Xây dựng mô hình bảo mật cho SMS và ứng dụng trong hệ thống phat triển thuê bao điện thoại di động

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --- NGUYỄN ĐỨC CƯỜNG XÂY DỰNG MÔ HÌNH BẢO MẬT CHO SMS VÀ ỨNG DỤNG TRONG HỆ THỐNG PHÁT TRIỂN THUÊ BAO ĐIỆN THOẠI DI ĐỘNG CHUYÊN NGÀNH : TRUYỀN

KẾT LUẬN

 Đóng góp của luận văn:

o Luận văn đã phân tích, đánh giá tính an toàn bảo mật của dịch vụ SMS, mạng GSM Qua đó phân tích mô hình ứng dụng SMS trong mạng GSM

o Luận văn đã đề xuất mô hình ứng dụng SMS sử dụng tin nhắn mã hóa phục vụ phát triển thuê bao di động

o Hệ thống này đã được áp dụng thành công vào Viettel Telecom, giúp Viettel phát triển đội ngũ Cộng tác viên đông đảo Nhờ có hệ thống mà đội ngũ này đã tham gia phát triển mới cho Viettel hàng 100.000 thuê bao mỗi ngày vào những thời gian cao điểm khuyến mại, qua đó góp phần giúp Viettel trở thành nhà mạng với số lượng thuê bao lớn nhất Việt Nam

o Hệ thống này còn được áp dụng cho các thị trường nước ngoài của Viettel như Haiti, Mozambique và sắp tới là Peru

 Hướng phát triển:

o Phát triển thêm các dịch vụ trên Sim như nạp/chuyển tiền, thanh toán cước phí cho thuê bao trả sau, thương mại điện tử, mobile banking

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN ĐỨC CƯỜNG

XÂY DỰNG MÔ HÌNH BẢO MẬT CHO SMS VÀ ỨNG DỤNG TRONG HỆ THỐNG PHÁT TRIỂN THUÊ BAO

ĐIỆN THOẠI DI ĐỘNG

CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH

MÃ SỐ:60.48.15

Người hướng dẫn khoa học: TS HOÀNG XUÂN DẬU

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2011

LỜI NÓI ĐẦU

Hiện nay tại Việt nam cũng như nhiều nước tiên tiến trên thế

giới, các mạng di dộng đã dần đi đến trạng thái bão hòa Tuy nhiên

sự cạnh tranh giữa các nhà cung cấp dịch vụ điện thoại di động (nhà

mạng) vẫn diễn ra hết sức quyết liệt trong việc giữ khách hàng, giảm

tỷ lệ dời mạng cũng như phát triển các thuê bao mới Các khách hàng

trung và cao cấp (như doanh nhân, những người lao động có thu nhập

khá) gần như đã ổn định, ít có sự thay đổi Để tạo được lợi thế cạnh

tranh, tăng số lượng thuê bao các nhà mạng hiện tại đang rất chú

trọng tới các khách hàng bình dân như học sinh, sinh viên, nông dân

và những người lao động có thu nhập thấp Để giành được khách

hàng thuộc phân đoạn thị trường này, các nhà mạng đã và đang đẩy

mạnh phát triển lực lượng Cộng tác viên - những người có thể đi đến

tận nơi, tiếp thị và chăm sóc khách hàng tại những nơi xa xôi nhất

Nhưng làm thế nào để cung cấp cho lực lượng này một công cụ hiệu

quả, an toàn để có thể sử dụng ở mọi nơi, kể cả những nơi không có

kết nối Internet là một vấn đề đáng lưu tâm Sử dụng tin nhắn SMS là

một giải pháp tối ưu nhờ tính đơn giản, dễ dùng và chi phí thấp Tuy

nhiên do bản chất SMS không có tính bảo mật nên vấn đề đảm bảo

an toàn, bảo mật thông tin cho SMS là vấn đề cốt lõi cần được nghiên

cứu

Đề tài lựa chọn hướng xây dựng mô hình bảo mật cho SMS và

ứng dụng trong hệ thống phát triển thuê bao điện thoại di động sử

dụng các kỹ thuật mã hóa tin nhắn để tăng cường bảo mật nhằm

mang đến cho Cộng tác viên và các điểm bán hàng của các nhà mạng

một công cụ phát triển thuê bao hữu ích, an toàn Giải thuật mã hóa

o Khóa cứng: chính là Sim đa năng được phát cho mỗi người dùng

 Đánh giá về hiệu năng: Hệ thống được thiết kế theo hướng

xử lý song song Mỗi ứng dụng xử lý tin nhắn sẽ có nhiều tiến trình xử lý nghiệp vụ đồng thời

 Đánh giá về tính hiệu quả, thiết thực của ứng dụng:Hệ thống

có tính ứng dụng cao, mang lại hiệu quả kinh doanh lớn cho Viettel Telecom Với hệ thống này Viettel đã phát triển mạnh

mẽ kênh phân phối Cộng tác viên (hiện tại Viettel Telecom

đã có khoảng 100.000 Cộng tác viên hoạt động tới tận địa bàn cấp xã, phường của tất cả các tỉnh/TP trong cả nước)

3.5 Kết luận chương

Chương này đã giới thiệu một mô hình bảo mật SMS dựa trên mã hóa tin nhắn Tin nhắn được mã hóa bởi một phần mềm trên SIM trước khi gửi đi Sau đó tin nhắn này được giải mã dựa vào key được tạo bởi IMSI và một chuỗi ký tự đặc biệt Sau khi giải mã, hệ thống xác thực tính đúng đắn của tin nhắn dựa trên số điện thoại gửi và PIN được gửi trong tin nhắn Chương cũng trình bày những kết quả đạt được khi áp dụng mô hình này cho Viettel Telecom

3.2 Thử nghiệm mô hình bảo mật cho SMS và ứng dụng

trong dịch vụ đấu nối thuê bao

Mô hình ứng dụng đấu nối thuê bao qua SMS

3.3 Các kết quả thu được

Mô hình hệ thống trên đã được áp dụng thành công trong

việc xây dựng một hệ thống phát triển (đấu nối) thuê bao cho Công

ty Viettel Telecom

Một số nghiệp vụ chính đã được triển khai bao gồm:

o Nghiệp vụ tra cứu số thuê bao

o Đấu nối thuê bao

o Nghiệp vụ tra cứu số dư tài khoản

o Nghiệp vụ đổi mật khẩu

3.4 Phân tích, đánh giá kết quả thu được

 Đánh giá về tính an toàn: Thông tin của người dùng được

bảo vệ qua 2 khóa:

o Khóa mềm là password được người dùng ghi nhớ

tin nhắn dự kiến được sử dụng trong hệ thống là giải thuật Triple DES

Mục đích chính của luận văn là thông qua nghiên cứu dịch vụ SMS trên nền mạng GSM, những vấn đề về an toàn, bảo mật trong mạng GSM từ đó xây dựng mô hình bảo mật cho các ứng dụng SMS bằng mã hóa tin nhắn Áp dụng thử nghiệm mô hình này vào hệ thống phát triển thuê bao điện thoại di động là một ứng dụng thực tiễn của đề tài

Luận văn được trình bày trong 3 chương:

 Chương 1: Tổng quan về dịch vụ SMS trên nền GSM

Chương này sẽ trình bày các vấn đề cơ bản về dịch vụ tin nhắn SMS: ưu nhược, nhược điểm, cấu trúc và vòng đời của tin nhắn

 Chương 2: Mô hình hệ thống ứng dụng SMS trên nền

GSM và vấn đề an toàn, bảo mật thông tin

Chương 2 giới thiệu về các vấn đề an toàn, bảo mật trong mạng GSM nói chung và ứng dụng SMS nói riêng Từ

đó đưa ra các giải pháp để nâng cao tính an toàn cho ứng dụng SMS

 Chương 3: Thử nghiệm mô hình bảo mật cho SMS và

kết quả

Chương này đề xuất mô hình bảo mật cho SMS bằng mã hóa tin nhắn Ứng dụng mô hình này cho hệ thống phát triển thuê bao điện thoại di động qua SMS cho Cộng tác viên của công ty Viettel Telecom Cuối chương là phần đánh giá về tính an toàn, bảo mật, hiệu năng cũng như khả năng ứng dụng của mô hình này vào thực tế

Chương 1: Tổng quan về dịch vụ SMS trên nền

GSM

1.1 Tổng quan về SMS

1.1.1 SMS là gì

SMS là sự viết tắt của cụm từ Short Message Service tạm

dịch là dịch vụ tin nhắn ngắn SMS là một giao thức viễn thông cho

phép gửi các thông điệp dạng text ngắn (không quá 160 ký tự trên

một tin nhắn) Giao thức này được hỗ trợ trên hầu hết các điện thoại

di động và một số PDA với khả năng truyền thông không dây và

đang dùng rất phổ biến

1.1.2 Tin nhắn chuỗi / Tin nhắn dài

Một tin nhắn văn bản được chia nhỏ, truyền qua mạng và

được nối lại ở phía nhận để có thể chứa hơn 160 ký tự Tiếng Anh

1.1.3 Ưu nhược điểm của SMS

a Ưu điểm

 Tin nhắn SMS có thể đọc và gửi bất cứ lúc nào và có thể

được gửi đến một máy điện thoại di động đang tắt

 Tin nhắn SMS ít ồn ào hơn trong khi bạn vẫn tiếp xúc

với điện thoại

 Tin nhắn SMS hỗ trợ 100% điện thoại GSM và có thể

trao đổi với những mạng không dây khác

 Tin nhắn SMS là một công nghệ thích hợp cho việc xây

dựng những ứng dụng không dây

b Nhược điểm

o Timeout Manager và Timeout Stopper: thực hiện theo dõi và hủy giao dịch bị timeout, rollback lại các thao tác đã thực hiện của giao dịch bị hủy, giải phóng các tài nguyên đã cấp cho giao dịch bị hủy và gửi tin nhắn thông báo lại cho khách hàng

o Database Pool (Connection) Manager - DPM: đây là module quản lý kết nối tới CSDL của hệ thống

o Module quản lý log

Khóa dùng trong mã hóa Triple DES

o Khóa bí mật sử dụng trong thuật toán Triple để giải

mã tin nhắn cần được thay đổi theo từng SIM Card

Ở đây ta sử dụng cơ chế sinh mã như sau:

Keys mã hóa (21 bytes – 168 bits) = IMSI (19 bytes) + chuỗi ký tự đặc biệt (2 bytes)

o Chuỗi ký tự đặc biệt được quy định chung cho tất cả các sim, không được lưu trong SIM và được mã hóa trong code của ứng dụng client cài đặt trên SIM Card

o Ứng dụng xử lý tin nhắn cũng biết chuỗi ký tự đặc biệt này Khi nhận được tin nhắn, Ứng dụng này sẽ tách lấy 19 bytes IMSI từ ICCID, ghép với chuỗi ký

tự đặc biệt được biết trước để tạo ra Key giải mã tin nhắn

SMS Process Application

Database

SMS client

Transaction Manager Service Handler

SMSC

SMS Gateway

Timeout Timeout Stopper

smpp smpp

Database pool (Connections) Manager DRLog Manager

Transaction Executer

Scheduler

JDBC

SMS Listener

Delay Transaction Manager

Database JDBC

Database JDBC

Mô hình tổng thể hệ thống xử lý tin nhắn

Hệ thống này bao gồm 1 số module chính sau:

o SMS Client: giao tiếp với SMS Gateway khi nhận và

gửi tin nhắn

o SMS Listener: module này có nhiệm vụ nhận tin

nhắn, giải mã tin nhắn, đẩy xuống các Transaction Manager để xử lý

o Module Transaction Manager và Transaction

Executer: Transaction Manager nhận tin nhắn từ module SMS Listener, xác định loại nghiệp, sau đó đẩy sang cho Transaction Executor thực hiện

Sự hạn chế về kích thước dữ liệu, không thể nhắn tin văn bản kèm theo nhạc chuông, hình ảnh hay những định dạng văn bản nâng cao

1.2 Các ứng dụng của SMS

Các lĩnh vực ứng dụng nổi bật của SMS gồm có:

 Dịch vụ gửi và nhận tin nhắn

 Dịch vụ cung cấp thông tin

 Dịch vụ download

 Dịch vụ thông báo và tin khẩn

 Gửi mail, Fax và tin nhắn thoại

 Thương mại điện tử và giao dịch thẻ tín dụng

 Thị trường chứng khoán

 Theo dõi hệ thống từ xa

1.3 Giới thiệu mô hình, vòng đời SMS trong mạng GSM

1.3.1 Những khái niệm cơ bản trong dịch vụ SMS

o Tin nhắn báo cáo (Delivery Report)

o Tin nhắn nội mạng

o Tin nhắn ngoài mạng

o Tin nhắn quốc tế

1.3.2 Giới thiệu SMS Gateway

SMS Gateway làm việc như một cầu nối giữa hai SMSC Nó chuyển một giao thức SMSC thành một giao thức khác Đây chính là cách để kết nối hai nhà cung cấp dịch vụ khác nhau để có thể trao đổi các tin nhắn liên mạng

1.3.3 Chu trình gửi tin nhắn trong mạng GSM

Chu trình gửi tin nhắn nội bộ qua các thực thể trong mạng

GSM được mô tả như hình sau:

Trong mô hình trên nếu MSC2 không gửi được tin nhắn về cho

thuê bao 2 nó sẽ phản hồi cho SMSC biết nguyên nhân gửi tin nhắn

thất bại Khi đó SMSC sẽ tạm thời lưu trữ tin nhắn đó SMSC sẽ cố

gắng gửi lại tin nhắn cho tới khi nhận được tin hiệu báo gửi tin nhắn

thành công hoặc cho đến khi kỳ hạn của tin nhắn đó hết

1.3.4 Sự sắp đặt và lưu trữ tin nhắn trong Sim

Cấu trúc bộ nhớ của Sim thì được dựa voà một phân cấp của

các thư mục và tập tin gồm: tập tin gốc (Master File : ML), tập tin

thông dụng (Dedicate File : DF), tập tin cơ bản ( Elementary File :

EF)

o Phần mềm Client viết trên SIM Card

o Hệ thống xử lý tin nhắn

Phần mềm Client viết trên SIM Card

Mô hình chức năng ứng dụng mã hóa tin nhắn trên SIM CARD

Hệ thống xử lý tin nhắn SMS Process Application

Chương 3: Thử nghiệm mô hình bảo mật cho SMS

và kết quả

3.1 Mô hình hệ thống

Mô hình tổng thể hệ thống như sau:

Mô hình tổng thể hệ thống

Confidential

data

Encrypted Data Mobile Station

SMS Process Application

Confidential Data

Encry

pt

Mô hình luồng dữ liệu

Ở đây hệ thống gồm 2 phần chính:

1.4.Các lớp giao thức sử dụng trong SMS

1.4.1 Lớp ứng dụng

Là sự hiện thực trong SMES (là một thực thể có thể gửi hoặc là nhận một tin nhắn ngắn Lớp ứng dụng này cũng được biết như là SM-AL(Short-Message-Application-Layer)

1.4.2 Lớp chuyển đổi

Một tin nhắn được xem như là một chuỗi của những octect chứa đựng thông tin như là chiều dài của tin nhắn, người tạo ra tin nhắn hoặc là người nhận, ngày nhận,…Lớp chuyển đổi có kí hiệu là

SM-TL (Short Message-Transger-Layer)

1.4.3 Lớp tiếp sóng

Lớp tiếp sóng cho phép chuyển một tin nhắn qua lại giữa những mạng khác nhau Một mạng có thể tạm thời lưu trữ một tin nhắn Lớp này gọi là viết tắt là SM-RL ( Short Message Relay Layer)

1.4.4 Lớp liên kết

Cho phép truyền một tin nhắn tại mức độ vật lý (tự nhiên) Thay cho mục đích này, tin nhắn được bảo vệ với mức thấp những lỗi kênh (channel errors) Lớp này viết tắt là SM-LL (Short Message Link Layer)

1.5 Cấu trúc tin nhắn SMS

Một đoạn tin nhắn thì có một kích thước tối đa nhất định Để vận chuyển rất nhiều dữ liệu, vài đoạn tin nhắn có thể kết hợp vào trong

một phép nối tin nhắn Sự kết nối tin nhắn này được thực hiện ở lớp

ứng dụng Để được vận chuyển, một đoạn tin nhắn cần được sắp xếp

trên một TPDU

1.6 Kết luận chương

Các ứng dụng SMS càng phát triển thì mối quan tâm của các

tin tặc đối với ứng dụng loại này càng tăng cao Song song với những

tiện lợi mà các ứng dụng qua SMS mạng lại là những vấn đề về mất

an toàn, bảo mật thông tin, giả mạo tin nhắn, lừa đảo qua tin nhắn Vì

thế an toàn, bảo mật cho SMS là một vấn đề hết sức quan trọng cần

phải được xem xét, thiết lập và duy trì cho các ứng dụng loại này

Chương II sẽ đi sâu vào mô hình hệ thống ứng dụng qua SMS và

những vấn đề về an toàn, bảo mật thông tin cho hệ thống này

đăng ký Nếu nhập sai quá số lần cho phép thì giao dịch sẽ bị huỷ Nếu xác nhận mật khẩu thành công thì dịch vụ được tiếp tục

2.4.2 Bảo mật cho ứng dụng SMS bằng mã hóa tin nhắn

Để tăng tính bảo mật cho SMS ta có thể mã hóa tin nhắn trước khi gửi đi Việc này được thực hiện bởi một ứng dụng tin nhắn gắn trên SIM hoặc thiết bị đầu cuối Vấn đề mã hóa hiện đã có rất nhiều bài báo và các công trình nghiên cứu, ở đây luận văn lựa chọn Triple DES (một biến thể của DES)

2.5 Kết luận chương

Chuẩn GSM được thiết kế gần 20 năm trước đây đã trở nên lỗi thời về các phương thức bảo mật do sự phát triển của công nghệ cũng như trình độ và phương tiện của hacker ngày càng nâng cao Các công cụ tấn công GSM đã ngày càng trở nên rẻ hơn và nằm trong tầm với của hacker dẫn đến hậu quả là rủi ro trên môi trường GSM ngày càng tăng cao Bản chất của SMS lại là một phương thức truyền tin không bảo mật Do đó phải tăng tính bảo mật thông tin bằng cách mã hóa tin nhắn Mục tiêu ở đây là mã hóa các tin nhắn trước khi truyền bản tin qua mạng

2.3.2 Tấn công spam SMS, virus SMS

Tấn công spam SMS là dạng tấn công bằng cách gửi SMS có

nội dung lừa đảo đến hàng loạt thuê bao nhằm mục đích trục lợi

Tấn công virus SMS là dạng tấn công bằng cách lợi dụng lỗ

hổng bảo mật trong phần mềm xử lý SMS của điện thoại di động để

lây lan mã độc

2.4 Bảo mật cho ứng dụng SMS bằng mã hóa tin nhắn

Như ta đã biết, SMS là một giao thức không có tính bảo mật

Thông tin gửi qua SMS có thẻ bị giả mạo, cũng có thể bị ghi lại do

các phần mềm gián điệp lợi dụng lỗ hổng bảo mật trong phần mềm

xử lý SMS của điện thoại Để tăng tính an toàn, bảo mật cho các ứng

dụng SMS ta cần có thêm các giải pháp hỗ trợ cho việc nhắn tin sử

dụng SMS thông thường Ở đây ta đưa ra 2 giải pháp thường được áp

dụng cho cho các ứng dụng về chứng khoán và Mobile Banking

2.4.1 Bảo mật kép áp dụng cho các ứng dụng SMS cho

chứng khoán

Mô tả phương pháp

o Nhà đầu tư được đăng ký 1 mật khẩu

o Nhà đầu tư được đăng ký 1 vài số điện thoại nhất

định (cố định hoặc di động)

o Nhà đầu tư nhắn tin sử dụng các dịch vụ (tra cứu, đặt

lệnh )

o Khi hệ thống SMSC nhận dạng thành công dịch vụ

hệ thống CallCenter tự động gọi ra (số hiện thời hoặc

số đã đăng ký) và yêu cầu nhập vào mật khẩu đã

Chương 2: Mô hình hệ thống ứng dụng SMS trên nền GSM và vấn đề an toàn, bảo mật thông tin

2.1 Mô hình ứng dụng SMS trong mạng GSM

Mô hình ứng dụng được mô tả trong hình sau:

2.2 An toàn, bảo mật trong mạng GSM 2.2.1 Mô hình bảo mật GSM

Mục đích của bảo mật GSM

Mạng GSM có những rủi ro bảo mật như:

 Tấn công giả mạo thiết bị di động đầu cuối

 Nghe lén cuộc gọi

 Tấn công dùng phương thức người thứ ba đứng giữa (man in the middle attack)

Mục đích của bảo mật GSM là giảm thiểu các rủi ro trên bằng các cơ chế:

 Xác thực vào dịch vụ di động

 Mã hóa các thông tin trao đổi trên môi trường radio

Các đặc điểm bảo mật của GSM

Một số chức năng bảo mật đã được tích hợp vào GSM nhằm

bảo vệ người dùng, bao gồm:

 Xác thực chủ thể thuê bao đăng ký

 Sử dụng mã hóa để đảm bảo bí mật thông tin trao đổi

 Bảo vệ định danh của thuê bao

 SIM (Mô dun nhận dạng thuê bao) được bảo vệ bằng mã

số PIN

 SIM bị nhân bản không được cho phép gia nhập mạng

đồng thời với SIM gốc

 Mã số bí mật Ki được bảo vệ an toàn

2.2.2 Các hạn chế về bảo mậtcủa GSM

Với cơ chế bảo mật hiện nay, GSM có các hạn chế sau:

Bảo mật bằng tính bất khả định:

Nghĩa là bảo mật bằng cách giấu kín thuật toán, cách thi

hành, không cho cộng đồng biết được cơ chế bảo mật Trong cơ chế

bảo mật GSM, các thuật toán A3, A5, A8 đều được giấu kín Tuy

nhiên một thuật toán cho dù tốt đến đâu cũng có thể mắc lỗi, và nếu

không được công khai để cộng đồng kiểm chứng thì hoàn toàn có thể

bị mắc những lỗi nghiêm trọng mà chưa ai biết!

Chính sách mã hóa có thể bị thay đổi:

Thuật toán A5 được dùng để mã hóa đường truyền sóng

radio thoại và dữ liệu Tuy nhiên có 3 chính sách mã hóa khác nhau:

A5/0 (không mã hóa) và hai thuật toán A5/1 và A5/2 Sở dĩ có sự

phân loại này là do các pháp chế về vấn đề xuất khẩu thuật toán bảo mật

Những mối đe doạ đối với các thiết bị đầu cuối và SIM card:

 Tính toàn vẹn của dữ liệu :

 Bị mất đầu cuối hoặc SIM card :

 Cho mượn SIM card và đầu cuối di động :

 Nghe trộm và giả dạng :

 Độ tin cậy đối với dữ liệu nhận thực và dữ liệu người sử dụng

 SIM card giả :

 Các thiết bị kém chất lượng và các đầu cuối chưa qua kiểm chứng

2.2.3 Tấn công bảo mật GSM

 Tấn công ăn cắp, nhân bản SIM

 Tấn công nghe lén cuộc gọi bằng thủ thuật người đứng giữa

 Tấn công nghe lén bằng thủ thuật giải mã thuật toán A5

 Các phần mềm gián điệp trên điện thoại di động

2.3 Tính an toàn, bảo mật thông tin qua SMS 2.3.1 Tấn công giả mạo CALL-ID và giả mạo người gửi tin nhắn SMS

Tin nhắn SMS là một dạng dữ liệu đặc biệt gửi trên mạng GSM Vì lý do điện thoại di động có khả năng roaming, nhà cung cấp dịch vụ không thể xác thực ID của người gửi Chính vì vậy hacker có thể giả mạo người gửi bằng cách sửa đổi trường sender-ID trong dữ liệu header của tin nhắn Khi nhận được một tin nhắn thì không có cách nào phân biệt được đây là tin nhắn thật hay tin nhắn mạo danh