GPRS隧道協(xié)議GPRS 隧道協(xié)議GTP

GTP 協(xié)議是由GTP 信令和數(shù)據(jù)傳輸程序組成的。在信令平臺,GTP信令規(guī)定了移動臺 MS接入 GPRS網(wǎng)絡(luò)的隧道控制和管理功能要求 ,信令主要執(zhí)行建立、修改和刪除GSN之間隧道功能以及執(zhí)行移動性管理、位置管理、 路徑管理功能。在傳輸平臺 ,GTP利用 GSN 之間建立的隧道傳送用戶分組數(shù)據(jù),并給出了以GTP 為基礎(chǔ)的IP組網(wǎng)技術(shù),SGSN、GGSN執(zhí)行GTP 、UDP或 TCP和 IP 字頭封裝功能和包括骨干路由器在內(nèi)對用戶分組數(shù)據(jù)的分段處理功能。

GPRS隧道協(xié)議GTP 字頭

GTP 字頭是由 20 個字節(jié)組成的固定格式, 適合全部的 GTP 消息 , GTP 字頭組成和隧道標(biāo)識符格式如圖 2 、 圖 3 所示。

其中 , 版本比特和 PT 比特合用表示協(xié)議類型及版本號 ;SNN 用于指示 SNDCP(子網(wǎng)相關(guān)的收斂協(xié)議)的N -PDU序號是否被包括 ;消息類型指示 GTP 消息的類型 :路徑管理、 隧道管理、 位置管理、 移動性管理等信令消息類型 ;序列號用于信令消息的事務(wù)處理標(biāo)識和隧道傳送 T -PDU 的遞增序號;TID(隧道標(biāo)識符)用于指出MM(移動性管理)和 PDP 上下文 。其結(jié)構(gòu)如圖 3 所示。

圖 3 中 MCC 是移動網(wǎng)國家代碼 , MNC 是移動網(wǎng)代碼 , MSIN 是移動臺識別號 , 屬于國際移動用戶識別 IMSI 中的一部分。NSAPI 是網(wǎng)絡(luò)業(yè)務(wù)訪問點標(biāo)識符 , 用于識別PDP 上下文。

GPRS隧道協(xié)議信令平臺

與 GPRS移動性管理功能有關(guān)的信令平臺包括 GPRS連接,GPRS路由區(qū)更新和 PDP上下文激活等。GSN 節(jié)點之間的信令是由 GPRS 隧道協(xié)議 GTP 來執(zhí)行的。信令平臺(協(xié)議棧)如圖 4 所示。

GTP 信令流與GTP 隧道僅是邏輯上的結(jié)合 , 實際上是分開的。一對 GSN -GSN 之間可存在一條或多條路徑。每條路徑又可能包含一條和多條隧道。GTP 是一種手段 ,通過 GTP 來建立、 使用、 管理和釋放隧道。利用保持激活的回送消息來保持路徑 , 保證 GSN之間連接中斷時能及時檢測到。GTP 定義了 2 個相關(guān)的 GSN 之間的一組信令消息。GSN 之間(SGSN 和GGSN 之間 ;SGSN 和 SGSN 之間)以及生成 CDR 的網(wǎng)絡(luò)單元和 CGF 之間的信令消息類型值分配如表 1 所示:

對于信令消息, GTP 字頭的用法如下 :

(1)SNN 置 0 ;

(2)消息類型按上表取定為唯一值 ;

(3)長度是指不包括 GTP 字頭在內(nèi)信令消息長度(字節(jié)數(shù));

(4)序列號是指一條路徑或一條隧道的有效消息號碼, 在路徑或隧道中發(fā)送的每條 GTP 信令消息的序列號是唯一的, 連續(xù)序列號范圍為 0 至 65535 ;

(5)在全部路徑管理消息 、 位置管理消息和移動性管理消息中 TID 置 0。在隧道管理消息中 , TID 用于指出目的地 GSN 中的 MM 和 PDP 上下文 ;

(6)在全部路徑管理消息 、 位置管理消息中 , 流標(biāo)志沒有使用置 0。 在隧道管理消息和移動性管理消息中 , 流標(biāo)志置成所請求的值, 用于指示 GTP 流。信令消息是由用于信令的 GTP 字頭加后面跟隨著的一系列信息單元組成各種信令消息 , 主要取決于信令消息的類型 , 不同的信令消息類型 GTP 字頭后面跟隨不同的信令消息。信令消息格式如圖 5 所示。

GPRS隧道協(xié)議傳輸平臺

隧道用于在一個給定的GSN 對之間為單獨的一個MS 承載封裝的 T -PDU。出現(xiàn)在 GTP 字頭中的關(guān)鍵隧道標(biāo)志應(yīng)說明一個特定的 T -PDU 屬于哪個隧道。以這樣一種格式 , 分組通過 GTP 在一個給定的 GSN -GSN 對之間進行復(fù)用和解復(fù)用 。在關(guān)鍵字段使用的TID 值是由發(fā)生在信令平臺上的創(chuàng)建 PDP 上下文建立規(guī)程來建立的。

GTP 協(xié)議承載 T -PDU 通過 GPRS 骨干網(wǎng) 。 T -PDU 封裝在 G -PDU中 , 在一對 GSN 之間的一個隧道中承載。一個 G -PDU 是由一個 GTP 字頭和一個 T -PDU 組成的分組。路徑協(xié)議規(guī)定路徑 , GTP 字頭規(guī)定隧道。幾個隧道可以復(fù)用到一條路徑上。幀結(jié)構(gòu)如圖6 所示。

對于傳輸平臺消息 , GTP 字頭應(yīng)如下進行使用:

(1)SNN 標(biāo)志 :如果 SNN 標(biāo)志置 1 , 則 GTP 字頭包括可選的 SNDCP N-PDU 序號。

(2)消息類型置十進制 255 , 表明是一個 T -PDU。

(3)序列號 :用于決定是否丟棄一個收到的 T -PDU。

(4)SNDCP N -PDU序列號:如果 SNN 置 1 , 此序列號應(yīng)該被包括。在 SGSN 間路由區(qū)更新時 , 此序列號被原 SGSN 用來告訴新 SGSN 指派給 T -PDU 包的N -PDU 序列號 。如果一個 T -PDU 包沒有被 SNDCP指定序號, 或 T -PDU 包在 LLC層上使用非確認的方式傳送 , 那么 SNN 標(biāo)志應(yīng)置 0, SNDCP N -PDU 序號應(yīng)置 255 。

(5)流標(biāo)志用于識別 T -PDU 屬于哪個數(shù)據(jù)流。流標(biāo)志是接收方在上下文建立、 更新或 SGSN改變時選擇的。

(6)TID:隧道標(biāo)識符指示該T-PDU所屬的隧道。由接收 GSN利用 TID來查找 MM和 PDP的上下文。

GPRS隧道協(xié)議路徑協(xié)議

UDP/IP 是在GTP 的第一版本中唯一規(guī)定用來傳送 GTP信令消息的路徑協(xié)議。UDP/IP也作為在無連接路徑上的隧道傳送無連接 T-PDU的推薦選擇。

TCP/IP 作為在一個可靠的面向連接路徑上的隧道傳送面向連接 T-PDU的推薦選擇。

隧道技術(shù)是一種通過使用網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)(或負載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息 ,從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。為創(chuàng)建隧道,隧道的客戶機和服務(wù)器雙方必須使用相同的隧道協(xié)議。隧道技術(shù)可以分別以第 2層或第 3層隧道協(xié)議為基礎(chǔ)(分層按照開放系統(tǒng)互聯(lián)(OSI)的參考模型劃分)。第 2層隧道協(xié)議對應(yīng) OSI 模型中的數(shù)據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP,L2TP和 L2F(第 2層轉(zhuǎn)發(fā))都屬于第 2層隧道協(xié)議 ,都是將數(shù)據(jù)封裝在點對點協(xié)議(PPP)幀中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第 3層隧道協(xié)議對應(yīng) OSI模型中的網(wǎng)絡(luò)層 ,使用包作為數(shù)據(jù)交換單位。IP over IP以及 IPSec 隧道模式都屬于第3 層隧道協(xié)議,都是將IP 包封裝在附加的 IP包頭中通過 IP網(wǎng)絡(luò)傳送。

目前 ,隧道協(xié)議已經(jīng)被應(yīng)用到許多網(wǎng)絡(luò)中 ,并逐步制定了相應(yīng)的技術(shù)規(guī)范。GPRS隧道協(xié)議 GTP(GPRSTunnelling Protocol)是隧道協(xié)議在GPRS 網(wǎng)絡(luò)中的應(yīng)用實例。

通用分組無線電業(yè)務(wù)(GPRS)是在GSM基礎(chǔ)上發(fā)展起來的移動分組數(shù)據(jù)接入因特網(wǎng)的技術(shù),其實現(xiàn)方法被后來的3G所承襲,并且3G將IP多媒體業(yè)務(wù)也承載在GPRS上,因此,針對GPRS的技術(shù)研究和開發(fā)實現(xiàn),成為移動核心網(wǎng)技術(shù)的重要發(fā)展方向。移動核心網(wǎng)分組域由GPRS服務(wù)支持節(jié)點(SGSN)和GPRS網(wǎng)關(guān)支持節(jié)點(GGSN)實體完成GPRS業(yè)務(wù),而SGSN和GGSN之間的GPRS隧道協(xié)議(GTP)為多個移動臺同時上網(wǎng)提供了多達232個連接,將移動臺通過通用移動通信系統(tǒng)中陸地?zé)o線接入網(wǎng)(UTRAN)發(fā)起的分組數(shù)據(jù)協(xié)議(PDP)上下文連接,通過隧道技術(shù)導(dǎo)向因特網(wǎng),屏蔽了移動臺移動性對分組業(yè)務(wù)的影響,使所有的移動臺都“透明”的連接到因特網(wǎng)上。因此,GTP隧道協(xié)議在2G和3G所提供分組業(yè)務(wù)的實現(xiàn)上都起著極其重要的作用。

隧道技術(shù)的實質(zhì)是如何利用一種網(wǎng)絡(luò)層的協(xié)議來傳輸另一種網(wǎng)絡(luò)層的協(xié)議，其基本功能是封裝和加密，主要利用隧道協(xié)議來實現(xiàn)。封裝是構(gòu)建隧道的基本手段。從隧道的兩端來看，封裝就是用來創(chuàng)建、維持和撤銷一個隧道，來實現(xiàn)信息的隱蔽和抽象。而如果流經(jīng)隧道的數(shù)據(jù)不加密，那么整個隧道就暴露在公共網(wǎng)絡(luò)中，VPN的安全性和私有性就得不到體現(xiàn)。

網(wǎng)路隧道技術(shù)涉及了3種網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。如圖所示

隧道協(xié)議作為VPN IP層的底層，將VPN IP分組進行安裝封裝；隧道協(xié)議同時作為公用IP網(wǎng)的一種特殊形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進行傳輸，以實現(xiàn)隧道內(nèi)的功能。隧道協(xié)議在這個協(xié)議體系中起著承上啟下的作用。

隧道協(xié)議存在多種可能的實現(xiàn)方式，按照工作的層次，可分為兩類：一類是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建撥號VPN（Access VPN）；另一類是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建內(nèi)部網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)（VPN Extranet VPN）。

隧道協(xié)議二層隧道協(xié)議

二層隧道協(xié)議指用公用網(wǎng)絡(luò)來封裝和傳輸二層（數(shù)據(jù)鏈路層）協(xié)議，此時在隧道內(nèi)傳輸?shù)氖菙?shù)據(jù)鏈路層的幀。工作原理如圖所示

在點到點的二層鏈路上，最常用的二層協(xié)議是PPP協(xié)議，隧道協(xié)議實現(xiàn)中，首先將IP分組封裝在二層的PPP協(xié)議幀中，也就是會所，先把各種網(wǎng)絡(luò)協(xié)議封裝在PPP中，再把整個數(shù)據(jù)包裝入二層隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包在公用網(wǎng)絡(luò)中傳輸。

第二層隧道協(xié)議具有簡單易行的優(yōu)點，但是他沒的可擴展性不太好，而且提供內(nèi)在的安全機制安全強度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應(yīng)商之間通信的保密性需求，不適合用來構(gòu)建連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶和供應(yīng)商的企業(yè)外部網(wǎng)VPN。

隧道協(xié)議三層隧道協(xié)議

三層隧道協(xié)議是用公用網(wǎng)來封裝和傳輸三層（網(wǎng)路層）協(xié)議（如IP、IPX、AppleTalk等），此時在隧道內(nèi)傳輸?shù)氖蔷W(wǎng)路層的分組。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 通路路由封裝協(xié)議就是一個三層隧道協(xié)議。IETF制定的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec 也是一個三層速到協(xié)議，利用IPSec（ESP/AN）的隧道模式構(gòu)成的VPN隧道。三層隧道協(xié)議的協(xié)議棧如圖所示，

網(wǎng)絡(luò)隧道簡介

用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的 RFC 1701 Generic Routing Encapsulation（GRE）協(xié)議就是個三層隧道協(xié)議。新出來的 IETF 的 IP 層加密標(biāo)準(zhǔn)協(xié)議 IPSec 協(xié)議也是個三層隧道協(xié)議。

網(wǎng)絡(luò)隧道IPSec

IPSec 協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它包括網(wǎng)絡(luò)安全協(xié)議 Authentication Header（AH）協(xié)議和 Encapsulating Security Payload（ESP）協(xié)議、密鑰管理協(xié)議Internet Key Exchange （IKE）協(xié)議和用于網(wǎng)絡(luò)驗證及加密的一些算法等。IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

網(wǎng)絡(luò)隧道GRE

GRE 與 IP in IP、IPX over IP 等封裝形式很相似，但比他們更通用。很多協(xié)議的細微差異都被忽略，這就導(dǎo)致了它不是建議用在某個特定的“X over Y”進行封裝，所以是一種最基本的封裝形式。

網(wǎng)絡(luò)隧道封裝

在最簡單的情況下，系統(tǒng)接受到一個需要封裝和路由的數(shù)據(jù)報，我們稱之為有效報文（Payload）。這個有效報文首先被 GRE 封裝然后被稱之為 GRE 報文，這個報文接著被封裝在 IP 協(xié)議中，然后完全由 IP 層負責(zé)此報文的向前傳輸（Forwarded）。我們也稱這個負責(zé)向前傳輸?shù)腎P 協(xié)議為傳遞（Delivery）協(xié)議或傳輸（Transport）協(xié)議。整個被封裝的報文具有圖2 所示形式： Delivery Header(transpor Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) 圖2 通過 GRE 傳輸報文形式 GRE 的作用如下： 多協(xié)議的本地網(wǎng)通過單一協(xié)議的骨干網(wǎng)傳輸?shù)姆?wù) 將一些不能連續(xù)的子網(wǎng)連接起來；這一點用于組建 VPN 擴大了網(wǎng)絡(luò)的工作范圍,包括那些路由網(wǎng)關(guān)有限的協(xié)議；如 IPX 包最多可以轉(zhuǎn)發(fā)16次（既經(jīng)過16個路由器），而在一個 Tunnel 連接中看上去只經(jīng)過一個路由器 IPSec IPSec，IP 安全協(xié)議，是一組開放協(xié)議的總稱，在特定的通信方之間提供數(shù)據(jù)的私有性、完整性保護，并能對數(shù)據(jù)源進行驗證。IPSec 使用 IKE 進行協(xié)議及算法的協(xié)商，并采用由 IKE 生成的密碼來加密和驗證。IPSec 用來保證數(shù)據(jù)包在 Internet 網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec 在 IP 層提供這些安全服務(wù)，對 IP 及所承載的數(shù)據(jù)提供保護。這些服務(wù)是通過兩個安全協(xié)議 AH 和 ESP，通過加密等過程實現(xiàn)的。這些機制的實現(xiàn)不會對用戶、主機或其它 Internet 組件造成影響；用戶可以選擇不同的加密算法，而不會對實現(xiàn)的其它部分造成影響。

網(wǎng)絡(luò)隧道IPSec優(yōu)點

IPSec 提供以下幾種網(wǎng)絡(luò)安全服務(wù)：

私有性 － IPsec 在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性

完整性 － IPsec 在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被替換

真實性 － IPsec 端要驗證所有受 IPsec 保護的數(shù)據(jù)包

反重復(fù) － IPsec 防止了數(shù)據(jù)包被撲捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包；它通過與 AH 或 ESP 一起工作的序列號實現(xiàn) IPSec 協(xié)議本身定義了如何在 IP 數(shù)據(jù)包中增加字段來保證 IP 包的完整性、私有性和真實性，這些協(xié)議還規(guī)定了如何加密數(shù)據(jù)包。使用 IPsec，數(shù)據(jù)就可以在公網(wǎng)上傳輸，而不必擔(dān)心數(shù)據(jù)被監(jiān)視、修改或偽造了。IPsec 提供了兩個主機之間、兩個安全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)主機的保護。

IPSec 定義了兩個新的數(shù)據(jù)包頭增加到 IP 包，這些數(shù)據(jù)包頭用于保證 IP 數(shù)據(jù)包的安全性。這兩個數(shù)據(jù)包頭由AH（Authentication Header）和 ESP（Encapsulating Security Payload）規(guī)定。在網(wǎng)關(guān)上實現(xiàn) IPSec，AH 將插到標(biāo)準(zhǔn)IP包頭后面，它保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包。AH 采用了安全哈希算法來對數(shù)據(jù)包進行保護。AH 沒有對用戶數(shù)據(jù)進行加密。ESP 將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中，ESP 可以保證數(shù)據(jù)的完整性、真實性和私有性。

IPSec 有隧道和傳送兩種工作方式。在隧道方式中，用戶的整個 IP數(shù)據(jù)包被用來計算 ESP 頭，且被加密，ESP 頭和加密用戶數(shù)據(jù)被封裝在一個新的 IP 數(shù)據(jù)包中；在傳送方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計算 ESP 頭，ESP 頭和被加密的傳輸層數(shù)據(jù)被放置在原IP包頭后面。當(dāng) IPSec 通信的一端為安全網(wǎng)關(guān)時，必須采用隧道方式。

Internet 密鑰交換協(xié)議（IKE）用于在兩個通信實體協(xié)商和建立安全相關(guān)，交換密鑰。安全相關(guān)（Security Association）是 IPSec 中的一個重要概念。一個安全相關(guān)表示兩個或多個通信實體之間經(jīng)過了身份認證，且這些通信實體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用 IPSec 進行安全通信。IPSec 協(xié)議本身沒有提供在通信實體間建立安全相關(guān)的方法，利用 IKE 建立安全相關(guān)。IKE 定義了通信實體間進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE中身份認證采用共享密鑰和數(shù)字簽名兩種方式，密鑰交換采用 Diffie Hellman 協(xié)議。

安全相關(guān)也可以通過手工方式建立，但是當(dāng) VPN 中結(jié)點增多時，手工配置將非常困難。2100433B