)和移动转发实体(MFE)。 然而，本领域技术人员可理解，这些功能实体的不同实施例可使用不同术 语来提及。使用新功能实体可允许与现有移动数据组网标准、产品以及因 特网容易结合和相互操作。这里，术语“路由”理解为表示策略、表、和 控制面路径的建立，其用于通过无线指示系统来路由数据。这里，术语“转 发”理解为表示按照通过路由功能以经由无线通信系统移动信息(通常以 分组形式)所建立的策略动作的处理。

这里，主要在通过(可能异构的)无线通信系统通信的两个移动设备 的环境下讨论安全路由优化。两个移动设备可在不同空中接口上访问无线 通信系统。然而，获益于本发明的本领域技术人员应理解，这里描述的技 术可用于在漫游移动设备和任意其他端点或无线通信系统中或因特网外的 终止节点之间建立安全路由。例如，这里所述的技术可用于在与漫游移动 设备关联的移动转发实体和提供由漫游移动设备访问的web服务的服务器 之间建立安全路由。在这个情形下，安全路由优化可使用IP地址或服务器 的其他标识符在移动转发实体和服务器之间建立安全路由。

相比于现有技术，这里所述的安全路由优化技术的实施例具有多个优 点。主要通过电路网络的封闭性在语音网络中提供安全性。类似地，在第 二代蜂窝网络中实现的本地突破技术基于本地骨干网，这表面上是电路概 念。因此，对于当前和未来的基于IP(即开放)移动数据网络，这些技术 没有提供充分的安全性。这里所述的安全路由优化技术提供通过在第三代 和随后蜂窝网络中实现的异构开放网络的安全路径。此外，第二代蜂窝具 有大量引入的创新，而没有考虑到现有网络，因为第一代蜂窝部署在那个 时候并不多见。然而，新兴的蜂窝数据网络的前景大有不同，并且必须遵 循以接近一亿数据订户为大核心的现有标准和网络。这里所述的安全路由 优化技术的后向兼容性可有助于方便与现有和新兴的蜂窝数据网络结合。

参照图3，示出无线通信系统300的第一示例性实施例。在所示实施 例中，无线通信系统300包括多个互连的运营商网络305(1-11)。不同的 索引(1-11)可用来表示各个运营商网络或运营商网络的子集。然而，当 共同表示运营商网络305时可去掉这些索引。本发明可应用于附图中所示 并通过数字和一个或多个不同索引识别的其他部件。获益于本发明的本领 域技术人员应理解，运营商网络305(还可称为骨干运营商网络305)可根 据多个标准和/或协议运行。例如，无线通信系统300可以是包括根据2G 和3G标准和/或协议的混合运行的运营商网络305的异构系统。此外，用 于运营商网络305的实现和操作的技术是本领域已知的，并且为了清楚， 这里仅讨论与本申请所述主题相关的运营商网络305的实现和运行的那些 方面。

无线通信系统305还包括用于提供无线连接性的无线接入点310。图3 中仅示出两个无线接入点310，但是获益于本发明的本领域技术人员应理 解，无线通信系统305可包括多个接入点310。此外，接入点310可包括 基站、基站路由器、蓝牙接入点、根据IEEE 802协议运行的接入点等。 移动单元315可因此在移动单元315和接入点310之间的空中接口320上 接入无线通信305。移动单元315还可称为使用例如移动节点、对应节点、 移动站、用户设备、订户设备、订户站等的术语。

在所示实施例中，移动单元315(1)连接至基站310(1)，而该基站 连接至在运营商网络305(1)中实现的拜访网关325(1)。移动单元315 (2)连接至基站310(2)，其连接至在运营商网络305(3)中实现的拜 访网关325(2)。在所示实施例中，两个移动单元315(1-2)锚接在相 同归属网关330。拜访网关325与归属网关330地理和/或拓扑分离的这样 的情形是相当典型的，因为拜访网关325的数目通常远大于归属网关330 的数目。此外，归属网关330可中心化，以使归属网关330更易于分配和 管理IP地址和策略。然而，获益于本发明的本领域技术人员应理解，在备 选实施例中，移动单元315可在不同归属网关330中锚接。

如图3所示，通过归属网关330的传统路径340涉及通过多个骨干网 络310和对等点的传输。传统路径340中的多个骨干网络310和/或对等点 可导致延迟、丢失分组、增加延迟、以及可降低用户的体验质量的其他缺 陷。在操作中，安全路由优化可用于生成拜访网关325之间的安全优化路 径345。在所示实施例中，安全优化路径345绕过归属网关330，因此相对 于传统路径340减少了介入的运营商网络305的数目。安全路由优化包括 移动单元315(1)的登记、与移动单元315(1)关联的拜访网关325(2) 的发现、在拜访网关325之间建立安全路由345、以及随后在安全路由345 上转发分组。在所示实施例中，移动单元315(1)授权拜访网关325(1) 执行安全路由优化，然后移动单元315(1)将这个功能的责任委派给拜访 网关325(1)。在这个情况下，仅移动单元315(1)具有任意给定流的“权 力”，并且路由的任何改变可由移动单元315(1)授权，其随后将责任委 派给拜访网关325(1)以执行这样的行为。

在一个实施例中，拜访网关325均可支持移动转发实体(MFE，图3 中未示出)，这是用于实现安全路由优化功能的逻辑实体。MFE还与移动 路由实体(MRE)交互，以识别可用作被定义以及用于在移动单元315之 间传播分组的安全路由的端点的其他MFE。在一个实施例中，MRE是提 供关于移动单元315的拜访位置以及拜访网络325的身份的信息的大型分 布式数据库。尽管图3示出移动单元315之间的通信，本领域技术人员应 理解，这里所述的技术还可用于在与一个移动单元315关联的移动转发实 体和任意其他网络端点或终止节点(例如用于由IP地址可识别的网站的服 务器)之间提供安全路由优化。

图4概念性示出无线通信系统400的第二示例性实施例。在所示实施 例中，无线通信系统400包括基站405，其用于在空中接口415上向移动 单元410提供无线连接。无线通信系统400的第二示例性实施例还包括通 信地耦合至基站405的多个移动转发实体420。一个或多个移动路由实体 425也包括在无线通信系统400中。在各个备选实施例中，移动路由实体 425可以是独立的，或可以是分布式移动路由实体425的一部分。获益于 本发明的本领域技术人员应理解，图3中所示的特定数目的实体以及这些 实体之间的互连用于图示，并且备选实施例可包括以不同方式互连的不同 数目的这些实体。

在一些情况下，图4中所示的第二示例性实施例中示出的各个实体可 重叠于图3所示的实体和/或实现于图3所示的实体中。例如，移动转发实 体420和/或移动路由实体425的一个或多个可实现在图3所示的拜访网关 325或归属网关330的一个或多个中。然而，获益于本发明的本领域技术 人员应理解，这对于这里描述的技术的实践并非必要。在一些实施例中， 移动转发实体420和/或移动路由实体425可以是独立于拜访网关325和归 属网关330实现的独立实体，例如，移动实体可通过在不同物理位置部署 的不同“箱体”中实现。

在所示实施例中，移动单元410(1)连接至基站405(1)，其可与移 动转发实体420(1)通信。移动单元410(1)可尝试与移动单元410(2) 建立呼叫会话，后者连接至基站405(2)和移动转发实体420(2)。然后， 可执行安全路由优化，以允许分组在安全路由430上在移动转发实体420 (1-2)之间直接隧接。

安全路由优化技术开始于移动单元410(1)向移动转发实体420(1) 登记。在一个实施例中，使用多步登记处理来实现基于策略的路由优化， 并使得移动移动单元410(1)能够将授权委派给移动转发实体(或拜访网 关)420(1)，以执行安全路由优化。登记还可允许无线通信系统400验 证移动单元410(1)是否被授权调用网络中的安全路由优化服务。例如， 移动单元410(1)可请求通告，以要求移动转发实体420(2)发送对于可 由移动转发实体420(1)提供的基于安全代理(或基于网络)路由优化和 /或其他服务的通告。移动转发实体420(1)可随后通告所提供的路由优化 服务，并在一些情况下，与移动单元410(1)交换用于登记和委派的随机 数(nonce)。此外，移动转发实体420(1)可通告其他服务和性能提高， 其可包括报头压缩、防火墙服务、加密等。

移动单元410(1)可随后向移动转发实体420(1)发送所签署的绑定 登记，后者可返回绑定确认。然而，本领域技术人员应理解，当前技术不 限于绑定登记和/或绑定确认的传输，并且备选实施例可支持其他消息的交 换。来自移动单元410(1)的绑定登记可包括与安全路由优化服务关联的 服务ID。移动单元410(1)也可选择额外服务，并可在绑定登记中指示 额外服务。来自移动转发实体420(1)的绑定确认可包括移动单元410(1) 可用于随后通信的随机数。绑定可具有有限的生存时间，所以如果移动单 元410(1)想要继续使用绑定，他可需要在登记过期之前重新登记。成功 的绑定登记和确认指示了移动单元410(1)将授权委派给网络以执行安全 路由优化(和其他服务)，以及网络确认移动单元410(1)被授权用于这 样的服务。在一个实施例中，移动单元410(1)和移动转发实体420(1) 共享针对绑定登记和确认而指定的会话密钥，并且可用于签署绑定登记。 在一个实施例中，会话密钥可从先前的访问认证过程来导出。

一旦移动单元410(1)向移动转发实体420(1)登记，可执行发现以 定位与移动单元410(2)邻近的移动转发实体420(2)。可与呼叫建立同 时或在开始业务流之后执行发现。在一个实施例中，移动单元410(1)从 绑定确认中发送的随机数列表挑选随机数，并发送具有目的移动单元410 (2)的IP地址和基于安全代理的路由优化服务ID的请求消息。请求消 息可使用会话密钥来签署。如果移动单元410(1)已经具有相同目的移动 单元410(2)的进行流，则源移动单元410(1)包括用于签署的消息中的 新流(除了目的IP地址)的源和目的端口号。

此时，在协议中，移动转发实体420(1)潜在地不知道锚接目的移动 单元410(2)的拜访网络。源移动转发实体420(1)可因此向本地移动路 由实体425(1)发送具有目的移动单元410(2)的IP地址的安全请求。 在所示实施例中，移动路由实体425(1)维持分布式数据库，其提供关于 移动的拜访位置的信息以及拜访网络的身份。移动路由实体425(1)可因 此使用目的移动单元410(2)的IP地址来搜索分布式数据库，以定位移 动转发实体420(2)的目的IP地址。移动路由实体425(1)还可需要联 系另一移动路由实体(例如425(2))以获得移动单元410(2)的拜访坐 标(例如目的移动转发实体420(2)的IP地址)。移动路由实体425(1) 可随后返回目的移动转发实体420(2)的IP地址、以及目的移动转发实 体420(2)的域名或身份。

在移动单元410(1)正在访问由服务器(图4中未示出)提供的web 服务的情形下，安全路由的一个端点是服务器，其可不具有关联的移动转 发实体420。因此，移动单元410(1)和服务器之间的通信路径可不包括 第二移动转发实体420。相反，移动转发实体420(1)可使用服务器的已 知IP地址或其他标识符，将服务器识别为用于路由优化过程的适当端点。 移动转发实体420(1)可因此能够识别服务器，而不必与移动路由实体425 (1)通信。

识别目的移动转发实体420(2)的信息可通过源移动转发实体420(1) 高速缓存，以用于未来转发决定。换句话说，如果源移动转发实体420(1) 已经知晓目的移动转发实体420(2)的身份和IP地址，这个步骤可能不 必执行。高速缓存识别信息(例如目的移动转发实体420的IP地址和/或 域名或身份)可允许在这个信息已经提供至源移动转发实体420的情况下 相对快速地访问这个信息。因此，高速缓存识别信息可通过减少延迟来明 显改善系统的性能。如果移动路由实体425(1)在其数据库中不能够定位 目的移动转发实体420(2)的IP地址，其可将对于该信息的请求转发至 无线通信系统400中的其他实体，例如其他移动路由实体425(1)，并使 用这个信息来填充数据库和返回所请求的信息。

然后，可在源和目的移动转发实体420(1-2)之间建立安全路由430。 在一个实施例中，在源和目的移动转发实体420(1-2)之间协商相互认 证的密钥协议，以建立安全路由430。可依据目的和源移动性随后进行不 同过程。

在目的和源移动转发实体420(1-2)没有在他们之间建立活动会话 的情形下，源移动转发实体420(1)基于源和目的移动转发实体420(1 -2)的身份与目的移动转发实体420(2)执行认证的密钥交换过程。转 发实体可能不具有预共享密钥，在这个情况下可使用证书或基于身份加密 (IBE)协议来执行认证的密钥交换。基于IBE的相互认证的密钥协议的 优点是固有的简单性(无PKI)，同时保持不具有密钥托管的良好前向保 密。一旦执行了这个步骤，源移动转发实体420(1)向目的移动转发实体 420(2)发送签署的绑定登记，其包括源和目的移动单元410(1-2)的 IP地址。这个登记有效地向目的移动转发实体420(2)通知了优化流的路 由的意图。在响应中，如果目的移动单元410(2)在目的移动转发实体420 (2)锚接，目的移动转发实体420(2)确认绑定。目的移动转发实体420 (2)也确认为了基于安全代理的路由优化向目的移动转发实体420(2) 登记了目的移动单元410(1)。在发送绑定确认之前，目的移动转发实体 420(2)可选地可通过联系本地移动转发实体420(1)来选择验证源移动 单元410(1)的位置。该验证步骤可防止流氓MFE建立假流。

在源和目的移动转发实体420(1-2)已经共享活动会话的情况下， 例如因为他们彼此认证并由于在针对潜在不同移动单元之间的一些其他呼 叫的相同移动转发实体420(1-2)之间的先前基于安全代理的优化请求 而具有会话密钥。在这个情况下，执行绑定登记和绑定确认，但是可跳过 认证密钥协议步骤。如果源和目的移动单元410(1-2)已经共享活动会 话，则源移动转发实体420(1)可在登记消息中还包括源和目的端口(除 了移动单元的IP地址)。

然后，可在安全路由430上转发分组。从源移动单元410(1)接收的 分组包含目的移动单元410(2)的IP地址作为目的IP地址，因此路径的 任意改变将需要分组的修改，以确保中间路由器不拒绝分组。这可通过多 个方式实现，包括隧接、网络地址转换、和路由报头的修改。

隧接可通过在移动转发实体420(1-2)之间建立IP-in-IP(或GRE) 隧道来实现。模拟隧接技术的实例是在移动IP、GTP、以及代理移动IP 中使用的隧接技术。在一个实施例中，在分组的封装之前，可使用报头压 缩来最小化分组开销。

还可实施网络地址转换机制。例如，当移动转发实体420(1-2)交 换绑定登记和确认时，可交换专用于拜访域的移动特定拜访地址。换句话 说，移动转发实体420(1-2)两者可针对他们各自移动单元建立移动单 元特定的共置转交地址并进行交换。一旦进行这个操作，当通过移动单元 将分组发送至MFE(上游或下游)时，进行适当网络地址转换，其中将移 动单元的IP地址用他们对应的共置转交地址代替。类似地，当MEF准备 向移动单元发送分组时，将进行从共置的转交地址向移动单元的IP地址 (由归属网络分配)的反向转换。这样的过程适用于IPv4和IPv6移动单 元两者，并且移动单元不需要知晓给定移动单元的共置转交地址。

例如，当源和目的移动单元410(1)两者支持IPv6时，可使用路由 器报头。例如，当MFE从移动单元接收分组时，在路由报头中增加其他 MFE的IP地址，作为到达目的地之前的中间跳。

在一些实施例中，在转发过程期间，移动转发实体420还可对于例如 报头压缩和业务流的加密的服务提供支持。例如，源和目的移动转发实体 420可导出在认证密钥协定阶段期间的加密和业务认证密钥，以加密和签 署业务流。通过类似方式，登记过程允许移动单元410委派网络以提供这 样的性能提升，同时网络可验证这样的服务是否针对移动单元而被授权。

每个移动路由实体(MRE)425维持数据库，其存储移动单元410的 拜访坐标。数据库坐标包括每个移动单元410登记的移动转发实体420的 IP地址以及登记的移动转发实体420的域名或身份。因此，每个移动单元 410可使用归属IP地址寻址，并且移动路由实体425可提供对于基于安全 代理的路由优化操作相关的拜访网络的坐标。在一个实施例中，移动路由 实体425可实现为包括在不同位置建立和维持的本地数据库的分布式数据 库。但是，在需要时，分布式移动路由实体425可用作一个合成数据库。 一般地，移动路由实体425响应于来自MFE 420的查询，响应于来自另一 MRE 425的查询，以及当移动性事件发生时更新数据库。

移动路由实体425使用数据库来定位与移动单元410关联的移动转发 实体420。例如，移动路由实体(MRE)425(1)可从移动转发实体420 (1)接收对于与移动单元410(2)关联的另一移动转发实体420(2)的 身份和/或位置的请求：MRE 425(1)可通过移动单元410(2)的拜访坐 标和/或指示移动转发实体420(2)的寻址信息来响应，如果该信息本地可 用。如果该信息本地不可用，例如，如果移动单元410(1)尝试联系移动 单元410(3)，则MRE 425(1)可联系移动单元410(3)的归属网络中 的另一MRE 425(2)，以获得移动单元410(3)和/或移动转发实体420 (3)的拜访坐标。这个信息随后与MFE 420(1)共享，并且还可高速缓 存以备未来使用。如果MRE 425(1)不能够在“合理”时间解析查询， 则他可返回“坐标未知”消息给MFE 420(1)。这个结果可能并非灾难 性的，因为没有排除通过移动单元的归属网关的“缺省”路由。

在一个实施例中，当MRE 425(1)联系移动单元的归属网络中的另 一MRE 425(2)时，MRE 425(2)的IP地址(或域名)可能对于MRE 425(1)未知。例如，当移动主机的运营商不同于联系MRE的运营商时， MRE 425可能不知道彼此的IP地址或域名。这个问题可通过两个步骤的 过程来解决。首先，本地MRE 425(1)到达其自身归属MRE(这由与本 地MRE 425(1)相同的运营商维持)，并转发从MFE 420(1)接收的请 求。如果信息本地可用，则将其继续传递至本地MRE 425(1)。如果不， 则“归属MRE”随后到达移动单元的“归属MRE”(在相关运营商的域 中)，并获得移动单元的拜访坐标。在以上实施例中存在两个基本假设。 第一，可假设归属网络中的MRE与归属网关工作以维持其本地数据库。 第二，每个运营商可将一个或多个MRE指定为“归属MRE”，此外，这 些部件将各个“归属MRE”的坐标维持在其他运营商网络中。换句话说， MRE可组织为跨运营商边界工作的层级分布式数据库。这可通过使得每个 拜访网络具有一个本地MRE，以及使得每个归属网关具有一个“归属 MRE”来容易地实现。额外MRE可本地地增加，否则用于冗余目的。此 外，拜访网络可随后与本地MRE共享信息，其中移动单元的坐标连接至 他们的网络。如先前所观察，使用这个查询处理获得的信息可被高速缓存， 用于通过涉及的每个MRE随后使用。在一个实施例中，可存在与高速缓 存的信息关联的期满时间。

移动单元410可继续在整个无线通信系统400中漫游，所以无线通信 系统400可支持宏移动性功能。在一个实施例中，当移动单元410从一个 拜访网关切换至另一个时，通知移动单元410的归属网关。例如，在新兴 的网络中，目标拜访网关和归属网关之间的代理移动IP绑定更新和确认可 用于支持宏移动性。在更新/确认的事件中，涉及的拜访网关可更新对应的 本地MRE数据库，并且归属网关可更新归属MRE。数据库更新的特征(即 基于事件的推或周期性拉)是设计选择的问题。

当MFE 420从MRE 425请求信息时，MRE 425中高速缓存的信息可 潜在地是旧的，并且MRE 425可能不知晓高速缓存的信息变为旧的。当 MFE 420使用旧的信息并联系移动单元410的拜访网络时，可清楚信息是 旧的。在这个情形下，源MFE 420可再次通过额外指示(他在先前查询中 接收的信息是旧的)来查询MRE 425。MRE 425可删除高速缓存的项目， 并返回至移动单元410的归属网络中的MRE 425以获得移动单元410的坐 标(如先前讨论)，以获得移动单元410的拜访坐标。当这个事件发生时， “呼叫”通过缺省路由在移动单元410之间继续。随后，一旦最佳路由被 确立并建立，可发生沿着最佳路径转发分组。

无线通信系统400可实施各个安全原理，以支持基于安全代理的路由 优化。在一个实施例中，仅为了授权的流支持基于网络的路由优化。这用 于确保由网络实现运营商策略提供的服务，并且不可用于(未授权的)对 方。此外，当给定移动单元410的流被授权接收由基于安全代理的路由优 化提供的性能提高时，在网络可对于与移动单元410关联的流执行基于安 全代理的路由优化之前，可需要移动单元410将需要时修改分组的责任(例 如封装或网络地址转换等)委派给网络。网络和移动单元410可搭载(如 果可能)在现有链路层认证机制上，以建立特权并委派责任。在信令传送 事件和信息交换之前，路由优化中涉及的网络部件也可共享或建立安全关 联。这用于降低由未授权的对方劫持会话的可能性。可实现各个安全需求 用于会话建立，以及与数据库的通信，以获得信息和提供更新。

在无线通信系统400中可实现的安全架构的一个示例性实施例中，移 动单元410可使用标准的现有协议通过接入网络认证他们。因此，认证和 密钥协定的方法可能是标准特定的。在成功认证之后，移动单元410和认 证中心(图4中未示出)可导出用于基于安全代理的路由优化的额外密钥。 额外密钥可由移动单元410通过修改现有密钥导出处理来导出。网络中的 认证中心可同时导出相同密钥，并将其传送至拜访网络。例如，在基于 WiMAX和UMB的网络中，接入认证基于各个EAP方法。最近，还将 EAP-AKA用作演进HRPD系统的接入认证协议。EAP认证协议允许生成 两个密钥-MSK和EMSK。将MSK传送至接入网络，但是在AAA维持 EMSK用于以后使用。在一个实施例中，可从EMSK导出基于安全代理 的路由优化密钥。然后，将基于安全代理的路由优化密钥传送至拜访网络 中的MFE，并用在协议的登记阶段中。对于另一实例，在基于3GPP的 HSPA和LTE网络中，接入认证基于AKA，移动单元410中的SIM卡依 据此导出一组会话密钥。对于HSP系统，在网络中，AKA使用包括被传 送至称为服务GPRS支持节点(SGSN)的拜访网关的会话密钥的向量。 对于LTE系统，在网络中，AKA使用包括被传送至移动管理实体(MME) 的会话密钥的向量。基于安全代理的路由优化密钥可以是被导出并传送至 在无线通信系统400中的适当实体的额外密钥。例如，MME可随后将基 于安全代理的路由优化密钥传送至MFE 420。

涉及密钥(例如基于安全代理的路由优化密钥)传送的事务应在基于 预配置的安全关联的安全隧道上执行。与MRE 425的通信(特别地由于移 动性事件的数据库更新)也应在安全隧道上。对于确保数据库不受到对方 用错误信息破坏是重要的；这可导致称为“路由毒化”并可能是灾难性的 服务拒绝攻击(DoS)。在源MFE和目的MFE之间的安全关联可基于认 证的密钥协定协议。一个实施例实现与IKE类似的证书使用和随后的密钥 交换。一个备选实施例是基于身份加密(IBE)协议的使用。基于IBE的 相互认证的密钥交换的优点是固有的简单性(无PKI)，同时维持不具有 密钥托管的良好前向保密。

在无线通信系统400中实现的基于安全代理的路由优化技术也可在现 有网络中和/或与其结合来实现。这里所述的基于安全代理的路由优化技术 的实施例适用于IPv4和IPv6流，并且可适用于独立于接入网络架构和协 议的任意移动网络。例如，在本地MRE 425和MFE 420之间可存在一一 对应，并且在一些实施例中，每个拜访网关(例如图3中所示的拜访网关 325)可存在一个MFE 420。在一个实施例中，每个归属网关(如图3中 所示的归属网关330)存在一个归属MRE 425。对于HRPD网络，可将 MFE 420结合至PDSN中，并且本地MRE 425可保持为本地AAA上的单 独数据库。归属MRE 425可增加至现有的归属AAA服务器。对于HSPA 网络，本地MRE和MFE可结合到SGSN，并且归属MRE可结合至HSS 合成体中。对于WiMAX网络，MFE可结合到ASN网关中，并且MRE 可保持为本地AAA上的单独数据库。归属MRE可增加至现有的归属AAA 服务器。对于UMB/CAN网络，MFE可增加至AGW，以及MRE可增加 至本地AAA。对于HRPD、HSPA、WiMAX和UMB/CAN网络，MRE 425 和MFE 420可实现为diameter接口，并且MRE间接口也可实现为 diameter接口。对于基于LTE/SAE的EPS网络，本地MRE可增加至 MME，以及MFE可增加至服务SAE网关。归属MRE服务器可结合到 3GPP-AAA服务器或HSS。

除了以上接口，如果采用证书，则MFE 420可与证书授权方对接，用 于证书的提供、撤回、和更新。如果使用基于IBE的认证密钥协定，则可 提供到密钥生成功能(KGF)的接口。尽管协议讨论典型地以移动到移动 的应用为中心，基于安全代理的路由优化也可在移动到因特网应用中实现。 此外，移动到因特网应用可能更容易实现在网络地址转换之后通过拜访 MFE将业务卸载至本地因特网POP的优化。来自因特网的分组可通过拜 访MRE路由，因为拜访MFE分配的IP地址对应于拜访网关管理的路由 域。

图5概念性示出基于安全代理的路由优化(SPRO)的方法500的一 个实施例。在所示实施例中，移动节点(MN)从源移动转发实体(S-MFE) 请求(在505)SPRO的通告(以及潜在地其他服务)。S-MFE通告(在 510)所提供的SPRO服务，并且在所示实施例中，S-MFE还可通告(在 510)用于登记和委派的随机数。此外，S-MFE可通告(在510)向MN 提供的其他服务和/或性能提高。MN向S-MFE发送(515)绑定登记。来 自MN的绑定登记可包括SPRO服务标识符(ID)。MN也可选择额外服 务。S-MFE发送(在520)绑定确认，其可包括移动单元可用于随后通信 的随机数。此时，在方法500，由箭头520下方的虚线所示，MN可向S-MFE 登记。

方法500的下一阶段包括目标移动转发实体(T-MFE)的发现。MN 选择接收的随机数(在520)，并向S-MFE发送(在525)请求消息，其 具有目的对应移动单元(CN)的IP地址以及使用与SPRO服务的网络协 定的会话密钥签署的SPRO服务ID。由于S-MFE可能不知晓当前锚接的 目的移动单元的拜访网络，所以S-MFE向本地MRE发送(在530)具有 目的移动单元(CN)的IP地址的安全请求。MRE使用适当数据库执行 T-MFE的发现(在533)，并返回(在535)T-MFE的IP地址以及T-MFE 的域名或身份。此时，在方法500，由箭头535下方的虚线所示，T-MFE 已经由S-MFE和MRE发现。如这里所述，在MN接入由服务器(图5 中未示出)提供的服务的实施例中，安全路由的其他端点可以是服务器， 可能并非移动转发实体。方法500的一些实施例因此可修改来使用IP地址 或其他标识符以识别或“发现”服务器。

S-MFE基于其身份执行(在540)与T-MFE的认证密钥交换过程。 例如，可使用IBE认证方案执行(在540)认证。在认证时，S-MFE向 T-MFE发送(在545)签署的绑定登记，其包括源和目的移动单元的IP 地址。在发送绑定确认之前，可选地T-MFE可选择通过联系(在550)本 地MRE验证源移动单元的位置。在验证时，T-MFE确认(在555)绑定 (如果目的移动单元实际上在目标MFE处锚接)，并且目的移动单元针 对SPRO向目标MFE登记。此时，在方法500，通过箭头555下方的虚 线所示，T-MFE和S-MFE共享可用于转发与MN/CN或其他通信节点之 间的当前会话或其他未来会话关联的分组的安全路由或隧道。

在源和目的移动单元之间转发(在560)分组。例如，可使用T-MFE 和S-MFE之间的安全IP-in-IP隧道转发(在555)分组。然而，获益于本 发明的本领域技术人员应理解，可使用备选安全路由和/或隧接技术。

公开的主题的部分和对应的详细描述以软件、或算法和对计算机存储 器中的数据位的操作的符号表示来呈现。这些描述和表示是本领域技术人 员向本领域其他技术人员有效传达他们工作实质内容所借助的手段。算法 作为这里使用的术语并且被一般性使用，认为是导致期望结果的自相一致 的步骤序列。步骤是需要物理量的物理操作的那些步骤。通常，尽管不必 要，这些量采用能够被存储、传送、组合、比较、和操作的光、电、或磁 信号的形式。原理上为了通用的原因，有时候被证明是方便地，将这些信 号指示为比特、值、元素、符号、字符、项、数字等。

然而，应认识到，这些和类似术语的全部与适当物理量相关，并且仅 是适用于这些量的方便标签。除非特别指出，或从讨论中明显地，例如“处 理”或“计算”或“运算”或“确定”或“显示”等的术语指的是计算机 系统或类似电子计算设备的行为和处理，其操作和将表示为计算机系统的 寄存器和存储器中的物理、电子量的数据转换成类似地表示为计算机系统 存储器或寄存器或其他这样的信息存储装置、传输或显示设备的其他数据。

还注意，公开的主题的实现的软件方面典型地编码在某种形式的程序 存储介质上，或实现在某种类型的传输介质上。程序存储介质可以是磁(例 如软盘或硬盘驱动器)或光(例如压缩盘只读存储器或CD ROM)，并且 可以是只读或随机存取。类似地，传输介质可以是双绞线、同轴电缆、光 纤、或本领域已知的某些其他适当传输介质。公开的主题不限于任意给定 方案的这些方面。

以上公开的特定实施例仅是示例性，因为公开的主题可通过对于获益 于本发明的本领域技术人员清楚地不同但等同方式修改和实践。此外，不 限制这里所述的设计的结构的细节，除了在以下权利要求中所述。因此， 明显地，上述特定实施例可被修改或更改，并且所有这样的变形认为在公 开的主题的范围内。由此，这里寻求的保护如以下权利要求所述。