在UMTS中實現移動VPN的研究

2019-11-03 09:09:08

字體：大中小

來源：轉載

供稿：網友

蔣純波　徐名文　徐大雄

（1. 北京郵電大學電子工程學院北京100876）（2. 中國普天信息技術研究院北京100088）

　　摘要移動VPN是將來的3G應用中一項重要的業務。本文在傳統VPN技術的基礎上，著重討論了在UMTS網絡中實現移動VPN的技術方案，并且詳細分析了在實現過程中的關鍵技術和一些仍未解決的技術問題。

　　關鍵詞移動VPN UMTS

1 前言

　　一些行業或企業為了保證行業內部數據傳送的安全性和可靠性，都建設了自己的專網或者租用電信的專線來構造專網（PN），比如軍隊、銀行都有專用網絡。但是，建設專網是一項非常大的投資。與此相反，公網的技術在不斷完善，價格在不斷下降，眾多廠家的支持使得公網的發展很快。于是在公網中實現專網的特性是一個好的選擇。這對企業來說減少了成本、方便了管理。而對移動運營商來說，這也是吸引集團用戶，提供增值服務的一項好的技術。

　　VPN的基本思想就是利用Internet公網來傳輸私有信息而形成邏輯上的專網，從而為企業級用戶提供比專線價格低廉和高安全性的資源共享和互連服務。在傳統的VPN中，為了保證數據的完整性和安全性采用了幾項關鍵的技術：隧道（tunneling）技術、加解密（encryption && decryption）技術、密鑰管理（key management）技術、使用者與設備身份認證（authentication）技術。

　　本文著重討論在UMTS中實現移動的VPN的一些關鍵技術。UMTS中實現移動VPN，在技術上借鑒了基于Internet的傳統VPN的思想和其中的關鍵技術。

2 UMTS的ALL-ip架構

　　在UMTS中，整個網絡架構，無論是以后的業務還是網絡的承載都向ALL-IP方向發展，而且各種接入網絡技術不斷融合。UMTS的ALL-IP結構如圖1所示。在圖1的架構中，所有的接入網絡技術都是基于IP技術。這樣，很好地解決了網絡之間的互聯互通，并且給用戶的漫游帶來了極大的方便。在目前，UMTS融合WLAN的技術正在開發中。

　　在UMTS中，UE在PS域內與外部PDN通信有兩種方式：一種是透明方式，另外一種是非透明方式。選擇透明訪問和非透明訪問是在用戶簽約的時候確定。

　　下面主要討論在UMTS的ALL-IP架構下，基于透明訪問方式和非透明訪問方式的UE來構造移動VPN的方案及其關鍵技術。

3 在UMTS中實現VPN的幾種方案

　　在UMTS中，移動VPN的一般構造如圖2所示，其中有幾個網絡實體：宿主網絡、移動節點（在UMTS中稱為UE）、UMTS網絡和防火墻。

　　UE附著到UMTS網絡的時候，除了進行身份的驗證外，UMTS網絡通過存在HLR中的信息，根據UE發起的PDP中的APN請求參數建立移動VPN。

　　移動VPN的隧道有兩種工作模式可供選擇，一種是自愿模式，另外一種是強制模式。對于自愿模式來說，也稱端到端的隧道模式，是由UE發起到宿主網絡端點的隧道。而強制模式，也稱為基于網絡的隧道模式，是由UE連接到VPLMN的接入點（在UMTS中為GGSN），由GGSN根據HLR簽約信息建立（或者共享）隧道到宿主網絡端點?！　≡赨MTS中，構造移動VPN有兩種隧道技術：移動隧道技術和公網隧道技術（在自愿模式下只是采用公網隧道技術）。公網隧道技術有二層隧道技術和三層隧道技術。其中，二層的隧道技術有PPTP、L2F、L2TP、MPLS、VLAN/ATM等。三層的隧道技術有IPSec等。本文將簡要介紹L2TP，MPLS和IPSec構造移動VPN的解決方案。

　　隧道模式的選擇和具體建立VPN的隧道技術的選擇是作為簽約信息存在HLR中。

3.1 基于L2TP的移動VPN架構

　　LT2P是由IETF制定的標準RFC 2661中詳細規定的，它是一個第二層的隧道技術?；贚2TP的移動VPN的架構一般是基于非透明方式的強制模式（當然也可以由UE發起L2TP的隧道連接構造自愿模式VPN），如圖3所示。在此架構中，UE的數據（PDP類型必須為PPP類型）通過無線信道和GTP隧道到達GGSN。GGSN作為L2TP的LAC，根據UE的PDP激活請求的APN中的參數決定是否發起與對端的宿主網絡端點（LNS）建立可靠的數據傳送隧道，這種隧道是雙向的。如果同樣的隧道已經存在，則共享這條隧道。而且，這種VPN結構可以將幾個L2TP隧道同時綁定使用，提高傳輸的速率。

　　在非透明訪問方式中，移動VPN在UMTS部分的安全、鑒權是由UMTS接入的時候進行，并由其相關的策略保證。相比較而言，重要的安全需求是在GGSN和宿主網絡之間的公網上，也是由L2TP的隧道所涉及的部分。雖然，L2TP提供了PAP和CHAP的安全機制并不能完全解決安全性問題，但是還可以通過L2TP下層應用IPSec的安全機制來加強安全性。

　　因為這種移動VPN實現了上層的PPP連接，所以用戶層面上的地址可以使用內部地址，而且，用戶的鑒權可以完全采用RADIUS。

　　移動網絡和外部網絡（包括宿主網絡）之間進行的SLA協商，有關UE建立VPN的信息存在HLR之中。

3.2 基于MPLS的移動VPN的架構

　　基于MPLS的移動VPN一般也是非透明訪問方式的強制模式。因為MPLS能在一般的路由器平臺上實現，所以得到廠家的支持。圖4是一個典型結構，其中GGSN作為MPLS域的LER（CE），外部網絡是一個典型的MPLS域，與GGSN相連接的是PE（同樣是LER）。通過MPLS域內給UE分配的唯一的VPNID，LER分配給UE的數據適當的標簽（label），而MPLS域內的LSR通過label轉發數據,相當于構造了一條隧道。

　　按照MPLS的標準，GGSN可以是MPLS設備（推薦），也可以不是MPLS設備。但是，必須和外部的相連MPLS域協商相關的協議，確定MPLS給UE分配的VPNID及相應label的分配方案。GGSN和PE之間的路由通常使用BGP路由協議，結合BGP和MPLS構造VPN。PE必須知道MPLS域內所支持的所有CE的可達性信息和支持的VPN的信息。

　　對于大多數業務來說，基于BGP、VPNID和IP地址的結合可以提供足夠的安全性，但是也可以通過IPSec的加密措施來提高進一步的安全。IPSec的加密一般在GGSN（CE）來進行，并在宿主網絡端CE解密。這種額外的安全性措施是以降低網絡的性能為代價的，不過在高帶寬的骨干網中，這種代價是值得的。

3.3 基于IPSec的移動VPN的架構

　　IPSec協議族是由IETF制定的開放性IP安全標準。它在網絡層（第二層）中提供了一個安全傳送數據的機制。IPSec的安全性在于兩個協議：AH和ESP。每個協議都有兩種傳輸模式：透明傳輸和隧道傳輸。移動VPN中的IPSec隧道可選任意一種模式，但是兩種模式在穿越防火墻（包括UMTS側的防火墻和宿主網絡側的防火墻）的策略是不一樣的，因此，選擇哪種模式應該和具體的防火墻技術結合考慮。

　　基于IPSec的移動VPN可以是自愿模式也可以是強制模式，如圖5所示。

　　在自愿模式中，UE作為隧道的發起點，同遠端的宿主網絡節點建立一條IPSec的隧道，這種隧道的建立只能在透明訪問方式中存在，而且對UMTS網絡設備沒有特殊的要求，要求UE支持IPSec隧道方式。UMTS網絡部分只是在UE附著和PDP激活的過程中對用戶進行鑒權。

　　在強制模式中，UE首先連接到GGSN，由GGSN作為隧道的發起點，要求GGSN必須支持IPSec隧道。

4 實現中的關鍵技術討論

4.1 自愿模式和強制模式在移動VPN中的比較

　　無線資源對移動通信系統來說是非常有限的，也是非常重要的。在自愿模式中，UE作為隧道的起點，所有的封裝開銷都會在無線信道上傳輸，加重了無線資源的負擔。而且在UMTS網絡中，安全性是有保證的，端到端建立隧道在某種程度上來說是沒有必要的。而且，UE必須支持隧道協議，用戶也必須能夠正確配置VPN。

　　但是如果在UMTS的運營商沒有提供移動VPN業務的情況下，建立在透明傳輸方式下的自愿模式是唯一比較好的選擇，因為它需要更加少的移動網絡對移動VPN的支持。而且宿主網絡可以在這種模式下更有效地管理移動VPN，包括為UE提供VPN內私有地址，提高通信的安全性。

4.2 移動VPN端到端的安全措施

　　移動VPN中的節點有移動的特性，所訪問網絡的安全環境并不一樣，如何保護VPN中數據的安全性是最為重要的技術之一。

　　移動VPN在安全方面的要求有兩個：一是建立的VPN本身必須安全，VPN內部的數據傳輸安全并且有一定的QoS保證。二是VPN的節點進入UMTS不會給移動網絡帶來安全性問題。第二個問題可以通過UMTS的安全措施和簽約時的約定來約束。第一個問題中最為主要的是GGSN到宿主網絡之間公網部分的安全問題。

　　公網中隧道的安全性有以下幾種：

　　· L2TP的安全性有PAP和CHAP兩種認證方式。其中PAP采用明文的用戶名、密碼來驗證接入用戶的權限，這種方式沒有防護能力，往往在要求不高的地方采用。而且，往往和其他安全措施結合使用。CHAP采用加密方式（md5算法）將在鏈路上傳送的驗證信息進行加密傳輸，具體的可參見有關文獻?；谕该髟L問自愿模式的端到端L2TP隧道建立的移動VPN可以采用完全的RADUIS安全策略。

　　· IPSec的安全措施是最為強的，AH不通過加密方式提供驗證并且保證數據的完整性。ESP通過復雜的加密措施來保證數據的安全性。

　　· 基于MPLS的VPN通過結合BGP、IP地址解析和可選的IPSec來實現。

　　相比較而言，加密措施是比較好的方法。但是管理密鑰更為重要，在這方面，IETF也有相關的在Internet上面的密鑰管理協議。

　　在移動VPN中，透明訪問方式可以采用上面的安全措施提供端到端的安全策略。如果在非透明訪問方式下，必須結合UMTS網內的安全策略和上面的公網隧道安全措施，共同提供一個端到端的安全策略。

4.3 引入移動IP來構造“移動的”VPN的考慮

　　移動VPN最為重要的特征是VPN的用戶在不停地改變接入點，為了保護移動VPN中節點的通信不中斷和減少驗證的次數，需要采用UMTS中的移動性管理。

　　在UMTS中的移動性管理有兩種技術：基于第二層的移動性管理和基于第三層的移動性管理。其中基于第二層的移動性管理目前技術已經比較成熟，而且能夠保證移動VPN的性能在節點移動的過程中保持不變。而基于第三層的移動性管理目前還不成熟，基于移動IP構造的移動VPN在穿越防火墻、保證預定的QoS、提高漫游的轉接性能等方面的技術仍在研究中。

4.4 移動VPN的管理

　　在移動VPN中，UE是和宿主網絡的其他節點屬于同等的地位，但是如何將UE進行有效的管理是需要通過UMTS網絡來具體實現的。

　　透明訪問方式下，比如L2TP下，用戶建立的隧道在宿主網絡中是可管的，宿主網絡可以驗證UE的合法性，可以建立、維護和斷開與UE的隧道連接。

　　在非透明訪問方式下，在GGSN和宿主網絡建立隧道的同時，必須為管理移動VPN建立一種互相信任的管理機制。UMTS網絡部分針對UE的管理信息應該可以有選擇地提供給宿主網絡，同時，UMTS也可以根據宿主網絡對移動VPN的要求，控制UE的行為，包括隧道的建立、維護和斷開。

4.5 移動VPN中關于IPv4和IPv6過渡策略的考慮

　　一個支持IPv4移動VPN的節點移動到一個IPv6環境的網絡中，需要進行IPv4和IPv6協議的轉換。這種情況下，采用透明訪問方式自愿模式的隧道可以在底層（IP層）采用傳統的過渡策略，屏蔽對移動VPN的影響。而強制模式的移動VPN受協議過渡的影響仍需研究，這方面可以借鑒傳統VPN的過渡策略。

5 總結

　　移動VPN作為VPN中的一種，有VPN的共性，也有其特殊性。

　　從上面的分析可以看出，在移動VPN中，如何提高移動VPN的效率和減少相應開銷是很重要的因素。本文在介紹目前VPN技術的基礎上，研究了在UMTS網絡上建立移動VPN的實現方案，并且討論了UMTS中的移動VPN的關鍵技術。

　　本文也注意到，在移動VPN的實現上有一些問題尚未得到很好的解決，比如移動VPN中的IPv4和IPv6的過渡策略問題。正如傳統VPN技術的發展過程一樣，移動VPN技術也在不斷發展中。

----《中國數據通信》