移动IPv6实施的关键问题及在CDMA网络中的应用
摘要 IPv4的NAT缺陷、缺乏固定地址限制了CDMA网络中移动IP业务的发展,CDMA移动网络向IPv6承载过渡是必然趋势。本文探讨了移动IPv6在CDMA网络中的应用,着重分析了CDMA网络中应用移动IPv6所面临的服务质量、安全、认证、DNS自动发现、演进等问题,并对现有CDMA网络实体的改动加以阐述。
1、前言
CDMA网络的部署不仅为用户提供了高速的无线连接,也为用户接入到互联网提供了更加丰富的接入手段。为在 cdma2000网络中向用户提供高速的分组数据业务,3GPP2的无线网络参考模型中引入了分组域功能实体,并定义了基于IP技术的网络接口。从业务实现上来讲,分组数据业务又可以分为简单IP和移动IP(MIP)两大类型。其中,简单IP业务是cdma2000网络中最基本的分组数据业务模式,类似于我们所熟悉的拨号业务。移动IP业务则为移动数据用户提供了更加完善的移动性支持,移动数据用户可以在无线网络内获得无缝服务,与之对应的分组域技术也有所不同。
由于IPv4地址空间不足,限制了网络和用户数目的发展。采用NAT技术虽然解决了地址不足问题,但破坏了网络端到端的特性,缺少固定地址、永远在线机制,限制了移动IP、IP电话、Push业务的发展。IPv6的采用,不仅满足了未来移动设备对IP地址空间的需求,也让移动终端更易于配置管理(自动配置);而用户对基于IP的应用业务的使用也更为安全方便。CDMA移动网络向IPv6承载过渡是必然趋势,基于此,本文探讨移动IPv6在CDMA网络中的应用事宜。
2、移动IPv6实施的关键问题及目前的解决思路
2.1 移动IPv6服务质量问题
当移动节点改变网络连接点时,数据包经过的中间网络域可能发生变化。因此,在这些网络域中需要提供适当的服务质量支持,这样运行在移动节点上的对服务质量敏感的应用程序才能保持可用的服务等级。
2.1.1 基于RSVP的移动IPv6服务质量体系
基于RSVP(资源预留协议)的移动IPv6服务质量体系提出了一套移动网络中的信令协议,当移动主机从一个子网移动到另一个子网时,允许移动主机在当前位置的路径上建立和维持预留资源。
移动IPv6对QoS的支持主要表现在流标记(flow label)域,流标记是按位产生的伪随机数,在一定的时间内,源端不能重用流标记。流标记为0指示这个包不属于任何流。普通的移动IPv6与RSVP结合,在标识流时有两种方式:一种是基于移动节点的家乡地址来标识流的源端或者目的端;另一种方式是用移动节点的转交地址(COA)来标识流的源端或者目的端。但不论是哪种方式,都存在一些问题:如果使用移动节点的家乡地址来标识流,则可能会出现包分类的不匹配问题,预留路径上中间路由器的包分类将可能是基于移动节点的家乡地址而不是基于移动节点的转交地址,因此该种方法是不可行的。如果用移动节点的转交地址来标识流,当移动节点移动到另一个子网时,携带了新的转交地址的PATH消息与RESV消息将会触发预留路径上的路由器进行新的资源预留,而不是重用原来的资源预留,即使新路径只是在旧路径基础上的简单更改。因此,无论移动节点作为源端或目的端,都必须在切换后的新路径上重新进行资源预留,不能实现流透明。
针对移动IPv6 QoS模型的不足,通过对移动IPv6和RSVP进行扩展,出现了一些改进的移动IPv6 QoS模型。其中包括新加坡国立大学Charles Qi Shen提出的“流透明的移动IPv6 QoS模型”,德国柏林工业大学的Xiaoming Fu提出的“移动IPv6基于条件的QoS切换模型”等。
Charles Qi Shen的方法为了实现流透明,把移动节点发出的包的“家乡地址选项”的存放位置由目的地选项头标改为中继点选项头标(hop-by-hop option header),需要路径上所有的中间路由器都对每个包的中继点选项头标进行检查,当路径经过的路由器非常多时代价很大,因此这种移动IPv6 QoS模型没有可扩展性。 {{分页}}
Xiaoming Fu的方法采用了基于层次化管理的QoS条件切换机制,减少了域内切换时的信令的数目,但只是提出了一种框架,并没有具体的QoS处理机制,而且没有考虑流透明。
2.1.2 基于区分服务的移动IPv6服务质量体系
基于区分服务的移动IPv6服务质量体系中,每个管理域中至少有一个全局服务器,称为全局服务质量代理(GQA),在控制面上;有几个归属节点作为归属服务质量代理(LQA),在传输面上。GQA和LQA之间的通信采用COPS(common open policy service)。由于在中心服务器上保留全局信息,并且将控制和数据传输分开,因此用于移动环境时非常灵活,易于添加新的服务,并且更加有效。该结构还考虑了集成移动IPv6和区分服务的其它问题,如移动环境下的网络资源提供、缺乏动态配置问题、服务等级约定的定义和选择、移动数据流的标识和计费问题等。但区分服务用于移动IP中存在以下问题:
●区分服务比较适用于设计周全、带宽合理分配的网络,支持移动环境的网络由于网络中的节点随时移动,因而业务量模型比较复杂。
●在区分服务中,不同QoS区域(如不同的ISP提供的网络)的业务等级协商(SLA)常常是静态的,移动IP的高动态环境与区分服务的静态带宽分配是相矛盾的,因此为了MN的动态带宽分配需要,必须支持动态的业务等级协商。
●在不同QoS区域的入口处,网络的边缘路由器要对分组流进行识别,传统分组流可以通过分组头标上的五元组来识别。而移动IPv6中的分组的源IP地址(MN发送的分组)或目的IP地址(MN接收的分组)是MN的转交地址,该地址是随着节点的移动动态地变化。
为了在移动IP网络上实现区分服务,应精细设计提供移动服务的网络,动态预测移动节点对带宽的需求和接入的MN数,或采用资源预留等信令机制,更准确地预测满足移动节点QoS所需的带宽。
2.1.3 移动IPv6的头标压缩
由于无线链路传输速率较低、误码率较高,在无线网络上传输IP分组的主要问题就是头标的开销过大。例如,一帧音频数据净荷通常只有15-32byte,而在移动IPv6环境中传输该数据需要40byte的IPv6头标,20byte的信宿选项头标或24byte的寻路头标,8byte的传输层UDP(用户数据报协议)头标和12byte的RTP(实时传输协议)头标。总共的头标开销是80或84byte,如果通信对端也是MN,那么分组的IP/UDP/RTP加在一起的头标开销有104byte。这不仅浪费带宽,同时还使分组因出错而被丢弃的概率增大。
事实上,在传输过程中,同一个数据流的分组的IPv6头标有很多域是相同的,例如,版本、流标记、下一个头标以及源地址、目的地址在一个小区内都是不变的。动态变化的部分只有业务量等级、中继点限制。此外,信宿选项头标和寻路头标中每个域都是静态不变的。因此,头标压缩的基本思路是:在无线链路上仅仅在数据流开始时发送完整的IP分组及相应的选项头标,后续的IP分组的头标域可以只传输变化的部分和相对于同一个流的关联识别符,以实现有效地利用带宽。但由于用户在不断的移动中,因此,有效的头标压缩算法和数据流压缩同步规程是关键所在。
IS-835C中指定了两种头标压缩机制:
●选项S061,使用LLA-ROHC来压缩RTP/UDP/IP头标,接近0byte。
●选项S060,删除头标,再使用物理信道来再生。
S061的好处是,LLA-ROHC可以被用于VoIP以及其它多媒体应用,可根据RTP时间戳来同步语音和视频流,缺点是实现复杂。S060实现简单,但不能被用于非VoIP应用。 {{分页}}
2.1.4 影响服务质量的其它问题
MN在越区切换时引入的分组传输延时和分组丢失也是移动IP急需解决的问题,这个问题不解决,移动IP的QoS保证就无从谈起。
目前,关于移动IP快速切换的提案很多,基本思路主要有:分组缓存、组播和基于移动触发的预先切换等。另外,移动IP的资源预留、MN注册过程中的认证以及移动IPv6头标压缩的同步规程都将在MN的切换过程中引入延时,因此移动IP的越区切换需要更加有效的方法。
2.2 移动IPv6安全、认证及DoS防御
2.2.1 移动IPv6面临的安全威胁
当网络体系结构上添加新的功能时,通常会引入一些新的安全隐患:
●对移动IPv6来说,由于MN的移动需要经常向家乡代理和CN发送绑定更新报文,这一特征引入了诸多安全问题。其中最大的威胁是绑定更新报文具有对分组的重定向功能,攻击者通过冒充MN向CN发送绑定更新报文,就可以将发往MN的分组重定向到攻击者指定的地点。
●DoS(denial of service)攻击,攻击者能够阻塞未受保护链路上的所有业务量,也能够阻止MN与其它节点的通信。
●在移动IPv4协议中,移动节点获得转交地址前,外地代理会对移动节点进行认证等处理,但是,在移动IPv6中没有外地代理,这意味着移动访问的安全策略工作需要由被访问网络的路由器来完成。
●家乡地址选项的运用虽然解决了网络入口过滤路由器的问题,但却暴露了MN当前的位置信息,这给某些希望隐藏MN位置信息的通信带来了安全威胁。
2.2.2 移动IPv6的安全保护
移动IPv6规定了IPSec作为MN的绑定更新报文的安全保护,但在利用IPSec通信之前收发双方需要事先建立安全关联,即决定采用哪种认证、加密算法。一般认为,MN与其本地代理很容易建立安全关联,但大多数情况下,MN与CN不存在安全关联或其它安全关系。
采用IPSec的另外一个问题是,它依赖于PKI,而PKI的建设是一个复杂的工程。IPSec的密钥管理要求终端具有很强的处理能力,未来使用移动IP的设备诸如手机、PDA计算能力都很弱,而且能耗也需要考虑,因此要求进行大量计算的安全机制不太适合这些设备。为此目前也在讨论一种轻量级的安全保护协议,如定制密钥(PBK,purpose built key)。
PBK协议中,在每一个移动IP会话之前,通信双方产生一对新的公钥/私钥,这对密钥匙是临时的,只有通信双方能够使用,无需向第三方注册。当会话结束时,密钥失效。PBK协议简单,但安全性没有IPSec好,如没有解决中间人攻击等问题,并且PBK实现的不是用户认证,而是设备认证。
2.2.3 移动IPv6中DoS的防御
在移动IPv6中DoS表现形式为:
●黑客向本地代理发出伪造的注册请求,把自己的IP地址当作移动节点的转交地址,在注册成功后,本地代理将根据黑客注册的转交地址,把目的地址是移动节点的数据分组通过隧道送给黑客,黑客得到应送给移动节点的数据,而真正的移动节点却被拒绝服务。
●黑客以数据分组不断轰炸服务器,服务器不得不处理这些请求,并为每一个请求分配资源,而无法响应其它有用信息。 {{分页}}
防御伪造注册请求的DoS攻击的有效办法是对移动节点和本地代理之间交换的所有注册信息进行有效的验证。本地代理向MN回送的注册应答消息采用消息摘要方法。
另外,可利用SCTP(流控制传输协议)四路防御DoS攻击。SCTP是面向连接的可靠传送协议,在SCTP中,TCP 中的连接被引申为关联,每个关联都由两个SCTP端口号和两个IP地址列表来标识。SYN flooding利用了TCP/IP中的TCP三次握手,恶意的攻击者大量向服务器发送SYN报文,使得正常的连接无法建立,并在服务器端形成一个非常大的半连接列表而无法接受正常服务。而在SCTP四路握手中,INIT消息的接收端不必保存任何状态信息或分配任何资源,它在发送INIT ACK消息时,采用了“状态cookie”机制。采用这种方式,即使接收更多的INIT消息,接收端也没有任何资源的消耗,它既不分配任何系统资源,也不保存此次新关联的状态,只是把相应重建状态所用的cookie作为参数,包含在每一个回送的INIT ACK消息中,最后该cookie会被cookie-echo消息发送回来,从而防范SYN flooding等方式的DoS攻击。
2.3 IPv6 DNS自动发现
IPv6网络终端可以利用有状态和无状态自动地址获得机制得到地址,DNS服务器同样也需要有自动获得机制。目前有三种机制,路由宣告选项机制(RA option)、DHCPv6选项(DHCPv6 option)和事先配置的任播地址机制。
(1)路由宣告选项机制
RA选项机制定义了一个新的邻居发现(ND)选项RDNSS,包含了DNS服务器地址,可使用现有的ND宣告和请求机制。该方法具有以下优点:
●只是扩展了ND自动配置机制,不需要对ND协议进行大的改动。
●和ND一样,可在多种类型的链路上运作,包括点到点链路、点到多点链路、多播等。
●适用于多种网络环境。
但也存在以下缺点:
●ND大多在操作系统内实现,而DHCPv6在应用层实现。
●由于ND缓冲之间的同步在内核空间中,而DNS配置文件在用户空间中,所以目前的ND框架需要修改。
●路由器需要配置RDNSS地址。
●无线网络环境中,由于多播不稳定,此方法性能不佳。
(2)DHCPv6选项机制
DHCPv6中包含DNS Recursive Name Server选项来指定可以提供名字服务的服务器地址信息,提供名字搜索顺序选项。主要有以下优点:
●方便配置其它信息,如SIP服务器和NTP服务器地址。
●互操作性好。
●已为RFC,标准性好。 {{分页}}
存在以下缺点:
●由于RA消息中不包含DNS信息,主机必须从路由器处接收两个消息。
●增加了延迟,除了必须等待RA消息外,客户还必须和DHCPv6服务器交换报文。
(3)任播地址机制
使用特殊的任播地址,具有以下优点:延迟小,可与其它方法混合使用,在DNS可工作的任意环境下都可以使用。缺点主要有:此方法需要DNS服务器扮演部分路由器角色,向路由系统宣告任播地址。
3、CDMA网络实施移动IPv6有关的问题
3.1 CDMA网络中移动IPv6的演进
CDMA网络中移动IPv6的演进有多种解决方案,如双协议栈技术、隧道技术、协议转换等,下面将就目前主要的几种演进机制进行详细说明。
(1)双协议栈
IPv6和IPv4是功能相近的网络层协议,两者都基于相同的物理平台,而且加载于其上的传输层协议TCP和UDP又没有任何区别。双协议栈,即主机和路由器在同一网络接口上运行IPv4栈和IPv6栈。这样,双栈节点既可以接收和发送IPv4包,也可以接收和发送 IPv6包,因而两个协议可以在同一网络中共存。双协议栈易于实施,但效率较低。
(2)隧道技术
隧道技术的核心思想是通过把IPv6数据报文封装入IPv4数据报文中,让现有IPv4网络成为载体以建立IPv6的通信,隧道两端的节点间数据报文的传送通过IPv4机制进行,隧道被看成一个直接连接的通道。隧道技术只要求在隧道的入口和出口处进行修改,对其它部分没有要求,因而技术实现非常容易。
一个隧道具有一个入口点和一个终点,为了让数据通过,必须知道两个端点的地址。确定入口点是直接的,因为它出现在 IPv4基础结构的边界,确定隧道的终点要复杂一些。根据隧道终点地址的获得方式可将隧道分为配置型隧道和自动型隧道,其中配置型隧道主要用于路由器到路由器,而自动型隧道有以下几种方式:tunnel brokers(RFC 3053)(基于服务器的半自动隧道)、6to4(RFC 3056)(路由器到路由器)、ISATAP(intra-site automatic tunnel addressing protocol)(主机到路由器,路由器到主机,主机到主机)、6over4(RFC 2529)(主机到路由器,路由器到主机)、Teredo(通过IPv4 NAT建立隧道)、IPv64(IPv4/IPv6混合环境下使用)、DSTM(dual stack transition mechanism)(IPv4在IPv6隧道里)。
隧道技术的优点在于隧道的透明性,IPv6主机之间的通信可以忽略隧道的存在,隧道只起到物理通道的作用,不需要大量的 IPv6专用路由器设备和专用链路,可以明显地减少投资。其缺点是:过程繁琐,IPv4主机和IP6主机无法互通。在IPv6网络建设的初期,可以采用这种方式。
(3)翻译机制
目前,翻译机制有多种层次,如网络层翻译器,包括SIIT(stateless IP/ICMP translation algorithm,RFC2765)、NAT-PT(RFC2766)和BIS(bump in the stack,RFC2767);传输层翻译器有TRT(transport relay translator,RFC3142)、BIA(bump in the API,RFC3338)和SOCKS64(RFC3089);应用层翻译器有ALG(application level gateway)。
3.2 移动IPv6的自举
自举(bootstrapping)是指MN必须创建并维护以下三种信息:MN的家乡地址,家乡代理地址,MN与家乡代理之间的IPSec安全关联或者共享密钥,以实现在家乡代理完成注册的过程。一般来讲,MN每次启动、地址前缀变化或当有更优的家乡代理出现时都会进行自举。自举可以看成是移动服务提供商验证移动服务订购者的身份后,为移动服务订购者配置所需参数的过程,有以下两种模式:
●移动服务提供商(MSP)模式的自举,MIPv6认证独立于网络接入认证。
●综合接入服务提供商(IASP)模式的自举,MIPv6认证依赖于网络接入认证。
从网络运营模式方面,移动IPv6服务运营实体可以分为:接入服务提供商(ASP)、MSP和IASP,其中MSP必须通过ASP为其提供业务的基本接入,而IASP自身既是ASP又是MSP。
运营商在网络部署初期,可以先只作为MSP,通过与第三方ASP签订协议,利用其作为用户的网络接入认证,而自己为用户进行移动IPv6自举。后期则可采用基于IASP模式的自举,同时进行网络接入认证与自举过程,更易于实现可运营、可管理,但部署难度相对较大。
目前自举过程本身尚有不足之处,有待进一步研究解决,如MN和处理自举过程的实体间的相互认证和信任关系;如何确保密钥在生命周期内不被盗用;特定HA和地址分配的SA绑定;如何支持SA的多种算法及如何避免拒绝服务攻击等。
3.3 基于业务的承载控制
PDSN充当SBBC(service based bearer control)时候,需要标识会话中的流,但MN到CN的数据是通过MN-HA隧道传送的,对PDSN透明。为了解决此问题,目前方法为移动IP归属地址只使用在SIP信令消息中,而使用IP转交地址来承载。
3.4 移动IPv6与TFT的交互
移动IPv6和TFT(traffic flow template)交互时,有时不能正确映射TFT到IPv6的地址,目前有两种解决方法。方法一是修改SDP(会话描述协议),在draft-ietf -mmusic-sdp-srcfilter-05.txt中描述,此方法方便,但效率较低。方法二是在移动性选项中增加转交地址移动性选项,此方法复杂,但效率较高。
3.5 互通问题
3GPP标准要求IMS使用IPv6,并确立了其惟一性。3GPP2出于两种体系融合的考虑,也采用了IMS模式。现阶段最突出的问题是IETF与3GPP/3GPP2 SIP网元之间的差异,以及IMS与外部使用IPv4的SIP设备之间的互通性。
3.6 认证问题
在蜂窝网络中,基于SIM的认证过程中产生的会话密钥也可以用来对移动IPv6中的绑定选项进行加密认证,还可以用来保证运行在IP网络上的其它应用的安全。
理论上讲,可用SIM6机制来为移动节点、家乡代理和一些通信节点的认证提供绑定认证密钥,从而完善在多接入环境中提供移动性所必须的安全机制。但如何在CDMA网络中引入SIM6,并适应机卡分离这一要求,仍然处于探索阶段。
4、实施中对CDMA网络设备的具体要求
PDSN:PDSN需要支持双协议栈,并且能够支持IPv6CP over PPP,即:PDSN如果不是纯IPv6的连接,则可以将IPv6数据通过隧道方式传送到外部。PDSN仍需支持基于IPv4的到PCF的A10和A11 接口。如果PDSN具有纯IPv6连接,而终端协议为IPv4,PDSN必须具有某种翻译机制。
DNS:现有的DNS服务器必须支持双协议栈,包含IPv6业务使用的AAAA记录,能够接受通过IPv4或IPv6的DNS查询。如果运营商希望动态配置归属地址,HA或者AAAH(归属地AAA)必须在归属地址的DNS改变时,发送DNS更新到DNS服务器。
无线网络:可保持不变,但PCF必须可以基于IPv4的A10和A11接口来与双协议栈的PDSN进行通信。
终端:为双协议栈,支持IS-835规范(cdma2000 wireless IP network)。
HA:如果运营商需要支持永远在线,HA必须为双协议栈,且支持移动IPv6协议。
AS:如果网络为纯IPv6,HTTP服务器、Java、下载等应用服务器必须支持双协议栈。通信协议也需相应改动。
SIP服务器:必须支持双协议栈,且SDP也应支持IPv6。
cdma相关文章:cdma原理
评论