VIỆN DẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ ĐIỆN TỬ THÔNG TIN ĐỒ ÁN 1JT r 2P ĐẶ1 HỌC Đề tài “Giải pháp bảo mật cho mạng thông tin di động 4G LTE” Giảng viên huỏTig dân TS ĐẬNG HÁI ĐĂNG Sinh viên thực hiện T.
VIỆN DẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ ĐIỆN TỬ - THÔNG TIN ĐỒ ÁN 1JT r 2P ĐẶ1 HỌC Đề tài: “Giải pháp bảo mật cho mạng thông tin di động 4G LTE” Giảng viên huỏTig dân : TS.ĐẬNG HÁI ĐĂNG Sinh viên thực : TƠN THỊ NGÂN Lóp : K16B Khố :2013 - 2017 Hệ : CHÍNH QUY Hà Nội - 2017 LỜI NĨI ĐẦU Trong năm gân đây, mạng không dây ngày trở nên phô biến với đời hàng loạt cơng nghệ khác Wi-fí (802 lx), WiMax (802.16) Cùng với tốc độ phát triển nhanh, mạnh cùa mạng viễn thông phục vụ nhu cẩu sử dụng hàng triệu người dùng ngày Hệ thống di động thứ hai 2G, với GSM CDMA ví dụ điển hình phát triển mạnh mẽ nhiều quòc gia Tuy nhiên, thị trường viền thông mở rộng thể rõ hạn chế dung lượng băng thông cua hệ thống thơng tin dí động hệ thứ hai Sự đời hệ thống di động the hệ thứ ba 3G với công nghộ tiêu biểu WCDMA hay HSPA ỉà tất yếu để đáp ứng nhu cầu truy nhập dừ liệu, âm thanh, hình ảnh với tốc độ cao, băng thơng rộng người sứ dụng Mặc dù hệ thống thông tin di động hệ 2,5G hay 3G phát triển không ngừng nhà khai thác viền thông lớn thể giới bẳt đầu tiến hành triển khai thử nghiệm chuẩn di động thể hệ có nhiều liềm năng, chuẩn di động 4G Sự đời cua hệ thống công nghệ mạng 4G mở khả tích hợp tẩt dịch vụ, cung cấp băng thông rộng, dung lượng lớn, truyền dẫn dừ liệu tốc độ cao, cung cấp cho người sừ dụng hình ảnh video màu chất lượng cao, trị cl hát triên cơng nghệ gia u tốc độ cao, công nghệ dựa tàng phần mềm cơng cộng mang đến chương trình ứng dụng download, công nghệ truy nhập vô tuyến đa mode cơng nghệ mã hóa media chất lượng cao mạng di động Tuy nhiên, đặc tính hàng đầu kỳ vọng cùa mạng 4G cung cấp khả kểt tốt Đê đáp ứng điều đó, mạng 4G mạng hỗn hợp, bao gồm nhiêu công nghệ mạng khác nhau, kết nối tích hợp tồn 1P Thiết bị di động cùa 4G đa công nghệ (multi-technology), đa chức (multi-mode) để kết nối với nhiều loại mạng truy nhập khác Công nghệ mạng 4G kỳ vọng tạo nhiều thay đổi khác biệt so với nhừng mạng di động nay.Đe gửi nhận dừ liệu qua mạng công cộng mà đảm bảo lính an tồn bâo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ong bảo mật nơi gửi nơi nhận giống ket noi point-point mạng riêng Và giải pháp bảo mật mạng tạo nên đường ống bảo mật cho VPN Vì vậy, em lựa chọn làm đồ án tốt nghiệp đề tài: “ Giải pháp báo mật cho mạng thông tin di động 4G LTE” Với hiếu biêt chưa rộng, nhiều hạn chế vê kiến thức nên nội dung đồ án tốt nghiệp em nhiều thiếu sót, em mong nhận bơ sung, góp ý từ thầy hướng dẫn MỤC LỤC LỜI NĨI ĐÁU LỜI CAM ƠN DANH MỤC HÌNH ẢNH CHƯƠNG 1: TƠNG QUAN VỀ CĨNG NGHỆ MẠNG 4G LTE 1.1 s Ụ' PHÁT TRIẺN CỦ A HỆ THỐNG THÔNG TIN DI ĐỘNG I 1.1.2 Hệ thống thông tin di động thứ 2(2G) .1 1.1.3 Hệ thống thông tin di động thứ 3(3G) .2 1.1.4 The hệ mạng di động tien 4G 1.5 Công nghệ không dây hệ thứ 1.2 CÔNG NGHỆ LTE 1.2.1 Ọúa trình phát triển LTE 1.2.2 Mục tiêu cùa LTE 1.2.3 Tính cùa LTE ĩ.2.4.1.11 o rhino công nehể 1113110 4G TH 1.3 CÂl CHƯƠNG 2: BÀO MẶT THOẠI TRONG LTE 2.1 Tống quan 2.2 Cơ che bào mật thoại qua LTE 2.2.1 Báo mật tín hiệu IMS 2.2.2 Nhược điềm cùa IMS 10 1.1.1.1 Tống quan cẩu trúc IMS 11 1.1.1.2 Qúa trình truyền thoại qua LTE 12 1.1.1.3 Bào mật tín hiệu IMS 15 2.2.2 Xác thực gói truy cập mạng 17 2.2.3 Xác thực nút đáng tin cậy 17 CHƯƠNG 3: BÁO MẬT CHO CÁC ENODEB 18 3.1 Kiến trúc sờ 18 3.2 Chức eNodeB 19 3.3 Nguy mối đe dọa 19 3.4 Các yêu càu cân đẽ đám bão hệ thõng .20 3.5 Kiến trúc bão mật 20 3.6 Tính nâng báo mật 21 3.7 Bào mật thú tục 21 CHƯƠNG 4: GIAO THỨC IPSEC 23 4.1 TỔNG QUAN 23 4.1.1 Khái niệm 23 4.1.2 Thực trạng 23 4.1.3 Mục đích 24 4.1.4 Tác hại 24 4.1.5 Giai pháp 24 4.2 Cơ CHẾ BẢO MẬT CỦA 1PSEC 24 4.2.1 Những lính cùa IPSec 24 4.2.2 Kiến trúc cúa IPSec 25 4.2.3 Các giao thức sử dụng IPSec 27 4.2.3.1 A 27 4.2.3.2 Encapsulation Security Protocol (ESP): 29 4.2.3.3 Internet Exchange Key (IKE): 30 4.3 CHÊ Độ LÀM VIỆC 30 4.3.1 Transport Mode (chế độ vận chuyên) 30 4.3.2 Tunnel Mode ( chế độ đường hầm) 31 4.4 CO CHẾ BÀO MẬT CỦA 1PSEC 32 4.4.1 Thiết lặp IKE Phase tunnel 33 4.4.1.1 Thương lượng IKE Phase policy 33 4.4.1.2 Trao đồi key 34 4.4.1.3 Chứng thực VPN peer 34 4.4.2 Thiết lập IKE Phase tunnel 34 CHƯƠNG 5: TỐNG KÉT 37 DANH MỤC CỤM TỪ VIẾT TẮT Cụm từ viểt tắtỉ ^■Tieng Anh ■ Tiêng Việt 3GPP Third Generation Partnership Project Dự án đổi tác thứ ba AMPS Advanced Mobile Phone System Hệ thông điện thoại di động tiên tiến APN Access Point Name Tên điềm truy nhập AS Application Server Máy chủ ứng dụng Code Division Multiple Access đa truy nhập phân chia theo mã CDMA cs Circuit Switched Chuyển mạch kênh CFCS Cal] Session Control Function Chức điều khiển phiên gọi CSFB Circuit Switched Fallback Dư nhờn ợ chu ven mạch ED< Enhanced Data Rates for GSM kênh E-TRAN Evolved Universal Terrestrial Radio Access cho triển mặt đất TruyGSM nhậpphát vơ tuyến tồn cầu phát triển ENODEB Evolved Node B Nút phát triển B Evolved Packet Core Mạng lõi gói phát triển General Packet Radio Service Dịch vụ vơ luyến gói chung Global System for Mobile communications Hệ thổng truyền thơng di động tồn cầu Gateway cổng High Speed Downlink Packet Access Truy nhập gói đường xuống tốc độ cao HSS Home Subscriber Server IMS Ip Multimedia Subsystem Máy chu thuê bao thường trú Hệ thổng đa phương tiện IP EPC GPSR GSM GW HSDPA tăng cường 1MT International Mobile Telecommunications Truyền thông di động quốc té IP Internet Protocol Giao thức internet 1PSEC Internet Protocol Security Giao thức bảo mật internet ITU International Telecommunication Union Tổ chức Viền thông quốc tế IEEE Institute of Electrical and Electronics Engineers Viện kỹ nghệ Điện Điện tứ I-CSCF Interrogating- CSCF Yêu vầu chức điều khiên phiên gọi 1MEI International Mobile Equipment Identity ID thiết bị di động quốc tể LTE Long Term Evolution Sự phát triển dầi hạn LAN Local Area Network Mang cục MGW Media Gateway Cổng phương tiện Mils Multiple Input Multiple Output ỉa đầu da MME Mobility Management Entity Phần tử quản lí tính di động MSC Mobile Switching Center Trung tâm chuyển mạch di động NMT Nordic Mobile Telephone Diện thoại di động Bắc Âu OFDM Orthogonal Frequency Division Multiplexing Ghép kênh phân chia tần số trực giao PCRF Policy and Charging Resource Function Packet Data Gateway Chức tính cưởc tài nguyên sách Physical Random Access Channel Kênh truy nhập ngẫu nhiên vật lí QAM Quadrature Modulatio QoS Quality of Service Điêu chê biên độ cầu phương Chất lượng dịch vụ P-GW PRACK cồng mạng liệu gói SC-FDMA Single Carrier Frequency Division Multiple Access Đa truy nhập phân chia tần so đơn sóng mang S-GW Serving Gateway Công phục vụ S-CSCF Serving- Call Session Control Funtion Phục vụ chức điều khiến phiên gọi SRVCC Single Radio voice Call Continuity Cuộc gọi liên tục thoại đơn SIP Session Initiation Protocol Giao thức khởi tạo phiên Sl-MME SI Mobility Management Entity Phần từ quàn lí tính di động SI Time Division Multile Access Đa truy cập phân chia theo thời gian User Equiment Thiết bị đầu cuối Universal Terrestrial Radio Access Truynhaapj vô truyền mặt đất toàn cầu Universal Mobile Telecommunications System toàn cầu VoIP Voice Over IP Thoại trẽn IP VoLTE Voice Over LTE Thoại nề LTE Wideband Code Division Multiple Access Wireless Local Area Network Đa truy cập phân mã băng rộng Mạng cục không dây 1G st Generation The hệ thứ nhắt 2G 2nd Generation Thế hệ thứ 3G 3rd Generation Thế hộ thứ 4G 4th Generation Thế hệ thứ TDMA UE UTRAN UM W-CDMA w LAN tin di động DANH MỤC HÌNH ẢNH Hình 1.1: Kiến trúc hệ thống cho mạng có E-UTRAN Hình 2.1: Tổng quan cấu trúc IMS 11 Hình 2.2: Quá trình gia nhập mạng LTE, dâng ký nhận thực IMS 13 Hình 2.3: Quá trình truyền thoại qua LTE dựatrên IMS 15 Hình 2.4: Báo mật tín hiệu IMS 16 Hình 3.1: Kịch bàn phát triển Kiến trúc choHcNBs 18 Hình 3.2: Kiển trúc eNode phần cứng 19 Hình 3.3: Vùng cho biện pháp bảo mật kiến trúc HeNB .21 Hình 3.4: Xác thực dựa chửng chì thực tính tồn vẹn thiết bị 22 Hình 4.1: Kiến trúc IPsec 26 Hình 4.2: IP Packet bâo vệ AH .28 Hình 4.3: IP 28 Hình 4.4: „ lực bảó VC bui AH trơng TunnelMode 29 Hình 4.5: IP Packet bảo vệ ESP Transport Mode 29 Hình 4.6: IP Packet bảo vệ ESP Tunnel Mode .30 Hình 4.7: Ipsec chế độ Transport Mode 31 Hình 4.8: Ipsec chề độ tunnel mode 32 Hình 4.9: Cơ chê bào mật Ipsec 32 Hình 4.10: Cách dánh gói gói tin sử dụng mode khác 35 CHƯƠNG 1: TÔNG QUAN VÈ CÔNG NGHỆ MẠNG4GLTE 1.1 sụ PHÁT TRIẾN CỦA HỆ THỐNG THÔNG TIN DI ĐỘNG 1G chừ viết tat công nghệ điện thoại không dây the hệ đau tiên (1 generation) Các điện thoại chuẩn anolog sứ dụng cơng nghệ 1G với tín hiệu sóng anolog giới thiệu thị trường vào năm 198O.MỘt công nghệ 1G phố biển NMT (Nordic Mobile Telephone) sử dụng nước Bắc Âu, Tây Âu Nga Cũng có số công nghệ khác AMPS (Advanced mobile phone system-hệ thống điện thoại di động tiên tiến) sử dụng Anh Điềm yểu 1G dung lượng thấp, sác xuất rớt gọi cao, khản chuyến gọi khơng tin cậy, chất lượng âm kém, khơng có chế độ bảo mật Khi số lượng thuê bao ngày táng lên, nhà nghiên cứu nhận thấy cân có biện pháp nâng cao dung lượng mạng, chất lượng thoại dịch vụ bổ sung cho mạng Người ta nghĩ đến số hóa hệ thong điện thoại di động dẫn đến đời hệ thống di động thứ 1.1.2 Hí Hệ thống thông tin di động số sử dụng kĩ thuật đa truy cập phân chia theo thời gian giới đời châu Âu có tên gọi GSM Với phát triển nhanh chóng th bao, hệ thống thơng tin di động thứ lúc đáp ứng kịp thời số lượng lớn thuê bao dĩ động dựa công nghệ số Hệ thống 2G hấp dần 1G ngồi dịch vụ thoại truyền thơng hệ thong cịn có khàn cung cấp số dịch vụ truyền dừ liệu dịch vụ bô sung khác Tất hệ thông thông tin di động thứ đểu sử dụng kì thuật điều chế so Và chúng sử dụng phương pháp đa truy cập: • Da truy cập phân chia theo thời gian (Time division multiple accessa) phục vụ gọi theo khe thời gian khác • Đa truy cập phân chia theo mã (Code division multiple access) phục vụ gọi theo chuỗi mà khác 1.1.3 Hệ thống thông tin di động thứ3(3G) Hệ thống thông tin di động chuyển từ hệ thứ sang hệ thử qua thể hệ trung gian hệ 2,5 sử dụng cơng nghệ TDMA cớ thể chồng lên phổ tần hệ thứ không sử dụng phổ tần mới, bao gồm mạng đưa vào sử dụng GPRS, EPGE CDMA2000-1X Ở thể hệ thử hệ thong thơng tin di động có xu hịa nhập thành tiêu chuẩn có khán phục vụ tốc độ bít lên đen 2Mbit/s Đe phân biệt với hệ thổng thông tin dĩ động băng hẹp hệ thống thông tin di động thứ gọi hệ thống thông tin di động băng rộng Nhiều tiêu chuẩn cho hệ thống thông tin di động thứ IMT-2000 đề xuất hệ thống W-CDMA CDMA2000 1TƯ chấp thuận đưa vào hoạt động năm đầu thập kỉ 2000 Các hệ thống đểu sứ dụng công nghệ CDMA, điều cho phép thực tiêu chuân toàn thể giới cho giao dỉện vơ tuyến hệ thong thơng tin dí động thể hệ thử 1.1.4 Thế hệ mạng di động tiền 4G Hai công nghệ xem tiền 4G chuẩn Wimax2 (802.1 Im) Long Term Evolution chưa đáp ứng chuẩn cùa 4G cho phép truyền tải tốc độ lOOmega ẩt Wimax2 tiêu 3GPP phận liên minh cùa nhà mạng cung cấp dịch vị GSM Cả chẩn sử dụng công nghệ ãng-ten tiên tiến nhằm cải thiện tiếp nhận thực nhiên lại hoạt động băng tần khác nhau: • Long term evolution (LTE) công nghệ di động phát triển chuẩn hóa 3GPP LTE phát hành không thực đầy đu yêu cầu IMT-Advanced LTE có tốc độ bit nét lý tưởng OOMbit/s cho download 50Mbit/s cho upload • Wimax2 phát triển bới IEEE Wimax cung cấp khả kết nối internet không dây nhanh wifi, tốc độ up down cao hơn, sử dụng nhiều ứng dụng hơn, quan trọng phủ sóng rộng khơng bị ảnh hường địa hình Wimax có the thay đồi phương thức điều che có thê tăng vùng phủ cách giảm tốc độ truyen ngược lại, có tốc độ bit nét lý tưởng 128Mbit/s cho download 64Mbit/s cho upload 4.1.3 Mục đích Được dùng để báo mật liệu cho chuyển giao thơng tin qua mạng Admin xác lập chiều nhiều chuỗi rules, gọi Ipsec polisy, nhừng rules nà chứa filters, có trách nhiệm xác định nhùng loại thông tin lưu chuyển yêu càu mã hóa, xác nhận cà Sau mồi packet đươc computer chuyến sè xem xét có hay khơng gặp điều kiện cùa sách Neu gập nhừng điều kiện packet mã hóa, xác nhận số theo quy định từ policy Quy trình hồn tồn vơ hình với User Aplicaton 4.1.4 Tác hại Hacker làm nhiề thứ nắm tay máy chủ mạng điện thoại di động mà việc sử dụng nhũng thuê bao khác đế thực goi ví dụ điền hình Khi hóa đơn tính cước di đơng đột ngột tăng lên chóng mặt Neu sứ dụng máy điện thoại cửa nạn nhân đe thực gọi tin tặc đánh cắp tồn thông tin lưu trữ điện thoại di động bao gồm sổ địa thông tin cá nhân Hacker có the thực tẩn cơng từ chôi dịch vụ (DoS) làm tê liệt điện thoại di động gửi tin thất thiệt " ■1"’~ tứ ’ J 4.1.5 Giỉti pnap Theo nhận xét chung giới bào mật hệ thống máy chù Việt Nam chưa bảo vệ cách chu đáo, khơng muốn nói cơng tác quản trị lỏng léo Giới báo mật việt nam nhiều lan cảnh báo nguy công vào hệ thống máy tính doanh nghiệp cảnh báo bị coi nhẹ 4.2 Cơ CHÉ BẢO MẬT CỦA 1PSEC 4.2.1 Những tính cua IPSec Tính xác nhận Tính nguyên vẹn dừ liệu (Authentication and data integrity) IPSec cung cap chế mạnh mẽ để xác nhận tính chất xác thực cùa người gửi kiêm chứng sừa đồi khơng bảo vệ trước nội dung gói dừ liệu người nhận Các giao thức IPSec đưa khả bảo vệ mạnh để chổng lại dạng công giả mạo, đánh từ chối dịch vụ Sự bảo mật (Confidentiality) Các giao thức IPSec mã hóa liệu cách sử dụng kỳ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập liệu dường cùa IPSec dùng chế tạo hầm đế ấn địa chì IP cúa nút nguồn (người gửi) nút đích (người nhận) lừ ké nghe Tránh trùng lặp (anti-reply) đảm báo gói thơng tin khơng bị trùng lặp bàng việc đánh số thứ tự Gói tin nafotrufng bị loại bỏ, tính tùy chọn Quản ỉý khóa (Key management) IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bao mật thuật toán mã hóa trước suốt phiên giao dịch Một phần quan trọng nừa, IPSec phân phối kiểm tra khóa mã cập nhật khóa yêu cầu Hai tính IPSec, authentication and data integrity, confidentiality, cung cấp hai giao thức giao thức IPSec Những giao thức bao gồm Authentication Header (AH) Encapsulating Security Payload (ESP) Tính nâng thứ ba, key management, nam giao thức khác, IPSec chấp nhận bời dịch vụ quản lý khóa mạnh Giao thức IKE - SAs ĨPSec triển khai bàng chế độ chế độ Transport chế độ Tunnel Cà AH ESP có thệ làm việc với hai chế độ 4.2.2 Kì IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đoi khoá Xét mặt kiến trúc, IPSec xây dựng dựa thành phần sau đây, thành phần định nghĩa tài liệu riêng tương ửng: Hình 4.1: Kiến trúc ỈPsec Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPsec Giao thức ESP (RFC 2406): Mô tà giao thức ESP, giao thức mật mã xác thực thơng tín IPsec Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triên khai IPSec, người sử dụng có the chọn dùng ESP AH, giao thức có ưu nhược êm riêng Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yêu dựa vào thuật toán mã hoá đối xứng Thuật toán xác thực: Định nghĩa thuật tốn xác thực thơng tin sử dụng AH ESP Quản lý khố (RFC 2408): Mơ tả chế quản lý trao đôi khoấ IPSec Miền thực thỉ (Domain of Interpretation - DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà to hợp cùa nhiều chế giao thức kỳ thuật khác nhau, mồi giao thức, chế có nhiều che độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, TPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP ngun thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem ĨPSec tổ hợp gồm hai thành phần: - Giao thức đóng gói, gồm AH ESP - Giao thức trao đổi khoá 1KE (Internet Key Exchange) 4.2.3 Các giao thức sử dụng IPSec 4.2.3.1 Authentication Header (AH) Là EC Mục tiêu củí nạng IP Giao thức cung cấp toàn vẹn, chứng thực nguồn dừ liệu, thực che lọc gói tương ứng sổ tùy chọn khác.Ngồi AH cịn có khản hạn chế cơng giả danh (spoofing) công phát lại Nhưng khác với ESP, khơng cung cấp chức bão mật (data confidential) AH đảm bảo liệu không bị thay đoi q trình trun dan khơng mã hóa dừ liệu Hình 4.2: IP Packet bảo vệ bới AH Trường AH định theo sau AH header Trong transport mode, giá trị giao thức lớp bảo vệ (chẳng hạn ƯDP TCP) Trong tunnel mode, giá trị Vị trí AH transport tunnel mode mơ tả hình sau: Ị III cyflp AH TCP Data I ■< -AlJthMVKdMd Èxcapí MuoMa PkMK ► I Hình 4.3: ỈP Packet báo vệ bơi AH Transport Mode Trong Tunnel Mode AH đóng gói gói tin IP thêm vào IP header trước AH header Hình 4.4: IP Packet đưọc bảo vệ bới A H Tunnel Mode 4.2.3.2 Encapsulation Security Protocol (ESP): Là giao thửc cung cấp an toàn, toàn vẹn, chứng thực nguồn liệu nhừng tùy chọn khác, chẳng hạn anti-replay ESP cung cấp gần tồn tính cùa IPSec, ngồi cịn cung cấp tính mã hóa dừ liệu Đo đó, ESP sử dụng phổ biến IPsec VPN ESP bao gồm nhừng tính sau: • Tính bảo mật (Data confidentiality), • Tính tồn vẹn liệu (Data integrity) • Chứng thực nguồn liệu (Data origin authentication) • Tránh trùng lập (Anti-replay) Những tính nhừng tính nâng đặc trưng yêu cùa IPSec Lun ý: ESP sử dụng IP protocol number 50 Hoạt động ESP; ESP chèn header vào sau phần IP header trước header giao thức lớp Header có thê IP header tunnel mode IP header gói tin ban đẩu transport mode Hình sau J cho thấy "ị trí tfifrispbrt '■VtùrMốĩ rrMe: p 14 EÍP HteNr FrcrrfMC E&p tltlfr TCP »1 ÉS P Au R Hình 4.5: IP Packet bảo vệ ESP Transport Mode Hình 4.6: IP Packet bảo vệ bồi ESP Tunnel Mode 4.2.3.3 Internet Exchange Key (IKE): IPSec dùng giao thức thứ ba Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật tốn mã hóa trước suốt phiên giao dịch Là giao thức thực q trình trao đối khóa thỏa thuận thơng số bảo mật như: thuật tốn mả hóa áp dụng, khoảng thời gian khóa cần thay dối Sau thỏa thuận xong thiết lập “hợp đồng” giừa bên IPsec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở dử liệu cùa SA Ngồi IKE cịn dùng giao thức khác đế chứng thực đầu cuối tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley - ISAKMP: giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA - Oakley: 2Ìao thức làm nhiêm vu chứng thưc khóa, bán chat dùng thuật tốn Diffiềng chưa bảo mật Lưu ý: Giao thức IKE dùng UDP port 500 4.3 CHẾ Độ LÀM VIỆC Hiện IPSec có hai chế độ làm việc: Transport Mode Tunel Mode Cả AH ESP làm việc với hai chế độ 4.3.1 Transport Mode (chế độ vận chuyển) Trong Transport Mode, dừ liệu bạn giao tiếp gói tin mã hóa xác thực Trong q trình routing IP header khơng bị chỉnh sừa hay mã hóa nhiên authentication header sử dụng địa chì IP khơng biết bới thông tin bị hash (băm) Transport aplication layers thường bảo mật bời hàm băm chúng khơng chinh sửa (ví dụ port number) Transoprt Mode sử dụng tình host-to-host Điều có nghĩa đóng gói thơng tin IPSec cho NAT traversal định nghĩa bời thông tin tài liệu RFC bời NAT-T Transport Mode bào vệ giao thức tầng ứng dụng Trong Transoprt Mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng miêu tả hình dưới: Original IP datagram IP Header Datagram with IPSec (AH or ESP) in Transport Mode p Header Header Payload o"“p A Payload Authentication ESPTrailer L Encrypted Authenticated (ESP) Authenticated (AH) IPSec Transport-mode - a generic representation Hình 4.7: IPsec die độ Transport Mode Transport Mode thiếu trình sử lý phần đầu nhanh Tuy nhiên hiÂin nnảìrnnn mervno hrín r-ét Irhan HQno I'Hfing xác nhận mà 4.3.2 Tunnel Mode (chế độ đường hẩm) Trong Tunnel Mode tồn gói IP bao gồm data header mã hóa xác thực Nó phải đóng gói lại dạng IP packet khác trình routing router Tunnel Mode sứ dụng giao tiếp network-tonetwort (hay routers với nhau) host-to-network internet - Không giong Transport mode Tunnel mode bảo vệ tồn gói dừ liệu Tồn gói liệu IP đóng gói gói dừ liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Tồn gói IP ban đầu bị đóng gói bời AH ESP IP header bao bọc xung quanh gói liệu Tồn gói IP sè mã hóa trở thành liệu gói IP Chể độ cho phép nhũng thiểt bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyến chúng dọc theo tunnel Router đích sè giải mã gói IP ban đẩu chuyển hệ thống cuối Vì header sè có địa nguồn gateway - Với tunnel hoạt động hai security gateway, địa chì nguồn đích có thê mã hóa Tunnel mode dùng hai đầu cùa kết nối IPSec security gateway địa chi đích thật phía sau gateway khơng có hỗ trợ IPSec Original IP datagram IP Header Payload Tunneled IP datagram New IP Header IP Header Datagram with IPSec(AH or ESP) in Tunnel Mode New AH or IP Payload IP ESP Header Header Header L Encrypted J Payload ESP Trailer L Authenticated (ESP) ESP Authentication > Authenticated (AH) ntation 11 irni 11 ,3d- if 11 rig LHC Ml/ IIIIIHCÍ r/ccrccc 4.4 Cơ CHẾ BẢO MẶT CỦA IPSEC Hình 4.9: Cư chế bảo mật ỉpsec Sau RI cấu hình để mã hóa bảo vệ traffic từ mạng 10.0.0.0/24 đen 172.16.0.0/24, R1 chờ đợi cho traffic đến Neu traffic đến RI có source 10.0.0.0/24 đến 172.16.0.0/24 (ví dụ: user truy cập vào server) RI biết cần phải mã hóa bảo vệ traffic trước gửi Tuy nhiên, router chưa thiết lập bất cử VPN tunnel nào, nên RI trước hết phải tiến hành thương lượng với R2 Trong trường hợp này, RI thiết bị khời tạo VPN 4.4.1 Thiết lập IKE Phase tunnel 4.4.1.1 Thương lương IKE Phase ỉ policy Trước tiên router thương lượng Internet Key Exchange (IKE) Phase ỉ tunnel Quá trình có the thực Main mode Aggressive mode Main mode sử dụng nhiều gói tin Aggressive mode, đánh giá an toàn Hầu hết VPN mặc định sử dụng Main mode IKE Phase tunnel dung de router trao đổi trực tiếp vói Tunnel khơng dùng de forward gói tin cúa user, mà dùng để bảo vệ management traffic liên quan đến VPN router Ví dụ keepalive message dùng để kiểm tra VPN tunnel vần hoạt động traffic mà router gửi qua IKE Phase tunnel^ Vĩ RI IKE Phase tunnel chưa uuỢc thièt lạp, 1ÍCI1 R1 iouici M1U1 lựu vice uiuuiig lượng RI gửi tất tham số cấu hình/mặc định mà muốn sử dụng cho ĨKE Phase I tunnel Đê IKE Phase tunnel thiêt lập thành cơng có thứ (gọi chung IKE Phase policy) mà VPN gateway phái đồng ý với nhau: • Thuật tốn hash: Có thể MD5 SHA • Thuật tốn mã hóa: Có thể DES, 3DES, AES với chiều dài key khác (key dài tốt) • Diffie-Hellman (DH) group: DH group cho biết modulus size (chiều dài key) dùng cho q trình trao đơi key Group dùng 768 bit, group dùng 1024 bit, group dùng 1536 bít Mục đích DH tạo shared secret number zz, từ zz chuyển đổi sang keying material Keying material dùng làm key-encryption key (KEK) đê mã hóa content-encryption key (CEK), với CEK key đối xứng dùng đê mã hóa traffic • Kiểu chứng thực: Dùng để kiểm tra định danh VPN peer phía bên tunnel Có sử dụng pre-shared key (PSK) chữ ký sô RSA 33 • Lifetime: Sau IKE Phase tunnel sè bị hủy bỏ Mặc định ngày, hay 86400s Đây tham so mà không cần phái giống xác giừa VPN peers Neu tất tham sổ khác giống lifetime khác VPN peers dùng lifetime nhỏ (ví dụ: RI đề nghị lifetime ngày, R2 đề nghị nửa ngày RI R2 sè đồng ý dùng lifetime nửa ngày) Lifetime ngắn xem an tồn hơn, attacker khơng có nhiều thời gian đe lìm key dùng tunnel 4.4.1.2 Trao đổi key Sau đồng ý với IKE Phase policy VPN peer, thiết bi tiến hành trao đối key thuật toán DH (DH key exchange) Chúng sử dụng DH group đồng ý với trình thương lượng, kết thúc q trình trao đồi key chúng sè có shared secret keying material có thê dùng cho thuật tốn đổi xứng (như AES) 4.4.1.3 Chửng thục VPN peer Bước cuối IKE Phase chứng thực VPN peer phía bên Các VPN gateway chứna thưc lẫn bans Dhươns ohÚD mà chúng đồng ý bước (PSl cơng IKE Phase tunnel uuụt IILICÍ iạp giũa 'vPN gateway LUIILICÌ có LH111 chât chiểu (bidirectional) VPN peers sử dụng session key để mã hóa giải mã cà inbound outbound traffic 4.4.2 Thiết lập IKE Phase tunnel IKE Phase tunnel management tunnel cho phép router trao đỗi trực tiep với cách an toàn IKE Phase tunnel khơng dùng để mã hóa bão vệ gói tin cửa user Đe làm việc VPN gateway tạo tunnel khác dành riêng cho việc mã hóa gói tin user Tunnel gọi IKE Phase tunnel, hay ĨPsec tunnel router, với IKE Phase tunnel thiết lập, sè tận dụng IKE Phase ỉ tunnel đế thương lượng cách an toàn thiết lập IKE Phase tunnel IKE Phase policy (bao gồm mã hóa, hash) cịn gọi transform set Mã hóa hash IKE Phase dùng cho traffic user, mã hóa hash IKE Phase dùng cho management traffic cùa VPN mà router thương lượng trao đổi trực tiếp với Phase 2, ngồi transform set router thương lượng mode sử dụng (tunnel mode hay transport mode) có sử dụng PFS hay khơng (PFS viết tắt Perfect Forward Secrecy PFS cho phép router chạy lại thuật toán DH để tạo shared secret number zz khác, thay dùng lại giá trị zz tạo lừ DH Phase 1) Dưới cách đóng gói gói tin sứ dụng mode khác (tunnel/transport) giao thức khác (AH/ESP) IP IPL2 L2 New AH IP IPTCP/U TCP/U Data Data Heade Frame/ Heade Heade Heade Heade HeadeDP DP r r r rr r Heade Heade Packet r AH AH Tunnel L2 IP AH TCP/U Data ModeTransport Heade Heade Heade DP L2 ESP r TCP/U r Data ESP ES ModeIP r Heade P Trailer Heade DP Heade Heade Authenticated Aut r Heade r r h Authenticated ESP Transport Mode New L2 IP Heade Heade r ESP r Tunne! Mode ES P Heade r IP Heade r TCP/U DP Heade Data ES P Trailer ESP Au th Encrypted Authenticated Hình 4.10: Cách đánh gói gói tin sử dụng mode khác Chứ ý: V7 AH không hỗ trợ mã hóa nên sử dụng Tương tự IKE Phase 1, lifetime IKE Phase khơng thiet phải giong hồn tồn giừa VPN peers Neu lifetime IKE Phase khác VPN peers sè sử dụng lifetime nhỏ Tồn cấc trao đôi thương lượng IKE Phase tunnel thực cách an toàn IKE Phase tunnel bảo vệ traffic Tên mode dùng để thiết lập IKE Phase tunnel Quick mode Sau IKE Phase tunnel thiết lập xong router có thê tiến hành mã hóa traffic user gửi traffic đến cho VPN peer phía bên kía Từ Internet nhìn vào thấy gói tin có source IP RI destination IP R2 Tồn gói tin gổc (bao gồm cà source IP, destination IP nội dung user gửi cho server) mã hóa đóng gói bên gói tin Chỉ có IP header (với source IP RI, destination IP R2) ESP header dạng plain text, cịn tồn nội dung cúa gói tin ban đau đêu mã hóa ESP giao thức Layer có protocol ID = 50 Khi R2 nhận gói tin IPsec, R2 de-encapsulate, thấy ESP R2 dùng secret key đê giải mã phần bên Sau giải mã xong, R2 sè forward gói tin ban đầu (plain text) den cho server Tóm lại, VPN peers/gateways thương lượng IKE Phase tunnel Main mode Aggressive mode, sau dùng Quick mode de thiết lập IKE Phase tunnel Chúng sử dung IKE Phase tunnel đê mã hóa giải mã traffic cứa user Thực sự, IKE Phase tunnel bao gồm tunnel có tính chat chiều (unidirectional): từ RI den R2, từ R2 đen RI (nghĩa có session key khác dùng cho mồi hướng: cho inbound đề giải mã traffic, cho outbound đê mã hóa traffic) User hồn tồn khơng biết q trình này, khơng biết gói tin họ mã hóa Ta có IKE Phase tunnel (tính chất chiều) dùng cho management traffic gíừa VPN peers, hai IKE Phase tunnel (tính chất chiều) dùng để mã hóa giải mã user trí PN peers, thường đ ho sô định danh (SPI - Security Parameter Index) đe theo dõi Inbound SPI VPN peer outbound SPI cúa VPN peer kia, ngược lại Mồi loại traffic (được mô tả crypto ACL) theo dõi cặp inbound outbound SPI CHƯƠNG 5: TƠNG KẾT Hiộn giới cơng việc bảo mật nâng cao dịch vụ cho mạng thông tin di động 4G-LTE triến khai mạnh mè Luận văn “Nghiên cứu xây dựng giải pháp bảo mật cho mạng thông tin di động 4G-LTE” trước tiên trình bày tổng quan xu hướng tiến hóa mạng thơng tin di động từ 2G lên 4G Chương I trình nhũng kiến thức mạng thông tin di động 4GLTE gồm kiến trúc giao diện giao thức bán hệ thong Chương II, chương in chương IV trình bày giải pháp bảo mật cho mạng việc bảo mật cho thoại LTE Bão mật cho eNodcB Cuối giao thức bảo mật IPSEC Đồ án sở để thực nghiên cứu chuyên sâu bảo mật cho mạng 4G TÀI LIỆU THAM KHẢO c.Gessner (2008), “UMTS Long Term Evolution (LTE) Technology Introduction’’, Rohde-Schwarz Erik Dahl man, Stefan Parkvall and Johan Skold, “LTE/LTE- Advanced for mobile broadband” Các website tham khảo: www.vntclecom.oiu www.dientucongnghe.net www.wikipedia.org www.3gpp.org ... Hiộn giới công việc bảo mật nâng cao dịch vụ cho mạng thông tin di động 4G- LTE triến khai mạnh mè Luận văn “Nghiên cứu xây dựng giải pháp bảo mật cho mạng thông tin di động 4G- LTE? ?? trước tiên trình... số giải phấp bảo mật thường dùng mạng thông tin di động 4G LTE CHƯƠNG 2: BẢO MẬT THOẠI TRONG LTE 2.1 Tổng quan Thoại có lịch sử ứng dụng mạng thông tin di động thành công thê hệ toàn cầu cho. .. point-point mạng riêng Và giải pháp bảo mật mạng tạo nên đường ống bảo mật cho VPN Vì vậy, em lựa chọn làm đồ án tốt nghiệp đề tài: “ Giải pháp báo mật cho mạng thông tin di động 4G LTE? ?? Với hiếu biêt