HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - PHẠM VĂN CHIẾN AN NINH TRONG THÔNG TIN DI ĐỘNG MẠNG THẾ HỆ MỚI LTE VÀ WiMAX CHUYÊN NGÀNH: KỸ THUẬT VIỄN THƠNG MÃ SỐ: 60.52.02.08 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2014 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS NGUYỄN PHẠM ANH DŨNG Phản biện 1: Phản biện 2: Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Thơng tin di động ngày trở thành nghành công nghiệp phát triển vô mạnh mẽ Các hệ mạng di động không ngừng phát triển nhằm cung cấp cho người sửa dụng dịch vụ thoại, truyền số liệu đặc biệt dịch vụ băng rộng lúc nơi Khi thuê bao di động thực dịch vụ băng rộng vấn đề an tồn thơng tin cần quan tâm, thơng qua chế xác thực, mã khóa để đảm bảo cho người dùng vấn đề cấp thiết phải thực hiện, việc sửa dụng ngày nhiều giao diện giao thức tạo hội cho việc sửa dụng mạng với mục đích xấu Các cơng làm khả hoạt động mạng, làm tính tồn vẹn tính bảo mật dịch vụ mạng Cần phải có biện pháp an ninh để bảo vệ mạng viễn thông khỏi tất công Các nhà cung cấp dịch vụ di động băng rộng phải đối mặt với rủi mạng công cộng tất công an ninh, đe dọa virus, yếu điểm phần mềm Các nguy hiểm ảnh hưởng đến hạ tầng, cung cấp dịch vụ nhà cung cấp dịch vụ trải nghiệm khách hàng Cần phải có biện pháp an ninh hữu hiệu để giảm thiểu hủy hoại dịch vụ, tránh thất lợi nhuận trì mức độ thỏa mãn cao khách hàng Ngày nhà nghiên cứu phát triển hệ thống thông tin di động nói riêng hệ thống viễn thơng nói chung đưa nhiều cơng nghệ an ninh để tạo giải pháp di động với an ninh đầu cuối đầu cuối Các công nghệ an ninh phải đưa vào ứng dụng ta từ giai đoạn thiết kế ban đầu triển khai cuối Nội dung đề tài "An ninh thông tin di động mạng hệ LTE WiMAX" trình bày chương sau: - Chương 1: Tổng quát an ninh hệ thống thông tin - Chương 2: An ninh mạng LTE - Chương 3: An ninh mạng WiMAX Chương TỔNG QUÁT VỀ AN NINH TRONG HỆ THỐNG THÔNG TIN DI ĐỘNG 1.1 Tạo lập môi trường an ninh Để đảm bảo an ninh đầu cuối đầu cuối ta cần xét toàn mơi trường an ninh bao gồm tồn mơi trường truyền thông: truy nhập mạng, phần từ trung gian ứng dụng Client An ninh đầu cuối đầu cuối có nghĩa truyền dẫn số liệu an ninh toàn đường truyền từ đầu phát đến đầu thu (thường máy đầu cuối hay Client đến server) Trong phần ta xét năm mục tiêu quan trọng liên quan đến việc tạo lập môi trường an ninh 1.1.1 Nhận thực Phải có chế để đảm bảo người sử dụng hay thiết bị hợp lệ Ngoài người sử dụng thiết bị phải có khả kiểm tra tính xác thực mạng mà nói đến 1.1.2 Tồn vẹn số liệu Toàn vẹn số liệu đảm bảo số liệu truyền không bị thay đổi hay bị phá hoại trình truyền dẫn từ nơi phát đến nơi thu 1.1.3 Bảo mật Bảo mật nét quan trọng an ninh thường nói đến nhiều 1.1.4 Trao quyền Trao quyền chế để kiểm tra người sử dụng quyền truy nhập dịch vụ cụ thể định mức độ truy nhập người sử dụng 1.1.5 Cấm từ chối (Non-Repudiation) Cấm từ chối biện pháp buộc phía phải chịu trách nhiệm giao dịch mà chúng tham gia không từ chối tham gia giao dịch 1.1.6 Chống phát lại Không cho phép kẻ phát hoại chẳng tin phát từ A đến B phát lại tin nhiều lần làm tải B dẫn đến B từ chối dịch vụ (DoS: Deny of Service) An ninh thường xử lý nhiều lớp, nhiều trường hợp có chế thừa Mỗi lớp xử lý khía cạnh khác an ninh Nguyên tắc chung an ninh nên có nhiều chế an ninh để bảo vệ cho không bị an ninh chế bị phá vỡ Bảng 1.1 Thí dụ chế an ninh lớp khác ngăn xếp IP Lớp Liên kết Mạng Truyền tải Cơ chế an ninh Chú thích Mật mã hố, nhận thực Thơng thương thiết bị, nhận thực cảng truy thực liên kết vô nhập tuyến Tưởng lửa, IPSec, hạ tâng Bảo vệ mạng thơng tin qua An ninh lớp truyền tải Đảm bảo an ninh lớp truyền tải cách sử dụng kiến trúc chứng nhận Có thể đảm bảo Các chữ ký điện tử, bảo mật nhận thực, Ứng dụng giao dịch điện tử an ninh chủ yếu dựa hạ tầng ,quản lý quyền lợi số khóa cơng cộng Trong đường truyền hữu tuyến, thơng thường mật mã hóa lớp liên kết không sử dụng Trong trường hợp này, bảo mật đảm bảo chế an ninh đầu cuối đầu cuối sử dụng lớp cao Tại lớp mạng, có số phương pháp đảm bảo an ninh Chẳng hạn IPSec sử dụng để đảm bảo nhận thực dịch vụ mật mã hoá Bản thân mạng bảo vệ khỏi công kẻ xấu thông qua việc sử dụng tường lửa Các dịch vụ nhận thực trao quyền thường sử dụng thông qua giao thức AAA, giao thức RADIUS (Remote Access Dial in User Service: dịch vụ người sử dụng quay số từ xa) Diameter Tại lớp truyền tải, TLS (dịch vụ trước gọi SSL: Secure Sockets Layer: lớp ổ cắm an ninh), sử dụng để bổ sung cho an ninh cho giao thức truyền tải gói Tại lớp ứng dụng, chữ ký số, chứng nhận quản lý quyền lợi số sử dụng phụ thuộc vào mức độ nhậy cảm ứng dụng 1.2.Các đe dọa an ninh 1.2.1 Đóng giả Đóng giả ý định kẻ tìm cách truy nhập trái phép vào ứng dụng hay hệ thống cách đóng giả người khác 1.2.2 Giám sát Giám sát kỹ thuật sử dụng để giám sát dòng số liệu mạng Trong giám sát sử dụng cho mục đích đắn, lại thường sử dụng để copy trái phép số liệu mạng 1.2.3 Làm giả Làm glà số liệu hay cịn gọi để dọa tính tồn vẹn liên quan đến việc thay đổi số liệu so với dạng ban đầu với dụng ý xấu 1.2.4 Ăn cắp Ăn cắp thiết bị vấn đề thường xảy thông tin di động Ta không bị thiết bị mà cịn thơng tia bí mật lun Điều đặc biệt nghiêm trọng ứng dụng Client thơng minh chúng thường chứa số liệu khơng đổi bí mật 1.3 Các giao thức hàng đầu 1.3.1 Lớp ổ cắm an ninh,SSL SSL (Secure Sockets Layer: lớp ổ cắm an ninh) giao thức an ninh hàng đầu sử dụng internet Nó phát triển Netscape để cung cấp phiên internet riêng an ninh, thường HTTP, sử dụng FTP hay giao thức liên quan khác 1.3.2 An ninh lớp truyền tải, TLS Gần SSL thay TLS (Transport Layer Security: an ninh lớp truyền tải) định nghĩa [RPC2246] tiêu chuẩn an ninh lớp ứng dụng/phiên 1.3.3 An ninh lớp truyền tải vô tuyến, WTLS WTLS lớp an ninh định nghĩa cho tiêu chuẩn WAP Nó hoạt động lớp truyền tồi phù hợp cho giao thức sở vô tuyến khác 1.3.4 An ninh IP, IPSec IPSec (IP Security) khác với giao thức khác chỗ khơng tác động lên lớp ứng dụng 1.4 An ninh giao thức vô tuyến, wap 1.4.1 An ninh mức truyền tải , TLS An ninh mức truyền tải (còn gọi an ninh kênh) để xử lý thông tin điểm đến điểm Client vô tuyến nguồn số liệu doanh nghiệp 1.4.2 Lỗ hổng WAP Tuy WTLS cải thiện TLS mơi trường vơ tuyến, lại gây vấn đề chính: cần hai giao thực TLS WTLS kiến trúc WAP 1.4.3 WAP2.X WAP 2.0 có nhiều tính mới, quan trọng việc chuyển dịch đến giao thức Internet tiêu chuẩn 1.5 Mơ hình an ninh tổng quát hệ thống thông tin di động Kiến trúc an ninh bao gồm năm môđun sau: An ninh truy nhập mạng (NAS: Network Access Security): Tập tính an ninh để đảm bảo người sử dụng truy nhập an ninh đến dịch vụ hệ thống thông tin di động cung cấp, đặc biệt bảo vệ chống lại công đường truy nhập vô tuyến An ninh miền mạng (NDS: Network Domain Security): Tập tính an ninh để đảm bảo an ninh cho nút mạng miền nhà cung cấp dịch vụ trao đổi báo hiệu đảm bảo chống lại công mạng hữu tuyến An ninh miền người sử dụng (UDS: User Domain Security): Tập tính an ninh để đảm bảo truy nhập an ninh đến MS 9 An ninh miền ứng dụng (ADS: Application Domain Security): Tập tính an ninh để đảm bảo ứng dụng miền người sử dụng miền nhà cung cấp dịch vụ trao đổi an ninh tin Khả nhìn lập cấu hình an ninh Tập tính cho phép người sử dụng tự thông báo việc tính an ninh có làm việc hay khơng việc sử dụng cung cấp dịch vụ có phụ thuộc vào tính an ninh hay khơng 10 Chương AN NINH TRONG MẠNG LTE 2.1 Kiến trúc hệ thống LTE/SAE IMS Hình 2.1 Kiến trúc hệ thống cho mạng LTE/SAE cho EUTRAN LTE 2.2 An ninh người sửa dụng EPS 2.2.1 Các yêu cầu an ninh phần tử giao diện EPS 11 Các yêu cầu an ninh phần tử giao diện EPS - An ninh người sử dụng mạng Để bảo vệ trao đổi mạng UE giao diện vô tuyến - An ninh miền mạng Để bảo vệ giao diện nút mạng EPS IMS 2.2.2 Các chức an ninh mạng EPS 2.2.2.1 Các chức an ninh mức giao thức 2.2.2.2 Các chức an ninh phần tử mạng EPS 2.2.3 Quản lý khóa an ninh 2.2.3.1 Tạo khóa an ninh từ khóa chung 2.2.3.2 Phân cấp khóa EPS 2.2.3.3 Các giải thuật toàn vẹn E-UTRAN 2.3 Các thủ tục an ninh UE khởi sướng kết nối đến EPS 2.3.1 Tổng quan thủ tục an ninh báo hiệu UE khởi sướng kết nối đến EPS 2.3.2 Thủ tục AKA (Authentication and Key Agreement: Nhận thực thỏa thuận khóa Tất hoạt động cần thiết để bảo vệ an ninh người sử dụng (rút khóa an ninh nhận thực tương hỗ) thực trình AKA AKA đựơc sử dụng EPS giống AKA 3G UMTS 2.4 An ninh miền mạng 2.4.1 Tổng quát An ninh miền mạng cho IP (NDS/IP: Network Domain Service/IP) nhằm bảo vệ số liệu người sử dụng báo hiệu 12 giao diện nút mạng EPC EUTRAN SEG (Security Gateway: cổng an ninh) đặt biên giới miền an ninh có nhiệm vụ tập trung tất lưu lượng vào miền mạng NE (Network Entity: thực thể mạng) nút mạng thuộc E-UTRAN, EPC IMS eNodeB, MME, S-CSCF 2.4.2 ESP ((Encapsuling Security Payload: Tải tin an ninh cách đóng bao) ESP chế an ninh hoàn thiện đảm bảo ba mức bảo vệ xử lý tập giao thức an ninh cho mức 2.4.3 An ninh đường trục eNodeB Đường trục nối đến eNode địi hỏi an ninh cao vì: Vai trị eNodeB LTE mạnh so với NodeB 3G UMTS: LTE eNodeB bao gồm NodeB RNC - Vùng phù cần mở rộng liên tục - Chia sẻ hạ tầng 2.4.4 An ninh nút chuyển tiếp Hình 2.14 An ninh nút chuyển tiếp 2.5 An ninh người sửa dụng LTE IMS 2.5.1 Mơ hình an ninh IMS (SIP) 13 Hình 2.15 Mơ hình an ninh IMS (SIP) Tổng quát 2.5.2 Thủ tục an ninh UE truy nhập IMS Miền IMS áp dụng hai kiểu thủ tục an ninh: - IMS AKA (Authentication and Key Agreement: nhận thực thỏa thuận khóa): để đảm bảo nhận thực tương hỗ UE S-CSCF - IMS SA (Security Association: liên kết an ninh): để đảm bảo bảo vệ an ninh cho báo hiệu SIP UE P-CSCF 2.5.3 Thủ tục IMS AKA 2.6 Tăng cường an ninh mạng LTE Cơ chế bảo mật bảo vệ toàn vẹn cho RRC người dùng liệu cung cấp UE e-NB Access Stratum 14 Chương AN NINH TRONG MẠNG WiMAX 3.1 Mơ hình tham chuẩn mạng WiMAX (NRM) Hình 3.1 Mơ hình tham chuẩn mạng WiMAX  ASN (Access Service Nehvork: mạng dịch vụ truy nhập) Quy định biên giới hạn logic mô tả tổng quát chức luồng tin liên quan đến dịch vụ truy nhập ASN thể biên giớihạn tương tác chức, với 15 WiMAX Client, chức kết nối WiMAX tổng chức quy định nhà sản xuất khác Việc chuyển đổi phần tử chức thành phần tư logic bên ASN thực theo cách khác WiMAX Forum tiến hành chuẩn hoá mạng cho việc thực theo cách khác nhà cung cấp thiết bị khác tương tác phù hợp cho yêu cầu triển khai khác  CSN (Connectivity Service Network: mạng dịch vụ kết nối) Định nghĩa tập chức mạng cung cấp dịch vụ kết nối IP cho thuê bao WiMAX CSN bao gồm: router, đại diện/server AAA, sở liệu người sử dụng cổng tương tác CSN triển khai phận nhà cung cấp dịch vụ mạng WiMAX (NSP: Network Service Provider) phận WiMAX NSP truyền thống (lâu đời) 16 Hình 3.2 Kiến trúc mạng WiMAX sở IP 3.2 An ninh mạng WiMAX 3.2.1 Thủ tục chuyển giao Tổn hai loại chuyển giao WiMAX: chuyển giao neo ASN chuyển giao neo CSN Trong trường hợp thứ MS chuyển động từ BS đến BS khác ASN 3.2.2 DHCP MS khơng hỗ trợ MIP có địa IP tĩnh lập cấu hình trước hay sử dụng giao thức DHCP để nhận địa lần chuyển giao Ngay trường hợp thứ nhất, chuyển giao suốt lớp IP cần cập nhật thông số IP khác 17 Nhất phía Client MS phải cập nhật tuyến đến cổng mặc định hay địa IP DNS (server tên miền) mạng 3.2.3 Giao thức IP di động (MIP) 3.2.3.1 MIP - - - - Có thể tổng kết tồn hoạt động MIP sau: Tại thời điểm nhận thực đầu tiên, MN (nút di động) nhận địa từ HA mạng nhà Chừng cịn nằm mạng nhà Các gói đến từ nút sử dụng địa MIP không sử dụng Khi MN rời khỏi mạng nhà đến mạng khác (mạng ngồi) tìm kiếm FA nhận COA từ FA Sau gán COA, MN bắt đầu đăng ký MIP với HA thủ tục MIP RRQ (Registration Request: yêu cầu đăng ký) Thủ tục thông báo cho HA COA thời MN mạng (FN; Foreign Network) HA cần sử dụng COA để nối đến MN Để khẳng định đăng ký, HA gửi trả lời MIP RRP (Registration Reply) Đường dẫn đến từ MN phải thay đổi sau đăng ký miền ngồi Khi MN thơng tin với nút đầu (CN: Correspondent Node), sử dụng tuyển trực tiếp từ mạng Khi CN thơng tin với MN phải sử dụng tuyến qua mạng nhà gọi kỹ thuật định tuyến tam giác HA nhận gói từ CN, 18 đóng bao gói COA gửi đến FA, sau FA tháo bao gói gửi đến MN 3.2.3.2 PMIP Đầu cuối P-MIP MN hồn tồn khơng có hỗ trợ MIP cần trì kết nối chuyển giao nhiều BS Khi đầu cuối PMIP truy nhập mạng ngồi (FN: Foreign Network) gửi DHCP DISCOVER để nhận địa IP mạng Để định tuyến ngược (từ đầu xa đến MN) PMIP Mobility Manager (bộ quản lý di động PMIP) WIMAX mơ tả Bộ quản lý có nhiệm vụ xử lý thủ tục đăng ký MIP cho đầu cuối người sử dụng Thực tế chặn DHCP đến từ đầu cuối thực đăng ký MIP với HA Khi đăng ký song, quản lý PMIP sử dụng giao thức DHCP để gán địa IP cho đầu cuối di động Thủ tục hoàn toàn suốt MS (chỉ sử dụng DHCP) lẫn HA (chỉ nhận xử lý MIP RRQ RRP thông thường) 19 KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO Với nội dung nghiên cứu dự kiến thu luận văn đóng góp vào sở lý luận việc nâng cao vấn đề an ninh mạng di động hệ LTE WiMAX Luận văn tiếp cận với xu phát triển hệ thống thông tin di động , với yêu cầu thị trường thúc đẩy việc nghiên cứu phát triển hệ thống thơng tin di động băng rộng có tốc độ cao để đáp ứng cho ứng dụng dịch vụ Trong hệ thống thông tin di động LTE WiMAX tính an ninh cung cấp để đảm bảo mức độ an ninh tốt Luận văn giới thiệu cách tổng quát an ninh hệ thống thông tin, đe dọa an ninh phần tử tham gia vào việc tạo lập môi trường an ninh , công nghệ an ninh hàng đầu đưa mơ hình an ninh cho mạng thông tin di động Trong luận văn tập trung giới thiệu an ninh mạng di động LTE WiMAX , giới thiệu đặc điểm an ninh mạng LTE WiMAX , giúp ta phân biệt điểm khác biệt an ninh mạng, nhiên chất an ninh mạng dựa vào công nghệ an ninh 20 để tạo lên, cho ta thấy tính an ninh mạng để đảm bảo mức độ an ninh ngày tốt Hướng nghiên cứu an ninh mạng di động LTE WiMAX : - Cập nhật nghiên cứu tiêu chuẩn, công nghệ an ninh mạng LTE WiMAX - Nghiên cứu số giải pháp nhằm cập nhật nâng mức độ an ninh mạng di động - Tính tốn cách hợp lý yêu cầu phát triển mạng di động để nghiên cứu phát triển thêm công nghệ an ninh ... giới thiệu an ninh mạng di động LTE WiMAX , giới thiệu đặc điểm an ninh mạng LTE WiMAX , giúp ta phân biệt điểm khác biệt an ninh mạng, nhiên chất an ninh mạng dựa vào công nghệ an ninh 20 để... tổng quát an ninh hệ thống thông tin, đe dọa an ninh phần tử tham gia vào việc tạo lập mơi trường an ninh , công nghệ an ninh hàng đầu đưa mơ hình an ninh cho mạng thơng tin di động Trong luận... kế ban đầu triển khai cuối Nội dung đề tài "An ninh thông tin di động mạng hệ LTE WiMAX" trình bày chương sau: - Chương 1: Tổng quát an ninh hệ thống thông tin - Chương 2: An ninh mạng LTE -