1. Trang chủ
  2. » Luận Văn - Báo Cáo

an ninh trong thông tin di động

47 412 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 47
Dung lượng 2,57 MB

Nội dung

Chương 1: Nhận thực trong môi trường liên mạng vô tuyến Vai trò của nhận thực trong kiến trúc an ninh  Vị trí của nhận thực trong kiến trúc an ninh  Các khái niệm nền tảng của nhận th

Trang 1

Sinh viªn thùc hiÖn: NguyÔn Lª Tr êng

Gi¸o viªn h íng dÉn: TS NguyÔn Ph¹m Anh Dòng ThS Ph¹m ThÞ Thuý HiÒn

KS NguyÔn ViÕt §¶m

Trang 2

 An ninh trong MIP

 An ninh trong cdma2000

 An ninh chuyển mạng và hiện trạng an ninh 2G tại Việt Nam

 KÕt luËn v khuy KÕt luËn v khuy à khuy à khuy ến nghị

Trang 3

Các chương trong đồ án

 Mở đầu

 Chương 1: Tổng quan an ninh di động

 Chương 2: Những ứng dụng của các phương pháp khoá công cộng

 Chương 3: Mô hình an ninh 3G UMTS

 Chương 4: Công nghệ an ninh trong MIP

 Kết luận

Trang 4

Chương 1: Nhận thực trong môi trường liên mạng vô tuyến

 Vai trò của nhận thực trong kiến trúc an

ninh

 Vị trí của nhận thực trong kiến trúc an ninh

 Các khái niệm nền tảng của nhận thực

 Mật mã khoá riêng so với mật mã

khoá công cộng

 Những thách thức của môi trường

liên mạng vô tuyến

Trang 5

Chương 2: Những ứng dụng của các phương pháp khoá công cộng

Trang 6

Giao thức MSR cải tiến (IMSR)

Trạm di động Trạm gốc mạng phục vụ

Kiểm tra xem h(IDBS,

NBS) = CertBS 2 mod NCA

mạng và CA.

Tính RANDX = SQRT(a) mod NBS;

Thiết lập khoá phiên

Ks = RANDX

Tính m = f1(Ks, b); Lấy ra CertBS từ m;

Kiểm tra xem CertBS2 mod NCA =

g(IDMS) mod NCA

Chú ý: h là một hàm băm; g là hàm một chiều Cả hai hàm tạo ra các giá trị với độ dài bít bằng với khoá công cộng.

Tính CertBS = SQRT(h(IDBS, NBS)) mod NCA Yêu cầu mở phiên

[IDBS, NBS, CertBS]

[a]

[b]

Trang 7

Thiết lập khoá phiên

Ks = RAND1 XOR RAND2

Chú ý: Trong bản tin trên, RAND1 được mật mã với khoá công cộng của MS, Một chuỗi chứa Enc(RAND1), SKCS được chọn, RCH1, và SKCS được ký với khoá riêng của trạm gốc

Xác định tính hợp

lệ chữ ký của MS

Giải mật mã RAND2;

Thiết lập khoá phiên

Ks = RAND1 XOR RAND2

Chú ý: Trong bản tin trên, RAND2 được mật mã với khoá công cộng của BS Một chuỗi chứa Enc(RAND2), Enc(RAND1) được ký với khoá riêng của trạm di dộng.

Xác nhận tính hợp

lệ của Cert MS

Bản tin Request-to-Join [RCH1, Cert MS , SKCS]

[Cert BS , RAND1, RCH1, SKCS được chọn]

RAND2

Trang 8

Chương 3: Nhận thực và an ninh trong UMTS

 Kiến trúc 3G UMTS

 Nguyên lý an ninh UMTS

 Các lĩnh vực an ninh UMTS

 Giao thức khoá công cộng của

Siemens cho UMTS

 Nhận thực thuê bao trong UMTS

 Tổng kết về nhận thực trong UMTS

Trang 9

Kiến trúc 3G UMTS

Trang 11

Thiết bị đầu cuối

(Handset)

Môi trường nhà (HE) Mạng phục vụ (SN)

NAS

NAS NDS

Trang 12

Mật mã số liệu

 Giải thuật đối xứng trong đó các đối tượng tham gia thông tin sử dụng chung một khóa chia sẻ quy định trước

 Giải thuật không đối xứng các đối tượng sử dụng một

khóa công cộng và khóa riêng

phối khóa an toàn

rộng rãi, thường áp dụng để phân phối khóa chia sẻ

hoặc cho chữ ký số

Trang 13

Phân loại các dịch vụ an ninh 3G

Nhận thực trong 3G được chia thànhhai phần:

Trang 14

An ninh di động 3G

Bảo mật trong UMTS đạt được bằng

cỏch mật mó húa cỏc cuộc truyền

thụng giữa thuờ bao và mạng và bằng cỏch sử dụng nhận dạng tạm thời (địa phương) thay cho sử dụng nhận dạng toàn cầu, IMSI Mật mó húa được thực hiện giữa thuờ bao (USIM) và RNC và bảo mật người sử dụng được thực hiện giữa thuờ bao và VLR/SGSN

Trang 15

An ninh di động 3G

Thuộc tớnh cần được bảo vệ toàn

vẹn là:Cỏc bản tin bỏo hiệu

Bảo vệ toàn vẹn để kiểm tra sự

đỳng đắn của bản tin

Trang 16

Phương phỏp để bảo vệ toàn vẹn trong UMTS

là tạo ra cỏc con dấu bổ sung cho cỏc bản

tin Cỏc con dấu này cú thể được tạo ra tại

cỏc nỳt biết được cỏc khoỏ đựơc rỳt ra từ

một khúa chia sẻ biết trước, K Cỏc khúa này được lưu trong USIM và AuC Bảo vệ tớnh

toàn vẹn đặc biệt cần thiết, vỡ mạng phục vụ thường được khai thỏc bởi một nhà khai thỏc khỏc với nhà khai thỏc của thuờ bao.

An ninh di động 3G

Trang 17

AUC tạo ra AV (Authentication Vector) dựa trên các thông số sau:

• RAND (Random Number)

• AMF (Key Management Field)

Trang 19

An ninh di động 3G

(Tạo AV tại AUC)

Trang 20

RAND Hụ lờnh ngẫu nhiờn để gửi đến USIM XRES Kết quả nhận thực chờ đợi từ USIM

AUTN Thẻ nhận thực gửi đến USIM để nhận

thực AuC và tạo các thông số tr lời ả lời

IK Khúa toàn vẹn để kiểm tra toàn vẹn

Vai trò các thông số của AV:

An ninh di động 3G

(Tạo AV tại AUC)

Trang 21

Các thông số đầu vào bộ tạo AV

An ninh di động 3G

(Tạo AV tại AUC)

Trang 22

USIM nhận từ mạng hai thụng số: RAND và AUTN để tạo ra cỏc

thụng số trả lời gồm: (XMAC-A,

RES, CK, IK, SNQ)

An ninh di động 3G

(USIM tạo thông số trả lời)

Trang 23

An ninh di động 3G

(AKA: Authentication and Key Agreement)

Trang 24

1 VLR/SGSN phụ trỏch mỏy di động gửi

"yờu cầu số liệu nhận thực (IMSI)" đến

HLR

2 HLR trả lời bằng "Trả lời số liệu nhận

thực" (AV1, AV2, …., AVn)"

3 VLR/SGSN phỏt "Yờu cầu nhận thực người

sử dụng (RAND)(i)||AUTN(i)" đến USIM

thụng qua RNC, Nỳt B và đầu cuối

4 USIM phỏt "Trả lời nhận thực (RES(i))"

trở lại VLR/SGSN

An ninh di động 3G

(AKA: Authentication and Key Agreement)

Trang 25

An ninh di động 3G

(USIM tạo thông số trả lời)

Trang 27

MESSAGE Bản tin bỏo hiệu cựng với nhận dạng

kờnh mang vụ tuyến

Các thông số đầu vào f9

An ninh di động 3G

(Nhận thực toàn vẹn bản tin)

Trang 28

An ninh di động 3G

(Bảo mật bản tin)

Trang 29

29

Trang 30

Giao thức khoá công cộng của

Siemens cho UMTS

(M1) gRNDu, ID CS , Enc(L, IMUI)

(M2) TS1, gRNDu, ID CS , Enc(L, IMUI), Sig N0

(h3(TS1 || g s || gRNDu || Enc(L, IMUI)))

(M3) CertN, TS2 || IDN0 || CertU, Sig CS (TS2 || ID N0 || CertU) (M4) RNDn, AUTH N , CertN*, Enc(K s ,

data1 || data3)

(M5) Enc(K s , SigU(K s || data1 || data2)),

Enc(K s , data2)

Trang 31

Nhận thực thuê bao trong UMTS

Xác nhận AUTN(i); Tính toán RES(i)

Lấy ra CK(i) và IK(i) Trả lời nhận thực người sử dụng RES(i)

Trang 32

Nhận thực thuê bao trong UMTS

Trung tâm nhận thực

Tạo SQN Tạo RAND

Chú ý:

SQN = Sequence Number AMF = Authentication & Key Management Field RAND = Random Challenge SQN

AMF

RAND Khoá bí mật K

CK = Cipher (Data Encyption) Key

Chú ý:

AUTN = SQN (XOR) AK || AMF || MAC

AV = RAND || XRES || CK || IK AUTN z

Trang 33

Chương 4: Nhận thực và an ninh trong IP di động (MIP: Mobile IP)

 Tổng quan về MIP

 Môi trường nhận thực và an ninh của MIP

 Giao thức đăng ký Mobile IP cơ sở

 Hệ thống MoIPS (Mobile IP Security)

 Phương pháp lai cho giao thức nhận thực theo giao thức Mobile IP

Trang 34

Dữ liệu được gửi tới Foreign Agent thông qua đường hầm IP (IP Tunnel)

Home Agent chặn các gói và

Trang 36

Tìm nạp Cert và Module proxy FA

Module ràng buộc DNS

Module giao thức phát hiện chứng nhận

Module quản lý khoá (Portland State)

Module quản lý khoá Zero- Message

Module giao thức quản lý khoá

& liên kết

an ninh Internet

Crypto Engine RSA – REF / Fortezza CryptoKi CAPI

Trang 38

Các phần tử dữ liệu

mạng của FA).

trên mạng mà nó đang tạm trú Trong hầu hết các trường hợp, điều này

sẽ tương ứng với địa chỉ IP của FA.

theo khoá K

dùng chung giữa MH và HA Nó không được dùng chung với FA hoặc các phần tử khác của cơ sở hạ tầng mạng.

yêu cầu.

Trang 39

MH COA , T MH || MAC(KS MH-HA ,M1)]

Chú ý: Trong M3, nếu tem thời gian từ MH không thuộc cửa sổ tiếp nhận thì HA loại bỏ yêu cầu nhưng cung cấp tem thời gian riêng của nó

để cho phép MH đồng bộ lại đồng hồ của nó.

[M1 || MAC(KS MH-HA ,M1)]

[M3=Reply, Result, FA IB , HA IB , MH HM ,

T MN hoặc T HA || MAC(KS MH-HA ,M3)]

[M3 || MAC(KS MH-HA ,M3)]

Trang 40

Mật mã số liệu

 Giải thuật đối xứng trong đó các đối tượng tham gia thông tin sử dụng chung một khóa chia sẻ quy định trước

 Giải thuật không đối xứng các đối tượng sử dụng một

khóa công cộng và khóa riêng

phối khóa an toàn

rộng rãi, thường áp dụng để phân phối khóa chia sẻ

hoặc cho chữ ký số

Trang 41

Các biện pháp cải thiện an ninh

giải thuật an ninh khác cho A3/A8 và cập nhật phần mềm AuC/HLR Điều này sẽ loại bỏ có hiệu quả việc sao bản SIM (đây là tấn công nguy

hiểm nhất).

với tên gọi là COMP128, 2,

COMP128-3 và GSM-MILENAGE (hay COMP128-4):

hại và dẫn đến nguy hiểm sao bản SIM

như COMP128, nhưng nó không tạo ra khóa mật

mã đầy đủ 64 bit

khóa mật mã đầy đủ 64 bit

nhận thực của UMTS MILENAGE

Trang 42

 Mật mã hóa lưu lượng trên mạng

đường trục nối các nút mạng của nhà khai thác Giải pháp này sẽ lọai bỏ

được các tấn công trích ngang mạng đường trục Giải pháp này không cần

 Sử dụng bộ đếm hô lệnh ở SIM

Trang 43

 Nghiên cứu công nghệ an ninh 3G UMTS

 Nghiên cứu công nghệ an ninh MIP

Trang 44

Khuyến nghị

tiến tới mạng toàn IP, an ninh di động đã trở thành một vấn đề cấp bách

pháp bảo vệ an ninh cho mạng, nhưng do đặc thù

vô tuyến nên các biện pháp này chỉ có hạn và chỉ

hạn chế ở truyền dẫn vô tuyến va một phần mạng lõi Vì thế để tăng cường an ninh trên toàn bộ đường truyền cần sử dụng kết hợp các biện pháp an ninh khác như SSL(Secure Sockets Layer), TSL

(Transport Layer Security), IPSec.

Trang 45

Khuyến nghị (2)

thác nào cũng triển khai các biện pháp an ninh như thiết kế, vì thế cần phải có quy chế kiểm tra các

biện pháp an ninh trong các mạng được triển khai như đã cam kết với khách hàng

chuyển đổi giao thức an ninh Vì thể cần có biện

pháp đặc biệt để đảm bảo an ninh cho các điểm

xung yếu này

bằng cách sử dụng các cơ chế an ninh dựa trên sử dụng AAA RADIUS cùng với quy định bí mật dung chung và chứng nhận khoá công cộng

một giải pháp an ninh toàn bộ và là một dịch vụ

đầy hứa hẹn

Trang 46

 Ngay cả có công nghệ an ninh mạnh, an ninh hãng vẫn không được đảm bảo nếu các người sử dụng hệ thống

không tuân thủ các quy định về an ninh Các hãng cần đưa ra các chính sách an ninh Chính sách này bao gồm tất cả các mặt khác nhau của các biện pháp an ninh

hãng: bao gồm cả công nghệ, sử dụng và tiết lộ thông tin mật trong xí nghiêp

cứu viết phần mềm cho các giải thuật an ninh 2G, 3G Chỉ có thế Việt nam mới làm chủ đựơc an ninh mạng cho mình Các hãng khai thác viễn thông di động cần có kế hoạch để hỗ trợ các nhóm này Trước hết các nhóm này

có thể viết phần mềm cho các giải thuật A3 và A8 dựa trên một số cải tiến mới nhất cho các giải thuật này

Trang 47

47

Ngày đăng: 20/06/2014, 21:29

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w