WO2006021156A1 - Procede destine a assurer la mobilite d'un hote reseau et une fonction multi-localite - Google Patents

Description

一种实现主机移动性和多家乡功能的方法 技术领域

本发明涉及网络通信技术， 尤指一种实现主机移动性和多家乡功 能的方法。 发明背景

当前， Internet 网络在世界范围内存在两种名称空间， 分别是 IP 地址和域名服务器（DNS )。 实际使用中， IP地址既代表网络中的实 体位置， 也代表网络接口。 IP地址代表的实体位置可以帮助网络实体 完成路由功能， 而网络实体还能通过 IP地址代表的网络接口连接到 网络上， 从而使 IP地址还能代表一个实体身份。 当网络拓朴基本固 定的时候， 现有这种 IP地址的使用方法并没有太多的问题。

然而， 随着人们对移动性要求的日益增长， 网络中的移动节点不 断增加， 网络拓朴将无法保持固定不变。 同时， 随着网络设置日益复 杂， 许多网络实体还出现了多家乡现象。 所述多家乡包括主机多家乡 和站点多家乡等，其中站点多家乡指的是主机包含一个具有多个全球 IP地址的接口。 由于网络中存在多个高层 ISP站点， 或者 ISP站点能为 主机同时提供多个地址， 比如 IPv4和 IPv6地址， 就容易出现站点多家 乡的情况。

上述情况要求网络中的实体， 特别是安全网关， 需要具有安全多 家乡的特点。所述安全多家乡是从安全的角度对实现网络主机的移动 性和多家乡功能提出的要求，比如防止移动网络中出现中间人攻击和 针对目标地址的 DoS攻击等。 此时， 通过 IP地址代表实体位置和接口 的方法必然导致如地址管理、原有网络安全协议不能有效工作等一系 列问题。

为解决网络实体的移动性问题， 现有技术提出了两种实现方法。 方法一、 在移动 IP技术中提出移动 IPv6作为一种可用的移动建 议。

图 1所示的是一个基本的移动 IPv6組成。 其中， 移动节点是一个 多主机地址节点， 它同时拥有一个转交地址和一个家乡地址， 这两个 地址绑定在一起。 转交地址用来路由 IP包， 且该地址是临时的， 必须 要对它进行一个返回路由能力检查之后， 才能使用转交地址参与通 信。 家乡地址用来识别移动节点， 无论移动节点当前位于哪个链路， 都可以通过家乡地址将数据包转发给该移动节点。

移动节点和自身家乡网络之间会建立一个 "IPSec反向隧道" ， 将家乡地址与转交地址绑定，以保护由家乡网络送达移动节点的数据 包。 建立 "IPSec反向隧道" 的方法为： 使用家乡地址和转交地址建 立上述隧道的安全联盟 （ SA ) , 并用家乡地址作为流量选择器。 当 移动节点在外地链路时，该节点会在作为家乡代理的路由器上注册当 前的转交地址， 以完成家乡地址与转交地址的绑定， 以下将作为家乡 代理的路由器简称为家乡代理。

在图 1中， 与移动节点通信的节点被称为 "通信对端" ， 它可以 是移动或固定的。 移动节点通过 "绑定注册" 过程向通信对端提供自 身当前的位置信息， 通信对端会回复一个返回可路由测试报文， 来向 移动节点确认绑定的建立。

图 2所示的是返回可路由测试过程。 其中， 家乡初始测试（HoT ) 报文 201和转交初始测试（ CoTI )报文 202同时从移动节点发送。 通信 对端对 HoT报文 201和 CoTI报文 202作少量处理后， 快速返回家乡测试 ( HoT ) ^艮文 203和转交测试（CoT )报文 204。 移动节点与通信对端之间可以采用两种不同的模式进行通信，分 別是双向隧道模式和路由最佳化模式。所述双向隧道模式的系统结构 如图 3所示， 这种模式不要求通信对端能支持移动 IPv6。 所述路由最 佳化模式的系统结构如图 4所示， 这种模式需要在通信对端上绑定移 动节点的转交地址。

在协议规定中， 移动 IPv6技术强制要求移动节点和家乡网络之 间使用网络安全协议 （IPSec ) , 并采用 IKEvl或者 IKEv2密钥交换 协议建立封装安全载荷安全联盟 （ESP SA ) , 来保护移动节点和家 乡代理之间的绑定注册和双向隧道模式传递的通信数据。

但是， 釆用移动 IPv6技术支持网络实体的移动性存在以下问题：

1、 当移动节点再次发生移动， 或者移动节点与家乡网络建立连 接的接口 IP地址发生改变时，原先用来保护通信的 ESP SA就不可用 了。 在这种情况下， 要想继续保护通信数据， 只能采用重建 SA的方 式。 然而， 重建 SA的过程需要的操作代价较大， 会给正常通信带来 延时， 并会由于过多占用无线信道带宽而造成网絡性能下降。

如果移动节点在网络中的位置 /地址不断变化， 就会给网络通信 造成 "通信流量风暴" ， 并可能造成网络拥塞。

2、 当家乡网络， 主要是家乡代理， 也需要发生位置改变时， 除 了上述由于移动节点的再次移动引发的问题外，家乡网络和移动节点 之间将无法完成正常的端到端 IKE交换连接。

3、 移动节点和通信对端之间正常建立各种 IPSec连接后， 如果 双方之中任何一方或者双方都发生移动， 同样会出现以上所描述的情 况。尤其在通信双方都在移动时， 更容易发生 "通信流量风暴"和 "端 到端 IKE交换连接无法完成" 等情况。

综上所述， 目前这种移动 IP技术在安全设计上的灵活性较差， 还不能较好地解决主机移动带来的地址变化问题。 特别是， 移动 IP 技术在与网絡层的 IPSec协议共同使用时， 仍存在许多问题。 此外， 移动 IP技术对于网络实体的多家乡问题也没有太多地考虑。

方法二、 通过主机身份协议 （HIP ) 实现主机移动性和多家乡功

^匕

3匕。

传统的 TCP/IP协议中，在传输层使用 IP地址来标识一个主机。 HIP 协议的主要机制是在传输层和网络层之间加入一个主机标识符 （ HI ) 层， 并将传输层通过主机身份标记（HIT )或者本地范围标识（LST ) 绑定到标记主机身份的主机标识符 （HI ) 上， 绑定示意图见图 5。 这 样， HIP协议中使用的 Socket套接口不再和 IP地址结合， 从而为解决 地址变化以及多家乡等问题带来便利。

进一步地，为了在通信对端的对等体地址改变时保证 HIP协议端 到端通信的安全性，需要在 HIP交换发起端和响应端之间设置一种高 效、 可靠的密钥交换协议。 HIP协议中定义了 "基本交换" 来实现上 述目的， 完成基本交换后就能生成一个 IPSec SA来保护随后进行的 IPSec ESP通信， 所述基本交换过程如图 6所示。 在双方交换消息的 过程中， 始终采 <HITi, HITr>这对表示双方身份的公开 HIT 密钥 标记，产生 HIT的双方还需要各自保存自身的私有 钥， 由基本密钥 交换协议来完成身份认证。

HIP 协议基本交换完成之后， 就建立一个主机身份安全内容 HISC, 该内容中包含有 IPSec ESP的安全联盟。 图 7为未加入 HIP 层的 ESP报文结构， 图 8为加入 HIP层后的 ESP报文结构。 其中， HbH ( Hop-by-Hop ) 为逐跳选项头部， RH为路由头部， DO 为目的 选项头部。

使用 HIP协议来完成移动性和多家乡功能的方法如下： 将 HI到 IP地址的映射从静态的一对一扩展到动态的一对多，来完成对网络主 机的移动和多家乡的支持，并允许网络主机更新与通信对端相关的地 址集。 上述过程中， 地址更新由 HIP REA参数实现， 该参数允许主 机交换关于 IP地址、 接口等地址信息。

由 HIP REA参数建立的逻辑结构如图 9所示， 包括主机、 由 SPI 索引的 IPSec SA和主机地址。 在图 9中， 主机 1和主机 2通过协商 建立两个单向 IPSec SA, 每个 SA都记录有主机 1和主机 2的地址， 并分别为自身的入站 SA选择 SPI值。 地址 la和地址 2a是对应主机 在基本 HIP 交换中使用的源地址， 无论数据发送到主机的哪一个接 口， 都能通过源地址到达入站 SPI。

HIP REA参数的格式如图 10所示， 包括类型域 1001、 长度域 1002、 SPI域 1003、 地址生存期域 1004、 P域 1005、 保留域 1006和 地址域 1007。 网络主机可以通过定义 SPI域 1003 , 来随意引入新的 SPI。 一方面， 如果接收到的 HIP REA参数中有新的 SPI, 所有指定 给旧 SPI的地址正常工作， 同时令 HIP REA参数中的新地址与新 SPI 相关联。 另一方面， 如果接收到的 HIP REA参数中有一个网络主机 已知的 SPI,就用 HIP REA参数中的新地址取代网络主机上所有与这 个 SPI相关的地址。 P域 1005定义的是首选地址， 如果 HIP REA参 数中的第一个地址是新的首选地址， 则该域置 1 , 否则置 0。

根据上述定义， 通过发送和处理 HIP REA参数来完成地址更新 的过程如下：

首先、 发起端在发现 IP地址改变时， 进行地址分组和 SH地址 分配， 并为每个分組建立一个 HIP REA参数。 REA参数中只有第一 个地址可以被指定为首选地址。 如果有多个 REA参数， 这些参数应 该进行排序， 并使得新的首选地址在第一个 REA参数中。 然后、 发起端通过图 6所示的基本交换 HIP报文将建立的所有 HIP REA参数发送给响应端。

最后、 当响应端接收到一个 REA参数后， 检查该 REA参数中列 出的 SPI是否为新，如果是就建立一个没有地址的 SPI,否则就将 REA 参数中携带的新地址加入已存在的 SPI。

采用 HIP 协议支持网络实体的移动性和多家乡功能存在以下问 题：

1、 HIP 技术基于公钥做为端主机名称， 故容易解决身份认证问 题， 但是基本 HIP交换所能提供的安全性功能比较单一， 灵活性也不 是很好。

2、 现有 HIP协议只是简单地提出用 IPSec ESP来保护通信内容， 却没有提出如何生成 SA的定义。

3、 HIP技术只适用于端到端之间采用 ESP传输模式的情况， 却 不能支持隧道模式和认证头部 （AH ) 协议。

从上面提到的两种方法看出， 现有技术对于实现主机移动性和多 家乡功能还没有较好的解决方法。 发明内容

本发明的目的在于，提供一种实现主机移动性和多家乡功能的方 法， 在通信双方中的任一方地址发生变化时， 还能使用安全联盟来保 持通信。

为达到上述目的， 本发明的技术方案具体是这样实现的： 一种实现主机移动性和多家乡功能的方法，在移动网络的传输层 和网络层之间加入主机标识符层，并在所述主机标识符层为移动网络 中的每个网络主机设置主机标识符； 其特征在于， 该方法包括以下步骤：

A、 网络主机和作为其通信对端的网络主机之间使用互联网密钥 交换协议，建立一对以通信双方地址作为自身地址的互联网协议安全 联盟，并将上述安全联盟绑定到所述网络主机和其通信对端网络主机 的主机标识符上；

B、 网络主机在自身通信地址变化时， 将更新后地址发送至通信 对端， 并将自身安全联盟地址修改为更新后地址；

C、 通信对端接收到网络主机发送的更新后地址， 根据来自网络 主机的主机标识符查找到对应的安全联盟，将自身安全联盟地址修改 为更新后地址，然后通信对端使用更新地址的安全联盟与网络主机进 行通信。

步骤 A所述建立互联网协议安全联盟的方法为：在网络主机和通 信对端之间执行一次 IKE_SA— INIT交换和一次 IKE_AUTH交换。

所述 IKE一 SA—INIT交换包括第一请求报文和第一应答报文； 所述 IKE—AUTH交换包括第二请求报文和第二应答报文。

所述 IKE一 SA— INIT交换的过程具体为：

网络主机向通信对端发出第一请求才艮文 ,通信对端接收到第一请 求报文后回复第一应答报文给网络主机， 并生成密钥种子；

网絡主机收到第一应答报文， 生成密钥种子；

网络主机和通信对端分别利用自身生成的密钥种子，生成互联网 密钥交换协议联盟的安全联盟密钥。

所述第一请求报文和第一应答报文都包括以下载荷： 头部载荷、 安全联盟载荷、 密钥交换载荷和 Nonce载荷；

所迷第二请求报文和第二应答报文都包括以下载荷： 头部载荷、 身份载荷和认证载荷。 所述安全联盟密钥包括完成加密密钥和完整性保护密钥， 则所述 第一请求报文、 第一应答报文、 第二请求报文和第二应答报文中， 除 头部载荷之外的其它载荷都采用安全联盟密钥进行加密。

步骤 B所述网络主机发送更新后地址到通信对端的方法具体为： 网络主机发起一次 INFORMATIONAL交换， 将更新后地址发送到通 信对端。

所述 INFORMATIONAL交换的过程具体为： 网络主机向通信对 端发出第四请求报文； 通信对端接收到笫四请求报文后， 向网络主机 回复第四应答 文。

所述第四请求艮文和第四应答报文都包括以下载荷： 头部载荷和 通告载荷。

所述通告载荷包括以下域： 协议 ID域、 SPI 大小域、 通告报文 类型域、 安全参数索引域和通告数据域；

其中， 所述通告数据域设置有 HIP_NOTIFY一 REA参数。

当网络主机发生 IP地址切换时， 步骤 B所述网络主机发送更新 后地址到通信对端的方法具体为： 网络主机在第四请求报文的 HIP— NOTIFY— REA参数中记录自身主机标识符和新 IP地址， 并向通 信对端发出上述第四请求报文；

则步骤 C中， 通信对端更新安全联盟地址的方法为： 通信对端用 从第四请求报文中取出的新 IP地址作为更新后的所述安全联盟地址。

所述 HIP— NOTIFY—REA参数中进一步记录有：与新 IP地址相关 的 SPI、 地址生存期， 以及新地址是否为首选地址标识；

则步骤 C中， 通信对端查找安全联盟的方法进一步包括： 根据接 收到的 SPI确定安全联盟。

当网络主机具有一个以上接口，且所述网络主机改变与通信对端 的通信接口时，步骤 B所述网络主机发送更新后地址到通信对端的方 法具体为：

网络主机在第四请求报文的 HIP— NOTIFY—REA参数中记录自身 接口和 IP地址并标记首选接口， 然后向通信对端发出上述第四请求 报文；

则步骤 C中， 通信对端更新安全联盟地址的方法为： 通信对端用 从第四请求报文中取出的首选接口和 IP地址作为更新后的所述安全 联盟地址。

当网络主机包含一个具有一个以上 IP地址的接口， 且网络主机 在同一接口的 IP地址之间切换时， 步骤 B所述网络主机发送更新后 地址到通信对端的方法具体为：

网络主机在第四请求报文的 HIP_NOTIFY— REA参数中记录所述 接口当前使用的 IP地址， 并向通信对端发出上述第四请求报文； 则步骤 C中， 通信对端更新安全联盟地址的方法为： 通信对端用 从第四请求报文中取出的网络主机当前使用的 IP地址作为更新后的 所述安全联盟地址。

所述网络主机和 /或通信对端包括安全网关。

由上述技术方案可见，本发明的这种实现主机移动性和多家乡功 能的方法， 在通信双方中的任一方地址发生变化时， 无需重新建立安 全联盟 （SA ) , 仅需更新安全联盟地址， 就能使用具有新地址的安 全联盟来保证端到端通信的安全性， 使通信双方继续保持通信。

本发明所述的方法能较好地支持一般移动性、 主机多家乡、 站点 多家乡和网络重编号等通信场景。 图 1为现有技术中一个基本的移动 IPv6组成结构； 图 2为现有技术中返回可路由测试流程；

图 3为现有技术中双向隧道模式的系统结构；

图 4为现有技术中路由最佳化模式的系统结构；

图 5 为现有技术中在传输层和网络层加入主机标识符层并绑定 的示意图；

图 6为现有技术中 HIP协议的基本交换流程；

图 7为现有技术中未加入 HIP层的 ESP 艮文结构；

图 8为现有技术中加入 HIP层后的 ESP报文结构；

图 9为现有技术中 HIP REA参数建立的逻辑结构；

图 10为现有技术中 HIP REA参数的格式；

图 11为本发明中实现主机移动性和多家乡功能的流程； 图 12为本发明一较佳实施例中利用 IKE协议建立安全联盟的过 程；

图 13 为本发明一较佳实施例中 CREATE一 IPSEC—SA 交换的过 程；

图 14为本发明一较佳实施例中 INFORMATIONAL交换的过程； 图 15为本发明一较佳实施例中通告载荷的格式；

图 16为本发明一较佳实施例中 HIP— NOTIFY_REA参数的通告数 据格式；

图 17为本发明一较佳实施例中处于站点多家乡的主机、 由 SPI 索引的 IPSec SA、 及地址之间的关系示意图。 实施本发明的方式

为使本发明的目的、 技术方案及优点更加清楚明白， 以下参照附 图并举实施例， 对本发明进一步详细说明。

图 11 为本发明中实现主机移动性和多家乡功能的流程， 具体包 括以下步骤：

步骤 a、 在传输层和网络层之间加入主机标识符层， 为移动网络 中的每个网络主机设置主机标识符（HI ) , 并将传输层通过主机身份 标记 HIT或者本地范围标识 LST绑定到 HI上。

该步驟与现有 HIP协议相同， 此处不赘述。

步骤 b、 网络主机和作为其通信对端的网络主机之间使用互联网 密钥交换协议 （IKE ) , 建立一对以通信双方地址作为自身地址的互 联网协议安全联盟，并将上述安全联盟绑定到所述网絡主机和其通信 对端网络主机的主机标识符上。

该步骤中， 网络主机和通信对端指的是进行通信的一对网络实 体， 所述网络主机或通信对端可以是安全网关，二者利用 IKE协议建 立安全联盟（SA, Security Association )的过程如图 12所示， 该过程 通过执行多组交换来完成，所述一组交换指的是一对在发起端和响应 端之间发送的请求和应答报文。

步骤 1201、 发起端向响应端发出第一请求报文， 所述第一请求 报文包括以下载荷，分别是头部载荷（ HDR )、安全联盟载荷（ SAil )、 密钥交换载荷 （KEi ) 和 Nonce载荷 （ Ni ) 。

步骤 1202、 响应端接收到第一请求报文后， 向发起端回复第一 应答报文， 所述第一应答报文包括以下载荷， 分别是 HDR、 SArl载 荷、 KEr载荷和 Nr载荷。

该步驟中，响应端从 SAil载荷提供的选项中选择一套加密算法， 并将自身选择通过 SArl载荷告知发起端。

上述步骤 1201~1202执行的是 IKE_SA—INIT交换， 通信双方通 过该组交换来协商加密算法、 Nonces和 DH交换等参数值。 其中， 网 络主机和通信对端中的任一方都可以是 IKE— SA— INIT交换的发起端。

步骤 1203、 发起端向响应端发出第二请求报文， 该报文携带有 身份载荷 ( IDi ) 和认证载荷 ( AUTH ) 等。

其中， IDi载荷用于声明自身身份， AUTH载荷用于证明与 IDi 载荷相关的秘密信息和保护笫二请求报文的内容完整性。

另外， 由于响应端可能具有多个身份， 第二请求报文还可选地携 带有 IDr载荷， 使发起端能够指定响应端的身份。

步骤 1204、 响应端使用接收到的 SAi2载荷开始协商 IPSec SA, 并向发起端回复第二应答报文， 该报文携带 IDr载荷和 AUTH载荷， IPSec SA协商完成。 其中， IDr载荷用于声明响应端身份， AUTH载 荷用于认证身份和保护第二应答报文的完整性。

上述步骤 1203〜1204执行的是 IKE— AUTH交换， 该组交换用于 认证消息、 交换身份和证书。

经过步骤 1201~1202 后， 发起端和响应端都会生成密钥种子 ( SKEYSEED ) , 并利用 SKEYSEED生成 IKE SA的安全联盟密钥。 所述安全联盟密钥包括完成加密 （SK— e ) 密钥和完整性保护（SK— a ) 密钥。 步骤 1203~1204交互的所有报文中， 除头部载荷外， 其余载荷 都会被加密并受到完整性保护。 此外， 还可以根据需要生成加密材料 ( SK_d ) 密钥， 用于在后续 IPSec SA阶段产生所需的加密材料。 图 12中， 第二请求报文和第二应答报文中的 SK{...}表明括号内的载荷 使用本方向的 SK—e和 81(_ 分別进行加密和完整性保护。

SKEYEED及其派生值由公式 （ 1 ) 和公式 （2 ) 计算得出： SKEYSEED = prf(Ni | Nr, g^Air) ( 1 )

{ SK_d| SK_ai| SK_ar| SK_ei| SK_er| SK_pi|SK_pr}=

prf+(SKEYSEED,Ni|Nr|SPIi|SPIr) ( 2 ) 公式（2 ) 中， prf+用来产生伪随机数， prf+ ( ) 的执行结杲为将 SK_d, SK— ai, SK— ar, SK— ei, SK_er, SK— pi和 SK— pr串联。

通常情况下， 执行一次 IKE_SA— ΙΝΙΤ交换和一次 IKE— AUTH交 换，就能在网络主机和通信对端之间建立互联网协议安全联盟（ SA ) , 故将图 12所示的过程称为初始交换。

除此之外， IKE协议还定义有 CREATE— IPSEC—SA交换， 用来建 立以后的 IPSec SA, 该组交换不是必须进行的。 在初始交换完成后， CREATE_IPSEC_SA交换可以由通信双方的任意一端发起，具体过程 如图 13所示：

1 )发起端向响应端发出第三请求报文， 该报文携带头部载荷、 SA载荷、 Ni载荷、 KEi载荷、 TSi和 TSr载荷等。 所述 SA载荷用于 发送 SA提议； Ni载荷用于发送 Nonce; KEi载荷是可选的， 用于发 送 Diffie-Hellman值； TSi和 TSr载荷也是可选的， 用于发送流量选 择器。

同样地， 第三请求报文中， 头部载荷之后的报文内容用安全联盟 密钥进行加密。

2 ) 响应端向发起端回复第三响应报文， CREATE— IPSEC—S A交 换完成。

步骤 c、 网絡主机在自身通信地址变化时， 将更新后地址发送至 通信对端， 并将自身安全联盟地址修改为更新后地址。

该步骤中， 通过执行 INFORMATION交换， 网络主机将更新后 地址发送至通信对端， 从而使网络主机在不同 IP地址之间切换时， 能够和通信对端保持正常通信。 INFORMATIONAL 交换的过程如图 14所示， 包括以下步骤：

1 ) 网络主机在地址发生变化时， 向通信对端发出第四请求报文， 所述报文中携带头部载荷、 通告载荷等。 此时， 网络主机成为 INFORMATIONAL交换过程的发起端。

2 ) 通信对端接收到第四请求 艮文后， 回复第四应答报文， INFORMATIONAL交换完成。

其中， 第四请求报文中携带的通告载荷（N ) 的格式定义如图 15 所示， 该载荷包括以下域：

( 1 ) 协议 ID ( 1字节） 。 如果这个通告是关于一个现存的 SA, 该域用于指出 SA类型。对于 IKE一 SA通告，该域是 1。对于 IPSec SA 通告， 该域是 2时代表 AH, 该域是 3时代表 ESP。 对于与现存 SA 无关的通告， 这个域必须设置为 0， 并在接收时忽略。 这个域的其它 值保留， 并可在将来由 IANA分配。 （2 ) SPI大小 （ 1字节） ， 以字 节为单位， 或在没有 SPI时设置为 0。 当所述通告是关于 IKE SA的 通告时， SPI大小必须为 0。 ( 3 )通告报文类型 （2 字节） 。 （4 ) 安全参数索引 SPI (变长） 。 （5 ) 通告数据 （变长） ， 这个域的取 值与类型相关。

通告载荷中的通告数据可以是表明 SA 不能建立原因的差错报 文，也可以是管理 SADB的程序向另一个程序传输的状态信息。其中， 0-16383的类型取值用于报告差错。

本发明中， 新定义一种通告数据类型， 用于网络主机之间交换地 址更改信息， 该类型名称为 HIP—NOTIFY— REA, 取值设置为 40960, HIP一 NOTIFY— REA的通告数据格式如图 16所示。

( 1 )保留 （1 比特） ， 在发送时清 0, 接收时忽略； （2 ) 属性 类型（7比特）， 用于表明地址类型， 是配置属性类型的唯一识别符； ( 3 ) 长度（2字节） ， 以字节为单位； （4 )地址生存期， 以秒为单 位； （ 5 )首选地址 Ρ, 如果 HIP— NOTIFY— REA中的第一个地址是新 的首选地址， 则该域置为 1 , 否则置 0; ( 6 )保留， 在发送时置 1 , 接收忽略； （ 7 )地址， 可以是 IPv6地址或 IPv4-in-IPv6格式的 IPv4 地址； （8 ) 变长值 （0或多字节） ， 用于配置属性的变长值。

步骤 d、 通信对端接收到网络主机发送的更新后地址， 根据来自 网络主机的主机标识符查找到对应的安全联盟，将自身安全联盟地址 修改为更新后地址，然后通信对端使用更新地址的安全联盟与网络主 机进行通信， 流程结束。

在图 11 所述流程的基础上， 下面将结合实际通信场景， 说明如 何利用本发明的方法实现主机移动性和多家乡功能。

一、 一般移动性。

假设某网络主机只有一个接口， 且该接口只有一个 IP地址， 网 络主机和通信对端之间已经建立有一对方向相反的 SA。 所述网络主 机在与通信对端进行通信时， 从家乡网络移动到其它外地网络， 那么 该主机需要使用外地网络的地址前缀， 因此绑定到主机接口的地址就 发生变化。

为 了 保持与通信对端 的 通信关 系 ， 网 络主机发起 INFORMATIONAL 交换， 通过第四请求报文的 HIP— NOTIFY— REA 参数， 告知通信对端如下信息： 主机标识符 （HI ) 、 新 IP地址、 与 新 IP地址相关的 SPI、 地址生存期， 以及新 IP地址是否为首选地址 等。 同时， 网络主机用新 IP地址对自身保存的一对安全联盟地址进 行更新。

由于移动过程中， 网络主机的 HI不会发生变化， 所以通信对端 27

根据 HIP— NOTIFY_REA参数中的 HI， 查找到绑定在所述 HI上的一 对安全联盟， 并用新 IP地址替换安全联盟原有地址。 之后， 网络主 机和通信对端之间使用更新后的安全联盟通信，来处理相互之间发送 的通信数据。

其中， 在通信对端查找与网络主机相关的一对 SA时， 也可以采 用 HI和与新 IP地址相关的 SPI这两个参数联合进行查找。

二、 主机多家乡。

所述主机多家乡指的是网络主机具有多个接口，每个接口有一个 IP地址的情况。

网络主机使用的接口发生变化时， 由于每个接口对应一个 IP地 址， 所以网络主机的 IP 地址发生变化。 此时， 网络主机可以通过 HIP— NOTIFY— REA参数将接口和 IP地址通知通信对端， 并指明首选 接口和 IP地址。

通信对端接收到网络主机的接口和 IP地址信息后， 优先使用首 选接口和 IP地址更新相应安全联盟地址。 之后， 通信双方使用更新 后的安全联盟处理通信数据。

三、 站点多家乡。

所述站点多家乡指的是网络主机包含一个具有多个 IP地址的接 口。 此时， 网絡主机可以根据实际情况选择一个 IP地址进行通信， 并将选中的 IP地址通过 HIP_NOTIFY—REA参数发送给通信对端。这 种情况的处理过程与一般移动性类似， 此处不赘述。

当通信双方的网络主机都属于站点多家乡情况时，处理过程与单 个站点多家乡类似。如图 17所示，主机 1需要为自身添加地址 lb时， 就向位于地址 2a的主机 2发送 HIP— NOTIFY_REA参数，从而在主机 1和主机 2之间加入一組新的 SPI, 即 SPIlb和 SPI2b。 同样地， 主机 2需要添加地址 2b时， 由于主机 1具有两个地址， 主机 2可以选择 向地址 la、 地址 lb, 或同时向两者发送 HIP— NOTIFY一 REA参数。

四、 网络重编号。

根据 IPv6 自身的使用机制， IPv6网絡的重编号操作会比其它网 络更为频繁， 比如链路通告的 IPv6前缀改变、 PPP链路的重连接， 或新 DHCP分配等都会导致网络重编号。 出现网络重编号情况时， 位 于该网络的所有主机地址都会发生改变。 网络主机需要通过 HIP_NOTIFY_REA参数将地址变化情况告知通信对端， 该处理过程 与一般移动性类似， 此处不再详加描述。

由于本发明的方法通过互联网密钥交换协议 （IKE ) 实现， 所以 可以适用于终端主机和包括终端主机在内的安全网关等不同的场所。

此外， 本发明中通过 IKE协议实现主机移动性和多家乡功能的方 法， 可以与 IETF组织提出的 IKEv2密钥交换协议兼容， 此处不再给出 IKEv2密钥交换协议的详细说明， 关于 IKEv2协议的具体细节可以参 阅相关协议。

由上述的实施例可见，本发明的这种实现主机移动性和多家乡功 能的方法， 在通信双方中的任一方地址发生变化时， 无需重新建立安 全联盟 （SA ) , 仅需更新安全联盟地址， 就能利用已有的安全联盟 来保证端到端通信的安全性， 使通信双方继续保持通信， 从而能很好 地支持一般移动性、 主机多家乡、 站点多家乡和网络重编号等通信场 景。

Claims

权利要求书

1、 一种实现主机移动性和多家乡功能的方法， 在移动网络的传 输层和网络层之间加入主机标识符层，并在所述主机标识符层为移动 网络中的每个网络主机设置主机标识符；

其特征在于， 该方法包括以下步驟：

A、 网络主机和作为其通信对端的网络主机之间使用互联网密钥 交换协议，建立一对以通信双方地址作为自身地址的互联网协议安全 联盟，并将上述安全联盟绑定到所述网络主机和其通信对端网络主机 的主机标识符上；

B、 网络主机在自身通信地址变化时， 将更新后地址发送至通信 对端， 并将自身安全联盟地址修改为更新后地址；

C、 通信对端接收到网络主机发送的更新后地址， 根据来自网络 主机的主机标识符查找到对应的安全联盟，将自身安全联盟地址修改 为更新后地址，然后通信对端使用更新地址的安全联盟与网络主机进 行通信。

2、 根据权利要求 1所述的方法， 其特征在于， 步骤 A所述建立 互联网协议安全联盟的方法为：在网络主机和通信对端之间执行一次 IKE一 SA一 INIT交换和一次 IKE— AUTH交换。

3、根据权利要求 2所述的方法，其特征在于，所述 IKE— SA一 INIT 交换包括第一请求报文和第一应答报文；

所述 IKE— AUTH交换包括第二请求报文和第二应答报文。

4、根据权利要求 3所述的方法，其特征在于，所述 IKE— SA— INIT 交换的过程具体为：

网络主机向通信对端发出第一请求报文，通信对端接收到第一请 求报文后回复第一应答报文给网络主机， 并生成密钥种子；

网络主机收到第一应答>¾文， 生成密钥种子；

网络主机和通信对端分别利用自身生成的密钥种子，生成互联网 密钥交换协议联盟的安全联盟密钥。

5、 根据权利要求 4所述的方法， 其特征在于， 所述第一请求报 文和第一应答报文都包括以下载荷： 头部载荷、 安全联盟载荷、 密钥 交换载荷和 Nonce载荷；

所述第二请求报文和第二应答报文都包括以下载荷： 头部载荷、 身份载荷和认证载荷。

6、 根据权利要求 5所述的方法， 其特征在于， 所述安全联盟密 钥包括完成加密密钥和完整性保护密钥， 则所述第一请求报文、 第一 应答报文、 第二请求报文和第二应答报文中， 除头部载荷之外的其它 载荷都采用安全联盟密钥进行加密。

7、 根据杈利要求 1所述的方法， 其特征在于， 步骤 B所述网络 主机发送更新后地址到通信对端的方法具体为： 网络主机发起一次 INFORMATIONAL交换， 将更新后地址发送到通信对端。

8、 根据权利要求 7 所述的方法， 其特征在于， 所述 INFORMATIONAL 交换的过程具体为： 网络主机向通信对端发出第 四请求报文； 通信对端接收到第四请求报文后， 向网络主机回复第四 应答报文。

9、 根据权利要求 8所述的方法， 其特征在于， 所述第四请求报 文和第四应答报文都包括以下载荷： 头部载荷和通告载荷。

10、 根据权利要求 9所述的方法， 其特征在于， 所述通告载荷包 括以下域： 协议 ID域、 SPI 大小域、 通告报文类型域、 安全参数索 引域和通告数据域； 其中， 所述通告数据域设置有 HIP—NOTIFY—REA参数。

11、 才艮据权利要求 10所述的方法， 其特征在于， 当网络主机发 生 IP地址切换时， 步骤 B所述网络主机发送更新后地址到通信对端 的方法具体为： 网络主机在第四请求报文的 HIP— NOTIFY— REA参数 中记录自身主机标识符和新 IP地址， 并向通信对端发出上述第四请 求报文；

则步骤 C中， 通信对端更新安全联盟地址的方法为： 通信对端用 从第四请求报文中取出的新 IP地址作为更新后的所述安全联盟地址。

12、 根据权利要求 11 所述的方法， 其特征在于， 所述 HIP— NOTIFY—REA参数中进一步记录有： 与新 IP地址相关的 SPI、 地址生存期， 以及新地址是否为首选地址标识；

则步驟 C中， 通信对端查找安全联盟的方法进一步包括： 根据接 收到的 SPI确定安全联盟。

13、 根据权利要求 10所述的方法， 其特征在于， 当网络主机具 有一个以上接口， 且所述网络主机改变与通信对端的通信接口时， 步 骤 B所述网络主机发送更新后地址到通信对端的方法具体为：

网络主机在第四请求报文的 HIP— NOTIFY— REA参数中记录自身 接口和 IP地址并标记首选接口， 然后向通信对端发出上述第四请求 报文；

则步骤 C中， 通信对端更新安全联盟地址的方法为： 通信对端用 从第四请求报文中取出的首选接口和 IP地址作为更新后的所述安全 联盟地址。

14、 根据权利要求 10所述的方法， 其特征在于， 当网络主机包 含一个具有一个以上 ip地址的接口， 且网络主机在同一接口的 IP地 址之间切换时，步驟 B所述网络主机发送更新后地址到通信对端的方 法具体为：

网络主机在第四请求报文的 HIP_NOTIFY—REA参数中记录所述 接口当前使用的 IP地址， 并向通信对端发出上述第四请求报文； 则步驟 C中， 通信对端更新安全联盟地址的方法为： 通信对端用 从第四请求 4艮文中取出的网络主机当前使用的 IP地址作为更新后的 所述安全联盟地址。

15、 根据权利要求 1所述的方法， 其特征在于， 所述网络主机和 /或通信对端包括安全网关。