17.

1 - Conceitos Bsicos

svel pela retirada da mensagem do anel) ura exemplo de realizac

uma ameaa ativa.

O termo segurana usado com o significado de minimizar a vulnerabilidade de bens (qualquer coisa de valor) e recursos. Vulnerabilidade
qualquer fraqueza que pode ser explorada para se violar ura sistema ou as
informaes que ele contm [ISO 89f].

Corno j mencionamos, a materializao de uma ameaa intencii

configura um ataque. Alguns dos principais ataques que podem ocorrer
um ambiente de processamento e comunicao de dados so os seguintes

A segurana est relacionada necessidade de proteo contra o acesso ou manipulao, intencional ou no, de informaes confidenciais por
elementos no autorizados, e a utilizao no autorizada do computador ou
de seus dispositivos perifricos. A necessidade de proteo deve ser definida
em termos das possveis ameaas e riscos e dos objetivos de uma organizao, formalizados nos termos de uma poltica de segurana.

17.1.1 - Ameaas e Ataques

Uma ameaa consiste em uma possvel violao da segurana de um
sistema. Algumas das principais ameaas s redes de computadores so:
Destruio de informao ou de outros recursos.
Modificao ou deturpao da informao.
Roubo, remoo ou perda de informao ou de outros recursos.
Revelao de informao.
Interrupo de servios.
As ameaas podem ser classificadas como acidentais ou intencionais,
podendo ambas serem ativas ou passivas. Ameaas acidentais so as que
no esto associadas inteno premeditada. Por exemplo, descuidos operacionais e bugs de software e hardware. A concretizao das ameaas intencionais variam desde a observao de dados com ferramentas simples de
monitoramento de redes, a ataques sofisticados baseados no conhecimento
do funcionamento do sistema. A realizao de uma ameaa intencional configura um ataque.
Ameaas passivas so as que, quando realizadas, no resultam em
qualquer modificao nas informaes contidas em um sistema, em sua operao ou em seu estado. Uma estao que processa todos os quadros que recebe em uma rede local (incluindo os que no so a ela endereados) um
exemplo de realizao de uma ameaa passiva. Uma realizao de ameaa
ativq a um sistema envolve a alterao da informao contida no sistema, ou
modificaes em seu estado ou operao. Uma estao de uma rede em anel
que no retransmite mensagens quando deveria faz-lo (ela no a respon-

448

Personificao (masquerade): uma entidade faz-se passar por oi

Uma entidade que possui poucos privilgios pode fingir ser oi
para obter privilgios extras.

Replay: uma mensagem, ou parte dela, interceptada, e poster

mente transmitida para produzir um efeito no autorizado,
exemplo, uma mensagem vlida, carregando informaes que
tenticam uma entidade A, pode ser capturada e posteriorme
transmitida por uma entidade X tentando autenticar-se no sistt
(possivelmente personificando a entidade A).

Modificao: o contedo de uma mensagem alterado implicai

em efeitos no autorizados sem que o sistema consiga detectar a
terao. Um exemplo seria a troca do contedo da mensaj
'Aumentar o salrio de Jos da Silva para RS 100,00" p
"Aumentar o salrio de Jos da Silva para R$1.000,00".

Recusa ou Impedimento de Servio: ocorre quando uma entid

no executa sua funo apropriadamente ou atua de forma a impe
que outras entidades executem suas funes. Uma entidade pi
utilizar essa forma de ataque para suprimir as mensagens,
exemplo, direcionadas entidade encarregada da execuo do s
vio de auditoria de segurana. Outro exemplo de utilizao de
forma de ataque a gerao de mensagens com o intuito de atra
lhar o funcionamento de algoritmos de roteamento.

Ataques Internos: ocorrem quando usurios legtimos comportam

de modo no autorizado ou no esperado.

Armadilhas (trapdoor): ocorre quando uma entidade do sistem;

modificada para produzir efeitos no autorizados em resposta a
comando (emitido pela entidade que est atacando o sistema) oi
um evento, ou sequncia de eventos, predeterminado. Um exemj
desse ataque seria a modificao do processo de autenticao
usurios para dispensar a verificao da senha, em resposta a u
combinao de teclas especfica, por exemplo "Ctrl-Alt-U", ou a i
evento do tipo "hora do sistema = 23:35:00".

Cavalos de Tria: nesse ataque, uma entidade executa funes r.

autorizadas, em adio s que est autorizada a executar. Um p
cedimento de login modificado, que, alm de sua funo normal
4

iniciar a sesso de trabalho dos usurios, grava suas senhas era um

arquivo desprotegido, um exemplo de Cavalo de Tria.

',1.2 - Poltica de Segurana

Uma poltica de segurana um conjunto de leis, regras e prticas que
miam como uma organizao gerncia, protege e distribui suas informais e recursos.
Um dado sistema considerado seguro em relao a uma poltica de
mrana, caso garanta o cumprimento das leis, regras e prticas definidas
ssa poltica.
Uma poltica de segurana deve incluir regras detalhadas definindo
mo as informaes e recursos da organizao devem ser manipulados ao
igo de seu ciclo de vida, ou seja, desde o momento que passam a existir
contexto da organizao at quando deixam de existir.
As regras que definem uma poltica de segurana so funes das del a e s de sensibilidade, associadas aos recursos e informaes (por
mpio no classificado, confidencial, secreto e ultra-secreto), do grau de
:orizao das entidades (indivduos ou processos agindo sob o comando
indivduos) e das formas de acesso suportadas por um sistema.
A implementao de uma poltica de segurana baseia-se na aplicao
regras que limitam o acesso de uma. entidade s informaes e recursos,
m base na comparao do seu nvel de autorizao relativo a essa inforio ou recurso, na designao da sensibilidade da informao ou recurso
l forma de acesso empregada. Assim, a poltica de segurana define o
s , e o que no permitido em termos de segurana, durante a operao
um dado sistema. A base da poltica de segurana a definio do comrtanento autorizado para os indivduos que interagem com um sistema.
O conjunto de regras que define uma poltica pode conter regras de
is tipos, definidas com base na natureza da autorizao envolvida: regras
seadas em atributos de sensibilidade genricos (por exemplo entidade com
tu de segurana no classificado, confidencial, secreto ou ultra secreto) e
rras baseadas em atributos individuais especficos (por exemplo o nome
identificador da entidade no sistema). Uma poltica definida por regras
primeiro tipo denominada Poltica de Segurana Baseada em Regras.
na poltica definida com regras do segundo tipo denominada Poltica de
urana Baseada em Identidade. Cabe salientar que, dentro de uma
;sma poltica, podemos ter uma componente baseada em regras e outra ba-

seada em identidade, ou seja, os dois tipos de poltica podem ser usados de

forma complementar. l
A autorizao em uma poltica de segurana baseada em regras normalmente apia-se em informaes sobre sensibilidade. Em um sistema seguro, os dados ou recursos devem ser marcados com rtulos de segurana
que indicam seu. nvel de sensibilidade. Os processos atuando sob o controle
de indivduos devem adquirir os rtulos de segurana apropriados, que definem o nvel de autorizao do indivduo que o est controlando. As reras
desse tipo de poltica utilizam os rtulos dos recursos e dos processos para
determinar o tipo de acesso que pode ser efetuado. No caso de uma rede de
computadores, os dispositivos que implementam os canais de comunicao
tambm possuem rtulos de segurana. Nesse caso, as regras que definem a
poltica de segurana tambm. determinam quando , ou no, permitido
transmitir dados nesses canais, isto , informaes sensveis s podem ser
transmitidas em canais que ofeream o nvel de segurana adequado.
As polticas de segurana baseadas na identidade representam o tipo de
controle de acesso mais encontrado nos computadores atuais. A base desse
tipo de segurana que um indivduo, ou processo operando sob seu controle, pode especificar explicitamente os tipos de acesso que outros indivduos
podem ter s informaes e recursos sob seu controle. O objetivo desse tipo
de poltica permitir a implementao de um esquema de controle de acesso
que possibilite especificar o que cada indivduo pode ler, modificar ou usar.
A ideia implementar um mecanismo que permita discriminar, dentre os
indivduos que possuem nvel de autorizao suficiente para ter acesso a um
recurso, aqueles que realmente necessitem realizar o acesso. Existem essencialmente duas formas de implementar esse tipo de poltica, dependendo de
onde a informao sobre os direitos de acesso armazenada: na entidade
que est executando o acesso, ou corno parte dos dados que esto sendo
acessados. O primeiro caso exemplificado cora a utilizao de capabilities 2
possudas pelos usurios e utilizadas pelos processos atuando sobre seu
controle. Listas de controle de acesso 3 so exemplos do ltimo caso.

' Na terminologia do Livro Laranja do DoD as componentes so denominadas polticas de segurana obrigatria (Mandatory Securty Policy) que baseiam-se em regras que avaliam o nvel de sensibilidade da informao em relao ao grau de autorizao dos indivduos, e polticas de segurana arbitrria (Discrecionary Securty Pclicy) onde as decises relativas autorizao so definidas com base na necessidade que um determinado indivduo possui de acessar uma informao ou recurso.
- Ura capability uma espcie de ponteiro para uni determinado recurso que define o modo de
acesso, isto , quais so as operaes permitidas no acesso ao recurso.
3
Uma lista de controle de acesso associada a um recurso, cada elemento da lista define as operaes que um determinado usurio pode executar no recurso.

451

17.1.3 - Mecanismos de Segurana

Uma poltica de segurana pode ser implementada com a utilizao de
vrios mecanismos. Nesta seo discutiremos alguns dos principais mecanismos de segurana adequados, a ambientes de comunicao de dados.

texto original corretamente, necessrio fornecer ao procedimento resp

svel pela decodificao, tanto o texto criptografado quanto a chave de
codificao.

17.1.3.1 - Criptografia

A criptografia surgiu da necessidade de se enviar informaes sensveis atravs de meios de comunicao no confiveis, ou seja, em meios
onde no possvel garantir que um intruso no ir interceptar o fluxo de
dados para leitura (intruso passivo) ou para modific-lo (intruso ativo). A
forma de contornar esse problema utilizar um mtodo que modifique o
texto original da mensagem a ser transmitida (texto normal), gerando texto
criptografado na origem, atravs de um processo de codificao definido por
um mtodo de criptografia. O texto (ou a mensagem) criptografado ento
transmitido e, no destino, o processo inverso ocorre, isto , o mtodo de
criptografia aplicado agora para decodificar o texto criptografado transformando-o no texto normal original, como mostra a Figura 17.1.

Figura 17.2: Mtodo de criptografia utilizando chaves.

Os sistemas que seguem o modelo da Figura 17.2 consistem em u

operao que mapeia um texto normal, P, e uma chave, K, em um te
criptografado, C. Assim, escreveremos essa operao da seguinte forma:

Usualmente, existe uma operao inversa que mapeia o texto criptog

fado C e uma chave, f(, no texto normal orierinal:

Figura 17.1: Esquema bsico dos mtodos de criptografia.

Da forma como foi apresentado, sempre que um intruso conseguisse
descobrir o mto.do utilizado (quebrasse o cdigo de criptografia) seria necessrio substituir o mtodo de criptografia. Essa substituio envolve o
desenvolvimento e a instalao dos procedimentos que implementam o novo
mtodo, treinamento do pessoal envolvido etc. Esse revs levou ao desenvolvimento do modelo apresentado na Figura 17.2.
No modelo apresentado na Figura 17.2, o texto criptografado, C, gerado a partir do texto normal, P, varia de acordo com a chave de codificao
utilizada para o mesmo mtodo de criptografia. Isto , para um mesmo texto
normal e um mesmo mtodo de criptografia, chaves diferentes produzem
textos criptografados diferentes. Assim, o fato de um intruso conhecer o
mtodo de criptografia no condio suficiente para que ele possa recuperar o texto original a partir do texto criptografado, pois, para recuperar o
452

Um bom mtodo de criptografia deve garantir que seja, seno mpos

vel, pelo menos muito difcil que um intruso recupere, a partir do te>
criptografado e do conhecimento sobre o mtodo de criptografia, o valor c
chaves. Sendo isso verdade, a confidencialidade do texto transmitido j
rantida enquanto as chaves mantiverem-se secretas.
17.1.3.1.1 - Criptografia com Chave Secreta

Um exemplo de um mtodo de criptografia, atribudo a Jlio Ce

[Tanenbaum 89], consiste em substituir as letras de uma mensagem pela te
ceira letra aps sua posio no alfabeto (considerando o a como sucessor i
z), por exemplo, o a seria substitudo por cl, o c por/'etc. Uma generaliza
desse mtodo seria substituir as letras pela n-sima letra aps sua posio i
alfabeto. Nesse caso, o texto criptografado produzido para um mesmo tex
normal vai variar de acordo com o valor de n, que a chave utilizada n
procedimentos de codificao e decodificao do mtodo. Os mtodos <
criptografia que, como o que acabamos de descrever, utilizam a mesn

4i

chave para codificao e decodificao so classificados como simtricos ou

baseados em chave secreta.
17.1.3.1.2 - Data Encryption Standard (DES)

Um dos principais mtodos de criptografia baseado em chave secreta

o DES (Data Encryption Standard) [NBS 77, NBS 80] desenvolvido pela
IBM e adotado pelo governo dos EUA como mtodo de criptografia padro.
O mtodo DES codifica blocos de 64 bits de texto normal gerando 64 bits de
texto criptografado [Tanenbaum 89]. O algoritmo de codificao parametrizado por uma chave K de 56 bits e possui 19 estgios diferentes (Figura
17.3-a). O primeiro estgio realiza uma transposio dos bits do texto
(modificao da posio) independente da chave. O ltimo estgio realiza
uma transposio inversa a do primeiro estgio. O penltimo estgio realiza
a permutao dos 32 bits mais significativos com os 32 bits menos significativos do bloco de dados. Os outros 16 estgios so funcionalmente idnticos (executam a mesma transformao nos dados, transposies e substituies), porm so parametrizados por chaves K-t, obtidas pela aplicao de
funes, que variam de um estgio i para outro, nos bits da chave K original
(Figura 17.3-b). O mtodo permite que a decodificao seja feita com a
mesma chave usada na codificao, atravs da execuo das mesmas etapas
na ordem inversa.

Uma vez respeitada essa condio, no h razo para no tornar a chave E

pblica, simplificando bastante a tarefa de gerenciamento de chaves. Os
mtodos de criptografia' que exibem essa caracterstica so denominados
assimtricos, ou baseados em chave pblica.

a) Estgios do algoritmo de codificao DES

b) Funcionamento de um estgio do algoritmo de codificao DES

O principal problema do mtodo DES, e de todos os algoritmos de

criptografia simtricos a exigncia que o transmissor e o receptor de uma
mensagem conheam a chave secreta e nica usada na codificao e na decodificao. O acordo em torno da chave secreta entre transmissor e receptor, quando eles esto distantes um do outro, no um problema trivial, pois
envolve a transmisso da chave e nem sempre possvel garantir que essa
transmisso no seja interceptada. Se for interceptada, o responsvel pelo
ataque poder ler todas as mensagens que sero criptografadas utilizando a
referida chave "secreta". Um complicador para o problema o fato de que
em um sistema com n usurios, comunicando-se dois a dois, so necessrias
n2 chaves secretas. A tarefa de gerar, transmitir e armazenar chaves em um
sistema de segurana denominada gerenciamento de chaves,

17.1.3.1.3 - Criptografia com Chave Pblica

Em 1976 Diffie e Hellman [Diffi 76] propuseram um novo mtodo

que revolucionou os sistemas de criptografia. O mtodo baseia-se na utilizao de chaves distintas: uma para a codificao (E) e outra para a decodificao (D), escolhidas de forma que a derivao de D a partir de E seja, em
termos prticos, seno impossvel, pelo menos muito difcil de ser realizada.
454

D
Figura 17.3: Mtodo de criptografia DES.

A diferena entre os mtodos de criptografia simtricos e assimtricos

que, nos primeiros, a chave K usada no procedimento de codificao
455

igual a chave K' usada no procedimento de decodificao, isto , K = K', e

nos assimtricos K * K', Assim, na criptografia assimtrica:

17.1.3.1.4 -RSA

O mais importante mtodo de criptografia assimtrico o RSA, cujo

nome deriva das iniciais dos autores Rivest, Shamir e Adleman [Rivest 78].
O mtodo RSA baseia-se na dificuldade de se fatorar nmeros muito grandes. Para usar o RSA, deve-se tomar dois nmeros primos p e. q, com centenas de bits de comprimento, e calcular n = p X q. Em seguida deve-se obter
um nmero d, tal que d e (p-I)x(q-l) sejam primos entre si, isto , um nmero d que satisfaa a equao Mximo Divisor Comum [d, (p-l)x(q-l)J 1.
Deve-se obter tambm um nmero e tal que e x d = 1 (mod [(p-I)x(q-l)]),
essa ltima equao indicando que o resto da diviso de e- X d por (p-I)x(q]) igual a 1.
Uma vez escolhidos nmeros que satisfaam as condies apresentadas
no pargrafo anterior, pode-se utilizar o par (e,n) corno chave pblica e o
par (d,n) como chave privada (secreta). A codificao do texto normal P
realizada atravs da aplicao da operao:

A decodificao executada aplicando-se a mesma operao utilizando o d como expoente:

O nico modo conhecido de recuperar o valor de d conhecendo o valor

de e envolve a fatorao de n. Fatorando n possvel encontrar/? e q e com
base nesses valores calcular (p-J) x(q-J). Conhecendo (p-1) x(q-l) e o valor
de e pode-se calcular o valor de d. A segurana do mtodo RSA apia-se na
enorme dificuldade de fatorar nmeros muito grandes. Segundo a referncia
[Rivest 78], a fatorao de um nmero com 200 dgitos.leva aproximadamente 4 bilhes de anos em tempo de computao.4
O mtodo de chave pblica torna possvel estabelecer uma comunicao entre dois usurios sem que seja necessrio conhecimento prvio de
chaves secretas. Para tal, os usurios A e B devem tornar acessveis suas

chaves pblicas EA e EB (por exemplo armazenando-as ern arquivos

acesso pblico via FTP). O usurio A quando necessita enviar uma me
gem confidencial P, para B, l a chave pblica d e B e a utiliza para eer
texto criptografado C ( C f - EB[P]), que enviado para B. O usurio B
codifica o texto criptografado C utilizando sua chave privada Df (p
DR[C]). Quando B quiser transmitir para A, ele codifica os dados usanc
chave pblica A, que s poder ser decodificada peio usurio A com
chave privada DA.
Os mtodos de criptografia assimtricos apresentam dois inconventes: o tamanho das chaves e a lentido dos procedimentos de codificac
decodificao.
Uma forma de contornar o segundo problema utilizar mtodos a
mtricos para codificar uma chave de um mtodo simtrico, e usar o mtt
simtrico para codificar o texto. Considerando o exemplo anterior onde
usurio A envia uma mensagem para o usurio B, o procedimento seria o
guinte: A gera uma chave secreta K e utiliza um mtodo simtrico (DES j
exemplo) para codificar a mensagem P. Em seguida A l e utiliza a eh;
pblica de B para codificar a chave secreta K. A mensagem cnptografada
sultante do procedimento possui ento dois componentes:

O usurio B utiliza sua chave privada para decodificar a chave K, e t

seguida utiliza essa chave para decodificar a mensagem P.

17.1.3.2 - Assinatura Digital

O mecanismo de assinatura digital envolve dois procedimentos: assin
tura de uma unidade de dados e verificao da assinatura em uma unidac
de dados. O primeiro procedimento baseia-se em informao privada (nit
e secreta) do signatrio. O segundo utiliza informao pblica para reconhi
cer a assinatura.
O procedimento de assinatura envolve a codificao da unidade de d;
dos completa ou a codificao de urna parte, por exemplo de um campo c
verificao, da unidade de dados, ambos utilizando informao privada d

4
Utilizando o melhor algoritmo conhecido na poca da publicao da referncia e utilizando um
computador capaz de executar uma instruo em 1 useg.

456

45

signatrio. Note que nesse caso o texto criptografado codificado com a

chave privada do usurio.

O procedimento de verificao envolve a utilizao de um mtodo e

uma chave pblicos para determinar se a assinatura foi produzida com a informao privada do signatrio (com sua chave privada). No procedimento
de verificao, o verificador utiliza a chave pblica do signatrio para decodificar a mensagem.

Note cine s possvel utilizar mtodos de criptografia assimtricos

para assinar mensagens, caso os algoritmos de codificao e decodificao
possuam a seguinte propriedade:

Para que um usurio A envie uma mensagem confidencial e assinada

para um usurio B, utilizando um mtodo de criptografia assimtrico, necessrio o seguinte procedimento. O usurio A deve assinar a mensagem e
utilizar a chave pblica de B para codific-la, de forma a impedir que qualquer outro usurio possa ler seu contedo.

O usurio B, destinatrio da mensagem, utiliza sua chave privada para

decodificar a mensagem assinada por A, e usa a chave pblica de A para recuperar o texto original.

Esse procedimento garante que apenas o usurio B (que possui a chave

privada Dg) poder ler a mensagem, e garante para o usurio B que a mensagem foi gerada por A, pois o texto original recuperado com a utilizao
da chave pblica E^.
Como j mencionamos, os algoritmos de codificao e decodificao
assimtricos so normalmente lentos, o que torna custoso criptografar completamente as unidades de dados. Ao invs disso, pode-se aplicar uma funo, por exemplo o CRC, na unidade de dados e criptografar apenas o resultado da aplicao da funo. O destinatrio de uma mensagem ao receb-la,
aplica a funo nos dados, utiliza a chave pblica do remetente para decodi-

458

ficar o CRC calculado na origem, e compara esse valor com o que ele prprio calculou, se os valores forem iguais, ele conclui que a mensagem foi
enviada pelo remetente e no foi corrompida durante sua transmisso.
Para concluir, a caracterstica essencial do mecanismo de assinatura
digital que ele deve garantir que uma mensagem assinada s pode ter sido
gerada com informaes privadas do signatric. Portanto, uma vez verificada a assinatura com a chave pblica, possvel posteriormente provar para
um terceiro (juiz em um tribunal) que s o proprietrio da chave privada poderia ter gerado a mensagem.

17.1.3.3 - Compromisso de Terceiro

O mecanismo de compromisso baseia-se no conceito de um terceiro
parceiro de confiana (uma espcie de tabelio ou notrio) que atesta certas
propriedades da informao intercambiada entre duas entidades, como sua
origem, sua integridade, ou o momento em eme ela foi enviada ou recebida.

17.1.3.4 - Autenticao
A escolha do mecanismo de autenticao apropriado depende do ambiente onde se dar a autenticao. Em uma primeira situao, os parceiros e
os meios de comunicao so todos de confiana. Nesse caso, a identificao de uma entidade par pode ser confirmada por uma senha (password).
Cabe mencionar que as senhas no protegem contra uso mal intencionado
em ataques do tipo replay. Autenticao mtua pode ser implementada com
a utilizao de uma senha distinta em cada direo da comunicao. Na segunda situao, cada entidade confia em seu parceiro, porm no confia no
meio de comunicao. Nesse caso a protea contra ataques pode ser fornecida com o emprego de mtodos de criptografia, como por exemplo, utilizao do esquema de chave pblica. A proteo contra ataques do tipo replay
requer a utilizao de two-way handshakes com parmetros de proteo, por
exemplo, mmeros de sequncia ou de marcas de tempo (timestamps). A
autenticao mtua com proteo contra replay requer o uso de three-way
handshakes. Na terceira situao, as entidades no confiam nos seus parceiros (ou sentem que no podero confiar no futuro) nem no meio de comunicao. Nesse caso, devem ser usadas tcnicas que impeam que uma entidade negue que enviou ou recebeu uma unidade de dados. Ou seja, devem ser
empregados mecanismos de assinatura digital, ou mecanismos que envolvam
o compromisso de um terceiro confivel (notarization), usados em conjunto
com as tcnicas two-way e three-way handshake, conforme empregadas na
segunda situao.

459

17.1.3.4.1 - Kerberos

O Sistema de Autenticao Kerberos [Bellovin 91] foi desenvolvido no

M1T como parte do projeto Athena. O sistema fornece credenciais que atestam a identidade de usurios ou servios. Cada usurio e servio compartilha uma chave secreta com o Kerberos Key Distribution Center (KDC). Essas chaves so usadas para obteno de chaves de sesso e para atestar a
identidade dos usurios ou servios que as compartilham com o KDC. O
Kerberos autentica a identidade de usurios ou servios representados por
tuplas compostas pelos seguintes campos:
<primary name, instance, realm>
Se a entidade representada for uma pessoa, o campo primary name
preeenchido com seu nome de login, devendo o campo instance ser nulo ou
preenchido com um atributo particular do usurio, por exemplo, uma identificao que ele o administrador do sistema. Nas tuplas que identificam
servios, o nome do servio preenche o campo primary name e o nome da
mquina, onde est sendo executado o processo que fornece o servio, define o campo instance. O atributo reabri usado para identificar um domnio
de autenticao, pois o servio de autenticao Kerberos pode ser distribudo em vrios servidores.
Uma entidade cliente c que deseja utilizar os servios de um servidor s,
registrado no Kerberos, deve obter um ticket em um servidor que faz parte
do sistema de autenticao Kerberos, denominado Ticket-Granting Server
(TGS). O ticket contm informaes que identificam o servio (s), o cliente
(seu nome c e seu endereo acldr), campos que identificam o momento da
emisso do ticket e a durao de sua validade (timestamp e lifetime) e a
chave secreta que ser usada para criptografar as mensagens que sero trocadas na interao entre o cliente e o servidor, Kcs. O ticket . criptografado
com a chave secreta do servidor Ks, de. forma que s ele pode decodificar
seu contedo.

Como s o Kerberos e o servio s conhecem a chave Ks, a autenticao

do ticket pode ser verificada pelo servidor quando ele lhe for entregue pelo
cliente c. Como veremos mais adiante, quando o cliente solicita ao TGS o
ticket para o servio s, ele recebe, alm do ticket, a chave de sesso K(.
Quando envia um ticket para um servidor com o intuito de solicitar um servio, o cliente c envia tambm um auteriticador, cujo objetvo evitar que
uma entidade armazene o ticket e o utilize posteriormente em ataques do
tipo replay. O autenticador criptografado com a chave da sesso Kc s.
K cs fA c ], onde Ae = [c. addr, timestamp]
460

O timestamp testado no servidor (os relgios dos usurios do Ke

ros devem ser sincronizados) com a devida margem de erro, para gan
que o pedido foi emitido recentemente e est dentro do intervalo de valii
do ticket. Em servios onde necessrio autenticao nos dois sentidc
servidor s responde enviando ao cliente uma mensagem carregando c
timestamp tambm codificado com a chave da sesso.

Essa troca de mensagens garante que o servidor foi capaz de ler

mestamp do autenticador e, consequentemente, que ele conhece a cl
Kc , que por sua vez foi lida do ticket enviado ao servidor s codificado
a chave secreta desse servidor Ks.
Os tickets para os servios registrados no Kerberos so obtidos atr
do envio de uma solitao ao TGS, composta dos seguintes campos:

A solicitao carrega um identificador do servio que o cliente ir

lizar, um ticket que autoriza o cliente a usar o servio do TGS (que
deixa de ser um servidor) codificado com a chave secreta do servidor \
,Kxcs> e u m autenticador do cliente codificado com a chave secreta ot
pelo cliente para criptografar a comunicao entre ele e o TGS, Kc -rGS.

O TGS responde solicitao do cliente enviando uma mensagem

regando o ticket que ser usado no acesso ao servidor s, T c s, e a chave
creta que dever ser utilizada na sesso entre o servidor s e o cliente c, ,
A mensagem carregando a resposta do TGS criptografada com a chavs
creta da sesso entre o cliente e o TGS, K;TQS.

A chave Kc JQS e o ticket usado para solicitar servios do TGS so

tidos no incio da sesso de trabalho do usurio no sistema (procedimenti
login). Para tal, o cliente envia uma mensagem ao Kerberos com seu nc
que respondida com uma mensagem criptografada com a chave secret;
cliente, Kc, contendo o ticket para o servio do TGS e a chave que
usada para codificar as mensagens' trocadas entre o cliente c e o TGS.

Note que uma mquina cliente s ser capaz de decodificar essa n

sagem e, consequentemente, de ter acesso ao servio do TGS se possu
chave Kc que, usualmente, solicitada ao usurio no procedimento de lo
Isto , Kc a senha (password) do usurio. A Figura 17.4 ilustra a troe;

msagens entre, o cliente, o sistema Kerberos e os servidores, necessria

ra a autenticao.

de uma conexo, isto , das unidades de dados e da sequncia de unidades

de dados transmitidas no contexto da conexo.
Para garantir a integridade dos dados, podem ser usadas as tcnicas de
deteco de modificaes, normalmente associadas com a deteco de erros
em bits, em blocos, ou erros de sequncia introduzidos por enlaces e redes
de comunicao. Entretanto, se os cabealhos c fechos carregando as informaes de controle no forem protegidas contra modificaes, um intruso,
que conhea as tcnicas, pode contornar a verificao. Portanto, para farantir a integridade necessrio manter confidenciais e ntegras as informaes
de controle usadas na deteco de modificaes. Para controlar modificaes na sequncia de unidades de dados transmitidas em uma conexo,
deve-se usar tcnicas que garantam a integridade das unidades de dados
(garantindo que as informaes de controle no sejam corrompidas) em
conjunto com informaes de controle de sequncia. Esses cuidados, embora no evitem a modificao da cadeia de unidades de dados, garantem a
deteco e notificao dos ataques.

17.1.3.7 - Enchimento de Trfego (Traffic Padding)

Onde:

T0 s = s,c,addr,timestanip, lifetme, K^s

Aj. = c,addr,timestamp

ura 17.4: Sistema de autenticao Kerberos.

.1.3.5 - Controle de Acesso

A gerao de trfego esprio e o enchimento das unidades de dados fazendo com elas apresentem um comprimento constante so formas para fornecer proteo contra a anlise do trfego. Cabe ressaltar que o mecanismo
de enchimento de trfego s tem sentido caso as unidades de dados (ou pelo
menos os campos de controle) sejam criptografados, impedindo que o trfego esprio seja distinguido do trfego real. Esse mecanismo pode ser empregado, por exemplo, para impedir que um inimigo localize o centro de
comando de um exrcito, ponto onde o trfego usualmente mais intenso.

Os mecanismos de controle de acesso so usados para garantir que o

;sso a um recurso limitado aos usurios devidamente autorizados. As
nicas utilizadas incluem a utilizao de listas ou matrizes de controles de
;sso, que associam recursos a usurios autorizados, ou passwords, capaities e tokens associadas aos recursos, cuja posse determina os direitos de
>sso do usurio que as possui. Um exemplo da utilizao de tokens para
itroiar o acesso aos recursos de uma rede foi ilustrado na Seo 10.2.4.3,
ando foi descrito o mtodo de controle isorrtmico para evitar o congesnamento em redes de computadores.

A possibilidade de controlar o roteamento, especificando rotas preferenciais (ou obrigatrias) para a transferncia de dados, pode ser utilizada
para garantir que os dados sejam transmitidos em rotas fisicamente seguras
ou para garantir que informao sensvel seja transportada em rotas cujos
canais de comunicao forneam os nveis apropriados de proteo.

1.3.6 - Integridade de Dados

17.1.3.9 - Segurana Fsica e de Pessoal

Os mecanismos de controle de integridade atuam em dois nveis: conle da integridade de unidade de dados isoladas e controle da integridade

Medidas que garantam a integridade fsica dos recursos de um sistema

so indispensveis para garantir a segurana do sistema como um todo. Procedimentos operacionais devem ser definidos para delinear as responsabili-

17.1.3.8 - Controle do Roteamento

463

dades do pessoal que interage com um dado sistema. A segurana de qualquer sistema depende, em ltima instncia, da segurana fsica dos seus recursos e do grau de confiana do pessoal que opera o sistema. Ou seja, no
adianta utilizar mecanismos sofisticados de segurana se os intrusos puderem acessar fisicamente os recursos do sistema. Por exemplo, no adianta
usar um esquema sofisticado de autenticao para impedir acessos remotos
aos arquivos em um disco, se o intruso puder ter acesso fsico mquina e
roubar seu disco rgido.

a deteco de eventos "normais", como um acesso bem-sucedido ao sist

(login). Esse mecanismo necessita do apoio de uma funo de gerer
mento que determina quais so os eventos que devem ser detectados. A
teco de um evento relevante do ponto de vista da segurana pode,
exemplo, provocar uma das seguintes aes: informe local ou remotc
evento, registro do evento em um arquivo ou a execuo de uma ao dt
cuperao.
17.1.3.13 - Registro de Eventos

17.1.3.10 - Hardware / Software de Confiana

Algumas das entidades que fazem parte de um sistema devem fornecer

garantias que funcionam corretamente, para que se possa confiar nos mecanismos de segurana que implementam a poltica de segurana do sistema.
Para garantir o funcionamento correto deve-se exigir: a aplicao de mtodos formais de prova, verificao e validao; a deteco e o registro das
tentativas de ataque identificadas; e, adicionalmente, que a entidade tenha
sido construda por pessoal de confiana em um ambiente seguro. Precaues tambm so necessrias para garantir que a entidade no seja acidentalmente ou deliberadamente adulterada com o intuito de comprometer seus
mecanismos de segurana durante seu ciclo operacional. Nesse aspecto, merecem especial ateno as manutenes ou atualizaes das entidades.

17.1.3.11 - Rtulos de Segurana

Os recursos no sistema devem ser associados a rtulos de segurana

que indicam, por exemplo, seu nvel de sensibilidade. O rtulo de segurana
deve ser mantido junto com os dados quando eles so transportados. Um
rtulo de segurana pode ser implementado com a adio de um campo aos
dados, ou pode ser implcito, por exemplo, indicado pela chave utilizada
para criptografar os dados, ou peio contexto dos dados no sistema (nvel de
proteo da rota seguida pela unidade de dados em uma transmisso, ou do
dispositivo de armazenamento onde ela est fisicamente armazenada etc).
Rtulos de segurana explcitos devem ser facilmente identificveis, para
garantir que eles possam ser apropriadamente verificados. importante,
tambm, garantir que o escopo do rtulo de segurana limite-se ao recurso
ao qual ele est associado.
17.1.3.12 - Deteco e Informe de Eventos

O registro de eventos que podem significar ameas segurana de

sistema constitui-se em um importante mecanismo de segurana, pois \
sibilita a deteco e investigao de possveis violaes da segurana de
sistema, alm de tomar possvel a realizao de auditorias de segura
Uma auditoria de segurana uma reviso e exame dos registros de ativ
des do sistema feita com o objetivo de testar a eficcia dos mecanismo;
controle do sistema para; garantir a compatibilidade entre a poltica de st
rana e os procedimentos operacionais, auxiliar na avaliao de danos e
comendar modificaes nos mecanismos de controle, na poltica de sf
rana e nos procedimentos operacionais de um sistema, visando aume
seu grau de proteo.
A auditoria de segurana envolve duas tarefas: o registros dos evei
relevantes no arquivo de auditoria de segurana (security audit log) e a ;
lise das informaes armazenadas nesse arquivo para gerao de relator
Cabe esclarecer que a segunda tarefa uma funo de gerenciamento de
gurana, e no um mecanismo.

O mecanismo de arquivamento de informaes para auditoria de se

rana deve permitir a definio de qual informao deve ser registrada,
que condies a informao deve ser registrada, alm da definio da sii
xe e semntica que devem ser usadas para represent-las.

17.2 - Arquitetura de Segurana OSI

O objetivo do RM-OS1 permitir a interconexo de sistemas hett
gneos. No Captulo 5 estudamos o modelo de referncia bsico descrito
documento ISO 7498-1. Esse modelo bsico complementado pelo do
mento ISO 7498-2 com a adio de aspectos relativos segurana que
vem ser aplicados em circunstncias onde necessrio proteger a comun
o entre usurios do ambiente OSI.

A deteco de eventos relevantes no contexto da segurana inclui a

deteco de aparentes violaes segurana e deve incluir, adicionalmente,
464

A arquitetura de segurana OSI estabelece, em conjunto com o eslema bsico definido no modelo de referncia, orientaes e restries
ira aperfeioar os padres existentes e guiar o desenvolvimento de novos
idres, visando permitir comunicaes seguras e prover uma abordagem
insistente para segurana em ambientes OSI.
A arquitetura de segurana apresentada no documento ISO 7498-2 tem
seguintes objetivos:
Descrever os servios de segurana OSI e os mecanismos de segurana a eles relacionados.
Definir a posio dos servios de segurana e dos mecanismos a eles
associados no RM-OSI. Isto , a(s) camada(s) onde eles devem ser
fornecidos.
A arquitetura de segurana OSI trata exclusivamente dos aspectos de
itrana relacionados comunicao entre os sistemas finais (end sysns) no abrangendo medidas de-segurana que devem ser adotadas nos
temas finais, instalaes e organizaes, para garantir proteo completa
s recursos do sistema, a menos que as medidas tenham implicaes nos
Dectos de segurana da comunicao.
Antes de comearmos a discutir os servios de segurana OSI, cabe
ientar que o documento ISO 7498-2 adiciona conceitos e princpios
neles definidos no ISO 7498 bsico, sem modific-lo, ou seja o documto tem um carter complementar.

.2.1 - Servios de Segurana OSI

Esta seo apresenta os servios de segurana OSI bsicos. Na prtica
;es servios so empregados nas camadas em combinaes apropriadas,
almente junto com servios e mecanismos que esto fora do escopo OSI,
"a satisfazer os requisitos de uma poltica de segurana.
2.1.1 r Autenticao

Esse servio trata da autenticao de entidades que so parceiras em

ia comunicao ou da autenticao da entidade que originou uma unidade
dados.

17.2.1.1.1 - Autenticao de Parceiro

O servio de autenticao de parceiro, quando fornecido pela camada

N, oferece a uma entidade N+l uma comprovao de que sua parceira em
uma comunicao, outra entidade N+l, realmente quem diz ser.
Esse servio fornecido para ser usado no estabelecimento de uma conexo, ou esporadicamente durante a fase de transferncia de dados de uma
conexo, para reconfirmar as identidades das entidades participantes da conexo. O objetivo do servio de autenticao garantir que, no momento em
que ele utilizado, uma entidade no est se passando por outra, ou repetindo de forma no autorizada uma mensagem previamente transmitida. Isto
, esse servio evita ataque dos tipos personificao e replay. Dependendo
do grau de proteo necessrio, podem ser adotados esquemas de autenticao em uma nica direo ou em mais de uma direo, com ou sem marcas
de tempo (timestamps) e perodos de validade.

17.2.1.1.2 - Autenticao da Origem de uma Unidade de Dados

O servio de autenticao da origem de uma unidade de dados, quando

fornecido pela camada TV, oferece a uma entidade N+ / uma comprovao de
que a origem de uma unidade de dados, outra entidade N+l, realmente
quem reclama ser. Esse servio tem como nico objetivo autenticar a fonte
de uma unidade de dados, no fornecendo proteo contra duplicao ou
modificao das unidades de dados.
17.2.1.2 - Controle de Acesso

O servio de controle de acesso fornece proteo contra o uso no autorizado dos recursos cujo acesso se d via sistema de comunicao de dados OSI. Os recursos protegidos podem ser, ou no, recursos OSI. O requisito necessrio para o fornecimento do servio o acesso ser viabilizado por
protocolos OSI. O servio de proteo aplica-se a diferentes tipos de acessos
a um recurso. Por exemplo, o uso de um recurso de comunicao, a escrita,
leitura, ou remoo de informaes, ou a execuo de recursos de processamento.

17.2.1.3 - Confidencialidade de Dados

O servio de confidencialidade fornece proteo aos dados intercambiados no ambiente OSI contra revelao no autorizada da informao neles transportada. O servio confidencialidade fornecido em diferentes n-

467

veis: em uma conexo, em uma unidade de dados, em campos selecionados

das unidades de dados, ou protegendo contra monitoramento d fluxo de dados.
Quando atua no sentido de garantir a confidencialidade dos dados intercambiados em uma conexo, o servio garante a confidencialidade de todas as unidades de dados trocadas pelos usurios de uma camada N, no
contexto de uma conexo estabelecida na camada N.
O servio de confidencialidade no orientado conexo garante a
confidencialidade dos dados enviados, por um usurio da camada N, em uma
nica Unidade de Dados do Servio da camada N (N-SDU).
J o servio de confidencialidade de campos selecionados, s garante
confidencialidade nos campos selecionados da unidade de dados do usurio
da camada N. Esse servio seletivo de confidencialidade pode atuar em todas as unidades de dados trocadas em uma conexo da camada N, ou em
uma SDU da camada N trocada via servio sem conexo.
O servio de proteo da confidencialidade do fluxo de trfego atua no
sentido de proteger contra as informaes que podem ser derivadas da observao do padro do fluxo de dados trocados entre parceiros no ambiente
OSI. Para entender a aplicao desse servio, vejamos um exemplo onde ele
necessrio. Imaginemos uma rede militar de um pas em conflito. O padro
de trfego normal nessa rede concentra um maior nmero de mensagens a
partir e para a capital do pas, onde est fisicamente localizado o comando
central das operaes militares. A diminuio do fluxo na capital e o aumento do-fluxo em uma outra cidade, daria ao inimigo uma indicao clara de
que o centro de comando foi deslocado para outra cidade.
17.2.1.4 - Integridade de Dados

O servio de integridade de dados atua no sentido de proteger os dados

intercambiados no ambiente OSI contra ataques ativos que implicam na
modificao, remoo ou injeo no autorizada de unidade de dados. Esse
servio tambm fornecido em diferentes nveis: em uma conexo com ou
sem a opo de recuperao da informao original, em unidades de dados
isoladas com e sem recuperao e em campos selecionados nas unidades de
dados trocadas em servios com ou sem conexo.
O servio de integridade de dados, quando empregado no contexto de
uma conexo, atua para garantir a integridade de todas as unidades de dados
intercambiadas pelos usurios da camada N na conexo estabelecida,-detectando qualquer modificao, insero, remoo ou retransmisso (replay)
no autorizada nas unidades de dados, em campos selecionados das unidades de dados ou na sequncia de unidades de dados trocadas na conexo.
468

Como j mencionamos, uma variao desse servio tenta recuperar os problemas detectados, outra simplesmente detecta e reporta o problema para os
usurios da camada N.
O servio de integridade, quando atua complementando um servio
sem conexo fornecido por uma camada N, garante a integridade de uma
SDU completa, ou de campos selecionados em uma SDU da camada N, para
uma entidade N+ J. Nesse caso, o servio de integridade determina quando
uma SDU, ou algum dos campos selecionados, foi modificado. Como as
SDUs so manipuladas de forma isolada no servio sem conexo, a proteo
contra as outras formas de ataque ativo (remoo, insero e replay) normalmente no garantida pelo servio de integridade, embora a utilizao
de timestamps permita algum nvel de controle sobre ataques do ripo replay
(retransmisso postergada).

17.2.1.5 - Impedimento de Rejeio

O servio de impedimento de rejeio atua impedindo a rejeio de

servios, atravs da prova da identidade das entidades que solicitam a execuo de servios, ou da prova que uma entidade de destino recebeu corretamente uma solicitao para realizao de um determinado servio.
Quando atua provando-a origem de uma unidade de dados para o usurio que a recebe, esse servio proteje a entidade receptora contra qualquer
tentativa da entidade transmissora de negar o envio da unidade de dados ou
de seu contedo. Por exemplo, um usurio, tendo se arrependido de ama
compra realizada atravs da rede, pode tentar alegar que no foi ele quem
enviou a mensagem com o pedido de compra.
A outra forma de utilzao*do servio de impedimento de rejeio
fornece ao usurio transmissor uma prova de que a unidade de dados por ele
transmitida foi corretamente recebida pelo destinatrio. Nesse caso, o objetivo proteger o transmissor contra alegaes falsas, do receptor de que no
recebeu a unidade de dados ou seu contedo. Aqui, o servio poderia ser
usado, por exemplo, para proteger um cliente de uma companhia area que
fez uma reserva e, ao chegar ao aeroporto para embarcar, informado de
que sua reserva no foi realizada.

17.2.2 - Relacionamento dos Servios

com os Mecanismos de Segurana OSI
A Tabela I7.1 [ISO 89] apresenta os mecanismos de segurana que,
isoladamente ou combinados com outros, so considerados apropriados para
o fornecimento dos servios de segurana OSI. A Tabela 17.1 apresenta uma
469

iposta para o relacionamento entre servios e mecanismos que, portanto,

D representa uma soluo nica e definitiva para o problema em questo.
jela 17.1: Relacionamento entre mecanismos e servios de segurana OSI.
Mecanismos
Servios

Criptografia

Assinatura Controle integridade Intercmbio de Mascaram eno Controle de Compromisso

de Trfego
de Acesso de Dados Autenticao
Roteamenio deTerceiro
Digital

nticao de Parceiro

nticao da Origem

role de Acesso
idencialidade com
2xo
dencialidade sem
sxo
dencialidade em
pos Selecionados
dencialidade do
o de Trfeqo
jridade com Conexo
n Recuperao
jiidade com Conexo
Recuperao

S
S

s
s

Quando possvel, as funes de segurana adicionais devem ser definidas para no impedir sua implementao como um mdulo autocontid.
Note que a incluso de servios de segurana em uma camada N implica na modificao de sua interface para que seus usurios possam solicitar o servio acrescentado. Alm disso, a entidade que implementa o servio
da camada N deve ser modificada de modo que sejam acrescentados os mecanismos de segurana necessrios, ou para permitir que a entidade N solicite a execuo do referido servio de segurana camada N-I. A Tabela 17.2
mostra as camadas do RM-OSI onde os servios de segurana devem ser
fornecidos.

Quando uma entidade depender de um mecanismo de segurana

implementado em uma entidade de uma camada inferior, todas as
camadas intermedirias devem ser construdas para impedir violaes da segurana.

jridade com Conexo

Recuperao em
pos Selecionados

jridade sem Conexo

jridade sem Conexo

Cames Selecionados
sdimentt de Rejeio
)rioem
^dimento de Rejeio
eStino

Tabela 17.2: Posicionamento dos servios de segurana nas camadas do RM-OSI.

Camadas
Servios

',2.3 - Relacionamento dos Servios e Mecanismos

de Segurana com as Camadas do RM-OSI
A definio do posicionamento dos servios e mecanismos de seguia nas camadas do RM-OSI foi feita tomando por base os seguintes
incpios:'

'0

O nmero de formas diferentes de realizar um determinado servio

deve ser minimizada.
aceitvel construir um sistema seguro fornecendo servios de segurana em mais de uma camada.
funcionalidade requerida para a segurana no deve duplicar desnecessariamente as funes j existentes no RM-OSI.
A violao da independncia das camadas deve ser evitada.

s
s
s
s

Autenticao de Parceiro
Autenticao da Origem

Controle de Acesso

Confidencialidade com
Conexo
Confidencialidade sem
Conexo
Confidencialidade em
Campos Selecionados
Confidencialidade do
Fluxo de Trfego
Integridade com Conexo
e com Recuperao
Integridade com Conexo
sem Recuperao

Integridade sem Conexo

em Campos Selecionados
Impedimento de Rejeio
da Oriqem
Impedimento de Rejeio
do Destino

7
S
S
S

s
s
s

Integridade com Conexo

com Recuperao em
Campos Selecionados
Integridade sem Conexo

s
s

s
s
s
s

Deve-se evitar a confiana no funcionamento correto das entidades.

471

O nvel de apresentao no fornece nenhum servio de segurana. Os

projetistas da arquitetura de segurana OS1 colocam a camada de apresentao como fornecedora de vrios recursos que so utilizados no nvel de aplicao para implementar diversos servios de segurana. Cabe lembrar que
os recursos fornecidos pelo nvel de apresentao baseam-se na codificao
dos dados para a sintaxe de transferncia, e incluem principalmente o suporte para a utilizao de tcnicas de criptografia. Note que os mecanismos
usados para codificar os dados na sintaxe de transferncia so mecanismos
j definidos no modelo de referncia bsico corno responsveis pela implementao da funo principal do nvel de apresentao , portanto, no fbram acrescentados pela arquitetura de segurana.

(
C

,
(

17,3 - Critrios para Avaliao da Segurana

de Sistemas de Computao
O Livro Laranja do DoD

<
<

Nessa seo apresentaremos a proposta do Departamento de Defesa

Americana para avaliar a segurana de sistemas de computao formalizada
no documento "Trusted Computer System Evaluation Criteria" [DoD 85], o
"Livro Laranja". Os critrios para avaliao da segurana de sistemas de
computao definidos nesse documento enquadram os sistemas em quatro
divises de proteo: D, C, B e A.

O DoD elaborou os critrios para classificao da segurana dos sistemas de computao tendo em vista trs objetivos principais:
Fornecer aos fabricantes um padro definindo os aspectos de segurana que deveriam ser incorporados a seus produtos. A ideia do
DoD era com isso incentivar o desenvolvimento de sistemas largamente disponveis satisfazendo requisitos de segurana (com nfase
na preveno contra a revelao no autorizada de informaes)
para aplicaes sensveis.

Prover os rgos membros do DoD com uma mtrica para ser usada
na avaliao do grau de confiana que pode ser atribudo a um sistema de computao, que ser utilizado no processamento de informaes classificadas ou outras informaes sensveis.
Fornecer uma base para a definio dos requisitos de segurana nas
especificaes de aquisio de equipamentos.
Com relao ao segundo aspecto, prover os membros do DoD com uma
mtrica para avaliar a segurana dos sistemas, as avaliaes podem ser de
dois tipos: o produto pode ser avaliado isoladamente, isto , segundo uma
\
$

perspectiva que exclui o ambiente onde ele ser utilizado; ou, a avali;
pode ser feita de modo a analisar quando as medidas de segurana ade<
das foram tomadas, para permitir que um sistema seja apropriadamente
lizado em um ambiente especfico. Isto , o sistema de computao, n
caso, testado no ambiente de operao.

O Livro Laranja alm de padronizar a mtrica a ser usada para av

os sistemas quanto segurana, define tambm um Processo de Avalit
de Produtos Comerciais (Crnmercial Product Evaluation Process), qi
realizado em Centros de Segurana Computacional (Computer Seci
Centers). A avaliao de um sistema de computao, feita com o objetivt
avaliar os atributos de segurana de um sistema em relao a uma mi:
operacional especfica, denominada avaliao de certificao.
O Livro Laranja foi escrito para os rgos do governo dos EUA,
rm, tornou-se um padro comercial de uso geral, pois, de um lado os fa
cantes comearam a utilizar seus critrios para classificar seus produto
do outro, os compradores passaram a dispor de um esquema que pern
uma melhor avaliao da segurana fornecida pelos produtos.
Para o DoD, um sistema seguro deve controlar, atravs do uso de
ractersticas de segurana especficas, o acesso informao de modo
s os indivduos devidamente autorizados, ou os processos operando sob
comando, possam ler, escrever, criar ou apagar informaes. Dessa dei
o, so extrados os seis requisitos de segurana bsicos usados para ava
a segurana de sistemas de computao: quatro deles definem o que deve
providenciado para controlar o acesso s informaes, e dois preocupan
em como avaliar se um sistema de computao realmente garante o conti
de acesso. Os seis requistos bsicos so:

Requisito I Poltica de Segurana: o sistema deve implemei

uma poltica de segurana explcita e bem definida. Deve existir
conjunto de regras que so seguidas pelo sistema para determi
quando um dado indivduo, devidamente identificado, tem pern
so para acessar um objeto especfico devidamente identificado,
sistemas de computao devem executar uma poltica de segura
obrigatria (mandatory security policy)5 que define regras de ace
para manipulao de informao sensvel. Essas regras incluem
quisitos do tipo: "Nenhuma pessoa que no possua o nvel de auti
zao apropriado pode obter acesso informao, classificar
Adicionalmente, controles de segurana arbitrrios (arbtrary se
rity policy) so necessrios para garantir que apenas usurios,
grupos de usurios selecionados iro obter acesso aos dados, p
nem todas as pessoas que possuem grau de autorizao suficie
Equivalente a poltica baseada em regras na terminologia ISO.

472

para ter acesso a determinada informao necessitam realmente faz-lo.

Requisito 2 Marcao: rtulos de controle de acesso devem ser
associados aos objetos. Deve ser possvel marcar todos os objetos
com um rtulo que identifique de forma confivel seu nvel de sensibilidade.
Requisito 3 Identificao e Autorizao: os indivduos devem ser
apropriadamente identificados. Junto com a identificao so guardadas informaes sobre o nvel de autorizao do usurio. As informaes de identificao e autorizao devem ser mantidas de
forma segura pelo sistema de computao, e devem ser associadas a
todos os elementos ativos que executem alguma ao relevante para
a segurana do sistema.
Requisito 4 Registro de Eventos: informaes para auditoria devem ser seletivamente mantidas e protegidas para que as aes que
afeiem a segurana possam ser rastreadas para identificao do responsvel.
Requisito 5 Garantia: o sistema de computao deve conter mecanismos de hardware/software que possam ser avaliados independentemente, e que forneam garantias suficientes de que o sistema
cumpre os requisitos de 1 a 4. Os mecanismos usados para cumprir
esses requisitos so tipicamente embutidos nos sistemas operacionais e so projetados para desempenhar suas tarefas de modo seguro. A base para a confiana nesses mecanismos a disponibilidade
de documentao sobre sua configurao e operao que torna possvel a avaliao de sua eficcia.
Requisito 6 Proteo Contnua: os mecanismos que garantem os
requisitos bsicos devem ser protegidos continuamente contra adulterao ou modificaes no autorizadas. Nenhum sistema de computao pode ser considerado seguro se os mecanismos que garantem a segurana puderem ser violados. Deve-se prestar uma ateno
especial nesse requisito quando forem realizadas atualizaes ou reconfiguraes do hardware/software do sistema.
Esses seis requisitos bsicos formam a base para a definio dos critrios de avaliao que definem as divises e classes de segurana descritas a
seguir.

474

17.3.1 - Diviso D Proteo Mnima

A diviso de proteo D engloba os sistemas que oferecem proteo
mnima. Essa diviso s contm uma classe, a classe D. So classificados na
classe de proteo D os sistemas que foram avaliados, mas no cumpriram
os requisitos exigidos nas classes de proteo mais altas.

17.3.2 - Diviso C - Proteo Arbitrria

Os sistemas enquadrados nas classes da diviso C so os que fornecem
proteo arbitrria, isto , fornecem mecanismos que permitem definir que
indivduos, ou grupos de indivduos, devem ter acesso a quais recursos, e
com que permisses de acesso. Os sistemas nessa diviso devem possuir
mecanismos para registrar eventos relevantes segurana do sistema, os
quais sero usados no suporte de auditorias que permitam contabilizar as
aes realizadas por um indivduo. Nessa diviso os sistemas so enquadrados em duas classes Cl e C2.
17.3.2.1 - Classe C1 Proteo com Segurana Arbitrria

A Base Computacional de Confiana (Trusted Computing Base

TCB) enquadrada na classe Cl satisfaz os requisitos de uma poltica de segurana arbitrria, disponibilizando mecanismos que impeam o livre acesso
dos usurios aos recursos do sistema de computao. Os sistemas nessa
classe devem possuir mecanismos de controle capazes de impor limites ao
acesso, com base na identificao dos indivduos. Essa classe de sistemas
garante a proteo de informaes individuais, ou compartilhadas por um
grupo de usurios, contra operaes de leitura, modificao ou destruio
no autorizadas. Espera-se que o ambiente fornecido pelos sistemas da classe Cl permita que os usurios trabalhem de modo cooperativo, processando
dados com o mesmo nvel de sensibilidade.

17.3.2.2 - Classe C2 Proteo com Controle de Acesso

Os sistemas enquadrados na classe C2 devem impor um controle de

acesso arbritrrio mais refinado que os sistemas da classe Cl. Essa classe de
sistemas deve garantir a contabilizao das aes realizadas por usurios
individuais, atravs de procedimentos de login, de mecanismos para auditoria nos registros de eventos relevantes para a segurana do sistema e do isolamento de recursos alocados a um usurio (por exemplo sua rea de memria privada). Nos sistemas C2, os usurios so impedidos de ler o conte475

do da memria alocado aos outros e de recuperar arquivos apagados ou objetos abandonados por outros usurios.
17.3.3 - Diviso B Proteo Obrigatria
O principal requisito de uma TCB diviso B a preservao da integridade dos rtulos de sensibilidade e sua utilizao para colocar em vigor o
conjunto de regras de controle de acesso que define uma poltica de segurana obrigatria. Os sistemas classificados nessa diviso associam rtulos
de sensibilidade s estruturas de dados manipuladas no sistema. O fornecedor de sistemas enquadrados na diviso de proteo B deve disponibilizar o
modelo da poltica de segurana no qual o TCB baseado, e fornecer uma
especificao da TCB. Devem ser fornecidas evidncias que demonstrem
que o conceito de monitor de referncias6 foi implementado.
17.3.3.1 - Classe B1 Proteo com Segurana Baseada em Rtulos

Os sistemas da classe BI possuem todos os requisitos dos da classe C2,

acrescidos de uma descrio informal do modelo da poltica de segurana,
de mecanismos que permitam a associao de rtulos de segurana aos dados, e da presena de mecanismos de controle de acesso obrigatrios, relacionando usurios identificados e enquadrados em nveis de autorizao e
objetos associados a rtulos de segurana. Os sistemas classificados na classe B1 devem marcar, com os devidos rtulos de segurana, toda informao
exportada do sistema; por exemplo, listada em uma impressora. Alm disso,
o fornecedor do sistema deve comprometer-se a corrigir qualquer falha
identificada em testes do sistema.

17.3.3.2 - Classe B2 Proteo Estruturada

Nos sistemas da classe B2, a TCB baseada em uma definio clara e

formal do modelo da poltica de segurana implementada no sistema. Os
mecanismos que impem controle de acesso arbitrrio e obrigatrio encontrados em sistemas B1 devem ser estendidos a todos os usurios e objetos do
sistema de computao. Adicionalmente, so abordados os problemas de se-

" Um monitor de referncias unia mquina abstraa que controla o acesso aos recursos de um
sistema, intermediando todos os acessos aos objetos feitos pelos usurios. A ideia que essa mquina
abstrata imponha relacionamentos de acesso autorizados entre objetos e usurios, sendo sua implementao baseada na validao das referncias feitas aos dados, pelos usurios, com base em uma lista de referncias autorizadas para o referido usurio.

gurana causados por canais secretos (covert chanels).7 A TCB deve ser
cuidadosamente estruturada em elementos crticos, ou no, em relao ao
aspecto proteo. A interface da TCB deve ser bem definida e seu projeto e
implementao devem habilit-la a se sujeitar a testes mais minuciosos e
revises mais completas. Os mecanismos de autenticao so reforados, e
deve ser fornecida uma funo confivel de gerenciamento que suporte as
funes de administrador e operador. Mecanismos rigorosos de gerenciamento de configurao devem ser impostos para garantir que o sistema no
seja adulterado durante sua fase de operao.

17.3.3.3 - Classe B3 Domnios de Segurana

A classe de proteo B3 deve satisfazer os requisitos definidos para um

monitor de referncias que intermdia todos os acessos dos usurios a objetos do sistema, deve ser prova de adulteraes, e deve ser pequeno o suficiente para que possa se sujeitar a anlises e testes. Com esse fim, o TCB
estruturado para excluir todo o cdigo que no seja essencial implementao da poltica de segurana, sendo os processos de desenvolvimento e implementao da TCB direcionados minimizao de sua complexidade.
Deve ser permitida a figura do administrador do sistema. O mecanismo de
auditoria deve ser expandido para sinalizar a ocorrncia de eventos relevantes segurana do sistema. Procedimentos de recuperao do sistema, caso
ocorram violaes de segurana que comprometam seu funcionamento, devem estar disponveis.

17.3.4 - Diviso A Proteo Comprovada

A diviso A caracterizada pelo uso de mtodos de verificao de segurana formais que garantam que os controles obrigatrios e arbritrios,
empregados no sistema, efetivamente protejam as informaes classificadas
nele armazenadas e processadas. exigida extensa documentao do sistema, que demonstre que a TCB satisfaz os requisitos de segurana em todos
os aspectos do projeto, desenvolvimento e implementao.

Um canal secreto 6 qualquer canal de comunicao que pode ser explorado por um processo
para transferir informao violando a poltica de segurana do sistema. Os canais secretos podem
transferir informaes urmazenando-as em um local que posteriormente lido por outro, ou atravs de
sinais modulados na forma como ele usa, ao longo do tempo, os recursos do sistema, o que pode ser monitorado por outros processos.

476
477

17.3.4.1 - Classe A1 Projeto Comprovado

Tabela 17.3: Relacionamento dos requisitos com as classes de proteo do Livro Laranj

Os sistemas da classe A l so funcionalmente equivalentes aos sistemas

da classe B3, no sentido que neles no so adicionados requisitos de poltica
ou caracterticas de arquitetura. A caracterstica que distingue os sistemas da
classe A a anlise baseada em tcnicas de verificao e especificao
formais do projeto dos sistemas e o resultante alto grau de garantia que a
TCB foi corretamente implementada. Essa garantia baseia-se essencialmente
no desenvolvimento, comeando com um modelo formal da poltica de
segurana e de uma especificao formal de alto nvel (Formal Top-Level
Specification FTLS) do projeto. Em conjunto com a anlise extensiva do
projeto e de-senvolvimento da TCB necessria aos sistemas da classe Al,
um gerenciamento de configurao mais rigoroso exigido e procedimentos
so estabelecidos para que a distribuio fsica do sistema seja segura.

17.3.5 - Resumo do Sistema de Classificao do DoD

A Tabela 17.3 associa os requisitos (ou servios exigidos) de segurana s classes de proteo definidas no Livro Laranja. Para cada par requisito/classe usaremos a seguinte conveno na tabela:
Um espao em branco indica que o requisito no necessrio na
respectiva classe de proteo.
A letra A indica que o requisito no necessrio em classes com nvel de proteo inferior e adicionado na referida classe.
O smbolo = indica que o requisito na classe em questo igual ao
exigido na classe com nvel de proteo inferior.
A letra N indica que uma nova definio do requisito substitui a definio feita em uma classe inferior.
A letra C indica que o requisito aparece em classe com nvel de
proteo inferior, porm modificado n a d a s s e em questo.
A Tabela 17.3 resume os requisitos de segurana que so exigidos para
que os sistemas sejam enquadrados nos nveis de classificao propostos
pelo DoD.

478

17.4 - Segurana na Internet TCP/IP

O termo arquitetura de segurana de uma rede pode ser empregado
com conotaes diferentes. Para a ISO, uma arquitetura de segurana consiste na definio cie conceitos e terminologia que formam um esquema bsico
para o desenvolvimento de protocolos. No caso da Internet, espera-se que a
arquitetura de segurana fornea um conjunto de orientaes mais concreto,
voltado para projetistas de redes e desenvolvedores deprodutos, e no apenas para projetistas de protocolos. Isso sugere que a arquitetura de segurana
da Internet englobe no apenas definies de conceitos, como faz o padro
479

ISO 7498-2, mas inclua adicionalmente orientaes mais especficas sobre

como e onde implementar os servios de segurana na pilha de protocolos
da Internet. Esta viso alinha-se com a filosofia da Internet que enfatiza a interoperabilidade entre sistemas, produzindo padres que tendem a ser menos
genricos que os da ISO.

E sabido que muitos mecanismos de segurana necessitam de t

mfraestrutura de apoio, o gerenciamento dessa infraestrutura p
ser to ou mais complexo que a implementao do mecanismo.
sim, deve-se dar preferncia a tecnologias' de segurana que pos
compartilhar uma infraestrutura de segurana comum.

Quando este livro foi escrito, a Internet ainda no possua uma arquitetura de segurana bem definida, entretanto, o Privacy and Security Research
Group (PSRG) da Internet Research Task Force (IRTF) encontrava-se trabalhando no desenvolvimento dessa arquitetura. Esta seo apresenta as direes preliminares desse trabalho, publicadas na referncia [Lynch 93] por
Stephen Kent, que o chairman do PSRG.

Algoritmos de criptografia selecionados para padronizao na In

net devem ser amplamente conhecidos, devendo ser dada prefei
cia aos que tiverem sido exaustivamente testados.

Na Seo 17.2 a arquitetura de segurana da ISO foi apresentada atravs da definio dos servios de segurana bsicos, dos mecanismos de segurana, do relacionamento entre mecanismos e servios e do mapeamento
dos servios nas camadas. A arquitetura de segurana da Internet ser apresentada da mesma forma, com a introduo de novos elementos, quando necessrio.

17.4.1 - Definio dos Servios, Mecanismos e Ameaas

Tudo indica que a arquitetura de segurana da Internet adotar a definio de servios, mecanismos.e ameas do padro ISO 7498-2. Cabe entretanto destacar que a adoo da terminologia usada no 7498-2 no implica na
adoo dos mapeamentos dos servios nas camadas e dos mecanismos nos
servios, propostos nesse padro.
Na seo 17.2 foram apresentados os princpios que formaram a base
da arquitetura de segurana OSI. Todos eles so razoveis e devero ser respeitados na arquitetura de segurana da Internet. Alm desses, na arquitetura
Internet sero considerados adicionalmente princpios orientados para a escolha de mecanismos. Alguns desses princpios so:
Os mecanismos de segurana devem ser escalveis, tendo capacidade e potencial para acompanhar o crescimento da comunidade Internet.
Os mecanismos devem ter sua segurana apoiada na tecnologia que
os suporta, por exemplo, em algoritmos e protocolos que sejam seguros, isto , que no possuam falhas intrnsecas.
Os mecanismos de segurana no devem restringir a topologia da
rede.
Mecanismos de segurana que no sejam sujeitos s restries de
controle de exportao ou patentes devem ter preferncia.
480

17.4.2 - Mapeamentos dos Mecanismos nos Servios e d*

Servios nas Camadas da Arquitetura internet

Outro elemento que dever ser aproveitado da arquitetura de segura

OSI o mapeamento dos servios nas camadas, pelo menos como ponto
partida para o mesmo mapeamento na arquitetura Internet, com o acresci
dos servios propostos pelo comit 802.10 do IEEE para o nvel 2: aute
cao da origem de dados, integridade em transmisses sem conexo e c
trole de acesso.

O mapeamento dos mecanismos nos servios de segurana propc

pela ISO tambm dever ser usado como ponto de partida para o rnap
mento na arquitetura de segurana da Internet, embora, no ambiente Inten
a lista de mecanismos deva ser mais especfica, fornecendo orientaes rr
concretas aos projetistas de protocolos. Mecanismos como o Kerberos
X.509, etc. devem ser citados explicitamente como suporte preferencial p
implementao dos servios de segurana na Internet, ao contrrio do c
acontece no padro ISO 7498-2, que discute os mecanismos de forma m
genrica.

17.4.3 - Relacionamento das Aplicaes Internet

com os Servios e Mecanismos de Segurana
O mapeamento dos servios nas camadas o ncleo da arquitetura
segurana OSI, onde o mapeamento dos mecanismos nos servios tem i
papel secundrio, apresentando, assim, um carter mais informativo do c
normativo. O Privacy and Security Research Group (PSGR) da Internet I
search Task Force achou por bem incorporar arquitetura Internet t
mapeamento adicional, que enfoca aplicaes especficas da rede, usu
mente definidas como um protocolo ou uma. classe de protocolos. Para ca
aplicao, so caracterizados os requisitos de segurana e uma tecnologia
segurana especfica. Por exemplo, um conjunto de protocolos e uma inf
estrutura de suporte, so identificados como apropriados para fornecer
4

vios de segurana requisitados. Esse mapeamento um refinamento e

ia composio dos mapeamentos entre camadas e servios e entre meca;mos e servios OSI, capturando a essncia da arquitetura de segurana da
ernet.
O mapeamento entre mecanismos de segurana e aplicaes, em alguns
sos, baseia-se no exame de um protocolo de aplicao especfico, porm,
maior parte dos. casos, baseia-se nos requisitos percebidos em qualquer
jtocolo que fornece um determinado servio de rede. Em alguns casos,
Dtocolos especficos podem ser citados como apropriados para fornecer o
;canismo de segurana necessrio. Em outros, identificado um vazio em
mos de funcionalidade de segurana disponvel, indicando que preciso
senvolver a tecnologia necessria. Segue uma amostra desse mapeamento
e, cabe salientar, no definitivo, haja vista que a arquitetura ainda no
; concluda. A Tabela 17.4 resume o relacionamento entre as aplicaes
:ernet e os servios de segurana.

17.4.3.1 - Correio Eletrnico

O correio eletrnico da Internet, o SMTP (vide Seo 15.3.5), especificado na RFC 822. No futuro; espera-se que as mensagens SMTP, que
carregam apenas texto simples, passem a transportar tipos de dados mais
complexos. Outro aspecto importante no contexto da aplicao correio eletrnico o crescimento da populao de usurios do X.400 (vide Seo
15.2.5) na Internet.
Os servios de segurana necessrios para o correio eletrnico na Internet devero incluir confidencialidade e integridade em transmisses sem
conexo, autenticao da origem das mensagens, e impedimento de rejeio
pelo destinatrio ou remetente. O protocolo Privacy Enhanced Mail (PEM)
foi elaborado para fornecer esses servios ao SMTP.

17.4.3,2 - Servio de Diretrio

bela 17.4: Relacionamento entre as aplicaes Internet e os servios de segurana.

Aplicaes
Servios

Correio
Eletrnico

Servio de
Diretrio

snticao de Parceira
yiticao da Origem

trdede Acesso
hctencialidacte cem
oo
f idenciaidada sem
sexo
fidendalidads em
rpos Sdecionacbs
r

Transferncia
cteArcMvcs

Servidores de
Arquivos

Rotearrento

Gerenciarrento Terminei Virtua!

fidenciaidacte do FIUJD
rfego

gridarie com Conexo e

i Recupersco

'

gridsde com Conexo

i Recuperao
gridade cem Conexo
i Recuperao em
rpes Seeciorados
gridsde sem Conexo

grictte sem Conexo

Campos Sdeeicnados
edirrento de Rejeio
3riqem
edimsnto de Rejeio
destino

12

3
S

Existem dois modelos de servios de diretrio que podem ser usados

na Internet: o Domain Name System DNS (vide Seo 15.3.1) e o X.500
(vide Seo 15.2.6). Os requisitos de servios de segurana so bem definidos para o X.500, que incorpora em seu protocolo mecanismos de segurana
para implementar esses servios. Por outro lado, no existe uma definio
explcita dos servios de segurana para o DNS, que, consequentemente,
no possui mecanismos de segurana. Provavelmente, se o DNS for aumentado para incorporar recursos de segurana, seus requisitos de segurana sero muito semelhantes aos do X.500. So esses requisitos: autenticao da
origem dos dados, controle de integridade em transmisses sem conexo
para proteger as consultas e respostas ao diretrio, controle de acesso para
permitir o armazenamento dos dados no diretrio com a confiana que esses
dados s sero modificados por usurios autorizados, ou administradores, e
que dados sensveis no sero revelados para usurios no autorizados. Espera-se que, no ambiente Internet, as polticas de controle de acesso baseadas na identidade dos usurios sejam mais relevantes que as baseadas em
verificao de rtulos. Todos esses servios so fornecidos pelo X.500 atravs de mecanismos implementados no protocolo de aplicao. Alm desses
servios, em alguns casos pode ser necessrio garantir a confidencialidade
dos dados do diretrio. Esse ltimo servio pode ser fornecido nos nveis de
rede ou transporte.
A arquitetura de segurana da Internet dever recomendar o uso dos
recursos de segurana do X.500, junto com o mecanismo de confidencialidade fornecido no nvel de transporte ou rede, quando necessrio. 'Na ausncia de mecanismos de segurana especficos no DNS, mecanismos de nveis inferiores devem ser empregados para fornecer: autenticao, integri483

dade e controle de acesso, embora a eficcia desses mecanismos no seja a

mesma que a dos mecanismos do X.500, que atuam no nvel de aplicao.
17.4.3.3 - Gerenciamento de Redes

O protocolo de gerenciamento de redes na Internet o SNMP (vide

Seo 15.3.7). Melhoramentos recentes no SNMP, SNMP Verso 2, provem suporte a um conjunto de requisitos de segurana. Os servios de segurana que passaram a ser fornecidos foram: confidencialidade e integridade (com proteo contra reenvio postergado replay) na transmisso de
datagramas, autenticao da origem de dados e controle de acesso baseado
na identidade. Esses servios so empregados na proteo contra violaes
do intercmbio de informaes de gerenciamento, e para proteger os objetos
gerenciados contra tentativas de manipulao no autorizada.
Todos esses servios foram implementados no SNMP no nvel de aplicao, incluindo um esquema de distribuio de chaves simtricas. A arquitetura de segurana Internet recomenda que o gerenciamento de redes seja
realizado com a verso ampliada do SNMP, que inclui os servios de segurana, ou com uma verso segura do CMIP (vide Seo 15.2.8), caso venha
a ser desenvolvida.
17.4.3.4 - Terminais Virtuais e Transferncia de Arquivos

A aplicao terminal virtual fornecida pelo protocolo Telnet (vide

Seo 15.3.4). Transferncias de arquivos so suportadas pelo protocolo
FTP (vide Seo 15.3.2). Para ambos os tipos de procotolos, os requisitos de
segurana devem incluir integridade e confidencialidade em conexes, autenticao de parceiros e controle de acesso baseado em identidade. Esses
servios podem ser implementados por mecanismos nos prprios protocolos
de aplicao, ou atravs do uso de mecanismos de camadas inferiores, por
exemplo, transporte e rede. Por exemplo, tim protocolo como o Transport
Layer Security Protocol TLSP [ISO 91] pode atender a esses requisitos,
embora a granularidade da autenticao fornecida no nvel de transporte no
seja suficiente (autenticao do usurio da camada de transporte e no da
aplicao).
Um aspecto deve ser considerado na escolha do local onde sero implementados os mecanismos, no nvel de aplicao ou nveis inferiores. Implementar nos nveis inferiores implica em modificao no cdigo dos sistemas operacionais, onde so implementados os protocolos do nvel de rede
e de transporte. A modificao no necessria caso os mecanismos sejam
implementados nas aplicaes.
484

17.4.3.5 - Servidores de Arquivos

Servidores de arquivos so implementados por sistemas com o

(vide Seo 15.3. 3) da Sun e o Andrew File System, e distinguem-se
protocolos para transferncia de arquivos por fornecer um conjunto de
vios mais rico, que inclui o acesso randmico a partes de um arquivo,
requisitos de segurana nesses sistemas incluem: a integridade e a cc
dencialidade no intercmbio de datagramas, a autenticao de parceiros,
controle de acesso (baseado em identidade). Alguns desses serv
(confidencialidade e integridade) podem ser fornecidos por protocolos
nvel de rede e de transporte. Entretanto, a granularidade necessria pa.
controle de acesso, por exemplo, a nvel de arquivo ou diretrio, ob
mente mais fina do que a que pode ser fornecida nos nveis de rede c
transporte. Como at o momento no foram definidos padres para prot<
los de segurana que suportam essa aplicao, ainda no h recomenda
para os servidores de arquivos na arquitetura de segurana da Internet.
17.4.3.6- Roteamento

O roteamento na Internet realizado por protocolos como o BGP, E

e OSPF (vide Captulo IO). Todos esses tipos de protocolos possuem
quisitos de segurana semelhantes: autenticao de parceiros e integrd
no intercmbio de datagramas carregando informaes de roteamento. C
seja preciso proteger as informaes sobre a topologia das redes, nece
rio garantir a confidencialidade dos datagramas.
A maior parte desses servios pode ser fornecida com a utilizac
mecanismos genricos da camada de rede, ou podem ser contrados esp
ficamente para os protocolos de roteamento. Nesse caso' a granularidade
autenticao e do controle de acesso claramente atingida pelas infor
es de identificao fornecidas nessa camada. A variedade dos protoa
de roteamento torna bvio os benefcios de se utilizar mecanismos de se
rana comuns fornecidos na camada de rede.
O servio de confidencialidade do fluxo de trfego ponto a ponto p
ser fornecido aos usurios pelo roteador, uttlizando mecanismos do nve
sico. Porm, para garantir confidencialidade quando os pacotes atravs:
vrios roteadores em seu caminho, necessrio usar o servio de confie
cialidade no nvel de rede.

17.4.4 - Barreiras de Proteo Firewalls

Um mecanismo muito usado na prtica para aumentar a segurana de
redes ligadas Internet o firewall. qu, como veremos, uma espcie de
barreira de proteo. A utilizao de barreiras de proteo fundamenta-se no
fato de que normalmente a segurana inversamente proporcional a complexidade. Assim, proteger mquinas de uso geral onde so executados diferentes aplicaes, de variados portes, uma tarefa complicada, pois muito
improvvel que nenhuma das vrias aplicaes apresente falhas que possam
ser exploradas para violar a segurana do sistema. Assim, fica muito mais
fcil garantir a segurana isolando as mquinas de uso geral de acessos externos, usando uma barreira de proteo, ou firewall, que impea a explorao das possveis falhas.
O princpio da simplicidade tem como consequncia a seguinte considerao: para diminuir os riscos, a configurao dos firewalls deve ser minimizada, excluindo tudo que no seja estritamente necessrio.
Um firewall definido em [Cheswick 94] como uma coleo de componentes, colocada entre duas redes, que coletivamente possua as seguintes
propriedades:
Todo o trfego de dentro para fora da rede, e vice-versa, passa pelo
firewall.
S o trfego autorizado pela poltica de segurana pode atravessar o
firewall.
O firewall deve ser prova de violaes.
Um firewall pode ser visto como um monitor de referncias para uma
rede, sendo seu objetivo garantir a integridade dos recursos ligados a ela. A
centralizao demanda uma administrao mais cuidadosa, por parte dos
administradores do sistema, da(s) maquinais) que implementa(m) o firewall.
Enquanto as mquinas de uso geral so configuradas para otimizar o desempenho e a facilidade de utilizao, no firewall tudo isso passa para o segundo plano, cedendo lugar ao seu objetivo principal no sistema: a segurana.
Um firewall, em geral, consiste nos componentes mostrados na Figura
17.5. Os filtros (screens) bloqueiam a transmisso de certas classes de trfego. O componente gateway uma mquina, ou um conjunto de mquinas
conectadas por um segmento de rede, que fornecem servios de retransmisso. O filtro colocado na sada (entre a rede externa e o gateway) usado
para proteger o gateway de ataques externos, enquanto o filtro interno protege a rede interna das consequncias de um ataque que tenha conseguido
comprometer o funcionamento do gateway: Assim, os dois filtros atuando
isoladamente, ou em conjunto, protegem a rede interna de ataques externos.
486

Um gateway do firewall que pode ser acessado a partir da rede externa

chamado de hastion host. Cabe reafirmar que, fisicamente, os filtros e (
e o
gateway podem ser implementados em uma nica mquina, ou em um con
junto de mquinas ligadas por um segmento de rede.

Filtro

Filtro

Figura 17.5: Componentes de um firewall.

Os firewalls so classificados em trs categorias principais: filtros de
pacotes, gateways de circuitos e gateways de aplicao.
Os filtros de pacote utilizam endereos IP de origem e de destino, e
portas UDP e TCP para tomar decises de controle de acesso, O administrador elabora uma lista de mquinas e servios que esto autorizados a
transmitir datagramas nos possveis sentidos de transmisso (entrando na
rede interna, saindo da rede interna ou ambos), que ento usada para filtrar
os datagramas IP que tentam atravessar o firewall. Um exemplo de poltica
de filtragem de pacotes seria: permitir o trfego de datagramas carregando
mensagens de SMTP e DNS nas duas direes, trfego Telnet s para pacotes saindo da rede intenta e impedir todos os outros tipos de trfego.
A abordagem baseada em filtragem no fornece uma granularidade
muito fina de controle de acesso (o acesso controlado com base nas mquinas de origem e de destino dos datagramas) e vulnervel adulterao
de endereos IP.
Os firewalls onde os gateways atuam no nvel de aplicao, ao invs de
basear-se em um mecanismo de propsito geral, como os filtros de pacotes,
utilizam implementaes especiais das aplicaes, desenvolvidas especificamente para funcionar de forma segura. Devido a grande flexibilidade
dessa abordagem, ela - a que pode fornecer o maior grau de proteo. Por
exemplo, um gateway FTP pode ser programado para restringir as operaes
de transferncia a arquivos fisicamente localizados no bastion host. Assim,
os usurios externos s podem ter acesso aos arquivos disponibilizados
nessa mquina (um bastion host). Alm disso, a aplicao FTP original pode
ser modificada para limitar a transferncia de arquivos da rede interna para a
487

externa a usurios autorizados, e com limites para o volume de informao

que pode ser transferida, dificultando ataques internos.
Na terceira categoria de firewalls, um gateway de circuitos ahia como
intermedirio de conexes TCP, funcionando como um proxy TCP (um TCP
modificado). Para transmitir dados atravs do firewall, o usurio origem conecta-se a uma porta TCP no gateway, que por sua vez, conecta-se, usando
outra conexo TCP, ao usuriodestino. Um circuito formado por unia conexo TCP na rede interna e outra na rede externa, associadas pelo gateway
de circuito, O processo que implementa esse tipo de gateway atua repassando bytes de uma conexo para outra, fechando o circuito. Para que seja
estabelecido um circuito, o usurio de origem deve fazer uma solicitao ao
gateway no firewall, passando como parmetros a mquina e o servio de
destino. O gateway ento estabelece o circuito ou, em caso contrrio, retorna
um cdigo informando o motivo do no estabelecimento. Note que necessrio que o usurio de origem utilize um protocolo simples para comunicarse com o gateway, esse protocolo um bom local para implementar, por
exemplo, um mecanismo de autenticao.

PARTE til

Redes ATM

488

Captulo

18

Redes com
Integrao
de Servios
Cora o grande desenvolvimento da tecnologia digital, os diferentes tipos de informao (texto, udio, vdeo etc) passaram a ser processados de
forma integrada, dando origem aos sistemas multimdia. Paralelamente, a
tcnica de transmisso digital foi reconhecida pela indstria de telecomunicaes como mais eficiente, confivel e econmica do que a analgica. O
desenvolvimento da tecnologia digital e microeletrnica que permitira o
surgimento dos sistemas multimdia tambm impulsionava o desenvolvimento de redes de alta velocidade, tais como FDDI, DQDB e RDSI.
Tradicionalmente, sistemas de comunicao foram desenvolvidos para
o transporte de tipos especficos de informao o sistema telefnico para
o trfego de voz, as redes de comutao de pacotes para dados textuais, vdeo e televiso em redes de radiodifuso ou a cabo. Essas redes foram claramente projetadas para aplicaes especficas adaptando-se mal a outros tipos de servio. O ideal de uma nica rede capaz de atender a todos esses
servios, de forma a obter uma economia devido ao compartilhamento dos
recursos, veio motivar o conceito das redes de servios integrados.
A ideia deste captulo mostrar a necessidade de redes que possam dar
suporte transmisso de.trfegos de diversas naturezas. Trataremos das caractersticas das diversas mdias, dos requisitos impostos por estas aos sistemas de comunicao e das tcnicas utilizadas em redes com integrao de
servios para acomodar os diferentes trfegos. Apresentaremos as caracte491

rsticas da integrao dos diferentes trfegos em redes FDDI, DQDB, RDSIFE (Redes Digitais de Servios integrados de Faixa Estreita) e em redes
pblicas de comutao de pacotes. As limitaes inerentes a essas redes,
como veremos ao longo do captulo, nos levaro a perceber a necessidade da
introduo de uma tecnologia capaz de associar e integrar determinadas caractersticas desejadas, encontradas isoladamente em algumas dessas redes.
Mostraremos, ento, que as redes baseadas no Modo de Transferncia Assncrono (Asynchronous Transfer Mode ATM) surgem como uma das
formas mais promissoras para a construo de redes com integrao de servios. Apesar de escolhida e padronizada para o uso em redes pblicas integradas como a RDSI-FL (Redes Digitais de Servios Integrados de Faixa
Larga, ou Broadband Integrated Services Digital Networks B-ISDN ), a
tecnologia ATM tem tambm despertado a ateno da comunidade como
uma soluo para a interconexo de alta velocidade em ambientes locais,
como veremos na Seo 18.7.3. Nos prximos captulos discutiremos mais
detalhadamente a tecnologia ATM e as redes que a utilizam, incluindo a
RDSI-FL e as redes locais ATM.

v .
1

(
\

c
(

18.1 - Aplicaes de Banda Larga

Vrios cenrios foram delineados de forma a caracterizar os efeitos de

aplicaes mujtimdia em redes de alta velocidade e com integrao de servios. Imagine, por exemplo, mdicos em hospitais localizados em regies
diferentes, discutindo o diagnstico de um paciente usando informaes de
' raio X, histrico da evoluo do caso, vdeos, banco de dados sobre acompanhamentos de casos semelhantes etc. Imagine cada participante dessa teleconferncia multimdia tendo acesso ao conjunto de tais informaes, trocando comentrios por voz e apontando os diversos itens sob discusso.
Imagine cada participante podendo modificar, organizadamente, o contedo
visvel da tela e seu formato (selecionardo uma nova imagem, ampliando-a
na tela etc). Imagine ainda que os fluxos de voz e as informaes visuais
so comunicadas a todos os participantes simultaneamente, de forma que
todo o sincronismo necessrio (por exemplo, uma imagem em movimento
sendo referenciada e comentada oralmente) seja preservado. Esse cenrio
serve para colocar em evidncia que a infra-esfrutura de comunicao necessria para essa aplicao deve prover pelo menos servios para realizar uma
transmisso sncrona e em tempo real das informaes multimdia. Como
veremos na prxima seo, para complicar ainda mais essa aplicao j
bastante complexa, as caractersticas e requisitos de comunicao dos diferentes tipos de informao variam muito.

(
('
(

que aquelas do acesso primrio das RDSI-FE (Tl = 1,544 Mbps, El = 2,048
Mbps), que abordaremos na Seo 18.5.
O ITU-T classifica as aplicaes em banda larga em quatro categorias:
servios conversacionais, servios de recuperao, servios de mensagem e
servios de distribuio.
Servios conversacionais provem meios para transferncia fim a fim
em tempo real. Entre as aplicaes que a se enquadram podemos citar: videotelefonia, vdeo-conferncia, transferncia de documentos multimdia em
tempo real (facsimile de alta resoluo, anotao de voz etc), servios de
segurana, supercomputao virtual e teleao (controle por computador de
dispositivos fsicos remotos, associados a um controle de processo em
tempo real).
Servios de recuperao fornecem a facilidade de recuperao de informao armazenada remotamente. Entre as aplicaes que a se enquadram podemos citar: videotexto, livrarias eletrnicas e vdeo sob demanda
(tanto para entretenimento, pela substituio da TV a cabo, quanto para educao e treinamento remotos).
Servios de mensagem oferecem a comunicao entre usurios via unidades de armazenamento, com funes de store-and-forward, mailbox (caixa
de correio) ou manipulao de mensagens. Ao contrrio dos servios conversacionais, esses servios no so em tempo real. Entre as aplicaes que
a se enquadram podemos citar: correio de vdeo e correio de documentos
multimdia.
Servios de distribuio so subdivididos em duas classes: servios
sem controle do usurio e servios com controle do usurio. Entre as aplicaes sem controle do usurio podemos citar: distribuio de udio e vdeo,
distribuio de documentos (jornais, revistas e livros), distribuio de cotao da bolsa de valores, e difuso de TV. Entre as aplicaes com controle
do usurio, podemos citar a substituio de documentos tradicionais (livros,
revistas, jornais etc), pelos equivalentes eletrnicos, com distribuio sob
controle do usurio.
O que caracteriza essas aplicaes em banda larga o fato de terem de
lidar com objetos no convencionais (udio, vdeo etc). No convencionais
no sentido de serem objetos longos (I minuto de vdeo no comprimido,
qualidade TV, contm 1,8 Gbytes de dados), de exigirem transferncia contnua de dados a altas taxas (252 Mbps para sinal de TV no comprimido) e,
alm de tudo, de exigirem acesso sincronizado aos dados, A prxima seo
resumir as. caractersticas e requisitos de comunicao das diversas mdias
envolvidas nas aplicaes em banda larga.

O ITU-T define como servios de banda larga (broadband) qualquer

servio que requer canais de transmisso capazes de suportar taxas maiores
492

493

1.2 - Requisitos de Comunicao

das Diversas Mdias
As caractersticas e requisitos de comunicao exigidos pelos diversos
xs de mdia so muito diferentes. Vrias caractersticas podem ser consiadas ao classificarmos fontes de trfego. A natureza do trfego gerado
a de suas caractersticas mais importantes, dando origem a trs classes
ias: a classe de trfego contnuo com taxa constante (Constant Bit Rate
CBR), a classe de trfego em rajadas (bursty) e a classe de trfego cont> com taxa varivel (Variable Bit R a t e VBR).
Na classe de trfego contnuo com taxa constante,1 o trfego, como o
prio nome diz, constante e, por conseguinte, sua taxa mdia igual a
. taxa de pico. Essa taxa o nico parmetro necessrio para se caracterital fonte.
As fontes cujo trfego gerado tem caracterstica de rajadas apresentam
iodos ativos (durante os quais h uma alta gerao de informao pela
te, que opera na sua taxa de pico) intercalados por perodos de inativile (durante os quais a fonte no produz trfego algum). Para se caracteriuma fonte com trfego em rajadas no suficiente utilizarmos a taxa
dia de gerao de informao, j que essa taxa no representa corretante o seu comportamento. A taxa mdia nem sequer representa uma taxa
qual a fonte opera em algum momento. Muito mais significativas so inmaes sobre a distribuio das rajadas ao longo do tempo, a durao das
idas, e a taxa de pico atingida durante as rajadas. Alguns parmetros comente utilizados para caracterizao desse tipo de trfego incluem a duo mdia dos perodos de ativiade e a explosividade (burstiness) da
t e a razo entre a taxa de pico e taxa mdia de utilizao do canal. 2
Por fim, as fontes de trfego contnuo com taxa varivel apresentam
iaes na taxa de transmisso ao longo do tempo. Parmetros como a
dia e a varincia da taxa de transmisso podem ser utilizados para caraczar o comportamento de fontes com essa caracterstica. O parmetro de
dosividade (burstiness) tambm bastante utilizado na caracterizao
sas fontes.

Em geral, os padres de comunicao utilizam a palavra contnuo para caracterizar sem

"nipao e a taxas constantes. Note, no entanto, que temos, alm do trfego em rajadas, o trfego sem
Tupo mas com taxa varivel. Em geral, os padres chamam apenas de trfego com taxa varivel
R) a ambos os trfegos (em rajadas e contnuo com taxa varivel), independente de serem sem
rrupo ou no.
- Existem outras definies para a medida da explosividade da fonte: a razo entre o desvio
o e a taxa mdia gerada, por exemplo.

Outras caractersticas tais como retardo mximo de transferncia, variao estatstica do retardo, vazo mdia, taxas aceitveis de erro de bit e de
pacote de dados, variam muito de uma mdia para outra. De uma forma geral, podemos caracterizar as diversas mdias, quanto aos requisitos de comunicao exigidos, como se segue nos prximos pargrafos.

18,2.1 -Texto
O trfego gerado por informaes em texto em sua grande maioria de
rajada. Para compreender essa natureza do trfego, pense na comunicao de
um terminal com um computador durante a execuo interativa de um programa. A vazo mdia dos dados vai depender muito da aplicao, variando
desde alguns poucos bits por segundo para aplicaes de correio eletrnico,
at alguns megabits por segundo em transferncia de arquivos. Para texto,
excetuando-se algumas aplicaes em tempo real, como por exemplo para
controle de processos crticos, o retardo mximo de transferncia e a variao estatstica do retardo no se constituem em problemas, sendo seus requisitos em geral facilmente satisfeitos pelo sistema de comunicao.
Quanto tolerncia a erros, na grande maioria das aplicaes, no se pode
tolerar erro nem em um nico bit: suponha, por exemplo, o caso da perda de
um bit numa transferncia eletrnica de fundos.

18.2.2 - Imagem Grfica

O trfego gerado em aplicaes grficas animadas, onde vrios quadros so gerados em intervalos regulares de tempo, tem caractersticas bem
semelhantes s da mdia de vdeo, comentadas mais frente. Excetuando o
caso de imagens animadas, a natureza do trfego gerado pela mdia grfica
tambm de rajadas, com vazes mdias chegando a algumas dezenas de
megabits por segundo. Como em textos, o retardo mximo e a variao estatstica do retardo no causam problemas.
As imagens grficas podem estar no formato vetorial (quando so representadas pelas coordenadas dos segmentos de reta que as compem) ou
matricial (quando so representadas por uma matriz de pontos, com cada
componente da matriz carregando a informao de cor do ponto). Para imagens grficas no formato matricial e sem compresso, a taxa de erro de bit
pode ser bem maior que a taxa de erro de pacote, uma vez que, em geral, no
haver nenhum problema se um nico pixel de uma tela ficar azul em vez de
verde, por exemplo, mas o mesmo no' se pode dizer da perda de um pacote,
que poder, por exemplo, apagar um bloco da imagem na tela. Para imagens
no formato vetorial e imagens (vetorias ou matriciais) onde foram utilizadas

495

tcnicas de compresso ou compactao,3 no se pode tolerar erro nem em

um nico bit: Outro caso importante so as imagens que no so processadas
somente pelo olho humano, mas tambm pelo computador como, por
exemplo, imagens mdicas. Nesse caso, a perda de um nico bit pode ser
intolervel (imagine uma doena que se quer diagnosticar atravs de uma
imagem mdica).

18.2.3-udio
A mdia de udio tem caractersticas bem distintas das mencionadas
nos dois pargrafos anteriores, principalmente em aplicaes de tempo real
com interatividade. Comeando pela natureza do trfego gerado, a mdia de
udio se caracteriza por gerar um trfego contnuo com taxa constante.
Mesmo quando no sinal de voz realizada a compactao por deteco de
silncio, por exemplo, apesar do trfego para comunicao se caracterizar
agora corno um trfego de rajada [Gruber 82], o sinal deve ser reproduzido
no destino a uma taxa constante. O trfego gerado para comunicao dessa
mdia do tipo CBR, caso no seja empregada nenhuma tcnica de compactao ou compresso. Em caso contrrio, o trfego se caracteriza como VBR
e, s vezes, como no caso da voz com deteco de silncio, como um trfego
em rajadas.
No caso da utilizao de redes que apresentam variao estatstica do
retardo (como as redes comutadas por pacotes), tal variao deve ser compensada. Para entendermos melhor o problema, analisemos a Figura 18.1.

Surto de Voz
,-- Perodo de Silencio

- Silncio Introduzido

Na linha horizontal superior vemos os surtos de voz e de silncio sei

gerados na fonte a uma taxa constante. Os surtos de voz so divididos
pacotes, que so as unidades que transitaro no sistema de comunicao
surtos de silncio no so transmitidos). Uma vez que o pacote gerado,
imediatamente entregue para transmisso (veremos a seguir que o reta
mximo um requisito importante). Se os pacotes sofrerem retardos va,
veis, chegaro ao destino no mais preservando a continuidade, confor
mostra a linha horizontal inferior da figura, podendo gerar buracos de sil
cio dentro de um surto de voz, ou diminuir, e at mesmo eliminar, interva
de silncio, o que pode causar a perda da inteligibilidade da informao
destino. Alguma forma de compensao dessa variao estatstica do retai
deve ser realizada.4 A estratgia utilizada pelos algoritmos de compensa.
baseia-se fundamentalmente em assegurar urna reserva de pacotes antes
dar incio ao processo de reproduo, introduzindo um retardo inicial a ca
surto de voz. Aparentemente o problema estaria resolvido se escolhsserr
o retardo inicial bem grande, entretanto, o valor desse retardo est limita
pelo mximo retardo de transferncia (desde a gerao at a reprodurj
permitido para o sinal de voz, sem que haja perda da interatividade da c
municao [Bastos 92],

O retardo de transferncia mximo crtico, principalmente no caso

conversaes. Um dos motivos devido ao problema do eco [Handel 8
mas, mesmo nos casos em que o eco no cause problemas, ou que cancel
dores de eco sejam utilizados, o retardo de transferncia mximo pode s
crtico. Cada interlocutor, em uma conversao, normalmente espera o f
do discurso do outro para dar incio sua fala; se o retardo de transfernc
for muito grande a conversao comea a sentir um efeito de ruptura, p
dendo at se tornar invivel (se o leitor j utilizou a rede telefnica via s
tlite j deve ter sentido esse efeito). Um retardo de transferncia maior qi
200 ms j comea a incomodar os interlocutores [Bastos 92]. Os padres t
telefonia estipulam 40 ms para distncias continentais e 80 ms para distai
cias intercontinentais. bom frisarmos novamente que os problemas de n
tardo s so crticos em aplicaes que exigem comunicao interativa ei
tempo real. Nesse caso, como no podemos introduzir um retardo inici;
muito grande para compensarmos a variao estatstica do retardo, a con
pensao s poder ser efetiva se a variao estatstica apresentada for pe
quena.

Silncio Eliminado

Figura 18.1: Efeito da variao estatstica do retardo.

-' Tcnicas de compresso so aqueles algoritmos usados para a reduo da taxa gerada de dados
que causam perda de informao (normalmente irrelevante para a percepo do ser humano). t as
tcnicas de compactao no causam perdas de informao.

4
Note que a variao-estatstica do retardo no necessariamente introduzida s pela rede ii
comunicao, mas por todo o sistema. Ela introduzida desde a mterao da placa de udio com
sistema operacional da estao, passando peios protocolos de comunicao (sistema operacional de rede
at chegar ao sistema de transmisso. No destino, o caminho semelhante, mas em ordem inversa, tambi
pode introduzir aleatoriedade no retardo antes da reproduo. Assim, embora muitas vezes o sistema d
transmisso no introduza aleatoriedade no retardo, a compensao ainda deve ser feita.

496

49'.

Quanto s perdas, as taxas de erros de bits ou de pacotes podem ser

relativamente altas, devido ao alto grau de redundncia dos sinais de udio.
"O nico requisito que os pacotes no sejam muito grandes (no caso da voz,
menores que uma slaba), o que normalmente j satisfeito para no se perder tempo no empacotamento e assim aumentar o retardo de transferncia.
Perdas da ordem de 1% da informao so tolerveis 5 [Gopal 84, Gruber
85]. Uma vez que todas as redes de alta velocidade que sero discutidas utilizam fibra tica, onde a taxa de erro tpica de I O 9 ou menos (o que
constitui uma melhora em relao s redes de fio de cobre por um fator de
IO"3), a deteco de erros para a voz nessas redes pode ser tranquilamente
dispensada, em benefcio de um maior desempenho. Apesar da baixa taxa de
erros das redes em fibra tica, nas mdias grfica e de texto a deteco de erros ainda na maioria das vezes necessria, e em algumas vezes at a deteco e correo. Um cuidado adicional deve ser tomado quando, devido s
tcnicas de compresso utilizadas no udio, um erro pode se propagar para
outros bits. Nesse caso, o erro pode ser intolervel.
A vazo mdia gerada pela mdia de udio depende da qualidade do sinal, da codificao e compactao ou compresso utilizada. Para sinais de
voz, por exemplo, j apresentamos a tcnica PCM, que gera 64 Kbps se utilizarmos S bits para codificar cada amostra (tomada a cada 125 juseg, isto ,
8000 amostras por segundo). Existem outras tcnicas que permitem a reduo da taxa gerada por fontes de voz. Em particular, um esquema denominado Adaptive Diferential PCM (ADPCM) reduz essa taxa para 32 Kbps,
baseando-se no fato de que sucessivas amostras num sinal de voz esto bastante relacionadas; em outras palavras, a diferena entre os valores de duas
amostras consecutivas no muito grande. Se codificarmos, para cada
amostra, sua diferena para a amostra anterior, poderemos usar menos bits
para a codificao, reduzindo a taxa gerada. Sinais de udio de alta qualidade (qualidade de CD estreo, por exemplo) geram taxas bem superiores:
para CDs de udio, a taxa de 1,411 Mbps (codificao PCM, 16 bits por
amostra). .

18.2.4-Vdeo
Tal qual a mdia de udio, a mdia de vdeo se caracteriza por gerar um
trfego contnuo com taxa constante. Aqui tambm, mesmo quando no sinal
realizada alguma tcnica de compactao ou compresso e o trfego gerado para comunicao se caracterizar como um trfego com taxas variveis, o
sinal deve ser reproduzido no destino a uma taxa constante. Corno na mdia

de udio, o retardo de transferncia mximo tem grande importncia, e a

variao estatstica do retardo deve ser compensada. Normalmente, como o
vdeo vem acompanhado de udio, uma vez obedecido os requisitos de retardo deste, esto obedecidos os daquele.
Em vdeo, a taxa de erro de bit pode ser maior que a taxa de erro de
pacote, pelos mesmos motivos explicitados para as imagens grficas no formato matricial. No entanto, como a imagem no esttica e elevem ser gerados vrios quadros por segundo, a taxa de erro de pacote no to crtica.
Mesmo a taxa de erro de bit tolervel maior do que para imagens estticas
[Hehmann 90], Na verdade, a taxa de erro aceitvel no to simples. Quando utilizamos tcnicas de compresso, um erro pode se propagar. Dessa
forma, alguns quadros em que o erro no se propaga podem tolerar erros de
bits e de pacotes. Naqueles em que o erro se propaga, s vezes at um nico
erro de bit pode ser intolervel.
A vazo mdia gerada por uma fonte de vdeo varia com a qualidade
do sinal, e os algoritmos de codificao, compactao e compresso empregados. Sistemas de vdeo apresentam informaes corno uma sequncia de
quadros, sendo cada quadro composto de linhas. Um dos sistemas de distribuio de televiso mais utilizados usa 486 linhas por quadro a uma taxa de
30 quadros/segundo (padro M). Nesses sistemas, se uma linha contiver 720
pontos (pixels pictorial elements), sendo cada pixel codificado por 24
bits (como, por exemplo, no padro RGB 8-8-8) obteremos uma taxa de:
525 linhas x 30 quadros/seg x 720 pixels x 24 bits/pixel = 252 Mbps.
As referncias [Hehmann 90, Gruber 82, Soares 92] apresentam vrias caractersticas das diversas mdias para diferentes aplicaes e tcnicas de
compresso e compactao utilizadas.
O que vimos nesta seo foi um grande nmero de combinaes de parmetros que o sistema de comunicao deve satisfazer de forma a tornar
possveis as aplicaes multimdia, como as mencionadas. Mostramos apenas alguns requisitos, sem nem mencionarmos ainda as diferenas no que
concerne ao gerenciamento de buffers, controle de fluxo, gerenciamento de
conexes; e sem nem mesmo mencionarmos direes para a otimizao de
compromissos no atendimento dos vrios requisitos de diferentes aplicaes.
Pelo exposto, fica claro que um desafio para a construo de qualquer sistema de comunicao (qualquer conjunto de protocolos) fornecer mecanismos para dar suporte a essas diversas caractersticas de trfego, utilizando o mesmo meio fsico de comunicao. Esses mecanismos devem permitir
negociar, entre outras coisas:

O mximo retardo de transferncia. .

Na realidade, a percentagem de perda depende do tamanho do surto de voz e se a perda ocorre

no incio ou no meio do surto. Na referncia [Gruber 85] podemos encontrar uma discusso sobre o
assunto.

498

499

A variao mxima de retardo para o atendimento dos requisitos de

especificao de udio e vdeo iscronos.

Os mecanismos para compensao da variao estatstica do retardo.

O valor da vazo necessria para a abertura de uma conexo.

As taxas de erros de bit e pacote tolerveis (separadamente negociadas).

Para todos os tipos de erro, a especificao de qual estratgia a ser

adotada: deteco, deteco e correo, ou nada.

Os mecanismos para controle de fluxo e congestionamento.

As condies para o fechamento de uma conexo, caso no seja

possvel atender a todos os requisitos.

18.3 - Evoluo das Redes de Conrunicao

Redes com integrao de servios nasceram tanto a partir da evoluo
das redes pblicas de telefonia como da evoluo das redes de transporte de
dados como as redes locais, metropolitanas e redes pblicas de pacotes.
O surgimento da telefonia no incio do sculo XX deu origem a uma
rede de comunicao que atingiu penetrao mundial. At meados dos'anos
60, a rede telefnica era totalmente baseada em tecnologia analgica. Tanto
nas linhas de assinantes, como nas centrais e entroncamentos, trafegavam
sinais analgicos. Conforme j apresentamos no Captulo 3, para se transmitir dados pela rede telefnica analgica, os sinais digitais gerados por
computadores ou terminais eram convertidos em sinais analgicos atravs de
processos de modulao. Utilizava-se comutao de circuitos, inicialmente
com chaveamento espacial e, posteriormente com chaveamento de frequncias.
As diferenas de caracterstica dos trfegos gerados pelas fontes de voz
e dados textuais, apresentadas na seo 18.1, levam a uma grande ineficincia deste ltimo tipo quando transmitido numa rede comutada por circuitos.
Nesse contexto surgiram as redes de comunicao de dados. Essas redes
empregam, tipicamente, tcnicas de comutao de pacotes para evitar os
problemas da m utilizao dos recursos de comunicao, originados pela
transmisso de trfego em rajadas em redes com comutao de circuitos.
O surgimento das redes locais e metropolitanas de computadores e redes pblicas de comutao de pacotes como a RENPAC (Rede Nacional de
Comutao de Pacotes) que permitiam a interconexo de equipamentos
geograficamente dipersos criaram uma infra-estutura de transmisso de
500

dados que, gradativamente, comeou a ser interligada. Outras redes de interligao em nvel internacional corno a Internet cresceram, aumentando
ainda mais a complexidade da infra-estrutura de comunicao de dados textuais. No obstante, a rede telefnica sofreu um processo de modificao,
gerado principalmente pela adoo da tecnologia digital, que permitiu maior
possibilidade de integrao.
J em meados dos anos 60, a rede telefnica presenciaria a introduo
de circuitos digitais nos entroncamentos entre as centrais, que trariam uma
economia nos circuitos e melhoras de servio, muito embora obrigassem a
utilizao de conversores analgico/digital nas extremidades das linhas. A
multiplexao por diviso do tempo passaria a ser utilizada nas linhas entre
as centrais com comutao de circuitos atravs de chaveamento no tempo e
esquemas de hierarquias de TDM sncrono como Tl e El. Dentre os formatos definidos para esses sinais bsicos j se previam opes para a utilizao
de canais para dados e voz simultaneamente (como apresentamos na Seo
3.5.6). Nos anos 80, a utilizao de centrais digitais comeou a tornar todo o
sistema digital, exceto pelas linhas de assinantes.
Por fim, o ltimo estgio na evoluo da infra-estrutura da rede telefnica veio com a introduo das Redes Digitais de Servios Integrados de
Faixa Estreita (RDSI-FE ou Narrowband Integrated Services Digital Networks N-ISDN). Nessas redes, os sinais passam a ser digitais de um extremo a outro da comunicao. Na poca do surgimento da RDSi-FE, a
preocupao era permitir a integrao de servios voclicos e de dados textuais, sendo a infra-estrutura da rede telefnica considerada a base para a
implantao dessa rede. Porm, a definio de novos servios veio evidenciar a necessidade de estender a infra-estrutura da RDSI-FE de forma a
acomodar os novos requisitos. Ainda assim, a RDSI-FE (que trataremos com
maiores detalhes na Seo 18.5) traz consigo toda uma carga herdada da
evoluo da rede telefnica.

18.4 - Integrao de Servios em Redes Locais

e Metropolitanas
A evoluo da tecnologia das redes de comunicao de dados veio a
permitir a integrao de servios em ambientes locais e metropolitanos com
a introduo de redes de alta velocidade como, por exemplo, DQDB e
FDDI. A existncia de diferentes classes de servio nessas redes permite
uma distribuio do trfego gerado pelas diversas mdias, de forma a atender
aos seus requisitos de comunicao e melhor utilizao do sistema de comunicao.

501

18.4.1 - Alocao de Servios em Redes FDDI

Conforme, vimos, o padro FDDI ofereceu, inicialmente, duas classes
de servio: sncrona e assncrona.
A classe sncrona, por oferecer uma banda passante garantida, deve ser
a preferida para a transmisso de dados contnuos. Mesmo para voz comprimida (trfego em rajada), esse tipo de classe de servio pode ter de ser o
escolhido, para garantir a banda passante no momento da transmisso de um
surto de voz, alm de garantir o retardo mximo de transferncia prprio da
classe sncrona. A alocao da banda passante deve ser realizada com base
na taxa de pico. Devemos notar que, no caso de estarmos dentro de um intervalo de silncio, a banda passante no utilizada poder ser aproveitada
para o trfego assncrono. Parece mesmo que esse o tipo de servio ideal
para a voz compactada se estivermos dispostos a pagar o preo de realizarmos, em mais alto nvel, a compensao da variao estatstica de retardo do
sinal, uma vez que a classe sncrona no garante um retardo determinstico.
A negociao do TTRT da rede deve levar em conta que precisamos manter,
para a voz, um retardo menor que um certo limite. O TTRT deve ser negociado a, no mximo, metade desse limite.
Para sinais de vdeo e de udio comprimido ou compactado, e qualquer
outra aplicao grfica ou de texto em tempo real, a classe sncrona dever
tambm ser a mais adequada, devendo-se negociar a banda passante pela
taxa de pico, pelos mesmos motivos alegados para o trfego de voz. Nesses
casos, como na voz, a banda passante no utilizada, nos perodos onde a taxa
menor que a taxa de pico, poder ser aproveitada para o trfego assncrono. Para os sinais que precisam manter a continuidade (vdeo e udio),
devemos realizar a compensao da variao estatstica do retardo em algum
nvel superior de protocolo. Tambm para os sinais em tempo real com taxas
variveis, a classe sncrona parece ser o servio ideal.
Contudo, devemos notar que, se alocarmos todas as mdias mencionadas para a classe sncrona, elas no podero compartilhar entre si a banda
passante no utilizada, a qual estar disponvel apenas para trfegos alocados classe assncrona. No poderemos usar a teoria dos grandes nmeros a
nosso favor. Isso significa que o nmero de conexes que podem ser abertas
deve ser menor do que se pudssemos transmitir tudo em classe assncrona,
reservando a classe sncrona s para o trfego contnuo com taxa constante.
Note que a palavra pudssemos est salientada, pois sempre temos contra
ns, quando optamos pela utilizao da classe assncrona, a limitao da no
garantia do retardo de transferncia e da banda passante. Muitas vezes, com
pouca variao estatstica, podemos garantir a banda passante mdia e o retardo mdio de transferncia menor eme o mximo permitido, s transmitindo na classe assncrona, de forma que as perdas causadas no sinal pela
502

violao dos limites podem no ser relevantes. Como vimos, voz, udio e
vdeo, por exemplo, admitem certo percentual de perdas. Nesses casos, a
classe assncrona parece a mais adequada, pois nos permitir um maior nmero de conexes. A prioridade do trfego desses sinais sobre outros trfegos que no requerem caractersticas de tempo real poderia ser atingida
atravs da utilizao das classes de prioridade. Reparemos assim que a escolha no to bvia nos casos de sinais de udio e vdeo compactados ou
comprimidos, e pode exigir bastante clculo ou simulao.
No caso de mdias com trfego de rajadas sem restries de tempo, parece bvio que a melhor escolha recaia sobre a classe de servios assncrona.
No caso de sinais contnuos com taxa constante, parece tambm bvio
que a escolha recaia na classe sncrona, embora tenhamos que realizar sempre a compensao da variao estatstica do retardo. Nesse caso, a banda
passante negociada ser sempre totalmente utilizada no causando perda de
eficincia na rede. Para que pudssemos ter uma banda passante garantida e
um retardo determinstico, precisaramos de um outro tipo de servio, chamado iscrono, que foi incorporado na proposta FDDI II. Conforme vimos
no Captulo 9, o servio iscrono oferece um retardo de transferncia constante e ideal para a emulao da comutao de circuito. Essa caracterstica
torna esse servio o mais indicado para a transmisso de dados contnuos a
taxa constante. No entanto, devemos observar que a alocao de uma WBC
FDDI II pode estar roubando desempenho da rede caso ela no esteja sendo
utilizada, ou sendo parcialmente utilizada, pois no possvel compartilhar
uma WBC j alocada para um servio iscrono com outros servios no iscronos. A unidade de compartilhamento da rede uma WBC e no uma
subdiviso sua.
Devemos notar tambm um outro problema do chaveamento de circuitos, imagine que estamos com toda a WBC ocupada e que a seguir seis canais de 64 Kbps so liberados, no byte 3, 5, 23, 44, 54 e 66, por exemplo.
Suponha agora que exista uma requisio para um canal de 384 Mbps. Esse
canal no poderia ser alocado, pois no existem seis bytes contguos na
WBC, embora no contguos existam. Isto novamente vai afetar o desempenho da rede. O problema poderia ser resolvido, ou aceitando canais com bits
no contguos, ou fazendo uma rearrumao da WBC. Neste ltimo caso, a
cada rearrumao, a caracterstica desejada de retardo determinstico seria
perdida. A aceitao de canais com bits no contguos exigiria uma manuteno de mapas de canais extremamente complexa (basta repararmos que
temos 12.288 bits para gerenciar). Por essas razes, a FDDI II preferiu excluir a possibilidade de canais com bits ou bytes no contguos, custa de
perda de desempenho.
Para mdias tais como udio e vdeo, onde o retardo de transmisso
importante e perdas so suportveis, o servio iscrono vem abrir novas
503

perspectivas. Em primeiro lugar, no exige a perda de tempo na montagem

do pacote a ser transmitido o tempo de empacotamento que deve ser
computado no retardo sofrido pelo sinal. Em segundo lugar, o desempenho
da rede no diminui com a transmisso de bits adicionais desnecessrios,
como o cabealho e bits para deteco de erro. A identificao dos participantes da comunicao feita pela identificao da conexo. Repare que
estamos assim advogando a favor de um servio com conexo e sem controle de erros. Entretanto, a realizao desse servio em cima de um canal comutado por circuitos tem as mesmas desvantagens que os servios sncronos
(mencionadas anteriormente) para trfegos em rajada (como voz com deteco de silncio) ou trfegos sem interrupo mas com taxas variveis (como
vdeo comprimido), para os quais a alocao dos canais deveria ser feita utilizando a taxa de pico. A banda passante no utilizada dos canais no poderia ser utilizada pelos trfegos no iscronos, ou mesmo outros canais iscronos.

18.4.2 - Alocao de Servios em Redes DQDB

A justificativa para a alocao das diversas mdias aos servios oferecidos pela sub-rede DQDB segue as mesmas consideraes discutidas para a
rede FDDI, onde podemos estabelecer uma analogia entre os servios iscronos das duas redes, e o servio assncrono da FDDI e o servio sem conexo da DQDB.
Quanto aos servios assncronos, a maior diferena das duas redes est
apenas no desempenho em altas velocidades, com vantagens para a rede
DQDB, conforme mencionado no Captulo 9. Por outro lado, esse desempenho pode ser mais do que compensado pelo grande overhead do protocolo
MAC DQDB, dependendo sempre dos fatores distncia e velocidade. Em
velocidades muito altas a sub-rede DQDB apresenta, tambm, problemas de
equidade (fairness).
Uma diferena entre os servios iscronos nas duas redes a maior liberdade para alocao de canais de diversas taxas, no estando a sub-rede
DQDB limitada apenas aos canais FDDI. Uma outra diferena vem do fato
da FDDI II garantir um retardo determinstico, ao passo que a DQDB oferece um servio onde a variao mxima de retardo, que pode ser suportada,
um parmetro do servio, variao esta que compensada pela funo de
convergncia iscrona.
Um novo servio oferecido pela DQDB: o servio (assncrono) orientado conexo. Na realidade a sub-rede suporta vrios tipos de servios orientados conexo. Um deles foi discutido dentro da apresentao do Captulo 9: servio orientado conexo usando vrios procedimentos comuns ao
504

servio sem conexo, e estrutura parecida para os quadros trocados. Esse

servio emula um servio de circuito virtual do modelo OSI para troca de
dados confiveis e com controle de fluxo entre entidades pares. Tal servio
no garante um retardo determinstico e nem uma banda passante, sendo
portanto til para aplicaes que no possuam requisitos de tempo real crtico e que necessitam confiablidade dos dados como, por exemplo, transferncia eletrnica de fundos.
Um outro servio orientado conexo, bem interessante, seria atravs
de segmentos QA, sem qualquer controle de erro de segmento, com a conexo identificada apenas pelo VCI. Se houver mecanismos de controle de
congestionamento na rede de forma a garantir a abertura e manuteno desses servios com uma banda passante garantida, retardo mximo de transferncia limitado e aceitvel, e pequena variao estatstica do retardo, teramos assim um timo servio para trfego em rajada (por exemplo, voz com
deteco de silncio) ou trfego ininterrupto com taxas variveis (como vdeo com compresso). O no controle de erro no afetaria a qualidade do
servio, devido redundncia prpria dos dados transmitidos, aumentando a
utilizao efetiva da sub-rede como um todo (menor overhead). O fato do
servio no ser iscrono pode ser compensado com esquemas para compensao da variao estatstica do retardo. No estabelecimento da conexo, a
mais alto nvel, seriam estabelecidos os parmetros para o retardo mximo e
variao do retardo mximo tolerado, parmetros que seriam utilizados pelos algoritmos de controle de congestionamento. Tambm seriam estabelecidos os parmetros para a compensao da variao estatstica do retardo,
como a escolha do algoritmo, do retardo inicial etc. A realizao da compensao da variao estatstica dos retardos poderia ser realizada na prpria
funo de convergncia orientada conexo ou, como opo do servio, no
ser realizada, deixando a compensao para um nvel mais alto, o que seria
interessante quando precisssemos compensar tambm retardos introduzidos
pelo prprio sistema de recepo e no apenas retardos do sistema de
transmisso. Esse servio, no entanto, s encontraremos nas redes ATM,

18.5 - Evoluo das Redes Pblicas

de Comutao de Pacotes
Como viemos sempre enfatizando, a evoluo dos sistemas de comunicao criou infra-estruturas separadas e especializadas para trfegos de voz
e dados textuais. Graas ao desenvolvimento da tecnologia digital, essas redes puderam paulatinamente acomodar outros servios a despeito das'limitaes que se apresentavam. Apesar desse desenvolvimento, a integrao de
servios, principalmente em redes pblicas, ainda uma tarefa complexa. A
RDSI-FE, como veremos, prope a integrao no acesso do usurio rede
505

mas, pelo menos a curto prazo, as infra-estruturas das redes existentes continuaro a funcionar separadamente, atendendo ao tipo de trfego aos quais
so mais apropriados.

18.5.1 - Algoritmos para Compensao das Variaes

Estatsticas do Retardo

A realizao de uma rede nica integrada deve passar necessariamente

pela definio de uma tecnologia de transferncia diferente das convencionais formas de comutao de circuitos ou de pacotes. As redes de comutao
de circuitos tradicionais, por exemplo, no permitem a utilizao eficiente
dos meios de comunicao quando as submetemos a trfegos com taxas variveis ou em rajadas, bloqueando novas conexes mesmo com um baixo
aproveitamento das linhas.

A compensao da variao estatstica do retardo necessria em

muitas aplicaes para manter contnuo o fluxo de dados no destino. Os algoritmos de compensao procuram formar uma reserva de pacotes, retardando o incio da reproduo do primeiro pacote, a fim de garantir a continuidade. Dois problemas devem ser resolvidos pelos algoritmos: o que fazer
quando houver um estouro no buffer de compensao de retardo (buffer
overflow) e, o que fazer quando no h amostras do sinal contnuo no buffer
e estas devem ser entregues pelo algoritmo (buffer underflow). Cada algoritmo resolve o problema de maneira diferente, priorizando: o retardo mximo de transferncia, a menor gerao de buracos (gaps), a menor perda de
amostras do sinal, ou tentando otimizar todos os fatores. A escolha dos algoritmos depende da aplicao, tornando por isso mesmo a negociao dos
parmetros e dos prprios algoritmos um ponto importante na abertura de
uma comunicao.

As redes de pacotes tradicionais, por outro lado, permitem melhor utilizao dos meios de transmisso, mas apresentam novas dificuldades quando submetidas a tfegos contnuos. Nessas redes difcil garantir vazo
constante e retardo mximo, caractersticas importantes para esse tipo de
trfego. Os requisitos impostos por trfegos contnuos do tipo voz ou udio
obrigam a utilizao de tcnicas que possibilitem:
Retardo mximo de transferncia assegurado.
Compensao das variaes aleatrias do retardo de pacotes de um
mesmo surto de voz ou trecho de udio ou vdeo.
Redes pblicas de comutao de pacotes ainda apresentam outro obstculo: o grande volume de processamento efetuado pelos ns de comutao6
limita a velocidade de transmisso nessas redes, muitas vezes implicando em
atrasos acima do tolervel para determinados tipos de trfego.
Novas tecnologias surgiram para tentar solucionar os problemas das
redes de comutao de pacotes, tornando-as viveis para utilizao numa
rede com integrao de servios e, ao mesmo tempo, oferecendo os benefcios da melhor utilizao dos recursos, que caracterstica dessas redes.
Algoritmos de compensao das variaes estatsticas de retardo podem ser empregados para contornar os problemas de retardos aleatrios. Algoritmos de controle de trfego e tcnicas de comutao rpida de pacotes
como frame relay e tecnologia ATM podem ser utilizadas para aumentar a
velocidade nessas redes, baseando-se na reduo do processamento efetuado
pelos ns de comutao.

As referncias [Soares 91, Bastos 92, Soares 92, Gopal 84, Adams 85,
e Faria 92] discutem com algum detalhe a anlise de desempenho de vrios
algoritmos para compensao da variao estatstica de retardo, com o objetivo de manter a continuidade em sinais de voz. Nos prximos pargrafos
vamos apresentar os vrios algoritmos estudados nas referncias citadas,
sem entrarmos em mtiitos detalhes, que podem ser encontrados nas referidas
fontes. Embora apresentados para sinais de voz, os algoritmos podem ser
facilmente estendidos para qualquer sinal contnuo (com taxas constante ou
varivel). Como mais um ponto de diferenciao das vrias mdias, interessante notarmos que no caso de voz em tempo real, ao contrrio de texto,
quando temos de descartar parte da informao por estouro de buffer, devemos descartar a mais antiga, pois a que tem maior probabilidade de chegar
com um retardo alm do mximo permitido. Em texto, normalmente, descartamos a mais recente.
Os algoritmos selecionados no exigem que os pacotes de voz carreguem informao sobre o retardo que sofreram na transmisso, no exigindo
sincronismo do sistema de comunicao. Resultados de simulao [Suda 83]
mostram que no h diferena substancial no desempenho desses algoritmos, comparados com os que exigem tal sincronismo. Com isso, tomam-se,
obviamente, mais atraentes.
18.5.1.1 -Algoritmo 1

7
Cada n recebe pacotes, armazena-os, processa algoritmos de deteco e controle de erros e de
fluxo nos enlaces a ele conectado, toma decises de roteamento, e espera que o enlace de destino esteja
livre para ento encaminhar o pacote ao prximo n.

506

O primeiro algoritmo que vamos apresentar foi desenvolvido pelo MIT

[Gopal 84]. O algoritmo retarda a reproduo do primeiro pacote de cada
507

surto de voz de um tempo D. Os demais pacotes do surto de voz s so reproduzidos caso o retardo sofrido por eles no sistema de comunicao no
exceda o retardo total (retardo no sistema de comunicao somado ao retardo inicial D) sofrido pelo primeiro pacote do surto. A Figura 18.2 ilustra o
procedimento. Na figura, as setas, abaixo dos pacotes indicam a chegada do
respectivo pacote, que identificado por um nmero. As setas acima dos pacotes assinalam o incio da reproduo do respectivo pacote. O nmero de
um pacote entre parnteses indica que este no foi reproduzido por no estar
disponvel no momento correto.

Figura 18.2: Algoritmo do MIT.

Como em todos os algoritmos que apresentaremos, o algoritmo encara
o retardo inicial D como um parmetro que lhe fornecido por um agente
externo, de acordo com as necessidades do ambiente em que est baseada a
comunicao de voz. O algoritmo bem sensvel escolha desse parmetro,
cujo valor deve ser tal que o retardo absoluto do primeiro pacote do surto
no exceda o retardo mximo permitido. Conhecer o retardo sofrido no sistema de comunicao pelo primeiro pacote de cada surto seria muito til
para determinarmos o retardo inicial mais adequado. No entanto, essa informao exige que as estaes transmissora e receptora trabalhem sincronizadas. O algoritmo no exige sincronismo do sistema de comunicao,
mesmo porque implement-lo, quase sempre, uma soluo muito onerosa.
Escolher D muito grande pode acarretar problemas de retardo absoluto, o
que fatal para a comunicao interativa em tempo real. Optar por um retardo iniciai pequeno pode, por outro lado, levar perda de pacotes cujo retardo absoluto esteja dentro dos padres aceitveis.
18.5.1.2-Algoritmo 2

O segundo algoritmo surgiu no nstitute of Information Science da

USC [Gopal 84]. Pelo algoritmo, a reproduo do primeiro pacote de cada
508

surto tambm retardada de um tempo D. Os outros pacotes do surto de

so reproduzidos respeitando a ordem de chegada, independentementi
retardo sofrido na rede. Devemos notar que esse algoritmo d mais im
tncia ao contedo da informao de voz transmitida do que ao retardo a
luto sofrido pela mesma. Apesar da sensibilidade desse algoritmo ao ret,
absoluto, dependendo das caractersticas temporais da rede de transmis
ele pode se. apresentar eficiente e atraente, dada sua simplicidade de irr
mentao. A Figura 18.3 ilustra o procedimento.

Figura 18. 3: Algoritmo da USC.

Na proposta de Naylor para os algoritmos 1 e 2, a escolha do valoi

D deve ser feita baseada no seguinte algoritmo:
1. Guarda-se a diferena entre os retardos dos pacotes do surto ante
ou, para que a escolha no seja to pessimista, a diferena entrt
retardos de um subconjunto dos pacotes do surto anterior.
2. O valor de D escolhido a mxima diferena entre os retardos ,
urna percentagem desse valor.

Tanto o algoritmo 1 quanto o 2 podem levar a urna perda de interat

dade se o primeiro pacote do surto chegar com um retardo muito grar
Portanto, para aplicaes que exigem interatividade, estes algoritmos s
adequados quando aplicados em redes que apresentam uma pequena va
o estatstica do retardo.
18.5.1.3 - Algoritmo 3

O terceiro algoritmo foi empregado no projeto UNIVERSE desen\

vido no Laboratrio de Computao da Universidade de Cambridge [Ada
85]. Ele reproduz os pacotes seguindo o mesmo critrio empregado pelo
goritmo anterior, com a diferena do ajuste dinmico do retardo inicial
Durante a reproduo utilizado o conceito de reserva, que compreendi

nmero de amostras de voz na fila de reproduo. O dficit (oti reserva negativa) indica a quantidade de gaps introduzidos no fluxo da voz desde a reproduo do ltimo pacote. Os pacotes recebem nmeros sequenciais medida que so gerados. Os pacotes de silncio, embora no transmitidos, tambm recebem um nmero sequencial. Sempre que uma amostra reproduzida, o valor armazenado na reserva decrementado. Caso ocorra uma falta
de amostras de voz no decorrer do processo de reproduo, a reserva assume
valores negativos, uma vez que continua sendo decrementada na mesma taxa
da reproduo. Considerando a reserva positiva e que todos os pacotes chegam com seus nmeros na sequncia correta, a cada chegada de um novo
pacote, o nmero de amostras na reserva, /;,., armazenado na fila de reserva
para ser utilizado pelo mecanismo de ajuste. O pacote recm-chegado entra,
nesse caso, na fila de reproduo. Um pacote que, ao chegar, tenha um nmero de sequncia indicando que b pacotes esto faltando, pode encontrar a
reserva em duas situaes distintas. Caso encontre a reserva positiva, o pacote vai para a fila de reproduo e o valor a ser armazenado na fila de reserva nr+Sxb, onde S o nmero de amostras de voz contidas em um pacote. Devemos notar, que este , na verdade, o nmero virtual de amostras presentes na fila de reproduo quando o novo pacote chega. Aps a reproduo de todos os pacotes na fila de reproduo, inserido um retardo na reproduo do novo pacote correspondendo ao nmero de amostras virtuais,
ou seja, Sxb. Encontrando a reserva negativa, a quantidade Sxb deve ser somada a nr Se o valor resultante positivo, o pacote armazenado na fila de
reserva, sendo sua reproduo retardada do valor excedente de Sxb em relao ao dficit acumulado. Se o valor negativo, fica caracterizado uro dficit genuno, a reproduo do pacote comea imediatamente e o valor do
dficit armazenado na fila de dficit. Um dficit genuno tambm pode
ocorrer quando um pacote na sequncia correta chega, mas encontra a reserva j negativa. Neste ltimo caso, a reproduo do pacote comea imediatamente e o valor do dficit armazenado na fila de dficit, como no caso
anterior.
O mecanismo de ajuste acionado a intervalos regulares, que experimentalmente variam de 5 a 20 segundos. O mecanismo examina as filas de
reserva e dficit. Caso hajam dficits, ambas as filas so limpas, e o valor do
ltimo dficit fica registrado. Encontrando a fila de dficits vazia, a fila de
reserva deve ser examinada. Se o tamanho da fila de reservas estatisticamente insignificante, nenhuma ao tomada, esperando que a fila de reserva cresa. O critrio utilizado para determinar a significncia estatstica o
tamanho da fila de reserva que deve ser no mnimo igual ao nmero de pacotes que seriam reproduzidos, caso no tenha ocorrido nenhum dficit ou
falta de pacotes durante o intervalo em que o mecanismo de ajuste opera.
Caso a fila esteja suficientemente longa, o menor valor armazenado selecionado. O mecanismo de ajuste vai causar um adiantamento no processo de
510

reproduo equivalente metade desse tempo. Esse adiantamento ser implementado encurtando-se o prximo intervalo de silncio desse valor.
18,5.1.4-Algoritmo 4

O quarto algoritmo foi desenvolvido no Laboratrio de Redes de Computadores da PUC-Rio [Soares 91], Sua principal caracterstica fornecer
um limite superior para o retardo de cada pacote na fila de espera para reproduo. Nenhum dos trs algoritmos apresentados anteriormente fazem
alguma espcie de ajuste descartando trechos de pacotes de voz. No primeiro algoritmo foram descartados pacotes inteiros na tentativa de preservar o
restante do surto de voz dos efeitos de retardos acumulados. No terceiro algoritmo, o ajuste da reproduo feito a cada novo surto de voz, com a correo do retardo inicial D.
Esse quarto algoritmo tambm retarda a reproduo do primeiro pacote de cada surto de voz de um tempo D. Se, ao chegar, um pacote no encontrar nenhuma amostra sendo reproduzida, ele entra imediatamente em reproduo. Se, ao chegar, o pacote encontrar amostras para reproduo, de forma
que seu retardo ser maior do que duas vezes D, ento amostras de voz so
descartadas (as mais antigas) at que o retardo a ele imputado seja duas vezes D. Em caso contrrio, o pacote colocado na fila para reproduo.
Esse quarto algoritmo tambm pode ser acrescido de um ajuste dinmico para D, a cada surto de voz. A referncia [Faria 92] apresenta o procedimento de ajuste, bem como detalhes sobre a implementao do algoritmo
e seu desempenho.

18.5.2 - Comutao Rpida de Pacotes

O objetivo do aumento de velocidade em redes com comutao de pacotes alcanado diminuindo-se, ao mximo, o processamento nos ns de
comutao da rede.
No nvel de enlace de redes de comutao de pacotes tradicionais,
como as baseadas em X.25, feito todo um processamento de controle de
erros e fluxo, que envolve o envio de mensagens de reconhecimento e
eventual retransmisso de quadros com erro. Alm disso, cada n de comutao processa todos os pacotes at o nvel de rede, de forma a tomar as atitudes cabveis. Mesmo em redes com -conexo com circuito virtual, onde todas as decises de roteamento so tomadas no momento do estabelecimento
da conexo, todos os pacotes so levados at o nvel trs, pois pacotes com
informao de sinalizao (que s podem ser interpretados nesse nvel) circulam pelos mesmos circuitos virtuais que as informaes dos usurios. To511

dos esses procedimentos exigem grande processamento, causando uma diminuio de velocidade nas redes.

implementao da rede de comunicao pode apresentar diferentes nveii

integrao. Exemplos so:

As redes de comutao rpida de pacotes utilizam conexes com circuitos virtuais para acelerar o encaminhamento das mensagens. Essas redes
procuram efetuar, de forma geral, as seguintes simplificaes no processamento efetuado pelos ns de comutao:

A utilizao das vrias redes existentes, sendo apenas o acesso

usurio integrado.

Eliminao de reconhecimento e retransmisso de quadros no nvel

de enlace.
Encaminhamento de pacotes de informao sem processamento
adicional do nvel de rede, atravs da separao dos canais de informao dos canais de sinalizao.
A eliminao do controle de erros e de fluxo nos ns internos da rede
significa que essas funes so deixadas para controles fim a fim.
Uma vez estabelecida uma conexo virtual, pacotes de informao podem ser encaminhados pelos ns da rede com o mnimo de processamento
no nvel 2 e sem nenhum processamento no nvel 3 (devido ao estabelecimento de rotas no momento da conexo e presena de circuitos virtuais
separados para informao e sinalizao).
As tcnicas de comutao rpida de pacotes podem ser baseadas na
transferncia de unidades de informao de tamanho varivel {frame relay)
ou de tamanho fixo (cell relay). A padronizao para redes frame relay surgiu com as recomendaes 1.233 do ITU-T (Frame mode bearer services) e
Q.922 (ISDN Data Link Layer Specification for Frame Mode Bearer Services). Redes com transferncia de clulas so a base para a implantao da
RDSI-FL atravs da tecnologia de modo de transferncia assncrono, que veremos na seo 18.7.

18.6-RDSI-FE
A principal ideia por trs de uma RDSI, seja de Faixa Estreita ou Faixa
Larga, dar suporte a uma vasta gama de servios, atravs de um conjunto
de interfaces de acesso nicas e padronizadas. Tal rede deve permitir a
transmisso de trfegos que necessitem de servios com caractersticas encontradas tanto nas redes de comutao de circuitos quanto nas redes de
comutao de pacotes, e ainda permitir a definio e acomodao adequada
de novos servios de entrega.
Uma das principais caractersticas da RDSI-FE o acesso integrado do
usurio aos vrios servios. A despeito do acesso do usurio ser integrado, a

512

A implantao de uma rede onde cada n de comutao , na vei

de, composto de vrios ns de comutao (ou rede de ns), um r
cada tipo de trfego, obtendo integrao apenas no acesso e
transporte nas linhas entre os ns.
A implantao de uma rede nica com recursos integrados, caso
que a integrao total.
A curto prazo, a rede telefnica considerada o principal recurso p
a implantao da RDSI-FE, a partir da digitalizao da rede at as Unhas
assinantes. Mesmo que, a longo prazo, a RDSI-FE possa ser superada p
RDSI-FL, ainda assim, a concepo de uma rede digital de servios intet;
dos permanece a mesma, apesar das diferenas tecnolgicas no que tang
infra-estrutura de acesso e transmisso.

Uma das maiores foras para a implementao de redes digitais

servios integrados em todo o mundo a existncia de padres aceitos
ternacionalmente. Assim como as redes telefnicas atuais, a RDSI no futi
estar interligada formando uma grande rede universal. Nesse contex
onde a compatibilidade entre equipamentos de vrios fabricantes um fa
fundamental, padres nicos tornam-se elementos-chave. O rgo de
dronizao mais importante na definio da RDSI o ITU-T. O termo ISI
(Integrated Services Digital Network) foi cunhado inicialmente pelo gru
de estudo XI do CCITT (atua] ITU-T), que adicionou a palavra Service,
ento popular IDN visando enfatizar o aspecto da integrao dos servi<
nas redes digitais. O ponto importante no era a digitalizao da rede, n
sim o impacto da utilizao da tecnologia digitai nas linhas dos assinantes
que possibilitava o oferecimento de uma. variedade de servios ao usu
atravs de uma nica linha. Pela primeira vez, em 1972, o ITU-T emitiu, <
sua recomendao G.702, a seguinte definio para essa nova rede:
Uma rede digital integrada, na qual os mesmos comutadores e
caminhos digitais so usados para os diferentes servios, por
exemplo, telefonia e dados.
Nos perodos de estudo posteriores, o CCITT continuou a elaborar
especificaes sobre a RDSI, que culminaram, em 1984, com as recomenc
es da Srie I do Livro Vermelho. Surgiu a seguinte definio de RDSI:
Uma rede, em geral evoluda da rede digital integrada de telefonia,
que proporciona conectividade digital fim afim, para suportar uma
variedade de servios vocais e no vocais, aos quais os usurios
5

tm acesso atravs de um conjunto limitado de interfaces

zadas.

padroni-

Durante todo. o perodo de estudos sobre a RDSI, o ITU-T manteve cooperao estreita com outros rgos de padronizao internacional, como a
ISO em relao ao Modelo OSI. Alm disso, operou e continua operando
com forte interao com grupos de padronizao regionais tais como: Tl da
ANSI (EUA), ETSI (Europa) e TCC (Japo).

18.6.1 - Configurao de Referncia

Como j mencionamos, uma das principais caractersticas da RDSI o
acesso integrado aos vrios servios oferecidos. Para caracterizar e definir
os tipos de acesso e de servios que usurios ou aplicaes podem obter, o
ITU-T se utiliza da configurao de referncia descrita na recomendao
1.411, apresentada na Figura 18.4, de forma a detalhar e classificar os elementos presentes no ambiente do usurio. Os blocos da figura representam
grupamentos funcionais, utilizados para delinear as diferentes funes dos
equipamentos encontrados no ambiente do usurio. Entre grupos funcionais,
definem-se pontos de referncia, que determinam as diferentes interfaces
aos diversos tipos de servios. A implementao do ambiente do usurio poder assumir diferentes formas, de acordo com as funes exercidas pelos
equipamentos. Essas funes podero ser uma combinao de funes definidas por um ou mais grupos funcionais.

urna via digital de acesso, com uma determinada capacidade e estrutura que
veremos mais frente.
A tecnologia de transmisso, multiplexao e comutao utilizada para
transferncia de informao denominada pelo ITU-T como o Modo de
Transferncia. Na RDSI-FE, define-se a utilizao do Modo de Transferncia Sncrono (STM Synchronous Transfer Mode), no qual as linhas de
transmisso so compostas de canais TDM sncronos. No caso do acesso a
RDSI-FE, o NTl (Network Termination l) transmite um sinal multiplexado
no tempo pela linha do assinante. Ao NTl cabem as funes de terminao
eltrica e mecnica na fronteira com a rede, correspondendo s funes do
nvel 1 do modelo OSI. A multiplexao dos canais pode ser feita pelos prprios NT Is, caso em que vrios equipamentos se ligam a cada NTl, ou pelos
NT2s, caso em que apenas uma interface T existe por N T l . O nmero de
canais e, por conseguinte, a capacidade da via digital pode variar de um assinante para outro, correspondendo a diferentes necessidades.
O NT2 (Network'Termination 2) age como um concentrador. Ele um
dispositivo que pode, dependendo do equipamento utilizado, incluir funes
relacionadas aos nveis 1, 2 e 3 do Modelo OSI. Exemplos de equipamentos
com funes de NT2 so PBXs, controladores de terminais e redes locais.
A definio das interfaces S e T constituem a interface usurio-rede
(User Network Interface UNI). Em determinadas configuraes, o NT2
pode se constituir em um simples meio fsico, caso em que os equipamentos
terminais ligam-se dretamente a um equipamento com funcionalidade N T l ,
e as interfaces S e T se confundem.
O TE1 (Terminal Equipment 1) refere-se a equipamentos que suportam
o padro da interface UNI. Exemplos so telefones digitais e terminais de
voz e dados integrados.
O TE2 (Terminal Equipment 2) engloba equipamentos que necessitam
de adaptadores (Terminal Adapters TA) para se conectarem RDSI.
Exemplos so terminais com interface serial do tipo RS-232. O ponto de referncia de interface R uma designao genrica para a interface com
quaisquer equipamentos que no se adaptem dretamente s interfaces S ou
T.

18.6.2 - STM e as Estruturas de Acesso RDSI-FE

Figura 18.4: Configurao de Referncia para RDSI.

Ura assinante na RDSI-FE provido, pela operadora da rede, de uma

linha de acesso (a linha de assinante) a uma central. Nessa linha define-se

514

A RDSI-FE define a utilizao do STM como modo de transferncia.

A estrutura de diviso em canais T D M sncrono da via digita! de acesso
pode ser formada por uma combinao dos seguintes tipos de canais:
Canal B:

64 Kbps
515

. Canal D:

16 ou 64 Kbps

. Canal H:

384 Kbps (HO), 1536 Kbps (Hl 1), 1920 Kbps (H12)

Uma estrutura de acesso definida como um "pacote" de canais que

formam a via digital. As opes de aglomeramento de canais so definidas
na recomendao 1.412, sendo as mais comuns as seguintes:

pos de servios, corno os de entrega de pacotes, comutao de circuitos a taxas de n x 64 Kbps, entrega de quadros etc. A arquitetura bsica da rede de
comunicao da RDSI-FE definida pela recomendao 1.324 e encontra-se
ilustrada na Figura 18.5.

Estrutura de acesso bsico: consiste em dois canais B mais um ca^

nal D de 16 Kbps, sendo conhecida como estrutura 2B+D. A taxa de
transmisso em bits por segundo, por simples aritmtica seria 144
Kbps. Porm, adicionam-se ainda bits de sincronismo e de delimitao de quadros, o que leva a via digital a apresentar uma taxa total
de 192 Kbps.
Estrutura de acesso primrio: destinada a assinantes que necessitam
de maior capacidade, a via digital com essa estrutura oferece uma linha com caractersticas Tl ou El. A estrutura para a interface do
tipo Tl de 23 canais B mais um canal D de 64 Kbps (23B+D) e
para a interface do tipo El de 30 canais B mais um canal D de 64
Kbps (30B+D).
Estruturas de acesso com a utilizao de canais do tipo H deram origem um dos maiores debates sobre a flexibilidade do STM, criando argumentos suficientes para o abandono do STM em prol do ATM nas RDSI-FL,
como veremos mais adiante na Seo 18.7.1.

CRF: Conneclion Related Functions

TE: Terminal Equipment

(1) Sinalizao usurio-rede

{2) Sinalizao usurio-usurio

Figura 1S.S: Arquitetura da rede de comunicao cia RDSl-FE.

18.6.3 - Arquitetura da Rede de Comunicao da RDSI-FE

J mencionamos, no incio da Seo 18.6, que uma das principais caractersticas da RDSI-FE o acesso integrado do usurio aos vrios servios
atravs de um conjunto de interfaces padronizadas. Alm disso, mencionamos tambm que, a despeito do acesso do usurio ser integrado, a implementao da rede de comunicao pode apresentar diferentes nveis de integrao. Voltemos ento, nesta seo, nossa ateno para a arquitetura da
rede de comunicao da RDSI-FE. Dependendo do nvel de integrao da
implementao de uma RDSI-FE, algumas funes de transmisso e comutao sero implementadas conjuntamente pelos mesmos elementos, de
forma integrada, para os vrios servios, enquanto que outras funes para
servios especficos sero realizadas por elementos especializados da rede.
Em sendo uma rede evoluda da rede digital de telefonia, o componente bsico da RDSI-FE , como no poderia deixar de ser, uma rede formada
por elementos com facilidades para comutao de circuitos a. taxa de 64
Kbps. Adicionalmente, dependendo das condies nacionais e das estratgias de desenvolvimento, a RDSI-FE poder ou no dar suporte a outros t516

A rede de comunicao utilizada para a RDSI-FE ser formada pelas

facilidades de comutao e transmisso que caracterizam os servios dos nveis inferiores do modelo (Lower layer capabilities), denominados de servios de entrega (bearer services), que incluem as facilidades para comutao
de circuitos (a taxas de 64 Kbps e maiores), comutao de pacotes, entrega
de quadros, alm dos canais de sinalizao comum e transmisso por conexes permanentes e semipermanentes. Esses componentes no sero necessariamente implementados por componentes ou redes distintas, podendo estar combinados adequadamente em comutadores integrados da rede. O acesso do usurio feito atravs de um elemento de funes relacionadas conexo (Connection Related Functions CRF) que processa os pedidos de
conexo originados pelo usurio. Independente do servio de entrega a ser
utilizado, uma conexo estabelecida, com o auxlio de um CRF, at um
elemento com capacidadade para oferecer os servios desejados.
O acesso s funes dos nveis superiores (Higher layer capabilities)
associadas a RDSI-FE, denominadas tele-servias, pode ser obtido atravs
517

de qualquer dos servios de entrega disponveis, dependendo da qualidade

desejada e das necessidades da aplicao. Tele-servios podem ser oferecidos pela prpria operadora da RDSI-FE ou por provedores especializados.
Do ponto de vista dos usurios, o local ou a forma com que os servios so
implementados no causam nenhum impacto. O ITU-T, atravs da srie de
recomendaes 1.200, definiu os servios, tanto dos nveis superiores como
inferiores, que podero ser obtidos por usurios de uma RDSI-FE. Esse ser
o assunto da seo 18.6.4.
As recomendaes 1.411 e 1.412 definem, respectivamente, o modelo
de referncia e as estruturas de acesso nos pontos de referncia S e T para o
ambiente do usurio. Para a rede de comunicao pblica da RDSI, a recomendao 1.324 define a possvel localizao dos elementos responsveis
pelos diversos servios. A Figura 18.6 ilustra o partcionamento da rede nas
redes pblica e de usurio.

18.6,4 - Servios na RDSI-FE

A srie de recomendaes 1.200 do ITU-T, denominada Services Capabilities, fornece uma classificao e um mtodo para a descrio dos servios que podem ser fornecidos pela RDSI-FE. A classificao dos servios
determina uma subdiviso em trs classes: servios de entrega (bearer Services), tele-servios e servios suplementares.
Os servios de entrega correspondem aos tipos de servios oferecidos
pelos trs nveis inferiores do modelo OSI, incluindo transmisso fsica de
bits e entrega de informao ao destino. Difereutes tipos de servio de entrega so caracterizados por parmetros como: modo (orientado comutao
de pacotes, orientado- comutao de circuitos ou orientado entrega de
quadros), taxa em bps, protocolos de nvel 1, 2 e 3 utilizados, e outros. Servios de entrega utilizam o STM para o acesso e transmisso na rede integrada.
Os tele-servios utilizam os servios de entrega como suporte para oferecer servios correspondentes aos servios dos nveis 4 a 7 do modelo OSI
Exemplos de tele-servios so telefonia, teletex, videotex e correio eletrnico.

Conexo RDS!

Figura 18.6: Partcionamento da RDSI de acordo com o modelo de referncia.

No caso em que a rede do usurio no existe (i.e., o grupamento funcional NT2 apenas um meio fsico interligando o TE rede pblica), os
pontos de referncia S e T so coincidentes. No caso em que a rede do usurio um PBX de servios integrados (Integrated Services Private Branch
Exchange - ISPBX) ou qualquer outra rede na qual as conexes estabelecidas e utilizadas seguem os mesmos procedimentos definidos para a rede
pblica na recomendao 1.340 (RDSI-FE privativa), a conexo RDSI se d
entre os pontos S, como ilustrado na Figura 18.7.

Conexo RDSI

Figura 18.7: Partcionamento da RDSI de acordo com o modelo de referncia, para redes de
usurio baseadas em ISPBXs ou RDSIs privativas.

518

Servios suplementares so servios definidos para utilizao em conjunto com os servios de entrega ou tele-servios; podemos citar como
exemplo a tarifao reversa.

18.6.5 - Modelo de Referncia de Protocolos para RDSI-FE

Dada a diversidade de informaes, modos de comunicao e servios,
h uma necessidade de modelar as facilidades da rede numa estrutura comum (isto , um modelo de referncia), tornando possvel identificar e definir os protocolos utilizados na rede. Assim como no modelo OSI, o modelo
de referncia para a RDSI no pretende definir nenhuma implementao especfica para sistemas ou equipamentos. A recomendao 1.320 contm a
definio do modelo de referncia de protocolos para a RDSI-FE (MR
RDSI-FE)
Os modelos de referncia OSI e RDSI-FE apresentam tanto semelhanas quanto diferenas marcautes. Ambos organizam as funes de comunicao em camadas e descrevem o relacionamento entre elas. O escopo dos
modelos , porm, diverso. O escopo do MR RDSI-FE modelar os fluxos
de informao deuma variedade de servios definidos pelas recomendaes
da srie 1.200. Nessa modelagem, necessariamente incorporam-se caractersticas no encontradas em outras redes que no uma RDSI-FE. l o modelo

519

OSI no associado a nenhum tipo particular de rede ou servio, sendo,

nesse sentido, menos especfico que o MR RDSI-FE.
A despeito das diferenas, vrios conceitos e terminologia associada
apresentadas no modelo OSI so totalmente aplicveis ao MR RDSI-FE, incluindo os conceitos de camada, servios e primitivas. A definio das camadas 4-7 do modelo OSI so utilizadas na recomendao 1.320 em todos
os casos aplicveis.7 Para os trs nveis inferiores do modelo OSI, a soma de
suas funcionalidades so tambm adotadas no MR RDSI-FE, contudo de
forma diferente.
As trs camadas inferiores do modelo OSI so substitudas, no MR
RDSI-FE, atravs de uma estratificao, por duas camadas: uma inferior,
denominada camada de infra-estrutura, e uma superior, denominada stratum.
A estrutura interna da camada de stratum tambm formada por camadas, tipicamente duas:8
A subcamada de rede do stratum, cujas funes so as de roteamento e entrega de unidades de informao e controle de conexes.
A subcamada de enlace de dados do stratum, cujas funes incluem
a conexo de nvel de enlace, seqiienciao e outras funes relacionadas ao aprimoramento dos servios oferecidos pela camada de
infra-estrutura. Essa subcamada concebida como uma subcamada
de "adaptao" dos servios da camada de infra-estrutura.
A camada de infra-estrutura assume as funes da camada fsica, do
ponto de vista das camadas superiores (stratum). Internamente, a infra-estrutura pode ser simplesmente o nvel fsico de uma rede de comunicao, ou
uma conexo numa rede arbitrariamente complexa, capaz de transportar informaes entre entidades da camada de stratum. A camada de stratum pode,
por exemplo, com o propsito de modelagem, ser recursivamente estratificada em duas outras camadas de stratum k infra-estrutura.
Alm da estratificao apresentada, o MR RDSI-FE introduz o conceito de planos. Planos so pilhas de protocolos do mesmo tipo localizadas no
stratum de dois ou mais sistemas conectados, possibilitando a comunicao
entre eles. A recomendao 1.320 define dois planos no modelo: o plano do
usurio (User plane U-plane), cujas pilhas de protocolo so voltadas ao
transporte de informaes de usurio, e o plano de controle (Control plane
C-plane), cujas pilhas de protocolo so destinadas ao transporte de informao de controle. Adicionalmente, o plano de gerenciamento definido
com funes semelhantes s funes de gerenciamento OSI (Figura 18.8).
Modelos para cenrios fora do escopo do RM-OSI (como para servios de telefonia, p. ex.) so
deixados para estudos futuros.
Potencialmente, at sete camadas so possveis.

520

Figura 18.8: MR RDSI-FE.

Uma ou mais camadas de qualquer dos planos podem ser nulas. p

svel, por exemplo, que nem todas as sete camadas do plano de controle
jam necessrias, embora as entidades que se comunicam nesse plano sej
entidades de aplicao.

Na estratificao de nvel mais baixo encontrada numa RDSI-FE, a

fra-estrutura corresponde ao nvel fsico especificado nas recomenda
.1.430 e 1.431, correspondendo s estruturas de acesso bsico e primrio r
pectivamente. Nesse nvel, as informaes do plano de controle sero tra
portadas pelo canal D da interface, enquanto que as informaes do plano
usurio sero transportadas pelos canais B ou H (ou ainda pelo canal D, <
pendendo do servio).

18.6.6 - Servio de Entrega por Comutao de Circuitos

Na comutao de circuitos, a transferncia de informao pode ;

feita atravs de um circuito fim a fim, formado pela concatenao de um c
cuito, alocado em uma (ou mais) rede(s) com capacidade de comutao
circuitos, e de canais B, alocados nas interfaces com os usurios. Utilizan
a rede telefnica digital (que utiliza hierarquia baseada em Tl on El, p
exemplo) como a rede de transporte, o acesso do usurio se torna uma e

5:

tenso dessa rede, sendo o circuito final formado por uma concatenao de
canais TDM sncronos.

A utilizao de canais B (ou D), com acesso via comutao de circuitos, atravs da RDSI-FE, a packet handlers.

A sinalizao, associada ao estabelecimento e liberao de conexes,

transportada pelo canal D da interface do usurio e processada pelo CRF local, que estabelece uma conexo com a rede de comutao de circutos. Esse
processo de sinalizao definido pela recomendao Q.931. A partir deste
momento, tudo se passa como se existisse uma ligao fsica dedicada entre
o TE e a rede de comutao de circuitos. Um circuito fim a fim dever ento
ser estabelecido, utilizando-se as facilidades de sinalizao em canal comum.

A utilizao de canais B (ou D), com acesso via canais permanentes

ou semipermanentes, atravs da RDSI-FE, a uma interworking unit
para uma rede de comutao de pacotes.
A utilizao de canais B (ou D), com acesso via canais permanentes
ou semipermanentes, atravs da RDSI-FE, a packet handlers.

18.6.7 - Servio de Entrega por Comutao de Pacotes

Vrios servios de entrega por comutao de pacotes so descritos na
recomendao 1.232. As recomendaes 1.310,1.462 e Q.513 formam a base
para a descrio das facilidades de comutao de pacotes na RDSI.
Dois tipos de elementos funcionais podem estar envolvidos no fornecimento de servios de entrega por comutao de pacotes numa RDSI-FE:
Packet Handlers, cujas funes so as de comutadores de pacotes
dentro da RDSI.
Interworking Units, cujas funes esto relacionadas interoperabilidade entre a RDSI-FE e redes especializadas de comutao de
pacotes.
Como vimos no Captulo 2, numa rede de comutao de pacotes tradicional, estaes terminais (DTEs) conectam-se, atravs de ligaes fsicas, a
equipamentos de comunicao da sub-rede de comutao (DCEs). A subrede, por sua vez, , em geral, formada por um conjunto de ns de comutao (DCEs e DSEs) fisicamente conectados formando uma topologia parcialmente ligada. Na RDSI-FE, as ligaes fsicas entre DTE e DCE, e entre
DCEs e DSEs, so substitudas por circuitos, que podem ser comutados,
se.mi-permanent.es ou permanentes. Os DCEs e DSEs so substitudas pelos
packet handlers ou por interworking units IWUs (Figura 18.9). Uma vez
estabelecidos os circuitos, tudo se passa como em uma rede de comutao
de pacotes.
As possveis solues para acesso e implementao do servio orientado a comutao de pacotes incluem:
A utilizao de canais B (ou D), com acesso via comutao de circuitos, atravs da RDSI-FE, a uma interworking unit para uma rede
de comutao de pacotes.

522

permanentes ou
semipermanentes

Figura 18.9: Comutao de pacotes numa RDSI-FE.

As solues acima podem ser utilizadas em conjunto numa mesma

RDSI, de forma que parte da transferncia feita entre packet handlers at
uma interworking unit, onde ento os pacotes so passados a uma rede especfica de comutao de pacotes. Implementaes podem variar no que tange
localizao dos packet handlers e interworking units, que podem residir
tanto junto aos CRFs locais quanto aos CRFs de trnsito.
Consideremos, por exemplo, o acesso a uma rede de comutao de pacotes'atravs de uma IWU remota, alcanada atravs do estabelecimento de
um circuito na RDSI-FE. Um circuito estabelecido (sinalizao no canal
D) entre a estao do usurio e IWU (alocando canais B entre o usurio e o
CRF local) e outro entre o CRF local e a IWU (atravs das facilidades para
comutao de circuitos existentes na RDSI-FE). Esse circuito pode ento ser
utilizado como uma ligao fsica pelos protocolos de mais alto nvel
(enlace e rede) para o estabelecimento de chamadas virtuais (no caso do
X.25, por exemplo) e transferncia de informao. A Figura 18.10 mostra a
sequncia de sinais durante a fase de estabelecimento de conexo e o.fluxo
dos pacotes durante a transferncia de informao.

523

(
(

tos. A recomendao Q.933 descreve os procedimentos de nvel 3, no c;

D, relacionados aos servios de entrega de quadros, que veremos na prx
seo. A recomendao Q.932 contm procedimentos genricos relack
dos aos servios suplementares. A aplicao dos protocolos descritos ]
recomendao Q.932 operao detalhada de cada servio suplement;
descrita na srie de recomendaes Q.950.

<
(
{

Uma vez estabelecido o circuito entre o TE ou NT e a IWU, o ests

lecimento de conexo de enlace prossegue como numa rede de comuta
de pacotes, na qual o usurio utiliza o canal B (ou D) para o acesso.

c
(
(

18.6.8 - Servio de Entrega de Quadros

Quadros (trames) so unidades de servios (SDUs) do nvel 2 (eni

de dados) do modelo OSI. Servios de entrega de quadros possibilitar
transferncia bdirecional de quadros, preservando-se a ordem original
transmisso, entre pontos de referncia S ou T. As SDUs so transporta
atravs da rede com base no rtulo contido nas respectivas PDUs de nve
Tal rtulo um identificador lgico de conexo com significado lc
(denominado Data Link Connection dentifier DLCI).

c
(
('
(
(
(
(
(

Figura 18.10: Exemplo de implementao do servio orientado a pacotes numa RDSI-FE.

A recomendao Q.920 contm uma descrio geral dos protocolos e

procedimentos do nvel de enlace de dados para uma RDSI-FE, no canal D.
O protocolo LAPD (Link Access Procedure on D-channel) descrito com
detalhes na recomendao Q.921, tratando-se de uma verso do protocolo
HDLC no modo assncrono balanceado. O protocolo de nvel de enlace utilizado para canais B o LAPB, sendo, portanto, idntico ao protocolo utilizado em redes X.25.
Os procedimentos para estabelecimento de circuitos, sempre utilizando
o canal D, so definidos para qualquer camada acima da camada de enlace,
nas recomendaes Q.930, Q.931, Q.932 e Q.933.
A recomendao Q.930 descreve, em termos gerais, as funes e protocolos empregados no nvel 3 para o canal D da interface usurio-rede de
uma RDSI-FE. O termo "nvel 3" um termo genrico utilizado nessa recomendao para descrever os procedimentos definidos nas recomendaes
Q.931 e Q.932, fornecendo os mecanismos para estabelecer, manter e terminar conexes RDSI. Adicionalmente, descreve procedimentos genricos que
podem ser utilizados para invocar e operar servios suplementares. As descries detalhadas dos protocolos de nvel 3 dadas pelas recomendaes
Q.931, Q.932 e Q.933 fazem uso das definies e terminologia encontradas
no modelo de referncia de protocolos da RDSI (1.320). A recomendao
Q.931 descreve o.s procedimentos de nvel 3, para o canal D, relacionados
aos servios de entrega por comutao de pacotes e por comutao de circui524

Os servios de entrega de quadros (Frame Mode Bearer Services)

RDSI-FE so decritos pela recomendao .233.y Dois servios so re
nhecidos:
O Frame Relaying Bearer Service, descrito na recomendai
1.233.1.
O Frame Switching Bearer Service, descrito na recomendai
1.233.2.
A diferena entre esses dois tipos de servios reside na complexid;
do protocolo de nvel 2 utilizado pelos ns {Frame Handlers FHs)
rede de entrega de quadros, como veremos nas sees 18.6.8.1 e 18.6.8.2.
A recomendao Q.922 especifica a estrutura do quadro, os elemen
de procedimento, formato dos campos e procedimentos do nvel de enl
de dados para suporte ao servio de entrega de quadros no plano do usur
como definido na recomendao 1.233. Tal especificao uma extenso
LAPD, sendo denominada LAPF (Link Access Procedure for Frame me
bearer services). Um subconjunto das funes do LAPF corresponde a ui
subcamada do nvel 2 denominada de ncleo do nvel de enlace (Data Li

9
A recomendao 1.233 inclui, na mesma publicao, as duas partes relativas aos dois tipos
servios de entrega de quadros: 1.233.1 e 1.233.2.

Core DL-CORE), enquanto que o conjunto restante de funes denominado controle do nvel de enlace (Data Link Control DL-CONTROL).

nspeo do tamanho dos quadros para garantir que seu tarrmho eticontra-se dentro dos limites especificados.

O LAPF utiliza, como suporte inferior, os servios de nvel fsico definidos peias recomendaes 1.430 e 1.431 (especificaes de nvel fsico
para as estruturas de acesso bsico e primrio, respectivamente). O LAPF
permite a multiplexao estatstica de uma ou mais conexes do servio de
entrega de quadros em um nico canal B, D ou H.

Deteco de erros de transmisso (mas no a sua recuperao).

Analogamente ao que ocorre no acesso aos servios de comutao de

pacotes, em servios de entrega de quadros necessrio o estabelecimento
de uma conexo a um Frame Handler ou a uma Internetworking Unit. Os
procedimentos de sinalizao para o estabelecimento de um circuito at um
desses elementos so definidos na recomendao Q.933.

Todas as funes restantes, relativas ao controle de erros e de fluxo,

so implementadas somente fim a fim, fazendo parte das funes definidas
para o DL-CONTROL.
O processo de entrega de quadros para o servio de frame relay consiste, essencialmente, no encaminhamento de quadros com o formato ilustrado
na Figura 18.12.

18.6.8.1 - Servio de Frame Relaying

Conforme mencionamos, a diferena entre os servios de frame

switching e frame relaying reside na complexidade do protocolo de enlace
implementado pelos ns da rede. No caso do servio de frame relay, tais ns
implementam somente as funes especificadas para o DL-CORE na recomendao Q.922, conforme ilustramos na Figura 18.11.
Figura 18.12: Formato de um quadro para os servios de frame relay.

Figura IS. 11: Protocolos implementados para o servio de frame relaying.

As funes definidas para o DL-CORE incluem somente:

Delimitao de quadros, alinhamento e transparncia de dados.
Multiplexao e demultiplexao de quadros com base no campo de
endereamento (DLCI)
nspeo do quadro para garantir que ele formado por um nmero
inteiro de octetos antes da insero de zeros (bit stuffing) e aps a
sua retirada, na recepo.
526

Os campos de FLAG, no incio e fim de cada quadro, so os campos de

delimitao, idnticos aos utilizados pelo HDLC, correspondendo sequncia !'01111110"t A utilizao dessa tcnica de delimitao de quadros
implica na adoo de uma poltica de enchimento de bits (bit stuffing) para
garantir a transparncia dos dados. Essa tcnica pressupe a insero de um
bit 0 a cada vez que uma sequncia de cinco bits 1 encontrada na informao transmitida. Na recepo, a.cada sequncia de 5 bits 1, deve-se suprimir
o bit seguinte, caso esse seja igual a zero. Caso esse bit seja igual a 1, ento
o receptor sabe tratar-se do final do quadro.
O campo DLCI subdividido conforme ilustrado na Figura 18.12. Os
campos DLCI 0 e DLCI 1 correspondem, respectivamente, aos seis bits mais
e quatro bits menos significativos do identificador de conexo virtual de
enlace (Data Link Connection Identifier) a partir do qual o encaminhamento
dos quadros feito. O campo RES um campo reservado para o bit de comando e resposta, idntico ao definido para o protocolo HDLC. Um comando deve ter esse bit igual a 0, enquanto que uma resposta deve ter esse
bit igual a l.

527

Os bits de extenso de endereo (EA 0 e EA 1) indicam a presena de

mais octetos de endereo.10 No caso da presena de dois octetos de DLCI, o
EA 0 dever ser igual a 0 (indicando a presena de mais um octeto de DLCI)
e o EA 1 igual a 1 (indicando tratar-se do ltimo octeto).
Os bits FECN e BECN so. utilizados para notificar situaes de congestionamento, de maneira anloga aos mecanismos de mesmo nome que
apresentaremos para as redes ATM no Captulo 23.
O bit DE (Discard Eligibility indicator), quando igual a 1, mdica que o
quadro deve ser preferencialmente descartado em relao a quadros no qual
esse bit igual a zero, em caso de congestionamento.
Por fim, o FCS (Frame Check Sequence), serve para acomodar uma
sequncia de deteco de erros baseada em CRC.
A entidade da rede que assume as funes de encaminhamento dos
quadros denominada de Frame Handler. Frame handlers (FHs) so entidades anlogas aos Packet handlers para os servios de comutao de pacotes
que apresentamos na Seo 18.6.7, com a diferena de que frame handlers
operam com protocolos de nvel fsico e um subconjunto (DL-CORE) das
funes associadas aos protocolos de nvel de enlace. Da mesma forma que
para servios de comutao de pacotes, a infra-estrutura para os servios de
frame relay pode ser formada por frame handlers interligados atravs de circuitos estabelecidos na rede de comutao de circuitos da RDSI-FE, ou atravs de uma rede prpria para esse servio. No segundo caso, frame handlers
so conectados por ligaes fsicas dentro de uma rede dedicada a esse servio e o acesso pode ser feito atravs da RDSI-FE, estabelecendo-se um circuito entre o equipamento do usurio e urna IWU de acesso a essa rede. Independente da forma de acesso ou implementao da infra-estrutura, frame
handlers devero ser capazes de encaminhar sucessivamente os quadros at
o destino. Em termos da pilha de protocolos apresentada na Figura 18.1 1, o
nvel fsico pode corresponder realmente ao nvel fsico em uma rede prpria para frame relay, ou camada de infra-estrutura da RDSI-FE, conforme
descrevemos anteriormente na Seo 18.6.5 (vide Figura 18.8).
A operao de um frame handler controlada por uma unidade a ele
associada denominada de frame relay contrai point (CP). Descreveremos o
processo de encaminhamento de quadros por um frame handler atravs de
um exemplo. Considere o frame handler ilustrado na Figura 18.13.

'" O formato defaul.t rio quadro do frame relay tem apenas 2 octetos para o endereo (DLCI).
Porm, outros formatos so definidos na recomendao Q.922, nos quais mais octetos podem ser
uitlizados e, por esse motivo, deve existir um mecanismo para diferenciar o ltimo octeto.

528

Figura 18.13: Frame Handler.

Conectados ao frame handler existe um determinado nmero de cai

representados pelas linhas slidas da figura. Um deles um canal espt
utilizado para ligar o frame handler ao seu CP. Os demais canais so ca
fsicos ou canais B, D e H que interligam o frame handler a outros FHs.
dos esses canais so internamente identificados atravs de um identific;
fsico, aqui denominado de identificador do Canal Fsico (ICF). O sig
cado de um ICF local e interno a um FH.
O controle do encaminhamento dos quadros por um FH feito atr;
de uma tabela de conexes. Essa tabela conter, para cada ICF e DLC
entrada, o ICF e DLCI de sada que deve ser utilizado para encaminhai
quadro. A construo dessa tabela deve ser feita no momento do estabe
mento da conexo virtual e funo dos procedimentos de sinalizai
Figura 18.13 ilustra o contedo dessa tabela atravs das linhas pontilh;
que indicam o encaminhamento dos quadros para cada ICF e DLCI. Qua
que chegam pelo ICF 7 contendo DLCI=306, por exemplo, sero ene;
nhados pelo ICF 9 e contendo agora o campo DLCI modificado para
Note que, em todos os canais, o DLCI=0 corresponde ao encaminhampara a porta que liga o FH ao seu CP. O DLCI=0 utilizado para as me
gens de sinalizao, que devero ser sempre encaminhadas ao CP. Com
artifcio, todos os quadros so encaminhados de maneira idntica pelos I
independente de tratar-se ou no de quadros de sinalizao e, por essa ra
sem nenhum processamento adicional de nvel 3.
Como parte do processo de encaminhamento, o FCS dos quadros
rifcado. Na presena de erros, o FH pode simplesmente descartar os i
dros, haja visto que as funes de correo de erros so implementadas

mente por protocolos fim a fim e especificadas como funes da subcamada

DL-CONTROL, Da mesma forma, em caso de congestionamentos, quadros
que excedam a capacidade de processamento ou armazenamento de um FH
podem ser simplesmente descartados, sendo os mecanismos de recuperao
implementados fim a fim. Uma alternativa para o caso de congestionamentos sinalizar (atravs dos bits de BECN ou FECN) prosseguindo com a
transmisso do quadro.''

(chamado), sinalizando o pedido de conexo. Dever-conter o endereo do n de destino de forma a permitir o. roteamento.. A rede, ao
encaminhar a mensagem de SETUP de n em n at o destino, pode
informar ao prximo n qual DLCI ser utilizado para as mensagens
daquela conexo de forma que o CP, em cada FH, possa preencher e
disponibilizar a tabela de controle das conexes.

No momento do estabelecimento de uma conexo, algumas mensagens

de controle sero enviadas utilizando o DLCI=0, como as ilustradas na Figura 18.14.

CALL PROCEDING: resposta da rede ao usurio chamador sinalizando que a solicitao de conexo est sendo processada e encaminhada. Pode informar ao usurio chamador qual DLCI dever ser
utilizado para as mensagens daquela conexo.

Usurio
:hamador

RedB

Usuria
Chamado

CONNECT: enviada por um usurio chamado indicando o estabelecimento de uma conexo solicitada podendo, ao mesmo tempo,
servir para estabelecer uma conexo no sentido inverso (de maneira
anloga ao processo seguido para a mensagem de SETUP), permitindo comunicao full-duplex.
18.6.8.2 - Servio de Frame Switching
Para os servios de frame switching, todas as funes especificadas
para o nvel de enlace pela recomendao Q.922, isto , as funes da DECORE e DL-CONTROL, devero ser implementadas por todos os elementos
da rede, conforme ilustramos na Figura 18.15.

. ' DL-COHE

Figura 18.14: Sinalizao para estabelecimento de conexes em servios d e trame relay.

A descrio das mensagens de controle utilizadas para estabelecer conexes ilustradas na Figura 18,14 a que se segue:
SETUP: enviada pelo usurio (chamador) para solicitar o estabelecimento de uma conexo, e enviada pela rede para o usurio destino
Os mecanismos de notificao de congestionamentos atravs dos bits BECN e FECN so
anlogos queles utilizados em redes ATM, nas quais o processo de encaminhamento da informao
efetuado por comutadores que operam de forma semelhante aos frames handlers. No caso das redes
ATM, ao invs de um quadro teremos uma clula (unidade ou quadro de tamanho fixo e pequeno) e, em
vez do DLCI como rtulo de encaminhamento, teremos o conjunto de dois campos: O VPI e o VCI. Esses
assuntos sero tratados em detalhes nos prximos captulos.

530

Figura 18.15: Protocolos implementados para o servio deframeswitching.

Nesse tipo de servio, a rede responsvel por, alm de realizar as
funes relativas ao DL-CORE, conforme apresentamos na seo anterior,
realizar todos os procedimentos de controle em cada'um dos enlaces, incluindo a troca de mensagens de confirmao para recuperao de erros e controle de fluxo.

531

18.7-Redes ATM
O Modo de Transferncia Assncrono (Asynchronous Transfer Mode
ATM) uma tecnologia baseada na transmisso de pequenas unidades de
informao de tamanho fixo e formato padronizado, denominadas clulas.
Clulas so transmitidas atravs de conexes com circuitos virtuais, sendo
seu encaminhamento baseado em informao de um cabealho contido em
cada uma delas. Tal tecnologia, como veremos no decorrer do livro, capaz
de suportar diferentes servios, para satisfazer aos requisitos exigidos pelos
diferentes tipos de trfego, a altas velocidades de transmisso. Por essa razo, ATM foi a tecnologia escolhida para suportar a diversidade de servios
definida para a Rede Digital de Servios Integrados de Faixa Larga
RDSI-FL (Broadband ntegrated Services Digital Networks B-ISDN),

18.7.1 - Limitaes do STM

Inicialmente, pensava-se em adotar o STM como modo de transferncia utilizado na RDSI-FL, acreditando-se que isso facilitaria a implantao
da nova rede devido compatibilidade com a RDSI-FE. A estrutura de acesso deveria ser estendida de forma a suportar canais com taxas mais elevadas
(canais H). As estruturas oferecidas poderiam ser algo do tipo:
MA +./H3 + kW. + a l +rnRO+ B + D.
Os coeficientes i,,..,n indicam o nmero de ocorrncias de um determinado canal na estrutura. A Tabela 18.1 apresenta taxas propostas para alguns
canais H.

o 3.5.5.1) com siots de durao de um byte, existem aproximadamente.

2000 slots por quadro numa estrutura com 150 Mbps. Seriam necessrias
funes de relativa complexidade para gerenciar o mapeamento e alocao
das possveis combinaes de slots a canais. Na tentativa de simplificar esse
gerenciamento, os defensores do STM propuseram uma alocao fixa de
slots a canais dentro dos quadros. Cada canal H4. por exemplo, estaria associado a um conjunto de slots. previamente determinado dentro da estrutura
dos quadros, conjunto este denominado container. Caso necessrio, um
container poderia ser utilizado para carregar containers de menor capacidade
(um container H4 poderia carregar containers H2 que, por sua vez, poderia
carregar containers Hl).
A subdiviso em containers, embora permita a diminuio da complexidade que citamos anteriormente, tambm apresenta algumas consequncias indesejveis. Consideremos um exemplo baseado numa possvel estrutura de interface a aproximadamente 150 Mbps:

Caso haja necessidade de alocao de um quinto canal Hl, parte do

container do canal H4 poder ser utilizado (um subcontainer Hl). Suponha
que, aps alocado esse quinto canal Hl, algum dos outros quatro canais Hl
seja liberado. Mesmo havendo capacidade disponvel suficiente para que se
aceite conexes para um canal H4, tais conexes permanecero bloqueadas,
pois no existe um container H4 livre. Em outras palavras, se conexes com
taxas menores se utilizarem por muito tempo do container H4, elas efetivamente causaro um bloqueio dos servios que necessitam de taxas maiores,
mesmo que a capacidade disponvel na interface seja suficiente para atendlos. Para contornar tal situao, uma forma de realocao de slots a canais
pode ser concebida, porm, novamente, ao custo de um aumento na complexidade.

Tabela 18.1: Taxas propostas para canais H

Esquemas bciseados em slots de tamanhos diferentes de forma a melhor

se adaptar aos diferentes canais (como no multi-window TDM, por exemplo), geram complicaes para os elementos chaveadores que comeam a
perder eficincia ou capacidade de chaveamento.

A adequao do STM para a RDSI-FL foi inicialmente questionada

devido a consideraes sobre a sua flexibilidade em acomodar os servios
das diversas naturezas atravs de alocao dos canais com taxas to altas.
Supondo, por exemplo, uma estrutura baseada em multi-slot TDM (vide Se532

Alm do problema de alocao de slots a canais, o STM sofre dos

mesmos problemas mencionados na Seo 18.4 com repeito utilizao de
canais iscronos: no compartilhamento da banda passante alocada aos canais, mesmo que os servios no tenham nada a transmitir. Novamente, esquemas de chaveamento rpido de circuitos poderiam ser empregados, alceando e desalocando canais conforme a taxa do trfego momentneo gerado.
A complexidade de tal soluo certamente levaria a chaveadores pouco eficientes.

533

)
18.7.2- ATM eRDSI-FL
O modo de transferncia assncrono (ATM) tenta eliminar as limitaes do STM, tirando vantagem do ganho estatstico de servios com trfego
com taxa varivel, ao mesmo tempo garantindo um desempenho aceitvel
para servios com trfego contnuo (taxa varivel ou constante).
Ao contrrio do STM, um canal no identificado pela posio fixa de
seus slots em uma estrutura recorrente no tempo. No ATM, a banda passante
dividida em segmentos fixos de informao chamados clulas. Cada clula
possui um cabealho e um campo de informao. Assim, um canal ATM
identificado por um rtulo, no cabealho, que representa a conexo com circuito virtual estabelecida para o transporte das clulas de um servio, e no
por uma posio fixa no tempo.
A inexistncia de alocao e monopolizao de canais evita os problemas de complexidade e flexibilidade salientados na seo anterior. Os mesmos comutadores podero ser utilizados para o chaveamento de todos os servios de forma transparente. Redes baseadas em ATM podem ser projetadas
de forma a aproveitar melhor os meios de comunicao na presena de trfego em rajadas e, ao mesmo tempo, garantir retardo mximo para servios
que suportam fontes de trfego contnuo. Embora o ATM no seja to eficiente quanto o STM para trfego contnuo com taxa constante, em relao
utilizao da capacidade do meio e ao retardo (devido ao overhead adicional
do cabealho e ao tempo necessrio para montar uma clula de informao),
esse fato no o bastante para se sobrepor s vantagens do ATM. Obviamente, alguma compensao da variao estatstica do retardo ter de ser
feita para que se possa oferecer servios iscronos.

tempo de empacotamento, causando maior atraso de transferncia, afetando,

principalmente, sinais de udio e vdeo que, conforme j mencionamos, se
ultrapassarem um determinado tempo de atraso, deterioram aplicaes com
interatividade em tempo real entre usurios (como numa conversao telefnica, por exemplo). O efeito dos ecos em sinais telefnicos tambm se
torna crtico caso o atraso ultrapasse um determinado tempo, como j mencionamos no Captulo 3.
O nico argumento em contrrio utilizao de pequenas clulas o
grande overhead que o cabealho representa, o que diminui a capacidade
efetiva de transmisso na rede. Porm, os argumentos em prol das clulas
pequenas so mais contundentes, de forma que o ITU-T padronizou as clulas ATM com 53 octetos (48 de informao e 5 de cabealho).
Enquanto que na RDSI-FE a padronizao das interfaces S e T
(denominada UNI User-Network Interface) se limitava especificao de
aspectos mecnicos e eltricos, na RDSI-FL o formato e tamanho das clulas tambm esto envolvidos na padronizao da UNI. A configurao de referncia para a RDSI-FL praticamente idntica quela utilizada para RDSIFE, como ilustramos na Figura 18.16.

)
)
I )
)
)
)
. )
)
( )

'J
)
)
)"
)'.'

A tecnologia de redes de comutao rpida de pacotes baseadas em

clulas, corno vimos na Seo 18.5.2, podem ser utilizadas como forma de
transmisso nessas redes.

Clulas so transmitidas atravs de conexes com circuitos virtuais,

onde urna rota estabelecida no momento da conexo. Como j mencionado, cada clula ATM consiste em:

:' )'

Ura cabealho que contm um campo de identificao do circuito virtual (como veremos no Captulo 20).
Informaes propriamente ditas.
As caractersticas de tamanho fixo e reduzido das clulas trazem algumas vantagens quando comparadas a unidades maiores e/ou de tamanho varivel. Unidades de informao de tamanho varivel aumentam a complexidade dos comutadores da rede. O tempo de empacotamento um dos fatores
a favor de clulas pequenas. Quanto maior o tamanho da clula, maior o

>
)'"
Figura 18.16: Configurao de referncia para RDSI-FL.

A introduo do caracter "B" (de Broadband) na designao dos pontos de referncia e dos grupos funcionais serve para diferenci-los dos respectivos elementos na RDSI-FE.
O grupamento B-NT1 representa o equipamento de terminao da linha do assinante, assim como na RDSI-FE. Na RDSI-FL, porm, esse equipamento no pode ser utilizado para a multiplexao de clulas, apresentando sempre uma nica interface TB.

)
)
)'

O
)"
)
)

534

535

O B-NT2 responsvel pela multiplexao/demultiplexao e chaveamento de clulas. Como na RDSI-FE, funciona como um concentrador.
O B-TE1 um equipamento que atende s especificaes de interface
definidas pela UNI, enquanto que o B-TE2 no segue essas padronizaes
(sendo necessria a utilizao de adaptadores B-TAs).
Os pontos de referncia de interface SB, T B e UB.so idnticos no que
se refere definio das clulas; a diferena se encontra na especificao de
parmetros eltricos e mecnicos.
O surgimento, em 1991, do ATM Frum um consrcio de companhias e organizaes interessadas em acelerar o desenvolvimento e implantao da tecnologia ATM deu origem a um conjunto de "acordos para
implementao" de equipamentos ATM. Embora no tenha autoridade para
a produo de padres, sendo essa tarefa reservada a rgos de domnio internacional, o ATM Foram uma organizao importante no desenvolvimento da tecnologia ATM, contando com a representao significativa de
quase todas as grandes empresas de telecomunicaes e informtica do
mundo inteiro. Segundo denominao do ATM Frum, a T B e a UB formam
a UNI pblica, enquanto que a S B denominada UNI privativa. A Figura
18.17 ilustra uma possvel configurao fsica para uma rede ATM, mostrando as diferentes formas de acesso disponveis para os usurios se conectarem rede.

Um usurio pode, por exemplo, se conectar diretamente rede pblica

ou a redes locais. Servios de entrega, semelhantes aos definidos pela RDSIFE, so fornecidos ao usurio atravs da implementao de camadas mais
altas de protocolo (camada de adaptao ou ATM Adaptation Layer
AAL) que so executadas em equipamentos B-TE1, e que sero analisadas
nos prximos captulos. A NNI (Network-Node Interface) a interface definida entre ns de rede.
O principal foco do ATM Foram tem sido a definio dos aspectos relativos a ambientes locais.

18.7.3 - ATM em Redes Locais

As diferentes caractersticas entre ambientes locais e pblicos refletem-se, principalmente, nas interfaces UNI privativas e pblicas. As maiores
diferenas so as seguintes:
Alguns tipos de enlace que podem ser especificados para a UNI privativa s permitem o alcance de curtas distncias (como 100 m, por
exemplo).
Os formatos de endereamento utilizados em redes pblicas ATM
devero seguir a recomendao E. 164 do ITU-T (semelhante ao cdigo de numerao telefnica), enquanto que em redes privadas o
formato do endereamento poder ser derivado de padres para redes locais ou padres da ISO.
As diferentes configuraes permitem a utilizao de redes locais com
meio compartilhado (como as redes baseadas em DQDB ou ATMR, apresentadas no Captulo 8) ou com comutadores privativos.

Figura .18.17: Configurao fsica de uma rede ATM.

536

537