[发明专利]一种建立安全数据隧道的方法及设备

说明书

技术领域

本发明涉及移动通讯领域，尤其涉及一种建立安全数据隧道的方法、移动 通讯设备以及家乡代理通讯设备。

背景技术

移动因特网协议(Internet Protocol，IP)是一种在全球因特网上提供移动功 能的方案，使得移动用户节点在切换链路时仍可以保持正在进行的通信。目前 移动IP(Mobile IP，MIP)包括MIPv4和MIPv6两种不同协议的通讯方式。图 1是现有的MIPv4在FACoA通讯模式下的一种网络架构的示意图；如图1所示， 当采用MIPv4时，移动节点(Mobile Node，MN)从家乡网络中移动到外地网 络后，需要将外地网络分配给该MN的新的转交地址(Care-of Address，CoA) 在家乡代理(Home Agent，HA)上做绑定，这样HA才能将其他实体(图中为 通信伙伴)发送给MN的报文最终发至MN，当采用FA CoA模式(Foreign Agent Care-of Address，外地代理转交地址)时，MN采用FA的地址作为CoA，因此 需要利用FA与HA间的数据隧道将报文转发给MN，以及将MN发送给其他实 体的报文通过FA到HA的数据隧道转发给其他实体，当采用配置转交地址CCoA (Co-located CoA)模式时，也可以直接在MN和HA之间建立数据隧道。

图2是现有的MIPv6的一种网络架构的示意图；如图2所示，数据隧道直 接在MN和HA间建立，即当MN的新的CoA在HA绑定后，直接将其他实体 发送给MN的报文通过HA和MN之间的数据隧道发送至MN，或是MN将报 文通过该数据隧道发送至HA，再由HA发送至其他实体。

代理移动IP(Proxy Mobile IP，PMIP)技术则是在MIP技术的基础上提出 的，为不支持移动IP的终端提供移动性管理服务，其网络结构如图3所示。其 主要的实体有两个：移动IP代理和本地移动性锚点(local Mobility Anchor， LMA)/HA，其中LMA是PMIPv6中的实体，HA是PMIPv4中的实体。移动IP 代理是功能实体，它通常位于移动终端(MS，mobile Station)所在无线网络的接 入实体上，代替移动终端执行移动IP信令。移动IP代理也被称为移动性代理 (Mobility Proxy Agent，MPA)或者代理移动实体(Proxy Mobile Agent，PMA)。 LMA/HA与传统移动IP中的HA功能相同。当移动台(Mobile Station，MS)(是 移动节点的一种)移动到某个移动IP代理的管理范围内，移动IP代理会代替 MS向HA发送移动IP信令，在移动IP代理和HA间建立数据隧道，HA会将 发送给MS的数据首先通过隧道发给移动IP代理，进而由移动IP代理转发给 MS。当MS移动到其他移动IP代理后，目标移动IP代理也会发送移动IP信令， 建立新的数据隧道。因此MS可以在HA的范围内移动，而不需要更改IP地址。

发明人在实现本发明的过程中发现：对于如何保护移动IP的数据隧道， MIPv4和PMIP中没有定义相关的机制，致使数据MIPv4的数据隧道不安全。 而MIPv6定义可以使用IPsec SA来保护用户数据，但IPsec的缺点是利用IKE 建立SA的过程比较复杂，效率较低。

发明内容

本发明所要解决的技术问题在于，提供一种建立安全数据隧道的方法及设 备。可在MIP和PMIP中采用简单的方式建立安全的数据隧道。

为了解决上述技术问题，本发明的实施例提供了一种建立安全数据隧道的 方法，包括：

接收第一设备通过移动IP信令消息发送的安全参数；

根据所述安全参数，选择本设备和所述第一设备都支持的协商安全参数， 并生成用于保护数据隧道的第一密钥；

通过移动IP信令消息将所述协商安全参数发送给所述第一设备，用于所述 第一设备使用所述协商安全参数生成第二密钥，所述第二密钥与所述第一密钥 相同。

相应的，本发明的实施例提供了一种移动通讯设备，该设备包括：

获取单元，用于获取安全参数；

发送单元，用于通过移动IP信令消息将所述安全参数发送至家乡代理通讯 设备；