移動IPv6技術解析

相關專題: 無線 中國聯通

摘要 本文首先詳細分析了移動IPv6技術的基本原理,關鍵過程以及安全考慮等。在此基礎上,就移動IPv6目前存在的問題作了深入探討。最后,介紹了移動IPv6現狀并對其發(fā)展作了展望。

關鍵詞 移動IPv6 移動節(jié)點* 通信節(jié)點* 家鄉(xiāng)代理* 往返可路由過程

1、引言

  下一代網絡的發(fā)展方向之一是向多元化的無縫寬帶接入網絡演進,各種有線、無線接入方式對于用戶業(yè)務體驗需要提供通用的移動性,使用戶隨時隨地可以享受到統一的業(yè)務特性。

  移動終端要在三層網絡切換的過程中保持通信暢通就必須保證移動對于通信應用的透明,即通信應用的網絡層識別——IP地址保持不變;ヂ摼W路由模式是根據網絡層目的地址來進行選路,并將數據包發(fā)送到該目的地址所在的網絡,從而到達該目的地址所代表的節(jié)點。網絡層移動必須解決對通信應用全程使用不變IP地址的同時,對于路由使用節(jié)點當前所在網段可達的IP地址。移動IPv6巧妙地解決了這個問題。

2、移動IPv6基本工作原理

  移動IPv6對于實現通信在網絡層移動過程中保持不斷的解決方案可以簡單地歸納為三點:

  (1)定義了家鄉(xiāng)地址,上層通信應用全程使用家鄉(xiāng)地址保證了對應用的移動透明;

  (2)定義了轉交地址,從外地網絡獲得轉交地址,保證了現有路由模式下通信可達;

  (3)家鄉(xiāng)地址與轉交地址的映射,建立了上層應用所使用的網絡層標識與網絡層路由所使用的目的標識之間的關系。

  具體工作流程可簡單歸納如下:

  當移動節(jié)點在家鄉(xiāng)網段中時,它與通信節(jié)點之間按照傳統的路由技術進行通信,不需要移動IPv6的介入。

  當移動節(jié)點移動到外地鏈路時,移動節(jié)點的家鄉(xiāng)地址保持不變,同時獲得一個臨時的IP地址(即轉交地址)。移動節(jié)點把家鄉(xiāng)地址與轉交地址的映射告知家鄉(xiāng)代理。通信節(jié)點與移動節(jié)點通信仍然使用移動節(jié)點的家鄉(xiāng)地址,數據包仍然發(fā)往移動節(jié)點的家鄉(xiāng)網段;家鄉(xiāng)代理截獲這些數據包,并根據已獲得的映射關系通過隧道方式將其轉發(fā)給移動節(jié)點的轉交地址。移動節(jié)點則可以直接和通信節(jié)點進行通信。這個過程也叫做三角路由過程。

  移動節(jié)點也會將家鄉(xiāng)地址與轉交地址的映射關系告知通信節(jié)點,當通信節(jié)點知道了移動節(jié)點的轉交地址就可以直接將數據包轉發(fā)到其轉交地址所在的外地網段。這樣通信節(jié)點與移動節(jié)點之間就可以直接進行正常通信。這個通信過程也被稱作路由優(yōu)化后的通信過程。

3、移動IPv6的安全考慮

  上述移動IPv6的基本工作過程只是針對于理想狀態(tài)的互聯網,并沒有考慮安全方面的問題。實際的網絡中,會存在各種對報文的竊聽或者篡改等攻擊。如果攻擊者截取了綁定報文,并且修改內容中轉交地址為攻擊者的地址,然后再繼續(xù)發(fā)送給HA或者CN,那么攻擊者就會截取到發(fā)往移動節(jié)點的通信數據。同樣對于移動IPv6中目的選項或者路由報頭的攻擊,也會影響到通信的安全。要保證移動IPv6的通信安全,就必須保證移動IPv6的協議消息的真實性和完整性。

  MN與CN的關系帶有任意性,不適合需要預先建立安全關聯的方式,因此IPSec在MN與CN之間不適用。為保證MN與CN的之間的安全性,引入了往返可路由過程。

  MN與CN之間的移動IPv6協議消息包括:MN發(fā)往CN的綁定消息,CN發(fā)往MN的綁定確認。往返可路由過程的目的是要確保綁定消息中的家鄉(xiāng)地址和轉交地址都是真實可達的,都屬于移動節(jié)點。

  MN與HA之間的關系相對固定,便于預先建立安全關聯,因此對于MN和HA之間的協議消息使用IPSec進行保護,具體的操作可以參考RFC3776,本文不再贅述。

4、移動IPv6的關鍵過程

  移動IPv6的協議中,從三角路由到路由優(yōu)化的通信過程包含了移動檢測,獲取轉交地址,轉交地址注冊,隧道轉發(fā)等機制,往返可路由等信令過程等。

  4.1 移動檢測

  移動檢測分為二層移動檢測以及三層移動檢測。不論二層移動檢測采用什么方法,移動IPv6中依靠路由通告來確定是否發(fā)生了三層移動。移動節(jié)點在家鄉(xiāng)網段的時候,在規(guī)定的時間間隔內能夠周期性收到路由前綴通告;移動節(jié)點從家鄉(xiāng)網絡移動到外地網絡的時候,在規(guī)定的時間間隔內不會再收到家鄉(xiāng)網段的路由通告,移動節(jié)點認為發(fā)生了網絡層移動。

  4.2 獲取轉交地址

  當移動節(jié)點監(jiān)測到發(fā)生了網絡切換時,就需要分配當前網段可達的轉交地址。獲得轉交地址的方式可以是任何傳統的IPv6地址分配方式,如無狀態(tài)自動配置方式,或者是有狀態(tài)分配方式。最簡單的方式之一就是無狀態(tài)自動配置方式,利用所接收到外地網絡的路由前綴,與移動節(jié)點的接口地址合成轉交地址。

  4.3 轉交地址注冊

  移動節(jié)點獲得轉交地址后需要將轉交地址與家鄉(xiāng)地址的綁定關系分別通知給家鄉(xiāng)代理以及正在與移動節(jié)點通信的通信節(jié)點,這個過程分別稱為家鄉(xiāng)代理注冊以及通信節(jié)點注冊。轉交地址的注冊主要通過綁定更新/確認消息來實現。

  4.4 隧道轉發(fā)機制/三角路由

  移動節(jié)點已經完成家鄉(xiāng)代理注冊但是還沒有向通信節(jié)點注冊時,通信節(jié)點發(fā)往移動節(jié)點的數據在網絡層仍然使用移動節(jié)點的家鄉(xiāng)地址。家鄉(xiāng)代理會截取這些數據包,并根據已知的移動節(jié)點轉交地址與家鄉(xiāng)地址的綁定關系,通過IPv6 in IPv6隧道將數據包轉發(fā)到移動節(jié)點。移動節(jié)點可以直接回復給通信節(jié)點。這個過程也叫做三角路由。

  4.5 往返可路由過程

  往返可路由過程主要目的在于保證通信節(jié)點接收到綁定更新的真實性和可靠性,由兩個并發(fā)過程組成:家鄉(xiāng)測試過程和轉交測試過程。

  家鄉(xiāng)測試過程首先由移動節(jié)點發(fā)起家鄉(xiāng)測試初始化消息,通過隧道經由家鄉(xiāng)代理轉發(fā)給通信節(jié)點,以此告知通信節(jié)點啟動家鄉(xiāng)測試所需的工作。通信節(jié)點收到家鄉(xiāng)測試初始化消息后,會利用家鄉(xiāng)地址及兩個隨機數Kcn與nonce,進行運算生成home keygen token,然后會利用返回給移動節(jié)點的家鄉(xiāng)測試消息把home keygen token*以及nonce索引號告訴移動節(jié)點;

  轉交測試首先是移動節(jié)點直接向通信節(jié)點發(fā)送轉交測試初始化消息,通信節(jié)點會將消息中攜帶的轉交地址與ken和nonce進行相應運算生成care-of keygen token*,然后在返回移動節(jié)點的轉交測試息中攜帶care-ofkeygen token以及nonce索引號。

  移動節(jié)點利用home keygen token和care-ofkeygen token生成綁定管理密鑰Kbm,再利用kbm和綁定更新消息進行相應運算生成驗證碼1,攜帶在綁定更新消息中。通信節(jié)點收到綁定更新消息后利用home keygen token,care-ofkeygen token以及nonce數,與綁定消息進行相應運算,得出驗證碼2。比較兩個驗證碼,如果相同,通信節(jié)點就可以判斷綁定消息真實可信,否則,將視為無效。

  4.6 動態(tài)家鄉(xiāng)代理地址發(fā)現過程

  通常家鄉(xiāng)網絡的前綴和家鄉(xiāng)代理的地址是固定的,但是也可能因為故障或其他原因出現重新配置。當家鄉(xiāng)網絡配置改變時,身在外地的移動節(jié)點需要依靠動態(tài)家鄉(xiāng)代理地址發(fā)現過程發(fā)現家鄉(xiāng)代理的地址。這主要借助于目的地為一個特殊anycast地址的ICMP特別消息。據了解,目前這個過程并沒有設備實現,因此也不做過多介紹,進一步了解可以參考RFC3775。

  圖1示出了移動IPv6的過程。

圖1 移動IPv6過程圖解*

5、移動IPv6所面臨的問題

  5.1 安全

  MIPv6中規(guī)定了以IPSec來進行MN與HA之間協議消息保護,此外對于數據消息也可以用IPSec進行保護。但是在IPv6中真正啟用IPSec的很少,MIPv6中應用IPSec就更少了。一方面是由于各系統對IPSec for IPv6的支持還不到位,另一方面IPSec的應用主要適用于IPSec VPN之類的公司用戶應用。對于個人用戶,IPSec的配置還是比較繁瑣。如何能使IPSec易于配置,廣泛應用起來,這也是移動IPv6要解決的一個問題。此外,對于如何驗證MN與HA之間的協議消息,已經提出了其他的草案。安全問題仍然是MIPv6的研究熱點之一。

  5.2 快速切換

  移動IPv6的目的是為了使在移動過程中通信仍然能夠保持和流暢,這就意味著在網絡切換的過程對丟包和時延的要求比較苛刻。對于交互式語音通信,可以接受的雙向時延小于300ms,丟包率小于3%。但是目前MIPv6實現的試驗結果并不理想,切換速度一般在3-4s。

  為了減小切換的時延,RFC3775中規(guī)定了在實現MIPv6網絡中各網段的接入接入路由器的路由前綴通告的間隔范圍:min=0.03ms,max=0.07ms。而普通的IPv6網絡中,這個參數的值在min=(3s,0.75*max),max=(4s,600s)。頻繁的路由通告可以使移動節(jié)點快速檢測到網段遷移,啟動移動IPv6的后續(xù)過程;但是頻繁的路由通告也使MIPv6的通信效率有所降低。此外,業(yè)界針對快速切換還提出了層次化移動IPv6的概念。所有的這些措施,都還需要進一步的評估檢驗。

  5.3 實現

  目前,Linux系統中對IPv6的支持是基于2.4系列內核的,已經基本實現對RFC3775的支持,但是由于沒有支持IPSec for IPv6,Linux系統的MN/HA并不能使用IPSec保護MIPv6的通信安全。不過,Linux現在正在進行2.6系列內核的操作系統中對MIPv6的支持,屆時,Linux MIPv6將可以使用IPSec功能。

  Cisco,Nokia等廠家的網絡設備也實現了對MIPv6提供了基本的支持。

  5.4 應用

  移動IPv6與IPv6共同描繪出一個美好的移動數據應用的未來。各種家用電器、手持設備、車載系統、以及傳感系統、通信終端等都可以通過網絡進行任何時間,任何地點,保持豐富的信息傳送。但是移動IPv6從提出到現在近10年的時間里,還沒有過真正的商業(yè)部署。一方面,IPv6的網絡和應用并沒有大規(guī)模鋪開。另一方面,移動IPv6的應用很多都是面向未來的,比如日本在研究的AD HOC的ITS系統,不是近2~3年內就能夠為推廣應用的,也就是說一些移動IPv6的應用是以IPv6數字生活為前提的。

  至于何時移動IPv6所描繪出來的無所不在的流暢通信時代才能走進千家萬戶,還很難給出一個確切的估計,但是很明確的是這中間還有很多方面需要努力。

6、結束語

  移動IPv6真正推廣,一方面需要借助下一代網絡的快速發(fā)展需求,如多模終端的應用,IPv6業(yè)務的普及等。另一方面也需要克服目前存在的一些問題,具體而言,移動IPv6的發(fā)展需要先解決當前業(yè)務研究方向中遇到的技術問題(便于配置和部署的信令安全方案;快速和平滑的切換方案;移動過程中保持統一的AAA策略的解決方案;移動過程中保持統一QoS策略的解決方案;動態(tài)域名解決方案等),然后才能做好業(yè)務解決方案。

  此外,移動IPv6為特色的業(yè)務普及還需要一個成熟的技術和業(yè)務環(huán)境條件,包括:異質接入網絡的融合,包括各種有線、無線接入方式之間的切換;統一的或者良好互通的后臺管理系統;多模終端的應用;IPv6網絡的部署以及業(yè)務的普及應用;NGI移動數據業(yè)務廣泛應用等。

  如果失去了這些前提條件,移動IPv6的技術將失去發(fā)展的空間。移動IPv6的標準歷經至少24版RFC Draft,于2004年6月終于標準化成為RFC3775。2005年6月,日本的IPv6促進協會啟動了“IPv6 Ready”二期認證,主要是增加了對MIPv6和IPSec的認證,這將有利于推動移動IPv6的發(fā)展。期待在不久的將來結合移動IPv6,將有更豐富的移動數據業(yè)務或者業(yè)務特性提供給用戶體驗。

  注:*移動節(jié)點:指發(fā)生網絡切換的網絡節(jié)點。

  *通信節(jié)點:指與移動節(jié)點進行通信的對端網絡節(jié)點。

  *家鄉(xiāng)代理:指能夠接受移動節(jié)點的綁定消息并且能夠截取發(fā)往移動節(jié)點家鄉(xiāng)地址的數據包然后將這些數據包轉發(fā)給移動節(jié)點的路由器。

  *home keygen token:home keygen token=First(64,HMAC_SHA1(Kcn,(home address|nonce|0)))

  *care-of keygen token:First(64,HMAC_SHA1(Kcn,(care-ofaddress|nonce|1)))

  *左邊的側括號標明的是信令過程,右邊的側括號標明的是數據過程。淺字體的表示為信令消息,深字體為數據消息。很多時候,信令消息是攜帶在數據消息中的。

作者:張榮 來源:中國聯通網站


微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網白皮書
  • 4、回復“LTBPS”免費領取《《中國聯通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統架構1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息