HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG






PHẠM VĂN CHIẾN



AN NINH TRONG THÔNG TIN DI ĐỘNG MẠNG
THẾ HỆ MỚI LTE VÀ WiMAX


CHUYÊN NGÀNH: KỸ THUẬT VIỄN THÔNG
MÃ SỐ: 60.52.02.08



TÓM TẮT LUẬN VĂN THẠC SĨ



HÀ NỘI - 2014

Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học:
TS. NGUYỄN PHẠM ANH DŨNG


Phản biện 1:



Phản biện 2:





Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ
tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm


Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

2

MỞ ĐẦU

Thông tin di động ngày nay đã trở thành một nghành công
nghiệp phát triển vô cùng mạnh mẽ .Các thế hệ của mạng di động
không ngừng phát triển nhằm cung cấp cho người sửa dụng các dịch

vụ thoại, truyền số liệu và đặc biệt là các dịch vụ băng rộng ở mọi
lúc mọi nơi.
Khi thuê bao di động thực hiện các dịch vụ băng rộng vấn đề
mất an toàn thông tin cần được quan tâm, thông qua các cơ chế xác
thực, mã khóa để đảm bảo cho người dùng là vấn đề cấp thiết phải
thực hiện, việc sửa dụng ngày càng nhiều các giao diện và các giao
thức mới tạo cơ hội cho việc sửa dụng mạng với mục đích xấu. Các
tấn công này có thể làm mất khả năng hoạt động của mạng, làm mất
tính toàn vẹn cũng như tính bảo mật của các dịch vụ mạng. Cần
phải có các biện pháp an ninh để bảo vệ mạng viễn thông khỏi các
tất công này
Các nhà cung cấp dịch vụ di động băng rộng đang phải đối
mặt với các rủi do của mạng công cộng như các tất công an ninh,
các đe dọa virus, các yếu điểm phần mềm. Các nguy hiểm này có
thể ảnh hưởng đến hạ tầng, cung cấp dịch vụ của các nhà cung cấp
dịch vụ và trải nghiệm của khách hàng. Cần phải có các biện pháp
an ninh hữu hiệu để giảm thiểu các hủy hoại dịch vụ, tránh thất
thoát lợi nhuận và duy trì mức độ thỏa mãn cao của khách hàng .
Ngày nay các nhà nghiên cứu phát triển các hệ thống thông tin di
động nói riêng cũng như các hệ thống viễn thông nói chung đã đưa
ra nhiều công nghệ an ninh để có thể tạo ra các giải pháp di động
với an ninh đầu cuối đầu cuối. Các công nghệ an ninh này phải
được đưa vào ứng dụng của ta ngay từ giai đoạn thiết kế ban đầu
cho đến khi triển khai cuối cùng

Nội dung đề tài "An ninh trong thông tin di động mạng thế hệ
mới LTE và WiMAX" được trình bày trong 3 chương như sau:

- Chương 1: Tổng quát về an ninh trong các hệ thống thông tin .
- Chương 2: An ninh trong mạng LTE.

- Chương 3: An ninh trong mạng WiMAX

3


Chương 1
TỔNG QUÁT VỀ AN NINH TRONG HỆ THỐNG
THÔNG TIN DI ĐỘNG

1.1. Tạo lập môi trường an ninh
Để đảm bảo an ninh đầu cuối đầu cuối ta cần xét toàn
bộ môi trường an ninh bao gồm toàn bộ môi trường truyền
thông: truy nhập mạng, các phần từ trung gian các ứng dụng
Client. An ninh đầu cuối đầu cuối có nghĩa rằng truyền dẫn số
liệu an ninh trên toàn bộ đường truyền từ đầu phát đến đầu thu
(thường là các máy đầu cuối hay các Client đến các server).
Trong phần này ta sẽ xét năm mục tiêu quan trọng liên quan
đến việc tạo lập môi trường an ninh.
1.1.1. Nhận thực
Phải có cơ chế để đảm bảo rằng người sử dụng hay thiết
bị là hợp lệ. Ngoài ra người sử dụng thiết bị cũng phải có khả
năng kiểm tra tính xác thực của mạng mà nó nói đến
1.1.2. Toàn vẹn số liệu
Toàn vẹn số liệu là sự đảm bảo rằng số liệu truyền
không bị thay đổi hay bị phá hoại trong quá trình truyền dẫn từ
nơi phát đến nơi thu
1.1.3. Bảo mật
Bảo mật là một nét rất quan trọng của an ninh và vì thế
thường được nói đến nhiều nhất



4

1.1.4. Trao quyền
Trao quyền là cơ chế để kiểm tra rằng người sử dụng
được quyền truy nhập một dịch vụ cụ thể và quyết định mức độ
truy nhập của người sử dụng
1.1.5. Cấm từ chối (Non-Repudiation)
Cấm từ chối là biện pháp buộc các phía phải chịu trách
nhiệm về giao dịch mà chúng đã tham gia không được từ chối
tham gia giao dịch
1.1.6. Chống phát lại
Không cho phép kẻ phát hoại chẳng bản tin phát từ A
đến B và phát lại bản tin này nhiều lần làm quá tải B dẫn đến B
từ chối dịch vụ (DoS: Deny of Service).
An ninh thường được xử lý tại nhiều lớp, mặc dù trong
nhiều trường hợp có thể có các cơ chế thừa.
Mỗi lớp xử lý các khía cạnh khác nhau của an ninh.
Nguyên tắc chung của an ninh là nên có nhiều cơ chế an ninh
để bảo vệ sao cho không bị mất an ninh khi một cơ chế bị phá
vỡ






5





Bảng 1.1. Thí dụ về cơ chế an ninh tại các lớp khác nhau
của ngăn xếp IP

Lớp
Cơ chế an ninh
Chú thích
Liên kết
Mật mã hoá, nhận thực
thiết bị, nhận thực cảng truy
nhập
Thông thương được
thực hiện trên liên kết vô
tuyến
Mạng.
Tưởng lửa, IPSec, hạ tâng
Bảo vệ mạng và
thông tin đi qua nó
Truyền tải
An ninh lớp truyền tải
Đảm bảo an ninh lớp
truyền tải bằng cách sử
dụng kiến trúc chứng
nhận
Ứng dụng
Các chữ ký điện tử, các
giao dịch điện tử an ninh
,quản lý quyền lợi số
Có thể đảm bảo cả

bảo mật và nhận thực,
chủ yếu dựa trên hạ tầng
khóa công cộng


Trong các đường truyền hữu tuyến, thông thường mật mã
hóa lớp liên kết không được sử dụng. Trong các trường hợp
này, bảo mật được đảm bảo bởi các cơ chế an ninh đầu cuối
6

đầu cuối được sử dụng tại các lớp cao hơn. Tại lớp mạng, có
một số phương pháp đảm bảo an ninh. Chẳng hạn IPSec có thể
được sử dụng để đảm bảo nhận thực và các dịch vụ mật mã
hoá. Bản thân mạng được bảo vệ khỏi các tấn công của kẻ xấu
thông qua việc sử dụng các tường lửa. Các dịch vụ nhận thực
và trao quyền thường được sử dụng thông qua các giao thức
AAA, như các giao thức RADIUS (Remote Access Dial in
User Service: dịch vụ người sử dụng quay số từ xa) và
Diameter. Tại lớp truyền tải, TLS (dịch vụ trước đây được gọi
là SSL: Secure Sockets Layer: lớp các ổ cắm an ninh), có thể
được sử dụng để bổ sung cho an ninh cho các giao thức truyền
tải và các gói. Tại lớp ứng dụng, các chữ ký số, các chứng nhận
và quản lý quyền lợi số có thể được sử dụng phụ thuộc vào mức
độ nhậy cảm của ứng dụng.

1.2.Các đe dọa an ninh
1.2.1. Đóng giả
Đóng giả là ý định của kẻ tìm cách truy nhập trái phép
vào một ứng dụng hay một hệ thống bằng cách đóng giả người
khác

1.2.2. Giám sát
Giám sát là kỹ thuật sử dụng để giám sát dòng số liệu
trên mạng. Trong khi giám sát có thể được sử dụng cho các
mục đích đúng đắn, thì nó lại thường được sử dụng để copy trái
phép số liệu mạng.
1.2.3. Làm giả
7

Làm glà số liệu hay còn gọi là để dọa tính toàn vẹn liên
quan đến việc thay đổi số liệu so với dạng ban đầu với dụng ý
xấu
1.2.4. Ăn cắp
Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin
di động. Ta không chỉ bị mất thiết bị mà còn cả các thông tia bí
mật lun trong nó. Điều này đặc biệt nghiêm trọng đối với các
ứng dụng Client thông minh vì chúng thường chứa số liệu
không đổi và bí mật
1.3. Các giao thức hàng đầu
1.3.1. Lớp các ổ cắm an ninh,SSL
SSL (Secure Sockets Layer: lớp các ổ cắm an ninh) là
giao thức an ninh hàng đầu được sử dụng trên internet hiện nay.
Nó được phát triển Netscape để cung cấp các phiên internet
riêng và an ninh, thường ở trên HTTP, mặc dù nó cũng có thể
sử dụng trên FTP hay các giao thức liên quan khác
1.3.2. An ninh lớp truyền tải, TLS
Gần đây SSL được thay thế bởi TLS (Transport Layer
Security: an ninh lớp truyền tải) được định nghĩa bởi
[RPC2246] như là tiêu chuẩn an ninh lớp ứng dụng/phiên.
1.3.3. An ninh lớp truyền tải vô tuyến, WTLS
WTLS là lớp an ninh được định nghĩa cho tiêu chuẩn

WAP. Nó hoạt động trên lớp truyền tồi vì thế phù hợp cho các
giao thức cơ sở vô tuyến khác nhau.
1.3.4. An ninh IP, IPSec
IPSec (IP Security) khác với các giao thức khác ở chỗ
nó không tác động lên lớp ứng dụng
8

1.4. An ninh giao thức vô tuyến, wap
1.4.1. An ninh mức truyền tải , TLS
An ninh mức truyền tải (còn được gọi là an ninh kênh)
để xử lý thông tin điểm đến điểm giữa một Client vô tuyến và
nguồn số liệu doanh nghiệp
1.4.2. Lỗ hổng WAP
Tuy WTLS cải thiện TLS trong môi trường vô tuyến,
nhưng nó lại gây ra một vấn đề chính: bây giờ cần cả hai giao
thực TLS và WTLS trong kiến trúc WAP
1.4.3. WAP2.X
WAP 2.0 có rất nhiều tính năng mới, nhưng quan trọng
nhất là việc chuyển dịch đến các giao thức Internet tiêu chuẩn.
1.5. Mô hình an ninh tổng quát của một hệ thống thông
tin di động
Kiến trúc an ninh bao gồm năm môđun sau:
An ninh truy nhập mạng (NAS: Network Access
Security): Tập các tính năng an ninh để đảm bảo các người sử
dụng truy nhập an ninh đến các dịch vụ do hệ thống thông tin di
động cung cấp, đặc biệt là bảo vệ chống lại các tấn công trên
các đường truy nhập vô tuyến.
An ninh miền mạng (NDS: Network Domain Security):
Tập các tính năng an ninh để đảm bảo an ninh cho các nút
mạng trong miền nhà cung cấp dịch vụ trao đổi báo hiệu và

đảm bảo chống lại các tấn công trên mạng hữu tuyến.
An ninh miền người sử dụng (UDS: User Domain
Security): Tập các tính năng an ninh để đảm bảo truy nhập an
ninh đến MS.
9

An ninh miền ứng dụng (ADS: Application Domain
Security): Tập các tính năng an ninh để đảm bảo các ứng dụng
trong miền người sử dụng và miền nhà cung cấp dịch vụ trao
đổi an ninh các bản tin
Khả năng nhìn được và lập cấu hình an ninh. Tập các
tính năng cho phép người sử dụng tự thông báo về việc một
tính năng an ninh có làm việc hay không và việc sử dụng hoặc
cung cấp các dịch vụ có phụ thuộc vào tính năng an ninh hay
không.

10

Chương 2
AN NINH TRONG MẠNG LTE

2.1. Kiến trúc hệ thống LTE/SAE và IMS



Hình 2.1. Kiến trúc hệ thống cho mạng LTE/SAE chỉ
cho EUTRAN của LTE

2.2. An ninh của người sửa dụng trong EPS
2.2.1. Các yêu cầu về an ninh đối với các phần tử và các

giao diện trong EPS
11

Các yêu cầu an ninh đối với các phần tử và các giao
diện trong EPS
- An ninh giữa người sử dụng và mạng. Để bảo vệ các
trao đổi giữa mạng và UE trên giao diện vô tuyến
- An ninh miền mạng. Để bảo vệ các giao diện giữa
các nút mạng trong EPS và IMS
2.2.2. Các chức năng an ninh trong mạng EPS
2.2.2.1. Các chức năng an ninh và các mức giao thức
2.2.2.2. Các chức năng an ninh và các phần tử mạng EPS
2.2.3. Quản lý khóa an ninh
2.2.3.1. Tạo các khóa an ninh từ một khóa chung
2.2.3.2. Phân cấp khóa EPS
2.2.3.3. Các giải thuật và toàn vẹn của E-UTRAN
2.3. Các thủ tục an ninh khi UE khởi sướng kết nối đến
EPS
2.3.1. Tổng quan các thủ tục an ninh và báo hiệu khi UE
khởi sướng kết nối đến EPS
2.3.2. Thủ tục AKA (Authentication and Key Agreement:
Nhận thực và thỏa thuận khóa
Tất cả các hoạt động cần thiết để bảo vệ an ninh của
người sử dụng (rút ra khóa an ninh và nhận thực tương hỗ)
được thực hiện trong quá trình AKA. AKA đựơc sử dụng trong
EPS cũng giống như AKA trong 3G UMTS.
2.4. An ninh miền mạng
2.4.1. Tổng quát
An ninh miền mạng cho IP (NDS/IP: Network Domain
Service/IP) nhằm bảo vệ số liệu của người sử dụng và báo hiệu

12

trên các giao diện giữa các nút mạng trong EPC hoặc trong E-
UTRAN.
SEG (Security Gateway: cổng an ninh) được đặt tại biên
giới một miền an ninh và có nhiệm vụ tập trung tất cả lưu
lượng vào và ra miền mạng. NE (Network Entity: thực thể
mạng) có thể là một nút mạng bất kỳ thuộc E-UTRAN, EPC và
IMS như eNodeB, MME, S-CSCF
2.4.2. ESP ((Encapsuling Security Payload: Tải tin an ninh
bằng cách đóng bao)
ESP là một cơ chế an ninh hoàn thiện đảm bảo ba mức
bảo vệ và xử lý một tập giao thức an ninh cho mỗi mức
2.4.3. An ninh đường trục eNodeB
Đường trục nối đến eNode đòi hỏi an ninh cao hơn vì: Vai
trò của eNodeB trong LTE mạnh hơn so với NodeB trong 3G UMTS:
LTE eNodeB bao gồm cả NodeB và RNC
- Vùng phù cần mở rộng liên tục
- Chia sẻ hạ tầng
2.4.4. An ninh nút chuyển tiếp


Hình 2.14. An ninh nút chuyển tiếp

2.5. An ninh của người sửa dụng LTE trong IMS
2.5.1. Mô hình an ninh IMS (SIP)
13


Hình 2.15. Mô hình an ninh IMS (SIP) Tổng quát.

2.5.2. Thủ tục an ninh khi UE truy nhập IMS

Miền IMS áp dụng hai kiểu thủ tục an ninh:
- IMS AKA (Authentication and Key Agreement:
nhận thực và thỏa thuận khóa): để đảm bảo nhận
thực tương hỗ giữa UE và S-CSCF
- IMS SA (Security Association: liên kết an ninh): để
đảm bảo bảo vệ an ninh cho báo hiệu SIP giữa UE và
P-CSCF
2.5.3. Thủ tục IMS AKA
2.6. Tăng cường an ninh trong mạng LTE
Cơ chế bảo mật và bảo vệ toàn vẹn cho RRC và người
dùng dữ liệu được cung cấp giữa UE và e-NB trong Access
Stratum


14






Chương 3
AN NINH TRONG MẠNG WiMAX

3.1. Mô hình tham chuẩn mạng WiMAX (NRM)


Hình 3.1. Mô hình tham chuẩn mạng WiMAX

 ASN (Access Service Nehvork: mạng dịch vụ truy
nhập)
Quy định biên giới hạn logic và mô tả tổng quát các chức
năng cũng như luồng bản tin liên quan đến các dịch vụ truy
nhập. ASN thể hiện biên giớihạn tương tác chức, năng với các
15

WiMAX Client, các chức năng kết nối WiMAX và tổng các
chức năng được quy định bởi các nhà sản xuất khác nhau. Việc
chuyển đổi các phần tử chức năng thành các phần tư logic bên
trong ASN có thể được thực hiện theo các cách khác nhau.
WiMAX Forum đang tiến hành chuẩn hoá mạng sao cho việc
thực hiện theo các cách khác nhau của các nhà cung cấp thiết bị
khác nhau có thể tương tác và phù hợp cho các yêu cầu triển
khai khác nhau.
 CSN (Connectivity Service Network: mạng dịch vụ kết
nối)
Định nghĩa tập các chức năng mạng cung cấp các dịch vụ kết
nối IP cho các thuê bao WiMAX. CSN có thể bao gồm: các
router, các đại diện/server AAA, các cơ sở dữ liệu của người sử
dụng và các cổng tương tác. CSN có thể được triển khai như là
một bộ phận của nhà cung cấp dịch vụ mạng WiMAX (NSP:
Network Service Provider) mới hoặc như bộ phận của WiMAX
NSP truyền thống (lâu đời).

16


Hình 3.2. Kiến trúc mạng WiMAX trên cơ sở IP
3.2. An ninh trong mạng WiMAX

3.2.1. Thủ tục chuyển giao
Tổn tại hai loại chuyển giao trong WiMAX: chuyển
giao được neo bởi ASN và chuyển giao được neo bởi CSN.
Trong trường hợp thứ nhất MS chuyển động từ một BS này đến
một BS khác trong cùng một ASN
3.2.2. DHCP
MS không hỗ trợ MIP có thể có một địa chỉ IP tĩnh
được lập cấu hình trước hay có thể sử dụng giao thức DHCP để
nhận được một địa chỉ mới khi tại mỗi lần chuyển giao. Ngay
cả trong trường hợp thứ nhất, chuyển giao cũng không thể
trong suốt đối với lớp IP vì cần cập nhật các thông số IP khác.
17

Nhất là tại phía Client MS phải cập nhật tuyến của nó đến một
cổng mặc định mới hay địa chỉ IP của DNS (server tên miền)
trong mạng mới.
3.2.3. Giao thức IP di động (MIP)
3.2.3.1. MIP
Có thể tổng kết toàn bộ hoạt động của MIP như sau:
- Tại thời điểm nhận thực đầu tiên, MN (nút di động)
nhận được một địa chỉ từ HA trong mạng nhà của nó.
Chừng nào còn nằm trong mạng nhà. Các gói đến và đi
từ nút này chỉ sử dụng địa chỉ này và MIP không được
sử dụng
- Khi MN rời khỏi mạng nhà đến một mạng khác (mạng
ngoài) nó tìm kiếm một FA và nhận được COA từ FA
này.
- Sau khi được gán COA, MN bắt đầu đăng ký MIP với
HA bằng thủ tục MIP RRQ (Registration Request: yêu
cầu đăng ký). Thủ tục này thông báo cho HA về COA

hiện thời của MN trong mạng ngoài (FN; Foreign
Network) và HA cần sử dụng COA này để nối đến MN.
Để khẳng định đăng ký, HA gửi trả lời bằng MIP RRP
(Registration Reply)
- Đường dẫn đến và đi từ MN phải được thay đổi sau khi
đăng ký trong miền ngoài. Khi MN thông tin với nút
đầu ra (CN: Correspondent Node), nó sử dụng tuyển
trực tiếp từ mạng mới của nó. Khi CN thông tin với MN
nó phải sử dụng tuyến đi qua mạng nhà được gọi là kỹ
thuật định tuyến tam giác. HA nhận được gói từ CN,
18

đóng bao gói bằng COA và gửi nó đến FA, sau đó FA
tháo bao gói và gửi nó đến MN.
3.2.3.2. PMIP
Đầu cuối P-MIP là một MN hoàn toàn không có hỗ trợ của
MIP nhưng vẫn cần duy trì kết nối khi chuyển giao giữa nhiều BS.
Khi đầu cuối PMIP truy nhập mạng ngoài (FN: Foreign Network) nó
gửi DHCP DISCOVER để nhận một địa chỉ IP của mạng này. Để có
thể định tuyến ngược (từ đầu xa đến MN) một PMIP Mobility
Manager (bộ quản lý di động PMIP) được WIMAX mô tả . Bộ quản
lý này có nhiệm vụ xử lý thủ tục đăng ký MIP cho đầu cuối của
người sử dụng. Thực tế này chặn DHCP đến từ đầu cuối và thực hiện
đăng ký MIP với HA. Khi đã đăng ký song, bộ quản lý PMIP sử
dụng giao thức DHCP để gán địa chỉ IP cho đầu cuối di động. Thủ
tục này hoàn toàn trong suốt đối với cả MS (chỉ sử dụng DHCP) lẫn
HA (chỉ nhận và xử lý các MIP RRQ và RRP thông thường).












19




KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO


Với các nội dung nghiên cứu dự kiến thu được trong
luận văn sẽ đóng góp vào cơ sở lý luận trong việc nâng cao về
vấn đề an ninh trong mạng di động thế hệ mới LTE và WiMAX
. Luận văn tiếp cận với xu thế phát triển của hệ thống thông tin
di động , với các yêu cầu của thị trường đã thúc đẩy việc nghiên
cứu phát triển các hệ thống thông tin di động băng rộng có tốc
độ cao hơn để đáp ứng cho các ứng dụng và các dịch vụ mới .
Trong các hệ thống thông tin di động LTE và WiMAX thì các
tính năng an ninh mới đã được cung cấp để đảm bảo mức độ an
ninh được tốt hơn
Luận văn đã giới thiệu một cách tổng quát về an ninh
trong các hệ thống thông tin, như các đe dọa an ninh các phần
tử chính tham gia vào việc tạo lập môi trường an ninh , các
công nghệ an ninh hàng đầu và đưa ra mô hình an ninh cho

mạng thông tin di động
Trong luận văn đã tập trung giới thiệu về an ninh trong
mạng di động LTE và WiMAX , giới thiệu về các đặc điểm an
ninh giữa 2 mạng LTE và WiMAX , giúp ta phân biệt được
điểm khác biệt về an ninh giữa 2 mạng, tuy nhiên bản chất về
an ninh của 2 mạng trên cũng dựa vào các công nghệ an ninh
20

cơ bản để tạo lên, ngoài ra cho ta thấy các tính năng an ninh
mới của 2 mạng để đảm bảo mức độ an ninh ngày càng tốt hơn
.
Hướng nghiên cứu tiếp theo về an ninh trong mạng di
động LTE và WiMAX :
- Cập nhật nghiên cứu các tiêu chuẩn, các công nghệ mới
về an ninh trong mạng LTE và WiMAX
- Nghiên cứu một số giải pháp mới nhằm cập nhật nâng
các mức độ an ninh trong mạng di động
- Tính toán một cách hợp lý các yêu cầu và sự phát triển
của mạng di động để nghiên cứu phát triển thêm về
công nghệ an ninh mới