3G移動通信系統(tǒng)將是一個能綜合實時業(yè)務(wù)、非實時業(yè)務(wù)、寬帶業(yè)務(wù)、窄帶業(yè)務(wù)的網(wǎng)絡(luò),能夠滿足多媒體和視頻業(yè)務(wù)發(fā)展的需求。同時,業(yè)務(wù)承載網(wǎng)應(yīng)提高安全性并能夠提供服務(wù)質(zhì)量保證。因此,3G移動通信系統(tǒng)應(yīng)同時擁有Internet和電信網(wǎng)的一系列特性。目前,移動設(shè)備越來越多,這些設(shè)備同時也提出了連接Internet的需求。IPv6不但有足夠多的地址分配給這些移動設(shè)備。而且利用IPv6的地址自動配置、地址體系結(jié)構(gòu)能使移動通信變得更加簡單。同時,移動用戶在跨網(wǎng)絡(luò)隨意移動和漫游過程中使用基于TCP/IP的網(wǎng)絡(luò)時,并不希望隨時手動或自動修改移動設(shè)備的IP地址,而是希望繼續(xù)使用原有的IP地址,并享有原網(wǎng)絡(luò)中的一切權(quán)限和服務(wù)。因此,移動IPv6技術(shù)成為IPv6協(xié)議不可分割的一部分,特別是在未來3G網(wǎng)絡(luò)的建設(shè)中,移動IPv6技術(shù)將成為移動運營商必須做出選擇的一項重要技術(shù)。
1、移動IPv6技術(shù)簡介
1996年IETF公布了第一個移動IPv6草案,到2004年初IPv6主機移動協(xié)議草案已經(jīng)發(fā)展到了第24號版本,并于2004年6月發(fā)布的RFC3775成為第一個移動IPv6標準。移動IPv6利用IPv6自動配置、優(yōu)化的報頭和擴展選項,簡化了主機移動協(xié)議的設(shè)計,解決了移動IPv4入口過濾、三角路由等問題,并降低了網(wǎng)絡(luò)開銷,提高了工作性能。
(1)移動IPv6的組成
圖1顯示出了移動IPv6的各個組成部分。
圖1 移動IPv6的組成
移動IPv6與移動IPv4一樣,同樣存在家鄉(xiāng)鏈路(Home Link)和外地鏈路(Foreign Link)。家鄉(xiāng)鏈路就是具有本地子網(wǎng)前綴的鏈路,移動節(jié)點使用本地子網(wǎng)前綴創(chuàng)建家鄉(xiāng)地址(Home Address)。外地鏈路就是非移動節(jié)點家鄉(xiāng)鏈路的鏈路,外地鏈路具有外地子網(wǎng)前綴,移動節(jié)點使用外地子網(wǎng)前綴創(chuàng)建轉(zhuǎn)交地址(Care-of Address)。移動IPv6的家鄉(xiāng)地址就是移動節(jié)點在家鄉(xiāng)鏈路時所獲得的地址,無論移動節(jié)點位于IPv6互聯(lián)網(wǎng)中的哪個位置,移動節(jié)點的家鄉(xiāng)地址總是可到達的。移動IPv6的轉(zhuǎn)交地址是移動節(jié)點位于外地鏈路時所使用的地址,由外地子網(wǎng)前綴和移動節(jié)點的接口ID組成。移動節(jié)點可以同時具有多個轉(zhuǎn)交地址,但只有一個轉(zhuǎn)交地址可以在移動節(jié)點的家鄉(xiāng)代理(Home Agent)中注冊成為主轉(zhuǎn)交地址。
與移動IPv4不同,在移動IPv6中只有家鄉(xiāng)代理的概念,而取消了外地代理。移動節(jié)點的家鄉(xiāng)代理是家鄉(xiāng)鏈路上的一臺路由器,主要負責(zé)維護離開本地鏈路的移動節(jié)點以及這些移動節(jié)點所使用的地址信息。如果移動節(jié)點位于家鄉(xiāng)鏈路,則家鄉(xiāng)代理的作用與一般的路由器一樣,它將目的地為移動節(jié)點的數(shù)據(jù)包正常轉(zhuǎn)發(fā)給移動節(jié)點;當(dāng)移動節(jié)點離開家鄉(xiāng)鏈路時,則家鄉(xiāng)代理將截取發(fā)往移動節(jié)點家鄉(xiāng)地址的數(shù)據(jù)包,并將這些數(shù)據(jù)包通過隧道發(fā)往移動節(jié)點的轉(zhuǎn)交地址。
對端節(jié)點就是與離開家鄉(xiāng)的移動節(jié)點進行通信的IPv6節(jié)點,對端節(jié)點可以是一個固定節(jié)點,也可以是一個移動節(jié)點。
(2)移動IPv6的工作原理
移動節(jié)點總是希望通過其家鄉(xiāng)地址尋址,無論該節(jié)點是否連接在家鄉(xiāng)鏈路。因此,我們分兩種情況分析移動IPv6的基本工作原理。
移動節(jié)點連接在家鄉(xiāng)鏈路時
當(dāng)移動節(jié)點在家鄉(xiāng)時,發(fā)送至家鄉(xiāng)地址的數(shù)據(jù)包使用傳統(tǒng)的互聯(lián)網(wǎng)路由機制路由至移動節(jié)點的家鄉(xiāng)鏈路,其工作方式與任何固定的主機和路由器的工作方式一致,無需贅述。
移動節(jié)點離開家鄉(xiāng)鏈路連接到某外地鏈路時
移動節(jié)點移動到外地時,其工作過程如下。
a.采用IPv6定義的地址自動配置方法得到外地鏈路上的轉(zhuǎn)交地址。
b.移動節(jié)點將它的轉(zhuǎn)交地址通知給家鄉(xiāng)代理。移動節(jié)點的轉(zhuǎn)交地址和家鄉(xiāng)地址的映射關(guān)系稱為一個“綁定”。移動節(jié)點通過綁定注冊過程把自己的轉(zhuǎn)交地址通知給位于家鄉(xiāng)網(wǎng)絡(luò)的家鄉(xiāng)代理(HA)。
c.如果可以保證操作時的安全性,移動節(jié)點也將它的轉(zhuǎn)交地址通知幾個對端節(jié)點。
d.不知道移動節(jié)點轉(zhuǎn)交地址的對端節(jié)點送出的數(shù)據(jù)包和移動IPv4一樣進行路由,它們先被路由到移動節(jié)點的本地網(wǎng)絡(luò),從那里家鄉(xiāng)代理再將它們經(jīng)過隧道送到移動節(jié)點的轉(zhuǎn)交地址。
e.知道移動節(jié)點轉(zhuǎn)交地址的對端節(jié)點送出的數(shù)據(jù)包可以利用IPv6選路報頭直接送給移動節(jié)點,選路報頭將移動節(jié)點的轉(zhuǎn)交地址作為一個中間目的地址。
f.在相反方向,移動節(jié)點送出的數(shù)據(jù)包采用特殊的機制被直接路由到它們的目的地。然而,當(dāng)存在入口方向的過濾時,移動節(jié)點可以將數(shù)據(jù)包通過隧道送給家鄉(xiāng)代理,隧道的源地址為移動節(jié)點的轉(zhuǎn)交地址。
2、移動IPv6的安全性
移動IPv6提供了許多安全特性。其中包括對家鄉(xiāng)代理和對端節(jié)點的綁定更新保護、移動前綴發(fā)現(xiàn)保護和移動IPv6使用的數(shù)據(jù)包傳輸機制的保護。然而,移動IP必須面對所有無線網(wǎng)絡(luò)所固有的安全威脅。此外,移動IPv6協(xié)議通過定義移動節(jié)點、家鄉(xiāng)代理和對端節(jié)點之間的信令機制,在實現(xiàn)了三角路由優(yōu)化的同時,也引入了新的安全威脅。目前,移動IPv6可能遭受的攻擊主要包括拒絕服務(wù)攻擊、重放攻擊以及信息竊取攻擊。
針對重放攻擊,移動IPv6協(xié)議在注冊消息中添加了序列號,并且在協(xié)議報文中引入了時間隨機數(shù)(Nonce)。家鄉(xiāng)代理和對端節(jié)點可以通過比較前后兩個注冊消息序列號,并結(jié)合Nonce的散列值,來判定注冊消息是否為重放攻擊。若消息序列號不匹配,或Nonce散列值不正確,則可視之為過期注冊消息,不予以處理。
移動節(jié)點和家鄉(xiāng)代理之間可以建立IPsec安全聯(lián)盟來保護信令消息和業(yè)務(wù)流量。由于移動節(jié)點的歸屬地址和家鄉(xiāng)代理都是已知的,可以預(yù)先為移動節(jié)點和家鄉(xiāng)代理配置安全聯(lián)盟,然后使用IPsec AH和ESP建立安全隧道,提供數(shù)據(jù)源認證、完整性檢查、數(shù)據(jù)加密和重放攻擊防護。
移動IPv6協(xié)議定義了往返可路由過程(RRP,Return Route ability Procedure)。通過產(chǎn)生綁定管理密鑰,來實現(xiàn)對移動節(jié)點和對端節(jié)點之間控制信令的保護。
3、移動IPv6與移動IPv4技術(shù)比較
相對于目前廣泛應(yīng)用于無線網(wǎng)絡(luò)的IPv4技術(shù),移動IPv6的優(yōu)勢非常明顯,這些優(yōu)勢主要體現(xiàn)在以下幾個方面。
(1)地址數(shù)量大大增加
移動IPv6的128位地址長度對于充滿生機的移動市場來說是非常誘人的。另外,采用移動IPv6之后將不再需要NAT,這將使移動IPv6的部署更加簡單直接,由于不再需要管理內(nèi)部地址與公網(wǎng)地址之間的網(wǎng)絡(luò)地址翻譯和地址映射,網(wǎng)絡(luò)的部署工作只需要管理比移動IPv4少的網(wǎng)絡(luò)元素和協(xié)議即可。
(2)可以實現(xiàn)端到端的對等通信
NAT被廣泛地使用在互聯(lián)網(wǎng)上,絕大多數(shù)的應(yīng)用都是基于客戶端/服務(wù)器的方式。這種狀況完全無法滿足人們對未來移動網(wǎng)絡(luò)的要求。移動手機之間以及與其他網(wǎng)絡(luò)設(shè)備之間的通信絕大部分都要求是對等的,因此需要有全球地址而不是內(nèi)部地址。去掉NAT將使通信真正實現(xiàn)全球任意點到任意點的連接。
(3)地址的結(jié)構(gòu)層次更加優(yōu)化
移動IPv6不僅能提供大量的IP地址以滿足移動通信的飛速發(fā)展,而且可以根據(jù)地區(qū)注冊機構(gòu)的政策來定義移動IPv6地址的層次結(jié)構(gòu),從而減小路由表的大小,并且可以通過地區(qū)本地地址和選路控制來定義某個組織的內(nèi)部網(wǎng)絡(luò)。
(4)內(nèi)嵌的安全機制
移動IPv6將安全作為標準的有機組成部分,安全的部署是在更加協(xié)調(diào)統(tǒng)一的層次上,而不是像IPv4那樣通過疊加的解決方案來實現(xiàn)。通過移動IPv6中的IPsec可以對IP層上(也就是運行在IP層上的所有應(yīng)用)的通信提供加密/授權(quán)。通過移動IPv6可以實現(xiàn)遠程企業(yè)內(nèi)部網(wǎng)(如企業(yè)VPN網(wǎng)絡(luò))的無縫接入,并且可以實現(xiàn)永遠連接。
(5)能夠?qū)崿F(xiàn)地址的自動配置
移動IPv6中主機地址的配置方法要比移動IPv4中的多,任何主機IPv6的地址配置包括無狀態(tài)自動配置、全狀態(tài)自動配置和靜態(tài)地址。這意味著在移動IPv6環(huán)境中的編址方式能夠?qū)崿F(xiàn)更加有效率的自我管理,使得移動、增加和更改都更加容易,并且顯著降低網(wǎng)絡(luò)管理的成本。
(6)服務(wù)質(zhì)量(QoS)提高
服務(wù)質(zhì)量是多種因素的綜合問題。從協(xié)議的角度來看,移動IPv6的頭標增加了一個流標記域,20位長的流標記域使得任何網(wǎng)絡(luò)的中間點都能夠確定并區(qū)別對待某個IP地址的數(shù)據(jù)流。
(7)移動性更好
移動IPv6實現(xiàn)了完整的IP層的移動性。特別是面對移動終端數(shù)量劇增,只有移動IPv6才能為每個設(shè)備分配一個永久的全球IP地址。由于移動IPv6很容易擴展、有能力處理大規(guī)模移動性的要求,所以它將能解決全球范圍的網(wǎng)絡(luò)和各種接入技術(shù)之間的移動性問題。
(8)結(jié)構(gòu)比移動IPv4更加簡單并且容易部署
由于每個IPv6的主機都必須具備通信節(jié)點(CN)的功能,當(dāng)與運行移動IPv6的主機通信時,每個IPv6主機都可以執(zhí)行路由的優(yōu)化,從而避免三角路由問題。另外,與移動IPv4不同的是,移動IPv6中不再需要外地代理(FA)。IPv6地址的自動配置還簡化了移動節(jié)點轉(zhuǎn)交地址(CoS)的分配。
4、移動IPv6技術(shù)在3G核心網(wǎng)中的應(yīng)用
無論是3GPP的UMTS還是3GPP2的CDMA2000系統(tǒng),它們的系統(tǒng)架構(gòu)都將向全IP的方向演進和發(fā)展,包括對、數(shù)據(jù)、多媒體等業(yè)務(wù)形式的承載是基于IP的;端到端的業(yè)務(wù)呼叫模型是基于IP的;RAN及CN核心的網(wǎng)絡(luò)交換和呼叫控制也是基于IP的。而在3G/B3G的系統(tǒng)規(guī)劃中,3GPP、3GPP2規(guī)范的方向均確定了IPv6是3G/B3G網(wǎng)絡(luò)承載、業(yè)務(wù)應(yīng)用的發(fā)展方向。在3G/B3G的IMS階段,網(wǎng)絡(luò)系統(tǒng)(包括分組域和電路域)將全面基于或兼容IPv6。
移動IP技術(shù)是在原有IP技術(shù)上引入的一種新的路由策略,上層基于IP地址的業(yè)務(wù)不會因為節(jié)點的移動而中斷,這種可移動性是建立在第三層的基礎(chǔ)上的,因而可以屏蔽底層鏈路的異質(zhì)性。在UMTS中引入移動IP技術(shù)是為了彌補原有移動通信系統(tǒng)中移動性管理的不足。
在UMTS中應(yīng)用移動IPv6的原理如圖2所示。圖中,實線表示UE到歸屬地的注冊過程;虛線表示UE和通信節(jié)點間的綁定過程,這是UE給通信節(jié)點發(fā)送數(shù)據(jù)的通道,也是UE和通信節(jié)點綁定后,數(shù)據(jù)從通信節(jié)點到UE的通道;點劃線表示CN發(fā)向UE的數(shù)據(jù)報首先被路由到歸屬地代理。
圖2 在UMTS中應(yīng)用移動IPv6的工作原理
一個移動的UE開機時,首先檢測是否在其歸屬地網(wǎng)絡(luò)中。如果是,則不需要移動IP的相關(guān)操作(包括地址分配和隧道建立),但是,必須每隔一段時間檢測是否在歸屬地網(wǎng)絡(luò)。防火墻的安置隨安全性要求的強弱而定,一般安置在GGSN和外部網(wǎng)絡(luò)的連接處。如果UE檢測到當(dāng)前的網(wǎng)絡(luò)不是歸屬地網(wǎng)絡(luò),那么,當(dāng)前網(wǎng)絡(luò)的GGSN或者與GGSN相連的DHCP(動態(tài)主機配置協(xié)議)服務(wù)器通過動態(tài)地址分配方案給UE分配一個臨時的IP地址,稱為轉(zhuǎn)交地址(Care of Address,CA)。然后,UE將CA和HA(歸屬地地址)向HPLMN(歸屬公共陸地移動網(wǎng))的歸屬地代理(在圖2中的歸屬地代理可以由GGSN或者歸屬地網(wǎng)絡(luò)的邊緣路由器來充當(dāng))發(fā)送綁定請求報文,告訴歸屬地代理當(dāng)前的CA。歸屬地代理接收后,發(fā)送綁定響應(yīng)給UE,這樣綁定過程完成。歸屬地代理將引導(dǎo)所有發(fā)送給UE的數(shù)據(jù)報傳輸?shù)綒w屬地代理,然后通過隧道傳送到UE當(dāng)前的CA處(UE實際位置)。移動節(jié)點發(fā)送數(shù)據(jù)包時,把一個CA作為源地址,將歸屬地地址寫入歸屬地地址選項中,這樣可以解決入口過濾的問題(因為有的路由器具有源路由過濾功能)。與UE通信的節(jié)點(CN)將歸屬地地址拷貝到源地址中,這樣對上層來說,就認為數(shù)據(jù)報是從源地址發(fā)送過來的,并沒有感受到UE的移動,這保證了移動對上層的透明性。UE收到CN的數(shù)據(jù)報后,會直接發(fā)送綁定請求給CN,CN接收后,發(fā)送綁定響應(yīng)給UE,以后的數(shù)據(jù)報直接發(fā)送到CA處,而不用通過歸屬地代理進行中轉(zhuǎn),這是移動IPv6優(yōu)化路由的特點。所有這些都是在第三層完成的,上層的數(shù)據(jù)通信感覺不到這種變化,也就是說,基于IP的應(yīng)用不會因為UE的移動而終止。
5、結(jié)束語
3G的發(fā)展方向?qū)⑹且粋全IP的分組網(wǎng)絡(luò),3G業(yè)務(wù)將以數(shù)據(jù)和互聯(lián)網(wǎng)業(yè)務(wù)為主,在3G網(wǎng)絡(luò)上將承載實時、移動多媒體、移動電子商務(wù)等多種業(yè)務(wù),因此在計費、漫游、應(yīng)用、終端等方面會更加復(fù)雜,IPv6將是實現(xiàn)這些服務(wù)的關(guān)鍵。如果說3G的發(fā)展推動了IPv6的發(fā)展和標準化,那么IPv6協(xié)議的諸多優(yōu)越特性則為3G網(wǎng)絡(luò)的發(fā)展奠定了堅實的基礎(chǔ),IPv6有龐大的地址空間、對移動性有良好的支持、有服務(wù)質(zhì)量的保證機制、安全性和地址自動分配機制等。3GPP將IPv6作為3G必須遵循的標準,國內(nèi)外很多通信廠商正致力于構(gòu)建基于IPv6的全IP的3G核心網(wǎng)(All-IP Core)。
但是移動IPv6是一項新的網(wǎng)絡(luò)基礎(chǔ)技術(shù),從標準到研發(fā)到部署到應(yīng)用的過程中還有很多細節(jié)沒有經(jīng)過驗證。對于運營商來說,將面臨著來自多方面(如技術(shù)、成本、經(jīng)濟、應(yīng)用等)的挑戰(zhàn)。在對當(dāng)前技術(shù)、市場需求了解以及對IPv6、3G等技術(shù)發(fā)展趨勢深刻把握的基礎(chǔ)上,中國的移動運營商需要在建設(shè)IPv6商用網(wǎng)之前,積累足夠的IPv6網(wǎng)絡(luò)建設(shè)和運營經(jīng)驗,以便為建設(shè)基于IPv6的3G網(wǎng)絡(luò)和順利地將現(xiàn)有的移動互聯(lián)網(wǎng)向IPv6遷移做好準備。
來源:中國聯(lián)通網(wǎng)站