（计算机应用技术专业论文）无线应用场景下wifi连接管理模块的研究与实现.pdf

e 塞交道鑫堂亟堂焦监塞撞 矍 摘要 随着无线移动通信技术的发展，w i f i 手机成为了市场上的一个新兴热点。 w i f i 手机是在以无线局域网( w l a n ) 和因特网( i n t e r n e t ) 为基础的未授权移动 接入( u m a ) 网络环境下支持i p 电话( v o i p ) 功能的手机。w i f i 手机的优势首 先在于它可以在已经连接上因特网的a p ( a e c e s s p o i n g ) 的覆盖区域内，通过与当前 可用a p 建立普通w i - f i 链接来达到浏览互联网的目的，这种浏览方式是免费的且 速度相较g p r s 链接而言更快，更稳定。其次，w i - f i 手机可以在以因特网( i n t e m e t ) 为基础的未授权移动接入( 1 n 讧a ) 网络环境下建立带安全功能的w i f i 链接，即 在这个链接里可以采用i p s e e 技术保证整个u m a 通信网络的安全性。论文主要工 作包括； 1 分析和研究w i - f i 技术及其现状和发展前景。 2 分析和研究i p s e c 相关协议包括认证头协议( a h ) 、封装安全载荷协议 ( e s p ) 以及密钥交换协议( r r d ! v 2 ) ，掌握了i p s e c 的体系结构和工作机制。 3 在深入研究普通w i f i 链接和带安全功能的w i f i 链接的处理逻辑后，设 计并实现了适用于w i _ f i 链接处理逻辑的链接管理模块。 论文在l i n u x 内核的手机系统上，通过实现以w i f i 链接为基础的数据管理模 块及其处理逻辑，管理控制在w i - f i 手机中存在的两种w i - f i 链接。论文的研究成 果已在w i f i 手机产品中得到了应用，并取得了良好的效果。 关键词：w i f ii p s e ci m ad s m 分类号：t p 3 1 1 5 2 i e 摩窑迪占堂亟主堂焦j 盆室垦s 工互 a b s t r a c t a st h ed e v e l o p m e n to ft h ew i r e l e s sm o b i l ec o m m u n i c a t i o nt e c h n o l o g y , w i f i m o b i l ep h o n eb e c o m e san e wh i g h l i g h ti nc u r r e n tm a r k e t s w i f im o b i l ep h o n ei s b a s e do nt h e h r e l e s sl a na n di n t e m e t u n d e rt h eu n a u t h o r i z e dm o b i l ea c c e s sn e t w o r k e n v i r o n m e n t ，s u p p o r t si pt e l e p h o n yb yv 0 m t h ea d v a n t a g eo ft h ew i - f im o b i l ep h o n e l i e si nt w oa s p e c t s ： f i r s t l y , w i t ht h ef u n c t i o no fc a p a b l et oe s t a b l i s ho r d i n a r yl i n k sw i t ht h ec o v e r i n g r e g i o no fi n t e r a c tt h r o u g ha p , w i - f im o b i l ep h o n ec a na c h i e v et h eg o a lo fs u r f i n gt h e i n t e r n e t ，t h i sl n d d n gi sc h a r g ef r e e ，a n di nt e r m so fs p e e di ti sf a s t e ra n dm o r es t a b l e t h a ng 腿sl i n k s s e c o n d l y b a s e do nw l a na n di n t e r a c t w i f im o b i l ep h o n ec a ne s t a b l i s ha s e c u r i t yp r o t e c tf u n c t i o n a ll i n k i n g ，u n d e rt h eu n a u t h o r i z e dm o b i l ea c c e s sn e t w o r k e n v i r o n m e n t n a m e l y , i tc a ng u a r a n t e et h es e c u r i t yo fe n t i r eu m a t e l e c o mn e t w o r kb y i p s e e t h em a i nw o r k so f t h ed i s s e r t a t i o ni n c l u d e s ： 1 a n a l y s i sa n dr e s e a r c hw i f it e c h n o l o g y , a n d i t ss t a t u sa n dd e v e l o p m e n t p r o s p e c t s 2 a n a l y s i sa n dr e s e a r c hr e l a t e da g r e e m e n t si n c l u d i n gi p s e ca u t h e n t i c a t i o nf i r s t a g r e e m e n t ( a h ) a n de n c a p s u l a t i n gs e c u r i t yp a y l o a dp r o t o c o l ( e s p ) ，a n dk e y e x c h a n g ep r o t o c o l ( i k e v 2 ) ，g o tm a s t e r e d t h ei p s e ca r c h i t e c t u r ea n dw o r k i n g m e c h a n i s m s 3 a f t e ri n d e p t hs t u d yo f t h ew i - f il i n kp r o c e s s i n gl o g i cf o rt h eg e n e r a lw j - f il i n k a n dt h el i n kw i ms e c u r i t yf e a t u r e s d e s i g n e da n di m p l e m e n t e dt h el i n k i n gm a n a g e m e n t m o d u l et od e a lw i t hw i - f il i n k s t h i sd i s s e r t a t i o nm a n a g e sa n dc o n t r o l st h et w ow i - f il i n ki nw i - f ip h o n e st h r o u g h t h er e a l i z a t i o no faw i - f il i n k - b a s e dd a t am a n a g e m e n ta n dp r o c e s s i n gl o g i cm o d u l e si n t h el i n u xk e r n e lp h o n es y s t e m t h er e s e a r c hr e s u l t sh a v eb e e na p p l i e di nt h ew i f i p h o n ep r o d u c t sa n dh a v ea c h i e v e dg o o dr e s u l t s k e y w o r i d s ：w i f im s e eu m ad s m c l a s s n o ：t p 31 1 5 2 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：多k 煮雄 导师签名： 侈妻 签字日期：枷n 年i 蝴止日 业立交垣厶堂亟堂僮i 金塞独创挂直蛆 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与本人一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：签字日期：弓乃7 年2 月多日 j g 塞銮亟盘堂亟堂僮j 金塞撞墨 致谢 本论文的工作是在我的导师施寅教授的悉心指导下完成的，施寅教授严谨的 治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢近三年来施 寅老师对我的关心和指导。 施寅教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此向施寅老师表示衷心的谢意。 施寅教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷心 的感谢。 在实验室工作及撰写论文期间，周围同学学对我论文中的研究工作给予了热 情帮助，在此向他们表达我的感激之情。 另外也感谢家人和朋友，他们的理解和支持使我能够在学校专心完成我的学 k 。 i e 立童通塞堂亟堂垃论塞 绮i 金 1 绪论 1 1 本论文相关英文缩写 a p a d j u n c tp r o c e s s o r 副处理器 a p i - - a p p l i c a t i o np r o g r a mi n t e r f a c e 应用编程接口 b pb a s e b a n dp r o c e s s o r 基带处理器 d j pd i r e c t i p 直接i p d s m d a t as e s s i o nm a n a g e r 数据会话管理器 e a pt e n s i b l e a u t h e n t i c a t i o np r o t o c o l 扩展认证协议 g p r s g e n e m lp a c k e tr a d i os e r v i c e 全局分组无线服务 g s mg l o b a ls y s t e mf o rm o b i l ec o m m u n i c a t i o n s 全球移动通信系统 i p s e c i ps e c u r i t y 口安全协议 m sm o b i l es t a t i o n 移动基站 n a p i n e t w o r ka p l 网络应用编程接口 s g w s e c u r e dg a t e w a y 安全网关 t a p i t e l e p h o n e a p i 电话应用编程接口 u m a u n l i c e n s e dm o b i l ea c c e s s 未授权移动接入 u a c- u m aa c c e s sc o n t r o l l e r 未授权移动接入控制器 u m a b p u m ab a s e b a n dp r o c e s s o r 未授权移动接入基带处理器 u m a n u m an e t w o r k 未授权移动接入网络 u n c u m an e t w o r kc o n t r o l l e r 未授权移动接入网络控制器 1 2 课题的背景及意义 随着无线移动通信技术的迅速发展，移动设备通过无线网络直接接入因特 网，这种入网方式将在下一代网络( n g n ) 中扮演着重要的角色。w l 越n ( w i r e l e s s l o c a l a r e a n e t w o r k 无线局域网) 是一种无线网络技术，具有在一定区域内的移动 性优势，该技术在移动设备中广泛得到了应用，近年来在移动通信领域也开始发 挥重要的作用。以w l a n 和i n t e r n e t 为基础的l i m a ( u n l i c e n s e dm o b i l ea c c e s s ， 非授权移动接入) 协议是目前常用的对语音和数据通讯业务进行集成的标准，能 实现g s m 网络和l i m a 网络问的无缝结合。随着u m a 协议规范的成熟和完善， e 塞窑煎塞堂亟堂僮j 金塞绪监 w i - f i 手机成为手机市场上的一个热点和亮点。近年来在欧美一些国家兴起建设 w i f i 无线互联网的热潮，w i f i 手机的未来也越来越被人们所看好。手机设备商 摩托罗拉、诺基亚、三星、u t 斯达康等手机厂商已经推出了带w i f i 模块的手机， 使用这种手机用户可以在w l a n 网络环境下像普通手机一样拨打电话。2 0 0 6 年市 场上将推出大约2 0 款具有w i f i 功能的手机，由于低廉的资费w i f i 手机的市场 前景为大家所看好。最近关于在国内w i f i 手机只能处在边缘化发展阶段的讨论很 多，究其原因有受到a p 匮乏、运营商的态度问题、可能的政策限制等多方因素的 影响。但这没有影响到学术界对w i - f i 手机核心技术的研究。 w i f i 手机在w l a n 和i n t e r n e t 相结合的场景下，按照u m a 协议的规范在 无线应用场景下建立i p s e c 安全隧道。在u m a 网络中w i f i 手机首先通过无线接 入点a p ( a c c e s sp o i n t ，无线接入点) 建立无线连接，进而接入i n t e r n e t ，然后同 运营商事先部署好的s g w ( s e c u r i t yg a t e w a y ，安全网关) 建立i p s e c 隧道，最后 注册到u m a 网上，进行语音和数据通信。可见w i - f i 手机在u m a 网络中的安全 基础是由i p s e c 安全隧道所提供的。 而在非l i m a 网络中，w i - f i 手机在w l a n 和i n t e m e t 相结合的场景下，w i f i 手机首先通过无线接入点a p 建立无线连接，直接入i n t e r n e t ，进行数据通信。 论文是以w i f i 手机的应用开发为背景，通过研究i p s e c 的核心技术( 安全 协议、密钥交换和管理协议、认证方式等) 和w i - f i 的相关技术，最后实现一个基 于无线应用场景下的d s m 模块，可以管理普通w i f i 和带安全功能的w i f i 链接 的处理逻辑。论文研究的内容既是学科前沿，又是当今研究的热点和重点。尽管 在国内w i - f i 手机的应用前景还不是很乐观，但对w i f i 手机的核心技术的研究仍 具有现实意义和商业价值。 、矾f i 全称w i r e l e s sf i d e l i t y ，又称8 0 2 1 i b 标准，它的最大优点就是传输速度 较高，可以达到1 t m b p s ，另外它的有效距离也很长，同时也与已有的各种 8 0 2 1 l d s s s 设备兼容。w i f i 是出a p ( a c c e s sp o i n 0 和无线网卡组成的无线网络。 a p 一般称为网络桥接器或接入点，它是当作传统的有线局域网络与无线局域网络 之间的桥梁，因此任何一台装有无线网卡的p c 均可透过a p 去分享有线局域网络 甚至广域网络的资源，其工作原理相当于一个内置无线发射器的集线器或者是路 由，而无线网卡则是负责接收由a p 所发射信号的c l i e n t 端设备。 w i - f i 最主要的优势在于不需要布线，可以不受布线条件的限制，因此非常适 合移动办公用户的需要，具有广阔市场前景。目前它已经从传统的医疗保健、库 存控制和管理服务等特殊行业向更多行业拓展歼去，甚至丌始进入家庭以及教育 机构等领域。 i e e e 8 0 2 1 1 规定的发射功率不可超过1 0 0 毫瓦，实际发射功率约6 0 - - 7 0 毫瓦， 2 韭立窑逼塞堂亟堂焦监塞 绪j 金 这是一个什么样的概念昵? 手机的发射功率约2 0 0 毫瓦至1 瓦间，手持式对讲机 高达5 瓦，而且无线网络使用方式并非像手机直接接触人体，应该是绝对安全的。 一般架设无线网络的基本配备就是无线网卡及一台a p ，如此便能以无线的模 式，配合既有的有线架构来分享网络资源，架设费用和复杂程序远远低于传统的 有线网络。如果只是几台电脑的对等网，也可不要a p ，只需要每台电脑配备无线 网卡。a p ( a c c e s s p o i n t ，无线访问节点) 。它主要在媒体存取控制层m a c 中扮演 无线工作站及有线局域网络的桥梁。有了a p ，就像有线网络的集线器一样，无线 工作站可以快速且轻易地与网络相连。特别是对于宽带的使用，w i f i 更显优势， 有线宽带网络( a d s l 、小区l a n 等) 到户后，连接到一个a p ，然后在电脑中安 装一块无线网卡即可。普通的家庭有一个a p 已经足够，甚至用户的邻里得到授权 后，则无需增加端口，也能以共享的方式上网。 无线w i - f i 的工作距离不大，在网络建设完备的情况下，8 0 2 1 l b 的真实工作 距离可以达到1 0 0 米以上，而且解决了高速移动时数据的纠错问题、误码问题， w i - f i 设备与设备、设备与基站之间的切换和安全认证都褥到了很好的解决， 1 3 国内外研究现状 目前，i e e e 8 0 2 1 1 无线局域网标准在语音通信、无线办公等领域广泛应用， 但主要还是局限在p c 机、笔记本电脑等通用平台的无线通信。无线局域网在信 息家电、工业控制、移动手持设备等嵌入式环境中的应用需求日益增多。如何在 嵌入式系统中整合w l a n 宽带通信，成为嵌入式系统应用中的一个热点。 w i 书i 技术的研究主要集中在无线短距离技术，虽然由w i f i 技术传输的无线 通信质量不是很好，但w i f i 技术符合个人和社会信息化的需求，而且厂商进入 该领域的门槛比较低，厂商不用耗费资金来进行网络布线接入，从而节省了大量 的成本。但由于w i - f i 技术的漫游性、安全性和如何计费都还没有得到妥善的解决， 所以此方面的研究还具有很大的发展空间。 在涉及到w i - f i 连接的m s e c 技术应用方面，目前国内基于i p s e cv p n 的实现 技术主要是密钥管理采用i k e v l 协议规范，安全协议是基于l i n u x 2 4 内核上实现 的。随着l i n u x 2 6 内核对 p s e c 的支持，i p s e c 安全协议已经不需要单独去实现， 因此有部分人已经开始考虑基于l i n u x 2 6 内核来设计i p s c cv p n ，而密钥管理方面 仍采用第一个版本i k e v l 。而在跨国大公司中与网络安全产品相关的厂商，已经在 商业产品中已经对i k e v 2 v l 的明确支持，特别是网关生产厂商，如思科、r e e f p o i n t 等。而在重要的0 s s 实现中s t r o n g s w a n 、o p e n l k e v 2 和r a c o o n 也是最近出现的 支持i k e v 2 的开源软件，这些项目还比较年轻在商业产品中还没有成功的用例。 j e 立交煎塞堂亟堂僮j 金童绪途 论文的研究工作主要是在l i n u x 内核手机中研究实现了可以管理普通w i f i 和带安全功能( 1 p s e c ) 的w i - f i 链接的处理逻辑的模块。 1 。4 主要工作内容和章节 为了确保w i f i 手机手机中各种应用程序使用w i f i 时能够正确、稳定、安 全地建立w i - f i 链接，论文通过设计w i - f i 连接管理这个数据流控制模块，实现 了对手机w i f i 通信的管理，包括建立和关闭连接的操作及其具体的处理逻辑。 论文的章节安排如下： 第一章为论文的综述，及国内外研究现状和章节安排。第二章介绍本论文用 到的技术基础，包括分析和研究w i - f i 、i p s e e u m a 等技术。第三章具体描述i p s e c 协议和相关技术的研究。第四章：介绍一下本论文的总体设计。包括d s m 的架 构，和模块分解以及流程图。第五章：介绍d s m 的具体实现，包括模块的具体 函数的结构、作用及实现。第六结果分析，对本论文整个的研究情况进行分析与 总结，以方便以后的进一步的研究与实践。 4 j e 衷銮堑厶堂亟堂鱼迨塞攮苤基熊 2 技术基础 2 1 w i f i 技术 2 1 iw i f i 技术概述 w i - f i 全称w i r e l e s sf i d e l i t y ，又称8 0 2 1 1 b 标准，i e e e 8 0 2 1 l b 标准是在 i e e e 8 0 2 1 l 的基础上发展起来的，工作在2 4 g h z 频段，最高传输率能够达到 1 1 m b p s ，具有部署方便、通信可靠、抗干扰能力强、成本低、灵活性好、移动性强、 高吞吐量等特点。它使得无线用户可以得到以太网的网络性能、速率和可用性， 并且可以无缝地将多种l a n 技术集成起来，形成一种能够最大限度地满足用户需 求的网络。s t a ( s t a t i o n ) 是指接入无线媒介的部分，也常被称为网络适配器或 者网络接口卡。s t a 可以是移动的，也可以是固定的。b s s ( b a s i cs e r v i c es e t ) 是i e e e8 0 2 1 1 基本服务集，b s s 基本服务集都有一个覆盖范围，在该覆盖范围 内基本服务集的成员s t a 可以保持相互通信。i b s s ( 独立的基本服务集， i n d e p e n d e n tb s s ) 是最基本的i e e e 8 0 2 1 l b 局域网类型，在这种模式下s t a 能够 直接通信，这种网络工作模式通常被称为a dh o c 模式。 i e e e8 0 2 1 l b 有两种工作模式：a d - h o c 和i n f r a s t r u c t u r e 模式。i e e e 标准以 独立的基本服务集( i b s s ) 来定义a d h o c 模式工作的客户端集合，以基本服务集 ( b s s ) 定义以i n f i - a s t r u c m r e 模式工作的客户端集合。在i n f r a s t r u c t u r e 模式中， 每一个客户将其通信报文发向a p ( a c c e s sp o i n t ) 。a p 转发所有的通信报文，这 些报文可以是发往以太网的，也可以是发往无线网络的。这是一种整合以太网和 无线网络架构的应用模式，无线访问节点频段管理及漫游等指挥工作。s ( d i s t r i b u t i o ns y s t e m ) 和多个b s s 允许i e e e8 0 2 1 1 构成一个任意大小和复杂的 无线网络。i e e e8 0 2 1 l b 把这种网络称为扩展服务集( e x t e n d e ds e r v i c es e t 。e s s ) 网络。同样，e s s 也有一个标识的名称，即e s s i d 。 2 1 2w i f i 的发展方向 对于g p r s 、c d m a l x 、e v _ 一d o 、e v d v 等技术而言，上下链路数据业务 的对称性是w i f i 的一个明显优势。对于3 g 室内的2 m b i t 数据速率，w i - f i 也具 有绝对的优势，它目前采用的是8 0 2 1 l b 标准，理论数据速率可达1 1 m b i t ，实际 的物理层数据速率支持1 、2 、5 5 、1 1 m b i t 可调，覆盖范围从1 0 0 - - 3 0 0 m 。随着 j 塞銮通厶堂硒堂位途童基丕基础 8 0 2 1 l s a 、8 0 2 1 6 e 、8 0 2 1 l i 、w i m a x 等技术、协议标准的制定和完善，加 上w i f i 联盟对市场快速的反应能力，w i f i 正在进入一个快速发展的阶段。其中， 作为8 0 2 1 1发展的后继标准8 0 2 1 6 ( w i m a x w o r l d w i d e i n t e r o p e r a b i l i t y f o r - m i c r o w a v ea c c e s s 全球微波接人互操作性) ，已经在 2 0 0 3 年1 月正式获得批准，虽然它采用了与8 0 2 1 i b 不同的频段( 1 0 6 6 g h z ) ， 但是作为一项无线城域网( w m a n ) 技术，它可以和8 0 2 1 l b g a 无线接入热点 互为补充，构筑一个完全覆盖城域的宽带无线技术。w i f i w i m a x 作为c a b l e 和d s l 的无线扩展技术，它的移动性与灵活性为移动用户提供了真正的无线宽带 接入服务，实现了对传统宽带接人技术的带宽特性和q o s 服务质量的延伸。对于 w i - f i 技术而言，漫游、切换、安全、干扰等方面都是运营商组网时需考虑的重点。 随着骨干传输网容量和传输速率的提高，无论采用平面或者两层的架构都不会影 响到用户的宽带快速接人；随着i a p p 以及m o b i l e l p 技术的完善、i p v 6 的发展也 可以最终解决漫游和切换的问题；8 0 2 1 l i 标准的产生将提供更多的包括w p a 2 、 多媒体认证等安全策略；不断成熟的组网方案和干扰预检测机制都可以减少频率 资源开发带来的干扰。事实上，不同的标准化组织的工作与各类标准的制订，正 是n g n 发展进程中各方加强合作与标准融合工作的体现。w i f i w i m a x 的市场 目标是成为宽带无线接人城域网技术，基本目标是要提供一种城域网领域点对多 点的多厂商环境下可有效地互操作的宽带无线接人手段，以实现满足3 g 标准的以 无线广域网w w a n 为基本模式、以公众语音及多媒体数据为内容、在全球范围内 漫游的个人手机终端的基本市场定位。w i f i w i m a x 也可以作为3 g 无线广域 城域、多点基站互联支持手段的补充。按n g n 概念演进的下一代移动网，以终端、 应用、服务为主导将成为市场发展的重要驱动力也是运营商赢利的关键。其互操 作性和后向兼容性将成为不同标准化组织的工作考虑的一个重点。如果进行无生 命力的重覆，其产品和技术终将为市场所淘汰，其唯一出路是在n g n 及3 g 演进 的基本概念上彼此融合，共同作出贡献。面且随着w i f i w i m a x 接入技术成本 的逐步下降，电信运营商选择w i f i w i m a x 技术为消费者提供v o w l a n 语音 服务将成为可能。 综上所述，w i ，f i w i m a x 的发展方向包括：木网络技术，覆盖更大的范围， 从热点到热区到整个城市，木w i f i 手持终端和v o w l a n 业务必然成为潜在的应 用模式。木基于口的w i - f i w i m a x 的交换技术和开放的业务平台，将使w l a n 网络更智能、更易管理。木基于多层次的安全策略( w - e v 、w p a 、w p a 2 、a e s 、 v p n 等) 提供不同等级的安全方案，将使企业、个入用户可以根据不周的性价比来 选择满足自己需要的安全策略。用户可以根据不同的性价比来选择满足自己需要 的安全策略。 6 趣豆銮暹叁堂亟堂鱼i 金童技鲞基窭i | 2 1 3w i f i 和3 g 技术的融合 基于全p 的网络架构不管是现在商用的还是正在试验的( c d m a 2 0 0 0 w c d m a r 9 9 r 4 t d - - s c d m a ) 3 g 标准都不是基于全口网络，比如c d m a 2 0 0 0 是基于a n s l 4 1 ；w c d m a 9 9 t d s c d m a 是基于传统的g s m m a p 、r 4 软交 换的承载和控制分离方式，而直到r 5 引人了i m s 才实现全口的核心网。显然全 口的核心网络也是3 g 发展的方向，采用基于全p 的核心网不但可以与无线接人 方式独立地发展，还可以支持包括w i f i w i m a x 、w c d m a 、b t u e t o o t h 等多种 无线接人方式。在3 g 的r 6 中已经开始把w l a n 和3 g 同考虑了。共用开放的 业务平台和运营支撑系统w i f i w i m a x 和3 g 不同的承载特性r 吞吐量、延时、 q o s 、对称性等) 为用户享受语音、数据、多媒体业务提供更多的接人方式选择； 它们可通过共用开放的业务平台融合不同的业务引擎实现网络间互通；根据网络 服务区内的性能，用户可以手工或者自动选择接人那个网络；同时支持w l a n 和 3 g 网络的运营支撑系统，可以对双网实现统一的运营管理、计费、甚至用户身份 认证，最大限度降低网络建设、维护成本。 2 2d i r e c t i p 技术 2 2 1 特性分析 图2 1u l v l a 功能架构 图2 。1 主要说明了l i m a 的功能架构各个部分的相互关联。 7 j e 塞銮堕厶堂亟堂位j 盆童攮丕基碹 图2 - 2 通过u m a 的g p r s 协议堆 图2 2 阐明了在u m a 上的端对端g p r s 协议堆栈。从移动基站堆栈的底端到 顶端有一个宽带m 连接，位于建立安全v p n 通道的顶端，这个通道是为移动基站 提供基于屹的m 网络而建立。而位于图表上层的应用利用g p r s 协议堆栈来 压缩包括用户数据的瑶框架。根据这个么模型以及u m a 的规范，所有来自手机 的g p r s 数据需要经过g p r s 的核心网络 如图2 3 所示，客户基于宽带口互联网连接的私人网络在图表左边表示。带 安全网关的u m a 网络在图表的右下方，自我连接g s m g p r s 核心网络的u n c 组件在图表的右上方。传统的经过g s mw a p 网关的数据路径在图表中标注成绿 色。旦帧到达u n c ，它们就会被提交给基于连接点名称的s g s n g g s n ，通过局 域网把帧传送到g s m w a p 入口。对于互联网的接入，由于手机提供了不同的g p r s a p n ，g g s n 提交帧是按图表中的红线这个流程来提交。 i 墨| 2 - 3 u m a 网络架构 韭壅窑适太堂亟堂位论塞 拄丕基篮i ； 在w l a n 接入的网络罩，有一个本地p 网络通过宽带连接来接入因特网。 在因特网上有好多应用服务器。载波网络和设备通过建立一个v p n 连接来经过安 全的网关接入互联网。同样载波局域网典型的集合应用服务器以及手机上的应用 都可以接入访问。最后对于一些客户，他们可能也想通过接入他们的核心网络来 接入商务应用服务器。 通常，允许用户访问任何互联网上的或者是载波局域网上的应用服务器；另 一方面，只有一部分用户对商务应用服务器感兴趣。 在以下章节，将会介绍各种可能的交替数据路径。 图2 4 直接碑连接 在以前的图表里，可以了解到手机上的应用可以用w l a n 和宽带i p 连接到应 用服务器。这种配置可以使用户在他们自己的本地口网络上连接到任何应用服务 器。请注意在典型的g p r s 网络中，手机应该首先通过b s c 子系统，然后是s g s n ， 最后是充当因特网网关的g g s n 。 直接口连接如图2 4 所示，其主要的优势是，用户可以自由的访闯应用服务 器，还有由于最小化了协议堆栈和帽关设备从而得到了更高的网络吞吐量。目前 存在的无线网络组件，由于是按g p r s e d g e 标准的数据传输率设计的，它们已 经远远落后与w l a n 的性能要求了。它的主要瓶颈是它只可以访问在局域网上的 应用服务器，从而阻止了对任何在无线载波局域网上的应用服务器的访问。另外， 载波无法控制连接同样也无法贯彻连接规范或按用户所需提供相应服务。 韭立交通盘堂亟堂位论塞撞苤基焦l ! 图2 - 5 安全口连接 从以前的图表可以了解到，手机上的应用是复用了安全v p n 连接从而可以 与u m a i m s 底层结构交换信号和各种媒体。作为一个选择，安全网关可以应用 n a t 的双工和防火墙功能，如图2 5 所示。这就可以使载波保持对口连接的控制 权，而不用涉及g p r s 核心网络。这对于载波的影响是多方面的：为这些连接申 请一个特定的方针表，对一些协议和应用服务器的连接进行限制，通过在手机客 户端和因特网直接应用防火墙来增加系统的安全性。请注意由于w l a n 的接入点 一般都应用了防火墙，所以这个可能是个多余功能。最后安全网关需要管理通道 服务的质量，保证给实时数据以及继承应用传输的数据较高的优先级，以保证系 统能够符合预期性能要求。 圈2 - 6 间接口连接 1 0 业塞交通盘堂亟堂位j 佥塞夔丕基趟 这个与之前的情况很相似，但应在注意一点：数据路径得经过安全网关，这 是为了更好的控制规则和服务。 在之| j 仃的图表里，数据流经过无线载波安全网关连接到因特网上的应用服务 器。在这个图表里，手机终端建立了一个特定和s g w 的安全连接，s g w 分配给手 机终端一个公共的因特网球地址。在这种配置下，需要打开完整性保护，但是不 需要计算，如图2 6 所示，这个解决方案的优势在于它可以管理载波在因特网连接 方面的功能，相对于前面的解决方案有优势，不过这也增加了一个额外的增加网 络设备的开销，如果尺度把握不好很可能会成为一个瓶颈。这个应该得到足够的 重视。在这种情况下，s g w 为手机终端分配了一个本地p 地址，它使手机既可以 访问局域网上的应用服务器也可以通过n a t 访问因特网。 图2 - 7 共同v p n 连接 在这种情况下，手机终端的应用通过一个有共同sgw 的vpn 连接来连接 在共同局域网上的应用服务器。这种情况复用了前面部分介绍的连接方法来到达 共同的sgw ，所以它可以看成在任何以前介绍的解决方案之上的vpn 连接。 如图2 7 所示，在第一条数据路径里，手机终端利用一个直接i p 连接模型， 这个模型是在共同s g w 下建立的用户水平的v p n 连接。在第二种数据路径里， 用户既复用已存在的i 订a ，v i sv p n 连接又建立了一个与无线接线员的s g w 平 行的v p n 连接，利用共同s g w 来创建一个v p n 连接。 i 京交道厶堂亟堂位i 金塞燕盔基趟 2 2 2 解决方案的总结 在以前的章节里，介绍了不同的数据路径，这些路径可以用来连接因特网， g p r s u m a 载波局域网和通过利用v p n 应用的潜在共同局域网上的应用服务器。 由于共同v p n 的解决方案是其他方案的整合，所以为了方便起见，讨论时先不考 虑这种情况。 回顾以上介绍的解决方案，一种是利用直接的因特网上的应用服务器，其他的 则是通过载波的s g w ，这种方式利用n a t 的双工模式和恰当路由表来实现间接的因 特网连接。 图2 8 说明了手机终端的并发数据路径和通道。 图2 - 8 在手机终端和网络问的交互数据路径 从图2 。8 中，交互的数据路径用红色标注，而传统的g p r s 经过u n c 的数据 路径用绿色标示。依靠运行的应用和彼此选择的路径，红色的路径和绿色的g p r s 的绿色路径可以共存。 特征优点：支持这个特性对于客户端还有载波端来说都有好多优点。对于客户 这边来说，当利用它的宽带连接来直接连接因特网的时候，主要优点是；连接是 免费的并且速度比较快，为颓应用提供路径，并且开启与其他基于本地网络的设 备诸如客人电脑和媒体服务器的互动服务。这种方式大大的缓解了平台对告诉数 据传输率的支持的限制，因为数据不再需要在应用基带处理器之间往返。 从载波的角度，一种优势是可以利用g p r s 核心网络迸行高速数据传输，因为 系统专门设计了基于g p r s e d g e 的接口。在u m a 的情形下，u m a 操作员没有 g p r s 核心网络，而是复用无线载波核心网络。l i m a 操作员在自己局域网旱维护 一个应用服务器并且获得收入两不用由于利用g p r s 核心网络而为其他的操作员 支付费用。要注意不同于基于u m a 的g p r s 连接，直接p 连接不支持移动性， 因为没有机制支持手机终端保持同样的p 地址。 1 2 j e 塞窑迪盘堂亟堂位j 金窒s 垃这狸担差篮丕啦硒宜 3 i p s e c 协议和相关技术的研究 i n t e m e tp r o t o c o ls e c u r i t y ( i p s e c ) 是由i n t e m e te n g i n e e r i n gt a s kf o r c e ( i e t f ) 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。i p s e c 是i e t f ( 因特网任务工作组) 于1 9 9 8 年1 1 月公布的p 安全标准。i p s e c 指定了 各种可选网络安全服务，而各r r 组织可以根据自己的安全策略综合和匹配这些服 务。各组织可以在i p s e c 框架之上构建安全性解决方法，用以提高通过i n t e r n e t 、 e x t r a n e t 、w a n 或l a n 发送数据的机密性、完整性和可靠性。安全性是一个拥 有多级解决方法的多级问题。i p s e e 面向协议堆栈的的网络层( 第3 层) 。 ( i n t e m e t p r o t o c o l 是t c p i p 中的i p 。) 因为网络层低于应用程序直接涉及的层 级，企业因而可以利用i p s e e 服务，而无需修改应用程序以及p c 或路由器等终 端站。i p s e c 还可与现有应用程序层安全解决方法配合使用。 目的就是为m v 4 和i p v 6 提供网络层的安全保障。i p s e c 对l p v 4 是可选的，而 对i p v 6 则是强制性的。 i f ) s e e 设计的目的在于可以为通信提供连接的身份认证和 数据的分组源鉴别；为通信数据提供机密性和完整性保护；为数据传输提供抗重 放攻击等服务。 3 1i p s e c 体系结构 i p s e c 是i e t fi p s e c 工作组为了在口层提供通信安全而制定的一套协议族， 包括安全协议( a f i 和e s p ) 、密钥管理协议( ( e v l 和i k e v 2 ) 、安全关联以及加密 认证算法等。i p s e c 协议各组件之间的关系如图3 1 所示 图3 - 1i p s e c 体系结构 下面将就i p s e c 体系结构中各个组成部分进行简要的讲述； 1 ) i p s e c 体系结构：i p s e c 可以选择采用什么样的安全协议，如a h 或e s p 协议，也可以同时采用两者一起来保证安全通信。这样的保护可能是在主 j e 塞銮通厶堂亟堂鱼论塞! s g 协这塑担羞篮苤数班左 机与网关之间、网关与网关之间或者两个主机之问的安全通信。 2 ) e s p 协议：e s p 协议为p 数据包提供了数据的保密性、无连接的数据的 完整性、数据源身份认证以及防重放攻击保护。r f c 4 3 0 3 规定，强制需 要实现的算法被单独列到另外的一个r f c 中，这一点改进了r f c 2 4 0 6 。 此外，尽管加密性和完整性都是可选的，但r f c 规定，必须其中的一种， 并且如果醒个都选择的话，它们所采用的加密算法不能同时为空算法。 3 ) a h 协议：a h 协议是为p 数据包提供无连接的数据完整性和数据源身份 认证，同时具有防重放攻击能力。同e s p 相比，a h 所能提供的服务，e s p 都能提供，唯一的差别就在于数据完整性保护的范围不同；同时，a h 不 具有e s p 的加密性保护功能。 4 ) 加密算法：加密算法只存在于e s p 协议中。主要的加密算法有n u l l e n c ； d e s _ c b c ；3 d e s _ c b c ；a e s l 2 8c b c ；a e s l 9 2 _ c b c ；a e s 2 5 6c b e ； 5 1 认证算法：a h 协议和e s p 协议都用到了认证算法。主要的认证算法有： n o n _ a u t h ；h m a e _ m d 5 ；h r n a c _ s h a i ；h m a cs h a 2 _ 2 5 6 ；h m a es h a 2 _ 3 8 4 ； h m a c s h a 2 5 1 2 ； 6 1d o i 解释域：d o i ( d o m a i n