电脑技术学习

移动IP的多层次位置管理及路由优化

dn001

  摘 要 移动IP采用三角路由机制,其切换时延大,分组丢失较严重。本文提出了多层次位置治理的方法,取得了快速平滑的切换,并结合VPN技术,安全地优化了路由,从而改善了业务的QoS。
  
    要害词 移动IP 局部注册 移动猜测治理 路由优化 虚拟专用网
  
  1 引言
  
    移动IP [ RFC 2002 ] 定义了移动节点(MN)、本地代理(HA)和外地代理(FA)三种功能实体。MN是一台主机或路由器,每台MN有两个地址:本地地址和外地地址(CoA)。本地地址是指永久的分配给该节点的地址,当MN在Internet上移动时,其本地地址是不变的;CoA是连接HA和MN(或CoA)的隧道的出口,当切换链路时,CoA地址也随之改变。
  
    传统移动IP的路由机制采用三角路由,即当MN作为被叫时,CN(通信对端)发出的数据分组必须先MN的HA,再由HA隧道给CoA,在CoA处解隧道封装后送往MN。
  
    为了保证数据移动通信QoS,移动IP需要优化路由并取得快速平滑切换,这需要有高效的位置治理机制。江虹等人在比较分析了当前的位置治理系统的优缺点的基础上,提出了二层HLR(Home Location Registration)法的位置治理策略。该策略定义了归属域HLR及切换域HLR,通过将移动用户的信息暂存于切换域HLR,当移动用户在归属域HLR内切换时,系统在执行相关位置治理操作时能最大限度地减小长途登记、注销信令负荷,但增加了移动用户的呼叫时延和开销。从而二级HLR法很适合于入呼移动比较小的移动用户。本文提出的多层次位置治理机制在二级HLR法的基础上,可根据需要采用多级(包括二级)HLR,并通过猜测机制设法减小切换时延。
  
    由于安全机制的限制,人们一般认为优化移动IP的路由机制意义不大,从而对这个问题也是避而不谈。本文通过构建远程访问VPN,在通信双方相互认证的基础上,建立两者之间的安全的优化路由,从而解决了路由优化的安全性问题。
  
  2 多层次位置治理
  
    多层次位置治理的核心是切换域局部注册及位置猜测。
  
  2.1 局部注册协议
  
    采用多层次位置治理方法能尽可能地减少注册时延及切换时延。在固网边缘,基站为MN提供接入接口。一个基站覆盖一定地理区域,若干这种地理区域(或基站)构成一个注册域RA(Registration Area)。一个MSC(Mobile Switching Center)与多个注册域相关联。切换域HLR和VLR(Visitor Location Registra- tion)为保存着移动用户的位置及服务等信息的数据库。其中HLR保存着HLR区域(局部注册域)内所有已注册移动用户的位置及地址信息,而VLR保存着与它相关联的MSC的RA中的移动用户的信息。切换域HLR上一级HLR保存着该上级HLR域内所有已注册移动用户的位置及地址信息;更上一级的HLR(直至归属域HLR)亦然。
  
    当MN在一个RA内由一个基站移动到另一个基站时,MN可通过当前基站向RA注册。RA具有HA的一部分功能,若MN已在RA注册,则RA向当前基站返回注册应答。发往MN的数据由RA隧道给当前基站,在当前基站处解隧道封装将数据送到MN。
  
    当MN从一个RA移动到另一个RA时,MN向HLR1注册其当前RA中的CoA。如图1所示,当MN由MSC2下的RA2移动到MSC3下的RA3时,MN通过当前MSC向HLR2发出局部注册请求,注册其当前RA中的CoA:(1)VLR3收到MN的注册请求,产生临时注册;(2)切换域HLR2收到VLR3的注册请求,确定其为切换进来的新用户。若HLR2专用存储区中无该用户的记录信息,则HLR2在其专用存储区中生成临时记录,并向VLR3发确认信息(含MN的合法性检查);(3)VLR3向RA3 并从而向MN确认。然后,HLR2通知MSC2 MN已弃之而去,从而MSC2在VLR2中为MN进行注销,而MSC3由于MN的注册而更新VLR3中的相关信息,保存MN的地址和位置信息,直至MN又弃之而去并注销为止。注册请求得到应答后,发往MN的数据分组在HLR2处隧道给当前RA,RA知道MN的当前BS位置,解隧道封装后再隧道给当前BS,由BS转发分组给MN。
  
    当MN从HLR1域移动到HLR2域时,当MN从MSC1/VLR1下的RA1移动到MSC2/VLR2下的RA2时,MN通过当前MSC2向HLR发出局部注册请求,注册其当前RA2中CoA:(1)VLR2收到MN的注册请求,产生临时注册;(2)切换域HLR2收到VLR2的注册请求,确定其为切换进来的新用户。若HLR2专用存储区中无该用户的记录信息,则HLR2在其专用存储区中生成临时记录,并向VLR2发确认信息(含MN的合法性检查),且向上一级HLR转发注册请求;(3)上一级HLR更新MN的位置信息,并向MN的位置HLR2发确认信息(含MN的合法性检查);HLR2向VLR2发确认信息(含MN的合法性检查);(5)VLR2向RA2 并从而向MN确认。类似情况,其注销过程也与上述HLR2域内的相似。
  
    依次类推,每一级HLR负责该级直接下属HLR间切换的移动用户的注册,而不必远程的HA的参与。这种多层次的智能位置治理机制可最大限度地降低注册时延,再引入位置猜测机制,可降低切换时延,从而提高系统的效率和性能。
  
  2.2 位置猜测机制
  
  2.2.1 移动IP的位置猜测
  
    为了取得平滑切换,在本地注册域内采用邻居单播的方法,由RA或HLR同时单播分组给即将到达的新BS及当前BS,新BS预先缓存分组。当MN切换到该BS时,新BS将MN还没接收到的分组转发给MN,从而实现切换的最小分组丢失。如图2,处于BS 1处的MN告诉BS 1它的位置状态信息(方向、距离等),BS 1根据这些信息猜测MN即将去往的相邻基站BS 2,并在MN即将离开自己时通知HLR该位置猜测结果,要求HLR同时单播分组到BS 2,BS 2缓存分组。当MN进入BS 2的蜂窝时,BS 2转发缓存的MN没有收到的数据给MN。
  
    一般说来,MN不是随机的、而是可以猜测的移动。比如,在街道上的MN,应当沿着街道的方向移动。因此,在非凡的区域,根据MN以前的位置状态,可以猜测MN的下一个基站。
  
    假定自由空间的传输模式,MN接收到基站的信号强度取决于两者之间的距离,若MN在基站的无线通信范围内,可以收到所有分组,否则,丢失所有分组。设i为与当前基站BS0相邻的六个基站以及当前基站BS0中的一个,如图3,(xi, yi)为基站i的发射塔位置,(x,y)为MN的当前位置,则MN与基站i之间的距离  di=(i=0,1,2,3,4,5,6)
  
    随着MN的移动,di也随着改变,其中可能有三(四)个会随之减小,而另四(三)个则随之增加。di减小的基站极有可能是MN可能去往的基站。当di=R(R为基站的无线通信范围的半径。满足这个条件的基站i最多有三个)时,MN已进入基站i的无线通信范围内,但还没有中断与当前基站BS0的通信,这时当前基站通知RA或HLR其单播邻居列表,RA或HLR根据单播邻居单播列表单播分组,基站i缓存分组。当MN进入基站i的蜂窝时,在切换期间缓存的分组及时发送到MN。
  
  2.2.2 移动IP的接续猜测
  
    当基站i接收到MN的注册请求时,使用多层次移动治理处理该请求。首先,基站i检查该MN是否是新注册的,若是,则在适当的HLR中保存该地址,同时根据扩展的注册请求消息进行位置猜测,产生单播邻居列表和邻居单播通知距离dn=R(即当di=R时当前基站通知RA或HLR根据单播邻居列表向基站i单播分组)。并转发该注册请求到RA;否则,当前基站检查是否到了通知距离,若是,把单播邻居列表附在注册请求消息中转发给RA。基站接收到有关该MN的第一次注册响应时,检查其缓冲区,看是否有该MN的分组,若有,则转发。为防止收到相同的分组,在注册请求消息中表明其最近收到的分组ID,基站将据此转发。
  
  3 优化路由的VPN安全解决方案
  
    移动IP的注册本地化机制给路由优化提供了便利。当CN要向MN发送数据分组时,CN问寻HLR而获得MN的当前CoA,然后直接将数据分组隧道给MN的CoA,CN可以捆绑MN的CoA,以便下一次发送数据分组时无需再次访问HLR。由于路由优化会带来新的安全问题,为解决安全问题而为CN与MN进行相互认证的密钥数目必定呈几何级数增长,因而路由优化一般被认为意义不大。但虚拟专用网(VPN)技术有望解决这一问题。VPN技术应用于解决移动IP的安全问题时采用IPSec协议。
  
    VPN能够提供数据加密(保证通过公共网传输的信息只有合法用户才能读懂)、信息认证(保证信息的完整性与合法性)和身份认证(保证通信双方是真实的身份)三方面的功能来保证网络数据的安全可靠传输。移动用户通过构建远程访问VPN而实现与企业之间的安全通信。
  
  3.1 IPSec协议
  
    链路层安全协议IPSec是实现远程访问VPN的常用协议。IPSec协议主要包括认证头AH(Authentication Header)、ISAKMP(Internet Security Association and Key Management Protocol)和安全封装载荷ESP(Encapsulating Security Payload)三个子协议。它适合于向IPv6迁移,并对所有链路层上的数据提供安全保护和透明服务。
  
    两个IPSec系统通过两个安全关联(SA)实现双向逻辑连接。一个单向SA可用一个三元组唯一地表示:〈Security Parameter Index,IP Destination Address,Security Protocol〉即〈安全参数索引SPI,目的IP地址,安全协议〉。
  
    其中安全参数索引是一个32bit数,用于标示具有相同IP地址和相同安全协议的SA。SPI被放置在安全协议(AH或ESP)的头部中。SPI由SA的创建者定义,表示了发方加密数据包时所采用的加密算法和加密密钥。目的IP地址是普通主机IP地址。安全协议可以AH或ESP。AH或ESP采用的模式决定了SA的使用模式:传输模式或通道模式。
  
    安全关联和交换密钥的建立使用IPSec协议ISAKMP/Oakley子协议。首先,建立ISAKMP安全关联以使用公钥算法来认证远程主机的永久标识(ISAKMP答应远程访问主机用一个永久标识(名字E-mail地址而不是动态分配的IP地址)来标识自己)。其次,建立协议安全关联以协商多个安全关联,其中每一个安全关联有自己的密钥原料(它们的SPI不同)。协商好多个安全关联后,发送方就可以决定用哪一种SA来保护一个给定的数据报文。无论所收到的报文是由所协商的哪一个SA保护,接收方都必须能够处理。
  
    第一阶段的协商采用的是大计算量的公钥(D-H公钥算法)密码操作,而第二阶段用的是计算量较少的对称密码操作。而第一阶段只在拨号连接初始化时使用一次,从而在保证安全通信的前提下最大限度地减小了计算开支。
  
  3.2 优化路由的远程访问VPN
  
    利用远程访问VPN,即远程主机(MN)使用PPP拨入一个ISP,再使用IPSec协议通过因特网访问一个受防火墙(FW)保护的内部网的服务器(CN),从而建立远程用户到公司内部网的安全连接。
  
    通常情况下,传输模式用在一个连接的两个端点之间,而使用通道模式的两台机器之间至少有一台是网关。因而远程访问VPN的一个典型配置是MN和FW之间使用通道模式的AH,而MN和CN之间使用传输模式的ESP。这种配置同时也基于IPSec协议组合使用中的一个实用原则,即在收到一个有两种协议头部的报文时,IPSec应当是先认证后解密。从而发送方对他发出的数据应当先作ESP处理,再作AH处理。这种组合方式如下所示:
  
    在传统IP下,当MN作为被叫时,主叫方CN发往MN的数据分组必须先路由给MN的HA,再由HA隧道给MN。这种三角路由机制不但增加了无线网络开销,而且当MN越区切换较频繁时必将导致较大的切换时延和较多的分组丢失,无法保证实时业务的QoS性能。通过构建远程访问VPN,采用IPSec协议组合的通道模式,建立远程用户到公司内部网的服务器的直达的安全路由。结合位置猜测机制,可降低切换时延及丢包率,从而满足移动用户对实时业务的需求。
  
  4 结束语
  
    传统移动IP产生的注册时延、切换时延及丢包,不能保证业务的QoS性能。本文提出的多层次位置治理方法利用局部注册及移动猜测治理,降低了时延及丢包率,并有利于优化路由,从而取得很好的QoS保证,能满足实时业务的需求。
  
    路由优化的最要害问题是安全问题,即通信双方的相互认证以及防止窃听。本文最后提出通过构建远程访问VPN可以提供认证及防窃听和攻击,并使用组合方式的通道模式及引入位置猜测机制能快速地建立通信双方安全通信的双向通道。从而基本解决了路由优化的安全问题。