Mỗi hệ thống bảo mật cao thường sử dụng tới rất nhiều thuật toỏn khỏc nhau. Thuật toỏn bảo vệ dữ liệu kết hợp với khoỏ được sử dụng để bảo vệ cỏc dữ liệu nhạy cảm trong chế độ bảo mật. Thiết bị cú thể tạo khoỏ ngẫu nhiờn mà khụng thể cú bản sao nào khỏc, do đú những kẻ tấn cụng khụng thể nào truy nhập vào khoỏ, vỡ vậy khối dữ liệu được bảo vệ an toàn. Hầu hết dữ liệu được bảo vệ bằng cỏch mó hoỏ sử dụng khoỏ mó, tuy nhiờn chớnh khoỏ này lại khụng được bảo vệ. Do đú, khoỏ phải được bảo vệ về mặt vật lý.
Núi chung, chu kỳ của khoỏ mó thường rất lớn, cỡ khoảng 1020 năm. 2.3.4 Kiến trỳc bảo mật
Chế độ bảo mật cú thể xõy dựng như một khối tớch hợp trong mỏy di động GSM hay khối rời cú thể lắp được để kết nối với giao diện mỏy di động. Tuỳ chọn này thường rất hữu ớch, cho phộp khối mó hoỏ cú thể thỏo ra và lắp vào mỏy khỏc khi cần.
Hiển thị Bàn phím A/D D/A Mã hoá Giải mã Vi điều khiển
Flash, ROM, RAM
DSP FEC Đan xen Mã kênh Nguồn Băng gốc Cân bằng Đồng xử lý I2C UART Modem Sync async PCMCIA vào ra t ơng tự pin Điều khiển DSP Mật mã hoá Bộ l u trữ klhoá Tín hiệu thoại từ bộ mã hoá GSM Khối bảo mật Khối GSM
Hỡnh 2.11 Khối bảo mật trong kiến trỳc GSM chuẩn
2.3.5 Cỏc thành phần phần cứng bảo mật
Bộ điều khiển - xử lý bảo mật:
- ROM – lưu trữ cỏc thuật toỏn bảo mật, ngăn ngừa khả năng đọc ra - RAM - bộ nhớ dữ liệu
Bộ nhớ Flash EPROM chứa:
-Chương trỡnh hoạt động cho DSP - Tham số hoạt động cho MIB
- Khoỏ bảo mật MIB - LED hai màu :
Tắt - hoạt động ở chế độ bỡnh thường - DSP
- Hoạt động xử lý DSP - Chức năng mó hoỏ XOR
2.3.6 Tổng quan hệ thống bảo mật GSM và cỏc thiết bị thuờ bao cố định
Hỡnh 2.12 khụng chỉ mụ tả kết nối theo tuỳ chọn của khỏch hàng GSM/GSM mà cũn giới thiệu cả cỏc thành phần cần thiết cho kết nối từ mỏy di động GSM tới một điện thoại bàn tương thớch. Cả hai kiểu kết nối chỉ ra trong hỡnh vẽ đều là kết nối bảo mật điểm - điểm, và cỏc thành phần khụng thể thiếu để tạo thành mạng bảo mật chứa khụng chỉ mạng di động. Vỡ vậy, điện thoại để bàn cũng phải cú cựng hệthống bảo mật như trong điện thoại di động GSM
Telephone r Telephone r Telephone r GSM ISDN PSTN TA MS bảo mật MS bảo mật Điện thoại bàn bảo mật Điện thoại bàn bảo mật Hỡnh 2.12: Tổng quan về một hệ thống bảo mật
2.4 Quản lý khúa mật mó
Muốn truy nhập vào cỏc mật khẩu hệ thống thỡ ớt nhất phải qua hai mức, trước hết là cho nhà khai thỏc với một danh sỏch giới hạn cỏc hoạt động, sau đú là cho người quản trị bảo mật với toàn quyền điều khiển cỏc tham số hoạt động và mó hoỏ. Trong hầu hết cỏc trường hợp, tỡnh trạng khụng tuõn thủ theo phõn cấp mật khẩu bảo vệ cú thể gõy ra thảm hoạ đối với hoạt động của mạng, do đú quyền truy nhập của người quản trị luụn phải giữ ở mức bớ mật cao nhất.
2.4.1 Nạp và phõn phối khúa mó
Mặc dự cho phộp nhập dữ liệu bảo mật bằng tay thụng qua bàn phớm nhưng giới hạn về kớch thước của điện thoại cầm tay làm cho chỳng khụng thể phự hợp với hoạt động nhập khoỏ như vậy, bởi vỡ nhập một chuỗi số dài vừa mất nhiều thời gian lại rất cú thể tạo ra lỗi. Tuy vậy, phương thức này vẫn được sử dụng để phõn phối và nhập khoỏ bằng tay, khi đú khoỏ cú thể được ghi dạng văn bản thụng thường và do đú hoàn toàn cú thể gõy rắc rối cho người sở hữu khoỏ hợp phỏp.
2.4.2 Thẻ nhớ và bộ đọc thẻ
Ngoài cỏch nhập mó bằng tay, cú thể sử dụng phương phỏp phõn phối dữ liệu khoỏ và cỏc tham số bảo mật trực tiếp bằng thẻ nhớ. Đõy là phương phỏp bảo mật tin cậy hơn so vố cỏch nhập trực tiếp bằng bàn phớm. Tất cả đều cú thể thực hiện, chỉ yờu cầu người sử dụng kết nối bộ đọc thẻ vào giao diện GSM và nhập mật khẩu để truy nhập cỏc chức năng hệ thống như chỉ dẫn trờn màn hỡnh điện thoại, nếu chức năng nào được người quản trị cho phộp thỡ cú thể tải về thẻ nhớ để chuyển qua mỏy khỏc. Sử dụng và nạp dữ liệu xuống thẻ nhớ thụng qua mỏy để bàn cú thể cung cấp nhiều khả năng thớch hợp trong hầu hết cỏc trường hợp yờu cầu bảo mật.
2.4.3 Chữ ký điện tử
Như đó trỡnh bày trong chương trước, chữ ký điện tử là một phần khụng thể thiếu của hệ thống phõn phối và quản lý khoỏ. Cú nhiều cỏch khỏc nhau để tạo ra chữ ký điện tử từ cỏc tham số liờn quan, một trong cỏc phương phỏp này cú thể kể ra ở đõy.
Trong cỏc ứng dụng khỏc nhau, chỉ cú dữ liệu của khoỏ và thuật toỏn thực sự mới được sử dụng để tạo chữ ký, mặt khỏc dữ liệu khoỏ cũn được bổ xung thờm
thụng tin về liờn kết đang hoạt động, vớ dụ hàm Lon-Wash hay chu kỳ hợp lệ của thuật toỏn.
CHƯƠNG 3. KIẾN TRÚC BẢO MẬT MẠNG W-CDMA
3.1 IMT-2000
Sự phỏt triển nhanh chúng của cỏc dịch vụ số liệu mà trước hết là IP đó đặt ra cỏc yờu cầu đối với cụng nghệ viễn thụng di động. Thụng tin di động thế hệ hai mặc dự sử dụng cụng nghệ số nhưng vỡ là hệ thống băng hẹp và được xõy dựng trờn cơ sở chuyển mạch kờnh nờn khụng đỏp ứng được cỏc dịch vụ mới này. Trong bối cảnh đú ITU đó đưa ra đề ỏn tiờu chuẩn hoỏ hệ thống thụng tin di động thế hệ ba với tờn gọi IMT-2000. IMT-2000 đó mở rộng đỏng kể khả năng cung cấp dịch vụ và cho phộp sử dụng nhiều phương tiện thụng tin. Mục đớch của IMT-2000 là đưa ra nhiều khả năng mới, cú thể liệt kờ ra như sau:
- Cho phộp người thuờ bao di động sử dụng nhiều loại hỡnh dich vụ di động khỏc nhau, cả thoại lẫn dữ liệu mà khụng phụ thuộc vào vị trớ thuờ bao
- Cung cấp dich vụ cho cả vựng rộng lớn - Chất lượng dich vụ tốt nhất cú thể
- Mở rộng số lựơng dịch vụ được cung cấp, ngược lại sử dụng cú hiệu quả phổ tần truyền dẫn vụ tuyến và tớnh kinh tế của hệ thống
- Cung cấp nhiều chức năng cho mỏy đầu cuối
- Chấp nhận cung cấp dịch vụ của nhiều mạng trong cựng một khu vực phủ súng
- Cung cấp kiến trỳc mở cho phộp dễ dàng bổ sung cỏc cụng nghệ mới cũng như cỏc dịch vụ khỏc nhau
- Cấu trỳc theo khối chức năng cho phộp tạo một hệ thống ban đầu cú cấu hỡnh nhỏ và đơn giản và dễ dàng tăng lờn khi cần thiết, cả về kớch thước cũng như độ phức tạp của hệ thống.
- Để thỏa món những dich vụ trờn, mạng di động thế hệ Ba cũng phải đảm bảo được những yờu cầu sau:
- Cung cấp nhận thực người sử dụng theo yờu cầu, nhận dạng thuờ bao, đỏnh số thuờ bao và sơ đồ nhận dạng thiết bị
- Cho phộp mỗi người sử dụng di động yờu cầu những dịch vụ như khởi tạo và nhận cuộc gọi. Cho phộp thực hiện nhiều cuộc gọi đồng thời mà cú thể kết hợp nhiều dịch vụ khỏc nhau như thoại hay số liệu.
- Tối thiểu húa cỏc cơ hội để gian lận bằng cỏch hạn chế cỏc dịch vụ này - Bảo vệ người sử dụng chống lại sự lạm dụng cỏc mỏy di động bị lấy cắp bằng cỏch duy trỡ danh sỏch nhận dạng cỏc mỏy bị lấy cắp và giỏm sỏt lưu lượng cỏc mỏy này
- Cung cấp cỏc dịch vụ khẩn cấp và cỏc thụng tin hữu ớch về cỏc cuộc gọi khẩn cấp: số thuờ bao, thụng tin về vị trớ và cỏc thụng tin khỏc cần thiết cho chớnh quyền địa phương
- Hỗ trợ tớnh di động bằng cỏch đăng ký trờn nhiều thiết bị đầu cuối khỏc nhau, sử dụng thẻ nhận dạng thuờ bao (SIM card)
- Cho phộp tự động chuyển vựng quốc tế giữa cỏc thuờ bao di động và cỏc trạm phục vụ chỳng
- Đảm bảo dịch vụ cho nhiều mỏy di động khỏc nhau, từ cỏc mỏy cầm tay cỏ nhõn cho tới cỏc mỏy đặt trờn cỏc phương tiện giao thụng
Cung cấp dịch vụ số liệu gúi tốc độ cao: + 2 Mbps trong mụi trường bỡnh thường + 384 Kbps đối với người đi bộ
+ 144 Kbps trong cỏc phương tiện giao thụng
Phổ tần sử dụng cho IMT-2000 được ITU quy định trong dải 1885 MHz – 2025 MHz và 2110 MHz – 2200 MHz, như trong hỡnh 3.1.
Thỏng chớn năm 1999, ITU đó chớnh thức cụng nhận cỏc cụng nghệ giao diện vụ tuyến do IMT-2000 đề xuất và chấp nhận chỳng như cỏc chuẩn tương ứng sau:
- IMT trải phổ trực tiếp (IMT-DS) hay cũn gọi là UTRA - IMT đa súng mang (IMT-MC)
Hỡnh 3.1 Quy định phổ tần di động 3G và di động vệ tinh (MSS) tại một số nước
Trong đú, tiờu chuẩn giao diện vụ tuyến quan trọng nhất là Truy nhập vụ tuyến mặt đất toàn cầu (UTRA), là giao diện vụ tuyến cơ sở cho cụng nghệ CDMA – băng rộng (W-CDMA) và cú thể hoạt động ở hai chế độ: Song cụng phõn chia theo tần số (FDD) và Song cụng phõn chia theo thời gian (TDD). Hiện nay, W- CDMA được cả Viện tiờu chuẩn viễn thụng Chõu Âu (ETSI) và Hiệp hội cụng nghiệp và kinh doanh vụ tuyến (ARIB) hỗ trợ.
Thỏng mười hai năm 1998, thỏa thuận thành lập Dự ỏn của cỏc đối tỏc thế hệ Ba (3GPP) được ký kết và Dự ỏn chớnh thức hoạt động. Thỏa thuận hợp tỏc này làm tăng tốc độ tổ chức chuẩn húa, cho phộp kết hợp nhiều tiờu chuẩn viễn thụng khỏc nhau để tạo ra tiờu chuẩn mới cho thụng tin di động thế hệ Ba trờn cơ sở hai cụng nghệ quan trọng: giao diện vụ tuyến UTRA và mở rộng mạng lừi của GSM/GPRS. Sau đú, mục tiờu của tổ chức này cũn được mở rộng sang cả lĩnh vực duy trỡ và phỏt triển mạng GSM cũng như GPRS và EDGE.
Do chớnh sỏch của ITU là khụng chỉ cú một tiờu chuẩn duy nhất cho IMT- 2000 nờn cũn tồn tại một chuẩn giao diện vụ tuyến nữa. Như đó trỡnh bày ở trờn,
giao diện này được gọi là IMT-MC và được đề xuất bởi tổ chức chuẩn húa 3GPP2. Trong khi 3GPP đưa ra giaodiện vụ tuyến mới cho UMTS thỡ 3GPP2 tập trung vào giao diện tương thớch với IS-95, cho phộp chuyển đổi lờn 3G dễ dàng hơn. Tiờu chuẩn thụng tin di động thế hệ Ba này cũn được gọi là CDMA2000.
3.2 Kiến trỳc UMTS
Về mặt logic, mạng UMTS được chia thành hai phần chớnh là mạng lừi (CN) và mạng truy nhập vụ tuyến (GRAN). Mạng lừi tỏi sử dụng lại rất nhiều thành phần đó cú của mạng GSM/GPRS và bao gồm hai phần khỏc nhau là chuyển mạch kờnh (CS) và chuyển mạch gúi (PS). Phần chuyển mạch kờnh sử dụng tài nguyờn dành riờng cho lưu lượng người sử dụng cũng như thụng tin bỏo hiệu từ khi bắt đầu thiết lập cho đến lỳc giải phúng kết nối. Núi chung, cỏc cuộc gọi thoại luụn được xử lý bởi cỏc thiết bị trong hệ chuyển mạch kờnh. Cỏc thực thể trong phần chuyển mạch gúi chuyển dữ liệu của người dựng một cỏch tự động trong cỏc gúi tin và được định tuyến độc lập với nhau, khắc phục được cỏc giới hạn truyền dữ liệu trong 2G. Thụng qua mạng lừi, người sử dụng cú thể thiết lập một kết nối tới cỏc mạng số liệu bờn ngoài như mạng Internet, mạng PSTN và cỏc mạng khụng dõy khỏc. Mạng truy nhập vụ tuyến mặt đất UMTS (UTRAN) chớnh là khỏi niệm GRAN sử dụng trong UMTS. Cỏc chức năng chớnh của nú là:
- Quản lý tài nguyờn vụ tuyến
- Điều khiển cụng suất cả ở đường lờn và đường xuống - Quản lý chuyển giao và ấn định kờnh truyền
Do tỏi sử dụng lại nhiều thành phần của mạng GSM/GPRS, mạng lừi UMTS cũng cho phộp kết nối tới mạng truy nhập GSM. Vỡ vậy cỏc trạm gốc (BSS) của GSM và cỏc mạng truy nhập vụ tuyến UMTS (RNS) cú thể cựng tồn tại trong UTRAN của mạng di động cụng cộng.
Phiờn bản phỏt hành đầu tiờn của UMTS là phiờn bản 3GPP phỏt hành 1999. Phiờn bản này cung cấp cỏc đặc tả tập trung vào mạng truy nhập vụ tuyến UTRAN trờn cơ sở giao diện vụ tuyến IMT-DS và nõng cấp của mạng lừi GSM/GPRS. Phiờn bản kế tiếp ban đầu được gọi là phiờn bản 3GPP phỏt hành 2000, tuy nhiờn do cú nhiều thay đổi lớn so với ban đầu nờn phỏt hành 2000 được chia thành phiờn bản 4 và phiờn bản 5. Hiện nay phiờn bản phỏt hành 6 đang trong quỏ trỡnh hoàn thiện.
Hỡnh 3.2 Kiến trỳc cơ bản của mạng di động UMTS (phiờn bản 1999)
Hỡnh 3.2 trỡnh bày kiến trỳc mạng UMTS theo phiờn bản 1999. Sơ đồ cho thấy cả CN và UTRAN, mỏy di động, cỏc thành phần của CS và PS, giao diờn kết nối giữa cỏc thành phần với nhau và với mạng ngoài đều đó được chỉ ra chi tiết. Chức năng chớnh của kiến trỳc này là cả thoại và dữ liệu đều được truyền đi bởi cỏc gúi tin Ip, theo tất cả cỏc con đường cú thể từ mỏy di động của người dựng tới đớch. Chức năng của mỗi khối thành phần UTRAN cú thể túm tắt như sau:
- Mỏy di động (UE/MS) : là thiết bị vật lý của người sử dụng. Nú chứa một thiết bị di động (ME) và khối nhận dạng thuờ bao UMTS (USIM). USIM là một ứng dụng được lưu trữ trong thẻ thụng minh để khi kết hợp với ME cho phộp truy nhập vào cỏc dịch vụ 3G. USIM cú cỏc chức năng chớnh như sau:
- Lưu trữ thụng tin về thuờ bao và cỏc thụng tin cú liờn quan - Tự nhận thực trong mạng
- Cung cấp cỏc chức năng bảo mật
Lưu trữ cỏc thụng tin như ngụn ngữ sử dụng, nhận dạng thẻ thụng minh, số nhận dạng thuờ bao di động quốc tế (IMSI), khúa mật mó và cỏc thụng tin khỏc Node B: là trạm thu phỏt gốc của UTRAN phục vụ cho một hoặc nhiều ụ. Trạm gốc cú cỏc chức năng như: phỏt hiện lỗi trờn kờnh truyền và chỉ lờn mức cao hơn, điều chế / giải điều chế kờnh vật lý, đo lường vụ tuyến và chỉ thị lờn cỏc lớp trờn cũng như chức năng điều khiển cụng suất. Một số nhà sản xuất cũn cung cấp cả cỏc Node B hỗ trợ cả chuẩn UMTS và CDMA2000 bằng cỏch sử dụng cỏc khối cắm – nhổ thay thế được và dộ tương thớch cao giữa phần cứng và phần mềm. Giao diện giữa Node B và UE (trong hỡnh 3.2 là Uu) chớnh là giao diện vụ tuyến UTRAN trong mạng W-CDMA.
Bộ điều khiển mạng vụ tuyến (RNC) : quản lý tài nguyờn của tất cả cỏc Node B nối tới nú. Trong hỡnh 3.2 chỉ ra rằng RNC được kết nối tới phần mạng lừi chuyển mạch kờnh thụng qua giao diện IuCS, và kết nối tới phần lừi chuyển mạch gúi (PS) thụng qua giao diện IuPS. RNC khụng chỉ quản lý tài nguyờn vụ tuyến của cỏc thiết bị di động mà cũn quản lý cỏc cỏc đường vào / ra mạng lừi của cỏc dịch vụ do thiết bị di động sử dụng. RNC thực hiện một số nhiệm vụ chớnh như : xử lý lưu lượng thoại và dữ liệu, chuyển giao giữa cỏc ụ, thiết lập và giải phúng cuộc gọi.
Cỏc thành phần cơ bản của mạng lừi (CN) :
Trung tõm chuyển mạch cỏc dịch vụ di động (MSC) : là thành phần chớnh của phần mạng lừi chuyển mạch kờnh (CS). Nú cũng là giao diện giữa mạng di động với cỏc mạng chuyển mạch kờnh khỏc như mạng PSTN. MSC thực hiện đớnh tuyến tất cả cỏc cuộc gọi từ mạng ngoài và tới một mỏy di động nhất định, thực hiện tất cả cỏc chức năng chuyển mạch và bỏo hiệu cho mỏy di động nằm