CN1969568A

CN1969568A - 使用预认证、预配置和/或虚拟软切换的移动体系结构

Info

Publication number: CN1969568A
Application number: CNA2005800028966A
Authority: CN
Inventors: 大场义洋; 马场伸一
Original assignee: Toshiba Corp; Telcordia Technologies Inc
Current assignee: Zhuoxin Heritage Co; Toshiba Corp; Telefonaktiebolaget LM Ericsson AB
Priority date: 2004-01-22
Filing date: 2005-01-21
Publication date: 2007-05-23
Anticipated expiration: 2025-01-21
Also published as: CN101848508B; US7046647B2; WO2005072183A3; JP2012090354A; CN101848508A; JP5781956B2; JP2010016858A; EP1723804A4; EP1723804A2; JP5037577B2; WO2005072183A2; JP5955352B2; JP2007522725A; US20070171870A1; CN1969568B; EP1723804B1; US8175058B2; US7548526B2; JP2014222934A; US20090271614A1

Abstract

在某些图解实施例中，提供了新颖的系统和方法，其能够例如扩展预认证(例如IEEE 802.11i预认证)的构思以跨越网络或子网(例如IP子网)进行操作。在优选实施例中，新颖的体系结构包含2个能够大大改进例如高层切换性能的新机制中的一个或两个。第一个机制被称为“预配置”，其允许移动设备预配置候选IP子网中有效的高层信息以进行切换。第二个机制被称为“虚拟软切换”，其允许移动站甚至在其实际执行到任何候选IP子网的切换之前通过候选IP子网发送或接收分组。

Description

使用预认证、预配置和/或虚拟软切换的移动体系结构

技术领域

本申请涉及移动网络通信，在某些优选实施例中，本申请涉及在移动节点、站点或设备的移动期间改变网络接入点，这在移动电话领域通常被称为例如″切换″。本发明的优选实施例提供例如用于改变移动设备到网络的接入点，例如改变到因特网或其它网络的无线接入点连接的移动体系结构。

背景技术

网络和网际协议

存在许多类型的计算机网络，其中以因特网最著名。因特网是全世界的计算机网络。今天，因特网是可供数百万用户访问的公共和自维持的网络。因特网使用称作TCP/IP(即传输控制协议/网际协议)的一组通信协议连接主机。因特网具有被称为因特网主干网的通信基础设施。对因特网主干网的接入主要受因特网服务提供商(ISP)的控制，因特网服务提供商将接入转售给公司和个人。

对于IP(网际协议)，这是借以能够在网络上从一个设备(例如电话、PDA[个人数字助理]、计算机等等)向另一个设备发送数据的协议。当前存在各种版本的IP，包含例如IPv4、IPv6等等。网络上的每个主机设备具有至少一个IP地址，该IP地址是其自身独有的标识符。

IP是无连接的协议。通信期间端点之间的连接不是连续的。当用户发送或接收数据或消息时，数据或消息被分成称为分组的部分。每个分组被视作独立的数据单元。

为了标准化因特网或类似网络上点之间的传输，建立了OSI(开放系统互联)模型。OSI模型将网络中2个点之间的通信过程分成7个叠加的层次，其中每个层次增加其自身的功能集合。每个设备处理消息，使得在发送端点处存在通过每个层次的下行流，并且在接收端点处存在通过所述层次的上行流。提供7个功能层次的程序和/或硬件通常是设备操作系统、应用软件、TCP/IP和/或其它传送和网络协议、以及其它软件和硬件的组合。

通常，当针对用户来回传送消息时，使用上面4个层次，而当消息通过设备(例如IP主机设备)时，使用下面3个层次。IP主机是网络上能够发送和接收IP分组的任何设备，例如服务器、路由器或工作站。送往某些其它主机的消息不被传递到上层，而是被传递到其它主机。在OSI和其它类似模型中，IP处于层次3，即网络层。下面列出OSI模型的层次。

层次7(即应用层)是在其中例如识别通信各方、识别服务质量、考虑用户认证和隐私、识别数据语法约束等等的层次。

层次6(即表示层)是例如将传入和传出数据从一个表示格式转换到另一个表示格式等等的层次。

层次5(即会话层)是例如建立、协调和终止应用程序之间的会话、交换和对话等等的层次。

层次4(即传送层)是例如管理端到端控制和差错检查等等的层次。

层次3(即网络层)是处理路由和转发等等的层次。

层次2(即数据链路层)是例如提供物理级同步、进行位填充和提供传输协议知识和管理等等的层次。电气电子工程师协会(IEEE)将数据链路层细分成2个进一步的子层，即控制针对物理层的数据传送的MAC(介质访问控制)层，和与网络层接口并且解释命令和执行差错恢复的LLC(逻辑链路控制)层。

层次1(即物理层)是例如在物理级传送比特流通过网络的层次。IEEE将物理层细分成PLCP(物理层会聚过程)子层和PMD(物理介质相关)子层。

在本文中，高于层次2的层次(例如包含OSI模型和类似模型中网络层或层次3的层次)被称为高层。

无线网络

无线网络能够包括各种类型的移动设备，例如蜂窝和无线电话、PC(个人计算机)、膝上型计算机、佩带式计算机、无绳电话、寻呼机、耳机、打印机、PDA等等。例如，移动设备可以包含用于保证语音和/或数据的快速无线传输的数字系统。典型的移动设备包含以下部件中的某些或全部：收发器，(即发送器和接收器，包含例如具有集成发送器、接收器和其它功能(必要时)的单芯片收发器)；天线；处理器；一或多个音频转换器(例如像在用于音频通信的设备中那样的扬声器或话筒)；电磁数据存储设备(例如在提供数据处理的设备中的ROM、RAM、数字数据存储设备等等)；存储器；快擦写存储器；全芯片集合或集成电路；接口(例如，USB、编解码器、UART、PCM等等)；和/或类似部件。

其中移动用户能够通过无线连接连接到局域网(LAN)的无线LAN(WLAN)可以被用于无线通信。无线通信能够包含例如通过电磁波，例如光、红外、无线电、微波传播的通信。当前存在各种WLAN标准，例如蓝牙、IEEE802.11和HomeRF。

例如，蓝牙产品可以被用于在移动计算机、移动电话、便携手持设备、个人数字助理(PDA)和其它移动设备之间提供链路，并且提供到因特网的连通性。蓝牙是详细规定移动设备如何能够容易地使用短程无线连接彼此互连以及与非移动设备互连的计算机和电信行业规范。蓝牙制定数字无线协议以解决需要保持数据同步和设备彼此的一致性的各种移动设备的普及所导致的终端用户问题，从而允许来自不同厂商的设备无缝地一起工作。蓝牙设备可以根据公共命名构思来命名。例如，蓝牙设备可以拥有蓝牙设备名(BDN)或与唯一蓝牙设备地址(BDA)相关的名字。蓝牙设备也可以参与网际协议(IP)网络。如果蓝牙设备在IP网络上工作，它可以配有IP地址和IP(网络)名字。如此，被配置成参加IP网络的蓝牙设备可以包含例如BDN、BDA、IP地址和IP名字。术语″IP名字″是指对应于接口的IP地址的名字。

IEEE标准，即IEEE802.11规定了用于无线LAN和设备的技术。通过使用802.11，可以用支持若干设备的每个单独基站实现无线联网。在某些例子中，设备可以预先配备无线硬件，或者用户可以安装硬件的分立部分，例如卡，其可以包含天线。例如，802.11中使用的设备通常包含3个显著的单元，不管设备是接入点(AP)、移动站(STA)、桥接器、PCMCIA卡还是其它设备：无线收发器；天线；和控制网络中点之间的分组流的MAC(介质访问控制)层。

另外，在某些无线网络中可以使用多接口设备(MID)。MID可以包含2个独立网络接口，例如蓝牙接口和802.11接口，从而允许MID参加2个分立网络，以及与蓝牙设备接口。MID可以具有IP地址和与该IP地址相关的公共IP (网络)名字。

无线网络设备可以包含但不限于蓝牙设备、多接口设备(MID)、802.11x设备(IEEE802.11设备包含例如802.11a、802.11b和802.11g设备)、HomeRF(家庭射频)设备、Wi-Fi(无线保真)设备、GPRS(通用分组无线业务)设备、3G蜂窝设备、2.5G蜂窝设备、GSM(全球移动通信系统)设备、EDGE(增强数据GSM演进)设备、TDMA类型(时分多址)设备或包含CDMA2000的CDMA类型(码分多址)设备。每个网络设备可以包含各种类型的地址，包含但不局限于IP地址、蓝牙设备地址、蓝牙公共名字、蓝牙IP地址、蓝牙IP公共名字、802.11 IP地址、802.11 IP公共名字或IEEE MAC地址。

无线网络也可以涉及在例如移动IP(网际协议)系统、PCS系统和其它移动网络系统上发现的方法和协议。对于移动IP，这涉及由互联网工程任务组(IETF)建立的标准通信协议。通过移动IP，移动设备用户能够在保持其曾经分配的IP地址的同时跨网络移动。参见因特网标准(草案)(RFC)3344。NB：RFC是互联网工程任务组(IETF)的正式文档。移动IP增强网际协议(IP)，并且增加向连接到其归属网络之外的移动设备转发因特网业务的手段。移动IP为每个移动节点分配其归属网络上的归属地址，以及标识该设备在网络及其子网内的当前位置的转交地址(CoA)。当设备被移动到不同网络时，它接收新的转交地址。归属网络上的移动代理(mobility agent)能够将每个归属地址与其转交地址关联。移动节点能够每当其使用互联网控制消息协议(ICMP)改变其转交地址时向归属代理发送绑定更新。

在基本IP路由(即在移动IP之外)中，路由机制依赖这样的假设，即每个网络节点总是具有到例如因特网的固定接入点，并且每个节点的IP地址标识其连接到的网络链路。在本文中，术语″节点″包含连接点，其能够包含例如用于数据传输的重新分配点或端点，并且能够识别、处理通信和/或转发通信到其它节点。例如，因特网路由器能够看到例如标识设备的网络的IP地址前缀等等。接着，在网络层，路由器能够看到例如一组标识具体子网的位。接着，在子网层次，路由器能够看到例如一组标识具体设备的位。对于典型的移动IP通信，如果用户将移动设备与例如因特网断开并且在新子网处尝试再连接该移动设备，则该设备必须重新配置以新IP地址、适当的网络掩码和缺省路由器。否则，路由协议将不能够适当传送分组。

切换和改变网络接入点

切换是移动站将其网络接入点从一个点改变到另一个点的动作，其中网络接入点能够包含例如基站和IP(网际协议)路由器。当在例如连接的基站和IP路由器发生改变的情况下进行切换时，切换通常分别包含层次2切换和层次3切换。层次2切换和层次3切换大约同时进行。在任何切换期间，系统需要重新建立在移动站和新网络接入点之间保持的状态。这些涉及切换的状态也被称作切换上下文，或简称为″上下文″。

存在两种上下文，即可转移上下文和非可转移上下文。可转移上下文可在旧和新接入点之间转移，而非可转移上下文需要重新或使用可转移上下文来建立。示例性可转移上下文能够包含例如用于对移动站进行重新认证的认证上下文，和例如用于分配足够为移动站提供特定等级的服务的网络资源的QoS(服务质量)上下文。移动站的动态分配的IP地址是示例性的非可转移上下文。层次2和层次3加密密钥，例如802.11i(参见例如下面在这里引用的参考文献#11)中的TKIP(临时密钥完整性协议)和CCMP(计数器模式与CBC-MAC协议)加密密钥，以及用于保护移动站和接入点(AP)或路由器之间传送的数据分组的IPsec AH(认证头)和ESP(封装安全有效负载)加密密钥(参见例如下面在这里引用的参考文献#15、#16和#17)，是其它示例性非可转移上下文，因为那些密钥与该2个实体的特定MAC(介质访问控制)或IP地址对相关，并且需要根据其间的协商来重新建立。

作为参考，如上所述，802.11是由电气电子工程师协会(IEEE)的工作组开发的无线局域网(WLAN)规范族，其包含例如使用以太网协议和CSMA/CA(带冲突避免的载波检测多路存取)进行路径共享的协议族802.11、802.11a、802.11b、和802.11g中的规范。参见例如下面引用的参考文献#13。另外，802.11i是正在开发的用于WLAN中的安全的IEEE标准。另外，IPsec(网际协议安全)是针对用于网络通信的网络或分组处理层上的安全的一组协议的框架。另外，MAC地址涉及例如设备的唯一硬件地址，并且能够被数据链路层的介质访问控制子层使用，而IP地址涉及例如标识在例如因特网上通过分组发送的信息的每个发送方或接收方的数(例如最广泛安装的网际协议[IP]层中的32位数、IPv6中的128位数、无等级域间路由(CIDR)网络地址和/或类似信息)。

在切换之前或之后将可转移上下文从一个网络接入点传送到另一个网络接入点能够降低切换延迟。若干协议，例如IEEE 802.11f协议(即802.11f是用于802.11接入点的信息交换，例如接入点之间涉及移动站的信息的交换的AP间协议-参见例如下面引用的参考文献#12)，以及IP层上下文传送协议(参见例如下面引用的参考文献#14)能够被用于这个目的。另一方面，通过一系列关于每个上下文的协商累积出重新建立非可转移上下文的延迟，尽管一些非可转移上下文可以并行协商。这个延迟尤其会成为问题。

存在2种其中这个协商非可转移上下文的延迟可以不成为问题的情形。第一个情形是基础无线链路层使用CDMA(码分多址)。在这个第一情形中，通过使用所谓软切换机制，移动站可以与新基站建立某种上下文，同时仍然通过旧基站进行通信，在所述软切换机制中，在与无线电覆盖范围中的不同基站通信的同时，移动站能够使用不同的CDMA代码。第二个情形是移动站具有多个接口，并且在所述接口间进行切换。在这个第二情形中，通过允许这些接口同时操作，能够实现与CDMA软切换基本上相同的效果。

在上述2个模式均不可用的环境中，非可转移上下文是最有问题的。例如，具有单独IEEE 802.11无线LAN接口的移动站不能使用CDMA软切换模式或接口切换模式。

鉴于此问题，IEEE 802.11 TGi正开发被称作预认证的新模式，其中已经通过认证并且与接入点(AP)关联的IEEE 802.11i站点(STA)被允许在其与其它接入点关联之前通过当前关联接入点与其它接入点执行IEEE 802.1X认证。IEEE 802.11i预认证也允许在该站点和非关联AP之间确立802.11i加密密钥。

然而，由于IEEE 802.1X被定义为在LAN中工作，IEEE802.11i预认证的适用性限于相同LAN中的移动站和接入点。原始802.11i预认证文档(参见例如下面引用的参考文献#1)没有提供用于扩展IEEE 802.11i预认证以在IP层上工作，使得移动站能够对不同LAN中的AP进行预认证的详细资料。

作为参考，802.11i是解决802.11中某些安全问题的无线网络标准，802.1X是作为总体IEEE 802.11 WLAN支持的一部分而开发的WLAN标准组(参见例如下面引用的参考文献#1和#10)。根据802.11，通过主动或被动扫描能够检测其它接入点的存在。在被动扫描中，移动站扫描来自AP的信标信号(包含例如服务设置标识符[SSID]和其它密钥信息)，而在主动扫描中，移动站发送探测帧以得到来自AP的探测响应。作为进一步的参考，802.11i预认证涉及在允许接入之前实施认证的认证方实体，请求可经由认证方得到的对服务的接入(例如接入点)的请求方设备(例如移动站)，和执行认证功能(即检查请求方的证书)并且响应认证方以识别请求方是否得到授权的认证服务器(例如远程认证拨入用户业务服务器等等)。在某些实施例中，认证方和认证方服务器能够布置在一起，但是它们也可以是分立的。

虽然已知有各种系统和方法，然而仍然需要改进的系统和方法。优选实施例提供优于上述和/或其它系统和方法(包含例如下面参考文献中描述的系统和方法)的根本改进和/或进步，这些参考文献的全部公开内容在这里被引为参考：

·参考文献#1：B.Aboba，″IEEE 802.1X Pre-Authentication″，IEEE 802.11-02/389r1，2002年6月。

·参考文献#2：B.Aboba和D.Simon，″PPP EAP TLSAuthentication Protocol″，RFC 2716，1999年10月。

·参考文献#3：L.Blunk，J.Vollbrecht，B.Aboba，J.Carlson和H.Levkowetz，″Extensible Authentication Protocol(EAP)，Internet-Draft，Work in progress(废除RFC 2284)，2003年5月(参见例如2003年11月的文档)。

·参考文献#4：R.Droms和W.Arbaugh，″Authentication forDHCP Messages″，RFC 3118，2001年6月。

·参考文献#5：R.Droms，″Dynamic Host ConfigurationProtocol，″RFC 2131，1997年3月。

·参考文献#6：P.Funk，S.Blake-Wilson，″EAP Tunneled TLSAuthentication Protocol(EAP-TTLS)″，Internet-Draft，Work inprogress，2002年11月(参见例如2003年8月的文档)。

·参考文献#7：D.Forsberg，Y.Ohba，B.Patil，H.Tschofenig和A.Yegin，″Protocol for Carrying Authentication for Network Access(PANA)″，Internet-Draft，Work in progress，2003年3月(参见例如2003年10月的文档)。

·参考文献#8：R.Glenn和S.Kent，″The Null EncryptionAlgorithm and Its Use With IPsec，″RFC 2410，1998年11月。

·参考文献#9：D.Harkins和D.Carrel，″The Internet KeyExchange(IKE)″，RFC 2409，1998年11月。

·参考文献#10：IEEE Standard for Local and MetropolitanArea Networks，″Port-Based Network Access Control″，IEEE Std802.1X-2001。

·参考文献#11：IEEE Standard for Local and MetropolitanArea Networks，′Wireless Medium Access Control(MAC)andphysical layer(PHY)specifications：Medium Access Control(MAC)Security Enhancements，″IEEE Std 802.11i/D4.0，May 2003(参见例如IEEE Std 802.11i/D7.0，2003年10月文档)。

·参考文献#12：IEEE Standard for Local and MetropolitanArea Networks，″Draft Recommended Practice for Multi-VendorAccess Point Interoperability via an Inter-Access Point ProtocolAcross Distribution Systems Supporting IEEE 802.11 Operation，″IEEE P802.11F/D5，2003年1月。

·参考文献#13：IEEE Standard for Local and MetropolitanArea Networks，″Wireless LAN Medium Access Control(MAC)andPhysical Layer(PHY)Specifications，″ANSI/IEEE Std 802.11，1999Edition，1999。

·参考文献#14：J.Loughney，M.Nakhjiri，C.Perkins和R.Koodli，″Context Transfer Protocol，″Internet-Draft，Work inprogress，2003年6月(参见例如2003年10月文档)。

·参考文献#15：C.Kaufman，″Internet Key Exchange(IKEv2)Protocol″，Internet-Draft，Work in progress，April 2003(参见例如2003年10月9日和2004年1月文档)。

·参考文献#16：S.Kent和R.Atkinson，″IP AuthenticationHeader，″RFC 2402，199811月。

·参考文献#17：S.Kent和R.Atkinson，″IP EncapsulatingSecurity Payload(ESP)，″RFC 2406，1998年11月。

·参考文献#18：T.Kivinen，″DHCP over IKE″，Internet-Draft，Work in progress，2003年4月。

·参考文献#20：M.Liebsch，A.Singh，H.Chaskar和D.Funato，″Candidate Access Router Discovery″，Internet-Draft，work inProgress，2003年3月(参见例如2003年9月和2003年11月文档)。

·参考文献#21：A.Palekar，D.Simon，G.Zorn和S.Josefsson，″Protected EAP Protocol(PEAP)″，Internet-Draft，Work in Progress，2003年3月(参见″Protected EAP Protocol(PEAP)Version 2，″2003年10月)。

·参考文献#22：B.Patel，B.Aboba，S.Kelly和V.Gupta，″Dynamic Host Configuration Protocol(DHCPv4)Configuration ofIPsec Tunnel Mode″，RFC 3456，2003年1月。

·参考文献#23：J.Puthenkulam，V.Lortz，A.Palekar和D.Simon，″The Compound Authentication Binding Problem″，Internet-Draft，Work in Progress，2003年3月(参见例如2003年10月文档)。

·参考文献#24：R.Seifert，″The Switch Book-The CompleteGuide to LAN Switching Technology″，Wiley Computer Publishing，ISBN 0-471-34586-5。

·参考文献#25：Y.Sheffer，H.Krawczyk和B.Aboba，″PIC，APre-IKE Credential Provisioning Protocol″，Internet-Draft，Work inprogress，2002年10月。

·参考文献#26：H.Tschofenig，A.Yegin和D.Forsburg，″Bootstrapping RFC3118 Delayed Authentication using PANA″，Internet-Draft，2003年6月(参见例如2003年10月文档)。

·参考文献#27：M.Kulkarni，A Patel和K.Leung，″MobileIPv4 Dynamic Home Agent Assignment″，IETF Internet-Draft，2004年1月8日。

发明内容

本发明的优选实施例能够明显改进现有的方法和/或设备。

在某些图解实施例中，提供新颖的系统和方法，其能够例如扩展预认证(例如IEEE 802.1X预认证)的构思以跨越IP网络或子网进行操作。在某些优选实施例中，新颖的体系结构包含2个能够大大改进例如高层切换性能的新机制中的一个或两个。第一个机制被称为″预配置″，其允许移动设备在切换之前预配置候选IP子网中有效的高层信息。第二个机制被称为″虚拟软切换″，其允许移动站甚至在其实际执行到候选IP子网的切换之前通过候选IP子网发送或接收分组。

根据某些实施例，提供一种方法，包含：在移动站被配置用于与当前IP子网通信的同时，用针对新候选IP子网的高层信息预配置移动站。优选地，该方法还包含移动站在执行到该新IP子网的切换之前通过候选IP子网发送或接收分组。

根据某些其它实施例，提供用于使移动站在当前和新子网中的接入点之间进行切换时的中断最少的方法，包含：在与当前子网中的接入点分离之前，获得针对具有单独无线接口的移动站的预认证，以通过新子网中的接入点工作。在某些实施例中，该方法还包含通过IP层进行预授权。

根据某些其它实施例，提供一种方法，包含：当移动站处于当前子网时解析新子网中的接入点的IP地址；和获得针对移动站的预认证以通过当前和新子网工作。在某些实施例中，存在多个新候选子网。优选地，移动站能够与其将来可能移动到或可能不移动到的网络中的一或多个网络实体执行预认证(例如L2认证和高层认证)。在某些实施例中，该方法包含：该解析包含IP地址的动态解析。在某些实施例中，该方法包含：动态解析包含使接入点信标或探测响应包含IP地址。在某些实施例中，该方法包含：该解析包含IP地址的静态解析。在某些实施例中，新子网中的接入点不支持高层预认证，并且经由委托代理(proxy agent)与移动站通信，并且在某些实施例中，新子网中的接入点支持高层预认证，并且与该移动站通信。在一些优选实现中，新子网中的接入点通过使用传递802.1X帧的高层协议与移动远程站点通信。

根据某些其它实施例，提供一种方法，包含：通过根据高层预认证在切换之前预先建立高层上下文，降低移动站的切换延迟。优选地，高层上下文包含客户端网络地址(例如客户端IP地址)和/或类似信息。在某些实施例中，该方法还包含保证用于预先建立高层上下文的消息的安全。在某些实施例中，该方法还包含使用高层认证协议，该协议用于导出用来保护高层预配置消息的加密密钥。在某些实施例中，该方法还包含使用802.1X预认证和基于IP的802.1X来执行层次2预配置。在某些实施例中，该方法还包含使用单个高层认证协议预先建立多个高层上下文。在某些实施例中，该方法还包含使用IKE或IKEv2预先建立多个高层上下文。在某些实施例中，该方法还包含使用PANA和IKE或IKEv2预先建立多个高层上下文。在某些实施例中，该方法还包含在移动站和新子网中的接入点之间建立IPsec隧道，以将针对移动站的预配置IP地址的业务重定向到当前连接的子网。

根据某些其它实施例，提供用于以最少的中断和保持的安全性在不同接入网络的接入点之间执行移动站的切换的方法，包含：在切换之前预先建立移动站的高层上下文，并且安全地将来自或送往预先确定的IP地址的业务重定向到新接入网络。在某些实施例中，该方法还包含在移动站和新接入网络中的接入路由器之间建立IPsec隧道，其中IPsec隧道内部地址被绑定到预先确定的IP地址。在某些实施例中，该方法还包含：新接入网络中的接入路由器被用作临时归属代理，其中客户端设备在该临时归属代理上将其预先确定的IP地址登记为归属地址，并且将物理连接的网络中分配的IP地址登记为转交地址。

根据某些其它实施例，提供一种方法，包含：执行高层预认证、预配置和数据业务重定向，以降低或消除高层切换对接入网络之间移动站的低层切换的定时依赖。根据各种实施例，切换是移动IP切换、VPN切换、OSI网络层切换和/或类似切换。在某些实施例中，该方法还包含比低层切换更早地启动高层切换。在某些实施例中，该方法还包含在低层切换之前完全完成高层切换。

根据某些其它实施例，提供一种方法，包含：通过允许移动设备在切换之前针对接入点中的新接入点发送和接收分组，在邻近网络或子网中的接入点之间执行移动设备的虚拟软切换，以使通信中断最少。在某些实施例中，该方法还包含在低层切换之前执行高层切换。在某些实施例中，该方法还包含进一步使用低层CDMA软切换来减少通信中断。在某些实施例中，该方法还包含通过高层来控制层次2切换定时，使得能够在开始层次2切换之前完成预认证和预配置。在某些实施例中，该方法还包含在虚拟软切换期间使用IPsec隧道进行业务重定向，其中用于IPsec隧道的设备的外部和内部IP地址分别是当前子网中的转交地址和新子网中的转交地址。在某些实施例中，该方法还包含对所有业务使用IPsec隧道。

根据某些其它实施例，提供一种移动通信网络节点，包含：a)收发器；和b)用于针对不同网络或子网中的另一个移动通信网络节点发送或接收网络地址，以在移动通信网络节点和该另一个移动通信网络节点之间进行高层预认证的装置，其中所述节点处于不同网络或子网。在某些实施例中，移动通信网络节点是移动节点，而在其它实施例中，移动通信网络节点是接入点。在某些实施例中，节点还包含用于存储高层上下文的装置，所述高层上下文当节点处于不同网络或子网时用于与其它移动通信网络节点进行安全关联。在某些实施例中，节点还包含用于建立高层上下文的装置，所述高层上下文当节点处于不同网络或子网时用于与其它移动通信网络节点进行安全关联。在某些实施例中，节点还包含用于通过允许节点中的移动节点在切换之前针对其它节点发送或接收业务，从而在不同网络或子网之间执行虚拟软切换的装置。

通过下面结合附图进行的描述可进一步理解各种实施例的上述和/或其它方面、特性和/或优点。各种实施例能够包含和/或排除不同方面、特性和/或优点，如果合适的话。另外，各种实施例能够组合其它实施例的一或多个方面或特性，如果合适的话。有关具体实施例的方面、特性和/或优点的描述不应被解释为针对其它实施例或权利要求的限制。

附图说明

通过举例但非限制性的方式在附图中示出了本发明的优选实施例，其中：

图1是示出IEEE 802.11i预认证的示例性序列的示意图；

图2(A)是演示中间委托代理的使用的图例；

图2(B)是演示支持高层预认证的接入点的使用的图例；

图3和4是示出使用PANA和IKE的组合进行高层预配置的例子的示意流程图，其中在假定配置服务器与接入路由器共同定位的示例性条件下，图3示出了PANA和原始IKE的组合，图4示出了PANA和IKEv2的组合；

图5根据某些示例性和非限制性实施例示出了当不使用高层软切换时(参见上面的时线)和当使用高层软切换时(参见下面的时线)的示意对比时序；

图6示出了演示移动客户端设备在虚拟软切换期间使用IPsec隧道进行业务重定向的第一示例性情形的示意流程图；

图7示出了演示移动客户端设备针对基本上所有或所有业务使用IPsec隧道的第二示例性情形的示意流程图；

图8(A)到8(E)示出了演示使用虚拟软切换的VPN切换的示例性序列的示例性例子；

图9示出了示例性原始分组和具有其IPsec标记并且具有其新IP报头的新IPsec隧道分组；

图10(A)示出了示例性移动IP环境，其中当移动节点从其归属网络移动到外部网络并且获得该外部网络的新CoA时，能够使用虚拟软切换和/或本发明的其它原理；而

图10(B)示出了示例性会话发起协议(SIP)IP电话(VoIP)环境，其中当客户端移动到外部网络并且获得新CoA时，能够使用虚拟软切换和/或本发明的其它原理。

具体实施方式

虽然可以以许多不同形式实施本发明，然而这里描述了若干示例性实施例，应当理解，这里的公开内容应被认为是提供本发明的原理的例子，并且这样的例子的目的不是将本发明限于这里描述和/或这里图解的优选实施例。例如，虽然这里描述了在802.11i和/或其它环境内实现的图解实施例，然而如根据本公开内容所能够明白的，本发明的各方面能够在各种其它环境中实现。

IEEE 802.11i预认证

图1示出了IEEE 802.11i预认证的示例性序列。图1假定移动站已经执行了802.11i认证，并且与第一接入点AP1关联。

如图1中的(1)处所示，移动站通过接收信标发现新接入点。在这点上，当移动站(STA)进入第二接入点AP2的无线覆盖范围，从AP2接收信标帧并且它希望与AP2进行预认证时，它能够向AP1发送EAPOL-Start(基于LAN的可扩展认证协议[EAP])，其中将信标帧中包含的AP2的MAC地址指定为目的MAC地址。作为参考，信标帧允许站点建立和保持无线LAN上的通信。例如，公共信标帧能够有大约五十字节长。信标帧的大约一半能够包含例如公共帧头和循环冗余校验(CRC)字段。类似于其它帧，该头能够包含源和目的MAC地址，以及涉及通信处理的其它信息。信标的帧主体的大约另一半能够例如位于头和CRC字段之间，并且能够在帧主体中携带例如下面的信息：信标间隔(例如，表示信标发送之间的时间量)；时间标签(例如，允许与AP关联的站点间的同步)；服务设置标识符(SSID)(例如，标识特定无线LAN)；支持的速率(例如，具体无线LAN支持的速率)；参数集(例如，关于特定信令方法等等的信息)；能力信息(例如，标识希望属于无线LAN的站点的要求)；和/或业务指示映射(TIM)。

如图1中的(2)处所示，通过当前接入点AP1在移动站和新接入点AP2之间交换802.1X帧(携带有EAP)。在这点上，当前接入点AP1通过例如后台有线LAN向新接入点AP2转发EAPOL-Start帧。新接入点AP2于是接收EAPOL-Start帧，并且通过当前接入点AP1在新接入点AP2和移动站(STA)之间交换后续802.1X帧。

如图1中的(3)处所示，移动站能够例如在切换期间从第一子网等等移动到第二子网等等。

如图1中的(4)处所示，当移动站与新接入点关联时，它能够使用在上述(2)处确定的加密密钥来执行受保护的关联。在这点上，作为成功预认证的结果，在AP2和移动之间也确定了802.11i加密密钥。除非在AP1和AP2之间使用802.11f或IAPP(接入点间协议)(参见例如上面引用的参考文献#12)，否则AP2将需要联系认证或AAA服务器(NB：AAA服务器能够包含处理用于访问计算机资源的用户请求并且提供认证、授权或核计[AAA]服务的服务器程序，并且设备或应用程序可以使用例如RADIUS客户/服务器协议和软件与AAA服务器通信)，以便以和在通过AP1进行初始认证期间采取的方式相同的方式认证移动站。然而，如果EAP(可扩展认证协议-参见例如上面引用的参考文献#3)中使用的认证方法支持PEAP(受保护的EAP-参见例如上面引用的参考文献#21)、EAP-TLS(EAP传送层安全-参见例如上面引用的参考文献#2)和EAP-TTLS(EAP隧道化TLS-参见例如上面引用的参考文献#6)所支持的快速重新连接或会话恢复，则重新认证能够比初始认证更快速。

由于IEEE 802.1X被设计成在LAN内操作，IEEE 802.1X预认证的适用性限于子网内切换-除非将其扩展为按照下述实施例在高层操作。在网络可能根据例如部门或部分边界被分成多个VLAN(虚拟LAN)以提高安全性或减少广播业务的大型企业中，这是显著的限制。如果假定移动站例如在多个VLAN间移动，则支持子网间和子网内预认证会非常有利。

涉及高层预认证的问题

扩展IEEE 802.11i预认证以支持子网间预认证并不简单，更不用说对其进行扩展以便获得本发明各种实施例中可能的各种益处。例如，不能仅仅在IP数据报(NB：数据报或分组，是网际协议所涉及并且网络所传送的消息单元)中封装802.1X帧。在本发明的某些优选实施例中，在实现优选实施例的各方面时克服了若干额外的问题，例如包含：

·解析AP的IP地址的能力：当移动站发现可能与移动站在或不在相同LAN上的AP时，它需要知道该AP是否在相同LAN上。并且，如果AP不在相同LAN上，它需要知道该AP的IP地址以便使用高层协议进行通信。

·支持高层预认证的能力：对于不支持高层预认证的AP，可能需要此支持。在这点上，某些AP可能支持802.11i预认证，但是可能不支持高层预认证。这样的AP假定被预认证的移动站是在相同LAN上。可能有必要允许这样的AP从高层预认证中受益。

·通过IP传递消息的能力：EAP需要其传送协议提供有序的传送。参见例如上面引用的参考文献#3。在这点上，由于IEEE 802 LAN交换机被要求保持顺序不变，IEEE 802.1X满足EAP的有序传送要求。参见例如上面引用的参考文献#24。另一方面，当在高层传递EAP消息时，由于IP层不保持顺序不变，所以IP层上定义的EAP传送协议必须提供有序传送。

·预先建立高层上下文的能力：为了执行子网间切换，移动站不仅需要重新建立层次2上下文，而且移动站需要重新建立高层上下文，所述高层上下文包含例如IP转交地址，以及当使用IP层逐分组保护时移动站和例如接入路由器(AR)之间的IPsec安全关联(SA)。这些高层上下文的建立可能比层次2上下文需要更多时间。因而，在切换之前预先确定这些上下文有助于减少切换延迟和导致的数据损失。由于不使用IEEE 802.1X建立高层上下文，所以需要在高层定义额外的机制以预先确定它们。

·实现进一步性能提高的能力：使用高层预认证预先建立高层上下文的能力能够帮助减少切换延迟和导致的数据损失。然而本发明人发现，如果移动站能够在执行层次2切换之前不仅基于当前上下文而且基于预先建立的上下文发送和/或接收高层分组，则能够实现进一步的性能提高。

在以后几节里提出尤其涉及上述问题的详细解决方案。

解析AP的IP地址

如上所述，由于高层预认证需要跨越多个LAN工作，移动站需要能够与不同LAN中的接入点通信。因而，需要解析AP的IP地址和MAC地址之间的映射。如下所述，在某些情况下，IP地址可以是委托代理的地址。存在2个用于AP解析的优选方案：预配置的解析(例如静态解析)和动态解析。在静态解析中，移动站能够例如在其从每个邻近AP接收信标帧之前获得所述AP的IP地址和MAC地址对的列表。在动态解析中，当移动站从AP接收信标帧等等时，能够例如解析针对AP的映射。在某些实施例中，能够组合两个方案。下面列出能够使用的若干示例性方法。

·在某些实施例中，可以扩展802.11规范，使得信标帧(探测响应等等)能够包含针对AP的MAC地址的IP地址。如上所述，这可以被分类为动态解析。

·在某些实施例中，IETF Seamoby WG(工作组)的CARD(候选接入路由器发现)机制能够被用于这个目的。参见例如上面引用的M.Liebsch，A.Singh，H.Chaskar和D.Funato的″Candidate AccessRouter Discovery″，Internet-Draft，work in Progress，2003年3月。如上所述，这可以被分类为动态解析。

·在某些实施例中，具有传递每个邻近AP的MAC地址和IP地址对的列表的新选项的DHCP(动态主机配置协议)能够被用于这个目的。参见例如上面引用的R.Droms的″Dynamic Host ConfigurationProtocol″，RFC 2131，1997年3月。如上所述，这可以被分类为静态解析。

·在某些实施例中，EAP-TLV(EAP类型-长度-值)方法能够被用于传递每个邻近AP的MAC地址和IP地址对的列表，以用于期望的解析目的。参见例如上面引用的参考文献#21。这个EAP方法通常在例如PEAP(参见Id.)的隧道EAP方法中执行，并且列表可能需要从后台认证服务器中的隧道端点发送，以实现期望的解析目的。如上所述，这个方法可以被分类为静态解析。

·在某些实施例中，通过在用于向移动客户端通知认证结果的消息(即PANA-绑定-请求)中增加新的AVP(属性-值对)，PANA协议能够被用于这个目的。

·在某些实施例中，IEEE 802.1X、PPP(点到点协议)和/或其它链路层认证协议能够被用于这个目的。

在多数优选实施例中，接入点解析应当解析不同管理域中的接入点的MAC和IP地址之间的映射。在考虑这种多域情景时，对于这种域间切换情景，上述第一方案尤其适用。然而，如果移动节点在其通过上述或其它类似方案连接到新网络时记忆每个接入点的IP地址和MAC地址，则其它方案也适用。这些方案也可以用于定义下述配置服务器的IP地址。

除解析AP的IP地址的问题之外，还存在解析的并列问题：a)与AP共同定位或位于AP后面的PANA认证代理的IP地址(即PANA认证代理可以被用于高层预认证)；b)AP的IP前缀(即AP的IP地址可能不足以使客户端知道AP是否与客户端属于相同网络)；和/或c)AP的域名。

为解决除AP的IP地址之外的这些并列问题，也可以和AP的IP地址一起解析AP属于的子网的一或多个IP前缀，与AP共同定位或与AP连接在相同子网中的PANA认证代理的一或多个IP地址，AP的域名，和/或执行高层预认证、高层上下文的预配置和/或虚拟软切换所需的任何其他信息。

IEEE 802.1X代理

如上所示，某些接入点可能支持802.11i预认证，但是可能不支持高层预认证。如图2(A)所示，在某些实施例中，通过引入在接入点和远程移动站之间传递802.1X消息的委托代理，可以使不支持高层预认证的接入点与远程LAN中移动站STA传送IEEE 802.1X帧。例如，委托代理能够包含充当中介的代理服务器。在某些例子中，这种委托代理能够被称为IEEE 802.1X代理。在操作期间，IEEE 802.1X代理和接入点之间的IEEE 802.1X帧传送能够完全基于IEEE 802MAC机制，其中代理使用远程移动站的MAC地址而不是其自身的MAC地址，使得IEEE 802.11i预认证的AP实现能够不经任何改变而工作。代理和移动站之间的IEEE 802.1X帧传送能够基于下面的子章节中讨论的高层传送机制。由于代理看不见从移动站接收的MAC层帧的头中的远程移动站的MAC地址，优选地在高层分组的有效负载中传递MAC地址。

另一方面，如图2(B)所示，如果接入点支持高层预认证，则不需要IEEE 802.1X代理。在这种情况下，这种AP能够使用传递802.1X帧的高层协议直接与远程移动站(STA)通信。

因而，图2(A)和2(B)示出了2个示例性方法，其中图2(A)演示了中间委托代理的使用，而图2(B)演示了支持高层预认证的接入点的使用。因此，在这些实施例的示例性实现中，移动站只需要知道委托代理或AP的IP地址。

基于IP的IEEE 802.1X

如上所述，由于IEEE 802.1X帧传递需要保持顺序不变的EAP(可扩展认证协议)消息，因此简单地通过IP传递IEEE 802.1X帧不能满足EAP传送要求。因此，为了在IP层上传递802.1X帧，能够使用下面列出的一或多个方案或其它适当方法。

·在某些实施例中，PANA(用于对网络接入进行认证的协议)能够被用于通过UDP(用户数据报协议)传递EAP消息。参见例如上面引用的D.Forsberg，Y.Ohba，B.Patil，H.Tschofenig和A.Yegin的″Protocol for Carrying Authentication for Network Access(PANA)″，Internet-Draft，Work in progress，2003年3月。由于PANA在性质上是设计用于传递EAP消息的，它具有保持顺序不变的机制。

·在某些实施例中，也在UDP上定义的IKEv2(网际密钥交换，版本2)支持传递EAP消息，以支持建立IKE安全关联的各种认证方法。由于IKEv2定义了可靠消息传送机制，IKEv2满足有序传送要求。

·在某些实施例中，新协议能够被定义以通过可靠的传送，例如TCP来传递802.1X帧。

在某些优选实施例中，后一种方案(即定义新协议)能够更加适合于要求，因为考虑到只是以保持EAP消息顺序的方式传递IEEE802.1X帧的要求，其它2个方案在功能上可能有冗余。

预先确定高层上下文

预认证的一个目的包含为客户端设备提供在其执行到目标网络的切换之前预先确定要用于目标接入网络的上下文的手段。根据这里的某些优选实施例，预先确定的上下文不仅包含低层上下文，而是包含例如层次2上下文(例如数据加密密钥、802.11i加密密钥和/或类似信息)的低层上下文，和例如客户端IP地址、IP前缀、子网掩码、路由器地址、DNS(域名系统)服务器地址、IPsec密码(如果IPsec被用于接入网络中的数据分组保护)和/或等等的高层上下文。除其它以外，这种新颖的高层上下文的预先建立允许得到如下面详细列出的根本优点。这些上下文能够被例如存储(例如临时)在移动站等等的例如电磁存储设备、RAM、高速缓冲存储器等等中。

在本公开中，预先确定上下文也可以被称为″预配置″。虽然能够通过例如使用802.1X预认证和基于IP的802.1X来进行层次2预配置，然而需要为高层预配置定义一种机制。另一方面，在客户端设备和配置服务器之间需要保证用于高层预配置的信令消息的安全，以防止未经授权的客户端例如执行预配置或对预配置消息交换启动DoS(拒绝服务)攻击。由于在客户端和配置服务器之间不存在先前配置的SA(安全关联)的漫游环境中可能出现此情况，优选地，以用于根据作为成功802.1X认证的结果在移动站和接入点之间确定的会话密钥导出802.11i加密密钥的类似方式，动态导出用于保证高层预配置信令的安全的SA。然而，IKEv2不为客户端提供动态发现IKEv2服务器的能力。

虽然能够使用CARD(参见例如上面引用的参考文献#20)预先确定客户端IPv6地址和IPv6前缀，然而优选方案包含使用能够被用于预先确定基本上所有或所有这些上下文的单个协议来预先确定上下文。在这点上，IKE或IKEv2能够被用作示例性的协议，该协议在客户端设备被连接到另一个网络的同时支持客户端设备的安全远程配置。参见例如上面引用的参考文献#9。对于IKE，对IKE的扩展定义了标准机制，其被用于在客户端主机和共同定位在远程IPsec网关上的DHCP代理之间传递DHCP(动态主机配置协议)消息。参见例如上面引用的参考文献#22。对于IKEv2，IKEv2缺省具有配置机制，并且允许扩展为通过IKEv2消息传递DHCP消息。参见例如上面引用的参考文献#18。IKE支持实体认证，但是假定通信对等方具有要求相互认证的预先共享的秘密密钥或数字证书。因而IKE对于漫游环境不是所期望的。另一方面，通过可选地在第一CHILD_SA交换(见下文)期间传递EAP消息以支持漫游客户端的认证，IKEv2支持更加灵活的认证。然而这会涉及至少两次基于公开密钥、高权重的密钥交换(一次是确定IKE_SA(见下文)，另一次是确定EAP主会话密钥)，以处理密码密钥绑定问题。参见例如上面引用的参考文献#23。

作为参考，IPsec(IP安全)能够对IP数据报提供例如保密、数据完整性、访问控制和数据源认证。通过保持IP数据报的源(例如数据传输发送方)和宿(例如数据传输接收方)之间的共享状态，提供这些服务。这种状态尤其定义了提供给数据报的特定服务(其中加密算法将被用于提供该服务)，以及用作该加密算法的输入的密钥。参见例如参考文献#15。IPsec的基本思路是在发送之前标记分组，并且在接收时使用标记。IPsec标记处理涉及被加到要保护的分组中的某些字段。出现说明目的，图9示出了示例性原始分组和具有其IPsec标记并且具有其新IP报头的新IPsec隧道分组。在IPsec中，2方进入称作安全关联(SA)的逻辑关系，其中它们同意涉及使用的算法和密钥的参数。网际密钥交换(IKE)协议能够动态建立这种共享状态。如上所示，当前存在2个版本的IKE，即IKE和IKEv2。IKE在2方之间执行相互认证，并且建立IKE安全关联，其包含能够用于为ESP(封装安全有效负载)(参见例如RFC 2406)和/或AH(认证头)(例如参见RFC2402)有效建立安全关联的共享保密信息，和用于保护SA的一组加密算法。发起方能够通过列出所支持的算法来建议一或多套(即用于保护SA的算法全集)，所列表的算法能够以混合和匹配方式被合并成套。

作为进一步参考，IKEv2产生称作″IKE_SA″的安全关联。通过IKE_SA建立的用于ESP和/或AH的安全关联被称作″CHILD_SA″。参见例如参考文献#15。IKE通信包含一对消息：请求和响应。该对被称作″交换″。IKE消息流包含后跟响应的请求。请求方的职责是保证可靠性。如果未在超时间隔内接收到响应，则请求方重发请求(或放弃连接)。IKE会话的第一请求/响应协商IKE_SA的安全参数，发送现时信息(nonce)，和发送Diffie-Hellman值。初始交换(即请求和响应)被称作IKE_SA_INIT。称作IKE_AUTH的第二请求和响应传送身份，证明对应于2个身份的秘密的知识，并且为第一AH和/或ESP CHILD_SA建立SA。

作为进一步的参考，IKE包含2个不同阶段。第一阶段(ph.1)涉及在发送方和接收方之间建立受保护环境(即安全关联)以保护用于以后数据传送阶段的认证和加密参数的协商。第二阶段(ph.2)涉及协商用于以后数据传送阶段的保护参数。通过这种方式，除其它以外，参数的协商也可以受保护。

在某些实施例中，有利的方案包含使用类似于例如PANA(参见例如上面引用的参考文献#7)的高层网络接入认证协议，其支持客户端发现一组实施点或配置服务器(或在某些实施例中的IKEv2服务器)。虽然PIC(预IKE证书提供协议)被设计用于建立IKE证书(参见例如上面引用的参考文献#25)，然而PIC不具有解决密码绑定问题的机制。虽然在某些PANA设计中可以假定PANA认证代理必须与客户端设备在相同IP链路上，然而这主要是用于简化PANA认证代理发现。然而，通过例如在多个IP链路上配置IP中IP隧道(IP-in-IPtunnel)以构造PANA认证代理和客户端设备之间的逻辑IP链路，或直接在客户端和PANA认证代理之间运行PANA而不使用IP中IP隧道，能够将PANA扩展为跨越多个IP链路工作。

尤其是，PANA不仅能够用于导出用于预先确定高层上下文的IKE证书，而且能够用于导出用于DHCP认证的证书。参见例如上面引用的参考文献#4。IKE和IKEv2可能不适于不具有任何IP地址的移动客户端设备的配置，这通常是移动客户端设备最初连接到接入网络时的情形。首先应当注意，在接入点和移动站之间用802.11i密码保护DHCP消息交换并不真正防止例如链路层上已经通过认证的内部知情方发出伪造DHCP消息。因此，可能出现这样的情况，即客户端设备能够在不同层被认证两次，其中一次通过IEEE 802.1X进行，另一次通过PANA进行。在这种情况下，由基于TLS(传送层安全)的EAP认证方法，例如PEAP(参见例如上面引用的参考文献#21)、EAP-TLS(参见例如上面引用的参考文献#2)和EAP-TTLS(参见例如上面引用的参考文献#6)支持的快速重新连接或会话恢复机制，能够以使得相同TLS会话能够被重用于后台认证服务器和移动客户端设备之间层次2认证和高层认证以减少认证业务量和延迟的方式，跨越不同认证层工作。

图3和4示出了使用PANA和IKE的组合的高层预配置的某些例子。具体地，在假定配置服务器共同定位在接入路由器上的示例性条件下，图3示出了PANA和原始IKE的组合，图4示出了PANA和IKEv2的组合。如图所示，能够在移动客户端设备和新子网中的接入路由器之间建立被绑定到预配置的IP地址的IPsec隧道。这种IPsec隧道例如能够被用于将针对移动客户端设备的预配置的IP地址的业务重定向到当前连接的网络，以减少切换延迟和导致的数据损失(例如下面部分中描述的)。

对于图3中示出的示例性例子，pAR标识当前接入路由器，nAP标识新接入点，nAR表示新接入路由器，MN表示移动节点(通常也可以被称为例如移动站、移动设备或移动客户端)。在图3中，索引(1)说明在移动节点和新AP之间使用基于的IP的802.1X(用于L2方面(如果有的话)的预配置)。索引(2)说明了使用用于引导IKE的PANA，在该点之后移动节点建立IKE证书。索引(3)说明了执行IKE阶段1和2，其中使用pCoA作为发起方的地址，例如使用0.0.0.0作为快速模式ID，此点之后建立DHCP-SA。箭头A所在的点处的隧道是IPsec隧道。在这个IPsec隧道A上进行配置过程。IPsec隧道A涉及通过当前接入路由器pAR的安全隧道。在箭头B所在的点处，移动节点具有由新接入路由器nAR分配的IP地址，并且现在知道例如新子网中的IP地址和上下文。对此，图3示出了示例性地址200.1.0.100。另外，这里移动节点仍然具有涉及当前子网的这种信息。索引(4)则说明了执行IKE阶段2，其中使用nCoA作为发起方的快速模式ID。在箭头C所在的点处，IPsec安全关联已经建立，并且移动节点MN已经被配置成使用新子网，同时它并行保留当前子网的配置。接着，如图所示，能够为IPsec隧道B(nCoA--pCoAnAR)表示的重定向的业务建立IPsec隧道。

对于图4中示出的示例性例子，pAR再次标识当前接入路由器，nAP再次标识新接入点，nAR再次表示新接入路由器，MN再次表示移动节点。在图4中，索引(1)说明在移动节点和新AP之间使用基于的IP的802.1X(用于L2方面(如果有的话)的预配置)。索引(2)说明了使用用于引导IKE的PANA，在该点之后移动节点建立IKE证书。索引(3)说明了IKE版本2IKE_SA_INIT和IKE_AUTH交换，其中使用pCoA作为发起方的地址，在IKE_AUTH交换中使用配置有效负载或运行DHCP。接着，如图所示，建立IP安全关联(SA)，并且获得新的转交地址nCoA。因而，在示出的点C2处，移动客户端设备已经被配置成使用新子网，同时它仍然保留当前子网的配置。接着，如图所示，能够为IPsec隧道(nCoA--pCoAnAR)表示的重定向的业务建立IPsec隧道。

尤其是，这个子部分中用于预先确定上述高层上下文的方法既不依赖也不需要网络中802.1X及其预认证的基础。

应当理解，在优选实施例中，移动客户端能够与它将来可能移动到或可能不移动到的网络中的一或多个网络实体执行预认证(例如L2认证和高层认证)。另一方面，在优选实施例中，仅与移动客户端将移动到的网络中的一个网络实体执行虚拟软切换。

虚拟软切换

如上所述，将例如IKE或IKEv2等等用于预先确定高层上下文允许来自或送往预先确定的客户端设备(例如移动站)的IP地址的数据业务被安全地重定向到客户端设备连接到的接入网络。例如通过在客户端设备和目标网络中的AR(接入路由器)之间建立IPsec隧道，能够实现这点，其中该设备的IPsec隧道内部地址被绑定到预先确定的IP地址。

这相当于在客户端设备和接入路由器之间具有基于IPsec的VPN(虚拟专用网)隧道。作为参考，VPN允许在通过安全过程和隧道协议保持隐私的同时使用例如因特网的共享公共基础设施。

也可以以目标网络中的AR被用作临时归属代理的方式将例如移动IP或移动IPv6用于业务重定向，其中针对该临时归属代理，移动客户端设备将其预先确定的IP地址登记为归属地址，并且将物理连接的网络中分配的IP地址登记为转交地址。然而，这个方案应当仍然使用例如IKE或IKEv2等等进行目标网络中的归属地址的预配置(参见例如上面引用的参考文献#27)，而以上讨论的基于IPsec的解决方案进行预配置和数据业务重定向。作为参考，如上所述，移动IP通常为每个移动节点分配其归属网络上的归属地址，以及标识该设备在网络及其子网内的当前位置的转交地址(CoA)。当设备被移动到不同网络时，它接收新的转交地址。

在各种可选实施例中，用于客户端设备和AR之间的业务重定向的IPsec隧道不需要是加密的隧道，而例如如果数据分组的加密处理成为问题，则它应当用重放保护进行完整性保护。在这种情况下，IPsec隧道能够使用例如NULL加密算法，其中有或者没有逐分组认证。参见例如上面引用的R.Glenn和S.Kent的″The Null EncryptionAlgorithm and Its Use With IPsec″，RFC 2410，1998年11月。

除其它以外，预认证、预配置和后续数据业务重定向的组合能够消除高层切换对低层切换的定时依赖(例如在移动IP切换、VPN切换等等的情况下)，使得甚至能够在执行低层切换之前执行高层切换。这个提供早执行高层切换的技术允许进行″虚拟软切换″，其中移动单元能够在切换之前通过候选网络或子网发送或接收分组等等。通过使用按照优选实施例的虚拟软切换技术，可以使切换期间的通信中断最小化至低层切换所导致的范围，或在某些情况下，甚至在例如低层支持CDMA软切换的情况下消除通信中断。

在优选实施例中，虚拟软切换假定能够通过上层来控制层次2切换定时，使得能够在开始层次2切换之前完成预认证和预配置。在这点上，多数无线LAN卡驱动程序为应用程序提供API(应用程序接口)来在具有不同SSID(服务设置标识符)的多个AP中选择AP。

如上所述，CDMA软切换或跨多个接口的切换能够提供与虚拟软切换类似的功能。然而，对于基本上所有类型的客户端设备，虚拟软切换机制均能够工作。因而，虚拟软切换机制具有根本的优点。

在这点上，图5根据某些示例性和非限制性实施例示出了当不使用高层软切换时(参见上面的时线)和当使用高层软切换时(参见下面的时线)的可以发现的对比时序。这些示意时线仅用于示例性目的，并且不应被解释为对各种实施例的特定定时等等的限制。例如，应当理解，各个步骤可以具有子步骤，并且这些子步骤不必同时进行。

参照上面的示例性时线，如图所示，当在新子网中检测到新AP时(例如通过信标或探测响应等等)，序列开始。接着，开始层次2预认证和预配置。接着，完成层次2预认证和预配置。接着，开始层次2切换。接着，完成层次2切换和进行层次2关联。在完成层次2切换之后的这些延迟时间处，开始层次3认证和配置。接着，在进一步延迟之后，完成层次3认证。接着，开始层次3/层次4切换。在短时间之后，完成层次3/层次4切换。根据这个示例性时线应当看出，这个方法产生显著的关键时间段，在其中会发生通信延迟和通信中断。

参照下面的示例性时线，如图所示，当在新子网中检测到新AP时，序列以类似方式开始。接着，开始层次2和高层(即高于层次2的层次)预认证和预配置。除其它以外，高层预认证和预配置的早启动能够导致时间节省和其它优点(例如如上所述)。接着，完成层次2和高层预认证和预配置。除其它以外，高层预认证和预配置的早完成能够导致进一步时间节省和其它优点(例如如上所述)。再次地，应当理解，这是示例性、示意性和非限制性的时线。除其它以外，可以在各种时间进行层次2和高层预认证和预配置。接着，开始层次3/层次4切换(NB：如上所示，能够实现各种其它实施例，这些实施例不具有早层次3和类似切换，同时仍然获得这里讨论的其它优点)。除其它以外，层次3和类似切换的早启动能够导致进一步时间节省和其它优点(例如如上所述)。接着，层次3和类似切换能够完成。层次3和类似切换的这种早完成能够被用于有效提供例如虚拟软切换(如上所述)。除其它以外，层次3和类似切换的早完成能够导致进一步时间节省和其它优点(例如如上所述)。接着，如图所示，能够开始层次2切换。并且，在短时间段之后，能够完成层次2切换。根据这个示例性时线应当看出，这个后一种方法导致最小关键时间段。

在某些优选实施例中，对于基于IPsec的虚拟软切换存在2个示例性情况。第一个示例性情形基于基本上使用IPsec保护来保护重定向的业务(即保护重定向期间的业务)。第二个示例性情形基于使用IPsec保护来基本上保护所有业务(即保护重定向期间和在移动到新子网之后的业务)。

仅对重定向的业务使用IPsec的虚拟软切换

图6示出了其中移动客户端设备在虚拟软切换期间使用IPsec隧道进行业务重定向的第一示例性情形。在这个例子中，IPsec隧道被用于切换期间的保护，而在切换之后，如果需要，可以使用另一形式的保护(例如层次2保护)，例如加密等等。在图6示出的例子中，设备的用于IPsec隧道的外部和内部IP地址分别是当前子网中的转交地址(pCoA)和新子网中的转交地址(nCoA)。参照图6，当设备准备执行层次2切换时，它应当在执行层次2切换之前删除建立的IPsec隧道，使得通过设备将与之关联的新AP直接传递针对新IP地址的后续数据业务。如果没有这个操作，送往nCoA的业务会继续通过旧AP传递，即使是在完成层次2切换之后。另外，新接入路由器(nAR)应当防止分配给移动设备的nCoA被未经授权地用于网络接入，或防止被分配给其它设备，即使是在删除隧道之后，以便避免通过重用nCoA来进行能够的服务盗用。例如通过利用宽限时间段来延迟过程以清除nCoA的授权状态并且释放CoA的租用，可达到此目的。

参照图6示出的图解实施例，在移动客户端设备只能使用当前子网的点处，如索引(1)处所示，能够执行高层预授权和预配置(如上所述)。接着，如图所示，能够为IPsec隧道(nCoA--pCoAnAR)表示的针对nCoA的重定向的业务建立IPsec隧道。如图所示，在某些使用移动IP的实施例中，这也可以被用于移动IP登记。这时，已经建立了IPsec安全关联。接着，如索引(2)处所示，删除IPsec隧道并停止重定向。这可以例如使用IKE来进行。接着，完成层次2切换。这里，如索引(3)处所示，移动客户端设备只能使用新子网。接着，如索引(4)处所示，在新AR和移动客户端之间执行针对nCoA的直接业务。

对所有业务使用IPsec的虚拟软切换

图7示出了其中虚拟软切换对所有业务使用IPsec隧道的第二个示例性情形。通过这种方式，通过在切换期间，甚至在切换之后提供IPsec隧道保护，能够实现高层保护。在这个第二例子中，设备的用于新子网的IPsec隧道的外部和内部IP地址是用于新子网的设备的IP地址(参见例如图7示出的IPsec隧道B)。如图7所示，水平圆柱表示IPsec隧道。在虚拟软切换期间，建立另一IPsec隧道(例如图7示出的交叉阴影线IPsec隧道A)。设备的用于IPsec隧道A的外部和内部IP地址能够与前一部分中描述的用于IPsec隧道的外部和内部IP地址相同。优选地，通过在后一IPsec隧道上运行IKE或IKEv2来建立新子网的IPsec隧道。通过这种方式，除其它以外，可以实现的某些能够优点能够包含：(i)始终或基本上始终能够为移动客户端提供基于IPsec的保护，从而增强网络层安全性；和/或(ii)转交地址的生命周期能够基本上与IPsec隧道的生命周期同步。

当设备准备执行层次2切换时，它应当在执行层次2切换之前删除后一IPsec隧道，使得能够通过移动设备将与之关联的新AP直接传递用于传递针对新转交地址的数据业务的IPsec隧道B。

在图7示出的图解实施例中，在移动客户端设备只能通过表示为IPsec隧道(pCoA--pCoApAR)的现有IPsec隧道使用当前子网的点处，如索引(1)处所示，能够执行高层预授权和预配置(如上所述)。接着，如图所示，能够如IPsec隧道A(nCoA--pCoAnAR)所示建立IPsec隧道A。这里，这可以涉及例如在IPsec隧道SA上使用IKE(使用nCoA作为发起方的地址)。接着，如图所示，能够为IPsec隧道B(nCoA--nCoAnAR)表示的针对nCoA的重定向的业务建立IPsec隧道B。如图所示，在某些涉及移动IP的实施例中，这也可以被用于移动IP登记。这里，移动客户端能够使用当前和新子网。接着，如索引(3)处所示，删除IPsec隧道A并停止重定向。这可以例如使用IKE来进行。接着，完成层次2切换。这里，如索引(3)处所示，移动客户端设备只能使用新子网。接着，如索引(4)处所示，在新AR和移动客户端之间使用IPsec隧道B执行针对nCoA的直接业务。接着，能够在之后的时间点重复这个处理，以完成另一新接入点处的另一切换。

切换回到前一接入点

在移动客户端设备完成到目标网络的切换之后，可能存在客户端设备需要切换回到前一网络的某些情况。为了避免重新建立针对前一网络的上下文，优选地，客户端设备在完成新网络连接之后将前一上下文存储或缓存一个时间段。在某些优选实施例中，这个向后切换能够执行如下：

·如果移动客户端设备缓存针对前一网络的上下文以便向后切换，它不需要重新执行上下文的预配置。例如，它能够建立到前一AR的IPsec隧道，其中将用于前一网络的缓存的IP地址指定为内部IP地址，而不是请求新IP地址。否则，它会像最初连接时那样重新执行预认证和预配置，并且执行虚拟软切换。

·一旦当前网络中的移动客户端设备建立了到前一AR的IPsec隧道，通过该隧道传递业务。客户端设备建立到前一AR的另一IPsec隧道，其中前一IP地址被用作外部IP地址(即如果设备仍然不具有它)。业务将首先被放在后一隧道中，接着后一隧道将被放在前一隧道中。当客户端设备准备执行层次2切换时，它删除前一IPsec隧道以停止重定向，如上所述。

用于VPN切换的虚拟软切换

在某些示例性应用中，虚拟软切换技术能够被应用于VPN切换，其中能够改变客户端设备的VPN隧道端点IP地址。然而，当移动IP正在VPN上运行并且VPN隧道端点IP地址是客户端设备的归属地址时，端点IP地址没有变化，因而能够从VPN切换中排除这个情形。下面讨论2个处理VPN切换的示例性方案。

在第一个示例性方案中，每个VPN信令协议能够被设计为允许VPN客户端更新其端点IP地址，而不重新建立针对新端点IP地址的新VPN。例如，IKEv2允许重用Diffie-Hellman指数以减少更新VPN隧道的端点IP地址的信令延迟。作为参考，Diffie-Hellman密钥一致协议是由Diffie和Hellman在1976年开发的众所周知的协议，并且允许2个用户在没有任何先前秘密的情况下在非安全的介质上建立和共享私有密钥。

在第二个示例性方案中，能够以和针对用于旧端点IP地址的VPN隧道所做的相同的方式针对新端点IP地址建立另一VPN隧道。如果不使用虚拟软切换机制，则由于不能进行新VPN隧道的建立，直到在客户端设备完成L2切换到新网络之后，并且一旦L2切换完成，则旧VPN隧道不再可用，因此这个方案导致显著的通信中断时间段。相对比地，当使用虚拟软切换时，客户端设备能够在它执行到新网络的L2切换之前建立新VPN隧道并使用它，并且它也可以同时使用旧VPN隧道。在性能方面，这个解决方案具有显著的优点，例如使VPN切换期间的通信中断最少的优点。另外，该解决方案不需要在VPN隧道之外运行移动IP。结果，除其它以外，能够减少数据分组封装开销(即在虚拟软切换的时间段期间)。另外，解决方案能够有利地避免损害安全性。

图8(A)到8(E)示出了这个第二示例性方案的示例性例子，并且演示使用虚拟软切换的VPN切换的示例性序列。在这点上，图8(A)描述了预认证和预配置(包含到nAR的IPsec隧道的建立)的第一和第二步骤(如(1)和(2)处所示)。图8(B)描述了第三步骤，包含(如(3)处所示)通过到nAR的IPsec隧道建立新VPN(nVPN)隧道。图8(C)描述了第四步骤(如(4)、(4′)处所示)，包含删除旧VPN隧道(在需要的情况下，可以包含执行内部移动绑定更新)。图8(D)描述了用于切换到新子网的第五和第六步骤，如(5)处所示，包含删除到nAR的IPsec隧道，并且如(6)处所示，包含切换pAR到nAR。并且，图8(E)描述了表示VPN切换的完成的最终阶段。

优选实施例的各种应用

根据本发明应当理解，能够在各种环境和应用中使用优选实施例的一或多个方面。例如，能够在任何类型的无线应用切换环境中使用一或多个方面，在该环境中，移动设备能够获得新网络地址(例如IP地址或转交地址)和针对新网络或子网的新高层上下文，同时移动设备与当前网络或子网通信(例如位于当前网络或子网内)。

例如，能够在任何适当的应用中使用虚拟软切换，例如在无线因特网服务提供商(WISP)环境、VPN环境、移动IP环境、IP电话(VoIP)环境等等中。例如，图10(A)示出了示例性移动IP环境，其中当移动节点从其归属网络移动到外部网络并且获得该外部网络的新CoA时，能够使用虚拟软切换和/或本发明的其它原理。作为另一例子，图10(B)示出了示例性会话发起协议(SIP)IP电话(VoIP)环境，其中当客户端移动到外部网络并且获得新CoA时，能够使用虚拟软切换和/或本发明的其它原理。通过这种方式，除其它以外，能够使与这些切换相关的延迟最小。例如参见Wireless and the Mobile Internet，S.Dixit和R.Prasad，Artech House Publishers，2003，362页(″与[SIP]相关的延迟会包括若干因素，例如由于…移动站的IP地址获得导致的延迟″)，这里参考引用了全部所述公开内容。

本发明的范围

虽然这里描述了本发明的图解实施例，然而本发明不局限于这里描述的各种优选实施例，本发明包含本领域技术人员根据本发明能够理解的具有等同要素、修改、省略、组合(例如各个实施例的各方面的组合)、调整和/或变化的任何实施例。权利要求中的限定应当根据权利要求中使用的语言作出宽泛的解释，并且不限于在当前说明书中或在申请的审理期间描述的例子，这些例子应被解释为非排它性的。例如，在本公开中，术语″优选地″是非排它性的，并且表示″优选地，但不局限于″。在本公开中，以及在本申请的审理期间，仅在对于特定权利要求限定，该限定中出现所有以下条件的情况下使用装置加功能或步骤加功能的限定：a)清楚地记载″用于…的装置″或″用于…的步骤″；b)清楚地记载相应功能；和c)未记载结构、材料或支持该结构的操作。在本公开中，以及在本申请的审理期间，术语″本发明″或″发明″可以被用作对本公开内一或多个方面的引用。本发明或发明的表述不应被不适当地解释为关键程度的标识，不应被不适当地解释为适用于所有方面或实施例(即应当理解，本发明具有若干方面和实施例)，并且不应被不适当地解释为限制申请或权利要求的范围。在本公开中，以及在本申请的审理期间，术语″实施例″能够用于描述本发明的任何方面、特性、过程或步骤、其任何组合、和/或其任何部分、等等。在某些例子中，各个实施例可以包含重叠特性。在本公开中，可以使用以下简称：″例如″表示″例如″，″NB″表示″注意″。

Claims

1.一种用于移动设备在接入点之间的无缝切换的方法，包括：在移动站被配置用于与当前IP子网通信的同时，用针对至少一个新候选IP子网的高层信息预配置所述移动站。

2.如权利要求1所述的方法，还包含在执行到所述至少一个新IP子网中的第一IP子网的切换之前，移动站通过候选IP子网发送或接收分组。

3.一种用于使移动站在当前和新子网中的接入点之间进行切换时的中断最少的方法，包括：在与当前子网中的接入点分离之前，获得针对具有单独无线接口的移动站的预认证，以通过至少一个新子网中的接入点工作。

4.如权利要求3所述的方法，还包含通过IP层进行所述预授权。

5.如权利要求4所述的方法，还包含通过IP传递802.1X。

6.一种方法，包括：

当移动站处于当前子网时解析新子网中的接入点的IP地址；和

使用所述IP地址获得针对移动站的预认证，以通过当前和新子网工作。

7.如权利要求6所述的方法，其中所述解析包含IP地址的动态解析。

8.如权利要求7所述的方法，其中动态解析包含使接入点信标或探测响应包含IP地址。

9.如权利要求7所述的方法，其中动态解析包含使用CARD机制进行动态解析。

10.如权利要求6所述的方法，其中所述解析包含IP地址的静态解析。

11.如权利要求10所述的方法，其中所述静态解析包含使用DHCP传递至少一个邻近AP的MAC地址和IP地址对的列表。

12.如权利要求10所述的方法，其中所述静态解析包含使用EAP-TLV传递至少一个邻近接入点的MAC地址和IP地址对的列表。

13.如权利要求6所述的方法，其中新子网中的所述接入点不支持高层预认证，并且通过委托代理与移动站通信，所述IP地址是所述委托代理的。

14.如权利要求13所述的方法，其中委托代理使用移动站的MAC地址。

15.如权利要求13所述的方法，其中新子网中的所述接入点通过委托代理向移动站传送IEEE 802.1X帧。

16.如权利要求13所述的方法，其中在高层分组的有效负载中传递移动站的MAC地址。

17.如权利要求6所述的方法，其中新子网中的所述接入点支持高层预认证并且与移动站通信。

18.如权利要求17所述的方法，其中新子网中的所述接入点通过使用传递802.1X帧的高层协议与移动远程站点通信。

19.如权利要求18所述的方法，还包含传递802.1X帧和保持EAP消息的顺序不变。

20.如权利要求18所述的方法，还包含使用PANA传递EAP消息。

21.如权利要求18所述的方法，还包含使用IKEv2传递EAP消息。

22.如权利要求18所述的方法，还包含使用新定义的协议通过可靠传送来传递802.1X帧。

23.如权利要求22所述的方法，其中该可靠传送使用TCP。

24.一种方法，包括通过根据高层预认证在切换之前预先建立高层上下文来减少移动站的切换延迟。

25.如权利要求24所述的方法，其中所述高层上下文包含新网络中的客户端IP地址。

26.如权利要求25所述的方法，其中所述高层上下文包含新网络的网络地址。

27.如权利要求26所述的方法，其中所述高层上下文包含新网络的子网掩码。

28.如权利要求24所述的方法，还包含使用于预先确定高层上下文的消息安全。

29.如权利要求28所述的方法，还包含使用高层认证协议导出用来保护高层预配置消息的加密密钥。

30.如权利要求24所述的方法，还包含使用802.1X预认证和基于IP的802.1X来执行层次2预配置。

31.如权利要求24所述的方法，还包含使用单个高层认证协议预先建立多个高层上下文。

32.如权利要求31所述的方法，还包含使用IKE或IKEv2预先建立多个高层上下文。

33.如权利要求31所述的方法，还包含使用PANA和IKE或IKEv2预先建立多个高层上下文。

34.如权利要求24所述的方法，还包含在移动站和新子网中的接入点之间建立IPsec隧道，以将针对移动站的预配置IP地址的业务重定向到当前连接的子网。

35.一种用于以最少的中断和保持的安全性在不同接入网络的接入点之间执行移动站的切换的方法，包括：在切换之前预先建立移动站的高层上下文，并且安全地将来自或送往预先确定的IP地址的业务重定向到新接入网络。

36.如权利要求35所述的方法，还包含在移动站和新接入网络中的接入路由器之间建立IPsec隧道，其中IPsec隧道内部地址被绑定到预先确定的IP地址。

37.如权利要求35所述的方法，其中新接入网络中的接入路由器被用作临时归属代理，其中客户端设备在该临时归属代理上将其预先确定的IP地址登记为归属地址，并且将物理连接的网络中分配的IP地址登记为转交地址。

38.一种方法，包括：执行高层预认证、预配置和数据业务重定向，以降低或消除高层切换对接入网络之间移动站的低层切换的定时依赖。

39.如权利要求38所述的方法，其中所述高层切换是移动IP切换。

40.如权利要求38所述的方法，其中所述高层切换是VPN切换。

41.如权利要求38所述的方法，其中高层切换包含OSI网络层切换。

42.如权利要求38所述的方法，还包含比低层切换更早地启动高层切换。

43.如权利要求42所述的方法，还包含在低层切换之前完全完成高层切换。

44.一种方法，包括：通过允许移动设备在切换之前针对所述接入点中的新接入点发送和接收分组，在邻近网络或子网中的接入点之间执行移动设备的虚拟软切换，以使通信中断最少。

45.如权利要求44所述的方法，还包含在低层切换之前完全执行高层切换。

46.如权利要求44所述的方法，还包含使用低层CDMA软切换来进一步减少通信中断。

47.如权利要求44所述的方法，还包含通过高层来控制层次2切换定时，使得能够在开始层次2切换之前完成预认证和预配置。

48.如权利要求44所述的方法，还包含在虚拟软切换期间使用IPsec隧道进行业务重定向，其中设备的用于IPsec隧道的外部和内部IP地址分别是当前子网中的转交地址和新子网中的转交地址。

49.如权利要求48所述的方法，还包含在执行层次2切换之前删除建立的IPsec隧道。

50.如权利要求44所述的方法，还包含对所有业务使用IPsec隧道。

51.如权利要求50所述的方法，还包含在执行层次2切换之前删除建立的IPsec隧道。

52.如权利要求44所述的方法，其中所述移动设备是移动电话。

53.如权利要求44所述的方法，其中所述移动设备是移动计算机。

54.如权利要求44所述的方法，其中所述移动设备是PDA。

55.一种移动通信网络节点，包括：

a)收发器；

b)用于针对不同网络或子网中的另一个移动通信网络节点发送或接收网络地址，以在所述移动通信网络节点和所述另一个移动通信网络节点之间进行高层预认证的装置，其中所述节点处于不同网络或子网。

56.如权利要求55所述的移动通信节点，其中所述移动通信网络节点是移动节点。

57.如权利要求55所述的移动通信节点，其中所述移动通信网络节点是接入点或路由器。

58.如权利要求56所述的移动通信节点，还包含用于存储高层上下文的装置，所述高层上下文当所述节点处于不同网络或子网时用于与所述另一移动通信网络节点进行安全关联。

59.如权利要求56所述的移动通信节点，还包含用于与所述另一移动通信网络节点建立高层上下文的装置，其中所述节点处于不同网络或子网。

60.如权利要求59所述的移动通信节点，还包含用于通过允许所述节点中的移动节点在切换之前针对所述节点中的其它节点发送或接收业务，从而在不同网络或子网之间执行虚拟软切换的装置。