在UMTS中實現(xiàn)移動VPN的研究

蔣純波　徐名文　徐大雄

（1. 北京郵電大學(xué)電子工程學(xué)院 北京100876） （2. 中國普天信息技術(shù)研究院 北京100088）

　　摘 要 移動VPN是將來的3G應(yīng)用中一項重要的業(yè)務(wù)。本文在傳統(tǒng)VPN技術(shù)的基礎(chǔ)上，著重討論了在UMTS網(wǎng)絡(luò)中實現(xiàn)移動VPN的技術(shù)方案，并且詳細(xì)分析了在實現(xiàn)過程中的關(guān)鍵技術(shù)和一些仍未解決的技術(shù)問題。

　　關(guān)鍵詞 移動VPN UMTS

1 前言

　　一些行業(yè)或企業(yè)為了保證行業(yè)內(nèi)部數(shù)據(jù)傳送的安全性和可靠性，都建設(shè)了自己的專網(wǎng)或者租用電信的專線來構(gòu)造專網(wǎng)（PN），比如軍隊、銀行都有專用網(wǎng)絡(luò)。但是，建設(shè)專網(wǎng)是一項非常大的投資。與此相反，公網(wǎng)的技術(shù)在不斷完善，價格在不斷下降，眾多廠家的支持使得公網(wǎng)的發(fā)展很快。于是在公網(wǎng)中實現(xiàn)專網(wǎng)的特性是一個好的選擇。這對企業(yè)來說減少了成本、方便了管理。而對移動運營商來說，這也是吸引集團用戶，提供增值服務(wù)的一項好的技術(shù)。

　　VPN的基本思想就是利用Internet公網(wǎng)來傳輸私有信息而形成邏輯上的專網(wǎng)，從而為企業(yè)級用戶提供比專線價格低廉和高安全性的資源共享和互連服務(wù)。在傳統(tǒng)的VPN中，為了保證數(shù)據(jù)的完整性和安全性采用了幾項關(guān)鍵的技術(shù)：隧道（tunneling）技術(shù)、加解密（encryption && decryption）技術(shù)、密鑰管理（key management）技術(shù)、使用者與設(shè)備身份認(rèn)證（authentication）技術(shù)。

　　本文著重討論在UMTS中實現(xiàn)移動的VPN的一些關(guān)鍵技術(shù)。UMTS中實現(xiàn)移動VPN，在技術(shù)上借鑒了基于Internet的傳統(tǒng)VPN的思想和其中的關(guān)鍵技術(shù)。

2 UMTS的ALL-IP架構(gòu)

　　在UMTS中，整個網(wǎng)絡(luò)架構(gòu)，無論是以后的業(yè)務(wù)還是網(wǎng)絡(luò)的承載都向ALL-IP方向發(fā)展，而且各種接入網(wǎng)絡(luò)技術(shù)不斷融合。UMTS的ALL-IP結(jié)構(gòu)如圖1所示。在圖1的架構(gòu)中，所有的接入網(wǎng)絡(luò)技術(shù)都是基于IP技術(shù)。這樣，很好地解決了網(wǎng)絡(luò)之間的互聯(lián)互通，并且給用戶的漫游帶來了極大的方便。在目前，UMTS融合WLAN的技術(shù)正在開發(fā)中。

　　在UMTS中，UE在PS域內(nèi)與外部PDN通信有兩種方式：一種是透明方式，另外一種是非透明方式。選擇透明訪問和非透明訪問是在用戶簽約的時候確定。

　　下面主要討論在UMTS的ALL-IP架構(gòu)下，基于透明訪問方式和非透明訪問方式的UE來構(gòu)造移動VPN的方案及其關(guān)鍵技術(shù)。

3 在UMTS中實現(xiàn)VPN的幾種方案

　　在UMTS中，移動VPN的一般構(gòu)造如圖2所示，其中有幾個網(wǎng)絡(luò)實體：宿主網(wǎng)絡(luò)、移動節(jié)點（在UMTS中稱為UE）、UMTS網(wǎng)絡(luò)和防火墻。

　　UE附著到UMTS網(wǎng)絡(luò)的時候，除了進(jìn)行身份的驗證外，UMTS網(wǎng)絡(luò)通過存在HLR中的信息，根據(jù)UE發(fā)起的PDP中的APN請求參數(shù)建立移動VPN。

　　移動VPN的隧道有兩種工作模式可供選擇，一種是自愿模式，另外一種是強制模式。對于自愿模式來說，也稱端到端的隧道模式，是由UE發(fā)起到宿主網(wǎng)絡(luò)端點的隧道。而強制模式，也稱為基于網(wǎng)絡(luò)的隧道模式，是由UE連接到VPLMN的接入點（在UMTS中為GGSN），由GGSN根據(jù)HLR簽約信息建立（或者共享）隧道到宿主網(wǎng)絡(luò)端點。

　　在UMTS中，構(gòu)造移動VPN有兩種隧道技術(shù)：移動隧道技術(shù)和公網(wǎng)隧道技術(shù)（在自愿模式下只是采用公網(wǎng)隧道技術(shù)）。公網(wǎng)隧道技術(shù)有二層隧道技術(shù)和三層隧道技術(shù)。其中，二層的隧道技術(shù)有PPTP、L2F、L2TP、MPLS、VLAN/ATM等。三層的隧道技術(shù)有IPSec等。本文將簡要介紹L2TP，MPLS和IPSec構(gòu)造移動VPN的解決方案。

　　隧道模式的選擇和具體建立VPN的隧道技術(shù)的選擇是作為簽約信息存在HLR中。

3.1 基于L2TP的移動VPN架構(gòu)

　　LT2P是由IETF制定的標(biāo)準(zhǔn)RFC 2661中詳細(xì)規(guī)定的，它是一個第二層的隧道技術(shù)�；�于L2TP的移動VPN的架構(gòu)一般是基于非透明方式的強制模式（當(dāng)然也可以由UE發(fā)起L2TP的隧道連接構(gòu)造自愿模式VPN），如圖3所示。在此架構(gòu)中，UE的數(shù)據(jù)（PDP類型必須為PPP類型）通過無線信道和GTP隧道到達(dá)GGSN。GGSN作為L2TP的LAC，根據(jù)UE的PDP激活請求的APN中的參數(shù)決定是否發(fā)起與對端的宿主網(wǎng)絡(luò)端點（LNS）建立可靠的數(shù)據(jù)傳送隧道，這種隧道是雙向的。如果同樣的隧道已經(jīng)存在，則共享這條隧道。而且，這種VPN結(jié)構(gòu)可以將幾個L2TP隧道同時綁定使用，提高傳輸?shù)乃俾省?/p>

　　在非透明訪問方式中，移動VPN在UMTS部分的安全、鑒權(quán)是由UMTS接入的時候進(jìn)行，并由其相關(guān)的策略保證。相比較而言，重要的安全需求是在GGSN和宿主網(wǎng)絡(luò)之間的公網(wǎng)上，也是由L2TP的隧道所涉及的部分。雖然，L2TP提供了PAP和CHAP的安全機制并不能完全解決安全性問題，但是還可以通過L2TP下層應(yīng)用IPSec的安全機制來加強安全性。

　　因為這種移動VPN實現(xiàn)了上層的PPP連接，所以用戶層面上的地址可以使用內(nèi)部地址，而且，用戶的鑒權(quán)可以完全采用RADIUS。

　　移動網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（包括宿主網(wǎng)絡(luò)）之間進(jìn)行的SLA協(xié)商，有關(guān)UE建立VPN的信息存在HLR之中。

3.2 基于MPLS的移動VPN的架構(gòu)

　　基于MPLS的移動VPN一般也是非透明訪問方式的強制模式。因為MPLS能在一般的路由器平臺上實現(xiàn)，所以得到廠家的支持。圖4是一個典型結(jié)構(gòu)，其中GGSN作為MPLS域的LER（CE），外部網(wǎng)絡(luò)是一個典型的MPLS域，與GGSN相連接的是PE（同樣是LER）。通過MPLS域內(nèi)給UE分配的唯一的VPNID，LER分配給UE的數(shù)據(jù)適當(dāng)?shù)臉?biāo)簽（label），而MPLS域內(nèi)的LSR通過label轉(zhuǎn)發(fā)數(shù)據(jù),相當(dāng)于構(gòu)造了一條隧道。

　　按照MPLS的標(biāo)準(zhǔn)，GGSN可以是MPLS設(shè)備（推薦），也可以不是MPLS設(shè)備。但是，必須和外部的相連MPLS域協(xié)商相關(guān)的協(xié)議，確定MPLS給UE分配的VPNID及相應(yīng)label的分配方案。GGSN和PE之間的路由通常使用BGP路由協(xié)議，結(jié)合BGP和MPLS構(gòu)造VPN。PE必須知道MPLS域內(nèi)所支持的所有CE的可達(dá)性信息和支持的VPN的信息。

　　對于大多數(shù)業(yè)務(wù)來說，基于BGP、VPNID和IP地址的結(jié)合可以提供足夠的安全性，但是也可以通過IPSec的加密措施來提高進(jìn)一步的安全。IPSec的加密一般在GGSN（CE）來進(jìn)行，并在宿主網(wǎng)絡(luò)端CE解密。這種額外的安全性措施是以降低網(wǎng)絡(luò)的性能為代價的，不過在高帶寬的骨干網(wǎng)中，這種代價是值得的。

3.3 基于IPSec的移動VPN的架構(gòu)

　　IPSec協(xié)議族是由IETF制定的開放性IP安全標(biāo)準(zhǔn)。它在網(wǎng)絡(luò)層（第二層）中提供了一個安全傳送數(shù)據(jù)的機制。IPSec的安全性在于兩個協(xié)議：AH和ESP。每個協(xié)議都有兩種傳輸模式：透明傳輸和隧道傳輸。移動VPN中的IPSec隧道可選任意一種模式，但是兩種模式在穿越防火墻（包括UMTS側(cè)的防火墻和宿主網(wǎng)絡(luò)側(cè)的防火墻）的策略是不一樣的，因此，選擇哪種模式應(yīng)該和具體的防火墻技術(shù)結(jié)合考慮。

　　基于IPSec的移動VPN可以是自愿模式也可以是強制模式，如圖5所示。

　　在自愿模式中，UE作為隧道的發(fā)起點，同遠(yuǎn)端的宿主網(wǎng)絡(luò)節(jié)點建立一條IPSec的隧道，這種隧道的建立只能在透明訪問方式中存在，而且對UMTS網(wǎng)絡(luò)設(shè)備沒有特殊的要求，要求UE支持IPSec隧道方式。UMTS網(wǎng)絡(luò)部分只是在UE附著和PDP激活的過程中對用戶進(jìn)行鑒權(quán)。

　　在強制模式中，UE首先連接到GGSN，由GGSN作為隧道的發(fā)起點，要求GGSN必須支持IPSec隧道。

4 實現(xiàn)中的關(guān)鍵技術(shù)討論

4.1 自愿模式和強制模式在移動VPN中的比較

　　無線資源對移動通信系統(tǒng)來說是非常有限的，也是非常重要的。在自愿模式中，UE作為隧道的起點，所有的封裝開銷都會在無線信道上傳輸，加重了無線資源的負(fù)擔(dān)。而且在UMTS網(wǎng)絡(luò)中，安全性是有保證的，端到端建立隧道在某種程度上來說是沒有必要的。而且，UE必須支持隧道協(xié)議，用戶也必須能夠正確配置VPN。

　　但是如果在UMTS的運營商沒有提供移動VPN業(yè)務(wù)的情況下，建立在透明傳輸方式下的自愿模式是唯一比較好的選擇，因為它需要更加少的移動網(wǎng)絡(luò)對移動VPN的支持。而且宿主網(wǎng)絡(luò)可以在這種模式下更有效地管理移動VPN，包括為UE提供VPN內(nèi)私有地址，提高通信的安全性。

4.2 移動VPN端到端的安全措施

　　移動VPN中的節(jié)點有移動的特性，所訪問網(wǎng)絡(luò)的安全環(huán)境并不一樣，如何保護VPN中數(shù)據(jù)的安全性是最為重要的技術(shù)之一。

　　移動VPN在安全方面的要求有兩個：一是建立的VPN本身必須安全，VPN內(nèi)部的數(shù)據(jù)傳輸安全并且有一定的QoS保證。二是VPN的節(jié)點進(jìn)入UMTS不會給移動網(wǎng)絡(luò)帶來安全性問題。第二個問題可以通過UMTS的安全措施和簽約時的約定來約束。第一個問題中最為主要的是GGSN到宿主網(wǎng)絡(luò)之間公網(wǎng)部分的安全問題。

　　公網(wǎng)中隧道的安全性有以下幾種：

　　· L2TP的安全性有PAP和CHAP兩種認(rèn)證方式。其中PAP采用明文的用戶名、密碼來驗證接入用戶的權(quán)限，這種方式?jīng)]有防護能力，往往在要求不高的地方采用。而且，往往和其他安全措施結(jié)合使用。CHAP采用加密方式（MD5算法）將在鏈路上傳送的驗證信息進(jìn)行加密傳輸，具體的可參見有關(guān)文獻(xiàn)�；�于透明訪問自愿模式的端到端L2TP隧道建立的移動VPN可以采用完全的RADUIS安全策略。

　　· IPSec的安全措施是最為強的，AH不通過加密方式提供驗證并且保證數(shù)據(jù)的完整性。ESP通過復(fù)雜的加密措施來保證數(shù)據(jù)的安全性。

　　· 基于MPLS的VPN通過結(jié)合BGP、IP地址解析和可選的IPSec來實現(xiàn)。

　　相比較而言，加密措施是比較好的方法。但是管理密鑰更為重要，在這方面，IETF也有相關(guān)的在Internet上面的密鑰管理協(xié)議。

　　在移動VPN中，透明訪問方式可以采用上面的安全措施提供端到端的安全策略。如果在非透明訪問方式下，必須結(jié)合UMTS網(wǎng)內(nèi)的安全策略和上面的公網(wǎng)隧道安全措施，共同提供一個端到端的安全策略。

4.3 引入移動IP來構(gòu)造“移動的”VPN的考慮

　　移動VPN最為重要的特征是VPN的用戶在不停地改變接入點，為了保護移動VPN中節(jié)點的通信不中斷和減少驗證的次數(shù)，需要采用UMTS中的移動性管理。

　　在UMTS中的移動性管理有兩種技術(shù)：基于第二層的移動性管理和基于第三層的移動性管理。其中基于第二層的移動性管理目前技術(shù)已經(jīng)比較成熟，而且能夠保證移動VPN的性能在節(jié)點移動的過程中保持不變。而基于第三層的移動性管理目前還不成熟，基于移動IP構(gòu)造的移動VPN在穿越防火墻、保證預(yù)定的QoS、提高漫游的轉(zhuǎn)接性能等方面的技術(shù)仍在研究中。

4.4 移動VPN的管理

　　在移動VPN中，UE是和宿主網(wǎng)絡(luò)的其他節(jié)點屬于同等的地位，但是如何將UE進(jìn)行有效的管理是需要通過UMTS網(wǎng)絡(luò)來具體實現(xiàn)的。

　　透明訪問方式下，比如L2TP下，用戶建立的隧道在宿主網(wǎng)絡(luò)中是可管的，宿主網(wǎng)絡(luò)可以驗證UE的合法性，可以建立、維護和斷開與UE的隧道連接。

　　在非透明訪問方式下，在GGSN和宿主網(wǎng)絡(luò)建立隧道的同時，必須為管理移動VPN建立一種互相信任的管理機制。UMTS網(wǎng)絡(luò)部分針對UE的管理信息應(yīng)該可以有選擇地提供給宿主網(wǎng)絡(luò)，同時，UMTS也可以根據(jù)宿主網(wǎng)絡(luò)對移動VPN的要求，控制UE的行為，包括隧道的建立、維護和斷開。

4.5 移動VPN中關(guān)于IPv4和IPv6過渡策略的考慮

　　 一個支持IPv4移動VPN的節(jié)點移動到一個IPv6環(huán)境的網(wǎng)絡(luò)中，需要進(jìn)行IPv4和IPv6協(xié)議的轉(zhuǎn)換。這種情況下，采用透明訪問方式自愿模式的隧道可以在底層（IP層）采用傳統(tǒng)的過渡策略，屏蔽對移動VPN的影響。而強制模式的移動VPN受協(xié)議過渡的影響仍需研究，這方面可以借鑒傳統(tǒng)VPN的過渡策略。

5 總結(jié)

　　移動VPN作為VPN中的一種，有VPN的共性，也有其特殊性。

　　從上面的分析可以看出，在移動VPN中，如何提高移動VPN的效率和減少相應(yīng)開銷是很重要的因素。本文在介紹目前VPN技術(shù)的基礎(chǔ)上，研究了在UMTS網(wǎng)絡(luò)上建立移動VPN的實現(xiàn)方案，并且討論了UMTS中的移動VPN的關(guān)鍵技術(shù)。

　　本文也注意到，在移動VPN的實現(xiàn)上有一些問題尚未得到很好的解決，比如移動VPN中的IPv4和IPv6的過渡策略問題。正如傳統(tǒng)VPN技術(shù)的發(fā)展過程一樣，移動VPN技術(shù)也在不斷發(fā)展中。

----《中國數(shù)據(jù)通信》