Kiến trỳc bảo mật

Một phần của tài liệu ỨNG DỤNG FPGA TRONG BẢO MẬT VÔ TUYẾN (Trang 59)

Đối với cỏc hệ thống bảo mật cao, khi đó nạp khoỏ bớ mật vào hệ thống thỡ nú cú thể chạy liờn tục và khụng bao giờ trở lại chế độ truyền thụng khụng mó hoỏ ban đầu. Nếu một khoỏ hay tham số nhạy cảm nào đú phải di chuyển quanh khối bảo mật, chỳng cú thể được mó hoỏ bằng khoỏ khỏc, cũn gọi là khoỏ lưu sẵn. Núi chung, tất cả cỏc tham số phải được đúng gúi trong cỏc khối bảo vệ để

ngăn khụng cho cỏc khoỏ bớ mật này bị đọc ra ngoài, khụng cho phộp sao chộp hay sửa đổi bất kỳ thụng số nào. Trong cỏc thiết bị chuẩn hoỏ, cỏc thuật toỏn đều cú thể đọc ra mà khụng cú sự hạn chế nào đỏng kể, vớ dụ như thuật toỏn AES, DES hay 3DES. Tuy nhiờn, bảo vệ cỏc thuật toỏn lại là một vấn đề hết sức quan trọng trong cỏc hệ thống bảo mật cao, trong thiết bị mó hoỏ của quõn đội hay chớnh phủ sử dụng cỏc thuật toỏn bớ mật.

Chếđộ bảo mật cú thể xõy dựng như một khối tớch hợp trong mỏy di động GSM hay khối rời cú thể lắp được để kết nối với giao diện mỏy di động. Tuỳ

chọn này thường rất hữu ớch, cho phộp khối mó hoỏ cú thể thỏo ra và lắp vào mỏy khỏc khi cần.

Hiển thị Bàn phím A/D D/A Mã hoá Giải mã Vi điều khiển

Flash, ROM, RAM

DSP FEC Đan xen Mã kênh Nguồn Băng gốc Cân bằng Đồng xử lý I2C UART Modem Sync async PCMCIA vào ra t−ơng tự pin Điều khiển DSP Mật mã hoá Bộ l−u trữ klhoá Tín hiệu thoại từ bộ mã hoá GSM Khối bảo mật Khối GSM Hỡnh 2.14: Khi bo mt trong kiến trỳc GSM chun 2.3.5 Cỏc thành phn phn cng bo mt • Bộđiều khiển - xử lý bảo mật

ROM – lưu trữ cỏc thuật toỏn bảo mật, ngăn ngừa khả năng đọc ra RAM - bộ nhớ dữ liệu

• Bộ nhớ Flash EPROM chứa: Chương trỡnh hoạt động cho DSP

Tham số hoạt động cho MIB Khoỏ bảo mật MIB

• LED hai màu

Đỏ - cảnh bỏo hoặc chỉ thị lỗi Xanh - hoạt động ở chếđộ bảo mật Tắt - hoạt động ở chếđộ bỡnh thường • DSP Hoạt động xử lý DSP Chức năng mó hoỏ XOR

2.3.6 Tng quan h thng bo mt GSM và cỏc thiết b thuờ bao cốđịnh

Hỡnh 2.15 khụng chỉ mụ tả kết nối theo tuỳ chọn của khỏch hàng GSM/GSM mà cũn giới thiệu cả cỏc thành phần cần thiết cho kết nối từ mỏy di

động GSM tới một điện thoại bàn tương thớch. Cả hai kiểu kết nối chỉ ra trong hỡnh vẽ đều là kết nối bảo mật điểm - điểm, và cỏc thành phần khụng thể thiếu để tạo thành mạng bảo mật chứa khụng chỉ mạng di động. Vỡ vậy, điện thoại để bàn cũng phải cú cựng hệ thống bảo mật như trong điện thoại di động GSM. Telephone r Telephone r Telephone r GSM ISDN PSTN TA MS bảo mật MS bảo mật Điện thoại bàn bảo mật Điện thoại bàn bảo mật Hỡnh 2.15: Tng quan v mt h thng bo mt

2.4 Qun lý khoỏ mt mó

Muốn truy nhập vào cỏc mật khẩu hệ thống thỡ ớt nhất phải qua hai mức, trước hết là cho nhà khai thỏc với một danh sỏch giới hạn cỏc hoạt động, sau đú là cho người quản trị bảo mật với toàn quyền điều khiển cỏc tham số hoạt động và mó hoỏ. Trong hầu hết cỏc trường hợp, tỡnh trạng khụng tuõn thủ theo phõn cấp mật khẩu bảo vệ cú thể gõy ra thảm hoạđối với hoạt động của mạng, do đú quyền truy nhập của người quản trị luụn phải giữở mức bớ mật cao nhất.

2.4.1 Np và phõn phi khoỏ mó

Mặc dự cho phộp nhập dữ liệu bảo mật bằng tay thụng qua bàn phớm nhưng giới hạn về kớch thước của điện thoại cầm tay làm cho chỳng khụng thể

phự hợp với hoạt động nhập khoỏ như vậy, bởi vỡ nhập một chuỗi số dài vừa mất nhiều thời gian lại rất cú thể tạo ra lỗi. Thậm chớ cỏc nhõn viờn bảo mật GSM cũng vẫn nhập sai số khi yờu cầu phải nhập vào chớnh khoỏ và cỏc tham số bảo mật của mỡnh. Tuy vậy, phương thức này vẫn được sử dụng để phõn phối và nhập khoỏ bằng tay, khi đú khoỏ cú thểđược ghi dạng văn bản thụng thường và do đú hoàn toàn cú thể gõy rắc rối cho người sở hữu khoỏ hợp phỏp.

Cú khụng ớt cỏc nhà sản xuất đó nhận thấy ưu điểm của việc khụng chỉ

chế tạo cỏc điện thoại cốđinh tương thớch mật mó của mỏy hoỏ di động, mà cũn sử dụng chỳng như một trung tõm phõn phối khoỏ mật mó và quản trị mạng. Với kớch thước lớn hơn, điện thoại bàn phự hợp cho cả phần cứng và phần mềm phõn phối khoỏ, do đú cú thể nhận cảđường xuống của khoỏ từ trung tõm quản lý. Tất nhiờn, dữ liệu khoỏ cũng phải được bảo vệ bằng mó truyền dẫn. Tham số bảo mật và dữ liệu khoỏ cú thể được truyền từ mỏy điện thoại GSM tới mỏy bàn thụng qua cỏp gắn trực tiếp giữa mỏy bàn với phụ kiện của mỏy di động hoặc trao đổi qua thẻ nhớ gắn vào mỗi thiết bị.

2.4.3 Th nh và bộđọc th

Ngoài cỏch nhập mó bằng tay, cú thể sử dụng phương phỏp phõn phối dữ

liệu khoỏ và cỏc tham số bảo mật trực tiếp bằng thẻ nhớ. Đõy là phương phỏp bảo mật và tin cậy hơn so vố cỏch nhập trực tiếp bằng bàn phớm. Tất cả đều cú thể thực hiện, chỉ yờu cầu người sử dụng kết nối bộ đọc thẻ vào giao diện GSM

và nhập mật khẩu để truy nhập cỏc chức năng hệ thống như chỉ dẫn trờn màn hỡnh điện thoại, nếu chức năng nào được người quản trị cho phộp thỡ cú thể tải về thẻ nhớ để chuyển qua mỏy khỏc. Sử dụng và nạp dữ liệu xuống thẻ nhớ

thụng qua mỏy để bàn cú thể cung cấp nhiều khả năng thớch hợp trong hầu hết cỏc trường hợp yờu cầu bảo mật. Thực vậy, mỗi gúi bảo mật sử dụng nhiều phương phỏp khỏc nhau đều cú thể tạo hiệu quả cao hơn so với cỏc giải phỏp phõn phối khoỏ đơn giản.

2.4.4 Chđin t

Như đó trỡnh bày trong chương trước, chữ ký điện tử là một phần khụng thể thiếu của hệ thống phõn phối và quản lý khoỏ. Cú nhiều cỏch khỏc nhau để

tạo ra chữ ký điện tử từ cỏc tham số liờn quan, một trong cỏc phương phỏp này cú thể kể ra ở đõy.

Trong cỏc ứng dụng khỏc nhau, chỉ cú dữ liệu của khoỏ và thuật toỏn thực sự mới được sử dụng để tạo chữ ký, mặt khỏc dữ liệu khoỏ cũn được bổ xung thờm thụng tin về liờn kờt đang hoạt động, vớ dụ hàm Lon-Wash hay chu kỳ hợp lệ của thuật toỏn. (adsbygoogle = window.adsbygoogle || []).push({});

Hỡnh 2.16: Cỏc thành phn to nờn chđin t

2.5 H thng vụ tuyến gúi chung

Khụng thể chỉ núi đến hệ thống bảo mật GSM mà lại khụng nhắc đến cỏc vấn đề nảy sinh từưu điểm của hệ thống vụ tuyến gúi chung (GPRS). GPRS thể

thoại số đơn giản trong GSM sang thế giới số liệu và truy nhập web phức tạp hơn nhiều. Đú là bước tiến mà cỏc đầu cuối di động như một cụng cụđểđi mua sắm , cho phộp thực hiện cỏc thanh toỏn điện tử. Thiết bị di động cú thể dựng như một chiếc vớ điện tử, chỉ yờu cầu thanh toỏn qua tài khoản bằng cỏch gửi mó số PIN của người dựng qua hệ thống GSM. Do đú, khụng khú để tưởng tượng sẽ

cú khụng ớt cỏc cạm bẫy nguy hiểm đang chở đợi cả người sử dụng và nhà cung cấp dịch vụ GPRS, đặc biệt là khi xem xột lại cỏc lỗ thủng bảo mật trong kiến trỳc mạng GSM. Núi như vậy cũng khụng cú nghĩa là truyền dẫn GPRS hoàn toàn bị bao trựm bởi một đỏm mõy đen do GPRS kế thừa cỏc đặc điểm bảo mật GSM. Núi chung, người ta cũng đó nhất trớ rằng mặc dự khả năng bẻ gẫy sơ đồ

mó hoỏ cú thể xảy ra, nhưng khi xem xột quỏ trỡnh truyền thụng qua giao diện vụ tuyến Um, hoàn toàn cú khả năng đảm bảo tớnh tin cậy trong thời gian thực.

Hỡnh 2.17: Kiến trỳc cơ bn ca h thng GPRS

2.5.1 Nguyờn lý hot động ca GPRS

GPRS là hệ thống sử dụng cấu trỳc kế thừa từ GSM (xem hỡnh 2.17), với một số cải tiến nhằm cho phộp truyền dữ liệu tốc độ cao hơn giữa cỏc mỏydi

động cũng như tới cỏc thành phần khỏc trong hệ thống truyền thụng. GPRS đạt

được tốc độ cao bằng cỏch truyền cỏc gúi dữ liệu đi qua nhiều kờnh song song, kờnh kết nối khụng chỉ sử dụng một khe thời gian mà cũn dựng thờm cỏc khe

thời gian cũn trống khỏc để truyền số liệu giữa MS với BTS. Mỗi gúi được truyền trờn một kờnh vật lý khỏc nhau và kờnh chỉ thực sự bị chiếm dụng khi cú gúi tin được gửi đi, sau đú nú được giải phúng và sẵn sàng cho cỏc MS khỏc sử

dụng. Tại BTS, từ cỏc gúi tin đến từ nhiều đường một cỏch ngẫu nhiờn đú sẽ

được ghộp lại theo đỳng thứ tự ban đầu. Cỏc gúi tin này được truyền đi dưới dạng mật mó hoỏ bằng thuật toỏn A5. Do đú, cựng với việc cỏc gúi tin khụng thể đến BTS theo đỳng thứ tự nhất định thỡ càng làm cho chỳng khú bị nghe trộm hơn. Khỏc với bảo mật GSM, BTS trong GPRS khụng mật mó hoỏ cỏc gúi dữ

liệu, và do đú khụng được cung cấp khoỏ mật mó Kc mà chỉ đơn giản là chuyển khoỏ tới node hỗ trợ GPRS (SGSN). SGSN thực hiện giải mó gúi tin và ghộp chỳng lại thành bản tin hoàn chỉnh trước khi chuyển chỳng lờn mạng đường trục GSM để phõn phối tới nơi cần nhận. SGSN cũn thực hiện một nhiệm vụ quan trọng khỏc là nhận thực mỏy di động với HLR, cú phần phức tạp hơn so với thủ

tục của MSC trong mạng GSM. Khi đú, dữ liệu đó mó hoỏ được bảo mật từ khi qua giao diện Um được tới tận trạm SGSN. Tớnh bảo mật của phần này cũng

được cải thiện đỏng kể do GPRS sử dụng thuật toỏn A5. Tuy nhiờn, nếu cho rằng HLR là thành phần dễ bị tấn cụng nhất trong hệ thống GSM thỡ khi đưa thờm SGSN vào trong cấu trỳc GPRS, SGSN cũng trở thành mục tiờu mới để tấn cụng hệ thống.

Bổ xung thờm thuật toỏn A5 chắc chắn là một trong những bước quan trọng nhằm tăng cường tớnh bảo mật của hệ thống, tuy vậy vẫn yờu cầu phải sử

dụng thuật toỏn A3 mạnh hơn để bảo vệ thẻ SIM chống lại tấn cụng nhằm sao chộp trỏi phộp cỏc dữ liệu khoỏ. Khi mà GSM đó tự thừa nhận là kộm bảo mật thỡ cõu hỏi đặt ra là tớnh bảo mật của GPRS sẽ cú thể giữđược trong bao lõu? Cú một điều chắc chắn là nú sẽ cũn tiếp tục được phõn tớch dưới lăng kớnh khoa học và sẽ là một chủ đề được nghiờn cứu tại rất nhiều trường đại học. Cựng với sự

quan tõm ngày càng cao đến vấn đề bảo mật và cỏc thuật toỏn mó hoỏ, chắc chắn sẽ tạo nờn một cuộc cạnh tranh lành mạnh để dẫn đến một cuộc cỏch mạng trong hệ thống truyền thụng bảo mật. Do yờu cầu ngày càng cao về độ bảo mật, nờn cần thiết phải cú giải phỏp mới thay thế cho GSM và GPRS. Cõu trả lời chớnh là hệ thống bảo mật từ - đầu - đến - cuối, sử dụng cỏc thuật toỏn mó hoỏ và quản lý khoỏ hiệu quả hơn để cú thểđối phú với nhiều thỏch thức hơn trong tương lai.

CHƯƠNG III

KIN TRÚC BO MT MNG W-CDMA

3.1 IMT-2000

Sự phỏt triển nhanh chúng của cỏc dịch vụ số liệu mà trước hết là IP đó

đặt ra cỏc yờu cầu đối với cụng nghệ viễn thụng di động. Thụng tin di động thế

hệ hai mặc dự sử dụng cụng nghệ số nhưng vỡ là hệ thống băng hẹp và được xõy dựng trờn cơ sở chuyển mạch kờnh nờn khụng đỏp ứng được cỏc dịch vụ mới này. Trong bối cảnh đú ITU đó đưa ra đề ỏn tiờu chuẩn hoỏ hệ thống thụng tin di

động thế hệ ba với tờn gọi IMT-2000. IMT-2000 đó mở rộng đỏng kể khả năng cung cấp dịch vụ và cho phộp sử dụng nhiều phương tiện thụng tin. Mục đớch của IMT-2000 là đưa ra nhiều khả năng mới, cú thể liệt kờ ra như sau:

• Cho phộp người thuờ bao di động sử dụng nhiều loại hỡnh dich vụ di

động khỏc nhau, cả thoại lẫn dữ liệu mà khụng phụ thuộc vào vị trớ thuờ bao

• Cung cấp dich vụ cho cả vựng rộng lớn • Chất lượng dich vụ tốt nhất cú thể (adsbygoogle = window.adsbygoogle || []).push({});

• Mở rộng số lựơng dịch vụ được cung cấp, ngược lại sử dụng cú hiệu quả phổ tần truyền dẫn vụ tuyến và tớnh kinh tế của hệ thống

• Cung cấp nhiều chức năng cho mỏy đầu cuối

• Chấp nhận cung cấp dịch vụ của nhiều mạng trong cựng một khu vực phủ súng

• Cung cấp kiến trỳc mở cho phộp dễ dàng bổ sung cỏc cụng nghệ mới cũng như cỏc dịch vụ khỏc nhau

• Cấu trỳc theo khối chức năng cho phộp tạo một hệ thống ban đầu cú cấu hỡnh nhỏ và đơn giản và dễ dàng tăng lờn khi cần thiết, cả về kớch thước cũng nhưđộ phức tạp của hệ thống.

Để thỏa món những dich vụ trờn, mạng di động thế hệ Ba cũng phải đảm bảo được những yờu cầu sau:

• Cung cấp nhận thực người sử dụng theo yờu cầu, nhận dạng thuờ bao,

đỏnh số thuờ bao và sơ đồ nhận dạng thiết bị

• Cho phộp mỗi người sử dụng di động yờu cầu những dịch vụ như khởi tạo và nhận cuộc gọi. Cho phộp thực hiện nhiều cuộc gọi đồng thời mà cú thể kết hợp nhiều dịch vụ khỏc nhau như thoại hay số liệu.

• Tối thiểu húa cỏc cơ hội để gian lận bằng cỏch hạn chế cỏc dịch vụ này • Bảo vệ người sử dụng chống lại sự lạm dụng cỏc mỏy di động bị lấy

cắp bằng cỏch duy trỡ danh sỏch nhận dạng cỏc mỏy bị lấy cắp và giỏm sỏt lưu lượng cỏc mỏy này

• Cung cấp cỏc dịch vụ khẩn cấp và cỏc thụng tin hữu ớch về cỏc cuộc gọi khẩn cấp: số thuờ bao, thụng tin về vị trớ và cỏc thụng tin khỏc cần thiết cho chớnh quyền địa phương

• Hỗ trợ tớnh di động bằng cỏch đăng ký trờn nhiều thiết bị đầu cuối khỏc nhau, sử dụng thẻ nhận dạng thuờ bao (SIM card)

• Cho phộp tự động chuyển vựng quốc tế giữa cỏc thuờ bao di động và cỏc trạm phục vụ chỳng

• Đảm bảo dịch vụ cho nhiều mỏy di động khỏc nhau, từ cỏc mỏy cầm tay cỏ nhõn cho tới cỏc mỏy đặt trờn cỏc phương tiện giao thụng

• Cung cấp dịch vụ số liệu gúi tốc độ cao:

- 2 Mbps trong mụi trường bỡnh thường - 384 Kbps đối với người đi bộ

- 144 Kbps trong cỏc phương tiện giao thụng

Phổ tần sử dụng cho IMT-2000 được ITU quy định trong dải 1885 MHz – 2025 MHz và 2110 MHz – 2200 MHz, như trong hỡnh 3.1.

Thỏng chớn năm 1999, ITU đó chớnh thức cụng nhận cỏc cụng nghệ giao diện vụ tuyến do IMT-2000 đề xuất và chấp nhận chỳng như cỏc chuẩn tương

ứng sau:

• IMT trải phổ trực tiếp (IMT-DS) hay cũn gọi là UTRA • IMT đa súng mang (IMT-MC)

Hỡnh 3.1 Quy định ph tn di động 3G và di động v tinh (MSS) ti mt s

nước

Trong đú, tiờu chuẩn giao diện vụ tuyến quan trọng nhất là Truy nhập vụ tuyến mặt đất toàn cầu (UTRA), là giao diện vụ tuyến cơ sở cho cụng nghệ

CDMA – băng rộng (W-CDMA) và cú thể hoạt động ở hai chế độ: Song cụng phõn chia theo tần số (FDD) và Song cụng phõn chia theo thời gian (TDD). Hiện nay, W-CDMA được cả Viện tiờu chuẩn viễn thụng Chõu Âu (ETSI) và Hiệp hội cụng nghiệp và kinh doanh vụ tuyến (ARIB) hỗ trợ.

Thỏng Mười hai năm 1998, thỏa thuận thành lập Dự ỏn của cỏc đối tỏc thế

hệ Ba (3GPP) được ký kết và Dự ỏn chớnh thức hoạt động. Thỏa thuận hợp tỏc này làm tăng tốc độ tổ chức chuẩn húa, cho phộp kết hợp nhiều tiờu chuẩn viễn thụng khỏc nhau để tạo ra tiờu chuẩn mới cho thụng tin di động thế hệ Ba trờn cơ

Một phần của tài liệu ỨNG DỤNG FPGA TRONG BẢO MẬT VÔ TUYẾN (Trang 59)

(103 trang)