移動IP技術在cdma2000 1x中的應用

耿兆森 穆安容

中興通訊股份有限公司
　　摘 要 介紹了移動ＩＰ技術在ＣＤＭＡ中的應用原理，講述了移動ＩＰ和ＣＤＭＡ結合后給移動用戶帶來的便利，并簡要論述了移動ＩＰ的安全實現(xiàn)方法。


　　關鍵詞 移動ＩＰ 簡單ＩＰ ＣＤＭＡ 無線ＩＰ



１ 背景


　　在ＣＤＭＡ Ｏｎｅ的網(wǎng)絡中，一般通過ＩＷＦ為用戶提供分組接入服務，它主要有以下一些缺點：移動臺和ＩＷＦ之間采用的是電路交換方式，網(wǎng)絡資源的利用率比較低；分等級服務實現(xiàn)比較困難；分組接入的速率比較低，而且費用也比較高。


　　針對這些缺點，作為ＣＤＭＡ Ｏｎｅ的后續(xù)版本，ｃｄｍａ２０００ １ｘ引入了真正意義上的分組接入方式。ｃｄｍａ２０００ １ｘ提供了簡單ＩＰ和移動ＩＰ兩種分組服務接入方式。


　　簡單ＩＰ（Ｓｉｍｐｌｅ ＩＰ）方式：類似于傳統(tǒng)的撥號接入，分組數(shù)據(jù)服務節(jié)點（ＰＤＳＮ，Ｐａｃｋｅｔ Ｄａｔａ Ｓｅｒｖｉｎｇ Ｎｏｄｅ）為移動臺動態(tài)分配一個ＩＰ地址，該ＩＰ地址一直保持到該移動臺移出該ＰＤＳＮ的服務范圍，或者移動臺終止簡單ＩＰ的分組接入。當移動臺跨ＰＤＳＮ間切換時，該移動臺的所有通信將重新建立，通信中斷。移動臺在其歸屬地和拜訪地都可以采用簡單ＩＰ接入方式。
移動ＩＰ（Ｍｏｂｉｌｅ ＩＰ）方式：移動臺使用的ＩＰ地址是其歸屬網(wǎng)絡分配的，不管移動臺漫游到哪里，它的歸屬ＩＰ地址均保持不變，這樣移動臺就可以用一個相對固定的ＩＰ地址和其他節(jié)點進行通信了。簡單地說，移動ＩＰ提供了一種特殊的ＩＰ路由機制，使得移動臺可以以一個永久的ＩＰ地址連接到任何鏈路上。


２ 移動ＩＰ網(wǎng)絡的架構


　　針對移動ＩＰ業(yè)務的ＩＭＴ－２０００網(wǎng)絡結構模型。實現(xiàn)移動ＩＰ業(yè)務主要涉及的功能實體有：移動臺（ＭＳ）、分組數(shù)據(jù)服務節(jié)點（ＰＤＳＮ）、歸屬代理（ＨＡ）、鑒權、授權與計賬服務器（ＡＡＡ）。就網(wǎng)絡結構而言，簡單ＩＰ僅比移動ＩＰ少一個ＨＡ。


　　移動臺（Ｍｏｂｉｌｅ Ｓｔａｔｉｏｎ，ＭＳ）：移動用戶的終端設備。移動臺使用移動ＩＰ接入時，可以將接入因特網(wǎng)的位置從一條鏈路切換到另一條鏈路上，同時仍然保持所有正在進行的通信，并且只使用它的歸屬地址。


歸屬代理（Ｈｏｍｅ Ａｇｅｎｔ，ＨＡ）：它實際上是ＭＳ在歸屬網(wǎng)中的一個路由器，用于維護移動臺的位置信息。當移動臺離開注冊網(wǎng)絡后，需要向ＨＡ進行登記，ＨＡ在收到發(fā)往移動臺的數(shù)據(jù)包時，通過ＨＡ與ＭＳ的轉交地址之間的隧道將數(shù)據(jù)包送往ＭＳ，完成移動ＩＰ功能。
外地代理（Ｆｏｒｅｉｇｎ Ａｇｅｎｔ，ＦＡ）：移動臺拜訪網(wǎng)絡的代理路由器。ｃｄｍａ２０００ １ｘ網(wǎng)絡中ＰＤＳＮ承擔著ＦＡ的功能，它為ｃｄｍａ２０００移動臺提供訪問Ｉｎｔｅｒｎｅｔ或Ｉｎｔｒａｎｅｔ的服務。ＰＤＳＮ除提供移動ＩＰ接入方式外，它還可以為移動臺提供簡單ＩＰ接入服務，同時ＰＤＳＮ也完成對用戶的鑒權、授權和記賬等功能。


ＡＡＡ服務器（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ，Ａｕｔｈｏｒｉｚａｔｉｏｎ，Ａｃｃｏｕｎｔｉｎｇ Ｓｅｒｖｅｒ，ＡＡＡ服務器）：即鑒權、授權與記賬服務器。ＡＡＡ服務器對分組數(shù)據(jù)呼叫用戶進行鑒權，判決用戶的合法性以及哪類業(yè)務對用戶是開放的，ＡＡＡ服務器還完成分組數(shù)據(jù)呼叫記賬功能。


３ 工作原理


３.１ 引入移動ＩＰ的原因


（１） 許多應用的配置數(shù)據(jù)庫都是以ＩＰ地址為基礎的（而不是以主機名），如果主機的ＩＰ地址改變，那么這些應用就會中斷。


（２） 路由問題。在ＩＰ網(wǎng)絡中，路由器的路由表達通常是基于網(wǎng)路前綴來實現(xiàn)的，當一個用戶漫游到外地時，如果它還繼續(xù)使用它歸屬網(wǎng)絡的ＩＰ地址，則就會出現(xiàn)漫游用戶的ＩＰ地址和拜訪網(wǎng)絡的路由器路由條目不一致的情況。在路由器上增加移動用戶的主機路由信息是解決這個用戶的路由問題的權宜之計，但在出現(xiàn)大規(guī)模的移動用戶的網(wǎng)絡中支持主機路由是極其不明智的。


（３） 移動臺作為被叫的問題。移動臺采用簡單ＩＰ接入時，每次ＰＤＳＮ或ＡＡＡ服務器為ＭＳ分配的ＩＰ地址都是變化的，每當ＭＳ發(fā)生ＰＤＳＮ間的切換時，ＭＳ的所有通信必須重新建立，這就很難把移動臺作為被叫設備。


３.２ 基本思想


　　移動ＩＰ的基本思想就是數(shù)據(jù)轉發(fā)，當ＭＳ要發(fā)送數(shù)據(jù)給ＣＮ時，該分組報文首先被發(fā)送到ＰＤＳＮ／ＦＡ那里，如果ＦＡ判斷出是發(fā)往ＨＡ對應的歸屬網(wǎng)絡，ＦＡ會在報文的外層封裝一個隧道報頭，隧道報頭的信源地址是ＦＡ，信屬地址是ＨＡ，隧道報文通過沿途的各個路由器到達ＨＡ，ＨＡ解封裝掉外層的隧道報頭后，把里層的ＩＰ報文發(fā)送給ＣＮ，這樣ＭＳ發(fā)出的ＩＰ報文就可以被轉發(fā)到ＣＮ了。ＣＮ發(fā)送報文給ＭＳ的處理過程剛好相反。


　　所描述的數(shù)據(jù)轉發(fā)過程中，ＭＳ申請了反向隧道（ＦＡ→ＨＡ）的服務，如果沒有反向隧道的話，則ＦＡ在轉發(fā)ＭＳ發(fā)出的報文時會把報文直接發(fā)到Ｉｎｔｅｒｎｅｔ上，而不采用隧道的封裝。不管有沒有反向隧道的服務，ＨＡ都必須把歸屬網(wǎng)上所有發(fā)往ＭＳ的報文通過ＦＡ轉發(fā)給ＭＳ。


　　移動ＩＰ技術中有一個重要的地址，即轉交地址（Ｃａｒｅ－ｏｆ Ａｄｄｒｅｓｓ，簡稱ＣｏＡ）。當移動臺不在歸屬網(wǎng)絡時，轉交地址則通往移動臺的隧道終點。轉交地址分為外地代理轉交地址（ＦＡ－ＣｏＡ）和配置轉交地址（Ｃｏ－ｌｏｃａｔｅｄ Cａｒｅ－ｏｆ Ａｄｄｒｅｓｓ，Ｃｏ－ＣｏＡ）兩類。


３.３ 移動ＩＰ的建立過程


　�。桑停裕�２０００系統(tǒng)的移動ＩＰ和基于普通以太網(wǎng)的移動ＩＰ在實現(xiàn)原理上基本一致，但在某些細節(jié)上還存在一些差別，這是由ＩＭＴ－２０００系統(tǒng)的特性所決定的。


　　在以太網(wǎng)中，移動臺通過ＩＣＭＰ路由發(fā)現(xiàn)協(xié)議（ＩＣＭＰ Ｒｏｕｔｅｒ Ｄｉｓｃｏｖｅｒｙ Ｐｒｏｔｏｃｏｌ，ＩＲＤＰ）檢查其是否在自己的歸屬網(wǎng)絡中，協(xié)議利用路由廣播和路由請求消息發(fā)現(xiàn)路由器的服務子網(wǎng)。如果移動臺發(fā)現(xiàn)自己在歸屬網(wǎng)絡中，那么它就不需要為接收數(shù)據(jù)包做特殊的事情；如果移動臺收到的ＩＲＤＰ廣播包是由外地代理發(fā)送來的，那么移動臺將采用移動ＩＰ技術通過ＦＡ向ＨＡ注冊。普通以太網(wǎng)中的移動臺在歸屬網(wǎng)絡中并不需要啟動移動ＩＰ，只有漫游到外地時才需要啟動移動ＩＰ，在這一點上，ｃｄｍａ２０００ １ｘ網(wǎng)絡中的移動ＩＰ與普通以太網(wǎng)中的移動ＩＰ是不一樣的。簡單地說，就是移動臺在無線接入時首先需要決定是采用簡單ＩＰ接入方式，還是移動ＩＰ接入方式，不能等到ＩＲＤＰ以后再決定。


　�。ǎ保� ＭＳ為了獲得分組數(shù)據(jù)服務，而向無線服務網(wǎng)中的ＢＳ發(fā)送一個ＩＳ－２０００ Ｏｒｉｇｉｎａｔｉｏｎ Ｍｅｓｓａｇｅ，該消息中附帶一個分組數(shù)據(jù)服務選項。如果正常的語音服務認證通過的話（主要是驗證移動臺的合法性），ＢＳ將為ＭＳ分配空中信道，此后ＲＮ（指ＰＣＦ）和ＰＤＳＮ之間建立ＲＰ連接。


　�。ǎ玻� ＭＳ和ＰＤＳＮ之間建立ＰＰＰ連接，此時在ＰＰＰ的ＩＰＣＰ階段不會協(xié)商ＭＳ的ＩＰ地址（如果在ＩＰＣＰ階段協(xié)商ＩＰ地址，那么說明移動臺申請的是簡單ＩＰ接入方式，這就是為什么移動臺一開始接入時就要選擇好接入方式的原因）。


　�。ǎ常┯捎冢停硬捎玫氖且苿樱桑薪尤敕绞剑�ＰＤＳＮ／ＦＡ主動向ＭＳ發(fā)布外地代理布告，因此ＭＳ通過該布告可以獲知ＦＡ－ＣｏＡ和ＦＡＣ（Ｆｏｒｅｉｇｎ Ａ?鄄ｇｅｎｔ Ｃｈａｌｌｅｎｇｅ），每次ＭＳ進行移動ＩＰ注冊時必須把剛才為其發(fā)布的ＦＡＣ帶回來（ＦＡＣ是1個最少為２５３字節(jié)的隨機字符串）。ＰＤＳＮ在收到ＭＳ發(fā)出的代理請求報文時，也會發(fā)布外地代理布告消息。


　　（４） ＭＳ向ＰＤＳＮ發(fā)送ＭＩＰ－ＲＲＱ（Ｍｏｂｉｌｅ ＩＰ Ｒｅｇｉｓｔｒａｔｉｏｎ Ｒｅｑｕｅｓｔ），在ＭＩＰ－ＲＲＱ中包含有在外地代理布告中發(fā)布的ＦＡＣ和ＦＡ－ＣｏＡ。另外，如果ＭＳ希望歸屬網(wǎng)絡為它動態(tài)分配一個ＩＰ地址，則可以把自己的ＩＰ地址設成０.０.０.０，否則就把自己靜態(tài)指定的ＩＰ地址設置到ＭＩＰ－ＲＲＱ中。每次移動ＩＰ注冊都帶有一個移動ＩＰ生存時間，即在生存時間內(nèi)移動臺必須為剛才注冊的移動ＩＰ進行注冊刷新，否則ＨＡ就會認為移動臺已經(jīng)失去聯(lián)系并終止對移動臺維護的移動ＩＰ綁定。如果移動ＩＰ的注冊請求中的生存時間為“０”，則表示移動臺要注銷移動ＩＰ。


　�。ǎ担� ＰＤＳＮ自身是無法識別ＭＳ的合法性的。作為ＡＡＡ服務器的客戶端，ＰＤＳＮ向本地的ＡＡＡ服務器發(fā)出認證請求，拜訪ＡＡＡ服務器，如果發(fā)現(xiàn)該ＭＳ是外地用戶，它將通過ＲＡＤＩＵＳ協(xié)議讓歸屬ＡＡＡ服務器完成最終的認證工作。拜訪ＡＡＡ服務器和歸屬ＡＡＡ服務器之間進行通信時可能還需要沿途的中間ＡＡＡ服務器的參與。


　�。ǎ叮� 歸屬ＡＡＡ服務器把認證結果傳回給拜訪ＡＡＡ服務器，拜訪ＡＡＡ服務器再把報文傳給ＰＤＳＮ，這樣就完成了對ＭＳ的認證工作。


　�。ǎ罚� 如果通過對ＭＳ的認證，并且ＰＤＳＮ／ＦＡ和ＨＡ之間在此之前沒有建立安全關聯(lián)，那么在歸屬ＡＡＡ服務器的參與下，在ＦＡ和ＨＡ之間將建立一條安全的關聯(lián)，該安全關聯(lián)將被用于以后移動ＩＰ隧道報文的認證。


　�。ǎ福� 若通過對ＭＳ移動ＩＰ的認證，ＰＤＳＮ將對ＭＳ發(fā)出的ＭＩＰ－ＲＲＱ做一定的修改后轉發(fā)給ＨＡ。


　　（９） ＨＡ在完成對ＭＳ的認證后，將向ＦＡ回應一個ＭＩＰ－ＲＲＰ（Ｍｏｂｉｌｅ ＩＰ Ｒｅｇｉｓｔｒａｔｉｏｎ Ｒｅｐｌｙ），在ＭＩＰ－ＲＲＰ中包含認證結果以及給ＭＳ分配的ＩＰ地址等信息。隨后，ＨＡ再主動向本地網(wǎng)絡發(fā)布一條免費的ＡＲＰ報文，在該代理ＡＲＰ報文中，ＩＰ地址是ＭＳ的ＩＰ地址，而ＭＡＣ地址卻是ＨＡ的地址，歸屬網(wǎng)絡的其他節(jié)點在接收到該欺騙信息后，將把發(fā)往ＭＳ的ＩＰ報文發(fā)給ＨＡ，通過這種方式，ＨＡ吸引到了發(fā)往ＭＳ的報文。


　�。ǎ保埃� ＰＤＳＮ／ＦＡ通過空中鏈路將ＭＩＰ－ＲＲＰ傳送給ＭＳ。在ＭＩＰ－ＲＲＰ中，ＰＤＳＮ還為ＭＳ分配了一個新的ＦＡＣ。
自此，ＭＳ和通信對端（ＣＮ）就可以進行通信了。


３.４ 路由技術


　　移動ＩＰ提供的路由機制可以使移動臺以永久的ＩＰ地址連接到任何鏈路上，而不需要改變路由沿途的各個路由器。整個路由鏈路上起最重要作用的是ＦＡ和ＨＡ，隧道技術是移動ＩＰ路由的關鍵。在移動ＩＰ中，隧道的封裝類型有３種，分別是ＩＰ－ｉｎ－ＩＰ封裝、最小封裝和通用路由封裝（ＧＲＥ），其中ＩＰ－ｉｎ－ＩＰ封裝應用得最廣泛。


（１） 單播數(shù)據(jù)報文的路由


　　不管ＭＳ使用ＦＡ－ＣｏＡ，還是使用Ｃｏ－ＣｏＡ，它都必須把為其提供接入服務的ＰＤＳＮ作為自己的缺省路由器，也就是說，ＭＳ發(fā)出的所有報文都必須由ＰＤＳＮ路由出去。如果ＭＳ使用的是ＦＡ－ＣｏＡ，則隧道的封裝和解封裝就由ＦＡ完成；如果使用的是Ｃｏ－ＣｏＡ，則隧道的封裝和解封裝就由移動臺來完成，此時的ＦＡ僅提供路由功能，僅為隧道報文提供轉發(fā)。


　�。疲猎谑盏桨l(fā)往ＭＳ或者ＭＳ發(fā)出的報文時，首先檢查本地接入的移動臺登記的訪問列表項，如果報文合法，ＦＡ將提供路由，否則將丟棄報文。


　　ＨＡ使用代理ＡＲＰ和免費ＡＲＰ等方法攔截所有發(fā)往移動臺的報文。如果ＭＳ漫游到了外地，并且ＭＳ在ＨＡ進行了移動ＩＰ注冊，那么ＨＡ將負責把攔截到的發(fā)往ＭＳ報文隧道封裝并發(fā)送到轉交地址，由轉交地址對應的節(jié)點解封裝后轉給ＭＳ。


（２） 廣播數(shù)據(jù)報文的路由


如果ＭＳ希望收到歸屬網(wǎng)絡發(fā)出的廣播報文，那么ＭＳ在進行移動ＩＰ注冊時會設置移動ＩＰ注冊報文中的‘Ｂ’位，否則ＨＡ不會為ＭＳ轉發(fā)廣播報文。


　�。停邮褂茫疲粒�ＣｏＡ時和使用Ｃｏ－ＣｏＡ時，ＨＡ的處理方法是不一樣的。如果ＭＳ使用Ｃｏ－ＣｏＡ，那么ＨＡ直接把廣播報文封裝成目標地址為Ｃｏ－ＣｏＡ的隧道報文中。如果ＭＳ使用ＦＡ－ＣｏＡ，那么ＨＡ首先把廣播報文封裝成單播報文，該單播報文的信宿地址是ＭＳ的歸屬地址，然后再按移動ＩＰ的要求把單播報文封裝成隧道包，該隧道包的信宿地址是ＦＡ。ＦＡ在收到該隧道報文并解隧道封裝后，發(fā)現(xiàn)是ＭＳ的單播包，則會把報文發(fā)送給ＭＳ，ＭＳ去掉外層的單播報頭后就可得到原始的廣播報文了。


（３） 組播數(shù)據(jù)報的路由


　　ＭＳ若想獲取組播服務，必須加入組播組。加入組播組的方法有兩種，一種是通過拜訪網(wǎng)絡的ＦＡ提供，另一種是通過歸屬網(wǎng)絡的ＨＡ提供。


　　如果ＰＤＳＮ支持組播，那么ＭＳ可以加入ＰＤＳＮ提供的組播組來獲取組播服務。如果ＭＳ使用配置轉交地址，那么ＩＧＭＰ報文的信源地址就必須是該配置轉交地址，否則就使用ＭＳ的歸屬地址。


　　如果ＨＡ支持組播，那么ＭＳ可以通過雙向隧道加入到ＨＡ提供的組播組中。此時ＨＡ對組播報文的處理和廣播報文一樣。


４ 移動ＩＰ的特殊性


　　由于商用的ＣＤＭＡ系統(tǒng)中為分組接入的用戶分配的ＩＰ地址大都是動態(tài)分配的，絕大部分用戶不能靜態(tài)地指定自己的歸屬ＩＰ地址，因此移動臺將無法采用移動ＩＰ技術中常用的兩種移動檢測機制：基于生存時間域的算法和基于網(wǎng)絡前綴的算法。移動臺在分組接入前需要先指定好自己的分組接入方式，即使是在歸屬地，移動臺一樣可以使用移動ＩＰ接入，它無法實現(xiàn)智能的選擇。


　　無線通信中最寶貴的資源是無線頻譜資源，無線頻譜資源的擴充有時不是通過投資就能得到的。為節(jié)約空中資源，ＰＤＳＮ在發(fā)布代理廣播報文時不會像以太網(wǎng)中那樣定時地廣播，它只有在收到移動臺的代理請求后才發(fā)送，或者在移動臺剛剛接入時發(fā)送。


　　移動臺在歸屬地也有可能使用移動ＩＰ，如果在這種情況下，ＰＤＳＮ／ＦＡ還像平常一樣把所有的分組報文通過隧道封裝發(fā)送給ＨＡ就顯得有點浪費了，因此ＰＤＳＮ／ＦＡ通常在轉發(fā)隧道報文前需要判斷移動臺是否是本地接入用戶。


５ 安全問題


　　移動ＩＰ的安全威脅主要有拒絕服務攻擊、假冒攻擊以及未被授權的訪問。移動ＩＰ主要通過對報文的認證和加密來保證報文的安全、可靠的傳輸，常用的加密算法有ＤＥＳ、３ＤＥＳ等，認證方法有ＭＤ５、ＨＭＡＣ－ＭＤ５等，用于認證、加密的密鑰有預共享密鑰、數(shù)字簽名和共享密鑰等。


　　移動ＩＰ報文的安全主要是通過各種安全認證擴展來保證的，常見的擴展有ＭＮ－ＨＡ、ＭＮ－ＡＡＡ、ＦＡ－ＨＡ、ＭＮ－ＦＡ等之間的安全關聯(lián)，這些擴展的出現(xiàn)次序也是固定的，不能隨意更改，否則將影響對報文的認證。


６ 結束語


　　無線網(wǎng)絡技術和ＩＰ技術的融合是一個必然的發(fā)展趨勢，ｃｄｍａ２０００也不例外。就目前而言，移動用戶使用最多的還是簡單ＩＰ的接入方式，例如通過簡單ＩＰ實現(xiàn)網(wǎng)頁瀏覽、收發(fā)Ｅ－Ｍａｉｌ等，這類用戶的位置相對固定，即使由ＰＤＳＮ間的切換而導致通信中斷也無關緊要。移動ＩＰ的最大優(yōu)勢在于移動用戶在ＰＤＳＮ間切換時，網(wǎng)絡通信不會中斷，通過移動ＩＰ接入方式，移動用戶可以方便地獲得定位業(yè)務、實時被叫、移動ＩＣＱ、移動電子商務等服務。由于簡單ＩＰ技術本身的局限性，隨著新業(yè)務的推廣，移動ＩＰ技術在ＣＤＭＡ的分組接入中的比重將越來越大。





----《電信技術》