在UMTS中實(shí)現(xiàn)移動(dòng)VPN的研究

相關(guān)專題: 無線

蔣純波 徐名文 徐大雄

(1. 北京郵電大學(xué)電子工程學(xué)院 北京100876) (2. 中國普天信息技術(shù)研究院 北京100088)

  摘 要 移動(dòng)VPN是將來的3G應(yīng)用中一項(xiàng)重要的業(yè)務(wù)。本文在傳統(tǒng)VPN技術(shù)的基礎(chǔ)上,著重討論了在UMTS網(wǎng)絡(luò)中實(shí)現(xiàn)移動(dòng)VPN的技術(shù)方案,并且詳細(xì)分析了在實(shí)現(xiàn)過程中的關(guān)鍵技術(shù)和一些仍未解決的技術(shù)問題。

  關(guān)鍵詞 移動(dòng)VPN UMTS

1 前言

  一些行業(yè)或企業(yè)為了保證行業(yè)內(nèi)部數(shù)據(jù)傳送的安全性和可靠性,都建設(shè)了自己的專網(wǎng)或者租用電信的專線來構(gòu)造專網(wǎng)(PN),比如軍隊(duì)、銀行都有專用網(wǎng)絡(luò)。但是,建設(shè)專網(wǎng)是一項(xiàng)非常大的投資。與此相反,公網(wǎng)的技術(shù)在不斷完善,價(jià)格在不斷下降,眾多廠家的支持使得公網(wǎng)的發(fā)展很快。于是在公網(wǎng)中實(shí)現(xiàn)專網(wǎng)的特性是一個(gè)好的選擇。這對企業(yè)來說減少了成本、方便了管理。而對移動(dòng)運(yùn)營商來說,這也是吸引集團(tuán)用戶,提供增值服務(wù)的一項(xiàng)好的技術(shù)。

  VPN的基本思想就是利用Internet公網(wǎng)來傳輸私有信息而形成邏輯上的專網(wǎng),從而為企業(yè)級用戶提供比專線價(jià)格低廉和高安全性的資源共享和互連服務(wù)。在傳統(tǒng)的VPN中,為了保證數(shù)據(jù)的完整性和安全性采用了幾項(xiàng)關(guān)鍵的技術(shù):隧道(tunneling)技術(shù)、加解密(encryption && decryption)技術(shù)、密鑰管理(key management)技術(shù)、使用者與設(shè)備身份認(rèn)證(authentication)技術(shù)。

  本文著重討論在UMTS中實(shí)現(xiàn)移動(dòng)的VPN的一些關(guān)鍵技術(shù)。UMTS中實(shí)現(xiàn)移動(dòng)VPN,在技術(shù)上借鑒了基于Internet的傳統(tǒng)VPN的思想和其中的關(guān)鍵技術(shù)。

2 UMTS的ALL-IP架構(gòu)

  在UMTS中,整個(gè)網(wǎng)絡(luò)架構(gòu),無論是以后的業(yè)務(wù)還是網(wǎng)絡(luò)的承載都向ALL-IP方向發(fā)展,而且各種接入網(wǎng)絡(luò)技術(shù)不斷融合。UMTS的ALL-IP結(jié)構(gòu)如圖1所示。在圖1的架構(gòu)中,所有的接入網(wǎng)絡(luò)技術(shù)都是基于IP技術(shù)。這樣,很好地解決了網(wǎng)絡(luò)之間的互聯(lián)互通,并且給用戶的漫游帶來了極大的方便。在目前,UMTS融合WLAN的技術(shù)正在開發(fā)中。

  在UMTS中,UE在PS域內(nèi)與外部PDN通信有兩種方式:一種是透明方式,另外一種是非透明方式。選擇透明訪問和非透明訪問是在用戶簽約的時(shí)候確定。

  下面主要討論在UMTS的ALL-IP架構(gòu)下,基于透明訪問方式和非透明訪問方式的UE來構(gòu)造移動(dòng)VPN的方案及其關(guān)鍵技術(shù)。

3 在UMTS中實(shí)現(xiàn)VPN的幾種方案

  在UMTS中,移動(dòng)VPN的一般構(gòu)造如圖2所示,其中有幾個(gè)網(wǎng)絡(luò)實(shí)體:宿主網(wǎng)絡(luò)、移動(dòng)節(jié)點(diǎn)(在UMTS中稱為UE)、UMTS網(wǎng)絡(luò)和防火墻。

  UE附著到UMTS網(wǎng)絡(luò)的時(shí)候,除了進(jìn)行身份的驗(yàn)證外,UMTS網(wǎng)絡(luò)通過存在HLR中的信息,根據(jù)UE發(fā)起的PDP中的APN請求參數(shù)建立移動(dòng)VPN。

  移動(dòng)VPN的隧道有兩種工作模式可供選擇,一種是自愿模式,另外一種是強(qiáng)制模式。對于自愿模式來說,也稱端到端的隧道模式,是由UE發(fā)起到宿主網(wǎng)絡(luò)端點(diǎn)的隧道。而強(qiáng)制模式,也稱為基于網(wǎng)絡(luò)的隧道模式,是由UE連接到VPLMN的接入點(diǎn)(在UMTS中為GGSN),由GGSN根據(jù)HLR簽約信息建立(或者共享)隧道到宿主網(wǎng)絡(luò)端點(diǎn)。

  在UMTS中,構(gòu)造移動(dòng)VPN有兩種隧道技術(shù):移動(dòng)隧道技術(shù)和公網(wǎng)隧道技術(shù)(在自愿模式下只是采用公網(wǎng)隧道技術(shù))。公網(wǎng)隧道技術(shù)有二層隧道技術(shù)和三層隧道技術(shù)。其中,二層的隧道技術(shù)有PPTP、L2F、L2TP、MPLS、VLAN/ATM等。三層的隧道技術(shù)有IPSec等。本文將簡要介紹L2TP,MPLS和IPSec構(gòu)造移動(dòng)VPN的解決方案。

  隧道模式的選擇和具體建立VPN的隧道技術(shù)的選擇是作為簽約信息存在HLR中。

3.1 基于L2TP的移動(dòng)VPN架構(gòu)

  LT2P是由IETF制定的標(biāo)準(zhǔn)RFC 2661中詳細(xì)規(guī)定的,它是一個(gè)第二層的隧道技術(shù);贚2TP的移動(dòng)VPN的架構(gòu)一般是基于非透明方式的強(qiáng)制模式(當(dāng)然也可以由UE發(fā)起L2TP的隧道連接構(gòu)造自愿模式VPN),如圖3所示。在此架構(gòu)中,UE的數(shù)據(jù)(PDP類型必須為PPP類型)通過無線信道和GTP隧道到達(dá)GGSN。GGSN作為L2TP的LAC,根據(jù)UE的PDP激活請求的APN中的參數(shù)決定是否發(fā)起與對端的宿主網(wǎng)絡(luò)端點(diǎn)(LNS)建立可靠的數(shù)據(jù)傳送隧道,這種隧道是雙向的。如果同樣的隧道已經(jīng)存在,則共享這條隧道。而且,這種VPN結(jié)構(gòu)可以將幾個(gè)L2TP隧道同時(shí)綁定使用,提高傳輸?shù)乃俾省?/p>

  在非透明訪問方式中,移動(dòng)VPN在UMTS部分的安全、鑒權(quán)是由UMTS接入的時(shí)候進(jìn)行,并由其相關(guān)的策略保證。相比較而言,重要的安全需求是在GGSN和宿主網(wǎng)絡(luò)之間的公網(wǎng)上,也是由L2TP的隧道所涉及的部分。雖然,L2TP提供了PAP和CHAP的安全機(jī)制并不能完全解決安全性問題,但是還可以通過L2TP下層應(yīng)用IPSec的安全機(jī)制來加強(qiáng)安全性。

  因?yàn)檫@種移動(dòng)VPN實(shí)現(xiàn)了上層的PPP連接,所以用戶層面上的地址可以使用內(nèi)部地址,而且,用戶的鑒權(quán)可以完全采用RADIUS。

  移動(dòng)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)(包括宿主網(wǎng)絡(luò))之間進(jìn)行的SLA協(xié)商,有關(guān)UE建立VPN的信息存在HLR之中。

3.2 基于MPLS的移動(dòng)VPN的架構(gòu)

  基于MPLS的移動(dòng)VPN一般也是非透明訪問方式的強(qiáng)制模式。因?yàn)镸PLS能在一般的路由器平臺(tái)上實(shí)現(xiàn),所以得到廠家的支持。圖4是一個(gè)典型結(jié)構(gòu),其中GGSN作為MPLS域的LER(CE),外部網(wǎng)絡(luò)是一個(gè)典型的MPLS域,與GGSN相連接的是PE(同樣是LER)。通過MPLS域內(nèi)給UE分配的唯一的VPNID,LER分配給UE的數(shù)據(jù)適當(dāng)?shù)臉?biāo)簽(label),而MPLS域內(nèi)的LSR通過label轉(zhuǎn)發(fā)數(shù)據(jù),相當(dāng)于構(gòu)造了一條隧道。

  按照MPLS的標(biāo)準(zhǔn),GGSN可以是MPLS設(shè)備(推薦),也可以不是MPLS設(shè)備。但是,必須和外部的相連MPLS域協(xié)商相關(guān)的協(xié)議,確定MPLS給UE分配的VPNID及相應(yīng)label的分配方案。GGSN和PE之間的路由通常使用BGP路由協(xié)議,結(jié)合BGP和MPLS構(gòu)造VPN。PE必須知道MPLS域內(nèi)所支持的所有CE的可達(dá)性信息和支持的VPN的信息。

  對于大多數(shù)業(yè)務(wù)來說,基于BGP、VPNID和IP地址的結(jié)合可以提供足夠的安全性,但是也可以通過IPSec的加密措施來提高進(jìn)一步的安全。IPSec的加密一般在GGSN(CE)來進(jìn)行,并在宿主網(wǎng)絡(luò)端CE解密。這種額外的安全性措施是以降低網(wǎng)絡(luò)的性能為代價(jià)的,不過在高帶寬的骨干網(wǎng)中,這種代價(jià)是值得的。

3.3 基于IPSec的移動(dòng)VPN的架構(gòu)

  IPSec協(xié)議族是由IETF制定的開放性IP安全標(biāo)準(zhǔn)。它在網(wǎng)絡(luò)層(第二層)中提供了一個(gè)安全傳送數(shù)據(jù)的機(jī)制。IPSec的安全性在于兩個(gè)協(xié)議:AH和ESP。每個(gè)協(xié)議都有兩種傳輸模式:透明傳輸和隧道傳輸。移動(dòng)VPN中的IPSec隧道可選任意一種模式,但是兩種模式在穿越防火墻(包括UMTS側(cè)的防火墻和宿主網(wǎng)絡(luò)側(cè)的防火墻)的策略是不一樣的,因此,選擇哪種模式應(yīng)該和具體的防火墻技術(shù)結(jié)合考慮。

  基于IPSec的移動(dòng)VPN可以是自愿模式也可以是強(qiáng)制模式,如圖5所示。

  在自愿模式中,UE作為隧道的發(fā)起點(diǎn),同遠(yuǎn)端的宿主網(wǎng)絡(luò)節(jié)點(diǎn)建立一條IPSec的隧道,這種隧道的建立只能在透明訪問方式中存在,而且對UMTS網(wǎng)絡(luò)設(shè)備沒有特殊的要求,要求UE支持IPSec隧道方式。UMTS網(wǎng)絡(luò)部分只是在UE附著和PDP激活的過程中對用戶進(jìn)行鑒權(quán)。

  在強(qiáng)制模式中,UE首先連接到GGSN,由GGSN作為隧道的發(fā)起點(diǎn),要求GGSN必須支持IPSec隧道。

4 實(shí)現(xiàn)中的關(guān)鍵技術(shù)討論

4.1 自愿模式和強(qiáng)制模式在移動(dòng)VPN中的比較

  無線資源對移動(dòng)通信系統(tǒng)來說是非常有限的,也是非常重要的。在自愿模式中,UE作為隧道的起點(diǎn),所有的封裝開銷都會(huì)在無線信道上傳輸,加重了無線資源的負(fù)擔(dān)。而且在UMTS網(wǎng)絡(luò)中,安全性是有保證的,端到端建立隧道在某種程度上來說是沒有必要的。而且,UE必須支持隧道協(xié)議,用戶也必須能夠正確配置VPN。

  但是如果在UMTS的運(yùn)營商沒有提供移動(dòng)VPN業(yè)務(wù)的情況下,建立在透明傳輸方式下的自愿模式是唯一比較好的選擇,因?yàn)樗枰由俚囊苿?dòng)網(wǎng)絡(luò)對移動(dòng)VPN的支持。而且宿主網(wǎng)絡(luò)可以在這種模式下更有效地管理移動(dòng)VPN,包括為UE提供VPN內(nèi)私有地址,提高通信的安全性。

4.2 移動(dòng)VPN端到端的安全措施

  移動(dòng)VPN中的節(jié)點(diǎn)有移動(dòng)的特性,所訪問網(wǎng)絡(luò)的安全環(huán)境并不一樣,如何保護(hù)VPN中數(shù)據(jù)的安全性是最為重要的技術(shù)之一。

  移動(dòng)VPN在安全方面的要求有兩個(gè):一是建立的VPN本身必須安全,VPN內(nèi)部的數(shù)據(jù)傳輸安全并且有一定的QoS保證。二是VPN的節(jié)點(diǎn)進(jìn)入U(xiǎn)MTS不會(huì)給移動(dòng)網(wǎng)絡(luò)帶來安全性問題。第二個(gè)問題可以通過UMTS的安全措施和簽約時(shí)的約定來約束。第一個(gè)問題中最為主要的是GGSN到宿主網(wǎng)絡(luò)之間公網(wǎng)部分的安全問題。

  公網(wǎng)中隧道的安全性有以下幾種:

  · L2TP的安全性有PAP和CHAP兩種認(rèn)證方式。其中PAP采用明文的用戶名、密碼來驗(yàn)證接入用戶的權(quán)限,這種方式?jīng)]有防護(hù)能力,往往在要求不高的地方采用。而且,往往和其他安全措施結(jié)合使用。CHAP采用加密方式(MD5算法)將在鏈路上傳送的驗(yàn)證信息進(jìn)行加密傳輸,具體的可參見有關(guān)文獻(xiàn);谕该髟L問自愿模式的端到端L2TP隧道建立的移動(dòng)VPN可以采用完全的RADUIS安全策略。

  · IPSec的安全措施是最為強(qiáng)的,AH不通過加密方式提供驗(yàn)證并且保證數(shù)據(jù)的完整性。ESP通過復(fù)雜的加密措施來保證數(shù)據(jù)的安全性。

  · 基于MPLS的VPN通過結(jié)合BGP、IP地址解析和可選的IPSec來實(shí)現(xiàn)。

  相比較而言,加密措施是比較好的方法。但是管理密鑰更為重要,在這方面,IETF也有相關(guān)的在Internet上面的密鑰管理協(xié)議。

  在移動(dòng)VPN中,透明訪問方式可以采用上面的安全措施提供端到端的安全策略。如果在非透明訪問方式下,必須結(jié)合UMTS網(wǎng)內(nèi)的安全策略和上面的公網(wǎng)隧道安全措施,共同提供一個(gè)端到端的安全策略。

4.3 引入移動(dòng)IP來構(gòu)造“移動(dòng)的”VPN的考慮

  移動(dòng)VPN最為重要的特征是VPN的用戶在不停地改變接入點(diǎn),為了保護(hù)移動(dòng)VPN中節(jié)點(diǎn)的通信不中斷和減少驗(yàn)證的次數(shù),需要采用UMTS中的移動(dòng)性管理。

  在UMTS中的移動(dòng)性管理有兩種技術(shù):基于第二層的移動(dòng)性管理和基于第三層的移動(dòng)性管理。其中基于第二層的移動(dòng)性管理目前技術(shù)已經(jīng)比較成熟,而且能夠保證移動(dòng)VPN的性能在節(jié)點(diǎn)移動(dòng)的過程中保持不變。而基于第三層的移動(dòng)性管理目前還不成熟,基于移動(dòng)IP構(gòu)造的移動(dòng)VPN在穿越防火墻、保證預(yù)定的QoS、提高漫游的轉(zhuǎn)接性能等方面的技術(shù)仍在研究中。

4.4 移動(dòng)VPN的管理

  在移動(dòng)VPN中,UE是和宿主網(wǎng)絡(luò)的其他節(jié)點(diǎn)屬于同等的地位,但是如何將UE進(jìn)行有效的管理是需要通過UMTS網(wǎng)絡(luò)來具體實(shí)現(xiàn)的。

  透明訪問方式下,比如L2TP下,用戶建立的隧道在宿主網(wǎng)絡(luò)中是可管的,宿主網(wǎng)絡(luò)可以驗(yàn)證UE的合法性,可以建立、維護(hù)和斷開與UE的隧道連接。

  在非透明訪問方式下,在GGSN和宿主網(wǎng)絡(luò)建立隧道的同時(shí),必須為管理移動(dòng)VPN建立一種互相信任的管理機(jī)制。UMTS網(wǎng)絡(luò)部分針對UE的管理信息應(yīng)該可以有選擇地提供給宿主網(wǎng)絡(luò),同時(shí),UMTS也可以根據(jù)宿主網(wǎng)絡(luò)對移動(dòng)VPN的要求,控制UE的行為,包括隧道的建立、維護(hù)和斷開。

4.5 移動(dòng)VPN中關(guān)于IPv4和IPv6過渡策略的考慮

   一個(gè)支持IPv4移動(dòng)VPN的節(jié)點(diǎn)移動(dòng)到一個(gè)IPv6環(huán)境的網(wǎng)絡(luò)中,需要進(jìn)行IPv4和IPv6協(xié)議的轉(zhuǎn)換。這種情況下,采用透明訪問方式自愿模式的隧道可以在底層(IP層)采用傳統(tǒng)的過渡策略,屏蔽對移動(dòng)VPN的影響。而強(qiáng)制模式的移動(dòng)VPN受協(xié)議過渡的影響仍需研究,這方面可以借鑒傳統(tǒng)VPN的過渡策略。

5 總結(jié)

  移動(dòng)VPN作為VPN中的一種,有VPN的共性,也有其特殊性。

  從上面的分析可以看出,在移動(dòng)VPN中,如何提高移動(dòng)VPN的效率和減少相應(yīng)開銷是很重要的因素。本文在介紹目前VPN技術(shù)的基礎(chǔ)上,研究了在UMTS網(wǎng)絡(luò)上建立移動(dòng)VPN的實(shí)現(xiàn)方案,并且討論了UMTS中的移動(dòng)VPN的關(guān)鍵技術(shù)。

  本文也注意到,在移動(dòng)VPN的實(shí)現(xiàn)上有一些問題尚未得到很好的解決,比如移動(dòng)VPN中的IPv4和IPv6的過渡策略問題。正如傳統(tǒng)VPN技術(shù)的發(fā)展過程一樣,移動(dòng)VPN技術(shù)也在不斷發(fā)展中。

----《中國數(shù)據(jù)通信》


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費(fèi)領(lǐng)取以下5G精品資料

本周熱點(diǎn)本月熱點(diǎn)

 

  最熱通信招聘

  最新招聘信息