Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 112 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
112
Dung lượng
2,07 MB
Nội dung
TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: TÌM HIỂU CÔNG NGHỆ LTE Giáo viên hướng dẫn Sinh viên thực Lớp Niên khoá : TS NGUYỄN THỊ QUỲNH HOA : LÊ THANH TÙNG : 46K - Điện tử viễn thơng : 2005-2010 Vinh, 5/2010 LỜI NĨI ĐẦU Ngày nay, thông tin di động trở thành nghành công nghiệp viễn thông phát triển nhanh phục vụ người hữu hiệu Từ hệ thống thông tin di động 2G GSM sử dụng chuyển mạch kênh hiệu xuất thấp, vốn phát triển cho dịch vụ thoại chủ yếu Thì nay, với phát triển xã hội, nhu cầu đặt đòi hỏi ngày cao dịch vụ đa phương tiện : Truyền thông hội nghị, quản lý thơng tin cá nhân, lập biểu, nhóm làm việc, fax màu, … Truyền thơng: báo, tạp chí, quảng cáo, … Mua sắm: thương mại điện tử, tiền ví điện tử, giao dịch tự động, đấu giá,… Giải trí: tin tức, thể thao, trị chơi, video, âm nhạc, … Giáo dục: thư viện trực tuyến, máy tìm kiếm, học từ xa, … Sức khỏe: chữa bệnh, theo dõi, chuẩn đoán từ xa, …… Tự động hóa: đo đạc từ xa, … Tuy nhập thơng tin cá nhân: thời gian biểu, đặt vé từ xa, cảnh báo vị trí,… Các dịch vụ đánh số cá nhân toàn cầu, điệ thoại vệ tinh, … Để đáp ứng cho nhu cầu việc chuyển đổi từ mạng 2G sang 3G điều tất yếu ITU (International Telecommunication union – liên minh viễn thông quốc tế) đưa nhiều tiêu chuẩn cho 3G có hệ thống WCDMA UMTS CDMA-2000 ITU chấp nhận đưa vào hoạt động Cả hai hệ thống sử dụng công nghệ CDMA Điều cho phép thực tiêu chuẩn toàn giới cho giao diện vô tuyến hệ thống thông tin di động hệ ba Trong hai hệ thống đó, hệ thống UMTS tỏ có nhiều ưu điểm Hệ thống UMTS phát triển nhiều nước giới, chủ yếu nước phát triển, đặc biệt cho nước sử dụng mạng GSM (trong có Việt Nam) với tổng số thuê bao đạt tới 3,6 tỷ tính đến cuối năm 2008 Đây yếu tố định giúp UMTS trở thành hệ thống thông tin di động hệ ba phổ biến tiếp tục phát triển nhanh thời gian tới Khi hệ thống thông tin di động 3G UMTS đời kéo theo phát triển dịch vụ ứng dụng mới, giao dịch kinh doanh thực qua mạng di động ngày nhiều thời gian xử lý cơng việc nhanh chóng Và để đảm cho cơng việc kinh doanh vấn đề an ninh cần phải đặt nên hàng đầu Cần phải có biện pháp an ninh để giảm thiểu rủi ro hủy hoại dịch vụ, tránh thất lợi nhuận trì mức độ thỏa mãn cho khách hàng sử dụng Với yêu cầu đặt vậy, em nghiên cứu tìm hiểu nhận đề tài với tên gọi “AN NINH TRONG 3G UMTS ” làm đồ án tốt nghiệp đại học cho Cuối em xin gửi lời cảm ơn chân thành sâu sắc đến cô giáo THỊ QUỲNH HOA TS NGUYỄN giúp đỡ em tận tình, chu em hoàn thành tốt đồ án tốt nghiệp Vinh, ngày tháng năm Sinh viên LÊ THANH TÙNG CHƢƠNG I: GIỚI THIỆU CHUNG VỀ AN NINH 1.1 Các yếu tố cần thiết để tạo môi trƣờng an ninh Để đảm bảo an ninh từ đầu cuối tới đầu cuối cần phải thực toàn môi trường bao gồm truy nhập hãng, thành phần thuộc lớp trung gian,và ứng dụng Client An ninh từ đầu cuối tới đầu cuối có nghĩa số liệu an tồn tồn tuyến hành trình từ người gửi đến người nhận, thường từ ứng dụng Client tới Server hãng Điều không đơn giản mật mã hoá số liệu Trong phần nghiên cứu năm vấn đề cần để tạo mơi trường di động an tồn Việc hiểu vấn đề tác động chúng ứng dụng di động có tính chất định để tạo nên ứng dụng an ninh Nhận thực Nhận thực việc xử lý xác nhận người tổ chức họ cần Đối với mạng di động nhận thực thực hai mức: Mức mạng mức ứng dụng Mức mạng yêu cầu người dùng phải nhận thực trước người phép truy nhập Tại mức ứng dụng, nhận thực thực hai ứng dụng: Client Server hãng Để truy nhập vào số liệu hãng, Client cần phải chứng minh với Server rắng phép Đồng thời, trước Client cho phép Server bên kết nối với nó, ví dụ trường hợp Server cần đẩy vài nội dung tới Client, Server phải tự nhận thực tới ứng dụng Client Phương pháp nhận thực đơn giản an toàn tổ hợp mật hay tên người dùng, phương pháp tiện ích sử dụng chứng nhận số chữ ký số Tính tồn vẹn liệu Tính tồn vẹn liệu đảm bảo liệu câu hỏi không bị biến đổi bị xuyên tạc theo cách suốt trình truyền dẫn từ người gửi tới người nhận Điều thực cách mật mã hoá số liệu phối hợp với tổng kiểm tra mật mã với mã nhận thực tin (MAC – Message Authentication Code) Thông tin mã hố vào bên tin cách áp dụng thuật toán tin Khi người nhận nhận tin, họ tính tốn MAC so sánh với MAC mã hoá tin để xem mã có giống khơng Nếu giống, người nhận tin tưởng tin khơng bị sửa đổi Cịn mã khơng giống nhau, người nhận loại bỏ tin Tính bí mật Tính bí mật mặt quan trọng an ninh thường đề cập đến nhiều Bí mật có nghĩa trì tính riêng tư số liệu, đảm bảo số liệu không bị người khác xem Bình thường, người dùng lo lắng độ an toàn hệ thống, họ thường lo lắng độ an tồn thơng tin nhạy cảm số thẻ tín dụng, giấy ghi sức khoẻ, thơng tin bị người khác có chủ tâm xấu xem trộm Cách chung để ngăn ngừa xâm phạm mật mã hoá số liệu Việc xử lý bao gồm mật mã hoá nội dung tin thành dạng mà người khác đọc trừ người nhận định Phân quyền Phân quyền công việc xử lý định mức độ truy nhập người sử dụng, người phép hay khơng phép thực hoạt động Phân quyền thường kèm với nhận thực Khi người dùng nhận thực, hệ thống cân nhắc xem người phép làm Danh sách điều khiển truy nhập (ACLs: Access Control Lists) thường sử dụng để thực điều Chẳng hạn, người dùng phép truy nhập đọc tập số liệu nhà quản trị số đối tượng đáng tin cậy phép ghi số liệu Tính khơng thể phủ nhận Tính khơng thể phủ nhận có nghĩa khiến số người phải chịu trách nhiệm phiên giao dịch mà họ tham dự Nó bao gồm việc nhận dạng người theo cách mà họ khơng thể phủ nhận dính dáng họ phiên giao dịch Tính khơng thể phủ nhận có nghĩa người gửi lẫn người nhận tin chứng minh với người thứ ba người gửi thực gửi tin người nhận nhận tin Để thực điều này, phiên giao dịch cần phải đóng dấu chữ ký số mà chữ ký người dùng thứ ba thẩm tra gán tem thời gian 1.2 Các đe dọa an ninh Việc xây dựng giải pháp an ninh khó khơng có nhận biết mối nguy an ninh mạng Do vậy, sau xem xét vấn đề cần thiết môi trường an ninh, phần xem xét bốn nguy an ninh mạng: Làm giả, thăm dò, làm sai lệch số liệu, đánh cắp Bất kể liệu truyền hay không, môi trường truyền môi trường hữu tuyến hay vơ tuyến cần phải đề phịng mối nguy hiểm Chú ý: Để đơn giản hoá thuật ngữ, truy nhập vào dũ liệu hệ thống thông qua kẽ hở an ninh coi truy nhập trái phép Giả mạo (Spoofing) Giả mạo âm mưu người nhằm đạt truy nhập trái phép tới ứng dụng hệ thống cách giả mạo thành người Sau kẻ giả mạo truy nhập vào được, họ tạo câu trả lời giả cho tin để thu thập nhiều thông tin truy nhập tới phần khác hệ thống Sự giả mạo vấn đề an ninh Internet vấn đề an ninh mạng Internet khơng dây, kẻ giả mạo làm cho người dùng ứng dụng tin rắng họ thông tin với đối tượng đáng tin cậy chẳng hạn ngân hàng họ, thực họ lại thông tin với tổ chức cơng Một cách vơ tình, người dùng lại thường xun cung cấp thêm thơng tin hữu ích cho kẻ tán cơng truy nhập tới phần khác người dùng khác hệ thống Thăm dò (Sniffing) Thăm dò kỹ thuật sử dụng để giám sát lưu lượng số liệu mạng Ngồi mục đích sử dụng dắn, thăn dò thường sử dụng kết hợp với trái phép số liệu mạng Thăm dò chất nghe trộm điện tử Bằng cách nghe ngóng số liệu mạng, người dùng trái phép có thơng tin nhạy cảm giúp họ cơng mạnh vào người dùng ứng dụng, hệ thống hãng, hai Thăm dò nguy hiểm việc thực đơn giản lại khó bị phát Hơn cơng cụ thăm dị dễ kiếm lại dễ định hình Làm sai lệch số liệu (Tampering) Làm sai lệch số liệu gọi cơng vào tính tồn vẹn số liệu, bao gồm việc sửa đổi ác ý số liệu khỏi dạng ban đầu, thường xảy số liệu truyền, xảy số liệu lưu trữ thiết bị Server Client Sau số liệu bị sửa đổi đưa trở lại vị trí ban đầu Việc thực mật mã hoá số liệu, nhận thực, phân quyền phương pháp để chống lại công làm sai lệch số liệu Đánh cắp (Theft) Đánh cắp thiết bị vấn đề cố hữu tính tốn di động, khơng làm người dùng thiết bị mà cịn số liệu bí mật lưu thiết bị Đây nguy lớn ứng dụng Client thông minh chúng thường lưu trữ liệu cố định, mang chất bí mật Chính lí trên, cần phải tuân thủ nguyên tắc sau cần bảo vệ thiết bị di động Khố thiết bị tổ hợp tên người dùng/mật nhằm tránh truy nhập dễ dàng Yêu cầu nhận thực để truy nhập tới ứng dụng có máy di động Không lưu trữ mật thiết bị Mật mã hoá tất nơi lưu trữ số liệu cố định Thực sách an ninh người dùng di động Nhận thực mã hố, vói sách an ninh cần thiết để tránh truy nhập số liệu ác ý từ thiết bị bị đánh cắp bị Rất may vấn dề không nghiêm trọng ứng dụng Internet không dây chúng lưu trữ số liệu bên nhớ đệm trình duyệt 1.3 Các cơng nghệ an ninh 1.3.1 Kỹ thuật mật mã Mục tiêu mật mã hố phép hai người thơng tin với qua kênh thông thông tin không an toàn mà người thứ ba khác khơng thể hiểu truyền Khả yêu cầu cốt lõi môi trường an ninh Xem xét tất phương pháp để chuyển giao số liệu an tồn gồm có nhận thực, chữ ký số, mật mã hố Bề ngồi mật mã khái niệm đơn giản, thực tương đối phức tạp, đặc biệt việc thực di động quy mô lớn 1.3.2 Các giải thuật đối xứng Các giải thuật đối xứng sử dụng khóa để mật mã giải mật mã tất tin Phía phát sử dụng khóa để mật mã hóa tin, sau gửi đến phía thu xác định Nhận tin, phía thu sử dụng khóa để giải mật mã tin Giải thuật làm việc tốt có cách an tồn để trao đổi khóa người sử dụng như: Gặp trước phát tin Rất tiếc phần lớn vấn đề xẩy trao đổi khóa hai bên liên quan đến Website thương mại điện tử khách hàng Trao đổi khóa vấn đề mà thân mật mã hóa đối xứng khơng thể giải khơng có phương pháp trao đổi khóa an ninh phương pháp hữu hiệu hai đối tượng riêng Luồng số mật mã phát vào mạng: 0001001 Luồng số liệu: 0100101 Khóa: 0100101 Luồng số mật mã thu từ mạng: 0001001 Luồng số liệu: 0100101 Khóa: 0100101 Hình 1.1 Minh họa chế sở mật mã khóa riêng Mật mã hóa đối xứng cịn gọi mật mã khóa bí mật Dạng phổ biến phương pháp DES (Data Encryption Standard: Tiêu chuẩn mật mã hóa số liệu) phát triển vào năm 1970 Từ nhiều dạng mật mã hóa đối xứng an ninh phát triển, đứng đầu số chúng AES ( Advanced Encryption Standard: Tiêu chuẩn mật mã hóa tiên tiến) dựa giải thuậ Rijindael, DES ba lần, IDEA (International Data Encryption Algorithm: Giải mật mã hóa số liệu quốc tế), Blowfish họ giải thuật Rivest (RC2, RC4, RC5, RC6) Để giải thích mật má hóa đối xứng ta xét trình mật mã sở bao gồm nhận số liệu (văn thơ) sử dụng khóa riêng (một luồng số liệu khác) thực phép tính (chẳng hạn cộng hai luồng số để tạo luồng số thứ ba (văn mật mã)) cho hình 1.1 Sau số liệu mật mã gửi qua mạng Kiểu mật mã gọi đệm lần Trong thí dụ ta truy hồi số liệu sử dụng khóa chia sẻ (giống khóa phía phát) phía nhận phép tốn biến đổi ngược Phương pháp mật mã nói có số nhược điểm Trước hết không thực tế phải có độ dài khóa độ dài số liệu khóa dài cho tính an ninh cao khó mở khóa Thơng thường khóa ngắn sử dụng (độ dài 64 128 byte) chúng lặp lại nhiều lần cho số liệu Các phép tốn phức tạp sử dụng (cộng đủ đảm bảo) DES hệ thống thường sử dụng đảm bảo Nhược điểm thứ hai hai phía cần sử dụng chung khóa (khóa thường gọi khóa chia sẻ) điều làm nảy sinh câu hỏi: làm cách phát khóa đến phía thu cách an tồn? Phải điều có nghĩa cần tạo khóa riêng chuyển đến đối tác cần thông tin? Phần tiếp theo, mật mã khóa cơng khai trả lời cho câu hỏi 1.3.3 Các giải thuật không đối xứng Các giải thuật khơng đối xứng giải vấn đề xảy đối xới hệ thống khóa đối xứng (chỉ sử dụng khóa) Năm 1975, Whitfield Diffie Martin Hellman phát triển giải pháp hai khóa liên quan với sử dụng: sử dụng để mật mã hóa kháo khác sử dụng để giải mật mã Khóa thứ gọi khóa cơng khai, cịn khóa thứ hai cịn gọi khóa riêng Khóa thứ phân phối rộng rãi đường không an ninh cho mục đích sử dụng cơng khai Khóa thứ hai khơng truyền mạng sử dụng phía đối tác cần giải mật mã số liệu Hai khóa liên hệ với cách phức tạp cách sử dụng nhiều số nguyên tố hàm chiều Kỹ thuật dẫn đến khơng thể tính tốn khóa riêng dựa khóa cơng khai Khóa dài khó phá vỡ hệ thống Các hệ thống khóa 64 bit DES bị cơng khơng suy nghĩ, nghĩa tìm tổ hợp khóa đơn tìm khóa đụng Các hệ thống 128 phổ biến (chẳng hạn ECC: Elliptic Curve Cryptography) chứng minh công không suy nghĩ Trong mật mã khóa cơng khai có hai khóa sử dụng Một khóa cơng khai khóa riêng đồng thời tạo lập giải thuật (giải thuật thông dụng RSA) Người sử dụng giữ khóa riêng đưa khóa cơng khai cho người Khóa riêng khơng chia sẻ với người khác truyền mạng Có thể sử dụng khóa cơng khai để mật mã hóa số liệu biết khóa khơng thể giải mã số liệu cần phải biết khóa riêng Sở dĩ phép tốn sử dụng kiểu mật mã không đối xứng Nếu người sử dụng A muốn gửi số liệu bảo vệ đến người sử dụng B, người sử dụng A sử dụng khóa cơng khai người sử dụng B để mật mã hóa số liệu yên tâm có người sử dụng B đọc số liệu Thông thường phương pháp mật mã sử dụng để phân phối khóa bí mật dùng chung để mật mã phần cịn lại phiên thơng tin hệ thống đối xứng thông thường nhờ DES hệ thống cho phép mật mã hóa nhanh khối số liệu lớn Các kỹ thuật mật mã khóa riêng cơng khai cơng cụ để giải vấn đề an ninh, nhiên chúng giải pháp đầy đủ Cần nhận thực để chứng minh nhận dạng người sử dụng chân thật Các phần xét cách sử dụng mật mã để giải số vấn đề an ninh sở Cũng mật mã tin khóa riêng giải mã khóa cơng khai, mục địch khác Cách sử dụng cho số liệu khơng nhạy cảm để chứng minh phía mật mã hóa thực truy nhập vào khóa riêng 10 Các phần IPSec tiêu đề nhận thực (AH: Authentication Header), tải tin an ninh đóng bao (ESP: Encapsulation Security Payload) trao đổi khóa Intrenet (IKE: Internet Key Exchange) Hình 18 Chế độ truyền tải IPSec sử dụng để bảo vệ gói IP Q trình thực ESP, đảm bảo bí mật lẫn tồn vẹn, cịn AH đảm bảo tính tồn vẹn mà thơi Cả ESP AH đề cần khóa để thực nhận thực mật mã hóa gói Vì trước sử dụng ESP AH cần đàm phán khóa Q trình thực cách an ninh thông qua IKE xây dựng ý tưởng mật mã hóa cơng cộng nhằm trao đổi thơng tin an ninh đường truyền không an ninh Tồn hai chế độ ESP: chế độ truyền tải chế độ truyền tunnel Trong chế độ truyền tải toàn gói IP trừ tiêu đề mật mã hóa Sau tiêu đề ESP bổ sung tiêu đề IP phần vừa mật mã hóa Sau mã nhận thực tin (MAC) tính tốn cho tồn bộ, trừ tiêu đề IP MAC đặt vào cuối gói Tại phía thu, tính tồn vẹn đảm bảo cách loại bỏ tiêu đề IP khỏi đầu gói MAC khỏi cuối gói Sau thực hàm MAC so sánh đầu với MAC gói, tồn vẹn thành công, tiêu đề ESP loại bỏ phần cịn lại giải mã Q trình cho hình 3.18 Trong chế độ truyền tunnel, tiêu đề bổ sung đầu gói sau q trình tiến hành chế độ truyền tải cho gói nhận (xem hình 3.19) Điều có nghĩa tiêu đề IP gói gốc bảo vệ 98 Hình 3.19 chế độ truyền tunnel Truyền thông ESP thực hai đầu cuối sử dụng chế độ truyền tải Để thực q trình hai phía truyền thơng phải biết địa IP thực chức IPSec Thí dụ điển hình chế độ truyền tunnel trường hợp VPN Phương pháp bảo vệ tin điều khiển mạng thường hay dùng sử dụng ESP chế độ truyền tunnel cổng an ninh 3.13.2 MAPSec Mục đích MAPSec bảo vệ bí mật tồn vẹn tác nghiệp MAP Bảo vệ MAPSec thực ba chế độ Trong chế độ thứ an ninh không đảm bảo Trong chế độ thứ hai bảo vệ tồn vẹn, cịn chế độ thứ ba bí mật lẫn tồn vẹn đảm bảo Để đảm bảo bí mật, tiêu đề tác nghiệp MAP mật mã hóa Một tiêu đề an ninh bổ sung để dẫn cách gải mật mã Để đảm bảo tồn vẹn, MAC tính tốn dựa tải tin tác nghiệp MAC gốc tiêu đề an ninh Một thông số thay đổi theo thời gian sử dụng để tránh công cách phát lại 3.14 An ninh chuyển mạng 2G VÀ 3G 3.14.1 Mở đầu Cùng với việc đưa mạng 3G, cần phải có chế để đảm bảo tương tác mạng 2G 3G Nói cách hơn, cần đảm bảo để hai mạng cộng tác với Vì cần có máy thu hai chế độ để người sử dụng 2G truy nhập vào mạng UMTS Tất nhiên nảy sinh vấn đề thuê bao 2G tìm cách đăng ký với thuê bao UMTS hay ngược lại 3.14.2 Các trƣờng hợp chuyển mạng 99 Tồn hai trường hợp cần thiết để thực thủ tục chuyển mạng (chuyển từ 3G sang 2G hay ngược lại) Trong trường hợp thứ 3G VLR phải có khả điều khiển 2G BSC 3G RAN, trường hợp thứ hai 2G VLR điều khiển 2G BSS Cả hai trường hợp mơ tả hình 3.20 Hình 3.20 Kiến trúc mạng linh hoạt 3.14.3 Khả tƣơng tác ngƣời sử dụng UMTS Hình 3.21 Chuyển mạng thuê bao UMTS Kịch người sử dụng yêu cầu truy nhập mạng truy nhập vơ truyến 2G 3G hinh họa hình 3.21 UMTS HLR/AuC tạo thông số RAND để sử dụng cho việc tính thơng số XRES, AUTN, Ck, IK, Kc, SRES Ngoài việc xây dựng vector nhận thực phụ thuộc vào việc VLR có điều khiển đồng thời hai UTRAN GSM BSS hay GSM BSS Trong trường hợp thứ nhất: (3G RAN) vector nhận thực tính tốn trực tiếp Trong trường hợp thứ hai (2G RAN) GSM VLR nhận thông số cần thiết RAND, SRES Kc 100 HLR/AuC tính toán cách nén giá trị dài UMTS (CK= 128 bit, XRES= 128 bit) thành giá trị GSM (Kc= 64 bit, SRES=32 bit) Khi ngưởi sử dụng UMTS yêu cầu nhận thực 3G RAN (UTRAN), VLR điều khiển thực thủ tục nhận thực thỏa thuận khóa Trái lại thuê bao 3G chuyển vào vùng điều khiển mạng 2G nhận thực thực VLR mạng này, khởi đầu thủ tục nhận thỏa thuận khóa cách sử dụng vector nhận thực tương ứng 3.14.4 Khả tƣơng tác ngƣời sử dụng GMS/GPRS Hình 3.22 chuyển mạng thuê bao GSM Trong trường hợp thuê bao GSM yêu cầu truy nhập mạng 2G hay 3G, kịch trình bày hình 3.22 HLR/AuC thực nhận thực thông số: RAND, SRES Kc Ngoài HLR/AuC phân bố vector nhận thực không phụ thuộc vào kiểu VLR Tuy nhiên phần nhận thực người sử dụng phức tạp Nếu người sử dụng muốn chuyển vào mạng 3G, nhận thực người sử dụng 3G RAN (UTRAN) VLR thực cách phát thông số RAND đến người sử dụng Thiết bị người sử dụng (2 chế độ) sử dụng RAND với thông số để tạo SRES Kc SRES gửi ngược đến VLR so sánh với SRES kỳ vọng HLR tính tốn Nếu so sánh trùng nhau, thỏa thuận thực khóa Kc Khi 3G VLR điều khiển tính tốn thơng số an ninh UMTS (CK, IK) cách giải nén giá trị GSM 101 tương ứng thành giá trị UMTS Mặt khác, GSM nhận thực 2G RAN, VLR điều khiển khởi đầu nhận thực thảo thuận khóa trực tiếp Cuối ta tổng kết an ninh trình chuyển mạng thuê bao hai chế độ: UMTS GSM hình 3.23 Hĩnh vẽ cho thấy phát hành tương ứng với chế an ninh Hình 3.23 An ninh chuyển mạng máy di động hai chế độ (UMTS GSM) phát hành tƣơng ứng KẾT KUẬN Đồ án khơng có sáng tạo, góp nhặt kiến thức từ sách tài liệu Đồ án đem lại nhìn tổng quan hệ thống thơng tin di động 3G UMTS đồng thời thách thức phương pháp đảm bảo vấn đề an ninh Thế hệ 3G 3G+ (HSPA), công nghệ tăng cường cho 3G UMTS, công nghệ truy nhập gói tốc độ cao phù hợp cho truyền thơng đa phương tiện IP băng rộng Công nghệ 3G diễn nhanh chóng mặt Theo thơng tin biết Viettel, Vinaphone, mobiphone triển khai đưa vào ứng dụng công nghệ 3G Riêng viettel hồn thành 8000 trạm phát sóng 3G (node B) Dự 102 kiến cuối năm 2010 viettel có hệ thống hạ tầng lên đến gần 20.000 trạm, với vùng phủ sóng rộng khắp 63/63 tỉnh, thành phố nước đến tận huyện, thị xã Viettel triển khai HSPA toàn mạng với tốc độ tải liệu lý thuyết lên tới 14.4 Mbps download upload lên tới 5.7 Mbps sẵn sàng cho HSPA+ với tốc độ tải liệu lên đến 21 Mbps Đó hội thách thức đam mê cơng nghệ viễn thơng nói chung nghành thơng tin di động nói riêng nghiêng cứu, tìm tịi, học hỏi 103 TÀI LIỆU THAM KHẢO TS Nguyễn Phạm Anh Dũng, Sách “Thông tin di động hệ ba”, Nhà xuất Bưu Điện, 2001 TS Nguyễn Phạm Anh Dũng, Sách “cdmaOne cdma2000”, Nhà xuất Bưu Điện, 2003 TS Nguyễn Phạm Anh Dũng, Giáo trình “Thơng tin di động hệ ba”, Học Viện Cơng nghệ Bưu Viễn thơng , Nhà xuất Bưu Điện, 2004 TS Nguyễn Phạm Anh Dũng, Sách „An ninh thông tin di động”, Nhà xuất Bưu-Điện, 9/2006 TS Nguyễn Phạm Anh Dũng, Bài giảng “Thông tin di động” cho đào tạo từ xa, Học Viện Cơng nghệ Bưu Viễn thơng 2007 TS Nguyễn Phạm Anh Dũng, Giáo trình “Lộ trình phát triển thơng tin di động 3G lên 4G”, Học viện Cơng nghệ Bưu Viễn thơng, 12/2008 104 MỤC LỤC: LỜI NÓI ĐẦU CHƢƠNG I: GIỚI THIỆU CHUNG VỀ AN NINH 1.1 Các yếu tố cần thiết để tạo môi trường an ninh 1.2 Các đe dọa an ninh 1.3 Các công nghệ an ninh 1.3.1 Kỹ thuật mật mã 1.3.2 Các giải thuật đối xứng 1.3.3 Các giải thuật không đối xứng 1.3.4 Nhận thực 11 1.3.5 Các chữ ký điện tử tóm tắt tin 12 1.3.6 Chứng nhận số 14 1.3.7 Hạ tầng khóa cơng khai, PKI 15 1.3.8 Nhận thực tin nhận thực 19 1.4 Các giao thức hàng đầu 21 1.4.1 Lớp ổ cắm an toàn (SSL - Secure Sockets Layer) 21 1.4.2 An ninh lớp truyền tải (TLS - Transport Layer Security) 22 1.4.3 An ninh lớp truyền tải vô tuyến (WTLS) 22 1.4.4 An ninh IP, IPSec 22 1.5 Các biện pháp an ninh khác 26 1.5.1 Tường lửa 27 1.5.2 Mạng riêng ảo (VPN) 28 1.5.3 Nhận thực hai nhân tố 28 1.5.4 Nhận thực phương pháp sinh học 28 1.5.5 Chính sách an ninh 29 1.6 An ninh giao thức vô tuyến, WAP 29 1.6.1 Mở đầu 29 1.6.2 An ninh lớp truyền tải, TLS 29 1.6.3 Lỗ hổng WAP 31 1.6.4 WAP 2.x 32 1.7 An ninh lớp ứng dụng 32 105 1.8 An ninh client thông minh 33 CHƢƠNG II: TỔNG QUAN MẠNG 3G WCDMA UMTS 35 2.1 Lộ trình phát triển thơng tin di động lên 4G 35 2.2 Kiến trúc chung hệ thống thông tin di động 3G 36 2.3 Chuyển mạch kênh (CS), chuyển mạch gói (PS), dịch vụ chuyển mạch kênh dịch vụ chuyển mạch gói 38 2.4 Các loại lưu lượng dịch vụ 3G WCDMA UMTS hỗ trợ 41 2.5 Kiến trúc 3G WCDMA UMTS R3 43 2.5.1 Thiết bị người sử dụng (UE) 44 USIM 45 2.5.2 Mạng truy nhập vô tuyến UMTS 46 2.5.3 Mạng lõi 47 2.5.4 Các mạng 51 2.5.5 Các giao diện 51 2.6 Kiến trúc 3G WCDMA UMTS R4 52 2.7 Kiến trúc 3G WCDMA UMTS R5 R6 54 2.8 Chiến lược dịch chuyển từ GSM sang UMTS 56 2.8.1 3GR1 : Kiến trúc mạng UMTS chồng lấn 57 2.8.2 3GR2 : Tích hợp mạng UMTS GSM 57 2.8.3 3GR3 : Kiến trúc RAN thống 58 2.9 Cấu hình địa lý hệ thống thơng tin di động 3G 58 2.9.1 Phân chia theo vùng mạng 59 2.9.2 Phân chia theo vùng phục vụ MSC/VLR SGSN 59 2.9.3 Phân chia theo vùng định vị vùng định tuyến 59 2.9.4 Phân chia theo ô 60 2.9.5 Mẫu ô 61 2.9.6 Tổng kết phân chia vùng địa lý hệ thống thông tin di động 3G 61 CHƢƠNG III: CÔNG NGHỆ AN NINH 3G UMTS 62 3.1 Mơ hình kiến trúc an ninh 3G UMTS 62 3.1.1 nhận thực 62 3.1.2 Bảo mật 63 106 3.1.3 Toàn vẹn 64 3.2 Mơ hình an ninh giao diện vơ tuyến 3G UMTS 64 3.2.1 Mạng nhận thực người sử dụng 65 3.2.2 USIM nhận thực mạng 66 3.2.3 Mật mã hóa UTRAN 66 3.2.4 Bảo vệ toàn vẹn báo hiệu RRC 67 3.3 Nhận thực thỏa thuận khóa, AKA 68 3.3.1 Tổng quan AKA 69 3.3.2 Thủ tục AKA thông thường 70 3.3.3 Thủ tục AKA HLR/AuC 72 3.3.4 Thủ tục AKA USIM 72 3.3.5 Thủ tục AKA VLR/SGSN 72 3.3.6 USIM từ chối trả lời 73 3.4 Thủ tục đồng lại, AKA 74 3.4.1 Thủ tục đồng lại USIM 75 3.4.2 Thủ tục đồng lại AuC 75 3.4.3 Thủ tục đồng lại VLR/SGSN 76 3.4.4 Sử dụng lại AV 76 3.4.5 Xử lý gọi khẩn 76 3.5 Các hàm mật mã 76 3.5.1 Yêu cầu giải thuật hàm mật mã 76 3.5.2 Các hàm mật mã 77 3.5.3 Sử dụng hàm bình thường để tạo AV AuC 78 3.5.4 Sử dụng hàm bình thường để tạo thơng số an ninh USIM 79 3.5.5 Sử dụng hàm để đồng lại USIM 80 3.5.6 Sử dụng hàm đồng lại AuC 80 3.5.7 Thứ tự tạo khóa 81 3.6 Tổng kết thông số nhận thực 81 3.6.1 Các thông số AV 82 3.6.2 AUTN 82 3.6.3 RES XRES 82 107 3.6.4 MAC-A XMAC-A 82 3.6.5 AUTS 83 3.6.6 MAC-S XMAC-S 83 3.6.7 Kích cỡ thông số nhận thực 83 3.7 Sử dụng hàm f9 để tính tốn mã tồn vẹn 84 3.7.1 Các thông số đầu vào cho giải thuật toàn vẹn 85 3.7.2 MAC-I XMAC-I 86 3.7.3 Nhận dạng UIA 86 3.7.4 Các tin không bảo vệ toàn vẹn 86 3.8 Sử dụng hàm bảo mật f8 87 3.8.1 Các thông số đầu vào giải thuật mật mã 87 3.8.2 Nhận dạng UEA 88 3.9 Thời hạn hiệu lực khóa 89 3.10 Các giải thuật KASUMI 89 3.11 Các vấn đề an ninh 3G 89 3.11.1 Các phần tử an ninh 2G giữ 89 3.11.2 Các điểm yếu an ninh 90 3.11.3 Các tính an ninh dịch vụ 90 3.12 Bàn luận 91 3.12.1 Mở đầu 91 3.12.2 Các đe dọa an ninh UMTS 91 3.12.3 Mật mã hóa giao diện vô tuyến 92 3.12.4 Các nút chứa khóa 92 3.12.5 Nhận thực 93 3.12.6 Các thao tác an ninh độc lập người sử dụng……………………………… 93 3.12.7 Toàn vẹn số liệu 94 3.12.8 Bảo mật người sử dụng 94 3.12.9 Đe dọa an ninh công cách phát lại 95 3.12.10 Truyền thông không an ninh CN 96 3.12.11 Độ dài khóa 96 108 3.12.12 Giấu tên dịch vụ mức cao 96 3.12.13 Mật mã hóa đầu cuối - đầu cuối 97 3.13 An ninh mạng 97 3.13.1 IPSec 97 3.13.2 MAPSec 99 3.14 An ninh chuyển mạng 2G VÀ 3G 99 3.14.1 Mở đầu 99 3.14.2 Các trường hợp chuyển mạng 99 3.14.3 Khả tương tác người sử dụng UMTS 100 3.14.4 Khả tương tác người sử dụng GMS/GPRS 101 KẾT KUẬN 102 TÀI LIỆU THAM KHẢO 104 109 DANH SÁCH HÌNH VẼ: Hình 1.1 Minh họa chế sở mật mã khóa riêng Hình 1.2 Nhận thực khóa cơng khai 12 Hình 1.3 Quá trình sử dụng tóm tắt (digest) tin 12 Hình 1.4 PKI dựa phân cấp CA phân bố 17 Hình 1.5 Nhận thực chữ ký điện tử 18 Hình 1.6 Phương pháp nhận thực sử dụng khóa MAC 19 Hình 1.7 Khn dạng gói sử dụng AH chế độ truyền tải vàđường hầm (tunnel) IPSec 23 Hình 1.8 Khn dạng gói sử dụng ESP chế độ truyền tải 24 Hình 1.9 Thí dụ kiến trúc IPSec (các cổng máy) 26 Hình 1.10 Thí dụ sử dụng hai tường lửa với cấu hình khác để đảm bảo mức an ninh khác cho hãng 27 Hình 2.1 Lộ trình phát triển cơng nghệ thông tin di động lên 4G 35 Hình 2.2 Lịch trình nghiên cứu phát triển 3GPP 36 Hình 2.3 Lộ trình tăng tốc độ truyền số liệu phát hành 3GPP 36 Hình 2.4 Kiến trúc tổng quát mạng di động kết hợp CS PS 37 Hình 2.5 Chuyển mạch kênh (CS) chuyển mạch gói (PS) 39 Hình 2.6 Đóng bao tháo bao cho gói IP q trình truyền tunnel 40 Hình 2.7 Thiết lập kết nối tunnel chuyển mạch tunnel 41 Hình 2.8 Kiến trúc 3G WCDMA UMTS R3 44 Hình 2.9 Vai trị logic SRNC DRNC 47 Hình 2.10 Kiến trúc mạng phân bố phát hành 3GPP R4 52 Hình 2.11 Kiến trúc mạng 3GPP R5 R6 54 Hình 2.12 Chuyển đổi dần từ R4 sang R5 56 Hình 2.13 Kiến trúc đồng tồn GSM UMTS (phát hành 3GR1.1) 57 Hình 2.14 Kiến trúc mạng RAN tích hợp phát hành 3GR2 (R2.1) 58 Hình 2.15 Kiến trúc RAN thống 3GR3.1 58 Hình 2.16 Phân chia mạng thành vùng phục vụ MSC/VLR SGSN 59 Hình 2.17 Phân chia vùng phục vụ MSC/VLR SGSN thành vùng định vị (LA: Location Area) định tuyến (RA: Routing Area) 60 110 Hình 2.18 Phân chia LA RA 61 Hình 2.19 Các kiểu mẫu ô 61 Hình 2.20 Các khái niệm phân chia vùng địa lý 3G WCDMA UMTS 62 Hình 3.1 Mơ hình an ninh cho giao diện vô tuyến 3G UMTS 65 Hình 3.2 Nhận thực người sử dụng VLR/SGSN 66 Hình 3.3 Nhận thực mạng USIM 66 Hình 3.4 Bộ mật mã luồng UMTS 67 Hình 3.5 Nhận thực vẹn tin 68 Hình 3.6 Tổng quan q trình nhận thực thỏa thuận khóa 69 Hình 3.7 Biểu đồ chuỗi báo hiệu AKA 71 Hình 3.8 Thủ tục từ chối trả lời nhận thực 73 Hình 3.9 Thủ tục đồng lại AKA 74 Hình 3.10 Tạo Av AuC 79 Hình 11 Tạo thơng số an ninh USIM 80 Hình 3.12 Tạo AUTS USIM 80 Hình 3.13 Thủ tục đồng lại AuC 81 Hình 3.14 Nhận thực tồn vẹn tin với sử dụng hàm toàn vẹn f9 84 Hình 3.15 Quá trình mật mã hóa giả mật mã sử dụng hàm f8 87 Hình 3.16 Phân phối IMIS số liệu nhận thực SN 93 Hình 3.17 Nhận dạng người sử dụng theo IMSI 95 Hình 18 Chế độ truyền tải 98 Hình 3.19 chế độ truyền tunnel 99 Hình 3.20 Kiến trúc mạng linh hoạt 100 Hình 3.21 Chuyển mạng thuê bao UMTS 100 Hình 3.22 chuyển mạng thuê bao GSM .101 Hình 3.23 An ninh chuyển mạng máy di động hai chế độ (UMTS GSM) phát hành tương ứng 102 DANH SÁCH BẢNG BIỂU: Bảng 2.1 Phân loại dịch vụ 3GWDCMA UMTS 42 Bảng 3.1 Các hàm mật mã đầu chúng 77 Bảng 3.2 Các thông số AV 82 111 Bảng 3.3 Số bit thông số nhận thực 83 Bảng 3.4 Các thông số đầu vào cho hàm f9 85 Bảng 3.5 Các thông số đầu vào cho hàm f8 87 112 ... UMTS) Kiểu thứ hai sử dụng công nghệ đa truy nhập TDMA gọi GERAN (GSM EDGE Radio Access Network: mạng truy nhập vô tuyến dưa công nghệ EDGE GSM) Tài liệu xét đề cập đến cơng nghệ UMTS gọi 3G WCDMA... phép cơng ty biến mạng cơng cộng thành mạng riêng Công nghệ cho phép người làm việc xa truyền thơng với mạng tổ chức theo cách an toàn Trước công nghệ VPN thịnh hành, người ta thường sử dụng đường... nhiên nhờ phát triển công nghệ dịch vụ áp dụng cho dịch vụ thời gian thực (VoIP) Chuyển mạch gói thực sở ATM IP ATM (Asynchronous Transfer Mode: chế độ truyền dị bộ) công nghệ thực phân chia thông