Tập các tính năng qua đó người sử dụng hệ thống có thể biết các đặc điểm an ninh nào đang hoạt động và điều khiển các dịch vụ nào đang được sử dụng đưa ra một tập nhất định các dịch vụ an ninh.
− Tính rõ ràng: Người sử dụng hệ thống thông qua các cơ chế được cung cấp bởi cơ sở hạ tầng UMTS có thể xác định được đặc điểm an ninh nào đang hoạt động tại bất kỳ điểm nào theo thời gian và mức độ an ninh là gì.
Chương 3: Nhận thực và an ninh trong UMTS
− Tính định hình: Người sử dụng thông qua cơ chế được cung cấp bởi cơ sở hạ tầng UMTS có thể yêu cầu tập các dịch vụ an ninh nào phải đang hoạt động trước khi người sử dụng một dịch vụ nhất định. Chẳng hạn, logic này có thể áp dụng cho enable và disable việc sử dụng mã PIN cá nhân với USIM trong máy cầm tay của ai đó hoặc áp dụng cho việc quyết định như việc chấp nhận các cuộc gọi đến mà không được mật mã.
Chia toàn bộ lĩnh vực an ninh thành các miền theo kiểu này có một vài ưu điểm. Thứ nhất, nó xử lý bằng cách chia nhỏ toàn bộ không gian vấn đề thành các miền con rời rạc (hơn nữa, quan tâm nhiều đến độ phức tạp được xử lý như thế nào trong môi quan hệ với các giao thức liên mạng Internet). Ngoài ra, bằng việc tạo ra các modul an ninh với các giao diện được biết rõ để có thể cập nhật hoặc thay thế các thành phần của kiến trúc an ninh mà không phải làm lại toàn bộ việc kinh doanh.
Chú ý: Các từ dưới đây được sử dụng cho các miền anh ninh UMTS trong hình 3.1.
NAS: Network Access Security NDS: Network Domain Security UDS: User Domain Security
ADS: Application Domain Security
Hình 3.1 cung cấp sự minh hoạ về toàn bộ môi trường UMTS với chỉ thị về nơi mà năm miền an ninh định trú trong sự tương tác giữa các phần tử khác nhau của môi trường.
Chương 3: Nhận thực và an ninh trong UMTS
Hình 3.1: Sơ đồ minh hoạ nơi năm miền an ninh UMTS định trú trong các mối quan hệ giữa các thành phần của toàn bộ môi trường mạng UMTS. [Nguồn: S. Putz]
3.4. Nhận thực thuê bao UMTS trong pha nghiên cứu
Như đã chú ý trên đây trong chương này, kiến trúc an ninh UMTS đã xuất phát chủ yếu từ các dự án được tài trợ bởi Cộng đồng Châu âu và vài quốc gia thành viên của nó. Phần này quan tâm đến các giao thức nhận thực thuê bao được phát triển khá sớm trong quá trình phát triển UMTS thông qua dự án ASPeCT (Advanced Security for Personal Communications) theo chương trình ACT.
Dự án ASPeCT đã nghiên cứu nhiều phương pháp nhận thực thuê bao trong UMTS, với các báo cáo ban đầu được đệ trình vào 2-1996. Các báo cáo này có thể được xem như mang tính chất khám phá; nó nhấn mạnh vào việc tiếp nhận các giao thức nhận thực thuê bao đã được đề xuất từ các tổ chức quan tâm và sau đó phân tích các giao thức này áp dụng vào các yêu cầu UMTS. Tháng 2-1996 báo cáo ASPeCT đã mô tả các đề
Chương 3: Nhận thực và an ninh trong UMTS
xuất cho nhận thực thuê bao và tạo khoá phiên trong UMTS được đệ trình bởi Royal Holloway, Siemens và KPN.
Đề xuất của Royal Holloway dựa trên cơ chế yêu cầu-đáp ứng (Challenge- Response) tương tự với cơ chế trong GSM. Giao thức này đưa ra nhận thực tương hỗ giữa trạm di động và trạm gốc mạng và tăng cường an ninh định vị người sử dụng (an ninh định vị người sử dụng được thực hiện bằng cách chỉ sử dụng bộ nhận dạng người sử dụng hiện thời và tránh sự truyền dẫn của bộ nhận dạng vĩnh cửu của thuê bao di động trong clear-text qua đoạn nối vô tuyến). Hai giao thức được đề xuất khác của Siemens và KPN là rất khác nhau trong đó chúng bắt nguồn từ các kỹ thuật khoá công cộng. Các phần dưới đây mô tả phương pháp được đề xuất bởi Siemens.