37、无线移动网络水平切换管理与3G和802.11网络安全互操作性研究

珊珊333333

于 2025-08-24 16:17:08 发布

阅读量36

点赞数

CC 4.0 BY-SA版权

分类专栏：探索计算机网络新趋势与创新文章标签：移动IPv6 水平切换 3G网络

本文链接：https://blog.youkuaiyun.com/css33/article/details/150760820

探索计算机网络新趋势与创新专栏收录该内容

38 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

无线移动网络水平切换管理与3G和802.11网络安全互操作性研究

1. 移动IPv6水平切换模型

在移动IPv6网络中，移动节点（MN）的通信涉及到家乡地址（home - address）和转交地址（care - of - address）。MN向家乡代理（HA）发送绑定更新（binding update），HA则回送绑定确认（binding acknowledgment）。当通信对端节点（CN）不支持MIPv6时，它将数据发送到MN的家乡地址，由HA收集并转发到MN的转交地址；若CN支持MIPv6，则可直接与MN的转交地址进行数据收发。由于绑定的存在，在家乡地址和转交地址之间会形成动态隧道。

此外，外地代理（FA）会周期性发送“路由器通告”（Router Advertisement）消息，其中包含全局唯一的路由前缀，MN可据此生成转交地址。当MN切换网络时，在收到周期性的路由器通告消息之前，它可以向FA发送“路由器请求”（Router Solicitation）消息。

1.1 当前移动IPv6水平切换解决方案

MN进入新的外地子网时，会向该子网注册并获取新的转交地址。具体过程如下：
1. MN利用FA发送的“路由器通告”消息创建自己的转交地址。
2. MN向FA发送请求，检查新创建的转交地址的唯一性。
3. FA执行重复地址检测（DAD）操作，该操作耗时较长，之后将结果返回给MN。
4. 若新创建的转交地址唯一，MN向外地子网注册；否则，MN需重新创建转交地址并重复上述过程。

这个模型存在两个主要缺点：
- 切换过程在MN进入新子网后才开始，无论信号传输速度和DAD操作速度多快，都无法消除切换延迟。
- DAD操作耗时久，如果接入点（AR）能跟踪其覆盖区域内的所有转交地址并为MN生成新的转交地址，就能避免DAD操作浪费时间。

1.2 水平切换管理新算法

新提出的水平切换模型针对上述两个主要缺点进行了改进。该模型显著降低了切换延迟，因为MN的切换过程在物理进入新子网之前就开始了。而且，转交地址由AR生成，而非MN，从而消除了DAD操作所浪费的时间。具体步骤如下：
1. 当MN离开当前AR（约为子网覆盖半径的90%）时，向当前AR发送切换信号，表明即将进行切换，信号中包含MN的MAC地址和识别目标AR的必要信息。
2. 当前AR将MN的MAC地址发送给目标AR，请求为MN分配一个转交地址。
3. 目标AR生成新的转交地址并发送给当前AR，同时为该地址预留一段时间，防止为其他新进入的MN重复生成。
4. 当前AR将新的转交地址告知MN。
5. MN获取新的转交地址后，向新子网注册。

不过，该模型也有一些潜在成本：
- 所有AR必须提前相互了解。
- 由于该模型中信号交互增多，消息流量显著增加。

1.3 模拟结果

为比较上述两种水平切换方案的性能，进行了一组模拟实验。模拟中，AR被假设为覆盖半径约500米的基站，每个基站最多支持50个MN。分别测量MN从一个基站移动到另一个基站时，两种模型的切换延迟。对新模型进行了两种不同MN速度的模拟：80 km/h（近似汽车速度）和8 km/h（近似行人速度）。

结果表明：
- 当前模型的切换延迟与MN速度无关，因为切换在MN进入子网后才开始。而在新模型中，MN速度起着重要作用，当MN速度较慢（如行人）时，甚至可以在进入新子网之前完成注册，此时切换延迟为零。
- 当前解决方案的切换延迟随子网内节点数量的增加而增加。当子网接近其容量限制（30 - 50个MN）时，MN生成唯一转交地址的概率显著降低，导致MN需重新生成地址并再次执行DAD操作。而新模型中，生成转交地址的时间与子网内MN数量无关，切换延迟几乎恒定。
- 当子网内MN数量在0 - 10之间，且MN速度为80 km/h时，当前模型的性能优于新模型。因此，子网内MN较少时，当前模型更合适；而对于高度拥挤的子网，新模型更合适。

以下是两种模型的对比表格：
| 模型 | 切换开始时机 | 转交地址生成方 | 切换延迟与MN数量关系 | 适合场景 |
| ---- | ---- | ---- | ---- | ---- |
| 当前模型 | MN进入新子网后 | MN | 随MN数量增加而增加 | 子网MN较少 |
| 新模型 | MN接近新子网时 | AR | 几乎与MN数量无关 | 高度拥挤子网 |

模拟结果的流程图如下：

graph LR
    A[开始模拟] --> B[设置AR为基站]
    B --> C[设置基站覆盖半径和支持MN数量]
    C --> D[模拟当前模型切换延迟]
    C --> E[模拟新模型切换延迟（80km/h）]
    C --> F[模拟新模型切换延迟（8km/h）]
    D --> G[分析当前模型结果]
    E --> H[分析新模型80km/h结果]
    F --> I[分析新模型8km/h结果]
    G --> J[对比两种模型结果]
    H --> J
    I --> J
    J --> K[得出结论]

2. 3G和802.11网络的安全互操作性

随着互联网的发展，无线和移动技术与互联网融合，WLAN技术和3G蜂窝网络为用户提供了互联网接入。实现不同无线技术之间的无缝互连，并确保安全互操作性是一个重要问题。本文提出了一种基于AAA（认证、授权、计费）的认证机制，用于实现3G网络和802.11网络之间的安全互操作性。

2.1 基于时间阈值的方案（TTS）

为理解3G和802.11域的安全机制，需要了解这两种网络的结构。

2.1.1 IEEE 802.11安全概述

IEEE 802.11在介质访问控制（MAC）层有安全机制，使用有线等效保密（WEP）协议进行加密。WEP的加密目标是提供与有线系统相当的安全级别，采用40位RC4算法，加密和解密使用相同密钥。

然而，WEP存在诸多问题，被认为不安全。例如，Walker证明了WEP在任何密钥长度下都不安全，Fluhrer、Mantin和Shamir提出了破解WEP的攻击方法。有人建议在WEP中使用AES块密码的偏移码本模式（OCP），也有人建议不依赖802.11的链路层安全，而使用IPSec和SSH等更高级别的安全机制。

在计算复杂度方面，WEP效率较高，可在硬件和软件中实现，允许低MIPS设备以软件方式实现。由于RC4是流密码，其加密和解密速度比块密码快约10倍。

IEEE 802.11有两种认证方式：开放系统认证和共享密钥认证。开放系统认证是默认服务，任何终端都可请求认证，接收请求的终端可直接批准或通过特殊列表进行控制。共享密钥认证涉及共享密钥，基于挑战 - 响应机制，双向认证需要两个消息周期。

802.11未指定密钥管理，在无线基础设施网络模式下，对于大量移动终端（MT）而言效率低下且不可接受。在无线自组织网络模式下，没有认证和加密服务。共享密钥认证易被被动监听攻击破解，建议使用IPSec等更高级别的安全机制。

使用IEEE 802.1X和RADIUS服务器可解决802.11的安全限制。802.1X可用于推导认证和加密密钥，并定期刷新密钥和重新认证。它利用可扩展认证协议（EAP），支持多种认证机制。在增强型802.11网络安全草案规范中，增强安全网络（ESN）依赖IEEE 802.1X进行认证和密钥管理服务，提供新的WEP2算法和AES的偏移码本模式进行加密。

以下是IEEE 802.11安全相关特性的表格：
| 安全特性 | 详情 |
| ---- | ---- |
| 加密协议 | WEP（40位RC4），WEP2（类似WEP，更大密钥和IV），AES（OCP） |
| 认证方式 | 开放系统认证、共享密钥认证 |
| 密钥管理 | 未指定 |
| 安全问题 | WEP不安全，共享密钥认证易被破解 |
| 改进措施 | 使用IEEE 802.1X和RADIUS服务器 |

IEEE 802.11安全机制的流程图如下：

graph LR
    A[IEEE 802.11网络] --> B[MAC层安全]
    B --> C[WEP加密]
    B --> D[认证方式]
    C --> E[40位RC4算法]
    C --> F[存在安全问题]
    F --> G[建议改进]
    D --> H[开放系统认证]
    D --> I[共享密钥认证]
    I --> J[易被破解]
    J --> G
    G --> K[使用IEEE 802.1X和RADIUS]

2.1.2 3G安全概述

3GPP安全基于GSM安全，但旨在解决GSM的一些弱点并增加新的安全特性。GSM和GPRS安全基于SIM卡和归属网络之间的长期共享密钥进行单向认证，而3GPP支持双向认证。GSM和GPRS仅在空中提供链路级保护，核心网络无保护，3GPP则支持核心网络安全。

在3GPP中，定义了五个安全特性组，为安全发送IP数据包，主要关注网络访问安全和网络域安全。
- 网络访问安全 ：提供网络对用户的认证和用户对网络的认证，使用用户归属网络提供的认证向量。除双向认证外，还提供加密密钥（CK）和完整性检查密钥（IK）。该机制基于用户和认证中心（AuC）之间共享的秘密K以及类似GSM认证和密钥协商机制的挑战 - 响应机制，不同之处在于使用了序列号。认证和密钥协商后，归属环境（HE）决定使用的加密和集成算法，并发送给MT。若双方达成一致，则根据所选算法进行加密和解密。完整性算法fp在MT和无线网络控制器（RNC）中实现，保密函数f8用于MT和RNC之间的专用信道，Kasumi可用于f8，未来可能有其他选择。
- 网络域安全 ：用于由单一管理机构管理的网络安全。对于基于原生IP的协议，安全由IETF定义的IPSEC安全协议（RFC - 2401）提供。

以下是3GPP安全特性的表格：
| 安全特性组 | 详情 |
| ---- | ---- |
| 网络访问安全 | 双向认证，提供CK和IK，基于秘密K和挑战 - 响应机制，使用序列号 |
| 网络域安全 | 基于IPSEC协议（RFC - 2401） |

3G安全机制的流程图如下：

graph LR
    A[3GPP网络] --> B[网络访问安全]
    A --> C[网络域安全]
    B --> D[双向认证]
    B --> E[提供CK和IK]
    D --> F[基于秘密K和挑战 - 响应]
    F --> G[使用序列号]
    C --> H[IPSEC协议（RFC - 2401）]

无线移动网络水平切换管理与3G和802.11网络安全互操作性研究（续）

2.2 基于AAA的认证机制

为实现3G网络和802.11网络之间的安全互操作性，提出了一种基于AAA（认证、授权、计费）的认证机制。该机制利用两个网络现有认证机制，提供了一种在3G核心网络和802.11核心网络之间分发会话密钥和加密算法的方法。

2.2.1 机制原理

此认证机制主要基于以下几个方面：
- AAA协议和基础设施 ：用于两个域之间的认证。
- 3G AKA（认证和密钥协商）认证算法 ：用于3G网络的认证。
- IEEE 802.1X和PPP（点对点）EAP（可扩展认证协议）协议 ：用于802.11网络的认证。

通过这些现有结构和协议，该机制满足了不影响各域安全机制，且不允许对不同域客户端进行硬件或软件修改的要求。

2.2.2 认证流程

以下是基于AAA的认证机制的详细流程：
1. 用户设备（UE）尝试从802.11网络接入3G网络或反之。
2. 在802.11网络中，使用IEEE 802.1X和EAP协议进行初步认证。认证请求通过接入点（AP）发送到RADIUS服务器。
3. RADIUS服务器与AAA服务器进行交互，AAA服务器根据UE的身份信息和3G网络的认证要求，启动3G AKA认证算法。
4. 3G AKA认证过程中，用户归属网络的AuC生成认证向量，包含认证所需的信息。
5. 认证向量通过AAA服务器和RADIUS服务器传递到UE和相关网络设备。
6. UE和网络设备根据认证向量进行双向认证，同时生成会话密钥（CK和IK）。
7. 认证成功后，会话密钥和选定的加密算法在3G核心网络和802.11核心网络之间进行分发。

基于AAA的认证机制的流程图如下：

graph LR
    A[用户设备（UE）] --> B[802.11网络接入]
    B --> C[IEEE 802.1X和EAP认证]
    C --> D[AP发送请求到RADIUS服务器]
    D --> E[RADIUS服务器与AAA服务器交互]
    E --> F[AAA服务器启动3G AKA认证]
    F --> G[AuC生成认证向量]
    G --> H[认证向量传递到UE和设备]
    H --> I[双向认证和密钥生成]
    I --> J[会话密钥和算法分发]

3. 总结与展望

3.1 移动IPv6水平切换总结

在移动IPv6水平切换方面，当前解决方案和新算法各有优劣。当前模型在子网内MN数量较少时性能较好，但存在切换延迟大、DAD操作耗时久等问题。新算法通过提前开始切换过程和由AR生成转交地址，显著降低了切换延迟，尤其适用于高度拥挤的子网。不过，新算法也存在AR需提前相互了解和消息流量增加等潜在成本。

不同场景下两种模型的对比总结表格如下：
| 场景 | 当前模型优势 | 新算法优势 |
| ---- | ---- | ---- |
| 子网MN少 | 实现简单，在低节点数时性能较好 | - |
| 子网MN多 | - | 切换延迟低，不受MN数量影响 |

3.2 3G和802.11网络安全互操作性总结

IEEE 802.11网络的WEP协议存在安全漏洞，认证和密钥管理方面也有不足，可通过使用IEEE 802.1X和RADIUS服务器进行改进。3GPP网络在安全方面有更完善的机制，支持双向认证和核心网络安全。基于AAA的认证机制为3G和802.11网络之间的安全互操作性提供了一种可行的解决方案，利用了两个网络现有的认证结构和协议。

不同网络安全特性的总结表格如下：
| 网络类型 | 安全优势 | 安全不足 | 改进措施 |
| ---- | ---- | ---- | ---- |
| IEEE 802.11 | 计算复杂度低，可软硬件实现 | WEP不安全，密钥管理未指定 | 使用IEEE 802.1X和RADIUS服务器 |
| 3GPP | 支持双向认证，核心网络安全 | - | - |

3.3 未来展望

未来，在移动IPv6水平切换方面，可以进一步研究如何降低新算法的潜在成本，例如优化AR之间的信息交互方式，减少消息流量。对于3G和802.11网络的安全互操作性，可探索更高效、更安全的认证机制，结合新兴的加密技术和认证标准，以适应不断发展的无线通信环境。同时，加强对不同无线技术融合的研究，实现更无缝、更安全的网络连接。

综上所述，无线移动网络的水平切换管理和不同网络之间的安全互操作性是当前无线通信领域的重要研究方向，通过不断的技术创新和优化，将为用户提供更优质、更安全的网络服务。