（通信与信息系统专业论文）移动路由器认证计费系统的设计与实现.pdf

中文摘要 中文摘要 摘要：随着网络的发展和未来网络中移动用户的增加，很多目前固定的网络节点 都将移动起来。移动i p v 6 技术作为网络层的移动性解决方案，能够在不改变节点 的i p 地址的情况下，实现移动节点的切换并保证网络连接的不中断。对于网络服 务提供商来说，解决移动节点的安全接入和对移动节点使用网络情况的统计是建 设移动l p v 6 网络的前提，也是保障运营商和用户利益所必需。本文的研究也是在 这种背景下开展的。 论文所做的主要工作是c n g i 项目“基于移动i p v 6 的互联网和移动通信的网络 融合”的一部分。本文在分析移动i p v 6 、移动网络协议和r a d i u s 协议原理的基础 上，提出了一种新的解决方案来实现移动路由器的安全接入和移动，该方案通过 在家乡代理和移动节点所传送的信令消息中增加一个认证选项来实现，同时设计 了两种实施例，一种针对于无嵌套的移动网络，另外的实施例针对嵌套的移动网 络，该方案已经申请了中华人民共和国发明专利，专利申请号为：2 0 0 6 1 0 0 7 6 1 1 5 4 同时借鉴当前对无线网络用户在单个w l a n 中的计费设计，提出了对移动路由器 在移动过程中的实时计费方案。它作为对当前w u 州网内计费的补充，不需要在 移动主机上增加新的软件，仅仅需要修改家乡代理，使得家乡代理能够和计费客 户端互相通信，同时家乡代理能够利用移动节点发来的信令消息来获取移动节点 的位置信息并触发计费报文的发送。所有计费信息全部来自移动路由器中的信令 消息，在网络中引入很少的额外通信量，从而解决了移动路由器在不同网络中漫 游时的计费问题。 关键词：移动i p v 6 ；移动网络；远程认证接入用户服务( i 认d i u s ) ；认证：计费 分类号：t n 9 1 5 0 4 a b s t r a c t a b s t r a c t a b s t i 认c r ：w i t l lt h ed e v c l o p m e n to f 1 en 叭v o r ka i l di i l c 他硒i n go f t h cm o b i i cu r s ， m a i l yn e t v o r kn o d e s ，w h i c ha r ef i x e d w ，埘l lb em o b i l en o d e s a san e t w o r ki a y 盯 m o b i l es o l u t i o l l m o b i l el p v 6a l i o w sm o b i l en o d e st o 陀m a i n 陀a c h a b l ew h i l em o v i l l g a 蛐di nd i 舵r e n tn e t w o r k s f 0 rn e t w o r ks e r v i c ep r o v i d e r s e c u mr n o b i l en o d e 觚d 洲i cm o b i l en o d ei n f o m 砒i o nw h e ni ta c c e 船n e t w o r ki sb a s eo fd e p i o ym o b i l ei p v 6 n c t 啪i r ka n de l l s u r eb e n e f j t so fi s pa n di i s e r s t h e 协e s i sr e s e a r c h j n gi s 啪d e r 廿l i s b a c k 掣咖d n ej o bi nm i sm e s i si so n ep a r to fc h i i l an c x tg e n 瞰t i o ni n t 咖e tp r o j c c t “i n 幌妒t i n gi n t e m e t 蛐dm o b i l ec o m m 蚰i c a t j o n e x p c r i m e 删p l a t f o 咖”b 褐e do n a 叫y s em o b l i ei p v 6 、n e m oa t l dr a d i u sp r o t o c o i s ，p m m o t ea 鹏ws o l 嘶o nt 0 i m p l 锄e n tn l o b i l ef o u t c ra c c e s ss e c u r i 劬t l i i ss o 圭u t i o ni si m p l e m e n tb ya d d i n ga a u t i l e m i c m i o 一曲l os i g i i a lm e s s a g c sb e 柳e h o m ea g t 锄dm o b i l ei l o d e ，豳t h e s 枷et i m e ，d e s i 萨t w os a m p l ei m p l e m e n t a t i o n s o n cf o rn oe 玎1 b e d d e dm o b i l e 咖r k 如dt h eo m c rf o re i i l b e d d e dm o b i l en e r k t h i ss o l u t i o nh a d 印p l i e dc h i 腿m e n t p a t e n t ，t h ea p p i i e dn 啪b c ri s2 0 0 6 1 0 0 7 6 1 1 5 4 a st h es 柚et i m e ，b a s e do na 1 1 a l y su s c r a c c o 哦堍i ns m 出w l a n ，p m m 船a 耐i m p i 锄c n tm o b 淝i p v 6a c c o u n t i n g 讥 m - n s a ss 叩p l 锄e n t a r y 幻哪瑚tm 。a na c c o 蛐t 啦，也i s l u t i o ni 删n t a d dn e ws d f h a r e 幻m o b i l e d e ，i t sj u s tn e e dt om o d i 匆h o m ea g 蛐t ，e 彤i b l eh o m c a g e n tc 孤c o m m u l l i c a t i o nw i t l lc i i c n t a sl l l e 鲫et m 地，h o m ea g e n tc 缸u t i i i z es i 弘a l m 船s a g et og c tm o b i l en o d el o c a t i o ni l l f o 珊a t i o n 卸dm g g c rs e n d i n ga c c o 岫t i n g 础e t s t o r v e la l la c c o 眦t i n gi 1 1 【f o m l a t i o nc o m ef 如mm o b i i em u t e rs i g n a li r 圮s s a g e s ，s oi t s i v e 他m o b i l er o u 6 盱a r l dm o b i l e 愀班ka c c o u m i n gw e l l 讲1 f n o b i i en o d eh a n d o f f hd i f i b 托n tn e 啪r k s k e y w o r d s ：m o b i l ei p v 6 ；n e t 、v o r km o b i i i t y ；r a d i u s ；a u t h e n t i c a t i o n ；a c c o 岫t i n g c l a s s n o ：t n 9 15 0 4 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：唔雅 导师签 签字日期：旃f 朋咱签字日期蹦年，2 ，月2 ，z e i 致谢 作为研究生学习和科研工作的总结，这篇论文凝结着我多年求学的思索和努 力，同样也蕴涵着我的老师、亲人、同学和朋友的支持与帮助。 本论文是在我的导师张宏科教授的悉心指导下完成的，论文的每一步工作都 倾注着导师的心血。张老师作为通信领域知名的专家教授，对科学技术的发展方 向有着很准确的预测和把握。张老师严谨的治学态度和求实的科学精神将使我终 生受益，更重要的是张老师还教会了我许多做人的道理，使我树立正确的科学观 和人生观，踏实奋斗自己的人生。籍此论文完成之际，谨向培育我的导师表示诚 挚的谢意! 感谢周华春老师，周老师孜孜以求的敬业精神给我留下深刻的印象，在学习 和工作中，您鞭策我要勇于面对挑战、勤钻研，多思考，您对我的影响和教育将 是我一生享受不尽的宝贵财富! 感谢秦雅娟老师给我了很多无私的帮助和诚挚的 关怀，感谢郜帅老师在我的科研和生活中指导和关心。实验室的刘颖老师多次从 具体技术问题上给我以亲切的指点，在此一并向你们表示深深的谢意，没有你们 的帮助和鼓励，也就没有我的进步! 感谢和我一起学习和工作过的陈小华博士，关剑锋博士以及朱鸿雷、沈剑、 杨越峰、陈艳敏、任兰芳、冯伟、薛海波、陈建、陈豪、瞿伟、乔鹏等硕士在生 活上给予我的关心和帮助以及学业上的切磋和指点，在此表示诚挚的谢意! 最后特别感谢我勤劳、善良、质朴的父母。是你们含辛茹苦地把我养育成人， 支持和鼓励我不断进取，我的每一个迸步，都凝刻着你们无私的支持和关爱，你 们始终不渝的关心是我进步的源泉和动力! 祝我们的下一代互联网研究中心有着 更加灿烂的明天! 引言 l 引言 本文在分析移动i p v 6 协议【l 】和r a d i u s 协议【2 】原理的基础上，提出了一种 新的方案来实现信令消息的认证，实现移动节点的安全接入。同时借鉴当前对无 线网络用户在单个w l a n 【3 】中的计费设计，提出并实现了对移动i p v 6 中的移动节 点在移动过程中的实时计费方案。最后搭建了测试环境，对上述实现进行了完整 的测试。 1 1研究背景与意义 近年来基于宽带的互联网业务的广泛应用促进了宽带技术的不断发展面对 宽带网络和不同种类的设备、不同用户和不同业务需求，如何满足用户需要并实 施有效的管理( 包括用户接入和计费) 是电信运营商始终关心的问题 随著移动技术的发展，传统采用电路交换的无线网络将逐步被改造为以礤分 组交换为基础的无线网络，此种情况下，移动i p 将变得与无线网络同样重要，特 别是在未来3 g 网络的建设中，移动i p v 6 不仅将成为移动运营商必须要做出选择 的一项重要技术，还将成为能够使3 g 网络和热点地区的蓝牙f 4 】或w i f i ( 8 0 2 1 l b ) 之间实现无缝漫游的一种基本技术 相对于目前广泛应用予无线网络的i p v 4 技术，移动i p v 6 的优势非常明显，这 些优势主要体现在以下几个方面。 1 地址数量大大增加：移动i p v 6 的1 2 8 位地址长度对于充满生机的移动市场 来说是非常诱人的。另外，采用移动i p v 6 之后将不再需要n a t 【5 】，这将使移动m v 6 的部署更加简单直接，由于不再需要管理内部地址与公网地址之间的网络地址翻 译和地址映射，使得网络的部署工作只需要管理比移动i p v 4 少的网络元素和协议 即可。 2 可以实现端到端的对等通信：今天的因特网上n a t 被广泛地使用，绝大 多数的应用都是基于客户端服务器的方式，这种状况完全无法满足人们对未来移 动网络的要求，因为移动手机之间以及与其它网络设备之间的通信绝大部分都要 求是对等的，因此需要有全球地址而不是内部地址，去掉n a t 将使通信真正实现 全球可达、任意点到任意点的连接、网络发起( n e t w o r k - i i l i t i a t e d ) 的i p 业务等， 这对于未来蜂窝网络和因特网之间的互通来说是最有益的，对这些网络的持续成 功发展是至关重要的。 北京交通大学 3 地址的结构层次更加优化：移动i p v 6 不仅能提供大量的i p 地址以满足移 动通信的飞速发展，而且可以根据地区注册机构的政策来定义移动i p v 6 地址的层 次结构，从而减小路由表的大小，并且可以通过地区本地地址和选路控制来定义 某个组织的内部网络。 4 内嵌的安全机制：虽然两种i p 标准目前都支持i p 5 e c 【6 】【7 】( i p 安全协议) ， 而且在今天的移动i p v 4 网络中已经使用了i p s e c ，但是移动i p v 6 是将安全作为标 准的有机组成部分，安全的部署是在更加协调统一的层次上，而不是像i p v 4 那样 通过叠加的解决方案来实现安全。通过移动i p v 6 中的i p c 可以对i p 层上( 也就 是运行在i p 层上的所有应用) 的通信提供加密，授权。通过移动l p v 6 可以实现远 程企业内部网( 如企业v p n 【8 】网络) 的无缝接入，并且可以实现永远连接。 5 能够实现地址的自动配置：移动i p v 6 中主机地址的配置方法要比移动i p v 4 中的多，任何主机i p v 6 的地址配置包括无状态自动配置、全状态自动配置【9 】 ( d h c p v 6 ) 和静态地址。这意味著在移动礤v 6 环境中的编址方式能够实现更加 有效率的自我管理，使得移动、增加和更改都更加容易，并且显著降低了网络管 理的成本。 6 服务质量( q o s ) 提高：服务质量是一个各种因素的综合问题，从协议的 角度来看，移动i p v 6 的头标增加了一个流标记域，2 0 位长的流标记域使得任何网 络的中间点都能够确定并区别对待某个i p 地址的数据流，尽管目前流标记的确切 使用方法尚未标准化，但可以肯定的是它可以用来支持未来基于服务水平和其它 标准的新的计费系统等。 7 移动性更好：移动i p v 6 实现了完整的口层的移动性，特别是面对移动终 端数量剧增，只有移动i p v 6 才能为每个设备分配一个永久的全球i p 地址，由于移 动v 6 很容易扩展、有能力处理大规模移动性的要求，所以它将能解决全球范围 的网络和各种接入技术之问的移动性问题。 8 结构比移动i p v 4 更加简单并且容易部署：由于每个i p v 6 的主机都必须具 备通信节点( c n ) 的功能，当与运行移动i p v 6 的主机通信时，每个i p v 6 主机都 可以执行路由的优化，从而避免三角路由问题。另外，与移动i p v 4 不同的是，移 动i p v 6 中不再需要外地代理( f a ) 。i p v 6 地址的自动配置还简化了移动节点转交 地址( c o s ) 的分配。 总之，移动印v 6 的且的是无论用户如何接入网络，都能使用户保留永久的i p 地址。移动m v 6 将允许用户从其手持设备上拔掉以太网的电缆之后，还能继续下 载文件或者进行i p 电话的通话( v o i p ) ，在这一过程中用户的连接不断转移，从办 公室的无线局域网( w l a n ) ，到外部环境的蜂窝网络，最后到家里的d s l 连线， 但用户的所有应用都不会中断。 2 引言 从以上的叙述可以得知移动i p v 6 作为网络层的移动性解决方案，能够为移动 节点提供不问断的网络服务。对于提供这种新服务的服务商来说，必须能够根据 协议的要求设计一种新的接入控制和计费的方案，从而有效的保证用户和运营商 的利益，而这j f 是本论文所做的主要工作。本文根据移动i p v 6 本身的特性，提出 了一种新的用户认证解决方案，能够有效的控制移动节点在不同网络移动过程中 对该节点接入的认证，并将该方案申请了专利【1 0 】。同时根据节点的移动性特征， 利用移动在移动过程发送至家乡代理信令消息来控制客户端和服务器端对移动节 点进行有效计费。下面主要分析现有网络认证和计费方案。 1 2 国内外研究现状 1 2 1现有网络认证方案 认证是确认远端访问用户的身份，判断访问者是否是合法的网络用户，常用 的办法是是以一个用户标识和一个与之对应的口令来识别用户。授权即对不同用 户赋予不同的权限限制用户可以使用的服务，如限制其访问某些服务器或使用某 些应用，从而避免了合法用户有意或无意地破坏系统。计帐记录了用户使用网络 服务中的所有操作，包括使用的服务类型，起始时问、数据流量等信息，它不仅 为i s p 们提供了计费手段。对网络的使用也起到定程度的监视作用。在现有的 网络认证方案中，主流的有三种，如下所述。 p p p o e 认证方式r l1 1 p p p o e 即国际标准r f c 2 5 1 6 ，为一种将窄带拨号认证技术用于宽带网络的认 证方式。它最初被用于a d s l 的认证，后来应用于v d s l 和l a n 的接入认证。 p p p o e 的建立需要两个阶段：搜寻阶段( d i s c o v e r ) ，s t a g e ) 和点对点对话阶段 ( p p ps e s s i o ns t 4 9 c ) 。其流程描述如下： ( 1 ) h o s t 发二层广播包，等待a c c e s sc o n c e n 舡a _ t o r ( 访问分配器) 响应； ( 2 ) a c c c s sc o r l 鲫劬i t o r c o n c e n t 豫t o f s ( 一个或多个) 收到广播后，若能提 供( o 自f e r ) 所需s e r v i c e ，发o 髓r 响应包给原h o s t ： ( 3 ) h o s t 收到。仃e r 响应后，根据一定的原则( 由具体实现决定) 挑选出一 个a c c e s sc o n c e m r a t o r 。向其发出r 朗u e s t 包： ( 4 ) 被选中的a c c e s sc o n c e 砷眦o r 收到r 棚u e s t 包后，产生一个唯一的s e s s i o n i d ，将其返回给h o s t 此后迸入了p p ps e s s i o n 阶段。经过l c p 过程请求r a d i u s 认证、授权后， 北京交通大学 建立起p p p 连接，即可传送p p p 数据( p p p 封装m 、e 圮m c t 封装p p p ) 。 w e b 认证方式 w e b 认证需要与d h c ps e r v e r 和p o n a ls e e r 配合使用，w e b 认证的主要过 描述如下： ( 1 ) 用户机器上电启动，系统程序根据配置，通过d h c p 由b a s 做 d h c p r e l a y ，向d h c ps e r v e r 要i p 地址( 私网或公网) ； ( 2 ) b a s 为该用户构造对应表项信息( 基于端口号、i p ) ，添加用户a c l 服 务策略( 让用户只能访问p o r 协l r v e r 和一些内部服务器，个别外部服务器如d n s ) ； ( 3 ) p o n a ls e r v e r 向用户提供认证页面，在该页面中，用户输入帐号和口令， 并单击”l o gi 1 1 按钮，也可不输入由帐号和口令，直接单击”l o g 舻按钮； ( 4 ) 该按钮启动p o r t a ls e r v e f 上的j a v a 程序，该程序将用户信息( i p 地址， 帐号和口令) 送给网络中心设备b a s ； ( 5 ) b a s 利用i p 地址得到用户的二层地址、物理端口号( 如v k mi d a d s l p v ci d ，p p p 豁i 叫i d ) ，利用这些信息，对用户的合法性进行检查。如果用户输 入了帐号，则认为是卡号用户。使用用户输入的帐号和口令到r a d i u s 鸵r v e r 对用 户进行认证，如果用户未输入帐号，则认为用户是固定用户，网络设备利用v l 锄i d ( 或p v c l d ) 查用户表得到用户的帐号和口令，将帐号送到r a d i u ss e r v c r 进行认 证： ( 6 ) m l d i 璐s e n 惯返回认证结果给b a s ； ( 7 ) 认证通过后，b a s 修改该用户的a c l 。用户可以访问外部因特网或特 定的网络服务； ( 8 ) 用户离开网络前，连接到p o n a l 辩n 惯上，单击”断开网络”按钮，系统停 止计费，删除用户的a c l 和转发信息，限制用户不能访问外部网络； ( 9 ) 在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死 机，网络断掉，直接关机等。 3 8 0 2 1 x 认证方式【1 2 】 i e e e8 0 2 1 x 是一个基于端口的网络访问控制的标准草案。最早它是无线以太 网遵循的一种应用协议，但在有线以太网络的引入有效解决了传统网络认证问题。 目前，它可提供对8 0 2 1 l 无线网络和对有线以太网络的网络访问权限的验证。这 种基于端口的网络接入控制采用交换式局域网基础设施的物理特性来认证连接到 局域网某个端口的设备。8 0 2 1 x 的实质是对以太网端口进行鉴权，如果认证过程 失败，端口接入将被阻止。应用该协议，可以将a d s l 、v d s l 、l a n 等多种宽带 接入方式的认证计费融为一体，简化了网络结构。8 0 2 1 x 认证的主要过程描述如 下： 4 引言 ( 1 ) 用户开机后，通过8 0 2 1 x 客户端软件发起请求，查询网络上能处理e a p o l ( e a p0 v e rl a n ) 数据包的设备。如果某台验证设备能处理e a p o l 数据包，就 会向客户端发送响应包并要求用户提供合法的身份标识，如用户名、密码； ( 2 ) 客户端收到验证设备的响应后，会提供身份标识给验证设备，由于此时 客户端还未经过验证，因此认证流只能从验证设备的未受控的逻辑端口经过。验 证设备通过邑心协议将认证流转发到从a 服务器，进行认证； ( 3 ) 如果认证通过，则认证系统的受控逻辑端口打开； ( 4 ) 客户端软件发起d h c p 请求，经认证设备转发到d h c ps e n 忙r ： ( 5 ) d h c ps e r v c r 为用户分配i p 地址； ( 6 ) d h c ps e r v e r 分配的地址信息返回给认证系统，认证系统记录用户的相 关信息，如m a c ，i p 地址等信息，并建立动态的a c l 访问列表，以限制用户的 权限： ( 7 ) 当认证设备检测到用户的上网流量，就会向认证服务器发送计费信息， 开始对用户计费； 。， ( 8 ) 如果用户要下网，可以通过客户端软件发起【o g o f r 过程，认证设备检 测到该该数据包后，会通知a a a 服务器停止计费，并删除用户的相关信息 ( m a 伽p ) ，受控逻辑端口关闭，用户进入再认证状态； ， ( 9 ) 验证设备会通过定期的检测来保证链路的激活，如果用户异常死机，则 验证设备在发起多次检测后，自动认为用户已经下线，于是向认证服务器发送终止 计费的信息 。 从以上的分析可以看出，一般认证方式有三种：、】l ，c b 认证、p p p o e 认证和8 0 2 1 x 认证。三种认证技术各有优缺点，不同的应用环境可以采用不同的认证技术。 1 2 2 现有网络计费方案 使用网络的用户本身可分为两类，即个人用户和集团用户，根据他们各自使 用网络的特点，对它们的计费方式有所区别。对于个人用户，网络运营商提供多 种带宽的选择，在此基础上按时长、时段等方式进行计费。集团用户( 专线方式) 正好相反，对带宽业务需求旺盛，是许多用户共同使用网络，故常按数据流量计 费。有线互联网发展到今天已非常普及，大部分个人用户己从最开始的拨号上网 发展为宽带接入用户，计费方式也随之发生了改变：初始的拨号上网以时间为基 础，按照用户上网时长的多少进行计费。现在的小区宽带接入和a d s l 等，大都 采用占用资源来计费，即包月计费。与之相比，无线数据网的发展由于受到设备 和技术的限制，还未大规模的普及，对无线数据网用户的计费也很不成熟。对移 北京交通大学 动用户的计费的主要难点在于移动用户的位置不固定，随着用户的移动，接入网 络的访问点会随之改变，这样就有可能失去对移动用户的位置跟踪，无法完成计 费。 目前中国网通进行推广的方案是发行w l a n 储值上网卡计费方案1 1 3 沿用了 窄带拨号的i 认d i u s 统一认证计费方式【1 3 】，通过a c 实现认证控制，并将用户上 网时长传递给总部的r a d i u ss e r v e r ，从而实现在w l a n 中对无线网络用户的计 费。计费策略是按使用时长进行计费，费用从上网卡自动扣除，目标主要应用于 当前宾馆之类单个独立的w i a n 中。随着w l a n 的发展，一个个独立的w l a n 会逐步被连接起来，移动i p v 6 对移动性的强大支持，允许移动节点m n 在网络之 间无通信中断的随意移动口针对这类移动主机的计费，除了计费系统基本的安全 性，至少满足下面两方面的要求： 1 对m n 的计费不能中断，无论m n 移动到何处都能感知它的存在和离开， 从而能够保证计费的连续性和准确性。 2 必须记录移动主机的位置信息。因为虽然同样是按时计费，但每个网段的 资费标准有可能各不相同，所以必须要求移动主机发生移动后，及时知道它的置 信息，以便分别记录它在每个外网停留的时间，保证计费的准确性，同时作为以 后的费用清算的记录。 对于目前的网络来说，网络上的设备主要有主机和路由器，实际上，这两种 设备已经包含了计费所需的信息，所以计费数据般都是从主机和路由器上获得。 无线路由器在下一代网络【1 4 】 g n ) 的部署中发挥着关键的作用。无线路由器是将 复杂的服务创新、计费与i p 流量管理功能融入到网络之中具有战略意义的新型设 备。无线路由器能在数据的采集和新型服务的计费方面提供强大的支持。 1 3论文主要工作及结构 本论文是c n g i 项目“基于移动i p v 6 的互联网和移动通信的网络融合”的一 部分，这一项目也是本人在参加以下项目的基础上进一步的拓展和延伸，这些项 目包括：国家“8 6 3 ”项目“高性能i p v 6 路由器协议栈软件项目”以及铁道部重点 项目“铁路移动用户i p 管理技术的研究与实现”。 论文的组织结构如下： 第一章阐述了本文的研究背景，及相关技术的研究现状，分别阐述了现有网 络认证和计费方案； 第二章分析了移动i p v 6 和n e m 0 协议原理及实现框架，然后分析了移动路由 6 引言 器的认证和计费方案； 第三章研究了基于移动i p v 6 的n e m o 协议，并提出了一种新的信令消息保护 机制； 第四章给分析了r a d i u s 协议原理，给出了r a d i u s 协议的体系结构和数据 结构，同时阐述了r a d i u s 协议的关键技术： 第五章首先分析了移动i p v 6 的计费系统模型，然后在分析开源软件f r e e l 甜i 璐 软件基础上给出了移动i p v 6 的计费系统的实现，该实现分析扩展了家乡代理和 f r e e r a d i i l s 服务器两个功能实体： 第六章搭建了实际测试环境，对上述实现做了详细测试； 第七章对全文进行总结，并提出了下一步的工作展望。 7 北京交通大学 2 移动路由器认证和计费总体方案 本章首先介绍了m i p v 6 、n e m o 【1 5 】技术的基本概念、网络体系结构以及基本 原理，然后分析了移动i p v 6 在l i n 暇操作系统上的实现框架，模块划分，最后分 析移动路由器的认证和计费的总体方案。 2 1 移动i p v 6 协议概述 移动i p 作为网络层豹移动解决方案，能够为移动节点在不同网络问移动时提 供不问断的网络连接。移动i p 协议提供了种i p 层的路由机制，使移动节点可以 通过一个永久的i p 地址连接到任何链路上。m i p 可以看作是一个路出协议，只是 与其它路由协议相比，m i p 具有特殊的功能，它的目的是将数据包路由到那些可 能一直在快速地改变位置的移动节点上 移动i p v 6 是在继承移动i p v 4 诸多优点的基础上，利用i p v 6 协议族中增加的 许多新特点而进行设计的。在移动i p v 6 路由机制中沿用了许多移动i p v 4 的基本概 念如继续采用移动节点( m n ) 、家乡代理( h a ) 、家乡地址( h o a ) 、转交地址 ( c o a ) 、家乡链路和外地链路，但不再采用外地代理的概念，取而代之的是接入 路由器( a r ) 。移动口v 6 的路由技术在高层功能上基本与移动疋v 4 相似，都具有 代理发现、注册、隧道技术和数据包选路等主要功能。移动i p v 6 的基本架构如图 2 1 所示。 图2 - i 移动i p v 6 基本框架 f g 2 一lm o b i l ei p v 6a r c h i t c c t u m 8 移动路由器认证和计费总体方案 移动i p v 6 协议操作流程如下： 1 绑定流程 当一个移动节点离开家乡链路而接入外地链路时，通过路由器通告。除了家 乡地址，它也可通过一个或几个转交地址被寻址到。一个移动节点可以通过无状 态或有状态的地址自动配置来获取转交地址。移动节点的转交地址的子网前缀是 移动节点j 下在访问的外地链路的i j 缀之一。如果移动节点连在外地链路上且正在 使用一个转交地址，那么移动节点向家乡链路上的一个路由器注册其主转交地址， 并要求该路由器作为该移动节点的家乡代理。移动节点通过向家乡代理发送一个 “绑定更新( b u ) ”消息来实现绑定注册；家乡代理将向移动节点返回一个“绑定 确认( b a ) ”消息作为应答。 2 分组路由 随后，移动节点的家乡代理将使用代理邻居发现【1 9 】来截获发往移动节点的家 乡地址的数据包，并通过隧道将每一个截获的数据包发往移动节点己注册的转交 地址。通过隧道发送每一个被截获的数据包，家乡代理使用i p v 6 封装协议封装每 一个数据包，并将外层i p v 6 头中的目的地址设为移动节点的主转交地址 移动i p v 6 协议定义了一个新的i p v 6 目的选项。当在外地链路上的移动节点发 送一个数据包时，它通常可以使用隧道通过其家乡代理来发送该数据包。然而， 如果目标通信节点中存有关于该移动节点的绑定信息，那么该移动节点可以直接 地向目标通信节点发送数据包在这种情况下，移动节点将待发数据包的i p 头中 的源地址设为其主转交地址，同时在数据包中包含一个“家乡地址”目的选项， 在其中给出该移动节点韵家乡地址。因为，k t 钉t i e t 上有的路由器在实行入侵检测 时检查数据包的源地址的拓扑结构的合法性，所以在数据包中将源地址设为移动 节点的主转交地址是必要的。通过“家乡地址”目的选项，目标通信节点就可以 获知移动节点的家乡地址在收到数据报之后，通信节点可以将数据包中的源地 址替换为“家乡地址”目的选项中给出的移动节点的家乡地址，从而实现转交地 址的使用对通信节点i p 以上协议层透明的目的。 3 返回路由可达过程 移动i p v 6 中具有很多安全特性，移动节点和家乡代理通过建立安全关联使用 a h 和e s p 来实现对家乡注册的保护，而移动节点和通信对端是通过使用绑定管理 密钥来保护对端注册，而返回路由过程就是建立绑定管理密钥的过程。 返回路由可达过程主要由四条消息组成，移动节点发往通信对端的有：家乡 测试初始消息( h o m e t c s t “t ，缩写为h o t i ) 和转交测试初始消息( c a d e _ o f 呦i 疵， 缩写为c o n ) ：通信对端响应移动节点的有家乡测试消息( h o m et e s t ，缩写为h o t ) 和转交测试消息( c a 静o f t e s t ，缩写为c o t ) 。h 硼消息，通过隧道到家乡代理， 9 北京交通大学 再转发给通信对端，用于获得家乡密钥令牌( k e y g e n t o k e n ) ，并携带h o t c o o k i e ； c o t i 消息用于请求获得转交密钥令牌，传送移动节点的转交地址给通信对端，该 消息直接发往通信节点；h o t 消息是通信对端对h 0 1 r i 消息的响应，携带h o t o l ( i e ，家乡密钥令牌等消息，该消息同样需要通过家乡代理转发：c o t 消息是通 信对端对c o t i 消息的响应，携带有c o tc o o k i e ，转交密钥令牌信息，直接发给移 动节点。 如果返回路由过程成功，才能进行通信对端绑定，“绑定更新”与“绑定确认” 消息也可用来让与移动节点通信的i p v 6 节点。即通信节点，动态地获知和缓存关 于移动节点的绑定信息。当发送一个数据包给任何一个i p v 6 目标时，该发送节点 要检查在绑定缓存中是否有该目标节点的绑定信息。如果发现了相关的绑定信息， 该节点通过绑定信息中所示的转交地址并使用一种新的i p v 6 路由头将该数据包发 给目标移动节点。相反地，如果没有发现相关的绑定信息，则发送数据包按标准 的步骤进行。 4 动态家乡代理发现 当移动节点不在家乡链路时，家乡链路上的一些节点可能会重新配置，因此， 原来作为移动节点家乡代理的节点可能不再提供家乡代理的服务而改由别的路由 器提供。在这种情况下，移动节点可能不知道新的提供家乡代理服务的路由器的 i p 地址移动i p v 6 协议提供了一种“动态家乡代理地址发现”机制，允许移动节 点动态在离开家乡链路后动态地发现其家乡链路上的提供家乡代理服务的路由器 的地址。当移动节点从一个外地链路移动到另一个新的外地链路时，其对应的转 交地址也随之发生了改变。这时，如果存在正在与该移动节点对话的通信节点， 那么该通信节点将因为无法及时感知移动节点的这个变化而继续向移动节点的原 来的转交地址发送数据包，从而导致数据包丢失在移动i p v 4 协议中确实存在着 这个问题，需要添加路由优化扩展来解决。在移动i p v 6 协议中，移动节点在完成 切换后通过向其上一个外地链路上的提供家乡代理服务的路由器发送“绑定更新” 消息，让该路由器通过隧道向移动节点的新的转交地址转发目标地址为移动节点 的上一个主转交地址的数据包，从而在更大程度上减轻了该问题所造成的数据报 丢失。 2 2 移动i p v 6 总体实现框架 移动i p v 6 模块在l i n i l 】( 操作系统中的实现是基于系统中的i p v 6 协议栈，它对 于上层完全透明，各种网络应用能够在不加修改的情况下运行在支持移动i p v 6 的 1 0 移动路由器认证和计费总体方案 终端及路由器上。同时在移动i p v 6 协议中，对于各类消息的传送提出了i p s 保 护的要求，这一要求的实现也将基于系统中的i p s e c 模块，并对移动m v 6 协议消 息进行扩展，从而为移动终端提供一个可靠的通信环境。图2 2 展示了操作系统内 核中网络代码的结构，同时在图中给出了移动i p v 6 模块实现的位置以及与其它各 层的关系。 应甩层“。 应用 抟输层t c 洲o p 移动i p v 6 模块i p s o c 模块 网络层 i p v 6 协议栈 链路层一 8 0 2 1 1 ，8 0 2 i 们g ， 幽2 _ 2 内核网络代码结构 f 皓2 - 2k e m c in c t 帅r ka w h i t c c t u 他 首先移动i p 、，6 模块基于i p v 6 协议栈，同时它对i p v 6 协议做了相应的扩 展，如增加了路山2 类型头，修改了i c m p v 6 协议等。虽然在m i p v 6 模块与i p s e c 模块都是基于i p v 6 协议实现，但二者并非完全独立，相反m i p v 6 中很多消息将通 过p s 进行保护。从而m i p v 6 实现也将依赖与职s 模块。 根据操作系统内核本身特性和对移动i p v 6 功能控制的要求，将移动i p v 6 的实 现分为用户空间实现和内核空间实现，用户空间是利用应用程序对内核中的数据 进行查看和设置，相对简单；内核空间分成3 部分，底层内核，i p 层，m 婵v 6 层， 为了保持与内核中网络协议栈的一致性，我们充分利用内核中已有的数据结构和 实现方法，来保证m i p v 6 层对于传输层的透明性。底层内核提供系统管理、进程 调度管理和系统调用：i p 层提供数据包的发送和接收、隧道的建立等；m m v 6 层 负责绑定、移动头部处理、移动检测等。针对移动i p v 6 中的三个功能实体( m n 、 h a 、c n ) ，将它们整合在一起，通过类型变量控制不同的模块启动，实现不同的 功能实体，根据r f c 3 7 7 5 的规定同时结合内核中网络代码的结构，将移动n 6 模 块分为如图3 所示几个部分来实现。 北京交通人学 内 核 空 间 ( 配置显示命令调试模块) 二! 二i 三j 叵i - ：- - _ 二 臣圈医囹臣圃 。一7 二7 ，。、 臣蓟匣圃臣圃 一! j 塑6 嬲主要模堤一。 i i 网络接口核心模块) 图2 - 3 移动i p v 6 铭体实现框架 f i 参2 - 3m o b 钉ei p v 6i m p i e m e n t 缸i o na f c h i t e c t u 各个模块的概述 1 解析和构造报文模块：主要完成移动控制报文中移动头部的解析，并做出 相应的回应。将相关信息构造、发送出去。通过对报文的分析，将作为触发事件 影响移动体的有限状态机。 2 移动检测模块；利用r a 、邻居发现、链路层触发等，检测网络前缀变化、 接入点变化、生存时间过期，完成网络层的切换 3 配置显示命令模块：对m r 属性进行配簧，显示本机的b c 、b u l 等状态 信息和调试信息，并可以通过命令配置家乡代理地址，隧道和启动接口。 4 数据维护更新模块：通过解析移动报文，提取相关的信息，如c o a 、h o a 、 移动前缀、绑定生存期、通信对端地址、状态表示位等。然后更新b c 、b u l 等数 据表项。 5 移动i p v 6 信令i p s e c 保护模块；该模块主要是基于内核已有的i p s e c 模块， 进行扩展，专门用于处理和保护移动i p v 6 中各种信令报文，包括绑定更新( b u ) ， 绑定回复( b a ) ，绑定刷新请求( b r ) ，绑定错误( b e ) 等，以保证整个移动节 点在移动过程中的安全性。 6 绑定模块：该模块主要用于移动节点在移动过程中，向家乡代理和通信对 端注册移动节点的位置信息，从而保证h a 和c n 能够随时跟踪移动的节点的位置 并能正确的转发发往移动的数据报文。 7 移动前缀发现模块：移动前缀发现模块，当m r 在外地时，家乡网络的前 1 2 移动路由器认证和计费总体方案 缀变化会及时通告到m r ，保证m r 和h a 之间双向隧道的有效性。 8 通信优化模块：该模块主要处理在r r 中的c o t 、c 0 1 1 、h o t 、h 0 1 r i ， 计算k c y g c i l t o k e n ，k b m 等。 9 动态家乡代理发现模块：动态家乡代理发现模块，运行在m r 和h a 上， 更新h a 之间的家乡代理信息，保证m r 离开家乡网络后的注册成功。 2 3n e m o 协议概述 i e t f 制定的扩展移动i p v 6 提供对移动网络的支持设计方案，我们称为“网络 移动性( n e m o ) ”。扩展要遵循上述设计目标和需求的要求。扩展要和移动i p v 6 协议兼容。 n e m o 为移动的网络中的路由器提供持续的网络连接性，即使移动路由器改 变了在h l b 锄e t 的接入点。它同样可以为移动的网络中的所有节点提供网络连接服 务。解决方案同时提供对移动i p v 6 中移动的网络中的移动节点的接入支持。 n e m o 方案对移动路由m r 的定义扩展了移动i p v 6 中对普通移动节点的定 义，在普通移动节点的功能基础上，对其增加路由功能，为移动的网络内部其它 节点提供路由服务在改方案中要求建立一条移动路由m r 和家乡代理h a 之间 的双向隧道这条隧道在移动的网络成功肉h a 发送了绑定更新，告知其目前的 转交地址之后建立 n e m o 协议规定移动网络的工作原理如下： 1 一个移动的网络通过移动路由器来实现整个网络的移动性，移动网络至少 有一个移动路由器( m r ) 为它服务在接入点，m r 不会将移动网络的路由表通 知给访问域，而是维持一个与h a 之间的双向隧道，告知其移动的网络的内部架 构，m r 也是移动网络的内部网关。一个移动网络可以包含多个嵌套的子网。移动 网络内部只服务于本地路由的路由器可以不支持移动性。同样，m r 也可以连接在 其它的m r 所在的移动网络内部。 2 移动路由m r 有唯一的家乡地址，改家乡地址配置一个由h a 广播的前缀。 这个前缀可以在家乡链路上广播，可以是代表这个m r 的。如果在家乡链路中有 多个前缀的话，则m r 可以拥有多子一个的家乡地址。同时m r 在它所连接的移 动网络中也广播多于一个的前缀信息。 3 当移动路由器离开本地域，接入到一个新的接入路由器a r 时，它需要从 改域中获得一个转交地址c o a 。m r 既可以作为一个移动节点m n ，也可以作为 一个移动路由器在任何一种情况下，只要m r 得到一个c o a ，它就立即将绑定 北京交通大学 更新发送给h a 。当家乡地址接收到绑定更新，它建立一个绑定缓存的接口来绑定 m r 的家乡地址和它的转交地址。 4 如果移动路由器希望作为移动网络的网关，为其他节点提供网络的连接， 则通过在绑定更新中是设置移动路由标志位r 。它也可以在绑定更新消息中包含移 动网络的前缀信息。于是，h a