Đang tải... (xem toàn văn)
Hiện nay, thông tin di động đang là ngành thu hút được nhiều sự quan tâm. Thông tin di động bắt đầu từ 1G, nay đã phát triển lên 4G, hỗ trợ mạnh các dịch vụ đa phương tiện. Tổ chức 3GPP đã phát hành các tiêu chuẩn cho hệ thống thông tin di động mới nhất hiện nay là 4G LTE. Tuy nhiên, sự phát triển của công nghệ thông tin cũng đi liền với các vấn đề về bảo mật. Về mặt an ninh mạng, LTE phẳng và có kiến trúc mở hơn, do đó dễ bị tổn thương bởi các mối đe dọa an ninh. Ngoài những nguy cơ đã có đối với mạng viễn thông hiện có, thì còn có cả các nguy cơ mất an toàn đối với mạng IP như là Virus, Trojan, các loại tấn công từ chối dịch vụ DOS và DDOS, phần mềm rác, thư rác, phần mềm độc hại, giả mạo IP, các vấn đề mất an ninh như nghe trộm, nghe lén, đánh cắp thông tin và các hình thức lừa đảo đối với người dùng cùng nhiều biến thể khác của cuộc tấn công mạng.Với mong muốn tìm hiểu về vấn đề an ninh bảo mật và các cách thức chống sự phá hoại trong hệ thống thông tin di động hiện nay nên em đã chọn đề tài về “Nghiên cứu bảo mật cho mạng thông tin di động 4GLTE” làm đồ án tốt nghiệp của mình.Nội dung đề tài bao gồm những chương sau:Chương 1: Giới thiệu về hệ thống thông tin di động và tổng quan về mạng 4GLTEChương 2: Kiến trúc và giao thức trong mạng 4GLTEChương 3: Các giải pháp bảo mật cho mạng thông tin di động 4GLTE
TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA ĐIỆN TỬ VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐỀ TÀI: NGHIÊN CỨU BẢO MẬT CHO MẠNG THÔNG TIN DI ĐỘNG 4G-LTE Giảng viên hướng dẫn : TS LÊ CHÍ QUỲNH Sinh viên thực : NGUYỄN MINH PHỤNG Ngành : ĐIỆN TỬ VIỄN THÔNG Lớp : Đ8 - ĐTVT1 Khóa : 2013-2018 Hà Nội, tháng 12 năm 2017 TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA ĐIỆN TỬ VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐỀ TÀI: NGHIÊN CỨU BẢO MẬT CHO MẠNG THÔNG TIN DI ĐỘNG 4G-LTE Giảng viên hướng dẫn : TS LÊ CHÍ QUỲNH Sinh viên thực : NGUYỄN MINH PHỤNG Ngành : ĐIỆN TỬ VIỄN THƠNG Lớp : Đ8 - ĐTVT1 Khóa : 2013-2018 Hà Nội, tháng 12 năm 2017 NHẬN XÉT (Của giảng viên phản biện) ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… …………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Giảng viên phản biện (Ký, ghi rõ họ tên) NHẬN XÉT (Của giảng viên hướng dẫn) ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Giảng viên hướng dẫn (Ký, ghi rõ họ tên) ĐỒ ÁN TỐT NGHIỆP MỤC LỤC LỜI MỞ ĐẦU1 CHƯƠNG 1: GIỚI THIỆU VỀ HỆ THỐNG THÔNG TIN DI ĐỘNG VÀ TỔNG QUAN VỀ MẠNG 4G-LTE 1.1 Mạng thông tin di động 1G 1.2 Mạng thông tin di động 2G 1.3 Mạng thông tin di động 2.5G 1.4 Mạng thông tin di động 3G 1.5 Mạng thông tin di động 3.5G 1.6 Mạng thông tin di động 4G-LTE CHƯƠNG 2: KIẾN TRÚC VÀ GIAO THỨC TRONG MẠNG 4G-LTE 2.1 Kiến trúc mạng 4G-LTE 2.1.1 Thiết bị người dùng ( UE) 2.1.2 Truy nhập vô tuyến mặt đất E-UTRAN 2.1.3 Mạng lõi EPC 2.2 Các giao thức mạng 4G-LTE 2.3 Các giao diện mạng 4G LTE CHƯƠNG 3: CÁC GIẢI PHÁP BẢO MẬT CHO MẠNG THÔNG TIN DI ĐỘNG 4G-LTE 3.1 Kiến trúc an ninh 4G LTE 3.2 Nguy an ninh mạng LTE 3.2.1 Nguy mạng lõi 3.2.2 Nguy mạng truy cập 3.2.3 Nguy thiết bị người dùng (UE) 3.2.4 Dịch vụ mạng 3.3 Các giải pháp bảo mật cho mạng thông tin di động 4G-LTE 3.3.1 Bảo mật cho giao diện vô tuyến hệ thống khóa EPS 3.3.2 Bảo vệ nhận dạng (Identity Protection) 3.3.3 An ninh đường trục eNodeB GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 3.3.4 Chuyển giao 3.3.5 An ninh mạng IP KẾT LUẬN TÀI LIỆU THAM KHẢO PHỤ LỤC HÌNH ẢNH Hình 2 Các kết nối P-GW với nút logic khác chức Hình Giao thức E-UTRAN Hình Phân phối chức lớp MAC, RLC, PDCP Hình Các giao diện mạng 4G LTE Hình Mơ hình an ninh tổng quát 4G LTE Hình Hệ sinh thái 4G LTE Hình 3 Giải pháp bảo mật cho EPS Hình Hệ thống phân cấp khóa LTE Hình Q trình tạo khóa an ninh Hình Thủ tục u cầu chế độ an ninh NAS Hình Thủ tục yêu cầu chế độ an ninh AS Hình Thuật tốn mã hóa 128-EEA1 SNOW 3G Hình Thuật tốn tồn vẹn EIA2 AES Hình 10 Q trình cấp chứng nhận an ninh cho eNodeB Hình 11 An ninh nút chuyển tiếp Hình 12 Mơ hình chuỗi khóa cho chuyển giao Hình 13 Bảo mật chuyển giao Hình 14 Tổng quan kiến trúc an ninh mạng 3GPP truy nhập tới EPC Hình 15 Kiến trúc triển khai NDS mạng LTE GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP PHỤ LỤC: CÁC TỪ VIẾT TẮT Ký hiệu Từ viết tắt Ý nghĩa 2G 2rd Generation Mạng di động hệ thứ 3G 3rd Generation Mạng di động hệ thứ 4G 4rd Generation Mạng di động hệ thứ 3GPP 3rd Generation Partnership Project Dự án đối tác hệ thứ AKA Authentication and Key Agreement Nhận thực trao đổi khóa AS Access Stratum Tầng truy nhập AuC Authentication Center Trung tâm nhận thực AUTN Authentication Token Thẻ nhận thực AV Authentication Vector Vecto nhận thực CK Ciphering Key Khóa mã hóa CS Circuit switching Chuyển mạch kênh DOS Denial of service Từ chối dịch vụ DDOS Distrubuted denial of service Từ chối dịch vụ phân tán eNB Evolved NodeB Trạm thu phát gốc (LTE) EPC Evolved Packet Core Lõi gói phát triển EPS Evolved Packet System Hệ thống gói phát triển E-UTRAN Evolved UTRAN Mạng truy nhập GPRS General Packet Radio Service Dịch vụ vơ tuyến gói tổng hợp GSM Global System for Mobile Communications Hệ thống thơng tin di động tồn cầu HSS Home Subscriber Server Server th bao nhà IK Integrity Key Khóa tồn vẹn IMSI International Mobile Subscriber Nhận dạng thuê bao di động Identity quốc tế International Mobile Equipment Số nhận dạng thiết bị di động Identity quốc tế IP Multimedia Subsystem Phân hệ đa phương tiện IMEI IMS GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP LTE Long Term Evolution Tiến hóa dài hạn MAC Message Authentication Code Mã xác thực thông điệp MME Mobile Management Entity Thực thể quản lý di động NAS Network Access security Bảo mật truy nhập mạng NDS Network Domain security Bảo mật miền mạng PCRF Policyand Charging Resource Chức sách tính Function cước tài nguyên Packet Data Network Gateway Cổng mạng số liệu UE User Equipment Thiết bị người sử dụng UMTS Universal Mobile Hệ thống viễn thông di động Telecommunications System toàn cầu RAND Random 128-bit string Chuỗi 128 bit ngẫu nhiên TMSI Temporary Mobile Subscriber Mã số nhận dạng tạm thời P-GW (PDN-GW) Identity TS Technical Specification GVHD: TS LÊ CHÍ QUỲNH Tiêu chuẩn kỹ thuật SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP LỜI CẢM ƠN Để hồn thành đồ án tốt nghiệp cách hoàn chỉnh, bên cạnh nỗ lực cố gắng thân cịn có hướng dẫn nhiệt tình Thầy, Cơ, giúp đỡ bạn bè suốt thời gian học tập thực đồ án Em xin gửi lời cảm ơn đến tất Thầy, Cô giáo Trường đại học Điện Lực tận tình bảo tạo điều kiện thuận lợi để em nghiên cứu học tập thời gian qua Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến TS Lê chí Quỳnh, Thầy trực tiếp hướng dẫn, bảo tận tình, chu đáo có nhận xét, góp ý quý báu giúp em suốt trình thực đồ án đồ án hồn thành Trong q trình thực nhiều hạn chế nội dung kiến thức phạm vi đồ án, không tránh khỏi thiếu sót hạn chế Thơng qua đồ án này, em mong thầy cô bảo thêm, để em có điều kiện nâng cao trình độ, hiểu biết kỹ thân Em xin chân thành cảm ơn! GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 51 lớp PDCP Bằng cách này, việc bảo vệ RRC liệu mặt phẳng người sử dụng sử dụng sở mức PDCP Mạng sử dụng thuật toán toàn vẹn 128 bit để bảo vệ mức AS với thơng số đầu vào: 128 bit khóa KRRC int , 32 bit COUNT, bit định danh BEARER bit DIRECTION xác định chiều lên xuống Bảo vệ tồn vẹn thực hai phía UE trạm phát Nếu q trình kiểm tra tồn vẹn thất bại, tin bị loại bỏ.Thuật toán mã hóa sử dụng AS sử dụng chung tham số đầu vào thuật toán bảo vệ tồn vẹn AS ngoại trừ việc thay khóa KRRCenc sử dụng thêm tham số LENGTH để thị số khối luồng khóa cần tạo d Cơ chế thuật tốn mạnh Thuật tốn Null Có số cách khác thuật tốn Null thực hóa có cách khơng làm điều Đây tùy chọn lựa chọn cho thuật tốn mã hóa Null EPS Theo quan điểm tốn học chức nhận dạng: Bản mã giống hệt với gốc Người ta gọi thuật tốn mã hóa số EPS (EEA0) Một cách khác để thực thuật tốn Null thiết lập số thông số hoạt động đơn giản, để làm cho rõ ràng thuật tốn Null sử dụng Đây tùy chọn để chọn cho thuật tốn tồn vẹn Null EPS: khơng phụ thuộc vào nội dung tin nhắn khóa thơng số khác, chuỗi 32 bit chuỗi không nối thêm vào tin kết việc áp dụng thuật toán đầy đủ Null Thuật toán mã hóa Ba thành phần quan trọng kiến trúc 4G LTE sử dụng dịch vụ bảo mật là: UE, eNB MME Theo đó, UE MME kết nối giao thức bảo mật NAS tin NAS trao đổi UE MME bảo vệ tính tồn vẹn mã hố cách thêm header bảo mật NAS Trong UE eNB kết nối thông qua giao thức truy cập AS dịch vụ bảo mật thực cho mặt phẳng điều khiển mặt phẳng người dùng Những thuật tốn mật mã bí mật EPS Encryption Algorithm (EEA) đạt sau xác thực UE SN thực EPS-AKA Các thuật toán EEA gồm 4-bit định danh bao gồm KNASenc, KRRCint KUPenc để kiểu thuật tốn mã hóa sử dụng GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 52 Theo đó, 3GPP ba thuật toán EEA0, EEA1 EEA2 sử dụng 4G LTE: [4] “00002” 128-EEA0 thuật toán mã hóa Null “00012” 128-EEA1 SNOW 3G “00102” 128-EEA2 AES Các giá trị khác phát triển sử dụng tương lai UE eNB sử dụng thuật tốn 128-EEA0, 128-EEA1, 128-EEA2 để mã hóa RRC signalling mã hóa UP UE MME sử dụng thuật tốn 128-EEA0, 128-EEA1, 128-EEA2 để mã hóa NAS signalling Hình Thuật tốn mã hóa 128-EEA1 SNOW 3G Thuật tốn tồn vẹn Bảo vệ tồn vẹn bảo vệ replay cung cấp cho NAS RRC signalling Tất thuật tốn tồn vẹn sử dụng có độ dài liệu đầu vào 128-bit Mỗi thuật tốn tồn vẹn EPS (EIA) định có độ dài 4-bit Hiện có thuật tốn tồn vẹn định nghĩa sau: “00012” 128-EIA1 SNOW 3G “00102” 128-EIA2 AES UE eNB sử dụng thuật tốn 128-EIA1, 128-EIA2 để bảo vệ tính tồn vẹn cho RRC signalling UE MME sử dụng thuật tốn 128-EIA1, 128-EIA2 để bảo vệ tính tồn vẹn cho NAS signalling GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 53 Hình Thuật tốn tồn vẹn EIA2 AES Thuật tốn lấy đạo hàm Hệ thống EPS phân cấp phức tạp đáng kể so với 3G GSM, phải có cách chuẩn hóa để lấy chìa khóa từ phần tử khác Các khóa bảo vệ lớp cao tốt lớp thấp Hơn nữa, hai khóa bắt nguồn từ khóa giống cần độc lập Mặc dù bảo mật mạng truy cập 3G không yêu cầu định nghĩa chức nguồn gốc khóa chuẩn (KDF), cần thiết cho tính khác 3GPP Nguồn gốc khóa EPS tái sử dụng chức nguồn gốc khóa tiêu chuẩn GBA Yếu tố KDF mật mã hàm băm SHA-256[FIPS 180-2] Nó sử dụng chế độ khóa HMAC[RFC2104], khóa cho HMAC khóa “mẹ” từ lớp thấp Thông số đầu vào khác cho HMAC gọi “bản tin”, tên thúc đẩy yếu tố sử dụng cho mục đích HMAC cho mục đích tồn vẹn tin Trong trường hợp nguồn gốc khóa 3GPP, tin chuỗi bi S với khung định nghĩa sau: S=FC||P0||L0||P1||L1||P2||L2||…||Pn||Ln Ở || định nghĩa cho hoạt động ghép Tham số FC octet sử dụng để phân biệt mục đích khác mà KDF sử dụng cho hệ thống 3GPP Các tham số P0,P1,P2, ,Pn thâm số đầu vào thêm vào bổ sung cho nguồn gốc khóa Tham số Li mã hóa octet chiều dài tham GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 54 số Pi (được đếm octet) Sử dụng giá trị độ dài rõ ràng phần đảm bảo chuỗi S phân tích 3.3.2 Bảo vệ nhận dạng (Identity Protection) Nhóm tính an ninh (I) cung cấp tính an ninh thơng qua việc sử dụng hai thông số nhận dạng vĩnh viễn UE là: - IMEI: dùng để nhận dạng thiết bị phần cứng IMEI gửi tới MME NAS, sau NAS Security thiết lập thành công (bảo vệ mã hóa tồn vẹn) - IMSI: dùng để nhận dạng thuê bao IMSI hạn chế gửi qua môi trường vơ tuyến, mà thay vào tham số tạm thời GUTI 3.3.3 An ninh đường trục eNodeB Mỗi trạm phát có danh sách thuật tốn an ninh xếp theo thứ tự Trạm phát định thuật toán sử dụng cho bảo vệ báo hiệu AS thuật toán dành cho bảo vệ liệu mặt phẳng người sử dụng AS MME gửi khả an ninh UE tới trạm phát với thơng tin UE khóa KeNB Trạm phát sử dụng thủ tục Lệnh chế độ an ninh AS để thông báo tới UE thuật tốn lựa chọn bắt đầu q trình bảo vệ Trong trình chuyển giao trạm phát có hỗ trợ X2 S1, trạm phát đích thay đổi thuật tốn an ninh thứ tự thuật tốn cấu hình trạm phát đích khơng giống với trạm phát nguồn Việc thay đổi thuật toán an ninh diễn thay đổi trạm phát phục vụ, chuyển giao mà khơng thay đổi trạm phát phục vụ khơng cần thiết phải thay đổi thuật toán an ninh Trong chuyển giao có hỗ trợ X2, trạm phát nguồn cung cấp khả an ninh UE thuật toán an ninh sử dụng Trạm phát đích kiểm tra, cần thiết phải thay đổi thuật toán gửi u cầu tới trạm phát nguồn qua tin yêu cầu chuyển giao [TS36.331] Nói cách khác, trạm phát đích gửi tin yêu cầu chuyển giao tới trạm phát nguồn, trạm phát nguồn chuyển tin tới UE Theo cách này, UE biết thuật toán an ninh trước chuyển giao thực diễn thiết lập cấu hình an ninh cho phiên thơng tin với trạm GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 55 phát đích Như vậy, báo hiệu mức AS tin liệu mặt phẳng người sử dụng bảo vệ toàn thời gian thuật toán thay đổi Trong trường hợp trạm phát nguồn nằm ảnh hưởng kẻ cơng, gửi thơng tin sai lệch tới trạm phát đích khả an ninh UE Với thơng tin sai lệch đó, trạm phát đích lựa chọn thuật tốn an ninh yếu, giảm thiểu độ an tồn Để tránh trường hợp này, trạm phát đích gửi tới UE thơng tin khả an ninh UE UE kiểm tra nâng mức cảnh báo, ghi lại thông tin kiện với người quản trị Các tiêu chuẩn không yêu cầu mạng phải hủy trình chuyển giao trường hợp Trường hợp chuyển giao có S1, thơng tin trạm phát nguồn trạm phát đích thực thơng qua MME Nếu thay đổi MME phục vụ MME nguồn gửi thông tin khả an ninh UE tới MME đích với thơng tin ngữ cảnh UE MME đích sau gửi thơng tin khả an ninh UE tới trạm phát đích Do đó, trạm phát gốc không cung cấp thông tin thuật tốn an ninh mà MME đích thực việc Đường trục nối đến eNode đòi hỏi an ninh cao vai trị eNodeB LTE mạnh sô với NodeB 3G UMTS: LTE eNodeB bao gồm NodeB RNC Vì khơng thể luôn tin cậy an ninh lớp vật lý eNodeB cần phải bảo vệ liên kết đường trục tốt Các yêu cầu sau áp dụng cho eNodeB: - - Giao thức an ninh: ESP [RFC 4303] - Chế độ an ninh: tunnel (bắt buộc) với truyền tải (tùy chọn) Phiên IKE: IKEv2 Hình 3.10 cho thấy tiến hành cấp chứng nhận an ninh cho eNodeB GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 56 Hình 10 Quá trình cấp chứng nhận an ninh cho eNodeB Các biện pháp sau áp dụng cho an ninh nút chuyển tiếp: - Nhận thực tương hỗ: - AKA sử dụng (đăng nhập nút chuyển tiếp) - Các uỷ nhiệm an ninh lưu UICC - Thiết lập ràng buộc nút chuyển tiếp USIM - Dựa khóa chia sẻ trước đối xứng hay - Dựa chứng nhận Hình 11 An ninh nút chuyển tiếp 3.3.4 Chuyển giao Lắp đăt eNodeB vị trí ngồi trời dẫn đến rủi từ truy nhập kẻ không phép, nên cần giải pháp an ninh tương ứng Vì khái niệm an ninh trước đưa vào LTE Khái niệm sau, khơng cần KASME , chí cần KeNB chia sẻ UE eNodeB thời, tính tốn phức tạp ngăn chặn kẻ xấu đoán KeNB tương lai sử dụng GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 57 UE eNodeB tương lai mà UE đấu nối đến Vì mật mã khơng bị phá Hình 12 Mơ hình chuỗi khóa cho chuyển giao Sau ngữ cảnh an ninh AS chia sẻ UE eNodeB, MME UE phải tạo khóa KeNB thơng số cho chặng sau (NH: Next Hop) KeNB NH tạo từ KASME, NCC ( NH Changing Counter: đếm thay đổi NH) có cặp KeNB NH Chức hạn chế phạm vi xâm hại khóa bị rị rỉ, khóa tương lai tạo mà khơng sử dụng KeNB thời trường hợp chuyển theo phương thẳng đứng a Chuyển giao mạng LTE Khi tượng chuyển giao xảy hai eNBs, eNB nguồn cần chuyển thông số bảo mật tới eNB đích hình sau: GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 58 Hình 13 Bảo mật chuyển giao Cùng lúc q trình sau phải thực hiện: - Khơi phục an ninh nguồn - Các eNB bị xâm nhập (chuyển tiếp bảo mật) giữ lưu lượng bảo mật trước tới đích eNB bị xâm nhập (bảo mật ngượi lại) Trong hai trường hợp, mạng lõi cung cấp eNB đích khóa mới, chưa biết eNB nguồn, sử dụng sau chuyển giao Một kẻ công làm tổn hại số eNB lấy khóa khơng biết khóa sử dụng eNB khác Mặc khác, UE chứa tất thông tin cần thiết để chuẩn đốn khóa Một thủ tục đơn giản sử dụng LTE đảm bảo an ninh ngược lại phải có nguồn eNB lấy khóa từ khóa bảo mật ngược lại thơng qua chức mã hóa Chỉ khóa gốc chuyển tới eNB đích b Chuyển giao hệ thống cũ Khi UE di chuyển LTE mạng truy nhập vô tuyến 3GPP khác, liệu an ninh chuyển đổi nhiều cách giống UE di chuyển mạng truy nhập vô tuyến GSM/EDGE (GERAN) UTRAN LTE bao gồm độ nhớ đệm nội dung bảo mật Điều giúp tiết kiệm số lần thuê bao phải xác thực UE di chuyển nhanh qua lại LTE UTRAN Truy cập mạng 3GPP GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 59 3GPP Re1-16 cho phép truy nhập công nghệ mạng nội không dây WLAN lẫn cung cấp khả internet thơng qua (U)SIM Để kích hoạt sử dụng (U)SIM, giao thức AKA giao thức nhận thực mở rộng (EAP) IEEE 802.1X Công nghệ WLAn cũ (như IEEE 802.11b) có an ninh tối ưu phụ, 3GPP cho phép người dùng tạo đường hầm qua mạng truy nhập sử dụng IKE/IPsec EPS/3GPP Rel-8 đề xuất khái niệm bước xa hơn, cho phép người dùng cuối sử dụng bảo mật thông thường giao thức di động dựa vào đặc tính tổ chức cho phép hoạt động kĩ thuật không dây (IETF) để truy cập EPC sở cơng nghệ truy nhập khơng dây có dây Ngun tắc: Cơng thức chung cho mạng truy nhập 3GPP tới EPC sử dụng thẻ USIM EAP AKA dựa vào nhận thực qua lại thực UE (USIM) nhận thực, ủy quyền tính tốn server (AAA) Nhận thực EAP AKA cung cấp khóa mã hóa cho tồn vẹn liệu mã hóa UE mạng lớp truy nhập, lớp IP hai Giao thức EAP AKA mở rộng để hỗ trợ khóa gán với nhận dạng mạng truy cập Điều hạn chế nguy lạm dụng khóa Một mạng truy nhập khơng phải 3GPP đối xử mạng tin cậy khơng tin cậy Nó mạng tin cậy cung cấp đầy đủ tính bảo mật cần thiết mạng không tin cậy cần hầm IPsec (tương tự giải pháp mạng liên kết WLAN Rel-6) EAP AKA sử dụng cho truy cập tin cậy để tạo mức bảo vệ truy cập kết hợp UE mạng truy cập 3GPP Tuy nhiên, nhận thực mức độ truy nhập tùy chọn di động dựa vào giao thức dual-stack IPv6 (DSMIPv6) Điều DSMIPv6 ln sử dụng nhận thực EAP AKA UE phần tử nhà MIP (cổng mạng liệu gói, PDN-GW) đáp ứng đầy đủ nhu cầu xác thực Vì thủ tục bảo mật cho mạng truy cập tin cậy không tin cậy khác nhau, UE cần biết “giá trị tin cậy” mạng truy cập Điều hồn tồn làm dựa vào báo hiệu nhận thực Nếu khơng có tín hiệu nhận thực, UE kiểm tra cấu hình USIM để khẳng định giá trị tin cậy Nếu UE khơng thích hợp GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 60 với nhận diện mạng truy cập, chuyển giá trị mặc định giả định truy cập không đáng tin cậy Hình 14 Tổng quan kiến trúc an ninh mạng 3GPP truy nhập tới EPC 3.3.5 An ninh mạng IP Để bảo vệ cho lưu lượng sở IP giao diện mạng truy nhập/ truyền tải (E-UTRAN), mạng lõi (EPC), hay mạng lõi với nhau, 3GPP đưa chức NDS/IP (trừ giao diện S1-U giao diện bảo vệ 3GPP) NDS định nghĩa tiêu chuẩn 3GPP TS 33.210 chức thuộc nhóm an ninh II Đối với mạng LTE, kiến trúc NDS triển khai sau: GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 61 Hình 15 Kiến trúc triển khai NDS mạng LTE Mạng LTE chia thành hai loại miền an ninh gồm miền E-UTRAN miền EPC Trong đó: • Miền EPC: Tại biên đặt SEG (Security Gateway), miền có NE node mạng triển khai: ví dụ MME, • Miền E-UTRAN: Do số lượng miền EUTRAN lớn kết nối với qua mạng lưới phức tạp tồn hai giao diện S1 X2 nên giải pháp đặt SEG biên miền EUTRAN khơng hợp lý Vì miền E-UTRAN có NE node mạng (eNodeB) • Giao diện Za (giữa SEG) song hành giao diện S8 HomePLMN Visited-PLMN, Home-PGW Visited-PGW • Giao diện Zb (giữa NE NE SEG) song hành giao diện S1 X2 mạng LTE nhà cung cấp Giao diện phải triển khai giống với giao diện Za, không cần đầy đủ chức SEG • Giao diện Zb SEG NE EPC tùy chọn node bảo vệ mặt vật lý (cùng mạng LAN) • NDS/IP khơng đảm bảo an ninh cho kết nối EPC Internet (giao diện SGi) NDS/IP cung cấp dịch vụ an ninh sau: GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 62 • Nhận thực liệu gốc: bảo vệ node khỏi liệu không rõ nguồn gốc • Tồn vẹn liệu: bảo vệ liệu truyền khơng bị thay đổi (man-inthemiddle) • Bảo vệ chống lại q trình replay • An ninh liệu: bảo vệ chống lại việc đánh cắp liệu (eavesdropping) • Bảo vệ giới hạn chống lại việc phân tích luồng liệu Các chế bảo vệ thực thông qua IPsec, đặc biệt IPsec ESP (Encapsulating Security Payload) chế độ đường hầm, với IKE (Internet Key Exchange) sử dụng để thiết lập mối liên hệ an ninh IPsec SEG SEG NE IPsec EPS cung cấp tính bảo vệ an ninh, mà tính tập hợp nhiều thuật tốn an ninh: • Nhận thực: cung cấp ban đầu thông qua nhận thực tương hỗ trao đổi khóa an ninh SEG SEG NE sử dụng giao thức IKE, thông qua AH (Authentication Header) gói tin IPsec để đảm bảo nhận thực gói, ví dụ sử dụng SHA-1 • Tồn vẹn: cung cấp thơng qua chế băm gói mã hóa IPsec, ví dụ SHA-1 • An ninh: cung cấp thơng qua việc mã hóa IPsec đóng gói gói tin, ví dụ AES • Anti-replay SEG (Security Gateway: cổng an ninh) đặt biên giới miền an ninh có nhiệm vụ tập trung tất lưu lượng vào miền mạng NE (Network Entity: thực thể mạng) nút mạng thuộc E-UTRAN, EPC IMS eNodeB, MME, S-CSCF Các SEG thực IKE1 IKE2 (IKE: Internet Key Exchange) cung cấp khả lưu giữ khóa lâu dài Giao diện Zb định nghĩa để cung cấp truy nhập an ninh cho an ninh nội mạng Điều DSMIPv6 sử dụng nhận thực EAP AKA UE phần tử nhà MIP (cổng mạng liệu gói, PDN-GW) đáp ứng đầy đủ nhu cầu xác thực Vì thủ tục bảo mật cho mạng truy cập tin cậy không tin cậy khác nhau, UE cần biết “giá trị tin cậy” mạng truy cập Điều hồn tồn làm GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 63 dựa vào báo hiệu nhận thực Nếu khơng có tín hiệu nhận thực, UE kiểm tra cấu hình USIM để khẳng định giá trị tin cậy Nếu UE khơng thích hợp với nhận diện mạng truy cập, chuyển giá trị mặc định giả định truy cập không đáng tin cậy GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 64 KẾT LUẬN Sau thời gian nghiên cứu, tìm hiểu em hồn thành xong Đồ án “NGHIÊN CỨU BẢO MẬT CHO MẠNG THÔNG TIN DI ĐỘNG 4G-LTE” Nội dung đề cập đồ án là: Chương giới thiệu hệ thống thông tin di động từ 1G đến 4G tổng quan mạng 4G-LTE Chương trình bày kiến trúc, giao thức giao diện mạng 4G-LTE Chương trình bày cấu trúc an ninh, nguy an ninh giải pháp bảo mật cho mạng thông tin di động 4G-LTE Cuối cùng, em xin gửi lời cảm ơn chân thành đến toàn thể Thầy – Cơ, bạn gia đình giúp đỡ, ủng hộ em nhiều suốt thời gian qua Đặc biệt, lời cảm ơn chân thành sâu sắc em xin gửi tới thầy giáo TS Lê Chí Quỳnh định hướng đề tài, cung cấp tài liệu quan trọng tận tình hướng dẫn, bảo em suốt q trình hồn thành đồ án tốt nghiệp Em xin chân thành cảm ơn! GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ĐỒ ÁN TỐT NGHIỆP 65 TÀI LIỆU THAM KHẢO [1] “LTE :Mobile Network Security” - Satish Chavan [2] EventHelix.com [3] 3GPP TS 33.210 (2009), 3G security; Network Domain Security (NDS); IP network layer security [4] “4G LTE Security for Mobile Network Operators”- Daksha Bhasker [5] Bùi Trung Thành (2008), An ninh mạng LTE, CDIT, Chun đề khoa học cơng nghệ an tồn thơng tin [6] https://www.scribd.com/document/117741825/Bao-cao- m%E1%BA %A1ng-di -%C4 %91%E1%BB%99ng-4G-LTE [7] dlscrib.com_c9-anninh-mang-4g-tle.pdf GVHD: TS LÊ CHÍ QUỲNH SVTH: NGUYỄN MINH PHỤNG ... THÔNG TIN DI ĐỘNG VÀ TỔNG QUAN VỀ MẠNG 4G-LTE 1.1 Mạng thông tin di động 1G 1.2 Mạng thông tin di động 2G 1.3 Mạng thông tin di động 2.5G 1.4 Mạng thông tin di động 3G 1.5 Mạng thông tin di động. .. giảm đáng kể 1.3 Mạng thông tin di động 2.5G Hệ thống thông tin di động 2,5G nâng cấp từ hệ thống thông tin di động 2G Sự nâng cấp coi chuẩn bị để tiến tới hệ thống thông tin di động hệ thứ (3G)... tài ? ?Nghiên cứu bảo mật cho mạng thông tin di động 4G-LTE? ?? làm đồ án tốt nghiệp Nội dung đề tài bao gồm chương sau: Chương 1: Giới thiệu hệ thống thông tin di động tổng quan mạng 4G-LTE Chương