移動IP技術(shù)分析

廣小明　武 靜


中國電信集團(tuán)北京研究院


信息產(chǎn)業(yè)部電信傳輸研究所




　　摘 要 移動IPv4是基于網(wǎng)絡(luò)層的移動管理協(xié)議，無論從位置管理還是移動切換管理都采用基于網(wǎng)絡(luò)層IP來實(shí)現(xiàn)。作為支持宏觀移動的技術(shù)，移動IP可以與微觀移動的技術(shù)，如蜂窩IP等相結(jié)合應(yīng)用。本文著重介紹移動IPv4技術(shù)的基本原理，同時從安全、路由和網(wǎng)絡(luò)層的移動切換的角度，引入相關(guān)的補(bǔ)充技術(shù)，如安全認(rèn)證機(jī)制、路由優(yōu)化技術(shù)和平滑切換技術(shù)，提供完善的移動IP實(shí)現(xiàn)。


　　關(guān)鍵詞 移動IP 路由優(yōu)化 Macro-Mobility Micro-Mobility 平滑切換 安全認(rèn)證



　　1 移動IP技術(shù)發(fā)展背景


　　隨著移動和互聯(lián)網(wǎng)技術(shù)的發(fā)展，移動數(shù)據(jù)通信作為二者的結(jié)合也越來越得到大家的關(guān)注。當(dāng)前移動數(shù)據(jù)通信領(lǐng)域更多的研究集中在物理層和鏈路層，如衛(wèi)星、CDMA、IEEE 802.11系列，本文著重于網(wǎng)絡(luò)層移動功能的實(shí)現(xiàn)，圍繞IETF 移動IP而展開�；�于網(wǎng)絡(luò)層的移動技術(shù)，可以有效提供上層通信實(shí)體透明的移動通信能力，最大程度地利用現(xiàn)有互聯(lián)網(wǎng)絡(luò)中的通信設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)。移動IP 技術(shù)通過保持移動節(jié)點(diǎn)的IP地址的不變，維持移動過程中傳輸層以及更高層的通信連接。在現(xiàn)有協(xié)議基礎(chǔ)上疊加（overlay）移動功能方式，優(yōu)點(diǎn)是最大限度利用現(xiàn)有網(wǎng)絡(luò)資源和研發(fā)方面的經(jīng)驗(yàn)，較快實(shí)現(xiàn)解決方案；缺點(diǎn)是在網(wǎng)絡(luò)層協(xié)議本身是針對固定網(wǎng)絡(luò)而設(shè)計的基礎(chǔ)上實(shí)現(xiàn)的移動方案，可能并不是最佳，需要增補(bǔ)相應(yīng)的協(xié)議內(nèi)容完善在移動環(huán)境中的通信能力，例如CoA地址獲得、反轉(zhuǎn)隧道技術(shù)和路由優(yōu)化技術(shù)等；在下一代IP中，在協(xié)議的體系結(jié)構(gòu)中移動功能已經(jīng)是其中的一個重要方面，所以可以說移動技術(shù)是IPv6協(xié)議的一個固有的部分，區(qū)別于通常的疊加方式的實(shí)現(xiàn)方案（IPv4,Wireless ATM等），提供更優(yōu)化的移動性支持。下面我們將主要分析移動IPv4 技術(shù)，因?yàn)槠渲械幕�本原理無論是在下一代移動IPv6還是在一些其他的移動解決方案中普遍地得到了采納。


　　1. 移動技術(shù)


　　移動技術(shù)涉及的內(nèi)容主要包括以下兩個方面：


　　——位置管理：提供移動過程中節(jié)點(diǎn)尋址能力， 核心問題是保持移動節(jié)點(diǎn)地址不變，特別是由于地址緩存技術(shù)造成高層地址解析協(xié)議往往要求低層地址能夠保持不變。


　　——連接切換：提供移動過程中節(jié)點(diǎn)維持活動連接的能力；移動節(jié)點(diǎn)從一個基站移動到另一個基站時，在新的基站中協(xié)商的帶寬和延時等特性必然不同于前一個基站中所獲得的業(yè)務(wù)質(zhì)量，因此切換機(jī)制必須確保新路徑滿足QoS要求，或者可以進(jìn)行QoS重新協(xié)商；其次還有路由優(yōu)化提高網(wǎng)絡(luò)帶寬利用率。


　　2. 移動IP技術(shù)概述


　　在移動IP中，切換和位置管理是不加區(qū)分的，都是在歸屬代理中實(shí)現(xiàn)的。移動IP基本協(xié)議集中并沒有提供切換中QoS保證以及路由優(yōu)化，但是平滑切換機(jī)制提供：


　　——新外部代理通知舊外部代理新的轉(zhuǎn)交地址；


　　——在切換完成后，歸屬代理發(fā)送綁定更新給通信節(jié)點(diǎn)，實(shí)現(xiàn)路由優(yōu)化，即建立通信節(jié)點(diǎn)和移動節(jié)點(diǎn)轉(zhuǎn)交地址間的隧道，而不用再通過歸屬代理。


　　這種切換機(jī)制是基于這樣一個前提：移動節(jié)點(diǎn)在進(jìn)行切換的過程中能夠和兩個網(wǎng)絡(luò)同時通信，這樣可以保證在切換過程中數(shù)據(jù)完整性。如果沒有這個前提，可以選擇其他一些切換技術(shù)，如無線ATM中，部分路徑重路由技術(shù)（前向切換），路徑捻接技術(shù)（反向切換），支持多播的交接技術(shù)（為了避免切換過程中數(shù)據(jù)丟失或者傳輸報文順序差錯），特別是如果切換過程發(fā)生在很短的時間間隔內(nèi)，不足以實(shí)現(xiàn)前向切換，可以采用多播的方式保證在切換過程中數(shù)據(jù)的完整性。


2 移動IP技術(shù)基本原理


　　移動IP主要涉及三個方面的內(nèi)容：代理發(fā)現(xiàn)，注冊和隧道傳輸。下面我們圍繞這三個協(xié)議過程展開分析，同時針對各種實(shí)現(xiàn)技術(shù)所適用的特定環(huán)境作一個分析比較。


1. 代理發(fā)現(xiàn)：移動代理，包括歸屬代理和外部代理，通過定期發(fā)送“代理通告”消息，在相連接鏈路上通告移動代理業(yè)務(wù)；移動節(jié)點(diǎn)偵聽“代理通告”，檢查通告內(nèi)容，檢測是否發(fā)生移動：


　　· 位于歸屬地網(wǎng)絡(luò)：不需要移動功能支持；


　　· 位于外部網(wǎng)絡(luò)：發(fā)生移動，繼續(xù)移動IP進(jìn)程；


　　· 返回歸屬地網(wǎng)絡(luò)：注銷移動節(jié)點(diǎn)的注冊，結(jié)束移動IP進(jìn)程。


　　移動節(jié)點(diǎn)獲得它在外部鏈路上的轉(zhuǎn)交地址，有兩類轉(zhuǎn)交地址：


　　· 外部代理的轉(zhuǎn)交地址，是通過代理通告獲得的；


　　· collocated 轉(zhuǎn)交地址，是通過DHCP或其他方式臨時分配給移動節(jié)點(diǎn)的地址。


　　如果移動節(jié)點(diǎn)在一段時間內(nèi)沒有收到“代理通告”，或者移動節(jié)點(diǎn)使用其他方式獲得轉(zhuǎn)移地址，移動節(jié)點(diǎn)可以強(qiáng)制發(fā)送“請求代理通告”，現(xiàn)有移動代理應(yīng)答請求，并且提供相應(yīng)的轉(zhuǎn)交地址。


　　移動檢測功能的實(shí)現(xiàn):


　　· 通過生命期判定：在每一個“代理通告”中，移動節(jié)點(diǎn)獲得了相應(yīng)通告的生命期，在生命期過期之前應(yīng)該接收到下一條“代理通告”；如果在生命期內(nèi)從相應(yīng)外部代理未接受到新的通告，就有兩種可能，其一移動節(jié)點(diǎn)漫游到了新的子網(wǎng)，其二移動節(jié)點(diǎn)向新的外部代理申請了注冊。


　　· 通過網(wǎng)絡(luò)地址前綴：通過比較現(xiàn)有外部代理和接受到的新的外部代理的網(wǎng)絡(luò)地址前綴來判斷移動節(jié)點(diǎn)是否移動到了一個新的子網(wǎng)。


　　2. 注冊：移動節(jié)點(diǎn)偵測到網(wǎng)絡(luò)接入點(diǎn)發(fā)生改變或者上一個注冊有效期將要過期時，移動節(jié)點(diǎn)實(shí)施注冊過程，通過注冊過程完成以下任務(wù)：


　　· 通知?dú)w屬代理當(dāng)前轉(zhuǎn)交地址；在歸屬代理中生成移動節(jié)點(diǎn)的綁定信息，三元組，包括轉(zhuǎn)交地址，歸屬地地址和注冊生命期；


　　· 發(fā)送注冊消息給外部代理，請求外部代理提供路由業(yè)務(wù)（特別是在路由優(yōu)化中，通過擴(kuò)充注冊選項(xiàng)實(shí)現(xiàn)平滑切換）；


　　· 對于將要過期的注冊項(xiàng)，重新注冊；


　　· 當(dāng)判斷返回歸屬地網(wǎng)絡(luò)時，注銷原注冊項(xiàng)。


　　 注冊請求中涉及以下這些信息：


　　· 移動節(jié)點(diǎn)的歸屬地地址；


　　· 移動節(jié)點(diǎn)轉(zhuǎn)交地址；


　　· 歸屬代理的地址；


　　· 注冊生命有效期；


　　· 封裝信息；


　　· 防竊取安全認(rèn)證信息。


　　3. 隧道傳輸：代理節(jié)點(diǎn)，攔截發(fā)送到移動節(jié)點(diǎn)歸屬地址的數(shù)據(jù)報文；以隧道方式封裝后轉(zhuǎn)發(fā)到移動節(jié)點(diǎn)注冊的轉(zhuǎn)發(fā)地址。


　　對于發(fā)送到移動節(jié)點(diǎn)的數(shù)據(jù)報文，歸屬代理完成隧道封裝，由外部代理完成解封裝，然后轉(zhuǎn)發(fā)給移動節(jié)點(diǎn)；或者直接由移動節(jié)點(diǎn)完成解封裝和數(shù)據(jù)接收過程；對于移動節(jié)點(diǎn)發(fā)送出去的數(shù)據(jù)報文，以外部代理作為缺省路由器，通過常規(guī)路由技術(shù)，傳送到目的地。


　　——IP in IP 封裝：作為必選的隧道封裝機(jī)制；在原IP數(shù)據(jù)報文外面，封裝新的IP報頭；保持原IP報頭不變，整個隧道作為路由中的一跳（one hop）來處理；


　　——Minimal Encapsulation（最小化封裝）：作為可選的隧道封裝機(jī)制；通過簡化和合并兩級IP報頭的內(nèi)容，達(dá)到減小報頭的額外開銷；已分段的IP數(shù)據(jù)報不能進(jìn)行最小化封裝，而進(jìn)行最小化封裝后的IP數(shù)據(jù)報可以進(jìn)行分段；TTL在隧道中每一個路由器處理時減1；


　　——GRE：作為可選的隧道封裝機(jī)制；多用于涉及多協(xié)議間的封裝。


　　4. 移動IP協(xié)議中其他技術(shù)


　　（1）反轉(zhuǎn)隧道


　　采用反轉(zhuǎn)隧道技術(shù)的原因：


　　·防火墻或路由器部署安全策略，如“Ingress Filtering”，將導(dǎo)致移動節(jié)點(diǎn)發(fā)送的IP數(shù)據(jù)報文被丟棄；


　　· IP數(shù)據(jù)報頭中的參數(shù)，如TTL，移動節(jié)點(diǎn)和歸屬地網(wǎng)絡(luò)中其他節(jié)點(diǎn)通信中，由于移動節(jié)點(diǎn)漫游遠(yuǎn)離歸屬地子網(wǎng)而造成TTL超時的錯誤。
　　通過補(bǔ)充反轉(zhuǎn)路由實(shí)現(xiàn)，避免以上兩種原因造成的數(shù)據(jù)丟棄。


　　（2）路由優(yōu)化。


　　基本移動IP引出三角路由的問題，相伴隨著的是網(wǎng)絡(luò)延時和網(wǎng)絡(luò)負(fù)載的加劇。通過路由優(yōu)化技術(shù)，避免三角路由問題，優(yōu)化網(wǎng)絡(luò)路由結(jié)構(gòu)；主要涉及三個方面的功能實(shí)現(xiàn)：


　　· 歸屬代理通知通信節(jié)點(diǎn)關(guān)于移動節(jié)點(diǎn)的位置信息；


　　· 實(shí)現(xiàn)收發(fā)端的直接隧道連接；


　　· 通信節(jié)點(diǎn)學(xué)習(xí)移動節(jié)點(diǎn)的當(dāng)前位置信息，采用諸如地址緩存的手段。


　�。�3）安全性認(rèn)證


　　注冊信息和綁定信息的安全認(rèn)證，防止偽造的注冊攻擊和回放式攻擊。


　　——支持MD5；


　　——安全防止回放式攻擊。


　　時間戳：歸屬代理通過檢查認(rèn)證字段中的時間戳，拒絕同步時間段以外的注冊請求。


　　隨機(jī)數(shù): 歸屬代理和移動節(jié)點(diǎn)間通過匹配請求和相應(yīng)中的隨機(jī)數(shù)，防止回放式攻擊。


3 移動IPv6技術(shù)


　　在3G發(fā)展背景下，IPv6作為實(shí)現(xiàn)的關(guān)鍵協(xié)議已經(jīng)得到3GPP的認(rèn)可。作為推動無論是3G或者是IPv6盡可能快的部署，移動IP 業(yè)務(wù)具有舉足輕重的意義。移動IPv6究其根本在網(wǎng)絡(luò)層實(shí)現(xiàn)了移動性的管理問題，相對于鏈路層移動管理機(jī)制。IPv6協(xié)議本身在移動功能的支持上已經(jīng)遠(yuǎn)遠(yuǎn)強(qiáng)于IPv4，但是在IPv6中仍然需要移動IP實(shí)現(xiàn)移動的管理，提供應(yīng)用層或高層協(xié)議對于移動的透明。IPv6在以下方面作了改變：


　　——鄰居發(fā)現(xiàn)協(xié)議增強(qiáng)了移動管理能力：


　　· 移動節(jié)點(diǎn)轉(zhuǎn)交地址自動配置；


　　· 移動節(jié)點(diǎn)和移動代理之間的相互發(fā)現(xiàn)；


　　· 網(wǎng)絡(luò)地址前綴的發(fā)現(xiàn)，簡化移動檢測過程。


　　——在IPv6中提供端到端的可選消息，減小對路徑中間節(jié)點(diǎn)路由器性能的影響。


　　——安全性作為IPv6協(xié)議中的基本要求，本身提供必要的安全協(xié)議IPSec提供安全認(rèn)證和數(shù)據(jù)傳輸?shù)陌踩�保證。


　　——無需外部代理和相應(yīng)的外部代理的轉(zhuǎn)交地址方式，避免類似于IPv4中NAT所引起的問題，增強(qiáng)端到端的通信能力。


　　——路由優(yōu)化作為必然的通信方式而得到支持。


4 其他相關(guān)技術(shù)問題


　　在移動IP技術(shù)被廣泛采用之前，仍然有大量的問題需要得到解決。


　　1. 移動IP所涉及到的授權(quán)、認(rèn)證和計費(fèi)問題；


　　2. 對應(yīng)ROAMOP工作組的相關(guān)技術(shù)，L2TP，PPTP和移動IP相互關(guān)系；


　　3. QoS在移動IP中的實(shí)現(xiàn)技術(shù)。



參 考 文 獻(xiàn)


[1] RFC 2002，IP Mobility Support


[2] RFC 2003，IP Encapsulation within IP


[3] RFC 2004，Minimal Encapsulation within IP


[4] RFC 2005，Applicability Statement for IP mobility Support


[5] RFC 2344，Reverse Tunneling for Mobile IP


[6] RFC 3344，IP Mobility Support for IPv4


[7] RFC 2401，IPSec


[8] draft-ieft-mobileip-optim-08.txt Route Optimization in Mobile IP


[9] draft-ietf-mobileip-ipv6-021.txt Mobility Support in IPv6


[10] Perkins E . Mobile IP Charles



　　廣小明，任職中國電信集團(tuán)北京研究院，數(shù)據(jù)通信研究室。畢業(yè)至今一直從事數(shù)據(jù)通信領(lǐng)域的研究和開發(fā)工作，主要涉及以下一些領(lǐng)域：窄帶、寬帶ISDN網(wǎng)絡(luò)技術(shù)，IP網(wǎng)絡(luò)路由技術(shù)，MPLS流量工程等。


　　武 靜：任職信息產(chǎn)業(yè)部電信傳輸研究所，二室。畢業(yè)至今主要從事移動數(shù)據(jù)業(yè)務(wù)的研究。




----《中國數(shù)據(jù)通信》