[发明专利]移动IP体系结构中的分组处理

说明书

技术领域

本发明涉及移动IP体系结构中的分组处理。本发明特别但不是必 然适用于归属代理(HomeAgent)与移动节点之间的分组的路由选择， 其中，移动节点具有多路接入能力。

背景技术

为了向在(接入)网络内和之间移动的用户终端提供稳定的IP连 接，因特网工程任务组(IETF)已经指定了被称为移动IP的协议。用于 IPv6的移动IP在RFC3775-“IPv6中的移动性支持”(“Mobility SupportinIPv6”)中指定。根据移动IPv6，全局网络内用户终端或移 动节点(MN)的当前位置存储在称为归属代理(HA)的节点中。HA在 MN移动时动态地更新MN的当前位置，以便对于尝试连接它的其它 节点而言MN可到达。这些其它节点被称作通信节点(CN)。用于IPv4 的移动IP在RFC3344中指定。

MN分配有被称作归属地址(HoA)的稳定IP地址。在MN离开其 归属网络(即，分配HoA的网络)时，HA代表MN接收业务，然后将 它向MN隧穿(tunnel)，即，MN与CN之间的通信经由HA发送。MN 的当前位置由转交地址(CoA)指示，并且因此，在HA需要将分组转 发到MN的当前位置时，HA必须将HoA映射到CoA。HoA与CoA 之间的映射称为“绑定”(binding)。

移动IPv6定义被称作“路由优化”的机制，该机制能用于优化由 MN与CN之间的业务所采用的路由，从路由中移除HA。然而，路由 优化不是协议的必需部分，并且由于各种原因它可能不是始终可用。 例如，一些网络地址转换(NAT)服务器可造成路由优化的问题，有效 地使其使用无法实现。

移动通信的最近发展引入了支持用于MN的多路接入能力的需 要。例如，考虑根据两个不同的CoA同时可到达(reachable)的MN。 其中一个CoA可例如与3G接入网络相关联，而另一CoA可与WLAN 接入网络相关联。“monami6”IETF工作组当前在进行有关移动IPv6 中提供多路接入支持的工作。

配有不止一个(接入)通信接口的MN需要控制用于通信的接口使 用的机制，即，将流引导到特定的接口。此类机制将根据与通信流相 关联的选择符来应用定义的策略。为给定流设置的典型选择符可包括 用于流分组的源和目的地地址。在移动IPv6的情况下，此控制机制将 在负责向MN转发数据的HA内实现。在以MN的HoA为目的地的 数据到达HA时，HA决定数据将转发到(MN的)哪个接口。

IPsec(IETFRFC2401-“因特网受保护业务的安全体系结构”)是 意在为IP数据流提供加密和认证(authentication)的因特网协议。能够 预期在未采用路由优化，即数据流传递通过HA的情况下，IPsec将用 于保护MN与CN之间的端对端数据流安全。用于选择应用到数据流 的策略的选择符一般将位于IPsec分组的内层IP报头内。由于IPsec 可加密此内层报头，选择符将不可用于HA，并且因此归属代理将不 能够选择适用于选择符的特定策略，而必须应用一些默认策略。在具 有多路接入能力的MN的情况下，这意味着IPsec受保护流必须经由 可能不是最佳的默认通信接口而进行路由。

类似的情形可在运输路径内并需要其来应用选择符相关策略的其 它节点处发生[参阅IETFRFC4140-“分级移动IPv6移动性管理 (HMIPv6)”]。策略可以与适当通信接口的选择无关，但可与例如将 被应用的服务质量(QoS)或在多个接口上传送的决定有关，例如，双播 (或更一般地，n播)。

发明内容

本发明的目的是提供部件，由此例如归属代理等中间节点能将策 略应用到分组，所述策略取决于IPsec通常保护的分组内的数据。

根据本发明的第一方面，提供了处理使用IPsec安全协议从通信 节点经由中间节点而传送到移动节点的IP分组的方法，该方法包括：

在通信节点处，识别将加密的分组的部分内指定的选择符信息， 并将所识别的信息或其摘要合并入将不加密发送的分组的报头部分；

将分组从通信节点传送到所述中间节点；以及

在中间节点处，接收所传送的分组并使用包含在分组中的所述信 息或摘要来识别将应用到分组的策略，以及将策略应用到分组。