[发明专利]SDN多域移动网络环境下主机身份鉴别信息的高效移交机制

权利要求书

1.一种SDN多域移动网络环境下主机身份鉴别信息的高效移交方法，其特征在于：

网络中有多个SDN管理域和全局唯一的认证服务器，认证服务器负责全网通信实体的身份信息分配和认证管理，每个SDN管理域均在认证服务器中进行注册；

每个SDN管理域通过一个逻辑上唯一的域控制器和若干OpenFlow交换机对域内网络进行管控；各SDN管理域之间相互独立，不同SDN管理域之间通过其域控制器进行信息交互；

移动主机在接入网络前先向认证服务器提供真实身份信息进行注册，移动主机在不同的SDN管理域间移动时，通过域控制器间的信息交互实现移动主机的跨域接入；

当SDN管理域内的域控制器或移动主机接入移动网络时，首先向认证服务器提交自身的身份信息进行注册，由认证服务器为其生成并下发全局唯一身份标识符以及用于身份鉴别的公/私钥证书；认证服务器还为移动主机当前所属域控制器提供当前网络位置下所可能具备的邻域控制器的身份标识符/公钥证书；

当前域控制器收到认证服务器下发的鉴别信息后，与邻域控制器基于公钥密码体制的鉴别协议进行相互鉴别，识别出可信邻域控制器；

当移动主机需要入网通信时，首先与当前归属的SDN管理域内的无线接入点设备进行关联，然后与归属域控制器进行鉴别；在关联时，归属域控制器为移动主机创建全局唯一的标识；关联完毕后，移动主机采用基于公钥密码体制的鉴别协议与归属域控制器相互鉴别；若通过鉴别，则由归属域控制器为移动主机分配归属域的IP地址，进行移动主机身份、地址、实体标识符以及全局唯一的标识的绑定，完成入网配置工作，存储配置信息并分配相关通信资源，使该移动主机能够进行通信；若没有通过鉴别，则删除全局唯一的标识；

一旦监听到移动主机发起针对目的IP地址的连接，归属域控制器将根据管理员所配置的控制策略，判定是否为移动主机所请求的服务进行授权；若同意授权，则由归属域控制器为其建立通信路径；若不同意授权，则将拒绝该流的建立请求；归属域控制器将存储移动主机的安全上下文信息，所述安全上下文信息包含：全局唯一的标识、实体标识符、IP地址、主机MAC地址、归属域控制器信息及接入点设备信息、公钥证书等可以唯一真实标识主机安全环境的信息，同时存储移动主机正在执行通信的流信息；

当移动主机在通信过程中移动到其他SDN管理域之后，原归属域控制器根据相关鉴别信息推送策略，向可信邻域控制器推送包含安全上下文信息和流信息的通告报文，通知可信邻域控制器存储相关信息并为流信息流建立通信路径；

若移动主在当前归属SDN管理域终止通信，其向当前归属域控制器发送撤销通信报文，当前归属域控制器回收移动主机所使用的资源并向其邻域控制器发送撤销通信报文，告知邻域控制器删除之前传递的移动主机鉴别信息和流信息集。