一种保障移动节点安全通信的方法

专利名称：一种保障移动节点安全通信的方法
技术领域：
本发明涉及网络安全技术，尤指 一种保障移动节点安全通信的方法。
背景技术：
下一代网络(NGN, Next Generation Network)是通过通信实体之间的 IP连接来承载语音、图像和数据等多种电信业务的融合网络。NGN业务基 于多协议标签交换(MPLS， Multiprotocol Label Switching )网络的移动性控 制和传输功能是目前研究的一个热点。MPLS提供了信令和传输机制用以支 持服务质量(QoS),流量工程和虚拟专用网(VPN)功能。目前，大多数 的移动网络已经过渡到使用IP技术进行传输，并且大多数的IP路由器都支 持MPLS功能。
在移动网络环境中，移动节点(MN)往往通过无线链;洛与网络相连， 与这些接入链路相连的标签交换路径(LSP， Label Switched Path )很容易受 到攻击。而在现有技术中，对于基于MPLS网络的安全机制没有提供具体的 实现方法和处理流程，因此无法保障MN在基于MPLS网络中的安全通信。

发明内容
有鉴于此，本发明的主要目的在于提供一种保障移动节点安全通信的方 法，应用本发明所提供的方法能够保障MN在基于MPLS网络中的安全通信。 为达到上述目的，本发明的技术方案是这样实现的 一种保障移动节点安全通信的方法，执行以下步骤
移动节点(MN)建立与标签路由器/外地代理(LER/FA)、以及标签路由 器/家乡代理(LER/HA)之间的保障MN安全通信的安全关联。
另外，该方法进一步包括MN建立与标签路由器/区域外地代理(LER/RFA )
和标签路由器/网关外地家乡代理(LER/GFA)之间的保障MN安仝通信的安仝 关联。
其中，所述MN建立与LER/FA、以及LER/HA之间的安全关联，包括以 下步骤
Al 、 MN向LER/FA发送安全关联i貪求；
Bl 、LER/FA收到MN的安全关联请求后，与MN建立安全关联，向LER/HA 发送MN的安全关联请求；
Cl 、 LER/HA收到MN的安全关联请求后，与MN建立安全关联。
其中，所述画建立与LER/FA、 LER/RFA、 LER/GFA以及LER/HA之间 的安全关^f关，包括以下步骤
A2、 MN向LER/FA发送安全关联请求；
B2、LER7FA收到MN的安全关联请求后，与MN建立安全关联，向LER/RFA 发送MN的安全关联请求；
C2、 LER/RFA收到MN的安全关联请求后，与MN建立安全关联，向 LER/GFA发送MN的安全关联请求；
D2、 LER7GFA收到MN的安全关联请求后，与MN建立安全关联，向 LER/HA发送MN的安全关联请求；
E2、 LER/HA收到MN的安全关联请求后，与MN建立安全关联。
另外，该方法进一步包括，当MN在同一 LER/RFA管辖区域内，从一个 LER/FA管辖区域移动到另一个LER/FA管辖区域时，执行以下步骤
Fl、 MN向当前所在新LER/FA发送安全关联请求；
Gl、新LER/FA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在LER/RFA发送MN的安全关联请求；
Hl 、所述LER/RFA收到新LER/FA发送的安全关联请求后，更新自身与 顾的安全关联。
另外，该方法进一步包括，当MN在同一LER/GFA管辖区域内，从一个 LER/RFA管辖区域移动到另一个LER/RFA管辖区域时，执行以下步骤
F2、 MN向当前所在新LER/FA发送安全关联请求；
G2、新LER/FA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在的新LER/RFA发送MN的安全关联请求；
H2、新LER/RFA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在LER/GFA发送MN的安全关联请求；
12、所述LER/GFA收到新LER/RFA发送的安全关联请求后，更新自身与
MN的安全关联。
另外，该方法进一步包括，当MN从一 LER/GFA管辖区域移动到另一个 LER/GFA管辖区域时，执行以下步骤
F3 、 MN向当前所在新LER/FA发送安全关联请求；
G3、新LER/FA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在的新LER/RFA发送MN的安全关联请求；
H3、新LER/RFA收到MN的安全关联请求后，与MN建立安全关联，向 新LER/GFA发送MN的安全关联请求；
13、新LER/GFA收到MN的安全关联请求后，与MN建立安全关联，向 MN的家乡LER/GFA发送應的安全关联请求；
J3、所述家乡LER/GFA收到MN的安全关联请求后，更新自身与MN的 安全关联。
其中，所述安全关联请求中至少包括MN家乡地址、转交地址，MN能 够使用的安全协议和/或认证方式；
所述建立安全关联为根据安全关联请求中携带的转交地址、MN的家乡 地址，MN能够使用的安全协议和/或认证方式，与MN建立安全关联。
其中，所述更新安全关联为根据安全关联请求中携带的MN当前的转交 地址，更新所述MN安全关联中的转交地址。
其中，所述安全关联请求携带在MN发送的注册请求消息中。
其中，所述LER/FA, LER/HA和/或LER/RFA、 LER/GFA位于基于多协议 标签交换MPLS的网络中
本发明所提供的一种保障移动节点安全通信的方法，MN通过建立与
LER/FA， LER/HA,和/或LER/RFA、 LER/GFA之间的保障MN安全通信的 安全关联，保证了在MN在通信过程中安全性。本发明采用的MN建立与 LER/FA 、 LER/RFA 、 LER/GFA以及LER/HA之间安全关联的方法，能够使 MN在移动到新区域后，直接向临近的LER/F A 、 LER/RFA 、或LER/GFA 直接注册，而不必再向LER/HA进行注册，减少了向LER/HA发送消息的次 数，降低了通信时延。


图1为本发明一实施例的建立安全关联的流程图； 图2为移动节点四种网络层次移动的示意图； 图3为本发明一实施例更新安全关联的流程图； 图4为本发明另一实施例更新安全关联的流程图； 图5为本发明另一实施例更新安全关联的流程图。
具体实施例方式
安全关联(SA)是一种在两个使用IP安全(IP Sec)的实体间，如主 机或路由器，建立的逻辑连接。安全关联定义了通信双方对通信过程中某些 要素的约定，例如，使用的安全协议、协议的操作模式、密码算法、特定流 中保护数据的共享密钥、以及密钥的生存周期等。使用安全关联的两个IPSec 实体间，能够使用建立的安全关联进行安全通信。因此，在本发明中可以通 过在MN与标签路由器/家乡代理(LER/HA, Label Edge Router/Home Agent) 之间建立安全关联，从而保障MN能够进行安全通信。
由于在MPLS网络中，随着网络规;漠的增大，MN移动后进行切换的时 延也会随之增大。因此，本发明在建立安全关联时，采用逐级建立的方法， 通过这种方法可以使MN在移动到新的区域后直4妾向临近的标签路由器/外 地代理(LER/FA， Label Edge Router/Foreign Agent)、标签路由器/区域外
地代理(LER/RFA， Label Edge Router/Regional Foreign Agent)、标签路由 器/网关外地家乡代理(LER/GFA， Label Edge Router/Gateway Foreign Agent) 建立安全关if关，而不必重新与LER/HA进行协商建立安全关联，,人而减少了 与LER/HA建立安全关联过程交互的次数，减少了切换时延。
其中，LER/HA、 LER/FA、 LER/RFA以及LER/GFA均为基于MPLS 网络的中设备。LER/HA为 一种具有家乡代理功能的MPLS路由器；LER/FA 一种具有外地代理功能的MPLS路由器；LER/RFA为一种具有区域外地代 理功能的MPLS路由器；LER/GFA为 一具有网关外地代理功能的MPLS路 由器，负责管辖的范围为一个自治域。
为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举 实施例，对本发明做进一步的详细说明。
由于在MPLS网络中，无论是对移动IPv4服务还是移动IPv6服务都实 行层次化移动管理。在层次化移动管理中，LER/FA、 LER/RFA和LER7GFA 都支持局部注册功能。局部注册功能可以使MN在移动到新的区域后直接向 临近的LER/FA、 LER/RFA或LER/GFA进行注册，而不必再向HA进行注 册。因此，在本实施例中，MN采用逐级与LER/HA建立安全关联，可以是 在MN向LER/HA请求注册的同时进行。这里，MN向LER/HA注册的目的 是为了将自身当前的转交地址(COA )通知LER7HA，以使LER/HA知道自 身当前所在区域。其中，COA用来提供MN当前的位置信息。
MN采用逐级与LER/HA建立安全关联的具体流程如图l所示，包括以 下步骤
步骤101: MN通过当前自身所在区域的LER/FA向LER/HA发送注册 请求消息，注册请求消息中携带MN的COA和MN的家乡地址等移动节点 信息。
所述家乡地址是网络侧分配给MN的永久的地址，属于移动节点的家乡 链路。通过MN的家乡地址，路由机制会把发给MN的分组发送到其家乡链 路。家乡地址用于标识MN建立的安全关联。所述COA用来提供MN当前
的位置信息，以建立安仝关联。
步骤102: LER/FA收到MN发送来的注册请求消息后，对当前请求注 册的MN进4亍注册，将MN的移动节点信息，包括家乡地址以及COA地址 保存在自身的移动节点信息表中，并与MN协商建立安全关联；待LER/FA 与MN成功建立安全关联后，LER/FA为MN在自身的移动节点信息表中建 立安全关联条目，用于保存建立的安全关联。
这里，LER/FA保存自身与MN之间安全关联的目的在于，供MN在以 后的通信过程中调用，保障MN在通信过程中的安全性。
这里，LER/FA与MN协商建立安全关联，需要根据注册请求消息中携 带的家乡地址以及COA。
步骤103: LER/FA向LER/RFA发送MN的注册i奮求消息。
步骤104: LER/RFA收到LER/FA发送的MN的注册请求消息后，对当 前请求注册的MN进行注册，将MN的移动节点信息，包括家乡地址以及 COA地址保存在自身的移动节点信息表中，并与MN协商建立安全关联； 待LER/RFA与MN成功建立安全关联后，LER7RFA为MN在自身的移动节 点信息表中建立安全关联条目，用于保存自身与MN建立的安全关联。
这里，LER/RFA与MN协商建立安全关联，需要根据注册请求消息中 携带的家乡地址以及COA。
步骤105: LER/RFA向LER/GFA发送MN的注册请求消息。
步骤106: LER/GFA收到LER/RFA发送的MN的注册请求消息后，对 当前请求注册的MN进行注册，将MN的移动节点信息，包括家乡地址以及 COA地址保存在自身的移动节点信息表中，并与MN协商建立安全关联； 待LER/GFA与MN成功建立安全关联后，LER/GFA为MN在自身的移动 节点信息表中建立安全关联条目，用于保存自身与MN建立的安全关联。
这里，LER/GFA与MN协商建立安全关联，需要根据注册请求消息中 携带的家乡地址以及COA。
步骤107: LER7GFA向LER/HA发送MN的注册请求消息。
步骤108: LER/HA收到LER/GFA发送的MN的注册请求消息后，在
LER/HA上为MN进行注册，将MN的移动节点信息，包括家乡地址以及 COA地址保存在自身的移动节点信息表中，并与MN协商建立安全关联； 待LER7GFA与MN成功建立安全关联后，LER/HA为MN在自身的移动节 点信息表中建立安全关联条目，用于保存自身与MN建立的安全关联。
这里，LER/HA与MN协商建立安全关联，需要根据注册请求消息中携 带的家乡地址以及COA。
步骤109 ~ 112: LER/HA通过LER/GFA、 LER/RFA和LER/FA向MN 返回注册应答消息。
至此，本实施例MN逐级与LER/HA建立安全关联的流程结束。
在上述流程中，所述的LER/GFA为家乡LER/GFA、 LER/RFA为家乡 LER/RFA、 LER/FA为家乡LER7FA，即与MN家乡地址对应的LER/GFA、 LER/RFA和LER/FA 。
在图1所示的流程中，MN与LER/FA、 LER/RFA、 LER/GFA和LER/HA 建立安全管理的方法可以是首先在MN向LER/FA发送的注册请求消息中 进一步携带MN用于建立安全关联的信息，比如MN能够支持的安全协议的 种类，MN能够采用的认证方式的种类等信息。
当MN与LER/FA、 LER/RFA、 LER/GFA和LER/HA建立安全关联时， 则LER/FA、 LER/RFA、 LER/GFA和LER/HA则根据MN注册请求消息中 安全关联的信息，确定自身与MN之间的采用的认证方式和/或安全协议等 信息，并向MN返回确认信息，以建立自身与MN之间的安全关联。
MN与LER/FA、 LER/RFA、LER/GFA和LER/HA建立安全关联的方法， 还可以是由LER/FA、 LER/RFA、 LER/GFA和LER/HA收到MN发送的 注册请求消息触发自身与MN的交互，按照现有技术中建立安全关联的方法 建立自身与MN的安全关联。
由于本实施例提供的是一个MN逐级与LER/HA建立安全关联的方法。
因此，在本实施例中当MN移动到其他区域时，不需要与LER/HA再建立安
仝关联，而是根据实际的情况进行安仝关联的重新建立与更新。如图2所示
为，MN与通信节点用户(CN， Correspondence Nod )进行通信的过程中， MN在MPLS网络中移动的四种^t型，包括子网内访问，是指MN在同一 个LER/FA管辖范围中进行的移动；子网间访问，是指MN在不同的LER/FA 管辖范围、但在同一个LER/RFA管辖范围中进行的移动；网络间访问，是 指MN在不同的LER/FA管辖范围中，但在同 一个LER/GFA管辖范围中进 行的移动；跨自治域网络间访问，是指MN在不同的LER/GFA管辖的自治 域中进行的移动。
以下分别针对这四种网络层次移动模型，介绍MN更新安全关联的方法。
当MN的移动范围局限于子网内访问，由于MN在同一个LER/FA管辖 区域内进行移动，MN移动后也不必建立新的LSP路径。因此，MN与LER/HA 之间也不必更新已经建立的安全关联，MN与CN之间也可以安全的继续进 行通信。
当MN在同一 LER/RFA管辖区域内，从 一 个LER/FA管辖区域移动到 另一个LER/FA管辖区域内时，由于MN并没有超出同一个LER/RFA的管 辖范围，因此MN更新安全关联时，只需重新生成自身与新LER/FA的安全 关联、并更新自身与原LER/RFA之间的安全关联即可，具体过程如图3所 示。
MN更新安全关联的过程，可以伴随着MN向LER/HA注册的过程同时 进行。由于MPLS网络实行层次化管理，因此MN只需通过新LER/FA进行 注册，再由新LER7GFA向原LER/RFA进行注册即可。
步骤301: MN向自身当前所在新区域对应的新LER/FA发送注册请求 消息，注册"i青求消息中携带MN的COA和MN的家乡i也址等移动节点信息。
步骤302:新LER/FA收到MN发送来的注册请求消息后，对当前请求 注册的MN进行注册，将MN的移动节点信息，包括家乡地址以及COA地 址保存在自身的移动节点信息表中，并与MN协商建立安全关联；待LER/FA
与MN成功建立姿仝关联后，新LER7FA为MN在自身的移动节点信息表中 建立安全关联条目，用于保存自身与MN建立的安全关联。
这里，LER/FA保存自身与MN之间安全关联的目的在于，供MN在以 后的通信过程中调用，保障MN在通信过程中的安全性。
步骤303:新LER7FA向MN当前所在区域的LER/RFA发送MN的注 册请求消息。
这里，由于MN是在同一 LER/RFA管辖区域内，从一个LER/FA管辖 区域移动到另一个LER/FA管辖区域内，因此在MN移动的前后，MN所在 管辖区域的LER/RFA没有发生变化。
步骤304:所述LER/RFA根据注册请求消息中携带移动节点信息，对 当前请求注册的MN进行注册更新，即对移动节点信息表中记录的MN的移 动节点信息进行更新，包括COA;并查找自身的移动节点信息表，得到所 述MN的安全关联条目，更新安全关联条目中当前MN对应安全关联的COA 信息。
步骤305 ~ 306:所述LER/RFA通过新LER7FA向MN返回注册应答消
良
当MN在同一 LER/GFA管辖区域内，从一个LER/RFA管辖区域移动 到另一个LER/RFA管辖区域内时，由于MN并没有超出同一个LER/GFA 的管辖范围，因此MN更新安全关联时，只需重新生成自身与新LER/FA、 以及LER/RFA之间的安全关联、并更新自身与原LER/GFA之间的安全关 联，具体过程如图4所示。
MN更新安全关联的过程，可以伴随着MN向LER/HA注册的过程同时 进行。由于MPLS网络实行层次化管理，因此MN只需通过新LER/FA、新 LER/RFA进行注册，再由新LER/RFA向原LER/GFA进行注册即可。
步骤401: MN向自身当前所在新区域对应的新LER/FA发送注册请求 消息，注册请求消息中携带MN的CO A和MN的家乡地址等移动节点信息。
步骤402:新LER/FA收到MN发送来的注册请求消息后，对当前请求注册的MN进衧注册，将MN的移动节点信息，包括家乡地址以及COA地 址保存在自身的移动节点信息表中，并与MN协商建立安全关联；待新 LER/FA与MN成功建立安全关联后，新LER/FA为MN在自身的移动节点 信息表中建立安全关联条目，用于保存自身与MN建立的安全关联。
这里，新LER/FA保存自身与MN之间安全关联的目的在于，供MN在 以后的通信过程中调用，保障MN在通信过程中的安全性。
步骤403:新LER/FA向MN当前所在区域对应的新LER/RFA发送MN 的注册请求消息。
步骤404:新LER/RFA收到新LER/FA发送的MN的注册请求消息后， 对当前请求注册的MN进行注册，将MN的移动节点信息，包括家乡地址以 及COA地址保存在自身的移动节点信息表中，并与MN协商建立安全关联； 待新LER/RFA与MN成功建立安全关联后，新LER/RFA为MN在自身的 移动节点信息表中建立安全关联条目，用于保存自身与MN建立的安全关 联。
步骤405:新LER7RFA向MN当前所在区域的LER7GFA发送MN的
注册请求消息。
这里，由于MN是在同一 LER/GFA管辖区域内，从一个LER/RFA管 辖区域移动到另 一个LER/RFA管辖区域内，因此在MN移动的前后，MN 所在管辖区域的LER/GFA没有发生变化。
步骤406:所述LER/GFA才艮据注册请求消息中携带移动节点信息，对 当前请求注册的MN进行注册更新，即对移动节点信息表中记录的MN的移 动节点信息进行更新，包括COA;并查找自身的移动节点信息表，得到所 述MN的安全关联条目，更新安全关联条目中当前MN对应安全关联的COA
j吕息。
步骤407 ~ 409:所述LER/GFA通过新LER/RFA 、新LER/FA向MN 返回注册应答消息。
当MN在两个不同LER/GFA管辖区域内，从一个LER/GFA管辖区域
移动到另一个LER/GFA營辖区城内时，即跨自治域网络间访问。在这种情 况下，在MN移动到新LER/GFA管辖区域内，则向新LER/GFA重新建立 安全关联，由新LER/GFA向家乡LER/GFA进行安全关联信息更新，具体 过程如图5所示。
MN更新安全关联的过程，可以伴随着MN向LER/HA注册的过程同时 进行。由于MPLS网络实行层次化管理，因此MN只需先向新LER/GFA进 行注册，再由新LER/GFA向家乡LER/GFA进行注册即可。
步骤501: MN向自身当前所在新区域对应的新LER/FA发送注册请求 消息，注册请求消息中携带MN的CO A和MN的家乡地址等移动节点信息。
步骤502:新LER/FA收到MN发送来的注册请求消息后，对当前请求 注册的MN进4于注册，将MN的移动节点信息，包括家乡地址以及COA地 址保存在自身的移动节点信息表中，并与MN协商建立安全关联；待LER/FA 与MN成功建立安全关联后，LER/FA为MN在自身的移动节点信息表中建 立安全关联条目，用于保存自身与MN建立的安全关联。
这里，LER/FA保存自身与MN之间安全关联的目的在于，供MN在以 后的通信过程中调用，保障M N在通信过程中的安全性。
步骤503:新LER/FA向MN当前所在区域对应的新LER/RFA发送MN 的注册请求消息。
步骤504:新LER/RFA收到新LER/FA发送的MN的注册请求消息后， 对当前请求注册的MN进行注册，将MN的移动节点信息，包括家乡地址以 及COA地址保存在自身的移动节点信息表中，并与MN协商建立安全关联； 待新LER/RFA与MN成功建立安全关联后，新LER/RFA为MN在自身的 移动节点信息表中建立安全关联条目，用于保存自身与MN建立的安全关 联。
步骤505:新LER/RFA向新LER/GFA发送MN的注册请求消息。 步骤506:新LER/GFA收到新LER/RFA发送的MN的注册请求消息后， 对当前请求注册的MN进行注册，将MN的移动节点信息，包括家乡地址以
及COA地址保存在自身的移动节点信息表中，并与MN协商建立安全关联； 待新LER/GFA与MN成功建立安全关联后，新LER/GFA为MN在自身的 移动节点信息表中建立安全关联条目，用于保存自身与MN建立的安全关 联。
步骤507:新LER/GFA向家乡LER/GFA发送MN的注册请求消息。
这里，新LER/GFA可以通过MN的家乡地址得知MN的家乡LER/GFA, 进而向MN的家乡LER/GFA发送MN的注册请求消息。所述家乡LER/GFA 为MN家乡地址所在区域的LER/GFA。
当MN在两个不同的LER/GFA所管辖的区域内移动时，不"i仑移动前的 区域是否为家乡LER/GFA管辖，在移动后，MN当前所在的LER/GFA都必 须向MN的家乡LER/GFA进行安全关联以及住处信息的更新。
步骤508:家乡LER/GFA根据注册请求消息中携带移动节点信息，对 当前请求注册的MN进4亍注册更新，即对移动节点信息表中记录的MN的移 动节点信息进行更新，包括COA;并查找自身的移动节点信息表，得到所 述MN的安全关联条目，更新安全关联条目中当前MN对应安全关联的COA 信息。
步骤509- 512:家乡LER/GFA通过新LER/GFA、新LER/RFA和新 LER/FA向MN返回注册应答消息。
当在基于MPLS的网络中没有设置LER/RFA、 LER/GFA时，MN建立 与LER/FA、以及LER/HA之间安全关联的过程为首先MN向LER/FA发 送注册请求消息；当LER7FA收到MN的注册请求消息后，与MN建立安全 关联，并向LER/HA发送MN的注册请求消息；当LER/HA收到MN的注 册请求消息后，与MN建立安全关联。
在本发明中，建立和更新安全关联的过程可以伴随着MN的注册而进 行；也可以是在画有需要时，由画发起与LER/FA、LER/RFA、LER/GFA、 LER/HA逐级建立安全关联的过程。由于在伴随着MN注册建立安全关联的 过程中，主要利用了注册请求消息中携带的家乡地址和COA，因此在不依
靠注册请求消息建立安全关联时，只需要在MN请求建立安全关联时，向
LER/FA发送安全关联请求，安全关联请求中至少携带家乡地址和COA,然 后在LER/FA建立了与MN之间的安全关联后，再将MN的安全关联请求发 送LER/RFA，这冲羊依次建立与LER7RFA、 LER/GFA以及LER/HA。
当MN通过自身发送安全关联请求来建立安全关联，在最初建立安全关 联以及更新安全关联时，只需发送安全关联请求至LER/FA即可。
在通过MN发送安全关联请求建立安全关联时，这里MN与LER/FA、 LER/RFA、 LER/GFA或LER/HA建立安全关联的方法可以是，在MN发送 的安全关联请求中，进一步携带MN能够支持的认证方式和/或安全协议， LER/FA、 LER/RFA、 LER/GFA或LER/HA根据MN发送的安全关联请求确 定自身与MN采用的认证方式和/或安全协议，并且向MN返回确认消息， 建立自身与MN之间的安全关联。
因此，图1、图3、图4和图5中所述的注册请求消息，实际已经携带 了所述的安全关联请求。
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护 范围。
权利要求
1、一种保障移动节点安全通信的方法，其特征在于，执行以下步骤移动节点MN建立与标签路由器/外地代理LER/FA、以及标签路由器/家乡代理LER/HA之间的保障MN安全通信的安全关联。
2、 根据权利要求1所述的方法，其特征在于，该方法进一步包括MN建 立与标签路由器/区域外地代理LER/RFA和标签路由器/网关外地家乡代理 LER/GFA之间的保障MN安全通信的安全关联。
3、 根据权利要求1所述的方法，其特征在于，所述MN建立与LER/FA、 以及LER7HA之间的安全关联，包括以下步骤Al 、 MN向LER/FA发送安全关联请求；B1 、LER/FA收到MN的安全关联请求后，与MN建立安全关联，向LER/HA 发送MN的安全关联请求；Cl 、 LER/HA收到MN的安全关联i青求后，与MN建立安全关联。
4、 根据权利要求2所述的方法，其特征在于，所述MN建立与LER/FA、 LER/RFA、 LER/GFA以及LER/HA之间的安全关联，包括以下步骤A2、 MN向LER/FA发送安全关联请求；B2 、 LER/FA收到MN的安全关联请求后，与MN建立安全关联，向LER/RFA 发送MN的安全关联请求；C2、 LER/RFA收到MN的安全关联请求后，与MN建立安全关联，向 LER/GFA发送MN的安全关联请求；D2、 LER/GFA收到MN的安全关联请求后，与MN建立安全关联，向 LER/HA发送MN的安全关联请求；E2、 LER/HA收到MN的安全关联请求后，与MN建立安全关联。
5、 根据权利要求4所述的方法，其特征在于，该方法进一步包括，当MN 在同一 LER/RFA管辖区域内，从一个LER/FA管辖区域移动到另一个LER/FA 管辖区域时，4丸行以下步骤 Fl、 MN向当前所在新LER/FA发送安仝关联请求；Gl、新LER/FA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在LER/RFA发送MN的安全关联请求；Hl、所述LER/RFA收到新LER/FA发送的安全关联请求后，更新自身与 MN的安全关联。
6、 根据;f又利要求4所述的方法，其特征在于，该方法进一步包括，当MN 在同一 LER/GFA管辖区域内，/人一个LER/RFA管辖区域移动到另 一个 LER/RFA管辖区域时，执行以下步骤F2、 MN向当前所在新LER/FA发送安全关联请求；G2、新LER/FA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在的新LER/RFA发送MN的安全关联请求；H2、新LER/RFA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在LER7GFA发送MN的安全关联请求；12、 所述LER/GFA收到新LER7RFA发送的安全关联请求后，更新自身与 MN的安全关耳关。
7、 根据权利要求4所述的方法，其特征在于，该方法进一步包括，当MN 从一 LER/GFA管辖区域移动到另 一个LER/GFA管辖区域时，执行以下步骤F3 、 MN向当前所在新LER/FA发送安全关联请求；G3、新LER/FA收到MN的安全关联请求后，与MN建立安全关联，向 MN当前所在的新LER/RFA发送MN的安全关联请求；H3、新LER/RFA收到MN的安全关联请求后，与MN建立安全关联，向 新LER/GFA发送MN的安全关联请求；13、 新LER/GFA收到MN的安全关联请求后，与MN建立安全关联，向 MN的家乡LER/GFA发送MN的安全关联请求；J3、所述家乡LER/GFA收到MN的安全关联请求后，更新自身与MN的 安全关联。
8、 根据权利要求4至7中任一权利要求所述的方法，其特征在于，所述安 仝关联请求中至少包括MN家乡地址、转交地址，MN能够使用的安全协议 和/或认证方式^所述建立安全关联为根据安全关联请求中携带的转交地址、MN的家乡 地址，MN能够使用的安全协议和/或认i正方式，与MN建立安全关联。
9、 根据权利要求8所述的方法，其特征在于，所述更新安全关联为根据 安全关联请求中携带的MN当前的转交地址，更新所述MN安全关联中的转交 地址。
10、 根据权利要求4至7中任一权利要求所述的方法，其特征在于，所述 安全关联请求携带在MN发送的注册请求消息中。
11、 根据权利要求1所述的方法，其特征在于，所述LER7FA， LER/HA和 /或LER/RFA、 LER/GFA位于基于多协议标签交换MPLS的网络中。
全文摘要
本发明公开了一种保障移动节点安全通信的方法，执行以下步骤移动节点(MN)建立与标签路由器/外地代理(LER/FA)、以及标签路由器/家乡代理(LER/HA)之间的保障MN安全通信的安全关联。本发明采用的MN建立与LER/FA和LER/HA之间安全关联的方法；以及建立与LER/FA、LER/HA、标签路由器/区域外地代理(LER/RFA)和标签路由器/网关外地家乡代理(LER/GFA)之间安全关联的方法，能够使MN在移动到新区域后，直接向临近的LER/FA、LER/RFA、或LER/GFA直接注册，而不必再向LER/HA进行注册，减少了向LER/HA发送消息的次数，降低了通信时延。
文档编号H04L12/28GK101098228SQ20061009114
公开日2008年1月2日 申请日期2006年6月30日 优先权日2006年6月30日
发明者钢 程 申请人:华为技术有限公司