Bảo mật trong 3g w CDMA

Với mục đích tìm hiểu vấn đề bảo mật trong mạng 3G và các giải pháp bảo vệ toàn vẹn thông tin của người sử dụng hệ thống, em đã chọn đề tài “Bảo mật trong 3G W-CDMA” làm đồ án tốt nghiệp

TRƯỜNG ĐẠI HỌC VINH

KHOA ĐIỆN TỬ - VIỄN THÔNG

Giảng viên hướng dẫn : ThS Nguyễn Thị Minh

Cán bộ phản biện : ThS Lê Đình Công Sinh viên thực hiện : Phan Anh Đức

Lớp : 48K-ĐTVT

Nghệ An 12/2012

MỤC LỤC

LỜI NÓI ĐẦU .4

TÓM TẮT ĐỒ ÁN …… 6

DANH SÁCH HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN ……….…… 7

DANH SÁCH CÁC BẢNG BIỂU SỬ DỤNG TRONG ĐỒ ÁN … 9

BẢNG THUẬT NGỮ VIẾT TẮT 10

CHƯƠNG I TÔNG QUAN VỀ 3G W-CDMA ……….17

1.1 Đặc điểm cơ bản của 3G W-CDMA ……….17

1.2 Tiêu chuẩn của hệ thống thông tin di động thế hệ thứ 3 (3G) 20

1.3 Cấu trúc hệ thống W-CDMA .……… 22

1.3.1 Thiết bị người sử dụng UE …………23

1.3.2 Mạng lõi (CN - Core Network) ………25

1.3.3 Mạng truy cập vô tuyến mặt đất UMTS (UTRAN) 29

1.4 Các mạng ngoài 31

1.5 Các giao diện 32

1.6 Kết luận… 30

CHƯƠNG II BẢO MẬT TRONG THÔNG TIN DI ĐỘNG 35

2.1 Các yếu tố cần thiết trong bảo mật 35

2.1.1 Nhận thực 35

2.1.2 Tính toàn vẹn dữ liệu 36

2.1.3 Tính bí mật 36

2.1.4 Phân quyền 37

2.1.5 Tính không thể phủ nhận 37

2.2 Những vấn đề thường xảy ra trong bảo mật 37

2.2.1 Giả mạo (Spoofing) 37

2.2.2 Thăm dò (Sniffing) 38

2.2.3 Làm sai lệch số liệu (Tampering) 38

2.2.4 Đánh cắp (Theft) 38

2.3 Các kỹ thuật bảo mật sử dụng trong mạng di động 39

2.3.1 Tường lửa 39

2.3.2 Nhận thực 40

2.3.3 Các thuật toán mã hóa 41

2.3.4 Quản lý khóa mật mã 46

2.3.5 Bảo mật giao thức vô tuyến 52

2.4 Mô hình bảo mật tổng quát của một hệ thống thông tin di động 55

2.5 Kết luận ……… 56

CHƯƠNG III BẢO MẬT TRONG 3G W-CDMA ………57

3.1 Mô hình bảo mật trong 3G W-CDMA ….57

3.1.1 Nhận thực .………57

3.1.2 Bí mật ………58

3.1.3 Toàn vẹn ………58

3.2 Mô hình bảo mật ở giao diện vô tuyến 3G W-CDMA ……… 59

3.2.1 Mạng nhận thực người sử dụng.………60

3.2.2 USIM nhận thực mạng .………63

3.2.3 Mã hóa UTRAN ……… 64

3.2.4 Bảo vệ toàn vẹn báo hiệu RRC 65

3.3 Nhận thực và thỏa thuận khóa AKA 66

3.3.1 Tổng quan về AKA 66

3.3.2 Các thủ tục AKA 67

3.4 Thủ tục đồng bộ lại, AKA 69

3.5 Các hàm mật mã 72

3.5.1 Hàm f8 74

3.5.2 Hàm f9 77

3.6 Ứng dụng của các hàm mật mã 79

3.6.1 Sử dụng các hàm mật mã để tạo véc-tơ nhận thực trong AuC 79

3.6.2 Sử dụng các hàm mật mã để tạo các thông số an ninh trong USI 80

3.6.3 Sử dụng các hàm để đồng bộ lại tại USIM 82

3.6.4 Sử dụng các hàm để đồng bộ lại tại AuC 83

3.6.5 Thứ tự tạo khóa 84

3.7 Các thông số nhận thực 84

3.7.1 Các thông số của véc-tơ nhận thực (AV) 84

3.7.2 Thẻ nhận thực mạng (AUTN) 85

3.7.3 Trả lời của người sử dụng và giá trị kỳ vọng (RES và XRES) 85

3.7.4 Mã nhận thực bản tin dành cho nhận thực và giá trị kỳ vọng (MAC-A và XMAC-A) 85

3.7.5 Thẻ đồng bộ lại (AUTS) 85

3.7.6 Mã nhận thực bản tin dành cho đồng bộ lại và giá trị kỳ vọng (MAC-S và XMAC-S) 85

3.8 Các vấn đề an ninh của 3G 85

3.8.1 Các phần tử an ninh 2G vẫn được giữ ………86

3.8.2 Các điểm yếu của an ninh 86

3.8.3 Các tính năng an ninh và các dịch vụ mới 87

3.9 Kết luận 87

KẾT LUẬN CHUNG 89

TÀI LIỆU THAM KHẢO 90

LỜI NÓI ĐẦU

Từ khi ra đời tới nay, thông tin di động đả phát triễn qua nhiều thế hệ,

và đả trở thành một phần quan trọng trong hệ thống viễn thông quốc tế Sự hội tụ công nghệ và viễn thông đả nâng cao tốc độ truyền dẫn thông tin Phát triễn vượt bậc, tốc độ cao và khả năng truy nhập mọi lúc mọi nơi của thông tin di động đáp ứng nhu cầu trao đổi thông tin và bảo mật thông tin của khách hàng

Thông tin di động số ngày càng phát triển mạnh mẽ trên thế giới với những ứng dụng rộng rãi trong các lĩnh vực thông tin, trong dịch vụ và cuộc sống hàng ngày Trong những năm gần đây, ngành công nghiệp viễn thông nói chung và thông tin di động nói riêng đã có những bước phát triển nhảy bậc Từ chỗ có hai nhà cung cấp dịch vụ đi động cho đến nay Việt Nam đã có bảy nhà cung cấp dịch vụ di động Cùng với đó, số lượng thuê bao di động tăng lên rất nhanh Bên cạnh dịch vụ thoại truyền thống, nhu cầu của khách hàng về các dịch vụ dữ liệu như giải trí, giáo dục, truyền thông hội nghị… cũng tăng lên theo cấp số nhân Để đáp ứng được những nhu cầu đó, các nhà cung cấp dịch vụ di động đã đưa vào thương mại hóa hệ thống thông tin di động thế hệ thứ ba (3G)

3G ra đời năm 2000 là một bước đột phá của ngành di động Đặc điểm nổi bật của 3G là tốc độ truyền dữ liệu lên đến 2Mbps cho phép cung cấp được nhiều loại hình dịch vụ Tuy nhiên vấn đề lớn đặt ra cho các nhà mạng lúc này là bảo mật thông tin Sỡ dĩ đây là vấn đề khó khăn vì 3G vẫn là một mạng truyền thông không dây nên rất dễ bị tấn công

Với mục đích tìm hiểu vấn đề bảo mật trong mạng 3G và các giải pháp bảo vệ toàn vẹn thông tin của người sử dụng hệ thống, em đã chọn đề tài

“Bảo mật trong 3G W-CDMA” làm đồ án tốt nghiệp.

Nội dung đồ án bao gồm ba chương

Chương 1 Tổng quan về 3G W-CDMA Giới thiệu đặc điểm và cấu trúc mạng của 3G UMTS W-CDMA

Chương 2 Bảo mật trong thông tin di động Giới thiệu một cách tổng quát về bảo mật trong thông tin di động gồm những nguy cơ bảo mật thường xảy ra và các giải pháp để đảm bảo an toàn thông tin

Chương 3 Bảo mật trong 3G W-CDMA Đề cập đến các nguyên lý cơ bản để xây dựng một kiến trúc bảo mật cho hệ thống 3G W-CDMA Đồng thời chương này cũng trình bày các biện pháp cụ thể để bảo vệ an toàn thông tin khi truyền trên giao diện vô tuyến

Trong quá trình làm đồ án này không tránh khỏi thiếu sót Em rất mong nhận được sự góp ý của các thầy cô, các bạn để nội dung của đồ án này được hoàn thiện hơn nữa

Em xin chân thành cảm ơn các Thầy, Cô giáo khoa Điện tử Viễn thông

trường Đại học Vinh và đặc biệt là cô giáo ThS Nguyễn Thị Minh đã tận tình

hướng dẫn em hoàn thành bản đồ án tốt nghiệp này!

Vinh, tháng 12 năm 2011

Sinh viên

Phan Anh Đức

TÓM TẮT ĐỒ ÁN

Bảo mật trong 3G W-CDMA là một trong những ưu tiên hàng đầu của các nhà khai thác nhằm đưa ra sự cạnh tranh về chất lượng truyền thông Vì vậy trong đồ án này, em đã đi sâu tìm hiểu các vấn đề về các khía cạnh bảo mật để đảm bảo truyền thông trong thông tin di động nói chung Đặc biệt em

đã tìm hiểu giải pháp bảo mật trong 3G UMTS W-CDMA Nó bao gồm các nguyên lý cơ bản như nhận thực, bí mật, toàn vẹn Những đặc trưng trong bảo mật như nhận thực tương hỗ, mật mã hóa và bảo vệ toàn vẹn bản tin đã được trình bày Bên cạnh đó, em đã đề cập nhận thực và thỏa thuận khóa AKA, các hàm mật mã được sử dụng và các thông số nhận thực liên quan

Security in 3G W-CDMA is one of the top priorities that the Operators want to use to compete with other competitor about quality of communication Therefore, in this dissertation I made the concentration into the faces of security to guarantee the communication in mobile information in general Especially, I have learned about the security solution for 3G UMTS W-CDMA It includes the basic theories such as authentication, security, and integrity The specific characteristics

in security are mutualauthentication, cryptography, and protection of newsletter integrity has been presented Besides, I have mentioned Authentication and Key Agreement, the cryptography functions were used and the relevant parameter authentication

DANH SÁCH HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN

Hình 1.1 Các dịch vụ đa phương tiện trong hệ thống thông tin di động thế

hệ ba 18

Hình 1.2 Kiến trúc cơ bản của mạng di động UMTS (phiên bản 1999) 23

Hình 1.3 Cấu trúc UE 24

Hình 1.4 Cấu trúc mạng truy cập vô tuyến mặt đất UMTS (UTRAN) 29

Hình 2.1 Thí dụ về sử dụng hai tường lửa với các cấu hình khác nhau để đảm bảo các mức an ninh khác nhau cho một hãng 39

Hình 2.2 Nhận thực bằng khóa công khai 41

Hình 2.3 Nguyên lý của hệ thống mã hoá đối xứng 42

Hình 2.4 Kênh nguyên lý trong hệ thống mã hoá đối xứng 43

Hình 2.5 Nguyên lý cơ bản của mã hoá khoá công khai và thuật toán RSA 44

Hình 2.6 Kiểm tra chữ ký điện tử 45

Hình 2.7 Chu kỳ sống của khóa mã 46

Hình 2.8 Đặc điểm chính của khoá đối xứng 128 bit 48

Hình 2.9 Cấu trúc cơ bản của thẻ thông minh 50

Hình 2.10 Kiến trúc bảo mật tổng quát của một hệ thống thông tin di động 55

Hình 3.1 Mô hình bảo mật cho giao diện vô tuyến ở 3G W-CDMA 60

Hình 3.2 Yêu cầu nhận thực dữ liệu và trả lời nhận thực dữ liệu 61

Hình 3.3 Yêu cầu nhận thực UE và trả lời nhận thực UE 62

Hình 3.4 Nhận thực người sử dụng tại VLR/SGSN 62

Hình 3.5 Nhận thực mạng tại USIM 63

Hình 3.6 Bộ mật mã luồng trong W-CDMA 64

Hình 3.7 Nhận thực toàn vẹn bản tin 65

Hình 3.8 Tổng quan quá trình nhận thực và thỏa thuận khóa 67

Hình 3.9 Thủ tục đồng bộ lại của AKA 70

Hình 3.10 Quá trình mật mã hóa và giải mật mã bằng hàm f8 75

Hình 3.11 Nhận thực toàn vẹn bản tin với sử dụng hàm toàn vẹn f9 77

Hình 3.12 Tạo AV trong AuC 80

Hình 3.13 Tạo các thông số an ninh trong USIM 81

Hình 3.14 Tạo AUTS trong USIM 82

Hình 3.15 Thủ tục đồng bộ lại trong AuC 83

DANH SÁCH CÁC BẢNG BIỂU SỬ DỤNG TRONG ĐỒ ÁN

Bảng 3.1 Các hàm mật mã và chức năng của chúng 73

Bảng 3.2 Các thông số đầu vào cho hàm f8 75

Bảng 3.3 Các thông số đầu vào cho hàm f9 78

Bảng 3.4 Các thông số nhận thực 84

ATM Asynchronous Transfer Mode Chế độ truyền dị bộ

ADS Application Domain Security An ninh miền ứng dụng

AH Authentication Header Tiêu đề nhận thực

AKA Authentication & Key Agreement Thoả thuận khoá và nhận thựcAMF Authentication & Key

Management Field

Trường quản lý nhận thực và khóa

ASYM Asymmetric Cipher Algorithm Thuật toán mã hoá bất đối xứng

AV Authentication Vector Vector nhận thực

AuC Authentication Centre Trung tâm nhận thực

AUTN Authentication token Thẻ nhận thực

AUTS Authentication Token

Synchronous

Thẻ đồng bộ lại

B

BSC Base Station Controller Bộ điều khiển trạm gốc

BSS Base Station Subsystem Hệ thống con trạm gốc

BTS Base Tranceiver Station Trạm thu phát gốc

C

CDMA Code Division Multiple Access Đa truy nhập phân chia theo mã

D

DES Data Encryption Standard Tiêu chuẩn mật mã hóa dữ liệu

DNS Domain Name System Hệ thống tên miền

DSSS Direct-Sequence Spread Spectrum Trải phổ chuỗi trực tiếp

E

ECC Elliptic Curve Cryptography Một loại giải thuật mật mã

ESN Electronic Serial Number Số serial điện tử

EIR Equipment Identity Register Bộ ghi nhận dạng thiết bị

HMAC Hash Message Authentication Mã nhận thực bản tin làm rốiHLR Home Location Register Bộ ghi định vị thường trú

I

IMS IP Multimedia Subsystem Phân hệ đa phương tiện IP

IMT-2000 International Mobile

Telecommunications 2000

Thông tin di động quốc tế 2000

IPCP IP Control Protocol Giao thức điều khiển IP

IMSI International Mobiel Subscriber

Identity, or International Mobile

Station Indentity

Nhận dạng thuê bao di động quốc tế, nhận dạng trạm di động quốc tế

Iu Giao diện được sử dụng để thông tin giữa RNC và mạng lõi

Iub Giao diện được sử dụng để thông tin giữa nút B và RNC

Iur Giao diện được sử dụng để thông tin giữa các RNC

IMEI Internetional Mobile Equipment

Identity

Nhận dạng thiết bị di động quốc tế

ISDN Integrated Sevices Digital

and key agreement

MAC được sử dụng để nhận thực và thỏa thuận khóaMAC-I MAC used for data integrity

of signalling messages

MAC được sử dụng để kiểm tra tính toàn vẹn của các bản tin báo hiệu

MSC Mobile Services Switching Center Trung tâm chuyển mạch các

dịch vụ di độngMAC Message Aụthentication Code Mã nhận thực bản tin

N

NodeB Nút B

NAS Netword Access Security An ninh truy nhập mạng

NDS Network Domain Security An ninh miền mạng

PDCP Packet-Data Convergence

Protocol

Giao thức hội tụ số liệu gói

PDP Packet Data Protocol Giao thức dữ liệu gói

PKI Public Key Infrastructure Hạ tầng khóa công cộng (công

khai)

PLMN Public Land Mobile Network Mạng di động công cộng mặt

đất

PSTN Public Switched Telephone

RAN Radio Access Network Mạng truy nhập vô tuyến

RLC Radio Link Control Điều khiển liên kết vô tuyếnRNC Radio Network Controller Bộ điều khiển mạng vô tuyếnRNS Radio Network Subsystem Hệ thống con mạng vô tuyếnRRC Radio Resource Control Điều khiển tài nguyên vô tuyếnRTP Real Time Protocol Giao thức thời gian thực

SHA Secured Hash Standard Chuẩn làm rối an ninh

SIM Subscriber Identity Module Mođun nhận dạng thuê baoSMS Short Message Service Dịch vụ nhắn tin

SSL Secure Sockets Layer Lớp các ổ cắm an ninh

T

TE Terminal Equipement Thiết bị đầu cuối

TFC Transport Format Combination Kết hợp khuôn dạng truyền tảiTLS Transport Layer Security An ninh lớp truyền tải

TMSI Temporary Mobile Subscriber Nhận dạng thuê bao di động

tạm thời

U

UICC Universal Integrated Circuit Card Card vi mạch UMTS

UDS User Domain Security An ninh miền người sử dụngURAN UMTS Radio Access Network Mạng truy nhập vô tuyến

UMTSUMTS Universal Mobile

Telecommunications System

Hệ thống viễn thông di động toàn cầu

UMTSUTRA UMTS Terrestrial Radio Access Truy nhập vô tuyến mặt đất

UMTSUTRAN UMTS Terrestrial Radio Access

VHE Virtual Home Environment Môi trường nhà ảo

VPN Virtual Private Network Mạng riêng ảo

VLR Visitor Location Register Bộ đăng ký định vị tạm trú

XRES Expected user RESponse Trả lời kỳ vọng của người sử

dụng

CHƯƠNG I TÔNG QUAN VỀ 3G W-CDMA

Hệ thống viễn thông di động toàn cầu (UMTS) là một cơ cấu tổ chức được phối hợp bởi Liên minh viễn thông quốc tế (ITU) để hỗ trợ các dịch vụ thông tin vô tuyến thế hệ ba UMTS là một phần của một cơ cấu tổ chức lớn hơn là IMT-2000 Vai trò chính của cả UMTS và IMT-2000 là tạo ra một nền tảng cho thông tin di động khuyến khích việc giới thiệu phân phối nội dung số

và các dịch vụ truy nhập thông tin mà bổ xung cho thông tin thoại thông thường trong môi trường vô tuyến IMT-2000 đã mở rộng đáng kể khả năng cung cấp dịch vụ và cho phép sử dụng nhiều phương tiện thông tin Mục đích của IMT-2000 là đưa ra nhiều khả năng mới nhưng cũng đồng thời đảm bảo

sự phát triển liên tục của thông tin di động thế hệ hai (2G) vào những năm

2000 Thông tin di động thế hệ ba (3G) xây dựng trên cơ sở IMT-2000 sẽ được đưa vào phục vụ từ năm 2001 [1]

1.1 Đặc điểm cơ bản của 3G W-CDMA

Hệ thống viễn thông di động toàn cầu (UMTS: Universal Mobile Telecommunication System) được xem như là hệ thống kế thừa của hệ thống thế hệ 2 (GSM) nhằm đáp ứng các yêu cầu phát triển của các dịch vụ và ứng

dụng Internet Hệ thống 3G UMTS sử dụng công nghệ đa truy nhập phân chia theo mã băng rộng (W-CDMA).

W-CDMA (Wideband Code Division Multiple Access) được sử dụng cho phần giao diện vô tuyến của 3G UMTS W-CDMA sử dụng công nghệ trải phổ chuỗi trực tiếp DS-CDMA băng rộng thay thế cho TDMA và mạng lõi được phát triển từ GSM và GPRS Nhờ đó nó giúp tăng tốc độ truyền nhận

dữ liệu cho hệ thống GSM/GPRS Trong các công nghệ thông tin di động thế

hệ ba thì W-CDMA nhận được sự ủng hộ lớn nhất nhờ vào tính linh hoạt của lớp vật lý trong việc hỗ trợ các kiểu dịch vụ khác nhau đặc biệt là dịch vụ tốc

- Hỗ trợ phân tập phát và cấu trúc thu tiên tiến

Nhược điễm của W-CDMA là không cấp phép trong băng TDD phát liên tục củng như không tạo điều kiện cho các kỹ thuật chống nhiễu ở các môi trường làm việc khac nhau

Hệ thống thông tin di động thế hệ ba W-CDMA cụ thể cung cấp các dịch vụ với tốc độ bit lớn đến 2Mbit/s Bao gồm nhiều kiểu truyền dẫn như truyền dẫn đối xứng và không đối xứng, thông tin điểm đến điểm và thông tin

đa điểm Với khả năng đó, các hệ thống thông tin di động thế hệ ba cụ thể cung cấp dễ dàng các dịch vụ mới như: điện thoại thấy hình, tải dữ liệu nhanh, ngoài ra nó còn cung cấp các dịch vụ đa phương tiện khác

Hình 1.1 Các dịch vụ đa phương tiện trong hệ thống

thông tin di động thế hệ baCác nhà khai thác có thể cung cấp rất nhiều dịch vụ đối với khách hàng,

từ các dịch vụ điện thoại khác nhau với nhiều dịch vụ bổ sung cũng như các dịch vụ không liên quan đến cuộc gọi như thư điện tử, FPT…

WCDMA là công nghệ được sử dụng cho phần giao diện vô tuyến của

hệ thống 3G UMTS Các thông số nổi bật đặc trưng cho WCDMA như sau:

+ WCDMA sử dụng trải phổ chuỗi trực tiếp (DSSS) Ở đây các bit thông tin được trải ra trong một băng tần rộng bằng cách nhân dữ liệu cần truyền với các bit giả ngẫu nhiên (gọi là chip) Các bit này xuất phát từ các mã trải phổ CDMA Để hỗ trợ tốc độ bit cao (lên tới 2Mb/s), cần sử dụng các kết nối đa mã và hệ số trải phổ khác nhau

+ WCDMA có tốc độ chip là 3,84 Mc/s dẫn đến băng thông của sóng mang xấp xỉ 5MHz, nên được gọi là hệ thống băng rộng Với băng thông này WCDMA có thể hỗ trợ các tốc độ dữ liệu cao của người dùng và đem lại những

lợi ích hiệu suất xác định Các nhà vận hành mạng có thể sử dụng nhiều sóng mang 5MHz để tăng thêm dung lượng, cũng có thể sử dụng các lớp tế bào phân cấp Khoảng cách giữa các sóng mang thực tế có thể được chọn trong khoảng từ 4,4MHz đến 5MHz, tuỳ thuộc vào nhiễu giữa các sóng mang.

+ WCDMA hỗ trợ tốt các tốc độ dữ liệu người dùng khác nhau hay nói cách khác là hỗ trợ tốt đặc tính băng thông theo yêu cầu Mỗi người sử dụng được cấp các khung có độ rộng 10ms, trong khi tốc độ người sử dụng được giữ không đổi Tuy nhiên dung lượng người sử dụng có thể thay đổi giữa các khung Việc cấp phát nhanh dung lượng vô tuyến thông thường sẽ được điều khiển bởi mạng để đạt được thông lượng tối ưu cho các dịch vụ dữ liệu gói

+ WCDMA hỗ trợ hai mô hình hoạt động cơ bản Chế độ song công phân chia theo tần số (FDD) và song công phân chia theo thời gian (TDD) Trong chế độ FDD, đường lên và đường xuống sử dụng các sóng mang 5MHz

có tần số khác nhau Trong khi ở chế đố TDD, các đường lên và xuống sử dụng cùng tần số nhưng ở các khoảng thời gian khác nhau

+ WCDMA hỗ trợ hoạt động của các trạm gốc dị bộ Điều này khác với

hệ thống đồng bộ IS-95, nên không cần chuẩn thời gian toàn cầu như ở hệ thống định vị toàn cầu (GPS) Việc triển khai các trạm gốc micro và trạm gốc indoor sẽ dễ dàng hơn khi nhận tín hiệu mà không cần GPS

+ WCDMA áp dụng kỹ thuật tách sóng kết hợp trên cả đường lên và đường xuống dựa vào việc sử dụng kênh hoa tiêu

+ Giao diện vô tuyến WCDMA được xây dựng một cách khéo léo theo cách của các bộ thu RAKE tiên tiến, có khả năng tách sóng của nhiều người dùng và các anten thích ứng thông minh, giao diện vô tuyến có thể được triển khai bởi các nhà điều khiển mạng như một hệ thống được chọn lựa để tăng dung lượng và vùng phủ sóng

1.2 Tiêu chuẩn của hệ thống thông tin di động thế hệ thứ 3 (3G)

Hệ thống thông tin di động thế hệ ba ra đời cung cấp nhiều dịch vụ viễn thông như số liệu tốc độ thấp và cao, đa phương tiện, video cho người dùng

làm việc ở các phương tiện công cộng cũng như tư nhân Hệ thống thông tin

di động thế hệ ba không chỉ giải quyết những tồn tại của hệ thống thông tin di động thế hệ hai mà còn phải đáp ứng được yêu cầu ngày càng tăng của khách hàng Do đó hệ thống thông tin di động thế hệ ba được xây dựng dựa trên các tiêu chí sau :

- Sử dụng dải tần quy định quốc tế 2 Ghz:

Đường lên (Uplink): 1885 -2015 Mhz

Đường xuống (Downlink ): 2110 -2200 Mhz

- Có tiêu chuẩn thống nhất toàn cầu cho các loại hình thông tin vô tuyến tích hợp các mạng thông tin hữu tuyến và vô tuyến, tương tác cho mọi loại dịch vụ viễn thông

- Mạng phải là băng rộng và có khả năng truyền thông đa phương tiện Nghĩa là hệ thống di động trong tương lai có thể thực hiện chuyển tải dịch vụ hình ảnh tốc độ thấp cho đến tốc độ cao nhất là 2 Mbit/s Môi trường được chia làm 4 vùng :

Vùng 1: Trong nhà, ô picô có Rb ≤ 2 Mbit/s

Vùng 2: Thành phố, ô macro có Rb ≤ 384 kbit/s

Vùng 3: Ngoại ô, ô macro có Rb ≤ 144 kbit/s

Vùng 4: Toàn cầu có Rb ≤ 9,6 kbit/s

- Có thể hỗ trợ các dịch vụ như:

Môi trường thông tin nhà ảo (VHE:Virtual Home Environment) trên cơ

sở mạng thông minh, di động cá nhân và chuyển mạng toàn cầu

Đảm bảo chuyển mạng quốc tế

Đảm bảo các dịch vụ đa phương tiện đồng thời cho thoại, số liệu chuyển mạch theo kênh và số liệu chuyển mạch theo gói

Tăng dịch vụ chuyển mạch gói: Hệ thống thông tin di động thế hệ hai chỉ có phương thức chuyển mạch kênh truyền thống, hiệu suất kênh thấp Trong khi đó hệ thống thông tin di động thế hệ ba tồn tại đồng thời cả chuyển mạch kênh và chuyển mạch gói

- Tăng phương thức truyền tải không đối xứng: Do dịch vụ số liệu mới

có đặc tính không đối xứng: Truyền tải đường lên thường chỉ cần vài nghìn bit/s, còn truyền tải đường xuống có thể cần vài trăm nghìn bit/s (Hệ thống thông tin di động thế hệ hai chỉ hỗ trợ dịch vụ đối xứng)

- Khả năng tăng cường số liệu: Hệ thống thông tin di động tương lai sẽ nâng cao hơn về phương diện và khả năng truyền số liệu so với hệ thống thông tin di động thế hệ hai

- Chất lượng truyền thông tin và chất lượng dịch vụ không thua kém mạng dịch vụ, nhất là đối với tiếng Hệ thống thông tin di động trong tương lai làm cho chất lượng truyền tải đạt đến hoặc gần đến chất lượng của hệ thống hữu tuyến, có thể cung cấp tốc độ truyền là 144 Kbps cho người đi xe,

384 kbps cho người đi bộ và 2 Mbps cho người sử dụng trong nhà

- Mạng phải có khả năng sử dụng toàn cầu, nghĩa là bao gồm cả phần

tử thông tin vệ tinh

- Nâng cao tuổi thọ của pin: Công nghệ tích hợp tiêu hao công suất thấp đang được nghiên cứu và hy vọng có thể được ứng dụng trong hệ thống thông tin di động thế hệ tiếp theo Kỹ thuật tích hợp Silic xạ tần là hướng phát triển quan trọng khác có thể giảm thể tích trọng lượng và sự tổn hao năng lượng của hệ thống

- Hiệu suất tần phổ cao hơn: Qua việc ứng dụng những kỹ thuật mới như điều khiển công suất nhanh, chuyển giao mềm hệ thống Anten thông minh… Đã nâng cao hiệu quả phổ của hệ thống mới một cách hiệu quả

- Hiệu suất kênh cao hơn

1.3 Cấu trúc hệ thống WCDMA

Một mạng UMTS bao gồm ba phần: Thiết bị người sử dụng (UE: User Equipment), mạng truy nhập vô tuyến mặt đất UMTS (UTRAN: UMTS Terrestrial Radio Network), mạng lõi (CN: Core Network) (xem Hình 1.2) UE bao gồm ba thiết bị: thiết bị di động (ME), IC card UMTS và module nhận

dạng thuê bao UMTS (USIM: UMTS Subscriber Identity Module) UTRAN gồm các hệ thống mạng vô tuyến (RNS: Radio Network System) và mỗi RNS bao gồm RNC (Radio Network Controller: bộ điều khiển mạng vô tuyến) và các nút B nối với nó Mạng lõi CN bao gồm miền chuyển mạch kênh, chuyển mạch gói và HE (Home Environment: Môi trường nhà) HE bao gồm các cơ sở

dữ liệu: AuC (Authentication Center: Trung tâm nhận thực), HLR (Home Location Register: Bộ ghi định vị thường trú) và EIR (Equipment Identity Register: Bộ ghi nhận dạng thiết bị) [1]

Hình 1.2 Kiến trúc cơ bản của mạng di động UMTS [1]

1.3.1 Thiết bị người sử dụng UE

UE là đầu cuối mạng UMTS của người sử dụng Có thể nói đây là phần

hệ thống có nhiều thiết bị nhất và sự phát triển của nó sẽ ảnh hưởng lớn lên các ứng dụng và các dịch vụ khả dụng Giá thành giảm nhanh chóng sẽ tạo điều kiện cho người sử dụng mua thiết bị của UMTS Điều này đạt được nhờ tiêu chuẩn hóa giao diện vô tuyến và cài đặt mọi trí tuệ tại các card thông

minh UE bao gồm thiết bị di động (ME), UMTS IC card (UICC) và module nhận dạng thuê bao UMTS (USIM) Chức năng của các thành phần như sau:

Hình1.3 Cấu trúc UE

a Thiết bị di động (ME - Mobile Equipment)

Máy điện thoại không chỉ cung cấp dịch vụ thoại mà còn cung cấp các dịch vụ mới Do đó, thiết bị di động trở thành tổ hợp của máy thoại di động, modem và máy tính bàn tay

Đầu cuối hỗ trợ hai giao diện Giao diện Uu định nghĩa liên kết vô tuyến (giao diện WCDMA) Nó đảm nhiệm toàn bộ kết nối vật lý với mạng UMTS Giao diện thứ hai là giao diện Cu giữa UMTS IC card (UICC) và đầu cuối Giao diện này tuân theo tiêu chuẩn cho các card thông minh Các tiêu chuẩn này gồm:

- Bàn phím (các phím vật lý hay các phím ảo trên màn hình)

- Đăng ký mật khẩu mới

- Thay đổi mã PIN

- Giải chặn PIN/PIN2 (PUK)

- Trình bầy IMEI

- Điều khiển cuộc gọi

Các phần còn lại của giao diện sẽ dành riêng cho nhà thiết kế và người

sử dụng sẽ chọn cho mình đầu cuối dựa trên hai tiêu chuẩn (nếu xu thế 2G còn kéo dài) là thiết kế và giao diện Giao diện là kết hợp của kích cỡ và thông tin do màn hình cung cấp (màn hình nút chạm), các phím và menu

b UICC (UMTS IC card)

UMTS IC card (UICC) là một card thông minh Điều mà ta quan tâm

Cu

UE

đến nó là dung lượng nhớ và tốc độ bộ xử lý do nó cung cấp Ứng dụng USIM chạy trên UICC.

c Module nhận dạng thuê bao UMTS (USIM - UMTS Subscriber Identity Module)

USIM được được cài như một ứng dụng trên UICC Điều này cho phép lưu nhiều ứng dụng hơn và nhiều chữ ký (khóa) điện tử hơn cùng với USIM cho các mục đích khác (các mã truy nhập giao dịch ngân hàng an ninh) Ngoài ra có thể có nhiều USIM trên cùng một UICC để hỗ trợ truy nhập đến nhiều mạng

USIM chứa các hàm và số liệu cần để nhận dạng và nhận thực thuê bao trong mạng UMTS Nó có thể lưu cả bản sao hồ sơ của thuê bao

Người sử dụng phải tự mình nhận thực đối với USIM bằng cách nhập

mã PIN Điều này đảm bảo rằng chỉ người sử dụng đích thực mới được truy nhập mạng UMTS Mạng sẽ chỉ cung cấp các dịch vụ cho người nào sử dụng đầu cuối dựa trên nhận dạng USIM được đăng ký

1.3.2 Mạng lõi (CN - Core Network)

CN được chia thành ba phần, miền PS, miền CS và HE Miền PS đảm bảo các dịch vụ số liệu cho người sử dụng bằng các kết nối đến Internet và các mạng số liệu khác và miền CS đảm bảo các dịch vụ điện thoại đến các mạng khác bằng các kết nối TDM Các nút B trong CN được kết nối với nhau bằng đường trục của nhà khai thác, thường sử dụng các công nghệ mạng tốc

độ cao như ATM và IP Mạng đường trục trong miền CS sử dụng TDM còn trong miền PS sử dụng IP Chức năng cụ thể các thành phần của CN như sau:

a Bộ ghi định vị thường trú (HLR - Home Location Register)

HLR là một cơ sở dữ liệu có nhiệm vụ quản lý các thuê bao di động Một mạng di động có thể chứa nhiều HLR tùy thuộc vào số lượng thuê bao, dung lượng của từng HLR và tổ chức bên trong mạng

Cơ sở dữ liệu này chứa IMSI (International Mobile Subsscriber Identity: số nhận dạng thuê bao di động quốc tế), ít nhất một MSISDN (Mobile Station ISDN: số thuê bao có trong danh bạ điện thoại) và ít nhất

một địa chỉ PDP (Packet Data Protocol: Giao thức số liệu gói) Cả IMSI

và MSISDN có thể sử dụng làm khoá để truy nhập đến các thông tin được lưu khác Để định tuyến và tính cước các cuộc gọi, HLR còn lưu giữ thông tin về SGSN và VLR nào hiện đang chịu trách nhiệm thuê bao Các dịch vụ khác như chuyển hướng cuộc gọi, tốc độ số liệu và thư thoại cũng

có trong danh sách cùng với các hạn chế dịch vụ như các hạn chế chuyển mạng

HLR và AuC là hai nút mạng logic, nhưng thường được thực hiện trong cùng một nút vật lý HLR lưu giữ mọi thông tin về người sử dụng và đăng ký thuê bao Như: thông tin tính cước, các dịch vụ nào được cung cấp và các dịch vụ nào bị từ chối và thông tin chuyển hướng cuộc gọi Nhưng thông tin quan trọng nhất là hiện VLR và SGSN nào đang phụ trách người sử dụng [1]

b Bộ ghi định vị tạm trú (VLR - Visitor Location Register)

Bộ ghi định vị tạm trú là bản sao của HLR cho mạng phục vụ (SN: Serving Network) Dữ liệu thuê bao cần thiết để cung cấp các dịch vụ thuê bao được copy từ HLR và lưu ở đây Cả MSC và SGSN đều có VLR nối với chúng

Số liệu sau đây được lưu trong VLR:

- IMSI

- MSISDN

- TMSI (nếu có)

- LA hiện thời của thuê bao

- MSC/SGSN hiện thời mà thuê bao nối đến

Ngoài ra VLR có thể lưu giữ thông tin về các dịch vụ mà thuê bao được cung cấp

Cả SGSN và MSC đều được thực hiện trên cùng một nút vật lý với VLR vì thế được gọi là VLR/SGSN và VLR/MSC

c Trung tâm nhận thực (AuC - Authentication Center)

AuC lưu giữ toàn bộ số liệu cần thiết để nhận thực, mật mã hóa và bảo

vệ sự toàn vẹn thông tin cho người sử dụng Nó liên kết với HLR và được thực hiện cùng với HLR trong cùng một nút vật lý Tuy nhiên cần đảm bảo rằng AuC chỉ cung cấp thông tin về các vectơ nhận thực (AV: Authetication Vector) cho HLR.

AuC lưu giữ khóa bí mật chia sẻ K cho từng thuê bao cùng với tất cả các hàm tạo khóa từ f0 đến f5 Nó tạo ra các AV, cả trong thời gian thực khi SGSN/VLR yêu cầu hay khi tải xử lý thấp, lẫn các AV dự trữ

d Bộ ghi nhận dạng thiết bị (EIR - Equipment Identity Register)

EIR chịu trách nhiệm lưu các số nhận dạng thiết bị di động quốc tế (IMEI: International Mobile Equipment Identity) Đây là số nhận dạng duy nhất cho thiết bị đầu cuối Cơ sở dữ liệu này được chia thành ba danh mục: danh mục trắng, xám và đen Danh mục trắng chứa các số IMEI được phép truy nhập mạng Danh mục xám chứa IMEI của các đầu cuối đang bị theo dõi còn danh mục đen chứa các số IMEI của các đầu cuối bị cấm truy nhập mạng Khi một đầu cuối được thông báo là bị mất cắp, IMEI của nó sẽ bị đặt vào danh mục đen vì thế nó bị cấm truy nhập mạng Danh mục này cũng có thể được sử dụng để cấm các seri máy đặc biệt không được truy nhập mạng khi chúng không hoạt động theo tiêu chuẩn [1]

e Trung tâm chuyển mạch các dịch vụ di động (MSC - Mobile Services Switching Center)

MSC thực hiện các kết nối CS giữa đầu cuối và mạng Nó thực hiện các chức năng báo hiệu và chuyển mạch cho các thuê bao trong vùng quản lý của mình Chức năng của MSC trong UMTS giống chức năng MSC trong GSM, nhưng nó có nhiều khả năng hơn Các kết nối CS được thực hiện trên giao diện

CS giữa UTRAN và MSC Các MSC được nối đến các mạng ngoài qua GMSC

- MSC/VLR là tổng đài MSC và cơ sở dữ liệu để cung cấp dịch vụ chuyển mạch kênh cho UE tại vị trí hiện thời của nó Chức năng của MSC là

sử dụng các giao dịch chuyển mạch kênh CS và chức năng của VLR là lưu giữ

bản sao về hồ sơ người sử dụng cũng như vị trí chính xác của UE trong hệ thống đang phục vụ Phần mạng được truy nhập qua MSC/VLR thường được gọi là vùng CS.

f Trung tâm chuyển mạch các dịch vụ di động cổng (GMSC - Gateway MSC)

GMSC có thể là một trong số các MSC GMSC chịu trách nhiệm thực hiện các chức năng định tuyến đến vùng có MS Khi mạng ngoài tìm cách kết nối đến PLMN của một nhà khai thác, GMSC nhận yêu cầu thiết lập kết nối

và hỏi HLR về MSC hiện thời quản lý MS

g Nút hỗ trợ GPRS phục vụ (SGSN - Serving GPRS Support Node)

SGSN là nút chính của miền chuyển mạch gói Nó nối đến UTRAN thông qua giao diện IuPS và đến GGSN thông quan giao diện Gn SGSN chịu trách nhiệm cho tất cả kết nối PS của tất cả các thuê bao Nó lưu hai kiểu dữ liệu thuê bao: thông tin đăng ký thuê bao và thông tin vị trí thuê bao

Số liệu thuê bao lưu trong SGSN gồm:

- IMSI (International Mobile Subsscriber Identity: số nhận dạng thuê bao di động quốc tế)

- Các nhận dạng tạm thời gói (P-TMSI: Packet- Temporary Mobile Subscriber Identity: số nhận dạng thuê bao di động tạm thời gói)

- Các địa chỉ PDP (Packet Data Protocol: Giao thức số liệu gói)

Số liệu vị trí lưu trên SGSN:

- Vùng định tuyến thuê bao (RA: Routing Area)

- Số VLR

Các địa chỉ GGSN của từng GGSN có kết nối tích cực

h Nút hỗ trợ GPRS cổng (GGSN - Gateway GPRS Support Node)

GGSN là một SGSN kết nối với các mạng số liệu khác Tất cả các cuộc truyền thông số liệu từ thuê bao đến các mạng ngoài đều qua GGSN Cũng như SGSN, nó lưu cả hai kiểu số liệu: thông tin thuê bao và thông tin vị trí

Số liệu thuê bao lưu trong GGSN bao gồm IMSI và các địa chỉ PDP.

Số liệu vị trí lưu trong GGSN gồm địa chỉ SGSN hiện thuê bao đang nối đến và GG SN nối đến Internet thông qua giao diện Gi và đến BG thông qua Gp

1.3.3 Mạng truy cập vô tuyến mặt đất UMTS (UTRAN)

Hình 1.4 Cấu trúc mạng truy cập vô tuyến mặt đất UMTS (UTRAN) UTRAN bao gồm một hay nhiều hệ thống con mạng vô tuyến ( RNS : Radio Network Subsystem) Một RNS là một mạng con và gồm một bộ điều khiển mạng vô tuyến RNC và một hay nhiều nút B Các RNC kết nối với nhau bằng giao diện Iur Các RNC và các nút B được kết nối với nhau bằng giao diện Iub [1]

a Các thành phần của UTRAN

- Bộ điều khiển mạng vô tuyến RNC: RNC là phần tử chịu trách nhiệm điều khiển các tài nguyên vô tuyến của UTRAN Nó giao diện với CN( thông thường là với một MSC và một SGSN) và kết cuối giao thức điều khiển tài nguyên vô tuyến RRC (giao thức này định nghĩa các bản tin và thủ tục giữa

MS và UTRAN Nó đóng vai trò như BSC

RN

S

RN C

RN S

RN C

Node

B

Iu r

Iu b

Iu b

Iu

b

Iu b

B

Nút B

Nút B

Vai trò logic của RNC: RNC điều khiển nút B được biểu thị như là RNC Điều khiển của nút B RNC Điều khiển chịu trách nhiệm điều khiển tải và tránh nghẽn cho các ô của mình.

Khi một kết nối MS-UTRAN sử dụng nguồn tài nguyên từ nhiều RNS, RNC tham dự vào kết nối này có hai vai trò logic riêng biệt

- RNC phục vụ (SRNC-Serving RNC) : đối với mỗi MS, đây là RNC kết cuối cả đường nối Iu để truyền số liệu người sử dụng và cả bao hiệu RANAP ( Radio Access Network Application Part: Phần ứng dụng mạng truy nhập vô tuyến) tương ứng từ/tới mạng lõi SRNC cũng kết cuối báo hiệu điều khiển tài nguyên vô tuyến: giao thức báo hiệu giữa UE và UTRAN Nó xử lí

số liệu từ lớp L2 tới giao diện vô tuyến Các thao tác quản lí tài nguyên vô tuyến như sắp xếp các thông số vật mang truy nhập vô tuyến vào các thông số kênh truyền tải của một nút B nào đó được MS sử dụng để kết nối với UTRAN

- RNC trôi ( DRNC- Drif RNC) là một RNC bất kì khác với SRNC để điều khiển các ô được MS sử dụng Khi cần DRNC có thể thực hiện kết hợp

và phân chia ở tầm vĩ mô DRNC không thực hiện xử lí L2 đối với số liệu tới/từ giao diện vô tuyến mà chỉ định tuyến số liệu trong suốt giữa các giao diện Iub và Iur Một UE không có thể có hoặc có một hay nhiều DRNC

- Nút B (Trạm gốc) : Các chức năng chính của nút B là thực hiện xử lí L1 của giao diện vô tuyến ( mã hoá kênh, đan xen, thích ứng tốc độ, trải phổ….) Nó cũng thực hiện một phần khai thác quản lí tài nguyên vô tuyến như điều khiển công suất vòng trong Về phần chức năng, nó giống như trạm gốc ở GSM Lúc đầu nút B được sử dụng như là một thuật ngữ tạm thời trong quá trình chuẩn hoá nhưng sau đó thì không thay đổi tên đó nữa

b Các đặc tính chính của UTRAN

- Hỗ trợ UTRA (Truy cập vô tuyến mặt đất UMTS) và tất cả các chức năng liên quan Đặc biệt là vấn đề chuyển giao mềm và các thuật toán quản lí tài nguyên vô tuyến đặc thù W-CDMA

- Đảm bảo tính chung nhất cho việc xử lý số liệu chuyển mạch kênh và chuyển mạch gói bằng một ngăn xếp giao diện vô tuyến duy nhất và bằng cách

sử dụng cùng một giao diện để kết nối từ UTRAN đến hai vùng PS và CS của mạng lõi

- Đảm bảo tính chung nhất với GSM khi cần thiết

- Sử dụng truyền tải ATM là cơ chế truyền tải chính ở UTRAN [1]

1.4 Các mạng ngoài

Các mạng ngoài có thể được chia thành 2 nhóm:

- Các mạng chuyển mạch kênh CS: các mạng này đảm bảo các kết nối chuyển mạch kênh giống như các dịch vụ điện thoại Ví dụ PSTN, ISDN

- Các mạng chuyển mạch gói PS: các mạng này đảm bảo các kết nối cho các dịch vụ chuyển mạch gói Ví dụ như mạng INTERNET

Trong sơ đồ cấu trúc trên, các tiêu chuẩn UMTS không định nghĩa chi tiết các chức năng bên trong các phần tử mạng nhưng lại đưa ra định nghĩa về giao diện giữa các phần tử mạng, cụ thể như sau:

- Giao diện Cu: đây là giao diện giữa USIM và ME Giao diện này tuân theo một khuôn dạng tiêu chuẩn cho các thẻ thông minh

- Giao diện Uu: đây là giao diện vô tuyến W-CDMA và là giao diện mà qua đó UE truy nhập các phần tử cố định của hệ thống Vì thế nó là giao diện

mở quan trọng nhất ở UMTS

- Giao diện Iu : đây là giao diện giữa UTRANvà CN Giống như các giao diện tương ứng ở GSM là giao diện A (ở chuyển mạch kênh) và Gb( ở

chuyển mạch gói), Iu cung cấp khả năng cho các nhà khai thác mạng có thể lắp đặt các thiết bị của các nhà sản xuất khác nhau trong UTRAN và CN

- Giao diện Iur: đây là một giao diện mở, cho phép chuyển giao mềm giữa các RNC từ các nhà sản xuất khác nhau

- Giao diện Iub: kết nối giữa một nút B và một RNC UMTS là hệ thống điện thoại di động đầu tiên trong đó giao diện giữa bộ điều khiển và trạm gốc được tiêu chuẩn hoá như là một giao diện mở hoàn toàn

Qua các phân tích trên, có thể đưa ra sơ đồ khối cấu trúc tổng quan của mạng UMTS có tương thích với GSM Sơ đồ khối này rất quan trọng bởi vì

nó đưa ra quá trình phát triển từ GSM pha 2+ đến UMTS ở đây có thể nhìn thấy các giao diện khác nhau của GSM và UMTS nhập vào một mạng xương sống

Trong sơ đồ khối này, MSC và GMSC là cho mạng GSM chuyển mạch kênh Bởi vì GSM pha 2 + sẽ bao gồm cả GPRS nên điều khiển dữ liệu gói nên có cả SGSN và GGSN Các thành phần mạng lõi khác như AuC, HLR , VLR và EIR vẫn cung cấp cả mạng số liệu gói và chuyển mạch kênh Do đó mạng lõi UMTS được cấu trúc từ mạng GSM pha 2 + được nâng cấp tăng công suất lên để có thể điều khiển lưu lượng UMTS mức cao hơn, tốc độ bít lớn hơn Dưới mạng lõi UMTS là GSM BSS và UMTS RNS Mạng UMTS sử dụng cùng một mạng lõi với GSM và có giao diện giữa RNC và MSC, SGSN

và RNC là Iucs, Iups và Iur

1.5 Các giao diện

Vai trò các các nút khác nhau của mạng chỉ được định nghĩa thông qua các giao diện khác nhau Các giao diện này được định nghĩa chặt chẽ để các nhà sản xuất có thể kết nối các phần cứng khác nhau của họ

Giao diện Cu là giao diện chuẩn cho các card thông minh Trong UE đây là nơi kết nối giữa USIM và UE

Giao diện Uu là giao diện vô tuyến của WCDMA trong UMTS Đây là giao diện mà qua đó UE truy nhập vào phần cố định của mạng Giao diện này nằm giữa nút B và đầu cuối.

Giao diện Iu kết nối UTRAN và CN Nó gồm hai phần, IuPS cho miền chuyển mạch gói, IuCS cho miền chuyển mạch kênh CN có thể kết nối đến nhiều UTRAN cho cả giao diện IuCS và IuPS Nhưng một UTRAN chỉ có thể kết nối đến một điểm truy nhập CN

Cấu trúc I U CS

IU CS sử dụng phương thức truyền tải ATM trên lớp vật lý là kết nối vô tuyến, cáp quang hay cáp đồng Có thể lựa chọn các công nghệ truyền dẫn khác nhau như SONET, STM-1 hay E1 để thực hiện lớp vật lý

Ngăn xếp giao thức phía điều khiển: gồm RANAP trên đỉnh giao diện SS7 băng rộng và các lớp ứng dụng là phần điều khiển kết nối báo hiệu SCCP, phần truyền bản tin MTP3-b, và lớp thích ứng báo hiệu ATM cho các giao diện mạng SAAL-NNI

Ngăn xếp giao thức phía điều khiển mạng truyền tải: gồm các giao thức báo hiệu để thiết lập kết nối AAL2 (Q.2630) và lớp thích ứng Q.2150 ở đỉnh các giao thức SS7 băng rộng

Ngăn xếp giao thức phía người sử dụng: gồm một kết nối AAL2 được dành trước cho từng dịch vụ CS

Ngăn xếp giao thức phía điều khiển mạng truyền tải IU PS: Phía điều

khiển mạng truyền tải không áp dụng cho IU PS Các phần tử thông tin sử dụng để đánh địa chỉ và nhận dạng báo hiệu AAL2 giống như các phần tử thông tin được sử dụng trong CS.

Ngăn xếp giao thức phía người sử dụng Iu PS: Luồng số liệu gói được ghép chung lên một hay nhiều AAL5 PVC (Permanent Virtual Connection) Phần người sử dụng GTP-U là lớp ghép kênh để cung cấp các nhận dạng cho từng luồng số liệu gói Các luồng số liệu sử dụng truyền tải không theo nối thông và đánh địa chỉ IP

Giao diện Iur là giao diện RNC-RNC Ban đầu được thiết kế để đảm bảo chuyển giao mềm giữa các RNC, nhưng trong quá trình phát triển nhiều tính năng mới được bổ sung Giao diện này đảm bảo bốn tính năng nổi bật sau:

+ Di động giữa các RNC

+ Lưu thông kênh riêng

+ Lưu thông kênh chung

+ Quản lý tài nguyên toàn cục

Giao diện Iub là giao diện nối nút B và RNC Khác với GSM đây là giao diện mở Giao thức IUb định nghĩa cấu trúc khung và các thủ tục điều khiển trong băng cho các từng kiểu kênh truyền tải Các chức năng chính của IUb [1]:

+ Chức năng thiết lập, bổ sung, giải phóng và tái thiết lập một kết nối vô tuyến đầu tiên của một UE và chọn điểm kết cuối lưu lượng

+ Khởi tạo và báo cáo các đặc thù ô, node B, kết nối vô tuyến

+ Xử lý các kênh riêng và kênh chung

+ Xử lý kết hợp chuyển giao

+ Quản lý sự cố kết nối vô tuyến

1.6 Kết luận

Ở chương này đã giới thiệu tổng quan về hệ thống mạng 3G dựa trên công nghệ truy nhập băng rộng đa truy nhập phân chia theo mã W-CDMA, các tiêu chuẩn và các dịch vụ mạng mà nó cung cấp

Ngoài ra chương này cũng giúp chúng ta có cái nhìn rõ ràng hơn về cấu trúc, các thành phần của mạng W-CDMA UMTS Qua đó nó có thể làm cơ sở

để phát triển đề tài ở các chương tiếp theo

CHƯƠNG II BẢO MẬT TRONG THÔNG TIN DI ĐỘNG

Một số công nghệ an toàn và bảo mật hiện nay cho phép tạo nên các giải pháp truyền tin di động được đảm bảo từ đầu cuối tới đầu cuối Các công nghệ này cần phải được hợp nhất vào trong ứng dụng từ lúc bắt đầu thiết kế cho tới khi thực hiện xong

Việc chủ yếu là phải đảm bảo an ninh toàn bộ mọi mặt của hệ thống, bởi vì những kẻ ác ý sẽ luôn tấn công vào những phần yếu nhất của hệ thống Thế nên rõ ràng việc tồn tại một liên kết yếu là rất nguy hiểm Để có thể thực hiện được một một môi trường thực sự an ninh cần phải có cả công nghệ chuẩn và chính sách an ninh cộng đồng Điều này sẽ giúp đảm bảo rằng mọi mặt của hệ thống được an toàn

2.1 Các yếu tố cần thiết trong bảo mật

Để đảm bảo an ninh từ đầu cuối tới đầu cuối cần phải thực hiện trên toàn bộ môi trường bao gồm truy nhập hãng, các thành phần thuộc lớp trung gian,và các ứng dụng Client An ninh từ đầu cuối tới đầu cuối có nghĩa là số liệu được an toàn trong toàn bộ tuyến hành trình từ người gửi đến người nhận, thường là từ ứng dụng Client tới Server hãng Điều này không đơn giản chỉ là mật mã hoá số liệu Trong phần này sẽ nghiên cứu năm vấn đề cần để tạo một môi trường di động an toàn Việc hiểu được các vấn đề này và tác động của chúng trên ứng dụng di động có tính chất quyết định để tạo nên các ứng dụng an ninh

2.1.1 Nhận thực

Nhận thực là việc xử lý xác nhận những người đó và tổ chức đó là ai

và họ cần cái gì Đối với mạng di động nhận thực được thực hiện tại hai mức: Mức mạng và mức ứng dụng Mức mạng yêu cầu người dùng phải được nhận thực trước khi người đó được phép truy nhập Tại mức ứng dụng, nhận thực được thực hiện ở cả hai ứng dụng: Client và Server hãng Để có thể truy nhập vào số liệu hãng, Client cần phải chứng minh với Server rắng nó được phép Đồng thời, trước khi Client cho phép một Server bên ngoài được kết nối với

nó, ví dụ trong trường hợp Server cần đẩy một vài nội dung nào đó tới Client, thì Server đó phải tự nhận thực tới ứng dụng Client Phương pháp nhận thực đơn giản nhất và cũng kém an toàn nhất là một tổ hợp mật khẩu hay tên người dùng, các phương pháp tiện ích hơn là sử dụng chứng nhận số hoặc chữ ký số

2.1.2 Tính toàn vẹn dữ liệu

Tính toàn vẹn dữ liệu là sự đảm bảo dữ liệu trong câu hỏi không bị biến đổi hoặc bị xuyên tạc theo một cách nào đó trong suốt quá trình truyền dẫn từ người gửi tới người nhận Điều này có thể thực hiện bằng cách mật mã hoá số liệu phối hợp với một tổng kiểm tra mật mã hoặc với mã nhận thực bản tin (MAC – Message Authentication Code) Thông tin này được mã hoá vào chính bên trong bản tin đó bằng cách áp dụng một thuật toán đối với bản tin Khi người nhận nhận được bản tin, họ sẽ tính toán MAC và so sánh với MAC được mã hoá trong bản tin để xem các mã này có giống nhau không Nếu giống, người nhận có thể tin tưởng rằng bản tin đó không bị sửa đổi Còn nếu các mã này không giống nhau, người nhận có thể loại bỏ bản tin này

2.1.3 Tính bí mật

Tính bí mật là một trong những mặt quan trọng nhất của an ninh và thường được đề cập đến nhiều nhất Bí mật có nghĩa là duy trì tính riêng tư

của số liệu, đảm bảo số liệu không bị người khác xem Bình thường, khi người dùng lo lắng về độ an toàn của một hệ thống, họ thường lo lắng về độ

an toàn của các thông tin nhạy cảm như số thẻ tín dụng, giấy ghi sức khoẻ, những thông tin này có thể bị người khác có chủ tâm xấu xem trộm Cách chung nhất để ngăn ngừa sự xâm phạm này là mật mã hoá số liệu Việc xử lý này bao gồm mật mã hoá nội dung của bản tin thành một dạng mà những người khác không thể đọc được trừ người nhận đã được chỉ định

2.1.4 Phân quyền

Phân quyền là công việc xử lý định ra mức độ truy nhập của người sử dụng, rằng người đó được phép hay không được phép thực hiện một hoạt động nào đó Phân quyền thường luôn đi kèm với nhận thực Khi một người dùng đã được nhận thực, hệ thống sẽ cân nhắc xem người đó được phép làm những gì Danh sách điều khiển truy nhập (ACLs: Access Control Lists) thường được sử dụng để thực hiện điều này Chẳng hạn, mọi người dùng chỉ

có thể được phép truy nhập và đọc một tập số liệu trong khi nhà quản trị hoặc một số đối tượng đáng tin cậy nào đó có thể được phép ghi trên số liệu đó

2.1.5 Tính không thể phủ nhận

Tính không thể phủ nhận có nghĩa là khiến một số người phải chịu trách nhiệm đối với các phiên giao dịch mà họ đã tham dự Nó bao gồm việc nhận dạng ra những người này theo một cách nào đó mà họ không thể phủ nhận sự dính dáng của họ trong phiên giao dịch Tính không thể phủ nhận có nghĩa là cả người gửi lẫn người nhận một bản tin đều có thể chứng minh được với một người thứ ba rằng người gửi thực sự là đã gửi bản tin và người nhận đã nhận được chính bản tin đó Để thực hiện được điều này, mỗi một phiên giao dịch cần phải được đóng dấu bằng một chữ ký số mà chữ ký này

có thể được một người dùng thứ ba thẩm tra và gán tem thời gian

2.2 Những vấn đề thường xảy ra trong bảo mật

Để có các giải pháp bảo mật chính xác và đúng đắn cần phải nhận biết được các đe dọa tiềm ẩn trong bảo mật Có 4 đe dọa tiềm ẩn đó là: giả mạo, thăm dò, làm sai lệch số liệu, đánh cắp Bất kể dữ liệu đang truyền hay không, bất kể môi trường truyền là môi trường hữu tuyến hay vô tuyến đều cần phải

đề phòng các mối nguy hiểm này

2.2.1 Giả mạo (Spoofing)

Giả mạo là âm mưu của một người nào đó nhằm đạt được sự truy nhập trái phép tới một ứng dụng hoặc hệ thống bằng cách giả mạo thành một người nào đó Sau khi kẻ giả mạo truy nhập vào được, họ có thể sẽ tạo các câu trả lời giả cho các bản tin để có thể thu thập nhiều thông tin hơn và truy nhập tới các phần khác của hệ thống Sự giả mạo là một vấn đề chính đối với bảo mật Internet do đó cũng là vấn đề đối với bảo mật mạng Internet không dây, bởi vì một kẻ giả mạo có thể làm cho các người dùng ứng dụng tin rằng họ đang thông tin với đối tượng đáng tin cậy chẳng hạn như ngân hàng của họ, nhưng

sự thực họ lại đang thông tin với một tổ chức tấn công Một cách vô tình, những người dùng lại thường xuyên cung cấp thêm thông tin hữu ích cho kẻ tấn công có thể truy nhập tới các phần khác hoặc người dùng khác của hệ thống [2]

2.2.2 Thăm dò (Sniffing)

Thăm dò là kỹ thuật được sử dụng để giám sát lưu lượng số liệu trên mạng Ngoài mục đích sử dụng đúng đắn, thăm dò thường được sử dụng kết hợp với bản sao trái phép số liệu mạng Thăm dò về bản chất là nghe trộm điện tử Bằng cách nghe ngóng số liệu trên mạng, những người dùng trái phép

có thể có được các thông tin nhạy cảm giúp họ có thể tấn công mạnh hơn vào các người dùng ứng dụng, các hệ thống hãng, hoặc cả hai

Thăm dò rất nguy hiểm bởi việc thực hiện nó đơn giản lại khó bị phát hiện Hơn nữa các công cụ thăm dò dễ kiếm lại dễ định hình

2.2.3 Làm sai lệch số liệu (Tampering)

Làm sai lệch số liệu có thể gọi là sự tấn công vào tính toàn vẹn của số liệu, bao gồm việc sửa đổi ác ý số liệu khỏi dạng ban đầu, thường xảy ra đối với số liệu đang được truyền, mặc dù nó vẫn xảy ra đối với số liệu lưu trữ trên thiết bị Server hoặc Client Sau đó số liệu đã bị sửa đổi đưa trở lại vị trí ban đầu Việc thực hiện mật mã hoá số liệu, nhận thực, phân quyền là những phương pháp để chống lại các tấn công làm sai lệch số liệu.

1 Khóa các thiết bị bằng một tổ hợp tên người dùng/mật khẩu nhằm tránh sự truy nhập dễ dàng

2 Yêu cầu nhận thực để truy nhập tới một ứng dụng nào đó có trên máy di động

3 Không lưu trữ các mật khẩu trên thiết bị

4 Mật mã hóa tất cả những nơi lưu trữ số liệu cố định

5 Thực hiện các chính sách bảo mật đối với các người dùng di động.Nhận thực và mã hóa, cùng với chính sách bảo mật đều cần thiết để tránh sự truy nhập số liệu ác ý từ thiết bị bị đánh cắp hoặc bị mất Rất may vấn đề này không nghiêm trọng đối với các ứng dụng Internet không dây khi chúng lưu trữ số liệu bên ngoài bộ nhớ đệm của trình duyệt

2.3 Các kỹ thuật bảo mật sử dụng trong mạng di động

Để đảm bảo an toàn cho một hệ thống thông tin di động, chúng ta cần đưa ra các giải pháp bảo mật cho một hệ thống nói chung Sau đây sẽ giới thiệu các phương pháp bảo mật nói chung

2.3.1 Tường lửa

Hình 2.1 Thí dụ về sử dụng hai tường lửa với các cấu hình khác nhau để đảm

bảo các mức an ninh khác nhau cho một hãngTường lửa là dạng bảo mật thông thường nhất được thực hiện trong phạm vi tổ chức Nó tạo nên một vành đai mạng giữa những gì là chung và những gì là riêng Một bức tường lửa là một tập hợp các chương trình phần mềm, thường đặt ở một server cổng riêng biệt nhằm hạn chế sự truy nhập của các người dùng thuộc các mạng khác vào tài nguyên mạng riêng Ngay khi một hãng nối mạng Internet, một bức tường lửa được yêu cầu để bảo vệ tài nguyên của hãng đó và thỉnh thoảng để điều khiển tài nguyên bên ngoài tới những người dùng đã truy nhập của hãng

Ở mức thấp hơn, tường lửa sẽ kiểm tra các gói số liệu mạng để xem xét gói đó có được chuyển tiếp tới đích hay không Khi có một sự truy cập ra bên ngoài được phép (trong trường hợp truy cập tới một Web server), tường lửa sẽ cho phép lưu lượng bên ngoài thông qua tường lửa tới một cổng cụ thể Trong trường hợp truyền thông với một ứng dụng cụ thể, tường lửa thường vẫn cho phép tất cả người dùng bên ngoài có thể truy nhập qua Tuy nhiên, đôi lúc việc truy nhập từ bên ngoài qua tường lửa bị hạn chế và nó chỉ cho phép truy nhập đối với những người dùng đã biết, thường căn cứ vào địa chỉ IP của họ

Và điều này chỉ được áp dụng khi chỉ có một số lượng giới hạn người dùng đã biết cần truy nhập tới một hệ thống

2.3.2 Nhận thực