ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ ===  === ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: AN NINH TRONG MẠNG THÔNG TIN DI ĐỘNG THẾ HỆ THỨ 3 Sinh viên thực hiện: CAO THÀNH HIẾU Lớp 46K - Điện tử viễn thông Giảng viên hướng dẫn: ThS. NGUYỄN TRỌNG KHÁNH SV: Cao Thành Hiếu 1 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH Vinh, 5-2010 LỜI NÓI ĐẦU Hiện nay, công nghệ thông tin và viễn thông có sự phát triển vượt bậc với tốc độ vũ bão. Kèm theo đó là sự phá hoại các dữ liệu, thông tin người sử dụng của các hacker khiến cho nhiều người bị thiệt hại về kinh tế, uy tín bị ảnh hưởng nghiêm trọng. Nhiều công ty, doanh nghiệp đi đến phá sản. Vấn đề an ninh bảo mật trở nên quan trọng hơn bao giờ hết, và trở thành vấn đề cấp bách đối với các nhà khai thác - cung cấp dịch vụ di động. Với mong muốn tìm hiểu về vấn đề an ninh bảo mật và các cách thức chống sự phá hoại trong hệ thống thông tin di động hiện nay nên em đã chọn đề tài về “An ninh trong mạng thông tin di động thế hệ 3”. Nội dung đề tài gồm 5 chương: • Chương 1: Nhận thực trong môi trường liên mạng vô tuyến • Chương 2: Nhận thực và an ninh trong GSM/GPRS • Chương 3: Nhận thực và an ninh trong mạng thông tin di động thế hệ 3 • Chương 4: Nhận thực và an ninh trong IP di động (Mobile Internet Protocol) • Chương 5: Triển vọng tương lai và xu thế phát triển Do thời gian nghiên cứu ngắn, tài liệu tham khảo còn thiếu và trình độ kiến thức có hạn nên không tránh khỏi sai sót, kính mong các thầy cô cùng toàn thể các bạn đóng góp ý kiến để đồ án được hoàn chỉnh hơn. Em xin gửi lời cảm ơn chân thành sâu sắc tới thầy giáo - Thạc sỹ Nguyễn Trọng Khánh đã nhiệt tình giúp đỡ em hoàn thành đồ án này cùng toàn thể các thầy cô Trường Đại học Vinh nói chung và trong Khoa Công nghệ nói riêng đã giảng dạy và dìu dắt đào tạo em được như ngày hôm nay. Vinh, tháng 5 năm 2010 Sinh viên SV: Cao Thành Hiếu 2 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH Cao Thành Hiếu SV: Cao Thành Hiếu 3 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH MỤC LỤC LỜI NÓI ĐẦU MỤC LỤC DANH SÁCH HÌNH VẼ THUẬT NGỮ VIẾT TẮT CHƯƠNG 1: VAI TRÒ CỦA NHẬN THỰC TRONG MÔI TRƯỜNG LIÊN MẠNG VÔ TUYẾN 1 1.1. Vai trò của nhận thực trong kiến trúc an ninh 1 1.2. Vị trí của nhận thực trong các dịch vụ an ninh 3 1.3. Các khái niệm nền tảng trong nhận thực 4 1.3.1. Trung tâm nhận thực (Authentication Center) .4 1.3.2. Nhận thực thuê bao (Subscriber Authentication) . 4 1.3.3. Nhận thực tương hỗ (Mutual Authentication) 4 1.3.4. Giao thức yêu cầu/đáp ứng (Challenge/Response Protocol) 4 1.3.5. Tạo khoá phiên (Session Key Generation) . 5 1.4. Mật mã khoá riêng (Private-key) so với khoá công cộng (Public- key) 5 1.5. Những thách thức của môi trường liên mạng vô tuyến . 6 1.5.1. Vùng trở ngại 1: Các đoạn nối mạng vô tuyến . 7 1.5.2. Vùng trở ngại 2: Tính di động của người sử dụng . 8 1.6. Thuật toán khóa công cộng “Light-Weight” cho mạng vô tuyến . 10 1.6.1. Thuật toán MSR . 10 1.6.2. Mật mã đường cong elíp (ECC: Elliptic Curve Cryptography) . 10 1.7. Mật mã khóa công cộng gặp phải vấn đề khó khăn 11 1.7.1. Các phần tử dữ liệu trong giao thức MSN cải tiến . 12 1.7.2. Giao MSR+DH . 14 1.8. Thuật toán Beller, Chang và Yacobi được duyệt lại 14 1.9. Một phương pháp khoá công cộng hỗ trợ nhiều thuật toán mật mã 16 1.9.1. Các phần tử dữ liệu trong giao thức Aziz-Diffie 16 SV: Cao Thành Hiếu 4 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH 1.9.2. Hoạt động của giao thức Aziz-Diffie . 17 1.10. Tổng kết mật mã khoá công cộng trong mạng vô tuyến . 19 CHƯƠNG 2: AN NINH TRONG GSM/GPRS 20 2.1. Giới thiệu 20 2.2. Cấu trúc hệ thống GSM 22 2.2.1. MS 22 2.2.2. Mạng cố định 22 2.2.3. SIM .22 2.2.4. Các đặc điểm nhận diện .23 2.3. Cấu trúc hệ thống GPRS .24 2.4. Các chức năng an ninh GSM và GPRS .26 2.4.1. Tính bảo mật Nhận diện thuê bao 26 2.4.2. Xác thực Nhận diện thuê bao .28 2.4.2.1. Xác nhận GSM .28 2.4.2.2. Xác nhận GPRS 30 2.4.3. Tính bảo mật của yếu tố thông tin dữ liệu người sử dụng không kết nối và thông tin người sử dụng trên các kết nối .31 2.4.3.1. Tính bảo mật GSM .31 2.4.3.2. Tính bảo mật GPRS 32 2.5. Kết luận chương 2 32 CHƯƠNG 3: AN NINH TRONG MẠNG THÔNG TIN DI ĐỘNG THẾ HỆ 3 .33 3.1. Giới thiệu thông tin di động thế hệ 3 .33 3.2. Nguyên lý của an ninh thông tin di động thế hệ 3 33 3.2.1. Nguyên lý cơ bản của an ninh mạng thông tin di động thế hệ 3 33 3.2.2. Ưu điểm và nhược điểm của GSM từ quan điểm mạng thông tin di động thế hệ 3 . 34 3.2.3. Các lĩnh vực tăng cường an ninh cho mạng thông tin di động thế hệ 3.36 3.3. Các lĩnh vực an ninh của mạng thông tin di động thế hệ 3 . 37 3.3.1. An ninh truy nhập mạng (Network Access Security) . 37 3.3.2. An ninh miền mạng (Network Domain Security) 37 SV: Cao Thành Hiếu 5 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH 3.3.3. An ninh miền người sử dụng (User Domain Security) . 38 3.3.4. An ninh miền ứng dụng (Application Domain Security) . 38 3.3.5. Tính cấu hình và tính rõ ràng của an ninh (Visibility and Configurability) 39 3.4. Nhận thực thuê bao mạng thông tin di động thế hệ 3 trong pha nghiên cứu . 40 3.4.1. Mô tả giao thức khoá công cộng của Siemens cho mạng thông tin di động thế hệ 3 41 3.4.2. Các điều kiện tiên quyết để thực hiện giao thức Siemens 42 3.4.3. Hoạt động của Sub-protocol C của Siemens 42 3.4.4. Đánh giá giao thức nhận thực Siemens 45 3.5. Nhận thực thuê bao trong việc thực hiện mạng thông tin di động thế hệ 3 46 3.6. Tổng kết về nhận thực trong mạng thông tin di động thế hệ 3 49 CHƯƠNG 4: AN NINH TRONG IP DI ĐỘNG (Mobile IP) 50 4.1. Tổng quan về Mobile IP 50 4.1.1. Các thành phần logic của Mobile IP . 50 4.1.2. Mobile IP - Nguy cơ về an ninh . 52 4.2. Các phần tử nền tảng môi trường nhận thực và an ninh của Mobile IP . 53 4.2.1. An ninh IPSec . 53 4.2.2. Sự cung cấp các khoá đăng ký dưới Mobile IP 54 4.3. Giao thức đăng ký Mobile IP cơ sở 55 4.3.1. Các phần tử dữ liệu và thuật toán trong giao thức đăng ký Mobile IP . 55 4.3.2. Hoạt động của Giao thức đăng ký Mobile IP . 57 4.4. Mối quan tâm về an ninh trong Mobile Host - Truyền thông Mobile Host . 59 4.5. Phương pháp LAI cho nhận thực theo giao thức Mobile IP 61 4.5.1. Các phần tử dữ liệu trong Giao thức nhận thực Sufatrio/Lam . 61 4.5.2. Hoạt động của giao thức nhận thực Sufatrio/Lam 62 4.6. Hệ thống MoIPS: Mobile IP với một cơ sở hạ tầng khoá công cộng đầy đủ 64 SV: Cao Thành Hiếu 6 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH 4.6.1. Tổng quan về hệ thống MoIPS . 65 4.6.2. Các đặc tính chính của kiến trúc an ninh MoIPS . 67 4.7. Tổng kết an ninh và nhận thực cho Mobile IP . 70 CHƯƠNG 5: TRIỂN VỌNG TƯƠNG LAI VÀ XU THẾ PHÁT TRIỂN 72 5.1. Các vấn đề triển khai .72 5.1.1. Phương thức trong suốt 72 5.1.2. Phương thức không trong suốt .75 5.1.3. VPN công ty trong phương thức trong suốt .79 5.2. Khái quát về hoạt động của VPN toàn trình 80 5.2.1. Các khía cạnh kinh doanh 81 5.2.2. Lập quan hệ đối tác 81 5.2.3. Các mô hình tính cước .82 5.3. Tiến tới tương lai 83 5.4. Tóm lại 85 KẾT LUẬN 86 TÀI LIỆU THAM KHẢO . 88 SV: Cao Thành Hiếu 7 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH DANH SÁCH CÁC HÌNH VẼ Hình 1.1: Biểu đồ minh hoạ hoạt động của thuật toán IMSR .14 Hình 1.2: Sơ đồ minh hoạ chuỗi trao đổi bản tin trong giao thức Aziz-Diffie19 Hình 2.1: Cấu trúc hệ thống GSM .21 Hình 2.2: Các thành phần của mạng GPRS .25 Hình 2.3: Cập nhật vùng trong một MSC mới, trong cùng vùng VLR .28 Hình 2. 4: Thủ tục xác thực nói chung .29 Hình 2.5: Quá trình xác nhận GPRS .30 Hình 3.1: Sơ đồ minh hoạ nơi năm miền an ninh mạng thông tin di động thế hệ 3 định trú trong các mối quan hệ giữa các thành phần của toàn bộ môi trường mạng mạng thông tin di động thế hệ 3. .40 Hình 3.2: Sơ đồ minh hoạ sự trao đổi các bản tin trong giao thức nhận thực của Siemens cho mạng thông tin di động thế hệ 3, Sub-protocol C45 Hình 3.3: Luồng các bản tin trong giao thức tạo khoá phiên và nhận thực mạng thông tin di động thế hệ 3 cơ sở 47 Hình 3.4: Tạo chuỗi Véctơ nhận thực mạng thông tin di động thế hệ 3 và Thẻ nhận thực (AUTN) trong Trung tâm nhận thực .48 Hình 4.1: Sơ đồ minh hoạ các thành phần then chốt của kiến trúc Mobile IP 52 Hình 4.2: Sơ đồ phác thảo sự trao đổi các bản tin trong Giao thức đăng ký Mobile IP .58 Hình 4.3: Sơ đồ minh hoạ hoạt động của giao thức Sufatrio/Lam cho nhận thực trong môi trường Mobile IP 65 Hình 4.4: Sơ đồ khối của nguyên mẫu môi trường MoIPS .70 Hình 5.1: Triển khai một GPRS trong suốt .74 Hình 5.2: GPRS không trong suốt .76 Hình 5.3: Truy nhập GPRS không trong suốt với L2Tz được bảo vệ theo Ipsec .77 Hình 5.4: Truy nhập VPN công ty GPRS trong suốt .80 SV: Cao Thành Hiếu 8 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH THUẬT NGỮ VIẾT TẮT 3GPP 3 rd Generation Partnership Project Đề án đối tác thế hệ ba AH Authentication Header Mào đầu nhận thực AMF Authentication and Key Management Field Trường quản lý khoá và nhận thực AuC Authentication Center Trung tâm nhận thực AUTN Authentication Token Thẻ nhận thực AV Authentication Vector Véc tơ nhận thực CA Certification Authority Chính quyền chứng nhận CAPI Cryptographic Application Program Interface Giao diện chương trình ứng dụng CCITT Consultative Committee for International Telephony and Telegraphy Uỷ ban tư vấn về điện báo và điện thoại quốc tê CH Corresponding Host Máy đối tác COA Care of Address Chăm sóc địa chỉ CRL Certificate Revocation List Danh sách thu hồi chứng nhận CS Certificate Server Server chứng nhận DARPA Defense Advanced Research Projects Agency Cơ quan các dự án nghiên cứu tiên tiến quốc phòng DES Data Encryption Standard Chuẩn mật mã dữ liệu DH Diffie-Hellman DNS Domain Name System Hệ thống tên miền DSP Digital Signal Processor Bộ xử lý tín hiệu số EA External Agent Tác nhân ngoài ECC Elliptic Curve Cryptographic Mật mã đường cong Elíp ECDSA Elliptic Curve Digital Signature Algorithm Thuật toán chữ ký số đường cong Elíp EC-EKE Elliptic Curve-Encrypted Key Exchange Trao đổi khoá mật mã đường cong Elíp ESP Encapsulating Security Protocol Giao thức an ninh đóng gói FA Foreign Agent Tác nhân khách GSM Global Systems for Mobile Hệ thống thông tin di động toàn SV: Cao Thành Hiếu 9 Lớp 46K - ĐTVT ĐỒ ÁN TỐT NGHIỆP TRƯỜNG ĐẠI HỌC VINH Communications cầu HA Home Agent Tác nhân nhà IDEA International Data Encryption Algorithm Thuật toán mật mã số liệu quốc tế IEEE Institute of Electrical and Electronic Engineers Viện kỹ thuật điện và điện tử IMEI International Mobile Equipment Identifier Bộ nhận dạng thiết bị di động quốc tế IMSR Improved Modular Square Root Modul căn bậc 2 cải tiến IMT-2000 International Mobile Telecomunications- 2000 Viễn thông di động thế giới- 2000 IMUI International Mobile User Identifier Bộ nhận dạng người sử dụng di động thế giới IPSec Internet Protocol Security An ninh giao thực Internet ISAKMP Internet Security Association and Key Management Protocol Giao thức quản lý khoá và liên kết an ninh Internet ITU International Telecommunications Union Liên minh viễn thông quốc tế KDC Key Distribution Center Trung tâm phân phối khoá LAN Local Area Network Mạng nội bộ MAC Message Authentication Code Mã nhận thực bản tin MH Mobile Host Máy di động MoIPS Mobile IP Security An ninh an ninh di động MSR Modular Square Root Modul căn bậc hai PDA Personal Digital Assistant Trợ giúp số cá nhân PKI Public-Key Infrastructure Cơ sở hạ tầng khoá công cộng RAND Random number Số ngẫu nhiên RCE Radio Control Equipment Thiết bị điều khiển vô tuyến RFC Request For Comments Yêu cầu phê bình RPC Remote Procedure Call Cuộc gọi thủ tục xa SN Serving Node Node phục vụ SNBS Serving Network Base Station Trạm gốc mạng phục vụ SPD Security Policy Database Cơ sở dữ liệu chính sách an ninh SPI Security Parameters Index Chỉ mục các tham số an ninh SV: Cao Thành Hiếu 10 Lớp 46K - ĐTVT . . 34 3. 2 .3. Các lĩnh vực tăng cường an ninh cho mạng thông tin di động thế hệ 3. 36 3. 3. Các lĩnh vực an ninh của mạng thông tin di động thế hệ 3 3. . .33 3. 2. Nguyên lý của an ninh thông tin di động thế hệ 3. .33 3. 2.1. Nguyên lý cơ bản của an ninh mạng thông tin di động thế hệ