3G 移动通信系统将是一个能综合实时业务、非实时业务、宽带业务、窄带业务的网络,能够满足多媒体和视频业务发展的需求。同时,业务承载网应提高安全性并能够提供服务质量保证。因此,3G 移动通信系统应同时拥有Internet 和电信网的一系列特性。目前,移动设备越来越多,这些设备同时也提出了连接Internet 的需求。IPv6 不但有足够多的地址分配给这些移动设备。而且利用IPv6 的地址自动配置、地址体系结构能使移动通信变得更加简单。同时,移动用户在跨网络随意移动和漫游过程中使用基于TCP/IP 的网络时,并不希望随时手动或自动修改移动设备的IP 地址,而是希望继续使用原有的IP 地址,并享有原网络中的一切权限和服务。因此,移动IPv6 技术成为IPv6 协议不可分割的一部分,特别是在未来3G 网络的建设中,移动IPv6 技术将成为移动运营商必须做出选择的一项重要技术。
1 、移动IPv6 技术简介
1996 年IETF 公布了第一个移动IPv6 草案,到2004 年初IPv6 主机移动协议草案已经发展到了第24 号版本,并于2004 年6 月发布的RFC3775 成为第一个移动IPv6 标准。移动IPv6 利用IPv6 自动配置、优化的报头和扩展选项,简化了主机移动协议的设计,解决了移动IPv4 入口过滤、三角路由等问题,并降低了网络开销,提高了工作性能。
(1 )移动IPv6 的组成
图1 显示出了移动IPv6 的各个组成部分。
图1 移动IPv6 的组成
移动IPv6 与移动IPv4 一样,同样存在家乡链路(Home Link )和外地链路(Foreign Link )。家乡链路就是具有本地子网前缀的链路,移动节点使用本地子网前缀创建家乡地址(Home Address )。外地链路就是非移动节点家乡链路的链路,外地链路具有外地子网前缀,移动节点使用外地子网前缀创建转交地址(Care-of Address )。移动IPv6 的家乡地址就是移动节点在家乡链路时所获得的地址,无论移动节点位于IPv6 互联网中的哪个位置,移动节点的家乡地址总是可到达的。移动IPv6 的转交地址是移动节点位于外地链路时所使用的地址,由外地子网前缀和移动节点的接口ID 组成。移动节点可以同时具有多个转交地址,但只有一个转交地址可以在移动节点的家乡代理(Home Agent )中注册成为主转交地址。
与移动IPv4 不同,在移动IPv6 中只有家乡代理的概念,而取消了外地代理。移动节点的家乡代理是家乡链路上的一台路由器,主要负责维护离开本地链路的移动节点以及这些移动节点所使用的地址信息。如果移动节点位于家乡链路,则家乡代理的作用与一般的路由器一样,它将目的地为移动节点的数据包正常转发给移动节点;当移动节点离开家乡链路时,则家乡代理将截取发往移动节点家乡地址的数据包,并将这些数据包通过隧道发往移动节点的转交地址。
对端节点就是与离开家乡的移动节点进行通信的IPv6 节点,对端节点可以是一个固定节点,也可以是一个移动节点。
(2 )移动IPv6 的工作原理
移动节点总是希望通过其家乡地址寻址,无论该节点是否连接在家乡链路。因此,我们分两种情况分析移动IPv6 的基本工作原理。
移动节点连接在家乡链路时 当移动节点在家乡时,发送至家乡地址的数据包使用传统的互联网路由机制路由至移动节点的家乡链路,其工作方式与任何固定的主机和路由器的工作方式一致,无需赘述。
移动节点离开家乡链路连接到某外地链路时 移动节点移动到外地时,其工作过程如下。
a. 采用IPv6 定义的地址自动配置方法得到外地链路上的转交地址。 b. 移动节点将它的转交地址通知给家乡代理。移动节点的转交地址和家乡地址的映射关系称为一个“ 绑定” 。移动节点通过绑定注册过程把自己的转交地址通知给位于家乡网络的家乡代理(HA )。 c. 如果可以保证操作时的安全性,移动节点也将它的转交地址通知几个对端节点。 d. 不知道移动节点转交地址的对端节点送出的数据包和移动IPv4 一样进行路由,它们先被路由到移动节点的本地网络,从那里家乡代理再将它们经过隧道送到移动节点的转交地址。 e. 知道移动节点转交地址的对端节点送出的数据包可以利用IPv6 选路报头直接送给移动节点,选路报头将移动节点的转交地址作为一个中间目的地址。 f. 在相反方向,移动节点送出的数据包采用特殊的机制被直接路由到它们的目的地。然而,当存在入口方向的过滤时,移动节点可以将数据包通过隧道送给家乡代理,隧道的源地址为移动节点的转交地址。
2 、移动IPv6 的安全性
移动IPv6 提供了许多安全特性。其中包括对家乡代理和对端节点的绑定更新保护、移动前缀发现保护和移动IPv6 使用的数据包传输机制的保护。然而,移动IP 必须面对所有无线网络所固有的安全威胁。此外,移动IPv6 协议通过定义移动节点、家乡代理和对端节点之间的信令机制,在实现了三角路由优化的同时,也引入了新的安全威胁。目前,移动IPv6 可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。
针对重放攻击,移动IPv6 协议在注册消息中添加了序列号,并且在协议报文中引入了时间随机数(Nonce )。家乡代理和对端节点可以通过比较前后两个注册消息序列号,并结合Nonce 的散列值,来判定注册消息是否为重放攻击。若消息序列号不匹配,或Nonce 散列值不正确,则可视之为过期注册消息,不予以处理。
移动节点和家乡代理之间可以建立IPsec 安全联盟来保护信令消息和业务流量。由于移动节点的归属地址和家乡代理都是已知的,可以预先为移动节点和家乡代理配置安全联盟,然后使用IPsec AH 和ESP 建立安全隧道,提供数据源认证、完整性检查、数据加密和重放攻击防护。
移动IPv6 协议定义了往返可路由过程(RRP ,Return Route ability Procedure )。通过产生绑定管理密钥,来实现对移动节点和对端节点之间控制信令的保护。
3 、移动IPv6 与移动IPv4 技术比较
相对于目前广泛应用于无线网络的IPv4 技术,移动IPv6 的优势非常明显,这些优势主要体现在以下几个方面。
(1 )地址数量大大增加
移动IPv6 的128 位地址长度对于充满生机的移动市场来说是非常诱人的。另外,采用移动IPv6 之后将不再需要NAT ,这将使移动IPv6 的部署更加简单直接,由于不再需要管理内部地址与公网地址之间的网络地址翻译和地址映射,网络的部署工作只需要管理比移动IPv4 少的网络元素和协议即可。
(2 )可以实现端到端的对等通信
NAT 被广泛地使用在互联网上,绝大多数的应用都是基于客户端/ 服务器的方式。这种状况完全无法满足人们对未来移动网络的要求。移动手机之间以及与其他网络设备之间的通信绝大部分都要求是对等的,因此需要有全球地址而不是内部地址。去掉NAT 将使通信真正实现全球任意点到任意点的连接。
(3 )地址的结构层次更加优化
移动IPv6 不仅能提供大量的IP 地址以满足移动通信的飞速发展,而且可以根据地区注册机构的政策来定义移动IPv6 地址的层次结构,从而减小路由表的大小,并且可以通过地区本地地址和选路控制来定义某个组织的内部网络。
(4 )内嵌的安全机制
移动IPv6 将安全作为标准的有机组成部分,安全的部署是在更加协调统一的层次上,而不是像IPv4 那样通过叠加的解决方案来实现。通过移动IPv6 中的IPsec 可以对IP 层上(也就是运行在IP 层上的所有应用)的通信提供加密/ 授权。通过移动IPv6 可以实现远程企业内部网(如企业VPN 网络)的无缝接入,并且可以实现永远连接。
(5 )能够实现地址的自动配置
移动IPv6 中主机地址的配置方法要比移动IPv4 中的多,任何主机IPv6 的地址配置包括无状态自动配置、全状态自动配置和静态地址。这意味着在移动IPv6 环境中的编址方式能够实现更加有效率的自我管理,使得移动、增加和更改都更加容易,并且显著降低网络管理的成本。
(6 )服务质量(QoS )提高
服务质量是多种因素的综合问题。从协议的角度来看,移动IPv6 的头标增加了一个流标记域,20 位长的流标记域使得任何网络的中间点都能够确定并区别对待某个IP 地址的数据流。
(7 )移动性更好
移动IPv6 实现了完整的IP 层的移动性。特别是面对移动终端数量剧增,只有移动IPv6 才能为每个设备分配一个永久的全球IP 地址。由于移动IPv6 很容易扩展、有能力处理大规模移动性的要求,所以它将能解决全球范围的网络和各种接入技术之间的移动性问题。
(8 )结构比移动IPv4 更加简单并且容易部署
由于每个IPv6 的主机都必须具备通信节点(CN )的功能,当与运行移动IPv6 的主机通信时,每个IPv6 主机都可以执行路由的优化,从而避免三角路由问题。另外,与移动IPv4 不同的是,移动IPv6 中不再需要外地代理(FA )。IPv6 地址的自动配置还简化了移动节点转交地址(CoS )的分配。
4 、移动IPv6 技术在3G 核心网中的应用
无论是3GPP 的UMTS 还是3GPP2 的CDMA2000 系统,它们的系统架构都将向全IP 的方向演进和发展,包括对、数据、多媒体等业务形式的承载是基于IP 的;端到端的业务呼叫模型是基于IP 的;RAN 及CN 核心的网络交换和呼叫控制也是基于IP 的。而在3G/B3G 的系统规划中,3GPP 、3GPP2 规范的方向均确定了IPv6 是3G/B3G 网络承载、业务应用的发展方向。在3G/B3G 的IMS 阶段,网络系统(包括分组域和电路域)将全面基于或兼容IPv6 。
移动IP 技术是在原有IP 技术上引入的一种新的路由策略,上层基于IP 地址的业务不会因为节点的移动而中断,这种可移动性是建立在第三层的基础上的,因而可以屏蔽底层链路的异质性。在UMTS 中引入移动IP 技术是为了弥补原有移动通信系统中移动性管理的不足。
在UMTS 中应用移动IPv6 的原理如图2 所示。图中,实线表示UE 到归属地的注册过程;虚线表示UE 和通信节点间的绑定过程,这是UE 给通信节点发送数据的通道,也是UE 和通信节点绑定后,数据从通信节点到UE 的通道;点划线表示CN 发向UE 的数据报首先被路由到归属地代理。
图2 在UMTS 中应用移动IPv6 的工作原理
一个移动的UE 开机时,首先检测是否在其归属地网络中。如果是,则不需要移动IP 的相关操作(包括地址分配和隧道建立),但是,必须每隔一段时间检测是否在归属地网络。防火墙的安置随安全性要求的强弱而定,一般安置在GGSN 和外部网络的连接处。如果UE 检测到当前的网络不是归属地网络,那么,当前网络的GGSN 或者与GGSN 相连的DHCP (动态主机配置协议)服务器通过动态地址分配方案给UE 分配一个临时的IP 地址,称为转交地址(Care of Address ,CA )。然后,UE 将CA 和HA (归属地地址)向HPLMN (归属公共陆地移动网)的归属地代理(在图2 中的归属地代理可以由GGSN 或者归属地网络的边缘路由器来充当)发送绑定请求报文,告诉归属地代理当前的CA 。归属地代理接收后,发送绑定响应给UE ,这样绑定过程完成。归属地代理将引导所有发送给UE 的数据报传输到归属地代理,然后通过隧道传送到UE 当前的CA 处(UE 实际位置)。移动节点发送数据包时,把一个CA 作为源地址,将归属地地址写入归属地地址选项中,这样可以解决入口过滤的问题(因为有的路由器具有源路由过滤功能)。与UE 通信的节点(CN )将归属地地址拷贝到源地址中,这样对上层来说,就认为数据报是从源地址发送过来的,并没有感受到UE 的移动,这保证了移动对上层的透明性。UE 收到CN 的数据报后,会直接发送绑定请求给CN ,CN 接收后,发送绑定响应给UE ,以后的数据报直接发送到CA 处,而不用通过归属地代理进行中转,这是移动IPv6 优化路由的特点。所有这些都是在第三层完成的,上层的数据通信感觉不到这种变化,也就是说,基于IP 的应用不会因为UE 的移动而终止。
5 、结束语
3G 的发展方向将是一个全IP 的分组网络,3G 业务将以数据和互联网业务为主,在3G 网络上将承载实时、移动多媒体、移动电子 IPv6 将是实现这些服务的关键。如果说3G 的发展推动了IPv6 的发展和标准化,那么IPv6 协议的诸多优越特性则为3G 网络的发展奠定了坚实的基础,IPv6 有庞大的地址空间、对移动性有良好的支持、有服务质量的保证机制、安全性和地址自动分配机制等。3GPP 将IPv6 作为3G 必须遵循的标准,国内外很多通信厂商正致力于构建基于IPv6 的全IP 的3G 核心网(All-IP Core )。
但是移动IPv6 是一项新的网络基础技术,从标准到研发到部署到应用的过程中还有很多细节没有经过验证。对于运营商来说,将面临着来自多方面(如技术、成本、经济、应用等)的挑战。在对当前技术、市场需求了解以及对IPv6 、3G 等技术发展趋势深刻把握的基础上,中国的移动运营商需要在建设IPv6 商用网之前,积累足够的IPv6 网络建设和运营经验,以便为建设基于IPv6 的3G 网络和顺利地将现有的移动互联网向IPv6 迁移做好准备。
来源:中国联通网站
