耿兆森 穆安容
中兴通讯股份有限公司
摘 要 介绍了移动IP技术在CDMA中的应用原理,讲述了移动IP和CDMA结合后给移动用户带来的便利,并简要论述了移动IP的安全实现方法。
关键词 移动IP 简单IP CDMA 无线IP
1 背景
在CDMA One的网络中,一般通过IWF为用户提供分组接入服务,它主要有以下一些缺点:移动台和IWF之间采用的是电路交换方式,网络资源的利用率比较低;分等级服务实现比较困难;分组接入的速率比较低,而且费用也比较高。
针对这些缺点,作为CDMA One的后续版本,cdma2000 1x引入了真正意义上的分组接入方式。cdma2000 1x提供了简单IP和移动IP两种分组服务接入方式。
简单IP(Simple IP)方式:类似于传统的拨号接入,分组数据服务节点(PDSN,Packet Data Serving Node)为移动台动态分配一个IP地址,该IP地址一直保持到该移动台移出该PDSN的服务范围,或者移动台终止简单IP的分组接入。当移动台跨PDSN间切换时,该移动台的所有通信将重新建立,通信中断。移动台在其归属地和拜访地都可以采用简单IP接入方式。
移动IP(Mobile IP)方式:移动台使用的IP地址是其归属网络分配的,不管移动台漫游到哪里,它的归属IP地址均保持不变,这样移动台就可以用一个相对固定的IP地址和其他节点进行通信了。简单地说,移动IP提供了一种特殊的IP路由机制,使得移动台可以以一个永久的IP地址连接到任何链路上。
2 移动IP网络的架构
针对移动IP业务的IMT-2000网络结构模型。实现移动IP业务主要涉及的功能实体有:移动台(MS)、分组数据服务节点(PDSN)、归属代理(HA)、鉴权、授权与计账服务器(AAA)。就网络结构而言,简单IP仅比移动IP少一个HA。
移动台(Mobile Station,MS):移动用户的终端设备。移动台使用移动IP接入时,可以将接入因特网的位置从一条链路切换到另一条链路上,同时仍然保持所有正在进行的通信,并且只使用它的归属地址。
归属代理(Home Agent,HA):它实际上是MS在归属网中的一个路由器,用于维护移动台的位置信息。当移动台离开注册网络后,需要向HA进行登记,HA在收到发往移动台的数据包时,通过HA与MS的转交地址之间的隧道将数据包送往MS,完成移动IP功能。
外地代理(Foreign Agent,FA):移动台拜访网络的代理路由器。cdma2000 1x网络中PDSN承担着FA的功能,它为cdma2000移动台提供访问Internet或Intranet的服务。PDSN除提供移动IP接入方式外,它还可以为移动台提供简单IP接入服务,同时PDSN也完成对用户的鉴权、授权和记账等功能。
AAA服务器(Authentication,Authorization,Accounting Server,AAA服务器):即鉴权、授权与记账服务器。AAA服务器对分组数据呼叫用户进行鉴权,判决用户的合法性以及哪类业务对用户是开放的,AAA服务器还完成分组数据呼叫记账功能。
3 工作原理
3.1 引入移动IP的原因
(1) 许多应用的配置数据库都是以IP地址为基础的(而不是以主机名),如果主机的IP地址改变,那么这些应用就会中断。
(2) 路由问题。在IP网络中,路由器的路由表达通常是基于网路前缀来实现的,当一个用户漫游到外地时,如果它还继续使用它归属网络的IP地址,则就会出现漫游用户的IP地址和拜访网络的路由器路由条目不一致的情况。在路由器上增加移动用户的主机路由信息是解决这个用户的路由问题的权宜之计,但在出现大规模的移动用户的网络中支持主机路由是极其不明智的。
(3) 移动台作为被叫的问题。移动台采用简单IP接入时,每次PDSN或AAA服务器为MS分配的IP地址都是变化的,每当MS发生PDSN间的切换时,MS的所有通信必须重新建立,这就很难把移动台作为被叫设备。
3.2 基本思想
移动IP的基本思想就是数据转发,当MS要发送数据给CN时,该分组报文首先被发送到PDSN/FA那里,如果FA判断出是发往HA对应的归属网络,FA会在报文的外层封装一个隧道报头,隧道报头的信源地址是FA,信属地址是HA,隧道报文通过沿途的各个路由器到达HA,HA解封装掉外层的隧道报头后,把里层的IP报文发送给CN,这样MS发出的IP报文就可以被转发到CN了。CN发送报文给MS的处理过程刚好相反。
所描述的数据转发过程中,MS申请了反向隧道(FA→HA)的服务,如果没有反向隧道的话,则FA在转发MS发出的报文时会把报文直接发到Internet上,而不采用隧道的封装。不管有没有反向隧道的服务,HA都必须把归属网上所有发往MS的报文通过FA转发给MS。
移动IP技术中有一个重要的地址,即转交地址(Care-of Address,简称CoA)。当移动台不在归属网络时,转交地址则通往移动台的隧道终点。转交地址分为外地代理转交地址(FA-CoA)和配置转交地址(Co-located Care-of Address,Co-CoA)两类。
3.3 移动IP的建立过程
IMT-2000系统的移动IP和基于普通以太网的移动IP在实现原理上基本一致,但在某些细节上还存在一些差别,这是由IMT-2000系统的特性所决定的。
在以太网中,移动台通过ICMP路由发现协议(ICMP Router Discovery Protocol,IRDP)检查其是否在自己的归属网络中,协议利用路由广播和路由请求消息发现路由器的服务子网。如果移动台发现自己在归属网络中,那么它就不需要为接收数据包做特殊的事情;如果移动台收到的IRDP广播包是由外地代理发送来的,那么移动台将采用移动IP技术通过FA向HA注册。普通以太网中的移动台在归属网络中并不需要启动移动IP,只有漫游到外地时才需要启动移动IP,在这一点上,cdma2000 1x网络中的移动IP与普通以太网中的移动IP是不一样的。简单地说,就是移动台在无线接入时首先需要决定是采用简单IP接入方式,还是移动IP接入方式,不能等到IRDP以后再决定。
(1) MS为了获得分组数据服务,而向无线服务网中的BS发送一个IS-2000 Origination Message,该消息中附带一个分组数据服务选项。如果正常的语音服务认证通过的话(主要是验证移动台的合法性),BS将为MS分配空中信道,此后RN(指PCF)和PDSN之间建立RP连接。
(2) MS和PDSN之间建立PPP连接,此时在PPP的IPCP阶段不会协商MS的IP地址(如果在IPCP阶段协商IP地址,那么说明移动台申请的是简单IP接入方式,这就是为什么移动台一开始接入时就要选择好接入方式的原因)。
(3)由于MS采用的是移动IP接入方式,PDSN/FA主动向MS发布外地代理布告,因此MS通过该布告可以获知FA-CoA和FAC(Foreign A?鄄gent Challenge),每次MS进行移动IP注册时必须把刚才为其发布的FAC带回来(FAC是1个最少为253字节的随机字符串)。PDSN在收到MS发出的代理请求报文时,也会发布外地代理布告消息。
(4) MS向PDSN发送MIP-RRQ(Mobile IP Registration Request),在MIP-RRQ中包含有在外地代理布告中发布的FAC和FA-CoA。另外,如果MS希望归属网络为它动态分配一个IP地址,则可以把自己的IP地址设成0.0.0.0,否则就把自己静态指定的IP地址设置到MIP-RRQ中。每次移动IP注册都带有一个移动IP生存时间,即在生存时间内移动台必须为刚才注册的移动IP进行注册刷新,否则HA就会认为移动台已经失去联系并终止对移动台维护的移动IP绑定。如果移动IP的注册请求中的生存时间为“0”,则表示移动台要注销移动IP。
(5) PDSN自身是无法识别MS的合法性的。作为AAA服务器的客户端,PDSN向本地的AAA服务器发出认证请求,拜访AAA服务器,如果发现该MS是外地用户,它将通过RADIUS协议让归属AAA服务器完成最终的认证工作。拜访AAA服务器和归属AAA服务器之间进行通信时可能还需要沿途的中间AAA服务器的参与。
(6) 归属AAA服务器把认证结果传回给拜访AAA服务器,拜访AAA服务器再把报文传给PDSN,这样就完成了对MS的认证工作。
(7) 如果通过对MS的认证,并且PDSN/FA和HA之间在此之前没有建立安全关联,那么在归属AAA服务器的参与下,在FA和HA之间将建立一条安全的关联,该安全关联将被用于以后移动IP隧道报文的认证。
(8) 若通过对MS移动IP的认证,PDSN将对MS发出的MIP-RRQ做一定的修改后转发给HA。
(9) HA在完成对MS的认证后,将向FA回应一个MIP-RRP(Mobile IP Registration Reply),在MIP-RRP中包含认证结果以及给MS分配的IP地址等信息。随后,HA再主动向本地网络发布一条免费的ARP报文,在该代理ARP报文中,IP地址是MS的IP地址,而MAC地址却是HA的地址,归属网络的其他节点在接收到该欺骗信息后,将把发往MS的IP报文发给HA,通过这种方式,HA吸引到了发往MS的报文。
(10) PDSN/FA通过空中链路将MIP-RRP传送给MS。在MIP-RRP中,PDSN还为MS分配了一个新的FAC。
自此,MS和通信对端(CN)就可以进行通信了。
3.4 路由技术
移动IP提供的路由机制可以使移动台以永久的IP地址连接到任何链路上,而不需要改变路由沿途的各个路由器。整个路由链路上起最重要作用的是FA和HA,隧道技术是移动IP路由的关键。在移动IP中,隧道的封装类型有3种,分别是IP-in-IP封装、最小封装和通用路由封装(GRE),其中IP-in-IP封装应用得最广泛。
(1) 单播数据报文的路由
不管MS使用FA-CoA,还是使用Co-CoA,它都必须把为其提供接入服务的PDSN作为自己的缺省路由器,也就是说,MS发出的所有报文都必须由PDSN路由出去。如果MS使用的是FA-CoA,则隧道的封装和解封装就由FA完成;如果使用的是Co-CoA,则隧道的封装和解封装就由移动台来完成,此时的FA仅提供路由功能,仅为隧道报文提供转发。
FA在收到发往MS或者MS发出的报文时,首先检查本地接入的移动台登记的访问列表项,如果报文合法,FA将提供路由,否则将丢弃报文。
HA使用代理ARP和免费ARP等方法拦截所有发往移动台的报文。如果MS漫游到了外地,并且MS在HA进行了移动IP注册,那么HA将负责把拦截到的发往MS报文隧道封装并发送到转交地址,由转交地址对应的节点解封装后转给MS。
(2) 广播数据报文的路由
如果MS希望收到归属网络发出的广播报文,那么MS在进行移动IP注册时会设置移动IP注册报文中的‘B’位,否则HA不会为MS转发广播报文。
MS使用FA-CoA时和使用Co-CoA时,HA的处理方法是不一样的。如果MS使用Co-CoA,那么HA直接把广播报文封装成目标地址为Co-CoA的隧道报文中。如果MS使用FA-CoA,那么HA首先把广播报文封装成单播报文,该单播报文的信宿地址是MS的归属地址,然后再按移动IP的要求把单播报文封装成隧道包,该隧道包的信宿地址是FA。FA在收到该隧道报文并解隧道封装后,发现是MS的单播包,则会把报文发送给MS,MS去掉外层的单播报头后就可得到原始的广播报文了。
(3) 组播数据报的路由
MS若想获取组播服务,必须加入组播组。加入组播组的方法有两种,一种是通过拜访网络的FA提供,另一种是通过归属网络的HA提供。
如果PDSN支持组播,那么MS可以加入PDSN提供的组播组来获取组播服务。如果MS使用配置转交地址,那么IGMP报文的信源地址就必须是该配置转交地址,否则就使用MS的归属地址。
如果HA支持组播,那么MS可以通过双向隧道加入到HA提供的组播组中。此时HA对组播报文的处理和广播报文一样。
4 移动IP的特殊性
由于商用的CDMA系统中为分组接入的用户分配的IP地址大都是动态分配的,绝大部分用户不能静态地指定自己的归属IP地址,因此移动台将无法采用移动IP技术中常用的两种移动检测机制:基于生存时间域的算法和基于网络前缀的算法。移动台在分组接入前需要先指定好自己的分组接入方式,即使是在归属地,移动台一样可以使用移动IP接入,它无法实现智能的选择。
无线通信中最宝贵的资源是无线频谱资源,无线频谱资源的扩充有时不是通过投资就能得到的。为节约空中资源,PDSN在发布代理广播报文时不会像以太网中那样定时地广播,它只有在收到移动台的代理请求后才发送,或者在移动台刚刚接入时发送。
移动台在归属地也有可能使用移动IP,如果在这种情况下,PDSN/FA还像平常一样把所有的分组报文通过隧道封装发送给HA就显得有点浪费了,因此PDSN/FA通常在转发隧道报文前需要判断移动台是否是本地接入用户。
5 安全问题
移动IP的安全威胁主要有拒绝服务攻击、假冒攻击以及未被授权的访问。移动IP主要通过对报文的认证和加密来保证报文的安全、可靠的传输,常用的加密算法有DES、3DES等,认证方法有MD5、HMAC-MD5等,用于认证、加密的密钥有预共享密钥、数字签名和共享密钥等。
移动IP报文的安全主要是通过各种安全认证扩展来保证的,常见的扩展有MN-HA、MN-AAA、FA-HA、MN-FA等之间的安全关联,这些扩展的出现次序也是固定的,不能随意更改,否则将影响对报文的认证。
6 结束语
无线网络技术和IP技术的融合是一个必然的发展趋势,cdma2000也不例外。就目前而言,移动用户使用最多的还是简单IP的接入方式,例如通过简单IP实现网页浏览、收发E-Mail等,这类用户的位置相对固定,即使由PDSN间的切换而导致通信中断也无关紧要。移动IP的最大优势在于移动用户在PDSN间切换时,网络通信不会中断,通过移动IP接入方式,移动用户可以方便地获得定位业务、实时被叫、移动ICQ、移动电子商务等服务。由于简单IP技术本身的局限性,随着新业务的推广,移动IP技术在CDMA的分组接入中的比重将越来越大。
----《电信技术》
|