摘 要：研究了移動代理" title="移動代理">移動代理的預(yù)先執(zhí)行認證程序技術(shù)，提出了在無線局域網(wǎng)中采用基于EAP-SIM" title="EAP-SIM">EAP-SIM的AAA關(guān)鍵字管理方式，實現(xiàn)在無線局域網(wǎng)（WLAN）與移動通信網(wǎng)（UMTS）環(huán)境中的無縫語音漫游服務(wù)的方法。
關(guān)鍵詞：會話初始協(xié)議? 移動代理? EAP-SIM? 交互延遲

?

??? 電信市場競爭日益激烈，移動、固定網(wǎng)絡(luò)不斷融合。WLAN技術(shù)的蓬勃發(fā)展及WiFi、WiMAX等技術(shù)的推陳出新使各種網(wǎng)絡(luò)應(yīng)用服務(wù)日益普及，而提供與GPRS、UMTS等移動通信網(wǎng)絡(luò)進行無縫語音漫游服務(wù)成為下一階段的主要發(fā)展目標。
　　3GPP從R5版本^[1]開始，逐步向全IP網(wǎng)絡(luò)結(jié)構(gòu)演進，并在核心網(wǎng)中引入了IP多媒體子系統(tǒng)（IMS）。互聯(lián)網(wǎng)和公用電話網(wǎng)PSTN都可透過IMS這個子系統(tǒng)相互溝通和融合，對于目前的IP網(wǎng)絡(luò)電話以及多方視頻會議等多媒體的應(yīng)用也有推動作用。IMS中的呼叫會話控制功能CSCF（Call Session Control Function）可當作SIP服務(wù)器，負責呼叫的建立和管理。在3GPP構(gòu)架下，傾向使用SIP作為管理整個會話建立機制的通信協(xié)議，其中也包括Mobility部分。SIP可作為簡單的呼叫建立、響應(yīng)、屬性修改等。但SIP沒有定義會話建立需要傳送的多媒體種類，這部分由SIP body中的會話描述協(xié)議SDP、多目標網(wǎng)絡(luò)郵件擴展協(xié)議MIME等描述語言來定義所要傳送的信息內(nèi)容類型。SIP迅速發(fā)展的原因并非因為它具有與H.323一樣的完備且龐大復(fù)雜的構(gòu)架，而是因為它簡單、可擴充性高，在多媒體通信應(yīng)用方面，SIP提供以下功能：
??? (1)用戶的定位功能：通過系統(tǒng)可以確認目前用戶終端的位置，以便邀請用戶加入多媒體會議或與用戶建立呼叫。
??? (2)通信傳輸能力溝通：決定通信時使用的媒體狀態(tài)參數(shù)，由SIP的主體部分實現(xiàn)。
??? (3)會議連接建立：建立主叫端與被叫端的多媒體會議連接。
??? (4)會議連接管理：包含資料傳輸時的呼叫建立和終止、修改連接狀態(tài)參數(shù)和服務(wù)要求等相關(guān)功能。
??? 本文將介紹會話初始協(xié)議、移動代理和EAP-SIM的相關(guān)研究；介紹會話初始協(xié)議的交互延遲問題和與WLAN、UMTS進行單一接入的漫游問題；并將采用移動代理的方法設(shè)計會話初始協(xié)議框架。
1 相關(guān)研究
1.1 會話初始協(xié)議基本構(gòu)架與通信流程
　　SIP^[3]網(wǎng)絡(luò)中包含的主要網(wǎng)元大致分為兩種：SIP 服務(wù)器和SIP 用戶代理。
1.1.1 SIP 用戶代理
?? ?一般用戶代理指的是用戶設(shè)備，接入不同網(wǎng)絡(luò)的網(wǎng)關(guān)也都可以稱之為用戶代理。SIP作為一種C/S模式的應(yīng)用層通信協(xié)議，它的每一個UA都包含兩個基本元件UAC（User Agent Client）和UAS（User Agent Server）。UAC根據(jù)使用端的動作發(fā)出請求，例如：使用者點擊一個按鈕，就可處理相應(yīng)的信息。而UAS則接受請求，并根據(jù)使用者的輸入、公式執(zhí)行的結(jié)果或是其他機制來產(chǎn)生響應(yīng)。UAC發(fā)出的請求可能會經(jīng)過一些代理服務(wù)器，傳送給UAS，當UAS產(chǎn)生響應(yīng)，此響應(yīng)會根據(jù)相同路徑傳送給UAC。
1.1.2 SIP服務(wù)器
　　SIP 服務(wù)器是SIP網(wǎng)絡(luò)中的中繼裝置，用來協(xié)助UAS建立連接，根據(jù)其不同功能可分為以下幾類：
??? (a)代理服務(wù)器（Proxy Server）：負責傳送代理網(wǎng)絡(luò)的請求及回應(yīng)信息，可分為有狀態(tài)和無狀態(tài)兩種工作模式。作為無狀態(tài)服務(wù)器時，只能完成消息的傳送，一旦消息被傳送之后，與之相關(guān)的信息就會被丟棄。作為有狀態(tài)服務(wù)器時，除了完成消息的傳送之外，同時會記錄所有與傳送請求相關(guān)的信息。
?? ?(b)重定向服務(wù)器（Redirect Server）：一般用來減輕代理服務(wù)器的負載，主要接收來自UA或者代理服務(wù)器的請求，并返回一個重定向信息，將上一個請求指向另一個要傳送的地址。
??? (c)注冊服務(wù)器（Register Server）：接收使用者的注冊信息，并更新位置服務(wù)器中與使用者相關(guān)的信息。
?? ?(d)位置服務(wù)器（Location Server）：用來保存注冊用戶的相關(guān)信息，而UAS并不會直接與位置服務(wù)器連接，一般都是通過代理服務(wù)器或者其他服務(wù)器。
　　圖1為典型的SIP流程，它采用請求/響應(yīng)的信息交換模式。下面是SIP會話建立的通信流程：
?? ?(1)欲建立連接的SIP Client A發(fā)出呼叫請求;
?? ?(2)該請求發(fā)給代理服務(wù)器后，發(fā)現(xiàn)SIP Client B不在本域內(nèi);
?? ?(3)于是向重定向服務(wù)器詢問Client B的地址，重定向服務(wù)器返回一個302 重定向消息，其中包含Client B的正確地址;
??? (4)Proxy Server收到此302響應(yīng)消息后，將消息回傳給發(fā)出請求的Client A;
??? (5)Client A再根據(jù)收到的響應(yīng)消息里的新Client B地址，發(fā)出一個呼叫請求;
??? (6)代理服務(wù)器將此請求轉(zhuǎn)發(fā)給下一個代理服務(wù)器;
??? (7)代理服務(wù)器查詢后發(fā)現(xiàn)Client B位于本網(wǎng)域內(nèi)，并將此請求消息發(fā)給Client B;
??? (8)Client B會根據(jù)是否加入會話，或是其他無法建立呼叫的狀態(tài)，來響應(yīng)適當?shù)南⒔oClient A;
??? (9)如步驟(6)、(7)、(8)所示，Client B希望加入此呼叫連接，故響應(yīng)200OK消息，再經(jīng)與請求相同的路徑回傳給Client A，Client A收到200OK后回復(fù)Ack消息給Client B，這樣就完成了呼叫。如果要結(jié)束呼叫，可由任意一方發(fā)送Buy消息，而另一方回復(fù)Ack消息即可。

?

?

?

　　移動代理具有許多功能和特性[4-5]，可分為以下幾項：
??? (1)自治性（Autonomy）：移動代理能夠依據(jù)自身目前所處的環(huán)境自我調(diào)整，并且能夠自我控制轉(zhuǎn)移和工作的時機。
??? (2)社會能力（Social Ability）：移動代理可以獨立完成任務(wù)，也可以與其他移動代理共同完成指定的工作。
??? (3)反應(yīng)性（Reactivity）：移動代理在遇到特定的事件觸發(fā)時，能夠根據(jù)實際情況做出適當?shù)姆磻?yīng)。
??? (4)預(yù)先動作（Pro-activity）：在執(zhí)行指派的工作之前，移動代理能夠預(yù)先完成工作前的準備工作。
?? ?(5)移動性（Mobility）：是移動代理不可或缺的特性，它可提升代理的工作效率和彈性。
??? (6)準確性（Veracity）：移動代理可移動到遠端，或靠近目標物的位置進行工作，具有高度的準確性。
1.3 業(yè)務(wù)互通
　　EAP-SIM（GSM SIM的可擴展認證協(xié)議方法）是無線網(wǎng)絡(luò)的安全認證機制，它可以直接對SIM卡做身份認證，用戶將不用再通過上網(wǎng)獲取登入無線網(wǎng)絡(luò)的帳號密碼。雙網(wǎng)手機用戶只要使用移動號碼SIM卡就可以自動完成認證入網(wǎng)程序。
　　基于SIM的AAA技術(shù)是提供WLAN與GSM/GPRS" title="GSM/GPRS">GSM/GPRS網(wǎng)絡(luò)的用戶一個單一的認證機制。EAP-SIM（SIM擴展認證協(xié)議）將無線局域網(wǎng)與現(xiàn)有的GSM/GPRS這兩種網(wǎng)絡(luò)的認證方式相結(jié)合，也就是將IEEE802.1X中的EAP協(xié)議與SIM卡的認證方式結(jié)合在一起。
　　基于SIM的AAA采用EAP-SIM認證方式，并且同時利用GSM/GPRS的認證框架。因此AAA Server需要有SS7 Interface和GSM/GPRS網(wǎng)絡(luò)的HLR之間的接口，并且還要有10/100Mbps的以太網(wǎng)與接入點之間的連接。因為網(wǎng)絡(luò)上資料被盜用的可能性和危險性極大，為了提供更強大的安全性，除了沿用GSM/GPRS的A3、A8算法之外，另外還增加了其他算法（包括SHA1、PRF、HMAC-SHA1等）輔助。參數(shù)方面，除了RAND、Kc、SRES等鑒權(quán)向量以外，用戶終端設(shè)備必須提供其他的隨機參數(shù)給認證服務(wù)器，通過計算完成認證程序。它的特點在于提供了用戶終端設(shè)備與網(wǎng)絡(luò)間相互認證的機制，除了網(wǎng)絡(luò)側(cè)能夠認證用戶的合法性以外，同時用戶也可以利用校驗傳送資料的正確與否來認證目前網(wǎng)絡(luò)側(cè)是否合法，以避免虛假網(wǎng)絡(luò)側(cè)竊取用戶機密資料的情況，達到交互鑒權(quán)的功能。計費則采用Radius計費功能來實現(xiàn)。
2 問題描述
　　在無線網(wǎng)絡(luò)環(huán)境中采用SIP mobility技術(shù)進行網(wǎng)絡(luò)交互，所面臨的交互延遲時間有SIP Re-Invite延遲、SIP-ALG延遲、DHCP 延遲、綁定更新延遲、鑒權(quán)延遲。到目前為止，消除DHCP延遲和更新延遲的方法是在許多無線網(wǎng)絡(luò)中設(shè)點，事先建立VPN 隧道形成Intranet，讓移動裝置如同在同一個Intranet中漫游一樣。這樣移動裝置的IP address就可以維持不變，以解決IPv4網(wǎng)絡(luò)中Mobility時DHCP delay和綁定更新延遲的問題；另外SIP Re-Invite延遲、SIP-ALG 延遲、鑒權(quán)延遲是交互延遲中無法省略和消除的。因此本文在設(shè)計會議初始協(xié)議的移動性構(gòu)架時，提出讓移動代理來預(yù)先執(zhí)行鑒權(quán)和SIP注冊操作，解決SIP Re-Invite延遲、SIP-ALG 延遲和鑒權(quán)延遲的問題。
　　此外，在WLAN和UMTS異構(gòu)網(wǎng)絡(luò)環(huán)境下，為實現(xiàn)用戶的單一登錄需求，在SIP構(gòu)架中，包括了基于EAP-SIM的AAA中Key管理方式，使得用戶的移動裝置能夠取得惟一Key。當用戶執(zhí)行第一次Key的認證程序后用戶就能在WLAN與UMTS異構(gòu)網(wǎng)絡(luò)環(huán)境下實現(xiàn)跨網(wǎng)自由漫游，且不受認證程序的干擾，在后臺自動完成認證，取得SIP應(yīng)用層服務(wù)的使用權(quán)限。
3 移動代理的SIP移動性框架
?? ?當移動節(jié)點" title="移動節(jié)點">移動節(jié)點即將從歸屬網(wǎng)絡(luò)移動到拜訪網(wǎng)絡(luò)時，移動節(jié)點會事先將移動代理發(fā)送到拜訪網(wǎng)絡(luò)的代理服務(wù)器中，進一步建立SIP連接。當移動節(jié)點與拜訪網(wǎng)絡(luò)進行交互時，移動節(jié)點再與所發(fā)送的移動代理進行連接，通過移動代理的提早發(fā)送達到降低交互延時的目的。
?? ?運用移動代理技術(shù)建立SIP連接時，需要探討以下兩個問題：(1)發(fā)送移動代理進入注冊執(zhí)行安全機制" title="安全機制">安全機制；(2)提早發(fā)送移動代理的時機。
3.1 發(fā)送移動代理的安全機制的建立
　　移動代理在無線網(wǎng)絡(luò)中遷移，需要有安全機制來做接入控制，因此需要建立安全模型。安全模型要保證三件事：鑒權(quán)、保密性和完整性。分成主機保護和代理保護來說明：
??? (1)主機的保護
　　主機是連接接入點的后端服務(wù)器或可提供放置代理的主機，該主機必須能夠識別出允許進入的代理，保證其鑒權(quán)，并運用密碼學(xué)中的對稱密鑰編解碼算法和非對稱密鑰的編解碼算法，使代理獲得授權(quán)。
?? ?(2)代理的保護
　　代理作為移動中的用戶發(fā)送執(zhí)行預(yù)先連接動作的實體，它在被發(fā)送出去后，會在無線網(wǎng)絡(luò)與Host之間進行移動。為了避免Agent packet在空中被竊聽并被進一步竊走授權(quán)信息，保證其機密性，以無線電波為主要傳輸介質(zhì)的無線網(wǎng)絡(luò)利用基于SSL的安全通道，建立起安全通道，讓Agent在此安全通道中移動；當Agent進入Host中執(zhí)行時，為了避免Host篡改代理信息并保證其完整性，無線網(wǎng)絡(luò)劃分了一個被保護區(qū)域放置并執(zhí)行代理，讓Host的管理者無法篡改代理的內(nèi)容。
　　提出發(fā)送移動代理進入代理服務(wù)器執(zhí)行的安全機制，移動代理獲得授權(quán)，并憑此進入代理服務(wù)器執(zhí)行SIP預(yù)先連接，達成代理服務(wù)器保護；移動節(jié)點在發(fā)送移動代理之前會在代理服務(wù)器之間建立SSL通道并在此通道中進行遷移，達到移動代理保護的目的。
3.2? 提早發(fā)送移動代理的時機
??? 發(fā)送代理的參數(shù)包括：發(fā)送代理數(shù)量、無線帶寬吞吐量、代理誤派率、使用者的移動速率、發(fā)送代理的時間。最優(yōu)化各參數(shù)的最優(yōu)值，權(quán)衡參數(shù)之間的可接受區(qū)間，依據(jù)所提出的參數(shù)進行發(fā)送策略的討論。下面分別以不考慮使用者移動速率、考慮使用者的移動速率和考慮不同使用者移動速率進行討論。
??? （1）不考慮使用者的移動速率
??? ?要確保代理沒有誤派的情況下，使用者所在的鄰近AP全部都發(fā)送代理。因為最后有用的代理只有一個，其他沒用到的代理會造成帶寬的浪費，因此，要在誤派率和無線帶寬與代理個數(shù)之間作一個權(quán)衡，從誤派率0~100%之間找出無線網(wǎng)絡(luò)帶寬與代理個數(shù)的點，提供可接收誤派率的選擇區(qū)間，無線帶寬與代理個數(shù)之間的最佳參考點，畫出一個曲線。
??? （2）考慮使用者的移動速率
????為了降低誤派率、改善無線網(wǎng)絡(luò)頻寬效能、減少發(fā)送代理個數(shù)，筆者加入使用者移動速率參數(shù)。速率包括速度與方向，在直線前進的同時，將只發(fā)送（指派）代理到前方幾率較大的無線網(wǎng)絡(luò)，期望達到O（n/2），也可以在誤派率和無線網(wǎng)絡(luò)頻寬（帶寬）與代理個數(shù)之間作一個權(quán)衡，并與上述沒有考慮使用者移動速率的曲線作一個對比。
??? （3）考慮不同使用者的移動速率
??? 考慮不同使用者的移動速率，步行每小時10、15、20千米與車行每小時30、40、50千米。評估后根據(jù)需要分別繪出曲線，由速率與信號強度推算出何時與無線網(wǎng)絡(luò)進行交互，并加上SIP Re-invite所需要的時間，繪出若干曲線，推算發(fā)送代理時間，需要提前多少時間才來得及與無線網(wǎng)絡(luò)交互，確保SIP無縫通話。
??? 在設(shè)計會議初始協(xié)議的移動性構(gòu)架時，提出了讓移動代理預(yù)先執(zhí)行鑒權(quán)和SIP 注冊動作，來解決SIP Re-Invite延遲、SIP-ALG 延遲、鑒權(quán)延遲的問題；在WLAN與UMTS異構(gòu)網(wǎng)絡(luò)環(huán)境下，為了滿足用戶單一簽入的需求，本文在會話初始協(xié)議的移動性構(gòu)架中加入了EAP-SIM based AAA的Key management的管理方式。
參考文獻
[1] ?3GPP TS 23.202 V5.9.0.Network architecture，Jun.2003.
[2] ?ROSENBERG J D, SHOCKEY R. The session initiation?protocol: A key component for internet telephony. comm-
?unications Convergence Magazine, Jun. 14, 2000.
[3] ?ROSENBERG J, SCHULZRINNE H, CAMARILLO G.et al.SIP: Session Initiation Protocol. RFC 2543, Mar.1999.
[4] ?CHOU L D, CHUNG T K, KAO C C. Multiple/Mobile?based network management system for taiwan’s national
?broadband experimental networks. Submitted to IEEE?Globecom’2002.
[5] ?LANGE D B, OSHIMA M. Programming and deploying?java mobile agents with aglets.Addison Wesley, Aug.1998.