移动通信控制方法和系统，路由设备，管理设备以及程序的制作方法

专利名称：移动通信控制方法和系统，路由设备，管理设备以及程序的制作方法
技术领域：
本发明涉及一种移动通信控制方法、移动通信系统、.路由设备、 管理设备以及程序，更具体地涉及一种使用IP (因特网协议)技术的 移动通信控制方法、移动通信系统、路由设备、管理设备以及程序。
背景技术：
随着现今移动通信技术的发展，移动IPv6的标准已经在IETF (因 特网工程任务组)的日程当中。图1是说明基于移动IPv6的传统移动通信系统的示例结构的视图。如图1所示，在传统的示例中，提供了分别具有归属核心网络131a 和131b的两个归属代理130a和130b，以及基于IP分组的发送/接收的 通信在移动终端110a和移动终端110b之间执行，其中移动终端U0a 的移动信息由归属代理130a管理，移动终端110b的移动信息由归属代 理130b管理。移动终端110a位于接入路由器120a下的接入网121a 中，而移动终端110b位于接入路由器120b下的接入网121b中。移动 终端110a和110b都具有作为唯一IP地址的归属地址(HoA:归属地 址)，并且这些归属地址分别向归属代理130a和130b注册。以下将描述在图l所示的移动通信系统中的两个移动终端110a和 110b之间的通信方法。首先，将描述移动终端110a和110b的位置注册处理。
当移动终端110a从归属代理130a下的归属核心网络131a或者另 一个接入网移动到接入路由器120a下的接入网121a时，首先，作为目 标IP地址的CoA (转交地址)在移动终端110a中通过利用接入路由 器120a的IP地址前缀和移动终端110a的MAC地址而产生，并且移 动终端110a的归属地址以及该CoA的组合被发送到归属代理130a， 从而进行了位置注册请求(BU:绑定更新)。类似地，在移动终端110b 中，通过利用移动终端110b的归属地址和在接入网121b中产生的CoA 向归属代理130b进行位置注册请求(BU)。在归属代理130a中，在从移动终端110a接收到位置注册请求 (BU)之后，便验证了它的有效性，并且随后从移动终端llOa发送的 归属地址和CoA被彼此关联并且向归属代理130a中的BC(绑定缓存) 注册，同时，指示该位置注册已经完成的位置注册确认(BA:绑定确 定)被发送到移动终端110a。类似地，在归属代理130b中，进行移动 终端110b的位置注册，并且位置注册确认(BA)被发送到移动终端 110b。通过这种方式，移动终端llOa和110b的当前位置被归属代理130a 和130b管理，并且因此移动终端llOa和lib的移动信息也被管理。现在将采用IP分组从移动终端llOa发送到移动终端110b的情况 作为例子来描述在上述位置注册过程执行之后，当基于IP分组的发送/ 接收的通信在移动终端110a和110b之间执行时进行的处理。在以下描 述中，移动终端110a和11 Ob的归属地址被分别称为"Ho A1 "和"Ho A2 "， 并且移动终端llOa和110b的CoA被分别称为"CoAl"禾B "CoA2"。在将IP分组从移动终端110a发送到移动终端110b时，首先，具 有"HoAl"作为起始地址和"HoA2"作为目标地址的IP分组在移动 终端110a中通过使用"CoAl"作为起始地址和归属代理130a的IP地 址"HA1"作为目标地址来封装，并且该封装的IP分组从移动终端110a发送。从移动终端110a发送的具有归属代理130a的IP地址"HA1"作 为目标地址的IP分组通过接入路由器120a递交至归属代理130a。在 归属代理130a中，在接收到从移动终端110a发送的IP分组时，接收 的IP分组被解封装并且发送具有"HoAl"作为起始地址以及"HoA2" 作为目标地址的IP分组。从归属代理130a发送的具有"HoA2"作为目标地址的IP分组被 递交到归属代理130b。在归属代理130b中，在接收到从归属代理130a 发送的IP分组时，査询归属代理130b中的绑定缓存(BC)以将移动 终端110b的转交地址"CoA2"识别为IP分组的目标，并且接收的IP 分组通过使用归属代理130b的IP地址"HA2"作为起始地址以及 "CoA2"作为目标地址来封装，并且从归属代理130b发送封装的IP 分组。从归属代理130b发送的具有"CoA2"作为目标地址的IP分组通 过接入路由器120b递交到具有"CoA2"作为转交地址的移动终端110b。 在移动终端110b中，在接收到从归属代理130b发送的IP分组时，解 封装接收的IP分组，并且接收到具有"HoAl"作为起始地址以及 "HoA2"作为目标地址的IP分组。通过这种方式，根据移动IPv6，因为移动终端110a和110b的当 前位置分别由归属代理130a和130b管理，所以即使当移动终端110a 和110b移动时，指向移动终端110a和110b的IP分组也可通过归属代 理130a和130b传送到移动终端110a和110b;因此保证了移动贯穿(例 如，参考日本专利早期公开No. 2005-26941)。在此，上述移动IPv6包括优化移动终端110a和110b之间发送/ 接收IP分组的通信路由的技术。以下将描述通信路由优化处理。
如上所述，当从移动终端110a发送到移动终端110b的IP分组通 过使用归属代理130b的IP地址"HA2"作为起始地址以及"CoA2" 作为目标地址来封装时，移动终端110b将归属地址"HoA2"和移动终 端110b的转交地址"CoA2"的组合发送到移动终端110a来进行位置 注册请求(BU)。在移动终端110a中，在接收到从移动终端U0b发送的位置注册 请求(BU)时，便验证了它的有效性，并且移动终端lib的归属地址 "HoA2"和转交地址"CoA2"的组合注册至用于路由优化的存储器， 同时，位置注册确认(BA)被发送到移动终端110b。此后，在从移动终端110a发送指向移动终端110b的IP分组时， 就从移动终端110a发送具有"CoAl"作为起始地址、"CoA2"作为 目标地址以及"HoAl"作为归属地址选项的IP分组。该IP分组被递 交到移动终端110b，而不经过归属代理130a和130b。这种通信路由优化处理防止了通信路由变得冗余从而导致移动终 端110a和110b之间发送/接收IP分组的延迟(例如参考日本专利早期 公开No. 2005-33469)。然而，在这种优化移动终端110a和110b之间的通信路由的技术 中，指示移动终端110a和110b的当前位置的转交地址"CoAl"和转 交地址"CoA2"被传送到其它通信方，从而每个移动终端的当前位置 由其它通信方所知。因此，对于通信路由被优化的通信，已经研究了一种接入路由器 120a和120b封装或者解封装在移动终端110a和110b之间发送/接收的 IP分组的边缘移动技术。根据这种边缘移动技术，接入路由器120a和 120b执行上述向归属代理130a和130b的位置注册请求(BU)、移动
终端110a和110b的转交地址"CoA"的产生以及路由优化处理，而不 是由移动终端110a和110b来执行。因此，移动终端110a和110b的转交地址"CoAl"和"CoA2"不 是在移动终端110a和110b中管理，而是在接入路由器120a和120b 中管理。而且，当移动终端110a和110b通过上述优化路由执行IP分 组发送/接收而不使用归属代理130a和130b时，移动终端110a和110b 的转交地址"CoAl"和"CoA2"仅在接入路由器120a和120b之间发 送/接收。因此，转交地址不被传送到其它通信方，从而能够防止移动 终端的当前位置被其它通信方所知。此外，在上述移动IPv6中，通过在应用边缘移动技术的接入路由 器120a和120b以及归属代理130a和130b之间递交均存储在接入路由 器120a和120b中的关于移动终端110a和110b的唯一信息以及关于归 属代理130a和130b的唯一信息，使用一种用于去往/来自移动终端110a 和110b的IP分组发送/接收的构建安全关联(SA)技术。以下将以针 对去往/来自移动终端110a的IP分组发送/接收建立安全关联的情况作 为例子，描述在图1所示的接入路由器120a和归属代理130a之间构建 安全关联的方法。当移动终端110a从归属代理130a下的归属核心网络131a或者另 一个接入网移动到接入路由器120a下的接入网121a时，首先，通过利 用接入路由器120a的IP地址前缀和移动终端110a的MAC地址来在 接入路由器120a中产生移动终端110a的转交地址，其中在该接入路由 器120a下存在移动终端110a移动至的接入网121a，并且该移动终端 110a的转交地址和归属地址彼此关联并且向内部存储器注册。因此， 在接入路由器120中设置了移动终端110a使用产生的转交地址的代理 功能。接着，在接入路由器120a和归属代理130a之间通过使用IKE (因
特网密钥交换)来建立用于移动终端110a的转交地址和归属代理130a 的归属地址之间的信号发送的加密传输路由。接着，在接入路由器120a中用于移动终端110a的FQDN (完全 限定域名)根据ISAKMP (因特网安全关联和密钥管理协议)从接入 路由器120a传送到归属代理130a。随后，在归属代理130a中的FQDN根据ISAKMP从归属代理130a 传送到接入路由器120a。接着，移动终端110a的归属地址根据ISAKMP从接入路由器120a 传送到归属代理130a，并且作为对此的响应，归属代理130a的IP地 址根据ISAKMP从归属代理130a传送到接入路由器120a。此后，移动终端110a的归属地址和针对移动终端110a产生的转 交地址的组合从接入路由器120a发送到归属代理130a，从而进行了位 置注册请求(BU)。随后，在归属代理130a中验证它的有效性，并且此后从移动终端 110a发送的归属地址和转交地址被彼此关联并且向归属代理130a中的 绑定缓存(BC)注册，并且同时，在接入路由器120a和归属代理130a 之间通过使用IKE来建立移动终端110a的转交地址和归属代理130a 的归属地址之间用户数据的加密传输路由。当通过这种方式建立安全关联时，归属代理130a和130b仅接收 从建立了安全关联的移动终端发送的IP分组。如上所述，当在接入路由器和归属代理之间建立了移动终端的安 全关联时，对其建立安全关联的移动终端的归属地址从接入路由器传 送到归属代理；但是当移动终端移动，并且其中设置移动终端代理功
能的接入路由器改变，并且该接入路由器类似地执行在归属代理和接 入路由器之间建立安全关联的处理时，因为移动终端的归属地址已经 在归属代理中注册为建立了安全关联的移动终端的归属地址，所以移 动终端的安全关联不能在该移动终端的目标接入路由器中建立。发明内容本发明的一个目标是提供一种移动通信控制方法、移动通信系统、 路由设备、管理设备以及程序，其中甚至当移动终端移动并且其中设 置移动终端代理功能的作为路由设备的接入路由器改变时，仍然可在 目标路由设备中建立对于移动终端的安全关联。为了达到以上目标，本发明包括 移动终端；管理关于移动终端的移动信息的管理设备；以及 具备接入网的路由设备，其在位于接入网的移动终端和管理设备之间传送分组，用于移动终端的安全关联在路由设备和管理设备之间建立；其中当移动终端从路由设备的接入网移动到另一个路由设备的接 入网时，该路由设备将所述另一个路由设备指定为对于管理设备的替 代路由设备，并且当移动终端从所述另一个路由设备的接入网移动到 路由设备的接入网时，路由设备将所述另一个路由设备指定为对于管 理设备的原始路由设备，并且同时，将路由设备指定为对于管理设备 的替代路由设备，并且其中管理设备执行从为移动终端在管理设备和具备移动终端发起 接入网的路由设备之间建立的安全关联，到为移动终端在管理设备和 具备移动终端目标接入网的路由设备之间建立的安全关联的转移。而且，路由设备将在路由设备中关于位于路由设备具备的接入网 中的移动终端的目标的唯一信息传送到管理设备，并且当移动终端从 路由设备的接入网移动到另一个路由设备的接入网时，路由设备在具
备目标接入网的路由设备中获得了关于移动终端的目标的唯一信息， 并且将关于目标的唯一信息作为替代信息传送到管理设备，同时，将 路由设备中关于移动终端的目标的唯一信息传送到所述另一个路由设 备，并且当移动终端从另一个路由设备的接入网移动到路由设备的接 入网时，路由设备将路由设备中关于移动终端的目标的唯一信息作为 替代信息传送到管理设备，同时将从所述另一个路由设备传送的所述 另一个路由设备中的关于移动终端的目标的唯一信息指定为管理设备 的原始信息，并且当管理设备通过使用从路由设备传送的关于目标的唯一信息为移 动终端在管理设备和路由设备之间建立安全关联，并且作为原始信息 从路由设备传送的关于目标的唯一信息被管理设备保持用于建立安全 关联，并且从具备移动终端的目标接入网的路由设备作为替代信息传 送的关于目标的唯一信息是从具备移动终端的发起接入网的路由设备 作为替代信息传送的关于目标的唯一信息时，管理设备作出从为移动 终端在管理设备和具备移动终端的发起接入网的路由设备之间建立的 安全关联，到为移动终端在管理设备和具备移动终端的目标接入网的 路由设备之间建立的安全关联的转移。而且，当在路由设备中指定删除为移动终端在移动终端的发起路 由设备和管理设备之间建立的安全关联时，管理设备作出从为移动终 端在路由设备和管理设备之间建立的安全关联，到为移动终端在移动 终端的目标路由设备和管理设备之间建立的安全关联的转移。而且，管理设备将从具备移动终端的发起接入网的路由设备作为 替代信息传送的关于目标的唯一信息修改为原始信息，并且从而作出 从为移动终端在管理设备和具备移动终端的发起接入网的路由设备之 间建立的安全关联，到为移动终端在管理设备和具备移动终端的目标 接入网的路由设备之间建立的安全关联的转移。根据具有上述结构的本发明，当在具备移动终端所处的接入网的
第一路由设备和管理关于移动终端的移动信息的管理设备之间为移动 终端建立安全关联之后移动终端移动时，当第一路由设备将具备移动 终端的目标接入网的第二路由设备对于管理设备指定为替代路由设备 时，以及第二路由设备将第一路由设备对于管理设备指定为原始路由 设备时，并且同时将第二路由设备指定为对于管理设备的替代路由设 备时，作出从为移动终端在第一路由设备和管理设备之间建立的安全 关联，到为移动终端在第二路由设备和管理设备之间建立的安全关联 的转移。更具体地，当在第一路由设备中关于移动终端的目标的唯一信息 从第一路由设备传送到管理设备，并且同时管理设备的唯一信息从管 理设备传送到第一路由设备从而为移动终端在第一路由设备和管理设 备之间建立安全关联之后移动终端移动时，当第一路由设备获得在第 二路由设备中关于移动终端的目标的唯一信息并且将该关于目标的唯 一信息指定为对于管理设备的替代信息，并且同时将第一路由设备中 关于移动终端的目标的唯一信息从第一路由设备传送到第二路由设 备，并且第二路由设备将在第二路由设备中关于移动终端的目标的唯 一信息对于管理设备指定为替代信息，并且同时指定第一路由设备中 关于移动终端的目标的唯一信息对于管理设备指定为原始信息，并且 将管理设备的唯一信息从管理设备传送到第二路由设备时，当作为原 始信息从第二路由设备传送的关于目标的唯一信息由管理设备保持来 建立安全关联，并且同时从第二路由设备作为替代信息传送的关于目 标的唯一信息是作为替代信息从第一路由设备传送的关于目标的唯一 信息时，作出从为移动终端在第一路由设备和管理设备之间建立的安 全关联，到为移动终端在第二路由设备和管理设备之间建立的安全关 联的转移。通过这种方式，甚至当移动终端移动并且其中设置了移动终端代 理功能的路由设备改变时，其中建立安全关联的路由设备被设置为原 始的，并且移动终端的目标路由设备被设置为替代的，并且其后通过
使用这些作出从已经建立的安全关联到移动终端的目标路由设备中的 安全关联的转移。此外，如果在第一路由设备中指定删除为移动终端在第一路由设 备和管理设备之间建立的安全关联之后作出转移时，安全性得到进一 步提高。如上所述，根据本发明，当移动终端移动并且其中设置移动终端 代理功能的路由设备改变时，其中已经建立了安全关联的路由设备被 设置为原始的，并且移动终端的目标路由设备被设置为替代的，并且 其后通过使用这些作出从已经建立的安全关联到移动终端的目标路由 设备中的安全关联的转移。因此，甚至当已经为其建立了安全关联的 移动终端移动并且其中设置代理移动终端功能的接入路由器改变时， 用于移动终端的安全关联还是可在目标接入路由器中建立。


图1是说明基于移动IPv6的传统移动通信系统的示例结构的视图；图2是说明根据本发明的移动通信系统的具体实施例的视图； 图3是说明用于管理安全关联的安全关联管理装置的结构框图， 该安全关联管理装置包括在图2所示的归属代理的结构中；图4是用于解释当用于移动终端的安全关联在图2和3所示的移 动通信系统中的归属代理和接入路由器之间建立时的处理的流程图；图5是说明在图2所示的接入路由器中的存储器中设置的示例表 的视图；图6是说明在图2所示的归属代理中的绑定缓存中设置的示例表 的视图；图7a是说明封装之前的分组状态的视图，用于解释图2所示的接 入路由器中的封装；图7b是说明封装之后的分组状态的视图，用于解释图2所示的接
入路由器中的封装；图8a是说明封装之前的分组状态的视图，用于解释图2所示的归 属代理中的封装；图8b是说明封装之后的分组状态的视图，用于解释图2所示的归 属代理中的封装。
具体实施方式
图2是说明根据本发明的移动通信系统的具体实施例的视图。如图2所示，根据具体实施例，配置了两个分别具有归属核心网 络31a和31b的作为管理设备的归属代理30a和30b;基于IP分组的 发送/接收的通信在具有由归属代理30a管理的移动信息的移动终端 10a和具有由归属代理30b管理的移动信息的移动终端10b之间执行。 移动终端10a位于接入网21a中，作为第一路由设备的接入路由器20a 具备该接入网，接入网21a处于接入路由器20a之下；移动终端10b 位于接入网21b中，接入路由器20b支持该接入网，接入网21b处于 接入路由器20b之下。此外，接入网21c通过作为第二路由设备的接入 路由器20c连接到归属代理30a。在这种情况下，移动终端10a和10b 具有分别作为唯一 IP地址的归属地址"HoAl"和"HoA2";归属地 址"HoAl"和"HoA2"分别向归属代理30a和30b注册。而且，接入 路由器20a和20b分别具有位于接入路由器20a和20b下的接入网21a 和21b中的移动终端10a和10b的转交地址"CoAl"和"CoA2"作为 自身的IP地址。当接入路由器20a和20b将关于移动终端10a和10b 的位置注册请求(BU)发送到归属代理30a和30b时，归属地址"HoAl " 和"HoA2"以及转交地址"CoAl"和"CoA2"彼此关联并且由归属 代理30a和30b注册和管理。图3是说明用于管理安全关联的安全关联管理装置的结构框图， 安全关联管理装置被包括在图2所示的归属代理的结构中。
如图3所示，为了实施用于执行安全关联管理的安全关联管理装置，归属代理30a具备安全关联分组产生器32、安全关联数据库33、 安全关联数据控制器34、选择器35以及过滤器36。选择器35将IPsec隧道管理器38接收的控制相关分组划分为用于 建立安全关联的IP分组，即根据ISAKMP接收的IP分组以及其它IP 分组，并且将它们输出。使用由IPsec隧道管理器38接收并且由选择器35划分的控制相关 分组中包含的用于建立安全关联的IP分组，安全关联数据库控制器34 执行在安全关联数据库33中作为原始信息的PrimarylD和IP地址以及 作为替代信息的Alternate ID和IP地址的注册或删除，并且同时将用 于建立安全关联的分组传输请求发送到安全关联分组产生器32。响应于从安全关联数据控制器34发送的分组传输请求，安全关联 分组产生器32查询安全关联数据库33并且产生和传输用于建立安全 关联的IP分组。过滤器36查询安全关联数据库33，并且将通过选择器35从用于 建立安全关联的IP分组中分离的其它IP分组划分为用于作出位置注册 请求(BU)，即包含移动终端的归属地址和转交地址的分组，来自对 其已经建立了安全关联的移动终端的控制相关分组以及来自对其还没 有建立安全关联的移动终端的分组，并且将它们输出。在作为划分结果而获得的分组中，包含移动终端的归属地址和转 交地址的分组向绑定缓存(BC)注册，其中归属地址和转交地址彼此 关联，并且来自对其已经建立了安全关联的移动终端的控制相关分组 被传送到路由器功能模块(未示出)，并且来自对其还没有建立安全 关联的移动终端的分组被作为不适当的分组丢弃。将通过把在归属代理30a和接入路由器20a与20c之间建立用于 移动终端10a的安全关联以及IP分组在移动终端10a和10b之间发送/ 接收的情况作为例子，来描述在具有上述结构的移动通信系统中的移 动通信控制方法。图4是用于解释当用于移动终端的安全关联在图2和3所示的移 动通信系统中的归属代理和接入路由器之间建立时的处理的流程图。当移动终端10a从归属代理30a下的归属核心网络31a或者另一 个接入网移动到接入路由器20a下的接入网21a时，首先，在移动终端 lOa移动到的接入网21a所处的接入路由器20a中，通过使用接入路由 器20a的IP地址前缀和移动终端10a的MAC地址来产生移动终端10a 的转交地址，并且该移动终端10a的转交地址和归属地址彼此关联并且 向内部存储器注册。因此，使用产生的转交地址的移动终端10a的代理 功能在接入路由器20a中设置。图5是说明在图2所示的接入路由器20a中的存储器中设置的示 例表的视图。如图5所示，在接入路由器20a中，对于接入路由器20a下的接 入网21a中的每个移动终端，归属地址(HoA)和转交地址(CoA)在 存储器中注册，同时彼此关联并在表中设置。随后，通过使用IKE (因特网密钥交换)，在接入路由器20a和 归属代理30a之间建立加密传输路由，用于在移动终端10a的转交地址 和归属代理30a的归属地址之间发送信号(步骤S1)。在此，用于发 送信号的加密传输路由是用于建立安全关联的传送IP分组的加密传输 路由，如下所述在接入路由器20a和归属代理30a之间交换IP分组。随后，在接入路由器20a中用于移动终端10a的FQDN作为接入
路由器20a中的关于接入路由器20a的目标的唯一信息，根据ISAKMP 从接入路由器20a传送到归属代理30a(步骤S2)。在这种情况下，通 过接入路由器20a中的安全关联管理装置(未示出)来执行接入路由器 20a中的用于移动终端10a的FQDN到归属代理30a的传送。接入路由 器20a中用于移动终端10a的该FQDN由归属代理30a的IPsec隧道管 理器38接收并通过选择器35发送到安全关联数据库控制器34;安全 关联数据库控制器34将接入路由器20a中用于移动终端10a的FQDN 作为PrimaryID向安全关联数据库33注册。接着，安全关联数据库控制器34将分组传输请求发送到归属代理 30a的安全关联分组产生器32，并且安全关联分组产生器32产生包含 作为归属代理30a的唯一信息的FQDN的分组，并且该分组根据 ISAKMP从归属代理30a传送到接入路由器20a (步骤S3)。随后，移动终端10a的归属地址根据ISAKMP从接入路由器20a 传送到归属代理30a(步骤S4);响应于此，归属代理30a的安全关联 分组产生器32产生包含作为归属代理30a的唯一信息的IP地址的分 组，并且该分组根据ISAKMP从归属代理30a传送到接入路由器20a (步骤S5)。在这种情况下，也由接入路由器20a中的安全关联管理 装置来执行移动终端10a的归属地址到归属代理30a的传送。此后，由接入路由器20a为移动终端10a产生的并且作为关于移 动终端10a的目标的唯一信息的移动终端lOa的归属地址和转交地址的 组合，从接入路由器20a发送到归属代理30a，从而作出了位置注册请 求(BU)。该转交地址由归属代理30a的IPsec隧道管理器38接收并 且通过选择器35发送到安全关联数据库控制器34;安全关联数据库控 制器34将接入路由器20a中用于移动终端10a的转交地址作为 PrimaryIP地址向安全关联数据库33注册。接着，通过使用IKE在接入路由器20a和归属代理30a之间建立
用于用户数据在移动终端10a的转交地址和归属代理30a的归属地址之 间的加密传输路由(步骤S7)，并且同时在其有效性由归属代理30a 验证之后，绑定缓存管理器37将归属地址和从移动终端10a发送的转 交地址相关联，并且将它们注册在归属代理30a中的绑定缓存(BC) 中(步骤S8)。在此，用于用户数据的加密传输路由是用于在接入路 由器20a和归属代理30a之间传输用户数据的加密传输路由。图6是说明在图2所示的归属代理30a中绑定缓存中设置的示例 表的视图。如图6所示，在归属代理30a中，每个移动终端根据位置进行管 理，归属地址(HoA)和转交地址(CoA)被注册在绑定缓存(BC) 中同时彼此关联并在表中设置。通过这种方式，建立了安全关联，并且此后归属代理30a和30b 仅接收已经建立了安全关联的移动终端发送的IP分组。当具有作为发起地址的移动终端10a的归属地址"HoAl"以及作 为目标地址的移动终端10b的归属地址"HoA2"的IP分组从移动终端 10a发送到已经为其在归属代理30a和30b以及接入路由器20a和20b 之间建立了安全关联移动终端10b时，那么接入路由器20a通过将用于 移动终端10a的转交地址"CoAl"设置为发起地址并且将归属代理30a 的IP地址"HA1"设置为目标地址来封装从移动终端10a发送的IP分 组。图7a是说明封装之前的分组状态的视图，用于解释图2所示的接 入路由器20a中的封装。图7b是说明在封装之后的分组状态的视图， 用于解释图2所示的接入路由器20a中的封装。当具有作为发起地址的移动终端10a的归属地址"HoAl"以及作
为目标地址的移动终端10b的归属地址"HoA2"的IP分组，如图7a 所示从移动终端10a发送时，如图7b所示，接入路由器20a通过将用 于移动终端10a的转交地址"CoAl"设置为发起地址并且将归属代理 30a的IP地址"HA1"设置为目标地址来封装该IP分组，并且传送该 IP分组。由接入路由器20a封装的具有归属代理30a的IP地址"HA1"作 为目标地址的IP分组被递交到归属代理30a。在接收到从移动终端10b 发送的IP分组时，归属代理30a解封装接收的IP分组并且发送具有 "HoAl"作为发起地址和"HoA2"作为目标地址的IP分组。从归属地址30a发送的具有"HoA2"作为目标地址的IP分组被 递交到归属代理30b。在归属代理30b中，在接收从归属代理30a发送 的IP分组时，查询在归属代理30b中的绑定缓存，并组织作为IP分组 目标的移动终端10b的转交地址"CoA2"，并且接收的IP分组通过使 用归属代理30b的IP地址"HA2"作为发起地址以及"CoA2"作为目 标地址来封装并发送。图8a是说明封装之前的分组状态的视图，用于解释图2所示的归 属代理30b中的封装。图8b是说明在封装之后的分组状态的视图，用 于解释图2所示的归属代理30b中的封装。当具有作为发起地址的移动终端10a的归属地址"HoAl"以及作 为目标地址的移动终端10b的归属地址"HoA2"的IP分组，如图8a 所示从归属代理30a发送时，如图8b所示，归属代理30b通过使用归 属代理30b的IP地址"HA2"作为发起地址以及移动终端10b的转交 地址"CoA2"作为目标地址来封装该IP分组，并且传送该IP分组。从归属代理30b发送的具有"CoA2"作为目标地址的IP分组被 递交到接入路由器20b。在接收到从归属代理30b发送的IP分组时，
接入路由器20b解封装接收的IP分组，并且向移动终端10b发送具有"HoAl"作为发起地址和"HoA2"作为目标地址的IP分组。因此，从移动终端10a发送的IP分组由移动终端10b接收。现在将参考图4的流程图来描述移动终端10a从接入网21a移动 到接入网21c的处理。在步骤S7，通过使用IKE在接入路由器20a和归属代理30a之间 建立用于用户数据在移动终端10a的转交地址和归属代理30a的归属地 址之间的加密传输路由。在步骤S8，将归属地址和从移动终端10a发 送的转交地址相关联，并且将它们注册在归属代理30a中的绑定缓存 (BC)中，并且此后移动终端10a从接入网21a到接入网21c中的移 动使得接入网21c所处的接入路由器20c，通过使用接入路由器20c的 IP地址前缀和移动终端10a的MAC地址来产生用于移动终端10a的转 交地址，并且该转交地址和移动终端10a的归属地址彼此关联并且向内 部存储器注册。因此，在接入路由器20c中设置使用产生的转交地址的 移动终端10a的代理功能(步骤S9)。而且，接入路由器20c发送具 有作为发起地址的接入路由器20c的IP地址以及作为目标地址的移动 终端10a的归属地址的CN (通信节点)信息请求命令。因此，在作为 移动终端10a的起点的接入网21a所处的接入路由器20a和作为移动终 端10a的目标的接入网21c所处的接入路由器20c之间的认证以及它们 之间的背景信息传送开始(步骤SIO， Sll)。在此，在来自接入路由 器20c的CN信息请求命令中，作为负载包含了指示该命令是CN信息 请求命令的信息、移动终端10a的归属地址、接入路由器20c中用于移 动终端10a的FQDN以及由接入路由器20c产生的用于移动终端10a 的转交地址。从接入路由器20c发送的CN信息请求命令通过归属代理30a由 接入路由器20a接收。因此，接入路由器20a获得在接入路由器20c
中用于移动终端10a的FQDN以及由接入路由器20c产生用于移动终 端10a的转交地址，该FQDN和转交地址是关于移动终端10c的目标 的唯一信息。接着，使用接入路由器20a中的安全关联管理装置，包含在接收 的CN信息请求命令中的在接入路由器20c中用于移动终端10a的 FQDN以及由接入路由器20c产生的用于移动终端10a的转交地址被作 为表示替代信息的AlternateID和AlternateIP地址根据ISAKMP从接入 路由器20a传送到归属代理30a (步骤S12)。因此，接入路由器20a 将接入路由器20c指定为对于归属代理30a的替代路由设备。随后，在接入路由器20a中由移动终端lOa使用的信息从接入路 由器20a传送到接入路由器20c (步骤S13)，该信息包括在接入路由 器20a中关于移动终端10a的目标的唯一信息，该唯一信息是接入路由 器20a中移动终端10a的FQDN和由接入路由器20a产生的移动终端 10a的转交地址。可通过例如无线/有线通信路由或通过网络来执行该 信息传送。然而，在接入路由器20a中移动终端10a的FQDN和由接 入路由器20a产生的移动终端10a的转交地址优选地通过使用加密的安 全通信路由传送。而且，在归属代理30a中，从接入路由器20c传送的在接入路由 器20c中用于移动终端10a的FQDN和由接入路由器20c产生的用于 移动终端10a的转交地址，由归属代理30a的IPsec隧道管理器38接 收，并且通过选择器35发送到安全关联数据库控制器34;随后在接入 路由器20c中用于移动终端10a的FQDN和由接入路由器20c产生的 用于移动终端10a的转交地址，由安全关联数据库控制器34在安全关 联数据库33中分别注册为AlternateID和AlternateIP地址(步骤S14)。 在这种情况下，在接入路由器20c中用于移动终端10a的FQDN和由 接入路由器20c产生的用于移动终端10a的转交地址，从已经与归属代 理30a建立了安全关联的接入路由器20a发送，从而其在归属代理30a
中是可靠的信息。随后，使用IKE在接入路由器20c和归属代理30a之间建立用于 在移动终端10a的转交地址和归属代理30a的归属地址之间发送信号的 加密传输路由(步骤S15)。随后，在接入路由器20a中用于移动终端10a的FQDN和在接入 路由器20c中用于移动终端10a的FQDN被分别作为表示原始信息的 PrimaryID和作为替代信息的AlternatelD根据ISAKMP从接入路由器 20c通过接入路由器20c中的安全关联管理装置(未示出)传送到归属 代理30a (步骤S16)。接着，归属代理30a的安全关联分组产生器32产生包含作为归属 代理30a的唯一信息的FQDN的分组，并且该分组根据ISAKMP从归 属代理30a传送到接入路由器20c (步骤S17)。随后，由接入路由器20a产生的用于移动终端10a的转交地址以 及由接入路由器20c产生的用于移动终端10a的转交地址分别作为表示 原始信息的PrimaryIP地址和作为替代信息的AlternateIP地址根据 ISAKMP从接入路由器20c通过接入路由器20c中的安全关联管理装置 (未示出)传送到归属代理30a (步骤S18)。作为步骤S16和S18中 PrimaryID和PrimaryIP地址从接入路由器20c传送的结果，接入路由 器20a被接入路由器20c指定为原始路由设备。而且，作为从接入路由 器20c传送AlternatelD和AlternateIP地址的结果，接入路由器20c被 接入路由器20c指定为替代路由设备。接着，归属代理30a的安全关联分组产生器32产生包含作为归属 代理30a的唯一信息的IP地址的分组。该分组根据ISAKMP从归属代 理30a传送到接入路由器20c (步骤S19)。
此后，当从接入路由器20c到接入路由器20a的背景信息传送完 成时(步骤S20)，由接入路由器20a作出在接入路由器20a和归属代 理30a之间删除用于移动终端10a的安全关联的请求(步骤S21)。从 接入路由器20a到归属代理30a的该请求也由接入路由器20a中的安全 关联管理装置执行。在归属代理30a中，在步骤S16中从接入路由器20c作为Primary ID 传送的接入路由器20a中用于移动终端10a的FQDN已经从具有可靠 性的接入路由器20a传送，并且向安全关联数据库33注册为PrimarylD; 并且在步骤16中从接入路由器20c作为AlteraateID传送的接入路由器 20c中用于移动终端10a的FQDN已经从具有可靠性的接入路由器20a 传送，并且向安全关联数据库33注册为AlternateID;在步骤S18中从 接入路由器2Oc作为PrimaryIP地址传送的由接入路由器20a产生的用 于移动终端10a的转交地址己经从具有可靠性的接入路由器20a传送， 并且向安全关联数据库33注册为PrimaryIP地址；并且在步骤18中从 接入路由器20c作为AlternateIP地址传送的由接入路由器20c产生的 用于移动终端10a的转交地址已经从具有可靠性的接入路由器20a传 送，并且向安全关联数据库33注册为AlternateIP地址。因此，响应于 来自接入路由器20a的请求，通过使用接入路由器20a和归属代理30a 之间的IKE来删除移动终端10a的转交地址和归属代理30a的归属地 址之间信号发送的加密传输路由(步骤S22)。而且，归属代理30a的安全关联数据库控制器34将接入路由器20c 中向安全关联数据库33注册为AltemateID的移动终端10a的FQDN 修改为PrimaryID (步骤S23)，并且将由接入路由器20c产生的向安 全关联数据库33注册为AlteraateIP地址的移动终端10a的转交地址修 改为PrimaryIP地址(步骤S24)。此后，移动终端10a归属地址和由接入路由器20c产生的移动终 端10a转交地址的组合从接入路由器20c发送到归属代理30a，从而作
出了位置注册请求(BU)(步骤S25)。在归属代理30a中验证它的 有效性之后，绑定缓存管理器37将归属地址和从移动终端10c发送的 转交地址相关联并且将它们向归属代理30a中的绑定缓存(BC)中注 册(步骤S26)。而且，使用IKE在接入路由器20c和归属代理30a之间建立移动 终端10a的转交地址和归属代理30a的归属地址之间的用户数据的加密 传输路由(步骤S27)。通过这种方式，作出为移动终端10a在作为移动终端10a的起点 的接入网21a所在的接入路由器20a和归属代理30a之间建立的安全关 联，到为移动终端10a在作为移动终端10a的目标的接入网21c所在的 接入路由器20c和归属代理30a之间建立的安全关联的转移。根据本发明，可以注意到，不是使用以上所述的硬件来实施接入 路由器20a和20c以及归属代理30a中的处理， 一种用于实现该功能的 程序可记录在可由接入路由器20a和20c以及归属代理30a读取的记录 介质上，记录在该记录介质上的程序被读取至接入路由器20a和20c 以及归属代理30a以供执行。"可由接入路由器20a和20c以及归属代 理30a读取的记录介质"指示诸如软盘、磁光盘、DVD和CD的记录 介质，并且还指示集成在接入路由器20a和20c以及归属代理30a中的 HDD等。记录在记录介质上的程序例如通过控制模块来读取，在控制 模块的控制下执行的类似于上述的处理。
权利要求
1.一种用于移动通信系统中的移动通信控制方法，该移动通信系统包括移动终端；管理关于所述移动终端的移动信息的管理设备；以及具备接入网并且在位于所述接入网中的移动终端和所述管理设备之间传送分组的路由设备，该移动通信控制方法包括以下步骤为所述移动终端在所述管理设备和具备所述移动终端位于其中的接入网的第一路由设备之间建立安全关联；在所述第一路由设备中，在所述移动终端移动时，将具备移动终端的目标接入网的第二路由设备指定为对于所述管理设备的替代路由设备；在所述第二路由设备中，将所述第一路由设备指定为对于所述管理设备的原始路由设备，并且同时，将所述第二路由设备指定为对于所述管理设备的替代路由设备，以及将为所述移动终端在所述第一路由设备和所述管理设备之间建立的安全关联转移到为所述移动终端在所述第二路由设备和所述管理设备之间建立的安全关联。
2. 如权利要求1所述的移动通信控制方法，包括以下步骤 将在所述第一路由设备中关于目标的唯一信息从所述第一路由设备传送到所述管理设备，并且同时，将关于所述管理设备的唯一信息 从所述管理设备传送到所述第一路由设备，从而为所述移动终端在所 述第一路由设备和所述管理设备之间建立安全关联；在所述第一路由设备中，在所述移动终端移动时，获得在所述第 二路由设备中关于所述移动终端的目标的唯一信息并且将关于目标的 所述唯一信息作为替代信息传送到所述管理设备；将所述第一路由设备中关于所述移动终端的目标的所述唯一信息 从所述第一路由设备传送到所述第二路由设备；在所述第二路由设备中，将所述第二路由设备中关于所述移动终端的目标的唯一信息作为替代信息传送到所述管理设备，并且同时， 传送从所述第一路由设备传送的在所述第一路由设备中关于所述移动 终端的目标的所述唯一信息，并且将关于所述管理设备的所述唯一信 息从所述管理设备传送到所述第二路由设备；以及当作为原始信息从所述第二路由设备传送的关于目标的所述唯一 信息由所述管理设备保持从而建立所述安全关联，并且同时作为所述 替代信息从所述第二路由设备传送到所述管理设备的关于目标的所述 唯一信息是作为所述替代信息从所述第一路由设备传送到所述管理设 备的关于目标的所述唯一信息时，将为所述移动终端在所述第一路由 设备和所述管理设备之间建立的所述安全关联转移到为所述移动终端 在所述第二路由设备和所述管理设备之间建立的所述安全关联。
3. 如权利要求2所述的移动通信控制方法，其特征在于，当在所 述第一路由设备中指定删除为所述移动终端在所述第一路由设备和所 述管理设备之间建立的安全关联时，将为所述移动终端在所述第一路 由设备和所述管理设备之间建立的所述安全关联转移到为所述移动终 端在所述第二路由设备和所述管理设备之间建立的所述安全关联。
4. 如权利要求2所述的移动通信控制方法，其特征在于，当将从 所述第一路由设备作为所述替代信息传送到所述管理设备的关于目标 的所述唯一信息修改为原始信息时，将为所述移动终端在所述第一路 由设备和所述管理设备之间建立的所述安全关联转移到为所述移动终 端在所述第二路由设备和所述管理设备之间建立的所述安全关联。
5. 如权利要求3所述的移动通信控制方法，其特征在于，当将从 所述第一路由设备作为所述替代信息传送到所述管理设备的关于目标 的所述唯一信息修改为原始信息时，将为所述移动终端在所述第一路 由设备和所述管理设备之间建立的所述安全关联转移到为所述移动终 端在所述第二路由和所述设备管理设备之间建立的所述安全关联。
6. —种移动通信系统，包括 移动终端；管理关于所述移动终端的移动信息的管理设备；以及 具备接入网并且在位于所述接入网中的移动终端和所述管理设备 之间传送分组的路由设备，在所述路由设备和所述管理设备之间建立 用于所述移动终端的安全关联其中当所述移动终端从所述路由设备的所述接入网移动到另一个 路由设备的接入网时，所述路由设备将所述另一个路由设备指定为对 于所述管理设备的替代路由设备，并且当所述移动终端从所述另一个 路由设备的所述接入网移动到所述路由设备的所述接入网时，所述路 由设备将所述另一个路由设备指定为对于所述管理设备的原始路由设 备，并且同时，将所述路由设备指定为对于所述管理设备的替代路由 设备，以及其中所述管理设备将为所述移动终端在所述管理设备和具备所述 移动终端的发起接入网的路由设备之间建立的安全关联转移到为所述 移动终端在所述管理设备和具备所述移动终端的目标接入网的路由设 备之间建立的安全关联。
7.如权利要求6所述的移动通信系统，其中当所述路由设备将在所述路由设备中关于位于所述路由设备 具备的接入网中的移动终端的目标的唯一信息提供到所述管理设备， 并且当所述移动终端从所述路由设备的所述接入网移动到另一个路由 设备的接入网时，所述路由设备在具备所述目标接入网的所述路由设 备中获得了关于所述移动终端的目标的唯一信息，并且将关于目标的 所述唯一信息作为替代信息提供到所述管理设备，并且同时，将所述 路由设备中关于所述移动终端的目标的唯一信息提供到所述另一个路 由设备，并且当所述移动终端从另一个路由设备的接入网移动到所述 路由设备的所述接入网时，所述路由设备将关于所述移动终端的目标 的唯一信息作为替代信息传送到所述管理设备，并且同时，将从所述 另一个路由设备传送的所述另一个路由设备中的关于所述移动终端的 目标的唯一信息作为原始信息传送到所述管理设备，并且其中当所述管理设备通过使用从所述路由设备传送的关于目标的 所述唯一信息为所述移动终端在所述路由设备和所述管理设备之间建 立安全关联，并且作为所述原始信息从所述路由设备传送的关于目标 的所述唯一信息被所述管理设备保持用于建立所述安全关联，并且从 具备所述移动终端的目标接入网的路由设备作为所述替代信息传送的 关于目标的所述唯一信息是从具备所述移动终端的所述发起接入网的 所述路由设备作为替代信息传送的关于目标的所述唯一信息时，所述 管理设备将为所述移动终端在所述管理设备和具备所述移动终端的发 起接入网的所述路由设备之间建立的安全关联转移到所述移动终端在 所述管理设备和具备所述移动终端的所述目标接入网的所述路由设备 之间的安全关联。
8. 如权利要求7所述的移动通信系统，其中当在所述路由设备中指定删除为所述移动终端在所述移动终 端的发起路由设备和所述管理设备之间建立的安全关联时，所述管理 设备将为所述移动终端在所述路由设备和所述管理设备之间建立的安 全关联转移到所述移动终端在所述移动终端的目标路由设备和所述管 理设备之间的安全关联。
9. 如权利要求7所述的移动通信系统，其中当所述管理设备将从具备所述移动终端的所述发起接入网的 所述路由设备作为替代信息传送的关于目标的所述唯一信息修改为原 始信息时，所述管理设备将为所述移动终端在所述管理设备和具备所 述移动终端的所述发起接入网的所述路由设备之间建立的安全关联转 移到所述移动终端在所述管理设备和具备所述移动终端的所述目标接 入网的所述路由设备之间的安全关联。
10. 如权利要求8所述的移动通信系统，其中当管理设备将从具备所述移动终端的所述发起接入网的所述 路由设备作为替代信息传送的关于目标的所述唯一信息修改为原始信息时，所述管理设备将为所述移动终端在所述管理设备和具备所述移 动终端的所述发起接入网的所述路由设备之间建立的所述安全关联转 移到所述移动终端在所述管理设备和具备所述移动终端的所述目标接 入网的所述路由设备之间的安全关联。
11. 一种路由设备，具备接入网并且在位于所述接入网中的移动 终端和管理所述移动终端的移动信息的管理设备之间传送分组，在所 述路由设备和所述管理设备之间建立用于位于所述接入网中的所述移 动终端的安全关联，其中所述路由设备包括安全关联管理装置，用于当所述移动终端 从所述路由设备的所述接入网移动到另一个路由设备的接入网时，将 所述另一个路由设备指定为对于所述管理设备的替代路由设备，并且 当所述移动终端从所述另一个路由设备的所述接入网移动到所述路由 设备的所述接入网时，将所述另一个路由设备指定为对于所述管理设 备的原始路由设备，并且同时，将所述路由设备指定为对于所述管理 设备的替代路由设备。
12. 如权利要求11所述的路由设备，其中当所述安全关联管理装置将在所述路由设备中关于位于所述 路由设备具备的接入网中的移动终端的目标的唯一信息传送到所述管 理设备，并且所述移动终端从所述路由设备的所述接入网移动到另一 个路由设备的接入网时，所述安全关联管理装置在具备所述目标接入 网的所述路由设备中获得了关于所述移动终端的目标的唯一信息，并 且将关于目标的所述唯一信息作为替代信息传送到所述管理设备，并 且同时，将所述路由设备中关于所述移动终端的目标的所述唯一信息 传送到所述另一个路由设备，并且当所述移动终端从另一个路由设备 的接入网移动到所述路由设备的所述接入网时，所述安全关联管理装 置将所述路由设备中关于所述移动终端的目标的唯一信息作为替代信 息传送到所述管理设备，并且同时，将从所述另一个路由设备传送的 所述另一个路由设备中的关于所述移动终端的目标的唯一信息作为原始信息传送到所述管理设备。
13. —种管理设备，管理移动终端的移动信息，并且在所述管理 设备和路由设备之间建立用于位于所述路由设备具备的接入网中的移 动终端的安全关联，其中所述管理设备包括安全关联管理装置，用于当所述移动终端 从第一路由设备具备的接入网移动到第二路由设备具备的接入网，并 且所述第二路由设备在所述第一路由设备中被指定为替代路由设备， 并且所述第一路由设备被指定为原始路由设备，并且同时，所述第二 路由设备在所述第二设备中被指定为替代路由设备时，将为所述移动 终端在所述第一路由设备和所述管理设备之间建立的所述安全关联转 移到为所述移动终端在所述第二路由设备和所述管理设备之间建立的 安全关联。
14. 如权利要求13所述的管理设备，其中当所述安全关联管理装置保持在所述第一路由设备中关于所 述移动终端的目标的唯一信息，并且此后从所述第二路由设备作为原 始信息传送的关于目标的所述唯一信息已经被保持，并且同时，作为 替代信息从所述第二路由设备传送的关于目标的所述唯一信息是作为 所述替代信息已经从所述第一路由设备传送的关于目标的所述唯一信 息时，所述安全关联管理装置将为所述移动终端在所述第一路由设备 和所述管理设备之间建立的所述安全关联转移到所述移动终端在所述 第二路由设备和所述管理设备之间的安全关联。
15. 如权利要求14所述的管理设备，其中当在所述第一路由设备中指定删除为所述移动终端在所述第 一路由设备和所述管理设备之间建立的安全关联时，所述安全关联管 理装置将为所述移动终端在所述第一路由设备和所述管理设备之间建 立的所述安全关联转移到所述移动终端在所述第二路由设备和所述管 理设备之间的安全关联。
16. 如权利要求14所述的管理设备，其中当所述安全关联管理装置将从所述第一路由设备作为所述替 代信息传送的关于目标的所述唯一信息修改为原始信息时，所述安全 关联管理装置将为所述移动终端在所述第一路由设备和所述管理设备 之间建立的所述安全关联转移到所述移动终端在所述第二路由设备和 所述管理设备之间的安全关联。
17. 如权利要求15所述的管理设备，当所述安全关联管理装置将从所述第一路由设备作为所述替代信 息传送的关于目标的所述唯一信息修改为原始信息时，所述安全关联 管理装置将为所述移动终端在所述第一路由设备和所述管理设备之间 建立的所述安全关联转移到所述移动终端在所述第二路由设备和所述 管理设备之间的安全关联。
18. —种程序，用于使得计算机执行以下过程在具备所述移动终端位于其中的接入网的第一路由设备和管理所 述移动终端的移动信息的管理设备之间为移动终端建立安全关联的过程；所述第一路由设备在所述移动终端移动时将具备所述移动终端的 目标接入网的第二路由设备指定为对于所述管理设备的替代路由设备 的过程；所述第二路由设备将所述第一路由设备指定为对于所述管理设备 的原始路由设备，并且同时将所述第二路由设备指定为对于所述管理 设备的替代路由设备的过程，以及将为所述移动终端在所述第一路由设备和所述管理设备之间建立 的安全关联转移到所述移动终端在所述第二路由设备和所述管理设备 之间的安全关联的过程。
19. 如权利要求18所述的程序，使得计算机执行以下过程 用于将在所述第一路由设备中关于所述移动终端的目标的唯一信 息从所述第一路由设备传送到所述管理设备，并且同时将关于所述管 理设备的唯一信息从所述管理设备传送到所述第一路由设备，从而为 所述移动终端在所述第一路由设备和所述管理设备之间建立安全关联 的过程；所述第一路由设备在所述移动终端移动时获得在所述第二路由设 备中关于所述移动终端的目标的唯一信息并且将该关于目标的所述唯 一信息作为替代信息传送到所述管理设备的过程；将所述第一路由设备中关于所述移动终端的目标的所述唯一信息 从所述第一路由设备传送到所述第二路由设备的过程；所述第二路由设备将在所述第二路由设备中关于所述移动终端的 目标的所述唯一信息作为替代信息传送到所述管理设备，并且同时传 送从所述第一路由设备作为原始信息传送的在所述第一路由设备中关 于所述移动终端的目标的所述唯一信息，并且将关于所述管理设备的 所述唯一信息从所述管理设备传送到所述第二路由设备的过程；以及当作为所述原始信息从所述第二路由设备传送的关于目标的所述 唯一信息由所述管理设备保持从而建立所述安全关联，并且同时作为 所述替代信息从所述第二路由设备传送到所述管理设备的关于目标的 所述唯一信息是作为所述替代信息从所述第一路由设备传送到所述管 理设备的关于目标的所述唯一信息时，将为所述移动终端在所述第一 路由设备和所述管理设备之间建立的安全关联转移到所述移动终端在 所述第二路由设备和所述管理设备之间的安全关联的过程。
20. 如权利要求19所述的程序，使得计算机执行当在所述第一路 由设备中指定删除为所述移动终端在所述第一路由设备和所述管理设 备之间建立的安全关联时，将为所述移动终端在所述第一路由设备和 所述管理设备之间建立的所述安全关联转移到所述移动终端在所述第 二路由设备和所述管理设备之间的安全关联的过程。
21. 如权利要求19所述的程序，使得计算机执行将从所述第一路由设备作为所述替代信息传送到所述管理设备的关于目标的所述唯一 信息进行修改，并且因而将为所述移动终端在所述第一路由设备和所 述管理设备之间建立的所述安全关联转移到所述移动终端在所述第二 路由设备和所述管理设备之间的安全关联的过程。
22.如权利要求20所述的程序，使得计算机执行将从所述第一路由设备作为所述替代信息传送到所述管理设备的关于目标的所述唯一 信进行修改，并且因而将为所述移动终端在所述第一路由设备和所述 管理设备之间建立的所述安全关联转移到所述移动终端在所述第二路 由和所述设备管理设备之间的安全关联的过程。
全文摘要
当移动终端(10a)从接入网(21a)移动到另一个接入网(21c)时，在接入路由器(20c)中关于移动终端(10a)的目标的唯一信息作为替代信息从接入路由器(20a)传送到归属代理(30a)。该接入路由器(20c)将接入路由器(20a)中关于移动终端(10a)的目标的唯一信息作为原始信息传送到归属代理(30a)，并且同时将接入路由器(20c)中关于移动终端(10a)的目标的唯一信息作为替代信息传送到归属代理(30a)。使用这些数据，归属代理(30a)为移动终端(10a)在接入路由器(20c)和归属代理(30a)之间建立安全关联。
文档编号H04L12/56GK101151862SQ20068001070
公开日2008年3月26日 申请日期2006年1月16日 优先权日2005年3月31日
发明者傅宝浩史, 吉田薰 申请人:日本电气株式会社