CN101098228A - 一种保障移动节点安全通信的方法 - Google Patents
一种保障移动节点安全通信的方法 Download PDFInfo
- Publication number
- CN101098228A CN101098228A CNA2006100911471A CN200610091147A CN101098228A CN 101098228 A CN101098228 A CN 101098228A CN A2006100911471 A CNA2006100911471 A CN A2006100911471A CN 200610091147 A CN200610091147 A CN 200610091147A CN 101098228 A CN101098228 A CN 101098228A
- Authority
- CN
- China
- Prior art keywords
- ler
- security association
- gfa
- rfa
- association request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种保障移动节点安全通信的方法,执行以下步骤:移动节点(MN)建立与标签路由器/外地代理(LER/FA)、以及标签路由器/家乡代理(LER/HA)之间的保障MN安全通信的安全关联。本发明采用的MN建立与LER/FA和LER/HA之间安全关联的方法;以及建立与LER/FA、LER/HA、标签路由器/区域外地代理(LER/RFA)和标签路由器/网关外地家乡代理(LER/GFA)之间安全关联的方法,能够使MN在移动到新区域后,直接向临近的LER/FA、LER/RFA、或LER/GFA直接注册,而不必再向LER/HA进行注册,减少了向LER/HA发送消息的次数,降低了通信时延。
Description
技术领域
本发明涉及网络安全技术,尤指一种保障移动节点安全通信的方法。
背景技术
下一代网络(NGN,Next Generation Network)是通过通信实体之间的IP连接来承载语音、图像和数据等多种电信业务的融合网络。NGN业务基于多协议标签交换(MPLS,Multiprotocol Label Switching)网络的移动性控制和传输功能是目前研究的一个热点。MPLS提供了信令和传输机制用以支持服务质量(QoS),流量工程和虚拟专用网(VPN)功能。目前,大多数的移动网络已经过渡到使用IP技术进行传输,并且大多数的IP路由器都支持MPLS功能。
在移动网络环境中,移动节点(MN)往往通过无线链路与网络相连,与这些接入链路相连的标签交换路径(LSP,Label Switched Path)很容易受到攻击。而在现有技术中,对于基于MPLS网络的安全机制没有提供具体的实现方法和处理流程,因此无法保障MN在基于MPLS网络中的安全通信。
发明内容
有鉴于此,本发明的主要目的在于提供一种保障移动节点安全通信的方法,应用本发明所提供的方法能够保障MN在基于MPLS网络中的安全通信。
为达到上述目的,本发明的技术方案是这样实现的:
一种保障移动节点安全通信的方法,执行以下步骤:
移动节点(MN)建立与标签路由器/外地代理(LER/FA)、以及标签路由器/家乡代理(LER/HA)之间的保障MN安全通信的安全关联。
另外,该方法进一步包括:MN建立与标签路由器/区域外地代理(LER/RFA)和标签路由器/网关外地家乡代理(LER/GFA)之间的保障MN安全通信的安全关联。
其中,所述MN建立与LER/FA、以及LER/HA之间的安全关联,包括以下步骤:
A1、MN向LER/FA发送安全关联请求;
B1、LER/FA收到MN的安全关联请求后,与MN建立安全关联,向LER/HA发送MN的安全关联请求;
C1、LER/HA收到MN的安全关联请求后,与MN建立安全关联。
其中,所述MN建立与LER/FA、LER/RFA、LER/GFA以及LER/HA之间的安全关联,包括以下步骤:
A2、MN向LER/FA发送安全关联请求;
B2、LER/FA收到MN的安全关联请求后,与MN建立安全关联,向LER/RFA发送MN的安全关联请求;
C2、LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向LER/GFA发送MN的安全关联请求;
D2、LER/GFA收到MN的安全关联请求后,与MN建立安全关联,向LER/HA发送MN的安全关联请求;
E2、LER/HA收到MN的安全关联请求后,与MN建立安全关联。
另外,该方法进一步包括,当MN在同一LER/RFA管辖区域内,从一个LER/FA管辖区域移动到另一个LER/FA管辖区域时,执行以下步骤:
F1、MN向当前所在新LER/FA发送安全关联请求;
G1、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在LER/RFA发送MN的安全关联请求;
H1、所述LER/RFA收到新LER/FA发送的安全关联请求后,更新自身与MN的安全关联。
另外,该方法进一步包括,当MN在同一LER/GFA管辖区域内,从一个LER/RFA管辖区域移动到另一个LER/RFA管辖区域时,执行以下步骤:
F2、MN向当前所在新LER/FA发送安全关联请求;
G2、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在的新LER/RFA发送MN的安全关联请求;
H2、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在LER/GFA发送MN的安全关联请求;
I2、所述LER/GFA收到新LER/RFA发送的安全关联请求后,更新自身与MN的安全关联。
另外,该方法进一步包括,当MN从一LER/GFA管辖区域移动到另一个LER/GFA管辖区域时,执行以下步骤:
F3、MN向当前所在新LER/FA发送安全关联请求;
G3、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在的新LER/RFA发送MN的安全关联请求;
H3、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向新LER/GFA发送MN的安全关联请求;
I3、新LER/GFA收到MN的安全关联请求后,与MN建立安全关联,向MN的家乡LER/GFA发送MN的安全关联请求;
J3、所述家乡LER/GFA收到MN的安全关联请求后,更新自身与MN的安全关联。
其中,所述安全关联请求中至少包括:MN家乡地址、转交地址,MN能够使用的安全协议和/或认证方式;
所述建立安全关联为:根据安全关联请求中携带的转交地址、MN的家乡地址,MN能够使用的安全协议和/或认证方式,与MN建立安全关联。
其中,所述更新安全关联为:根据安全关联请求中携带的MN当前的转交地址,更新所述MN安全关联中的转交地址。
其中,所述安全关联请求携带在MN发送的注册请求消息中。
其中,所述LER/FA,LER/HA和/或LER/RFA、LER/GFA位于基于多协议标签交换MPLS的网络中。
本发明所提供的一种保障移动节点安全通信的方法,MN通过建立与LER/FA,LER/HA,和/或LER/RFA、LER/GFA之间的保障MN安全通信的安全关联,保证了在MN在通信过程中安全性。本发明采用的MN建立与LER/FA、LER/RFA、LER/GFA以及LER/HA之间安全关联的方法,能够使MN在移动到新区域后,直接向临近的LER/FA、LER/RFA、或LER/GFA直接注册,而不必再向LER/HA进行注册,减少了向LER/HA发送消息的次数,降低了通信时延。
附图说明
图1为本发明一实施例的建立安全关联的流程图;
图2为移动节点四种网络层次移动的示意图;
图3为本发明一实施例更新安全关联的流程图;
图4为本发明另一实施例更新安全关联的流程图;
图5为本发明另一实施例更新安全关联的流程图。
具体实施方式
安全关联(SA)是一种在两个使用IP安全(IP Sec)的实体间,如主机或路由器,建立的逻辑连接。安全关联定义了通信双方对通信过程中某些要素的约定,例如,使用的安全协议、协议的操作模式、密码算法、特定流中保护数据的共享密钥、以及密钥的生存周期等。使用安全关联的两个IPSec实体间,能够使用建立的安全关联进行安全通信。因此,在本发明中可以通过在MN与标签路由器/家乡代理(LER/HA,Label Edge Router/Home Agent)之间建立安全关联,从而保障MN能够进行安全通信。
由于在MPLS网络中,随着网络规模的增大,MN移动后进行切换的时延也会随之增大。因此,本发明在建立安全关联时,采用逐级建立的方法,通过这种方法可以使MN在移动到新的区域后直接向临近的标签路由器/外地代理(LER/FA,Label Edge Router/Foreign Agent)、标签路由器/区域外地代理(LER/RFA,Label Edge Router/Regional Foreign Agent)、标签路由器/网关外地家乡代理(LER/GFA,Label Edge Router/Gateway Foreign Agent)建立安全关联,而不必重新与LER/HA进行协商建立安全关联,从而减少了与LER/HA建立安全关联过程交互的次数,减少了切换时延。
其中,LER/HA、LER/FA、LER/RFA以及LER/GFA均为基于MPLS网络的中设备。LER/HA为一种具有家乡代理功能的MPLS路由器;LER/FA一种具有外地代理功能的MPLS路由器;LER/RFA为一种具有区域外地代理功能的MPLS路由器;LER/GFA为一具有网关外地代理功能的MPLS路由器,负责管辖的范围为一个自治域。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步的详细说明。
由于在MPLS网络中,无论是对移动IPv4服务还是移动IPv6服务都实行层次化移动管理。在层次化移动管理中,LER/FA、LER/RFA和LER/GFA都支持局部注册功能。局部注册功能可以使MN在移动到新的区域后直接向临近的LER/FA、LER/RFA或LER/GFA进行注册,而不必再向HA进行注册。因此,在本实施例中,MN采用逐级与LER/HA建立安全关联,可以是在MN向LER/HA请求注册的同时进行。这里,MN向LER/HA注册的目的是为了将自身当前的转交地址(COA)通知LER/HA,以使LER/HA知道自身当前所在区域。其中,COA用来提供MN当前的位置信息。
MN采用逐级与LER/HA建立安全关联的具体流程如图1所示,包括以下步骤:
步骤101:MN通过当前自身所在区域的LER/FA向LER/HA发送注册请求消息,注册请求消息中携带MN的COA和MN的家乡地址等移动节点信息。
所述家乡地址是网络侧分配给MN的永久的地址,属于移动节点的家乡链路。通过MN的家乡地址,路由机制会把发给MN的分组发送到其家乡链路。家乡地址用于标识MN建立的安全关联。所述COA用来提供MN当前的位置信息,以建立安全关联。
步骤102:LER/FA收到MN发送来的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/FA与MN成功建立安全关联后,LER/FA为MN在自身的移动节点信息表中建立安全关联条目,用于保存建立的安全关联。
这里,LER/FA保存自身与MN之间安全关联的目的在于,供MN在以后的通信过程中调用,保障MN在通信过程中的安全性。
这里,LER/FA与MN协商建立安全关联,需要根据注册请求消息中携带的家乡地址以及COA。
步骤103:LER/FA向LER/RFA发送MN的注册请求消息。
步骤104:LER/RFA收到LER/FA发送的MN的注册请求消息后,对当前请求注册的MN进行注册,将R/的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/RFA与MN成功建立安全关联后,LER/RFA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/RFA与MN协商建立安全关联,需要根据注册请求消息中携带的家乡地址以及COA。
步骤105:LER/RFA向LER/GFA发送MN的注册请求消息。
步骤106:LER/GFA收到LER/RFA发送的MN的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/GFA与MN成功建立安全关联后,LER/GFA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/GFA与MN协商建立安全关联,需要根据注册请求消息中携带的家乡地址以及COA。
步骤107:LER/GFA向LER/HA发送MN的注册请求消息。
步骤108:LER/HA收到LER/GFA发送的MN的注册请求消息后,在LER/HA上为MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/GFA与MN成功建立安全关联后,LER/HA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/HA与MN协商建立安全关联,需要根据注册请求消息中携带的家乡地址以及COA。
步骤109~112:LER/HA通过LER/GFA、LER/RFA和LER/FA向MN返回注册应答消息。
至此,本实施例MN逐级与LER/HA建立安全关联的流程结束。
在上述流程中,所述的LER/GFA为家乡LER/GFA、LER/RFA为家乡LER/RFA、LER/FA为家乡LER/FA,即与MN家乡地址对应的LER/GFA、LER/RFA和LER/FA。
在图1所示的流程中,MN与LER/FA、LER/RFA、LER/GFA和LER/HA建立安全管理的方法可以是:首先在MN向LER/FA发送的注册请求消息中进一步携带MN用于建立安全关联的信息,比如MN能够支持的安全协议的种类,MN能够采用的认证方式的种类等信息。
当MN与LER/FA、LER/RFA、LER/GFA和LER/HA建立安全关联时,则LER/FA、LER/RFA、LER/GFA和LER/HA则根据MN注册请求消息中安全关联的信息,确定自身与MN之间的采用的认证方式和/或安全协议等信息,并向MN返回确认信息,以建立自身与MN之间的安全关联。
MN与LER/FA、LER/RFA、LER/GFA和LER/HA建立安全关联的方法,还可以是:由LER/FA、LER/RFA、LER/GFA和LER/HA收到MN发送的注册请求消息触发自身与MN的交互,按照现有技术中建立安全关联的方法建立自身与MN的安全关联。
由于本实施例提供的是一个MN逐级与LER/HA建立安全关联的方法。因此,在本实施例中当MN移动到其他区域时,不需要与LER/HA再建立安全关联,而是根据实际的情况进行安全关联的重新建立与更新。如图2所示为,MN与通信节点用户(CN,Correspondence Nod)进行通信的过程中,MN在MPLS网络中移动的四种模型,包括:子网内访问,是指MN在同一个LER/FA管辖范围中进行的移动;子网间访问,是指MN在不同的LER/FA管辖范围、但在同一个LER/RFA管辖范围中进行的移动;网络间访问,是指MN在不同的LER/FA管辖范围中,但在同一个LER/GFA管辖范围中进行的移动;跨自治域网络间访问,是指MN在不同的LER/GFA管辖的自治域中进行的移动。
以下分别针对这四种网络层次移动模型,介绍MN更新安全关联的方法。
当MN的移动范围局限于子网内访问,由于MN在同一个LER/FA管辖区域内进行移动,MN移动后也不必建立新的LSP路径。因此,MN与LER/HA之间也不必更新已经建立的安全关联,MN与CN之间也可以安全的继续进行通信。
当MN在同一LER/RFA管辖区域内,从一个LER/FA管辖区域移动到另一个LER/FA管辖区域内时,由于MN并没有超出同一个LER/RFA的管辖范围,因此MN更新安全关联时,只需重新生成自身与新LER/FA的安全关联、并更新自身与原LER/RFA之间的安全关联即可,具体过程如图3所示。
MN更新安全关联的过程,可以伴随着MN向LER/HA注册的过程同时进行。由于MPLS网络实行层次化管理,因此MN只需通过新LER/FA进行注册,再由新LER/GFA向原LER/RFA进行注册即可。
步骤301:MN向自身当前所在新区域对应的新LER/FA发送注册请求消息,注册请求消息中携带MN的COA和MN的家乡地址等移动节点信息。
步骤302:新LER/FA收到MN发送来的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/FA与MN成功建立安全关联后,新LER/FA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/FA保存自身与MN之间安全关联的目的在于,供MN在以后的通信过程中调用,保障MN在通信过程中的安全性。
步骤303:新LER/FA向MN当前所在区域的LER/RFA发送MN的注册请求消息。
这里,由于MN是在同一LER/RFA管辖区域内,从一个LER/FA管辖区域移动到另一个LER/FA管辖区域内,因此在MN移动的前后,MN所在管辖区域的LER/RFA没有发生变化。
步骤304:所述LER/RFA根据注册请求消息中携带移动节点信息,对当前请求注册的MN进行注册更新,即对移动节点信息表中记录的MN的移动节点信息进行更新,包括COA;并查找自身的移动节点信息表,得到所述MN的安全关联条目,更新安全关联条目中当前MN对应安全关联的COA信息。
步骤305~306:所述LER/RFA通过新LER/FA向MN返回注册应答消息。
当MN在同一LER/GFA管辖区域内,从一个LER/RFA管辖区域移动到另一个LER/RFA管辖区域内时,由于MN并没有超出同一个LER/GFA的管辖范围,因此MN更新安全关联时,只需重新生成自身与新LER/FA、以及LER/RFA之间的安全关联、并更新自身与原LER/GFA之间的安全关联,具体过程如图4所示。
MN更新安全关联的过程,可以伴随着MN向LER/HA注册的过程同时进行。由于MPLS网络实行层次化管理,因此MN只需通过新LER/FA、新LER/RFA进行注册,再由新LER/RFA向原LER/GFA进行注册即可。
步骤401:MN向自身当前所在新区域对应的新LER/FA发送注册请求消息,注册请求消息中携带MN的COA和MN的家乡地址等移动节点信息。
步骤402:新LER/FA收到MN发送来的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待新LER/FA与MN成功建立安全关联后,新LER/FA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,新LER/FA保存自身与MN之间安全关联的目的在于,供MN在以后的通信过程中调用,保障MN在通信过程中的安全性。
步骤403:新LER/FA向MN当前所在区域对应的新LER/RFA发送MN的注册请求消息。
步骤404:新LER/RFA收到新LER/FA发送的MN的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待新LER/RFA与MN成功建立安全关联后,新LER/RFA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
步骤405:新LER/RFA向MN当前所在区域的LER/GFA发送MN的注册请求消息。
这里,由于MN是在同一LER/GFA管辖区域内,从一个LER/RFA管辖区域移动到另一个LER/RFA管辖区域内,因此在MN移动的前后,MN所在管辖区域的LER/GFA没有发生变化。
步骤406:所述LER/GFA根据注册请求消息中携带移动节点信息,对当前请求注册的MN进行注册更新,即对移动节点信息表中记录的MN的移动节点信息进行更新,包括COA;并查找自身的移动节点信息表,得到所述MN的安全关联条目,更新安全关联条目中当前MN对应安全关联的COA信息。
步骤407~409:所述LER/GFA通过新LER/RFA、新LER/FA向MN返回注册应答消息。
当MN在两个不同LER/GFA管辖区域内,从一个LER/GFA管辖区域移动到另一个LER/GFA管辖区域内时,即跨自治域网络间访问。在这种情况下,在MN移动到新LER/GFA管辖区域内,则向新LER/GFA重新建立安全关联,由新LER/GFA向家乡LER/GFA进行安全关联信息更新,具体过程如图5所示。
MN更新安全关联的过程,可以伴随着MN向LER/HA注册的过程同时进行。由于MPLS网络实行层次化管理,因此MN只需先向新LER/GFA进行注册,再由新LER/GFA向家乡LER/GFA进行注册即可。
步骤501:MN向自身当前所在新区域对应的新LER/FA发送注册请求消息,注册请求消息中携带MN的COA和MN的家乡地址等移动节点信息。
步骤502:新LER/FA收到MN发送来的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待LER/FA与MN成功建立安全关联后,LER/FA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
这里,LER/FA保存自身与MN之间安全关联的目的在于,供MN在以后的通信过程中调用,保障MN在通信过程中的安全性。
步骤503:新LER/FA向MN当前所在区域对应的新LER/RFA发送MN的注册请求消息。
步骤504:新LER/RFA收到新LER/FA发送的MN的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待新LER/RFA与MN成功建立安全关联后,新LER/RFA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
步骤505:新LER/RFA向新LER/GFA发送MN的注册请求消息。
步骤506:新LER/GFA收到新LER/RFA发送的MN的注册请求消息后,对当前请求注册的MN进行注册,将MN的移动节点信息,包括家乡地址以及COA地址保存在自身的移动节点信息表中,并与MN协商建立安全关联;待新LER/GFA与MN成功建立安全关联后,新LER/GFA为MN在自身的移动节点信息表中建立安全关联条目,用于保存自身与MN建立的安全关联。
步骤507:新LER/GFA向家乡LER/GFA发送MN的注册请求消息。
这里,新LER/GFA可以通过MN的家乡地址得知MN的家乡LER/GFA,进而向MN的家乡LER/GFA发送MN的注册请求消息。所述家乡LER/GFA为MN家乡地址所在区域的LER/GFA。
当MN在两个不同的LER/GFA所管辖的区域内移动时,不论移动前的区域是否为家乡LER/GFA管辖,在移动后,MN当前所在的LER/GFA都必须向MN的家乡LER/GFA进行安全关联以及住处信息的更新。
步骤508:家乡LER/GFA根据注册请求消息中携带移动节点信息,对当前请求注册的MN进行注册更新,即对移动节点信息表中记录的MN的移动节点信息进行更新,包括COA;并查找自身的移动节点信息表,得到所述MN的安全关联条目,更新安全关联条目中当前MN对应安全关联的COA信息。
步骤509~512:家乡LER/GFA通过新LER/GFA、新LER/RFA和新LER/FA向MN返回注册应答消息。
当在基于MPLS的网络中没有设置LER/RFA、LER/GFA时,MN建立与LER/FA、以及LER/HA之间安全关联的过程为:首先MN向LER/FA发送注册请求消息;当LER/FA收到MN的注册请求消息后,与MN建立安全关联,并向LER/HA发送MN的注册请求消息;当LER/HA收到MN的注册请求消息后,与MN建立安全关联。
在本发明中,建立和更新安全关联的过程可以伴随着MN的注册而进行;也可以是在MN有需要时,由MN发起与LER/FA、LER/RFA、LER/GFA、LER/HA逐级建立安全关联的过程。由于在伴随着MN注册建立安全关联的过程中,主要利用了注册请求消息中携带的家乡地址和COA,因此在不依靠注册请求消息建立安全关联时,只需要在MN请求建立安全关联时,向LER/FA发送安全关联请求,安全关联请求中至少携带家乡地址和COA,然后在LER/FA建立了与MN之间的安全关联后,再将MN的安全关联请求发送LER/RFA,这样依次建立与LER/RFA、LER/GFA以及LER/HA。
当MN通过自身发送安全关联请求来建立安全关联,在最初建立安全关联以及更新安全关联时,只需发送安全关联请求至LER/FA即可。
在通过MN发送安全关联请求建立安全关联时,这里MN与LER/FA、LER/RFA、LER/GFA或LER/HA建立安全关联的方法可以是,在MN发送的安全关联请求中,进一步携带MN能够支持的认证方式和/或安全协议,LER/FA、LER/RFA、LER/GFA或LER/HA根据MN发送的安全关联请求确定自身与MN采用的认证方式和/或安全协议,并且向MN返回确认消息,建立自身与MN之间的安全关联。
因此,图1、图3、图4和图5中所述的注册请求消息,实际已经携带了所述的安全关联请求。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1、一种保障移动节点安全通信的方法,其特征在于,执行以下步骤:
移动节点MN建立与标签路由器/外地代理LER/FA、以及标签路由器/家乡代理LER/HA之间的保障MN安全通信的安全关联。
2、根据权利要求1所述的方法,其特征在于,该方法进一步包括:MN建立与标签路由器/区域外地代理LER/RFA和标签路由器/网关外地家乡代理LER/GFA之间的保障MN安全通信的安全关联。
3、根据权利要求1所述的方法,其特征在于,所述MN建立与LER/FA、以及LER/HA之间的安全关联,包括以下步骤:
A1、MN向LER/FA发送安全关联请求;
B1、LER/FA收到MN的安全关联请求后,与MN建立安全关联,向LER/HA发送MN的安全关联请求;
C1、LER/HA收到MN的安全关联请求后,与MN建立安全关联。
4、根据权利要求2所述的方法,其特征在于,所述MN建立与LER/FA、LER/RFA、LER/GFA以及LER/HA之间的安全关联,包括以下步骤:
A2、MN向LER/FA发送安全关联请求;
B2、LER/FA收到MN的安全关联请求后,与MN建立安全关联,向LER/RFA发送MN的安全关联请求;
C2、LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向LER/GFA发送MN的安全关联请求;
D2、LER/GFA收到MN的安全关联请求后,与MN建立安全关联,向LER/HA发送MN的安全关联请求;
E2、LER/HA收到MN的安全关联请求后,与MN建立安全关联。
5、根据权利要求4所述的方法,其特征在于,该方法进一步包括,当MN在同一LER/RFA管辖区域内,从一个LER/FA管辖区域移动到另一个LER/FA管辖区域时,执行以下步骤:
F1、MN向当前所在新LER/FA发送安全关联请求;
G1、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在LER/RFA发送MN的安全关联请求;
H1、所述LER/RFA收到新LER/FA发送的安全关联请求后,更新自身与MN的安全关联。
6、根据权利要求4所述的方法,其特征在于,该方法进一步包括,当MN在同一LER/GFA管辖区域内,从一个LER/RFA管辖区域移动到另一个LER/RFA管辖区域时,执行以下步骤:
F2、MN向当前所在新LER/FA发送安全关联请求;
G2、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在的新LER/RFA发送MN的安全关联请求;
H2、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在LER/GFA发送MN的安全关联请求;
I2、所述LER/GFA收到新LER/RFA发送的安全关联请求后,更新自身与MN的安全关联。
7、根据权利要求4所述的方法,其特征在于,该方法进一步包括,当MN从一LER/GFA管辖区域移动到另一个LER/GFA管辖区域时,执行以下步骤:
F3、MN向当前所在新LER/FA发送安全关联请求;
G3、新LER/FA收到MN的安全关联请求后,与MN建立安全关联,向MN当前所在的新LER/RFA发送MN的安全关联请求;
H3、新LER/RFA收到MN的安全关联请求后,与MN建立安全关联,向新LER/GFA发送MN的安全关联请求;
I3、新LER/GFA收到MN的安全关联请求后,与MN建立安全关联,向MN的家乡LER/GFA发送MN的安全关联请求;
J3、所述家乡LER/GFA收到MN的安全关联请求后,更新自身与MN的安全关联。
8、根据权利要求4至7中任一权利要求所述的方法,其特征在于,所述安全关联请求中至少包括:MN家乡地址、转交地址,MN能够使用的安全协议和/或认证方式;
所述建立安全关联为:根据安全关联请求中携带的转交地址、MN的家乡地址,MN能够使用的安全协议和/或认证方式,与MN建立安全关联。
9、根据权利要求8所述的方法,其特征在于,所述更新安全关联为:根据安全关联请求中携带的MN当前的转交地址,更新所述MN安全关联中的转交地址。
10、根据权利要求4至7中任一权利要求所述的方法,其特征在于,所述安全关联请求携带在MN发送的注册请求消息中。
11、根据权利要求1所述的方法,其特征在于,所述LER/FA,LER/HA和/或LER/RFA、LER/GFA位于基于多协议标签交换MPLS的网络中。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100911471A CN101098228A (zh) | 2006-06-30 | 2006-06-30 | 一种保障移动节点安全通信的方法 |
| PCT/CN2007/001127 WO2008003208A1 (fr) | 2006-06-30 | 2007-04-09 | Procédé, système permettant d'assurer des communications de sécurité de noeud mobile, et noeud mobile |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100911471A CN101098228A (zh) | 2006-06-30 | 2006-06-30 | 一种保障移动节点安全通信的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101098228A true CN101098228A (zh) | 2008-01-02 |
Family
ID=38894181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100911471A Pending CN101098228A (zh) | 2006-06-30 | 2006-06-30 | 一种保障移动节点安全通信的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101098228A (zh) |
| WO (1) | WO2008003208A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102172048A (zh) * | 2008-09-30 | 2011-08-31 | 维里逊专利及许可公司 | 在层级基于移动性标签网络中的切换 |
| CN104661279A (zh) * | 2011-04-13 | 2015-05-27 | 德国电信股份公司 | 用于传输mpls报头的方法、用于建立mpls路径的方法以及用于执行mpls路径切换的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100369807B1 (ko) * | 2000-08-05 | 2003-01-30 | 삼성전자 주식회사 | 이동 인터넷을 위한 패킷 전송 방법 |
| US20040095913A1 (en) * | 2002-11-20 | 2004-05-20 | Nokia, Inc. | Routing optimization proxy in IP networks |
| US7035640B2 (en) * | 2003-05-15 | 2006-04-25 | Motorola, Inc. | Method for improving the reliability of low latency handoffs |
-
2006
- 2006-06-30 CN CNA2006100911471A patent/CN101098228A/zh active Pending
-
2007
- 2007-04-09 WO PCT/CN2007/001127 patent/WO2008003208A1/zh active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102172048A (zh) * | 2008-09-30 | 2011-08-31 | 维里逊专利及许可公司 | 在层级基于移动性标签网络中的切换 |
| CN104661279A (zh) * | 2011-04-13 | 2015-05-27 | 德国电信股份公司 | 用于传输mpls报头的方法、用于建立mpls路径的方法以及用于执行mpls路径切换的方法 |
| CN104661279B (zh) * | 2011-04-13 | 2018-04-20 | 德国电信股份公司 | 用于传输mpls报头的方法、用于建立mpls路径的方法以及用于执行mpls路径切换的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008003208A1 (fr) | 2008-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101601255B (zh) | 轻型移动性体系结构 | |
| CN101785267B (zh) | 用于在移动网络中提供本地突破的方法和装置 | |
| CN101053233B (zh) | 用于控制通信网络中移动性的方法和系统,及其相关网络和计算机程序产品 | |
| CN102318381B (zh) | 移动网络中基于安全网络的路由优化的方法 | |
| CN101218814B (zh) | 用于优化移动vpn通信的方法和装置 | |
| CN101682630B (zh) | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 | |
| CN103141148B (zh) | 使用本地连接由网络发起的针对设备的告警 | |
| US7213144B2 (en) | Efficient security association establishment negotiation technique | |
| US8594073B2 (en) | Method and apparatus for roaming between communications networks | |
| US8289929B2 (en) | Method and apparatus for enabling mobility in mobile IP based wireless communication systems | |
| US9172722B2 (en) | Method for network access, related network and computer program product therefor | |
| CN100571196C (zh) | 移动IPv6报文穿越防火墙的实现方法 | |
| JP6794206B2 (ja) | 無線技術間の網間接続方法 | |
| KR101561108B1 (ko) | 소프트웨어 정의 네트워크에 기반한 프록시 모바일 IPv6환경에서의 데이터 통신 방법 및 핸드오버 방법 | |
| CN1741523B (zh) | 一种实现主机移动性和多家乡功能的密钥交换协议方法 | |
| CN101836416B (zh) | 多归属支持方法和设备 | |
| CN101005698A (zh) | 一种移动IPv6中路由优化的方法和系统 | |
| CN103051611A (zh) | 一种身份与位置分离体系下的安全移动性管理方法 | |
| CN1980231B (zh) | 一种在移动IPv6中更新防火墙的方法 | |
| CN1939029B (zh) | 用于ip移动网的路由方法、系统和对应网络 | |
| CN101098228A (zh) | 一种保障移动节点安全通信的方法 | |
| EP2210434B1 (en) | Method and apparatuses for generating an ip address for use by the mobile host in a proxy mobile ip communications network | |
| Toledo Gandarias et al. | Analytical efficiency evaluation of a network mobility management protocol for Intelligent Transportation Systems | |
| CN1949785B (zh) | 一种移动节点的服务授权方法及系统 | |
| CN101009610A (zh) | 多协议标签交换网络移动节点实现快速切换的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |