1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN VIỆT CƯỜNG CÔNG NGHỆ AN NINH TRONG 3G UMTS CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ MÃ SỐ : 60.52.70 NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS LÊ MỸ TÚ HÀ NỘI - 2011 2 Luận văn được hoàn thành tại: Học viện Công nghệ Bưu chính Viễn thông Tập đoàn Bưu chính Viễn thông Việt Nam Người hướng dẫn khoa học: PGS.TS LÊ MỸ TÚ Phản biện 1: …………………………………………………… …………………………………………………… Phản biện 2: …………………………………………………… …………………………………………………… Luận văn sẽ được bảo vệ trước hội đồng chấm luận văn tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu chính Viễn thông 3 Mở đầu Trong quá trình phát triển của thông tin di động hiện đang đem lại nhiều lợi ích cho xã hội. Cùng với sự phát triển của nó là những thách thức đối với các nhà cung cấp dịch vụ di động. Một trong những thách thức đó chính là vấn đề an ninh trong di động. Nếu không xử lý tốt sẽ dẫn đến nhiều thiệt hại to lớn. Những thách thức này đặt ra các yêu cầu cho các nhà cung cấp dịch vụ về vấn đề nhận thực và bảo mật cho thông tin vô tuyến và di động để bảo vệ quyền lợi của người dùng và lợi ích của chính bản thân các nhà cung cấp. Với sự phát triển của thông tin và công nghệ máy tính người ta đã đưa ra các giải pháp về nhận thực và bảo mật khác nhau. Vấn đề này trước đây, hiện tại và tương lai vẫn còn được nghiên cứu, tìm hiểu và phát triển vì tầm quan trọng của nó. Với đề tài của quyển luận văn “Công nghệ an ninh trong 3G UMTS”, tôi muốn nắm bắt được các công nghệ an ninh trong di động nói chung và trong 3G UMTS nói riêng. 4 CHƯƠNG 1: TỔNG QUAN AN NINH TRONG THÔNG TIN DI ĐỘNG Để đảm bảo truyền thông an ninh các mạng thông tin di động phải đảm bảo an ninh trên cơ sở sử dụng các công nghệ an ninh. Trong chương này trước hết ta sẽ xét các mối đe dọa an ninh sau đó ta sẽ xét các phần tử chính tham gia vào việc tạo nên môi trường an ninh. Cuối cùng ta sẽ xét các công nghệ an ninh hàng đầu và các biện pháp an ninh có thể sử dụng cho các giải pháp thông tin vô tuyến. 1.1 TẠO LẬP MỘT MÔI TRƯỜNG AN NINH Để đảm bảo an ninh đầu cuối đầu cuối ta cần xét toàn bộ môi trường an ninh bao gồm toàn bộ môi trường truyền thông: truy nhập mạng, các phần tử trung gian các ứng dụng máy khách (client). An ninh đầu cuối – đầu cuối có nghĩa rằng truyền dẫn số liệu an ninh trên toàn bộ đường truyền từ đầu phát đến đầu thu (thường là các máy đầu cuối hay các client đến các máy chủ (server)). Trong phần này ta sẽ xét 5 mục tiêu quan trọng liên quan đến việc tạo lập môi trường an ninh. - Nhận thực - Toàn vẹn số liệu - Bảo mật - Trao quyền - Cấm từ chối 1.2 CÁC ĐE DỌA AN NINH Để đưa ra được các giải pháp an ninh ta cần nhận biết được các đe dọa tiềm ẩn. Trong phần này ta sẽ xét bốn hiểm họa đe dọa an ninh thường gặp trong mạng: đóng giả, giám sát, làm giả, ăn trộm. 5 1.3 CÁC CÔNG NGHỆ AN NINH Phần này sẽ xét các công nghệ cho phép giảm thiểu các rủi ro an ninh, các khái niệm chính của các công nghệ cần áp dụng cho an ninh đầu cuối đầu cuối trong các ứng dụng di động. 1.3.1 Công nghệ mật mã Mục đích chính của mật mã là đảm bảo thông tin giữa hai đối tượng trên kênh thông tin không an ninh để đối tượng thứ ba không thể hiểu được thông tin gì được truyền. Khả năng này là một trong các yêu cầu chính đối với một môi trường an ninh bao gồm nhận thực, các chữ ký điện tử và mật mã. Các giải thuật và giao thức Mật mã hóa số liệu 1.3.2 Các giải thuật đối xứng Hình 1: Minh họa cơ chế cơ sở mật mã bằng khóa riêng duy nhất 6 1.3.3 Các giải thuật không đối xứng Hình 2: Nhận thực bằng khóa công khai 1.3.4 Các chữ ký điện tử và tóm tắt bản tin Chữ ký điện tử được tạo ra bằng cách tính toán tóm tắt bản tin (MD: Message Digest) cho một tài liệu sau đó MD được kết hợp với thông tin của người ký, nhãn thời gian và các thông tin cần thiết khác bất kỳ. MD là một hàm nhận số liệu đầu vào có kích cỡ bất kỳ (bản tin) và tạo ra đầu ra có kích cỡ cố định được gọi là digest (tóm tắt).Nếu tài liệu thay đổi thì MD cũng thay đổi. Hình 3: Quá trình sử dụng các tóm tắt (digest) bản tin để cung cấp các chữ ký điện tử 7 MD5 và SHA (SHA: Secured Hash Standard – Chuẩn làm rối an ninh) là các thuật toán thường được sử dụng để tạo ra một digest. 1.3.5 Các chứng nhận số 1.3.6 Hạ tầng khóa công khai, PKI Các phần tử của PKI gồm: - Các thẩm quyền chứng nhận (CA) chịu trách nhiệm phát hành và hủy các chứng chỉ. - Các thẩm quyền đăng ký chịu trách nhiệm ràng buộc các khóa công khai với các nhận dạng của các sở hữu khóa - Các sở hữu khóa là những người được cấp phát chứng nhận và sử dụng các chứng nhận này để ký các tài liệu số. - Các kho lưu các chứng nhận cũng như danh sách hủy chứng nhận - Chính sách an ninh quy định hướng dẫn mức cao nhất của tổ chức về an ninh Hình 4: PKI dựa trên phân cấp CA phân bố 8 Hình 5: Nhận thực bằng chữ ký điện tử Ba chức năng chính của PKI bao gồm: - Chứng nhận - Cộng nhận hợp lệ - Hủy 1.3.7 Nhận thực bằng bản tin nhận thực Hình 6: Phương pháp nhận thực sử dụng MAC 9 1.4 CÁC GIAO THỨC HÀNG ĐẦU Dưới đây là các giao thức hàng đầu được sử dụng cho truyền dẫn số liệu an ninh 1.4.1 Lớp các ổ cắm an ninh, SSL 1.4.2 An ninh lớp truyền tải, TLS 1.4.3 An ninh lớp truyền tải vô tuyến, WTLS 1.4.4 An ninh IP, IPSec Hình 7: Khuôn dạng gói sử dụng AH trong chế độ truyền tải và đường hầm của IPSec Hình 8: Khuôn dạng gói sử dụng ESP trong chế độ truyền tải và đường hầm của IPSec Các phần tử cơ bản của IPSec và SPD (Security Policy Database: cơ sở dữ liệu chính sách an ninh) và SAD (Security Association Database: Cơ sở dữ liệu liên kết an ninh). 10 Hình 9: Thí dụ kiến trúc IPSec (các cổng và các máy) 1.5 CÁC BIỆN PHÁP AN NINH KHÁC 1.5.1 Tường lửa 1.5.2 Các mạng riêng ảo, VPN 1.5.3 Nhận thực hai nhân tố 1.5.4 Đo sinh học 1.6 AN NINH GIAO THỨC VÔ TUYẾN, WAP Trong kiến trúc an ninh WAP 1.x, ta cần xét hai vấn đề: - An ninh mức truyền tải - An ninh mức ứng dụng 1.7 AN NINH MỨC ỨNG DỤNG Do qúa lưu tâm đến WAP và an ninh lớp truyền tải, các nhà thiết kế thường không quan tâm đến mất an ninh lớp ứng dụng. An ninh mức ứn dụng là quan trọng vì hai lý do chính sau đây: (1) khi cần an ninh sau các điểm cuối của an ninh lớp truyền tải và (2) khi cần truy nhập nội dung trình bày chứ không phải số liệu xí nghiệp. Điều này thường xảy ra khi chuyển đổi mã, chẳng hạn khi chuyển một ngôn ngữ đánh dấu siêu văn bản HTML vào WML. [...]... cải thiện an ninh tại lớp mạng của mạng lõi dựa trên IP và MAPsec bảo vệ các ứng dụng cũng như báo hiệu Tất cả các cơ chế an ninh này làm cho an ninh của UMTS được cải thiện hơn so với GSM 22 LỜI KẾT Vấn đề công nghệ bảo mật trong 3G UMTS và trong di động nói chung luôn cần thay đổi và phát triển hơn nữa để tăng cường tính bảo mật và an ninh hơn Đề tài đã nghiên cứu một vài phương pháp an ninh tuy còn... NGHỆ AN NINH TRONG 3G UMTS UMTS đảm bảo cả kết nối chuyển mạch kênh lẫn chuyển mạch gói tốc độ cao (lên đến 10 Mbit/s khi sử dụng công nghệ HSDPA kết hợp với MIMO) Chương này sẽ xét ngắn gọn kiến trúc UMTS, trình bày chi tiết các tính năng an ninh cùng với các tấn công mà thế hệ 3 này có thể chấp nhận 2.1 KIẾN TRÚC UMTS UMTS R3 hỗ trợ cả kết nối chuyển mạch kênh lẫn chuyển mạch gói: đến 384Mbit/s trong. .. người sử dụng An ninh lưu giữ số liệu An ninh mức truyền tải 1.9 MÔ HÌNH AN NINH TỔNG QUÁT CỦA MỘT HỆ THỐNG THÔNG TIN DI ĐỘNG Hình 10: Kiến trúc an ninh tổng quát của một hệ thống thông tin di động 11 1.10 KẾT LUẬN Để đảm bảo môi trường an ninh cần 5 phần tử sau: nhận thực, toàn vẹn số liệu, bảo mật, trao quyền và cấm từ chối Khi thực hiện một môi trường an ninh, cần nhớ rằng hệ thống chỉ an ninh ở mức... nào cũng đang được sử dụng trên mạng di động hiện tại Có thể trong tương lai các công nghệ cũ không còn sử dụng nữa và thay thế bằng công nghệ mới hơn, an toàn hơn TÀI LIỆU THAM KHẢO [1] Bùi Trọng Liên - An toàn và bảo mật tin tức trên mạng, NXB Bưu điện, Hà Nội, 2001; [2] TSNguyễn Phạm Anh Dũng - Thông tin di động 3G, Học viện Bưu chính Viễn thông 2004 [3] TSNguyễn Phạm Anh Dũng – An ninh trong thông... trường nhà) HE bao gồm AuC, HLR và EIR Hình 11: Kiến trúc UMTS 2.2 MÔ HÌNH KIẾN TRÚC AN NINH 3G UMTS Kiến trúc an ninh trong UMTS được xây dựng dựa trên ba nguyên lý sau: Nhận thực Bí mật Toàn vẹn 2.2.1 Nhận thực Nhận thực trong UMTS được chia thành hai phần: Nhận thực người sử dụng cho mạng Nhận thực mạng cho người sử dụng 2.2.2 Bảo mật Bảo mật trong UMTS đạt được bằng cách mật mã hóa các cuộc truyền thông... hổng trong giải pháp của mình để đảm bảo rằng những kẻ không được phép không thể truy nhập vào hệ thống Để thực hiện điều này ta có thể phải áp dụng các công nghệ an ninh khác nhau như: mật mã khóa công khai, các chứng nhận số, các chữ ký số và PKI Cũng có thể sử dụng thêm các biện pháp khác như: tường lửa, VPN, đo sinh học và chính sách an ninh xí nghiệp để duy trì môi trường an ninh CHƯƠNG 2: CÔNG NGHỆ... thống di động thế hệ ba dựa trên thành công của các mạng GSM/GPRS và đưa ra các tính năng an ninh mới và tăng cường để cải thiện an ninh và bảo vệ các dịch vụ mới mà các hệ thống thông tin di động thứ hai không thể có Bí mật của cuộc gọi thoại cũng như bí mật của số liệu người sử dụng truyền trên đường vô tuyến được bảo vệ Điểm tăng cường an ninh quan trọng mất của UMTS so với GSM/GPRS là không chỉ mạng... quá 500ms Hình 189: Tạo AV trong AuC 2.6.3 Sử dụng các hàm bình thường để tạo ra các thông số an ninh trong USIM Hình 19: Tạo các thông số an ninh trong USIM 20 2.6.4 Sử dụng các hàm để đồng bộ lại tại USIM Khi USIM nhận thấy chuỗi trình tự nhận được nằm ngoài dải, chức năng tạo khóa bình thường bị hủy và USIM bắt đầu tạo ra thẻ đồng bộ lại AUTS (xem hình 21) Hình 20: Tạo AUTS trong USIM 2.6.5 Sử dụng... là không chỉ mạng nhận thực thuê bao di động mà ngược lại thuê bao di động cũng nhận thực mạng Ngoài ra phần tử quan trọng nhất liên quan đến an ninh là khóa K chủ được dùng chung giữa mạng UMTS và USIM card không bao giờ được truyền ra ngoài hai vị trí này Ngoài ra các thông số an ninh quan trọng khác khi truyền trên đường vô tuyến đều được mật mã hóa vì thế đảo bảo không bị nghe trộm Cơ chế nhận thực... được gửi đến UE trong thẻ nhận thực AUTN Dựa trên RAND và một số thông số nhận thực trong AUTN, USIM sẽ tính ra mã kiểm tra XMAC-A Nó so sánh XMAC-A với MAC-A nhận thực từ mạng, nếu chúng giống nhau thì nhận thực thành công Quá trình nhận thực mạng được cho ở hình 15 MAC-A và XMAC-A được tính toàn bằng hàm f1 Hình 14: Nhận thực mạng tại USIM 2.3.3 Mật mã hóa UTRAN Trong quá trình mật mã UMTS, số liệu . triển vì tầm quan trọng của nó. Với đề tài của quyển luận văn Công nghệ an ninh trong 3G UMTS , tôi muốn nắm bắt được các công nghệ an ninh trong di động. VPN, đo sinh học và chính sách an ninh xí nghiệp để duy trì môi trường an ninh. CHƯƠNG 2: CÔNG NGHỆ AN NINH TRONG 3G UMTS UMTS đảm bảo cả kết nối chuyển