Nhắc lại rằng công nghệ số liệu gói thông tin di động dựa trên khái niệm truyền tunnel động, trong đó các tunnel liên tiếp được tạo lập và gỡ bỏ giữa các mạng ngoài mà MS làm khách và mạng nhà. Tính phức tạp của công việc này khi cung cấp dịch vụ VPN trong môi trường này là ở cách kết hợp kỹ thuật với cấu hình tunnel cố định hay "tựa cố định" cần thiết ở phía mạng hữu tuyến để cho phép các người sử dụng di động có thể truy nhập mạng riêng an ninh. Nhiệm vụ này trở nên đặc biệt phức tạp khi cần dịch vụ VPN bắt buộc. Trong trường hợp này, nhà khai thác phải có thiết bị có khả năng không chỉ hỗ trợ truyền tunnel động mà cả chuyển mạch tunnel động giữa các phần cố định và di động trong hạ tầng của họ. Hình 2.11 cho thấy kiến trúc minh họa yêu cầu này. Trong trường hợp VPN tự ý, nhiệm vụ này được đơn giản hơn một chút, vì địa chỉ IP của điểm cuối giữ cố định. Các sơ đồ di động số liệu sử dụng trong GPRS phải giải quyết yêu cầu này.
Hình 2.11. VPN trong các môi trường vô tuyến [5]
Trước hết phải phân tích tại sao cần MVPN trong các hệ thống số liệu gói. Hỗ trợ MVPN đòi hỏi các nút mạng có khả năng chuyển mạch các tunnel phức tạp và các thiết bị di động. Trong số liệu gói vô tuyến, các cơ chế lớp mạng cho phép các MS thay đổi vị trí và điểm nối mạng của chúng trong khi vẫn duy trì kết nối đến mạng nhà. Thường xuyên MS chuyển đến một mạng khác trực thuộc một nhà khai thác khác với nhà khai thác ban đầu. Khi chuyển mạng, MS vẫn giữ kết nối đến mạng nhà thông qua sử dụng các sơ đồ truyền tunnel để hỗ trợ di động như GPRS trong GSM và các hệ thống UMTS hay MIP trong hệ thống CDMA2000. Trong các môi trường này, không thể thiết lập mọi kết nối kênh cố định kiểu quay số giữa MS và mạng riêng. Vì nó sẽ làm hỏng mục đích chuyển từ môi trường chuyển mạch kênh sang chuyển mạch gói.
Công nghệ tốt nhất cho truy nhập mạng riêng trong môi trường này là MVPN, hoặc bắt buộc hoặc tự ý dựa trên các giao thức truyền tunnel phù hợp di động ít nhất là trên một đoạn của tuyến số liệu đầu cuối-đầu cuối. Vì thế, MVPN trong các hệ thống số liệu gói không chỉ đơn giản là một tùy chọn truy nhập (như trong nối mạng hữu tuyến cùng với các kiểu truy nhập khác như quay số trực tiếp, các đường thuê riêng, ATM và chuyển tiếp khung) mà là cần thiết. Sau khi đã tổng kết tầm quan trọng của các MVPN, bây giờ ta có thể xét chi tiết hơn các kiểu MVPN chính [5].
2.4.2 MVPN tự ý
MVPN dựa trên truyền tunnel tự ý được áp dụng gần giống như VPN hữu tuyến. Cũng như với VPN hữu tuyến, cần xét xem nhà cung cấp dịch vụ sử dụng sơ đồ đánh địa chỉ IP riêng hay công cộng và cơ chế biên dịch địa chỉ IP nào (nếu cần) được sử dụng. Một cách xem xét khác riêng cho môi trường vô tuyến là tính ổn định của địa chỉ IP được ấn định cho thiết bị di động. Tổng quát, các giao thức truyền tunnel để hỗ trợ di động trong các hệ thống số liệu gói hiện đại cho phép giữ nguyên các địa chỉ IP ấn định cho một MS. Một số
thậm chí còn cho phép cung cấp trước các địa chỉ IP cố định cho các thiết bị của người sử dụng đầu cuối, đây là điều kiện tuyệt vời để các tunnel đầu cuối- đầu cuối ổn định tạo thành nền tảng cho VPN tự ý ổn định.
Tuy nhiên trong một số hệ thống vô tuyến, một số chế độ truy nhập chỉ cung cấp di động IP hạn chế. Các người sử dụng ở xa và các nhà quản lý IT cần lưu ý đến điều này khi đặt hàng dịch vụ vô tuyến với ý định sử dụng nó cho VPN tự nguyện. Chẳng hạn trong CDMA2000, chế độ truy nhập IP đơn giản (Simple IP) chỉ đảm bảo di động trong biên giới của cùng một PDSN/FA. Ở đây không thể duy trì các tunnel đầu cuối-đầu cuối khi thay đổi PDSN phục vụ, vì kênh mang số liệu gói cần được thiết lập lại đến PDSN mới và MS phải nhận được địa chỉ IP mới. Điều này cũng đòi hỏi MS client phải khởi động lại phiên với địa chỉ IP mới. Điều này có thể không phải là vấn đề quan trọng khi cho rằng một PDSN điển hình có thể phủ các diện tính đến hàng trăm cây số vuông, nhưng đối với các người sử dụng di chuyển dọc biên giới thì đây sẽ là một thách thức. Sử dụng công nghệ VPN bắt buộc với chế độ truy nhập IP đơn giản sẽ không cải thiện hơn tình trạng này, vì kết nối đầu cuối-đầu cuối bị mất và cần phải thiết lập lại truy nhập mạng từ xa mới mỗi khi MS chuyển vào PDSN mới. Điều này sẽ thay đổi nếu sử dụng chế độ truy nhập dựa trên MIP. Chế độ truy nhập MIP có thể được sử dụng theo hai cách. Cách thứ nhất cung cấp truy nhập trực tiếp đến mạng mà người sử dung cần truy nhập nhưng vẫn đảm bảo di động. Cách thứ hai đơn giản nhưng nhà khai thác có thể cung cấp truy nhập không gián đoạn, trong đó người sử dụng có thể chọn để thiết lập tự ý một tunnel đầu cuối-đầu cuối bằng cách sử dụng một VPN client chung.
Một điểm đáng quan tâm khác của truy nhập MVPN tự ý đến các mạng trên các đường vô tuyến là các khả năng thu lợi của nó xét từ quan điểm của nhà khai thác. Điều này cũng hơi giống như truy nhập của khách hàng đến Internet sẽ được phân biệt với dịch vụ truy nhập internet cho phép người sử dụng sử dụng VPN client, vì lợi nhuận trên thuê bao từ truy nhập người tiêu lvi
dùng chắc chắn khác lợi nhuận từ các khách hàng kinh doanh truy nhập mạng hãng của họ sử dụng VPN client. Vì thế các nhà khai thác vô tuyến phải cung cấp các điểm truy nhập khác nhau vào Internet cho hai loại người sử dụng. Các thuộc tính truy nhập mạng chắc chắn sẽ khác nhau tại các điểm truy nhập trên chẳng hạn địa chỉ IP công cộng/riêng, tính năng NAT có cho đi qua hoặc không đi qua, tường lửa và lọc virus. Từ quan điểm khai thác, điều này có thể được thi hành tại thời điểm ký kết hợp đồng thông qua các định nghĩa tương ứng về các dịch vụ được đăng ký thuê bao [5].
2.4.3 MNPN bắt buộc
Như đã nói ở mở đầu của phần này, MVPN bắt buộc dựa trên các nguyên tắc giống như VPN hữu tuyến. Tuy nhiên trong khi VPN hữu tuyến dựa trên một tunnel cố định duy nhất (hay rất ít khi trên một tập các tunnel móc nối cố định), thì MVPN áp dụng trong môi trường di động không như vậy và dựa trên tổ hợp các tunnel động hỗ trợ di động và các tunnel cố định ở phía hữu tuyến. Để đạt được chức năng này (được gọi là chuyển mạch truyền tunnel động) các nhà khai thác vô tuyến phải triển khai các phần tử hạ tầng thông minh có khả năng hỗ trợ nhiều loại kỹ thuật truyền tunnel.
Chuyển mạch tunnel là một khái niệm khá mới, đầu tiên được các nhà cung cấp thông tin số liệu hữu tuyến đưa ra để cạnh tranh trong thị trường các dịch vụ IP. Các thiết bị hỗ trợ khả năng chuyển mạch tunnel phải có thể định tuyến số liệu đi qua các tập tunnel bằng cách kết cuối các tunnel mang số liệu và khởi đầu các tunnel đóng bao số liệu ra. Điều này thường được xây dựng trên một tập các chính sách được cung cấp trong mạng hay trong các thiết bị cá lẻ bởi các nhà khai thác vô tuyến đại diện cho các khách hàng kinh doanh. Một lựa chọn khác, thay vì sử dụng các tunnel, có thể triển khai một mạng riêng có các đường vật lý thuê riêng hay các VC ATM hay chuyển tiếp khung giữa cổng truy nhập của nhà khai thác vô tuyến và hãng. Tuy nhiên phương
pháp đường thuê riêng này sẽ làm mất đi lợi thế giá cả của VPN và việc dễ dàng quản lý và cung cấp, điều này rất quan trọng trong môi trường di động.
MVPN bắt buộc có thể được áp dụng theo các cách khác nhau phụ thuộc vào mẫu di động cho phép. Chẳng hạn, có thể xây dựng một dịch vụ bắt buộc trong chế độ truy nhập IP đơn giản của CDMA2000 khi di động của người sử dụng là hạn chế. Đây là trường hợp thường xẩy ra đối với các người kinh doanh khi truy nhập các mạng của hãng từ các điểm nóng như nhà chờ sân bay hay khách sạn. Dịch vụ này đòi hỏi thiết lập động một tunnel L2TP giữa PDSN phục vụ và mạng khác hàng. Thực tế, không thể phân bổ một PDSN cụ thể nơi có thể định nghĩa một tunnel bắt buộc cố định giữa hãng và nhà khai thác vô tuyến, vì thuê bao có thể sử dụng mọi PDSN làm mạng truy nhập vô tuyến nơi nó di chuyển đến.
Về mặt kiến trúc, có thể áp dụng dịch vụ bắt buộc trong các hệ thống CDMA2000 hay GPRS bằng cách cho phép thiết bị là điểm cuối của các giao thức hỗ trợ di động (như PDSN hay HA hay GGSN) cũng là điểm khởi đầu trao đổi lưu lượng với các mạng khách hàng thông qua một tập các tunnel cố định [5].
2.5 Thiết bị MVPN
2.5.1 Các MIP CLIENT
Khác với cổng phục vụ các nhu cầu của toàn bộ hay một phần sản phần mạng, các VPN client được thiết kế để thỏa mãn các yêu cầu nối mạng của một máy trạm. các VPN client vì thế có thể thực hiện trên mọi kiểu thiết bị tính toán, từ các máy thoại di động đến các máy xách tay cho đến thiết bị chuyên dùng như bộ độc mã vạch và thẻ tín dụng và các dụng cụ thông minh. Các VPN client được thiết kế cho môi trường di động cũng cần thỏa mãn các yêu cầu đặt thù di động như tối ưu các tài nguyên tính toán thường bị hạn chế, tiêu thụ nguồn và giao diện người sử dụng có khả năng thích ứng đối với các kích thước nhỏ của màn hình.
Các yêu cầu này được quan trọng khi các VPN client được lắp đặt hay kết hợp bên trong các PDA, các máy thoại thông minh và các thiết bị gọn nhẹ khác. Lưu ý rằng ở đây chỉ xét các VPN client sử dụng cho các MVPN tự nguyện dựa trên các tunnel đầu cuối-đầu cuối hay các chuỗi tunnel và nói chung VPN dựa trên mạng không đòi hỏi chức năng client [6].
a. Thực hiện MVPN client
Các MVPN client cho phép các thiết bị di động thiết lập và hỗ trợ các kênh thông tin VPN. Chúng có nhiều chức năng như: Truyền tunnel, nhận thực và trao quyền, các tùy chọn an ninh. Các MVPN client có thể thực hiện trong phần mềm (phải là việc kết hợp với hệ điều hành của thiết bị) và phần cứng hoặc được nối vật lý đến một thiết bị di động qua một giao diện ngoài hoặc một giao diện trong (như PCMCIA) hay lắp cố định bên trong thiết bị trong quá trình sản xuất [6].
b. Các chức năng MVPN
Các kết nối MVPN tự nguyện thường được khởi đầu bởi người sử dụng và người này thường yêu cầu không nhiều điều khiển truy nhập, nhận thực và các tùy chọn truyền tunnel. Vì thế chức năng của một VPN client (đặc biệt trong môi trường di động) thường bao gồm một tập con các chức năng của cổng VPN. Thông thường các MVPN client chỉ hô trợ một hoặc hai kiểu công nghệ truyền tunnel như client IPSec hay PPTP và L2TP.
Lưu ý thường thì các VPN client hữu tuyến được gọi tên theo công nghệ truyền tunnel (chẳng hạng IPSec client). Xu thế này có thể thay đổi thành một quy ước ít kỹ thuật hơn khi các nhà sản xuất cố gắng làm cho công nghệ trở nên trong suốt đối với khách hàng đầu cuối.
Hỗ trợ nhận thực của client thực hiện theo quy định của cổng VPN và phần còn lại của hạ tầng sử dụng trong mạng riêng mà thiết bị sẽ truy nhập. Các môi trường kết nối mạng hiện nay có xu thế dựa trên các phương pháp nhận thực RADIUS kết hợp cùng với thẻ an ninh (được gọi là các phương pháp nhận thức ba nhân tố để phân biệt với nhận thực hai nhân tố chỉ dựa trên tân người sử dụng và mật khẩu). Một VPN client được sử dụng trong các môi trường di động có thể không có khả năng di động khi mạng di động cơ sở xử lý di động trong suốt hoặc khả năng di động trong trong trường hợp client dựa trên MIP [6].
c. Các client dựa trên phần mềm
Kiểu thực hiện VPN client này là phổ biến nhất cho cả VPN hữu tuyến và vô tuyến nói chung thực hiện các client dựa trên phần mềm rẻ hơn, phân phối và hỗ trợ chúng dễ hơn và có thể loại bỏ hay cập nhật chúng khi cần. Tất cả các ưu điểm này đều đúng đối với các môi trường di động nhưng đều phải trả giá. Các client dựa trên trên phần mềm kém hiệu suất hơn đối với các thiết bị động tiêu thụ năng lượng thấp. chẳng hạng mã hóa dựa trên phần mềm 3DES được biết là rất kém hiệu suất so với thực hiện dựa trên phần cứng dẫn giảm hiệu năng và tăng trễ số liệu của người sử dụng. các chức năng xáo trộn (hasing) dựa trên phần mềm như MD-5 và SHA-1 cũng ảnh hưởng đến hiệu năng và trễ. Các ảnh hưởng này cùng với đường truyền vô tuyến không tin cậy có thể gây ra các hậu quả nghiêm trọng đối với các tốc độ bit tổng số liệu người sử dụng [6].
d. Các client dựa trên phần cứng
Hiện nay ít nhất các MVPN client dựa trên phần cứng trên thị trường, mặc dù nó cũng có thể được sử dụng vì một phần đáp ứng đối với các thiết bị di động phức tạp hơn. Có thể thực hiện các client phần cứng như các thiết bị bổ sung như các các card PCMCIA, các card thông minh hay phần cứng riêng nối đến thiết bị di động thông qua một trong số các giao diện khả dụng. Chúng cũng có thể được sản xuất dạng vi mạch hoặc tập vi mạch và được lắp trong thiết bị di động ngay trong khi sản xuất. Phương pháp cuối cùng có nhiều khả năng trở thành lựa chọn cho máy điện thoại di động đầu cuối sử dụng nguồn tiết kiệm, giá cả thấp và các phẩm chất hấp dẫn khác. Các giải pháp MVPN dựa trên phần cứng phải được chế tạo ở dạng phần sụn để theo kịp tiêu chuẩn thay đổi và phát triển của công nghệ. Lưu ý rằng thông thường một client phần cứng chỉ có thể thực hiện một tập con các chức năng VPN client (chẳng hạn chủ yếu tập trung lên tính toán) và để cho ứng dụng phần mềm thực hiện điều khiển giao diện người sử dụng [6].
e. Các yêu cầu về an ninh
Các yêu cầu về an ninh và nhận thực đối với các MVPN client có thể thường phải chặt chẽ hơn các khách hàng VPN cố định. Các VPN client cố định thường đặt trong các máy tính trong các khu nhà đóng kín chẳng hạn chống lại kẻ đột nhập. Tuy nhiên các MVPN client thường được hỗ trợ trong các thiết bị di động được mang theo người. Nên các thiết bị này thường bị ăn cắp, bị mất hay không có người canh giữ trong một thời gian dài nào đó. Điều này làm cho chúng dể trở thành không chỉ nạn nhân cho các kể ăn cắp tài sản mà còn cho mọi kẻ muốn truy nhập đến các tài nguyên trong mạng riêng từ thiết bị này. Có thể giải quyết các vấn đề an ninh bổ sung này bằng một loạt các biện pháp như định kỳ thỏa thuận lại với người sử dụng, các quy tắc quản trị account nghiên ngặt hơn và bắt buộc sử dụng các thẻ SercureID và các phương pháp nhận thực ba nhân tố khác [6].
2.5.2 Các cổng MVPN
Các cổng MVPN là nền tảng của MVPN. Trái với các MVPN client có chức năng đảm bảo nhu cầu kết nối của máy di động duy nhất, các cổng