Kiểu IP PDP

Một phần của tài liệu Công nghệ nối mạng riêng ảo di động MVPN cho 3G (Trang 62 - 67)

Kiểu IP PDP cho phộp cung cấp cỏc dịch vụ truy nhập mạng IP cho cả IPv4 và IPv6 bằng cỏch cung cấp kết nối lớp IP và cỏc dịch vụ cho MS. Để đơn giản trong chương này ta xột IPv4, vỡ trong một vài năm tới nú sẽ là xu thế cung cấp cỏc dịch vụ truy nhập mạng hóng và cỏc dịch vụ IP tiờn tiến.

Cỏc giải phỏp dựa trờn kiểu PDP này bao gồm cỏc cỏch khỏc nhau để ấn định địa chỉ IP, lập cấu hỡnh mỏy trạm, và kết nối lớp thấp hơn đến mạng IP. Giỏ trị phần nhận dạng mạng của APN (NI) được gửi đến GGSN trong yờu cầu Create PDP context (tạo lập ngữ cảnh PDP) sẽ quyết định tổ hợp nào trong cỏc khối cơ sở của cỏc dịch vụ này được sử dụng cho cỏc phiờn dựa trờn cấu hỡnh của GGSN. Ngoài ra, cú thể cung cấp thụng tin khỏc tại GGSN trờn cơ sở ANP-NI như chặng tiếp theo cho gúi đường lờn (trong trường hợp này, nú giỳp cho định tuyến cỏc gúi đến cỏc nơi nhận phự hợp trờn cơ sở APN, chẳng hạn đến một ISP hay mạng khỏc liờn kết với cỏc APN khỏc nhau).

3.1.2.1. Kiểu IP đơn giản

Một APN được lập cấu hỡnh cho chế độ truy nhập kiểu chế độ IP đơn giản đảm bảo cỏc kiểu dịch vụ sau:

 Kết dựa trờn nối lớp 2 (ATM, MPLS, chuyển tiếp khung, PPP,…) hay trờn tunnel (chế độ IPSec tunnel, IP/IP, GRE,…) đến mạng ngoài.

 Khả năng giao diện đến một server AAA để thực hiện nhận thực IMSI hay MSISDN hay ấn định địa chỉ IP dựa trờn Radius.

 Sử dụng thanh toỏn RADIUS để thụng tin cỏc sự kiện liờn quan đến phiờn cho cỏc server thanh toỏn hay cỏc server ứng dụng.

 Ấn định địa chỉ IP tĩnh hoặc động.

 Tớch cực PDP context khởi xướng bởi mạng.

Khi PDP context khởi xướng bởi mạng được hỗ trợ, địa chỉ IP cần được liờn kết cố định với IMSI của MS. Địa chỉ IP này được ấn định bằng cỏch sử dụng cỏc nhúm địa chỉ tại GGSN hay RADIUS hay DHCP client, nú được thụng bỏo cho MS trong IE địa chỉ của người sử dụng đầu cuối của trả lời GTP Create PDP context (tạo lập ngữ cảnh PDP) và cỏc bản tin tiếp nhận Activate PDP Context (tớch cực PDP context) của RIL3.

Hạn chế lớn nhất của chế độ truy nhập này là mụ hỡnh tin tưởng của nú, trong mụ hỡnh này mạng ngoài hoàn toàn dựa vào mạng vụ tuyến để đảm bảo nhận thực người sử dụng. Khụng cú cả bớ mật của người sử dụng (mật khẩu) lẫn nhận thực hai yếu tố (bớ mật của người sử dụng và mó do thẻ tạo ra tại một thời điểm) để ngăn chặn người nào đú nắm được bớ mật của một đầu cuối, tỡnh cờ hoặc cú dụng ý xấu, cú thể truy nhập mạng liờn kết với APN, nếu người chủ thực sự của đầu cuối mất khả năng, cần thiết chốn PIN để MS kết nối cỏc dịch vụ PS. Vỡ thế chế độ này thớch hợp nhất để cung cấp truy nhập đến cỏc ứng dụng và cỏc dịch vụ khụng yờu cầu nhận thực người sử dụng. Ngoài ra nếu một ứng dụng truy nhập qua IP đơn giản yờu cầu nhận thực người sử dụng chớnh xỏc cho cỏc giao dịch nhạy cảm, cú thể sử dụng nhận thực dựa trờn đăng nhập và mật khẩu trong phiờn TLS.

Mặt khỏc chế độ truy nhập này thớch hợp nhất cho cỏc dịch vụ đũi hỏi tương tỏc tối thiểu giữa người sử dụng và đầu cuối để thiết lập kết nối. Nếu kết hợp với sử dụng nhận thực và thanh toỏn RADIUS, chế độ này cũng cú thể được sử dụng để đảm bảo ký giao kốo đơn lẻ bằng cỏch truyền thụng tin liờn quan đến phiờn cho một lớp truy nhập cỏc dịch vụ cú nhiệm vụ phõn phối nhận dạng người sử dụng và địa chỉ IP được dựng để sắp đặt cỏc ứng dụng. Thực chất, lớp truy nhập dịch vụ cú thể "biết" cỏch chuyển đổi địa chỉ IP thành IMSI hay MSISDN thụng qua ấn định địa chỉ IP dựa trờn RADIUS, hay quỏ trỡnh bỏo cỏo về chuyển đổi địa chỉ IP vào nhận dạng người sử dụng (IMSI hay MSISDN) thụng qua cỏc bản tin thanh toỏn của RADIUS. Hiện nay quỏ trỡnh chuyển đổi địa chỉ IP vào ID của người sử dụng chủ yếu được sử dụng trong cỏc cổng WAP hay HTTP proxy (đại diện HTTP) để cung cấp cỏc tớnh năng tớnh cước và quy định nội dung tiờn tiến.

Bỡnh thường, IP đơn giản sẽ được sử dụng cho cỏc ứng dụng trỡnh duyệt dựa trờn Web hoặc WAP. Một khả năng ứng dụng khỏc của chế độ truy nhập mạng này là cỏc VPN đầu cuối-đầu cuối, nghĩa là truy nhập mạng từ xa dựa trờn client. Truy nhập mạng dựa trờn client đũi hỏi cỏc địa chỉ IP cú khả năng định tuyến cụng cộng, nếu khụng chấp nhận ỏp dụng IKE (Internet Key Exchange) phi tiờu chuẩn. Tuy nhiờn điều kiện sau đũi hỏi nhà cựng cấp dịch vụ và hóng phải thỏa thuận sẽ chọn nhà cung cấp client và cổng và điều này ớt thấy trong thực tế. Mới đõy, một số đề xuất truyền qua IPSec NAT cho IETF để sử dụng cỏc địa chỉ riờng cú thể cú cho hoạt động chế độ IPSec tunnel, nhờ vậy giảm bớt hạn chế khi phải sử dụng cỏc địa chỉ IP cụng cộng.

Trong IP đơn giản, sử dụng phần tử thụng tin chế độ chọn (Selection Mode IE) trong yờu cầu Create PDP context cú thể cung cấp cho GGSN bằng chứng về quyền truy nhập APN của thuờ bao, nếu thuộc tớnh của chế độ chọn được đặt bằng 0, nghĩa là "MS hay mạng được cung cấp APN, đăng ký đó được kiểm tra". Tất nhiờn nếu sự tớn nhiệm về thụng tin này là cơ sở cho hoạt động của dịch vụ, thỡ cần bảo vệ bỏo hiệu GTP bằng cỏc biện phỏp an ninh để bảo tồn tớnh toàn vẹn. Một cỏch khỏc, GGSN cú thể yờu cầu một AAA server bằng RADIUS Access Accept (tiếp nhận truy nhập RADIUS) chứa

MSISDN của người sử dụng hay IMSI RADIUS 3GPP VSA (như mụ tả trong [3GPP TS29.061]), để cú thể thực hiện nhận thực người sử dụng dựa trờn thụng tin IMSI hay MSISDN tin tưởng do mạng cung cấp. Trong trường hợp này, tờn người sử dụng và mật khẩu trong Access Request (yờu cầu truy nhập) phải được chứa trong một số giỏ trị giả. Ngoài ra cũng cần bảo vệ thụng tin về IMSI hay MSISDN được mang trong bỏo hiệu GTP, để cú thể bảo tồn tớnh toàn vẹn của nú (nếu cần cả tớnh bảo mật của nú). Thụng thường điều này đạt được bằng cỏch sử dụng GTP được bảo vệ bởi IPSec.

Trong trường hợp này cú thể ấn định cỏc địa chỉ IP thụng qua tập địa chỉ IP tại chỗ, RADIUS hay DHCP client. Cũng cú thể cung cấp địa chỉ IP tĩnh, trong thực tế việc sử dụng cỏc địa chỉ IP tĩnh là cần thiết để tớch cực PDP context do mạng khởi xướng.

Lập cấu hỡnh host (mỏy chủ) lại là một lĩnh vực khỏc, trong đú giải phỏp này khụng mạnh như cỏc giải phỏp khỏc. Với IP đơn giản, người sử dụng phải lập cấu hỡnh bằng tay cho MS, cú thể với hỗ trợ của một số cụng cụ phần mềm được trang bị cựng với gúi thuờ bao trờn CD-ROM để cài đặt, với địa chỉ IP của cỏc NetBIOS (Network Basic Input-Output System) server hay cỏc server DNS. Túm lại chế độ truy nhập này thớch hợp cho cỏc đầu cuối đơn giản để truy nhập đến cỏc ứng dụng cú thể giải quyết vấn đề nhận thực người sử dụng chặt chẽ độc lập với nhận thực truy nhập mạng vụ tuyến.

3.1.2.2. IP với cỏc tựy chọn cấu hỡnh giao thức PCO

Phương phỏp truy nhập IP với kiến trỳc truy nhập PCO (Protocol Configuration Options: Cỏc tựy chọn cấu hỡnh giao thức) được mụ tả trờn hỡnh 3.2.

Hỡnh 3.2. Kiến trỳc IP với chế độ truy nhập dựa trờn PCO

Bản tin Create PDP context cú thể chứa PCO IE (Protocol Configuration Options Information Element). IE này là một cụngtenơ trong suốt chứa cấu hỡnh mỏy trạm và thụng tin nhận thực được trao đổi giữa cỏc phần tử TE (Terminal Equipment) và MT (Mobile Terminal) của MS. TE cú thể sẽ là mỏy tớnh để bàn hay một thiết bị khỏc giao diện với MT qua liờn kết dựa trờn PPP. Nhận thực PPP dựa trờn "No Auth" PAP (Password Authentication Protocol) hay CHAP (Challenge Handshake Authentication

Protocol). MT luụn luụn nhận thực thành cụng TE, thu thập tư liệu nhận thực từ TE và chuyển vào giai đoạn IPCP (Internet Protocol Control Protocol). Tư liệu nhận thực này và yờu cầu lập cấu hỡnh IPCP sau đú được đặt vào PCO IE trong yờu cầu Activate PDP context gửi đến SGSN, sau đú yờu cầu này lại được gửi tiếp đến GGSN trong bản tin yờu cầu Create PDP Context. GGSN sử dụng thụng tin này để nhận thực MS. Sau khi MS được nhận thực, GGSN quyết định nờn gửi thụng tin cấu hỡnh mỏy trạm nào đến MS (bao gồm một địa chỉ IP cho MS, địa chỉ IP của cỏc server DNS sơ cấp hoặc thứ cấp) bằng cỏch sử dụng một PCO IE trong trả lời Create PDP context.

Chế độ truy nhập dựa trờn kiểu IP PDP này cho phộp hai lớp cựng mức hay kết nối theo tunnel đến mạng liờn kết với APN như trong trường hợp IP đơn giản, nú bổ sung thờm khả năng thực hiện nhận thực người sử dụng đối với mạng vụ tuyến dựa trờn một bớ mật dựng chung giữa thực thể quản lý mạng ngoài và người sử dụng đầu cuối, vỡ thế cho phộp mức an ninh chặt chẽ hơn chế độ IP đơn giản. Điểm yếu duy nhất trong mụ hỡnh này là kẻ cú ý đồ xấu cú thể tỡm được cặp hụ lệnh/trả lời được gửi trong PCO IE và sau đú sử dụng lại nú để truy nhập mạng. Thực chất, chế độ truy nhập mạng này khụng cho phộp GGSN (hay hệ thống AAA) tạo ra hụ lệnh đối với MS, vỡ thế khụng bị cỏc tấn cụng này, trừ phi kẻ xấu cú thể sử dụng một tổ hợp núi nghe để tạo ra cặp hụ lệnh/trả lời bị ăn cắp này, nhưng đõy khụng phải là một việc đơn giản. Điểm yếu liờn quan đến cỏc tấn cụng dựa trờn phỏt lại này cú thể cú trong kiểu PPP PDP, ở cỏc dạng chuyển tiếp hay kết cuối PPP.

Bằng cỏc định nghĩa tờn người sử dụng theo khuụn dạng [RFC2486], trong đú khỏi niệm NAI (Network Access Identifier) được đưa ra để định nghĩa tờn người sử dụng với khuụn dạng "user@domain". IP với chế độ truy nhập PCO cho phộp sử dụng GGSN trong một mạng khỏch, nếu cú khả năng chuyển mạng mức AAA. Ngoài ra bằng cỏch thay đổi phần tử miền, cú thể lập cấu hỡnh một số dịch vụ IP thụng minh để trả lời bằng thuộc tớnh ID của bộ lọc, hay cỏc thuộc tớnh khỏc RADIUS tờn của dịch vụ mà nú định nghĩa (về cỏc chớnh sỏch truy nhập mạng), cú thể nhận được từ một LDAP hay kho lưu số liệu cấu hỡnh về cỏc chớnh sỏch dịch vụ tương đương. Cỏc chớnh sỏch dịch vụ khỏc nhau cú thể cho phộp GGSN định lại tuyến cỏc gúi đến cỏc mạng khỏc nhau tựy thuộc vào phần tử miền của tờn người sử dụng để cho phộp thuờ bao chọn một mạng đặc thự và dịch vụ mà mạng cung cấp dựa trờn giỏ trị này.

Ngoài ra bằng cỏch bổ sung thờm "3GPP-GGSN-MCC-MNC" RADIUS Vendor- Specific Attribute (VSA: Thuộc tớnh đặc thự nhà cung cấp thiết bị) cho cỏc bản tin RADIUS, khi một GGSN trong mạng khỏch được sử dụng tại AAA server nhà, cú thể ỏp dụng cỏc chớnh sỏch phụ thuộc mạng khỏch. Hệ thống con AAA cũng cú thể khởi động cỏc ứng dụng trong mạng nhà để phỏt đến MS nội dung push đặc thự mạng khỏch, như tin tức địa phương hay bỏo động. AAA server trong mạng nhà thực chất cú thể lệnh cho cỏc server push trong mạng nhà khởi đầu cỏc phiờn push (đẩy) với MS bằng cỏch sử dụng địa chỉ cú trong Accouting Request START (bắt đầu yờu cầu thanh toỏn) nhận

được từ mạng nhà. Một cỏch khỏc, nếu GGSN nằm trong mạng nhà, một chức năng tương đương sẽ được cung cấp bằng cỏch sử dụng "3GPP-SGSN-IP address" RADIUS VSA để xỏc định xem hiện người sử dụng đang tại nhà hay đó chuyển mạng. Bằng cỏch tra cứu DNS ngược cũng cú thể nhận được thụng tin bổ sung và nhận dạng nhà cung cấp hiện thời hay xỏc định thụng tin vị trớ địa lý.

3.1.2.3. Chuyển tiếp DHCP và MIPv4

R99 của cỏc tiờu chuẩn 3GPP đó tăng cường cỏc đặc tả GPRS để cho phộp lập cấu hỡnh APN khi hỗ trợ dịch vụ DHCP Relay (chuyển tiếp DHCP) hay chức năng MIP FA (Foreign Agent). Hỡnh 3.3 mụ tả kịch bản phương phỏp truy nhập DHCP Relay điển hỡnh.

Hỡnh 3.3. DHCPv4 trong cỏc hệ thống GPRS

Khi một yờu cầu Create PDP context được phỏt đến GGSN để lập cấu hỡnh APN nhằm hỗ trợ DHCP hay MIP FA, một trả lời Create PDP context được gửi ngược lại SGSN ngay lập tức mà khụng cú bất cứ nhận thực người sử dụng nào khỏc với ở chế độ truy nhập đơn giản. Trả lời này định nghĩa một GTP tunnel và một kờnh mang đến một MS mà khụng cú bất cứ địa chỉ MS IP nào liờn kết với nú. Tunnel này cú thể được sử dụng để trao đổi cỏc bản tin cấu hỡnh DHCP hay cỏc quảng cỏo MIP và cỏc bản tin đăng ký. Sau đú MS sẽ được ấn định một địa chỉ IP bằng cỏch sử dụng DCHP hay cỏc phương phỏp MIP. Truy nhập mạng sẽ nhận được bằng cỏch sử dụng cỏc phương phỏp đúng bao gúi bởi MIP hay bằng cỏch sử dụng lớp liờn kết và cỏc cụng nghệ truyền tunnel được định nghĩa cho IP đơn giản khi DHCP đó được lập cấu hỡnh.

Chế độ truy nhập DHCP được sử dụng khi cỏc phương phỏp lập cấu hỡnh mỏy trạm và khi chế độ truy nhập "giống LAN" được yờu cầu. Chế độ truy nhập giống LAN đặc biệt thớch hợp cho cỏc thiết bị vụ tuyến đũi hỏi phỏt hiện nhiều thụng tin liờn quan đến

dịch vụ như HTTP hay địa chỉ IP của đại diện SIP. Núi chung, nhận thực người sử dụng trong phương phỏp này cũng gặp phải cỏc nhược điểm giống như trong chế độ IP đơn giản. Tuy nhiờn ở đõy nhận thực người sử dụng cú thể được tăng cường bằngcỏch sử dụng nhận thực DHCP [RFC3118].

Chế độ truy nhập MIPv4 cũng phự hợp cho chế độ truy nhập “giống LAN”, vỡ nú hỗ trợ chuyển giao giữa GPRS/UMTS và cỏc cụng nghệ truy nhập khỏc như WLAN. Lưu ý rằng truy nhập dựa trờn WLAN là chủ yếu trong nhiều triển khai ở cỏc điểm núng, nú thể hiện tốc độ số liệu cao và giỏ thành trờn byte rẻ. Cỏc mạng GPRS/UMTS/ WLAN kết hợp dựa trờn MIP cú thể dược triển khai rộng rói trong tương lai, sau khi đó giải quyết cỏc vấn đề tiờu chuẩn và an ninh và khi xuất hiện cỏc thiết bị người sử dụng cú khả năng và cho phộp tương hợp.

Một phần của tài liệu Công nghệ nối mạng riêng ảo di động MVPN cho 3G (Trang 62 - 67)

Tải bản đầy đủ (DOC)

(100 trang)
w