蔣純波 徐名文 徐大雄
(1. 北京郵電大學電子工程學院 北京100876) (2. 中國普天信息技術(shù)研究院 北京100088)
摘 要 移動VPN是將來的3G應(yīng)用中一項重要的業(yè)務(wù)。本文在傳統(tǒng)VPN技術(shù)的基礎(chǔ)上,著重討論了在UMTS網(wǎng)絡(luò)中實現(xiàn)移動VPN的技術(shù)方案,并且詳細分析了在實現(xiàn)過程中的關(guān)鍵技術(shù)和一些仍未解決的技術(shù)問題。
關(guān)鍵詞 移動VPN UMTS
1 前言
一些行業(yè)或企業(yè)為了保證行業(yè)內(nèi)部數(shù)據(jù)傳送的安全性和可靠性,都建設(shè)了自己的專網(wǎng)或者租用電信的專線來構(gòu)造專網(wǎng)(PN),比如軍隊、銀行都有專用網(wǎng)絡(luò)。但是,建設(shè)專網(wǎng)是一項非常大的投資。與此相反,公網(wǎng)的技術(shù)在不斷完善,價格在不斷下降,眾多廠家的支持使得公網(wǎng)的發(fā)展很快。于是在公網(wǎng)中實現(xiàn)專網(wǎng)的特性是一個好的選擇。這對企業(yè)來說減少了成本、方便了管理。而對移動運營商來說,這也是吸引集團用戶,提供增值服務(wù)的一項好的技術(shù)。
VPN的基本思想就是利用Internet公網(wǎng)來傳輸私有信息而形成邏輯上的專網(wǎng),從而為企業(yè)級用戶提供比專線價格低廉和高安全性的資源共享和互連服務(wù)。在傳統(tǒng)的VPN中,為了保證數(shù)據(jù)的完整性和安全性采用了幾項關(guān)鍵的技術(shù):隧道(tunneling)技術(shù)、加解密(encryption && decryption)技術(shù)、密鑰管理(key management)技術(shù)、使用者與設(shè)備身份認證(authentication)技術(shù)。
本文著重討論在UMTS中實現(xiàn)移動的VPN的一些關(guān)鍵技術(shù)。UMTS中實現(xiàn)移動VPN,在技術(shù)上借鑒了基于Internet的傳統(tǒng)VPN的思想和其中的關(guān)鍵技術(shù)。
2 UMTS的ALL-IP架構(gòu)
在UMTS中,整個網(wǎng)絡(luò)架構(gòu),無論是以后的業(yè)務(wù)還是網(wǎng)絡(luò)的承載都向ALL-IP方向發(fā)展,而且各種接入網(wǎng)絡(luò)技術(shù)不斷融合。UMTS的ALL-IP結(jié)構(gòu)如圖1所示。在圖1的架構(gòu)中,所有的接入網(wǎng)絡(luò)技術(shù)都是基于IP技術(shù)。這樣,很好地解決了網(wǎng)絡(luò)之間的互聯(lián)互通,并且給用戶的漫游帶來了極大的方便。在目前,UMTS融合WLAN的技術(shù)正在開發(fā)中。
在UMTS中,UE在PS域內(nèi)與外部PDN通信有兩種方式:一種是透明方式,另外一種是非透明方式。選擇透明訪問和非透明訪問是在用戶簽約的時候確定。
下面主要討論在UMTS的ALL-IP架構(gòu)下,基于透明訪問方式和非透明訪問方式的UE來構(gòu)造移動VPN的方案及其關(guān)鍵技術(shù)。
3 在UMTS中實現(xiàn)VPN的幾種方案
在UMTS中,移動VPN的一般構(gòu)造如圖2所示,其中有幾個網(wǎng)絡(luò)實體:宿主網(wǎng)絡(luò)、移動節(jié)點(在UMTS中稱為UE)、UMTS網(wǎng)絡(luò)和防火墻。
UE附著到UMTS網(wǎng)絡(luò)的時候,除了進行身份的驗證外,UMTS網(wǎng)絡(luò)通過存在HLR中的信息,根據(jù)UE發(fā)起的PDP中的APN請求參數(shù)建立移動VPN。
移動VPN的隧道有兩種工作模式可供選擇,一種是自愿模式,另外一種是強制模式。對于自愿模式來說,也稱端到端的隧道模式,是由UE發(fā)起到宿主網(wǎng)絡(luò)端點的隧道。而強制模式,也稱為基于網(wǎng)絡(luò)的隧道模式,是由UE連接到VPLMN的接入點(在UMTS中為GGSN),由GGSN根據(jù)HLR簽約信息建立(或者共享)隧道到宿主網(wǎng)絡(luò)端點。
在UMTS中,構(gòu)造移動VPN有兩種隧道技術(shù):移動隧道技術(shù)和公網(wǎng)隧道技術(shù)(在自愿模式下只是采用公網(wǎng)隧道技術(shù))。公網(wǎng)隧道技術(shù)有二層隧道技術(shù)和三層隧道技術(shù)。其中,二層的隧道技術(shù)有PPTP、L2F、L2TP、MPLS、VLAN/ATM等。三層的隧道技術(shù)有IPSec等。本文將簡要介紹L2TP,MPLS和IPSec構(gòu)造移動VPN的解決方案。
隧道模式的選擇和具體建立VPN的隧道技術(shù)的選擇是作為簽約信息存在HLR中。
3.1 基于L2TP的移動VPN架構(gòu)
LT2P是由IETF制定的標準RFC 2661中詳細規(guī)定的,它是一個第二層的隧道技術(shù);贚2TP的移動VPN的架構(gòu)一般是基于非透明方式的強制模式(當然也可以由UE發(fā)起L2TP的隧道連接構(gòu)造自愿模式VPN),如圖3所示。在此架構(gòu)中,UE的數(shù)據(jù)(PDP類型必須為PPP類型)通過無線信道和GTP隧道到達GGSN。GGSN作為L2TP的LAC,根據(jù)UE的PDP激活請求的APN中的參數(shù)決定是否發(fā)起與對端的宿主網(wǎng)絡(luò)端點(LNS)建立可靠的數(shù)據(jù)傳送隧道,這種隧道是雙向的。如果同樣的隧道已經(jīng)存在,則共享這條隧道。而且,這種VPN結(jié)構(gòu)可以將幾個L2TP隧道同時綁定使用,提高傳輸?shù)乃俾省?/p>
在非透明訪問方式中,移動VPN在UMTS部分的安全、鑒權(quán)是由UMTS接入的時候進行,并由其相關(guān)的策略保證。相比較而言,重要的安全需求是在GGSN和宿主網(wǎng)絡(luò)之間的公網(wǎng)上,也是由L2TP的隧道所涉及的部分。雖然,L2TP提供了PAP和CHAP的安全機制并不能完全解決安全性問題,但是還可以通過L2TP下層應(yīng)用IPSec的安全機制來加強安全性。
因為這種移動VPN實現(xiàn)了上層的PPP連接,所以用戶層面上的地址可以使用內(nèi)部地址,而且,用戶的鑒權(quán)可以完全采用RADIUS。
移動網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(包括宿主網(wǎng)絡(luò))之間進行的SLA協(xié)商,有關(guān)UE建立VPN的信息存在HLR之中。
3.2 基于MPLS的移動VPN的架構(gòu)
基于MPLS的移動VPN一般也是非透明訪問方式的強制模式。因為MPLS能在一般的路由器平臺上實現(xiàn),所以得到廠家的支持。圖4是一個典型結(jié)構(gòu),其中GGSN作為MPLS域的LER(CE),外部網(wǎng)絡(luò)是一個典型的MPLS域,與GGSN相連接的是PE(同樣是LER)。通過MPLS域內(nèi)給UE分配的唯一的VPNID,LER分配給UE的數(shù)據(jù)適當?shù)臉撕灒╨abel),而MPLS域內(nèi)的LSR通過label轉(zhuǎn)發(fā)數(shù)據(jù),相當于構(gòu)造了一條隧道。
按照MPLS的標準,GGSN可以是MPLS設(shè)備(推薦),也可以不是MPLS設(shè)備。但是,必須和外部的相連MPLS域協(xié)商相關(guān)的協(xié)議,確定MPLS給UE分配的VPNID及相應(yīng)label的分配方案。GGSN和PE之間的路由通常使用BGP路由協(xié)議,結(jié)合BGP和MPLS構(gòu)造VPN。PE必須知道MPLS域內(nèi)所支持的所有CE的可達性信息和支持的VPN的信息。
對于大多數(shù)業(yè)務(wù)來說,基于BGP、VPNID和IP地址的結(jié)合可以提供足夠的安全性,但是也可以通過IPSec的加密措施來提高進一步的安全。IPSec的加密一般在GGSN(CE)來進行,并在宿主網(wǎng)絡(luò)端CE解密。這種額外的安全性措施是以降低網(wǎng)絡(luò)的性能為代價的,不過在高帶寬的骨干網(wǎng)中,這種代價是值得的。
3.3 基于IPSec的移動VPN的架構(gòu)
IPSec協(xié)議族是由IETF制定的開放性IP安全標準。它在網(wǎng)絡(luò)層(第二層)中提供了一個安全傳送數(shù)據(jù)的機制。IPSec的安全性在于兩個協(xié)議:AH和ESP。每個協(xié)議都有兩種傳輸模式:透明傳輸和隧道傳輸。移動VPN中的IPSec隧道可選任意一種模式,但是兩種模式在穿越防火墻(包括UMTS側(cè)的防火墻和宿主網(wǎng)絡(luò)側(cè)的防火墻)的策略是不一樣的,因此,選擇哪種模式應(yīng)該和具體的防火墻技術(shù)結(jié)合考慮。
基于IPSec的移動VPN可以是自愿模式也可以是強制模式,如圖5所示。
在自愿模式中,UE作為隧道的發(fā)起點,同遠端的宿主網(wǎng)絡(luò)節(jié)點建立一條IPSec的隧道,這種隧道的建立只能在透明訪問方式中存在,而且對UMTS網(wǎng)絡(luò)設(shè)備沒有特殊的要求,要求UE支持IPSec隧道方式。UMTS網(wǎng)絡(luò)部分只是在UE附著和PDP激活的過程中對用戶進行鑒權(quán)。
在強制模式中,UE首先連接到GGSN,由GGSN作為隧道的發(fā)起點,要求GGSN必須支持IPSec隧道。
4 實現(xiàn)中的關(guān)鍵技術(shù)討論
4.1 自愿模式和強制模式在移動VPN中的比較
無線資源對移動通信系統(tǒng)來說是非常有限的,也是非常重要的。在自愿模式中,UE作為隧道的起點,所有的封裝開銷都會在無線信道上傳輸,加重了無線資源的負擔。而且在UMTS網(wǎng)絡(luò)中,安全性是有保證的,端到端建立隧道在某種程度上來說是沒有必要的。而且,UE必須支持隧道協(xié)議,用戶也必須能夠正確配置VPN。
但是如果在UMTS的運營商沒有提供移動VPN業(yè)務(wù)的情況下,建立在透明傳輸方式下的自愿模式是唯一比較好的選擇,因為它需要更加少的移動網(wǎng)絡(luò)對移動VPN的支持。而且宿主網(wǎng)絡(luò)可以在這種模式下更有效地管理移動VPN,包括為UE提供VPN內(nèi)私有地址,提高通信的安全性。
4.2 移動VPN端到端的安全措施
移動VPN中的節(jié)點有移動的特性,所訪問網(wǎng)絡(luò)的安全環(huán)境并不一樣,如何保護VPN中數(shù)據(jù)的安全性是最為重要的技術(shù)之一。
移動VPN在安全方面的要求有兩個:一是建立的VPN本身必須安全,VPN內(nèi)部的數(shù)據(jù)傳輸安全并且有一定的QoS保證。二是VPN的節(jié)點進入UMTS不會給移動網(wǎng)絡(luò)帶來安全性問題。第二個問題可以通過UMTS的安全措施和簽約時的約定來約束。第一個問題中最為主要的是GGSN到宿主網(wǎng)絡(luò)之間公網(wǎng)部分的安全問題。
公網(wǎng)中隧道的安全性有以下幾種:
· L2TP的安全性有PAP和CHAP兩種認證方式。其中PAP采用明文的用戶名、密碼來驗證接入用戶的權(quán)限,這種方式?jīng)]有防護能力,往往在要求不高的地方采用。而且,往往和其他安全措施結(jié)合使用。CHAP采用加密方式(MD5算法)將在鏈路上傳送的驗證信息進行加密傳輸,具體的可參見有關(guān)文獻。基于透明訪問自愿模式的端到端L2TP隧道建立的移動VPN可以采用完全的RADUIS安全策略。
· IPSec的安全措施是最為強的,AH不通過加密方式提供驗證并且保證數(shù)據(jù)的完整性。ESP通過復雜的加密措施來保證數(shù)據(jù)的安全性。
· 基于MPLS的VPN通過結(jié)合BGP、IP地址解析和可選的IPSec來實現(xiàn)。
相比較而言,加密措施是比較好的方法。但是管理密鑰更為重要,在這方面,IETF也有相關(guān)的在Internet上面的密鑰管理協(xié)議。
在移動VPN中,透明訪問方式可以采用上面的安全措施提供端到端的安全策略。如果在非透明訪問方式下,必須結(jié)合UMTS網(wǎng)內(nèi)的安全策略和上面的公網(wǎng)隧道安全措施,共同提供一個端到端的安全策略。
4.3 引入移動IP來構(gòu)造“移動的”VPN的考慮
移動VPN最為重要的特征是VPN的用戶在不停地改變接入點,為了保護移動VPN中節(jié)點的通信不中斷和減少驗證的次數(shù),需要采用UMTS中的移動性管理。
在UMTS中的移動性管理有兩種技術(shù):基于第二層的移動性管理和基于第三層的移動性管理。其中基于第二層的移動性管理目前技術(shù)已經(jīng)比較成熟,而且能夠保證移動VPN的性能在節(jié)點移動的過程中保持不變。而基于第三層的移動性管理目前還不成熟,基于移動IP構(gòu)造的移動VPN在穿越防火墻、保證預定的QoS、提高漫游的轉(zhuǎn)接性能等方面的技術(shù)仍在研究中。
4.4 移動VPN的管理
在移動VPN中,UE是和宿主網(wǎng)絡(luò)的其他節(jié)點屬于同等的地位,但是如何將UE進行有效的管理是需要通過UMTS網(wǎng)絡(luò)來具體實現(xiàn)的。
透明訪問方式下,比如L2TP下,用戶建立的隧道在宿主網(wǎng)絡(luò)中是可管的,宿主網(wǎng)絡(luò)可以驗證UE的合法性,可以建立、維護和斷開與UE的隧道連接。
在非透明訪問方式下,在GGSN和宿主網(wǎng)絡(luò)建立隧道的同時,必須為管理移動VPN建立一種互相信任的管理機制。UMTS網(wǎng)絡(luò)部分針對UE的管理信息應(yīng)該可以有選擇地提供給宿主網(wǎng)絡(luò),同時,UMTS也可以根據(jù)宿主網(wǎng)絡(luò)對移動VPN的要求,控制UE的行為,包括隧道的建立、維護和斷開。
4.5 移動VPN中關(guān)于IPv4和IPv6過渡策略的考慮
一個支持IPv4移動VPN的節(jié)點移動到一個IPv6環(huán)境的網(wǎng)絡(luò)中,需要進行IPv4和IPv6協(xié)議的轉(zhuǎn)換。這種情況下,采用透明訪問方式自愿模式的隧道可以在底層(IP層)采用傳統(tǒng)的過渡策略,屏蔽對移動VPN的影響。而強制模式的移動VPN受協(xié)議過渡的影響仍需研究,這方面可以借鑒傳統(tǒng)VPN的過渡策略。
5 總結(jié)
移動VPN作為VPN中的一種,有VPN的共性,也有其特殊性。
從上面的分析可以看出,在移動VPN中,如何提高移動VPN的效率和減少相應(yīng)開銷是很重要的因素。本文在介紹目前VPN技術(shù)的基礎(chǔ)上,研究了在UMTS網(wǎng)絡(luò)上建立移動VPN的實現(xiàn)方案,并且討論了UMTS中的移動VPN的關(guān)鍵技術(shù)。
本文也注意到,在移動VPN的實現(xiàn)上有一些問題尚未得到很好的解決,比如移動VPN中的IPv4和IPv6的過渡策略問題。正如傳統(tǒng)VPN技術(shù)的發(fā)展過程一樣,移動VPN技術(shù)也在不斷發(fā)展中。
----《中國數(shù)據(jù)通信》