解放军理工大学通信工程学院黄耕文王金
摘要综合WLAN、移动IP及IP安全等领域最新技术,从系统要求和系统结构两方面对如何实现宽带无线移动接入网进行了研究。
要害词移动通信宽带无线接入移动IP无线局域
目前,第二代和第三代移动通信系统能够为移动用户提供广域数据传输业务,但它的数据传输能力有限,即使是正在开发的第三代移动通信系统,为静止用户提供的数据业务速率仅为2Mb/s,仍不适宜需要实时高速数据传输能力的应用场合,如实时视频等。而另一个已成熟并标准化的技术是无线局域网WLAN技术,目前有两种类型的无线局域网技术标准:IEEE80211和HiperLAN。它们都具有比第三代移动通信系统高得多的数据通信能力,如IEEE80211b可达11Mb/s,而HiperLAN1达到235Mb/s。
WLAN采用微蜂窝结构,每个蜂窝的半径为几十米,用多个蜂窝可覆盖某个区域,在一定的地理区域内为低速移动用户提供宽带移动接入能力。但它的数据链路层协议使得由WLAN收发器构成的整个网络对网络层来说只是一条链路。在网络中,主机的移动相对于IP层是不可见的。因此,假如节点移动时跨越路由器,由于IP报文的寻址、路由问题,正在进行的通信被中断。这就要求网络内的所有主机必须在一个IP子网内,严重限制了WLAN的覆盖范围。
本文介绍的宽带无线移动接入网技术,通过WLAN与最新IP技术的结合,解决了移动主机跨网段漫游时IP报文的路由问题,从而可以在广域环境下的局部热点区域,如机场、校园和会展中心等,为用户提供宽带数据无线移动接入服务,同时解决商业运营环境下的用户认证、授权、记账、IP安全等问题。
1宽带无线移动接入网的要求
对于提供宽带无线移动接入服务的系统,必须满足以下要求:
·用户标识:用于标识系统中的用户,系统根据接入请求中提供的标识对用户进行认证、授权和记账,它也称为网络接入标识NAI。根据最新的IETF建议,它应满足RFC2486、RFC2794要求,通常具有user@realm形式。
·漫游问题:答应用户跨越治理域,在已签署服务级协议的不同治理域内漫游。
·身份认证:接入网须支持多种身份认证类型,如CHAPRFC1994和EAPRFC2284。由于安全问题,尽量不采用PAPRFC1334。
·伸缩性:网络结构必须提供足够的伸缩性,答应形成拥有众多ISP成员的漫游联盟。
·地址分配和路由:除支持静态归属IP地址分配外,网络必须支持动态归属IP地址分配,这样可节约大量的IP地址空间。同时,为了负载平衡及其他原因,答应动态分配归属代理。
·安全性:在漫游环境下,移动用户和网络将遭受到更多的安全威胁,网络必须能够阻止的各种恶意攻击、保护网络和传输数据的安全性。
·实时记账:为了欺骗检测和风险治理,实时记账是非常必要的,必须提供实时记账的支持。
·切换问题:为尽量减小蜂窝切换对用户的影响,应最小化切换时延。
·密钥治理:为答应大量跨越治理域的移动用户安全、可靠地接入,应最小化所要求的密钥数。
2系统结构
系统由接入网络、宽带无线接入核心网络BWACN和经纪服务网络Broker组成。每一部分都包含许多功能单元,下面分别介绍。
21接入网络
接入网络AN位于移动用户和宽带无线移动接入核心网BWACN之间,在整个网络边缘。它基于请求网络接入服务的用户身份和提供这些服务的提供商的策略,以一个受控制的方式提供网络接入服务。接入网络包括以下几个功能单元:
·基站BS:它是给移动用户提供服务的首个设备,在这个位置,用户被认证、执行接入策略、授权网络服务、审核和跟踪资源使用情况等。它是实现网络中安全措施和策略的第一个位置。满足IEEE80211或HiperLAN协议的基站不能完全满足上述要求,必须扩展它的功能。
·网络接入服务器NAS:它除了包括基本移动IP中外部代理的功能,还支持采用NAI作为标识的移动用户接入、发出外部代理通告消息、转发归属代理通告消息、支持动态归属地址和动态归属代理分配等。归属和访问移动用户都通过它接入互联网。
·DHCP:给需要配置转交地址的移动用户分配IP地址
·防火墙FW:用于保证网络安全,支持网络防火墙间的安全隧道。
22宽带无线接入核心网络BWACN
该网络是整个接入网的核心部分,除综合基本移动IP定义的归属网络与外部网络的功能外,还进行许多扩展,以满足商业营运系统的要求。如执行用户接入认证和授权、移动性治理、动态归属代理和动态归属地址分配、动态更新DNS、快速切换、存储与移动用户有关的策略和轮廓、计账等众多功能。一个核心网络可治理多个接入网络,每个核心网络和它治理的所有接入网络一起构成一个治理域。核心网络包括以下功能单元:·归属代理HA+:它是基本移动IP中归属代理的扩展,主要执行用户注册、跟踪功能。
·区域外部代理RFA:它并不直接给移动用户提供外部代理服务。它的主要功能是转发来自或前往接入网络NAS的消息和和数据、生成NASRFA会话密钥和参与由AAA服务器生成的会话密钥分配、治理本地域内接入网络间的切换、移动用户位置的跟踪等。
·AAA+服务器:提供用户的认证、授权和记账服务。但标准的AAA服务器无法满足要求,需对其扩展以提供移动性支持。同时作为注册归属用户的密钥分配中心,为接入的每一个归属用户分配临时会话密钥。
·归属用户寄存器HSR:是一个包含所有归属用户轮廓、网络策略和任何其他有关用户数据的数据库。
·记账数据服务器AS:用于存储用户消耗网络资源的数据。为支持风险治理,要求支持实时记账功能。
·DNS服务器:在网络中,采用动态DNS协议RFC2136,2137更新被动态分配IP地址的漫游归属用户移动节点的DNS。由HDAF在移动用户首次注册并被动态分配IP地址时执行更新操作。
·归属域分配功能HDAF:发出归属代理HA通告消息,接收注册请求消息,在归属域内动态地给移动节点分配归属地址和归属代理。它转发请求到网络内能够处理请求的归属代理,并根据结果更新DNS。
·防火墙FW:用于保证网络安全,支持网络防火墙间的安全隧道。
23经纪Broker服务网络
依靠于使用的安全模型,随着AAA+数量的增加,信任关系数以平方增加,严重限制网络的规模,采用经纪结构使得多个治理域间能够相互合作,而不要求各个治理域与其他所有治理域间有安全关联,从而解决伸缩性问题。另外还可提供各治理域间的结算服务。当然,经纪的使用也不排除在域间建立个别的信任关系。经纪服务网络包括以下功能单元:
·AAAB服务器:它与AAA+服务器功能不同,它提供AAA+服务器间的认证、授权和记账服务。同时在各治理域间安全地转发各种消息,必要的时候,辅助在没有直接关联的域间建立安全关联。
·记账数据服务器AS:用于存储移动用户消耗网络资源的数据,并提供结算服务。
·防火墙FW:用于保证网络安全,支持网络防火墙间的安全隧道。
3系统工作
由于增加了许多功能,系统的具体工作过程与基本移动IP有很大的差别。下面以代理搜索、用户注册、切换为例说明系统的工作过程。首先做以下假设:
·各治理域间已通过签署服务级协议建立安全关联。
·各治理域内部网络间的通信可以认为是安全的,即内部的各主机间的相互信任。或各主机间已通过某种方法建立了相互间的安全关联。
·移动用户与它们的归属域在注册时已建立了某种安全关联。
·用户采用NAI作为它的身份标识,并采用CHAP认证协议。
31代理搜索
通过代理搜索,移动节点确定它是位于归属域还是外部域、监测链路的切换、设法得到一个转交地址。这里的工作过程与基本移动IP协议基本相同,不同的是由NAS发出的代理通告消息中除包含IP地址,还包含移动代理NAS或HDAF的NAI。移动节点根据接收代理通告消息中的NAI,而非IP地址确定它的位置。
32注册过程
假设移动节点MN位于外部域,采用外部代理转交地址,请求由归属域分配归属代理和归属地址。注册过程如下:
1利用用户利用MN通过基站BS向接入网络中的NAS发出注册请求消息,消息中的移动节点归属地址和归属代理地址置为0,表示请求归属域分配归属地址和归属代理,在消息中增加移动用户NAI扩展。2NAS在收到的注册请求后面添加必要的扩展,如NAS的NAI,然后判定注册请求用户属于外部域的移动用户,将消息转发给本地域的RFA。
3RFA接收到请求,根据它所保存的访问者列表判定是否需转发请求。由于首次注册,需要转发,它移去NAS添加的扩展,添加自己的扩展,如NAI,创建AAMobileNodeRequestAMR消息,将注册请求消息放入AAA协议的AVPAttributeValuePair中。经本地域的AAA+服务器AAAF向归属域发出注册请求。
4AAAF接收到AMR,通过经纪网络向归属域转发消息。
5经纪网络中的AAAB接收到消息AMR,根据消息中归属域的NAI,将消息转发给归属域的AAA+服务器AAAH。
6AAAH接收到请求消息后,创建一个挑战消息,经AAAB、AAAF、RFA、NAS和BS回送到MN。MN向用户提出挑战,用户响应挑战。MN创建新的注册请求消息,该消息包括挑战响应和来自挑战消息中的状态属性,新注册消息沿与前一注册请求相同的路径送至AAAH。
7AAAH接收到新的注册请求消息,根据HSR中的用户数据对用户进行认证,假如成功通过认证,AAAH创建3个短期会话密钥:移动-外部、外部-归属和移动-归属会话密钥。AAAH向HDAF发出HomeAgentMIPRequestHAR消息,消息中包括这3个会话密钥。
8HDAF接收到HAR消息,根据网络内各归属代理HA的负载情况,为移动节点分配归属代理和归属代理地址,创建注册请求消息,将请求发送到分配的HA。注册请求中包括3个会话密钥。
9HA处理注册请求,保存与它有关的会话密钥。创建注册应答消息,发送应答消息到HDAF。在注册应答中包括3个会话密钥。
10HDAF接收到注册应答消息,创建HomeAgentMIPAnswerHAA消息,消息中包括分配给移动节点归属地址和归属代理地址,及相应的NAI和3个会话密钥。发送消息到AAAH,然后更新DNS。
11一旦AAAH接收到HAA消息,AAAH创建消息AAMobileNodeAnswerAMA,包括注册应答消息和授权等数据,经AAAB到AAAF。这里,由AAAH、AAAB和AAAF逐跳间的安全关联保证3个会话密钥在传输过程的安全性。
12AAAF接收到AMA消息后,解密存放会话密钥的AVP,然后发送给RFA。
13RFA提取有用数据如移动-外部和外部-归属认证,生成MNNAS临时
会话密钥,创建应答消息,消息包含它的NAI及必要的扩展,然后发送给NAS。NAS从接收的消息中提取数据创建注册应答消息,发送消息到BS。消息包括分配给移动节点的归属地址,归属代以及移动-归属、MNNAS会话密钥等数据。
14基站根据接收到的消息提供授权的服务,并开始记账。转发消息到移动节点。
15移动节点接收并处理注册应答,完成整个注册过程。
33切换过程
系统中存在3种不同类型的切换。第一种是同一接入网络内不同蜂窝间的切换。该微移动性治理主要由WLAN标准提供,并增加基站间授权数据及记账和接入策略的转移。
MN根据接收到的外部代理和访问域的代理通告消息确定是否需进行不同治理域间还是不同接入网络间的切换。假如收到的两个消息中的NAI均与移动节点保存的外部代理和访问域代理的NAI不同,则发生不同治理域间的切换,假如外部代理通告消息的NAI与保存的NAI不同,而访问域代理的NAI相同,则发生同一治理域内不同接入网络间的切换,它们都属于宏移动性治理。对于第一种情况,注册过程与前面所述的基本相同,只是此时无需动态分配归属代理和归属地址。对于第二种切换,可采用下述过程,进行区域注册,在访问域内完成切换,在不降低安全性的条件下,最小化切换时间。
1MN通过BS向新接入网络中的NAS发出注册请求消息,消息包含移动用户和归属域的NAI。
2NAS在收到的注册请求的后面添加必要的扩展,如NAS的NAI,然后将消息转发给本地域的外部代理RFA。
3RFA接收到请求,根据收到的请求和它所保存的访问者列表确定切换可在本地域内完成,从保存的数据中提取移动-归属会话密钥信息和归属代理等信息,生成新的MNNAS临时会话密钥,创建注册应答消息,然后发送给NAS。同时,发消息给旧NAS及BS,释放相应资源。
4NAS从接收的消息中提取数据创建新的注册应答消息,发送消息经BS到移动节点。
5移动节点接收注册应答并处理,完成整个切换过程。
4总结
未来的个人通信网络肯定不会是采用单一接入技术的网络,而是集成多种不同的接入技术,如2G和3G移动通信系统、WLAN和LMDS等,以满足用户的不同需求。本文对如何采用WLAN、移动IP及IP安全等领域最新技术,实现宽带无线移动接入网进行了研究。首先提出网络的要求,接着给出了系统结构,最后以代理搜索、用户注册和切换为例描述了系统的工作过程。该网络能为移动用户在局部热点区域提供安全、可靠和高效的宽带数据无线接入服务,使移动的用户能像在办公室一样方便安全地通过无线接入网络访问各种网络资源。