Tải bản đầy đủ (.doc) (76 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Tin học văn phòng

Các giải pháp bảo mật trong mạng UMTS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.01 MB, 76 trang )

LỜI CẢM ƠN
Em xin chân thành cảm ơn các thầy, cô giáo trường đại học Công Nghiệp
TPHCM đã tận tình giảng dạy, trang bị cho em những kiến thức quý báu trong
những năm học vừa qua và trong quá trình em thực hiện đồ án.
Em xin chân thành cảm ơn Thầy Nguyễn văn Chiến đã tận tình hướng
dẫn, chỉ bảo em trong suốt thời gian thực hiện đồ án này.
Con xin chân thành cảm ơn bố mẹ, các anh chị và những người thân trong
gia đình đã nuôi dạy, tạo mọi điều kiện tốt nhất cho con học tập và động viên con
trong thời gian thực hiện đồ án.
Tôi xin cảm ơn tất cả bạn bè tôi, những người đã động viên tinh thần và
nhiệt tình hỗ trợ cho tôi các công cụ trong quá trình tôi thực hiện đồ án này.
Mặc dù em đã cố gắng hoàn thành đồ án trong phạm vi và khả năng cho
phép nhưng chắc chắn sẽ không tránh khỏi những thiếu sót. Em mong nhận được
sự cảm thông và tận tình chỉ bảo của Thầy cô và các bạn.
Thanh Hoá, tháng 12 năm 2011
Sinh viên thực hiện:
Hoàng Văn Cường
1
PHOTO QUANG TUẤN
ĐT: 0972.246.583 & 0166.922.4176
Gmail: ; Fabook: vttuan85
LỜI CAM ĐOAN
Em xin cam đoan về nội dung của đồ án thiết kế của sản phẩm là không sao
chép hoàn toàn nội dung cơ bản từ các đồ án khác, thiết kế sản phẩm nào khác,
sản phẩm của đồ án là của chính bản thân em nghiên cứu xây dựng.
2
MỤC LỤC
LỜI CAM ĐOAN 2
LỜI NÓI ĐẦU 6
CHƯƠNG 1: TỔNG QUAN VỀ KỸ THUẬT BẢO MẬT TRONG THÔNG TIN DI ĐỘNG 8
1.1. CÁC ĐE DỌA AN NINH 8


1.1.1. Đóng giả: 8
1.1.2. Giám sát: 8
1.1.3. Làm giả: 9
1.1.4. Ăn cắp: 9
1.2. TẠO LẬP MÔI TRƯỜNG AN NINH 9
1.2.1 Nhận Thực 10
1.2.2. Toàn vẹn số liệu: 10
1.2.3. Bảo mật: 10
1.2.4. Trao quyền: 10
1.2.5. Cấm từ chối: 11
1.3. CÁC CÔNG NGHỆ BẢO MẬT 11
1.3.1. Công nghệ mật mã: 11
1.3.2. Các giải thuật đối xứng: 12
1.3.3. Các giải thuật không đối xứng: 14
1.3.4 Nhận thực 14
1.3.5 Các chữ kí điện tử và tóm tắt bản tin 15
1.3.6 Nhận thực bằng bản tin nhận thực 16
CHƯƠNG 2: KIẾN TRÚC MẠNG UMTS 17
2.1. ĐỊNH NGHĨA UMTS: 17
2.2. LỊCH SỬ PHÁT TRIỂN UMTS: 17
2.3. ĐẶC TRƯNG CỦA MẠNG UMTS: 18
2.4. KIẾN TRÚC MẠNG UMTS: 20
2.4.1. Thiết bị người sử dụng: 21
2.4.2. Mạng truy nhập vô tuyến UMTS ( UTRAN): 22
2.4.2.1 Trạm gốc(nút B): 23
2.4.2.2 Bộ điều khiển truy nhập RNC 24
2.4.3 Mạng lõi UMTS 25
2.4.3.1 Cấu trúc chung của CN 25
2.4.3.2 Miền chuyển mạch kênh 26
2.4.3.3 Miền chuyển mạch gói 27

2.4.3.4. Môi trường nhà: 28
2.4.4. Các giao diện trong mạng: 29
3
2.4.4.1. Giao diện Iub: 29
2.4.4.2. Giao diện Iur 30
2.4.4.3. Giao diện Iu : 30
2.4.4.4. Giao diện Uu : 30
2.4.5. Các mạng ngoài: 31
CHƯƠNG 3: KĨ THUẬT BẢO MẬT TRONG MẠNG UMTS 32
3.1 BẢO MẬT MẠNG UMTS: 32
3.1.1. Nhận thực: 33
3.1.2. Bảo mật: 33
3.1.3. Toàn vẹn: 34
3.2 CÁC HÀM MẬT MÃ 35
3.2.1.Yêu cầu đối với các giải thuật và các hàm mật mã: 35
3.2.2. Các hàm mật mã: 35
3.2.3 Sử dụng hàm bảo mật f8: 37
3.2.4 Sử dụng hàm f9 để tính toán mã toàn vẹn: 38
3.2.5 Sử dụng các hàm mật mã để tạo AV trong AuC 40
3.2.6 Sử dụng các hàm bình thường để tạo ra các thông số an ninh trong USIM: 41
3.3. CÁC THÔNG SỐ NHẬN THỰC 42
3.3.1 Các thông số của AV 42
3.3.2. AUTN: 43
3.3.3 Trả lời của người sử dụng và giá trị kì vọng (RES và XRES) 43
3.3.4 Mã nhận thực bản tin dành cho nhận thực và giá trị kì vọng (MAC-A và XMAC-A) 43
3.3.5 Thẻ đồng bộ lại AUTS 43
3.3.6 Mã nhận thực bản tin dành cho đồng bộ lại và giá trị kì vọng (MAC-S và XMAC-S).
43
3.3.7 Kích cỡ của các thông số nhận thực 43
3.4. AN NINH Ở GIAO DIỆN VÔ TUYẾN 3G UMTS: 44

3.4.1. Mạng nhận thực người sử dụng: 44
3.4.2. USIM nhận thực mạng: 45
3.4.3. Mật mã hoá UTRAN: 46
3.5. NHẬN THỰC VÀ THỎA THUẬN KHÓA AKA 47
3.5.1 Tổng quan về AKA 47
3.5.2 Các thủ tục AKA 48
3.5.2.1 Thủ tục AKA thông thường 48
3.5.2.2 Thủ tục đồng bộ lại AKA 49
3.6. CÁC VẤN ĐỀ AN NINH TRONG MẠNG UMTS: 50
3.6.1 Các đe dọa an ninh 51
3.6.2 Mật mã hóa giao diện vô tuyến 51
3.6.3. Các nút chứa các khóa: 52
4
3.6.4. Nhận thực 53
3.6.5. Các thao tác an ninh độc lập người sử dụng: 53
3.7 THUẬT TÓAN MÃ HÓA BẢO MẬT AES 53
3.7.1 Giới thiệu thuật tóan 53
3.7.2 Mô tả thuật toán: 55
3.7.3. Các khái niệm và kí hiệu 55
3.7.4 Input và Output 56
3.7.5 Đơn vị Byte 56
3.7.6 Trạng thái (State) 58
3.7.7 Thuật toán 58
3.7.8. Sơ đồ thuật toán: 60
3.7.9 Thuật toán giải mã 62
3.8. GIAO DIỆN CHƯƠNG TRÌNH: 63
3.9 CHẠY MÔ PHỎNG 65
3.9.1Mã hóa với file 65
3.9.2 Mã hóa text 67
* Mã hóa 67

Giải mã 68
KẾT LUẬN 70
CÁC TỪ VIẾT TẮT 71
TÀI LIỆU THAM KHẢO 74
5
LỜI NÓI ĐẦU
Ở Việt Nam nhưng năm gần đây , ngành công nghiệp viễn thông nói
chung và thông tin di động nói riêng đã có những bước phát triển vượt bậc. Từ
chỗ có hai nhà cung cấp dịch vụ di động, cho đến nay đã có bảy nhà cung cấp
dịch vụ di động. Cùng với đó, số lượng thuê bao di động không ngừng tăng lên,
yêu cầu của khách hàng sử dụng dịch vụ di động cũng ngày càng cao hơn. Điện
thoại di động giờ đây không chỉ dùng để nghe gọi như trước nữa mà nó đã trở
thành một đầu cuối di động đầy đủ các tính năng để phục vụ mọi nhu cầu của con
người. Bằng chiếc điện thoại của mình người sử dụng có thể giải trí truy cập dữ
liệu phục vụ việc học hành, nghiên cứu hay giao lưu, học hỏi, không nhữn thế
người sử dụng còn có thể dùng nó để thực hiện các giao dịch kinh doanh, giao
dịch ngân hàng trực tuyến…với tốc độ cao không thua kém gì các mạng có dây.
Để những điều nêu trên trở thành hiện thực, các nhà cung cấp dịch vụ di động tại
Việt Nam đã và đang cho ra mắt khách hàng viễn thông hệ thống di động thế hệ
thứ ba (3G).
Đặc điểm nổi bật nhất của hệ thống này là tốc độ xử lý dữ liệu cao và
loại hình dịch vụ phong phú, đa dạng. Tuy nhiên để khách hàng có thể yên tâm
và tin tưởng khi sử dụng dịch vụ thì vấn đề bảo mật , an toàn trong thông tin di
động thế hệ thứ 3 phải được đặt lên hàng đầu. Bởi dữ liệu được truyền trên mạng
di động giờ đây không chỉ đơn thuần là thoại, mà là dữ liệu của các phiên giao
dịch trực tuyến. Nếu không đảm bảo an toàn thông tin thì thiệt hại về kinh tế là
vô cùng to lớn.
6
Với mong muốn tìm hiểu về vấn đề an ninh bảo mật và các cách thức
chống sự phá hoại trong hệ thống thông tin di động hiện nay nên em đã chọn đề

tài về “Các giải pháp bảo mật trong mạng UMTS”.
Nội dung đề tài gồm 4 chương
+ CHƯƠNG I: TỔNG QUAN VỀ KỸ THUẬT BẢO MẬT TRONG
THÔNG TIN DI ĐỘNG
+ CHƯƠNG 2: KIẾN TRÚC MẠNG UMTS
+ CHƯƠNG 3: KỸ THUẬT BẢO MẬT TRONG MẠNG UMTS, MÔ
PHỎNG THUẬT TÓAN MÃ HÓA AES
Do thời gian nghiên cứu ngắn, tài liệu tham khảo thiếu thốn và trình độ
kiến thức có hạn nên không tránh khỏi sai sót, kính mong các thầy cô cùng toàn
thể các bạn góp ý sửa chữa.
7
CHƯƠNG 1: TỔNG QUAN VỀ KỸ THUẬT BẢO MẬT TRONG THÔNG
TIN DI ĐỘNG
Giới thiệu chương:
Để đảm bảo truyền thông an ninh các mạng thông tin di động phải đảm
bảo an ninh trên cơ sở sử dụng các công nghệ bảo mật. Trong chương này, sẽ
xét các mối đe dọa an ninh sau đó ta sẽ xét các phần tử chính tham gia vào việc
tạo nên môi trường bảo mật. Cuối cùng xét tới các công nghệ bảo mật hàng
đầu.
1.1. Các đe dọa an ninh
Có bốn hiểm họa đe dọa vấn đề bảo mật thường gặp trong mạng là: đóng
giả, giám sát, làm giả và ăn trộm.
1.1.1. Đóng giả:
Đóng giả là ý định của kẻ tìm cách truy nhập trái phép vào một ứng dụng
hay một hệ thống bằng cách đóng giả người khác. Nếu kẻ đóng giả truy nhập
thành công, họ có thể tạo ra các trả lời giả mạo với các bản tin để đạt được hiểu
biết sâu hơn và truy nhập vào các bộ phận khác của hệ thống. Đóng giả là vấn đề
chính đối với bảo mật Imternet và vô tuyến Internet, vì kẻ đóng giả có thể làm
cho người sử dụng tin rằng họ đang thông tin với nguồn tin tin cậy nhưng thực tế
là đang thông tin với những kẻ tấn công. Vì thế, người sử dụng sẽ cung cấp thông

tin có lợi cho kẻ tấn công để chúng đạt được truy nhập đến các phần khác của hệ
thống.
1.1.2. Giám sát:
Giám sát là kĩ thuật sử dụng để giám sát dòng số liệu trên mạng. Trong
khi giám sát có thể được sủ dụng cho các mục đích đúng đắn thì nó lại thường
được sử dụng để sao chép trái phép số liệu mạng. Thực chất, giám sát là nghe
trộm điện tử. Bằng cách nghe số liệu mạng, những kẻ không được phép có thể
8
lấy các thông tin quan trọng để giúp chúng xâm phạm vào các ứng dụng của
người sử dụng và hệ thống . Giám sát thường được sử dụng kết hợp với đóng giả.
Giám sát rất nguy hiểm vì nó dễ thực hiện và khó phát hiện. Ngoài ra, các
công cụ giám sát dễ có và dễ cấu hình. Để chống lại các công cụ giám sát tinh vi,
mật mã hóa số liệu là biện pháp bảo vệ hữu hiệu nhất. Dù kẻ sử dụng trái phép
có truy nhập được vào số liệu đã được mật mã, nhưng không thể giải mã được số
liệu này. Vì thế, ta cần đảm bảo rằng giao thức mật mã được sử dụng hầu như
không thể bị phá vỡ.
1.1.3. Làm giả:
Làm giả số liệu hay còn gọi là đe dọa toàn vẹn liên quan đến chặn truyền
dẫn số liệu so với dạng ban đầu với dụng ý xấu. Số liệu bị thay đổi sau đó được
truyền đi như bản gốc. Áp dụng mật mã hóa, nhận thực và trao quyền là cách để
chống làm giả số liệu.
1.1.4. Ăn cắp:
Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin di động. Ta
không chỉ bị mất thiết bị mà còn cả các thông tin bí mật được lưu trong đó. Vì
thế, ta cần tuân theo các nguyên tắc sau để đam bảo an ninh đối với các thiết bị di
động:
- Khóa thiết bị bằng tổ hợp tên người sử dụng/ mật khẩu để chống truy nhập dễ
dàng .
- Yêu cầu nhận thực khi truy nhập đến các ứng dụng lưu trong thiết bị.
- Không lưu các mật khẩu trên thiết bị.

- Mật mã tất cả các phương tiện lưu số liệu cố định.
- Áp dụng các chính sách an ninh đối với người sử dụng di động.
Nhận thực, mật mã cùng các chính sách bảo mật là các biện pháp để ngăn
chặn việc truy nhập trái phép số liệu từ các thiết bị di động bị mất hoặc bị lấy
cắp.
1.2. Tạo lập môi trường an ninh
Để đảm bảo an ninh đầu cuối, ta cần xét đến toàn bộ môi trường an ninh
bao gồm toàn bộ môi trường truyền thông: truy nhập mạng, các phần tử trung
9
gian các ứng dụng máy khách (client). An ninh đầu cuối – đầu cuối có nghĩa rằng
truyền dẫn số liệu an ninh trên toàn bộ đường truyền từ đầu phát đến đầu thu.
Phần này ta xét đến 5 mục tiêu quan trọng liên quan đến việc tạo lập môi trường.
1.2.1 Nhận Thực
Nhận thực là quá trình kiểm tra sự hợp lệ của các đối tượng tham gia
thông tin. Đối với các mạng vô tuyến, quá trình này thường được thực hiện ở 2
lớp: lớp mạng và lớp úng dụng. Mạng thường đòi hỏi người sử dụng phải được
nhận thực trước khi truy nhập mạng. Tại lớp ứng dụng, nhận thực quan trọng tại
2 mức: client và server. Cách nhận thực đơn giản nhất nhưng cũng kém an toàn
nhất là kết hợp tên người sử dụng và mật khẩu. Các phương pháp tiên tiến hơn là
sử dụng các chứng nhận số hay các chữ kí điện tử.
1.2.2. Toàn vẹn số liệu:
Toàn vẹn số liệu là sự đảm bảo rằng số liệu truyền không bị thay đổi hay
bị phá hoại trong quá trình truyền dẫn từ nơi phát đến nơi thu. Điều này có thể
được thực hiện bằng kiểm tra mật mã hay bằng mã nhận thực bản tin ( Mesage
Authentication Code – MAC). Thông tin này được cài vào chính bản tin bằng
cách áp dụng một giải thuật bản tin. Khi phía thu thu được bản tin, nó tính toán
MAC và so sánh với MAC cài trong cài trong bản tin để kiểm tra xem chung có
giống nhau hay không. Nếu giống , phía thu có thể an tâm rằng bản tin dã không
bị thay đổi. Nếu các mã khác nhau, phía thu loại bỏ bản tin này.
1.2.3. Bảo mật:

Bảo mật là khía cạnh rất quan trọng của an ninh và vì thế thường được nói
nhiều nhất. Mục đích của bảo mật là để đảm bảo tính riêng tư của số liệu chống
lại sự nghe lại hoặc đọc trộm số liệu từ những người không được phép. Cách phổ
biến nhất để ngăn ngừa sự xâm phạm này là mật mã hóa số liệu. Quá trình này
bao gồm mã hóa bản tin vào dạng không thể đọc được đối với bất kì máy thu nào
trừ máy thu chủ định.
1.2.4. Trao quyền:
Trao quyền là quá trình quyết định mức độ truy nhập của người sử dụng:
người sử dụng được quyền thực hiện một số hành động. Trao quyền thường liên
10
hệ chặt chẽ với nhận thực. Một khi người sử dụng đã được nhận thực, hệ thống
quyết định người sử dụng được làm gì. Danh sách điều khiển truy nhập ( ALC –
Access Control List) thường được sử dụng cho quá trình này.
1.2.5. Cấm từ chối:
Cấm từ chối là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch
mà chúng đã tham gia không được từ chối tham gia giao dịch. Nó bao gồm nhận
dạng các bên sao cho các bên này sau đó không thể từ chối tham gia giao dịch.
Thực chất điều này có nghĩa là cả phía phát và phía thu bản tin có thể chứng
minh rằng phía phát đã phát bản tin va phía thu đã thu được bản tin tương tự. Để
thực hiện quá trình naỳ, mỗi giao dịch phải được ký bằng một chữ ký điện tử và
có thể được phía thứ ba tin cậy kiểm tra và đánh dấu thời gian
1.3. Các công nghệ bảo mật
1.3.1. Công nghệ mật mã:
Mục đích chính của mật mã là bảo đảm thông tin giữa hai đối tượng trên
kênh thông tin không an ninh để đối tượng thứ ba không thể hiểu được thông tin
gì được quyền. Khả năng naỳ là một trong các yêu cầu chính đối với một môi
trường an ninh bao gồm nhận thực, các chữ ký điện tử và mật mã. Thoạt nhìn có
vẻ mật mã là một khái niệm đơn giản, nhưng thực chất nó rất phức tạp, nhất là
đối với các triển khai di động diện rộng.
Lõi của mọi hệ thống mật mã là mật mã hóa, quá trình này thực hiện như

sau: tập số liệu thông thường (được gọi là văn bản thô) được biến đổi vào dạng
không thể đọc được được gọi là văn bản đã mật mã. Mật mã cho pháp ta đảm bảo
tính riêng tư của số liệu nhạy cảm ngay cả khi những kẻ không được phép truy
nhập được vào mạng. Cách duy nhất để đọc được số liệu đã mật mã là chuyển
đổi nó ngược về dạng gốc, quá trình này được gọi là giải mật mã.
Các giải thuật hiện đại sử dụng các khóa để điều khiển mật mã và giải mật
mã số liệu. Một bản tin đã được mật mã, người sử dụng đầu thu có thể giải nó
bằng mã tương ứng.
11
1.3.2. Các giải thuật đối xứng:
Các giải thuật đối xứng sử dụng một khóa duy nhất để mật mã và giải mật
mã tất cả các bản tin. Phía phát sử dụng khóa để mật mã hóa bản tin sau đó gửi
đến phía thu xác định. Nhận được bản tin, phía thu sử dụng chính khóa này để
giải mật mã bản tin. Giải thuật này làm việc tốt khi có cách an toàn để trao đổi
khóa giữa các người sử dụng. Trao đổi khóa là một vấn đề mà bản thân mật mã
hóa đối xứng không thể giải quyết được và nếu không có phương pháp trao đổi
khóa an ninh thì phương pháp này chỉ hữu hiệu giữa 2 đối tượng riêng.
Mật mã hóa đối xứng còn gọi là mật mã bằng khóa bí mật. Dạng phổ biến
nhất của phương pháp này là DES. Từ đó cho đến nay có nhiều dạng mật mã hóa
đối xứng an ninh được được phát triển, đứng đầu là AES dựa trên giải thuật
Rijindael, DES 3 lần, IDEA, Blowfish và các giải thuật của họ Rivest( RC2,
RC4, RC5 và RC6).
Để giải thích mật mã hóa đối xứng ta xét quá trình mật mã cơ sở sau:
Hình1: Minh họa cơ chế cớ sở của mã hóa bằng khóa duy nhất
Luồng số liệu (văn bản thô) sử dụng khóa riêng duy nhất (một luồng số
liệu khác) thực hiện phép tính cộng để tạo ra luồng số liệu thứ ba (văn bản đã
được mật mã). Sau đó văn bản này được gửi qua kênh thông tin để đến bên thu.
Sau khi thu được bản tin, phía thu sử dụng khóa chia sẻ (giống khóa bên phát ) để
giải mật mã (biến đổi ngược) và được văn bản gốc.
Mật mã đối xứng cung cấp một giải pháp mã hoá mạnh bảo vệ dữ liệu

bằng một key lớn được sử dụng. Tuy nhiên, để bảo vệ các keys này bạn luôn
12
luôn phải lưu giữ chúng và được gọi là private key. Nếu key này bị mất hay bị lộ,
khi đó sẽ không đảm bảo tính bảo mật của dữ liệu nữa.
Và một tình huống khác đó là trong quá trình truyền thông tin của Key
giữa các máy tính … đó cũng là một vấn đề. Để sử dụng mật mã đối xứng để mã
hoá các giao tiếp giữa bạn và người khác trên internet, bạn phải chắc một điều
rằng việc bảo mật quá trình truyền keys trên mạng cần phải được đảm bảo. Nếu
bạn chắc cắn rằng việc truyền dữ liệu về key được đảm bảo, vậy bạn sử dụng
phương thức mã hoá nào cho việc truyền key đó trên mạng. Giải pháp là key
được truyền tới người khác không qua con đường internet, có thể chứa trong đĩa
mềm và chuyển theo đường bưu điện, hay viết tay gửi thư… Rồi người khác và
bạn sử dụng key đó để mã hoá dữ liệu và giải mã trong quá trình truyền thông
tin.
Các giải pháp mật mã đối xứng hay sử dụng nhất:

Tên Kích cỡ khối ( bits) Chiều dài khóa (bits)
Tiêu chuẩn mật mã
hóa tiên tiến sử dụng
thuật toán mã hóa
Rijindael ( AES)
Thay đổi 128, 192, 256
Tiêu chuẩn mật mã
hóa số liệu ( DES)
64 56
DES 3 lần ( 3DES) 64 168
Giải thuật mật mã
hóa số liệu quốc tế
( IDEA)
64 128

Blowfish Thay đổi 1-448
Twofish 128 1-256
Mã hóa Rivest 5
(RC5)
32,64,128 0-2048
13
1.3.3. Các giải thuật không đối xứng:
Mật mã bất đối xứng hay còn gọi là mã hóa sử dụng pulickey. Nó sử dụng
một cặp key đó là pulickey và private thể hiện dưới hình dưới. Trong mỗi quá
trình truyền thông tin sử dụng mật mã bất đối xứng chúng cần một cặp key duy
nhất. Nó tạo ra khả năng có thể sử dụng linh hoạt và phát triển trong tương lai
hơn là giải pháp mật mã đối xứng. Private key bạn cần phải giữ riêng và đảm bảo
tính bảo mật và nó không truyền trên mạng. Pulickey được cung cấp miễn phí và
pulic cho mọi người.
Hình 2: Một hệ thống mã hóa sử dụng mật mã bất đối xứng
Nếu bạn sử dụng private key để mã hóa thì người nhận sẽ phải sử dụng
pulic key của ban để giải mã. Nếu bạn sử dụng pulickey của người nhận để mã
hóa thì người nhận sẽ sư dụng private của họ để giải mã thông tin.
Tuy nhiên đây chưa phải là một giải pháp hoàn hảo, chọn một khóa riêng không
phải dễ, nếu chọn không cẩn thận sẽ dễ dàng bị phá vỡ. Ngoài ra các bộ mật mã
hóa bất đối xứng cung cấp các giải pháp cho vấn đề phân phối khóa bằng cách sử
dụng khóa công khai và khóa riêng, do phức tạp hơn nên tính toán chậm hơn các
bộ mật mã hóa đối xứng.
1.3.4 Nhận thực
Dựa vào đâu mà một người sử dụng có thể tin chắc rằng họ đang thông
tin với bạn của mình chứ không phải bị mắc lừa bởi một người khác?Nhận thực
có thể được giải quyết bằng sử dụng mật mã hóa công khai.
Một ví dụ đơn giản : User A muốn biết User B ( người đang thông tin
với mình) có đúng phải là bạn của mình hay không? Bằng cách: trước hết User A
sử dụng khóa công khai của User B để mật mã hóa tên và số ngẫu nhiên A, sau

đó gửi tới User B. Sau khi nhận được bản tin, User B sử dụng khóa riêng của
14
mình (khóa riêng B) để giải mật mã đồng thời tiến hành mật mã hóa số ngẫu
nhiên của mình(B) và số ngẫu nhiên của A bằng cách sử dụng khóa công khai
B.Sau đó gửi trả lại User A, người này nhận được bản tin và có thể biết rằng bản
tin này có thật sự được User B phát hay không, bằng cách kiểm tra số ngẫu nhiên
A. Tiếp theo User A lại sử dụng khóa riêng chia sẻ phiên để mật mã hóa số ngẫu
nhiên B. Sau đó gửi tới user B phân tích bản tin nhận được, User B có thể tin
chắc rằng User A đã nhận được bản tin đúng, bằng cách kiểm tra số ngẫu nhiên
B. Như vậy người khác không thể đọc đượcc ác bản tin này vì họ không thể tạo
ra số ngẫu nhiên đúng.
1.3.5 Các chữ kí điện tử và tóm tắt bản tin
Chữ kí điện tử được sử dụng để kiểm tra xem bản tin nhận được có phải
là từ phía phát hợp lệ hay không?Nó dựa trên nguyên tắc chỉ người tạo ra chữ kí
mới có khóa riêng và có thể kiểm tra khóa này bằng khóa công khai. Chữ kí điện
tủ được tạo ra bằng cách tính toán tóm tắt bản tin gốc thành bản tin tóm tắt (MD).
Sau đó MD được kết hợp với thông tin của người ký, nhãn thời gian và thông tin
cần thiết khác. MD là một hàm nhận số liệu đầu vào có kích cỡ bất kì và tạo ra ở
đầu ra một kích cỡ cố định. Tập thông tin này sau đó được mật mã hóa bằng khóa
riêng của phía phát và sử dụng các giải thuật bất đối xứng. Khối thông tin nhận
được sau mật mã hóa được gọi là khóa điện tử.
Do MD là một hàm nên nó cũng thể hiện phần nào trạng thái hiện thời
của bản tin gốc. Nếu bản tin gốc thay đổi thì MD cũng thay đổi. Bằng cách kết
hợp MD vào chữ kí điện tử phía thu dễ dàng phát hiện bản tin gốc có bị thay đổi
kể từ khi chữ kí điện tử được tạo ra hay không.
Sau đây, ta xét quá trình sử dụng các digest (tóm tắt) bản tin để tạo ra
chữ kí điện tử.
15
Hình 3:Qúa trình sử dụng tóm tắt bản tin để cung cấp các chũ kí điện tử
1.3.6 Nhận thực bằng bản tin nhận thực

Nhận thực bằng bản tin nhận thực là một phương pháp đảm bảo toàn vẹn
số liệu và nhận thực nguồn gốc số liệu.Một sơ đồ phổ biến của phương pháp này
là sử dụng mã nhận thực bản tin MAC
Hình 4:Phương pháp nhận thực sử dụng MAC
Giải thuật MAC sử dụng khóa bí mật chia sẻ (giữa A và B) là đầu vào để
tạo ra một mã nhận thực bản tin MAC. MAC được gắn vào bản tin gốc, sau đó
được phát đến nơi nhận, phía thu sẽ sử dụng cùng giải thuật MAC tương ứng như
phía phát để tính toán MAC dựa trên bản tin gốc thu được. Nếu bản tin gốc bị
thay đổi trong quá tình truyền dẫn thì MAC được tạo ra ở phía thu sẽ khác với
MAC thu được từ phía phát gửi đến. Điều này chứng tỏ số liệu không còn
nguyên vẹn nữa
16
CHƯƠNG 2: KIẾN TRÚC MẠNG UMTS
Giới thiệu chung:
Để đánh giá và hiểu các tính năng an ninh áp dụng trong mạng UMTS ,
ta cần tìm hiểu biết khái niệm, lịch sử phát triển và đặc trưng của mạng.Tiếp
theo là nghiên cứu về cấu tạo của mạng UMTS và chức năng của các phần tử có
liên quan đến việc bảo mật.
2.1. Định nghĩa UMTS:
UMTS là viết tắt của Universal Mobile Telecommunication System.
UMTS là hệ thống thông tin di động toàn cầu thế hệ thứ 3 (3G) sử dụng kỹ thuật
trải phổ W(wideband)-CDMA. UMTS được chuẩn hóa bởi tổ chức 3GPP. UMTS
được phát triển lên từ các nước sử dụng GSM. UMTS sử dụng băng tầng khác
với GSM. UMTS đảm bảo cả kết nối chuyển mạch kênh lẫn chuyển mạch gói tốc
độ cao ( lên đến 10 Mbit/s khi sử dụng công nghệ HSDPA kết hợp với MIMO).
UMTS được dự đoán sẽ là một giải pháp cho các dịch vụ di động toàn cầu với
khả năng cung cấp dịch vụ đa dạng và rộng khắp bao gồm thoại, paging, tin
nhắn, internet và dữ liệu băng thông rộng.
2.2. Lịch sử phát triển UMTS:
Năm 1992 hội nghị vô tuyến quốc tế tổ chức tại Malaga đã lựa chọn tần

số dành cho hệ thống UMTS sử dụng trong tương lai. UMTS sau đó được công
nhận là bộ phận của IMT-2000 được định nghĩa bởi ITU. Năm 1995 đội nghiên
cứu UMTS được thành lập và đến năm 1996 diễn đàn UMTS được mở ra lần đầu
tiên tại Zurich. Hiện tại quá trình phát triển các chỉ tiêu kỹ thuật được thực hiện
bởi 3GPP (Third Generation Partnership Project).
Do sự đa dạng của các công nghệ di động mà các hướng phát triển lên thế hệ thứ
ba cũng khác nhau. Có thể kể ra ở đây hai xu hướng rất phổ biến đó là từ mạng
CDMA lên CDMA 2000 1x rồi đến CDMA 2000 3x và từ GSM lên UMTS.
Trước khi có UMTS tốc độ truyền dữ liệu trong mạng GSM mới dừng lại ở 9.6
kbps và sau đó được cải tiến bởi công nghệ HSCSD (truyền dữ liệu chuyển mạch
kênh tốc độ cao) với khả năng truyền dữ liệu ở tốc độ 57kbps. Tiếp đến công
nghệ dịch vụ vô tuyến gói chung GPRS hỗ trợ mạng GSM cung cấp tốc độ
17
truyền dữ liệu lên tới 115 kbps mà không yêu cầu thay đổi cấu trúc hệ thống
GSM đang sử dụng. EDGE là công nghệ cải tiến tốc độ truyền dữ liệu trong
mạng GSM mặc dù được đánh giá về mặt kỹ thuật là công nghệ 3G tuy nhiên
EDGE được coi là công nghệ 2.75 G một cách không chính thức bởi giới hạn tốc
độ của nó mới dùng ở 384kbps(ở một số tài liệu, tốc độ tối đa có thể của EDGE
là 984kbps). Chuẩn 3G UMTS hứa hẹn sẽ mạng lại một cuộc cách mạng về công
nghệ thông tin di động với tốc độ truyền dữ liệu lên tới 2Mbps cho dù trên thực
tế các thiết bị UMTS mới đạt được tốc độ 384kbps nhưng vẫn đáp ứng đầy đủ
các yêu cầu dịch vụ trên nền 3G.
Hiện tại chuẩn 3G-UTMS được hỗ trợ công nghệ HSDPA (High Speed
Downloading Packet Access) có thể nâng tốc độ dữ liệu đường xuống lên tới
14,4 Mb/s thay vì 2Mbps (384K trong tực tế) của mạng UMTS cũ. Tốc độ này
cũng có thể coi là đột phá vì tốc độ của các mạng di động hiện nay như GPRS là
115Kbps, EDGE là 384Kbps, EV-DO là 2.4 Mbps , EV-DV là 4.8Mbps (tốc độ
lý thuyết)
2.3. Đặc trưng của mạng UMTS:
Đặc điểm nổi bật nhất của mạng 3G là khả năng hỗ trợ một lượng lớn các

khách hàng trong việc truyền tải âm thanh và dữ liệu – đặc biệt là ở các vùng đô
thị - với tốc độ cao hơn và chi phí thấp hơn mạng 2G.
3G sử dụng kênh truyền dẫn 5 MHz để chuyển dữ liệu. Nó cũng cho phép
việc truyền dữ liệu ở tốc độ 384 Kbps trong mạng di động và 2 Mbps trong hệ
thống tĩnh.
UMTS, dùng công nghệ CDMA băng rộng WCDMA, hỗ trợ tốc độ truyền
dữ liệu lên đến 21Mbps (về lý thuyết, với chuẩn HSPDA). Thực tế, hiện nay, tại
đường xuống, tốc độ này chỉ có thể đạt 384 kbps (với máy di động hỗ trợ chuẩn
R99), hay 7.2Mbps (với máy di động hỗ trợ HSPDA). Dù sao, tốc độ này cũng
lớn hơn khá nhiều so với tốc độ 9.6kbps của 1 đơn kênh GSM hay 9.6kbps của
đa kênh trong HSCSD (14.4 kbit/s của CDMAOne) và một số công nghệ mạng
khác.
18
Nếu như thế hệ 2G của mạng tổ ong là GSM, thì GPRS được xem là thế
hệ 2.5G. GPRS, dùng chuyển mạch gói, khác so với chuyển mạch kênh (dành
kênh riêng) của GSM, hỗ trợ tốc độ dữ liệu cao hơn (lý thuyết đạt: 140.8 kbit/s,
thực tế, khoảng 56 kbit/s). E-GPRS hay EGDE, được xem là thế hệ 2.75G, là sự
cải tiến về thuật toán mã hóa. GPRS dùng 4 mức mã hóa (coding schemes; CS-1
to 4), trong khi EDGE dùng 9 mức mã hóa và điều chế (Modulation and Coding
Schemes; MCS-1 to 9). Tốc độ truyền dữ liệu thực của EDGE đạt tới 180 kbit/s.
Từ năm 2006, mạng UMTS được nhiều quốc gia nâng cấp lên, với chuẩn
HSPDA, được xem như mạng 3.5G. Hiện giờ, HSPDA cho phép tốc độ truyền
đường xuống đạt 21Mbps. Dài hơi hơn, một nhánh của tổ chức 3GPP lên kế
hoạch phát triển mạng 4G, với tốc độ 100 Mbit/s đường xuống và 50 Mbit/s
đường lên, dùng công nghệ giao diện vô tuyến dựa trên Ghép kênh tần số trực
giao. Hiện tại, tốc độ truyền dữ liệu cao của UMTS thường dành để truy cập
Internet.
UMTS kết hợp giao diện vô tuyến WCDMA, TD-CDMA, hay TD-
SCDMA, lõi Phía ứng dụng di động của GSM (MAP), và các chuẩn mã hóa thoại
của GSM.

UMTS (W-CDMA) dùng các cặp kênh 5Mhz trong kỹ thuật truyền dẫn
UTRA/FDD. Ban đầu, băng tần ấn định cho UMTS là 1885–2025 MHz với
đường lên (uplink) và 2110–2200 MHz cho đường xuống (downlink). Ở Mỹ,
băng tần thay thế là 1710–1755 MHz (uplink) và 2110–2155 MHz (downlink),
do băng tần 1900MHz đã dùng.
19
2.4. Kiến trúc mạng UMTS:
Một mạng UMTS gồm 3 phần:
- Thiết bị người sử dụng ( UE: User Equipment), gồm 2 thiết bị:
+ Thiết bị di động ( ME)
+ Mô – đun nhận dạng thuê bao UMTS ( USIM: UMTS Subscriber
Identify Module)
Trạm di động (MS) là thiết bị đầu cuối được sử dụng trong mạng GSM.
- Mạng truy cập vô tuyến mặt đất UMTS (UTRAN) gồm các nút B và các
hệ thống mạng vô tuyến ( RNS: Radio Network System), mỗi RNS bao gồm bộ
điều khiển mạng vô tuyến ( RNC: Radio Network Controller) và các BTS nối với
nó.
- Mạng lõi (CN: Core Network),
+ Chuyển mạch kênh ( CS)
+ Chuyển mạch gói ( PS)
+ Môi trường nhà ( HE: Home Environment) gồm: AuC, HLR và EIR.
Lõi cho data bao gồm SGSN, GGSN; phần lõi cho voice thì có MCS và GMSC.
20
Hinh 5: Kiến trúc mạng UMTS
2.4.1. Thiết bị người sử dụng:
UE là đầu cuối mạng UMTS của người sử dụng. Có thể nói đây là phần hệ
thống có nhiều thiết bị nhất và sự phát triển của nó sẽ ảnh hưởng lớn đến các ứng
dụng và dịch vụ khả dụng. Giá thành giảm nhanh chóng sẽ tạo điều kiện cho
người sủ dụng mua thiết bị của UMTS. Điều này đạt được nhờ tiêu chuẩn hóa
giao diện vô tuyến và cài đặt mọi trí tuệ của các card thông minh.

Các chức năng chính của UE thường là:
Giao diện thẻ vi mạch tích hợp cho phép lắp thẻ tích hợp toàn cầu (UICC)
vào. Thẻ UICC chứa vi mạnh nhận dạng thuê bao toàn cầu (USIM) và có thể
thêm thẻ xác thục IMS.
- Chức năng đăng ký và hủy đăng ký mạng và dịch vụ.
- Chức năng cập nhật vị trí.
- Thực hiện các dịch vụ hướng kết nối và không kết nối.
- Một số nhận dạng không thay đổi được- IMEI.
- Chức năng xác nhận các dịch vụ cơ bản.
- Hỗ trợ gọi khẩn cấp ko cần USIM.
- Hỗ trợ thực thi các thuật toán mã hóa và nhận thực.
Bên cạnh đó UE còn có thể có thêm các chức năng do hãng cung cấp.
Một UE được tạo bởi :
UICC là một card thông minh bao gồm:
+ Một hay nhiều USIM và các thành phần ứng dụng tương ứng.
+Có thể có ISIM cho các dịch vụ IMS
-Thiết bị di động ME
+ Phần thiết bị đầu cuối (TE) cung cấp các chức năng ứng dụng người dùng như
máy trạm điều khiển cuộc gọi, mã hóa và quản lý phiên.
Đầu cuối hỗ trợ 2 giao diện. Giao diện Uu định nghĩa liên kết vô tuyến
( giao diện WCDMA). Nó đảm nhiệm toàn bộ kết nối vật lí với mạng UMTS.
Giao diện thứ 2 là giao diện Cu giữa UICC và đầu cuối.
* USIM:
21
Trong hệ thống GSM, SIM card lưu giữ thông tin cá nhân cài cứng trên
card. Nhưng trong UMTS, mô đun nhận dạng thuê bao UMTS được cài như 1
ứng dụng trên UICC. Điều này cho phép lưu nhiều ứng dụng hơn và nhiều chữ kí
( khóa) điện tử hơn cùng với USIM cho các mục đích khác nhau. Ngoài ra còn có
nhiều USIM trên cùng 1 UICC để hỗ trợ truy nhập đến nhiều mạng.
USIM chứa các hàm và số liệu cần thiết để nhận dạng và nhận thực thuê

bao trong mạng UMTS. Nó có thể lưu cả bản sao lí lịch của thuê bao.
Người nhận thực phải tự mình nhận thực đối với USIM bằng cách nhập
mã PIN. Điều này đảm bảo rằng chỉ người sử dụng đích thực mới được truy nhập
mạng UMTS. Mạng sẽ chỉ cung cấp dịch vụ cho người nào sử dụng đầu cuối
dựa trên USIM nhận dạng được đăng kí.
2.4.2. Mạng truy nhập vô tuyến UMTS ( UTRAN):
Trong hệ thống truy nhập vô tuyến UMTS thì cấu trúc UTRAN là thành
phần chính cấu tạo nên mạng truy nhập vô tuyến. Nhiệm vụ chính của UTRAN
là tạo và duy trì các kênh truy nhập vô tuyến (RAB) phục vụ cho liên lạc giữa
UE và mạng lõi. UTRAN sử dụng công nghệ đa truy nhập băn thông rộng phân
chia theo mã WCDMA.
22
Cấu trúc UTRAN :
Hinh 6: Cấu trúc UTRAN
Mạng vố tuyến mặt đất toàn cầu bao gồm các hệ thống mạng vô tuyến con
(RNS), mỗi RNS bao gồm nhiều trạm gốc (BS hay còn được gọi là Node B) và
một hệ thống quản lý mạng không dây. UE và BS giao tiếp thông qua giao diện
Uu trong khi đó giữa các RNS có các giao diện Iur và giữa BS và RNC được
giao tiếp thông qua giao diện Iub (giao diện trên nền công nghệ truyền dẫn
ATM).
2.4.2.1 Trạm gốc(nút B):
Nhiệm vụ chính của trạm gốc đó là thực thi chức năng vật lý của giao diện
Uu giao tiếp với các thiết bị người dùng thông qua các kênh WCDMA và truyền
dữ liệu từ các kênh truyền tải sang các kênh vật lý được sắp xếp bởi RNC. Node
23
B có thể hỗ trợ các chế độ song công phân chia theo tần số (FDD) và chế độ song
công phân chia theo thời gian (TDD)
Được coi như là phần rìa vô tuyến của UTRAN, nhiệm vụ của BS là thu
và nhận tín hiệu (Rx và Tx), lọc và khuyếch đại tín hiệu, điều chế và giải điều
chế tín hiệu, và giao tiếp với mạng trong. Cấu trúc của BS tùy thuộc vào từng

nhà cung cấp và chứa các thành phần như hình vẽ ở trên.
BS ( hay Node B) là đơn vị vật lý sử dụng cho việc truyền nhận thông qua
các tế bào (Cell). Một tế bào là đơn vị nhỏ nhất của mạng vô tuyến được cấp một
số nhận dạng và được quan sát bởi các UE. Tùy thuộc vào sự phân chia tế bào
mà một hoặc nhiều tế bào sẽ được phục vụ bởi một Node B. Một Node B có thế
đặt cùng chỗ với các BTS của hệ thống GSM để hạn chế giá thành.
- Sửa lỗi (FEC)
- Tương thích tốc độ
- Trải phổ và giải trải phổ
- Điều chế QPSK
- Điều khiển tốc độ lỗi khung (FER)
- Truyền dữ liệu đến RNC.
- Thực hiện chuyển giao mềm với FDD.
- Tham gia quá trình điều khiển công suất
2.4.2.2 Bộ điều khiển truy nhập RNC
RNC là thành phần điều khiển và chuyển mạch trong UTRAN nằm giữa
giao diện Iub và giao diện Iu. Cấu trúc logic của RNC được miêu tả như H7
Có các mô hình RNC như sau:
- RNC điều khiển (CRNC): Trong trường hợp có duy nhất một Node B kết nối
tới RNC thì RNC đó dành riêng để điều khiển Node B và được coi là RNC điều
khiển. Vai trò của CRNC là điều khiển tải và tắc nghẽn cho những tế bào nó
quản lý. CRNC cũng thực hiện điều khiển quản lý và phan mã cho các kết nối vô
tuyến thiết lập trong các tế bào đó.
24
- RNC phục vụ (SRNC): Là RNC kết nối tới Iu cho việc truyền dữ liệu người
dùng và giao tiếp các báo hiệu liên quan đến ứng dụng mạng truy nhập vô tuyến
với
Hình 7: Cấu trúc logic của RNC
mạng lõi. SRSN cũng kế nối tới giao thức báo hiệu quản lý tài nguyên vô tuyến
giữa UE và UTRAN. Một UE kết nối tới UTRAN chỉ có một SRNC.

- RNC trôi (DRNC): Là bất kỳ RNC nào khác ngoài SRNC điều khiển các ô tế
bào đang sử dụng bởi thiết bị di động. DRNC được sử dụng trong kích hoạt kết
nối thông qua chuyển giao mềm giữa các RNC. Mỗi EU có thể không có hoặc
một hoặc nhiều DRNC.
2.4.3 Mạng lõi UMTS
2.4.3.1 Cấu trúc chung của CN
Mạng lõi UMTS có thể được coi là nền tảng cơ bản cho tất cả các dịch vụ
truyền thông cung cấp cho các thuê bao UMTS. Các dịch vụ cơ bản bao gồm
dịch vụ thoại chuyển mạch kênh và định tuyến dữ liệu gói. 3GPP cũng giới thiệu
một phân hệ mới có tên là “Phân hệ đa phương tiện IP” (IMS) hỗ trợ các dịch vụ
IP trên nền hệ thống thông tin di động
Mạng lõi UMTS bao gồm các miền và các phân hệ được phân chia thành các
thành phần như sau:
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×