Các Yếu Tố Cần Thiết Để Tạo Một Môi Trường An Ninh


Logical Link Control (LLC): Giao thức điều khiển kết nối logic, đây là giao thức lớp liên kết dữ liệu cho GPRS, hoạt động như Link Access Protocol – D (LAPD). Lớp này đảm bảo truyền dữ liệu người sử dụng một cách tin cậy qua mạng vô tuyến.

Dung xoa’

GPRS Tunnel Protocol (GTP): Giao thức tuyến đường hầm GPRS. GTP hoạt động trên TCP/UDP qua IP.

Hình 1 4 Các giao thức sử dụng ở GPRS Base Station System GPRS Protocol BSSGP Giao thức 1

Hình 1.4: Các giao thức sử dụng ở GPRS

Base Station System GPRS Protocol (BSSGP): Giao thức GPRS hệ thống trạm gốc. Giao thức này xử lý định tuyến và thông tin QoS cho BSS. BSSGP sử dụng giao thức lõi Frame Relay Q.922 làm cơ chế hoạt động.

GPRS Mobility Management (GMM/SM): Giao thức quản lý lưu động GPRS. Giao thức này hoạt động trên mặt phẳng bảo hiệu của GPRS, quản lý các yếu tố lưu động như: chuyển vùng, nhận thực, chọn thuật toán mã hoá và duy trì PDP context.

Network Service: Giao thức dịch vụ mạng. Giao thức này quản lý sự hội tụ của các lớp con hoạt động giữa BSSGP và Frame Relay Q.922 bằng cách ánh xạ các yêu cầu dịch vụ BSSGP tới các dịch vụ Frame Relay thích hợp.

BSSAP+: Giao thức cho phép tìm gọi đối với kết nối thoại từ MSC qua SGSN. Giao thức này cho phép tìm gọi cho kết nối thoại từ MSC qua SGSN, do đó tối ưu hoá tìm gọi cho thuê bao di động. BSSAP+ cũng có chức năng định vị và định tuyến cập nhật cũng như cảnh báo MS.

Có thể bạn quan tâm!

Xem toàn bộ 72 trang tài liệu này.


SCCP, MTP3, MTP2: Là các giao thức sử dụng để hỗ trợ cho MAP và BSSAP+ trong các mạng chuyển mạch kênh PLMN.

Mobile Application Part (MAP): Hỗ trợ báo hiệu giữa SGSN/GGSN và HLR/AuC/EIR.

- EDGE sử dụng các hệ thống điều chế nhiều trạng thái hơn so với GPRS/GSM cho phép cung cấp tốc độ tới 48kbps trên mỗi khe thời gian tương ứng của GSM. Với việc phân bổ khe thời gian động, EDGE có thể cung cấp tốc độ tối đa theo lý thuyết là 384kbps (thậm chí là 473kbps trong tương lai khi sử dụng điều chế 16QAM). Do vậy nó cung cấp được hầu hết các dịch 3G, đây là lý do mà đôi khi EDGE được coi là mạng 2.75G.

1.2 CÁC VẤN ĐỀ AN NINH TRONG THÔNG TIN DI DỘNG

1.2.1 Các yếu tố cần thiết để tạo một môi trường an ninh

1.2.1.1 Nhận thực

Nhận thực là việc xử lý xác nhận những người đó và tổ chức đó là ai và họ cần cái gì. Đối với mạng di động nhận thực được thực hiện tại hai mức: Mức mạng và mức ứng dụng. Mức mạng yêu cầu người dùng phải được nhận thực trước khi người đó được phép truy nhập. Điều này hoàn toàn có thể được thực hiện dựa trên thiết bị hay modem đang sử dụng. Tại lớp ứng dụng, nhận thực được thực hiện ở cả hai ứng dụng: Client và Server hãng.

1.2.1.2 Tính toàn vẹn dữ liệu

Tính toàn vẹn dữ liệu là sự đảm bảo dữ liệu trong câu hỏi không bị biến đổi hoặc bị xuyên tạc theo một cách nào đó trong suốt quá trình truyền dẫn từ người gửi tới người nhận. Điều này có thể thực hiện bằng cách mật mã hoá số liệu phối hợp với một tổng kiểm tra mật mã hoặc với mã nhận thực bản tin (MAC – Message Authentication Code).

1.2.1.3 Tính bí mật

Tính bí mật là một trong những mặt quan trọng nhất của an ninh và thường được đề cập đến nhiều nhất. Bí mật có nghĩa là duy trì tính riêng tư của số liệu, đảm bảo số liệu không bị người khác xem.

1.2.1.4 Phân quyền

Phân quyền là công việc xử lý định ra mức độ truy nhập của người sử dụng, rằng người đó được phép hay không được phép thực hiện một hoạt động nào đó. Phân


quyền thường luôn đi kèm với nhận thực.

1.2.1.5 Tính không thể phủ nhận

Tính không thể phủ nhận có nghĩa là khiến một số người phải chịu trách nhiệm đối với các phiên giao dịch mà họ đã tham dự. Nó bao gồm việc nhận dạng ra những người này theo một cách nào đó mà họ không thể phủ nhận sự dính dáng của họ trong phiên giao dịch. Tính không thể phủ nhận có nghĩa là cả người gửi lẫn người nhận một bản tin đều có thể chứng minh được với một người thứ ba rằng người gửi thực sự là đã gửi bản tin và người nhận đã nhận được chính bản tin đó.

1.2.2 Các nguy cơ an ninh mạng

1.2.2.1 Giả mạo

Giả mạo là âm mưu của một người nào đó nhằm đạt được sự truy nhập trái phép tới một ứng dụng hoặc hệ thống bằng cách giả mạo thành một người nào đó. Sau khi kẻ giả mạo truy nhập vào được, họ có thể sẽ tạo các câu trả lời giả cho các bản tin để có thể thu thập nhiều thông tin hơn và truy nhập tới các phần khác của hệ thống.

1.2.2.2 Thăm dò

Thăm dò là kỹ thuật được sử dụng để giám sát lưu lượng số liệu trên mạng. Ngoài mục đích sử dụng đúng dắn, thăm dò thường được sử dụng kết hợp với bản sao trái phép số liệu mạng. Thăm dò về bản chất là nghe trộm điện tử. Bằng cách nghe ngóng số liệu trên mạng, những người dùng trái phép có thể có được các thông tin nhạy cảm giúp họ có thể tấn công mạnh hơn vào các người dùng ứng dụng, các hệ thống hãng, hoặc cả hai.

1.2.2.3 Làm sai lệch số liệu

Làm sai lệch số liệu có thể gọi là sự tấn công vào tính toàn vẹn của số liệu, bao gồm việc sửa đổi ác ý số liệu khỏi dạng ban đầu, thường xảy ra đối với số liệu đang được truyền, mặc dù nó vẫn xảy ra đối với số liệu lưu trữ trên thiết bị Server hoặc Client. Sau đó số liệu đã bị sửa đổi đưa trở lại vị trí ban đầu. Việc thực hiện mật mã hoá số liệu, nhận thực, phân quyền là những phương pháp để chống lại các tấn công làm sai lệch số liệu.

1.2.2.4 Đánh cắp

Đánh cắp thiết bị là một vấn đề cố hữu trong tính toán di động, nó không chỉ làm người dùng mất chính thiết bị đó mà còn cả số liệu bí mật nào đó có thể được lưu trên


thiết bị này. Đây có thể là một nguy cơ khá lớn đối với các ứng dụng Client thông minh khi chúng thường lưu trữ dữ liệu cố định, mang bản chất bí mật.

1.2.3 Những thách thức trong môi trường nối mạng vô tuyến

1.2.3.1 Thách thức thứ nhất: Các liên kết mạng vô tuyến

Băng thông thấp: Tốc độ trong các mạng vô tuyến tăng khi công nghệ được cải tiến. Tuy nhiên, nhìn chung các liên kết vô tuyến hỗ trợ tốc độ chuyển giao số liệu thấp hơn nhiều tốc độ chuyển giao số liệu qua cơ sở hạ tầng cố định. Chẳng hạn, các mạng thông tin di động tổ ong thế hệ 2 cho phép truyền dữ liệu trên một kênh xấp xỉ 10 Kbit/s. Tốc độ này sẽ tăng lớn hơn 350 Kb/s một chút trong mạng tổ ong 3G. Hiện nay các hệ thống mạng LAN vô tuyến sử dụng các chuẩn 802,11b có thể đạt tốc độ lên tới 11Mb/s.

Nguy cơ mất số liệu thường xuyên: So với các mạng hữu tuyến, thông tin số thường bị mất hoặc bị sai lệch khi truyền qua một liên kết vô tuyến. Các giao thức lớp mạng sử dụng các cơ chế kiểm tra tính toàn vẹn dữ liệu có thể nhận biết những trường hợp này và yêu cầu thông tin cần được phát lại, nhưng việc phát lại này sẽ ảnh hưởng tới tính hiệu quả do băng thông thấp. Cùng với việc làm giảm tốc độ chuyển giao số liệu, mất số liệu còn làm cho lượng thời gian cần thiết để truyền một khối số liệu biến động (gây ra biến động trễ), hoặc làm chấm dứt một phiên giao dịch.

Tình trạng mở cửa sóng vô tuyến: Trong mạng hữu tuyến, có thể sử dụng cáp đồng hoặc cáp sợi quang, đều có thể bị xâm phạm, đó có thể là một thách thức mang tính kỹ thuật, tuy nhiên sự xâm phạm này có thể thường được phát hiện bởi thiết bị giám sát mạng. Ngược lại khi một mạng vô tuyến gửi số liệu qua không trung bằng cách sử dụng tín hiệu vô tuyến, một người nào đó có thể nghe trộm, ngay cả khi họ sử dụng một thiết bị rẻ tiền.

1.2.3.2 Thách thức thứ hai: Tính di dộng của người dùng

Mất kết nối và tái kết nối: Những người sử dụng của các mạng thông tin vô tuyến đều phải đối mặt với những rủi ro xảy ra bất thình lình, chẳng hạn như mất kết nối đột ngột từ mạng. Hiện tượng mất kết nối xảy ra do các nguyên nhân sau: trước hết là do sự di chuyển của người sử dụng cùng với thiết bị di động của họ ra khỏi vùng phủ sóng của trạm gốc mà họ đạng liên lạc, thứ đến là do sự di chuyển của người sử dụng dẫn đến một chướng ngại vật lý, chẳng hạn


như một toà nhà hoặc một đường hầm giao thông xen vào giữa thiết bị di động và trạm gốc.

Kết nối mạng không đồng nhất: Trong một mạng hữu tuyến điển hình, một máy tính luôn gắn liền với cùng một mạng nhà. Những đặc trưng của mạng này là đã rất rành rọt. Do đó khi có sự thay đổi, chẳng hạn khi cần bổ sung server file hay tường lửa để nâng cấp mạng, sẽ được quy hoạch và giám sát cẩn thận. Tuy nhiên trong môi trường nối mạng vô tuyến, một trạm di động, chẳng hạn đó là một máy điện thoại di động hoặc là một thiết bị hỗ trợ cá nhân số thường liên tục chuyển mạng giữa các mạng chủ khác nhau.

Chuyển đổi địa chỉ: Trong các mạng hữu tuyến thông thường, các máy tính và các thiết bị khác được kết nối tới cùng một mạng và sử dụng cùng một địa chỉ mạng (địa chỉ IP trong mạng internet toàn cầu) trong một khoảng thời gian dài. Nếu thiết bị này di chuyển giữa các mạng, các nhà quản trị mạng có thể thực hiện thao tác cập nhật địa chỉ mạng. Còn trong môi trường nối mạng vô tuyến, địa chỉ mạng, hoặc ít nhất là các mạng có liên quan, cần phải được quản lí trong môi trường có độ rủi ro và phức tạp hơn nhiều.

Thông tin phụ thuộc vào vị trí: Trong mạng hữu tuyến, vị trí của các thiết bị tính toán thường khá ổn định và được kiểm soát bởi các nhà quản trị hệ thống. Còn trong môi trường vô tuyến, vị trí của các thiết bị truyền thông và tính toán thay đổi thường xuyên. Khi cung cấp dich vụ cho người sử dụng, không chỉ cần phải bám theo cơ sở hạ tầng mạng vô tuyến và đáp lại những thay đổi vị trí này mà còn phải thực hiện các giải pháp an ninh để bảo vệ thông tin định vị. Trong môi trường mạng vô tuyến, việc bảo vệ tính bí mật của người sử dụng bao gồm cả việc bảo vệ nội dung bản tin và cuộc hội thoại khỏi sự xâm phạm, nhưng cũng yêu cầu hệ thống phải giữ tính bí mật của thông tin định vị về người sử dụng hệ thống.

1.2.3.3 Thách thức thứ ba: tính di chuyển được của thiết bị

Tốc độ bộ xử lý: Năng lực xử lý được quyết định bởi các mạch tích hợp trong các thiết bị như máy điện thoại di động và thiết bị phụ trợ cá nhân số (PDA). Các thuật toán mật mã hoá và các thủ tục nhận thực đều yêu cầu sự tính toán và đôi khi còn yêu cầu một khối lượng tính toán khổng lồ. Trong một vài ứng dụng an ninh trong môi trường vô tuyến, như mật mã hoá và giải mật mã một cuộc


hội thoại điều khiển qua một máy điện thoại tổ ong. Các thủ tục an ninh cần phải được thực thi trong một thời gian thực. Do đó năng lực xử lý trên thiết bị di động quyết định sự lựa chọn của các nhà thiết kế hệ thống an ninh cho các môi trường vô tuyến.

Khả năng lưu trữ hạn chế: Vì những lí do tương tự, lượng số liệu có thể được lưu trữ trong một thiết bị tính toán và truyền thông di động nhỏ hơn nhiều khả năng lưu trữ số liệu của một máy để bàn hay một server. Cùng với hạn chế về tốc độ xử lý, nhân tố này cũng ảnh hưởng đến sự lựa chọn trong việc thiết kế hệ thống an ninh cho các mạng vô tuyến.

Hoạt động công suất thấp: Các sản phẩm điện tử hoạt động được đều nhờ nguồn năng lượng. Bất cứ một hoạt động nào của bộ xử lý trong máy điện thoại tổ ong hay PDA đều phải tiêu thụ công suất và do đó làm giảm nguồn năng lượng sống trong các thiết bị này. Việc đảm bảo an ninh thông tin là một đặc tính rất cần thiết, nhưng trước hết là phải đảm bảo năng lượng cho thiết bị hoạt động, nếu như hết năng lượng thì ngay cả khi năng lực của bộ xử lý cho phép thực hiện những giải pháp an ninh và những thủ tục nhận thực mạnh thì việc thực hiện sẽ không thể tiến hành được.


CHƯƠNG II: CÁC KỸ THUẬT AN NINH DÙNG TRONG THÔNG TIN DI ĐỘNG

2.1 KỸ THUẬT MẬT MÃ

Mục tiêu cơ bản của mật mã hoá là để cho phép hai người thông tin với nhau qua một kênh thông thông tin không an toàn mà bất kỳ một người thứ ba nào khác cũng không thể hiểu được những gì đang được truyền đi. Khả năng này là một trong những yêu cầu cốt lõi của một môi trường an ninh. Xem xét tất cả các phương pháp để chuyển giao số liệu an toàn gồm có nhận thực, chữ ký số, và mật mã hoá. Bề ngoài thì mật mã là một khái niệm đơn giản, nhưng thực sự nó tương đối phức tạp, đặc biệt là đối với các việc thực hiện di động quy mô lớn.

2.1.1 Mật mã số liệu

Công việc chủ yếu của một hệ thống mật mã là mật mã hoá số liệu, quá trình xử lý một tập số liệu thông thường, gọi là bản rõ (plaintext) và biến đổi nó thành dạng không thể đọc được, gọi là bản mật mã (ciphertext). Mật mã hoá cho phép duy trì tính bí mật của các số liệu nhạy cảm, ngay cả khi số liệu này bị truy nhập bởi những người sử dụng trái phép. Chỉ có một cách để có thể đọc được dữ liệu là biến đổi nó trở lại dạng ban đầu bằng cách sử dụng một phương pháp gọi là giải mật mã số liệu. Phương pháp mật mã hoá và giải mật mã hoá được gọi là một thuật toán hay là một hệ mật mã. Hình 2.1 mô tả khái niệm mật mã hoá. Khi dữ liệu được truyền tải qua một kênh thông tin công cộng không an toàn thì nó được mật mã hoá nhằm ngăn ngừa việc một người nào đó nghe trộm trên đường truyền có thể hiểu được dữ liệu đang được gửi.

Hình 2 1 Gửi bản tin sử dụng mật mã hoá Các thuật toán hiện đại sử dụng 2

Hình 2.1. Gửi bản tin sử dụng mật mã hoá


Các thuật toán hiện đại sử dụng các khoá để điều khiển việc mật mã hoá và giải mật mã số liệu. Khi một bản tin đã được mật mã hoá, nó chỉ có thể được giải mật mã bởi chính những người có khoá thích hợp. Khoá dựa trên các thuật toán hình thành hai loại: Đối xứng và không đối xứng.

Các thuật toán đối xứng tỏ ra rất hiệu quả: Chỉ cần sử dụng một khoá dể mật mã hoá và giải mật mã tất cả các bản tin. Người gửi sử dụng một khoá để mật mã hoá bản tin, sau đó gửi bản tin đến cho người nhận mong muốn. Khi nhận được bản tin đó, người nhận sẽ sử dụng cùng khóa đó để giải mật mã bản tin. Kiểu thuật toán này hoạt động tốt khi có một cách an toàn để truyền khoá giữa những người sử dụng, chẳng hạn gặp nhau trước khi truyền số liệu.

Mật mã hóa không đối xứng tập trung vào vấn đề chính mà các hệ thống khoá đối xứng mắc phải: Đó là việc các hệ thống này chỉ sử dụng một khoá. Thuật toán khoá không đối xứng đầu tiên và nổi tiếng nhất được ra đời năm 1977 do Ron Rivest, Adil Shamir và Leonard Adelman, những người này đã được biết thông qua cái tên RSA. Các thuật toán thông dụng khác bao gồm mật mã đường cong elip (ECC - Elliptic Curve Cryptography) và DH (Diffie-Hellman).

Tuy nhiên, các hệ mật mã không đối xứng không phải là một giải pháp hoàn hảo. Việc lựa chọn một khoá riêng là một điều không đơn giản, nếu lựa chọn không tốt có thể dễ dàng làm hỏng kế hoạch. Ngoài ra, các hệ mật mã không đối xứng còn đưa ra một giải pháp cho vấn đề phân loại khoá bằng cách sử dụng một khoá riêng và một khoá công cộng. Điều này làm cho hệ mật mã không đối xứng trở nên phức tạp hơn nhiều và do đó mà việc tính toán cũng chậm hơn các hệ mật mã đối xứng, dẫn đến khó có thể giải quyết đối với các tập số liệu lớn.

2.1.2 Chữ ký số

Một ứng dụng điển hình của phương pháp mật mã khoá công cộng chính là chữ ký số trong đó khoá riêng được sử dụng để ký các bản tin và người nhận sử dụng khoá công cộng tương ứng để giải mật mã các bản tin trên. Chữ ký số được sử dụng để kiểm tra một bản tin có thực sự đến từ người gửi được mong đợi hay không, nó được hình thành dựa trên quan điểm rằng chỉ người tạo ra chữ ký mới có khoá riêng và nó có thể được kiểm tra bằng cách sử dụng khoá công cộng tương ứng. Chữ ký số được tạo bằng cách tính toán tóm tắt bản tin (MD: Message Degest) của một tài liệu, sau đó kết hợp với các thông tin về người ký, tem thời gian và một vài các thông tin cần thiết khác.

Ngày đăng: 23/05/2023