Sicurezza e Qualità del Servizio nelle reti LTE · Sicurezza e Qualità del Servizio nelle reti...
32
Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in Protocolli per reti mobili Sicurezza e Qualità del Servizio nelle reti LTE Anno Accademico 2015/2016 Candidato: Ciro Mingione matr. N46/001172
Transcript of Sicurezza e Qualità del Servizio nelle reti LTE · Sicurezza e Qualità del Servizio nelle reti...
Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in Protocolli per reti mobili
Sicurezza e Qualità del Servizio nelle reti LTE
Anno Accademico 2015/2016 Candidato: Ciro Mingione matr. N46/001172
Alla mia famiglia che ha sempre creduto in me. Agli Amici, quelli veri. Alla mia forza di volontà che ha superato di gran lunga la mia immaginazione.
Indice
Indice .................................................................................................................................................. III Introduzione ......................................................................................................................................... 4 Capitolo 1: Architettura EPS ................................................................................................................ 6
1.1 User Equipment.......................................................................................................................... 7
1.2 Access Network ......................................................................................................................... 7 1.3 Core Network ............................................................................................................................. 8
Capitolo 2: Sicurezza ......................................................................................................................... 10 2.1 Servizi di sicurezza .................................................................................................................. 10
2.1.1 Introduzione ...................................................................................................................... 10 2.1.2 Domini di Sicurezza .......................................................................................................... 11
2.2 Network Access Security ......................................................................................................... 13 2.2.1 Access security in E-UTRAN ........................................................................................... 13
2.3 Network Domain Security ....................................................................................................... 16 2.4 User Domain Security .............................................................................................................. 18
Capitolo 3: Quality of Service ........................................................................................................... 19
3.1 QoS in E-UTRAN .................................................................................................................... 19 3.2 Parametri QoS di un EPS bearer .............................................................................................. 20
3.2.1 QoS Class Identifier (QCI) ............................................................................................... 20 3.2.2 Allocation and Retention Priority (ARP) .......................................................................... 21 3.2.3 GBR bearer e non-GBR bearer ......................................................................................... 21
3.2.4 APN-AMBR e UE-AMBR ............................................................................................... 22 Capitolo 4: Policy and Charging Control ........................................................................................... 24
4.1 Architettura PCC ...................................................................................................................... 24 4.2 Concetti basilari di PCC ........................................................................................................... 26
4.3 Decisioni PCC, le regole di PCC e QoS .................................................................................. 27 4.4 Service Data Flow Detection ................................................................................................... 28 4.5 Un caso di studio ...................................................................................................................... 29
Conclusioni ........................................................................................................................................ 31 Bibliografia ........................................................................................................................................ 32
4
Introduzione
In telecomunicazioni il termine LTE, sigla di Long Term Evolution indica la più recente
evoluzione degli standard di telefonia mobile cellulare. Nasce come nuova generazione per
i sistemi di accesso mobile a banda larga (Broadband Wireless Access) e, dal punto di vista
teorico, fa parte del segmento Pre-4G, collocandosi in una posizione intermedia fra le
tecnologie 3G e quelle di quarta generazione pura (4G (LTE Advanced)). Nonostante ciò,
per porre fine a confusioni varie dovute al marketing l'ITU (International
Telecommunication Union) ha recentemente deciso di applicare il termine 4G anche
all'LTE.
Long Term Evolution (LTE) è sviluppata per rispondere alle nuove e sempre più sfidanti
richieste del mercato delle telecomunicazioni. Infatti, lo sviluppo di nuovi servizi e la
diffusione di dispositivi mobili evoluti (smartphone, tablet etc.) ha rivoluzionato il concetto
stesso di cellulare. Non più terminale dedicato solo alle chiamate vocali, ma un dispositivo
in grado di fornire una vasta gamma di servizi aggiuntivi come ad esempio la connessione
ad internet.
Per soddisfare le continue richieste degli utenti sono indispensabili architetture e protocolli
di rete evoluti in grado di sfruttare al meglio le bande di frequenze disponibili per la
comunicazione. Per dare un’idea dei miglioramenti apportati da LTE nella tabella di Figura
1 sono messe a confronto le caratteristiche di alcuni standard che si sono susseguiti nel
5
corso degli anni.
In contrasto con i modelli a commutazione di circuito caratteristici delle reti precedenti, in
cui le comunicazioni dati a pacchetto venivano trattati da nodi dedicati, LTE è stata
progettata per supportare unicamente servizi a commutazione di pacchetto. Tutti i dati,
anche quelli voce, viaggiano su protocolli TCP/IP e le connessioni tra il terminale mobile e
le reti esterne sono di tipo IP. L’ unificazione di tutti i protocolli di rete è una delle maggiori
innovazioni introdotte da LTE che permette di ridurre costi e latenze.
LTE Fornisce agli utenti connessioni con diverse qualità di servizio (QoS). A ciascun flusso
informativo è associata una specifica classe di QoS e il flusso IP con la sua specifica classe
costituisce un bearer (concetto molto importante come vedremo in seguito).
La rete è in grado di gestire contemporaneamente più bearers di uno stesso utente: ad
esempio durante una comunicazione vocale (VoiP), un utente potrebbe accedere ad un sito
web, o scaricare un file. La rete è strutturata in modo da gestire efficacemente le diverse
QoS garantendo al tempo stesso sicurezza e privacy degli utenti e delle loro informazioni.
Figura 1
6
Capitolo 1: Architettura EPS
LTE indica lo standard della nuova rete di accesso (E-UTRAN) evoluzione della rete di
acceso UTRAN delle reti 3G. Lo standard per la Core Network (CN) è descritto dal System
Architecture Evolution (SAE) ed è definito con lo scopo preciso di supportare i servizi
offerti dalla rete di accesso LTE. SAE e LTE sono quindi due aspetti della stessa evoluzione
verso le reti cosiddette di quarta generazione, che nel loro insieme costituiscono l’ Evolved
Packet System (EPS). La rete di accesso è costituita da un unico elemento, il cosiddetto
evolved Node B (eNB). In LTE tutti i dati anche quelli voce viaggiano su protocolli a
pacchetto e proprio per questo motivo la core network è una struttura unificata senza alcuna
distinzione tra dominio a pacchetto e dominio a circuito. Inoltre, tutti i nodi di rete sono
interconnessi tramite interfacce standardizzate in modo da consentire l’interoperabilità tra
hardware realizzato con tecnologie diverse. La Figura 2 illustra lo schema dell'architettura
di rete.
Figura 2
7
1.1 User Equipment
Il terminale LTE viene denominato User Equipment (UE). L’UE è costituto da due
componenti : il Mobile Equipment (ME) e la Universal Subscriber Identity Module
(USIM).
Il ME è il terminale vero e proprio che contiene l’hardware e il software che implementano
le funzionalità LTE .
Ogni Mobile Equipment è univocamente determinato a livello internazionale dal codice
IMEI (International Mobile Equipment Identity).
La USIM è un circuito integrato che identifica in maniera univoca attraverso il codice
1IMSI (International Mobile Subscriber Identity) l'utente e contiene al suo interno
informazioni relative all'utente della rete.
1.2 Access Network
La rete di accesso LTE (detta anche E-UTRAN) è costituita unicamente da eNB connessi
tra loro. Gli E-UTRAN Node B, conosciuti anche come Evolved Node B, (abbreviazione di
eNodeB o eNB) sono l’evoluzione dei Node B delle reti UTRAN.
La rete di accesso E-UTRAN gestisce tutte le operazioni relative alla trasmissione dei
segnali sul canale radio.
L’eNB Si occupa quindi di modulazione/demodulazione, misure di qualità sul canale radio,
controllo di potenza, ma anche di gestione della chiamata, controllo del carico di cella, e
gestione delle procedure di handover (sarebbe la procedura per la quale un terminale mobile
cambia il canale che sta utilizzando durante una comunicazione mantenendo attiva la
comunicazione stessa).
1 Si tratta di un numero univoco che viene associato a tutti gli utenti di telefonia mobile.
8
1.3 Core Network
La Core Network si occupa del trasferimento dei dati verso le reti a pacchetto esterne. I
principali nodi logici che la costituiscono sono:
• Home Subscriber Server (HSS):
Si tratta di un database che contiene le informazioni utili per gestire un
utente mobile. In particolare la corrispondenza tra le identità temporanee assegnata all’UE e
l’identità dell’utente stesso, il profilo di QoS sottoscritto, le reti 2PDN (Packet Data
Network) a cui si può connettere e l’identità della MME presso cui è registrato. L ‘HSS
include anche l ‘Authentication Center (AuC) che si occupa di generare le chiavi per la
cifratura dei dati e per la mutua autenticazione dell’utente e della rete.
• Serving Gateway (S-GW) : si tratta del nodo di interfaccia con la rete di accesso E-
UTRAN e con le altre reti 3GPP (i.e. UMTS/GPRS). Si occupa della gestione della mobilità
di un terminale mobile che si sposta da un eNodeB ad un altro.
• PDN Gateway (P-GW) : si occupa della allocazione degli indirizzi IP agli UE e della
gestione dei flussi informativi, sulla base delle specifiche di QoS e sulle informazioni
fornite dal PCRF. Inoltre, svolge la funzione di interfaccia con le reti a pacchetto esterne
(non 3GPP).
• Mobility Management Entity (MME) : è il principale nodo di controllo della core
network. Gestisce la segnalazione tra UE e CN e si occupa delle procedure di instaurazione
della connessione per un terminale che si connette per la prima volta alla rete. Inoltre tiene
traccia della posizione del terminale mobile e si occupa dell’assegnazione delle identità
2 L’EPS fornisce all’utente la connettività a una rete IP. In EPS questa rete IP è chiamata PDN.
9
temporanee ai singoli UE.
• Policy Control and Charging Rules Function (PCRF): il PCRF è il nodo responsabile
del controllo delle QoS. Gestisce l’assegnazione dei flussi dati alle diverse classi e decide
come il 3Policy and Charging Enforcement Function (PCEF) che risiede nel P-GW dovrà
gestire i flussi dati rispettando gli accordi sottoscritti con gli utenti.
3 PCEF applica le politiche decisionali del PCRF.
10
Capitolo 2: Sicurezza
Fornire sicurezza è uno degli aspetti chiave delle reti mobili. Una delle ragioni più evidenti
è che una comunicazione wireless può essere facilmente intercettata da chiunque entro un
certo range di distanza dal trasmettitore. C’è così il rischio che i dati trasferiti possono
essere intercettati o manipolati da terzi. Ci sono anche altre minacce, per esempio, un
‘aggressore’ può tracciare i movimenti di un utente tra le celle radio nella rete o scoprire
dove si trova esattamente. Questo può costituire una grossa minaccia alla privacy
dell’utente.
Ci sono anche requisiti normativi relativi alla sicurezza e questi possono differire tra
nazioni e regioni. La normativa può, per esempio, essere relativa a situazioni eccezionali
dove le forze di polizia possono richiedere informazioni riguardo le attività di un terminale
così come intercettare il traffico di telecomunicazioni, ci troviamo così a parlare delle
cosidette ‘intercettazioni legali’.
2.1 Servizi di sicurezza
2.1.1 Introduzione
Prima che ad un utente venga concesso l’accesso alla rete, di solito deve eseguire
un’autenticazione. Durante l’autenticazione l’utente deve provare che è chi dichiara di
essere. Tipicamente è richiesta una mutual authentication (autenticazione mutua) dove la
rete convalida l’UE e l’UE convalida la rete. La convalida di solito viene effettuata
11
verificando che le entità in gioco sono a conoscenza di una chiave segreta. La rete verifica
anche che un abbonato abbia l’autorizzazione per accedere al servizio richiesto, questo
significa che l’utente deve avere i giusti privilegi (un abbonamento) per il tipo di servizio
richiesto. L’autorizzazione di solito viene effettuata in contemporanea con l’autenticazione.
Una volta che l’utente ha effettuato l’accesso c’è la necessità di proteggere il traffico tra l’
UE e la rete e tra le varie entità della rete. La Cifratura e/o la protezione dell’integrità
(Ciphering and/or integrity protection) sono usate per questo scopo. Con la cifratura (cioè
criptazione e decriptazione) assicuriamo che le informazioni trasmesse sono leggibili solo
per il destinatario desiderato. Per fare questo, il traffico è reso illegibile per eventuali
‘aggressori’ eccetto per chi ha le chiavi crittografiche corrette. La protezione dell’integrità
d’altra parte è un mezzo per capire se il traffico che ha ricevuto il destinatario non sia stato
modificato da un ‘aggressore’. Per criptare/decriptare e per eseguire la protezione
dell’integrità, il mittente e il destinatario hanno bisogno di chiavi crittografiche. Si può
essere tentati di usare la stessa chiave per tutto (autenticazione, cifrature etc.) ma questo
dovrebbe essere evitato perché nel caso in cui un ‘aggressore’ riesca a scoprire una chiave,
ad esempio quella per la criptazione, se abbiamo usato la stessa chiave per tutto, scoprirà
anche la chiave per l’autenticazione, la protezione dell’integrità etc. Per evitare questo le
chiavi devono essere distinte, questa proprietà viene chiamata key separation (separazione
delle chiavi).
Un’altra protezione che riguarda la privacy di un utente è effettuata evitando l’invio in
chiaro dell’ ID permanente dell’utente in modo tale che un ‘aggressore’ non possa rilevare
i movimente di un certo utente.
2.1.2 Domini di Sicurezza
Per descrivere le varie caratteristiche riguardanti la sicurezza di EPS è utile dividere
l’architettura della sicurezza in differenti domini di sicurezza. I domini sono così suddivisi :
12
1. Network access security
2. Network domain security
3. User domain security
4. Application domain security
5. Visibility and configurability of security.
Il primo gruppo è specifico per ogni tecnologia di accesso mentre gli altri sono comuni per
tutti gli accessi.
1. Network access security
Con network access security intendiamo le caratteristiche di sicurezza che forniscono
all’utente un accesso sicuro a EPS. Questo include la mutua autenticazione così come la
protezione del traffico che può essere fornita tramite protezione dell’integrità.
2. Network domain security
Le reti mobili contengono molte entità e punti di riferimento tra loro. La network domain
security si riferisce alle caratteristiche che permettono ai nodi di queste reti di scambiarsi
dati in maniera sicura.
3. User domain security
Si riferisce all’insieme delle caratteristiche di sicurezza che rendono sicuro l’accesso ai
terminali. Ad esempio si riferisce a quando l’utente deve immettere il codice PIN prima che
gli venga concesso l’accesso al terminale.
4. Application domain security
Con application domain security intendiamo le caratteristiche di sicurezza usate da
applicazioni come HTTP (per accesso web).
13
5. Visibility and configurability of security
Questo è l’insieme delle caratteristiche che permette all’utente di sapere se una caratteristica
di sicurezza è attiva o meno. Nella maggior parte dei casi le caratteristiche di sicurezza sono
trasparenti all’utente che è ignaro che sono attive. Per alcune di loro però l’utente dovrebbe
essere informato se sono attive o meno per esempio tramite un simbolo sul display del
terminale.
2.2 Network Access Security
2.2.1 Access security in E-UTRAN
Il meccanismo per l’autenticazione in E-UTRAN è chiamato EPS Authentication and
Key Agreement (EPS AKA). L’EPS AKA viene eseguito quando l’utente si attacca all’ EPS
tramite accesso E-UTRAN. Una volta che l’ MME conosce l’ IMSI dell’utente, può
richiedere una EPS authentication vector (AV) al HSS/AuC come mostrato nella Figura 3.
Figura 3
14
Basandosi sull’ IMSI, l’ HSS/AuC cerca la chiave K e un sequence number (SQN)
associato con quel particolare IMSI. Poi viene generata una chiave casuale RAND, questi
tre parametri (K,SQN e RAND) vengono messi in ingresso a una funzione crittografica che
genera il UMTS AV formato da cinque paramentri : un risultato atteso (XRES), un token di
autenticazione di rete (AUTN), due chiavi (CK e IK) e la RAND. L’ HSS/AuC genera poi
una nuova chiave (Kasme) basata su IMSI, SQN, CK, IK, RAND e SN-ID. SN-ID è
formato dal Mobile Country Code (MCC) e dal Mobile Network Code (MNC). MCC è
composto da 3 cifre decimali di cui la prima indica la regione geografica (ad esempio il 2
indica l’europa), MNC consiste di 2-3 cifre decimali. Sono usati in combinazione per
identificare univocamente un operatore di rete mobile. Una ragione per includere SN ID è
per fornire una migliore key separation tra le varie reti serventi, per assicurare che una
chiave derivata da una rete servente non possa essere usata in una diversa rete servente. La
Kasme assieme a XRES, AUTN e RAND costituisce l’ EPS AV che è inviato al MME. Il
CK e l’ IK non lasciano mai l’ HSS/AuC. Per poter distinguere i vari AV, AUTN contiene
un bit speciale chiamato ‘separation bit’ che indica se l’ AV deve essere usato per E-
UTRAN oppure UTRAN etc. Una ragione per cui usiamo questa Kasme è per fornire una
forte key separation verso sistemi UTRAN etc.
La mutua autenticazione in E-UTRAN è fatta usando i parametri RAND, AUTN e XRES.
MME mantiene Kasme e XRES ma spedisce RAND e AUTN al terminale come mostrato
nella Figura 4. AUTN è un parametro calcolato da HSS/AuC basandosi sulla chiave K e su
SQN. L’ USIM ora calcola la propria versione di AUTN usando la sua chiave K e SQN e
poi la confronta con l’AUTN ricevuta da MME. Se coincidono la USIM autentica la rete.
Poi calcola una risposta RES usando funzioni crittografiche con la chiave K e la RAND
come parametri di input. L’ USIM calcola poi anche CK e IK. Quando il terminale riceve
RES, CK e IK dall’ USIM esso invia RES a MME. Se RES è uguale a XRES, MME
autentica il terminale e questo completa la mutua autenticazione. L’ UE poi usa CK e IK
per calcolare Kasme e se tutto ha funzionato bene UE e MME hanno ora la stessa chiave
Kasme (Da notare che nessuna delle chiavi K, CK, IK o Kasme erano state inviate tra UE e
15
la rete).
Figura 4
Tutto quello che rimane da fare è calcolare le chiavi da utilizzare per proteggere il traffico.
La chiave KASME è usata da UE e MME per derivare le chiavi per la crittografia e la
protezione dell'integrità dei dati della segnalazione NAS (KNASenc e KNASint). L'MME,
inoltre, deriva anche una chiave che viene inviata all'eNodeB (KeNB), chiave che verrà
utilizzata dall'eNodeB per derivare la chiave per la crittografia e la protezione dell'integrità
dei dati del traffico user plane (KUPenc), così come le chiavi per la segnalazione RRC tra
UE ed eNodeB (KRRCenc e KRRCint). Si viene così a creare una gerarchia di chiavi (come
in Figura 5).
16
Figura 5
L’aspetto finale che dovrebbe essere menzionato è la protezione dell’identità. Per proteggere
l’ IMSI che viene trasmesso in chiaro, devono essere usate, quando possibile, identità
temporanee.
2.3 Network Domain Security
Per capire bene come funziona questo dominio facciamo un piccola premessa riguardo ad
IPsec. Il protocollo IP non protegge l’integrità dei dati e nemmeno la segretezza, quindi per
aumentare il livello di sicurezza viene usato IPsec, una security architecture per il protocollo
IP. Due nodi che vogliono stabilire una comunicazione sicura tramite IPsec devono
accordarsi su un insieme di algoritmi e di chiavi da usare a tal fine IPsec fa uso di protocolli
esistenti come IKE (Internet Key Exchange). La relazione tra mittente e destinatario che si
sono accordati su un insieme di algoritmi e chiavi da usare è detta Security Association
(SA). IPsec prevede due modalità di funzionamento : Transport mode e Tunnel mode. A noi
interessa principalmente la modalità tunnel perché è quella che viene usata nel network
domain security. La modalità tunnel è stata pensata per proteggere il traffico tra host che non
17
supportano IPsec. Una coppia di SA è stabilita tra due gateway ed il traffico è protetto lungo
il percorso tra i due gateway. Quando un gateway riceve un pacchetto destinato alla rete in
cui è presente il gateway corrispondente, esso inserisce un header IP aggiuntivo, utilizzato
per l’instradamento tra i due gateway, e poi l’header IPsec. Il pacchetto ricevuto è
incapsulato all’interno dell’header IPsec. In questo modo, quindi, anche l’header IP
originale può essere cifrato. Il gateway corrispondente riceve il pacchetto, de-incapsula e
decifra il pacchetto originale secondo la SA appropriata e lo invia all’host destinazione. Il
contenuto dell’header IPsec (trasmesso in chiaro) dipende dal protocollo usato per la
sicurezza dei dati. In particolare, IPsec prevede due protocolli Autentication Header (AH) e
Encapsulated Security Payload (ESP). Per lo stesso motivo di prima ci interessa solo ESP
che fornisce segretezza dei dati (che vengono cifrati) e, opzionalmente, integrità dei dati.
Le specifiche tecniche per come proteggere il traffico control plane sono indicate con il
nome di Network Domain Security. I domini di sicurezza sono reti che sono gestite da un
singolo amministratore. Un esempio di dominio di sicurezza potrebbe essere la rete di un
singolo operatore di telecomunicazioni, ma è anche possibile che l’operatore divida la rete in
più domini di sicurezza. Ai bordi dei domini di sicurezza l’operatore di rete piazza i Security
Gateway (SEG) per proteggere il traffico control plane che entra ed esce dal dominio (come
in figura 6). Tutto il traffico tra entità di rete di un dominio di sicurezza è instradato tramite
un SEG prima di uscire dal dominio per andare verso un altro. Il traffico tra i SEG è protetto
usando IPSec, o più precisamente, usando IPSec Encapsulated Security Payload (ESP) nella
modalità tunnel. Il protocollo Internet Key Exchange (IKE) , sia IKEv1 che IKEv2, è usato
tra i SEG per impostare le associazioni di sicurezza IPSec.
IP header IP payload
Pacchetto IP originale
Outer IP header IPsec header IP header IP payload
Tunnel Mode
18
Figura 6
2.4 User Domain Security
La più comune caratteristica di sicurezza nel dominio utente riguarda l’accesso sicuro all’
USIM. L’accesso all’ USIM deve essere bloccato fino a che l’USIM non ha autenticato
l’utente. L’autenticazione in questo caso è basata su un codice segreto (il codice PIN) che è
memorizzato nell’ USIM. Quando l’utente inserisce il corretto codice PIN (Personal
Identification Number) nel terminale l’USIM permette l’accesso.
19
Capitolo 3: Quality of Service
Molti operatori hanno lo scopo di fornire molteplici servizi (Internet, chiamate, video)
attraverso reti a commutazione di pacchetto. Questi servizi richiederanno tutti vari Quality
of Service (QoS) come ad esempio la richiesta di un certo bit rate così come ritardi o perdita
dei pacchetti accettabili. In questo scenario è importante che EPS fornisca QoS che
assicurino all’utente un’esperienza positiva di ogni servizio offerto. Risolvere il problema
attraverso l’ over-provisioning (una tecnica che consiste nel fornire risorse di rete in
abbondanza) non è economico. Lo spettro radio disponibile è limitato, e il costo della
capacità di trasmissione includendo sia l’allocazione dello spettro che i collegamenti di
backhaul (porzione di rete gerarchica che comprende i collegamenti intermedi tra la rete
centrale e le piccole sottoreti ai margini della stessa rete gerarchica) a stazioni base
potenzialmente remote sono fattori importanti per un operatore.
Un aspetto importante è differenziare gli abbonati. L’operatore può fornire diversi
trattamenti del traffico IP dello stesso servizio in base al tipo di contratto che ha l’utente.
In conclusione è evidente che bisogna standardizzare meccanismi di QoS.
3.1 QoS in E-UTRAN
L’ EPS copre solo i requisiti di qualità per il traffico all’interno dell’ EPS che è tra UE e
PDN GW. Se il servizio si estende oltre, la QoS viene mantenuta da altri meccanismi come
il Service Level Agreements (SLA) che sono dei contratti attraverso i quali si definiscono le
20
metriche del servizio (come QoS) che devono essere rispettate da un fornitore di servizi nei
confronti del proprio cliente.
3.2 Parametri QoS di un EPS bearer
Ogni EPS bearer ha associati due parametri QoS : il QoS Class Identifier (QCI) e il
Allocation and Retention Priority (ARP). QCI determina quale trattamento user plane
dovrebbero ricevere dei pacchetti IP trasportati su un dato bearer, mentre ARP specifica il
trattamento control plane che un bearer dovrebbe ricevere. Alcuni EPS bearer hanno
associato anche un parametro per supportare l’allocazione di un bit rate garantito : il GBR
(guaranteed bit rate).
3.2.1 QoS Class Identifier (QCI)
Il QCI è un valore numerico che di per sé non rappresenta alcuna proprietà. E’ giusto un
riferimento a parametri specifici che definiscono quale trattamento di inoltro dei pacchetti
dovrebbe ricevere un bearer quando viene processato da un nodo. Spieghiamo brevemente
ciò che c’è scritto in Figura 7. Ogni QCI è associato con un livello di priorità, dove il livello
1 è il più alto livello di priorità. Il Packet Delay Budget può essere descritto come un limite
superiore di tempo in cui un pacchetto può essere in ritardo tra l’UE e il PCEF. Il Packet
Error Loss Rate può essere descritto come un limite superiore per il numero di pacchetti
persi.
21
Figura 7
3.2.2 Allocation and Retention Priority (ARP)
L’ ARP è usato per indicare una priorità per l’allocazione e memorizzazione dei bearer. E’
tipicamente usato dalla rete per decidere se l’istanziazione o la modifica di un bearer può
essere accettata, oppure deve essere rigettata a causa di risorse limitate. EPS supporta 15
valori di priorità per l’ ARP. Da notare che a bearer con alta priorità, quindi con ARP alta,
sono assegnati valori numerici bassi e viceversa. Una VoIP call per servizi di emergenza
avrà più probabilità di essere accettata rispetto a una VoIP regolare.
3.2.3 GBR bearer e non-GBR bearer
Un GBR bearer ha associato, oltre ai parametri QCI e ARP, anche il GBR e il Maximum Bit
Rate (MBR). Un non-GBR bearer non ha associati parametri di bit rate. Un bearer con GBR
ha una certa quantità di larghezza di banda riservata , indipendentemente se poi la usa o
meno. Il bearer GBR di solito non dovrebbe mai avere pacchetti persi a causa di congestione
della rete. Questo è assicurato dal fatto che i bearer GBR sono soggetti a un controllo di
ammissione appena vengono settati. Il MBR limita il bit rate che un GBR bearer dovrebbe
22
garantire. Ogni traffico che eccede il valore di MBR viene scartato. Un non-GBR bearer non
ha una larghezza di banda riservata e così non c’è garanzia sulla quantità di traffico che può
trasportare, esso può perciò avere dei pacchetti persi in caso di congestione della rete. Anche
se i non-GBR bearer non hanno un MBR associato, l'operatore può sorvegliare la larghezza
di banda usata utilizzando l'Aggregate Maximum Bit Rate (AMBR). Una domanda da porsi
è : ”Come faccio a sapere quale tipo di bearer devo usare ?”.
La risposta di un ingegnere ad una domanda tende ad essere sempre la seguente : “Dipende”.
Ed effettivamente è la risposta giusta !!! ma deve essere completata. La scelta dipende
essenzialmente dal servizio che voglio trasportare su quel bearer. Tipicamente i GBR bearer
sono usati per servizi dove è meglio bloccare un servizio piuttosto che degradare le
prestazioni di servizi già ammessi, a causa di scarsità di risorse. Ad esempio i servizi di
streaming hanno bisogno di una larghezza di banda costante e quindi per assicurare un
servizio decente c’è bisogno di un GBR bearer, se non ci sono risorse disponibili è meglio
bloccare il servizio. Altri servizi che non usano una larghezza di banda fissata come l’e-mail
tipicamente usano i non-GBR bearer.
3.2.4 APN-AMBR e UE-AMBR
Oltre ai parametri di bit rate associati ai GBR bearer, EPS definisce dei parametri AMBR
associati ai non-GBR bearer. Tali parametri non si riferiscono ad ogni bearer, ma piuttosto
definiscono un bit rate totale che un abbonato può consumare per un aggregato di non-GBR
bearer. Sono definiti due varianti di AMBR: APN-AMBR e UE-AMBR. Utilizzando un
AMBR per aggregati di non-GBR bearer è più facile stimare il bit rate totale che gli
abbonati useranno. L'APN-AMBR definisce il bit rate totale che è consentito utilizzare da
tutti i non-GBR bearer associati ad uno specifico APN. Limita il traffico non-GBR totale per
un APN, indipendentemente dal numero di connessioni PDN e dai non-GBR bearer aperti
per quell'APN. Ad esempio, se un operatore fornisce un APN per l'accesso ad internet, può
limitare la banda totale per quell'APN e quindi prevenire che l'UE aumenti la sua larghezza
di banda aprendo nuove connessioni PDN verso lo stesso APN. In altre parole, se un utente
23
dispone di più connessioni PDN per la stessa APN, queste condivideranno la stessa APN-
AMBR.
L'UE-AMBR definisce il bit rate totale che può essere consumato da tutti i non-GBR bearer
di un UE. Il profilo dell'abbonamento contiene l'UE-AMBR sottoscritto. Il valore
effettivamente applicato dalla rete è impostato come il minimo del valore sottoscritto e la
somma degli APN-AMBR di tutti gli APN attivi (ossia gli APN per i quali l'UE ha
connessioni PDN attive), l'UE-AMBR viene applicata dall'eNodeB. L'UE-AMBR e l'APN-
AMBR sono indipendenti e quindi l'operatore può scegliere di applicare uno solo dei due o
entrambi.
24
Capitolo 4: Policy and Charging Control
Un importante componente nelle reti LTE è il PCC (Policy and Charging Control) che
permette di controllare che le sessioni di servizio siano fornite delle appropriate larghezze di
banda e QoS. Fornisce anche un mezzo per il controllo delle tariffazioni. Il controllo
dinamico su QoS e la tariffazione aiuterà gli operatori a monetizzare i loro investimenti in
LTE, fornendo ai clienti una varietà di QoS e opzioni di tariffazione quando si sceglie un
servizio.
4.1 Architettura PCC
L’architettura di rete di riferimento per PCC in EPS è mostrata in Figura 8.
25
Figura 8
L’ Application Function (AF) estrae informazioni di sessione e le invia al PCRF
tramite Rx.
Il Subscription Profile Repository (SPR) contiene informazioni riguardo gli
abbonamenti/contratti come ad esempio le politiche di controllo e i dati specifici
dell’utente.
L’ Online Charging System (OCS) è un Sistema per la gestione del credito. Il PCEF
interagisce con l’ OCS per controllare e riportare lo stato del credito.
L’ Offline Charging System (OFCS) è usato per tariffazione offline. Riceve richieste
di tariffazione dal PCEF e genera i Charging Data Records (CDRs) che possono
essere trasferiti al sistema di fatturazione.
Il Policy and Charging Rules Function (PCRF) è la funzione di controllo delle
politiche di PCC. Riceve informazioni di sessione attraverso Rx così come
informazioni dalla rete di accesso tramite Gx e può anche ricevere informazioni sugli
26
abbonamenti da SPR. Il PCRF prende le informazioni disponibili e decide le
politiche di controllo. Le decisioni sono poi fornite al PCEF.
Il Policy and Charging Enforcement Function (PCEF) applica le decisioni prese dal
PCRF.
4.2 Concetti basilari di PCC
Policy control è un termine molto generico e in una rete ci sono varie politiche (policy) che
dovrebbero essere implementate, per esempio, politiche relative alla sicurezza, mobilità etc.
Comunque nel caso di PCC, le politiche di controllo si riferiscono a due funzioni :
Gating Control è la capacità di bloccare o lasciar passare pacchetti IP appartenenti a
flussi IP di un certo servizio. Il PCRF prende decisioni di gating (come ad esempio
lo start/stop di un servizio) le quali poi vengono applicate dal PCEF.
QoS Control permette al PCRF di fornire, i QoS autorizzati, per i flussi IP al PCEF.
I QoS autorizzati possono essere le classi QoS e il bit rate autorizzato. PCEF applica
le decisioni di controllo QoS settando i bearer appropriati.
Charging control (controllo della tariffazione) comprende i mezzi sia per la tariffazione
online che offline. Il PCRF prende la decisione su quale tra la tariffazione online e offline
dovrebbe essere applicata per un certo servizio, e il PCEF applica la decisione raccogliendo
dati di tariffazione e interagendo con i sistemi di tariffazione. Con la tariffazione online, si
possono influenzare in tempo reale, i servizi che si stanno usando e perciò è richiesta una
diretta interazione tra i meccanismi di tariffazione e i meccanismi di controllo delle risorse
di rete utilizzate. La gestione del credito online permette a un operatore di controllare
27
l’accesso ai servizi in base allo stato del credito e quindi negarli in caso di credito esaurito o
non sufficiente. L’OCS (Online Charging System) può autorizzare l’accesso a singoli servizi
o a un gruppo di servizi concedendo credito per flussi IP autorizzati. L’OCS può, per
esempio, concedere credito sotto forma di tempo e/o volume del traffico. Se a un utente è
negato l’accesso a un certo servizio, per esempio, in caso di conto pre-pagato vuoto, poi
l’OCS può negare le richieste di credito e inoltre incaricare il PCEF a reindirizzare la
richiesta di servizio a una specifica destinazione che permetta all’utente di ricaricare
l’abbonamento. PCC comprende anche servizi basati sulla tariffazione offline. Con la
tariffazione offline, le informazioni sulla tariffazione sono raccolte dalla rete per poi essere
processate e fatturate. Perciò la tariffazione offline non può influenzare, in tempo reale, i
servizi che si stanno usando. Dal momento che la fatturazione è fatta dopo che un servizio è
stato completato, per esempio, tramite fatturazione mensile, questa funzionalità non fornisce
alcun controllo agli accessi. Le tariffazioni online e offline possono essere usate
contemporaneamente.
4.3 Decisioni PCC, le regole di PCC e QoS
Il PCRF è l’entità centrale nelle attività di decisioni del PCC. Il PCRF presenta le decisioni
sotto forma di ‘regole PCC’. Il PCRF fornisce anche un sottoinsieme di informazioni
chiamate ‘regole QoS’. Una ‘regola PCC’ contiene un insieme di informazioni che vengono
usate dal PCEF e dai sistemi di tariffazione.Prima di tutto contiene informazioni (nel
cosiddetto Service Data Flow (SDF) template)4 che permettono al PCEF di identificare i
pacchetti IP che appartengono a una certa sessione. I filtri in un SDF template contengono
una descrizione del flusso IP e di solito contengono gli indirizzi IP di mittente e destinatario,
i protocolli usati e il porto di mittente e destinatario. Le regole PCC contengono anche
informazioni relative alla QoS. Le informazioni relative alla QoS per un SDF includono il
4 SDF sta per service data flow ed è un insieme di flussi di pacchetti corrispondenti a un SDF template. Un SDF
template è un insieme di filtri SDF in una regola PCC. Ogni EPS bearer comprende uno o più SDF ognuno dei quali
trasporta pacchetti per un particolare servizio.
28
QCI, MBR, GBR e l’ ARP. Tuttavia essi hanno scopi diversi rispetto a quelli che avevano
con gli EPS bearer. Più precisamente, i vari QCI, MBR, GBR e l’ARP nelle regole PCC
vengono applicati al flusso IP descritto dal SDF template invece che all’ EPS bearer come
descritto nel capitolo precedente. L’associazione tra regole PCC/QoS e un bearer è chiamata
bearer binding.
4.4 Service Data Flow Detection
Una volta che la sessione è stata impostata, il PCEF usa i filtri dei pacchetti delle regole
PCC e QoS per classificare i pacchetti IP agli SDF autorizzati. Questo processo è chiamato
SDF detection. Ogni filtro SDF è associato con un valore di precedenza. Il PCEF confronta i
pacchetti in arrivo con i filtri disponibili delle regole PCC/QoS installate in ordine di
precedenza. Se poi dopo il confronto pacchetto-filtro c’è un riscontro allora il pacchetto può
essere inviato alla sua destinazione altrimenti viene scartato (vedi Figura 9).
Figura 9
29
Figura 10
4.5 Un caso di studio
Per avere una panoramica delle dinamiche PCC presentiamo ora un caso di studio (Figura 11).
Vediamo cosa accade :
Figura 11
30
1) L’abbonato dà l’avvio a un servizio e invia un application signalling che viene
intercettato dall’ AF.
2) Sulla base delle informazioni contenute nell’application signalling, l’ AF invia al PCRF
informazioni di servizio tramite l’interfaccia Rx. Queste informazioni tipicamente
includono informazioni sulla QoS (tipo di servizio, requisiti di bit rate) così come
parametri di traffico (ad esempio l’ IP 5-tuple cioè IP mittente e destinatario, porto
mittente e destinatario, protocollo utilizzato) che permettono l’identificazione dei flussi
IP corrispondenti a questa sessione di servizio.
3) Il PCRF può richiedere informazioni riguardo all’abbonamento al SPR.
4) Il PCRF prende le informazioni di sessione, le policy definite dall’operatore, le
informazioni dell’abbonato e altri dati in considerazione quando costruisce le policy. Le
decisioni delle policy sono formulate come regole PCC.
5) Le regole PCC sono inviate dal PCRF al PCEF. Il PCEF applicherà le policy in accordo
alle regole PCC ricevute. Tutto il traffico user plane per un dato abbonato e la
connessione IP passa attraverso l’entità di rete dove è localizzato il PCEF. Nel caso di
EPS, il PCEF è localizzato nel PDN GW.
6) Se la regola PCC specifica che dovrebbe essere utilizzata una tariffazione online, il
PCEF contatta l’OCS per richiedere credito secondo il metodo di misurazione
specificato nella normativa PCC. Se invece venisse utilizzata una tariffazione offline il
PDN GW (PCEF) non eseguirà il controllo all’accesso basato sul credito e di
conseguenza non ci saranno interazioni con il sistema di tariffazione.
7) Il PDN GW (PCEF) esegue un bearer binding per assicurare che il traffico per questo
servizio riceva l’appropriato QoS. Questo può essere fatto creando un nuovo bearer o
modificandone uno esistente che rispetti le regole PCC formulate.
8) I dati per la sessione di servizio sono poi inviati attraverso la rete e il PCEF esegue una
SDF detection per individuare il flusso IP per questo servizio. Questo flusso IP viene
incluso nel bearer creato/modificato nel punto 7 e quindi trasportato attraverso di esso
(per capire la struttura che trasporta il messaggio guardare Figure 9 e 10).
31
Conclusioni
E’ chiaro che il lavoro di SAE e lo sviluppo di EPC è un risultato importante
raggiunto da 3GPP e i suoi partner, coinvolgendo l’intera comunità del settore della
telefonia mobile. Questo è dovuto al fatto che SAE ha avuto una veduta molto più
ampia rispetto alle precedenti release di 3GPP, estendendo le funzionalità
dell’architettura packet core di 3GPP includendo l’interoperabilità con tecnologie di
accesso standardizzate al di fuori di 3GPP. Questa a sua volta ha creato entusiasmo
e notevole interesse da parte di un vasto numero di aziende che vanno dagli
operatori di telecomunicazioni mobili fino a istituti di ricerca. L’inclusione
dell’interoperabilità nell’architettura 3GPP è naturalmente un passo in avanti
importante che apre la strada a implementazioni di LTE e EPC che possono essere
condivise da una comunità di operatori più ampia. Una tecnologia globale significa
anche ottime possibilità di roaming in cui gli utenti possono utilizzare i servizi in un
gran numero di paesi utilizzando il proprio dispositivo. Infine diamo uno sguardo al
futuro, in particolare alle olimpiadi del 2020 in Giappone dove l’operatore
telefonico leader, NTT DoCoMo, è convinto di poter diffondere una connessione 5G
che si appoggia su LTE-Advanced nonostante gli standard per la quinta generazione
delle connessioni mobili non sono stati ancora ben definiti. I miglioramenti
principali che questa rete 5G dovrebbe apportare, secondo l’azienda, riguardano :
aumento della velocità, abbassamento della latenza della connessione, copertura
delle zone in maniera adeguata.
32
Bibliografia
[1] University_of_Alberta(Canada),
http://www.ece.engineering.ualberta.ca/en/Graduate/~/media/ece/Graduate/Docume
nts/GradDocs/Intro_to__Evolved_packet_core_network.pdf..
[2] Magnus Olsson, Shabnam Sultana, Stefan Rommer, Lars Frid, Catherine Mulligan,
SAE and the Evolved Packet Core: Driving the Mobile Broadband Revolution,
Academic Press, 2009, 444.
[3] Ing. Elena Guzzon, Long Term Evolution.
[4] Wikipedia, https://it.wikipedia.org/wiki/LTE_(telefonia)..
[5] TecnoAndroid, http://www.tecnoandroid.it/connessione-5g-in-giappone-per-le-
olimpiadi-202/..
[6] Alessandro Betti, Stefano Di Mino, Ivano Guardini, La Core Network Mobile a
Pacchetto: dal 3G al 4G, Notiziario Tecnico Telecom Italia.
[7] José-Javier Pastor Balbás, Stefan Rommer and John Stenfelt, Policy and Charging
Control in the Evolved Packet System.
[8] Stefano Avallone, Protocolli per reti mobile, McGraw-Hill Education.
[9] Christopher Cox, An Introduction to LTE: LTE, LTE-Advanced, SAE, VoLTE and
4G Mobile Communications.
