一種保障移動節點安全通信的方法

2023-05-05 12:06:26 2

專利名稱：一種保障移動節點安全通信的方法
技術領域：
本發明涉及網絡安全技術，尤指 一種保障移動節點安全通信的方法。
背景技術：
下一代網絡(NGN, Next Generation Network)是通過通信實體之間的 IP連接來承載語音、圖像和數據等多種電信業務的融合網絡。NGN業務基 於多協議標籤交換(MPLS， Multiprotocol Label Switching )網絡的移動性控 制和傳輸功能是目前研究的一個熱點。MPLS提供了信令和傳輸機制用以支 持服務質量(QoS),流量工程和虛擬專用網(VPN)功能。目前，大多數 的行動網路已經過渡到使用IP技術進行傳輸，並且大多數的IP路由器都支 持MPLS功能。
在行動網路環境中，移動節點(MN)往往通過無線鏈;洛與網絡相連， 與這些接入鏈路相連的標籤交換路徑(LSP， Label Switched Path )很容易受 到攻擊。而在現有技術中，對於基於MPLS網絡的安全機制沒有提供具體的 實現方法和處理流程，因此無法保障MN在基於MPLS網絡中的安全通信。

發明內容
有鑑於此，本發明的主要目的在於提供一種保障移動節點安全通信的方 法，應用本發明所提供的方法能夠保障MN在基於MPLS網絡中的安全通信。 為達到上述目的，本發明的技術方案是這樣實現的 一種保障移動節點安全通信的方法，執行以下步驟
移動節點(MN)建立與標籤路由器/外地代理(LER/FA)、以及標籤路由 器/家鄉代理(LER/HA)之間的保障MN安全通信的安全關聯。
另外，該方法進一步包括MN建立與標籤路由器/區域外地代理(LER/RFA )
和標籤路由器/網關外地家鄉代理(LER/GFA)之間的保障MN安仝通信的安仝 關聯。
其中，所述MN建立與LER/FA、以及LER/HA之間的安全關聯，包括以 下步驟
Al 、 MN向LER/FA發送安全關聯i貪求；
Bl 、LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向LER/HA 發送MN的安全關聯請求；
Cl 、 LER/HA收到MN的安全關聯請求後，與MN建立安全關聯。
其中，所述畫建立與LER/FA、 LER/RFA、 LER/GFA以及LER/HA之間 的安全關^f關，包括以下步驟
A2、 MN向LER/FA發送安全關聯請求；
B2、LER7FA收到MN的安全關聯請求後，與MN建立安全關聯，向LER/RFA 發送MN的安全關聯請求；
C2、 LER/RFA收到MN的安全關聯請求後，與MN建立安全關聯，向 LER/GFA發送MN的安全關聯請求；
D2、 LER7GFA收到MN的安全關聯請求後，與MN建立安全關聯，向 LER/HA發送MN的安全關聯請求；
E2、 LER/HA收到MN的安全關聯請求後，與MN建立安全關聯。
另外，該方法進一步包括，當MN在同一 LER/RFA管轄區域內，從一個 LER/FA管轄區域移動到另一個LER/FA管轄區域時，執行以下步驟
Fl、 MN向當前所在新LER/FA發送安全關聯請求；
Gl、新LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在LER/RFA發送MN的安全關聯請求；
Hl 、所述LER/RFA收到新LER/FA發送的安全關聯請求後，更新自身與 顧的安全關聯。
另外，該方法進一步包括，當MN在同一LER/GFA管轄區域內，從一個 LER/RFA管轄區域移動到另一個LER/RFA管轄區域時，執行以下步驟
F2、 MN向當前所在新LER/FA發送安全關聯請求；
G2、新LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在的新LER/RFA發送MN的安全關聯請求；
H2、新LER/RFA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在LER/GFA發送MN的安全關聯請求；
12、所述LER/GFA收到新LER/RFA發送的安全關聯請求後，更新自身與
MN的安全關聯。
另外，該方法進一步包括，當MN從一 LER/GFA管轄區域移動到另一個 LER/GFA管轄區域時，執行以下步驟
F3 、 MN向當前所在新LER/FA發送安全關聯請求；
G3、新LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在的新LER/RFA發送MN的安全關聯請求；
H3、新LER/RFA收到MN的安全關聯請求後，與MN建立安全關聯，向 新LER/GFA發送MN的安全關聯請求；
13、新LER/GFA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN的家鄉LER/GFA發送應的安全關聯請求；
J3、所述家鄉LER/GFA收到MN的安全關聯請求後，更新自身與MN的 安全關聯。
其中，所述安全關聯請求中至少包括MN家鄉地址、轉交地址，MN能 夠使用的安全協議和/或認證方式；
所述建立安全關聯為根據安全關聯請求中攜帶的轉交地址、MN的家鄉 地址，MN能夠使用的安全協議和/或認證方式，與MN建立安全關聯。
其中，所述更新安全關聯為根據安全關聯請求中攜帶的MN當前的轉交 地址，更新所述MN安全關聯中的轉交地址。
其中，所述安全關聯請求攜帶在MN發送的註冊請求消息中。
其中，所述LER/FA, LER/HA和/或LER/RFA、 LER/GFA位於基於多協議 標籤交換MPLS的網絡中
本發明所提供的一種保障移動節點安全通信的方法，MN通過建立與
LER/FA， LER/HA,和/或LER/RFA、 LER/GFA之間的保障MN安全通信的 安全關聯，保證了在MN在通信過程中安全性。本發明採用的MN建立與 LER/FA 、 LER/RFA 、 LER/GFA以及LER/HA之間安全關聯的方法，能夠使 MN在移動到新區域後，直接向臨近的LER/F A 、 LER/RFA 、或LER/GFA 直接註冊，而不必再向LER/HA進行註冊，減少了向LER/HA發送消息的次 數，降低了通信時延。


圖1為本發明一實施例的建立安全關聯的流程圖； 圖2為移動節點四種網絡層次移動的示意圖； 圖3為本發明一實施例更新安全關聯的流程圖； 圖4為本發明另一實施例更新安全關聯的流程圖； 圖5為本發明另一實施例更新安全關聯的流程圖。
具體實施例方式
安全關聯(SA)是一種在兩個使用IP安全(IP Sec)的實體間，如主 機或路由器，建立的邏輯連接。安全關聯定義了通信雙方對通信過程中某些 要素的約定，例如，使用的安全協議、協議的操作模式、密碼算法、特定流 中保護數據的共享密鑰、以及密鑰的生存周期等。使用安全關聯的兩個IPSec 實體間，能夠使用建立的安全關聯進行安全通信。因此，在本發明中可以通 過在MN與標籤路由器/家鄉代理(LER/HA, Label Edge Router/Home Agent) 之間建立安全關聯，從而保障MN能夠進行安全通信。
由於在MPLS網絡中，隨著網絡規;漠的增大，MN移動後進行切換的時 延也會隨之增大。因此，本發明在建立安全關聯時，採用逐級建立的方法， 通過這種方法可以使MN在移動到新的區域後直4妾向臨近的標籤路由器/外 地代理(LER/FA， Label Edge Router/Foreign Agent)、標籤路由器/區域外
地代理(LER/RFA， Label Edge Router/Regional Foreign Agent)、標籤路由 器/網關外地家鄉代理(LER/GFA， Label Edge Router/Gateway Foreign Agent) 建立安全關if關，而不必重新與LER/HA進行協商建立安全關聯，,人而減少了 與LER/HA建立安全關聯過程交互的次數，減少了切換時延。
其中，LER/HA、 LER/FA、 LER/RFA以及LER/GFA均為基於MPLS 網絡的中設備。LER/HA為 一種具有家鄉代理功能的MPLS路由器；LER/FA 一種具有外地代理功能的MPLS路由器；LER/RFA為一種具有區域外地代 理功能的MPLS路由器；LER/GFA為 一具有網關外地代理功能的MPLS路 由器，負責管轄的範圍為一個自治域。
為使本發明的目的、技術方案及優點更加清楚明白，以下參照附圖並舉 實施例，對本發明做進一步的詳細說明。
由於在MPLS網絡中，無論是對移動IPv4服務還是移動IPv6服務都實 行層次化移動管理。在層次化移動管理中，LER/FA、 LER/RFA和LER7GFA 都支持局部註冊功能。局部註冊功能可以使MN在移動到新的區域後直接向 臨近的LER/FA、 LER/RFA或LER/GFA進行註冊，而不必再向HA進行注 冊。因此，在本實施例中，MN採用逐級與LER/HA建立安全關聯，可以是 在MN向LER/HA請求註冊的同時進行。這裡，MN向LER/HA註冊的目的 是為了將自身當前的轉交地址(COA )通知LER7HA，以使LER/HA知道自 身當前所在區域。其中，COA用來提供MN當前的位置信息。
MN採用逐級與LER/HA建立安全關聯的具體流程如圖l所示，包括以 下步驟
步驟101: MN通過當前自身所在區域的LER/FA向LER/HA發送註冊 請求消息，註冊請求消息中攜帶MN的COA和MN的家鄉地址等移動節點 信息。
所述家鄉地址是網絡側分配給MN的永久的地址，屬於移動節點的家鄉 鏈路。通過MN的家鄉地址，路由機制會把發給MN的分組發送到其家鄉鏈 路。家鄉地址用於標識MN建立的安全關聯。所述COA用來提供MN當前
的位置信息，以建立安仝關聯。
步驟102: LER/FA收到MN發送來的註冊請求消息後，對當前請求注 冊的MN進4亍註冊，將MN的移動節點信息，包括家鄉地址以及COA地址 保存在自身的移動節點信息表中，並與MN協商建立安全關聯；待LER/FA 與MN成功建立安全關聯後，LER/FA為MN在自身的移動節點信息表中建 立安全關聯條目，用於保存建立的安全關聯。
這裡，LER/FA保存自身與MN之間安全關聯的目的在於，供MN在以 後的通信過程中調用，保障MN在通信過程中的安全性。
這裡，LER/FA與MN協商建立安全關聯，需要根據註冊請求消息中攜 帶的家鄉地址以及COA。
步驟103: LER/FA向LER/RFA發送MN的註冊i奮求消息。
步驟104: LER/RFA收到LER/FA發送的MN的註冊請求消息後，對當 前請求註冊的MN進行註冊，將MN的移動節點信息，包括家鄉地址以及 COA地址保存在自身的移動節點信息表中，並與MN協商建立安全關聯； 待LER/RFA與MN成功建立安全關聯後，LER7RFA為MN在自身的移動節 點信息表中建立安全關聯條目，用於保存自身與MN建立的安全關聯。
這裡，LER/RFA與MN協商建立安全關聯，需要根據註冊請求消息中 攜帶的家鄉地址以及COA。
步驟105: LER/RFA向LER/GFA發送MN的註冊請求消息。
步驟106: LER/GFA收到LER/RFA發送的MN的註冊請求消息後，對 當前請求註冊的MN進行註冊，將MN的移動節點信息，包括家鄉地址以及 COA地址保存在自身的移動節點信息表中，並與MN協商建立安全關聯； 待LER/GFA與MN成功建立安全關聯後，LER/GFA為MN在自身的移動 節點信息表中建立安全關聯條目，用於保存自身與MN建立的安全關聯。
這裡，LER/GFA與MN協商建立安全關聯，需要根據註冊請求消息中 攜帶的家鄉地址以及COA。
步驟107: LER7GFA向LER/HA發送MN的註冊請求消息。
步驟108: LER/HA收到LER/GFA發送的MN的註冊請求消息後，在
LER/HA上為MN進行註冊，將MN的移動節點信息，包括家鄉地址以及 COA地址保存在自身的移動節點信息表中，並與MN協商建立安全關聯； 待LER7GFA與MN成功建立安全關聯後，LER/HA為MN在自身的移動節 點信息表中建立安全關聯條目，用於保存自身與MN建立的安全關聯。
這裡，LER/HA與MN協商建立安全關聯，需要根據註冊請求消息中攜 帶的家鄉地址以及COA。
步驟109 ~ 112: LER/HA通過LER/GFA、 LER/RFA和LER/FA向MN 返回註冊應答消息。
至此，本實施例MN逐級與LER/HA建立安全關聯的流程結束。
在上述流程中，所述的LER/GFA為家鄉LER/GFA、 LER/RFA為家鄉 LER/RFA、 LER/FA為家鄉LER7FA，即與MN家鄉地址對應的LER/GFA、 LER/RFA和LER/FA 。
在圖1所示的流程中，MN與LER/FA、 LER/RFA、 LER/GFA和LER/HA 建立安全管理的方法可以是首先在MN向LER/FA發送的註冊請求消息中 進一步攜帶MN用於建立安全關聯的信息，比如MN能夠支持的安全協議的 種類，MN能夠採用的認證方式的種類等信息。
當MN與LER/FA、 LER/RFA、 LER/GFA和LER/HA建立安全關聯時， 則LER/FA、 LER/RFA、 LER/GFA和LER/HA則根據MN註冊請求消息中 安全關聯的信息，確定自身與MN之間的採用的認證方式和/或安全協議等 信息，並向MN返回確認信息，以建立自身與MN之間的安全關聯。
MN與LER/FA、 LER/RFA、LER/GFA和LER/HA建立安全關聯的方法， 還可以是由LER/FA、 LER/RFA、 LER/GFA和LER/HA收到MN發送的 註冊請求消息觸發自身與MN的交互，按照現有技術中建立安全關聯的方法 建立自身與MN的安全關聯。
由於本實施例提供的是一個MN逐級與LER/HA建立安全關聯的方法。
因此，在本實施例中當MN移動到其他區域時，不需要與LER/HA再建立安
仝關聯，而是根據實際的情況進行安仝關聯的重新建立與更新。如圖2所示
為，MN與通信節點用戶(CN， Correspondence Nod )進行通信的過程中， MN在MPLS網絡中移動的四種^t型，包括子網內訪問，是指MN在同一 個LER/FA管轄範圍中進行的移動；子網間訪問，是指MN在不同的LER/FA 管轄範圍、但在同一個LER/RFA管轄範圍中進行的移動；網絡間訪問，是 指MN在不同的LER/FA管轄範圍中，但在同 一個LER/GFA管轄範圍中進 行的移動；跨自治域網絡間訪問，是指MN在不同的LER/GFA管轄的自治 域中進行的移動。
以下分別針對這四種網絡層次移動模型，介紹MN更新安全關聯的方法。
當MN的移動範圍局限於子網內訪問，由於MN在同一個LER/FA管轄 區域內進行移動，MN移動後也不必建立新的LSP路徑。因此，MN與LER/HA 之間也不必更新已經建立的安全關聯，MN與CN之間也可以安全的繼續進 行通信。
當MN在同一 LER/RFA管轄區域內，從 一 個LER/FA管轄區域移動到 另一個LER/FA管轄區域內時，由於MN並沒有超出同一個LER/RFA的管 轄範圍，因此MN更新安全關聯時，只需重新生成自身與新LER/FA的安全 關聯、並更新自身與原LER/RFA之間的安全關聯即可，具體過程如圖3所 示。
MN更新安全關聯的過程，可以伴隨著MN向LER/HA註冊的過程同時 進行。由於MPLS網絡實行層次化管理，因此MN只需通過新LER/FA進行 註冊，再由新LER7GFA向原LER/RFA進行註冊即可。
步驟301: MN向自身當前所在新區域對應的新LER/FA發送註冊請求 消息，註冊"i青求消息中攜帶MN的COA和MN的家鄉i也址等移動節點信息。
步驟302:新LER/FA收到MN發送來的註冊請求消息後，對當前請求 註冊的MN進行註冊，將MN的移動節點信息，包括家鄉地址以及COA地 址保存在自身的移動節點信息表中，並與MN協商建立安全關聯；待LER/FA
與MN成功建立姿仝關聯後，新LER7FA為MN在自身的移動節點信息表中 建立安全關聯條目，用於保存自身與MN建立的安全關聯。
這裡，LER/FA保存自身與MN之間安全關聯的目的在於，供MN在以 後的通信過程中調用，保障MN在通信過程中的安全性。
步驟303:新LER7FA向MN當前所在區域的LER/RFA發送MN的注 冊請求消息。
這裡，由於MN是在同一 LER/RFA管轄區域內，從一個LER/FA管轄 區域移動到另一個LER/FA管轄區域內，因此在MN移動的前後，MN所在 管轄區域的LER/RFA沒有發生變化。
步驟304:所述LER/RFA根據註冊請求消息中攜帶移動節點信息，對 當前請求註冊的MN進行註冊更新，即對移動節點信息表中記錄的MN的移 動節點信息進行更新，包括COA;並查找自身的移動節點信息表，得到所 述MN的安全關聯條目，更新安全關聯條目中當前MN對應安全關聯的COA 信息。
步驟305 ~ 306:所述LER/RFA通過新LER7FA向MN返回註冊應答消
良
當MN在同一 LER/GFA管轄區域內，從一個LER/RFA管轄區域移動 到另一個LER/RFA管轄區域內時，由於MN並沒有超出同一個LER/GFA 的管轄範圍，因此MN更新安全關聯時，只需重新生成自身與新LER/FA、 以及LER/RFA之間的安全關聯、並更新自身與原LER/GFA之間的安全關 聯，具體過程如圖4所示。
MN更新安全關聯的過程，可以伴隨著MN向LER/HA註冊的過程同時 進行。由於MPLS網絡實行層次化管理，因此MN只需通過新LER/FA、新 LER/RFA進行註冊，再由新LER/RFA向原LER/GFA進行註冊即可。
步驟401: MN向自身當前所在新區域對應的新LER/FA發送註冊請求 消息，註冊請求消息中攜帶MN的CO A和MN的家鄉地址等移動節點信息。
步驟402:新LER/FA收到MN發送來的註冊請求消息後，對當前請求註冊的MN進衧註冊，將MN的移動節點信息，包括家鄉地址以及COA地 址保存在自身的移動節點信息表中，並與MN協商建立安全關聯；待新 LER/FA與MN成功建立安全關聯後，新LER/FA為MN在自身的移動節點 信息表中建立安全關聯條目，用於保存自身與MN建立的安全關聯。
這裡，新LER/FA保存自身與MN之間安全關聯的目的在於，供MN在 以後的通信過程中調用，保障MN在通信過程中的安全性。
步驟403:新LER/FA向MN當前所在區域對應的新LER/RFA發送MN 的註冊請求消息。
步驟404:新LER/RFA收到新LER/FA發送的MN的註冊請求消息後， 對當前請求註冊的MN進行註冊，將MN的移動節點信息，包括家鄉地址以 及COA地址保存在自身的移動節點信息表中，並與MN協商建立安全關聯； 待新LER/RFA與MN成功建立安全關聯後，新LER/RFA為MN在自身的 移動節點信息表中建立安全關聯條目，用於保存自身與MN建立的安全關 聯。
步驟405:新LER7RFA向MN當前所在區域的LER7GFA發送MN的
註冊請求消息。
這裡，由於MN是在同一 LER/GFA管轄區域內，從一個LER/RFA管 轄區域移動到另 一個LER/RFA管轄區域內，因此在MN移動的前後，MN 所在管轄區域的LER/GFA沒有發生變化。
步驟406:所述LER/GFA才艮據註冊請求消息中攜帶移動節點信息，對 當前請求註冊的MN進行註冊更新，即對移動節點信息表中記錄的MN的移 動節點信息進行更新，包括COA;並查找自身的移動節點信息表，得到所 述MN的安全關聯條目，更新安全關聯條目中當前MN對應安全關聯的COA
j呂息。
步驟407 ~ 409:所述LER/GFA通過新LER/RFA 、新LER/FA向MN 返回註冊應答消息。
當MN在兩個不同LER/GFA管轄區域內，從一個LER/GFA管轄區域
移動到另一個LER/GFA營轄區城內時，即跨自治域網絡間訪問。在這種情 況下，在MN移動到新LER/GFA管轄區域內，則向新LER/GFA重新建立 安全關聯，由新LER/GFA向家鄉LER/GFA進行安全關聯信息更新，具體 過程如圖5所示。
MN更新安全關聯的過程，可以伴隨著MN向LER/HA註冊的過程同時 進行。由於MPLS網絡實行層次化管理，因此MN只需先向新LER/GFA進 行註冊，再由新LER/GFA向家鄉LER/GFA進行註冊即可。
步驟501: MN向自身當前所在新區域對應的新LER/FA發送註冊請求 消息，註冊請求消息中攜帶MN的CO A和MN的家鄉地址等移動節點信息。
步驟502:新LER/FA收到MN發送來的註冊請求消息後，對當前請求 註冊的MN進4於註冊，將MN的移動節點信息，包括家鄉地址以及COA地 址保存在自身的移動節點信息表中，並與MN協商建立安全關聯；待LER/FA 與MN成功建立安全關聯後，LER/FA為MN在自身的移動節點信息表中建 立安全關聯條目，用於保存自身與MN建立的安全關聯。
這裡，LER/FA保存自身與MN之間安全關聯的目的在於，供MN在以 後的通信過程中調用，保障M N在通信過程中的安全性。
步驟503:新LER/FA向MN當前所在區域對應的新LER/RFA發送MN 的註冊請求消息。
步驟504:新LER/RFA收到新LER/FA發送的MN的註冊請求消息後， 對當前請求註冊的MN進行註冊，將MN的移動節點信息，包括家鄉地址以 及COA地址保存在自身的移動節點信息表中，並與MN協商建立安全關聯； 待新LER/RFA與MN成功建立安全關聯後，新LER/RFA為MN在自身的 移動節點信息表中建立安全關聯條目，用於保存自身與MN建立的安全關 聯。
步驟505:新LER/RFA向新LER/GFA發送MN的註冊請求消息。 步驟506:新LER/GFA收到新LER/RFA發送的MN的註冊請求消息後， 對當前請求註冊的MN進行註冊，將MN的移動節點信息，包括家鄉地址以
及COA地址保存在自身的移動節點信息表中，並與MN協商建立安全關聯； 待新LER/GFA與MN成功建立安全關聯後，新LER/GFA為MN在自身的 移動節點信息表中建立安全關聯條目，用於保存自身與MN建立的安全關 聯。
步驟507:新LER/GFA向家鄉LER/GFA發送MN的註冊請求消息。
這裡，新LER/GFA可以通過MN的家鄉地址得知MN的家鄉LER/GFA, 進而向MN的家鄉LER/GFA發送MN的註冊請求消息。所述家鄉LER/GFA 為MN家鄉地址所在區域的LER/GFA。
當MN在兩個不同的LER/GFA所管轄的區域內移動時，不"i侖移動前的 區域是否為家鄉LER/GFA管轄，在移動後，MN當前所在的LER/GFA都必 須向MN的家鄉LER/GFA進行安全關聯以及住處信息的更新。
步驟508:家鄉LER/GFA根據註冊請求消息中攜帶移動節點信息，對 當前請求註冊的MN進4亍註冊更新，即對移動節點信息表中記錄的MN的移 動節點信息進行更新，包括COA;並查找自身的移動節點信息表，得到所 述MN的安全關聯條目，更新安全關聯條目中當前MN對應安全關聯的COA 信息。
步驟509- 512:家鄉LER/GFA通過新LER/GFA、新LER/RFA和新 LER/FA向MN返回註冊應答消息。
當在基於MPLS的網絡中沒有設置LER/RFA、 LER/GFA時，MN建立 與LER/FA、以及LER/HA之間安全關聯的過程為首先MN向LER/FA發 送註冊請求消息；當LER7FA收到MN的註冊請求消息後，與MN建立安全 關聯，並向LER/HA發送MN的註冊請求消息；當LER/HA收到MN的注 冊請求消息後，與MN建立安全關聯。
在本發明中，建立和更新安全關聯的過程可以伴隨著MN的註冊而進 行；也可以是在畫有需要時，由畫發起與LER/FA、LER/RFA、LER/GFA、 LER/HA逐級建立安全關聯的過程。由於在伴隨著MN註冊建立安全關聯的 過程中，主要利用了註冊請求消息中攜帶的家鄉地址和COA，因此在不依
靠註冊請求消息建立安全關聯時，只需要在MN請求建立安全關聯時，向
LER/FA發送安全關聯請求，安全關聯請求中至少攜帶家鄉地址和COA,然 後在LER/FA建立了與MN之間的安全關聯後，再將MN的安全關聯請求發 送LER/RFA，這衝羊依次建立與LER7RFA、 LER/GFA以及LER/HA。
當MN通過自身發送安全關聯請求來建立安全關聯，在最初建立安全關 聯以及更新安全關聯時，只需發送安全關聯請求至LER/FA即可。
在通過MN發送安全關聯請求建立安全關聯時，這裡MN與LER/FA、 LER/RFA、 LER/GFA或LER/HA建立安全關聯的方法可以是，在MN發送 的安全關聯請求中，進一步攜帶MN能夠支持的認證方式和/或安全協議， LER/FA、 LER/RFA、 LER/GFA或LER/HA根據MN發送的安全關聯請求確 定自身與MN採用的認證方式和/或安全協議，並且向MN返回確認消息， 建立自身與MN之間的安全關聯。
因此，圖1、圖3、圖4和圖5中所述的註冊請求消息，實際已經攜帶 了所述的安全關聯請求。
以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護 範圍。
權利要求
1、一種保障移動節點安全通信的方法，其特徵在於，執行以下步驟移動節點MN建立與標籤路由器/外地代理LER/FA、以及標籤路由器/家鄉代理LER/HA之間的保障MN安全通信的安全關聯。
2、 根據權利要求1所述的方法，其特徵在於，該方法進一步包括MN建 立與標籤路由器/區域外地代理LER/RFA和標籤路由器/網關外地家鄉代理 LER/GFA之間的保障MN安全通信的安全關聯。
3、 根據權利要求1所述的方法，其特徵在於，所述MN建立與LER/FA、 以及LER7HA之間的安全關聯，包括以下步驟Al 、 MN向LER/FA發送安全關聯請求；B1 、LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向LER/HA 發送MN的安全關聯請求；Cl 、 LER/HA收到MN的安全關聯i青求後，與MN建立安全關聯。
4、 根據權利要求2所述的方法，其特徵在於，所述MN建立與LER/FA、 LER/RFA、 LER/GFA以及LER/HA之間的安全關聯，包括以下步驟A2、 MN向LER/FA發送安全關聯請求；B2 、 LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向LER/RFA 發送MN的安全關聯請求；C2、 LER/RFA收到MN的安全關聯請求後，與MN建立安全關聯，向 LER/GFA發送MN的安全關聯請求；D2、 LER/GFA收到MN的安全關聯請求後，與MN建立安全關聯，向 LER/HA發送MN的安全關聯請求；E2、 LER/HA收到MN的安全關聯請求後，與MN建立安全關聯。
5、 根據權利要求4所述的方法，其特徵在於，該方法進一步包括，當MN 在同一 LER/RFA管轄區域內，從一個LER/FA管轄區域移動到另一個LER/FA 管轄區域時，4丸行以下步驟 Fl、 MN向當前所在新LER/FA發送安仝關聯請求；Gl、新LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在LER/RFA發送MN的安全關聯請求；Hl、所述LER/RFA收到新LER/FA發送的安全關聯請求後，更新自身與 MN的安全關聯。
6、 根據;f又利要求4所述的方法，其特徵在於，該方法進一步包括，當MN 在同一 LER/GFA管轄區域內，/人一個LER/RFA管轄區域移動到另 一個 LER/RFA管轄區域時，執行以下步驟F2、 MN向當前所在新LER/FA發送安全關聯請求；G2、新LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在的新LER/RFA發送MN的安全關聯請求；H2、新LER/RFA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在LER7GFA發送MN的安全關聯請求；12、 所述LER/GFA收到新LER7RFA發送的安全關聯請求後，更新自身與 MN的安全關耳關。
7、 根據權利要求4所述的方法，其特徵在於，該方法進一步包括，當MN 從一 LER/GFA管轄區域移動到另 一個LER/GFA管轄區域時，執行以下步驟F3 、 MN向當前所在新LER/FA發送安全關聯請求；G3、新LER/FA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN當前所在的新LER/RFA發送MN的安全關聯請求；H3、新LER/RFA收到MN的安全關聯請求後，與MN建立安全關聯，向 新LER/GFA發送MN的安全關聯請求；13、 新LER/GFA收到MN的安全關聯請求後，與MN建立安全關聯，向 MN的家鄉LER/GFA發送MN的安全關聯請求；J3、所述家鄉LER/GFA收到MN的安全關聯請求後，更新自身與MN的 安全關聯。
8、 根據權利要求4至7中任一權利要求所述的方法，其特徵在於，所述安 仝關聯請求中至少包括MN家鄉地址、轉交地址，MN能夠使用的安全協議 和/或認證方式^所述建立安全關聯為根據安全關聯請求中攜帶的轉交地址、MN的家鄉 地址，MN能夠使用的安全協議和/或認i正方式，與MN建立安全關聯。
9、 根據權利要求8所述的方法，其特徵在於，所述更新安全關聯為根據 安全關聯請求中攜帶的MN當前的轉交地址，更新所述MN安全關聯中的轉交 地址。
10、 根據權利要求4至7中任一權利要求所述的方法，其特徵在於，所述 安全關聯請求攜帶在MN發送的註冊請求消息中。
11、 根據權利要求1所述的方法，其特徵在於，所述LER7FA， LER/HA和 /或LER/RFA、 LER/GFA位於基於多協議標籤交換MPLS的網絡中。
全文摘要
本發明公開了一種保障移動節點安全通信的方法，執行以下步驟移動節點(MN)建立與標籤路由器/外地代理(LER/FA)、以及標籤路由器/家鄉代理(LER/HA)之間的保障MN安全通信的安全關聯。本發明採用的MN建立與LER/FA和LER/HA之間安全關聯的方法；以及建立與LER/FA、LER/HA、標籤路由器/區域外地代理(LER/RFA)和標籤路由器/網關外地家鄉代理(LER/GFA)之間安全關聯的方法，能夠使MN在移動到新區域後，直接向臨近的LER/FA、LER/RFA、或LER/GFA直接註冊，而不必再向LER/HA進行註冊，減少了向LER/HA發送消息的次數，降低了通信時延。
文檔編號H04L12/28GK101098228SQ20061009114
公開日2008年1月2日 申請日期2006年6月30日 優先權日2006年6月30日
發明者鋼 程 申請人:華為技術有限公司