路由优化方法、系统和代理移动ip客户端的制作方法

专利名称：路由优化方法、系统和代理移动ip客户端的制作方法
技术领域：
本发明涉及通信领域，尤其涉及一种代理移动IP中的路由优化方法、系统 和代理移动IP客户端。
背景技术：
MIP( Mobile Internet Protocol,移动互联网协议，即移动IP )是IETF( Internet Engineering Task Force,互联网工程任务组)制定的扩展IP网络移动性的系列 标准，该标准是使连接到任何网络上的移动终端使用一个固定的IP地址并能 够持续接收IP包的技术。目前移动IP技术有两类CMIP (ClientMIP，客户 移动IP )和PMIP (Proxy MIP,代理移动IP), CMIP是基于主机的移动IP技 术，该技术需要终端参与移动IP的绑定。PMIP是基于网络的移动IP技术， 该技术不需要终端参与移动IP的绑定，网络会代理终端发起移动IP的绑定。 目前，MIPv6有三种移动IP模式，即CMIP6、 PMIP6和简单IP6。
随着网络从IPv4到IPv6的演进，为了支持终端的移动性IPv6接入，IETF 定义了移动IPv6的规范RFC3775以及相关的安全规范RFC3776。 MIPv6中包 含三个实体MN (Mobile Node ，移动节点)、HA ( Home Agent,家乡代理) 和CN (CorrespondentNode,相关节点)。当MN处于家乡网络时，MN与CN 之间按照传统的路由技术进行通信，不需要MIPv6的介入。当MN处于外地 网络时，MN在家乡网络中拥有的HoA ( Home of Address ，家乡地址)不变， 同时获得一个外地网络分配的临时IP地址CoA ( Care of Address,转交地址)。
CoA是由终端的IID (Interface ID,接口标识)和接入路由器广播的网络 前缀无状态组合产生的，并且通过一个DAD ( Duplicate Address Detection,重 复地址检测)过程来保证CoA在当前接入路由器范围内是唯一的。RFC2462
中规定了 DAD的具体流程。
对于路由器的发现，也定义了相应的消息以及流程，终端发送目标地址是
所有路由器的RS (Router Service,路由器请求)消息，所有收到该消息的路 由器都会做出回应，单播或者广播发送RA ( Router Answer,路由器应答)消 息。此外，路由器还会周期性的主动发送非请求RA消息，主机一般认为路由 器发送的非请求RA消息不完整，所以即使主4几在发送RS消息之前接收到非 请求RA消息，仍会发送一条RS消息。
MN获得CoA后，通过BU (Binding Update,绑定更新)过程向HA进行 注册，将HoA与CoA的映射关系告知HA， HA维护一个HoA和CoA的映射 关系表。CN发送给MN的数据包仍然发送到MN的家乡网络，MN的HA在 家乡网络截取该数据包，并且根据HoA与CoA的映射关系，将该数据包通过 隧道转发到MN的CoA; MN可以直接向CN发送凄t据包、或者将数据包通过 反向隧道发送到HA， HA将数据再路由到CN。
如果进行路由优化，则MN通过路由优化过程将HoA与CoA的映射关系 告知CN， CN得知MN的CoA后，CN与MN之间就可以进行正常通信，这 个通信过程也被称作路由优化后的通信过程，要求CN支持移动IPv6。为了实 现安全的路由优化，RFC3775定义了 CMIP6的RRP (Return Routability Procedure,回程可i 各由)测试和BU两个过程。
CMIP6的RRP过程中，MN和CN协商在绑定更新过程中将要使用的Kbm (binding management Key,绑定管理密钥)，从而实现对MN和CN之间控制 信令的保护。RRP过程由家乡测试和转交测试两个并发的过程组成。在家乡测 试过程中，首先由MN发送以HoA为源地址的HoTI ( Home Test Ink,家乡 测试初始化)消息，该消息通过反向隧道经由HA转发给CN， CN收到该HoTI 消息后，根据HoA及随机数Ken与随机数nonce进行运算，生成home keygen token (家乡密钥生成令牌)，再根据HoT ( Home Test)消息将该home keygen token以及nonce索g 1号发送给MN， 一个nonce索？I号对应 一个nonce;在转
交测试过程中，首先由MN直接向CN发送以CoA为源地址的CoTI( Care-of Test Init,转交测试初始化)消息，CN将该CoTI消息中包含的CoA与随机数Kcn 和随枳4史nonce进4亍运算，生成care-of keygen token ( 4争交密钥生成令片皁)，然 后在返回给MN的CoT消息中包含该care-of keygen token以及nonce索引号。 MN才艮才居home keygen token禾口 care-of keygen token进4亍SHA1散歹廿运算，生成 Kbm。当MN获得Kbm后，就可以使用Kbm对MN的绑定更新消息进行认证， 相应的，CN也可以根据相同的运算方法获得Kbm,并使用Kbm对MN的绑 定更新消息进行认证。
CMIP6的BU过程是MN利用RRP过程产生的Kbm，向CN注册当前的 CoA。 MN根据Kbm对BU消息进行认证，得到验证码1,再将包含验证码1 和nonce索引号的BU消息发送给CN; CN收到BU消息后，根据nonce索？ 1 号查询对应的home keygen token和care-of keygen token, 并才艮才居home keygen token和care-of keygen token对BU消息进行认i正，4寻到'睑i正码2,如果-睑i正码 1和验证码2相同，则CN判定该BU消息可信，并向MN回复BA消息指示 绑定更新成功，MN收到BA消息后，MN和CN之间的^各由优化完成，后续 通信过程中，CN直接将数据包路由给MN所在的外地网络，不再经过MN的 HA路由数据包。
现有MIP技术中只定义了 CMIP6的路由优化方案，没有定义PMIP6实现 路由优化的方案，对于支持PMIP6而不支持CMIP6的终端设备来说，无法在 处于外地网络时实现安全路由优化。进一步由于网络及终端能力和策略的多样 化，要求网络侧有能力区分不同的模式并区别处理。

发明内容
本发明实施例提供一种代理移动IP中路由优化的方法、系统和代理移动 IP客户端，用以实现PMIP6的安全路由优化。
一种代理移动互联网协议IP的路由优化方法，包括
移动节点MN的MAG和相关节点CN通过所述MN的家乡代理HA进行 家乡测试，获取家乡密钥生成令牌；
所述MAG和相关节点CN进行转交测试，获^_转交密钥生成令牌；
所述MN的代理移动IP客户端获取绑定管理密钥Kbm,并代理所述MN 和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和 转交密钥生成令牌。
一种代理移动互联网协议IP的路由优化方法，包括
移动节点MN的代理移动IP客户端和相关节点CN通过所述MN的家乡 代理HA进行家乡测试，获取家乡密钥生成令牌；
所述代理移动IP客户端和相关节点CN进行转交测试，获取转交密钥生成 令牌；
所述代理移动IP客户端产生绑定管理密钥Kbm,并代理所述MN和CN 进^f亍绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密 钥生成令牌。
一种代理MN进行路由优化的系统，包括
移动节点MN的MAG,用于和相关节点CN通过所述MN的家乡代理HA 进行家乡测试，获取家乡密钥生成令牌；以及和相关节点CN进行转交测试， 获取转交密钥生成令牌；
所述MN的代理移动IP客户端，用于获取绑定管理密钥Kbm，并代理所 述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成 令牌和转交密钥生成令牌。
一种代理移动IP客户端，包括
用于和相关节点CN通过MN的家乡代理HA进行家乡测试，获取家乡密 钥生成令牌的单元；
用于和相关节点CN进行转交测试，获取转交密钥生成令牌的单元；以及 用于产生绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新的单元，
所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。
本发明实施例利用网络侧代理实体MAG或者代理移动IP客户端执行家乡 测试和转交测试，从CN侧获取家乡密钥生成令牌和转交密钥生成令牌，然后 代理移动IP客户端获取绑定管理密钥Kbm,并代理需要路由优化的移动节点 MN和CN进行转交地址绑定更新，Kbm的计算参数中包括所述家乡密钥生成 令牌和转交密钥生成令牌，从而实现安全的路由优化。


图1为本发明实施例中代理移动IP6中路由优化的方法示意图； 图2为现有技术中WiMAX的网络结构示意图； 图3为本发明实施例中PMIP6构架示意图4a和图4b分别为本发明实施例一中基于WiMAX网络的PMIP6中路由
优化方法示意图5a和图5b分别为本发明实施例二中基于WiMAX网络的PMIP6中路由 优化方法示意图6为本发明实施例三中基于WiMAX网络的PMIP6中路由优化方法示意图。
具体实施例方式
如图l所示，PMIP6中涉及的实体包括支持PMIP6模式的MN、网络代理实 体、HA和CN,网络代理实体是代理MN进行路由优化的功能实体，其中包括 PMIP client ( PMIP客户端)和MAG(Mobile Access Gateway,移动接入网关)， 其中
PMIP client是网络侧PMIP的信令面功能实体，主要负责MN相关信令的发 送，代替MN和CN执行BU过程；
MAG是MN执行MIP注册后的MIP隧道入口点，是网络侧PMIP的数据面功
能实体，CN和MN之间的所有数据都要经过MAG转发，MAG通过隧道连接CN, 通过空中接口连接MN, MAG可能同时代理多个MN。
在PMIP6中，当CN在外地网络注册后，外地网络为MN分配的CoA可能是 为MN进行数据代理的MAG本身的地址，这时，同一MAG代理的所有MN的CoA 相同。外地网络为MN分配的CoA也可能是外地网络配置给MAG的专门用于被 代理的MN的CoA的地址，这个地址可以配置为多个，用于分配给不同的MN， 这时，同一MAG代理的各MN的CoA不相同。对于MN的PMIP client,如果PMIP client和MN的MAG不在一个物理实体中，MN的PMIP client发送和接收的相关 消息需要MAG转发时，消息中需要携带交替转交地址(Alternate CoA),该 Alternate CoA就是MN的CoA地址。
CN和MN之间的路由优化，实际上是网络侧的MAG和CN之间的路由 优化。在对MN进行路由优化前，MN和CN之间交互的数据包需要经过MN 的HA路由；在路由优化过程中，CN为MN建立CoA (即MN的MAG地址) 和HoA之间的映射关系；在路由优化结束后，MN和CN之间交互的数据包直 接在CN和MAG之间路由，不再通过MN的HA或者本地移动代理LMA(Local Mobility Agent)转发。
在PMIP6中，路由优化的触发主体可以是MN、 MAG、 PMIP client或网络 侧其它控制实体，其中
由MN触发的路由优化针对MN当前通信的CN发起，如果MN当前和多个 CN进行通信，则可以分别发送多个触发消息用以触发针对各CN的路由优化， 也可以只发送一个触发消息同时触发各CN的路由优化；需要分别和MN通信的 每一个CN执行RRP过程和BU过程；路由优化触发消息可以是MN发送的NS消 息、RS消息、DHCP消息等。
其它主体触发的路由优化是根据网络策略以及负载决策触发的，每一次触 发的路由优化可以针对一个CN发起，则路由优化触发消息中包含一个CN信息； 对于一个MAG,路由优化也可以针对多个CN触发，则路由优化触发消息中包
含一个CN信息列表。具体的路由优化过程需要针对CN信息列表中的每一个CN 分别独立进行；并且根据设定的优化策略，对于任何一个CN,可以选择优化
消息中包括的需要优化的MN标识信息确定需要优化的MN;对于需要优化的 MN，需要和连接的CN执行RRP过程，再分别执行BU过程。
进一步，通过同一个HA与同一个CN通信的所有MN，可以只执行一次RRP过程。
再进一步，在路由优化过程中，通过在路由优化过程中的相关消息中设置 代理标志位，网络侧可以根据代理标志位识别具体的路由优化流程是PMIP6或 CMIP6的路由优化流程，并进行区别处理，使PMIP6和CMIP6的路由优化处理 相对保持独立。
本发明实施例提供的代理MIP6路由优化的方法中，BU过程由PMIP Client 完成；RRP过程可以由MAG完成，也可以由PMIP client完成。
RRP过程包括家乡测试和转交测试两个并发过程，其中
在家乡测试过程中，HoTI消息通过反向隧道发送到CN， CN通过隧道返回 HoT消息，其中，HoTI消息包含MN在家乡网络中拥有的HoA， HoT消息中包 含home keygen token以及该home keygen token的nonce索引号；
在转交测试过程中，CoTI消息直接路由发送到CN， CN直接返回CoT消息。 CoTI消息需要包含MN的CoA, CoTI消息中携带CoA的具体方法包括将CoTI的 源地址设置为外地网络分配给MN的CoA，或者在CoTI消息体中包含MN的 CoA; CoT消息中包含care-of keygen token以及该care画of keygen token对应的 nonce索引号。
如果RRP过程由MAG完成，则MAG可以将home keygen token、 care-of keygen token以及nonce索引号发送给PMIP Client, PMIP Client通过运算获得绑 定管理密钥Kbm; MAG也可以才艮据home keygen token和care-of keygen token运 算出Kbm, 然后一寻Kbm、 home keygen token以及该home keygen token的nonce
索引号发送给PMIP Client。
通过RRP过程，PMIPClient获得了BU过程中将要使用的Kbm,从而实现对 MN和CN之间控制信令的保护。
如果本次路由优化的对象是MN,则PMIP Client和该MN当前连接的CN进 行MN的CoA绑定更新过程。如果该MN同时和多个CN进行通信，则根据网络
PMIP Client需要分别和每一个CN进行路由优化的绑定更新过程。
如果本次路由优化的对象是某个CN，则PMIP Client需要为连接该CN的每 一个MN分別进行CoA绑定更新过程，或者根据MN的路由优化策略为允许路由 优化的各MN分别进行CoA绑定更新过程。
接下来，在针对需要路由优化的各MN的BU过程中，PMIP Client利用Kbm， 与各CN之间进4亍CoA绑定更新过程。
在BU过程中，PMIPClient向CN发送BU消息，BU消息用于为MN注册当前 的CoA， BU消息中包含根据Kbm对BU消息进行认证的验证码l和两个令牌的 nonce索引号；CN根据nonce索引号查询对应的home key gen token 、 care-of key gen token,才艮才居home key gen token和care-of keygen tokeni十算Kbm, 并#4居 BU消息得到验证码2，如果验证码1和验证码2相同，则CN判定该BU消息可信， 根据RRP过程和绑定更新过程的关联关系建立MN的CoA和HoA之间的映射关 系，并向PMIPclient回复BA消息，指示绑定更新成功。
下面以WiMAX ( Worldwide Interoperability for Microwave Access,全球接 入微波互操作性技术)网络为例，对本发明实施例提供的PMIP6的路由优化 方法进4于详细"i兌明。
如图2所示，WiMAX是一种无线宽带接入技术，主要由三个部分组成， 画、ASN (Access Service Network, 4妄入月良务网)和CSN (Connection Service Network,连接业务网)。其中
ASN包括BS ( Base Station,基站)和ASN-GW ( Access Service Network
GateWay,接入服务网络网关)；
CSN包括HA、 DHCP ( Dynamic Host Configuration Protocol动态主机配置 协议)、AAA ( Authentication, Authorization and Accounting,认证/授权/计费月良 务器)等逻辑实体。
若干个ASN可以属于一个NAP (Network Access Provider,网络接入提供 商)， 一个CSN可以属于一个NSP (Network Service Provider,网络服务提供 商)。为了解决终端在WiMAX网络里的移动性，WiMAX采用了移动IP技术， 可以是单独CMIP,也可以是单独PMIP，或者是CMIP和PMIP技术同时采用， 因此要求网络侧能够进行PMIP的路由优化，并进一步可以区分不同移动IP 模式下的路由优化过程。
如图3所示，是在WiMAX无线网络中一种PMIP6的框架。网络代理中的 PMIP client和MAG在ASN内实现，PMIP client和MAG可以在同一个物理实体 上，也可以在不同的物理实体上，HA处于CSN中。下面以在WiMAX无线网络 中PMIP6路由优化的实现为例进行详细描述。
实施例一、
如图4a所示，为本发明实施例提供的一种实现PMIP6路由优化的方法。在 本实施例中，路由优化根据MN发送的触发消息启动，MAG执行RRP过程。MN 可以和一个CN通信，也可以同时和多个CN通信。当MN同时和多个CN通信时， 路由优化触发消息中可以包含需要优化的CN信息，如果不含CN信息，则默认 为所有与之通信的CN都需要进行路由优化。
路由优化过程包括以下步骤
S401、 MAG接收MN发送的路由优化触发消息，路由优化触发消息指示路 由优化过程的开始；
S402 ~ S403 、 MAG和CN之间进行RRP过程； RRP过程包括家乡测试和转交测试两个并发过程，其中 家乡测试过程包括MAG把HoTI消息通过反向隧道发送到CN， CN通过隧
道向网络代理返回HoT消息，HoTI消息包含MN在家乡网络中拥有的HoA, HoT 消息中包含home keygen token以及nonce索引号；
转交测试过程包括MAG把CoTI消息直接路由发送到CN， CN直接向网络 代理返回CoT消息，CoTI消息包含外地网络分配给MN的CoA, CoT消息中包含 care-of keygen token以及nonce索引号。
S404 S405、 PMIPclient得到Kbm，这个过程通过密钥传输(Kbm-TRSF, Kbm-Transfer)消息和密钥确i人(Kbm-ACK)消息的交互实现，具体实现方式 有两种
一种实现方式是MAG才艮据home keygen token和care-of keygen token才寻到 Kbm，再把Kbm发送给PMIP client;另 一种实现方式是MAG进行数据过滤，直 才妄将home keygen token 、 care-of keygen token和nonce索亏1号发送到PMIP client, 由PMIP client才艮4居home keygen token禾口care-of keygen token》孚到Kbm并寸呆存 nonce索引号。
S4061 ~ S4071 、 PMIP client和CN进行MN的CoA绑定更新过程；
PMIPclient发送BU消息到CN， BU消息的安全性由Kbm保护，CN根据Kbm 验证BU消息可信后，建立CoA和HoA之间的映射关系，并向PMIPdient回复BA 消息，指示绑定更新成功，具体实现方式有两种
仍参阅如图4a所示， 一种方式是PMIP client把BU消息封装成信令发送到 MAG, BU消息的源地址可以是MN当前的CoA地址，MAG将BU消息发送到 CN,这种方式不需要在BU消息体中单独包含交替转交地址(Alternate CoA), CN根据BU消息的源地址确定MN的CoA地址；
这种方式中，RRP过程和绑定更新过程同样通过CoA地址实现关联，CoTI 消息和BU消息的源地址都是MN的CoA地址，CN根据该CoA地址确定关联的 RRP过程和绑定更新过程，从而建立CoA和HoA之间的映射关系。
BU过程的另一种方式如图4b所示，包括S4062 S4072， PMIP Client直接 将包含了 Alternate CoA的BU消息发送到CN。这种实现方式中，如杲MAG和PMIP Client同处于一个物理实体(即地址一致)，则BU消息可以不包含Alternate CoA (即和PMIP Client处于同 一物理实体中的MAG地址)，BU消息的源地址 为CoA地址，CN根据BU消息的源地址确定MN的CoA地址。
这种方式中，RRP过程和绑定更新过程同样通过CoA地址实现关联，CoTI 消息和BU消息都包含有MN的CoA地址，即MAG的交替转交地址，CN根据该 CoA地址确定关联的RRP过程和绑定更新过程，从而建立CoA和HoA之间的映 射关系。此外，图4b中RRP过程和图4a所示的相应过程相同，不再赘述。
本实施例中，如果MN当前连接两个或两个以上的CN，可以在触发消息中 包含连接的所有CN信息，RRP过程和绑定更新过程针对每一个CN分别进行； 如果路由优化的对象是多个CN, RRP过程和绑定更新过程需要针对和各CN通 信的每一个MN分别进行。在路由优化触发消息中可以包含允许路由优化的MN 信息，缺省设置或特定标识可以表示需要将和CN通信的所有MN全部进行路由 优化。
实施例二
本实施例与实施例一的路由优化触发以及CoA绑定更新过程都是一致的， 不同之处仅在于RRP过程由PMIP client执行。其中，转交测试过程有两种实现 方式
转交测试过程的第一种实现方式包括步骤PMIP client4巴CoTI消息封装在 ASN内部的信令中并且发送到MAG, MAG把CoTI消息直接路由发送到CN， CN向MAG直接返回CoT消息，MAG进行数据过滤，把得到的CoT消息封装在 信令中发送给PMIP client;
转交测试过程的第二种实现方式包括步骤PMIP dient直接路由发送包含 了 Alternate CoA的CoTI消息，CoTI消息中可以设置代理标志位或包含Alternate CoA，如果PMIP client和MAG同处于一个物理实体，则CoTI消息的源地址为 MAG的地址；如果PMIP client和MAG处于不同物理实体，则CoTI消息的源地 址为PMIPclient所在物理实体的地址；CN收到CoTI消息以后，可以才艮据代理标
志位或者Altemate CoA来判断本次路由优化是否为PMIP模式的路由优化，CN 返回CoT消息时以CoTI的源地址为目的地址。其中，当CoT消息源地址为MAG 的地址时，MAG将接收到的CoT消息封装为信令，并将封装后的信令发送给 PMIP client;当CoT消息源地址为PMIP client所在物理实体的地址时，因为PMIP client可能同时为不同MAG进行路由优化，因此，和CoTI消息相似，CoT消息 也包含MAG的地址(Altemate CoA)， PMIP client使用CoT消息中MAG的地址 (Alternate CoA)区分不同MAG。
CN侧还需要记录Alternate CoA和CoTI源地址的对应关系，CN收到BU消息 时，检查本地是否已经保存了BU消息源地址和BU消息中的Alternate CoA的对 应关系，如果是已经保存了BU消息源地址和BU消息中的Altemate CoA的对应 关系则表明之前的回程可路由已经执行，如果没有保存BU消息源地址和BU消 息中的Alternate CoA的对应关系则拒绝BU消息。
如图5a所示，采用转交测试过程的第一种实现方式时，包括以下步骤
5501 、 PMIP clien讨妻收路由优化触发消息；
5502 ~ S503 、 PMIP client与CN进行RRP过程；
RRP过程包括家乡测试过程和转交测试两个并发过程，PMIP client获得CN 回复的HoT消息和CoT消息，具体的
家乡测试过程包括步骤PMIP client把HoTI消息封装成信令发送到MAG, MAG把HoTI消息通过反向隧道发送给CN， CN向MAG通过隧道返回HoT消息， MAG进行数据过滤，把得到的HoT消息封装在信令中发送给PMIP client;
转交测试过程的第一种实现方式包括步骤PMIP cliend巴CoTI消息封装成 信令发送到MAG， MAG把CoTI消息路由发送到CN， CN向MAG返回CoT消息， MAG进行数据过滤，将得到的CoT消息封装在信令中发送给PMIP client;
RRP过程中，如果MAG和PMIPclient处于一个网络实体，则二者之间直接 通过内部原语交互相关消息，不需要封装为信令。
S504、 PMIP client获得Kbm;
PMIP client根据home keygen token禾口care-of keygen token获得Kbm。
S5051 ~ S5061 、 PMIP client和CN之间进行CoA的绑定更新过程。
PMIP client发送包含了 Alternate CoA的BU消息到CN, BU消息的安全性由
Kbm保护，CN根据Kbm验证BU消息安全后向PMIPclient回复BA消息，指示绑定更新成功。
当然，PMIP client和CN之间进行CoA的绑定更新过程也可以采用图4b所示 的方式完成，这里不再赘述。
如图5b所示，采用转交测试过程的第二种实现方式时，具体体现在步骤 S5052 ~ S5062中PMIP client直接路由发送包含了 Alternate CoA的CoTI消息， CoTI消息中同时可以显式地设置代理标志位，这样，CN收到CoTI消息以后， 可以根据代理标志位或者是否存在Alternate CoA来判断本次路由优化为PMP 模式的路由优化，CN返回CoT消息时以Alternate CoA或者CoTI的源地址为目的 地址。
其中如果PMIPclient和MAG处于不同网络实体，则CoTI消息的源地址为 PMIP client的地址，因为PMIP client可能同时为不同MAG进行^各由优化，因此 CoT消息也还需要包含Alternate CoA,用于区分不同的MAG, CN需要记录 Alternate CoA和CoTI源地址的对应关系，以区别各PMIP client的每一次路由优 化时具体使用的MAG。
如果PMIP client和MAG处于同一网络实体，将Alternate CoA作为CoTI源地 址，可以不在CoTI消息中单独包含Alternate CoA。
如果转交测试过程中CN返回CoT消息时以CoTI的源地址为目的地址，则 CN中记录了 Alternate CoA和CoTI源地址的对应关系，当CN收到BU消息的时 候，检查BU消息的源地址是否和BU消息中的Altemate CoA符合已经记录在本 地的对应关系，如果是则继续验证BU消息的安全性，如果BU消息中的Altemate CoA不符合已经记录在本地的对应关系，则直接拒绝该BU消息。
当然，PMIP dient和CN之间进行CoA的BU过程也可以采用图4b所示的方
式完成，这里不再赘述。
本实施例中，如果MN当前连接两个或两个以上的CN,可以在触发消息中 包含连接的所有CN信息，RRP过程和绑定更新过程针对每一个CN分别进行； 如果路由优化由其它网络实体针对一个或多个CN触发的，RRP过程和绑定更新 过程需要针对各CN上的连接的每一个MN分别进行。
实施例三
本实施例中，对实施例一和实施例二中的回程可路由过程进行优化，以简 化回程可^各由过程。具体优化可以包括以下两种处理，这两种优化处理在实际 应用中可以同时应用，也可以只应用其中的一种优化处理。
一、家乡测试过程的优化处理
对实施例一和实施例二中的家乡测试过程进行优化，对于由同 一个MAG 代理数据、通过同一个HA和同一个CN通信的MN,可以只执行一次家乡测试 过程，也就是说，每一个家乡测试过程是对同一个MAG代理数据、归属相同 HA以及和相同CN通信的所有MN发起的，同一个MAG代理数据、归属相同HA 以及和相同CN通信的所有MN可以复用 一个home keygen token，这时，为保证 home keygen token对各MN的通用性，CN计算Home keygen token时不将HoA作 为计算的参数值，或者以全0/l代替HoA参与计算，而在后续针对某个MN执行 BU的过程中，再将该MN的HoA作为参数值参与计算相应Kbm。
因此，对于优化的家乡测试过程，CN侧需要对于每一个进行家乡测试的 MAG, 维护HA 、 home keygen token和该home keygen token的nonce索引号之间 的对应关系表，由于CN每一次都可以根据home keygen token的 nonce索引号再 次计算出home keygen token,所以该对应关系表中可以不设置home keygen token项。
如果RRP过程由MAG执行，则对于优化的家乡测试过程，MAG侧也需要 对于每一个HA, 维护CN、 home keygen token和该home keygen token的nonce 索引号之间的对应关系表。
PMIP client执行RRP过程的优化处理完全相同，对应关系表用于后续BU过 程查询所需的home keygen token,对于优化后的家乡测试过程，nonce索？ 1号可 以是对应HA的标识信息HA-ID,或者是MAG-ID和HA-ID的结合。
由于一个MAG可能为多个MN的数据代理点，在执行RRP过程的MAG或 PMIPclient上还需要针对不同的HA维护CN的路由优化状态表，即某个CN已经 经过某HA完成了家乡测试。
这样，MAG或PMIP client在发起家乡测试过程之前，先查询CN的路由优 化状态表确认是否已经完成了对于该CN的家乡测试过程，如果是则在后续需 要进行的BU过程中，才艮据CN、 home keygen token和该home keygen token的 nonce索引号之间的对应关系表获得相关信息。
对于优化后的家乡测试过程，HoTI设置代理标志位，CN根据代理标志位 和包含的信息建立对应关系表。
进一步，在BU过程中的相关消息中包含代理标志位，表明本次路由优化 过程是PMIP模式的路由优化，CN根据该代理标志位，对于归属同一HA、并和 相同CN进行通信的所有MN,查找出在RRP过程记录在对应关系表中的同 一组 home keygen token、 care画of keygen token,并利用该纟且home keygen token、 care-of keygen token以及该MN的HoA作为计算Kbm的参数，并根据计算的Kbm对BU 消息进行安全性认证。
如果家乡测试和转交测试进一步被优化后，则家乡测试、转交测试以及BU 过程中的每一个消息中包含MAG标识信息MAG-ID,家乡测试和BU过程中的 每一个消息中包含HA标识信息HA-ID。在RRP过程中，CN产生Token以及随机 数，并在计算Kbm的同时和HA-ID以及MAG-ID进行关联，然后在绑定过程中 根据BU消息中的MAG-ID和HA-ID信息查询出所需的home keygen token ，或者 查询出该home keygen token对应的nonce索引号，再根据查询结果计算Kbm后对 BU消息进行验证。
二、转交测试的优化处理
对于同一组CN和MAG,转交测试过程也可以只纟丸行一次，也就是说，每
一个转交测试过程是对同 一组CN和MAG发起的，在同 一组CN和MAG之间进 行路由优化的所有MN可以复用 一个care-of keygen token,并不限于MN归属同 一个HA。这时，为保证care-of keygen token对各MN的通用性，CN计算care-of keygen token时，可以不将CoA作为计算参数，或者全0/l代替CoA作为一个参 数值参与计算。在后续针对某个MN执行BU过程中，再将该MN的CoA作为参 数值参与计算相应Kbm。
因此对于优化的转交测试过程，CN需要维护包含MAG和care-of keygen token 、以及该相关care-of keygen token的nonce索引号之间的对应关系表，由于 CN可以才艮才居care-of keygen token的nonce索引号再;欠"H"算出care-of keygen token ， 该对应关系表中可以没有care-of keygen token项。
除此之外，由于一个MAG可能为多个MN的数据代理点，执行RRP过程的 MAG或PMIP client还需要在CN的路由优化状态表中，记录某个CN是否已经完 成了转交测试。
这样，MAG或PMIP client在发起转交测试过程之前，先查询CN的路由优 化状态表确认是否已经完成了对于该CN的转交测试过程，如果是则在后续需 要进行的BU过程中，才艮据CN、 care-of keygen token和该care-of keygen token 的nonce索引号之间的对应关系表获得相关信息。
对于优化后的转交测试过程，设置代理标志位，CN根据代理标志位建立 对应关系表。
对于优化后的转交测试过程，家乡测试、转交测试以及BU过程中的每一 个消息中包含MAG标识信息，CN根据BU请求消息中的MAG-ID查询出计算 Kbm所需的care-of keygen token或者该care-of keygen token的nonce索引号。寿争交 测试的优化处理方法中，nonce索引号可以是MAG-ID本身。
进一步，在BU过程中的相关消息中包含代理标志位，表明本次路由优化 过程是PMIP6模式的路由优化，CN根据该代理标志位，对于同一组MAG和CN，
查找出在RRP过程记录在对应关系表中的同 一组care-of keygen token或care-of keygen token的索引号，作为计算Kbm的参数，并根据计算的Kbm对BU消息进 行安全性认证。
为了和RFC3775定义的CMIP相互独立并且兼容，更进一步优化方案是， 在PMIP6模式的路由优化过程中的每一个相关消息，即HoTI、 HoT、 CoTI、 CoT和BU消息中全部包含代理标志位，CN侧根据代理标志位区别现有的CMIP 模式的路由优化，实现PMIP模式和CMIP模式路由优化的区别处理。
进一步的优化包括在执行RRP过程的MAG或PMIP client上维护MN以及 CN的路由优化策略表，该路由优化策略表用于确定具体的MN或者CN是否允 许进行路由优化、以及是否要求进行路由优化。各MN的路由优化策略是MAG 或PMIP client从其它^各由优化策略网络实体上获取的。
下面以MAG"t丸行RRP过程为例，该实施例中，家乡测试采用优化处理方式， 路由优化由MN发送的触发消息触发，MN当前和一个CN保持通信，路由优化 触发消息中包含MN标识信息和CN信息。优化后的代理移动IP路由优化过程如 图6所示，包括以下步骤
S601 、接收MN发出的路由优化触发消息，该触发消息中包含和MN进行通 信的CN标识列表；
S602~S603、 MAG根据CN以及MN的路由优化策略表，确定CN标识列表 中允许进行路由优化的CN ，并与各允许进行路由优化的CN分别进行RRP过程；
各CN的家乡测试过程中对相同的HA只进行一次，同时HoTI消息中需要包 含HA标识(HA-ID)信息，并设置代理标志位；
MAG建立HA 、 CN 、 home keygen token 、 care-of keygen token和nonce索亏1 号之间的对应关系表。CN根据HoTI消息中的代理标志位确定本次RRP过程是 PMIP模式的路由优化，因此相应建立MAG、 HA、 home keygen token、 care-of keygen token和nonce索引号的对应关系表(或者该对应关系表中没有home keygen token项)，并在计算home keygen token时，HoA的参数值需要用全0/1
代替、或者不将HoA作为计算的参数值。
其中，HA-ID可以是HA的IP地址，也可以是和CN协商的结果，保证在某 个特定CN内唯一。
S604、 MAG为每一个需要优化的CN分别生成Kbm，并将每一个Kbm以及 对应的CN的地址给PMIP client;
其中一个CN对应的Kbm的计算参数包括MN的HoA、该CN对应的home keygen token 、 care誦of keygen token 。
PMIP client获得Kbm后，和CN之间执行绑定更新过程。
S605 S606、对于各CN, PMIP client发送包含HA-ID、 MAG-ID和HoA的 BU消息到CN，其中MAG-ID用于区分不同的MAG、 HA-ID用于区分不同的 HA、 HoA用于区分不同的MN。
每一个BU消息的安全性由Kbm保护，CN在认证BU消息安全后，将BA消 息反馈给PMIP client,指示绑定更新成功；
S607 ~ S608、同 一个MAG代理数据的归属同一 HA并与相同CN通信的 MN,在已经有允许使用路由优化的MN发起RRP过程之后，无需重复执行 RRP过程，后续使用归属于同 一个HA和CN对应的home keygen token进行绑 定更新过程。
对于归属同一HA、并和相同CN进行通信的所有MN, CN可以根据 MAG-ID 、 HA-ID在RRP过程记录的对应关系表中查找home keygen token，并和 HoA—起生成Kbm，然后对BU消息进行安全性认证。
对于CN，还需要把RRP过程中的消息和BU消息绑定起来，即Kbm和BU的 绑定关系，这个关系可以通过HoTI消息、HoT消息、CoTI消息、CoT消息和BU 消息中包含HA-ID和MAG-ID, MAG-ID用于区别不同MAG发起的路由优化。 参阅图6所示，是在BU消息中包含MAG-ID的情况。MAG-ID可以是MAG的IP 地址，也可以是和CN协商的结果，保证在CN内唯一，如果MAG地址就是源地 址，那么可以不用另外包含MAG-ID。
当CN收到一个BU消息以后，首先判断BU消息中的nonce索引是否是为这 个HA和MAG分配的，如果是再进行RFC3775标准规定的后续流程，否则拒绝 收到的BU消息。
以上实施例中如果MAG和PMIP client处于同 一物理实体中，则之间的交互 为内部原语交互，如果处于不同物理实体中，使用信令交互。
PMIP client执行RRP过程的路由优化流程基本相同，这里不再重复描述。 本发明实施例还提供一种代理MN进行路由优化的系统，包括 MAG，用于和相关节点CN之间对家乡代理HA进行家乡测试，获取家乡 密钥生成令牌；以及和相关节点CN之间进行转交测试，获取转交密钥生成令
牌；
PMIP client,用于获取绑定管理密钥Kbm,并代理需要路由优化的移动节 点MN和CN进行转交地址绑定更新，所述Kbm的计算参数中包括所述家乡 密钥生成令牌和转交密钥生成令牌。
其中，MAG和PMIPclient可以设置在同一网络实体上，也可以设置在不 同的网络实体上。
本发明实施例还提供一种代理MN进行路由优化的PMIP client装置，该 PMIP client装置中包括
用于和相关节点CN之间对家乡代理HA进行家乡测试，获取家乡密钥生 成令牌的单元；
用于和相关节点CN之间进行转交测试，获取转交密钥生成令牌的单元；
以及
用于获取绑定管理密钥Kbm,并代理需要路由优化的移动节点MN和CN
进行转交地址绑定更新的单元，所述Kbm的计算参数中包括所述家乡密钥生 成令牌和转交密钥生成令牌。
可见，本发明实施例提供的技术方案利用网络侧的相关代理实体实现了 PMIP6的安全路由优化；进一步的，可以简化回程可路由中的家乡测试和/或转
交测试；更进一步的，利用在优化过程中的相关消息中设置代理标志位使
PMIP6的路由优化和现有的CMIP6的路由优化保持相对独立，网络侧可以根据 终端支持的优化模式灵活进行处理。
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
权利要求
1、一种代理移动互联网协议IP的路由优化方法，其特征在于，包括:移动节点MN的移动接入网关MAG和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；所述MAG和相关节点CN进行转交测试，获取转交密钥生成令牌；所述MN的代理移动IP客户端获取绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。
2、 如权利要求l所述的方法，其特征在于，所述的家乡测试包括 所述MAG通过所述MN的HA向CN发送家乡测试初始化HoTI消息，所述HoTI消息中包含MN的家乡地址HoA;所述CN通过所述HA向MAG返回家乡测试响应消息HoT，所述HoT中 包括家乡密钥生成令牌。
3、 如权利要求l所述的方法，其特征在于，所述的转交测试包括 所述MAG向CN发送转交测试初始化CoTI消息；所述CN向MAG返回转交测试响应消息CoT，所述CoT中包括转交密钥 生成令牌。
4、 如权利要求1至3中任意一项所述的方法，其特征在于 所述绑定更新过程包括所述代理移动IP客户端通过MAG向CN发送绑定更新BU消息，所述 BU消息包含MN的CoA,以及根据Kbm生成的验证信息；所述CN生成所述Kbm,根据Kbm认证所述BU消息中的验证信息；所述CN在BU消息通过认证后绑定更新所述MN的CoA,并通过MAG 向代理移动IP客户端返回绑定更新成功响应；或者，所述绑定更新过程包括所述代理移动IP客户端直接向CN发送绑定更新BU消息，所述BU消息 包含所述MN的CoA，以及根据Kbm生成的验i正信息；所述CN生成所述Kbm,根据Kbm认证所述BU消息中的验证信息； 所述CN在BU消息通过认证后绑定更新所述MN的CoA,并向代理移动IP客户端返回绑定更新成功响应。
5、 如权利要求l所述的方法，其特征在于，所述代理移动IP客户端获取 所述Kbm包括所述MAG将家乡密钥生成令牌和转交密钥令牌发送给代理移动IP客户 端，代理移动IP客户端生成所述Kbm;或者所述MAG生成所述Kbm,并将该Kbm发送纟合代理移动IP客户端。
6、 如权利要求1所述的方法，其特征在于，所述的家乡测试和转交测试 是对每一个MN分别进行的，其中所述家乡密钥生成令牌的计算参数中包括进行家乡测试和转交测试的MN 的家乡地址HoA;所述转交密钥生成令牌的计算参数中包括进行家乡测试和转交测试的MN 的转交地址CoA。
7、 如权利要求2所述的方法，其特征在于，对由同一MAG代理数据、 归属同一个HA并和相同CN通信的所有MN,只发起一次所述家乡测试，所 述家乡密钥生成令牌的计算参数中不包括HoA;以及所述代理移动IP客户端和CN根据所述家乡密钥生成令牌对由同一 MAG 代理数据、归属同一个HA的各MN分别进行绑定更新，其中，每一次进行绑 定更新时的Kbm的计算参数中还包括进行绑定更新的各MN的HoA。
8、 如权利要求7所述的方法，其特征在于，所述HoTI消息中包含代理标 志位，所示代理标志位用于标识路由优化为基于代理移动IP模式的路由优化。
9、 如权利要求3所述的方法，其特征在于，对由同一MAG代理数据并 和同一个CN通信的所有MN,只发起一次所述转交测试，所述转交密钥生成 令牌的计算参数中不包括CoA; 所述代理移动IP客户端和CN根据获取的转交密钥生成令牌，对由同一MAG代理数据的各MN分别进行绑定更新，其中，每一次进行绑定更新时的 Kbm的计算参数中还包括进行绑定更新的各MN的CoA。
10、 如权利要求9所述的方法，其特征在于，所述CoTI消息中包含代理 标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优 化。
11、 如权利要求8或IO所述的方法，其特征在于所述BU消息中还包含代理标志位，所述代理标志位用于标识路由优化为 基于代理移动IP模式的路由优化；和/或所述家乡测试、转交测试以及BU过程中的每一个消息中包含绑定更新的 MN的MAG标识信息；和/或所述家乡测试和BU过程中的每一个消息中包含进行绑定更新的MN的 HA标识信息。
12、 如权利要求11所述的方法，其特征在于，所述家乡测试、转交测试 以及BU过程中的其它所有消息中包含所述代理标志位，所述代理标志位用于 标识路由优化为基于代理移动IP模式的路由优化。
13、 如权利要求l、 6、 7或9所述的方法，其特征在于所述MAG根据MN或其它路由优化策略网络实体发送的路由优化触发消 息，对连接的CN发起家乡测试和转交测试；或者所述MAG根据获取的CN路由优化策略对连接的CN发起家乡测试和转 交测试。
14、 如权利要求13所述的方法，其特征在于，所述MN发送的路由优化 触发消息包括RS消息、NS消息或DHCP消息。
15、 如权利要求14所述的方法，其特征在于，所述其它路由优化策略网 络实体发送的路由优化触发消息中至少包含一个MN的标识信息，所述MAG根据该MN的标识信息确定进行路由优化的MN。
16、 如权利要求1所述的方法，其特征在于所述的MN包括和所述CN进行通信的每一个MN;或者所述的MN由MAG根据与CN进行通信的各MN的路由优化策略确定。
17、 一种代理移动互联网协议IP的路由优化方法，其特征在于，包括 移动节点MN的代理移动IP客户端和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；所述代理移动IP客户端和相关节点CN进行转交测试，获取转交密钥生成令牌；所述代理移动IP客户端产生绑定管理密钥Kbm,并代理所述MN和CN 进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密 钥生成令牌。
18、 如权利要求17所述的方法，其特征在于，所述的家乡测试包括 所述代理移动IP客户端通过所述MN的HA向CN发送家乡测试初始化HoTI消息，所述HoTI消息包含所述MN的HoA;所述CN通过所述MN的HA向所述代理移动IP客户端返回家乡测试响 应消息HoT，所述HoT中包括家乡密钥生成令牌。
19、 如权利要求17所述的方法，其特征在于 所述的转交测试包括所述代理移动IP客户端通过MAG向CN发送转交测试初始化CoTI消息， 所述CoTI包含所述MN的CoA;所述CN通过MAG向代理移动IP客户端返回转交测试响应CoT消息， 所述CoT中包括转交密钥生成令牌；或者，所述的转交测试包括所述代理移动IP客户端向CN发送转交测试初始化CoTI消息，所述CoTI 消息中包含所述MN的CoA;所述CN向代理移动IP客户端返回转交测试响应CoT消息，所述CoT中 包括转交密钥生成令牌。
20、 如权利要求17至20中任意一项所述的方法，其特征在于，所述的绑 定更新包括所述代理移动IP客户端向CN发送绑定更新BU消息，所述BU消息包含根据Kbm生成的验证信息；所述CN生成所述Kbm，根据Kbm认证所述BU消息中的验证信息； 所述CN在BU消息通过认证后绑定更新MN的CoA,并向代理移动IP客户端返回绑定更新响应。
21、 如权利要求17所述的方法，其特征在于，所述的家乡测试和转交测 试是对每一个MN分别进行的，其中所述家乡密钥生成令牌的计算参数中包括所述MN的家乡地址HoA; 所述转交密钥生成令牌的计算参数中包括所述MN的转交地址CoA。
22、 如权利要求18所述的方法，其特征在于，对由同一MAG代理数据、 归属同一个HA并和相同CN通信的所有MN,只发起一次所述家乡测试，所 述家乡密钥生成令牌的计算参数中不包括HoA;以及所述代理移动IP客户端和CN根据所述家乡密钥生成令牌对由同一MAG 代理数据、归属同一个HA的各MN进行绑定更新，其中，每一次进行绑定更 新时的Kbm的计算参数中还包括进行绑定更新的MN的HoA。
23、 如权利要求22所述的方法，其特征在于，所述HoTI消息中包含代理 标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优 化。
24、 如权利要求19所述的方法，其特征在于，对由同一MAG代理数据 并和同一个CN通信的所有MN，只发起一次所述转交测试，所述转交密钥生 成令牌的计算参数中不包括CoA;所述代理移动IP客户端和CN之间根据获取的转交密钥生成令牌，对由同 一MAG代理数据的各MN分别进行绑定更新，其中，每一次进行绑定更新时 的Kbm的计算参数中还包括进行绑定更新的MN的CoA。
25、 如权利要求24所述的方法，其特征在于，所述CoTI消息中包含代理 标志位，所述代理标志位用于标识路由优化为基于代理移动IP ^!式的^^由优 化。
26、 如权利要求23或25所述的方法，其特征在于，所述BU消息中包含 代理标志位，所述代理标志位用于标识路由优化为基于代理移动IP才莫式的路 由优化。
27、 如权利要求26所述的方法，其特征在于，所述家乡测试、转交测试 以及BU过程中的其它所有消息中包含所述代理标志位。
28、 如权利要求22或24所述的方法，其特征在于所述家乡测试、转交测试以及BU过程中的每一个消息中包含所述MN的 MAG标识信息；和/或所述家乡测试和BU过程中的每一个消息中包含所述MN的HA标识信息。
29、 如权利要求17、 21、 22或24所述的方法，其特征在于 所述代理移动IP客户端根据MN或其它路由优化策略网络实体发送的路由优化触发消息对连接的CN发起家乡测试和转交测试；或者所述代理移动IP客户端根据获取的CN路由优化策略对连接的CN发起家 乡测试和转交测试。
30、 如权利要求29所述的方法，其特征在于，所述MN发送的路由优化 触发消息包括RS消息、NS消息或DHCP消息。
31、 如权利要求30所述的方法，其特征在于，所述路由优化触发消息中 至少包含一个和MN进行通信的CN的标识信息，所述MAG根据所述CN的 标识信息确定进行路由优化的CN。
32、 如权利要求31所述的方法，其特征在于，所述代理移动IP客户端收 到所述MN的路由优化触发消息后，结合该MN的路由优化策略确定是否触发 路由优化。
33、 一种代理MN进行^各由优化的系统，其特征在于，包括 移动节点MN的MAG，用于和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；以及和相关节点CN进行转交测试， 获取转交密钥生成令牌；所述MN的代理移动IP客户端，用于获^^绑定管理密钥Kbm,并代理所 述MN和CN进行绑定更新，所述Kbm的计算参lt中包括所述家乡密钥生成 令牌和转交密钥生成令牌。
34、 如权利要求33所述的系统，其特征在于，所述MAG和代理移动IP 客户端设置在同一网络实体或不同网络实体上。
35、 一种代理移动IP客户端，其特征在于，包括用于和相关节点CN通过MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌的单元；用于和相关节点CN进行转交测试，获取转交密钥生成令牌的单元；以及 用于产生绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新的单元，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。
全文摘要
本发明涉及通信领域，尤其涉及一种代理移动IP中路由优化的方法、系统和代理移动IP客户端，用以实现PMIP6的安全路由优化。路由优化方法包括MAG和相关节点CN通过家乡代理HA进行家乡测试，获取家乡密钥生成令牌；MAG和相关节点CN进行转交测试，获取转交密钥生成令牌；代理移动IP客户端获取绑定管理密钥Kbm，并代理需要路由优化的移动节点MN和CN进行绑定更新，Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。家乡测试和转交测试也可以代理移动IP客户端完成。
文档编号H04L12/28GK101383756SQ20071014736
公开日2009年3月11日 申请日期2007年9月7日 优先权日2007年9月7日
发明者梁文亮, 亮 顾 申请人:华为技术有限公司