intTypePromotion=3

Các thủ tục nhận thực và bảo mật trong mạng CDMA

Chia sẻ: Truongthanhquan Thanhquan | Ngày: | Loại File: DOC | Số trang:90

0
49
lượt xem
10
download

Các thủ tục nhận thực và bảo mật trong mạng CDMA

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Ngành công nghiệp viễn thông đã có những bước phát triển mạnh mẽ trong những năm vừa qua, đặc biệt là trong lĩnh vực vô tuyến và di động. Sự phát triển của các công nghệ mới kéo theo là rất nhiều dịch vụ tiện ích mới ra đời đáp ứng được nhu cầu ngày càng cao của xã hội. Trong đó phải kể đến các dịch vụ truyền bản tin như email, SMS, EMS, MMS, IM… đã góp phần không nhỏ trong việc nâng cao các ứng dụng hiện có, đồng thời đưa ra một phương tiện truyền tin mới khi cần có thể thay...

Chủ đề:
Lưu

Nội dung Text: Các thủ tục nhận thực và bảo mật trong mạng CDMA

  1. THUẬT NGỮ VIẾT TẮT 2G 2nd Generation Thế hệ 2 3G 3rd Generation Thế hệ 3 3GPP Third Generation Partnership Dự án hợp tác thế hệ 3 Project A ACLs Access Control Lists Danh sách điều khiển truy nhập ACTS Advanced Communication Các công nghệ và dịch Technologies and Services vụ truyền thông tiên tiến AES Advanced Encyption Standard Tiêu chuẩn mã hóa cải tiến AK Anonymity Key Khoá nặc danh AKA Authentication and Key Nhận thực và thống nhất Argreement khoá AMF Advance Mobile Phone System Hệ thống điện thoại di động tiên tiến AMPS Analog Mobile Phone Systems Hệ thống điện thoại di động tương tự ANSI American National Standards Viện tiêu chuẩn Hoa Kỳ Institude API Application Program Interface Giao diện chương trình ứng dụng ASPECT Advanced Security for Personal An ninh cải tiến cho công Communications Technology nghệ truyền thông cá nhân AuC Authentication Center Trung tâm nhận thực AUTN Authentication token Dấu hiệu nhận thực mạng AV Authentication Vector Véc tơ nhận thực B BS Base Station Trạm gốc BSS Base Statiom Subsystem Phân hệ trạm gốc BSSGP Base Station System GPRS Giao thức GPRS hệ Protocol thống trạm gốc BTS Base Transceiver Station Trạm thu phát gốc C CA Certificate Authority Thẩm quyền chứng nhận CDMA Code Division Multiple Access Đa truy nhập phân chia theo mã CLR Certificate Revocation Lists Danh sách huỷ bỏ chứng 1
  2. nhận CM Connection Management Quản lý kết nối D DECT Digital European Cordless Điện thoại không dây số Telephone châu Âu DECT IN DECT Indentification Number Số nhận dạng thuê bao DECT cá nhân DES Data Encyption Standard Tiêu chuẩn mật mã hoá số liệu E ECC Elliptic Curve Cryptography Mã đường cong ellip EDGE Enhanced Data Rates for Global Nâng cao tốc độ dữ liệu Evolution cho sự phát triển toàn cầu EIR Equipment Identity Register Bộ nhận dạng thiét bị ETSI European Telecommunications Viện tiêu chuẩn viễn Standards Institute thông châu Âu ESP Encapsulating Security Payload Tải tin an ninh đóng bao F FDMA Frequency Division Multiple Đa truy nhập phân chia Access theo tần số FTP File Transfer Protocol Giao thức truyền file G GMM/SM GPRS Mobility Management Giao thức quản lý di động GPRS GMSC Gateway MSC MSC cổng GSM Global System for Mobile Hệ thống thông tin di Communication động toàn cầu GPRS General Packet Radio Service Dịch vụ vô tuyến gói chung H HE Home Environment Môi trường thường trú HLR Home Location Register Bộ ghi định vị thường trú HSCSD High Speed Circuit-Switched Data Dữ liệu chuyển mạch tồc độ cao HTTP Hypertext Transfer Protocol Giao thức chuyển giao siêu văn bản I IDEA International Data Encryption Algorithms 2
  3. IETF Internet Engineering Task Force Lực lượng kỹ thuật Internet IK Integrity key Khoá toàn vẹn IMAP Internet Message Access Protocol Giao thức truy nhập bản tin Internet IMEI International Mobile Equipment Nhận dạng thiết bị di Indentifier động Quốc tế IMSI International Mobile Subscriber Số nhận dạng thuê bao di Identity động quốc tế IMT-2000 International Mobile Tiêu chuẩn viễn thông di Telecommunication 2000 động Quốc tế 2000 IMUN International Mobile User Number Chỉ số người sử dụng thuê bao di động quốc tế IP Internet Protocol Giao thức Internet IPSec Internet Protocol Security An ninh IP ISDN Integrated Services Digital Mạng số tích hợp nhiều Network dịch vụ ITU International Telecommunications Liên minh viễn thông Union Quốc tế L LAI Location Area Indentifier Nhận dạng vùng định vị LLC Logical Link Control Giao thức điều khiển liên kết logic M MAC Message authentication code Mã nhận thực bản tin MAC-A MAC used for authentication and MAC sử dụng để nhận key agreement thực và thống nhất khoá MAC-I MAC used for data integrity of MAC sử dụng để bảo vệ signalling messages tính toàn vẹn số liệu báo hiệu MAP Mobile Application Part Phần ứng dụng di động MD Message Degest Tóm tắt bản tin MSC Mobile Switching Centre Trung tâm chuyển mạch di động MTP Message Transfer Protocol Giao thức truyền bản tin N NMT Nordic Mobile Telephony Điện thoại di động bắc Âu p PC Personal Computer Máy tính cá nhân PDA Personal Digital Assistant Thiết bị hỗ trợ cá nhận số 3
  4. PDC Personal Digital Communications Truyền thông số cá nhân PIN Personal Identification Code Mã nhận dạng cá nhân PKI Public Key Infrastructure Cơ sở hạ tầng khoá công cộng PLMN Public Land Mobile Network Mạng di động mặt đất công cộng R RSA Rivest-Shamir-Adlemen Thuật toán mật mã hóa và kiểm chứng quyền tiếp nhận S SA Security Association SAD Security Association Database Cơ sở dữ liệu liên kết an ninh SCCP Signaling Connection and Control Kết nối báo hiệu và phần Part điều khiển SCK Static Cipher Key Khóa mã hóa tĩnh SGSN Serving GPRS Support Node Node hỗ trợ GPRS phục vụ SIM GSM Subscriber Identity Module Môdun nhận dạng thuê bao GSM SNDCP Sub-Network Dependent Giao thức hội tụ phụ Convergence Protocol thuộc mạng con SPD Security Policy Database Cơ sở dữ liệu chính sách an ninh SSL Secure Sockets Layer Lớp ổ cắm an toàn T TACS Total Access Communication Hệ thống truyền thông Systems truy nhập toàn cầu TDM Time Division Multiplexing Phân chia theo thời gian TDMA Time Division Multiple Access Đa truy nhập phân chia theo thời gian TMSI Tempoary Mobile Subscriber Số nhận dạng thuê bao di Identity động tạm thời TLS Transport Layer Security An ninh lớp truyền tải U UAK User Authentication Key UDP User Datagram Protocol Giao thức bó số liệu người sử dụng UMI UMTS Universal Mobile Hệ thống viễn thông di 4
  5. Telecommunications System động toàn cầu URL UWC Universal Wireless Communication Truyền thông vô tuyến toàn cầu V VLR Visitor Location Register Bộ ghi định vị tạm trú VPN Virtual Private Network Mạng riêng ảo W WAP Wireless Application Protocol Giao thức ứng dụng vô tuyến WCDMA Wideband Code Division Multiple Đa truy nhập phân chia Access theo mã băng rộng WEP Wired Equivalent Privacy WLAN WTLS Wireless Transport Layer Security X XRES EXpected user RESponse Đáp ứng người sử dụng mong đợi 5
  6. LỜI NÓI ĐẦU Ngành công nghiệp viễn thông đã có những bước phát triển mạnh mẽ trong những năm vừa qua, đặc biệt là trong lĩnh vực vô tuy ến và di đ ộng. S ự phát triển của các công nghệ mới kéo theo là rất nhiều dịch vụ tiện ích mới ra đời đáp ứng được nhu cầu ngày càng cao của xã hội. Trong đó phải k ể đến các dịch vụ truyền bản tin như email, SMS, EMS, MMS, IM … đã góp phần không nhỏ trong việc nâng cao các ứng dụng hiện có, đồng thời đưa ra một phương tiện truyền tin mới khi cần có thể thay thế cho các cu ộc g ọi thoại truyền thống vốn không phải lúc nào cũng tiện lợi mà cước phí lại cao. Các công nghệ truyền bản tin cũng tạo ra một giải pháp h ữu hi ệu trong việc gắn kết hai hệ thống lớn là viễn thông di động và Internet. Bằng phương pháp này, người dùng có thể gửi các bản tin, nhạc chuông, logo, hình ảnh…  cho điện thoại di động từ Internet. Ngoài ra, người dùng có thể tra cứu thông tin thị trường chứng khoán, thời tiết, chương trình truyền hình …. ở mọi nơi, mọi thời điểm và ở các thiết bị khác nhau. Điều này tạo những chuyển biến tích cực trong đời sống kinh tế xã hội trên toàn thế giới, thay đổi cách sống của con người. Cùng với sự phát triển của thông tin di động mang lại nhiều lợi ích cho xã hội thì những nguy cơ và thách thức đối với các nhà cung cấp dịch vụ cũng tăng.Thông tin của người dùng truyền trong môi trường vô tuyến có th ể b ị tấn công hay bị nghe trộm bởi người khác, các dịch vụ của nhà nhà cung c ấp có thể bị đánh cắp hay bị phá hoại. Điều này gây thi ệt h ại l ớn c ả v ề kinh t ế và chất lượng dịch vụ cho cả người dùng lẫn nhà cung cấp dịch vụ. Những thách thức này đặt ra các yêu cầu cho các nhà cung cấp dịch vụ về vấn đề nhận thực và bảo mật cho thông tin vô tuyến và di động đ ể bảo v ệ quy ền l ợi của người dùng và lợi ích của chính bản thân các nhà cung c ấp. V ới s ự phát triển của thông tin và công nghệ máy tính người ta đã đưa ra các giải pháp về nhận thực và bảo mật khác nhau. Một số công nghệ nhận thực và bảo mật hiện nay cho phép tạo nên các giải pháp truyền tin di động được đảm bảo từ đầu cuối tới đầu cuối. Các công nghệ này cần phải được hợp nhất vào trong ứng dụng từ lúc bắt đầu thiết kế cho tới khi thực hiện xong. 6
  7. Thế hệ đầu tiên của các hệ thống thông tin di động tổ ong có rất ít các phương pháp an ninh bảo vệ những người dùng và nhà khai thác hệ thống. Hệ thống thế hệ thứ hai nhìn chung đã thực hiện điều này tốt h ơn nhi ều, và bảo vệ được tính bí mật và nhận thực thực thể. Mặc dù đã được cải thi ện một cách đáng kể, an ninh thông tin trong thế hệ hai vẫn còn nhiều vấn đề cần phải khắc phục. Hệ thống thông tin di động 3G ra đời đã tạo dựng một kiến trúc an ninh chắc chắn, nhờ đó cung cấp được những đặc tính an ninh cần thiết. Hiện nay, hệ thống thông tin di động thế hệ 3 UMTS đã đ ược ITU ch ấp thuận và dự kiến đưa ra thương mại vào đầu thế kỷ 21. Hiện tại, hệ thống này đã được triển khai tại Nhật và một số nước kác trên thế giới, d ự ki ến s ẽ đưa vào thử nghiệm tạị Việt Nam vào các năm tới. Do đó vi ệc nghiên c ứu an ninh thông tin trong hệ thống này là một điều hết sức cần thiết. Xuất phát từ nhu cầu thực tế trên, em đã chọn dề tài nghiên cứu “Các thủ tục nhận thực và bảo mật trong mạng CDMA” để làm đồ án tốt nghiệp. Nội dung đồ án gồm 5 chương: Chương I: Tổng quan về thông tin di động Chương II: Tổng quan về anh ninh trong thông tin di động Chương III: Các kỹ thuật an ninh dùng trong thông tin di động Chương IV: Nhận thực trong mạng tổ ong số thế hệ hai Chương V : Thế hệ 3 – Nhận thực và bảo mật trong UMTS Do hạn chế về kinh nghiệm, trình độ nghiên cứu và thời gian có hạn nên đồ án tốt nghiệp của em chắc chắn sẽ không thể tránh khỏi những thi ếu sót, em rất mong được thầy cô và các bạn góp ý đ ể đ ồ án c ủa em đ ược hoàn thiện hơn. Cuối cùng, em xin chân thành cảm ơn thầy giáo Ths. Phạm Khắc Chư người đã tận tình hướng dẫn em trong suốt thời gian làm đề tài. Cũng em x in chân thành cảm ơn Ban lãnh đạo Học viện và các thầy cô trong khoa Viễn thông đã tạo rất nhiều điều kiện thuận lợi cho em. Tôi xin c ảm ơn b ạn bè và người thân đã giúp đỡ, động viên em hoàn thành đồ án này. Hà Nội, ngày 25 tháng 10 năm 2005 Sinh viên Đặng Đình Thái 7
  8. CHƯƠNG I: TỔNG QUAN VỀ THÔNG TIN DI ĐỘNG 1.1 Mở đầu Thông tin di động bắt đầu từ những năm 1920, khi các c ơ quan an ninh ở Mỹ bắt đầu sử dụng điện thoại vô tuyến, dù chỉ là ở các căn cứ thí nghiệm. Công nghệ vào thời điểm đó đã có những thành công nh ất định trên các chuyến tàu hàng hải, nhưng nó vẫn chưa thực sự thích h ợp cho thông tin trên bộ. Các thiết bị còn khá cồng kềnh và công nghệ vô tuyến vẫn còn gặp khó khăn trước những toà nhà lớn ở thành phố. Vào năm 1930 đã có một bước tiến xa hơn với sự phát triển của điều chế FM, được sử dụng ở chiến trường trong suốt thế chiến thứ hai. Sự phát triển này kéo dài đến cả thời bình, và các dịch vụ di động bắt đầu xu ất hi ện vào những năm 1940 ở một số thành phố lớn. Tuy vậy, dung lượng của các hệ thống đó rất hạn chế, và phải mất nhiều năm thông tin di đ ộng mới tr ở thành một sản phẩm thương mại. Lộ trình phát triển các thế hệ thông tin di động được trình bày tóm tắt trong hình vẽ 1.1 TACS GSM 900 WCDM GPRS A NMT 900 GSM 1800 GSM 1900 GPRS IS 136 1900 IS-95 1900 EDGE IS-136 800 AMPS IS-95 800 iDEN CdmaOne Cdma2000 SMR 800 MX 1G 2G 2.5G 3G 8
  9. Hình 1.1: Lộ trình phát triển các thế hệ thông tin di động 1.2 Công nghệ vô tuyến thế hệ một Thế hệ đầu tiên của thông tin di động dựa trên truyền tín hiệu analog. Hệ thống analog, đã từng được triển khai ở Bắc Mĩ được biết đến với tên gọi AMPS (Analog Mobile Phone Systems), hoạt động ở dải tần 800Mhz. Hệ thống di động đầu tiên ở Châu Âu được triển khai năm 1981 ở Th ụy Đi ển, Nauy, Đan Mạch và Phần Lan sử dụng công ngh ệ NMT (Nordic Mobile Telephony) hoạt động ở dải tần 450Mhz. Phiên bản sau c ủa NMT ho ạt đ ộng ở tần số 900MHz và được biết đến với tên gọi NMT900. Không thua kém, Anh giới thiệu một công nghệ khác vào năm 1985, TACS (Total Access Communication Systems). Các hệ thống thông tin di động th ế h ệ một đã gi ải quyết những hạn chế đầu tiên về dung lượng, mặc dù ch ỉ là h ệ th ống t ương tự, sử dụng công nghệ chuyển mạch kênh và chỉ được thiết kế cho truy ền tiếng. 1.3 Công nghệ vô tuyến thế hệ hai Thế hệ hai của mạng di động dựa trên truyền dẫn tín hiệu số băng thấp. Công nghệ vô tuyến 2G thông dụng nhất được biết đến là GSM (Global Systems for Mobile Communication). Các hệ thống GSM, được tri ển khai l ần đầu tiên vào năm 1991, hiện nay đang hoạt động ở khoảng 140 nướcvà lãnh thổ trên thế giới, với khoảng 248 triệu người sử dụng. GSM kết hợp cả hai kỹ thuật TDMA và FDMA. Các hệ thống GSM đầu tiên s ử dụng ph ổ t ần 25MHz ở dải tần 900MHz. FDMA được sử dụng để chia băng tần 25MHz thành 124 kênh tần số vô tuyến (độ rộng kênh là 200kHz). Với m ỗi t ần s ố l ại sử dụng khung TDMA với 8 khe thời gian. Ngày nay các h ệ th ống GSM ho ạt động ở băng tần 900MHz và 1.8GHz trên toàn thế giới (ngoại trừ Mỹ hoạt động trên băng tần 1.9GHz) Cùng với GSM, một công nghệ tương tự được gọi là PDC (Personal Digital Communications), sử dụng công nghệ TDMA nổi lên ở Nhật. Từ đó, một vài hệ thống khác sử dụng công nghệ TDMA đã được triển khai kh ắp thế giới với khoảng 89 triệu người sử dụng. Trong khi GSM đ ược phát tri ển ở Châu Âu thì công nghệ CDMA được phát triển mạnh ở Bắc Mĩ. CDMA s ử dụng công nghệ trải phổ và đã được thực hiện trên khoảng 30 n ước với ước tính khoảng 44 triệu thuê bao. 9
  10. Trong khi GSM và các hệ thống sử dụng TDMA khác trở thành công nghệ vô tuyến 2G vượt trội, công nghệ CDMA cũng đã nổi lên với chất lượng thoại rõ hơn, ít nhiễu hơn, giảm rớt cuộc gọi, dung l ượng h ệ th ống và độ tin cậy cao hơn. Các mạng di động 2G trên đây chủ y ếu vẫn s ử dụng chuyển mạch kênh. Các mạng di động 2G sử dụng công ngh ệ số và có th ể cung cấp một số dịch vụ ngoài thoại như fax hay bản tin ngắn ở tốc độ tối đa 9.6 kbps, nhưng vẫn chưa thể duyệt web và các ứng dụng đa phương tiện. Hình vẽ dưới đây thể hiện tổng quan về ba công nghệ TDMA, FDMA và CDMA. Hình 1.2: Các phương pháp đa truy nhập 1.4 Các công nghệ tiến tới 3G Sự bùng nổ của mạng Internet đã có những ảnh hưởng to lớn đến nhu cầu đối với các dịch vụ vô tuyến băng rộng. Tuy nhiên, tốc độ của các h ệ thống vô tuyến chuyển mạch kênh tương đối th ấp. Vì th ế, GSM, PDC và các hệ thống sử dụng TDMA khác đã phát triển công ngh ệ 2G+, dựa trên chuy ển mạch gói và và tăng tốc độ truyền số liệu lên tới 384kbps. Các h ệ th ống 2G+ dựa trên các công nghệ: HSCSD (High Speed Circuit-Switched Data), GPRS (General Packet Radio Service) và EDGE (Enhanced Data Rates for Global Evolution). i/ HSCSD là một bước tiến tới các mạng di động 3G băng rộng. Công nghệ chuyển mạch kênh này cải tiến tốc độ đạt tới 57.6kbps bằng cách kết hợp 4 khe thời gian 14.4kbps. ii/ GPRS là bước trung gian cho phép GSM cung cấp các dịch vụ Internet. Công nghệ này sử dụng chuyển mạch gói và được thiết kế để làm 10
  11. việc song song với 2G GSM, PDC và các hệ thống TDMA khác, s ử d ụng k ết hợp từ 1 đến 8 khe thời gian kênh vô tuyến ở dải tần 200kHz được cấp cho sóng mang để tăng tốc độ lên tới 115kbps. Số liệu được đóng gói và truy ền dẫn qua PLMN (Public Land Mobile Networks) sử dụng đường trục IP, vì th ế thuê bao di động có thể truy nhập các dịch vụ Internet như ftp, các d ịch v ụ Web dựa trên HTTP, email trên nền SMTP/POP. Ngoài các thành phần cơ bản đã có ở mạng GSM như BSS, MS và MSC, mạng GPRS còn có mạng di động mặt đất công c ộng PLMN, đi ểm h ỗ trợ GPRS dịch vụ SGSN và điểm hỗ trợ GPRS cổng GGSN. Chuy ển vùng (roaming) được điều tiết qua các PLMN. SGSN và GGSN lấy các thông tin v ề người sử dụng từ HLR để quản lý và thực hiện cuộc gọi. GGSN cung c ấp các kết nối tới các mạng ngoài như mạng Internet hay mạng X.25. BTS thu và phát tín hiệu qua giao diện vô tuyến, cung cấp các kết nối số li ệu và ti ếng với MS. BSC định tuyến các phiên giao dịch dữ liệu tới PLMN qua liên k ết Frame Relay (FR) và các cuộc gọi thoại thông th ường tới MSC. MSC sẽ chuyển mạch các cuộc gọi tới các mạng chuyển mạch kênh như PSTN và ISDN. MSC điều tiết VLR để lưu giữ thông tin của thuê bao chuy ển m ạng. Đối với các phiên giao dịch dữ liệu, nó được BSC định tuyến tới SGSN, sau đó được chuyển mạch tới PDN qua GGSN hoặc tới thuê bao khác. Dưới đây là cấu trúc mạng GPRS: 11
  12. Hình 1.3: Kiến trúc mạng GPRS Hình vẽ 1.4 dưới đây chỉ ra các giao thức được sử dụng ở BTS, BSC, GGSN, SGSN và các máy cầm tay khác. Sub-Network Dependent Convergence Protocol (SNDCP): Giao thức hội tụ phụ thuộc mạng con, giao thức này nằm giữa LLC và l ớp m ạng. SNDCP cũng cung cấp các chức năng khác như nén, phân đoạn và d ồn các bản tin lớp mạng vào một kết nối ảo đơn nhất. Logical Link Control (LLC): Giao thức điều khiển kết nối logic, đây là giao thức lớp liên kết dữ liệu cho GPRS, hoạt động như Link Access Protocol – D (LAPD). Lớp này đảm bảo truyền dữ liệu người sử dụng một cách tin cậy qua mạng vô tuyến. GPRS Tunnel Protocol (GTP): Giao thức tuyến đường hầm GPRS. GTP hoạt động trên TCP/UDP qua IP. 12
  13. Dung xoa’ Hình 1.4: Các giao thức sử dụng ở GPRS Base Station System GPRS Protocol (BSSGP): Giao thức GPRS hệ thống trạm gốc. Giao thức này xử lý định tuyến và thông tin QoS cho BSS. BSSGP sử dụng giao thức lõi Frame Relay Q.922 làm cơ chế hoạt động. GPRS Mobility Management (GMM/SM): Giao thức quản lý lưu động GPRS. Giao thức này hoạt động trên mặt phẳng bảo hi ệu c ủa GPRS, qu ản lý các yếu tố lưu động như: chuyển vùng, nhận thực, ch ọn thuật toán mã hoá và duy trì PDP context. Network Service: Giao thức dịch vụ mạng. Giao thức này quản lý s ự hội tụ của các lớp con hoạt động giữa BSSGP và Frame Relay Q.922 b ằng cách ánh xạ các yêu cầu dịch vụ BSSGP tới các dịch vụ Frame Relay thích hợp. BSSAP+: Giao thức cho phép tìm gọi đối với kết nối thoại t ừ MSC qua SGSN. Giao thức này cho phép tìm gọi cho kết nối thoại từ MSC qua SGSN, do đó tối ưu hoá tìm gọi cho thuê bao di động. BSSAP+ cũng có ch ức năng định vị và định tuyến cập nhật cũng như cảnh báo MS. 13
  14. SCCP, MTP3, MTP2: Là các giao thức sử dụng để hỗ trợ cho MAP và BSSAP+ trong các mạng chuyển mạch kênh PLMN. Mobile Application Part (MAP): Hỗ trợ báo hiệu giữa SGSN/GGSN và HLR/AuC/EIR. iii/ EDGE sử dụng các hệ thống điều chế nhiều trạng thái hơn so với GPRS/GSM cho phép cung cấp tốc độ tới 48kbps trên mỗi khe th ời gian tương ứng của GSM. Với việc phân bổ khe thời gian động, EDGE có th ể cung cấp tốc độ tối đa theo lý thuyết là 384kbps (th ậm chí là 473kbps trong tương lai khi sử dụng điều chế 16QAM). Do vậy nó cung cấp được h ầu h ết các dịch 3G, đây là lý do mà đôi khi EDGE được coi là mạng 2.75G. 1.5 Tổng quan các hệ thống thông tin di động thế hệ 3 Công nghệ vô tuyến 3G là sự hội tụ của nhiều h ệ th ống viễn thông vô tuyến 2G trong một hệ thống toàn cầu bao gồm cả các thành ph ần v ệ tinh và mặt đất. Một trong những đặc điểm quan trọng của 3G là khả năng th ống nhất các tiêu chuẩn ô như CDMA, GSM, TDMA. Có ba phương thức đạt được kết quả này là WCDMA, CDMA2000 và UWC136 (Universal Wireless Communication) i/ CDMA2000 tương thích với CDMA thế hệ hai IS-95 phần lớn đã được sử dụng ở Mỹ. ii/ UWC, còn được gọi là IS-136 HS, đã được đề xuất bởi TIA và thi ết kế theo chuẩn ANSI-136, một tiêu chuẩn TDMA Bắc Mỹ. iii/ WCDMA tương thích với mạng 2G GSM phổ biến ở châu Âu và đa phần châu Á. WCDMA sử dụng băng tần 5Mhz và 10 Mhz, tạo nên m ột n ền tảng thích hợp cho các nhiều ứng dụng. Nó có thể đặt trên các mạng GSM, TDMA hay IS-95 sẵn có. Mạng WCDMA sẽ được sử dụng cho các ứng dụng tốc độ cao và các hệ thống 2G được sử dụng cho các cuộc gọi thoại thông thường. 1.6 So sánh giữa các mạng 2G và 3G Như đã trình bày ở trên, mặc dù có nhiều điểm tương đồng giữa các mạng vô tuyến 2G và 3G (và nhiều thành phần 2G và 3G được chia s ẻ qua các chức năng tương tác), vẫn có rất nhiều điểm khác biệt giữa hai công nghệ này. Bảng dưới đây so sánh sự khác biệt về mạng lõi, phần vô tuyến và một số khía cạnh khác của các mạng di động thế hệ 2; thế hệ 2.5 và thế hệ 3. 14
  15. Đặc 2G 2G+ 3G điểm Mạng MSC/VLR, MSC/VLR, GMSC, 3G MSC/VLR (thêm các lõi GMSC, SGSN, GGSN, tính năng tương tác và HLR/AuC/EIR HLR/AuC/EIR, CGF chuyển mã), GMSC, HLR/AuC/EIR, 3G-SGSN, GGSN, CGF MM, CM, GMM/SM/SMS, GMM/SM,MM,CM,BSSA BSSAP, SCCP, MM, CM, GTP, P, ISUP,TCAP, SNDCP,NS, FR, RANAP,GTP,SCCP, MAP, MTP3, LLC, BSSGP, MTP3B, M3UA, SCTP, MTP2, MTP1 BSSAP, BSSAP+, Q.2630.1 (NNI), TCAP, SCCP, TCAP, MAP, MAP, ISUP, MTP3, MTP2, ISUP, MTP3, MTP2, MTP1, Q.2140, SSCOP MTP1 TDM transport TDM, Frame Relay transport ATM, IP transport Truy nhập BTS, BSC, MS BTS, BSC, MS Node B, RNC, MS vô tuyến FDMA, TDMA, CDMA, W-CDMA, CDMA2000, TDMA, CDMA EDGE IWC-136 MM, CM, RR, MAC, RLC, GMM/SM, MAC, RLC, LAPDm,LAPD, GMM/SM/SMS,LLC, PDCP,RRC,Q.2630.1(UNI BSSAP,SCCP, SNDCP, BSSGP, NS, + MTP3, MTP2, FR,RR,BSSAP, NNI),NBAP, RNSAP, MTP1 SCCP, MTP3, RANAP, SCCP, MTP3B, MTP2, MTP1 M3UA, SCTP, GTP-U, Q.2140, Q.2130, SSCOP, CIP Thiết Đầu cuối chỉ Loại thiết bị mới cho Loại thiết bị mới, đa 15
  16. bị cầm phục vụ thoại TDMA và CDMA, chủng loại cho thoại, dữ tay các thiết bị thoại và liệu, truyền hình số liệu. Hỗ trợ WAP, chưa Hỗ trợ WAP và đa dịch vụ hỗ trợ đa dịch vụ Cơ sở HLR, VLR, HLR, VLR, EIR, HLR, VLR, EIR,AuC tăng dữ liệu EIR, AuC AuC cường Tốc độ 9.6 Kbps 57.6 Kbps (HSCSD) 2Mbps dữ liệu 115Kbps (GPRS) 384 Kbps (EDGE) Ứng Thoại và bản SMS, Internet Internet, đa dịch vụ dụng tin ngắn (SMS) Chuyể Bị giới hạn Bị giới hạn Toàn cầu n vùng Bàng 1.1: So sánh giữa 2G, 2.5G và 3G 16
  17. CHƯƠNG II: TỔNG QUAN VỀ AN NINH TRONG THÔNG TIN DI ĐỘNG 2.1 Mở đầu Một trong những vấn đề đáng quan tâm khi thực hiện các giải pháp di dộng và vô tuyến là an ninh số liệu. Việc đảm bảo an toàn và b ảo m ật s ố liệu hãng trong môi trường vô tuyến là một điều tương đối khó, thêm vào đó việc truyền dẫn số liệu qua mạng vô tuyến và lưu trữ số liệu di động làm nhiệm vụ trở nên khó khăn hơn. Một số công nghệ an toàn và bảo mật hiện nay cho phép tạo nên các giải pháp truyền tin di động được đảm bảo từ đầu cuối tới đầu cuối. Các công nghệ này cần phải được h ợp nh ất vào trong ứng dụng từ lúc bắt đầu thiết kế cho tới khi thực hiện xong. Việc chủ yếu là phải đảm bảo an ninh toàn bộ m ọi mặt c ủa h ệ th ống, bởi vì những kẻ ác ý sẽ luôn tấn công vào những phần yếu nhất của hệ thống. Thế nên rõ ràng việc tồn tại một liên kết yếu là rất nguy hi ểm. Đ ể có thể thực hiện được một một môi trường thực sự an ninh cần phải có c ả công nghệ chuẩn và chính sách an ninh cộng đồng. Điều này sẽ giúp đảm bảo rằng mọi mặt của hệ thống được an toàn. Phần này này sẽ giới thiệu một cách tổng quan về các khái ni ệm an ninh chung, trước tiên là các yếu tố cần thiết để có xây d ựng một môi tr ường đảm bảo an ninh, sau đó là các nguy cơ an ninh chính và những thách thức gặp phải khi xây dựng kiến trúc an ninh trong môi trường vô tuy ến và di động. Các giải pháp nhằm đảm bảo an ninh thông tin sẽ được đề cập ở chương 3 1.2 Các yếu tố cần thiết để tạo một môi trường an ninh Để đảm bảo an ninh từ đầu cuối tới đầu cuối cần phải th ực hiện trên toàn bộ môi trường bao gồm truy nhập hãng, các thành phần thuộc lớp trung gian,và các ứng dụng Client. An ninh từ đầu cuối tới đầu cuối có nghĩa là s ố liệu được an toàn trong toàn bộ tuyến hành trình từ người gửi đến người nhận, thường là từ ứng dụng Client tới Server hãng. Điều này không đơn giản chỉ là mật mã hoá số liệu. Trong phần này sẽ nghiên cứu năm v ấn đ ề c ần đ ể tạo một môi trường di động an toàn. Việc hiểu được các vấn đề này và tác động của chúng trên ứng dụng di động có tính chất quy ết định để tạo nên các ứng dụng an ninh. 16
  18. 2.2.1 Nhận thực Nhận thực là việc xử lý xác nhận những người đó và tổ chức đó là ai và họ cần cái gì. Đối với mạng di động nhận thực được thực hiện t ại hai m ức: Mức mạng và mức ứng dụng. Mức mạng yêu cầu người dùng phải được nhận thực trước khi người đó được phép truy nhập. Điều này hoàn toàn có thể được thực hiện dựa trên thiết bị hay modem đang sử dụng, hoặc rõ ràng hơn là sử dụng các cơ chế khác nhau. Tại lớp ứng dụng, nhận th ực đ ược thực hiện ở cả hai ứng dụng: Client và Server hãng. Để có th ể truy nh ập vào số liệu hãng, Client cần phải chứng minh với Server rắng nó được phép. Đồng thời, trước khi Client cho phép một Server bên ngoài được kết nối với nó, ví dụ trong trường hợp Server cần đẩy một vài nội dung nào đó tới Client, thì Server đó phải tự nhận thực tới ứng dụng Client. Ph ương pháp nh ận th ực đơn giản nhất và cũng kém an toàn nhất là một tổ hợp mật khẩu hay tên người dùng, các phương pháp tiện ích hơn là sử dụng chứng nh ận số hoặc chữ ký số. 2.2.2 Tính toàn vẹn dữ liệu Tính toàn vẹn dữ liệu là sự đảm bảo dữ liệu trong câu h ỏi không b ị biến đổi hoặc bị xuyên tạc theo một cách nào đó trong suốt quá trình truy ền dẫn từ người gửi tới người nhận. Điều này có thể thực hiện bằng cách mật mã hoá số liệu phối hợp với một tổng kiểm tra mật mã hoặc với mã nh ận thực bản tin (MAC – Message Authentication Code). Thông tin này được mã hoá vào chính bên trong bản tin đó bằng cách áp d ụng một thu ật toán đ ối v ới bản tin. Khi người nhận nhận được bản tin, họ sẽ tính toán MAC và so sánh với MAC được mã hoá trong bản tin để xem các mã này có gi ống nhau không. Nếu giống, người nhận có thể tin tưởng rằng bản tin đó không bị s ửa đổi. Còn nếu các mã này không giống nhau, người nhận có thể loại b ỏ bản tin này. 2.2.3 Tính bí mật Tính bí mật là một trong những mặt quan trọng nhất của an ninh và thường được đề cập đến nhiều nhất. Bí mật có nghĩa là duy trì tính riêng tư của số liệu, đảm bảo số liệu không bị người khác xem. Bình th ường, khi người dùng lo lắng về độ an toàn của một hệ thống, họ thường lo lắng về độ an toàn của các thông tin nhạy cảm như số thẻ tín dụng, giấy ghi sức khoẻ, những thông tin này có thể bị người khác có chủ tâm xấu xem tr ộm. Cách 17
  19. chung nhất để ngăn ngừa sự xâm phạm này là mật mã hoá số liệu. Việc xử lý này bao gồm mật mã hoá nội dung của bản tin thành một d ạng mà nh ững người khác không thể đọc được trừ người nhận đã được chỉ định. 2.2.4 Phân quyền Phân quyền là công việc xử lý định ra mức độ truy nhập c ủa ng ười sử dụng, rằng người đó được phép hay không được phép thực hi ện một hoạt động nào đó. Phân quyền thường luôn đi kèm với nhận thực. Khi một người dùng đã được nhận thực, hệ thống sẽ cân nhắc xem người đó được phép làm những gì. Danh sách điều khiển truy nhập (ACLs: Access Control Lists) thường được sử dụng để thực hiện điều này. Chẳng hạn, mọi người dùng chỉ có thể được phép truy nhập và đọc một tập số liệu trong khi nhà qu ản tr ị hoặc một số đối tượng đáng tin cậy nào đó có th ể được phép ghi trên s ố li ệu đó. 2.2.5 Tính không thể phủ nhận Tính không thể phủ nhận có nghĩa là khiến một số người ph ải ch ịu trách nhiệm đối với các phiên giao dịch mà họ đã tham dự. Nó bao gồm vi ệc nhận dạng ra những người này theo một cách nào đó mà họ không thể phủ nhận sự dính dáng của họ trong phiên giao dịch. Tính không th ể ph ủ nh ận có nghĩa là cả người gửi lẫn người nhận một bản tin đều có thể chứng minh được với một người thứ ba rằng người gửi thực sự là đã gửi bản tin và người nhận đã nhận được chính bản tin đó. Để thực hiện được điều này, mỗi một phiên giao dịch cần phải được đóng dấu bằng một chữ ký số mà chữ ký này có thể được một người dùng thứ ba thẩm tra và gán tem thời gian. 2.3 Các nguy cơ an ninh mạng Việc xây dựng một giải pháp an ninh sẽ là khó nếu như không có sự nhận biết nào về các mối nguy cơ an ninh mạng. Do vậy, sau khi xem xét những vấn đề cần thiết đối với một môi trường an ninh, ph ần này sẽ xem xét bốn nguy cơ an ninh mạng: Làm giả, thăm dò, làm sai lệch số liệu, và đánh cắp. Bất kể dữ liệu đang truyền hay không, bất kể môi trường truy ền là môi trường hữu tuyến hay vô tuyến đều cần phải đề phòng các mối nguy hiểm này. Chú ý: Để đơn giản hoá thuật ngữ, các truy nh ập vào dũ li ệu ho ặc các hệ thống thông qua kẽ hở an ninh sẽ coi như là truy nhập trái phép. 18
  20. 2.3.1 Giả mạo (Spoofing) Giả mạo là âm mưu của một người nào đó nhằm đạt được sự truy nhập trái phép tới một ứng dụng hoặc hệ thống bằng cách giả m ạo thành một người nào đó. Sau khi kẻ giả mạo truy nh ập vào đ ược, h ọ có th ể s ẽ t ạo các câu trả lời giả cho các bản tin để có thể thu thập nhiều thông tin h ơn và truy nhập tới các phần khác của hệ thống. Sự giả mạo là một vấn đề chính đối với an ninh Internet do đó cũng là vấn đề đối với an ninh mạng Internet không dây, bởi vì một kẻ giả mạo có thể làm cho các người dùng ứng dụng tin rắng họ đang thông tin với đối tượng đáng tin cậy ch ẳng h ạn nh ư ngân hàng của họ, nhưng sự thực họ lại đang thông tin với một tổ chức tấn công. Một cách vô tình, những người dùng lại thường xuyên cung cấp thêm thông tin hữu ích cho kẻ tán công có thể truy nhập tới các ph ần khác ho ặc ng ười dùng khác của hệ thống Thăm dò, sẽ được mô tả dưới đây, thường được sử dụng kết hợp với giả mạo nhằm lấy được đủ thông tin để có th ể truy nh ập t ới h ệ th ống. Cũng chính bởi lí do này, cần phải thực hiện cả nhận thực và mật mã hoá để chống lại sự giả mạo. 2.3.2 Thăm dò (Sniffing) Thăm dò là kỹ thuật được sử dụng để giám sát lưu lượng số liệu trên mạng. Ngoài mục đích sử dụng đúng dắn, thăn dò th ường được sử dụng k ết hợp với bản sao trái phép số liệu mạng. Thăm dò về bản chất là nghe trộm điện tử. Bằng cách nghe ngóng số liệu trên mạng, những người dùng trái phép có thể có được các thông tin nhạy cảm giúp họ có th ể tấn công mạnh hơn vào các người dùng ứng dụng, các hệ thống hãng, hoặc cả hai. Thăm dò rất nguy hiểm bởi việc thực hiện nó đơn giản lại khó bị phát hiện. Hơn nữa các công cụ thăm dò dễ kiếm lại dễ định hình. Th ực tế các phương pháp thăm dò Ethernet xuất hiện cùng với các phần mềm Microsolf Windown NT và Windown 2000, rất may là các phương pháp này dễ phát hiện. Để có thể chống lại các phương pháp thăm dò khác tinh vi h ơn thì m ật mã hoá sô liệu là công cụ bảo vệ tốt nhất, nếu một người dùng trái phép truy nhập được vào nguồn số liệu đã được mật mã hoá thì h ọ cũng không có cách nào giải mã được số liệu. Điều này đòi hỏi giao th ức m ật mã hoá đang đ ược sử dụng phải gần như không thể phá vỡ. Nhiều người dùng mạng WLAN đã phát hiện ra rằng mật mã hoá WEP (Wired Equivalent Privacy) th ường không đủ khả năng bảo vệ số liệu của họ. 19

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản