移動(dòng)IPv6實(shí)施的關(guān)鍵問(wèn)題及在CDMA網(wǎng)絡(luò)中的應(yīng)用
摘要 IPv4的NAT缺陷、缺乏固定地址限制了CDMA網(wǎng)絡(luò)中移動(dòng)IP業(yè)務(wù)的發(fā)展,CDMA移動(dòng)網(wǎng)絡(luò)向IPv6承載過(guò)渡是必然趨勢(shì)。本文探討了移動(dòng)IPv6在CDMA網(wǎng)絡(luò)中的應(yīng)用,著重分析了CDMA網(wǎng)絡(luò)中應(yīng)用移動(dòng)IPv6所面臨的服務(wù)質(zhì)量、安全、認(rèn)證、DNS自動(dòng)發(fā)現(xiàn)、演進(jìn)等問(wèn)題,并對(duì)現(xiàn)有CDMA網(wǎng)絡(luò)實(shí)體的改動(dòng)加以闡述。
關(guān)鍵詞 碼分多址 移動(dòng)IPv6 服務(wù)質(zhì)量 多媒體域
1、前言
CDMA網(wǎng)絡(luò)的部署不僅為用戶提供了高速的無(wú)線連接,也為用戶接入到互聯(lián)網(wǎng)提供了更加豐富的接入手段。為在 cdma2000網(wǎng)絡(luò)中向用戶提供高速的分組數(shù)據(jù)業(yè)務(wù),3GPP2的無(wú)線網(wǎng)絡(luò)參考模型中引入了分組域功能實(shí)體,并定義了基于IP技術(shù)的網(wǎng)絡(luò)接口。從業(yè)務(wù)實(shí)現(xiàn)上來(lái)講,分組數(shù)據(jù)業(yè)務(wù)又可以分為簡(jiǎn)單IP和移動(dòng)IP(MIP)兩大類型。其中,簡(jiǎn)單IP業(yè)務(wù)是cdma2000網(wǎng)絡(luò)中最基本的分組數(shù)據(jù)業(yè)務(wù)模式,類似于我們所熟悉的撥號(hào)業(yè)務(wù)。移動(dòng)IP業(yè)務(wù)則為移動(dòng)數(shù)據(jù)用戶提供了更加完善的移動(dòng)性支持,移動(dòng)數(shù)據(jù)用戶可以在無(wú)線網(wǎng)絡(luò)內(nèi)獲得無(wú)縫服務(wù),與之對(duì)應(yīng)的分組域技術(shù)也有所不同。
由于IPv4地址空間不足,限制了網(wǎng)絡(luò)和用戶數(shù)目的發(fā)展。采用NAT技術(shù)雖然解決了地址不足問(wèn)題,但破壞了網(wǎng)絡(luò)端到端的特性,缺少固定地址、永遠(yuǎn)在線機(jī)制,限制了移動(dòng)IP、IP電話、Push業(yè)務(wù)的發(fā)展。IPv6的采用,不僅滿足了未來(lái)移動(dòng)設(shè)備對(duì)IP地址空間的需求,也讓移動(dòng)終端更易于配置管理(自動(dòng)配置);而用戶對(duì)基于IP的應(yīng)用業(yè)務(wù)的使用也更為安全方便。CDMA移動(dòng)網(wǎng)絡(luò)向IPv6承載過(guò)渡是必然趨勢(shì),基于此,本文探討移動(dòng)IPv6在CDMA網(wǎng)絡(luò)中的應(yīng)用事宜。
2、移動(dòng)IPv6實(shí)施的關(guān)鍵問(wèn)題及目前的解決思路
2.1 移動(dòng)IPv6服務(wù)質(zhì)量問(wèn)題
當(dāng)移動(dòng)節(jié)點(diǎn)改變網(wǎng)絡(luò)連接點(diǎn)時(shí),數(shù)據(jù)包經(jīng)過(guò)的中間網(wǎng)絡(luò)域可能發(fā)生變化。因此,在這些網(wǎng)絡(luò)域中需要提供適當(dāng)?shù)姆?wù)質(zhì)量支持,這樣運(yùn)行在移動(dòng)節(jié)點(diǎn)上的對(duì)服務(wù)質(zhì)量敏感的應(yīng)用程序才能保持可用的服務(wù)等級(jí)。
2.1.1 基于RSVP的移動(dòng)IPv6服務(wù)質(zhì)量體系
基于RSVP(資源預(yù)留協(xié)議)的移動(dòng)IPv6服務(wù)質(zhì)量體系提出了一套移動(dòng)網(wǎng)絡(luò)中的信令協(xié)議,當(dāng)移動(dòng)主機(jī)從一個(gè)子網(wǎng)移動(dòng)到另一個(gè)子網(wǎng)時(shí),允許移動(dòng)主機(jī)在當(dāng)前位置的路徑上建立和維持預(yù)留資源。
移動(dòng)IPv6對(duì)QoS的支持主要表現(xiàn)在流標(biāo)記(flow label)域,流標(biāo)記是按位產(chǎn)生的偽隨機(jī)數(shù),在一定的時(shí)間內(nèi),源端不能重用流標(biāo)記。流標(biāo)記為0指示這個(gè)包不屬于任何流。普通的移動(dòng)IPv6與RSVP結(jié)合,在標(biāo)識(shí)流時(shí)有兩種方式:一種是基于移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址來(lái)標(biāo)識(shí)流的源端或者目的端;另一種方式是用移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址(COA)來(lái)標(biāo)識(shí)流的源端或者目的端。但不論是哪種方式,都存在一些問(wèn)題:如果使用移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址來(lái)標(biāo)識(shí)流,則可能會(huì)出現(xiàn)包分類的不匹配問(wèn)題,預(yù)留路徑上中間路由器的包分類將可能是基于移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址而不是基于移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址,因此該種方法是不可行的。如果用移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址來(lái)標(biāo)識(shí)流,當(dāng)移動(dòng)節(jié)點(diǎn)移動(dòng)到另一個(gè)子網(wǎng)時(shí),攜帶了新的轉(zhuǎn)交地址的PATH消息與RESV消息將會(huì)觸發(fā)預(yù)留路徑上的路由器進(jìn)行新的資源預(yù)留,而不是重用原來(lái)的資源預(yù)留,即使新路徑只是在舊路徑基礎(chǔ)上的簡(jiǎn)單更改。因此,無(wú)論移動(dòng)節(jié)點(diǎn)作為源端或目的端,都必須在切換后的新路徑上重新進(jìn)行資源預(yù)留,不能實(shí)現(xiàn)流透明。
針對(duì)移動(dòng)IPv6 QoS模型的不足,通過(guò)對(duì)移動(dòng)IPv6和RSVP進(jìn)行擴(kuò)展,出現(xiàn)了一些改進(jìn)的移動(dòng)IPv6 QoS模型。其中包括新加坡國(guó)立大學(xué)Charles Qi Shen提出的“流透明的移動(dòng)IPv6 QoS模型”,德國(guó)柏林工業(yè)大學(xué)的Xiaoming Fu提出的“移動(dòng)IPv6基于條件的QoS切換模型”等。
Charles Qi Shen的方法為了實(shí)現(xiàn)流透明,把移動(dòng)節(jié)點(diǎn)發(fā)出的包的“家鄉(xiāng)地址選項(xiàng)”的存放位置由目的地選項(xiàng)頭標(biāo)改為中繼點(diǎn)選項(xiàng)頭標(biāo)(hop-by-hop option header),需要路徑上所有的中間路由器都對(duì)每個(gè)包的中繼點(diǎn)選項(xiàng)頭標(biāo)進(jìn)行檢查,當(dāng)路徑經(jīng)過(guò)的路由器非常多時(shí)代價(jià)很大,因此這種移動(dòng)IPv6 QoS模型沒(méi)有可擴(kuò)展性。 {{分頁(yè)}}
Xiaoming Fu的方法采用了基于層次化管理的QoS條件切換機(jī)制,減少了域內(nèi)切換時(shí)的信令的數(shù)目,但只是提出了一種框架,并沒(méi)有具體的QoS處理機(jī)制,而且沒(méi)有考慮流透明。
2.1.2 基于區(qū)分服務(wù)的移動(dòng)IPv6服務(wù)質(zhì)量體系
基于區(qū)分服務(wù)的移動(dòng)IPv6服務(wù)質(zhì)量體系中,每個(gè)管理域中至少有一個(gè)全局服務(wù)器,稱為全局服務(wù)質(zhì)量代理(GQA),在控制面上;有幾個(gè)歸屬節(jié)點(diǎn)作為歸屬服務(wù)質(zhì)量代理(LQA),在傳輸面上。GQA和LQA之間的通信采用COPS(common open policy service)。由于在中心服務(wù)器上保留全局信息,并且將控制和數(shù)據(jù)傳輸分開(kāi),因此用于移動(dòng)環(huán)境時(shí)非常靈活,易于添加新的服務(wù),并且更加有效。該結(jié)構(gòu)還考慮了集成移動(dòng)IPv6和區(qū)分服務(wù)的其它問(wèn)題,如移動(dòng)環(huán)境下的網(wǎng)絡(luò)資源提供、缺乏動(dòng)態(tài)配置問(wèn)題、服務(wù)等級(jí)約定的定義和選擇、移動(dòng)數(shù)據(jù)流的標(biāo)識(shí)和計(jì)費(fèi)問(wèn)題等。但區(qū)分服務(wù)用于移動(dòng)IP中存在以下問(wèn)題:
●區(qū)分服務(wù)比較適用于設(shè)計(jì)周全、帶寬合理分配的網(wǎng)絡(luò),支持移動(dòng)環(huán)境的網(wǎng)絡(luò)由于網(wǎng)絡(luò)中的節(jié)點(diǎn)隨時(shí)移動(dòng),因而業(yè)務(wù)量模型比較復(fù)雜。
●在區(qū)分服務(wù)中,不同QoS區(qū)域(如不同的ISP提供的網(wǎng)絡(luò))的業(yè)務(wù)等級(jí)協(xié)商(SLA)常常是靜態(tài)的,移動(dòng)IP的高動(dòng)態(tài)環(huán)境與區(qū)分服務(wù)的靜態(tài)帶寬分配是相矛盾的,因此為了MN的動(dòng)態(tài)帶寬分配需要,必須支持動(dòng)態(tài)的業(yè)務(wù)等級(jí)協(xié)商。
●在不同QoS區(qū)域的入口處,網(wǎng)絡(luò)的邊緣路由器要對(duì)分組流進(jìn)行識(shí)別,傳統(tǒng)分組流可以通過(guò)分組頭標(biāo)上的五元組來(lái)識(shí)別。而移動(dòng)IPv6中的分組的源IP地址(MN發(fā)送的分組)或目的IP地址(MN接收的分組)是MN的轉(zhuǎn)交地址,該地址是隨著節(jié)點(diǎn)的移動(dòng)動(dòng)態(tài)地變化。
為了在移動(dòng)IP網(wǎng)絡(luò)上實(shí)現(xiàn)區(qū)分服務(wù),應(yīng)精細(xì)設(shè)計(jì)提供移動(dòng)服務(wù)的網(wǎng)絡(luò),動(dòng)態(tài)預(yù)測(cè)移動(dòng)節(jié)點(diǎn)對(duì)帶寬的需求和接入的MN數(shù),或采用資源預(yù)留等信令機(jī)制,更準(zhǔn)確地預(yù)測(cè)滿足移動(dòng)節(jié)點(diǎn)QoS所需的帶寬。
2.1.3 移動(dòng)IPv6的頭標(biāo)壓縮
由于無(wú)線鏈路傳輸速率較低、誤碼率較高,在無(wú)線網(wǎng)絡(luò)上傳輸IP分組的主要問(wèn)題就是頭標(biāo)的開(kāi)銷過(guò)大。例如,一幀音頻數(shù)據(jù)凈荷通常只有15-32byte,而在移動(dòng)IPv6環(huán)境中傳輸該數(shù)據(jù)需要40byte的IPv6頭標(biāo),20byte的信宿選項(xiàng)頭標(biāo)或24byte的尋路頭標(biāo),8byte的傳輸層UDP(用戶數(shù)據(jù)報(bào)協(xié)議)頭標(biāo)和12byte的RTP(實(shí)時(shí)傳輸協(xié)議)頭標(biāo)??偣驳念^標(biāo)開(kāi)銷是80或84byte,如果通信對(duì)端也是MN,那么分組的IP/UDP/RTP加在一起的頭標(biāo)開(kāi)銷有104byte。這不僅浪費(fèi)帶寬,同時(shí)還使分組因出錯(cuò)而被丟棄的概率增大。
事實(shí)上,在傳輸過(guò)程中,同一個(gè)數(shù)據(jù)流的分組的IPv6頭標(biāo)有很多域是相同的,例如,版本、流標(biāo)記、下一個(gè)頭標(biāo)以及源地址、目的地址在一個(gè)小區(qū)內(nèi)都是不變的。動(dòng)態(tài)變化的部分只有業(yè)務(wù)量等級(jí)、中繼點(diǎn)限制。此外,信宿選項(xiàng)頭標(biāo)和尋路頭標(biāo)中每個(gè)域都是靜態(tài)不變的。因此,頭標(biāo)壓縮的基本思路是:在無(wú)線鏈路上僅僅在數(shù)據(jù)流開(kāi)始時(shí)發(fā)送完整的IP分組及相應(yīng)的選項(xiàng)頭標(biāo),后續(xù)的IP分組的頭標(biāo)域可以只傳輸變化的部分和相對(duì)于同一個(gè)流的關(guān)聯(lián)識(shí)別符,以實(shí)現(xiàn)有效地利用帶寬。但由于用戶在不斷的移動(dòng)中,因此,有效的頭標(biāo)壓縮算法和數(shù)據(jù)流壓縮同步規(guī)程是關(guān)鍵所在。
IS-835C中指定了兩種頭標(biāo)壓縮機(jī)制:
●選項(xiàng)S061,使用LLA-ROHC來(lái)壓縮RTP/UDP/IP頭標(biāo),接近0byte。
●選項(xiàng)S060,刪除頭標(biāo),再使用物理信道來(lái)再生。
S061的好處是,LLA-ROHC可以被用于VoIP以及其它多媒體應(yīng)用,可根據(jù)RTP時(shí)間戳來(lái)同步語(yǔ)音和視頻流,缺點(diǎn)是實(shí)現(xiàn)復(fù)雜。S060實(shí)現(xiàn)簡(jiǎn)單,但不能被用于非VoIP應(yīng)用。 {{分頁(yè)}}
2.1.4 影響服務(wù)質(zhì)量的其它問(wèn)題
MN在越區(qū)切換時(shí)引入的分組傳輸延時(shí)和分組丟失也是移動(dòng)IP急需解決的問(wèn)題,這個(gè)問(wèn)題不解決,移動(dòng)IP的QoS保證就無(wú)從談起。
目前,關(guān)于移動(dòng)IP快速切換的提案很多,基本思路主要有:分組緩存、組播和基于移動(dòng)觸發(fā)的預(yù)先切換等。另外,移動(dòng)IP的資源預(yù)留、MN注冊(cè)過(guò)程中的認(rèn)證以及移動(dòng)IPv6頭標(biāo)壓縮的同步規(guī)程都將在MN的切換過(guò)程中引入延時(shí),因此移動(dòng)IP的越區(qū)切換需要更加有效的方法。
2.2 移動(dòng)IPv6安全、認(rèn)證及DoS防御
2.2.1 移動(dòng)IPv6面臨的安全威脅
當(dāng)網(wǎng)絡(luò)體系結(jié)構(gòu)上添加新的功能時(shí),通常會(huì)引入一些新的安全隱患:
●對(duì)移動(dòng)IPv6來(lái)說(shuō),由于MN的移動(dòng)需要經(jīng)常向家鄉(xiāng)代理和CN發(fā)送綁定更新報(bào)文,這一特征引入了諸多安全問(wèn)題。其中最大的威脅是綁定更新報(bào)文具有對(duì)分組的重定向功能,攻擊者通過(guò)冒充MN向CN發(fā)送綁定更新報(bào)文,就可以將發(fā)往MN的分組重定向到攻擊者指定的地點(diǎn)。
●DoS(denial of service)攻擊,攻擊者能夠阻塞未受保護(hù)鏈路上的所有業(yè)務(wù)量,也能夠阻止MN與其它節(jié)點(diǎn)的通信。
●在移動(dòng)IPv4協(xié)議中,移動(dòng)節(jié)點(diǎn)獲得轉(zhuǎn)交地址前,外地代理會(huì)對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行認(rèn)證等處理,但是,在移動(dòng)IPv6中沒(méi)有外地代理,這意味著移動(dòng)訪問(wèn)的安全策略工作需要由被訪問(wèn)網(wǎng)絡(luò)的路由器來(lái)完成。
●家鄉(xiāng)地址選項(xiàng)的運(yùn)用雖然解決了網(wǎng)絡(luò)入口過(guò)濾路由器的問(wèn)題,但卻暴露了MN當(dāng)前的位置信息,這給某些希望隱藏MN位置信息的通信帶來(lái)了安全威脅。
2.2.2 移動(dòng)IPv6的安全保護(hù)
移動(dòng)IPv6規(guī)定了IPSec作為MN的綁定更新報(bào)文的安全保護(hù),但在利用IPSec通信之前收發(fā)雙方需要事先建立安全關(guān)聯(lián),即決定采用哪種認(rèn)證、加密算法。一般認(rèn)為,MN與其本地代理很容易建立安全關(guān)聯(lián),但大多數(shù)情況下,MN與CN不存在安全關(guān)聯(lián)或其它安全關(guān)系。
采用IPSec的另外一個(gè)問(wèn)題是,它依賴于PKI,而PKI的建設(shè)是一個(gè)復(fù)雜的工程。IPSec的密鑰管理要求終端具有很強(qiáng)的處理能力,未來(lái)使用移動(dòng)IP的設(shè)備諸如手機(jī)、PDA計(jì)算能力都很弱,而且能耗也需要考慮,因此要求進(jìn)行大量計(jì)算的安全機(jī)制不太適合這些設(shè)備。為此目前也在討論一種輕量級(jí)的安全保護(hù)協(xié)議,如定制密鑰(PBK,purpose built key)。
PBK協(xié)議中,在每一個(gè)移動(dòng)IP會(huì)話之前,通信雙方產(chǎn)生一對(duì)新的公鑰/私鑰,這對(duì)密鑰匙是臨時(shí)的,只有通信雙方能夠使用,無(wú)需向第三方注冊(cè)。當(dāng)會(huì)話結(jié)束時(shí),密鑰失效。PBK協(xié)議簡(jiǎn)單,但安全性沒(méi)有IPSec好,如沒(méi)有解決中間人攻擊等問(wèn)題,并且PBK實(shí)現(xiàn)的不是用戶認(rèn)證,而是設(shè)備認(rèn)證。
2.2.3 移動(dòng)IPv6中DoS的防御
在移動(dòng)IPv6中DoS表現(xiàn)形式為:
●黑客向本地代理發(fā)出偽造的注冊(cè)請(qǐng)求,把自己的IP地址當(dāng)作移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址,在注冊(cè)成功后,本地代理將根據(jù)黑客注冊(cè)的轉(zhuǎn)交地址,把目的地址是移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)分組通過(guò)隧道送給黑客,黑客得到應(yīng)送給移動(dòng)節(jié)點(diǎn)的數(shù)據(jù),而真正的移動(dòng)節(jié)點(diǎn)卻被拒絕服務(wù)。
●黑客以數(shù)據(jù)分組不斷轟炸服務(wù)器,服務(wù)器不得不處理這些請(qǐng)求,并為每一個(gè)請(qǐng)求分配資源,而無(wú)法響應(yīng)其它有用信息。 {{分頁(yè)}}
防御偽造注冊(cè)請(qǐng)求的DoS攻擊的有效辦法是對(duì)移動(dòng)節(jié)點(diǎn)和本地代理之間交換的所有注冊(cè)信息進(jìn)行有效的驗(yàn)證。本地代理向MN回送的注冊(cè)應(yīng)答消息采用消息摘要方法。
另外,可利用SCTP(流控制傳輸協(xié)議)四路防御DoS攻擊。SCTP是面向連接的可靠傳送協(xié)議,在SCTP中,TCP 中的連接被引申為關(guān)聯(lián),每個(gè)關(guān)聯(lián)都由兩個(gè)SCTP端口號(hào)和兩個(gè)IP地址列表來(lái)標(biāo)識(shí)。SYN flooding利用了TCP/IP中的TCP三次握手,惡意的攻擊者大量向服務(wù)器發(fā)送SYN報(bào)文,使得正常的連接無(wú)法建立,并在服務(wù)器端形成一個(gè)非常大的半連接列表而無(wú)法接受正常服務(wù)。而在SCTP四路握手中,INIT消息的接收端不必保存任何狀態(tài)信息或分配任何資源,它在發(fā)送INIT ACK消息時(shí),采用了“狀態(tài)cookie”機(jī)制。采用這種方式,即使接收更多的INIT消息,接收端也沒(méi)有任何資源的消耗,它既不分配任何系統(tǒng)資源,也不保存此次新關(guān)聯(lián)的狀態(tài),只是把相應(yīng)重建狀態(tài)所用的cookie作為參數(shù),包含在每一個(gè)回送的INIT ACK消息中,最后該cookie會(huì)被cookie-echo消息發(fā)送回來(lái),從而防范SYN flooding等方式的DoS攻擊。
2.3 IPv6 DNS自動(dòng)發(fā)現(xiàn)
IPv6網(wǎng)絡(luò)終端可以利用有狀態(tài)和無(wú)狀態(tài)自動(dòng)地址獲得機(jī)制得到地址,DNS服務(wù)器同樣也需要有自動(dòng)獲得機(jī)制。目前有三種機(jī)制,路由宣告選項(xiàng)機(jī)制(RA option)、DHCPv6選項(xiàng)(DHCPv6 option)和事先配置的任播地址機(jī)制。
(1)路由宣告選項(xiàng)機(jī)制
RA選項(xiàng)機(jī)制定義了一個(gè)新的鄰居發(fā)現(xiàn)(ND)選項(xiàng)RDNSS,包含了DNS服務(wù)器地址,可使用現(xiàn)有的ND宣告和請(qǐng)求機(jī)制。該方法具有以下優(yōu)點(diǎn):
●只是擴(kuò)展了ND自動(dòng)配置機(jī)制,不需要對(duì)ND協(xié)議進(jìn)行大的改動(dòng)。
●和ND一樣,可在多種類型的鏈路上運(yùn)作,包括點(diǎn)到點(diǎn)鏈路、點(diǎn)到多點(diǎn)鏈路、多播等。
●適用于多種網(wǎng)絡(luò)環(huán)境。
但也存在以下缺點(diǎn):
●ND大多在操作系統(tǒng)內(nèi)實(shí)現(xiàn),而DHCPv6在應(yīng)用層實(shí)現(xiàn)。
●由于ND緩沖之間的同步在內(nèi)核空間中,而DNS配置文件在用戶空間中,所以目前的ND框架需要修改。
●路由器需要配置RDNSS地址。
●無(wú)線網(wǎng)絡(luò)環(huán)境中,由于多播不穩(wěn)定,此方法性能不佳。
(2)DHCPv6選項(xiàng)機(jī)制
DHCPv6中包含DNS Recursive Name Server選項(xiàng)來(lái)指定可以提供名字服務(wù)的服務(wù)器地址信息,提供名字搜索順序選項(xiàng)。主要有以下優(yōu)點(diǎn):
●方便配置其它信息,如SIP服務(wù)器和NTP服務(wù)器地址。
●互操作性好。
●已為RFC,標(biāo)準(zhǔn)性好。 {{分頁(yè)}}
存在以下缺點(diǎn):
●由于RA消息中不包含DNS信息,主機(jī)必須從路由器處接收兩個(gè)消息。
●增加了延遲,除了必須等待RA消息外,客戶還必須和DHCPv6服務(wù)器交換報(bào)文。
(3)任播地址機(jī)制
使用特殊的任播地址,具有以下優(yōu)點(diǎn):延遲小,可與其它方法混合使用,在DNS可工作的任意環(huán)境下都可以使用。缺點(diǎn)主要有:此方法需要DNS服務(wù)器扮演部分路由器角色,向路由系統(tǒng)宣告任播地址。
3、CDMA網(wǎng)絡(luò)實(shí)施移動(dòng)IPv6有關(guān)的問(wèn)題
3.1 CDMA網(wǎng)絡(luò)中移動(dòng)IPv6的演進(jìn)
CDMA網(wǎng)絡(luò)中移動(dòng)IPv6的演進(jìn)有多種解決方案,如雙協(xié)議棧技術(shù)、隧道技術(shù)、協(xié)議轉(zhuǎn)換等,下面將就目前主要的幾種演進(jìn)機(jī)制進(jìn)行詳細(xì)說(shuō)明。
(1)雙協(xié)議棧
IPv6和IPv4是功能相近的網(wǎng)絡(luò)層協(xié)議,兩者都基于相同的物理平臺(tái),而且加載于其上的傳輸層協(xié)議TCP和UDP又沒(méi)有任何區(qū)別。雙協(xié)議棧,即主機(jī)和路由器在同一網(wǎng)絡(luò)接口上運(yùn)行IPv4棧和IPv6棧。這樣,雙棧節(jié)點(diǎn)既可以接收和發(fā)送IPv4包,也可以接收和發(fā)送 IPv6包,因而兩個(gè)協(xié)議可以在同一網(wǎng)絡(luò)中共存。雙協(xié)議棧易于實(shí)施,但效率較低。
(2)隧道技術(shù)
隧道技術(shù)的核心思想是通過(guò)把IPv6數(shù)據(jù)報(bào)文封裝入IPv4數(shù)據(jù)報(bào)文中,讓現(xiàn)有IPv4網(wǎng)絡(luò)成為載體以建立IPv6的通信,隧道兩端的節(jié)點(diǎn)間數(shù)據(jù)報(bào)文的傳送通過(guò)IPv4機(jī)制進(jìn)行,隧道被看成一個(gè)直接連接的通道。隧道技術(shù)只要求在隧道的入口和出口處進(jìn)行修改,對(duì)其它部分沒(méi)有要求,因而技術(shù)實(shí)現(xiàn)非常容易。
一個(gè)隧道具有一個(gè)入口點(diǎn)和一個(gè)終點(diǎn),為了讓數(shù)據(jù)通過(guò),必須知道兩個(gè)端點(diǎn)的地址。確定入口點(diǎn)是直接的,因?yàn)樗霈F(xiàn)在 IPv4基礎(chǔ)結(jié)構(gòu)的邊界,確定隧道的終點(diǎn)要復(fù)雜一些。根據(jù)隧道終點(diǎn)地址的獲得方式可將隧道分為配置型隧道和自動(dòng)型隧道,其中配置型隧道主要用于路由器到路由器,而自動(dòng)型隧道有以下幾種方式:tunnel brokers(RFC 3053)(基于服務(wù)器的半自動(dòng)隧道)、6to4(RFC 3056)(路由器到路由器)、ISATAP(intra-site automatic tunnel addressing protocol)(主機(jī)到路由器,路由器到主機(jī),主機(jī)到主機(jī))、6over4(RFC 2529)(主機(jī)到路由器,路由器到主機(jī))、Teredo(通過(guò)IPv4 NAT建立隧道)、IPv64(IPv4/IPv6混合環(huán)境下使用)、DSTM(dual stack transition mechanism)(IPv4在IPv6隧道里)。
隧道技術(shù)的優(yōu)點(diǎn)在于隧道的透明性,IPv6主機(jī)之間的通信可以忽略隧道的存在,隧道只起到物理通道的作用,不需要大量的 IPv6專用路由器設(shè)備和專用鏈路,可以明顯地減少投資。其缺點(diǎn)是:過(guò)程繁瑣,IPv4主機(jī)和IP6主機(jī)無(wú)法互通。在IPv6網(wǎng)絡(luò)建設(shè)的初期,可以采用這種方式。
(3)翻譯機(jī)制
目前,翻譯機(jī)制有多種層次,如網(wǎng)絡(luò)層翻譯器,包括SIIT(stateless IP/ICMP translation algorithm,RFC2765)、NAT-PT(RFC2766)和BIS(bump in the stack,RFC2767);傳輸層翻譯器有TRT(transport relay translator,RFC3142)、BIA(bump in the API,RFC3338)和SOCKS64(RFC3089);應(yīng)用層翻譯器有ALG(application level gateway)。
3.2 移動(dòng)IPv6的自舉
自舉(bootstrapping)是指MN必須創(chuàng)建并維護(hù)以下三種信息:MN的家鄉(xiāng)地址,家鄉(xiāng)代理地址,MN與家鄉(xiāng)代理之間的IPSec安全關(guān)聯(lián)或者共享密鑰,以實(shí)現(xiàn)在家鄉(xiāng)代理完成注冊(cè)的過(guò)程。一般來(lái)講,MN每次啟動(dòng)、地址前綴變化或當(dāng)有更優(yōu)的家鄉(xiāng)代理出現(xiàn)時(shí)都會(huì)進(jìn)行自舉。自舉可以看成是移動(dòng)服務(wù)提供商驗(yàn)證移動(dòng)服務(wù)訂購(gòu)者的身份后,為移動(dòng)服務(wù)訂購(gòu)者配置所需參數(shù)的過(guò)程,有以下兩種模式:
●移動(dòng)服務(wù)提供商(MSP)模式的自舉,MIPv6認(rèn)證獨(dú)立于網(wǎng)絡(luò)接入認(rèn)證。
●綜合接入服務(wù)提供商(IASP)模式的自舉,MIPv6認(rèn)證依賴于網(wǎng)絡(luò)接入認(rèn)證。
從網(wǎng)絡(luò)運(yùn)營(yíng)模式方面,移動(dòng)IPv6服務(wù)運(yùn)營(yíng)實(shí)體可以分為:接入服務(wù)提供商(ASP)、MSP和IASP,其中MSP必須通過(guò)ASP為其提供業(yè)務(wù)的基本接入,而IASP自身既是ASP又是MSP。
運(yùn)營(yíng)商在網(wǎng)絡(luò)部署初期,可以先只作為MSP,通過(guò)與第三方ASP簽訂協(xié)議,利用其作為用戶的網(wǎng)絡(luò)接入認(rèn)證,而自己為用戶進(jìn)行移動(dòng)IPv6自舉。后期則可采用基于IASP模式的自舉,同時(shí)進(jìn)行網(wǎng)絡(luò)接入認(rèn)證與自舉過(guò)程,更易于實(shí)現(xiàn)可運(yùn)營(yíng)、可管理,但部署難度相對(duì)較大。
目前自舉過(guò)程本身尚有不足之處,有待進(jìn)一步研究解決,如MN和處理自舉過(guò)程的實(shí)體間的相互認(rèn)證和信任關(guān)系;如何確保密鑰在生命周期內(nèi)不被盜用;特定HA和地址分配的SA綁定;如何支持SA的多種算法及如何避免拒絕服務(wù)攻擊等。
3.3 基于業(yè)務(wù)的承載控制
PDSN充當(dāng)SBBC(service based bearer control)時(shí)候,需要標(biāo)識(shí)會(huì)話中的流,但MN到CN的數(shù)據(jù)是通過(guò)MN-HA隧道傳送的,對(duì)PDSN透明。為了解決此問(wèn)題,目前方法為移動(dòng)IP歸屬地址只使用在SIP信令消息中,而使用IP轉(zhuǎn)交地址來(lái)承載。
3.4 移動(dòng)IPv6與TFT的交互
移動(dòng)IPv6和TFT(traffic flow template)交互時(shí),有時(shí)不能正確映射TFT到IPv6的地址,目前有兩種解決方法。方法一是修改SDP(會(huì)話描述協(xié)議),在draft-ietf -mmusic-sdp-srcfilter-05.txt中描述,此方法方便,但效率較低。方法二是在移動(dòng)性選項(xiàng)中增加轉(zhuǎn)交地址移動(dòng)性選項(xiàng),此方法復(fù)雜,但效率較高。
3.5 互通問(wèn)題
3GPP標(biāo)準(zhǔn)要求IMS使用IPv6,并確立了其惟一性。3GPP2出于兩種體系融合的考慮,也采用了IMS模式?,F(xiàn)階段最突出的問(wèn)題是IETF與3GPP/3GPP2 SIP網(wǎng)元之間的差異,以及IMS與外部使用IPv4的SIP設(shè)備之間的互通性。
3.6 認(rèn)證問(wèn)題
在蜂窩網(wǎng)絡(luò)中,基于SIM的認(rèn)證過(guò)程中產(chǎn)生的會(huì)話密鑰也可以用來(lái)對(duì)移動(dòng)IPv6中的綁定選項(xiàng)進(jìn)行加密認(rèn)證,還可以用來(lái)保證運(yùn)行在IP網(wǎng)絡(luò)上的其它應(yīng)用的安全。
理論上講,可用SIM6機(jī)制來(lái)為移動(dòng)節(jié)點(diǎn)、家鄉(xiāng)代理和一些通信節(jié)點(diǎn)的認(rèn)證提供綁定認(rèn)證密鑰,從而完善在多接入環(huán)境中提供移動(dòng)性所必須的安全機(jī)制。但如何在CDMA網(wǎng)絡(luò)中引入SIM6,并適應(yīng)機(jī)卡分離這一要求,仍然處于探索階段。
4、實(shí)施中對(duì)CDMA網(wǎng)絡(luò)設(shè)備的具體要求
PDSN:PDSN需要支持雙協(xié)議棧,并且能夠支持IPv6CP over PPP,即:PDSN如果不是純IPv6的連接,則可以將IPv6數(shù)據(jù)通過(guò)隧道方式傳送到外部。PDSN仍需支持基于IPv4的到PCF的A10和A11 接口。如果PDSN具有純IPv6連接,而終端協(xié)議為IPv4,PDSN必須具有某種翻譯機(jī)制。
DNS:現(xiàn)有的DNS服務(wù)器必須支持雙協(xié)議棧,包含IPv6業(yè)務(wù)使用的AAAA記錄,能夠接受通過(guò)IPv4或IPv6的DNS查詢。如果運(yùn)營(yíng)商希望動(dòng)態(tài)配置歸屬地址,HA或者AAAH(歸屬地AAA)必須在歸屬地址的DNS改變時(shí),發(fā)送DNS更新到DNS服務(wù)器。
無(wú)線網(wǎng)絡(luò):可保持不變,但PCF必須可以基于IPv4的A10和A11接口來(lái)與雙協(xié)議棧的PDSN進(jìn)行通信。
終端:為雙協(xié)議棧,支持IS-835規(guī)范(cdma2000 wireless IP network)。
HA:如果運(yùn)營(yíng)商需要支持永遠(yuǎn)在線,HA必須為雙協(xié)議棧,且支持移動(dòng)IPv6協(xié)議。
AS:如果網(wǎng)絡(luò)為純IPv6,HTTP服務(wù)器、Java、下載等應(yīng)用服務(wù)器必須支持雙協(xié)議棧。通信協(xié)議也需相應(yīng)改動(dòng)。
SIP服務(wù)器:必須支持雙協(xié)議棧,且SDP也應(yīng)支持IPv6。
cdma相關(guān)文章:cdma原理
評(píng)論