BÀI GIẢNG NGN Chương 6: Các vấn đề liên quan dòch vụ

- 134 -
CHƯƠNG 6:
CÁC VẤN ĐỀ LIÊN
QUAN ĐẾN DỊCH VỤ
WX

I. BẢO MẬT
1. Giới thiệu
Khả năng bảo mật của một mạng viễn thông là một trong những yếu tố
hàng đầu quyết đònh chất lượng cũng như tính khả dụng của mạng viễn
thông đó. Nhiều hướng dẫn khác nhau của liên minh Châu Âu EU đã được
đưa ra để bảo vệ dữ liệu và tính riêng tư của người sử dụng, trong đó bao
gồm cả bảo vệ thông tin trong mạng công cộng. Viện tiêu chuẩn Châu Âu
(ETSI) đã thành lập một ban cố vấn về vấn đề bảo mật, và ban này phục vụ
cho các nhà vận hành mạng công cộng. Trong tương lai, các yêu cầu về bảo
mật không chỉ đặt ra với các nhà vận hành mạng viễn thông mà còn cho
từng quốc gia riêng biệt. Đặc biệt, các vấn đề bảo mật trong mạng NGN là
một vấn đề quan trọng cần được chú ý.
Có nhiều thành phần yêu cầu về bảo mật ở mức độ cao trong mạng
NGN:
 Khách hàng/ thuê bao cần phải có tính riêng tư trong mạng và các dòch
vụ được cung cấp, bao gồm cả việc tính cước. Thêm vào đó, họ yêu cầu
dòch vụ phải có tính sẵn sàng cao, cạnh tranh lành mạnh và bảo đảm sự
riêng tư của họ.
 Các nhà vận hành mạng, các nhà cung cấp dòch vụ, các nhà cung cấp truy
nhập đều cần phải bảo mật để bảo vệ hoạt động , vận hành và kinh
doanh của họ, đồng thời có thể giúp họ phục vụ tốt khách hàng cũng như
cộng đồng.
 Các quốc gia khác nhau yêu cầu và đòi hỏi tính bảo mật bằng cách đưa

ngoại trừ các nhà cung cấp thiết bò hay các tổ chức viễn thông. Tuy nhiên
tình hình hiện nay đã thay đổi. Các hệ thống mở vẫn còn các giao diện phức
tạp, nhưng như đã đònh nghóa, nó được trang bò và nhiều khách hàng tìm
hiểu. Để đảm bảo tính bảo mật của các hệ thống này, công nghệ phải trở
nên có chi phí thấp và dễ dàng đạt được. Ví dụ, nhiều giao thức xử lý cho
BÀI GIẢNG NGN Chương 6: Các vấn đề liên quan dòch vụ

- 136 -
các PC sẵn sàng miễn phí cho các phần mềm công cộng. Do đó, nhiệm vụ
chống hacker trở nên dễ dàng hơn.
Một số dòch vụ cũng yêu cầu tính bảo mật cao hơn. Các dòch vụ này
không giới hạn trong các khu vực xác đònh như trước đây, do đó nó chòu
nhiều nguy hiểm hơn. Do đó sự bảo mật tốt hơn là thực sự cần thiết do các lý
do kinh tế hay riêng tư. Ví dụ về các dòch vụ này là dòch vụ thoại chất lượng
cao, video hội nghò và các dòch vụ đa phương tiện khác. Các khách hàng này
chỉ đời truy nhập vào dữ liệu của họ, và tối thiểu có thể cung cấp thêm cho
họ chức năng truy nhập vào hệ thống quản lý.
2. Các yêu cầu bảo mật
Một nhà cung cấp mạng hay dòch vụ sẽ quyết đònh giới hạn thực hiện
bảo mật dựa vào kết quả của phân tích nguy cơ và đánh giá rủi ro. Sau đó
nhà cung cấp sẽ tạo ra một “chiến lược bảo mật”. Hình sau mô tả sự tương
tác của các khối liên quan đến bảo mật.
Hình 6-2 Mô hình bảo mật
Phân tích nguy cơ và đánh giá rủi ro trên nguyên tắc chỉ có thể thực
hiện trong một trường hợp cụ thể. Phạm vi bảo mật có thể tùy thuộc vào các
hoạt động khác nhau. Do đó thách thức đặt ra cho các nhà cung cấp thiết bò
là xác đònh một chính sách chung cho phần lớn các khách hàng và khách

nghe trộm hay giả dạng cũng có thể xảy ra. Truy nh6ạp trái phép cũng là
kết quả của các nguy cơ kể trên.
 Sửa đổi thông tin: Trong trường hợp này, dữ liệu bò phá hỏng hay làm cho
không thể sử dụng được do thao tác của hacker. Một hậu quả của hành
động này là những khách hàng hợp pháp không truy xuất vào tài nguyên
mạng được. Trên nguyên tắc không thể ngăn cản khách hàng thao tác
trên dữ liệu hay phá hủy một cơ sở dữ liệu trong phạm vi truy nhập cho
phép của họ.
 Từ chối khách hàng: Một hay nhiều khách hàng trong mạng có thể bò từ
chối tham gia vào một phần hay toàn bộ mạng với các khách hàng/ dòch
vụ/server khác. Phương pháp tấn công có thể là tác động lên đường
truyền, truy nhập dữ liệu hay sửa đổi dữ liệu. Trên quan điểm của nhà
vận hành mạng hay nhà cung cấp dòch vụ, dạng tấn công này gây hậu
quả là mất niềm tin, mất khách hàng và dẫn tới mất doanh thu.

BÀI GIẢNG NGN Chương 6: Các vấn đề liên quan dòch vụ

- 138 -
4. Các giải pháp tạm thời
Các biện pháp đối phó có thể chia thành hai loại sau: phòng chống và
dò tìm. Sau đây là các biện pháp tiêu biểu:
¾ Nhận thực
¾ Chữ ký số
¾ Điều khiển truy nhập
¾ Mạng riêng ảo
¾ Phát hiện xâm nhập
¾ Ghi nhất ký và kiểm toán
¾ Mã hóa
Trong mọi trường hợp cần lưu ý rằng các hệ thống vận hành trong các
thành phần NGN cần phải bảo vệ cấu hình như một biện pháp đối phó cơ


5. Kết luận
Một thách thức quan trọng đối với hệ thống mạng NGN trên nền IP là
thực hiện các bảo mật trong các dạng ứng dụng khác nhau. Từ khi bắt đầu,
cấu trúc NGN đã được phát triển với sự quan tâm đến các vấn đề bảo mật,
dựa vào các phân tích nguy cơ và chế độ IPSec từ IETF. Sự linh hoạt đảm
bảo tính bảo mật có thể đạt được yêu cầu của môi trường thực tế. Sử dụng
NGN trong mạng dựa trên nền PacketCable đã được kiểm đònh các giải pháp
bảo mật. Công việc còn lại là tiếp tục bảo vệ mạng chống lại các cuộc tấn
công trong tương lai từ các nguồn chưa biết trước.
II. QoS (Quality of Service)
1. Giới thiệu
Chất lượng dòch vụ QoS chính là yếu tố thúc đẩy MPLS. So sánh với
các yếu tố khác, như quản lý lưu lượng và hỗ trợ VPN thì QoS không phải là
lý do quan trọng nhất để triển khai MPLS. Như chúng ta sẽ thấy dưới đây,
hầu hết các công việc được thực hiện trong MPLS QoS tập trung vào việc hỗ
trợ các đặïc tính của IP QoS trong mạng. Nói cách khác, mục tiêu là thiết lập
điểm tương đồng giữa các đặc tính QoS của IP và MPLS, chứ không phải là
làm cho MPLS QoS có chất lượng cao hơn IP QoS.
Một lý do để khẳng đònh MPLS không giống như IP là MPLS không
phải là giao thức xuyên suốt. MPLS không vận hành trong các máy chủ, và
trong tương lai nhiều mạng IP không sử dụng nhưng MPLS vẫn tồn tại. QoS
BÀI GIẢNG NGN Chương 6: Các vấn đề liên quan dòch vụ

- 140 -
mặt khác là đặc tính thường trực của liên lạc giữa các LSR cùng cấp. Ví dụ
nếu một kênh kết nối trong tuyến xuyên suốt có độ trễ cao, tổn thất lớn,
băng thông thấp sẽ giới hạn QoS có thể cung cấp dọc theo tuyến đó. Một
cách nhìn nhận khác về vấn đề này là MPLS không thay đổi về căn bản mô
hình dòch vụ IP. Các nhà cung cấp dòch vụ không bản dòch vụ MPLS, họ cung


- 141 -

Mức QoS
tối thiểu
Mạng
Internet
ngày nay
Mức QoS
tương đối
Dựa vào
ToS
Mức QoS phải được
đảm bảo
Khách hàng
Internet
Các công ty kết
nối mạng Internet
Mạng VPN
Dòch vụ thời
gian thực
Y
e
â
u

c
a
à
u

á
n

đ
a
à
u

c
u
o
á
i
Mức QoSHình 6-4 Sự phát triển QoS

2. Các kỹ thuật phục vụ QoS

Best Effort
IntServ
DiffServ
Controlled Load
Service
Traffic Type
M
e
d
i

v
a
l
M
e
s
s
a
g
i
ng
D
i
s
t
r
i
b
ut
i
on
(
w
i
t
h
c
on
t
r

l
)Hình 6-5 Các kỹ thuật QoS trong mạng IP
BÀI GIẢNG NGN Chương 6: Các vấn đề liên quan dòch vụ

- 142 -
2.1 Dòch vụ cố gắng tối đa (Best Effort)
Đây là dòch vụ phố biến trên mạng Internet hay mạng IP nói
chung. Các gói thông tin được truyền đi theo nguyên tắc “đến trước
được phục vụ trước” mà không quan tâm đến đặc tính lưu lượng của
dòch vụ là gì. Điều này dẫn đến rất khó hỗ trợ các dòch vụ đòi hỏi độ trễ
thấp như các dòch vụ thời gian thực hay video. Cho đến thời điểm này,
đa phần các dòch vụ được cung cấp bởi mạng Internet vẫn sử dụng
nguyên tắc Best Effort này.
2.2 Dòch vụ tích hợp (IntServ)
Đứng trước nhu cầu ngày càng tăng trong việc cung cấp dòch vụ
thời gian thực (thoại, video) và băng thông cao (đa phương tiện), dòch
vụ tích hợp IntServ đã ra đời. Đây là sự phát triển của mạng IP nhằm
đồng thời cung cấp dòch vụ truyền thống Best Effort và các dòch vụ thời
gian thực. Sau đây là những động lực thúc đẩy sự ra đời của mô hình
này:
 Dòch vụ cố gắng tối đa không còn đủ đáp ứng nữa: ngày càng có
nhiều ứng dụng khác nhau, các yêu cầu khác nhau về đặc tính lưu
lượng được triển khai, đồng thời người sử dụng cũng yêu cầu chất
lượng dòch vụ ngày càng cao hơn.

Các bản tin setup đặt
trước
IP Data
DataHình 6-6 Mô hình dòch vụ IntServ

Một số thành phần chính tham gia trong mô hình như:
 Giao thức thiết lập setup: cho phép các máy chủ và các router dự trữ
động tài nguyên mạng để xử lý các yêu cầu của các luồng lưu lượng
riêng. RSVP, Q.2391 là một trong những giao thức đó.
 Đặc tính luồng: xác đònh chất lượng dòch vụ QoS sẽ cung cấp cho
các luồng xác đònh. Luồng ở đây được đònh nghóa như một luồng các
gói từ nguồn đến đích có cùng yêu cầu về QoS. Về nguyên tắc có
thể đặc tính luồng như băng tần tối thiểu mà mạng bắt buộc phải
cung cấp để đảm bảo QoS cho các luồng yêu cầu.
 Điều khiển lưu lượng: trong các thiết bò thiết bò mạng (máy chủ,
router, chuyển mạch) có thành phần điều khiển và quản lý tài
nguyên mạng cần thiết để hỗ trợ QoS theo yêu cầu. Các thành phần
điều khiển lưu lượng này có thể được khai báo bởi giao thức báo
hiệu RSVP hay nhân công. Thành phần điều khiển lưu lượng bao
gồm:
? Điều khiển chấp nhận: xác đònh các thiết bò mạng có khả năng
hỗ trợ QoS theo yêu cầu hay không.
? Thiết bò phân loại (Classifier): nhận dạng và chọn lựa lớp dòch vụ
trên nội dung của một số trường nhất đònh trong mào đầu gói.
? Thiết bò phân phối(Scheduler): cung cấp các mức chất lượng dòch
vụ QoS qua kênh ra của thiết bò mạng
.

 Các thiết bò chuyển mạch, router trong mạng lõi sẽ phục vụ các gói
theo nội dung của các bit đã được đánh dấu trong mào đầu của gói.

Với nguyên tắc này, Diffserv có nhiều lợi thế hơn so với IntServ:
? Không yêu cầu báo hiệu cho từng luồng
? Dòch vụ ưu tiên có thể áp dụng cho một số luồng riêng biệt cùng
một lớp dòch vụ. Điều này cho phép nhà cung cấp dòch vụ dễ dàng
phân phối một số mức dòch vụ khác nhau cho các khách hàng có nhu
cầu.
? Không yêu cầu thay đổi tại các máy chủ hay các ứng dụng để hỗ trợ
dòch vụ ưu tiên. Đây là nhiệm vụ của thiết bò biên
.
? Hỗ trợ rất tốt dòch vụ VPN.
Tuy nhiên có thể nhận thấy DiffServ cần vượt qua một số vấn đề
như:
BÀI GIẢNG NGN Chương 6: Các vấn đề liên quan dòch vụ

- 145 -
− Không có khả năng cung cấp băng tần và độ trễ đảm bảo như GS
của IntServ hay ATM.
− Thiết bò biên vẫn yêu cầu bộ Classifier chất lượng cao cho từng gói
giống như trong mô hình IntServ.
− Vấn đề quản lý trạng thái Classifier của một số lượng lớn các thiết
bò biên là một vấn đề không nhỏ cần quan tâm.
− Chính sách khuyến khích khách hàng trên cơ sở giá cước cho dòch vụ
cung cấp cũng ảnh hưởng đến giá trò của DiffServ.

Multi-byte
Classifier
Policier

qua LSP bằng việc sử dụng một trong các kỹ thuật sau:
BÀI GIẢNG NGN Chương 6: Các vấn đề liên quan dòch vụ

- 146 -
• Bộ chỉ đònh COS có thể được truyền trong nhãn gắn liền với từng
gói. Bên cạnh việc chuyển mạch nhãn tại từng nút LSR, mỗi gói có
thể được chuyển sang ke6nhra dựa vào thuộc tính COS. Mào đầu
đệm (Shim header) của MPLS có chứa trường COS.
• Trong trường hợp nhãn không chứa chỉ thò COS hiện tại thì giá trò
COS có thể liên quan ngầm đònh với một LSP cụ thể. Điều đó đòi
hỏi LDP hay RSVP gán giá trò COS không danh đònh cho LSP để các
gói được xử lý tương xứng.
• Chất lượng dòch vụ QoS có thể được cung cấp bởi một LSP được
thiết lập trên cơ sở báo hiệu ATM (trong trường hợp MPLS là mạng
ATM-LSR).
3. Các thông số QoS
 Độ trễ toàn trình “Delay”: trễ quá mức từ đầu cuối đến đầu cuối khiến
cuộc đàm thoại bất tiện và ma16t tự nhiên. Mỗi thành phần trong tuyến
truyền dẫn: máy phát, mạng lưới, máy thu đều tham gia làm tăng độ trễ.
ITU-TG.114 khuyến cáo độ trễ tối đa theo một hướng là 150 ms để đảm
bảo thoại có chất lượng cao.
 Độ trễ pha “Jitter”: đònh lượng độ trễ trên mạng đối với từng gói khi đến
máy thu. Các gói được phát đi một cách đều đặn từ Gateway bên trái đến
được Gateway bên phải ở các thời khoảng không đều. Jitter quá lớn sẽ
làm cho cuộc đàm thoại đứt quãng và khó hiểu. Jitter được tính trên thời
gian đến của các gói kế tiếp nhau. Bộ đệm Jitter được dùng để giảm tác
động “trồi sụt” của mạng và tạo ra dòng gói đến đều đặn hơn ở máy thu.
 Độ mất gói “Packet Loss”: có thể xảy ra theo cụm hoặc theo chu kỳ do
mạng bò nghẽn liên tục. Mất gói theo chu kỳ đến 5-10% số gói phát ra có
thể làm chất lượng thoại xuống cấp đáng kể. Từng cụm gói bò mất không