GPRS隧道協議

GTP 協議是由GTP 信令和數據傳輸程序組成的。在信令平臺,GTP信令規(guī)定了移動臺 MS接入 GPRS網絡的隧道控制和管理功能要求 ,信令主要執(zhí)行建立、修改和刪除GSN之間隧道功能以及執(zhí)行移動性管理、位置管理、 路徑管理功能。在傳輸平臺 ,GTP利用 GSN 之間建立的隧道傳送用戶分組數據,并給出了以GTP 為基礎的IP組網技術,SGSN、GGSN執(zhí)行GTP 、UDP或 TCP和 IP 字頭封裝功能和包括骨干路由器在內對用戶分組數據的分段處理功能。

GPRS隧道協議GTP 字頭

GTP 字頭是由 20 個字節(jié)組成的固定格式, 適合全部的 GTP 消息 , GTP 字頭組成和隧道標識符格式如圖 2 、 圖 3 所示。

其中 , 版本比特和 PT 比特合用表示協議類型及版本號 ;SNN 用于指示 SNDCP(子網相關的收斂協議)的N -PDU序號是否被包括 ;消息類型指示 GTP 消息的類型 :路徑管理、 隧道管理、 位置管理、 移動性管理等信令消息類型 ;序列號用于信令消息的事務處理標識和隧道傳送 T -PDU 的遞增序號;TID(隧道標識符)用于指出MM(移動性管理)和 PDP 上下文 。其結構如圖 3 所示。

圖 3 中 MCC 是移動網國家代碼 , MNC 是移動網代碼 , MSIN 是移動臺識別號 , 屬于國際移動用戶識別 IMSI 中的一部分。NSAPI 是網絡業(yè)務訪問點標識符 , 用于識別PDP 上下文。

GPRS隧道協議信令平臺

與 GPRS移動性管理功能有關的信令平臺包括 GPRS連接,GPRS路由區(qū)更新和 PDP上下文激活等。GSN 節(jié)點之間的信令是由 GPRS 隧道協議 GTP 來執(zhí)行的。信令平臺(協議棧)如圖 4 所示。

GTP 信令流與GTP 隧道僅是邏輯上的結合 , 實際上是分開的。一對 GSN -GSN 之間可存在一條或多條路徑。每條路徑又可能包含一條和多條隧道。GTP 是一種手段 ,通過 GTP 來建立、 使用、 管理和釋放隧道。利用保持激活的回送消息來保持路徑 , 保證 GSN之間連接中斷時能及時檢測到。GTP 定義了 2 個相關的 GSN 之間的一組信令消息。GSN 之間(SGSN 和GGSN 之間 ;SGSN 和 SGSN 之間)以及生成 CDR 的網絡單元和 CGF 之間的信令消息類型值分配如表 1 所示:

對于信令消息, GTP 字頭的用法如下 :

(1)SNN 置 0 ;

(2)消息類型按上表取定為唯一值 ;

(3)長度是指不包括 GTP 字頭在內信令消息長度(字節(jié)數);

(4)序列號是指一條路徑或一條隧道的有效消息號碼, 在路徑或隧道中發(fā)送的每條 GTP 信令消息的序列號是唯一的, 連續(xù)序列號范圍為 0 至 65535 ;

(5)在全部路徑管理消息 、 位置管理消息和移動性管理消息中 TID 置 0。在隧道管理消息中 , TID 用于指出目的地 GSN 中的 MM 和 PDP 上下文 ;

(6)在全部路徑管理消息 、 位置管理消息中 , 流標志沒有使用置 0。 在隧道管理消息和移動性管理消息中 , 流標志置成所請求的值, 用于指示 GTP 流。信令消息是由用于信令的 GTP 字頭加后面跟隨著的一系列信息單元組成各種信令消息 , 主要取決于信令消息的類型 , 不同的信令消息類型 GTP 字頭后面跟隨不同的信令消息。信令消息格式如圖 5 所示。

GPRS隧道協議傳輸平臺

隧道用于在一個給定的GSN 對之間為單獨的一個MS 承載封裝的 T -PDU。出現在 GTP 字頭中的關鍵隧道標志應說明一個特定的 T -PDU 屬于哪個隧道。以這樣一種格式 , 分組通過 GTP 在一個給定的 GSN -GSN 對之間進行復用和解復用 。在關鍵字段使用的TID 值是由發(fā)生在信令平臺上的創(chuàng)建 PDP 上下文建立規(guī)程來建立的。

GTP 協議承載 T -PDU 通過 GPRS 骨干網 。 T -PDU 封裝在 G -PDU中 , 在一對 GSN 之間的一個隧道中承載。一個 G -PDU 是由一個 GTP 字頭和一個 T -PDU 組成的分組。路徑協議規(guī)定路徑 , GTP 字頭規(guī)定隧道。幾個隧道可以復用到一條路徑上。幀結構如圖6 所示。

對于傳輸平臺消息 , GTP 字頭應如下進行使用:

(1)SNN 標志 :如果 SNN 標志置 1 , 則 GTP 字頭包括可選的 SNDCP N-PDU 序號。

(2)消息類型置十進制 255 , 表明是一個 T -PDU。

(3)序列號 :用于決定是否丟棄一個收到的 T -PDU。

(4)SNDCP N -PDU序列號:如果 SNN 置 1 , 此序列號應該被包括。在 SGSN 間路由區(qū)更新時 , 此序列號被原 SGSN 用來告訴新 SGSN 指派給 T -PDU 包的N -PDU 序列號 。如果一個 T -PDU 包沒有被 SNDCP指定序號, 或 T -PDU 包在 LLC層上使用非確認的方式傳送 , 那么 SNN 標志應置 0, SNDCP N -PDU 序號應置 255 。

(5)流標志用于識別 T -PDU 屬于哪個數據流。流標志是接收方在上下文建立、 更新或 SGSN改變時選擇的。

(6)TID:隧道標識符指示該T-PDU所屬的隧道。由接收 GSN利用 TID來查找 MM和 PDP的上下文。

GPRS隧道協議路徑協議

UDP/IP 是在GTP 的第一版本中唯一規(guī)定用來傳送 GTP信令消息的路徑協議。UDP/IP也作為在無連接路徑上的隧道傳送無連接 T-PDU的推薦選擇。

TCP/IP 作為在一個可靠的面向連接路徑上的隧道傳送面向連接 T-PDU的推薦選擇。

通用分組無線電業(yè)務(GPRS)是在GSM基礎上發(fā)展起來的移動分組數據接入因特網的技術,其實現方法被后來的3G所承襲,并且3G將IP多媒體業(yè)務也承載在GPRS上,因此,針對GPRS的技術研究和開發(fā)實現,成為移動核心網技術的重要發(fā)展方向。移動核心網分組域由GPRS服務支持節(jié)點(SGSN)和GPRS網關支持節(jié)點(GGSN)實體完成GPRS業(yè)務,而SGSN和GGSN之間的GPRS隧道協議(GTP)為多個移動臺同時上網提供了多達232個連接,將移動臺通過通用移動通信系統中陸地無線接入網(UTRAN)發(fā)起的分組數據協議(PDP)上下文連接,通過隧道技術導向因特網,屏蔽了移動臺移動性對分組業(yè)務的影響,使所有的移動臺都“透明”的連接到因特網上。因此,GTP隧道協議在2G和3G所提供分組業(yè)務的實現上都起著極其重要的作用。

隧道技術是一種通過使用網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據幀或包。隧道協議將這些其它協議的數據幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息 ,從而使封裝的負載數據能夠通過互聯網絡傳遞。為創(chuàng)建隧道,隧道的客戶機和服務器雙方必須使用相同的隧道協議。隧道技術可以分別以第 2層或第 3層隧道協議為基礎(分層按照開放系統互聯(OSI)的參考模型劃分)。第 2層隧道協議對應 OSI 模型中的數據鏈路層,使用幀作為數據交換單位。PPTP,L2TP和 L2F(第 2層轉發(fā))都屬于第 2層隧道協議 ,都是將數據封裝在點對點協議(PPP)幀中通過互聯網絡發(fā)送。第 3層隧道協議對應 OSI模型中的網絡層 ,使用包作為數據交換單位。IP over IP以及 IPSec 隧道模式都屬于第3 層隧道協議,都是將IP 包封裝在附加的 IP包頭中通過 IP網絡傳送。

目前 ,隧道協議已經被應用到許多網絡中 ,并逐步制定了相應的技術規(guī)范。GPRS隧道協議 GTP(GPRSTunnelling Protocol)是隧道協議在GPRS 網絡中的應用實例。

隧道技術的實質是如何利用一種網絡層的協議來傳輸另一種網絡層的協議，其基本功能是封裝和加密，主要利用隧道協議來實現。封裝是構建隧道的基本手段。從隧道的兩端來看，封裝就是用來創(chuàng)建、維持和撤銷一個隧道，來實現信息的隱蔽和抽象。而如果流經隧道的數據不加密，那么整個隧道就暴露在公共網絡中，VPN的安全性和私有性就得不到體現。

網路隧道技術涉及了3種網絡協議：網絡隧道協議、隧道協議下面的承載協議和隧道協議所承載的被承載協議。如圖所示

隧道協議作為VPN IP層的底層，將VPN IP分組進行安裝封裝；隧道協議同時作為公用IP網的一種特殊形式，將封裝的VPN分組利用公網內的IP協議棧進行傳輸，以實現隧道內的功能。隧道協議在這個協議體系中起著承上啟下的作用。

隧道協議存在多種可能的實現方式，按照工作的層次，可分為兩類：一類是二層隧道協議，用于傳輸二層網絡協議，它主要應用于構建撥號VPN（Access VPN）；另一類是三層隧道協議，用于傳輸三層網絡協議，它主要應用于構建內部網VPN（Intranet VPN）和外聯網（VPN Extranet VPN）。

隧道協議二層隧道協議

二層隧道協議指用公用網絡來封裝和傳輸二層（數據鏈路層）協議，此時在隧道內傳輸的是數據鏈路層的幀。工作原理如圖所示

在點到點的二層鏈路上，最常用的二層協議是PPP協議，隧道協議實現中，首先將IP分組封裝在二層的PPP協議幀中，也就是會所，先把各種網絡協議封裝在PPP中，再把整個數據包裝入二層隧道協議中。這種雙層封裝方法形成的數據包在公用網絡中傳輸。

第二層隧道協議具有簡單易行的優(yōu)點，但是他沒的可擴展性不太好，而且提供內在的安全機制安全強度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應商之間通信的保密性需求，不適合用來構建連接企業(yè)內部網和企業(yè)的外部客戶和供應商的企業(yè)外部網VPN。

隧道協議三層隧道協議

三層隧道協議是用公用網來封裝和傳輸三層（網路層）協議（如IP、IPX、AppleTalk等），此時在隧道內傳輸的是網路層的分組。三層隧道協議并非是一種很新的技術，早已出現的RFC 1701 通路路由封裝協議就是一個三層隧道協議。IETF制定的IP層加密標準協議IPSec 也是一個三層速到協議，利用IPSec（ESP/AN）的隧道模式構成的VPN隧道。三層隧道協議的協議棧如圖所示，

網絡隧道簡介

用于傳輸三層網絡協議的隧道協議叫三層隧道協議。三層隧道協議并非是一種很新的技術，早已出現的 RFC 1701 Generic Routing Encapsulation（GRE）協議就是個三層隧道協議。新出來的 IETF 的 IP 層加密標準協議 IPSec 協議也是個三層隧道協議。

網絡隧道IPSec

IPSec 協議不是一個單獨的協議，它給出了應用于IP層上網絡數據安全的一整套體系結構，它包括網絡安全協議 Authentication Header（AH）協議和 Encapsulating Security Payload（ESP）協議、密鑰管理協議Internet Key Exchange （IKE）協議和用于網絡驗證及加密的一些算法等。IPSec 規(guī)定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換，向上提供了訪問控制、數據源驗證、數據加密等網絡安全服務。

網絡隧道GRE

GRE 與 IP in IP、IPX over IP 等封裝形式很相似，但比他們更通用。很多協議的細微差異都被忽略，這就導致了它不是建議用在某個特定的“X over Y”進行封裝，所以是一種最基本的封裝形式。

網絡隧道封裝

在最簡單的情況下，系統接受到一個需要封裝和路由的數據報，我們稱之為有效報文（Payload）。這個有效報文首先被 GRE 封裝然后被稱之為 GRE 報文，這個報文接著被封裝在 IP 協議中，然后完全由 IP 層負責此報文的向前傳輸（Forwarded）。我們也稱這個負責向前傳輸的IP 協議為傳遞（Delivery）協議或傳輸（Transport）協議。整個被封裝的報文具有圖2 所示形式： Delivery Header(transpor Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) 圖2 通過 GRE 傳輸報文形式 GRE 的作用如下： 多協議的本地網通過單一協議的骨干網傳輸的服務 將一些不能連續(xù)的子網連接起來；這一點用于組建 VPN 擴大了網絡的工作范圍,包括那些路由網關有限的協議；如 IPX 包最多可以轉發(fā)16次（既經過16個路由器），而在一個 Tunnel 連接中看上去只經過一個路由器 IPSec IPSec，IP 安全協議，是一組開放協議的總稱，在特定的通信方之間提供數據的私有性、完整性保護，并能對數據源進行驗證。IPSec 使用 IKE 進行協議及算法的協商，并采用由 IKE 生成的密碼來加密和驗證。IPSec 用來保證數據包在 Internet 網上傳輸時的私有性、完整性和真實性。IPSec 在 IP 層提供這些安全服務，對 IP 及所承載的數據提供保護。這些服務是通過兩個安全協議 AH 和 ESP，通過加密等過程實現的。這些機制的實現不會對用戶、主機或其它 Internet 組件造成影響；用戶可以選擇不同的加密算法，而不會對實現的其它部分造成影響。

網絡隧道IPSec優(yōu)點

IPSec 提供以下幾種網絡安全服務：

私有性 － IPsec 在傳輸數據包之前將其加密，以保證數據的私有性

完整性 － IPsec 在目的地要驗證數據包，以保證該數據包在傳輸過程中沒有被替換

真實性 － IPsec 端要驗證所有受 IPsec 保護的數據包

反重復 － IPsec 防止了數據包被撲捉并重新投放到網上，即目的地會拒絕老的或重復的數據包；它通過與 AH 或 ESP 一起工作的序列號實現 IPSec 協議本身定義了如何在 IP 數據包中增加字段來保證 IP 包的完整性、私有性和真實性，這些協議還規(guī)定了如何加密數據包。使用 IPsec，數據就可以在公網上傳輸，而不必擔心數據被監(jiān)視、修改或偽造了。IPsec 提供了兩個主機之間、兩個安全網關之間或主機和安全網關主機的保護。

IPSec 定義了兩個新的數據包頭增加到 IP 包，這些數據包頭用于保證 IP 數據包的安全性。這兩個數據包頭由AH（Authentication Header）和 ESP（Encapsulating Security Payload）規(guī)定。在網關上實現 IPSec，AH 將插到標準IP包頭后面，它保證數據包的完整性和真實性，防止黑客截斷數據包或向網絡中插入偽造的數據包。AH 采用了安全哈希算法來對數據包進行保護。AH 沒有對用戶數據進行加密。ESP 將需要保護的用戶數據進行加密后再封裝到IP包中，ESP 可以保證數據的完整性、真實性和私有性。

IPSec 有隧道和傳送兩種工作方式。在隧道方式中，用戶的整個 IP數據包被用來計算 ESP 頭，且被加密，ESP 頭和加密用戶數據被封裝在一個新的 IP 數據包中；在傳送方式中，只是傳輸層（如TCP、UDP、ICMP）數據被用來計算 ESP 頭，ESP 頭和被加密的傳輸層數據被放置在原IP包頭后面。當 IPSec 通信的一端為安全網關時，必須采用隧道方式。

Internet 密鑰交換協議（IKE）用于在兩個通信實體協商和建立安全相關，交換密鑰。安全相關（Security Association）是 IPSec 中的一個重要概念。一個安全相關表示兩個或多個通信實體之間經過了身份認證，且這些通信實體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用 IPSec 進行安全通信。IPSec 協議本身沒有提供在通信實體間建立安全相關的方法，利用 IKE 建立安全相關。IKE 定義了通信實體間進行身份認證、協商加密算法以及生成共享的會話密鑰的方法。IKE中身份認證采用共享密鑰和數字簽名兩種方式，密鑰交換采用 Diffie Hellman 協議。

安全相關也可以通過手工方式建立，但是當 VPN 中結點增多時，手工配置將非常困難。2100433B