Sự bí mật nhận dạng người sử dụng sẽ được nâng cao thông qua việc sử dụng nhóm các khoá.
Các thuật toán mật mã UMTS cơ bản sẽ được làm chung, lưu ý về sự chỉ chích thường xuyên của GSM.
Sự hỗ trợ bảo toàn tốt dữ liệu cũng như sự bí mật sẽ được cung cấp.
Một khái niệm đi tới trong lĩnh vực nhận thực thuê bao cho UMTS là: mạng tạm trú quan tâm về việc đang được thanh toán tiền hơn là sự nhận dạng người sử dụng. Đây là đặc điểm nổi bật của mạng tạm trú, sự nổi bật này là dựa vào sự trao quyền để cung cấp các dịch vụ hơn là nhận thực. Hệ thống của nhận thực thuê bao đạt được thúc đẩy tương tác giữa thuê bao di động và mạng thường trú bằng việc cho phép thông tin truyền tới mạng sẽ cung cấp dịch vụ tới thuê bao di động (mạng khách). Theo cách này, sự nhận thực có thể đạt được không làm hại sự bí mật nhận dạng người dùng.
4.4 CÁC LĨNH VỰC AN NINH CỦA UMTS
Một yêu cầu cao đối với sự thiết kế cấu trúc an ninh cho UMTS là tạo một hệ thống cơ sở mà hệ thống này có thể mở rộng được sau này. Giống như trong trường hợp sự thiết kế về Internet, một phương pháp tiếp cận khoá là đơn vị hoá cấu trúc an ninh bằng cách tạo một bộ các lớp và tiếp theo để kết hợp một tập các nguyên tố, cùng với sự thiết kế hệ thống và các mục đích thực hiện, đối với những lớp này. Những đơn vị này gọi là “Domains” bởi các nhà thiết kế UMTS, và trong thiết kế thực tế sẽ có 5 domains như sau:
4.4.1 An ninh truy nhập mạng
Bó những đặc trưng an ninh cung cấp cho người sử dụng di động sự truy nhập an toàn tới cơ sở hạ tầng UMTS, và việc bảo vệ người sử dụng khỏi sự tấn công vào liên kết vô tuyến không dây tới mạng mặt đất. Các thành phần khoá này bao gồm:
Bí mật nhận dạng người dùng: IMUI và thông tin nhận dạng thường xuyên khác liên hệ với người sử dụng không bị tiết lộ cho kẻ nghe trộm.
Có thể bạn quan tâm!
-
An Ninh Lớp Truyền Tải Vô Tuyến (Wtls) -
Minh Họa Sự Tương Tác Giữa Các Thành Phần Riêng Biệt Của Cấu Trúc An Ninh Gsm -
Minh Hoạ Sự Hoạt Động Của Bản Tin Nhận Thực Thuê Bao Trao Đổi Trong Dect -
Tìm hiểu các thủ tục và nhận thực trong mạng WCDMA - 9
Xem toàn bộ 72 trang tài liệu này.
Nhận thực chung: Cả thiết bị đầu cuối di động và BS của mạng dịch vụ nhận thực được với nhau, điều này đã ngăn chặn được kẻ giả dạng tấn công vào cả 2 bên của phiên truyền thông.
Bí mật của người sử dụng và dữ liệu báo hiệu: Cả nội dung của phiên truyền thông của thuê bao và thông tin báo hiệu liên kết được bảo vệ trong việc truyền qua liên kết không dây.
Bảo toàn dữ liệu và nhận thực gốc: Thực thể nhận trong một phiên truyền thông có thể xác minh rằng bản tin đã nhận không thay đổi trong khi truyền và bản tin đó xuất phát thực tế từ bên yêu cầu.
4.4.2 An ninh lĩnh vực mạng
Tập các đặc trưng an ninh trong cho phép các node trong cơ sở hạ tầng mạng nhà cung cấp trao đổi dữ liệu báo hiệu được đảm bảo về an ninh và bảo vệ chống lại sự xâm phạm cơ sở hạ tầng hữu tuyến.
Nhận thực nguyên tố mạng: Khả năng các thành phần của cơ sở hạ tầng mạng thuộc vào các nhà cung cấp dịch vụ khác nhau, để nhận thực mỗi thành phần trước khi dữ liệu nhạy cảm được trao đổi.
Bí mật của dữ liệu trao đổi: Sự bảo vệ của dữ liệu trao đổi giữa các nguyên tố mạng khỏi kẻ nghe trộm tấn công. điều này đạt được điển hình thông qua mã hoá.
Bảo toàn dữ liệu và nhận thực gốc: Điều này tương đương với khía cạnh bảo toàn dữ liệu và nhận thực gốc của an ninh truy nhập mạng, nhưng áp dụng đối với sự liên hệ giữa các nguyên tố mạng. Khi một nguyên tố mạng truyền dữ liệu báo hiệu tới phần tử khác, node nhận dữ liệu có thể xác nhận rằng dữ liệu đã không bị biến đổi trong khi truyền, và dữ liệu sinh ra thực tế cùng với nguyên tố mạng được trình diện như bản gốc. một lần nữa, những đặc tính này phải áp dụng qua mạng của nhà cung cấp dịch vụ UMTS khác nhau.
4.4.3 An ninh lĩnh vực người sử dụng
Tập các đặc trưng áp dụng cho sự tương tác giữa một người sử dụng và handset UMTS của họ. Một mục đích khoá trong lĩnh vực này là để tối thiểu hoá sự thiệt hại và sự lừa đảo có thể xảy ra khi một handset bị đánh cắp.
Nhận thực người sử dụng tới USIM: Nhận thực trong lĩnh vực nhỏ này áp dụng cho mối liên hệ giữa một thuê bao cá nhân và phương thức nhận dạng thuê bao bằng Smart-card trong handset UMTS của thuê bao. Để hạn chế việc sử dụng handset đối với chủ nhân của nó, hoặc một nhóm cá nhân được trao quyền, người sử dụng có thể cần cung cấp một PIN mục đích để mở đầu một phiên truyền thông.
Liên kết đầu cuối USIM: Giống như Smart-card hỗ trợ USIM đã ghi có thể thay đổi , USIM còn cần thiết để bảo vệ mối liên hệ giữa USIM và handset
UMTS. Điều này sẽ nhận được một cách điển hình thông qua một bí mật chung trong cả USIM và thiết bị đầu cuối bởi nhà cung cấp dịch vụ khi dịch vụ được khơi mào. Liên kết đầu cuối UMTS ngăn chặn một USIM card của người sử dụng khỏi bị chèn vào một handset khác và sử dụng không có sự cho phép.
4.4.4 An ninh lĩnh vực ứng dụng
Các đặc trưng an ninh cho phép trao đổi an toàn bản tin ở mức ứng dụng giữa handset và hệ thống của một phần nhà cung cấp dịch vụ thế hệ 3. Trong cấu trúc UMTS, sự cung cấp nhu cầu làm cho nhà vận hành mạng hoặc nhà cung cấp khác để tạo sự ứng dụng thường trú trong USTM hoặc trong handset.
Bản tin an toàn: Bản tin an toàn sẽ cung cấp một kênh an toàn cho việc truyền bản tin giữa USIM và một Server mạng.
Bí mật lưu lượng người sử dụng băng rộng: Sự bảo vệ bản tin chống lại những kẻ tấn công nghe trộm, điển hình qua mã hoá trên đường dây cũng như những phần không dây của cơ sở hạ tầng.
4.4.5 Visibility và Configurability trong an ninh
Những khả năng người sử dụng có thể nhận biết các đặc trưng an ninh gì trong sự vận hành và kiểm soát những dịch vụ gì được sử dụng cho một bộ các dịch vụ an ninh chắc chắn.
Visibility: Thông qua cơ cấu hoạt động cung cấp bởi cơ sở hạ tầng UMTS, hệ thống người sử dụng có thể quyết định những đặc trưng an ninh trong sự vận hành ở bất kỳ thời điểm nào và mức độ của an ninh như thế nào.
Configurability: Thông qua cơ cấu hoạt động cung cấp bởi cơ sở hạ tầng UMTS, người dùng có thể yêu cầu nhóm các dịch vụ an toàn phải ở trong sự vận hành trước khi người dùng sử dụng một dịch vụ chắc chắn. Ví dụ như trường hợp hợp lý này có thể áp dụng để cho phép hoặc làm tê liệt việc sử dụng mã PIN cá nhân đối với USIM trong handset của nó, hoặc đối với sự quyết định từ chối những cuộc gọi không mã hoá.
ADS
UDS
NAS
NAS
NDS
NAS
NAS
NAS
Mức ứng dụng
Mức truyền tải
Mạng truy nhập
Ứngdụng người dùng
Ứng dụng nhà cung cấp dich vụ
M
Thường t
ức
rú/dịch vụ
Thiết bị đầu cuối (Handset)
Đơn vị nhận dạng cac dich vụ người dùng (USIM)
Mạng dịch vụ (SN)
Môi trường thường trú(HE
Đầu cuối di động
Hình 4.1: Minh họa lĩnh vực hoạt động an ninh UMTS trong mối liên hệ giữa các thành phần của toàn bộ hệ thống UMTS.
Chú ý: Các mã dưới đây được sử dụng cho các lĩnh vực an ninh UMTS trong hình 4.1.
NAS: Network Access Security – An ninh truy nhập mạng NDS: Network Domain Security – An ninh lĩnh vực mạng USD: User Domain Security – An ninh lĩnh vực người dùng
ADS: Application Domain Security – Anh ninh lĩnh vực ứng dụng
4.5 NHẬN THỰC THUÊ BAO UMTS TRONG GIAI ĐOẠN NGHIÊN CỨU
Cấu trúc an ninh UMTS đã thu hút nặng nề những dự án nghiên cứu tài trợ bởi nhóm Châu Âu và một vài nước thành viên. Trong phần này chú tâm đến các giao thức nhận thực thuê bao phát triển tương đối sớm trong quá trình phát triển của UMTS, thông qua dự án ASPECT (Advanced Security for Personal Communications) dưới chương trình ACT.
Dự án ASPECT xem xét sự khác nhau của các phương pháp tiếp cận tới nhận thực thuê bao trong UMTS, nhưng bản báo cáo đầu tiên đệ trình vào tháng 2 năm 1996. Công việc này có thể được nhìn tổng quát như sự thăm dò, nổi bật sự chấp nhận đề xuất các giao thức nhận thực thuê bao từ tất cả các tổ chức quan tâm và phân tích những thứ chống lại các yêu cầu UMTS. Tháng 2 năm 1996, bản báo cáo ASPECT diễn tả 3 đề xuất đối với nhận thực thuê bao và sự sinh ra khoá phiên trong UMTS, đệ trình bởi Royal Hollowing, Siemens và KPN.
Đề xuất Royal Hollowing được dựa trên một cơ cấu hoạt động Challenge- response đối xứng, tương tự đã thấy trong GSM. Giao thức này thực đưa ra nhận thực chung giữa trạm di động và trạm gốc mạng, và nâng cao an ninh định vị người dùng ( sau khi nhận được bằng cách sử dụng chỉ các nhận dạng người dùng tạm thời, và tránh sự truyền của nhận dạng người dùng thường xuyên của thuê bao di động trong văn bản rõ dàng qua liên kết vô tuyến ). Hai giao thức được đề xuất từ Siemens và KPN có khác nhau quan trọng, trong đó chúng xuất phát từ các kỹ thuật khoá công cộng. Phần dưới đây diễn tả phương thức tiếp cận đề xuất bởi Siemens.
4.5.1 Diễn tả về giao thức khoá chung của Siemens cho UMTS
Giao thức cơ bản khoá chung cho nhận thực và sự phát sinh khoá phiên đề xuất bởi Siemens sử dụng các nhóm nhân của một lĩnh vực giới hạn hoặc các tiểu nhóm đường cong elip như phương pháp tiếp cận khoá cơ bản. Trong cả hai trường hợp, an inh của mã hoá phụ thuộc vào thực tế rằng vấn đề thuật toán riêng rẽ là khó. Đề xuất giao thức Siemens yêu cầu một sự trao quyền chứng nhận tin cậy (CA) và một dịch vụ xác nhận an toàn (CS) chúng có thể thực hiện xác nhận chứa đựng khoá chung sẵn có đối với cả thuê bao và với các nhà vận hành mạng, thích hợp với các phương thức tiếp cận cơ sở hạ tầng khoá chung (PKI) cổ điển. Một phần khác của cơ sở hạ tầng là một “nevocation list”, nó ghi những số nhận dạng của thuê bao, những số này không dài hơn tiêu chuẩn để nhận dịch vụ.
Đề xuất Siemens thực tế có 3 nét đặc trưng, mang tên các giao thức con A,B và
C. Ba giao thức này chứa đựng sự khác nhau đôi chút.
Giao thức con-A : chú tâm đến trường hợp nhận thực các bản sao của các khoá chung của mỗi trạm gốc và mạng phục vụ, những khoá này có sẵn trong máy chủ mạng phục vụ và handset di động tương ứng và do đó các khoá này không cần trao đổi trong tiến trình của phiên truyền thông.
Giao thức con-B : chú tâm đến trường hợp một sự xác nhận có hiệu lực của trạm di động là có sẵn trong handset trạm di động, nhưng không có sẵn trong máy chủ mạng phục vụ, và sự xác nhận tính hợp lý của khoá thoả hiệp chung của nhà vận hành mạng là có sẵn trên máy chủ mạng phục vụ,nhưng không có trong handset mạng di động.
Giao thức con-C : chú tâm trường hợp không được nhận thực bản sao của khoá chung của thuê bao di động có sẵn trên máy chủ mạng phục vụ, và không nhận thực bản sao khóa chung của nhà vận hành mạng có sẵn trong handset trạm động.
Trong sự diễn tả này,chúng ta sẽ tìm ra dấu hiệu giao thức con C. Sự diễn tả này cho sự sáng suốt nhất vào khía cạnh của các giao thức khoá chung và cơ sở hạ tầng bao hàm trong đề xuất Siemens.
4.5.2 Sự thực hiện nhận thực thuê bao trong UMTS
Sự thực hiện của các hệ thống vô tuyến sử dụng phương pháp tiếp cận công nghệ UMTS, các nhóm thực hiện 3GPP đã di chuyển xa trọng tâm từ sự xem xét học giả diễn tả trong phần trước. Cụ thể, sự diễn tả đối với nhận thực thuê bao trong UMTS, các nhà thiết kế 3GPP đã lựa chon để sử dụng một lược đồ gần giống với nhận thực GSM, với sự nâng cao chọn lọc. Giao thức UMTS này sử dụng một phương pháp tiếp cận cơ sở khóa cá nhân đối xứng trong trung tâm nhận thực của mạng thường chú của thuê bao và USIM Smartcard trong handset của người sử dụng dùng chung một khóa bí mật.
Do đó, nhận thực được thiết kế cho sự thực hiện của UMTS, thực hiện khác một số điểm quan trọng so với thế hệ hai.
Phương thức nhận dạng thuê bao (SIM) hoặc trong thế giới UMTS, USIM trong handset và trung tâm nhận thực (AuC) dùng chung một chuỗi số tác dụng như một khóa bí mật. Chuỗi số này không phải là một giá trị cố định, nó thay đổi theo thời gian.
Thêm vào sự nhận thực thuê bao thông thường, trạm gốc của mạng thường trú được nhận thực tới trạm di động như phần của giao thức nhận thực.
Trong giai đoạn nhận thực, UMTS thiết lập một khóa phiên để mã hóa dữ liệu trong phiên truyền thông, và một khóa của sự nhận dạng dữ liệu.
Các thuật toán mã hóa của UMTS sẽ được đặt trong miền công cộng đối với chú giải và sự phân tích.
Những bước quan trọng trong giao thức UMTS đối với nhận thực chung và sự thiết lập khóa phiên như dưới đây
Node phục vụ (SN) điều khiển bộ ghi định vị tạm trú (VLR) và yêu cầu dữ liệu nhận thực từ môi trường thường trú (HE), node này hỗ trợ bộ ghi định vị thường trú (HLR) và trung tâm nhận thực (AuC).
Hình 4.2: Luồng bản tin trong nhận thực UMTS cơ sở và giao thức phát sinh khóa phiên.
Môi trường thường trú gửi một tập vector nhận thực tới node dịch vụ. Mỗi vector có thể được sử dụng để đạt được một sự nhận thực và sự thỏa thuận khóa phiên giữa SN và USIM trong trạm di động. Mỗi AV (tương đương với bộ ba GSM) bao gồm: Một số ngẫu nhiên yêu cầu RAND; Một kết quả đáp ứng tới yêu cầu đó, XRES; Một mã hóa phiên CK; Một khóa bảo toàn dữ liệu IK; Một dấu hiệu nhận thực AUTN.
Mạng dịch vụ gửi yêu cầu ngẫu nhiên RAND và dáu hiệu nhận thực AUTN tới MS qua liên kết vô tuyến.
USIM trong MS xác nhận rằng AUTN có thể được chấp nhận (do sự nhận thực đạt được của mạng đối với MS). Sau đó MS sinh ra một đáp ứng, RES, đối với người yêu cầu ngẫu nhiên RAND và truyền RES quay trở lại SN.
Hình 4.3: Phát sinh vector nhận thực UMTS (AV) và chuỗi dấu hiệu nhận thực (AUTN) ở trung tâm nhận thực.
USIM tính các giá trị riêng CK và IK. Sử dụng RAND, chuỗi số ghi trong AUTN, và khóa bí mật của USIM.
Mạng dịch vụ so sánh RES nhận được từ MS với XRES. Nếu hai giá trị bằng nhau, MS được nhận thực.
USIM và SN truyền CK tới những thành phần chức năng hệ thống để mã hóa dữ liệu truyền, và truyền IK tới các thành phần chức năng của hệ thống để kiện toàn bộ dữ liệu.
Trong giao thức nhận thực UMTS như được diễn tả ở trên, dấu hiệu nhận thực AUTN là một nguyên tố dữ liệu khóa. AUTN bao gồm (1)Chuỗi số SQN, XORed với một “khóa nặc danh” AK; (2)Trường nhận thực và quản lý khóa AMF; (3)Một mã nhận thực bản tin MAC.
Mục đích của khóa nặc danh là để cho dấu chuỗi số có thể cung cấp thông tin và nhận dạng và định vị của thuê bao. AMF có thể mang thông tin từ chung tâm nhận