NGN中部署移動IP技術相關問題分析

隨著國家CNGI項目的啟動，標志著在國內(nèi)以IPv6為核心的下一代互聯(lián)網(wǎng)絡已經(jīng)逐步從學術研究階段邁向運營實施部署階段，而且在網(wǎng)絡融合以及業(yè)務融合發(fā)展的趨勢之下，圍繞IPv6構建下一代互聯(lián)網(wǎng)絡已經(jīng)是當前階段的主要任務。但是對于網(wǎng)絡建設和業(yè)務研發(fā)而言，圍繞IPv6技術中引入的新特性，諸如移動特性、安全特性等，探討如何與業(yè)務相結合，并且作為業(yè)務引擎為更高層的應用服務，將成為IPv6技術未來發(fā)展的關鍵。移動IP技術作為下一代互聯(lián)網(wǎng)絡的重要特征得到大量的關注，現(xiàn)階段熱點仍然是移動IP當中的技術難點，但是隨著CNGI項目的啟動，研究和分析移動IP在網(wǎng)絡和業(yè)務中的部署問題，已經(jīng)提上了議事日程。下面我們主要論述三個方面的內(nèi)容，首先簡要分析移動IP當中的關鍵技術，主要包括：移動IP信令技術：代理發(fā)現(xiàn)機制、注冊機制、以及綁定更新；隧道技術：IPinIP、最小封裝、以及GRE；安全技術：移動IP安全需求及解決方法；性能增強技術：路由優(yōu)化、切換技術、以及移動管理技術；其次分析移動IP業(yè)務應用部署中需要解決的幾個問題，包括移動IP信令安全問題，用戶安全認證方面的問題，移動設備配置管理的問題，以及移動性能優(yōu)化的問題；最后立足于移動IP發(fā)展方向，對于近期的幾個熱點問題進行介紹。移動IPv6中的關鍵技術簡介我們都知道IP地址本身是一種位置標識信息，因此當通信實體位置發(fā)生變化時(IP地址發(fā)生變化)，建立在IP地址基礎上的應用連接就會發(fā)生中斷，移動IP技術就是針對于這種應用情況的一種解決方法。實質(zhì)上，移動IP技術通過將應用終端位置標識信息和身份標識信息分離開來，引入家鄉(xiāng)地址和轉(zhuǎn)交地地址，解決面向網(wǎng)絡IP層的移動問題。實際上移動問題在不同的研究領域中有不同的解決方法，這是與它們本身所關注的問題角度，以及在網(wǎng)絡分層模型中的所處的位置等因素直接相關的。因此不同的移動技術適合于不同的應用環(huán)境，并且各自存在著不同的技術難點。下面圍繞移動IPv6中的幾個關鍵問題進行分析。如表1所示，對于鏈路層和網(wǎng)絡層以及應用層移動技術的一個比較。移動IP信令技術節(jié)點位置移動檢測類似于移動IPv4技術中的代理發(fā)現(xiàn)機制，在IPv6利用ICMPv6實現(xiàn)位置移動偵測功能，通過匹配網(wǎng)絡前綴的方法可以判斷當前節(jié)點是否發(fā)生移動，然后觸發(fā)移動節(jié)點獲取轉(zhuǎn)交地地址信息。移動IPv6節(jié)點利用有狀態(tài)和無狀態(tài)兩種方式獲取新的轉(zhuǎn)交地地址，以及重復地址檢測手段，保證地址的唯一性。登記注冊登記注冊實現(xiàn)移動節(jié)點家鄉(xiāng)地址和轉(zhuǎn)交地址之間的關聯(lián)，這一過程分為移動節(jié)點和家鄉(xiāng)代理之間的登記注冊，以及移動節(jié)點和通信節(jié)點之間的登記注冊。通過綁定更新消息建立新的地址關聯(lián)，但是這一過程中由于涉及不同的通信實體對象，因此登記注冊信令需要考慮不同的安全需求。動態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)移動IPv6利用動態(tài)家鄉(xiāng)代理發(fā)現(xiàn)機制支持多家鄉(xiāng)代理應用，以及家鄉(xiāng)網(wǎng)絡進行重新配置的應用場景。當節(jié)點移動到家鄉(xiāng)網(wǎng)絡之外，可以動態(tài)獲取家鄉(xiāng)代理的地址，或者獲得節(jié)點所在家鄉(xiāng)鏈路的子網(wǎng)前綴信息。這一機制可以提高移動IPv6技術應用的靈活性，但是從安全實現(xiàn)角度考慮，增加廣移動節(jié)點和家鄉(xiāng)代理之間安全關聯(lián)建立的復雜性，因為采用靜態(tài)配置的家鄉(xiāng)代理時，二者之間可以預定義安全關聯(lián)。隧道技術利用移動信令技術建立移動節(jié)點和家鄉(xiāng)代理、以及通信對端之間的地址信息關聯(lián)之后，移動節(jié)點和通信對端之間數(shù)據(jù)通信可以采用兩種方式，第一種就是雙向隧道技術，所有與移動節(jié)點之間的通信，家鄉(xiāng)代理利用代理鄰居發(fā)現(xiàn)通過它們之間的雙向隧道實現(xiàn)數(shù)據(jù)傳輸另一種方式就是路由優(yōu)化方式，引入特定的路由頭可以實現(xiàn)通信對端和移動節(jié)點之間的直接數(shù)據(jù)傳輸，避免通常所說的三角路由的問題。性能增強技術針對移動IP技術所引入的延遲和丟包等問題，目前提出很多的性能增強解決方法，但是這些方法應用時都有一定的局限性?，F(xiàn)階段較為通用的方法包括：快速切換技術、平滑切換技術、以及分層管理技術，它們分別從切換延遲、切換引入的丟包以及移動網(wǎng)絡分層管理效率等角度出發(fā)，改善和增強移動IP的性能。以上我們從技術角度分析移動IP中的相關實現(xiàn)，但是在業(yè)務部署中存在著更多的實際問題有待解決，這些問題的解決直接影響移動IP技術在實際網(wǎng)絡中的應用前景，而且有時會影響到技術最終是否可行。移動IP業(yè)務部署相關問題分析

安全問題從前面的關鍵技術分析不難看出，安全因素將是關系到移動IP部署的一個關鍵之處。從移動IP的通信過程來看，下列三個過程需要提供安全保護：移動節(jié)點與家鄉(xiāng)代理之間的綁定更新過程；移動節(jié)點與通信對端之間綁定更新過程；移動節(jié)點和通信對端之間的數(shù)據(jù)通信階段。從安全角度而言，安全保護需要解決數(shù)據(jù)完整性、數(shù)據(jù)私密性、身份認證以及防否認等問題，而且不同通信對象之間的通信過程往往需要提供不同安全實現(xiàn)方法。我們對這三個通信階段安全機制進行一個分析。移動節(jié)點和家鄉(xiāng)代理之間的信令過程這一過程中需要保證綁定更新消息的數(shù)據(jù)完整性和通信雙方身份認證，通過IPsecESP協(xié)議實現(xiàn)(或者AH)，但是在業(yè)務部署時，我們需要考慮它們之間如何建立安全關聯(lián)，這里有兩種方案可以考慮，第一種情況由于移動節(jié)點和家鄉(xiāng)代理之間存在建立預定義安全關聯(lián)的可能，那么我們可以定義靜態(tài)的預定義的安全關聯(lián)，密鑰的分發(fā)也可以考慮采用離線的過程另外一種情況由于靜態(tài)預定義方法靈活性較差，而且存在著較大的安全漏洞，因此可以采用動態(tài)IKE的方法，提供動態(tài)安全關聯(lián)的建立。對于安全關聯(lián)還存在另一個特殊的要求，家鄉(xiāng)代理需要保證一條安全策略條目與一個{移動節(jié)點家鄉(xiāng)地址，移動代理地址}二元組關聯(lián)，目的是防止非法代理轉(zhuǎn)接代。對于動態(tài)移動前綴發(fā)現(xiàn)同樣需要通過上述類似的安全過程加以保護，對于動態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)不需要安全機制加以保護。移動節(jié)點和通信對端之間的信令過程由于這一信令過程更多的動態(tài)和隨機特性，因此不能通過預定義的安全關聯(lián)方法來實現(xiàn)綁定更新消息的完整性和身份認證。采用雙向可路由測試過程生成綁定管理密鑰(Kbm)，通過移動節(jié)點可證實的路由可達確保移動節(jié)點的身份。數(shù)據(jù)通信過程采用與固定節(jié)點安全機制相同的方法，可以實現(xiàn)數(shù)據(jù)凈荷的安全保護。整個移動IP安全機制如圖2所示。

業(yè)務定位問題在移動環(huán)境下往往會產(chǎn)生很多特定的應用需求，例如一方面部署移動IP后，移動節(jié)點可能仍然需要利用家鄉(xiāng)網(wǎng)絡的一些資源，諸如家鄉(xiāng)網(wǎng)絡中偽打印機資源、磁帶存儲資源、電子郵件服務器資源等等，但是移動節(jié)點需要動態(tài)獲取這些資源的信息，利用TCP／IP協(xié)議并不能支持這種應用，需要引入其他手段滿足這些應用的需求；另一方面移動節(jié)點到達新的外部網(wǎng)絡時，有時需要作為游牧的節(jié)點訪問本地的業(yè)務資源，這樣可以提高網(wǎng)絡的訪問效率，而且移動節(jié)點可以避免在異地網(wǎng)絡中的某些訪問限制。但是TCP／IP協(xié)議中對于資源的訪問的都是基于預知(APrior)，并不支持提供動態(tài)資源訪問機制，因此在解決IP移動問題之后，如何實現(xiàn)對于資源的定位、以及動態(tài)訪問都會影響到移動IP的實際應用，如圖3所示，業(yè)務資源定位實現(xiàn)原理。在移動網(wǎng)絡環(huán)境中需要解決動態(tài)業(yè)務資源的定位和服務提供的問題，特別在考慮移動IP業(yè)務實際部署時，這些問題如何解決將會影響到實際業(yè)務開展。下一階段熱點分析

移動IP技術作為IPv6關鍵特性之一，得到了極大的關注。而且隨著移動IP技術應用在3G網(wǎng)絡中，很多部署實現(xiàn)方面的具體問題已經(jīng)成為當前需要解決的關鍵。

利用NAI代替IP地址作為身份認證的基礎前文安全的身份認證是基于節(jié)點IP地址信息，隨著移動IP應用在移動通信中，特別是在3GPP2中，通過與AAA過程相結合，利用基于NAI的身份認證可能更符合移動通信的需求。

移動IPv6啟動Bootstrapping從前面的論述可以知道，移動節(jié)點需要獲得它們的靜態(tài)家鄉(xiāng)代理地址、家鄉(xiāng)地址、以及與家鄉(xiāng)代理之間的安全關聯(lián)等信息，因此考慮通過BootStrapping啟動機制完成這些配置任務，但是這些問題最終解決與業(yè)務開展運營模式相關聯(lián)，例如與移動業(yè)務定購過程直接相關，另外與第三方移動業(yè)務供應商的業(yè)務管理過程有關。目前提出了不同的Bootstrappine解決方法，主要有基于Radius、DHCP、PANA的bootstapping。

移動IPv6信令和切換優(yōu)化通過引入快速切換和分層移動IPv6移動管理等機制，減少切換過程中數(shù)據(jù)包的丟失，降低移動節(jié)點、家鄉(xiāng)代理、以及通信對端之間的信令延時，提高移動IPv6性能。小結移動IPv6技術在實際網(wǎng)絡中的應用和部署一方面取決于本身技術成熟程度，另一方面取決于實際業(yè)務需求的推動，現(xiàn)階段我們可以看到的應用包括移動IP提供跨不同媒介之