导　　师： 叶新铭

学科专业： H1201

授予学位： 博士

作　　者： ;

机构地区： 中国科学院计算技术研究所

摘　　要： 移动lpv6(mobile ipv6，mipv6)是因越来越多的便携设备和网络应用对移动特性的强烈需求而诞生的，它支持不中断连接实现网问移动漫游，为实现真正的按需连网提供了重要的技术支撑。认证、授权和记账(authentication authotization accouting，aaa)是网络运营的基础，无论是ipv4网络还是ipv6网络(包括mipv6网络)，aaa都是不可或缺的。mipv6的切换是指移动节点断开当前：ipv6子网，再连入另一个ipv6子网的过程，因此mlpv6的切换性能直接影响网络应用可获得的服务质量。然而当前情况是，aaa与mipv6相互独立、自成体系，二者以这种方式共存增加了mipv6的切换时延。另外，mipv6还必须独立解决其内部安全问题，这更引入了额外的时延开销，而且浪费了aaa资源的强大计算能力和安全保障能力。因此，在具备aaa功能的mlpv6网络环境中，研究如何提高mipv6的切换性能具有重要的意义。 本文深入分析了aaa认证机制、mipv6切换机制，并且研究了mipv6安全机制与mipv6切换性能的关系。在此基础上，将mipv6的切换过程总的时延开销分为两类：一类是切换机制本身引入的时延开销，另一类是为安全需要引入的时延开销。提出了一套在支持aaa的mipv6互联网络环境中，提高mipv6切换性能的方法。该套方法使aaa机制与mipv6切换过程深层次融合，充分利用了aaa基础设施的计算资源与安全保障能力。在有效保证安全的前提下，该套方法降低了mipv6家乡注册的时延、通信节点(correpondent node，cn)注册时延与远程动态地址配置的时延，优化了端到端路由选择策略，从而提升了mipv6的切换性能，并获得更好的通信效果。 论文的创新性工作包括以下几个方面： (1)提出了“感知网络拓扑的aaa覆盖网络(tbpologically-aware aaa overlay network，ta<'4>on)”框架结构。该框架结构基于diameter协议，在aaa服务器 等基础设施之间建立互信连接，并允许授权路由，构成能够感知全局网络拓扑 结构的覆盖网络，为mipv6提供必要的安全服务并承担信令传递任务。提出 ta<'4>on的意义在于，aaa已不再只是提供身份认证的简单的安全服务了，它 是具有全局性质的智能系统，能够更积极、更有效地对外提供服务。 (2)提出了“带有认证的mipv6有状态自动配置方法(authenticated stateful auto-configuration，asac)”。该方法针对无线链路层访问控制阻止移动节点 (mobile node，mn)获得ipv6连接，以至于不能按传统方式融合认证与家乡注册 的问题，在ta<'4>on的框架下，asac将aaa身份认证、mipv6家乡注册以及 mn自动地址配置三者融合，并配合后台对自动配置地址进行认证，有效地降低了aaa认证过程与mipv6切换过程总时延。(3)提出了基于ta<'4>on进行mipv6身份识别的方法。该方法能够利用ta<'4>on生成 共享密钥完成cn对mn的识别。它可以替代返回可路由(remrn routale，rr) 过程，不但使cn注册获得更安全的保护，而且消除了每次cn注册中的rr过 程时延；另外，该方法能够利用ta<'4>on实现mipv6的远动态程地址配置，在 因家乡网络拓扑变化造成的特殊形式切换发生时，使mn与ha更安全、更快 速地相互识别并恢复联系。该套方法显著减少了mipv6切换中安全机制引入的 额外时延开销。 (4)提出了mipv6“自适应的非对称端到端路由选择方法(adaptive asymmetrical end-to-end routes selecting，aaers)”。在mn切换的家乡注册和cn注册完成 后，可以选择三角路径(triangular path，tp)或直接路径(direct path，dp)进行通 信。aaers通过分别在mn和cn实时地检测和判断，不对称地动态选择 mn→cn方向和cn→mn方向之问的端到端通信路径，使双方都获得了更好 的通信性能。 另外，本研究依托课题设计并实现了一个基于diameter的mipv6 aaa系统，该系统前端支持802.1x协议，能够实现链路层的访问控制。前后端通过diameter协议传递消息，diameter实体之间支持授权路由。该系统被部署在实际的移动ipv6城域示范网中，本文的研究成果在其中得到了应用。

关 键 词： 移动 网络 认证 切换性能 切换安全 端到端路由

分 类 号： [TP393.08]

领　　域： [自动化与计算机技术] [自动化与计算机技术]