CHƯƠNG 5: TRIỂN VỌNG TƯƠNG LAI VÀ XU THẾ PHÁT TRIỂN
5.1.2 Phương thức khụng trong suốt
Sự khỏc biệt cơ bản trong phương thức này là đường liờn kết từ GGSN tới nỳt mạng tương ứng được bảo vệ bằng cụng nghệ đường hầm. Điều đú cú nghĩa là cỏc
chức năng như xỏc thực và ấn định đặc tớnh cú thể triển khai hợp lý trờn cơ sở hạ tầng của nhà khai thỏc di động như minh họa trờn hỡnh 5.2.
Trong hỡnh 5.2, một kết nối IPsec đơn giản được thấy giữa GGSN và điểm truy nhập tới mạng cụng ty. Mỏy chủ xỏc thực người sử dụng cũng cú thể cung cấp dịch vụ người sử dụng quay số vào truy nhập từ xa ( RADIUS – Remote-access dial-in user service) với khả năng cho nhiều người sử dụng. Điều này cho phộp nhà khai thỏc chạy mỏy chủ tại dịa điểm của mỡnh nhưng cho phộp mỗi người sử dụng duy trỡ và quản lý cơ sở người sử dụng thuờ bao của anh ta theo cỏch mà một nhà cung cấp dịch vụ ứng dụng thực hiện. GGSN cú thể cũng hỗ trợ cỏc nhúm địa chỉ trờn cơ sở nhiều khỏch hàng và là hỗ trợ cỏc khụng gian nhiều địa chỉ thụng qua DHCP.
Hỡnh 5.2: GPRS khụng trong suốt
Trong cấu hỡnh này, việc xỏc thực và ấn định đặc tớnh ngày càng cú thể xảy ra ở địa điểm xảy ra của nhà cung cấp dịch vụ khỏch hàng hoặc cụng ty. Trong trường hợp
này, GGSN trong mạng nhà khai thỏc đúng vai trũ như bộ phận tập trung truy nhập L2TP ( LAC ) và tạo ra một đường hầm L2TP được bảo vệ theo IPsec tới mỏy chủ VPN đớch ( hỡnh 5.3).
Để dành được truy nhập qua mạng này, người sủ dụng cần nhập tờn và mật khẩu của anh ta vào thiết bị di động. Cỏc thụng tin này sau đú được gửi tới mỏy chủ xỏc thực phự hợp như được cấu hỡnh trong định nghĩa APN khụng trong suốt cho VPN cụng ty.
Hỡnh 5.3 Truy nhập GPRS khụng trong suốt với L2TP
Được bảo vệ theo IPsec
Thanh toỏn và cung cấp
Trong cả hai trường hợp, một bản ghi thanh toỏn kiểu RADIUS với tờn người sử dụng và mật khẩu định hướng dữ liệu được viết ra ( đối nghịch với bản ghi dựa trờn IMSI được viết ra trong trường hợp trong suốt ) . Trong trường hợp L2TP được bảo vệ
theo IPsec điều này làm cho hệ thống GPRS của nhà khai thỏc trụng giống như một bộ tập trung truy nhập khỏc vào phương tiện của một nhà cung cấp dịch vụ đó được thiết lập. Sự tồn tại của cỏc bản ghi tớnh cước theo kiểu RADIUS, gắn với tờn người sử dụng giỳp cho nhà cung cấp dịch vụ hoặc nhà khai thỏc dịch vụ dễ dàng hơn trong việc lập húa đơn tớch hợp, bao gồm cỏc mụ hỡnh tớnh cước theo thời gian kết nối hoặc dung lượng được sử dụng.
Trong phương thức khụng trong suốt, nhà khai thỏc khụng phải phõn bổ khụng gian địa chỉ cho thuờ bao. Một và chỉ một địa chỉ được ấn định cho thiết bị di động của người sử dụng từ khụng gian địa chỉ cụng ty của người sử dụng. Do đú, địa chỉ thường trỳ của người sử dụng di động được sở hữu và kiểm soỏt bởi tổ chức của anh ta chứ khụng phải một bờn thứ ba.
Với phương thức khụng trong suốt, GGSN của nhà khai thỏc được kết nối đến mạng Internet cụng cộng với cựng một mức bảo an như trường hợp đú. Nhiệm vụ chủ yếu của nhà khai thỏc là quản lý dung lượng và chất lượng của mạch này.
Tượng tự trong mụ hỡnh toàn trỡnh ( trong đú người sử dụng cần tải phần mềm mỏy khỏch trờn mỏy PC của họ để truy nhập tới mạng cụng ty của họ ), nhà khai khỏc di động cú một thị trường đặt trước điều kiện cho cỏc dịch vụ VPN đối với cỏc khỏch hàng đó từng sử dụng VPN qua cỏc cụng nghệ khỏc. Cỏc cụng ty trong điều kiện này đó vận dụng cơ sở hạ tầng VPN riờng của họ ( cỏc mỏy chủ cú chức năng đỏnh địa chỉ và xỏc thực ). Một chiến lược kinh doanh khụn ngoan ở đõy cú thể là hợp tỏc với một nhà cung cấp VPN chuyờn nghiệp để bổ sung phần truy nhập vụ tuyến vào hồ sơ dịch vụ.
Một khỏc biệt so với mụ hỡnh toàn trỡnh nờu trờn là khụng cần triển khai phần mềm trờn cỏc thiết bị được kết nối tới nhà khai thỏc di dộng. Với một VPN khụng trong suốt, người sử dụng bị hạn chế và khụng được tự do chuyển vựng tới cỏc dịch vụ Internet khỏc ( trừ khi được phộp truy nhập qua kết nối Internet của họ ).
Khớa cạnh bảo an
Đường hầm khụng trong suốt kết nối mạng lừi của nhà khai thỏc tới mỏy chủ VPN của cụng ty cú thể sử dụng cụng nghệ IPsec và do đú cũng cú thể triển khai mó húa mạnh. Tuy nhiờn, mó húa này, khụng thực hiện trờn toàn trỡnh. Dữ liệu chuyển tự
do đến mạng của nhà khai khỏc dịch vụ và được mó húa bởi giao thức mó húa vụ tuyến dành riờng ( với chiều dài mó 56 bit ) qua giao diện khụng gian. Một thiết bị di động đầy đủ chức năng cú thể gia tăng khả năng bảo an ( sử dụng mó 56 bit và giao thức lớp cổng bảo đảm ( SSL – Secure Socket Layer ) với bất kỳ số nào của cơ chế toàn trỡnh, bao gồm SSL hoặc IPsec phương thức vận chuyển ).
Một khớa cạnh bảo an quan trọng cho bất kỳ tổ chức nào sử dụng truy nhập GPRS khụng trong suốt là khi người sử dụng được xỏc thực, họ trở thành một phần của mụi trường Intranet và được coi là nằm trong bức tường lửa của cụng ty. Do đú, tổ chức đú khụng phải để lộ ra Internet cụng cộng bất kỳ mỏy chủ tương ứng nào do chỉ những người sử dụng đó được xỏc thực mới cú thể truy cập tới cỏc ứng dụng VPN.