Nhận thực, trao quyền và thanh toỏn cho dịchvụ MVPN

Một phần của tài liệu Công nghệ nối mạng riêng ảo di động MVPN cho 3G (Trang 94 - 100)

Cả MIP lẫn L2TP tự mỡnh đều khụng cung cấp cỏc cơ chế khả định cỡ (cú khả năng thay đổi kớch cỡ) để điều khiển truy nhập hay thanh toỏn. MIP cơ sở khụng đặc tả cỏc mở rộng cú thể sử dụng để nhận thực MN với FA hay FA với HA, nhưng cỏc mở rộng này khụng là bắt buộc và chỳng coi rằng đó cú sự cỏc bớ mật dựng chung được lập cấu hỡnh trước giữa cỏc thực thể này. Đõy sẽ là vấn đề, vỡ mạng TTDĐ cdma2000 cụng cộng toàn cầu sẽ bao gồm rất nhiều cỏc mạng con hay cỏc miền thuộc sở hữu của nhiều hóng, nhiều nhà khai thỏc, nhiều ISP hữu tuyến và ASP. Cỏc mạng của nhà khai thỏc vụ tuyến khỏch hỗ trợ cỏc PDSN sẽ chờ đợi trả tiền cho cỏc dịch vụ số liệu vụ tuyến từ người sử dụng di động hay miền nhà của người sử dụng. Để được sự đảm bảo trả tiền, kiến trỳc mạng lừi cdma2000 phải hỗ trợ mạng AAA khả định cỡ bao gồm cỏc AAA server cung cấp nhiều dịch vụ được kết nối với nhau chứ khụng phải một nhúm cỏc AAA server khụng kết nối cũng như liờn lạc với nhau.

3.2.6.1. Kiến trỳc cdma2000 AAA

Trong phần này ta sẽ phõn tớch chi tiết kiến trỳc AAA kiểu cdma2000 và ảnh hưởng của nú lờn cỏc dịch MVPN. Để đảm bảo hoạt động AAA bền vững cho truy nhập mạng riờng, cần mở rộng thờm một bước khỏi niệm hạ tầng AAA khỏch-nhà phõn bố. Để thỏa món tốt hơn yờu cầu đối với cỏc phương phỏp truy nhập mạng riờng khỏc nhau và giảm nhẹ trao đổi đồng cấp mà khụng cần thiết lập trước cỏc thỏa thuận, cần phỏt triển kiến trỳc ở dạng kiến trỳc AAA khỏch-mụi giới-nhà như thấy ở hỡnh 3.20. Kiến trỳc này đó được phỏt triển với mục đớch hơi giống như GRX trong nối mạng GPRS đó xột, để giảm nhẹ kiến trỳc mạng được chia sẻ bởi nhiều thực thể riờng đồng cấp như ISP, ASP, cỏc

mạng hóng và cỏc nhà khai thỏc di động. Lưu ý rằng nhu cầu GRX trong GPRS là để đồng cấp BGP chứ khụng phải đồng cấp cỏc AAA server.

MS truy nhập mạng riờng qua mạng truy nhập do một đối tỏc thứ ba cung cấp cần được nhận thực bởi cả hai mạng. Kết quả là, MS được nhận dạng đối với mạng truy nhập bởi ID của mỡnh (IMSI chẳng hạn), và đối với mạng riờng bởi NAI. Như hỡnh 3.20, nhận dạng này đũi hỏi chức năng AAA tại cả mạng khỏch lẫn mạng nhà. Trong cdma2000, chức năng này được thực hiện bởi RADIUS AAA client (thường được đặt trong PDSN) và server mạng khỏch, và RADIUS AAA client (thường được đặt trong HA đối với MIP và LNS đối với IP VPN đơn giản) và server mạng nhà.

Hỡnh 3.20. Kiến trỳc AAA dựa trờn cdma2000 RADIUS và mụ hỡnh tham khảo giao thức

Ngoài nhận thực và trao quyền MS trong thụng tin cdma2000, khi cần truy nhập mạng riờng, cỏc yờu cầu nhận thực được gửi đi từ AAA server khỏch liờn kết với PDSN đến AAA server nhà liờn kết với HA và trả lời trao quyền được gửi theo phớa ngược lại. Thụng tin thanh toỏn khi này cũng được lưu trong AAA server khỏch và tựy chọn được gửi đến AAA nhà bằng cỏch sử dụng giao thức AAA tin cậy và sau đú được gửi đến hệ thống tớnh cước. Đối với dịch vụ VPN, thụng tin thanh toỏn cú thể gồm cỏc thụng số như NAI, QoS, nhận dạng phiờn đối với dịch vụ IP đơn giản và địa chỉ nơi nhận. Thụng tin AAA nhà-khỏch (được xõy dựng trờn một cơ chế truyền tải tin cậy) cú thể được tựy chọn bảo vệ bởi IPSec và cú khả năng phõn phối bớ mật dựng chung cho IKE.

Mụ hỡnh này căn bản như nhau đối với cả IP VPN đơn giản lẫn MIP VPN và cú thể bao gồm cả cỏc phần tử tựy chọn như server đại diện RADIUS và cỏc bộ mụi giới AAA (sẽ trỡnh bầy dưới đõy). Tựy chọn, truyền thụng tin này cũng cú thể được đảm bảo an ninh bởi IPSec để cung cấp một liờn kết an ninh giữa MS, PDSN và HA (hay LNS trong trường hợp IP đơn giản) và hỗ trợ phõn phối khúa động sử dụng IKE.

3.2.6.2. Mụi giới cdma2000 AAA

Hạ tầng AAA nhà/khỏch vừa được trỡnh bầy được thiết kế để phục vụ mạng nhà và mạng khỏchvới quan hệ được thiết lập trước qua SLA. Trong cỏc trường hợp cỏc quan hệ này khụng được thiết lập nhưng MS khỏch yờu cầu dịchvụ số liệu, cần sử dụng mụi giới AAA. Ta sẽ xột kỹ hơn về mụi giới này. Cỏc server nhà và khỏch cú thể cú quan hệ hai chiều trực tiếp. Tuy nhiờn kiến trỳc TTDĐ cú mặt trong hàng nghỡn miền với rất nhiều mạng riờng thuộc sở hữu của cỏc cụng ty, hóng yờu cầu dịch vụ số liệu vụ tuyến cho cỏn bộ di động của họ. Nếu số miền nhỏ, cỏc mạng đang phục vụ và mạng nhà cú thể cú cỏc quan hệ trước (được đảm bảo an ninh qua cỏc liờn kết an ninh IP). Tuy nhiờn đõy khụng phải là một giải phỏp khả thi, nú sẽ đũi hỏi quỏ nhiều cỏc quan hệ hai chiều được thiết lập trước từng đụi một.

Cỏc bộ mụi giới AAA chứa cỏc thư mục cho phộp cỏc yờu cầu AAA được định tuyến dựa trờn NAI đến cỏc mạng nhà hay cỏc bộ mụi giới khỏc biết được vị trớ của mạng nhà. Cỏc mụi giới cũng cú thể nhận vai trũ tài chớnh trong việc thiết lập cỏc thanh toỏn giữa cỏc miền và cú thể xử lý cỏc bản tin thanh toỏn cho cỏc yờu cầu truy nhập mạng mà chỳng cho phộp. Do mạng khỏch sẽ khụng cung cấp dịch vụ nếu nú khộng nhận được nhận thực từ mạng nhà của người sử dụng di động hay từ một bộ mụi giới nhận trỏch nhiệm tài chớnh, kiến trỳc AAA phải là kiến trỳc tin cậy. Điều này cú nghĩa là cỏc server phải phỏt lại cỏc yờu cầu và chuyển mạch sang cỏc server dự phũng khi xẩy ra sự cố của khối sơ cấp.

Cỏc mạng AAA phải hỗ trợ ba chế độ hoạt động của bộ mụi giới:

 Chế độ khụng trong suốt (khụng đại diện), khi cỏc bộ mụi giới kết cuối cỏc yờu cầu đến và đi từ cỏc AAA server khỏch và nhà và khởi xướng cỏc yờu cầu mới thay mặt cho chỳng. Trong chế độ này, bộ mụi giới được phộp thay đổi nội dung và cỏc thuộc ngữ (thụng số) của cỏc bản tin. Chế độ này cú lẽ sẽ được sử dụng khi bộ mụi giới được phộp hoạt động tài chớnh thay mặt cho cỏc mạng khỏch.  Chế độ trong suốt khi mụi giới khụng được trao quyền thay đổi cỏc bản tin AAA

và chỉ được phộp chuyển hướng đến cỏc điểm tương ứng của nơi nhận.

 Chế độ chuyển hướng, trong đú cỏc AAA server giới thiệu nhà cung cấp dịch vụ đến một AAA server khỏc.

Một nhiệm vụ quan trọng khỏc của bộ mụi giới AAA là giảm nhẹ cỏc dịch vụ chuyển mạng. Cỏc dịch vụ chuyển mạng cho phộp cỏc người sử dụng di động bờn ngoài

vựng phủ nhà khai thỏc của họ cú thể sử dụng cỏc mạng của cỏc nhà khai thỏc khỏc để truy nhập internet cụng cộng hay cỏc mạng riờng.

3.2.6.3. Nhỡn từ phớa MIP VPN

Trong trường hợp MIP VPN, khi MS truy nhập HA trong mạng riờng, nhà cung cấp truy nhập vụ tuyến (người sở hữu PDSN) khụng được tham gia vào liờn kết an ninh giữa MS và mạng nhà của nú. Đõy là một yờu cầu nữa mà kiến trỳc cdma2000 AAA phải tuõn thủ. Bằng thụng số mức an ninh TIA trong bản tin tiếp nhận truy nhập (Accesss Accept), AAA server nhà cú khả năng trao quyền PDSN trờn cơ sở từng người sử dụng để tựy chọn sử dụng IPSec trờn cỏc bản tin đăng ký và số liệu truyền tunnel.

Nếu AAA server nhà chỉ ra rằng cần sử dụng liờn kết IP an ninh giữa PDSN và HA, PDSN sẽ cung cấp cỏc dịch vụ IPSec. Nếu khụng cú liờn kết an ninh nào, PDSN sẽ tỡm cỏch thiết lập liờn kết an ninh bằng cỏch sử dụng chứng chỉ HA X.509. Nếu khụng tồn tại chứng chỉ X.509, nhưng chứng chỉ gốc tồn tại, PDSN tỡm cỏch thiết lập liờn kết an ninh mà nú nhận được trong giai đoạn 1 IKE. Nếu cỏc chứng chỉ khụng tồn tại, PDSN tỡm cỏch sử dụng bớ mật dựng chung phõn bố động nhận được trong bản tin chấp nhận truy nhập. Nếu khụng bớ mật dựng chung nào được gửi, PDSN tỡm cỏch sử dụng bớ mật dựng chung thiết lập trước được lập cấu hỡnh tĩnh, nếu cú. Nếu PDSN khụng nhận được thụng số mức an ninh 3GPP2 từ RADIUS server nhà, nú tiếp tục sử dụng liờn kết an ninh cũ. Nếu khụng tồn tại liờn kết an ninh, PDSN sẽ tuõn theo chớnh sỏch an ninh được lập cấu hỡnh tại chỗ.

3.2.6.4. Nhỡn từ phớa Simple IP VPN

Đối với chế độ truy nhập IP VPN đơn giản, kiến trỳc AAA khụng chứa HA. Trỏi lại hoạt động của nú được hỗ trợ bởi LNS, như đó trỡnh bầy trước đõy. AAA server phải định vị được LNS cung cấp truy nhập đến mạng nhà của người sử dụng. Vỡ thế cỏc AAA server đại diện trong cỏc mạng của nhà cung cấp dịch vụ liờn quan phải được thiết lập để định vị LNS. Sau khi LNS được xỏc định vị trớ, L2TP tunnel được thiết lập giữa LNS và PDSN (nơi mà MS yờu cầu dịch vụ). Địa chỉ MS IP được ấn định bởi LNS sau khi tunnel được thiết lập. Vỡ MS khụng tham gia và cỏc quyết định định tuyến giữa cỏc điểm cuối tunnel, cỏc địa chỉ cú đăng ký lẫn khụng đăng ký đều cú thể được ấn định cho MS. AAA server khỏch ghi lại bản ghi thanh toỏn và gửi bản tin yờu cầu thanh toỏn (Accounting Request) đến AAA server nhà nếu xẩy ra chuyển mạng.

Ta xột chuỗi cỏc sự kiện AAA xẩy ra khi khởi đầu mạng riờng IP đơn giản. Khi một MS IP đơn giản khởi đầu kết nối đến PDSN, PDSN tạo ra một bản tin yờu cầu truy nhập (Access Request) và gửi nú đến AAA server nhà để nhận thực. Yờu cầu được nhận thực thành cụng và bản tin chấp thuận truy nhập chứa kiểu truyền tunnel "L2TP" được gửi ngược trở lại đến AAA server khỏch. PDSN khởi đầu L2TP tunnel nếu nú chưa được thiết lập và gửi bản tin yờu cầu thanh toỏn (Accounting Request) cho mục đớch tớnh cước để ghi lại thời điểm bắt đầu dịch vụ. Khi dịch vụ khụng cũn được yờu cầu nữa, phiờn

người sử dụng L2TP và tunnel kết thỳc. Cuối cựng PDSN gửi bản tin yờu cầu thanh toỏn khỏc để ghi lại thời gian dừng dịch vụ.

KẾT LUẬN

Sự bựng nổ của cỏc hệ thống thụng tin di động và cũng như sự phỏt triển khụng ngừng của Internet đó tạo ra một cuộc cỏch mạng thụng tin mới, tỏc động mạnh mẽ tới mọi mặt của đời sống kinh tế - chớnh trị - xó hội của tất cả cỏc quốc gia trờn toàn thế giới. Để đỏp ứng cỏc nhu cầu về chất lượng và dịch vụ ngày càng cao của người sử dụng cũng như để gia tăng lợi nhuận, cỏc nhà cung cấp vẫn luụn tỡm kiếm và đầu tư vào cỏc phương thức và cụng nghệ mới. Và Internet được xem là mụi trường được lựa chọn để truyền thụng cho cỏc mục đớch kinh doanh. Tuy nhiờn, đõy lại là một mạng dựng chung cụng cộng khụng thể cung cấp cỏc tớnh năng riờng tư và đảm bảo an ninh cho người sử dụng. Vậy một vấn đề đặt ra đú là làm thế nào cú thể sử dụng Internet cho cỏc cỏch thức truyền thụng riờng tư và thụng tin người dựng phải được đảm bảo. Cụng nghệ nối mạng riờng ảo di động MVPN chớnh là một trong những giải phỏp để giải quyết vấn đề này. Cụng nghệ MVPN đỏp ứng và điều chỉnh tốt cỏc nhu cầu khỏc nhau của người sử dụng. Triển khai MVPN đem lại nhiều lợi ớch cho cả người sử dụng lẫn nhà khai thỏc. Đối với cỏc khỏch hàng được phộp, nú đảm bảo truy nhập mạng an ninh với giỏ thành dịch vụ chấp nhận được. Đối với cỏc nhà cung cấp dịch vụ, nú tăng doanh thu nhờ cung cấp cỏc dịch vụ mới cho khỏch hàng và tăng khả năng cạnh tranh của hóng. Do vậy việc nghiờn cứu cụng nghệ MVPN là một yờu cầu thiết yếu.

Được sự hướng dẫn tận tỡnh của thầy giỏo TS. Nguyễn Phạm Anh Dũng và nỗ lực bản thõn, trong khuụn khổ đề tài này, em xin trỡnh bày những vấn đề chủ yếu sau về MVPN:

 Tổng quan cỏc cụng nghệ nối mạng số liệu vụ tuyến  Tổng quan cụng nghệ nối mạng riờng ảo VPN

 Chuyển VPN từ hữu tuyến sang vụ tuyến - MVPN.  Cỏc giải phỏp MVPN cho GPRS/UMTS và CDMA2000.

Hiện nay, MVPN là đề tài tương đối rộng và vẫn cũn rất mới mẻ, việc nghiờn cứu chủ yếu dựa trờn lý thuyết. Mong rằng MVPN sẽ sớm được triển khai trong thực tế để chỳng ta cú điều kiện để nghiờn cứu thờm.

Do hạn chế về thời gian và năng lực cú hạn, việc nghiờn cứu lại chủ yếu dựa trờn lý thuyết nờn chắc chắn đề tài khụng thể trỏnh khỏi những thiếu sút. Em rất mong nhận được sự chỉ bảo và gúp ý của cỏc thầy cụ giỏo và cỏc bạn để đề tài được chớnh xỏc, đầy đủ và hoàn thiện hơn.

Để hoàn thiện được đồ ỏn này, em đó nhận được sự chỉ bảo, giỳp đỡ tận tỡnh của cỏc thầy cụ, gia đỡnh và bạn bố, đặc biệt là của thầy giỏo TS. Nguyễn Phạm Anh Dũng.

TÀI LIỆU THAM KHẢO

Tài liệu tiếng Việt:

[1] TS. Nguyễn Phạm Anh Dũng, “ Thụng tin di động GSM", Giỏo trỡnh, Học Viện CN BCVT, Nhà xuất bản Bưu Điện, 1999.

[2] TS. Nguyễn Phạm Anh Dũng, “Thụng tin di động", Giỏo trỡnh, Học Viện CN BCVT, Nhà cuất bản Bưu Điện, 2001.

[3] TS. Nguyễn Phạm Anh Dũng, “Thụng tin di động thế hệ 3", Trung Tõm Thụng Tin Bưu Điện, Nhà xuất Bản Bưu Điện, 2001.

[4] TS. Nguyễn Phạm Anh Dũng, “Thụng tin di động thế hệ 3”, Giỏo trỡnh, Học viện CN BCVT, 2004.

[5] TS. Nguyễn Phạm Anh Dũng, “cdmaOne và cdma2000", Trung tõm thụng tin bưu điện, NXB Bưu điện, 2003.

Tài liệu tiếng Anh:

[6] 3GPP Web site, www.3gpp.org

[7] IETF Web site, www.ietf.org, www.ietf.org/rfc.html [8] 3GPP2 Web site.www.3gpp2.org

[9] Alex Shneyderman and Alessio Casati, "Mobile VPN: Delivering Advanced Services in Next Generation Wireless Systems, Jhon Wiley & Sons, 2003.

Một phần của tài liệu Công nghệ nối mạng riêng ảo di động MVPN cho 3G (Trang 94 - 100)

Tải bản đầy đủ (DOC)

(100 trang)
w