专利名称:一种保障移动节点安全通信的方法
技术领域:
本发明涉及网络安全技术,尤指 一种保障移动节点安全通信的方法。
背景技术:
下一代网络(NGN, Next Generation Network)是通过通信实体之间的 IP连接来承载语音、图像和数据等多种电信业务的融合网络。NGN业务基 于多协议标签交换(MPLS, Multiprotocol Label Switching )网络的移动性控 制和传输功能是目前研究的一个热点。MPLS提供了信令和传输机制用以支 持服务质量(QoS),流量工程和虚拟专用网(VPN)功能。目前,大多数 的移动网络已经过渡到使用IP技术进行传输,并且大多数的IP路由器都支 持MPLS功能。
在移动网络环境中,移动节点(MN)往往通过无线链;洛与网络相连, 与这些接入链路相连的标签交换路径(LSP, Label Switched Path )很容易受 到攻击。而在现有技术中,对于基于MPLS网络的安全机制没有提供具体的 实现方法和处理流程,因此无法保障MN在基于MPLS网络中的安全通信。
发明内容
有鉴于此,本发明的主要目的在于提供一种保障移动节点安全通信的方 法,应用本发明所提供的方法能够保障MN在基于MPLS网络中的安全通信。 为达到上述目的,本发明的技术方案是这样实现的 一种保障移动节点安全通信的方法,执行以下步骤
移动节点(MN)建立与标签路由器/外地代理(LER/FA)、以及标签路由 器/家乡代理(LER/HA)之间的保障MN安全通信的安全关联。
另外,该方法进一步包括MN建立与标签路由器/区域外地代理(LER/RFA )
和标签路由器/网关外地家乡代理(LER/GFA)之间的保障MN安仝通信的安仝 关联。
其中,所述MN建立与LER/FA、以及LER/HA之间的安全关联,包括以 下步骤
Al 、 MN向LER/FA发送安全关联i貪求;
Bl 、LER/FA收到MN的安全关联请求后,与MN建立安全关联,向LER/HA 发送MN的安全关联请求;
Cl 、 LER/HA收到MN的安全关联请求后,与MN建立安全关联。
其中,所述画建立与LER/FA、 LER/RFA、 LER/GFA以及LER/HA之间 的安全关^f关,包括以下步骤
A2、 MN向LER/FA发送安全关联请求;
B2、LER7FA收到MN的安全关联请求后,与MN建立安全关联,向LER/RFA 发送MN的安全关联请求;
C2、 LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向 LER/GFA发送MN的安全关联请求;
D2、 LER7GFA收到MN的安全关联请求后,与MN建立安全关联,向 LER/HA发送MN的安全关联请求;
E2、 LER/HA收到MN的安全关联请求后,与MN建立安全关联。
另外,该方法进一步包括,当MN在同一 LER/RFA管辖区域内,从一个 LER/FA管辖区域移动到另一个LER/FA管辖区域时,执行以下步骤
Fl、 MN向当前所在新LER/FA发送安全关联请求;
Gl、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在LER/RFA发送MN的安全关联请求;
Hl 、所述LER/RFA收到新LER/FA发送的安全关联请求后,更新自身与 顾的安全关联。
另外,该方法进一步包括,当MN在同一LER/GFA管辖区域内,从一个 LER/RFA管辖区域移动到另一个LER/RFA管辖区域时,执行以下步骤
F2、 MN向当前所在新LER/FA发送安全关联请求;
G2、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在的新LER/RFA发送MN的安全关联请求;
H2、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在LER/GFA发送MN的安全关联请求;
12、所述LER/GFA收到新LER/RFA发送的安全关联请求后,更新自身与
MN的安全关联。
另外,该方法进一步包括,当MN从一 LER/GFA管辖区域移动到另一个 LER/GFA管辖区域时,执行以下步骤
F3 、 MN向当前所在新LER/FA发送安全关联请求;
G3、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在的新LER/RFA发送MN的安全关联请求;
H3、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向 新LER/GFA发送MN的安全关联请求;
13、新LER/GFA收到MN的安全关联请求后,与MN建立安全关联,向 MN的家乡LER/GFA发送應的安全关联请求;
J3、所述家乡LER/GFA收到MN的安全关联请求后,更新自身与MN的 安全关联。
其中,所述安全关联请求中至少包括MN家乡地址、转交地址,MN能 够使用的安全协议和/或认证方式;
所述建立安全关联为根据安全关联请求中携带的转交地址、MN的家乡 地址,MN能够使用的安全协议和/或认证方式,与MN建立安全关联。
其中,所述更新安全关联为根据安全关联请求中携带的MN当前的转交 地址,更新所述MN安全关联中的转交地址。
其中,所述安全关联请求携带在MN发送的注册请求消息中。
其中,所述LER/FA, LER/HA和/或LER/RFA、 LER/GFA位于基于多协议 标签交换MPLS的网络中
本发明所提供的一种保障移动节点安全通信的方法,MN通过建立与
LER/FA, LER/HA,和/或LER/RFA、 LER/GFA之间的保障MN安全通信的 安全关联,保证了在MN在通信过程中安全性。本发明采用的MN建立与 LER/FA 、 LER/RFA 、 LER/GFA以及LER/HA之间安全关联的方法,能够使 MN在移动到新区域后,直接向临近的LER/F A 、 LER/RFA 、或LER/GFA 直接注册,而不必再向LER/HA进行注册,减少了向LER/HA发送消息的次 数,降低了通信时延。
图1为本发明一实施例的建立安全关联的流程图; 图2为移动节点四种网络层次移动的示意图; 图3为本发明一实施例更新安全关联的流程图; 图4为本发明另一实施例更新安全关联的流程图; 图5为本发明另一实施例更新安全关联的流程图。
具体实施例方式
安全关联(SA)是一种在两个使用IP安全(IP Sec)的实体间,如主 机或路由器,建立的逻辑连接。安全关联定义了通信双方对通信过程中某些 要素的约定,例如,使用的安全协议、协议的操作模式、密码算法、特定流 中保护数据的共享密钥、以及密钥的生存周期等。使用安全关联的两个IPSec 实体间,能够使用建立的安全关联进行安全通信。因此,在本发明中可以通 过在MN与标签路由器/家乡代理(LER/HA, Label Edge Router/Home Agent) 之间建立安全关联,从而保障MN能够进行安全通信。
由于在MPLS网络中,随着网络规;漠的增大,MN移动后进行切换的时 延也会随之增大。因此,本发明在建立安全关联时,采用逐级建立的方法, 通过这种方法可以使MN在移动到新的区域后直4妾向临近的标签路由器/外 地代理(LER/FA, Label Edge Router/Foreign Agent)、标签路由器/区域外
地代理(LER/RFA, Label Edge Router/Regional Foreign Agent)、标签路由 器/网关外地家乡代理(LER/GFA, Label Edge Router/Gateway Foreign Agent) 建立安全关if关,而不必重新与LER/HA进行协商建立安全关联,,人而减少了 与LER/HA建立安全关联过程交互的次数,减少了切换时延。
其中,LER/HA、 LER/FA、 LER/RFA以及LER/GFA均为基于MPLS 网络的中设备。LER/HA为 一种具有家乡代理功能的MPLS路由器;LER/FA 一种具有外地代理功能的MPLS路由器;LER/RFA为一种具有区域外地代 理功能的MPLS路由器;LER/GFA为 一具有网关外地代理功能的MPLS路 由器,负责管辖的范围为一个自治域。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举 实施例,对本发明做进一步的详细说明。
由于在MPLS网络中,无论是对移动IPv4服务还是移动IPv6服务都实 行层次化移动管理。在层次化移动管理中,LER/FA、 LER/RFA和LER7GFA 都支持局部注册功能。局部注册功能可以使MN在移动到新的区域后直接向 临近的LER/FA、 LER/RFA或LER/GFA进行注册,而不必再向HA进行注 册。因此,在本实施例中,MN采用逐级与LER/HA建立安全关联,可以是 在MN向LER/HA请求注册的同时进行。这里,MN向LER/HA注册的目的 是为了将自身当前的转交地址(COA )通知LER7HA,以使LER/HA知道自 身当前所在区域。其中,COA用来提供MN当前的位置信息。
MN采用逐级与LER/HA建立安全关联的具体流程如图l所示,包括以 下步骤
步骤101: MN通过当前自身所在区域的LER/FA向LER/HA发送注册 请求消息,注册请求消息中携带MN的COA和MN的家乡地址等移动节点 信息。
所述家乡地址是网络侧分配给MN的永久的地址,属于移动节点的家乡 链路。通过MN的家乡地址,路由机制会把发给MN的分组发送到其家乡链 路。家乡地址用于标识MN建立的安全关联。所述COA用来提供MN当前
的位置信息,以建立安仝关联。
步骤102: LER/FA收到MN发送来的注册请求消息后,对当前请求注 册的MN进4亍注册,将MN的移动节点信息,包括家乡地址以及COA地址 保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/FA 与MN成功建立安全关联后,LER/FA为MN在自身的移动节点信息表中建 立安全关联条目,用于保存建立的安全关联。
这里,LER/FA保存自身与MN之间安全关联的目的在于,供MN在以 后的通信过程中调用,保障MN在通信过程中的安全性。
这里,LER/FA与MN协商建立安全关联,需要根据注册请求消息中携 带的家乡地址以及COA。
步骤103: LER/FA向LER/RFA发送MN的注册i奮求消息。
步骤104: LER/RFA收到LER/FA发送的MN的注册请求消息后,对当 前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及 COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联; 待LER/RFA与MN成功建立安全关联后,LER7RFA为MN在自身的移动节 点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/RFA与MN协商建立安全关联,需要根据注册请求消息中 携带的家乡地址以及COA。
步骤105: LER/RFA向LER/GFA发送MN的注册请求消息。
步骤106: LER/GFA收到LER/RFA发送的MN的注册请求消息后,对 当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及 COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联; 待LER/GFA与MN成功建立安全关联后,LER/GFA为MN在自身的移动 节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/GFA与MN协商建立安全关联,需要根据注册请求消息中 携带的家乡地址以及COA。
步骤107: LER7GFA向LER/HA发送MN的注册请求消息。
步骤108: LER/HA收到LER/GFA发送的MN的注册请求消息后,在
LER/HA上为MN进行注册,将MN的移动节点信息,包括家乡地址以及 COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联; 待LER7GFA与MN成功建立安全关联后,LER/HA为MN在自身的移动节 点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/HA与MN协商建立安全关联,需要根据注册请求消息中携 带的家乡地址以及COA。
步骤109 ~ 112: LER/HA通过LER/GFA、 LER/RFA和LER/FA向MN 返回注册应答消息。
至此,本实施例MN逐级与LER/HA建立安全关联的流程结束。
在上述流程中,所述的LER/GFA为家乡LER/GFA、 LER/RFA为家乡 LER/RFA、 LER/FA为家乡LER7FA,即与MN家乡地址对应的LER/GFA、 LER/RFA和LER/FA 。
在图1所示的流程中,MN与LER/FA、 LER/RFA、 LER/GFA和LER/HA 建立安全管理的方法可以是首先在MN向LER/FA发送的注册请求消息中 进一步携带MN用于建立安全关联的信息,比如MN能够支持的安全协议的 种类,MN能够采用的认证方式的种类等信息。
当MN与LER/FA、 LER/RFA、 LER/GFA和LER/HA建立安全关联时, 则LER/FA、 LER/RFA、 LER/GFA和LER/HA则根据MN注册请求消息中 安全关联的信息,确定自身与MN之间的采用的认证方式和/或安全协议等 信息,并向MN返回确认信息,以建立自身与MN之间的安全关联。
MN与LER/FA、 LER/RFA、LER/GFA和LER/HA建立安全关联的方法, 还可以是由LER/FA、 LER/RFA、 LER/GFA和LER/HA收到MN发送的 注册请求消息触发自身与MN的交互,按照现有技术中建立安全关联的方法 建立自身与MN的安全关联。
由于本实施例提供的是一个MN逐级与LER/HA建立安全关联的方法。
因此,在本实施例中当MN移动到其他区域时,不需要与LER/HA再建立安
仝关联,而是根据实际的情况进行安仝关联的重新建立与更新。如图2所示
为,MN与通信节点用户(CN, Correspondence Nod )进行通信的过程中, MN在MPLS网络中移动的四种^t型,包括子网内访问,是指MN在同一 个LER/FA管辖范围中进行的移动;子网间访问,是指MN在不同的LER/FA 管辖范围、但在同一个LER/RFA管辖范围中进行的移动;网络间访问,是 指MN在不同的LER/FA管辖范围中,但在同 一个LER/GFA管辖范围中进 行的移动;跨自治域网络间访问,是指MN在不同的LER/GFA管辖的自治 域中进行的移动。
以下分别针对这四种网络层次移动模型,介绍MN更新安全关联的方法。
当MN的移动范围局限于子网内访问,由于MN在同一个LER/FA管辖 区域内进行移动,MN移动后也不必建立新的LSP路径。因此,MN与LER/HA 之间也不必更新已经建立的安全关联,MN与CN之间也可以安全的继续进 行通信。
当MN在同一 LER/RFA管辖区域内,从 一 个LER/FA管辖区域移动到 另一个LER/FA管辖区域内时,由于MN并没有超出同一个LER/RFA的管 辖范围,因此MN更新安全关联时,只需重新生成自身与新LER/FA的安全 关联、并更新自身与原LER/RFA之间的安全关联即可,具体过程如图3所 示。
MN更新安全关联的过程,可以伴随着MN向LER/HA注册的过程同时 进行。由于MPLS网络实行层次化管理,因此MN只需通过新LER/FA进行 注册,再由新LER7GFA向原LER/RFA进行注册即可。
步骤301: MN向自身当前所在新区域对应的新LER/FA发送注册请求 消息,注册"i青求消息中携带MN的COA和MN的家乡i也址等移动节点信息。
步骤302:新LER/FA收到MN发送来的注册请求消息后,对当前请求 注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地 址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/FA
与MN成功建立姿仝关联后,新LER7FA为MN在自身的移动节点信息表中 建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/FA保存自身与MN之间安全关联的目的在于,供MN在以 后的通信过程中调用,保障MN在通信过程中的安全性。
步骤303:新LER7FA向MN当前所在区域的LER/RFA发送MN的注 册请求消息。
这里,由于MN是在同一 LER/RFA管辖区域内,从一个LER/FA管辖 区域移动到另一个LER/FA管辖区域内,因此在MN移动的前后,MN所在 管辖区域的LER/RFA没有发生变化。
步骤304:所述LER/RFA根据注册请求消息中携带移动节点信息,对 当前请求注册的MN进行注册更新,即对移动节点信息表中记录的MN的移 动节点信息进行更新,包括COA;并查找自身的移动节点信息表,得到所 述MN的安全关联条目,更新安全关联条目中当前MN对应安全关联的COA 信息。
步骤305 ~ 306:所述LER/RFA通过新LER7FA向MN返回注册应答消
良
当MN在同一 LER/GFA管辖区域内,从一个LER/RFA管辖区域移动 到另一个LER/RFA管辖区域内时,由于MN并没有超出同一个LER/GFA 的管辖范围,因此MN更新安全关联时,只需重新生成自身与新LER/FA、 以及LER/RFA之间的安全关联、并更新自身与原LER/GFA之间的安全关 联,具体过程如图4所示。
MN更新安全关联的过程,可以伴随着MN向LER/HA注册的过程同时 进行。由于MPLS网络实行层次化管理,因此MN只需通过新LER/FA、新 LER/RFA进行注册,再由新LER/RFA向原LER/GFA进行注册即可。
步骤401: MN向自身当前所在新区域对应的新LER/FA发送注册请求 消息,注册请求消息中携带MN的CO A和MN的家乡地址等移动节点信息。
步骤402:新LER/FA收到MN发送来的注册请求消息后,对当前请求注册的MN进衧注册,将MN的移动节点信息,包括家乡地址以及COA地 址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待新 LER/FA与MN成功建立安全关联后,新LER/FA为MN在自身的移动节点 信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,新LER/FA保存自身与MN之间安全关联的目的在于,供MN在 以后的通信过程中调用,保障MN在通信过程中的安全性。
步骤403:新LER/FA向MN当前所在区域对应的新LER/RFA发送MN 的注册请求消息。
步骤404:新LER/RFA收到新LER/FA发送的MN的注册请求消息后, 对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以 及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联; 待新LER/RFA与MN成功建立安全关联后,新LER/RFA为MN在自身的 移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关 联。
步骤405:新LER7RFA向MN当前所在区域的LER7GFA发送MN的
注册请求消息。
这里,由于MN是在同一 LER/GFA管辖区域内,从一个LER/RFA管 辖区域移动到另 一个LER/RFA管辖区域内,因此在MN移动的前后,MN 所在管辖区域的LER/GFA没有发生变化。
步骤406:所述LER/GFA才艮据注册请求消息中携带移动节点信息,对 当前请求注册的MN进行注册更新,即对移动节点信息表中记录的MN的移 动节点信息进行更新,包括COA;并查找自身的移动节点信息表,得到所 述MN的安全关联条目,更新安全关联条目中当前MN对应安全关联的COA
j吕息。
步骤407 ~ 409:所述LER/GFA通过新LER/RFA 、新LER/FA向MN 返回注册应答消息。
当MN在两个不同LER/GFA管辖区域内,从一个LER/GFA管辖区域
移动到另一个LER/GFA營辖区城内时,即跨自治域网络间访问。在这种情 况下,在MN移动到新LER/GFA管辖区域内,则向新LER/GFA重新建立 安全关联,由新LER/GFA向家乡LER/GFA进行安全关联信息更新,具体 过程如图5所示。
MN更新安全关联的过程,可以伴随着MN向LER/HA注册的过程同时 进行。由于MPLS网络实行层次化管理,因此MN只需先向新LER/GFA进 行注册,再由新LER/GFA向家乡LER/GFA进行注册即可。
步骤501: MN向自身当前所在新区域对应的新LER/FA发送注册请求 消息,注册请求消息中携带MN的CO A和MN的家乡地址等移动节点信息。
步骤502:新LER/FA收到MN发送来的注册请求消息后,对当前请求 注册的MN进4于注册,将MN的移动节点信息,包括家乡地址以及COA地 址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/FA 与MN成功建立安全关联后,LER/FA为MN在自身的移动节点信息表中建 立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/FA保存自身与MN之间安全关联的目的在于,供MN在以 后的通信过程中调用,保障M N在通信过程中的安全性。
步骤503:新LER/FA向MN当前所在区域对应的新LER/RFA发送MN 的注册请求消息。
步骤504:新LER/RFA收到新LER/FA发送的MN的注册请求消息后, 对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以 及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联; 待新LER/RFA与MN成功建立安全关联后,新LER/RFA为MN在自身的 移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关 联。
步骤505:新LER/RFA向新LER/GFA发送MN的注册请求消息。 步骤506:新LER/GFA收到新LER/RFA发送的MN的注册请求消息后, 对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以
及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联; 待新LER/GFA与MN成功建立安全关联后,新LER/GFA为MN在自身的 移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关 联。
步骤507:新LER/GFA向家乡LER/GFA发送MN的注册请求消息。
这里,新LER/GFA可以通过MN的家乡地址得知MN的家乡LER/GFA, 进而向MN的家乡LER/GFA发送MN的注册请求消息。所述家乡LER/GFA 为MN家乡地址所在区域的LER/GFA。
当MN在两个不同的LER/GFA所管辖的区域内移动时,不"i仑移动前的 区域是否为家乡LER/GFA管辖,在移动后,MN当前所在的LER/GFA都必 须向MN的家乡LER/GFA进行安全关联以及住处信息的更新。
步骤508:家乡LER/GFA根据注册请求消息中携带移动节点信息,对 当前请求注册的MN进4亍注册更新,即对移动节点信息表中记录的MN的移 动节点信息进行更新,包括COA;并查找自身的移动节点信息表,得到所 述MN的安全关联条目,更新安全关联条目中当前MN对应安全关联的COA 信息。
步骤509- 512:家乡LER/GFA通过新LER/GFA、新LER/RFA和新 LER/FA向MN返回注册应答消息。
当在基于MPLS的网络中没有设置LER/RFA、 LER/GFA时,MN建立 与LER/FA、以及LER/HA之间安全关联的过程为首先MN向LER/FA发 送注册请求消息;当LER7FA收到MN的注册请求消息后,与MN建立安全 关联,并向LER/HA发送MN的注册请求消息;当LER/HA收到MN的注 册请求消息后,与MN建立安全关联。
在本发明中,建立和更新安全关联的过程可以伴随着MN的注册而进 行;也可以是在画有需要时,由画发起与LER/FA、LER/RFA、LER/GFA、 LER/HA逐级建立安全关联的过程。由于在伴随着MN注册建立安全关联的 过程中,主要利用了注册请求消息中携带的家乡地址和COA,因此在不依
靠注册请求消息建立安全关联时,只需要在MN请求建立安全关联时,向
LER/FA发送安全关联请求,安全关联请求中至少携带家乡地址和COA,然 后在LER/FA建立了与MN之间的安全关联后,再将MN的安全关联请求发 送LER/RFA,这冲羊依次建立与LER7RFA、 LER/GFA以及LER/HA。
当MN通过自身发送安全关联请求来建立安全关联,在最初建立安全关 联以及更新安全关联时,只需发送安全关联请求至LER/FA即可。
在通过MN发送安全关联请求建立安全关联时,这里MN与LER/FA、 LER/RFA、 LER/GFA或LER/HA建立安全关联的方法可以是,在MN发送 的安全关联请求中,进一步携带MN能够支持的认证方式和/或安全协议, LER/FA、 LER/RFA、 LER/GFA或LER/HA根据MN发送的安全关联请求确 定自身与MN采用的认证方式和/或安全协议,并且向MN返回确认消息, 建立自身与MN之间的安全关联。
因此,图1、图3、图4和图5中所述的注册请求消息,实际已经携带 了所述的安全关联请求。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护 范围。
权利要求
1、一种保障移动节点安全通信的方法,其特征在于,执行以下步骤移动节点MN建立与标签路由器/外地代理LER/FA、以及标签路由器/家乡代理LER/HA之间的保障MN安全通信的安全关联。
2、 根据权利要求1所述的方法,其特征在于,该方法进一步包括MN建 立与标签路由器/区域外地代理LER/RFA和标签路由器/网关外地家乡代理 LER/GFA之间的保障MN安全通信的安全关联。
3、 根据权利要求1所述的方法,其特征在于,所述MN建立与LER/FA、 以及LER7HA之间的安全关联,包括以下步骤Al 、 MN向LER/FA发送安全关联请求;B1 、LER/FA收到MN的安全关联请求后,与MN建立安全关联,向LER/HA 发送MN的安全关联请求;Cl 、 LER/HA收到MN的安全关联i青求后,与MN建立安全关联。
4、 根据权利要求2所述的方法,其特征在于,所述MN建立与LER/FA、 LER/RFA、 LER/GFA以及LER/HA之间的安全关联,包括以下步骤A2、 MN向LER/FA发送安全关联请求;B2 、 LER/FA收到MN的安全关联请求后,与MN建立安全关联,向LER/RFA 发送MN的安全关联请求;C2、 LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向 LER/GFA发送MN的安全关联请求;D2、 LER/GFA收到MN的安全关联请求后,与MN建立安全关联,向 LER/HA发送MN的安全关联请求;E2、 LER/HA收到MN的安全关联请求后,与MN建立安全关联。
5、 根据权利要求4所述的方法,其特征在于,该方法进一步包括,当MN 在同一 LER/RFA管辖区域内,从一个LER/FA管辖区域移动到另一个LER/FA 管辖区域时,4丸行以下步骤 Fl、 MN向当前所在新LER/FA发送安仝关联请求;Gl、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在LER/RFA发送MN的安全关联请求;Hl、所述LER/RFA收到新LER/FA发送的安全关联请求后,更新自身与 MN的安全关联。
6、 根据;f又利要求4所述的方法,其特征在于,该方法进一步包括,当MN 在同一 LER/GFA管辖区域内,/人一个LER/RFA管辖区域移动到另 一个 LER/RFA管辖区域时,执行以下步骤F2、 MN向当前所在新LER/FA发送安全关联请求;G2、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在的新LER/RFA发送MN的安全关联请求;H2、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在LER7GFA发送MN的安全关联请求;12、 所述LER/GFA收到新LER7RFA发送的安全关联请求后,更新自身与 MN的安全关耳关。
7、 根据权利要求4所述的方法,其特征在于,该方法进一步包括,当MN 从一 LER/GFA管辖区域移动到另 一个LER/GFA管辖区域时,执行以下步骤F3 、 MN向当前所在新LER/FA发送安全关联请求;G3、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向 MN当前所在的新LER/RFA发送MN的安全关联请求;H3、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向 新LER/GFA发送MN的安全关联请求;13、 新LER/GFA收到MN的安全关联请求后,与MN建立安全关联,向 MN的家乡LER/GFA发送MN的安全关联请求;J3、所述家乡LER/GFA收到MN的安全关联请求后,更新自身与MN的 安全关联。
8、 根据权利要求4至7中任一权利要求所述的方法,其特征在于,所述安 仝关联请求中至少包括MN家乡地址、转交地址,MN能够使用的安全协议 和/或认证方式^所述建立安全关联为根据安全关联请求中携带的转交地址、MN的家乡 地址,MN能够使用的安全协议和/或认i正方式,与MN建立安全关联。
9、 根据权利要求8所述的方法,其特征在于,所述更新安全关联为根据 安全关联请求中携带的MN当前的转交地址,更新所述MN安全关联中的转交 地址。
10、 根据权利要求4至7中任一权利要求所述的方法,其特征在于,所述 安全关联请求携带在MN发送的注册请求消息中。
11、 根据权利要求1所述的方法,其特征在于,所述LER7FA, LER/HA和 /或LER/RFA、 LER/GFA位于基于多协议标签交换MPLS的网络中。
全文摘要
本发明公开了一种保障移动节点安全通信的方法,执行以下步骤移动节点(MN)建立与标签路由器/外地代理(LER/FA)、以及标签路由器/家乡代理(LER/HA)之间的保障MN安全通信的安全关联。本发明采用的MN建立与LER/FA和LER/HA之间安全关联的方法;以及建立与LER/FA、LER/HA、标签路由器/区域外地代理(LER/RFA)和标签路由器/网关外地家乡代理(LER/GFA)之间安全关联的方法,能够使MN在移动到新区域后,直接向临近的LER/FA、LER/RFA、或LER/GFA直接注册,而不必再向LER/HA进行注册,减少了向LER/HA发送消息的次数,降低了通信时延。
文档编号H04L12/28GK101098228SQ20061009114
公开日2008年1月2日 申请日期2006年6月30日 优先权日2006年6月30日
发明者钢 程 申请人:华为技术有限公司