Tìm hiểu công nghệ lte

Thông thường phương pháp mật mã này chỉ được sử dụng để phân phối một khóa bí mật dùng chung để mật mã phần còn lại của phiên thông tin bằng một hệ thống đối xứng thông thường nhờ DES là

TRƯỜNG ĐẠI HỌC VINH

TÌM HIỂU CÔNG NGHỆ LTE

Giáo viên hướng dẫn Sinh viên thực hiện Lớp

LỜI NÓI ĐẦU

Ngày nay, thông tin di động đã trở thành một nghành công nghiệp viễn thông phát triển nhanh nhất và phục vụ con người hữu hiệu nhất Từ hệ thống thông tin di động 2G GSM chỉ sử dụng chuyển mạch kênh hiệu xuất thấp, vốn được phát triển cho các dịch vụ thoại là chủ yếu Thì nay, cùng với sự phát triển của xã hội, nhu cầu đặt ra đòi hỏi ngày càng cao về các dịch vụ đa phương tiện như :

 Truyền thông hội nghị, quản lý thông tin cá nhân, lập biểu, nhóm làm việc, fax màu, …

 Truyền thông: báo, tạp chí, quảng cáo, …

 Mua sắm: thương mại điện tử, tiền ví điện tử, giao dịch tự động, đấu giá,…

 Giải trí: tin tức, thể thao, trò chơi, video, âm nhạc, …

 Giáo dục: thư viện trực tuyến, máy tìm kiếm, học từ xa, …

 Sức khỏe: chữa bệnh, theo dõi, chuẩn đoán từ xa, ……

 Tự động hóa: đo đạc từ xa, …

 Tuy nhập thông tin cá nhân: thời gian biểu, đặt vé từ xa, cảnh báo vị trí,…

 Các dịch vụ đánh số cá nhân toàn cầu, điệ thoại vệ tinh, …

Để đáp ứng cho những nhu cầu đó thì việc chuyển đổi từ mạng 2G sang 3G

là điều tất yếu ITU (International Telecommunication union – liên minh viễn thông quốc tế) đã đưa ra nhiều tiêu chuẩn cho 3G trong đó có 2 hệ thống WCDMA UMTS

và CDMA-2000 đã được ITU chấp nhận và đưa vào hoạt động Cả hai hệ thống này đều sử dụng công nghệ CDMA Điều này cho phép thực hiện tiêu chuẩn trên toàn thế giới cho giao diện vô tuyến của hệ thống thông tin di động thế hệ ba Trong hai

hệ thống đó, hệ thống UMTS tỏ ra có nhiều ưu điểm hơn cả

Hệ thống UMTS được phát triển ở nhiều nước trên thế giới, chủ yếu là các nước đang phát triển, đặc biệt là cho các nước hiện đang sử dụng mạng GSM (trong

đó có Việt Nam) với tổng số thuê bao đã đạt tới 3,6 tỷ tính đến cuối năm 2008 Đây

là một trong những yếu tố quyết định giúp UMTS trở thành hệ thống thông tin di động thế hệ ba phổ biến nhất hiện nay và sẽ tiếp tục phát triển nhanh trong thời gian tới

Khi hệ thống thông tin di động 3G UMTS ra đời kéo theo sự phát triển các dịch vụ và ứng dụng mới, các giao dịch kinh doanh cũng được thực hiện qua mạng

di động ngày càng nhiều vì thời gian xử lý công việc nhanh chóng hơn Và để đảm cho công việc kinh doanh thì vấn đề an ninh cần phải đặt nên hàng đầu Cần phải có các biện pháp an ninh để giảm thiểu các rủi ro hủy hoại dịch vụ, tránh thất thoát lợi nhuận và duy trì mức độ thỏa mãn cho khách hàng sử dụng

Với yêu cầu đặt ra như vậy, em đã nghiên cứu tìm hiểu và nhận đề tài với tên

gọi “AN NINH TRONG 3G UMTS ” làm đồ án tốt nghiệp đại học cho mình

Cuối cùng em xin gửi lời cảm ơn chân thành sâu sắc đến cô giáo TS NGUYỄN THỊ QUỲNH HOA đã giúp đỡ em tận tình, chu đáo để em hoàn thành tốt đồ án tốt nghiệp của mình

Vinh, ngày tháng năm Sinh viên

LÊ THANH TÙNG

CHƯƠNG I: GIỚI THIỆU CHUNG VỀ AN NINH

1.1 Các yếu tố cần thiết để tạo một môi trường an ninh

Để đảm bảo an ninh từ đầu cuối tới đầu cuối cần phải thực hiện trên toàn bộ môi trường bao gồm truy nhập hãng, các thành phần thuộc lớp trung gian,và các ứng dụng Client An ninh từ đầu cuối tới đầu cuối có nghĩa là số liệu được an toàn trong toàn bộ tuyến hành trình từ người gửi đến người nhận, thường là từ ứng dụng Client tới Server hãng Điều này không đơn giản chỉ là mật mã hoá số liệu Trong phần này sẽ nghiên cứu năm vấn đề cần để tạo một môi trường di động an toàn Việc hiểu được các vấn đề này và tác động của chúng trên ứng dụng di động có tính chất quyết định để tạo nên các ứng dụng an ninh

Nhận thực

Nhận thực là việc xử lý xác nhận những người đó và tổ chức đó là ai và họ cần cái gì Đối với mạng di động nhận thực được thực hiện tại hai mức: Mức mạng

và mức ứng dụng Mức mạng yêu cầu người dùng phải được nhận thực trước khi người đó được phép truy nhập Tại mức ứng dụng, nhận thực được thực hiện ở cả hai ứng dụng: Client và Server hãng Để có thể truy nhập vào số liệu hãng, Client cần phải chứng minh với Server rắng nó được phép Đồng thời, trước khi Client cho phép một Server bên ngoài được kết nối với nó, ví dụ trong trường hợp Server cần đẩy một vài nội dung nào đó tới Client, thì Server đó phải tự nhận thực tới ứng dụng Client Phương pháp nhận thực đơn giản nhất và cũng kém an toàn nhất là một tổ hợp mật khẩu hay tên người dùng, các phương pháp tiện ích hơn là sử dụng chứng nhận số hoặc chữ ký số

Tính toàn vẹn dữ liệu

Tính toàn vẹn dữ liệu là sự đảm bảo dữ liệu trong câu hỏi không bị biến đổi hoặc bị xuyên tạc theo một cách nào đó trong suốt quá trình truyền dẫn từ người gửi tới người nhận Điều này có thể thực hiện bằng cách mật mã hoá số liệu phối hợp với một tổng kiểm tra mật mã hoặc với mã nhận thực bản tin (MAC – Message Authentication Code) Thông tin này được mã hoá vào chính bên trong bản tin đó bằng cách áp dụng một thuật toán đối với bản tin Khi người nhận nhận được bản tin, họ sẽ tính toán MAC và so sánh với MAC được mã hoá trong bản tin để xem

các mã này có giống nhau không Nếu giống, người nhận có thể tin tưởng rằng bản tin đó không bị sửa đổi Còn nếu các mã này không giống nhau, người nhận có thể loại bỏ bản tin này

Tính bí mật

Tính bí mật là một trong những mặt quan trọng nhất của an ninh và thường được đề cập đến nhiều nhất Bí mật có nghĩa là duy trì tính riêng tư của số liệu, đảm bảo số liệu không bị người khác xem Bình thường, khi người dùng lo lắng về

độ an toàn của một hệ thống, họ thường lo lắng về độ an toàn của các thông tin nhạy cảm như số thẻ tín dụng, giấy ghi sức khoẻ, những thông tin này có thể bị người khác có chủ tâm xấu xem trộm Cách chung nhất để ngăn ngừa sự xâm phạm này là mật mã hoá số liệu Việc xử lý này bao gồm mật mã hoá nội dung của bản tin thành một dạng mà những người khác không thể đọc được trừ người nhận đã được chỉ định

Phân quyền

Phân quyền là công việc xử lý định ra mức độ truy nhập của người sử dụng, rằng người đó được phép hay không được phép thực hiện một hoạt động nào đó Phân quyền thường luôn đi kèm với nhận thực Khi một người dùng đã được nhận thực, hệ thống sẽ cân nhắc xem người đó được phép làm những gì Danh sách điều khiển truy nhập (ACLs: Access Control Lists) thường được sử dụng để thực hiện điều này Chẳng hạn, mọi người dùng chỉ có thể được phép truy nhập và đọc một tập số liệu trong khi nhà quản trị hoặc một số đối tượng đáng tin cậy nào đó có thể được phép ghi trên số liệu đó

Để thực hiện được điều này, mỗi một phiên giao dịch cần phải được đóng dấu bằng

một chữ ký số mà chữ ký này có thể được một người dùng thứ ba thẩm tra và gán tem thời gian

1.2 Các đe dọa an ninh

Việc xây dựng một giải pháp an ninh sẽ là khó nếu như không có sự nhận biết nào về các mối nguy cơ an ninh mạng Do vậy, sau khi xem xét những vấn đề cần thiết đối với một môi trường an ninh, phần này sẽ xem xét bốn nguy cơ an ninh mạng: Làm giả, thăm dò, làm sai lệch số liệu, và đánh cắp Bất kể dữ liệu đang truyền hay không, bất kể môi trường truyền là môi trường hữu tuyến hay vô tuyến đều cần phải đề phòng các mối nguy hiểm này

Chú ý: Để đơn giản hoá thuật ngữ, các truy nhập vào dũ liệu hoặc các hệ thống thông qua kẽ hở an ninh sẽ coi như là truy nhập trái phép

Giả mạo (Spoofing)

Giả mạo là âm mưu của một người nào đó nhằm đạt được sự truy nhập trái phép tới một ứng dụng hoặc hệ thống bằng cách giả mạo thành một người nào đó Sau khi kẻ giả mạo truy nhập vào được, họ có thể sẽ tạo các câu trả lời giả cho các bản tin để có thể thu thập nhiều thông tin hơn và truy nhập tới các phần khác của hệ thống Sự giả mạo là một vấn đề chính đối với an ninh Internet do đó cũng là vấn

đề đối với an ninh mạng Internet không dây, bởi vì một kẻ giả mạo có thể làm cho các người dùng ứng dụng tin rắng họ đang thông tin với đối tượng đáng tin cậy chẳng hạn như ngân hàng của họ, nhưng sự thực họ lại đang thông tin với một tổ chức tấn công Một cách vô tình, những người dùng lại thường xuyên cung cấp thêm thông tin hữu ích cho kẻ tán công có thể truy nhập tới các phần khác hoặc người dùng khác của hệ thống

Thăm dò (Sniffing)

Thăm dò là kỹ thuật được sử dụng để giám sát lưu lượng số liệu trên mạng Ngoài mục đích sử dụng đúng dắn, thăn dò thường được sử dụng kết hợp với bản sao trái phép số liệu mạng Thăm dò về bản chất là nghe trộm điện tử Bằng cách nghe ngóng số liệu trên mạng, những người dùng trái phép có thể có được các thông tin nhạy cảm giúp họ có thể tấn công mạnh hơn vào các người dùng ứng dụng, các hệ thống hãng, hoặc cả hai

Thăm dò rất nguy hiểm bởi việc thực hiện nó đơn giản lại khó bị phát hiện Hơn nữa các công cụ thăm dò dễ kiếm lại dễ định hình

Làm sai lệch số liệu (Tampering)

Làm sai lệch số liệu có thể gọi là sự tấn công vào tính toàn vẹn của số liệu, bao gồm việc sửa đổi ác ý số liệu khỏi dạng ban đầu, thường xảy ra đối với số liệu đang được truyền, mặc dù nó vẫn xảy ra đối với số liệu lưu trữ trên thiết bị Server hoặc Client Sau đó số liệu đã bị sửa đổi đưa trở lại vị trí ban đầu Việc thực hiện mật mã hoá số liệu, nhận thực, phân quyền là những phương pháp để chống lại các tấn công làm sai lệch số liệu

Đánh cắp (Theft)

Đánh cắp thiết bị là một vấn đề cố hữu trong tính toán di động, nó không chỉ làm người dùng mất chính thiết bị đó mà còn cả số liệu bí mật nào đó có thể được lưu trên thiết bị này Đây có thể là một nguy cơ khá lớn đối với các ứng dụng Client thông minh khi chúng thường lưu trữ dữ liệu cố định, mang bản chất bí mật Chính bởi các lí do trên, cần phải tuân thủ các nguyên tắc sau khi cần bảo vệ thiết

3 Không lưu trữ các mật khẩu trên thiết bị

4 Mật mã hoá tất cả những nơi lưu trữ số liệu cố định

5 Thực hiện các chính sách an ninh đối với các người dùng di động Nhận thực và mã hoá, cùng vói chính sách an ninh đều cần thiết để tránh sự truy nhập số liệu ác ý từ thiết bị bị đánh cắp hoặc bị mất Rất may vấn dề này không nghiêm trọng đối với các ứng dụng Internet không dây khi chúng lưu trữ số liệu bên ngoài bộ nhớ đệm của trình duyệt

1.3 Các công nghệ an ninh

1.3.1 Kỹ thuật mật mã

Mục tiêu cơ bản của mật mã hoá là để cho phép hai người thông tin với nhau qua một kênh thông thông tin không an toàn mà bất kỳ một người thứ ba nào khác cũng không thể hiểu được những gì đang được truyền đi Khả năng này là một trong những yêu cầu cốt lõi của một môi trường an ninh Xem xét tất cả các phương pháp để chuyển giao số liệu an toàn gồm có nhận thực, chữ ký số, và mật

mã hoá Bề ngoài thì mật mã là một khái niệm đơn giản, nhưng thực sự nó tương đối phức tạp, đặc biệt là đối với các việc thực hiện di động quy mô lớn

1.3.2 Các giải thuật đối xứng

Các giải thuật đối xứng sử dụng một khóa duy nhất để mật mã và giải mật

mã tất cả các bản tin Phía phát sử dụng khóa để mật mã hóa bản tin, sau đó gửi nó đến phía thu xác định Nhận được bản tin, phía thu sử dụng chính khóa này để giải mật mã bản tin Giải thuật này làm việc tốt khi có cách an toàn để trao đổi khóa giữa các người sử dụng như: Gặp nhau trước khi phát tin Rất tiếc rằng phần lớn vấn đề xẩy ra khi trao đổi khóa giữa hai bên ít liên quan đến nhau như giữa một Website thương mại điện tử và khách hàng Trao đổi khóa là một vấn đề mà bản thân mật mã hóa đối xứng không thể giải quyết nổi và nếu không có phương pháp trao đổi khóa an ninh thì phương pháp này chỉ hữu hiệu giữa hai đối tượng riêng

Luồng số liệu:

0100101

Luồng số đã mật mã phát vào mạng:

0001001

Luồng số đã mật mã thu từ mạng:

Hình 1.1 Minh họa cơ chế cơ sở của mật mã bằng khóa riêng duy nhất

Mật mã hóa đối xứng còn được gọi là mật mã bằng khóa bí mật Dạng phổ biến nhất của phương pháp này là DES (Data Encryption Standard: Tiêu chuẩn mật

mã hóa số liệu) được phát triển vào những năm 1970 Từ đó cho đến nay nhiều

dạng mật mã hóa đối xứng an ninh đã được phát triển, đứng đầu trong số chúng là AES ( Advanced Encryption Standard: Tiêu chuẩn mật mã hóa tiên tiến) dựa trên giải thuậ Rijindael, DES ba lần, IDEA (International Data Encryption Algorithm: Giải mật mã hóa số liệu quốc tế), Blowfish và họ các giải thuật của Rivest (RC2, RC4, RC5, RC6)

Để giải thích mật má hóa đối xứng ta xét quá trình mật mã cơ sở bao gồm nhận số liệu (văn bản thô) sử dụng khóa riêng duy nhất (một luồng số liệu khác) thực hiện một phép tính nào đó (chẳng hạn cộng hai luồng số để tạo ra một luồng

số thứ ba (văn bản mật mã)) như cho ở hình 1.1 Sau đó số liệu đã mật mã có thể được gửi qua mạng Kiểu mật mã này còn gọi là đệm một lần

Trong thí dụ này ta có thể truy hồi số liệu bằng sử dụng khóa chia sẻ (giống như khóa phía phát) tại phía nhận và phép toán biến đổi ngược

Phương pháp mật mã nói trên có một số nhược điểm Trước hết không thực

tế khi phải có độ dài khóa bằng độ dài số liệu mặc dù khóa càng dài càng cho tính

an ninh cao hơn và khó mở khóa hơn Thông thường các khóa ngắn được sử dụng (độ dài 64 hoặc 128 byte) và chúng được lặp lại nhiều lần cho số liệu Các phép toán phức tạp có thể được sử dụng (cộng đủ đảm bảo) DES là hệ thống thường được sử dụng mặc dù không phải là đảm bảo nhất Nhược điểm thứ hai là cả hai phía cần sử dụng chung một khóa (khóa này thường được gọi là khóa chia sẻ) điều này làm nảy sinh câu hỏi: làm cách nào phát khóa đến phía thu một cách an toàn? Phải chăng điều này có nghĩa rằng cần tạo ra một khóa riêng duy nhất và chuyển đến đối tác cần thông tin? Phần tiếp theo, mật mã khóa công khai sẽ trả lời cho câu hỏi này

1.3.3 Các giải thuật không đối xứng

Các giải thuật không đối xứng giải quyết vấn đề chính xảy ra đối xới các hệ thống khóa đối xứng (chỉ sử dụng một khóa) Năm 1975, Whitfield Diffie và Martin Hellman đã phát triển một giải pháp trong đó hai khóa liên quan với nhau được sử dụng: một được sử dụng để mật mã hóa và một kháo khác được sử dụng

để giải mật mã Khóa thứ nhất được gọi là khóa công khai, còn khóa thứ hai còn gọi là khóa riêng Khóa thứ nhất được phân phối rộng rãi trên các đường không an ninh cho mục đích sử dụng công khai Khóa thứ hai không bao giờ được truyền

trên mạng và nó chỉ được sử dụng bởi phía đối tác cần giải mật mã số liệu Hai khóa này liên hệ với nhau một cách phức tạp bằng cách sử dụng rất nhiều số nguyên tố và các hàm một chiều Kỹ thuật này dẫn đến không thể tính toán được khóa riêng dựa trên khóa công khai Khóa càng dài thì càng khó phá vỡ hệ thống Các hệ thống khóa 64 bit như DES có thể bị tấn công không suy nghĩ, nghĩa là tìm từng tổ hợp khóa đơn cho đến khi tìm được khóa đụng Các hệ thống 128 phổ biến hơn (chẳng hạn ECC: Elliptic Curve Cryptography) đã được chứng minh rằng không thể tấn công không suy nghĩ được

Trong mật mã khóa công khai có hai khóa được sử dụng Một khóa công khai và một khóa riêng đồng thời được tạo lập bằng cùng một giải thuật (giải thuật thông dụng là RSA) Người sử dụng giữ khóa riêng của mình nhưng đưa ra khóa công khai cho mọi người Khóa riêng không bao giờ được chia sẻ với một người khác hoặc truyền trên mạng Có thể sử dụng khóa công khai để mật mã hóa số liệu nhưng biết về khóa này cũng không thể giải mã số liệu này vì cần phải biết khóa riêng Sở dĩ như vậy vì các phép toán được sử dụng trong kiểu mật mã này không đối xứng Nếu người sử dụng A muốn gửi số liệu được bảo vệ đến người sử dụng

B, người sử dụng A sử dụng khóa công khai của người sử dụng B để mật mã hóa

số liệu và yên tâm rằng chỉ có người sử dụng B là có thể đọc được số liệu này

Thông thường phương pháp mật mã này chỉ được sử dụng để phân phối một khóa bí mật dùng chung để mật mã phần còn lại của phiên thông tin bằng một hệ thống đối xứng thông thường nhờ DES là một hệ thống cho phép mật mã hóa nhanh hơn đối với các khối số liệu lớn

Các kỹ thuật mật mã khóa riêng và công khai là các công cụ chính để giải quyết các vấn đề an ninh, tuy nhiên chúng không phải là các giải pháp đầy đủ Cần nhận thực để chứng minh rằng nhận dạng là của các người sử dụng chân thật Các phần dưới đây sẽ xét cách có thể sử dụng mật mã để giải quyết một số vấn đề an ninh cơ sở

Cũng có thể mật mã bản tin bằng khóa riêng và giải mã bằng khóa công khai, nhưng để cho mục địch khác Cách này có thể sử dụng cho các số liệu không nhạy cảm để chứng minh rằng phía mật mã hóa đã thực sự truy nhập vào khóa riêng

Giải thuật khóa không đối xứng nổi tiếng đầu tiên được đưa ra bởi Ron Rivest, Adi Shamir và Leonard Adelman vào năm 1977 với tên gọi là RSA Các giải thuật phổ biến khác bao gồm ECC (Elliptic Curve Crytography) và DH (Diffie- Hellman) RSA bị thất thế trong môi trườngdi động so với ECC vì ECC rẻ tiền hơn xét về mặt công suất xử lý và kích thước khóa (đây là nhứng nhân tố liên quan đến tính toán trong thiết bị di động)

Tuy nhiên các mật mã không đối xứng chưa phải là giải pháp hoàn hảo Chọn một kháo riêng không phải chuyện dễ, nếu chọn không cẩn thận dễ bị bẻ vỡ Ngoài ra các bộ mật mã không đối xứng cung cấp giải pháp cho vấn đề phân phối khóa bằng cách sử dụng khóa công khai và khóa riêng, nhưng chúng qua phức tạp dẫn đến tính toán chậm hơn các bộ giải mật mã đối xứng Đối với các tập số liệu lớn, đây có thể trở thành vấn đề Trong các trường hợp này sự kết hợp các hệ thống đối xứng và không đối xứng là một giải pháp lý tưởng Sự kết hợp này cho ta ưu điểm về hiệu năng cao hơn của các giải thuật đối xứng bằng cách gửi đi khóa bí mật trên các kênh an ninh trên cơ sở sử dụng các hệ thống khóa công khai Sau khi

cả hai phía đã có khóa bí mật chung, quá trình truyền số liệu tiếp theo của phiên sẽ

sử dụng các giải thuậ khóa đối xứng để mật mã và giải mật mã Đây là nguyên lý

cơ sở của công nghệ mật mã khóa công khai được sử dụng trong nhiều giao thức hiện nay

1.3.4 Nhận thực

Như trên đã nói, làm cách nào một người sử dụng có thể tin chắc rằng họ đang thông tin với bạn mình chứ không bị mắc lừa bởi người khác? Nhận thực có thể được giải quyết bằng cách sử dụng mật mã hóa công khai được trình bày ở trên Nếu một người sử dụng biết rằng khóa công khai mà họ đang sử dụng thực chất là thuộc về người sử dụng muốn liên lạc với mình thì quá trình xảy ra như hình 1.2

Hình 1.2 Nhận thực bằng khóa công khai

Vì B trả lời bằng số ngẫu nhiên của A, A có thể tin chắc rằng bản tin này được B phát chứ không phải của người khác Vì A trả lời bằng số ngẫu nhiên của B nên B có thể tin chắc rằng A đã nhận được bản tin đúng Những người khác không thể đọc được các bản tin này vì họ không thể tạo ra được các số ngẫu nhiên đúng

truyền Do vậy tóm tắt bản tin (Digest) được tính toán từ một bản tin thực tế mà người sử dụng muốn phát và nó được mật mã hóa bằng khóa riêng của người này

Các chữ ký điện tử được sử dụng để kiểm tra xem bản tin nhận được có phải

từ phía phát hợp lệ hay không Nó dựa trên nguyên tắc là chỉ có người tạo ra chữ

ký này là có khóa riêng và có thể kiểm tra khóa này bằng khóa công khai Chữ ký điện tử được tạo ra bằng cách tính toán tóm tắt bản tin (MD: Message Digest) cho một tài liệu sau đó MD được kết hợp với thông tin của người ký, nhãn thời gian và các thông tin cần thiết khác bất kỳ MD là một hàm nhận số liệu đầu vào có kích cỡ bất kỳ (bản tin) và tạo ra đầu ra có kích cỡ cố định được gọi là digest (tóm tắt) Tập thông tin này sau đó được mật mã háo bằng khóa riêng của phía phát và sử dụng giải thuật không đối xứng Khối thông tin nhận được sau mật mã được gọi là chữ

ký điện tử

MD phần nào thể hiển trạng thái hiện thời của tài liệu Nếu tài liệu thay đổi thì MD cũng sẽ thay đổi Bằng cách kết hợp MD vào chữ ký điện tử, phía thu có thể dễ dàng phát hiện tài liệu này có thay đổi kể từ khi chữ ký điện tử được tạo lập hay không

Hình 1.3 ta thấy, người sử dụng A tạo ra một tóm tắt bản tin (digest) từ bản tin gốc Một cho digest bản tin thực chất là một xâu có độ dài cố định được tạo ra

từ một đoạn có độ dài bất kỳ của văn bản Rất khó có hai bản tin cùng digest, nhất

là khi digest có độ dài ngắn nhất là 128 bit MD5 và SHA (SHA: Secured Hash Standard – chuẩn làm rối an ninh) là các thuật toán thường được sử dụng để tạo ra một digest Quá trình tạo ra một digest và mật mã nó nhanh hơn rất nhiều so với mật mã toàn bộ bản tin Sau đó người sử dụng A gửi đi bản tin không mật mã và digest được mật mã đến người sử dụng B Người sử dụng B có thể sử dụng khóa công khai của người sử dụng A để giải mã digest và so sánh xâu bít này với xâu bít

mà B tạo ra từ bản tin thu được Nếu hai giá trị giống nhau, người sử dụng có thể tin chắc rằng bản tin văn bản gốc không bị phá rối trên đường truyền

Vấn đề chính của quá trình xét ở trên là ta phải giả thiết rằng người sử dụng

B có khóa công khai hợp lệ với người sử dụng A Nhưng bằng cách nào để người

sử dụng này biết rằng đã nhận được khóa công khai hợp lệ? Làm cách nào để một người sử dụng biểt rằng thư điện tử (email) cùng với khóa công khai thực sự là từ

quản lý ngân hàng? Ý tưởng sử dụng các chứng chỉ số là để giải quyết vấn đề này

Cơ quan cấp chứng chỉ là một tổ chức phát hành các giẩy ủy nhiệm điện tử và cung cấp các chứng chỉ số Một chứng chỉ số thường bao gồm tên người sử dụng, thời hạn và khóa công khai của người sử dụng, chứng chỉ được cơ quan cấp chứng chỉ

ký bằng số để người sử dụng có thể kiểm tra rằng chứng chỉ là đúng

1.3.6 Chứng nhận số

Chứng nhận số đảm bảo rằng một khoá công cộng là sở hữu của thực thể mà

nó thể hiện Để thực hiện được điều này, thì chính chứng nhận này cũng phải được kiểm tra để đảm bảo rằng nó đại diện cho đối tượng cần mong muốn (đối tượng này có thể là một cá nhân hoặc một tổ chức) Điều này được thực hiện bằng cách

sử dụng một tổ chức thứ ba đáng tin cậy được gọi là thẩm quyền chứng nhận (CA - Certificate Authority) gồm có VeriSign, Entrust, và Certicom.Các thẩm quyền này được phép cung cấp các dịch vụ này cho các thực thể được nhận dạng hợp lệ khi chúng yêu cầu Để thực hiện chức năng của mình, một CA (Certificate Authority) phải được tin tưởng bởi các thực thể (các thành viên cuả PKI) dựa trên các dịch vụ của nó Người dùng có thể mua chứng nhận số từ CA và sử dụng chứng nhận này

để nhận thực và để lưu hành khoá riêng của họ.Một chứng nhận số điển hình chứa

những thông tin sau:

 Tên của người đang nắm giữ chứng nhận số, cũng như thông tin khác

mà có thể nhận dạng duy nhất người này, thông tin phụ thêm có thể là URL của một Web Server đang sử dụng chứng nhận hay một địa chỉ email

 Khoá công cộng của người đang nắm giữ chứng nhận số

 Tên của CA lưu hành chứng nhận này

 Thời hạn sử dụng của chứng nhận (thường là ngày bắt đầu và ngày hết hạn)

 Một chữ ký số của CA để có thể nhận ra chứng nhận số đề phòng trường hợp phiên truyền dẫn bị phá rối

Tất cả các chứng nhận được ký bằng một khóa riêng của CA Người sử dụng chứng nhận có thể xem kiểm tra thông tin của chứng nhận có hợp lệ không bằng cách giải mật mã chữ ký bằng một khoá kiểm tra công cộng nhận được từ

chứng nhận phát đi từ thẩm quyền mức phân cấp cao hơn và kiểm tra xem nó có phù hợp với MD (Message Digest: tóm tắt bản tin) của nội dung nhận được trong chứng nhận hay không Chữ ký thường là một MD được mật mã hóa

1.3.7 Hạ tầng khóa công khai, PKI

Hạ tầng khóa công khai (PKI: Pubilic Key Infrastructure) là thuật ngữ được

sử dụng để mô tả một tổ chức hoàn thiện của các hệ thống và các quy tắc xác định một hệ thống an ninh Nhóm công tác IETF X.509 định nghĩa PKI như là “tập phần cứng, phần mềm, con người và các thủ tục cần thiết để tạo lập, quản lý, lưu giữ và hủy các chứng nhận đã trên mật mã khóa công khai”

 Các kho lưu các chứng nhận cũng như danh sách hủy chứng nhận

 Chính sách an ninh quy định hướng dẫn mức cao nhất của tổ chức về an ninh

PKI là một khái niệm an ninh quan trọng Các khóa công khai đã được mô

tả ngắn gọn trong phần trước và được sử dụng trong nối mạng số liệu để kiểm tra các chữ ký số, bản thân chúng không mang bất cứ thông tin nào về các thực thể cung cấp các chữ ký

Công nghệ nối mạng số liệu thừa nhận vấn đề này và tiếp nhận các chứng nhận an ninh để ràng buộc khóa công khai và nhận dạng thực thể phát hành khóa Đến lượt mình thực thể này lại được kiểm tra bằng cách sử dụng một khóa công khai được tin tưởng đã biết bằng cách sử dụng một chứng nhận được phát đi từ thẩm quyền chứng nhận (CA) mức phân cấp cao hơn Các chứng nhận được phát hành và được thi hành bởi một thẩm quyền chứng nhận Thẩm quyền này được phép cung cấp các dịch vụ này cho các thực thể được nhận dạng hợp lệ khi chúng

yêu cầu Để thực hiện chức năng của mình, một CA phải được tin tưởng bởi các thực thể (các thành viên của PKI) dựa trên các dịch vụ của nó

Tất cả các chứng nhận được ký bằng một khóa riêng của CA Người sử dụng chứng nhận có thể xem kiểm tra thông tin của chứng nhận có hợp lệ không bằng cách giải mật mã chữ ký bằng một khóa kiểm tra công khai và kiểm tra xem

nó có phù hợp với MD của nội dung nhận được trong chứng nhận hay không Chữ

ký thường là một MD được mật mã hóa

Các thành viên PKI có thể thỏa thuận một thời gian hiệu lực tiêu chuẩn cho một chứng nhận Và vì thế xác định khi nào một chứng nhận bị hết hạn Ngoài ra thẩm quyền chứng nhận (CA) có thể công bố một CRL (Certificate Revocation List: danh sách hủy bỏ chứng nhận), để các thành viên PKI biết các chứng nhận không còn hợp lệ đối với CA

Các quan hệ tin tưởng giữa CA và các thành viên PKI khác phải được thiết lập trước khi diến ra giao dịch PKI Các quan hệ này thường nằm ngoài phạm vi PKI và vì thế cũng nằm ngoài phạm vi công nghệ nối mạng Các quan hệ tin tưởng PKI có thể được thiết lập trên cơ sở địa lý, chính trị, xã hội, dân tộc và có thể mở rộng cho các nền công nghiệp, các nước, các nhóm dân cư hay các thực thể khác ràng buộc bởi các mối quan tâm chung Các mô hình tin tưởng PKI có thể về mặt

lý thuyết dựa trên một CA duy nhất được sử dụng để tạo lập PKI trên toàn thế giới giống như Internet toàn cầu hay một phân cấp các CA phân bố (xem hình 1.4) trong đó mỗi CA có thể được tin tưởng sau khi đi qua một chuỗi chứng nhận để đến một CA chung được các phía tham gia thông tin an ninh tin tưởng

Chứng nhận của A

Bí mật được mật mã hóa bằng khóa công khai của B, nhận được Qua chứng nhận của B + nhận dạng của A qua chứng nhận của A

Hình 1.4 PKI dựa trên phân cấp CA phân bố

Hình 1.5 trình bày trường hợp hai phía A và B muốn trao đổi bí mật ) một khóa chia sẻ phiên hoặc thông tin để tạo ra khóa này) A nhận được khóa công khai

từ chứng nhận B Vì chứng nhận này được ký bởi khóa riêng của CA của B, nên nó

có thể được kiểm tra tại CA của B bằng khóa công khai CA của B nhận được từ chứng nhận CA của B Đến lượt mình chứng nhận CA của B lại được kiểm tra bằng khóa công khai nhận được từ CA gốc và khóa này được đảm bảo là hợp lệ vì

nó đã được chuyển thành mã của PKI client trong mô- đun phần mềm của A Sau khi đã có khóa công khai của B, A mật mã bí mật bằng cách sử dụng khóa này (xem hình 1.5) sau đó gửi bản tin đã được mật mã hóa đến B cùng với chứng nhận của chính nó (của A) mà MD của bí mật được mật mã hóa, được tính toán theo khóa riêng của A Khi nhận được bản tin này, B kiểm tra bí mật được mã hóa đến

từ A như sau: giải mật mã bí mật bằng khóa riêng của mình, tính toán MD’ từ kết quả nhận được, sử dụng khóa công khai A để giải mật mã MD nhận được từ A, so sánh MD’ với MD, nếu bằng nhau thì nhận thực thành công và bí mật nhận được sau giải mật mã là bí mật cần tìm

Tài liệu

Tài liệu

Giải mật mã tóm tắt bản tin sử dụng khóa công khai lấy

Mật mã hóa Bằng khóa công khai nhận được

dễ dàng tự nhận dạng đến một thành viên khác dựa trên các chứng nhận do CA cung cấp Do vậy, các thành viên của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với một thành viên của PKI, CA chứ không với các thành viên khác Vì thế nói một cách ngắn gọn, có thể định nghĩa PKI như một thực thể ảo kết hợp nhiều thực thể vật lý bởi một tập hợp các chính sách và các quy tắc ràng buộc các khóa chung với các nhận dạng của các thực thể phát hành khóa thông qua việc sử dụng một CA:

Ba chức năng chính của PKI gồm:

CA thay mặt người sử dụng tạo ra Công nhận hợp lệ bao gồm việc kiểm tra chữ ký

do CA phát hành đối chiếu với CRL và khóa công khai của CA Hủy một chứng nhận hiện có trước khi hết hạn cũng được thực hiện bởi CA Sau khi chứng nhận bị hủy, CA cập nhật CRL thông tin mới Trong một kịch bản điển hình, khi người sử dụng cần nhận hay công nhận một chứng nhận được yêu cầu được phát đi hay tính hợp lệ của nó được kiểm tra, thông tin tương ứng được CA gửi vào một kho chứng nhận, trong kho có cả CRL

PKI là một khái niệm nối mạng khá mới được định nghĩa bởi IETF, các tiêu chuẩn ITU và các dự thảo Hiện nay nó nhanh chóng được công nghiệp mạng tiếp nhận kể cả nối mạng riêng ảo (VPN) Nhận thực và các dịch vụ quản lý khóa được PKI cung cấp thông qua sử dụng các chứng nhận là một cơ chế hoàn hảo hỗ trợ các yêu cầu an ninh VPN chặt chẽ Để sử dụng các dịch vụ này, các máy khách VPN

và các cổng VPN phải hỗ trợ các chức năng PKI như tạo khóa, các yêu cầu chứng nhận và các quan hệ tin tưởng CA chung

MAC

giải Thuật MAC

Hình 1.6 Phương pháp nhận thực sử dụng khóa MAC

Trên hình 1.6 giải thuật MAC sử dụng khóa bí mật chia sẻ (giữa A và B) là đầu vào để tạo ra một mã nhận thực bản tin (MAC) MAC được gắn vào bản tin gốc, sau đó được phát đến nơi nhận Phía thu sử dụng cùng gải thuật MAC tương

tự như phía phát để tính toán MAC dựa trên bản tin gốc thu được Nếu bản tin gốc

bị thay đổi trong quá trình truyền dẫn (không còn toàn vẹn), thì MAC được tạo ra

tại phía thu khác với MAC thu được từ phía phát và điều này cho thấy rằng số liệu gốc đã không còn nguyên vẹn nữa

Một phương pháp phổ biến nhất để tạo ra MAC là sử dụng MD5 như đã xét

ở trên MD5 nhận bản tin đầu vào với độ dài bất kỳ và tạo ra đầu ra 128 bit MD Phía phát sẽ gửi bản tin gốc cùng vớiMD đến phía thu, phía thu tính MD từ bản tin gốc nhận được và so sánh nó với MD thu để nhận định bản tin còn toàn vẹn hay không

Giải thuật SHA-1 cũng có thể được sử dụng để tính toán MD giống như MD5, tuy nhiên trong trường hợp này MD chỉ có 120 bit

Bằng cách sử dụng hàm làm rối được gọi là hàm Hash một máy tính có thể nhận thực một người sử dụng mã không cần lưu giữ mật khẩu trong văn bản thô Sau khi tạo ra một tài khoản (account), người sử dụng gõ mật khẩu, máy tính sử dụng hàm Hash một chiều với đầu vào là mật khẩu để tạo ra giái trị bị làm rối (gọi

là giá trị Hash) và lưu giữ giá trị này Lần sau khi người sử dụng đăng nhập máy tính, máy tính sẽ sử dụng hàm Hash với đầu vào là mật khẩu mà người sử dụng gõ vào để tính ra giá trị Hash và so sánh giá trị này với giá trị được lưu Nếu kết quả giống nhau, thì người sử dụng được nhận thực Do mật khẩu không bị lưu cùng với văn bản thô trong máy tính, nên nó không bị lộ

Cả MD5 và SHA-1 đều là các hàm Hash không khóa Nghĩa là không có khóa bí mật giữa các bên tham gia thông tin Các giải thuật này không sử dụng khóa bí mật làm đầu vào hàm Hash Giải thuật HMAC (Hash Message Authentication Code: mã nhận thực bản tin làm rối) sử dụng các hàm Hash kết hợp với một khóa chia sẻ bí mật để nhận thực bản tin Các mục đích chính của HMAC như sau:

 Sử dụng các hàm Hash hiện có mà không cần thay đổi chúng Chẳng hạn

có thể sử dụng các chương trình phầm mềm của các hàm Hash đang được sử dụng rộng rãi và miễn phí

 Duy trì hoạt động nguyên gốc của hàm Hash mà không làm giảm đáng

kể chất lượng

 Sử dụng và xử lý khóa một cách đơn giản

 Đã phân tích kỹ sức mạnh mật mã của cơ chế nhận thực dựa trên hàm Hash được sử dụng

 Dễ dáng thay thế hàm Hash đang sử dụng bằng hàm Hash nhanh hơn hoặc an ninh hơn khi cần

1.4 Các giao thức hàng đầu

Sau đây là một số giao thức chính được sử dụng cho việc truyền dẫn số liệu

an toàn

1.4.1 Lớp các ổ cắm an toàn (SSL - Secure Sockets Layer)

SSL là giao thức bảo mật chủ yếu được sử dụng trên Internet hiện nay Nó được phát triển bởi Netscape để cung cấp các phiên truyền thông qua mạng Internet

bí mật và an toàn, được sử dụng trên giao thức HTTP, mặc dù nó có thể được sử dụng trên giao thức FTP hoặc các giao thức thích hợp khác SSL sử dụng kết hợp các thuật toán đối xứng và không đối xứng để tối đa hoá hiệu năng

Sau đây là bốn pha trong một phiên SSL:

1 Bắt tay và thoả hiệp thuật toán: Cả Server và Client đều đồng ý các thuật toán (algorithms) và các hệ mật mã (ciphers) sẽ sử dụng

2 Nhận thực: Server và có thể là Client được nhận thực bằng cách sử dụng các chứng nhận số

3 Trao đổi khoá: Client tạo một khoá bí mật và gửi nó cho Server có sử dụng khoá công cộng của Client để mật mã hoá khoá bí mật Server sẽ giải mật mã hoá bản tin bằng cách sử dụng khoá riêng của nó Và phần còn lại của phiên truyền dẫn này, Client và Server có thể truyền thông với nhau sử dụng khoá bí mật

4 Trao đổi số liệu ứng dụng: Khi một phiên số liệu đối xứng an toàn được thiết lập, các số liệu đã được mật mã hoá có thể được trao đổi giữa Client và Server

SSL có thể được sử dụng bởi nhiều Client vô tuyến mạnh hơn gồm có máy tính xách tay, các máy tính cá nhân bỏ túi Nếu địa chỉ URL của họ bắt đầu với https:// hoặc đơn giản hơn chỉ là http:// thì có thể nói rằng người đó đang sử dụng SSL

Mật mã hoá số liệu trong phạm vi giao thức SSL hiệu quả hơn việc mật mã hoá chính số liệu đó và gửi nó qua HTTP Trong phạm vi giao thức SSL số liệu được mật mã hoá ở mức một gói và được giải mật mã hoá ở mức một gói sau khi

nó đi đến đích và được kiểm tra nhanh chóng tính toàn vẹn số liệu được gửi Nếu mật mã hoá số liệu trong một bản mật mã rộng, thì có thể sẽ không thể giải mật mã được số liệu cho đến khi tất cả các gói đến được đích

1.4.2 An ninh lớp truyền tải (TLS - Transport Layer Security)

An ninh lớp truyền tải TLS là thế hệ kế tiếp của SSL, Nó bao gồm hai lớp Lớp dưới là giao thức bản ghi TLS (TLS Record protocol), giao thức này được đặt lên phía trên một giao thức truyền tải tin cậy như TCP chẳng hạn Hai đặc điểm chính của giao thức bản ghi là các kết nối riêng và tin cậy Lớp cao hơn là giao thức bắt tay TLS (TLS Handshake protocol) Giao thức này đưa ra phương pháp bảo mật kết nối gồm: Nhận thực sử dụng mật mã hoá không đối xứng, thoả hiệp khoá bí mật, đồng thời cung cấp sự thoả hiệp tin cậy Giống như SSL, TLS không phụ thuộc và có thể sử dụng đủ loại thuật toán Mục đích của TLS gồm an ninh mật

mã, khả năng phối hợp hoạt động và khả năng mở rộng

1.4.3 An ninh lớp truyền tải vô tuyến (WTLS)

WTLS là lớp an ninh được định nghĩa trong quy định WAP Nó hoạt động ở phía trên lớp giao thức truyền tải, điều này làm cho WTLS thích hợp với các giao thức vô tuyến khác nhau ở dưới Nó tương tự như giao thức TLS nhưng hiệu quả hơn đối với các mạng băng thông thấp, có độ rủi ro cao WTLS cũng bổ sung thêm các dặc tính mới như hỗ trợ datagram, bắt tay hiệu quả, và nạp lại khoá, nó cũng hỗ trợ sử dụng các chứng nhận WTLS đối với nhận thực phía Server Khác với TLS

và SSL là những giao thức có sử dụng chứng nhận X.509 Nhìn chung, WTLS có mục đích tương tự như TLS và SSL là cung cấp tính bí mật, tính toàn vẹn số liệu

và khả năng nhận thực giữa hai bên truyền thông

1.4.4 An ninh IP, IPSec

IPSec (IP Security) khác với các giao thức khác ở chỗ nó không tác động lên lớp ứng dụng Trong khi SSL, TLS và WTLS để đảm bảo thông tin an ninh trên các mạng không an ninh, IPSec nhằm làm cho chính Internet trở lên an ninh Nó đảm bảo nhận thực, tính toàn vẹn và các dịch vụ riêng tại lớp datagram của IP Trong khi chủ yếu IPSec nhằm vào các máy client của các máy tính xách tay trong

vô tuyến di động, thì các sản phẩm mạng riêng ảo dựa trên IPSec đã bắt đầu xuất hiện cho các PDA IPSec ngày càng trở thành một giải pháp nổi trỗi khi các thiết bị

di động bắt đầu hỗ trợ IPv6, vì IPv6 chứa cả IPSec như là bộ phận của tiêu chuẩn Cần nhấn mạnh rằng IPSec hỗ trợ TCP/IP chứ không hỗ trợ WAP

Kiến trúc IPSec định nghĩa các phần tử cần thiết để đảm bảo an ninh thông tin giữa các thực thể đồng cấp giao thức, IPSec mở rộng giao thức IP bằng hai tiêu

đề mở rộng: tiêu đề EST (IP Encapsulating Sercurity Payload: tải tin đóng bao IP) được định nghĩa bởi [RFC2506] và AH (Authentication Header: tiêu đề nhận thực) được định nghĩa bởi [RFC2402]

AH

AH đảm bảo nhận thực số liệu và chống phát lại Nhiệm vụ trước hết của

AH là nhận thực nguồn gốc và kiểm tra rằng số liệu là của người phát AH không đảm bảo bất kỳ mật mã hóa nào Chức năng này cũng ngăn được cướp phiên

Được nhận thực trừ trường khả biến trong tiêu đề IP mới

Hình 1.7 Khuôn dạng gói sử dụng AH trong chế độ truyền tải vàđường hầm

(tunnel) của IPSec

ESP đảm bảo nhận số liệu, mật mã và chống phát lại Nhiệm vụ trước hết của ESP là đưa số liệu từ nguồn đến nơi nhận một cách an toàn bằng cách kiểm tra rằng số liệu không bị thay đổi và phiên không bị cướp Cũng có thể sử dụng chính ESP để nhận thực phía phát hay bằng cách kết hợp với AH, ESP có thể được lập

cấu hình để mật mã hóa toàn bộ gói số liệu hay chỉ tải tin của gói Cần lưu ý rằng ESP chỉ nhận thực tải tin còn AH nhận thực tiêu đề IP Cả hai tiêu đề này được sử dụng hoặc để đóng bao một gói IP vào một gói IP khác (chế độ IPSec tunnel) hoặc

để đóng bao tải tin các gói IP (chế độ truyền tải IPSec)

Hình 1.7 và 1.8 cho thấy AH’ và ESP được sử dụng và đảm bảo chế độ truyền tải IPSec, nhưng theo tiêu chuẩn cũng có thể kết hợp AH với ESP

Tiêu đề gốc TCP/

UDP

Số liệu

Đuôi ESP

Nhận thực ESP

Tiêu đề gốc TCP/

UDP

Số liệu

Tiêu

đề ESP

Tiêu để

IP mới

Tiêu

đề gốc

liệu

Đuôi ESP

Nhận thực ESP

Được mật mã Được mật mã

Hình 1.8 Khuôn dạng gói sử dụng ESP trong chế độ truyền tải và

đường hầm (tunnel) của IPSec

Các phần tử cơ bản của IPSec là SPD (Security Policy Database: Cơ sở dữ liệu chính sách an ninh) và SAD (Security Association Database: cơ sở dữ liệu liên kết an ninh) Mọi giao diện IP có sử dụng IPSec phải được trang bị cơ sở dữ liệu các quy tắc phân loại an ninh và các hành động an ninh Mỗi cặp quy tắc và hành động được gọi là chính sách an ninh (SP: Security Policy) SA (Security Association: liên kết an ninh) định nghĩa một xử lý gói đơn hướng liên quan đến các hành động thi hành chính sách an ninh Các hành động định nghĩa việc cần áp dụng các tiêu đề IPSec nào, cần sử dụng các giải thuật nhận thực nào và các khóa nào được sử dụng để thực hiện các giải thuật này Mỗi giao diện IP có một cặp cơ

sở dữ liệu nói trên: một cho lưu lượng vào và một cho lưu lượng ra Nếu gói không theo quy tắc, giao diện sẽ được lập cấu hình để loại bỏ nó

Để hiểu rõ hơn các quy tắc nói trên, ta có thể sử dụng thí dụ sau về một mục ghi trong một cặp IPSec SPD và SAD đầu ra Một chính sách an ninh có thể được xác định bởi mục ghi sau trong SPD của một giao diện IP:

“Đối với tất cả gói liên quan đến địa chỉ IP nhận (191.44.56.82) và số cửa

8080, áp dụng liên kết an ninh ALFFA”

Liên kết an ninh ALFA là một mục ghi trong SAD của cùng giao diện IP được định nghĩa trên cơ sở chế độ IPSec tunnel với ESP và giải thuật mật mã 3DES (Data Encryption Standard: Tiêu chuẩn mật mã số liệu) với một khóa mật mã được trao đổi nhân công và được trang bị tại các điểm cuối SA được gọi là khóa đối xứng dựa trên SA

Các khóa an ninh có thể đối xứng hoặc không đối xứng Các khóa đối xứng hay khóa riêng được phân phát cho cả hai phía tham dự thông tin an ninh Các khóa không đối xứng dựa trên mẫu mật mã của các khóa công khai do RSA Data Security sáng chế cũng được sử dụng rộng rãi để thực hiện cả nhận thực lẫn mật

mã Trong thiết lập này, một phía muốn tham gia thông tin an ninh với các phía khác sẽ làm cho một khóa công khai khả dụng để có thể nhận được tại một kho khóa công khai phổ biến Phương pháp này được gọi là dựa trên khóa không đối xứng vì nó sử dụng một cặp khóa: một khóa công khai được phân phối rộng rãi và một khóa khác đợc giữ bí mật không bao giờ để lộ Tư liệu được mật mã bằng khóa công khai có thể được giải mã bằng cách sử dụng khóa riêng liên kết Ngược lại chỉ

có thể sử dụng khóa công khai để giải mã tư liệu được mật mã bằng khóa riêng

Một hệ thống khóa không đối xứng có thể được sử dụng để trao đổi một khóa bí mật cần thiết để thực hiện một giải thuật trên cơ sở các kháo đối xứng Nói một cách khác, nếu một phía biết được khóa công khai của một thực thể, nó có thể phát đến thực thể này một khóa bí mật bằng cách mật mã khóa này bằng cách theo khóa công khai và đối tác có thể giải mã nó bằng khóa riêng và sử dụng nó cho thông tin mật mã hóa trên cơ sở khóa đối xứng Để thông tin đến một đồng cấp bằng khóa công khai, cần tin tưởng khóa này Vì thế cần có các kho thông tin tin tưởng (chẳng hạn, biết được khóa công khai của các kho này và chúng phải ký điện tử cho các khóa công khai bằng khóa riêng của mình trước khi phân phối) Các kho này được gọi là thẩm quyền chứng nhận và chúng tạo lên cơ sở PKI

Có thể cung cấp một SA nhận công hoặc quản lý động, cùng với các khóa

an ninh cần thiết để thực hiện các giao thức mật mã và nhận thực Giao thức này được gọi là giao thức quản lý SA và khóa Tiêu chuẩn IETF hiện thời cho giao thức này là IKE (Internet Key Exchange) ITE đang cải tiến IKE thành IKEv1

Có thể triển khai theo IPSec theo: máy đến máy, máy đến router (bộ định tuyến) hay router hay router Một router thực hiện IPSec và áp dụng các chính sách

an ninh cho lưu lượng IP thường được gọi là cổng IPSec (GW: Gateway) Hình 1.9 thí dụ về các trường hợp máy đến bộ định tuyến và bộ định tuyến đến bộ định tuyến Đây là những trường hợp được quan tâm đặc biệt khi cung cấp dịch vụ VPN

Mạng IP

Mạng IP

Mạng IP

Mạng IP Mạng IP

Mạng IP

IPSec GW

IPSec GW

IPSec GW Router

Các IPSec tunnel

IPSec Client

Hình 1.9 Thí dụ kiến trúc IPSec (các cổng và các máy)

Khi IPSec được sử dụng cho các site - to - site VPN (các VPN được xây dựng bằng cách kết nối các vị trí khác nhau của một mạng hãng với sử dụng hạ tầng IP chung, chế độ IPSec tunnel được sử dụng Một thí dụ về áp dụng chế độ truyền tải IPSec là bảo vệ tính toàn vẹn và bí mật cho các L2TP tunnel Cần sử dụng chế độ truyền tải cho bảo vệ các L2TP tunnel và L2TP bản thân là công nghệ truyền tunnel và sử dụng chế độ IPSec tunnel sẽ dẫn đến đóng bao thừa hay các tunnel lồng nhau không cần thiết Trái lại lên sử dụng chế độ IPSec tunnel cho các site-to-site VPN, vì các gói cần được truyền tunnel và chế độ này cung cấp cả truyền tunnel và an ninh cần thiết cho ứng dụng này

Vì giá thành cao khi sử dụng IPSec, VPN có thể lập được cấu hình để chọn

có hoặc không có IPSec Chẳng hạn khách hàng có thể đảm bảo an ninh cho thư điện tử bằng IPSec nhưng không sử dụng nó cho lưu lượng Web

1.5 Các biện pháp an ninh khác

Phần sau đây sẽ trình bày các phương pháp đảm bảo an ninh khác cần được xem xét khi thực hiện các giải pháp di động Có thể tìm tháy các phương pháp này

ngay ở trong chính tổ chức của mỗi người do đây là những kỹ thuật sử dụng thông thường để tăng cường an ninh trên toàn bộ hệ thống

1.5.1 Tường lửa

Nhóm các máy chủ Web để truy nhập công cộng

Internet

Firewall Firewall

Site được bảo vệ không cho truy nhập đến các máy chủ Web địa phương của Internet bị che dấu đối với công cộng

Hình 1.10 Thí dụ về sử dụng hai tường lửa với các cấu hình khác nhau để đảm

bảo các mức an ninh khác nhau cho một hãng

Tường lửa là dạng bảo mật thông thường nhất được thực hiện trong phạm vi

tổ chức Nó tạo nên một vành đai mạng giữa những gì là chung và những gì là riêng Một bức tường lửa là một tập hợp các chương trình phần mềm, thường đặt ở một server cổng riêng biệt nhằm hạn chế sự truy nhập của các người dùng thuộc các mạng khác vào tài nguyên mạng riêng Ngay khi một hãng nối mạng Internet, một bức tường lửa được yêu cầu để bảo vệ tài nguyên của hãng đó và thỉnh thoảng

để điều khiển tài nguyên bên ngoài tới những người dùng đã truy nhập của hãng

Ở mức thấp hơn, tường lửa sẽ kiểm tra các gói số liệu mạng để xem xét gói

đó có được chuyển tiếp tới đích hay không Khi có một sự truy cập ra bên ngoài được phép (trong trường hợp truy cập tới một Web server), tường lửa sẽ cho phép lưu lượng bên ngoài thông qua tường lửa tới một cổng cụ thể Trong trường hợp truyền thông với một ứng dụng cụ thể, tường lửa thường vẫn cho phép tất cả người dùng bên ngoài có thể truy nhập qua Tuy nhiên, đôi lúc việc truy nhập từ bên ngoài qua tường lửa bị hạn chế và nó chỉ cho phép truy nhập đối với những người dùng đã biết, thường căn cứ vào địa chỉ IP của họ Và điều này chỉ được áp dụng khi chỉ có một số lượng giới hạn người dùng đã biết cần truy nhập tới một hệ thống

1.5.2 Mạng riêng ảo (VPN)

Một mạng riêng ảo cho phép một công ty có thể biến một mạng công cộng thành một mạng riêng Công nghệ này cho phép những người làm việc ở xa có thể truyền thông với mạng của tổ chức theo một cách an toàn Trước khi công nghệ VPN thịnh hành, người ta thường sử dụng các đường thuê dành riêng để đạt được kết quả tương tự Thực tế so với các đường thuê các mạng VPN đã đưa thêm một tiện ích mới đó là cung cấp sự truy nhập an toàn từ nhiều vị trí (nhưng thực chất kết nối Internet mọi nơi đều luôn sẵn sàng)

1.5.3 Nhận thực hai nhân tố

Trong nhiều trường hợp, thường là trong lĩnh vực giao dịch tài chính yêu cầu phải được nhận thực mạnh hơn, thường sử dụng nhận thực hai lần Một là nhận thực đối với những gì mà người dùng biết, chẳng hạn như là số PIN, hai là nhận thực đối với những gì mà người dùng có, chẳng hạn một thẻ chứng minh (token card) để tạo một mật khẩu trước đó Sự kết hợp này sẽ làm cho những người dùng trái phép khó khăn hơn trong nỗ lực truy nhập vào hệ thống

1.5.4 Nhận thực bằng phương pháp sinh học

Ngay cả khi đã được tăng cường an ninh bằng cách sử dụng nhận thực hai lần, những người dùng trái phép vẫn có thể truy nhập được vào hệ thống Chẳng hạn, bằng cách nào đó họ có được mã PIN và thẻ chứng minh là họ có thể truy nhập vào hệ thống

Để đề phòng trường hợp này, có thể thay thế các mã PIN bằng dạng nhận thực khác mạnh hơn: Đó là nhận thực sinh học, sinh trắc học mở ra hàng loạt kỹ thuật dể nhận thực một cá nhân dựa trên những đặc điểm vật lý duy nhất của mỗi người Các kỹ thuật này bao gồm nhận dạng dấu vân tay, nhận dạng khuôn mặt, nhận dạng giọng nói, quét võng mạc và tròng mắt Sử dụng các kỹ thuật sinh trắc học có thể đảm bảo các dấu hiệu nhận dạng này thực sự là duy nhất Bên cạnh những ưu điểm làm tăng cường an ninh, nhận thực qua kiểm tra sinh học còn bộc lộ một vài hạn chế Nhiều hệ thống này có phần thủ tục, gây phiền hà do đó nó chưa được ngưòi dùng chấp nhận rộng rãi Điều này nói lên rằng, các hệ thống sinh trắc

học đang trên đà phát triển rộng rãi bởi nó tăng cường nhận thực giữa những người dùng

1.5.5 Chính sách an ninh

Điều cuối cùng cũng thường là quan trọng nhất là các phương pháp an toàn

và bảo mật cần được thông qua một chính sách an ninh Chính sách an ninh này đưa ra tất cả các vấn đề đối với các phương pháp an toàn và bảo mật được dùng trong công ty, bao gồm cả về mặt công nghệ lẫn ứng dụng và cả sự rò rỉ thông tin mật trong phạm vi một hãng Ngay cả khi một công ty thực hiện một giải pháp đảm bảo an ninh mạnh, toàn bộ hệ thống vẫn có thể mất an toàn nếu người dùng không tuân thủ những nguyên tắc bảo mật chung Cần phải nhớ một điều rằng kẻ thù luôn tấn công vào liên kết yếu nhất trong một hệ thống, đáng tiếc những liên kết này thường lại là chính bản thân những người dùng

1.6 An ninh giao thức vô tuyến, WAP

1.6.1 Mở đầu

Giao thức ứng dụng vô tuyến hay còn gọi là WAP (Wireless Application Protocol) gặp nhiều chỉ trích nhiều về mặt phương tiện và tổ chức do các hạn chế

về vấn đề an ninh Vậy các vấn đề an ninh trong WAP là những vấn đề gì? và các

tổ chức khắc phục nó như thế nào? Phần này sẽ trả lời những câu hỏi trên bằng cách giải thích những ưu điểm và những nhược điểm của nó

1.6.2 An ninh lớp truyền tải, TLS

An ninh lớp truyền tải được hiểu là an ninh kênh thông tin điểm đến điểm giữa một client vô tuyến và nguồn số liệu hãng Bao gồm truyền thông qua cả các kênh hữu tuyến lẫn các kênh vô tuyến Với giao thức ứng dụng vô tuyến (WAP) số liệu được mật mã hoá truyền tải qua giao diện vô tuyến sử dụng giao thức an ninh lớp truyền tải vô tuyến (WTLS – Wireless Transport Layer Security) và truyền tải hữu tuyến sử dụng giao thức an ninh Internet như SSL và TLS Việc sử dụng không đồng nhất các giao thức sẽ dẫn đến một trong những vấn đề chính trong an ninh WAP Nhưng trước khi nghiên cứu vấn đề này, chúng ta sẽ xem xét đến những đặc điểm của WTLS

WTLS

Giao thức an ninh lớp truyền tải vô tuyến WTLS được phát triển nhắm tới những đặc thù của mạng vô tuyến là băng thông thấp và nguy cơ an ninh mạng cao WTLS là dạng biến thể của giao thức an ninh lớp truyền tải TLS (Transport Layer Security) (giao thức này là tiêu chuẩn của IETF về an ninh trong mạng Internet) Rất tiếc là giao thức này (giao thức TSL) không thể sử dụng trực tiếp trong mạng

vô tuyến được do nó không đủ hiệu lực trong một môi trường vô tuyến WTLS tận dụng được hiệu quả của giao thức này bằng cách bổ sung thêm những khả năng mới nhắm vào người dùng vô tuyến Sau đây là một vài đặc tính được đưa vào WTLS mà không có trong TLS:

 Hỗ trợ các thuật toán mật mã hoá khác: SSL và TSL chủ yếu sử dụng mật mã hoá RSA WTLS hỗ trợ RSA, Diffie-Hellman (DH), và mật mã hoá đường cong elip ECC (Elliptic Curve Cryptography)

 Định nghĩa một chứng nhận khoá công cộng thu gọn là chứng nhận WTLS: Đây là một phiên bản hiệu quả hơn của chứng nhận số X.509

 Hỗ trợ datagram UDP: Sự hỗ trợ này sẽ dụng chạm tới nhiều phần của giao thức này từ việc số liệu được mã hoá như thế nào đến việc hỗ trợ thêm cho việc điều khiển bản tin để đảm bảo bản tin không bị mất, không bị sao lại, và không bị phân phát sai thứ tự

 Tuỳ chọn nhớ lại khoá: Khả năng này được thoả hiệp lại một cách định

kỳ dựa trên số bản tin gửi

 Tập các bản tin cảnh báo được mở rộng: Điều này là rất rõ ràng đối với việc điều khiển lỗi

 Bắt tay hiệu quả: Điều này làm giảm số lượng hành trình cần thiết trong mạng có nguy cơ cao

Cùng với những thay đổi này, WTLS còn đưa ra ba mức nhận thực giữa client và gateway Chúng được liệt kê theo thứ tự tăng dần:

- Lớp WTLS 1: Phối hợp ngầm giữa client và gateway WAP, không có nhận thực

- Lớp WTLS 2: Server tự nhận thực tới client sử dụng chứng nhận WTLS

- Lớp WTLS 3: Cả client và gateway WAP nhận thực lẫn nhau Đây là dạng nhận thực sử dụng thẻ thông minh, modun nhận dạng thuê bao (SIM) GSM Ví dụ

có thể lưu trữ các chi tiết nhận thực trên thiết bị đối với nhận thực hai chiều

1.6.3 Lỗ hổng WAP

Không may, cùng với việc sử dụng WTLS để cải thiện TLS trong thông tin

vô tuyến thì đồng thời nó cũng làm nảy sinh một vấn đề đáng phải quan tâm: Bây giờ cả WTLS và TLS đều cần cho một kiến trúc WAP, có một điểm mà tại đó xảy

ra sự biến đổi giữa hai giao thức Chính từ điểm này, không phải từ chính giao thức WTLS, nảy sinh vấn đề về an ninh Sự biến đổi giao thức xảy ra tại các cổng (gateway) WAP: Từ thiết bị client tới cổng WAP, WTLS được sử dụng; từ gateway tới Server hãng TLS được sử dụng Tại điểm này, nội dung WTLS được giải mật mã rồi sau đó lại được mật mã hoá sử dụng TLS Trong khoảng thừi gian xảy ra sự chuyển đổi, nội dung lúc này ở dạng mã có thể hiểu được, tạo nên một kẽ

hở gọi là kẽ hở WAP Tuy nhiên, nếu giữ cho lượng thời gian mà nội dung không được mã hoá ở mức tối thiểu và cổng WAP không ở miền chung, thì vẫn có thể khắc phục được phần nào mặc dù vậy, đối với nhiều công ty, mối nguy hiểm này vẫn là quá lớn khi nó bộc lộ một điểm yếu trong mạng, cản trở an ninh đầu cuối tới đầu cuối

Có hai lựa chọn để là giảm mối nguy cơ từ kẽ hở WAP:

 Thứ nhất là chấp nhận cổng WAP là một điểm yếu và sử dụng mọi biện pháp để nó, sử dụng tường lửa, thiết bị giám sát, và một chính sách an ninh nghiêm ngặt

 Thứ hai là dịch chuyển cổng WAP trong phạm vi bảo vệ của tường lửa công ty và tự quản lý nó

Việc lựa chọn giữa hai tuỳ chọn này là một quyết định mang tính thương mại phụ thuộc vào từng hãng Nó là sự thoả hiệp giữa một bên là tài nguyên bổ sung cần thiết để duy trì một cổng WAP với một bên là mối đe doạ an ninh tiềm tàng đối với số liệu của công ty Một giải pháp đã được đưa ra đó là WAP 2.x

1.6.4 WAP 2.x

Có nhiều đặc tính trong WAP 2.0, nhưng quan trọng nhất là sự tiến triển tới các giao thức Internet chuẩn Sự tiến triển này sử dụng HTTP, TCP, và IP cho phép TLS có thể sử dụng cho truyền thông số liệu, do đó không phải cần đến giao thức WTLS Khi chỉ cần sử dụng một giao thức từ thiết bị client tới server hãng, WAP

có thể cho phép an ninh từ đầu cuối tới đầu cuối, giải quyết mối nguy cơ từ kẽ hở WAP Có thể khẳng định đây là một sự thay đổi chủ yếu trong WAP và nó khuyến khích các nhà cung cấp dịch vụ tiến tới sử dụng WAP 2.x Tuy nhiên, nó mở ra thời kỳ mới cho WAP trong lĩnh vực Internet không dây

1.7 An ninh lớp ứng dụng

Với quá nhiều sự tập trung vào kẽ hở WAP và an ninh lớp truyền tải, các nhà phát triển thường quên mất phải đảm bảo an ninh lớp ứng dụng An ninh lớp ứng dụng là vấn đề quan trọng bởi hai lí do sau đây: Thứ nhất là khi an ninh được yêu cầu thực hiện tại các điểm cuối của an ninh lớp truyền tải, thứ hai là khi nội dung trình diễn cần được truy cập nhưng số liệu hãng lại không sẵn sàng Điều này

có thể xảy ra trong thời gian chuyển đổi mã, đó là khi một ngôn ngữ đánh dấu khác (thường là HTML) được chuyển đổi thành WML

Tình huống thứ nhất có thể được đưa ra bởi việc sử dụng các kỹ thuật được cung cấp trong quy định WML Nhìn chung, các sắp đặt mặc định được thiết lập ở mức an ninh cao nhất, nhưng có một vài điều cần chú ý sau đây:

 Bất cứ thẻ WML nào yêu cầu truy cập tới số liệu nhạy cảm cần phải được thiết lập số tham khảo người gửi (sendreferer) = true trong phần tử <go>

 Nguyên bản điều khiển yêu cầu đối với thông tin nhạy cảm cần được kiểm tra URL có trong tiêu đề REFERER của yêu cầu HTTP để chắc chắn rằng các yêu cầu này đang được điều khiển từ các miền thân thiện

 Sử dụng HTTPS và yêu cầu nhận thực cơ bản Nếu tin tưởng vào chỉ mình nhận dạng máy điện thoại là chưa đủ

Tình huống thứ hai được đưa ra bởi việc sử dụng WMLScript và Crypto API Sử dụng chức năng văn bản đánh dấu này trong API, có thể tạo ra các chữ ký

số, tạo điều kiện cho PKI vô tuyến quản lý và lưu hành các chứng nhận khoá công

cộng Công nghệ này cho phép đảm bảo an ninh từ đầu cuối tới đầu cuối giữa những nhà cung cấp nội dung (thường là hãng) và client

1.8 An ninh client thông minh

Kiến trúc client thông minh không phụ thuộc vào sự chuyển đổi giao thức tại một cổng (gateway) nên nó không bị ảnh hưởng bởi kẽ hở WAP Tuy nhiên, các ứng dụng này cần phải thực hiện các vấn đề về an ninh Bất cứ lúc nào số liệu nằm ngoài phạm vị bảo vệ của tường lửa của công ty, cơ chế an ninh cần phải được thực hiện để bảo vệ các thông tin nhạy cảm Với kiến trúc client thông minh, nó có thể cung cấp an ninh đầu cuối tới đầu cuối đối với các số liệu hãng

Các vấn đề về an ninh liên quan đến các ứng dụng client thông minh bao gồm nhận thực người dùng, mật mã hoá số liệu lưu trữ trên client, và an ninh lớp truyền tải Chúng ta sẽ xem xét lần lượt từng vấn đề

Nhận thực người dùng

Các ứng dụng client thông minh thường lưu trữ số liệu trực tiếp trên thiết bị rất giống với các ứng dụng nền màn hình trên các máy tính cá nhân (PC) Để hạn chế truy nhập tới các nguồn số liệu này cần phải nhận thực người dùng Tổ hợp tên người dùng/mật khẩu là mức tối thiểu của nhận thực cần được thực hiện

Việc đưa ra vấn đề an ninh trên các hệ điều hành di động là một ý tưởng hay đem lại nhiều lợi ích Tất cả các hệ điều hành chính hiện nay đều cung cấp một cơ chế khoá thiết bị, yêu cầu người dùng phải được nhận thực trước khi họ có thể truy nhập vào bất cứ một thiết bị nào Điều này đưa ra một mức nhận thực thứ ba mở ra

hy vọng cho những người có thể tìm lại thiết bị đã mất của mình

An ninh kho số liệu

Với các ứng dụng client thông minh, số liệu chung được lưu trữ một cách cục bộ trên các thiết bị di động Số liệu này cần được bảo vệ trước những truy nhập trái phép Trong nhiều trường hợp yêu cầu người dùng phải được nhận thực trước khi truy nhập vào nguồn số liệu mới chỉ là một bước để bảo vệ nguồn số liệu này, bước nữa là mật mã hoá chính số liệu đó, làm cho số liệu đó không thể nào xem

được khi không có sự nhận thực chính xác, dạng lý tưởng là sử dụng một chứng nhận số

An ninh lớp truyền tải

Tại lớp truyền tải, mật mã hoá số liệu cần phải được thực hiện để bảo vệ số liệu hãng đang được đồng bộ hoá đồng bộ hoá có thể là phần quan trọng nhất của ứng dụng cần được bảo vệ Một điều rất thuận lợi là có nhiều sản phẩm mật mã hoá sẵn sàng cho công việc bảo mật này Các công ty gồm có Certicom và RSA cung cấp các sản phẩm có thể được sử dụng để mật mã hóa bất kỳ kiểu số liệu đang được truyền đi từ hoặc tới thiết bị di động Nhiều nhà cung cấp ứng dụng client thông minh cùng với các giải pháp mật mã hoá số liệu 128 bit Theo cách này, số liệu được truyền dẫn qua các mạng công cộng được đảm bảo tính bí mật từ thời điểm số liệu rời thiết bị cho tới khi tới được server hãng

CHƯƠNG II: TỔNG QUAN MẠNG 3G WCDMA UMTS

2.1 Lộ trình phát triển thông tin di động lên 4G

Lộ trình phát triển các công nghệ thông tin di động lên 4G được cho trên hình 2.1 và lộ trình nghiên cứu phát triển trong 3GPP được cho trên hình 2.2

AMPS: Advanced Mobile Phone System

TACS: Total Access Communication System

GSM: Global System for Mobile Telecommucations

WCDMA: Wideband Code Division Multiple Access

EVDO: Evolution Data Only

IMT: International Mobile Telecommnications

IEEE: Institute of Electrical and Electtronics Engineers

WiFi: Wireless Fidelitity

WiMAX: Worldwide Interoperability for Microwave Access

LTE: Long Term Evolution

UMB: Untra Mobile Broadband

Hình 2.1 Lộ trình phát triển các công nghệ thông tin di động lên 4G

Hình 2.2 Lịch trình nghiên cứu phát triển trong 3GPP

Hình 2.3 cho thấy lộ trình tăng tốc độ truyền số liệu trong các phát hành của 3GPP

Hình 2.3 Lộ trình tăng tốc độ truyền số liệu trong các phát hành của 3GPP

2.2 Kiến trúc chung của một hệ thống thông tin di động 3G

Mạng thông tin di động (TTDĐ) 3G lúc đầu sẽ là mạng kết hợp giữa các vùng chuyển mạch gói (PS) và chuyển mạch kênh (CS) để truyền số liệu gói và tiếng Các trung tâm chuyển mạch gói sẽ là các chuyển mạch sử dụng công nghệ ATM Trên đường phát triển đến mạng toàn IP, chuyển mạch kênh sẽ dần được thay thế bằng chuyển mạch gói Các dịch vụ kể cả số liệu lẫn thời gian thực (như tiếng

và video) cuối cùng sẽ được truyền trên cùng một môi trường IP bằng các chuyển mạch gói Hình 2.4 dưới đây cho thấy thí dụ về một kiến trúc tổng quát của TTDĐ 3G kết hợp cả CS và PS trong mạng lõi

RAN: Radio Access Network: mạng truy nhập vô tuyến

BTS: Base Transceiver Station: trạm thu phát gốc

BSC: Base Station Controller: bộ điều khiển trạm gốc

RNC: Rado Network Controller: bộ điều khiển trạm gốc

CS: Circuit Switch: chuyển mạch kênh

PS: Packet Switch: chuyển mạch gói

SMS: Short Message Servive: dịch vụ nhắn tin

Server: máy chủ

PSTN: Public Switched Telephone Network: mạng điện thoại chuyển mạch công cộng

PLMN: Public Land Mobile Network: mang di động công cộng mặt đất

Hình 2.4 Kiến trúc tổng quát của một mạng di động kết hợp cả CS và PS

Các miền chuyển mạch kênh (CS) và chuyển mạch gói (PS) được thể hiện bằng một nhóm các đơn vị chức năng lôgic: trong thực hiện thực tế các miền chức năng này được đặt vào các thiết bị và các nút vật lý Chẳng hạn có thể thực hiện chức năng chuyển mạch kênh CS (MSC/GMSC) và chức năng chuyển mạch gói (SGSN/GGSN) trong một nút duy nhất để được một hệ thống tích hợp cho phép chuyển mạch và truyền dẫn các kiểu phương tiện khác nhau: từ lưu lượng tiếng đến lưu lượng số liệu dung lượng lớn

3G UMTS (Universal Mobile Telecommunications System: Hệ thống thông tin di động toàn cầu) có thể sử dụng hai kiểu RAN Kiểu thứ nhất sử dụng công

nhập phân chia theo mã băng rộng) được gọi là UTRAN (UMTS Terrestrial Radio Network: mạng truy nhập vô tuyến mặt đất của UMTS) Kiểu thứ hai sử dụng công nghệ đa truy nhập TDMA được gọi là GERAN (GSM EDGE Radio Access Network: mạng truy nhập vô tuyến dưa trên công nghệ EDGE của GSM) Tài liệu chỉ xét đề cập đến công nghệ duy nhất trong đó UMTS được gọi là 3G WCDMA UMTS

2.3 Chuyển mạch kênh (CS), chuyển mạch gói (PS), dịch vụ chuyển mạch kênh

và dịch vụ chuyển mạch gói

3G cung cấp các dịch vụ chuyển mạch kênh như tiếng, video và các dịch vụ chuyển mạch gói chủ yếu để truy nhập internet

Chuyển mạch kênh (CS: Circuit Switch) là sơ đồ chuyển mạch trong đó

thiết bị chuyển mạch thực hiện các cuộc truyền tin bằng cách thiết lập kết nối chiếm một tài nguyên mạng nhất định trong toàn bộ cuộc truyền tin Kết nối này là tạm thời, liên tục và dành riêng Tạm thời vì nó chỉ được duy trì trong thời gian cuộc gọi Liên tục vì nó được cung cấp liên tục một tài nguyên nhất định (băng thông hay dung lượng và công suất) trong suốt thời gian cuộc gọi Dành riêng vì kết nối này

và tài nguyên chỉ dành riêng cho cuộc gọi này Thiết bị chuyển mạch sử dụng cho

CS trong các tổng đài của TTDĐ 2G thực hiện chuyển mạch kênh trên trên cơ sở ghép kênh theo thời gian trong đó mỗi kênh có tốc độ 64 kbps và vì thế phù hợp cho việc truyền các ứng dụng làm việc tại tốc độ cố định 64 kbps (chẳng hạn tiếng được

mã hoá PCM)

Chuyển mạch gói (PS: Packet Switch) là sơ đồ chuyển mạch thực hiện phân

chia số liệu của một kết nối thành các gói có độ dài nhất định và chuyển mạch các gói này theo thông tin về nơi nhận được gắn với từng gói và ở PS tài nguyên mạng chỉ bị chiếm dụng khi có gói cần truyền Chuyển mạch gói cho phép nhóm tất cả các số liệu của nhiều kết nối khác nhau phụ thuộc vào nội dung, kiểu hay cấu trúc

số liệu thành các gói có kích thước phù hợp và truyền chúng trên một kênh chia sẻ Việc nhóm các số liệu cần truyền được thực hiện bằng ghép kênh thống kê với ấn định tài nguyên động Các công nghệ sử dụng cho chuyển mạch gói có thể là Frame Relay, ATM hoặc IP

Hình 1.5 cho thấy cấu trúc của CS và PS

Hình 2.5 Chuyển mạch kênh (CS) và chuyển mạch gói (PS)

Dịch vụ chuyển mạch kênh (CS Service) là dịch vụ trong đó mỗi đầu cuối

được cấp phát một kênh riêng và nó toàn quyển sử dụng tài nguyên của kênh này trong thời gian cuộc gọi tuy nhiên phải trả tiền cho toàn bộ thời gian này dù có truyền tin hay không Dịch vụ chuyển mạch kênh có thể được thực hiện trên chuyển mạch kênh (CS) hoặc chuyển mạch gói (PS) Thông thường dịch vụ này được áp dụng cho các dịch vụ thời gian thực (thoại)

Dịch vụ chuyển mạch gói (PS Service) là dịch vụ trong đó nhiều đầu cuối

cùng chia sẻ một kênh và mỗi đầu cuối chỉ chiếm dụng tài nguyên của kênh này khi

có thông tin cần truyền và nó chỉ phải trả tiền theo lượng tin được truyền trên kênh Dịch vụ chuyển mạch gói chỉ có thể được thực hiện trên chuyển mạch gói (PS) Dịch vụ này rất rất phù hợp cho các dịch vụ phi thời gian thực (truyền số liệu), tuy nhiên nhờ sự phát triển của công nghệ dịch vụ này cũng được áp dụng cho các dịch

vụ thời gian thực (VoIP)

Chuyển mạch gói có thể thực hiện trên cơ sở ATM hoặc IP

ATM (Asynchronous Transfer Mode: chế độ truyền dị bộ) là công nghệ

thực hiện phân chia thông tin cần phát thành các tế bào 53 byte để truyền dẫn và chuyển mạch Một tế bào ATM gồm 5 byte tiêu đề (có chứa thông tin định tuyến)

và 48 byte tải tin (chứa số liệu của người sử dụng) Thiết bị chuyển mạch ATM cho phép chuyển mạch nhanh trên cơ sở chuyển mạch phần cứng tham chuẩn theo thông tin định tuyến tiêu đề mà không thực hiện phát hiện lỗi trong từng tế bào Thông tin định tuyến trong tiêu đề gồm: đường dẫn ảo (VP) và kênh ảo (VC) Điều khiển kết

nối bằng VC (tương ứng với kênh của người sử dụng) và VP (là một bó các VC) cho phép khai thác và quản lý có khả năng mở rộng và có độ linh hoạt cao Thông thường VP được thiết lập trên cơ sở số liệu của hệ thống tại thời điểm xây dựng mạng Việc sử dụng ATM trong mạng lõi cho ta nhiều cái lợi: có thể quản lý lưu lượng kết hợp với RAN, cho phép thực hiện các chức năng CS và PS trong cùng một kiến trúc và thực hiện khai thác cũng như điều khiển chất lượng liên kết

Chuyển mạch hay Router IP (Internet Protocol) cũng là một công nghệ

thực hiện phân chia thông tin phát thành các gói được gọi là tải tin (Payload) Sau

đó mỗi gói được gán một tiêu đề chứa các thông tin địa chỉ cần thiết cho chuyển mạch Trong thông tin di động do vị trí của đầu cuối di động thay đổi nên cần phải

có thêm tiêu đề bổ sung để định tuyến theo vị trí hiện thời của máy di động Quá trình định tuyến này được gọi là truyền đường hầm (Tunnel) Có hai cơ chế để thực hiện điều này: MIP (Mobile IP: IP di động) và GTP (GPRS Tunnel Protocol: giao thức đường hầm GPRS) Tunnel là một đường truyền mà tại đầu vào của nó gói IP được đóng bao vào một tiêu đề mang địa chỉ nơi nhận (trong trường hợp này là địa chỉ hiện thời của máy di động) và tại đầu ra gói IP được tháo bao bằng cách loại bỏ tiêu đề bọc ngoài (hình 2.6)

Hình 2.6 Đóng bao và tháo bao cho gói IP trong quá trình truyền tunnel

Hình 2.7 cho thấy quá trình định tuyến tunnel (chuyển mạch tunnel) trong hệ thống 3G UMTS từ tổng đài gói cổng (GGSN) cho một máy di động (UE) khi nó chuyển từ vùng phục vụ của một tổng đài gói nội hạt (SGSN1) này sang một vùng phục vụ của một tổng đài gói nội hạt khác (SGSN2) thông qua giao thức GTP