Họ tên sv Đinh Xuân Hiệp Võ Quốc Phiệt Phạm Hồng Vũ Họ tên sv Mã sv 406360045 406360056 406360075 Lóp Ngày tháng năm sinh 22/10/1980 Đ06VTH2 04/12/1971 Đ06VTH2 17/12/1978 Đ06VTH2 Ghi Đinh Xuân Hiệp Lóp NộiVIỄN THÔNG dung Ngày tháng Nhận xét CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Mã svVIỆN CÔNG HỌC NGHỆ HỌC Bưu CHÍNH VIỆN CÔNG NGHỆ Bưu CHÍNH VIỄN THÔNG sinhPHỐ HÔ CHÍ MINH thực chung Độc lập - Tự - Hạnh phúc Cơ' SỞ TẠI năm THÀNH HỌC VIỆN CÔNG Bưu PHỐ CHÍNH VIÊN Cơ SỞNGHỆ THÀNH Hồ CHÍTHÔNG MINH 406360045 Đ06VTH2 22/10/1980 —0O0— Võ Quốc Phiệt 406360056 Phạm Hồng Vũ 406360075 Cơ SỞ THÀNH PHỐ Hồ CHÍ MINH KHOA VIỄN THÔNG 0O0 0O0 -NHIỆM VỤ THIẾT KẾ ĐỒ ÁN MÔN HỌC HỆ ĐẠI HỌC Đ06VTH2 17/12/1978 CÁC CHUYÊN ĐỀ VÔ TUYẾN Mã số môn học: KHOA VIỄN THÔNG Đ06VTH2 04/12/1971 Giảng viên môn chuyên đề vô tuyến giao nhiệm vụ thiết kế đồ án môn học cho nhóm sinh viên lóp: Đ06VTH2, hệ:Hoàn chỉnh đại học, ngành: Điện tử viễn thông, hình thức đào tạo: chức, danh sách sau: Đồ ÁN MÔN HỌC CÁC CHUYÊN ĐỀ VÔ TUYẾN Đồ ÁN MÔN HỌC CÁC CHUYÊN ĐỀ VÔ TUYẾN Tên đề tài: An ninhsố hệhọc thống: Thông Tin Di Động Mã môn Mã số môn học : Nội dung thực : HỆ : HOÀN CHỈNH ĐẠI HỌC, HỆ thông : HOÀN 2.1 Tổng quan an ninh tin CHỈNH di động ĐẠI HỌC, NGÀNH :ĐIỆN TỬ THÔNG VIẼN THÔNG NGÀNH : ĐIỆN TỬ 2.2 Công nghệ an ninh GSM VIẺN GPRS CHUYÊN ĐỀ SỐ :03 2.3 Công nghệ an ninh trongCHUYÊN 3G UMTSĐỀ SỐ: 03 2.4 Công nghệ an ninh MIB 2.5 Công nghệ an ninh cdma2000 2.6 An ninh chuyến mạng 2G sang 3G, trạng an ninh 2G Việt Nam giới 2.7 Các đề xuất tăng cường cho an ninh 2.8 An ninh WAP 2.9 An ninh lóp truyền tải vô tuyến (WTLS) Thòi gian thực hiện: Từ ngày: / / Đến ngày: ./ / AN NINH TRONG CÁC HỆ THốNG AN NINH TRONG CÁC HỆ THốNG THÔNG TIN DI ĐỘNG THÔNG TIN DI ĐỘNG Người hướng dẫn: Người hướng dẫn: Sinh viên thực Sinh viên hiện: thực TS Hồ Văn Cừu Khoa Viễn Thông TS HỒ Văn Cừu Đinh Xuân Hiệp Khoa Viễn Thông Võ Quốc Phiệt Đỉnh Xuân Hiệp Lóp : Đ06VTH2 Lóp: Đ06VTH2 Phạm Hồng Phiệt Vũ Võ Quốc Phạm Hồng Vũ Năm 2008 Năm 2008 Các chuyên đề vô tuyến III Qua thời gian học tập lớp Đ06VTH2 trường Học viện công nghệ hưu viên thông, chúng em học tiếp thu nhiều kiến thức từ bảo tận tình thầy, giúp đỡ hạn hè Đây khoảng thời gian đầy ý nghĩa Tiêu luận môn học tảng quan trọng hô trợ chúng em chuyên để tốt nghiệp trường sau Chúng em xin gửi lời cảm om chân thành đến thầy Hồ Văn Cừu, người định hướng cho chúng em nghiên cứu, tìm tòi phát trỉến chuyên để, cung cấp cho chúng em kinh nghiệm quý báu Chúng em xin chân thành cảm om! Sinh viên thực hiện: Đinh Xuân Hiệp Võ Quốc Phiệt Phạm Hồng Vũ Ngày tháng năm 2008 Giảng viên môn Các Các chuyên chuyên đề đề vô vô tuyến tuyến IV m CÁC THUẬT NGỮ VIẾT TẮT Access Accept Châp nhận truy nhập Application Programing Interíace Giao diện lập trình ứng dụng Border Gateway Protocol Giao thức cổng biên Base Station System Hệ thống trạm gốc CDMA Code Division Multiple Access Đa truy nhập phân chia theo mã Ciphering Key Khóa mật mã DSLAM DSL Access Multiplex Ghép kênh DSL Extranet Mạng truyền thông hãng GGSN Gateway GPRS Support Node Nút hỗ trợ GPRS cổng GSM Global System for Mobile TelecomHệ thống thông tin di động toàn cầu Home Agent Tác nhân nhà Home Location Register Bộ ghi địch vị thường trú Layer Two Forwarding Chuyến lớp L2TP L2 Tunneling Protocol Giao thức truyền Tunnel lớp Mobile IP IP di động MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thức Mobile Service Switched Centre Trung tâm chuyên mạch dịch vụ dđ MSC Access Security An Ninh Truy cập mạng NAS Netvvork Netvvork Domain Security An Ninh Miền Mạng NDS Push Access Protocol Giao thức truy nhập đẩy PAP Packet Control Unit Đơn vị điều khiển gói PCU Packet Data Serving Node Node phục vụ số liệu gói PDSN Point of Presence Điểm đại diện POP Push Proxy Gateway Cổng chia sẻ đẩy PPG Point-to-Point Protocol Giao thức điểm đến điểm ppp Remote Authentication Dial-in User ServiceDịch vụ nhận thực người dùng quay RADIUS số từ xa Radio Access Network Mạng truy nhập vô tuyến Remote Access Server Máy chủ truy nhập từ xa RAN Serving GPRS Support Node Nút hồ trợ GPRS phục vụ RAS Service Level Agreement Thoả thuận mức dịch vụ SGSN Đường hầm truyền xuyên đường hầm UMTS Terrestrial Radio Access Network-Mạng truy nhập VT mặt đất UMTS SLA Universal Mobil Telecommunication System Hệ thống thông tin di động tòan cầu Visistor Location Register Bộ ghi định vị tạm trú VLR Virtual Private Network Mạng riêng ảo VPN Wide Area Network Mạng diện rộng WAN Wireless Appication Protocol Giao thức ứng dụng vô tuyến Wireless LAN Mạng LAN vô tuyển WAP Giao thức lớp truyền tải vô tuyến WLAN open Mobile Alliance WTLS Các chuyên đề vô tuyến V AN NINH TRONG CÁC HỆ THỐNG THÔNG TIN DI ĐỘNG Chương Tổng quan an ninh thông tin di động 1.1 Tạo lập môi trường an ninh 1.2 Các đe dọa an ninh 1.3 Các công nghệ an ninh 1.4 Các biện pháp an ninh khác 1.5 An ninh giao thức vô tuyến 1.6 An ninh mức ứng dụng 1.7 An ninh Client thông minh 1.8 Mô hình an ninh tổng quát hệ thống thông tin di động 1.9 Tổng kết Chương Công nghệ an ninh GSM GPRS 2.1 Mở đầu 2.2 Công nghệ an ninh GSM 2.3 Công nghệ an ninh GPRS 13 2.4 Kết luận .15 Chương Công nghệ an ninh 3G UMTS 3.1 Kien trúc ƯMTS 17 3.2 Mô hình kiến trúc an ninh UMTS 20 3.3 Mô hình an ninh giao diện vô tuyến 3G UMTS .21 3.4 Nhận thực thỏa thuận khóa .23 3.5 Thủ tục đồng lại, AKA 24 3.6 Các hàm mật mã 25 3.7 Tổng kết thông số nhận thực 28 3.8 Sử dụng hàm Í9 đế tính toán mã toàn vẹn 29 3.9 Sử dụng hàm bảo mật f8 30 3.10 Thời hạn hiệu lực khóa .30 3.11 Giải thuật Kasumi .30 3.12 Các vấn đề an ninh cuả 3G .30 3.13 .Bàn luận 30 3.14 An ninh mạng .31 3.15 .An ninh mạng UMTS R5 .33 3.16 Tổng kết .34 Chương Công nghệ an ninh MIP 4.1 Tổng quan MIP 35 4.2 Các đe dọa an ninh Uong sơ đồ MIP 36 4.3 Môi trường an ninh MIP .36 4.4 Giao thức đăng ký MIP sở 38 4.5 An ninh thông tin MN đến MN 38 4.6 Phương pháp nhận thực lai ghép MIP 41 4.7 Hệ thống MoIPS: Hạ tầng MIP sử dụng hoàn toàn khóa công cộng 42 4.8 Kết luận .42 Chương Công nghệ an ninh cdma2000 5.1 Kiến trúc cdma2000 .44 5.2 Các dịch vụ số liệu gói cdma2000 .46 Các chuyên đề vô tuyến VI Chương An ninh chuyển mạng 2G sang 3G, trạng an ninh 2G Việt Nam giới 6.1 An ninh chuyến mạng 2G 3G 57 6.2 Tình trạng an ninh 2G Việt Nam giới 59 6.3 Các biện pháp cải thiện an ninh 62 6.4 Kết luận 63 Chương Các đề xuất tăng cường cho an ninh 7.1 Mở đầu 64 7.2 Các đề xuất tăng cường an ninh .cho GSM 64 7.3 Các đề xuất tăng cường an ninh .cho UMTS 66 Chương An ninh WAP 8.1 Mở đầu 66 8.2 Mô hình WAP 66 8.3 Kiến trúc an ninh WAP 66 Chương An ninh lóp truyền tải vô tuyến (WTLS) 9.1 Mở đầu 68 9.2 SSL TLS 68 Các chuyên đề vô tuyến NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN TP.HỒ Chí Minh, ngày tháng năm 2008 Các chuyên đề vô tuyến VIII An Ninh Trong Các Hệ Thống Thông Tin Di Động LỜI NÓI ĐẰU Từ đời nay, thông tin di động phát triển qua nhiều hệ, trở thành phần quan trọng hệ thống viễn thông quốc tế Sự hội tụ công nghệ viễn thông nâng cao tốc độ truyền dẫn thông tin Phát triển vượt bậc, tốc độ cao khả truy nhập lúc nơi thông tin di động đáp ứng nhu cầu trao đổi thông tin bảo mật thông tin khách hàng Việc ứng dụng bảo mật thông tin di động, đảm bảo thông tin liệu khách hệ thống thông tin di động” với nội dung sau: V V V V V V Chương Tổng quan an ninh thông tin di động Chương Công nghệ an ninh GSM GPRS Chương Công nghệ an ninh 3G UMTS Chương Công nghệ an ninh MIP Chương Công nghệ an ninh cdma2000 Chương An ninh chuyển mạng 2G sang 3G, trạng an ninh 2G Việt Nam giới V Chương Các đề xuất tăng cường cho an ninh V Chương An ninh WAP V Chương An ninh lớp truyền tải vô tuyến (WTLS) Hi vọng luận văn mang lại cho người đọc kiến thức An ninh hệ thống thông tin di động Tuy nhiên nội dung số hạn chế điều kiện không cho phép nên kính mong người đọc góp ý Học Viện Công Nghệ Bưu Chính Viễn Thông Ngày tháng năm 2008 SVTH: Đinh Xuân Hiệp Võ Quốc Phiệt Phạm Hồng Vũ Các chuyên đề vô tuyến An Ninh Trong Các Hệ Thống Thông Tin Di Động CHƯƠNG 1: TỔNG QUAN AN NINH THÔNG TIN DI ĐỘNG Đe đảm bảo truyền thông an ninh mạng thông tin di động phải đảm bảo an ninh sở sử dụng công nghệ an ninh, sau ta xét công nghệ an ninh hàng đầu biện pháp an ninh sử dụng cho giải pháp thông tin vô tuyến 1.1 Tạo lập môi trưòng an ninh: Đe đảm bảo an ninh đầu cuối ta cần xét toàn môi trường an ninh bao gồm môi trường truyền thông: truy cập mạng, phần tử trung gian ứng dụng máy khách (client) Trong phần ta xét mục tiêu quan trọng liên quan đến việc tạo lập môi trường an ninh a Nhận thực: trình kiểm tra họp lệ đối tượng tham gia thông tin Đối với mạng vô tuyến, trình thường thực hai lóp: lóp mạng lóp ứng dụng Mạng đòi hỏi người sử dụng phải nhận thực trước phép truy nhập mạng Điều tiềm ẩn dựa thiết bị hay modem sử dụng tường minh chế khác Tại lóp ứng dụng, nhận thực quan trọng hai mức: Client server Đe đạt truy nhập mạng, Client phải chứng tỏ với server tin họp lệ ngược lại trước Client cho phép server nối đến (chẳng hạn để xuống nội dung đó) server phải tự nhận thực với ứng dụng Client Cách nhận thực đơn giản an toàn kết họp tên người sử dụng mật Các phương pháp tiên tiến sử dụng chứng nhận số hay chữ ký điện tử b Toàn vẹn số liệu: đảm bảo số liệu truyền không bị thay đối hay bị phá hoại trình truyền dẫn từ nơi phát đến nơi thu Điều thực kiếm tra mật mã hay mã nhận thực tin (Message Authentication Code- MAC) Thông tin cài vào tin cách áp dụng giải thuật cho tin Đe kiểm tra xem chúng có giống hay không Neu giống phía thu an tâm tin không thay đổi Neu mã khác nhau, phía thu loại bỏ tin c Bảo mật: khía cạnh quan trọng an ninh thường nói đến nhiều Mục đích bảo mật để đảm bảo tính riêng tư số liệu chống lại nghe đọc trộm tù’ người không phép Thông thường người sử dụng thường lo lắng thông tin số tín phiếu hay hồ sơ y bạ bị xem trộm cá nhân có ý đồ xấu Cách phố biến để ngăn ngừa xâm phạm mật mã hóa số liệu Quá trình bao gồm mã hóa tin vào dạng đọc đổi với máy thu trừ máy thu chủ định d Trao quyền: trình định mức độ truy nhập người sử dụng: người sử dụng quyền thực số hành động Trao quyền thường thường liên hệ chặt chẽ với nhận thực Một người sử dụng nhận thực, hệ thống đế đọc tập số liệu, nhà quản trị nguồn tin cậy khác truy nhập vào để viết số liệu e Cấm từ chối: biện pháp buộc phía phải chịu trách nhiệm giao dịch mà chúng tham gia không từ chối Nó bao gồm nhận dạng bên cho bên sau từ chối việc tham gia giao dịch Thực chất, điều có nghĩa phía phát phía thu thu tin tương tự Đe thực trình này, giao dịch phải ký chữ ký điện tủ' phía thứ tin cậy kiểm tra đánh dấu thòi gian 1.2 Các đe dọa an ninh: Đe có giải pháp an ninh cần nhận biết đe dọa tiềm ấn: Có đe dọa an ninh tiềm ẩn: đóng giả, giám sát, làm giả, ăn trộm a Đóng giả: ý định kẻ tìm cách truy nhập trái phép vào hệ thống cách đóng giả người khác Neu truy nhập thành công, họ trả lời tin để đạt hiểu biết sâu truy nhập vào phận khác b Glám sát: kỳ thuật sử dụng đế giám sát dòng số liệu mạng Thực chất giám sát nghe trộm điện tử Bằng cách nghe số liệu mạng c Làm gỉa:tức làm thay đổi số liệu so với ban đầu Thường trình liên quan đến chặn truyền dẫn số liệu, xảy số liệu lưu server hay Client Số liệu bị thay đối sau truyền gốc Các chuyên đề vô tuyến An Ninh Trong Các Hệ Thống Thông Tin Di Động d Ăn cắp: Ản cắp thiết bị vấn đề thường xảy đối vói thông tin di động Điều đặc biệt nghiêm trọng ứng dụng Client thông minh chúng thường chứa số liệu không đổi bí mật ■ ■ ■ ■ ■ Khóa thiết bị tổ hợp tên người sử dụng/ mật để chống truy nhập dể dàng; Yêu cầu nhận thực truy nhập ; Không lưu mật thiết bị; Mật mã tất phương tiện lưu cố định; Áp dụng sách an ninh nhũung người sử dụng di động 1.3 Các công nghệ an ninh: a Công nghệ mật mã: Mục đích mật mã đảm bảo thông tin đổi tượng, bao gồm nhận thực, chữ ký điện tử, mật mã b Các giải thuật giao thức Công nghệ mật mã hoạt động nhiều mức Mức thấp giải thuật Các giải thuật trình bày bước cần thiết đế thực tính toán giao thức Giao thức mô tả trình họat động công nghệ mật mã cần có giao thức mạnh úng dụng bền vững đảm bảo giải pháp an ninh c Mật mã hóa số liệu: Lõi hệ thống mật mã mật mã hóa Mật mã cho phép ta đảm bảo tính riêng tư số liệu nhạy cảm Cách đế đọc sổ liệu mật mã chuyến đổi chúng dạng gốc, trình gọi giải mã d Các giải thuật đối xứng: Các giải thuật đối xứng sử dụng khóa để mật mã giải mã tất tin Đe giải thích mật mã hóa đối xứng ta xét trình mật mã: Cộng hai luồng số đế tạo luồng thứ 3, kiểu mật mã gọi đệm lần jomput«r [.uống số liệu 0100101 *l2sl ĩ Khóa 01011100 Luồng số liệu phát vào mạng Luồng số mật mã thu từ mạng * Luồng số liệu 0100101 Khỏa 01011100 Hình 1.1 Minh họa CO' chế CO’sở mật mã khóa riêng Phương pháp mật mã có số nhược điểm, độ dài khóa độ dài số liệu, hai phía dùng chung khóa; làm phát khóa đến phía thu cách an toàn e Các giải thuật không đối xứng: Các giải thuật không đối xúng giải vấn đề xảy hệ thống khóa đối xứng Sử dụng hai khóa: khóa công khai khóa riêng Khóa công khai sử dụng rộng rãi đưòng không an ninh, khóa riêng không truyền mạng cần sử dụng phía đối tác cần giải mã số liệu Hai khóa liên hệ với nhau: sổ nguyên tố hàm chiều Kỳ thuật dẫn đến không tính toán khóa riêng dựa khóa công khai Khóa dài khó phá vỡ hệ thống Các hệ thống khóa 64 bit DES bị công không suy nghỉ, nghĩa tìm tổ họp khóa đơn tìm khóa Các chuyên đề vô tuyến An Ninh Trong Các Hệ Thống Thông Tin Di Động Trong mật mã khóa công khai có hai khóa sử dụng Một khóa công khai khóa riêng đồng thời tạo lập giải thuật Người sử dụng giữ khóa riêng đưa khóa công khai cho người Khóa riêng không chia vói người khác truyền mạng Neu người sử dụng A muốn gởi số liệu bảo vệ đến người sử dụng B để mật mã hóa số liệu yên tâm có người sử dụng B đọc số liệu Cũng mật mã tin khóa riêng mật mã khóa công khai Tuy nhiên mật mã không đối xứng chưa phải giải pháp hoàn hảo Chọn khóa riêng chuyện dễ, chọn không cẩn thận dễ bị bẻ vỡ Ngoài mật mã không đối xứng cung cấp giải pháp cho vấn đề phân phối khóa cách sử dụng khóa công khai khóa riêng, chúng phức tạp dẫn đến tính toán chậm mật mã đối xứng Đối với tạp số liệu lớn, trở thành vấn đề Trong trường họp kết họp hệ thống đối xứng không đổi xứng giải pháp lý tưởng Sự kết họp cho ta un điểm hiệu cao giải thuật đổi xứng cách gởi khóa bí mật kênh thông tin sở sử dụng hệ thống khóa công khai Sau hai phía có khóa bí mật chung, trình truyền số liệu phiên sử dụng giải thuật khóa đối xứng đế mật mã giải mật mã Đây nguyên lý sở công nghệ mật mã khóa công khai sử dụng nhiều giao thức f Nhận thực: Nhận thực giải cách sử dụng mật mã hóa công khai trình bày Neu người sử dụng biết khóa công khai mà họ sử dụng thực chất thuộc người sử dụng Người sử dụng A Người sử dụng B _Mật mã (tên, số ngẫu nhiên A) _ băng khóa công khai B Mật mã (số ngẫu nhiên A, số ngẫu nhiên B, 1chóa chia phiên) bẳng khóa công khai B Mật mã (sổ riêng cho phiên ngẫu Giải mật mã khóa riêng B nhiên B) khóa Hình 1.2: Nhận thực khóa công khai Vì B trả lòi số ngẫu nhiên A, A tin tin nàỵ B phát người khác Vì A trả lời số ngẫu nhiên B nên B tin A nhận tin Những người khác không đọc tin họ tạo số ngẫu nhiên 1.4 Các biện pháp an ninh khác: a Tường lứa: mạng an ninh phổ biến sử dụng mạng tổ chức xí nghiệp, hãng Chúng thiết lập vành đai mạng công cộng mạng riêng Tường lửa tập họp phần mềm đặt server cổng riêng biệt để hạn chế truy nhập tài nguyên mạng riêng từ người sử dụng thuộc mạng khác Các chuyên đề vô tuyến An Ninh Trong Các Hệ Thống Thông Tin Di Động nhận thực bảo mật dẫn đến kẻ xâm phạm nghe số liệu người sử dụng Đe tránh nhược điểm UMTS nhận thực mạng từ phía người sử dụng đưa Bản tin AUTN gửi từ AuC đến USIM để nhận thực AuC Bằng cách này, VLR/SGSN thực AKA cho thấy HE người sử dụng tin tưởng Vì bảo vệ toàn vẹn tùy chọn, cho phép tránh BTS giả.Tất tin báo hiệu phải bảo vệ toàn vẹn không xãy chuyển giao đến mạng không phép thiếu IK 3.13.6 Các thao tác an ninh độc lập người sử dụng Các thao tác an ninh UMTS độc lập người sử dụng USIM SN tự động thực AKA sử dụng bảo vệ toàn vẹn, bảo mật Bảo vệ toàn vẹn thực cho tin báo hiệu UMTS (trà gọi khẩn), không sử dụng cho sổ liệu người sử dụng; bảo mật tùy chọn nên người sử dụng phải thông báo sử dụng hay không Đầu cuối phải cung cấp khả lập cấu hình cho người sử dụng dịch vụ cần cung cấp tùy theo dịch vụ an ninh tích cực với việc khang định điều hình 3.13.7 Toàn vẹn số liệu Toàn ven số liệu người sử dụng không cung cấp UMTS đe giảm tải xử lý UE RNC giảm phần bổ sung tin Tuy nhiên truyền thông không bảo vệ toàn vẹn, tin USIM RNC bị giả mạo Khi truyền tin có bảo vệ toàn vẹn, tin giả mạo bị từ chối phía thu giao thức lớp cao yêu cầu phát lại Như bảo vệ toàn vẹn sổ liệu UMTS thực giao thức lóp cao 3.13.8 Bảo mật người sử dụng Bảo mật người sử dụng đảm bảo UMTS cách sử dụng nhận dạng tạm thời Chỉ có VLR/SGSN biết quan hệ IMSI TMSI RNC nút B biết TMSI Các TMSI sử dụng đường truyền vô tuyến nối đến đầu cuối để không cho kẻ nghe trộm tìm nối đến nút B IMSI coi bí mật phải xử lý bí mật Neu thuê bao di động mạng thực chuyến giao, nút mạng nối với chuyển giao số nhận dạng tạm thời chúng để tránh lộ sổ nhận dạng thực (IMSI) Tuy nhiên người sử dụng đến SN mà sổ nhận dạng tạm thời từ mạng Điều thường xãy người sử dụng đăng ký đến mạng lần đầu nút SN phân giải số nhận dạng tạm thời trao đoi với nút khác Neu xãy điều này, VLR/SGSN phải hỏi số nhận dạng cố định (IMSI) thuê bao có thủ tục AKA thực trước biết số nhận dạng nên tin trả lời gửi văn thô từ USIM đến VLR/SGSN giao diện vô tuyến Đây đe dọa an ninh lớn UMTS vấn đề chồ USIM để tự nhận dạng SN khác với mạng thuộc nhà khai thác quản lý phải tụ - cung cấp số nhận dạng toàn cầu Hình 3.8: Nhận dạng người sử dụng theo IMSI 3.13.9 Đe dọa an ninh công cách phát lại Các chuyên đề vô tuyến 31 An Ninh Trong Các Hệ Thống Thông Tin Di Động Các công cách phát lại hệ thống tin bị chặn sau phát lại Điều dễ dàng thực gây vấn đề sử dụng biến đầu vào sổ liệu cố định, đế khắc phục nhược điểm số trình tự sử dụng Các số trình tự AV đưa để tránh việc SN hay mạng khác tìm cách sử dụng AV nhiều lần để nhận thực tạo khóa Khi đồng hồ chờ tin VLR/SGSN chạy hết yêu cầu phát lại tin “yêu cầu nhận thực người sử dụng” Các hàm f8 f9 có đếm để tránh công phát lại Với đếm khác cho đường lên đường xuống, đếm có giá trị đầu vào, nhiên để gửi tin hướng số nhận dạng hướng sử dụng Có thể coi hệ thống UMTS an toàn công phát lại 3.13.10 Truyền thông không an ninh CN Truyền thông nút mạng CN chưa đảm bảo an ninh Vì tin truyền nút dạng văn thô Điều dẫn đến dễ nghe trộm số liệu người sử dụng tin báo hiệu đường từ đường chép lại AV 3.13.11 Độ dài khóa Độ dài khóa UMTS 128 bit Tại thời điểm tương lai gần đủ Tuy nhiên công suất tính toán máy tính không ngừng tăng nên tương lai độ dài tăng lên 3.13.12 Giấu tên dịch vụ mửc cao hon Người sử dụng phải có khả lập cấu hình dịch vụ để biết vị trí thời mà dấu tên ứng dụng mức cao Người sử dụng phải có khả từ chối ứng dụng nhà cung cấp dịch vụ, ứng dụng đòi hỏi theo dõi thói quen người sử dụng 3.13.13 Mật mã hóa đầu cuối- đầu cuối Vì mật mã hóa bảo vệ toàn vẹn kết cuối RNC nên tin bị làm giả CN Một số dịch vụ yêu cầu bảo vệ toàn vẹn đầu cuối RNC số dịch vụ khác nhạy cảm cần giữ bí mật từ đầu cuối đến đầu cuối Đe đảm bảo toàn vẹn bảo mật truyền thông cần sử dụng mật mã hóa đầu cuối- đầu cuối Cả số liệu lưu lượng thoại mật mã hóa điều tăng an toàn cá nhân cho người sử dụng 3.14 AN NINH MẠNG Tính quan trọng sử dụng đế bảo vệ lưu lượng miền mạng giao thức IPSec Nó đảm bảo tính bí mật toàn vẹn cho truyền thông lớp IP Ngoài việc bảo vệ mạng dựa IP, chế an ninh đặc biệt gọi MAPSEC phát triển để bảo vệ giao thức ứng dụng có 3.14.1 IPSec Các phần IPSec tiêu đề nhận thực (AH: Authentication Header), tải tin an ninh đóng bao (ESP: Encapsulation Security Payload) trao đối khóa Internet (IKE: Internet Key Exchange) IPSec sử dụng đế bảo vệ gói IP Quá trình thực ESP, đảm bảo bí mật lẫn toàn vẹn, AH đảm bảo tính toàn vẹn mà Cả ESP AH cần khóa để thực nhận thực mật mã hóa gói Vì trước sử dụng ESP AH cần đàm phán khóa Tồn chế độ ESP: chế độ truyền tải chế độ truyền tunnel Trong chế độ truyền tải toàn gói IP trà tiêu đề mật mã hóa Sau tiêu đề ESP bổ sung tiêu đề IP phần vừa mật mã hóa Sau mã nhận thực tin (MAC) tính toán cho toàn bộ, trù' tiêu đề IP MAC đặt vào cuối gói Tại phía thu, tính toàn vẹn đảm bảo cách loại bỏ tiêu đề IP khỏi đầu gói MAC khỏi cuối gói Sau thực hàm MAC so sánh đầu vói MAC gói, toàn vẹn thành công tiêu đề ESP loại bỏ phần lại giải mã Các chuyên đề vô tuyến 32 An Ninh Trong Các Hệ Thống Thông Tin Di Động Trong chế độ tunnel, tiêu đề bố sung đầu gói sau trình tiến hành chế độ truyền tải cho gói nhận Điều có nghĩa tiêu đề IP gói gốc bảo vệ 3.14.2 MAPSec Mục đích MAPSec bảo vệ bí mật toàn vẹn tác nghiệp MAP Bảo vệ MAPSec thực chế độ Trong chế độ thứ an ninh không đảm bảo, chế độ thứ hai bảo vệ toàn vẹn, chế độ thứ ba bí mật lẫn toàn vẹn đảm bảo Đe đảm bảo bí mật, tiêu đề tác nghiệp MAP mật mã hóa Một tiêu đề an ninh bố sung để dẫn cách giải mật mã Đe đảm bảo toàn vẹn, MAC tính toán dựa tải tin tác nghiệp MAC gốc tiêu đề an ninh Một thông số thay đổi theo thời gian sử dụng đế tránh công cách phát lại 3.15 AN NINH TRONG MẠNG UMTS R5 3.15.1 Mô hình IMS UMTS R5 UMTS R5 thay đối mạng lõi chuyển mạch gói phần chuyển mạch kênh mạng lõi MSC/GMSC kiến trúc trước R5 đưa phần tử vào mạng lõi: Miền mạng lõi mới- gọi hệ thống đa phương tiện Internet (IMS: Internet Multimedia Subsystem) Nâng cấp GSN đế hổ trợ thoại thời gian thực dịch vụ nhạy cảm trễ khác hay IMS 3.15.2 Kiến trúc an ninh IMS Trong miền PS, dịch vụ cung cấp thiết lập liên kết an ninh thiết bị di động mạng IMS chất hệ thống xếp chồng lên miền PS, cần phải có liên kết an ninh riêng Client đa phương tiện IMS trước cho phép truy nhập dịch vụ đa phương tiện Các khóa nhận thực IMS hàm phía người sử dụng lưu UICC Các khóa nhận thực IMS hàm độc lập logic với khóa hàm sử dụng để nhận thực cho miền PS Tuy nhiên điều không cản trở việc sử dụng khóa nhận thực hàm chung cho nhận thực miền IMS lẫn miền PS 3.16 TỔNG KÉT Các hệ thống di động thể hệ dựa thành công mạng GSM/GPRS đưa tính an ninh tăng cường đế cải thiện an ninh bảo vệ dịch vụ mà hệ thống thông tin di động hệ thứ có Bí mật gọi thoại bí mật số liệu người sử dụng truyền đường vô tuyến bảo vệ Điểm tăng cường an ninh quan trọng UMTS so với GSM/GPRS không mạng nhận thực thuê bao di động mà ngược lại thuê bao di động nhận thực mạng Ngoài phần tử quan trọng liến quan đến an ninh khóa K dùng chung mạng UMTS ƯSIM card không truyền vị trí Ngoài thông số an ninh quan trọng khác truyền đường vô tuyến mật mã hóa tính đảm bảo không bị nghe trộm Cơ chế nhận thực thực cách tạo véc-tơ nhận thực, ta tìm thông sổ đầu vào Cơ chế cho phép trao đổi IK CK CK mở rộng đến 128 bit nên khó bị phá Ngoài IPSec cải thiện an ninh lóp mạng mạng lõi dựa ÉP MAPSec bảo vệ ứng dụng báo hiệu Tất Các chuyên đề vô tuyến 33 An Ninh Trong Các Hệ Thống Thông Tin Di Động CHƯƠNG 4: CÔNG NGHỆ AN NINH TRONG MIP 4.1 Tổng quan MIP Đe xuất tốt để xử lý chuyển giao di động vĩ mô MIP Trong MIP không phụ thuộc vào điếm nối mạng thời, máy di động nhận dạng địa nhà Khi khỏi mạng nhà máy di động nhận địa khác gọi CoA (Care of Address: chăm sóc địa chỉ) liên quan đến vị trí thòi máy di động MIP giải vấn đề di động cách lưu giữ chuyến đổi động nhận dạng cố định CoA máy di động CoA hoạt động định vị tạm thời 4.1.1 Khái niệm chung MIP MIP cải tiến IP cho phép tiếp tục thu bó số liệu nơi mà bó số liệu nhập mạng Nó bao gồm số tin điều khiển bổ sung cho phép nút IP liên quan đến quản lý tin cậy bảng định tuyến IP chúng MIP thiết kế để đáp ứng mục tiêu sau nút di động (thay đối điểm truy nhập mạng Internet) với tần suất nhiều lần giây Tuy nhiên giao thức hoạt động tốt tần suất di động nút di động bắt đầu đạt đến thòi gian toàn trình cho tin điều khiển giao thức MIP Năm đặc trung sau coi yêu cầu chủ đạo mà giao thức MIP phải thỏa mãn: Một nút di động phải có khả liên lạc với nút khác sau thay đoi điểm truy nhập Internet lớp liên kết Nút di động phải có khả liên lạc với nút khác không áp dụng MIP Tất tin vị trí sử dụng để phát đến nút khác phải nhận thực để bảo vệ chống lại công làm lệch hướng Liên kết để nút di động thường liên kết vô tuyến Liên kết có độ rộng băng nhỏ tỷ lệ lỗi cao mạng hữu tuyến thông thường Ngoài nút di động sử dụng nguồn ắc-qui nên việc tối thiểu hóa tiêu thụ công suất quan trọng Vì tin quản trị phát liên kết mà nút di động tiếp nhập mạng phải tối thiếu hóa kích thước tin phải nhỏ tốt MIP không gây hạn chế bổ sung cho việc ấn định địa IP Mục đích MIP cho phép nút chuyển động từ mạng IP đến mạng IP khác, vừa phù họp cho việc di động qua môi trường không đồng lẫn môi trường đồng Nghĩa MIP tạo điều kiện cho việc di động từ đoạn Ethernet đến đoạn Ethernet khác cho phép di động từ đoạn Ethernet đến LAN vô tuyến giữ nguyên địa IP nút sau chuyển dịch 4.1.2 Các thực thể MIP MIP đưa vào thực thể chức sau: MN (Mobile Node: Nút di động) hay MN (Mobile Host: máy di động) Nút di động máy hay định tuyến thay đổi điểm truy nhập mạng từ mạng hay mạng đến mạng hay mạng khác Nút di động thay đổi vị trí mà không thay đổi địa Nó trì liên lạc với nút Internet khác vị trí giữ nguyên địa Internet với giả thiết có kết nối lóp hên kết đến điếm truy nhập mạng CN (Correspondent Node: Nút đối tác) hay CH (Correspondent Host: Máy đối tác) Máy/nút đối tác máy cố định di động thông tin với máy di động MN xét HA (Home Agent: Tác nhân nhà) Tác nhân nhà định tuyến mạng nhà nút di động có nhiệm vụ truyền đường hầm (Tunnel) bó số liệu đến nút di động nút khỏi mạng nhà trì thông tin vị trí cho nút di động FA (Foreign Agent: Tác nhân ngoài) Tác nhân định tuyến mạng đế định tuyến dịch vụ đến nút di động nơi nút đăng ký tạm trú Tác nhân gửi trả lời theo đường hầm chuyển bó số liệu chuyển đường hầm từ tác nhân nhà nút di động đến nút di động 4.1.3 Tổng quan giao thức Các chuyên đề vô tuyến 34 An Ninh Trong Các Hệ Thống Thông Tin Di Động Phát tác nhân Các HA FA quảng cáo khả sẵn sàng liên kết mà chúng phục vụ Một nút di động đến phát mời chào đường để biết xem có tác nhân triển vọng không Đăng ký Khi MN rời mạng nhà, đăng ký CoA với HA Phụ thuộc vào phương thức nhập mạng mình, MN đăng ký trực tiếp với HA hay thông qua FA, tác nhân nhận nhiệm vụ chuyển đăng ký đến tác nhân nhà Truyền đường hầm (Tunneling) Đe chuyển bó số liệu đến nút di động nút khỏi mạng nhà, tác nhân nhà phải truyền đường hầm bó số liệu đến CoA Hoạt động giao thức MIP mô tả sau: Các tác nhân di động (các FA HA) quảng cáo tồn chúng thông qua tin quảng cáo cá nhân Nút di động mời chào để đón nhận tin quảng cáo tác nhân từ tác nhân di động địa phương cách sử dụng tin mời chào tác nhân Nút di động thu nhận quảng cáo tác nhân xác định xem quảng cáo mạng nhà hay mạng Khi MIP phát mạng nhà, hoạt động không cần dịch vụ di động Neu trở mạng nhà từ nơi đăng ký khác, nút di động đăng ký với tác nhân mạng nhà thông qua trình đăng ký bình thường Khi nút di động phát chuyến đến mạng ngoài, nhận CoA mạng CoA FA CoA hay CCoA Nút di động hoạt động mạng nhà đăng ký CoA với HA thông qua trao đổi yêu cầu đăng ký tin trả lời đăng ký (có thể FA) HA nhận bó số liệu phát đến địa nhà nút di động, chuyển chúng theo đường hầm đến CoA nút di động, cuối tunnel (có FA điểm nút di động) bó số liệu thu lại Neu điếm cuối FA chúng chuyển tiếp đến nút di động Trong hệ kiến trúc Internet (EPv4), MIP tùy chọn Các mạng cần hổ trợ máy tính di động bố sung IP, mạng đảm bảo dịch vụ cho máy tính cố định không thay đổi Trong tương lai, IPv6 hố trợ di động phận giao thức Internet chung Điều cho thấy tầm quan trọng truy nhập Internet vô tuyến tương lai 4.1.4 Các phần tử logic MIP Nguồn gốc IPv4 mạng thông tin tế bào số khác Tuy nhiên mức logic, phần tử kiến trúc MIP phù hợp với khái niệm quen thuộc từ mạng tế bào sổ Chang hạn điều khiển MIP, thiết bị máy tính di động có mạng nhà giống máy thoại di động GSM có mạng nhà Trong mạng nhà MIP, hệ thống phần mềm với tên gọi HA sử dụng nút mạng Chức HA lưu giữ thông tin bao gồm khóa mật mã cho máy tính di động (các MN) trực thuộc mạng nhà HA theo dõi vị trí thời MN mà chịu trách nhiệm giống khái niệm HLR/AuC GSM Ngoài mồi MS MIP có địa logic cố định: địa IP mạng nhà, giống máy di động GSM có địa nạp SIM 4.2 CÁC ĐE DỌA AN NINH TRỌNG sơ ĐỒ MIP Việc sử dụng MIPv4 dẫn đến số đe dọa an ninh John Zao Matt Condell BBN vùng để lộ MIP: Khả nút thù địch giả mạo nhận dạng nút di động chuyến hướng gói đến nút di động sang vị trí mạng khác Khả nút thù địch (từ miền nhà khai thác khác nhau) phát động công lẫn nút sử dụng tài nguyên mạng dịch vụ chung mạng hổ trợ di động cung cấp 4.3 Môi trường an ninh MIP 4.3.1 Liên kết an ninh IPSec Các chuyên đề vô tuyến 35 An Ninh Trong Các Hệ Thống Thông Tin Di Động SA (Security Association: Liến kết an ninh) khái niệm an ninh nhận thực MIP Một liên kết an ninh định nghĩa trước quan hệ chiều máy phát máy thu Quan hệ định nghĩa phương pháp an ninh Internet sử dụng thông tin máy phát máy thu thông số áp dụng Trong trường hợp thông tin chiều, phải có liên kết an ninh, liên kết dùng cho hướng Các SA sử dụng để định nghĩa tập dịch vụ IPSec (Internet Protocol Security: An ninh giao thức Internet) sử dụng IP, thuộc lóp mạng (lóp 3) ngăn xếp Internet Trong gói IP thông số sử dụng đồng thời để xác định liên kết, thông số là: địa nơi nhận IP (IP Destination Address), sổ nhận dạng giao thức an ninh (SPI: Security Protocol Identiíier) để liên kết an ninh áp dụng cho HA (tiêu đề nhận thực) hay ESP (đóng bao tải tin an ninh) xâu bit gọi số thông số an ninh (SPI: Security Parameters Index) liên kết với liên kết an ninh Trong định tuyến hay phần tử tương đương khác hạ tầng nối mạng, có tệp (file) gọi SPD (Security Policy Database: sở liệu an ninh) để định nghĩa quy tắc dựa nội dung trường nói gói IP 4.3.2 Trang bị khóa đăng ký MIP Khi hạ tầng MIP phát triển rộng khắp, coi MN di động có liên kết trước vói FA mạng mà làm khách Một vấn đề phát sinh làm cách để cung cấp cho MN FA khóa đăng ký chung cách an ninh khởi đầu phiên thông tin Hướng giải tổng phù họp với phát triển MIP giải vấn đề thông qua PKI cho phép truy nhập toàn cầu, hạ tầng chưa rộng khắp số giải pháp trung gian đề xuất Chẳng hạn Charles Perkins đề xuất áp dụng kỹ thuật sau (được trình bày theo thứ tự un tiên): Neu FA MN có chung liên kết an ninh hay thiết lập liên kết an ninh thông qua ISAKMP SKIP, FA tiến hành chọn khóa đăng ký Neu FA HA MN có liên kết an ninh, HA tạo khóa đăng ký thông báo cho FA Neu FA có khóa công khai mình, ỵêu cầu HA MN tạo khóa đăng ký thông báo đến FA với mật mã hóa khóa công khai Neu MN có khóa công khai, đưa khóa vào yêu cầu đăng ký để FA tạo khóa đăng ký thông báo cho với mật mã hóa mã công khai FA MN sử dụng giao thức trao đối khóa Diffie-Helman đế thiết lập khóa đăng ký chung 4.4 Giao thức đăng ký MIP sở Giao thức đăng kí MIP cung cấp chế để chống lại công phát lại: nhãn thời gian nonce (nhận dạng thòi điểm phát tin) sử dụng Dưới ta xét giao thức đăng kí MIP sử dụng nhãn thời gian 4.4.1 Các phần tử số liệu giải thuật giao thức MIP HADMN (địa nhà MN): Địa IP MN mạng nhà COAMN (chăm sóc địa MN): Địa IP MN mạng mà làm khách IDHA (địa HA): Địa IP HA mạng nhà MN IDFA (địa FA): Địa FA mạng mà MN làm khách TMN, THA (nhãn thời gian): TMN THA nhãn thời gian MN HA phát Enc (K,M): Mật mã hóa tin M khóa K MAC (K,M): Tạo MAC (mã nhận thực tin) từ tin M khóa K KSMN-HA (Shared Secret Key: Khóa bí mật chia sẽ): Khóa bí mật chia MN HA Khóa không chia với FA phần tử hạ tầng mạng khác Request (yêu cầu): Giá trị bit để thị tin sau tin yêu cầu Reply: Giá trị bit thị yêu cầu HA xem xét (được chấp thuận, bị từ chối, giải thích tù- chối ) 4.4.2 Hoạt động giao thức đăng kí MIP Các bước trình thực giao thức đăng kí MIP sau: Các chuyên đề vô tuyến 36 An Ninh Trong Các Hệ Thống Thông Tin Di Động MN chiếm nhãn thời gian nhận trước tù' HA mạng nhà Nhãn hổ trợ trình đồng nhãn thời gian MN với nhãn thời gian HA MN phát tin yêu cầu tới FA, tin yêu cầu gồm: định yêu cầu, nhận dạng FA: IDFA (địa IP nó), nhận dạng HA: ID HA(địa HA), địa nhà MN: HADMN, COA MN: COAMN nhãn thời gian MN cấp: TMN- Tiếp theo sau bit mã MAC MN tạo cách áp dụng giải thuật MD5 cho phần tử tin yêu cầu kết hợp với mã bí mật chia MN HA: KSMN-HAFA gửi yêu cầu MAC đến HA Các phần tử số liệu tin yêu cầu (không chứa khóa bí mật chia sẽ) phải truyền lộ thiên, thể FA đọc địa HA Khi nhận tin từ FA, HA tính toán MAC dựa tin yêu cầu nhận từ MN khóa bí mật chia sẻ Nếu MAC trùng với MAC thu nhận thực MN thành công nội dung tin yêu cầu không bị thay đối Bây HA tạo tin trả lời gồm phần tử sau: định trả lời, mã kết quả, nhận dạng FA (địa IP FA), nhận dạng HA, địa nhà MN, nhãn thòi gian (T) Nhãn thời gian với nhãn thời gian MN cấp (TMN), giá trị nằm cửa sổ thời gian HA chấp thuận, ngược lại HA đặt lại nhãn thòi gian (THA) đe MN thực đồng lại FA nhận tin từ HA chuyến đến MN đường vô tuyến MN tính toán MAC dựa tin trả lời so sánh với MAC thu từ FA Neu MAC trùng HA nhận thực với MN nội dung tin trả lòi Tại thòi điếm này, MN, FA HA sử dụng phương pháp Perkins đề xuất để thiết lập khóa đăng ký hay khóa phiên, sau dùng khóa để mật mã hóa số liệu phiên thông tin Hình 4.1: Trao đổi tin giao thức đăng ký MIP 4.5 An ninh thông tin MN đến MN Các chuyên đề vô tuyến 37 An Ninh Trong Các Hệ Thống Thông Tin Di Động Giovanardi Massini đề xuất sơ đồ an ninh bao gồm phần tủ- sau: Tích họp địa IP MAC Đe HA nhận thực MN không địa IP, địa khác tổ hợp địa IP địa MAC (Medium Access Control: điều khiến truy nhập môi trường) MN sử dụng Hashing địa MAC Đe tăng cường bảo vệ thông tin địa chỉ, FA áp dụng hàm Hash chiều địa MAC MN gửi giá trị thay cho địa MAC đến HA liên quan đến địa IP MN Khi HA sử dụng địa IP mà nhận làm tham khảo cho bảng chứa cặp địa IP/MAC để lấy địa đích MAC áp dụng giải thuật Hash cho địa MAC Sau so sánh giá trị nhận với giá trị tính toán, chúng trùng có nghĩa MN đươc nhận thực Sở hữu khóa hí mật chia sẻ Tất hệ thống tác nhân cộng đồng quy định chia sẻ khóa bí mật Khi truyền tin điều khiển tác nhân, hàm làm rối (Hash) sử dụng để kết họp tin hay phần tin khóa bí mật Tác nhân thu tự tạo giá trị làm rối so sánh với giá trị làm rối thu để khắng định nút gửi tin sở hữu khóa bí mật chia sẻ Sử dụng nhãn thời gian Đe chống lại công phát lặp, nhãn thời gian đưa vào tin điều khiển, dù tin có mật mã hay không Hệ thống đánh giá nhãn thời gian tin tiếp nhận tin nhãn nằm cửa sổ quy định Giao thức đòi hỏi đồng thời gian tác nhân Sử dụng tóm tắt tin, MD Trong giao thức này, khóa bí mật chia sẻ sử dụng để mã hóa toàn tin điều khiển Điều cho phép đảm bảo bảo mật lẫn toàn vẹn tin trao đối hệ thống tác nhân 4.6 Phương pháp nhận thực lai ghép MIP Suíatrio Kwork Yan Lam đề xuất phương pháp sử dụng lai ghép khóa riêng khóa công khai để nhận thực MIP nhằm giải vấn đề mở rộng mà không cần thay đối lớn trao đổi tin giao thức đăng kí MIP sở Điều đạt cách sử dụng HA vừa tác nhân nhận thực khóa công khai vừa KDC (trung tâm phân bố khóa) cho khóa phiên 4.6.1 Các phần tử số liệu giao thức nhận thực Sufatrio/Lam CA (thấm quyền chứng nhận) CA chịu trách nhiệm cấp phát chứng nhận PKI đề xuất ỈDha, IDFA (các so nhận dạng HA FA) HA FA nhận dạng địa IP chúng MNHM (địa nhà MN) Địa nhà MN bao gồm địa IP MN mạng nhà COAMN (COA MN) Chăm sóc địa thời MN tạo nên địa mạng FA NMN, NHA, NFA (Nonce: nhận dạng thòi điểm phát tin) Các Nonce cấp phát MN, HA, FA Tmn, THA (các nhãn thời gian) Các nhãn thời gian tạo MN HA KSHA-MN (khóa riêng đối xứng) Khóa đối xúng chia sẻ HA MN KRHA, KRFA, KRCA (các khóa riêng) Các khóa riêng cặp khóa riêng/khóa chung cặp khóa không đối xứng HA, FA CA KUHA, KUFA, KƯCA (các khóa công khai) Các khóa công khai cặp khóa riêng/khóa chung cặp khóa không đối xúng HA, FA, CA CertnA, CertFA (các chủng nhận) Các chứng nhận số HA, FA Yêu cầu (Request), trả lời (Repỉy), quảng cáo (Advert) Các chuỗi bit thị kiểu tin yêu cầu, trả lời quảng cáo Sig (K, Mx) (chữ kí điện tử) Chữ kí điện tử tạo cách sử dụng khóa K đế mã hóa cho tin Mx 4.6.2 Hoạt động giao thức nhận thực Sufratrio/Lam Các chuyên đề vô tuyến 38 An Ninh Trong Các Hệ Thống Thông Tin Di Động Giao thức nhận thực dựa khóa công khai Suíatrio Lam đề xuất vào năm 1999 bao gồm trao đổi tin MN, FA HA sau: FA thông báo cho MN diện cách phát tin “quảng cáo tác nhân”, gồm chứng nhận FA chuỗi bit tin MA gồm: mã thị tin quảng cáo, địa IP FA, CoA mà ấn định cho MN FA gắn thêm chữ kí điện tủ' tạo cách áp dụng khóa riêng KRFA cặp khóa công khaikhóa riêng cho tin MI MN trả lòi cách gủi tin M2 đến FA M2 gồm mật mã thị tin yêu cầu phục vụ, địa IP FA, địa IP HA mà MN trục thuộc, địa nhà MN, CoA MN (vừa nhận từ FA), nonce HA tạo (NHA), nonce MN tạo (NMN), tin MI nhận bước trước MN k tin KSMN-HA mà chia sẻ với HA FA trước hết nhận tin M2, gắn thêm vào nonce gửi M2 chữ kí số nonce gắn thêm vào đến HA Trước hết HA kiểm tra hợp lệ chữ kí tin M2 cách sử dụng tin M2 khóa bí mật chia sẻ KSMN-HA- HA kiếm tra giống địa IP FA tin MI M2, kiếm tra chứng nhận FA thông qua khả trung tâm nhận thực Sau HA kiếm tra chữ kí số FA tin M I sau lấy khóa công khai tù' chứng nhận FA Tại HA, M4 tạo bao gồm: mã thị tin trả lời đăng kí: Reply, kết trả lời: Result, địa IP FA (IDFA), địa IP HA (IDHA), địa nhà MN (HADMN), nonce HA tạo (NHA) nonce MN (NMN)- M4 kí chữ kí số dựa khóa bí mật chia sẻ HA MN: Sig(KS MN-HA, M4) M3 tạo bao gồm: M4, chữ kí số theo khóa riêng cho M4 nonce từ FA (NFA) tạo nên tin M3 HA kí tin M3 khóa riêng nhận từ cặp khóa công khaikhóa riêng Sig(KRHA, M3) Bản tin trả lời đăng kí MIP HA gửi đến FA bao gồm: M3, chữ kí cho M3: Sig (KRHA, M3) chúng nhận HA: CertHANhận tin từ HA, FA thực bước sau: kiếm tra nonce (NFA), kiểm tra chữ kí tin M3 cách sử dụng khóa công khai HA, ghi nhớ tin để sau chứng minh cung cấp dịch vụ cho MN FA lấy tin M4 toàn tin thu từ HA Sau FA gủi tin M4 đến MN đường truyền vô tuyến MN sử dụng khóa bí mật chia sẻ HA (KSMN-HA) để kiếm tra chừ kí tin M4 Bây ba phần tử HA, FA MN nhận thực lẫn tiến hành phiên thông tin Hình 4.2 mô tả hoạt động giao thức Sufatrio/Lam Các chuyên đề vô tuyến 39 An Ninh Trong Các Hệ Thống Thông Tin Di Động 4.7 Hệ thống MoIPS: Hại tầng MIP sử dụng hoàn toàn khóa công khai 4.7.1 Tổng quan MoIPS MoIPS có mục tiêu cung cấp dịch vụ an ninh: (1) Nhận thực tin điều khiển MIP cập nhật vị trí, (2) Sử dụng điều khiển truy nhập tên MN để tìm kiếm tài nguyên mạng ngoài, (3) Đảm bảo truyền tunnel an ninh cho gói IP chuyển hướng Dưới ta xét dịch vụ này: Nhận thực cập nhật vị trí MoIPS hổ trợ giao thức MIP sở lẫn MIP định tuyến tối ưu Trong MoIPS đăng kí MoIPS cập nhật ràng buộc (thay đối tin vị trí thông báo cho MN) có thẻ nhận dạng 64 bit để chống phát lặp nhiều mở rộng nhận thực để đảm bảo toàn vẹn số liệu nhận thực nguồn gốc thông qua sử dụng MAC tạo hàm làm rối (Hash) MoIPS cung cấp cặp khóa mật mã để sử dụng HA FA, MN Lác nhân tưong ứng Điều khiển truy nhập MN Trong kiến trúc MoIPS, nút đầu cuối (MN CH) tác nhân hổ trợ di động (FA HA) có chứng nhận X.509 chứa thông số khóa công khai thông tin nhận dạng quan hệ thực thể mạng Các chứng nhận phát hành thông qua phân cấp CA theo quy định Các chuyên đề vô tuyến 40 An Ninh Trong Các Hệ Thống Thông Tin Di Động chuẩn X.509 FA sử dụng chứng nhận MN để nhận thực MN thành công nhận thực thể chỗ FA gửi yêu cầu đăng kí tù' MN đến HA Truyền tunnel an ninh cho gói IP Trong MIP, gói chuyển MN, FA, HA CN (bản thân CN MN) mạng Internet rộng lớn không bảo vệ phần đường truyền đường vô tuyến Kiến trúc MoIPS quy định HA FA có trách nhiệm tất truyền tin với MN để sử dụng tunnel an ninh, đảm bảo toàn vẹn số liệu, nhận thực nguồn gốc bảo mật số liệu Các phía thông tin đàm phán chế mật mã hóa nhận thực sử dụng khuôn khổ ESP tất gói đóng bao tiêu đề IPSec tiêu đề IP xác định điểm cuối tunnel an ninh Đe đạt điều MoIPS có mô-đun hổ trợ IPSec ISAKMP (Internet Security Association anh Key Management Protocol: Giao thức liên kết an ninh Internet quản lý khóa) 4.7.2 Các đặc tính quan trọng kiến trúc an ninh MoIPS Ở mức độ giao thức Internet MoIPS áp dụng phương án ESP IPSec ISAKMP với MIP Các mở rộng tối ưu hóa tuyến cho MIP ho trợ Đối với chứng nhận số khóa công khai, MoIPS sử dụng X.509 phiên với danh sách hủy chứng nhận (CRL) phiên Đối với kho lưu chứng nhận, nhà thiết kế sử dụng DNS (Domain Name System: Hệ thông tên miền) Internet tiêu chuẩn Cấp bậc CA MoIPS đưa cấu trúc nhiều Mỗi có CA đỉnh, có nhiều CA mức trung lớp CA mức thấp Tham gia vào MoIPS đòi hỏi phải có chúng nhận Mồi thực thể cần tham gia vào phiên thông tin môi trường MoIPS (MN, FA, HA hay CH có khả di động) phải có chứng nhận X.509 V.3 với lý lịch định nghĩa cho MoIPS Các chứng nhận cho CN cần MoIPS cần hổ trợ MIP định tuyến ưu tiên Trong chứng nhận MoIPS, địa IP thực thể sử dụng trường tên chủ thể chúng nhận cho MN, FA, HA, CN MoIPS sử dụng giải thuật làm rối SHA-1 để tạo chữ ký số chứng nhận X.509 MoIPS sử dụng kỹ thuật giống DH (DilTie-Helman) để tạo khóa mật mã sử dụng thời gian ngắn Mỗi chứng nhận MoIPS chứa giá trị công cộng DH để hổ trợ trao đổi tạo khóa DH MoIPS sử dụng RSA Cryptoki CAPI (Cryptographic Application Program Interíace: Giao diện chương trình ứng dụng mật mã) làm chế để người sử dụng truy nhập phương tiện mật mã PF Key CAPI ho trợ để quản lý khóa ngắn hạn liên kết an ninh Các nhà thiết kế MoIPS tạo lập API thứ ba gọi Cert_API đế đảm bảo kết nối mô-đun quản lý khóa hệ thống kiểm tra chứng nhận MoIPS sử dụng trường mở rộng sách chứng nhận chứng nhận X.509 để truyền thông tin cần thiết cho điều khiến truy nhập MIP Trong MoIPS, tunnel IPSec an ninh có thê thiêt lập tù' MN đên FA, tù' MN đến HA từ FA đến HA Ngoài thiết lập tunnel an ninh MN CN để đảm bảo mật mã hóa bảo mật đầu cuối - đầu cuối Các MIP thực thể MIP làm việc môi trường MoIPS yêu cầu tunnel IPSec cách bố sung mở rộng chọn tunnel IPSec vào tin yêu cầu tác nhân, quảng cáo tác nhân yêu cầu đăng ký MIP Các chi tiết tunnel thiết lập đàm phán thực thể thông qua ISAKMP 4.8 Kết luận Chương nghiên cứu đa dạng phương pháp nhận thực an ninh môi trường MIP Dựa giao thức đăng ký MIP đơn giản, ta áp dụng phương pháp khóa riêng đối xứng MIP Tuy nhiên phương pháp hiệu tổ chức quản lý khóa điều khiển môi trường máy tính số đối tác đàm phán trước quan hệ tương hổ giống trường hợp “các thỏa thuận chuyến mạng” nhà cung cấp dịch vụ di động Các chuyên đề vô tuyến 41 An Ninh Trong Các Hệ Thống Thông Tin Di Động Chương xét giao thức Sufatrio/Lam Giao thức sử dụng kỹ thuật mật mã lai ghép đổi xứng không đối xứng tăng thêm nhiệm vụ cho HA Cuối chương xét hệ thống an ninh MIP (MoIPS) John Zao đồng nghiệp Hệ thống sử dụng chiến lược hoàn toàn khóa công khai dựa chứng nhận X.509 sở hạ tầng khóa công khai hoàn thiện Rất nhiều phần tử kiến trúc chưa đạt đến trạng thái để sử dụng làm tảng cho úng dụng thương mại Các chuyên đề vô tuyến 42 An Ninh Trong Các Hệ Thống Thông Tin Di Động CHƯƠNG 5: CÔNG NGHỆ AN NINH TRONG CDMA2000 5.1 Kiến trúc CDMA2000 Mạng gói cdma2000 mạng kết hợp với mạng chuyển mạch kênh cdma2000 sử dụng báo hiệu IS-41 Mạng IP bao gồm PCF (Packet Control Function: Chức điều khiển gói), PDSN (Packet Data Serving Node: Nút phục vụ số liệu gói), HA server AAA (Anthentication, Authorization and Aocount: Nhận thực, trao quyền toán) Đối với dịch vụ IP đơn giản (Simple IP), việc người sử dụng chuyển từ vùng phục vụ PDSN sang vùng phục vụ PDSN khác dẫn đến thay đối phiên số liệu địa IP ấn định PDSN Đối với dịch vụ MIP (Mobile IP), phiên số liệu kéo dài nhiều PDSN chừng người sử dụng trì ràng buộc di động HA chưa hết thời hạn hiệu lực đăng ký (hoặc tái đăng ký) 5.1.1 Mạng truy nhập vô tuyến RAN Mạng truy nhập vô tuyến RAN gồm BTS BSC BTS điều khiển lưu lượng vô tuyến MS thông qua giao diện vô tuyến Nhiều BTS nối đến BSC Tổ họp BTS với BSC mà chúng nối đến gọi BSS (Bas Station Subsystem: Hệ thống trạm gốc) Các BSS cho phép truy nhập dịch vụ cs PS Đe hỗ trợ truy nhập dịch vụ PS, BSS có thêm khối chức điều khiến gói: PCF (Pacet control íunction: chức điều khiến gói) Khi gói gửi đến MS chưa thể nối đến MS, PCF nhớ đệm gói yêu cầu RAN tìm gọi MS Nó củng thu nhập gửi thông tin toán đến PDSN PCF nối BSC vớ PDSN đế thực chuyển giao Trong tiêu chuẩn tương tác (IOS: Inter- Operability Standards) 3GPP2 A.S00001, PCF nối đếnn BSC thông qua giao diện mở A8/A9 Thông thường sản phẩm thương mại, PCF thực phận BSC với giao diện riêng Cdma2000 BSC có quản lí tài nguyên vô tuyến (RRM: Radic Resource Management), quản lí di động (MM: Mobility Management) kết nối đến MSC Nó đảm bảo tmyền gói sổ liệu không qua mã hóa - giải mã thoại Ngoài nhiệm vụ hỗ trợ dịch vụ cs thông thường, RAN hỗ trợ dịch vụ PS sau: Chuyển đổi tham khảo nhận dạng Client di động vào nhận dạng liên kết đế thông tin với PDSN Nhận thực MS phép truy nhập dịch vụ Quản lí kết nối lớp vật lí đến Client di động Duy trì trạng thái cho phép kết với dịch vụ gói mạng truy nhập vô tuyến MS Nhớ đệm gói đến từ PDSN, tài nguyên vô tuyến chưa có chưa đủ để hỗ trợ dòng gói từ PDSN Chuyến tiếp gói MS PDSN 5.1.2 Mạng nhà cung cấp dịch truy nhập khách Mạng nhà cung cấp dịch vụ truy nhập khách bao gồm phần tử mạng lõi thực nhiệm vụ chuyển mạch kênh như: MSC/VLR phần tử mạng lõi thực chuyển mạch gói như: PDSN.MSC sử dụng IS-41 MSC nối đến BSC thông qua giao diện AI (cho báo hiệu) giao diện A2 (cho lưu lượng) MSC thực chức chuyến mạch thoại chức di động hệ thống PDSN thực chức chuyển mạch gói chức di động hệ thống PDSN nối đến PCF thông qua giao diện mở A8/A9 Ngoài để hỗ trợ dịch vụ PS mạng có chứa AAA server địa phương làm nhiệm vụ nhận thực VLR chứa chi tiết tạm thòi MS làm khách MSC thời Nó chứa TMSI 5.1.3 HLR/AuC HLR mang tất thông tin thuê bao vùng GMSC tương ứng Trung tâm nhận thực (AnC) đặt HLR nơi phát thông số an ninh quan trọng đảm bảo tất thông sổ cần thiết cho nhận thực mã hóa MS Các chuyên đề vô tuyến 43 An Ninh Trong Các Hệ Thống Thông Tin Di Động MS thực dịch vụ cs lẫn MIP Đối với MIP, MS phải: Hỗ trợ ppp Có thể hoạt động MIP MN, hỗ trợ hô lệnh FA NAI Tương tác vói RAN mạng lõi đế nhận tài nguyên mạng cho việc trao đổi gói Ghi nhớ trạng thái tài nguyên vô tuyến (tích cực, chờ, ngủ) Nhớ đệm gói tài nguyên vô tuyến chưa có không đủ đế hỗ trợ dòng gói đến mạng 5.1.5 Các Server AAA nhà, khách môi giói Các dịch vụ nhận thực, trao quyền toán (AAA: Authentication, Authorization and Account) đảm bảo giao thức RADIUS (Remote Authentication Dial-in User Service: Dịch vụ người sử dụng quay số nhận thực từ xa) giao thức DIAMETER Lúc đầu mạng cdma2000 chọn giao thức RADIUS, nên giao thức sử dụng rộng rãi Trong chương ta xét dịch vụ AAA sử dụng RADIUS Các AAA Server đảm bảo chuyển vùng AAA server đặt mạng IP nhà gọi AAA server nhà AAA server mạng nhà cung cấp dịch vụ khách gọi AAA server khách AAA server nhà chứa lí lịch thuê bao người sử dụng, AAA server khách chứa thông tin tạm thời liên quan đến phiên sử dụng người sử dụng Lỷ lịch chứa thông tin đăng kí QoS thông tin truyền đến PDSN PDSN sử dụng thông tin để trao quyền truy nhập đến số dịch vụ cấp phát tài nguyên dựa yêu cầu QoS AAA server môi giới server trung gian, có quan hệ an ninh vói AAA server khách nhà Nó sử dụng để chuyển tiếp tin AAA cách an ninh mạng nhà cung cấp dịch vụ truy nhập trung gian mạng IP nhà Một mạng có AAA server môi giới Có thể tổng kết yêu cầu với AAA sau: Nhận thực trao đối quyền cho NAI người sử dụng môi trường chuyển vùng NAI nhận qua CHAP (đối với dịch vụ ppp truyền thống) hay FAC (FA challenge: hô lệnh FA) (đối với dịch vụ MIP) FAC thường tính toán phù hợp với CHAP Truyền tải thuộc tính số liệu vô tuyến tù' mạng nhà đến mạng phục vụ (thường dạng lý lịch người sử dụng) Mật mã hóa kí hay nhiều AVP tin AAA mạng nhà ,mạng khách hay môi giới qua nhiều chặng AAA server Hỗ trợ chế truyền tải AAA tin cậy Cơ chế cho ứng dụng AAA tin chuyển đến ứng dụng đồng cấp hay sảy thời gian tạm ngưng Phát lại điều khiển chế truyền tải AAA tin cậy giao thức thấp (TCP chẳng hạn) Ngay tin cần chuyển hay tùy chọn ngữ nghĩa tin không phù hợp với giao thức AAA, chế truyền tải báo nhận phía đồng cấp nhận tin Tuy nhiên tin không qua nhận thực, không báo nhận Báo nhận gửi với tin AAA Cơ chế truyền tải tin cậy phải có khă phát cố yên lặng đồng cấp AAA hay đường truyền đến đồng cấp AAA để quản lí cố Truyền tải chúng nhận số tin AAA đế giảm thiểu số lần truyền vòng liên quan đến giao dịch AAA Lưu ý: yêu cầu áp dụng cho ứng dụng AAA không cho MS Hỗ trợ chống phát lại khả chống từ chối cho tất tin trao quyề toán Giao thức AAA phải đảm bảo khả cho tin toán phù họp với tin trao quyền trước Hỗ trợ toán thông qua dàn xếp hai phía thông qua server môi giới để đảm bảo cách viết toán khác mạng phụ vụ mạng nhà Đây thỏa Các chuyên đề vô tuyến 44 An Ninh Trong Các Hệ Thống Thông Tin Di Động thuận rõ ràng mạng riêng hay ISP nhà nhận thực MS yêu cầu dịch vụ, mạng riêng hay mạng ISP nhà chấp nhận tính cước với nhà cung cấp dịch vụ nhà hay môi giới Phải đảm bảo toán thòi gian thực Đảm bảo an ninh AAA server, AAA server với PDSN hay HA thông qua an ninh IP 5.1.6 Nút phục vụ số liệu gói Nút phục vụ số liệu gói (PDSN: Packet Data Serving Node) phần tử mạng neo nằm bên mạng khách thực nhiều chức cho vai trò neo Đối với dịch vụ MIP, đảm bảo chức FA theo đặc tả RFC 2002 FA định tuyến đảm bảo dịch vụ định tuyến đến MS mạng khách Đối với MIP IP đon giản, PDSN đảm bảo kết nối lóp liên kết số liệu đến MS cách sử dụng giao thức điếm đến điểm (PPP: Point-to-Point Protocol) PDSN nối đến PCI thông qua giaoi diện A10/A11 (giao diện R-P), A10 sử dụng cho số liệu người sử dụng AI sử dụng cho tin điều khiển Nó cung cấp liên kết địa lóp liên kết thông tin di động với địa IP MS Địa lóp liên kết bao gồm số nhận dạng MS (IMSI chẳng hạn) nhận dạng kết nối MS (một thông sổ để phân biệt phiên MS) PDSN hoạt động RADIUS Client tuyền thông tin nhận thực đến AAA server khách Nó thu nhập số liệu toán tù' PCF, lập tương quan cho sổ liệu này, tạo thông tin toán chuyển đến AAA server khách Có tong kết yêu cầu đối vói PDSN sau: Thiết lập, trì kết lóp liên kết đến Client di động Khởi đầu nhận thực, trao quyền toán cho Client di động Truyền tunnel(an ninh tùy chọn) sử dụng an ninh IP đến tác tận nhà Nhận thông số dịch vụ từ AAA cho Client di động Thu thập số liệu mức độ sử dụng cho mục đích toán để chuyển sổ liệu nhà đến AAA Định tuyến gói đến mạng số liệu hay đến HA trường họp tmyền tunnel ngược Chuyến đối địa nhà địa HA đến nhận dạng lóp liên kết để thông tin với mạng vô tuyến 5.1.7 Tác nhân nhà MIP HA định tuyến đặt mạng IP nhà MS Nó đăng kí PDSN /FA cho MS Đăng kí PDSN cho MS thực CoA, địa IP PDSN Khi MS không nằm mạng nhà, HA nhận gói ệửi đến MS liên kết nhà, đóng bao chúng vào tiêu đề IP khác tuyền tunnel chúng đến PDSN Các yêu cầu HA: Duy trì đăng kí người sử dụng chuyển gói đến PDSN Thiết lập tunnel (an ninh IP tùy chọn) đến PDSN / FA Hỗ trợ ấn định địa HA động Án định địa nhà động (tùy chọn) cho MS Ấn định địa nhà thực từ pun (tổ họp) địa lập cấu hình chồ, thông qua DHCP server hay từ AAA server 5.2 Các dịch vụ số liệu gói cdma2000 5.2.1 IP đon giản Đặc điểm IP đơn giản không hỗ trợ di động bên PDSN phục vụ Mạng đảm bảo dịch vụ định tuyến IP đến điếm truy nhập mạng thời (PDSN) Điều giống dịch vụ nhà cung cấp dịch vụ Internet quay số Một MS chuyển vùng từ RAN đến RAN khác sử dụng thủ tục cập nhật vị trí, phiên thiết lập với PDSN, MS chuyển giao phiên đến PDSN khác, ppp sử dụng để đảm bảo giao thức liên kết số liệu người sử dụng PDSN PDSN ấn định địa IP động cho MS giai đoạn IPCP (IP Control Protocol) ppp Giao diện A10/A11 sử dụng để đảm bảo truyền tunnel lưu lượng chuyển giao nội PDSN Người sử dụng trì địa IP sử dụng kết IP chừng nằm Các chuyên đề vô tuyến 45 [...]... một hệ thống thông tin di động Mục tiêu của việc thiết kế ki n trúc an ninh cho một hệ thống thông tin di động là tạo lập một chương trinh khung cho phép li n tục phát tri n Giống như việc thiết kế internet, ki n trúc an ninh được modun hóa Các mô dun n y được gọi là các “ mi n Các chuy n đề vô tuy n 6 SIM An Ninh Trong Các Hệ Thống Thông Tin Di Động An An Ninh Ninh Trong Trong Các Các Hệ Hệ Thống Thống... các n t thù địch (từ các mi n nhà khai thác khác nhau) phát động t n công l n nhau khi các n t n y sử dụng các tài nguy n mạng và các dịch vụ chung do mạng con hổ trợ di động cung cấp 4.3 Môi trường an ninh của MIP 4.3.1 Li n kết an ninh IPSec Các chuy n đề vô tuy n 35 An Ninh Trong Các Hệ Thống Thông Tin Di Động SA (Security Association: Li n kết an ninh) là khái niệm an ninh và nh n thực cơ b n trong. .. cường an ninh trước khiđược giao tính dịchthông ng n qua hàmhàng f9 dựa tr n đầu vào: khóa to n v n (IKTntergrity Key), Direction hướng, COUNT-1 trực tuy n Các chuy n đề vô tuy n 21 22 Chức n ng Đầu ra Hàm tạo hô lệnh ngẫu nhi n RAND Hàm nh n thực mạng MAC-A/XMAC-A Hàm nh n thực b n tin đồng bộ lại MAC-S/XMAC-S An An AnNinh Ninh NinhTrong Trong TrongCác Các CácHệ Hệ H Thống Thống ThốngThông Thông ThôngTin... đ n USIM Kết quả chờ đợi từ ƯSIM Thẻ nh n thực để nh n thực AuC với USIM An Ninh Trong CácHệ H Thống ThốngThông ThôngTin TinDi Di ộng Động Ninh Trong Các Hệ Thống Thông Tin AnAn Ninh Trong Các Khóa mật mã để bảo mật Hình 3.8: tục thực đồng bộ lạidụng, trong AuC Đe nh n dạng giải thuật nhau được sử mồi UIA có ngoài 1được nhậndải dạng riênglại Thẻ đồng bộ lạicác được tạo ra khác tạiThủ USIM khi số trình... tr n mạng hữu tuy n Mục đích của an ninh n y là đảm bảoUser riêng tư cho Security) thông tin Tập người sửtính dụng tr n đường • An ninh mi n người sử dụng (UDS: Domain Hệ thống concác chuy n năng an ninh Hệ Thống Con Trạm I rạm Ui tìộng truy n để vô tuy n mạch Gốc ;MS; bảo truy nhập an ninh đ n MS đảm ;BSSvô ; tuy n GSM được đảm bỏ :ss; hai quá trình: nhậnn trường an ninh di n • Môi An ninh miềm ứng... bộ định tuy n tại mạng ngoài đế định tuy n các dịch vụ đ n nút di động n i n t n y đăng ký tạm trú Tác nh n ngoài gửi trả lời theo đường hầm và chuy n các bó số liệu được chuy n đường hầm từ tác nh n nhà của n t di động đ n nút di động 4.1.3 Tổng quan giao thức Các chuy n đề vô tuy n 34 An Ninh Trong Các Hệ Thống Thông Tin Di Động Phát hi n tác nh n Các HA và FA có thể quảng cáo khả n ng s n sàng của... gồm cả công nghệ, sử dụng và tiết lộ thông tin mật trong xí nghiệp Ngay cả khi một hãng có thể áp dụng giải pháp an ninh công nghệ mạnh, thì to n bộ hệ thống v n không an ninh n u các người sử dụng n không tu n thủ các chỉ d n an ninh của hãng, c n lưu ý rằng các kẻ xâm phạm lu n tìm cách đánh vào khâu yếu nhất trong hệ thống, khâu yếu n y thường do người sử dụng 1.5 An ninh giao thức vô tuy n, wap... c n danh mục đen chứa chứa Các chuy n đề vô tuy n 18 An Ninh Trong Các Hệ Thống Thông Tin Di Động Các mạng ngoài không phải là bộ ph n của hệ thống UMTS, nhưng chúng c n thiết đế đảm bảo truy n thông giữa các nhà khai thác Các mạng ngoài có thể là các mạng đi n thoại:PLMN,PSTN, ISDN hay các mạng số liệu như internet Mi n PS kết n i đ n các mạng số liệu c n mi n cs n i đ n các mạng đi n thoại 1.5 Các. .. (AMF,K,RAND,SQN) tấndạng côngUIA cực sử dụng 1 trạm phát giả 3.8.3 Các Nh n Các khóa mật mã và nh n thực được truy n lộ liễu trong mạng và giữa các mạng AND RES UTN s SQNVI& Cácchuy n chuy n ề đềvô vôtuy n tuy n Các VIAO s 28 26 29 27 An Ninh Trong Các Hệ Thống Thông Tin Di Động Khả n ng bị cướp kênh trong các mạng d n đ n không bảo mật Không hổ trợ to n v n sổ liệu IMEI là 1 nh n dạng không an ninh vì... bằng một khóa chia sẻ quy định trước do IPS cung cấp Ngoài ra cũng c n lưu ỷ thay đổi mã PIN khi sử dụng khóa K 4 để khóa SIM cũng tăng cường thêm cho GPRS Các chuy n đề vô tuy n 15 An Ninh Trong Các Hệ Thống Thông Tin Di Động CHƯƠNG 3: CÔNG NGHỆ AN NINH TRONG 3G UMTS UMTS (Universal Mobile Telecommunication System: hệ thống thông tin di động to n cầu) là hệ thống thông tin di động to n cầu thế hệ ... lệnh ngẫu nhi n RAND Hàm nh n thực mạng MAC-A/XMAC-A Hàm nh n thực tin đồng lại MAC-S/XMAC-S An An AnNinh Ninh NinhTrong Trong TrongCác Các CácHệ Hệ H Thống Thống ThốngThông Thông ThôngTin Tin. .. với n i dung sau: V V V V V V Chương Tổng quan an ninh thông tin di động Chương Công nghệ an ninh GSM GPRS Chương Công nghệ an ninh 3G UMTS Chương Công nghệ an ninh MIP Chương Công nghệ an ninh. .. tuy n V AN NINH TRONG CÁC HỆ THỐNG THÔNG TIN DI ĐỘNG Chương Tổng quan an ninh thông tin di động 1.1 Tạo lập môi trường an ninh 1.2 Các đe dọa an ninh 1.3 Các công nghệ an ninh