AN NINH TRONG THÔNG TIN DI ĐỘNG MẠNG THẾ HỆ MỚI LTE VÀ WiMAX

AN NINH TRONG THÔNG TIN DI ĐỘNG MẠNG THẾ HỆ MỚI LTE VÀ WiMAX Nội dung đề tài An ninh trong thông tin di động mạng thế hệ mới LTE và WiMAX được trình bày trong 3 chương như sau: Chương 1: Tổng quát về an ninh trong các hệ thống thông tin . Chương 2: An ninh trong mạng LTE. Chương 3: An ninh trong mạng WiMAX

-

PHẠM VĂN CHIẾN

AN NINH TRONG THÔNG TIN DI ĐỘNG MẠNG

THẾ HỆ MỚI LTE VÀ WiMAX

CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG

MÃ SỐ: 60.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2014

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học:

TS NGUYỄN PHẠM ANH DŨNG

Phản biện 1:

Phản biện 2:

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Thông tin di động ngày nay đã trở thành một nghành công nghiệp phát triển vô cùng mạnh mẽ Các thế hệ của mạng di động không ngừng phát triển nhằm cung cấp cho người sửa dụng các dịch

vụ thoại, truyền số liệu và đặc biệt là các dịch vụ băng rộng ở mọi lúc mọi nơi

Khi thuê bao di động thực hiện các dịch vụ băng rộng vấn đề mất an toàn thông tin cần được quan tâm, thông qua các cơ chế xác thực, mã khóa để đảm bảo cho người dùng là vấn đề cấp thiết phải thực hiện, việc sửa dụng ngày càng nhiều các giao diện và các giao thức mới tạo cơ hội cho việc sửa dụng mạng với mục đích xấu Các tấn công này có thể làm mất khả năng hoạt động của mạng, làm mất tính toàn vẹn cũng như tính bảo mật của các dịch vụ mạng Cần phải có các biện pháp an ninh để bảo vệ mạng viễn thông khỏi các tất công này

Các nhà cung cấp dịch vụ di động băng rộng đang phải đối mặt với các rủi do của mạng công cộng như các tất công an ninh, các đe dọa virus, các yếu điểm phần mềm Các nguy hiểm này có thể ảnh hưởng đến hạ tầng, cung cấp dịch vụ của các nhà cung cấp dịch vụ và trải nghiệm của khách hàng Cần phải có các biện pháp

an ninh hữu hiệu để giảm thiểu các hủy hoại dịch vụ, tránh thất thoát lợi nhuận và duy trì mức độ thỏa mãn cao của khách hàng Ngày nay các nhà nghiên cứu phát triển các hệ thống thông tin di động nói riêng cũng như các hệ thống viễn thông nói chung đã đưa

ra nhiều công nghệ an ninh để có thể tạo ra các giải pháp di động với an ninh đầu cuối đầu cuối Các công nghệ an ninh này phải được đưa vào ứng dụng của ta ngay từ giai đoạn thiết kế ban đầu cho đến khi triển khai cuối cùng

Nội dung đề tài "An ninh trong thông tin di động mạng thế hệ mới LTE và WiMAX" được trình bày trong 3 chương như sau:

- Chương 1: Tổng quát về an ninh trong các hệ thống thông tin

- Chương 2: An ninh trong mạng LTE

- Chương 3: An ninh trong mạng WiMAX

Chương 1 TỔNG QUÁT VỀ AN NINH TRONG HỆ THỐNG

THÔNG TIN DI ĐỘNG

1.1 Tạo lập môi trường an ninh

Để đảm bảo an ninh đầu cuối đầu cuối ta cần xét toàn

bộ môi trường an ninh bao gồm toàn bộ môi trường truyền thông: truy nhập mạng, các phần từ trung gian các ứng dụng Client An ninh đầu cuối đầu cuối có nghĩa rằng truyền dẫn số liệu an ninh trên toàn bộ đường truyền từ đầu phát đến đầu thu (thường là các máy đầu cuối hay các Client đến các server) Trong phần này ta sẽ xét năm mục tiêu quan trọng liên quan đến việc tạo lập môi trường an ninh

1.1.1 Nhận thực

Phải có cơ chế để đảm bảo rằng người sử dụng hay thiết

bị là hợp lệ Ngoài ra người sử dụng thiết bị cũng phải có khả năng kiểm tra tính xác thực của mạng mà nó nói đến

1.1.2 Toàn vẹn số liệu

Toàn vẹn số liệu là sự đảm bảo rằng số liệu truyền không bị thay đổi hay bị phá hoại trong quá trình truyền dẫn từ nơi phát đến nơi thu

1.1.3 Bảo mật

Bảo mật là một nét rất quan trọng của an ninh và vì thế thường được nói đến nhiều nhất

1.1.4 Trao quyền

Trao quyền là cơ chế để kiểm tra rằng người sử dụng được quyền truy nhập một dịch vụ cụ thể và quyết định mức độ truy nhập của người sử dụng

1.1.5 Cấm từ chối (Non-Repudiation)

Cấm từ chối là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch mà chúng đã tham gia không được từ chối tham gia giao dịch

1.1.6 Chống phát lại

Không cho phép kẻ phát hoại chẳng bản tin phát từ A đến B và phát lại bản tin này nhiều lần làm quá tải B dẫn đến B

từ chối dịch vụ (DoS: Deny of Service)

An ninh thường được xử lý tại nhiều lớp, mặc dù trong nhiều trường hợp có thể có các cơ chế thừa

Mỗi lớp xử lý các khía cạnh khác nhau của an ninh Nguyên tắc chung của an ninh là nên có nhiều cơ chế an ninh

để bảo vệ sao cho không bị mất an ninh khi một cơ chế bị phá

vỡ

Bảng 1.1 Thí dụ về cơ chế an ninh tại các lớp khác nhau

của ngăn xếp IP

Liên kết

Mật mã hoá, nhận thực thiết bị, nhận thực cảng truy

nhập

Thông thương được thực hiện trên liên kết vô tuyến

Mạng Tưởng lửa, IPSec, hạ tâng Bảo vệ mạng và

thông tin đi qua nó

Truyền tải An ninh lớp truyền tải

Đảm bảo an ninh lớp truyền tải bằng cách sử dụng kiến trúc chứng nhận

Ứng dụng

Các chữ ký điện tử, các giao dịch điện tử an ninh

,quản lý quyền lợi số

Có thể đảm bảo cả bảo mật và nhận thực, chủ yếu dựa trên hạ tầng khóa công cộng

Trong các đường truyền hữu tuyến, thông thường mật mã hóa lớp liên kết không được sử dụng Trong các trường hợp này, bảo mật được đảm bảo bởi các cơ chế an ninh đầu cuối

đầu cuối được sử dụng tại các lớp cao hơn Tại lớp mạng, có một số phương pháp đảm bảo an ninh Chẳng hạn IPSec có thể được sử dụng để đảm bảo nhận thực và các dịch vụ mật mã hoá Bản thân mạng được bảo vệ khỏi các tấn công của kẻ xấu thông qua việc sử dụng các tường lửa Các dịch vụ nhận thực

và trao quyền thường được sử dụng thông qua các giao thức AAA, như các giao thức RADIUS (Remote Access Dial in User Service: dịch vụ người sử dụng quay số từ xa) và Diameter Tại lớp truyền tải, TLS (dịch vụ trước đây được gọi

là SSL: Secure Sockets Layer: lớp các ổ cắm an ninh), có thể được sử dụng để bổ sung cho an ninh cho các giao thức truyền tải và các gói Tại lớp ứng dụng, các chữ ký số, các chứng nhận

và quản lý quyền lợi số có thể được sử dụng phụ thuộc vào mức

1.2.2 Giám sát

Giám sát là kỹ thuật sử dụng để giám sát dòng số liệu trên mạng Trong khi giám sát có thể được sử dụng cho các mục đích đúng đắn, thì nó lại thường được sử dụng để copy trái phép số liệu mạng

1.2.3 Làm giả

Làm glà số liệu hay còn gọi là để dọa tính toàn vẹn liên quan đến việc thay đổi số liệu so với dạng ban đầu với dụng ý xấu

1.2.4 Ăn cắp

Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin

di động Ta không chỉ bị mất thiết bị mà còn cả các thông tia bí mật lun trong nó Điều này đặc biệt nghiêm trọng đối với các ứng dụng Client thông minh vì chúng thường chứa số liệu không đổi và bí mật

sử dụng trên FTP hay các giao thức liên quan khác

1.3.2 An ninh lớp truyền tải, TLS

Gần đây SSL được thay thế bởi TLS (Transport Layer Security: an ninh lớp truyền tải) được định nghĩa bởi [RPC2246] như là tiêu chuẩn an ninh lớp ứng dụng/phiên

1.3.3 An ninh lớp truyền tải vô tuyến, WTLS

WTLS là lớp an ninh được định nghĩa cho tiêu chuẩn WAP Nó hoạt động trên lớp truyền tồi vì thế phù hợp cho các giao thức cơ sở vô tuyến khác nhau

1.3.4 An ninh IP, IPSec

IPSec (IP Security) khác với các giao thức khác ở chỗ

nó không tác động lên lớp ứng dụng

1.4 An ninh giao thức vô tuyến, wap

1.4.1 An ninh mức truyền tải , TLS

An ninh mức truyền tải (còn được gọi là an ninh kênh)

để xử lý thông tin điểm đến điểm giữa một Client vô tuyến và nguồn số liệu doanh nghiệp

1.4.2 Lỗ hổng WAP

Tuy WTLS cải thiện TLS trong môi trường vô tuyến, nhưng nó lại gây ra một vấn đề chính: bây giờ cần cả hai giao thực TLS và WTLS trong kiến trúc WAP

Kiến trúc an ninh bao gồm năm môđun sau:

An ninh truy nhập mạng (NAS: Network Access Security): Tập các tính năng an ninh để đảm bảo các người sử dụng truy nhập an ninh đến các dịch vụ do hệ thống thông tin di động cung cấp, đặc biệt là bảo vệ chống lại các tấn công trên các đường truy nhập vô tuyến

An ninh miền mạng (NDS: Network Domain Security): Tập các tính năng an ninh để đảm bảo an ninh cho các nút mạng trong miền nhà cung cấp dịch vụ trao đổi báo hiệu và đảm bảo chống lại các tấn công trên mạng hữu tuyến

An ninh miền người sử dụng (UDS: User Domain Security): Tập các tính năng an ninh để đảm bảo truy nhập an ninh đến MS

An ninh miền ứng dụng (ADS: Application Domain Security): Tập các tính năng an ninh để đảm bảo các ứng dụng trong miền người sử dụng và miền nhà cung cấp dịch vụ trao đổi an ninh các bản tin

Khả năng nhìn được và lập cấu hình an ninh Tập các tính năng cho phép người sử dụng tự thông báo về việc một tính năng an ninh có làm việc hay không và việc sử dụng hoặc cung cấp các dịch vụ có phụ thuộc vào tính năng an ninh hay không

Chương 2

AN NINH TRONG MẠNG LTE

2.1 Kiến trúc hệ thống LTE/SAE và IMS

Hình 2.1 Kiến trúc hệ thống cho mạng LTE/SAE chỉ cho EUTRAN của LTE

2.2 An ninh của người sửa dụng trong EPS

2.2.1 Các yêu cầu về an ninh đối với các phần tử và các giao diện trong EPS

Các yêu cầu an ninh đối với các phần tử và các giao diện trong EPS

- An ninh giữa người sử dụng và mạng Để bảo vệ các trao đổi giữa mạng và UE trên giao diện vô tuyến

- An ninh miền mạng Để bảo vệ các giao diện giữa các nút mạng trong EPS và IMS

2.2.2 Các chức năng an ninh trong mạng EPS

2.2.2.1 Các chức năng an ninh và các mức giao thức

2.2.2.2 Các chức năng an ninh và các phần tử mạng EPS

2.2.3 Quản lý khóa an ninh

2.2.3.1 Tạo các khóa an ninh từ một khóa chung

2.2.3.2 Phân cấp khóa EPS

2.2.3.3 Các giải thuật và toàn vẹn của E-UTRAN

2.3 Các thủ tục an ninh khi UE khởi sướng kết nối đến EPS

2.3.1 Tổng quan các thủ tục an ninh và báo hiệu khi UE khởi sướng kết nối đến EPS

2.3.2 Thủ tục AKA (Authentication and Key Agreement: Nhận thực và thỏa thuận khóa

Tất cả các hoạt động cần thiết để bảo vệ an ninh của người sử dụng (rút ra khóa an ninh và nhận thực tương hỗ) được thực hiện trong quá trình AKA AKA đựơc sử dụng trong EPS cũng giống như AKA trong 3G UMTS

2.4 An ninh miền mạng

2.4.1 Tổng quát

An ninh miền mạng cho IP (NDS/IP: Network Domain Service/IP) nhằm bảo vệ số liệu của người sử dụng và báo hiệu

trên các giao diện giữa các nút mạng trong EPC hoặc trong UTRAN

E-SEG (Security Gateway: cổng an ninh) được đặt tại biên giới một miền an ninh và có nhiệm vụ tập trung tất cả lưu lượng vào và ra miền mạng NE (Network Entity: thực thể mạng) có thể là một nút mạng bất kỳ thuộc E-UTRAN, EPC và IMS như eNodeB, MME, S-CSCF

2.4.2 ESP ((Encapsuling Security Payload: Tải tin an ninh bằng cách đóng bao)

ESP là một cơ chế an ninh hoàn thiện đảm bảo ba mức bảo vệ và xử lý một tập giao thức an ninh cho mỗi mức

2.4.3 An ninh đường trục eNodeB

Đường trục nối đến eNode đòi hỏi an ninh cao hơn vì: Vai trò của eNodeB trong LTE mạnh hơn so với NodeB trong 3G UMTS: LTE eNodeB bao gồm cả NodeB và RNC

- Vùng phù cần mở rộng liên tục

- Chia sẻ hạ tầng

2.4.4 An ninh nút chuyển tiếp

Hình 2.14 An ninh nút chuyển tiếp

2.5 An ninh của người sửa dụng LTE trong IMS

2.5.1 Mô hình an ninh IMS (SIP)

Hình 2.15 Mô hình an ninh IMS (SIP) Tổng quát

2.5.2 Thủ tục an ninh khi UE truy nhập IMS

Miền IMS áp dụng hai kiểu thủ tục an ninh:

- IMS AKA (Authentication and Key Agreement: nhận thực và thỏa thuận khóa): để đảm bảo nhận thực tương hỗ giữa UE và S-CSCF

- IMS SA (Security Association: liên kết an ninh): để đảm bảo bảo vệ an ninh cho báo hiệu SIP giữa UE và P-CSCF

2.5.3 Thủ tục IMS AKA

2.6 Tăng cường an ninh trong mạng LTE

Cơ chế bảo mật và bảo vệ toàn vẹn cho RRC và người dùng dữ liệu được cung cấp giữa UE và e-NB trong Access Stratum

Chương 3

AN NINH TRONG MẠNG WiMAX

3.1 Mô hình tham chuẩn mạng WiMAX (NRM)

Hình 3.1 Mô hình tham chuẩn mạng WiMAX

 ASN (Access Service Nehvork: mạng dịch vụ truy

nhập)

Quy định biên giới hạn logic và mô tả tổng quát các chức

năng cũng như luồng bản tin liên quan đến các dịch vụ truy nhập ASN thể hiện biên giớihạn tương tác chức, năng với các

WiMAX Client, các chức năng kết nối WiMAX và tổng các chức năng được quy định bởi các nhà sản xuất khác nhau Việc chuyển đổi các phần tử chức năng thành các phần tư logic bên trong ASN có thể được thực hiện theo các cách khác nhau WiMAX Forum đang tiến hành chuẩn hoá mạng sao cho việc thực hiện theo các cách khác nhau của các nhà cung cấp thiết bị khác nhau có thể tương tác và phù hợp cho các yêu cầu triển khai khác nhau

 CSN (Connectivity Service Network: mạng dịch vụ kết

nối)

Định nghĩa tập các chức năng mạng cung cấp các dịch vụ kết nối IP cho các thuê bao WiMAX CSN có thể bao gồm: các router, các đại diện/server AAA, các cơ sở dữ liệu của người sử dụng và các cổng tương tác CSN có thể được triển khai như là một bộ phận của nhà cung cấp dịch vụ mạng WiMAX (NSP: Network Service Provider) mới hoặc như bộ phận của WiMAX NSP truyền thống (lâu đời)

Hình 3.2 Kiến trúc mạng WiMAX trên cơ sở IP

3.2 An ninh trong mạng WiMAX

3.2.1 Thủ tục chuyển giao

Tổn tại hai loại chuyển giao trong WiMAX: chuyển giao được neo bởi ASN và chuyển giao được neo bởi CSN Trong trường hợp thứ nhất MS chuyển động từ một BS này đến một BS khác trong cùng một ASN

3.2.2 DHCP

MS không hỗ trợ MIP có thể có một địa chỉ IP tĩnh được lập cấu hình trước hay có thể sử dụng giao thức DHCP để nhận được một địa chỉ mới khi tại mỗi lần chuyển giao Ngay

cả trong trường hợp thứ nhất, chuyển giao cũng không thể trong suốt đối với lớp IP vì cần cập nhật các thông số IP khác

Nhất là tại phía Client MS phải cập nhật tuyến của nó đến một cổng mặc định mới hay địa chỉ IP của DNS (server tên miền) trong mạng mới

3.2.3 Giao thức IP di động (MIP)

3.2.3.1 MIP

Có thể tổng kết toàn bộ hoạt động của MIP như sau:

- Tại thời điểm nhận thực đầu tiên, MN (nút di động) nhận được một địa chỉ từ HA trong mạng nhà của nó Chừng nào còn nằm trong mạng nhà Các gói đến và đi

từ nút này chỉ sử dụng địa chỉ này và MIP không được

sử dụng

- Khi MN rời khỏi mạng nhà đến một mạng khác (mạng ngoài) nó tìm kiếm một FA và nhận được COA từ FA này

- Sau khi được gán COA, MN bắt đầu đăng ký MIP với

HA bằng thủ tục MIP RRQ (Registration Request: yêu cầu đăng ký) Thủ tục này thông báo cho HA về COA hiện thời của MN trong mạng ngoài (FN; Foreign Network) và HA cần sử dụng COA này để nối đến MN

Để khẳng định đăng ký, HA gửi trả lời bằng MIP RRP (Registration Reply)

- Đường dẫn đến và đi từ MN phải được thay đổi sau khi đăng ký trong miền ngoài Khi MN thông tin với nút đầu ra (CN: Correspondent Node), nó sử dụng tuyển trực tiếp từ mạng mới của nó Khi CN thông tin với MN

nó phải sử dụng tuyến đi qua mạng nhà được gọi là kỹ thuật định tuyến tam giác HA nhận được gói từ CN,