当今的因特网已经发展到了这样的阶段：大量数据通信网络围绕在固定 网络节点的系统外围，形成全球网络。这些外围网络被适当地称为边缘网络， 而被边缘网络包围的固定网络节点的系统被称为“核心”。随着无线技术的出 现和增强，这些边缘网络被越来越普遍地用作无线解决方案，从而形成被称 为移动网络或运动网络的特定边缘网络(参见非专利文档1、2、3和4)。
图1是图示上述全球网络的一个示例的图。在包括组成固定网络节点的 CN(对应节点)、AR1(接入路由器1)、AR2、和HA1(本地(home)代理1)的系 统(IP云(cloud))的外围，存在作为边缘网络的用于MN0(移动节点0)的本地网 络、以及在它周围发展起来的移动网络(MR1的本地网络和外部网络)。
本质上，移动网络是这样一种网络，其中，该网络作为整体改变它与因 特网的接触点，并且在不同的接入路由器AR1和AR2(实际上，这种接入路 由器本身也可以是移动的)之间改变其与因特网的接触点的移动网络中，它通 常需要移动路由器(将移动网络连接到因特网的路由器：在图中被表示为 MR1)。移动网络的示例包括连接到一般公众的网络(称为个人区域网络或 PAN)、或者部署在诸如汽车、火车、船、和飞机的交通工具中的传感器网络。 在诸如飞机、火车、公共汽车等的大规模运输系统中，管理者有可能给乘客 提供固定的安装在交通工具上的因特网接入能力，使他们进一步有可能享受 使用用于接入到远程主机的膝上型电脑、个人数字助理(PDA)、或汽车电话的 乐趣。这种移动网络中的每个单独节点(图1中的MN0)通常连接到中央设备 (即，移动路由器MR1)，并且在其网络运动时不会改变其接触点；而是，在 这种情况中，移动路由器MR1改变其接触点，使得网络作为整体移动。
本发明描述所提出的用来解决运动网络的问题的解决方案。本质上，运 动网络的问题在于给作为整体移动的网络中的节点提供连续的因特网连接 性。移动网络中的节点MN0可能不知道网络正在改变其与因特网的接触点； 在这一点上，它与因特网协议版本4(IPv4；非专利文档6)的移动IPv4(非专利 文档5)、和因特网协议版本6(IPv6；非专利文档8)的移动IPv6(非专利文档 7)中处理的移动性支持的经典问题不同。在非专利文档5和7中，其主要目 标是为单独的主机而不是网络整体提供移动性支持。
在移动IP中，每个移动节点具有永久的本地域。当移动节点附接到其本 地网络时，被称为本地地址的永久全局地址被分配给该移动节点。当移动节 点离开(away)，即附接到某些其它外部网络时，通常，被称为转交地址 (care-of-address)的临时全局地址被分配给该移动节点。移动性支持的思想是 即使在移动节点附接到其它外部网络时，也可以在本地地址处联系(reach) 该移动节点。在非专利文档5和7中，这通过引入被称为本地代理的本地网 络实体来实现。移动节点使用被称为绑定更新的消息向本地代理注册它们的 转交地址。本地代理负责拦截定址(address)到移动节点的本地地址的消息， 并使用IP-IP构建隧道(IP-in-IP Tunneling)将分组转发到移动节点的转交地址 (非专利文档9和10)。IP-IP构建隧道包括将原始IP分组封装在另一IP分组 中。该原始分组往往被称为内部分组，而封装该内部分组的新分组往往被称 为外部分组。
将用于单独主机的移动性支持的思想扩展为对节点网络的移动性支持， 用于运动网络的解决方案的目的是提供一种机制，其允许通过访问移动网络 中的节点的永久地址来联系它们，而不管该移动网络附接到因特网上的哪个 位置。已经有若干用于解决运动网络的问题的主要尝试，它们全部基于移动 IP(非专利文档5、7)。
所提出的用于运动网络的解决方案之一是移动路由器支持(非专利文档 11)。其中，在管理移动网络的移动路由器位于其本地域的情况中，移动路由 器通过使用若干路由选择协议对来自/去往移动网络的分组执行路由选择，而 在移动路由器和移动网络移动到外部域的情况中，移动路由器向其本地代理 注册转交地址，并随后在该移动路由器和本地代理之间设置IP-IP构建隧道。 在移动路由器位于其本地域时使用的路由选择协议也在IP-IP构建隧道上再 次执行。这意味着前往移动网络的所有分组被本地代理拦截，并然后通过 IP-IP构建隧道被转发给移动路由器。移动路由器随后将分组转发给移动网络 中的主机。在移动网络中的节点希望发送分组到网络外部的情况中，移动路 由器拦截该分组，以通过IP-IP构建隧道将它们转发给本地代理，并且随后， 本地代理将分组转发给所希望的接收者。
在非专利文档12中提出的另一解决方案是移动路由器支持(非专利文档 11)的增强。该解决方案包含使用反向路由选择报头(Reverse Routing Header)， 以便避免在嵌套(nesting)形成移动网络(即，一个移动网络被连接到另一移 动网络)的情况中的太多等级(level)的封装。这里，最低等级的移动网络在隧 道分组内部将反向路由选择报头设置为它的本地代理。一旦较高等级的移动 路由器在途中拦截了该隧道分组，该较高等级的移动路由器跳过将此分组封 装到另一IP-IP构建隧道中；而是，该较高等级的移动路由器将分组中的源地 址复制到反向路由选择报头中，并放置它自己的转交地址作为源地址。以这 一方式，在第一移动路由器的本地代理接收到分组的情况中，该本地代理能 够确定位于第一移动路由器和该本地代理自己之间的路径上的移动路由器 链。随后，在本地代理希望将所拦截的另一分组转发给第一移动路由器的情 况中，有可能在所转发的分组中包含路由选择报头(非专利文档8)，使得经过 更高等级的移动路由器将分组直接发送到第一移动路由器。
对运动网络的问题的第三解决方案由非专利文档13提出，其被称为前缀 范围绑定更新(Prefix Scope Binding Update)。其中，提出了这样的解决建议， 该建议将与移动网络前缀有关的信息添加到由移动路由器发送的绑定更新 中。通过那样做，本地代理能够猜到带有与绑定更新所识别的前缀匹配的前 缀的节点连接到移动路由器，并且，因此，本地代理能够将前往这种节点的 分组转发到移动路由器。
在非专利文档11中，IP-IP构建隧道的使用引起被称为路线三角剖分 (route triangulation)的有害效果。在从某个节点到另一节点的分组需要经过不 位于它的起点(源)到终点(目的地)之间的最佳路线上的第三方(此情况中的本 地代理)的情况下，产生这一有害效果，并且，在以嵌套形成移动网络的情况 中，路由三角剖分的影响应当包含在内。例如，考虑必须通过3个移动路由 器转发的来自移动网络的分组。使用非专利文档11提出的解决方案，需要将 分组封装在3个不同的隧道中。在这里，每个隧道前往不同移动路由器的不 同本地代理。大量的这种构建隧道不仅导致分组传递中的显著延迟，还因为 由于封装引起整个分组大小增大而增大了分组在途中断裂的可能性。重新组 装这种发生断裂的分组导致处理中的进一步延迟，并且，即使当碎片中的一 片丢失时，也必须丢弃整个分组。
非专利文档12提出的解决方案尝试通过避免大量隧道来克服所述问题。 在此解决方案中，如果第一移动路由器设置了与其本地代理的IP-IP隧道，那 么这就足够了。后续的移动路由器不会进行分组的进一步封装；而是，这些 路由器将反向路由选择报头记录在原始源地址中，利用它们的转交地址来改 变该源地址，并将分组转发到其目的地而不经过这些路由器的本地代理。尽 管这一解决方案非常有效并且解决了很多隧道的问题，但是本地代理验证记 录在反向路由选择报头中的地址列表的可靠性是非常困难的。根据非专利文 档12，因为不管为哪个分组构建路由选择报头，都是要将其直接转发给移动 路由器，所以需要使用反向路由选择报头中的地址列表的本地代理，并且因 此，本地代理能够验证记录在反向路由选择报头中的地址是可信地址是非常 重要的。对于抵抗反向路由选择报头必须面对的安全保障的威胁，非专利文 档12的解决方案没有提供改进。
克服大量构建隧道的问题的另一简单的解决方案是使位置较后的移动路 由器有可能将外部分组直接转发到指定的目的地(而不是在通向移动路由器 的本地代理的构建隧道的等级上进行外部分组的封装)。然而，即使利用这一 解决方案，接收者也不可能验证最外面的分组来自可信源，并且因此，它必 须面对同样的安全问题。
应注意，在说明书中，被称为非专利文档1的文档是Soliman H.和 Pettersson M.所著的“Mobile Networks(MONET)Problem Statement and Scope”(Internet Draft：draft-soliman-monet-statement-00.txt，Feb 2002，Work in Progress)；被称为非专利文档2的文档是Ernst T.和Lach H.所著的“Network Mobility Support Requirements”(Internet Draft： draft-ernst-monet-requirements-00.txt，Feb 2002，Work In Progress)；被称为非 专利文档3的文档是Lach H.等著的“Mobile Networks Scenarios，Scope and Requirements”(Internet Draft：draft-lach-monet-requirements-00.txt，Feb 2002， Work In Progress)；被称为非专利文档4的文档是Kniventon T.J.和Yegin A.E. 所著的“Problem Scope and Requirements for Mobile Networks Working Group” (Internet Draft：draft-kniventon-monet-requirements-00.txt，Feb 2002，Work In Progress)；被称为非专利文档5的文档是Perkins C.E.等著的“IP Mobility Support”(IETF RCF 2002，October 1996)；被称为非专利文档6的文档是 DARPA著的“Internet Protocol”(IETF RFC 791，September 1981)；被称为非 专利文档7的文档是Johnson D.B.、Perkins C.E.和Arkko J.所著的“Mobility Support in IPv6)(Internet Draft：draft-ietf-mobileip-ipv6-18.txt，Work In Progress，June 2002)；被称为非专利文档8的文档是Deering S.和Hinden R. 所著的“Internet Protocol Version 6(IPv6)Specification”(IETF RFC 2460， December 1998)；被称为非专利文档9的文档是Simpson W.著的“IP-in-IP tunneling”，(IETF RFC 1853，October 1995)；被称为非专利文档10的文档是 Conta A.和Deering S.所著的“Generic Packet Tunneling in IPv6”(IETF RFC 2473，Dec 1998)；被称为非专利文档11的文档是Kniveton T.著的“Mobile Router Support with Mobile IP”(Internet Draft：draft-kniveton-mobrtr-01.txt， Work In Progress，Mar 2002)；被称为非专利文档12的文档是Thubert P.和 Molteni M.所著的“IPv6 Reverse Routing Header and Its Application to Mobile Networks”(Internet Draft：draft-thubert-nemo-reverse-routing header-00.txt， Work In Progress，Jun 2002)；被称为非专利文档13的文档是Ernst T.、 Castelluccia C.、Bellier L.、Lach H.和Olivereau A.所著的“Mobile Networks Support in Mobile IPv6(Prefix Scope Binding Updates)”(Internet Draft：draft- ernst-mobileip-v6-network-03.txt，Mar 2002)；并且被称为非专利文档14的文 档是Narten T.、Nordmark E.和Simpson W.所著的“Neighbour Discovery for IPv6”(IETF RFC 2461，Dec 1998)。

为了解决在背景技术部分中提到的问题，根据本发明，一种移动网络元 件采用这样的机制，其用于将与移动节点所附接到的接入路由器有关的信息 传递到它的本地代理或其它对应节点。使用这一信息，在不引起路线三角剖 分中施加的代价的情况下，本地代理或对应节点能够构建用于将分组直接发 送到移动节点的路由选择报头。与移动节点所附接到的路由器有关的信息由 该移动节点自己发送，并且，因此，必然确保了信息的可靠性。
此外，因为本地代理或其它对应节点接收到与移动节点所附接到的路由 器有关的信息，所以有可能验证通过隧道到达的具有接入路由器的一个外部 源地址的分组来自可信的源。因而，由于接收者有可能验证转发路由器的可 靠性，因此移动路由器有可能将外部分组直接转发到指定目的地。
本发明包括分组交换数据网络的网际互联。这些网络中的某些网络是运 动的；例如，控制所述网络的内部网络侧接口的路由器改变其接触点。本发 明提供了对现有解决方案的增强，以便提供与漫游主机的全球连接性，并且， 作为其结果，有可能获得这种与漫游主机的全球连接性。
本发明公开了将在三种主要类型的节点中使用的若干算法。这些类型是： 移动主机，它们改变自己与全球数据通信网络的接触点；移动路由器，其控 制移动网络的内部网络侧接口；以及全球数据通信网络上的其它主机，其进 行与移动主机和移动路由器的通信。通过充分运用这些算法，有可能以最小 的延迟将前往/来自运动网络的分组传递到预期的目的地。
附图说明
图1是图示全球网络的一个示例的图；
图2是图示根据本发明实施例的网络元件设备的配置的方框图；
图3是图示用于更新绑定条目的算法的一个示例的流程图；
图4是图示用于构建路由选择报头的算法的一个示例的流程图；
图5是图示由路由器执行的用于安全验证的算法的一个示例的流程图；
图6是图示由移动节点执行的用于安全验证的算法的一个示例的流程 图；
图7是图示用于处理直接转发请求的算法的一个示例的流程图；和
图8是图示由其它主机执行的用于安全验证的算法的一个示例的流程 图。

下面，将参考附图详细描述本发明的实施例。
这一部分公开了一种用于提供与全球网络中的其它网络的漫游连接的方 法。为了帮助理解所公开的本发明，使用了以下定义：
“分组”是可在数据网络上传递的任意可能格式的独立数据单元。“分组” 通常由两部分组成：“报头”和“有效载荷”部分。“有效载荷”部分包含要 传递的数据，而“报头”部分包含协助分组传递的信息。“报头”必须具有源 地址和目的地地址，以分别识别“分组”的发送者和接收者。
“分组构建隧道”是指被封装到另一分组中的独立分组。“分组构建隧道” 的行为也称为分组的“封装”。被封装的分组称为“埋入(tuneled)分组” 或“内部分组”，而封装“内部分组”的分组被称为“构建隧道(tunneling) 分组”或“外部分组”。这里，整个“内部分组”形成“外部分组”的有效载 荷部分。
“移动节点”是改变自己与全球数据通信网络的接触点的网络元件，并 且，对于最终用户终端或可改变其与全球数据通信网络的接触点的起到网关、 路由器、和智能集线器的作用的中间网络元件，可以使用它。作为“移动节 点”的最终用户终端被更明确地称为“移动主机”，而作为“移动节点”的起 到网关、路由器、或智能集线器的作用的中间网络元件被更明确地称为“移 动路由器”。
移动节点的“接入路由器”是起到网关、路由器、或智能集线器的作用 的中间网络元件，其连接为使得上述移动节点通过上述网络元件而获得到全 球数据通信网络的通路。
“本地地址”是分配给移动节点的基本全局地址，其可用来联系该移动 节点，而不管该移动节点当前附接到全球数据通信网络上的哪个位置。
在移动节点的本地地址与接触点附近使用的地址拓扑一致的位置处附接 到全球数据通信网络的移动节点被称为“在本地(at home)”，并且，由单个管 理当局(administrative authority)控制的这一接触点附近被称为该移动节点的 “本地域”。
在移动节点的本地地址与接触点附近使用的地址拓扑不一致的位置处附 接到全球数据通信网络的移动节点被称为“离开”，并且，由单个管理当局控 制的接触点附近被称为“外部域”。
“转交地址”是分配给离开的移动节点的临时全局地址，从而所分配的 “转交地址”与在全球数据通信网络的接触点附近使用的地址拓扑一致。一 般而言，“转交地址”仅在移动节点附接到同一接入路由器时有效。
“本地代理”是驻留在移动节点的本地域内的网络实体，其在移动节点 离开的情况中执行移动节点的转交地址的注册服务，并将定址到移动节点本 地地址的分组转发到该移动节点的转交地址。
“对应节点”对应于移动节点与其进行通信的全球通信网络上的所有网 络元件。
“绑定更新”是从移动节点发送到它的本地代理或它的对应节点的消息， 其将发送者(移动节点)的当前转交地址通知给接收者(本地代理或对应节点)。 这在接收者处形成了移动节点的转交地址和本地地址之间的“绑定”。
“绑定确认”是从绑定更新消息的接收者发送到上述绑定更新消息的发 送者的消息，其指示绑定结果。
“路由选择报头”是添加到分组中的一段信息，其指示分组应当转发到 的全球数据通信网络中的中间路由器。通常，全球数据通信网络中的路由器 基于分组的目的地而执行分组转发，而“路由选择报头”通过包括中间目的 地列表来修改它的行为。为了使用“路由选择报头”，发送者将他/她预期的 接收者的地址置于路由选择报头的最后条目中，并将第一中间目的地放置在 分组的终点地址中。接收到分组以后，第一目的地更新提供有“路由选择报 头”的分组，并随后进行安排，使得该分组被转发到第二中间目的地(也就是 说，用“路由选择报头”中的下一条目代替该分组的终点地址)。重复这一循 环，直到分组到达最后的中间目的地为止，在那里，“路由选择报头”被更新， 以允许将分组转发给其实际的预期目的地。对于“路由选择报头”的操作的 更详细的解释，建议读者参考非专利文档8。
支持或实施本发明中公开的方法和机制的每个网络元件被称为“实现本 发明的”网络元件。
在以下描述中，出于解释的目的，阐述特定的数字、次数(times)、结构、 和其它参数，以便提供对本发明的透彻理解；然而，对本领域技术人员显而 易见的是，可以在没有这些特定细节的情况下实践本发明。
在全球数据通信网络中，因为根据所公开的本发明的网络元件与不实现 本发明中公开的方法和机制的网络元件混合在一起，所以某种实现本发明的 路由器有必要表明它们可以使用本说明书中描述的方法和机制。这将通过路 由器将唯一的信号插入到该路由器不定期地向其相邻设备广播的消息中来实 现。本领域技术人员应当能够认识到允许网络元件将它们的能力通知给其它 网络节点的各种现有方法。
此外，根据来自上述移动路由器的特定广播消息，连接到由该移动路由 器控制的网络段的移动节点应当能够得知上述移动路由器的本地地址。
例如，在因特网协议版本6(非专利文档8)的情况下，有可能将本地地址 选项插入通过IPv6附近搜索(非专利文档14)识别的路由器广告消息中，其中， 所述路由器广告消息用于宣传它的本地地址，并由实现本发明的路由器发送。 本地地址选项应包括以下字段：(1)类型字段，用于识别该选项是本地地址选 项；(2)长度字段，指示该选项的大小；以及(3)本地地址字段，用于识别发送 者的本地地址。
如下面所述，在实现本发明的路由器所发送的广播消息中，移动节点随 后能够在该移动节点发送的绑定更新消息中具有该移动节点所附接到的接入 路由器的本地地址。这仅在接入路由器是实现本发明的路由器的情况中才有 可能。
有可能以各种可实施的不同方法将这种信息嵌入到绑定更新消息中，这 取决于在全球数据通信网络中使用的基本协议。例如，在因特网协议版本6(非 专利文档8)的情况中，可以将接入路由器地址选项插入到移动IPv6(非专利文 档7)中指定的绑定更新消息中，并且，这种选项应包括以下字段：(1)接入路 由器地址选项，用于识别该选项是接入路由器的本地地址；(2)长度字段，指 示该选项的大小；以及(3)接入路由器地址字段，用于识别发送者所附接到的 接入路由器的本地地址。
图2是图示实现上述操作的网络元件设备100的主要结构的方框图。该 网络元件设备100包括接入部件101和消息产生部件102。
在全球网络中，网络元件设备100拥有唯一地分配给它的全局地址，并 且，当前使用这一地址附接到接入路由器AR1。然后，因为设备本身向前移 动，并且因为建立与该设备当前所属的网络不同的另一边缘网络的漫游连接 成为必要，所以进行以下操作。
首先，接入部件101使用从全球网络中的上级站(upper station)(图中未示 出)临时分配给网络元件设备100的另一全局地址获得通向接入路由器2的通 路。
消息产生部件102产生绑定更新消息，其包含唯一地分配给网络元件设 备100的全局地址、临时分配的全局地址、以及作为移动前的服务路由器的 接入路由器AR1的全局地址。
接入部件101将在消息产生部件处产生的绑定更新消息发送到作为移动 后的服务路由器的接入路由器AR2。
这允许接入路由器AR2和随后的中继节点获得作为网络元件设备100移 动前的服务路由器的接入路由器AR1的全局地址。
当实现本发明的接收者(其可以是移动节点或对应节点的本地代理)接收 到此绑定更新消息时，接收者能够将该消息记录在表或列表中。这种表或列 表中的条目在下文中被称为绑定条目，其应包括至少以下三个字段：(1)本地 地址字段，包含移动节点的本地地址；(2)转交地址字段，包含移动节点的转 交地址；以及(3)接入路由器地址字段，包含接入路由器的本地地址。从绑定 更新消息中取出这三个字段的值是有可能的。
图3是示出将在实现本发明的网络元件处使用的算法的流程图，该算法 用于在实现本发明的网络元件接收到绑定更新消息(图中简写为BUM)时更新 绑定条目。
在表示为符号ST 101的步骤中，在绑定条目中搜索具有与绑定更新消息 中的本地地址相同的本地地址字段的条目。在未发现所搜索的条目的情况中， 如表示为符号ST 102和ST 103的步骤所示，产生新条目。然后，在绑定更 新消息没有包含转交地址的情况中，或者在其转交地址与其本地地址相同的 情况中，假设绑定更新消息的发送者现在回到他/她的本地域，并且因此如表 示为符号ST 104、ST 105、和ST 106的步骤所示，从绑定条目中移除该条目。 另一方面，在绑定更新消息包含转交地址的情况中，如表示为符号ST 107的 步骤所示，该条目中的转交地址被更新为在绑定更新消息中识别出的转交地 址。此外，在绑定更新消息包含接入路由器的本地地址的情况中，如表示为 符号ST 108和ST 109的步骤所示，该条目中的接入路由器地址字段经过更 新。相反，在绑定更新消息不包含接入路由器本地地址的情况中，假设绑定 更新的发送者附接到不实现本发明的接入路由器，并且，在这种情况中，如 表示为符号ST 110的步骤所示，在接入路由器地址字段中指明该字段无效。
绑定更新的发送者能够自由地请求绑定确认，该绑定确认允许绑定更新 的接收者将更新结果通知给它的发送者。在接收到包含有效接入路由器地址 信息的绑定更新的实现本发明的接收者以绑定确认进行回复时，有必要以这 样的方式预先确定绑定确认中的索引(index)，使得绑定确认的接收者能够猜 到绑定确认的发送者是实现本发明的发送者。对本领域技术人员来说应当显 而易见的是，可以利用例如绑定确认中的位标志或特定的位流模式、或者以 不限于此的其它各种任意方法来实现这样的编索引(indexing)。
利用绑定条目，对应节点或本地代理有可能构建允许直接传递到移动节 点的路由选择报头。路由选择报头可以构建为使得分组首先被转发到接入路 由器的本地地址，然后被转发到移动节点的转交地址。以这一方式，分组没 有必要遍历移动节点的本地域，而是，本地代理拦截该分组，并随后使用其 转交地址将其转发给移动节点。
在接入路由器本身也移动并且离开的情况中，即时使用了路由选择报头， 也能断定分组仍然采取间接路线。这是因为本地域路线是为转发到离开的接 入路由器的本地地址的分组而设置的。接入路由器的本地代理拦截该分组， 并使用接入路由器的转交地址将该分组转发到接入路由器。
通过使实现本发明的接入路由器将绑定更新发送到实现本发明的移动节 点的本地代理和对应节点，还有可能优化分组传递。此外，如果接入路由器 是实现本发明的路由器，则该接入路由器自己的本地地址应该添加到绑定更 新中。在接入路由器移动的情况中(在它是移动的情况中)，为了避免显著延迟， 任何实现本发明的移动节点都应当保持该节点向其发送绑定更新的其它主机 的(本地代理和对应节点的)列表。在下文中，这种列表被称为绑定主机列表。 在移动节点移动的情况中，移动节点应当通过向各个节点发送绑定更新来通 知绑定主机列表上的主机，然而，为了避免每次移动节点移动时的绑定更新 爆发(burst)，在绑定更新的连续发送之间应该有轻微的移位。
在移动节点和实现本发明的接入路由器使用绑定更新给主机发送通知的 情况下，任何本地代理和对应的实现本发明的节点都能够获得足够的与该移 动节点外围的网络拓扑有关的知识，以优化向移动节点的分组传递。为了做 到这一点，当从绑定条目构建路由选择报头时，有可能采用如下所示的算法。
图4是示出当构建用于将分组直接传递到移动节点的路由选择报头时， 将在网络主机处使用的算法的流程图。绑定条目用于以递归的方式获得移动 节点及其接入路由器的转交地址，而使用堆栈来存储这些地址，使得当构建 路由选择报头时有可能以相反的顺序返还所述地址。
在此算法中，使用堆栈(后入先出信息存储结构)来协助构建路由选择报 头。在表示为符号ST 201的步骤中，堆栈被初始化，以将它自己清空，然后， 如表示为符号ST 202的步骤所示，分别利用分组源(即，发送该分组的本地 代理或对应节点)的地址及其终点地址(即，移动节点的本地地址)来设置两个 临时变量“src”和“dst”。随后，算法进入如表示为符号ST 203-ST 209的 步骤所示的处理循环，并且，在该循环中，在绑定条目中执行搜索以查找具 有与存储在dst中的值匹配的本地地址字段的条目。在未发现所搜索的条目的 情况中，如表示为符号ST 203和ST 204的步骤所示，处理离开该循环，而 在发现了所搜索的条目的情况中，检查dst中的值，以确认这个值是否是移动 节点的本地地址(应当只在第一次重复该循环时获得正确结果)。在确认这个值 是移动节点的本地地址的情况中，如表示为符号ST 204、ST 205、和ST 206 的步骤所示，dst中的值被放入堆栈中。
接下来，如表示为符号ST 207的步骤所示，算法更新要存储在绑定条目 中发现的转交地址字段内的dst中的值。随后，检查绑定条目的接入路由器地 址字段，以确认该字段是否包含有效地址。在该字段包含有效地址的情况中， 如表示为符号ST 208和ST 209的步骤所示，重复该循环。在ST 209中，dst 字段中的内容也被放入堆栈中，而在接入路由器字段无效的情况中，处理退 出该循环。一旦处理离开该循环，则如表示为符号ST 210和ST 211的步骤 所示，堆栈的内容被以相反的顺序推出，以添加到路由选择报头中。此外， 在堆栈被清空的情况中，如表示为符号ST 212的步骤所示，分组终点字段被 设置为存储在dst中的值，并且算法结束。
另一方面，尽管以这一方式构建的路由选择报头使得有可能优化传递到 移动节点的分组的路由选择，但是它也招致了某种安全威胁。最严重的威胁 在于攻击者能够构建反映来自移动网络中的节点的分组的特定路由选择报 头，并且，作为其后果，攻击者到达如果他/她使用其它方法所不能接入的部 分全球数据通信网络成为可能。为了避免这样的安全侵害，任何实现本发明 的移动节点都应当遵循下面描述的算法，以丢弃怀疑为伪造的所有分组。
图5是示出当路由器拦截了发送到与局部网络中的路由器相连的路由器 的分组时，将由该路由器执行的算法的流程图。这一测试顺序使得有可能减 小局部网络对抗安全威胁的脆弱性。
一旦路由器拦截到分组，如表示为符号ST 301和ST 303的步骤所示， 首先，路由器检查其终点地址与其本地地址或其转交地址是否匹配。在终点 地址与本地地址匹配的情况中，如表示为符号ST 302的步骤所示，分组被消 耗(使用)。或者，在终点地址与转交地址匹配的情况中，如表示为符号ST 304 的步骤所示，检查路由选择报头的存在。此外，在终点地址与本地地址或转 交地址都不匹配的情况中，如表示为符号ST 305的步骤所示，检查终点地址 是否是连接到该路由器的局域网中的有效地址。在该终点地址是连接到该路 由器的局域网中的有效地址的情况中，如表示为符号ST 311的步骤所示，分 组被转发到它的目的地，而在终点地址不是连接到该路由器的局域网中的有 效地址的情况中，如表示为符号ST 310的步骤所示，分组被丢弃。
此外，在表示为符号ST 304的步骤中，检查路由选择报头的存在，并且， 在它不存在的情况中，如表示为符号ST 310的步骤所示，分组被丢弃。或者， 在路由选择报头存在的情况中，检查路由选择报头中的下一个地址是不是最 后的条目。在路由选择报头中的下一个地址不是最后条目的情况中，用分组 的终点地址代替该条目，并且，如表示为符号ST 306、ST 307、和ST 305的 步骤所示，再次检查该终点地址是否是连接到路由器的局域网中的有效地址； 而在路由选择报头中的下一个地址是最后的条目的情况中，如表示为符号ST 306和ST 308的步骤所示，检查该最后的条目，以确认它是否是路由器的本 地地址。在它是本地地址的情况中，如表示为符号ST 109的步骤所示，分组 被消耗(使用)，而在它不是本地地址的情况中，如表示为符号ST 310的步骤 所示，分组被丢弃。
图6是示出将由移动节点(即，不起到路由器作用的移动节点)使用的算 法的流程图，并且，该图图示了当移动节点接收到分组时，该移动节点进行 的检查处理。这里描述的检查过程使得有可能减小移动节点对抗安全威胁的 脆弱性。
首先，在表示为符号ST 401的步骤中，检查终点地址，以确认它是否是 移动节点的本地地址。如果是，则如表示为符号ST 406的步骤所示，分组被 消耗(使用)，而在它不是移动节点的本地地址的情况中，如表示为符号ST 402 的步骤所示，检查终点地址，以确认它是否是移动节点的转交地址。在它不 是移动节点的转交地址的情况中，如表示为符号ST 407的步骤所示，分组被 丢弃，而在终点地址与移动节点的转交地址匹配的情况中，检查路由选择报 头的存在。此外，如表示为符号ST 403、ST 404、和ST 405的一系列检查步 骤所示，剩余的路由选择报头条目是一个，并且，因此，该条目一定是移动 节点的本地地址。在这些测试的任意一个都失败的情况中，如表示为符号ST 407的步骤所示，分组被丢弃，而在所有测试均通过的情况中，如表示为符 号ST 406的步骤所示，分组被消耗(使用)。
上面的描述全面解释了这样的方法，其将分组传递到移动节点而不经过 该移动节点的本地代理和接入路由器，从而减小了传递等待时间。下面公开 的描述集中于从移动节点发送的分组。在这里应当注意，在离开的移动节点 发送分组的情况中，它使用它自己的转交地址作为分组源。在所部署的很多 分组交换数据网络中，因为出于安全原因采用进入过滤(ingress filtering)而这 么做。进入过滤施加来自局部网络的分组的丢弃，这是因为被丢弃的分组具 有与上述局部网络中使用的地址拓扑不一致的源地址。在离开的移动节点使 用其本地地址作为源地址、以便从外部域内发送分组的情况中，存在由于进 入过滤而丢弃分组的可能性。因此，为了避免进入过滤，将它的转交地址(具 有与外部域中使用的地址的拓扑一致性的地址)用作源地址。为了帮助接收者 识别分组的创建者，离开的移动节点在分组报头中包括其本地地址。因此， 综上所述，在离开的移动节点发送分组的情况中，该移动节点将其转交地址 填充到分组的源地址中，并将其本地地址作为特定信息插入分组报头中。
在移动节点得知接入路由器是实现本发明的路由器的情况中，接入路由 器将从移动节点发送的分组直接转发到它的目的地，而不涉及接入路由器和 接入路由器的本地代理之间的分组的隧道构建成为可能。
通过将信号插入分组报头中，这成为可实施的。有可能将此信号配置为 任意位的格式或特定的位流模式。利用这种信号的存在，在不使用任何分组 构建隧道或封装技术的情况下向实现本发明的路由器表明：分组的发送者正 向路由器请求尝试将分组直接转发到它的目的地。在此文档中，这一信号此 后被称为“直接转发请求”。
此外，在较后位置处的任何路由器都不希望尝试在不使用任何分组构建 隧道或封装技术的情况下将分组直接转发到它的目的地的情况中，中间路由 器有可能禁止直接转发请求信号。在任意实现本发明的移动路由器拦截此分 组、并随后得知该分组中指明了直接转发请求的情况中，该移动路由器随后 检查分组的源地址是否是来自局部网络的有效地址。如果不是，则意味着在 分组的创建者和路由器自己之间存在至少一个不实现本发明的中间网络元 件，并且，在这种情况中，路由器不能执行直接转发。接下来，移动路由器 检查分组是否具有提供有特定目的地的绑定更新。如果是这样，则移动路由 器将源地址改变为转交地址，以将分组发送到它的目的地。另一方面，对于 其它情况，分组被封装，以通过隧道发送给移动路由器的本地代理，并在移 动路由器的本地代理处被解封装，以便被转发到它的实际目的地。当然，这 以移动路由器离开它的本地这一前提为基础，并且，在它在本地的情况中， 没有必要检查直接转发请求。移动路由器拦截的来自局部网络的所有分组都 被缺省地转发到它的目的地，而没有必要将分组通过隧道发送给本地代理。
图7是示出将由路由器使用的算法的流程图，该算法用于处理出网 (outbound)的分组，即，由连接到路由器的局部网络中的节点向全球数据 通信网络的其它主机发出的分组。
如表示为符号ST 501的步骤所示，在离开本地的实现本发明的移动路由 器拦截到分组的情况中，首先，如表示为符号ST 502的步骤所示，移动路由 器检查该分组是不是以直接转发请求为特征。接下来，如表示为符号ST 503 的步骤所示，检查分组中的源地址是否是局部网络中的移动路由器的有效地 址。最后，如表示为符号ST 504的步骤所示，检查指定目的地，以确认它是 否是移动路由器以前发送绑定更新的地方。在这三项测试的任何一个答案为 否定的情况中，如表示为符号ST 505的步骤所示，分组通过构建隧道而被转 发给本地代理。另一方面，如果不是这样，则如表示为符号ST 506的步骤所 示，分组被直接转发。在这里，实现本发明的移动路由器修改分组报头，并 且，作为其结果，源地址被转交地址代替。
因为分组的源地址在途中被路由器改变，所以必须有这样的方法，其允 许分组的接收者验证已经从可靠源发送了该分组。在分组报头中包含发送该 分组的移动节点的本地地址提供了一种形式的验证方法。然而，攻击者有可 能伪造分组，然后将伪造的本地地址信息插入其分组报头中。因此，接收者 能够验证所接收的分组的源地址是经授权的实现本发明的发送者(这里的发 送者与具有指定本地地址的移动节点有关)的接入路由器是非常重要的。作为 用于该目的的一个方法，存在一种用于通过绑定条目进行检查的方法，其使 得有可能验证所接收的分组的源地址与插入其分组报头中的本地地址相关 联。
图8是图示用于验证这种关系的处理算法的流程图。也就是说，该图示 出了这样的验证过程：其由诸如本地代理或对应节点的网络主机使用，以便 通过最后的绑定更新而检查具有指定源地址的分组与其分组报头中包含的本 地地址相关联。基本上在该图中示出的算法研究重复的绑定条目，以便验证 源地址和本地地址之间的关系。
在所述关系可验证的情况中，图中示出的算法返回布尔值TRUE(真)，或 者在其它情况中返回布尔值FALSE(假)。首先，当该算法开始时，如表示为 符号ST 601的步骤所示，变量“temp”被初始化，以便存储在分组报头中识 别的本地地址。该算法随后进入循环(用符号ST 602-ST 607表示的循环)， 以便详细检查绑定条目。首先，针对分组的源地址，检查temp中的值。如果 它们匹配，则如表示为符号ST 602的步骤所示，算法返回TRUE，而如果它 们不匹配，则如表示为符号ST 603的步骤所示，算法在绑定条目中搜索具有 与存储在temp中的值匹配的本地地址字段的条目。如果未发现所搜索的条 目，则如表示为符号ST 604的步骤所示，算法返回FALSE，而如果发现了所 搜索的条目，则如表示为符号ST 605的步骤所示，算法将分组的源地址与所 发现的条目的转交地址字段相比较。在二者彼此相等的情况中，所述关系被 证实，并且算法返回TRUE，而在二者彼此不相等的情况中，如表示为符号 ST 606的步骤所示，检查所发现的条目的接入路由器地址字段是否包含有效 的条目。在接入路由器地址字段无效的情况中，算法返回FALSE，而在接入 路由器地址字段有效的情况中，接入路由器地址字段中的地址被存储在temp 中，并重复该循环，如表示为符号ST 607的步骤所示。
实现本发明的基本节点有必要执行绑定条目和如图3所示的更新该绑定 条目的算法。此外，其应当以具有这样的特定信息的绑定确认为特征，其中， 所述特定信息允许绑定确认的接收者意识到与对应绑定更新消息中的接入路 由器的本地地址有关的信息被接收到。
此外，对于安全性，实现本发明的节点有必要执行如图8所示的检查所 接收的分组的源地址的算法。归根到底，实现本发明的基本节点有必要执行 如图4所示的算法，该算法构建路由选择报头，使得优化到实现本发明的移 动节点的分组传递成为可能。
此外，由此得出结论：实现本发明的节点在接收到绑定更新消息之后， 马上通过特定的接入路由器开始将分组转发给该绑定更新消息的发送者，其 中，所述绑定更新消息具有与上述发送者所附接到的接入路由器的本地地址 有关的附加信息。这意味着在接收到绑定更新之后从实现本发明的节点发送 的任意分组具有以下特性之一：(1)上述分组具有被设置为接入路由器的本地 地址的源地址字段，伴随着仅包含上述绑定更新的发送者的转交地址和本地 地址的路由选择报头；(2)上述分组具有被设置为接入路由器的本地地址的源 地址字段，伴随着包含上述绑定更新的发送者的转交地址作为初始条目的路 由选择报头。
上述接入路由器还应当将包含其转交地址的绑定更新发送给同一个实现 本发明的节点，并且，从实现本发明的节点发送的分组具有以下特性之一： (1)上述分组具有被设置为接入路由器的转交地址的源地址字段，伴随着仅包 含上述绑定更新的发送者的转交地址和本地地址的路由选择报头；(2)上述分 组具有被设置为接入路由器的转交地址的源地址字段，伴随着包含上述绑定 更新的发送者的转交地址作为初始条目的路由选择报头；或者(3)上述分组被 附加了包含上述绑定更新的发送者和接入路由器的转交地址的路由选择报 头，其中，接入路由器的转交地址将紧靠在上述绑定更新的发送者的转交地 址的前面放置。
除了为实现本发明的基本节点指定的这种功能以外，必须利用将直接转 发请求插入分组中的功能和将接入路由器的本地地址插入绑定更新消息中的 功能来实施实现本发明的移动节点。在移动节点不起到移动路由器的作用的 情况中，有必要执行如图6所示的用于检查输入的分组的算法。
除了为实现本发明的移动节点指定的内容以外，实现本发明的移动路由 器必须实施如图7所示的检查来自局部网络(即，上述路由器的内部网络侧接 口(进入接口))的分组中的直接转发信号的功能。此外，对于从外部网络侧接 口(外出接口)到达的分组，如图5所示，路由器必须进行安全检查。
此外，在从内部网络侧接口接收到包含直接转发请求信号的分组之后， 实现本发明的节点可以通过将分组的源地址改变为该节点自己的转交地址或 本地地址来简单地转发分组。这发生在接入路由器的绑定主机列表包含在分 组的目的地字段中指定的主机的时候，并且在绑定主机列表上没有列出指定 目的地的情况中，实现本发明的路由器也能将绑定更新消息发送到指定目的 地。
本发明的第一方面是一种在分组交换数据通信网络的网际互联中使用的 用于提供与漫游网络的全球连接性的方法，其中，通信网络中的网络元件由 基本全局地址唯一地定址，使得即使网络元件在通信网络中的任何地方漫游 时，都可以联系到它，而在漫游的网络元件附接到单个接入路由器期间，可 以给在通信网络中漫游的网络元件分配临时全局地址，由此，漫游的网络元 件获得了到全球数据通信网络的通路，该方法包括将绑定更新消息从漫游网 络元件发送到单个或多个其它网络元件的步骤，其中，绑定更新消息包含发 送的漫游网络元件的基本全局地址和临时全局地址，其目的是允许接收的网 络元件将指定的临时全局地址与指定的基本全局地址相关联，并且，该绑定 更新消息还包含漫游网络元件当前附接到的接入路由器的基本全局地址。
本发明的第二方面是上述在分组交换数据通信网络的网际互联中使用的 用于提供与漫游网络的全球连接性的方法，其中，分组交换数据通信网络的 网际互联中的网络元件将数据格式添加到绑定更新消息中，以便将漫游网络 元件附接到的接入路由器的基本全局地址插入绑定更新消息中，其中，该数 据格式具有：(i)类型字段，用于使得有可能识别该数据格式包含发送者附接 到的接入路由器的基本全局地址；(ii)长度字段，用于使得有可能识别该数据 格式的长度；(iii)接入路由器地址字段，包含发送者所附接到的接入路由器的 基本全局地址。
本发明的第三方面是上述在分组交换数据通信网络的网际互联中使用的 用于提供与漫游网络的全球连接性的方法，其中，分组交换数据通信网络的 网际互联中的接入路由器将数据格式添加到广告消息中，以便将接入路由器 的基本全局地址插入广告消息中，其中，该数据格式具有：(i)类型字段，用 于使得有可能识别该数据格式包含发送者的基本全局地址；(ii)长度字段，用 于使得有可能识别该数据格式的长度；(iii)接入路由器地址字段，包含发送者 的基本全局地址。
本发明的第四方面是一种在分组交换数据通信网络的网际互联中的多个 网络元件之间使用的用于提供与漫游网络的全球连接性的方法，其中，所述 网络元件之一在分组交换数据通信网络的网际互联中漫游，该方法包括以下 步骤：(i)将绑定更新消息从漫游网络元件发送到另一网络元件，该绑定更新 消息包含预定全局地址和附加分配给进行发送的漫游网络元件以使得接收的 网络元件能够将指定的临时全局地址和指定的基本全局地址相关联的临时全 局地址，并且还包含漫游网络元件当前附加到的接入路由器的基本全局地址； (ii)使用绑定确认消息来从绑定更新消息的接收者向漫游网络元件做出答复， 其中，该绑定更新消息包含与绑定更新消息的接收或拒绝有关的信息，并且 还包含这样的信息，该信息指示提供了一种功能，用来通知绑定更新消息的 接收者：对于在绑定更新消息中包括接入路由器的基本全局地址，绑定确认 消息的发送者能够理解并采取适当的行动。
本发明的第五方面是上述用于提供与漫游网络的全球连接性的方法，其 中，在网络实体接收到绑定更新消息的情况中，该网络实体能够将绑定更新 消息记录在绑定条目中，此外其中，该绑定条目由以下字段组成：(i)本地地 址字段，包含漫游网络元件的基本全局地址；(ii)转交地址字段，包含漫游网 络元件的临时全局地址；(iii)接入路由器地址字段，包含漫游网络元件所附接 到的接入路由器的基本全局地址。
本发明的第六方面是上述用于提供与漫游网络的全球连接性的方法，其 中，在网络实体接收到绑定更新消息的情况中，该网络实体更新绑定条目， 所述方法包括以下步骤：(i)检查绑定条目是否包含具有与所接收的绑定更新 消息中指定的基本全局地址匹配的本地地址字段的条目，并在未发现条目的 情况中创建新条目；(ii)在所接收的绑定更新消息不包含与该绑定更新消息的 发送者的临时全局地址有关的信息的情况中，在绑定条目中删除具有与该绑 定更新消息中指定的基本全局地址匹配的本地地址字段的条目；(iii)在所接收 的、与所述条目中的本地地址字段匹配的绑定更新消息包含与临时全局地址 有关的信息的情况中，在绑定条目中删除具有与该绑定更新消息中指定的基 本全局地址匹配的本地地址字段的条目；(iv)在所接收的绑定更新消息包含临 时全局地址、并且值与所述条目中的本地地址字段不同的情况中，将该条目 中的转交地址字段设置为所接收的绑定更新消息中指定的临时全局地址；(v) 在所述条目的接入路由器地址字段存在的情况中，将其设置为绑定更新消息 中指定的接入路由器的基本全局地址；(vi)在所接收的绑定更新消息不包含与 接入路由器的基本全局地址有关的信息的情况中，将所述条目的接入路由器 地址字段设置为无效。
本发明的第七方面是上述用于提供与漫游网络的全球连接性的方法，其 中，网络元件构建添加到数据分组中的路由选择报头，此外，其中，使用路 由选择报头来指示网络元件将分组转发到另一目的地，其中，利用该分组中 指定的终点地址向网络元件指明目的地，该方法包括以下步骤：(i)清空后入 先出数据结构，以将临时变量初始化，以便存储分组的最终目的地的基本全 局地址；(ii)在绑定条目中搜索其本地地址字段包含与上述临时变量中存储的 地址相同的地址的条目；(iii)在绑定条目内发现所述条目、并且临时全局地址 的值与该分组的最终目的地的基本全局地址匹配的情况中，将临时变量的值 存储在后入先出结构的上层中；(iv)在绑定条目内发现所述条目的情况中，将 包含在所述条目的转交地址字段中的值存储在临时变量中；(v)在绑定条目内 发现所述条目的情况中，将临时变量的值存储在后入先出结构的上层中，然 后将所述条目的接入路由器地址字段中的值存储在临时值中；(vi)在所述条目 的接入路由器地址字段有效的情况中，重复步骤(ii)、(iii)、(iv)和(vi)；(vii)在 绑定条目内发现所述条目、或者所发现的条目的接入路由器地址字段无效的 情况中，反复删除后入先出数据结构的上层的值、和将被删除的值添加到伴 随数据分组的路由选择报头中，直到后入先出数据结构被清空为止；(viii)将 存储在临时变量中的值设置为数据分组的终点地址。
本发明的第八方面是上述用于提供与漫游网络的全球连接性的方法，该 方法还包括以下步骤：将唯一的信号插入数据分组中，以向网络元件所附接 到的接入路由器做出请求，使得该网络元件能够将数据分组直接转发到该数 据分组中指定的目的地。
本发明的第九方面是上述用于提供与漫游网络的全球连接性的方法，该 方法还包括以下步骤：使在上述方法中解释的数据分组中的唯一信号无效， 从而一系列中间路由器不将数据分组直接转发到该数据分组中指定的目的 地。
本发明的第十方面是上述用于提供与漫游网络的全球连接性的方法，其 中，分组交换数据通信网络的网际互联中的中间网络元件执行对从其内部网 络侧接口接收的数据分组的处理，并且，该中间网络元件起到其内部网络侧 接口的单个或多个局部数据通信网络与其外部网络侧接口的分组交换数据通 信网络的网际互联之间的桥路由器的作用，所述方法包括以下步骤：(i)在中 间网络元件没有在分组交换数据通信网络的网际互联中漫游的情况中，转发 所接收的分组；(ii)使用另一新创建的分组来封装所接收的分组，以便将它发 送给分组交换数据通信网络的网际互联中的特定网络元件，其中，在中间网 络元件在分组交换数据通信网络的网际互联中漫游、并且给该元件分配了临 时全局地址的情况中，如果所接收的分组不包含唯一的地址、或者如果使所 述唯一信号无效，则所述特定网络元件从新创建的分组中提取原始数据分组， 并将其转发到目的地；(iii)使用另一新创建的分组来封装所接收的分组，以便 将其发送到分组交换数据通信网络的网际互联中的特定网络元件，其中，在 中间网络元件在分组交换数据通信网络的网际互联中漫游、并且给该元件分 配了临时全局地址的情况中，如果所接收的分组中指定的源地址不是该中间 网络元件的内部网络侧接口的局部网络中的有效地址，则所述特定网络元件 从新创建的分组中提取原始数据分组，以将其转发到目的地；(iv)使用另一新 创建的分组来封装所接收的分组，以便将其发送到分组交换数据通信网络的 网际互联中的特定网络元件，其中，在中间网络元件在分组交换数据通信网 络的网际互联中漫游、并且给该元件分配了临时全局地址的情况中，如果该 中间网络元件没有利用绑定更新消息发送所接收的分组中指定的终点地址， 并且绑定更新消息包含基本全局地址和当前的临时全局地址，则所述特定网 络元件从新创建的分组中提取原始数据分组，并将其转发到目的地；(v)在中 间网络元件在分组交换数据通信网络的网际互联中漫游、并且给该元件分配 了临时全局地址的情况中，如果所接收的分组包含所述唯一信号、和如果在 所接收的分组中指定的源地址是该中间网络元件的内部网络侧接口的局部网 络中的有效地址，此外，如果该中间网络元件已经事先利用包含该中间网络 元件的基本全局地址和当前的临时全局地址的绑定更新消息发送了所接收的 分组中指定的终点地址，则将所接收的分组的源地址改变为该中间网络元件 的临时全局地址，并随后将所接收的分组转发到指定目的地。
本发明的第十一方面是上述用于提供与漫游网络的全球连接性的方法， 其中，分组交换数据通信网络的网际互联中的中间网络元件检查在定址到该 网络元件的所接收的分组中指定的源地址是否是可信地址，所接收的数据分 组包含与以下这样的地址有关的信息，该地址是所接收的分组的发送者所附 接到的接入路由器的基本全局地址，并且，该地址是与所接收的数据分组中 指定的源地址不同的地址，所述方法包括以下步骤：(i)初始化临时变量，以 便存储所接收的数据分组中包含的基本全局地址；(ii)在临时变量中存储的值 与该数据分组中指定的源地址匹配的情况中，断定该源地址是可信地址；(iii) 在临时变量中存储的值与该数据分组中指定的源地址不匹配的情况中，在绑 定条目中搜索具有与存储在本地地址字段的临时变量中的值匹配的值的条 目；(iv)在临时变量中存储的值与该数据分组中指定的源地址不匹配的情况 中，如果在绑定条目中没有发现具有与存储在本地地址字段的临时变量中的 值匹配的值的条目，则断定源地址不是可信地址；(v)在发现了绑定条目中的 条目的情况中，如果绑定条目中的所述条目的转交地址字段包含与数据分组 中指定的源地址匹配的值，则断定该源地址是可信地址；(vi)在发现了绑定条 目中的条目、并且所述条目的转交地址字段包含与数据分组中指定的源地址 不匹配的值的情况中，如果所述条目的接入路由器地址字段无效，则断定源 地址不是可信地址；(vii)在发现了绑定条目中的条目、并且所述条目的转交 地址字段包含与数据分组中指定的源地址不匹配的值的情况中，将包含在所 述条目的接入路由器地址字段中的内容存储到临时变量中；(viii)在所述条目 的接入路由器地址字段有效的情况中，重复步骤(iii)、(iv)、(v)、(vi)和(vii)。
本发明的第十二方面是上述用于提供与漫游网络的全球连接性、以便发 送包含路由选择报头的数据分组的方法，其中，在成功接收到以下绑定更新 消息之后使用该方法，所述绑定更新消息包含该绑定更新消息的发送者所附 接到的接入路由器的基本全局地址，所述方法包括以下步骤：(i)将数据分组 的源地址设置为接入路由器的基本全局地址；(ii)进行设置，使得路由选择报 头仅包含绑定更新消息的发送者的临时全局地址和基本全局地址。
本发明的第十三方面是上述用于提供与漫游网络的全球连接性、以便发 送包含路由选择报头的数据分组的方法，其中，在成功接收到以下绑定更新 消息之后使用该方法，所述绑定更新消息包含该绑定更新消息的发送者所附 接到的接入路由器的基本全局地址，该方法包括以下步骤：(i)将数据分组的 源地址设置为接入路由器的基本全局地址；(ii)进行设置，使得路由选择报头 包含绑定更新消息的发送者的临时全局地址作为初始条目。
本发明的第十四方面是上述用于提供与漫游网络的全球连接性、以便发 送包含路由选择报头的数据分组的方法，其中，在成功接收到第一绑定更新 消息之后，以及在成功接收到第二绑定更新消息之后，使用该方法，其中所 述第一绑定更新消息包含该绑定更新消息的发送者所附接到的接入路由器的 基本全局地址，所述第二绑定更新消息由接入路由器发送，并且包含该接入 路由器的临时全局地址，所述方法包括以下步骤：(i)将数据分组的源地址设 置为接入路由器的基本全局地址；(ii)进行设置，使得路由选择报头仅包含第 一绑定更新消息的发送者的临时全局地址和基本全局地址。
本发明的第十五方面是上述用于提供与漫游网络的全球连接性、以便发 送包含路由选择报头的数据分组的方法，其中，在成功接收到第一绑定更新 消息之后，以及在成功接收到第二绑定更新消息之后，使用该方法，其中所 述第一绑定更新消息包含该绑定更新消息的发送者所附接到的接入路由器的 基本全局地址，所述第二绑定更新消息由接入路由器发送，并且包含该接入 路由器的临时全局地址，所述方法包括以下步骤：(i)将数据分组的源地址设 置为接入路由器的临时全局地址；(ii)进行设置，使得路由选择报头包含第一 绑定更新消息的发送者的临时全局地址作为初始条目。
本发明的第十六方面是上述用于提供与漫游网络的全球连接性、以便发 送包含路由选择报头的数据分组的方法，其中，在成功接收到第一绑定更新 消息之后，以及在成功接收到第二绑定更新消息之后，使用该方法，其中所 述第一绑定更新消息包含该绑定更新消息的发送者所附接到的接入路由器的 基本全局地址，所述第二绑定更新消息由接入路由器发送，并且包含该接入 路由器的临时全局地址，所述方法包括以下步骤：进行设置，使得路由选择 报头包含第一绑定更新消息的发送者的临时全局地址和接入路由器的临时全 局地址作为初始条目，并且，在路由选择报头中，接入路由器的临时全局地 址紧靠第一绑定更新消息的发送者的临时全局地址之前出现。
本发明的第十七方面是上述用于提供与漫游网络的全球连接性的方法， 其中，网络元件在通信网络的网际互联中漫游，并起到其内部网络侧接口的 一个或多个局部数据通信网络与其外部网络侧输出接口的分组交换数据通信 网络的网际互联之间的桥路由器的作用，并且，在从它的内部网络侧接口接 收到包含唯一信号的数据分组之后，所述方法包括以下步骤：(i)将数据分组 的源地址改变为它的临时全局地址；(ii)将数据分组转发到它的外部网络侧接 口。
本发明的第十八方面是一种在网络元件中使用的设备，其中，如根据上 述方法解释的，在分组交换数据通信网络的网际互联中使用所述网络元件， 所述设备包括用于实现以下方法的部件：(i)如上面解释的使用绑定条目的方 法；(ii)如上面解释的更新绑定条目的方法；(iii)在如上所述存在指令的情况 下，将这种指令插入绑定确认消息中，由此使得有可能将发送者能够理解并 采取适当行动以使绑定更新消息包含接入路由器的基本全局地址通知给绑定 确认消息的接收者的方法；(iv)如上面解释的检查数据分组的源地址的方法； (v)如上面解释的构建路由选择报头的方法。
本发明的第十九方面是一种在网络元件中使用的设备，其中如根据上述 方法解释的，在分组交换数据通信网络的网际互联中使用所述网络元件，其 中，所述网络元件在通信网络的网际互联中漫游，所述设备包括用于实现以 下方法的部件：(i)如上面解释的使用绑定条目的方法；(ii)如上面解释的更新 绑定条目的方法；(iii)如上面解释的，利用指令的存在，将这种指令插入绑定 确认消息中，由此使得有可能将发送者能够理解并采取适当行动以使绑定更 新消息包含接入路由器的基本全局地址通知给绑定确认消息的接收者的方 法；(iv)如上面解释的检查数据分组的源地址的方法；(v)如上面解释的构建路 由选择报头的方法；(vi)如上面解释的，将请求网络元件所附接到的接入路由 器将数据分组直接转发到该数据分组中指定的目的地的信号插入数据分组中 的方法；(vii)如上面解释的，将网络元件所附接到的接入路由器的基本全局 地址插入绑定更新消息中的方法。
本发明的第二十方面是一种在网络元件中使用的设备，其中，如根据上 述方法解释的，在分组交换数据通信网络的网际互联中使用所述网络元件， 其中，该网络元件在通信网络的网际互联中漫游，并起到其内部网络侧接口 的一个或多个局部数据通信网络和其外部网络侧接口的分组交换数据通信网 络的网际互联之间的桥路由器的作用，所述设备包括用于实现以下方法的部 件：(i)如上面解释的将关于所述网络元件的基本全局地址的信息添加到广告 消息中的方法；(ii)如上面解释的使用绑定条目的方法；(iii)如上面解释的更 新绑定条目的方法；(iv)如上面解释的，利用指令的存在，将这种指令插入绑 定确认消息中，由此使得有可能将发送者能够理解并采取适当行动以使绑定 更新消息包含接入路由器的基本全局地址通知给绑定确认消息的接收者的方 法；(v)如上面解释的检查数据分组的源地址的方法；(vi)如上面解释的构建路 由选择报头的方法；(vii)如上面解释的，将请求所述网络元件所附接到的接 入路由器将数据分组直接转发到该数据分组中指定的目的地的信号插入数据 分组中的方法；(viii)如上面解释的，将所述网络元件所附接到的接入路由器 的基本全局地址插入绑定更新消息中的方法；(ix)如上面解释的，处理从所述 网络元件的内部网络侧接口到达的数据分组、并将其转发到该网络的外部网 络侧接口的方法。
本发明允许分组交换数据网络的网际互联中的主机采用提供了与移动主 机的全球连接性的现有解决方案，并扩展了这些解决方案，以进一步提供与 改变其接触点的网络的全球连接性。在这里，使用文档中公开的方法，有可 能以最小的延迟将移动网络之间的分组传递到它们预期的目的地，此外，采 纳本发明提供的验证方法使得还有可能减轻网络元件面对的安全威胁。
产业上的可利用性
本发明可应用于分组交换数据通信网络的网际互联中的分组传输。特别 地，所公开的本发明解决了当提供与不断改变其与全球数据通信网络的接触 点的节点的网络连接性时牵涉的问题。此外，有可能将本发明视为对用于提 供与漫游主机的全球连接性的现有解决方案的增强。
本说明书基于2002年10月18日提交的日本专利申请第2002-303879 号，其全部内容通过引用而清楚地合并于此。