Tài liệu tham khảo chuyên ngành viễn thông An ninh trong mạng thông tin di động thế hệ 3
Trang 1CHƯƠNG 5: TRIỂN VỌNG TƯƠNG LAI VÀ XU THẾ PHÁT TRIỂN
5.1 Các vấn đề triển khai
Các chương trước chúng ta đã xem xét một số giải pháp lập cấu hình một mạng dữ liệu di động Các trường hợp triển khai khác nhau đã được giới thiệu – một số trường hợpvới nhà khai thác di động cũng như cung cấp dịch vụ dữ liệu ; một số trường hợp khác có sự phân cách giữa các dịch vụ dữ liệu và các nhà khai thác mạng di động Trong phần nàychúng ta sẽ đi sâu hơn vào các vấn đề nảy sinh trong một trường hợp triển khai cụ thể khi một tổ chức cố gắng mở rộng mạng thông tin nội bộ của nó Tất nhiên,có một sự khác biệtlớn tại thời điểm này: chúng ta biết rằng IP di động đang là một giải pháp.
Để bắt đầu, hãy xem xét chi tiết hơn hai phương thức truy nhập GPRS: trong suốt và không trong suốt Sự khác biệt cơ bản giữa chúng là ở cách thức mà chúng đảm bảo liên kết tới máy chủ tương ứng Phương thức trong suốt kết thúc đường hầm GTP tại GGSN và sau đó chuyển tiếp các gói IP Với chương trình không trong suốt, sau khi đường hầm GTP được kết thúc, dữ liệu người sử dụng được tự động chuyển vào đường hầm mới do GGSN tạo ra Đường hầm mới này vượt qua Internet tới một điểm kết cuối ( nghĩa là một mạng công ty hoặc một nhà cung cấp dịch vụ khác ) Trước khi đường hầmthứ hai này được tạo ra,tên người sử dụng và mật khẩu được cấp cho thuê bao thường được xác thực và sau đó một địa chỉ IP được gán cho một thiết bị di động Sự khác biệt này có tác động lớn tới toàn bộ mạng và dich vụ mà nó cung cấp Bây giờ chúng ta hãy xem xét các vấn đè trong cả hai trường hợp trong suốt và không trong suốt.
5.1.1 Phương thức trong suốt
Trang 2Hình 5.1 cho thấy các phần tử chính của một mạng GPRS theo phương thức trong suốt cùng với một số khu vực cần có các quyết định triển khai trọng yếu ( các mũi tên) Để bắt đầu kiểm tra thiết lập này chúng ta xem xét một số điểm chung có thể áp dụng cho tất cả các hệ thống GPRS phương thức trong suốt và sau đó khởi động các mô hình kinh doanh cụ thể.
Nhu cầu đánh địa chỉ
Bất kỳ thiệt bị di đông nào muốn truy cập dịch vụ đều cần một địa chỉ IP có thể định tuyến được Nghĩa là nó cần một địa chỉ để bất kỳ máy chủ nào tren Internet ( như www.artechhouse.com) có thể đáp ứng lại nó Nhà khai thác di động sẽ cần một địa chỉ cho mỗi thuê bao kết nối đồng thời Một nhà khai thác có thể có không gian địa chỉ định tuyến được hoạt động của nó theo một trong hai cách.
Có lẽ cách dễ nhất là có một thỏa thuận mượn các địa chỉ IP của một nhà cung cấpdịch vụ Internet bán buôn hoặc đường trục (ISP) Bên cạnh việc thuê không gian địa chỉ nhà khai thác di động trong phạm vi khối địa chỉ đã được phân bổ,thỏa thuận này đảm bảorằng có thể truy nhập tới các phần khác của internet Có thể lựa chọn một hoặc hai nhà cung cấp kết nối internet hoặc địa chỉ IP.
Thứ hai, một nhà khai thác có thể xin không gian địa chỉ riêng cho mình từ Tổ chức quản lý địa chỉ và tên miền Internet ( ICANN - Internet Corporation for Name and Numbers) hoặc từ Reseaux IP European (RIPE) Trong trường hợp này, nhà khai thác sẽ phải cân đối nhu cầu địa chỉ họ cần bởi vì việc phân bổ bị chịu tác động lớn của nhu cầu bảo quản các địa chỉ IP phiên bản 4 (do đó đơn xin phải chứng minh được tính hiệu quả) Nhà khai thác cũng sẽ phải xin một số hệ thống tự chủ và sau đó đàm phán kết nối
internet với một hoặc nhiều ISP bán buôn hoặc nhà cung cấp dịch vụ kết nối Internet (chẳng hạn như LINX hoặc CIX).
Nếu các dải địa chỉ được yêu cầu là có sẵn thì chúng có thể được ấn định cho người sử dụng một số cách Cách hiệu quả nhất là phân bổ chúng từ một máy chủ qua
Trang 3giao thức cấu hình máy chủ động ( Dynamic Host Configuration Protocol ) như đã trình bày Kỹ năng thực là xác định xem cần thực sự bao nhiêu địa chỉ cho một số thuê bao đã định.
Tên miền
Ngoài dải địa chỉ để phân bổ tới các thiết bị di động và kết nối cấp cao lên mạng Internet toàn cầu ra,nhà khai thác trong một mạng GPRS truy nhập trong suốt cần cung cấp các dịch vụ giải quyết tên miền Đây là dịch vụ biến đổi các tên dễ đọc (như
www.artechhouse.com) thành địa chỉ IP thực của máy chủ Web Điều này đòi hỏi chạy một máy chủ tên miền và lập cấu hình nó để chuyển tiếp chính xác các yêu cầu giải quyết tên miền và lưu giử các trả lời Một ISP cấp cao có thể có khả năng cung cấp dịch vụ này cho nhà khai thác di động.
Bảo vệ
Các tin tặc đã cho thấy rằng các nhà khai thác Internet di động đang phát triển gặp một thách thức rất thú vị Mục tiêu có thể phù hợp nhất của họ là giao diện công cộng (Gi) tới Internet Trong trường hợp này,các địa chỉ đích từ các gói tin đến từ giao diện công cộng được định tuyến qua một bảng đường hầm mở để các đường hầm GTP đi trực tiếp đến các máy di động được kết nối Không có đường khác cho các gói tin từ giao diện công cộng (ví dụ: đi vào cơ sở hạ tầng của nhà khai thác đẻ tấn công hệ thống tính cước và khai thác các tài nguyên khác nằm phía trong riêng biệt của GGSN) Về phía của giao diện công cộng , các gói tin trông giống như bất cứ gói nào khác trên Internet.
Trang 4Hình 5.1 Triển khai một GPRS trong suốt
Tính cước
Thông tin thu nhập được từ GGSN và SGSN bao gồm số byte và thời gian liên lạc – cũng giống như các ứng dụng Internet và truyền số liệu khác Thông tin cơ bản này sau đó được chuyển thành số nhận dạng di động của người sử dụng ( IMSI ) chứ không phải các mô hình tên người sử dụng/mật khẩu quen thuộc đã được sử dụng cho các ứng dụng Internet Do đó, các nhà khai thác đã có dịch vụ Internet với các tài khoản dựa trên người sử dụng sẽ phải xem xét tổ chức thế nào cho tốt nhất các bản ghi về mức độ sử dụng mạng để lập hóa đơn tính cước cho các dịch vụ Internet vô tuyến.
Xác định số lượng mạch Internet
Nhà khai thác di động sẽ chịu trách nhiệm xác định số lượng mạch Internet kết nối tới ISP cung cấp đường lên Để linh hoạt và cân bằng tải,một tập dự phòng các GGSN có thể được triển khai ở trạm kết nối Internet Việc xác định số lượng mạch phụ thuộc vào
Trang 5kết quả phân tích và theo dõi Việc phân tích yêu cầu dự tính tốc độ của máy di động cũngnhư đặc tính lưu lượng của khách hàng Việc này thường được bổ trợ bằng việc phân tích xu hướng thường nhật về mức độ sử dụng mạch Gi Sau khi nhà khai thác di động đã quan tâm tới tất cả các vấn đề trên với 1001 các nhiệm vụ triển khai không thể tránh khỏi khác, sẽ có một mạng tin cậy hoàn toàn để cung cấp một loạt các dịch vụ IP Các chương trước cung cấp hầu hết các thong tin kỹ thuật ( đánh địa chỉ,bảo mật thông tin…) mà nhà khai thác cần và triển vọng của IP di động cho phép khách hàng tự do chuyển vùng Giải pháp triển khai này có thể, như ý nghĩa của nó,không phù hợp với một người sử dụng doanh nghiệp Họ muốn sự bảo vệ cao hơn khi đi qua giao diện Gi và do đó chúng ta cần tiếp tục xét truy nhập theo phương thức không trong suốt.
5.1.2 Phương thức không trong suốt
Sự khác biệt cơ bản trong phương thức này là đường liên kết từ GGSN tới nút mạng tương ứng được bảo vệ bằng công nghệ đường hầm Điều đó có nghĩa là các chức năng như xác thực và ấn định đặc tính có thể triển khai hợp lý trên cơ sở hạ tầng của nhà khai thác di động như minh họa trên hình 5.2.
Trong hình 5.2, một kết nối IPsec đơn giản được thấy giữa GGSN và điểm truy nhập tới mạng công ty Máy chủ xác thực người sử dụng cũng có thể cung cấp dịch vụ người sử dụng quay số vào truy nhập từ xa ( RADIUS – Remote-access dial-in user service) với khả năng cho nhiều người sử dụng Điều này cho phép nhà khai thác chạy máy chủ tại dịa điểm của mình nhưng cho phép mỗi người sử dụng duy trì và quản lý cơ sở người sử dụng thuê bao của anh ta theo cách mà một nhà cung cấp dịch vụ ứng dụng thực hiện GGSN có thể cũng hỗ trợ các nhóm địa chỉ trên cơ sở nhiều khách hàng và là hỗ trợ các không gian nhiều địa chỉ thông qua DHCP.
Trang 6Hình 5.2: GPRS không trong suốt
Trong cấu hình này, việc xác thực và ấn định đặc tính ngày càng có thể xảy ra ở địađiểm xảy ra của nhà cung cấp dịch vụ khách hàng hoặc công ty Trong trường hợp này, GGSN trong mạng nhà khai thác đóng vai trò như bộ phận tập trung truy nhập L2TP ( LAC ) và tạo ra một đường hầm L2TP được bảo vệ theo IPsec tới máy chủ VPN đích ( hình 5.3).
Để dành được truy nhập qua mạng này, người sủ dụng cần nhập tên và mật khẩu của anh ta vào thiết bị di động Các thông tin này sau đó được gửi tới máy chủ xác thực phù hợp như được cấu hình trong định nghĩa APN không trong suốt cho VPN công ty.
Trang 7Hình 5.3 Truy nhập GPRS không trong suốt với L2TP
Được bảo vệ theo IPsec
Thanh toán và cung cấp
Trong cả hai trường hợp, một bản ghi thanh toán kiểu RADIUS với tên người sử dụng và mật khẩu định hướng dữ liệu được viết ra ( đối nghịch với bản ghi dựa trên IMSI được viết ra trong trường hợp trong suốt ) Trong trường hợp L2TP được bảo vệ theo IPsec điều này làm cho hệ thống GPRS của nhà khai thác trông giống như một bộ tập trung truy nhập khác vào phương tiện của một nhà cung cấp dịch vụ đã được thiết lập Sự tồn tại của các bản ghi tính cước theo kiểu RADIUS, gắn với tên người sử dụng giúp cho nhà cung cấp dịch vụ hoặc nhà khai thác dịch vụ dễ dàng hơn trong việc lập hóa đơn tích hợp, bao gồm các mô hình tính cước theo thời gian kết nối hoặc dung lượng được sử dụng.
Trang 8Trong phương thức không trong suốt, nhà khai thác không phải phân bổ không gianđịa chỉ cho thuê bao Một và chỉ một địa chỉ được ấn định cho thiết bị di động của người sử dụng từ không gian địa chỉ công ty của người sử dụng Do đó, địa chỉ thường trú của người sử dụng di động được sở hữu và kiểm soát bởi tổ chức của anh ta chứ không phải một bên thứ ba.
Với phương thức không trong suốt, GGSN của nhà khai thác được kết nối đến mạng Internet công cộng với cùng một mức bảo an như trường hợp đó Nhiệm vụ chủ yếucủa nhà khai thác là quản lý dung lượng và chất lượng của mạch này.
Tượng tự trong mô hình toàn trình ( trong đó người sử dụng cần tải phần mềm máykhách trên máy PC của họ để truy nhập tới mạng công ty của họ ), nhà khai khác di động có một thị trường đặt trước điều kiện cho các dịch vụ VPN đối với các khách hàng đã từng sử dụng VPN qua các công nghệ khác Các công ty trong điều kiện này đã vận dụng cơ sở hạ tầng VPN riêng của họ ( các máy chủ có chức năng đánh địa chỉ và xác thực ) Một chiến lược kinh doanh khôn ngoan ở đây có thể là hợp tác với một nhà cung cấp VPN chuyên nghiệp để bổ sung phần truy nhập vô tuyến vào hồ sơ dịch vụ.
Một khác biệt so với mô hình toàn trình nêu trên là không cần triển khai phần mềmtrên các thiết bị được kết nối tới nhà khai thác di dộng Với một VPN không trong suốt, người sử dụng bị hạn chế và không được tự do chuyển vùng tới các dịch vụ Internet khác ( trừ khi được phép truy nhập qua kết nối Internet của họ ).
Khía cạnh bảo an
Đường hầm không trong suốt kết nối mạng lõi của nhà khai thác tới máy chủ VPNcủa công ty có thể sử dụng công nghệ IPsec và do đó cũng có thể triển khai mã hóa mạnh.Tuy nhiên, mã hóa này, không thực hiện trên toàn trình Dữ liệu chuyển tự do đến mạng của nhà khai khác dịch vụ và được mã hóa bởi giao thức mã hóa vô tuyến dành riêng ( vớichiều dài mã 56 bit ) qua giao diện không gian Một thiết bị di động đầy đủ chức năng có thể gia tăng khả năng bảo an ( sử dụng mã 56 bit và giao thức lớp cổng bảo đảm ( SSL –
Trang 9Secure Socket Layer ) với bất kỳ số nào của cơ chế toàn trình, bao gồm SSL hoặc IPsec phương thức vận chuyển ).
Một khía cạnh bảo an quan trọng cho bất kỳ tổ chức nào sử dụng truy nhập GPRS không trong suốt là khi người sử dụng được xác thực, họ trở thành một phần của môi trường Intranet và được coi là nằm trong bức tường lửa của công ty Do đó, tổ chức đó không phải để lộ ra Internet công cộng bất kỳ máy chủ tương ứng nào do chỉ những ngườisử dụng đã được xác thực mới có thể truy cập tới các ứng dụng VPN.
5.1.3 VPN công ty trong phương thức trong suốt
Để kết thúc phần này, chúng ta xem xét một dịch vụ VPN công ty toàn trình có thể được triển khai như thế nào trong một dịc vụ GPRS phương thức trong suốt Tất nhiên, dịch vụ này có thể triển khai qua phương thức truy nhập không trong suốt ( và có thể dễ hơn như đã tấy ở trên ) nhưng mục đích ở đây là để minh họa nhiều khả năng lựa chọn triển khai.
Để triển khai một liên kết toàn trình có hiệu quả khi sử dụng GPRS phương thức trong suốt, người sử dụng di động có thể phải cài đặt phần mềm mã hóa và đường hầm vào thiết bị di động của anh ta và sau đó sử dụng Internet công cộng để kết nối vào một máy chủ VPN trên mạng công ty của anh ta Điều này có thể không thực hiện được trong một số trường hợp nhưng có những lý do giải thích việc một tổ chức muốn triển khai mô hình toàn trình bao gồm hai yếu tố sẽ được thảo luận tiếp theo.
Bảo an tổng thể tốt hơn
Mưc độ bảo an trọng một dịch vụ GPRS không trong suốt vẫn chưa được triển khai hoàn toàn Với một VPN toàn trình, người sử dụng có thẻ quản lý mức độ bảo an và có thể ấn định, ví dụ mã hóa Triple DES từ thiết bị di động của anh ta tới máy chủ của VPN của công ty.
Tính thống nhất của truy cập
Trang 10Người sử dụng có thể đã sử dụng công nghệ của VPN toàn trình cho truy nhập công ty thông qua đường truyền hữu tuyến hoặc truy nhập băng rộng như xDSL hoặc truyền hình cáp Rất nhiều doanh nghiệp đã triển khai truy nhập từ xa tới VPN của họ thông qua Internet, hoặc như một dịch vụ mạng hoặc tự họ thực hiện Người sử dụng đã cài đặt một thiết bị đầu cuối và thiết bị xác thực VPN đúng như một máy khách VPN Dođó, người sử dụng có thể làm việc tốt trên Internet vô tuyến không kém gì trên các kết nốibăng rộng hoặc kết nối qua mạng điện thoại Tất nhiên, tính chất của phương thức truy nhập có một số tác động – các ứng dụng có thể nhạy cảm với sự khác biệt về tốt độ và một số ứng dụng có thể hoặc hoặc không thể phù hợp với người sử dụng chuyển vùng.
5.2 Khái quát về hoạt động của VPN toàn trình
Hình 5.4 cho thấy một cấu hình cơ bản – một máy tính xách tay kết nối tới một điện thoại di động GPRS thông qua một đường cáp nối tiếp ( hoặc máy tính xách tay có thể được trang bị một card PCMCIA GPRS ) Người sử dụng kích hoạt chế độ dữ liệu bằng cách chạy một chương trình giống như ứng dụng liên mạng quay số do Microsoft cung cấp ( MSDUN – Microsoft Supplied Dial Up Networking ) Ứng dụng này gửi một chuỗi lệnh kiểu AT để thiết lập một kết nối dữ liệu vô tuyến Những lệnh này hơi khó hiểu và thường được cài trước trong quá trình cài đặt chứ không phải do người sử dụng cài đặt trực tiếp Ngay cả ứng dụng quay số có các trường tên người sử dụng và mật khẩu thì cả hai trường này cũng bị lờ đi Như đã đề cập ở trên,người sử dụng truy nhập trong suốt được xác thực cho các hoạt động dữ liệu vô tuyến bằng việc nhập vào bộ đăng ký vị trí thường trú Một đường hầm GPT được kết nối từ nút mạng GGSN đang phục vụ vị trí hiện tại của người sử dụng tới nút mạng GGSN đang kết nối người sử dụng với Internet Các bản ghi tính cước từ cả hai GGSN được ghi tới thiết bị cổng tính cước Sau đó, một địa chỉ Internet có thể định tuyến được ( mà hiện giờ đóng vai trò như một địa chỉ gửi nhờ) và một máy chủ tên miền được ấn định cho người sử dụng.
Trang 11Hình 5.4 Truy nhập VPN công ty GPRS trong suốt
Bây giờ, người sử dụng có thể chạy bất cứ ứng dụng nào có thể có từ giao diện công cộng của nhà khai thác di động Tuy nhiên, ứng dụng đang quan tâm ở đây là máy khách VPN cho phép thiết bị di động truy nhập dịch vụ trên mạng Intranet của công ty như thể anh ta quay số qua một modem chuẩn.
Phần mềm khách hàng có một trường đích đươch đặt trước với một địa chỉ IP công cộng của máy chủ VPN công ty Sau đó người sử dụng nhập vào tên và mật khẩu của anh ta Máy chủ xác thực kiểm tra các tham số nhập vào này của VPN và người sử dụng được ấn định một địa chỉ IP thứ hai trong không gian địa chỉ của công ty ( địa chỉ thường trú của anh ta ) mà duy trì hoạt động trong quá trình kết nối Địa chỉ này có thể do máy chủ VPN tự ấn định hoặc do một máy chủ địa chỉ ( DHCP ) chạy trên mạng công ty ấn định.