多階層行動隨意網路之設計及實作---子計畫I：多階層行動隨意網路之虛擬家網環境(I)

行政院國家科學委員會專題研究計畫 期中進度報告

子計畫一:多階層行動隨意網路之虛擬家網環境(1/2)

計畫類別： 整合型計畫 計畫編號： NSC92-2219-E-009-011- 執行期間： 92 年 08 月 01 日至 93 年 07 月 31 日 執行單位： 國立交通大學資訊工程研究所 計畫主持人： 曾建超 報告類型： 完整報告 報告附件： 出席國際會議研究心得報告及發表論文 處理方式： 本計畫可公開查詢

中 華 民 國 93 年 6 月 1 日

行政院國家科學委員會補助專題研究計畫

期中進

度報告

多階層行動隨意網路之設計及實作—子計劃一

多階層行動隨意網路之虛擬家網環境(1/2)

計畫類別：□ 個別型計畫 ■ 整合型計畫

計畫編號：NSC 92－2219－E－009－011－

執行期間：2003 年 08 月 01 日至 2004 年 07 月 31 日

計畫主持人：曾建超 教授

共同主持人：

計畫參與人員：

成果報告類型(依經費核定清單規定繳交)：完整報告

本成果報告包括以下應繳交之附件：

□赴國外出差或研習心得報告一份

□赴大陸地區出差或研習心得報告一份

□出席國際學術會議心得報告及發表之論文各一份

□國際合作研究計畫國外研究報告書一份

處理方式：除產學合作研究計畫、提升產業技術及人才培育研究

計畫、列管計畫及下列情形者外，得立即公開查詢

□涉及專利或其他智慧財產權，□一年□二年後可公

開查詢

執行單位：國立交通大學資訊工程研究所

中 華 民 國 2003 年 05 月 31 日

1. 中英文摘要

本計劃主要之目的，是要研究如何在多階層行動隨意網路(Multi-tier Mobile

Ad Hoc Network)提供一個虛擬家網環境(Virtual Home Environment, VHE)，讓行 動主機的使用者可以在不手動更改行動主機原有的環境設定(configuration)下，在 任何時間、任何地點都能利用不同的存取網路(access network)連結網際網路 (Internet)，並繼續享有如同家網網路(home network)環境所能提供的個人化服務。 隨著 Wireless LAN/Bluetooth、GPRS、WCDMA/cdma2000 等各種無線通訊 網路的發展，與行動主機(Mobile host)軟硬體能力的提升，行動主機如能配備多 階層(multi-tier)無線網路設備，就可以自由的在不同通訊協定中切換，享有不同 通訊系統所提供的服務。而其他祇配備低階無線網路(如 Wireless LAN 或

Bluetooth)的主機，也可以利用行動隨意網路(Mobile Ad Hoc Networks)的多步跳 躍(Multi-hop)能力，藉由別的行動主機幫忙轉送(relay)封包，利用各種不同無線 網路連結網際網路。因此多階層行動隨意網路可以大大提升行動主機的的行動能 力(mobility)。 然而當行動主機移動到一個新的網路環境後，如何有效地(1)利用行動主機 上所支援的多階層網路設備連結網際網路、(2)登入家網網路(Home network)、(3) 持續存取家網網路上的資源和設備(如資料庫、檔案系統、伺服器等)和(4)使用當 地的網路環境上的資源和設備(如印表機、伺服器等)，便成為主要的研究課題。 因此我們的研究主題包括同質/異質無線網路間的漫遊、安全和認證以及資源探 索與分享等三大問題。 關鍵字：VPN，VHE，Multi-tier，AAA。

This project aims to develop a Virtual Home Environment (VHE) for future wireless Internet with various wireless access network technologies such as wireless

LAN, GSM, GPRS, WCDMA/cdma2000, and etc. The idea of VHE is to enabling mobile users the ability of accessing a large range of personalized and incorporated

other hand, the concept of Virtual Private Network (VPN) makes mobile hosts

appearing as they were staying at their home networks even when they are indeed visiting foreign networks. By using the techniques of VPN, we can enforce services

integrity that a mobile host can have in its home network even when the mobile host is away from its home network.

Therefore, we plan to adopt the concept of VPN to provide a VHE to mobile or fixed hosts for the future wireless Internet. In our design, a host could be equipped

with more than one network interface and may connect to its home VPN through whatever interface that is available or the most appropriate to it without breaking an

ongoing connection.

Key word: VPN，VHE，Multi-tier，AAA。

2. 計畫研究背景

近年來，隨著第三代行動通訊系統(the 3G mobile communication system)的發

展日益成熟，研究人員發現：在以 IP 為基礎之網路上的行動台(mobile node, MN) 若要能隨時隨地自由存取網路上多樣化的資源，必需仰賴虛擬原網網路環境

(Virtual Home Environment, VHE)的支援，否則會遭遇網路資源存取權限、使用 者認證和新路徑重新路由…等問題。因此歐洲的 EURESCOM 研究計畫針對 3G

行動通訊系統 UMTS(Universal Mobile Telecommunication System)協定，提出一個

VHE 的網路架構，他們以 IETF 提出的 Mobile IP (MIP)協定為基礎，建構一個智 慧型網路系統以保證 MN 使用者能夠在任何地點存取個人化服務。進一步地希 望未來能夠在網路安全的前提之下，根據使用者所在的環境自動安裝並提供新的

服務。VHE 已經確定是未來 3G 行動通訊的關鍵技術，由於它是以 IP 為基礎， 所以未來可以整合有線 Internet 網路和其他無線網路(如 WLAN、Bluetooth、EGDE

和 cdma2000 等)提供一個 all IP 的網路環境。

虛擬家網環境(Virtual Home Environment, VHE)的概念是要讓 MN 的使用者

(home network)環境所能提供的個人化服務。對於行動使用者來說，VHE 一方面 必需讓網路系統商和服務提供者提供完整範圍的、因人而異的個人化服務 (customized service)給每一個使用者，這些服務將不受下層網路環境(協定)變動的 影響；另一方面，能夠讓行動使用者藉由簡易的下載方式很輕易地升級他們的服 務。對於網路系統商來說，VHE 必需提供一個極具彈性的網路發展平台，讓他 們能夠在很短的時間之內，就能針對使用者的需求設計出各式各樣的應用程式， 而這些應用程式能夠在小幅度修改甚至完全不必修改之下移植到不同的網路系 統。最後，對於服務提供者來說，VHE 必需提供一組建立服務的工具程式，這 些工具程式能夠讓系統商建立和維護包括網路端和使用者端的所有服務的功能 模組，這些功能模組包含有使用者認證、加密、網路資源的配置等功能。 簡而言之，VHE 的目標就是要建構一個可跨網路協定的個人網路環境，利 用一致性的使用者介面讓使用者感覺不出網路環境(介面)的切換，順暢地在同質 或異質網路區域間安全地漫遊，感覺有如同使用家網網路的固定主機一般。為了 達到此目標，3GPP 也有制定相關的標準，因為 3GPP 主要是電信廠商主導，是 以電信環境互通為主，本計畫則是以網際網路為目標，無線的存取網路可以是不 同通訊設備（如 WLAN、PHS、GPRS 等）所組成的「異質網路（Heterogeneous

Networks）」。計畫的目的是要研究如何在含行動隨意網(Mobile Ad-hoc Network) 的多階層異質網路(Multi-tier Heterogeneous Networks)提供一個虛擬家網環境

(Virtual Home Environment, VHE)，讓行動主機的使用者可以在不手動更改行動 主機原有的環境設定(configuration)下，在任何時間、任何地點都能利用不同的存 取網路(access network)連結網際網路(Internet)，並繼續享有如同家網網路(home

network)環境所能提供的個人化服務。

我們採用網際網路的技術，加強目前已有或甚至設計新的協定。我們預計以

Mobile IP 的行動管理機制，結合 IP-based VPN (Virtual Private Network)相關的協 定 ; 如 PPTP(Point-to-Point Tunneling Protocol) 、 L2TP (Layer Two Tunneling

AAA)和資源探索(如 Directory services) 等協定或技術，以達成上述目標。

3. 系統架構與功能

系統主要可分成兩個部分：(1)Two-tier Mobile Terminal Server and Client

(2)Authentication Gateway and Radius/AD Server。

第一部份是 Two-tier Mobile Terminal Server and Client，Two-tier Mobile

Terminal Server 提供 Mobile IP with NAT 機制，能夠接受並管理 Two-tier Mobile Terminal Client 的註冊；而 Client 端為網路環境的建構，包含無線區域網路的設 置，及使用 GPRS 裝置連接 Internet，還有 Mobile IP 環境的設立，負責在網路切 換時通知 Server 端，提供順暢換手 (smooth hand-off) 機制，讓使用者達成漫遊

時自動切換使用裝置與連線不中斷的理想。

第二部分則為 Authentication Gateway and Radius/AD Server，負責使用者登

記和認證動作，使得使用者在切換網路後仍然能夠使用原來網路的資源，不需要 重新作登記及認證動作。其中 Authentication Gateway 主要的功能有如一個加入

認證功能 Gateway，但其中並不內建帳號，帳號之維護以及建立和刪除是利用單 一個 Radius Server 達成，如此一來就不會有各個 Authentication Gateway 各自內

建 帳 號 之 維 護 的 問 題 ， 也 可 以 輕 易 達 到 AAA (Authentication Authorization

Accounting) 的管理功能。

下圖是系統的整體架構圖，在圖中我們可以看到使用者先在原始網路中向

Authentication Gateway 登記，通過認證後便可以藉由我們的系統，帶著其可攜式 的電腦漫遊於不同網段的網路環境，並於適當的時機使用最合適的裝置連接

Access Point

Access Point MS

Home Agent

VHE Home Network

MS GPRS Core Network GGSN SGSN BSS L2TP Tunnel

AG: Authentication Gateway

NAT: Network Address Translator

Public Network Access Point MS AG/NAT/RADIUS Client AG/RADIUS Client GPRS Core Network GGSN SGSN RADIUS Server

AG: Authentication Gateway

NAT: Network Address Translator

Public Network

IP Based Packet Network

系統架構圖

其元件說明如下：

VHE Home Network：當 MN 不在 Home Network 時，仍可藉由 VHE 的機

制獲得如 Home Network 般的服務環境，或者可連回 VHE Home Network 存 取 Home network 的資源。

Home Agent：當 MN 離開 Home Network 時，利用 MIP 機制代替 MN 接收

封包並轉送到 MN 目前所在網段的伺服器。

AG/NAT/RADIUS Client：AG/NAT/RADIUS Client 為一個加入 NAT，DHCP

功能的 Authentication Gateway，使用者要經過授權認證後才可經由此 AG

連結上網，其中 AAA 的部分是採用 RADIUS 的管理。

RADIUS Server：多個 Authentication Gateway 的認證資料庫，帳號密碼都

儲存於這裡，可達到中央式的管理以及使系統的擴展性(scalability)加強。 GGSN：Gateway GPRS Support Node，架設在基地台中心的閘道節點，負責

處理各基地台回傳的上網資料。

另外，支援階層間換手的虛擬介面(Virtual Interface)，我門分別用下面兩個

圖說明建立於 MN 中的換手虛擬介面協定架構，其中 virtual adapter 能夠根據無 線信號的強度，選擇適當的無線網路介面以建立鏈結層的連線。另外，MIP 可以

根據新的無線網路連線和對應的 IP address，向 Home Agent 作位置更新的動作， 已確保上層的連線，如 TCP session 或 SIP session…等，不會因為作 tier handoff

而產生斷線。 階層間換手虛擬介面協定架構

Link

Link

Network

Network

Ethernet (GSM/GPRS)

Ethernet (GSM/GPRS) Ethernet (Wireless LAN)Ethernet (Wireless LAN)

Transport

Transport

Application

Application

Ti

er

M

a

n

a

ger

T

ier

Ma

nag

e

r

IP

IP

TCP

TCP

Virtual Adapter

Virtual Adapter

MIP

MIP

Link

Link

Network

Network

Ethernet (GSM/GPRS)

Ethernet (GSM/GPRS) Ethernet (Wireless LAN)Ethernet (Wireless LAN)

Transport

Transport

Application

Application

Ti

er

M

a

n

a

ger

T

ier

Ma

nag

e

r

IP

IP

TCP

TCP

Virtual Adapter

Virtual Adapter

Link

Link

Link

Link

Network

Network

Network

Network

Ethernet (GSM/GPRS) Ethernet (GSM/GPRS) Ethernet (GSM/GPRS)

Ethernet (GSM/GPRS) Ethernet (Wireless LAN)Ethernet (Wireless LAN)Ethernet (Wireless LAN)Ethernet (Wireless LAN)

Transport

Transport

Transport

Transport

Application

Application

Ti

er

M

a

n

a

ger

T

ier

Ma

nag

e

r

IP

IP

TCP

TCP

Virtual Adapter

Virtual Adapter

IP

IP

IP

IP

TCP

TCP

Virtual Adapter

Virtual Adapter

Virtual Adapter

Virtual Adapter

MIP

MIP

MIP

TM Start Detect AP signal Timeout =0 Signal > = threshold ? Timeout ++ Timeout >= 3 ? Tier Hand-Off to GPRS Detect AP signal Signal > = threshold ? Check AP’s ID Same as before? Check AG’s MAC address Same as before? Register to new AG Tier Hand-Off to WLAN N Y Y N Y N Y N Y N 虛擬介面自動切換訊號流程圖 4. 子計畫一第一年成果 本子計畫在第一年完成的系統功能包括：(1)完成 Mobile IP 與 VPN 的整合； (2)完成多階層 VPN 網路的架構與設計；(3)設計實作支援階層間無縫換手 (Seamless Handoff ) 的機制；(4)提出新雙向認證(full authentication)機制和金鑰先 期投遞機制。其詳細內容將在下面敘述。 (1) 完成 Mobile IP 與 VPN 的整合 近年來，在行動通訊系統中傾向利用 Mobile IP 來整合各種存取媒介。然而， 為了讓使用者能夠更安全的使用各種適當的網路存取媒介，我們也需要一套安全 認證的運作機制以保護網路的使用權利。而 VPN 的應用也趨向於希望能透過多 階層級網路隨時隨地存取原網路 (Home Network)的資源。鑑於上述的功能需 求，我們整合 Mobile IP 與虛擬私人網路 (VPN)，以祈使用者能夠在無中斷感覺 的情況下，提供具有安全性的換手服務。 下圖為系統架構，在此我們以 L2TP 來實作 VPN tunnel。在我們的設計架構 之下，使用者在當地網路 (Foreign Network) 中透過 VPN 協定，如 Layer 2 Tunnel

Protocol (L2TP)，經由公共網路來存取原網路的資源。同時，我們採用 Mobile IP 機制以提供使用者在區間網路換手(Inter-domain handoff)中也能保持連線不中

斷。為了同時提供行動性與安全性，我們以 Home Agent (HA)作為 MN 在 Home

Network 的代理人，以支援不斷線服務。此外，HA 在 Home Network 之內受到 VPN 的保護，HA 與 MN 的聯繫也由 VPN tunnel (這裡使用 L2TP 來實作)保障安 全性。因此，在封包的封裝(encapsulate)順序上，我們是把 L2TP 包在 Mobile IP 的外面，如此 Mobile IP 的資訊將受 L2TP 的保護，對 Mobile IP 的 MN 而言，就

如同在 intranet 中漫遊一般。為了達成以上功能，我們修改了 Mobile IP 與 L2TP 的一些動作，如介面的尋找與選擇、Care-of-address (CoA)位址的取得、PPP tunnel

的端點位址設定，好讓這兩種協定可以互相配合。又為了能夠支援 NAT 在我們 的 VPN 架構中，我們修改了 Mobile IP 的封包格式以及 L2TP 對 UDP port 的使

用方法。 VPN Gateway NAT

MNs

away

NAT Gateway

HA

1...n

CN

1...n

MNs

home

VPN Domain (Intranet)

Foreign Network

10.x.x.x 10.0.0.254 10.0.0.254 10.x.x.x MIPv4 L2TP System Architecture 圖 (2) 完成多階層 VPN 網路的架構與設計 多階層 VPN 網路(Multi-Tier VPN) 此工作項目是要在一個 VPN 網路中，依需求（On Demand）建立 VPN 連線（或通道 Tunnel）於同質/異質階層網路上，讓 MN 可藉由不同階 層網路設備存取此 VPN 網路。依需求所建立的 VPN 連線會根據 MN 所在的地點和其所使用的網路設備來決定原 VPN 網路的連線是否已經

存在，亦或要建立新的 VPN 連線。多階無線虛擬私有網路系統功能包

括: (1) 自動偵測目前可用網路型態; (2) 不斷線的換手服務; (3) 使用

Mobile IP 機制; (4)認證及帳號之稽核管理.

VPN 家 網 網 內 或 網 外 使 用 者 漫 遊 行 動 管 理 (Mobility supports for

intra/extra-home network VPN roaming)

VPN 使用者的漫遊可以分為 VPN 家網網內和網外漫遊，VPN 家網網內 漫遊比較沒有安全認證上的問題，但是無論網內或者是網外，只要路由 路徑有更改（也就是跨子網路的漫遊），就需要網路層級間換手的機制 (Mobile IP）。在 VPN 家網網內漫遊比較單純，安全認證較容易。而網 外漫遊，我們系統則是透過 L2TP 的嚴格認證機制來完成使用者安全認 證及 VPN 連線建立時的安全認證。 (3) 設計實作支援階層間無縫換手(Seamless Handoff ) 的機制 我們可以透過 Tier Manager（TM）來完成階層間無縫換手的機制。TM 的主 要功能為監視無線區域網路連線狀態與負責切換連線介面，當系統啟動時, TM 便會隨時監視無線區域網路的連線狀況, 假若無線區域網路是可用的, TM 即修 改路由表以及對 HA 發出 update 訊號更改目前所使用的 IP 讓封包皆經由無線區 域網路繞送, 然而一旦發現無線區域網路中斷, TM 便立即修改路由表以及啟動 GPRS 和對 HA 發出連線 update 的訊號讓封包透過 GPRS 網路來繞送, 同時它也 將通知 MIP 做適當的註冊流程, 使連線維持暢通。 (4) 提出新雙向認證(full authentication)機制和金鑰先期投遞機制。

我們在第一年的計畫之中，結合訊息完整性檢查(message integrity check)、

資料隱密(data privacy)與先期認證(pre-authentication)等技術，提出更安全的新雙 向認證(full authentication)機制和跨存取點的快速換手機制。其中前者可預防假造

pre-distribution)機制和非同步於 MN 換手動作的再認證機制，金鑰先期投遞可免 去 MN 在換手時與 network 的再認證動作，非同步於 MN 換手動作的再認證機制 可加強金鑰的安全性。 5. 子計畫一第二年的預定研究項目： 第二年研究項目： (1) 設計 VHE 的網路資源延展與分享機制。 (2) 設計家網 VPN 和他網 VPN 之間的資源分享機制。 (3) 完成地點導向的服務探索與資源分享機制。 (4) 完成行動主機的自動環境組態設定與配置機制。 6. 文獻參考:

[1] Morand L. et al, “First Step toward an IP-based VHE,” IEE conference: 3G Mobile Communication Technologies, March 2001.

[2] EURESCOM Project P920 – UMTS Network aspects, http://www.eurescom.de/public/projects/P900-series/p920/P920.htm.

[3] 3GPP TR 23.922, “Architecture for an All-IP network,” v.4.0.0, March 2001. [4] EURESCOM Project P920 – UMTS Network aspects, 2000, “VHE comcept

description, scenario and protocol”, Project results D1.

[5] EURESCOM Project P1013 - “First Step toward UMTS: Mobile IP services, a

European tesbed,”

http://www.eurescom.de/public/project/P900-series/p1013/P1013.htm

[6] Townsley W. et al, “Layer Two Tunneling Protocol "L2TP",” IETF RFC 2661, August 1999.

[7] Simpson W., “The Point-to-Point Protocol (PPP),” IETF RFC 1661, July 1994. [8] Rand D., “PPP Reliable Transmission,” IETF RFC1663, July 1994.

Allocation for Private Internets,” IETF 1918, February 1996.

[10] Valencia A., Littlewood M. and T. Kolar, “Cisco Layer Two Forwarding (Protocol) L2F,” RFC 2341, May 1998.

[11] Kent S. and R. Atkinson, “Security Architecture for the Internet Protocol,” RFC 2401, November 1998.

[12] Hamzeh K., Pall G., Verthein W., Taarud J., Little W. and G. Zorn, “Point-to-Point Tunneling Protocol (PPTP),” IETF RFC 2637, July 1999.

[13] M. Carugi, et al., “Service Requirements for Provider Provisioned Virtual Private Networks,” IETF DRAFT draft – ietf – ppvpn – requirements -01.txt, June 2001.

[14] G. Heron, et al., “Requirements for Virtual Private Switched Networks,” IETF DRAFT draft – heron-ppvpn-vpsn-reqmts-00.txt, July 2001.

[15] B. Gleeson, et al, “A Framework for IP Based Virtual Private Network,” IETF RFC 2764, February 2000.

[16] L. Andersson, et al. “Label Distribution Protocol Specification,” IETF RFC 3036, January 2001.

[17] B. Gleeson, A. Lin, J. Heinanen, G. Armitage, A. Malis. “A Framework for IP Based Virtual Private Networks,” IETF RFC 2764, February 2000.

[18] V. Kompella et al. “Virtual Private Switched Network Services over an MPLS Network,” draft-vkompella-ppvpn-vpsn-mpls-00.txt, October 2001

[19] 3G TS 23.108: “Digital cellular telecommunications system (Phase 2+) (GSM); Universal Mobile Telecommunications System (UMTS); Mobile radio interface layer

3 specification; Core Network Protocols - Stage 2 (Release 4),” v.4.0.0, March 2001. [20] 3GPP, “Open Service Access (OSA); Application Programming Interface(API),”

Tech. spec. 3GPP TS 29.198 5.1.0, Sep. 2002.

[21] 3GPP, "VHE Home Environment/Open Service Access (OSA)," Tech.

[22] Juha Ala-Laurila, Jouni Mikkonen, Jyri Rinnemaa, "Wireless LAN Access

Network Architecture for mobile operators" IEEE Communication Magazine, Nov 2001.

[23] Apostolis K Salkintzis, Chad Fors, Rajesh Pazhyannur "WLAN-GPRS Integration for Next-generation mobile data networks" IEEE Wireless

Communication Oct. 2002.

[24] Kalle Ahmavaara, Henry Haverinen, Roman Pichna, "Interworking Architecture

Between 3GPP and WLAN Systems", IEEE Communication Magazine Nov 2003. [25] Milind M Buddhikot, Girish Chandranmenon, Seungjae Han, Yui-Wah Lee, Scott

Miller, Luca Salgarelli, "Design and Implementation of a WLAN/CDMA2000 Interworking Architecture" IEEE Communication Magazine Nov 2003.