1 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHIỆP - LUẬN VĂN THẠC SĨ KỸ THUẬT NGHIÊN CỨU MỘT SỐ PHƢƠNG PHÁP BẢO MẬT MẠNG THÔNG TIN DI ĐỘNG 3G TẠI VIỆT NAM Ngành: KỸ THUẬT ĐIỆN TỬ Học viên: NGUYỄN AN THU Ngƣời HD Khoa học: PGS.TS NGŨN HƢ̃U CƠNG THÁI NGUN – 2012 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên Tai ngay!!! Ban co the xoa dong chu nay!!! http://www.lrc-tnu.edu.vn ĐẠI HỌC THÁI NGUYÊN CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƢỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHIỆP Độc lập - Tự - Hạnh phúc - LUẬN VĂN THẠC SĨ Họ tên học viên Ngày tháng năm sinh Nơi sinh Nơi công tác Cơ sở đào tạo Chuyên ngành Khóa học : Nguyễn An Thu : Ngày 03 tháng 12 năm 1972 : Bắc Ninh : Viễn thông Bắc Ninh : Trƣờng Đại học Kỹ thuật Công nghiệp Thái Nguyên : Kỹ thuật điện tử : K13- KTĐT TÊN ĐỀ TÀI: NGHIÊN CỨU MỘT SỐ PHƢƠNG PHÁP BẢO MẬT MẠNG THÔNG TIN DI ĐỘNG 3G TẠI VIỆT NAM Ngƣời hƣớng dẫn khoa học: PGS.TS Nguyễn Hƣ̃u Công Phó Giám đốc Đại học Thái Nguyên Ngày giao đề tài: / / Ngày hoàn thành: ./ / GIÁO VIÊN HƢỚNG DẪN HỌC VIÊN PGS.TS Nguyễn Hƣ̃u Công Nguyễn An Thu BAN GIÁM HIỆU KHOA SAU ĐẠI HỌC Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn LỜI MỞ ĐẦU Các mạng thông tin di động 3G đƣợc triển khai rộng khắp Việt Nam cho phép ngƣời sử dụng với thiết bị đầu cuối có khả kết nối 3G đăng ký sử dụng dịch vụ 3G có thể nhận đƣợc nhiều ứng dụng đa phƣơng tiện nhƣ Video Call, Internet Mobile, Mobile TV, Mobile Broadband… Tuy nhiên, phần truy nhập vô tuyến, ngƣời sử dụng dịch vụ di động 3G thực kết nối vô tuyến qua giao diện không gian, môi trƣờng mở đồng nghĩa với việc môi trƣờng dễ dàng có nguy truy nhập trái phép so với môi trƣờng hữu tuyến cố định Mặt khác để cung cấp dịch vụ nội dung phong phú cho khách hàng, nhà khai thác mạng di động cần thực mở kết nối mạng với mạng liệu, mạng di động khác mạng Internet công cộng Từ nguyên nhân đó mà mạng thông tin di động 3G không bị tác động công đƣờng truyền truy nhập vô tuyến giống nhƣ mạng truyền thống (Mạng 3G kế thừa đầy đủ nguy an ninh công nghệ viễn thông hệ cũ (1G 2G) công nghệ truyền tải liệu tốc độ cao IP) mà có thể bị công loại Virus (Qua thống kê cho thấy có đến 190 loại virus điện thoại di động, virus có thể xóa liệu máy điện thoại làm rối loạn hoạt động máy), công từ chối dịch vụ (DoS)…từ Hacker tổ chức phạm tội khác Kẻ công khai thác điểm yếu kiến trúc giao thức đƣợc sử dụng mạng di động 3G để thực kiểu công khác nhau, gây nguy hại có thể tới mức nghiêm trọng cho mạng nhà khai thác nhƣ khách hàng nhƣ làm tắc nghẽn mạng, từ chối dịch vụ, tràn ngập lƣu lƣợng, gian lận cƣớc, đánh cắp thơng tin bí mật… Các dịch vụ 3G Việt Nam nên vấn đề an ninh bảo mật chƣa bộc lộ nhiều Nhƣng tƣơng lai, dịch vụ 3G phát triển mạnh nguy an ninh bảo mật nhƣ xuất nhiều gây thiệt hại lớn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Với lý luận văn tiến hành phân tích, nghiên cứu cơng có thể nảy sinh gây nguy hại nghiêm trọng mà từ đó đề xuất giải pháp bảo mật mạng thông tin di động 3G Do vấn đề bảo mật hệ thống thông tin di động 3G rộng phức tạp, tác giả chƣa có đủ điều kiện để nghiên cứu sâu rộng toàn vấn đề (chẳng hạn: Nghiên cứu bảo mật miền ngƣời sử dụng, bảo mật miền ứng dụng nhƣ thuật tốn bí mật f8 thuật tốn tồn vẹn liệu f9) Chính luận văn gồm chƣơng nhƣ sau: - Chƣơng 1: Tổng quan bảo mật hệ thống thông tin di động 3G Chƣơng nói số khái niệm, kiến trúc mạng 3G kiến trúc bảo mật mạng 3G - Chƣơng 2: Nghiên cứu tính bảo mật Trong chƣơng lần lƣợt nghiên cứu tính bảo mật miền truy nhập vơ tuyến tính bảo mật miền mạng Cuối chƣơng nghiên cứu tìm hiểu thuật tốn tạo khóa nhận thực - Chƣơng 3: Phân tích cơng giải pháp bảo vệ mạng 3G Việt Nam: Phân tích kiểu công vào mạng di động 3G từ đó đề xuất phƣơng pháp bảo vệ mạng mạng 3G Tuy nhiên vấn đề mà luận văn đề cập lĩnh vực tƣơng đối rộng, thông qua nhiều giao thức đặc biệt giao thức vô tuyến di động Mặc dù tác giả nỗ lực hết sức, cố gắng vận dụng kiến thức, khả năng, điều kiện, nội dung luận văn chắn nhiều thiếu sót hạn chế Rất mong nhận đƣợc góp ý quý báu ngƣời đọc để tác giả có thể hoàn thiện Cuối xin cám ơn bạn bè ngƣời thân gia đình động viên quan tâm, giúp đỡ tơi hồn thành khóa học luận văn Thái Nguyên, ngày tháng 11 năm 2012 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn CHƢƠNG I TỔNG QUAN VỀ MẠNG DI ĐỘNG 3G VÀ BẢO MẬT 1.1TỔNG QUAN VỀ MẠNG DI ĐỘNG 3G 1.1.1 MẠNG DI ĐỘNG 3G Hệ thống viễn thơng di động tồn cầu (UMTS) đƣợc tiêu chuẩn hóa 3GPP hệ thống di động hệ 3, tƣơng thích với mạng GSM GPRS UMTS kết hợp kỹ thuật đa truy nhập W-CDMA (IMT-2000 CDMA Direct Spread); CDMA 2000 (IMT-2000 CDMA Multi-Carrier) công nghệ CDMA TDD Hệ thống UMTS sử dụng cơng nghệ W-CDMA có số đặc điểm sau: Mỗi kênh vô tuyến có độ rộng MHz; tƣơng thích ngƣợc với GSM; chip rate 3,84 Mbps; hỗ trợ hoạt động không đồng cell; truyền nhận đa mã; hỗ trợ điều chỉnh công suất dựa tỷ số tín hiệu/tạp âm; có thể áp dụng kỹ thuật anten thông minh để tăng dung lƣợng mạng vùng phủ sóng (phiên HSPA từ Rel trở lên); hỗ trợ nhiều kiểu chuyển giao cell, bao gồm soft-handoff, softerhandoff hard-handoff UMTS cho phép tốc độ downlink 0,384 Mbps (full mobility) với phiên nâng cấp lên HSPA Release nay, tốc độ lên tới 14 Mbps (downlink) 1,4 Mbps (uplink) Ở phiên HSPA Release (thêm tính MIMO) tốc độ tƣơng ứng 42 Mbps & 11,6 Mbps Cơng nghệ IMT-2000 CDMA Multi-Carrier cịn đƣợc gọi IMT-MC hay CDMA2000 công nghệ phát triển lên 3G từ họ CDMAOne (IS-95) 3GPP2 CDMA2000 sử dụng cặp sóng mang có độ rộng kênh 1,25 MHz Phiên CDMA2000 1x (hay IS-2000) sử dụng cặp kênh vô tuyến 1,25 MHz để chuyển tải 128 kênh lƣu lƣợng, cung cấp tốc độ downlink 144 kB/s Phiên CDMA2000 CDMA2000 EV-DV sử dụng kênh 1,25 MHz để tăng tốc độ CDMA2000 EV-DV có tốc độ downlink lên đến 3,1 Mbps uplink 1,8 Mbps Họ công nghệ CDMA TDD bao gồm TD-CDMA TD-SCDMA TDCDMA hay gọi UMTS-TDD sử dụng chung kênh vô tuyến MHz cho Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn đƣờng lên đƣờng xuống Mỗi khung thời gian rộng 10ms chia thành 15 timeslot Các timeslot đƣợc phân bổ cho đƣờng lên đƣờng xuống theo tỷ lệ cố định Công nghệ truy cập CDMA đƣợc sử dụng timeslot để ghép kênh dịng liệu từ tranceiver khác Cơng nghệ TD-CDMA chủ yếu đƣợc sử dụng để truy cập liệu internet băng thông rộng, nó đƣợc dùng cho picocell micro-cell có nhu cầu liệu lớn UMTS đƣợc tiêu chuẩn hóa số phiên bản, phiên 1999 đến phiên 4, phiên 5,.…Mục tiêu để cung cấp dải rộng ứng dụng đa phƣơng tiện thời gian thực với mức chất lƣợng dịch vụ khác thuộc tính dịch vụ tiên tiến tới ngƣời sử dụng di động Phiên UMTS Rel-4 Rel-5 hƣớng tới kiến trúc mạng toàn IP, thay công nghệ truyền tải chuyển mạch kênh (CS) phiên 1999 công nghệ truyền tải chuyển mạch gói (PS) Hơn kiến trúc dịch vụ mở (OSA), cho phép nhà khai thác mạng cung cấp cho bên thứ ba đƣợc truy nhập tới kiến trúc dịch vụ UMTS 1.1.2 KIẾN THỨC CHUNG MẠNG THÔNG TIN DI ĐỘNG 3G Một mạng UMTS đƣợc phân chia logic thành hai phần mạng lõi (CN) mạng truy nhập vô tuyến chung (GRAN) Mạng lõi tái sử dụng số phần tử mạng GPRS mạng GSM, gồm miền miền kênh CS miền gói PS Miền CS đƣợc hình thành thực thể thực phân bổ tài nguyên dành riêng tới lƣu lƣợng ngƣời sử dụng, điều khiển tín hiệu kết nối đƣợc thiết lập giải phóng kết nối phiên kết thúc Các thực thể miền PS thực truyền tải liệu ngƣời sử dụng dạng gói đƣợc định tuyến độc lập - Chuyển mạch kênh(CS): Là sơ đồ chuyển mạch đó thiết bị chuyển mạch thực truyền tin thiết lập kết nối chiếm tài nguyên mạng định toàn truyền tin Kết nối tạm thời, liên tục dành riêng - Chuyển mạch gói (PS): Là sơ đồ chuyển mạch thực phân chia số liệu kết nối thành gói có độ dài định chuyển mạch gói theo thông tin nơi nhận đƣợc gắn với gói PS tài nguyên mạng bị chiếm dụng có gói cần truyền Chuyển mạch gói cho phép nhóm tất số liệu Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn nhiều kết nối khác phụ thuộc vào nội dung, kiểu hay cấu trúc số liệu thành gói có kích thƣớc phù hợp truyền chúng kênh chia sẻ Chuyển mạch gói có thể thực sở ATM IP + ATM công nghệ thực phân chia thông tin cần phát thành tế bào 53 byte để truyền dẫn chuyển mạch Một tế bào ATM gồm byte tiêu đề 48 byte tải tin Thông tin định tuyến tiêu đề gồm đƣờng dẫn ảo(VP) kênh ảo(VC) Điều khiển kết nối VC VP cho phép khai thác quản lý có khả mở rộng có độ linh hoạt cao 3G UMTS-R3 PSTN GGSN in other PLMN PDN B Circult Switched Domain GMSC GGS N AuC B SS7 /TDM B HLR B EIR SGSN MSC MS C VLR VLR Packet Switched Domain B B B CN(Core Network) BRAN BSC B RNS B B GSM/EDGD Radio Access Network BT S BT S BS SB Lub B UMTS Terrestrial Radio Access Network RNC B Node B Node B B B ME RNS B Cu B BEquipment) UE(User Um DataB& Signalling B Signalling B UMTS: Universal Telecommunication System RNS: Radio Network Subaystem; RNC: Radio Network Controller ME: Mobile Equipment; USIM: User Services Identity Module CS: Circult Switched PS: Packet Switched USIM B B Hình 1.1: Kiến trúc mạng di động 3G B + IP công nghệ thực phân chia thông tin thành gói đƣợc gọi tải tin(Payload) Mỗi gói đƣợc gán tiêu đề chứa thông tin địa cần Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn thiết cho chuyển mạch Trong thông tin di động vị trí đầu cuối di động nên cần phải có thêm tiêu đề bổ sung đƣợc gọi đƣờng hầm (Tunnel) Tunnel đƣờng truyền mà đầu vào gói IP đƣợc đóng bao vào tiêu đề mang địa nơi nhận đầu gói IP đƣợc tháo bao cách loại bỏ tiêu đề bọc Có chế để thực điều MIP(Mobile IP) GTP (GPRS Tunnel Protocol) Kiến trúc mạng UMTS đƣợc chi thành phần (Hình 1.1) gồm: Máy di động (MS), mạng truy nhập (UTRAN) mạng lõi (CN) Mạng truy nhập điều khiển tất chức liên quan đến tài nguyên vô tuyến quản lý giao diện không gian, mạng lõi thực chức chuyển mạch giao diện với mạng bên 1.1.2.1 Máy di động (MS) MS đƣợc định nghĩa thiết bị cho phép ngƣời sử dụng truy nhập tới dịch vụ mạng truy nhập tới module đặc tả thuê bao toàn cầu (USIM) MS liên quan đến thủ tục UMTS nào, quản lý thiết lập gọi, thủ tục chuyển giao quản lý di động Máy di động 3G có thể hoạt động ba chế độ sau: - Chế độ chuyển mạch kênh, cho phép MS đƣợc gắn với miền CS đƣợc sử dụng dịch vụ miền CS - Chế độ chuyển mạch gói, cho phép MS đƣợc gắn với miền PS đƣợc sử dụng dịch vụ miền PS, nhƣng dịch vụ miền CS có thể đƣợc cung cấp miền PS - Chế độ PS/CS, đó MS đƣợc gắn với miền PS CS có khả sử dụng đồng thời dịch vụ miền PS dịch vụ miền CS 1.1.2.2 Mạng truy nhập (UTRAN) UTRAN quản lý tất chức liên quan đến nguồn tài nguyên vô tuyến quản lý giao diện không gian UTRAN gồm kiểu phần tử Node B điều khiển mạng vô tuyến (RNC) - Node B đơn vị vật lý để thu/phát tín hiệu vơ tuyến với máy di động tế bào chúng Mục tiêu Node B thu /phát tín hiệu vô tuyến qua giao diện không gian thực mã hóa kênh vật lý CDMA Node Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn B đo lƣờng chất lƣợng cƣờng độ tín hiệu kết nối xác định tỷ lệ lỗi khung Node B phát liệu tới RNC nhƣ báo cáo kết đo để thực chuyển giao phân tập macro Node B gồm chức phát lỗi kênh truyền tải thị tới lớp cao hơn, điều chế/giải điều chế kênh vật lý… - Bộ điều khiển mạng vô tuyến (RNC): RNC quản lý nguồn tài nguyên vô tuyến Node B mà nó điều khiển RNC kết nối Node B tới mạng truyền tải Nó đƣa định chuyển giao yêu cầu báo hiệu tới MS Các nguồn tài nguyên Node B đƣợc điều khiển từ RNC Các chức điển hình RNC điều khiển tài nguyên vô tuyến, điều khiển nhận vào phân bổ kênh, thiết lập điều khiển công suất, điều khiển chuyển giao, phân tập macro mật mã hóa Một số nhiệm vụ khác RNC bao gồm: xử lý lƣu lƣợng tthoại liệu, chuyển giao tế bào, thiết lập kết thúc gọi 1.1.2.3 Mạng lõi (CN) Mạng lõi CN đảm bảo việc truyền tải liệu ngƣời sử dụng đến đích CN bao gồm việc sử dụng số thực thể chuyển mạch gateway (nhƣ MSC, Gateway MSC, SGSN GGSN) tới mạng bên (nhƣ mạng internet) CN trì thơng tin liên quan đến đặc quyền truy nhập ngƣời sử dụng (gồm AuC EIR) Do đó, CN gồm sở liệu lƣu giữ profile ngƣời sử dụng thông tin quản lý di động (HLR, VLR) - Trung tâm chuyển mạch di dộng (MSC): Đây phần tử miền mạng CS MSC đóng vai trị giao diện mạng tế bào mạng điện thoại chuyển mạch kênh cố định bên MSC thực việc định tuyến gọi từ mạng bên đến máy di động đơn lẻ tất chức chuyển mạch báo hiệu cần thiết máy di động vùng địa lý đƣợc định nghĩa nhƣ vùng MSC - Bộ ghi định vị thƣờng trú (HLR): HLR UMTS giống nhƣ HLR GSM, sở liệu lƣu giữ liệu liên quan đến thuê bao di động sử dụng dịch vụ đƣợc cung cấp mạng di động Có hai kiểu thông tin đƣợc lƣu giữ HLR đặc tả cố định tạm thời Dữ liệu cố định không thay đổi trừ Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 10 tham số thuê bao đƣợc yêu cầu phải biến đổi Dữ liệu tạm thời thay đổi liên tục, nó thay đổi từ MSC điều khiển đến MSC khác, chí thay đổi từ tế bào sang tế bào khác từ gọi sang gọi khác Dữ liệu cố định gồm IMSI khóa nhận thực Để định tuyến tính cƣớc gọi HLR cịn lƣu giữ thông tin SGSN VLR phụ trách ngƣời sử dụng - Bộ ghi định vị tạm trú (VLR): VLR nói chung đƣợc thực kết nối với MSC VLR lƣu giữ thông tin liên quan đến máy di động thực chuyển vùng tới vùng mà máy di động điều khiển qua MSC kết hợp Do đó, VLR gồm thông tin thuê bao tích cực mạng nó Khi thuê bao đăng ký với mạng khác, thông tin HLR thuê bao đƣợc chép sang VLR mạng tạm trú bị loại bỏ thuê bao rời mạng - Trung tâm nhận thực AuC: Lƣu giữ toàn số liệu cần thiết để nhận thực, mật mã hóa bảo vệ tồn vẹn thơng tin cho ngƣời sử dụng AuC cung cấp thông tin vector nhận thực (AV) cho HLR AuC lƣu giữ khóa bí mật k cho thuê bao với tất hàm tạo khóa từ f0 đến f5 Nó tạo AV thời gian thực SGSN/VLR yêu cầu hay tải xử lý thấp lẫn AV dự trữ - Node hỗ trợ GPRS phục vụ (SGSN): SGSN quản lý tính di động điều khiển phiên gói IP SGSN định tuyến lƣu lƣợng gói ngƣời sử dụng từ mạng truy nhập vô tuyến tới Node hỗ trợ GPRS Gateway ad hoc, node cung cấp truy nhập tới mạng liệu gói bên SGSN giúp điều khiển truy nhập tới tài nguyên mạng, ngăn ngừa truy nhập bất hợp pháp tới mạng - Node hỗ trợ GPRS cổng (GGSN): GGSN gateway mạng tế bào mạng liệu gói nhƣ mạng Internet mạng Intranet 1.2 TỔNG QUAN VỀ BẢO MẬT TRONG MẠNG 3G 1.2.1 HỆ THỐNG MẬT MÃ HOÁ Mật mã học khoa học bảo mật đảm bảo tính riêng tƣ thơng tin Các kỹ thuật toán học đƣợc kiểm tra đƣợc phát triển để cung cấp tính nhận thực, tính bí mật, tính tồn vẹn dịch vụ bảo mật khác cho thông tin đƣợc truyền thông, đƣợc lƣu trữ đƣợc xử lý hệ thống thơng tin Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 64 - Mức phiên: Ví dụ tƣờng lửa kiểm tra trạng thái giám sát điều khiển lƣu lƣợng mạng cách quan sát trạng thái phiên loại bỏ gói phần phiên hợp lệ - Mức ứng dụng: Các hệ thống phát ngăn ngừa xâm nhập (IDP) giám sát phân tích lƣu lƣợng mạng dấu hiệu công Các tƣờng lửa nên đƣợc sử dụng để bảo vệ mạng khỏi cơng qua giao diện kết nối với mạng bên (Gp, Gi), bảo vệ chống lại nguy đe dọa tiềm bên mạng (Ga, Gn) Chú ý việc triển khai tƣờng lửa cần phải đủ mạnh để điều khiển lƣu lƣợng qua nó cho kinh nghiệm ngƣời sử dụng dịch vụ không bị ảnh hƣởng 3.3.3 BẢO VỆ BẰNG CÁC HẸ THỐNG PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP Các hệ thống phát ngăn ngừa xâm nhập (IDP) bổ sung thêm vào vai trò tƣờng lửa việc bảo vệ mạng thông tin di động Các hệ thống IDP đƣợc thiết kế để phát có mặt cơng dịng lƣu lƣợng đƣợc cho phép vào mạng Các hệ thống IDP thực chức nhờ: - Các dấu hiệu có ích: Quan sát trạng thái kết nối/ lƣu lƣợng quét công dựa mẫu biết; - Phát bất bình thƣờng giao thức: Mô tả công đƣợc che mặt nạ nhờ sử dụng giao thức hợp lệ; - Phát lƣu lƣợng gây worm trojan; - Sự phát bất bình thƣờng lƣu lƣợng: so sánh tập lƣu lƣợng tới với chuẩn lƣu lƣợng ranh giới để mô tả công có thể lan tràn kết nối; - Thu hút kẻ công tiềm tới dịch vụ không tồn tại; - Các dấu hiệu kết hợp: Kết hợp dấu hiệu trạng thái để mô tả công có thể lan tràn nhiều phiên Các hệ thống IDP thƣờng đƣợc đặt sau tƣờng lửa để thiết bị có thể kiểm tra gói vào khỏi mạng Khi lƣu lƣợng có hại đƣợc phát hiện, thiết bị IDP ngăn ngừa lƣu lƣợng không đƣợc vào rời khỏi mạng Đặt hệ thống IDP đƣờng truyền liên kết đầu quan trọng IDP cho phép nhà khai thác ngăn ngừa công từ bên mạng mà khơng tác động tới nhà khai thác khác Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 65 3.3.4 BẢO VỆ MẠNG BĂNG VPN Bảo vệ mạng mạng riêng ảo (VPN) đƣợc mơ tỏa hình 3.3 Kỹ thuật bảo vệ lớp mạng tốt IPsec, IPsec bảo vệ lƣu lƣợng kết nối dó độc lập với lớp ứng dụng chạy nó, ngồi IPsec cịn đƣợc sử dụng để thực mạng VPN Một mạng VPN dựa Ipsec đƣợc sử dụng để nhận thực cho phép ngƣời sử dụng truy nhập tới nguồn tài nguyên; thiết lập đƣờng hầm bảo mật thực thể truyền thông; đóng gói bảo vệ liệu đƣợc phát mạng Sử dụng VPN, nhà khai thác mạng di động khắc phục đƣợc ác điểm yếu giao thức GTP cách mật mã hóa lƣu lƣợng qua Ipsec VPN triển khai tƣờng lửa để khóa dòng lƣu lƣợng có ý định khai thác điểm yếu GTP Latop HLR/VLR VLR AUC EIR MSC BSS Ipsec VPN Ga interface Mobile SGSN Ipsec VPN Gp interface Ipsec VPN Firewall & IDP GPRS backhome Gn interface Between SGSN&GGSN Ipsec VPN InternetOther Mobile Operrator GGSN Ipsec VPN Gi interface Firewall & IDP Public Hình 3.3: Bảo vệ mạng IPsec VPN Để triển khai VPN hạ tầng mạng 3G, ba sơ đồ bảo mật đƣợc đề nghị là: (1): Sơ đồ bảo mật end – to – end; (2): Sơ đồ bảo mật mạng rộng; (3): Sơ đồ dựa đƣờng biên Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 66 Các sơ đồ khác chủ yếu vi trí chức bảo mật đƣợc đặt kiến trúc mạng 3G (MS, RNC GGSN) liệu có đƣợc phát dạng tƣờng minh (cleartext) hay có thể bị xâm nhập bên 3.3.4.1 Bảo mật end-to-end VPN Bảo mật end-to-end tích hợp chức VPN vào thực thể tham gia truyền thông, thực thể thỏa thuận áp dụng chế bảo mật Cụ thể hơn, máy di động MS gateway bảo mật từ xa (SG) mạng riêng thiết lập cặp tổ hợp bảo mật IPsec SAs hai thiết bị này; Cặp IPsec Sas đƣợc mở rộng tới tồn đƣờng truyền thơng Dữ liệu nhạy cảm đƣợc bảo mật liệu rời khỏi vị trí khởi đầu đƣợc bảo vệ qua giao diện vô tuyến, mạng lõi UMTS mạng internet, đó loại bỏ khả liệu bị ngăn chặn bị thay đổi VPN end-to-end không can hệ tới hoạt động mạng nằm bên dƣới kết nối mạng đƣợc cung cấp Do hoạt động bên lớp mạng, tham số bảo mật (bên IPsec SA) không bị ảnh hƣởng chuyển động MS Do đó MS có thể chuyển động tự vùng phủ sóng mạng 3G mà trì kết nối mạng cung cấp dịch vụ VPN Thủ tục quản lý tính di động UMTS ln giám sát vị trí ngƣời sử dụng, nên gói tới đƣợc định tuyến tới MS Tuy nhiên sơ đồ bảo mật end-to-end không phù hợp với lựa chọn ngăn chặn hợp lệ ứng dụng khác yêu cầu truy nhập tới liệu chuyển tiếp bên mạng di động 3.3.4.2 Bảo mật mạng rộng VPN bảo mật dựa đƣờng biên VPN Bảo mật mạng rộng VPN bảo mật dựa đƣờng biên VPN tích hợp chức VPN vào hạ tầng mạng 3G theo mơ hình bảo mật có trợ giúp mạng Ở hai phƣơng pháp này, máy di động MS khởi đầu kết nối VPN đƣợc thỏa thuận thiết lập hạ tầng mạng, đó giảm thiểu tác động đến ngƣời sử dụng đầu cuối thiết bị họ Các nhà khai thác mạng cung cấp chức bảo mật, đƣợc chia sẻ thuê bao mạng nhƣ dịch vụ giá trị gia tăng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 67 Để triển khai bảo mật mạng rộng VPN bảo mật dựa đƣờng biên VPN, máy di động MS phải đƣợc phát triển thêm chức bảo mật client (SecC) mạng lõi UMTS phải đƣợc tích hợp server bảo mật (SecS) SecC đƣợc ứng dụng ngƣời sử dụng để yêu cầu dịch vụ VPN biểu thị ƣa thích ngƣời sử dụng SecC module nhẹ, không yêu cầu khả xử lý nhớ đáng kể, đó có thể đƣợc tích hợp dễ dàng với kiểu máy di động Ở phần mạng lõi UMTS, SecS thiết lập, điều khiển quản lý VPN nó gateway cổng (SG) xa mạng LAN SecS thực IPsec đƣợc phổ biến để thích nghi với sơ đồ VPN đƣợc khởi đầu từ phía khách hàng cung cấp dịch vụ bảo mật mạng 3G SecS có thể đƣợc tích hợp sẵn hạ tầng mạng tại, đó hai phƣơng pháp bảo mật có thể đƣợc ứng dụng mạng 3G Bảo mật mạng rộng VPN tích hợp SecS vào RNC hạ tầng mạng 3G Phƣơng pháp cung cấp dịch vụ đƣợc bảo mật tốt cho thực thể truyền thông cách ứng dụng mật mã hóa UMTS giao diện vô tuyến mở rộng VPN qua mạng xƣơng sống UMTS mạng internet công cộng Do đó liệu nhạy cảm ngƣời sử dụng đƣợc mật mã hóa toàn tuyến mạng máy di động thiết bị nhận Bảo mật mạng rộng VPN cho phép ngăn chặn thông tin cách hợp lệ, nhiên việc đóng gói giao thức UDP đƣợc áp dụng chuyển dịch địa mạng (NAT) Bảo mật dựa đƣờng biên tích hợp SecS GGSN Phƣơng pháp bảo vệ liệu qua mạng internet Tính di động ngƣời sử dụng suốt với hoạt động VPN ngƣời sử dụng vùng phủ nhà khai thác mạng đƣợc phục vụ GGSN Tuy nhiên, ngƣời sử dụng chuyển vùng tới GGSN khác, tổ hợp bảo mật SA sử dụng đƣợc VPN cần đƣợc thiết lập Bảo mật dựa đƣờng biên phù hợp với việc ngăn chặn thông tin cách hợp lệ diện NAT Bởi SecS nằm GGSN, nên SecS cung cấp tƣờng lửa cho mạng di động 3G, áp dụng sách bảo mật mạng Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 68 3.3.5 BẢO MẬT TRÊN CÁC GIAO DIỆN CỦA MẠNG Kiến trúc bảo mật mạng di động 3G phân chia mạng thành vùng bảo mật logic (hình 3.4) Bằng sơ đồ phân chia này, nhà khai thác mạng di động có thể đánh giá mức độ quan trọng thông tin vùng, kiểu công vùng chế bảo vệ tốt vùng Giải pháp hiệu để bảo vệ sử dụng thiết bị lọc gói, tƣờng lửa điểm phù hợp mạng; Tuy nhiên, điều quan trọng cần xác định kiểu thiết bị lọc gói, tƣờng lửa đƣợc triển khai, kiểu thiết bị đƣợc định kiểu lƣu lƣợng xuất phát từ vùng - Gi: Giao diện mạng 3G với mạng bên (nhƣ mạng Internet) - Gp: Giao diện hai nhà khai thác mạng di động (chủ yếu cho roaming) - Ga: Giao diện tới hệ thống tính cƣớc - Gn: Giao diện nội SGSN GGSN nhà khai thác mạng di động Zone Border OAM Connection Device Connection Roaming partnets Zone 8: Internet Border gateway Gp Zone 1: UTRAN Interne t Zone 6: GRX Zone 3: Roaming Zone 2: SGSN Zone 5: GGSN Gi Zone 10: Content BS LuPS RNC Gn Gi GGS N SGSN Ga BS Gi Content Services Zone 9: Corporate Ga Ga Corporate Data Services LuPS MSC Chatging Gateway Zone 4: HLR/AuC/EIR/MSC/VLR BSB OAM Zone 7: Billing MPC OAM Hình 3.4: Các vùng bảo mật mạng di động 3G 3.3.5.1 Các giải pháp bảo vệ giao diện Gp Vấn đề với nguy bảo mật giao diện Gp thiếu bảo mật giao thức đƣờng hầm GTP GTP đƣợc sử dụng để đóng gói liệu từ MS Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 69 gồm chế để thiết lập, di chuyển, xóa đƣờng hầm SGSN GGSN tình chuyển vùng Thực IPsec bên tham gia chuyển vùng quản lý tốc độ lƣu lƣợng có thể loại bỏ phần lớn nguy bảo mật giao diện Gp Một số giải pháp đƣợc khuyến nghị là: - Thực lọc gói vào ra: Điều giúp ngăn ngừa PLMN bị sử dụng nhƣ nguồn để công mạng roaming khác Nếu nhà khai thác mạng đƣợc kết nối tới nhiều GRX kết nối roaming riêng giải pháp đảm bảo lƣu lƣợng từ bên tham gia roaming bị chứng tỏ giả mạo đến đƣợc đƣờng mà bên tham gia roaming không đƣợc kết nối - Thực lọc gói GTP trạng thái: Chỉ cho phép lƣu lƣợng đƣợc yêu cầu từ nguồn đích bên tham gia roaming Điều ngăn ngừa mạng LPMN khác đƣợc kết nối tới GRX khỏi nhiều loại công Giải pháp ngăn ngừa GSN khỏi phải xử lý lƣu lƣợng từ mạng PLMN bên tham gia roaming, ngăn ngừa lƣu lƣợng bất hợp pháp bất thƣờng Một tƣờng lửa hỗ trợ kiểm tra trạng thái GTP đảm bảo GSN khơng xử lý gói GTP bất bình thƣờng, có tiêu đề không hợp lệ không trạng thái xác định Giải pháp ngăn ngừa nhiều kiểu cơng nhƣ DoS, thăm dị hay thám thông tin - Tạo dạng lƣu lƣợng GTP: Để ngăn ngừa nguồn tài nguyên băng thông đƣợc chia sẻ xử lý GSN khỏi bị tiêu thụ kẻ công thuê bao, giới hạn tốc độ GTP nên đƣợc thực Giới hạn tốc độ lớp lớp đƣợc thực để ngăn ngừa công DoS đảm bảo băng thông đƣợc phân bổ phù hợp GTP, BGP, DNS - Thực đƣờng hầm IPsec bên tham gia roaming: Phần lớn vấn đề nhận thực bí mật đƣợc khắc phục cách thực IPsec mạng PLMN nhà khai thác mạng bên tham gia roaming Nói chung, lƣu lƣợng GTP DNS đƣợc cho phép qua đƣờng hầm IPsec - Ngăn chăn công overbilling: Một giải pháp cho phép tƣờng lửa GTP thông báo cho tƣờng lửa Gi công Bức tƣờng Gi sau đó có thể Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 70 kết thúc phiên, đƣờng hầm đó cắt bỏ lƣu lƣợng không mong muốn Điều ngăn ngừa thuê bao UMTS khỏi công overbilling 3.3.5.2 Các giải pháp bảo vệ giao diện Gi Giao diện Gi giao diện mà mạng di động 3G kết nối với mạng bên nhƣ mạng internet, mạng doanh nghiệp, mạng nhà cung cấp dịch vụ khác Bởi ứng dụng thuê bao có thể bất kỳ, đó nhà khai thác mạng di động phải phơi bày mạng giao diện Gi tới tất kiểu lƣu lƣợng mạng Các thuê bao di động sau đó bị phơi bày tất điểm yếu tới công nhƣ công DoS, loại virus, worm, trojan, horse lƣu lƣợng mạng có hại khác Do đó giải pháp bảo mật giao diện Gi quan trọng Một số giải pháp đƣợc khuyến nghị là: - Thực đƣờng hầm logic từ GGSN tới mạng doanh nghiệp: Để thực điều này, yêu cầu chắn GGSN có thể phân chia cách logic mạng doanh nghiệp thành đƣờng hầm lớp lớp Nếu kết nối tới mạng doanh nghiệp qua internet, IPsec nên đƣợc sử dụng để kết nối từ GGSN tới mạng doanh nghiệp - Giới hạn tốc độ lƣu lƣợng: Trên kết nối tới internet, lƣu lƣợng IPsec từ mạng doanh nghiệp đƣợc ƣu tiên lƣu lƣợng khác Điều đảm bảo công từ internet làm ngừng dịch vụ intranet di động Một biện pháp khác sử dụng giao diện vật lý riêng rẽ cho lƣu lƣợng internet doanh nghiệp - Kiểm tra gói trạng thái: Sử dụng sách bảo mật cho phép MS khởi đầu kết nối tới mạng công cộng thực lọc gói trạng thái để MS không trông thấy lƣu lƣợng đƣợc khởi đầu từ mạng công cộng - Thực lọc gói vào gói ra: Ngăn ngừa khả liệu từ MS giả mạo tới MS cách khóa lƣu lƣợng đầu vào với địa nguồn giống với địa nguồn đƣợc gán cho MS để truy nhập mạng công cộng - Ngăn ngừa công overbilling: Nhƣ giải pháp bảo vệ giao diện Gp 3.3.5.3 Các giải pháp bảo vệ giao diện Gn Ga Giao diện GN giao diện SGSN GGSN, chuyển tiếp phần lớn lƣu Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 71 lƣợng GTP bên mạng nhà khai thác Sử dụng quản lý cấu hình dựa sách, nhà cung cấp dịch vụ di động có thể bảo vệ chống lại nguy bảo mật nảy sinh bên UMTS Các giải pháp bảo vệ giao diện Gn là: - Quản lý tƣờng lửa dựa sách: Cho phép nhà cung cấp sử dụng cấu trức phân vùng để bảo vệ chống lại công từ bên mạng - Bức tƣờng lửa kiểm tra trạng thái: Bằng cách triển khai tƣờng lửa kiểm tra trạng thái thiết lập sách cho phép khơng cho phép lƣu lƣợng qua, nhà cung cấp có thể chống lại công giao diện Gn Ví dụ, trƣờng hợp tin GGSN giả mạo, tin ngữ cảnh PDP đó không đạt chế phát “kiểm tra đúng” chúng bị loại bỏ Triển khai tƣờng lửa GTP giải pháp phù hợp để cung cấp điều khiển nhằm xác định kiểu lƣu lƣợng GTP đƣợc phép qua tƣờng lửa SGSN, GGSN BG (gateway border) 3.3.6 BẢO VỆ TỪ KHÍA CẠNH QUẢN TRỊ HỆ THỐNG 3.3.6.1 Bảo mật phần tử mạng kết nối Các phần tử mạng 3G phải cung cấp phƣơng thức để có thể quản lý, bảo dƣỡng từ xa truyền thông với hệ thống IT Điều làm giảm chi phí hạ tầng đáng kể nhƣng đặt nguy bảo mật quan trọng thực thể hệ thống 3G Nếu bảo mật không đƣợc sử dụng ngƣời sử dụng mạng máy tính có thể truy nhập từ xa tới phần tử mạng 3G đƣợc biết địa mạng Truy nhập vật lý tới phần tử mạng 3G nên đƣợc điều khiển phƣơng thức bảo mật vật lý phù hợp Vị trí vật lý phần tử mạng nên đƣợc xem thông tin cần đƣợc bảo vệ 3.3.6.2 Bảo mật node truyền thông a, Đặc tả ID: Mỗi hoạt động liên quan đến trình chạy node mạng 3G nên đƣợc kết hợp với ID ngƣời sử dụng tƣơng ứng (để thiết lập kiểm tra cần) b, Nhận thực: Tất cổng đầu vào dùng cho vận hành, quản lý, bảo dƣỡng cung cấp (OAM&P) node mạng 3G nên yêu cầu nhận thực ngƣời yêu cầu phiên Các password nên đƣợc lƣu giữ dạng mật mã hóa chiều không Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 72 thể nhận đƣợc ngƣời sử dụng kể nhà quản lý hay quản trị hệ thống bảo mật c, Điều khiển truy nhập hệ thống: Node 3G không nên cho phép truy nhập tới ngƣời yêu cầu phiên nào, trừ đƣợc mô tả đƣợc nhận thực Node 3G không nên cho phép phiên đƣợc thiết lập qua cổng không có đặc quyền để tiếp nhận dòng lệnh đầu vào d, Điều khiển truy nhập nguồn tài nguyên: Truy nhập tới nguồn tài nguyên nên đƣợc điều khiển sở đặc quyền kết hợp với ID ngƣời sử dụng Mỗi nguồn tài nguyên node mạng 3G nên đƣợc bảo vệ không đƣợc truy nhập ngƣời sử dụng không có đặc quyền e, Giải trình kiểm tra: Node mạng 3G nên tạo log bảo mật gồm thông tin đủ để kiểm tra tổn thất khơng xác Log bảo mật nên đƣợc bảo vệ khỏi bị truy nhập không có đặc quyền, không đƣợc phép biến đổi xóa nên có cảnh báo thời gian thực log bảo mật không thực chức xác f, Quản trị bảo mật: Quản trị bảo mật đƣợc dành cho ngƣời quản trị phù hợp Ngƣời quản trị nên có thể hiển thị tất ngƣời sử dụng đăng nhập nhƣ danh sách ID ngƣời sử dụng đƣợc đặc quyền Ngƣời quản trị có thể giám sát cách độc lập chọn lọc theo thời gian thực phản ứng ngƣời sử dụng dựa ID, thiết bị đầu cuối, cổng địa mạng tƣơng ứng g, Tài liệu: Bất kỳ nhà cung cấp nên cấp tài liệu bảo mật cho ngƣời quản trị, ngƣời khai thác ngƣời sử dụng 3.3.6.3 Bảo mật hệ thống báo hiệu số Các mạng di động chủ yếu sử dụng hệ thống báo hiệu số (SS7) để truyền tải thông tin nhƣ nhận thực, cập nhật vị trí, dịch vụ bổ sung điều khiển gọi mạng Hệ thống SS7 đặt nhiều nguy bảo mật nhƣ tin có thể bị thay đổi, bị chèn, xóa theo cách không mong muốn Do tin báo hiệu có ảnh hƣởng nghiêm trọng tới việc vận hành hệ thống nên tin báo hiệu phải đƣợc bảo vệ khỏi công từ hacker Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 73 3.3.6.4 Bảo mật bên mạng a, Bảo vệ ghi định vị thƣờng trú HLR: Truy nhập bất hợp pháp đến HLR có thể dẫn đến kết kích hoạt th bao khơng đƣợc hiển thị hệ thống tính cƣớc, đó khơng thể bị tính cƣớc Các dịch vụ có thể bị kích hoạt bị ngừng kích hoạt thuê bao, đó cho phép truy nhập bất hợp pháp tới dịch vụ công DoS Trong trƣờng hợp cụ thể, có thể sử dụng dòng lệnh Man-Machine(MM) để giám sát hoạt động ngƣời sử dụng HLR khác, điều cho phép truy nhập bất hợp pháp tới liệu Điều khiển truy nhập HLR nên dựa profile ngƣời sử dụng, sử dụng username password nhƣ liệu nhận thực Truy nhập từ xa tới HLR nên đƣợc bảo vệ khỏi nghe trộm, giả mạo nguồn đích cơng phiên b, Bảo vệ trung tâm nhận thực AuC: Kẻ xâm nhập có thể nhận đƣợc quyền truy nhập trực tiếp tới AuC, có thể vô hiệu hóa tất thuê bao có liệu mà kẻ xâm nhập truy nhập tới Từ quan điểm bảo mật, nên sử dụng AuC khơng đƣợc tích hợp với HLR Các nhà khai thác nên xem xét cẩn thận nhu cầu mật mã hóa liệu AuC Một số vendor sử dụng mật mã hóa mặc định, thuật tốn bí mật độc quyền Nếu định sử dụng thiết bị mật mã bổ sung, cần ý tới việc quản lý khóa mật mã Bộ ba mật mã có thể nhận đƣợc từ AuC cách giả mạo nhƣ thực thể hệ thống khác Đe dọa xuất HLR AuC đƣợc tách rời mặt vật lý c, Hệ thống chăm sóc khách hàng, hệ thống tính cƣớc Các hệ thống chăm sóc khách hàng/tính cƣớc quan trọng để dảm bảo kinh doanh nhà khai thác Truy nhập bất hợp pháp đến hệ thống có thể dẫn đến hậu sau: Mất lợi nhuận CDR bị biến đổi; Sử dụng bất hợp pháp tài khoản dịch vụ; Từ chối dịch vụ cách lặp lại việc sử dụng tài nguyên Do quyền truy nhập vào hệ thống chăm sóc khách hàng/ tính cƣớc thƣờng đƣợc cấp phép cho nhân viên tạm thời Các nhà khai thác nên có Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 74 chế điều khiển truy nhập xác, chặt chẽ với sách bảo mật tổng quát Cùng nhân viên không nên đảm nhiệm hai nhiệm vụ; Việc kiểm tra liệu nên dành cho nhân viên tin cậy Việc kích hoạt nên đƣợc thực dựa xác nhận ngƣời kiểm tra liệu đƣợc nạp vào 3.4 KẾT LUẬN CHƢƠNG Các mạng thông tin di động 3G đƣợc triển khai rộng khắp Việt Nam, có thể cung cấp đến ngƣời sử dụng nhiều ứng dụng đa phƣơng tiện với thời gian thực Để cung cấp dịch vụ nội dung phong phú cho khách hàng, nhà khai thác mạng di động 3G cần thực kết nối với mạng khác Đây nguyên nhân tạo điều kiện cho kẻ công gây nguy hại cho mạng ngƣời sử dụng Chính lý đó mà chƣơng sâu phân tích kiểu công vào mạng 3G nói chung Việt Nam nói riêng Tìm điểm yếu bảo mật mạng 3G để từ đó đề xuất giải pháp bảo vệ mạng 3G Việt Nam chẳng hạn nhƣ: Bảo vệ tƣờng lửa; Bảo vệ mạng mạng riêng ảo (VPN); Bảo vệ mạng hệ thống phát ngăn ngừa xâm nhập… Qua đó nhà khai thác mạng 3G có thể lựa chọn giải pháp phù hợp bảo vệ mạng cách hiệu khắc phục đƣợc dạng cơng mà cịn đem lại lợi ích mặt kinh tế nhƣ xã hội Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 75 KẾT LUẬN VÀ KHUYẾN NGHỊ Hệ thống bảo mật thông tin di động 3G đƣợc tổ chức thành lớp bảo mật, lớp chống lại nguy bảo mật cụ thể đạt đƣợc mục tiêu bảo mật cụ thể Các thuật tốn bí mật (f8); thuật tốn tồn vẹn liệu (f9) hoạt động dựa thuật toán KASUMI; hàm bảo mật để tạo khóa nhận thực f1,f2,f3,f4,f5 hoạt động dự thuật toán MILENAGE mà sở thuật toán mật mã khối Rijndael Bên cạnh kết đạt đƣợc, hạn chế mặt thời gian kiến thức chuyên môn chƣa thật đầy đủ, luận văn tập trung nghiên cứu số phần bảo mật hệ thống thông tin di động 3G Đó sâu nghiên cứu tính bảo mật miền truy nhập vô tuyến tính bảo mật miền mạng; thuật toán tạo khóa nhận thực Luận văn tổng hợp dạng công vào mạng 3G trình bày giải pháp bảo vệ mạng 3G cách hiệu để khắc phục dạng công Với phát triển mạnh mẽ Viễn thông Công nghệ thông tin, nƣớc ta xu giao dịch điện tử thƣơng mại hóa điện tử ngày phát triển, đặc biệt dịch vụ truyền liệu hệ thống thông tin di động Dựa kết nghiên cứu đạt đƣợc, tác giả xin khuyến nghị nhà khai thác mạng di động 3G số nội dung để bảo vệ mạng thơng tin di động 3G bảo vệ khách hàng: - Hiểu biết sâu sắc cấu trúc bảo mật 3G, tính bảo mật miền truy nhập vô tuyến, miền mạng, miền ngƣời sử dụng, miền ứng dụng - Phân chia mạng thành vùng bảo mật logic, sơ đồ phân chia này, nhà khai thác mạng di động có thể đánh giá mức độ quan trọng thông tin vùng, kiểu công vùng chế bảo vệ tốt vùng - Cần xác định kiểu lƣu lƣợng dịch vụ liệu đƣợc cung cấp, sau đó phân tích nguy bảo mật cụ thể dịch vụ nhằm định lựa chọn giải pháp bảo mật phù hợp - Thận trọng lựa chọn thay đổi sách bảo mật phù hợp phản ánh nguy bảo mật mạng phản ánh tốt nguy bảo mật Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 76 - Bảo vệ ngƣời sử dụng đầu cuối cách thực công nghệ thiết bị ngƣời sử dụng mạng, ví dụ phần mềm diệt virus, tƣờng lửa, công nghệ quét nội dung, nhằm cung cấp bảo mật mức file - Triển khai đa dạng sản phẩm bảo mật mạng nhƣ tƣờng lửa, hệ thống phát ngăn ngừa xâm nhập (IDP), mạng riêng ảo (VPN) điểm phù hợp mạng, đảm bảo bảo mật mức gói, mức phiên mức ứng dụng - Tập trung có thể dịch vụ liệu vô tuyến vào số lƣợng nhỏ trung tâm liệu để bảo vệ phần mạng lõi - Các nhà khai thác di động cần hợp tác với nhau, hợp tác với nhà cung cấp dịch vụ Internet (ISP) nhà cung cấp dịch vụ viễn thông khác để đảm bảo mức độ bảo mật nhỏ đủ mạnh để chống lại công - Về bảo mật truy nhập mạng, nhà khai thác mạng 3G có quyền lựa chọn thuật toán tạo khóa nhận thực AKA Kinh nghiệm cho thấy hầu hết nhà khai thác mạng 3G lựa chọn thực thuật toán MILENAGE, thuật tốn dựa Rijndeal Vì nhà khai thác mạng 3G Việt Nam nên lựa chọn thực thuật tốn Cịn thuật tốn bí mật tồn vẹn, tất nhà khai thác sử dụng thuật toán mà đƣợc xây dựng dựa mật mã khối KASUMI - Về bảo mật miền mạng: Hai phƣơng pháp để bảo vệ miền mạng MAPsec IPsec, MAPsec bảo vệ tin MAP lớp ứng dụng IPsec bảo vệ giao thức dựa IP lớp mạng Một số hướng nghiên cứu luận văn là: Nghiên cứu tính chế bảo mật IMS phiên tiếp theo; Nghiên cứu bảo mật liên mạng mạng cục vô tuyến (WLAN) mạng di động 3G; Nghiên cứu bảo mật cho công nghệ MBMS Mobile TV Mặc dù có nhiều cố gắng nghiên cứu trình bày nhƣng luận văn khơng thể tránh khỏi thiếu sót Rất mong đƣợc bảo Thầy, Cô giáo nhƣ đóng góp ý kiến bạn bè, đồng nghiệp để luận văn đƣợc hồn thiện Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 77 TÀI LIỆU THAM KHẢO I - Tiếng Việt [1] Nguyễn Bình (2004), Giáo trình mật mã học, Nhà xuất Bƣu điện, Học viện cơng nghệ Bƣu – Viễn thơng [2] Ngô Tứ thành, Lê minh Thanh, Ứng dụng mật mã lượng tử an tồn thơng tin, Tạp chí Bƣu Viễn thơng tháng 5/2006 II – Tiếng Anh [1] Các khuyến nghị tổ chức tiêu chuẩn quốc tế (3GPP) - 3GPP TS13.120: “3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security Principles and Objectives” - 3G TS21.133: “3rd Generation Partnership Project(3GPP); Technical Specification Group (TSG) SA; 3G Security; Security threats and Requirements” - 3G TS33.102: “3rd Generation Partnership Project (3GPP); Technical Specification Group (TSG) SA; 3G Security; Security Architecture” [2] Colin Blanchard, Adastral Park, “Security for the third Generation Mobile System”, Network Systems & Security Technologies, 2001 [3] Peter Rysavy,“3G Safeguards: Incomplete, Getting Better”, Information Week reports, 2009 [4] Noureddine Boudriga, Security of Mobile Communications, CRC Press, 2010 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 78 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn