CN101383756A - 路由优化方法、系统和代理移动ip客户端 - Google Patents

Abstract

本发明涉及通信领域，尤其涉及一种代理移动IP中路由优化的方法、系统和代理移动IP客户端，用以实现PMIP6的安全路由优化。路由优化方法包括：MAG和相关节点CN通过家乡代理HA进行家乡测试，获取家乡密钥生成令牌；MAG和相关节点CN进行转交测试，获取转交密钥生成令牌；代理移动IP客户端获取绑定管理密钥Kbm，并代理需要路由优化的移动节点MN和CN进行绑定更新，Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。家乡测试和转交测试也可以代理移动IP客户端完成。

Description

路由优化方法、系统和代理移动IP客户端

技术领域

本发明涉及通信领域，尤其涉及一种代理移动IP中的路由优化方法、系统和代理移动IP客户端。

背景技术

MIP(Mobile Internet Protocol，移动互联网协议，即移动IP)是IETF(InternetEngineering Task Force，互联网工程任务组)制定的扩展IP网络移动性的系列标准，该标准是使连接到任何网络上的移动终端使用一个固定的IP地址并能够持续接收IP包的技术。目前移动IP技术有两类:CMIP(Client MIP，客户移动IP)和PMIP(Proxy MIP，代理移动IP)，CMIP是基于主机的移动IP技术，该技术需要终端参与移动IP的绑定。PMIP是基于网络的移动IP技术，该技术不需要终端参与移动IP的绑定，网络会代理终端发起移动IP的绑定。目前，MIPv6有三种移动IP模式，即CMIP6、PMIP6和简单IP6。

随着网络从IPv4到IPv6的演进，为了支持终端的移动性IPv6接入，IETF定义了移动IPv6的规范RFC3775以及相关的安全规范RFC3776。MIPv6中包含三个实体:MN(Mobile Node，移动节点)、HA(Home Agent，家乡代理)和CN(Correspondent Node，相关节点)。当MN处于家乡网络时，MN与CN之间按照传统的路由技术进行通信，不需要MIPv6的介入。当MN处于外地网络时，MN在家乡网络中拥有的HoA(Home of Address，家乡地址)不变，同时获得一个外地网络分配的临时IP地址CoA(Care of Address，转交地址)。

CoA是由终端的IID(Interface ID，接口标识)和接入路由器广播的网络前缀无状态组合产生的，并且通过一个DAD(Duplicate Address Detection，重复地址检测)过程来保证CoA在当前接入路由器范围内是唯一的。RFC2462中规定了DAD的具体流程。

对于路由器的发现，也定义了相应的消息以及流程，终端发送目标地址是所有路由器的RS(Router Service，路由器请求)消息，所有收到该消息的路由器都会做出回应，单播或者广播发送RA(Router Answer，路由器应答)消息。此外，路由器还会周期性的主动发送非请求RA消息，主机一般认为路由器发送的非请求RA消息不完整，所以即使主机在发送RS消息之前接收到非请求RA消息，仍会发送一条RS消息。

MN获得CoA后，通过BU(Binding Update，绑定更新)过程向HA进行注册，将HoA与CoA的映射关系告知HA，HA维护一个HoA和CoA的映射关系表。CN发送给MN的数据包仍然发送到MN的家乡网络，MN的HA在家乡网络截取该数据包，并且根据HoA与CoA的映射关系，将该数据包通过隧道转发到MN的CoA；MN可以直接向CN发送数据包、或者将数据包通过反向隧道发送到HA，HA将数据再路由到CN。

如果进行路由优化，则MN通过路由优化过程将HoA与CoA的映射关系告知CN，CN得知MN的CoA后，CN与MN之间就可以进行正常通信，这个通信过程也被称作路由优化后的通信过程，要求CN支持移动IPv6。为了实现安全的路由优化，RFC3775定义了CMIP6的RRP(Return RoutabilityProcedure，回程可路由)测试和BU两个过程。

CMIP6的RRP过程中，MN和CN协商在绑定更新过程中将要使用的Kbm(binding management Key，绑定管理密钥)，从而实现对MN和CN之间控制信令的保护。RRP过程由家乡测试和转交测试两个并发的过程组成。在家乡测试过程中，首先由MN发送以HoA为源地址的HoTI(Home Test Init，家乡测试初始化)消息，该消息通过反向隧道经由HA转发给CN，CN收到该HoTI消息后，根据HoA及随机数Kcn与随机数nonce进行运算，生成home keygentoken(家乡密钥生成令牌)，再根据HoT(Home Test)消息将该home keygentoken以及nonce索引号发送给MN，一个nonce索引号对应一个nonce；在转交测试过程中，首先由MN直接向CN发送以CoA为源地址的CoTI(Care-of TestInit，转交测试初始化)消息，CN将该CoTI消息中包含的CoA与随机数Kcn和随机数nonce进行运算，生成care-ofkeygen token(转交密钥生成令牌)，然后在返回给MN的CoT消息中包含该care-of keygen token以及nonce索引号。MN根据home keygen token和care-of keygen token进行SHA1散列运算，生成Kbm。当MN获得Kbm后，就可以使用Kbm对MN的绑定更新消息进行认证，相应的，CN也可以根据相同的运算方法获得Kbm，并使用Kbm对MN的绑定更新消息进行认证。

CMIP6的BU过程是MN利用RRP过程产生的Kbm，向CN注册当前的CoA。MN根据Kbm对BU消息进行认证，得到验证码1，再将包含验证码1和nonce索引号的BU消息发送给CN；CN收到BU消息后，根据nonce索引号查询对应的home keygen token和care-of keygen token，并根据home keygentoken和care-of keygen token对BU消息进行认证，得到验证码2，如果验证码1和验证码2相同，则CN判定该BU消息可信，并向MN回复BA消息指示绑定更新成功，MN收到BA消息后，MN和CN之间的路由优化完成，后续通信过程中，CN直接将数据包路由给MN所在的外地网络，不再经过MN的HA路由数据包。

现有MIP技术中只定义了CMIP6的路由优化方案，没有定义PMIP6实现路由优化的方案，对于支持PMIP6而不支持CMIP6的终端设备来说，无法在处于外地网络时实现安全路由优化。进一步由于网络及终端能力和策略的多样化，要求网络侧有能力区分不同的模式并区别处理。

发明内容

本发明实施例提供一种代理移动IP中路由优化的方法、系统和代理移动IP客户端，用以实现PMIP6的安全路由优化。

一种代理移动互联网协议IP的路由优化方法，包括:

移动节点MN的MAG和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；

所述MAG和相关节点CN进行转交测试，获取转交密钥生成令牌；

所述MN的代理移动IP客户端获取绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

一种代理移动互联网协议IP的路由优化方法，包括:

移动节点MN的代理移动IP客户端和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；

所述代理移动IP客户端和相关节点CN进行转交测试，获取转交密钥生成令牌；

所述代理移动IP客户端产生绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

一种代理MN进行路由优化的系统，包括:

移动节点MN的MAG，用于和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；以及和相关节点CN进行转交测试，获取转交密钥生成令牌；

所述MN的代理移动IP客户端，用于获取绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

一种代理移动IP客户端，包括:

用于和相关节点CN通过MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌的单元；

用于和相关节点CN进行转交测试，获取转交密钥生成令牌的单元；以及

用于产生绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新的单元，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

本发明实施例利用网络侧代理实体MAG或者代理移动IP客户端执行家乡测试和转交测试，从CN侧获取家乡密钥生成令牌和转交密钥生成令牌，然后代理移动IP客户端获取绑定管理密钥Kbm，并代理需要路由优化的移动节点MN和CN进行转交地址绑定更新，Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌，从而实现安全的路由优化。

附图说明

图1为本发明实施例中代理移动IP6中路由优化的方法示意图；

图2为现有技术中WiMAX的网络结构示意图；

图3为本发明实施例中PMIP6构架示意图；

图4a和图4b分别为本发明实施例一中基于WiMAX网络的PMIP6中路由优化方法示意图；

图5a和图5b分别为本发明实施例二中基于WiMAX网络的PMIP6中路由优化方法示意图；

图6为本发明实施例三中基于WiMAX网络的PMIP6中路由优化方法示意图。

具体实施方式

如图1所示，PMIP6中涉及的实体包括支持PMIP6模式的MN、网络代理实体、HA和CN，网络代理实体是代理MN进行路由优化的功能实体，其中包括PMIP client(PMIP客户端)和MAG(Mobile Access Gateway，移动接入网关)，其中:

PMIP client是网络侧PMIP的信令面功能实体，主要负责MN相关信令的发送，代替MN和CN执行BU过程；

MAG是MN执行MIP注册后的MIP隧道入口点，是网络侧PMIP的数据面功能实体，CN和MN之间的所有数据都要经过MAG转发，MAG通过隧道连接CN，通过空中接口连接MN，MAG可能同时代理多个MN。

在PMIP6中，当CN在外地网络注册后，外地网络为MN分配的CoA可能是为MN进行数据代理的MAG本身的地址，这时，同一MAG代理的所有MN的CoA相同。外地网络为MN分配的CoA也可能是外地网络配置给MAG的专门用于被代理的MN的CoA的地址，这个地址可以配置为多个，用于分配给不同的MN，这时，同一MAG代理的各MN的CoA不相同。对于MN的PMIP client，如果PMIPclient和MN的MAG不在一个物理实体中，MN的PMIP client发送和接收的相关消息需要MAG转发时，消息中需要携带交替转交地址(Alternate CoA)，该Alternate CoA就是MN的CoA地址。

CN和MN之间的路由优化，实际上是网络侧的MAG和CN之间的路由优化。在对MN进行路由优化前，MN和CN之间交互的数据包需要经过MN的HA路由；在路由优化过程中，CN为MN建立CoA(即MN的MAG地址)和HoA之间的映射关系；在路由优化结束后，MN和CN之间交互的数据包直接在CN和MAG之间路由，不再通过MN的HA或者本地移动代理LMA(LocalMobility Agent)转发。

在PMIP6中，路由优化的触发主体可以是MN、MAG、PMIP client或网络侧其它控制实体，其中:

由MN触发的路由优化针对MN当前通信的CN发起，如果MN当前和多个CN进行通信，则可以分别发送多个触发消息用以触发针对各CN的路由优化，也可以只发送一个触发消息同时触发各CN的路由优化；需要分别和MN通信的每一个CN执行RRP过程和BU过程；路由优化触发消息可以是MN发送的NS消息、RS消息、DHCP消息等。

其它主体触发的路由优化是根据网络策略以及负载决策触发的，每一次触发的路由优化可以针对一个CN发起，则路由优化触发消息中包含一个CN信息；对于一个MAG，路由优化也可以针对多个CN触发，则路由优化触发消息中包含一个CN信息列表。具体的路由优化过程需要针对CN信息列表中的每一个CN分别独立进行；并且根据设定的优化策略，对于任何一个CN，可以选择优化该CN上连接的全部MN或者其中部分MN进行路由优化，也可以根据路由优化消息中包括的需要优化的MN标识信息确定需要优化的MN；对于需要优化的MN，需要和连接的CN执行RRP过程，再分别执行BU过程。

进一步，通过同一个HA与同一个CN通信的所有MN，可以只执行一次RRP过程。

再进一步，在路由优化过程中，通过在路由优化过程中的相关消息中设置代理标志位，网络侧可以根据代理标志位识别具体的路由优化流程是PMIP6或CMIP6的路由优化流程，并进行区别处理，使PMIP6和CMIP6的路由优化处理相对保持独立。

本发明实施例提供的代理MIP6路由优化的方法中，BU过程由PMIP Client完成；RRP过程可以由MAG完成，也可以由PMIP client完成。

RRP过程包括家乡测试和转交测试两个并发过程，其中:

在家乡测试过程中，HoTI消息通过反向隧道发送到CN，CN通过隧道返回HoT消息，其中，HoTI消息包含MN在家乡网络中拥有的HoA，HoT消息中包含home keygen token以及该home keygen token的nonce索引号；

在转交测试过程中，CoTI消息直接路由发送到CN，CN直接返回CoT消息。CoTI消息需要包含MN的CoA，CoTI消息中携带CoA的具体方法包括将CoTI的源地址设置为外地网络分配给MN的CoA，或者在CoTI消息体中包含MN的CoA；CoT消息中包含care-of keygen token以及该care-of keygen token对应的nonce索引号。

如果RRP过程由MAG完成，则MAG可以将home keygen token、care-ofkeygen token以及nonce索引号发送给PMIP Client，PMIP Client通过运算获得绑定管理密钥Kbm；MAG也可以根据home keygen token和care-of keygen token运算出Kbm，然后将Kbm、home keygen token以及该home keygen token的nonce索引号发送给PMIP Client。

通过RRP过程，PMIP Client获得了BU过程中将要使用的Kbm，从而实现对MN和CN之间控制信令的保护。

如果本次路由优化的对象是MN，则PMIP Client和该MN当前连接的CN进行MN的CoA绑定更新过程。如果该MN同时和多个CN进行通信，则根据网络策略和每一个允许路由优化的CN分别进行RRP过程以获得对应的Kbm，然后PMIP Client需要分别和每一个CN进行路由优化的绑定更新过程。

如果本次路由优化的对象是某个CN，则PMIP Client需要为连接该CN的每一个MN分别进行CoA绑定更新过程，或者根据MN的路由优化策略为允许路由优化的各MN分别进行CoA绑定更新过程。

接下来，在针对需要路由优化的各MN的BU过程中，PMIP Client利用Kbm，与各CN之间进行CoA绑定更新过程。

在BU过程中，PMIP Client向CN发送BU消息，BU消息用于为MN注册当前的CoA，BU消息中包含根据Kbm对BU消息进行认证的验证码1和两个令牌的nonce索引号；CN根据nonce索引号查询对应的home keygen token、care-ofkeygen token，根据home keygen token和care-of keygen token计算Kbm，并根据BU消息得到验证码2，如果验证码1和验证码2相同，则CN判定该BU消息可信，根据RRP过程和绑定更新过程的关联关系建立MN的CoA和HoA之间的映射关系，并向PMIP client回复BA消息，指示绑定更新成功。

下面以WiMAX(Worldwide Interoperability for Microwave Access，全球接入微波互操作性技术)网络为例，对本发明实施例提供的PMIP6的路由优化方法进行详细说明。

如图2所示，WiMAX是一种无线宽带接入技术，主要由三个部分组成，MN、ASN(Access Service Network，接入服务网)和CSN(Connection ServiceNetwork，连接业务网)。其中:

ASN包括BS(Base Station，基站)和ASN-GW(Access Service NetworkGateWay，接入服务网络网关)；

CSN包括HA、DHCP(Dynamic Host Configuration Protocol动态主机配置协议)、AAA(Authentication，Authorization and Accounting，认证/授权/计费服务器)等逻辑实体。

若干个ASN可以属于一个NAP(Network Access Provider，网络接入提供商)，一个CSN可以属于一个NSP(Network Service Provider，网络服务提供商)。为了解决终端在WiMAX网络里的移动性，WiMAX采用了移动IP技术，可以是单独CMIP，也可以是单独PMIP，或者是CMIP和PMIP技术同时采用，因此要求网络侧能够进行PMIP的路由优化，并进一步可以区分不同移动IP模式下的路由优化过程。

如图3所示，是在WiMAX无线网络中一种PMIP6的框架。网络代理中的PMIP client和MAG在ASN内实现，PMIP client和MAG可以在同一个物理实体上，也可以在不同的物理实体上，HA处于CSN中。下面以在WiMAX无线网络中PMIP6路由优化的实现为例进行详细描述。

实施例一、

如图4a所示，为本发明实施例提供的一种实现PMIP6路由优化的方法。在本实施例中，路由优化根据MN发送的触发消息启动，MAG执行RRP过程。MN可以和一个CN通信，也可以同时和多个CN通信。当MN同时和多个CN通信时，路由优化触发消息中可以包含需要优化的CN信息，如果不含CN信息，则默认为所有与之通信的CN都需要进行路由优化。

路由优化过程包括以下步骤:

S401、MAG接收MN发送的路由优化触发消息，路由优化触发消息指示路由优化过程的开始；

S402～S403、MAG和CN之间进行RRP过程；

RRP过程包括家乡测试和转交测试两个并发过程，其中:

家乡测试过程包括:MAG把HoTI消息通过反向隧道发送到CN，CN通过隧道向网络代理返回HoT消息，HoTI消息包含MN在家乡网络中拥有的HoA，HoT消息中包含home keygen token以及nonce索引号；

转交测试过程包括:MAG把CoTI消息直接路由发送到CN，CN直接向网络代理返回CoT消息，CoTI消息包含外地网络分配给MN的CoA，CoT消息中包含care-of keygen token以及nonce索引号。

S404～S405、PMIP client得到Kbm，这个过程通过密钥传输(Kbm-TRSF，Kbm-Transfer)消息和密钥确认(Kbm-ACK)消息的交互实现，具体实现方式有两种:

一种实现方式是MAG根据home keygen token和care-of keygen token得到Kbm，再把Kbm发送给PMIP client；另一种实现方式是MAG进行数据过滤，直接将home keygen token、care-of keygen token和nonce索引号发送到PMIP client，由PMIP client根据home keygen token和care-of keygen token得到Kbm并保存nonce索引号。

S4061～S4071、PMIP client和CN进行MN的CoA绑定更新过程；

PMIP client发送BU消息到CN，BU消息的安全性由Kbm保护，CN根据Kbm验证BU消息可信后，建立CoA和HoA之间的映射关系，并向PMIP client回复BA消息，指示绑定更新成功，具体实现方式有两种:

仍参阅如图4a所示，一种方式是PMIP client把BU消息封装成信令发送到MAG，BU消息的源地址可以是MN当前的CoA地址，MAG将BU消息发送到CN，这种方式不需要在BU消息体中单独包含交替转交地址(Alternate CoA)，CN根据BU消息的源地址确定MN的CoA地址；

这种方式中，RRP过程和绑定更新过程同样通过CoA地址实现关联，CoTI消息和BU消息的源地址都是MN的CoA地址，CN根据该CoA地址确定关联的RRP过程和绑定更新过程，从而建立CoA和HoA之间的映射关系。

BU过程的另一种方式如图4b所示，包括S4062～S4072，PMIP Client直接将包含了Alternate CoA的BU消息发送到CN。这种实现方式中，如果MAG和PMIP Client同处于一个物理实体(即地址一致)，则BU消息可以不包含AlternateCoA(即和PMIP Client处于同一物理实体中的MAG地址)，BU消息的源地址为CoA地址，CN根据BU消息的源地址确定MN的CoA地址。

这种方式中，RRP过程和绑定更新过程同样通过CoA地址实现关联，CoTI消息和BU消息都包含有MN的CoA地址，即MAG的交替转交地址，CN根据该CoA地址确定关联的RRP过程和绑定更新过程，从而建立CoA和HoA之间的映射关系。此外，图4b中RRP过程和图4a所示的相应过程相同，不再赘述。

本实施例中，如果MN当前连接两个或两个以上的CN，可以在触发消息中包含连接的所有CN信息，RRP过程和绑定更新过程针对每一个CN分别进行；如果路由优化的对象是多个CN，RRP过程和绑定更新过程需要针对和各CN通信的每一个MN分别进行。在路由优化触发消息中可以包含允许路由优化的MN信息，缺省设置或特定标识可以表示需要将和CN通信的所有MN全部进行路由优化。

实施例二

本实施例与实施例一的路由优化触发以及CoA绑定更新过程都是一致的，不同之处仅在于RRP过程由PMIP client执行。其中，转交测试过程有两种实现方式:

转交测试过程的第一种实现方式包括步骤:PMIP client把CoTI消息封装在ASN内部的信令中并且发送到MAG，MAG把CoTI消息直接路由发送到CN，CN向MAG直接返回CoT消息，MAG进行数据过滤，把得到的CoT消息封装在信令中发送给PMIP client；

转交测试过程的第二种实现方式包括步骤:PMIP client直接路由发送包含了Alternate CoA的CoTI消息，CoTI消息中可以设置代理标志位或包含AlternateCoA，如果PMIP client和MAG同处于一个物理实体，则CoTI消息的源地址为MAG的地址；如果PMIP client和MAG处于不同物理实体，则CoTI消息的源地址为PMIP client所在物理实体的地址；CN收到CoTI消息以后，可以根据代理标志位或者Alternate CoA来判断本次路由优化是否为PMIP模式的路由优化，CN返回CoT消息时以CoTI的源地址为目的地址。其中，当CoT消息源地址为MAG的地址时，MAG将接收到的CoT消息封装为信令，并将封装后的信令发送给PMIP client；当CoT消息源地址为PMIP client所在物理实体的地址时，因为PMIPclient可能同时为不同MAG进行路由优化，因此，和CoTI消息相似，CoT消息也包含MAG的地址(Alternate CoA)，PMIP client使用CoT消息中MAG的地址(Alternate CoA)区分不同MAG。

CN侧还需要记录Alternate CoA和CoTI源地址的对应关系，CN收到BU消息时，检查本地是否已经保存了BU消息源地址和BU消息中的Alternate CoA的对应关系，如果是已经保存了BU消息源地址和BU消息中的Alternate CoA的对应关系则表明之前的回程可路由已经执行，如果没有保存BU消息源地址和BU消息中的Alternate CoA的对应关系则拒绝BU消息。

如图5a所示，采用转交测试过程的第一种实现方式时，包括以下步骤:

S501、PMIP client接收路由优化触发消息；

S502～S503、PMIP client与CN进行RRP过程；

RRP过程包括家乡测试过程和转交测试两个并发过程，PMIP client获得CN回复的HoT消息和CoT消息，具体的:

家乡测试过程包括步骤:PMIP client把HoTI消息封装成信令发送到MAG，MAG把HoTI消息通过反向隧道发送给CN，CN向MAG通过隧道返回HoT消息，MAG进行数据过滤，把得到的HoT消息封装在信令中发送给PMIP client；

转交测试过程的第一种实现方式包括步骤:PMIP client把CoTI消息封装成信令发送到MAG，MAG把CoTI消息路由发送到CN，CN向MAG返回CoT消息，MAG进行数据过滤，将得到的CoT消息封装在信令中发送给PMIP client；

RRP过程中，如果MAG和PMIP client处于一个网络实体，则二者之间直接通过内部原语交互相关消息，不需要封装为信令。

S504、PMIP client获得Kbm；

PMIP client根据home keygen token和care-ofkeygen token获得Kbm。

S5051～S5061、PMIP client和CN之间进行CoA的绑定更新过程。

PMIP client发送包含了Alternate CoA的BU消息到CN，BU消息的安全性由Kbm保护，CN根据Kbm验证BU消息安全后向PMIP client回复BA消息，指示绑定更新成功。

当然，PMIP client和CN之间进行CoA的绑定更新过程也可以采用图4b所示的方式完成，这里不再赘述。

如图5b所示，采用转交测试过程的第二种实现方式时，具体体现在步骤S5052～S5062中:PMIP client直接路由发送包含了Alternate CoA的CoTI消息，CoTI消息中同时可以显式地设置代理标志位，这样，CN收到CoTI消息以后，可以根据代理标志位或者是否存在Alternate CoA来判断本次路由优化为PMIP模式的路由优化，CN返回CoT消息时以Alternate CoA或者CoTI的源地址为目的地址。

其中:如果PMIP client和MAG处于不同网络实体，则CoTI消息的源地址为PMIP client的地址，因为PMIP client可能同时为不同MAG进行路由优化，因此CoT消息也还需要包含Alternate CoA，用于区分不同的MAG，CN需要记录Alternate CoA和CoTI源地址的对应关系，以区别各PMIP client的每一次路由优化时具体使用的MAG。

如果PMIP client和MAG处于同一网络实体，将Alternate CoA作为CoTI源地址，可以不在CoTI消息中单独包含Alternate CoA。

如果转交测试过程中CN返回CoT消息时以CoTI的源地址为目的地址，则CN中记录了Alternate CoA和CoTI源地址的对应关系，当CN收到BU消息的时候，检查BU消息的源地址是否和BU消息中的Alternate CoA符合已经记录在本地的对应关系，如果是则继续验证BU消息的安全性，如果BU消息中的AlternateCoA不符合已经记录在本地的对应关系，则直接拒绝该BU消息。

当然，PMIP client和CN之间进行CoA的BU过程也可以采用图4b所示的方式完成，这里不再赘述。

本实施例中，如果MN当前连接两个或两个以上的CN，可以在触发消息中包含连接的所有CN信息，RRP过程和绑定更新过程针对每一个CN分别进行；如果路由优化由其它网络实体针对一个或多个CN触发的，RRP过程和绑定更新过程需要针对各CN上的连接的每一个MN分别进行。

实施例三

本实施例中，对实施例一和实施例二中的回程可路由过程进行优化，以简化回程可路由过程。具体优化可以包括以下两种处理，这两种优化处理在实际应用中可以同时应用，也可以只应用其中的一种优化处理。

一、家乡测试过程的优化处理

对实施例一和实施例二中的家乡测试过程进行优化，对于由同一个MAG代理数据、通过同一个HA和同一个CN通信的MN，可以只执行一次家乡测试过程，也就是说，每一个家乡测试过程是对同一个MAG代理数据、归属相同HA以及和相同CN通信的所有MN发起的，同一个MAG代理数据、归属相同HA以及和相同CN通信的所有MN可以复用一个home keygen token，这时，为保证home keygen token对各MN的通用性，CN计算Home keygen token时不将HoA作为计算的参数值，或者以全0/1代替HoA参与计算，而在后续针对某个MN执行BU的过程中，再将该MN的HoA作为参数值参与计算相应Kbm。

因此，对于优化的家乡测试过程，CN侧需要对于每一个进行家乡测试的MAG，维护HA、home keygen token和该home keygen token的nonce索引号之间的对应关系表，由于CN每一次都可以根据home keygen token的nonce索引号再次计算出home keygen token，所以该对应关系表中可以不设置home keygentoken项。

如果RRP过程由MAG执行，则对于优化的家乡测试过程，MAG侧也需要对于每一个HA，维护CN、home keygen token和该home keygen token的nonce索引号之间的对应关系表。

PMIP client执行RRP过程的优化处理完全相同，对应关系表用于后续BU过程查询所需的home keygen token，对于优化后的家乡测试过程，nonce索引号可以是对应HA的标识信息HA-ID，或者是MAG-ID和HA-ID的结合。

由于一个MAG可能为多个MN的数据代理点，在执行RRP过程的MAG或PMIP client上还需要针对不同的HA维护CN的路由优化状态表，即某个CN已经经过某HA完成了家乡测试。

这样，MAG或PMIP client在发起家乡测试过程之前，先查询CN的路由优化状态表确认是否已经完成了对于该CN的家乡测试过程，如果是则在后续需要进行的BU过程中，根据CN、home keygen token和该home keygen token的nonce索引号之间的对应关系表获得相关信息。

对于优化后的家乡测试过程，HoTI设置代理标志位，CN根据代理标志位和包含的信息建立对应关系表。

进一步，在BU过程中的相关消息中包含代理标志位，表明本次路由优化过程是PMIP模式的路由优化，CN根据该代理标志位，对于归属同一HA、并和相同CN进行通信的所有MN，查找出在RRP过程记录在对应关系表中的同一组home keygen token、care-ofkeygen token，并利用该组home keygen token、care-ofkeygen token以及该MN的HoA作为计算Kbm的参数，并根据计算的Kbm对BU消息进行安全性认证。

如果家乡测试和转交测试进一步被优化后，则家乡测试、转交测试以及BU过程中的每一个消息中包含MAG标识信息MAG-ID，家乡测试和BU过程中的每一个消息中包含HA标识信息HA-ID。在RRP过程中，CN产生Token以及随机数，并在计算Kbm的同时和HA-ID以及MAG-ID进行关联，然后在绑定过程中根据BU消息中的MAG-ID和HA-ID信息查询出所需的home keygen token，或者查询出该home keygen token对应的nonce索引号，再根据查询结果计算Kbm后对BU消息进行验证。

二、转交测试的优化处理

对于同一组CN和MAG，转交测试过程也可以只执行一次，也就是说，每一个转交测试过程是对同一组CN和MAG发起的，在同一组CN和MAG之间进行路由优化的所有MN可以复用一个care-of keygen token，并不限于MN归属同一个HA。这时，为保证care-of keygen token对各MN的通用性，CN计算care-ofkeygen token时，可以不将CoA作为计算参数，或者全0/1代替CoA作为一个参数值参与计算。在后续针对某个MN执行BU过程中，再将该MN的CoA作为参数值参与计算相应Kbm。

因此对于优化的转交测试过程，CN需要维护包含MAG和care-of keygentoken、以及该相关care-of keygen token的nonce索引号之间的对应关系表，由于CN可以根据care-of keygen token的nonce索引号再次计算出care-of keygentoken，该对应关系表中可以没有care-of keygen token项。

除此之外，由于一个MAG可能为多个MN的数据代理点，执行RRP过程的MAG或PMIP client还需要在CN的路由优化状态表中，记录某个CN是否已经完成了转交测试。

这样，MAG或PMIP client在发起转交测试过程之前，先查询CN的路由优化状态表确认是否已经完成了对于该CN的转交测试过程，如果是则在后续需要进行的BU过程中，根据CN、care-of keygen token和该care-of keygen token的nonce索引号之间的对应关系表获得相关信息。

对于优化后的转交测试过程，设置代理标志位，CN根据代理标志位建立对应关系表。

对于优化后的转交测试过程，家乡测试、转交测试以及BU过程中的每一个消息中包含MAG标识信息，CN根据BU请求消息中的MAG-ID查询出计算Kbm所需的care-of keygen token或者该care-of keygen token的nonce索引号。转交测试的优化处理方法中，nonce索引号可以是MAG-ID本身。

进一步，在BU过程中的相关消息中包含代理标志位，表明本次路由优化过程是PMIP6模式的路由优化，CN根据该代理标志位，对于同一组MAG和CN，查找出在RRP过程记录在对应关系表中的同一组care-of keygen token或care-ofkeygen token的索引号，作为计算Kbm的参数，并根据计算的Kbm对BU消息进行安全性认证。

为了和RFC3775定义的CMIP相互独立并且兼容，更进一步优化方案是，在PMIP6模式的路由优化过程中的每一个相关消息，即:HoTI、HoT、CoTI、CoT和BU消息中全部包含代理标志位，CN侧根据代理标志位区别现有的CMIP模式的路由优化，实现PMIP模式和CMIP模式路由优化的区别处理。

进一步的优化包括:在执行RRP过程的MAG或PMIP client上维护MN以及CN的路由优化策略表，该路由优化策略表用于确定具体的MN或者CN是否允许进行路由优化、以及是否要求进行路由优化。各MN的路由优化策略是MAG或PMIP client从其它路由优化策略网络实体上获取的。

下面以MAG执行RRP过程为例，该实施例中，家乡测试采用优化处理方式，路由优化由MN发送的触发消息触发，MN当前和一个CN保持通信，路由优化触发消息中包含MN标识信息和CN信息。优化后的代理移动IP路由优化过程如图6所示，包括以下步骤:

S601、接收MN发出的路由优化触发消息，该触发消息中包含和MN进行通信的CN标识列表；

S602～S603、MAG根据CN以及MN的路由优化策略表，确定CN标识列表中允许进行路由优化的CN，并与各允许进行路由优化的CN分别进行RRP过程；

各CN的家乡测试过程中对相同的HA只进行一次，同时HoTI消息中需要包含HA标识(HA-ID)信息，并设置代理标志位；

MAG建立HA、CN、home keygen token、care-of keygen token和nonce索引号之间的对应关系表。CN根据HoTI消息中的代理标志位确定本次RRP过程是PMIP模式的路由优化，因此相应建立MAG、HA、home keygen token、care-ofkeygen token和nonce索引号的对应关系表(或者该对应关系表中没有homekeygen token项)，并在计算home keygen token时，HoA的参数值需要用全0/1代替、或者不将HoA作为计算的参数值。

其中，HA-ID可以是HA的IP地址，也可以是和CN协商的结果，保证在某个特定CN内唯一。

S604、MAG为每一个需要优化的CN分别生成Kbm，并将每一个Kbm以及对应的CN的地址给PMIP client；

其中一个CN对应的Kbm的计算参数包括:MN的HoA、该CN对应的homekeygen token、care-of keygen token。

PMIP client获得Kbm后，和CN之间执行绑定更新过程。

S605～S606、对于各CN，PMIP client发送包含HA-ID、MAG-ID和HoA的BU消息到CN，其中:MAG-ID用于区分不同的MAG、HA-ID用于区分不同的HA、HoA用于区分不同的MN。

每一个BU消息的安全性由Kbm保护，CN在认证BU消息安全后，将BA消息反馈给PMIP client，指示绑定更新成功；

S607～S608、同一个MAG代理数据的归属同一HA并与相同CN通信的MN，在已经有允许使用路由优化的MN发起RRP过程之后，无需重复执行RRP过程，后续使用归属于同一个HA和CN对应的home keygen token进行绑定更新过程。

对于归属同一HA、并和相同CN进行通信的所有MN，CN可以根据MAG-ID、HA-ID在RRP过程记录的对应关系表中查找home keygen token，并和HoA一起生成Kbm，然后对BU消息进行安全性认证。

对于CN，还需要把RRP过程中的消息和BU消息绑定起来，即Kbm和BU的绑定关系，这个关系可以通过HoTI消息、HoT消息、CoTI消息、CoT消息和BU消息中包含HA-ID和MAG-ID，MAG-ID用于区别不同MAG发起的路由优化。参阅图6所示，是在BU消息中包含MAG-ID的情况。MAG-ID可以是MAG的IP地址，也可以是和CN协商的结果，保证在CN内唯一，如果MAG地址就是源地址，那么可以不用另外包含MAG-ID。

当CN收到一个BU消息以后，首先判断BU消息中的nonce索引是否是为这个HA和MAG分配的，如果是再进行RFC3775标准规定的后续流程，否则拒绝收到的BU消息。

以上实施例中如果MAG和PMIP client处于同一物理实体中，则之间的交互为内部原语交互，如果处于不同物理实体中，使用信令交互。

PMIP client执行RRP过程的路由优化流程基本相同，这里不再重复描述。

本发明实施例还提供一种代理MN进行路由优化的系统，包括:

MAG，用于和相关节点CN之间对家乡代理HA进行家乡测试，获取家乡密钥生成令牌；以及和相关节点CN之间进行转交测试，获取转交密钥生成令牌；

PMIP client，用于获取绑定管理密钥Kbm，并代理需要路由优化的移动节点MN和CN进行转交地址绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

其中，MAG和PMIP client可以设置在同一网络实体上，也可以设置在不同的网络实体上。

本发明实施例还提供一种代理MN进行路由优化的PMIP client装置，该PMIP client装置中包括:

用于和相关节点CN之间对家乡代理HA进行家乡测试，获取家乡密钥生成令牌的单元；

用于和相关节点CN之间进行转交测试，获取转交密钥生成令牌的单元；以及

用于获取绑定管理密钥Kbm，并代理需要路由优化的移动节点MN和CN进行转交地址绑定更新的单元，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

可见，本发明实施例提供的技术方案利用网络侧的相关代理实体实现了PMIP6的安全路由优化；进一步的，可以简化回程可路由中的家乡测试和/或转交测试；更进一步的，利用在优化过程中的相关消息中设置代理标志位使PMIP6的路由优化和现有的CMIP6的路由优化保持相对独立，网络侧可以根据终端支持的优化模式灵活进行处理。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (35)

1、一种代理移动互联网协议IP的路由优化方法，其特征在于，包括:

移动节点MN的移动接入网关MAG和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；

所述MAG和相关节点CN进行转交测试，获取转交密钥生成令牌；

所述MN的代理移动IP客户端获取绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

2、如权利要求1所述的方法，其特征在于，所述的家乡测试包括:

所述MAG通过所述MN的HA向CN发送家乡测试初始化HoTI消息，所述HoTI消息中包含MN的家乡地址HoA；

所述CN通过所述HA向MAG返回家乡测试响应消息HoT，所述HoT中包括家乡密钥生成令牌。

3、如权利要求1所述的方法，其特征在于，所述的转交测试包括:

所述MAG向CN发送转交测试初始化CoTI消息；

所述CN向MAG返回转交测试响应消息CoT，所述CoT中包括转交密钥生成令牌。

4、如权利要求1至3中任意一项所述的方法，其特征在于:

所述绑定更新过程包括:

所述代理移动IP客户端通过MAG向CN发送绑定更新BU消息，所述BU消息包含MN的CoA，以及根据Kbm生成的验证信息；

所述CN生成所述Kbm，根据Kbm认证所述BU消息中的验证信息；

所述CN在BU消息通过认证后绑定更新所述MN的CoA，并通过MAG向代理移动IP客户端返回绑定更新成功响应；

或者，所述绑定更新过程包括:

所述代理移动IP客户端直接向CN发送绑定更新BU消息，所述BU消息包含所述MN的CoA，以及根据Kbm生成的验证信息；

所述CN生成所述Kbm，根据Kbm认证所述BU消息中的验证信息；

所述CN在BU消息通过认证后绑定更新所述MN的CoA，并向代理移动IP客户端返回绑定更新成功响应。

5、如权利要求1所述的方法，其特征在于，所述代理移动IP客户端获取所述Kbm包括:

所述MAG将家乡密钥生成令牌和转交密钥令牌发送给代理移动IP客户端，代理移动IP客户端生成所述Kbm；或者

所述MAG生成所述Kbm，并将该Kbm发送给代理移动IP客户端。

6、如权利要求1所述的方法，其特征在于，所述的家乡测试和转交测试是对每一个MN分别进行的，其中:

所述家乡密钥生成令牌的计算参数中包括进行家乡测试和转交测试的MN的家乡地址HoA；

所述转交密钥生成令牌的计算参数中包括进行家乡测试和转交测试的MN的转交地址CoA。

7、如权利要求2所述的方法，其特征在于，对由同一MAG代理数据、归属同一个HA并和相同CN通信的所有MN，只发起一次所述家乡测试，所述家乡密钥生成令牌的计算参数中不包括HoA；以及

所述代理移动IP客户端和CN根据所述家乡密钥生成令牌对由同一MAG代理数据、归属同一个HA的各MN分别进行绑定更新，其中，每一次进行绑定更新时的Kbm的计算参数中还包括进行绑定更新的各MN的HoA。

8、如权利要求7所述的方法，其特征在于，所述HoTI消息中包含代理标志位，所示代理标志位用于标识路由优化为基于代理移动IP模式的路由优化。

9、如权利要求3所述的方法，其特征在于，对由同一MAG代理数据并和同一个CN通信的所有MN，只发起一次所述转交测试，所述转交密钥生成令牌的计算参数中不包括CoA；

所述代理移动IP客户端和CN根据获取的转交密钥生成令牌，对由同一MAG代理数据的各MN分别进行绑定更新，其中，每一次进行绑定更新时的Kbm的计算参数中还包括进行绑定更新的各MN的CoA。

10、如权利要求9所述的方法，其特征在于，所述CoTI消息中包含代理标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优化。

11、如权利要求8或10所述的方法，其特征在于:

所述BU消息中还包含代理标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优化；和/或

所述家乡测试、转交测试以及BU过程中的每一个消息中包含绑定更新的MN的MAG标识信息；和/或

所述家乡测试和BU过程中的每一个消息中包含进行绑定更新的MN的HA标识信息。

12、如权利要求11所述的方法，其特征在于，所述家乡测试、转交测试以及BU过程中的其它所有消息中包含所述代理标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优化。

13、如权利要求1、6、7或9所述的方法，其特征在于:

所述MAG根据MN或其它路由优化策略网络实体发送的路由优化触发消息，对连接的CN发起家乡测试和转交测试；或者

所述MAG根据获取的CN路由优化策略对连接的CN发起家乡测试和转交测试。

14、如权利要求13所述的方法，其特征在于，所述MN发送的路由优化触发消息包括RS消息、NS消息或DHCP消息。

15、如权利要求14所述的方法，其特征在于，所述其它路由优化策略网络实体发送的路由优化触发消息中至少包含一个MN的标识信息，所述MAG根据该MN的标识信息确定进行路由优化的MN。

16、如权利要求1所述的方法，其特征在于:

所述的MN包括和所述CN进行通信的每一个MN；或者

所述的MN由MAG根据与CN进行通信的各MN的路由优化策略确定。

17、一种代理移动互联网协议IP的路由优化方法，其特征在于，包括:

移动节点MN的代理移动IP客户端和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；

所述代理移动IP客户端和相关节点CN进行转交测试，获取转交密钥生成令牌；

所述代理移动IP客户端产生绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

18、如权利要求17所述的方法，其特征在于，所述的家乡测试包括:

所述代理移动IP客户端通过所述MN的HA向CN发送家乡测试初始化HoTI消息，所述HoTI消息包含所述MN的HoA；

所述CN通过所述MN的HA向所述代理移动IP客户端返回家乡测试响应消息HoT，所述HoT中包括家乡密钥生成令牌。

19、如权利要求17所述的方法，其特征在于:

所述的转交测试包括:

所述代理移动IP客户端通过MAG向CN发送转交测试初始化CoTI消息，所述CoTI包含所述MN的CoA；

所述CN通过MAG向代理移动IP客户端返回转交测试响应CoT消息，所述CoT中包括转交密钥生成令牌；

或者，所述的转交测试包括:

所述代理移动IP客户端向CN发送转交测试初始化CoTI消息，所述CoTI消息中包含所述MN的CoA；

所述CN向代理移动IP客户端返回转交测试响应CoT消息，所述CoT中包括转交密钥生成令牌。

20、如权利要求17至20中任意一项所述的方法，其特征在于，所述的绑定更新包括:

所述代理移动IP客户端向CN发送绑定更新BU消息，所述BU消息包含根据Kbm生成的验证信息；

所述CN生成所述Kbm，根据Kbm认证所述BU消息中的验证信息；

所述CN在BU消息通过认证后绑定更新MN的CoA，并向代理移动IP客户端返回绑定更新响应。

21、如权利要求17所述的方法，其特征在于，所述的家乡测试和转交测试是对每一个MN分别进行的，其中:

所述家乡密钥生成令牌的计算参数中包括所述MN的家乡地址HoA；

所述转交密钥生成令牌的计算参数中包括所述MN的转交地址CoA。

22、如权利要求18所述的方法，其特征在于，对由同一MAG代理数据、归属同一个HA并和相同CN通信的所有MN，只发起一次所述家乡测试，所述家乡密钥生成令牌的计算参数中不包括HoA；以及

所述代理移动IP客户端和CN根据所述家乡密钥生成令牌对由同一MAG代理数据、归属同一个HA的各MN进行绑定更新，其中，每一次进行绑定更新时的Kbm的计算参数中还包括进行绑定更新的MN的HoA。

23、如权利要求22所述的方法，其特征在于，所述HoTI消息中包含代理标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优化。

24、如权利要求19所述的方法，其特征在于，对由同一MAG代理数据并和同一个CN通信的所有MN，只发起一次所述转交测试，所述转交密钥生成令牌的计算参数中不包括CoA；

所述代理移动IP客户端和CN之间根据获取的转交密钥生成令牌，对由同一MAG代理数据的各MN分别进行绑定更新，其中，每一次进行绑定更新时的Kbm的计算参数中还包括进行绑定更新的MN的CoA。

25、如权利要求24所述的方法，其特征在于，所述CoTI消息中包含代理标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优化。

26、如权利要求23或25所述的方法，其特征在于，所述BU消息中包含代理标志位，所述代理标志位用于标识路由优化为基于代理移动IP模式的路由优化。

27、如权利要求26所述的方法，其特征在于，所述家乡测试、转交测试以及BU过程中的其它所有消息中包含所述代理标志位。

28、如权利要求22或24所述的方法，其特征在于:

所述家乡测试、转交测试以及BU过程中的每一个消息中包含所述MN的MAG标识信息；和/或

所述家乡测试和BU过程中的每一个消息中包含所述MN的HA标识信息。

29、如权利要求17、21、22或24所述的方法，其特征在于:

所述代理移动IP客户端根据MN或其它路由优化策略网络实体发送的路由优化触发消息对连接的CN发起家乡测试和转交测试；或者

所述代理移动IP客户端根据获取的CN路由优化策略对连接的CN发起家乡测试和转交测试。

30、如权利要求29所述的方法，其特征在于，所述MN发送的路由优化触发消息包括RS消息、NS消息或DHCP消息。

31、如权利要求30所述的方法，其特征在于，所述路由优化触发消息中至少包含一个和MN进行通信的CN的标识信息，所述MAG根据所述CN的标识信息确定进行路由优化的CN。

32、如权利要求31所述的方法，其特征在于，所述代理移动IP客户端收到所述MN的路由优化触发消息后，结合该MN的路由优化策略确定是否触发路由优化。

33、一种代理MN进行路由优化的系统，其特征在于，包括:

移动节点MN的MAG，用于和相关节点CN通过所述MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌；以及和相关节点CN进行转交测试，获取转交密钥生成令牌；

所述MN的代理移动IP客户端，用于获取绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

34、如权利要求33所述的系统，其特征在于，所述MAG和代理移动IP客户端设置在同一网络实体或不同网络实体上。

35、一种代理移动IP客户端，其特征在于，包括:

用于和相关节点CN通过MN的家乡代理HA进行家乡测试，获取家乡密钥生成令牌的单元；

用于和相关节点CN进行转交测试，获取转交密钥生成令牌的单元；以及

用于产生绑定管理密钥Kbm，并代理所述MN和CN进行绑定更新的单元，所述Kbm的计算参数中包括所述家乡密钥生成令牌和转交密钥生成令牌。

Images