摘要:以移动IP为基础的网络移动技术实现了IP子网的任意移动性，将有助于推进未来全IP移动的实现。文章从军事应用的角度出发，探讨了通过利用网络移动技术为机动部队实现快速组网通信的网络结构，并对实现这种方案的安全性、稳健性的技术改进进行了详细阐述。

　　IP技术向移动通信领域延伸产生了移动IP技术，使运动中的用户能自动保持在网络资源的不间断接入，而以移动IP技术为基础的网络移动技术，则可以使一些携带一个或多个局域网的大型移动平台保持不间断的网络连接，它对于交通运输、抢险救灾和军事作战等都有非常好的应用前景。例如，飞机、舰船等大型移动平台可能会携带一个或多个子网，在其移动过程中，会改变到地面骨干网的接入，位于移动平台内的移动路由器将利用网络移动技术来支持平台内用户的不间断通信[1]。

　　许多机构都对移动网络技术进行了相关研究，如欧洲的OverDRiVE项目、Cisco和波音公司的移动路由器和空间研究项目[2]、日本Keio大学的WIDE项目等，使网络移动技术在近两年成为国际研究和应用的热点。

1、网络移动技术
　　移动网络由一组通过本地路由器互联的子网组成，它们合在一起形成一个移动单元，通过一个或多个路由器与IP骨干网互联。

　　网络移动（NEMO）就是指一个移动网络能够改变到一个IP骨干网的连接点，这与我们熟知的单一移动节点（MN）相比，情况要复杂得多。此时，移动路由器（MR）作为一个移动节点，支持整个网络平台的移动。在移动网络内部，所有以有线或无线方式连接到MR的终端可以不作为一个移动节点，终端之间仍采用固定IP协议，由MR提供漫游特性。
　　在网络移动中，每个移动平台都可以向IP骨干网发起连接，也可以接收来自IP骨干网络的连接。同时，无论移动网络位于本地网络中还是位于外地网络中，该移动网络都可以支持单个移动节点或其他移动网络的接入。网络移动技术的具体实现方案有基于移动IPv4和基于移动IPv6两种。

　　基于移动IPv4的实现方案[3]与单一主机的移动IP操作类似，但需建立双重隧道。隧道1建立在本地代理与外地代理之间（HA-to-FA），隧道2建立在本地代理与MR之间（HA-to-MR）。本地代理将发往MR所在移动网络内终端的数据包进行二次封装后，通过隧道发往MR所注册的外地代理，外地代理将收到的报文执行第一次解报后，送往MR，MR执行第二次解报，最后将数据包递交给移动网络中的节点。当MR移动时，通过附近的FA向其FA注册。
　　基于移动IPv6的实现方案需要在MR与HA之间建立双向隧道，这与移动节点到HA的双向隧道本质相同，只是根据需要在MR和HA中增强了绑定缓存和路由表管理功能。MR通过向HA进行绑定申请，对本地地址（包括骨干网的网络接口）和转交地址进行绑定。MR发往HA的数据流由MR封装报文，直接通过MR-HA隧道发往HA，然后由HA解报后转发到目的地。在相反的方向，HA截取所有发往MR的报文，通过隧道发往MR，由MR进行解报后再发送到移动网络中的节点。

2、基于网络移动技术的快速组网通信

　　以IP技术为基础的互联网技术已广泛应用于战场通信，战术互联网构成了战场上从指挥中心到前方士兵的无缝数据网。基于移动IP的网络移动技术可为分布在战场上各个移动的作战部队提供灵活、简易、快速的网络接入和互联，为作战部队带来了易于实现的快速反应和部署能力[2]，它与ATM技术一起，将成为未来战场信息传输系统（BITS）的核心内容。利用网络移动技术实现快速组网通信的网络结构如图1所示。

图1　利用网络移动技术的快速组网示意图

　　系统由以下几部分组成：
　　a）总指挥中心（GCC）
　　它可以位于战场外任何位置，负责收集侦查卫星所获取的各种战场图像和其他战术数据等，通过卫星链路将其传送给位于战场上的作战指挥中心。
　　b）作战指挥中心（BGCC）
　　它作为本地代理（HA）。必须配置为热备份，否则一旦它发生故障，所有由其提供代理服务的MR都会失去连接。
　　c）移动指挥站（MCP）
　　作战部队中至少设有一个移动指挥站，它所配备的MR设置为外地代理（FA），并连接到作为本地代理的作战指挥中心。
　　d）作战分队（BG）
　　各作战分队配备MR，能动态连接到外地代理，并且都将通往移动指挥站的路由设置为默认优选路由，在作战过程中，它可以根据实际需要和链路状态选择合适的外地代理进行注册，以保证服务的高可用性，充分展示了网络移动所带来的灵活应变性。
　　在作战部队部署前，首先需要建立移动指挥站与作战指挥中心的连接（MCP-BGCC），当这个连接建立好后（即FA-HA），各个作战分队中的其他MR就可通过外地代理向本地代理注册，保证与本地代理的互通。注册非常迅速，注册完成后，各MR就可动态连接各外地代理。在以后的部队迁徙中，即使接入网络发生了变化，也不需要再重新配置这些设备，只需重新建立MCP与BGCC的连接即可，这将大大缩短重新配置整个网络所耗费的时间，而且为各个移动中的作战分队提供了透明、不间断的连接。

　　在实际应用中，战场中的外地代理可由移动指挥站、无人机（UAV）或空中预警机（AWACS）共同担任。图1中的作战分队包括地面的3个作战分队A、B、C和1个空中分队。每个作战分队都有各自的MCP，各个作战单元都配备MR，优选路由设置为各分队所属的MCP。各分队根据实际情况，通过不同的外地代理连接到BGCC。

　　举例来说，随着战役的推进，可能出现这样的情况，B作战分队的一部分人员与该分队的MCP共同执行侦查任务，另一部分人员配合A分队行动。这时，与B分队MCP一起行动的B分队成员自然将该分队的MCP作为外地代理，加入到A分队的B分队成员则会选择通过A分队的MCP申请注册。如果在侦查过程中，B分队的MCP发生故障，分队中的各MR将自动切换到非优选路由的UAV链路，将UAV作为新的外地代理，以保证通信的继续。可见，路由的优化和网络的稳健性在快速灵活的组网前提下仍然是有保证的。

3、安全性措施

　　上述快速组网方案为机动作战部队提供了与专用军事子网的不间断接入。除此之外，当采取了相应的安全性措施后，不但可以利用其他各种军事/民用子网来支持飞机、舰艇和装甲部队等作为移动子网的不间断接入，还可以根据需求随时有选择地获取战场信息或其他非保密普通数据[4]，这样一来，就能在很大程度上扩大网络的覆盖范围，提高作战部队的机动性，减少整个网络建设的开销。

　　以一个舰艇部队构成的子网来举例说明。当舰艇部队停泊在港口时，它与军用专网A通过专用链路保持通信。当执行任务离开港口时，它所携带的MR与子网中连接到该MR的其他设备构成了一个移动子网。当采取安全性保障后，该移动子网在航行中就可以根据实际通信环境，选择合适的外地代理向本地代理注册，并把路由信息告知专网A，利用了各种军用/民用通信链路和网络设施始终保持与军用专网A和Internet的连接。
　　这种网络连接的结构如图2所示。

图2　安全性保障解决方案示意图

　　图中，HA和FA可以通过商用数字用户环路（DSL）连接到公共网络，MR和HA都必须具有有效的公网地址（至少在一个虚拟接口或物理接口上，推荐使用虚拟接口以保证MR的高可通性），加密设备设置在MR与专网A之间。为了克服入/出口过滤问题，在HA与MR间使用反向隧道。这样做的另外一个好处是移动子网内的节点可以通过专网地址与HA所连接的专网进行通信。舰船所携带的子网中又包括保密子网和非保密子网，非保密子网可以配置公网地址，这样，公共网络就可以通过MR访问到这些设备。

　　所有从专网A发往移动子网的信息首先被加密，然后通过HA经隧道发往移动子网的加密端进行解密。在通信的另一个方向，在移动子网内保密子网的路由器上设置静态路由，使这些设备送出的业务流指向加密端。加密设备将这些保密信息进行加密，再将其递交给MR，经隧道到达HA，在HA连接到专网A的加密端，所有加密信息被解密，最后送往专网A的路由器。

　　这种解决方案有以下优势：a）高度安全性。b）可扩展性。c）易于管理性，与现有网络可共同管理。d）共享性，可以共享现有广泛的网络设施和资源。e）健壮性，利用多连接接口，可实现多个路由的优选。f）简便性，MR是一项“一次性设置管理”技术，一旦配置好后，不需要其他技术的实时管理。g）兼容性，对现有系统影响很小。

4、稳健性措施

　　在上述方案中，我们对MR采取多接口技术，通过优选FA的措施可以有效增强链路的健壮性，提高链路的质量。除此之外，如果进一步增强MR的功能，实现优选HA技术，就会在更大程度上提高整个网络的稳健性，同时还会给系统带来额外的抗毁能力、负载平衡能力和路由优化能力[5]。

　　实现优选HA技术只需对HA和MR的访问控制添加相应的功能即可。我们对每个HA设置一个FA转交地址CoA的访问列表，HA将根据MR注册申请中所使用的CoA来选择接收或拒绝请求。MR将设有多个不同优先级HA的访问控制功能。

　　1）自动灾难恢复

　　MR每次都将首先尝试注册最高优先级的HA，如果发出3次注册申请后仍没有收到回复，MR将向次高优先级的HA发出注册申请。显然，该机制为由于自然或人为原因造成的网络中断提供了自动灾难恢复能力，这时的网络结构推荐使用网状网络。HA的访问列表将配置为允许所有FA的接入，以全面提高系统的抗毁能力。

　　2）路由优化
　　当一个MR通过FA向HA发送注册申请后，若HA没有在自己的访问列表中找到该FA的转交地址，它将拒绝该次申请。此时，MR会立即向低于此优先级的下一个HA发出申请。如果我们让多个HA分布在不同的地理位置，该机制就可以实现路由的优化。举例来说，一个简单的专网拓扑包含有两组代理，A组HA1和FA1位于上海，B组HA2和FA2位于南京。HA1的访问列表中只允许FA1申请，HA2的访问列表中只允许FA2申请。MR中的优选HA策略首先为HA1，其次为HA2。当MR在移动中离开上海，已经无法连接到FA1后，它通过FA2首先申请注册配置为最高优先级的HA1，由于HA1设置为拒绝FA2注册，它将拒绝该次申请。MR再通过FA2申请注册配置为次高优先级的HA2，最后注册成功。这样MR就通过一个更近的HA维持了通信。在实际应用中，可以根据专网的地理分布，设置多个不同的HA和相应的优先级，通过这种策略保证路由的优化。

　　3）移动指挥
　　与自动灾难恢复的技术类似，可通过优选HA技术实现指挥中心移动。假设作为最优HA的指挥中心与总指挥中心通过卫星链路进行通信，当战场发生变化，指挥中心必须迁徙时，就可通过上述优选HA技术，由另一个HA（如移动指挥中心）接替最优HA的通信任务，这样一来，在整个子网实现空间跳跃时，部队与总指挥中心的通信不会受到任何影响。
5、结束语
　　IP级网络移动技术正成为后3G系统中的重要组成部分，利用网络移动技术的特点实现机动作战部队的快速组网，采取相应的安全性和稳健性措施，增强其功能并扩大使用范围，对于军事作战中的快速反应、抗扰抗毁和灵活机动能力的提高都具有非常重要意义。但同时应该看到，目前相关的技术还处在萌芽时期，由网络移动技术构建无缝隙的移动方案还需要进行大量的研究和实践。