摘 要: 分析了由蜂窝移动通信提供的移动Internet的缺陷。根据Ad Hoc网络的特性,结合移动IP,提出了一种新的体系结构——基于Ad Hoc的移动Internet,并分析了该体系结构中的Ad Hoc与Internet的互连性问题、QoS问题和网络安全问题。
关键词: 移动Internet Ad Hoc网络 QoS 网络安全
移动Internet是指终端用户能够以移动的方式访问Internet。蜂窝移动通信系统能够支持移动终端访问Internet,但是对于电子商务、视频电话、远程教育、多媒体信息等服务还不能够很好地支持。因为这些服务对网络的实时性、安全性和带宽提出了很高的要求。在3G的UMTS框架中,虽然进一步提供了对Internet的有效支持,并提供了4类QoS保证机制,但它还是与Internet的特性不相适应,主要表现在以下方面。
(1)体系结构。Internet是无中心控制、分布式的网络,以自由、开放的方式接入;蜂窝移动通信系统是中心控制、分层结构的网络,由运营商经营,网络的接入受到严格控制。
(2)数据速率。Internet提供了许多宽带接入方式,如Ethernet能以10Mbps接入,xDSL也能以几个Mbps接入。蜂窝移动通信系统中,GPRS最多能提供171Kbps的数据传输率,未来的EDGE也只能达到384Kbps。这些都限制了多媒体数据业务的发展。
(3)计费。Internet中许多应用和服务的价格比较低廉,很多丰富多彩的应用和服务都是免费的;而移动通信中的计费一般比较高。移动通信计费的另一个特点是按照距离来计费,例如2个归属地在南京的用户到北京后,从路由技术上来说,虽然他们可以通过北京的某个交换机通信,但他们却要被收取额外的“漫游”费。
用户需要的移动Internet不仅要有传统Internet所具有的足够大的带宽、足够高的数据速率、丰富多彩的应用和服务以及自由宽松的接入,还要有很高的性价比及低廉的价格。
对此,本文提出了一种新的体系结构,即基于Ad Hoc的移动Internet,并对该体系结构中的关键技术进行了初步探讨。
1 体系结构
Ad Hoc是近些年发展起来的一种无线移动网络,不需要有线基础设施的支持,具有无中心、自组织的特点。网络中每个节点既是数据终端,又具有路由功能。在Ad Hoc网络中,无线信号范围之内的2个节点能直接通信,否则通过中间节点转发数据包。
Ad Hoc网络的这些特性,可用于实现移动Internet,其体系结构如图1所示。其中路由器R连接Internet和Ad Hoc网络,终端T处于Ad Hoc网络中。Ad Hoc只实现了网络接口层的移动,要实现网络层的移动,还必须有移动IP的支持。移动IP提供了对传输层及以上各层的透明数据传输。R可兼作移动IP的外代理。与蜂窝移动通信提供的移动Internet相比,这种解决方案具有如下优点。
(1)体系结构。符合传统Internet的特点,无中心控制,网络扩展性好。由于是从传统的Internet扩展而来,所以与Internet的衔接很好,容易继承传统Internet的优点。
(2)接入灵活。终端可以自由灵活地接入Ad Hoc网络,并通过路由器R接入Internet,也可以随意退出网络。同时,终端可以随意“漫游”到其他Ad Hoc网络。
(3)通信路由优化。在无线信号范围之内的2个终端可以直接通信。这解决了上述关于南京用户到北京后的“漫游”计费问题。
(4)数据速率。Ad Hoc能提供接近10Mbps的数据速率。
Ad Hoc网络的最大优点是可以快速组网,自由接入。一个典型的例子是:校园内的所有用户可以组成一个Ad Hoc网络,网络内用户可以直接通信,而不需要运营商的介入,因此费用相应较低。从数据流量来说,一位同学会有相当大一部分通信只在本校园内的同学和老师之间。所以,这种体系结构优化了本地通信,这对一些本地通信量很大的用户来说非常有利。
2 关键技术
为了实现基于Ad Hoc的移动Internet,需要有一些关键技术的支持:Ad Hoc与Internet的有效连接是其中最基本的技术;为了实现多媒体通信的要求,还要有QoS的保证机制;由于终端可以自由灵活地接入,因此网络的安全和认证也是一个重要方面。
2.1 与Internet的连接
Ad Hoc网络中的节点T要连接Internet时,必须先发现外代理R,从R中获取转交地址,然后将这个转交地址告诉家代理。以后家代理就可以通过隧道将数据包传给T。传统移动IP的方法是外代理R周期性地向整个Ad Hoc网络广播它的存在。这样,Ad Hoc中每个节点都知道外代理R的地址。但是,并不是每个节点都有连接Internet的需求,因此向整个Ad Hoc广播R的地址会浪费大量的网络资源。另一种方法是按需请求的方法,即只有当T要连接Internet时才发送外代理请求,获取外代理R的地址。这种方法节约了网络开销,但却增加了延迟。
一种有效的解决方法是限制外代理R在Ad Hoc网络中广播的范围。即将它的广播报文的TTL值设为n(n的大小根据Ad Hoc中节点的数量而定)。这样,只有在R的n跳内的节点才能收到R的广播报文。当n跳外的节点T要连接Internet时,则通过代理机制来获取R的地址,即发送一个TTL值为1的代理请求报文,询问外代理R的地址,同时启动定时器。如果定时器超时后T还没有收到来自周围节点的回答,就递增TTL的值,发送一个TTL值为2的代理请求报文,再次启动定时器……如果当TTL的值递增到某一值m时,T还没有收到周围节点的回答,就向整个Ad Hoc广播它的代理请求。当一个节点收到代理请求报文时,首先检查它是否保存有外代理R的信息。如果有,则向T发送一个单播回答报文,告诉它外代理R的地址。中间节点可以侦听外代理回答报文。当一个节点收到一个目的地址不是自己的外代理回答报文时,可以提取外代理R的信息,以便需要时使用。
上面这种方法有效地结合了传统移动IP和按需请求的优点,节约了网络开销,缩短了时延。当然,对于如何选择n、m的最佳值还有待进一步的研究。
2.2 适合Ad Hoc的QoS保证机制
已经有相当多的协议和机制来保证QoS。但是Ad Hoc网络拓扑结构多变,将这些机制运用于Ad Hoc网络时,必须考虑到这一点。一种有效的解决方法就是采用本地路由修补技术。例如,假设已经在发送端S和接收端D之间建立了一条链路(S,A,B,C,E,F,G,D),并且已经在A、B、C、E、F、G之间预留了资源,但是在某个时候由于某种原因,C和F之间的连接断开了。一种可能的解决方法是S重新发起向D的连接请求,并进行资源预留。显然这种方法不是最优的。另一种可能的方法是当链路的上游节点检测到链路断开时,发起向接收端的路由重建工作,并重新在下游进行资源预留,即节点C发起向D的路由重建和资源预留请求。这种方法使得在链路断开处的节点即C之前的所有路由都不必重建。一种更优的方法是采用本地路由修补技术,在链路断开处的上游节点(即C),发送一个路由修补请求报文,寻找一条到D的路由。这条路由与先前到D的路由有最多的重合节点。在这个链路修补报文中包含C到D的先前的路由信息(E,F,G,D),并设置该报文的TTL值为某个合适的值t(如2或3)。这样,限制了该报文到达的范围。当在该范围之内的某个节点,如K恰好与E相连时,K就向C发送路由修补回答报文。C收到K的回答后,就建立起同K的连接,并在K处进行资源预留,最终本地路由修补的结果就是(S,A,B,C,K,E,F,G,D)。这种方法的优点是节约网络资源,降低延时。
应当注意到,在节点C进行本地路由修补的时间内,当C继续收到B传来的数据包时,不应该将其丢掉,而应该将其放在缓冲器中。当路由修补完后,用比正常情况下的传输速率r更高的速率R来传输,以便将缓冲器中积累的数据清空,然后再恢复到正常速率r。假设T代表路由修补的时间,t代表清空缓冲器的时间,则在t内传输的总的数据为R×t,也等于r×T+r×t,可以得到:
可以用(PCR,SCR,MBS)来刻划一个发送端S到接收端D的流特性。其中PCR代表峰值信元速率,SCR代表持续信元速率,MBS代表最大突发长度,那么采用本地路由修补之后流的特性将有所变化。对于固定传输速率的流来说,峰值信元速率和持续信元速率分别是R和r。对于最大突发长度,由于清空缓冲器的时间是t,所以最大突发长度是r×t,则固定传输速率的流特性可表示为:(R,r,r×
)。
对于具有可变传输速率的流来说,假如原来的特性为(PCR,SCR,MBS),则采用本地路由修补之后,显然,峰值信元速率是R,持续信元速率不变仍为SCR。对于最大突发长度,由于在路由修补和清空缓冲器这段时间内,流入数据速率最大不会超过PCR,因此有t×R≤t×PCR+T×
从以上分析可以看出,R和T是2个重要参数,直接影响到QoS的性能和流特性。
2.3 网络安全
网络安全是该体系结构中的又一个关键技术。由于Ad Hoc采用无线链路,信号容易被窃听和干扰,所以数据的保密性和完整性是网络安全需要考虑的2个重要方面。同时,由于Ad Hoc网络拓扑结构动态变化,终端可以自由灵活地加入和离开网络,因此对终端节点的成员性管理和认证也是一个重要的方面。
对于数据的保密性和完整性问题,需要设计安全的路由协议。目前已提出了很多路由协议,能有效适应Ad Hoc拓扑的多变性。但是,这些路由协议很少考虑到安全问题。路由信息的泄漏和截取是Ad Hoc的薄弱点。例如,一个恶意节点加入网络中后,它可以向网络中注入一些错误的路由信息,致使网络路由不可达;或者修改路由信息,使自己成为所有数据包的接收者,在网络中形成数据黑洞。当前安全的路由协议仍是Ad Hoc的一个研究热点。
对终端的成员性管理,即身份认证有2种。一种是全局认证,终端要与Internet上的节点通信时,必须进行全局认证;另一种是本地认证,终端只与本网内的节点进行通信时,只进行本地认证即可。现在有很多有效的加密算法和认证机制,如数字签名和PKI等。但是,这些方法需要做些改动,以适应Ad Hoc网络的动态拓扑特性。在Ad Hoc网络中只让一个节点担任认证任务是非常危险的。这个节点将会成为整个Ad Hoc网络的脆弱性所在。所以,一种基本的思想就是:同时让n个节点承担认证任务,只要在n个节点(S1,S2,S3,……Sn)中有一定数目的节点(如t+1个节点)给予终端T认证,则T就在整个Ad Hoc网内得到认证。如果≤t个节点给予认证,则认证就没有通过。这种思想在现实生活中也是十分常见的。实现这种思想的一种可能的方法就是将PKI中的认证中心(CA)用于签署认证的私钥k分给网内n个节点,每个节点i获得k的一个部分ki,这样就形成了私钥k的n个分私钥(k1,k2,k3,……kn)。当给予终端T认证时,n个节点用各自的分私钥ki产生各自的分签名。如果一个节点能收集到t+1个分签名,则能计算出对整网有效的签名。能实现这种思想的一种算法叫作阈值加密算法,称这样的规则为(n,t+1)配置。但是为了进一步的安全考虑,n个节点应该动态更新自己的分私钥ki,以防止当有多达t+1个节点的分私钥ki被泄漏时,产生假冒签名。另一方面,考虑到网络中节点数目的变化,例如这n个认证节点中有节点离开网络,或者有新的节点加入,使得能提供认证的节点数目变化为n′
时,其阈值加密
3 结 论
Ad Hoc网络正受到越来越多的重视和研究。随着其优越性逐渐体现出来,本文提出的基于Ad Hoc的移动Internet方案也将受到越来越多的支持。本方案解决了蜂窝移动通信系统提供的移动Internet在体系结构、数据速率和计费等方面存在的问题。其优点在于符合人们的生活模式,优化了本地通信。当然有许多问题还有待研究和优化,如路由协议的安全性,更优化的认证方法以及Ad Hoc网络中节点的IP编址等。
参考文献
1 Zhou L D,Haas Z J.Securing Ad Hoc Networks.IEEE Network,1999;13(6)
2 Ratanchadani P,Kravets R.A Hybrid Approach to Internet Connectivity for Mobile Ad Hoc Networks.In:Proceedings of Wireless Communications and Networking Conference,New Orleams,LA USA,2003
3 Gupta A,Sanghi D.QoS Support in Mobile Ad Hoc Networks. In:Proceedings of IEEE International Conference on Personal Wireless Communications,Hyderabad,India,2000
4 Schefstrom D.Architecture of a Mobile Internet.In:Proceedings of the 36th Annual Hawaii International Conference on System Sciences,Hawaii,2003