Bảo mật dữ liệu đầu vào cho mạng 3G

IDEA International Data Encryption Algorithms Giải thuật mật mã hóa số liệu quốc tế IK Integrity key Khoá toàn vẹn IMAP Internet Message Access Protocol Giao thức truy nhập bản tin phươn

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

-

NGUYỄN THÀNH LONG

BẢO MẬT DỮ LIỆU ĐẦU VÀO CHO MẠNG 3G

Ngành: Công nghệ Điện tử - Viễn thông

Chuyên ngành: Kỹ thuật Điện tử

Mã số: 60 52 70

LUẬN VĂN THẠC SĨ

Hà Nội – 2010

MỤC LỤC

MỤC LỤC 1

DANH MỤC CÁC CHỮ VIẾT TẮT 5

MỞ ĐẦU 10

CHƯƠNG 1: KIẾN TRÚC MẠNG UMTS 12

1.1 Tổng quan lịch sử phát triển mạng thông tin di động tế bào 12

1.1.1 Hệ thống thông tin di động thế hệ thứ nhất (1G) 13

1.1.2 Hệ thống thông tin di động thế hệ thứ hai (2G) 13

1.1.3 Hệ thống thông tin di động thế hệ thứ ba (3G) 15

1.2 Hệ thống thông tin di động 3G UMTS 16

1.2.1 Định nghĩa UMTS 16

1.2.2 Lịch sử phát triển UMTS 16

1.2.3 Đặc trưng của mạng UMTS 17

1.2.4 Chuyển mạch kênh, chuyển mạch gói, các loại lưu lượng và dịch vụ được 3G UMTS hỗ trợ 18

1.2.4.1 Chuyển mạch kênh (CS: Circuit Switch) 18

1.2.4.2 Chuyển mạch gói (PS: Packet Switch) 19

1.2.4.3 Các lưu lượng và dịch vụ được 3G UMTS hỗ trợ 20

1.2.5 Kiến trúc mạng UMTS 21

1.2.5.1 Thiết bị người sử dụng 22

1.2.5.2 Mạng truy nhập vô tuyến UMTS (UTRAN) 23

1.2.5.3 Mạng lõi UMTS 26

1.2.5.4 Các giao diện trong mạng 29

1.2.5.5 Các mạng ngoài 30

1.3 Kết luận chương 30

CHƯƠNG 2: KỸ THUẬT BẢO MẬT TRONG THÔNG TIN DI ĐỘNG 31

2.1 Các đe dọa an ninh 31

2.1.1 Đóng giả 31

2.1.2 Giám sát 31

2.1.3 Làm giả 32

2.1.4 Ăn cắp 32

2.2 Tạo lập một môi trường an ninh 32

2.2.1 Nhận thực 32

2.2.2 Toàn vẹn số liệu 33

2.2.3 Bảo mật 33

2.2.4 Trao quyền 33

2.2.5 Cấm từ chối 33

2.3 Các thuật toán mật mã hóa dữ liệu 34

2.3.1 Công nghệ mật mã 34

2.3.2 Các giải thuật đối xứng 34

2.3.3 Các giải thuật không đối xứng 36

2.3.4 Hashing - Hàm làm rối 37

2.3.5 Nhận thực 38

2.3.6 Các chữ ký điện tử và tóm tắt bản tin 39

2.3.7 Các chứng chỉ số 40

2.3.8 Hạ tầng khóa công khai PKI 41

2.3.9 Nhận thực bằng bản tin nhận thực 43

2.4 An ninh giao thức vô tuyến 44

2.4.1 An ninh lớp truyền tải vô tuyến (WTLS) 44

2.4.2 Lỗ hổng WAP 45

2.4.3 WAP 2.x 46

2.5 Mô hình an ninh tổng quát của một hệ thống thông tin di động 46

2.6 An ninh trong GSM 47

2.6.1 Các đặc điểm an ninh của GSM 47

2.6.1.1 Xác thực chủ thể thuê bao 47

2.6.1.2 Mã hóa cuộc gọi 49

2.6.1.3 Bảo vệ định danh thuê bao 49

2.6.2 Các hạn chế về an ninh trong GSM 49

2.6.2.1 Bảo mật bằng tính bất khả định 49

2.6.2.2 Chính sách mã hóa có thể bị thay đổi 50

2.6.3 Tấn công bảo mật GSM 50

2.6.3.1 Một số sự kiện bảo mật GSM 50

2.6.3.2 Tấn công ăn cắp, nhân bản SIM 50

2.6.3.3 Tấn công nghe lén cuộc gọi bằng thủ thuật người đứng giữa 52

2.6.3.4 Tấn công nghe lén bằng thủ thuật giải mã thuật toán A5 52

2.6.3.5 Tấn công giả mạo CALL-ID và giả mạo người gửi tin nhắn SMS 52

2.6.3.6 Tấn công spam SMS, virus SMS 53

2.6.3.6 Các phần mềm gián điệp trên điện thoại di động 53

2.7 Kết luận chương 53

CHƯƠNG 3: AN NINH TRONG MẠNG UMTS 54

3.1 Các nguyên lý của an ninh UMTS 54

3.2 Cơ sở nguyên lý của an ninh UMTS thế hệ 3 54

3.3 Điểm yếu của GSM so với UMTS 55

3.4 Lĩnh vực nâng cao an ninh đối với UMTS 56

3.5 Các lĩnh vực an ninh của UMTS 56

3.5.1 An ninh truy nhập mạng 57

3.5.2 An ninh lĩnh vực mạng 57

3.5.3 An ninh lĩnh vực người sử dụng 57

3.5.4 An ninh lĩnh vực ứng dụng 58

3.6 Các cơ chế an ninh trong UMTS 58

3.7 Nhận thực và thoả thuận khoá (AKA) 58

3.7.1 Tổng quan về nhận thực và thoả thuận khoá 59

3.7.2 Thủ tục AKA thông thường 60

3.7.3 Thủ tục AKA trong HLR/AuC 61

3.7.4 Thủ tục AKA trong USIM 62

3.7.5 Thủ tục AKA trong VLR/SGSN 62

3.7.6 USIM từ chối trả lời 63

3.8 Thủ tục đồng bộ lại 63

3.8.2 Thủ tục đồng bộ lại trong AuC 65

3.8.3 Thủ tục đồng bộ lại trong VLR/SGSN 65

3.8.4 Sử dụng lại các AV 65

3.8.5 Xử lý các cuộc gọi khẩn 65

3.9 Các hàm mật mã 66

3.9.1 Yêu cầu đối với các thuật toán và các hàm mật mã 66

3.9.2 Các hàm mật mã 66

3.9.3 Sử dụng các hàm bình thường để tạo ra AV trong AuC 67

3.9.4 Sử dụng các hàm bình thường để tạo ra các thông số an ninh trong USIM 68

3.9.5 Sử dụng các hàm để đồng bộ lại tại USIM 69

3.9.6 Sử dụng các hàm đồng bộ lại tại AuC 69

3.9.7 Thứ tự tạo khoá 70

3.9.8 Kích cỡ của các thông số nhận thực 70

3.9.9 Sử dụng hàm f9 để tính toán mã toàn vẹn 70

3.9.10 Sử dụng hàm mật mã f8 73

3.9.11 Thời hạn hiệu lực khoá 75

3.9.12 Các thuật toán KASUMI 75

3.10 Một số vấn đề về an ninh trong UMTS 75

3.10.1 Các đe doạ an ninh trong UMTS 75

3.10.2 Mã hoá tại giao diện vô tuyến 76

3.10.3 Các nút chứa các khoá 76

3.10.4 Bảo mật người sử dụng 76

3.10.5 Đe doạ an ninh do tấn công bằng cách phát lại 77

3.10.6 Truyền thông không an ninh trong mạng lõi 78

3.10.7 Độ dài khoá 78

3.10.8 Giấu tên tại các dịch vụ mức cao hơn 78

3.10.9 Mã hoá đầu cuối - đầu cuối 78

3.11 Kết luận chương 79

CHƯƠNG 4: ƯỚC LƯỢNG AN NINH MẠNG UMTS 80

4.1 Mô mình giao thức an ninh mạng UMTS 80

4.1.1 Kiến trúc an ninh UMTS 80

4.1.2 Bảo mật truy cập mạng 81

4.1.2.1 Bảo mật nhận dạng người sử dụng 81

4.1.2.2 Nhận thực và thỏa thuận khóa 83

4.1.2.3 Bảo mật dữ liệu và bảo vệ toàn vẹn của tin nhắn báo hiệu 86

4.2 Chương trình mô phỏng an ninh mạng UMTS 87

4.3 Kết luận chương 91

KẾT LUẬN 92

TÀI LIỆU THAM KHẢO 93

PHỤC LỤC 94

AES Advanced Encyption Standard Tiêu chuẩn mã hóa tiên tiến

AK Anonymity Key Khoá nặc danh

AKA Authentication and Key

Argreement Nhận thực và thống nhất khoá AMF Authentication Management Field Trường quản lý nhận thực AMPS Advanced Mobile Phone System Hệ thống điện thoại tiên tiến ALC Access Control List Danh sách điều khiển đa truy

nhập ANSI American National Standards

Institude Viện tiêu chuẩn Hoa Kỳ API Application Program Interface Giao diện chương trình ứng

dụng ASPECT Advanced Security for Personal

Communications Technology

An ninh cải tiến cho công nghệ truyền thông cá nhân

AuC Authentication Center Trung tâm nhận thực

AUTN Authentication token Thẻ nhận thực mạng

AV Authentication Vector Véc tơ nhận thực

B

BSS Base Statiom Subsystem Phân hệ trạm gốc

BSSGP Base station system GPRS protocol Giao thức GPRS hệ thống trạm

gốc BTS Base Transceiver Station Trạm thu phát gốc

C

CA Certificate Authority Thẩm quyền chứng nhận

CDMA Code Division Multiple Access Đa truy nhập phân chia theo mã CLR Certificate Revocation Lists Danh sách huỷ bỏ chứng nhận

CM Connection Management Quản lý kết nối

CN Core Network Mạng lõi

CRNC Control RNC RNC điều khiển

CS Circuit Switching Chuyển mạch kênh

FER Frame Error Rate Tỷ lệ lỗi khung

FTP File Transfer Protocol Giao thức truyền file

HE Home Environment Môi trường nhà

HLR Home Location Register Bộ ghi định vị thường trú

HSCSD High Speed Circuit-Switched Data Dữ liệu chuyển mạch tồc độ cao HSDPA High-Speed Downlink Packet

Access Gói đường truyền tốc độ cao HTTP Hypertext Transfer Protocol Giao thức chuyển giao siêu văn

bản

I

IDEA International Data Encryption

Algorithms

Giải thuật mật mã hóa số liệu quốc tế

IK Integrity key Khoá toàn vẹn

IMAP Internet Message Access Protocol Giao thức truy nhập bản tin

phương tiện IP IMSI International Mobile Subscriber

Identity

Số nhận dạng thuê bao di động quốc tế

IP Internet Protocol Giao thức Internet

IPSec Internet Protocol Security An ninh IP

ISDN Integrated Services Digital

Network Mạng số tích hợp nhiều dịch vụ

ITU International Telecommunications

Union Liên minh viễn thông Quốc tế

M

MAC Message authentication code Mã nhận thực bản tin

MAC-A MAC used for authentication and

key agreement

MAC sử dụng để nhận thực và thống nhất khoá

MAC-I Mac used for data integrity of

signalling messages

MAC sử dụng để bảo vệ tính toàn vẹn số liệu báo hiệu MAP Mobile Application Part Phần ứng dụng di động

MCC Mobile Country Code Mã di động quốc gia

MCS Modulation and Coding Schemes Mức mã hóa và điều chế

MD Message Degest Tóm tắt bản tin

MITM Man In The Middle Tấn công giả mạo (người đứng

giữa)

ME Mobile Equipment Thiết bị di động

MNC Mobile Network Code Mã mạng di động

MoU Memorandum of Understanding Biên bản ghi nhớ

MS Mobile Station Trạm di động

MSC Mobile Switching Centre Trung tâm chuyển mạch di động

MSIN Mobile Station Identification

Number Số nhận dạng trạm di động MTP Message Transfer Protocol Giao thức truyền bản tin

N

NAS Network Access Security An ninh truy nhập mạng

NDS Network Domain Security An ninh miền mạng

P

PCM Pulse Code Modulation Điều chế xung mã

PCS Personal Communications Service Dịch vụ liên lạc cá nhân

PDC Personal Digital Communications Truyền thông số cá nhân PIN Personal Identification Code Mã nhận dạng cá nhân

PKI Public Key Infrastructure Cơ sở hạ tầng khoá công cộng

PS Packet Switching Chuyển mạch gói

PLMN Public Land Mobile Network Mạng di động mặt đất công

GSM SMS Short Message Services Dịch vụ tin nhắn ngắn

SHA Secure Hash Algorithm Giải thuật băm an toàn

TDM Time Division Multiplexing Phân chia theo thời gian

TDMA Time Division Multiple Access Đa truy nhập phân chia theo

thời gian TD-

Identity

Số nhận dạng thuê bao di động tạm thời

TLS Transport Layer Security An ninh lớp truyền tải

U

UDS User Domain Security An ninh miền người sử dụng

UE User Equipment Thiết bị người sử dụng

UICC Universal Integrated Circuit Card Thẻ mạch tích hợp toàn cầu UMTS Universal Mobile

Telecommunications System

Hệ thống viễn thông di động toàn cầu

USIM Universal Subscriber Identity

VC Virtual Channel Kênh ảo

VLR Visitor Location Register Bộ ghi định vị tạm trú

VP Virtual Path Đường dẫn ảo

VoIP Voice Over Internet Protocol Truyền giọng nói trên giao thức

MỞ ĐẦU

Từ cuối thế kỷ 20 đến những năm đầu thế kỷ 21, ngành công nghiệp viễn thông

đã có những bước phát triển mạnh mẽ, đặc biệt là trong lĩnh vực vô tuyến và di động

Ở Việt Nam trong những năm gần đây, ngành công nghiệp viễn thông nói chung và thông tin di động nói riêng đã có những bước phát triển vượt bậc Từ chỗ có hai nhà cung cấp dịch vụ di động, cho đến nay đã có bẩy nhà cung cấp dịch vụ di động Cùng với đó, số lượng thuê bao di động không ngừng tăng lên, yêu cầu của khách hàng sử dụng dịch vụ di động cũng ngày một cao hơn Điện thoại di động giờ đây không chỉ để dùng để nghe gọi như trước nữa, mà nó đã trở thành một đầu cuối di động với đầy đủ các tính năng để phục vụ mọi nhu cầu của con người Bằng chiếc điện thoại của mình người sử dụng có thể giải trí, truy cập dữ liệu phục vụ việc học hành, nghiên cứu hay giao lưu, học hỏi, không những thế người sử dụng còn có thể dùng nó để thực hiện các giao dịch kinh doanh, giao dịch ngân hàng trực tuyến,… với tốc độ cao không thua kém gì các mạng có dây

Sự phát triển của các công nghệ mới kéo theo là rất nhiều dịch vụ tiện ích mới

ra đời đáp ứng được nhu cầu ngày càng cao của xã hội Trong đó phải kể đến các dịch

vụ truyền bản tin như email, SMS, EMS, MMS, IM… đã góp phần không nhỏ trong việc nâng cao các ứng dụng hiện có, đồng thời đưa ra một phương tiện truyền tin mới khi cần có thể thay thế cho các cuộc gọi thoại truyền thống vốn không phải lúc nào cũng tiện lợi mà cước phí lại cao

Để những điều nêu trên trở thành hiện thực, các nhà cung cấp dịch vụ di động tại Việt Nam đã và đang cho ra mắt khách hàng viễn thông hệ thống thông tin di động thế hệ thứ ba (3G)

Cùng với sự phát triển của thông tin di động mang lại nhiều lợi ích cho xã hội thì những nguy cơ và thách thức đối với các nhà cung cấp dịch vụ cũng tăng Thông tin của người dùng truyền trong môi trường vô tuyến có thể bị tấn công hay bị nghe trộm bởi người khác, các dịch vụ của nhà nhà cung cấp có thể bị đánh cắp hay bị phá hoại Điều này gây thiệt hại lớn cả về kinh tế và chất lượng dịch vụ cho cả người dùng lẫn nhà cung cấp dịch vụ Những thách thức này đặt ra các yêu cầu cho các nhà cung cấp dịch vụ về vấn đề nhận thực và bảo mật cho thông tin vô tuyến và di động để bảo

vệ quyền lợi của người dùng và lợi ích của chính bản thân các nhà cung cấp

Xuất phát từ nhu cầu thực tế, em đã chọn nghiên cứu đề tài: “Bảo mật dữ liệu

đầu vào cho mạng 3G” làm luận văn tốt nghiệp Em hy vọng tìm hiểu về vấn đề an

ninh trong hệ thống thông tin di động thế hệ thứ ba, cụ thể là mạng UMTS cũng như các giải pháp để bảo mật và bảo vệ toàn vẹn thông tin của người sử dụng khi được truyền trong hệ thống

Nội dung của luận văn gồm 4 chương:

- Chương 1: Kiến trúc mạng UMTS Nội dung của chương này đề cập đến lộ

trình phát triển của hệ thống thông tin di động, các đặc điểm, loại hình dịch vụ mà hệ thống thông tin di động thế hệ thứ ba cung cấp Phần cuối chương có đề cập đến các cấu trúc của hệ thống 3G UMTS

- Chương 2: Tổng quan về kỹ thuật bảo mật trong thông tin di động Nội

dung của chương đề cập đến các đe dọa an ninh đối với hệ thống thông tin di động và các giải pháp để đảm bảo an toàn thông tin trong các hệ thống thông tin di động Cuối chương có đề cập đến an ninh trong hệ thống thông tin di động thế hệ thứ hai

- Chương 3: An ninh trong mạng UMTS Đây là phần nội dung chính của

quyển đồ án Nội dung đề cập đến các nguyên lý cơ bản để xây dựng một kiến trúc an ninh cho hệ thống 3G UMTS Các biện pháp cụ thể để bảo vệ an toàn thông tin khi truyền trên giao diện vô tuyến của hệ thống Tìm hiểu cụ thể quá trình nhận thực và thỏa thuận khóa AKA, các hàm mật mã được sử dụng và các thông số nhận thực liên

quan, một số vấn đề an ninh trong mạng UMTS

- Chương 4: Ước lượng an ninh trong mạng UMTS Phần này trình bày về

mô phỏng thuật toán nhận thực và thỏa thuận khóa AKA

Do hạn chế về kinh nghiệm, trình độ nghiên cứu và thời gian có hạn nên luận văn tốt nghiệp của em chắc chắn sẽ không thể tránh khỏi những thiếu sót, em rất mong được thầy, cô và các bạn góp ý để luận văn của em được hoàn thiện hơn

Luận văn này thực hiện trong khuôn khổ đề tài QG-10.40

Hà Nội, ngày 10 tháng 10 năm 2010

HỌC VIÊN Nguyễn Thành Long

CHƯƠNG 1:

KIẾN TRÚC MẠNG UMTS

1.1 Tổng quan lịch sử phát triển mạng thông tin di động tế bào

Thông tin di động bắt đầu từ những năm 1920, khi các cơ quan an ninh của Mỹ bắt đầu sử dụng điện thoại vô tuyến, dù chỉ là ở các căn cứ thí nghiệm Công nghệ vào thời điểm đó đã có những thành công nhất định trên các chuyến tàu hàng hải, nhưng nó vẫn chưa thực sự thích hợp cho thông tin trên bộ Các thiết bị còn khá cồng kềnh và công nghệ vô tuyến vẫn còn gặp khó khăn khi đối diện với những toà nhà lớn ở thành phố

Vào năm 1930, đã có một bước tiến xa hơn với sự phát triển của điều chế FM, được sử dụng ở chiến trường trong suốt thế chiến thứ hai Sự phát triển này kéo dài đến cả thời bình, và các dịch vụ di động bắt đầu xuất hiện vào những năm 1940 ở một

số thành phố lớn Tuy vậy, dung lượng của các hệ thống đó rất hạn chế, và phải mất nhiều năm thông tin di động mới trở thành một sản phẩm thương mại Đến nay hệ thống thông tin di động tế bào đã có ba thế hệ: thứ nhất (1G); thứ hai (2G) và thứ ba (3G)

NMT (900)

TACS

GSM (900)

Mx WCDMA

SMR

GSM (1800) GSM (1900)

IS-136 TDMA (800) IS-95 CDMA (800)

IS-136 (1900) IS-95 (J-STD-008) (1900)

Hình 1.1: Quá trình phát triển của các nền tảng thông tin di động từ 1G đến 3G

1.1.1 Hệ thống thông tin di động thế hệ thứ nhất (1G)

Thế hệ điện thoại di động đầu tiên ra đời trên thị trường vào những năm 70 và

80 của thế kỷ 20 Đấy là những điện thoại tương tự sử dụng kỹ thuật điều chế radio gần giống như kỹ thuật dùng trong radio FM

Các hệ thống 1G đảm bảo truyền dẫn tương tự dựa trên công nghệ ghép kênh phân chia theo tần số (FDM) với kết nối mạng lõi dựa trên công nghệ ghép kênh phân chia theo thời gian (TDM) Ví dụ điển hình cho hệ thống này là hệ thống điện thoại di động tiên tiến (AMPS) được sử dụng trên toàn nước Mỹ và hệ thống điện thoại di động Bắc Âu (NMT) Thông thường các công nghệ 1G được triển khai tại một nước hoặc nhóm các nước, không được tiêu chuẩn hóa bởi các cơ quan tiêu chuẩn quốc tế

và không có mục đích dành cho sử dụng quốc tế Trong thế hệ điện thoại này, các cuộc thoại không được bảo mật

1.1.2 Hệ thống thông tin di động thế hệ thứ hai (2G)

Khác với 1G, các hệ thống 2G được thiết kế để triển khai cho mục đích sử dụng quốc tế Thiết kế 2G nhấn mạnh hơn về tính tương thích, khả năng chuyển mạng phức tạp và sử dụng truyền dẫn tiếng số hóa trên giao diện vô tuyến Ví dụ điển hình

về các hệ thống 2G là: GSM và cdmaOne (dựa trên tiêu chuẩn TIA IS-95)

Thế hệ thứ hai 2G của mạng di động chính thức ra mắt trên chuẩn GSM của Hà Lan, do Công ty Radiolinja (Nay là một bộ phận của Elisa) triển khai vào năm 1991.Lịch sử ra đời và phát triển của mạng thông tin di động GSM (2G):

- Năm 1986: CEPT lập nhiều vùng thử nghiệm tại Paris để lựa chọn công nghệ truyền phát Kỹ thuật đa truy nhập phân chia thời gian (TDMA) và đa truy nhập phân chia tần số (FDMA) đã được lựa chọn Hai kỹ thuật trên đã được kết hợp để tạo nên công nghệ phát cho GSM Các nhà khai thác của 12 nước Châu Âu đã cùng ký bản ghi nhớ (MoU) quyết tâm giới thiệu GSM vào năm 1991

- Năm 1988: CEPT bắt đầu xây dựng đặc tả GSM cho giai đoạn hiện thực; thêm

5 nước gia nhập MoU

- Năm 1991: Chuẩn GSM 1800 đã được công bố Thống nhất cho phép các nước ngoài CEPT được quyền tham gia bản MoU

- Năm 1992: Đặc tả giai đoạn 1 hoàn tất Mạng GSM giai đoạn 1 thương mại đầu tiên được công bố Thỏa thuận chuyển vùng (roaming) quốc tế đầu tiên giữa Telecom Finland và Vodafone (Anh) được ký kết

- Năm 1994: MoU có hơn 100 tổ chức tại 60 nước cùng tham gia, nhiều mạng GMS ra đời và tổng số thuê bao lên đến con số 3 triệu

- Năm 1995: Đặc tả cho Dịch vụ Liên lạc Cá nhân (PCS-Personal Communications Service) được phát triển tại Mỹ, đây là một phiên bản GSM hoạt

động trên tần số 1900MHz GSM tiếp tục phát triển nhanh tăng thêm 10.000 thuê bao mỗi ngày

- Năm 1998: MoU có 253 thành viên trên 100 nước và có trên 70 triệu thuê bao trên toàn cầu, chiếm 31% thị trường di động thế giới

- Tháng 6/2002: Hiệp hội GSM có 600 thành viên, đạt 709 triệu thuê bao (chiếm 71% thị trường di động số) trên 173 quốc gia

- Năm 2001, để tăng thông đường truyền phục vụ nhu cầu truyền thông tin (không phải thoại) trên mạng di động, GPRS đã ra đời (đôi khi được xem như thế hệ 2.5G) Tốc độ truyền dữa liệu của GSM chỉ bằng 9.6Kbps GPRS đã cải tiến tốc độ truyền tăng lên gấp 3 lần tương đương với 20-30Kbps, cho phép phát triển dịch vụ WAP và internet (email) tốc độ thấp

- Năm tiếp theo, 2003, EDGE đã ra đời với khả năng cung ứng tốc độ lên được

250 Kbps (trên lý thuyết) EDGE còn được biết đến như là 2.75G (trên con đường tiến tới 3G)

Ba lợi ích chủ yếu của mạng 2G là:

 Những cuộc gọi di động được mã hóa kĩ thuật số;

 Cho phép tăng hiệu quả kết nối các thiết bị;

 Bắt đầu có khả năng thực hiện các dịch vụ số liệu trên điện thoại di động - khởi đầu là tin nhắn SMS

Những công nghệ 2G được chia làm hai dòng chuẩn: TDMA và CDMA, tùy thuộc vào hình thức ghép kênh được sử dụng Các chuẩn công nghệ chủ yếu của 2G bao gồm:

- GSM (thuộc TDMA) có nguồn gốc từ châu Âu nhưng đã được sử dụng trên tất

cả các quốc gia ở 6 lục địa Ngày nay, công nghệ GSM vẫn còn được sử dụng với 80%

số lượng điện thoại di động trên thế giới

- IS-95 còn gọi là AKA CDMAOne (thuộc CDMA, thường được gọi ngắn gọn

là CDMA tại Mỹ) được sử dụng chủ yếu ở Châu Mỹ và một số vùng thuộc Châu Á Ngày nay, những thuê bao sử dụng chuẩn này chiếm khoảng 17% trên toàn thế giới Hiện tại, ở các nước Mexico, Ấn Độ, Úc và Hàn Quốc có rất nhiều nhà cung cấp mạng CDMA chuyển sang cung cấp mạng GSM

- PDC (thuộc TDMA) là mạng tư nhân, được Nextel sử dụng tại Mỹ và Telus Mobility triển khai ở Canada

- IS-136 aka D-AMPS (thuộc TDMA và thường được gọi tắt là TDMA tại Mỹ)

đã từng là mạng lớn nhất trên thị trường Mỹ nay cũng đã chuyển sang GSM

Thuận lợi và khó khăn của 2G:

Ở công nghệ 2G tín hiệu kĩ thuật số được sử dụng để trao đổi giữa điện thoại và các tháp phát sóng, làm tăng hiệu quả trên 2 phương diện chính:

a) Dữ liệu số thoại có thể được nén và ghép kênh hiệu quả hơn so với mã hóa Analog nhờ sử dụng nhiều hình thức mã hóa, cho phép nhiều cuộc gọi cùng được mã hóa trên một dải băng tần

b) Hệ thống kĩ thuật số được thiết kế giảm bớt năng lượng sóng radio phát từ điện thoại, nhờ vậy đầu cuối 2G nhỏ gọn hơn; đồng thời giảm chi phí đầu tư những tháp phát sóng Mạng 2G trở nên phổ biến cũng do triển khai một số dịch vụ dữ liệu như Email và SMS; đồng thời mức độ bảo mật cá nhân cũng cao hơn Tuy nhiên, hệ thống mạng 2G cũng có những nhược điểm, ví dụ ở những nơi dân cư thưa thớt, sóng kĩ thuật số yếu có thể không tới được các tháp phát sóng Tại những địa điểm như vậy chất lượng truyền sóng cũng như chất lượng cuộc gọi sẽ bị giảm đáng kể

Thế hệ di động 2,5G

2,5G chính là bước đệm chuyển đổi từ công nghệ 2G sang công nghệ 3G trong công nghệ điện thoại không dây Khái niệm 2,5G được dùng để miêu tả hệ thống di động 2G có cả hệ thống chuyển mạch gói và lẫn chuyển mạch kênh truyền thống

2,5G cung cấp một số lợi ích của mạng 3G (ví dụ chuyển mạch gói) dựa trên cơ

sở hạ tầng đang tồn tại của 2G trong các mạng GSM và CDMA GPAS là công nghệ được các nhà cung cấp dịch vụ viễn thông GSM sử dụng Các giao thức như EDGE cho GSM và CDMA 2000 1x-RTT cho CDMA có thể đạt chất lượng như các dịch vụ 3G (tốc độ truyền dữ liệu 144Kb/s) được xem như dịch vụ 2,5G bởi chậm hơn vài lần

so với dịch vụ 3G thật sự

1.1.3 Hệ thống thông tin di động thế hệ thứ ba (3G)

Công nghệ thông tin di động số 3G này liên quan đến những cải tiến đang được thực hiện trong lĩnh vực truyền thông không dây cho điện thoại và dữ liệu thông qua nhiều chuẩn Đầu tiên là tăng tốc độ bit truyền từ 9.5Kbps lên 2Mbps Khi số lượng thiết bị cầm tay được thiết kế để truy cập Internet gia tăng, yêu cầu đặt ra là phải có được công nghệ truyền thông không dây nhanh hơn và chất lượng hơn Công nghệ này

sẽ nâng cao chất lượng thoại, và dịch vụ dữ liệu sẽ hỗ trợ việc gửi nội dung video và multimedia đến các thiết bị đầu cuối di động

Ngay từ những năm đầu của thập kỷ 90 người ta đã tiến hành nghiên cứu hoạch định hệ thống thông tin di động thế hệ ba ITU-R đang tiến hành công tác tiêu chuẩn hóa cho hệ thống thông tin di động toàn cầu IMT-2000 Ở châu Âu ETSI đang tiến hành tiêu chuẩn hóa phiên bản này với tên gọi là UMTS Hệ thống mới này sẽ làm việc ở dải tần 2GHz, nó sẽ cung cấp các dịch vụ thoại, số liệu tốc độ cao và video Tốc

độ cực đại của người sử dụng có thể lên đến 2Mbps Người ta cũng đang tiến hành nghiên cứu các hệ thống vô tuyến thế hệ thứ tư có tốc độ lên đến 32Mbps

Có thể coi một hệ thống thông tin di động là 3G nếu nó đáp ứng một số các yêu cầu được liên minh viễn thông quốc tế (ITU) đề ra sau đây:

 Hoạt động ở một trong số các tần số được ấn định cho dịch vụ 3G;

 Phải cung cấp các dịch vụ số liệu mới cho người sử dụng bao gồm cả đa phương tiện, độc lập với công nghệ giao diện vô tuyến;

 Phải hỗ trợ truyền dẫn số liệu di động tại 144 Kbps cho những người sử dụng di động tốc độ cao và truyền dẫn số liệu lên đến 2Mbps cho những người sử dụng

cố định hoặc di động tốc độ thấp;

 Phải cung cấp các dịch vụ số liệu gói (các dịch vụ không dựa trên kết nối chuyển mạch kênh (CS) đến mạng số liệu dựa trên chuyển mạch gói (PS));

 Phải đảm bảo tính độc lập của mạng lưới với giao diện vô tuyến

Một số hệ thống 2G đang tiến hóa đến các yêu cầu trên Điều này dẫn đến một hậu quả không mong muốn là làm sai lệch thuật ngữ "các thế hệ" Chẳng hạn, GSM khi tăng cường thêm dịch vụ vô tuyến gói chung (GPRS), nó trở nên phù hợp với nhiều tiêu chuẩn 3G nhưng không hẳn là 2G hay 3G mà là loại "giữa các thế hệ" Vì thế hệ thống GSM được tăng cường GPRS hiện nay được gọi là hệ thống 2,5G

1.2 Hệ thống thông tin di động 3G UMTS

UMTS được dự đoán sẽ là một giải pháp cho các dịch vụ di động toàn cầu với khả năng cung cấp dịch vụ đa dạng và rộng khắp bao gồm thoại, tin nhắn, internet và

dữ liệu băng thông rộng cho video và multimedia

1.2.2 Lịch sử phát triển UMTS

Năm 1992 hội nghị vô tuyến quốc tế tổ chức tại Malaga đã lựa chọn tần số dành cho hệ thống UMTS và được công nhận là bộ phận của IMT-2000, định nghĩa bởi ITU Năm 1995 nghiên cứu UMTS được bắt đầu và đến năm 1996 diễn đàn UMTS được mở ra lần đầu tiên tại Zurich Hiện tại các chỉ tiêu kỹ thuật được thực hiện bởi 3GPP

Do sự đa dạng của các công nghệ di động mà các hướng phát triển lên thế hệ thứ ba cũng khác nhau Phổ biến đó là từ mạng CDMA lên CDMA 2000 1x rồi đến CDMA 2000 3x và từ GSM lên UMTS như chỉ ra dưới đây

Hình 1.2: Lộ trình phát triển lên 3G

1.2.3 Đặc trƣng của mạng UMTS

Hệ thống thông tin di động thế hệ 3 UMTS tận dụng kiến trúc đã có trong hầu hết các hệ thống thông tin di động thế hệ 2 Đặc điểm nổi bật nhất của mạng 3G là khả năng hỗ trợ một lượng lớn các khách hàng trong việc truyền tải âm thanh và dữ liệu - đặc biệt là ở các vùng đô thị - với tốc độ cao hơn và chi phí thấp hơn mạng 2G

UMTS dùng công nghệ W-CDMA, hỗ trợ tốc độ truyền dữ liệu về lí thuyết lên đến 21Mbps Hiện nay, tại đường xuống, tốc độ này chỉ có thể đạt 384 kbps (với đầu cuối hỗ trợ chuẩn R99), hay 7.2Mbps (đầu cuối hỗ trợ HSPDA)

Từ năm 2006, mạng UMTS được nhiều quốc gia nâng cấp lên và được xem như mạng 3.5G với chuẩn HSPDA cho phép tốc độ truyền đường xuống đạt 21Mbps Hiện tại, tốc độ truyền dữ liệu cao của UMTS thường dành để truy cập Internet UMTS kết hợp giao diện vô tuyến WCDMA, TD-CDMA, hay TD-SCDMA, các lõi ứng dụng di động của GSM (MAP) và các chuẩn mã hóa thoại của GSM

UMTS (W-CDMA) dùng các cặp kênh 5Mhz trong kỹ thuật truyền dẫn UTRA/FDD Băng tần ấn định cho UMTS là 1885-2025 MHz với đường lên và 2110-

2200 MHz cho đường xuống [Ở Mỹ băng tần thay thế là 1710-1755 MHz và

2110-2155 MHz do băng tần 1900MHz đã được dung]

Hệ thống 3G UMTS sử dụng công nghệ đa truy nhập phân chia theo mã băng rộng (WCDMA) Các thông số nổi bật đặc trưng cho WCDMA như sau:

 WCDMA sử dụng trải phổ chuỗi trực tiếp (DSSS)

 WCDMA có tốc độ chip là 3,84 Mc/s (băng thông xấp xỉ 5MHz) Khoảng cách giữa các sóng mang thực tế có thể được chọn trong khoảng từ 4,4MHz đến 5MHz tuỳ thuộc vào nhiễu giữa các sóng mang;

 WCDMA hỗ trợ các tốc độ dữ liệu người dùng khác nhau Mỗi người sử dụng được cấp các khung có độ rộng 10ms Tuy nhiên dung lượng người sử dụng có

thể thay đổi giữa các khung Việc cấp phát nhanh dung lượng vô tuyến thông thường sẽ được điều khiển bởi mạng để đạt được thông lượng tối ưu cho các dịch vụ dữ liệu gói;

 WCDMA hỗ trợ hai mô hình hoạt động cơ bản Chế độ song công phân chia theo tần số (FDD) và song công phân chia theo thời gian (TDD) Trong chế độ FDD, đường lên và đường xuống sử dụng các sóng mang 5MHz có tần số khác nhau Trong khi ở chế đố TDD, các đường lên và xuống sử dụng cùng tần số nhưng ở các khoảng thời gian khác nhau;

 WCDMA hỗ trợ hoạt động của các trạm gốc dị bộ, nên không cần chuẩn thời gian toàn cầu như ở hệ thống định vị toàn cầu (GPS) Việc triển khai các trạm gốc micro và trạm gốc indoor sẽ dễ dàng hơn khi nhận tín hiệu mà không cần GPS;

 WCDMA áp dụng kỹ thuật tách sóng kết hợp trên cả đường lên và đường xuống dựa vào việc sử dụng kênh hoa tiêu;

 Giao diện vô tuyến WCDMA được xây dựng một cách khéo léo theo cách của các bộ thu RAKE tiên tiến, có khả năng tách sóng của nhiều người dùng và các anten thích ứng thông minh, giao diện vô tuyến có thể được triển khai bởi các nhà điều khiển mạng như một hệ thống được chọn lựa để tăng dung lượng và vùng phủ sóng

Mạng thông tin di động 3G lúc đầu sẽ là mạng kết hợp giữa các vùng chuyển mạch gói (PS) và chuyển mạch kênh (CS) để truyền số liệu gói và tiếng Các trung tâm chuyển mạch gói sẽ là các chuyển mạch sử dụng công nghệ ATM Trên đường phát triển đến mạng toàn IP, chuyển mạch kênh sẽ dần được thay thế bằng chuyển mạch gói Các dịch vụ kể cả số liệu lẫn thời gian thực (như tiếng và video) cuối cùng sẽ được truyền trên cùng một môi trường IP bằng các chuyển mạch gói

1.2.4 Chuyển mạch kênh, chuyển mạch gói, các loại lưu lượng và dịch vụ được 3G UMTS hỗ trợ

1.2.4.1 Chuyển mạch kênh (CS: Circuit Switch)

a Chuyển mạch kênh

Thiết bị chuyển mạch sử dụng cho chuyển mạch kênh (CS) trong các tổng đài của hệ thống 2G thực hiện chuyển mạch kênh trên cơ sở ghép kênh theo thời gian, trong đó mỗi kênh có tốc độ 64Kb/s và vì thế phù hợp cho việc truyền các ứng dụng làm việc tại tốc độ cố định 64Kb/s (chẳng hạn tiếng được mã hoá PCM)

b Dịch vụ của chuyển mạch kênh:

Dịch vụ chuyển mạch kênh có thể được thực hiện trên chuyển mạch kênh (CS) hoặc chuyển mạch gói (PS) Thông thường dịch vụ này được áp dụng cho các dịch vụ thời gian thực (chủ yếu là dịch vụ thoại)

1.2.4.2 Chuyển mạch gói (PS: Packet Switch)

b Các dịch vụ của chuyển mạch gói

Dịch vụ chuyển mạch gói chỉ có thể được thực hiện trên chuyển mạch gói (PS) Dịch vụ này rất phù hợp cho các dịch vụ phi thời gian thực (như số liệu) Tuy nhiên,

sự phát triển của công nghệ dịch vụ này cũng được áp dụng cho các dịch vụ thời gian thực (như VoIP)

Hình 1.3: Chuyển mạch kênh (CS) và chuyển mạch gói (PS)

Chuyển mạch gói có thể thực hiện trên cơ sở ATM hoặc IP

 Chuyển mạch (ATM): Với thiết bị chuyển mạch ATM cho phép chuyển mạch nhanh trên cơ sở chuyển mạch phần cứng tham chuẩn theo thông tin định tuyến trong tiêu đề mà không thực hiện phát hiện lỗi trong từng tế bào Thông tin định tuyến trong tiêu đề gồm: đường dẫn ảo (VP) và kênh ảo (VC) Điều khiển kết nối bằng VC (tương ứng với kênh của người sử dụng) và VP (là một bó các VC) cho phép việc khai thác và quản lý có khả năng mở rộng và có độ linh hoạt cao Thông thường VP được thiết lập trên cơ sở số liệu của hệ thống tại thời điểm xây dựng mạng Việc sử dụng ATM trong mạng lõi có nhiều ưu điểm: có thể quản lý lưu lượng kết hợp với RAN, cho phép thực hiện các chức năng CS và PS trong cùng một kiến trúc và thực hiện khai thác cũng như điều khiển chất lượng liên kết

 Chuyển mạch IP: Mạng thông tin di động 3G băng rộng sử dụng các dịch vụ Internet (với các giao thức TCP/IP) Do vị trí của đầu cuối di động thay đổi nên cần phải có quá trịnh định vị, định tuyến theo vị trí hiện thời của MS Có hai cơ chế để thực hiện điều này: IP di động (MIP) và giao thức đường hầm GPRS (GTP) Tunnel là một đường truyền mà tại đầu vào của nó gói IP được đóng bao vào một tiêu đề mang địa chỉ nơi nhận (trong trường hợp này là địa chỉ hiện thời của máy di động) và tại đầu

ra gói IP được tháo bao bằng cách loại bỏ tiêu đề bọc ngoài

Hình 1.4: Đóng bao và tháo bao cho gói IP trong quá trình truyền tunnel

Vì 3G UMTS được phát triển từ những năm 1999 khi mà ATM là công nghệ chuyển mạch gói chủ đạo nên các tiêu chuẩn cũng được xây dựng trên công nghệ này

1.2.4.3 Các lưu lượng và dịch vụ được 3G UMTS hỗ trợ

Mạng 3G UMTS hỗ trợ các dịch vụ tryền thông đa phương tiện vì thế mỗi kiểu lưu lượng cần đảm bảo một mức QoS nhất định tuỳ theo ứng dụng của dịch vụ và

được phân loại như sau:

 Loại hội thoại (Conversational, rt): thông tin tương tác yêu cầu trễ nhỏ (ví dụ

như thoại);

 Loại luồng (Streaming, rt): thông tin một chiều đòi hỏi dịch vụ luồng với trễ

nhỏ (ví dụ như phân phối truyền hình thời gian thực);

 Loại tương tác (Interactive, nrt): đòi hỏi trả lời trong một thời gian nhất định và

tỷ lệ lỗi thấp (ví dụ trình duyệt Web, truy nhập Server);

 Loại nền (Background, nrt): đòi hỏi các dịch vụ nỗ lực nhất được thực hiện trên nền cơ sở (ví dụ E-mail, file tải xuống)

Môi trường hoạt động của 3G UMTS được chia thành bốn vùng với các tốc độ bit (Rb) phục vụ như sau:

- Vùng 1: trong nhà, ô pico, Rb ≤ 2Mb/s;

- Vùng 2: thành phố, ô micro, Rb ≤ 384Kb/s;

- Vùng 2: ngoại ô, ô macro, Rb ≤ 144Kb/s;

- Vùng 4: Toàn cầu, Rb = 12,2Kb/s

1.2.5 Kiến trúc mạng UMTS

Một mạng UMTS gồm 3 phần:

A Thiết bị người sử dụng (UE: User Equipment) gồm 2 loại thiết bị:

 Đầu cuối di động (ME);

 Modul nhận dạng thuê bao (USIM)

B Mạng truy cập vô tuyến mặt đất UMTS (UTRAN) gồm các nút B và các hệ thống mạng vô tuyến (RNS: Radio Network System), mỗi RNS bao gồm bộ điều khiển mạng vô tuyến (RNC: Radio Network Controller) và các BTS nối với nó

C Mạng lõi (CN: Core Network)

 Chuyển mạch kênh (CS);

 Chuyển mạch gói (PS);

 Môi trường mạng (HE) gồm: AuC, HLR và EIR Phần lõi chứa cơ sở dữ liệu cho dữ liệu gồm SGSN, GGSN, cho thoại gồm MCS và GMSC

Hình 1.5: Kiến trúc mạng UMTS

1.2.5.1 Thiết bị người sử dụng

 Thiết bị (UE) là đầu cuối mạng UMTS là phần hệ thống có số lượng thiết bị nhiều nhất và ảnh hưởng lớn đến các ứng dụng và dịch vụ khả dụng của công nghệ 3G Giá thành của UE giảm nhanh chóng nhờ tiêu chuẩn hóa giao diện vô tuyến và cài đặt trí tuệ của các thẻ thông minh (USIM)

Các chức năng chính của UE thường là:

i Giao diện thẻ UICC chứa vi mạch nhận dạng thuê bao toàn cầu (USIM) và có thể thêm thẻ xác thực IMS

ii Chức năng đăng ký và hủy đăng ký mạng và dịch vụ;

iii Chức năng cập nhật vị trí;

iv Thực hiện các dịch vụ hướng kết nối và không kết nối;

v Một số nhận dạng không thay đổi được - IMEI;

vi Chức năng xác nhận các dịch vụ cơ bản;

vii Hỗ trợ gọi khẩn cấp không cần USIM;

viii Hỗ trợ thực thi các thuật toán mã hóa và nhận thực

Bên cạnh đó UE còn có thể có thêm các chức năng do hãng cung cấp bao gồm:

- Một hay nhiều USIM và các thành phần ứng dụng tương ứng;

- Có thể có ISIM cho các dịch vụ IMS

Đầu cuối di động cung cấp các chức năng ứng dụng người dùng như máy trạm điều khiển cuộc gọi, mã hóa và quản lý phiên Đầu cuối hỗ trợ 2 giao diện: Giao diện Uu là liên kết vô tuyến giữa UE với UTRAN (giao diện WCDMA), nó đảm nhiệm toàn bộ kết nối vật lí với mạng UMTS; Giao diện Cu giữa UICC với đầu cuối, giao diện này tuân theo tiêu chuẩn cho các thẻ thông minh

 USIM: Trong hệ thống GSM, SIM card lưu giữ thông tin cá nhân (đăng ký

thuê bao) cài cứng trên card Nhưng trong 3G UMTS, USIM được cài như một ứng dụng trên UICC Điều này cho phép lưu nhiều ứng dụng hơn và nhiều khóa điện tử hơn phục vụ cho nhiều mục đích khác nhau (ví dụ như mã điều khiển truy nhập, an ninh giao dịch …) Ngoài ra còn có nhiều USIM còn để hỗ trợ truy nhập đến nhiều mạng khác nhau

USIM chứa các hàm và số liệu cần thiết để nhận dạng và nhận thực thuê bao trong mạng UMTS Nó có thể lưu cả bản sao lí lịch của thuê bao.Người nhận thực phải

tự mình nhận thực đối với USIM bằng cách nhập mã PIN Đđảm bảo tính riêng tư của người sử dụng mạng UMTS

1.2.5.2 Mạng truy nhập vô tuyến UMTS (UTRAN)

Nhiệm vụ chính của UTRAN là tạo và duy trì các kênh truy nhập vô tuyến (RAB) phục vụ cho liên lạc giữa người sử dụng (UE) và mạng lõi (CN) UTRAN sử dụng công nghệ đa truy nhập băng thông rộng phân chia theo mã WCDMA

Cấu trúc UTRAN:

Mạng vô tuyến mặt đất toàn cầu bao gồm các hệ thống mạng vô tuyến con (RNS), mỗi RNS bao gồm nhiều trạm gốc (BS hay còn được gọi là Node B) và một hệ thống quản lý mạng không dây Các UE và BS giao tiếp thông qua giao diện Uu trong khi đó giữa các RNS có các giao diện Iur và giữa BS và RNC được giao tiếp thông qua giao diện Iub (giao diện trên nền công nghệ truyền dẫn ATM)

Được coi như phần rìa vô tuyến của UTRAN, nhiệm vụ của BS là thu và nhận tín hiệu (Rx và Tx), lọc và khuếch đại tín hiệu, điều chế và giải điều chế tín hiệu, và giao tiếp với mạng trong Cấu trúc của BS tùy thuộc vào từng nhà cung cấp và chứa các thành phần như hình 1.7

BS (hay Node B) là đơn vị vật lý sử dụng cho việc truyền và nhận thông qua các tế bào (Cell) Một tế bào là đơn vị nhỏ nhất của mạng vô tuyến được cấp một số nhận dạng và được quan sát bởi các UE Tùy thuộc vào sự phân chia tế bào mà một hoặc nhiều tế bào sẽ được phục vụ bởi một Node B Một Node B có thế đặt cùng chỗ với các BTS của hệ thống GSM để hạn chế giá thành và cho phép

Hình 1.7: Cấu trúc của trạm gốc

- Sửa lỗi (FEC)

- Tương thích tốc độ

- Trải phổ và giải trải phổ

- Điều chế QPSK

- Điều khiển tốc độ lỗi khung (FER)

- Thực hiện chuyển giao mềm với FDD

- Tham gia quá trình điều khiển công xuất

b Bộ điều khiển truy nhập RNC

RNC là thành phần điều khiển và chuyển mạch trong UTRAN nằm giữa giao diện Iub và giao diện Iu RNC quản lý và điều khiển tài nguyên của các trạm gốc BTS (Nút B) Đây là điểm truy nhập dịch vụ mà UTRAN cung cấp cho mạng lõi CN RNC

nối đến CN bằng hai kết nối, một cho miền PS đến SGSN và một cho miền CS đến

MSC

Một nhiệm vụ tương đối quan trọng của RNC là bảo vệ sự bí mật và toàn vẹn thông tin Sau khi thủ tục nhận thực và thỏa thuận khóa (AKA) hoàn tất, các khóa bí mật và toàn vẹn được lưu tại RNC, sau đó các khóa này được sử dụng bởi các hàm an ninh f8 và f9

Hình 1.8 Cấu trúc logic của RNC

RNC có các mô hình như sau:

 RNC điều khiển (CRNC): điều khiển tải và tắc nghẽn cho những tế bào nó quản

lý, CRNC cũng thực hiện điều khiển quản lý và phân mã cho các kết nối vô tuyến thiết lập trong các tế bào đó

 RNC phục vụ (SRNC): kết nối tới Iu cho việc truyền dữ liệu người dùng và giao tiếp các báo hiệu liên quan đến ứng dụng mạng truy nhập vô tuyến với mạng lõi SRSN cũng kế nối tới giao thức báo hiệu quản lý tài nguyên vô tuyến giữa UE và UTRAN Mỗi UE kết nối tới UTRAN chỉ có một SRNC

 RNC trôi (DRNC): Là bất kỳ RNC nào khác ngoài SRNC điều khiển các ô tế bào đang sử dụng bởi thiết bị di động DRNC được sử dụng trong kích hoạt kết nối thông qua chuyển giao mềm giữa các RNC Mỗi EU có thể không có hoặc một hoặc nhiều DRNC

1.2.5.3 Mạng lõi UMTS

a Cấu trúc chung của CN

Mạng lõi UMTS bao gồm các miền và các phân hệ được phân chia thành các thành phần như sau:

- Miền chuyển mạch kênh - PS domain ;

- Miền chuyển mạch gói - CS domain ;

- Môi trường nhà HE, gồm AuC, HLR và EIR

b Miền chuyển mạch kênh

3GPP R99 định nghĩa cấu trúc miền chuyển mạch kênh (CS domain) kế thừa trực tiếp từ hệ thống GSM Trong 3GPP R4, cấu trúc của miền CS được thêm cách thức thực thi thay thế, ở đây người vận hành có thể điều chỉnh chức năng quản lý miền

và lưu lượng chuyển phát một cách riêng rẽ

 MSC: MSC thực hiện kết nối CS giữa đầu cuối và mạng Nó thực hiện các

chức năng báo hiệu và chuyển mạch cho các thuê bao trong vùng mình quản lý Chức năng của MSC trong UMTS giống chức năng MSC trong GSM, nhưng nó có nhiều khả năng hơn Các kết nối CS được thực hiện trên giao diện CS giữa UTRAN và MSC Các MSC được kết nối với mạng ngoài qua GMSC

 GMSC: GMSC có thể là một trong số các MSC GMSC chịu trách nhiệm thực

hiện các chức năng định tuyến đến vùng MS Khi mạng ngoài tìm cách kết nối đến PLMN của nhà khai thác, GMSC nhận yêu cầu thiết lập kết nối và hỏi HLR về MSC hiện thời

 VLR: VLR là bản sao của HLR cho mạng phục vụ SN Dữ liệu thuê bao cần

thiết để cung cấp cho các dịch vụ thuê bao được sao chép từ HLR và lưu ở đây Cả MSC và SGSN đều có VLR nối với chúng Các số liệu được lưu trong VLR:

- IMSI

- MSISDN

- TMSI (nếu có)

- LA hiện thời của thuê bao

- MSC/SGSN hiện thời mà thuê bao nối đến

Ngoài ra, VLR có thể lưu giữ thông tin về các dịch vụ mà thuê bao được cung cấp Cả SGSN và MSC đều được thực hiện trên cùng một nút vật lý với VLR, vì thế được gọi là VLR/SGSN và VLR/MSC

c Miền chuyển mạch gói

Hai thành phần chính của miền PS là nút hỗ trợ GPRS phục vụ (SGSN) và nút

hỗ trợ cổng GPRS (GGSN)

SGSN chứa các chức năng đăng ký vị trí, như vậy dữ liệu được lưu trữ để sử dụng cho quá trình khởi tạo và kết thúc truyền dữ liệu gói Những dữ liệu này là các thông tin đăng ký bao gồm IMSI, các số định dạng tạm thời, thông tin vị trí, các địa chỉ giao thức giữ liệu gói v.v… GGSN cho phép các gói dữ liệu truy nhập thông qua đánh giá địa chỉ PDP Trong miền PS có một khái niệm được sử dụng rất phổ biến đó

là “PDP context” “PDP context ” là các tham số trong quá trình quản lý phiên trao đổi

dữ liệu gói, nó chứa các thông tin mô tả kết nối thông qua các địa chỉ và thông số chất lượng dịch vụ Để gửi dữ liệu, SGSN phải biết GGSN nào “PDP context ” của người dùng tồn tại

 SGSN (Serving GPRS Support Node): SGSN là nút chính của miền chuyển

mạch gói, nó nối đến UTRAN thông qua giao diện IuPS và đến GGSN thông qua giao diện Gn SGSN chịu trách nhiệm cho tất cả kết nối PS của tất cả các thuê bao Nó lưu

2 kiểu dữ liệu thuê bao: thông tin đăng ký thuê bao và thông tin vị trí thuê bao Số liệu thuê bao trong SGSN gồm:

- IMSI

- Các nhận dạng tạm thời P-TMSI

- Các địa chỉ PDP (Packet Data Protocol: Giao thức số liệu gói)

Số liệu thuê bao lưu trên SGSN:

- Vùng định tuyến thuê bao RA

- Số VLR

- Các địa chỉ GGSN của từng GGSN có kết nối tích cực

Trong mạng lõi GPRS của một tổng đài (operator) không chỉ có một mà còn có rất nhiều SGSN Mỗi SGSN kết nối trực tiếp với một số RNC Mỗi RNC lại quản lý một số Node B, và mỗi Node-B sẽ có một số UE đang nối kết SGSN quản lý tất cả các UE đang sử dụng dịch vụ data trong vùng của nó Vài trò của SGSN là:

o Authenticate (xác minh) các UE đang dùng dịch vụ data nối kết với nó

o Quản lý việc đăng ký của một UE vào mạng GPRS (data),

o Quản lý quá trình di động của UE, cụ thể là SGSN phải biết UE hiện đang nối kết với Node-B nào tại một thời điểm Tùy theo UE đang ở mode active (đang liên lạc) hay idle (không liên lạc) mà độ chính xác của thông tin liên quan đến vị trí UE sẽ khác nhau SGSN sẽ phải quản lý và theo dõi sự thay đổi vị trí (location area identity/ routing area identity) của UE theo thời gian,

o Tạo dựng, duy trì và giải phóng các "PDP context" (các thông tin liên quan đến kết nối của UE mà nó cho phép/quy định việc gửi và nhận thông tin của UE),

o Nhận và chuyển thông tin từ ngoài mạng data (chẳng hạn như Internet) đến UE và ngược lại,

o Quản lý việc tính tiền (billing) đối với các UE,

o Tìm và đánh thức idle UE khi có cuộc gọi tìm đến UE (paging)

 GGSN (Gateway GPRS Support Node): GGSN là một SGSN kết nối với

các mạng số liệu khác Tất cả các cuộc truyền thông số liệu từ thuê bao đến các mạng ngoài đều qua GGSN Cũng như SGSN, nó lưu cả 2 kiểu số liệu: thông tin thuê bao và thông tin vị trí Số liệu thuê bao lưu trong GGSN bao gồm:

- IMSI,

- Các địa chỉ PDP

Số liệu vị trí lưu trong SSGN gồm những địa chỉ SGSN hiện thuê bao đang nối đến SGSN nối đến Internet thông qua giao diện Gi và đến cổng biên thông qua Gp Vài trò của của GGSN là:

- Nhận và chuyển thông tin từ UE gửi ra ngoài mạng external và ngược lại từ ngoài đến UE Gói thông tin từ SGSN gửi đến GGSN sẽ được

"decapsulate" trước khi gửi ra ngoài vì thông tin truyền giữa SGSN và GGSN

là truyền trên “GTP tunnel”

- Nếu thông tin từ ngoài đến GGSN để gửi tới một UE trong khi chưa tồn tại PDP context thì GGSN sẽ yêu cầu SGSN thực hiện paging và sau đó

sẽ thực hiện quá trình PDP context để chuyển cuộc gọi đến UE

- Trong suốt quá trình liên lạc thông qua nối kết mạng UMTS, UE sẽ chỉ connect với 1 GGSN (mà GGSN đó nối kết với dịch vụ UE đang dùng)

Dù có di chuyển đến đâu đi nữa, GGSN vẫn không đổi Dĩ nhiên là SGSN, RNC và Node-B sẽ thay đổi GGSN cũng tham gia vào quản lý quá trình di động của UE

- SGSN và GGSN đều có 1 địa chỉ IP cố định (có thể là IP riêng)

d Môi trường mạng

Môi trường mạng lưu các lý lịch thuê bao của hãng khai thác Nó cũng cung cấp cho các mạng phục vụ các thông tin thuê bao và cước cần thiết để nhận thực người sử dụng và tính cước cho các dịch vụ cung cấp Môi trường mạng bao gồm:

o HLR: HLR là một cơ sở dữ liệu có nhiệm vụ quản lý các thuê bao di động

Một mạng di động có thể chứa nhiều HLR tùy thuộc vào số lượng thuê bao, dung lượng của từng HLR và tổ chức bên trong mạng

Cơ sở dữ liệu này chứa IMSI, ít nhất một MSISDN và ít nhất một địa chỉ PDP

Cả IMSI và MSISDN có thể sử dụng làm khóa để truy nhập đến các thông tin được lưu khác Để định tuyến và tính cước cuộc gọi, HLR còn lưu trữ thông tin về SGSN

và VLR nào hiện đang chịu trách nhiệm về thuê bao Các dịch vụ khác như chuyển hướng cuộc gọi, tốc độ số liệu và thư thoại cũng có trong danh sách cùng với các hạn chế dịch vụ

HLR và AuC là hai nút mạng logic nhưng thường được thực hiện trong cùng một nút vật lý HLR lưu trữ mọi thông tin về người sử dụng và đăng kí thuê bao như thông tin tính cước, những dịch vụ nào được cung cấp và những dịch vụ nào bị

từ chối và thông tin chuyển hướng cuộc gọi Nhưng thông tin quan trọng nhất là hiên VLR và SGSN nào đang phụ trách người sử dụng

o AuC: lưu trữ toàn bộ số liệu cần thiết để nhận thực, mật mã hóa và bảo vệ sự

toàn vẹn thông tin cho người sử dụng Nó liên kết với HLR và được thực hiện cùng với HLR trong cùng một nút vật lý Tuy nhiên cần đảm bảo rằng AuC chỉ cung cấp thông tin về các vectơ nhận thực AV cho HLR

AuC lưu giữ khóa bí mật chia sẻ K cho từng thuê bao cùng với tất cả các hàm tạo khóa từ f0-f5 Nó tạo ra các Av cả trong thời gian thực khi SGSN/VLR yêu cầu hay khi tải xử lý thấp, lẫn các AV dự trữ

o EIR: Chịu trách nhiệm lưu các số nhận dạng thiết bị di động quốc tế IMEI Đây

là số nhận dạng duy nhất cho thiết bị đầu cuối Cơ sở dữ liệu này được chia thành 3 danh mục: Danh mục trắng, xám và đen

- Danh mục trắng: chứa các số IMEI được phép truy nhập mạng

- Danh mục xám: chứa IMEI của các đầu cuối đang bị theo dõi

- Danh mục đen: chứa các IMEI của các của các đầu cuối bị cấm truy nhập mạng Danh mục này cũng có thể được sử dụng để cấm các se-ri máy đặc biệt không được truy cập mạng khi chúng không hoạt động theo tiêu chuẩn

1.2.5.4 Các giao diện trong mạng

a Giao diện Iub

Giao diện Iub là một giao diện quan trọng nhất trong số các giao diện của hệ thống mạng UMTS do tất cả các lưu lượng đều được truyền tải qua giao diện này Đặc điểm của giao diện vật lý đối với BTS dẫn đến dung lượng Iub với BTS có một giá trị quy định Thông thường để kết nối với BTS ta có thể sử dụng luồng E1, E3 hoặc STM1 nếu không có thể sử dụng luồng T1, DS-3 hoặc OC-3 Như vậy, dung lượng của các đường truyền dẫn nối đến RNC có thể cao hơn tổng tải của giao diện Iub tại RNC.Chẳng hạn nếu ta cần đấu nối 100 BTS với dung lượng Iub của mỗi BTS là 2,5 Mbps, biết rằng cấu hình cho mỗi BTS hai luồng 2 Mbps và tổng dung lượng khả dụng của giao diện Iub sẽ là 100 x 2 x 2 = 400 Mbps Tuy nhiên tổng tải của giao diện Iub tại RNC vẫn là 250 Mbps chứ không phải là 400 Mbps

b Giao diện Iur

Giao diện Iur mang thông tin của các thuê bao thực hiện chuyển giao mềm giữa hai Node B ở các RNC khác nhau Tương tự như giao diện Iub, độ rộng băng của giao diện Iur gần bằng hai lần lưu lượng do việc chuyển giao mềm giữa hai RNC gây ra

c Giao diện Iu

Giao diện Iu là giao diện kết nối giữa mạng lõi CN và mạng truy nhập vô tuyến UTRAN Giao diện này gồm hai thành phần chính là:

 Giao diện Iu-CS: Giao diện này chủ yếu là truyền tải lưu lượng thoại giữa RNC

và MSC/VLR Việc định cỡ giao diện Iu-CS phụ thuộc vào lưu lượng dữ liệu chuyển mạch kênh mà chủ yếu là lượng tiếng

 Giao diện Iu-PS: Là giao diện giữa RNC và SGSN Định cỡ giao diện này phụ thuộc vào lưu lượng dữ liệu chuyển mạch gói Việc định cỡ giao diện này phức tạp hơn nhiều so với giao diện Iub vì có nhiều dịch vụ dữ liệu gói với tốc độ khác nhau truyền trên giao diện này

CN có thể kết nối đến nhiều UTRAN cho cả giao diện IuCS và IuPS nhưng một UTRAN chỉ có thể kết nối đến một điểm truy nhập CN

d.Giao diện Uu

Đây là giao diện không dây (duy nhất) của mạng UMTS Liên lạc trên giao diện này dựa vào kỹ thuật FDD/TDD WCDMA Giao diện Uu sẽ giới hạn tốc độ truyền thông tin của mạng UMTS Nếu ta có thể tăng tốc độ dữ liệu của giao diện này thì ta

có thể tăng tốc độ của mạng UMTS Thế hệ tiếp theo của UMTS đã sử dụng OFDMA kết hợp MIMO thay vì WCDMA để tăng tốc độ

1.2.5.5 Các mạng ngoài

Các mạng ngoài không phải là bộ phận của hệ thống UMTS nhưng chúng cần thiết để đảm bảo truyền thông giữa các nhà khai thác Các mạng ngoài có thể là mạng điện thoại như: PLMN, PSTN, ISDN hay các mạng số liệu như Internet Miền PS kết nối đến các mạng số liệu còn miền CS nối đến các mạng điện thoại

1.3 Kết luận chương

Kế thừa kiến trúc nền tảng của mạng GMS cộng thêm những cải tiến về cấu tạo như USIM có dung lượng lớn, tốc độ xử lý cao và chạy trên UICC, sự xuất hiện của RNC… tạo cho mạng UMTS nhiều tính năng bảo mật hơn so với mạng GSM

CHƯƠNG 2:

KỸ THUẬT BẢO MẬT TRONG THÔNG TIN DI ĐỘNG

Ngày nay, hệ thống thông tin di động đang ngày càng được sử dụng nhiều hơn cho cá nhân và thương mại Những cuộc đàm thoại này thường liên quan đến những

dữ liệu nhạy cảm, các bí mật kinh doanh, hoặc các thông tin cá nhân Phần lớn người dùng điện thoại di động ít quan tâm đến việc bảo mật thông tin liên lạc của họ, sự riêng tư của dữ liệu của người dùng, và bảo vệ thiết bị điện thoại di động của họ Với việc các thiết bị điện thoại di động đã được sử dụng phổ biến, nhiều người đã trở nên quan tâm đến sự riêng tư của thông tin liên lạc Đặc biệt, ta nhận ra rằng điện thoại di động dễ dàng được theo dõi và phát hiện vị trí của người sử dụng Ngoài ra, nhiều người sử dụng đã quan tâm hơn đến các cách cung cấp dịch vụ của nhà khai thác mạng

để đảm bảo thanh toán chính xác và xác thực, đặc biệt là khi chúng được chuyển vùng theo mạng lưới nước ngoài (chuyển vùng quốc tế) Vấn đề bảo mật trong thông tin di động đã được quan tâm, nó trở thành tiêu trí để người dùng lựa chọn nhà cung cấp dịch vụ cho mình

2.1 Các đe dọa an ninh

Muốn đưa ra các giải pháp an ninh, trước hết ta cần nhận biết các đe dọa tiềm

ẩn có nguy hại đến an ninh của hệ thống thông tin Có bốn hiểm họa đe dọa vấn đề bảo mật thường gặp trong mạng là: đóng giả, giám sát, làm giả và ăn trộm

Giám sát rất nguy hiểm vì nó được thực hiện dễ dàng nhưng lại khó bị phát hiện Ngoài ra, các công cụ giám sát dễ có và dễ cấu hình Để chống lại các công cụ

giám sát tinh vi, mật mã hóa số liệu là biện pháp bảo vệ hữu hiệu nhất Dù kẻ sử dụng trái phép có truy nhập được vào số liệu đã được mật mã nhưng không thể giải mã được

số liệu này Vì thế, ta cần đảm bảo rằng giao thức mật mã được sử dụng hầu như không thể bị phá vỡ

2.1.3 Làm giả

Làm giả số liệu hay còn gọi là đe dọa toàn vẹn liên quan đến chặn truyền dẫn số liệu so với dạng ban đầu với dụng ý xấu Quá trình này liên quan đến cả chặn truyền số liệu lẫn các số liệu được lưu trên các máy chủ (Server) hay máy khách (Client) Số liệu

bị thay đổi sau đó được truyền đi như bản gốc Áp dụng mật mã hóa, nhận thực và trao quyền là cách để chống làm giả số liệu

2.1.4 Ăn cắp

Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin di động Ta không chỉ

bị mất thiết bị mà còn cả các thông tin bí mật được lưu trong đó Điều này đặc biệt nghiêm trọng đối với các máy khách (Client) thông minh, vì chúng thường chứa số liệu không đổi và bí mật Vì thế, ta cần tuân theo các nguyên tắc sau để đảm bảo an ninh đối với các thiết bị di động:

i Khóa thiết bị bằng tổ hợp tên người sử dụng hoặc mật khẩu để chống truy nhập

dễ dàng;

ii Yêu cầu nhận thực khi truy nhập đến các ứng dụng lưu trong thiết bị;

iii Không lưu các mật khẩu trên thiết bị;

iv Mật mã tất cả các phương tiện lưu số liệu cố định;

v Áp dụng các chính sách an ninh đối với người sử dụng di động;

Nhận thực, mật mã cùng các chính sách bảo mật là các biện pháp để ngăn chặn việc truy nhập trái phép số liệu từ các thiết bị di động bị mất hoặc bị lấy cắp

2.2 Tạo lập một môi trường an ninh

An ninh đầu cuối là sự đảm bảo cho truyền dẫn số liệu được an toàn, nguyên vẹn trên toàn bộ đường truyền từ đầu phát đến đầu thu Để đảm bảo an ninh đầu cuối,

ta cần xét đến toàn bộ môi trường an ninh bao gồm toàn bộ môi trường truyền thông,

nó bao gồm: truy nhập mạng, các phần tử trung gian các ứng dụng máy khách (client)

Có 5 mục tiêu quan trọng và liên quan đến việc tạo lập môi trường an ninh

2.2.1 Nhận thực

Nhận thực là quá trình kiểm tra sự hợp lệ của các đối tượng tham gia thông tin

Đối với các mạng vô tuyến, quá trình này thường được thực hiện ở 2 lớp: a) lớp mạng

và b) lớp ứng dụng Lớp mạng thường đòi hỏi người sử dụng phải được nhận thực

trước khi truy nhập mạng Tại lớp ứng dụng, nhận thực quan trọng tại 2 mức: máy khách (Client) và máy chủ (Server) Để được truy cập mạng máy khách (Client) phải

chứng tỏ với máy chủ (Server) rằng bản tin của nó phải hợp lệ Đồng thời trước khi máy khách (Client) cho phép một máy chủ (Server) nối đến nó, máy chủ phải tự mình nhận thực với ứng dụng máy khách Cách nhận thực đơn giản nhất nhưng cũng kém an toàn nhất là kết hợp tên người sử dụng và mật khẩu Các phương pháp tiên tiến hơn là

sử dụng các chứng nhận số hay các chữ kí điện tử

2.2.2 Toàn vẹn số liệu

Toàn vẹn số liệu là sự đảm bảo rằng số liệu truyền không bị thay đổi hay bị phá hoại trong quá trình truyền dẫn từ nơi phát đến nơi thu Điều này có thể được thực hiện bằng kiểm tra mật mã hay bằng mã nhận thực bản tin (Mesage Authentication Code - MAC) Thông tin này được cài vào chính bản tin được gửi đi bằng cách áp dụng một giải thuật bản tin Khi phía thu thu được bản tin, nó tính toán MAC và so sánh với MAC cài trong bản tin để kiểm tra xem chúng có giống nhau hay không Nếu chúng giống nhau thì phía thu có thể an tâm rằng bản tin đã không bị thay đổi Nếu các mã khác nhau thì phía thu sẽ loại bỏ bản tin này

2.2.3 Bảo mật

Bảo mật là khía cạnh rất quan trọng của an ninh và vì thế nó thường được nói đến nhiều nhất Mục đích của bảo mật là đảm bảo tính riêng tư của số liệu chống lại việc nghe lại hoặc đọc trộm số liệu từ những người không được phép Cách phổ biến nhất để ngăn ngừa sự xâm phạm này là mật mã hóa số liệu Quá trình này bao gồm mã hóa bản tin vào dạng không thể đọc được đối với bất kì máy thu nào trừ máy thu chủ định

2.2.4 Trao quyền

Trao quyền là quá trình quyết định mức độ truy nhập của người sử dụng: người

sử dụng được quyền thực hiện một số hành động Trao quyền thường liên hệ chặt chẽ với nhận thực Một khi người sử dụng đã được nhận thực, hệ thống quyết định người

sử dụng được làm gì Danh sách điều khiển truy nhập (ALC - Access Control List) thường được sử dụng cho quá trình này, ví dụ: một người sử dụng chỉ có thể truy nhập

để đọc một tập tin số liệu; trong khi đó nhà quản lý hoặc một nguồn tin cậy khác có thể truy nhập để viết, sửa chữa tập tin số liệu đó

2.2.5 Cấm từ chối

Cấm từ chối là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch mà

họ đã tham gia, không được phép từ chối tham gia giao dịch Nó bao gồm nhận dạng các bên sao cho các bên này sau đó không thể từ chối tham gia giao dịch Điều này có nghĩa là cả phía phát và phía thu bản tin có thể chứng minh rằng phía phát đã phát bản tin và phía thu đã thu được bản tin tương tự Để thực hiện quá trình này, mỗi giao dịch

phải được ký bằng một chữ ký điện tử và có thể được phía thứ ba tin cậy kiểm tra và đánh dấu thời gian

2.3 Các thuật toán mật mã hóa dữ liệu

2.3.1 Công nghệ mật mã

Mục đích chính của mật mã là bảo đảm thông tin giữa hai đối tượng trên kênh thông tin không an ninh, để đối tượng thứ ba không thể hiểu được thông tin được truyền là gì Khả năng này là một trong các yêu cầu chính đối với một môi trường an ninh bao gồm nhận thực, các chữ ký điện tử và mật mã Công nghệ mật mã hoạt động trên nhiều mức, mức thấp nhất là các giải thuật mật mã Các giải thuật mật mã trình bày các bước cần thiết để thực hiện một tính toán, thường là chuyển đổi số liệu từ một khuôn dạng này vào một khuôn dạng khác

Giao thức lại được xây dựng trên giải thuật này, giao thức mô tả toàn bộ quá trình thực hiện các hoạt động của công nghệ mật mã Một giải thuật mật mã tuyệt hảo không nhất thiết được coi là giao thức mạnh Giao thức chịu trách nhiệm cho cả mật

mã số liệu lẫn truyền số liệu và trao đổi khóa

Đỉnh của giao thức là ứng dụng, một giao thức mạnh chưa thể đảm bảo an ninh vững chắc Vì bản thân ứng dụng có thể dẫn đến vấn đề khác, vì thế để tạo ra một giải pháp an ninh cần một giao thức mạnh cũng như thực hiện ứng dụng bền chắc

Các giải thuật hiện đại sử dụng các khóa để điều khiển mật mã và giải mật mã

số liệu Một bản tin đã được mật mã, người sử dụng đầu thu có thể giải nó bằng mã tương ứng Các giải thuật sử dụng khóa mật mã được chia thành 2 loại: đối xứng và không đối xứng

2.3.2 Các giải thuật đối xứng

Các giải thuật đối xứng sử dụng một khóa duy nhất để mật mã và giải mật mã tất cả các bản tin Phía phát sử dụng khóa để mật mã hóa bản tin sau đó gửi đến phía thu xác định Sau khi nhận được bản tin, phía thu sử dụng chính khóa này để giải mật

mã bản tin Giải thuật này làm việc tốt khi có cách an toàn để trao đổi khóa giữa bên phát và bên thu Phần lớn vấn đề xảy ra là khi trao đổi khóa giữa hai bên Trao đổi khóa là một vấn đề mà bản thân mật mã hóa đối xứng không thể giải quyết được và nếu không có phương pháp trao đổi khóa an ninh thì phương pháp này chỉ hữu hiệu giữa 2 đối tượng riêng

Mật mã hóa đối xứng còn gọi là mật mã bằng khóa bí mật Dạng phổ biến nhất của phương pháp này là tiêu chuẩn mật mã hóa số liệu (DES) được phát triển từ những năm 1970 Từ đó cho đến nay, nhiều dạng mật mã hóa đối xứng an ninh đã được phát triển, đứng đầu là tiêu chuẩn mật mã hóa tiên tiến (AES) dựa trên giải thuật Rijindael,

DES 3 lần, giải thuật mật mã hóa số liệu quốc tế (IDEA), Blowfish và các giải thuật của họ Rivest (RC2, RC4, RC5 và RC6)

Mật mã đối xứng cung cấp một giải pháp mã hoá mạnh bảo vệ dữ liệu bằng một Khóa (key) lớn được sử dụng Tuy nhiên, để bảo vệ các khóa này bạn luôn luôn phải lưu giữ chúng và được gọi là khóa riêng (private key) Nếu khóa này bị mất hay bị lộ khi đó tính bảo mật của dữ liệu sẽ không đảm bảo

Để sử dụng mật mã đối xứng nhằm mã hoá các giao tiếp giữa các người dùng trên internet, việc bảo mật quá trình truyền khóa trên mạng cần phải được đảm bảo Do vậy phải sử dụng phương thức mã hoá nào cho việc truyền Khóa đó trên mạng Giải pháp là Khóa được truyền tới người khác không qua con đường internet, có thể chứa trong đĩa mềm và chuyển theo đường bưu điện, hay viết tay gửi thư… Tuy nhiên ta có thể sử dụng một giải pháp thông minh hơn: đó là cơ sở hạ tầng khóa công cộng (Public Key Infrastructure - PKI) giải pháp được sử dụng kết hợp với mật mã đối xứng trong quá trình truyền thông tin Khóa Việc truyền thông tin Khóa bằng việc sử dụng một

mã hoá để truyền với sử dụng một phiên truyền thông tin duy nhất

(bits)

Chiều dài khóa (bits)

Tiêu chuẩn mật mã hóa tiên tiến sử dụng thuật

toán mã hóa Rijindael (AES)

Hiểu, sử dụng và triển khai sử dụng PKI không đơn giản, những nhà sản xuất

khác nhau sẽ có những giải pháp khác nhau Mật mã đối xứng được chia làm hai dạng:

 Mã hóa khối (Block cipher): Mã hóa khối là một giải pháp hoạt động chống

lại sự hạn chế của dữ liệu tĩnh Dữ liệu được chia ra thành các khối với kích thước

cụ thể và mỗi khối được mã hoá một cách khác nhau

 Mã hóa dòng (Stream cipher): Mã hóa dòng là giải pháp hoạt động chống lại

dữ liệu luôn luôn sử dụng một phương thức để truyền Một vùng đệm (ít nhất bằng một khối) đợi cho toàn bộ thông tin của khối đó được chứa trong vùng đệm sau đó khối sẽ được mã hoá rồi truyền cho người nhận.Các giải pháp mật mã đối xứng hay sử dụng nhất:

2.3.3 Các giải thuật không đối xứng

Các giải thuật không đối xứng giải quyết vấn đề chính xảy ra đối với các hệ thống khóa đối xứng Năm 1975, Whitfield Diffie và Martin Hellman đã phát triển một giải pháp hai khóa liên quan với nhau, một sử dụng khóa công khai (public key) và một được sử dụng khóa riêng (private key) Khóa công khai được phân phối rộng rãi trên các đường truyền kém an ninh Khóa riêng không bao giờ được truyền trên mạng

và nó chỉ được sử dụng bởi phía đối tác cần giải mật mã số liệu Hai khóa này liên hệ với nhau một cách phức tạp bằng cách sử dụng rất nhiều số nguyên tố và các hàm một chiều Kỹ thuật này dẫn đến không thể tính toán được khóa riêng dựa trên khóa công khai Khóa càng dài thì càng khó phá vỡ hệ thống Các hệ thống khóa 64 bít như DES,

có thể bị tấn công dễ dàng bằng cách tìm từng tổ hợp khóa đơn cho đến khi tìm được khóa đúng Các hệ thống khóa 128 byte phổ biến hơn (ví dụ ECC đã được chứng nhận

là không thể bị tấn công bằng cách thức trên)

Khóa riêng và khóa công khai được tạo lập bởi một giải thuật (giải thuật thông dụng là RSA - giải thuật mật mã của 3 đồng tác giả Ron Rivest, Adi Shamir và Leonard Adelman) Người sử dụng giữ khóa riêng của mình và đưa ra khóa công khai cho mọi người, khóa riêng không được chia sẻ cho một người nào khác hoặc được truyền trên mạng Có thể sử dụng khóa công khai để mật mã hóa số liệu nhưng nếu không biết khóa riêng thì không thể giải mật mã số liệu được Sở dĩ như vậy vì các phép toán được sử dụng trong kiểu mật mã này không đối xứng Nếu User A muốn gửi

số liệu được bảo vệ đến User B, User A sử dụng khóa công khai của User B để mật mã hóa số liệu và yên tâm rằng chỉ có User B mới có thể giải mật mã và đọc được số liệu này

Các kỹ thuật mật mã khóa riêng và khóa công khai là các công cụ chính để giải quyết các vấn đề an ninh Tuy nhiên, chúng không phải là các giải pháp đầy đủ, cần nhận thực để chứng minh rằng nhận dạng là của những người sử dụng chân thật

Khóa bất đói xứng sử dụng một cặp khóa là khóa công cộng và khóa riêng Trong mỗi quá trình truyền thông tin sử dụng mật mã bất đối xứng chúng cần một cặp khóa duy nhất, nó tạo ra khả năng có thể sử dụng linh hoạt và phát triển trong tương lai hơn là giải pháp mật mã đối xứng Người dùng cần giữ khóa riêng và đảm bảo tính bảo mật và nó không được truyền trên mạng Khóa công khai được cung cấp miễn phí và được công khai cho mọi người

Hình 2.1: Một hệ thống mã hoá sử dụng mật mã bất đối xứng

Mật mã bất đối xứng hoạt động chậm hơn phương thức mật mã đối xứng, nó không mã hóa một khối lượng dữ liệu lớn Nó thường được sử dụng để bảo mật quá trình truyền Khóa của mật mã đối xứng, nó cung cấp bảo mật cho quá trình truyền thông tin bằng các dịch vụ: Nhận thực, toàn vẹn, bảo mật và cấm từ chối

Hàm làm rối là một phương thức mật mã nhưng nó không phải là một thuật toán

mã hoá Hàm làm rối chỉ sử dụng một chứng chỉ số duy nhất được biết đến với tên như

"hash value - giá trị hash", "hash - băm", Message Authentication Code (MAC), fingerprint - vân tay, hay một đoạn tin nhắn Dữ liệu đầu vào của bạn có thể là một file, một ổ đĩa, một quá trình truyền thông tin trên mạng hay một bức thư điện tử Thông số hash value được sử dụng để phát hiện khi có sự thay đổi của tài nguyên Nói cách khác, hàm băm sử dụng nó để phát hiện ra dữ liệu có toàn vẹn trong quá trình lưu trữ hay trong khi truyền hay không

Hình 2.2: Ví dụ về thống số MAC

Thông số hash value được tính toán để so sánh với thông số hash value được

tạo ra trước đó một tuần Nếu hai thông số giống nhau thì dữ liệu chưa có sự thay đổi Nếu hai thông số có sự khác nhau, thì dữ liệu đã bị thay đổi Hình 2.2 thể hiện một cách cơ bản về hash hay thông số MAC Thông số giá trị MAC được tính toán bởi người gửi (sender) và người nhận (receive) với cùng một thuật toán

Không như các phương thức mật mã khác, chúng sẽ làm thay đổi dữ liệu thành một dạng mật mã, quá trình hashing sử dụng một thông số hash value và không thay

đổi dữ liệu ban đầu Do những tính năng đặc biệt, hashing có thể sử dụng để bảo vệ và kiểm tra tính toàn vẹn của dữ liệu Nó cũng có khả năng sử dụng để kiểm tra khi có một tiến trình sao chép được thực hiện và đảm bảo tính chính xác của dữ liệu khi chúng được sao chép

Ví dụ, Message Digest 5 (MD5) là một thuật toán hash với 128-byte hash Điều này có nghĩa không có vấn đề với dữ liệu đầu vào và dữ liệu đầu ra sau quá trình hash bởi nó luôn luôn thêm vào 128 bytes Sức mạnh của quá trình hashing là nó được thực hiện một chiều và không thể có phương thức nào có thể thực hiện ngược lại được để chuyển đổi thông số hash thành dữ liệu ban đầu Nếu một vài người có được các thông

số hash của bạn, họ không thể lấy được dữ liệu ban đầu Tuy nhiên đó không phải là phương thức mật mã không thể tấn công Hashing có thể bị tấn công bởi các phương thức đảo ngược hay tấn công ngày sinh (birthday attack) Phương thức tấn công bình thường sử dụng đó là các công cụ password-cracking Hầu hết các hệ thống lưu trữ mật khẩu trong dữ liệu tài khoản và được hashed (băm) Hashs không thể thực hiện ngược lại, bởi đó là một giải pháp bảo mật, có nghĩa không có công cụ nào có thể chuyển ngược lại một mật khẩu được hash thành một mật khẩu nguyên bản chưa được hash Tuy nhiên thuật toán nào cũng có những bất cập riêng, việc sử dụng các phần mềm, password crackers cũng có thể phát hiện ra đoạn mã thêm vào dữ liệu ban đầu

và chỉ cần xoá đoạn hash value đi là có thể truy cập bình thường

Những thuật toán băm thường được sử dụng:

- Giải thuật băm an toàn (SHA-1) với giá trị hash 160-byte

- Giải thuật tiêu hóa tin 5 (MD5) với giá trị hash 128-byte

- Giải thuật tiêu hóa tin 4 (MD4) với -128-byte hash value

- Giải thuật tiêu hóa tin 2 (MD2) với -128-byte hash value

2.3.5 Nhận thực

Nhận thực đảm bảo rằng người dùng đang thông tin với bạn của mình chứ không bị mắc lừa bởi người khác? Nhận thực có thể giải quyết bằng sử dụng mật mã hóa công khai

Một ví dụ đơn giản: User A muốn biết User B (người đang liên lạc với mình) có đúng là bạn của mình hay không? Bằng cách: trước hết, User A sử dụng khóa công khai của User B để mật mã hóa tên và số ngẫu nhiên A, sau đó gửi tới User B Sau khi nhận được bản tin, User B sử dụng khóa riêng của mình (khóa riêng B) để giải mật mã đồng thời tiến hành mật mã hóa số ngẫu nhiên của mình (B) và số ngẫu nhiên của A cộng với khóa chia sẻ phiên bằng cách sử dụng khóa công khai B Sau đó gửi trả lại User A, người này nhận được bản tin và có thể biết rằng bản tin này có thật sự được User B phát hay không, bằng cách kiểm tra số ngẫu nhiên A Tiếp theo, User A lại sử dụng khóa riêng chia sẻ phiên để mật mã hóa số ngẫu nhiên B Sau đó gửi tới User B