1.4.1. L p các c m an to nớ ổ ắ à (SSL - Secure Sockets Layer)
SSL là giao thức bảo mật chủ yếu được sử dụng trên Internet hiện nay. Nó được phát triển bởi Netscape để cung cấp các phiên truyền thông qua mạng Internet bí mật và an toàn, được sử dụng trên giao thức HTTP, mặc dù nó có thể được sử dụng trên giao thức FTP hoặc các giao thức thích hợp khác. SSL sử dụng kết hợp các thuật toán đối xứng và không đối xứng để tối đa hoá hiệu năng.
Sau đây là bốn pha trong một phiên SSL:
1. Bắt tay và thoả hiệp thuật toán: Cả Server và Client đều đồng ý các thuật toán (algorithms) và các hệ mật mã (ciphers) sẽ sử dụng.
2. Nhận thực: Server và có thể là Client được nhận thực bằng cách sử dụng các chứng nhận số.
3. Trao đổi khoá: Client tạo một khoá bí mật và gửi nó cho Server có sử dụng khoá công cộng của Client để mật mã hoá khoá bí mật. Server sẽ giải mật mã hoá bản tin bằng cách sử dụng khoá riêng của nó. Và phần còn lại của phiên truyền dẫn này, Client và Server có thể truyền thông với nhau sử dụng khoá bí mật.
4. Trao đổi số liệu ứng dụng: Khi một phiên số liệu đối xứng an toàn được thiết lập, các số liệu đã được mật mã hoá có thể được trao đổi giữa Client và Server.
SSL có thể được sử dụng bởi nhiều Client vô tuyến mạnh hơn gồm có máy tính xách tay, các máy tính cá nhân bỏ túi. Nếu địa chỉ URL của họ bắt đầu với https:// hoặc đơn giản hơn chỉ là http:// thì có thể nói rằng người đó đang sử dụng SSL.
Mật mã hoá số liệu trong phạm vi giao thức SSL hiệu quả hơn việc mật mã hoá chính số liệu đó và gửi nó qua HTTP. Trong phạm vi giao thức SSL số liệu được mật mã hoá ở mức một gói và được giải mật mã hoá ở mức một gói sau khi nó đi đến đích và được kiểm tra nhanh chóng tính toàn vẹn số liệu được gửi. Nếu mật mã hoá số liệu trong một bản mật mã rộng, thì có thể sẽ không thể giải mật mã được số liệu cho đến khi tất cả các gói đến được đích.
1.4.2. An ninh lớp truyền tải (TLS - Transport Layer Security)
An ninh lớp truyền tải TLS là thế hệ kế tiếp của SSL, Nó bao gồm hai lớp. Lớp dưới là giao thức bản ghi TLS (TLS Record protocol), giao thức này được đặt lên phía trên một giao thức truyền tải tin cậy như TCP chẳng hạn. Hai đặc điểm chính của giao thức bản ghi là các kết nối riêng và tin cậy. Lớp cao hơn là giao thức bắt tay TLS (TLS Handshake protocol). Giao thức này đưa ra phương pháp bảo mật kết nối gồm: Nhận thực sử dụng mật mã hoá không đối xứng, thoả hiệp khoá bí mật, đồng thời cung cấp sự thoả hiệp tin cậy. Giống như SSL, TLS không phụ thuộc và có thể sử dụng đủ loại thuật toán. Mục đích của TLS gồm an ninh mật mã, khả năng phối hợp hoạt động và khả năng mở rộng.
1.4.3. An ninh l p truy n t i vô tuy nớ ề ả ế (WTLS)
WTLS là lớp an ninh được định nghĩa trong quy định WAP. Nó hoạt động ở phía trên lớp giao thức truyền tải, điều này làm cho WTLS thích hợp với các giao thức vô tuyến khác nhau ở dưới. Nó tương tự như giao thức TLS nhưng hiệu quả hơn đối với các mạng băng thông thấp, có độ rủi ro cao. WTLS cũng bổ sung thêm các dặc tính mới như hỗ trợ datagram, bắt tay hiệu quả, và nạp lại khoá, nó cũng hỗ trợ sử dụng các chứng nhận WTLS đối với nhận thực phía Server. Khác với TLS và SSL là những giao thức có sử dụng chứng nhận X.509. Nhìn chung, WTLS có mục đích tương tự như TLS và SSL là cung cấp tính bí mật, tính toàn vẹn số liệu và khả năng nhận thực giữa hai bên truyền thông.
1.4.4. An ninh IP, IPSec
IPSec (IP Security) khác với các giao thức khác ở chỗ nó không tác động lên lớp ứng dụng. Trong khi SSL, TLS và WTLS để đảm bảo thông tin an ninh trên các mạng không an ninh, IPSec nhằm làm cho chính Internet trở lên an ninh. Nó đảm bảo nhận thực, tính toàn vẹn và các dịch vụ riêng tại lớp datagram của IP. Trong khi chủ yếu IPSec nhằm vào các máy client của các máy tính xách tay trong vô tuyến di động, thì các sản phẩm mạng riêng ảo dựa trên IPSec đã bắt đầu xuất hiện cho các PDA. IPSec ngày càng trở thành một giải pháp nổi trỗi khi các thiết bị di động bắt đầu hỗ trợ IPv6, vì IPv6 chứa cả IPSec như là bộ phận của tiêu chuẩn. Cần nhấn mạnh rằng IPSec hỗ trợ TCP/IP chứ không hỗ trợ WAP.
AH đảm bảo nhận thực số liệu và chống phát lại. Nhiệm vụ trước hết của AH là nhận thực nguồn gốc và kiểm tra rằng số liệu là của người phát. AH không đảm bảo bất kỳ mật mã hóa nào. Chức năng này cũng ngăn được cướp phiên.
Hình 1.7. Khuôn dạng gói sử dụng AH trong chế độ truyền tải vàđường hầm (tunnel) của IPSec
Hình 1.7 và 1.8 cho thấy AH’ và ESP được sử dụng và đảm bảo chế độ truyền tải IPSec, nhưng theo tiêu chuẩn cũng có thể kết hợp AH với ESP.
Hình 1.8. Khuôn dạng gói sử dụng ESP
Các phần tử cơ bản của IPSec là SPD (Security Policy Database: Cơ sở dữ liệu chính sách an ninh) và SAD (Security Association Database: cơ sở dữ liệu liên kết an ninh). Mọi giao diện IP có sử dụng IPSec phải được trang bị cơ sở dữ liệu các quy tắc phân loại an ninh và các hành động an ninh. Mỗi cặp quy tắc và hành động được gọi là chính sách an ninh (SP: Security Policy). SA (Security Association: liên kết an ninh) định nghĩa một xử lý gói đơn hướng liên quan đến các hành động thi hành chính sách an ninh. Các hành động định nghĩa việc cần áp dụng các tiêu đề IPSec nào, cần sử dụng các giải thuật nhận thực nào và các khóa nào được sử dụng để thực hiện các giải thuật này. Mỗi giao diện IP có một cặp cơ sở dữ liệu nói trên: một cho lưu lượng vào và một cho lưu lượng ra. Nếu gói không theo quy tắc, giao diện sẽ được lập cấu hình để loại bỏ nó.
Để hiểu rõ hơn các quy tắc nói trên, ta có thể sử dụng thí dụ sau về một mục ghi trong một cặp IPSec SPD và SAD đầu ra. Một chính sách an ninh có thể được xác định bởi mục ghi sau trong SPD của một giao diện IP:
“Đối với tất cả gói liên quan đến địa chỉ IP nhận (191.44.56.82) và số cửa 8080, áp dụng liên kết an ninh ALFFA”.
Liên kết an ninh ALFA là một mục ghi trong SAD của cùng giao diện IP được định nghĩa trên cơ sở chế độ IPSec tunnel với ESP và giải thuật mật mã 3DES (Data Encryption Standard: Tiêu chuẩn mật mã số liệu) với một khóa mật mã được trao đổi nhân công và được trang bị tại các điểm cuối. SA được gọi là khóa đối xứng dựa trên SA.
Các khóa an ninh có thể đối xứng hoặc không đối xứng. Các khóa đối xứng hay khóa riêng được phân phát cho cả hai phía tham dự thông tin an ninh. Các khóa không đối xứng dựa trên mẫu mật mã của các khóa công khai do RSA Data Security sáng chế cũng được sử dụng rộng rãi để thực hiện cả nhận thực lẫn mật mã. Trong thiết lập này, một phía muốn tham gia thông tin an ninh với các phía khác sẽ làm cho một khóa công khai khả dụng để có thể nhận được tại một kho khóa công khai phổ biến. Phương pháp này được gọi là dựa trên khóa không đối xứng vì nó sử dụng một cặp khóa: một khóa công khai được phân phối rộng rãi và một khóa khác đợc giữ bí mật không bao giờ để lộ. Tư liệu được mật mã bằng khóa công khai có thể được giải mã bằng cách sử dụng khóa riêng liên kết. Ngược lại chỉ có thể sử dụng khóa công khai để giải mã tư liệu được mật mã bằng khóa riêng.
1.5. Kết luận chương 1
Để đảm bảo an ninh từ đầu cuối tới đầu cuối cần phải thực hiện trên toàn bộ môi trường bao gồm truy nhập hãng, các thành phần thuộc lớp trung gian,và các ứng dụng Client. An ninh từ đầu cuối tới đầu cuối có nghĩa là số liệu được an toàn trong toàn bộ tuyến hành trình từ người gửi đến người nhận, thường là từ ứng dụng Client tới Server hãng. Điều này không đơn giản chỉ là mật mã hoá số liệu.Tác động của chúng trên ứng dụng di động có tính chất quyết định để tạo nên các ứng dụng an ninh.
Chương 2
TỔNG QUAN MẠNG 3G WCDMA UMTS
2.1. Kiến trúc chung của một hệ thống thông tin di động 3G
Mạng thông tin di động (TTDĐ) 3G lúc đầu sẽ là mạng kết hợp giữa các vùng chuyển mạch gói (PS) và chuyển mạch kênh (CS) để truyền số liệu gói và tiếng. Các trung tâm chuyển mạch gói sẽ là các chuyển mạch sử dụng công nghệ ATM. Trên đường phát triển đến mạng toàn IP, chuyển mạch kênh sẽ dần được thay thế bằng chuyển mạch gói. Các dịch vụ kể cả số liệu lẫn thời gian thực (như tiếng và video) cuối cùng sẽ được truyền trên cùng một môi trường IP bằng các chuyển mạch gói. Hình 2.4 dưới đây cho thấy thí dụ về một kiến trúc tổng quát của TTDĐ 3G kết hợp cả CS và PS trong mạng lõi.
Hình 2.1. Kiến trúc tổng quát của một mạng di động kết hợp cả CS và PS
RAN: Radio Access Network: mạng truy nhập vô tuyến BTS: Base Transceiver Station: trạm thu phát gốc
BSC: Base Station Controller: bộ điều khiển trạm gốc RNC: Rado Network Controller: bộ điều khiển trạm gốc CS: Circuit Switch: chuyển mạch kênh
PS: Packet Switch: chuyển mạch gói
Server: máy chủ
PSTN: Public Switched Telephone Network: mạng điện thoại chuyển mạch công cộng
PLMN: Public Land Mobile Network: mang di động công cộng mặt đất Các miền chuyển mạch kênh (CS) và chuyển mạch gói (PS) được thể hiện bằng một nhóm các đơn vị chức năng lôgic: trong thực hiện thực tế các miền chức năng này được đặt vào các thiết bị và các nút vật lý. Chẳng hạn có thể thực hiện chức năng chuyển mạch kênh CS (MSC/GMSC) và chức năng chuyển mạch gói (SGSN/GGSN) trong một nút duy nhất để được một hệ thống tích hợp cho phép chuyển mạch và truyền dẫn các kiểu phương tiện khác nhau: từ lưu lượng tiếng đến lưu lượng số liệu dung lượng lớn.
3G UMTS (Universal Mobile Telecommunications System: Hệ thống thông tin di động toàn cầu) có thể sử dụng hai kiểu RAN. Kiểu thứ nhất sử dụng công nghệ đa truy nhập WCDMA (Wide Band Code Devision Multiple Acces: Đa truy nhập phân chia theo mã băng rộng) được gọi là UTRAN (UMTS Terrestrial Radio Network: mạng truy nhập vô tuyến mặt đất của UMTS). Kiểu thứ hai sử dụng công nghệ đa truy nhập TDMA được gọi là GERAN (GSM EDGE Radio Access Network: mạng truy nhập vô tuyến dưa trên công nghệ EDGE của GSM). Tài liệu chỉ xét đề cập đến công nghệ duy nhất trong đó UMTS được gọi là 3G WCDMA UMTS
2.2. Chuyển mạch kênh (CS), chuyển mạch gói (PS), dịch vụ chuyển mạch kênh và dịch vụ chuyển mạch góimạch kênh và dịch vụ chuyển mạch góimạch kênh và dịch vụ chuyển mạch gói mạch kênh và dịch vụ chuyển mạch gói
3G cung cấp các dịch vụ chuyển mạch kênh như tiếng, video và các dịch vụ chuyển mạch gói chủ yếu để truy nhập internet.
Chuyển mạch kênh (CS: Circuit Switch) là sơ đồ chuyển mạch trong đó thiết bị chuyển mạch thực hiện các cuộc truyền tin bằng cách thiết lập kết nối chiếm một tài nguyên mạng nhất định trong toàn bộ cuộc truyền tin. Kết nối này là tạm thời, liên tục và dành riêng. Tạm thời vì nó chỉ được duy trì trong
thời gian cuộc gọi. Liên tục vì nó được cung cấp liên tục một tài nguyên nhất định (băng thông hay dung lượng và công suất) trong suốt thời gian cuộc gọi. Dành riêng vì kết nối này và tài nguyên chỉ dành riêng cho cuộc gọi này. Thiết bị chuyển mạch sử dụng cho CS trong các tổng đài của TTDĐ 2G thực hiện chuyển mạch kênh trên trên cơ sở ghép kênh theo thời gian trong đó mỗi kênh có tốc độ 64 kbps và vì thế phù hợp cho việc truyền các ứng dụng làm việc tại tốc độ cố định 64 kbps (chẳng hạn tiếng được mã hoá PCM).
Chuyển mạch gói (PS: Packet Switch) là sơ đồ chuyển mạch thực hiện phân chia số liệu của một kết nối thành các gói có độ dài nhất định và chuyển mạch các gói này theo thông tin về nơi nhận được gắn với từng gói và ở PS tài nguyên mạng chỉ bị chiếm dụng khi có gói cần truyền. Chuyển mạch gói cho phép nhóm tất cả các số liệu của nhiều kết nối khác nhau phụ thuộc vào nội dung, kiểu hay cấu trúc số liệu thành các gói có kích thước phù hợp và truyền chúng trên một kênh chia sẻ. Việc nhóm các số liệu cần truyền được thực hiện bằng ghép kênh thống kê với ấn định tài nguyên động. Các công nghệ sử dụng cho chuyển mạch gói có thể là Frame Relay, ATM hoặc IP.
Hình 2.2. cho thấy cấu trúc của CS và PS.
Hình 2.2. Chuyển mạch kênh (CS) và chuyển mạch gói (PS)
Dịch vụ chuyển mạch kênh (CS Service) là dịch vụ trong đó mỗi đầu cuối được cấp phát một kênh riêng và nó toàn quyển sử dụng tài nguyên của kênh này trong thời gian cuộc gọi tuy nhiên phải trả tiền cho toàn bộ thời gian
này dù có truyền tin hay không. Dịch vụ chuyển mạch kênh có thể được thực hiện trên chuyển mạch kênh (CS) hoặc chuyển mạch gói (PS). Thông thường dịch vụ này được áp dụng cho các dịch vụ thời gian thực (thoại).
Dịch vụ chuyển mạch gói (PS Service) là dịch vụ trong đó nhiều đầu cuối cùng chia sẻ một kênh và mỗi đầu cuối chỉ chiếm dụng tài nguyên của kênh này khi có thông tin cần truyền và nó chỉ phải trả tiền theo lượng tin được truyền trên kênh. Dịch vụ chuyển mạch gói chỉ có thể được thực hiện trên chuyển mạch gói (PS). Dịch vụ này rất rất phù hợp cho các dịch vụ phi thời gian thực (truyền số liệu), tuy nhiên nhờ sự phát triển của công nghệ dịch vụ này cũng được áp dụng cho các dịch vụ thời gian thực (VoIP).
Chuyển mạch gói có thể thực hiện trên cơ sở ATM hoặc IP.
ATM (Asynchronous Transfer Mode: chế độ truyền dị bộ) là công nghệ thực hiện phân chia thông tin cần phát thành các tế bào 53 byte để truyền dẫn và chuyển mạch. Một tế bào ATM gồm 5 byte tiêu đề (có chứa thông tin định tuyến) và 48 byte tải tin (chứa số liệu của người sử dụng). Thiết bị chuyển mạch ATM cho phép chuyển mạch nhanh trên cơ sở chuyển mạch phần cứng tham chuẩn theo thông tin định tuyến tiêu đề mà không thực hiện phát hiện lỗi trong từng tế bào. Thông tin định tuyến trong tiêu đề gồm: đường dẫn ảo (VP) và kênh ảo (VC). Điều khiển kết nối bằng VC (tương ứng với kênh của người sử dụng) và VP (là một bó các VC) cho phép khai thác và quản lý có khả năng mở rộng và có độ linh hoạt cao. Thông thường VP được thiết lập trên cơ sở số liệu của hệ thống tại thời điểm xây dựng mạng. Việc sử dụng ATM trong mạng lõi cho ta nhiều cái lợi: có thể quản lý lưu lượng kết hợp với RAN, cho phép thực hiện các chức năng CS và PS trong cùng một kiến trúc và thực hiện khai thác cũng như điều khiển chất lượng liên kết.
Chuyển mạch hay Router IP (Internet Protocol) cũng là một công nghệ thực hiện phân chia thông tin phát thành các gói được gọi là tải tin (Payload). Sau đó mỗi gói được gán một tiêu đề chứa các thông tin địa chỉ cần thiết cho
chuyển mạch. Trong thông tin di động do vị trí của đầu cuối di động thay đổi nên cần phải có thêm tiêu đề bổ sung để định tuyến theo vị trí hiện thời của máy di động. Quá trình định tuyến này được gọi là truyền đường hầm (Tunnel). Có hai cơ chế để thực hiện điều này: MIP (Mobile IP: IP di động) và GTP (GPRS Tunnel Protocol: giao thức đường hầm GPRS).
Hình 2.3. Đóng bao và tháo bao cho gói IP trong quá trình truyền tunnel
Hình 2.3 cho thấy quá trình định tuyến tunnel (chuyển mạch tunnel) trong hệ thống 3G UMTS từ tổng đài gói cổng (GGSN) cho một máy di động (UE) khi nó chuyển từ vùng phục vụ của một tổng đài gói nội hạt (SGSN1) này sang một vùng phục vụ của một tổng đài gói nội hạt khác (SGSN2) thông qua giao thức GTP.
Vì 3G WCDMA UMTS được phát triển từ những năm 1999 khi mà ATM là công nghệ chuyển mạch gói còn ngự trị nên các tiêu chuẩn cũng
