LỜI CAM ĐOAN Tơi Trịnh Tiến Bình, tơi xin cam đoan luận văn thạc sỹ đề tài “Các giải pháp an ninh cho mạng thông tin di động 3G WCDMA” Do tay tơi nghiên cứu thực Các thông tin, số liệu sử dụng luận văn trung thực xác Học viên Trịnh Tiến Bình LỜI CẢM ƠN Lời tơi xin gửi lời cảm ơn đến tồn thể thầy, giáo Viện Đại Học Mở Hà Nội tận tình bảo tơi suốt thời gian học tập nhà trường Tôi xin gửi lời cảm ơn sâu sắc đến thầy giáo, Tiến sĩ Nguyễn Đăng Tiến, người trực tiếp hướng dẫn, tạo điều kiện thuận lợi tận tình bảo cho tơi suốt thời gian làm luận văn tốt nghiệp Bên cạnh đó, để hồn thành luận văn này, tơi nhận nhiều giúp đỡ, lời động viên quý báu bạn bè, anh chị thân hữu, xin hết Tuy nhiên, thời gian hạn hẹp, nỗ lực mình, luận văn khó tránh khỏi thiếu sót Tơi mong nhận thông cảm bảo tận tình q thầy bạn HỌC VIÊN MỤC LỤC: LỜI CAM ĐOAN………………………………………………………………… …1 LỜI CẢM ƠN………………………………………………………………………….2 LỜI MỞ ĐẦU ………………………………………………………………….…….11 CHƯƠNG I: GIỚI THIỆU CHUNG VỀ AN NINH 12 1.1 Các yếu tố cần thiết để tạo môi trường an ninh 12 1.2 Các đe dọa an ninh 14 1.3 Các công nghệ an ninh 16 1.3.1 Kỹ thuật mật mã 16 1.3.2 Các giải thuật đối xứng 16 1.3.3 Các giải thuật không đối xứng 17 1.3.4 Nhận thực 19 1.3.5 Các chữ ký điện tử tóm tắt tin 20 1.3.6 Chứng nhận số 22 1.3.7 Hạ tầng khóa cơng khai, PKI 23 1.3.8 Nhận thực tin nhận thực 27 1.4 Các giao thức hàng đầu 29 1.4.1 Lớp ổ cắm an toàn (SSL - Secure Sockets Layer) 29 1.4.2 An ninh lớp truyền tải (TLS - Transport Layer Security) 30 1.4.3 An ninh lớp truyền tải vô tuyến (WTLS) 30 1.4.4 An ninh IP, IPSec 31 1.5 Các biện pháp an ninh khác 35 1.5.1 Tường lửa 35 1.5.2 Mạng riêng ảo (VPN) 36 1.5.3 Nhận thực hai nhân tố 36 1.5.4 Nhận thực phương pháp sinh học 36 1.5.5 Chính sách an ninh 37 1.6 An ninh giao thức vô tuyến, WAP 37 1.6.1 Mở đầu 37 1.6.2 An ninh lớp truyền tải, TLS 38 1.6.3 Lỗ hổng WAP 39 1.6.4 WAP 2.x 40 1.7 An ninh lớp ứng dụng 40 1.8 An ninh client thông minh 41 CHƯƠNG II: TỔNG QUAN MẠNG 3G WCDMA 44 2.1 Lộ trình phát triển thơng tin di động lên 4G 44 2.2 Kiến trúc chung hệ thống thông tin di động 3G 45 2.3 Chuyển mạch kênh (CS), chuyển mạch gói (PS), dịch vụ chuyển mạch kênh dịch vụ chuyển mạch gói 47 2.4 Các loại lưu lượng dịch vụ 3G WCDMA hỗ trợ 50 2.5 Kiến trúc 3G WCDMA R3 52 2.5.1 Thiết bị người sử dụng (UE) 53 USIM 55 2.5.2 Mạng truy nhập vô tuyến WCDMA 55 2.5.3 Mạng lõi 57 2.5.4 Các mạng 61 2.5.5 Các giao diện 61 2.6 Kiến trúc 3G WCDMA R4 62 2.7 Kiến trúc 3G WCDMA R5 R6 64 2.8 Chiến lược dịch chuyển từ GSM sang WCDMA 66 2.8.1 3GR1 : Kiến trúc mạng WCDMA chồng lấn 67 2.8.2 3GR2 : Tích hợp mạng WCDMA GSM 67 2.8.3 3GR3 : Kiến trúc RAN thống 68 2.9 Cấu hình địa lý hệ thống thơng tin di động 3G 69 2.9.1 Phân chia theo vùng mạng 69 2.9.2 Phân chia theo vùng phục vụ MSC/VLR SGSN 69 2.9.3 Phân chia theo vùng định vị vùng định tuyến 70 2.9.4 Phân chia theo ô 70 2.9.5 Mẫu ô 71 2.9.6 Tổng kết phân chia vùng địa lý hệ thống thông tin di động 3G 72 CHƯƠNG III: CÔNG NGHỆ AN NINH 3G WCDMA 73 3.1 Mô hình kiến trúc an ninh 3G WCDMA 74 3.1.1 nhận thực 75 3.1.2 Bảo mật 75 3.1.3 Toàn vẹn 76 3.2 Mô hình an ninh giao diện vơ tuyến 3G WCDMA 77 3.2.1 Mạng nhận thực người sử dụng 78 3.2.2 USIM nhận thực mạng 78 3.2.3 Mật mã hóa UTRAN 79 3.2.4 Bảo vệ toàn vẹn báo hiệu RRC 80 3.3 Nhận thực thỏa thuận khóa, AKA 81 3.3.1 Tổng quan AKA 81 3.3.2 Thủ tục AKA thông thường 82 3.3.3 Thủ tục AKA HLR/AuC 84 3.3.4 Thủ tục AKA USIM 84 3.3.5 Thủ tục AKA VLR/SGSN 85 3.3.6 USIM từ chối trả lời 85 3.4 Thủ tục đồng lại, AKA 86 3.4.1 Thủ tục đồng lại USIM 87 3.4.2 Thủ tục đồng lại AuC 88 3.4.3 Thủ tục đồng lại VLR/SGSN 88 3.4.4 Sử dụng lại AV 88 3.4.5 Xử lý gọi khẩn 89 3.5 Các hàm mật mã 89 3.5.1 Yêu cầu giải thuật hàm mật mã 89 3.5.2 Các hàm mật mã 89 3.5.3 Sử dụng hàm bình thường để tạo AV AuC 90 3.5.4 Sử dụng hàm bình thường để tạo thông số an ninh USIM 91 3.5.5 Sử dụng hàm để đồng lại USIM 92 3.5.6 Sử dụng hàm đồng lại AuC 93 3.5.7 Thứ tự tạo khóa 94 3.6 Tổng kết thông số nhận thực 94 3.6.1 Các thông số AV 94 3.6.2 AUTN 94 3.6.3 RES XRES 95 3.6.4 MAC-A XMAC-A 95 3.6.5 AUTS 95 3.6.6 MAC-S XMAC-S 95 3.6.7 Kích cỡ thơng số nhận thực 96 3.7 Sử dụng hàm f9 để tính tốn mã tồn vẹn 96 3.7.1 Các thơng số đầu vào cho giải thuật tồn vẹn 97 3.7.2 MAC-I XMAC-I 98 3.7.3 Nhận dạng UIA 99 3.7.4 Các tin khơng bảo vệ tồn vẹn 99 3.8 Sử dụng hàm bảo mật f8 99 3.8.1 Các thông số đầu vào giải thuật mật mã 100 3.8.2 Nhận dạng UEA 101 3.9 Thời hạn hiệu lực khóa 102 3.10 Các giải thuật KASUMI 102 3.11 Các vấn đề an ninh 3G 102 3.11.1 Các phần tử an ninh 2G giữ 102 3.11.2 Các điểm yếu an ninh 103 3.11.3 Các tính an ninh dịch vụ 103 3.12 Bàn luận 104 3.12.1 Mở đầu 104 3.12.2 Các đe dọa an ninh WCDMA 104 3.12.3 Mật mã hóa giao diện vơ tuyến 105 3.12.4 Các nút chứa khóa 105 3.12.5 Nhận thực 106 3.12.6 Các thao tác an ninh độc lập người sử dụng…………………………………………………………………………………… 107 3.12.7 Toàn vẹn số liệu 107 3.12.8 Bảo mật người sử dụng 107 3.12.9 Đe dọa an ninh công cách phát lại 109 3.12.10 Truyền thông không an ninh CN 109 3.12.11 Độ dài khóa 109 3.12.12 Giấu tên dịch vụ mức cao 110 3.12.13 Mật mã hóa đầu cuối - đầu cuối 110 3.13 An ninh mạng 111 3.13.1 IPSec 111 3.13.2 MAPSec 112 3.14 An ninh chuyển mạng 2G VÀ 3G 112 3.14.1 Mở đầu 113 3.14.2 Các trường hợp chuyển mạng 113 3.14.3 Khả tương tác người sử dụng WCDMA 114 3.14.4 Khả tương tác người sử dụng GMS/GPRS 115 KẾT KUẬN 117 TÀI LIỆU THAM KHẢO 118 DANH SÁCH HÌNH VẼ: Hình 1.1 Minh họa chế sở mật mã khóa riêng 16 Hình 1.2 Nhận thực khóa cơng khai 20 Hình 1.3 Quá trình sử dụng tóm tắt (digest) tin 20 Hình 1.4 PKI dựa phân cấp CA phân bố 25 Hình 1.5 Nhận thực chữ ký điện tử 26 Hình 1.6 Phương pháp nhận thực sử dụng khóa MAC 27 Hình 1.7 Khn dạng gói sử dụng AH chế độ truyền tải vàđường hầm (tunnel) IPSec 31 Hình 1.8 Khn dạng gói sử dụng ESP chế độ truyền tải 32 Hình 1.9 Thí dụ kiến trúc IPSec (các cổng máy) 34 Hình 1.10 Thí dụ sử dụng hai tường lửa với cấu hình khác để đảm bảo mức an ninh khác cho hãng 35 Hình 2.1 Lộ trình phát triển cơng nghệ thơng tin di động lên 4G 45 Hình 2.2 Lịch trình nghiên cứu phát triển 3GPP 45 Hình 2.3 Lộ trình tăng tốc độ truyền số liệu phát hành 3GPP 45 Hình 2.4 Kiến trúc tổng quát mạng di động kết hợp CS PS 46 Hình 2.5 Chuyển mạch kênh (CS) chuyển mạch gói (PS) 48 Hình 2.6 Đóng bao tháo bao cho gói IP q trình truyền tunnel 49 Hình 2.7 Thiết lập kết nối tunnel chuyển mạch tunnel 50 Hình 2.8 Kiến trúc 3G WCDMA WCDMA R3 53 Hình 2.9 Vai trị logic SRNC DRNC 56 Hình 2.10 Kiến trúc mạng phân bố phát hành 3GPP R4 62 Hình 2.11 Kiến trúc mạng 3GPP R5 R6 64 Hình 2.12 Chuyển đổi dần từ R4 sang R5 66 Hình 2.13 Kiến trúc đồng tồn GSM WCDMA (phát hành 3GR1.1) 67 Hình 2.14 Kiến trúc mạng RAN tích hợp phát hành 3GR2 (R2.1) 68 Hình 2.15 Kiến trúc RAN thống 3GR3.1 68 Hình 2.16 Phân chia mạng thành vùng phục vụ MSC/VLR SGSN 69 Hình 2.17 Phân chia vùng phục vụ MSC/VLR SGSN thành vùng định vị (LA: Location Area) định tuyến (RA: Routing Area) 70 Hình 2.18 Phân chia LA RA 71 Hình 2.19 Các kiểu mẫu 71 Hình 2.20 Các khái niệm phân chia vùng địa lý 3G WCDMA WCDMA 72 Hình 3.1 Mơ hình an ninh cho giao diện vơ tuyến 3G WCDMA 77 Hình 3.2 Nhận thực người sử dụng VLR/SGSN 78 Hình 3.3 Nhận thực mạng USIM 79 Hình 3.4 Bộ mật mã luồng WCDMA 79 Hình 3.5 Nhận thực vẹn tin 80 Hình 3.6 Tổng quan q trình nhận thực thỏa thuận khóa 82 Hình 3.7 Biểu đồ chuỗi báo hiệu AKA 83 Hình 3.8 Thủ tục từ chối trả lời nhận thực 85 Hình 3.9 Thủ tục đồng lại AKA 86 Hình 3.10 Tạo Av AuC 91 Hình 11 Tạo thơng số an ninh USIM 92 Hình 3.12 Tạo AUTS USIM 92 Hình 3.13 Thủ tục đồng lại AuC 93 Hình 3.14 Nhận thực toàn vẹn tin với sử dụng hàm tồn vẹn f9 97 Hình 3.15 Q trình mật mã hóa giả mật mã sử dụng hàm f8 100 Hình 3.16 Phân phối IMIS số liệu nhận thực SN 106 Hình 3.17 Nhận dạng người sử dụng theo IMSI 108 Hình 18 Chế độ truyền tải 111 Hình 3.19 chế độ truyền tunnel 112 Hình 3.20 Kiến trúc mạng linh hoạt 113 Hình 3.21 Chuyển mạng thuê bao WCDMA 114 Hình 3.22 chuyển mạng thuê bao GSM 115 Hình 3.23 An ninh chuyển mạng máy di động hai chế độ (WCDMA GSM) phát hành tương ứng 116 DANH SÁCH BẢNG BIỂU: Bảng 2.1 Phân loại dịch vụ 3GWDCMA WCDMA 51 Bảng 3.1 Các hàm mật mã đầu chúng 90 Bảng 3.2 Các thông số AV 94 Bảng 3.3 Số bit thông số nhận thực 96 Bảng 3.4 Các thông số đầu vào cho hàm f9 97 Bảng 3.5 Các thông số đầu vào cho hàm f8 100 10 - Đầu cuối sử dụng làm tảng cho thương mại điện tử ứng dụng khác 3.12 Bàn luận Phần bàn luận thực an ninh hệ thống WCDMA 3.12.1 Mở đầu Người ta thường mô tả hệ thống di động không tốt hệ thống mạng khác Vì hệ thống di động lại có điểm khơng hồn thiện? Và điều ảnh hưởng lên việc phát triển hệ thống 3G nào? 3G WCDMA có nhược điểm vấn đề an ninh? Trong phần ta bàn số nguyên lý mục tiêu an ninh mục 3.12 với vấn đè an ninh liên quan khác 3.12.2 Các đe dọa an ninh WCDMA Kiểu công thường gặp tìm cách truy nhập vào máy đầu cuối Người sử dụng tự bảo vệ cách thiết lập PIN Nghe trộm điện tử dạng cơng thường gặp khác mà ta khó phát ngăn chặn Bằng cách nghe trộm kẻ cơng tìm cách bắt trộm thơng tin giá trị nhận dạng người sử dụng mật Các chương trình nghe trộm có sẵn Internet tải xuống Đối với kẻ xấu công cụ mạng để theo dõi mạng Thông tin nhận dạng từ nghe trộm sử dụng cho phương pháp đánh lừa Bằng phương pháp này, kẻ cơng có thẻ sử dụng địa IP người để nhận gói từ người sử dụng khác Đây thực đe dọa lớn hãng nơi nhà quản lý khách hàng trao đổi số liệu mạng Internet Một can thiệp sâu nghe trộm chiếm phiên Trong trường hợp kẻ cơng chiếm kết nối có chí chế nhận thực mạnh chống lại chiếm đoạt Một dạng công khác từ chối dịch vụ (DoS: Denial of Service) Kẻ xâm hại tìm cách gây hại cho người sử dụng nhà cung cấp dịch vụ Tấn công tiến hành cách tạo lưu lượng gây nhiễu làm tắc nghẽn server đích khiến cho khơng thể cung cấp dịch vụ Q trình tiến hành cách phát 104 số lượng lượng yêu cầu sau bỏ qua tất công nhận mà server gửi trả lời Khi đệm chứa yêu cầu kết nối liên tục làm đầy, server bị đầy 3.12.3 Mật mã hóa giao diện vơ tuyến Trong GSM, mật mã giao diện vô tuyến xảy BTS MS Vì nhiều BTS nối đến BSC đường vi ba số, nên cần phải đảm bảo thông tin chúng an ninh Các đường truyền vi ba số mật mã hóa (trừ ngẫu nhiên hóa) WCDMA, RNC phải chịu trách nhiệm bảo mật thay cho nút B để tránh điều Điều tăng an ninh đường vi ba số chúng điểm yếu giao diện Uu đầu cuối nút B Trong W-CDMA (công nghệ truy nhập vô tuyến WCDMA), tín hiệu “ẩn” tạp âm Các tin gửi gói thơng tin mã hóa thời gian lẫn tần số, ngồi chúng XOR với mật mã trải phổ, khó nghe trộm luồng số người sử dụng Tuy nhiên bảo mật khơng tích cực nút B RNC, luồng số liệu người sử dụng dễ bị phát dạng văn thô Để tăng cường an ninh giao diệ vô tuyến UTRAN, luôn cần tích cực bảo vệ tồn vẹn Một giải pháp khác áp dụng bảo mật mạng để tất kết nối an toàn 3.12.4 Các nút chứa khóa Bảo mật GSM đặt BTS, WCDMA, bảo mật bảo vệ toàn vẹ chuyển đến gần CN giảm bớt nút lưu giữ khóa mật mã khóa an ninh Khi có nút xử lý khóa hơn, việc điều khiển sử dụng khóa dễ nhiều Nhưng điều có nghĩa VLR/SGSN phải theo dõi xem RNC thu theo dõi xóa chúng Mỗi người sử dụng chuyển động vào vùng VLR/SGSN mới, số nhận dạng tạm thời người sử dụng cần chuyển giao VLR/SGSN cũ Các AV lưu chuyển giao VLR/SGSN cũ gửi chúng, phải xóa AV Sau buộc RNC xóa khóa lưu Hình 3.16 cho thấy trình phân phát IMIS số liệu nhận thực SN 105 Hình 3.16 Phân phối IMIS số liệu nhận thực SN Bằng cách hạn chế số khóa lưu hệ thống, ta giảm rủi ro người sử dụng trái phép Vì nút VLR/SGSN phục vụ phải trì điều khiển chặt chẽ RNC mà cung cấp khóa CK/IK buộc chúng phải xóa khóa khơng cịn sử dụng Ngồi AV lưu phải xóa khơng sử dụng 3.12.5 Nhận thực Nhận thực người sử dụng WCDMA giao thực giống nhận thực GSM.Vấn đề BTS giả mạo GSM xảy khơng có nhận thực mạng từ phía người sử dụng Bằng cách đưa BTS giả, kẻ mạo danh buộc thuê bao sử dụng BTS mà khơng có nhận thực bảo mật Điều dẫn đến thông tin thực giao diện vô tuyến BTS dạng văn thơ Vì truy nhập BTS này, kẻ xâm phàm nghe số liệu người sử dụng Để tránh nhược điểm này, WCDMA nhận thực mạng từ phía người sử dụng đưa Bản tin AUTN gửi từ AuC đến USIM để nhận thực AuC Bằng cách này, VLR/SGSN thực AKA cho thấy HE người sử dụng tin tưởng Vì bảo vệ tồn vẹn khơng phải tùy chọn, cho phép tránh BTS giả Tất tin báo hiệu phải bảo vệ tồn vẹn khơng thể xảy chuyển giao đến mạng không phép thiếu IK 106 Nhận thực hai phía: mạng người sử dụng đảm bảo hàm tạo khóa tin cậy 3.12.6 Các thao tác an ninh độc lập người sử dụng Các thao tác an ninh WCDMA độc lập người sử dụng USIM SN tự động thực AKA sử dụng bảo vệ toàn vẹn, bảo mật Bảo vệ tồn vẹn ln ln thực cho tin báo hiệu WCDMA (trừ chối gọi khẩn), không sử dụng cho số liệu người sử dụng, bảo mật tùy chọn nên người sử dụng phải thơng báo sử dụng hay không Đối với số gọi người sử dụng khơng quan tâm có hay khơng có bảo mật, giao dịch nhạy cảm (ngân hàng trực tuyến chẳng hạn) dịch vụ phải thực với bảo mật Đầu cuối phải cung cấp khả lập cấu hình cho sử dụng dịch vụ cần cung cấp tùy theo dịch vụ an ninh tích cực với việc khẳng định điều hình 3.12.7 Tồn vẹn số liệu Tồn vẹn số liệu người sử dụng khơng cung cấp WCDMA để giảm tải xử lý UE RNC giảm phần bổ sung tin Tuy nhiên truyền thông không bảo vệ tồn vẹn, tin USIM RNC bị giả mạo Khi tryền tin có bảo vệ toàn vẹn, tin giả mạo bị trừ chối phía thu giao thức lớp cao yêu cầu phát lại Như bảo vệ toàn vẹn số liệu WCDMA Chỉ thực giao thức lớp cao 3.12.8 Bảo mật người sử dụng Quá trình nhận dạng người sử dụng WCDMA sử dụng số nhận dạng cố định (IMIS) giống GSM Tuy nhiên nhận dạng UTRAN thực cách sử dụng TMSI lưu lượng CS P-TMSI lưu lượng PS Tuy nhiên cần đăng ký bắt đầu đăng ký thuê bao mạng khơng thể biết nhận dạng cố định người sử dụng Một người sử dụng nhận dạng SN, SN cung cấp TMSI P-TMSI để đảm bảo người sử dụng có nhận dạng riêng trì quan hệ IMSI TMSI TMSI sử dụng cho 107 đến TMSI định mạng Khi TMSI mạng ấn định công nhận, TMIS cũ loại bỏ khỏi VLR hay SGSN Trong trường hợp không công nhận, VLR/SGSN giữ nguyên hai TMSI sử dụng số chúng Bảo mật ngược sử dụng đảm bảo WCDMA cách sử dụng nhận dạng tạm thời Chỉ có VLR/SGSN biết quan hệ IMSI TMSI RNC nút B biết TMSI Các TMSI sử dụng đường truyền vô tuyến nối đến đầu cuối để không cho kẻ trộm tìm nối đến nút B IMSI coi bí mật phải xử lý bí mật Nếu thuê bao di động mạng thực chuyển giao, nút mạng nối với chuyển giao số nhận dạng tạm thời chúng để tránh lộ số nhận dạng thực (IMSI) Tuy nhiên người sử dụng đến SN mà khơng có số nhận dạng tạm thời từ mạng ĐIều thường xảy người sử dụng đăng ký mạng lần đầu vầ nút SN phân giải số nhấn dạng tạm thời trao đổi với nút khác Nếu xảy điều này, VLR/SGSN phải hỏi số nhận dạng cố định (IMSI) th bao khơng thể có thủ tục AKA gửi thực trước biết biết số nhận dạng, nên tin trả lời gửi văn thô từ USIM đến VLR/SGSN giao diện vơ tuyến (xem hình 3.17) Đây đe dọa an ninh lớn WCDMA Vấn đề chỗ USIM để tự nhận dạng SN khác với mạng thuộc nhà khai thác quản lý phải tự cung cấp số nhận dạng tồn cầu Hình 3.17 Nhận dạng người sử dụng theo IMSI 108 3.12.9 Đe dọa an ninh công cách phát lại Các công cách phát lại hệ thống tin bị chặn sau phát lại Điều dễ dàng thực gây vấn đề sử dụng biến đầu vào số liệu cố định, để khắc phục nhược điểm số trình tự (các đầu vào thay đổi theo thời gian) sử dụng Các số trình tự AV đưa để tránh việc SN hay mạng khác tìm cách sử dụng AV nhiều lần để nhận thực tạo khóa Các tin sử dụng nhiều lần tin “ Yêu cầu nhận thực người sử dụng “ hay trả lời VLR/SGSN USIM bị Khi đồng hồ chờ tin VLR/SGSN chạy hết, yêu cầu phát lại tin “ Yêu cầu nhận thực người sử dụng” Các hàm f8 f9 có đếm để tránh công phát lại Với đêm khác cho đường lên đường xuống, đếm có giá trị đầu vào, nhiên để đảm bảo gửi tin hướng số nhận dạng sử dụng Có thể coi hệ thống WCDMA an toàn công phát lại 3.12.10 Truyền thông không an ninh CN Truyền thông nút mạng CN chưa dảm bảo an ninh Vì tin truyền nút dạng văn thô Điều dẫn đến dễ nghe trộm số liệu người sử dụng tin báo hiệu đường từ đường chép lại AV Các kẻ giả danh nhà khai thác sử dụng AV để trao quyền truyền thông dạng bảo vệ toàn vẹn với người sử dụng, kẻ giả danh tin cậy để nghe trộm số liệu người sử dụng đường truyền Nhóm an ninh 3GPP nghiên cứu để đưa mật mã hóa nút mạng phục vụ (SN), chưa có kết đường truyền mối de dọa an ninh lớn WCDMA 3.12.11 Độ dài khóa Độ dài khóa trogn WCDMA 128 bit Tại thời điểm tương lai gần đủ Tuy nhiên cần lưu ý công suất tính tốn máy tính khơng ngừng tăng nên tương lai độ dài tăng 109 3.12.12 Giấu tên dịch vụ mức cao Khi thủ tục AKA thực hiện, người sử dụng nhận dạng với mạng mạng biết gửi tin tính cước dịch vụ cho Sự tăng trưởng sử dụng thẻ di động (thẻ ghi nợ) cho dịch vụ không đắt tiền máy bán hàng trơng xe, đạt dấu tên người sử dụng AKA nhà cung cấp dịch vụ không cần quan tâm đến nhận dạng người sử dụng chừng họ toán tiền Chừng người sử dụng cịn đồng ý tốn tiền cho dịch vụ (trả trước hay đăng ký trả sau), nhà khia thác dịch vụ không cần biết người sử dụng Người sử dụng phải có khả lập cấu hình dịch vụ để biết vị trí thời mà giấu tên ứng dụng mức cao Người sử dụng phải có khă từ chối ứng dụng nhà cung cấp dịch vụ, ứng dụng địi hỏi theo dõi thói quen người sử dụng 3.12.13 Mật mã hóa đầu cuối - đầu cuối Vì mật mã hóa bảo vệ tính tồn vẹn kết nối RNC, nên tin bị làm giả CN Một số dịch vụ yêu cầu bảo vệ toàn vẹn đầu cuối RNC, số dịch vụ khác nhạy cảm cần giữ bí mật từ đầu cuối đến đầu cuối Để đảm bảo toàn vẹn bảo mật truyền thơng, cần sử dụng mật mã hóa đầu cuốiđầu cuối Trong hệ thống 2G băng hẹp, khó thực mật mã hóa đầu cuối đầu cuối thời gian thực, mạng băng rộng áp dụng giải pháp mật mã hóa thông thường Cả số liệu lưu lượng thoại mật mã hóa điều tăng an toàn cá nhân cho người sử dụng Các quan thẩm quyền muốn sử dụng thủ tục chặn theo luật để lấy truyền thông thoại số liệu người sử dụng khơng hài lịng khơng thể theo dõi truyền thơng, biện pháp nói cho phép tăng an ninh cá nhân cho người sử dụng Các quan có thẩm quyền muốn kiểm sốt số lượng gọi người sử dụng, gọi xảy nào, đến đâu gọi dài bao lâu, họ xâm phạm tính riêng tư người sử dụng cách nghe gọi đọc số liệu phát thu 110 3.13 An ninh mạng Tính quan trọng sử dụng để bảo vệ lưu lượng miền mạng giao thức IPSec Nó đảm bảo tính bí mật tồn vẹn cho truyền thơng lớp IP Các phía thơng tin nhận thực lẫn cách sử dụng IPSec Ngoài việc bảo vệ mạng dựa IP, chế an ninh đặc biệt gọi MAPSEC phát triển để bảo vệ giao thực ứng dụng có 3.13.1 IPSec Các phần IPSec tiêu đề nhận thực (AH: Authentication Header), tải tin an ninh đóng bao (ESP: Encapsulation Security Payload) trao đổi khóa Intrenet (IKE: Internet Key Exchange) Hình 18 Chế độ truyền tải IPSec sử dụng để bảo vệ gói IP Q trình thực ESP, đảm bảo bí mật lẫn tồn vẹn, cịn AH đảm bảo tính tồn vẹn mà thơi Cả ESP AH đề cần khóa để thực nhận thực mật mã hóa gói Vì trước sử dụng ESP AH cần đàm phán khóa Q trình thực cách an ninh thông qua IKE xây dựng ý tưởng mật mã hóa cơng cộng nhằm trao đổi thông tin an ninh đường truyền không an ninh Tồn hai chế độ ESP: chế độ truyền tải chế độ truyền tunnel Trong chế độ truyền tải tồn gói IP trừ tiêu đề mật mã hóa Sau tiêu đề ESP bổ sung tiêu đề IP phần vừa mật mã hóa Sau mã nhận thực tin (MAC) tính tốn cho tồn bộ, trừ tiêu đề IP MAC đặt vào cuối gói Tại phía thu, tính tồn vẹn đảm bảo cách loại bỏ tiêu đề IP khỏi đầu gói MAC khỏi cuối gói Sau thực hàm MAC so sánh đầu với MAC 111 gói, tồn vẹn thành cơng, tiêu đề ESP loại bỏ phần lại giải mã Quá trình cho hình 3.18 Trong chế độ truyền tunnel, tiêu đề bổ sung đầu gói sau q trình tiến hành chế độ truyền tải cho gói nhận (xem hình 3.19) Điều có nghĩa tiêu đề IP gói gốc bảo vệ Hình 3.19 chế độ truyền tunnel Truyền thông ESP thực hai đầu cuối sử dụng chế độ truyền tải Để thực q trình hai phía truyền thông phải biết địa IP thực chức IPSec Thí dụ điển hình chế độ truyền tunnel trường hợp VPN Phương pháp bảo vệ tin điều khiển mạng thường hay dùng sử dụng ESP chế độ truyền tunnel cổng an ninh 3.13.2 MAPSec Mục đích MAPSec bảo vệ bí mật toàn vẹn tác nghiệp MAP Bảo vệ MAPSec thực ba chế độ Trong chế độ thứ an ninh không đảm bảo Trong chế độ thứ hai bảo vệ tồn vẹn, cịn chế độ thứ ba bí mật lẫn tồn vẹn đảm bảo Để đảm bảo bí mật, tiêu đề tác nghiệp MAP mật mã hóa Một tiêu đề an ninh bổ sung để dẫn cách gải mật mã Để đảm bảo toàn vẹn, MAC tính tốn dựa tải tin tác nghiệp MAC gốc tiêu đề an ninh Một thông số thay đổi theo thời gian sử dụng để tránh công cách phát lại 112 3.14 An ninh chuyển mạng 2G VÀ 3G 3.14.1 Mở đầu Cùng với việc đưa mạng 3G, cần phải có chế để đảm bảo tương tác mạng 2G 3G Nói cách hơn, cần đảm bảo để hai mạng cộng tác với Vì cần có máy thu hai chế độ để người sử dụng 2G truy nhập vào mạng WCDMA Tất nhiên nảy sinh vấn đề thuê bao 2G tìm cách đăng ký với thuê bao WCDMA hay ngược lại 3G thống quan điểm an ninh với 2G số điểm sau - Nhận thực thuê bao, vấn đề với thuật tốn khơng phù hợp giải Những điều kiện ý đến lựa chọn nhật thực mối quan hệ Với mật mã thắt chặt - Độ tin cậy nhận dạng thuê bao thực giao diện vô tuyến - Hoạt động an ninh độc lập với người sử dụng Từ 3G có số cải tiến là: - Có nhận thực mạng máy cầm tay di động để tránh việc giả mạo trạm gốc - Mật mã mở rộng với độ phức tạp lõi mạng - Bảo vệ tính tồn vẹ tín hiệu di động điều khiển mạng vô tuyến RNC 3.14.2 Các trường hợp chuyển mạng Tồn hai trường hợp cần thiết để thực thủ tục chuyển mạng (chuyển từ 3G sang 2G hay ngược lại) Trong trường hợp thứ 3G VLR phải có khả điều khiển 2G BSC 3G RAN, trường hợp thứ hai 2G VLR điều khiển 2G BSS Cả hai trường hợp mơ tả hình 3.20 Hình 3.20 Kiến trúc mạng linh hoạt 113 3.14.3 Khả tương tác người sử dụng WCDMA Hình 3.21 Chuyển mạng thuê bao WCDMA Kịch người sử dụng yêu cầu truy nhập mạng truy nhập vô truyến 2G 3G hinh họa hình 3.21 WCDMA HLR/AuC tạo thơng số RAND để sử dụng cho việc tính thơng số XRES, AUTN, Ck, IK, Kc, SRES Ngồi việc xây dựng vector nhận thực phụ thuộc vào việc VLR có điều khiển đồng thời hai UTRAN GSM BSS hay GSM BSS Trong trường hợp thứ nhất: (3G RAN) vector nhận thực tính tốn trực tiếp Trong trường hợp thứ hai (2G RAN) GSM VLR nhận thông số cần thiết RAND, SRES Kc HLR/AuC tính tốn cách nén giá trị dài WCDMA (CK= 128 bit, XRES= 128 bit) thành giá trị GSM (Kc= 64 bit, SRES=32 bit) Khi ngưởi sử dụng WCDMA yêu cầu nhận thực 3G RAN (UTRAN), VLR điều khiển thực thủ tục nhận thực thỏa thuận khóa Trái lại thuê bao 3G chuyển vào vùng điều khiển mạng 2G nhận thực thực VLR mạng này, khởi đầu thủ tục nhận thỏa thuận khóa cách sử dụng vector nhận thực tương ứng 114 3.14.4 Khả tương tác người sử dụng GMS/GPRS Hình 3.22 chuyển mạng thuê bao GSM Trong trường hợp thuê bao GSM yêu cầu truy nhập mạng 2G hay 3G, kịch trình bày hình 3.22 HLR/AuC thực nhận thực thông số: RAND, SRES Kc Ngồi HLR/AuC phân bố vector nhận thực khơng phụ thuộc vào kiểu VLR Tuy nhiên phần nhận thực người sử dụng phức tạp Nếu người sử dụng muốn chuyển vào mạng 3G, nhận thực người sử dụng 3G RAN (UTRAN) VLR thực cách phát thông số RAND đến người sử dụng Thiết bị người sử dụng (2 chế độ) sử dụng RAND với thông số để tạo SRES Kc SRES gửi ngược đến VLR so sánh với SRES kỳ vọng HLR tính tốn Nếu so sánh trùng nhau, thỏa thuận thực khóa Kc Khi 3G VLR điều khiển tính tốn thơng số an ninh WCDMA (CK, IK) cách giải nén giá trị GSM tương ứng thành giá trị WCDMA Mặt khác, GSM nhận thực 2G RAN, VLR điều khiển khởi đầu nhận thực thảo thuận khóa trực tiếp Cuối ta tổng kết an ninh q trình chuyển mạng thuê bao hai chế độ: WCDMA GSM hình 3.23 Hĩnh vẽ cho thấy phát hành tương ứng với chế an ninh 115 Hình 3.23 An ninh chuyển mạng máy di động hai chế độ (WCDMA GSM) phát hành tương ứng 116 KẾT KUẬN Luận văn đem lại nhìn tổng quan hệ thống thông tin di động 3G WCDMA UMTS, đồng thời thác thức phương pháp đảm bảo vấn đề an ninh cho mạng thông tin di động đặc biệt an ninh cho mạng thông tin di động 3G WCDMA UMTS Hiện Việt Nam, mạng thơng tin di động 3G cịn mẻ mở nhiều hội cho người sử dụng nhà mạng Một số nhà mạng triển khai HSPA toàn mạng với tốc độ liệ lý thuyết lên đến 14.4 Mbps download upload lên tới 5.7Mbps sẵn sàng cho HSPA+ vpows tốc độ liệu lên đến 21Mbps Vấn đề triển khai an ninh cho mạng HSPA, HSPA+ nhu cầu từ thực tế tương lai Do thời gian thực tập có hạn hạn chế khơng thể tránh khỏi q trình nghiên cứu nên luận văn tốt nghiệp em chắn tránh khỏi thiếu sót Em mong nhận quan tâm góp ý thầy, bạn để luận văn em hoàn thiện Một lần em xin cảm ơn thầy giáo TS Nguyễn Đăng Tiến trực tiếp hướng dẫn giúp đỡ em hoàn thành luận văn tốt nghiệp 117 TÀI LIỆU THAM KHẢO TS Nguyễn Phạm Anh Dũng, Sách “Thông tin di động hệ ba”, Nhà xuất Bưu Điện, 2001 TS Nguyễn Phạm Anh Dũng, Sách “cdmaOne cdma2000”, Nhà xuất Bưu Điện, 2003 TS Nguyễn Phạm Anh Dũng, Giáo trình “Thông tin di động hệ ba”, Học Viện Công nghệ Bưu Viễn thơng , Nhà xuất Bưu Điện, 2004 TS Nguyễn Phạm Anh Dũng, Sách ‘An ninh thông tin di động”, Nhà xuất Bưu-Điện, 9/2006 TS Nguyễn Phạm Anh Dũng, Bài giảng “Thông tin di động” cho đào tạo từ xa, Học Viện Cơng nghệ Bưu Viễn thơng 2007 TS Nguyễn Phạm Anh Dũng, Giáo trình “Lộ trình phát triển thơng tin di động 3G lên 4G”, Học viện Công nghệ Bưu Viễn thơng, 12/2008 118