Bảo mật trong mạng thông tin di động 3G

Nội dung đề tài gồm 5 chương: Chương 1: Tổng Quan mạng di động 3G UMTS Chương 2: Nhận thực trong môi trường liên mạng vô tuyến Chương 3: Nhận thực và an ninh trong mạng thông tin di động 3G Chương 4: Nhận thực và an ninh trong IP di động (Mobile Internet Protocol) Chương 5: Triển vọng tương lai và xu thế phát triển

Trang 1

Điểm: …… (Bằng chữ: ……….) Ngày tháng năm 2012

Giáo viên phản biện

Trang 2

MỤC LỤC

MỤC LỤC i

DANH MỤC HÌNH VẼ iv

DANH MỤC BẢNG BIỂU v

THUẬT NGỮ VIẾT TẮT 9

LỜI NÓI ĐẦU 1

CHƯƠNG I: TỔNG QUAN MẠNG DI ĐỘNG 3G UMTS 2

1.1 Kiến trúc hệ thống UMTS 2

1.2 Kiến trúc mạng truy nhập vô tuyến UTRAN 5

1.3 Các dịch vụ và ứng dụng UMTS 6

1.3.1 Giới thiệu 6

1.3.2 Các lớp QoS UMTS 7

1.3.2.1 Lớp hội thoại 7

1.3.2.2 Lớp luồng 8

1.3.2.3 Lớp tương tác 8

1.3.2.4 Lớp nền 9

1.4 Kiến trúc mạng 3G UMTS R3 9

Hình 1.4 Kiến trúc mạng 3G UMTS R3 10

Hình 1.6 Kiến trúc đa phương tiện 3G UMTS R5 12

1.7 Kết luận 13

CHƯƠNG II: NHẬN THỰC TRONG MÔI TRƯỜNG LIÊN MẠNG VÔ TUYẾN 14

2.1 Vai trò của nhận thực trong kiến trúc an ninh vô tuyến 14

2.2 Vị trí của nhận thực trong các dịch vụ an ninh 14

2.3 Các khái niệm nền tảng trong nhận thực 15

2.3.1 Trung tâm nhận thực (Authentication Center) 15

2.3.2 Nhận thực thuê bao (Subscriber Authentication) 15

2.3.3 Nhận thực tương hỗ (Mutual Authentication) 15

2.3.4 Giao thức yêu cầu/đáp ứng (Challenge/Response Protocol) 15

2.3.5 Tạo khoá phiên (Session Key Generation) 16

2.4 Mật mã khoá riêng (Private-key) so với khoá công cộng (Public-key) 16

2.5 Những thách thức của môi trường liên mạng vô tuyến 17

2.5.1 Vùng trở ngại 1: Các đoạn nối mạng vô tuyến 17

Trang 3

2.5.2 Vùng trở ngại 2: Tính di động của người sử dụng 18

2.6 Thuật toán khóa công cộng “Light-Weight” cho mạng vô tuyến 19

2.6.1 Thuật toán MSR 19

2.6.2 Mật mã đường cong elíp (ECC: Elliptic Curve Cryptography) 20

2.7 Mật mã khóa công cộng gặp phải vấn đề khó khăn 20

2.7.1 Các phần tử dữ liệu trong giao thức MSN cải tiến 21

Hình 2.1 Biểu đồ minh hoạ hoạt động của thuật toán IMSR 22

2.7.2 Giao tức MSR+DH 23

2.8 Thuật toán Beller, Chang và Yacobi được duyệt lại 23

2.9 Một phương pháp khoá công cộng hỗ trợ nhiều thuật toán mật mã 24

2.9.1 Các phần tử dữ liệu trong giao thức Aziz-Diffie 24

2.9.2 Hoạt động của giao thức Aziz-Diffie 25

Hình 2.2 Sơ đồ minh hoạ chuỗi trao đổi bản tin trong giao thức Aziz-Diffie 26

2.10 Kết luận chương 2 27

CHƯƠNG III: GIẢI PHÁP BẢO MẬT TRONG MẠNG 3G UMTS 28

3.1 Mô hình kiến trúc an ninh 3G UMTS 28

3.1.1 Nhận thực 28

3.1.2 Bảo mật 28

3.1.3 Toàn vẹn 29

3.2 Các hàm mật mã 29

3.2.1 Yêu cầu đối với các giải thuật và các hàm mật mã 29

3.2.2 Các hàm mật mã 29

Bảng 3.1 Các hàm mật mã 30

3.2.2.1 Hàm f8 31

Hình 3.1 Quá trình mật mã hoá và giải mật mã hoá bằng hàm f8 31

3.2.2.2 Hàm f9 32

Hình 3.2 Nhận dạng toàn vẹn bản tin với sử dụng hàm toàn vẹn f9 32

3.2.3 Sử dụng các hàm mật mã để tạo AV trong AuC 33

Hình 3.3 Quá trình tạo các AV trong AuC 34

3.2.4 Sử dụng các hàm mật mã để tạo các thông số an ninh trong USIM 34

Hình 3.4 Quá trình tạo các thông số an ninh trong USIM 34

3.2.5 Sử dụng các hàm để đồng bộ lại tại USIM 35

Hình 3.5 Tạo AUTS trong USIM 35

3.2.6 Sử dụng các hàm để đồng bộ lại tại AuC 36

Trang 4

Hình 3.6 Thủ tục đồng bộ lại trong AuC 36

3.2.7 Thứ tự tạo khóa 37

3.3 Các thông số nhận thực 37

3.3.1 Các thông số của vec-tơ nhận thực (AV) 37

3.3.2 Thẻ nhận thực mạng (AUTN) 37

3.3.3 Trả lời của người sử dụng và giá trị kỳ vọng (RES&XRES) 37

3.3.4 Mã nhận thực bản tin dành cho nhận thực và giá trị kỳ vọng (MAC- A&XMAC-A) 37

3.3.5 Thẻ đồng bộ lại (AUTS) 37

3.3.6 Mã nhận thực bản tin dành cho đồng bộ lại và giá trị kỳ vọng (MAC-S&XMAC-S) 37

3.3.7 Kích cỡ của các thông số nhận thực 38

Bảng 3.2 Kích cỡ các thông số nhận thực 38

3.4 Mô hình an ninh cho giao diện vô tuyến 3G UMTS 38

Hình 3.7 Mô hình an ninh cho giao diện vô tuyến ở 3G UMTS 39

3.4.1 Mạng nhận thực người sử dụng 39

Hình 3.8 Nhận thực người sử dụng tại VLR/SGSN 40

3.4.2 USIM nhận thực mạng 40

Hình 3.9 Nhận thực mạng tại USIM 40

3.4.3 Mật mã hóa UTRAN 40

Hình 3.10 Bộ mật mã luồngkhóa trong UMTS 41

3.4.4 Bảo vệ toàn vẹn báo hiệu RRC 41

Hình 3.11 Nhận thực toàn vẹn bản tin 42

3.5 Nhận thực và thỏa thuận khóa AKA 42

3.5.1 Tổng quan về AKA 42

3.5.2 Các thủ tục AKA 43

Hình 3.12 Tổng quan quá trình nhận thực và thỏa thuận khóa AKA 43

3.6 Thủ tục đồng bộ lại AKA 44

Hình 3.13 Thủ tục đồng bộ lại của AKA 45

3.7An ninh trong 3G UMTS R5 46

3.7.1 An ninh miền mạng NDS 46

3.7.1.1 MAPsec 46

3.7.1.2 IPsec 46

3.7.2 An ninh IMS 47

3.7.2.1 Giao thức khởi tạo phiên SIP 47

Trang 5

3.7.2.2 Kiến trúc an ninh IMS 48

Hình 3.14 Kiến trúc an ninh IMS 49

3.7.2.3 Mô hình an ninh IMS của UMTS R5 49

Hình 3.15 Kiến trúc an ninh IMS của UMTS R5 50

3.7.2.4 Quá trình đăng ký và nhận thực trong IMS 51

Hình 3.16 Đăng ký và nhận thực trong IMS 51

3.8 Kết luận 53

CHƯƠNG IV: NHẬN THỰC VÀ AN NINH TRONG IP DI ĐỘNG 54

(Mobile IP) 54

4.1 Tổng quan về Mobile IP .54

4.1.1 Các thành phần logic của Mobile IP 54

Hình 4.1 Sơ đồ minh hoạ các thành phần then chốt của kiến trúc Mobile IP 55

4.1.2 Mobile IP – Nguy cơ về an ninh 55

4.2 Các phần tử nền tảng môi trường nhận thực và an ninh của Mobile IP 56

4.2.1 An ninh IPSec 56

4.2.2 Sự cung cấp các khoá đăng ký dưới Mobile IP 57

4.3 Giao thức đăng ký Mobile IP cơ sở 58

4.3.1 Các phần tử dữ liệu và thuật toán trong giao thức đăng ký Mobile IP 58

4.3.2 Hoạt động của Giao thức đăng ký Mobile IP 59

Hình 4.2 Sơ đồ phác thảo sự trao đổi các bản tin trong Giao thức đăng ký Mobile IP [Lấy từ Sufatrio và Lam] 60

4.4 Mối quan tâm về an ninh trong Mobile Host - Truyền thông Mobile Host 61

4.5 Phương pháp lai cho nhận thực theo giao thức Mobile IP 62

4.5.1 Các phần tử dữ liệu trong Giao thức nhận thực Sufatrio/Lam 62

4.5.2 Hoạt động của giao thức nhận thực Sufatrio/Lam 63

4.6 Hệ thống MoIPS: Mobile IP với một cơ sở hạ tầng khoá công cộng đầy đủ 65

Hình 4.3 Sơ đồ minh hoạ hoạt động của giao thức Sufatrio/Lam cho nhận thực trong môi trường Mobile IP [Lấy từ Sufatrio và Lam] 65

4.6.1 Tổng quan về hệ thống MoIPS .65

4.6.2 Các đặc tính chính của kiến trúc an ninh MoIPS 67

Hình 4.4 Sơ đồ khối của nguyên mẫu môi trường MoIPS (Lấy từ Zao và et al) 69

4.7 Tổng kết chương 4 69

KẾT LUẬN 70

TÀI LIỆU THAM KHẢO 71

Trang 6

DANH MỤC HÌNH VẼ

MỤC LỤC i

1.3.2.4 Lớp nền 9

1.7 Kết luận 13

Trang 7

3.1.2 Bảo mật 28

3.2.2.1 Hàm f8 31

3.2.2.2 Hàm f9 32

Trang 8

3.7.1.1 MAPsec 46

3.7.1.2 IPsec 46

Trang 9

3.8 Kết luận 53

(Mobile IP) 54

KẾT LUẬN 70

Trang 10

DANH MỤC BẢNG BIỂU

MỤC LỤC i

1.3.2.4 Lớp nền 9

1.7 Kết luận 13

Trang 11

3.1.2 Bảo mật 28

3.2.2.1 Hàm f8 31

3.2.2.2 Hàm f9 32

Trang 12

3.7.1.1 MAPsec 46

3.7.1.2 IPsec 46

Trang 13

3.8 Kết luận 53

(Mobile IP) 54

KẾT LUẬN 70

Trang 14

THUẬT NGỮ VIẾT TẮT

1G The First Generation Hệ thống di động thế hệ một

2G The Second Generation Hệ thống di động thế hệ hai

3G The Third Generation Hệ thống di động thế hệ ba

3GPP Third Generation Partnership

Trang 15

ACL

ADS

Access Control List

Application Domain Security

Danh sách điều khiển truy nhập

An ninh miền ứng dụngAES Advantage Encryption Standard Tiêu chuẩn mật mã hóa tiên tiến

AH Authentication Header Tiêu đề nhận thực

AKA Authentication and Key Agreement Nhận thực và thỏa thuận khóa

AMF Authentication Management Field Trường quản lý nhận thực

AMPS Advanced Mobile Phone System Hệ thống điện thoại tiên tiến

ATM Asynchronous Transfer Mode Phương thức truyền bất đối xứngAuC Authentication Center Trung tâm nhận thực

AUTN Authentication Token Thẻ nhận thực mạng

AV Authentication Vector Vec-tơ nhận thực

B

BICC Bearer Independent Call Control Điều khiển cuộc gọi độc lập kênh

mangBTS Base Transceiver Station Trạm thu phát gốc

C

CA Certificate Authority Thẩm quyền chứng nhận

CRL Certificate Revocation List Danh sách hủy chứng nhận

CSCF Connection State Control Function Chức năng điều khiển trạng thái

kết nối

D

DES Data Encryption Standard Tiêu chuẩn mật mã háo số liệu

E

ECC Elliptic Curve Cryptography Một loại giải thuật mật mã hóaEIR Equipment Identify Register Thanh ghi nhận dạng thuê baoESP Encapsulation Security Payload Tải tin an ninh đóng bao

GPS Global Positioning System Hệ thống định vị toàn cầu

GSM Global System for Mobile

Trang 16

toàn cầuGTP GPRS Tunnel Protocol Giao thức đường hầm GPRS

I-CSCF Interrogating CSCF CSCF hỏi

IDEA International Data Encryption

Algorithm Giải thuật mật mã hóa số liệu quốc tếIETF Internet Engineering Task Force Nhóm đặc trách Internet

IKE Internet Key Exchange Trao đổi khóa Internet

IMEI International Mobile Equipment

Identifier Nhận dạng thuê bao di động quốc tếIMPI IMS Private Identity Nhận dạng riêng IMS

IMPI Internet Multimedia Public

Identifier Nhận dạng công cộng đa phương tiện InternetIMPU IMS Public Identify Nhận dạng công cộng IMS

IMS IP Multimedia CN Subsystem Hệ thống con mạng lõi đa phương

tiện IPIMSI International Mobile Subscriber

Identifier Nhận dạng thuê bao di động quốc tế

IP Internet Protocol Giao thức Internet

ISDN Integrated Sevices Digital Network Mạng số tích hợp đa dịch vụ

ISIM IMS Subscriber Identify Module Mô dun nhận dạng thuê bao IMSISIM Internet Services Multimedia

Identity ModuleITU International Telecommunication

L

Trang 17

MAC Message Authentication Code Mã nhận thực bản tin

MAC-A MAC- Authentication Mã nhận thực bản tin dành cho

nhận thực

MEGACO Media Gateway Controller Bộ điều khiển cổng phương tiệnMGCF Media Gateway Control Function Chức năng điều khiển cổng các

phương tiện

MIP Mobile Internet Procol Giao thức Internet di động

MRF Multimedia Resource Function Chức năng tài nguyên đa phương

NAI Network Access Identify Nhận dạng truy nhập mạng

NAS Network Access Security An ninh truy nhập mạng

NDS Network Domain Security An ninh miền mạng

NMT Nordic Mobile Telephone System Hệ thống điện thoại di động Bắc

Âu

P

PCM Pulse Code Modulation Điều chế xung mã

PDP Packet Data Protocol Giao thức Dứ liệu gói

PIN Personal Identification Number Số nhận dạng cá nhân

PKI Public Key Infrastructure Hạ tầng khóa công khai

PLMN Public Land Mobile Network Mạng di động công cộng mặt đất

PSTN Public Switched Telephone

Network Mạng điện thoại chuyền mạch công cộng

Mạng truy nhập vô tuyến

Số ngẫu nhiên/ hô lệnh ngẫu nhiên

RNC Radio Network Controller Bộ điều khiển mạng vô tuyến

Trang 18

Leonard Adelman Algorithm giả Ron Rivest, Adi Shamir and

Leonard AdelmanRSGW Roaming Signalling Gateway Cổng báo hiệu chuyển mạngRTP Real Time Transport Protocol Giao thức truyền tải thời gian thực

Session Description Protocol

Serving GPRS Support Node

CSCF phục vụGiao thức miêu tả phiênNút bỗ trợ GPRS phục vụSHA Security Hash Algorithm Thuật toán làm rối an ninh

SIP

SMR

Session Initiation Protocol

Special Mobile Radio

Giao thức khởi tạo phiên

Vô tuyến di động đặc biệt

Signaling System No.7 Gateway

Secure Sockets Layer

RNC phục vụCổng hệ thống báo hiệu số 7Lớp các ổ cắm an ninh

gian

TE Terminal Equipment Thiết bị đầu cuối

TLS Transport Layer Security An ninh lớp truyền tải

TMSI Temporary Mobile Subscriber

UDS User Domain Security An ninh miền người sử dụng

UEA UMTS Encryption Algorithm Giải thuật mật mã UMTS

UIA UMTS Integrity Algorithm Giải thuật toàn vẹn UMTS

UMTS Univesal Mobile

Telecommunication System Hệ thống viến thông di động toàn cầuURI Unified Resource Identifier Nhận dạng tài nguyên đồng dạngUSIM UMTS Subscriber Identify Module Môdun nhận dạng thuê bao UMTS

Trang 19

V

Mạng truy nhập vô tuyến mặt đấtUMTS

VLR Visitor Location Register Thanh ghi định vị tạm thờiVoIP Voice over Internet Protocol Thoại trên nền IP

W

WAP Wireless Application Protocol Giao thức ứng dụng vô tuyến

WCDMA Wideband Code Division Multiple

AccessWTLS Wireless Transfer Security Layer

An ninh lớp truyền tải vô tuyến

X XMAC-A Expected-MAC-A

XMAC-I Expected-MAC-I

XRES Expected User Response

Đa truy nhập phân chia theo mã băng rộng

An ninh lớp truyền tải vô tuyến

MAC-A kỳ vọngMac-I Kỳ vọngTrả lời kỳ vọng của người sử dụng

Trang 20

LỜI NÓI ĐẦU

Hiện nay, công nghệ thông tin và viễn thông có sự phát triển vượt bậc với tốc

độ vũ bão Kèm theo đó là sự phá hoại các dữ liệu, thông tin người sử dụng của các hacker khiến cho nhiều người bị thiệt hại về kinh tế, uy tín bị ảnh hưởng nghiêm trọng; Nhiều công ty, doanh nghiệp đi đến phá sản Vấn đề an ninh bảo mật trở nên quan trọng hơn bao giờ hết, và trở thành vấn đề cấp bách đối với các nhà khai thác – cung cấp dịch vụ di động Với mong muốn tìm hiểu về vấn đề an ninh bảo mật và các cách thức chống sự phá hoại trong hệ thống thông tin di động hiện nay nên em đã chọn đề

tài về “Bảo mật trong mạng thông tin di động 3G”.

Nội dung đề tài gồm 5 chương:

Chương 1: Tổng Quan mạng di động 3G UMTS

Chương 2: Nhận thực trong môi trường liên mạng vô tuyến

Chương 3: Nhận thực và an ninh trong mạng thông tin di động 3G

Chương 4: Nhận thực và an ninh trong IP di động (Mobile Internet Protocol) Chương 5: Triển vọng tương lai và xu thế phát triển

Do thời gian nghiên cứu ngắn, tài liệu tham khảo thiếu thốn và trình độ kiến thức có hạn nên không tránh khỏi sai sót, kính mong các thầy cô cùng toàn thể các bạn góp ý sửa chữa

Em xin gửi lời cảm ơn chân thành sâu sắc tới thầy giáo PGT-TS Nguyễn Linh Giang đã nhiệt tình giúp đỡ em hoàn thành đồ án này cùng toàn thể các thầy cô trường Học Viện Công Nghệ Bưu Chính Viễn Thông nói chung và trong khoa Điện Tử Viễn Thông nói riêng đã giảng dạy và dìu dắt đào tạo em được như ngày hôm nay

Hà Nội, ngày 10 tháng 12 năm 2012

Phạm Thanh Tùng

Trang 21

CHƯƠNG I: TỔNG QUAN MẠNG DI ĐỘNG 3G UMTS

1.1 Kiến trúc hệ thống UMTS

Hệ thống thông tin di động thế hệ 3 UMTS tận dụng kiến trúc đã có trong hầu hểt các hệ thống thông tin di động thế hệ 2, và thậm chí cả thế hệ thứ nhất Điều này được chỉ ra trong các đặc tả kỹ thuật 3GPP

có một chức năng xác định Theo tiêu chuẩn, các phần tử mạng được định nghĩa tại mức logic, nhưng có thể lại liên quan đến việc thực thi ở mức vật lý Đặc biệt là khi có một số các giao diện mở (đối với một giao diện được coi là “mở”, thì yêu cầu giao diện đó phải được định nghĩa một cách chi tiết về các thiết bị tại các điểm đầu cuối mà

có thể cung cấp bởi 2 nhà sản xuất khác nhau) Các phần tử mạng có thể được nhóm lại nếu có các chức năng giống nhau, hay dựa vào các mạng con chứa chúng

Theo chức năng thì các phần tử mạng được nhóm thành các nhóm:

+ Mạng truy nhập vô tuyến RAN (Mạng truy nhập vô tuyến mặt đất UMTS là UTRAN) Mạng này thiết lập tất cả các chức năng liên quan đến vô tuyến

+ Mạng lõi (CN): Thực hiện chức năng chuyển mạch và định tuyến cuộc gọi và kết nối dữ liệu đến các mạng ngoài

+ Thiết bị người sử dụng (UE) giao tiếp với người sử dụng và giao diện vô tuyến Kiến trúc hệ thống ở mức cao được chỉ ra trong hình 2-10

Hình 1.1 Kiến trúc hệ thống UMTS ở mức cao

Theo các đặc tả chỉ ra trong quan điểm chuẩn hóa, cả UE và UTRAN đều bao gồm các giao thức hoàn toàn mới, việc thiết kế chúng dựa trên nhu cầu của công nghệ

vô tuyến WCDMA mới Ngược lại, việc định nghĩa mạng lõi (CN) được kế thừa từ GSM Điều này đem lại cho hệ thống có công nghệ truy nhập vô tuyến mới một nền tảng mang tính toàn cầu là công nghệ mạng lõi đã có sẵn, như vậy sẽ thúc đẩy sự quảng bá của nó, mang lại ưu thế cạnh tranh chẳng hạn như khả năng roaming toàn cầu

hoạt động liên kết các mạng con khác và nó phân biệt với nhau bởi số nhận dạng duy nhất Mạng con như vậy gọi là mạng di động mặt đất UMTS (PLMN), các thành phần của PLMN được chỉ ra trong hình 1.2

Trang 22

Hình 1.2 Các thành phần của mạng trong PLMN

Thiết bị người sử dụng (UE) bao gồm 2 phần:

•Thiết bị di động (ME) là đầu cuối vô tuyến sử dụng để giao tiếp vô tuyến qua giao

diện Uu

•Modul nhận dạng thuê bao UMTS (USIM) là một thẻ thông minh đảm nhận việc

xác nhận thuê bao, thực hiện thuật toán nhận thực, và lưu giữ khoá mã mật, khoá nhận thực và một số các thông tin về thuê bao cần thiết tại đầu cuối

UTRAN cũng bao gồm 2 phần tử:

•Nút B: chuyển đổi dữ liệu truyền giữa giao diện Iub và Uu Nó cũng tham gia vào

quản lý tài nguyên vô tuyến

•Bộ điều khiển mạng vô tuyến (RNC) sở hữu và điều khiển nguồn tài nguyên vô

tuyến trong vùng của nó (gồm các Nút B nối với nó) RNC là điểm truy cập dịch

vụ cho tất cả các dịch vụ mà UTRAN cung cấp cho mạng lõi

Các phần tử chính của mạng lõi GSM:

•HLR (Bộ đăng ký thường trú) là một cơ sở dữ liệu trong hệ thống thường trú của

người sử dụng, lưu trữ các bản gốc các thông tin hiện trạng dịch vụ người sử dụng, hiện trạng về dịch vụ bao gồm: thông tin về dịch vụ được phép sử dụng, các vùng roaming bị cấm, thông tin các dịch vụ bổ sung như: trạng thái các cuộc gọi đi, số các cuộc gọi đi… Nó được tạo ra khi người sử dụng mới đăng ký thuê bao với hệ thống, và được lưu khi thuê bao còn thời hạn Với mục đích định tuyến các giao dịch tới UE (các cuộc gọi và các dịch vụ nhắn tin ngắn), HLR còn lưu trữ các thông tin vị trí của UE trong phạm vi MSC/VLR hoặc SGSN

•MSC/VLR (Trung tâm chuyển mạch dịch vụ di động/Bộ đăng ký tạm trú) là một

bộ chuyển mạch(MSC) và cơ sở dữ liệu(VLR) phục vụ cho UE ở vị trí tạm thời của nó cho các dịch vụ chuyển mạch kênh Chức năng MSC được sử dụng để chuyển mạch các giao dịch sử dụng chuyển mạch kênh, chức năng VLR là lưu trữ bản sao về hiện trạng dịch vụ người sử dụng là khách và thông tin chính xác về vị

Trang 23

trí của thuê bao khách trong toàn hệ thống Phần của hệ thống được truy nhập thông qua MSC/VLR thường là chuyển mạch kênh.

•GMSC – (MSC cổng): là một bộ chuyển mạch tại vị trí mà mạng di động mặt đất

công cộng UMTS kết nối với mạng ngoài Tất các kết nối chuyển mạch kênh đến

và đi đều phải qua GMSC

•SGSN (Nút hỗ trợ GPRS phục vụ) có chức năng tương tự như MSC/VLR nhưng

thường được sử dụng cho các dịch vụ chuyển mạch gói

•GGSN (Node cổng hỗ trợ GPRS) có chức năng gần giống GMSC nhưng phục vụ

các dịch vụ chuyển mạch gói

Mạng ngoài có thể chia thành 2 nhóm:

•Các mạng chuyển mạch kênh: Các mạng này cung cấp các kết nối chuyển mạch

kênh, giống như dịch vụ điện thoại đang tồn tại Ví dụ như ISDN và PSTN

•Các mạng chuyển mạch gói: Các mạng này cung cấp các kết nối cho các dịch vụ

dữ liệu gói, chẳng hạn như mạng Internet

Các giao diện mở cơ bản của UMTS:

tuân theo tiêu chuẩn cho các thẻ thông minh

truy cập được với phần cố định của hệ thống, và vì thế có thể là phần giao diện mở quan trọng nhất trong UMTS

•Giao diện Iu: Giao diện này kết nối UTRAN tới mạng lõi Tương tự như các giao diện tương thích trong GSM, là giao diện A (đối với chuyển mạch kênh), và Gb (đối với chuyển mạch gói), giao diện Iu đem lại cho các bộ điều khiển UMTS khả năng xây dựng được UTRAN và CN từ các nhà sản xuất khác nhau

•Giao diện Iur: Giao diện mở Iur hỗ trợ chuyển giao mềm giữa các RNC từ các nhà sản xuất khác nhau, và vì thế bổ sung cho giao diện mở Iu

thoại di động mang tính thương mại đầu tiên mà giao diện giữa bộ điều khiển và trạm gốc được chuẩn hoá như là một giao diện mở hoàn thiện Giống như các giao diện mở khác, Iub thúc đẩy hơn nữa tính cạnh tranh giữa các nhà sản xuất trong lĩnh vực này

Trang 24

1.2 Kiến trúc mạng truy nhập vô tuyến UTRAN.

Kiến trúc UTRAN được mô tả như hình 1.3

Hình 1.3 Kiến trúc UTRAN.

UTRAN bao gồm một hay nhiều phân hệ mạng vô tuyến (RNS) Một RNS là một mạng con trong UTRAN và bao gồm một Bộ điều khiển mạng vô tuyến (RNC) và một hay nhiều Nút B Các RNC có thể được kết nối với nhau thông qua một giao diện Iur Các RNC và Nút B được kết nối với nhau qua giao diện Iub

Các yêu cầu chính để thiết kế kiến trúc, giao thức và chức năng UTRAN:

• Tính hỗ trợ của UTRAN và các chức năng liên quan: Yêu cầu tác động tới thiết

kế của UTRAN là các yêu cầu hỗ trợ chuyển giao mềm (một thiết bị đầu cuối kết nối tới mạng thông qua 2 hay nhiều cell đang hoạt động) và các thuật toán quản lý nguồn tài nguyên vô tuyến đặc biệt của WCDMA

chuyển mạch kênh, với một ngăn xếp giao thức giao diện vô tuyến duy nhất và với việc sử dụng cùng một giao diện cho các kết nối từ UTRA đến miền chuyển mạch gói và chuyển mạch kênh của mạng lõi

UTRA

• Sử dụng kiểu chuyển vận trên cơ sở IP như là cơ cấu chuyển vận thay thế trong UTRAN kể từ Release 5 trở đi

a Bộ điều khiển mạng vô tuyến

Bộ điều khiển mạng vô tuyến (RNC) là phần tử mạng chịu trách nhiệm điểu khiển nguồn tài nguyên vô tuyến của UTRAN Nó giao tiếp với mạng lõi (thường là với một MSC và một SGSN) và cũng là phần tử cuối cùng của giao thức điểu khiển nguồn tài nguyên vô tuyến mà xác định các thông điệp và thủ tục giữa máy di động và UTRAN Về mặt logic, nó tương ứng với BSC trong GSM

Trang 25

*Vai trò logic của RNC.

được coi như là bộ RNC đang điều khiển (CRNC) của Nút Bộ điều khiển CRNC chịu trách nhiệm điều khiển tải và điều khiển nghẽn cho cell của nó, và điều khiển thu nhận

và phân bố mã cho liên kết vô tuyến được thiết lập trong các cell

từ nhiều phân hệ mạng vô tuyến RNS, thì các RNS bao gồm 2 chức năng logic riêng biệt (về phương diện kết nối máy di động - UTRAN này)

định biên giới cả liên kết Iu cho sự vận chuyển dữ liệu người sử dụng và báo hiệu RANAP tương thích qua mạng lõi (kết nối này được gọi là kết nối RANAP) SRNC cũng xác định biên giới của Báo hiệu điều khiển nguồn tài nguyên vô tuyến, nó là giao thức báo hiệu giữa UE và UTRAN Nó thực hiện

xử lý ở lớp 2 cho các dữ liệu chuyển qua giao diện vô tuyến Hoạt động Quản lý nguồn tài nguyên vô tuyến cơ bản, như là ánh xạ các thông số mang thông tin truy nhập vô tuyến thành các thông số kênh chuyển vận giao diện vô tuyến, quyết định chuyển giao , và điều khiển công suất vòng bên ngoài Các hoạt động này được thực thi trong SNRC SRNC cũng có thể là CRNC của một số Nút B sử dụng bởi máy di động cho kết nối với UTRAN Một UE kết nối với UTRAN thì chỉ có duy nhất một SRNC

nó điều khiển các cell sử dụng bởi máy di động Nếu cần thiết, DRNC có thể thực hiện kết hợp hay chia nhỏ phân tập macro DRNC không thực hiện xử lý

dữ liệu người sử dụng ở lớp 2, nhưng định tuyến một cách trong suốt dữ liệu giữa giao diện Iub và Iur, ngoại trừ khi UE đang sử dụng một kênh chuyển vận dùng chung Một UE có thể không có, có một hoặc có nhiều DRNC

Chú ý rằng một RNC ở mức vật lý bao gồm toàn bộ các chức năng CRNC, SRNC và DRNC

b Nút B (Trạm gốc)

Chức năng chính của Nút B là để thực hiện xử lý ở lớp 1 giao diện vô tuyến (ghép xen và mã hoá kênh, thích ứng tốc độ, trải phổ v.v.) Nó cũng thực hiện một số hoạt động Quản lý tài nguyên vô tuyến như là điều khiển công suất vòng bên trong

Về mặt logic nó tương thích với Trạm gốc GSM

1.3 Các dịch vụ và ứng dụng UMTS.

1.3.1 Giới thiệu.

đạt được tốc độ của kết nối chuyển mạch kênh 384kbps, kết nối chuyển mạch gói lên tới 2Mbps Tốc độ bit dữ liệu cao hơn cung cấp các dịch vụ mới như điện thoại hình,

và tải dữ liệu nhanh hơn

Trang 26

So với GSM và các mạng di động đang tồn tại, UMTS cung cấp các đặc tính mới và quan trọng, đó là nó cho phép thoả thuận các đặc tính của một bộ mang vô tuyến Các thuộc tính định nghĩa đặc trưng của chuyển vận bao gồm: thông lượng, trễ truyền, và tỷ số lỗi dữ liệu Là một hệ thống hoàn hảo, UMTS phải hỗ trợ rất nhiều các dịch vụ có các yêu cầu chất lượng dịch vụ (QoS) khác nhau Hiện tại, ta cũng không dự đoán được hết các đặc điểm và cách sử dụng của rất nhiều các dịch vụ đó và cũng khó có thể tối ưu các dịch vụ UMTS thành chỉ một tập hợp các ứng dụng Cho nên các bộ mang UMTS phải có đặc điểm chung, để hỗ trợ các ứng dụng đang tồn tại đồng thời thuận tiện cho việc cho việc phát triển các ứng dụng mới Ngày nay khi mà hầu hết các dịch vụ viễn thông đều là các ứng dụng Internet hoặc N-ISDN, thì rõ ràng các ứng dụng và các dịch vụ này chủ yếu là gọi các thủ tục điều khiển các bộ mang Phần này không nghiên cứu sâu về các bộ mang, mà sẽ đề cập đến các lớp dịch vụ của UMTS.

1.3.2 Các lớp QoS UMTS.

Các ứng dụng và dịch vụ UMTS được chia thành các nhóm khác nhau Giống như các giao thức chuyển mạch gói mới, UMTS cố gắng đáp ứng các yêu cầu QoS từ các ứng dụng hoặc người sử dụng Trong UMTS, có 4 lớp lưu lượng được xác định:

- Lớp hội thoại (conversational)

• Dịch vụ thoại đa tốc độ thích nghi (AMR)

UMTS sử dụng bộ mã hoá và giải mã thoại theo công nghệ đa tốc độ thích nghi AMR Bộ mã hoá thoại AMR có các đặc điểm sau:

- Là một bộ mã hoá/giải mã thoại tích hợp đơn với 8 tốc độ nguồn: 12.2 (GSM-E

- FR), 10.2, 7.95, 7.40(IS-641), 5.90, 5.15 và 4.75 kbps

Trang 27

- Bộ mã hoá AMR hoạt động với khung thoại 20ms tương ứng với 160 mẫu với tần

số lấy mẫu là 8000 mẫu/s Sơ đồ mã hoá cho chế độ mã hoá đa tốc độ được gọi là Bộ

mã hoá dự đoán tuyến tính được kích thích bởi mã đại số (ACELP)

- Tốc độ bit AMR có thể điều khiển bởi mạng truy nhập vô tuyến tuỳ thuộc vào tải trên giao diện vô tuyến và chất lượng của kết nối thoại Khi tải mạng ở mức cao , đặc biệt là trong giờ bận, có thể sử dụng tốc độ bit AMR thấp hơn để yêu cầu dung lượng cao hơn trong khi chất lượng thoại giảm đi rất ít Cũng tương tự , khi MS chạy ra ngoài vùng phủ sóng của cell và đang sử dụng sử dụng công suất phát lớn nhất của

nó, thì sử dụng tốc độ bit AMR thấp hơn để mở rộng vùng phủ của cell Với bộ mã hoá thoại AMR có thể đạt được sự điều hoà giữa dung lượng vùng phủ của mạng và chất lượng của thoại tuỳ theo các yêu cầu của nhà điều hành

• Điện thoại hình

Dịch vụ này có yêu cầu trễ tương tự như dịch vụ thoại Nhưng do đặc điểm của nén video, yêu cầu BER nghiêm ngặt hơn thoại UMTS đã chỉ ra các đặc tính trong ITU-T Rec H.324M sử dụng cho điện thoại hình trong các kết nối chuyển mạch kênh

và giao thức khởi tạo phiên (SIP) để hỗ trợ các ứng dụng đa phương tiện IP bao gồm dịch vụ điện thoại hình

1.3.2.2 Lớp luồng.

Luồng đa phương tiện là một kỹ thuật chuyển dữ liệu nhờ đó dữ liệu được được

xử lý như là một luồng liên tục và đều đặn Nhờ có công nghệ streaming, người sử dụng có thể truy cập nhanh để tải nhanh chóng các file đa phương tiện các trình duyệt

có thể bắt đầu hiển thị dữ liệu trước khi toàn bộ file được truyền hết

Các ứng dụng streaming thường rất không đối xứng, cho nên phải chịu nhiều trễ hơn là các dịch vụ hội thoại đối xứng Điều này có nghĩa là chúng phải chịu nhiều jitter hơn trong truyền dẫn

Các ứng dụng được chia thành 2 phạm vi mục đích khác nhau: Quảng bá web, luồng hình ảnh theo yêu cầu Các nhà cung cấp dịch vụ quảng web thường hướng mục tiêu đến đông đảo khách hàng mà được kết nối với một máy chủ phương tiện truyền được tối ưu hóa hiệu suất thông qua Internet Các dịch vụ luồng video theo yêu cầu thường sử dụng cho các công ty lớn mong muốn lưu trữ các video clip hoặc các bàigiảng vào một máy chủ được kết nối với một mạng intranet nội bộ băng thông cao hơn

Trang 28

1.3.2.4 Lớp nền.

Lưu lượng dữ liệu của các ứng dụng như là Email, dịch vụ nhắn tin ngắn SMS, dịch vụ nhắn tin đa phương tiện MMS (MMS là một sự mở rộng hoàn hảo của SMS) tải về cơ sở dữ liệu, nhận các bản ghi đo đạc có thể sử dụng lớp nền vì các ứng dụng này không đòi hỏi các hành động tức thì Lưu lượng nền có các đặc điểm sau: điểm đích không mong chờ dữ liệu trong một thời gian nhất định, cho nên ít nhiều không nhạy cảm với thời gian phân phát dữ liệu; nội dung các gói không nhất thiết phải chuyển một cách hoàn toàn trong suốt; dữ liệu bên thu không có lỗi

Ngoài ra, trong WCDMA còn có các dịch vụ và ứng dụng dựa vào vị trí: Dịch

vụ định vị dựa vào vùng phủ sóng của cell; sự khác nhau về thời gian đã quan sát; các dịch vụ có hỗ trợ của hệ thống định vị toàn cầu (GPS)

1.4 Kiến trúc mạng 3G UMTS R3

3G UMTS hỗ trợ cả chuyển mạch kênh (CS) lẫn chuyển mạch gói (PS) (tốc độ trong CS: 384Mb/s và 2Mp/s trong PS) Với tốc độ như vậy có thể cung cấp thêm nhiều dịch vụ mới giống như trong điện thoại cố định và Internet cho khách hang Các dịch vụ này bao gồm: điện thoại có hình, âm thanh chất lượng cao và tốc độ truyền dữ liệu tại đầu cuối Một tính năng khác cũng được đưa ra cùng với 3G UMTS là “luôn kết nối Internet”, 3G UMTS cũng cung cấp vị trí tốt hơn và vì thế hỗ trợ tốt hơn các dịch vụ dựa trên vị trí

Trang 29

xa MSC Server.

Báo hiệu điều khiển các cuộc gọi chuyển mạch kênh được thực hiện giữa RNC

và MSC Server Còn đường truyền cho các cuộc gọi chuyển mạch kênh được thực hiện giữa các RNC và MGW Thông thường MGW nhận các cuộc gọi từ RNC và định tuyến các cuộc gọi này đến nơi nhận, trên các đường trục gói Trong nhiều trường hợp đường trục gói sử dụng giao thức truyền tải thời gian thực (RTP) trên giao thức IP Từ hình 1.5 ta thấy lưu lượng số liệu gói từ RNC đi qua SGSN và tới GGSN trên mạng đường trục IP Như vậy, cả số liệu và tiếng đều có thể sử dụng truyền tải IP bên trong mạng lõi Đây là mạng toàn IP

Tại nơi mà cuộc gọi truyền đến một mạng khác (Ví dụ như PSTN) sẽ có một cổng các phương tiện MGW được điều khiển bởi MSC Server cổng (GMSC Server) MGW này

sẽ chuyển tiếng thoại, được đóng gói thành PCM tiêu chuẩn để đưa đến PSTN Vì thế, chuyển đổi mã chỉ cẩn thực hiện tại điểm này.Ví dụ ta giả thiết rằng nếu tiếng ở g iao diện vô tuyến được truyền tải tại tốc độ 12,2Kp/s thì tốc độ này chỉ phải chuyển thành 64Kb/s ở MGW giao diện với PSTN Truyền tài kiểu này cho phép tiết kiệm đáng kể

độ rộng bang tần, nhất là khi MGW đặt cách xa nhau

Trang 30

Hình 1.5 Kiến trúc mạng 3G UMTS R4

Giao thức điều khiển giữa MSC Server hoặc GMSC Server với MGW là giao thức H.248 Giao thức này do ITU và IETF cộng tác phát triển Nó có tên là MEGACO (điều khiển cổng các phương tiện) Giao thức giữa MSC Server với GMSC Server có thể là một giao thức bất kỳ 3GPP đề nghị sử dụng (không bắt buộc) giao thức điều khiển cuộc gọi độc lập kênh mang (BICC)

Trong nhiều trường hợp MSC Server hỗ trợ các chức năng của GMSC Server Ngoài ra, MGW còn có khả năng giao diện với RAN và PSTN Khi đó cuộc gọi đến hoặc từ PSTN có thể chuyển thành nội hạt

HLR ở đây có thể được gọi là Server thuê bao tại nhà (HSS) HSS và HLR có chức năng tương đương nhau, ngoại trừ giao diện với HSS là giao diện trên cơ sở truyền tải gói (Ví dụ như IP) Trong khi HLR sử dụng giao diện SS7 dựa trên cơ sở báo hiệu số 7 Ngoài ra còn có các giao diện (không có trên hình vẽ) giữa SGSN với HLR/HSS và giữa GGSN với HLR/HSS

Có rất nhiều giao diện sử dụng bên trong mạng lõi là các giao thức trên cơ sở gói sử dụng IP hoặc ATM Tuy nhiên, mạng phải giao diện với các mạng truyền thống qua việc sử dụng các cổng phương tiện MGW Ngoài ra mạng cũng phải giao diện với các mạng SS7 tiêu chuẩn Giao diện này được thực hiện thông qua SS7GW Đây là cổng mà ở 1 phía nó hỗ trợ truyền tải bản tin SS7 trên đường truyền tải SS7 tiêu chuẩn, ở phía kia nó truyền tải các bản tin ứng dụng SS7 trên mạng gói (IP chẳng hạn) Các thực thể như MSC Server, GMSC Server và HSS liên lạc với cổng SS7 (SS7GW) bằng cách sử dụng các giao thức truyền tải được thiết kế đặc biệt mang các bản tin SS7

ở mạng IP Bộ giao thức này được gọi là Sintran

1.6 Kiến trúc mạng 3G UMTS R5

Trang 31

Hình 1.6 Kiến trúc đa phương tiện 3G UMTS R5.

Bước phát triển tiếp theo của 3G UMTS là đưa ra kiến trúc mạng đa phương tiện IP (Hình 1.6) trong R5 Bước phát triển này thể hiện sự thay đổi toàn bộ mô hình cuộc gọi ở đây Ở đây cả tiếng và số liệu đều được xử lý giống nhau trên toàn bộ đường truyền từ đầu cuối của người sử dụng đến nơi nhận cuối cùng Có thể nói kiến trúc này là sự hội tụ toàn diện cả tiếng và số liệu

Từ hình vẽ ta thấy, tiếng và số liệu không cần các giao diện cách biệt chỉ có một giao diện I u duy nhất mang tất cả các phương tiện Trong mạng lõi giao diện này kết cuối tại SGSN và không có MGW riêng

Ta cũng thấy có một số phần tử mạng mới như: chức năng điều khiển trạng thái kết nối (CSCF); chức năng tài nguyên đa phương tiện (MRF); chức năng cổng các phương tiện (MGCF); cổng báo hiệu truyền tải (TSGW) và cổng báo hiệu chuyển mạng (RSGW)

Một điểm quan trọng của kiến trúc toàn vẹn IP là thiết bị người sử dụng được tăng cường nhiều, nhiều phần mềm được cài đặt trên UE.Trong thực tế, UE hỗ trợ giao thức khởi tạo phiên (SIP) UE trở thành một tác nhân của người sử dụng SIP Như vậy

UE có khả năng điều khiển các dịch vụ lớn hơn trước rất nhiều

Chức năng điều khiển trạng thái kết nối (CSCF) quản lý việc thiết lập duy trì và giải phóng các phiên đa phương tiện đến và đi từ người sử dụng Nó bao gồm các chức năng như phiên dịch và định tuyến CSCF hoạt động như một Server đại diện

SGSN và GGSN là phiên bản tăng cường của các nút được sử dụng ở GPRS và 3G UMTS R3 và R4 Điểm khác biệt duy nhất là ở chỗ các nút này không chỉ hỗ trợ dịch vụ số liệu gói mà cả dịch vụ chuyển mạch kênh (ví dụ như tiếng chuông điện thoại) Vì thế cần hỗ trợ các khả năng chất lượng dịch vụ (QOS) hoặc bên SGSN và GGSN, hoặc ít nhất là ở các Router kết nối trực tiếp với chúng

được sử dụng để hỗ trợ các tính năng như tổ chức cuộc gọi nhiều phía và dịch vụ hội thoại

Cổng báo hiệu truyền tải (TSGW) là một cổng báo hiệu SS7 để đảm bảo tương tác SS& và các mạng tiêu chuẩn ngoài như PSTN TSGW hỗ trợ các giao thức Sigtran

Cổng báo hiệu chuyển mạng (RSGW) là một nút đảm bảo tương tác báo hiệu với các mạng di động hiện có sử dụng SS7 tiêu chuẩn Trong nhiều trường hợp TSGW

và RSGW cùng tồn tại trên một nền tảng

MGW thực hiện tương tác với các mạng ngoài ở mức đường truyền đa phương tiện MGW ở kiến trúc R5 có chức năng giống như R4, MGW được điều khiển bởi chức năng điều khiển cổng các phương tiện (MGCF) Giao thức điều khiển giữa các thực thể là H.248

MGCF liên lạc với CSCF thông qua giao diện SIP

Trang 32

Cần lưu ý rằng phát hành cấu trúc toàn IP ở R5 là một tăng cường của kiến trúc R3 và R4 Nó đưa thêm một vùng mới trong mạng, đó là vùng đa phương tiện IP (IMS) Vùng mới này cho phép mang cả tiếng và số liệu trên IP, trên toàn tuyến nối đến máy cầm tay Vùng này sử dụng miền chuyển mạcg gói PS cho mục đích truyền tải sử dụng SGSN, GGSN, G n, G i là các giao diện thuộc vùng PS

1.7 Kết luận

Trong chương này chúng ta đã tìm hiểu một cách chung nhất về cấu trúc mạng 3G UMTS, các đặc tính đặc trưng, các loại hình dịch vụ và lưu lượng mà hệ thống 3G UMTS hỗ trợ Đặc biệt ở cuối chương chúng ta đã đi tìm hiểu lần lượt kiến trúc của 3 phiên bản của 3G UMTS R3, R4, R5 Qua đó giúp ta có cái nhìn tổng quan về hệ thống 3G UMTS Từ đó làm cơ sở để đi sâu nghiên cứu các chương tiếp theo

Trang 33

CHƯƠNG II: NHẬN THỰC TRONG MÔI TRƯỜNG

LIÊN MẠNG VÔ TUYẾN

2.1 Vai trò của nhận thực trong kiến trúc an ninh vô tuyến

Trong thế giới an ninh thông tin, nhận thực nghĩa là hành động hoặc quá trình chứng minh rằng một cá thể hoặc một thực thể là ai hoặc chúng là cái gì Sau khi nhận thực, hai thành phần chính (con người, máy tính, dịch vụ) phải được trao quyền để được tin rằng chúng đang liên lạc với nhau mà không phải là liên lạc với những kẻ xâm nhập” Vì vậy, một cơ sở hạ tầng IT hợp nhất muốn nhận thực rằng thực tế người

sử dụng hệ thống cơ sở dữ liệu của nhà cung cấp là giám sát nguồn nhân lực trước khi cho phép quyền truy nhập vào dữ liệu mạng (bằng các phương tiện mật khẩu và thẻ thông minh của người dùng) Hoặc nhà cung cấp hệ thống thông tin tổ ong muốn nhận thực máy điện thoại tổ ong đang truy nhập vào hệ thống vô tuyến của họ để thiết lập rằng các máy cầm tay thuộc về những người sử dụng có tài khoản là mới nhất và là các máy điện thoại không được thông báo là bị đánh cắp

2.2 Vị trí của nhận thực trong các dịch vụ an ninh

Nhận thực là một trong các thành phần thuộc về một tập hợp các dịch vụ cấu

thành nên một phân hệ an ninh trong cơ sở hạ tầng thông tin hoặc tính toán hiện đại Các dịch vụ cụ thể cấu thành nên tập hợp đầy đủ có thể hơi khác phụ thuộc vào mục đích, nội dung thông tin và mức độ quan trọng của hệ thống trung tâm:

Tính tin cậy (Confidentiality): Đảm bảo rằng thông tin trong hệ thống máy

tính và thông tin được truyền đi chỉ có thể truy nhập được để đọc bởi các bên có thẩm quyền.[….]

Nhận thực (Authentication): Đảm bảo rằng khởi nguồn của một bản tin hoặc

văn bản điện tử được nhận dạng chính xác và đảm bảo rằng việc nhận dạng là không

bị lỗi

Tính toàn vẹn (Integrity): Đảm bảo rằng chỉ những bên có thẩm quyền mới có

thể sửa đổi tài nguyên hệ thống máy tính và các thông tin được truyền [….]

Không thoái thác (Non-repudiation): Yêu cầu rằng cả bên nhận lẫn bên gửi

không được từ chối truyền dẫn

Điều khiển truy nhập (Access Control): Yêu cầu rằng truy nhập tới tài

nguyên thông tin có thể được điều khiển bởi hệ thống quan trọng

Tính sẵn sàng (Availability): Yêu cầu rằng tài nguyên hệ thống máy tính khả

dụng đối với các bên có thẩm quyền khi cần thiết

Trang 34

2.3 Các khái niệm nền tảng trong nhận thực

2.3.1 Trung tâm nhận thực (Authentication Center)

Trong các giao thức liên quan đến việc sử dụng các khoá bí mật dành cho nhận thực, các khoá bí mật này phải được lưu trữ bởi nhà cung cấp dịch vụ cùng với thông tin về cá nhân người sử dụng hoặc thuê bao trong một môi trường bảo mật cao Nói riêng trong thế giới điện thoại tổ ong một hệ thống như thế thường được gọi là một Trung tâm nhận thực

2.3.2 Nhận thực thuê bao (Subscriber Authentication)

Nhận thực trong các mạng tổ ong số bao gồm nhận thực thuê bao Điều này nói tới nhận thực người sử dụng dịch vụ điện thoại tổ ong và sẽ xảy ra một cách điển hình khi một người sử dụng thử thiết lập một cuộc gọi, vì vậy sẽ đăng ký một yêu cầu với trạm gốc mạng cho việc cung cấp dịch vụ Nên chú ý rằng “Nhận thực thuê bao” thường nói tới nhận thực tổ hợp điện thoại tổ ong và các thông tin trên thẻ thông minh của tổ hợp đó hơn là đối với việc nhận thực người sử dụng thực sự là con người (mặc

dù việc nhận thực này dĩ nhiên là mục tiêu cuối cùng)

2.3.3 Nhận thực tương hỗ (Mutual Authentication)

Hầu hết các giao thức nhận thực liên quan đến hai “thành phần chính (principals)” và có thể có các bên thứ ba tin cậy Trong nhận thực tương hỗ, cả hai principal được nhận thực lẫn nhau Một chú ý quan trọng là nhận thực không cần phải tương hỗ, có thể chỉ là một chiều Chẳng hạn khi thảo luận nhận thực trong các mạng điện thoại tổ ong thế hệ thứ ba, chúng ta sẽ gặp phải các trường hợp trong đó mạng nhận thực máy điện thoại tổ ong đang tìm sử dụng các dịch vụ của nó nhưng trạm gốc của mạng không được nhận thực tới máy điện thoại này

2.3.4 Giao thức yêu cầu/đáp ứng (Challenge/Response Protocol)

Một số các giao thức được tìm hiểu trong đồ án này sử dụng cơ chế

Challenge/Response như là cơ sở cho nhận thực Theo cơ chế Challenge/Response, bên thứ nhất (first principal) đang muốn để thực hiện nhận thực trên principal thứ hai bằng cách principal thứ nhất sẽ tạo ra một số ngẫu nhiên và gửi nó đến principal thứ hai Trong nhiều giao thức, số ngẫu nhiên này được truyền ngay lập tức tới Trung tâm nhận thực Principal thứ hai tổ hợp số nhẫu nhiên này với khoá bí mật của nó theo một thuật toán được thoả thuận chung Chuỗi bit kết quả cuối cùng được xác định bởi tổ hợp Challenge ngẫu nhiên với khoá bí mật của principal thứ hai rồi truyền trở lại principal thứ nhất Trong khi đó, Trung tâm nhận thực -hoặc các phía thứ ba tin cậy tương tự - mà có quyền truy nhập tới khoá bí mật của các principal, thực hiện cùng các tính toán và chuyển kết quả trở lại principal thứ nhất Principal thứ nhất so sánh hai giá trị và nếu chúng bằng nhau thì nhận thực principal thứ hai Chú ý rằng cơ chế

Trang 35

Challenge/Response không yêu cầu principal thứ nhất biết khoá bí mật của principal thứ hai hoặc ngược lại

2.3.5 Tạo khoá phiên (Session Key Generation)

Mặc dù việc tạo một khoá phiên không cần thiết là một phần của nhận thực

thuê bao theo nghĩa hẹp nhất, thường nó xảy ra trong cùng quá trình Một khoá phiên

là một khoá số được sử dụng trong quá trình mật mã các bản tin được trao đổi trong một phiên thông tin đơn giữa hai principal Vì vậy khoá phiên được phân biệt với khoá công cộng hoặc khoá riêng của người sử dụng hệ thống, những khoá điển hình có thời gian tồn tại dài hơn Các hệ thống thông tin thường tạo ra khoá phiên với các thuật toán chạy song song với thuật toán thực hiện giao thức Challenge/Response (xem ở trên) và với những thuật toán có cùng đầu vào

2.4 Mật mã khoá riêng (Private-key) so với khoá công cộng (Public-key)

Nói chung, với mật mã khoá riêng (cũng được gọi là mật mã khoá đối xứng) hai bên đang muốn trao đổi các bản tin mật dùng chung khoá bí mật “secret key” (thường

là một chuỗi bit ngẫu nhiên có độ dài được thoả thuận trước) Những khoá này là đối xứng về chức năng theo nghĩa là principal A có thể sử dụng khoá bí mật và một thuật toán mật mã để tạo ra văn bản mật mã (một bản tin được mã hoá) từ văn bản thuần tuý (bản tin ban đầu) Dựa trên việc nhận bản tin được mật mã này, principal B tháo gỡ quá trình này bằng cách sử dụng cùng khoá bí mật cho đầu vào của thuật toán nhưng lần này thực hiện ngược lại – theo mode giải mật mã Kết quả của phép toán này là bản tin văn bản thuần tuý ban đầu (“bản tin” ở đây nên được hiểu theo nghĩa rộng – nó

có thể không phải là văn bản đọc được mà là các chuỗi bit trong một cuộc hội thoại được mã hoá số hoặc các byte của một file hình ảnh số) Những ví dụ phổ biến của hệ thống mật mã khoá riêng đối xứng gồm DES (Data Encryption Standard: Chuẩn mật

mã số liệu) IDEA (International Data Encryption Algorithm: Thuật toán mật mã số liệu quốc tế) và RC5

Với công nghệ mật mã khoá công cộng, không có khoá bí mật được dùng chung Mỗi principal muốn có thể trao đổi các bản tin mật với các principal kia sở hữu khoá bí mật riêng của chúng Khoá này không được chia sẻ với các principal khác Ngoài ra, mỗi principal làm cho “public key” trở nên công cộng (không cần phải che giấu khoá này - thực tế, hoạt động của hệ thống mật mã khoá công cộng yêu cầu những principal khác có thể dễ dàng truy nhập thông tin này) Mật mã khoá công cộng

sử dụng thuật toán mật mã bất đối xứng Nghĩa là khi principal A tìm cách để gửi một bản tin an toàn tới principal B, A mật mã bản tin văn bản thuần tuý bằng cách sử dụng khoá công cộng và bản tin ban đầu của B là đầu vào cho thuật toán Điều này không yêu cầu B có những hành động đặc biệt trong đó khoá công cộng của B luôn khả dụng cho A Principal A sau đó truyền bản tin tới principal B Thuật toán mật mã khoá công cộng hoạt động theo cách thức là bản tin được mật mã với khoá công cộng của B chỉ

Trang 36

có thể được giải mật mã với khoá riêng của B Khi B không chia sẻ khoá riêng này với

ai thì chỉ có B có thể giải mật mã bản tin này

2.5 Những thách thức của môi trường liên mạng vô tuyến

Các mạng vô tuyến mở rộng phạm vi và độ mềm dẻo trong thông tin và tính toán một cách mạnh mẽ Tuy nhiên, môi trường liên mạng vô tuyến vốn dĩ là môi trường động, kém mạnh mẽ hơn và bỏ ngỏ hơn cho sự xâm nhập và gian lận so với cơ

sở hạ tầng mặt đất cố định Những nhân tố này đặt ra những vấn đề cho nhận thực và

an ninh trong môi trường liên mạng vô tuyến Chúng đặt ra những thách thức mà những người thiết kế hệ thống và kiến trúc an ninh phải vượt qua

Thông tin vô tuyến mang đến điều kiện trở ngại mạng, truy nhập đến các nguồn tài nguyên xa thường không ổn định và đôi khi hiện thời không có sẵn Tính di động gây ra tính động hơn của thông tin Tính di động đòi hỏi các nguồn tài nguyên hữu hạn phải sẵn có để xử lý môi trường tính toán di động Trở ngại cho những người thiết kế tính toán di động là cách để tương thích với những thiết kế hệ thống đã hoạt động tốt cho hệ thống tính toán truyền thống

Nên chú ý rằng trong lĩnh vực an ninh, “việc thiết kế đã hoạt động tốt cho tính toán truyền thống” chính chúng đang trong trạng thái thay đổi liên tục cộng thêm với

độ bất định bổ sung tới sự cân bằng này

2.5.1 Vùng trở ngại 1: Các đoạn nối mạng vô tuyến

Theo định nghĩa, các mạng vô tuyến phụ thuôc vào các đoạn nối thông tin vô tuyến, điển hình là sử dụng các tín hiệu sóng vô tuyến (radio) để thực hiện truyền dẫn thông tin ít nhất là qua một phần đáng kể cơ sở hạ tầng của chúng Dĩ nhiên, sức mạnh

to lớn của công nghệ thông tin vô tuyến là nó có thể hỗ trợ việc truyền thông đang diễn

ra với một thiết bị di động Tuy nhiên về nhiều phương diện, việc sử dụng các đoạn nối vô tuyến trong một mạng đặt ra nhiều vấn đề so với mạng chỉ sử dụng dây đồng, cáp sợi quang hoặc tổ hợp các cơ sở hạ tầng cố định như thế

Băng tần thấp: Tốc độ tại đó mạng vô tuyến hoạt động đang tăng khi công

nghệ được cải thiện Tuy nhiên, nói chung các đoạn nối vô tuyến hỗ trợ truyền số liệu thấp hơn vài lần về độ lớn so với mạng cố định Ví dụ, mạng điện thoại tổ ong thế hệ thứ hai truyền dữ liệu trên kênh tại tốc độ xấp xỉ 10Kbits/s Tốc độ này sẽ tăng lên hơn 350Kbits/s một chút khi đề cập đến các mạng tổ ong thế hệ thứ ba Hiện thời, các hệ thống LAN không dây sử dụng chuẩn 802.11b có thể đạt tốc độ lên tới 11Mbits/s Tuy nhiên nên chú ý rằng tốc độ này là cho toàn bộ mạng, không phải cho kênh thông tin đối với một máy đơn lẻ, và chỉ hoạt động trong một vùng nhỏ, ví dụ như một tầng của một toà nhà Trong mạng hữu tuyến, Fast Ethernet, hoạt động ở tốc độ 100Mbits/s đang trở thành một chuẩn trong các mạng ở các toà nhà, trong khi các kênh đường trục Internet cự ly dài hoạt động tại tốc độ nhiều Gigabits/s

Trang 37

Suy hao số liệu thường xuyên: So với mạng hữu tuyến, dữ liệu số thường

xuyên bị suy hao hoặc sai hỏng khi truyền qua đoạn nối vô tuyến Các giao thức liên mạng sử dụng các cơ chế để kiểm tra tính toàn vẹn số liệu có thể nhận dạng những tình huống này và yêu cầu thông tin được truyền, mà tác động sẽ là tổ hợp hiệu ứng của băng tân thấp Ngoài việc làm chậm tốc độ tại đó thông tin được truyền chính xác, suy hao dữ liệu có thể tăng tính thay đổi của thời gian được yêu cầu để truyền một cấu trúc

dữ liệu cho trước hoặc để kết thúc chuyển giao

“Tính mở” của sóng không gian: Các mạng hữu tuyến dù được tạo thành từ

dây đồng hay cáp sợi quang đều có thể bị rẽ nhánh Tuy nhiên, điều này có khuynh hướng là một thủ tục gây trở ngại về mặt kỹ thuật và việc xâm nhập có thể thường xuyên được phát hiện bằng các thiết bị giám sát mạng Ngược lại, khi mạng vô tuyến gửi số liệu qua khí quyển bằng cách sử dụng các tín hiệu sóng vô tuyến (radio) thì bất

kỳ ai có thể nghe được thậm chí chỉ bằng cách sử dụng thiết bị không đắt tiền Những

sự xâm nhập như thế là tiêu cực và khó phát hiện Trường hợp này đặt ra một sự đe doạ cơ bản về an ninh cho mạng vô tuyến Như chúng ta sẽ thấy trong những chương sau, những người thiết kế hệ thống tổ ong thế hệ thứ hai đã giải quyết những nguy cơ

rõ ràng nhất được đặt ra khi con người đơn giản truyền dữ liệu thoại hoặc dữ liệu nhạy cảm qua đoạn nối vô tuyến bằng cách sử dụng kỹ thuật mật mã

2.5.2 Vùng trở ngại 2: Tính di động của người sử dụng

Như đã đề cập, tiến bộ vượt bậc của công nghệ liên mạng vô tuyến là người sử dụng có thể di chuyển trong khi vẫn duy trì được liên lạc với mạng Tuy nhiên, những đặc điểm này của liên mạng vô tuyến làm yếu đi và loại bỏ một vài phỏng đoán cơ bản

mà giúp đảm bảo an ninh trong mạng hữu tuyến Ví dụ, các mạng hữu tuyến điển hình trong văn phòng, một máy tính để bàn của người sử dụng sẽ luôn được kết nối đến cùng cổng trên cùng Hub mạng (hoặc một phần tương đương của thiết bị kết nối mạng) Hơn nữa, tập hợp các máy tính, máy in, và các thiết bị mạng khác được kết nối với mạng tại bất kì điểm nào theo thời gian được nhà quản trị hệ thống biết và dưới sự điều khiển của nhà quản trị này

Trong môi trường liên mạng vô tuyến, những phỏng đoán cơ bản này không còn được áp dụng Người sử dụng không phải là nhà quản trị hệ thống xác định “cổng (port)” mạng nào và thậm chí mạng nào họ kết nối tới với thiết bị di động của họ Tương tự, một tập các thiết bị kết nối với mạng vô tuyến tại bất kì điểm nào theo thời gian sẽ phụ thuộc vào sự di chuyển và hành động của cá nhân người sử dụng, và ngoài

sự điều khiển của người vận hành mạng

Ngắt kết nối và tái kết nối: người sử dụng mạng thông tin vô tuyến thường

xuyên có nguy cơ bị ngắt kết nối đột ngột từ mạng Điều này có thể xảy ra vì nhiều lý do: do người sử dụng di chuyển thiết bị di động ngoài vùng phủ sóng của trạm gốc mà chúng đang liên lạc với nó; do sự di chuyển của người sử dụng gây ra chướng ngại vật

lý Cũng vậy, trong khi vận hành mạng thông tin tổ ong, vì người sử dụng di chuyển từ vùng phủ sóng của trạm gốc này đến vùng khác nên mạng phải truyền sự điều khiển

Trang 38

của phiên truyền thông với một “hand-off” (chuyển giao), gây trễ và có thể bị ngắt kết nối.

Kết nối mạng hỗn tạp: Trong mạng hữu tuyến điển hình, một máy tính được

kết nối cố định với cùng mạng nhà Đặc tính của mạng này là số lượng biết trước trong khi sự thay đổi - tức là một hệ thống nâng cấp cho file server hoặc firewall có thể được hoạch định và giám sát một cách cẩn thận Tuy nhiên, trong mạng vô tuyến, một trạm di động ví dụ như một máy điện thoại tổ ong hoặc PDA là được chuyển vùng thường xuyên giữa các mạng host khác nhau Đặc tính của các mạng này và cách mà chúng tương tác với mạng nhà của người sử dụng có thể thay đổi đáng kể

Cư trú địa chỉ: Trong mạng hữu tuyến thông thường, máy tính và các thiết bị

khác được kết nối với cùng một mạng và gắn cùng địa chỉ mạng (địa chỉ IP trong thế giới Internet) trong một thời gian dài Nếu thiết bị được di chuyển giữa các mạng, nhà quản trị mạng co thể cập nhật địa chỉ mạng Trong môi trường liên mạng vô tuyến, các địa chỉ mạng - hoặc ít nhất mạng mà chúng liên quan - phải được quản lý trong những nguy cơ về an ninh và độ phức tạp nhiều hơn nhiều

Thông tin phụ thuộc vị trí: Tình huống nói đến thông tin vị trí là song song

với tình huống trong trường hợp cư trú địa chỉ Trong mạng hữu tuyến, vị trí của các thiết bị tính toán tương đối tĩnh và được người quản trị biết trước Trong môi trường

vô tuyến, vị trí của các thiết bị truyền thông và tính toán thay đổi thường xuyên Cơ sở

hạ tầng liên mạng vô tuyến không chỉ phải bám và trả lời những sự thay đổi vị trí này

để cung cấp dịch vụ cho người sử dụng mà nó còn phải cung cấp sự phân phối an toàn

để bảo vệ thông tin vị trí Trong môi trường vô tuyến, bảo vệ tính bảo mật của người

sử dụng dĩ nhiên gồm: bảo vệ nội dung bản tin và cuộc hội thoại chống lại sự xâm nhập, ngoài ra yêu cầu hệ thống giữ tính riêng tư vị trí người sử dụng hệ thống

2.6 Thuật toán khóa công cộng “Light-Weight” cho mạng vô tuyến

quyền truy nhập đến các giá trị của p và q, thực hiện giải pháp bị cản trở do sự khó khăn của thừa số N – không có thuật toán độ phức tạp đa thức

Trang 39

MSR trợ giúp mật mã khóa riêng/khóa công cộng và chế độ truyền bản tin, ngoài ra MSR có một ưu điểm lớn thứ hai khi nó được sử dụng cho môi trường vô tuyến Việc tải thuật toán có sử dụng máy điện toán là bất đối xứng Tính modul bình phương cần cho mật mã yêu cầu ít tính toán hơn nhiều (chỉ một phép nhân modul) so với lấy modul căn bậc 2 để trở lại văn bản thường (điều này yêu cầu phép tính số mũ)

Vì vậy, nếu chức năng mã hóa có thể được đặt trên trạm di động, và chức năng giải mật mã trên trạm gốc, một cách lý tưởng MSR đáp ứng những hạn chế được đặt ra bởi máy điện thoại có bộ xử lý chậm và dự trữ nguồn giới hạn

2.6.2 Mật mã đường cong elíp (ECC: Elliptic Curve Cryptography)

ECC sử dụng các khóa 160 bít đưa ra xấp xỉ cùng mức bảo mật như RSA có khóa 1024 bít và ECC thậm chí có khóa 139 bít cũng cung cấp được mức bảo mật này

Sử dụng hai biến thể của phương pháp ECC cơ bản, EC-EKE (Elliptic Curve Encrypted Key Exchange: Trao đổi khóa mật mã đường cong elíp) và SPECKE (Simple Password Elliptic Curve Key Exchange: Trao đổi khóa đường cong mật khẩu đơn giản) Cả hai biến thể đều yêu cầu các Principal đang liên lạc thỏa thuận một password, định nghĩa toán học của một đường cong elip cụ thể, và một điểm trên đường cong này, trước khi thiết lập một phiên truyền thông (mặc dù không được nghiên cứu trong phần này, một trung tâm nhận thực có thể cung cấp các thông tin cần thiết cho các Principal như một sự trao đổi nhận thực)

Khi thực hiện thử một thủ tục nhận thực cho các môi trường vô tuyến sử dụng ECDSA (Elliptic Curve Digital Signature Algorithm: Thuật toán chữ ký số đường cong elíp), Aydos, Yanik và Koc đã sử dụng các máy RISC 80MHz ARM7TDMI như

là bộ xử lý mục tiêu (ARM7TDMI được sử dụng trong các ứng dụng số trong các sản phẩm di động được thiết kế để liên lạc thông qua mạng vô tuyến) Bằng cách sử dụng khóa ECC độ dài 160 bit, việc tạo chữ ký ECDSA yêu cầu 46,4 ms, đối với 92,4 ms cho sự xác minh chữ ký Với một độ dài khóa 256 bít phải mất tới 153,5 ms cho việc tạo chữ ký và 313,4 ms cho việc xác minh Cách tiếp cận ECDSA dựa trên ECC tới việc xác minh thuê bao là một sự lựa chọn thực tế cho môi trường vô tuyến

2.7 Mật mã khóa công cộng gặp phải vấn đề khó khăn

Các cách tiếp cận cho nhận thực và mật mã dữ liệu trong các ứng dụng mạng vô tuyến dựa trên mật mã khóa công cộng Phương pháp đầu tiên được gọi là Giải pháp khóa công cộng MSR tối thiểu sử dụng phương pháp MSR và chính quyền trung ương tin cậy lưu giữ một modulus N và các thừa số cấu thành p và q Khi các thuê bao bắt đầu các hợp đồng dịch vụ của chúng, một chứng nhận bí mật được đưa vào trong tổ hợp điện thoại mà tổ hợp này cũng sử dụng modul N Giải pháp khóa công cộng MSN tối thiểu có sự yếu kém rằng người mạo nhận cổng trạm gốc nếu thành công sau đó có thể mạo nhận người sử dụng Giao thức thứ hai trong ba giao thức này, giao thức MSR cải tiến (IMSR) giải quyết điểm yếu kém này bằng cách thêm việc nhận thực mạng tới

Trang 40

trạm di động Cuối cùng, giao thức thứ 3 – Giao thức MSR+DH bổ sung sự trao đổi khóa Diffie-Hellman vào phương pháp Modul căn bậc 2 cơ sở

Một số chú ý sau đó được cung cấp về cách mà giao thức MSR+DH bổ sung vào khả năng của IMSR, cùng với một lời chú thích về sự quan trọng của giao thức của Beller, Chang, và Yacobi

2.7.1 Các phần tử dữ liệu trong giao thức MSN cải tiến

Trong giao thức IMSR, cả Trạm gốc mạng phục vụ (SNBS: Serving Network Base Station) lẫn Chính quyền chứng nhận (CA: Certification Authority) giữ các khóa công cộng được mô tả khi thảo luận về MSR, biểu diễn tích của hai số nguyên tố lớn p

và q, cái mà tạo thành các khóa riêng Mỗi trạm gốc mạng giữ một chứng chỉ, nhận được từ Chính quyền chứng nhận, áp dụng hàm băm h cho ID mạng của trạm gốc mạng và cho khóa công cộng của nó Beller, Chang và Yacobi sử dụng thuật ngữ

“Thiết bị điều khiển vô tuyến (RCE: Radio Control Equipment)” để xác định thực thể chức năng điều khiển các cổng truyền thông trên mạng vô tuyến

Các phần tử và chức năng dữ liệu then chốt trong giao thức IMSR bao gồm:

1.IDBS (Base Station Identifier): Bộ nhận dạng duy nhất của trạm gốc mạng vô

tuyến (trong ngữ cảnh này là một trạm gốc trong mạng phục vụ hoặc mạng khách)

2.IDMS (Mobile Station Identifier): Bộ nhận dạng duy nhất trạm di động Điều

này tương ứng với IMSI (International Mobile Subscriber Identity : Nhận dạng thuê bao di động quốc tế) trong giao thức nhận thực GSM

3.NBS (Public Key of Base Station): NBS, khóa công cộng của trạm gốc là tích của 2 số nguyên tố lớn, pBS và qBS, chỉ trạm gốc của mạng và Chính quyền chứng nhận (CA) biết

4.NCA (Public Key of CA): NCA, khóa công cộng của CA tương tự là tích của 2 số nguyên tố lớn, pCA và qCA, chỉ CA được biết

5.Ks (Session Key): Một khóa phiên cho mật mã dữ liệu đến sau trong phiên

truyền thông, được đàm phán trong giao thức nhận thực

6.RANDX (Random Number): Một số ngẫu nhiên được chọn bởi trạm di động

trong khi xác định Ks

7.h (Hash Function): h là hàm băm một chiều, tất cả các Principal đều biết, hàm

này giảm các đối số đầu vào tới cỡ của các modulus (nghĩa là cùng độ dài như NBS

và NCA)

8.Trạm gốc kiểm tra tính hợp lệ của chứng nhận bằng cách bình phương giá trị chứng nhận modul NCA, và so sánh nó với giá trị của h (IDBS, NBS) (được tính toán một cách độc lập) Nếu các giá trị trùng khớp với nhau thì trạm di động thông qua, nếu khác nó hủy bỏ phiên truyền thông

Tiêu đề	Bảo mật trong mạng thông tin di động 3G
Trường học	Trường Đại Học Công Nghệ Thông Tin
Chuyên ngành	Mạng Thông Tin Di Động
Thể loại	Đề án tốt nghiệp
Năm xuất bản	2012
Thành phố	Hà Nội

Định dạng
Số trang	90
Dung lượng	2,94 MB