Đề tài Xu hướng triển khai mạng 3g của các nhà cung cấp gsm Việt Nam

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Đình Trường XU HƯỚNG TRIỂN KHAI MẠNG 3G CỦA CÁC NHÀ CUNG CẤP GSM VIỆT NAM KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Thông Tin Vô Tuyến Cán bộ hướng dẫn : Th.S Trần Ngọc Hưng HÀ NỘI – 2008 TÓM TẮT Nội dung đề tài khóa luận tốt nghiệp là “Xu hướng triển khai mạng 3G của các nhà cung cấp GSM Việt Nam”. Phần đầu khóa luận nghiên cứu về hệ thống thông tin di động thế hệ 3G. Tìm hiểu cấu trúc mạng 3G. Yêu cầu đối với mạng thông tin thế hệ thứ ba và cấu trúc mạng lõi 3G, 3G toàn IP trong mạng GSM. Tiếp theo khóa luận nghiên cứu về IP-GPRS, IPv6 và Mobile IP. Tìm hiểu về cấu trúc mạng GPRS. Gồm giao diện và các kênh điều khiển trong GPRS, và tổng quan về mạng IPv6, mạng Mobile IP. Phần cuối nội dung khóa luận nghiên cứu về lộ trình triển khai nâng cấp mạng VMS MobiFone lên 3G. Tìm hiểu mạng thông tin di động VMS MobiFone. Lịch sử phát triển, cấu hình, các dịch vụ mạng cung cấp của mạng VMS MobiFone và hướng phát triển của VMS MobiFone. Sau đó là nội dung triển khai hệ thống GPRS, triển khai hệ thống 3G, và hệ thống All-IP trong mạng VMS MobiFone. Bao gồm mục đích, phương án triển khai, phương án tính cước và đánh giá kết quả thử nghiệm đưa ra kết luận. MỤC LỤC THUẬT NGỮ VIẾT TẮT 1 LỜI MỞ ĐẦU 4 CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN DI ĐỘNG THẾ HỆ BA, CẤU TRÚC MẠNG LÕI 3G, VÀ 3G TOÀN IP. 5 1.1 Lộ trình phát triển mạng thông tin di động thế hệ thứ ba. 5 1.2 Yêu cầu đối với hệ thống thông tin di động thế hệ thứ ba. 6 1.3 Các tiêu chí chung để xây dựng IMT-2000. 7 1.4 Hệ thống thống tin di dộng 3G-USMT. 11 1.5 Cấu trúc mạng lõi 3G All-IP. 17 CHƯƠNG 2. TỔNG QUAN VỀ KẾT NỐI IP-GPRS, IPv6, MOBILE IP. 18 2.1 Tổng quan về kết nối IP-GPRS. 18 2.1.1 Cấu trúc mạng GPRS. 20 2.1.2 Giao diện vô tuyến GPRS. 25 2.1.3 Các kênh điều khiển GPRS. 26 2.2 Tổng quan về IPV6. 27 2.2.1 Kiến thức an toàn cho giao thức Internet. 29 2.2.2 Tổng quan về kiến trúc an toàn của giao thức IPV6. 33 2.2.3 Các giao thức an toàn trong IPV6. 33 2.3 Tổng quan về Mobile IP 51 CHƯƠNG 3. LỘ TRÌNH TRIỂN KHAI NÂNG CẤP MẠNG MOBIFONE LÊN 3G ALL-IP. 55 3.1 Lịch sử phát triển VMS MobiFone. 55 3.2 Cấu hình mạng GSM/VMS. 56 3.3 Hướng phát triển mạng MobiFone VMS. 57 3.4 Lộ trình triển khai nâng cấp hệ thống. 59 3.5 Triển khai hệ thống GPRS. 63 3.5.1 Cấu hình tổng quát mạng GPRS trong mạng GSM. 63 3.5.2 Hệ thống GPRS triển khai trên mạng VMS. 66 3.5.3 Triển khai các dịch vụ GPRS trên mạng GPRS. 68 3.5.4 Phương án triển khhai MMS. 68 3.5.5 Dự kiến phương án tính cước các dich vụ GPRS. 69 3.5.6 Đánh giá kết quả triển khai thử nghiệm. 71 3.6 Triển khai thử nghiệm hệ thống 3G. 74 3.6.1 Mục đích thí nghiệm. 74 3.6.2 Giải pháp thử nghiệm 3G của Alcatel và Eicson. 76 3.6.3 Phương án triển khai. 78 3.7 Triển khai lên 3G All – IP. 79 KẾT LUẬN. 84 TÀI LIỆU THAM KHẢO. 85 THUẬT NGỮ VIẾT TẮT 3G 3rd Generation Thế hệ thứ 3 3GPP Third Generation Partnership Project Dự án hội nhập thế hệ 3 3GPP2 Third Generation Partnership Project Dự án hội nhập thế hệ 3 thứ hai A AMR Adaptive Multirate Đa tốc độ thích nghi ATM Asynchronous Transfer Mode Phương thức tuyền không đồng bộ AC Authentication Center Trung tâm nhận thực B BPSK Binary Phase Shirf Keying Điều chế dịch pha nhị phân BSC Base Station Controller Bộ điều khiển trạm gốc BSS Base Station Subsystem Phân hệ trạm gốc BTS Base Transceiver station Trạm thu phát gốc C CDMA Code Division Multi Access Đa truy nhập phân chia theo mã CN Core Network Mạng lõi CS Circuit Switched Chuyển mạch kênh CS-1,2,3,4 Coding Scheme 1,2,3,4 Sơ đồ mã hóa 1,2,3,4 D DCS Digital Communications System Hệ thống thông tin số DS Telacommunications System Chuỗi trải phổ trực tiếp DSL Digital Subscriber Line Đương thuê bao số E EDGE Enhanced Data Rates for GSM Evolution Cải thiện tốc độ số liệu cho phát triển GSM F FDD Frequency Division Duplex Ghép song công phân chia theo tần số G GERAN GSM/EDGE Radio Accsess Network Mang truy nhập vô tuyến GSM/EDGE GGSN Gateway GPRS Support Node Nút mạng hỗ trợ GPRS cổng GMM GPRS Mobility Management Quản lý mềm dẻo GPRS GMSC Gateway MSC MSC cổng GPRS General Packet Radio Services Dịch vụ vô tuyến gói chung GPS Global Position System Hệ thống định vị toàn cầu GSM Global System for Mobile Communications Hệ thống thông tin di động toàn cầu H H.263 ITU standard fo video compression for video-conferencing and video-telephony application Tiêu chuẩn ITU cho nén ảnh, ứng dụng cho hội nghị truyền hình và điện thoại truyền hình HLR Home Location Register Bộ ghi định vị thường chú HTTP Hypertext transfer Protocol Thủ tục truyền siêu văn bản I IMAP Internet Message Accsess Protocol Thủ tục truy nhập tin nhắn qua Internet IMS IP Multimedia Subsystem Phân hệ đa phương tiện IP IMT-2000 International Mobile Telecommunications-2000 Viễn thông di động quốc tế 2000 IN Intelligent Network Mạng thông minh IP Internet Protocol Giao thức Internet IS-54 Interim Standard - 54 Tiêu chuẩn thông tin di động TDMA cải tiến của Mỹ (do AT&T đề xuất) ÍS-95 Interim Standard - 95 Tiêu chuẩn thông tin di động TDMA của Mỹ ISDN Integrated Services Digital Network Mạng số dịch vụ tích hợp ITU-R International Telecommunication Union - Radio Sector Liên hiệp viễ thông quốc tế - Bộ phân vô tuyến ITU-T International Telecommunication Union - Telecommunication Standardzation Sector Liên hiệp viễn thông quốc tế - Viện tiêu chuẩn viễn thông J JPEG Joint Photographic Experts Group Tổ chức chuyên gia ảnh đồ họa L LAN Local Area Network Mạng cục bộ M MAC Medium Accsess Control Điều khiển truy nhập môi trường MM Mobile Managerment Quản lý di động MMS Multimedia Messaging Services Dịch vụ nhắn tin đa phương tiện MMS-C MMS Center Trung tâm MMS MPEG Moving Picture Experts Group Tổ chức chuyên gia ảnh động MS Mobile Station Trạm di động MSC Mobile Switching Service Center Trung tâm chuyển mạch dịch vụ di động N NMS Network Managerment System Hệ thống quản lý mạng NNI Network Node Interface Giao diện nút mạng NSS Network SubSystem Phân hệ mạng O OMC-G Operation Maintenace Center - GPRS Hệ thống quản lý khai thác trong GPRS P PCU Packet Control Unit Khối điều khiển gói dữ liệu PSC Personal Communication System Hệ thống thông tin cá nhân PDC Personal Digital Cellular Hệ thống tổ óng số cá nhân PDCH Packet Data Channel Kênh số liệu gói PDN Packet Data Network Mạng số liệu gói PDP Packet Data Protocol Giao thức số liệu gói PDSN Packet Data Service Node Nút dịch vụ số liệu gói PS Packet Switched Chuyển mạch gói PSDN Packet Switched Data Network Mạng số liệu chuyển mạch gói PSPDN Packet Switched Public Data Network Mạng số liệu công cộng chuyển mạch gói PSTN Public Switched Telephone Network Mạng điện thoại chuyển mạch công cộng Q QoS Quality of Servise Chất lượng dịch vụ QPSK Quadrature Phase Shift Keyging Điều chế dịch pha cầu phương R RA Routing Area Vùng định tuyến RAN Radio Accsess Network Mạng truy nhập vô tuyến RBS Radio Base Station Trạm gốc vô tuyến RLC Radio Link Control Điều khiển kết nối vô tuyến RLP Radio Link Protocol Giao thức kết nối vô tuyến RNC Radio Network Controller Bộ điều khiển mạng vô tuyến S SGSN Serving GPRS Support Node Nút mạng hỗ trợ dịch vụ GPRS SMS Short Message Service Dịch vụ tin nhắn SMS-C Short Message Service Center Trung tâm dịch vụ tin nhắn T TCH Traffic Channel Kênh lưu lượng TCP/IP Transmission Control Protocol/ Internet Protocol Giao thức điều khiển truyền dẫn trên giao thức Internet TDD Time Division Multi Accsess Ghép song công phân chia theo thời gian TDMA Terminal Equipment Đa truy nhập phân chia theo thời gian TE Telecommunications Industry Association Thiết bị đầu cuối TRX Transceiver Bộ thu phát U UI User Interface Giao diện người sử dụng UMTS Universal Mobile Telecommunications System Hệ thống viễn thông di động toàn cầu V VHE Virtual Home Environment Môi trường thường trú ảo VLR Visitor Location Register Bộ ghi định vị tạm trú VoIP Voice over IP Thoại trên nền IP VPN Vietual Private Network Mạng riêng ảo X XML Extensible Mark-up Language Ngôn ngữ đánh dấu có khả năng mở rộng W WAN Wide Area Network Mạng diện rộng WAP Wireless Application Protocol Thủ tục ứng dụng vô tuyến WCDMA Wideband Cosw Division Multiple Accsess Đa truy nhập băng rộng phân chia theo mã LỜI MỞ ĐẦU Thông tin di động tuy là một lĩnh vực mới phát triển nhưng với nhiều tính năng ưu việt, nó đã và trở thành một phần không thể thiếu trong cuộc sống hiện đại của con người, mang lại cho con người những lợi ích rất to lớn. Hệ thống thông tin di động theo chuẩn GSM của Châu Âu là sự kế thừa và phát triển của các mạng thông tin di động ra đời trước nó và được nhiều nhà khai thác sử dụng. Ở nước ta có bốn nhà khai thác dịch vụ di động lớn đang hoạt động theo tiêu chuẩn GSM là Viettel, Vinaphone, MobiFone và HT Mobile mới Ngày nay với sự phát triển của khoa học kỹ thuật cũng như sự bùng nổ về số lượng và những đòi hỏi về chất lượng dịch vụ của khách hàng mạng thông tin di động đang dần tiến tới thế hệ sau với ưu điểm vượt trội hơn. Nội dung khóa luận “Xu hướng triển khai mạng 3G của các nhà cung cấp GSM Việt Nam” gồm 3 chương: Chương 1: Trình bày về hệ thống thông tin di động thế hệ 3G. Phần cấu trúc mạng 3G, yêu cầu đối với mạng thông tin thế hệ thứ ba, cấu trúc mạng lõi 3G và 3G toàn IP. Chương 2: Tổng quan về IP-GPRS, IPv6 và Mobile IP. Chương này trình bầy cấu trúc mạng GPRS bao gồm cấu trúc, giao diện và các kênh điều khiển trong GPRS, tổng quan về mạng IPv6 và mạng Mobile IP. Chương 3: Lộ trình triển khai nâng cấp mạng VMS MobiFone lên 3G. Chương này trình bày về mạng thông tin di động VMS MobiFone. Gồm lịch sử phát triển, cấu hình, các dịch vụ mạng cung cấp của mạng VMS MobiFone và hướng phát triển của VMS MobiFone. Sau đó là triển khai hệ thống GPRS, triển khai hệ thống 3G, và hệ thống All-IP trong mạng VMS MobiFone. Bao gồm mục đích, phương án triển khai, phương án tính cước và đánh giá kết quả thử nghiệm. Sau một thời gian nghiên cứu, tìm hiểu và được sự giúp đỡ của thầy Trần Ngọc Hưng em đã hoàn thành đề tài này. Em xin chân thành cám ơn các thầy các cô trong khoa Điện Tử - Viễn Thông và đặc biệt là thầy Trần Ngọc Hưng đã đã trực tiếp hướng dẫn em hoàn thành khóa luận này. Hà Nội, 5/2008. CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN DI ĐỘNG THẾ HỆ BA, CẤU TRÚC MẠNG LÕI 3G, VÀ 3G TOÀN IP 1.1. Lộ trình phát triển của mạng 3G Sau nhiều năm phát triển, thông tin di động đã trải qua những giai đoạn phát triển quan trọng. Từ hệ thống thông tin di động tương tự thế hệ thứ nhất đến hệ thống quy hoạch mạng thông tin di động thế hệ thứ hai, và sau đó hệ thống thông tin di động thứ ba đang được phát triển trên phạm vi toàn cầu và hệ thống thông tin di động đa phương tiện thế hệ thứ tư đang được nghiên cứu tại một số nước. Dịch vụ chủ yếu của hệ thống thông tin di động thế hệ thứ nhất và thứ hai là thoại, còn thế hệ thứ ba và thứ tư phát triển về dịch vụ dữ liệu, thị tần và đa phương tiện. Hình 1.1 :Lộ trình phát triển của hệ thống thông tin di động trên thế giới. Các hệ thống thông tin di động tổ ong số hiện nay đang ở giai đoạn thế hệ thứ hai cộng. Để đáp ứng nhu cầu ngày càng tăng của dịch vụ thông tin di động nên ngay từ đầu những năm 90 người ta đã tiến hành nghiên cứu hệ thống thông tin di động thế hệ thứ ba. ITU đang tiến hành công ác tiêu chuẩn hóa cho hệ thống thông tin di động toàn cầu IMT-2000. Ở Châu Âu, ETSI đang tiến hành chuẩn hóa phiên bản của hệ thống này với tên gọi là UMTS. Hệ thống mới này làm việc ở giải tần 2MHz và cung cấp nhiều loại dịch vụ bao gồm từ các dịch vụ thoại, số liệu tốc độ thấp hiện có đến các dịch vụ số liệu tốc độ cao, video và truyền thanh. Tốc độ của người sử dụng có thể nên tới 2Mbps. Tốc độ này chỉ có ở các cell pico trong nhà, còn các dịch vụ với tốc độ 14,4 Kbps sẽ được đảm bảo cho thông tin di động thường ở các cell maco. Người ta đã tiến hành nghiên cứu hệ thống thông tin di động thế hệ thứ tư có tốc độ cho người sử dụng lớn hơn 2Mbps. Hệ thống thông tin di động thế hệ 3 được đánh giá là một ứng cử viên cho hệ thống truy nhập vô tuyến IMT-2000. Giao diện vô tuyến trên cơ sở băng thông rộng, đáp ứng các yêu cầu của hệ thống thông tin di động thế hệ thứ 3. Những ưu điểm chủ yếu của mạng 3G: Cải thiện hệ thống thông tin di động thế hệ 2, cải thiện dung lượng, chất lượng, vùng phủ song. Tính linh hoạt cao của dịch vụ. Thực hiện truy nhập gói tin hiệu quả và tin cậy. Tính linh hoạt cao trong vận hành, hỗ trợ hoạt động không đồng bộ giữa các trạn gốc nên triển khai thuận lợi trong nhiều môi trường, sử dụng các kỹ thuật tiên tiến như anten thông minh. 1.2. Yêu cầu đối với hệ thống thông tin di động thế hệ thứ ba Thông tin di động thế hệ ba phải là hệ thống thông tin di động cho các dịch vụ di động truyền thông cá nhân đa phương tiện. Hộp thư thoại sẽ đựợc thay thế bằng bưu thiếp điện tử được lồng ghép với hình ảnh và các cuộc thoại thông thường trước đây sẽ được bổ xung các hình ảnh để trở thành thoại có hình. Yêu cầu đối với thông tin di động thế hệ thứ ba: + Mạng phải là băng rộng và có khả năng truyền thông đa phương tiện, nghĩa là mạng phải đảm bảo tốc độ bít lên tới 2Mbs phụ thuộc vào tốc độ di chuyển của máy đầu cuối, 2Mbps dự kiến cho các dịch vụ cố định, 384kbps khi đi bộ và 144kbps khi đang di chuyển tốc độ cao. + Mạng phải có khả năng cung cấp độ rộng băng tần, dung lựợng theo yêu cầu. Điều này xuất phát từ việc thay đổi tốc độ bit của các dịch vụ khác nhau. Ngoài ra cần đảm bảo đường tuyền vô tuyến không đối xứng, chẳng hạn với tốc độ bit cao ở đường xuống và tốc độ bit thấp ở đường lên hoặc ngược lại. + Mạng phải cung cấp thời gian truyền dẫn theo yêu cầu, nghĩa là phải đảm bảo các kết nối chuyển mạch cho thoại, các dịch vụ Video và các khả năng số liệu gói cho các dịch vụ số liệu. + Chất lượng dịch vụ phải không thua kém chất lượng dịch vụ cố định, nhất là đối với thoại. + Mạng phải có khả năng sử dụng toàn cầu, nghĩa là bao gồm cả thông tin vệ tinh. Bộ phận tiêu chuẩn của ITU-R đã xây dựng các tiêu chuẩn cho IMT-2000.. Thông tin di động thế hệ thứ ba xây dựng trên cơ sở IMT-2000 đã được đưa vào hoạt động từ năm 2001. Các hệ thống 3G cung cấp rất nhiều dịch vụ viễn thông bao gồm: thoại, số liệu tốc độ bit thấp và bit cao, đa phương tiện, video cho người sử dụng làm việc cả ở môi trường công cộng lẫn tư nhân, vùng cơ sở, vùng dân cư, phương tiện vận tải… 1.3. Các tiêu chí chung để xây dựng IMT-2000 + Sử dụng dải tần quy định quốc tế 2Ghz: Đường lên: (1885 – 2025) Mhz. Đường xuống: (2110 – 2200) Mhz. + Là hệ thống thông tin di động toàn cầu cho các loại hình vô tuyến: Tích hợp các mạng thông tin hữ tuyến và vô tuyến. Tương tác với mọi dịch vụ viễn thông. + Sử dụng các môi trương khai thác khác nhau: Trong công sở. Ngoài đường. Trên xe. Vệ tinh. + Có thể hỗ trợ các dịch vụ như: Môi trường thương chú ảo (VHE) trên cơ sở mạng thông minh, di động cá nhân và chuyển mạch toàn cầu. Đảm bảo chuyển mạch quốc tế. Đảm bảo các dịch vụ đa phương tiện đồng thời cho thoại, số liệu chuyển mạch theo kênh và số liệu chuyển mạch theo gói. + Dễ dàng hỗ trợ các dịch vụ mới xuất hiện. Môi trường hoạt động của IMT-2000 đựoc chia thành bốn vùng với các tốc độ bit Rb phục vụ như sau: Vùng 1: Trong nhà, picocell, Rb ≤ 2Mbps. Vùng 2: Thành phố, microcell, Rb ≤ 384Kbps. Vùng 3: Ngoại ô, macrocell, Rb ≤ 144Kbps. Vùng 4: Toàn cầu, Rb = 9.6Kbps. Có thể tổng kết các dịch vụ do IMT-2000 cung cấp ở bảng dưới đây: Bảng 1.1 Phân loại các dịch vụ ở IMT-2000 Kiểu Phân loại Dịch vụ chi tiết Dịch vụ di động. Dịch vụ di động. Di động đầu cuối di động cá nhân/ di động dịch vụ. Dịch vụ thông tin định vị. Theo dõi di động/ theo dõi di động thông minh. Dịch vụ viễn thông. Dịch vụ âm thanh. - Dịch vụ âm thannh chất lượng cao (16 - 64 Kbps). - Dịch vụ truyền thanh AM (32 - 64 kbps) - Dịch vụ truyền hình FM (64 - 144 kbps) Dịch vụ số liệu. - Dịch vụ số liệu tốc độ trung bình (64 - 144 kbps) - Dịch vụ số liệu tốc độ tương đối cao (144 kbps – 2Mbps) - Dịch vụ số liệu tốc độ cao (≥ 2 Mbps) Dịch vụ đa phương tiện. - Dịch vụ Video (384 kbps) - Dịch vụ ảnh động (384 kbps - 2 Mbps) - Dịch vụ ảnh động thời gian thực ( ≥ 2Mbps) Dịch vụ Internet. Dich vụ Internet đơn giản. Dịch vụ truy nhập Web (384 kbps - 2 Mbps) Dich vụ Internet thời gian thực. Dịch vụ Internet (384 kbps - 2Mbps) Dịch vụ Internet đa phương tiện. Dịch vụ Website đa phương tiện thời gian thực (≥ 2Mbps) Để xây dựng tiêu chuẩn cho hệ thống thông tin di động thế hệ ba, các tổ chức quốc tế sau đây được hình thành dưới sự điều hành chung của ITU: 3GPP: bao gồm các thành viên sau: - ESTI: Châu Âu. - TTA: Hàn Quốc. - ARIB, TTC: Nhật. - T1P1: Mỹ. 3GPP2: bao gồm các thành viên sau: - TIA, T1P1: Mỹ. - TTA: Hàn Quốc. - ARIB, TTC: Nhật. Hiện nay hai tiêu chuẩn đã được chấp thuận cho IMT-2000 là: - WCDMA được xây dựng từ 3GPP. - Cdma2000 được xây dựng từ 3GPP2. Hai hệ thống này đã bắt đầu đựợc đưa vào hoạt động trong những năm đầu của thập kỷ 2000. Các hệ thống này đều sử dụng công nghệ CDMA, điều này cho phép thực hiện tiêu chuẩn toàn thế giới cho giao diện vô tuyến của hệ thống thông tin di động thế hệ ba. WCDMA là sự phát triển tiếp theo của hệ thống thông tin di động thế hệ thứ hai sử dụng công nghệ TDMA như GSM, PDC, IS-136. Cdma2000 là sự phát triển tiếp theo của hệ thống thông tin di động thế hệ thứ hai sử dụng công nghệ CDMA: IS-95. Mô hình tổng quát của mạng IMT-2000: Hình 1.2 : Mô hình mạng IMT-2000. Ký hiệu: - TE (Terminal Equipment) : Thiết bị đầu cuối. - UI ( User Interface) : Giao diện người sử dụng. Phân bố tần số cho IMT-2000 trên thế giới: Hình 1.3 : Phân bổ tấn số cho IMT-2000 trên thế giới. Châu Âu sử dụng hệ thống thế hệ hai là DCS 1800 ở băng tần (1710-1755) Mhz cho đường lên và (1805-1850) cho đường xuống. Ở Châu Âu và hầu hết các nước Châu Á băng tần IMT-2000 là 2x60 Mhz (1920-1980 Mhz cống với 2110-2170 Mhz) có thể sử dụng cho WCDMA FDD. Băng tần sử dụng cho TDD ở Châu Âu thay đổi, băng tần được cấp theo giấy phép có thể là 25Mhz cho sử dụng TDD ở (1900-1920)Mhz và (2020-2025)Mhz. Băng tần cho các ứng dụng TDD không cần xin phép (SPA – Self Provided Application: ứng dụng tự cấp) có thể là (2010-2020)MHz. Các hệ thống FDD sử dụng các băng tần khác nhau cho đường lên và đường xuống với phân cách là khoảng cách song công, còn hệ thống TDD sử dụng cùng tần số cho cả đường lên và đường xuống. Nhật sử dụng hệ thống thế hệ hai là PDC, còn Hàn Quốc sử dụng hệ thống thế hệ hai là IS-95 cho cả khai thác tở ong lẫn PCS. Ẩn định phổ PCS ở Hàn Quốc khác với ấn định phổ PCS ở Mỹ, vì thế Hàn Quốc có thể sử dụng toàn bộ phổ tần quy định của IMT-2000. Ở Nhật một phần phổ của IMT-2000 TDD đã được sử dụng cho PHS (hệ thống điện thoại cầm tay cá nhân). Ở Mỹ không còn phổ mới cho các hệ thống thông tin di động thế hệ ba. Các dịch vụ của thế hệ ba sẽ được thực hiện trên cơ sở thay thế phổ tần của hệ thống thông tin thế hệ ba bằng phổ tần của hệ thống PCS thế hệ hai hiện tại. Ở Trung Quốc phổ tần dành trước cho PCS và WLL sử dụng một phần phổ tần của IMT-2000 mặc dù chúng chưa được ấn định cho hãng khai thác nào. Theo quyết định về phân bố tần số, sẽ có đến 2x60 Mhz được sử dụng cho WCDMA ở Trung Quốc. Phổ tần TDD cũng sẽ được sử dụng ở Trung Quốc. Các nước đã bắt đầu xin giấy phép cho sử dụng phổ tần của IMT-2000. Giấy phép đầu tiên được cấp cho Phần Lan vào 03/1999, sau đó là Tây Ba Nha. Một số nước cũng có thể đi theo quan điểm cấp phép giống như GSM được cấp phép ở Châu Âu. Tuy nhiên, một số nước bán dấu giá phổ tần cho IMT-2000 giống như Mỹ bán dấu cho PSC. 1.4. Hệ thống thông tin di dộng 3G -USMT UMTS là hệ thống viễn thông di động toàn cầu của Châu Âu dựa trên công nghệ WCDMA. Mục đích của UMTS là cung cấp cho người sử dụng thông tin cá nhân truy nhập vào giải băng rộng để sử dụng các mới dịch vụ mới. UMTS cung cấp thông tin các nhân di động multimedia định hướng. Đồng UTMS cung cấp các dịch vụ roaming toàn cầu. UMTS được thương mại hóa ở Nhật và ở Châu Âu. Ở Nhật, mấu chốt là tăng yêu cầu của dịch vụ multimedia và khả năng sử dụng các ứng dụng dữ liệu tốc độ cao. UMTS kết hợp công nghệ mới với hệ thống và các dịch vụ của GSM hiện tại. ERC đã quy định phổ mới trên băng tần mới 2 GHz đói với mặt đất. Phổ này bao gồm: Băng tần kép (1929-1980 MHz + 2110-2170 MHz). Băng tần đơn (1910-1920 MHz + 2010-2025 MHz). Hình 1.4 : Sử dụng phổ UMTS. Dải phổ trên đã được lựa chọn ở cả Châu Âu và Nhật Bản. Còn ở Bắc Mỹ thì rất tiếc nó đã được sử dụng cho các hệ thống PCS. Có hai chế độ được định nghĩa là FDD và TDD. Cả hai chế độ đều là CDMA băng rộng (WCDMA) với độ rộng kênh vô tuyến là 5MHz và đã được phát triển nhằm sử dụng tối đa hiệu quả và lợi ích của CDMA. TD/CDMA được sử dụng trên băng tần đơn. Lợi ích của TD/CDMA là khả năng quản lý lưu lượng không song công ( lưu lượng giữa đường lên và đường xuống khác nhau). Bởi TD/CDMA có đường lên và đường xuống ở trên cùng một băng tần chỉ phân cách về mặt thời gian, nên đối với việc truyền số liệu không cân bằng giữa đường lên và đường xuống, hiệu quang phổ của TD/CDMA sẽ cao hơn so với WCDMA (ấn định hai băng tần riêng cho đường lên và đường xuống). Lấy ví dụ Internet là điển hình, rất nhiều thông tin được tải xuống từ trang Web mà rất ít thông tin được gửi đi. Tổng quát từ 2,5G (GPRS/EDGE) phát triển lên UMTS: Thực hiện Mới Giao diện vô tuyến WCDMA (UE, Node B) Giao diện mạng truy nhập vô tuyến RAN (Iub (Node B-RNC) và Tur (RNC-RNC)) Giao diện mạng lõi: Iu (MSC-RNC và SGSN-RNC). Điều chỉnh MSC và SGS cho giao diện TU Giữa nguyên Mạng lõi chuyển mạch kênh(HLR-AuC) Mạng lõi chuyển mạch gói (GGSN) 3GPP đã xác định con đường phát triển của GSM lên UTMS (WCDMA): Mạng lõi phát triển từ GSM-only nhằm hỗ trợ cả GPRS và các thiết bị WCDMA mới. 3GPP Release 99: Thêm phần vô tuyến 3G. 3GPP Release 4 : Thêm chuyển mạch mềm các gateway thoại và lõi chuyển mạch gói. 3GPP Release 5 : Cung cấp các dịch vụ multimedia IP (IMS) và QoS. 3GPP Release 6 : Mạng “All IP”, đang được chuẩn hóa. 1.4.1. Release 99 Hình 1.5 : Kiến trúc mạng 3G Release 99. + Về giao diện vô tuyến: Phần mạng truy nhập vô tuyến mới UTRAN(WCDMA) được thêm các thành phần RNC và BC. Việc có nâng cấp giao diện vô tuyến hiện có của GSM lên EDGE (E-RAN) hay không là tùy chọn của nhà khai thác. + MSC/VLR nâng cấp có thể xử lý được cho phần vô tuyến băng rộng. + Để các dịch vụ IN có thể cung cấp cho các mạng tạm trú cảu thuê bao cần triển khai CAMEL. + Kết nối truyền dẫn trong mạng truy nhập vô tuyến WCDMA dùng ATM nhằm hỗ trợ các loại hình dịch vụ khác nhau: các dịch vụ tốc độ không đổi cho chuyển mạch kênh và và các dịch vụ có tốc độ thay đổi đối với chuyển mạch gói. + Các nút lõi được chuyển đổi: Phần CS phải quản lý cả thuê bao 2G và 3G, đòi hỏi thay đổi trong MSC/VLR và HLR/AuC/EIR. Phần PS được nâng cấp từ GPRS, thay đổi ở SGSN là lớn nhất. - Mạng cung cấp các loại dịch vụ 3G và dịch vụ giống với mạng 2,5G, hầu hết các dịch vụ được chuyển sang dạng gói khi có nhu cầu. Ví dụ WAP sẽ chuyển sang dùng chuyển mạch gói. Dịch vụ dựa trên vị trí giúp truyền dữ liệu gói hiệu quả hơn. - Ưu điểm: + Tận dụng tối đa hạ tầng GSM/GPRS hiện có: Có thể triển khai nhanh chóng. Chỉ tiêu các phần tử mạng rất ổn định. + Cung cấp cả dịch vụ 2G và 3G, dịch vụ chuyển mạch kênh và gói. + Bảo đảm an toàn đầu tư: Thiết bị nâng cấp dần dần tới mạng lõi 3G. - Nhược điểm: + Phức tạp do cả hai thành phần CS và PS. + Phần CS phức tạp do phải phục vụ cả 2G và 3G, khó mở rộng. + Việc quản lý hệ thống sẽ phức tạp. - Khắc phục: Bước phát triển tiếp theo sau 3GPP R99 chỉ ra các xu hướng chung. Đó là tách phần kết nối cuộc gọi, phần điều khiển và phần dịch vụ, đồng thời chuyển đổi mạng theo hướng hoàn toàn trên cơ sở IP. 1.4.2. Release 4 Hình 1.6 : Kiến trúc 3G Release 4. Điểm khác biệt chính của Release 4 và Release 99 là mạng lõi phân bố. MSC được chia thành MSC sever và MGW. 3GPP Relesae 4 tách phần kết nối, điều khiển và dịch vụ cho chuyển mạch kênh mạng lõi. MSC sever có chức năng quản lý di động và điều khiển cuộc gọi, không chứa ma trận chuyển mạch, phần tử điều khiển MGW. Còn Media Gateway (MGW) là phần tử chụi trách nhiệm duy trì các kết nối và thực hiện chức năng chuyển mạch khi cần. Thoại chuyển mạch gói (VoIP): cuộc gọi chuyển mạch kênh được chuyển sang chuyển mạch gói trong MGW. - Ưu điểm: + Khắc phục một số nhược điểm của R99. + Tách riêng phần kết nối cuộc gọi, phần điều khiển và phần dịch vụ cho phần chuyển mạch lõi chuyển mạch kênh. + Toàn bộ lưu lượng qua MGW, được quản lý nằng MSC Sever tách rời ( nâng cấp từ MSC/VLR). + Phần CN CS có thể tự do mở rộng khi dung nhiều MGW. + Cho phép truyền tải lưu lượng hiệu quả hơn nhờ chuyển mạch gói. Một cuộc gọi GSM truyền thống sẽ được thay bằng VoIP qua MGW. Phân hệ đa phương tiện IP(IMS) được thêm vào đáp ứng các dịch vụ đa phương tiện trên IP và VoIP. - Nhược điểm: + Làm thay đổi căn bản phần CS nhưng vẫn còn cả hai thành phần CS và PS. + Vai trò của CAMEL sẽ thay đổi, phải lập kết nối với phần PS và sẽ trở thành yếu tố đấu nối giữa hạ tầng dịch vụ và mạng. 1.4.3. Release 5 Hình 1.7 : Kiến trúc 3G Release 5. Đặc điểm của Release 5 là them miền IP đa phương tiện trong mạng lõi(IM), hỗ trợ dữ liệu và thoại qua IP, trong đó bổ sung một phần tử mới: CSCF: Quản lý việc thiết lập duy trì và giải phóng các phiên truyền đa phương tiện với người sử dụng. MRF: Hỗ trợ các chức năng như cuộc gọi nhiều bên, cuộc gọi hội nghị. Ngoài ra, SGSN và GGSN được cải tiến so với R4 là có hỗ trợ thoại. MGW vẫn có chức năng tương tự như R$ và MGW do MGCF điều khiển. - Ưu điểm : +Tồn tại duy nhất chuyển mạch gói PS. + Sử dụng hiệu quả và dễ dàng quản lý toàn bộ lưu lượng trên mạng 3G vì đều là IP. + Công nghệ truy nhập vô tuyến sẽ giảm dần tỷ trọng. Trong tương lai, các lõi 3G sẽ có nhiều công nghệ truy nhập vô tuyến khác nhau. Một số vấn đề cần xem xét thêm: + Công nghệ chưa chín muồi, cần chờ tiêu chuẩn và hệ thống ổn định. Môi trường thường chú ảo (VHL): Đáp ứng yêu cầu hội tụ các mạng di động, cố định và Internet. Cho phép các thuê bao được cung cấp dịch vụ như đang ở mạng thường trú kể cả khi roaming. + Quản lý chất lượng dịch vụ do IP là dịch vụ “best effort”. + Bảo mật IPv6, IP-VPN. + Mở rộng không gian địa chỉ IPv6 + Đặc tính kết nối vô tuyến khác hữu tuyến. + Tính di động đầu cuối. 1.4.4. Release 6 Mục đích chuẩn hóa của 3GPP Relesae 6 là: + Cung cấp các dịch vụ đa phương tiện IP, pha 2: Nhắn tin IMS và quản lý nhóm. + Hoạt động phối hợp với mạng LAN vô tuyến. + Các dịch vụ giọng nói: Nhận dạng giọng nói phân bố (DSsR). + Phạm vi và định nghĩa đang tiếp tục được tiêu chuẩn hóa. 1.5. Cấu trúc mạng 3G toàn IP Tiếp theo thế hệ 2.5G và 3G, mạng lõi toàn IP đang xuất hiện với nhiều khả năng ứng dụng cao, các dịch vụ thoại và số liệu được hỗ trợ qua mạng lõi toàn IP. Các mạng đa phương tiện toàn IP được thiết kế cho công nghệ bưu chính như CDMA2000, UMTS. Trong cấu trúc mạng 3G toàn IP, dữ liệu được thiết lập để mang các gói IP giữa các sever kết nối mạng và các thiết bị đầu cuối. Mạng sử dụng các “Tunnet” để hỗ trợ việc lưu chuyển. Trong UMTS, Tunnet từ sever truy nhập mạng được định tuyến thong qua một hệ chuyển mạch tunnet. Thiết bị đầu cuối có thể di chuyển giữa các trạm thu phát và trạm điều khiển mà không cần chuyển các chuyển mạch tunnet mà chỉ cần một nhánh của tunnet. Thiết bị đầu cuối có thể di chuyểnn tới một mạng truy nhập được điều khiển bởi một chuyển mạch tunnet khác bằng việc di chuyển các nhánh của tunet mà không cần lưu chuyển phần dữ liệu. Kiến trúc mạng 3G-All-IP thể hiện hình dưới dây: Hình 1.8 : Kiến trúc mạng 3G All-IP. CHƯƠNG 2. TỔNG QUAN VỀ KẾT NỐI IP-GPRS, IPv6, MOBILE IP 2.1.Tổng quan về kết nối IP-GPRS Dịch vụ vô tuyến gói chung GPRS là một công nghệ cung cấp các dịch vụ gói IP dung lượng cao thông qua GSM. Các ứng dụng của IP mới của GPRS đưa ra các ứng dụng Internet không dây hấp dẫn tới người sử dụng, đồng thời đưa ra nghiều cơ hội kinh doanh cho các nhà khai thác. GPRS thuộc GSM pha 2 cộng, là một dịch vụ số liệu chuyển mạch gói trên cơ sở hạ tầng GSM. Công nghệ chuyển mạch gói đưa ra để tối ưu việc truyền số liệu cụm và tạo điều kiện truyền tải cho một lượng dữ liệu lớn. GPRS được thiết kế để cung cấp các dịch vụ gói tốc dộ cao hơn so với tốc độ truyền số liệu được cung cấp với các dịch vụ chuyển mạch kênh của GSM. GPRS có thể cung cấp tốc độ số liệu lên đến 171kbps ở giao diện vô tuyến, mặc dù các mạng thực tế không thể đạt được tốc độ này (do hiệu chỉnh lỗi đường truyền). Trong thực tế, giá trị cực đại của tốc độ chỉ cao hơn 100 kbps một chút với độ khả thi khoảng 40kbps đến 50kbps. GPRS đảm bảo tốc độ số liệu cao hơn cao hơn nhung vẫn sử dụng vô tuyến giống GSM (Cùng kênh tấn số 200 KHz được chia thành 8 khe thời gian). Ngoài ra mã hóa kênh ở GPRS cũng gần giống mã hóa kênh ở GSM. GPRS định nghĩa một số sơ đồ mã hoá kênh khác nhau. Sơ đồ mã hoá kênh thường được dùng nhất cho truyền số liệu gói là Sơ đồ mã hoá 2 (CS-2). Sơ đồ mã hoá này cho phép một khe thời gian có thể mang số liệu ở tốc độ 13,4 kbps. Nếu một người sử dụng truy nhập đến nhiều khe thời gian, thì tốc độ 40,2 hay 53,6 kbps là khả dụng đối với người này. Bảng sau liệt kê các sơ đồ mã hoá khác nhau và các tốc độ số liệu tương ứng đối với một khe thời gian. Sơ đồ mã hóa Tốc độ số liệu giao diện vô tuyến (kbps) Tốc độ số liệu gần đúng của người sử dụng (kbps) CS-1 9.05 6.8 CS-2 13.4 10.4 CS-3 15.6 11.7 CS-4 21.4 16.0 Các tốc độ giao diện vô tuyến ở bảng trên đảm bảo các tốc độ số liệu khác nhau của người sử dụng ở giao diện này. Tuy nhiên, có nhiều lớp cao hơn giao diện vô tuyến cũng tham dự vào việc truyền số liệu ở GPRS. Mỗi lớp bổ sung thêm thông tin vào số liệu nhận được từ lớp trên. Lượng thông tin bổ sung do từng lớp tạo ra phụ thuộc vào nhiều yếu tố, trong đó yếu tố dễ nhận thấy nhất là kích cỡ của gói ứng dụng cần truyền. Đối với một lượng số liệu cần truyền cho trước, các kích cỡ của gói số liệu ứng dụng nhỏ hơn sẽ dẩn đến thông tin bổ sung lớn hơn các kích cỡ của gói số liệu lớn hơn. Kết quả là tốc độ số liệu có thể sử dụng được thấp hơn tốc độ số liệu giao diện vô tuyến từ 20 đến 30 phần trăm. Như đã nói ở trên sơ đồ mã hoá thường được sử dụng nhiều nhất cho truyền số liệu của người sử dụng là CS-2. Sơ đồ này đảm bảo hiệu chỉnh lỗi khá tốt ở giao diện vô tuyến. Mặc dù CS-3 và CS-4 cung cấp thông lượng cao hơn, nhưng chúng nhạy cảm cao với lỗi ở giao diện vô tuyến. Thực ra CS-4 hoàn toàn không đảm bảo hiệu chỉnh lỗi ở giao diện vô tuyến. CS-3 và đặc biệt là CS-4 đòi hỏi phát lại nhiều hơn ở giao diện vô tuyến, vì thế thông lượng thực sự hầu như không tốt hơn CS-2. Tất nhiên ưu điểm lớn nhất của GPRS không chỉ đơn giản là ở chỗ nó cho phép tốc độ số liệu cao hơn. Ưu điểm lớn nhất của GPRS là nó sử dụng công nghệ chuyển mạch gói. Điều này có nghĩa là một người sử dụng chỉ tiêu phí tài nguyên khi người này cần phát hoặc thu số liệu. Nếu một người sử dụng không phát số liệu ở một thời điểm, thì các khe thời gian ở giao diện vô tuyến tại thời điểm này sẽ được dành cho các người sử dụng khác. Việc GPRS cho phép nhiều người sử dụng cùng chia sẻ tài nguyên vô tuyến là một ưu điểm lớn. Điều này có nghĩa rằng mỗi khi một người sử dụng muốn truyền số liệu, thì MS phải yêu cầu được truy nhập đến các tài nguyên này và mạng phải cấp phát các tài nguyên này trước khi xảy ra truyền số liệu. Mặc dù điều này có vẻ như nghịch lý với việc dịch vụ luôn được kết nối, GPRS hoạt động sao cho thủ tục yêu cầu cấp phát không bị phát hiện, vì thế người sử dụng và dịch vụ dường như luôn luôn được kết nối. Ta thử tưởng tượng rằng người sử dụng đang tải xuống một trang Web và sau đó đợi một khoảng thời gian nào đó trước khi tải xuống tiếp trang Web khác. Để tải xuống một trang Web mới, người sử dụng yêu cầu tài nguyên vô tuyến, mạng cấp phát tài nguyên này, MS gửi yêu cầu trang Web đến mạng, mạng gửi yêu cầu này đến mạng số liệu ngoài (Internet chẳng hạn). Các thủ tục này xảy ra rất nhanh để trễ không bị quá lớn. Rất nhanh chóng trang Web mới này xuất hiện trên thiết bị của người sử dụng. GPRS phù hợp với một phạm vi rộng các ứng dụng từ thư điện tử (E-mail), văn phòng di động (Mobile Office), các ứng dụng đo lường lưu lượng từ xa, tới tất cả các ứng dụng dữ liệu cụm chẳng hạn như truy cập Internet. GPRS cho phép hổ trợ các ứng dụng dữ liệu của mạng cố định hiện tại trên các đầu cuối di động. Dịch vụ GPRS được định hướng chủ yếu cho các ứng dụng với các đặc tính lưu lượng của truyền tải chu kỳ với khối lượng nhỏ và truyền không theo chu kỳ của các dữ liệu có kích nhỏ hoặc trung bình. Điều này tạo khả năng cho hệ thống có thể phục vụ các dịch vụ và ứng dụng mới. Sự truyền tải một ượng lớn dữ liệu vẫn sẽ được duy trì qua các kênh chuyển mạch kênh, để tránh trở ngại của phổ vô tuyến gói. Các ứng dụng của GPRS có thể tiến hành từ các công cụ thông tin trong một máy tính xách tay PC ( thư điện tử, truyền dẫn file, và hiển thị trang Web, đến các ứng dụng đặc biệt liên quan tới các truyền tải thấp ( máy đo từ xa, điều khiển lưu lượng đường sắt và đường giao thông, thông tin điều hành taxi và xe tải, hướng dẫn đường động lực và giao dịch tiền tệ...). Cấu trúc mạng GPRS a) Cấu trúc mạng chuyển mạch GPRS Cấu trúc mạng GPRS được xây dựng trên nền tảng mạng GSM đang tồn tại. Tuy nhiên, nhiều thành phần mạng mới được thêm vào cho chức năng chuyển mạch gói, ở đây ta thấy có đơn vị điều khiển gói ( PCU: Packet Control Unit ), nút hỗ trợ GPRS phục vụ ( SGSN:Serving GPRS Support Node ) nút hỗ trợ GPRS cổng (GGSN: Gateway GPRS Support Node ). Ngoài ra, có một mạng backbone nối các nút SGSN và GGSN với nhau, một domain name server sử dụng cho mục đích biên dịch địa chỉ và một BG ( Border Gateway) để đảm bảo an toàn cho mạng GPRS PLMN từ : Lưu lượng, báo hiệu không mong muốn từ các GPRS PLMN khác. Lưu lượng giữa các mạng Backbone PLMN được tạo ra từ các nguồn truy cập trái phép. PCU là một phần tử mạng logic chịu trách nhiệm đối với một số chức năng liên quan đến GPRS như điều khiển truy nhập giao diện vô tuyến, lập biểu gói trên giao diện vô tuyến, lắp ráp và lắp ráp lại gói. PCU có thể được đặt tại BTS, BSC, hay tại SGSN. Một cách logic có thể coi PCU như là một bộ phận của BSC và trên thực tế ta thấy PCU thường được kết hợp vật lý với BSC. SGSN tương tự như MSC/VLR trong vùng chuyển mạch kênh nhưng thực hiện các chức năng tương tự ở vùng chuyển mạch gói. Các chức năng này bao gồm quản lý di động, bảo an và các chức năng điều khiển truy nhập. Vùng phục dịch vụ của SGSN được chia thành các vùng định tuyến ( RA: Routing Area ), các vùng này tương tự như vùng định vị ở vùng chuyển mạch kênh. Khi máy di động GPRS MS chuyển động từ một RA này đến một RA khác, nó thực hiện cập nhật vùng định tuyến cũng giống như cập nhật vùng định vị ở vùng chuyển mạch kênh. Chỉ có một sự khác nhau duy nhất là MS có thể thực hiện cập nhật vùng định tuyến ngay cả khi đang xảy ra phiên số liệu. Theo thuật ngữ của GPRS thì phiên số liệu đang xảy ra này được gọi là Ngữ cảnh giao thức số liệu gói (PDP Context Packet Data Protocol Context ). Trái lại khi một MS đang tham dự một cuộc gọi chuyển mạch kênh, sự thay đổi vùng định vị không dẫn đến cập nhật vùng định vị. Một SGSN có thể phục vụ nhiều BSC, còn một BSC chỉ giao diện với một SGSN. Giao diện giữa SGSN với BSC ( thực chất là với PCU ở BSC ) là giao diện Gb. Đây là một giao diện trên cơ sở chuyển tiếp khung sử dụng giao thức BSS GPRS (BSSGP ). Giao diện Gb được sử dụng để chuyển giao báo hiệu và các thông tin điều khiển cũng như lưu lượng của người sử dụng đến và từ SGSN. SGSN cũng giao diện với bộ ghi định vị thường trú ( HLR ) thông qua giao diện Gr. Đây là giao diện trên cơ sở báo hiệu số 7, giao diện này sử dụng MAP tăng cường dùng cho SGSN. Giao diện Gr tương đương như giao diện D giữa VLR và HLR ở GSM. SGSN sử dụng giao diện Gr để cập nhật vị trí các thuê bao GPRS ở HLR và để nhận được thông tin đăng ký của thuê bao liên quan đến GPRS đối với mọi thuê bao nằm trong vùng phục vụ của SGSN. Hình 2.1 : Cấu trúc mạng GPRS. Tuỳ chọn, một SGSN có thể giao diện với MSC thông qua giao diện Gs. Đây là giao diện trên cơ sở báo hiệu số 7 sử dụng SCCP. Lớp trên SCCP là một giao thức được gọi là BSSAP+, đây là một dạng cải biến của BSSAP được sử dụng giữa MSC và BSC ở tiêu chuẩn GSM. Mục đích của giao diện Gs là đảm bảo kết hợp giữa MSC/VLR và GPRS cho các thuê bao sử dụng cả các dịch vụ chuyển mạch kênh được điều khiển bởi MSC/VLR và các dịch vụ số liệu chuyển mạch gói được điều khiển bởi GPRS. Chẳng hạn nếu một thuê bao nào đó hổ trợ cả dịch vụ thoại và dịch vụ số liệu gói và nó đã nhập mạng SGSN, thì MSC có thể tìm gọi thuê bao này cho cuộc gọi thoại thông qua SGSN bằng cách sử dụng giao diện Gs. SGSN giao diện với trung tâm dịch vụ bản tin ngắn ( SMSC: Short Message Service Center ) thông qua giao diện Gd. Giao diện này cho phép các thuê bao GPRS phát và thu các bản tin ngắn trên mạng GPRS ( gồm cả giao diện vô tuyến GPRS ). Giao diện Gd là một giao diện trên cơ sở báo hiệu số 7 sử dụng MAP. GGSN là điểm giao diện với các mạng số liệu gói bên ngoài (Internet). Như vậy số liệu của người sử dụng vào hoặc ra mạng thông tin di động mặt đất ( PLMN ) sẽ đi qua một GGSN. Một SGSN có thể giao diện với một hay nhiều GGSN và giao diện này được gọi là Gn. Đây là giao diện trên cơ sở IP được sử dụng để mang báo hiệu và số liệu người sử dụng. Giao diện Gn sử dụng giao thức xuyên đường hầm GPRS (GTP:GPRS Tunneling Protocol). Giao diện này truyền xuyên số liệu giữa SGSN và GGSN qua mạng đường trục IP. Tuỳ chọn, GGSN có thể sử dụng giao diện Gc đến HLR. Giao diện này sử dụng MAP ở báo hiệu số 7. Cần sử dụng giao diện này khi GGSN cần xác định SGSN hiện đang phục vụ một thuê bao, cũng giống như việc MSC cổng ( GMSC ) hỏi HLR để định tuyến thông tin cho một cuộc gọi kết cuối ở máy di động. Điều khác nhau duy nhất giữa hai trường hợp này là phiên số liệu thường được MS thiết lập chứ không phải mạng ngoài. Nếu MS thiết lập phiên thì GGSN biết SGSN nào đang phục vụ MS, vì tuyến truyền từ MS đến GGSN đi qua SGSN phục vụ. Trong trường hợp này GGSN không cần hỏi HLR. GGSN phải hỏi HLR khi phiên được khởi xướng bởi mạng số liệu ngoài. Đây là một khả năng tuỳ chọn và nhà khai thác có thể không chọn khả năng này. Trong nhiều mạng, khả năng này không được thực hiện và MS buộc phải có một địa chỉ giao thức gói cố định ( Address IP ). Tuy nhiên, không gian địa chỉ quy định thường hạn chế (nhất là ở phiên bản IPv4) nên một địa chỉ cố định cho từng MS thường không thể thực hiện được. SGSN có thể giao diện với các SGSN khác trong mạng. Giao diện này cũng được gọi là Gn và cũng sử dụng GTP. Chức năng đầu tiên của giao diện này là đảm bảo truyền xuyên các gói từ một SGSN cũ đến một SGSN mới khi xảy ra cập nhật định tuyến trong thời gian nội dung giao thức số liệu gói PDP Context (phiên số liệu). Lưu ý rằng quá trình chuyển hướng các gói từ một SGSN này đến một SGSN khác rất ngắn, đúng bằng thời gian mà SGSN mới và GGSN thiết lập PDP Context giữa chúng. Quá trình này hoàn toàn khác với chuyển giao giữa các MSC ở GSM. Ở trường hợp GSM, MSC đầu tiên vẫn duy trì vai trò MSC nút của nó cho đến khi cuộc gọi kết thúc. b) Mặt truyền dẫn SGSN không chỉ giao diện với BSC để truyền gói tới và nhận gói về MS, mà còn có các giao diện logic trực tiếp giữa MS và SGSN cho báo hiệu (Mặt báo hiệu) và cho truyền số liệu gói (Mặt truyền dẫn), mặc dù về mặt vật lý các giao diện này đều đi qua BSS. Hình vẽ cho thấy cấu trúc tổng quát của mặt truyền dẫn. Tại MS trước hết ta có giao diện vô tuyến (RF), trên giao diện này là các chức năng điều khiển truy nhập môi trường (MAC:Medium Access Control) và điều khiển đoạn nối vô tuyến (RLC: Radio Link Control). Trên nữa ta thấy chức năng điều khiển đoạn nối logic (LLC: Logical Link Control), chức năng này đảm bảo một đoạn nối logic và đóng khung cấu trúc để thông tin giữa MS và SGSN. Số liệu giữa MS và SGSN được gửi đi ở các khối số liệu giao thức đoạn nối vô tuyến (LLCPDU: LLC Packet Data Unit). LLC hỗ trợ việc quản lý quá trình truyền này bao gồm cơ chế phát hiện và phục hồi các LLC-PDU bị mất hoặc bị hỏng, mật mã hoá và điều khiển dòng. Cũng cần lưu ý rằng mật mã ở SGSN mạnh hơn mật mã ở GSM. ở GSM tiêu chuẩn mật mã chỉ được thực hiện ở đoạn nối vô tuyến giữa MS và BTS. ở GPRS mật mã được áp dụng giữa MS và SGSN, như vậy thông tin được bảo mật ở giao diện vô tuyến, giao diện Abis và giao diện Gb. Hình 2.2 : Mặt truyền dẫn GPRS. Trên LLC là giao thức hội tụ phụ thuộc mạng con (SNDCP:Subnetwork Dependent Convergence Protocol). Giao thức này nằm giữa LLC và lớp mạng (IP hoặc X-25). Nhiệm vụ của SNDCP là đảm bảo sự hỗ trợ cho nhiều giao thức mạng mà không cần thay đổi các lớp dưới ( LLC chẳng hạn ). SNDCP không chỉ cung cấp một bộ đệm giữa lớp trên và lớp dưới nó mà còn đảm bảo việc ghép một số luồng gói vào một đoạn nối logic giữa MS và SGSN. Một cách tuỳ chọn, nó cũng thực hiện nén ( chẳng hạn nén đầu đề TCP/IP và (hoặc) nén số liệu V.42bis ). Việc nén này, nhất là đối với V.42 có thể làm thay đổi đáng kể thông lượng. Tại BSS, chức năng chuyển tiếp ( Relay ) thực hiện chuyển tiếp các LLC-PDU từ giao diện Gb đến giao diện vô tuyến ( giao diện Um ). Tương tự tại SGSN, chức năng chuyển tiếp thực hiện chuyển tiếp PDP-PDU giữa giao diện Gb và Gn. Thoạt nhìn ta thấy dường như lớp IP ở hình vẽ trên cần được lặp lại. Thực ra có thể không cần lặp. Ta nhắc lại rằng giao thức GTP là một giao thức đường hầm ( tunnel ). Đối với các ứng dụng tại đầu cuối, chỉ tồn tại một kết nối IP ( kết nối ngay dưới lớp ứng dụng ) như thấy ở hình vẽ. GTP đặt kết nối này và các gói liên quan vào một bao gói (Wrapper) để truyền dẫn qua mạng IP nằm giữa GGSN và SGSN. Như vậy các nút mạng IP ( các bộ định tuyến ) giữa GGSN và SGSN sẽ coi các gói GTP này là ứng dụng và vì thế các bộ định tuyến này không kiểm tra nội dung của lớp GTP. Tại SGSN, bao gói được loại bỏ và gói được chuyển đến MS bằng cách sử dụng SNDCP, LLC và các lớp thấp hơn. Đối với các gói từ MS đến mạng ngoài (Internet chẳng hạn), GGSN loại bỏ bao gói và chuyển đi các gói IP. c) Mặt báo hiệu Hình vẽ cho thấy mặt báo hiệu từ MS đến SGSN. Hình 2.3 : Mặt báo hiệu MS-GPRS Tại các lớp thấp, các chức năng giống như ở mặt truyền dẫn. Nhưng ở các lớp cao ta thấy có giao thức quản lý phiên và quản lý tính di động GPRS (GMM/SM: GPRS Mobility Management / Session Management) thay cho SNDCP. Đây là giao thức được sử dụng cho cập nhật vùng định tuyến, các chức năng bảo an ( nhận thực chẳng hạn ), thiết lập, thay đổi và thôi tích cực phiên ( PDP Context ). Giao diện vô tuyến GPRS Giao diện vô tuyến GPRS được xây dựng trên cùng nền tảng như giao diện vô tuyến của GSM, cùng sóng mang vô tuyến độ rộng băng 200 kHz và 8 khe thời gian trên một sóng mang. Điều này cho phép GSM và GPRS chia sẻ cùng một tài nguyên vô tuyến. Chẳng hạn nếu ta xét một sóng mang vô tuyến nào đó, thì ở một thời điểm, một số khe thời gian có thể mang lưu lượng GSM còn một số khe khác mang số liệu GPRS. Ngoài ra GPRS cho phép phân bổ động tài nguyên, nhờ vậy một số khe có thể được sử dụng để mang lưu lượng thoại và sau đó dành cho lưu lượng số liệu GPRS tuỳ thuộc vào các yêu cầu lưu lượng. Vì thế không cần thiết kế vô tuyến đặc biệt hoặc quy hoạch tần số bổ sung cho GSM khi sử dụng GPRS. Tất nhiên, GPRS có thể yêu cầu bổ sung thêm sóng mang trong một ô. Khi này có thể cần quy hoạch tần số bổ sung, nhưng việc quy hoạch này không khác với quy hoạch cần thiết để bổ sung sóng mang cho GSM. Mặc dù GPRS sử dụng cùng một cơ sở hạ tầng như GSM, việc đưa vào GPRS cũng có nghĩa rằng phải đưa thêm một số kiểu kênh logic mới và các sơ đồ mã hoá kênh mới áp dụng cho các kênh logic này. Khe thời gian dùng để mang lưu lượng số liệu hay báo hiệu liên quan đến GPRS được gọi là kênh số liệu gói (PDCH: Packet Data Channel ). Hình vẽ cho thấy các kênh này sử dụng cấu trúc đa khung 52 khung đối lập với cấu trúc đa khung 26 khung của GSM. Như vậy đối với một khe cho trước, tại một thời điểm nhất định thông tin được mang trong khe phụ thuộc vào vị trí của khung trong cấu trúc đa khung 52 khung. Trong số 52 khung ở cấu trúc đa khung, có 12 khối vô tuyến mang số liệu của người sử dụng, hai khe để trống và hai khe dành cho hai kênh điều khiển định thời gói ( PTCCH:Packet Timing Control Channel). Mỗi khối vô tuyến chiếm bốn khung TDMA, như vậy mỗi khối vô tuyến tương ứng với bốn trường hợp liên tiếp của một khe thời gian. MS có thể sử dụng các khe để trống ở cấu trúc đa khung để đo tín hiệu. Phân cấp giao thức ở giao diện vô tuyến của GPRS như hình vẽ: Hình 2.4 : Giao diện vô tuyến GPRS 2.1.3. Các kênh điều khiển GPRS Cũng như GSM, GPRS đòi hỏi một số kênh điều khiển. Đầu tiên là kênh gói điều khiển chung ( PCCH ). Giống như kênh CCCH ở GSM, kênh này bao gồm nhiều kênh logic. Các kênh logic của PCCH gồm : Kênh truy nhập điều khiển gói ( PRACH: Packet Random Access Channel ) chỉ sử dụng ở đường lên. MS sử dụng kênh này để khởi xướng truyền số liệu hoặc báo hiệu gói. Kênh tìm gọi gói ( PPCH: Packet Paging Channel ) chỉ sử dụng ở đường xuống. Mạng sử dụng kênh này để tìm gọi MS trước khi tải gói xuống. Kênh cấp phép truy nhập gói ( PAGCH: Packet Acces Grant Channel ) chỉ sử dụng ở đường xuống. Mạng sử dụng kênh này để chỉ định tài nguyên cho MS trước khi truyền gói . Kênh thông báo gói ( PNCH: Packet Notification Channel ): kênh này được sử dụng để thông báo điểm-đa phương đa điểm (PTM-M: Point Multiple Multicast ) cho một nhóm các MS. PCCH có thể được đặt vào các tài nguyên vô tuyến khác nhau ( các khe thời gian khác nhau ) của kênh CCCH. Tuy nhiên việc sử dụng kênh PCCH là tuỳ chọn. Nếu kênh này không được sử dụng thì các chức năng liên quan đến GPRS được thực hiện ở kênh CCCH. Khi một khe nào đó được sử dụng để mang các kênh điều khiển (PBCCH hay PCCCH ), thì khối vô tuyến 0 được sử dụng để mang các kênh điều khiển PBCCH ( Packet Broadcast Control Channel: kênh điều khiển quảng bá gói ) cùng với tối đa ba khối vô tuyến bổ sung dành cho kênh này. Các khối còn lại được ấn định cho các kênh logic khác nhau PPCH hay PAGCH. Giống như GSM, GPRS hỗ trợ một số kênh điều khiển riêng (DCCH: Dedicated Control Channel ). ở GPRS, các kênh DCCH là kênh điều khiển liên kết nhanh gói ( PACCH: Packet Associated Control Channe ) và kênh điều khiển định thời gói ( PTCCH: Packet Timing Control Channel ). PTCCH được sử dụng để định thời trước cho các MS. PACCH là một kênh hai chiều dùng để chuyển báo hiệu và các thông tin khác giữa MS và mạng trong khi truyền gói. Kênh này được liên kết với một kênh lưu lượng số liệu gói ( PDTCH: Packet Data Traffic Channel ). PACCH không được ấn định cố định một tài nguyên. Khi cần gửi thông tin ở kênh PACCH, một phần số liệu gói của người sử dụng sẽ bị ngừng truyền, rất giống trường hợp xảy ra ở kênh FACCH của GSM. Các kênh lưu lượng số liệu gói ( PDTCH ) PDTCH là kênh được sử dụng để truyền số liệu thực sự của người sử dụng trên giao diện vô tuyến. Tất cả các kênh PDTCH là kênh đơn hướng hoặc đường lên hoặc đường xuống. Điều này đảm bảo khả năng không đối xứng của GPRS. Một PDTCH chiếm một khe thời gian và một MS với khả năng sử dụng đa khe có thể sử dụng nhiều kênh PDTCH tại một thời điểm. Ngoài ra một MS có thể sử dụng số lượng các kênh PDTCH khác nhau ở đường xuống và đường lên. Một MS có thể được ấn định nhiều kênh PDTCH ở một hướng truyền còn ở hướng truyền kia số kênh này có thể bằng không. Nếu một MS được ấn định một PDTCH ở đường lên, nó vẫn phải nghe ở khe thời gian tương ứng trên đường xuống ( kênh PDTCH đường xuống), thậm chí cả khi khe này không được ấn định cho MS. Đặc biệt nó phải nghe mọi cuộc truyền PACCH ở đường xuống vì PACCH có tính song phương ở đường xuống kênh này được dùng để mang báo hiệu cũng như các công nhận từ mạng. 2.2. Tổng quan về IPV6 Trên cơ sở mạng IPv4 được chuẩn hoá vào những năm 1980, Internet đã phát triển nhanh và trở thành nền tảng xã hội không thể thiếu được. Ngày nay, các mạng IP, cũng như Internet, tiếp tục được nâng cao về cả tốc độ lẫn chức năng. Các mạng IP phải cung cấp nhiều chức năng bao gồm những việc cung cấp đảm bảo cho chất lượng dịch vụ, di động, sự liên kết giữa các máy chủ…. Tuy nhiên Internet trên cơ sở IPv4 bị giới hạn về sự mở rộng, bảo đảm chất lượng dịch vụ, đảm bảo an toàn, và khả năng quản lý bởi vì IPv4 được thiết kế như là mạng kết nối của các nhà nghiên cứu và do đó không có được chuẩn bị để phục vụ cho hạ tầng xã hội. IPv6 không chỉ là một sự mở rộng của miền địa chỉ mạng hơn IPv4 mà là kĩ thuật chính để vượt qua những hạn chế trên. Ipv6 còn được gọi là giao thức Internet thế hệ kế tiếp hoặc IPng. IETF đưa ra tập nhân giao thức IPv6 vào 10-08-1998. IPv6 thích hợp cho thế hệ kế tiếp của giao thức Internet bởi vì nó giải quyết được vấn đề mở rộng Internet, và cung cấp một cơ chế quá độ mềm dẻo cho mạng Internet hiện tại, và nó được thiết kế để phù hợp với các yêu cầu của thị trường, như các thiết bị máy tính cá nhân, môi trường mạng làm việc và điều khiển thiết bị. Hình 2.5 : Khuôn dạng gói tin Ipv6. IPv6 có nhiều ưu điểm hơn so với IPv4 Không gian địa chỉ lớn IPng tăng địa chỉ IP từ 32 bit lên thành 128 bit, để hỗ trợ nhiều mức phân cấp địa chỉ, số lượng nút lớn hơn, và việc tự động cấu hình đơn giản hơn. Nó định nghĩa thêm một kiểu địa chỉ mới là “địa chỉ bất kì”, để xác định một tập các nút mà một gói tin gửi tới một địa chỉ bất kì sẽ được phân phối tới một trong các nút đó. Hỗ trợ nhiều tuỳ chọn hơn IPv6 có nhiều cải tiến cho mạng di động và truyền thông thời gian thực. Không giống như IPv4, IPv6 có một khả năng tự động cấu hình mạnh giúp cho việc quản trị hệ thống các trạm di động và các LAN. Các khả năng chất lượng dịch vụ Một tính năng mới của được thêm vào là cho phép đánh nhãn các gói tin liên quan đến các luồng lưu lượng để cho bộ phát yêu cầu điều khiển đặc biệt, như là dịch vụ thời gian thực. Các tính năng xác thực và bảo mật IPv6 bao gồm các định nghĩa mở rộng hỗ trợ cho xác thực, toàn vẹn dữ liệu và bảo mật. Nó được coi như là một phần tử cơ sở của IPv6. An toàn IPv6 sử dụng IPSec để thực hiện vấn đề an toàn. Giao thức an toàn tương ứng có thể được nâng cấp từ IPv4. Sử dụng IPv6 loại bỏ được nguy cơ tiềm ẩn khi phải sử dụng NAT để chuyển đổi địa chỉ của các gói tin IP trước khi đi ra khỏi mạng cục bộ vào mạng công cộng. Cùng với khả năng hỗ trợ nhiều mào đầu Ipv6 giúp cho việc xây dựng mạng riêng ảo đơn giản hơn và hiệu quả hơn. 2.2.1. Kiến trúc an toàn cho giao thức Internet a) Tổng quan IPsec được thiết kế nhằm cung cấp sự an toàn với khả năng liên kết, chất lượng cao trên cơ sở mã hoá cho IPv6 và IPv4. Tập các dịch vụ an toàn được đề xuất bao gồm điều khiển truy nhập, toàn vẹn phi kết nối, xác thực dữ liệu gốc, chống lặp, bảo mật (mã hoá) và bảo mật luồng lưu lượng bị giới hạn. Các dịch vụ này cung cấp cho tầng IP, và được đề xuất bảo vệ các giao thức tầng cao hơn IP. IPSec sử dụng của hai cơ chế an toàn lưu lượng: mào đầu xác thực (AH), dữ liệu an toàn đóng gói (ESP), và thông qua các thủ tục quản lý khoá bí mật và các giao thức để thực hiện các mục tiêu đặt ra. Tuỳ theo các yêu cầu về hệ thống và an toàn của người sử dụng, người quản trị hay của đơn vị, tổ chức, nó sẽ quyết định tập các giao thức IPsec thực hiện trong mỗi hoàn cảnh cùng với cách thực hiện chúng. Khi các cơ chế này thực hiện chính xác, nó không có ảnh hưởng xấu đối với người dùng hay với các thành phần Internet khác không thực hiện các cơ chế an toàn bảo vệ lưu lượng. Các cơ chế này cũng được thiết kế độc lập thuật toán, việc modunle hoá này cho phép việc lựa chọn các tập thuật toán khác nhau không ảnh hưởng đến việc thực hiện ở các phần khác. Cho nên người dùng khác có thể chọn một tập các thuật toán khác nếu muốn. Một tập chuẩn các thuật toán ngầm định được xác định để dễ dàng trao đổi trên Internet toàn cầu. Sử dụng các thuật toán này, với việc liên kết với bảo vệ lưu lượng IPsec và các giao thức quản lý khoá, nhằm mục đích cho phép những người phát triển ứng dụng và hệ thống làm việc với các kĩ thuật an toàn bảo mật, tầng Internet, chất lượng cao. Sự tương thích của các giao thức IPsec và kết hợp các thuật toán ngầm định được thiết kế để cung cấp an toàn chất lượng cao cho lưu lượng Internet. Để đảm bảo an toàn cho hệ thống máy tính và mạng có rất nhiều nhân tố, bao gồm người dùng (nhân viên), thủ tục, các thoả thuận, và thực hiện an toàn máy tính, do dó IPsec chỉ là một phần trong kiến trúc an toàn hệ thống tổng thể. Hơn thế nữa, mức an toàn tạo bởi việc sử dụng IPsec còn phụ thuộc vào nhiều khía cạnh của môi trường ứng dụng. Ví dụ, thiếu sót trong OS, khả năng tạo số ngẫu nhiên thấp, các qui trình, thực hiện quản lý hệ thống tuỳ tiện v.v… làm giảm khả năng an toàn do IPSec cung cấp. Trong phạm vi đề tài này sẽ không đề cập đến những khía cạnh trên. Thực hiện IPsec trên môi trường một trạm hoặc một gateway an toàn cho phép bảo vệ cho lưu lượng IP, việc bảo vệ này trên cơ sở các yêu cầu được định nghĩa bởi một cơ sở dữ liệu chính sách an toàn do một người dùng hoặc một người quản trị hệ thống, hoặc bởi một ứng dụng thiết lập và duy trì. Nhìn chung, các gói tin lựa chọn một trong ba mô hình xử lý trên cơ sở thông tin mào đầu lớp truyền tải và IP được thể hiện dựa vào các bản ghi vào trong cơ sở dữ liệu (SDP). Mỗi gói áp dụng các dịch vụ an toàn Ipsec, hoặc bị huỷ bỏ, hoặc được phép bỏ qua IPsec trên cơ sở các cơ sở dữ liệu chính sách. IPsec cung cấp các dịch vụ an toàn tại tầng IP bằng việc cho phép một hệ thống lựa chọn các giao thức an toàn, quyết định các thuật toán sử dụng cho các dịch vụ, lưu trữ các khoá bí mật cung cấp cho các dịch vụ yêu cầu. IPsec có thể sử dụng để bảo vệ một hoặc nhiều kênh truyền giữa hai trạm, giữa hai gateway an toàn, hoặc giữa một gateway an toàn và trạm. Tập các dịch vụ an toàn mà IPsec có thể cung cấp bao gồm điều khiển truy nhập, toàn vẹn phi kết nối, xác thực dữ liệu gốc, từ chối gói tin lặp, bảo mật (mã hoá), và bảo mật luồng lưu lượng bị giới hạn. Bởi vì các dịch vụ này được cung cấp tại tầng IP, nên có thể sử dụng chúng cho bất kì một giao thức nào tầng nào cao hơn TCP, UDP, ICMP... IPsec sử dụng 2 giao thức để thực hiện an toàn lưu lượng là mào đầu xác thực (AH), và dữ liệu an toàn đóng gói (ESP). Mào đầu xác thực IP cung cấp toàn vẹn phi kết nối, xác thực dữ liệu gốc, và tùy chọn dịch vụ loại gói phát lặp. Giao thức dữ liệu an toàn đóng gói (ÉP) có thể cung cấp khả năng khả năng bảo mật (mã hóa), và bảo mật luồng lưu lượng bị giới hạn. Nó cũng có thể cung cấp toàn vẹn phi kết nối, xác thực dữ liệu gốc, và dịch vụ loại bỏ gói lặp. + Cả AH và ESP chuyên dung để điều khiển truy nhập, trên cơ sở phân phối các khoa bí mật và quản lý luồng lưu lượng lien quan đến các giao thức an toàn này. Những giao thức an toàn này có thể ứng dụng riêng hoặc kết hợp với nhau để cung cấp một tập mong muốn các dịch vụ an toàn cho IPv4 và IPv6. Mỗi giao thức hỗ trợ hai chế độ: chế độ truyền tải và chế độ đường hầm. Trong chế độ truyền tải, các giao thức cung cấp sự bảo vệ cơ bản nhất cho các giao thức lớp trên; trong chế độ đường hầm, các giao thức ứng dụng để các gói IP đi qua đường hầm. Khi thực hiện IPsec cần phải làm rõ: Các dịch vụ an toàn sử dụng và cách kết hợp chúng. Trọng tâm việc bảo vệ an toàn Các thuật toán sử dụng an toàn hiệu quả trên cơ sở bảo mật. Bởi vì các dịch vụ an toàn chia sẻ các giá trị bí mật (khoá bí mật), IPsec sử dụng một tập các cơ chế riêng biệt lưu trữ các khoá. (các khoá thường được sử dụng để xác thực toàn vẹn và dịch vụ mã hoá). Việc phân phối những khoá này phải có khả năng thực hiện bằng 2 cách: tự động và nhân công. b) Các SA Khái niệm SA Một SA là một “kết nối” đơn giản cung cấp các dịch vụ an toàn để ruyền tải lưu lượng. Một SA sử dụng AH và ESP để cung cấp các dịch vụ an toàn, nhưng không sử dụng đồng thời cả hai giao thức. Nếu AH và ESP được ứng dụng với một luồng lưu lượng, thì cần tạo ra 2 (hoặc nhiều hơn) SA để bảo vệ luồng lưu lượng. Thông thường, truyền thông hai hướng giữa hai trạm, hoặc giữa các gateway an toàn sử dụng hai SA (một cho mỗi hướng). Một SA được xác định duy nhất bởi một bộ 3: chỉ số tham số an toàn (SPI), địa chỉ IP đích và giao thức an toàn (AH hoặc ESP). Theo nguyên tắc, địa chỉ đích có thể là địa chỉ đơn hướng, một địa chỉ quảng bá, hoặc một địa chỉ đa hướng. Tuy nhiên, cơ chế quản lý SA của IPsec hiện thời được định nghĩa chỉ cho SA đơn hướng. Theo đó, SA được xem như là dung truyền thông điểm - điểm, mặc dù có thể dùng cho trường hợp điểm-đa điểm. Có hai kiểu SA được định nghĩa: SA chế độ truyền tải và SA chế độ đường hầm. Một SA chế độ truyền tải là một SA giữa hai trạm. Trong trường hợp sử dụng ESP, một SA chế độ truyền tải chỉ cung cấp các dịch vụ an toàn cho các giao thức tầng cao hơn, không dùng cho mào đầu IP hay các mào đầu mở rộng có trước mào đầu ESP. Trong trường hợp sử dụng AH, việc bảo vệ cũng được mở rộng cho những phần được chọn của mào đầu IP, những phần được chọn của các mào đầu mở rộng, các tuỳ chọn được lựa chọn (có trong mào đầu IPv4, mào đầu mở rộng Hop-by –Hop IPv6). Một SA chế độ đường hầm là một SA được ứng dụng cho một đường hầm IP. Khi một đầu của SA là một gateway an toàn, thì SA phải ở chế độ đường hầm. Hai host có thể thiết lập một SA chế độ đường hầm giữa chúng. SA đường hầm xuất hiện tuỳ thuộc vào sự cần thiết loại bỏ những vấn đề tiềm ẩn đối với việc phân mảnh và tập hợp lại các gói tin, và trong những trường hợp khi có nhiều kênh truyền (qua nhiều gateway an toàn khác nhau) tồn tại tới cùng một đích ẩn sau các gateway an toàn. Nếu AH được thực hiện ở chế độ đường hầm, những phần của mào đầu IP phía ngoài được bảo vệ tốt như trong trường hợp gói IP đường hầm. Nếu ESP được thực hiện, việc bảo vệ được thực hiện chỉ cho các gói đường hầm, không cho các mào đầu phía ngoài. Các chức năng của SA Việc cung cấp dịch vụ an toàn khi sử dụng SA phụ thuộc vào giao thức an toàn được lựa chọn, chế độ SA, các đầu cuối của SA, và các dịch vụ tuỳ chọn trong giao thức. Tuỳ chọn AH cung cấp việc xác nhận dữ liệu gốc và toàn vẹn phi kết nối cho dữ liệu IP. AH cho phép dịch vụ loại bỏ lặp tuỳ theo phía thu, nhằm hỗ trợ bộ đếm khi có các cuộc tấn công từ chối dịch vụ. AH như là một giao thức tương đương để thực hiện khi việc bảo mật không được yêu cầu (hoặc không được phép, phụ thuộc vào các hạn chế của chính phủ về bảo mật). AH cũng cung cấp xác thực những phần của mào đầu IP được lựa chọn, nó có thể là cần thiết trong một vài trường hợp. Ví dụ, nếu tính toàn vẹn cho tuỳ chọn IPv4 hoặc mào đầu mở rộng IPsec phải được bảo vệ trên đường truyền giữa bộ thu và bộ phát, AH có thể cung cấp dịch vụ này (ngoại trừ trường hợp không thể dự đoán trước nhưng những phần có thể thay đổi của mào đầu IP). Tuỳ chọn ESP cung cấp sự bảo mật cho lưu lượng. ESP cũng có thể cung cấp tuỳ chọn việc xác thực. Nếu việc xác thực được thoả thuận cho một ESP SA, bộ thu cũng có thể đưa ra dịch vụ chống lặp với cùng một chức năng như dịch vụ chống lặp do AH cung cấp. Phạm vi của xác thực cho phép bởi ESP hẹp hơn so với AH, các mào đầu IP phía ngoài mào đầu ESP không được bảo vệ. Nếu các giao thức tầng trên cần được xác thực, thì xác thực ESP là một tuỳ chọn phù hợp và có hiệu quả hơn so với việc sử dụng AH. Lưu ý rằng cả bảo mật và xác nhận đều là tuỳ chọn, không thể thực hiện cả hai cùng một lúc, nhưng tối thiểu phải lựa chọn một trong hai giao thức. Nếu dịch vụ bảo mật được lựa chọn, thì SA ESP giữa 2 gateway an toàn có thể bảo mật luồng lưu lượng cục bộ. Việc sử dụng chế độ đường hầm cho phép các mào đầu IP phía trong được mã hoá, che giấu lưu lượng nguồn và đích. Hơn thế nữa, việc chèn thêm dữ liệu ESP cũng có thể giấu đi kích thước của gói tin, giấu đi các đặc tính mở rộng của lưu lượng. Dịch vụ bảo mật luồng lưu lượng tương tự có thể cho phép khi một người dùng di động đăng kí một địa chỉ IP động trong trường hợp quay số, và thiết lập (chế độ đường hầm) SA ESP tới một firewall của tổ chức (đóng vai trò như một gateway an toàn ). 2.2.2. Kiến trúc an toàn của giao thức IPV6 Kiến trúc an toàn của IPv6 dựa trên nền tảng của kiến trúc an toàn cho mạng Internet Nó được hỗ trợ bởi các mào đầu mở rộng Nó dựa trên 2 cơ chế: Mào đầu xác thực (AH) Dữ liệu an toàn đóng gói (ESP) AH và ESP có thể sử dụng riêng hoặc kết hợp với nhau, cung cấp an toàn cho dữ liệu. 2.2.3. Các giao thức an toàn trong IPV6 2.2.3.1 Giao thức mào đầu xác thực (AH) Mào đầu xác thực IP (AH) thường dùng để cung cấp toàn vẹn phi kết nối, xác thực dữ liệu gốc cho các dữ liệu IP (ở đây chỉ đề cập tới vấn đề xác thực) và bảo vệ chống lặp. Bộ thu có thể chọn các dịch vụ không bắt buộc khi một SA được thiết lập. AH cung cấp xác thực cho nhiều mào đầu IP đến mức có thể, như là cho dữ liệu giao thức tầng cao hơn. Tuy nhiên, một vài trường mào đầu IP có thể thay đổi khi truyền và bộ phát không dự đoán giá trị của các trường khi bộ thu nhận gói tin. AH không bảo vệ giá trị của các trường như vậy. Do đó việc bảo vệ mào đầu IP do AH cung cấp là theo từng phần. AH có thể áp dụng riêng, hay kết hợp với dữ liệu an toàn đóng gói IP (ESP), hay lồng nhau bằng việc sử dụng chế độ đường hầm. Các dịch vụ an toàn có thể cung cấp giữa hai trạm, hai gateway an toàn, hoặc có thể giữa một trạm và một gateway an toàn. ESP có thể dùng để cung cấp các dịch vụ tương tự, và nó cũng cung cấp dịch vụ bảo mật (mã hoá). Điểm khác biệt chính giữa việc xác thực giữa AH và ESP là phạm vi thực hiện, ESP không bảo vệ các trường mào đầu IP, trừ khi các trường đó được đóng gói bằng ESP (trong chế độ đường hầm). a) Định dạng mào đầu xác thực Mào đầu giao thức đặt ngay trước mào đầu AH sẽ chứa giá trị 51 trong trường mào đầu kế tiếp. Trường mào đầu kế tiếp (Next Header) Mào đầu kế tiếp là một trường 8 bit để xác định kiểu của dữ liệu tiếp sau mào đầu xác thực. Giá trị này được chọn từ tập các số giao thức IP được định nghĩa trong RFC “các số được đăng kí”. Trường độ dài dữ liệu (Payload Length) Đây là một trường 8 bit chỉ ra độ dài của AH theo đơn vị từ 32 bit, trừ “2”. (Tất cả các mào đầu mở rộng IPv6, theo RFC 1883, mã hoá trường độ dài mào đầu mở rộng bằng cách trừ đi 1 từ 64 bít từ độ dài của mào đầu. AH là một mào đầu mở rộng IPv6. Tuy nhiên, khi độ dài được tính bằng đơn vị 32 bit, thì nó sẽ trừ đi 2 (từ 32 bit)). Trong trường hợp thêm giá trị xác thực 96 bit, độ dài trường này sẽ là 4. Thuật toán xác thực NULL có thể sử dụng với mục đích bắt lỗi. Trường này có giá trị “2” với IPv6, không tương ứng với trường dữ liệu xác thực. Trường chưa dùng (Reserved) Trường 16 bit chưa dùng để dành cho tương lai. Nó phải có giá trị “0”. (giá trị này vẫn được tính trong dữ liệu xác thực nhưng bị bỏ qua ở nơi nhận). Trường chỉ số các tham biến an toàn (SPI) SPI là một giá trị 32 bit, kết hợp với địa chỉ IP đích và giao thức an toàn (AH), xác định duy nhất SA cho dữ liệu này. Tập các giá trị SPI trong khoảng 1…255 được dành riêng theo tài liệu các số đăng kí Internet dung cho tương lai; IANA sẽ không đăng kí một giá trị dành riêng SPI, trừ khi một RFC chỉ rõ việc sử dụng nó. Nó thông thường được chọn bởi hệ thống đích dựa vào việc thiết lập SA. Giá trị SPI bằng 0 được dành riêng. Ví dụ, việc quản lý khoá có thể sử dụng SPI 0 với ý nghĩa không có SA tồn tại trong giai đoạn việc thực hiện IPSec yêu cầu thực thể quản lý khoá thiết lập một SA mới, nhưng SA chưa được thiết lập. Trường số tuần tự (Sequence Number) Đây là trường 32 bit chứa giá trị đếm tăng từng bước. Nó bắt buộc và luôn có thậm chí cả khi, bộ thu không quyết định sử dụng dịch vụ chống lặp cho một SA. Bộ đếm của bên phát và bộ đếm của bộ thu cùng được khởi tạo bằng 0 khi SA được thiết lập. Nếu sử dụng dịch vụ chống lặp (ngầm định), số tuần tự truyền đi không bao giờ được phép quay vòng. Do đó, bộ đếm của bên thu và phát phải được xoá (bằng việc thiết lập SA mới và do đó là khoá mới) trước khi số gói truyền trên SA đạt giá trị 2^32. Trường dữ liệu xác thực (Authentication Data) Đây là một trường có độ dài biến đổi, dùng chứa giá trị kiểm tra toàn vẹn cho gói tin. Trường phải có độ dài là bội số 32 bit. Trường này có thể bao có phần độn để đảm bảo độ dài của AH là bội số của 64 bit (IPv6). b) Quá trình xử lý mào đầu xác thực Tìm mào đầu xác thực Giống như ESP, AH có thể thực hiện theo hai cách: chế độ truyền tải hoặc chế độ đường hầm. Chế độ đầu chỉ dùng với các thực thi trên trạm để bảo vệ cho các giao thức tầng cao hơn, bằng việc thêm vào các trường mào đầu IP được lựa chọn. Trong chế độ truyền tải, AH được chèn sau mào đầu IP và trước giao thức tầng cao hơn TCP, UDP… hay trước bất kì mào đầu IPSec được chèn vào. Với IPv6, AH được xem như là dữ liệu đầu cuối - đầu cuối, và do đó nó xuất hiện sau các mào đầu mở rộng hop-by-hop, định tuyến, và phân đoạn. Các mào đầu mở rộng tuỳ chọn đích có thể xuất hiện trước hoặc sau mào đầu AH tuỳ thuộc vào ngữ cảnh yêu cầu. Dưới đây là hình minh hoạ cho vị trí trong chế độ truyền tải với gói IPv6 thông thường: * Nếu có, có thể trước hoặc sau AH, hoặc cả hai. AH chế độ đường hầm có thể thực hiện tại trạm hoặc gateway an toàn. Khi một gateway an toàn thực hiện AH (để bảo vệ lưu lượng truyền), thì chế độ đường hầm được sử dụng. Trong chế độ đường hầm, mào đầu IP bên trong mang các địa chỉ nguồn đích cuối cùng, trong khi mào đầu IP bên ngoài có thể chứa các địa chỉ IP khác nhau, đó có thể là địa chỉ của các gateway an toàn an toàn. Trong chế độ đường hầm, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả mào đầu bên trong. * Nếu có, có thể trước AH, sau AH, hoặc cả hai. Các thuật toán xác thực SA chỉ ra thuật toán xác thực dùng tính toán ICV. Với truyền thông điểm - điểm, các thuật toán xác thực phù hợp bao gồm các mã xác thực thông báo được khoá (MACs) trên cơ sở các thuật toán mã hoá đối xứng (như DES) hoặc trên các hàm băm một đường (MD5 hoặc SHA-1). Với truyền thông đa hướng, các thuật toán băm một đường tổ hợp thuật toán chữ kí bất đối xứng là phù hợp, mặc dù sự cân nhắc về hiệu suất và không gian hiện tại làm hạn chế các thuật toán này. Các thuật toán xác thực bắt buộc là: - HMAC với MD5. - HMAC với SHA-1. Ngoài ra, các thuật toán khác cũng có thể được hỗ trợ. Xử lý gói đi ra Trong chế độ truyền tải, bên phát chèn mào đầu AH sau mào đầu IP và trước mào đầu giao thức tầng trên. Trong chế độ đường hầm, mào đầu các mở rộng IP trong và ngoài có thể liên kết với nhau theo nhiều cách. Việc xây dựng mào đầu các mở rộng IP trong và ngoài trong quá trình đóng gói đã được nếu trong tài liệu kiến trúc an toàn. Nếu sử dụng nhiều hơn một mào đầu mở rộng IP, trình tự áp dụng của các mào đầu an toàn phải được định nghĩa bởi chính sách an toàn. Với quá trình xử lý đơn giản, mỗi mào đầu IP nên bỏ qua sự tồn tại của mào đầu IPSec được áp dụng sau đó. Tìm kiếm SA AH được áp dụng cho gói tin đi ra chỉ sau một thực thi IPSec quyết định rằng gói tin được kết hợp với một SA gọi quá trình xử lý AH. Tiến trình quyết định việc xử lý IPSec nào áp dụng cho lưu lượng đi ra đã được mô tả trong tài liệu kiến trúc an toàn. Sinh số tuần tự Bộ đếm của bên phát được khởi tạo bằng 0 khi thiết lập SA. Bộ phát tăng số tuần tự cho SA này và đưa giá trị mới vào trường số tuần tự. Nếu dịch vụ chống lặp được dùng (ngầm định), bộ phát sẽ kiểm tra để đảm bảo rằng bộ đếm không bị quay vòng trước khi giá trị mới được chèn vào trường số tuần tự. Bộ phát không phải gửi một gói trên SA nếu việc đó là nguyên nhân làm số tuần tự quay vòng. Cố gắng gửi một gói tin làm tràn số tuần tự là một sự kiện bị theo dõi. Bộ phát giả sử rằng dịch vụ được dùng là ngầm định, trừ khi có thông báo khác từ bộ thu. Do đó, nếu bộ đếm bị xoay vòng, bộ phát sẽ thiết lập một SA mới và khóa (trừ trường hợp, SA được cấu hình với quản lý khoá nhân công). Nếu dịch vụ chống lặp bị cấm, bộ phát không cần giám sát hoặc xoá bộ đếm, như trong trường hợp quản lý khoá nhân công. Tuy nhiên, bộ phát vẫn tăng bộ đếm và khi đạt đến giá trị cực đại, bộ đếm sẽ quay lại giá trị 0. Việc tính toán giá trị kiểm tra toàn ICV AH được tính toán thông qua: Các trường mào đầu IP không thay đổi trong quá trình truyền hoặc dự đoán trước được giá trị dựa vào điểm đến của AH SA. Mào đầu AH (mào đầu kế tiếp, độ dài dữ liệu, phần dành riêng, SPI, số tuần tự và dữ liệu xác thực (nó được đặt bằng 0 với tính toán này) và các byte độn rõ ràng nếu có. Dữ liệu giao thức mức trên, mà nó được giả sử là không thay đổi trong quá trình truyền. Phân mảnh dữ liệu Nếu cần thiết, việc phân mảnh IP xảy ra sau khi xử lý AH trong khi thực hiện IPSec. Do đó, AH chế độ truyền tải được áp dụng chỉ cho cả dữ liệu IP (chứ không phải các mảnh). Một gói IP áp dụng AH được áp dụng có thể bị phân mảnh bởi các router trên đường đi, và các phân mảnh này phải được tập hợp lại trước quá trình xử lý AH tại bộ thu. Trong chế độ đường hầm, AH được áp dụng cho cả gói IP, mà dữ liệu của nó có thể là một gói IP bị phân mảnh. Xử lý các gói đi vào Nếu có nhiều hơn một mào đầu mở rộng IP , quá trình xử lý cho mỗi mào đầu sẽ bỏ qua các mào đầu IPSec áp dụng tiếp theo mào đầu đang được xử lý. Tập hợp Nếu cần thiết, việc tập hợp được thực hiện trước khi xử lý AH. Nếu một gói xử lý AH là phân đoạn IP, trường Offset là khác 0 hoặc cờ nhiều phân đoạn được đặt, bộ thu phải bỏ qua gói tin; đây là sự kiện theo dõi. bản ghi theo dõi cho sự kiện nên bao gồm giá trị SPI, ngày giờ, địa chỉ nguồn, địa chỉ đích và ID luồng (trong IPv6). Tìm SA Khi nhận gói tin chứa mào đầu xác thực IP, bộ thu sẽ quyết định SA tương ứng dựa trên cơ sở địa chỉ IP đích, giao thức an toàn (AH), và SPI. (Quá trình xử lý này được mô tả rõ hơn trong tài liệu kiến trúc an toàn). SA này chỉ ra trường số tuần tự sẽ được kiểm tra, chỉ ra thuật toán thực hiện tính ICV, và chỉ ra khoá yêu cầu để đảm bảo ICV. Nếu không tồn tại SA phù hợp cho phiên làm việc này (hoặc bộ thu không có khoá), bộ thu phải loại bỏ gói tin; đây là một sự kiện theo dõi. Bản ghi theo dõi nên bao gồm các thông tin SPI, ngày giờ, địa chỉ nguồn, địa chỉ đích và ID luồng (IPv6). Xác minh số tuần tự Tất cả mọi thực thi AH phải hỗ trợ dịch vụ chống lặp, mặc dù bộ thu có thể cho phép dùng hoặc cấm với mỗi SA. Nếu bộ thu không cho phép dịch vụ chống lặp cho SA, thì không có kiểm tra đi vào được thực hiện với số tuần tự. Tuy nhiên, từ mỗi bộ phát từ xa luôn ngầm định là dịch vụ chống lặp được sử dụng tại bộ thu. Để tránh việc bộ phát giám sát số tuần tự và thiết lập SA không cần thiết, bộ thu nên thông báo cho bộ phát trong quá trình thiết lập SA, nếu như bộ thu không sử dụng dịch vụ bảo vệ chống lặp. Nếu bộ thu sử dụng dịch vụ chống lặp với SA này, bộ đếm gói nhận của SA phải được khởi tạo bằng 0 khi SA được thiết lập. Khi nhận một gói tin, bộ thu phải xác minh rằng gói tin chứa số tuần tự không bị lặp với bất kì gói tin khác trong quá trình tồn tại của SA. Sau khi gói tin đã phù hợp SA, việc kiểm tra AH được thực hiện trước để tăng tốc độ loại bỏ gói tin lặp. Các gói lặp bị từ chối qua việc sử dụng cửa sổ nhận trượt. Kích thước cửa sổ tối thiểu 32 phải được hỗ trợ; nhưng của sổ kích cỡ 64 được ưa dung và nên sử dụng như giá trị ngầm định. Bộ thu có thể lựa chọn các kích thước cửa sổ khác lớn hơn giá trị tối thiểu. Phía bên phải cửa sổ biểu diễn giá trị số tuần tự cao nhất đúng mà bộ thu nhận được trên SA. Các gói tin chứa số tuần tự thấp hơn ở biên trái của cửa sổ bị từ chối. Các gói trong cửa sổ được kiểm tra với các gói trong danh sách nhận được nằm trong cửa sổ. Nếu gói tin nhận nằm trong cửa sổ và là mới, hoặc nếu gói tin ở bên phải của cửa sổ, thì bộ thu tiến hành xác minh ICV. Nếu kiểm tra ICV không thành công, bộ thu phải loại bỏ dữ liệu IP nhận được; đây là sự kiện theo dõi. Bản ghi theo dõi nên bao gồm giá trị SPI, ngày/giờ , địa chỉ nguồn, địa chỉ đích, số tuần tự , và ID luồng (IPv6). Cửa sổ nhận được cập nhật chỉ khi ICV xác minh thành công. Xác minh giá trị kiểm tra toàn vẹn Bộ thu tính toán ICV thông qua các trường tương ứng của gói tin, sử dụng các thuật toán xác thực cụ thể, và xác minh rằng nó bằng giá trị ICV trong trường dữ liệu xác thực của gói tin. Nếu ICV tính toán và nhận được là phù hợp, thì dữ liệu là đúng, và nó được chấp nhận. Nếu kiểm tra thất bại, bộ thu phải loại bỏ gói tin; đây là sự kiện phải theo dõi. ản ghi theo dõi nên bao gồm giá trị SPI, ngày giờ , địa chỉ nguồn, địa chỉ đích, số tuần tự, và ID luồng (IPv6). 2.2.3.2. Giao thức dữ liệu an toàn đóng gói (ESP) Mào đầu dữ liệu an toàn đóng gói(ESP ) được thiết kế để cung cấp các dịch vụ an toàn hỗn hợp. ESP có thể áp dụng riêng, kết hợp với mào đầu xác thực IP (AH), hoặc lồng nhau, qua việc sử dụng trong chế độ đường hầm. Các dịch vụ an toàn có thể cung cấp giữa hai trạm, hai gateway an toàn hoặc giữa trạm và gateway an toàn. Mào đầu ESP được chèn sau mào đầu mào đầu IP và trước mào đầu giao thức tầng trên (chế độ truyền tải) hoặc mào đầu IP được đóng gói (chế độ đường hầm). Các chế độ này sẽ được mô tả kĩ hơn ở phần sau. ESP thường được dùng để cung cấp bảo mật, xác thực dữ liệu gốc, toàn vẹn phi kết nối, và dịch vụ chống lặp, và bảo mật luồng lưu lượng bị giới hạn. Tập các dịch vụ được cung cấp phụ thuộc vào việc lựa chọn lúc thiết lập SA và sắp đặt việc thực hiện. Bảo mật có thể được lựa chọn độc lập với mọi dịch vụ khác. Tuy nhiên, việc sử dụng bảo mật không có toàn vẹn xác thực có thể đưa lưu lượng tới khả năng bị các cuộc tấn công, mà chúng có thể làm hỏng dịch vụ bảo mật. Xác thực dữ liệu gốc và toàn vẹn dữ liệu phi kết nối là các dịch vụ chung (cùng hiểu là “xác thực”) và cho phép như một lựa chọn cùng với bảo mật (tuỳ chọn). Dịch vụ chống lặp có thể được chọn chỉ khi việc xác thực dữ liệu gốc được lựa chọn, và có yêu cầu của bộ thu. (Mặc dù, mặc định bộ phát tăng số tuần tự dùng cho dịch vụ chống lặp, dịch vụ này chỉ hiệu quả nếu bộ thu kiểm tra số tuần tự). Bảo mật luồng lưu lượng yêu cầu chọn chế độ đường hầm, và nó hiệu quả nhất nếu được thực thi tại gateway an toàn, nơi thực hiện việc thoả thuận lưu lượng mà có thể là che giấu các cặp nguồn đích thực sự. Lưu ý, mặc dù cả bảo mật và xác thực là tuỳ chọn, nhưng tối thiểu một trong số chúng phải được lựa chọn. a) Định dạng gói tin dữ liệu an toàn đóng gói Mào đầu giao thức (IPv6) trung gian trước mào đầu ESP sẽ chứa giá trị 50 trong trường mào đầu kế tiếp (IPv6 ). * Nếu có, tập hợp trong trường dữ liệu, dữ liệu đồng bộ mã hoá, ví dụ vector khởi tạo, thông thường không được mã hoá. mặc dù nó thường liên quan như một phần của văn bản mã hoá. Trường chỉ số các tham số an toàn (SPI) SPI là một giá trị 32 bit tuỳ ý, kết hợp với địa chỉ IP đích và giao thức an toàn (ESP), xác định duy nhất SA cho dữ liệu. Tập các giá trị SPI trong khoảng 1.255 được dành riêng bởi tài liệu các số đăng kí Internet (IANA) dùng cho tương lai. Các giá trị SPI để dành sẽ không được đăng kí bởi IANA trừ khi nó được chỉ rõ trong một RFC. Nó được lựa chọn do các hệ thống đích phụ thuộc vào việc thiết lập SA. Trường SPI là bắt buộc. SPI bằng 0 được dùng riêng, ví dụ, thực hiện quản lý khoá có thể xoá SPI về 0 với ý nghĩa “Không tồn tại SA” trong suốt giai đoạn IPSec yêu cầu thực thể quản lý khoá thiết lập một SA mới, nhưng SA chưa được được thiết lập. Trường số tuần tự Là trường số 32 bit không dấu chứa bộ đếm tăng từng bước (số tuần tự). Nó là trường bắt buộc và luôn có thậm chí cả khi bộ thu không chọn dịch vụ chống lặp cho một SA cụ thể. Bộ phát luôn gửi trường này nhưng việc xử lý nó thì tuỳ thuộc vào bộ thu. Bộ đếm bên phát và bộ đếm được khởi tạo bằng 0 khi SA được thiết lập. (gói tin đầu tiên gửi sử dụng SA sẽ có số tuần tự bằng 1). Nếu dịch vụ chống lặp được dùng (ngầm định), số tuần tự truyền không bao giờ được phép quay vòng. Do đó bộ đếm bên phát phát và thu phải xoá (bằng cách thiết lập một SA mới và khoá mới) trước khi truyền 232 trên một SA. Trường dữ liệu có ích (Payload Data) Dữ liệu có ích là trường có độ dài thay đổi chứa dữ liệu được mô tả bởi trường mào đầu. Trường dữ liệu có ích là bắt buộc và độ dài là một số nguyên các byte. Nếu thuật toán sử dụng để mã hoá dữ liệu yêu cầu dữ liệu đồng bộ hoá bảo mật, ví dụ một vector khởi tạo, thì dữ liệu có thể được truyền rõ ràng trong trường dữ liệu. Các thuật toán mã hoá phải rõ ràng, dữ liệu đồng bộ mỗi gói tin phải chỉ ra độ dài, cấu trúc dữ liệu, và vị trí của dữ liệu như một phần của tài liệu khuyến nghị cách thuật toán sử dụng với ESP. Nếu dữ liệu đồng bộ hoá không rõ ràng, thuật toán nhận được từ dữ liệu phải là một phần của khuyến nghị. Với vài chế độ xử lý trên cơ sở IV, bộ thu xử lý IV như là bắt đầu của văn bản mã hóa, đưa vào trong thuật toán trực tiếp. Trong nhiều chế độ, việc liên kết bắt đầu văn bản mã hoá không phải là vấn đề tại bộ thu. Trong vài trường hợp, bộ thu đọc IV riêng với văn bản mã hoá.Trong các trường hợp này, thuật toán cụ thể phải chỉ ra cách liên kết văn bản mã hoá được thực hiện. Trường độn (dùng cho mã hóa) Có nhiều nhân tố yêu cầu việc sử dụng trường độn: Nếu thuật toán mã hoá được thực hiện yêu cầu văn bản thường phải là bội của một số nào đó, ví dụ kích thước khối của một khối mã hoá, trường độn thường dùng để đổ đầy văn bản thông thường (bao gồm dữ liệu có ích, độ dài độn và các trường mào đầu kế tiếp) để đạt được kích thước yêu cầu bởi thuật toán. Trường độn có thể được yêu cầu, bất kể thuật toán mã hoá, để đảm bảo văn bản mã hoá kết thúc với một biên 4 byte.Trường độn phụ thuộc vào yêu cầu của thuật toán hoặc lý do cân chỉnh, hoặc có thể sử dụng để che giấu độ dài thực của dữ liệu, hỗ trợ bảo mật luồng lưu lượng. Tuy nhiên, việc thêm trường độn có tác động đến băng thông nên cần phải cân nhắc khi sử dụng. Bộ phát có thể gửi từ 0 –255 byte độn. Mặc dù trường độn trong gói ESP là tuỳ chọn, nhưng mọi thực hiện vẫn phải hỗ trợ việc tạo và sử dụng phần độn. a. Cho mục đích đảm bảo các bit được mã hoá là bội số của kích thước khối do thuật toán đề ra, tính toán phần độn áp dụng cho dữ liệu có ích loại trừ IV, độ dài độn, và các trường mào đầu tiếp theo. b. Cho mục đích đảm bảo dữ liệu xác thực được cân lề trong một biên 4 byte, việc tính toán trường độn áp dụng cho dữ liệu có ích kể cả IV, độ dài độn, và các trường mào đầu tiếp theo. Nếu việc độn là cần thiết nhưng thuật toán mã hoá không chỉ rõ nội dung dữ liệu độn, thì quá trình xử lý ngầm định sẽ được thực hiện. Các byte độn được khởi tạo với môt loạt các giá trị nguyên (1 byte không dấu). Byte độn đầu tiên được chèn vào văn bản với số là 1, sau đó là các byte với số tăng tuần tự. Khi lược đồ độn được áp dụng, bộ thu nên kiểm tra kĩ trường độn. (lược đồ này được chọn do tính đon giản dễ dàng thực hiện trên phần cứng và bởi nó cho phép việc bảo vệ giới hạn chống lại các mẫu tấn công “cut and pase” tự nhiên khi không có các phép đo toàn vẹn khác, nếu bộ thu kiểm tra giá trị độn dựa vào việc giải mã). Nếu thuật toán mã hoá yêu cầu việc độn khác ngầm định, thì nó phải định nghĩa trong nội dung độn (ví dụ: 0 hoặc lấy ngẫu nhiên) và quá trình xử lý bộ thu yêu cầu bất kì của các byte độn trong một khuyến nghị chỉ ra cách thuật toán thực hiện với ESP. Trong nhiều trường hợp, nội dung của trường độn sẽ được quyết định bởi thuật toán mã hoá và chế độ được chọn và được định nghĩa trong khuyến nghị thuật toán phù hợp. Trường độ dài độn Trường độ dài chỉ ra số byte độn ngay trước nó. Giá trị từ 0.255, giá trị 0 để chỉ không có byte độn. Trường độ dài độn là bắt buộc. Trường mào đầu kế tiếp Trường mào đầu kế tiếp là một trường 8 bit chỉ kiểu của dữ liệu trong trường dữ liệu, một mào đầu mở rộng trong IPv6 hoặc một giao thức tầng trên. Giá trị của trường này là một trong các số định nghĩa giao thức trong RFC “các số đăng kí” gần đây nhất. Trường mào đầu kế tiếp là một trường bắt buộc. Trường dữ liệu xác thực Dữ liệu xác thực là một trường có độ dài thay đổi chứa giá trị kiểm tra toàn vẹn (ICV) được tính toán trên gói ESP trừ đi dữ liệu xác thực. Độ dài của trường được chỉ ra bởi hàm xác thực được lựa chọn. Trường dữ liệu xác thực là tuỳ chọn, và nó chỉ có khi dịch vụ xác thực được sử dụng với SA. Thuật toán xác thực phải chỉ rõ độ dài của ICV, quy tắc so sánh và từng bước thực hiện. b) Xử lý giao thức an toàn đóng gói Xác định vị trí mào đầu ESP Giống như AH, ESP có thể được thực hiện theo hai cách: chế độ truyền tải và chế độ đường hầm. Chế độ đầu tiên chỉ áp dụng với các thực thi tại trạm nhằm cung cấp bảo vệ cho các giao thức tầng cao hơn, không phải cho mào đầu tầng IP. Trong chế độ truyền tải, ESP được chèn vào sau mào đầu IP và trước giao thức tầng cao hơn TCP, UDP… hay trước bất kì mào đầu IPSec nào khác, đã được chèn vào. Trong trường hợp IPv6, ESP được xem như là dữ liệu đầu cuối - đầu cuối, do đó nên xuất hiện sau các mào đầu mở rộng hop by hop, định tuyến, và phân mảnh. Các mào đầu mở rộng tuỳ chọn đích có thể xuất hiện trước hoặc sau mào đầu ESP tuỳ vào ngữ cảnh thực hiện. Tuy nhiên, ESP chỉ bảo vệ các trường sau mào đầu ESP, nói chung là có thể đặt mào đầu tuỳ chọn đích sau mào đầu ESP. Dưới đây là lược đồ minh hoạ cho vị trí ESP chế độ truyền tải cho gói IPv6 thông thường: * Nếu có, xuất hiện trước hoặc sau ESP hoặc cả hai. ESP chế độ đường hàm có thể được thực hiện tại các trạm hoặc các gateway an toàn. Khi một ESP được thực hiện trên một gateway an toàn (để bảo vệ lưu lượng truyền thuê bao), chế độ đường hầm phải được thực hiện. Trong chế độ đường hầm, mào đầu IP bên trong mang các địa chỉ nguồn, đích cuối cùng, còn mào đầu IP ngoài có thể chứa các địa chỉ IP khác ví dụ như: địa chỉ của gateway an toàn. Trong chế độ đường hầm, ESP bảo vệ toàn bộ gói IP bên trong, bao gồm cả mào đầu IP bên trong. Lược đồ chỉ ra vị trí ESP chế độ đường hầm đối với gói IPv6: * Nếu có, xây dựng các mào đầu/ các mở rộng IP ngoài và thay đổi mào đầu mở rộng IP trong được thảo luạn dưới đây: Các thuật toán Các thuật toán bắt buộc phải được hỗ trợ khi áp dụng ESP: - DES trong chế độ CBC [MD97] - HMAC với MD5 [MG97a] - HMAC với SHA-1 [MG97b] - Thuật toán xác thực NULL - Thuật toán mã hoá NULL Các thuật toán khác cũng có thể được áp dụng. Mặc dù bảo mật và xác thực là tuỳ chọn, nhưng tối thiểu một trong hai dịch vụ phải được lựa chọn. Các thuật toán mã hoá: Thuật toán mã hoá thực hiện được chỉ ra bởi SA. ESP được thiết kế sử dụng các thuật toán mã hoá đối xứng. Do các gói tin đươc nhận không có thứ tự, nên mỗi gói tin phải mang các dữ liệu được yêu cầu để cho phép bộ thiết lập việc đồng bộ hoá bảo mật cho việc giải mã. Dữ liệu này có thể rõ ràng trong trường dữ liệu ví dụ một IV, hoặc dữ liệu có thể xuất phát từ mào đầu gói tin. ESP thực hiện việc độn văn bản, và các thuật toán mã hoá thực hiện với ESP có thể đưa ra các đặc tính khối hoặc chế độ luồng. Lưu ý rằng việc mã hoá (bảo mật) là tuỳ chọn nên thuật toán có thể “NULL”. Các thuật toán xác thực: Thuật toán xác thực thực hiện cho tính toán ICV được chỉ định bởi SA. Với truyền thông điểm - điểm, các thuật toán xác thực phù hợp bao gồm các mã xác thực thông báo được khoá trên cơ sở các thuật toán mã hoá đối xứng (DES) hoặc một hàm băm một đường (ví dụ MD5 or SHA-1). Với trường hợp đa phát, các thuật toán băn kết hợp với thuật toán chữ kí không đối xứng tương ứng, mặc dù các vấn đề về hiệu suất và không gian hiện cản trở việc thực hiện các thuật toán này. Lưu ý xác thực là tuỳ chọn nên thuật toán có thể là “NULL”. Xử lý các gói đi ra Trong chế độ truyền tải, bộ phát đóng gói các thông tin giao thức tầng trên trong mào đầu ESP, và giữ lại các mào đầu IP cụ thể (và các mào đầu IP mở rộng bất kì trong trường hợp IPv6). Trong chế độ đường hầm, các mào đầu/ mở rộng IP trong và ngoài có thể liên hệ với nhau theo nhiều cách. Nếu có nhiều hơn một mào đầu mở rộng IPSec được yêu cầu bởi chính sách an toàn, thứ tự áp dụng các mào đầu an toàn phải được định nghĩa trong chính sách an toàn. Tìm kiếm SA ESP được áp dụng cho gói đi ra chi sau khi một thực thi IPSec quyết định rằng gói tin được liên kết với một SA có gọi quá trình xử lý ESP. Quá trình giải quyết xử lý IPSec áp dụng cho lưu lượng đi ra được mô tả trong tài liệu kiến trúc an toàn. Việc mã hoá gói tin Chúng ta đề cập đến các thuật ngữ mã hoá thường được sử dụng. Trường hợp không có bảo mật được hiểu là sử dụng thuật toán NULL. Đóng gói(vào trường dữ liệu ESP ): - Với chế độ truyền tải chỉ cho thông tin gốc của giao thức tầng cao hơn - Với chế độ đường hầm dữ liệu IP gốc đầy đủ. Thêm các phần độn cần thiết. Mã hoá kết quả (dữ liệu, phần độn, độ dài độn, và mào đầu kế tiếp) sử dụng khoá, thuật toán mã hoá, chế độ thuật toán được chỉ định bởi SA và dữ liệu đồng bộ mã hoá (nếu có). - Nếu dữ liệu đồng bộ mã hoá rõ ràng, ví dụ như IV, được chỉ định, nó là đầu vào cho tthuật toán mã hoá và được đặt vào trường dữ liệu. - Nếu dữ liệu đồng bộ mã hoá ẩn, một IV, được chỉ định, nó sẽ được xây dựng và đầu vào cho thuật toán mã hoá. Nếu việc xác thực được lựa chọn, mã hoá được thực hiện trước việc xác thực, và việc mã hoá không chứa trường dữ liệu xác thực. Cách sắp xếp này nhằm xử lý dễ dàng, tăng tốc độ dò tìm, loại bỏ và từ chối các gói tin lặp hoặc bị làm giả tại bộ thu, trước khi giải mã gói tin, theo đó làm giảm khả năng ảnh hưởng của các cuộc tấn công từ chối dịch vụ. Nó cũng cho phép khả năng xử lý song song các gói tin tại bộ thu. Việc giải mã có thể tiến hành song song với việc xác thực. Lưu ý rằng dữ liệu xác thực không được mã hoá , một thuật toán xác thực khoá phải thực hiện việc tính toán ICV. Sinh số tuần tự Bộ đếm bên phát được khởi tạo bằng 0 khi SA được thiết lập. Bộ phát tăng dần giá trị tuần tự cho SA và chèn giá trị này vào trường số tuần tự. Do đó gói tin đầu tiên gửi với SA có số tuần tự là 1. Nếu dịch vụ chống lặp được sử dụng, bộ phát kiểm tra để đảm bảo số tuần tự không bị quay vòng trước khi chèn vào trường số tuần tự. Mặt khác bộ phát không được gửi một gói trên một SA nếu xảy ra số tuần tự bị quay vòng. Cố gắng truyền gói tin có số tuần tự bị tràn là một sự kiện bị theo dõi. Bộ phát giả sử rằng việc sử dụng dịch vụ chống lặp là ngầm định, trừ khi có thông báo khác từ phía bộ thu. Do đó nếu bộ đếm bị quay vòng, bộ phát sẽ thiết lập một SA và khoá mới (ngoại trừ trường hợp, SA được cấu hình quản lý khoá nhân công). Nếu dịch vụ chống lặp bị cấm, bộ phát không cần giám sát hoặc xoá bộ đếm như trong trường hợp quản lý khoá nhân công. Tuy nhiên, bộ phát vẫn tăng giá trị của bộ đếm và khi nó đạt giá trị cực đại nó sẽ quay trở lại 0. Việc tính giá trị toàn vẹn Nếu việc xác thực được lựa chọn cho SA, bộ phát tính ICV thông qua gói ESP trừ dữ liệu xác thực. Do đó SPI, số tuần tự, dữ liệu có ích, phần độn (nếu có), độ dài độn, và mào đầu kế tiếp được tính đến trong tính toán ICV. Lưu ý rằng 4 trường cuối sẽ nằm trong mẫu văn bản mã hoá, việc mã hoá tiến hành trước việc xác thực. Với một vài thuật toán xác thực, chuỗi byte mà trên đó tính toán ICV được thực hiện phải là bội của của kích thước chỉ ra bởi thuật toán. Nếu độ dài của chuỗi byte không đủ, việc độn ẩn phải được thực hiện nhằm chèn vào cuối gói ESP (sau trường mào đầu kế tiếp) trước khi tính toán ICV. Các byte độn phải có giá trị 0. Kích thước khối (theo đó là độ dài của phần độn) được chỉ định bởi tài liệu thuật toán Phần độn không được truyền cùng gói tin. MD5 và SHA –1 được xem như là có kích thước khối bằng 1 byte. Phân mảnh dữ liệu Nếu cần thiết, việc phân mảnh được thực hiện sau xử lý ESP khi thực thi IPSec. Do đó, ESP chế độ truyền tải chỉ áp dụng cho dữ liệu IP (không bị phân mảnh). Một gói IP áp dụng ESP có thể bị phân mảnh bởi các router trên đường đi, và các mảnh đó phải được ghép lại trước khi thực hiện xử lý ESP tại bộ thu. Trong chế độ đường hầm, ESP được áp dụng cho gói IP với dữ liệu có thể là của các gói IP bị phân mảnh. Xử lý gói đi vào Tập hợp lại Nếu được yêu cầu, việc tập hợp thực hiện trước xử lý ESP. Nếu một gói cho ESP để xử lý xuất hiện là một phân đoạn IP, trường offset là khác 0 và cờ MORE FRAGMENTS được đặt, thì bộ thu phải loại bỏ gói tin này; đây là sự kiện theo dõi. Bản ghi theo dõi cho sự kiện này nên bao gồm: giá trị SPI, ngày giờ nhận, địa chỉ nguồn, địa chỉ đích, số tuần tự và số xác nhận luồng (trong IPv6). Tìm kiếm SA Phụ thuộc vào việc nhận một gói tin (được tập hợp lại) chứa một mào đầu ESP, bộ thu quyết định SA (đơn hướng) tương ứng, trên cơ sở địa chỉ IP đích, giao thức an toàn (ESP ) và SPI. SA chỉ ra trường số tuần tự được kiểm tra hay không, trường dữ liệu xác thực có hay không, nó chỉ ra các thuật toán và khoá để thực hiện giải mã cũng như tính toán ICV (nếu có thể áp dụng). Nếu không có SA nào phù hợp cho phiên làm việc, bộ thu phải loại bỏ gói tin; đây là một sự kiện theo dõi. Bản ghi theo dõi cho sự kiện này nên bao gồm: giá trị SPI, ngày giờ nhận, địa chỉ nguồn, địa chỉ đích, số tuần tự và số xác định luồng (trong IPv6). Xác minh số tuần tự Mọi thực thi ESP phải hỗ trợ dịch vụ chống lặp, mặc dù nó có thể được sử dụng hoặc bị cấm do bộ thu trên một SA. Dịch vụ này không phải sử dụng trừ khi SA sử dụng dịch vụ xác thực, mặt khác trường số tuần tự không bảo đảm tính toàn vẹn. Dịch vụ chống lặp không nên sử dụng trong môi trường đa phát thực thi một SA đơn. Nếu bộ thu không sử dụng dịch vụ chống lặp cho SA, không có kiểm tra đi vào được thực hiện trên số tuần tự. Tuy nhiên, bộ phát luôn ngầm định dịch vụ chống lặp được phép tại bộ thu. Để tránh trường hợp bộ phát thực hiện giám sát không cần thiết đối với số tuần tự và cài đặt SA, nếu một giao thức thiết lập SA như IKE được thực hiện, bộ thu nên thông báo cho bộ phát trong quá trình thiết lập SA, nếu bộ thu không cung cấp dịch vụ chống lặp. Nếu bộ thu sử dụng dịch vụ chống lặp với SA, bộ đếm gói nhận của bộ thu phải khởi tạo bằng 0 khi SA được thiết lập. Với mỗi gói tin nhận được, bộ thu phải xác minh xem gói tin chứa số tuần tự không bị trùng với bất kì gói nào khác trong suốt thời gian sống của SA. Nên thực hiện kiểm tra ESP trước, sau đó mới tìm SA phù hợp, nhằm tăng tốc độ loại bỏ các gói trùng. Các gói trùng bị loại bỏ thông qua cơ chế sử dụng cửa sổ nhận trượt. (Cách cửa sổ thực hiện là vấn đề mang tính cục bộ, nhưng phần dưới sẽ nêu ra các chức năng cần phải có). Kích thước tối thiểu của cửa sổ trượt là 32; nhưng kích thước 64 được ưa dùng hơn và nên sử dụng như giá trị ngầm định. Các kích thước cửa sổ khác (lớn hơn giá trị cực tiểu) cung có thể được sử dụng (bộ thu không cần thông báo bộ phát kích cỡ cửa sổ của mình) Lề phải của cửa sổ biểu diễn các giá trị số tuần tự đúng cao nhất nhận được với SA này. Các gói tin có số tuần tự thấp hơn ở bên trái của sổ bị từ chối. Gói tin rơi vào trong cửa sổ được kiểm tra với danh sách các gói tin nhận được trong cửa sổ. Nếu gói tin nhận được rơi vào trong cửa sổ và là mới, hoặc nếu gói tin ở bên phải cửa sổ, thì bộ thu xử lý nó để xác minh ICV. Nếu kiểm tra ICV thất bại, bộ thu phải loại bỏ dữ liệu IP nhận được; đây là một sự kiện theo dõi. Bản ghi theo dõi cho sự kiện này nên bao gồm: giá trị SPI, ngày giờ nhận, địa chỉ nguồn, địa chỉ đích, số tuần tự và số xác định luồng (trong IPv6). Cửa sổ nhận chỉ được cập nhật nếu việc kiểm tra ICV là thành công. Nếu gói tin hoặc ở trong cửa sổ hoặc là mới, hoặc ở bên ngoài cửa sổ phía bên phải cửa sổ, bộ thu phải xác thực gói tin trước khi cập nhật dữ liệu cửa sổ số tuần tự. Xác minh giá trị kiểm tra toàn vẹn Nếu việc xác thực được lựa chọn, bộ thu tính giá trị ICV thông qua gói ESP ngoại trừ dữ liệu xác thực sử dụng cho thuật toán xác thực và xác minh giá trị của nó có giống giá trị lưu trong trường ICV trong trường dữ liệu xác thực của gói tin hay không. Nếu ICV được tính toán và nhận được là phù hợp, thì dữ liệu đó là đúng, và nó được chấp nhận. Nếu kiểm tra thất bại, thì bộ thu phải loại bỏ dữ liệu IP vừa nhận; đây là kiện theo dõi. Bản ghi theo dõi cho sự kiện này nên bao gồm: giá trị SPI, ngày giờ nhận, địa chỉ nguồn, địa chỉ đích, số tuần tự và số xác định luồng văn bản (trong IPv6). Giải mã gói tin Chúng ta đề cập đến các thuật ngữ mã hoá thường được sử dụng. Trường hợp không có bảo mật được hiểu là sử dụng thuật toán NULL. Theo đó, bộ thu: 1. SA chỉ ra khoá, thuật toán mã hoá, chế độ thuật toán và dữ liệu đồng bộ mã hoá (nếu có) để giải mã dữ liệu có ích ESP, phần độn, độ dài độn và mào đầu kế tiếp. - Nếu dữ liệu đồng bộ mã hoá hiện, ví dụ IV, được chỉ định, nó được lấy từ trường dữ liệu và đưa vào thuật toán giải mã. - Nếu dữ liệu đồng bộ mã hoá ẩn ẩn, ví dụ IV, được chỉ định, một phiên bản cục bộ của IV được tạo ra và đưa vào thuật toán giải mã. 2. Xử lý phần độn theo chỉ dẫn trong tài thuật toán. Nếu lược đồ độn ngầm định được sử dụng, bộ thu nên kiểm tra kĩ trường độn trước khi loại bỏ trước lúc chuyển tiếp dữ liệu đã được giải mã cho tầng tiếp theo. 3. Xây dựng lại dữ liệu IP gốc từ: - Với chế dộ truyền tải: mào đầu IP thêm các thông tin giao thức tầng cao hơn vào trong trường dữ liệu có ích ESP. - Với chế độ đường hầm: mào đầu IP đường hầm và toàn bộ dữ liệu IP trong trường dữ liệu có ích ESP. Nếu việc xác thực được lựa chọn, xác minh và mã hoá có thể thực hiện tuần tự hoặc song song. Nếu thực hiện tuần tự, thì xác minh ICV nên thực hiện trước. Nếu song song, xác minh phải được thực hiện xong trước khi chuyển gói tin được giải mã tới tiến trình xử lý tiếp theo. Cách sắp xếp này nhằm tăng tốc dò tìm và loại bỏ gói tin lặp hoặc gói ma trước khi tiến hành giải mã, do đó làm giảm khả năng từ chối dịch vụ khi xảy ra các cuộc tấn công. Nếu bộ thu thực hiện giải mã song song với xác thực, việc cần quan tâm là tránh các hoàn cảnh chạy đua có thể xảy ra với việc truy nhập gói tin và xây dựng lại gói tin được giải mã. Có nhiều khả năng dẫn đến việc giải mã không thành công: a. SA được chọn có thể không chính xác – SA có thể chọn nhầm vì sự giả mạo SPI, địa chỉ đích hoặc các trường kiểu giao thức IPSec. Như các lỗi, nếu ánh xạ một gói tới một SA hiện có, không thể phân biệt được từ gói bị hỏng (trường hợp c). Việc giả mạo SPI có thể được phát hiện qua xác thực. Tuy nhiên, một SA không phù hợp cũng vẫn xảy ra do việc giả mạo địa chỉ đích hoặc kiểu giao thức. b. Độ dài trường độ hay các giá trị độn bị lỗi - độ dài hoặc các giá trị độn sai có thể được tìm ra bất kể việc sử dụng xác thực. c. Gói ESP mã hoá có thể bị lỗi nó có thể được tìm ra nếu xác thực được sử dụng cho SA. Trường hợp (a) hoặc (c), kết quả của thao tác mã hoá lỗi (dữ liệu IP hoặc frame tầng truyền tải sai) IPSec sẽ không cần phải để dò tìm, và nó là trách nhiệm của xử lý giao thức sau. 2.3. Tổng quan về Mobile IP Mobile IP, một chuẩn mở được định nghĩa bởi IETF, cho phép người sử dụng giữ chung địa chỉ IP, giữ nguyên kết nối, và duy trì các ứng dụng trong khi roaming giữa các mạng IP. Mobile IP có thể phân mức cho Internet vì nó dựa trên IP, bất cứ phương tiện truyền thông nào hỗ trợ IP thì đều có thể hỗ trợ Mobile IP. Trong mạng IP, định tuyến được dựa trên các địa chỉ IP, giống như việc một lá thư được gửi đến đích theo địa chỉ trên phong bì. Một thiết bị trong mạng được gửi đến thông qua định tuyến IP bởi địa chỉ IP, được chỉ định trong mạng. Mobile IP được tạo ra đảm bảo cho người sử dụng giữ nguyên địa chỉ IP khi di chuyển tới một mạng khác, điều đó đảm bảo không có hiện tượng rớt cuộc gọi khi thực hiện roaming. Do các chức năng linh hoạt của Mobile IP được thực hiện tại lớp mạng hơn là ở lớp vật lý, thiết bị di động có thể kết nối với các kiểu mạng không dây khác nhau trong khi vẫn duy trì được kết nối và các ứng dụng khác. Truy cập từ xa, in từ xa, truyền dữ liệu là một số các ứng dụng ví dụ có thể gây ngắt thông tin trong khi roaming giữa các mạng. Tương tự, các dịch vụ mạng như giấy phép phần mềm, quyền truy cập đều dựa trên các địa chỉ IP. Việc thay đổi các địa chỉ IP đó có thể gây ra việc hư hỏng các dịch vụ mạng. Các thành phần trong mạng Mobile IP Mạng Mobile IP có ba thành phần cơ bản như sau: Mobile Node. Home Agent. Foreign Agent. Hình 2.6: Các thành phần và liên kết trong Mobile IP. Mobile node là thiết bị như máy điện thoại di động, máy tính xách tay có các phần mềm hỗ trợ roaming mạng. Home Agent là một bộ định tuyến trong mạng chủ được sử dụng như là một điểm cho viêc liên lạc với Mobile Node, nó thiết lập tuyến cho các gói từ một thiết bị trong Internet, được gọi là Correspondent Node, tới Mobile Node roaming. (Một tuyến được thiết lập giữa Home Agent và một điểm đến cho Mobile Node trong Foreign Node). Foreign Agent cũng là một bộ định tuyến hoạt động như điểm gửi kèm cho Mobile Node khi nó roaming tới mạng khác, gửi các gói từ Home Agent tới Mobile Node. Quản lý địa chỉ (The Care-of address) là điểm kết thúc của tuyến đối với Mobile Node khi nó nằm trong mạng khác. Home Agent duy trì viêc lien kết giữa địa chỉ Home IP của Mobile Node và quản lý địa chỉ (The care-of address), vị trí hiện tại của Mobile Node trong mạng khác. Hoạt động của Mobile IP Quá trình hoạt động của Mobile IP gồm ba gia đoạn: Tìm kiếm Agent: Mạng chủ và mạng khách phát quảng bá sự sẵn sàng của họ trên các liên kết nơi họ có thể cung cấp dịch vụ. Các máy di động mới đến có thể gửi yêu cầu một kết nối nếu mạng nào đó sẵn sàng. Đăng ký: Khi máy di động rời mạng, nó đăng kí yêu cầu địa chỉ của nó đối với mạng chủ nhờ đó mạng chủ có thể biết chuyển các gói dữ liệu của nó đến đâu. Dựa vào cấu hình mạng, máy di động có thể đăng ký trực tiếp đến mạng chủ hoặc gián tiếp nhờ mạng ngoài. Đóng gói: Qúa trình đóng gói kèm một gói dữ liệu IP với phần mào đầu IP khác chứa yêu cầu địa chỉ của máy di động. Gói dữ liệu IP vẫn giữ nguyên không đổi trong suốt quá trình. Hình 2.7. Quá trình hoạt động của Mobile IP. Mở gói: Qúa trình mở gói phần ngoài cùng của mào đầu IP của gói đến nhờ đó gói dữ liệu đính kèm có thể được truy nhập và phân phối tới địa chỉ thích hợp. Mở gói là quá trình ngược với đóng gói. Hoạt động: Hình vẽ sau biểu thị mối quan hệ giữa máy di động, mạng chủ và mạng khách: Hình 2.8. Mối quan hệ giữa máy di động, máy chủ và mạng khách. Qúa trình tổng quát gồm 4 giai đoạn xếp theo thời gian: Phát hiện mạng: Khi một máy chủ di động ra khỏi mạng chủ, nó muốn tìm một mạng chủ nên nó phải kết nối đến Internet. Có 2 cách để tìm mạng: một là lựa chọn một mạng từ những mạng biết trước, 2 là phát bản tin yêu cầu địa chỉ cho đến khi một mạng chủ đáp lại. Đăng ký: Máy chủ di động đăng ký bản tin tìm gọi địa chỉ của nó với mạng chủ để nhận được dịch vụ. Qúa trình đăng ký có thể được thực hiện trực tiếp từ máy chủ di động hay được chuyển gián tiếp qua mạng khách tới mạng chủ phụ thuộc vào bản tin tìm gọi được gán một cách linh động hay cố định. Có thể đăng ký nhiều bản tin tìm gọi cùng một lúc. Sử dụng dịch vụ: Đăng là giai đoạn ngay sau giai đoạn đăng ký và trước khi thời gian sử dụng dịch vụ hết hạn. Trong thời gian sử dụng dịch vụ, máy chủ di động nhận được các bản tin được chuyển hướng từ mạng khách về mạng chủ. Đường hầm là phương pháp để chuyển bản tin từ mạng chủ đến mạng khách và cuối cùng là đến máy chủ di động. Hủy đăng ký: Sau khi máy chủ di động trở về mạng chủ, nó hủy đăng ký với mạng chủ để hủy bản tin tìm gọi địa chỉ. Hay nói cách khác, nó chuyển bản tin tìm gọi địa chỉ về mạng chủ. Máy chủ thực hiện điều này bằng cách gửi một bản tin đăng ký đến mạng chủ với thời gian sống bằng 0. Không cần phải hủy đăng ký với mạng chủ vì thời gian sử dụng dịch vụ tự động hết hạn. CHƯƠNG 3. LỘ TRÌNH TRIỂN KHAI NÂNG CẤP MẠNG MOBIFONE LÊN 3G ALL-IP 3.1. Lịch sử phát triển Công ty Thông tin di động (Vietnam Mobile Telecom Services Company - VMS) là doanh nghiệp Nhà nước hạng một trực thuộc Tập đoàn Bưu chính Viễn thống Việt nam (VNPT). Được thành lập vào năm 1993, VMS đã trở thành doanh nghiệp đầu tiên khai thác dịch vụ thông tin di động GSM 900/1800 với thương hiệu MobiFone, khởi đầu của ngành thông tin di động Việt Nam. Lĩnh vực hoạt động chính của MobiFone là tổ chức thiết kế xây dựng, phát triển mạng lưới và triển khai cung cấp dịch vụ mới về thông tin di động có công nghệ, kỹ thuật tiên tiến hiện đại và kinh doanh dịch vụ thông tin di động công nghệ GSM 900/1800 trên toàn quốc. Đến năm 2006, MobiFone đã trở thành mạng điện thoại di động lớn nhất Việt Nam với hơn 8.5 triệu thuê bao, hơn 2.500 trạm phát sóng và 4.200 cửa hàng, đại lý  cùng hệ thống 15.000 điểm bán lẻ trên toàn quốc, MobiFone hiện đang cung cấp trên 40 dịch vụ giá trị gia tăng và tiện ích các loại. Hình 3.1 : Biểu đồ tăng trưởng của thuê bao Mobifone. 3.2. Cấu hình mạng GSM/VMS Cấu hình lưu lượng thoại và báo hiệu giữa mạng thông tin di động và các mạng khác, được thực hiện qua các kết nối V