[发明专利]经由经认证的路由器的数据交换

说明书

技术领域

本公开涉及网络地址映射系统，更具体地涉及用于网络地址映射系统的安全系统。

背景技术

此部分中描述的方法是可以执行的方法，但是不必是之前已经构思或执行的方法。因此，除非另有指示，否则不应认为此部分中描述的任何方法仅因为被包括在此部分中而成为现有技术。

已经提出并且开发出各种协议和标准来促进用户与设备之间通过因特网进行通信。一些方法使用设备的IP地址或MAC地址来指示两件事：设备的身份和设备的位置。

然而，在一些情况下，使用IP或MAC地址指示设备的身份和位置二者可能会出现问题。例如，当移动设备从一个位置移动到另一个位置时，移动设备的MAC地址保持相同，而设备位置改变。因此，使用设备MAC地址不足以确定设备实际位置。

通常，软件应用依赖于设备地址作为设备身份和位置二者的决定因素。例如，促进通过TCP会话进行数据通信的应用可以依赖于设备的IP地址来建立TCP会话。然而，仅依赖于设备IP地址会妨碍基于TCP的应用无缝地继续执行。

另外，如果网络设备开始使用另一个端口与因特网通信，则即使设备的物理位置尚未改变，设备也会接收到新的IP地址，这回在维持关于设备的一个连续的通信会话方面产生问题。因此，使用设备地址来指示设备身份和设备位置可能是不准确的。

另外，即使可获得关于设备位置的准确信息，取得这种信息通常易受安全攻击。

附图说明

在附图中通过示例的方式而非限制的方式示出了本发明，并且在附图中相同的参考标号指代相同的元件，其中：

图1示出了使用一次性密钥来保护网络地址映射系统的方法的一个示例；

图2示出了使用PKI密钥来保护网络地址映射系统的方法的一个示例；

图3示出了保护网络地址映射系统的方法的一个示例；

图4示出了网络地址映射系统的一个示例；

图5示出了本发明的实施例可以在其上实现的计算机系统的一个示例。

具体实施方式

在以下的描述中，出于说明的目的，阐述了许多具体细节来提供对本发明的全面理解。然而，显而易见的是，本发明可以在没有这些具体细节的情况下实施。在其他实例中，以框图形式示出了公知结构和设备，以避免不必要地模糊本发明。

这里根据以下提纲描述实施例：

1.0概述

2.0结构和功能概述

3.0安全网络地址映射系统的示例

3.1使用一次性密钥保护网络地址映射系统

3.2使用PKI密钥保护网络地址映射系统

4.0实现机构——硬件概述

5.0扩展和替代

1.0 概述

在一个实施例中，处理被配置成利用基于证书的协议来保护不完全受信任的分布式映射系统。在一个实施例中，设备的身份与设备的位置信息是分开的。设备身份(在一个实施例中称为身份)和设备位置(在一个实施例中称为位置)被划分到两个不同的命名空间，并且不同的网络地址被用于身份和位置。

将用于身份和位置的地址分开的功能提供了以下好处：改善的路由系统的可扩展性、更大的位置集合、和输入流量工程的提高的多宿主效率。身份与位置的分开允许克服许多因特网应用正在经历的一些问题。

在一个实施例中，提出了一种用于表示捕获设备身份和设备位置的信息的方法。在一种实现方式中，从设备发送的封包包括设备的IP地址信息和设备的位置信息。IP地址信息对应于基于设备IP地址的传统设备标识，并且对设备而言直接已知。然而，位置信息是由被配置成在特定时间确定设备的物理位置、并且使用和维护映射的路由器确定的。

例如，位于特定建筑物中的一个会议室中的用户使用移动设备连接到网络。服务于设备连接的路由器可以确定移动设备在给定时刻的位置。在用户和移动设备移动到同一个建筑物中的另一个会议室时，路由器可以确定移动设备的新位置，并且可以在由网络维护的数据库中更新移动设备的位置信息。

服务于移动设备对网络的访问的路由器可以在任何特定时间确定移动设备的当前位置。尽管移动设备的IP地址和/或MAC地址不变，但是移动设备的位置的改变可以由网络中的路由器追踪。

在一个实施例中，该方法是基于会话(诸如，TCP会话)的连续性的，即使移动设备已经改变它的位置。因此，从支持为移动设备建立的TCP会话的应用的观点看，即使移动设备改变位置，也可以维持连续的TCP会话。依赖于设备所提供的设备IP地址和路由器所提供的设备位置标识，TCP支持应用可以连续执行。