Mô hình mạng tiến hóa từ 2G/GSM lên 3G/ UMTS HSDPA

Một phần của tài liệu Nghiên cứu kỹ thuật giám sát thuê bao di động 3g (Trang 25 - 31)

CHƯƠNG 1: TỔNG QUAN CHUNG VÀ HẠ TẦNG THÔNG DI ĐỘNG 3G

2. Kiến trúc mạng lõi UMTS

2.2 Mô hình mạng tiến hóa từ 2G/GSM lên 3G/ UMTS HSDPA

Trong quá trình tiến hóa từ 2G/GSM lên 3G/UMTS HSDPA, hầu hết các nhà cung cấp dịch vụ sẽ phải trải qua các giai đoạn khác nhau để thay thế dần từng bước về công nghệ phần mạng truy nhập. Đầu tiên, các Node B/BTS mới sẽ đƣợc triến khai lắp đặt. Phương án này được xem là tối ưu trong giai đoạn đầu, khi các thuê bao 2G vẫn chiếm thế thượng phong trên thị trường di động. Cùng một lúc, các nút này có thể phục vụ cả thuê bao 2G và 3G khi đƣợc cấu hình hoạt động ở chế độ đa chuẩn (chuẩn dành cho 2G và 3G). Thiết bị điều khiển RNC đƣợc đầu tƣ mới ngay từ giai đoạn này. Để đảm bảo đồng bộ, RNC cũng đƣợc cấu hình xử lý ở chế độ đa chuẩn. Các BTS và BSC vẫn được vận hành như bình thường.

Giai đoạn tiếp theo, các Node B độc lập đƣợc đầu tƣ mới nhằm đáp ứng tốt nhất yêu cầu về dịch vụ cho các thuê bao 3G. Thiết bị điều khiển RNC đƣợc cấu

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

hình hoạt động ở chế độ chuẩn 3G. Miền mạng lõi UMTS đƣợc phát triển nâng cấp lên phiên bản Rel.4, Rel.5 hoặc các phiên bản cao hơn phù hợp.

Hình 1.5 Mô hình tiến hóa từ 2G/GSM lên 3G/UMTS HSDPA 2. 3 Cơ chế bảo mật trong 3G

An toàn thông tin là một trong những tính năng đƣợc đặc biệt coi trọng trong hệ thống thông tin di động 3G. Kiến trúc bảo mật của 3G đƣợc kế thừa và phát triển trên cơ sở của 2G. Các nhƣợc điểm trong cơ chế bảo mật thông tin 2G đƣợc loại bỏ, đồng thời các tính năng mới đƣợc thêm vào. Cơ chế bảo mật toàn diện đƣợc áp dụng thống nhất cho tất cả các dịch vụ thoại và dữ liệu.

Trong mạng 3G, hai vấn đề về bảo mật đáng đƣợc quan tâm nhất bao gồm:

toàn vẹn dữ liệu và mật mã hóa. Toàn vẹn dữ liệu là tính năng giúp đảm bảo không một tác nhân bên ngoài nào có thể gửi các bẳn tin báo hiệu không mong muổn với mục đích xấu đến phiên dịch vụ đang diễn ra. Mật mã hóa là tính năng giúp đảm bảo tất cả các bản tin dữ liệu và báo hiệu đƣợc mã hóa trên giao diện vô tuyến nhằm ngăn chặn khả năng nghe lén trong môi trường nàv. Cơ chế bảo vệ toàn vẹn dữ liệu đƣợc thực hiện trên các kênh mang báo hiệu vô tuyến, trong khi cơ chế bảo vệ mật mã hóa đƣợc thực hiện trên cả kênh mang báo hiệu và dữ liệu.

Kiến trúc bảo mật mạng trong 3G chia thành 5 nhóm:

- Bảo mật phần mạng truy nhập (I): Tập các tính năng bảo mật hỗ trợ người sử dụng truy nhập mạng an toàn, đồng thời ngăn chặn các nguy cơ nghe lén trên giao diện vô tuyến.

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

- Bảo mật miền mạng lõi (II): Tập các tính năng bảo mật cho phép các thành phần trong mạng lõi trao đổi thông tin báo hiệu an toàn và bảo vệ chống lại các hoạt động tấn công kết nối trực tiếp.

- Bảo mật miền người sử dụng (III): Tập các tính năng bảo mật cho phép truy cập an toàn tới các thiết bị đầu cuối của người sử dụng.

- Bảo mật miền ứng dụng (IV): Tập các tính năng bảo mật cho phép các ứng dụng phía người dùng và nhà cung cấp dịch vụ nội dung trao đối dữ liệu an toàn.

- Khả năng cấu hình và nhận biết tính năng bảo mật (V): Tập các tính nâng bảo mật cho phép người sử dụng biết được hiện tại cơ chế bảo mật có được sử dụng hay không và khi sử dụng dịch vụ nào đó thì dịch vụ đó phụ thuộc vào yếu tố bảo mật nào.

Các nhóm tính năng bảo mật II, IV phụ thuộc vào việc nhà cung cấp dịch vụ lựa chọn phương thức và cơ chê bảo mật nào. Các tính năng này được xem là trong suốt đối với người sử dụng và là vấn đề nội bộ của nhà cung cấp để đảm bảo an toàn dữ liệu trao đổi trong hạ tầng mạng. Tính năng nhóm III và V phụ thuộc vào thiết bị đầu cuối của người sử dụng. Sau đây, luận văn sẽ chỉ tập trung phân tích tập tính năng bảo mật nhóm I, phần mạng truy nhập vô tuyến, đƣợc xem là dễ bị tấn công nhất.

Bảo mật với người sử dụng:

Các yêu cầu bảo mật đối với người sử dụng bao gồm:

- Bảo mật nhận dạng người sử dụng: là thuộc tính đảm bảo số IMSI của người sử dụng không thể bị nghe lén trên giao diện vô tuyến khi người sử dụng tham gia vào mạng.

- Bảo mật vị trí người sử dụng: là thuộc tính đảm bảo vị trí địa lý của người sử dụng không thế bị nghe lén.

- Bảo mật hoạt động theo dõi người sử dụng: là thuộc tính giúp đảm bảo các dịch vụ của người sử dụng không thể bị theo dõi qua giao diện vô tuyến.

- Để đảm bảo đáp ứng các yêu cầu trên, kiến trúc bảo mật mạng 3G áp dụng các phương pháp sau:

- Người sử dụng được cấp phát một số nhận dạng IMSI tạm thời (TMSI hay P- TMSI) và sử dụng số này để tham gia vào mạng.

- Sau một khoảng thời gian nhất định, số nhận dạng TMSI sẽ đƣợc thay đổi.

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

- Các dữ liệu liên quan đến số nhận dạng TMSI sẽ đƣợc mật mã hóa.

Số TMSI chỉ có giá trị trong một miền định tuyến của mạng truy nhập mà người sử dụng đang cư trú. Thủ tục cấp phát lại số TMSI được thực hiện nhằm cấp phát một cặp tham số TMSI/LAI khi người sử dụng di chuyển sang một vùng định tuyến khác trong mạng.

Trước khi VLR khởi tạo thủ tục này, nó sẽ tạo ra một số TMSI mới và lưu trữ kết hợp TMSI và IMSI vào trong cơ sở dữ liệu. Sau đó, nó sẽ gửi số TMSI này tới cho người sử dụng. Người sử dụng nhận được số TMSI mới sẽ cập nhật thông tin và gửi phản hồi xác nhận lại cho VLR.

Cơ chế sát thực AKA:

Để đảm bảo khả năng xác thực hai chiều giữa người sử dụng và nhà cung cấp dịch vụ, cơ chế xác thực ÁKA đƣợc thực hiện, bao gồm:

- Tác nhân môi trường nhà HE gửi vector xác thực tới SN. Khởi tạo cơ chế xác thực.

- Cơ chế xác thực nội tại sử dụng khóa toàn vẹn đƣợc thực hiện giữa thiết bị đầu cuối người sử dụng và SN.

Hình 1.6 Cơ chế sát thực AKA

Cơ chế xác thực AKA có khả năng xác thực hai chiều nhờ vào việc sử dụng khóa bảo mật K đƣợc chia sẻ duy nhất giữa USIM và AuC. Thêm vào đó, USIM và HE sử dụng bổ sung cặp số SQNMs và SQNHE cho quá trình xác thực.

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

VLR yêu cầu HE/HLR gửi một mảng các vector xác thực AV. HE/HLR gửi thông tin trả lời. Trong mỗi vector xác thực chứa các tham số:

- Số ngẫu nhiên RAND.

- Tham số trả lời XRES.

- Khóa mật mã CK.

- Khóa toàn vẹn IK.

- Thẻ xác thực AUTN.

Khi VLR muốn thực hiện xác thực với UE, VLR sẽ gửi bản tin chứa hai tham số RAND và AUTN về phía UE.

UE tiến hành kiểm tra, nếu AUTN họp lệ, nó sẽ thực hiện tính toán và gửi trả lại VLR bản tin chứa tham số RES. Các tham số CK và IK sinh ra sẽ đƣợc sử dụng để trao đổi dữ liệu về sau giữa UE và SN.

Khi HE/VLR nhận đƣợc bản tin phản hồi chứa thông số RES, nó sẽ so sánh tham số này với tham số XRES trước đó. Nếu giống nhau, quá trình xác thực thành công, HE/VLR sẽ chuyển thông tin CK và IK tới Node B và RNC để phục vụ quá trình trao đổi dữ liệu giữa UE và SN sau đó.

Cơ chế mật mã hóa và bảo vệ tính toàn vẹn dữ liệu:

Việc thỏa thuận về sử dụng khóa bảo mật giữa UE và CN là rất quan trọng, trước khi người sử dụng có thể tham gia vào mạng. Có một cặp khóa riêng CK (cho mỗi miền cs và PS) và một khóa riêng IK đƣợc sử dụng trong các cơ chế bảo mật.

Các khóa này do UE và CN tự tính toán ra dựa trên các tham số trao đối trong quá trình xác thực.

Như đã trình bày ở phần trước, thủ tục xác thực chỉ diễn ra một lần ngay sau thủ tục kết nối báo hiệu. Thủ tục bảo mật đƣợc khởi tạo, các giá trị khóa mới CK và IK đƣợc tạo ra ở cả hai phía UE và CN.

Trong quá trình thiết lập kết nối RRC, UE gửi thông tin về năng lực thiết bị đầu cuối cho CN. Một trong các thông tin này là khả năng bảo mật của UE, tương ứng với các thuật toán mật mã hóa và toàn vẹn dữ liệu mà UE có thế xử lý đƣợc.

Các thông tin này sẽ được RNC lưu trữ để sử dụng cho các lần sau.

Trong quá trình xác thực AKA, CN sẽ quyết định xem cơ chế toàn vẹn dữ liệu ƢIA và cơ chế mã hóa UEA nào sẽ đƣợc sử dụng. Neu các điều kiện tham số về khả năng bảo mật của UE không thỏa mãn, yêu cầu dịch vụ của UE sẽ bị từ chối.

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

Hiện tại, có duy nhất một thuật toán toàn vẹn dữ liệu ƢIA1, hai thuật toán mật mã hóa UEAO và UEAl được sử dụng. UEAO tương ứng với không áp dụng cơ chế mật mã hóa.

Quá trình xác thực AKA chỉ cần thực hiện lần đầu khi UE kết nối vào mạng.

Các yêu cầu dịch vụ sau đó sẽ áp dụng kết quả của quá trình xác thực AKA trước đó nếu vẫn còn họp lệ. Thời gian họp lệ của các khóa bảo mật đƣợc ấn định. Khi một dịch vụ đƣợc kết thúc, giá trị START ở cả hai bên sẽ đƣợc so sánh với giá trị ngƣỡng THRESHOLD. Nếu giá trị START cho một chỉ hoạt động ở chế độ 3G.

Đen giai đoạn này, hạ tầng truy nhập dành cho 2G đi vào thoái trảo, giảm thiểu gần hết các hoạt động phát triến mới, thay vào đó đầu tƣ phát triển các Node B cho truy nhập băng rộng HSDPA. Đồng thời, các thiết bị mạng lõi cũng cần đƣợc bổ sung, nâng cấp để đáp ứng cho các dịch vụ đa phương tiện trong 3G.

Giai đoạn sau, hạ tầng mạng lõi phát triển hoàn chỉnh, đáp ứng hoàn toàn các yêu cầu theo tiêu chuẩn mạng 3G. Thành phần mạng truy nhập đƣợc đầu tƣ hoàn toàn là các Node B cho truy nhập tốc độ cao.

Một phần của tài liệu Nghiên cứu kỹ thuật giám sát thuê bao di động 3g (Trang 25 - 31)

Tải bản đầy đủ (PDF)

(83 trang)