Đồ án An ninh trong 3g UMTS
Tài liệu Đồ án An ninh trong 3g UMTS: HỌC VIỆN CễNG NGHỆ BƯU CHÍNH VIỄN THễNG KHOA VIỄN THễNG I ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: AN NINH TRONG 3G UMTS Người thực hiện: Phạm Văn Quỳnh Hà Nội 2010 PH Ạ M V Ă N Q U Ỳ N H A N N IN H TR O N G 3G U M TS H 07V TTD Học viện công nghệ bưu chính viễn thông Đồ án tốt nghiệp đại học truyền dẫn wdm và ứng dụng trên mạng truyền dẫn đường trục bắc-nam HỌC VIỆN CễNG NGHỆ BƯU CHÍNH VIỄN THễNG KHOA VIỄN THễNG I ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: AN NINH TRONG 3G UMTS Người thực hiện: Phạm Văn Quỳnh Lớp: H07VTTD Người hướng dẫn: Ths. Nguyễn Viết Minh Hà Nội 2010 Đề tàI đồ án tốt nghiệp đại học Họ và tên: Phạm Văn Quỳnh. Lớp: H07VTTD. Khoa: Viễn Thụng I. Ngành: Điện tử - Viễn thụng. Tên đề tài: ”AN NINH TRONG 3G UMTS” Nội dung đồ án: - Tổng quan về 3G UMTS. - An ninh trong thụng tin di động. - Giải phỏp an ninh trong 3G UMTS. Ngày giao đề tài: …/…/….. Ngày nộp đồ ỏn: …/…/….. Ngày t...
Bạn đang xem trước 20 trang mẫu tài liệu Đồ án An ninh trong 3g UMTS, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
AN NINH TRONG 3G UMTS
Người thực hiện: Phạm Văn Quỳnh
Hà Nội 2010
PH
Ạ
M
V
Ă
N
Q
U
Ỳ
N
H
A
N
N
IN
H
TR
O
N
G
3G
U
M
TS H
07V
TTD
Häc viÖn c«ng nghÖ bu chÝnh viÔn th«ng
§å ¸n
tèt nghiÖp ®¹i häc
truyÒn dÉn wdm vµ øng dông
trªn m¹ng truyÒn dÉn
®êng trôc b¾c-nam
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài: AN NINH TRONG 3G UMTS
Người thực hiện: Phạm Văn Quỳnh
Lớp: H07VTTD
Người hướng dẫn: Ths. Nguyễn Viết Minh
Hµ Néi 2010
§Ò tµI ®å ¸n tèt nghiÖp ®¹i häc
Hä vµ tªn: Phạm Văn Quỳnh.
Líp: H07VTTD.
Khoa: Viễn Thông I.
Ngµnh: Điện tử - Viễn thông.
Tªn ®Ò tµi:
”AN NINH TRONG 3G UMTS”
Néi dung ®å ¸n:
- Tổng quan về 3G UMTS.
- An ninh trong thông tin di động.
- Giải pháp an ninh trong 3G UMTS.
Ngày giao đề tài: …/…/…..
Ngày nộp đồ án: …/…/…..
Ngµy th¸ng n¨m 2010
Giáo viên hướng dẫn
Ths. Nguyễn Viết Minh
Häc ViÖn C«ng NghÖ Bu ChÝnh ViÔn Th«ng
Khoa ViÔn Th«ng I
Céng Hoµ X· Héi Chñ NghÜa ViÖt Nam
§éc lËp – Tù do – H¹nh phóc
NhËn xÐt cña ngêi híng dÉn:
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
§iÓm : ………(B»ng ch÷ : ………………….. )
Ngµy th¸ng n¨m 2010
NhËn xÐt cña ngêi ph¶n biÖn:
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
.................................................................................................
§iÓm : ………(B»ng ch÷ : ………………….. )
Ngµy th¸ng n¨m 2010
Mục lục
Phạm Văn Quỳnh, H07VTTD_______________________________________________ i
MỤC LỤC
MỤC LỤC .................................................................................................................. i
THUẬT NGỮ VIẾT TẮT........................................................................................ iii
DANH MỤC HÌNH VẼ ......................................................................................... viii
DANH MỤC BẢNG BIỂU ...................................................................................... ix
LỜI NÓI ĐẦU........................................................................................................... 1
CHƯƠNG I: TỔNG QUAN VỀ 3G UMTS............................................................. 3
1.1 Tổng quan lộ trình phát triển thông tin di động................................................. 3
1.2 Đặc điểm cơ bản của 3G UMTS....................................................................... 4
1.3 CS, PS, các loại lưu lượng và dịch vụ được 3G UMTS hỗ trợ .......................... 6
1.3.1 Chuyển mạch kênh và chuyển mạch gói ............................................................. 6
1.3.2 Các lưu lượng và dịch vụ được 3G UMTS hỗ trợ................................................ 8
1.4 Kiến trúc 3G UMTS R3.................................................................................. 10
1.4.1 Thiết bị người sử dụng...................................................................................... 10
1.4.2 Mạng truy nhập vô tuyến mặt đất UMTS.......................................................... 12
1.4.3 Mạng lõi........................................................................................................... 13
1.4.4 Các mạng ngoài................................................................................................ 16
1.4.5 Các giao diện.................................................................................................... 16
1.5 Kiến trúc 3G UMTS R4.................................................................................. 17
1.6 Kiến trúc 3G UMTS R5.................................................................................. 19
1.7 Kết luận.......................................................................................................... 21
CHƯƠNG II: AN NINH TRONG THÔNG TIN DI ĐỘNG................................ 22
2.1 Tạo lập môi trường an ninh ............................................................................ 22
2.1.1 Nhận thực......................................................................................................... 22
2.1.2 Toàn vẹn số liệu ............................................................................................... 22
2.1.3 Bảo mật ............................................................................................................ 22
2.1.4 Trao quyền ....................................................................................................... 23
2.1.5 Cấm từ chối ...................................................................................................... 23
2.2 Các đe dọa an ninh ......................................................................................... 23
2.2.1 Đóng giả........................................................................................................... 23
2.2.2 Giám sát ........................................................................................................... 23
2.2.3 Làm giả ............................................................................................................ 24
2.2.4 Ăn cắp.............................................................................................................. 24
2.3 Các công nghệ an ninh ................................................................................... 25
2.3.1 Công nghệ mật mã............................................................................................ 25
2.3.2 Các giải thuật đối xứng..................................................................................... 25
2.3.3 Các giải thuật bất đối xứng ............................................................................... 27
2.3.4 Nhận thực......................................................................................................... 28
2.3.5 Các chữ ký điện tử và tóm tắt bản tin................................................................ 29
2.3.6 Các chứng chỉ số .............................................................................................. 30
2.3.7 Hạ tầng khóa công khai PKI ............................................................................. 31
2.3.8 Nhận thực bằng bản tin nhận thực..................................................................... 34
2.4 An ninh giao thức vô tuyến............................................................................. 36
2.4.1 An ninh lớp truyền tải vô tuyến (WTLS) .......................................................... 36
2.4.2 Lỗ hổng WAP .................................................................................................. 37
2.4.3 WAP 2.x........................................................................................................... 38
Mục lục
Phạm Văn Quỳnh, H07VTTD_______________________________________________ ii
2.5 Mô hình an ninh tổng quát của một hệ thống thông tin di động....................... 38
2.6 An ninh trong GSM........................................................................................ 39
2.6.1 Mô hình an ninh cho giao diện vô tuyến ........................................................... 39
2.6.2 Các hạn chế trong an ninh GSM ....................................................................... 40
2.7 Kết luận.......................................................................................................... 42
CHƯƠNG III: GIẢI PHÁP AN NINH TRONG 3G UMTS ................................. 43
3.1 Mô hình kiến trúc an ninh 3G UMTS ............................................................. 43
3.1.1 Nhận thực......................................................................................................... 43
3.1.2 Bảo mật ............................................................................................................ 43
3.1.3 Toàn vẹn .......................................................................................................... 44
3.2 Các hàm mật mã............................................................................................. 45
3.2.1 Yêu cầu đối với các giải thuật và các hàm mật mã ............................................ 45
3.2.2 Các hàm mật mã............................................................................................... 45
3.2.3 Sử dụng các hàm mật mã để tạo AV trong AuC................................................ 50
3.2.4 Sử dụng các hàm mật mã để tạo các thông số an ninh trong USIM ................... 50
3.2.5 Sử dụng các hàm để đồng bộ lại tại USIM ........................................................ 51
3.2.6 Sử dụng các hàm để đồng bộ lại tại AuC .......................................................... 52
3.2.7 Thứ tự tạo khóa ................................................................................................ 53
3.3 Các thông số nhận thực .................................................................................. 53
3.3.1 Các thông số của vec-tơ nhận thực (AV)........................................................... 53
3.3.2 Thẻ nhận thực mạng (AUTN) ........................................................................... 54
3.3.3 Trả lời của người sử dụng và giá trị kỳ vọng (RES&XRES) ............................. 54
3.3.4 MAC-A&XMAC-A ......................................................................................... 54
3.3.5 Thẻ đồng bộ lại (AUTS) ................................................................................... 54
3.3.6 MAC-S&XMAC-S........................................................................................... 54
3.3.7 Kích cỡ của các thông số nhận thực .................................................................. 55
3.4 Mô hình an ninh cho giao diện vô tuyến 3G UMTS........................................ 55
3.4.1 Mạng nhận thực người sử dụng......................................................................... 56
3.4.2 USIM nhận thực mạng...................................................................................... 57
3.4.3 Mật mã hóa UTRAN ........................................................................................ 57
3.4.4 Bảo vệ toàn vẹn báo hiệu RRC ......................................................................... 58
3.5 Nhận thực và thỏa thuận khóa AKA ............................................................... 59
3.5.1 Tổng quan về AKA .......................................................................................... 60
3.5.2 Các thủ tục AKA .............................................................................................. 60
3.6 Thủ tục đồng bộ lại AKA ............................................................................... 62
3.7 An ninh trong 3G UMTS R5 .......................................................................... 63
3.7.1 An ninh miền mạng NDS.................................................................................. 63
3.7.2 An ninh IMS..................................................................................................... 65
3.8 Kết luận.......................................................................................................... 72
KẾT LUẬN............................................................................................................... ix
TÀI LIỆU THAM KHẢO......................................................................................... x
Thuật ngữ viết tắt
Phạm Văn Quỳnh, H07VTTD_______________________________________________ iii
THUẬT NGỮ VIẾT TẮT
1G The First Generation Hệ thống di động thế hệ một
2G The Second Generation Hệ thống di động thế hệ hai
3G The Third Generation Hệ thống di động thế hệ ba
3GPP Third Generation Partnership
Project
Đề án đối tác thế hệ thứ 3
A
ACL Access Control List Danh sách điều khiển truy nhập
ADS Application Domain Security An ninh miền ứng dụng
AES Advantage Encryption Standard Tiêu chuẩn mật mã hóa tiên tiến
AH Authentication Header Tiêu đề nhận thực
AKA Authentication and Key Agreement Nhận thực và thỏa thuận khóa
AMF Authentication Management Field Trường quản lý nhận thực
AMPS Advanced Mobile Phone System Hệ thống điện thoại tiên tiến
ATM Asynchronous Transfer Mode Phương thức truyền bất đối xứng
AuC Authentication Center Trung tâm nhận thực
AUTN Authentication Token Thẻ nhận thực mạng
AV Authentication Vector Vec-tơ nhận thực
B
BG Border Gateway Cổng biên giới
BICC Bearer Independent Call Control Điều khiển cuộc gọi độc lập kênh
mang
BTS Base Transceiver Station Trạm thu phát gốc
C
CA Certificate Authority Thẩm quyền chứng nhận
CK Cirphering Key Khóa mật mã
CN Core Network Mạng lõi
CRL Certificate Revocation List Danh sách hủy chứng nhận
CRNC Control RNC RNC điều khiển
CS Circuit Switching Chuyển mạch kênh
CSCF Connection State Control Function Chức năng điều khiển trạng thái
kết nối
D
DES Data Encryption Standard Tiêu chuẩn mật mã háo số liệu
DNS Domain Name System Hệ thống tên miền
DRNC Drifting RNC RNC trôi
E
ECC Elliptic Curve Cryptography Một loại giải thuật mật mã hóa
EIR Equipment Identify Register Thanh ghi nhận dạng thuê bao
ESP Encapsulation Security Payload Tải tin an ninh đóng bao
F
Thuật ngữ viết tắt
Phạm Văn Quỳnh, H07VTTD_______________________________________________ iv
FDD Frequency Division Duplexing Song công phân chia theo tần số
FDM Frequency Division Multiplexing Ghép kênh phân chia theo tần số
G
GGSN Gate GPRS Support Node Nút hỗ trợ GPRS cổng
GMSC Gate-MSC MSC cổng
GPS Global Positioning System Hệ thống định vị toàn cầu
GSM Global System for Mobile
Communication
Hệ thống thông tin di động
toàn cầu
GTP GPRS Tunnel Protocol Giao thức đường hầm GPRS
H
HE Home Environment Môi trường nhà
HLR Home Location Register Thanh ghi định vị thường trú
HSS Home Subscriber Server Server thuê bao tại nhà
I
I-CSCF Interrogating CSCF CSCF hỏi
IDEA International Data Encryption
Algorithm
Giải thuật mật mã hóa số liệu quốc
tế
IETF Internet Engineering Task Force Nhóm đặc trách Internet
IK Integrity Key Khóa toàn vẹn
IKE Internet Key Exchange Trao đổi khóa Internet
IMEI International Mobile Equipment
Identifier
Nhận dạng thuê bao di động quốc
tế
IMPI IMS Private Identity Nhận dạng riêng IMS
IMPI Internet Multimedia Public
Identifier
Nhận dạng công cộng đa phương
tiện Internet
IMPU IMS Public Identify Nhận dạng công cộng IMS
IMS IP Multimedia CN Subsystem Hệ thống con mạng lõi đa phương
tiện IP
IMSI International Mobile Subscriber
Identifier
Nhận dạng thuê bao di động quốc
tế
IP Internet Protocol Giao thức Internet
IPsec IP Security An ninh IP
ISDN Integrated Sevices Digital Network Mạng số tích hợp đa dịch vụ
ISIM IMS Subscriber Identify Module Mô dun nhận dạng thuê bao IMS
ISIM Internet Services Multimedia
Identity Module
Mô dun nhận dạng dịch vụ đa
phương tiện Internet
ITU International Telecommunication
Union
Liên minh viễn thông quốc tế
K
K Master Key Khóa chủ
KS Key Stream Luồng khóa
L
LA Local Area Vùng định vị
Thuật ngữ viết tắt
Phạm Văn Quỳnh, H07VTTD_______________________________________________ v
M
MAC Message Authentication Code Mã nhận thực bản tin
MAC-A MAC- Authentication Mã nhận thực bản tin dành cho
nhận thực
MAC-I MAC-Integrity MAC dành cho toàn vẹn
MACsec MAC Security An ninh MAP
MD Message Degest Tóm tắt bản tin
ME Mobile Equipment Thiết bị di động
MEGACO Media Gateway Controller Bộ điều khiển cổng phương tiện
MGCF Media Gateway Control Function Chức năng điều khiển cổng các
phương tiện
MGW Media Gateway Cổng phương tiện
MIP Mobile Internet Procol Giao thức Internet di động
MRF Multimedia Resource Function Chức năng tài nguyên đa phương
tiện
MS Mobile Station Trạm di động
MSC Mobile Services Switching Center Trung tâm chuyển mạch các dịch
vụ di động
N
NAI Network Access Identify Nhận dạng truy nhập mạng
NAS Network Access Security An ninh truy nhập mạng
NDS Network Domain Security An ninh miền mạng
NMT Nordic Mobile Telephone System Hệ thống điện thoại di động Bắc
Âu
P
PCM Pulse Code Modulation Điều chế xung mã
P-CSCF Proxy CSCF CSCF ủy thác
PDP Packet Data Protocol Giao thức Dứ liệu gói
PIN Personal Identification Number Số nhận dạng cá nhân
PKI Public Key Infrastructure Hạ tầng khóa công khai
PLMN Public Land Mobile Network Mạng di động công cộng mặt đất
PS Packet Switching Chuyển mạch gói
PSTN Public Switched Telephone
Network
Mạng điện thoại chuyền mạch
công cộng
P-TMSI Packet- TMSI TMSI gói
Q
QoS Quality of Service Chất lượng dịch vụ
R
RA Routing Area Vùng chuyển mạch
RAN Radio Access Network Mạng truy nhập vô tuyến
RAND Random Number Số ngẫu nhiên/ hô lệnh ngẫu nhiên
RES User Respone Trả lời của người sử dụng
RNC Radio Network Controller Bộ điều khiển mạng vô tuyến
Thuật ngữ viết tắt
Phạm Văn Quỳnh, H07VTTD_______________________________________________ vi
RSA Ron Rivest, Adi Shamir and
Leonard Adelman Algorithm
Giải thuật mật mã của ba đồng tác
giả Ron Rivest, Adi Shamir and
Leonard Adelman
RSGW Roaming Signalling Gateway Cổng báo hiệu chuyển mạng
RTP Real Time Transport Protocol Giao thức truyền tải thời gian thực
S
S-CSCF Serving CSCF CSCF phục vụ
SDP Session Description Protocol Giao thức miêu tả phiên
SGSN Serving GPRS Support Node Nút bỗ trợ GPRS phục vụ
SHA Security Hash Algorithm Thuật toán làm rối an ninh
SIP Session Initiation Protocol Giao thức khởi tạo phiên
SMR Special Mobile Radio Vô tuyến di động đặc biệt
SQN Sequence Number Số trình tự
SRES Signed RESponse Trả lời được ký
SRNC Serving RNC RNC phục vụ
SS7GW Signaling System No.7 Gateway Cổng hệ thống báo hiệu số 7
SSL Secure Sockets Layer Lớp các ổ cắm an ninh
T
TACS Total Access Communications
Systems
Hệ thống truyền thông truy nhập
toàn bộ
TDD Time Division Duplexing Song công phân chia theo thời
gian
TDM Time Division Multiplexing Ghép kênh phân chia theo thời
gian
TE Terminal Equipment Thiết bị đầu cuối
TLS Transport Layer Security An ninh lớp truyền tải
TMSI Temporary Mobile Subscriber
Identity
Nhận dạng di động tạm thời
TSGW Transport Signalling Gateway Cổng báo hiệu truyền tải
U
UA User Agent Tác nhân người sử dụng
UAC UA Client UA khách
UAS UA Server UA chủ
UDS User Domain Security An ninh miền người sử dụng
UE User Equipment Thiết bị người sử dụng
UEA UMTS Encryption Algorithm Giải thuật mật mã UMTS
UIA UMTS Integrity Algorithm Giải thuật toàn vẹn UMTS
UICC UMTS IC Card Thẻ vi mạch UMTS
UMTS Univesal Mobile
Telecommunication System
Hệ thống viến thông di động toàn
cầu
URI Unified Resource Identifier Nhận dạng tài nguyên đồng dạng
USIM UMTS Subscriber Identify Module Môdun nhận dạng thuê bao UMTS
Thuật ngữ viết tắt
Phạm Văn Quỳnh, H07VTTD_______________________________________________ vii
UTRAN UMTS Terrestrial Radio Access
Network
Mạng truy nhập vô tuyến mặt đất
UMTS
V
VC Virtual Channel Đường truyền ảo
VLR Visitor Location Register Thanh ghi định vị tạm thời
VoIP Voice over Internet Protocol Thoại trên nền IP
VP Virtual Packet Gói ảo
W
WAP Wireless Application Protocol Giao thức ứng dụng vô tuyến
WAPsec WAP Security An ninh WAP
WCDMA Wideband Code Division Multiple
Access
Đa truy nhập phân chia theo mã
băng rộng
WTLS Wireless Transfer Security Layer An ninh lớp truyền tải vô tuyến
X
XMAC-A Expected-MACA MAC-A kỳ vọng
XMAC-I Expected-MACI MAC-I kỳ vọng
XRES Expected User Respone Trả lời kỳ vọng của người sử dụng
Danh mục hình vẽ
Phạm Văn Quỳnh, H07VTTD_______________________________________________ viii
DANH MỤC HÌNH VẼ
Hình 1.1 Quá trình phát triển của các nền tảng thông tin di động từ 1G đến 3G........... 4
Hình 1.2 Kiến trúc 3G UMTS R3.............................................................................. 10
Hình 1.3 Kiến trúc 3G UMTS R4............................................................................. 18
Hình 1.4 Kiến trúc mạng đa phương tiện 3G UMTS R5............................................ 20
Hình 2.1 Minh họa cơ chế cơ sở của mật mã bằng khóa duy nhất.............................. 26
Hình 2.2 Quá trình sử dụng tóm tắt bản tin để cung cấp các chữ ký điện tử............... 29
Hình 2.3 Nhận thực bằng chữ ký điện tử ................................................................... 33
Hình 2.4 Phương pháp nhận thực sử dụng MAC. ...................................................... 35
Hình 2.5 Kiến trúc an ninh tổng quát của một hệ thống thông tin di động. ................ 38
Hình 2.6 Mô hình an ninh cho giao diện vô tuyến ở GSM......................................... 39
Hình 3.1 Quá trình mật mã hóa và giải mật mã hóa bằng hàm f8............................... 47
Hình 3.2 Nhận dạng toàn vẹn bản tin với sử dụng hàm toàn vẹn f9. .......................... 48
Hình 3.3 Quá trình tạo các AV trong AuC................................................................. 50
Hình 3.4 Quá trình tạo các thông số an ninh trong USIM. ......................................... 51
Hình 3.5 Tạo AUTS trong USIM. ............................................................................. 52
Hình 3.6 Thủ tục đồng bộ lại trong AuC. .................................................................. 53
Hình 3.7 Mô hình an ninh cho giao diện vô tuyến ở 3G UMTS................................. 56
Hình 3.8 Nhận thực người sử dụng tại VLR/SGSN. .................................................. 57
Hình 3.9 Nhận thực mạng tại USIM.......................................................................... 57
Hình 3.10 Bộ mật mã luồng trong UMTS.................................................................. 58
Hình 3.11 Nhận thực toàn vẹn bản tin. ...................................................................... 59
Hình 3.12 Tổng quan quá trình nhận thực và thỏa thuận khóa AKA.......................... 60
Hình 3.13 Thủ tục đồng bộ lại của AKA. .................................................................. 62
Hình 3.14 Kiến trúc an ninh IMS. ............................................................................. 67
Hình 3.15 Kiến trúc an ninh IMS của UMTS R5....................................................... 68
Hình 3.16 Đăng ký và nhận thực trong IMS. ............................................................. 70
Danh mục bảng biểu
Phạm Văn Quỳnh, H07VTTD_______________________________________________ ix
DANH MỤC BẢNG BIỂU
Bảng 1.1 Phân loại các dịch vụ ở 3G UMTS. .............................................................. 9
Bảng 3.1 Các hàm mật mã......................................................................................... 46
Bảng 3.2 Kích cỡ các thông số nhận thực.................................................................. 55
Lời nói đầu
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 1
LỜI NÓI ĐẦU
Ở Việt Nam trong những năm gần đây, ngành công nghiệp viễn thông nói
chung và thông tin di động nói riêng đã có những bước phát triển vượt bậc. Từ chỗ có
hai nhà cung cấp dịch vụ di động, cho đến nay đã có bẩy nhà cung cấp dịch vụ di
động. Cùng với đó, số lượng thuê bao di động không ngừng tăng lên, yêu cầu của
khách hàng sử dụng dịch vụ di động cũng ngày một cao hơn. Điện thoại di động giờ
đây không chỉ để dùng để nghe gọi như trước nữa, mà nó đã trở thành một đầu cuối di
động với đầy đủ các tính năng để phục vụ mọi nhu cầu của con người. Bằng chiếc điện
thoại của mình người sử dụng có thể giải trí, truy cập dữ liệu phục vụ việc học hành,
nghiên cứu hay giao lưu, học hỏi, không những thế người sử dụng còn có thể dùng nó
để thực hiện các giao dịch kinh doanh, giao dịch ngân hàng trực tuyến,… với tốc độ
cao không thua kém gì các mạng có dây. Để những điều nêu trên trở thành hiện thực,
các nhà cung cấp dịch vụ di động tại Việt Nam đã và đang cho ra mắt khách hàng viễn
thông hệ thống thông tin di động thế hệ thứ ba (3G).
Đặc điểm nổi bật nhất của hệ thống này là tốc độ xử lý dữ liệu cao và loại hình
dịch vụ phong phú, đa dạng. Tuy nhiên, để khách hàng có thể yên tâm và tin tưởng khi
sử dụng dịch vụ thì vấn đề an ninh, an toàn thông tin trong hệ thống thông tin di động
thế hệ thứ ba phải được đặt lên hàng đầu. Bởi dữ liệu được truyền trên mạng di động
giờ đây không chỉ đơn thuần là thoại, mà là dữ liệu của các phiên giao dịch trực
tuyến. Nếu không đảm bảo an toàn thông tin thì thiệt hại về kinh tế là vô cùng to lớn.
Với đề tài: “An ninh trong 3G UMTS” trong đồ án tốt nghiệp của mình, em
hy vọng tìm hiểu về vấn đề an ninh trong hệ thống thông tin di động thế hệ thứ ba cũng
như các giải pháp để bảo mật và bảo vệ toàn vẹn thông tin của người sử dụng khi
được truyền trong hệ thống.
Nội dung của quyển đồ án bao gồm ba chương:
Chương 1: Tổng quan về 3G UMTS. Nội dung của chương này đề cập đến lộ
trình phát triển của hệ thống thông tin di động, các đặc điểm, loại hình dịch vụ mà hệ
thống thông tin di động thế hệ thứ ba cung cấp. Phần cuối chương có đề cập đến các
cấu trúc của hệ thống 3G UMTS, từ R3, R4 đến R5.
Chương 2: An ninh trong thông tin di động. Nội dung của chương đề cập đến
các đe dọa an ninh đối với hệ thống thông tin di động và các giải pháp để đảm bảo an
Lời nói đầu
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 2
toàn thông tin trong các hệ thống thông tin di động. Cuối chương có đề cập đến an
ninh trong hệ thống thông tin di động thế hệ thứ hai.
Chương 3: Giải pháp an ninh trong 3G UMTS. Đây là phần nội dung chính
của quyển đồ án. Nội dung đề cập đến các nguyên lý cơ bản để xây dựng một kiến trúc
an ninh cho hệ thống 3G UMTS. Các biện pháp cụ thể để bảo vệ an toàn thông tin khi
truyền trên giao diện vô tuyến của hệ thống. Tìm hiểu cụ thể quá trình nhận thực và
thỏa thuận khóa AKA, các hàm mật mã được sử dụng và các thông số nhận thực liên
quan. Và đặc biệt cuối chương có đề cập đến cấu trúc an ninh cho hệ thống 3G UMTS
phiên bản R5.
Cuối cùng, con xin cảm ơn cha, mẹ và toàn thể gia đình đã tạo điều kiện tốt
nhất để con hoàn thành tốt quyển đồ án này. Em xin chân thành cảm ơn thầy giáo
Nguyễn Viết Minh, cùng các thầy, cô giáo trong Học Viện đã chỉ bảo và hướng dẫn em
trong suốt thời gian học tập và làm đồ án tốt nghiệp. Tôi xin cảm ơn bạn bè trong lớp,
trên diễn đàn đã giúp đỡ tôi rất nhiều với những tình cảm chân thành nhất.
Bắc Ninh, Ngày 20 tháng 01 năm 2010
Sinh viên (ký)
Phạm Văn Quỳnh
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 3
CHƯƠNG I: TỔNG QUAN VỀ 3G UMTS
1.1 Tổng quan lộ trình phát triển thông tin di động
Hệ thống thông tin di động được chia thành ba thế hệ: thứ nhất (1G); thứ hai
(2G) và thứ ba (3G).
Các hệ thống 1G đảm bảo truyền dẫn tương tự dựa trên công nghệ ghép kênh
phân chia theo tần số (FDM) với kết nối mạng lõi dựa trên công nghệ ghép kênh phân
chia theo thời gian (TDM). Ví dụ điển hình cho hệ thống này là hệ thống điện thoại di
động tiên tiến (AMPS), được sử dụng trên toàn nước Mỹ và hệ thống điện thoại di
động Bắc Âu (NMT). Thông thường các công nghệ 1G được triển khai tại một nước
hoặc nhóm các nước, không được tiêu chuẩn hóa bởi các cơ quan tiêu chuẩn quốc tế
và không có ý định dành cho sử dụng quốc tế.
Khác với 1G, các hệ thống 2G được thiết kế để triển khai quốc tế. Thiết kế 2G
nhấn mạnh hơn về tính tương thích, khả năng chuyển mạng phức tạp và sử dụng
truyền dẫn tiếng số hóa trên giao diện vô tuyến. Các thí dụ điển hình về các hệ thống
2G là: GSM và cdmaOne (dựa trên tiêu chuẩn TIA IS-95).
Có thể coi một hệ thống thông tin di động là 3G nếu nó đáp ứng một số các yêu
cầu được liên minh viễn thông quốc tế (ITU) đề ra sau đây:
+ Hoạt động ở một trong số các tần số được ấn định cho các dịch vụ 3G;
+ Phải cung cấp dẫy các dịch vụ số liệu mới cho người sử dụng bao gồm cả đa
phương tiện, độc lập với công nghệ giao diện vô tuyến;
+ Phải hỗ trợ truyền dẫn số liệu di động tại 144 kb/s cho các người sử dụng di
động tốc độ cao và truyền dẫn số liệu lên đến 2Mb/s cho các người sử dụng cố định
hoặc di động tốc độ thấp;
+ Phải cung cấp các dịch vụ số liệu gói (các dịch vụ không dựa trên kết nối
chuyển mạch kênh (CS) đến mạng số liệu dựa trên chuyển mạch gói (PS));
+ Phải đảm bảo tính độc lập của mạng lõi với giao diện vô tuyến.
Một số hệ thống 2G đang tiến hóa đến ít nhất một phần các yêu cầu trên. Điều
này dẫn đến một hậu quả không mong muốn là làm sai lệch thuật ngữ "các thế hệ".
Chẳng hạn GSM với hỗ trợ số liệu kênh được phân loại như hệ thống 2G thuần túy.
Khi tăng cường thêm dịch vụ vô tuyến gói chung (GPRS), nó trở nên phù hợp với
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 4
nhiều tiêu chuẩn 3G. Dẫn đến nó không hẳn là 2G cũng như 3G mà là loại "giữa các
thế hệ", vì thế hệ thống GSM được tăng cường GPRS hiện nay được gọi là hệ thống
2,5G. Trong khi thực tế vẫn thuộc loại 2G, ít nhất là về phương diện công nghệ truyền
dẫn vô tuyến.
Hình 1.1 mô tả quá trình phát triển của các thế hệ thông tin di động.
Hình 1.1 Quá trình phát triển của các nền tảng thông tin di động từ 1G đến 3G.
1.2 Đặc điểm cơ bản của 3G UMTS
Hệ thống thông tin di động thế hệ thứ 3 được xây dựng với mục đích cho ra đời
một mạng di động toàn cầu với các dịch vụ phong phú, bao gồm: thoại; nhắn tin;
Internet và dữ liệu băng rộng. Tại Châu Âu hệ thống thông tin di động thế hệ thứ 3 đã
được tiêu chuẩn hoá bởi viện tiêu chuẩn viễn thông Châu Âu (ETSI) phù hợp với tiêu
chuẩn IMT-2000 của ITU. Hệ thống có tên là “hệ thống viễn thông di động toàn cầu
(UMTS)”. UMTS được xem là hệ thống kế thừa của hệ thống thế hệ thứ 2 (GSM),
nhằm đáp ứng các yêu cầu phát triển của các dịch vụ di động và ứng dụng Internet.
3G UMTS được phát triển bởi đề án đối tác thế hệ thứ 3 (3GPP). Sử dụng dải
tần quốc tế 2GHz như sau: đường lên: 1885-2025 MHz; đường xuống: 2110-2200
MHz.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 5
Hệ thống 3G UMTS sử dụng công nghệ đa truy nhập phân chia theo mã băng
rộng (WCDMA). WCDMA là công nghệ được sử dụng cho phần giao diện vô tuyến
của hệ thống 3G UMTS. Các thông số nổi bật đặc trưng cho WCDMA như sau:
+ WCDMA sử dụng trải phổ chuỗi trực tiếp (DSSS). Ở đây các bit thông tin được
trải ra trong một băng tần rộng bằng cách nhân dữ liệu cần truyền với các bit giả ngẫu
nhiên (gọi là chip). Các bit này xuất phát từ các mã trải phổ CDMA. Để hỗ trợ tốc độ
bit cao (lên tới 2Mb/s), cần sử dụng các kết nối đa mã và hệ số trải phổ khác nhau.
+ WCDMA có tốc độ chip là 3,84 Mc/s dẫn đến băng thông của sóng mang xấp
xỉ 5MHz, nên được gọi là hệ thống băng rộng. Với băng thông này WCDMA có thể hỗ
trợ các tốc độ dữ liệu cao của người dùng và đem lại những lợi ích hiệu suất xác định.
Các nhà vận hành mạng có thể sử dụng nhiều sóng mang 5MHz để tăng thêm dung
lượng, cũng có thể sử dụng các lớp tế bào phân cấp. Khoảng cách giữa các sóng mang
thực tế có thể được chọn trong khoảng từ 4,4MHz đến 5MHz, tuỳ thuộc vào nhiễu
giữa các sóng mang.
+ WCDMA hỗ trợ tốt các tốc độ dữ liệu người dùng khác nhau hay nói cách khác
là hỗ trợ tốt đặc tính băng thông theo yêu cầu. Mỗi người sử dụng được cấp các khung
có độ rộng 10ms, trong khi tốc độ người sử dụng được giữ không đổi. Tuy nhiên dung
lượng người sử dụng có thể thay đổi giữa các khung. Việc cấp phát nhanh dung lượng
vô tuyến thông thường sẽ được điều khiển bởi mạng để đạt được thông lượng tối ưu
cho các dịch vụ dữ liệu gói.
+ WCDMA hỗ trợ hai mô hình hoạt động cơ bản. Chế độ song công phân chia
theo tần số (FDD) và song công phân chia theo thời gian (TDD). Trong chế độ FDD,
đường lên và đường xuống sử dụng các sóng mang 5MHz có tần số khác nhau. Trong
khi ở chế đố TDD, các đường lên và xuống sử dụng cùng tần số nhưng ở các khoảng
thời gian khác nhau.
+ WCDMA hỗ trợ hoạt động của các trạm gốc dị bộ. Điều này khác với hệ thống
đồng bộ IS-95, nên không cần chuẩn thời gian toàn cầu như ở hệ thống định vị toàn
cầu (GPS). Việc triển khai các trạm gốc micro và trạm gốc indoor sẽ dễ dàng hơn khi
nhận tín hiệu mà không cần GPS.
+ WCDMA áp dụng kỹ thuật tách sóng kết hợp trên cả đường lên và đường
xuống dựa vào việc sử dụng kênh hoa tiêu.
+ Giao diện vô tuyến WCDMA được xây dựng một cách khéo léo theo cách của
các bộ thu RAKE tiên tiến, có khả năng tách sóng của nhiều người dùng và các anten
thích ứng thông minh, giao diện vô tuyến có thể được triển khai bởi các nhà điều khiển
mạng như một hệ thống được chọn lựa để tăng dung lượng và vùng phủ sóng.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 6
1.3 Chuyển mạch kênh, chuyển mạch gói, các loại lưu lượng và dịch vụ
được 3G UMTS hỗ trợ
1.3.1 Chuyển mạch kênh và chuyển mạch gói
1.3.1.1 Chuyển mạch kênh
a. Chuyển mạch kênh
Là sơ đồ chuyển mạch trong đó thiết bị chuyển mạch thực hiện các cuộc truyền
tin bằng cách thiết lập kết nối chiếm một tài nguyên mạng nhất định trong suốt cuộc
truyền tin. Kết nối này là tạm thời, liên tục và dành riêng. Tạm thời vì nó chỉ được duy
trì trong thời gian cuộc gọi. Liên tục vì nó được cung cấp liên tục một tài nguyên nhất
định (băng thông hay dung lượng và công suất) trong suốt thời gian cuộc gọi. Dành
riêng vì kết nối này và tài nguyên chỉ dành riêng cho cuộc gọi này. Thiết bị chuyển
mạch sử dụng cho chuyển mạch kênh (CS) trong các tổng đài của hệ thống 2G thực
hiện chuyển mạch kênh trên cơ sở ghép kênh theo thời gian. Trong đó mỗi kênh có tốc
độ 64Kb/s và vì thế phù hợp cho việc truyền các ứng dụng làm việc tại tốc độ cố định
64Kb/s (chẳng hạn tiếng được mã hoá PCM).
b. Dịch vụ của chuyển mạch kênh
Là dịch vụ trong đó mỗi đầu cuối được cấp phát một kênh riêng và nó toàn
quyền sử dụng tài nguyên của kênh này trong thời gian cuộc gọi, tuy nhiên phải trả
tiền cho toàn bộ thời gian này dù có truyền tin hay không. Dịch vụ chuyển mạch kênh
có thể được thực hiện trên chuyển mạch kênh (CS) hoặc chuyển mạch gói (PS). Thông
thường dịch vụ này được áp dụng cho các dịch vụ thời gian thực (như thoại).
1.3.1.2 Chuyển mạch gói
a. Chuyển mạch gói
Là sơ đồ chuyển mạch thực hiện phân chia số liệu của một kết nối thành các gói
có độ dài nhất định và được truyền đến nơi nhận theo thông tin gắn trên tiêu đề của
từng gói. Ở chuyển mạch gói (PS) tài nguyên mạng chỉ bị chiếm dụng khi có gói cần
truyền. Chuyển mạch gói cho phép nhóm tất cả các số liệu của nhiều kết nối khác nhau
phụ thuộc vào nội dung, kiểu hay cấu trúc số liệu thành các gói có kích thước phù hợp
và truyền chúng trên một kênh chia sẻ. Việc nhóm các số liệu cần truyền được thực
hiện bằng ghép kênh thống kê với ấn định tài nguyên động. Các công nghệ sử dụng
cho chuyển mạch gói có thể là Frame Relay, ATM hoặc IP.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 7
b. Các dịch vụ của chuyển mạch gói
Là dịch vụ trong đó nhiều đầu cuối cùng chia sẻ một kênh và mỗi đầu cuối chỉ
chiếm dụng tài nguyên của kênh này khi có thông tin cần truyền và nó chỉ phải trả tiền
theo lượng tin được truyền trên kênh. Dịch vụ chuyển mạch gói chỉ có thể được thực
hiện trên chuyển mạch gói (PS). Dịch vụ này rất phù hợp cho các dịch vụ phi thời gian
thực (như số liệu). Tuy nhiên, nhờ sự phát triển của công nghệ dịch vụ này cũng được
áp dụng cho các dịch vụ thời gian thực (như VoIP).
Chuyển mạch gói có thể thực hiện trên cơ sở ATM hoặc IP.
Phương thức truyền dẫn không đồng bộ (ATM): là công nghệ thực hiện phân
chia thông tin cần phát thành các tế bào 53 byte để truyền dẫn và chuyển mạch. Một tế
bào ATM gồm 5 byte tiêu đề (có chứa thông tin định tuyến) và 48 byte tải tin (chứa số
liệu của người sử dụng). Thiết bị chuyển mạch ATM cho phép chuyển mạch nhanh
trên cơ sở chuyển mạch phần cứng tham chuẩn theo thông tin định tuyến trong tiêu đề
mà không thực hiện phát hiện lỗi trong từng tế bào. Thông tin định tuyến trong tiêu đề
gồm: đường dẫn ảo (VP) và kênh ảo (VC). Điều khiển kết nối bằng VC (tương ứng với
kênh của người sử dụng) và VP (là một bó các VC) cho phép việc khai thác và quản lý
có khả năng mở rộng và có độ linh hoạt cao. Thông thường VP được thiết lập trên cơ
sở số liệu của hệ thống tại thời điểm xây dựng mạng. Việc sử dụng ATM trong mạng
lõi có nhiều ưu điểm: có thể quản lý lưu lượng kết hợp với RAN, cho phép thực hiện
các chức năng CS và PS trong cùng một kiến trúc và thực hiện khai thác cũng như điều
khiển chất lượng liên kết.
Chuyển mạch hay Router IP: cũng là một công nghệ thực hiện phân chia thông
tin phát thành các khối được gọi là tải tin (Payload). Sau đó mỗi khối được gán một
tiêu đề chứa các thông tin địa chỉ cần thiết cho chuyển mạch. Trong thông tin di động
do vị trí của đầu cuối di động thay đổi nên cần phải có thêm tiêu đề bổ sung để định
tuyến theo vị trí hiện thời của MS. Quá trình định tuyến này được gọi là truyền đường
hầm (Tunnel). Có hai cơ chế để thực hiện điều này: IP di động (MIP) và giao thức
đường hầm GPRS (GTP). Tunnel là một đường truyền mà tại đầu vào của nó gói IP
được đóng bao vào một tiêu đề mang địa chỉ nơi nhận (trong trường hợp này là địa chỉ
hiện thời của máy di động) và tại đầu ra gói IP được tháo bao bằng cách loại bỏ tiêu đề
bọc ngoài.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 8
Vì 3G UMTS được phát triển từ những năm 1999 khi mà ATM là công nghệ
chuyển mạch gói chủ đạo nên các tiêu chuẩn cũng được xây dựng trên công nghệ này.
Tuy nhiên hiện nay và tương lai mạng viễn thông sẽ được xây dựng trên cơ sở Internet.
Vì thế các chuyển mạch gói sẽ là chuyển mạch hoặc Router IP.
1.3.2 Các lưu lượng và dịch vụ được 3G UMTS hỗ trợ
Vì 3G UMTS cho phép truyền dẫn nhanh hơn, nên truy nhập Internet và các lưu
lượng thông tin số liệu khác sẽ phát triển nhanh. Ngoài ra 3G UMTS cũng được sử
dụng cho các dịch vụ tiếng. Nói chung 3G UMTS hỗ trợ các dịch vụ tryền thông đa
phương tiện. Vì thế mỗi kiểu lưu lượng cần đảm bảo một mức QoS nhất định tuỳ theo
ứng dụng của dịch vụ, được phân loại như sau:
+ Loại hội thoại (Conversational, rt): thông tin tương tác yêu cầu trễ nhỏ (ví dụ
như thoại);
+ Loại luồng (Streaming, rt): thông tin một chiều đòi hỏi dịch vụ luồng với trễ
nhỏ (ví dụ như phân phối truyền hình thời gian thực);
+ Loại tương tác (Interactive, nrt): đòi hỏi trả lời trong một thời gian nhất định và
tỷ lệ lỗi thấp (ví dụ trình duyệt Web, truy nhập Server);
+ Loại nền (Background, nrt): đòi hỏi các dịch vụ nỗ lực nhất được thực hiện trên
nền cơ sở (ví dụ E-mail, file tải xuống).
Môi trường hoạt động của 3G UMTS được chia thành bốn vùng với các tốc độ
bit (Rb) phục vụ như sau:
+ Vùng 1: trong nhà, ô pico, Rb £ 2Mb/s;
+ Vùng 2: thành phố, ô micro, Rb £ 384Kb/s;
+ Vùng 2: ngoại ô, ô macro, Rb £ 144Kb/s;
+ Vùng 4: Toàn cầu, Rb = 12,2Kb/s.
Có thể tổng kết các dịch vụ do 3G UMTS cung cấp ở bảng 1.1.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 9
Kiểu Phân loại Dịch vụ chi tiết
Dịch vụ di
động
Dịch vụ di động Di động đầu cuối/ di động cá nhân/ di động
dịch vụ
Dịch vụ thông tin
định vị
- Theo dõi di động/ theo dõi di động thông
minh
Dịch vụ âm thanh - Dịch vụ âm thanh chất lượng cao (16-64Kb/s)
- Dịch vụ truyền thanh AM (32-64Kb/s)
- Dịch vụ truyền thanh FM (64-384Kb/s)
Dịch vụ
viễn thông
Dịch vụ số liệu - Dịch vụ số liệu tốc độ trung bình (64-
144Kb/s)
- Dịch vụ số liệu tốc độ tương đối cao
(144Kb/s-2Mb/s)
- Dịch vụ số liệu tốc độ cao (³ 2Mb/s)
Dịch vụ đa
phương tiện
- Dịch vụ Video (384Kb/s)
- Dịch vụ hình chuyển động (384Kb/s-2Mb/s)
- Dịch vụ hình chuyển động thời gian thực
(³ 2Mb/s)
Dịch vụ Internet
đơn giản
Dịch vụ truy nhập Web (384Kb/s-2Mb/s)
Dịch vụ Internet
thời gian thực
Dịch vụ Internet (384Kb/s-2Mb/s)
Dịch vụ
Internet
Dịch vụ internet
đa phương tiện
Dịch vụ Website đa phương tiện thời gian thực
(³ 2Mb/s)
Bảng 1.1 Phân loại các dịch vụ ở 3G UMTS.
3G UMTS được xây dựng theo ba phát hành chính được gọi là R3, R4, R5.
Trong đó mạng lõi R3 và R4 bao gồm hai miền: miền chuyển mạch kênh (CS) và miền
chuyển mạch gói (PS). Việc kết hợp này phù hợp cho giai đoạn đầu khi PS chưa đáp
ứng tốt các dịch vụ thời gian thực như thoại và hình ảnh. Khi này miền CS sẽ đảm
nhiệm các dịch vụ thoại, còn số liệu được truyền trên miền PS. R4 phát triển hơn R3 ở
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 10
chỗ miền CS chuyển sang chuyển mạch mềm vì thế toàn bộ mạng truyền tải giữa các
nút chuyển mạch đều trên IP.
1.4 Kiến trúc 3G UMTS R3
3G UMTS hỗ trợ cả chuyển mạch kênh (CS) lẫn chuyển mạch gói (PS) (tốc độ
trong CS: 384Mb/s và 2M/ps trong PS). Với tốc độ như vậy có thể cung cấp thêm
nhiều dịch vụ mới giống như trong điện thoại cố định và Internet cho khách hàng. Các
dịch vụ này bao gồm: điện thoại có hình, âm thanh chất lượng cao và tốc độ truyền dữ
liệu cao tại đầu cuối. Một tính năng khác cũng được đưa ra cùng với 3G UMTS là
“luôn luôn kết nối đến Internet”, 3G UMTS cũng cung cấp vị trí tốt hơn và vì thế hỗ
trợ tốt hơn các dịch vụ dựa trên vị trí.
Cấu trúc bao gồm 3 phần:
Thiết bị người sử dụng (UE) bao gồm: thiết bị đầu cuối (TE), thiết bị di động
(ME), modul nhận dạng thuê bao UMTS (USIM);
Mạng truy nhập vô tuyến mặt đất UMTS (UTRAN) bao gồm: Bộ điều mạng vô
tuyến (RNC), nút B (các trạm gốc BTS);
Mạng lõi (CN) bao gồm: Miền chuyển mạch kênh (CS), miền chuyển mạch gói
(PS), môi trường nhà (HE).
Hình 1.2 Kiến trúc 3G UMTS R3.
1.4.1 Thiết bị người sử dụng
Thiết bị người sử dụng (UE) là đầu cuối mạng UMTS của người sử dụng. Có
thể nói đây là phần hệ thống có nhiều thiết bị nhất và sự phát triển của nó ảnh hưởng
lớn đến các ứng dụng và các dịch vụ khả dụng của công nghệ 3G. Giá thành của UE
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 11
giảm nhanh chóng sẽ tạo điều kiện cho người sử dụng mua thiết bị của 3G UMTS.
Điều này đạt được nhờ tiêu chuẩn hóa giao diện vô tuyến và cài đặt mọi trí tuệ tại thẻ
thông minh (USIM).
1.4.1.1 Các đầu cuối
Vì thiết bị đầu cuối bây giờ ngoài cung cấp các dịch vụ thoại còn cung cấp thêm
các dịch vụ số liệu mới, nên tên của nó được chuyển thành đầu cuối. Các nhà sản suất
đã đưa ra rất nhiều đầu cuối dựa trên các khái niệm mới, nhưng trên thực tế chỉ một số
ít là được đưa vào sản xuất. Mặc dù, các đầu cuối dự kiến khác nhau về kích thước và
thiết kế song tất cả chúng đều có màn hình lớn và ít phím hơn so với thiết bị 2G. Sở dĩ
như vậy là để hỗ trợ người sử dụng đầu cuối sử dụng thêm nhiều dịch vụ số liệu mới.
Vì thế đầu cuối trở thành một tổ hợp của điện thoại di động, modem và máy tính cầm
tay.
Đầu cuối hỗ trợ hai giao diện: giao diện Uu là liên kết vô tuyến giữa UE với
UTRAN (giao diện WCDMA). Nó đảm bảo toàn bộ kết nối vật lý với mạng UMTS;
giao diện thứ hai là giao diện Cu giữa USIM với đầu cuối. Giao diện này tuân theo tiêu
chuẩn cho các thẻ thông minh.
Mặc dù các nhà sản xuất có rất nhiều ý tưởng về thiết bị song họ vẫn phải tuân
theo một tập tối thiểu các định nghĩa tiêu chuẩn, để các khách hàng sử dụng các đầu
cuối khác nhau có thể truy nhập đến một số các chức năng cơ sở bằng cùng một cách.
Các tiêu chuẩn này bao gồm:
+ Bàn phím (phím vật lý hoặc phím ảo);
+ Đăng ký mật khẩu mới;
+ Thay đổi mã PIN;
+ Giải chặn PIN/PIN2;
+ Trình bày IMEI;
+ Điều khiển cuộc gọi.
Các phần còn lại của giao diện sẽ dành riêng cho nhà sản xuất và người sử dụng
để có thể chọn cho mình đầu cuối dựa trên hai tiêu chuẩn là thiết kế và giao diện. Giao
diện là sự kết hợp của kích cỡ và thông tin do màn hình cung cấp (màn hình nút
chạm), các phím và menu.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 12
1.4.1.2 UICC (UMTS IC Card)
UMTS IC Card là một thẻ thông minh. Điều mà ta quan tâm đến nó là dung
lượng nhớ và tốc độ bộ xử lý do nó cung cấp, ứng dụng USIM chạy trên UICC.
1.4.1.3 USIM
Trong GSM, SIM Card lưu trữ thông tin cá nhân (đăng ký thuê bao). Điều này
được thay đổi trong 3G UMTS, USIM được cài như một ứng dụng trên UICC. Điều
này cho phép lưu nhiều ứng dụng và nhiều chữ ký điện tử (khóa) hơn, phục vụ cho
nhiều mục đích khác (ví dụ như mã truy nhập giao dịch ngân hàng an ninh). Ngoài ra
có thể dùng nhiều USIM trên cùng 1 UICC để có thể truy nhập tới nhiều mạng khác
nhau.
USIM chứa các hàm và số liệu cần thiết để nhận dạng và nhận thực thuê bao
cho mạng UMTS. Nó có thể lưu cả bản sao hồ sơ của thuê bao.
Người sử dụng phải tự mình nhận thực đối với USIM bằng cách nhập mã PIN.
Điều này đảm bảo chỉ người sử dụng đích thực mới có thể truy nhập được vào mạng
UMTS. Mạng chỉ cung cấp các dịch vụ cho người sử dụng nào sử dụng đầu cuối với
USIM được đăng ký.
1.4.2 Mạng truy nhập vô tuyến mặt đất UMTS
Mạng truy nhập vô tuyến mặt đất UMTS (UTRAN) là liên kết giữa người sử
dụng và mạng lõi (CN). Nó bao gồm các phần tử để đảm bảo và điều khiển các cuộc
truyền thông trong mạng UMTS.
UTRAN được định nghĩa giữa hai giao diện: giao diện Iu giữa UTRAN và CN,
giao diện này gồm hai phần IuPS cho miền chuyển mạch gói và IuCS cho miền chuyển
mạch kênh; giao diện Uu giữa UTRAN với UE. Giữa hai giao diện này là các nút B và
các bộ điều khiển mạng vô tuyến (RNC).
1.4.2.1 RNC
RNC chịu trách nhiệm quản lý và điều khiển tài nguyên của các trạm gốc BTS
(nút B). Đây cũng chính là điểm truy nhập dịch vụ mà UTRAN cung cấp cho mạng lõi
CN. Nó được nối đến CN bằng hai kết nối, một cho miền PS đến SGSN và một cho
miền CS đến MSC.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 13
Một nhiệm vụ tương đối quan trọng của RNC là bảo vệ sự bí mật và toàn vẹn
thông tin. Sau khi thủ tục nhận thực và thỏa thuận khóa (AKA) hoàn tất các khóa bí
mật và toàn vẹn được lưu tại RNC. Sau đó, các khóa này được sử dụng bởi các hàm an
ninh f8 và f9.
RNC có nhiều chức năng logic tùy thuộc vào việc nó phục vụ nút nào, người sử
dụng được kết nối vào một RNC phục vụ (SRNC). Khi người này chuyển đến một
RNC khác nhưng vẫn kết nối với RNC cũ, một RNC trôi (DRNC) sẽ cung cấp tài
nguyên vô tuyến cho người sử dụng này. Nhưng SRNC vẫn quản lý kết nối của người
sử dụng này đến CN. Chức năng cuối cùng của RNC là RNC điều khiển (CRNC). Mỗi
nút B có một CRNC chịu trách nhiệm quản lý tài nguyên vô tuyến cho nó.
1.4.2.2 Nút B
Giống như trong GSM, nút B (các BTS) có nhiệm vụ thực hiện kết nối vô tuyến
vật lý giữa đầu cuối với nó. Nó nhận tín hiệu giao diện Iub từ RNC và chuyển vào tín
hiệu vô tuyến trên giao diện Uu. Nó cũng thực hiện một số thao tác quản lý tài nguyên
vô tuyến cơ sở như: điều khiển công suất vòng trong. Tính năng này để phòng ngừa
vấn đề gần xa. Nghĩa là nếu tất cả các đầu cuối đều phát cùng một công suất, thì các
đầu cuối gần nút B nhất sẽ che lấp tín hiệu từ các đầu cuối ở xa. Nút B kiểm tra công
suất thu được từ các đầu cuối khác nhau và thông báo cho chúng tăng hoặc giảm công
suất, sao cho nút B luôn thu được công suất như nhau từ tất cả các đầu cuối.
1.4.3 Mạng lõi
Mạng lõi (CN) chia làm ba phần: miền PS, CS và HE. Miền PS đảm bảo các
dịch vụ số liệu cho người sử dụng bằng các kết nối đến mạng Internet và các mạng số
liệu khác bằng công nghệ IP. Miền CS đảm bảo các dịch vụ điện thoại đến các mạng
khác bằng các kết nối TDM. Các nút B được kết nối với nhau bằng đường trục của nhà
khai thác, thường sử dụng ATM hoặc IP.
1.4.3.1 SGSN
Nút hỗ trợ GPRS phục vụ (SGSN) là nút mạng chính của miền PS, nó kết nối
đến UTRAN thông qua giao diện IuPS và đến GGSN thông qua giao diện Gn. SGSN
chịu trách nhiệm cho tất cả kết nối PS của tất cả các thuê bao. Nó lưu trữ hai kiểu dữ
liệu thuê bao: thông tin đăng ký thuê bao và thông tin vị trí thuê bao.
Số liệu thuê bao lưu trong SGSN gồm:
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 14
+ Số nhận dạng thuê bao quốc tế (IMSI);
+ Số nhận dạng thuê bao tạm thời gói (P-TMSI);
+ Địa chỉ giao thức số liệu gói (PDP).
Số liệu vị trí thuê bao lưu trong SGSN gồm:
+ Vùng định vị thuê bao (RA);
+ Số VLR;
+ Địa chỉ GGSN của từng GGSN có kết nối tích cực.
1.4.3.2 GGSN
Nút hỗ trợ GPRS cổng (GGSN) là một SGSN cổng có nhiệm vụ kết nối với các
mạng số liệu khác. Tất cả các cuộc truyền thông số liệu từ thuê bao đến các mạng
ngoài đều qua GGSN. Cũng giống như SGSN, nó lưu hai kiểu số liệu: thông tin đăng
ký thuê bao và thông tin vị trí thuê bao. GGSN nối đến Internet thông qua giao diện Gi
và đến các cổng biên giới (BG) thông qua giao diện Gp.
Số liệu thuê bao lưu trong GGSN gồm: IMSI; Địa chỉ PDP.
Số liệu vị trí lưu trong GGSN gồm: địa chỉ SGSN hiện thuê bao đang nối đến.
1.4.3.3 BG
Cổng biên giới (BG) là cổng giữa miền PS của mạng UMTS với các mạng
PLMN khác. Chức năng chính của nút này giống như tường lửa của Internet, để đảm
bảo mạng an ninh chống lại các tấn công bên ngoài.
1.4.3.4 VLR
Thanh ghi định vị tạm thời (VLR) là bản sao của HLR cho mạng phục vụ SN.
Dữ liệu thuê bao cần thiết để cung cấp các dịch vụ thuê bao được sao chép từ HLR và
lưu tại đây, cả MSC và SGSN đều có VLR nối với chúng.
Số liệu được lưu trong VLR gồm: IMSI; MSISDN; TMSI (nếu có); LA hiện
thời của thuê bao; MSC/SGSN hiện thời mà thuê bao nối đến.
Ngoài các số liệu nêu trên VLR còn lưu giữ thông tin về các dịch vụ mà thuê
bao được cung cấp. Cả SGSN và MSC đều được thực hiện trên cùng một nút vật lý với
VLR. Vì thế gọi là VLR/SGSN hay VLR/MSC.
1.4.3.5 MSC
Trung tâm chuyển mạch các dịch vụ di động (MSC) thực hiện kết nối CS giữa
đầu cuối với mạng. Nó thực hiện các chức năng báo hiệu và chuyển mạch cho các thuê
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 15
bao trong vùng quản lý của mình. Chức năng của MSC trong UMTS cũng giống như
trong GSM. Song nó có nhiều khả năng hơn, các kết nối CS được thực hiện trên giao
diện IuCS giữa UTRAN và MSC. Các MSC được nối với mạng ngoài được gọi là
GMSC.
1.4.3.6 GMSC
MSC cổng (GMSC) có thể là một trong số các MSC. GMSC thực hiện các chức
năng định tuyến đến vùng có MS. Khi mạng ngoài tìm cách kết nối đến UMTS,
GMSC nhận yêu cầu thiết lập kết nối và hỏi VLR về MSC hiện thời đang quản lý MS.
1.4.3.7 HE
Môi trường nhà (HE) lưu các hồ sơ thuê bao của các hãng khai thác. Nó cũng
cung cấp cho các mạng phục vụ (SN) các thông tin về thuê bao, cước để nhận thực
người sử dụng và tính cước các dịch vụ mà người sử dụng đó sử dụng.
a. Thanh ghi định vị thường trú (HLR)
HLR là cơ sở dữ liệu có nhiệm vụ quản lý các thuê bao di động, một mạng di
động có thể chứa nhiều HLR tùy thuộc vào số lượng thuê bao, dung lượng của tường
HLR và tổ chức bên trong mạng.
Cơ sở dữ liệu này chức IMSI, ít nhất một MSISDN (số thuê bao có trong danh
bạ điện thoại) và ít nhất một địa chỉ PDP. Cả IMSI và MSISDN có thể sử dụng làm
khóa để truy nhập đến các thông tin được lưu khác. Để định tuyến và tính cước cuộc
gọi, HLR còn lưu giữ thông tin về SGSN và VLR nào hiện đang quản lý thuê bao. Các
dịch vụ khác như chuyển hướng cuộc gọi, tốc độ số liệu và thư thoại cũng có trong
danh sách cùng với các hạn chế về dịch vụ hay hạn chế về chuyển mạng.
HLR và AuC là hai nút mạng logic, nhưng thường được thực hiện trong cùng
một nút vật lý. HLR lưu giữ mọi thông tin về người sử dụng và đăng ký thuê bao như
thông tin tính cước, các dịch vụ nào được cung cấp và các dịch vụ nào bị từ chối,
thông tin chuyển hướng cuộc gọi. Nhưng thông tin quan trọng nhất là hiện VLR và
SGSN nào đang quản lý thuê bao.
b. Trung tâm nhận thực AuC
AuC lưu giữ toàn bộ số liệu cần thiết để nhận thực, mật mã hóa và bảo vệ toàn
vẹn thông tin cho người sử dụng. Nó liên kết với HLR và được thực hiện cùng với
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 16
HLR trong cùng một nút vật lý. Tuy nhiên, cần đảm bảo rằng AuC chỉ cung cấp thông
tin về các vec-tơ nhận thực (AV) cho HLR.
AuC lưu giữ khóa chủ K cho từng thuê bao cùng với tất cả các hàm tạo khóa từ
f0 đến f5. Nó tạo ra các AV cả trong thời gian thực khi SGSN/VLR yêu cầu hay khi tải
xử lý thấp, lẫn các AV dự trữ.
c. Thanh ghi nhận dạng thiết bị EIR
EIR chịu trách nhiệm lưu các số nhận dạng thiết bị di động quốc tế (IMEI), đây
là số nhận dạng duy nhất cho thiết bị đầu cuối. Cơ sở dữ liệu được chia làm ba danh
mục: danh mục trắng, xám và đen. Danh mục trắng chứa các IMEI được phép truy
nhập mạng. Danh mục xám chứa các IMEI của các đầu cuối đang bị theo dõi, còn
danh mục đen chứa các IMEI của các đầu cuối bị cấm truy nhập mạng. Khi một đầu
cuối được thông báo bị mất cắp, IMEI của nó sẽ bị liệt vào danh mục đen. Vì thế nó bị
cấm truy nhập mạng. Danh mục này cũng có thể được dùng để cấm các seri máy đặc
biệt không được truy nhập mạng khi chúng không hoạt động theo tiêu chuẩn.
1.4.4 Các mạng ngoài
Các mạng ngoài không phải là bộ phận của UMTS nhưng chúng cần thiết để
đảm bảo truyền thông giữa các nhà khai thác. Các mạng ngoài có thể là các mạng điện
thoại như PSTN, ISDN, PLMN khác hoặc Internet……
1.4.5 Các giao diện
Vai trò của các nút khác nhau của mạng chỉ được định nghĩa thông qua các giao
diện khác nhau. Các giao diện này được định nghĩa chặt chẽ để các nhà sản xuất có thể
kết nối các phần cứng khác nhau của họ.
1.4.5.1 Giao diện Cu
Giao diện Cu là giao diện chuẩn cho các thẻ thông minh. Trong UE đây là nơi
kết nối giữa USIM và UE.
1.4.5.2 Giao diện Uu
Giao diện Uu là giao diện vô tuyến của WCDMA trong UMTS. Đây là giao
diện mà qua đó UE truy nhập vào phần cố định của mạng. Giao diện này nằm giữa nút
B và đầu cuối.
1.4.5.3 Giao diện Iu
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 17
Giao diện Iu kết nối UTRAN và CN. Nó gồm hai phần, IuPS cho miền chuyển
mạch gói, IuCS cho miền chuyển mạch kênh. CN có thể kết nối đến nhiều UTRAN cho
cả giao diện IuCS và IuPS. Nhưng một UTRAN chỉ có thể kết nối đến một điểm truy
nhập CN.
1.4.5.4 Giao diện Iur
Đây là giao diện giữa các RNC. Ban đầu được thiết kế để đảm bảo chuyển giao
mềm giữa các RNC, nhưng trong quá trình phát triển nhiều tính năng mới được bổ
sung. Giao diện này đảm bảo bốn tính năng nổi bật sau:
+ Di động giữa các RNC;
+ Lưu thông kênh riêng;
+ Lưu thông kênh chung;
+ Quản lý tài nguyên toàn cục.
1.4.5.5 Giao diện Iub
Giao diện Iub nối nút B và RNC. Khác với GSM đây là giao diện mở.
1.5 Kiến trúc 3G UMTS R4
Sự khác nhau cơ bản giữa R3 và R4 là ở mạng lõi (CN). Tại đây chuyển mạch
phân tán và chuyển mạch mềm được đưa vào để thay thế cho các MSC truyền thống.
Về cơ bản MSC được chia thành các MSC Server và các cổng phương tiện
(MGW). MSC Server chứa tất cả các phần mềm điều khiển cuộc gọi và quản lý di
động ở một MSC tiêu chuẩn, tuy nhiên nó không chứa ma trận chuyển mạch. Ma trận
chuyển mạch lại được nằm trong MGW và được MSC Server điều khiển, có thể đặt ở
xa MSC Server.
Báo hiệu điều khiển các cuộc gọi chuyển mạch kênh được thực hiện giữa các
RNC và MSC Server. Còn đường truyền cho các cuộc gọi chuyển mạch kênh được
thực hiện giữa các RNC và MGW. Thông thường MGW nhận các cuộc gọi từ RNC và
định tuyến các cuộc gọi này đến nơi nhận, trên các đường trục gói. Trong nhiều trường
hợp đường trục gói sử dụng giao thức truyền tải thời gian thực (RTP) trên giao thức
IP. Từ hình 1.3 ta thấy lưu lượng số liệu gói từ RNC đi qua SGSN và tới GGSN trên
mạng đường trục IP. Như vậy, cả số liệu và tiếng đều có thể sử dụng truyền tải IP bên
trong mạng lõi. Đây là mạng truyền tải hoàn toàn IP.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 18
HSS/
HLR
Sniff er Serv er
m onit or ing/ anal ysis
Sniffe r Se rve r
m oni to ri ng/ analy sis
SS7
PSTNSniff er Serve rm onit or ing/ anal ysis Sniff er Se rve rmo nit or ing/ anal ysis
Internet
Iub
PCM
RNC
GGSNSGSN
RNC
Iub
Iur
Gi
(IP)
GMSC Server
IP
H248/IP
RTP/IP
MGW
Nót B
Nót B
SS7 GW
MSC Server
H248/IP
Gn
(GTP/IP)Iu-ps
SS7 GW
Iu-cs (§iÒu
khiÓn)
Iu-cs
(VËt mang)
MGW
Hình 1.3 Kiến trúc 3G UMTS R4.
Tại nơi mà một cuộc gọi truyền đến một mạng khác (ví dụ như PSTN) sẽ có
một cổng các phương tiện MGW được điều khiển bởi MSC Server cổng (GMSC
Server). MGW này sẽ chuyển tiếng thoại, được đóng gói thành PCM tiêu chuẩn để đưa
đến PSTN. Vì thế, chuyển đổi mã chỉ cần thực hiện tại điểm này. Ví dụ ta giả thiết
rằng nếu tiếng ở giao diện vô tuyến được truyền tại tốc độ 12,2K/ps thì tốc độ này chỉ
phải chuyển thành 64Kb/s ở MGW giao diện với PSTN. Truyền tải kiểu này cho phép
tiết kiệm đáng kể độ rộng băng tần, nhất là khi MGW đặt cách xa nhau.
Giao thức điều khiển giữa MSC Server hoặc GMSC Server với MGW là giao
thức H.248. Giao thức này do ITU và IETF cộng tác phát triển. Nó có tên là
MEGACO (điều khiển cổng các phương tiện). Giao thức giữa MSC Server với GMSC
Server có thể là một giao thức bất kỳ. 3GPP đề nghị sử dụng (không bắt buộc) giao
thức điều khiển cuộc gọi độc lập kênh mang (BICC).
Trong nhiều trường hợp MSC Server hỗ trợ các chức năng của GMSC Server.
Ngoài ra, MGW còn có khả năng giao diện với RAN và PSTN. Khi đó cuộc gọi đến
hoặc từ PSTN có thể chuyển thành nội hạt. Nhờ vậy có thể tiết kiệm đáng kể đầu tư.
Để làm ví dụ ta xét trường hợp khi một RNC được đặt tại thành phố A và được
điều khiển bởi một MSC đặt tại thành phố B. Giả sử thuê bao thành phố A thực hiện
cuộc gọi nội hạt. Nếu không có cấu trúc phân bố, cuộc gọi cần chuyển từ thành phố A
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 19
đến thành phố B (nơi có MSC) để đấu nối với thuê bao PSTN tại chính thành phố A.
Với cấu trúc phân bố, cuộc gọi có thể được điều khiển tại MSC Server ở thành phố B
nhưng đường truyền các phương tiện thực tế có thể vẫn ở thành phố A, nhờ vậy giảm
đáng kể yêu cầu truyền dẫn và giá thành khai thác mạng.
HLR ở đây có thể được gọi là Server thuê bao tại nhà (HSS). HSS và HLR có
chức năng tương đương nhau, ngoại trừ giao diện với HSS là giao diện trên cơ sở
truyền tải gói (ví dụ như IP). Trong khi HLR sử dụng giao diện SS7 dựa trên cơ sở báo
hiệu số 7. Ngoài ra còn có các giao diện (không có trên hình vẽ) giữa SGSN với
HLR/HSS và giữa GGSN với HLR/HSS.
Rất nhiều giao diện được sử dụng bên trong mạng lõi là các giao thức trên cơ sở
gói sử dụng IP hoặc ATM. Tuy nhiên, mạng phải giao diện với các mạng truyền thống
qua việc sử dụng các cổng phương tiện MGW. Ngoài ra mạng cũng phải giao diện với
các mạng SS7 tiêu chuẩn. Giao diện này được thực hiện thông qua SS7GW. Đây là
cổng mà ở một phía nó hỗ trợ truyền tải bản tin SS7 trên đường truyền tải SS7 tiêu
chuẩn, ở phía kia nó truyền tải các bản tin ứng dụng SS7 trên mạng gói (IP chẳng hạn).
Các thực thể như MSC Server, GMSC Server và HSS liên lạc với cổng SS7 (SS7GW)
bằng cách sử dụng các giao thức truyền tải được thiết kế đặc biệt mang các bản tin SS7
ở mạng IP. Bộ giao thức này được gọi là Sigtran.
1.6 Kiến trúc 3G UMTS R5
Bước phát triển tiếp theo của 3G UMTS là đưa ra kiến trúc mạng đa phương
tiện IP (hình 1.4) trong R5. Bước phát triển này thể hiện sự thay đổi toàn bộ mô hình
cuộc gọi. Ở đây cả tiếng và số liệu đều được xử lý giống nhau trên toàn bộ đường
truyền từ đầu cuối của người sử dụng đến nơi nhận cuối cùng. Có thể nói kiến trúc này
là sự hội tụ toàn diện cả tiếng và số liệu.
Từ hình vẽ ta thấy, tiếng và số liệu không cần các giao diện cách biệt chỉ có một
giao diện Iu duy nhất mang tất cả các phương tiện. Trong mạng lõi giao diện này kết
cuối tại SGSN và không có MGW riêng.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 20
SS7
HSS/
HLR
Snif fe r S er ve r
m oni tor i ng/ ana lysi s
Sn iff er Se rv e r
m on it or in g/a nal ysis
SS7
PSTN
Sn iffe r Se rv er
m oni t or ing /an aly sis
S nif fe r S er ve r
mo ni tor i ng/ ana lysi s
Internet
Iub
Gr
PCM
RNC
GGSNSGSN
RNC
Iub
Iur
Gn Gi
Gi
MRF
T-SGW
Mc
Mg
Mr
Gi
Cx
CSCF R-SGW
CSCF MGCF
MGW
Node B
Node B
Cx
Iu
Hình 1.4 Kiến trúc mạng đa phương tiện 3G UMTS R5.
Ta cũng thấy có một số phần tử mạng mới như: chức năng điều khiển trạng thái
kết nối (CSCF); chức năng tài nguyên đa phương tiện (MRF); chức năng cổng các
phương tiện (MGCF); cổng báo hiệu truyền tải (TSGW) và cổng báo hiệu chuyển
mạng (RSGW).
Một nét quan trọng của kiến trúc toàn vẹn IP là thiết bị người sử dụng được
tăng cường rất nhiều, nhiều phần mềm được cài đặt ở UE. Trong thực tế, UE hỗ trợ
giao thức khởi tạo phiên (SIP). UE trở thành một tác nhân của người sử dụng SIP. Như
vậy UE có khả năng điều khiển các dịch vụ lớn hơn trước rất nhiều.
Chức năng điều khiển trạng thái kết nối (CSCF) quản lý việc thiết lập duy trì và
giải phóng các phiên đa phương tiện đến và đi từ người sử dụng. Nó bao gồm các chức
năng như phiên dịch và định tuyến. CSCF hoạt động như một Server đại diện.
SGSN và GGSN là phiên bản tăng cường của các nút được sử dụng ở GPRS và
3G UMTS R3 và R4. Điểm khác nhau duy nhất là ở chỗ các nút này không chỉ hỗ trợ
dịch vụ số liệu gói mà cả dịch vụ chuyển mạch kênh (ví dụ như tiếng thoại). Vì thế cần
hỗ trợ các khả năng chất lượng dịch vụ (QoS) hoặc bên trong SGSN và GGSN, hoặc ít
nhất là ở các Router kết nối trực tiếp với chúng.
Đồ án tốt nghiệp đại học Chương 1: Tổng quan về 3G UMTS
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 21
Chức năng tài nguyên đa phương tiện (MRF) là chức năng lập cầu hội nghị,
được sử dụng để hỗ trợ các tính năng như tổ chức cuộc gọi nhiều phía và dịch vụ hội
nghị.
Cổng báo hiệu truyền tải (TSGW) là một cổng báo hiệu SS7 để đảm bảo tương
tác SS7 với các mạng tiêu chuẩn ngoài như PTSN. TSGW hỗ trợ các giao thức Sigtran.
Cổng báo hiệu chuyển mạng (RSGW) là một nút đảm bảo tương tác báo hiệu
với các mạng di động hiện có sử dụng SS7 tiêu chuẩn. Trong nhiều trường hợp TSGW
và RSGW cùng tồn tại trên một nền tảng.
MGW thực hiện tương tác với các mạng ngoài ở mức đường truyền đa phương
tiện. MGW ở kiến trúc R5 có chức năng giống như ở R4, MGW được điều khiển bởi
chức năng điều khiển cổng các phương tiện (MGCF). Giao thức điều khiển giữa các
thực thể là H.248.
MGCF liên lạc với CSCF thông qua giao diện SIP.
Cần lưu ý rằng phát hành cấu trúc toàn IP ở R5 là một tăng cường của kiến trúc
R3 và R4. Nó đưa thêm vào một vùng mới trong mạng, đó là vùng đa phương tiện IP
(IMS). Vùng mới này cho phép mang cả tiếng và số liệu trên IP, trên toàn tuyến nối
đến máy cầm tay. Vùng này sử dụng miền chuyển mạch gói PS cho mục đích truyền
tải sử dụng SGSN, GGSN, Gn, Gi là các nút và giao diện thuộc vùng PS.
1.7 Kết luận
Trong chương này chúng ta đã đi tìm hiểu một cách chung nhất về lịch sử phát
triển của hệ thống thông tin di động thế giới; các đặc tính đặc trưng, các loại hình dịch
vụ và lưu lượng mà hệ thống 3G UMTS hỗ trợ. Đặc biệt ở cuối chương chúng ta đã đi
tìm hiểu lần lượt kiến trúc của ba phiên bản của 3G UMTS (R3; R4; R5). Qua đó giúp
ta có cái nhìn tổng quan về hệ thống 3G UMTS. Từ đó làm cơ sở để đi sâu nghiên cứu
các chương tiếp theo, đặc biệt là chương chính của quyển đồ án (chương 3).
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 22
CHƯƠNG II: AN NINH TRONG THÔNG TIN DI ĐỘNG
2.1 Tạo lập môi trường an ninh
An ninh đầu cuối là sự đảm bảo cho truyền dẫn số liệu được an toàn, nguyên
vẹn trên toàn bộ đường truyền từ đầu phát đến đầu thu. Để đảm bảo được điều này, ta
cần xét đến toàn bộ môi trường truyền thông. Nó bao gồm truy nhập mạng; các phần
tử trung gian và các ứng dụng máy khách. Có năm mục tiêu quan trọng và liên quan
đến việc tạo lập môi trường an ninh:
2.1.1 Nhận thực
Nhận thực là quá trình kiểm tra tính hợp lệ của các đối tượng tham gia thông tin
trong các mạng không dây. Quá trình này được thực hiện tại hai lớp: lớp mạng và lớp
ứng dụng. Lớp mạng đòi hỏi người sử dụng phải được nhận thực, trước khi được phép
truy nhập. Lớp ứng dụng nhận thực quan trọng tại hai mức máy khách (Client) và máy
chủ (Server). Để được truy nhập mạng Client phải chứng tỏ với Server rằng bản tin
của nó phải hợp lệ. Đồng thời trước khi Client cho phép một Server nối đến nó, Server
phải tự mình nhận thực với ứng dụng Client. Cách nhận thực đơn giản nhất kém an
toàn là sử dụng Username và Password. Một số phương pháp tiên tiến hơn là sử dụng
chứng nhận số (chữ ký điện tử).
2.1.2 Toàn vẹn số liệu
Toàn vẹn số liệu là sự đảm bảo số liệu truyền thông không bị thay đổi hay phá
hoại trong quá trình truyền từ nơi phát đến nơi thu. Bằng cách áp dụng một giải thuật
cho bản tin, một mã nhận thực bản tin (MAC) được cài vào bản tin được gửi đi. Khi
phía thu nhận được bản tin này, nó tính toán MAC và so sánh với MAC cài trong bản
tin. Nếu chúng giống nhau thì chứng tỏ bản tin gốc không bị thay đổi, nếu nó khác
nhau thì phía thu sẽ loại bỏ bản tin này.
2.1.3 Bảo mật
Bảo mật là một khía cạnh rất quan trọng của an ninh và vì thế thường được nói
đến nhiều nhất. Mục đích của nó là để đảm bảo tính riêng tư của số liệu chống lại sự
nghe, đọc trộm số liệu từ những người không được phép. Cách phổ biến nhất được sử
dụng là mật mã hóa số liệu. Quá trình này bao gồm mã hóa bản tin vào dạng không
đọc được đối với bất kỳ máy thu nào, ngoại trừ máy thu chủ định.
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 23
2.1.4 Trao quyền
Trao quyền là quá trình quy định mức độ truy nhập của người sử dụng, người
sử dụng được quyền thực hiện một số hành động. Trao quyền thường liên hệ mật thiết
với nhận thực. Một khi người sử dụng đã được nhận thực, hệ thống có thể quyết định
người sử dụng được làm gì. Danh sách điều khiển truy nhập ACL thường được sử
dụng cho quá trình này. Ví dụ, một người sử dụng chỉ có thể truy nhập để đọc một tập
tin số liệu. Trong khi đó nhà quản lý hoặc một nguồn tin cậy khác có thể truy nhập để
viết, sửa chữa tập tin số liệu đó.
2.1.5 Cấm từ chối
Cấm từ chối là biện pháp buộc các phía phải chịu trách nhiệm về giao dịch mà
chúng đã tham gia, không được phép từ chối tham gia giao dịch. Điều này có nghĩa là
cả bên phát và bên thu đều có thể chứng minh rằng phía phát đã phát bản tin, phía thu
đã thu được bản tin tương tự. Để thực hiện quá trình này, mỗi giao dịch phải được ký
bằng một chữ ký điện tử và được phía thứ ba tin cậy kiểm tra và đánh dấu thời gian.
2.2 Các đe dọa an ninh
Muốn đưa ra các giải pháp an ninh, trước hết ta cần nhận biết các đe dọa tiềm
ẩn có nguy hại đến an ninh của hệ thống thông tin. Sau đây là các đe dọa an ninh
thường gặp trong mạng.
2.2.1 Đóng giả
Là ý định của kẻ truy nhập trái phép vào một ứng dụng hoặc một hệ thống bằng
cách đóng giả người khác. Nếu kẻ đóng giả truy nhập thành công, họ có thể tạo ra các
câu trả lời giả dối với các bản tin để đạt được hiểu biết sâu hơn và truy nhập vào các
bộ phận khác của hệ thống. Đóng giả là vấn đề chính đối với an ninh Internet và vô
tuyến Internet, kẻ đóng giả có thể làm cho các người sử dụng chính thống tin rằng
mình đang thông tin với một nguồn tin cậy. Điều này vô cùng nguy hiểm, vì thế người
sử dụng này có thể cung cấp thông tin bổ sung có lợi cho kẻ tấn công để chúng có thể
truy nhập thành công đến các bộ phận khác của hệ thống.
2.2.2 Giám sát
Mục đích của giám sát là theo dõi, giám sát dòng số liệu trên mạng. Trong khi
giám sát có thể được sử dụng cho các mục đích đúng đắn, thì nó lại thường được sử
dụng để sao chép trái phép số liệu mạng. Thực chất giám sát là nghe trộm điện tử,
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 24
bằng cách này kẻ không được phép truy nhập có thể lấy được các thông tin nhậy cảm
gây hại cho người sử dụng, các ứng dụng và các hệ thống. Giám sát thường được sử
dụng kết hợp với đóng giả. Giám sát rất nguy hiểm vì nó dễ thực hiện nhưng khó phát
hiện. Để chống lại các công cụ giám sát tinh vi, mật mã hóa số liệu là phương pháp
hữu hiệu nhất. Dù kẻ sử dụng trái phép có truy nhập thành công vào số liệu đã được
mật mã nhưng cũng không thể giải mật mã được số liệu này. Vì vậy, ta cần đảm bảo
rằng giao thức mật mã được sử dụng hầu như không thể bị phá vỡ.
2.2.3 Làm giả
Làm giả số liệu hay còn gọi là đe dọa tính toàn vẹn liên quan đến việc thay đổi
số liệu so với dạng ban đầu với ý đồ xấu. Quá trình này liên quan đến cả chặn truyền
số liệu lẫn các số liệu được lưu trên các Server hay Client. Số liệu bị làm giả (thay đổi)
sau đó được truyền đi như bản gốc. Áp dụng mật mã hóa, nhận thực và trao quyền là
các cách hữu hiệu để chống lại sự làm giả số liệu.
2.2.4 Ăn cắp
Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin di động. Ta không chỉ
mất thiết bị mà còn mất cả các thông tin bí mật lưu trong đó. Điều này đặc biệt nghiêm
trọng đối với các Client thông minh, vì chúng thường chứa số liệu không đổi và bí
mật. Vì thế, ta cần tuân thủ theo các quy tắc sau để đảm bảo an ninh đối với các thiết
bị di động:
+ Khóa thiết bị bằng Username và Password để chống truy nhập dễ dàng;
+ Yêu cầu nhận thực khi truy nhập đến các ứng dụng lưu trong thiết bị;
+ Tuyệt đối không lưu mật khẩu trên thiết bị;
+ Mật mã tất cả các phương tiện lưu số liệu cố định;
+ Áp dụng các chính sách an ninh đối với những người sử dụng di dộng.
Nhận thực, mật mã và các chính sách an ninh là các biện pháp để ngăn chặn
việc truy nhập trái phép số liệu từ các thiết bị di động bị mất hoặc bị lấy cắp.
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 25
2.3 Các công nghệ an ninh
2.3.1 Công nghệ mật mã
Mục đích chính của mật mã là đảm bảo thông tin giữa hai đối tượng trên kênh
thông tin không an ninh, để đối tượng thứ ba không thể hiểu được thông tin được
truyền là gì. Thoạt nhìn có vẻ mật mã là khái niệm đơn giản, nhưng thực chất nó rất
phức tạp, nhất là với các mạng di động băng rộng như 3G UMTS.
2.3.1.1 Các giải pháp và giao thức
Công nghệ mật mã hoạt động trên nhiều mức, mức thấp nhất là các giải thuật
mật mã. Các giải thuật mật mã trình bày các bước cần thiết để thực hiện một tính toán,
thường là chuyển đổi số liệu từ một khuôn dạng này vào khuôn dạng khác.
Giao thức lại được xây dựng trên giải thuật này, giao thức mô tả toàn bộ quá
trình thực hiện các hoạt động của công nghệ mật mã.
Một giải thuật mật mã tuyệt hảo không nhất thiết được coi là giao thức mạnh.
Giao thức chịu trách nhiệm cho cả mật mã số liệu lẫn truyền số liệu và trao đổi khóa.
Đỉnh của giao thức là ứng dụng, một giao thức mạnh chưa thể đảm bảo an ninh
vững chắc. Vì bản thân ứng dụng có thể dẫn đến vấn đề khác, vì thế để tạo ra một giải
pháp an ninh cần một giao thức mạnh cũng như thực hiện ứng dụng bền chắc.
2.3.1.2 Mật mã hóa số liệu
Nền tảng của mọi hệ thống mật mã là mật mã hóa. Quá trình này được thực
hiện như sau: tập số liệu thông thường (văn bản thô) được biến đổi về dạng không thể
đọc được (văn bản đã mật mã). Mật mã cho phép ta đảm bảo tính riêng tư của số liệu
nhạy cảm, ngay cả khi những kẻ không được phép truy nhập thành công vào mạng.
Cách duy nhất có thể đọc được số liệu là giải mật mã.
Các giải thuật hiện đại sử dụng các khóa để điều khiển mật mã và giải mật mã
số liệu. Một khi bản tin đã được mật mã, người sử dụng tại đầu thu có thể dùng mã
tương ứng để giải mật mã, các giải thuật sử dụng khóa mật mã gồm hai loại: đối xứng
và bất đối xứng.
2.3.2 Các giải thuật đối xứng
Các giải thuật đối xứng sử dụng khóa duy nhất cho cả mật mã hóa lẫn giải mật
mã hóa tất cả các bản tin. Phía phát sử dụng khóa để mật mã hóa bản tin, sau đó gửi nó
đến phía thu xác định. Sau khi nhận được bản tin phía thu sử dụng chính khóa này để
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 26
giải mật mã. Giải thuật này chỉ làm việc tốt khi có cách an toàn để trao đổi khóa giữa
bên phát và bên thu. Rất tiếc là phần lớn vấn đề xảy ra khi trao đổi khóa giữa hai bên.
Trao đổi khóa là một vấn đề mà bản thân mật mã hóa đối xứng không thể tự giải quyết
được, nếu không có phương pháp trao đổi khóa an toàn.
Mật mã hóa đối xứng còn được gọi là mật mã hóa bằng khóa bí mật, dạng phổ
biến nhất của phương pháp này là tiêu chuẩn mật mã hóa số liệu (DES) được phát triển
từ những năm 1970. Từ đó đến nay, nhiều dạng mật mã hóa đối xứng an ninh đã được
phát triển, đứng đầu trong số chúng là tiêu chuẩn mật mã hóa tiên tiến (AES) dựa trên
giải thuật Rijindael, DES 3 lần, giải thuật mật mã hóa số liệu quốc tế (IDEA),
Blowfish và họ các giải thuật của Rivert (RC2, RC4, RC5, RC6).
Để giải thích mật mã hóa đối xứng ta xét quá trình mật mã cơ sở sau:
Hình 2.1 Minh họa cơ chế cơ sở của mật mã bằng khóa duy nhất.
Luồng số liệu (văn bản thô) sử dụng khóa riêng duy nhất (một luồng số liệu
khác) thực hiện phép tính cộng để tạo ra luồng số liệu thứ ba (văn bản đã được mật
mã). Sau đó văn bản này được gửi qua kênh thông tin để đến bên thu. Sau khi thu được
bản tin, phía thu sử dụng khóa chia sẻ (giống khóa bên phát) để giải mật mã (biến đổi
ngược) và được văn bản gốc.
Phương pháp trên có một số nhược điểm: trước hết không thực tế khi khóa phải
có độ dài bằng độ dài số liệu, mặc dù khóa càng dài càng cho tính an ninh cao và càng
khó mở khóa. Thông thường các khóa ngắn được sử dụng (64 hoặc 128bit) và chúng
được lặp lại nhiều lần cho số liệu. Các phép toán phức tạp hơn có thể được sử dụng vì
phép cộng không đủ để đảm bảo. Tiêu chuẩn mật mã hóa số liệu (DES) thường được
sử dụng, mặc dù không phải là đảm bảo nhất. Nhược điểm thứ hai là phía phát và phía
thu đều sử dụng một khóa chung (khóa chia sẻ). Vậy làm thế nào để gửi khóa này một
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 27
cách an toàn từ phía phát đến phía thu. Phải chăng điều này có nghĩa rằng cấu tạo ra
một khóa riêng duy nhất và chuyển đến đối tác cần thông tin? Phần mật mã hóa khóa
công khai sẽ trả lời cho cầu hỏi này.
2.3.3 Các giải thuật bất đối xứng
Các giải thuật bất đối xứng giải quyết vấn đề chính xảy ra đối với các hệ thống
khóa đối xứng. Năm 1975, Whitfield Diffie và Martin Hellman đã phát triển một giải
pháp, trong đó hai khóa liên quan với nhau được sử dụng, một được sử dụng để mật
mã hóa (khóa công khai) và một được sử dụng để giải mật mã hóa (khóa riêng). Khóa
thứ nhất được phân phối rộng rãi trên các đường truyền không an ninh cho mục đích
sử dụng công khai. Khóa thứ hai không bao giờ được truyền trên mạng và nó chỉ được
sử dụng bởi phía đối tác cần giải mật mã số liệu. Hai khóa này liên hệ với nhau một
cách phức tạp bằng cách sử dụng rất nhiều số nguyên tố và các hàm một chiều. Kỹ
thuật này dẫn đến không thể tính toán được khóa riêng dựa trên khóa công khai. Khóa
càng dài thì càng khó phá vỡ hệ thống. Các hệ thống khóa 64bit như DES, có thể bị tấn
công rễ ràng bằng cách tìm từng tổ hợp khóa đơn cho đến khi tìm được khóa đúng.
Các hệ thống khóa 128bit phổ biến hơn (ví dụ ECC đã được chứng nhận là không thể
bị tấn công bằng cách thức như trên).
Khóa riêng và khóa công khai được tạo lập bởi cùng một giải thuật (giải thuật
thông dụng là RSA_ giải thuật mật mã của 3 đồng tác giả Ron Rivest, Adi Shamir và
Leonard Adelman). Người sử dụng giữ khóa riêng của mình và đưa ra khóa công khai
cho mọi người, khóa riêng không được chia sẻ cho một người nào khác hoặc truyền
trên mạng. Có thể sử dụng khóa công khai để mật mã hóa số liệu, nhưng nếu không
biết khóa riêng thì không thể giải mật mã số liệu được. Sở dĩ như vậy là các phép toán
được sử dụng trong kiểu mật mã này không đối xứng. Nếu User A muốn gửi số liệu
được bảo vệ đến User B, User A sử dụng khóa công khai của User B để mật mã hóa số
liệu và yên tâm rằng chỉ có User B mới có thể giải mật mã và đọc được số liệu này.
Các kỹ thuật mật mã khóa riêng và khóa công khai là các công cụ chính để giải
quyết các vấn đề an ninh. Tuy nhiên, chúng không phải là các giải pháp đầy đủ, cần
nhận thực để chứng minh rằng nhận dạng là của các người sử dụng chân thật. Phần
dưới sẽ xét cách có thể sử dụng mật mã để giải quyết một số vấn đề an ninh cơ sở.
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 28
Cũng có thể mật mã bản tin bằng khóa riêng và giải mật mã bằng khóa công
khai, nhưng để cho mục đích khác. Cách này có thể được sử dụng cho các số liệu
không nhậy cảm để chứng minh rằng phía mật mã đã thật sự truy nhập vào khóa riêng.
Giải thuật khóa bất đối xứng nổi tiếng đầu tiên được đưa ra bởi Ron Rivest,
Adishamir và Leonard Adelman vào năm 1977 với tên gọi là RSA. Các giải thuật phổ
biến khác bao gồm ECC và DH. RSA bị thất thế trong môi trường di động do ECC rẻ
tiền hơn xét về công suất xử lý và kích thước khóa.
Tuy nhiên, đây chưa phải là các giải pháp hoàn hảo, chọn một khóa riêng không
phải là việc dễ, nếu chọn không cẩn thận sẽ dễ dàng bị phá vỡ. Ngoài ra, các bộ mật
mã hóa bất đối xứng cung cấp các giải pháp cho vấn đề phân phối khóa bằng cách sử
dụng khóa công khai và khóa riêng. Do phức tạp hơn nên tính toán chậm hơn các bộ
mật mã đối xứng. Đối với các tập số liệu lớn, đó sẽ là vấn đề không nhỏ. Trong các
trường hợp này việc kết hợp giữa các hệ thống đối xứng và bất đối xứng là một giải
pháp lý tưởng. Sự kết hợp này cho ta ưu điểm về hiệu năng cao hơn các giải thuật đối
xứng bằng cách gửi đi khóa bí mật trên các kênh an ninh, dựa trên cơ sở sử dụng các
hệ thống khóa công khai. Sau khi cả hai phía đã có khóa bí mật chung, quá trình tiếp
theo sẽ sử dụng các giải thuật khóa đối xứng để mật mã và giải mật mã. Đây là nguyên
lý cơ sở của công nghệ mật mã khóa công khai được sử dụng trong nhiều giao diện
hiện nay.
2.3.4 Nhận thực
Dựa vào đâu mà một người sử dụng có thể tin chắc rằng họ đang thông tin với
bạn của mình chứ không bị mắc lừa bởi người khác? Nhận thực có thể giải quyết bằng
sử dụng mật mã hóa khóa công khai.
Một ví dụ đơn giản: User A muốn biết User B (người đang thông tin với mình)
có đúng phải là bạn của mình hay không? Bằng cách: trước hết, User A sử dụng khóa
công khai của User B để mật mã hóa tên và số ngẫu nhiên A, sau đó gửi tới User B.
Sau khi nhận được bản tin, User B sử dụng khóa riêng của mình (khóa riêng B) để giải
mật mã đồng thời tiến hành mật mã hóa số ngẫu nhiên của mình (B) và số ngẫu nhiên
của A cộng với khóa chia sẻ phiên bằng cách sử dụng khóa công khai B. Sau đó gửi trả
lại User A, người này nhận được bản tin và có thể biết rằng bản tin này có thật sự được
User B phát hay không, bằng cách kiểm tra số ngẫu nhiên A. Tiếp theo, User A lại sử
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 29
dụng khóa riêng chia sẻ phiên để mật mã hóa số ngẫu nhiên B. Sau đó gửi tới User B
phân tích bản tin nhận được, User B có thể tin chắc rằng User A đã nhận được bản tin
đúng, bằng cách kiểm tra số ngẫu nhiên B. Như vậy, những người khác không thể đọc
được các bản tin này vì họ không thể tạo ra được các số ngẫu nhiên đúng.
2.3.5 Các chữ ký điện tử và tóm tắt bản tin
Chữ ký điện tử được sử dụng để kiểm tra xem bản tin nhận được có phải là từ
phía phát hợp lệ hay không? Nó dựa trên nguyên tắc chỉ người tạo ra chữ ký mới có
khóa riêng và có thể kiểm tra khóa này bằng khóa công khai. Chữ ký điện tử được tạo
ra bằng cách tính toán tóm tắt bản tin gốc thành bản tin tóm tắt (MD). Sau đó, MD
được kết hợp với thông tin của người ký, nhãn thời gian và thông tin cần thiết khác.
MD là một hàm nhận số liệu đầu vào có kích cỡ bất kỳ và tạo ra ở đầu ra một kích cỡ
cố định (vì thế được gọi là tóm tắt, digest). Tập thông tin này, sau đó được mật mã hóa
bằng khóa riêng của phía phát và sử dụng các giải thuật bất đối xứng. Khối thông tin
nhận được sau mật mã hóa được gọi là khóa điện tử.
Do MD là một hàm nên nó cũng thể hiện phần nào trạng thái hiện thời của bản
tin gốc. Nếu bản tin gốc thay đổi thì MD cũng thay đổi. Bằng cách kết hợp MD vào
chữ ký điện tử, phía thu có thể dễ dàng phát hiện bản tin gốc có bị thay đổi kể từ khi
chữ ký điện tử được tạo hay không.
Sau đây, ta xét quá trình sử dụng các digest (tóm tắt) bản tin để tạo các chữ ký
điện tử.
Hình 2.2 Quá trình sử dụng tóm tắt bản tin để cung cấp các chữ ký điện tử.
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 30
User A tạo ra một digest từ bản tin gốc, digest thực ra là một xâu có độ dài cố
định được tạo ra từ một đoạn có độ dài bất kỳ của bản tin gốc. Rất khó để hai bản tin
có cùng một digest, nhất là khi digest có độ dài ngắn nhất là 128bit. Các giải thuật
thường được sử dụng để tạo ra một digest là MD5, thuật toán rối an ninh (SHA). Quá
trình tạo ra một digest và mật mã nó bằng khóa riêng A nhanh hơn rất nhiều so với mật
mã toàn bộ bản tin. Sau đó, User A gửi đi bản tin gốc và digest được mật mã đến User
B, sau khi nhận được bản tin User B có thể sử dụng khóa công khai của User A để giải
mật mã digest, đồng thời User B cũng tạo ra một digest từ văn bản gốc và so sánh hai
xâu bit này với nhau. Nếu hai digest giống nhau thì User B có thể tin tưởng rằng bản
tin văn bản gốc không bị phá rối trên đường truyền.
Vấn đề chính của quá trình xét ở trên là ta phải giả thiết rằng User B có khóa
công khai hợp lệ với User A. Nhưng bằng cách nào mà User B biết được đã nhận được
khóa công khai hợp lệ? làm cách nào mà người sử dụng biết rằng email cùng với khóa
công khai thực sự là của nhà quản lý ngân hàng? Để giải quyết các vấn đề trên ý tưởng
sử dụng các chứng chỉ số đã ra đời. Cơ quan cấp chứng chỉ là một tổ chức phát hành
các giấy ủy nhiệm điện tử và cung cấp các chứng chỉ số. Một chứng chỉ số thường
gồm: tên người sử dụng, thời hạn và khóa công khai của người sử dụng. Chứng chỉ
được cơ quan cấp chứng chỉ ký bằng số, để người sử dụng có thể kiểm tra chứng chỉ là
đúng.
2.3.6 Các chứng chỉ số
Chứng chỉ số đảm bảo khóa công khai thuộc về đối tượng mà nó đại diện. Cần
đảm bảo rằng chứng nhận số đại diện cho thực thể yêu cầu (cá nhân hoặc tổ chức), một
đối tượng thứ ba là thẩm quyền chứng nhận (CA). Các thẩm quyền chứng nhận nổi
tiếng là Verisign, Entrust và Certicom. Người sử dụng có thể mua chứng nhận số từ
CA và sử dụng chúng để nhận thực và phân phối khóa riêng của họ. Khi phía thu đã
nhận được khóa riêng của họ thì có thể yên tâm rằng phía thu chính là nơi họ yêu cầu.
Sau đó, phía phát có thể gửi các bản tin được mật mã bằng khóa công khai đến phía
thu. Phía thu có thể giải mật mã chúng bằng khóa riêng của mình. Thông thường
chứng nhận số bao gồm:
+ Tên người sử dụng, thông tin nhận dạng duy nhất người này;
+ Khóa công khai của người sở hữu;
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 31
+ Thời gian chứng nhận có hiệu lực;
+ Chữ ký số từ CA để dễ dàng phát hiện nếu truyền dẫn bị làm giả.
Người sử dụng sở hữu chứng nhận số cũng có thể tự ký chứng nhận số để trở
thành CA. Khi đó CA này là đáng tin cậy nếu được ký nhận bởi một khóa đáng tin cậy
khác.
Khuôn dạng hàng đầu cho các chứng nhận số là X.509 (tiêu chuẩn để nhận
thực). Các chứng nhận này thường xuất hiện trong các ứng dụng Internet. Trong giao
diện vô tuyến, một dạng khác của giao diện vô tuyến được sử dụng là chứng nhận an
ninh lớp truyền tải (WLTS).
2.3.7 Hạ tầng khóa công khai PKI
PKI là một thuật ngữ dùng để mô tả một tổ chức hoàn thiện của các hệ thống,
quy tắc để xác định một hệ thống an ninh. Nhóm đặc trách kỹ thuật Internet (IEFT)
X.509 định nghĩa PKI như sau: “PKI là một tập bao gồm phần cứng, phần mềm, con
người và các thủ tục cần thiết để tạo lập, quản lý, lưu trữ và hủy các chứng nhận số
dựa trên mật mã khóa công khai”.
PKI gồm:
+ Thẩm quyền chứng nhận (CA): có nhiệm vụ phát hành và hủy các chứng chỉ số;
+ Thẩm quyền đăng ký: có nhiệm vụ ràng buộc khóa công khai với các nhận dạng
của các sở hữu khóa;
+ Các sở hữu khóa: là những người sử dụng được cấp chứng nhận số và sử dụng
các chứng chỉ số này để kí các tài liệu số;
+ Kho lưu các chứng nhận số và danh sách hủy chứng nhận;
+ Chính sách an ninh: quy định hướng dẫn mức cao nhất của tổ chức về an ninh.
PKI là một khái niệm an ninh quan trọng, các khóa công khai được sử dụng để
kiểm tra các chữ ký số (chứng chỉ số) trong kết nối mạng số liệu. Bản thân nó không
mang bất cứ thông tin gì về thực thể cung cấp các chữ ký. Công nghệ nối mạng số liệu
thừa nhận vấn đề này và tiếp nhận các chứng nhận an ninh, để ràng buộc khóa công
khai và nhận dạng thực thể phát hành khóa. Thực thể phát hành khóa lại được kiểm tra
bằng cách sử dụng một khóa công khai được tin tưởng đã biết, bằng cách sử dụng một
chứng nhận được phát đi từ CA ở phân cấp cao hơn. Các chứng nhận được phát hành
và thi hành bởi một thẩm quyền chứng nhận (CA). CA này được phép cung cấp các
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 32
dịch vụ cho các thực thể được nhận dạng hợp lệ, khi chúng yêu cầu. Để thực hiện được
các chức năng đó các CA phải được tin tưởng bởi các thực thể (các thành viên của
PKI) dựa trên các dịch vụ mà nó cung cấp.
Tất cả các chứng nhận được ký bởi một khóa riêng của CA, người sử dụng
chứng nhận có thể xem, kiểm tra thông tin của chứng nhận đó có hợp lệ hay không?
Bằng cách giải mật mã chữ ký bằng một khóa kiểm tra công khai, có thể kiểm tra, xem
nó có phù hợp với MD của nội dung nhận được trong chứng nhận hay không? Chữ ký
thường là một MD được mật mã hóa.
Các thành viên PKI có thể thỏa thận thời gian hiệu lực tiêu chuẩn cho một
chứng nhận. Vì thế, có thể xác định khi nào một chứng nhận bị hết hạn. Mặt khác thẩm
quyền chứng nhận (CA) có thể công bố một danh sách hủy chứng nhận (CRL) để các
thành viên PKI biết chứng nhận không còn hợp lệ với CA nữa.
Các quan hệ tin tưởng giữa CA và các thành viên PKI khác phải được thiết lập
trước khi diễn ra giao dịch PKI. Các quan hệ này thường nằm ngoài phạm vi PKI và vì
thế cũng nằm ngoài phạm vi công nghệ nối mạng. Các quan hệ tin tưởng PKI có thể
được thiết lập trên cơ sở địa lý, chính trị, xã hội, dân tộc và có thể mở rộng cho các
nền công nghiệp, các nước, các nhóm dân cư hay các thực thể khác được ràng buộc
bởi các mối quan tâm chung. Về mặt lý thuyết thì các mô hình tin tưởng PKI có thể
dựa trên một CA duy nhất, được sử dụng để tạo lập PKI trên toàn cầu giống như
Internet hay một phân cấp phân bố các CA.
Quá trình trao đổi bí mật (khóa chia sẻ phiên hay thông tin để tạo ra khóa này)
giữa hai phía A và B được minh họa ở hình 2.3.
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 33
Hình 2.3 Nhận thực bằng chữ ký điện tử
Người ký A nhận được khóa công khai từ chứng nhận B. Vì chứng nhận B
được ký bởi khóa riêng của thẩm quyền chứng nhận bên B, nên nó có thể được kiểm
tra tại thẩm quyền chứng nhận bên B bằng khóa công khai mà B nhận được từ thẩm
quyền chứng nhận của mình. Đồng thời chứng nhận CA của B lại được kiểm tra bằng
khóa công khai nhận được từ CA gốc và khóa này được đảm bảo là hợp lệ. Vì nó đã
được chuyển thành mã của PKI Client trong modem phần mềm của A. Sau khi đã có
được khóa công khai của B, A mật mã hóa bí mật bằng cách sử dụng khóa này. Và sau
đó bản tin được mật mã này được gửi đến B cùng với chứng nhận CA của A và tóm tắt
bản tin MD của bí mật được mật mã hóa, được tính toán theo khóa riêng của A. Khi
nhận được bản tin này, B kiểm tra như sau: trước hết B giải mật mã hóa bản tin bằng
khóa riêng của mình, tính toàn MD từ kết quả nhận được, sử dụng khóa công khai của
A để giải mật mã MD nhận được từ A, rồi sau đó so sánh MD’ với MD. Nếu bằng thì
nhận thực thành công và bí mật nhận được sau khi giải mật mã là bí mật cần truyền.
Chứng nhận có thể được gửi đi ở các khuôn dạng khác nhau, tiêu chuẩn an ninh
được tiếp nhận rộng rãi là X.509 do ITU định nghĩa. Các thực thể công cộng và riêng
dựa trên các dịch vụ tin tưởng do một CA chung cung cấp và tiếp nhận do CA cung
cấp. Do vậy, các thành viên của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với
một thành viên của PKI với CA chứ không phải với các thành viên khác. Vì thế có thể
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 34
định nghĩa PKI ngắn gọn như sau: “PKI như một thực thể ảo kết hợp nhiều thực thể
vật lý bởi một tập các chính sách và các quy tắc ràng buộc các khóa chung với các
nhận dạng của các thực thể phát hành khóa, thông qua việc sử dụng một thẩm quyền
chứng nhận CA”.
PKI gồm ba chức năng chính:
+ Chứng nhận: Chứng nhận hay ràng buộc một khóa với một nhận dạng bằng một
chữ ký được thực hiện bởi một thẩm quyền chứng nhận CA. Quá trình chứng nhận bao
gồm việc tạo ra một cặp khóa gồm khóa công khai và khóa riêng, do người sử dụng
tạo ra và tính toán cho CA trong một phần của yêu cầu hay do CA thay mặt người sử
dụng tạo ra.
+ Công nhận hợp lệ: Công nhận có hợp lệ hay chuyên môn hơn là kiểm tra nhận
thực chứng nhận được thực hiện bởi một thực thể PKI bất kỳ. Quá trình công nhận hợp
lệ bao gồm việc kiểm tra chữ ký do CA phát hành, đối chiếu với danh sách hủy chứng
nhận (CRL) và khóa công khai của CA.
+ Hủy: hủy một chứng nhận hiện có, trước khi nó hết hạn cũng được thực hiện
bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật thông tin mới cho CRL. Trong một
kịch bản điển hình, khi người sử dụng cần nhận hay công nhận một chứng nhận được
trình bày hợp lệ, nó sẽ gửi yêu cầu này đến CA. Sau khi chứng nhận được yêu cầu
được phát đi hay tính hợp lệ của nó được kiểm tra, thông tin tương ứng được CA gửi
vào một kho chứng nhận, trong đó có cả CRL.
2.3.8 Nhận thực bằng bản tin nhận thực
Nhận thực bằng bản tin nhận thực là một phương pháp đảm bảo toàn vẹn số liệu
và nhận thực nguồn gốc số liệu. Một sơ đồ phổ biến của phương pháp này là sử dụng
mã nhận thực bản tin MAC.
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 35
Hình 2.4 Phương pháp nhận thực sử dụng MAC.
Giải thuật MAC sử dụng khóa bí mật chia sẻ (giữa A và B) là đầu vào để tạo ra
một mã nhận thực bản tin MAC. MAC được gắn vào bản tin gốc, sau đó được phát đến
nơi nhận, phía thu sẽ sử dụng cùng giải thuật MAC tương ứng như phía phát để tính
toán MAC dựa trên bản tin gốc thu được. Nếu bản tin gốc bị thay đổi trong quá trình
truyền dẫn thì MAC được tạo ra ở phía thu sẽ khác với MAC thu được từ phía phát gửi
đến. Điều này chứng tỏ số liệu không còn nguyên vẹn nữa.
Một phương pháp phổ biến nhất để tạo ra MAC là sử dụng MD5. MD5 nhận
bản tin có độ dài bất kỳ và tạo ra ở đầu ra 128 bit MD. Phía phát sẽ gửi bản tin gốc
cùng với MD đến phía thu, phía thu tính MD từ bản tin gốc nhận được và so sánh với
MD thu được để nhận định bản tin còn nguyên vẹn hay không?
Giải thuật SHA-1 cũng có thể được sử dụng để tính toán MD giống như MD5.
Tuy nhiên MD ở đầu ra của nó chỉ là 120bit.
Bằng cách sử dụng hàm làm rối (hàm Hash) một máy tính có thể nhận thực một
người sử dụng mà không cần lưu trữ mật khẩu trong văn bản thô. Sau khi tạo ra một
tài khoản (account) người sử dụng gõ mật khẩu, máy tính sử dụng hàm Hash một chiều
với đầu vào là mật khẩu, để tạo ra giá trị làm rối (giá trị Hash) và lưu giữ giá trị này.
Lần sau khi người sử dụng đăng nhập vào máy tính, máy tính sẽ sử dụng hàm Hash
với đầu vào là mật khẩu mà người sử dụng gõ vào để tính ra giá trị Hash và so sánh giá
trị này với giá trị được lưu. Nếu kết quả giống nhau thì người sử dụng đó được quyền
đăng nhập. Do mật khẩu không được lưu trong văn bản thô nên rất khó bị lộ.
Cả MD5 và SHA-1 đều là các hàm Hash không khóa, nghĩa là không có khóa bí
mật giữa các bên tham gia thông tin. Các giải thuật này không sử dụng khóa bí mật
làm đầu vào hàm Hash. Giải thuật mã nhận thực bản tin rối HMAC sử dụng hàm Hash
Đồ án tốt nghiệp đại học Chương 2: An ninh trong thông tin di động
Phạm Văn Quỳnh, H07VTTD_______________________________________________ 36
với một khóa chia sẻ bí mật để nhận thực bản tin. Mục đích chính của HMAC bao
gồm:
Sử dụng các hàm Hash hiện có mà không cần thay đổi chúng, ví dụ có thể sử
dụng các chương trình phần mềm của các hàm Hash đang được sử dụng rộng rãi và
miễn phí;
Duy trì hoạt động nguyên gốc của hàm Hash mà không làm giảm đáng kể chất
lượng;
Sử dụng và xử lý khóa một cách đơn giản;
Đã phân tích kỹ sức mạnh mật mã của cơ chế nhận thực dựa trên hàm Hash
được sử dụng;
Dễ dàng thay thế hàm Hash đang sử dụng bằng hàm Hash nhanh hơn hoặc an
ninh hơn khi cần.
2.4 An ninh giao thức vô tuyến
2.4.1 An ninh lớp truyền tải vô tuyến (WTLS)
WTLS là lớp an ninh được định nghĩa cho tiêu chuẩn WAP. Nó hoạt động trên
lớp truyền tải, vì thế phù hợp cho các giao thức cơ sở vô tuyến khác nhau. Giống như
TLS, nhưng đã được tối ưu hóa cho phù hợp với các mạng có băng thông hữu hạn và
trễ cao. Nó cũng bổ sung thêm các tính năng mới như hỗ trợ gói tin (datagram), tối ưu
hóa bắt tay và làm tươi khóa. Nó cũng hỗ trợ sử dụng các chứng nhận WTLS để nhận
thực phía Server, trong khi SSL/TLS sử dụng chứng nhận X.509. Tóm lại WTLS cũng
có các mục đích an ninh như SSL và TLS ở chỗ nó cũng đảm bảo tính riêng tư, toàn
vẹn số liệu và nhận thực.
Giao thức an ninh lớp truyền tải vô tuyến (WTLS) được phát triển để phù hợp
với các đặc điểm của mạng vô tuyến như: băng thông hẹp và trễ lớn. Đây là cải tiến
của giao thức an ninh lớp truyền tải (TLS). TLS không thể sử dụng trực tiếp vì nó
không hiệu quả khi sử dụng ở môi trường vô tuyến. WTLS tăng thêm hiệu quả của
giao thức và bổ sung thêm nhiều khả năng cho người sử dụng vô tuyến. Dưới đây là
một số tính năng chính được bổ sung cho WTLS so với TLS:
+ Hỗ
Các file đính kèm theo tài liệu này:
Unlock-hoan chinh.pdf
