技術領域

本發明涉及數據通信領域。更具體地，本發明涉及互連的分組交換數據通信網絡的系統中的移動網絡。

背景技術

現今，很多裝置使用網際協議(IP)而彼此通信。為了對移動裝置提供移動性支持，因特網工程任務組(IETF)已開發了“IPv6中的移動性支持”[非專利文獻1]。在移動IP中，每個移動節點具有永久歸屬域(home?domain)。當移動節點附接到其歸屬網絡時，其被分配稱為歸屬地址(HoA)的主全局地址。當移動節點離開時，即當其附接到其它外部網絡(foreign?network)時，通常，其被分配被稱為轉交地址(care-of-address，CoA)的臨時全局地址。移動性支持的思想在于，使得移動節點既使在附接到其它外部網絡時，也能以HoA到達該移動節點。在[非專利文獻1]中，這通過在歸屬網絡引入被稱為歸屬代理(home?agent)的實體而完成。移動節點使用被稱為綁定更新(BU)的消息，向歸屬代理注冊其CoA。這允許歸屬代理創建移動節點的HoA和CoA之間的綁定。歸屬代理負責截取(intercept)尋址到移動節點的HoA的消息，并使用分組封裝(即，放置一個分組作為新分組的有效負載，也被稱為分組隧穿(packet?tunneling))，而將分組轉發到移動節點的CoA。

盡管這允許移動性支持，但出現了被稱為次優化路由(sub-optimalrouting)的問題。這是因為，當移動節點與對端節點(correspondent?node，CN)通信時，在它們之間發送的分組必須通過歸屬代理。為此原因，[非專利文獻1]規定了：移動節點可向對端節點發送BU。一旦對端節點知曉移動節點的HoA和CoA之間的綁定，便可將在它們之間往返的分組直接路由到移動節點的CoA，或從移動節點的CoA直接路由所述分組(而不通過歸屬代理)。然而，現在，安全性是所關心的。可保證從移動節點發送到歸屬代理的BU的安全性，這是因為，假定移動節點及其歸屬代理共享安全關聯。對于移動節點與對端節點來說，這樣的假定變為不實際。

為此，[非專利文獻1]規定了被稱為返回路由能力(return?routability，RR)過程的過程，其允許對端節點確定在BU中指定的HoA和CoA真正搭配(collocate)。本質上，RR過程需要移動節點在向對端節點發送BU之前、從對端節點得到兩個安全生成的令牌。為初始化RR過程，首先，移動節點向對端節點發送兩個不同的消息：歸屬測試初始化(Home-Test-Init，HoTI)消息、以及轉交測試初始化(Care-Of-Test-Init，CoTI)消息。用移動節點的HoA作為分組源經由歸屬代理發送HoTI，并且，用移動節點的CoA作為分組源直接發送CoTI。一旦接收到HoTI，對端節點便將利用發送到移動節點的HoA的歸屬測試(Home-Test，HoT)消息來應答，其中，Home-Test消息包含被稱為Home?Keygen?Token(HoK)的、使用私鑰而基于移動節點的HoA加密地生成的安全令牌。類似地，一旦接收到CoTI，對端節點便將利用發送到移動節點的CoA的轉交測試(Care-Of-Test，CoT)消息來應答，其中，Care-Of-Test消息包含被稱為Care-Of?Keygen?Token(CoK)的、使用私鑰而基于移動節點的CoA加密地生成的安全令牌。一旦移動節點接收到HoT和CoT消息兩者，其便可向對端節點發送包含驗證符(Authenticator)的BU。此驗證符是使用作為HoK和CoK的級聯的密鑰而加密地生成的BU的校驗和(checksum)。這樣，當對端節點接收到該BU時，其可獨立地計算校驗和，并檢驗該校驗和是否等于在驗證符中攜帶的校驗和。這驗證了：在BU中指定的CoA和HoA真正搭配。