网络移动性管理方法以及相应装置的制作方法

文档序号：7948678阅读：170来源：国知局

专利名称：网络移动性管理方法以及相应装置的制作方法
技术领域：
本发明涉及使用因特网协议(IP)的通信技术领域。具体上，它涉及用于随着移动路由器而移动的移动网络的通信技术领域。
背景技术：
当今的许多设备使用因特网协议来彼此通信。为了对移动设备提供移动
性支持，因特网工程任务组(IETF)已经开发了 "在IPv6中的移动性支持"(参见下面的非专利文件1)。在移动IP中，每个移动节点具有永久的归属域(home domain)。当将移动节点附接到其归属网络(home network)时，它被分配称为归属^也址(Home-address， HoA)的主全局；也址(primary global address)。当所述移动节点离开，即附接到某些其他的外部网络(foreignnetwork)时，它通常被分配称为转交地址(Care-of-Adderess CoA)的临时全局地址。移动性支持的构思使得甚至当移动节点附接到其他的外部网络时也可以在归属地址到达它。
在[非专利文件l]中，这是通过引入称为本地代理(HomeAgent， HA)的归属网络上的实体来进行的。移动节点使用称为绑定更新(Binding Update, BU) 的消息来向本地代理注册其转交地址。这使得所述本地代理能够在移动节点的归属地址和转交地址之间建立绑定。本地代理负责截取收信地址为 (addressed to)移动节点的归属地址的消息，并且使用分组封装将分组转发到移动节点的转交地址(即将的一个分组作为一个新分组的有效负荷，也称为分组随道技术(Packet tunneling))。
虽然这能够实现移动性支持，但是也产生了称为亚最佳(sub-optimal)或者迂回路线路由(dog-leg routing)的问题。这是因为当移动节点与对端节点 (CorrespondentNode, CN)通信时，在它们之间发送的分组必须经过本地代理。为此，在[非专利文件l]中规定移动节点可以向对端节点发送BU。一旦对端节点知道了在移动节点的归属地址和转交地址之间的绑定，则在它们之间传
输的分组可以直接路由至移动节点的转交地址/自移动节点的转交地址直接 ;洛由(而不通过本地代理)。
但是，现在安全性是个问题。可以保证从移动节点向其本地代理发送的
BU的安全，这是因为假定移动节点及其本地代理共享安全性关联(security association)。这样的假设对于移动节点和对端节点变得不现实。换句话说，不容易保证从移动节点向对端节点发送的BU的安全。
为此，在[非专利文件l]中规定了称为返回可路由性(ReturnRoutability, RR)规程的规程。所述RR规程允许对端节点确定在BU中指定的归属地址和转交地址事实上处于相同位置(collocate)。实质上，所述RR规程要求移动节点在向对端节点发送BU之前从所述对端节点获得两个安全产生的权标 (token )。
为了启动RR规程，移动节点首先向对端节点发送两个不同的消息归属测试启动(Home-Test-Init, HoTI)消息和转交测试启动(Care-of-Test-Init， CoTI) 消息。经由本地代理发送以移动节点的归属地址作为分组源地址的HoTI,并且直接发送以移动节点的转交地址作为分组源地址的CoHI。对端节点在接收到HoTI时将以发送到移动节点的归属地址的归属测试(Home-Test， HoT)消息来应答，所述消息包含称为归属密钥产生权标(Home Keygen Token， HoK)的安全权标。通过使用私有密钥，根据移动节点的归属地址来以加密方式 (cryptographically)产生所述HoK。类似地，对端节点在接收到CoTI时将以发送到移动节点的转交地址的转交测试(Care-of-Test, CoT)消息来应答，所述消息包含称为转交密钥产生权标(Care-ofKeygenToken, CoK)的安全权标。通过使用私有密钥，根据移动节点的转交地址来以加密方式产生所述CoK。
一旦移动节点接收到HoT和CoT消息，则它可以向对端节点发送包含鉴别码(Authenticator)的BU。该鉴别码是使用作为HoK和CoK的串接 (concatenation)的密钥来以加密方式产生的BU的^f交验和。以这种方式，当对端节点接收到BU时，它可以独立地计算所述校验和，并且检查是否所述校验和与在鉴别码中承载的校验和相同。通过这种检查，验证在BU中指定的转交地址和归属地址事实上处于相同的位置。
随着无线设备的日益增加的分散，可以预见将出现新的类别的移动性技术网络移动性，其中，节点的整个网络整体地改变其附接点(point of attachments通过将用于各个主机的移动性支持的思想扩展到用于节点的网
络的移动性支持，在移动方案中的网络的目的是提供一种机制，其中，可以通过其主全局地址而达到在移动网络中的节点，而不论移动网络被附接到因特网上的何处。
存在一些先前的尝试根据移动IP来解决在移动中的网络问题。一种建议的用于在移动中的网络的解决方案是移动路由器支持(参见下面的专利文件1)。在该专利文件1中，用于控制移动网络的移动路由器在它处于其归属域时使用某些路由协议来将分组发送到移动网络和自移动网络发送分组。当移动路由器及其移动网络向外部域移动时，移动路由器向其本地代理注册其转交地址。然后在移动路由器和本地代理之间建立隧道(tunnel)。在所述隧道上再次执行在移动路由器处于其归属域时使用的路由协议。这意味着去往移动网络的每个分组将由本地代理截取，并且通过所述隧道转发到移动路由器。所述移动路由器然后将所述分组转发到在其移动网络中的主机。当在其移动网络中的节点希望将一个分组发出所述网络时，移动路由器截取所述分组，并且通过隧道将所述分组转发到本地代理。所述本地代理然后向期望的接收者发出所述分组。在下面的专利文件2a或者2b中公开的另一种解决方案基本上类似，除了在专利文件2a或者2b中仅仅具体陈述了对于IPv6的支持之外。
在下面的专利文件3中，公开了一种使用组播地址来作为移动路由器的转交地址的方法。这使得甚至在移动路由器已到达一个新接入网络之后也能通过使用同一转交地址来到达所述移动路由器。IETF当前也在开发网络移动性的解决方案，如在下面的非专利文件2a或者2b中所公开的那样。在非专利文件2a或者2b中，规定移动路由器将在向本地代理发送BU时指定移动网络中的节点正在使用的一个或多个网络前缀。使用要插入到BU中的、称为网络前缀选项的特定选项来指定这些网络前缀。这些网络前缀使得本地代理能够建立基于前缀的路由表，以便本地代理将发送到具有这些前缀的目的地址的任何分组转发到移动路由器的转交地址。
在下面的非专利文件3中，公开了对端路由器(Correspondent Router， CR)。所述对端路由器是对端节点所在的网络(即对端网络(correspondent network)) 的边缘路由器。该对端路由器管理关于特定移动路由器的绑定，并且负责通过隧道将所述分组转发到所述移动路由器在后面包括的移动网络的网络前缀。
非专利文件1: Johnson, D. B., Perkins, C. E., and Arkko, J., "Mobility Support in IPv6", RFC 3775, June 2004 (Johnson, D. B.， Perkins, C. E.和Arkko， J.,"在IPv6中的移动性支持"，RFC 3775, 2004年6月)
非专利文件2a: Devarapalli， V" et. al.， "NEMO Mobility (NEMO) Basic Support Protocol", IETF Internet Draft: draft-ietf-nemo-basic-support-03.txt, December 2003 (Devarapalli, V.等，"NEMO移动性(NEMO)基本支持协议"， IETF因特网草案draft-ietf-nemo-basic-support-03.txt, 2003年12月)
非专利文件2b: Devarapalli, V" et. al.， "NEMO Mobility (NEMO) Basic Support Protocol", RFC 3963, February 2005 (Devarapalli, V.等，"NEMO移动性 (NEMO)基本支持协议"，RFC 3963, 2005年2月)(该文档不构成在日本专利申请第2004-203869号、第2004-302260号和第2004-302269号中包括的发明的现有技术)
非专利文7牛3: Ryuji Wakikawa and Masafumi "Watari， "Optimized Route Cache Protocol", IETF Internet Draft: draft-wakikawa-nemo-orc-00.txt, July 2004 (Ryuji Wakikawa和MasafUmi Watari，"优化^各由高速緩存协议"，IETF因特网草案draft-wakikawa-nemo-orc-00.txt， 2004年7月)
专利文件1:美国专利第6，636，498号
专利文件2:美国专利公开第2003-117965号
专利文件3:美国专利公开第2003-95523号
但是，在上述专利文件1、专利文件2和非专利文件1中，没有对于在不通过本地代理的情况下从移动网络向对端节点直接发送分组的规定。这些导致在移动IPv6中的"迂回路线"路由("dog-leg"routing)的相同问题，结果产生了较长的分组等待时间。
虽然在上述专利文件3中提到了向对端节点发送用于将组播转交地址绑定到移动路由器的归属地址的BU,但是不清楚对端节点如何将在移动路由器之后的移动网络中的移动网络节点的地址与移动路由器的归属地址相关联。
一种天真的解决方案是简单地将在非专利文件2a或者2b中提到的单个或者多个网络前缀选项包括到发送至对端节点的BU消息中。以这种方式，对端节点将把来自一个或多个指定的网络前缀的地址与移动路由器相关联，并且然后可以将具有来自这些前缀的目的地址的分组直接发送到移动路由器
的转交地址。虽然这看起来是一种似乎合理的解决方案，但是本发明的发明
人的细致分析表明RR规程仅仅保证转交地址与移动路由器的归属地址位于
相同位置。通过简单地在BU消息中增加网络前缀选项，对端节点无法确定
所指定的网络前缀确实是由具有指定归属地址的移动路由器处理的。在没有这样的保证的情况下，恶意的攻击者可以向对端节点提供其本身(有效)的归属
地址和转交地址，但是在BU中声称它正在处理其并不拥有的前缀。这将向 DOS(Denial-Of-Service，拒绝服务)和欺骗攻击打开大门，其中，对端节点向攻击者发送原本意欲用于具有来自被攻击前缀的地址的其他节点的分组。
对于在非专利文件3中所述的对端路由器发生同一问题。当恶意对端路由器向移动路由器声明，就像所述恶意对端路由器正在处理对端网络的一个或多个网络前缀那样(事实上它未处理)时，所述恶意对端路由器可以将其本身伪装为对端网络的拥有者。

发明内容
考虑到上述问题，本发明的第一目的是使得管理网络的通信节点能够向其他节点示出所述通信节点本身确实管理网络。
而且，本发明的第二目的是使得对端节点能够验证移动路由器确实管理在BU消息中指定的网络前缀。
而且，本发明的第三目的是使得与对端路由器通信的移动路由器能够验证对端路由器确实代表对端网络。
为了实现上述的第一目的，按照本发明，管理网络的通信节点向其他通信节点通知所述网络的网络标识信息(网络前缀)，并且其他通信节点通过交换消息来验证确实由所述通信节点管理网络。至少一个消息被发送到基于网络标识信息的地址。
为了实现上述的第二目的，改进在移动路由器和对端节点之间或者在对端路由器和移动路由器之间的RR规程。在注册其移动网络的一个或多个网络前缀、其转交地址和其归属地址的绑定之前执行所改进的RR规程。
在这个改进的RR规程中，移动路由器可以在HoTI消息中指定移动路由器所拥有的一部分或者全部网络前缀，对端节点参考在HoTI消息中的网络前缀，并且除了通常的HoT消息之外还发送网络前缀测试(Network Prefix Test, NPT)消息，用于-验-〖正网络前缀的有效性，在存在多个网络前缀的情况下，对
端节点可以发送针对每个网络前缀的NPT消息。
所述NPT消息包含根据网络前缀而以加密方式产生、并且发送到包括所述网络前缀的地址的权标。移动路由器截取所有的NPT消息，并且存储在每个NPT消息中包括的权标。从移动路由器到对端节点的BU消息包含用于验证有效性的校验和。所述校验和是使用在来自对端节点的HoT、 CoT和NPT 消息中包括的权标而产生的。以这种方式，对端节点可以验证是否移动路由器除了移动路由器的转交地址和归属地址与网络前缀的绑定之外还确实拥有所述移动路由器声称拥有的网络前缀。因此，实现了本发明的第二目的。所述对端节点在验证网络前缀后可以建立路由信息，以便通过分组封装或者其他方法来直接地向移动路由器的转交地址转发目的地址为来自网络前缀的地址的分组，而不通过本地代理。
在另一个方面，在这个改进的RR规程中，对端路由器可以在HoTI消息或者CoT消息中指定对端路由器通过代理功能表示的网络前缀的一部分或者全部。对端节点参考在HoTI消息或者CoT消息中的网络前缀，并且发送网络前缀测试(NPT)消息，用于验证网络前缀的有效性。在存在多个网络前缀的情况下，对端节点可以发送对于每个网络前缀的NPT消息。
所述NPT消息包含根据网络前缀而以加密方式产生、并且被发送到包括所述网络前缀的地址的权标。对端路由器截取所有的NPT消息，并且存储在每个NPT消息中包括的权标。从移动路由器到对端节点的BU消息包含用于验证有效性的校验和，所述校验和是使用在来自对端节点的HoT、CoT和NPT 消息中包括的权标来产生的。以这种方式，对端节点可以验证是否对端路由器除了对端路由器的地址和网络前缀的绑定之外还确实拥有所述对端路由器声称拥有的网络前缀。因此，实现了本发明的第三目的，对端节点在验证所述网络前缀后可以建立路由信息，以便通过分组封装或者其他方式来直接地通过隧道向对端路由器转发目的地为来自网络前缀的地址的分组。
按照用于实现第一目的的本发明的一个方面，管理网络的通信节点能够向其他节点示出所述通信节点本身确实管理所述网络。
按照用于实现第二目的的本发明的另一个方面，对端节点可以验证移动路由器确实管理在BU消息中指定的网络前缀。
按照用于实现第三目的的本发明的另一个方面，与对端路由器通信的移

图1是示出在本发明第一实施例中的通信系统的图2是示出在本发明第一实施例中的改进的RR规程的时序的图3是示出在本发明第一实施例中的CoTI消息201的内容的一个示例的
图4是示出在本发明第一实施例中的CoT消息202的内容的一个示例的
图5是示出在本发明第一实施例中的HoTI消息203的内容的一个示例的
图6是示出在本发明第一实施例中的HoT消息204的内容的一个示例的
图7是示出在本发明第一实施例中的NPT消息205的内容的一个示例的
图8是示出在本发明第一实施例中的BU消息206的内容的一个示例的
图9是示出在本发明第一实施例中的XBUL 900的结构的图；图IO是在本发明第一实施例中的算法的流程图ll是示出在本发明第一实施例中的、附加到步骤S1200中的进入分组 (incoming packet)的处理中的钩子(hook)处理的图12是示出在本发明第一实施例中的、由对端节点130使用的用于检查所接收BU消息206的有效性的算法的图13是在本发明第一实施例中的、带宽减小的改进返回可路由性规程 (reduced bandwidth improved Return Routablility Procedure)的消息日于序图14是示出在本发明第一实施例中的PHoTI消息253的内容的一个示例的图15是示出在本发明第一实施例中的PHoT消息254的内容的一个示例的图16是示出在本发明第一实施例中的、在对端节点130使用目的地址来产生NPK权标的情况下的移动路由器111的处理的一个示例的流程图17是示出在本发明第一实施例中的、在移动路由器lll优选地保持以
前操作的结果的情况下的操作的一个示例的流程图18是示出在本发明第二实施例中的通信系统的图19是示出用于描述在本发明第二实施例中的、当对端路由器150向移动路由器111注册其管理的对端网络的网络前缀时的操作细节的时序的图20是示出在本发明第二实施例中的、在移动路由器111和对端路由器 150之间的优化的返回可路由性规程的消息时序的图21A是示出在本发明第三实施例中的通信系统的图21B是示出包括在移动网络之前的移动路由器的通信系统的系统的图21D是示出下述通信系统的图，所述通信系统包括多个固定路由器，所述多个固定路由器管理同一固定网络，上述代理路由器能够代表一个或多个网络，诸如移动路由器、对端路由器或者管理特定网络的特定路由器；
图22是示出在本发明第三实施例中的操作的流程图。
具体实施例方式
在本说明书中公开了一种系统、相关联的装置和方法，用于验证网络前缀和转交地址的位置相同。为了帮助理解所公开的发明，使用下面的定义
(i) "分组"是可以在数据网络上传送的任何可能格式的数据的整装单位 (self-contained unit)。"分组"通常由两个部分构成"首标"部分和"有效负荷"部分。"有效负荷"部分包含要传送的数据，而"首标"部分包含用于帮助分组传送的信息。所述"首标"必须具有源地址和目的地址，用于分别标识"分组"的发送者和接收者。所述"首标"可以具有包含额外信息的单个或者多个"选项"。
(ii) "移动节点"是用于改变其对全局分组交换数据通信网络的附接点的网络单元。它可被用于指端点用户终端、或中间网络单元，所述中间网络单元用作网关、路由器或智能网络集线器，其可改变其对全局分组交换数据通信网络的附接点。作为端点用户终端的"移动节点"更具体地被称为"移动主机"；而作为用作网关、路由器或智能网络集线器的中间网络单元的"移动节点"更具体地被称为"移动路由器"。
(iii) "移动网络"指的是作为整体一起移动的节点的网络，包括一个或多个移动路由器，所述移动路由器对于所述移动网络提供到全局分组交换数据通信网络的连接。在移动网络中的、依赖于这些移动路由器来进行全局连接的其他网络单元称为"移动网络节点"。这些移动网络节点具有从由一个或多
个移动路由器告知(advertise)的一个或多个网络前缀配置的地址。
(iv) "归属地址"是主全局地址，其被分配给移动节点，所述归属地址可用于到达所述移动节点，而与所述移动节点当前附接到在全局分组交换数据通信网络上的何处无关。在本文中，使用缩略语"HoA"来简写"归属地址"。
(v) 附接到全局数据通信网络(其中其归属地址在拓朴方面与在附接点附近爿使用的地址兼容)的移动节点被称为"在本地(athome)"。由单个管理才几构控制的该附接点的附近被称为移动节点的"归属域"。
(vi) 在下述点附接到全局分组交换数据通信网络的移动节点被称为"离开 (away)":其中在所述点，所述移动节点的归属地址在拓朴方面与在该附接点附近使用的地址不兼容，并且所述附接点的附近被称为"外部域(foreign domain)"。
(vii) "转交地址"是临时全局地址，其被分配给离开的移动节点，以便所分配的"转交地址"在拓朴方面与在移动节点到全局分组交换数据通信网络的附接点附近使用的地址兼容。在本文中，使用缩略语"CoA"来简写"转交地址"。
(viii) "本地代理"是存在于移动节点的归属域中的网络实体，其在移动节点离开时执行所述移动节点的转交地址的注册服务，并且将收信地址为移动节点的归属地址的分组转发至移动节点的转交地址。注意本地代理也是路由器。
(ix) "对端节点，，是连接到全局分组交换数据通信网络的任意网络单元，
它与移动节点或移动网络节点通信。
(X)"网络前缀，，是要在局域网段上使用的地址的一部分，通常是最左边
的部分。"网络前缀"通常由在该网络段上的路由器告知，并且在所述网络段上的节点根据该网络段来配置地址。"网络前缀"被用于简化路由信息，以便
路由器可以根据目的地址的前缀来进行判定具有来自同一网络前缀的目的地址的分组被相同地路由。
在下面描述中，为了说明，给出特定数量、次数、结构和其他参数以便提供对本发明的全面理解。但是，对于本领域技术人员来说，很显然，可以
在不需要这些特定细节的情况下实践本发明。 (第一实施例)
说明本发明的第一实施例。图1是示出在本发明第一实施例中的通信系统的图。在图1中，示出了连接到全局分组交换数据通信网络100的通信节点的系统。移动路由器111经由接入路由器101连接到所述全局分组交换数据通信网络IOO,并且它向移动网络IIO提供全局连通性，所述移动网络IIO
包括一个或多个移动网络节点112。在该图1中，图解了三个这样的移动网络节点112-1、 112-2和112-3。我们使用总的附图标记112来指示任何一个移动网络节点。而且，在图1中仅仅图解了在移动路由器111之后的一个移动网络IIO。但是，例如，移动路由器111可以包括多个移动网络110,它们具有独立的网络前缀。在这种情况下，在移动路由器111所属的网络中提供多个网络前缀。例如，移动网络节点112-1和移动网络节点112-2可以-使用独立的网络前缀来分别配置它们的地址。
移动网络节点112经由局域网段(链接)115而连接到移动路由器111。该链接115可以是无线的或有线的。本地代理120是移动网络110的本地代理，并且对端节点130是连接到全局分组交换数据通信网络100的网络单元，它与移动网络节点112通信。按照本发明，在移动路由器111和对端节点130 之间交换分组，以便对端节点130可以确定所述一个或多个网络前缀和在BU 消息中的由移动路由器111指定的转交地址都在移动路由器111的归属地址上。该分组交换的时序是对于在非专利文件1中公开的返回可路由性(RR)规程的改进。
图2是示出在本发明第一实施例中的改进的RR规程的时序的图。当移动路由器111试图向对端节点130发送BU消息时，需要启动RR规程。在所述RR规程中，移动路由器111首先向对端节点130发送归属测试启动(HoTI) 消息203和转交测试启动(CoTI)消息201 。注意，HoTI消息203和CoTI消息 201的顺序并不重要。
对于CoTI消息201,移动路由器111使用其转交地址来作为源地址。因此，该分组不必通过其本地代理120。
图3是示出在本发明第一实施例中的CoTI消息201的内容的一个示例的图。源地址301和目的地址302分别指定移动路由器111的转交地址和对
端节点130的地址。移动性首标310(分组201的一部分)包含用于指示该分组为CoTI消息的消息类型字段311。
在接收到CoTI消息201时，对端节点130以转交测试(CoT)消息202来应答。时段220指示处理延迟(处理时间)。CoTI消息202包含转交密钥产生权标(CoK)，并且收信地址为移动路由器111的转交地址。这类似于在非专利文件1中的原始RR规程，并且可以将在非专利文件1中描述的原始RR规程的CoK权标用作这个CoK权标。
图4是示出在本发明第一实施例中的CoT消息202的内容的一个示例的图。源地址401和目的地址402分别指定对端节点130的地址和移动路由器 lll的转交地址。移动性首标410 (分组202的一部分)包含消息类型字段 411，其用于指示该分组为CoT消息202;以及CoK字段412，其包含使用对端节点130的私有密钥、根据移动路由器111的转交地址而以密码方式产生的64个比特的CoK。
对于HoTI消息203,移动路由器111使用其归属地址来作为源地址。因此，分组将被隧穿到(tunnel)本地代理120，本地代理120将分组去封装，并且将其转发到对端节点130。时段221指示例如由于去封装而导致的处理延迟(处理时间)。HoTI消息203除了承载在原始RR规程中所需要的信息之外还包括额外选项，其用于指定移动网络110所具有的网络前缀的列表。这可以以如在非专利文件2a或者2b中规定的一系列网络前缀选项的形式。每个网络前缀选项承载一个网络前缀的信息。
图5是示出在本发明第一实施例中的HoTI消息203的内容的一个示例的图。源地址501和目的地址502分别指定移动路由器111的归属地址和对端节点130的地址。移动性首标510 (分组203的一部分)包含消息类型字段511,其指示该分组为HoTI消息。它也可以包含一个或多个网络前缀512。每个网络前缀选项512包括选项类型字段521，用于指示该选项为网络前缀选项；以及网络前缀字段522，其包括一个网络前缀。
当对端节点130接收到HoTI消息203时，它以归属测试(HoT)消息204 来应答。HoT消息204包括归属密钥产生权标(HoK)和对端节点130从HoTI 消息203接受的网络前缀的数量。在非专利文件1中描述的原始RR规程的 HoK权标以及CoK权标额也可以用作该HoK权标。而且，如下所述，优选的是，将对端节点130配置为具有正确选择所接受的网络前缀的数量以及是
否它接受该特定网络前缀的功能。HoT消息204收信地址为移动路由器111 的归属地址，因此它将由本地代理120来封装。时段223指示例如由于封装而导致的处理延迟(处理时间)。
图6是示出在本发明第一实施例中的HoT消息204的内容的一个示例的图。源地址601和目的地址602分别指定对端节点130的地址和移动路由器 lll的归属地址。移动性首标610 (分组204的一部分)包含消息类型字,史 611,用于指示该分组为HoT消息204;以及HoK字段612,其包含使用对端节点130的私有密钥、根据移动路由器111的归属地址而以加密方式产生的64比特的HoK。移动性首标610也可以包括字段(前缀数量字段)613，用于指示由对端节点130接受的在HoTI消息203中的网络前缀的数量。注意，该字^殳613也可以包括在移动性首标610中来作为选项。
在此，公开了一种示例情况移动网络110的网络前缀被嵌入HoTI消息203中，并且对于所述网络前缀的应答(诸如上述前缀数量字段613)被嵌入 HoT消息204中。但是，有可能对端节点130可以被配置为通过使用其他消息来获得存在于移动路由器111之后的移动网络110的网络前缀。可以通过使用CoTI消息201和/或HoTI消息203、以及CoT消息202和/或HoT消息 204的特定组合来通知和应答关于网络前缀的信息。即，例如，移动网络110 的网络前缀;故嵌入CoTI消息201中，而应答净皮嵌入在CoT消息202中。而且，可以通过使用与CoTI消息201/CoT消息202或HoTI消息203/HoT消息不同的消息来通知和应答关于网络前缀的信息。
在发出HoT消息204后，对端节点130接着发出对于对端节点130接受的在HoTI消息203中列出的每个网络前缀的一个或多个网络前缀测试(NPT) 消息205。不要求对端节点130接受在HoTI消息203中列出的所有网络前缀。依赖于对端节点130的配置来接受它已接收的、在HoTI消息203中指定的所有、一些网络前缀或不接受。这是因为如果要求对端节点接受所有的网络前缀，则必须发出与在HoTI消息203中的前缀的数量一样多的NPT消息。
在攻击者仅仅发送一个HoTI消息203,而接收者被强制以多个NPT消息205来应答时，这可被用来发起分布式的大量攻击。为此，对端节点130 可以从在HoTI消息203中的网络前缀的列表中选择要接受的前缀的子集。这也使得对端节点130能够拒绝可能与所述对端节点的路由配置冲突的前缀。
该NPT消息205具有类似于HoT消息204的格式，除了 (a)它包含网络
前缀密钥产生权标(NPK)而不是HoK以及(b)它具有包括该NPT消息205所对应的网络前缀的目的地址之外。上述包括网络前缀的目的地址是包括前缀部分(其包含在网络前缀选项512中指定的网络前缀)的目的地址。包括网络前缀的目的地址的示例如下由包括指定的网络前缀的前缀部分和包括随才几产生的数值的主部分(host part)构成的地址；由包括指定的网络前缀的前缀部分和包括特定数值的主部分构成的地址；由包括指定的网络前缀的前缀部分和包括以特定方式从移动路由器111通知的数值的主部分构成的地址等。
图7是示出在本发明第一实施例中的NPT消息205的内容的一个示例的图。源地址701指定对端节点130的地址，目的地址702指定包括在网络前缀选项512中指定的网络前缀的地址。移动性首标710 (分组205的一部分) 包含消息类型字段711,用于指示该分组为NPT消息205;以及NPK字段 712，其包括使用对端节点130的私有密钥、才艮据在网络前缀选项512中指定的网络前缀而以加密方式产生的64比特的NPK。移动性首标710也可以包括网络前缀选项512,它指定由对端节点130从HoTI消息203接受的网络前缀。
因为HoTI消息203可以包含多个前缀，因此对端节点130可能必须发送多个NPT消息。而且，对端节点130可能希望发送多个NPT消息以测试单个网络前缀。这可能在接收HoTI消息203之后引起网络通信量的突然增加。因此，对端节点可以在每个NPT消息205的发送之间具有小的延迟。这在图 2中以相对较长的时段222来反映。在连续的NPT消息205的发送之间的延迟(包括任何处理延迟)应当不超过预定最大值，t—NPT—delay。
因为每个NPT消息205被发送到在移动网络110中由网络前缀配置的地址，因此将NPT消息发送到本地代理120。在通常的操作中，本地代理120 将封装这些NPT消息205,并且将它们隧穿到移动路由器111的转交地址。时段223表示封装延迟(处理延迟)。每个NPT消息205采用与HoT消息采用的相同的路由。因此，当HoT消息204包括在NPT消息205中包含的NPK 权标和网《各前缀选项512时，HoT消息204可以作为NPT消息205 。
在移动路由器111发出HoTI消息203后，它启动定时器以等待收集NPT 消息205和HoT消息204。通过时段224来指示此。假定对端节点130接受在HoTI消息203中指定的所有前缀，该时段224应当允许接收到所有可能的 NPT消息205和HoT消息204的足够时间。因此，然后可以通过估计往返行程延迟t一rtt来计算合理的时段t—wait,以从移动路由器111向本地代理120 发送分组，并且再通过同一路径向移动路由器111发回分组。因此，可以例如通过对HoTI消息203中指定的前缀的数量与t—NPT—delay的乘积以及t—rtt 求和来给出最小的等待时段t一wait。这是在假定没有引起附加延迟的网络拥塞的情况下的最佳估计。更安全的时段t—wait应当是HoTI消息203中指定的前缀的数量和t—NPT—delay的乘积与t一rtt的两倍之和。
在此时段224期间，移动路由器111需要截取所有的NPT消息205。但是，NPT消息205并不直接编址到(addressedto)移动路由器111的任何地址。相反，它们根据在移动网络110中的网络前缀而被编址到随机的地址。因此，移动路由器111需要在时段224中执行对从本地代理120隧穿的分组的额外扫描，以便捕获这些NPT消息205。为此，例如，移动路由器lll将检查从本地代理120隧穿的、源地址等于对端节点130的地址而目的地址等于/人在 HoTI消息203中指定的移动路由器111的网络前缀之一配置的地址的每个分组。在此，移动路由器lll检查在这些分组(所述分组被识别为作为NPT消息205的分组)的每个中的移动性首标710。
在移动路由器111已经接收到所有的NPT消息205之后，或者在已经经过了时段224之后，移动路由器224可以发送BU消息206。这是假定移动路由器111已经成功地接收了 CoT消息202和HoT消息204。如果还没有接收到CoT消息202或HoT消息204中的任何一个，则RR规程被视为失败，并且移动路由器111不应当尝试执行RR规程，直到已经经过了预定的时间段。存在一种情况虽然移动路由器111已经接收到所有的CoT消息202和所有的HoT消息204，但是本发明的改进的RR规程被视为已失败。后面说明在这种情况下的错误处理的细节。
移动路由器111发送的BU消息206具有等于移动路由器的转交地址的源地址。因此，BU消息206不通过到本地代理120的隧道。它应当包含下述网络前缀选项列表，所述网络前缀选项列表包括下述网络前缀移动路由器 111针对所述网络前缀已接收到NPT消息205。另外，BU消息206也应当包含鉴别码值，其是依次通过串接所接收的HoK、 CoK和所有的NPK权标而以加密方式产生的。在NPK权标的串接中，移动3各由器111应当将NPK权标的顺序保持为与在BU消息206中出现的网络前缀的顺序相同。也应当根据BU消息206的实际内容来产生所产生的鉴别码值，以便保护BU消息206
的完整性。
图8是示出在本发明第一实施例中的BU消息206的内容的一个示例的图。源地址801和目的地址802分别指定移动路由器111的转交地址和对端节点130的地址。在BU消息206中包含归属地址目的地选项803以向接收者通知关于发送者的归属地址(即它包含移动路由器111的归属地址)。作为分组206的一部分的移动性首标810包含消息类型字段811，其指示该分组为BIT消息；以及鉴别码字段812,其包含下述的96比特的校验和所述校验和是通过使用串接所接收的HoK、 CoK和所有NPK权标而依次产生的密钥、以加密方式产生的。移动性首标810也包含一个或多个网《各前缀选项512，其中每个网络前缀选项用于下述每一网络前缀针对所述每一网络前缀，移动路由器111已经接收到NPT消息。优选的是，网络前缀选项512的出现顺序与在产生鉴别码字段812中的加密校验和中使用的对应NPK的顺序相同。
BU消息206的发送完成了改进的RR规程。对端节点130在接收到BU 消息206时可以可选地以绑定确认(BA)消息来确认。在本发明中规定的改进的RR规程不要求对于BA消息的内容的任何修改。但是，有可能对端节点 130向接收者通知对具体网络前缀的更新是已经成功还是已经失败。
如上所述，可以将随机产生的数值插入到从对端节点130发送的NPT消息205的目的地址的主部分(hostpart)中。而且，可以将特定数值(例如通过特定规则而定义为用作NPT消息205的目的地址的特定数值)用作所述主部分。而且，移动5^由器111向对端节点130通知移动;洛由器111希望用作NPT消息205的目的地址的地址，并且该值(该地址)可以用作主部分。
当移动路由器111所通知的特定数值或地址正被用作NPT消息205的目的地址的主部分时，移动^各由器111可以容易地扫描包括NPT消息205的分组。换句话说，移动路由器111扫描分组的目的地址，并且可以通过选取下述分组而容易地获得包括NPT消息205的分组所述分组的目的地址包括特定的网络前缀、和移动路由器111已通知使用的特定数值的主部分或所述值的主部分。
当移动路由器111向对端节点130通知移动路由器111希望用作NPT消息205的目的地址的地址时，移动5^由器111可以向例如HoTI消息203中插入用作该地址的主部分的值，并且发送它。但是，要求用于通知所述地址的 HoTI消息203除了如图5中所示的HoT消息204的消息字段之外，还具有
新选项字段以用于嵌入移动路由器111希望用作NPT消息205的目的地址的地址。
如上所述，以加密方式产生在HoT消息204中的HoK权标、在CoT消息202中的CoK权标、在NPT消息205中的NPK权标和在BU消息206中的鉴别码。一般，优选的是，根据在非专利文件l中公开的方法来产生它们。具体上，它们可以使用根据在非专利文件1中公开的方法而产生的原始HoK 和CoK权标来作为本发明的HoK和与CoK权标。
通过对端节点130来产生NPK权标。例如，串接可接受的网络前缀(前缀)、当前(Nonce)值以标识与HoK权标的关系，所述HoK权标被设置为与在 HoT消息204中的HoK权标的值相同的值，以通知可接受的网络前缀的数量和用于指示此为NPK权标的特定数(例如0x02)。然后，使用上述的串接值、仅仅对端节点知道的密钥(KcN)和密码散列函数(其被称为HMAC—SHA1)，可以通过结果的前(即最左的)64比特来给出NPK权标。即，NPK权标可以是下面的l直
NPK=First(64， HMAC—SHA1(KCN， (Prefix|Nonce|0x02》)
在此，使用网络前缀来产生NPK权标。但是，从兼容性的角度看(通常使用比网络前缀长的地址本身来产生权标)，有可能可以取代网络前缀而使用由网络前缀和主部分构成的NPT消息的目的地址(Prefix.Address)。即，NPK 权标可以是下面的值；
NPK=First(64, HMAC—SHA1(KCN, (Prefix.Address|Nonce|0x02》)
通过对应节点130来产生这个NPK权标。
例如可以通过结果的前(即最左的)96比特来给出在BU消息206中的鉴别码(Auth),所述结果是通过下述方式来产生的串接HoK、 CoK和所接收的所有NPK权标，通过向上述的串接值应用安全散列算法SHA1而产生值 (Kbm)，串接移动^各由器111的转交地址(MR.CoA)、对端节点130的地址(CN 地址)和整个BU消息(BU),并且通过向值(Kbm)和(MR.CoA)、 (CN地址)和(BU) 的所述串接值应用密码散列函数(其被称为HMAC—SHA1)而产生值。即，鉴别码可以是下面的值；
Auth=First(96, HMAC_SHAl(Kbm， (MR.CoA|CN地址!BU)))
Kbm = SHAl(HoK|CoKlNPK| . . . |NPK)
通过移动路由器111来产生该鉴别码。
在使用网络前缀来产生NPK权标的情况和使用关于移动路由器111或者对端节点130的处理的目的地址(网络前缀和主部分)而产生NPK权标的情况之间有略微的差别。当对端节点130验证在来自移动路由器111的BU消息 206中的鉴别码时，对端节点130需要知道通过产生NPK权标而使用的网络前缀或者由网络前缀和主部分构成的目的地址。
在对端节点130使用网络前缀来产生NPK权标的情况下，对端节点130 可以产生鉴别码，其用于例如通过^^用在图8中的BU消息206的网络前缀选项206中的网络前缀来验证，并且对端节点130 -睑证BU消息206。
在对端节点130使用目的地址来产生NPK权标的另一情况下，验证来自移动路由器111的BU消息206的对端节点130需要以特定方式知道该目的地址。
现在，在对端节点130使用目的地址来产生NPK权标的上述情况下描述移动路由器111的处理。图16是示出在本发明第一实施例中对端节点130使用目的地址来产生NPK权标的情况下的移动路由器111的处理的一个示例的流程图。
在开始，移动路由器111识别用作NPT消息205的目的地址的地址(所述地址用于产生NPK权标)的类型。筒而言之，移动路由器111识别使用下述三种模式中的哪一种模式随机产生目的地址的主部分的模式、按照特定规则来定义特定数以用在主部分中的模式、以及移动路由器111通知主部分的期望值(或请求使用所述期望值)的模式(步骤S4000、 S4100)。
顺便提及，在步骤S4000和S4100中的处理不必然是移动路由器111的判定，而是可以是按照系统的规则的分类。在随机地产生目的地址的主部分的通信系统中，移动路由器111进行到步骤S4050。在按照特定规则来定义特定数以用在主部分中的通信系统中，移动路由器111进行到步骤S4150。在移动路由器111通知主部分的期望值的通信系统中，移动路由器111进行到步骤S4300。
在按照特定规则来定义特定数以用于主部分(在步骤S4000中的"是")或者随机地产生目的地址的主部分(在步骤S4100中的"否")的情况下，移动路由器111仅仅需要向对端节点130通知网络前缀，而不需要通知主部分(步骤S4050, S4150)。
在移动路由器111通知主部分的期望值(在步骤S4100中的"是")的情
况下，如上所述，移动路由器111向对端节点130通知对端节点130将用作主部分的特定数(步骤S4200)，并且将所通知的主部分的该值存储到特定存储器中(步骤S4300)。主部分的该值保持存储在特定存储器中，至少到产生发送到对端节点130的BU消息206为止。移动路由器111在发送HoTI消息 203之前或者期间执行如上所述的处理。
接着，对于先前的三种模式的每一种描述在接收到HoT消息204后的处理。在按照特定规则来定义特定数以用在主部分中的情况下，NPT消息205 的目的地址由特定的网络前缀和具有特定数的主部分构成。因此，移动路由器仅仅产生如图8中所示的BU消息206,并且将其发送到对端节点130而没有额外处理。
在随^/L产生目的地址的主部分的情况下，每一 NPT消息205的目的地址由对应的指定网络前缀和具有随机数的主部分构成。因此，移动路由器111 存储每个NPT消息205的目的地址(特别是具有随机数的主部分)(步骤 S4625)。当移动路由器111产生和发送BU消息206时(步骤S4625),移动路由器111向对端节点130通知目的地址或者NPT消息205的主部分值(步骤 S4650)。移动5^由器111在其向对端节点130通知目的地址或者NPT消息205 的主部分值时，可以使用具有新选项字段的BU消息206,所述新选项字^a用于包含目的地址或者NPT消息205的主部分值。或者，可替换地，移动路由器111也可以4吏用其他消息。以这种方式，对端节点130可以-睑证/人移动路由器111接收的BU消息206。
在移动路由器111通知主部分的期望值的情况下，每一NPT消息205的目的地址由对应的指定网络前缀和具有从移动路由器111通知的数值的主部分构成。而且，使用具有作为主部分的、从移动路由器111通知的数值的目的地址来产生每个NPK^又标。因此，当移动if各由器111产生和发送BU消息 206时(步骤S4700),移动路由器111向对端节点130通知在步骤S4300中存储的主部分值(步骤S4750)。移动路由器lll在其向对端节点130通知被请求使用和存储的主部分时，可以使用具有用于包含所通知的主部分的新选项字段的BU消息206。或者，可替换地，移动^^由器111也可以使用其他的消息。以这种方式，对端节点130可以验证从移动路由器111接收的BU消息206。
在参照图2的上述说明中，本发明的改进的RR规程获得成功，但是所述改进的RR规程可能失败或者不完全成功。在下面，说明所述改进的RR规
程可能失败或者不完全成功的情况的一些示例。
如上所述，当CoT消息202或者HoT消息204不返回到移动if各由器111 时，认为改进的RR规程失败。在这种情况下，优选的是，在等待预定时间后再次启动所述改进的RR规程。
会发生下述情况HoT消息202和CoT消息返回到移动路由器111,但是NPT消息的任何一个或者全部不返回。在这种情况下，移动路由器lll可以通过发送CoTI消息201和HoTI消息203来再次启动本发明的改进的RR 规程。或者，移动路由器111可以通过发送BU消息206而仅仅更新关于所接收的NPT消息205的网络前缀(网络前缀的一部分)。以后，可以对于其余网络前缀(即未注册的网络前缀)再次执行改进的RR规程。在这种情况下，优选的是，在移动路由器111可以处理的存储媒体中保存先前的改进的RR规程的记录(具体上，例如，用于区分每个对应节点130的已经更新的网络前缀和未注册的网络前缀的信息)。
同时，会发生下面的情况代表CoT消息202或者HoT消息204的错误消息(例如基于ICMP(因特网控制消息协议)的错误消息)从对端节点130返回到移动3各由器111。当对端节点130不能处理传统RRM4I(即移动IP)以及改进的RR规程时会发生该情况。在这种情况下，优选的是，移动路由器lll 放弃路由优化，并且控制不对于该对端节点130启动改进的RR规程。
而且，会发生下述情况返回没有前缀数量字段613的HoT消息204。当对端节点130能够处理传统RR规程(即移动IP)但是不能处理改进的RR规程时发生这种情况。因此，移动路由器111可以仅仅对该对端节点130执行传统RR规程。传统RR规程使得其中移动路由器111本身与对端节点130 通信的路由被优化。但是，传统RR规程不优化在存在于移动路由器111之后的节点(例如移动网络节点112-1)和对端节点130之间的路由。因此，当移动路由器111仅仅对于存在于移动路由器111之后的节点执行路由优化时，移动路由器111最好不发送BU消息206。由于减少了无用消息，这可能是有益的。
如上所述，移动路由器111可以通过;f全查NPT消息205是否包括前缀数量字段613来识别对端节点130是否能够处理改进的RR规程。因此，优选的是，能够处理改进的RR规程的对端节点130发回例如将前缀数量字段613 明确地设置为0的NPT消息205,即使对端节点130确定不接受网络前缀也
是如此。
为了便利HoK、 CoK和NPK权标的收集，优选的是，移动路由器111 保有特定的存储部件来存储这些权标。另外，在非专利文件1中，移动节点需要记住那些对端节点130知道在被称为绑定更新列表(BUL)的概念性数据结构中的、在移动节点的转交地址和归属地址之间的绑定。在此，公开用在移动路由器111中的扩展的绑定更新列表(XBUL)以便利HoK、 CoK和NPK 权标的收集，并且完成记录那些对端节点130具有移动路由器111的转交地址和归属地址的绑定的原始任务。
图9是示出在本发明第一实施例中的XBUL900的结构的图。XBUL900 包含单个或者多个XBUL记录910。
每个XBUL记录910包含各种字段
CN地址字段911，用于记录对端节点130的地址；
HoK字段912，用于记录由对端节点130发送的HoT消息204中包含的HoK权标；
CoK字段913,用于记录由对端节点130发送的CoT消息202中包含的CoK权标。
*前缀数量字段914,用于记录由对端节点130接受的前缀的数量，如在由对端节点130发送的HoT消息204中所示；
单个或者多个NPK字段915，用于记录由对端节点130发送的NPT 消息205中包含的NPK权标。
优选的是，如果存在多个NPK字段915，则每个NPK字段915的顺序与由移动路由器111拥有的网络前缀的顺序相关联，以便移动路由器111可以将NPK字段915与基于NPK字段915的索引的网络前缀单独相关联。
HoK字段912、 CoK字段913和NPK字段915必须具有用于指示在它们中是否存储有效的权标值的机制，以便未存储有效权标的指示暗示移动路由器111仍接收HoT消息204、 CoT消息202或者NPT消息205。这可以通
时被置位，而当所述字段为空时被清除。或者，如果预定所述权标不能具有特定值(诸如全零或者全1值)，则这些同样可以用于指示所述字段为空。
另外，在非专利文件1中规定对端节点130应当时时改变其用于产生各种HoK、 ToK和NPK权标的私有密钥。因此，当由对端节点130使用的私有
密钥改变时，这些权标的有效性期满。因此，这些权标通常具有预定的使用
期限。当使用期限期满时，将使得在HoK字段912、 CoK字段913和NPK 字段915中存储的值无效。
使用XBUL900，移动路由器111具有用于平滑地执行改进的RR规程的完全手段。在此，指定由移动路由器111使用来执行改进的RR规程的算法。
图IO是在本发明第一实施例中的算法的流程图。移动路由器111在启动改进的RR规程时将首先发送HoTI消息203和CoTI消息201,如在步骤S1000 中所示。然后，在步骤SllOO,移动路由器111启动针对t—wait时段的定时器。另外，它也开始RR消息收集过程，由此，移动路由器111捕获包含从对端节点130发送的HoT、 CoT或者NPT消息的所有分组。这一般是附接到对进入分组的通常处理的钩子处理。在附接所述钩子处理之前，如果存在具有等于对端节点130的地址的CN字段911的XBUL记录910,则首先检查XBUL 900。如果未找到一个这样的记录，则建立新的XBUL记录910。每当移动路由器111接收到进入分组时，将触发所述钩子处理。后面说明所述钩子处理的细节(参见图11)。
在此之后，移动路由器111进入循环，所述循环以步骤S1200开始，其中在步骤S1200中，检查定时器是否期满。如果定时器还没有期满，则将进行步骤S1300,其中在步骤S1300中，移动路由器111检查它是否已接收到 HoT消息204。这可以通过检查在XBUL 900中的对应XBUL记录910的HoK 字段912的有效性来得出结论。有效HoK字段912指示已接收到HoT消息 204。如果未接收到HoT消息204，则算法循环回步骤S1200。
另一方面，如果接收到HoT消息204,则算法进行到步骤S1400,其中在步骤S1400中，4企查所接收的NPT消息的数量以查看它是否小于在HoT 消息204中指定的、由对端节点130接受的前缀的数量。这可以通过检查在 XBUL 900中的相应XBUL记录910中的前缀数量字段914和有效NPT字段 915的数量来进行。如果所接收的NPT消息205的数量小于由对端节点130 接受的前缀的数量，则算法循环回步骤S1200。否则，算法进行到步骤S1500, 以检查是否已经接收到CoT消息202。这可以从在XBUL 900中的相应XBUL 记录910的CoK字段913的有效性来得出结论。如果已接收到CoT消息202，则算法进行到步骤S1700。否则，所述算法循环回步骤S1200。
如果定时器期满，则所述算法退出从步骤S1200到步骤S1600的循环，
其中在步骤S1600中，移动路由器111检查它是否已接收到HoT消息204和 CoT消息202。再次，这可以从在XBUL 900中的相应XBUL记录910中的 HoK字段912和CoK字段913的有效性来得出结论。如果还没有接收到HoT 消息204或者CoT消息202中的任何一个，则移动路由器111得出结论所述RR规程已经失败，如在步骤S1800中所示。如果已接收到HoT消息204 和CoT消息202，则所述算法进行到步骤S1700。
在步骤S1700，移动i 各由器111向对端节点130发送BU消息206,因此完成所述RR规程。优选的是，移动路由器111包括下述网络前缀对于所述网络前缀，当发送BU消息206时接收到NPT消息。而且，如果在BU消息206中包括任何网络前缀，则优选的是，BU消息206的鉴别码字段812 是下述校验和所述校验和是从作为在HoK字段912中存储的权标、CoK字段913和在XBUL 900中的相应XBUL记录910的相应NPK字段915的串接的密钥产生的。
图11是示出在本发明第一实施例中、附接到在步骤S1200中的对进入分组的处理的钩子处理的图。每当在执行改进的RR规程时有进入分组时触发所述钩子处理。在步骤S2100，检查所述进入分组以查看它是否是从对端节点(CN)130发送来的。如果不是，则钩子处理释放所述分组以用于通常的处理，如在步骤S2900中所示。
当它是从对端节点130发送的时，在步骤S2200中接着4企查进入分组以查看它是否是从移动路由器111的本地代理120隧穿而来的。如果是，则所述钩子处理进行到步骤S2300。否则，所述钩子处理进行到步骤S2600。
在步骤S2300，进一步检查进入分组以查看目的地址是否等于移动路由器111的归属地址。如果是，则采取步骤S2500,其中在步骤S2500中，扫描所述分组以查看它是否包含HoT消息204 。如果它包括HoT消息204,则将HoK权标和所接受的前缀的数量分别提取和存储在在XBUL记录910中的 HoK字段912和前缀数量字段914中，如步骤S2580中所示。否则，从钩子处理释^:所述分组以用于正常处理，如在步骤S2900中的所示。
从步骤S2300，如果目的地址不是移动路由器111的归属地址，则在步骤S2400接着检查进入分组是否具有等于由移动路由器拥有的网络前缀的任何一个的网络前缀。如果进入分组具有等于由移动路由器拥有的网络前缀的任何一个的网络前缀，则在步骤S2440中进一步检查进入分组以查看它是否
包含NPT消息205。如果它包含NPT消息205,则将NPK权标从NPT消息 205提取并且存储在XBUL记录910的相应NPK字段915中，如在步骤S2480 中所示。否则，从钩子处理释放所述进入分组以用于通常处理，如在步骤S2900 中所示。
另一方面，如果在步骤S2200中所述分组不是从归属地址隧穿而来的，则采取步骤S2600，其中在步骤S2600中，；险查进入分组的目的地址以查看它是否等于移动路由器111的转交地址。如果它不等于移动路由器111的转交地址，则从钩子处理释放所述进入分组以用于通常处理，如在步骤S2卯0 中所示。
如果目的地址是移动路由器111的转交地址，则采取步骤S2640,其中在步骤S2640中，扫描所述进入分组以查看它是否包括CoT消息202。如果它包括CoT消息202，则从CoT消息202提取CoK权标，并且将其存储在 XBUL记录910的CoK字段913中，如在步骤S2680中所示。否则，从钩子处理释放所述进入分组以用于通常处理，如在步骤S2900中所示。一旦结束了改进的RR规程，则分离所述钩子处理。
移动路由器111有可能在运动时改变其转交地址。当所述转交地址改变时，必须重复改进的RR规程。但是，如果在XBUL记录910中存储的值(使用期限)还没有期满，则移动if各由器111不必获得同样的HoK和NPK权标。在这种情况下，移动路由器lll仅仅需要发送CoTI消息。一旦它获得了 CoT 消息202 ，则它可以使用在XBUL记录910中存储的HoK和NPK权标来产生BU消息的校验和。
另外，当移动网络100返回原籍(home)时，移动路由器111向对端节点 130发送BU消息以去除绑定。在这种情况下，移动i^各由器111不必通过RR 规程来执行测试。相反，它可以仅仅发送BU消息206，而不发送任何网络前缀选项512。而且，可以仅利用HoK;K标来产生BU消息206的鉴别码字賴二 812中的校验和。
在上述il明中，由HoTI消息203通知网络前缀，而由HoT消息204通知可接受的网络前缀的数量。因此，通过在步骤S2580中的处理来从HoT消息204提取可接受的网络前缀的数量。但是，如前所述，可以利用CoTI消息 201/ CoT消息202或其他消息来交换网络前缀和可接受的网络前缀的数量。对于本领域技术人员来说，很明显，在这样的情况下，例如，当由CoT消息
202通知可接受的网络前缀的数量时，通过步骤S2680中的处理，移动路由器111可以从CoT消息202提取可接受的网络前缀的数量。
接着，描述由对端节点130使用的、用于检查BU消息206的有效性的算法。如在非专利文献1中描述的RR规程的一个优点是在接收到绑定更新之前，对端节点130不需要维持任何状态信息。在本发明中公开的改进的RR 规程继承了这个优点。对端节点130仅仅需要产生对于HoTI消息203和CoTI 消息201的应答，而不必在整个RR规程期间保存任何状态信息。在接收到 BU消息206时，对端节点130可以单独才艮据在BU信息中包含的信息独立地检查BU消息206的有效性。图12是示出在本发明第一实施例中、由对端节点130使用来检查在所接收的BU消息206中的有效性的算法。
当对端节点130首次接收到BU消息206时，它检查在BU消息206中是否存在归属地址选项803，如在步骤3000中所示。这区别于使用BU消息 206来建立新的绑定或者删除先前的绑定的情况。如果不存在归属地址选项 803，则所述算法进行到步骤S3100。在此，将分组的源地址当作发送者(即移动路由器)的归属地址，并且这用于产生HoK权标。接着，在步骤S3150中，将用于检查BU消息206的密钥设置为HoK权标，并且，所述算法进行到步骤S3700,其中在步骤S3700中，检查BU消息206的有效性。
如果所接收的BU消息206包含归属地址选项803，则所述算法进行到步骤S3200,其中在步骤S3200中，使用在归属地址选项中的归属地址来产生HoK权标。接着，在步骤S3300中，将BU消息206的源地址当作发送者的转交地址，并且用于通过这个转交地址来产生CoK权标。然后，在步骤 S3400,串接所述HoK和CoK权标，以便提供初始密钥。所述算法然后进行到在从步骤S3500、步骤S3600到步骤S3650的循环中的、对在BU消息206 中存在的每个网络前缀选项512的处理。
在步骤S3500中，检查BU消息206以查看是否存在任何未处理的网络前缀512。如果不存在，则退出所述循环，并且采取步骤S3700和S3800,其中在步骤S3700和S3800中，验证BU消息206的有效性。如果仍然存在未处理的网络前缀选项512,则在步骤S3600中处理下一个未处理的网络前缀选项512。在此，从下一个未处理的网络前缀选项512提取网络前缀(由此处理它)，并且从所述网络前缀产生NPK权标。在步骤S3650中，这个NPK权标然后被附接到所述密钥，并且所述算法循环回步骤3500。以这种方式，以
网络前缀选项512的出现顺序从HoK、 CoK和NPK系列来串接用于产生校验和的所述密钥。
在步骤S3700,使用所获得的密钥(来自步骤S3150、 S3400或者S3650) 来产生BU消息206的校验和。然后，在步骤S3800，将其与在BU消息206 中存储的鉴别码812值相比较。如果两个校验和不相等，则验证失败，如在步骤S3900中所示。如果两个校验和相同，则验证成功，并且接受所述BU 消息206,如在步骤S3950中所示。
〃使用这种纟企查，对端节点130可以^^确保网络前缀、转交地址和归属地址处于相同位置。一旦对端节点130验证了此，则然后它可以建立路由信息以通过分组封装或者其他方式来直接地向移动路由器111的转交地址转发意欲到来自网络前缀的地址的分组，而不通过本地代理120。因此，按照本发明的所述优选实施例，满足了本发明的目的。
按照下面所述的操作，有可能减少发送到移动路由器111的消息的数量，以便减轻对于在移动路由器111及其接入路由器101之间的、经常是有限的无线带宽的压力。例如，通过下述方式来如此进行将截取HoT消息204和 NPT消息205的负担转移到另一实体(诸如移动路由器111的本地代理120)。
图13是在本发明第一实施例中的用于带宽减少的改进返回可路由性规程的消息的时序图。与上述操作相同，当移动路由器111启动RR规程时，它向对端节点130发送CoTI消息201。对端节点130以包括CoK的CoT消息202来应答该消息。这与前述的说明相同，因此为了简洁而省略对其的说明。
耳又代发送HoTI消息203，移动;洛由器111向其本地代理120发送代理归属测试启动(PHoT)消息253。该PHoT消息253指令本地代理120代表移动路由器111来执行所述RR规程的归属测试部分。
图14是示出在本发明第一实施例中的PHoT消息253的内容的一个示例的图。源地址2501和目的地址2502分别指定移动5^由器111的归属地址和本地代理120的地址。作为分组253的一部分的移动性首标2510包含消息类型字段2511，其用于指示该分组为PHoT消息253。它也包含对端节点字段 2512，用于告知本地^C理120对端节点130的地址以启动HoTI消息203。
PHoT消息253也可以包含一个或多个网络前缀选项2513。每个网络前缀选项2513包括选项类型字段2521,用于指示该选项为网络前缀选项2513; 以及网络前缀字段2522,它包含一个网络前缀。
在上述说明中，移动路由器111将网络前缀嵌入PHoT消息253中。但是，移动路由器111可以被配置来发送没有网络前缀(或者没有网络前缀选项 2513)的PHoT消息253。例如，本地代理120已经预先知道一个或多个网络前缀。接收到没有网络前缀的PHoT消息253的本地代理120将本地代理已预先知道的一个或多个网络前缀嵌入HoTI消息203中。以这种方式，可以对于移动路由器111的网络前缀执行通过改进的RR规程的测试。而且，移动路由器111可以被配置来发送下述PHoT消息253:所述PHoT消息253具有用于标识在本地代理120已知的网络前缀中的特定网络前缀的信息。这使得移动路由器111能够选择特定的一个或多个网络前缀，并且请求本地代理120 仅仅对于所述特定的网络前缀执行通过改进的RR规程的测试。
当接收到PHoT消息253时，本地代理120将代表移动路由器111向对端节点130发送HoTI消息203。注意，HoTI消息203的源地址字^殳501仍然承载移动路由器111的归属地址。如果存在在PHoT消息253中包含的网络前缀选项2513，则本地代理120将相同的网络前缀选项512置于HoTI消息203中。否则，本地代理120将由移动路由器111处理的配置的网络前缀置于HoTI消息203中。在发送HoTI消息203后，本地代理120将象移动路由器111 一样来截取由对端节点130发送的任何NPT消息205。为此，在时段264期间，本地代理120将检查具有等于对端节点130的地址的源地址、并且具有等于从在HoTI消息203中指定的网络前缀之一配置的地址的目的地址的每个分组。在此，本地代理120检查在这些分组的每个中的移动性首标 710，用于将所述分组标识为NPT消息205。
除了截取NPT消息205之外，本地代理120也将截取由对端节点130发送的HoT消息204。注意，本地代理120将不把NPT消息205和HoT消息 204隧穿到移动路由器111。相反，将记录分别在NPT消息205和HoT消息 204中包含的NPK 712和HoK 612。一旦HoT消息204和所有的NPT消息 205被截取，则本地代理向移动路由器111发送代理归属测试(PHoT)消息254。发送PHoT消息254来将所收集的所有HoK和NPK值发送回移动路由器111 。
图15是示出在本发明第一实施例中的PHoT消息254的内容的一个示例的图。源地址2601和目的地址2602分别指定本地4义理120的地址和移动^各由器111的归属地址。作为分组254的一部分的移动性首标2610包含消息类
型字段2611,其指示该分组为PHoT消息254。它也包含对端节点字段2612, 用于标识在RR规程中作为远程方的对端节点130。在HoK字段2613中给出了在所截取的HoT消息204中存储的HoK值。
PHoT消息254也可以具有一个或多个网络前缀密钥选项2614,有可能所述选项的数量等于由本地代理120截取的NPT消息205的数量。每个网络前缀密钥选项2614 (如果存在的话)包含选项类型字,殳2621，用于将该选项标识为网络前缀密钥选项2614;网络前缀字^殳2622,用于指示该选项所引用的网络前缀；NPK字段2623，它包括由对端节点130对于该网络前缀产生的NPK。注意，因为PHoT消息254一皮发送到在其归属地址的移动路由器111, 因此，所述消息将被隧穿到移动路由器111的转交地址。
一旦移动路由器111接收到PHoT消息254,则移动路由器111具有了其本身向对端节点130发送绑定更新消息206所需要的所有信息。所述绑定更新消息206与如上所述的相同，因此，将省略对其的详细说明。
在发送PHoT消息253和PHoT消息254的情况下，可以结束改进的RR 规程，使得对端节点130能够确保移动路由器111确实拥有其声明的网络前缀。另外，因为处理NPT消息205的负担被转移到本地代理120，因此在移动路由器111及其访问路由器101之间的接入信道具有较小的压力。而且，减少了移动路由器111的处理负荷，这可能是重要的，因为移动路由器111 可能由电池供电，因此功耗最好是尽可能低。
如图13中所示，即使本地代理120向对端节点130发送HoTI消息203 并且代表移动路由器111接收到HoT消息204和NPT消息205，也会发生对端节点130使用目的地址来产生NPK权标的情况。
在这种情况下，进一步是在随机产生目的地址的主部分的情况下，本地代理120需要存储每个NPT消息205的目的地址的主部分(对应于如下所述的步骤S4600),并且通过PHoT消息253等向移动路由器111通知每个NPT 消息205的目的地址的所存储的主部分值。在移动路由器111通知主部分的期望值的另一种情况下，需要附加新选项字段到PHoT消息253或HoTI消息 203以插入所通知的主部分。
移动路由器111可以使用改进的RR规程向对端节点130发送其拥有的所有移动网络110的网络前缀。而且，移动路由器111可以选择性地使用改进的RR规程向对端节点130发送其拥有的一些移动网络110的网络前缀。
例如，当存在于移动路由器111之后的未指定网络中的节点希望与指定的对端节点130(例如门户站点的服务器)通信时，移动路由器111向对端节点
130发送其拥有的所有移动网络110的网络前缀的这个前一方面是有益的。
例如，当存在于移动路由器111之后的移动网络中的一些移动网络节点 112希望与对端节点130通信时，移动路由器111选择和向对端节点130发送其拥有的一些移动网络110的网络前缀的后一方面是有益的。以这种方式，移动路由器111执行对端节点130的路由优化(即直接通信)。这使得能够提高通信效率。
在后一种情况下，移动路由器111首先^r测存在于移动路由器111之后的指定节点(例如移动网络节点112-1)开始(或者即将)与对端节点130通信。移动路由器111然后使用改进的RR规程向对端节点130通知仅仅移动网络节点112-1所在的移动网络的网络前缀，并且使得对端节点130确定网络前缀。在此处理之后，移动路由器111向对端节点130发送对于网络前缀的BU 消息。以这种方式，仅仅选择性地通知用于路由优化的网络前缀，并且计算校验和等。因此，可以省略关于无用网络前缀的通信和处理。
而且，如上所述，例如在已经在移动网络节点112-1所在的移动网络110 和对端节点130之间设置路由优化的情况下，当移动路由器检测到另一节点 (例如移动网络节点112-2，该节点使用与移动网络节点112-1的网络前缀不同的网络前缀)开始与同一对端节点130通信(或者即将通信)时，移动路由器111 发送仅仅有由移动网络节点112-2使用的网络前缀的BU消息205。移动路由器111可以对于由移动网络节点112-2使用的网络前缀再次启动改进的RR规程。但是，移动路由器在对由移动网络节点112-1使用的网络前缀、相对于对端节点130执行改进的RR规程的过程中已经获得了信息(例如CoK和 HoK)。因此，移动路由器可以重新使用上述的信息，并且可以省略改进的RR 规程的一些处理。
如在本说明中所示，移动路由器111可以选择由于诸如移动路由器的移动和使用期限的更新之类的各种原因而要绑定更新的一个或多个网络前缀，并且仅仅对于所选择的网络前缀执行改进的RR规程和绑定更新。而且，类似于向对端节点130注册网络前缀，移动路由器111可以选择性地删除所注册的网络前缀，或更新延长的使用期限。
优选的是，移动路由器111保存关于以前的路由优化的操作的结果。如
上所述，保存操作结果是有益的，以便当移动路由器111选择和向对端节点 130发送其拥有的一些移动网络110的网络前缀时确定是否已经向对端节点注册了网络前缀(即判断是否完成了路由优化)。
传统的路由器一般保存用于指示哪个网络前缀已经被注册到哪个对端节
点130的信息。但是，有益的是，移动路由器111除了上述的信息之外还存储为什么RR规程以失败结束的原因的细节。为什么RR规程以失败结束的原因的细节的可能示例如下
因为移动网络节点112接收到从对端节点130返回的错误消息，所以对端节点130可能不能处理传统的RR规程。
因为未从对端节点130通知任何网络前缀数量信息，所以对端节点130 可能不能处理改进的RR规程。
对端节点130能够处理改进的RR规程，但是未接受或者未注册一些网络前缀。
有可能移动路由器被配置来仅仅在有限的时段或者以有限的数量保存关于所述原因或者所述操作结果的上述细节的信息。而且，移动路由器111以特定方式来存储关于所述原因或者所述操作结果的上述细节的信息，所述特定方式诸如通过用于指示必要状态的存在的标记或者通过用于指示与对端节点130的每个地址相关联的状态的值。
下面，将参照图17来说明在移动路由器111最好保存先前的操作结果的情况下的操作的一个示例。图17是示出在本发明第一实施例中在移动路由器 111最好保存先前的操作结果的情况下的操作的一个示例的流程图。在此，假定移动路由器111已经向一个或多个对端节点130注册了其拥有的移动网络的一些或者全部。
移动路由器111已经向一个或多个对端节点130注册了其拥有的移动网 S5000)。
移动路由器111截取意欲去往外部的对端节点130的、来自在移动路由器111之后拥有的移动网络110中的节点的分组，并且扫描分组(步骤S5100)。移动路由器111然后查看对端节点130的地址和节点所在的移动网络110的网络前缀，并且根据路由优化信息来检查是否已经设置了路由优化(步骤 S5200)。在步骤S5200中，在判断已经完成了路由优化的情况下，移动路由
器111向对端节点130以分组沿着优化路由通过隧道的顺序来转发分组(步骤
S5300)。再次，返回采用步骤S5100以扫描新分组。
在步骤S5200,在判断还没有完成路由优化的情况下，移动路由器111 查看所保存的路由优化信息，并且确定操作(例如确定是否移动路由器111进行来向对端节点130新注册该节点的网络前缀)。而且，移动i 各由器lll查看如上所述的为什么RR规程以失败结束的原因的细节。这使得移动路由器111 能够与相对于每种错误而定义的处理一致地选择处理。而且，当移动路由器不能在路由优化信息中找到对端节点130的地址时，移动路由器111将对端节点130当作移动路由器111第一次与其通信的节点，或者当作移动路由器 111超过预定时段未与其通信的节点。优选的是，移动路由器111执行与对端节点130的路由优化。
当移动路由器111执行路由优化时(在步骤S5500中的"是")，移动路由器111按照这个操作的结果来更新路由优化信息(步骤S5600)。当移动路由器111不执行路由优化或者已经结束了更新路由优化信息时(在步骤S5500中的"否")，返回采取步骤S5100以再次扫描新分组。优选的是，移动路由器 111立即转发要沿着非优化路由传送的、在步骤S5200中被判断还没有完成路由优化的分组。
(第二实施例)
说明本发明的第二实施例。在此，描述这样的情况本发明被应用到需要验证声明拥有网络前缀的一些网络节点是否确实拥有所述网络前缀的任何情况。一个示例是在使用对端路由器的路由优化的情况下。
图18是示出在本发明第二实施例中的通信系统的图。在图18中，对端路由器150正在管理包括对端节点130、 131和132的对端网络155。对端路由器150作为在对端网络155中的对端节点130、 131和132的代理。顺便提及，在图18中图解为存在一个对端网络155，但是可以存在更多的对端网络 155。为了实现路由优化，移动路由器111应当与对端路由器150建立双向隧道，以便可以通过这个双向隧道来转发从在移动网络110中的任何节点(除了移动网络节点112-1、 112-2和112-3之夕卜)向在对端网络155中的任何节点(除了对端节点130、 131和132之外)发送的分组。
为了实现这一点，不仅移动路由器111必须向对端路由器150通知其归
属地址、转交地址和移动网络前缀，而且对端路由器150也必须让移动路由
器111知道对端路由器150管理的对端网络155的一个或多个网络前缀。移动路由器111和对端路由器150需要验证彼此所声明的前缀的有效性。为了对端路由器150验证由移动路由器111声明的前缀，可以应用如在本说明书中前述的改进的RR规程。为了移动路由器111验证由对端路由器150声明的前缀，可以使用改进的RR规程的变化形式。
因为对端路由器150通常是固定节点(即非移动的)，因此没有与对端路由器150相关联的转交地址。简而言之，对端路由器150不包括转交地址。因此，可以从改进的RR规程中省略发送CoTI和CoT消息的处理。相反，对端路由器150仅仅需要通过发送HoTI消息来启动所述规程，并且截取HoT 和NPT消息。发送对端路由器150向移动路由器lll发送BU消息后，所述规程结束。
图19是示出在本发明的第二实施例中的、用于描述当对端路由器150 向移动路由器111注册其管理的对端网络的网络前缀时的操作细节的时序的图。对端路由器150通过向移动路由器lll发送HoTI消息1701来开始。HoTI 消息1701的源地址是对端路由器150的地址，并且目的地址是移动路由器 111的地址。
在此，预先假定对端路由器150已经知道移动路由器111的地址。通常，对端路由器150将在从移动路由器111接收到BU消息后发送HoTI消息1701, 因此它应当已经知道在移动路由器111的转交地址和归属地址之间的绑定。因此，HoTI消息1701的目的地址最好可以承载移动路由器111的转交地址。对于本领域内的4支术人员应当显然，如果HoTI消息1701的目的地址承载移动路由器111的归属地址，则所述规程也将有效。
HoTI消息1701也包含对端路由器150管理的一个或多个网络前缀。该 HoTI消息1701对应于在本发明第一实施例中的HoTI消息203，因此，可以使用HoTI消息203的格式(在图5中所示的消息格式)来作为HoTI消息1701 的格式。
当移动路由器111接收到HoTI消息1701时，它以HoT消息1702来应答。HoT消息1702将包含移动路由器111根据对端路由器150的地址产生的 HoK权标。优选的是，HoT消息1702也向对端路由器150通知移动路由器 111将发送多少NPT消息。该HoT消息1702对应于在本发明第一实施例中的HoT消息204，因此可以使用HoT消息204的格式(在图6中所示的消息格式)来作为HoT消息1702的格式。
对于在HoTI消息1701中指定的每个网络前缀，移动;洛由器111向包括所述网络前缀的一些地址(即，每个地址包括在该地址的前缀部分中的该网络前缀)发送一个或多个NPT消息1703。为了避免向网络中注入爆发的通信量，移动路由器111最好在发送下一个NPT消息1703之前等待小的延迟。在图 19中以延长的时段1720示出了每个NPT消息1703的发送时间。
每个NPT消息1703包含由移动路由器111根据其中包括目的地址的网络前缀而产生的NPK权标。该NPT消息1703对应于在本发明第一实施例中的NPT消息205,因此可以使用NPT消息205的格式(在图7中的消息格式) 来作为NPT消息1703的格式。
在发送HoTI消息1701后，对端路由器150启动定时器。在该时段1724 期间，对端路由器150察查从移动路由器111向来自由对端路由器150管理的网络前缀的地址发送的每个分组，以检查NPT消息1703 。对端路由器150 需要记录在该时段1724期间从HoT消息1702和NPT消息1703分别提取的所有HoK和NPK权标。
当对端路由器150已经接收到所有的HoK和NPK权标时，或者当时段 1724已经过去时，对端路由器150可以行进到向移动路由器lll发送BU消息1704以绑定由对端路由器150管理的网络前缀。BU消息1704包含根据所接收的HoK和NPK权标而以加密方式产生的校验和。该BU消息1704对应于在本发明第一实施例中的BU消息206,因此，如果对端路由器150的地址被指定为源地址，则可以使用BU消息206的格式(在图8中所示的消息格式) 来作为BU消息1704的格式。
是有效的通过在接收到BU消息1704后独立地产生校验和，并且将其与在 BU消息1704中的校验和相比较。这完成了用于验证对端路由器150的改进的RR规程。
如上所述，对端路由器150在从移动路由器111接收到BU消息后通常向移动路由器111发送HoTI消息1701。因此，例如，会发生已经在移动路由器111和对应路由器150之间启动在本发明第一实施例中的操作。然后在从移动路由器111向对端路由器150发送BU消息206后，启动在本发明第二实施例中的操作。但是，因为移动路由器111和对端路由器150 —般使用同一算法，因此，移动路由器111和对端路由器150中的任何一个可以启动
改进的RR规程。而且，移动路由器111和对端路由器150都可以几乎同时地独立启动改进的RR规程。
当移动路由器111和对端路由器150彼此执行改进的RR规程时，可能增加复杂的处理。但是，可以通过组合一些消息来减少分组交换和冗余的数量。这在图20中图解。
图20是示出在本发明第二实施例中的、在移动路由器111和对端路由器 150之间的优化的返回可路由性规程的消息的时序图。移动路由器111首先通过发送CoTI消息1801和HoTI消息1803而启动返回可路由性规程。因为使用移动路由器111的归属地址作为源地址来发送HoTI消息1803，因此HoTI 消息1803通过双向隧道而被转发到本地代理120。上述操作与在图2中所示的序列的来自移动路由器111的CoTI消息201和HoTI消息203的发送操作相同。
一旦对端路由器150接收到CoTI消息1801，则它以CoT消息1802来应答。CoT消息1802的内容与原始返回可路由性规程的那些相同，并且增加了额外信息。该额外信息包含由对端路由器150管理的对端网络155的网络前缀。换句话说，可以说，CoT消息1802是在图2中的CoT消息202和在图19中的HoTI消息1701的组合。
当移动路由器111接收到该CoT消息1802并且通知所述额外信息(对端网络155的网络前缀)时，移动路由器111认为该CoT消息1802类似于在图 19中的HoTI消息1701。为了验证所述网络前缀信息，移动^各由器111向从指定的网络前缀选择的一个或多个地址发送NPT消息1805。每个NPT消息 1805包含从所述网络前缀以密码形式产生的NPK权标。在发送NPT消息1805 之前，移动路由器111可以向对端路由器150发送消息以告知NPT消息1805 的数量。
一旦对端路由器150发送了 CoT消息1802，则它启动定时器(时段1825), 以捕获^v移动^^由器111发送的NPT消息1805。
当对端路由器150接收到HoTI消息1803时，它以HoT消息1804和NPT 消息1806应答，如在图2中的序列中所述。HoT消息1804收信地址为移动路由器111的归属地址，因此将被本地代理120隧穿。NPT消息1806发送到
包括在CoT消息1802中指定的网络前缀的地址，并且也将被本地代理120隧穿。
移动;洛由器lll在发送HoTI消息1803后启动定时器1820,以捕获由对端路由器150发送的HoT消息1804和NPT消息1806。在捕获所述HoT消息1804和NPT消息1806后，移动路由器111向对端路由器150发送BU消息1807。在BU消息1807中，移动路由器111包括移动网络前缀信息、从分别由HoT消息1804、 CoT消息1802和NPT消息1806提取的HoK、 CoK和 NPK^K标以加密方式产生的才交验和。对端^^由器150可以通过独立地产生这个校验和来验证BU消息1807的有效性。一旦验证了有效性，则对端路由器 150存储移动路由器111的归属地址和转交地址的绑定以及移动网络110的网络前缀。
在验证了有效性后，对端路由器150向移动路由器111发送BA消息 1808。在这个BA消息1808中，对端if各由器150也将包括其管理的对端网络 155的网络前缀的信息与从自NPT消息1805提取的NPK以加密方式产生的校验和。以这种方式，移动路由器111可以通过比较校验和来验证在BA消息1808中指定的网络前缀的有效性。当验证了有效性时，移动路由器111存储对端路由器150的地址和对端网络155的网络前缀的绑定。
在图20中的序列中，对端路由器150包括在CoT消息1802中的额外信息(对端网络155的网络前缀)，但是，即使在HoT消息1804中包括所述额外信息的情况下，也实现本发明的目的。
(第三实施例)
接着，说明本发明的第三实施例。在本发明的第三实施例中，描述以与 RR规程相关联的说明在第一和第二实施例中提出的本发明的基本思想。
图21A是示出在本发明的第三实施例中的通信系统的图。图21B是示出包括其后有移动网络的移动路由器的通信系统的图。图21C是示出包括作为用于预定网络的代理路由器的固定路由器的通信系统的图。图21D是示出包括多个用于管理同一固定网络的固定路由器的通信系统的图。上述的代理服务器能够表示一个或多个网络，诸如移动路由器、对端路由器或者用于管理特定网络的特定路由器。因此，可以将代理路由器称为指定路由器、委托路由器或者代表路由器。
在图21A中，示出了两个通信节点11000、 12000连接到通信网络10000，并且两个通信节点彼此通信。通信节点11000是管理一个或多个网络的通信节点。通信节点11000管理被设置到一个或多个网络的每一个网络的网络前缀。具有作为目的地址的、包括通信节点11000管理的网络前缀的地址的分组到达通信节点11000。通信节点11000然后将每个分组转发到对应于每个分组的网络前缀的适当的网络。因此，具有作为目的地址的、包括通信节点11000 管理的网络前缀的地址的分组通过通信节点11000。
该通信节点11000例如是在图21B中所示的移动路由器11000或者在图 21C中所示的固定路由器11200。在图21B中所示的移动路由器11000对应于在第一实施例中的移动路由器lll(在图1中所示)。在图21C中所示的固定路由器11200对应于在第二实施例中的对端路由器150(在图18中所示)。
在图21B中所示的移动路由器11100包括一个或多个在后的移动网络 llllO(在图21B中仅仅示出了一个)。移动路由器11100是能够在特定的附接点连接到通信网络10000的路由器。如在第一实施例中所述，移动路由器 11100管理一个或多个移动网络的网络前缀。在移动网络11110中的特定节点被提供包括移动路由器11100管理的网络前缀的地址(归属地址或者转交地址)。在移动网络11110中的特定节点和在移动网络11110之外的其他节点之间的所有分组通过移动路由器11100。
在图21C中的固定路由器11200包括一个或多个固定网络U210(在图 21C中仅仅示出了一个)。固定路由器11200是作为在一个或多个固定网络 11210中的特定节点的代理的路由器。固定路由器11200管理一个或多个固定网络的网络前缀。在固定网络11210中的特定节点被提供包括固定路由器 11200管理的网络前缀的地址(归属地址或者转交地址)。在固定网络11210中的特定节点和在固定网络11210之外的其他节点之间的分组通过固定路由器 U200。在图21C中，图解了将固定网络11210布置在刚好在固定路由器11200 之下，但是，可以有在固定路由器11200和固定网络11210之间的一个或多个中间路由器。而且，固定路由器11200可以在特定的附接点连接到通信网络10000。固定路由器11200除了固定网络11210之外也可以管理例如移动3各由器11100管理的移动网络11110。作为一种管理形式，一个固定路由器11200 可以管理一个固定网络，并且多个固定路由器U200(在图21D中所示的三个固定路由器11200a、 11200b和11200c)也可以管理一个固定网络，如在图21D
中所示。在这种情况下，每个固定路由器U200a、 11200b和11200c按照下述各种条件而动态地或者静态地管理一个固定网络11210:所述各种条件诸如在固定网络11210中的节点、存在于固定网络11210之外的节点、每个固定路由器11200a、 11200b和11200c的处理负担。而且，每个固定路由器 11200a、 11200b和11200c共享关于在固定网络11210和在固定网络11210外部之间交换的分组的处理。在图21D中，示意性地图解了固定路由器11200a 作为关于在通信节点12000a和在固定网络11210中的节点之间的通信的代理，并且，固定路由器11200b和/或11200c作为关于在通信节点12000b和在固定网络11210中的节点之间的通信的代理。
接着，将参见图22来说明在本发明的第三实施例中的操作。在此，描述下述操作管理一个或多个网络的通信节点11000向特定的通信节点(在此为通信节点12000)示出它确实管理所述网络，并且向特定的通信节点通知它管理的网络的网络前缀。顺便提及，有可能一般从在第一和第二实施例中的操作提取在图22中所示的操作。
通信节点11000首先向通信节点12000发送消息M一A 2001。通信节点 11000可以按照一些触发(例如来自通信节点12000的请求，通信环境的改变等)来发送这个消息M一A2001,或者可以本身自发地确定发送。
该消息M—A 2001至少包括通信节点11000管理的网络的网络前缀的至少一些或者全部。顺便提及，该消息M—A对应于在第一实施例中的HoTI消息203、在第二实施例中的HoTI消息1701 、 1803和CoT消息1802。
接收到该消息M一A2001的通信节点从该消息M一A2001提取网络前缀，并且根据该网络前缀来产生加密的权标。通过该处理，产生对应的加密权标，其数量与在消息M_A 2001中包括的网络前缀的数量相同。此时，通信节点 12000可以选择所接受的网络前缀，并且对所接受的网络前缀的数量设置限制。特别是在设置限制的情况下，通信节点12000最好向移动路由器11000 通知所述限制数量。
通信节点12000产生至少包括对应于每个网络前缀的加密权标的消息 M_B 2002。如上面在第一实施例中所述，这些消息M—B 2002的目的地址被设置为包括每个网络前缀的地址。而且，按照被设置为所述地址的主部分的值，通信节点11000在通信节点11000接收到消息M—B 2002时以不同方式来执行所述处理。在此省略其细节。
从通信节点发送的一个或多个消息M—B 2002 ^皮传递到对应于每个网络前缀的网络，并且所有的消息M—B 2002必然到达通信节点11000。因此，通信节点11000可以通过扫描分组来截取这些消息M—B 2002。顺便提及，该消息M—B 2002对应于在第一实施例中的NPT消息205、在第二实施例中的NPT 消息1703、 1805和1806。
通信节点11000从所截取的消息M—B 2002提取对应于每个网络前缀的加密权标，并且根据通过串连所有的加密权标而产生的信息来产生证明。通信节点11000产生至少包括至少对应于所截取的消息M_B 2002和上述证明的一个或多个网络前缀的消息M—C 2003,并且将该消息M—C 2003发送到通信节点12000。顺便提及，该消息M一C2003对应于在第一实施例中的BU消息206、在第二实施例中的BU消息1704、 1807和BA消息1808。
接收到该消息M—C 2003的通信节点12000从消息M—C 2003提取网络前缀，并且再次根据这些网络前缀来产生加密的权标。而且，通信节点12000 根据通过串连所有的加密权标而产生的信息来产生信息。通信节点12000将该所产生的信息与在消息M—C 2003中的证明相比较。当两者相同时，通信接收11000识别出通信节点11000确实管理这些网络前缀。
当通信节点IIOOO产生包括通信节点11000不管理的网络的网络前缀的消息M—A 2001并且向通信节点12000发送该消息M—A 2001时，通信节点 11000不能截取从通信节点12000发送的消息M—B 2002,并且不能向通信节点12000发回包括有效证明的消息M—C 2003。因此，按照上述的^t喿作，通信节点12000仅仅与已经成功地示出了所述通信节点11000确实管理所述网络的通信节点11000通信，并且仅仅与通信节点11000管理的节点通信。这使
(spoofing)。而且，通信节点12000建立与通信节点11000的隧道，并且仅仅通过所述隧道来转发意欲去往通信节点IIOOO确实管理的网络的分组(其目的地址包括确实由通信节点11000管理的网络前缀的分组)。这使得能够沿着优化的由来传递相关的分组。
在第一、第二和第三实施例中所述的详细操作和详细说明可以被应用到不同的实施例，或者可以被组合在一起。例如，可以将在第一实施例中所述的详细操作应用到在第二和第三实施例中的操作。
产业上的应用
本发明的优点是管理网络的通信节点可以向其他通信节点证明所述通信节点确实管理所述网络，并且与对端路由器通信的移动路由器可以确定对端路由器确实代表所述对端路由器声明代表的对端网络。本发明被应用到使用因特网协议的通信技术领域，特别是应用到用于与移动路由器移动的移动网络的通信技术领域。
权利要求
1. 一种在通信系统中使用的网络管理方法，所述通信系统被提供有其后具有移动网络的移动路由器和与在所述移动网络中的特定节点通信的对端节点，其中，所述移动路由器和所述对端节点连接到预定的通信网络，所述方法用于使得所述对端节点验证所述移动路由器的位置信息，所述方法包括步骤:所述移动路由器产生包括指定所述移动网络的网络前缀的第一消息，并且向所述对端节点发送所述第一消息；所述对端节点根据在从所述移动路由器接收的所述第一消息中的所述网络前缀来产生对应于所述网络前缀的权标；所述对端节点产生包括对应于所述网络前缀的所述权标的第二消息，并且向可到达对应于所述网络前缀的所述移动网络的地址发送所述第二消息；所述移动路由器接收所述第二消息，并且提取在所述第二消息中的所述权标；所述移动路由器使用所述权标来产生校验和；所述移动路由器产生包括所述网络前缀和所述校验和的第三消息，并且向所述对端节点发送所述第三消息；以及所述对端节点接收所述第三消息，并且根据在所述第三消息中的所述网络前缀来验证在所述第三消息中的校验和。
2. 按照权利要求1的网络管理方法，其中，所述移动路由器的本地代理连接到所述预定的通信网络，并且设置所述第一消息和/或第二消息的目的地址或路由地址，以便经由所述本地代理来提供所述第一消息和/或第二消息。
3. 按照权利要求1的网络管理方法，包括步骤当所述移动路由器包括多个所述移动网络时，所述移动路由器产生所述第一消息，所述第一消息包括多个网络前缀，用于指定每个所述移动网络；以及所述对端节点在所述第一消息中的所述多个网络前缀中选择一个或多个所接受的网络前缀。
4. 按照权利要求3的网络管理方法，包括步骤所述对端节点在选#^了所述网络前缀后产生包括所选择的网络前缀的数量的第四消息，并且向所述移动路由器发送所述第四消息。
5. 按照权利要求4的网络管理方法，其中，将返回可路由性规程的HoT 消息用作第四消息。
6. 按照权利要求1的网络管理方法，包括步骤所述对端节点通过将作为主部分的随机产生的值加到对应于所述移动网络的所述网络前缀而产生要被设置到所述第二消息的、可到达所述移动网络的地址。
7. 按照权利要求6的网络管理方法，包括步骤当所述对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有所述随机产生的值的所述主部分构成的地址产生所述权标，并且通过将在产生所述权标中使用的所述地址设置为可以到达对应于所述网络前缀的所述移动网络的所述地址来发送所述第二消息的时候，在发送所述第三消息的过程中，所述移动路由器在所述主部分中存储所述随机产生的值，并且向所述对端节点通知所存储的随机产生的值。
8. 按照权利要求1的网络管理方法，包括步骤所述移动路由器向所述对端节点通知用作主部分的特定值，其中所述主部分^^皮加到在所述第一消息中的所述网络前缀；以及所述对端节点通过将从所述移动路由器通知的所述特定值作为主部分加到对应于所述移动网络的所述网络前缀来产生可到达所述移动网络、并且#皮设置到所述第二消息的地址。
9. 按照权利要求8的网络管理方法，包括步骤所述移动路由器存储所述移动路由器向所述对端节点通知的特定值；当所述对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有所述特定值的所述主部分构成的地址产生所述;f又标，并且通过将在产生所述权标中使用的所述地址设置为可以到达对应于所述网络前缀的所述移动网络的所述地址来发送所述第二消息的时候，在发送所述第三消息的过程中，所述移动路由器向所述对端节点通知所存储的特定值。
10. 按照权利要求1的网络管理方法，包括步骤所述对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有通用地预定的值的主部分构成的地址来产生所述权标；所述对端节点通过将作为主部分的所述通用地预定的值加到对应于所述移动网络的所述网络前缀来产生可到达所述移动网络的并且被设置到所述第二消息的所述地址。
11. 按照权利要求1的网络管理方法，其中，将返回可路由性规程的HoTI 消息用作所述第一消息。
12. 按照权利要求1的网络管理方法，其中，将返回可路由性规程的HoT 消息用作所述第二消息。
13. 按照权利要求1的网络管理方法，其中，所述移动路由器在产生所述校验和的过程中，除了在所述第二消息中的所述权标之外还根据返回可路由性规程的在HoT消息中的HoK权标和在CoT消息中的CoK权标来产生所述校验和。
14. 按照权利要求1的网络管理方法，包括步骤所述对端节点根据验证结果将成功验证的网络前缀绑定到所述移动路由器的归属地址和转交地址，并且存储绑定信息。
15. 按照权利要求1的网络管理方法，包括步骤所述移动路由器存储在所述对端节点的地址和向所述对端节点注册的所述网络前缀之间的关系；所述移动路由器截取从在所述移动网络中的所述特定节点向所述对端节点发送的分组，并且参考所述关系来判定是否可以使用优化路由来转发所述分组；以及当使用优化路由来转发所述分组时，所述移动路由器使用所述优化路由来转发所述分组。
16. 按照权利要求1的网络管理方法，包括步骤所述移动路由器存储在所述对端节点的地址、还不能注册到所述对端节点的网络前缀和注册失败的原因之间的关系；所述移动路由器截取从在所述移动网络中的所述特定节点向所述对端节点发送的分组，并且参考所述关系来判定是否可以使用优化路由来转发所述分组；以及所述移动路由器判断所述移动路由器是否产生包括关于所述分组的网络前缀的所述第一消息，并且当不能使用优化路由来转发分组时，参考所述关系中的注册失败的原因来向所述对端节点发送所述第一消息。
17. —种网络管理装置，其被配置在能够形成移动网络的移动路由器中，所述装置包括用于产生第一消息并且向预定的对端节点发送第一消息的部件，所述第一消息包括指定所述移动网络的网络前缀；用于从所述预定的对端节点接收第二消息并且提取在所述第二消息中的权标的部件，所述第二消息包括由所述预定节点根据在所述第一消息中的所述网络前缀而产生的所述权标；用于使用所述权标来产生校验和的部件；以及用于产生包括所述网络前缀和所述校验和的第三消息、并且向所述预定的对端节点发送所述第三消息的部件。
18. 按照权利要求17的网络管理装置，包括用于执行返回可路由性规程的部件，所述部件被配置为使用所述返回可路由性规程的HoTI消息作为所述第一消息，并且在产生所述校验和的过程中，除了在所述第二消息中的所述权标之外，还根据所述返回可路由性规程的在HoT消息中的HoK权标和在 CoT消息中的CoK权标来产生所述校验和。
19. 按照权利要求17的网络管理装置，包括主部分存储部件，当所述预定的对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有随机产生的值的主部分构成的地址来产生所述权标，并且通过将在所述权标产生时使用的所述地址设置为可到达对应于所述网络前缀的所述移动网络的所述地址来发送所述第二消息的时候，用于从所述第二消息的目的地址中提取在所述主部分中的所述随机产生的值；以及用于在发送所述第三消息的过程中向所述预定的对端节点通知在所述主部分存储部件中存储的所述随机产生的值的部件。
20. 按照权利要求17的网络管理装置，包括用于向所述预定的对端节点通知用作主部分的特定值的部件，所述主部分^^皮加到在所述第一消息中的所述网络前缀；以及值存储部件，用于存储通知给所述预定的对端节点的所述特定值；当所述预定的对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有特定值的主部分构成的地址来产生所述权标，并且通过将在所述权标产生时使用的所述地址设置为可到达对应于所述网络前缀的所述移动网络的地址来发送所述第二消息的时候，用于在发送所述第三消息的过程中向所述预定的对端节点通知在所述值存储部件中存储的所述特定值的部件。
21. —种网络管理装置，其被配置在通信节点中，所述通信节点能够与形成移动网络的移动路由器通信，包括用于接收由所述移动路由器产生的第一消息并且向所述对端节点发送所述第一消息的部件，所述第一消息包括指定所述移动网络的网络前缀；用于根据在从所述移动路由器接收的所述第一消息中的所述网络前缀来产生对应于所述网络前缀的权标的部件；用于产生包括对应于所述网络前缀的所述权标的第二消息，并且向可到达对应于所述网络前缀的所述移动网络的地址发送所述第二消息的部件；以及缀的第三消息、并且根据在所述第三消息中的所述网络前缀来验证在所述第三消息中的所述校验和的部件。
22. 按照权利要求21的网络管理装置，包括在从所述移动路由器接收包括用于指定每个所述移动网络的多个网络前缀的所述第一消息的过程中，当所述移动路由器包括所述多个移动网络时，用于在所述第一消息中的所述多个网络前缀中选l奪一个或多个接受的网络前缀的部件。
23. 按照权利要求22的网络管理装置，包括用于产生包括所选择的网络前缀的数量的第四消息、并且向所述移动路由器发送所述第四消息的部件。
24. 按照权利要求21的网络管理装置，包括用于执行返回可路由性规程的部件，其中，将所述返回可路由性规程的HoT消息用作所述第四消息。
25. 按照权利要求21的网络管理装置，包括用于根据在所述第三消息中的验证结果来将成功验证的网络前缀绑定到所述移动路由器的归属地址和转交地址的部件；以及用于存储绑定信息的部件。
26. 按照权利要求21的网络管理装置，其中，所述用于产生所述权标的部件在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有随机产生的值的主部分构成的地址来产生所述权标，并且所述用于发达对应于所述网络前缀的所述移动网络的地址来发送所述第二消息。
27. 按照权利要求21的网络管理方法，其中，当通知用作被加到所述第一消息中的所述网络前缀的主部分的特定值时，所述用于产生所述权标的部件在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有所述特定值的所述主部分构成的地址来产生所述权标，并且所述用于发送所述第二消息的部件通过将在产生所述权标时使用的所述地址设置为可到达对应于所述网络前缀的所述移动网络的地址来发送所述第二消息。
28. 按照权利要求21的网络管理装置，其中，所述用于产生所述权标的部件在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有通用地预定的值的主部分构成的地址来产生所述权标，并且所述用于到达对应于所述网络前缀的所述移动网络的地址来发送所述第二消息。
29. —种在通信系统中使用的网络管理方法，所述通信系统被提供有作为用于在对端网络中的特定节点的代理的对端路由器和与在所述对端网络中的所述特定节点通信的对端节点，其中，所述对端路由器和所述对端节点连接到预定的通信网络，所述方法用于使得所述对端节点能够验证所述对端路由器的位置信息，所述方法包括步骤所述对端路由器产生包括指定所述对端网络的网络前缀的第一消息，并且向所述对端节点发送所述第一消息；所述对端节点根据在从所述对端路由器接收的所述第一消息中的所述网络前缀来产生对应于所述网络前缀的权标；所述对端节点产生包括对应于所述网络前缀的权标的第二消息，并且向可到达对应于所述网络前缀的所述对端网络的地址发送所述第二消息；所述对端路由器接收所述第二消息，并且提取在所述第二消息中的所述权标；所述对端路由器使用所述权标来产生校验和；所述对端路由器产生包括所述网络前缀和所述校验和的第三消息，并且向所述对端节点发送所述第三消息；以及所述对端节点接收所述第三消息，并且根据在所述第三消息中的所述网络前缀来验证在所述第三消息中的所述校验和。
30. 按照权利要求29的网络管理方法，包括步骤当所述对端路由器作为多个所述对端网络的代理时，所述对端路由器产生所述第一消息，所述第一消息包括用于指定每个所述对端网络的多个网络前缀；以及所述对端节点在所述第一消息中的所述多个网络前缀中选择一个或多个接受的网络前缀。
31. 按照权利要求30的网络管理方法，包括步骤所述对端节点在选择了所述网络前缀后产生包括所选"^的网络前缀的数量的第四消息，并且向所述对端路由器发送所述第四消息。
32. 按照权利要求31的网络管理方法，其中，将返回可路由性规程的 HoT消息用作所述第四消息。
33. 按照权利要求29的网络管理方法，包括步骤所述对端节点通过将作为主部分的随机产生的值加到对应于所述对端网络的所述网络前缀来产生可到达所述对端网络的被设置到所述第二消息的地址。
34. 按照权利要求33的网络管理方法，包括步骤当所述对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有所述随机产生的值的所述主部分构成的地址来产生所述权标，并且通过将在产生所述权标时使用的所述地址设置为可到达对应于所述网络前缀的所述对端网络的地址来发送所述第二消息时，所述对端路由器在所述主部分中存储所述随机产生的值，并且在发送所述第三消息的过程中向所述对端节点通知存储的所述随机产生的值。
35. 按照权利要求29的网络管理方法，包括步骤所述对端路由器向所述对端节点通知用作被加到在所述第一消息中的所述网络前缀的主部分的特定值；以及所述对端节点通过将作为主部分的、从所述对端路由器通知的所述特定值加到对应于所述对端网络的所述网络前缀来产生可到达所述对端网络的并且被设置到所述第二消息的地址。
36. 按照权利要求35的网络管理方法，包括步骤所述对端路由器存储所述对端路由器向所述对端节点通知的所述特定值；当所述对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有所述特定值的所述主部分构成的地址来产生所述权标，并且通过将在产生所述权标的过程时^f吏用的所述地址^没置为可到达对应于所述网络前缀的所述对端网络的所述地址来发送所述第二消息时，所述对端路由器在发送所述第三消息的过程中向所述对端节点通知存储的所述特定值。
37. 按照权利要求29的网络管理方法，包括步骤所述对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有通用地预定的值的主部分构成的地址来产生所述权标；以及所述对端节点通过将所述通用地预定的值作为主部分加到对应于所述对端网络的所述网络前缀而产生可到达所述对端网络的并且被设置到所述第二消息的地址。
38. 按照权利要求29的网络管理方法，其中，将返回可路由性规程的 HoTI消息用作所述第一消息。
39. 按照权利要求29的网络管理方法，其中，将返回可路由性规程的 HoT消息用作所述第二消息。
40. 按照权利要求29的网络管理方法，其中，所述对端路由器在产生所述校验和的过程中，除了在所述第二消息中的所述权标之外，还根据所述返回可路由性规程的在HoT消息中的HoK权标和在CoT消息中的CoK权标来产生所述校验和。
41. 按照权利要求29的网络管理方法，包括步骤所述对端节点根据验证结果来将成功验证的网络前缀绑定到所述对端路由器的地址，并且存储绑定信息。
42. 按照权利要求29的网络管理方法，包括步骤所述对端路由器存储在所述对端节点的地址和向所述对端节点注册的所述网络前缀之间的关系；点发送的分组，并且通过参考所述关系来判定是否可以使用优化路由来转发所述分组；以及当可以使用优化路由来转发所述分组时，所述对端路由器使用所述优化路由来转发所述分组。
43. 按照权利要求29的网络管理方法，包括步骤所述对端路由器存储在所述对端节点的地址、还不能注册到所述对端节点的网络前缀和注册失败的原因之间的关系；所述对端路由器截取从在所述对端网络中的所述特定节点向所述对端节点发送的分组，并且参考所述关系来判定是否可以使用优化路由来转发所述分组；以及前缀的所述第一消息，并且当不能使用优化路由转发所述分组时参考所述关系中的注册失败的原因来向所述对端节点发送所述第一消息。
44. 一种网络管理装置，其被配置在能够作为在对端网络中的特定节点的代理的对端路由器中，所述装置包括用于产生第一消息并且向预定的对端节点发送所述第一消息的部件，所述第一消息包括指定所述对端网络的网络前缀；用于从所述预定的对端节点接收第二消息并且提取在所述第二消息中的权标的部件，所述第二消息包括由所述预定节点根据在所述第一消息中的所述网络前缀而产生的权标；用于使用所述权标来产生校验和的部件；以及用于产生包括所述网络前缀和所述校验和的第三消息，并且向所述预定的对端节点发送所述第三消息的部件。
45. 按照权利要求44的网络管理装置，包括用于执行返回可路由性规程的部件，所述部件被配置成使用所述返回可路由性规程的HoTI消息来作为所述第一消息，并且在产生所述校验和的过程中，除了在所述第二消息中的所述权标之外，还根据所述返回可路由性规程的在HoT消息中的HoK权标和在CoT消息中的CoK权标来产生所述校验和。
46. 按照权利要求44的网络管理装置，包括主部分存储部件，当所述预定的对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有随机产生的值的主部分构成的地址来产生所述权标，并且通过将在所述权标产生时使用的所述地址设置为可到达对应于所述网络前缀的所述对端网络的地址来发送所述第二消息的时候，用于从所述第二消息的目的地址提取在所述主部分中的所述随机产生的值；以及用于在发送所述第三消息的过程中向所述预定的对端节点通知在所述主部分存储部件中存储的所述随机产生的值的部件。
47. 按照权利要求44的网络管理装置，包括用于向所述预定的对端节点通知用作主部分的特定值的部件，所述主部分被加到在所述第一消息中的所述网络前缀；以及值存储部件，用于存储通知给所述预定的对端节点的所述特定值；当所述预定的对端节点在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有所述特定值的所述主部分构成的地址来产生所述权标，并且通过将在所述权标产生时使用的所述地址设置为可到达对应于所述网络前缀的所述对端网络的地址来发送所述第二消息的时候，用于在发送所述第三消息的过程中向所述预定的对端节点通知在所述值存储部件中存储的所述特定值的部件。
48. —种网络管理装置，其被配置在通信节点中，所述通信节点能够与作为在对端网络中的特定节点的代理的对端路由器通信，包括用于接收由所述对端路由器产生的第一消息并且向所述对端节点发送所述第一消息的部件，所述第一消息包括指定所述对端网络的网络前缀；用于根据在从所述对端路由器接收的所述第一消息中的所述网络前缀来产生对应于所述网络前缀的权标的部件；用于产生包括对应于所述网络前缀的所述权标的第二消息，并且向可到达对应于所述网络前缀的对端网络的地址发送所述第二消息的部件；以及述网络前缀的第三消息，并且根据在所述第三消息中的所述网络前缀来验证在所述第三消息中的所述校验和的部件。
49. 按照权利要求48的网络管理装置，包括在从所述对端路由器接收包括用于指定每个所述对端网络的多个网络前缀的所述第一消息的过程中，当所述对端路由器包括多个对端网络时，用于在所述第一消息中的所述多个网络前缀中选择一个或多个接受的网络前缀的部件。
50，按照权利要求49的网络管理装置，包括用于产生包括所选择的网络前缀的数量的第四消息、并且向所述对端路由器发送所迷第四消息的部件。
51.按照权利要求48的网络管理装置，包括用于执行返回可路由性规程的部件，其中，将所述返回可路由性规程的HoT消息用作所述第四消息。
52. 按照权利要求48的网络管理装置，包括用于根据在所述第三消息中的验证结果来将成功验证的网络前缀绑定到所述对端5^由器的地址的部件；以及用于存储绑定信息的部件。
53. 按照权利要求48的网络管理装置，其中，所述用于产生权标的部件在产生对应于所述网络前缀的所述权标的过程中，根据由所述网络前缀和具有随机产生的值的主部分构成的地址来产生权标，并且所述用于发送所述第二消息的部件通过将在产生所述权标时使用的所述地址设置为可到达对应于所述网络前缀的所述对端网络的地址来发送所述第二消息。
54. 按照权利要求48的网络管理方法，其中，当通知用作被加到所述第一消息中的所述网络前缀的主部分的特定值时，所述用于产生权标的部件在产生对应于所述网络前缀的所述权标的过程中根据由所述网络前缀和具有所述特定值的所述主部分构成的地址来产生所述权标，并且所述用于发送所述于所述网络前缀的所述对端网络的地址来发送所述第二消息。
55. 按照权利要求48的网络管理装置，其中，所述用于产生所述权标的部件在产生对应于所述网络前缀的所述权标的过程中才艮据由所述网络前缀和具有通用地预定的值的主部分构成的地址来产生所述权标，并且所述用于发送所述第二消息的部件通过将在产生所述权标时使用的所述地址设置为可到达对应于所述网络前缀的所述对端网络的地址来发送第二消息。
56. —种在通信系统中使用的网络管理方法，所述通信系统被提供有管理至少一个或多个网络的第一路由器以及与第一节点不同的第二节点，其中，所述第一节点和所述第二节点连接到预定的通信网络，所述方法用于使得所述第二节点能够验证所述第一节点的位置信息，所述方法包括步骤所述第一节点产生包括指定所述网络的网络前缀的第一消息，并且向所述第二节点发送第一消息；所述第二节点根据在从所述第一节点接收的所述第一消息中的所述网络前缀来产生对应于所述网络前缀的权标；所述第二节点产生包括对应于所述网络前缀的所述权标的第二消息，并且向可到达对应于所述网络前缀的所述网络的地址发送所述第二消息；所述第一节点接收所述第二消息，并且提取在所述第二消息中的所述权标；所述第一节点使用所述权标来产生校验和；所述第一节点产生包括所述网络前缀和所述校验和的第三消息，并且向所述第二节点发送所述第三消息；以及所述第二节点接收所述第三消息，并且根据在所述第三消息中的所述网络前缀来验证在第三消息中的所述校验和。
57. 按照权利要求56的网络管理方法，包括步骤当所述第一节点包括多个网络时，所述第一节点选^t奪所述多个网络的一部分或者全部，并且产生包括对应于每个所选"f奪网络的网络前缀的所述第一消息；以及所述第二节点在所述第一消息中的所述多个网络前缀中选择要验证的网络前缀。
58. 按照权利要求57的网络管理方法，包括步骤所述第二节点在选冲奪所述网络前缀后产生包括所选择的网络前缀的数量的第四消息，并且向所述第一节点发送所述第四消息。
59. 按照权利要求56的网络管理方法，包括步骤所述第二节点根据验证结果来将成功验证的网络前缀绑定到所述第一节点的地址，并且存储绑定信息。
60. —种网络管理装置，其被配置在第一节点中，所述第一节点能够管理至少一个或多个网络，所述装置包括用于产生包括指定所述网络的网络前缀的第一消息，并且向与所述第一节点不同的第二节点发送所述第一消息的部件；用于从所述第二节点接收包括由所述第二节点根据在所述第一消息中的所述网络前缀而产生的权标的第二消息，并且提取在所述第二消息中的所述权标的部件；用于使用所述权标来产生校验和的部件；以及用于产生包括所述网络前缀和所述校验和的第三消息，并且向所述第二节点发送所述第三消息的部件。
61. —种网络管理装置，其被配置在作为第二节点的、能够与管理至少一个或多个网络的第一节点通信的一个节点中，所述装置包括用于接收包括指定所述网络的网络前缀的、由所述第一节点产生的第一消息、并且向所述第二节点发送所述第一消息的部件；用于根据在从所述第一节点接收的所述第一消息中的所述网络前缀产生对应于所述网络前缀的权标的部件；用于产生包括对应于所述网络前缀的所述权标的第二消息，并且向可到达对应于所述网络前缀的所述网络的地址发送所述第二消息的部件；以及用于接收包括由所述第一节点使用所述权标而产生的校验和以及所述网络前缀的第三消息，并且根据在所述第三消息中的所述网络前缀来验证在所述第三消息中的所述校验和的部件。
62. 按照权利要求61的网络管理方法，包括当所述第一节点管理多个网络并且所述第二节点接收到包括对应于所述一个或多个网络的每一个网络的一个或多个网络前缀的所述第一消息时，用于在所述第一消息中的所述多个网络前缀中选择要验证的所述网络前缀的部件。
63. 按照权利要求62的网络管理方法，包括用于产生包括所选《^的网络前缀的数量的第四消息，并且在选择所述网络前缀的过程中向所述第一节点发送所述第四消息的部件。
全文摘要
本发明公开了一种用于实现更安全的通信和更有效的通信的技术。按照这种技术，移动路由器(111)通过发送HoTI消息(203)向对端节点(130)通知移动路由器在后包括的移动网络的网络前缀。对端节点发送包括根据在HoTI消息中的网络前缀来以加密方式产生的权标的NPT消息(205)。移动路由器提取该权标，并且发送包括由该权标和传统的RR规程权标产生的校验和的BU消息(206)。取代上述移动路由器，也可以应用对端路由器。
文档编号H04L29/06GK101385302SQ200580030269
公开日2009年3月11日申请日期2005年7月11日优先权日2004年7月9日
发明者吴振华, 平野纯, 陈必耀申请人:松下电器产业株式会社

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：平野纯;吴振华;陈必耀
技术所有人：松下电器产业株式会社
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。