基于LISP协议的移动性安全机制
2017-09-16王强,高海
王 强,高 海
(山西大同大学物理与电子科学学院,山西大同037009)
基于LISP协议的移动性安全机制
王 强,高 海
(山西大同大学物理与电子科学学院,山西大同037009)
文章提出了基于LISP协议的安全加密机制,给出了双层网络设备管理的扁平式网络结构。当节点域内切换时,位置更新机制通过映射服务器和入口隧道路由器实现;而切换发生在节点域间时,节点位置更新机制通过映射服务器之间报文信息传递即可完成。由于采用扁平式网络结构减少了信令交互和报文丢失,优化了移动节点映射位置更新机制和报文交互机制。另一方面,建立灵活的解析模型,计算节点映射位置更新信令开销、和移动切换解析成功率。最后给出了不同移动性机制的性能指标对比,通过仿真分析验证基于LISP协议的安全加密机制的理论合理性。
分离协议;位置更新、灵活切换;身份与位置标识
当移动节点的接入网络发生变化时,节点将获得新的映射位置信息,故需要进行基于原位置信息的过程更新,这里我们采用映射位置更新模式将用户身份标识与原位置信息进行匹配,进行新的映射关系过程更新。互联网传统体系结构中,IP地址代表了节点位置信息和身份信息两个方面[1]。当移动节点接入新的网络时IP地址发生改变,导致通信连接中断。因此,传统的互联网体系结构难以支持节点的移动性,并且缺乏对安全性的支持。在位置标识与身份标识分离协议的体系架构中,通过查询入口/出口隧道路由器和映射服务器完成位置标识与身份标识的解析转换,加入安全秘钥身份检测算法。身份标识用于建立通信连接,位置标识用于底层路由,通过映射关系EID-to-RLOC将位置标识与身份标识进行绑定。当移动节点接入网络发生变化时,由于保持同样的身份标识,并且重新校验身份信息,因此之前确立的通信连接不会因节点移动而发生中断。
名词解释:
Ingress Tunnel Router(ITR):入口隧道路由器,源端节点接入的第一跳路由器。
Egress Tunnel Router(ETR):出口隧道路由器,目的端节点接入的第一跳路由器。
Routing Locator(RLOC):入口/出口隧道路由器位置标识。
Endpoint ID(EID):终端节点身份标识。
Map Sever:映射服务器,在网络系统中长期存储映射关系EID-to-RLOC。
1 移动节点间建立通信过程
ITR周期性的发送报文通告。当节点MN移动切换时,MN通过入口隧道路由器接入网络。
步骤1:MN收到来自ITR_3的通告报文,告知MN已进入ITR_3接入属地网络区域。
步骤2:MN将身份标识EID发送至ITR_3,然后和ITR_3位置标识RLOC形成映射关系EID-to-RLOC。
步骤3:ITR_3将映射关系EID-to-RLOC发送给Map Sever_2,Map Sever_2随即进行保存。
步骤4:当对端节点(Correspond Node,CN)申请与MN建立通信连接时,CN向网络系统发送映射关系查询报文。报文包含CN身份标识EID和MN身份标识EID。
步骤5:网络系统查询到MN与ITR_3的映射关系EID-to-RLOC后返回到CN。
步骤6:CN以ITR_3位置标识RLOC为目的地址向网络系统发送报文。报文包含CN身份标识EID以及MN身份标识EID,旨在MN对CN进行身份识别。
步骤7:Map Server_1将来自CN的报文转发给Map Server_2。
步骤8:Map Server_2收到来自Map Server_1的报文后转至ITR_3后最终转至目的节点MN。
步骤9:MN和CN在互相确认对端身份后双方建立通信连接。
图1 网络体系结构
1.1 域内切换映射位置更新
节点发生移动切换时,MN根据来自入口隧道路由器ITR的报文通告判断切换模式为域内切换还是域间切换。如果通告报文中的Map Sever标识和上一个Map Sever标识相同,但是ITR标识不同,则说明MN进行域内切换。
域内切换注册流程:
当MN由ITR_1移动到ITR_2的网络属地时,MN需要向ITR_1、ITR_2和Map Sever_1分别进行映射位置更新。
步骤1:MN发送I1报文消息给入口隧道路由器ITR_2。I1报文中包含有通信双方的主机标识EID和RLOC。
步骤2:ITR_2收到I1报文消息后,发送R1报文给MN。R1报文含有一个迷题、ITR_2的半会话密钥。
步骤3:当MN接收到R1报文消息后,检验R1报文的源地址并计算R1报文中的迷题后得到答案,结合ITR_2的半会话密钥和自身的半会话密钥计算得出会话密钥,最后作为I2报文发送给ITR_2。
步骤4:ITR_2收到I2报文后,核查答案完整性。如果答案正确,ITR_2核查MN的会话密钥,最后封装R2报文发送给MN;如果答案错误,则ITR_ 2拒绝MN的通信。
步骤5:MN和ITR_2建立连接后,MN进行位置更新。
步骤6、7:ITR_2的RLOC与MN的EID形成EID-to-RLOC映射关系后进行位置更新,并向MN发送确认信息。
步骤8、9:ITR_2向Map Sever_1发送EID-to-RLOC映射关系,随后Map Sever_1进行位置更新。
步骤10:Map Sever_1更新后发送确认信息至ITR_2表明位置更新成功。
1.2 域间切换映射位置更新
节点发生移动切换时,MN首先根据来自入口隧道路由器的报文通告判断发生域内切换还是域间切换。如果报文中含有不同的Map Sever身份标识,则说明MN发生域间移动。
域间切换注册流程:
步骤1:ITR_3收到来自MN的I1报文消息。I1中含有MN主机标识EID和RLOC。
步骤2:ITR_3收到I1报文后,发送R1报文给MN。R1含有ITR_3的半会话密钥和迷题。
步骤3:当MN接收到R1报文后,核查R1报文是否来自ITR_3。同时,MN产生自己的半会话密钥,结合ITR_3的半会话密钥计算得出会话密钥。随后,MN解答谜题得出答案。最后,MN将会话密钥和答案作为I2报文发送给ITR_3。
步骤4:如果答案正确,ITR_3核查MN的会话密钥,封装R2报文发送给MN;如果答案错误,则ITR_3拒绝MN的通信请求。
步骤5:MN和ITR_3建立连接后,MN进行位置更新。
步骤6、7:ITR_3的RLOC与MN的EID形成EID-to-RLOC映射关系后进行位置更新,并向MN回复ACK报文。
步骤8、9:ITR_3向Map Sever_2发送EID-to-RLOC映射关系,同时Map Sever_2进行位置更新。
步骤10:Map Sever_2更新后向ITR_3发送ACK信息表明更新成功。
步骤11:Map Sever_2向Map Sever_1发送EID-to-RLOC映射关系。
步骤12、13:Map Sever_1进行位置更新,随后向Map Sever_2回复ACK信息,表明位置更新成功。
2 仿真分析及结果
2.1 信令开销分析
在下面的仿真结果中,S1为基于层次位置管理的HIP移动性安全加密支持机制[3];S2为传统分布式映射系统移动安全加密机制[4];S3为本文提出的基于LISP协议的安全加密机制。参考文献[3]和文献[4],表1给出了仿真参数默认值。
表1 仿真参数设置
信令开销主要在于更新MN位置的时延,包括MN在ITR以及Map Sever进行映射位置更新的时延。如果MN不能快速更新映射位置信息,将无法接收来自对端节点的报文,导致大量数据包丢失。鉴于以上因素,位置更新开销的时延越少越好。
在基于LISP协议的安全加密机制中,当MN进行域内切换时,根据信令更新流程,此时MN域内切换过程中映射位置更新开销C1为:
当MN进行域间切换时,根据信令更新流程,此时MN域间切换过程中位置更新开销C2为:
本文提出的基于LISP协议的安全加密机制,将网络系统分成N个网络区域(每个Map Sever为一个网络区域),每个网络区域有K个ITR,MN可以在ITR和Map Sever间随机移动。参考文献[5]设m为MN移动次数,经过m次移动后,进入下一个Map Sever网络区域(域间切换)概率为:
因此,MN移入下一个网络区域移动次数期望E[m]为:
在此认为MN域间位置更新次数期望为1次,域内位置更新的次数期望为(E[m]-1)。因此,在基于LISP协议的安全加密机制中,综合信令开销C为:
2.2 解析成功率分析
驻留时间主要包括MN在前一个ITR接入下驻留时间和移动切换后在本地ITR接入下驻留时间。在此认为MN与移动通信网中的移动节点具有相同移动模式,参考文献[6]MN在前一个ITR接入下驻留时间的概率密度函数为:
MN移动切换后在下一个ITR接入下驻留时间的概率密度函数为:
上式中Vm为MN最大移动速度,R为ITR覆盖半径。
则MN在前一个ITR接入下平均驻留时间为:
MN移动切换后在下一个ITR接入下的平均驻留时间为:
上式中E[V]MN平均移动速度。因此,MN在网络中总的驻留时间为:
T=(E[m]-1)×E[Tn]+E[Tf]。
在一次通信连接过程中,MN成功进行移动切换而使得通信连接继续保持的概率为解析成功率。如果MN在ITR覆盖范围内的驻留时间小于切换时延,则MN和对端的通信连接将会中断。因此,当进行映射位置更新时,MN必须及时更新自己映射位置信息才能准确接收对端节点的报文。由此看出,映射位置更新时间越短,网络系统解析成功率越高。解析成功率为:
2.3 解析成功率仿真
图2 节点平均移动速度对解析成功率影响
图2给出了在路由器覆盖半径R=200 m时,S1、S2和S3三种方案在MN平均移动速度变化的情况下解析成功率仿真曲线对比图。基于位置标识分离网络的移动性支持机制解析成功率主要取决于MN平均移动速度、入口隧道路由器覆盖半径以及移动时域内和域间映射位置更新时延。从图2中可以看出,当ITR覆盖半径相同时,解析成功率随着MN平均移动速度增加而减小。当MN平均移动速度较大时,三种方案解析成功率差异比较大。在MN的平均移动速度为20 m/s时,本章提出的S3方案解析成功率达到99.42%。原因在于当MN平均移动速度较大时,MN进行域内和域间切换切换较为频繁,导致映射位置更新时延较大,因此三种方案解析成功率逐渐降低。由于文中提出的S3方案采用双层扁平式的网络结构,减少了信令交互,优化了映射位置更新流程,因此MN发生移动切换时映射位置更新时延较小,并保持较高的解析成功率。
3 总结
本文设计了一种双层网络设备管理的扁平式网络结构,并在此基础上提出了基于LISP协议的安全加密机制。该机制由于采用扁平式网络结构,减少了信令交互和报文丢失,优化了移动节点更新流程以及报文递交流程。通过建立节点移动模型分析了更新信令开销、报文递交信令开销、解析成功率。仿真结果表明,基于LISP协议的移动切换机制对于域内和域间切换有较低的信令开销、较高的移动切换解析成功率。
[1]任勇,许磊,叶王毅,等.未来网络的研究进展和发展趋势[J].中国科技论文在线,2011,6(4):247-255.
[2]NEBULA:Future internet architecture.NEBULA:A trustworthy,secure and evolvable Future internet architecture.(2013-12-18) [2015-06-12].http//nebula-fia.org/.
[3]Costantini H,Renault E,Boumerdassi S.Future internet in the clouds[C].New Technologies of Distributed Systems(NOTERE). 2011 11th Annual International Conference.Paris,France.2011.France.IEEE.2011:1-5.
[4]Niedermayer,Heiko.On using home networks and cloud computing for a future internet of thing[J].Lecture Notes in Computer Science,2010,61(52):70-80.
[5]Paul S,Yates R,Raychaudhuri D,et al.The cache-and-forward network architecture for efficient mobile content delivery services in the future internet[C].Innovations in NGN:Future Network and Services.First ITU-T Kaleidoscope Academic Conference.USA. 2008.USA.IEEE.2008:367-374.
[6]Zonoozi M M,Dassanayake P.User mobility modeling and characterization of mobility patterns[J].IEEE Joumal on Selected Areas in Communications,1997,15(7):1239-1252.
Mobility Security Mechanism Based on LISP Protocol
WANG Qiang,Gao Hai
(School of Physics and Electronic Science,Shanxi Datong University,Datong Shanxi,037009)
This paper proposes a secure encryption mechanism based on LISP protocol for how to establish a handshake mechanism and how to reduce the update delay quickly.Firstly,the flat network structure of double layer network equipment management is given.When the node domain is switched,the location update mechanism is implemented through the mapping server and the ingress tunnel router.When the handover occurs between the node domains,the node location update mechanism is completed by mapping the information between the mapping servers.As a result of the use of flat network structure to reduce the signaling interaction and packet loss,optimize the mobile node mapping location update mechanism and message interaction mechanism.On the other hand,we establish a flexible analytic model,calculate the node mapping location update signaling overhead,and move the handover resolution success rate.Finally,the performance indexes of different mobility mechanisms are given,and the theoretical rationality of the security encryption mechanism based on LISP protocol is verified by simulation analysis.
separation protocol;location update and flexible switching;identity and location identification
TP393.08
A
〔责任编辑 高彩云〕
1674-0874(2017)04-0024-04
2017-04-30
山西大同大学校级科研项目[2014Q6]
王强(1986-),男,山西阳泉人,硕士,助教,研究方向:图像处理。