［柏林］

1 研究意義和背景

1.1 MIPv6 技術(shù)的現(xiàn)狀

國家在5G 網(wǎng)絡(luò)快速建設(shè)的同時，也積極推進(jìn)著IPv6的規(guī)模部署，結(jié)合當(dāng)前萬物互聯(lián)的需求，移動IPv6 技術(shù)（MIPv6）可很好地與現(xiàn)有的網(wǎng)絡(luò)設(shè)備和協(xié)議配合使用，不改變IP 地址在不同的網(wǎng)絡(luò)之間無縫切換，數(shù)據(jù)包直接傳輸?shù)揭苿釉O(shè)備所在網(wǎng)絡(luò)等顯著優(yōu)勢，已成為移動傳輸?shù)年P(guān)鍵技術(shù)。MIPv6 的應(yīng)用和發(fā)展，將全面提升行業(yè)數(shù)字化轉(zhuǎn)型的速度，改善產(chǎn)業(yè)生態(tài)，突破瓶頸短板，強化安全保護(hù)，為建設(shè)數(shù)字中國、提供有力支撐。

1.2 MIPv6 的應(yīng)用與需求

MIPSec 的提出，在IP 層重點解決了MIPv6 的架構(gòu)安全性問題，對移動性、業(yè)務(wù)流程、策略及管理等實現(xiàn)了有效的提升。但安全架構(gòu)的設(shè)計必然增加了整體網(wǎng)絡(luò)的運算開銷，影響了移動性能，增大了切換時延，降低了整體網(wǎng)絡(luò)質(zhì)量，造成客戶滿意度下降[1]。因此，MIPv6 網(wǎng)絡(luò)環(huán)境下兼顧安全及移動性能的均衡控制技術(shù)的研究具有重要的應(yīng)用價值。

2 基于MIPSec 協(xié)議的MIPv6 網(wǎng)絡(luò)存在的問題

MIPSec 的應(yīng)用，增加了接入認(rèn)證、數(shù)據(jù)傳輸?shù)谋Ｃ芘c安全，有利于切換過程的安全保護(hù)[2]，當(dāng)然，更可靠的安全防護(hù)也會給系統(tǒng)帶來更大的負(fù)擔(dān)，對系統(tǒng)性能造成一定的負(fù)面影響。

2.1 移動節(jié)點安全認(rèn)證導(dǎo)致切換時延增大

移動節(jié)點切換過程不僅對安全性要求較高，對切換性能也有較高的要求。注冊、配置、檢測等一系列動作將直接引起節(jié)點的信令開銷，從而成為影響網(wǎng)絡(luò)整體性能的重要問題。為了移動節(jié)點(MN)在移動過程中的安全性，基于MIPSec 協(xié)議的MIPv6 網(wǎng)絡(luò)安全架構(gòu)還引入了安全機制，因此信令開銷必然有所增加，從而增大節(jié)點切換過程中的時延。

2.2 移動子網(wǎng)（NEMO）復(fù)雜切換惡化了網(wǎng)絡(luò)性能

移動子網(wǎng)（NEMO）作為下一級網(wǎng)絡(luò)，其的切換相對復(fù)雜。既有移動節(jié)點相同的開銷增加、時延較大的問題，也由于自身結(jié)構(gòu)的層層嵌套，使得網(wǎng)絡(luò)切換性能進(jìn)一步惡化，從而造成導(dǎo)致正在進(jìn)行的通話、數(shù)據(jù)傳輸或應(yīng)用程序運行被中斷或丟失，網(wǎng)絡(luò)延遲增加，數(shù)據(jù)包可能會丟失或重復(fù)，消耗額外的計算和網(wǎng)絡(luò)資源，切換過程頻繁發(fā)生或不平滑等問題，影響實時應(yīng)用程序的性能。

2.3 多宿移動子網(wǎng)存在安全路由選擇問題

多宿移動子網(wǎng)是一種基于網(wǎng)絡(luò)層的解決方案，用于改善移動子網(wǎng)切換時帶來的性能問題。通過多路由器共同保障同一網(wǎng)絡(luò)，雖然提升了系統(tǒng)的可靠性，但是一些副作用。包括，在選擇路由和接入點時，需要驗證其合法性和可信度；需要具備動態(tài)適應(yīng)性，路由選擇算法具備靈活性和實時性，能夠及時應(yīng)對網(wǎng)絡(luò)中的安全風(fēng)險[3]；更重要的是由于接受信號差異，容易造成多個移動路由器相互間反復(fù)切換，以及各路由器間吞吐量不平衡的情況，從而造成網(wǎng)絡(luò)效果不佳。系統(tǒng)的開銷同樣會由于接入路由器的增加而增大。

3 基于MIPsec 的MIPv6 網(wǎng)絡(luò)均衡優(yōu)化

3.1 基于融合認(rèn)證機制的MIPv6 安全快速切換

3.1.1 切換認(rèn)證方法

為了不在認(rèn)證時與網(wǎng)絡(luò)的進(jìn)行信令交互,通過數(shù)字證書機制，可以使移動節(jié)點(MN)的長期保存身份信息。對MN 進(jìn)行認(rèn)證的時候，接入路由器不需要與相關(guān)的認(rèn)證服務(wù)器進(jìn)行交互，而只需通過MN 的CA 及證書公鑰，完成MN 的數(shù)字認(rèn)證，完成MN 身份認(rèn)證即可[4]。減少了不必要的信令交互，也減少了與代理之間的開銷，縮短了時延。

根據(jù)以上情況，提出了基于融合認(rèn)證機制的MIPv6安全快速切換（SeFMIPv6），實現(xiàn)快速、安全切換。結(jié)合MIPSec 應(yīng)用下的安全架構(gòu)，通過對切換時的認(rèn)證信息進(jìn)行快速綁定，再通過本地切換期間進(jìn)行接入節(jié)點的認(rèn)證，從而實現(xiàn)節(jié)點間的雙向雙重認(rèn)證，有效降低切換時延。

MIPSec 為切換過程提供全程安全保護(hù)，包括：

（1）對移動節(jié)點(MN)到家鄉(xiāng)代理(HA)、通信終端(CN)到MN、CN 到HA、MN 到接入路由器（AR）的信息，以及MN 切換后的更新信息進(jìn)行加密保護(hù)。

（2）完成MN 到新接入路由器(NAR)的雙向認(rèn)證。

（3）在兩者間重新建立IPSec 安全聯(lián)盟IPSecSA。

3.1.2 切換認(rèn)證步驟

在不降低網(wǎng)絡(luò)性能情況下，保障MN 與NAR 的雙向認(rèn)證，可結(jié)合與切換對IKEv2 協(xié)議進(jìn)行改進(jìn)。

如圖1 所示，切換流程步驟如下：

圖1 融合認(rèn)證機制的移動節(jié)點切換流程

步驟1：移動節(jié)點MN 向當(dāng)前接入路由器(PAR)發(fā)送路由請求消息。

步驟2：PAR 回應(yīng)一個包含第三層信息的代理路由消息。

步驟3：MN 得到轉(zhuǎn)交地址后向PAR 發(fā)送快速綁定更新消息。

步驟4：PAR 向新接入路由器(NAR)發(fā)出一個包含轉(zhuǎn)交地址的切換發(fā)起消息。

步驟5：NAR 獲取MN 的公鑰對簽名信息進(jìn)行驗證，計算出會話密鑰SK，加密后經(jīng)過簽名后隨切換響應(yīng)一同發(fā)送給PAR。

步驟6：PAR 向MN 發(fā)送綁定更新應(yīng)答消息，MN 完成對NAR 的身份認(rèn)證。

步驟7：MN 向HA 發(fā)送綁定更新，HA 并將發(fā)往MN的數(shù)據(jù)包重新定位到新的轉(zhuǎn)交地址。

步驟8：HA 向MN 返回綁定確認(rèn)消息，保證MN 在整個移動過程中的安全性。

至此，SeFMIPv6 過程全部完成，該協(xié)議實現(xiàn)了MN切換過程的認(rèn)證。

3.2 MIPv6 移動子網(wǎng)安全異步切換技術(shù)

出于切換效率的考慮，可以通過異步切換方式實現(xiàn)[5]。即采用分離的方式對移動路由器(MR)以及移動網(wǎng)絡(luò)節(jié)點（MNNs）進(jìn)行獨立操作。首先，采取融合的安全認(rèn)證形式，完成MR 快速切換，隨后將形成的授權(quán)前綴傳送到移動子網(wǎng)；然后MNNs 通過上一階段獲得的前綴，進(jìn)行轉(zhuǎn)交地址配置，并完成HA 和CN 注冊，完成切換。切換過程中，仍然通過MIPSec 對各部分之間的通信進(jìn)行安全保護(hù)。

圖2 為種移動子網(wǎng)（NEMO）域間切換和域內(nèi)切換兩種場景，域間切換為MR3 從AR 切換到MR1 的接入路由器的1 層嵌套；域內(nèi)切換為從MR1 下切換到MR2 子網(wǎng)內(nèi)的2 層嵌套。

圖2 兩種移動子網(wǎng)（NEMO）切換場景

（1）域間切換

MNNs 異步切換不需要MN 進(jìn)行切換操作，只需判斷授權(quán)前綴的變化情況來確定轉(zhuǎn)交地址及注冊。

步驟1：完成MR3 切換之后，MNNs 會接收MR3 向網(wǎng)內(nèi)節(jié)點發(fā)送的授權(quán)前綴的定期廣播信息。

步驟2：若授權(quán)前綴與之前不一致，MN 將需要按授權(quán)前綴來生成轉(zhuǎn)交地址；轉(zhuǎn)交地址由也根據(jù)授權(quán)前綴由固定節(jié)點形成。

步驟3:移動性節(jié)點向HA 發(fā)送更新后的綁定消息，由固定節(jié)點對CN 完成注冊。

過程中，MNNs 自主判斷切換是否執(zhí)行，若不改變地址，可通過MR 完成切換，MNNs 不參與操作；否則，就執(zhí)行MNNs 切換。切換期間不脫離MR 子網(wǎng)，則無需重新注冊。

（2）域內(nèi)切換

MR3 結(jié)合需要接入信息重新配置形成傳輸鏈路的轉(zhuǎn)交地址，以確保網(wǎng)絡(luò)安全連接，同時將新轉(zhuǎn)交地址發(fā)送到MR1，確保數(shù)據(jù)可以從MR3 傳送至MR1。

在MR3 收到消息需要進(jìn)行切換前，將與MR1 進(jìn)行相互的信息傳送，以獲得授權(quán)年前綴，此外，還會與MR2進(jìn)行通信并取得鏈路與授權(quán)前綴。通過所獲得的授權(quán)前綴對比，從而確認(rèn)自身所嵌套的了網(wǎng)絡(luò)是否發(fā)生變化，再將自身網(wǎng)絡(luò)、轉(zhuǎn)交地址以及授權(quán)前綴等信息一并傳送至MR1 注冊。MR3 的認(rèn)證信息，通過MR1 傳送到MR2,經(jīng)過MR2 的身份認(rèn)證后將信息傳回，并向MR3 發(fā)送認(rèn)證信息，MR3 完成與MR1 的綁定，同時也完成與MR2 的相互認(rèn)證。在整個過程中授權(quán)前綴沒有因為切換二操作成變化，所以MR3 無需再配置轉(zhuǎn)交地址，無需再注冊向家鄉(xiāng)代理，其所處的MN 也不需重新配置轉(zhuǎn)交地址。這就完成了不改變授權(quán)前綴狀態(tài)下，MR3 的多層嵌套網(wǎng)絡(luò)內(nèi)遷移。

3.3 多宿移動子網(wǎng)架構(gòu)下的選路算法

3.3.1 多宿移動子網(wǎng)架構(gòu)

（n,l,*）結(jié)構(gòu)的多宿移動子網(wǎng)，即通過n 個MR，1個HA，組建的移動網(wǎng)絡(luò)，如圖3 所示。通過信任代理（TA）擴(kuò)展現(xiàn)有的系統(tǒng)網(wǎng)絡(luò)，對移動子網(wǎng)的各MR 進(jìn)行監(jiān)測，獲取其通信狀態(tài)并進(jìn)行存儲，并以此對子網(wǎng)內(nèi)的相關(guān)MR 進(jìn)行信任值計算，同時完成個MR 的更新維護(hù)。信任代理的操作不會對網(wǎng)絡(luò)其他節(jié)點造成影響。

圖3 多宿移動子網(wǎng)

3.3.2 基于信任的決策模型

模型思路主要是通過多屬性決策解決多宿路由選擇，也就是以移動節(jié)點視角進(jìn)行決策，可用的MR 作為備選，通過相關(guān)參數(shù)的獲取和計算確定信任值，從而選擇信任、高效的MR 接入網(wǎng)絡(luò)之中。

（1）信任因子的選取

通過對實體行為以及實體信任信息的收集，并記錄其評價結(jié)果，構(gòu)成信任因子。當(dāng)前可選取節(jié)點數(shù)量(N)、網(wǎng)絡(luò)帶寬(Bw)、處理時延(Dly)、數(shù)據(jù)丟包率(Plr)作為MR的信任因子。

（2）決策模型

移動節(jié)點接入的MR 分別表是為X1,X2……Xn，結(jié)合以上信任因子，構(gòu)成決策矩陣P=(pij)n*m。具體表示為：

由于各信任因子的屬性存在差異，數(shù)量單位也不盡相同，因此需要對決策矩陣進(jìn)行規(guī)范化處理，歸一化后的決策矩陣可表示為：H=(hij)n*m。

由以上矩陣H 及信任因素權(quán)重向量V=(v1,v2,...,vm)，集客計算出對應(yīng)的信任指數(shù)：。上式中，Vj為第j 個因素的權(quán)重，并符合。

3.3.3 基于信任的安全均衡選路算法

通過相關(guān)移動節(jié)點，可以計算得到各MR 的信任指數(shù)，并結(jié)合自身數(shù)據(jù)類型選擇適合的移動路由器進(jìn)行介入。對移動子網(wǎng)的各MR 進(jìn)行監(jiān)測，獲取其通信狀態(tài)并進(jìn)行存儲，并向MR 進(jìn)行周期性廣播通告。路由器節(jié)點向MN 發(fā)送的初始化信息，在信任列表中添加MR 節(jié)點信息，完成信任指數(shù)計算。在此基礎(chǔ)上，MN 進(jìn)一步完成MR 的選擇，根據(jù)各MR 的信任指數(shù)，結(jié)合相關(guān)信息選擇更合適的MR?；谛湃斡嬎愕牡倪x路算法如圖4 所示。

圖4 選路算法的流程

4 仿真測試

4.1 基于融合認(rèn)證機制的MIPv6 安全快速切換測試

為了驗證優(yōu)化方案的可行性以及所網(wǎng)絡(luò)時延的改善情況，將采用將基于融合認(rèn)證機制的MIPv6 安全快速切換（SeFMIPv6）和采用IPSec 認(rèn)證的基本切換（MIPv6+認(rèn)證）兩種方案進(jìn)行時延進(jìn)行對比分析。場景由MN 通過HA 到兩個不同的AR，包含本地切換和異地切換兩個過程，得到的測試結(jié)果如圖5 所示。

圖5 切換延時比較

使用SeFMIPv6 的方式，本地切換耗時0.069 s,異地切換耗時僅為0.032 s；而采用MIPv6+認(rèn)證方式，本地切換所消耗的時間為0.998 s，異步切換耗時為1.597 s。由以上數(shù)據(jù)可以看出，SeFMIPv6 方式能有效改善移動節(jié)點在切換過程中實體認(rèn)證產(chǎn)生較大延時的問題。

4.2 移動子網(wǎng)安全異步切換的測試

如圖2 所示，移動子網(wǎng)（NEMO）分別從MR3 先移至MR1，再從MR1 下切換到MR2 子網(wǎng)內(nèi)，分別形成2層或3 層網(wǎng)絡(luò)。期間CN 持續(xù)向VMN 發(fā)送分組數(shù)據(jù)，可以從中觀察到平均傳輸延時隨網(wǎng)絡(luò)嵌套層數(shù)的變化情況。如圖6 所示，無論是標(biāo)準(zhǔn)模式還是安全異步模式，時延都根據(jù)嵌套層數(shù)呈現(xiàn)出正向增長。采用標(biāo)準(zhǔn)模式下，時延因為嵌套層數(shù)增加而增加更為明顯，為傳送至最終目標(biāo)節(jié)點，數(shù)據(jù)信息需先經(jīng)多個MR 以及HA，也由此造成了網(wǎng)絡(luò)時延的增加。

圖6 兩種模式傳輸延時對比

總的來說，采用安全認(rèn)證的異步切換模式雖然與標(biāo)準(zhǔn)模式相似，平均傳輸時延隨著嵌套層數(shù)的增加而增加，但在路由優(yōu)化的作用下，通過測試得到的異步模式時延增長相對緩慢，能較好的兼顧安全與系統(tǒng)性能的要求，效果更為理想。

由于嵌套結(jié)構(gòu)所引起的效率問題，采用異步切換方式能有效緩解，從而滿足了移動子網(wǎng)的安全性以及切換性能的需要。

4.3 基于信任的多宿移動子網(wǎng)安全均衡選路算法測試

按圖3 所示組建移動網(wǎng)絡(luò)，完成三個MR 配置,分別采用DRS 算法以及TRS 算法對所述網(wǎng)絡(luò)整體吞吐量以及丟包率進(jìn)行對比。

圖7 為兩種算法下，仿真測試結(jié)果截取的200s 吞吐量數(shù)據(jù)，通過吞吐量對比結(jié)果可見，DSR 算法下，負(fù)載最大的MR1 的吞吐量甚至達(dá)到最小負(fù)載的MR3 的6 倍左右，各MR 之間吞吐量顯現(xiàn)不均衡，不利于整體網(wǎng)絡(luò)性能的發(fā)揮。而采用TRS 算法的3 個路由器的吞吐量差距不大，MR3 稍稍高出，MR1 與MR2 基本持平，呈現(xiàn)出相對均衡的狀態(tài)?？梢娡ㄟ^TRS 算法的應(yīng)用，使網(wǎng)絡(luò)內(nèi)各MR 間的吞吐量差異顯著減小，緩解了負(fù)載不均對局部路由帶來的壓力，實現(xiàn)了負(fù)載均衡，使網(wǎng)絡(luò)性能得到了整體提升。

圖7 基于兩種算法的吞吐量對比

圖8 為TRS 算法與DRS 算法的丟包率對比，采用TRS 算法較原來的DRS 算法，丟包率也有明顯的優(yōu)化，丟包率由原來的0.185%降低到0.106%，網(wǎng)絡(luò)的整體性能得到了較明顯提升。

圖8：網(wǎng)絡(luò)丟包率對比圖

5 總結(jié)

移動IPv6 為移動互聯(lián)網(wǎng)的發(fā)展提供了技術(shù)基礎(chǔ)，它不僅支持移動設(shè)備在不同的網(wǎng)絡(luò)環(huán)境中自由切換和通信；也可以隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加，為各種物聯(lián)網(wǎng)設(shè)備提供全球范圍內(nèi)的穩(wěn)定IP 連接；還可以在不同的運營商網(wǎng)絡(luò)中進(jìn)行跨網(wǎng)絡(luò)的無縫漫游和通信；為移動應(yīng)用提供了更穩(wěn)定和靈活的網(wǎng)絡(luò)連接，改善了移動應(yīng)用的用戶體驗。

通過系統(tǒng)切換及選路算法等均衡控制技術(shù)的進(jìn)一步優(yōu)化，移動IPv6 可以在很好地兼顧網(wǎng)絡(luò)安全的同時，減少網(wǎng)絡(luò)時延遲、降低數(shù)據(jù)丟包率、保障網(wǎng)絡(luò)的吞吐量和穩(wěn)定性，為用戶提供更加安全、穩(wěn)定和高效的移動互聯(lián)網(wǎng)服務(wù)，提升用戶對移動互聯(lián)網(wǎng)的使用體驗，為新一代移動互聯(lián)網(wǎng)的普及和發(fā)展提供了更好的基礎(chǔ)和條件。