MO DAU Thông tin đi đông ngày nay đã trở thành một nghành công nghiệp phát triển vô củng mạnh mẽ .Các thẻ hệ của mạng đi động, *hông ngững phát tiễn nhằm cung cấp cho người sifa dụng cá
Trang 1HQC VIEN CONG NGHE BUU CHINH VIEN THONG
ớ
PHẠM VĂN CHIẾN
AN NINH TRONG THONG TIN DI DONG MANG
THE HE MOILTE VA WiMAX
CHUYEN NGANH: KY THUAT VIEN THONG
MA SO: 60.52.02.08
TOM TAT LUAN VAN THAC SI
HÀ NỘI - 2014
Trang 2HỌC VIÊN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG
Người hưởng dẫn khoa học:
TS NGUYÊN PHẠM ASH DŨNG
hân biện 2:
Luận văn sẽ được bảo vệ trước Hội đông chấm luận văn thạc sĩ
tại Tiọc viện Công nghệ Pu chỉnh Viễn thông,
Vào lúc: giê ngấy tháng năm
Gõ thể tìm hiển lnận văn tại:
- Thư viện của Học viện Công nghệ Bưu chỉnh Viễn thông
Trang 3MO DAU
Thông tin đi đông ngày nay đã trở thành một nghành công nghiệp phát triển vô củng mạnh mẽ Các thẻ hệ của mạng đi động,
*hông ngững phát tiễn nhằm cung cấp cho người sifa dụng các địch
vụ thoại, truyền số liệu và đặc biệt là các dịch vụ băng rộng ở mọi Túc mẹi nơi
Khi thuê bao đí động thục hiện các địch vụ băng rộng vẫn để mat an Loàn thông tin cần được quan lâm, Lhông, qua các cơ chế xỉ thực, mã khóa để đảm bảo cho người dùng là vấn đề cáu thiết phải thực hiện, việc sửa dung ngày càng nhiều các giao diện và các giao thức mới tạo cơ hội cho việc sửa đụng mạng với muc đích xảu Các tấn công nảy có thể làm mất khã năng hoạt động cúa mạng, làm mật tỉnh toàn vẹn cũng whư tính bảo mật của các địch vụ mạng Cẩn hải có các biện pháp an nính để bão vệ mạng viễn thông khỏi các tất công này
Các nhà cung cấp dịch vụ đi động băng rông đang phải đối Tặt với các rửi do của mạng công cộng như các tốt công an ninh, cac de doa virus, các yếu điểm phân mềm Các nguy hiếm này cô thể ánh hướng đến hạ tẳng, cung cấp địch vụ của các nhà cưng cấp địch vụ và trải nghiệm cúa khách hàng Cần phải có các biện pháp
an ninh hữu hiệu đễ giảm thiểu các hủy hoại địch vụ tránh thất thoát lợi nhuận và đuy trỉ mức độ thẻa mãn cao của khách hàng gảy nay các nhà nghiên cửu phát triển các hệ thông thông tỉn di đông nói riêng cũng như các hệ thẳng viễn thông nói chung đã đưa
Ta nhiêu công nghệ an rính để có thể lao ra các piải pháp di động, với an ninh đần cuối đản cuối Các công nghệ an ninh này phải được đưa vào ứng đụng của I2 ngay từ giai đoạn thiết kế ban đầu cho đến khi triển Ehai cuỗi cùng,
Trang 4Chương 1
TONG QUAT VE AN NINH TRONG HE THONG
THONG TIN DT DONG
1.1 Tạo lập môi trưởng an ninh:
Dễ đám báo an ninh đầu cuối đầu cuối ta cần xát toàn
bộ môi trường an nỉnh bao gồm toản bệ môi trường truyền thông: truy nhập mạng, các phần từ trung gian các ứng dụng Client An ninth dầu cuối đầu cuồi có nghữa rằng truyền dẫn số Tiệu an mình tiên toàn bộ đường truyền từ đầu phat dn die tha (thường là các máy đầu cuỗi hay cóc CHient đến các server),
‘rong phan nay †a sẽ xét năm mmc tiéu quan trọng liên quan đến việc tạo lập môi trường an ninh
1.1.1 Nhận thực
Phải có cơ chế dễ đảm báo rằng người sử dụng hay thiết
bị là hợp lệ Ngoài ra người sử đụng thiết bị cũng phải có kha năng kiểm tra tính xác thực của mạng mẻ nỏ nỏi đến
1.12 Toàn vẹn xã liệu
ỗ liệu là sự đảm bâo rằng số liệu truyền
không bị thay đổi hay bị phá hoại trong quá trình truyền dẫn từr
noi phat dén noi thu
Trang 51.1.6 Chẳng phat igi
Không cho phép kẻ phát hoại ching ban tin phat tir A
đến B và phát lại bản tin này nhiều lần làm quá tải B dẫn đến B
từ chối địch vụ (2oS: Deny of Service)
An ninh thường được xứ lý tại nhiều lớp, mặc đủ trong, nhiễu trường hợp có thể có các cơ chế thửa
Mỗi lớp xử lý các khía cạnh khác nhau của an ninh Nguyễn tắc chung của an nình là nên có nhiễu cơ chỗ an rính
để bảo
vũ
ao do không bị mắt an nình khi ruội cơ chế bị phá
Trang 6Bang 1.1 Thi du vé co ché an ninh tai cac lop khac nhau
thông tin đi qua nó
Damn bao an mink lop tmyén tai bang cach sir dụng kiến trúc chứng
Các chữ ký điện tử, các Ứng đụng |giao địch điện từ an ninh
quan lý quyền lợi số
Trang 7hoá Hản thin mạng được bảo vệ khỏi các tân công của kẻ xâu
thông qua việc sử dụng cáo tường lửa Các địch vụ nhận thực
và trao quyền thường được sử dụng thông qna các giao thức
AAA, như các giao thức RADIUS (Remote Access Dial in User Service: dịch vụ người sử dụng quay số từ xa) và Diamcter Tại lớp truyền tải, TUS (dịch vụ trước dây được gọi
la SSL: Sceure Sockets Laycr: lớp các ỗ cắm an nỉnhà, có thể được sử dụng để bỗ sung cho an ninh cho cúc giao thúc truyền
1.1.2 Giảm sát
Giám sát là kỹ thuật sử dụng để giám sát dòng số liệu trên mạng 1rong khi giảm sái cỏ thể được sử dụng cho các ane dich dang din, thi nó lại thưởng được sứ đúng dễ copy trái phép số liệu mạng
12.3 Liam gid
Trang 8Ăn cắp thiết bị là vẫn để thường xáy ra đổi với thông tin
di động Ta không chỉ bị mất thiết bị mà cỏn cã các thông tia bi mật lun trong nó Điều này dặc biệt nghiêm trọng đối với các ứng dung Client thong minh vì chúng thường chứa số liệu không đổi va bi mit
1.3 Các giao thức hàng đầu
1.3.1 Lớn các 8 cdm an nink, SSL
SSL (Secure Sockets Layer: lap céc 6 cam an ninh) là
giao thie an ninh hàng đầu được sử đụng trên internet hiện nay
Nó được phát triển Nelscape để cung cấp các phiền internet
tiêng vá an minh, thưởng ở tiên HTTP, mặc đủ nó cũng có thể
sử dụng lrên ETP hay các giao thúc liên quan khác
1.3.2 1n ninh lép truyén tii, TLS
Gan day SSI duce thay thé boi TLS (Transport Layer
Secmiy: an ninh lớp truyền tà) được định nghĩa bởi
[RPC2246] như là tiêu chuẩn an ninh lớp ĩng dung/phiên
1.3.3 An ninh lép trưyền rải vũ tuyển, WTTLS
WTLS Ia lop an ninh duge dinh nghfa cho tiêu chuẩn WAP Nó hoạt động trên lớp truyền tôi vì thể phú hợp cho các giao thức cơ sở võ luyên khác nhau
1.3.4 .An ninh IP, IPSee
1PSae (P Seourity) kháo với các giao thức khác ở chỗ
nó không tác đông lên lớp ứng dụng
Trang 98
1.4 An inh giao thie v6 tnyén, wap
1.4.1 An ninh mức truyễn (di, TLS
An ninh mức truyền tải (còn được gọi là an ninh kênh)
để xử lý thông tin điểm đến điểm giữa một Chent vô tuyến và
nguôn số liệu doanh nghiép
Kiến trúc an ninh bao gồm năm médun sau
An nỉnh truy nhập mạng (NAS: Network Access Security): Lập các tính nảng an ninh để đảm bảo các người sử
dụng truy nhập an minh đến cáo dịch vụ do hệ thông thông tin di
động cung cấp, dặc biệt là báo vệ chồng lại các tắn công trên các đường truy nhập vô tuyến
An ninh mién mang (NDS: Network Domain Secuzity):
¢ tinh wing an nink để đầm bảo an rảnh cho các núi
An nỉnh miễn người sử đụng (UDS: User Domain
Security): Tập các tính năng an ninh dé dam bảo truy nhập an
ninh én MS.
Trang 10a
An ninh mién img dung (ADS: Application Domain
Soonnily): Tập sáo tính năng an ninh để đảm bảo các ứng đụng,
sử dụng và xiên nhà cung cấp địch vụ trao
trong niễn ngưỡ
đổi an ninh các bản tin
Khả năng nhỉn được và lập cấu hình an rính
tính nãng cho phép người sử dụng tự thông báo về việc một
tinh ning an ninh cd lam việc hay không và việc sứ dụng hoặc cùng cấp các địch vụ có phụ thuộc vào tỉnh năng an ninh hay không
ap cáo
Trang 1110 Chương2
AN NINH TRONG MANG LTE
2.1 Klén tric hé théng LTE/SAL va IMS
3.2 An ninh cũa người sữa dụng trong EPS
3.3.1 Các yêu cần vỀ en mink déi với cúc phan tử và các giao diện trong EPS
Trang 12Hà
Các yêu cầu an ninh adi với các phân Ur va cde gina
trong FPS
-_ An rỉnh giữa người sử đựng và mạng ĐỂ bảo vệ các
trao đổi giifa mạng vã LII: trên giao điện võ tuyến
- _ An minh miễn mạng Để bảo vệ các giao diện giữa
cae mit mang trong LPS va IMS
2.2.2, Cée chive ndng an ninth trang mang EPS
32
1 Các chúc măng an ninh vẻ các mức giao thức
4.2.3.2 Các chức năng an nành và các phần tử mang EPS
2.2.3 Quan tý khéa an nink
313.81 Tạo các khóa am nành từ một khôa chung:
4.3.3.2 Phân cấp khóa EPS
3.2.3.8 Các giải thuật và todn ven cia E-UTRAN
2.3 Các thủ tục an ninh khi UE khởi sướng kết nói đến
EPS cũng giảng như AKA trong 3G UMTS
Trang 1312
trên các giao điện giữa các mút ruạng Irong EPC hode trong F-
UTRAN
SEG (Sceurity Gateway: eGng an mink) duge ail tai tiên
giới một miễn an ninh và có nhiệm vụ tập trung tất cả lưu lượng vào và ra miễn mạng NI: (Network Entity: thue thé mang) od thé La mét nut mang bat ky thude L-UTRAN, EPC va
IMS nhu eNodeB, MME, S-CSCF
3.4.3 ESP ((Encapsuling Security Payload: Tải tin an ninh
bằng cách đồng bao}
BESP là một cœ chế an ninh hoàn thiện đảm bảo ba mức
bao vé và xữ lý một tập giao thức an ninh cho mỗi ruửc
3.4.3 1n ninh đường trục eNadelc
Dường trục nổi đến eNode đời hỏi an ninh cao hơn vì: Vai trỏ của eNodeB trong LTE mank hon so với NodeB trong 3G UMTS:
LTE eNodeB bao pồm cả NodeB va RNC
~ Vùng phù cần mở rộng liêu Lục -_ Chia sẽ hạ tẢng
3.4.4 1n ninh mảt chuyển tiện
lút chuyên Em exeses —— sNadeE Mimg lỗi # |
Hình 2.14 An ninh nút chuyển Hiếp
3.5 An ninh cũa ngưài sửa dụng 1.TE trong TM§
2.5.1 Mé hink an nink IMS (SIP)
Trang 14Hình 2.15 Mô hình an ninh IMS (S1P) Tổng quát
2.5.2 Thủ tục am nình Khi UE tray nhdp IMS
Miễn IMS ap dung hai lide thd tye an minh:
- IMS AKA (Authentication and Key Agreement:
nhận thục và thốa thuận khóa): để đám bào nhận thục tương hỗ giữa UE và S-CSCF
- IMS SA (Securily Azsocialion: liên kết zn minh): để đăm báo bão vệ zn ninh cho báo hiệu STP giữa UR va P-CSCF
3.5.8 Thủ tue IMS AKA
2.6 Tăng cường an nữnh trong myng LTE
Co chế bảo mật và bảo vệ toàn vạn cho RRC và người
dùng dữ liệu được cung cấp giữa UE và e-NP trong Access
Sratum
Trang 15
Hình 3.1 Mô hình tham chuẩn mang WiMAX
* ASN {Access Service Nehvork: mang dich vw tray nhập)
Quy định biến giới hạn logie và mô tả tổng quất các chức răng cũng như luông bên tin liên quan đến các địch vụ truy nhập ASN thể hiện biên giớiham tương lác chức, năng với các
Trang 1615
WiMAX Client, các chức năng kết nơi WiMAX và lông các chúc năng được quy định bởi các nhà sản xui khắc nhan Việc chuyển đổi các phân lử chức răng thành các phân lư †ogic bên trong ASN có thể được thụe hiện theo các cách khác nhau
WiMAX lonm đang tiến hành chuẩn hoá mạng sao cho việc thưe hiện theo các cách khác nhau của cáo nhá cung cấp thiết bị
khác nhau có thể tương tác và phù hợp cho các yên cầu triển Xhai Khác nhau
* CSN (Connectivity Service Netwark: mang dich va két
Trang 1716 tắc đầu cỗ các Mea ie abi ta v Moog Sa ould
Hình 3.3 Kién trac mgnp WiMAX tréu co sé IP
3.2 An ninh trong mang WiMAX
3.2.1 Tet tae chayén gino
'Tên tại hai loại chuyễn giao trong WiMAX: chuyển giao được neo bởi ASX và chuyển giao được neo bởi ƠSN
"Trong trường hợp thứ nhất MS chuyển động tử một BS này đến inét BS khic trong cing mét ASN
3.2.2 DHCP
MS không hỗ trợ MIP có thể có một địa chỉ TP tính được lập cầu hình trước hay có thể sử đựng giao thức DIICP đã
nhận được một địa chỉ mới khi tại mỗi lần chuyển giao Ngay
cả trong trường hợp thứ nhất, chuyển giao cũng khóng thể trong suất đối với lớn IP vỉ cần cập nhật các thông số !P khác.
Trang 1817
hải là tại phía Chen! MS phải cập nhật tuyển của nỏ đến một
cổng mặc định mới hay địa chỉ TP của DNS (server tên miễn)
trong mang mdi
3.3.3 Giao thức IP di djing (MIP)
32.3.2 MIP
Có thể tổng kết toán bộ hoạt đông của MIP như sau:
- Tại thời điểm nhận thực đầu tiễn, MM (it đi động) thận được một địa chỉ từ HA lrơng mạng nhà của nó Chững nào còn nằm trơng mạng nhà Các gói dến và di tit mit nay chi sir dung dia chi nay va MIP không được
sử đụng
-_ Khi MN rời khỏi mạng nhà đến một mạng khác (mạng, ngoài) nó tìm kiểm một FA va nhận được COA từ EA nay
- Sau khi duge gin COA, MN bat diu ding ky MIP voi
HA bang thi tue MIP RRQ (Registration Request: yéu cầu đăng ký) Thủ tục này thong bao cho HA vé COA hiện thời của MN trong mạng ngoài (N; Forcign Network) và HA cần sử đựng COA mày để nổi đến MN
Đổ khẳng định đăng ký, HA gửi tra loi bang MIP RRP
(Registration Reply)
- Brong din dén va di tr MN phai duoc thay 46i sau khi
đăng ký trong miền ngoài Khi MN thông tin với nút đầu ra (CN: Correspondent Node), nỏ sử dụng tuyển trực tiếp từ mạng mới của nó Khi CN thông tin với MN
nó phải sử dụng tuyến di qua mạng nhà được gọi là kỹ thuật định tuyến tam giác HA nhận được gói từ CN,
Trang 1918
đóng bao gói bằng COA và gửi nó đến FA, sau dé FA thảo bao gói và gửi nó đến MN
3.2.3.2, PMIP
Pan cnéi P-MIP là một MN hoàn toán không có hỗ trợ của
‘MIP nhnng van cân đuy trí kết nối khi chuyển giaa giữa nhiền B5
Khi đầu cuối PMIP truy nhập mạng, ngoài (FN: Foreign Network) no gửi DHCP DISCOVER để nhận mệt địa chỉ IP của mạng nảy ĐỂ có
thể định nyễn ngược (tử đẩn xa đến MN) một PMIP Mobility Manaper (hỗ quản tỷ đi đông PMIP) được WIMAX mô tả Bồ quản 1ý này có nhiệm vụ xử lý thủ rục đãng ký MIP cho dẫn cuối của người sử đụng, Thực tế này chăn DHCP đến từ đầu cuối và thực hiện đăng ký MIP với HA Khi đ3 đăng ký song, bộ quản lý PMIP sử dung giao thức DHCP dễ gân dia chi IP cho dâu cuỗi đi động Thủ tục này hoàn toàn trong suốt đối với cả MS (chi sit dung DHCP) fin TỊA (chỉ nhận và xử lý các MIP RRQ và RRP thông thường).
