[发明专利]一种身份与位置分离体系下的安全移动性管理方法

说明书

技术领域

本发明涉及一种身份与位置分离体系下的安全移动性管理方法，属于计算机网络技术领域。 

背景技术

当前互联网面临严重的路由可扩展性问题。近几年来IPv4的BGP路由表条目一直保持快速增长，目前已超过400,000条目，这对核心路由器的处理能力和存储能力都是非常大的挑战。随着IPv6的逐渐推广应用，IPv6巨大的地址空间将会造成更大规模的BGP路由表。为了解决路由可扩展性等问题，各国研究者提出了如ILNP,LISP,GLI-Split,Ivip,一体化标识网络等许多方案。总体而言，这些方案都基于网络的身份与位置分离(Locator/Identifier Separation)体系。 

身份与位置分离体系将传统IP地址分离为终端标识(EID,Endpoint Identifier)和位置标识(LOC,Locator)。终端标识表示终端身份信息，用于传输层和应用层标识终端，具有唯一性，不随终端位置改变而变化；位置标识表示终端连接到网络中的拓扑位置，随终端移动而改变。同时，身份与位置分离体系将核心网(Core Network)与接入网(AN,Access Network)分离，减少接入网路由信息变化对核心网路由表的影响。数据包在核心网中使用位置标识进行寻路转发。接入网内终端间的通信方式与当前网络相同，接入网间两个终端的数据包需要源和目的端的隧道路由器根据映射信息(EID-to-LOC)分别完成数据包隧道封装和解封装处理。隧道路由器询问映射系统得到对应的映射信息，并在映射缓存中缓存最近使用的映射信息。终端的映射信息由映射系统来存储和维护，目前已有一些映射系统方案，例如LISP-ALT，DHT-MAP，FIRM，LISP-TREE。 

随着移动设备的普及和移动用户的迅速增长，人们对移动通信的需求越来越 大。为了在身份与位置分离体系下支持移动性，需要定义安全有效的移动性管理协议。目前的相关研究主要集中于身份与位置分离体系下基本的移动性管理方案设计，集中专注于减少切换时延和丢包率，并未考虑其安全性。 

现有技术之一的LISP-MN技术方案： 

LISP-MN技术方案是基于主机的移动性管理方案，移动节点执行隧道路由器的功能，完成数据包封装和解封装。移动节点使用映射服务器(MS,Map Server)作为其移动锚点，当移动节点移动时，终端标识(EID)不变，网络为其分配新的位置标识(LOC)，移动节点直接向映射服务器(MS,Map Server)更新其移动后的新映射信息。同时，移动节点主动通知对端的隧道路由器的更新其映射信息。随着移动节点的增多，映射服务器收到的映射更新消息也就随之增多，这就增加了映射系统的负担。 

现有技术之一LISP-MN技术方案的缺点： 

1.需要修改移动节点的协议栈，使其拥有隧道路由器的功能，并且违背了LISP不修改主机协议的初衷； 

2.存在切换时延、丢包率、信令开销等问题； 

3.随着移动节点增多，映射服务器的负担逐渐加重，影响映射系统的可扩展性； 

4.未考虑移动节点移动切换的安全性。 

现有技术之二的IM技术方案： 

IM技术方案是基于网络的移动性解决方案。IM根据移动范围大小将移动节点分为区域间移动和区域内移动。区域间移动是指移动节点在移动管理区域之间的移动，区域内移动是指移动节点在移动管理区域内部的移动。在IM中，区域内作为汇聚点(Rendezvous Point)的隧道路由器是移动锚点。移动节点在区域内移动时，隧道路由器向汇聚点发送代理绑定更新消息，通告移动节点的位置信息，并建立隧道完成移动节点的数据传输；移动节点在区域间移动时，区域间的汇聚点隧道路由器首先建立隧道传输移动节点数据，然后由汇聚点隧道路由器更新对端 隧道路由器的映射信息，完成路由优化。 

现有技术之二IM技术方案的缺点： 

1.移动节点移动时，相同移动管理区域内的节点发往本区域内移动节点的数据具有较大的丢包率； 

2.未考虑移动节点移动切换的安全性。 

针对现有技术方案存在的上述不足，提出本发明。 

发明内容

本发明提供一种身份与位置分离体系下的安全移动性管理方法。本发明为身份与位置分离体系提供移动性管理方法，保障移动节点的安全移动切换，具有较小的认证时延和切换时延，并且可以防止中间人攻击、重放攻击和消息篡改攻击。