CN101478750B - 基于IPSec的快速切换与认证融合方法 - Google Patents

Abstract

本发明属于网络安全领域，涉及到移动IPv6网络中移动节点和通信对端在通信过程中发生链路切换时的一种解决通信和注册安全的认证方法，尤其是基于IPSec的快速切换与认证的融合方法，其特征是：移动节点与通信对端采用基于家乡地址IPSec协议和快速层次移动IPv6协议进行通信；移动节点采用固定的家乡地址；网络节点针对家乡地址进行证书授权；移动节点在向移动锚点接入注册时，与MAP建立IPSec连接；在相邻MAP之间构建IPSec连接；移动节点在发生链路切换时包括域内切换和域间切换。该方法提高了安全性，从而减少了切换延时，具有较高的效率，很好地实现了将快速切换与认证的融合。

Description

基于IPSec的快速切换与认证融合方法

技术领域

本发明属于网络安全领域，涉及到移动IPv6网络中移动节点和通信对端在通信过程中发生链路切换时的一种解决通信和注册安全的认证方法，尤其是基于IPSec的快速切换与认证的融合方法。

技术背景

在移动IP技术当中，基于IPv6协议组网在支持移动性，解决安全性问题，实现高服务质量，以及提供足够的地址空间等方面有着IPv4协议无法比拟的优势。互联网工程工作组IETF在IPv6的基础上于2004年6月正式提出移动IPv6协议，RFC3775。该协议在支持移动性，解决安全性问题，实现高服务质量，以及提供足够的地址空间等方面有着比IPv4协议更大的优势。但由于Internet本身的安全机制较为脆弱，再加上无线网络传输媒体的开放性、移动终端的大范围移动性、拓扑结构的动态性和移动设备存储资源和计算资源的有限性，使得移动IP网络比有线网络更容易受到安全威胁；同时由于移动设备在存储能力、计算能力和电源供电时间方面的局限性，也使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境。这种在移动设备和传输媒介方面的特殊性，使得一些攻击更容易实施，对移动网络的安全保护既表现为系统安全防护的困难性，也表现为网络通信安全实现的困难性。

但在移动IPv6网络中，普遍存在移动节点的切换和漫游问题，如果一个移动节点MN在本地网络与通信对端节点CN通信时，由于MN的移动性要进行网络切换，即从本地网络切换到邻接的异地网络，为了提高网络效率，必须进行路由优化。这时移动节点必须完成如下几个动作才能维持正在进行的通信的连续性：

1)从邻接的网络获得新的转交地址并与新接入网络的代理进行注册和双向认证，以获得使用异地网络的权限；

2)在切换完成之前，本地代理要能够缓存CN发来的数据包，以防止由于链路切换而导致的丢包；

3)移动节点与邻接网络注册后，要向其家乡网络中的代理和通信对端进行绑定更新。并且本地代理将缓存数据包通过新网络代理转发给移动节点。

之后，通信对端与移动节点将基于新的转交地址进行通信。

针对以上问题，人们提出了快速切换、层次移动IPv6等技术来提高这一过程的效率，但不能解决这一过程中的相关安全性问题。

目前，还没有公认的适合现有移动IPv6网络的保密和鉴别体系，这是因为目前的移动网络安全保密标准主要是针对无线局域网的IEEE802.11i和我国的WAPI标准，这种针对链路层和端口设计的协议不适合大规模分布式的移动IPv6网络。

就IPv6网络而言，IPSec协议是非常优秀的，在IPv6协议中强制实施，能提供非常好的安全性和可操作性。它是指IETF以RFC形式公布的一组标准安全IP协议集，提供IP包级安全，其基本目的就是把密码学的安全机制引入IP协议，通过使用现代密码学方法为IPv4和IPv6提供可互操作、高质量、基于密码学的安全，并能够使用户能有选择地使用，得到所期望的安全服务。IPSec将几种安全技术结合形成一个完整的安全体系，最终能提供端到端的安全保护，其安全体系结构如图1所示，包括四个基本模块：

①业务流安全协议模块：包括ESP协议和AH协议，用于保护IP数据报的机密性、完整性、认证性。该模块依据已创建的安全关联，选择适合的协议和算法对数据报进行保护。

②安全关联与安全策略管理模块：对安全关联和安全策略进行管理，包括安全策略数据库SPD、安全关联数据库SAD和授权对端数据库PAD。用于阐明IPSec功能是什么、怎样工作、如何管理及其相关的处理过程。

③密钥交换模块：自动的或手动的密钥交换。用于实现认证、创建通信实体之间的安全关联SA。

④认证与加密模块：用于提供业务流安全协议和密钥交换IKE所使用的各种加密和认证算法。

通过IP安全协议和密钥管理协议的结合构建起IP层安全体系结构的框架，能保护所有基于IP的服务或应用，及其上层协议的安全。IPSec的引入为网络安全所要求的机密性、完整性、认证性、可用性和不可否认性等重要属性的实现提供了适合的服务机制。在IPv6数据报中，AH及ESP均为扩展报头，既可同时使用，也可单独使用，它们共同作用，以提供访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性等安全服务。

早期的IPSec由RFC2401等一系列文档组成的协议簇构成，随着研究的深入和应用的需求，人们针对IPSec的复杂性问题，做了进一步修改，并由RFC4301等一系列的RFCs文档重新定义了IPSec，其中最为典型的改进是将密钥交换协议IKE升级到了IKEv2版本。IKEv2协议用于根据安全策略在通信的发起方和响应方之间创建用于保护数据报的安全关联IPSec/SA。

IKEv2协议的四条消息如下：

①发起方I向响应方R发送IKE/SA初始消息{Ni，SAi1，KEi}；

②响应方R向发起方I发送IKE/SA响应消息{[CERTREQ]，Nr，SAr1，KEr}；

③发起方I向响应方R发送IKE/AUTH初始消息{IDi，[CERT]，[CERTREQ]，AUTH，SAi2}；

④响应方R向发起方I发送IKE/AUTH响应消息{IDr，[CERT]，AUTH，SAr2}。

在以上四条消息中，每一条消息都有一个消息头HDR，该消息头包括安全参数索引SPI、IKE协议的版本号、其它各种标志。在后两条消息中包括发起者和响应者的选择符TSi和TSr。它们不是影响密钥交换的主要载荷，因此为简便起见在消息描述中省略了这些消息成份。在以上四条消息中，SAi1为可供选择的IKE/SA算法提议，SAr1为响应方选择的IKE/SA算法，SAi2为可供选择的IPSec/SA算法提议，SAr2为响应方选择的IPSec/SA算法，KEi为发起方的Diffie-Hellman密钥交换参数，KEr为响应方的Diffie-Hellman密钥交换参数。

IKEv2协议的前两条消息通过DH密钥交换创建IKE/SA，用于保护后两条消息。后两条消息用于创建保护数据报的IPSec/SA。然而就移动IPv6网络而言，IPSec及其密钥交换模块子协议IKEv2仍然存在以下不足：

1.IPSec仅限于固定网络的使用，在移动IP环境中很难应用，移动IPv6仅在移动节点MN和家乡代理HA之间使用IPSec来保护信令；

2.IPSec不能提供对移动IPv6网络中MN切换过程进行认证的功能；

3.IKEv2协议的前两条消息未受到保护，容易受中间人攻击；

因此，为了使用具有高安全性的IPSec协议保护移动IPv6网络中移动节点切换过程中的认证问题，必须针对安全、性能和可行性等方面的需求设计新的方法。

发明内容

本发明的目的是提供一种基于IPSec的快速切换与认证融合方法，用于解决移动IPv6网络中移动节点和通信对端在通信过程中发生链路切换时的一种解决通信和注册安全的认证方法。

本发明的目的是这样实现的，基于IPSec的快速切换与认证融合方法，其方法特征是：移动节点与通信对端采用基于家乡地址IPSec协议和快速层次移动IPv6协议进行通信；移动节点采用固定的家乡地址；网络节点针对家乡地址进行证书授权；移动节点在向移动锚点接入注册时，与MAP建立IPSec连接；在相邻MAP之间构建IPSec连接；移动节点在发生链路切换时包括域内切换和域间切换。

所述的域内切换包括：

1)当移动节点检测到要切换时，向MAP发送路由请求消息，该消息包括临近的新接入路由器链路层地址；

2)MAP回应通告消息，该消息包括能够生成MN新的链路转交地址的NAR前缀信息；

3)移动节点生成新的链路转交地址，利用移动节点与MAP之间的IPSec发送快速绑定更新FBU到MAP，将原链路转交地址与新接入路由器的IP地址绑定；

4)MAP收到快速绑定更新FBU后发送切换初始化消息HI到建立双向隧道，新接入路由器收到消息后为移动节点建立一个主机路由条目，并返回切换初始化确认消息给MAP，MAP绑定确认消息给移动节点断开链路，然后通过隧道向新的链路转交地址转发数据包；

5)移动节点移动至新接入路由器下收到路由通告，发送FNA消息到新接入路由器告知自己已到新接入路由器下，新接入路由器将MAP转发来的数据包发送至移动节点；

6)移动节点发送本地绑定更新到MAP，告知新的链路转交地址，该消息使用移动节点与MAP之间的安全关联保护；

7)MAP返回绑定确认消息。

所述的域间切换包括：

1)当移动节点检测到要切换时，选择随机数Ni，向OMAP发送路由请求消息、IKE/SA安全关联算法提议SAi1、移动节点的Diffie-Hellman密钥交换参数KEi、移动节点的证书CERT_MN，随机数Ni，以及MN对SAi1、KEi、CERT_MN和Ni的签名Sig_MN，该消息用移动节点与OMAP间IPSec/SA保护；

2)本地锚点收到消息后向新接入锚点发送切换初始化消息HI，并将SAi、KEi、CERT_MN、Ni和Sig_MN一起发送到NMAP处，该消息通过OMAP与NMAP之间的IPSec/SA保护；

3)NMAP对CERT_MN验证后，为证书中的IP地址创建绑定缓存列表，将切换通告信令发送到NMAP域的新接入路由器，然后选择随机数，向OMAP发送切换初始化确认消息，IKE/SA所使用的安全关联算法SAr1，NMAP的Diffie-Hellman密钥交换参数KEr，NMAP的证书CERT_NMAP，随机数Nr，以及NMAP对SAr1、KEr、CERT_NMAP和Nr的签名Sig_NMAP，该消息通过OMAP与NMAP之间的IPSec/SA保护；

4)OMAP回应移动节点通告消息PrRtAdv，该消息包括能够生成移动节点新的链路转交地址的NAR前缀信息，并转发SAr1、KEr、CERT_NMAP、Nr和Sig_NMAP给移动节点；

5)移动节点在收到路由通告消息PrRtAdv后，根据前缀信息生成新的链路转交地址NLCoA和新的区域转交NRCoA，同时在验证CERT_NMAP后根据KEr计算MN与NMAP之间的共享密钥SK，创建了IKE/SA；

6)移动节点发送快速绑定更新到OMAP，将家乡地址与新链路转交地址进行绑定，OMAP收到FBU后开始为移动节点数据包开辟缓存空间，将发往移动节点的数据包进行缓存，转发FBU及缓存的数据包到NMAP，并返回绑定确认消息FBAck；

7)移动节点断开与源链路的连接，进入新的网络；

8)移动节点切换到新的位置后，在切换前建立的IKE/SA的保护下，立即向NMAP进行绑定注册，将其新的链路转交地址NLCoA与家乡地址HoA进行绑定，发送通信对端CN的证书CERT_CN给NMAP，并创建移动节点与NMAP之间的IPSec/SA；

9)NMAP收到绑定更新消息和CN证书，验证后，发送本地绑定确认消息LBAck至移动节点，该消息用NMAP和移动节点之间新建立的IPSec/SA保护，并将从OMAP收到的发网移动节点的缓存数据转发给移动节点；

10)移动节点向OMAP和HMAP发送绑定更新消息，将新区域转交地址和家乡地址绑定，OMAP和HMAP收到后返回绑定确认消息，这些消息分别用移动节点与OMAP和HMAP之间建立的IPSec/SA保护；

11)MN向通信对端CN发送绑定更新消息，该消息用它们之间基于家乡地址建立的IPSec/SA保护；

12)CN返回绑定确认消息，并以移动节点的新区域转交地址为目的地址将数据报直接发送给移动节点。

本发明具有如下优点：

1.本发明的切换认证方法采用针对移动节点家乡地址进行授权的证书和数字签名的方式实现MN对新接入移动锚点NMAP的注册，MN和NMAP之间实现了双向身份认证，克服了IKEv2协议中前两条协议未受保护的不足，提高了安全性。

2.本发明的切换认证方法中，MN和CN之间基于家乡地址建立IPSec/SA，使得在移动切换过程中不需要重新建立IPSec连接，只需要使用该IPSec进行绑定更新，同时所采用的通信机制是将层次移动IPv6与快速切换相融合的方式，从而减少了切换延时，具有较高的效率。

3.本发明的切换认证方法由于通过以OMAP为半可信代理，在相邻MAP之间预先创建IPSec连接，以及弱化HMAP的功能，很好地实现了将快速切换与认证的融合。

附图说明

下面结合实施例附图对本发明作进一步说明。

图1是本发明实施例说明图；

图2是域内切换说明图；

图3是域间切换说明图。

具体实施方式

参照图1，本发明给出的基于IPSec的快速切换与认证融合方法中，所采用的通信机制是将层次移动IPv6与快速切换相融合的方式。采用层次型移动IPv6的特点是移动节点在切换时可以减少与家乡代理和通信对端绑定更新注册的次数，提高切换效率。在每一区域内设置一个移动锚点(MAP)，它可以是层次型MIPv6网络中的任何层次的路由器(包括子网的接入路由器)，在家乡网络时移动锚点称为家乡锚点(HMAP)，在本地网络时称为本地锚点OMAP，移动节点要切换的新的网络的锚点称为新接入锚点（NMAP)，这些锚点具有移动代理的功能，并管理移动节点在锚点所在域和域间的切换操作。每一个MAP域内包含若干个接入路由器AR，如图

AR1和AR2给出了两个接入路由器，只是为了说明本发明的思想。

移动节点MN采用固定家乡地址，网络节点是针对家乡地址进行证书授权。移动节点在家乡网络注册时，与HMAP(家乡代理)建立IPSec连接。在相邻MAP之间构建IPSec连接，如在OMAP与NMAP之间构建IPSec连接。

快速层次移动IPv6的原理是移动节点MN在MAP域内时采用域内切换机制，跨MAP域时采用域间快速切换机制。MN有两个转交地址，一个是域内链路转交地址LCoA，仅在MAP域内有效，一个是区域转交地址RCoA，全网有效，MN与CN的通信采用RCoA进行路由，域内切换时，仅切换LcoA(关于链路转交地址LcoA和区域转交地址RCoA具体的定义在HMIPv6协议内都有公开说明，在这不作过多说明)。从而这种切换对CN透明，域间切换时则需要同时切换两类转交地址。

由于引入层次移动IPv6，因此节点在移动的时候可根据位置来确定节点是否要向通信对端和HMAP(家乡代理)发送绑定更新消息。如果移动节点在一个代理域内，移动节点移动到不同的链路上，则无需向家乡代理和通信对端进行绑定更新。若超出某一代理域范围，则必须向家乡代理和通信对端进行绑定更新。因此，我们把切换注册分两种情况：域内切换和域间切换。

参照图2给出域内切换示意图说明，在本发明所述的域内切换中，移动节点只切换链路，不离开其本地网络，对域外属于透明操作。在域内切换可采用快速层次切换机制，提高切换效率。步骤如下：

步骤1，当MN(移动节点)检测到要切换时，也就是移动节点处在本地接入路由器和新接入路由器之间的位置(参见图1中的AR1和AR2)，MN向MAP发送路由请求消息(RtSolPr)，该消息包括临近的新接入路由器(NAR)链路层地址。

步骤2，MAP回应路由通告消息(PrRtAdv)，该消息包括能够生成MN新的链路转交地址(NLCoA)的NAR前缀信息；这里MAP知道NAR的链路地址和网络前缀等信息。

步骤3，MN(移动节点)生成新的链路转交地址NLCoA，利用(移动节点)MN与MAP之间的IPSec发送快速绑定更新FBU到MAP，将原链路转交地址(LCoA)与新接入路由器NAR的IP地址绑定；该绑定更新用于通知MAP将目的地址为LCoA的数据包转发给NAR。

步骤4，MAP收到快速绑定更新后发送切换初始化消息HI到NAR建立双向隧道，NAR收到消息后为MN建立一个主机路由条目，并返回切换初始化确认消息HAck给MAP和绑定确认消息FBAck给MN，断开链路，然后通过隧道向NAR转发数据包；此时，在MAP与NAR间存在一条隧道用来转发至MN的数据包。转发到MN的数据包在经过此隧道转发时都要附加一个IP头：<源地址＝本地锚点OMAP，目的地址＝NAR>。

步骤5，MN移动至NAR下收到路由通告，发送FNA消息到NAR告知自己已到NAR下，NAR将MAP转发来的数据包发送至MN。

步骤6，MN发送本地绑定更新到MAP，告知新的链路转交地址(NLCoA)，该消息使用MN与MAP之间的安全关联(IPSec/SA)保护，此时MAP已不使用隧道向NAR发送数据包。

步骤7，MAP返回绑定确认消息。至此，MN(移动节点)从本地接入路由器到新接入路由器之间的切换过程完成。

由于域内切换操作对外是透明的，所以不需要向通信对端节点发送任何消息来说明。所有的操作仅为锚点MAP、新接入路由器及移动节点MN的操作。

参照图3给出域间切换示意图说明，本发明所述的域间切换中，基于家乡锚点和本地锚点的路由优化机制实现快速切换和层次移动相结合的移动IPv6协议，在协议中同时保证快速切换和平滑切换问题，步骤如下：

步骤1，同样，当移动节点MN检测到要切换时，选择随机数Ni，向OMAP发送路由请求消息(RtSolPr)、IKE/SA安全关联算法提议SAi1、移动节点的Diffie-Hellman密钥交换参数KEi、MN的证书CERT_MN，随机数Ni，以及MN对SAi1、KEi、CERT_MN和Ni的签名Sig_MN，该消息用MN与OMAP间IPSec/SA保护。在这里MN对SAi1、KEi、CERT_MN和Ni进行签名Sig_MN，可以防止IKE/SA安全关联算法提议SAi1、移动节点的Diffie-Hellman密钥交换参数KEi、MN的证书CERT_MN和随机数Ni遭受篡改。MN对SAi1、KEi、CERT_MN和Ni进行签名Sig_MN可以采用现有的任何安全签名算法。需要说明的是在步骤1中，所发送的消息记做M1，该消息包含了MN要发给NMAP的创建IKE/SA的初始化消息。

步骤2，本地代理(OMAP)收到消息后向新代理(NMAP)发送切换初始化消息HI，并将SAi、KEi、CERT_MN、Ni和Sig_MN一起发送到NMAP处，所发送的这些消息记做M2。M2通过OMAP与NMAP之间的IPSec/SA保护，OMAP与NMAP之间的IPSec/SA是预先建立好的邻接锚点之间的的IPSec/SA。

步骤3，NMAP对CERT_MN验证后，为证书中的IP地址创建绑定缓存列表，将NI(切换通告)信令发送到NMAP域内的新接入路由器NAR，然后选择一个随机数Nr，向OMAP发送切换初始化确认消息(HAck)，IKE/SA所使用的安全关联算法(SAr1)，NMAP的Diffie-Hellman密钥交换参数(KEr)，NMAP的证书(CERT_NMAP)，随机数(Nr)，以及NMAP对SAr1、KEr、CERT_NMAP和Nr的签名(Sig_NMAP)，该消息通过OMAP与NMAP之间的IPSec/SA保护；同样步骤3中的签名与步骤2中的签名一样可以采用现有的任何安全签名算法。NMAP发给OMAP的消息记做M3，M3包含了NMAP发送给MN的创建IKE/SA的响应消息。

步骤4，OMAP回应路由通告消息(PrRtAdv)给MN，并将消息SAr1、KEr、CERT_NMAP、Nr和Sig_NMAP转发给MN；OMAP回应路由通告消息(PrRtAdv)给MN包括能够生成MN新的链路转交地址(NLCoA)的NAR前缀信息。OMAP回应路由通告消息(PrRtAdv)给MN和转发给MN的消息SAr1、KEr、CERT_NMAP、Nr、Sig_NMAP记做M4。

步骤5，移动节点MN在收到路由通告消息PrRtAdv后，根据前缀信息生成链路转交地址NLCoA和区域转交地址NRCoA，同时在验证CERT_NMAP后根据KEr计算MN与NMAP之间的共享密钥(SK)，创建了IKE/SA。

步骤6，移动节点MN发送快速绑定更新(FBU)到OMAP，将家乡地址(HOA)与新链路转交地址(NLCOA)进行绑定，OMAP收到FBU后开始为MN数据包开辟缓存空间，将发往MN的数据包进行缓存，转发FBU及缓存的数据包到NMAP，并返回绑定确认消息FBAck。至此，MN在切换开始之前已经完成了对将要接入的网络认证和要接入的网络对MN的认证，分别利用OMAP与MN和NMAP之间建立的IPSec/SA对图3中描述的步骤1和步骤6的消息进行保护。下面步骤将列出MN切换后的绑定更新过程。根据层次MIPv6，MN切换到NMAP域内，需要向NMAP进行绑定，再依次向HA和CN进行绑定更新。

步骤7，MN断开与源链路的连接，进入新的网络；

步骤8，MN切换到新的位置后，在切换前建立的IKE/SA的保护下，立即向NMAP进行绑定注册(LBU)，将其新的链路转交地址(NLCoA)与家乡地址(HoA)进行绑定，发送通信对端(CN)的证书给NMAP，并创建MN与NMAP之间的IPSec/SA。

步骤9，NMAP收到绑定更新消息和CN证书，验证后，发送本地绑定确认消息(LBAck)至移动节点(MN)，本地绑定确认消息用NMAP和MN之间新建立的IPSec/SA保护，并将从OMAP收到的发网MN的缓存数据转发给MN。

步骤10，MN向OMAP和家乡锚点HMAP发送绑定更新消息，将新区域转交地址和家乡地址绑定，OMAP和HMAP收到后返回绑定确认消息，这些消息分别用MN与OMAP和HMAP之间建立的IPSec/SA保护。

步骤11，MN向通信对端发送绑定更新消息，该消息用它们之间基于家乡地址建立的IPSec/SA保护。

步骤12，CN返回绑定确认消息，并以MN的新区域转交地址(NRCoA)为目的地址将数据包直接发送给MN。

上述过程中，切换注册是整个移动网络中最重要的一个过程，整个过程关系到网络整体的性能和通信质量。因此，切换过程的安全和效率必须兼顾。在方案中，切换信令主要分为移动节点与本地锚点、移动节点与新接入锚点、移动节点与通信对端、以及本地锚点与新接入锚点之间的信令交互。这些信令交互均由IPsec保护，在移动节点切换后，其余HMAP、NMAP、CN之间的IPSec安全关联依然存在。移动节点在切换后必须与新接入锚点MAP协商一对安全关联来保护它们间信令。

本发明不仅限于上述步骤，只要符合移动节点与通信对端采用基于家乡地址IPSec协议和快速层次移动IPv6协议进行通信；移动节点采用固定的家乡地址，网络节点针对家乡地址进行证书授权；移动节点在家乡网络注册时，与家乡代理建立IPSec连接；在相邻MAP之间构建IPSec连接；移动节点在发生链路切换时包括域内切换和域间切换即可。

Claims (2)

1.基于IPSec的快速切换与认证融合方法，其方法特征是：移动节点与通信对端采用基于家乡地址IPSec协议和快速层次移动IPv6协议进行通信；移动节点采用固定的家乡地址；网络节点针对家乡地址进行证书授权；移动节点MN在向移动锚点MAP接入注册时，与MAP建立IPSec连接；在相邻MAP之间构建IPSec连接；移动节点在发生链路切换时包括域内切换和域间切换；

所述的域间切换包括：

1)当移动节点检测到要切换时，选择随机数Ni，向本地锚点OMAP发送路由请求消息、IKE/SA安全关联算法提议SAi1、移动节点的Diffie-Hellman密钥交换参数KEi、移动节点的证书CERT_MN，随机数Ni，以及MN对SAi1、KEi、CERT_MN和Ni的签名Sig_MN，该消息用移动节点与OMAP间IPSec/SA保护；

2)本地锚点收到消息后向新接入锚点发送切换初始化消息HI，并将SAi1、KEi、CERT_MN、Ni和Sig_MN一起发送到新接入锚点NMAP处，该消息通过OMAP与NMAP之间的IPSec/SA保护；

3)NMAP对CERT_MN验证后，为证书中的IP地址创建绑定缓存列表，将切换通告信令发送到NMAP域的新接入路由器NAR，然后选择随机数，向OMAP发送切换初始化确认消息，IKE/SA所使用的安全关联算法SAr1，NMAP的Diffie-Hellman密钥交换参数KEr，NMAP的证书CERT_NMAP，随机数Nr，以及NMAP对SAr1、KEr、CERT_NMAP和Nr的签名Sig_NMAP，该消息通过OMAP与NMAP之间的IPSec/SA保护；

4)OMAP回应移动节点通告消息PrRtAdv，该消息包括能够生成移动节点新的链路转交地址的NAR前缀信息，并转发SAr1、KEr、CERT_NMAP、Nr和Sig_NMAP给移动节点；

5)移动节点在收到路由通告消息PrRtAdv后，根据前缀信息生成新的链路转交地址NLCoA和新的区域转交NRCoA，同时在验证CERT_NMAP后根据KEr计算MN与NMAP之间的共享密钥SK，创建了IKE/SA；

6)移动节点发送快速绑定更新到OMAP，将家乡地址与新链路转交地址进行绑定，OMAP收到FBU后开始为移动节点数据包开辟缓存空间，将发往移动节点的数据包进行缓存，转发FBU及缓存的数据包到NMAP，并返回绑定确认消息FBAck；

7)移动节点断开与源链路的连接，进入新的网络；

8)移动节点切换到新的位置后，在切换前建立的IKE/SA的保护下，立即向NMAP进行绑定注册，将其新的链路转交地址NLCoA与家乡地址HoA进行绑定，发送通信对端CN的证书CERT_CN给NMAP，并创建移动节点与NMAP之间的IPSec/SA；

9)NMAP收到绑定更新消息和CN证书，验证后，发送本地绑定确认消息LBAck至移动节点，该消息用NMAP和移动节点之间新建立的IPSec/SA保护，并将从OMAP收到的发往移动节点的缓存数据转发给移动节点；

10)移动节点向OMAP和家乡锚点HMAP发送绑定更新消息，将新区域转交地址和家乡地址绑定，OMAP和HMAP收到后返回绑定确认消息，这些消息分别用移动节点与OMAP和HMAP之间建立的IPSec/SA保护；

11)MN向通信对端CN发送绑定更新消息，该消息用它们之间基于家乡地址建立的IPSec/SA保护；

12)CN返回绑定确认消息，并以移动节点的新区域转交地址为目的地址将数据报直接发送给移动节点。

2.根据权利要求1所述的基于IPSec的快速切换与认证融合方法，其方法特征是：所述的域内切换包括：

1)当移动节点检测到要切换时，向MAP发送路由请求消息，该消息包括临近的新接入路由器链路层地址；

2)MAP回应通告消息，该通告消息包括能够生成MN新的链路转交地址的NAR前缀信息；

3)移动节点生成新的链路转交地址，利用移动节点与MAP之间的IPSec发送快速绑定更新FBU到MAP，将原链路转交地址与新接入路由器的IP地址绑定；

4)MAP收到快速绑定更新后发送切换初始化消息HI到NAR建立双向隧道，NAR收到消息后为MN建立一个主机路由条目，并返回切换初始化确认消息HAck给MAP和绑定确认消息FBAck给MN，断开链路，然后MAP通过隧道向NAR转发数据包；此时，在MAP与NAR间存在一条隧道用来转发至MN的数据包；

5)移动节点移动至新接入路由器下收到路由通告，发送FNA消息到新接入路由器告知自己已到新接入路由器下，新接入路由器将MAP转发来的数据包发送至移动节点；

6)移动节点发送本地绑定更新到MAP，告知新的链路转交地址，该消息使用移动节点与MAP之间的安全关联保护；

7)MAP返回绑定确认消息。

Images