1. Trang chủ
  2. » Luận Văn - Báo Cáo

Giải pháp bảo mật cho mạng thông tin di động 4g LTE

51 813 9

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 51
Dung lượng 1,72 MB

Nội dung

VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ ĐIỆN TỬ - THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: “Giải pháp bảo mật cho mạng thông tin di động 4G LTE” Giảng viên hướng dẫn : TS.ĐẶNG HẢI ĐĂNG Sinh viên thực : TÔN THỊ NGÂN Lớp : K16B Khoá : 2013 - 2017 Hệ : CHÍNH QUY Hà Nội - 2017 VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ ĐIỆN TỬ - THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài : “Giải pháp bảo mật cho mạng thông tin di động 4G LTE” Giảng viên hướng dẫn : TS ĐẶNG HẢI ĐĂNG Sinh viên thực : TÔN THỊ NGÂN Lớp : K16B Khố : 2013 - 2017 Hệ : CHÍNH QUY Hà Nội - 2017 VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CN ĐIỆN TỬ - THƠNG TIN CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự – Hạnh phúc ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Họ tên sinh viên: Tôn Thị Ngân Lớp: K16 Khố: 16 (2013-2017) Ngành đào tạo: Cơng nghệ Kỹ thuật điện tử, Truyền thông Hệ đào tạo:ĐHCQ 1/ Tên đề tài : “GIẢI PHÁP BẢO MẬT CHO THÔNG TIN DI ĐỘNG 4G LTE” 2/ Nội dung chính: 1/ Tổng quan mạng 4G 2/Các giải pháp bảo mật cho mạng thông tin 4G LTE 3/Tổng kết 3/Cơ sở liệu ban đầu C.Gessner (2008), “UMTS Long Term Evolution (LTE) Technology Introduction”, Rohde-Schwarz Erik Dahlman, Stefan Parkvall and Johan Skold, “LTE/LTE-Advanced for mobile broadband” Internet 4/Ngày giao: /2/2017 5/Ngày nộp: 15/5/2017 TRƯỞNG KHOA (Ký, ghi rõ họ tên) GVHD: TS.Đặng Hải Đăng GIÁO VIÊN HƯỚNG DẪN (Ký, ghi rõ họ tên) SVTH: Tôn Thị Ngân NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Điểm (Bằng số): … Điểm (Bằng chữ): …………… Hà Nội, ngày tháng năm 2017 Giáo viên hướng dẫn (Kí ghi rõ họ tên) GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Điểm (Bằng số): … Điểm (Bằng chữ): …………… Hà Nội, ngày tháng năm 2017 Giáo viên phản biện (Kí ghi rõ họ tên) GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân LỜI NĨI ĐẦU Trong năm gần đây, mạng không dây ngày trở nên phổ biến với đời hàng loạt công nghệ khác Wi-fi (802.1x), WiMax (802.16) Cùng với tốc độ phát triển nhanh, mạnh mạng viễn thông phục vụ nhu cầu sử dụng hàng triệu người dùng ngày Hệ thống di động thứ hai 2G, với GSM CDMA ví dụ điển hình phát triển mạnh mẽ nhiều quốc gia Tuy nhiên, thị trường viễn thông mở rộng thể rõ hạn chế dung lượng băng thông hệ thống thông tin di động hệ thứ hai Sự đời hệ thống di động hệ thứ ba 3G với công nghệ tiêu biểu WCDMA hay HSPA tất yếu để đáp ứng nhu cầu truy nhập liệu, âm thanh, hình ảnh với tốc độ cao, băng thông rộng người sử dụng Mặc dù hệ thống thông tin di động hệ 2,5G hay 3G phát triển không ngừng nhà khai thác viễn thông lớn giới bắt đầu tiến hành triển khai thử nghiệm chuẩn di động hệ có nhiều tiềm năng, chuẩn di động 4G Sự đời hệ thống công nghệ mạng 4G mở khả tích hợp tất dịch vụ, cung cấp băng thông rộng, dung lượng lớn, truyền dẫn liệu tốc độ cao, cung cấp cho người sử dụng hình ảnh video màu chất lượng cao, trò chơi đồ họa 3D linh hoạt, dịch vụ âm số Việc phát triển công nghệ giao thức đầu cuối dung lượng lớn, dịch vụ gói liệu tốc độ cao, công nghệ dựa tảng phần mềm cơng cộng mang đến chương trình ứng dụng download, công nghệ truy nhập vô tuyến đa mode cơng nghệ mã hóa media chất lượng cao mạng di động Tuy nhiên, đặc tính hàng đầu kỳ vọng mạng 4G cung cấp khả kết nối tốt Để đáp ứng điều đó, mạng 4G mạng hỗn hợp, bao gồm nhiều cơng nghệ mạng khác nhau, kết nối tích hợp toàn IP Thiết bị di động 4G đa công nghệ (multi-technology), đa chức (multi-mode) để kết nối với nhiều loại mạng truy nhập khác Công nghệ mạng 4G kỳ vọng tạo nhiều thay đổi khác biệt so với mạng di động nay.Để gửi nhận liệu qua mạng công cộng mà đảm bảo tính an tồn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi gửi nơi nhận giống kết nối point-point mạng riêng Và giải pháp bảo mật mạng tạo nên đường ống bảo mật cho VPN Vì vậy, em lựa chọn làm đồ án tốt nghiệp đề tài: “ Giải pháp bảo mật cho mạng thông tin di động 4G LTE” Với hiểu biết chưa rộng, nhiều hạn chế kiến thức nên nội dung đồ án tốt nghiệp em nhiều thiếu sót, em mong nhận bổ sung, góp ý từ thầy cô hướng dẫn GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân LỜI CẢM ƠN Trong suốt trình thực đề tài, em nhận nhiều giúp đỡ, hướng dẫn bảo tận tình q thầy bạn lớp Em xin chân thành cảm ơn đến Khoa Công Nghệ Điện Tử-Thông Tin, Viện Đại Học Mở Hà Nội Đặc biệt thầy Đặng Hải Đăng trực tiếp hướng dẫn tạo điều kiện thuận lợi giúp em hoàn thành đề tài Do kiến thức kinh nghiệm hạn hẹp nên q trình thực đề tài em tránh khỏi sai sót mong thầy bổ sung góp ý để em có thêm kinh nghiệm hồn thiện Em xin chân thành cảm ơn! Sinh viên thực Tôn Thị Ngân GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân MỤC LỤC LỜI NÓI ĐẦU LỜI CẢM ƠN DANH MỤC HÌNH ẢNH CHƯƠNG 1: TỔNG QUAN VỀ CƠNG NGHỆ MẠNG 4G LTE 1.1 SỰ PHÁT TRIỂN CỦA HỆ THỐNG THÔNG TIN DI ĐỘNG 1.1.2 Hệ thống thông tin di động thứ 2(2G) 1.1.3 Hệ thống thông tin di động thứ 3(3G) 1.1.4 Thế hệ mạng di động tiền 4G 1.1.5 Công nghệ không dây hệ thứ 1.2 CÔNG NGHỆ LTE 1.2.1 Qúa trình phát triển LTE 1.2.2 Mục tiêu LTE 1.2.3 Tính LTE 1.2.4.Ứng dụng công nghệ mạng 4G LTE 1.3 CẤU TRÚC CỦA LTE CHƯƠNG 2: BẢO MẬT THOẠI TRONG LTE 2.1 Tổng quan 2.2 Cơ chế bảo mật thoại qua LTE 2.2.1 Bảo mật tín hiệu IMS 2.2.2 Nhược điểm IMS 10 2.2.1.1 Tổng quan cấu trúc IMS 11 2.2.1.2 Qúa trình truyền thoại qua LTE 12 2.2.1.3 Bảo mật tín hiệu IMS 15 2.2.2 Xác thực gói truy cập mạng 17 2.2.3 Xác thực nút đáng tin cậy 17 CHƯƠNG 3: BẢO MẬT CHO CÁC ENODEB 18 3.1 Kiến trúc sở 18 3.2 Chức eNodeB 19 3.3 Nguy mối đe dọa 19 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân 3.4 Các yêu cầu cần để đảm bảo hệ thống 20 3.5 Kiến trúc bảo mật 20 3.6 Tính bảo mật 21 3.7 Bảo mật thủ tục 21 CHƯƠNG 4: GIAO THỨC IPSEC 23 4.1 TỔNG QUAN 23 4.1.1 Khái niệm 23 4.1.2 Thực trạng 23 4.1.3 Mục đích 24 4.1.4 Tác hại 24 4.1.5 Giải pháp 24 4.2 CƠ CHẾ BẢO MẬT CỦA IPSEC 24 4.2.1 Những tính IPSec 24 4.2.2 Kiến trúc IPSec 25 4.2.3 Các giao thức sử dụng IPSec 27 4.2.3.1 Authentication Header (AH) 27 4.2.3.2 Encapsulation Security Protocol (ESP): 29 4.2.3.3 Internet Exchange Key (IKE): 30 4.3 CHẾ ĐỘ LÀM VIỆC 30 4.3.1 Transport Mode ( chế độ vận chuyển) 30 4.3.2 Tunnel Mode ( chế độ đường hầm) 31 4.4 CƠ CHẾ BẢO MẬT CỦA IPSEC 32 4.4.1 Thiết lập IKE Phase tunnel 33 4.4.1.1 Thương lượng IKE Phase policy 33 4.4.1.2 Trao đổi key 34 4.4.1.3 Chứng thực VPN peer 34 4.4.2 Thiết lập IKE Phase tunnel 34 CHƯƠNG 5: TỔNG KẾT 37 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân DANH MỤC CỤM TỪ VIẾT TẮT Cụm từ viết tắt Tiếng Anh Tiếng Việt 3GPP Third Generation Partnership Project Dự án đối tác thứ ba AMPS Advanced Mobile Phone System Hệ thống điện thoại di động tiên tiến APN Access Point Name Tên điểm truy nhập AS Application Server Máy chủ ứng dụng Code Division Multiple Access đa truy nhập phân chia theo mã Circuit Switched Chuyển mạch kênh CFCS Call Session Control Function Chức điều khiển phiên gọi CSFB Circuit Switched Fallback Dự phòng chuyển mạch kênh EDGE Enhanced Data Rates for GSM Tốc độ liệu tăng cường cho GSM phát triển CDMA CS E-TRAN Evolved Universal Terrestrial Radio Access Truy nhập vô tuyến mặt đất toàn cầu phát triển ENODEB Evolved Node B Nút phát triển B Evolved Packet Core Mạng lõi gói phát triển GPSR General Packet Radio Service Dịch vụ vơ tuyến gói chung GSM Global System for Mobile communications Hệ thống truyền thơng di động tồn cầu GW Gateway Cổng High Speed Downlink Packet Access Truy nhập gói đường xuống tốc độ cao HSS Home Subscriber Server Máy chủ thuê bao thường trú IMS Ip Multimedia Subsystem Hệ thống đa phương tiện IP EPC HSDPA GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân 4.1.3 Mục đích Được dùng để bảo mật liệu cho chuyển giao thông tin qua mạng Admin xác lập chiều nhiều chuỗi rules, gọi Ipsec polisy, rules nà chứa filters, có trách nhiệm xác định loại thơng tin lưu chuyển yêu càu mã hóa, xác nhận Sau packet đươc computer chuyển xem xét có hay khơng gặp điều kiện sách Nếu gặp điều kiện packet mã hóa, xác nhận số theo quy định từ policy Quy trình hồn tồn vơ hình với User Aplicaton 4.1.4 Tác hại Hacker làm nhiề thứ nắm tay máy chủ mạng điện thoại di động mà việc sử dụng thuê bao khác để thực goi ví dụ điển hình Khi hóa đơn tính cước di đơng đột ngột tăng lên chóng mặt Nếu sử dụng máy điện thoại nạn nhân để thực gọi tin tặc đánh cắp tồn thơng tin lưu trữ điện thoại di động bao gồm sổ địa thơng tin cá nhân Hacker thực công từ chối dịch vụ (DoS) làm tê liệt điện thoại di động gửi tin thất thiệt quấy nhiễu sống riêng tư nạn nhân 4.1.5 Giải pháp Theo nhận xét chung giới bảo mật hệ thống máy chủ Việt Nam chưa bảo vệ cách chu đáo, không muốn nói cơng tác quản trị lỏng lẻo Giới bảo mật việt nam nhiều lần cảnh báo nguy công vào hệ thống máy tính doanh nghiệp cảnh báo bị coi nhẹ 4.2 CƠ CHẾ BẢO MẬT CỦA IPSEC 4.2.1 Những tính IPSec - Tính xác nhận Tính nguyên vẹn liệu (Authentication and data integrity) IPSec cung cấp chế mạnh mẽ để xác nhận tính chất xác thực người gửi kiểm chứng sữa đổi không bảo vệ trước nội dung gói liệu người nhận Các giao thức IPSec đưa khả bảo vệ mạnh để chống lại dạng công giả mạo, đánh từ chối dịch vụ - Sự bảo mật (Confidentiality) Các giao thức IPSec mã hóa liệu cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập 24 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân liệu đường IPSec dùng chế tạo hầm để ẩn địa IP nút nguồn (người gửi) nút đích (người nhận) từ kẻ nghe - Tránh trùng lặp (anti-reply) đảm bảo gói thơng tin khơng bị trùng lặp việc đánh số thứ tự Gói tin nafotrufng bị loại bỏ, tính tùy chọn - Quản lý khóa (Key management) IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bao mật thuật toán mã hóa trước suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối kiểm tra khóa mã cập nhật khóa yêu cầu - Hai tính IPSec, authentication and data integrity, confidentiality, cung cấp hai giao thức giao thức IPSec Những giao thức bao gồm Authentication Header (AH) Encapsulating Security Payload (ESP) - Tính thứ ba, key management, nằm giao thức khác, IPSec chấp nhận dịch vụ quản lý khóa mạnh Giao thức IKE - SAs IPSec triển khai chế độ chế độ Transport chế độ Tunnel Cả AH ESP làm việc với hai chế độ 4.2.2 Kiến trúc IPSec IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec xây dựng dựa thành phần sau đây, thành phần định nghĩa tài liệu riêng tương ứng: 25 GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân Hình 4.1: Kiến trúc IPsec Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPsec Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPsec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng - Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng - Thuật toán xác thực: Định nghĩa thuật tốn xác thực thơng tin sử dụng AH ESP 26 GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân - Quản lý khố (RFC 2408): Mô tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP nguyên thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần: • Giao thức đóng gói, gồm AH ESP • Giao thức trao đổi khố IKE (Internet Key Exchange) 4.2.3 Các giao thức sử dụng IPSec 4.2.3.1 Authentication Header (AH) Là hai giao thức giao thức đóng gói dùng IPSEC Mục tiêu AH đảm bảo tính toàn vẹn liệu chuyển mạng IP Giao thức cung cấp toàn vẹn, chứng thực nguồn liệu, thực chế lọc gói tương ứng số tùy chọn khác.Ngoài AH có khản hạn chế cơng giả danh (spoofing) công phát lại Nhưng khác với ESP, khơng cung cấp chức bảo mật (data confidential) AH đảm bảo liệu không bị thay đổi q trình truyền dẫn khơng mã hóa liệu 27 GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân Hình 4.2: IP Packet bảo vệ AH Trường AH định theo sau AH header Trong transport mode, giá trị giao thức lớp bảo vệ (chẳng hạn UDP TCP) Trong tunnel mode, giá trị Vị trí AH transport tunnel mode mô tả hình sau: Hình 4.3: IP Packet bảo vệ AH Transport Mode Trong Tunnel Mode, AH đóng gói gói tin IP thêm vào IP header trước AH header 28 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân Hình 4.4: IP Packet bảo vệ AH Tunnel Mode 4.2.3.2 Encapsulation Security Protocol (ESP): Là giao thức cung cấp an toàn, toàn vẹn, chứng thực nguồn liệu tùy chọn khác, chẳng hạn anti-replay ESP cung cấp gần tồn tính IPSec, ngồi cung cấp tính mã hóa liệu Do đó, ESP sử dụng phổ biến IPsec VPN ESP bao gồm tính sau: • Tính bảo mật (Data confidentiality) • Tính tồn vẹn liệu (Data integrity) • Chứng thực nguồn liệu (Data origin authentication) • Tránh trùng lặp (Anti-replay) Những tính tính đặc trưng yếu IPSec Lưu ý: ESP sử dụng IP protocol number 50 Hoạt động ESP; ESP chèn header vào sau phần IP header trước header giao thức lớp Header IP header tunnel mode IP header gói tin ban đầu transport mode Hình sau cho thấy vị trí ESP header transport mode tunnel mode: Hình 4.5: IP Packet bảo vệ ESP Transport Mode 29 GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân Hình 4.6: IP Packet bảo vệ ESP Tunnel Mode 4.2.3.3 Internet Exchange Key (IKE): IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật tốn mã hóa trước suốt phiên giao dịch Là giao thức thực q trình trao đổi khóa thỏa thuận thơng số bảo mật như: thuật tốn mã hóa áp dụng, khoảng thời gian khóa cần thay đổi Sau thỏa thuận xong thiết lập “hợp đồng” bên, IPsec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở liệu SA Ngồi IKE dùng giao thức khác để chứng thực đầu cuối tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley – ISAKMP: giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA – Oakley: giao thức làm nhiệm vụ chứng thực khóa, chất dùng thuật tốn Diffie-Hellman để trao đổi khóa bí mật thơng qua mơi trường chưa bảo mật Lưu ý: Giao thức IKE dùng UDP port 500 4.3 CHẾ ĐỘ LÀM VIỆC Hiện IPSec có hai chế độ làm việc: Transport Mode Tunel Mode Cả AH ESP làm việc với hai chế độ 4.3.1 Transport Mode (chế độ vận chuyển) Trong Transport Mode, liệu bạn giao tiếp gói tin mã hóa xác thực Trong q trình routing IP header khơng bị chỉnh sửa hay mã hóa nhiên authentication header sử dụng địa IP biết thông tin bị hash (băm) Transport aplication layers thường bảo mật hàm băm chúng khơng thể chỉnh sửa (ví dụ port number) Transoprt Mode sử dụng tình host-to-host Điều có nghĩa đóng gói thơng tin IPSec cho NAT traversal định nghĩa thông tin tài liệu RFC NAT-T 30 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân Transport Mode bảo vệ giao thức tầng ứng dụng Trong Transoprt Mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng miêu tả hình dưới: Hình 4.7: IPsec chế độ Transport Mode Transport Mode thiếu trình sử lý phần đầu nhanh Tuy nhiên khơng hiệu trường hợp ESP có khản khơng xác nhận mà khơng mã hóa phần đầu IP 4.3.2 Tunnel Mode (chế độ đường hầm) Trong Tunnel Mode tồn gói IP bao gồm data header mã hóa xác thực Nó phải đóng gói lại dạng IP packet khác trình routing router Tunnel Mode sử dụng giao tiếp network-tonetwort (hay routers với nhau) host-to-network internet - Không giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Tồn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Tồn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway 31 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân - Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec Hình 4.8: IPsec chế độ tunnel mode 4.4 CƠ CHẾ BẢO MẬT CỦA IPSEC Hình 4.9: Cơ chế bảo mật Ipsec 32 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân Sau R1 cấu hình để mã hóa bảo vệ traffic từ mạng 10.0.0.0/24 đến 172.16.0.0/24, R1 chờ đợi cho traffic đến Nếu traffic đến R1 có source 10.0.0.0/24 đến 172.16.0.0/24 (ví dụ: user truy cập vào server) R1 biết cần phải mã hóa bảo vệ traffic trước gửi Tuy nhiên, router chưa thiết lập VPN tunnel nào, nên R1 trước hết phải tiến hành thương lượng với R2 Trong trường hợp này, R1 thiết bị khởi tạo VPN 4.4.1 Thiết lập IKE Phase tunnel 4.4.1.1 Thương lượng IKE Phase policy Trước tiên router thương lượng Internet Key Exchange (IKE) Phase tunnel Q trình thực Main mode Aggressive mode Main mode sử dụng nhiều gói tin Aggressive mode, đánh giá an toàn Hầu hết VPN mặc định sử dụng Main mode IKE Phase tunnel dùng để router trao đổi trực tiếp với Tunnel không dùng để forward gói tin user, mà dùng để bảo vệ management traffic liên quan đến VPN router Ví dụ keepalive message dùng để kiểm tra VPN tunnel hoạt động traffic mà router gửi qua IKE Phase tunnel Vì R1 router nhận traffic cần phải mã hóa, IKE Phase tunnel chưa thiết lập, nên R1 router khởi tạo việc thương lượng R1 gửi tất tham số cấu hình/mặc định mà muốn sử dụng cho IKE Phase tunnel Để IKE Phase tunnel thiết lập thành cơng có thứ (gọi chung IKE Phase policy) mà VPN gateway phải đồng ý với nhau: • • • • Thuật tốn hash: Có thể MD5 SHA Thuật tốn mã hóa: Có thể DES, 3DES, AES với chiều dài key khác (key dài tốt) Diffie-Hellman (DH) group: DH group cho biết modulus size (chiều dài key) dùng cho trình trao đổi key Group dùng 768 bit, group dùng 1024 bit, group dùng 1536 bit Mục đích DH tạo shared secret number ZZ, từ ZZ chuyển đổi sang keying material Keying material dùng làm key-encryption key (KEK) để mã hóa content-encryption key (CEK), với CEK key đối xứng dùng để mã hóa traffic Kiểu chứng thực: Dùng để kiểm tra định danh VPN peer phía bên tunnel Có thể sử dụng pre-shared key (PSK) chữ ký số RSA 33 GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân • Lifetime: Sau IKE Phase tunnel bị hủy bỏ Mặc định ngày, hay 86400s Đây tham số mà khơng cần phải giống xác VPN peers Nếu tất tham số khác giống lifetime khác VPN peers dùng lifetime nhỏ (ví dụ: R1 đề nghị lifetime ngày, R2 đề nghị nửa ngày R1 R2 đồng ý dùng lifetime nửa ngày) Lifetime ngắn xem an toàn hơn, attacker khơng có nhiều thời gian để tìm key dùng tunnel 4.4.1.2 Trao đổi key Sau đồng ý với IKE Phase policy VPN peer, thiết bị tiến hành trao đổi key thuật toán DH (DH key exchange) Chúng sử dụng DH group đồng ý với trình thương lượng, kết thúc trình trao đổi key chúng có shared secret keying material dùng cho thuật toán đối xứng (như AES) 4.4.1.3 Chứng thực VPN peer Bước cuối IKE Phase chứng thực VPN peer phía bên Các VPN gateway chứng thực lẫn phương pháp mà chúng đồng ý bước (PSK chữ ký số RSA) Nếu chứng thực thành cơng IKE Phase tunnel thiết lập VPN gateway Tunnel có tính chất chiều (bidirectional) VPN peers sử dụng session key để mã hóa giải mã inbound outbound traffic 4.4.2 Thiết lập IKE Phase tunnel IKE Phase tunnel management tunnel cho phép router trao đổi trực tiếp với cách an tồn IKE Phase tunnel khơng dùng để mã hóa bảo vệ gói tin user Để làm việc VPN gateway tạo tunnel khác dành riêng cho việc mã hóa gói tin user Tunnel gọi IKE Phase tunnel, hay IPsec tunnel router, với IKE Phase tunnel thiết lập, tận dụng IKE Phase tunnel để thương lượng cách an toàn thiết lập IKE Phase tunnel IKE Phase policy (bao gồm mã hóa, hash) gọi transform set Mã hóa hash IKE Phase dùng cho traffic user, mã hóa hash IKE Phase dùng cho management traffic VPN mà router thương lượng trao đổi trực tiếp với 34 GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân Ở Phase 2, ngồi transform set router thương lượng mode sử dụng (tunnel mode hay transport mode) có sử dụng PFS hay không (PFS viết tắt Perfect Forward Secrecy PFS cho phép router chạy lại thuật toán DH để tạo shared secret number ZZ khác, thay dùng lại giá trị ZZ tạo từ DH Phase 1) Dưới cách đóng gói gói tin sử dụng mode khác (tunnel/transport) giao thức khác (AH/ESP) Hình 4.10: Cách đánh gói gói tin sử dụng mode khác Chú ý: Vì AH khơng hỗ trợ mã hóa nên sử dụng Tương tự IKE Phase 1, lifetime IKE Phase không thiết phải giống hoàn toàn VPN peers Nếu lifetime IKE Phase khác VPN peers sử dụng lifetime nhỏ Toàn trao đổi thương lượng IKE Phase tunnel thực cách an tồn IKE Phase tunnel bảo vệ traffic Tên mode dùng để thiết lập IKE Phase tunnel Quick mode Sau IKE Phase tunnel thiết lập xong router tiến hành mã hóa traffic user gửi traffic đến cho VPN peer phía bên Từ Internet nhìn vào thấy gói tin có source IP R1 destination IP 35 GVHD: TS.Đặng Hải Đăng SVTH: Tơn Thị Ngân R2 Tồn gói tin gốc (bao gồm source IP, destination IP nội dung user gửi cho server) mã hóa đóng gói bên gói tin Chỉ có IP header (với source IP R1, destination IP R2) ESP header dạng plain text, tồn nội dung gói tin ban đầu mã hóa ESP giao thức Layer có protocol ID = 50 Khi R2 nhận gói tin IPsec, R2 de-encapsulate, thấy ESP R2 dùng secret key để giải mã phần bên Sau giải mã xong, R2 forward gói tin ban đầu (plain text) đến cho server Tóm lại, VPN peers/gateways thương lượng IKE Phase tunnel Main mode Aggressive mode, sau dùng Quick mode để thiết lập IKE Phase tunnel Chúng sử dụng IKE Phase tunnel để mã hóa giải mã traffic user Thực sự, IKE Phase tunnel bao gồm tunnel có tính chất chiều (unidirectional): từ R1 đến R2, từ R2 đến R1 (nghĩa có session key khác dùng cho hướng: cho inbound để giải mã traffic, cho outbound để mã hóa traffic) User hồn tồn khơng biết q trình này, khơng biết gói tin họ mã hóa Ta có IKE Phase tunnel (tính chất chiều) dùng cho management traffic VPN peers, hai IKE Phase tunnel (tính chất chiều) dùng để mã hóa giải mã user traffic Các tunnel security agreements VPN peers, thường gọi security associations (SA) Mỗi SA gán cho số định danh (SPI – Security Parameter Index) để theo dõi Inbound SPI VPN peer outbound SPI VPN peer kia, ngược lại Mỗi loại traffic (được mô tả crypto ACL) theo dõi cặp inbound outbound SPI 36 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân CHƯƠNG 5: TỔNG KẾT Hiện giới công việc bảo mật nâng cao dịch vụ cho mạng thông tin di động 4G-LTE triển khai mạnh mẽ Luận văn “Nghiên cứu xây dựng giải pháp bảo mật cho mạng thông tin di động 4G-LTE” trước tiên trình bày tổng quan xu hướng tiến hóa mạng thơng tin di động từ 2G lên 4G Chương I trình kiến thức mạng thông tin di động 4GLTE gồm kiến trúc giao diện giao thức hệ thống Chương II, chương III chương IV trình bày giải pháp bảo mật cho mạng việc bảo mật cho thoại LTE Bảo mật cho eNodeB Cuối giao thức bảo mật IPSEC Đồ án sở để thực nghiên cứu chuyên sâu bảo mật cho mạng 4G 37 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân TÀI LIỆU THAM KHẢO C.Gessner (2008), “UMTS Long Term Evolution (LTE) Technology Introduction”, Rohde-Schwarz Erik Dahlman, Stefan Parkvall and Johan Skold, “LTE/LTE-Advanced for mobile broadband” Các website tham khảo: www.vntelecom.org www.dientucongnghe.net www.wikipedia.org www.3gpp.org 38 GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân ... tử, Truyền thông Hệ đào tạo:ĐHCQ 1/ Tên đề tài : “GIẢI PHÁP BẢO MẬT CHO THÔNG TIN DI ĐỘNG 4G LTE 2/ Nội dung chính: 1/ Tổng quan mạng 4G 2/Các giải pháp bảo mật cho mạng thông tin 4G LTE 3/Tổng... NGHỆ MẠNG 4G LTE 1.1 SỰ PHÁT TRIỂN CỦA HỆ THỐNG THÔNG TIN DI ĐỘNG 1.1.2 Hệ thống thông tin di động thứ 2(2G) 1.1.3 Hệ thống thông tin di động thứ 3(3G) 1.1.4 Thế hệ mạng di động. .. số giải pháp bảo mật thường dùng mạng thông tin di động 4G LTE GVHD: TS.Đặng Hải Đăng SVTH: Tôn Thị Ngân CHƯƠNG 2: BẢO MẬT THOẠI TRONG LTE 2.1 Tổng quan Thoại có lịch sử ứng dụng mạng thông tin

Ngày đăng: 22/03/2018, 18:16

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w