MOBIKE协议在3GPP-WLAN Interworking切换场景中的应用

MOBIKE在3GPP-WLAN Interworking切换场景中的应用 MOBIKE协议在3GPP-WLAN Interworking切换场景中的应用 wLAN' 摘要:本文首先简单介绍了3GPP—WLANInterworking场 景.之后,介绍了一种可能遇到的切换场景一一只有隧道地 址发生改变的切换,从而引入了MOBIKE~,J)议,最后,具体 分析如何将MOBIKE运用到切换场景中,从而达到高效切 换的效果. 关键词:3GPP—WLAN,PDG,IKEv2.MOBIKE 中图分类号:TP393.08文献标识码:A 文章编号:1673—1131(2009)05一O13—04 一 ,什么是3GPP—wLANInterworking~~j景 3GPP工作组提出3GPP—WLANInterworking概念扩 展了3GPP业务和功能,使其能够应用于WLAN接入环境. 这样WLAN实际成为了3GPP的一种补充接入技术.对于 3GPP—WLANInterworking.在目前规范进展中,主要提供 了两方面功能,本地IP接入的认证计费和3GPP—PS接入控 制,这主要是通过PDG(PacketDataGateway.分组数据网 关)网元接入到3GPP实现的.基本网络场景如图1所示?. 在图1所示场景中.WLANUE是3GPP用户为了3GPP Interworking目的接)kWLANAN时所用的用户设备,也就 是.3GPP)~J户使用WLANUE,通;~_WLAN接入网接入到 3GPP网络中去.从而获Ig(3GPPPS业务我~f]Nz这种接入方 WLANAccess: NetworkI L……一—— , rr一一…, , rIntranet/,l L ,, Internet,/ ,一一' I3GPPNetwork 图13GPP—WLANInterworking基本网络场景 式为WLAN3GPPIP接入. 为了认证WLANUE的合法性.并能将合法的WLAN UE安全地接入~fJ3GPPPs域中去.在接入过程中,需要进行 一 系列的认证过程整个接入认证流程如图2所示脚: 整个接入过程中非常重要的部分是IKEv25~息的交换 过程.只有成功完成了这个过程.才能在WLANUE和PDG 之间建立一条IPSecESP安全隧道.从而保证之后两端之间 数据传输的可靠性.而且,PDG需要对不同的IKEv25~息进 行相应处理和响应. 在完成接入认证过程后,WLANUE与PDG之间建立了 一 条安全的IPSecESP隧道.即在WLANUE和PDG之间. 数据是通过隧道模式进行传输的. TheApplicationofMOBIKEtotheHandoffin3GPP-WLAN Interworking YangXue—ying Abstract:InthispapeEfirstly,webrieflyintroducethe3GPP— WLANInterworkingscenario.Andthen,wepresentonekind ofhandoffwhichmayoccur,onlychangingthetunneladdress, andthusintroducetheMOBIKE.Finally,weanalyzehowto applyMOBIKEtohandoffsceneindetails,SOastoachievetheefficienthandoff. Keywords:3GPP—WLAN,PDG,IKEv2,MOBIKE 杨学颖MOBIKE协议在3GPP—WLANInterworking~JJ换场景中白勺应用,13 ? 《es蠢矗蹦冀 图2WLANUE接入认证流程 二,切换场景分析 .数据包在隧道 根据IPSec隧道模式的定义,我们知道 中传输时封装了两层IP地址,一个是在隧道中使用的隧道 地址(IPSecSA的外层地址),隧道的两个对端通过隧道地 址辨识和传输数据包:另一个是在隧道外使用的外部地址 (IPSecSA的内层地址)外部网络通过外网地址与用户交 换数据包. 由于WLANUE的移动性,可能造成IP地址的改变这可 能是外部地址的改变,也可能是隧道地址的改变.在本文 中,我们主要关注后一种一一隧道地址的改变. 如果运营商支持多个WLAN网络接入同一个3GPP网 络,当WLANUE从一个WLAN接入网移动到另外一个 WLAN接入网时.由于需要通过同一个PDG接入同一个 3GPP网络,这时,WLANUE的隧道地址肯定发生了改变, 但是,外部地址并没有发生改变,场景如图3所示. 在遇到上述情况时,可以通过重新创建新的IKE和 IPSecSA来解决,也就是.重复图2所示的整个接入认证流 程,从而在WLANUE和PDG之间建立一个新的IPSecESP 隧道,使用新的隧道地址传输数据包.之后删除旧的IPSec 14i l IWLANAccess :Network L………一 ——I !WLANlWLANAccess 广_1Network L…—————————— 图33GPP-WLANInterworking切换场景 ESP隧道.完成整个隧道地址的更新过程.但是.根据前面 的介绍可以知道,如果创建新的IKE— SA,则需要用户与 PDG以及3GPPAAAServer之间进行接入认证交互,整个 过程中不仅需要大量的计算还需要多轮消息的来往交互. 从而大大降低了切换效率所以,这种并不是最理想 的. 因此,需要一种新的机制来更快更好地更新已经存在 的IKE和IPSecSA的IP地址.M0BIKE协议即可以提供这 么一种机制. oBIKE协议解决切换问 三如何应用M MOBIKE},JJ,议是对IKEv2协议的扩展]主要用于解决 移动性和多宿性问题.该协议允许改变隧道模式下与1PSec SA:~N关联的IP地址.MOBIKE的主要应用场景是.允许一 个远端接入VPN用户从一个地址移动到另外一个地址,而 不需要重新建立与VPN网关之间所有的SA.MOBIKE只更 g/i:IPSecSA的外层(隧道头)地址,在隧道内使用的其他数 据保持不变.因此,对于应用以及使用VPN的链接来说,移 动性是(几乎是)不可见的. 根据以上对于MOBIKEt~议的介绍可以发现,我们上 面所描述的切换场景与MOBIKE的主要应用场景相当吻 合,通过使用该协议,我们可以快速地完成对隧道地址的更 新而不需要改变外部地址,更不需要重新进行接入认证 过程,这无疑是一种高效的切换方式. 那么该如何将M0BIKE协议运用到我们的场景中呢7 主要有两部分工作首先是在WLANUE的初始接入阶段 (即图2所示的接入认证过程),需要加入一些特殊字段,用 以在WLANUE和PDG之间协商是否支持M0BIKE功能 为之后的切换过程做准备,如图4所示. 由于这里我们主要讨论对于IKEv2交换部分的更改, 所以原来基本流程中的中间EAP.~程,在这里只是简单的 表示出来,实际过程参照图2所示. UE发送IKE—AUTHRequestS~j息.这时除了必要的 载荷之外为了使用M0BIKE功能,还需要加入类型为 MOBIKESUPP0RTED的Notify载荷,用以协商双方是否 杨拳颖oIK亡协议在jGP_Winterworking40]换场景中的应角 + wLAN UE 1IRESAINITRequest (IPI1500>IPRI:500) HDR.SAi1.ZEi,Ni.N(NATDLrrECTIONSOOR~IP) N(NAT_DETECTION_D[~TINATIONIP)] 2IKESA— INITResponse (一 R1:500一>IP_I1:500) [HDRSArl,KEr,Nr,N(NATDETECTIONSOURCE—IP) N(NAT—D~TECTION_DESTINAT10N_IP)] 3IREAUTHRequest (IPI14500-)IPR1:4500) IOi,cERT.A"H,SAi2,TSi,TSr,CP(CFG NOIOBIRESUPPORTED)J 8IKEAUTHResponse (IPR1:45O0>IPI1:4500) [1f1)R,IDr,CEl~f,AUTH,SAr2.TSi,TSr.cP(CFGREPLy) s(MOBIKE_SUPPOVrED)] AAA Server 图4运用MOBIKE时的接入认证流程 支持MOBIKE功能.特别需要注意的是,在IKE— SA— INIT 交换阶段,如果加入了NAT检测载荷.说明双方支持NAT 穿越功能.则此时需要使用UDP封装ESP数据包.并且要 将uDP端口号由500改为4500.根据MOBIKE{,Jy议规定,为 了简化过程,如果uE和PDG既支~@NAT穿越功能.又支持 MOBIKE:r;9能,则无论两者之间是否有NAT,都要将uDP 端口号改为4500,这样,如果发生切换后.其他路径上有 NAT,就可以简化步骤.不需要重复发起NAT检测过程. PDG返回IKEAuTHResPOilSe消息,这里需要 注意的是,由于3GPP—WLANIntcrworking场景中用到 了多轮IKE—AUTH交换完成认证(即使用IKEAUTH 承载EAP消息.完成与AAAServer的交互),这里的 IKE—AUTHResponse~息应该是多轮IKE— AUTH交换 中的最后一条消息.这条消息中,除了必要的载荷之外.如 ~@MOBIKE功能.还要加入Notify载荷.类型为 果PDG支 MOBIKE_ SUPPORTED. 通过以上的步骤不仅完成了IKESA和IPSecSA的建 立过程,可以开始在IPSec隧道上安全的传输数据,并且, 同时完成了MOBIKE功能的协商过程,从而可以在之后发 生切换时,随时发起MOBIKE交换过程.需要注意的是,当 IPSecSA'~U建完毕后,隧道头IP~Jl:(如果使用UDP~-装. 还要包括端口号)取自IKE— SA,IKE—SA的地址是根据第 , 条IKE_ AUTH请求消息的IP头进行初始化的. 完成上述协商工作后,另一部分工作就是当发生了如图 3所示的切换过程之后.由UE发起隧道地址更新过程如 图5运用MOBIKE更新隧道地址过程 图5所示. 在数据传输过程中.由于移动性.UE的地址发生了改 变.这时.UE需要选择一个新的隧道地址与PDG继续通 信.当UE选择好所要使用的新地址之后,使用这个新的地 址作为源地址,发送INFORMATIONAL~息.并且在消息 中带有类型为UPDATE—SA—ADDREssEs类型的Notify载 荷,用以通知PDG此消息的作用是更新隧道地址.当PDG 收到此消息后,使用消息中的新地址更新自己的这一端的 隧道源地址,并返回INFORMATIONAL~息.从而完成地 址更新过程. PDG收到uE发来的INFOMATIONAL~息后将进行 以下处理: (1)确定在这之前是否收到过更新的 (即表明UE在等待 UPDATESAADDRESSES~求消息 响应消息时,又发生了新地址的改变,从而又发送了其他 的INFORMATIONAL~息.如果PDG使用大于1的窗口 大小,则接收的请求消息可能顺序颠倒),如果有,则说明 此地址可能已经发生改变,所以不需要对此消息进行任何 处理,只需要返回一个普通的INFORMATIONAL~息. PDG的地址更新处理过程,应该是根据所收到的最新的 UPDATESAADDRESSES~息来进行的. (2)根据本地策略.检查IP头里的地址对 (源IP地址和目的IP地址)是否可以接受,如果 场学钡MOBIlE协耷3GPP=WLA__TMIntcrworki曼七刀姆场景中的摩用...,l? lllll_ll_15 {} 谯慊|谯t.? 不是则回复一个INFORMAT10NAL消息带有 UNACCEPTABLEADDRESSES类型的Notify载荷. (3)如果可以接受,使用IP头里的地址更新JKE— sA里 的IP地址. (4)回复INFORMATIONAL~息.需要注意的是此 时已经更新了IKESA所以这,条消息使用的是新的地 址. (5)必要时,为新的uE地址发起一个反向可路由性检 查,并等待到检查完成(反向可路由性检查将在后面进行 介绍). (6)使用新地址更新该IKE—SAWN关的IPSecSA(如 果需要进行反向可路由性检查.则该过程应该在完成检查 后进行). (7)如果支-}.~NAT穿越功能并且包含NAT检测载荷, 则开启或关闭NAT穿越功能. 为了在地址更新过程中,确保新地址的可靠性和可 达性.MOBIKE还可能使用反向可路由性检查过程(即图5中步骤2,3所示).在这里,反向可路由性检查应该 由PDG发起.且发起的时间是PDG收到uE发来的地址 更新请求后.发起的方法有两种:一种是在步骤4返回的 INF0RMAT10NAL消息中加入类型为COOKIE2的Notify 载荷;另一种是单独发送一个INFORMAT1ONALS~息,其 中没有任何数据,只有类型为COOKIE2的Notify载荷(即 图5中步骤2所示).UE收到这类INFORMATIONAL~息 后.向PDG返回INFORMATIONALS}~息.其中包含由步 骤2消息中复制得到的COOKIE2的值.PDG收到返回的 INFORMATIONAL~息后,检查c00KIE2的正确性,如 果正确,则说明成功完成了反向可路由性检查.使用新的地 址更新该IKESAWN关的lPSecSA.如果不正确,则需要立 刻关闭该IKESA. 反向可路由性检查是可选功能,在缺省情况下是应该 执行的,但是在某些情况下.如果可以通过其他方法确认对 端的可靠性.则可以省略这个检查过程.反向可路由性检查 可以在更.~,fHPSecSA之前或者之后甚至连接过程中进行 在缺省情况下这个检查过程应该在更新IPsecSA之前完 成,即如图5所示. 四,MOBIKE可能遇到的局限性 首先,MOBIKE支持移动性,允许两端都发生移动.但 不提供集合点"机制,即不支持两端同时发生移动.或在 IKESA最初建立时进行地址发现过程.因此,MOBIKE 16?oo9No 最适合的场景是至少有一个对端的地址保持相对稳定. 并且可以通过已有的机制(如DNS)来发现地址.其次, MOBIKE允许两端都是多对应点的,但是对于,个SA,同 , 时间只允许使用一对地址.这里不讨论负载平衡问题. 最后.MOBIKE/~从IKEv2的做法.即响应消息发往与请求 消息来源相同的地址和端口.这就意味着MOB1KE不能使 用在只提供单向链接的地址对上. 五,总结 通过使用MOBIKERrJ-1KEv2],J3,$SL的扩展,我们可以在 发生上述切换场景时,避免重复进行复杂的接入认证过程, 而是只更新发生改变的隧道外层地址保持隧道内的其他 数据不变.提高切换的效率,同时保证对于使用该隧道的用 户来说.移动性是(几乎是)不可见的.虽然MOBIKE协议 本身可能存在一些局限性但我们完全可以通过对实际情 况的适当设计加以解决. 参考文献 [1]3GPP,TS23.234V8.0.0,3GPPsystemtoWireless LocalAreaNetwork(WLAN)intcrworking;System description,Dec.2008 [2]3GPP,TS33.234V8.1.0,3Gsecurity;WirelesS LocalAreaNetwork(WLAN)interworkingsecurity, March2008 【3]IETF,RFC4555,IKEv2MobilityandMultihoming Protocol(MOBIKE),June2006 作者简介 杨学颖,女,北京邮电大学信号与信息处理号业硕士 研究生,丰要研究方向为移动核心网,崮网与移动网络融 合等. 杨学颖M0BiKE协议在3dPP:WLANinterworking切换场景中的应用