移動IP的多層次位置管理及路由優化

2019-11-03 09:08:06

字體：大中小

來源：轉載

供稿：網友

賀攀峰劉宏立
（湖南大學電氣與信息工程學院長沙410082）　　摘要移動ip采用三角路由機制，其切換時延大，分組丟失較嚴重。本文提出了多層次位置管理的方法，取得了快速平滑的切換，并結合VPN技術，安全地優化了路由，從而改善了業務的QoS。

　　關鍵詞移動IP 局部注冊移動預測管理路由優化虛擬專用網

1 引言

　　移動IP [ RFC 2002 ] 定義了移動節點（MN）、本地代理（HA）和外地代理（FA）三種功能實體。MN是一臺主機或路由器，每臺MN有兩個地址：本地地址和外地地址（CoA）。本地地址是指永久的分配給該節點的地址，當MN在Internet上移動時，其本地地址是不變的；CoA是連接HA和MN（或CoA）的隧道的出口，當切換鏈路時，CoA地址也隨之改變。

　　傳統移動IP的路由機制采用三角路由，即當MN作為被叫時，CN（通信對端）發出的數據分組必須先MN的HA，再由HA隧道給CoA，在CoA處解隧道封裝后送往MN。

　　為了保證數據移動通信QoS，移動IP需要優化路由并取得快速平滑切換，這需要有高效的位置管理機制。江虹等人在比較分析了當前的位置管理系統的優缺點的基礎上，提出了二層HLR（Home Location Registration）法的位置管理策略。該策略定義了歸屬域HLR及切換域HLR，通過將移動用戶的信息暫存于切換域HLR，當移動用戶在歸屬域HLR內切換時，系統在執行相關位置管理操作時能最大限度地減小長途登記、注銷信令負荷，但增加了移動用戶的呼叫時延和開銷。從而二級HLR法很適合于入呼移動比較小的移動用戶。本文提出的多層次位置管理機制在二級HLR法的基礎上，可根據需要采用多級（包括二級）HLR，并通過預測機制設法減小切換時延。

　　由于安全機制的限制，人們一般認為優化移動IP的路由機制意義不大，從而對這個問題也是避而不談。本文通過構建遠程訪問VPN，在通信雙方相互認證的基礎上，建立兩者之間的安全的優化路由，從而解決了路由優化的安全性問題。

2 多層次位置管理

　　多層次位置管理的核心是切換域局部注冊及位置預測。

2.1 局部注冊協議

　　采用多層次位置管理方法能盡可能地減少注冊時延及切換時延。在固網邊緣，基站為MN提供接入接口。一個基站覆蓋一定地理區域，若干這種地理區域（或基站）構成一個注冊域RA（Registration Area）。一個MSC（Mobile Switching Center）與多個注冊域相關聯。切換域HLR和VLR（Visitor Location Registra-tion）為保存著移動用戶的位置及服務等信息的數據庫。其中HLR保存著HLR區域（局部注冊域）內所有已注冊移動用戶的位置及地址信息，而VLR保存著與它相關聯的MSC的RA中的移動用戶的信息。切換域HLR上一級HLR保存著該上級HLR域內所有已注冊移動用戶的位置及地址信息；更上一級的HLR（直至歸屬域HLR）亦然。

　　當MN在一個RA內由一個基站移動到另一個基站時，MN可通過當前基站向RA注冊。RA具有HA的一部分功能，若MN已在RA注冊，則RA向當前基站返回注冊應答。發往MN的數據由RA隧道給當前基站，在當前基站處解隧道封裝將數據送到MN。

　　當MN從一個RA移動到另一個RA時，MN向HLR1注冊其當前RA中的CoA。如圖1所示，當MN由MSC2下的RA2移動到MSC3下的RA3時，MN通過當前MSC向HLR2發出局部注冊請求，注冊其當前RA中的CoA：（1）VLR3收到MN的注冊請求，產生臨時注冊；（2）切換域HLR2收到VLR3的注冊請求，確定其為切換進來的新用戶。若HLR2專用存儲區中無該用戶的記錄信息，則HLR2在其專用存儲區中生成臨時記錄，并向VLR3發確認信息（含MN的合法性檢查）；（3）VLR3向RA3 并從而向MN確認。然后，HLR2通知MSC2 MN已棄之而去，從而MSC2在VLR2中為MN進行注銷，而MSC3由于MN的注冊而更新VLR3中的相關信息，保存MN的地址和位置信息，直至MN又棄之而去并注銷為止。注冊請求得到應答后，發往MN的數據分組在HLR2處隧道給當前RA，RA知道MN的當前BS位置，解隧道封裝后再隧道給當前BS，由BS轉發分組給MN。

　　當MN從HLR1域移動到HLR2域時，當MN從MSC1/VLR1下的RA1移動到MSC2/VLR2下的RA2時，MN通過當前MSC2向HLR發出局部注冊請求，注冊其當前RA2中CoA：（1）VLR2收到MN的注冊請求，產生臨時注冊；（2）切換域HLR2收到VLR2的注冊請求，確定其為切換進來的新用戶。若HLR2專用存儲區中無該用戶的記錄信息，則HLR2在其專用存儲區中生成臨時記錄，并向VLR2發確認信息（含MN的合法性檢查），且向上一級HLR轉發注冊請求；（3）上一級HLR更新MN的位置信息，并向MN的位置HLR2發確認信息（含MN的合法性檢查）；HLR2向VLR2發確認信息（含MN的合法性檢查）；（5）VLR2向RA2 并從而向MN確認。類似情況，其注銷過程也與上述HLR2域內的相似。

　　依次類推，每一級HLR負責該級直接下屬HLR間切換的移動用戶的注冊，而不必遠程的HA的參與。這種多層次的智能位置管理機制可最大限度地降低注冊時延，再引入位置預測機制，可降低切換時延，從而提高系統的效率和性能。

2.2 位置預測機制

2.2.1 移動IP的位置預測

　　為了取得平滑切換，在本地注冊域內采用鄰居單播的方法，由RA或HLR同時單播分組給即將到達的新BS及當前BS，新BS預先緩存分組。當MN切換到該BS時，新BS將MN還沒接收到的分組轉發給MN，從而實現切換的最小分組丟失。如圖2，處于BS 1處的MN告訴BS 1它的位置狀態信息（方向、距離等），BS 1根據這些信息預測MN即將去往的相鄰基站BS 2，并在MN即將離開自己時通知HLR該位置預測結果，要求HLR同時單播分組到BS 2，BS 2緩存分組。當MN進入BS 2的蜂窩時，BS 2轉發緩存的MN沒有收到的數據給MN。

　　一般說來，MN不是隨機的、而是可以預測的移動。比如，在街道上的MN，應當沿著街道的方向移動。因此，在特殊的區域，根據MN以前的位置狀態，可以預測MN的下一個基站。

　　假定自由空間的傳輸模式，MN接收到基站的信號強度取決于兩者之間的距離，若MN在基站的無線通信范圍內，可以收到所有分組，否則，丟失所有分組。設ｉ為與當前基站BS0相鄰的六個基站以及當前基站BS0中的一個，如圖3，（ｘｉ, ｙｉ）為基站ｉ的發射塔位置，（ｘ，ｙ）為MN的當前位置，則MN與基站ｉ之間的距離　　ｄｉ=（ｉ=0，1，2，3，4，5，6）

　　隨著MN的移動，ｄｉ也隨著改變，其中可能有三（四）個會隨之減小，而另四（三）個則隨之增加。ｄｉ減小的基站極有可能是MN可能去往的基站。當ｄｉ=Ｒ（Ｒ為基站的無線通信范圍的半徑。滿足這個條件的基站ｉ最多有三個）時，MN已進入基站ｉ的無線通信范圍內，但還沒有中斷與當前基站BS0的通信，這時當前基站通知RA或HLR其單播鄰居列表，RA或HLR根據單播鄰居單播列表單播分組，基站ｉ緩存分組。當MN進入基站ｉ的蜂窩時，在切換期間緩存的分組及時發送到MN。

2.2.2 移動IP的接續預測

　　當基站ｉ接收到MN的注冊請求時，使用多層次移動管理處理該請求。首先，基站ｉ檢查該MN是否是新注冊的，若是，則在適當的HLR中保存該地址，同時根據擴展的注冊請求消息進行位置預測，產生單播鄰居列表和鄰居單播通知距離ｄｎ=Ｒ（即當ｄｉ=Ｒ時當前基站通知RA或HLR根據單播鄰居列表向基站ｉ單播分組）。并轉發該注冊請求到RA；否則，當前基站檢查是否到了通知距離，若是，把單播鄰居列表附在注冊請求消息中轉發給RA。基站接收到有關該MN的第一次注冊響應時，檢查其緩沖區，看是否有該MN的分組，若有，則轉發。為防止收到相同的分組，在注冊請求消息中表明其最近收到的分組ID，基站將據此轉發。

3 優化路由的VPN安全解決方案

　　移動IP的注冊本地化機制給路由優化提供了便利。當CN要向MN發送數據分組時，CN問尋HLR而獲得MN的當前CoA，然后直接將數據分組隧道給MN的CoA，CN可以捆綁MN的CoA，以便下一次發送數據分組時無需再次訪問HLR。由于路由優化會帶來新的安全問題，為解決安全問題而為CN與MN進行相互認證的密鑰數目必定呈幾何級數增長，因而路由優化一般被認為意義不大。但虛擬專用網（VPN）技術有望解決這一問題。VPN技術應用于解決移動IP的安全問題時采用IPSec協議。

　　VPN能夠提供數據加密（保證通過公共網傳輸的信息只有合法用戶才能讀懂）、信息認證（保證信息的完整性與合法性）和身份認證（保證通信雙方是真實的身份）三方面的功能來保證網絡數據的安全可靠傳輸。移動用戶通過構建遠程訪問VPN而實現與企業之間的安全通信。

3.1 IPSec協議

　　鏈路層安全協議IPSec是實現遠程訪問VPN的常用協議。IPSec協議主要包括認證頭AH（Authentication Header）、ISAKMP（Internet Security Association and Key Management PRotocol）和安全封裝載荷ESP（Encapsulating Security Payload）三個子協議。它適合于向IPv6遷移，并對所有鏈路層上的數據提供安全保護和透明服務。

　　兩個IPSec系統通過兩個安全關聯（SA）實現雙向邏輯連接。一個單向SA可用一個三元組唯一地表示：〈Security　Parameter Index，IP Destination Address，Security Protocol〉即〈安全參數索引SPI，目的IP地址，安全協議〉。

　　其中安全參數索引是一個32bit數，用于標示具有相同IP地址和相同安全協議的SA。SPI被放置在安全協議（AH或ESP）的頭部中。SPI由SA的創建者定義，表示了發方加密數據包時所采用的加密算法和加密密鑰。目的IP地址是普通主機IP地址。安全協議可以AH或ESP。AH或ESP采用的模式決定了SA的使用模式：傳輸模式或通道模式。

　　安全關聯和交換密鑰的建立使用IPSec協議ISAKMP/Oakley子協議。首先，建立ISAKMP安全關聯以使用公鑰算法來認證遠程主機的永久標識（ISAKMP允許遠程訪問主機用一個永久標識（名字E-mail地址而不是動態分配的IP地址）來標識自己）。其次，建立協議安全關聯以協商多個安全關聯，其中每一個安全關聯有自己的密鑰原料（它們的SPI不同）。協商好多個安全關聯后，發送方就可以決定用哪一種SA來保護一個給定的數據報文。無論所收到的報文是由所協商的哪一個SA保護，接收方都必須能夠處理。

　　第一階段的協商采用的是大計算量的公鑰（D-H公鑰算法）密碼操作，而第二階段用的是計算量較少的對稱密碼操作。而第一階段只在撥號連接初始化時使用一次，從而在保證安全通信的前提下最大限度地減小了計算開支。

3.2 優化路由的遠程訪問VPN

　　利用遠程訪問VPN，即遠程主機（MN）使用PPP撥入一個ISP，再使用IPSec協議通過因特網訪問一個受防火墻（FW）保護的內部網的服務器（CN），從而建立遠程用戶到公司內部網的安全連接。

　　通常情況下，傳輸模式用在一個連接的兩個端點之間，而使用通道模式的兩臺機器之間至少有一臺是網關。因而遠程訪問VPN的一個典型配置是MN和FW之間使用通道模式的AH，而MN和CN之間使用傳輸模式的ESP。這種配置同時也基于IPSec協議組合使用中的一個實用原則，即在收到一個有兩種協議頭部的報文時，IPSec應當是先認證后解密。從而發送方對他發出的數據應當先作ESP處理，再作AH處理。這種組合方式如下所示：

　　在傳統IP下，當MN作為被叫時，主叫方CN發往MN的數據分組必須先路由給MN的HA，再由HA隧道給MN。這種三角路由機制不但增加了無線網絡開銷，而且當MN越區切換較頻繁時必將導致較大的切換時延和較多的分組丟失，無法保證實時業務的QoS性能。通過構建遠程訪問VPN，采用IPSec協議組合的通道模式，建立遠程用戶到公司內部網的服務器的直達的安全路由。結合位置預測機制，可降低切換時延及丟包率，從而滿足移動用戶對實時業務的需求。

4 結束語

　　傳統移動IP產生的注冊時延、切換時延及丟包，不能保證業務的QoS性能。本文提出的多層次位置管理方法利用局部注冊及移動預測管理，降低了時延及丟包率，并有利于優化路由，從而取得很好的QoS保證，能滿足實時業務的需求。

　　路由優化的最關鍵問題是安全問題，即通信雙方的相互認證以及防止竊聽。本文最后提出通過構建遠程訪問VPN可以提供認證及防竊聽和攻擊，并使用組合方式的通道模式及引入位置預測機制能快速地建立通信雙方安全通信的雙向通道。從而基本解決了路由優化的安全問題。

----《中國數據通信》