Đang tải... (xem toàn văn)
AN NINH TRONG THÔNG TIN DI ĐỘNG MẠNG THẾ HỆ MỚI LTE VÀ WiMAX Nội dung đề tài An ninh trong thông tin di động mạng thế hệ mới LTE và WiMAX được trình bày trong 3 chương như sau: Chương 1: Tổng quát về an ninh trong các hệ thống thông tin . Chương 2: An ninh trong mạng LTE. Chương 3: An ninh trong mạng WiMAX
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG PHẠM VĂN CHIẾN AN NINH TRONG THÔNG TIN DI ĐỘNG MẠNG THẾ HỆ MỚI LTE VÀ WiMAX CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG MÃ SỐ: 60.52.02.08 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2014 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. NGUYỄN PHẠM ANH DŨNG Phản biện 1: Phản biện 2: Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 2 MỞ ĐẦU Thông tin di động ngày nay đã trở thành một nghành công nghiệp phát triển vô cùng mạnh mẽ .Các thế hệ của mạng di động không ngừng phát triển nhằm cung cấp cho người sửa dụng các dịch vụ thoại, truyền số liệu và đặc biệt là các dịch vụ băng rộng ở mọi lúc mọi nơi. Khi thuê bao di động thực hiện các dịch vụ băng rộng vấn đề mất an toàn thông tin cần được quan tâm, thông qua các cơ chế xác thực, mã khóa để đảm bảo cho người dùng là vấn đề cấp thiết phải thực hiện, việc sửa dụng ngày càng nhiều các giao diện và các giao thức mới tạo cơ hội cho việc sửa dụng mạng với mục đích xấu. Các tấn công này có thể làm mất khả năng hoạt động của mạng, làm mất tính toàn vẹn cũng như tính bảo mật của các dịch vụ mạng. Cần phải có các biện pháp an ninh để bảo vệ mạng viễn thông khỏi các tất công này Các nhà cung cấp dịch vụ di động băng rộng đang phải đối mặt với các rủi do của mạng công cộng như các tất công an ninh, các đe dọa virus, các yếu điểm phần mềm. Các nguy hiểm này có thể ảnh hưởng đến hạ tầng, cung cấp dịch vụ của các nhà cung cấp dịch vụ và trải nghiệm của khách hàng. Cần phải có các biện pháp an ninh hữu hiệu để giảm thiểu các hủy hoại dịch vụ, tránh thất thoát lợi nhuận và duy trì mức độ thỏa mãn cao của khách hàng . Ngày nay các nhà nghiên cứu phát triển các hệ thống thông tin di động nói riêng cũng như các hệ thống viễn thông nói chung đã đưa ra nhiều công nghệ an ninh để có thể tạo ra các giải pháp di động với an ninh đầu cuối đầu cuối. Các công nghệ an ninh này phải được đưa vào ứng dụng của ta ngay từ giai đoạn thiết kế ban đầu cho đến khi triển khai cuối cùng Nội dung đề tài "An ninh trong thông tin di động mạng thế hệ mới LTE và WiMAX" được trình bày trong 3 chương như sau: - Chương 1: Tổng quát về an ninh trong các hệ thống thông tin . - Chương 2: An ninh trong mạng LTE. - Chương 3: An ninh trong mạng WiMAX 3 Chương 1 TỔNG QUÁT VỀ AN NINH TRONG HỆ THỐNG THÔNG TIN DI ĐỘNG 1.1. Tạo lập môi trường an ninh Để đảm bảo an ninh đầu cuối đầu cuối ta cần xét toàn bộ môi trường an ninh bao gồm toàn bộ môi trường truyền thông: truy nhập mạng, các phần từ trung gian các ứng dụng Client. An ninh đầu cuối đầu cuối có nghĩa rằng truyền dẫn số liệu an ninh trên toàn bộ đường truyền từ đầu phát đến đầu thu (thường là các máy đầu cuối hay các Client đến các server). Trong phần này ta sẽ xét năm mục tiêu quan trọng liên quan đến việc tạo lập môi trường an ninh. 1.1.1. Nhận thực Phải có cơ chế để đảm bảo rằng người sử dụng hay thiết bị là hợp lệ. Ngoài ra người sử dụng thiết bị cũng phải có khả năng kiểm tra tính xác thực của mạng mà nó nói đến 1.1.2. Toàn vẹn số liệu Toàn vẹn số liệu là sự đảm bảo rằng số liệu truyền không bị thay đổi hay bị phá hoại trong quá trình truyền dẫn từ nơi phát đến nơi thu 1.1.3. Bảo mật Bảo mật là một nét rất quan trọng của an ninh và vì thế thường được nói đến nhiều nhất 4 1.1.4. Trao quyền Trao quyền là cơ chế để kiểm tra rằng người sử dụng được quyền truy nhập một dịch vụ cụ thể và quyết định mức độ truy nhập của người sử dụng 1.1.5. Cấm từ chối (Non-Repudiation) Cấm từ chối là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch mà chúng đã tham gia không được từ chối tham gia giao dịch 1.1.6. Chống phát lại Không cho phép kẻ phát hoại chẳng bản tin phát từ A đến B và phát lại bản tin này nhiều lần làm quá tải B dẫn đến B từ chối dịch vụ (DoS: Deny of Service). An ninh thường được xử lý tại nhiều lớp, mặc dù trong nhiều trường hợp có thể có các cơ chế thừa. Mỗi lớp xử lý các khía cạnh khác nhau của an ninh. Nguyên tắc chung của an ninh là nên có nhiều cơ chế an ninh để bảo vệ sao cho không bị mất an ninh khi một cơ chế bị phá vỡ 5 Bảng 1.1. Thí dụ về cơ chế an ninh tại các lớp khác nhau của ngăn xếp IP Lớp Cơ chế an ninh Chú thích Liên kết Mật mã hoá, nhận thực thiết bị, nhận thực cảng truy nhập Thông thương được thực hiện trên liên kết vô tuyến Mạng. Tưởng lửa, IPSec, hạ tâng Bảo vệ mạng và thông tin đi qua nó Truyền tải An ninh lớp truyền tải Đảm bảo an ninh lớp truyền tải bằng cách sử dụng kiến trúc chứng nhận Ứng dụng Các chữ ký điện tử, các giao dịch điện tử an ninh ,quản lý quyền lợi số Có thể đảm bảo cả bảo mật và nhận thực, chủ yếu dựa trên hạ tầng khóa công cộng Trong các đường truyền hữu tuyến, thông thường mật mã hóa lớp liên kết không được sử dụng. Trong các trường hợp này, bảo mật được đảm bảo bởi các cơ chế an ninh đầu cuối 6 đầu cuối được sử dụng tại các lớp cao hơn. Tại lớp mạng, có một số phương pháp đảm bảo an ninh. Chẳng hạn IPSec có thể được sử dụng để đảm bảo nhận thực và các dịch vụ mật mã hoá. Bản thân mạng được bảo vệ khỏi các tấn công của kẻ xấu thông qua việc sử dụng các tường lửa. Các dịch vụ nhận thực và trao quyền thường được sử dụng thông qua các giao thức AAA, như các giao thức RADIUS (Remote Access Dial in User Service: dịch vụ người sử dụng quay số từ xa) và Diameter. Tại lớp truyền tải, TLS (dịch vụ trước đây được gọi là SSL: Secure Sockets Layer: lớp các ổ cắm an ninh), có thể được sử dụng để bổ sung cho an ninh cho các giao thức truyền tải và các gói. Tại lớp ứng dụng, các chữ ký số, các chứng nhận và quản lý quyền lợi số có thể được sử dụng phụ thuộc vào mức độ nhậy cảm của ứng dụng. 1.2.Các đe dọa an ninh 1.2.1. Đóng giả Đóng giả là ý định của kẻ tìm cách truy nhập trái phép vào một ứng dụng hay một hệ thống bằng cách đóng giả người khác 1.2.2. Giám sát Giám sát là kỹ thuật sử dụng để giám sát dòng số liệu trên mạng. Trong khi giám sát có thể được sử dụng cho các mục đích đúng đắn, thì nó lại thường được sử dụng để copy trái phép số liệu mạng. 1.2.3. Làm giả 7 Làm glà số liệu hay còn gọi là để dọa tính toàn vẹn liên quan đến việc thay đổi số liệu so với dạng ban đầu với dụng ý xấu 1.2.4. Ăn cắp Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin di động. Ta không chỉ bị mất thiết bị mà còn cả các thông tia bí mật lun trong nó. Điều này đặc biệt nghiêm trọng đối với các ứng dụng Client thông minh vì chúng thường chứa số liệu không đổi và bí mật 1.3. Các giao thức hàng đầu 1.3.1. Lớp các ổ cắm an ninh,SSL SSL (Secure Sockets Layer: lớp các ổ cắm an ninh) là giao thức an ninh hàng đầu được sử dụng trên internet hiện nay. Nó được phát triển Netscape để cung cấp các phiên internet riêng và an ninh, thường ở trên HTTP, mặc dù nó cũng có thể sử dụng trên FTP hay các giao thức liên quan khác 1.3.2. An ninh lớp truyền tải, TLS Gần đây SSL được thay thế bởi TLS (Transport Layer Security: an ninh lớp truyền tải) được định nghĩa bởi [RPC2246] như là tiêu chuẩn an ninh lớp ứng dụng/phiên. 1.3.3. An ninh lớp truyền tải vô tuyến, WTLS WTLS là lớp an ninh được định nghĩa cho tiêu chuẩn WAP. Nó hoạt động trên lớp truyền tồi vì thế phù hợp cho các giao thức cơ sở vô tuyến khác nhau. 1.3.4. An ninh IP, IPSec IPSec (IP Security) khác với các giao thức khác ở chỗ nó không tác động lên lớp ứng dụng 8 1.4. An ninh giao thức vô tuyến, wap 1.4.1. An ninh mức truyền tải , TLS An ninh mức truyền tải (còn được gọi là an ninh kênh) để xử lý thông tin điểm đến điểm giữa một Client vô tuyến và nguồn số liệu doanh nghiệp 1.4.2. Lỗ hổng WAP Tuy WTLS cải thiện TLS trong môi trường vô tuyến, nhưng nó lại gây ra một vấn đề chính: bây giờ cần cả hai giao thực TLS và WTLS trong kiến trúc WAP 1.4.3. WAP2.X WAP 2.0 có rất nhiều tính năng mới, nhưng quan trọng nhất là việc chuyển dịch đến các giao thức Internet tiêu chuẩn. 1.5. Mô hình an ninh tổng quát của một hệ thống thông tin di động Kiến trúc an ninh bao gồm năm môđun sau: An ninh truy nhập mạng (NAS: Network Access Security): Tập các tính năng an ninh để đảm bảo các người sử dụng truy nhập an ninh đến các dịch vụ do hệ thống thông tin di động cung cấp, đặc biệt là bảo vệ chống lại các tấn công trên các đường truy nhập vô tuyến. An ninh miền mạng (NDS: Network Domain Security): Tập các tính năng an ninh để đảm bảo an ninh cho các nút mạng trong miền nhà cung cấp dịch vụ trao đổi báo hiệu và đảm bảo chống lại các tấn công trên mạng hữu tuyến. An ninh miền người sử dụng (UDS: User Domain Security): Tập các tính năng an ninh để đảm bảo truy nhập an ninh đến MS. 9 An ninh miền ứng dụng (ADS: Application Domain Security): Tập các tính năng an ninh để đảm bảo các ứng dụng trong miền người sử dụng và miền nhà cung cấp dịch vụ trao đổi an ninh các bản tin Khả năng nhìn được và lập cấu hình an ninh. Tập các tính năng cho phép người sử dụng tự thông báo về việc một tính năng an ninh có làm việc hay không và việc sử dụng hoặc cung cấp các dịch vụ có phụ thuộc vào tính năng an ninh hay không. [...]... hệ thống thông tin, như các đe dọa an ninh các phần tử chính tham gia vào việc tạo lập môi trường an ninh , các công nghệ an ninh hàng đầu và đưa ra mô hình an ninh cho mạng thông tin di động Trong luận văn đã tập trung giới thiệu về an ninh trong mạng di động LTE và WiMAX , giới thiệu về các đặc điểm an ninh giữa 2 mạng LTE và WiMAX , giúp ta phân biệt được điểm khác biệt về an ninh giữa 2 mạng, tuy... Chương 2 AN NINH TRONG MẠNG LTE 2.1 Kiến trúc hệ thống LTE/ SAE và IMS Hình 2.1 Kiến trúc hệ thống cho mạng LTE/ SAE chỉ cho EUTRAN của LTE 2.2 An ninh của người sửa dụng trong EPS 2.2.1 Các yêu cầu về an ninh đối với các phần tử và các giao di n trong EPS 11 Các yêu cầu an ninh đối với các phần tử và các giao di n trong EPS - An ninh giữa người sử dụng và mạng Để bảo vệ các trao đổi giữa mạng và UE trên... bản chất về an ninh của 2 mạng trên cũng dựa vào các công nghệ an ninh 20 cơ bản để tạo lên, ngoài ra cho ta thấy các tính năng an ninh mới của 2 mạng để đảm bảo mức độ an ninh ngày càng tốt hơn Hướng nghiên cứu tiếp theo về an ninh trong mạng di động LTE và WiMAX : - Cập nhật nghiên cứu các tiêu chuẩn, các công nghệ mới về an ninh trong mạng LTE và WiMAX - Nghiên cứu một số giải pháp mới nhằm cập... thống thông tin di động , với các yêu cầu của thị trường đã thúc đẩy việc nghiên cứu phát triển các hệ thống thông tin di động băng rộng có tốc độ cao hơn để đáp ứng cho các ứng dụng và các dịch vụ mới Trong các hệ thống thông tin di động LTE và WiMAX thì các tính năng an ninh mới đã được cung cấp để đảm bảo mức độ an ninh được tốt hơn Luận văn đã giới thiệu một cách tổng quát về an ninh trong các hệ. .. trên giao di n vô tuyến - An ninh miền mạng Để bảo vệ các giao di n giữa các nút mạng trong EPS và IMS 2.2.2 Các chức năng an ninh trong mạng EPS 2.2.2.1 Các chức năng an ninh và các mức giao thức 2.2.2.2 Các chức năng an ninh và các phần tử mạng EPS 2.2.3 Quản lý khóa an ninh 2.2.3.1 Tạo các khóa an ninh từ một khóa chung 2.2.3.2 Phân cấp khóa EPS 2.2.3.3 Các giải thuật và toàn vẹn của E-UTRAN 2.3 Các... cuối di động Thủ tục này hoàn toàn trong suốt đối với cả MS (chỉ sử dụng DHCP) lẫn HA (chỉ nhận và xử lý các MIP RRQ và RRP thông thường) 19 KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO Với các nội dung nghiên cứu dự kiến thu được trong luận văn sẽ đóng góp vào cơ sở lý luận trong việc nâng cao về vấn đề an ninh trong mạng di động thế hệ mới LTE và WiMAX Luận văn tiếp cận với xu thế phát triển của hệ thống... thực tương hỗ giữa UE và S-CSCF - IMS SA (Security Association: liên kết an ninh) : để đảm bảo bảo vệ an ninh cho báo hiệu SIP giữa UE và P-CSCF 2.5.3 Thủ tục IMS AKA 2.6 Tăng cường an ninh trong mạng LTE Cơ chế bảo mật và bảo vệ toàn vẹn cho RRC và người dùng dữ liệu được cung cấp giữa UE và e-NB trong Access Stratum 14 Chương 3 AN NINH TRONG MẠNG WiMAX 3.1 Mô hình tham chuẩn mạng WiMAX (NRM) Hình 3.1... 3G UMTS 2.4 An ninh miền mạng 2.4.1 Tổng quát An ninh miền mạng cho IP (NDS/IP: Network Domain Service/IP) nhằm bảo vệ số liệu của người sử dụng và báo hiệu 12 trên các giao di n giữa các nút mạng trong EPC hoặc trong EUTRAN SEG (Security Gateway: cổng an ninh) được đặt tại biên giới một miền an ninh và có nhiệm vụ tập trung tất cả lưu lượng vào và ra miền mạng NE (Network Entity: thực thể mạng) có thể... NodeB và RNC - Vùng phù cần mở rộng liên tục - Chia sẻ hạ tầng 2.4.4 An ninh nút chuyển tiếp Hình 2.14 An ninh nút chuyển tiếp 2.5 An ninh của người sửa dụng LTE trong IMS 2.5.1 Mô hình an ninh IMS (SIP) 13 Hình 2.15 Mô hình an ninh IMS (SIP) Tổng quát 2.5.2 Thủ tục an ninh khi UE truy nhập IMS Miền IMS áp dụng hai kiểu thủ tục an ninh: - IMS AKA (Authentication and Key Agreement: nhận thực và thỏa... nút mạng bất kỳ thuộc E-UTRAN, EPC và IMS như eNodeB, MME, S-CSCF 2.4.2 ESP ((Encapsuling Security Payload: Tải tin an ninh bằng cách đóng bao) ESP là một cơ chế an ninh hoàn thiện đảm bảo ba mức bảo vệ và xử lý một tập giao thức an ninh cho mỗi mức 2.4.3 An ninh đường trục eNodeB Đường trục nối đến eNode đòi hỏi an ninh cao hơn vì: Vai trò của eNodeB trong LTE mạnh hơn so với NodeB trong 3G UMTS: LTE . mới LTE và WiMAX& quot; được trình bày trong 3 chương như sau: - Chương 1: Tổng quát về an ninh trong các hệ thống thông tin . - Chương 2: An ninh trong mạng LTE. - Chương 3: An ninh trong mạng. trong luận văn sẽ đóng góp vào cơ sở lý luận trong việc nâng cao về vấn đề an ninh trong mạng di động thế hệ mới LTE và WiMAX . Luận văn tiếp cận với xu thế phát triển của hệ thống thông tin. ninh cho mạng thông tin di động Trong luận văn đã tập trung giới thiệu về an ninh trong mạng di động LTE và WiMAX , giới thiệu về các đặc điểm an ninh giữa 2 mạng LTE và WiMAX , giúp ta phân