CDMA网络的部署不仅为用户提供了高速的无线连接,也为用户接入到互联网提供了更加丰富的接入手段。为在 cdma2000网络中向用户提供高速的分组数据业务,3GPP2的无线网络参考模型中引入了分组域功能实体,并定义了基于IP技术的网络接口。从业务实现上来讲,分组数据业务又可以分为简单IP和移动IP(MIP)两大类型。其中,简单IP业务是cdma2000网络中最基本的分组数据业务模式,类似于我们所熟悉的拨号业务。移动IP业务则为移动数据用户提供了更加完善的移动性支持,移动数据用户可以在无线网络内获得无缝服务,与之对应的分组域技术也有所不同。
1、前言
CDMA网络的部署不仅为用户提供了高速的无线连接,也为用户接入到互联网提供了更加丰富的接入手段。为在 cdma2000网络中向用户提供高速的分组数据业务,3GPP2的无线网络参考模型中引入了分组域功能实体,并定义了基于IP技术的网络接口。从业务实现上来讲,分组数据业务又可以分为简单IP和移动IP(MIP)两大类型。其中,简单IP业务是cdma2000网络中最基本的分组数据业务模式,类似于我们所熟悉的拨号业务。移动IP业务则为移动数据用户提供了更加完善的移动性支持,移动数据用户可以在无线网络内获得无缝服务,与之对应的分组域技术也有所不同。
由于IPv4地址空间不足,限制了网络和用户数目的发展。采用NAT技术虽然解决了地址不足问题,但破坏了网络端到端的特性,缺少固定地址、永远在线机制,限制了移动IP、IP电话、Push业务的发展。IPv6的采用,不仅满足了未来移动设备对IP地址空间的需求,也让移动终端更易于配置管理(自动配置);而用户对基于IP的应用业务的使用也更为安全方便。CDMA移动网络向IPv6承载过渡是必然趋势,基于此,本文探讨移动IPv6在CDMA网络中的应用事宜。
2、移动IPv6实施的关键问题及目前的解决思路
2.1 移动IPv6服务质量问题
当移动节点改变网络连接点时,数据包经过的中间网络域可能发生变化。因此,在这些网络域中需要提供适当的服务质量支持,这样运行在移动节点上的对服务质量敏感的应用程序才能保持可用的服务等级。
2.1.1 基于RSVP的移动IPv6服务质量体系
基于RSVP(资源预留协议)的移动IPv6服务质量体系提出了一套移动网络中的信令协议,当移动主机从一个子网移动到另一个子网时,允许移动主机在当前位置的路径上建立和维持预留资源。
移动IPv6对QoS的支持主要表现在流标记(flow label)域,流标记是按位产生的伪随机数,在一定的时间内,源端不能重用流标记。流标记为0指示这个包不属于任何流。普通的移动IPv6与RSVP结合,在标识流时有两种方式:一种是基于移动节点的家乡地址来标识流的源端或者目的端;另一种方式是用移动节点的转交地址(COA)来标识流的源端或者目的端。但不论是哪种方式,都存在一些问题:如果使用移动节点的家乡地址来标识流,则可能会出现包分类的不匹配问题,预留路径上中间路由器的包分类将可能是基于移动节点的家乡地址而不是基于移动节点的转交地址,因此该种方法是不可行的。如果用移动节点的转交地址来标识流,当移动节点移动到另一个子网时,携带了新的转交地址的PATH消息与RESV消息将会触发预留路径上的路由器进行新的资源预留,而不是重用原来的资源预留,即使新路径只是在旧路径基础上的简单更改。因此,无论移动节点作为源端或目的端,都必须在切换后的新路径上重新进行资源预留,不能实现流透明。
针对移动IPv6 QoS模型的不足,通过对移动IPv6和RSVP进行扩展,出现了一些改进的移动IPv6 QoS模型。其中包括新加坡国立大学Charles Qi Shen提出的“流透明的移动IPv6 QoS模型”,德国柏林工业大学的Xiaoming Fu提出的“移动IPv6基于条件的QoS切换模型”等。
Charles Qi Shen的方法为了实现流透明,把移动节点发出的包的“家乡地址选项”的存放位置由目的地选项头标改为中继点选项头标(hop-by-hop option header),需要路径上所有的中间路由器都对每个包的中继点选项头标进行检查,当路径经过的路由器非常多时代价很大,因此这种移动IPv6 QoS模型没有可扩展性。
Xiaoming Fu的方法采用了基于层次化管理的QoS条件切换机制,减少了域内切换时的信令的数目,但只是提出了一种框架,并没有具体的QoS处理机制,而且没有考虑流透明。
2.1.2 基于区分服务的移动IPv6服务质量体系
基于区分服务的移动IPv6服务质量体系中,每个管理域中至少有一个全局服务器,称为全局服务质量代理(GQA),在控制面上;有几个归属节点作为归属服务质量代理(LQA),在传输面上。GQA和LQA之间的通信采用COPS(common open policy service)。由于在中心服务器上保留全局信息,并且将控制和数据传输分开,因此用于移动环境时非常灵活,易于添加新的服务,并且更加有效。该结构还考虑了集成移动IPv6和区分服务的其它问题,如移动环境下的网络资源提供、缺乏动态配置问题、服务等级约定的定义和选择、移动数据流的标识和计费问题等。但区分服务用于移动IP中存在以下问题:
●区分服务比较适用于设计周全、带宽合理分配的网络,支持移动环境的网络由于网络中的节点随时移动,因而业务量模型比较复杂。
●在区分服务中,不同QoS区域(如不同的ISP提供的网络)的业务等级协商(SLA)常常是静态的,移动IP的高动态环境与区分服务的静态带宽分配是相矛盾的,因此为了MN的动态带宽分配需要,必须支持动态的业务等级协商。
●在不同QoS区域的入口处,网络的边缘路由器要对分组流进行识别,传统分组流可以通过分组头标上的五元组来识别。而移动IPv6中的分组的源IP地址(MN发送的分组)或目的IP地址(MN接收的分组)是MN的转交地址,该地址是随着节点的移动动态地变化。
为了在移动IP网络上实现区分服务,应精细设计提供移动服务的网络,动态预测移动节点对带宽的需求和接入的MN数,或采用资源预留等信令机制,更准确地预测满足移动节点QoS所需的带宽。
2.1.3 移动IPv6的头标压缩
由于无线链路传输速率较低、误码率较高,在无线网络上传输IP分组的主要问题就是头标的开销过大。例如,一帧音频数据净荷通常只有15-32byte,而在移动IPv6环境中传输该数据需要40byte的IPv6头标,20byte的信宿选项头标或24byte的寻路头标,8byte的传输层UDP(用户数据报协议)头标和12byte的RTP(实时传输协议)头标。总共的头标开销是80或84byte,如果通信对端也是MN,那么分组的IP/UDP/RTP加在一起的头标开销有104byte。这不仅浪费带宽,同时还使分组因出错而被丢弃的概率增大。
事实上,在传输过程中,同一个数据流的分组的IPv6头标有很多域是相同的,例如,版本、流标记、下一个头标以及源地址、目的地址在一个小区内都是不变的。动态变化的部分只有业务量等级、中继点限制。此外,信宿选项头标和寻路头标中每个域都是静态不变的。因此,头标压缩的基本思路是:在无线链路上仅仅在数据流开始时发送完整的IP分组及相应的选项头标,后续的IP分组的头标域可以只传输变化的部分和相对于同一个流的关联识别符,以实现有效地利用带宽。但由于用户在不断的移动中,因此,有效的头标压缩算法和数据流压缩同步规程是关键所在。
IS-835C中指定了两种头标压缩机制:
●选项S061,使用LLA-ROHC来压缩RTP/UDP/IP头标,接近0byte。
●选项S060,删除头标,再使用物理信道来再生。
S061的好处是,LLA-ROHC可以被用于VoIP以及其它多媒体应用,可根据RTP时间戳来同步语音和视频流,缺点是实现复杂。S060实现简单,但不能被用于非VoIP应用。
2.1.4 影响服务质量的其它问题
MN在越区切换时引入的分组传输延时和分组丢失也是移动IP急需解决的问题,这个问题不解决,移动IP的QoS保证就无从谈起。
目前,关于移动IP快速切换的提案很多,基本思路主要有:分组缓存、组播和基于移动触发的预先切换等。另外,移动IP的资源预留、MN注册过程中的认证以及移动IPv6头标压缩的同步规程都将在MN的切换过程中引入延时,因此移动IP的越区切换需要更加有效的方法。
2.2 移动IPv6安全、认证及DoS防御
2.2.1 移动IPv6面临的安全威胁
当网络体系结构上添加新的功能时,通常会引入一些新的安全隐患:
●对移动IPv6来说,由于MN的移动需要经常向家乡代理和CN发送绑定更新报文,这一特征引入了诸多安全问题。其中最大的威胁是绑定更新报文具有对分组的重定向功能,攻击者通过冒充MN向CN发送绑定更新报文,就可以将发往MN的分组重定向到攻击者指定的地点。
●DoS(denial of service)攻击,攻击者能够阻塞未受保护链路上的所有业务量,也能够阻止MN与其它节点的通信。
●在移动IPv4协议中,移动节点获得转交地址前,外地代理会对移动节点进行认证等处理,但是,在移动IPv6中没有外地代理,这意味着移动访问的安全策略工作需要由被访问网络的路由器来完成。
●家乡地址选项的运用虽然解决了网络入口过滤路由器的问题,但却暴露了MN当前的位置信息,这给某些希望隐藏MN位置信息的通信带来了安全威胁。
2.2.2 移动IPv6的安全保护
移动IPv6规定了IPSec作为MN的绑定更新报文的安全保护,但在利用IPSec通信之前收发双方需要事先建立安全关联,即决定采用哪种认证、加密算法。一般认为,MN与其本地代理很容易建立安全关联,但大多数情况下,MN与CN不存在安全关联或其它安全关系。
采用IPSec的另外一个问题是,它依赖于PKI,而PKI的建设是一个复杂的工程。IPSec的密钥管理要求终端具有很强的处理能力,未来使用移动IP的设备诸如手机、PDA计算能力都很弱,而且能耗也需要考虑,因此要求进行大量计算的安全机制不太适合这些设备。为此目前也在讨论一种轻量级的安全保护协议,如定制密钥(PBK,purpose built key)。
PBK协议中,在每一个移动IP会话之前,通信双方产生一对新的公钥/私钥,这对密钥匙是临时的,只有通信双方能够使用,无需向第三方注册。当会话结束时,密钥失效。PBK协议简单,但安全性没有IPSec好,如没有解决中间人攻击等问题,并且PBK实现的不是用户认证,而是设备认证。
2.2.3 移动IPv6中DoS的防御
在移动IPv6中DoS表现形式为:
●黑客向本地代理发出伪造的注册请求,把自己的IP地址当作移动节点的转交地址,在注册成功后,本地代理将根据黑客注册的转交地址,把目的地址是移动节点的数据分组通过隧道送给黑客,黑客得到应送给移动节点的数据,而真正的移动节点却被拒绝服务。
●黑客以数据分组不断轰炸服务器,服务器不得不处理这些请求,并为每一个请求分配资源,而无法响应其它有用信息。
作者:张云勇 张智江 施万亚等 来源:中国联通