CDMA2000分 域核心网移动IP技术

1．3 代理移动IP引入

移动IP解决了简单IP在移动寻址、跨PDSN切换等方面的缺陷，但对移动终端有较高的要求。移动终端要支持移动IP，则需要增加额外的软件来处理移动IP相关信令以完成移动IP注册，基于以上考虑，各CDMA2000通信设备生产商和运营商开始考虑代理移动IP(Proxy Moblle IP，简称PMIP)方案，这使得只支持简单IP的移动终端也可以使用移动IP业务。

当用户接入PDSN时，在PPP Session建立阶段，由PDSN通过去AAA鉴权或本地配置来判断用户是否为代理移动IP用户，并收集进行移动IP注册所需要的信息，然后由PDSN代替移动终端向HA发起移动IP注册请求，向HA注册，如果注册成功，则在IPCP协商阶段将HA或者AAA分配的地址分配给用户，在PDSN和HA之间会建立一个隧道，进行下行数据的转发，根据需要也可以建立反向隧道，代理移动IP用户的数据面处理和普通移动IP用户一致。

在代理移动IP场景下，PDSN将代替手机移动终端完成移动IP的注册、更新和维护操作，无须移动终端介入处理移动IP信令。

代理移动IP比普通移动IP本身有着更多的优势，是在网络部署时需要考虑的一种方案。

2 移动IP关键技术

2．1 NAI的使用

网络接入标识NAI在RFC2486中定义，目的是支持拨号用户的漫游，其格式为NAI=username／(usemame"@"realm)。NAI用于确定用户的本地鉴权服务器，简单IP中应用于PPP的鉴权阶段。

在Mobile IP中，一般PPP无CHAP过程，使用注册请求消息中的MN NAI扩展来标识用户。RFC2794定义了一种移动IP扩展：Mobile Node NAI Extension，此扩展也是在移动IP注册请求消息中必须要携带的扩展。PDSN在收到移动IP注册请求后，从中提出MN NAI扩展，然后使用Radius协议对移动终端进行鉴权。

对于代理移动IP，用户的属性在AAA上基于NAI或者realm配置，简单IP用户到AAA鉴权时，AAA鉴权应答返回用户授权信息，PDSN设备可以处理移动IP业务。

由于不同的移动终端可以使用相同的NAI，NAI不是唯用户的标识，可以配合IMSI扩展共同标识用户。

2．2 鉴权认证

移动IP用户在PPP协商阶段不到AAA鉴权，移动IP注册请求消息中携带各种认证扩展来实现各种安全认证。

PDSN设备可以集成FA功能，移动IP用户入网时，FA可以强制通过FAAA到HAAA对用户进行安全认证(此种场景出现在用户处于外地网络时，当处于归属网络时，PDSN可以直接将认证消息发送给HAAA，不需要通过FAAA做代理)，HA设备在处理移动IP注册请求信令时，可以选择到HAAA进行二次认证，移动IP信令刷新时，可以不再去HAAA进行认证，重复认证对HAAA的信令处理能力要求较高，并且多次认证对用户的接入时延也有一定的影响，所以，配置用户的认证策略时需要综合考虑。

代理移动IP用户在PPP协商阶段的流程同普通的简单IP用户，PPP阶段需要对AAA进行认证，PDSN／FA根据AAA鉴权应答授权的信息或者本地配置的策略为移动终端直接发送移动IP注册消息给HA，此时，HA设备可以选择到AAA进行二次认证，处理机制同普通的移动IP用户。

2．3 隧道技术及数据路由

隧道技术在移动IP中非常重要。移动IP使用IP in IP封装，最小封装和通用路由封装(GRE)3种隧道技术。

1)IP in IP封装 由RFC2003定义，用于将IPv4包放在另一个IPv4包的净荷部分。它在原始IPv4数据包的现有报头前插入了一个外层IP报头，外层IP报头中的源地址和目的地址分别标识隧道中的两个边界节点。内层IP报头(即原始IPv4数据包头)中的源地址和目的地址分别标识原始数据包的发送节点和接收节点。采用IP in IP封装的隧道对穿过的数据包来说，犹如一条虚拟链路。移动IP要求本地代理和外地代理IP in IP封装，以实现从归属代理到转交地址的隧道。

2)IP的最小封装 由RFC2004定义，是移动IP中的一种可选隧道方式。目的是减少实现隧道所需的额外字节数，通过去掉IP in IP封装中的内层IP报头和外层IP报头的冗余部分完成。与IP in IP相比，它可节省字节(一般8字节)。但使用这种隧道技术有一个前提，就是原始的数据包不能已经被分片，因为IP的最小封装技术在新的IP报头和净荷之间插入了一个最小转发报头，它不保存有关分片的情况。在隧道内的每台路由器上，由于原始包的生存时间阈值都会减小，以使得本地代理采用最小封装时，移动终端不可到达的概率增大。故最小封装为不推荐使用。

3)通用路由封装 由RFC170l定义，是移动IP采用的最后一种隧道技术。除了IP协议外，GRE还支持其他网络层协议，它允许一种协议的数据包封装在另一种协议数据包的净荷中。在某些应用中，GRE防止递归封装的机制也非常有竞争力。由于GRE为一种三层VPN协议，CRE头可以携带扩展的Keyr和Sequence Number对数据报文进行标识，所以此种数据封装方式灵活性较高，在代理移动IP应用场景中，设备可以直接使用这种数据封装(代理移动IP也可以根据配置决定使用哪种数据封装方式，普通移动IP还是需要通过协商使用某种数据封装)。

作者：程艳丽   来源：电子设计工程