［柏林］

1 研究意義和背景

1.1 MIPv6 技術(shù)的現(xiàn)狀

國(guó)家在5G 網(wǎng)絡(luò)快速建設(shè)的同時(shí)，也積極推進(jìn)著IPv6的規(guī)模部署，結(jié)合當(dāng)前萬(wàn)物互聯(lián)的需求，移動(dòng)IPv6 技術(shù)（MIPv6）可很好地與現(xiàn)有的網(wǎng)絡(luò)設(shè)備和協(xié)議配合使用，不改變IP 地址在不同的網(wǎng)絡(luò)之間無(wú)縫切換，數(shù)據(jù)包直接傳輸?shù)揭苿?dòng)設(shè)備所在網(wǎng)絡(luò)等顯著優(yōu)勢(shì)，已成為移動(dòng)傳輸?shù)年P(guān)鍵技術(shù)。MIPv6 的應(yīng)用和發(fā)展，將全面提升行業(yè)數(shù)字化轉(zhuǎn)型的速度，改善產(chǎn)業(yè)生態(tài)，突破瓶頸短板，強(qiáng)化安全保護(hù)，為建設(shè)數(shù)字中國(guó)、提供有力支撐。

1.2 MIPv6 的應(yīng)用與需求

MIPSec 的提出，在IP 層重點(diǎn)解決了MIPv6 的架構(gòu)安全性問(wèn)題，對(duì)移動(dòng)性、業(yè)務(wù)流程、策略及管理等實(shí)現(xiàn)了有效的提升。但安全架構(gòu)的設(shè)計(jì)必然增加了整體網(wǎng)絡(luò)的運(yùn)算開(kāi)銷(xiāo)，影響了移動(dòng)性能，增大了切換時(shí)延，降低了整體網(wǎng)絡(luò)質(zhì)量，造成客戶滿意度下降[1]。因此，MIPv6 網(wǎng)絡(luò)環(huán)境下兼顧安全及移動(dòng)性能的均衡控制技術(shù)的研究具有重要的應(yīng)用價(jià)值。

2 基于MIPSec 協(xié)議的MIPv6 網(wǎng)絡(luò)存在的問(wèn)題

MIPSec 的應(yīng)用，增加了接入認(rèn)證、數(shù)據(jù)傳輸?shù)谋Ｃ芘c安全，有利于切換過(guò)程的安全保護(hù)[2]，當(dāng)然，更可靠的安全防護(hù)也會(huì)給系統(tǒng)帶來(lái)更大的負(fù)擔(dān)，對(duì)系統(tǒng)性能造成一定的負(fù)面影響。

2.1 移動(dòng)節(jié)點(diǎn)安全認(rèn)證導(dǎo)致切換時(shí)延增大

移動(dòng)節(jié)點(diǎn)切換過(guò)程不僅對(duì)安全性要求較高，對(duì)切換性能也有較高的要求。注冊(cè)、配置、檢測(cè)等一系列動(dòng)作將直接引起節(jié)點(diǎn)的信令開(kāi)銷(xiāo)，從而成為影響網(wǎng)絡(luò)整體性能的重要問(wèn)題。為了移動(dòng)節(jié)點(diǎn)(MN)在移動(dòng)過(guò)程中的安全性，基于MIPSec 協(xié)議的MIPv6 網(wǎng)絡(luò)安全架構(gòu)還引入了安全機(jī)制，因此信令開(kāi)銷(xiāo)必然有所增加，從而增大節(jié)點(diǎn)切換過(guò)程中的時(shí)延。

2.2 移動(dòng)子網(wǎng)（NEMO）復(fù)雜切換惡化了網(wǎng)絡(luò)性能

移動(dòng)子網(wǎng)（NEMO）作為下一級(jí)網(wǎng)絡(luò)，其的切換相對(duì)復(fù)雜。既有移動(dòng)節(jié)點(diǎn)相同的開(kāi)銷(xiāo)增加、時(shí)延較大的問(wèn)題，也由于自身結(jié)構(gòu)的層層嵌套，使得網(wǎng)絡(luò)切換性能進(jìn)一步惡化，從而造成導(dǎo)致正在進(jìn)行的通話、數(shù)據(jù)傳輸或應(yīng)用程序運(yùn)行被中斷或丟失，網(wǎng)絡(luò)延遲增加，數(shù)據(jù)包可能會(huì)丟失或重復(fù)，消耗額外的計(jì)算和網(wǎng)絡(luò)資源，切換過(guò)程頻繁發(fā)生或不平滑等問(wèn)題，影響實(shí)時(shí)應(yīng)用程序的性能。

2.3 多宿移動(dòng)子網(wǎng)存在安全路由選擇問(wèn)題

多宿移動(dòng)子網(wǎng)是一種基于網(wǎng)絡(luò)層的解決方案，用于改善移動(dòng)子網(wǎng)切換時(shí)帶來(lái)的性能問(wèn)題。通過(guò)多路由器共同保障同一網(wǎng)絡(luò)，雖然提升了系統(tǒng)的可靠性，但是一些副作用。包括，在選擇路由和接入點(diǎn)時(shí)，需要驗(yàn)證其合法性和可信度；需要具備動(dòng)態(tài)適應(yīng)性，路由選擇算法具備靈活性和實(shí)時(shí)性，能夠及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)[3]；更重要的是由于接受信號(hào)差異，容易造成多個(gè)移動(dòng)路由器相互間反復(fù)切換，以及各路由器間吞吐量不平衡的情況，從而造成網(wǎng)絡(luò)效果不佳。系統(tǒng)的開(kāi)銷(xiāo)同樣會(huì)由于接入路由器的增加而增大。

3 基于MIPsec 的MIPv6 網(wǎng)絡(luò)均衡優(yōu)化

3.1 基于融合認(rèn)證機(jī)制的MIPv6 安全快速切換

3.1.1 切換認(rèn)證方法

為了不在認(rèn)證時(shí)與網(wǎng)絡(luò)的進(jìn)行信令交互,通過(guò)數(shù)字證書(shū)機(jī)制，可以使移動(dòng)節(jié)點(diǎn)(MN)的長(zhǎng)期保存身份信息。對(duì)MN 進(jìn)行認(rèn)證的時(shí)候，接入路由器不需要與相關(guān)的認(rèn)證服務(wù)器進(jìn)行交互，而只需通過(guò)MN 的CA 及證書(shū)公鑰，完成MN 的數(shù)字認(rèn)證，完成MN 身份認(rèn)證即可[4]。減少了不必要的信令交互，也減少了與代理之間的開(kāi)銷(xiāo)，縮短了時(shí)延。

根據(jù)以上情況，提出了基于融合認(rèn)證機(jī)制的MIPv6安全快速切換（SeFMIPv6），實(shí)現(xiàn)快速、安全切換。結(jié)合MIPSec 應(yīng)用下的安全架構(gòu)，通過(guò)對(duì)切換時(shí)的認(rèn)證信息進(jìn)行快速綁定，再通過(guò)本地切換期間進(jìn)行接入節(jié)點(diǎn)的認(rèn)證，從而實(shí)現(xiàn)節(jié)點(diǎn)間的雙向雙重認(rèn)證，有效降低切換時(shí)延。

MIPSec 為切換過(guò)程提供全程安全保護(hù)，包括：

（1）對(duì)移動(dòng)節(jié)點(diǎn)(MN)到家鄉(xiāng)代理(HA)、通信終端(CN)到MN、CN 到HA、MN 到接入路由器（AR）的信息，以及MN 切換后的更新信息進(jìn)行加密保護(hù)。

（2）完成MN 到新接入路由器(NAR)的雙向認(rèn)證。

（3）在兩者間重新建立IPSec 安全聯(lián)盟IPSecSA。

3.1.2 切換認(rèn)證步驟

在不降低網(wǎng)絡(luò)性能情況下，保障MN 與NAR 的雙向認(rèn)證，可結(jié)合與切換對(duì)IKEv2 協(xié)議進(jìn)行改進(jìn)。

如圖1 所示，切換流程步驟如下：

圖1 融合認(rèn)證機(jī)制的移動(dòng)節(jié)點(diǎn)切換流程

步驟1：移動(dòng)節(jié)點(diǎn)MN 向當(dāng)前接入路由器(PAR)發(fā)送路由請(qǐng)求消息。

步驟2：PAR 回應(yīng)一個(gè)包含第三層信息的代理路由消息。

步驟3：MN 得到轉(zhuǎn)交地址后向PAR 發(fā)送快速綁定更新消息。

步驟4：PAR 向新接入路由器(NAR)發(fā)出一個(gè)包含轉(zhuǎn)交地址的切換發(fā)起消息。

步驟5：NAR 獲取MN 的公鑰對(duì)簽名信息進(jìn)行驗(yàn)證，計(jì)算出會(huì)話密鑰SK，加密后經(jīng)過(guò)簽名后隨切換響應(yīng)一同發(fā)送給PAR。

步驟6：PAR 向MN 發(fā)送綁定更新應(yīng)答消息，MN 完成對(duì)NAR 的身份認(rèn)證。

步驟7：MN 向HA 發(fā)送綁定更新，HA 并將發(fā)往MN的數(shù)據(jù)包重新定位到新的轉(zhuǎn)交地址。

步驟8：HA 向MN 返回綁定確認(rèn)消息，保證MN 在整個(gè)移動(dòng)過(guò)程中的安全性。

至此，SeFMIPv6 過(guò)程全部完成，該協(xié)議實(shí)現(xiàn)了MN切換過(guò)程的認(rèn)證。

3.2 MIPv6 移動(dòng)子網(wǎng)安全異步切換技術(shù)

出于切換效率的考慮，可以通過(guò)異步切換方式實(shí)現(xiàn)[5]。即采用分離的方式對(duì)移動(dòng)路由器(MR)以及移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)（MNNs）進(jìn)行獨(dú)立操作。首先，采取融合的安全認(rèn)證形式，完成MR 快速切換，隨后將形成的授權(quán)前綴傳送到移動(dòng)子網(wǎng)；然后MNNs 通過(guò)上一階段獲得的前綴，進(jìn)行轉(zhuǎn)交地址配置，并完成HA 和CN 注冊(cè)，完成切換。切換過(guò)程中，仍然通過(guò)MIPSec 對(duì)各部分之間的通信進(jìn)行安全保護(hù)。

圖2 為種移動(dòng)子網(wǎng)（NEMO）域間切換和域內(nèi)切換兩種場(chǎng)景，域間切換為MR3 從AR 切換到MR1 的接入路由器的1 層嵌套；域內(nèi)切換為從MR1 下切換到MR2 子網(wǎng)內(nèi)的2 層嵌套。

圖2 兩種移動(dòng)子網(wǎng)（NEMO）切換場(chǎng)景

（1）域間切換

MNNs 異步切換不需要MN 進(jìn)行切換操作，只需判斷授權(quán)前綴的變化情況來(lái)確定轉(zhuǎn)交地址及注冊(cè)。

步驟1：完成MR3 切換之后，MNNs 會(huì)接收MR3 向網(wǎng)內(nèi)節(jié)點(diǎn)發(fā)送的授權(quán)前綴的定期廣播信息。

步驟2：若授權(quán)前綴與之前不一致，MN 將需要按授權(quán)前綴來(lái)生成轉(zhuǎn)交地址；轉(zhuǎn)交地址由也根據(jù)授權(quán)前綴由固定節(jié)點(diǎn)形成。

步驟3:移動(dòng)性節(jié)點(diǎn)向HA 發(fā)送更新后的綁定消息，由固定節(jié)點(diǎn)對(duì)CN 完成注冊(cè)。

過(guò)程中，MNNs 自主判斷切換是否執(zhí)行，若不改變地址，可通過(guò)MR 完成切換，MNNs 不參與操作；否則，就執(zhí)行MNNs 切換。切換期間不脫離MR 子網(wǎng)，則無(wú)需重新注冊(cè)。

（2）域內(nèi)切換

MR3 結(jié)合需要接入信息重新配置形成傳輸鏈路的轉(zhuǎn)交地址，以確保網(wǎng)絡(luò)安全連接，同時(shí)將新轉(zhuǎn)交地址發(fā)送到MR1，確保數(shù)據(jù)可以從MR3 傳送至MR1。

在MR3 收到消息需要進(jìn)行切換前，將與MR1 進(jìn)行相互的信息傳送，以獲得授權(quán)年前綴，此外，還會(huì)與MR2進(jìn)行通信并取得鏈路與授權(quán)前綴。通過(guò)所獲得的授權(quán)前綴對(duì)比，從而確認(rèn)自身所嵌套的了網(wǎng)絡(luò)是否發(fā)生變化，再將自身網(wǎng)絡(luò)、轉(zhuǎn)交地址以及授權(quán)前綴等信息一并傳送至MR1 注冊(cè)。MR3 的認(rèn)證信息，通過(guò)MR1 傳送到MR2,經(jīng)過(guò)MR2 的身份認(rèn)證后將信息傳回，并向MR3 發(fā)送認(rèn)證信息，MR3 完成與MR1 的綁定，同時(shí)也完成與MR2 的相互認(rèn)證。在整個(gè)過(guò)程中授權(quán)前綴沒(méi)有因?yàn)榍袚Q二操作成變化，所以MR3 無(wú)需再配置轉(zhuǎn)交地址，無(wú)需再注冊(cè)向家鄉(xiāng)代理，其所處的MN 也不需重新配置轉(zhuǎn)交地址。這就完成了不改變授權(quán)前綴狀態(tài)下，MR3 的多層嵌套網(wǎng)絡(luò)內(nèi)遷移。

3.3 多宿移動(dòng)子網(wǎng)架構(gòu)下的選路算法

3.3.1 多宿移動(dòng)子網(wǎng)架構(gòu)

（n,l,*）結(jié)構(gòu)的多宿移動(dòng)子網(wǎng)，即通過(guò)n 個(gè)MR，1個(gè)HA，組建的移動(dòng)網(wǎng)絡(luò)，如圖3 所示。通過(guò)信任代理（TA）擴(kuò)展現(xiàn)有的系統(tǒng)網(wǎng)絡(luò)，對(duì)移動(dòng)子網(wǎng)的各MR 進(jìn)行監(jiān)測(cè)，獲取其通信狀態(tài)并進(jìn)行存儲(chǔ)，并以此對(duì)子網(wǎng)內(nèi)的相關(guān)MR 進(jìn)行信任值計(jì)算，同時(shí)完成個(gè)MR 的更新維護(hù)。信任代理的操作不會(huì)對(duì)網(wǎng)絡(luò)其他節(jié)點(diǎn)造成影響。

圖3 多宿移動(dòng)子網(wǎng)

3.3.2 基于信任的決策模型

模型思路主要是通過(guò)多屬性決策解決多宿路由選擇，也就是以移動(dòng)節(jié)點(diǎn)視角進(jìn)行決策，可用的MR 作為備選，通過(guò)相關(guān)參數(shù)的獲取和計(jì)算確定信任值，從而選擇信任、高效的MR 接入網(wǎng)絡(luò)之中。

（1）信任因子的選取

通過(guò)對(duì)實(shí)體行為以及實(shí)體信任信息的收集，并記錄其評(píng)價(jià)結(jié)果，構(gòu)成信任因子。當(dāng)前可選取節(jié)點(diǎn)數(shù)量(N)、網(wǎng)絡(luò)帶寬(Bw)、處理時(shí)延(Dly)、數(shù)據(jù)丟包率(Plr)作為MR的信任因子。

（2）決策模型

移動(dòng)節(jié)點(diǎn)接入的MR 分別表是為X1,X2……Xn，結(jié)合以上信任因子，構(gòu)成決策矩陣P=(pij)n*m。具體表示為：

由于各信任因子的屬性存在差異，數(shù)量單位也不盡相同，因此需要對(duì)決策矩陣進(jìn)行規(guī)范化處理，歸一化后的決策矩陣可表示為：H=(hij)n*m。

由以上矩陣H 及信任因素權(quán)重向量V=(v1,v2,...,vm)，集客計(jì)算出對(duì)應(yīng)的信任指數(shù)：。上式中，Vj為第j 個(gè)因素的權(quán)重，并符合。

3.3.3 基于信任的安全均衡選路算法

通過(guò)相關(guān)移動(dòng)節(jié)點(diǎn)，可以計(jì)算得到各MR 的信任指數(shù)，并結(jié)合自身數(shù)據(jù)類(lèi)型選擇適合的移動(dòng)路由器進(jìn)行介入。對(duì)移動(dòng)子網(wǎng)的各MR 進(jìn)行監(jiān)測(cè)，獲取其通信狀態(tài)并進(jìn)行存儲(chǔ)，并向MR 進(jìn)行周期性廣播通告。路由器節(jié)點(diǎn)向MN 發(fā)送的初始化信息，在信任列表中添加MR 節(jié)點(diǎn)信息，完成信任指數(shù)計(jì)算。在此基礎(chǔ)上，MN 進(jìn)一步完成MR 的選擇，根據(jù)各MR 的信任指數(shù)，結(jié)合相關(guān)信息選擇更合適的MR?；谛湃斡?jì)算的的選路算法如圖4 所示。

圖4 選路算法的流程

4 仿真測(cè)試

4.1 基于融合認(rèn)證機(jī)制的MIPv6 安全快速切換測(cè)試

為了驗(yàn)證優(yōu)化方案的可行性以及所網(wǎng)絡(luò)時(shí)延的改善情況，將采用將基于融合認(rèn)證機(jī)制的MIPv6 安全快速切換（SeFMIPv6）和采用IPSec 認(rèn)證的基本切換（MIPv6+認(rèn)證）兩種方案進(jìn)行時(shí)延進(jìn)行對(duì)比分析。場(chǎng)景由MN 通過(guò)HA 到兩個(gè)不同的AR，包含本地切換和異地切換兩個(gè)過(guò)程，得到的測(cè)試結(jié)果如圖5 所示。

圖5 切換延時(shí)比較

使用SeFMIPv6 的方式，本地切換耗時(shí)0.069 s,異地切換耗時(shí)僅為0.032 s；而采用MIPv6+認(rèn)證方式，本地切換所消耗的時(shí)間為0.998 s，異步切換耗時(shí)為1.597 s。由以上數(shù)據(jù)可以看出，SeFMIPv6 方式能有效改善移動(dòng)節(jié)點(diǎn)在切換過(guò)程中實(shí)體認(rèn)證產(chǎn)生較大延時(shí)的問(wèn)題。

4.2 移動(dòng)子網(wǎng)安全異步切換的測(cè)試

如圖2 所示，移動(dòng)子網(wǎng)（NEMO）分別從MR3 先移至MR1，再?gòu)腗R1 下切換到MR2 子網(wǎng)內(nèi)，分別形成2層或3 層網(wǎng)絡(luò)。期間CN 持續(xù)向VMN 發(fā)送分組數(shù)據(jù)，可以從中觀察到平均傳輸延時(shí)隨網(wǎng)絡(luò)嵌套層數(shù)的變化情況。如圖6 所示，無(wú)論是標(biāo)準(zhǔn)模式還是安全異步模式，時(shí)延都根據(jù)嵌套層數(shù)呈現(xiàn)出正向增長(zhǎng)。采用標(biāo)準(zhǔn)模式下，時(shí)延因?yàn)榍短讓訑?shù)增加而增加更為明顯，為傳送至最終目標(biāo)節(jié)點(diǎn)，數(shù)據(jù)信息需先經(jīng)多個(gè)MR 以及HA，也由此造成了網(wǎng)絡(luò)時(shí)延的增加。

圖6 兩種模式傳輸延時(shí)對(duì)比

總的來(lái)說(shuō)，采用安全認(rèn)證的異步切換模式雖然與標(biāo)準(zhǔn)模式相似，平均傳輸時(shí)延隨著嵌套層數(shù)的增加而增加，但在路由優(yōu)化的作用下，通過(guò)測(cè)試得到的異步模式時(shí)延增長(zhǎng)相對(duì)緩慢，能較好的兼顧安全與系統(tǒng)性能的要求，效果更為理想。

由于嵌套結(jié)構(gòu)所引起的效率問(wèn)題，采用異步切換方式能有效緩解，從而滿足了移動(dòng)子網(wǎng)的安全性以及切換性能的需要。

4.3 基于信任的多宿移動(dòng)子網(wǎng)安全均衡選路算法測(cè)試

按圖3 所示組建移動(dòng)網(wǎng)絡(luò)，完成三個(gè)MR 配置,分別采用DRS 算法以及TRS 算法對(duì)所述網(wǎng)絡(luò)整體吞吐量以及丟包率進(jìn)行對(duì)比。

圖7 為兩種算法下，仿真測(cè)試結(jié)果截取的200s 吞吐量數(shù)據(jù)，通過(guò)吞吐量對(duì)比結(jié)果可見(jiàn)，DSR 算法下，負(fù)載最大的MR1 的吞吐量甚至達(dá)到最小負(fù)載的MR3 的6 倍左右，各MR 之間吞吐量顯現(xiàn)不均衡，不利于整體網(wǎng)絡(luò)性能的發(fā)揮。而采用TRS 算法的3 個(gè)路由器的吞吐量差距不大，MR3 稍稍高出，MR1 與MR2 基本持平，呈現(xiàn)出相對(duì)均衡的狀態(tài)。可見(jiàn)通過(guò)TRS 算法的應(yīng)用，使網(wǎng)絡(luò)內(nèi)各MR 間的吞吐量差異顯著減小，緩解了負(fù)載不均對(duì)局部路由帶來(lái)的壓力，實(shí)現(xiàn)了負(fù)載均衡，使網(wǎng)絡(luò)性能得到了整體提升。

圖7 基于兩種算法的吞吐量對(duì)比

圖8 為T(mén)RS 算法與DRS 算法的丟包率對(duì)比，采用TRS 算法較原來(lái)的DRS 算法，丟包率也有明顯的優(yōu)化，丟包率由原來(lái)的0.185%降低到0.106%，網(wǎng)絡(luò)的整體性能得到了較明顯提升。

圖8：網(wǎng)絡(luò)丟包率對(duì)比圖

5 總結(jié)

移動(dòng)IPv6 為移動(dòng)互聯(lián)網(wǎng)的發(fā)展提供了技術(shù)基礎(chǔ)，它不僅支持移動(dòng)設(shè)備在不同的網(wǎng)絡(luò)環(huán)境中自由切換和通信；也可以隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加，為各種物聯(lián)網(wǎng)設(shè)備提供全球范圍內(nèi)的穩(wěn)定IP 連接；還可以在不同的運(yùn)營(yíng)商網(wǎng)絡(luò)中進(jìn)行跨網(wǎng)絡(luò)的無(wú)縫漫游和通信；為移動(dòng)應(yīng)用提供了更穩(wěn)定和靈活的網(wǎng)絡(luò)連接，改善了移動(dòng)應(yīng)用的用戶體驗(yàn)。

通過(guò)系統(tǒng)切換及選路算法等均衡控制技術(shù)的進(jìn)一步優(yōu)化，移動(dòng)IPv6 可以在很好地兼顧網(wǎng)絡(luò)安全的同時(shí)，減少網(wǎng)絡(luò)時(shí)延遲、降低數(shù)據(jù)丟包率、保障網(wǎng)絡(luò)的吞吐量和穩(wěn)定性，為用戶提供更加安全、穩(wěn)定和高效的移動(dòng)互聯(lián)網(wǎng)服務(wù)，提升用戶對(duì)移動(dòng)互聯(lián)網(wǎng)的使用體驗(yàn)，為新一代移動(dòng)互聯(lián)網(wǎng)的普及和發(fā)展提供了更好的基礎(chǔ)和條件。