Đồ án An ninh trong 3g UMTS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: AN NINH TRONG 3G UMTS Người thực hiện: Phạm Văn Quỳnh Hà Nội 2010 PH Ạ M V Ă N Q U Ỳ N H A N N IN H TR O N G 3G U M TS H 07V TTD Häc viÖn c«ng nghÖ b­u chÝnh viÔn th«ng §å ¸n tèt nghiÖp ®¹i häc truyÒn dÉn wdm vµ øng dông trªn m¹ng truyÒn dÉn ®­êng trôc b¾c-nam HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: AN NINH TRONG 3G UMTS Người thực hiện: Phạm Văn Quỳnh Lớp: H07VTTD Người hướng dẫn: Ths. Nguyễn Viết Minh Hµ Néi 2010 §Ò tµI ®å ¸n tèt nghiÖp ®¹i häc Hä vµ tªn: Phạm Văn Quỳnh. Líp: H07VTTD. Khoa: Viễn Thông I. Ngµnh: Điện tử - Viễn thông. Tªn ®Ò tµi: ”AN NINH TRONG 3G UMTS” Néi dung ®å ¸n: - Tổng quan về 3G UMTS. - An ninh trong thông tin di động. - Giải pháp an ninh trong 3G UMTS. Ngày giao đề tài: …/…/….. Ngày nộp đồ án: …/…/….. Ngµy th¸ng n¨m 2010 Giáo viên hướng dẫn Ths. Nguyễn Viết Minh Häc ViÖn C«ng NghÖ B­u ChÝnh ViÔn Th«ng Khoa ViÔn Th«ng I Céng Hoµ X· Héi Chñ NghÜa ViÖt Nam §éc lËp – Tù do – H¹nh phóc NhËn xÐt cña ng­êi h­íng dÉn: ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. §iÓm : ………(B»ng ch÷ : ………………….. ) Ngµy th¸ng n¨m 2010 NhËn xÐt cña ng­êi ph¶n biÖn: ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. ................................................................................................. §iÓm : ………(B»ng ch÷ : ………………….. ) Ngµy th¸ng n¨m 2010 Mục lục Phạm Văn Quỳnh, H07VTTD_______________________________________________ i MỤC LỤC MỤC LỤC .................................................................................................................. i THUẬT NGỮ VIẾT TẮT........................................................................................ iii DANH MỤC HÌNH VẼ ......................................................................................... viii DANH MỤC BẢNG BIỂU ...................................................................................... ix LỜI NÓI ĐẦU........................................................................................................... 1 CHƯƠNG I: TỔNG QUAN VỀ 3G UMTS............................................................. 3 1.1 Tổng quan lộ trình phát triển thông tin di động................................................. 3 1.2 Đặc điểm cơ bản của 3G UMTS....................................................................... 4 1.3 CS, PS, các loại lưu lượng và dịch vụ được 3G UMTS hỗ trợ .......................... 6 1.3.1 Chuyển mạch kênh và chuyển mạch gói ............................................................. 6 1.3.2 Các lưu lượng và dịch vụ được 3G UMTS hỗ trợ................................................ 8 1.4 Kiến trúc 3G UMTS R3.................................................................................. 10 1.4.1 Thiết bị người sử dụng...................................................................................... 10 1.4.2 Mạng truy nhập vô tuyến mặt đất UMTS.......................................................... 12 1.4.3 Mạng lõi........................................................................................................... 13 1.4.4 Các mạng ngoài................................................................................................ 16 1.4.5 Các giao diện.................................................................................................... 16 1.5 Kiến trúc 3G UMTS R4.................................................................................. 17 1.6 Kiến trúc 3G UMTS R5.................................................................................. 19 1.7 Kết luận.......................................................................................................... 21 CHƯƠNG II: AN NINH TRONG THÔNG TIN DI ĐỘNG................................ 22 2.1 Tạo lập môi trường an ninh ............................................................................ 22 2.1.1 Nhận thực......................................................................................................... 22 2.1.2 Toàn vẹn số liệu ............................................................................................... 22 2.1.3 Bảo mật ............................................................................................................ 22 2.1.4 Trao quyền ....................................................................................................... 23 2.1.5 Cấm từ chối ...................................................................................................... 23 2.2 Các đe dọa an ninh ......................................................................................... 23 2.2.1 Đóng giả........................................................................................................... 23 2.2.2 Giám sát ........................................................................................................... 23 2.2.3 Làm giả ............................................................................................................ 24 2.2.4 Ăn cắp.............................................................................................................. 24 2.3 Các công nghệ an ninh ................................................................................... 25 2.3.1 Công nghệ mật mã............................................................................................ 25 2.3.2 Các giải thuật đối xứng..................................................................................... 25 2.3.3 Các giải thuật bất đối xứng ............................................................................... 27 2.3.4 Nhận thực......................................................................................................... 28 2.3.5 Các chữ ký điện tử và tóm tắt bản tin................................................................ 29 2.3.6 Các chứng chỉ số .............................................................................................. 30 2.3.7 Hạ tầng khóa công khai PKI ............................................................................. 31 2.3.8 Nhận thực bằng bản tin nhận thực..................................................................... 34 2.4 An ninh giao thức vô tuyến............................................................................. 36 2.4.1 An ninh lớp truyền tải vô tuyến (WTLS) .......................................................... 36 2.4.2 Lỗ hổng WAP .................................................................................................. 37 2.4.3 WAP 2.x........................................................................................................... 38 Mục lục Phạm Văn Quỳnh, H07VTTD_______________________________________________ ii 2.5 Mô hình an ninh tổng quát của một hệ thống thông tin di động....................... 38 2.6 An ninh trong GSM........................................................................................ 39 2.6.1 Mô hình an ninh cho giao diện vô tuyến ........................................................... 39 2.6.2 Các hạn chế trong an ninh GSM ....................................................................... 40 2.7 Kết luận.......................................................................................................... 42 CHƯƠNG III: GIẢI PHÁP AN NINH TRONG 3G UMTS ................................. 43 3.1 Mô hình kiến trúc an ninh 3G UMTS ............................................................. 43 3.1.1 Nhận thực......................................................................................................... 43 3.1.2 Bảo mật ............................................................................................................ 43 3.1.3 Toàn vẹn .......................................................................................................... 44 3.2 Các hàm mật mã............................................................................................. 45 3.2.1 Yêu cầu đối với các giải thuật và các hàm mật mã ............................................ 45 3.2.2 Các hàm mật mã............................................................................................... 45 3.2.3 Sử dụng các hàm mật mã để tạo AV trong AuC................................................ 50 3.2.4 Sử dụng các hàm mật mã để tạo các thông số an ninh trong USIM ................... 50 3.2.5 Sử dụng các hàm để đồng bộ lại tại USIM ........................................................ 51 3.2.6 Sử dụng các hàm để đồng bộ lại tại AuC .......................................................... 52 3.2.7 Thứ tự tạo khóa ................................................................................................ 53 3.3 Các thông số nhận thực .................................................................................. 53 3.3.1 Các thông số của vec-tơ nhận thực (AV)........................................................... 53 3.3.2 Thẻ nhận thực mạng (AUTN) ........................................................................... 54 3.3.3 Trả lời của người sử dụng và giá trị kỳ vọng (RES&XRES) ............................. 54 3.3.4 MAC-A&XMAC-A ......................................................................................... 54 3.3.5 Thẻ đồng bộ lại (AUTS) ................................................................................... 54 3.3.6 MAC-S&XMAC-S........................................................................................... 54 3.3.7 Kích cỡ của các thông số nhận thực .................................................................. 55 3.4 Mô hình an ninh cho giao diện vô tuyến 3G UMTS........................................ 55 3.4.1 Mạng nhận thực người sử dụng......................................................................... 56 3.4.2 USIM nhận thực mạng...................................................................................... 57 3.4.3 Mật mã hóa UTRAN ........................................................................................ 57 3.4.4 Bảo vệ toàn vẹn báo hiệu RRC ......................................................................... 58 3.5 Nhận thực và thỏa thuận khóa AKA ............................................................... 59 3.5.1 Tổng quan về AKA .......................................................................................... 60 3.5.2 Các thủ tục AKA .............................................................................................. 60 3.6 Thủ tục đồng bộ lại AKA ............................................................................... 62 3.7 An ninh trong 3G UMTS R5 .......................................................................... 63 3.7.1 An ninh miền mạng NDS.................................................................................. 63 3.7.2 An ninh IMS..................................................................................................... 65 3.8 Kết luận.......................................................................................................... 72 KẾT LUẬN............................................................................................................... ix TÀI LIỆU THAM KHẢO......................................................................................... x Thuật ngữ viết tắt Phạm Văn Quỳnh, H07VTTD_______________________________________________ iii THUẬT NGỮ VIẾT TẮT 1G The First Generation Hệ thống di động thế hệ một 2G The Second Generation Hệ thống di động thế hệ hai 3G The Third Generation Hệ thống di động thế hệ ba 3GPP Third Generation Partnership Project Đề án đối tác thế hệ thứ 3 A ACL Access Control List Danh sách điều khiển truy nhập ADS Application Domain Security An ninh miền ứng dụng AES Advantage Encryption Standard Tiêu chuẩn mật mã hóa tiên tiến AH Authentication Header Tiêu đề nhận thực AKA Authentication and Key Agreement Nhận thực và thỏa thuận khóa AMF Authentication Management Field Trường quản lý nhận thực AMPS Advanced Mobile Phone System Hệ thống điện thoại tiên tiến ATM Asynchronous Transfer Mode Phương thức truyền bất đối xứng AuC Authentication Center Trung tâm nhận thực AUTN Authentication Token Thẻ nhận thực mạng AV Authentication Vector Vec-tơ nhận thực B BG Border Gateway Cổng biên giới BICC Bearer Independent Call Control Điều khiển cuộc gọi độc lập kênh mang BTS Base Transceiver Station Trạm thu phát gốc C CA Certificate Authority Thẩm quyền chứng nhận CK Cirphering Key Khóa mật mã CN Core Network Mạng lõi CRL Certificate Revocation List Danh sách hủy chứng nhận CRNC Control RNC RNC điều khiển CS Circuit Switching Chuyển mạch kênh CSCF Connection State Control Function Chức năng điều khiển trạng thái kết nối D DES Data Encryption Standard Tiêu chuẩn mật mã háo số liệu DNS Domain Name System Hệ thống tên miền DRNC Drifting RNC RNC trôi E ECC Elliptic Curve Cryptography Một loại giải thuật mật mã hóa EIR Equipment Identify Register Thanh ghi nhận dạng thuê bao ESP Encapsulation Security Payload Tải tin an ninh đóng bao F Thuật ngữ viết tắt Phạm Văn Quỳnh, H07VTTD_______________________________________________ iv FDD Frequency Division Duplexing Song công phân chia theo tần số FDM Frequency Division Multiplexing Ghép kênh phân chia theo tần số G GGSN Gate GPRS Support Node Nút hỗ trợ GPRS cổng GMSC Gate-MSC MSC cổng GPS Global Positioning System Hệ thống định vị toàn cầu GSM Global System for Mobile Communication Hệ thống thông tin di động toàn cầu GTP GPRS Tunnel Protocol Giao thức đường hầm GPRS H HE Home Environment Môi trường nhà HLR Home Location Register Thanh ghi định vị thường trú HSS Home Subscriber Server Server thuê bao tại nhà I I-CSCF Interrogating CSCF CSCF hỏi IDEA International Data Encryption Algorithm Giải thuật mật mã hóa số liệu quốc tế IETF Internet Engineering Task Force Nhóm đặc trách Internet IK Integrity Key Khóa toàn vẹn IKE Internet Key Exchange Trao đổi khóa Internet IMEI International Mobile Equipment Identifier Nhận dạng thuê bao di động quốc tế IMPI IMS Private Identity Nhận dạng riêng IMS IMPI Internet Multimedia Public Identifier Nhận dạng công cộng đa phương tiện Internet IMPU IMS Public Identify Nhận dạng công cộng IMS IMS IP Multimedia CN Subsystem Hệ thống con mạng lõi đa phương tiện IP IMSI International Mobile Subscriber Identifier Nhận dạng thuê bao di động quốc tế IP Internet Protocol Giao thức Internet IPsec IP Security An ninh IP ISDN Integrated Sevices Digital Network Mạng số tích hợp đa dịch vụ ISIM IMS Subscriber Identify Module Mô dun nhận dạng thuê bao IMS ISIM Internet Services Multimedia Identity Module Mô dun nhận dạng dịch vụ đa phương tiện Internet ITU International Telecommunication Union Liên minh viễn thông quốc tế K K Master Key Khóa chủ KS Key Stream Luồng khóa L LA Local Area Vùng định vị Thuật ngữ viết tắt Phạm Văn Quỳnh, H07VTTD_______________________________________________ v M MAC Message Authentication Code Mã nhận thực bản tin MAC-A MAC- Authentication Mã nhận thực bản tin dành cho nhận thực MAC-I MAC-Integrity MAC dành cho toàn vẹn MACsec MAC Security An ninh MAP MD Message Degest Tóm tắt bản tin ME Mobile Equipment Thiết bị di động MEGACO Media Gateway Controller Bộ điều khiển cổng phương tiện MGCF Media Gateway Control Function Chức năng điều khiển cổng các phương tiện MGW Media Gateway Cổng phương tiện MIP Mobile Internet Procol Giao thức Internet di động MRF Multimedia Resource Function Chức năng tài nguyên đa phương tiện MS Mobile Station Trạm di động MSC Mobile Services Switching Center Trung tâm chuyển mạch các dịch vụ di động N NAI Network Access Identify Nhận dạng truy nhập mạng NAS Network Access Security An ninh truy nhập mạng NDS Network Domain Security An ninh miền mạng NMT Nordic Mobile Telephone System Hệ thống điện thoại di động Bắc Âu P PCM Pulse Code Modulation Điều chế xung mã P-CSCF Proxy CSCF CSCF ủy thác PDP Packet Data Protocol Giao thức Dứ liệu gói PIN Personal Identification Number Số nhận dạng cá nhân PKI Public Key Infrastructure Hạ tầng khóa công khai PLMN Public Land Mobile Network Mạng di động công cộng mặt đất PS Packet Switching Chuyển mạch gói PSTN Public Switched Telephone Network Mạng điện thoại chuyền mạch công cộng P-TMSI Packet- TMSI TMSI gói Q QoS Quality of Service Chất lượng dịch vụ R RA Routing Area Vùng chuyển mạch RAN Radio Access Network Mạng truy nhập vô tuyến RAND Random Number Số ngẫu nhiên/ hô lệnh ngẫu nhiên RES User Respone Trả lời của người sử dụng RNC Radio Network Controller Bộ điều khiển mạng vô tuyến Thuật ngữ viết tắt Phạm Văn Quỳnh, H07VTTD_______________________________________________ vi RSA Ron Rivest, Adi Shamir and Leonard Adelman Algorithm Giải thuật mật mã của ba đồng tác giả Ron Rivest, Adi Shamir and Leonard Adelman RSGW Roaming Signalling Gateway Cổng báo hiệu chuyển mạng RTP Real Time Transport Protocol Giao thức truyền tải thời gian thực S S-CSCF Serving CSCF CSCF phục vụ SDP Session Description Protocol Giao thức miêu tả phiên SGSN Serving GPRS Support Node Nút bỗ trợ GPRS phục vụ SHA Security Hash Algorithm Thuật toán làm rối an ninh SIP Session Initiation Protocol Giao thức khởi tạo phiên SMR Special Mobile Radio Vô tuyến di động đặc biệt SQN Sequence Number Số trình tự SRES Signed RESponse Trả lời được ký SRNC Serving RNC RNC phục vụ SS7GW Signaling System No.7 Gateway Cổng hệ thống báo hiệu số 7 SSL Secure Sockets Layer Lớp các ổ cắm an ninh T TACS Total Access Communications Systems Hệ thống truyền thông truy nhập toàn bộ TDD Time Division Duplexing Song công phân chia theo thời gian TDM Time Division Multiplexing Ghép kênh phân chia theo thời gian TE Terminal Equipment Thiết bị đầu cuối TLS Transport Layer Security An ninh lớp truyền tải TMSI Temporary Mobile Subscriber Identity Nhận dạng di động tạm thời TSGW Transport Signalling Gateway Cổng báo hiệu truyền tải U UA User Agent Tác nhân người sử dụng UAC UA Client UA khách UAS UA Server UA chủ UDS User Domain Security An ninh miền người sử dụng UE User Equipment Thiết bị người sử dụng UEA UMTS Encryption Algorithm Giải thuật mật mã UMTS UIA UMTS Integrity Algorithm Giải thuật toàn vẹn UMTS UICC UMTS IC Card Thẻ vi mạch UMTS UMTS Univesal Mobile Telecommunication System Hệ thống viến thông di động toàn cầu URI Unified Resource Identifier Nhận dạng tài nguyên đồng dạng USIM UMTS Subscriber Identify Module Môdun nhận dạng thuê bao UMTS Thuật ngữ viết tắt Phạm Văn Quỳnh, H07VTTD_______________________________________________ vii UTRAN UMTS Terrestrial Radio Access Network Mạng truy nhập vô tuyến mặt đất UMTS V VC Virtual Channel Đường truyền ảo VLR Visitor Location Register Thanh ghi định vị tạm thời VoIP Voice over Internet Protocol Thoại trên nền IP VP Virtual Packet Gói ảo W WAP Wireless Application Protocol Giao thức ứng dụng vô tuyến WAPsec WAP Security An ninh WAP WCDMA Wideband Code Division Multiple Access Đa truy nhập phân chia theo mã băng rộng WTLS Wireless Transfer Security Layer An ninh lớp truyền tải vô tuyến X XMAC-A Expected-MACA MAC-A kỳ vọng XMAC-I Expected-MACI MAC-I kỳ vọng XRES Expected User Respone Trả lời kỳ vọng của người sử dụng Danh mục hình vẽ Phạm Văn Quỳnh, H07VTTD_______________________________________________ viii DANH MỤC HÌNH VẼ Hình 1.1 Quá trình phát triển của các nền tảng thông tin di động từ 1G đến 3G........... 4 Hình 1.2 Kiến trúc 3G UMTS R3.............................................................................. 10 Hình 1.3 Kiến trúc 3G UMTS R4............................................................................. 18 Hình 1.4 Kiến trúc mạng đa phương tiện 3G UMTS R5............................................ 20 Hình 2.1 Minh họa cơ chế cơ sở của mật mã bằng khóa duy nhất.............................. 26 Hình 2.2 Quá trình sử dụng tóm tắt bản tin để cung cấp các chữ ký điện tử............... 29 Hình 2.3 Nhận thực bằng chữ ký điện tử ................................................................... 33 Hình 2.4 Phương pháp nhận thực sử dụng MAC. ...................................................... 35 Hình 2.5 Kiến trúc an ninh tổng quát của một hệ thống thông tin di động. ................ 38 Hình 2.6 Mô hình an ninh cho giao diện vô tuyến ở GSM......................................... 39 Hình 3.1 Quá trình mật mã hóa và giải mật mã hóa bằng hàm f8............................... 47 Hình 3.2 Nhận dạng toàn vẹn bản tin với sử dụng hàm toàn vẹn f9. .......................... 48 Hình 3.3 Quá trình tạo các AV trong AuC................................................................. 50 Hình 3.4 Quá trình tạo các thông số an ninh trong USIM. ......................................... 51 Hình 3.5 Tạo AUTS trong USIM. ............................................................................. 52 Hình 3.6 Thủ tục đồng bộ lại trong AuC. .................................................................. 53 Hình 3.7 Mô hình an ninh cho giao diện vô tuyến ở 3G UMTS................................. 56 Hình 3.8 Nhận thực người sử dụng tại VLR/SGSN. .................................................. 57 Hình 3.9 Nhận thực mạng tại USIM.......................................................................... 57 Hình 3.10 Bộ mật mã luồng trong UMTS.................................................................. 58 Hình 3.11 Nhận thực toàn vẹn bản tin. ...................................................................... 59 Hình 3.12 Tổng quan quá trình nhận thực và thỏa thuận khóa AKA.......................... 60 Hình 3.13 Thủ tục đồng bộ lại của AKA. .................................................................. 62 Hình 3.14 Kiến trúc an ninh IMS. ............................................................................. 67 Hình 3.15 Kiến trúc an ninh IMS của UMTS R5....................................................... 68 Hình 3.16 Đăng ký và nhận thực trong IMS. ............................................................. 70 Danh mục bảng biểu Phạm Văn Quỳnh, H07VTTD_______________________________________________ ix DANH MỤC BẢNG BIỂU Bảng 1.1 Phân loại các dịch vụ ở 3G UMTS. .............................................................. 9 Bảng 3.1 Các hàm mật mã......................................................................................... 46 Bảng 3.2 Kích cỡ các thông số nhận thực.................................................................. 55 Lời nói đầu Phạm Văn Quỳnh, H07VTTD_______________________________________________ 1 LỜI NÓI ĐẦU Ở Việt Nam trong những năm gần đây, ngành công nghiệp viễn thông nói chung và thông tin di động nói riêng đã có những bước phát triển vượt bậc. Từ chỗ có hai nhà cung cấp dịch vụ di động, cho đến nay đã có bẩy nhà cung cấp dịch vụ di động. Cùng với đó, số lượng thuê bao di động không ngừng tăng lên, yêu cầu của khách hàng sử dụng dịch vụ di động cũng ngày một cao hơn. Điện thoại di động giờ đây không chỉ để dùng để nghe gọi như trước nữa, mà nó đã trở thành một đầu cuối di động với đầy đủ các tính năng để phục vụ mọi nhu cầu của con người. Bằng chiếc điện thoại của mình người sử dụng có thể giải trí, truy cập dữ liệu phục vụ việc học hành, nghiên cứu hay giao lưu, học hỏi, không những thế người sử dụng còn có thể dùng nó để thực hiện các giao dịch kinh doanh, giao dịch ngân hàng trực tuyến,… với tốc độ cao không thua kém gì các mạng có dây. Để những điều nêu trên trở thành hiện thực, các nhà cung cấp dịch vụ di động tại Việt Nam đã và đang cho ra mắt khách hàng viễn thông hệ thống thông tin di động thế hệ thứ ba (3G). Đặc điểm nổi bật nhất của hệ thống này là tốc độ xử lý dữ liệu cao và loại hình dịch vụ phong phú, đa dạng. Tuy nhiên, để khách hàng có thể yên tâm và tin tưởng khi sử dụng dịch vụ thì vấn đề an ninh, an toàn thông tin trong hệ thống thông tin di động thế hệ thứ ba phải được đặt lên hàng đầu. Bởi dữ liệu được truyền trên mạng di động giờ đây không chỉ đơn thuần là thoại, mà là dữ liệu của các phiên giao dịch trực tuyến. Nếu không đảm bảo an toàn thông tin thì thiệt hại về kinh tế là vô cùng to lớn. Với đề tài: “An ninh trong 3G UMTS” trong đồ án tốt nghiệp của mình, em hy vọng tìm hiểu về vấn đề an ninh trong hệ thống thông tin di động thế hệ thứ ba cũng như các giải pháp để bảo mật và bảo vệ toàn vẹn thông tin của người sử dụng khi được truyền trong hệ thống. Nội dung của quyển đồ án bao gồm ba chương: Chương 1: Tổng quan về 3G UMTS. Nội dung của chương này đề cập đến lộ trình phát triển của hệ thống thông tin di động, các đặc điểm, loại hình dịch vụ mà hệ thống thông tin di động thế hệ thứ ba cung cấp. Phần cuối chương có đề cập đến các cấu trúc của hệ thống 3G UMTS, từ R3, R4 đến R5. Chương 2: An ninh trong thông tin di động. Nội dung của chương đề cập đến các đe dọa an ninh đối với hệ thống thông tin di động và các giải pháp để đảm bảo an Lời nói đầu Phạm Văn Quỳnh, H07VTTD_______________________________________________ 2 toàn thông tin trong các hệ thống thông tin di động. Cuối chương có đề cập đến an ninh trong hệ thống thông tin di động thế hệ thứ hai. Chương 3: Giải pháp an ninh trong 3G UMTS. Đây là phần nội dung chính của quyển đồ án. Nội dung đề cập đến các nguyên lý cơ bản để xây dựng một kiến trúc an ninh cho hệ thống 3G UMTS. Các biện pháp cụ thể để bảo vệ an toàn thông tin khi truyền trên giao diện vô tuyến của hệ thống. Tìm hiểu cụ thể quá trình nhận thực và thỏa thuận khóa AKA, các hàm mật mã được sử dụng và các thông số nhận thực liên quan. Và đặc biệt cuối chương có đề cập đến cấu trúc an ninh cho hệ thống 3G UMTS phiên bản R5. Cuối cùng, con xin cảm ơn cha, mẹ và toàn thể gia đình đã tạo điều kiện tốt nhất để con hoàn thành tốt quyển đồ án này. Em xin chân thành cảm ơn thầy giáo Nguyễn Viết Minh, cùng các thầy, cô giáo trong Học Viện đã chỉ bảo và hướng dẫn em trong suốt thời gian học tập và làm đồ án tốt nghiệp. Tôi xin cảm ơn bạn bè trong lớp, trên diễn đàn đã giúp đỡ tôi rất nhiều với những tình cảm chân thành nhất. Bắc Ninh, Ngày 20 tháng 01 năm 2010 Sinh viên (ký) Phạm Văn Quỳnh Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 3 CHƯƠNG I: TỔNG QUAN VỀ 3G UMTS 1.1 Tổng quan lộ trình phát triển thông tin di động Hệ thống thông tin di động được chia thành ba thế hệ: thứ nhất (1G); thứ hai (2G) và thứ ba (3G). Các hệ thống 1G đảm bảo truyền dẫn tương tự dựa trên công nghệ ghép kênh phân chia theo tần số (FDM) với kết nối mạng lõi dựa trên công nghệ ghép kênh phân chia theo thời gian (TDM). Ví dụ điển hình cho hệ thống này là hệ thống điện thoại di động tiên tiến (AMPS), được sử dụng trên toàn nước Mỹ và hệ thống điện thoại di động Bắc Âu (NMT). Thông thường các công nghệ 1G được triển khai tại một nước hoặc nhóm các nước, không được tiêu chuẩn hóa bởi các cơ quan tiêu chuẩn quốc tế và không có ý định dành cho sử dụng quốc tế. Khác với 1G, các hệ thống 2G được thiết kế để triển khai quốc tế. Thiết kế 2G nhấn mạnh hơn về tính tương thích, khả năng chuyển mạng phức tạp và sử dụng truyền dẫn tiếng số hóa trên giao diện vô tuyến. Các thí dụ điển hình về các hệ thống 2G là: GSM và cdmaOne (dựa trên tiêu chuẩn TIA IS-95). Có thể coi một hệ thống thông tin di động là 3G nếu nó đáp ứng một số các yêu cầu được liên minh viễn thông quốc tế (ITU) đề ra sau đây: + Hoạt động ở một trong số các tần số được ấn định cho các dịch vụ 3G; + Phải cung cấp dẫy các dịch vụ số liệu mới cho người sử dụng bao gồm cả đa phương tiện, độc lập với công nghệ giao diện vô tuyến; + Phải hỗ trợ truyền dẫn số liệu di động tại 144 kb/s cho các người sử dụng di động tốc độ cao và truyền dẫn số liệu lên đến 2Mb/s cho các người sử dụng cố định hoặc di động tốc độ thấp; + Phải cung cấp các dịch vụ số liệu gói (các dịch vụ không dựa trên kết nối chuyển mạch kênh (CS) đến mạng số liệu dựa trên chuyển mạch gói (PS)); + Phải đảm bảo tính độc lập của mạng lõi với giao diện vô tuyến. Một số hệ thống 2G đang tiến hóa đến ít nhất một phần các yêu cầu trên. Điều này dẫn đến một hậu quả không mong muốn là làm sai lệch thuật ngữ "các thế hệ". Chẳng hạn GSM với hỗ trợ số liệu kênh được phân loại như hệ thống 2G thuần túy. Khi tăng cường thêm dịch vụ vô tuyến gói chung (GPRS), nó trở nên phù hợp với Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 4 nhiều tiêu chuẩn 3G. Dẫn đến nó không hẳn là 2G cũng như 3G mà là loại "giữa các thế hệ", vì thế hệ thống GSM được tăng cường GPRS hiện nay được gọi là hệ thống 2,5G. Trong khi thực tế vẫn thuộc loại 2G, ít nhất là về phương diện công nghệ truyền dẫn vô tuyến. Hình 1.1 mô tả quá trình phát triển của các thế hệ thông tin di động. Hình 1.1 Quá trình phát triển của các nền tảng thông tin di động từ 1G đến 3G. 1.2 Đặc điểm cơ bản của 3G UMTS Hệ thống thông tin di động thế hệ thứ 3 được xây dựng với mục đích cho ra đời một mạng di động toàn cầu với các dịch vụ phong phú, bao gồm: thoại; nhắn tin; Internet và dữ liệu băng rộng. Tại Châu Âu hệ thống thông tin di động thế hệ thứ 3 đã được tiêu chuẩn hoá bởi viện tiêu chuẩn viễn thông Châu Âu (ETSI) phù hợp với tiêu chuẩn IMT-2000 của ITU. Hệ thống có tên là “hệ thống viễn thông di động toàn cầu (UMTS)”. UMTS được xem là hệ thống kế thừa của hệ thống thế hệ thứ 2 (GSM), nhằm đáp ứng các yêu cầu phát triển của các dịch vụ di động và ứng dụng Internet. 3G UMTS được phát triển bởi đề án đối tác thế hệ thứ 3 (3GPP). Sử dụng dải tần quốc tế 2GHz như sau: đường lên: 1885-2025 MHz; đường xuống: 2110-2200 MHz. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 5 Hệ thống 3G UMTS sử dụng công nghệ đa truy nhập phân chia theo mã băng rộng (WCDMA). WCDMA là công nghệ được sử dụng cho phần giao diện vô tuyến của hệ thống 3G UMTS. Các thông số nổi bật đặc trưng cho WCDMA như sau: + WCDMA sử dụng trải phổ chuỗi trực tiếp (DSSS). Ở đây các bit thông tin được trải ra trong một băng tần rộng bằng cách nhân dữ liệu cần truyền với các bit giả ngẫu nhiên (gọi là chip). Các bit này xuất phát từ các mã trải phổ CDMA. Để hỗ trợ tốc độ bit cao (lên tới 2Mb/s), cần sử dụng các kết nối đa mã và hệ số trải phổ khác nhau. + WCDMA có tốc độ chip là 3,84 Mc/s dẫn đến băng thông của sóng mang xấp xỉ 5MHz, nên được gọi là hệ thống băng rộng. Với băng thông này WCDMA có thể hỗ trợ các tốc độ dữ liệu cao của người dùng và đem lại những lợi ích hiệu suất xác định. Các nhà vận hành mạng có thể sử dụng nhiều sóng mang 5MHz để tăng thêm dung lượng, cũng có thể sử dụng các lớp tế bào phân cấp. Khoảng cách giữa các sóng mang thực tế có thể được chọn trong khoảng từ 4,4MHz đến 5MHz, tuỳ thuộc vào nhiễu giữa các sóng mang. + WCDMA hỗ trợ tốt các tốc độ dữ liệu người dùng khác nhau hay nói cách khác là hỗ trợ tốt đặc tính băng thông theo yêu cầu. Mỗi người sử dụng được cấp các khung có độ rộng 10ms, trong khi tốc độ người sử dụng được giữ không đổi. Tuy nhiên dung lượng người sử dụng có thể thay đổi giữa các khung. Việc cấp phát nhanh dung lượng vô tuyến thông thường sẽ được điều khiển bởi mạng để đạt được thông lượng tối ưu cho các dịch vụ dữ liệu gói. + WCDMA hỗ trợ hai mô hình hoạt động cơ bản. Chế độ song công phân chia theo tần số (FDD) và song công phân chia theo thời gian (TDD). Trong chế độ FDD, đường lên và đường xuống sử dụng các sóng mang 5MHz có tần số khác nhau. Trong khi ở chế đố TDD, các đường lên và xuống sử dụng cùng tần số nhưng ở các khoảng thời gian khác nhau. + WCDMA hỗ trợ hoạt động của các trạm gốc dị bộ. Điều này khác với hệ thống đồng bộ IS-95, nên không cần chuẩn thời gian toàn cầu như ở hệ thống định vị toàn cầu (GPS). Việc triển khai các trạm gốc micro và trạm gốc indoor sẽ dễ dàng hơn khi nhận tín hiệu mà không cần GPS. + WCDMA áp dụng kỹ thuật tách sóng kết hợp trên cả đường lên và đường xuống dựa vào việc sử dụng kênh hoa tiêu. + Giao diện vô tuyến WCDMA được xây dựng một cách khéo léo theo cách của các bộ thu RAKE tiên tiến, có khả năng tách sóng của nhiều người dùng và các anten thích ứng thông minh, giao diện vô tuyến có thể được triển khai bởi các nhà điều khiển mạng như một hệ thống được chọn lựa để tăng dung lượng và vùng phủ sóng. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 6 1.3 Chuyển mạch kênh, chuyển mạch gói, các loại lưu lượng và dịch vụ được 3G UMTS hỗ trợ 1.3.1 Chuyển mạch kênh và chuyển mạch gói 1.3.1.1 Chuyển mạch kênh a. Chuyển mạch kênh Là sơ đồ chuyển mạch trong đó thiết bị chuyển mạch thực hiện các cuộc truyền tin bằng cách thiết lập kết nối chiếm một tài nguyên mạng nhất định trong suốt cuộc truyền tin. Kết nối này là tạm thời, liên tục và dành riêng. Tạm thời vì nó chỉ được duy trì trong thời gian cuộc gọi. Liên tục vì nó được cung cấp liên tục một tài nguyên nhất định (băng thông hay dung lượng và công suất) trong suốt thời gian cuộc gọi. Dành riêng vì kết nối này và tài nguyên chỉ dành riêng cho cuộc gọi này. Thiết bị chuyển mạch sử dụng cho chuyển mạch kênh (CS) trong các tổng đài của hệ thống 2G thực hiện chuyển mạch kênh trên cơ sở ghép kênh theo thời gian. Trong đó mỗi kênh có tốc độ 64Kb/s và vì thế phù hợp cho việc truyền các ứng dụng làm việc tại tốc độ cố định 64Kb/s (chẳng hạn tiếng được mã hoá PCM). b. Dịch vụ của chuyển mạch kênh Là dịch vụ trong đó mỗi đầu cuối được cấp phát một kênh riêng và nó toàn quyền sử dụng tài nguyên của kênh này trong thời gian cuộc gọi, tuy nhiên phải trả tiền cho toàn bộ thời gian này dù có truyền tin hay không. Dịch vụ chuyển mạch kênh có thể được thực hiện trên chuyển mạch kênh (CS) hoặc chuyển mạch gói (PS). Thông thường dịch vụ này được áp dụng cho các dịch vụ thời gian thực (như thoại). 1.3.1.2 Chuyển mạch gói a. Chuyển mạch gói Là sơ đồ chuyển mạch thực hiện phân chia số liệu của một kết nối thành các gói có độ dài nhất định và được truyền đến nơi nhận theo thông tin gắn trên tiêu đề của từng gói. Ở chuyển mạch gói (PS) tài nguyên mạng chỉ bị chiếm dụng khi có gói cần truyền. Chuyển mạch gói cho phép nhóm tất cả các số liệu của nhiều kết nối khác nhau phụ thuộc vào nội dung, kiểu hay cấu trúc số liệu thành các gói có kích thước phù hợp và truyền chúng trên một kênh chia sẻ. Việc nhóm các số liệu cần truyền được thực hiện bằng ghép kênh thống kê với ấn định tài nguyên động. Các công nghệ sử dụng cho chuyển mạch gói có thể là Frame Relay, ATM hoặc IP. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 7 b. Các dịch vụ của chuyển mạch gói Là dịch vụ trong đó nhiều đầu cuối cùng chia sẻ một kênh và mỗi đầu cuối chỉ chiếm dụng tài nguyên của kênh này khi có thông tin cần truyền và nó chỉ phải trả tiền theo lượng tin được truyền trên kênh. Dịch vụ chuyển mạch gói chỉ có thể được thực hiện trên chuyển mạch gói (PS). Dịch vụ này rất phù hợp cho các dịch vụ phi thời gian thực (như số liệu). Tuy nhiên, nhờ sự phát triển của công nghệ dịch vụ này cũng được áp dụng cho các dịch vụ thời gian thực (như VoIP). Chuyển mạch gói có thể thực hiện trên cơ sở ATM hoặc IP. Phương thức truyền dẫn không đồng bộ (ATM): là công nghệ thực hiện phân chia thông tin cần phát thành các tế bào 53 byte để truyền dẫn và chuyển mạch. Một tế bào ATM gồm 5 byte tiêu đề (có chứa thông tin định tuyến) và 48 byte tải tin (chứa số liệu của người sử dụng). Thiết bị chuyển mạch ATM cho phép chuyển mạch nhanh trên cơ sở chuyển mạch phần cứng tham chuẩn theo thông tin định tuyến trong tiêu đề mà không thực hiện phát hiện lỗi trong từng tế bào. Thông tin định tuyến trong tiêu đề gồm: đường dẫn ảo (VP) và kênh ảo (VC). Điều khiển kết nối bằng VC (tương ứng với kênh của người sử dụng) và VP (là một bó các VC) cho phép việc khai thác và quản lý có khả năng mở rộng và có độ linh hoạt cao. Thông thường VP được thiết lập trên cơ sở số liệu của hệ thống tại thời điểm xây dựng mạng. Việc sử dụng ATM trong mạng lõi có nhiều ưu điểm: có thể quản lý lưu lượng kết hợp với RAN, cho phép thực hiện các chức năng CS và PS trong cùng một kiến trúc và thực hiện khai thác cũng như điều khiển chất lượng liên kết. Chuyển mạch hay Router IP: cũng là một công nghệ thực hiện phân chia thông tin phát thành các khối được gọi là tải tin (Payload). Sau đó mỗi khối được gán một tiêu đề chứa các thông tin địa chỉ cần thiết cho chuyển mạch. Trong thông tin di động do vị trí của đầu cuối di động thay đổi nên cần phải có thêm tiêu đề bổ sung để định tuyến theo vị trí hiện thời của MS. Quá trình định tuyến này được gọi là truyền đường hầm (Tunnel). Có hai cơ chế để thực hiện điều này: IP di động (MIP) và giao thức đường hầm GPRS (GTP). Tunnel là một đường truyền mà tại đầu vào của nó gói IP được đóng bao vào một tiêu đề mang địa chỉ nơi nhận (trong trường hợp này là địa chỉ hiện thời của máy di động) và tại đầu ra gói IP được tháo bao bằng cách loại bỏ tiêu đề bọc ngoài. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 8 Vì 3G UMTS được phát triển từ những năm 1999 khi mà ATM là công nghệ chuyển mạch gói chủ đạo nên các tiêu chuẩn cũng được xây dựng trên công nghệ này. Tuy nhiên hiện nay và tương lai mạng viễn thông sẽ được xây dựng trên cơ sở Internet. Vì thế các chuyển mạch gói sẽ là chuyển mạch hoặc Router IP. 1.3.2 Các lưu lượng và dịch vụ được 3G UMTS hỗ trợ Vì 3G UMTS cho phép truyền dẫn nhanh hơn, nên truy nhập Internet và các lưu lượng thông tin số liệu khác sẽ phát triển nhanh. Ngoài ra 3G UMTS cũng được sử dụng cho các dịch vụ tiếng. Nói chung 3G UMTS hỗ trợ các dịch vụ tryền thông đa phương tiện. Vì thế mỗi kiểu lưu lượng cần đảm bảo một mức QoS nhất định tuỳ theo ứng dụng của dịch vụ, được phân loại như sau: + Loại hội thoại (Conversational, rt): thông tin tương tác yêu cầu trễ nhỏ (ví dụ như thoại); + Loại luồng (Streaming, rt): thông tin một chiều đòi hỏi dịch vụ luồng với trễ nhỏ (ví dụ như phân phối truyền hình thời gian thực); + Loại tương tác (Interactive, nrt): đòi hỏi trả lời trong một thời gian nhất định và tỷ lệ lỗi thấp (ví dụ trình duyệt Web, truy nhập Server); + Loại nền (Background, nrt): đòi hỏi các dịch vụ nỗ lực nhất được thực hiện trên nền cơ sở (ví dụ E-mail, file tải xuống). Môi trường hoạt động của 3G UMTS được chia thành bốn vùng với các tốc độ bit (Rb) phục vụ như sau: + Vùng 1: trong nhà, ô pico, Rb £ 2Mb/s; + Vùng 2: thành phố, ô micro, Rb £ 384Kb/s; + Vùng 2: ngoại ô, ô macro, Rb £ 144Kb/s; + Vùng 4: Toàn cầu, Rb = 12,2Kb/s. Có thể tổng kết các dịch vụ do 3G UMTS cung cấp ở bảng 1.1. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 9 Kiểu Phân loại Dịch vụ chi tiết Dịch vụ di động Dịch vụ di động Di động đầu cuối/ di động cá nhân/ di động dịch vụ Dịch vụ thông tin định vị - Theo dõi di động/ theo dõi di động thông minh Dịch vụ âm thanh - Dịch vụ âm thanh chất lượng cao (16-64Kb/s) - Dịch vụ truyền thanh AM (32-64Kb/s) - Dịch vụ truyền thanh FM (64-384Kb/s) Dịch vụ viễn thông Dịch vụ số liệu - Dịch vụ số liệu tốc độ trung bình (64- 144Kb/s) - Dịch vụ số liệu tốc độ tương đối cao (144Kb/s-2Mb/s) - Dịch vụ số liệu tốc độ cao (³ 2Mb/s) Dịch vụ đa phương tiện - Dịch vụ Video (384Kb/s) - Dịch vụ hình chuyển động (384Kb/s-2Mb/s) - Dịch vụ hình chuyển động thời gian thực (³ 2Mb/s) Dịch vụ Internet đơn giản Dịch vụ truy nhập Web (384Kb/s-2Mb/s) Dịch vụ Internet thời gian thực Dịch vụ Internet (384Kb/s-2Mb/s) Dịch vụ Internet Dịch vụ internet đa phương tiện Dịch vụ Website đa phương tiện thời gian thực (³ 2Mb/s) Bảng 1.1 Phân loại các dịch vụ ở 3G UMTS. 3G UMTS được xây dựng theo ba phát hành chính được gọi là R3, R4, R5. Trong đó mạng lõi R3 và R4 bao gồm hai miền: miền chuyển mạch kênh (CS) và miền chuyển mạch gói (PS). Việc kết hợp này phù hợp cho giai đoạn đầu khi PS chưa đáp ứng tốt các dịch vụ thời gian thực như thoại và hình ảnh. Khi này miền CS sẽ đảm nhiệm các dịch vụ thoại, còn số liệu được truyền trên miền PS. R4 phát triển hơn R3 ở Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 10 chỗ miền CS chuyển sang chuyển mạch mềm vì thế toàn bộ mạng truyền tải giữa các nút chuyển mạch đều trên IP. 1.4 Kiến trúc 3G UMTS R3 3G UMTS hỗ trợ cả chuyển mạch kênh (CS) lẫn chuyển mạch gói (PS) (tốc độ trong CS: 384Mb/s và 2M/ps trong PS). Với tốc độ như vậy có thể cung cấp thêm nhiều dịch vụ mới giống như trong điện thoại cố định và Internet cho khách hàng. Các dịch vụ này bao gồm: điện thoại có hình, âm thanh chất lượng cao và tốc độ truyền dữ liệu cao tại đầu cuối. Một tính năng khác cũng được đưa ra cùng với 3G UMTS là “luôn luôn kết nối đến Internet”, 3G UMTS cũng cung cấp vị trí tốt hơn và vì thế hỗ trợ tốt hơn các dịch vụ dựa trên vị trí. Cấu trúc bao gồm 3 phần: Thiết bị người sử dụng (UE) bao gồm: thiết bị đầu cuối (TE), thiết bị di động (ME), modul nhận dạng thuê bao UMTS (USIM); Mạng truy nhập vô tuyến mặt đất UMTS (UTRAN) bao gồm: Bộ điều mạng vô tuyến (RNC), nút B (các trạm gốc BTS); Mạng lõi (CN) bao gồm: Miền chuyển mạch kênh (CS), miền chuyển mạch gói (PS), môi trường nhà (HE). Hình 1.2 Kiến trúc 3G UMTS R3. 1.4.1 Thiết bị người sử dụng Thiết bị người sử dụng (UE) là đầu cuối mạng UMTS của người sử dụng. Có thể nói đây là phần hệ thống có nhiều thiết bị nhất và sự phát triển của nó ảnh hưởng lớn đến các ứng dụng và các dịch vụ khả dụng của công nghệ 3G. Giá thành của UE Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 11 giảm nhanh chóng sẽ tạo điều kiện cho người sử dụng mua thiết bị của 3G UMTS. Điều này đạt được nhờ tiêu chuẩn hóa giao diện vô tuyến và cài đặt mọi trí tuệ tại thẻ thông minh (USIM). 1.4.1.1 Các đầu cuối Vì thiết bị đầu cuối bây giờ ngoài cung cấp các dịch vụ thoại còn cung cấp thêm các dịch vụ số liệu mới, nên tên của nó được chuyển thành đầu cuối. Các nhà sản suất đã đưa ra rất nhiều đầu cuối dựa trên các khái niệm mới, nhưng trên thực tế chỉ một số ít là được đưa vào sản xuất. Mặc dù, các đầu cuối dự kiến khác nhau về kích thước và thiết kế song tất cả chúng đều có màn hình lớn và ít phím hơn so với thiết bị 2G. Sở dĩ như vậy là để hỗ trợ người sử dụng đầu cuối sử dụng thêm nhiều dịch vụ số liệu mới. Vì thế đầu cuối trở thành một tổ hợp của điện thoại di động, modem và máy tính cầm tay. Đầu cuối hỗ trợ hai giao diện: giao diện Uu là liên kết vô tuyến giữa UE với UTRAN (giao diện WCDMA). Nó đảm bảo toàn bộ kết nối vật lý với mạng UMTS; giao diện thứ hai là giao diện Cu giữa USIM với đầu cuối. Giao diện này tuân theo tiêu chuẩn cho các thẻ thông minh. Mặc dù các nhà sản xuất có rất nhiều ý tưởng về thiết bị song họ vẫn phải tuân theo một tập tối thiểu các định nghĩa tiêu chuẩn, để các khách hàng sử dụng các đầu cuối khác nhau có thể truy nhập đến một số các chức năng cơ sở bằng cùng một cách. Các tiêu chuẩn này bao gồm: + Bàn phím (phím vật lý hoặc phím ảo); + Đăng ký mật khẩu mới; + Thay đổi mã PIN; + Giải chặn PIN/PIN2; + Trình bày IMEI; + Điều khiển cuộc gọi. Các phần còn lại của giao diện sẽ dành riêng cho nhà sản xuất và người sử dụng để có thể chọn cho mình đầu cuối dựa trên hai tiêu chuẩn là thiết kế và giao diện. Giao diện là sự kết hợp của kích cỡ và thông tin do màn hình cung cấp (màn hình nút chạm), các phím và menu. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 12 1.4.1.2 UICC (UMTS IC Card) UMTS IC Card là một thẻ thông minh. Điều mà ta quan tâm đến nó là dung lượng nhớ và tốc độ bộ xử lý do nó cung cấp, ứng dụng USIM chạy trên UICC. 1.4.1.3 USIM Trong GSM, SIM Card lưu trữ thông tin cá nhân (đăng ký thuê bao). Điều này được thay đổi trong 3G UMTS, USIM được cài như một ứng dụng trên UICC. Điều này cho phép lưu nhiều ứng dụng và nhiều chữ ký điện tử (khóa) hơn, phục vụ cho nhiều mục đích khác (ví dụ như mã truy nhập giao dịch ngân hàng an ninh). Ngoài ra có thể dùng nhiều USIM trên cùng 1 UICC để có thể truy nhập tới nhiều mạng khác nhau. USIM chứa các hàm và số liệu cần thiết để nhận dạng và nhận thực thuê bao cho mạng UMTS. Nó có thể lưu cả bản sao hồ sơ của thuê bao. Người sử dụng phải tự mình nhận thực đối với USIM bằng cách nhập mã PIN. Điều này đảm bảo chỉ người sử dụng đích thực mới có thể truy nhập được vào mạng UMTS. Mạng chỉ cung cấp các dịch vụ cho người sử dụng nào sử dụng đầu cuối với USIM được đăng ký. 1.4.2 Mạng truy nhập vô tuyến mặt đất UMTS Mạng truy nhập vô tuyến mặt đất UMTS (UTRAN) là liên kết giữa người sử dụng và mạng lõi (CN). Nó bao gồm các phần tử để đảm bảo và điều khiển các cuộc truyền thông trong mạng UMTS. UTRAN được định nghĩa giữa hai giao diện: giao diện Iu giữa UTRAN và CN, giao diện này gồm hai phần IuPS cho miền chuyển mạch gói và IuCS cho miền chuyển mạch kênh; giao diện Uu giữa UTRAN với UE. Giữa hai giao diện này là các nút B và các bộ điều khiển mạng vô tuyến (RNC). 1.4.2.1 RNC RNC chịu trách nhiệm quản lý và điều khiển tài nguyên của các trạm gốc BTS (nút B). Đây cũng chính là điểm truy nhập dịch vụ mà UTRAN cung cấp cho mạng lõi CN. Nó được nối đến CN bằng hai kết nối, một cho miền PS đến SGSN và một cho miền CS đến MSC. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 13 Một nhiệm vụ tương đối quan trọng của RNC là bảo vệ sự bí mật và toàn vẹn thông tin. Sau khi thủ tục nhận thực và thỏa thuận khóa (AKA) hoàn tất các khóa bí mật và toàn vẹn được lưu tại RNC. Sau đó, các khóa này được sử dụng bởi các hàm an ninh f8 và f9. RNC có nhiều chức năng logic tùy thuộc vào việc nó phục vụ nút nào, người sử dụng được kết nối vào một RNC phục vụ (SRNC). Khi người này chuyển đến một RNC khác nhưng vẫn kết nối với RNC cũ, một RNC trôi (DRNC) sẽ cung cấp tài nguyên vô tuyến cho người sử dụng này. Nhưng SRNC vẫn quản lý kết nối của người sử dụng này đến CN. Chức năng cuối cùng của RNC là RNC điều khiển (CRNC). Mỗi nút B có một CRNC chịu trách nhiệm quản lý tài nguyên vô tuyến cho nó. 1.4.2.2 Nút B Giống như trong GSM, nút B (các BTS) có nhiệm vụ thực hiện kết nối vô tuyến vật lý giữa đầu cuối với nó. Nó nhận tín hiệu giao diện Iub từ RNC và chuyển vào tín hiệu vô tuyến trên giao diện Uu. Nó cũng thực hiện một số thao tác quản lý tài nguyên vô tuyến cơ sở như: điều khiển công suất vòng trong. Tính năng này để phòng ngừa vấn đề gần xa. Nghĩa là nếu tất cả các đầu cuối đều phát cùng một công suất, thì các đầu cuối gần nút B nhất sẽ che lấp tín hiệu từ các đầu cuối ở xa. Nút B kiểm tra công suất thu được từ các đầu cuối khác nhau và thông báo cho chúng tăng hoặc giảm công suất, sao cho nút B luôn thu được công suất như nhau từ tất cả các đầu cuối. 1.4.3 Mạng lõi Mạng lõi (CN) chia làm ba phần: miền PS, CS và HE. Miền PS đảm bảo các dịch vụ số liệu cho người sử dụng bằng các kết nối đến mạng Internet và các mạng số liệu khác bằng công nghệ IP. Miền CS đảm bảo các dịch vụ điện thoại đến các mạng khác bằng các kết nối TDM. Các nút B được kết nối với nhau bằng đường trục của nhà khai thác, thường sử dụng ATM hoặc IP. 1.4.3.1 SGSN Nút hỗ trợ GPRS phục vụ (SGSN) là nút mạng chính của miền PS, nó kết nối đến UTRAN thông qua giao diện IuPS và đến GGSN thông qua giao diện Gn. SGSN chịu trách nhiệm cho tất cả kết nối PS của tất cả các thuê bao. Nó lưu trữ hai kiểu dữ liệu thuê bao: thông tin đăng ký thuê bao và thông tin vị trí thuê bao. Số liệu thuê bao lưu trong SGSN gồm: Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 14 + Số nhận dạng thuê bao quốc tế (IMSI); + Số nhận dạng thuê bao tạm thời gói (P-TMSI); + Địa chỉ giao thức số liệu gói (PDP). Số liệu vị trí thuê bao lưu trong SGSN gồm: + Vùng định vị thuê bao (RA); + Số VLR; + Địa chỉ GGSN của từng GGSN có kết nối tích cực. 1.4.3.2 GGSN Nút hỗ trợ GPRS cổng (GGSN) là một SGSN cổng có nhiệm vụ kết nối với các mạng số liệu khác. Tất cả các cuộc truyền thông số liệu từ thuê bao đến các mạng ngoài đều qua GGSN. Cũng giống như SGSN, nó lưu hai kiểu số liệu: thông tin đăng ký thuê bao và thông tin vị trí thuê bao. GGSN nối đến Internet thông qua giao diện Gi và đến các cổng biên giới (BG) thông qua giao diện Gp. Số liệu thuê bao lưu trong GGSN gồm: IMSI; Địa chỉ PDP. Số liệu vị trí lưu trong GGSN gồm: địa chỉ SGSN hiện thuê bao đang nối đến. 1.4.3.3 BG Cổng biên giới (BG) là cổng giữa miền PS của mạng UMTS với các mạng PLMN khác. Chức năng chính của nút này giống như tường lửa của Internet, để đảm bảo mạng an ninh chống lại các tấn công bên ngoài. 1.4.3.4 VLR Thanh ghi định vị tạm thời (VLR) là bản sao của HLR cho mạng phục vụ SN. Dữ liệu thuê bao cần thiết để cung cấp các dịch vụ thuê bao được sao chép từ HLR và lưu tại đây, cả MSC và SGSN đều có VLR nối với chúng. Số liệu được lưu trong VLR gồm: IMSI; MSISDN; TMSI (nếu có); LA hiện thời của thuê bao; MSC/SGSN hiện thời mà thuê bao nối đến. Ngoài các số liệu nêu trên VLR còn lưu giữ thông tin về các dịch vụ mà thuê bao được cung cấp. Cả SGSN và MSC đều được thực hiện trên cùng một nút vật lý với VLR. Vì thế gọi là VLR/SGSN hay VLR/MSC. 1.4.3.5 MSC Trung tâm chuyển mạch các dịch vụ di động (MSC) thực hiện kết nối CS giữa đầu cuối với mạng. Nó thực hiện các chức năng báo hiệu và chuyển mạch cho các thuê Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 15 bao trong vùng quản lý của mình. Chức năng của MSC trong UMTS cũng giống như trong GSM. Song nó có nhiều khả năng hơn, các kết nối CS được thực hiện trên giao diện IuCS giữa UTRAN và MSC. Các MSC được nối với mạng ngoài được gọi là GMSC. 1.4.3.6 GMSC MSC cổng (GMSC) có thể là một trong số các MSC. GMSC thực hiện các chức năng định tuyến đến vùng có MS. Khi mạng ngoài tìm cách kết nối đến UMTS, GMSC nhận yêu cầu thiết lập kết nối và hỏi VLR về MSC hiện thời đang quản lý MS. 1.4.3.7 HE Môi trường nhà (HE) lưu các hồ sơ thuê bao của các hãng khai thác. Nó cũng cung cấp cho các mạng phục vụ (SN) các thông tin về thuê bao, cước để nhận thực người sử dụng và tính cước các dịch vụ mà người sử dụng đó sử dụng. a. Thanh ghi định vị thường trú (HLR) HLR là cơ sở dữ liệu có nhiệm vụ quản lý các thuê bao di động, một mạng di động có thể chứa nhiều HLR tùy thuộc vào số lượng thuê bao, dung lượng của tường HLR và tổ chức bên trong mạng. Cơ sở dữ liệu này chức IMSI, ít nhất một MSISDN (số thuê bao có trong danh bạ điện thoại) và ít nhất một địa chỉ PDP. Cả IMSI và MSISDN có thể sử dụng làm khóa để truy nhập đến các thông tin được lưu khác. Để định tuyến và tính cước cuộc gọi, HLR còn lưu giữ thông tin về SGSN và VLR nào hiện đang quản lý thuê bao. Các dịch vụ khác như chuyển hướng cuộc gọi, tốc độ số liệu và thư thoại cũng có trong danh sách cùng với các hạn chế về dịch vụ hay hạn chế về chuyển mạng. HLR và AuC là hai nút mạng logic, nhưng thường được thực hiện trong cùng một nút vật lý. HLR lưu giữ mọi thông tin về người sử dụng và đăng ký thuê bao như thông tin tính cước, các dịch vụ nào được cung cấp và các dịch vụ nào bị từ chối, thông tin chuyển hướng cuộc gọi. Nhưng thông tin quan trọng nhất là hiện VLR và SGSN nào đang quản lý thuê bao. b. Trung tâm nhận thực AuC AuC lưu giữ toàn bộ số liệu cần thiết để nhận thực, mật mã hóa và bảo vệ toàn vẹn thông tin cho người sử dụng. Nó liên kết với HLR và được thực hiện cùng với Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 16 HLR trong cùng một nút vật lý. Tuy nhiên, cần đảm bảo rằng AuC chỉ cung cấp thông tin về các vec-tơ nhận thực (AV) cho HLR. AuC lưu giữ khóa chủ K cho từng thuê bao cùng với tất cả các hàm tạo khóa từ f0 đến f5. Nó tạo ra các AV cả trong thời gian thực khi SGSN/VLR yêu cầu hay khi tải xử lý thấp, lẫn các AV dự trữ. c. Thanh ghi nhận dạng thiết bị EIR EIR chịu trách nhiệm lưu các số nhận dạng thiết bị di động quốc tế (IMEI), đây là số nhận dạng duy nhất cho thiết bị đầu cuối. Cơ sở dữ liệu được chia làm ba danh mục: danh mục trắng, xám và đen. Danh mục trắng chứa các IMEI được phép truy nhập mạng. Danh mục xám chứa các IMEI của các đầu cuối đang bị theo dõi, còn danh mục đen chứa các IMEI của các đầu cuối bị cấm truy nhập mạng. Khi một đầu cuối được thông báo bị mất cắp, IMEI của nó sẽ bị liệt vào danh mục đen. Vì thế nó bị cấm truy nhập mạng. Danh mục này cũng có thể được dùng để cấm các seri máy đặc biệt không được truy nhập mạng khi chúng không hoạt động theo tiêu chuẩn. 1.4.4 Các mạng ngoài Các mạng ngoài không phải là bộ phận của UMTS nhưng chúng cần thiết để đảm bảo truyền thông giữa các nhà khai thác. Các mạng ngoài có thể là các mạng điện thoại như PSTN, ISDN, PLMN khác hoặc Internet…… 1.4.5 Các giao diện Vai trò của các nút khác nhau của mạng chỉ được định nghĩa thông qua các giao diện khác nhau. Các giao diện này được định nghĩa chặt chẽ để các nhà sản xuất có thể kết nối các phần cứng khác nhau của họ. 1.4.5.1 Giao diện Cu Giao diện Cu là giao diện chuẩn cho các thẻ thông minh. Trong UE đây là nơi kết nối giữa USIM và UE. 1.4.5.2 Giao diện Uu Giao diện Uu là giao diện vô tuyến của WCDMA trong UMTS. Đây là giao diện mà qua đó UE truy nhập vào phần cố định của mạng. Giao diện này nằm giữa nút B và đầu cuối. 1.4.5.3 Giao diện Iu Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 17 Giao diện Iu kết nối UTRAN và CN. Nó gồm hai phần, IuPS cho miền chuyển mạch gói, IuCS cho miền chuyển mạch kênh. CN có thể kết nối đến nhiều UTRAN cho cả giao diện IuCS và IuPS. Nhưng một UTRAN chỉ có thể kết nối đến một điểm truy nhập CN. 1.4.5.4 Giao diện Iur Đây là giao diện giữa các RNC. Ban đầu được thiết kế để đảm bảo chuyển giao mềm giữa các RNC, nhưng trong quá trình phát triển nhiều tính năng mới được bổ sung. Giao diện này đảm bảo bốn tính năng nổi bật sau: + Di động giữa các RNC; + Lưu thông kênh riêng; + Lưu thông kênh chung; + Quản lý tài nguyên toàn cục. 1.4.5.5 Giao diện Iub Giao diện Iub nối nút B và RNC. Khác với GSM đây là giao diện mở. 1.5 Kiến trúc 3G UMTS R4 Sự khác nhau cơ bản giữa R3 và R4 là ở mạng lõi (CN). Tại đây chuyển mạch phân tán và chuyển mạch mềm được đưa vào để thay thế cho các MSC truyền thống. Về cơ bản MSC được chia thành các MSC Server và các cổng phương tiện (MGW). MSC Server chứa tất cả các phần mềm điều khiển cuộc gọi và quản lý di động ở một MSC tiêu chuẩn, tuy nhiên nó không chứa ma trận chuyển mạch. Ma trận chuyển mạch lại được nằm trong MGW và được MSC Server điều khiển, có thể đặt ở xa MSC Server. Báo hiệu điều khiển các cuộc gọi chuyển mạch kênh được thực hiện giữa các RNC và MSC Server. Còn đường truyền cho các cuộc gọi chuyển mạch kênh được thực hiện giữa các RNC và MGW. Thông thường MGW nhận các cuộc gọi từ RNC và định tuyến các cuộc gọi này đến nơi nhận, trên các đường trục gói. Trong nhiều trường hợp đường trục gói sử dụng giao thức truyền tải thời gian thực (RTP) trên giao thức IP. Từ hình 1.3 ta thấy lưu lượng số liệu gói từ RNC đi qua SGSN và tới GGSN trên mạng đường trục IP. Như vậy, cả số liệu và tiếng đều có thể sử dụng truyền tải IP bên trong mạng lõi. Đây là mạng truyền tải hoàn toàn IP. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 18 HSS/ HLR Sniff er Serv er m onit or ing/ anal ysis Sniffe r Se rve r m oni to ri ng/ analy sis SS7 PSTNSniff er Serve rm onit or ing/ anal ysis Sniff er Se rve rmo nit or ing/ anal ysis Internet Iub PCM RNC GGSNSGSN RNC Iub Iur Gi (IP) GMSC Server IP H248/IP RTP/IP MGW Nót B Nót B SS7 GW MSC Server H248/IP Gn (GTP/IP)Iu-ps SS7 GW Iu-cs (§iÒu khiÓn) Iu-cs (VËt mang) MGW Hình 1.3 Kiến trúc 3G UMTS R4. Tại nơi mà một cuộc gọi truyền đến một mạng khác (ví dụ như PSTN) sẽ có một cổng các phương tiện MGW được điều khiển bởi MSC Server cổng (GMSC Server). MGW này sẽ chuyển tiếng thoại, được đóng gói thành PCM tiêu chuẩn để đưa đến PSTN. Vì thế, chuyển đổi mã chỉ cần thực hiện tại điểm này. Ví dụ ta giả thiết rằng nếu tiếng ở giao diện vô tuyến được truyền tại tốc độ 12,2K/ps thì tốc độ này chỉ phải chuyển thành 64Kb/s ở MGW giao diện với PSTN. Truyền tải kiểu này cho phép tiết kiệm đáng kể độ rộng băng tần, nhất là khi MGW đặt cách xa nhau. Giao thức điều khiển giữa MSC Server hoặc GMSC Server với MGW là giao thức H.248. Giao thức này do ITU và IETF cộng tác phát triển. Nó có tên là MEGACO (điều khiển cổng các phương tiện). Giao thức giữa MSC Server với GMSC Server có thể là một giao thức bất kỳ. 3GPP đề nghị sử dụng (không bắt buộc) giao thức điều khiển cuộc gọi độc lập kênh mang (BICC). Trong nhiều trường hợp MSC Server hỗ trợ các chức năng của GMSC Server. Ngoài ra, MGW còn có khả năng giao diện với RAN và PSTN. Khi đó cuộc gọi đến hoặc từ PSTN có thể chuyển thành nội hạt. Nhờ vậy có thể tiết kiệm đáng kể đầu tư. Để làm ví dụ ta xét trường hợp khi một RNC được đặt tại thành phố A và được điều khiển bởi một MSC đặt tại thành phố B. Giả sử thuê bao thành phố A thực hiện cuộc gọi nội hạt. Nếu không có cấu trúc phân bố, cuộc gọi cần chuyển từ thành phố A Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 19 đến thành phố B (nơi có MSC) để đấu nối với thuê bao PSTN tại chính thành phố A. Với cấu trúc phân bố, cuộc gọi có thể được điều khiển tại MSC Server ở thành phố B nhưng đường truyền các phương tiện thực tế có thể vẫn ở thành phố A, nhờ vậy giảm đáng kể yêu cầu truyền dẫn và giá thành khai thác mạng. HLR ở đây có thể được gọi là Server thuê bao tại nhà (HSS). HSS và HLR có chức năng tương đương nhau, ngoại trừ giao diện với HSS là giao diện trên cơ sở truyền tải gói (ví dụ như IP). Trong khi HLR sử dụng giao diện SS7 dựa trên cơ sở báo hiệu số 7. Ngoài ra còn có các giao diện (không có trên hình vẽ) giữa SGSN với HLR/HSS và giữa GGSN với HLR/HSS. Rất nhiều giao diện được sử dụng bên trong mạng lõi là các giao thức trên cơ sở gói sử dụng IP hoặc ATM. Tuy nhiên, mạng phải giao diện với các mạng truyền thống qua việc sử dụng các cổng phương tiện MGW. Ngoài ra mạng cũng phải giao diện với các mạng SS7 tiêu chuẩn. Giao diện này được thực hiện thông qua SS7GW. Đây là cổng mà ở một phía nó hỗ trợ truyền tải bản tin SS7 trên đường truyền tải SS7 tiêu chuẩn, ở phía kia nó truyền tải các bản tin ứng dụng SS7 trên mạng gói (IP chẳng hạn). Các thực thể như MSC Server, GMSC Server và HSS liên lạc với cổng SS7 (SS7GW) bằng cách sử dụng các giao thức truyền tải được thiết kế đặc biệt mang các bản tin SS7 ở mạng IP. Bộ giao thức này được gọi là Sigtran. 1.6 Kiến trúc 3G UMTS R5 Bước phát triển tiếp theo của 3G UMTS là đưa ra kiến trúc mạng đa phương tiện IP (hình 1.4) trong R5. Bước phát triển này thể hiện sự thay đổi toàn bộ mô hình cuộc gọi. Ở đây cả tiếng và số liệu đều được xử lý giống nhau trên toàn bộ đường truyền từ đầu cuối của người sử dụng đến nơi nhận cuối cùng. Có thể nói kiến trúc này là sự hội tụ toàn diện cả tiếng và số liệu. Từ hình vẽ ta thấy, tiếng và số liệu không cần các giao diện cách biệt chỉ có một giao diện Iu duy nhất mang tất cả các phương tiện. Trong mạng lõi giao diện này kết cuối tại SGSN và không có MGW riêng. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 20 SS7 HSS/ HLR Snif fe r S er ve r m oni tor i ng/ ana lysi s Sn iff er Se rv e r m on it or in g/a nal ysis SS7 PSTN Sn iffe r Se rv er m oni t or ing /an aly sis S nif fe r S er ve r mo ni tor i ng/ ana lysi s Internet Iub Gr PCM RNC GGSNSGSN RNC Iub Iur Gn Gi Gi MRF T-SGW Mc Mg Mr Gi Cx CSCF R-SGW CSCF MGCF MGW Node B Node B Cx Iu Hình 1.4 Kiến trúc mạng đa phương tiện 3G UMTS R5. Ta cũng thấy có một số phần tử mạng mới như: chức năng điều khiển trạng thái kết nối (CSCF); chức năng tài nguyên đa phương tiện (MRF); chức năng cổng các phương tiện (MGCF); cổng báo hiệu truyền tải (TSGW) và cổng báo hiệu chuyển mạng (RSGW). Một nét quan trọng của kiến trúc toàn vẹn IP là thiết bị người sử dụng được tăng cường rất nhiều, nhiều phần mềm được cài đặt ở UE. Trong thực tế, UE hỗ trợ giao thức khởi tạo phiên (SIP). UE trở thành một tác nhân của người sử dụng SIP. Như vậy UE có khả năng điều khiển các dịch vụ lớn hơn trước rất nhiều. Chức năng điều khiển trạng thái kết nối (CSCF) quản lý việc thiết lập duy trì và giải phóng các phiên đa phương tiện đến và đi từ người sử dụng. Nó bao gồm các chức năng như phiên dịch và định tuyến. CSCF hoạt động như một Server đại diện. SGSN và GGSN là phiên bản tăng cường của các nút được sử dụng ở GPRS và 3G UMTS R3 và R4. Điểm khác nhau duy nhất là ở chỗ các nút này không chỉ hỗ trợ dịch vụ số liệu gói mà cả dịch vụ chuyển mạch kênh (ví dụ như tiếng thoại). Vì thế cần hỗ trợ các khả năng chất lượng dịch vụ (QoS) hoặc bên trong SGSN và GGSN, hoặc ít nhất là ở các Router kết nối trực tiếp với chúng. Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS Phạm Văn Quỳnh, H07VTTD_______________________________________________ 21 Chức năng tài nguyên đa phương tiện (MRF) là chức năng lập cầu hội nghị, được sử dụng để hỗ trợ các tính năng như tổ chức cuộc gọi nhiều phía và dịch vụ hội nghị. Cổng báo hiệu truyền tải (TSGW) là một cổng báo hiệu SS7 để đảm bảo tương tác SS7 với các mạng tiêu chuẩn ngoài như PTSN. TSGW hỗ trợ các giao thức Sigtran. Cổng báo hiệu chuyển mạng (RSGW) là một nút đảm bảo tương tác báo hiệu với các mạng di động hiện có sử dụng SS7 tiêu chuẩn. Trong nhiều trường hợp TSGW và RSGW cùng tồn tại trên một nền tảng. MGW thực hiện tương tác với các mạng ngoài ở mức đường truyền đa phương tiện. MGW ở kiến trúc R5 có chức năng giống như ở R4, MGW được điều khiển bởi chức năng điều khiển cổng các phương tiện (MGCF). Giao thức điều khiển giữa các thực thể là H.248. MGCF liên lạc với CSCF thông qua giao diện SIP. Cần lưu ý rằng phát hành cấu trúc toàn IP ở R5 là một tăng cường của kiến trúc R3 và R4. Nó đưa thêm vào một vùng mới trong mạng, đó là vùng đa phương tiện IP (IMS). Vùng mới này cho phép mang cả tiếng và số liệu trên IP, trên toàn tuyến nối đến máy cầm tay. Vùng này sử dụng miền chuyển mạch gói PS cho mục đích truyền tải sử dụng SGSN, GGSN, Gn, Gi là các nút và giao diện thuộc vùng PS. 1.7 Kết luận Trong chương này chúng ta đã đi tìm hiểu một cách chung nhất về lịch sử phát triển của hệ thống thông tin di động thế giới; các đặc tính đặc trưng, các loại hình dịch vụ và lưu lượng mà hệ thống 3G UMTS hỗ trợ. Đặc biệt ở cuối chương chúng ta đã đi tìm hiểu lần lượt kiến trúc của ba phiên bản của 3G UMTS (R3; R4; R5). Qua đó giúp ta có cái nhìn tổng quan về hệ thống 3G UMTS. Từ đó làm cơ sở để đi sâu nghiên cứu các chương tiếp theo, đặc biệt là chương chính của quyển đồ án (chương 3). Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 22 CHƯƠNG II: AN NINH TRONG THÔNG TIN DI ĐỘNG 2.1 Tạo lập môi trường an ninh An ninh đầu cuối là sự đảm bảo cho truyền dẫn số liệu được an toàn, nguyên vẹn trên toàn bộ đường truyền từ đầu phát đến đầu thu. Để đảm bảo được điều này, ta cần xét đến toàn bộ môi trường truyền thông. Nó bao gồm truy nhập mạng; các phần tử trung gian và các ứng dụng máy khách. Có năm mục tiêu quan trọng và liên quan đến việc tạo lập môi trường an ninh: 2.1.1 Nhận thực Nhận thực là quá trình kiểm tra tính hợp lệ của các đối tượng tham gia thông tin trong các mạng không dây. Quá trình này được thực hiện tại hai lớp: lớp mạng và lớp ứng dụng. Lớp mạng đòi hỏi người sử dụng phải được nhận thực, trước khi được phép truy nhập. Lớp ứng dụng nhận thực quan trọng tại hai mức máy khách (Client) và máy chủ (Server). Để được truy nhập mạng Client phải chứng tỏ với Server rằng bản tin của nó phải hợp lệ. Đồng thời trước khi Client cho phép một Server nối đến nó, Server phải tự mình nhận thực với ứng dụng Client. Cách nhận thực đơn giản nhất kém an toàn là sử dụng Username và Password. Một số phương pháp tiên tiến hơn là sử dụng chứng nhận số (chữ ký điện tử). 2.1.2 Toàn vẹn số liệu Toàn vẹn số liệu là sự đảm bảo số liệu truyền thông không bị thay đổi hay phá hoại trong quá trình truyền từ nơi phát đến nơi thu. Bằng cách áp dụng một giải thuật cho bản tin, một mã nhận thực bản tin (MAC) được cài vào bản tin được gửi đi. Khi phía thu nhận được bản tin này, nó tính toán MAC và so sánh với MAC cài trong bản tin. Nếu chúng giống nhau thì chứng tỏ bản tin gốc không bị thay đổi, nếu nó khác nhau thì phía thu sẽ loại bỏ bản tin này. 2.1.3 Bảo mật Bảo mật là một khía cạnh rất quan trọng của an ninh và vì thế thường được nói đến nhiều nhất. Mục đích của nó là để đảm bảo tính riêng tư của số liệu chống lại sự nghe, đọc trộm số liệu từ những người không được phép. Cách phổ biến nhất được sử dụng là mật mã hóa số liệu. Quá trình này bao gồm mã hóa bản tin vào dạng không đọc được đối với bất kỳ máy thu nào, ngoại trừ máy thu chủ định. Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 23 2.1.4 Trao quyền Trao quyền là quá trình quy định mức độ truy nhập của người sử dụng, người sử dụng được quyền thực hiện một số hành động. Trao quyền thường liên hệ mật thiết với nhận thực. Một khi người sử dụng đã được nhận thực, hệ thống có thể quyết định người sử dụng được làm gì. Danh sách điều khiển truy nhập ACL thường được sử dụng cho quá trình này. Ví dụ, một người sử dụng chỉ có thể truy nhập để đọc một tập tin số liệu. Trong khi đó nhà quản lý hoặc một nguồn tin cậy khác có thể truy nhập để viết, sửa chữa tập tin số liệu đó. 2.1.5 Cấm từ chối Cấm từ chối là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch mà chúng đã tham gia, không được phép từ chối tham gia giao dịch. Điều này có nghĩa là cả bên phát và bên thu đều có thể chứng minh rằng phía phát đã phát bản tin, phía thu đã thu được bản tin tương tự. Để thực hiện quá trình này, mỗi giao dịch phải được ký bằng một chữ ký điện tử và được phía thứ ba tin cậy kiểm tra và đánh dấu thời gian. 2.2 Các đe dọa an ninh Muốn đưa ra các giải pháp an ninh, trước hết ta cần nhận biết các đe dọa tiềm ẩn có nguy hại đến an ninh của hệ thống thông tin. Sau đây là các đe dọa an ninh thường gặp trong mạng. 2.2.1 Đóng giả Là ý định của kẻ truy nhập trái phép vào một ứng dụng hoặc một hệ thống bằng cách đóng giả người khác. Nếu kẻ đóng giả truy nhập thành công, họ có thể tạo ra các câu trả lời giả dối với các bản tin để đạt được hiểu biết sâu hơn và truy nhập vào các bộ phận khác của hệ thống. Đóng giả là vấn đề chính đối với an ninh Internet và vô tuyến Internet, kẻ đóng giả có thể làm cho các người sử dụng chính thống tin rằng mình đang thông tin với một nguồn tin cậy. Điều này vô cùng nguy hiểm, vì thế người sử dụng này có thể cung cấp thông tin bổ sung có lợi cho kẻ tấn công để chúng có thể truy nhập thành công đến các bộ phận khác của hệ thống. 2.2.2 Giám sát Mục đích của giám sát là theo dõi, giám sát dòng số liệu trên mạng. Trong khi giám sát có thể được sử dụng cho các mục đích đúng đắn, thì nó lại thường được sử dụng để sao chép trái phép số liệu mạng. Thực chất giám sát là nghe trộm điện tử, Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 24 bằng cách này kẻ không được phép truy nhập có thể lấy được các thông tin nhậy cảm gây hại cho người sử dụng, các ứng dụng và các hệ thống. Giám sát thường được sử dụng kết hợp với đóng giả. Giám sát rất nguy hiểm vì nó dễ thực hiện nhưng khó phát hiện. Để chống lại các công cụ giám sát tinh vi, mật mã hóa số liệu là phương pháp hữu hiệu nhất. Dù kẻ sử dụng trái phép có truy nhập thành công vào số liệu đã được mật mã nhưng cũng không thể giải mật mã được số liệu này. Vì vậy, ta cần đảm bảo rằng giao thức mật mã được sử dụng hầu như không thể bị phá vỡ. 2.2.3 Làm giả Làm giả số liệu hay còn gọi là đe dọa tính toàn vẹn liên quan đến việc thay đổi số liệu so với dạng ban đầu với ý đồ xấu. Quá trình này liên quan đến cả chặn truyền số liệu lẫn các số liệu được lưu trên các Server hay Client. Số liệu bị làm giả (thay đổi) sau đó được truyền đi như bản gốc. Áp dụng mật mã hóa, nhận thực và trao quyền là các cách hữu hiệu để chống lại sự làm giả số liệu. 2.2.4 Ăn cắp Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin di động. Ta không chỉ mất thiết bị mà còn mất cả các thông tin bí mật lưu trong đó. Điều này đặc biệt nghiêm trọng đối với các Client thông minh, vì chúng thường chứa số liệu không đổi và bí mật. Vì thế, ta cần tuân thủ theo các quy tắc sau để đảm bảo an ninh đối với các thiết bị di động: + Khóa thiết bị bằng Username và Password để chống truy nhập dễ dàng; + Yêu cầu nhận thực khi truy nhập đến các ứng dụng lưu trong thiết bị; + Tuyệt đối không lưu mật khẩu trên thiết bị; + Mật mã tất cả các phương tiện lưu số liệu cố định; + Áp dụng các chính sách an ninh đối với những người sử dụng di dộng. Nhận thực, mật mã và các chính sách an ninh là các biện pháp để ngăn chặn việc truy nhập trái phép số liệu từ các thiết bị di động bị mất hoặc bị lấy cắp. Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 25 2.3 Các công nghệ an ninh 2.3.1 Công nghệ mật mã Mục đích chính của mật mã là đảm bảo thông tin giữa hai đối tượng trên kênh thông tin không an ninh, để đối tượng thứ ba không thể hiểu được thông tin được truyền là gì. Thoạt nhìn có vẻ mật mã là khái niệm đơn giản, nhưng thực chất nó rất phức tạp, nhất là với các mạng di động băng rộng như 3G UMTS. 2.3.1.1 Các giải pháp và giao thức Công nghệ mật mã hoạt động trên nhiều mức, mức thấp nhất là các giải thuật mật mã. Các giải thuật mật mã trình bày các bước cần thiết để thực hiện một tính toán, thường là chuyển đổi số liệu từ một khuôn dạng này vào khuôn dạng khác. Giao thức lại được xây dựng trên giải thuật này, giao thức mô tả toàn bộ quá trình thực hiện các hoạt động của công nghệ mật mã. Một giải thuật mật mã tuyệt hảo không nhất thiết được coi là giao thức mạnh. Giao thức chịu trách nhiệm cho cả mật mã số liệu lẫn truyền số liệu và trao đổi khóa. Đỉnh của giao thức là ứng dụng, một giao thức mạnh chưa thể đảm bảo an ninh vững chắc. Vì bản thân ứng dụng có thể dẫn đến vấn đề khác, vì thế để tạo ra một giải pháp an ninh cần một giao thức mạnh cũng như thực hiện ứng dụng bền chắc. 2.3.1.2 Mật mã hóa số liệu Nền tảng của mọi hệ thống mật mã là mật mã hóa. Quá trình này được thực hiện như sau: tập số liệu thông thường (văn bản thô) được biến đổi về dạng không thể đọc được (văn bản đã mật mã). Mật mã cho phép ta đảm bảo tính riêng tư của số liệu nhạy cảm, ngay cả khi những kẻ không được phép truy nhập thành công vào mạng. Cách duy nhất có thể đọc được số liệu là giải mật mã. Các giải thuật hiện đại sử dụng các khóa để điều khiển mật mã và giải mật mã số liệu. Một khi bản tin đã được mật mã, người sử dụng tại đầu thu có thể dùng mã tương ứng để giải mật mã, các giải thuật sử dụng khóa mật mã gồm hai loại: đối xứng và bất đối xứng. 2.3.2 Các giải thuật đối xứng Các giải thuật đối xứng sử dụng khóa duy nhất cho cả mật mã hóa lẫn giải mật mã hóa tất cả các bản tin. Phía phát sử dụng khóa để mật mã hóa bản tin, sau đó gửi nó đến phía thu xác định. Sau khi nhận được bản tin phía thu sử dụng chính khóa này để Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 26 giải mật mã. Giải thuật này chỉ làm việc tốt khi có cách an toàn để trao đổi khóa giữa bên phát và bên thu. Rất tiếc là phần lớn vấn đề xảy ra khi trao đổi khóa giữa hai bên. Trao đổi khóa là một vấn đề mà bản thân mật mã hóa đối xứng không thể tự giải quyết được, nếu không có phương pháp trao đổi khóa an toàn. Mật mã hóa đối xứng còn được gọi là mật mã hóa bằng khóa bí mật, dạng phổ biến nhất của phương pháp này là tiêu chuẩn mật mã hóa số liệu (DES) được phát triển từ những năm 1970. Từ đó đến nay, nhiều dạng mật mã hóa đối xứng an ninh đã được phát triển, đứng đầu trong số chúng là tiêu chuẩn mật mã hóa tiên tiến (AES) dựa trên giải thuật Rijindael, DES 3 lần, giải thuật mật mã hóa số liệu quốc tế (IDEA), Blowfish và họ các giải thuật của Rivert (RC2, RC4, RC5, RC6). Để giải thích mật mã hóa đối xứng ta xét quá trình mật mã cơ sở sau: Hình 2.1 Minh họa cơ chế cơ sở của mật mã bằng khóa duy nhất. Luồng số liệu (văn bản thô) sử dụng khóa riêng duy nhất (một luồng số liệu khác) thực hiện phép tính cộng để tạo ra luồng số liệu thứ ba (văn bản đã được mật mã). Sau đó văn bản này được gửi qua kênh thông tin để đến bên thu. Sau khi thu được bản tin, phía thu sử dụng khóa chia sẻ (giống khóa bên phát) để giải mật mã (biến đổi ngược) và được văn bản gốc. Phương pháp trên có một số nhược điểm: trước hết không thực tế khi khóa phải có độ dài bằng độ dài số liệu, mặc dù khóa càng dài càng cho tính an ninh cao và càng khó mở khóa. Thông thường các khóa ngắn được sử dụng (64 hoặc 128bit) và chúng được lặp lại nhiều lần cho số liệu. Các phép toán phức tạp hơn có thể được sử dụng vì phép cộng không đủ để đảm bảo. Tiêu chuẩn mật mã hóa số liệu (DES) thường được sử dụng, mặc dù không phải là đảm bảo nhất. Nhược điểm thứ hai là phía phát và phía thu đều sử dụng một khóa chung (khóa chia sẻ). Vậy làm thế nào để gửi khóa này một Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 27 cách an toàn từ phía phát đến phía thu. Phải chăng điều này có nghĩa rằng cấu tạo ra một khóa riêng duy nhất và chuyển đến đối tác cần thông tin? Phần mật mã hóa khóa công khai sẽ trả lời cho cầu hỏi này. 2.3.3 Các giải thuật bất đối xứng Các giải thuật bất đối xứng giải quyết vấn đề chính xảy ra đối với các hệ thống khóa đối xứng. Năm 1975, Whitfield Diffie và Martin Hellman đã phát triển một giải pháp, trong đó hai khóa liên quan với nhau được sử dụng, một được sử dụng để mật mã hóa (khóa công khai) và một được sử dụng để giải mật mã hóa (khóa riêng). Khóa thứ nhất được phân phối rộng rãi trên các đường truyền không an ninh cho mục đích sử dụng công khai. Khóa thứ hai không bao giờ được truyền trên mạng và nó chỉ được sử dụng bởi phía đối tác cần giải mật mã số liệu. Hai khóa này liên hệ với nhau một cách phức tạp bằng cách sử dụng rất nhiều số nguyên tố và các hàm một chiều. Kỹ thuật này dẫn đến không thể tính toán được khóa riêng dựa trên khóa công khai. Khóa càng dài thì càng khó phá vỡ hệ thống. Các hệ thống khóa 64bit như DES, có thể bị tấn công rễ ràng bằng cách tìm từng tổ hợp khóa đơn cho đến khi tìm được khóa đúng. Các hệ thống khóa 128bit phổ biến hơn (ví dụ ECC đã được chứng nhận là không thể bị tấn công bằng cách thức như trên). Khóa riêng và khóa công khai được tạo lập bởi cùng một giải thuật (giải thuật thông dụng là RSA_ giải thuật mật mã của 3 đồng tác giả Ron Rivest, Adi Shamir và Leonard Adelman). Người sử dụng giữ khóa riêng của mình và đưa ra khóa công khai cho mọi người, khóa riêng không được chia sẻ cho một người nào khác hoặc truyền trên mạng. Có thể sử dụng khóa công khai để mật mã hóa số liệu, nhưng nếu không biết khóa riêng thì không thể giải mật mã số liệu được. Sở dĩ như vậy là các phép toán được sử dụng trong kiểu mật mã này không đối xứng. Nếu User A muốn gửi số liệu được bảo vệ đến User B, User A sử dụng khóa công khai của User B để mật mã hóa số liệu và yên tâm rằng chỉ có User B mới có thể giải mật mã và đọc được số liệu này. Các kỹ thuật mật mã khóa riêng và khóa công khai là các công cụ chính để giải quyết các vấn đề an ninh. Tuy nhiên, chúng không phải là các giải pháp đầy đủ, cần nhận thực để chứng minh rằng nhận dạng là của các người sử dụng chân thật. Phần dưới sẽ xét cách có thể sử dụng mật mã để giải quyết một số vấn đề an ninh cơ sở. Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 28 Cũng có thể mật mã bản tin bằng khóa riêng và giải mật mã bằng khóa công khai, nhưng để cho mục đích khác. Cách này có thể được sử dụng cho các số liệu không nhậy cảm để chứng minh rằng phía mật mã đã thật sự truy nhập vào khóa riêng. Giải thuật khóa bất đối xứng nổi tiếng đầu tiên được đưa ra bởi Ron Rivest, Adishamir và Leonard Adelman vào năm 1977 với tên gọi là RSA. Các giải thuật phổ biến khác bao gồm ECC và DH. RSA bị thất thế trong môi trường di động do ECC rẻ tiền hơn xét về công suất xử lý và kích thước khóa. Tuy nhiên, đây chưa phải là các giải pháp hoàn hảo, chọn một khóa riêng không phải là việc dễ, nếu chọn không cẩn thận sẽ dễ dàng bị phá vỡ. Ngoài ra, các bộ mật mã hóa bất đối xứng cung cấp các giải pháp cho vấn đề phân phối khóa bằng cách sử dụng khóa công khai và khóa riêng. Do phức tạp hơn nên tính toán chậm hơn các bộ mật mã đối xứng. Đối với các tập số liệu lớn, đó sẽ là vấn đề không nhỏ. Trong các trường hợp này việc kết hợp giữa các hệ thống đối xứng và bất đối xứng là một giải pháp lý tưởng. Sự kết hợp này cho ta ưu điểm về hiệu năng cao hơn các giải thuật đối xứng bằng cách gửi đi khóa bí mật trên các kênh an ninh, dựa trên cơ sở sử dụng các hệ thống khóa công khai. Sau khi cả hai phía đã có khóa bí mật chung, quá trình tiếp theo sẽ sử dụng các giải thuật khóa đối xứng để mật mã và giải mật mã. Đây là nguyên lý cơ sở của công nghệ mật mã khóa công khai được sử dụng trong nhiều giao diện hiện nay. 2.3.4 Nhận thực Dựa vào đâu mà một người sử dụng có thể tin chắc rằng họ đang thông tin với bạn của mình chứ không bị mắc lừa bởi người khác? Nhận thực có thể giải quyết bằng sử dụng mật mã hóa khóa công khai. Một ví dụ đơn giản: User A muốn biết User B (người đang thông tin với mình) có đúng phải là bạn của mình hay không? Bằng cách: trước hết, User A sử dụng khóa công khai của User B để mật mã hóa tên và số ngẫu nhiên A, sau đó gửi tới User B. Sau khi nhận được bản tin, User B sử dụng khóa riêng của mình (khóa riêng B) để giải mật mã đồng thời tiến hành mật mã hóa số ngẫu nhiên của mình (B) và số ngẫu nhiên của A cộng với khóa chia sẻ phiên bằng cách sử dụng khóa công khai B. Sau đó gửi trả lại User A, người này nhận được bản tin và có thể biết rằng bản tin này có thật sự được User B phát hay không, bằng cách kiểm tra số ngẫu nhiên A. Tiếp theo, User A lại sử Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 29 dụng khóa riêng chia sẻ phiên để mật mã hóa số ngẫu nhiên B. Sau đó gửi tới User B phân tích bản tin nhận được, User B có thể tin chắc rằng User A đã nhận được bản tin đúng, bằng cách kiểm tra số ngẫu nhiên B. Như vậy, những người khác không thể đọc được các bản tin này vì họ không thể tạo ra được các số ngẫu nhiên đúng. 2.3.5 Các chữ ký điện tử và tóm tắt bản tin Chữ ký điện tử được sử dụng để kiểm tra xem bản tin nhận được có phải là từ phía phát hợp lệ hay không? Nó dựa trên nguyên tắc chỉ người tạo ra chữ ký mới có khóa riêng và có thể kiểm tra khóa này bằng khóa công khai. Chữ ký điện tử được tạo ra bằng cách tính toán tóm tắt bản tin gốc thành bản tin tóm tắt (MD). Sau đó, MD được kết hợp với thông tin của người ký, nhãn thời gian và thông tin cần thiết khác. MD là một hàm nhận số liệu đầu vào có kích cỡ bất kỳ và tạo ra ở đầu ra một kích cỡ cố định (vì thế được gọi là tóm tắt, digest). Tập thông tin này, sau đó được mật mã hóa bằng khóa riêng của phía phát và sử dụng các giải thuật bất đối xứng. Khối thông tin nhận được sau mật mã hóa được gọi là khóa điện tử. Do MD là một hàm nên nó cũng thể hiện phần nào trạng thái hiện thời của bản tin gốc. Nếu bản tin gốc thay đổi thì MD cũng thay đổi. Bằng cách kết hợp MD vào chữ ký điện tử, phía thu có thể dễ dàng phát hiện bản tin gốc có bị thay đổi kể từ khi chữ ký điện tử được tạo hay không. Sau đây, ta xét quá trình sử dụng các digest (tóm tắt) bản tin để tạo các chữ ký điện tử. Hình 2.2 Quá trình sử dụng tóm tắt bản tin để cung cấp các chữ ký điện tử. Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 30 User A tạo ra một digest từ bản tin gốc, digest thực ra là một xâu có độ dài cố định được tạo ra từ một đoạn có độ dài bất kỳ của bản tin gốc. Rất khó để hai bản tin có cùng một digest, nhất là khi digest có độ dài ngắn nhất là 128bit. Các giải thuật thường được sử dụng để tạo ra một digest là MD5, thuật toán rối an ninh (SHA). Quá trình tạo ra một digest và mật mã nó bằng khóa riêng A nhanh hơn rất nhiều so với mật mã toàn bộ bản tin. Sau đó, User A gửi đi bản tin gốc và digest được mật mã đến User B, sau khi nhận được bản tin User B có thể sử dụng khóa công khai của User A để giải mật mã digest, đồng thời User B cũng tạo ra một digest từ văn bản gốc và so sánh hai xâu bit này với nhau. Nếu hai digest giống nhau thì User B có thể tin tưởng rằng bản tin văn bản gốc không bị phá rối trên đường truyền. Vấn đề chính của quá trình xét ở trên là ta phải giả thiết rằng User B có khóa công khai hợp lệ với User A. Nhưng bằng cách nào mà User B biết được đã nhận được khóa công khai hợp lệ? làm cách nào mà người sử dụng biết rằng email cùng với khóa công khai thực sự là của nhà quản lý ngân hàng? Để giải quyết các vấn đề trên ý tưởng sử dụng các chứng chỉ số đã ra đời. Cơ quan cấp chứng chỉ là một tổ chức phát hành các giấy ủy nhiệm điện tử và cung cấp các chứng chỉ số. Một chứng chỉ số thường gồm: tên người sử dụng, thời hạn và khóa công khai của người sử dụng. Chứng chỉ được cơ quan cấp chứng chỉ ký bằng số, để người sử dụng có thể kiểm tra chứng chỉ là đúng. 2.3.6 Các chứng chỉ số Chứng chỉ số đảm bảo khóa công khai thuộc về đối tượng mà nó đại diện. Cần đảm bảo rằng chứng nhận số đại diện cho thực thể yêu cầu (cá nhân hoặc tổ chức), một đối tượng thứ ba là thẩm quyền chứng nhận (CA). Các thẩm quyền chứng nhận nổi tiếng là Verisign, Entrust và Certicom. Người sử dụng có thể mua chứng nhận số từ CA và sử dụng chúng để nhận thực và phân phối khóa riêng của họ. Khi phía thu đã nhận được khóa riêng của họ thì có thể yên tâm rằng phía thu chính là nơi họ yêu cầu. Sau đó, phía phát có thể gửi các bản tin được mật mã bằng khóa công khai đến phía thu. Phía thu có thể giải mật mã chúng bằng khóa riêng của mình. Thông thường chứng nhận số bao gồm: + Tên người sử dụng, thông tin nhận dạng duy nhất người này; + Khóa công khai của người sở hữu; Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 31 + Thời gian chứng nhận có hiệu lực; + Chữ ký số từ CA để dễ dàng phát hiện nếu truyền dẫn bị làm giả. Người sử dụng sở hữu chứng nhận số cũng có thể tự ký chứng nhận số để trở thành CA. Khi đó CA này là đáng tin cậy nếu được ký nhận bởi một khóa đáng tin cậy khác. Khuôn dạng hàng đầu cho các chứng nhận số là X.509 (tiêu chuẩn để nhận thực). Các chứng nhận này thường xuất hiện trong các ứng dụng Internet. Trong giao diện vô tuyến, một dạng khác của giao diện vô tuyến được sử dụng là chứng nhận an ninh lớp truyền tải (WLTS). 2.3.7 Hạ tầng khóa công khai PKI PKI là một thuật ngữ dùng để mô tả một tổ chức hoàn thiện của các hệ thống, quy tắc để xác định một hệ thống an ninh. Nhóm đặc trách kỹ thuật Internet (IEFT) X.509 định nghĩa PKI như sau: “PKI là một tập bao gồm phần cứng, phần mềm, con người và các thủ tục cần thiết để tạo lập, quản lý, lưu trữ và hủy các chứng nhận số dựa trên mật mã khóa công khai”. PKI gồm: + Thẩm quyền chứng nhận (CA): có nhiệm vụ phát hành và hủy các chứng chỉ số; + Thẩm quyền đăng ký: có nhiệm vụ ràng buộc khóa công khai với các nhận dạng của các sở hữu khóa; + Các sở hữu khóa: là những người sử dụng được cấp chứng nhận số và sử dụng các chứng chỉ số này để kí các tài liệu số; + Kho lưu các chứng nhận số và danh sách hủy chứng nhận; + Chính sách an ninh: quy định hướng dẫn mức cao nhất của tổ chức về an ninh. PKI là một khái niệm an ninh quan trọng, các khóa công khai được sử dụng để kiểm tra các chữ ký số (chứng chỉ số) trong kết nối mạng số liệu. Bản thân nó không mang bất cứ thông tin gì về thực thể cung cấp các chữ ký. Công nghệ nối mạng số liệu thừa nhận vấn đề này và tiếp nhận các chứng nhận an ninh, để ràng buộc khóa công khai và nhận dạng thực thể phát hành khóa. Thực thể phát hành khóa lại được kiểm tra bằng cách sử dụng một khóa công khai được tin tưởng đã biết, bằng cách sử dụng một chứng nhận được phát đi từ CA ở phân cấp cao hơn. Các chứng nhận được phát hành và thi hành bởi một thẩm quyền chứng nhận (CA). CA này được phép cung cấp các Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 32 dịch vụ cho các thực thể được nhận dạng hợp lệ, khi chúng yêu cầu. Để thực hiện được các chức năng đó các CA phải được tin tưởng bởi các thực thể (các thành viên của PKI) dựa trên các dịch vụ mà nó cung cấp. Tất cả các chứng nhận được ký bởi một khóa riêng của CA, người sử dụng chứng nhận có thể xem, kiểm tra thông tin của chứng nhận đó có hợp lệ hay không? Bằng cách giải mật mã chữ ký bằng một khóa kiểm tra công khai, có thể kiểm tra, xem nó có phù hợp với MD của nội dung nhận được trong chứng nhận hay không? Chữ ký thường là một MD được mật mã hóa. Các thành viên PKI có thể thỏa thận thời gian hiệu lực tiêu chuẩn cho một chứng nhận. Vì thế, có thể xác định khi nào một chứng nhận bị hết hạn. Mặt khác thẩm quyền chứng nhận (CA) có thể công bố một danh sách hủy chứng nhận (CRL) để các thành viên PKI biết chứng nhận không còn hợp lệ với CA nữa. Các quan hệ tin tưởng giữa CA và các thành viên PKI khác phải được thiết lập trước khi diễn ra giao dịch PKI. Các quan hệ này thường nằm ngoài phạm vi PKI và vì thế cũng nằm ngoài phạm vi công nghệ nối mạng. Các quan hệ tin tưởng PKI có thể được thiết lập trên cơ sở địa lý, chính trị, xã hội, dân tộc và có thể mở rộng cho các nền công nghiệp, các nước, các nhóm dân cư hay các thực thể khác được ràng buộc bởi các mối quan tâm chung. Về mặt lý thuyết thì các mô hình tin tưởng PKI có thể dựa trên một CA duy nhất, được sử dụng để tạo lập PKI trên toàn cầu giống như Internet hay một phân cấp phân bố các CA. Quá trình trao đổi bí mật (khóa chia sẻ phiên hay thông tin để tạo ra khóa này) giữa hai phía A và B được minh họa ở hình 2.3. Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 33 Hình 2.3 Nhận thực bằng chữ ký điện tử Người ký A nhận được khóa công khai từ chứng nhận B. Vì chứng nhận B được ký bởi khóa riêng của thẩm quyền chứng nhận bên B, nên nó có thể được kiểm tra tại thẩm quyền chứng nhận bên B bằng khóa công khai mà B nhận được từ thẩm quyền chứng nhận của mình. Đồng thời chứng nhận CA của B lại được kiểm tra bằng khóa công khai nhận được từ CA gốc và khóa này được đảm bảo là hợp lệ. Vì nó đã được chuyển thành mã của PKI Client trong modem phần mềm của A. Sau khi đã có được khóa công khai của B, A mật mã hóa bí mật bằng cách sử dụng khóa này. Và sau đó bản tin được mật mã này được gửi đến B cùng với chứng nhận CA của A và tóm tắt bản tin MD của bí mật được mật mã hóa, được tính toán theo khóa riêng của A. Khi nhận được bản tin này, B kiểm tra như sau: trước hết B giải mật mã hóa bản tin bằng khóa riêng của mình, tính toàn MD từ kết quả nhận được, sử dụng khóa công khai của A để giải mật mã MD nhận được từ A, rồi sau đó so sánh MD’ với MD. Nếu bằng thì nhận thực thành công và bí mật nhận được sau khi giải mật mã là bí mật cần truyền. Chứng nhận có thể được gửi đi ở các khuôn dạng khác nhau, tiêu chuẩn an ninh được tiếp nhận rộng rãi là X.509 do ITU định nghĩa. Các thực thể công cộng và riêng dựa trên các dịch vụ tin tưởng do một CA chung cung cấp và tiếp nhận do CA cung cấp. Do vậy, các thành viên của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với một thành viên của PKI với CA chứ không phải với các thành viên khác. Vì thế có thể Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 34 định nghĩa PKI ngắn gọn như sau: “PKI như một thực thể ảo kết hợp nhiều thực thể vật lý bởi một tập các chính sách và các quy tắc ràng buộc các khóa chung với các nhận dạng của các thực thể phát hành khóa, thông qua việc sử dụng một thẩm quyền chứng nhận CA”. PKI gồm ba chức năng chính: + Chứng nhận: Chứng nhận hay ràng buộc một khóa với một nhận dạng bằng một chữ ký được thực hiện bởi một thẩm quyền chứng nhận CA. Quá trình chứng nhận bao gồm việc tạo ra một cặp khóa gồm khóa công khai và khóa riêng, do người sử dụng tạo ra và tính toán cho CA trong một phần của yêu cầu hay do CA thay mặt người sử dụng tạo ra. + Công nhận hợp lệ: Công nhận có hợp lệ hay chuyên môn hơn là kiểm tra nhận thực chứng nhận được thực hiện bởi một thực thể PKI bất kỳ. Quá trình công nhận hợp lệ bao gồm việc kiểm tra chữ ký do CA phát hành, đối chiếu với danh sách hủy chứng nhận (CRL) và khóa công khai của CA. + Hủy: hủy một chứng nhận hiện có, trước khi nó hết hạn cũng được thực hiện bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật thông tin mới cho CRL. Trong một kịch bản điển hình, khi người sử dụng cần nhận hay công nhận một chứng nhận được trình bày hợp lệ, nó sẽ gửi yêu cầu này đến CA. Sau khi chứng nhận được yêu cầu được phát đi hay tính hợp lệ của nó được kiểm tra, thông tin tương ứng được CA gửi vào một kho chứng nhận, trong đó có cả CRL. 2.3.8 Nhận thực bằng bản tin nhận thực Nhận thực bằng bản tin nhận thực là một phương pháp đảm bảo toàn vẹn số liệu và nhận thực nguồn gốc số liệu. Một sơ đồ phổ biến của phương pháp này là sử dụng mã nhận thực bản tin MAC. Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 35 Hình 2.4 Phương pháp nhận thực sử dụng MAC. Giải thuật MAC sử dụng khóa bí mật chia sẻ (giữa A và B) là đầu vào để tạo ra một mã nhận thực bản tin MAC. MAC được gắn vào bản tin gốc, sau đó được phát đến nơi nhận, phía thu sẽ sử dụng cùng giải thuật MAC tương ứng như phía phát để tính toán MAC dựa trên bản tin gốc thu được. Nếu bản tin gốc bị thay đổi trong quá trình truyền dẫn thì MAC được tạo ra ở phía thu sẽ khác với MAC thu được từ phía phát gửi đến. Điều này chứng tỏ số liệu không còn nguyên vẹn nữa. Một phương pháp phổ biến nhất để tạo ra MAC là sử dụng MD5. MD5 nhận bản tin có độ dài bất kỳ và tạo ra ở đầu ra 128 bit MD. Phía phát sẽ gửi bản tin gốc cùng với MD đến phía thu, phía thu tính MD từ bản tin gốc nhận được và so sánh với MD thu được để nhận định bản tin còn nguyên vẹn hay không? Giải thuật SHA-1 cũng có thể được sử dụng để tính toán MD giống như MD5. Tuy nhiên MD ở đầu ra của nó chỉ là 120bit. Bằng cách sử dụng hàm làm rối (hàm Hash) một máy tính có thể nhận thực một người sử dụng mà không cần lưu trữ mật khẩu trong văn bản thô. Sau khi tạo ra một tài khoản (account) người sử dụng gõ mật khẩu, máy tính sử dụng hàm Hash một chiều với đầu vào là mật khẩu, để tạo ra giá trị làm rối (giá trị Hash) và lưu giữ giá trị này. Lần sau khi người sử dụng đăng nhập vào máy tính, máy tính sẽ sử dụng hàm Hash với đầu vào là mật khẩu mà người sử dụng gõ vào để tính ra giá trị Hash và so sánh giá trị này với giá trị được lưu. Nếu kết quả giống nhau thì người sử dụng đó được quyền đăng nhập. Do mật khẩu không được lưu trong văn bản thô nên rất khó bị lộ. Cả MD5 và SHA-1 đều là các hàm Hash không khóa, nghĩa là không có khóa bí mật giữa các bên tham gia thông tin. Các giải thuật này không sử dụng khóa bí mật làm đầu vào hàm Hash. Giải thuật mã nhận thực bản tin rối HMAC sử dụng hàm Hash Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động Phạm Văn Quỳnh, H07VTTD_______________________________________________ 36 với một khóa chia sẻ bí mật để nhận thực bản tin. Mục đích chính của HMAC bao gồm: Sử dụng các hàm Hash hiện có mà không cần thay đổi chúng, ví dụ có thể sử dụng các chương trình phần mềm của các hàm Hash đang được sử dụng rộng rãi và miễn phí; Duy trì hoạt động nguyên gốc của hàm Hash mà không làm giảm đáng kể chất lượng; Sử dụng và xử lý khóa một cách đơn giản; Đã phân tích kỹ sức mạnh mật mã của cơ chế nhận thực dựa trên hàm Hash được sử dụng; Dễ dàng thay thế hàm Hash đang sử dụng bằng hàm Hash nhanh hơn hoặc an ninh hơn khi cần. 2.4 An ninh giao thức vô tuyến 2.4.1 An ninh lớp truyền tải vô tuyến (WTLS) WTLS là lớp an ninh được định nghĩa cho tiêu chuẩn WAP. Nó hoạt động trên lớp truyền tải, vì thế phù hợp cho các giao thức cơ sở vô tuyến khác nhau. Giống như TLS, nhưng đã được tối ưu hóa cho phù hợp với các mạng có băng thông hữu hạn và trễ cao. Nó cũng bổ sung thêm các tính năng mới như hỗ trợ gói tin (datagram), tối ưu hóa bắt tay và làm tươi khóa. Nó cũng hỗ trợ sử dụng các chứng nhận WTLS để nhận thực phía Server, trong khi SSL/TLS sử dụng chứng nhận X.509. Tóm lại WTLS cũng có các mục đích an ninh như SSL và TLS ở chỗ nó cũng đảm bảo tính riêng tư, toàn vẹn số liệu và nhận thực. Giao thức an ninh lớp truyền tải vô tuyến (WTLS) được phát triển để phù hợp với các đặc điểm của mạng vô tuyến như: băng thông hẹp và trễ lớn. Đây là cải tiến của giao thức an ninh lớp truyền tải (TLS). TLS không thể sử dụng trực tiếp vì nó không hiệu quả khi sử dụng ở môi trường vô tuyến. WTLS tăng thêm hiệu quả của giao thức và bổ sung thêm nhiều khả năng cho người sử dụng vô tuyến. Dưới đây là một số tính năng chính được bổ sung cho WTLS so với TLS: + Hỗ