蒋纯波 徐名文 徐大雄
(1. 北京邮电大学电子工程学院 北京100876) (2. 中国普天信息技术研究院 北京100088)
摘 要 移动VPN是将来的3G应用中一项重要的业务。本文在传统VPN技术的基础上,着重讨论了在UMTS网络中实现移动VPN的技术方案,并且详细分析了在实现过程中的关键技术和一些仍未解决的技术问题。
关键词 移动VPN UMTS
1 前言
一些行业或企业为了保证行业内部数据传送的安全性和可靠性,都建设了自己的专网或者租用电信的专线来构造专网(PN),比如军队、银行都有专用网络。但是,建设专网是一项非常大的投资。与此相反,公网的技术在不断完善,价格在不断下降,众多厂家的支持使得公网的发展很快。于是在公网中实现专网的特性是一个好的选择。这对企业来说减少了成本、方便了管理。而对移动运营商来说,这也是吸引集团用户,提供增值服务的一项好的技术。
VPN的基本思想就是利用Internet公网来传输私有信息而形成逻辑上的专网,从而为企业级用户提供比专线价格低廉和高安全性的资源共享和互连服务。在传统的VPN中,为了保证数据的完整性和安全性采用了几项关键的技术:隧道(tunneling)技术、加解密(encryption && decryption)技术、密钥管理(key management)技术、使用者与设备身份认证(authentication)技术。
本文着重讨论在UMTS中实现移动的VPN的一些关键技术。UMTS中实现移动VPN,在技术上借鉴了基于Internet的传统VPN的思想和其中的关键技术。
2 UMTS的ALL-IP架构
在UMTS中,整个网络架构,无论是以后的业务还是网络的承载都向ALL-IP方向发展,而且各种接入网络技术不断融合。UMTS的ALL-IP结构如图1所示。在图1的架构中,所有的接入网络技术都是基于IP技术。这样,很好地解决了网络之间的互联互通,并且给用户的漫游带来了极大的方便。在目前,UMTS融合WLAN的技术正在开发中。
在UMTS中,UE在PS域内与外部PDN通信有两种方式:一种是透明方式,另外一种是非透明方式。选择透明访问和非透明访问是在用户签约的时候确定。
下面主要讨论在UMTS的ALL-IP架构下,基于透明访问方式和非透明访问方式的UE来构造移动VPN的方案及其关键技术。
3 在UMTS中实现VPN的几种方案
在UMTS中,移动VPN的一般构造如图2所示,其中有几个网络实体:宿主网络、移动节点(在UMTS中称为UE)、UMTS网络和防火墙。
UE附着到UMTS网络的时候,除了进行身份的验证外,UMTS网络通过存在HLR中的信息,根据UE发起的PDP中的APN请求参数建立移动VPN。
移动VPN的隧道有两种工作模式可供选择,一种是自愿模式,另外一种是强制模式。对于自愿模式来说,也称端到端的隧道模式,是由UE发起到宿主网络端点的隧道。而强制模式,也称为基于网络的隧道模式,是由UE连接到VPLMN的接入点(在UMTS中为GGSN),由GGSN根据HLR签约信息建立(或者共享)隧道到宿主网络端点。
在UMTS中,构造移动VPN有两种隧道技术:移动隧道技术和公网隧道技术(在自愿模式下只是采用公网隧道技术)。公网隧道技术有二层隧道技术和三层隧道技术。其中,二层的隧道技术有PPTP、L2F、L2TP、MPLS、VLAN/ATM等。三层的隧道技术有IPSec等。本文将简要介绍L2TP,MPLS和IPSec构造移动VPN的解决方案。
隧道模式的选择和具体建立VPN的隧道技术的选择是作为签约信息存在HLR中。
3.1 基于L2TP的移动VPN架构
LT2P是由IETF制定的标准RFC 2661中详细规定的,它是一个第二层的隧道技术。基于L2TP的移动VPN的架构一般是基于非透明方式的强制模式(当然也可以由UE发起L2TP的隧道连接构造自愿模式VPN),如图3所示。在此架构中,UE的数据(PDP类型必须为PPP类型)通过无线信道和GTP隧道到达GGSN。GGSN作为L2TP的LAC,根据UE的PDP激活请求的APN中的参数决定是否发起与对端的宿主网络端点(LNS)建立可靠的数据传送隧道,这种隧道是双向的。如果同样的隧道已经存在,则共享这条隧道。而且,这种VPN结构可以将几个L2TP隧道同时绑定使用,提高传输的速率。
在非透明访问方式中,移动VPN在UMTS部分的安全、鉴权是由UMTS接入的时候进行,并由其相关的策略保证。相比较而言,重要的安全需求是在GGSN和宿主网络之间的公网上,也是由L2TP的隧道所涉及的部分。虽然,L2TP提供了PAP和CHAP的安全机制并不能完全解决安全性问题,但是还可以通过L2TP下层应用IPSec的安全机制来加强安全性。
因为这种移动VPN实现了上层的PPP连接,所以用户层面上的地址可以使用内部地址,而且,用户的鉴权可以完全采用RADIUS。
移动网络和外部网络(包括宿主网络)之间进行的SLA协商,有关UE建立VPN的信息存在HLR之中。
3.2 基于MPLS的移动VPN的架构
基于MPLS的移动VPN一般也是非透明访问方式的强制模式。因为MPLS能在一般的路由器平台上实现,所以得到厂家的支持。图4是一个典型结构,其中GGSN作为MPLS域的LER(CE),外部网络是一个典型的MPLS域,与GGSN相连接的是PE(同样是LER)。通过MPLS域内给UE分配的唯一的VPNID,LER分配给UE的数据适当的标签(label),而MPLS域内的LSR通过label转发数据,相当于构造了一条隧道。
按照MPLS的标准,GGSN可以是MPLS设备(推荐),也可以不是MPLS设备。但是,必须和外部的相连MPLS域协商相关的协议,确定MPLS给UE分配的VPNID及相应label的分配方案。GGSN和PE之间的路由通常使用BGP路由协议,结合BGP和MPLS构造VPN。PE必须知道MPLS域内所支持的所有CE的可达性信息和支持的VPN的信息。
对于大多数业务来说,基于BGP、VPNID和IP地址的结合可以提供足够的安全性,但是也可以通过IPSec的加密措施来提高进一步的安全。IPSec的加密一般在GGSN(CE)来进行,并在宿主网络端CE解密。这种额外的安全性措施是以降低网络的性能为代价的,不过在高带宽的骨干网中,这种代价是值得的。
3.3 基于IPSec的移动VPN的架构
IPSec协议族是由IETF制定的开放性IP安全标准。它在网络层(第二层)中提供了一个安全传送数据的机制。IPSec的安全性在于两个协议:AH和ESP。每个协议都有两种传输模式:透明传输和隧道传输。移动VPN中的IPSec隧道可选任意一种模式,但是两种模式在穿越防火墙(包括UMTS侧的防火墙和宿主网络侧的防火墙)的策略是不一样的,因此,选择哪种模式应该和具体的防火墙技术结合考虑。
基于IPSec的移动VPN可以是自愿模式也可以是强制模式,如图5所示。
在自愿模式中,UE作为隧道的发起点,同远端的宿主网络节点建立一条IPSec的隧道,这种隧道的建立只能在透明访问方式中存在,而且对UMTS网络设备没有特殊的要求,要求UE支持IPSec隧道方式。UMTS网络部分只是在UE附着和PDP激活的过程中对用户进行鉴权。
在强制模式中,UE首先连接到GGSN,由GGSN作为隧道的发起点,要求GGSN必须支持IPSec隧道。
4 实现中的关键技术讨论
4.1 自愿模式和强制模式在移动VPN中的比较
无线资源对移动通信系统来说是非常有限的,也是非常重要的。在自愿模式中,UE作为隧道的起点,所有的封装开销都会在无线信道上传输,加重了无线资源的负担。而且在UMTS网络中,安全性是有保证的,端到端建立隧道在某种程度上来说是没有必要的。而且,UE必须支持隧道协议,用户也必须能够正确配置VPN。
但是如果在UMTS的运营商没有提供移动VPN业务的情况下,建立在透明传输方式下的自愿模式是唯一比较好的选择,因为它需要更加少的移动网络对移动VPN的支持。而且宿主网络可以在这种模式下更有效地管理移动VPN,包括为UE提供VPN内私有地址,提高通信的安全性。
4.2 移动VPN端到端的安全措施
移动VPN中的节点有移动的特性,所访问网络的安全环境并不一样,如何保护VPN中数据的安全性是最为重要的技术之一。
移动VPN在安全方面的要求有两个:一是建立的VPN本身必须安全,VPN内部的数据传输安全并且有一定的QoS保证。二是VPN的节点进入UMTS不会给移动网络带来安全性问题。第二个问题可以通过UMTS的安全措施和签约时的约定来约束。第一个问题中最为主要的是GGSN到宿主网络之间公网部分的安全问题。
公网中隧道的安全性有以下几种:
· L2TP的安全性有PAP和CHAP两种认证方式。其中PAP采用明文的用户名、密码来验证接入用户的权限,这种方式没有防护能力,往往在要求不高的地方采用。而且,往往和其他安全措施结合使用。CHAP采用加密方式(MD5算法)将在链路上传送的验证信息进行加密传输,具体的可参见有关文献。基于透明访问自愿模式的端到端L2TP隧道建立的移动VPN可以采用完全的RADUIS安全策略。
· IPSec的安全措施是最为强的,AH不通过加密方式提供验证并且保证数据的完整性。ESP通过复杂的加密措施来保证数据的安全性。
· 基于MPLS的VPN通过结合BGP、IP地址解析和可选的IPSec来实现。
相比较而言,加密措施是比较好的方法。但是管理密钥更为重要,在这方面,IETF也有相关的在Internet上面的密钥管理协议。
在移动VPN中,透明访问方式可以采用上面的安全措施提供端到端的安全策略。如果在非透明访问方式下,必须结合UMTS网内的安全策略和上面的公网隧道安全措施,共同提供一个端到端的安全策略。
4.3 引入移动IP来构造“移动的”VPN的考虑
移动VPN最为重要的特征是VPN的用户在不停地改变接入点,为了保护移动VPN中节点的通信不中断和减少验证的次数,需要采用UMTS中的移动性管理。
在UMTS中的移动性管理有两种技术:基于第二层的移动性管理和基于第三层的移动性管理。其中基于第二层的移动性管理目前技术已经比较成熟,而且能够保证移动VPN的性能在节点移动的过程中保持不变。而基于第三层的移动性管理目前还不成熟,基于移动IP构造的移动VPN在穿越防火墙、保证预定的QoS、提高漫游的转接性能等方面的技术仍在研究中。
4.4 移动VPN的管理
在移动VPN中,UE是和宿主网络的其他节点属于同等的地位,但是如何将UE进行有效的管理是需要通过UMTS网络来具体实现的。
透明访问方式下,比如L2TP下,用户建立的隧道在宿主网络中是可管的,宿主网络可以验证UE的合法性,可以建立、维护和断开与UE的隧道连接。
在非透明访问方式下,在GGSN和宿主网络建立隧道的同时,必须为管理移动VPN建立一种互相信任的管理机制。UMTS网络部分针对UE的管理信息应该可以有选择地提供给宿主网络,同时,UMTS也可以根据宿主网络对移动VPN的要求,控制UE的行为,包括隧道的建立、维护和断开。
4.5 移动VPN中关于IPv4和IPv6过渡策略的考虑
一个支持IPv4移动VPN的节点移动到一个IPv6环境的网络中,需要进行IPv4和IPv6协议的转换。这种情况下,采用透明访问方式自愿模式的隧道可以在底层(IP层)采用传统的过渡策略,屏蔽对移动VPN的影响。而强制模式的移动VPN受协议过渡的影响仍需研究,这方面可以借鉴传统VPN的过渡策略。
5 总结
移动VPN作为VPN中的一种,有VPN的共性,也有其特殊性。
从上面的分析可以看出,在移动VPN中,如何提高移动VPN的效率和减少相应开销是很重要的因素。本文在介绍目前VPN技术的基础上,研究了在UMTS网络上建立移动VPN的实现方案,并且讨论了UMTS中的移动VPN的关键技术。
本文也注意到,在移动VPN的实现上有一些问题尚未得到很好的解决,比如移动VPN中的IPv4和IPv6的过渡策略问题。正如传统VPN技术的发展过程一样,移动VPN技术也在不断发展中。
----《中国数据通信》
|
