在移动无线通信网络的上下文中，术语“附着(attachment)”是 指用户设备借以连接到本地无线网络(例如无线LAN接入点)并且能够 利用网络所提供的至少某些服务的过程。在实践中，该过程包含了多个 协议层，例如，这些协议层涉及正确的无线电频率的标识，用以启用与 接入点的通信的无线电层协商，网络接入认证和授权过程，链路层安全 防护启动，在IP层寻找路由器和地址，以及重新建立连至新IP地址的 移动性机制。不幸的是，由于大多数针对无线接入问题的工作都只集中 于某个特定方面，因此，这些任务的完成时间以及个体任务的相互作用 和整体效果并未被很好地理解。
一个可能特别受到相互关连的多协议问题损害的领域是不同网络 之间的移动性领域。例如，该领域的研究人员易于忽略因必须对链路具 有接入控制权(因为商业和/或法律上的需求而必需)而带来的影响。 真的用户只是正要开始利用不同网络类型之间的移动性，由此，相关的 问题并未被完全看到或理解。
移动IP是一组协议，它规定了订户在接入网络之间的漫游，但其 同时也确保了不知道订户当前位置的通信节点(correspondent node) 可以与该订户取得联系。图1示意性描述了一种用于实施移动IP的网 络架构。订户1附着于接入网络3的接入路由器2。对移动IP而言，其 基础是在订户的归属网络5中提供归属代理4，而该归属代理知道订户 1的当前位置(所述当前位置是由一个名为“转交地址(care-of- address)”的IP地址定义的)，并且能够将指向订户固定的IP地址 的消息路由到所述当前位置。绑定更新消息则被用于允许订户1在归属 代理4上更新其转交地址，例如，该更新可以在订户漫游到新接入网络 的情况下进行。当订户变更其转交地址时，这时可以调用一个路由优化 过程，以便确保那些后续从附着于相应接入网络7的通信主机 (correspondent host)6发送的分组被经由最佳路由而路由到用户。 处于归属网络5中的认证、授权和记帐(AAA)服务器8则与归属代理4 进行通信。
对网际协议版本6(IPv6)而言，典型无线链路中的网络附着处理 是如下进行的：
·链路层附着，例如检测和连接到某个特定的无线局域网(LAN) 接入点。
·接入控制过程。为该过程使用的是诸如802.1X和EAP之类的机 制。通常，这牵涉到三个EAP控制消息(在EAPOL-成功消息上捎带确认 的标识请求、响应和成功)以及一种特定的认证方法。简单的认证方法 在两个消息中完成，但是很多方法都需要更多消息。
·路由器发现。这是为节点寻找缺省路由器和确定用于此链路的路 由前缀的处理。在最简单的情况下，这需要两个消息，且在这两个消息 之间具有一个等待周期。
·重复地址检测(DAD)。这被用于确保由移动节点选择来在此链 路上使用的地址是唯一的。通常，这牵涉到一个消息和一个等待周期。
·移动性管理过程。这些包括与归属代理进行消息传递，并且有可 能与通信节点以及前一个路由器进行消息传递。该消息传递通常由在用 户终端与归属代理之间交换的两个消息、与每一个通信节点的五个消息 (部分地是同时的)以及与前一个路由器的一个消息组成。
网际协议版本4(IPv4)很大程度上是以与IPv6相同的方式工作 的。但是，路由器发现、邻居发现以及地址自动配置用动态主机控制协 议(DHCP)取代，并且没有对DAD的支持。通常，DHCP需要四个消息。 移动IPv4并不具有路由优化，由此只牵涉到两个附加的移动性相关消 息。在IPv4中，从旧接入路由器到新接入路由器的平滑切换是不被支 持的。
总之，对IPv6来说，假设只有一个通信节点，则在完整情况下存 在至少16个消息以及有两个不同的等待周期(尽管可以并行发送其中 的四个消息)。在IPv4的情况中，由于IPv4的功能性较少并且DHCP 是中心角色，因此消息数量或多或少地要更少。但是，至少有11个消 息仍旧是必需的。
目前正在做工作，以便尝试对上述信令过程中的某些过程进行优 化。特别地：
·所谓的“优化的”DAD尝试避免与DAD有关的延迟，并且可能 也允许在DAD结束之前使用试验性地址。这种方法的潜在益处是消除了 一个等待周期以及在消息传递序列中的可能的附加并行性。另一种提议 方法是使用接入路由器来辅助DAD过程。
·经过优化的移动检测尝试使得更快地检测(用户终端)何时发 生移动，并且识别新网络中的网络参数。这包含了用以减少与IPv6路 由器通告有关的等待周期的新算法，但是并未减少总的消息量。
·分级移动IP(HMIP)尝试对移动进行定位，由此可以将发送 到归属代理和通信节点的位置更新的数量最小化。
这些优化方法主要关心的是消除不必要的等待时间。除了HMIP之 外，这些优化方法似乎并未对所需要的信令量产生显著影响。但是，HMIP 并未减少基本网络接入的信令量，它仅仅缩短了该信令需要采用的路 径。
发明概述
本发明的一个目的是减少所需要的消息数量以便于移动节点的网 络接入。这个目的是通过将当前由移动节点执行的某些任务安全地委托 (delegate)给接入网络中的接入路由器来实现的。
本发明的一个目的是提供一种所谓的基于委托的安全方案，不是在 移动节点和它需要交谈的任何核心网络实体之间端到端地发送消息，而 是该方案会从移动节点向一个接入路由器发送证书，该证书会将某些任 务委托给接入路由器，而按其它方式，这些任务是必须由移动节点完成 的。
根据本发明的第一个方面，在这里提供了一种便于移动节点对接入 网络进行网际协议接入的方法，该方法包括：
从移动节点向接入网络的接入路由器发送一个附着请求，该请求包 含了移动节点标识符和接口标识符或是用于导出接口标识符的手段，且 移动节点对该请求进行签名，以便允许将消息认证成是在该移动节点始 发的；
在接入路由器上接收该请求并使用签名来认证该消息，且对接收和 认证该消息做出响应，执行被委托给该接入节点的且是便于所述接入所 要求的预定义任务集合；以及
从接入路由器向移动节点返回一个确认接入许可的应答，该应答包 含了网络路由前缀以及用于向移动节点认证该接入路由器的手段。
本发明的应用运用的是一种整体分析而并非集中于特定的协议和 任务，由此可以导致为移动节点提供网络附着所需要的信令消息数量的 显著减少。它改善了在接入网络之间接近无缝漫游的前景。
优选地，附着请求包含了一个或多个下列项：
移动节点的网络接入标识符(NAI)，
移动节点自身的公钥，
用于移动节点希望接受的任何接入路由器的可信任根，
移动节点归属代理的地址，
移动节点希望建立与其的路由优化的通信节点的地址，
以密码(cryptographically)生成的地址(CGA)方式构造的接口 标识符(IID)，
接入路由器的标识(如果已知的话)，
无线链路连接的预期参数(如果需要的话)，
以只为移动节点所知的方式计算得到的cookie(甜饼)， 用移动节点的私钥签署的签名。
优选地，在接入路由器上的附着请求的接收会在接入路由器上触发 一个或多个下列过程：
链路层附着，
接入控制过程，
路由器发现，
IP地址生成，
重复地址检测。
优选地，所述预定义任务集合包括：
通过移动节点归属网络中的恰当基础架构(AAA服务器)来实施接 入、授权和记帐过程，
代表移动节点而与移动节点的归属代理执行绑定更新，
与移动节点的一个或多个通信节点执行路由优化。
根据本发明的第二个方面，在这里提供了一种操作移动节点以便于 移动节点对接入网络进行网际协议接入的方法，该方法包括：从移动节 点向接入网络的接入路由器发送一个附着请求，该请求包含了移动节点 标识符和接口标识符或是用于导出接口标识符的手段，且移动节点对该 请求进行签名，以便允许将消息认证成是在该移动节点始发的，该消息 包括对接入路由器的授权以执行被委托给该接入节点的且是便于所述 接入所要求的预定义任务集合。
根据本发明的第三个方面，在这里提供了一种用于操作接入路由器 的方法，其中该接入路由器被安排成便于移动节点对接入网络进行网际 协议接入，该方法包括：
在接入路由器上接收请求，并且使用签名来对该消息进行认证，且 对接收和认证该消息做出响应，执行被委托给该接入节点的且是便于所 述接入所要求的预定义任务集合；以及
从接入路由器向移动节点返回一个确认接入许可的应答，该应答包 含了网络(路由)前缀以及用于向移动节点认证该接入路由器的手段。
根据本发明的第四个方面，在这里提供了一种用于操作归属代理的 方法，所述归属代理被安排成为移动节点实施移动网际协议，该方法包 括：
从接入路由器接收关于移动节点的位置更新消息，
授权该接入路由器代表移动节点来执行位置更新，以及
实施位置更新。
附图简述
图1示意性例示了使用移动IP的移动通信系统架构，以及
图2显示的是与快速网络附着过程相关联的信令。
关于某些实施例的详细描述
在对用于移动节点的网络附着过程进行优化中，必须对众多基本需 求加以考虑。从移动节点的角度来看，移动节点需要向接入网络证明其 具有接入权。此外它还需要向归属代理证明其具有更新存储在那里的它 的绑定信息的权利，并且需要向通信节点证明其在归属和转交地址上是 可以联系的。最后，移动节点需要向被访问网络中的其他节点证明其“拥 有”自己的转交地址。其他的需求是：
·本地路由器需要向移动节点证明其在接入认证和充当路由器 的能力方面的权限。
·接入、授权和记帐(AAA)基础架构需要具有移动节点正是它 所声明的移动节点的证明(以便确保安全性并且确认将出现支付)。
·归属代理需要得到移动节点实际请求了位置更新的证明。
这里所提出的有效的网络附着过程依赖于以下构造：
·用于网络接入的单个请求(以及与之关联的凭证)可以用于从 接入路由器、归属代理并且可选地从AAA基础架构中获取必要的许可。
·移动节点的地址创建可以分两个步骤、由单独的节点实施：移 动节点可以创建地址的接口标识符(IID)部分，并且通过密码生成的 地址(参见GB2367986)或EUI-64地址证书来确保其对IID的所有权。 接入路由器可以创建地址的前缀部分。
·归属代理(或归属AAA服务器)可以代表移动节点动作来向接 入路由器核对可信度以及转交地址构造的正确性。
·归属代理可以代表移动节点动作来获取归属“密钥生成 (keygen)”令牌，该令牌是执行与通信节点的路由优化所必需的加密 值。
·同样，接入路由器可以代表移动节点动作来获取转交密钥生成 令牌。
·只有在所涉及的节点遭受攻击的时候才需要采用拒绝服务攻 击防护，否则该防护过程只会造成额外的延迟。
有多种基于上述构造来创建无线链路协议的不同方式。一种解决方 案由下列的消息传递序列组成：
1.在某些类型的链路层上，移动节点有可能在尝试附着之前接收 一个通告或“信标”消息。在此类消息可用之处，它包含了下列信息：
接入路由器的标识，以及
可选地，接入路由器的能力和属性。
2.当移动节点准备好去附着于某个链路时，它会向恰当的接入路 由器发送一个“新的附着消息”。这个消息是来自移动节点的带有签名 的声明，并且它可能是采用证书的形式。该声明表明移动节点希望获得 接入，并且该声明包含了下列信息：
移动节点的网络接入标识符(NAI)，
移动节点自身的公钥，
用于移动节点将接受的任何接入路由器的可信任根，
移动节点归属代理的地址，
移动节点希望建立与其的路由优化的通信节点的地址，
以密码生成的地址(CGA)方式构造的接口标识符(IID)，
接入路由器的标识(如果已知的话)，
无线链路连接的预期参数(如果需要的话)，
以只为移动节点所知的方式计算得到的cookie，
用移动节点的私钥签署的签名。
3.一旦接入路由器已核对了该接入请求(稍后将对其细节进行描 述)，它会向移动节点发送一个应答，并且允许移动节点接入网络。这 个应答是一个来自于已执行被委托给它的任务的接入路由器的带有签 名的声明。此外，该应答还携带了来自归属AAA网络的经签名的声明， 其中所述归属AAA网络已注册了接入请求并且核实该接入网络是可信 的。该应答携带了来自该移动节点的归属代理的一个类似的经签名的声 明，该移动节点的归属代理已登记了该移动节点的新位置，且也核实了 该接入网络是可信的。此外，该应答包括下列信息：
来自移动节点的Cookie，
为移动节点分配的网络前缀，
接入路由器的标识和公钥，
接入路由器的签名，
用户归属AAA网络的签名，以及
用户归属代理的签名。
4.移动节点核实包含在应答中的Cookie是由其本身产生的，并且 对消息中的签名进行核对(为此目的，它可以使用已知公钥)。假设该 签名是正确的，那么移动节点会开始发送数据分组。
5.一旦接入路由器、归属代理和通信节点推断出建立路由优化所 需要的必要移动性信令，那么接入路由器会向移动节点发送一个消息， 该消息包含下列信息：
来自移动节点的Cookie，
通信节点的地址，
接入路由器的签名。
6.移动节点再次核实包含在该消息内部的Cookie是由其自身产生 的，并且对消息中的签名进行核对。假设该信息是正确的，那么移动节 点会在它向所讨论的通信节点发送的数据分组中着手使用路由优化。
一旦该处理完成，那么移动节点已被向本地网络认证(有可能创建 了记帐记录)，已注册到其归属代理，且已注册到其所有的通信节点。
当出现下列情况时，数据分组可以流动：(a)移动节点从执行了 所有步骤1～6的接入路由器接收到应答，(b)移动节点至少接收到前 缀信息，在这种情况下，它可以(优化地)开始发送数据，或者(c) 在接入路由器“填充”移动节点分组中的源IP地址前缀部分的情况下 立刻进行。
将单个请求-响应消息对与公钥加密结合使用，潜在地有一种拒绝 服务(DoS)的脆弱性。攻击者可以产生大量请求，而例如接入路由器 之类的接收机则必须在能确定这些请求无效之前执行大量计算。对抗这 种DoS攻击所采取的正常防护措施是在出现实际的繁重计算之前交换某 些经过(弱地)核对的分组。例如，网间密钥交换(IKE)过程可以交 换Cookie，并且会在执行Diffie-Hellman(迪菲-赫尔曼)或RSA计 算之前核实该对等体确实可以在其声称的IP地址接收分组。
在这里描述的过程中，相似的防护措施也是可以使用的(通常包括 从接入网络向移动节点发送一个Cookie，并且将这个Cookie包含在移 动节点发送的初始接入请求中)，但是为了避免因相对稀有的问题而导 致延迟，所牵涉到的节点通常是不会调用额外交换的。与之相反，它们 只在认为其自身处于沉重负载之下或处于潜在的拒绝服务攻击之下时 才会调用该交换。特别地，在这种情况下，接入路由器或支持其的基础 架构可以拒绝立即核对签名。取而代之的是，它可以发送一个包含了原 始消息以及发送方Cookie的初步响应消息，并且附着其自身的 Cookie。如果该请求是真实的，那么发送方将会接收这个消息，并且将 会通过重新发送具有来自该初步响应消息的附加Cookie的请求来做出 响应。这样做确保了所讨论的节点至少存在于已知的IP地址中，并且 能够发送和接收分组。在这种情况下，信令序列是如下的：
1.在移动节点附着于某个新链路时，移动节点发送一个“新的附 着消息”。
2.接入路由器或支持其的基础架构节点请求附加核对。该消息包 含了下列信息：
来自移动节点的cookie，
来自一个或多个接入路由器(以及基础架构)节点的一个或多个 Cookie。
3.移动节点核实其内包含的Cookie是由其自身产生的，并且重新 发送其带有一个附加参数的原始请求，其中该附加参数即为来自一个或 多个接入路由器(以及基础架构)节点的一个或多个Cookie。
4.从这点继续，该处理以上文所述方式继续进行。
网络附着过程的基础架构部分可以采用多种不同的方式实现，这一 点取决于可采用新的协议还是重复使用现有的协议。在下文中，我们仅 仅给出的是在接入路由器上提供预期功能性的概览，及其可如何通过使 用现有协议来与AAA基础架构、归属代理以及通信节点取得联系。
1.AAA基础架构可以使用现有认证机制来进行联系。例如，接入路 由器可以在RADIUS协议内部运行EAP-TLS，并且可以将自己的密钥用于 客户机TLS认证。通过包含证书形式的移动节点的已签名接入请求，AAA 基础架构可以确定移动节点已将认证任务委托给了接入路由器。
2.接入路由器可以通过保持其自己的关于当前在该链路上使用的 IID的数据库，或是通过代表移动节点在链路上发送IPv6 DAD请求来验 证移动节点发送的IID。
3.接入路由器可以通过使用自己的公钥而将其自身认证到移动节 点的归属代理，此外如上所述，接入路由器还可以包含作为证书的移动 节点的已签名请求。另外，接入路由器可以提供网络前缀信息。然后， 归属代理可以确定新的位置，并且核实该移动节点确实做出了要移动的 请求。根据移动节点在做出请求之前是否了解接入路由器的标识，归属 代理还能够检查移动节点、接入路由器以及归属代理是否就接入路由器 的标识达成一致。
4.一旦接入路由器接收到来自AAA基础架构以及归属代理的回答， 并且核对了所接收的Cookie和签名，那么它可以通过向移动节点发送 应答并且允许移动节点接入网络来继续进行处理。
5.当归属代理批准了接入请求的时候，它可以并行地将多个移动 IPv6归属测试“初始化”消息发送到所列举的通信节点。同样，接入路 由器可以将多个转交测试“初始化”消息发送到相同的通信节点。针对 归属测试消息的响应将会从归属代理发送到接入路由器。在对归属和转 交测试消息做出了响应之后，接入路由器可以将来自它们的值加以组 合，以便向通信节点发送一个绑定更新。(与本交换中牵涉的其他节点 不同，该通信节点不需要已签名的声明，因为它仅仅是以地址可到达性 测试为基础来操作的，其成功应归因于执行这些测试的归属代理和接入 路由器)。
在图2中描述了关于该消息流的概述。
应该想到的是，通过将并行的消息调用包含到不同的基础架构节点 中，可以更进一步地优化图示的过程。
所给出的模型还可以充当链路层(无线链路)安全机制，其中举例 来说，该机制使得能够在主机与接入路由器之间实施加密。对所需要的 会话密钥来说，用于导出该密钥的必要密码交换可以嵌入到“新的附着 消息”及其应答中。举个例子，通过执行Diffie-Hellman交换，可以 很安全地商定会话密钥。
以其最小的形式，这里描述的过程规定了在无线链路上实施的安全 的单消息网络附着机制，当然，这要假设在接收应答之前能以优化方式 发送数据分组。在任何情况下，所述机制在无线链路上需要至多三个消 息来为移动节点执行网络附着。
本领域的技术人员能够想到的是，在不脱离本发明的范围的情况 下，可以对上述实施例进行各种修改。