Tải bản đầy đủ (.doc) (79 trang)

Các thủ tục nhận thực và bảo mật trong mạng CDMA

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (603.7 KB, 79 trang )

THUẬT NGỮ VIẾT TẮT
2G
2nd Generation
Thế hệ 2
3G 3rd Generation Thế hệ 3
3GPP Third Generation Partnership Project Dự án hợp tác thế hệ 3
A
ACLs Access Control Lists Danh sách điều khiển truy
nhập
ACTS Advanced Communication Technologies
and Services
Các công nghệ và dịch vụ
truyền thông tiên tiến
AES Advanced Encyption Standard
Tiêu chuẩn mã hóa cải
tiến
AK Anonymity Key Khoá nặc danh
AKA Authentication and Key Argreement Nhận thực và thống nhất khoá
AMF Advance Mobile Phone System Hệ thống điện thoại di động
tiên tiến
AMPS Analog Mobile Phone Systems Hệ thống điện thoại di động
tương tự
ANSI American National Standards Institude Viện tiêu chuẩn Hoa Kỳ
API Application Program Interface Giao diện chương trình ứng
dụng
ASPECT Advanced Security for Personal
Communications Technology
An ninh cải tiến cho công nghệ
truyền thông cá nhân
AuC Authentication Center Trung tâm nhận thực
AUTN Authentication token Dấu hiệu nhận thực mạng


AV Authentication Vector Véc tơ nhận thực
B
BS Base Station Trạm gốc
BSS Base Statiom Subsystem Phân hệ trạm gốc
BSSGP
Base Station System GPRS
Protocol
Giao thức GPRS hệ thống trạm
gốc
BTS Base Transceiver Station Trạm thu phát gốc
C
CA Certificate Authority Thẩm quyền chứng nhận
CDMA Code Division Multiple Access Đa truy nhập phân chia theo

CLR Certificate Revocation Lists Danh sách huỷ bỏ chứng nhận
CM Connection Management Quản lý kết nối
D
DECT Digital European Cordless Telephone Điện thoại không dây số châu
Âu
DECT IN DECT Indentification Number Số nhận dạng thuê bao DECT
cá nhân
DES Data Encyption Standard Tiêu chuẩn mật mã hoá số liệu
E
ECC Elliptic Curve Cryptography Mã đường cong ellip
EDGE Enhanced Data Rates for Global Evolution Nâng cao tốc độ dữ liệu cho sự
1
phát triển toàn cầu
EIR Equipment Identity Register Bộ nhận dạng thiét bị
ETSI European Telecommunications Standards
Institute

Viện tiêu chuẩn viễn thông
châu Âu
ESP Encapsulating Security Payload Tải tin an ninh đóng bao
F
FDMA
Frequency Division Multiple Access Đa truy nhập phân chia theo
tần số
FTP
File Transfer Protocol Giao thức truyền file
G
GMM/SM
GPRS Mobility Management
Giao thức quản lý di động
GPRS
GMSC Gateway MSC MSC cổng
GSM Global System for Mobile Communication Hệ thống thông tin di động
toàn cầu
GPRS General Packet Radio Service Dịch vụ vô tuyến gói chung
H
HE Home Environment Môi trường thường trú
HLR Home Location Register Bộ ghi định vị thường trú
HSCSD High Speed Circuit-Switched Data Dữ liệu chuyển mạch tồc độ
cao
HTTP Hypertext Transfer Protocol Giao thức chuyển giao siêu văn
bản
I
IDEA International Data Encryption Algorithms
IETF Internet Engineering Task Force Lực lượng kỹ thuật Internet
IK Integrity key Khoá toàn vẹn
IMAP Internet Message Access Protocol Giao thức truy nhập bản tin

Internet
IMEI International Mobile Equipment
Indentifier
Nhận dạng thiết bị di động
Quốc tế
IMSI International Mobile Subscriber Identity Số nhận dạng thuê bao di động
quốc tế
IMT-2000 International Mobile Telecommunication
2000
Tiêu chuẩn viễn thông di động
Quốc tế 2000
IMUN International Mobile User Number Chỉ số người sử dụng thuê bao
di động quốc tế
IP Internet Protocol Giao thức Internet
IPSec Internet Protocol Security An ninh IP
ISDN Integrated Services Digital Network Mạng số tích hợp nhiều dịch
vụ
ITU International Telecommunications Union Liên minh viễn thông Quốc tế
L
LAI
Location Area Indentifier Nhận dạng vùng định vị
LLC Logical Link Control
Giao thức điều khiển liên kết
logic
2
M
MAC Message authentication code Mã nhận thực bản tin
MAC-A MAC used for authentication and key
agreement
MAC sử dụng để nhận thực và

thống nhất khoá
MAC-I
MAC used for data integrity of
signalling messages
MAC sử dụng để bảo vệ tính
toàn vẹn số liệu báo hiệu
MAP Mobile Application Part Phần ứng dụng di động
MD Message Degest Tóm tắt bản tin
MSC Mobile Switching Centre Trung tâm chuyển mạch di
động
MTP Message Transfer Protocol Giao thức truyền bản tin
N
NMT Nordic Mobile Telephony Điện thoại di động bắc Âu
p
PC Personal Computer Máy tính cá nhân
PDA Personal Digital Assistant Thiết bị hỗ trợ cá nhận số
PDC Personal Digital Communications Truyền thông số cá nhân
PIN Personal Identification Code Mã nhận dạng cá nhân
PKI Public Key Infrastructure Cơ sở hạ tầng khoá công cộng
PLMN Public Land Mobile Network Mạng di động mặt đất công
cộng
R
RSA Rivest-Shamir-Adlemen Thuật toán mật mã hóa và
kiểm chứng quyền tiếp nhận
S
SA Security Association
SAD Security Association Database Cơ sở dữ liệu liên kết an ninh
SCCP Signaling Connection and Control Part Kết nối báo hiệu và phần điều
khiển
SCK Static Cipher Key Khóa mã hóa tĩnh

SGSN Serving GPRS Support Node Node hỗ trợ GPRS phục vụ
SIM GSM Subscriber Identity Module Môdun nhận dạng thuê bao
GSM
SNDCP
Sub-Network Dependent
Convergence Protocol
Giao thức hội tụ phụ thuộc
mạng con
SPD Security Policy Database Cơ sở dữ liệu chính sách an
ninh
SSL
Secure Sockets Layer
Lớp ổ cắm an toàn
T
TACS Total Access Communication Systems Hệ thống truyền thông truy
nhập toàn cầu
TDM Time Division Multiplexing Phân chia theo thời gian
TDMA Time Division Multiple Access Đa truy nhập phân chia theo
thời gian
TMSI Tempoary Mobile Subscriber Identity Số nhận dạng thuê bao di động
3
tạm thời
TLS Transport Layer Security An ninh lớp truyền tải
U
UAK User Authentication Key
UDP User Datagram Protocol Giao thức bó số liệu người sử
dụng
UMI
UMTS Universal Mobile Telecommunications
System

Hệ thống viễn thông di động
toàn cầu
URL
UWC Universal Wireless Communication Truyền thông vô tuyến toàn
cầu
V
VLR Visitor Location Register Bộ ghi định vị tạm trú
VPN Virtual Private Network Mạng riêng ảo
W
WAP Wireless Application Protocol Giao thức ứng dụng vô tuyến
WCDMA Wideband Code Division Multiple Access Đa truy nhập phân chia theo
mã băng rộng
WEP Wired Equivalent Privacy
WLAN
WTLS
Wireless Transport Layer Security
X
XRES EXpected user RESponse Đáp ứng người sử dụng mong
đợi
4
LỜI NÓI ĐẦU
Ngành công nghiệp viễn thông đã có những bước phát triển mạnh mẽ trong những năm
vừa qua, đặc biệt là trong lĩnh vực vô tuyến và di động. Sự phát triển của các công nghệ mới
kéo theo là rất nhiều dịch vụ tiện ích mới ra đời đáp ứng được nhu cầu ngày càng cao của xã
hội. Trong đó phải kể đến các dịch vụ truyền bản tin như email, SMS, EMS, MMS, IM

đã góp
phần không nhỏ trong việc nâng cao các ứng dụng hiện có, đồng thời đưa ra một phương tiện
truyền tin mới khi cần có thể thay thế cho các cuộc gọi thoại truyền thống vốn không phải lúc
nào cũng tiện lợi mà cước phí lại cao.

Các công nghệ truyền bản tin cũng tạo ra một giải pháp hữu hiệu trong việc gắn kết hai
hệ thống lớn là viễn thông di động và Internet. Bằng phương pháp này, người dùng có thể gửi
các bản tin, nhạc chuông, logo, hình ảnh

cho điện thoại di động từ Internet. Ngoài ra, người
dùng có thể tra cứu thông tin thị trường chứng khoán, thời tiết, chương trình truyền hình

. ở
mọi nơi, mọi thời điểm và ở các thiết bị khác nhau. Điều này tạo những chuyển biến tích cực
trong đời sống kinh tế xã hội trên toàn thế giới, thay đổi cách sống của con người.
Cùng với sự phát triển của thông tin di động mang lại nhiều lợi ích cho xã hội thì những
nguy cơ và thách thức đối với các nhà cung cấp dịch vụ cũng tăng.Thông tin của người dùng
truyền trong môi trường vô tuyến có thể bị tấn công hay bị nghe trộm bởi người khác, các dịch
vụ của nhà nhà cung cấp có thể bị đánh cắp hay bị phá hoại. Điều này gây thiệt hại lớn cả về
kinh tế và chất lượng dịch vụ cho cả người dùng lẫn nhà cung cấp dịch vụ. Những thách thức
này đặt ra các yêu cầu cho các nhà cung cấp dịch vụ về vấn đề nhận thực và bảo mật cho
thông tin vô tuyến và di động để bảo vệ quyền lợi của người dùng và lợi ích của chính bản thân
các nhà cung cấp. Với sự phát triển của thông tin và công nghệ máy tính người ta đã đưa ra
các giải pháp về nhận thực và bảo mật khác nhau. Một số công nghệ nhận thực và bảo mật
hiện nay cho phép tạo nên các giải pháp truyền tin di động được đảm bảo từ đầu cuối tới đầu
cuối. Các công nghệ này cần phải được hợp nhất vào trong ứng dụng từ lúc bắt đầu thiết kế
cho tới khi thực hiện xong.
Thế hệ đầu tiên của các hệ thống thông tin di động tổ ong có rất ít các phương pháp an
ninh bảo vệ những người dùng và nhà khai thác hệ thống. Hệ thống thế hệ thứ hai nhìn chung
đã thực hiện điều này tốt hơn nhiều, và bảo vệ được tính bí mật và nhận thực thực thể. Mặc dù
đã được cải thiện một cách đáng kể, an ninh thông tin trong thế hệ hai vẫn còn nhiều vấn đề
cần phải khắc phục. Hệ thống thông tin di động 3G ra đời đã tạo dựng một kiến trúc an ninh
chắc chắn, nhờ đó cung cấp được những đặc tính an ninh cần thiết.
Hiện nay, hệ thống thông tin di động thế hệ 3 UMTS đã được ITU chấp thuận và dự kiến
đưa ra thương mại vào đầu thế kỷ 21. Hiện tại, hệ thống này đã được triển khai tại Nhật và

5
một số nước kác trên thế giới, dự kiến sẽ đưa vào thử nghiệm tạị Việt Nam vào các năm tới. Do
đó việc nghiên cứu an ninh thông tin trong hệ thống này là một điều hết sức cần thiết.
Xuất phát từ nhu cầu thực tế trên, em đã chọn dề tài nghiên cứu “Các thủ tục nhận thực
và bảo mật trong mạng CDMA” để làm đồ án tốt nghiệp.
Nội dung đồ án gồm 5 chương:
Chương I: Tổng quan về thông tin di động
Chương II: Tổng quan về anh ninh trong thông tin di động
Chương III: Các kỹ thuật an ninh dùng trong thông tin di động
Chương IV: Nhận thực trong mạng tổ ong số thế hệ hai
Chương V : Thế hệ 3 – Nhận thực và bảo mật trong UMTS
Do hạn chế về kinh nghiệm, trình độ nghiên cứu và thời gian có hạn nên
đồ án tốt nghiệp của em chắc chắn sẽ không thể tránh khỏi những thiếu sót, em
rất mong được thầy cô và các bạn góp ý để đồ án của em được hoàn thiện hơn.
Cuối cùng, em xin chân thành cảm ơn thầy giáo Ths. Phạm Khắc Chư người đã tận
tình hướng dẫn em trong suốt thời gian làm đề tài. Cũng em xin chân thành cảm ơn Ban lãnh
đạo Học viện và các thầy cô trong khoa Viễn thông đã tạo rất nhiều điều kiện thuận lợi cho
em. Tôi xin cảm ơn bạn bè và người thân đã giúp đỡ, động viên em hoàn thành đồ án này.
CHƯƠNG I: TỔNG QUAN VỀ THÔNG TIN DI ĐỘNG
1.1 Mở đầu
Thông tin di động bắt đầu từ những năm 1920, khi các cơ quan an ninh ở
Mỹ bắt đầu sử dụng điện thoại vô tuyến, dù chỉ là ở các căn cứ thí nghiệm. Công
nghệ vào thời điểm đó đã có những thành công nhất định trên các chuyến tàu
hàng hải, nhưng nó vẫn chưa thực sự thích hợp cho thông tin trên bộ. Các thiết
bị còn khá cồng kềnh và công nghệ vô tuyến vẫn còn gặp khó khăn trước những
toà nhà lớn ở thành phố.
6
Hà Nội, ngày 25 tháng 10 năm 2005
Sinh viên
Đặng Đình Thái


Vào năm 1930 đã có một bước tiến xa hơn với sự phát triển của điều chế
FM, được sử dụng ở chiến trường trong suốt thế chiến thứ hai. Sự phát triển này
kéo dài đến cả thời bình, và các dịch vụ di động bắt đầu xuất hiện vào những
năm 1940 ở một số thành phố lớn. Tuy vậy, dung lượng của các hệ thống đó rất
hạn chế, và phải mất nhiều năm thông tin di động mới trở thành một sản phẩm
thương mại. Lộ trình phát triển các thế hệ thông tin di động được trình bày tóm
tắt trong hình vẽ 1.1

TACS
GSM
900
NMT 900
GPRS
WCDM
A
GPRS
IS 136
1900
IS-95
1900
EDGE
IS-95
800
CdmaOne
Cdma2000
MX
AMPS
SMR
iDEN

800
GSM
1800
GSM
1900
IS-136
800
1G 2G 2.5G 3G


Hình 1.1: Lộ trình phát triển các thế hệ thông tin di động
1.2 Công nghệ vô tuyến thế hệ một
Thế hệ đầu tiên của thông tin di động dựa trên truyền tín hiệu analog. Hệ
thống analog, đã từng được triển khai ở Bắc Mĩ được biết đến với tên gọi AMPS
(Analog Mobile Phone Systems), hoạt động ở dải tần 800Mhz. Hệ thống di động
đầu tiên ở Châu Âu được triển khai năm 1981 ở Thụy Điển, Nauy, Đan Mạch và
Phần Lan sử dụng công nghệ NMT (Nordic Mobile Telephony) hoạt động ở dải
tần 450Mhz. Phiên bản sau của NMT hoạt động ở tần số 900MHz và được biết
đến với tên gọi NMT900. Không thua kém, Anh giới thiệu một công nghệ khác
vào năm 1985, TACS (Total Access Communication Systems). Các hệ thống
thông tin di động thế hệ một đã giải quyết những hạn chế đầu tiên về dung
7
lượng, mặc dù chỉ là hệ thống tương tự, sử dụng công nghệ chuyển mạch kênh
và chỉ được thiết kế cho truyền tiếng.
1.3 Công nghệ vô tuyến thế hệ hai
Thế hệ hai của mạng di động dựa trên truyền dẫn tín hiệu số băng thấp.
Công nghệ vô tuyến 2G thông dụng nhất được biết đến là GSM (Global Systems
for Mobile Communication). Các hệ thống GSM, được triển khai lần đầu tiên
vào năm 1991, hiện nay đang hoạt động ở khoảng 140 nướcvà lãnh thổ trên thế
giới, với khoảng 248 triệu người sử dụng. GSM kết hợp cả hai kỹ thuật TDMA

và FDMA. Các hệ thống GSM đầu tiên sử dụng phổ tần 25MHz ở dải tần
900MHz. FDMA được sử dụng để chia băng tần 25MHz thành 124 kênh tần số
vô tuyến (độ rộng kênh là 200kHz). Với mỗi tần số lại sử dụng khung TDMA
với 8 khe thời gian. Ngày nay các hệ thống GSM hoạt động ở băng tần 900MHz
và 1.8GHz trên toàn thế giới (ngoại trừ Mỹ hoạt động trên băng tần 1.9GHz)
Cùng với GSM, một công nghệ tương tự được gọi là PDC (Personal
Digital Communications), sử dụng công nghệ TDMA nổi lên ở Nhật. Từ đó, một
vài hệ thống khác sử dụng công nghệ TDMA đã được triển khai khắp thế giới
với khoảng 89 triệu người sử dụng. Trong khi GSM được phát triển ở Châu Âu
thì công nghệ CDMA được phát triển mạnh ở Bắc Mĩ. CDMA sử dụng công
nghệ trải phổ và đã được thực hiện trên khoảng 30 nước với ước tính khoảng 44
triệu thuê bao.
Trong khi GSM và các hệ thống sử dụng TDMA khác trở thành công
nghệ vô tuyến 2G vượt trội, công nghệ CDMA cũng đã nổi lên với chất lượng
thoại rõ hơn, ít nhiễu hơn, giảm rớt cuộc gọi, dung lượng hệ thống và độ tin cậy
cao hơn. Các mạng di động 2G trên đây chủ yếu vẫn sử dụng chuyển mạch
kênh. Các mạng di động 2G sử dụng công nghệ số và có thể cung cấp một số
dịch vụ ngoài thoại như fax hay bản tin ngắn ở tốc độ tối đa 9.6 kbps, nhưng vẫn
chưa thể duyệt web và các ứng dụng đa phương tiện.
Hình vẽ dưới đây thể hiện tổng quan về ba công nghệ TDMA, FDMA và
CDMA.
8
Hình 1.2: Các phương pháp đa truy nhập
1.4 Các công nghệ tiến tới 3G
Sự bùng nổ của mạng Internet đã có những ảnh hưởng to lớn đến nhu cầu
đối với các dịch vụ vô tuyến băng rộng. Tuy nhiên, tốc độ của các hệ thống vô
tuyến chuyển mạch kênh tương đối thấp. Vì thế, GSM, PDC và các hệ thống sử
dụng TDMA khác đã phát triển công nghệ 2G+, dựa trên chuyển mạch gói và và
tăng tốc độ truyền số liệu lên tới 384kbps. Các hệ thống 2G+ dựa trên các công
nghệ: HSCSD (High Speed Circuit-Switched Data), GPRS (General Packet

Radio Service) và EDGE (Enhanced Data Rates for Global Evolution).
i/ HSCSD là một bước tiến tới các mạng di động 3G băng rộng. Công nghệ chuyển
mạch kênh này cải tiến tốc độ đạt tới 57.6kbps bằng cách kết hợp 4 khe thời gian 14.4kbps.
ii/ GPRS là bước trung gian cho phép GSM cung cấp các dịch vụ Internet. Công nghệ
này sử dụng chuyển mạch gói và được thiết kế để làm việc song song với 2G GSM, PDC và
các hệ thống TDMA khác, sử dụng kết hợp từ 1 đến 8 khe thời gian kênh vô tuyến ở dải tần
200kHz được cấp cho sóng mang để tăng tốc độ lên tới 115kbps. Số liệu được đóng gói và
truyền dẫn qua PLMN (Public Land Mobile Networks) sử dụng đường trục IP, vì thế thuê bao
di động có thể truy nhập các dịch vụ Internet như ftp, các dịch vụ Web dựa trên HTTP, email
trên nền SMTP/POP.
Ngoài các thành phần cơ bản đã có ở mạng GSM như BSS, MS và MSC,
mạng GPRS còn có mạng di động mặt đất công cộng PLMN, điểm hỗ trợ GPRS
dịch vụ SGSN và điểm hỗ trợ GPRS cổng GGSN. Chuyển vùng (roaming) được
điều tiết qua các PLMN. SGSN và GGSN lấy các thông tin về người sử dụng từ
HLR để quản lý và thực hiện cuộc gọi. GGSN cung cấp các kết nối tới các mạng
ngoài như mạng Internet hay mạng X.25. BTS thu và phát tín hiệu qua giao diện
vô tuyến, cung cấp các kết nối số liệu và tiếng với MS. BSC định tuyến các
phiên giao dịch dữ liệu tới PLMN qua liên kết Frame Relay (FR) và các cuộc
9
gọi thoại thông thường tới MSC. MSC sẽ chuyển mạch các cuộc gọi tới các
mạng chuyển mạch kênh như PSTN và ISDN. MSC điều tiết VLR để lưu giữ
thông tin của thuê bao chuyển mạng. Đối với các phiên giao dịch dữ liệu, nó
được BSC định tuyến tới SGSN, sau đó được chuyển mạch tới PDN qua GGSN
hoặc tới thuê bao khác.
Dưới đây là cấu trúc mạng GPRS:
Hình 1.3: Kiến trúc mạng GPRS
Hình vẽ 1.4 dưới đây chỉ ra các giao thức được sử dụng ở BTS, BSC,
GGSN, SGSN và các máy cầm tay khác.
Sub-Network Dependent Convergence Protocol (SNDCP): Giao thức hội tụ phụ
thuộc mạng con, giao thức này nằm giữa LLC và lớp mạng. SNDCP cũng cung cấp các chức

năng khác như nén, phân đoạn và dồn các bản tin lớp mạng vào một kết nối ảo đơn nhất.
Logical Link Control (LLC): Giao thức điều khiển kết nối logic, đây là giao thức lớp
liên kết dữ liệu cho GPRS, hoạt động như Link Access Protocol – D (LAPD). Lớp này đảm bảo
truyền dữ liệu người sử dụng một cách tin cậy qua mạng vô tuyến.
GPRS Tunnel Protocol (GTP): Giao thức tuyến đường hầm GPRS. GTP hoạt động
trên TCP/UDP qua IP.
10
Dung xoa’
Hình 1.4: Các giao thức sử dụng ở GPRS
Base Station System GPRS Protocol (BSSGP): Giao thức GPRS hệ thống trạm gốc.
Giao thức này xử lý định tuyến và thông tin QoS cho BSS. BSSGP sử dụng giao thức lõi Frame
Relay Q.922 làm cơ chế hoạt động.
GPRS Mobility Management (GMM/SM): Giao thức quản lý lưu động GPRS. Giao
thức này hoạt động trên mặt phẳng bảo hiệu của GPRS, quản lý các yếu tố lưu động như:
chuyển vùng, nhận thực, chọn thuật toán mã hoá và duy trì PDP context.
Network Service: Giao thức dịch vụ mạng. Giao thức này quản lý sự hội tụ của các lớp
con hoạt động giữa BSSGP và Frame Relay Q.922 bằng cách ánh xạ các yêu cầu dịch vụ
BSSGP tới các dịch vụ Frame Relay thích hợp.
BSSAP+: Giao thức cho phép tìm gọi đối với kết nối thoại từ MSC qua SGSN. Giao
thức này cho phép tìm gọi cho kết nối thoại từ MSC qua SGSN, do đó tối ưu hoá tìm gọi cho
thuê bao di động. BSSAP+ cũng có chức năng định vị và định tuyến cập nhật cũng như cảnh
báo MS.
SCCP, MTP3, MTP2: Là các giao thức sử dụng để hỗ trợ cho MAP và BSSAP+ trong
các mạng chuyển mạch kênh PLMN.
Mobile Application Part (MAP): Hỗ trợ báo hiệu giữa SGSN/GGSN và
HLR/AuC/EIR.
11
iii/ EDGE sử dụng các hệ thống điều chế nhiều trạng thái hơn so với GPRS/GSM cho
phép cung cấp tốc độ tới 48kbps trên mỗi khe thời gian tương ứng của GSM. Với việc phân bổ
khe thời gian động, EDGE có thể cung cấp tốc độ tối đa theo lý thuyết là 384kbps (thậm chí là

473kbps trong tương lai khi sử dụng điều chế 16QAM). Do vậy nó cung cấp được hầu hết các
dịch 3G, đây là lý do mà đôi khi EDGE được coi là mạng 2.75G.
1.5 Tổng quan các hệ thống thông tin di động thế hệ 3
Công nghệ vô tuyến 3G là sự hội tụ của nhiều hệ thống viễn thông vô tuyến
2G trong một hệ thống toàn cầu bao gồm cả các thành phần vệ tinh và mặt đất.
Một trong những đặc điểm quan trọng của 3G là khả năng thống nhất các tiêu
chuẩn ô như CDMA, GSM, TDMA. Có ba phương thức đạt được kết quả này là
WCDMA, CDMA2000 và UWC136 (Universal Wireless Communication)
i/ CDMA2000 tương thích với CDMA thế hệ hai IS-95 phần lớn đã được sử dụng ở
Mỹ.
ii/ UWC, còn được gọi là IS-136 HS, đã được đề xuất bởi TIA và thiết kế theo chuẩn
ANSI-136, một tiêu chuẩn TDMA Bắc Mỹ.
iii/ WCDMA tương thích với mạng 2G GSM phổ biến ở châu Âu và đa phần châu Á.
WCDMA sử dụng băng tần 5Mhz và 10 Mhz, tạo nên một nền tảng thích hợp cho các nhiều
ứng dụng. Nó có thể đặt trên các mạng GSM, TDMA hay IS-95 sẵn có. Mạng WCDMA sẽ
được sử dụng cho các ứng dụng tốc độ cao và các hệ thống 2G được sử dụng cho các cuộc gọi
thoại thông thường.
1.6 So sánh giữa các mạng 2G và 3G
Như đã trình bày ở trên, mặc dù có nhiều điểm tương đồng giữa các mạng
vô tuyến 2G và 3G (và nhiều thành phần 2G và 3G được chia sẻ qua các chức
năng tương tác), vẫn có rất nhiều điểm khác biệt giữa hai công nghệ này.
Bảng dưới đây so sánh sự khác biệt về mạng lõi, phần vô tuyến và một số
khía cạnh khác của các mạng di động thế hệ 2; thế hệ 2.5 và thế hệ 3.
Đặc
điểm
2G 2G+ 3G
Mạng lõi MSC/VLR,
GMSC,
HLR/AuC/EIR


MM, CM, BSSAP,
SCCP,
ISUP,TCAP,
MSC/VLR, GMSC,
SGSN, GGSN,
HLR/AuC/EIR, CGF
GMM/SM/SMS, MM,
CM, GTP, SNDCP,NS,
FR, LLC, BSSGP,
3G MSC/VLR (thêm các tính
năng tương tác và chuyển mã),
GMSC,
HLR/AuC/EIR, 3G-SGSN,
GGSN, CGF
GMM/SM,MM,CM,BSSAP,
RANAP,GTP,SCCP,
MTP3B, M3UA, SCTP,
12
MAP, MTP3,
MTP2, MTP1
TDM transport
BSSAP, BSSAP+,
SCCP, TCAP, MAP,
ISUP, MTP3, MTP2,
MTP1
TDM, Frame Relay
transport
Q.2630.1 (NNI), TCAP,
MAP, ISUP, MTP3, MTP2,
MTP1, Q.2140, SSCOP

ATM, IP transport
Truy
nhập vô
tuyến
BTS, BSC, MS
FDMA, TDMA,
CDMA
MM, CM, RR,
LAPDm,LAPD,
BSSAP,SCCP,
MTP3, MTP2,
MTP1
BTS, BSC, MS
TDMA, CDMA, EDGE
MAC, RLC,
GMM/SM/SMS,LLC,
SNDCP, BSSGP, NS,
FR,RR,BSSAP, SCCP,
MTP3,
MTP2, MTP1
Node B, RNC, MS
W-CDMA, CDMA2000,
IWC-136
GMM/SM, MAC, RLC,
PDCP,RRC,Q.2630.1(UNI+
NNI),NBAP, RNSAP,
RANAP, SCCP, MTP3B,
M3UA, SCTP, GTP-U,
Q.2140, Q.2130, SSCOP,
CIP

Thiết bị
cầm tay
Đầu cuối chỉ phục
vụ thoại
Loại thiết bị mới cho
TDMA và CDMA, các
thiết bị thoại và số liệu.
Hỗ trợ WAP, chưa
hỗ trợ đa dịch vụ
Loại thiết bị mới, đa chủng loại
cho thoại, dữ liệu, truyền hình
Hỗ trợ WAP và đa dịch vụ
Cơ sở dữ
liệu
HLR, VLR, EIR,
AuC
HLR, VLR, EIR, AuC HLR, VLR, EIR,AuC tăng
cường
Tốc độ
dữ liệu
9.6 Kbps 57.6 Kbps (HSCSD)
115Kbps (GPRS)
384 Kbps (EDGE)
2Mbps
Ứng
dụng
Thoại và bản tin
ngắn (SMS)
SMS, Internet Internet, đa dịch vụ
Chuyển

vùng
Bị giới hạn Bị giới hạn Toàn cầu
13
Bàng 1.1: So sánh giữa 2G, 2.5G và 3G
14

CHƯƠNG II: TỔNG QUAN VỀ AN NINH TRONG THÔNG
TIN DI ĐỘNG
2.1 Mở đầu
Một trong những vấn đề đáng quan tâm khi thực hiện các giải pháp di
dộng và vô tuyến là an ninh số liệu. Việc đảm bảo an toàn và bảo mật số liệu
hãng trong môi trường vô tuyến là một điều tương đối khó, thêm vào đó việc
truyền dẫn số liệu qua mạng vô tuyến và lưu trữ số liệu di động làm nhiệm vụ
trở nên khó khăn hơn. Một số công nghệ an toàn và bảo mật hiện nay cho phép
tạo nên các giải pháp truyền tin di động được đảm bảo từ đầu cuối tới đầu cuối.
Các công nghệ này cần phải được hợp nhất vào trong ứng dụng từ lúc bắt đầu
thiết kế cho tới khi thực hiện xong.
Việc chủ yếu là phải đảm bảo an ninh toàn bộ mọi mặt của hệ thống, bởi
vì những kẻ ác ý sẽ luôn tấn công vào những phần yếu nhất của hệ thống. Thế
nên rõ ràng việc tồn tại một liên kết yếu là rất nguy hiểm. Để có thể thực hiện
được một một môi trường thực sự an ninh cần phải có cả công nghệ chuẩn và
chính sách an ninh cộng đồng. Điều này sẽ giúp đảm bảo rằng mọi mặt của hệ
thống được an toàn.
Phần này này sẽ giới thiệu một cách tổng quan về các khái niệm an ninh
chung, trước tiên là các yếu tố cần thiết để có xây dựng một môi trường đảm bảo
an ninh, sau đó là các nguy cơ an ninh chính và những thách thức gặp phải khi
xây dựng kiến trúc an ninh trong môi trường vô tuyến và di động. Các giải pháp
nhằm đảm bảo an ninh thông tin sẽ được đề cập ở chương 3
1.2 Các yếu tố cần thiết để tạo một môi trường an ninh
Để đảm bảo an ninh từ đầu cuối tới đầu cuối cần phải thực hiện trên toàn

bộ môi trường bao gồm truy nhập hãng, các thành phần thuộc lớp trung gian,và
các ứng dụng Client. An ninh từ đầu cuối tới đầu cuối có nghĩa là số liệu được
an toàn trong toàn bộ tuyến hành trình từ người gửi đến người nhận, thường là
từ ứng dụng Client tới Server hãng. Điều này không đơn giản chỉ là mật mã hoá
số liệu. Trong phần này sẽ nghiên cứu năm vấn đề cần để tạo một môi trường di
động an toàn. Việc hiểu được các vấn đề này và tác động của chúng trên ứng
dụng di động có tính chất quyết định để tạo nên các ứng dụng an ninh.
2.2.1Nhận thực
Nhận thực là việc xử lý xác nhận những người đó và tổ chức đó là ai và
họ cần cái gì. Đối với mạng di động nhận thực được thực hiện tại hai mức: Mức
16
mạng và mức ứng dụng. Mức mạng yêu cầu người dùng phải được nhận thực
trước khi người đó được phép truy nhập. Điều này hoàn toàn có thể được thực
hiện dựa trên thiết bị hay modem đang sử dụng, hoặc rõ ràng hơn là sử dụng các
cơ chế khác nhau. Tại lớp ứng dụng, nhận thực được thực hiện ở cả hai ứng
dụng: Client và Server hãng. Để có thể truy nhập vào số liệu hãng, Client cần
phải chứng minh với Server rắng nó được phép. Đồng thời, trước khi Client cho
phép một Server bên ngoài được kết nối với nó, ví dụ trong trường hợp Server
cần đẩy một vài nội dung nào đó tới Client, thì Server đó phải tự nhận thực tới
ứng dụng Client. Phương pháp nhận thực đơn giản nhất và cũng kém an toàn
nhất là một tổ hợp mật khẩu hay tên người dùng, các phương pháp tiện ích hơn
là sử dụng chứng nhận số hoặc chữ ký số.
2.2.2Tính toàn vẹn dữ liệu
Tính toàn vẹn dữ liệu là sự đảm bảo dữ liệu trong câu hỏi không bị biến
đổi hoặc bị xuyên tạc theo một cách nào đó trong suốt quá trình truyền dẫn từ
người gửi tới người nhận. Điều này có thể thực hiện bằng cách mật mã hoá số
liệu phối hợp với một tổng kiểm tra mật mã hoặc với mã nhận thực bản tin
(MAC – Message Authentication Code). Thông tin này được mã hoá vào chính
bên trong bản tin đó bằng cách áp dụng một thuật toán đối với bản tin. Khi
người nhận nhận được bản tin, họ sẽ tính toán MAC và so sánh với MAC được

mã hoá trong bản tin để xem các mã này có giống nhau không. Nếu giống,
người nhận có thể tin tưởng rằng bản tin đó không bị sửa đổi. Còn nếu các mã
này không giống nhau, người nhận có thể loại bỏ bản tin này.
2.2.3Tính bí mật
Tính bí mật là một trong những mặt quan trọng nhất của an ninh và
thường được đề cập đến nhiều nhất. Bí mật có nghĩa là duy trì tính riêng tư của
số liệu, đảm bảo số liệu không bị người khác xem. Bình thường, khi người dùng
lo lắng về độ an toàn của một hệ thống, họ thường lo lắng về độ an toàn của các
thông tin nhạy cảm như số thẻ tín dụng, giấy ghi sức khoẻ, những thông tin này
có thể bị người khác có chủ tâm xấu xem trộm. Cách chung nhất để ngăn ngừa
sự xâm phạm này là mật mã hoá số liệu. Việc xử lý này bao gồm mật mã hoá
nội dung của bản tin thành một dạng mà những người khác không thể đọc được
trừ người nhận đã được chỉ định.
17
2.2.4Phân quyền
Phân quyền là công việc xử lý định ra mức độ truy nhập của người sử
dụng, rằng người đó được phép hay không được phép thực hiện một hoạt động
nào đó. Phân quyền thường luôn đi kèm với nhận thực. Khi một người dùng đã
được nhận thực, hệ thống sẽ cân nhắc xem người đó được phép làm những gì.
Danh sách điều khiển truy nhập (ACLs: Access Control Lists) thường được sử
dụng để thực hiện điều này. Chẳng hạn, mọi người dùng chỉ có thể được phép
truy nhập và đọc một tập số liệu trong khi nhà quản trị hoặc một số đối tượng
đáng tin cậy nào đó có thể được phép ghi trên số liệu đó.
2.2.5 Tính không thể phủ nhận
Tính không thể phủ nhận có nghĩa là khiến một số người phải chịu trách
nhiệm đối với các phiên giao dịch mà họ đã tham dự. Nó bao gồm việc nhận
dạng ra những người này theo một cách nào đó mà họ không thể phủ nhận sự
dính dáng của họ trong phiên giao dịch. Tính không thể phủ nhận có nghĩa là cả
người gửi lẫn người nhận một bản tin đều có thể chứng minh được với một
người thứ ba rằng người gửi thực sự là đã gửi bản tin và người nhận đã nhận

được chính bản tin đó. Để thực hiện được điều này, mỗi một phiên giao dịch cần
phải được đóng dấu bằng một chữ ký số mà chữ ký này có thể được một người
dùng thứ ba thẩm tra và gán tem thời gian.
2.3 Các nguy cơ an ninh mạng
Việc xây dựng một giải pháp an ninh sẽ là khó nếu như không có sự nhận
biết nào về các mối nguy cơ an ninh mạng. Do vậy, sau khi xem xét những vấn
đề cần thiết đối với một môi trường an ninh, phần này sẽ xem xét bốn nguy cơ
an ninh mạng: Làm giả, thăm dò, làm sai lệch số liệu, và đánh cắp. Bất kể dữ
liệu đang truyền hay không, bất kể môi trường truyền là môi trường hữu tuyến
hay vô tuyến đều cần phải đề phòng các mối nguy hiểm này.
Chú ý: Để đơn giản hoá thuật ngữ, các truy nhập vào dũ liệu hoặc các hệ
thống thông qua kẽ hở an ninh sẽ coi như là truy nhập trái phép.
2.3.1 Giả mạo (Spoofing)
Giả mạo là âm mưu của một người nào đó nhằm đạt được sự truy nhập
trái phép tới một ứng dụng hoặc hệ thống bằng cách giả mạo thành một người
nào đó. Sau khi kẻ giả mạo truy nhập vào được, họ có thể sẽ tạo các câu trả lời
giả cho các bản tin để có thể thu thập nhiều thông tin hơn và truy nhập tới các
phần khác của hệ thống. Sự giả mạo là một vấn đề chính đối với an ninh Internet
18
do đó cũng là vấn đề đối với an ninh mạng Internet không dây, bởi vì một kẻ giả
mạo có thể làm cho các người dùng ứng dụng tin rắng họ đang thông tin với đối
tượng đáng tin cậy chẳng hạn như ngân hàng của họ, nhưng sự thực họ lại đang
thông tin với một tổ chức tấn công. Một cách vô tình, những người dùng lại
thường xuyên cung cấp thêm thông tin hữu ích cho kẻ tán công có thể truy nhập
tới các phần khác hoặc người dùng khác của hệ thống
Thăm dò, sẽ được mô tả dưới đây, thường được sử dụng kết hợp với giả
mạo nhằm lấy được đủ thông tin để có thể truy nhập tới hệ thống. Cũng chính
bởi lí do này, cần phải thực hiện cả nhận thực và mật mã hoá để chống lại sự giả
mạo.
2.3.2 Thăm dò (Sniffing)

Thăm dò là kỹ thuật được sử dụng để giám sát lưu lượng số liệu trên mạng. Ngoài mục
đích sử dụng đúng dắn, thăn dò thường được sử dụng kết hợp với bản sao trái phép số liệu
mạng. Thăm dò về bản chất là nghe trộm điện tử. Bằng cách nghe ngóng số liệu trên mạng,
những người dùng trái phép có thể có được các thông tin nhạy cảm giúp họ có thể tấn công
mạnh hơn vào các người dùng ứng dụng, các hệ thống hãng, hoặc cả hai.
Thăm dò rất nguy hiểm bởi việc thực hiện nó đơn giản lại khó bị phát hiện. Hơn nữa các
công cụ thăm dò dễ kiếm lại dễ định hình. Thực tế các phương pháp thăm dò Ethernet xuất hiện
cùng với các phần mềm Microsolf Windown NT và Windown 2000, rất may là các phương
pháp này dễ phát hiện. Để có thể chống lại các phương pháp thăm dò khác tinh vi hơn thì mật
mã hoá sô liệu là công cụ bảo vệ tốt nhất, nếu một người dùng trái phép truy nhập được vào
nguồn số liệu đã được mật mã hoá thì họ cũng không có cách nào giải mã được số liệu. Điều
này đòi hỏi giao thức mật mã hoá đang được sử dụng phải gần như không thể phá vỡ. Nhiều
người dùng mạng WLAN đã phát hiện ra rằng mật mã hoá WEP (Wired Equivalent Privacy)
thường không đủ khả năng bảo vệ số liệu của họ.
2.3.3 Làm sai lệch số liệu (Tampering)
Làm sai lệch số liệu có thể gọi là sự tấn công vào tính toàn vẹn của số
liệu, bao gồm việc sửa đổi ác ý số liệu khỏi dạng ban đầu, thường xảy ra đối với
số liệu đang được truyền, mặc dù nó vẫn xảy ra đối với số liệu lưu trữ trên thiết
bị Server hoặc Client. Sau đó số liệu đã bị sửa đổi đưa trở lại vị trí ban đầu. Việc
thực hiện mật mã hoá số liệu, nhận thực, phân quyền là những phương pháp để
chống lại các tấn công làm sai lệch số liệu.
2.3.4 Đánh cắp (Theft)
Đánh cắp thiết bị là một vấn đề cố hữu trong tính toán di động, nó không
chỉ làm người dùng mất chính thiết bị đó mà còn cả số liệu bí mật nào đó có thể
được lưu trên thiết bị này. Đây có thể là một nguy cơ khá lớn đối với các ứng
19
dụng Client thông minh khi chúng thường lưu trữ dữ liệu cố định, mang bản
chất bí mật. Chính bởi các lí do trên, cần phải tuân thủ các nguyên tắc sau khi
cần bảo vệ thiết bị di động của mình.
1. Khoá các thiết bị bằng một tổ hợp tên người dùng/mật khẩu nhằm tránh sự truy nhập

dễ dàng.
2. Yêu cầu nhận thực để truy nhập tới một ứng dụng nào đó có trên máy di động.
3. Không lưu trữ các mật khẩu trên thiết bị.
4. Mật mã hoá tất cả những nơi lưu trữ số liệu cố định.
5. Thực hiện các chính sách an ninh đối với các người dùng di động.
Nhận thực và mã hoá, cùng vói chính sách an ninh đều cần thiết để tránh
sự truy nhập số liệu ác ý từ thiết bị bị đánh cắp hoặc bị mất. Rất may vấn dề này
không nghiêm trọng đối với các ứng dụng Internet không dây khi chúng lưu trữ
số liệu bên ngoài bộ nhớ đệm của trình duyệt.
2.4 Những thách thức trong môi trường nối mạng vô tuyến
Các mạng vô tuyến đã mở rộng phạm vi và tính linh loạt trong truyền
thông và tính toán bằng nhiều phương tiện giúp cho việc thông tin liên lạc trở
nên cực kì thuận lợi. Tuy nhiên, môi trường nối mạng vô tuyến lại luôn biến
động, độ tin cậy thấp và là môi trường hở dẫn đến có nhiều nguy cơ bị xâm
phạm và bị lừa gạt hơn là cơ sở hạ tầng mạng cố định. Tập các nhân tố này tác
động đến vấn đề an ninh thông tin và nhận thực trong các môi trường nối mạng
vô tuyến, chúng tạo nên các thử thách thật sự mà các nhà thiết kế hệ thống và
kiến trúc an ninh cần phải vượt qua. Đó là: Việc truy nhập tới tài nguyên từ xa
thường chậm và đôi lúc lại bị gián đoạn tạm thời, tính di động của người sử
dụng làm tăng độ biến động của thông tin, tính di chuyển được của thiết bị dẫn
đến tính sẵn sàng của tài nguyên bị hạn chế khi cần xử lý trong môi trường tính
toán di động. Thử thách đặt ra đối với nhà thiết kế tính toán di động là thích ứng
hệ thống với môi trường nối mạng vô tuyến sao cho nó vẫn hoạt động tốt với
những yếu tố này.
2.4.1 Thách thức thứ nhất: Các liên kết mạng vô tuyến
Như định nghĩa, mạng vô tuyến phụ thuộc vào các liên kết truyền thông
vô tuyến, điển hình sử dụng tín hiệu vô tuyến để thực hiện truyền thông tin qua
ít nhất một phần quan trọng trong cơ sở hạ tầng mạng. Lợi thế lớn nhất của công
nghệ truyền thông vô tuyến là nó có thể hỗ trợ sự truyền thông liên tục với một
thiết bị có thể di chuyển được, chẳng hạn đó là một máy điện thoại di động tổ

ong hay là một thiết bị hỗ trợ cá nhân số, đó chính là sự di động. Tuy nhiên
20
trong nhiều trường hợp, việc sử dụng các liên kết vô tuyến lại làm nảy sinh ra
nhiều vấn đề hơn so với những mạng chỉ sử dụng dây đồng, cáp sợi quang hoặc
một vài sự kết hợp của cơ sở hạ tầng cố định.
2.4.1.1 Băng thông thấp
Tốc độ trong các mạng vô tuyến tăng khi công nghệ được cải tiến. Tuy nhiên, nhìn chung các
liên kết vô tuyến hỗ trợ tốc độ chuyển giao số liệu thấp hơn nhiều tốc độ chuyển giao số liệu
qua cơ sở hạ tầng cố định. Chẳng hạn, các mạng thông tin di động tổ ong thế hệ 2 cho phép
truyền dữ liệu trên một kênh xấp xỉ 10 Kbit/s. Tốc độ này sẽ tăng lớn hơn 350 Kb/s một chút
trong mạng tổ ong 3G. Hiện nay các hệ thống mạng LAN vô tuyến sử dụng các chuẩn 802,11b
có thể đạt tốc độ lên tới 11Mb/s. Tuy nhiên, cần chú ý rằng đây là tốc độ trên toàn bộ mạng chứ
không phải là tốc độ trên một kênh thông tin tới một máy riêng lẻ, và chỉ hoạt động trong một
phạm vi nhỏ. Còn trong thông tin hữu tuyến, các mạng Fast Ethernet hoạt động tại tốc độ 100
Mb/s là tốc độ bình thường trong các mạng của một toà nhà, trong khi đó tốc độ tại các kênh
đường trục mạng Internet đường dài lên tới hàng Gb/s.
2.4.1.2 Nguy cơ mất số liệu thường xuyên
So với các mạng hữu tuyến, thông tin số thường bị mất hoặc bị sai lệch khi truyền qua
một liên kết vô tuyến. Các giao thức lớp mạng sử dụng các cơ chế kiểm tra tính toàn vẹn dữ
liệu có thể nhận biết những trường hợp này và yêu cầu thông tin cần được phát lại, nhưng việc
phát lại này sẽ ảnh hưởng tới tính hiệu quả do băng thông thấp. Cùng với việc làm giảm tốc độ
chuyển giao số liệu, mất số liệu còn làm cho lượng thời gian cần thiết để truyền một khối số
liệu biến động (gây ra biến động trễ), hoặc làm chấm dứt một phiên giao dịch.
2.4.1.3 Tình trạng “mở” của sóng vô tuyến
Trong mạng hữu tuyến, có thể sử dụng cáp đồng hoặc cáp sợi quang, đều có thể bị xâm
phạm, đó có thể là một thách thức mang tính kỹ thuật, tuy nhiên sự xâm phạm này có thể
thường được phát hiện bởi thiết bị giám sát mạng. Ngược lại khi một mạng vô tuyến gửi số liệu
qua không trung bằng cách sử dụng tín hiệu vô tuyến, một người nào đó có thể nghe trộm, ngay
cả khi họ sử dụng một thiết bị rẻ tiền. Hơn nữa các xâm phạm này vốn thụ động và khó bị phát
hiện. Trường hợp này dẫn đến một nguy cơ an ninh cơ bản đối với mạng vô tuyến. Trong

chương 3 chúng ta sẽ thấy các nhà thiết kế mạng vô tuyến di động đã khắc phục được nguy cơ
an ninh này, nảy sinh khi truyền một cuộc hội thoại hoặc số liệu nhạy cảm qua liên kết vô tuyến
một cách công khai, bằng cách sử dụng kỹ thuật mật mã hoá. Tuy nhiên không thể kiểm soát
được mọi trường hợp.
2.4.2 Thách thức thứ hai: Tính di động của người dùng
Như chúng ta đã biết, lợi ích lớn nhất mà công nghệ nối mạng vô tuyến đem lại đó là
người sử dụng có thể tự do di chuyển trong khi vẫn duy trì một liên kết tới mạng. Tuy nhiên,
đặc tính này lại làm suy yếu và làm mất một số lợi thế cơ bản giúp đảm bảo an ninh thông tin
trong mạng hữu tuyến. Chẳng hạn trong một mạng hữu tuyến điển hình của một cơ quan, một
máy tính để bàn (destop computer) của người sử dụng sẽ được gắn với cùng một cổng trong
21
cùng một bộ tập trung mạng (hoặc một bộ phận tương đương của thiết bị nối mạng) ngày này
qua ngày khác. Hơn nữa, tập hợp các máy tính, máy in, và các thiết bị thành phần mạng khác
kết nối tới mạng tại bất kỳ một điểm nào sớm hay muộn cũng nằm trong tầm kiểm soát của nhà
quản trị hệ thống.
Trong môi trường nối vô tuyến, những người sử dụng, chứ không phải là
nhà quản trị hệ thống, sẽ xác định cổng mạng nào hay thậm chí là mạng nào, họ
kết nối với thiết bị di động của họ. Tương tự, tập hợp các thiết bị kết nối tới
mạng vô tuyến tại một điểm nào đó cuối cùng vẫn phụ thuộc vào sự di chuyển
và hoạt động của cá nhân người sử dụng, và nằm ngoài tầm kiểm soát của nhà
khai thác mạng.
2.4.2.1 Mất kết nối và tái kết nối
Những người sử dụng của các mạng thông tin vô tuyến đều phải đối mặt
với những rủi ro xảy ra bất thình lình, chẳng hạn như mất kết nối đột ngột từ
mạng. Hiện tượng mất kết nối xảy ra do các nguyên nhân sau: trước hết là do sự
di chuyển của người sử dụng cùng với thiết bị di động của họ ra khỏi vùng phủ
sóng của trạm gốc mà họ đạng liên lạc, thứ đến là do sự di chuyển của người sử
dụng dẫn đến một chướng ngại vật lý, chẳng hạn như một toà nhà hoặc một
đường hầm giao thông xen vào giữa thiết bị di động và trạm gốc, hoặc chỉ đơn
giản là chỉ do độ tin cậy vốn đã thấp của liên kết vô tuyến. Ngoài ra trong một

phiên liên lạc bình thường của mạng thông tin tổ ong, khi người sử dụng di
chuyển từ vùng phủ sóng của một trạm gốc này sang vùng phủ sóng của một
trạm gốc khác, khi đó mạng phải thực hiện chuyển giao sự điều khiển của phiên
truyền thông, hoạt động này được gọi là “chuyển giao (hand off)”. Điều này làm
tăng trễ và tiềm ẩn nguy cơ mất kết nối.
2.4.2.2 Kết nối mạng không dồng nhất
Trong một mạng hữu tuyến điển hình, một máy tính luôn gắn liền với
cùng một mạng nhà. Những đặc trưng của mạng này là đã rất rành rọt. Do đó khi
có sự thay đổi, chẳng hạn khi cần bổ sung server file hay tường lửa để nâng cấp
mạng, sẽ được quy hoạch và giám sát cẩn thận. Tuy nhiên trong môi trường nối
mạng vô tuyến, một trạm di động, chẳng hạn đó là một máy điện thoại di động
hoặc là một thiết bị hỗ trợ cá nhân số thường liên tục chuyển mạng giữa các
mạng chủ khác nhau. Những đặc trưng của các mạng này và cả cách mà chúng
tương tác với mạng nhà của người sử dụng có thể rất khác nhau.
2.4.2.3 Chuyển đổi địa chỉ
22
Trong các mạng hữu tuyến thông thường, các máy tính và các thiết bị khác được kết nối
tới cùng một mạng và sử dụng cùng một địa chỉ mạng (địa chỉ IP trong mạng internet toàn cầu)
trong một khoảng thời gian dài. Nếu thiết bị này di chuyển giữa các mạng, các nhà quản trị
mạng có thể thực hiện thao tác cập nhật địa chỉ mạng. Còn trong môi trường nối mạng vô
tuyến, địa chỉ mạng, hoặc ít nhất là các mạng có liên quan, cần phải được quản lí trong môi
trường có độ rủi ro và phức tạp hơn nhiều.
2.4.2.4 Thông tin phụ thuộc vào vị trí
Tình huống xảy đối với vấn đề thông tin định vị cũng tương tự như tình huống xảy ra
trong trường hợp chuyển đổi địa chỉ. Trong mạng hữu tuyến, vị trí của các thiết bị tính toán
thường khá ổn định và được kiểm soát bởi các nhà quản trị hệ thống. Còn trong môi trường vô
tuyến, vị trí của các thiết bị truyền thông và tính toán thay đổi thường xuyên. Khi cung cấp dich
vụ cho người sử dụng, không chỉ cần phải bám theo cơ sở hạ tầng mạng vô tuyến và đáp lại
những thay đổi vị trí này mà còn phải thực hiện các giải pháp an ninh để bảo vệ thông tin định
vị. Trong môi trường mạng vô tuyến, việc bảo vệ tính bí mật của người sử dụng bao gồm cả

việc bảo vệ nội dung bản tin và cuộc hội thoại khỏi sự xâm phạm, nhưng cũng yêu cầu hệ thống
phải giữ tính bí mật của thông tin định vị về người sử dụng hệ thống.
2.4.3 Thách thức thứ 3: Tính di chuyển được của thiết bị
Để có thể khai thác được tiềm năng của các mạng vô tuyến, người sử
dụng yêu cầu các thiết bị truyền thông và tính toán của họ có thể di chuyển một
cách dễ dàng. Một cơ sở hạ tầng thông tin và tính toán di động sẽ không được sử
dụng nhiều nếu như người sử dụng phải mang theo cả một máy tính để bàn
(desttop computer) để có thể khai thác nó. Chính bởi lí do đó mà các sản phẩm
điện tử nói chung ngày nay như máy điện thoại tổ ong, thiết bị hỗ trợ cá nhân số
(PDA), các máy tính xách tay, các máy quay phim số với các khả năng nối mạng
và những thiết bị tương tự được thiết kế để mọi người có thể dễ dàng mang theo
khi di chuyển. Các máy tính để bàn ngày nay được thiết kế với ý định ban đầu
không phải để mang đi, do đó những thiết kế của nó có phần thông thoáng về
không gian, công suất, khả năng đấu nối cáp. Ngược lại, việc thiết kế của các
máy tính di động cầm tay cần phải đạt được các đặc tính sau đây: Nhỏ, nhẹ, bền,
chịu nước, tiêu thụ năng lương ít.
Một nguy cơ an ninh hiển nhiên liên quan chặt chẽ với tính di chuyển được của thiết bị
là: Bất cứ một sản phẩm nào được thiết kế để có thể mang và sử dụng khi vận chuyển đều dễ bị
đánh cắp. Không chỉ là từ phía máy điện thoại di động tổ ong mà ngay cả về phía hệ thống,
không hề có một sự hoài nghi nào về thực tế thiết bị đang di chuyển từ nơi này sang nơi khác,
mặc dù bây giờ nó có thể nằm trong tay một người khác chứ không phải là chính chủ.
Tính di động được của thiết bị cũng đưa ra những khó khăn khác đối với các nhà thiết
kế các sản phẩm tính toán và thông tin di động về mặt an ninh thông tin và nhận thực, bao gồm:
2.4.3.1 Tốc độ bộ xử lý
23
Năng lực xử lý được quyết định bởi các mạch tích hợp trong các thiết bị như máy điện
thoại di động và thiết bị phụ trợ cá nhân số (PDA). Các thuật toán mật mã hoá và các thủ tục
nhận thực đều yêu cầu sự tính toán và đôi khi còn yêu cầu một khối lượng tính toán khổng lồ.
Trong một vài ứng dụng an ninh trong môi trường vô tuyến, như mật mã hoá và giải mật mã
một cuộc hội thoại điều khiển qua một máy điện thoại tổ ong. Các thủ tục an ninh cần phải

được thực thi trong một thời gian thực. Do đó năng lực xử lý trên thiết bị di động quyết định sự
lựa chọn của các nhà thiết kế hệ thống an ninh cho các môi trường vô tuyến.
2.4.3.2 Khả năng lưu trữ hạn chế
Vì những lí do tương tự, lượng số liệu có thể được lưu trữ trong một thiết bị tính toán
và truyền thông di động nhỏ hơn nhiều khả năng lưu trữ số liệu của một máy để bàn hay một
server. Cùng với hạn chế về tốc độ xử lý, nhân tố này cũng ảnh hưởng đến sự lựa chọn trong
việc thiết kế hệ thống an ninh cho các mạng vô tuyến.
2.4.3.3 Hoạt động công suất thấp
Các sản phẩm điện tử hoạt động được đều nhờ nguồn năng lượng. Bất cứ một hoạt
động nào của bộ xử lý trong máy điện thoại tổ ong hay PDA đều phải tiêu thụ công suất và do
đó làm giảm nguồn năng lượng sống trong các thiết bị này. Đứng từ quan điểm của người sử
dụng sản phẩm, việc đảm bảo an ninh thông tin là một đặc tính rất cần thiết, nhưng trước hết là
phải đảm bảo năng lượng cho thiết bị hoạt động, nếu như hết năng lượng thì ngay cả khi năng
lực của bộ xử lý cho phép thực hiện những giải pháp an ninh và những thủ tục nhận thực mạnh
thì việc thực hiện sẽ không thể tiến hành được.
Trên đây đã đưa ra những thách thức mà các nhà thiết kế hệ thống và kiến
trúc an ninh cho các mạng vô tuyến phải đối mặt. Các nhân tố này đã giải thích
tại sao việc nghiên cứu an ninh thông tin trong môi trường vô tuyến lại khác với
những nghiên cứu tương đương trong mạng hữu tuyến. Khi mà sự truy nhập
mạng Internet không dây trở nên phổ biến, đồng thời các mạng nhà và mạng
của các tổ chức cùng phối hợp hoạt động trong một thành phần mạng vô tuyến
thì những nhân tố kể trên sẽ trở nên có tác động rất lớn đến việc thiết kế các hệ
thống an ninh cho môi trường hoàn toàn vô tuyến.
24

×