解放軍理工大學(xué)通信工程學(xué)院 黃耕文 王金
摘 要 綜合WLAN、移動IP及IP安全等領(lǐng)域最新技術(shù),從系統(tǒng)要求和系統(tǒng)結(jié)構(gòu)兩方面對如何實現(xiàn)寬帶無線移動接入網(wǎng)進行了研究。
要害詞 移動通信 寬帶無線接入 移動IP 無線局域
目前,第二代和第三代移動通信系統(tǒng)能夠為移動用戶提供廣域數(shù)據(jù)傳輸業(yè)務(wù),但它的數(shù)據(jù)傳輸能力有限,即使是正在開發(fā)的第三代移動通信系統(tǒng),為靜止用戶提供的數(shù)據(jù)業(yè)務(wù)速率僅為2Mb/s,仍不適宜需要實時高速數(shù)據(jù)傳輸能力的應(yīng)用場合,如實時視頻等。而另一個已成熟并標(biāo)準(zhǔn)化的技術(shù)是無線局域網(wǎng)WLAN技術(shù),目前有兩種類型的無線局域網(wǎng)技術(shù)標(biāo)準(zhǔn):IEEE80211和HiperLAN。它們都具有比第三代移動通信系統(tǒng)高得多的數(shù)據(jù)通信能力,如IEEE80211b可達(dá)11Mb/s,而HiperLAN1達(dá)到235Mb/s。
WLAN采用微蜂窩結(jié)構(gòu),每個蜂窩的半徑為幾十米,用多個蜂窩可覆蓋某個區(qū)域,在一定的地理區(qū)域內(nèi)為低速移動用戶提供寬帶移動接入能力。但它的數(shù)據(jù)鏈路層協(xié)議使得由WLAN收發(fā)器構(gòu)成的整個網(wǎng)絡(luò)對網(wǎng)絡(luò)層來說只是一條鏈路。在網(wǎng)絡(luò)中,主機的移動相對于IP層是不可見的。因此,假如節(jié)點移動時跨越路由器,由于IP報文的尋址、路由問題,正在進行的通信被中斷。這就要求網(wǎng)絡(luò)內(nèi)的所有主機必須在一個IP子網(wǎng)內(nèi),嚴(yán)重限制了WLAN的覆蓋范圍。
本文介紹的寬帶無線移動接入網(wǎng)技術(shù),通過WLAN與最新IP技術(shù)的結(jié)合,解決了移動主機跨網(wǎng)段漫游時IP報文的路由問題,從而可以在廣域環(huán)境下的局部熱點區(qū)域,如機場、校園和會展中心等,為用戶提供寬帶數(shù)據(jù)無線移動接入服務(wù),同時解決商業(yè)運營環(huán)境下的用戶認(rèn)證、授權(quán)、記賬、IP安全等問題。
1 寬帶無線移動接入網(wǎng)的要求
對于提供寬帶無線移動接入服務(wù)的系統(tǒng),必須滿足以下要求:
· 用戶標(biāo)識:用于標(biāo)識系統(tǒng)中的用戶,系統(tǒng)根據(jù)接入請求中提供的標(biāo)識對用戶進行認(rèn)證、授權(quán)和記賬,它也稱為網(wǎng)絡(luò)接入標(biāo)識NAI。根據(jù)最新的IETF建議,它應(yīng)滿足RFC2486、RFC2794要求,通常具有user@realm形式。
· 漫游問題:答應(yīng)用戶跨越治理域,在已簽署服務(wù)級協(xié)議的不同治理域內(nèi)漫游。
· 身份認(rèn)證:接入網(wǎng)須支持多種身份認(rèn)證類型,如CHAPRFC1994和EAPRFC2284。由于安全問題,盡量不采用PAPRFC1334。
· 伸縮性:網(wǎng)絡(luò)結(jié)構(gòu)必須提供足夠的伸縮性,答應(yīng)形成擁有眾多ISP成員的漫游聯(lián)盟。
· 地址分配和路由:除支持靜態(tài)歸屬IP地址分配外,網(wǎng)絡(luò)必須支持動態(tài)歸屬IP地址分配,這樣可節(jié)約大量的IP地址空間。同時,為了負(fù)載平衡及其他原因,答應(yīng)動態(tài)分配歸屬代理。
· 安全性:在漫游環(huán)境下,移動用戶和網(wǎng)絡(luò)將遭受到更多的安全威脅,網(wǎng)絡(luò)必須能夠阻止的各種惡意攻擊、保護網(wǎng)絡(luò)和傳輸數(shù)據(jù)的安全性。
· 實時記賬:為了欺騙檢測和風(fēng)險治理,實時記賬是非常必要的,必須提供實時記賬的支持。
· 切換問題:為盡量減小蜂窩切換對用戶的影響,應(yīng)最小化切換時延。
· 密鑰治理:為答應(yīng)大量跨越治理域的移動用戶安全、可靠地接入,應(yīng)最小化所要求的密鑰數(shù)。
2 系統(tǒng)結(jié)構(gòu)
系統(tǒng)由接入網(wǎng)絡(luò)、寬帶無線接入核心網(wǎng)絡(luò)BWACN和經(jīng)紀(jì)服務(wù)網(wǎng)絡(luò)Broker組成。每一部分都包含許多功能單元,下面分別介紹。
21 接入網(wǎng)絡(luò)
接入網(wǎng)絡(luò)AN位于移動用戶和寬帶無線移動接入核心網(wǎng)BWACN之間,在整個網(wǎng)絡(luò)邊緣。它基于請求網(wǎng)絡(luò)接入服務(wù)的用戶身份和提供這些服務(wù)的提供商的策略,以一個受控制的方式提供網(wǎng)絡(luò)接入服務(wù)。接入網(wǎng)絡(luò)包括以下幾個功能單元:
· 基站BS:它是給移動用戶提供服務(wù)的首個設(shè)備,在這個位置,用戶被認(rèn)證、執(zhí)行接入策略、授權(quán)網(wǎng)絡(luò)服務(wù)、審核和跟蹤資源使用情況等。它是實現(xiàn)網(wǎng)絡(luò)中安全措施和策略的第一個位置。滿足IEEE80211或HiperLAN協(xié)議的基站不能完全滿足上述要求,必須擴展它的功能。
· 網(wǎng)絡(luò)接入服務(wù)器NAS:它除了包括基本移動IP中外部代理的功能,還支持采用NAI作為標(biāo)識的移動用戶接入、發(fā)出外部代理通告消息、轉(zhuǎn)發(fā)歸屬代理通告消息、支持動態(tài)歸屬地址和動態(tài)歸屬代理分配等。歸屬和訪問移動用戶都通過它接入互聯(lián)網(wǎng)。
· DHCP:給需要配置轉(zhuǎn)交地址的移動用戶分配IP地址
· 防火墻FW:用于保證網(wǎng)絡(luò)安全,支持網(wǎng)絡(luò)防火墻間的安全隧道。
22 寬帶無線接入核心網(wǎng)絡(luò)BWACN
該網(wǎng)絡(luò)是整個接入網(wǎng)的核心部分,除綜合基本移動IP定義的歸屬網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的功能外,還進行許多擴展,以滿足商業(yè)營運系統(tǒng)的要求。如執(zhí)行用戶接入認(rèn)證和授權(quán)、移動性治理、動態(tài)歸屬代理和動態(tài)歸屬地址分配、動態(tài)更新DNS、快速切換、存儲與移動用戶有關(guān)的策略和輪廓、計賬等眾多功能。一個核心網(wǎng)絡(luò)可治理多個接入網(wǎng)絡(luò),每個核心網(wǎng)絡(luò)和它治理的所有接入網(wǎng)絡(luò)一起構(gòu)成一個治理域。核心網(wǎng)絡(luò)包括以下功能單元: · 歸屬代理HA+:它是基本移動IP中歸屬代理的擴展,主要執(zhí)行用戶注冊、跟蹤功能。
· 區(qū)域外部代理RFA:它并不直接給移動用戶提供外部代理服務(wù)。它的主要功能是轉(zhuǎn)發(fā)來自或前往接入網(wǎng)絡(luò)NAS的消息和和數(shù)據(jù)、生成NASRFA?xí)捗荑€和參與由AAA服務(wù)器生成的會話密鑰分配、治理本地域內(nèi)接入網(wǎng)絡(luò)間的切換、移動用戶位置的跟蹤等。
· AAA+服務(wù)器:提供用戶的認(rèn)證、授權(quán)和記賬服務(wù)。但標(biāo)準(zhǔn)的AAA服務(wù)器無法滿足要求,需對其擴展以提供移動性支持。同時作為注冊歸屬用戶的密鑰分配中心,為接入的每一個歸屬用戶分配臨時會話密鑰。
· 歸屬用戶寄存器HSR:是一個包含所有歸屬用戶輪廓、網(wǎng)絡(luò)策略和任何其他有關(guān)用戶數(shù)據(jù)的數(shù)據(jù)庫。
· 記賬數(shù)據(jù)服務(wù)器AS:用于存儲用戶消耗網(wǎng)絡(luò)資源的數(shù)據(jù)。為支持風(fēng)險治理,要求支持實時記賬功能。
· DNS服務(wù)器:在網(wǎng)絡(luò)中,采用動態(tài)DNS協(xié)議RFC2136,2137更新被動態(tài)分配IP地址的漫游歸屬用戶移動節(jié)點的DNS。由HDAF在移動用戶首次注冊并被動態(tài)分配IP地址時執(zhí)行更新操作。
· 歸屬域分配功能HDAF:發(fā)出歸屬代理HA通告消息,接收注冊請求消息,在歸屬域內(nèi)動態(tài)地給移動節(jié)點分配歸屬地址和歸屬代理。它轉(zhuǎn)發(fā)請求到網(wǎng)絡(luò)內(nèi)能夠處理請求的歸屬代理,并根據(jù)結(jié)果更新DNS。
· 防火墻FW:用于保證網(wǎng)絡(luò)安全,支持網(wǎng)絡(luò)防火墻間的安全隧道。
23 經(jīng)紀(jì)Broker服務(wù)網(wǎng)絡(luò)
依靠于使用的安全模型,隨著AAA+數(shù)量的增加,信任關(guān)系數(shù)以平方增加,嚴(yán)重限制網(wǎng)絡(luò)的規(guī)模,采用經(jīng)紀(jì)結(jié)構(gòu)使得多個治理域間能夠相互合作,而不要求各個治理域與其他所有治理域間有安全關(guān)聯(lián),從而解決伸縮性問題。另外還可提供各治理域間的結(jié)算服務(wù)。當(dāng)然,經(jīng)紀(jì)的使用也不排除在域間建立個別的信任關(guān)系。經(jīng)紀(jì)服務(wù)網(wǎng)絡(luò)包括以下功能單元:
· AAAB服務(wù)器:它與AAA+服務(wù)器功能不同,它提供AAA+服務(wù)器間的認(rèn)證、授權(quán)和記賬服務(wù)。同時在各治理域間安全地轉(zhuǎn)發(fā)各種消息,必要的時候,輔助在沒有直接關(guān)聯(lián)的域間建立安全關(guān)聯(lián)。
· 記賬數(shù)據(jù)服務(wù)器AS:用于存儲移動用戶消耗網(wǎng)絡(luò)資源的數(shù)據(jù),并提供結(jié)算服務(wù)。
· 防火墻FW:用于保證網(wǎng)絡(luò)安全,支持網(wǎng)絡(luò)防火墻間的安全隧道。
3 系統(tǒng)工作
由于增加了許多功能,系統(tǒng)的具體工作過程與基本移動IP有很大的差別。下面以代理搜索、用戶注冊、切換為例說明系統(tǒng)的工作過程。首先做以下假設(shè):
· 各治理域間已通過簽署服務(wù)級協(xié)議建立安全關(guān)聯(lián)。
· 各治理域內(nèi)部網(wǎng)絡(luò)間的通信可以認(rèn)為是安全的,即內(nèi)部的各主機間的相互信任。或各主機間已通過某種方法建立了相互間的安全關(guān)聯(lián)。
· 移動用戶與它們的歸屬域在注冊時已建立了某種安全關(guān)聯(lián)。
· 用戶采用NAI作為它的身份標(biāo)識,并采用CHAP認(rèn)證協(xié)議。
31 代理搜索
通過代理搜索,移動節(jié)點確定它是位于歸屬域還是外部域、監(jiān)測鏈路的切換、設(shè)法得到一個轉(zhuǎn)交地址。這里的工作過程與基本移動IP協(xié)議基本相同,不同的是由NAS發(fā)出的代理通告消息中除包含IP地址,還包含移動代理NAS或HDAF的NAI。移動節(jié)點根據(jù)接收代理通告消息中的NAI,而非IP地址確定它的位置。
32 注冊過程
假設(shè)移動節(jié)點MN位于外部域,采用外部代理轉(zhuǎn)交地址,請求由歸屬域分配歸屬代理和歸屬地址。注冊過程如下:
1利用用戶利用MN通過基站BS向接入網(wǎng)絡(luò)中的NAS發(fā)出注冊請求消息,消息中的移動節(jié)點歸屬地址和歸屬代理地址置為0,表示請求歸屬域分配歸屬地址和歸屬代理,在消息中增加移動用戶NAI擴展。 2NAS在收到的注冊請求后面添加必要的擴展,如NAS的NAI,然后判定注冊請求用戶屬于外部域的移動用戶,將消息轉(zhuǎn)發(fā)給本地域的RFA。
3RFA接收到請求,根據(jù)它所保存的訪問者列表判定是否需轉(zhuǎn)發(fā)請求。由于首次注冊,需要轉(zhuǎn)發(fā),它移去NAS添加的擴展,添加自己的擴展,如NAI,創(chuàng)建AAMobileNodeRequestAMR消息,將注冊請求消息放入AAA協(xié)議的AVPAttributeValuePair中。經(jīng)本地域的AAA+服務(wù)器AAAF向歸屬域發(fā)出注冊請求。
4AAAF接收到AMR,通過經(jīng)紀(jì)網(wǎng)絡(luò)向歸屬域轉(zhuǎn)發(fā)消息。
5經(jīng)紀(jì)網(wǎng)絡(luò)中的AAAB接收到消息AMR,根據(jù)消息中歸屬域的NAI,將消息轉(zhuǎn)發(fā)給歸屬域的AAA+服務(wù)器AAAH。
6AAAH接收到請求消息后,創(chuàng)建一個挑戰(zhàn)消息,經(jīng)AAAB、AAAF、RFA、NAS和BS回送到MN。MN向用戶提出挑戰(zhàn),用戶響應(yīng)挑戰(zhàn)。MN創(chuàng)建新的注冊請求消息,該消息包括挑戰(zhàn)響應(yīng)和來自挑戰(zhàn)消息中的狀態(tài)屬性,新注冊消息沿與前一注冊請求相同的路徑送至AAAH。
7AAAH接收到新的注冊請求消息,根據(jù)HSR中的用戶數(shù)據(jù)對用戶進行認(rèn)證,假如成功通過認(rèn)證,AAAH創(chuàng)建3個短期會話密鑰:移動-外部、外部-歸屬和移動-歸屬會話密鑰。AAAH向HDAF發(fā)出HomeAgentMIPRequestHAR消息,消息中包括這3個會話密鑰。
8HDAF接收到HAR消息,根據(jù)網(wǎng)絡(luò)內(nèi)各歸屬代理HA的負(fù)載情況,為移動節(jié)點分配歸屬代理和歸屬代理地址,創(chuàng)建注冊請求消息,將請求發(fā)送到分配的HA。注冊請求中包括3個會話密鑰。
9HA處理注冊請求,保存與它有關(guān)的會話密鑰。創(chuàng)建注冊應(yīng)答消息,發(fā)送應(yīng)答消息到HDAF。在注冊應(yīng)答中包括3個會話密鑰。
10HDAF接收到注冊應(yīng)答消息,創(chuàng)建HomeAgentMIPAnswerHAA消息,消息中包括分配給移動節(jié)點歸屬地址和歸屬代理地址,及相應(yīng)的NAI和3個會話密鑰。發(fā)送消息到AAAH,然后更新DNS。
11一旦AAAH接收到HAA消息,AAAH創(chuàng)建消息AAMobileNodeAnswerAMA,包括注冊應(yīng)答消息和授權(quán)等數(shù)據(jù),經(jīng)AAAB到AAAF。這里,由AAAH、AAAB和AAAF逐跳間的安全關(guān)聯(lián)保證3個會話密鑰在傳輸過程的安全性。
12AAAF接收到AMA消息后,解密存放會話密鑰的AVP,然后發(fā)送給RFA。
13RFA提取有用數(shù)據(jù)如移動-外部和外部-歸屬認(rèn)證,生成MNNAS臨時
會話密鑰,創(chuàng)建應(yīng)答消息,消息包含它的NAI及必要的擴展,然后發(fā)送給NAS。NAS從接收的消息中提取數(shù)據(jù)創(chuàng)建注冊應(yīng)答消息,發(fā)送消息到BS。消息包括分配給移動節(jié)點的歸屬地址,歸屬代以及移動-歸屬、MNNAS會話密鑰等數(shù)據(jù)。
14基站根據(jù)接收到的消息提供授權(quán)的服務(wù),并開始記賬。轉(zhuǎn)發(fā)消息到移動節(jié)點。
15移動節(jié)點接收并處理注冊應(yīng)答,完成整個注冊過程。
33 切換過程
系統(tǒng)中存在3種不同類型的切換。第一種是同一接入網(wǎng)絡(luò)內(nèi)不同蜂窩間的切換。該微移動性治理主要由WLAN標(biāo)準(zhǔn)提供,并增加基站間授權(quán)數(shù)據(jù)及記賬和接入策略的轉(zhuǎn)移。
MN根據(jù)接收到的外部代理和訪問域的代理通告消息確定是否需進行不同治理域間還是不同接入網(wǎng)絡(luò)間的切換。假如收到的兩個消息中的NAI均與移動節(jié)點保存的外部代理和訪問域代理的NAI不同,則發(fā)生不同治理域間的切換,假如外部代理通告消息的NAI與保存的NAI不同,而訪問域代理的NAI相同,則發(fā)生同一治理域內(nèi)不同接入網(wǎng)絡(luò)間的切換,它們都屬于宏移動性治理。對于第一種情況,注冊過程與前面所述的基本相同,只是此時無需動態(tài)分配歸屬代理和歸屬地址。對于第二種切換,可采用下述過程,進行區(qū)域注冊,在訪問域內(nèi)完成切換,在不降低安全性的條件下,最小化切換時間。
1MN通過BS向新接入網(wǎng)絡(luò)中的NAS發(fā)出注冊請求消息,消息包含移動用戶和歸屬域的NAI。
2NAS在收到的注冊請求的后面添加必要的擴展,如NAS的NAI,然后將消息轉(zhuǎn)發(fā)給本地域的外部代理RFA。
3RFA接收到請求,根據(jù)收到的請求和它所保存的訪問者列表確定切換可在本地域內(nèi)完成,從保存的數(shù)據(jù)中提取移動-歸屬會話密鑰信息和歸屬代理等信息,生成新的MNNAS臨時會話密鑰,創(chuàng)建注冊應(yīng)答消息,然后發(fā)送給NAS。同時,發(fā)消息給舊NAS及BS,釋放相應(yīng)資源。
4NAS從接收的消息中提取數(shù)據(jù)創(chuàng)建新的注冊應(yīng)答消息,發(fā)送消息經(jīng)BS到移動節(jié)點。
5移動節(jié)點接收注冊應(yīng)答并處理,完成整個切換過程。
4 總結(jié)
未來的個人通信網(wǎng)絡(luò)肯定不會是采用單一接入技術(shù)的網(wǎng)絡(luò),而是集成多種不同的接入技術(shù),如2G和3G移動通信系統(tǒng)、WLAN和LMDS等,以滿足用戶的不同需求。本文對如何采用WLAN、移動IP及IP安全等領(lǐng)域最新技術(shù),實現(xiàn)寬帶無線移動接入網(wǎng)進行了研究。首先提出網(wǎng)絡(luò)的要求,接著給出了系統(tǒng)結(jié)構(gòu),最后以代理搜索、用戶注冊和切換為例描述了系統(tǒng)的工作過程。該網(wǎng)絡(luò)能為移動用戶在局部熱點區(qū)域提供安全、可靠和高效的寬帶數(shù)據(jù)無線接入服務(wù),使移動的用戶能像在辦公室一樣方便安全地通過無線接入網(wǎng)絡(luò)訪問各種網(wǎng)絡(luò)資源。
新聞熱點
疑難解答
圖片精選
