GPRS隧道協(xié)議簡介

隧道技術(shù)是一種通過使用網(wǎng)絡的基礎(chǔ)設(shè)施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)(或負載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息 ,從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡傳遞。為創(chuàng)建隧道,隧道的客戶機和服務器雙方必須使用相同的隧道協(xié)議。隧道技術(shù)可以分別以第 2層或第 3層隧道協(xié)議為基礎(chǔ)(分層按照開放系統(tǒng)互聯(lián)(OSI)的參考模型劃分)。第 2層隧道協(xié)議對應 OSI 模型中的數(shù)據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP,L2TP和 L2F(第 2層轉(zhuǎn)發(fā))都屬于第 2層隧道協(xié)議 ,都是將數(shù)據(jù)封裝在點對點協(xié)議(PPP)幀中通過互聯(lián)網(wǎng)絡發(fā)送。第 3層隧道協(xié)議對應 OSI模型中的網(wǎng)絡層 ,使用包作為數(shù)據(jù)交換單位。IP over IP以及 IPSec 隧道模式都屬于第3 層隧道協(xié)議,都是將IP 包封裝在附加的 IP包頭中通過 IP網(wǎng)絡傳送。

目前 ,隧道協(xié)議已經(jīng)被應用到許多網(wǎng)絡中 ,并逐步制定了相應的技術(shù)規(guī)范。GPRS隧道協(xié)議 GTP(GPRSTunnelling Protocol)是隧道協(xié)議在GPRS 網(wǎng)絡中的應用實例。

GTP 協(xié)議是由GTP 信令和數(shù)據(jù)傳輸程序組成的。在信令平臺,GTP信令規(guī)定了移動臺 MS接入 GPRS網(wǎng)絡的隧道控制和管理功能要求 ,信令主要執(zhí)行建立、修改和刪除GSN之間隧道功能以及執(zhí)行移動性管理、位置管理、 路徑管理功能。在傳輸平臺 ,GTP利用 GSN 之間建立的隧道傳送用戶分組數(shù)據(jù),并給出了以GTP 為基礎(chǔ)的IP組網(wǎng)技術(shù),SGSN、GGSN執(zhí)行GTP 、UDP或 TCP和 IP 字頭封裝功能和包括骨干路由器在內(nèi)對用戶分組數(shù)據(jù)的分段處理功能。

GPRS隧道協(xié)議GTP 字頭

GTP 字頭是由 20 個字節(jié)組成的固定格式, 適合全部的 GTP 消息 , GTP 字頭組成和隧道標識符格式如圖 2 、 圖 3 所示。

其中 , 版本比特和 PT 比特合用表示協(xié)議類型及版本號 ;SNN 用于指示 SNDCP(子網(wǎng)相關(guān)的收斂協(xié)議)的N -PDU序號是否被包括 ;消息類型指示 GTP 消息的類型 :路徑管理、 隧道管理、 位置管理、 移動性管理等信令消息類型 ;序列號用于信令消息的事務處理標識和隧道傳送 T -PDU 的遞增序號;TID(隧道標識符)用于指出MM(移動性管理)和 PDP 上下文 。其結(jié)構(gòu)如圖 3 所示。

圖 3 中 MCC 是移動網(wǎng)國家代碼 , MNC 是移動網(wǎng)代碼 , MSIN 是移動臺識別號 , 屬于國際移動用戶識別 IMSI 中的一部分。NSAPI 是網(wǎng)絡業(yè)務訪問點標識符 , 用于識別PDP 上下文。

GPRS隧道協(xié)議信令平臺

與 GPRS移動性管理功能有關(guān)的信令平臺包括 GPRS連接,GPRS路由區(qū)更新和 PDP上下文激活等。GSN 節(jié)點之間的信令是由 GPRS 隧道協(xié)議 GTP 來執(zhí)行的。信令平臺(協(xié)議棧)如圖 4 所示。

GTP 信令流與GTP 隧道僅是邏輯上的結(jié)合 , 實際上是分開的。一對 GSN -GSN 之間可存在一條或多條路徑。每條路徑又可能包含一條和多條隧道。GTP 是一種手段 ,通過 GTP 來建立、 使用、 管理和釋放隧道。利用保持激活的回送消息來保持路徑 , 保證 GSN之間連接中斷時能及時檢測到。GTP 定義了 2 個相關(guān)的 GSN 之間的一組信令消息。GSN 之間(SGSN 和GGSN 之間 ;SGSN 和 SGSN 之間)以及生成 CDR 的網(wǎng)絡單元和 CGF 之間的信令消息類型值分配如表 1 所示:

對于信令消息, GTP 字頭的用法如下 :

(1)SNN 置 0 ;

(2)消息類型按上表取定為唯一值 ;

(3)長度是指不包括 GTP 字頭在內(nèi)信令消息長度(字節(jié)數(shù));

(4)序列號是指一條路徑或一條隧道的有效消息號碼, 在路徑或隧道中發(fā)送的每條 GTP 信令消息的序列號是唯一的, 連續(xù)序列號范圍為 0 至 65535 ;

(5)在全部路徑管理消息 、 位置管理消息和移動性管理消息中 TID 置 0。在隧道管理消息中 , TID 用于指出目的地 GSN 中的 MM 和 PDP 上下文 ;

(6)在全部路徑管理消息 、 位置管理消息中 , 流標志沒有使用置 0。 在隧道管理消息和移動性管理消息中 , 流標志置成所請求的值, 用于指示 GTP 流。信令消息是由用于信令的 GTP 字頭加后面跟隨著的一系列信息單元組成各種信令消息 , 主要取決于信令消息的類型 , 不同的信令消息類型 GTP 字頭后面跟隨不同的信令消息。信令消息格式如圖 5 所示。

GPRS隧道協(xié)議傳輸平臺

隧道用于在一個給定的GSN 對之間為單獨的一個MS 承載封裝的 T -PDU。出現(xiàn)在 GTP 字頭中的關(guān)鍵隧道標志應說明一個特定的 T -PDU 屬于哪個隧道。以這樣一種格式 , 分組通過 GTP 在一個給定的 GSN -GSN 對之間進行復用和解復用 。在關(guān)鍵字段使用的TID 值是由發(fā)生在信令平臺上的創(chuàng)建 PDP 上下文建立規(guī)程來建立的。

GTP 協(xié)議承載 T -PDU 通過 GPRS 骨干網(wǎng) 。 T -PDU 封裝在 G -PDU中 , 在一對 GSN 之間的一個隧道中承載。一個 G -PDU 是由一個 GTP 字頭和一個 T -PDU 組成的分組。路徑協(xié)議規(guī)定路徑 , GTP 字頭規(guī)定隧道。幾個隧道可以復用到一條路徑上。幀結(jié)構(gòu)如圖6 所示。

對于傳輸平臺消息 , GTP 字頭應如下進行使用:

(1)SNN 標志 :如果 SNN 標志置 1 , 則 GTP 字頭包括可選的 SNDCP N-PDU 序號。

(2)消息類型置十進制 255 , 表明是一個 T -PDU。

(3)序列號 :用于決定是否丟棄一個收到的 T -PDU。

(4)SNDCP N -PDU序列號:如果 SNN 置 1 , 此序列號應該被包括。在 SGSN 間路由區(qū)更新時 , 此序列號被原 SGSN 用來告訴新 SGSN 指派給 T -PDU 包的N -PDU 序列號 。如果一個 T -PDU 包沒有被 SNDCP指定序號, 或 T -PDU 包在 LLC層上使用非確認的方式傳送 , 那么 SNN 標志應置 0, SNDCP N -PDU 序號應置 255 。

(5)流標志用于識別 T -PDU 屬于哪個數(shù)據(jù)流。流標志是接收方在上下文建立、 更新或 SGSN改變時選擇的。

(6)TID:隧道標識符指示該T-PDU所屬的隧道。由接收 GSN利用 TID來查找 MM和 PDP的上下文。

GPRS隧道協(xié)議路徑協(xié)議

UDP/IP 是在GTP 的第一版本中唯一規(guī)定用來傳送 GTP信令消息的路徑協(xié)議。UDP/IP也作為在無連接路徑上的隧道傳送無連接 T-PDU的推薦選擇。

TCP/IP 作為在一個可靠的面向連接路徑上的隧道傳送面向連接 T-PDU的推薦選擇。

通用分組無線電業(yè)務(GPRS)是在GSM基礎(chǔ)上發(fā)展起來的移動分組數(shù)據(jù)接入因特網(wǎng)的技術(shù),其實現(xiàn)方法被后來的3G所承襲,并且3G將IP多媒體業(yè)務也承載在GPRS上,因此,針對GPRS的技術(shù)研究和開發(fā)實現(xiàn),成為移動核心網(wǎng)技術(shù)的重要發(fā)展方向。移動核心網(wǎng)分組域由GPRS服務支持節(jié)點(SGSN)和GPRS網(wǎng)關(guān)支持節(jié)點(GGSN)實體完成GPRS業(yè)務,而SGSN和GGSN之間的GPRS隧道協(xié)議(GTP)為多個移動臺同時上網(wǎng)提供了多達232個連接,將移動臺通過通用移動通信系統(tǒng)中陸地無線接入網(wǎng)(UTRAN)發(fā)起的分組數(shù)據(jù)協(xié)議(PDP)上下文連接,通過隧道技術(shù)導向因特網(wǎng),屏蔽了移動臺移動性對分組業(yè)務的影響,使所有的移動臺都“透明”的連接到因特網(wǎng)上。因此,GTP隧道協(xié)議在2G和3G所提供分組業(yè)務的實現(xiàn)上都起著極其重要的作用。

隧道技術(shù)的實質(zhì)是如何利用一種網(wǎng)絡層的協(xié)議來傳輸另一種網(wǎng)絡層的協(xié)議，其基本功能是封裝和加密，主要利用隧道協(xié)議來實現(xiàn)。封裝是構(gòu)建隧道的基本手段。從隧道的兩端來看，封裝就是用來創(chuàng)建、維持和撤銷一個隧道，來實現(xiàn)信息的隱蔽和抽象。而如果流經(jīng)隧道的數(shù)據(jù)不加密，那么整個隧道就暴露在公共網(wǎng)絡中，VPN的安全性和私有性就得不到體現(xiàn)。

網(wǎng)路隧道技術(shù)涉及了3種網(wǎng)絡協(xié)議：網(wǎng)絡隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。如圖所示

隧道協(xié)議作為VPN IP層的底層，將VPN IP分組進行安裝封裝；隧道協(xié)議同時作為公用IP網(wǎng)的一種特殊形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進行傳輸，以實現(xiàn)隧道內(nèi)的功能。隧道協(xié)議在這個協(xié)議體系中起著承上啟下的作用。

隧道協(xié)議存在多種可能的實現(xiàn)方式，按照工作的層次，可分為兩類：一類是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡協(xié)議，它主要應用于構(gòu)建撥號VPN（Access VPN）；另一類是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡協(xié)議，它主要應用于構(gòu)建內(nèi)部網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)（VPN Extranet VPN）。

隧道協(xié)議二層隧道協(xié)議

二層隧道協(xié)議指用公用網(wǎng)絡來封裝和傳輸二層（數(shù)據(jù)鏈路層）協(xié)議，此時在隧道內(nèi)傳輸?shù)氖菙?shù)據(jù)鏈路層的幀。工作原理如圖所示

在點到點的二層鏈路上，最常用的二層協(xié)議是PPP協(xié)議，隧道協(xié)議實現(xiàn)中，首先將IP分組封裝在二層的PPP協(xié)議幀中，也就是會所，先把各種網(wǎng)絡協(xié)議封裝在PPP中，再把整個數(shù)據(jù)包裝入二層隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包在公用網(wǎng)絡中傳輸。

第二層隧道協(xié)議具有簡單易行的優(yōu)點，但是他沒的可擴展性不太好，而且提供內(nèi)在的安全機制安全強度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應商之間通信的保密性需求，不適合用來構(gòu)建連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶和供應商的企業(yè)外部網(wǎng)VPN。

隧道協(xié)議三層隧道協(xié)議

三層隧道協(xié)議是用公用網(wǎng)來封裝和傳輸三層（網(wǎng)路層）協(xié)議（如IP、IPX、AppleTalk等），此時在隧道內(nèi)傳輸?shù)氖蔷W(wǎng)路層的分組。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 通路路由封裝協(xié)議就是一個三層隧道協(xié)議。IETF制定的IP層加密標準協(xié)議IPSec 也是一個三層速到協(xié)議，利用IPSec（ESP/AN）的隧道模式構(gòu)成的VPN隧道。三層隧道協(xié)議的協(xié)議棧如圖所示，

網(wǎng)絡隧道簡介

用于傳輸三層網(wǎng)絡協(xié)議的隧道協(xié)議叫三層隧道協(xié)議。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的 RFC 1701 Generic Routing Encapsulation（GRE）協(xié)議就是個三層隧道協(xié)議。新出來的 IETF 的 IP 層加密標準協(xié)議 IPSec 協(xié)議也是個三層隧道協(xié)議。

網(wǎng)絡隧道IPSec

IPSec 協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它包括網(wǎng)絡安全協(xié)議 Authentication Header（AH）協(xié)議和 Encapsulating Security Payload（ESP）協(xié)議、密鑰管理協(xié)議Internet Key Exchange （IKE）協(xié)議和用于網(wǎng)絡驗證及加密的一些算法等。IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡安全服務。

網(wǎng)絡隧道GRE

GRE 與 IP in IP、IPX over IP 等封裝形式很相似，但比他們更通用。很多協(xié)議的細微差異都被忽略，這就導致了它不是建議用在某個特定的“X over Y”進行封裝，所以是一種最基本的封裝形式。

網(wǎng)絡隧道封裝

在最簡單的情況下，系統(tǒng)接受到一個需要封裝和路由的數(shù)據(jù)報，我們稱之為有效報文（Payload）。這個有效報文首先被 GRE 封裝然后被稱之為 GRE 報文，這個報文接著被封裝在 IP 協(xié)議中，然后完全由 IP 層負責此報文的向前傳輸（Forwarded）。我們也稱這個負責向前傳輸?shù)腎P 協(xié)議為傳遞（Delivery）協(xié)議或傳輸（Transport）協(xié)議。整個被封裝的報文具有圖2 所示形式： Delivery Header(transpor Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) 圖2 通過 GRE 傳輸報文形式 GRE 的作用如下： 多協(xié)議的本地網(wǎng)通過單一協(xié)議的骨干網(wǎng)傳輸?shù)姆?將一些不能連續(xù)的子網(wǎng)連接起來；這一點用于組建 VPN 擴大了網(wǎng)絡的工作范圍,包括那些路由網(wǎng)關(guān)有限的協(xié)議；如 IPX 包最多可以轉(zhuǎn)發(fā)16次（既經(jīng)過16個路由器），而在一個 Tunnel 連接中看上去只經(jīng)過一個路由器 IPSec IPSec，IP 安全協(xié)議，是一組開放協(xié)議的總稱，在特定的通信方之間提供數(shù)據(jù)的私有性、完整性保護，并能對數(shù)據(jù)源進行驗證。IPSec 使用 IKE 進行協(xié)議及算法的協(xié)商，并采用由 IKE 生成的密碼來加密和驗證。IPSec 用來保證數(shù)據(jù)包在 Internet 網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec 在 IP 層提供這些安全服務，對 IP 及所承載的數(shù)據(jù)提供保護。這些服務是通過兩個安全協(xié)議 AH 和 ESP，通過加密等過程實現(xiàn)的。這些機制的實現(xiàn)不會對用戶、主機或其它 Internet 組件造成影響；用戶可以選擇不同的加密算法，而不會對實現(xiàn)的其它部分造成影響。

網(wǎng)絡隧道IPSec優(yōu)點

IPSec 提供以下幾種網(wǎng)絡安全服務：

私有性 － IPsec 在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性

完整性 － IPsec 在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被替換

真實性 － IPsec 端要驗證所有受 IPsec 保護的數(shù)據(jù)包

反重復 － IPsec 防止了數(shù)據(jù)包被撲捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復的數(shù)據(jù)包；它通過與 AH 或 ESP 一起工作的序列號實現(xiàn) IPSec 協(xié)議本身定義了如何在 IP 數(shù)據(jù)包中增加字段來保證 IP 包的完整性、私有性和真實性，這些協(xié)議還規(guī)定了如何加密數(shù)據(jù)包。使用 IPsec，數(shù)據(jù)就可以在公網(wǎng)上傳輸，而不必擔心數(shù)據(jù)被監(jiān)視、修改或偽造了。IPsec 提供了兩個主機之間、兩個安全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)主機的保護。

IPSec 定義了兩個新的數(shù)據(jù)包頭增加到 IP 包，這些數(shù)據(jù)包頭用于保證 IP 數(shù)據(jù)包的安全性。這兩個數(shù)據(jù)包頭由AH（Authentication Header）和 ESP（Encapsulating Security Payload）規(guī)定。在網(wǎng)關(guān)上實現(xiàn) IPSec，AH 將插到標準IP包頭后面，它保證數(shù)據(jù)包的完整性和真實性，防止黑客截斷數(shù)據(jù)包或向網(wǎng)絡中插入偽造的數(shù)據(jù)包。AH 采用了安全哈希算法來對數(shù)據(jù)包進行保護。AH 沒有對用戶數(shù)據(jù)進行加密。ESP 將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中，ESP 可以保證數(shù)據(jù)的完整性、真實性和私有性。

IPSec 有隧道和傳送兩種工作方式。在隧道方式中，用戶的整個 IP數(shù)據(jù)包被用來計算 ESP 頭，且被加密，ESP 頭和加密用戶數(shù)據(jù)被封裝在一個新的 IP 數(shù)據(jù)包中；在傳送方式中，只是傳輸層（如TCP、UDP、ICMP）數(shù)據(jù)被用來計算 ESP 頭，ESP 頭和被加密的傳輸層數(shù)據(jù)被放置在原IP包頭后面。當 IPSec 通信的一端為安全網(wǎng)關(guān)時，必須采用隧道方式。

Internet 密鑰交換協(xié)議（IKE）用于在兩個通信實體協(xié)商和建立安全相關(guān)，交換密鑰。安全相關(guān)（Security Association）是 IPSec 中的一個重要概念。一個安全相關(guān)表示兩個或多個通信實體之間經(jīng)過了身份認證，且這些通信實體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用 IPSec 進行安全通信。IPSec 協(xié)議本身沒有提供在通信實體間建立安全相關(guān)的方法，利用 IKE 建立安全相關(guān)。IKE 定義了通信實體間進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE中身份認證采用共享密鑰和數(shù)字簽名兩種方式，密鑰交換采用 Diffie Hellman 協(xié)議。

安全相關(guān)也可以通過手工方式建立，但是當 VPN 中結(jié)點增多時，手工配置將非常困難。2100433B