[发明专利]一种基于分离映射网络使用数字证书验证用户身份的方法

说明书

技术领域

本发明涉及一种基于分离映射网络使用数字证书验证用户身份的方法，属 于网络技术领域。

背景技术

在TCP/IP协议体系中IP地址表示主机的网络拓扑地址和主机身份，这种IP 地址同时表示网络拓扑位置和主机身份的双重功能严重限制了主机的移动性。 当主机移动改变其IP地址时，通信双方无法在原始创建的网络层通信链路上发 送或接收数据而通信将中断。IP地址同时作为位置标识符和身份标识符的重要 原因之一是互联网最初设计并未考虑主机移动的情况。随着互联网中移动设备 的增多，IP地址语义过载的弊端就逐渐显现出来。目前互联网移动性解决主要 方案移动IP(Mobile IP，MIP)，用主机的家乡地址作为主机的身份标识，通 过设置家乡代理来实现路由的重定向。虽然移动IP使移动主机能够继续使用原 有IP地址与对端进行通信，但是产生了三角路由、切换延迟等问题。移动IPv6 (Mobile IPv6)避免了三角路由问题，但仍存在较大的切换延迟。为了从本质 上解决移动性、多家乡问题，需要把主机的位置标识符和身份标识符进行分离。

IP地址二义性，不仅不利于移动、多家乡等业务的开展，而且对网络安全 状况造成了严重的影响。由于IP地址是互联网络设备和用户身份的象征，因此 攻击者可以通过伪造受害者的IP地址在网络中进行一些不法行为，如抢占带宽， 攻击某些设备等。互联网中中间路由器根据目的地址转发分组，对数据来源不 审查、不验证，也给IP地址欺骗等攻击提供了方便。

地址分离映射将主机的位置信息与身份信息进行了分离，地址分离映射网 络通过接入网和骨干网的拓扑划分，建立了接入地址和路由地址分离的基础， 这种地址分离映射网络的基本通信过程如图1所示。在分离映射网络下，管理部 门为终端分配一个唯一的接入地址，代表终端的身份信息；接入路由器为接入 终端分配路由地址，代表终端的位置信息。一个终端可以有多个网络接口卡， 但只能有一个接入地址，接入地址是全网唯一的，不随终端移动而改变；路由 地址由接入路由器分配，可以随终端移动而改变。

骨干网负责路由和映射管理，骨干网上的网络接口都配置路由地址，而所 有接入网上的网络接口都配置接入地址。接入路由器是接入网和骨干网的分界 点，也是惟一同时具有接入地址和路由地址的网络设备，但是同一个网络接口 不能同时拥有接入地址和路由地址。接入路由器拥有一定数量的路由地址供其 自由使用，骨干网可以不考虑身份问题，完全按照地址聚合的方式根据网络拓 扑对接入路由器进行路由地址分配，解决了路由聚合的问题。

所有的终端都必须通过接入路由器接入网络，接入路由器会对终端身份进 行验证，为终端分配一个空闲的路由地址。这个路由地址和终端的接入地址在 接入路由器的本地用户映射表(Local user Mapping Table，LMT)中形成一个 映射关系，同时接入路由器通知映射服务器更新终端地址映射关系，但是这个 映射关系并不告知终端。终端还要定期和接入路由器交互，表明自己仍处于此 接入网中。这样网络通过映射服务器保存了所有接入终端接入地址和路由地址 的映射关系。

接入路由器不仅要完成数据包的寻路转发工作，还要为每个用户的数据包 进行地址替换操作。用户发出的数据包中源、目的地址均为接入地址，接入路 由器在查找本地用户映射表LMT，或者向映射服务器查询之后，用获取的路由地 址替换数据包中源、目的终端的接入地址，替换之后将其发往骨干网。当数据 包到达通信对端所在接入路由器时，也需要一个相反的过程来将数据包中的路 由地址重新替换成双方的接入地址，并转发给通信对端。

整个地址分离映射网络划分成若干个管理域，每个域内设一台映射服务器， 负责存储、管理本域内的节点信息，可以避免因网络规模太大带来的一些问题。 当网络规模较小时，一台映射服务器就可保存网络中所有节点的信息，由它集 中管理全网终端的接入/路由地址映射，但当网络规模足够大的时候，一台映射 服务器就不可能保存全局所有的节点映射信息，这样造成服务器存储量过于庞 大，查询速度降低，可靠性差等。这种管理域是按照一台映射服务器的管理范 围来划分，不会影响数据包传输中的路由过程。

如图1，地址分离映射网络中同一个域内终端A与终端B的一次完整通信过程 如下：

步骤1：终端A进入接入路由器AR1的覆盖范围，第一次通信时必须首先向AR1 发送认证请求。

步骤2：AR1向认证机构进行认证查询。