HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG AN NINH MẠNG THÔNG TIN Giảng viên: TS Hoàng Trọng Minh Email: Hoangtrongminh@yahoo.com, Nguyễn Thanh Trà, Dương Thanh Tú Hà Nội, 2015 GIỚI THIỆU MÔN HỌC • Tên học phần o An ninh mạng thông tin • Số đơn vị học trình: 04 • Mục tiêu o Cung cấp cho sinh viên kiến thức an ninh gồm: an ninh thông tin nói chung, an ninh mạng hữu tuyến, an ninh truy nhập mạng internet truy nhập AAA IMS, an ninh mạng truy nhập vô tuyến hệ thống thông tin di động từ 2G đến 4G - an ninh mạng WLAN, WiMAX - m GIỚI THIỆU MÔN HỌC • Các nội dung o o o o o o m Tổng quan an ninh hệ thống thông tin Công nghệ nối mạng số liệu an ninh Công nghệ an ninh GSM GPRS Công nghệ an ninh 3G UMTS Công nghệ an ninh MIP Công nghệ an ninh CDMA2000 GIỚI THIỆU MÔN HỌC • Các nội dung o An ninh chuyển mạng 2G sang 3G, trạng an ninh 2G Việt Nam giới o An ninh mạng LAN vô tuyến o An ninh 4G LTE/SAE o An ninh mạng WiMAX • Đánh giá o o o o m Tham gia học tập lớp : 10 % Thực hành/Thí nghiệm/Bài tập/Thảo luận: 15 % Kiểm tra kỳ : 15 % Kiểm tra cuối kỳ : 60% TỔNG QUAN VỀ AN NINH • Các nội dung chương 1.1 Tạo lập môi trường an ninh 1.2 Các đe dọa an ninh 1.3 Các công nghệ an ninh 1.4 Nhận thực kiểm soát truy nhập 1.5 Hạ tầng khóa công khai 1.6 Các giao thức hàng đầu m TỔNG QUAN VỀ AN NINH • Các nội dung chương 1.7 Các biện pháp an ninh khác 1.8 An ninh giao thức vô tuyến, WAP 1.9 An ninh mức ứng dụng 1.10 An ninh client thông minh 1.11 Mô hình an ninh tổng quát hệ thống thông tin di động Tổng kết câu hỏi m TỔNG QUAN VỀ AN NINH • Các khía cạnh an ninh thông tin o Nhận thực (Authentication) o Cấm từ chối (Non repudiation) o Chống phát lại (Non-replay) o Toàn vẹn số liệu (Integrity) o Mã hóa (Encryption) o Trao quyền (Authorization) (Tính bảo mật – Confidentiality) m TỔNG QUAN VỀ AN NINH • Các khía cạnh an ninh thông tin o Nhận thực • Xác nhận đối tượng (con người hay phần mềm ) cấp phép truy cập vào hệ thống (mật khẩu, sinh trắc học…) o Cấm từ chối • Yêu cầu bên có trách nhiệm với giao dịch tiến hành bao gồm nhận dạng đối tượng tham gia nhằm tránh chối bỏ o Trao quyền • Xác định quyền truy nhập cụ thể cho đối tượng truy nhập vào hệ thống Quyền truy nhập gồm nhiều mức, kiểu hoạt động gắn chặt với nhận thực m TỔNG QUAN VỀ AN NINH • Các khía cạnh an ninh thông tin o Toàn vẹn số liệu • Đảm bảo số liệu truyền không bị thay đổi hay bị phá hoại trình truyền dẫn từ nơi phát đến nơi thu o Mật mã hóa • Đảm bảo tính riêng tư số liệu chống lại nghe đọc trộm số liệu từ người không phép o Chống phát lại • Tránh bên tham gia phát lại tin gây tượng từ chối dịch vụ bên nhận m TỔNG QUAN VỀ AN NINH • Các nguy đe dọa an ninh o Mạo danh • Kẻ công truy nhập vào hệ thống (nguồn thông tin) account hợp lệ; • Các bước tìm hiểu đột nhập sâu vào hệ thống; • Kẻ công giả làm nguồn thông tin để lấy thông tin từ người dùng hợp lệ; • Các kỹ thuật nhận thực giải pháp chống lại nguy m An ninh mạng UMTS • An ninh miền mạng – lớp II Quản lý khóa tự động MAPsec Quản lý khóa KAC • Một trung tâm quản lý khoá KAC sử dụng để thoả hiệp SA thay cho phần tử mạng NE Trao đổi khoá Internet (IKE) miền phiên dịch (DoI) MAPsec sử dụng cho mục đích • Trung tâm quản lý khoá KAC trì sở liệu SA (SAD) sở liệu sách bảo mật (SPD) (các sở liệu SAD trì nội NE) Các SA sách phân phối từ KAC đến phần tử mạng NE qua giao diện Ze m An ninh mạng UMTS • An ninh miền người sử dụng (Lớp III) o An ninh miền người sử dụng đảm bảo truy nhập an toàn đến máy di động MS o Cơ chế dựa thiết bị vật lý UICC, gồm ứng dụng an ninh USIM o USIM biểu diễn mô tả người sử dụng kết hợp người sử dụng tới mạng thường trú HE USIM chịu trách nhiệm thực nhận thực thuê bao nhận thực mạng, thoả thuận khoá dịch vụ 3G truy nhập USIM bao gồm profile người sử dụng o Truy nhập USIM hạn chế đến người sử dụng có đặc quyền Để thực điều này, người sử dụng USIM phải chia sẻ bí mật (ví dụ số nhận dạng cá nhận - PIN) o Hơn nữa, truy nhập tới thiết bị đầu cuối tới thiết bị người sử dụng khác hạn chế tới USIM có đặc quyền USIM thiết bị đầu cuối phải chia sẻ bí mật Nếu USIM thất bại việc chứng tỏ việc biết bí mật mình, truy nhập tới thiết bị đầu cuối bị từ chối m An ninh mạng UMTS • Tính hữu tính cấu hình an ninh – lớp V o Mặc dù đo lường an ninh cung cấp mạng phục vụ SN phải suốt tới người sử dụng đầu cuối, tính hữu hoạt động an ninh thuộc tính an ninh nên cung cấp tới người sử dụng: • Chỉ thị mật mã hoá mạng truy nhập; • Chỉ thị mật mã hoá mạng rộng lớn; • Chỉ thị mức độ an ninh, đặc biệt người sử dụng di chuyển từ mạng 3G tới mạng 2G o Tính cấu hình cho phép người sử dụng di động HE cấu hình xem việc cung cấp dịch vụ có phụ thuộc vào kích hoạt thuộc tính an ninh hay không Một dịch vụ sử dụng tất thuộc tính an ninh phù hợp kích hoạt Các thuộc tính cấu hình đề nghị gồm: • Nhận thực người sử dụng - USIM cho phép/không cho phép số dịch vụ ; • Tiếp nhận/loại bỏ gọi đến mà không mật mã hoá; • Thiết lập không thiết lập gọi không mật mã hoá; • Tiếp nhận/loại bỏ việc sử dụng thuật toán mật mã m An ninh mạng UMTS • An ninh miền ứng dụng - lớp IV o An ninh miền ứng dụng bảo đảm an toàn tin máy di động MS mạng phục vụ SN nhà cung cấp dịch vụ SP với mức độ bảo mật chọn nhà khai thác nhà cung cấp ứng dụng o Bao gồm: nhận thực người sử dụng, tính toàn vẹn, bảo mật, phát lặp lại, o Kiến trúc an ninh WAP: tập hợp tiêu chuẩn phân phát biểu diễn dịch vụ Internet thiết bị di động m An ninh mạng UMTS • An ninh miền ứng dụng - lớp IV o An ninh miền ứng dụng bảo đảm an toàn tin máy di động MS mạng phục vụ SN nhà cung cấp dịch vụ SP với mức độ bảo mật chọn nhà khai thác nhà cung cấp ứng dụng o Bao gồm: nhận thực người sử dụng, tính toàn vẹn, bảo mật, phát lặp lại, o Kiến trúc an ninh WAP: tập hợp tiêu chuẩn phân phát biểu diễn dịch vụ Internet thiết bị di động m Kiến trúc IMS • m Mô hình kiến trúc mạng di động kết nối qua IMS Kiến trúc IMS • • Các thành phần IMS P-CSCF o Proxy CSCF (P-CSCF) điểm liên lạc IMS P-CSCF thực chức sau đây: o Chuyển tiếp yêu cầu đăng ký SIP thu từ UE đến I-CSCF; o Chuyển tiếp tin SIP thu từ UE đến SIP server (ví dụ S-CSCF), P-CSCF thu tin SIP kết thủ thục đăng ký; o Chuyển tiếp yêu cầu SIP đáp ứng đến UE; o Thực nén/giải nén tin SIP • I-CSCF o CSCF thẩm vấn (I-CSCF) điểm liên lạc bên mạng thường trú thuê bao Các chức I-CSCF là: o Là phần thủ tục đăng ký, thực gán S-CSCF tới người sử dụng; o Định tuyến yêu cầu SIP thu từ mạng khác đến S-CSCF; o Chuyển tiếp yêu cầu đáp ứng SIP đến S-CSCF m Kiến trúc IMS • • Các thành phần IMS S-CSCF o CSCF phục vụ (S-CSCF) thực dịch vụ điều khiển phiên cho UE cách trì trạng thái phiên Các chức mà S-CSCF thực suốt phiên là: o Tiếp nhận yêu cầu đăng ký thông báo tới Sever thuê bao thường trú (HSS); o Điều khiển phiên phiên người sử dụng đăng ký; o Tương tác với platform dịch vụ để hỗ trợ dịch vụ khác nhau; o Cung cấp điểm kết cuối thông tin liên quan đến kiện dịch vụ (ví dụ thông báo âm báo ); o Thay cho thuê bao khởi nguồn thuê bao kết cuối, S-CSCF chuyển tiếp yêu cầu đáp ứng SIP đến I-CSCF P-CSCF (hoặc tới phần tử khác trường hợp thực thể truyền thông nằm IMS) o Các CSCF đóng vai trò quan trọng việc tính cước m Kiến trúc IMS • Thuộc tính an ninh IMS Thoả thuận khoá nhận thực IMS thường trú Bảo mật miền mạng Thoả thuận chế bảo mật IMS bán trú Bảo vệ toàn vẹn Miền PS • Kiến trúc an ninh IMS m Bảo vệ truy nhập R99 Kiến trúc IMS • Liên kết an ninh IMS o Nhận thực tương hỗ đảm bảo nhận thực ISIM (IM Services Identity Module: mođun nhận dạng dịch vụ đa phương tiện) HSS thông qua S-CSCF HSS ủy thác điều cho S-CSCF không chịu trách nhiệm tạo khóa hô lệnh o Truy nhập mạng (Gm) thiết lập đường truyền an ninh liên kết an ninh UE P-CSCF để nảo vệ điểm tham chuẩn Gm Nhận thực nguồn gốc số liệu bảo đảm o Miền mạng (Cx) đảm bảo an ninh miền mạng: (1) HSS I-CSCF, (2) HSS C-CSCF để bảo vệ giao diện Cx Liên kết đóng vai trò quan trọng bảo vệ an ninh khóa hô lệnh trình đăng ký UE o Miền mạng (Mw) đảm bảo an ninh đảm bảo an ninh nút có khả SIP (Session Innitiation Protocol: giao thức lhởi đầu phiên) Liên kết an ninh áp dụng P-CSCF dịch vụ SIP lõi khác UE chuyển mạng đến mạng khách (VN: Visited Network) o Miền mạng (Mw) đảm bảo an ninh nội mạng nut có khả SIP Liên kết an ninh áp dụng P-CSCF dịch vụ SIP lõi khác UE hoạt động mạng nhà (HN: Home Network) m Kiến trúc IMS • m An ninh miền mạng IMS Kiến trúc IMS • An ninh truy nhập IMS Miền IMS áp dụng hai kiểu thủ tục an ninh: IMS AKA (Authentication and Key Agreement) o Đảm bảo nhận thực tương hỗ người sử dụng S-CSCF o Thủ tục AKA hoàn thành kết cuối sau: o UE P-CSCF chia sẻ SA IPsec ESP, sử dụng để bảo vệ tất thông tin truyền hai thực thể với nhau; o S-CSCF HSS thay đổi trạng thái thuê bao từ “chưa đăng ký” thành “đã đăng ký” IMS SA (Security Association: liên kết an ninh) o Đảm bảo bảo vệ an ninh cho báo hiệu SIP UE P-CSCF m Kiến trúc IMS • Thiết lập thủ tục an ninh IMS RFC 3329: Bốn chế bảo mật khác thoả thuận o tls cho TLS; o digest cho HTTP Digest; o ipsec-ike cho IPsec sử dụng với IKE; o ipsec-man cho IPsec IKE (khoá cấu hình nhân công) o Ngoài ra, RFC 3329 định nghĩa chế bảo mật khác ipsec-3gpp sử dụng IPsec ESP để bảo vệ chặng IMS m Kiến trúc IMS • Bảo vệ tính toàn vẹn IMS o Một thuật toán bảo vệ toàn vẹn liệu thoả thuận UE P-CSCF [RFC 3329]; o Một số tham số bảo mật SPI chọn UE SA sử dụng cho hướng từ P-CSCF đến UE SPI chọn P-CSCF SA sử dụng cho hướng ngược lại từ UE đến P-CSCF; o Một khoảng thời gian tồn SA có giá trị không đổi 232-1 giây lớp IP, thời gian tồn SA điều khiển lớp SIP; o Một chế độ mode chế độ truyền tải; o Một độ dài khoá khoá toàn vẹn IKISP 128 bit HMAC-MD5-96 160 bit HMAC-SHA-1-96 m Kiến trúc IMS • m An ninh người sử dụng mạng diện rộng