快速层次移动IPv6(精选3篇)
快速层次移动IPv6 篇1
1、引言
现在多种网络技术正在融合, 设计一种合理的切换方案来降低切换延迟、减少抖动、提高服务质量和可靠性、降低呼叫阻塞率已经成为无线网络研究的一个热点。IETF工作组首先提出了移动IPv6协议[1]来解决移动性问题, 但该切换协议切换过程开销较大, 影响服务质量, 在此基础上, R.koodli提出了一种借助L2触发的快速移动IPv6切换方案[2], 这种方案能减少由于移动侦测、地址配置引起的延迟。H.Soliman, C.Castelluccia等人提出了分层结构的思想[3,4], 引入新的实体MAP来区分宏移动和微移动, 减少了注册开销, 从而降低了切换延迟。而快速分层移动IPv6协议[5]则将分层结构的思想和快速移动IPv6结合起来, 不仅减少了移动侦测、地址配置、地址重复检测引起的延迟时间, 而且也减少了注册时间, 从而大大降低了切换延迟。
2、几种典型的快速切换方法
2.1移动I P v 6快速切换技术 (FMIPv6, Fast Handover for Mobile IPv6) [2]
移动IPv6快速切换技术通过提前注册, 以及在新的外地网络切换未完成时通过前一个网络保持通信的方法, 实现快速切换, 以对实时业务以及吞吐量敏感的应用提供支持。
FMIPv6中分组到达延迟tP等于IP连接延迟tI=tP, tL+tI是中断服务时间, 由于允许数据分组从先前接入路由器转发到新接入路由器, 所以在tL+tI期间没有分组丢包。在FMIPv6切换过程中, 发往移动节点的数据分组首先发送到先前接入路由器, 然后经隧道转发到新接入路由器。完成绑定更新后, 其数据分组的发送就变成了一般数据分组的传输。这儿我们考虑两种情况, 一种情况是在移动节点发生切换前没有收到F-BACK消息, 即在绑定更新完成前就移动到了新接入路由器所在链路;另一种情况是移动节点在发生切换前收到了F-BA CK消息, 即在移动到新的链路前就完成了绑定更新。假设t为切换时间, 绑定更新的时间为TBU, TMT为多次测量得到的延迟时间, 则传输延迟时间表示如式1.1 (其中TNAR为新接入路由器NAR到移动节点的无线传输延迟, TAA为两个接入路由器之间的传输延迟) :
传输延迟
由式1.1, 我们得到平均传输延迟为
从上式中可以看出传输延迟的大小由TBU来决定, 当TBU较小时, 即绑定更新在移动主机尚未移动到新接入路由器前就已经完成, 这样传输延迟就较小。反之, 数据要从原接入路由器通过隧道转发到新接入路由器, 出现了三角路由现象, 增加了数据传输的延迟。
2.2分层移动IPv6[3,4]
分层移动IPv6 (HMIPv6) 引入一个新的移动IPv6节点即移动锚点 (MAP) 来区分宏移动和微移动, MAP可以位于分层移动网络中包括接入路由器 (AR) 在内的任何层的路由器上。如果MN在本地MAP域内移动, 也就是微移动, 它只需向MAP注册它的新LcoA, 将MN的链路转交地址与区域转交地址绑定。由于CN是根据MN的区域转交地址 (RcoA) 来发送分组的, 因此MN不需要向HA或CN发送绑定更新 (BU) 。仅当MN改变接入点到正在服务的MAP域外的时候, 也就是发生宏移动时, 它才需要向HA注册它的区域转交地址。假设从家乡代理到移动锚点的传输延迟为THA-MAP, 从通信节点到移动锚点的传输延迟为TCN-MAP, 通信节点到家乡代理的传输延迟为TCN-HA, 移动锚点到新接入路由器的传输延迟为TMAP-NAR, 家乡代理的处理时间为PHA, 通信节点的处理时间为PCN, 移动锚点的处理时间为PM A P, 则
2.2.1当移动节点在同一个MAP域内移动时
切换延迟
2.2.2当移动节点移动到MAP域外时
切换延迟
3、各种切换方案的性能比较
通过对上述几个经典切换机制的分析, 相对于移动IPv6基本切换机制而言, 它们都有自己的特点, 某个方面性能都得到了一定的提高。下面主要针对丢包率和延迟方面对这几种方案进行比较, 比较参考的网络拓扑结构见图1所示。
在丢包率方面, 由于在移动IPv6和分层移动IPv6机制中没有设置缓存机制, 所以在切换过程中所有的数据包全部丢失, 而在快速切换机制中, 由于分别在PAR与MAP缓存数据包, 所以在切换过程中数据没有丢失, 即丢包率为零, 而只在切换开始和切换即将结束时出现一些丢包和分组乱序。
在切换延迟方面, 在快速切换机制中利用L2触发提前获得新转交地址, 这就减少了因地址配置、重复地址检测带来的延迟, 在分层移动IPv6机制中, 利用MAP区分宏移动和微移动, 从而减少了注册开销, 其切换延迟见表1。
由表1可以看出, 发生微移动时, 分层的结构能有效地减少延迟时间, 当它与其他方案结合使用时能达到很好的效果。
四、结语
本文分析了几种典型的快速切换方案的性能, 当这几种方案相结合的时候, 切换时间能有效地减少, 从而降低丢包率。
摘要:移动IPv6的切换过程中, 有一段时间移动节点和通信节点之间的通信会产生中断, 这段时间即切换延迟。在有些情况下, 这种切换过程产生的切换延迟过大, 不能满足实时或对延迟敏感的业务需求。移动IPv6快速切换技术是对移动IPv6协议的改进, 可以加快IPv6移动节点的切换过程, 减少已有通信连接的中断时间, 保证通信流的实时传输。该文分析了几种典型的切换算法如快速移动IPv6、分层移动IPv6的性能并比较分析了其性能优劣。分析表明, 综合运用各种切换方案能在一定程度上减少数据流的延迟, 提高通信质量。
关键词:快速切换,延迟,分层移动IPv6,移动锚点
参考文献
[1]D B Johnson, C Perkins, J Arkko.RFC.3775-2003.Mobility support in IPv6[S]
[2]R koodli.IETF draft.work in progress-2003.Fast Handover for Mobile IPv6[S]
[3]H Soliman, C Castelluccia, K El-malki, etc.IETF draft.work in progress-2003.Hierarchical Mobile IPv6mobility management (HMIPv6) [S]
[4]C Castelluccia.HMIPv6:A Hierarchical Mobile IPv6proposal[J].ACM Mobile Computing and communications Review。2000, 4 (1) :48-59
[5]HeeYoung Jung, EunAhkim, JongWha Yi, etc.A scheme for Supporting Fast handover in Hierarchical Mobile IPv6networks[J].ETRI Joural, 2005, 27 (6) :798-801
快速层次移动IPv6 篇2
一、IPv6
IPv6是一种由互联网任务组研制出来的取代IPv4的下一代IP协议。比起IPv4, IPv6有更大的地址空间、使用更小的路由表、增加了增强的组播支持以及对流的控制, 它还允许扩充、有更好的头部格式、新的选项和更高的安全性, 其中加入的对自动配置 (Auto Configuration) 的支持还能够使网络的管理更加便捷。
IPv6不仅具有IPv4的人机对话功能, 为人类服务, 还能服务于硬件设备, 如汽车、家用电器、传感器等, 可以说, 成熟的IPv6技术是真正能够无时不刻地深入到社会各个角落的宽带网, 对互联网的持续和长久发展有着十分有利的作用。
但IPv6还只处在发展完善的过程中, 对于移动IPv6技术还有一些问题正在解决中, 而在这些问题中, 由于基本的移动IPv6切换延迟太大, 影响实时业务的效率, 因而对快速切换性能是改善IPv6技术的关键问题之一。
二、基于分层移动的IPv6快速切换方案
网络层在进行切换的过程中, 一般经过移动检测、新转交地址配置和绑定更新三个阶段, 其理想的状态是在切换的时候能够同时具备切换的快速和平滑, 实现无缝切换, 这就要求系统具有最小的切换延时和最低的丢包率。
通常, 网络层在进行切换的时候, 会通过对接收到的路由器通过信息判断节点的链路切换, 比起链路层, 网络层的这种切换方式会带来比较大的切换延迟, 不但无法满足一些时间性比较高的应用, 还很容易造成较严重的丢包现象, 影响切换的平滑。但节点的快速频繁移动又会产生大量的绑定更新信息, 使网络负载严重, 甚至可能破坏路由信息。因此在设计改善IPv6快速切换方案的时候需要综合考虑这两个问题。
1、方案设计思路
根据对IPv6网络层切换问题的分析, 得出设计方案的主要思路是用微移动和链路层几结合来解决快速切换问题。在常规解决网络层切换问题时, 主要有微移动和链路层出发两种思路。微移动是一种层次化的思想, 它将网络层的移动分为域内移动和域间移动两个层进行管理, 节点进行域内移动时至需要在移动区域内记录其位置信息即可, 只有域间移动时, 才需要绑定更新。
链路层触发是利用链路层的服务进行跨层设计, 据此提出的FMIPv6方案是利用链路层触发, 使网络层能快速检测到要进行的切换, 且过程中节点仍在其原来的链路层上, 这一方案能很好地解决切换的延迟和丢包, 但是对路由效率并没有太大改善。基于两种方案的优缺点, 设计人员提出了将两种思路结合在一起, 以分层移动为主, 结合链路层触发, 设计出了基于分层移动的IPv6快速切换HMFH方案。
2、HMFH的结构层次
在HMFH中引入了一个新的实体DFA, 也即是区域移动代理, 它能在网络中任意层次的路由器上进行设置, 代表了区域内所有的移动节点 (MN) 与家乡代理 (HA) 和通信对端 (CN) 通信, 再通过隧道将分组在区域内路由到相应的移动节点。
在网络层进行移动切换时, 移动节点在区域内的移动只需将自己的位置变化通知给DFA即可。域间的移动由于通过DFA得到了屏蔽, 也不需要重新发送绑定信息, 不但能降低切换延时和丢包, 还能有效地降低控制消息的通信量, 改善路由效率。
3、协议操作
HMFH协议从一定程度上来看, 可以说是IPv6的一种拓展, 它增加了一个新实体, 并适当修改了移动节点和接入路由器 (AR) 的操作过程, 并对新实体的选项包头和本地绑定更新消息进行了一个新的定义, 对家乡代理和通信对端也不会造成影响。实际上, 新实体DFA可以做是一个身处外地的家乡代理。
DFA通过隧道, 将它接收的所有由它服务的MN数据包发到相应的LCoA上, 并利用来自MN的本地绑定更新, 建立MN和DCoA与LCoA的绑定关系, 并将其存入绑定缓存, 成功之后, 再向MN发送一个绑定的确认消息。
MN利用路由器的发现过程接收AR的路由器广告消息, 广告消息向MN提供AR的前缀和新实体DFA的至少一个本地地址, 之后主动配置自己的LCoA并向选定的DFA发送绑定更新消息, 将其与主动配置的DCoA绑定, 进入DFA域。本地绑定在MN和DFA之间建立了一个双向的隧道, MN发送的数据包在DFA处解封之后, 将内层的数据包发送出去。也就是说, MN的所有数据包都会经过隧道被DFA先接收, 处理后再到达MN, 这就很好地解决了丢包率的问题。
在协议中, 接入路由器可以自成一个DFA, 也可以属于一个DFA域, 或者二者兼备, 因此它既能对外广播自己的路由消息, 还能接收DFA广播的路由广告消息, 并对接收到的广告消息进行广播, 如此一来, MN接收到的路由广告消息里就包含有了多个的DFA选项, 通过对其设置优先级和距离向量之后, 可以帮助MN选择最佳的DFA。
4、快速切换管理
HMFH协议的切换管理是以移动IP工作组提出的FMIPv6方案作为基础的。MN接收到链路层的出发后, 会立即将路由请求代理器 (RtSolPr) 消息发送给它当前的接入路由器, 再由接入路由器发送回一个路由广告消息PrRtAdv。协议对FMIPv6方案的PrRtAdv消息进行了扩展, 增加了另一个接入路由器 (AAR) 的DFA选项, MN通过对AAR的DFA地址和当前DFA的地址的比较, 判断出链路层的切换是在域内还是域外。
在AAR支持移动IP的情况下, MN利用DFA分别通过本地绑定更新和家乡绑定更新实现链路层的域内和域外的切换;如果APP不支持移动IP, 可以先在AAR子网上的LCoA上配置MN, 通过这个新的LCoA与当前的DFA进行本地绑定, 建立起DFA和AAR之间的隧道, 完成网络层的快速切换。
5、性能分析
通过对HMFH方案进行仿真实验后, 实验结果与方案预想中的效果相差不大。对实验的结果进行分析, 得出使用这一方案能使网络路由信息更加稳定, 路由效率也得到了提高, 且由于方案加入了一个新实体, 很好地扩展了IPv6的性能, 且由于MN的真正接入地址LCoA对外是不可见的, 因而也具有更好的安全性和可靠性。
三、结语
基于分层移动的移动IPv6快速切换方案HMFH是采用了将微移动和链路层触发相结合的思路, 利用链路层触发提前获知节点的移动, 并用有限的计算进行网路层第三层切换, 能很好地解决网络层切换的切换延迟和丢包问题, 为移动IIPv6的无缝切换提供了新方法。但这一技术还并不完善, 需要我们在实践的过程中对其进行不断的研究改进, 使其发展的更为成熟, 更好地解决移动IPv6的快速切换问题, 从而为用户提供更好的网络服务。
参考文献
[1]马争鸣, 张飞, 胡海峰, 王波涛, 王琳, 王可, 张荀, 梁艳盈, 梁玉琪.一种支持IPv4的分层移动IPv6的方法.[P].中国专利:H04W8/08, 2012-08-01.
[2]杨怡, 董永强.面向分层移动IPv6网络的动态指针推进机制.软件学报, 2011, (1)
[3]王康华.改进分层移动IPv6的LT-TMAP快速切换方案.兰州理工大学, 2010, (4)
快速层次移动IPv6 篇3
移动IPv6提供了移动节点 (Mobile Node, MN) 在IPv6网络中移动时保持数据通信不间断的技术, 并在2006年被IETF制定成标准。但在高度商业化的社会中, 用户是以付费的方式使用网络资源和享受网络服务的。另一方面, 下一代互联网的最大特点就是移动性, 移动节点随时会在不同的管理域间切换。为了保障通信的安全, 以及进行合理的计费, IETF下成立一个专门机构, 即A A A工作小组。A A A代表认证 (Authentication) 、授权 (Authorization) 和计费 (Accounting) , 是保证网络安全性和资源合理使用的重要机制, 尤其从互联网提供商的角度来看, 是网络正常运营的前提。
当MN漫游到外部链路时, 需要向家乡链路注册当前的IP地址, 即转交地址 (Care-of Address, CoA) 。如果MN频繁移动, 就会不断向家乡链路注册, 这样频繁的切换影响了M N的网络性能。为此, 研究者提出了层次型管理思想, 能帮助M N实现快速切换, 免除了因频繁切换而降低网络性能, 提高了M N的效率。
本文提出了一种引入层次型AAA的移动IPv6接入认证方案, 并给出了相关的网络模型及具体的认证过程。该方案在保证通信安全的前提下, 有效减少注册和认证时延, 并提供了灵活的扩展接入方式。
1 相关概念和技术
1.1 MIPv6与HMIPv6
MIPv6是IPv6互联网的一个IP层移动协议, 其设计思想是, 移动主机不论是在固定还是移动的情况下, 不需要更改任何设置就能保持原有的通信。在MIPv6中, 一个MN拥有两个IP地址:一个是永久性的家乡地址 (Home Address, HoA) ;另一个是临时的转交地址。当MN在家乡链路时, 工作原理如固定节点一样, 使用的是HoA。当MN离开家乡链路进入一个外部链路时, 通过IPv6地址自动配置机制, MN获取一个临时的CoA。此时, 通信对端 (Correspond Node, CN) 与MN通信, 由C N发给M N的数据包首先路由到M N的家乡地址上, MN的家乡代理 (Home Agent, HA) 通过代理机制截获这条消息, 再将其转发到MN的C o A上, 因此, 当MN在外部链路时需要绑定HoA和CoA, 发送绑定更新请求给HA告诉其当前的CoA。
M N在外部链路频繁移动和切换时需要不断地向H A发送绑定更新请求, 这样严重影响了网络性能。为实现MN的快速切换, 研究者提出了HMIPv6方案, 该方案引入了一个新的实体称为移动锚点 (Mobility Anchor Point, MAP) , 它可以是HMIPv6网络中的任何层次的路由器, 充当了MN的本地HA的功能。MN在M A P域内获得两个C o A地址, 即区域转交地址 (Regiona1 Care-of Address, RCoA) 和链路转交地址 (Linked Care-of Address, LCoA) 。MN使用RCoA作为当前CoA, 当MN在域内移动时不改变RCoA, 只改变LCoA, MAP收到M N的消息时转发到M N的当前地址L C o A上。M A P的使用可以限制移动IPv6同本地域以外的节点的信令交互, 它支持快速移动IP切换, 帮助移动主机实现无缝移动, 节约了向家乡进行登记所需的开销。
1.2 AAA与层次型AAA
自网络诞生以来, 认证、授权以及计费体制 (AAA) 就成为其运营的基础。网络中各类资源的使用, 需要由AAA进行管理。而A A A的发展与变迁自始至终都吸引着运营商的目光。对于一个商业系统来说, 认证是至关重要的, 只有确认了用户的身份, 才能知道所提供的服务应该向谁收费, 同时也能防止非法用户对网络进行破坏。在确认用户身份后, 根据用户所申请的服务类别, 系统可以授予用户相应的权限。最后, 在用户使用系统资源时, 需要有相应的设备来统计用户对资源的占用情况, 据此向客户收取相应的费用。认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益, 又能保障网络系统安全可靠地运行。AAA体系结构如图1所示。
层次型AAA框架基于H M l P v 6设计, 将H M I P v 6中的MAP扩展为MAP-AAAC, 同时作为移动锚点和认证锚点。一个管理域中至少有一个认证服务器、一个或多个M A P-A A A C域。
当M N漫游到一个新的M A P-A A A C域时, 通过路由器宣告配置新的链路转交地址 (LCoA) 和区域转交地址 (RCoA) , 分别向MAP-AAAC和HA进行转交地址注册, 同时进行用户和网络间的相互认证及会话密钥的发放;当M N在M A P-AAAC域内不同的AR间移动时, 作为移动锚点, MAP-AAAC使得MN只需向其注册新的LCoA, 无需与HA进行交互;作为认证锚点, MAP-AAAC代替家乡域认证服务器实现MN与网络间的相互认证及会话密钥发放, 避免MN与其家乡域的交互。
据法国INRIA公司的研究表明, 在通常的移动中, 有69%的移动是在一个域内发生的。MAP-AAAC实现了认证和移动注册的本地化, 当MN在远离家乡域或在一定范围内频繁移动时, 这样的层次化管理策略能明显减少认证切换延时及信令开销, 提高移动性能。层次型AAA的系统框架如图2所示。
1.3 Diameter协议
在众多AAA协议中, 早期普遍采用的是Radius协议, 但是由于Radius存在着先天缺陷, 限制了其进一步推广与应用。目前, I E T F的A A A工作组制定了新一代标准协议, 称为Diameter协议。Diameter协议设计灵活, 容易进行新应用的扩展, 支持移动IPv6和移动漫游。所以它不仅被互联网采用, 同时也被下一代移动通信网 (3G) 所采用。
Diameter定义了一种新的AAA框架结构, 它由一个基础协议 (Base Protocol) 和一组应用扩展协议 (如NAS、Mobile IP、CMS等) 组成, 如图3所示。
Diameter基础协议定义了AAA的基本功能, 为各种应用提供了基本的框架, 是每个Diameter节点必须实现的功能, 主要包括Diameter节点间的对等连接、能力协商、消息格式、消息的接收及发送、差错处理、计费等功能。基础协议通常与一个应用扩展相结合提供A A A服务。
2 新的方案
2.1 设计目标
本方案主要目的是建立一个基于Diameter协议和层次型AAA的移动IPv6系统模型, 该模型应实现以下三个方面:
(1) 足够的安全性:保护MN的NAI信息和CoA的完整性、新鲜性, 以防止假冒攻击和重放攻击;保证A A A V与A A A H之间传输的M N账户信息的机密性与完整性, 以防止窃听和假冒攻击。
(2) 较高的效率:本方案应该支持移动IPv6快速切换, 实现认证和注册的高效进行, 减少时间延迟;应该尽可能减少计算和不必要的信令交换, 以降低开销, 避免网络资源的浪费。
(3) 良好的扩展性:可以方便地扩展出不同的认证方法, 并且支持各种有线、无线接入方式, 以便于网络系统模型的改进和发展。
2.2 系统模型的设计
移动IP的特点决定了MN经常变换其位置, 但在变换位置之后, 仍能够同其它的节点通信, 并且不需要改变它的IP地址。但是移动IP本身并不对域间漫游提供特定的支持, 并且没有考虑授权、计费这些实际应用问题, 这极大限制了移动IP的商业应用与普及。
在本方案中, 系统模型基于Diameter协议, 允许移动用户在不同服务提供商之间提供漫游并得到服务, 并可提供可靠高效的AAA机制完成认证、授权和计费。同时引入了层次化管理的思想, 实现了域内认证和注册的本地化, 当MN在远离家乡域或在一定范围内频繁移动时, 能明显减少认证切换时延及信令开销, 提高移动性能。
在本方案中, 在访问域的A A A服务器与接入路由器之间, 引入了MAP-AAAC。位于访问域中的MN, 具有两个转交地址, 分别是RCoA和LCoA。当MN在MAP-AAAC域内不同的AR间移动时, 作为移动锚点, MN只需向MAP-AAAC注册其新的LCoA, 而无需与HA交互;作为认证锚点, MAP-A A A C代替家乡域认证服务器实现M N与网络间的相互认证及会话密钥发放, 同样避免MN与其家乡域的交互。只有当MN从一个域转移到另一个域时, 其RCoA与LCoA同时改变, 新接入域中的MAP-AAAC没有能力对其进行认证和授权时, 才需要将M N发出的认证和授权请求经A A A V传送给AAAH, 由家乡域的AAA服务器完成认证与授权, 在此同时, 也完成了绑定更新注册过程。
该方案模型如图4所示, 包括以下组成部分: (1) AAAH:M N家乡域的A A A服务器。 (2) A A A V:M N访问域的A A A服务器。 (3) M A P-A A A C:访问域的移动锚点和认证锚点。 (4) AR:接入路由器, 为MN提供网络接入服务。 (5) HA:MN的家乡代理。 (6) Diameter broker:Diameter中间代理。
2.3 系统模型的实现
本方案中, 在MN和Diameter AAA服务器之间采用EAP (Extensive Authentication Protocol) 协议进行认证, 实现了端到端的安全, 并支持多种认证方法。在MN和AR间采用PANA (Protocol for Carrying Authentication for network access) 协议, 使得系统支持任何接入方式, 系统基本模型如图5。
在实际应用中MN会根据自身需求、当前网络状况以及访问的网络资源, 对接入的安全级别有不同的要求, 并会采用不同的认证方法, 这就要求系统能够满足不同认证方法。EAP协议是一个认证方法的框架协议, 它提供了一种支持多种认证方法的标准机制, 可以方便地扩展出不同的认证方法, 并且支持各种有线、无线接入方式。Diameter EAP应用协议是在Diameter框架下为EAP认证定义的应用扩展协议, 它使得Diameter可以很好地完成EAP消息的传输任务。
图5中, 在MN和A R之间, E A P认证消息由P A N A协议承载。在AR上EAP认证消息被从PANA消息中提取出来, 封闭到Diameter的AAA消息中 (反之EAP认证消息被从Diameter消息中提取出来, 装入PANA消息中) ;在AR与MAP-A A A C之间, M A P-A A A C与A A A V之间, 以及A A A服务器之间, EAP认证消息由Diameter承载。如果对漫游的MN认证, EAP认证消息由Diameter AAA消息承载在AAAV和A A A H以及其它A A A服务器之间交换。总之E A P认证消息包含在MN和A A A H服务器之间的交互消息中。在MN和A R之间使用PANA协议通信, AR和MAP-AAAC之间以及AAA服务器之间使用Diameter协议通信。
PANA协议是由IETF开发的独立于链路层的网络接入认证协议, 用于在用户和接入网络间传输EAP消息, 为用户的网络接入认证提供支持。PANA协议的主要负载是EAP报文, 并且可以用于任何接入网络 (802.11, 802.16, xDSL, GPRS, 3G等) , 而不管其底层的安全如何, 这种认证方式更加灵活。PANA协议在PAC (MN中的PANA用户端模块) 和PAA (AR中的P A N A服务器端模块) 之间完成MN网络访问过程。
图6是本方案中涉及到的协议栈。
该模型在M N内置了P A N A用户端模块P A C;A R作为作为接入路由器, 在其中内置了PANA服务器端模块。
2.4 基本认证过程
移动IPv6的MN漫游到一个新的外地链路时, MN发生了切换, 开始了移动IPv6的AAA过程。同时MN通过动态地址分配机制获得转交地址 (CoA) , 并且要向家乡代理发送绑定更新消息进行注册。本方案的基本认证过程如图7所示。
当M N进入一个新的M A P-A A A C域时, 认证切换处理包括以下几个步骤:
(1) 接入路由器 (AR) 向MN发出路由通告 (RA) , 根据路由器宣告消息, 配置新LCoA和RCoA。
(2) MN向AR发送接入请求 (A C E R) 消息。MN初始化PANA认证过程, 同时使用加密算法运算challenge和共享密钥以构造安全认证消息。
(3) AR向M A P-A A A C发送A A A请求 (A R R) 消息, 包括认证、绑定更新、NAI信息和安全信息等。
(4) MAP-AAAC对于新接入的MN, 无法完成认证, 因而把A R R消息传送给访问域服务器A A A V。
(5) AAAV向家乡域AAA服务器 (AAAH) 转发ARR消息。
(6) AAAH发送绑定更新请求 (BUR) 给家乡代理 (HA) 。AAAH根据数据库中的用户信息验证认证信息, 若能通过验证, 则对M N授权, 同时向家乡代理发送B U R。
(7) HA给AAAH发回绑定更新应答消息 (BUA) 。
(8) A A A H向A A A V发回A A A应答消息 (A R A) 。
(9) A A A V将该消息发送给相应M A P-A A A C, M A P-A A A C接收后存储在本地缓存中。
(10) MAP-AAAC向AR发送AAA应答消息 (A R A) 。
(11) AR向MN发回接入请求应答消息 (ACEA) , 并捎带LCoA和RCoA的绑定更新确认消息。
通过以上过程, 就完成了一次MN跨域认证和移动注册过程。
当M N在M A P-A A A C域内的不同A R间移动时, M A P-AAAC能够实现认证和注册本地化, 无需与家乡域进行交互, 具体步骤如下:
(1) MN首先根据AR宣告消息获得一条新的L C o A。
(2) MN向AR发送接入请求 (A C E R) 消息。MN初始化PANA认证过程, 同时使用加密算法运算challenge和共享密钥以构造安全认证消息。
(3) AR向M A P-A A A C发送A A A请求 (A R R) 消息, 包括认证、绑定更新、NAI信息和安全信息等。
(4) MAP-AAAC执行移动锚点功能, 对MN的新LCoA进行绑定更新;MAP-AAAC执行认证锚点功能, 根据本地缓存中的认证信息, 对M N进行认证及会话密钥发放。
(5) M A P-A A A C向AR发送A A A应答消息 (A R A) 。
(6) AR向MN发回接入请求应答消息 (ACEA) , 并捎带LCoA的绑定更新确认消息。
这样, 一次移动节点域内认证和注册过程就完成了。
3 性能分析
本文提出的引入层次型AAA的移动IPv6接入认证方案, 基本上实现移动IPv6网络中的认证和注册过程, 对本方案综合分析如下:
(1) 安全性:在MN和AAAH之间采用了EAP协议, 保证了端到端的安全;在认证初始化过程中, 同时使用加密算法运算challenge和共享密钥以构造安全认证消息, 保证了认证消息的完整性、新鲜性以及机密性, 能够有效防止攻击者假冒、重放以及窃听攻击。
(2) 效率:移动节点绝大多数的移动是在同一个域内完成的, 方案中引入了层次型管理的思想, 通过移动节点域内移动时认证和注册的本地化, 避免了与家乡域不必要的交互, 减小了时延和开销, 提高了认证和注册效率。
(3) 扩展性:本方案实际上是一个网络系统模型, 由于系统架构中采用了EAP协议, 所以支持多种认证方法;在移动节点和接入路由器之间采用了PANA协议, 因而可以支持任何接入方式。这些特点, 决定了本方案具有良好的扩展能力。
4 结束语
本文给出了一种引入层次型AAA的移动IPv6接入认证方案。设计中, 除使用了Diameter协议传输AAA消息和采用EAP的认证方法及基于PANA协议的访问控制, 又引入了层次型AAA思想, 可以方便地进行层次化管理。因而系统除了支持多种EAP认证方式、支持各种接入技术及移动节点的域间漫游和计费功能外, 还减小了认证时延和提高了安全性。根据PANA协议和Diameter协议, 结合Open Diameter开源软件包以及层次型AAA模型, 可以实现该系统模型。
参考文献
[1]C Perkins.IP Mobility.Support[EB/OL].http://www.ierf.org/rfc/rfc2002.txt?number=2002.1996.