CDMA網(wǎng)絡(luò)的部署不僅為用戶提供了高速的無線連接,也為用戶接入到互聯(lián)網(wǎng)提供了更加豐富的接入手段。為在 cdma2000網(wǎng)絡(luò)中向用戶提供高速的分組數(shù)據(jù)業(yè)務(wù),3GPP2的無線網(wǎng)絡(luò)參考模型中引入了分組域功能實體,并定義了基于IP技術(shù)的網(wǎng)絡(luò)接口。從業(yè)務(wù)實現(xiàn)上來講,分組數(shù)據(jù)業(yè)務(wù)又可以分為簡單IP和移動IP(MIP)兩大類型。其中,簡單IP業(yè)務(wù)是cdma2000網(wǎng)絡(luò)中最基本的分組數(shù)據(jù)業(yè)務(wù)模式,類似于我們所熟悉的撥號業(yè)務(wù)。移動IP業(yè)務(wù)則為移動數(shù)據(jù)用戶提供了更加完善的移動性支持,移動數(shù)據(jù)用戶可以在無線網(wǎng)絡(luò)內(nèi)獲得無縫服務(wù),與之對應(yīng)的分組域技術(shù)也有所不同。
1、前言
CDMA網(wǎng)絡(luò)的部署不僅為用戶提供了高速的無線連接,也為用戶接入到互聯(lián)網(wǎng)提供了更加豐富的接入手段。為在 cdma2000網(wǎng)絡(luò)中向用戶提供高速的分組數(shù)據(jù)業(yè)務(wù),3GPP2的無線網(wǎng)絡(luò)參考模型中引入了分組域功能實體,并定義了基于IP技術(shù)的網(wǎng)絡(luò)接口。從業(yè)務(wù)實現(xiàn)上來講,分組數(shù)據(jù)業(yè)務(wù)又可以分為簡單IP和移動IP(MIP)兩大類型。其中,簡單IP業(yè)務(wù)是cdma2000網(wǎng)絡(luò)中最基本的分組數(shù)據(jù)業(yè)務(wù)模式,類似于我們所熟悉的撥號業(yè)務(wù)。移動IP業(yè)務(wù)則為移動數(shù)據(jù)用戶提供了更加完善的移動性支持,移動數(shù)據(jù)用戶可以在無線網(wǎng)絡(luò)內(nèi)獲得無縫服務(wù),與之對應(yīng)的分組域技術(shù)也有所不同。
由于IPv4地址空間不足,限制了網(wǎng)絡(luò)和用戶數(shù)目的發(fā)展。采用NAT技術(shù)雖然解決了地址不足問題,但破壞了網(wǎng)絡(luò)端到端的特性,缺少固定地址、永遠在線機制,限制了移動IP、IP電話、Push業(yè)務(wù)的發(fā)展。IPv6的采用,不僅滿足了未來移動設(shè)備對IP地址空間的需求,也讓移動終端更易于配置管理(自動配置);而用戶對基于IP的應(yīng)用業(yè)務(wù)的使用也更為安全方便。CDMA移動網(wǎng)絡(luò)向IPv6承載過渡是必然趨勢,基于此,本文探討移動IPv6在CDMA網(wǎng)絡(luò)中的應(yīng)用事宜。
2、移動IPv6實施的關(guān)鍵問題及目前的解決思路
2.1 移動IPv6服務(wù)質(zhì)量問題
當移動節(jié)點改變網(wǎng)絡(luò)連接點時,數(shù)據(jù)包經(jīng)過的中間網(wǎng)絡(luò)域可能發(fā)生變化。因此,在這些網(wǎng)絡(luò)域中需要提供適當?shù)姆⻊?wù)質(zhì)量支持,這樣運行在移動節(jié)點上的對服務(wù)質(zhì)量敏感的應(yīng)用程序才能保持可用的服務(wù)等級。
2.1.1 基于RSVP的移動IPv6服務(wù)質(zhì)量體系
基于RSVP(資源預留協(xié)議)的移動IPv6服務(wù)質(zhì)量體系提出了一套移動網(wǎng)絡(luò)中的信令協(xié)議,當移動主機從一個子網(wǎng)移動到另一個子網(wǎng)時,允許移動主機在當前位置的路徑上建立和維持預留資源。
移動IPv6對QoS的支持主要表現(xiàn)在流標記(flow label)域,流標記是按位產(chǎn)生的偽隨機數(shù),在一定的時間內(nèi),源端不能重用流標記。流標記為0指示這個包不屬于任何流。普通的移動IPv6與RSVP結(jié)合,在標識流時有兩種方式:一種是基于移動節(jié)點的家鄉(xiāng)地址來標識流的源端或者目的端;另一種方式是用移動節(jié)點的轉(zhuǎn)交地址(COA)來標識流的源端或者目的端。但不論是哪種方式,都存在一些問題:如果使用移動節(jié)點的家鄉(xiāng)地址來標識流,則可能會出現(xiàn)包分類的不匹配問題,預留路徑上中間路由器的包分類將可能是基于移動節(jié)點的家鄉(xiāng)地址而不是基于移動節(jié)點的轉(zhuǎn)交地址,因此該種方法是不可行的。如果用移動節(jié)點的轉(zhuǎn)交地址來標識流,當移動節(jié)點移動到另一個子網(wǎng)時,攜帶了新的轉(zhuǎn)交地址的PATH消息與RESV消息將會觸發(fā)預留路徑上的路由器進行新的資源預留,而不是重用原來的資源預留,即使新路徑只是在舊路徑基礎(chǔ)上的簡單更改。因此,無論移動節(jié)點作為源端或目的端,都必須在切換后的新路徑上重新進行資源預留,不能實現(xiàn)流透明。
針對移動IPv6 QoS模型的不足,通過對移動IPv6和RSVP進行擴展,出現(xiàn)了一些改進的移動IPv6 QoS模型。其中包括新加坡國立大學Charles Qi Shen提出的“流透明的移動IPv6 QoS模型”,德國柏林工業(yè)大學的Xiaoming Fu提出的“移動IPv6基于條件的QoS切換模型”等。
Charles Qi Shen的方法為了實現(xiàn)流透明,把移動節(jié)點發(fā)出的包的“家鄉(xiāng)地址選項”的存放位置由目的地選項頭標改為中繼點選項頭標(hop-by-hop option header),需要路徑上所有的中間路由器都對每個包的中繼點選項頭標進行檢查,當路徑經(jīng)過的路由器非常多時代價很大,因此這種移動IPv6 QoS模型沒有可擴展性。
Xiaoming Fu的方法采用了基于層次化管理的QoS條件切換機制,減少了域內(nèi)切換時的信令的數(shù)目,但只是提出了一種框架,并沒有具體的QoS處理機制,而且沒有考慮流透明。
2.1.2 基于區(qū)分服務(wù)的移動IPv6服務(wù)質(zhì)量體系
基于區(qū)分服務(wù)的移動IPv6服務(wù)質(zhì)量體系中,每個管理域中至少有一個全局服務(wù)器,稱為全局服務(wù)質(zhì)量代理(GQA),在控制面上;有幾個歸屬節(jié)點作為歸屬服務(wù)質(zhì)量代理(LQA),在傳輸面上。GQA和LQA之間的通信采用COPS(common open policy service)。由于在中心服務(wù)器上保留全局信息,并且將控制和數(shù)據(jù)傳輸分開,因此用于移動環(huán)境時非常靈活,易于添加新的服務(wù),并且更加有效。該結(jié)構(gòu)還考慮了集成移動IPv6和區(qū)分服務(wù)的其它問題,如移動環(huán)境下的網(wǎng)絡(luò)資源提供、缺乏動態(tài)配置問題、服務(wù)等級約定的定義和選擇、移動數(shù)據(jù)流的標識和計費問題等。但區(qū)分服務(wù)用于移動IP中存在以下問題:
●區(qū)分服務(wù)比較適用于設(shè)計周全、帶寬合理分配的網(wǎng)絡(luò),支持移動環(huán)境的網(wǎng)絡(luò)由于網(wǎng)絡(luò)中的節(jié)點隨時移動,因而業(yè)務(wù)量模型比較復雜。
●在區(qū)分服務(wù)中,不同QoS區(qū)域(如不同的ISP提供的網(wǎng)絡(luò))的業(yè)務(wù)等級協(xié)商(SLA)常常是靜態(tài)的,移動IP的高動態(tài)環(huán)境與區(qū)分服務(wù)的靜態(tài)帶寬分配是相矛盾的,因此為了MN的動態(tài)帶寬分配需要,必須支持動態(tài)的業(yè)務(wù)等級協(xié)商。
●在不同QoS區(qū)域的入口處,網(wǎng)絡(luò)的邊緣路由器要對分組流進行識別,傳統(tǒng)分組流可以通過分組頭標上的五元組來識別。而移動IPv6中的分組的源IP地址(MN發(fā)送的分組)或目的IP地址(MN接收的分組)是MN的轉(zhuǎn)交地址,該地址是隨著節(jié)點的移動動態(tài)地變化。
為了在移動IP網(wǎng)絡(luò)上實現(xiàn)區(qū)分服務(wù),應(yīng)精細設(shè)計提供移動服務(wù)的網(wǎng)絡(luò),動態(tài)預測移動節(jié)點對帶寬的需求和接入的MN數(shù),或采用資源預留等信令機制,更準確地預測滿足移動節(jié)點QoS所需的帶寬。
2.1.3 移動IPv6的頭標壓縮
由于無線鏈路傳輸速率較低、誤碼率較高,在無線網(wǎng)絡(luò)上傳輸IP分組的主要問題就是頭標的開銷過大。例如,一幀音頻數(shù)據(jù)凈荷通常只有15-32byte,而在移動IPv6環(huán)境中傳輸該數(shù)據(jù)需要40byte的IPv6頭標,20byte的信宿選項頭標或24byte的尋路頭標,8byte的傳輸層UDP(用戶數(shù)據(jù)報協(xié)議)頭標和12byte的RTP(實時傳輸協(xié)議)頭標?偣驳念^標開銷是80或84byte,如果通信對端也是MN,那么分組的IP/UDP/RTP加在一起的頭標開銷有104byte。這不僅浪費帶寬,同時還使分組因出錯而被丟棄的概率增大。
事實上,在傳輸過程中,同一個數(shù)據(jù)流的分組的IPv6頭標有很多域是相同的,例如,版本、流標記、下一個頭標以及源地址、目的地址在一個小區(qū)內(nèi)都是不變的。動態(tài)變化的部分只有業(yè)務(wù)量等級、中繼點限制。此外,信宿選項頭標和尋路頭標中每個域都是靜態(tài)不變的。因此,頭標壓縮的基本思路是:在無線鏈路上僅僅在數(shù)據(jù)流開始時發(fā)送完整的IP分組及相應(yīng)的選項頭標,后續(xù)的IP分組的頭標域可以只傳輸變化的部分和相對于同一個流的關(guān)聯(lián)識別符,以實現(xiàn)有效地利用帶寬。但由于用戶在不斷的移動中,因此,有效的頭標壓縮算法和數(shù)據(jù)流壓縮同步規(guī)程是關(guān)鍵所在。
IS-835C中指定了兩種頭標壓縮機制:
●選項S061,使用LLA-ROHC來壓縮RTP/UDP/IP頭標,接近0byte。
●選項S060,刪除頭標,再使用物理信道來再生。
S061的好處是,LLA-ROHC可以被用于VoIP以及其它多媒體應(yīng)用,可根據(jù)RTP時間戳來同步語音和視頻流,缺點是實現(xiàn)復雜。S060實現(xiàn)簡單,但不能被用于非VoIP應(yīng)用。
2.1.4 影響服務(wù)質(zhì)量的其它問題
MN在越區(qū)切換時引入的分組傳輸延時和分組丟失也是移動IP急需解決的問題,這個問題不解決,移動IP的QoS保證就無從談起。
目前,關(guān)于移動IP快速切換的提案很多,基本思路主要有:分組緩存、組播和基于移動觸發(fā)的預先切換等。另外,移動IP的資源預留、MN注冊過程中的認證以及移動IPv6頭標壓縮的同步規(guī)程都將在MN的切換過程中引入延時,因此移動IP的越區(qū)切換需要更加有效的方法。
2.2 移動IPv6安全、認證及DoS防御
2.2.1 移動IPv6面臨的安全威脅
當網(wǎng)絡(luò)體系結(jié)構(gòu)上添加新的功能時,通常會引入一些新的安全隱患:
●對移動IPv6來說,由于MN的移動需要經(jīng)常向家鄉(xiāng)代理和CN發(fā)送綁定更新報文,這一特征引入了諸多安全問題。其中最大的威脅是綁定更新報文具有對分組的重定向功能,攻擊者通過冒充MN向CN發(fā)送綁定更新報文,就可以將發(fā)往MN的分組重定向到攻擊者指定的地點。
●DoS(denial of service)攻擊,攻擊者能夠阻塞未受保護鏈路上的所有業(yè)務(wù)量,也能夠阻止MN與其它節(jié)點的通信。
●在移動IPv4協(xié)議中,移動節(jié)點獲得轉(zhuǎn)交地址前,外地代理會對移動節(jié)點進行認證等處理,但是,在移動IPv6中沒有外地代理,這意味著移動訪問的安全策略工作需要由被訪問網(wǎng)絡(luò)的路由器來完成。
●家鄉(xiāng)地址選項的運用雖然解決了網(wǎng)絡(luò)入口過濾路由器的問題,但卻暴露了MN當前的位置信息,這給某些希望隱藏MN位置信息的通信帶來了安全威脅。
2.2.2 移動IPv6的安全保護
移動IPv6規(guī)定了IPSec作為MN的綁定更新報文的安全保護,但在利用IPSec通信之前收發(fā)雙方需要事先建立安全關(guān)聯(lián),即決定采用哪種認證、加密算法。一般認為,MN與其本地代理很容易建立安全關(guān)聯(lián),但大多數(shù)情況下,MN與CN不存在安全關(guān)聯(lián)或其它安全關(guān)系。
采用IPSec的另外一個問題是,它依賴于PKI,而PKI的建設(shè)是一個復雜的工程。IPSec的密鑰管理要求終端具有很強的處理能力,未來使用移動IP的設(shè)備諸如手機、PDA計算能力都很弱,而且能耗也需要考慮,因此要求進行大量計算的安全機制不太適合這些設(shè)備。為此目前也在討論一種輕量級的安全保護協(xié)議,如定制密鑰(PBK,purpose built key)。
PBK協(xié)議中,在每一個移動IP會話之前,通信雙方產(chǎn)生一對新的公鑰/私鑰,這對密鑰匙是臨時的,只有通信雙方能夠使用,無需向第三方注冊。當會話結(jié)束時,密鑰失效。PBK協(xié)議簡單,但安全性沒有IPSec好,如沒有解決中間人攻擊等問題,并且PBK實現(xiàn)的不是用戶認證,而是設(shè)備認證。
2.2.3 移動IPv6中DoS的防御
在移動IPv6中DoS表現(xiàn)形式為:
●黑客向本地代理發(fā)出偽造的注冊請求,把自己的IP地址當作移動節(jié)點的轉(zhuǎn)交地址,在注冊成功后,本地代理將根據(jù)黑客注冊的轉(zhuǎn)交地址,把目的地址是移動節(jié)點的數(shù)據(jù)分組通過隧道送給黑客,黑客得到應(yīng)送給移動節(jié)點的數(shù)據(jù),而真正的移動節(jié)點卻被拒絕服務(wù)。
●黑客以數(shù)據(jù)分組不斷轟炸服務(wù)器,服務(wù)器不得不處理這些請求,并為每一個請求分配資源,而無法響應(yīng)其它有用信息。
作者:張云勇 張智江 施萬亞等 來源:中國聯(lián)通