Nhận thực trong môi trường liên mạng vô tuyến pptx

Chương 1: Nhận thực trong môi trường liên mạng vô tuyến Vai trò của nhận thực trong kiến trúc an ninh  Vị trí của nhận thực trong kiến trúc an ninh  Các khái niệm nền tảng của nhận th

Sinh viªn thùc hiÖn: NguyÔn Lª Tr êng

Gi¸o viªn h íng dÉn: TS NguyÔn Ph¹m Anh Dòng ThS Ph¹m ThÞ Thuý HiÒn

KS NguyÔn ViÕt §¶m

 An ninh trong MIP

 An ninh trong cdma2000

 An ninh chuyển mạng và hiện trạng an ninh 2G tại Việt Nam

KÕt luËn v khuy à

KÕt luËn v khuy à ến nghị

Các chương trong đồ án

 Mở đầu

 Chương 1: Tổng quan an ninh di động

 Chương 2: Những ứng dụng của các phương pháp khoá công cộng

 Chương 3: Mô hình an ninh 3G UMTS

 Chương 4: Công nghệ an ninh trong MIP

 Kết luận

Chương 1: Nhận thực trong môi trường liên mạng vô tuyến

 Vai trò của nhận thực trong kiến trúc an ninh

 Vị trí của nhận thực trong kiến trúc an ninh

 Các khái niệm nền tảng của nhận thực

 Mật mã khoá riêng so với mật mã khoá công cộng

 Những thách thức của môi trường liên mạng vô tuyến

Chương 2: Những ứng dụng của các phương pháp khoá công cộng

Giao thức MSR cải tiến (IMSR)

7Giao thức Aziz-Diffie

Chương 3: Nhận thực và an ninh trong UMTS

 Kiến trúc 3G UMTS

 Nguyên lý an ninh UMTS

 Các lĩnh vực an ninh UMTS

 Giao thức khoá công cộng của Siemens cho UMTS

 Nhận thực thuê bao trong UMTS

 Tổng kết về nhận thực trong UMTS

9Kiến trúc 3G UMTS

11Các lĩnh vực an ninh UMTS

Mật mã số liệu

 Mật mã hóa số liệu dựa trên hai giải thuật chính:

thông tin sử dụng chung một khóa chia sẻ quy định

trước

khóa công cộng và khóa riêng

 Phương pháp thứ nhất nhanh nhưng đòi hỏi phải phân phối khóa an toàn

 Phương pháp thứ hai phức tạp, nhưng có thể áp dụng rộng rãi, thường áp dụng để phân phối khóa chia sẻ hoặc cho chữ ký số

 Phân loại các dịch vụ an ninh 3G

Nhận thực trong 3G được chia thành hai phần:

•Nhận thực người sử dụng cho mạng

•Nhận thực mạng cho người sử dụng Các thuộc tính cần bảo mật là:

An ninh di động 3G

Bảo mật trong UMTS đạt được bằng

cỏch mật mó húa cỏc cuộc truyền

thụng giữa thuờ bao và mạng và bằng cỏch sử dụng nhận dạng tạm thời (địa phương) thay cho sử dụng nhận dạng toàn cầu, IMSI Mật mó húa được thực hiện giữa thuờ bao (USIM) và RNC và bảo mật người sử dụng được thực hiện

An ninh di động 3G

Thuộc tớnh cần được bảo vệ toàn

vẹn là:Cỏc bản tin bỏo hiệu

Bảo vệ toàn vẹn để kiểm tra sự

đỳng đắn của bản tin

Phương phỏp để bảo vệ toàn vẹn trong UMTS là tạo

ra cỏc con dấu bổ sung cho cỏc bản tin Cỏc con dấu này cú thể được tạo ra tại cỏc nỳt biết được cỏc

khoỏ đựơc rỳt ra từ một khúa chia sẻ biết trước, K Cỏc khúa này được lưu trong USIM và AuC Bảo vệ tớnh toàn vẹn đặc biệt cần thiết, vỡ mạng phục vụ

thường được khai thỏc bởi một nhà khai thỏc khỏc với nhà khai thỏc của thuờ bao.

An ninh di động 3G

AUC tạo ra AV (Authentication Vector) dựa trên các thông số sau:

• RAND (Random Number)

• AMF (Key Management Field)

RAND Hô lệnh ngẫu nhiên 128

An ninh di động 3G

(Tạo AV tại AUC)

RAND Hụ lờnh ngẫu nhiờn để gửi đến USIM

AUTN Thẻ nhận thực gửi đến USIM để nhận

K Khúa bớ mật chung quy định trước 128

Các thông số đầu vào bộ tạo AV

An ninh di động 3G

(Tạo AV tại AUC)

USIM nhận từ mạng hai thụng số: RAND và AUTN để tạo ra cỏc

thụng số trả lời gồm: (XMAC-A,

RES, CK, IK, SNQ)

An ninh di động 3G

(USIM tạo thông số trả lời)

An ninh di động 3G

(AKA: Authentication and Key Agreement)

1 VLR/SGSN phụ trỏch mỏy di động gửi

"yờu cầu số liệu nhận thực (IMSI)" đến

HLR

2 HLR trả lời bằng "Trả lời số liệu nhận

thực" (AV1, AV2, …., AVn)"

3 VLR/SGSN phỏt "Yờu cầu nhận thực người

sử dụng (RAND)(i)||AUTN(i)" đến USIM

thụng qua RNC, Nỳt B và đầu cuối

4 USIM phỏt "Trả lời nhận thực (RES(i))"

An ninh di động 3G

(AKA: Authentication and Key Agreement)

An ninh di động 3G

(USIM tạo thông số trả lời)

An ninh di động 3G

(Nhận thực toàn vẹn bản tin)

COUNT-I Số trỡnh tự toàn vẹn 32

IK Khúa toàn vẹn 128 FRESH Từ đặc biệt phớa mạng 32 DIRECTION Hoặc 0 (UE ⇒ RNC) hoặc 1 (RNC ⇒ UE) 1 MESSAGE Bản tin bỏo hiệu cựng với nhận dạng

kờnh mang vụ tuyến

Các thông số đầu vào f9

An ninh di động 3G

(Nhận thực toàn vẹn bản tin)

An ninh di động 3G

(Bảo mật bản tin)

DIRECTION Hoặc 0 (UE -> RNC) hoặc 1

Giao thức khoá công cộng của

Siemens cho UMTS

Nhận thực thuê bao trong UMTS

Nhận thực thuê bao trong UMTS

tâm nhận thực

Chương 4: Nhận thực và an ninh trong IP di động (MIP: Mobile IP)

 Tổng quan về MIP

 Môi trường nhận thực và an ninh của MIP

 Giao thức đăng ký Mobile IP cơ sở

 Hệ thống MoIPS (Mobile IP Security)

 Phương pháp lai cho giao thức nhận thực theo giao thức Mobile IP

Tổng quan về MIP

Hệ thống MoIPS

Các phần tử dữ liệu

nó (chú ý rằng điều này sẽ khác với Care of Address trên mạng của FA).

đang tạm trú Trong hầu hết các trường hợp, điều này sẽ tương ứng với địa chỉ IP của FA.

trú.

MH và HA tương ứng.

K

giữa MH và HA Nó không được dùng chung với FA hoặc các phần tử khác của cơ sở

hạ tầng mạng.

bỏ, giải thích cho sự loại bỏ, v.v…)

Hoạt động của giao thức đăng ký

Mobile IP

Mật mã số liệu

 Mật mã hóa số liệu dựa trên hai giải thuật chính:

thông tin sử dụng chung một khóa chia sẻ quy định

trước

khóa công cộng và khóa riêng

 Phương pháp thứ nhất nhanh nhưng đòi hỏi phải phân phối khóa an toàn

 Phương pháp thứ hai phức tạp, nhưng có thể áp dụng rộng rãi, thường áp dụng để phân phối khóa chia sẻ hoặc cho chữ ký số

Các biện pháp cải thiện an ninh

ninh khác cho A3/A8 và cập nhật phần mềm AuC/HLR Điều này sẽ loại bỏ có hiệu quả việc sao bản SIM (đây là tấn công nguy hiểm nhất).

COMP128, COMP128-2, COMP128-3 và GSM-MILENAGE (hay COMP128-4):

đến nguy hiểm sao bản SIM

COMP128, nhưng nó không tạo ra khóa mật mã đầy đủ 64 bit

mã đầy đủ 64 bit

của UMTS MILENAGE

 Mật mã hóa lưu lượng trên mạng đường trục nối các nút mạng của nhà khai thác Giải pháp này sẽ lọai bỏ được các tấn công trích ngang mạng đường trục Giải pháp này không cần sự cộng tác của GSM

Conxooxium, nhưng cần sự cộng tác cuả các nhà sản xuất phần cứng

 Kiểm tra nghiêm ngặt sự va chạm ID trong một MSC

và giữa các MSC đối với các máy cầm tay

 Sử dụng bộ đếm hô lệnh ở SIM

Khuyến nghị

mạng toàn IP, an ninh di động đã trở thành một vấn đề cấp bách

bảo vệ an ninh cho mạng, nhưng do đặc thù vô tuyến nên các biện pháp này chỉ có hạn và chỉ hạn chế ở truyền dẫn

vô tuyến va một phần mạng lõi Vì thế để tăng cường an ninh trên toàn bộ đường truyền cần sử dụng kết hợp các biện pháp an ninh khác như SSL(Secure Sockets Layer), TSL (Transport Layer Security), IPSec.

Khuyến nghị (2)

 Một điểm quan trọng là không phải các nhà khai thác nào cũng triển khai các biện pháp an ninh như thiết kế, vì thế cần phải có quy chế kiểm tra các biện pháp an ninh trong các mạng được triển khai như đã cam kết với khách hàng

 Lỗ hổng an ninh trong mạng thường xẩy ra ở điểm

chuyển đổi giao thức an ninh Vì thể cần có biện pháp đặc biệt để đảm bảo an ninh cho các điểm xung yếu này

 An ninh trong mạng lõi 3G có thể được tăng cường bằng cách sử dụng các cơ chế an ninh dựa trên sử dụng AAA RADIUS cùng với quy định bí mật dung chung và chứng nhận khoá công cộng

 MVPN cùng với các phương pháp truyền tunnel là một giải pháp an ninh toàn bộ và là một dịch vụ đầy hứa hẹn

 Ngay cả có công nghệ an ninh mạnh, an ninh hãng vẫn

không được đảm bảo nếu các người sử dụng hệ thống không tuân thủ các quy định về an ninh Các hãng cần đưa ra các chính sách an ninh Chính sách này bao gồm tất cả các mặt khác nhau của các biện pháp an ninh hãng: bao gồm cả công nghệ, sử dụng và tiết lộ thông tin mật trong xí nghiêp

viết phần mềm cho các giải thuật an ninh 2G, 3G Chỉ có thế Việt nam mới làm chủ đựơc an ninh mạng cho mình Các

hãng khai thác viễn thông di động cần có kế hoạch để hỗ trợ các nhóm này Trước hết các nhóm này có thể viết phần mềm cho các giải thuật A3 và A8 dựa trên một số cải tiến mới nhất cho các giải thuật này

47