發明領域

本發明涉及基于委托(delegation)的移動性管理，并且尤其(雖然 并非必需)涉及在主機標識協議(Host?Identity?Protocol)尋址機制背景 下的這種管理。

發明背景

用戶和終端移動性是當前和未來一代的蜂窩網絡成功的關鍵所在。 雖然與傳統電路交換呼叫相關聯的移動性問題基本上已得到解決，但是 在提供基于IP的數據服務方面還存在難題。已經針對IP提出了多種移 動性解決方案。這些解決方案包括移動IP，其中移動節點在其歸屬網絡 內被分配以永久的IP地址，并且當所述移動節點在漫游時向歸屬網絡登 記轉交地址(care-of-address)。

針對IP移動性問題的另一種解決方案是將標識和定位功能彼此分 離，并且這是在主機標識協議(HIP)提案(R.Moskowitz，P.Nikander， P.Jokela，“Host?Identity?Protocol”，Internet?Draft，在編， drft-ietf-hip-base-05，IETF，2006)中采用的方法。HIP通過引入新的命 名空間-主機標識(HI)而將IP地址的位置與標識角色分離。在HIP 中，主機標識基本上是公私密鑰對的公共加密密鑰，并且是根據私鑰而 生成的并且被聯接到(link?to)私鑰。公鑰標識持有私鑰的唯一拷貝的 一方。處理密鑰對的私鑰的主機能夠直接證明其“擁有”用于在網絡中 對其進行識別的公鑰。

HIP主機標識(HI)作為公鑰可以非常長并且由此并非在所有情況 下都是切合實際的。在HIP中，HI可以用通過對HI進行哈希(hash) 所生成的128位長的主機標識標簽(HIT)來表示。因此，HIT對HI進 行標識。由于HIT是128位長，與IPv6地址的長度完全相同，因此其 能夠直接被用于IPv6應用。

當使用HIP時，包括應用的上層不再看到IP地址。作為代替，它 們看到作為目的地主機的“地址”的HI(或HIT)。IP地址不再標識節 點，它們僅用于在網絡中路由分組。應用所使用的HI(或HIT)必須在 任意分組離開主機之前被映射到相應的IP地址。這在新的主機標識層中 實現。附圖的圖1圖示了HIP中的各個層，包括標準傳輸層4、網絡層 8和鏈路層10，其下具有與傳輸層4通信的過程2。利用HIP，新的主 機標識層6被設置在傳輸層4和網絡層8之間。

附圖的圖2圖示了HIP的四路握手基礎協議的操作。進行協商的各 方被稱作開啟連接的發起方以及響應方。發起方通過發送I1分組來開始 協商，所述I1分組包含參與協商的節點的HIT。如果響應方的HIT不為 發起方所知，則也可以將目的地HIT歸零。當響應方得到I1分組時， 其發送回R1分組，所述R1分組包含要由發起方求解的問題(puzzle)。 所述協議被設計成使得發起方必須在問題求解期間進行大部分計算，并 且需要訪問對應于HI的私鑰。這提供了抵抗DoS攻擊的一些保護。R1 還發起迪菲-赫爾曼(Diffie-Hellman)過程，該過程包含響應方的公鑰 以及迪菲-赫爾曼參數。一旦接收到R1參數，發起方就求解所述問題并 且在I2分組中向響應方發送響應cookie以及IPsec?SPI值及其加密公鑰。 響應方驗證已被求解的問題，鑒別發起方并且創建IPsec?ESP?SA。最終 的R2消息包含響應方的SPI值。

作為HIP基本交換的結果而建立的SA被附于由HIT所表示的主機 標識。然而，在網絡中傳播的分組不包含實際的HI或HIT信息。更確 切地，使用IPsec首部中的安全參數索引(SPI)值對到達分組進行識別 并將其映射到正確的SA。

根據上文能夠明確的是，改變分組中的位置信息并不會為IPsec處 理帶來任何問題。仍然使用SPI來正確地標識分組。如果出于某種原因， 分組被路由到錯誤的目的地，則接收方由于沒有正確的密鑰而無法打開 所述分組。

當外出的分組從上部的層到達HI層時，根據IPsec?SADB來驗證目 的地HI或HIT。如果找到與目的地HI或HIT相匹配的SA，則使用與 SA相關聯的會話密鑰對分組進行加密。HI或HIT被映射到正確的目的 地IP地址。在接收主機處，SPI值被用來從IPsec?SADB尋找正確的SA。 如果找到一個條目(entry)，則能夠將IP地址改變為相應的HIT并且 能夠使用會話密鑰對分組進行解密。