基于LISP協(xié)議的移動(dòng)性安全機(jī)制

王 強(qiáng),高 海

(山西大同大學(xué)物理與電子科學(xué)學(xué)院，山西大同037009)

基于LISP協(xié)議的移動(dòng)性安全機(jī)制

王 強(qiáng),高 海

(山西大同大學(xué)物理與電子科學(xué)學(xué)院，山西大同037009)

文章提出了基于LISP協(xié)議的安全加密機(jī)制，給出了雙層網(wǎng)絡(luò)設(shè)備管理的扁平式網(wǎng)絡(luò)結(jié)構(gòu)。當(dāng)節(jié)點(diǎn)域內(nèi)切換時(shí)，位置更新機(jī)制通過(guò)映射服務(wù)器和入口隧道路由器實(shí)現(xiàn)；而切換發(fā)生在節(jié)點(diǎn)域間時(shí)，節(jié)點(diǎn)位置更新機(jī)制通過(guò)映射服務(wù)器之間報(bào)文信息傳遞即可完成。由于采用扁平式網(wǎng)絡(luò)結(jié)構(gòu)減少了信令交互和報(bào)文丟失，優(yōu)化了移動(dòng)節(jié)點(diǎn)映射位置更新機(jī)制和報(bào)文交互機(jī)制。另一方面，建立靈活的解析模型，計(jì)算節(jié)點(diǎn)映射位置更新信令開(kāi)銷、和移動(dòng)切換解析成功率。最后給出了不同移動(dòng)性機(jī)制的性能指標(biāo)對(duì)比，通過(guò)仿真分析驗(yàn)證基于LISP協(xié)議的安全加密機(jī)制的理論合理性。

分離協(xié)議;位置更新、靈活切換;身份與位置標(biāo)識(shí)

當(dāng)移動(dòng)節(jié)點(diǎn)的接入網(wǎng)絡(luò)發(fā)生變化時(shí)，節(jié)點(diǎn)將獲得新的映射位置信息，故需要進(jìn)行基于原位置信息的過(guò)程更新，這里我們采用映射位置更新模式將用戶身份標(biāo)識(shí)與原位置信息進(jìn)行匹配，進(jìn)行新的映射關(guān)系過(guò)程更新。互聯(lián)網(wǎng)傳統(tǒng)體系結(jié)構(gòu)中，IP地址代表了節(jié)點(diǎn)位置信息和身份信息兩個(gè)方面[1]。當(dāng)移動(dòng)節(jié)點(diǎn)接入新的網(wǎng)絡(luò)時(shí)IP地址發(fā)生改變，導(dǎo)致通信連接中斷。因此，傳統(tǒng)的互聯(lián)網(wǎng)體系結(jié)構(gòu)難以支持節(jié)點(diǎn)的移動(dòng)性，并且缺乏對(duì)安全性的支持。在位置標(biāo)識(shí)與身份標(biāo)識(shí)分離協(xié)議的體系架構(gòu)中，通過(guò)查詢?nèi)肟?出口隧道路由器和映射服務(wù)器完成位置標(biāo)識(shí)與身份標(biāo)識(shí)的解析轉(zhuǎn)換，加入安全秘鑰身份檢測(cè)算法。身份標(biāo)識(shí)用于建立通信連接，位置標(biāo)識(shí)用于底層路由，通過(guò)映射關(guān)系EID-to-RLOC將位置標(biāo)識(shí)與身份標(biāo)識(shí)進(jìn)行綁定。當(dāng)移動(dòng)節(jié)點(diǎn)接入網(wǎng)絡(luò)發(fā)生變化時(shí)，由于保持同樣的身份標(biāo)識(shí)，并且重新校驗(yàn)身份信息，因此之前確立的通信連接不會(huì)因節(jié)點(diǎn)移動(dòng)而發(fā)生中斷。

名詞解釋：

Ingress Tunnel Router(ITR)：入口隧道路由器，源端節(jié)點(diǎn)接入的第一跳路由器。

Egress Tunnel Router(ETR)：出口隧道路由器，目的端節(jié)點(diǎn)接入的第一跳路由器。

Routing Locator(RLOC)：入口/出口隧道路由器位置標(biāo)識(shí)。

Endpoint ID(EID)：終端節(jié)點(diǎn)身份標(biāo)識(shí)。

Map Sever：映射服務(wù)器，在網(wǎng)絡(luò)系統(tǒng)中長(zhǎng)期存儲(chǔ)映射關(guān)系EID-to-RLOC。

1 移動(dòng)節(jié)點(diǎn)間建立通信過(guò)程

ITR周期性的發(fā)送報(bào)文通告。當(dāng)節(jié)點(diǎn)MN移動(dòng)切換時(shí)，MN通過(guò)入口隧道路由器接入網(wǎng)絡(luò)。

步驟1：MN收到來(lái)自ITR_3的通告報(bào)文，告知MN已進(jìn)入ITR_3接入屬地網(wǎng)絡(luò)區(qū)域。

步驟2：MN將身份標(biāo)識(shí)EID發(fā)送至ITR_3，然后和ITR_3位置標(biāo)識(shí)RLOC形成映射關(guān)系EID-to-RLOC。

步驟3：ITR_3將映射關(guān)系EID-to-RLOC發(fā)送給Map Sever_2，Map Sever_2隨即進(jìn)行保存。

步驟4：當(dāng)對(duì)端節(jié)點(diǎn)(Correspond Node,CN)申請(qǐng)與MN建立通信連接時(shí)，CN向網(wǎng)絡(luò)系統(tǒng)發(fā)送映射關(guān)系查詢報(bào)文。報(bào)文包含CN身份標(biāo)識(shí)EID和MN身份標(biāo)識(shí)EID。

步驟5：網(wǎng)絡(luò)系統(tǒng)查詢到MN與ITR_3的映射關(guān)系EID-to-RLOC后返回到CN。

步驟6：CN以ITR_3位置標(biāo)識(shí)RLOC為目的地址向網(wǎng)絡(luò)系統(tǒng)發(fā)送報(bào)文。報(bào)文包含CN身份標(biāo)識(shí)EID以及MN身份標(biāo)識(shí)EID，旨在MN對(duì)CN進(jìn)行身份識(shí)別。

步驟7：Map Server_1將來(lái)自CN的報(bào)文轉(zhuǎn)發(fā)給Map Server_2。

步驟8：Map Server_2收到來(lái)自Map Server_1的報(bào)文后轉(zhuǎn)至ITR_3后最終轉(zhuǎn)至目的節(jié)點(diǎn)MN。

步驟9：MN和CN在互相確認(rèn)對(duì)端身份后雙方建立通信連接。

圖1 網(wǎng)絡(luò)體系結(jié)構(gòu)

1.1 域內(nèi)切換映射位置更新

節(jié)點(diǎn)發(fā)生移動(dòng)切換時(shí)，MN根據(jù)來(lái)自入口隧道路由器ITR的報(bào)文通告判斷切換模式為域內(nèi)切換還是域間切換。如果通告報(bào)文中的Map Sever標(biāo)識(shí)和上一個(gè)Map Sever標(biāo)識(shí)相同，但是ITR標(biāo)識(shí)不同，則說(shuō)明MN進(jìn)行域內(nèi)切換。

域內(nèi)切換注冊(cè)流程：

當(dāng)MN由ITR_1移動(dòng)到ITR_2的網(wǎng)絡(luò)屬地時(shí)，MN需要向ITR_1、ITR_2和Map Sever_1分別進(jìn)行映射位置更新。

步驟1：MN發(fā)送I1報(bào)文消息給入口隧道路由器ITR_2。I1報(bào)文中包含有通信雙方的主機(jī)標(biāo)識(shí)EID和RLOC。

步驟2：ITR_2收到I1報(bào)文消息后，發(fā)送R1報(bào)文給MN。R1報(bào)文含有一個(gè)迷題、ITR_2的半會(huì)話密鑰。

步驟3：當(dāng)MN接收到R1報(bào)文消息后，檢驗(yàn)R1報(bào)文的源地址并計(jì)算R1報(bào)文中的迷題后得到答案，結(jié)合ITR_2的半會(huì)話密鑰和自身的半會(huì)話密鑰計(jì)算得出會(huì)話密鑰，最后作為I2報(bào)文發(fā)送給ITR_2。

步驟4：ITR_2收到I2報(bào)文后，核查答案完整性。如果答案正確，ITR_2核查MN的會(huì)話密鑰，最后封裝R2報(bào)文發(fā)送給MN；如果答案錯(cuò)誤，則ITR_ 2拒絕MN的通信。

步驟5：MN和ITR_2建立連接后，MN進(jìn)行位置更新。

步驟6、7：ITR_2的RLOC與MN的EID形成EID-to-RLOC映射關(guān)系后進(jìn)行位置更新，并向MN發(fā)送確認(rèn)信息。

步驟8、9：ITR_2向Map Sever_1發(fā)送EID-to-RLOC映射關(guān)系，隨后Map Sever_1進(jìn)行位置更新。

步驟10：Map Sever_1更新后發(fā)送確認(rèn)信息至ITR_2表明位置更新成功。

1.2 域間切換映射位置更新

節(jié)點(diǎn)發(fā)生移動(dòng)切換時(shí)，MN首先根據(jù)來(lái)自入口隧道路由器的報(bào)文通告判斷發(fā)生域內(nèi)切換還是域間切換。如果報(bào)文中含有不同的Map Sever身份標(biāo)識(shí)，則說(shuō)明MN發(fā)生域間移動(dòng)。

域間切換注冊(cè)流程：

步驟1：ITR_3收到來(lái)自MN的I1報(bào)文消息。I1中含有MN主機(jī)標(biāo)識(shí)EID和RLOC。

步驟2：ITR_3收到I1報(bào)文后，發(fā)送R1報(bào)文給MN。R1含有ITR_3的半會(huì)話密鑰和迷題。

步驟3：當(dāng)MN接收到R1報(bào)文后，核查R1報(bào)文是否來(lái)自ITR_3。同時(shí)，MN產(chǎn)生自己的半會(huì)話密鑰，結(jié)合ITR_3的半會(huì)話密鑰計(jì)算得出會(huì)話密鑰。隨后，MN解答謎題得出答案。最后，MN將會(huì)話密鑰和答案作為I2報(bào)文發(fā)送給ITR_3。

步驟4：如果答案正確，ITR_3核查MN的會(huì)話密鑰，封裝R2報(bào)文發(fā)送給MN；如果答案錯(cuò)誤，則ITR_3拒絕MN的通信請(qǐng)求。

步驟5：MN和ITR_3建立連接后，MN進(jìn)行位置更新。

步驟6、7：ITR_3的RLOC與MN的EID形成EID-to-RLOC映射關(guān)系后進(jìn)行位置更新，并向MN回復(fù)ACK報(bào)文。

步驟8、9：ITR_3向Map Sever_2發(fā)送EID-to-RLOC映射關(guān)系，同時(shí)Map Sever_2進(jìn)行位置更新。

步驟10：Map Sever_2更新后向ITR_3發(fā)送ACK信息表明更新成功。

步驟11：Map Sever_2向Map Sever_1發(fā)送EID-to-RLOC映射關(guān)系。

步驟12、13：Map Sever_1進(jìn)行位置更新，隨后向Map Sever_2回復(fù)ACK信息，表明位置更新成功。

2 仿真分析及結(jié)果

2.1 信令開(kāi)銷分析

在下面的仿真結(jié)果中，S1為基于層次位置管理的HIP移動(dòng)性安全加密支持機(jī)制[3]；S2為傳統(tǒng)分布式映射系統(tǒng)移動(dòng)安全加密機(jī)制[4]；S3為本文提出的基于LISP協(xié)議的安全加密機(jī)制。參考文獻(xiàn)[3]和文獻(xiàn)[4]，表1給出了仿真參數(shù)默認(rèn)值。

表1 仿真參數(shù)設(shè)置

信令開(kāi)銷主要在于更新MN位置的時(shí)延，包括MN在ITR以及Map Sever進(jìn)行映射位置更新的時(shí)延。如果MN不能快速更新映射位置信息，將無(wú)法接收來(lái)自對(duì)端節(jié)點(diǎn)的報(bào)文，導(dǎo)致大量數(shù)據(jù)包丟失。鑒于以上因素，位置更新開(kāi)銷的時(shí)延越少越好。

在基于LISP協(xié)議的安全加密機(jī)制中，當(dāng)MN進(jìn)行域內(nèi)切換時(shí)，根據(jù)信令更新流程，此時(shí)MN域內(nèi)切換過(guò)程中映射位置更新開(kāi)銷C1為：

當(dāng)MN進(jìn)行域間切換時(shí)，根據(jù)信令更新流程，此時(shí)MN域間切換過(guò)程中位置更新開(kāi)銷C2為：

本文提出的基于LISP協(xié)議的安全加密機(jī)制，將網(wǎng)絡(luò)系統(tǒng)分成N個(gè)網(wǎng)絡(luò)區(qū)域(每個(gè)Map Sever為一個(gè)網(wǎng)絡(luò)區(qū)域)，每個(gè)網(wǎng)絡(luò)區(qū)域有K個(gè)ITR，MN可以在ITR和Map Sever間隨機(jī)移動(dòng)。參考文獻(xiàn)[5]設(shè)m為MN移動(dòng)次數(shù)，經(jīng)過(guò)m次移動(dòng)后，進(jìn)入下一個(gè)Map Sever網(wǎng)絡(luò)區(qū)域(域間切換)概率為：

因此，MN移入下一個(gè)網(wǎng)絡(luò)區(qū)域移動(dòng)次數(shù)期望E[m]為：

在此認(rèn)為MN域間位置更新次數(shù)期望為1次，域內(nèi)位置更新的次數(shù)期望為(E[m]-1)。因此，在基于LISP協(xié)議的安全加密機(jī)制中，綜合信令開(kāi)銷C為：

2.2 解析成功率分析

駐留時(shí)間主要包括MN在前一個(gè)ITR接入下駐留時(shí)間和移動(dòng)切換后在本地ITR接入下駐留時(shí)間。在此認(rèn)為MN與移動(dòng)通信網(wǎng)中的移動(dòng)節(jié)點(diǎn)具有相同移動(dòng)模式，參考文獻(xiàn)[6]MN在前一個(gè)ITR接入下駐留時(shí)間的概率密度函數(shù)為：

MN移動(dòng)切換后在下一個(gè)ITR接入下駐留時(shí)間的概率密度函數(shù)為：

上式中Vm為MN最大移動(dòng)速度，R為ITR覆蓋半徑。

則MN在前一個(gè)ITR接入下平均駐留時(shí)間為：

MN移動(dòng)切換后在下一個(gè)ITR接入下的平均駐留時(shí)間為：

上式中E[V]MN平均移動(dòng)速度。因此，MN在網(wǎng)絡(luò)中總的駐留時(shí)間為：

T=(E[m]-1)×E[Tn]+E[Tf]。

在一次通信連接過(guò)程中，MN成功進(jìn)行移動(dòng)切換而使得通信連接繼續(xù)保持的概率為解析成功率。如果MN在ITR覆蓋范圍內(nèi)的駐留時(shí)間小于切換時(shí)延，則MN和對(duì)端的通信連接將會(huì)中斷。因此，當(dāng)進(jìn)行映射位置更新時(shí)，MN必須及時(shí)更新自己映射位置信息才能準(zhǔn)確接收對(duì)端節(jié)點(diǎn)的報(bào)文。由此看出，映射位置更新時(shí)間越短，網(wǎng)絡(luò)系統(tǒng)解析成功率越高。解析成功率為：

2.3 解析成功率仿真

圖2 節(jié)點(diǎn)平均移動(dòng)速度對(duì)解析成功率影響

圖2給出了在路由器覆蓋半徑R=200 m時(shí)，S1、S2和S3三種方案在MN平均移動(dòng)速度變化的情況下解析成功率仿真曲線對(duì)比圖。基于位置標(biāo)識(shí)分離網(wǎng)絡(luò)的移動(dòng)性支持機(jī)制解析成功率主要取決于MN平均移動(dòng)速度、入口隧道路由器覆蓋半徑以及移動(dòng)時(shí)域內(nèi)和域間映射位置更新時(shí)延。從圖2中可以看出，當(dāng)ITR覆蓋半徑相同時(shí)，解析成功率隨著MN平均移動(dòng)速度增加而減小。當(dāng)MN平均移動(dòng)速度較大時(shí)，三種方案解析成功率差異比較大。在MN的平均移動(dòng)速度為20 m/s時(shí)，本章提出的S3方案解析成功率達(dá)到99.42%。原因在于當(dāng)MN平均移動(dòng)速度較大時(shí)，MN進(jìn)行域內(nèi)和域間切換切換較為頻繁，導(dǎo)致映射位置更新時(shí)延較大，因此三種方案解析成功率逐漸降低。由于文中提出的S3方案采用雙層扁平式的網(wǎng)絡(luò)結(jié)構(gòu)，減少了信令交互，優(yōu)化了映射位置更新流程，因此MN發(fā)生移動(dòng)切換時(shí)映射位置更新時(shí)延較小，并保持較高的解析成功率。

3 總結(jié)

本文設(shè)計(jì)了一種雙層網(wǎng)絡(luò)設(shè)備管理的扁平式網(wǎng)絡(luò)結(jié)構(gòu)，并在此基礎(chǔ)上提出了基于LISP協(xié)議的安全加密機(jī)制。該機(jī)制由于采用扁平式網(wǎng)絡(luò)結(jié)構(gòu)，減少了信令交互和報(bào)文丟失，優(yōu)化了移動(dòng)節(jié)點(diǎn)更新流程以及報(bào)文遞交流程。通過(guò)建立節(jié)點(diǎn)移動(dòng)模型分析了更新信令開(kāi)銷、報(bào)文遞交信令開(kāi)銷、解析成功率。仿真結(jié)果表明，基于LISP協(xié)議的移動(dòng)切換機(jī)制對(duì)于域內(nèi)和域間切換有較低的信令開(kāi)銷、較高的移動(dòng)切換解析成功率。

[1]任勇,許磊,葉王毅,等.未來(lái)網(wǎng)絡(luò)的研究進(jìn)展和發(fā)展趨勢(shì)[J].中國(guó)科技論文在線,2011，6(4)：247-255.

[2]NEBULA:Future internet architecture.NEBULA:A trustworthy,secure and evolvable Future internet architecture.(2013-12-18) [2015-06-12].http//nebula-fia.org/.

[3]Costantini H,Renault E,Boumerdassi S.Future internet in the clouds[C].New Technologies of Distributed Systems(NOTERE). 2011 11th Annual International Conference.Paris,France.2011.France.IEEE.2011:1-5.

[4]Niedermayer,Heiko.On using home networks and cloud computing for a future internet of thing[J].Lecture Notes in Computer Science,2010，61(52):70-80.

[5]Paul S,Yates R,Raychaudhuri D,et al.The cache-and-forward network architecture for efficient mobile content delivery services in the future internet[C].Innovations in NGN:Future Network and Services.First ITU-T Kaleidoscope Academic Conference.USA. 2008.USA.IEEE.2008:367-374.

[6]Zonoozi M M,Dassanayake P.User mobility modeling and characterization of mobility patterns[J].IEEE Joumal on Selected Areas in Communications,1997,15(7):1239-1252.

Mobility Security Mechanism Based on LISP Protocol

WANG Qiang，Gao Hai
(School of Physics and Electronic Science,Shanxi Datong University,Datong Shanxi,037009)

This paper proposes a secure encryption mechanism based on LISP protocol for how to establish a handshake mechanism and how to reduce the update delay quickly.Firstly,the flat network structure of double layer network equipment management is given.When the node domain is switched,the location update mechanism is implemented through the mapping server and the ingress tunnel router.When the handover occurs between the node domains,the node location update mechanism is completed by mapping the information between the mapping servers.As a result of the use of flat network structure to reduce the signaling interaction and packet loss,optimize the mobile node mapping location update mechanism and message interaction mechanism.On the other hand,we establish a flexible analytic model,calculate the node mapping location update signaling overhead,and move the handover resolution success rate.Finally,the performance indexes of different mobility mechanisms are given,and the theoretical rationality of the security encryption mechanism based on LISP protocol is verified by simulation analysis.

separation protocol;location update and flexible switching;identity and location identification

TP393.08

A

〔責(zé)任編輯 高彩云〕

1674-0874(2017)04-0024-04

2017-04-30

山西大同大學(xué)校級(jí)科研項(xiàng)目[2014Q6]

王強(qiáng)（1986-），男，山西陽(yáng)泉人，碩士，助教,研究方向:圖像處理。