HỌc viện công nghệ BƯu chính viễn thông đỒ Án tốt nghiệP ĐẠi họC Đồ án



tải về 0.54 Mb.
trang12/12
Chuyển đổi dữ liệu15.08.2016
Kích0.54 Mb.
#20189
1   ...   4   5   6   7   8   9   10   11   12

3.3 An ninh mạng cho IMS

3.3.1 Khái niệm miền an ninh mạng


Thông thường một mạng sẽ được chia thành nhiều mạng con khác nhau để áp dụng các biện pháp an ninh được dễ dàng hơn. Mỗi mạng con này được gọi là miền an ninh. Tất cả các thực thể trong một miền an ninh thường được bảo vệ bởi cùng các chức năng an ninh giống nhau và ở cùng một cấp độ.

Mạng NDS/IP sẽ được chia thành nhiều miền con khác nhau. Biên giới giữa các miền an ninh này được bảo vệ bởi các SEG với chức năng thi hành chính sách an ninh của một miền an ninh đối với các SEG của miền an ninh khác. Người quản lý mạng có thể đặt nhiều SEG trong mạng của mình để đề phòng một SEG nào đó gặp sự cố hay để tăng tính hiệu quả. Một SEG có thể được liên kết đến tất cả các miền an ninh khác hoặc chỉ một số miền nào đó.

Vấn đề đảm bảo an ninh cho các miền trong mạng NDS/IP sẽ không bao gồm mặt bằng người sử dụng, do đó các miền an ninh và các SEG tương ứng của chúng sẽ không chứa giao diện Gi (được dùng để giao tiếp với các mạng IP khác).

Cấu hình chained-tunnel/hub-and-spoke sẽ được sử dụng để đảm bảo cơ chế an ninh từng bước. Tất cả lưu lượng của mạng NDS/IP đều phải truyền qua một SEG trước khi đi vào hay ra khỏi miền an ninh.


3.3.2 Cơ chế quản lý và phân phối khóa trong mạng NDS/IP


3.3.2.1 Các chức năng an ninh

Các đặc tính an ninh do IPSec cung cấp sẽ được quyết định trong giai đoạn thỏa thuận thiết lập SA. Các SA có nhiệm vụ xác định giao thức nào sẽ được sử dụng, cùng với chế độ hoạt động và các đầu cuối của kết nối.

Đối với các mạng NDS/IP thì giao thức IPSec được sử dụng luôn là ESP với chức năng bảo đảm tính toàn vẹn, nhận thực bản tin và chống lại tấn công replay (có thể thêm chức năng bảo đảm tính cơ mật).

3.3.2.2 Liên kết an ninh

Quá trình quản lý và phân phối khóa giữa các SEG trong mạng NDS/IP sẽ do giao thức IKE đảm nhiệm. Chức năng chính của IKE là thỏa thuận, thiết lập và duy trì các SA giữa các miền có nhu cầu trao đổi thông tin.

Để đảm bảo an ninh cho lưu lượng hai chiều giữa hai máy trạm hay hai SEG thì có thể dùng một song hướng hay hai SA đơn hướng.

Mỗi SA đơn hướng được xác định duy nhất bởi ba tham số sau:


  • SPI.

  • Địa chỉ IP đích.

  • Tham số xác định giao thức an ninh (luôn là ESP đối với mạng NDS/IP).

Khi sử dụng các SA trong mặt bằng điều khiển miền mạng của mạng NDS/IP thì cần chú ý những điểm sau:

  • NDS/IP chỉ hỗ trợ cho các SA ở chế độ đường hầm.

  • NDS/IP chỉ hỗ trợ cho các SA ESP.

  • Không cần phải kết hợp các SA (do một SA ESP cũng đủ để bảo vệ cho lưu lượng được truyền giữa các nút).

Các SA song hướng được xác định duy nhất bởi các tham số sau:

  • Cookie của phía thiết lập.

  • Cookie của phía hồi đáp.

Khi sử dụng các SA song hướng trong mặt bằng điều khiển miền mạng của mạng NDS/IP, cần chú ý rằng NDS/IP chỉ hỗ trợ cho các SA song hướng có các khóa chia sẻ trước.

3.3.3 Giao diện một miền và liên miền


3.3.3.1 Kiến trúc an ninh mạng

Cơ chế quản lý và phân phối khóa của NDS/IP được thiết lập dựa trên giao thức IKE, còn vấn đề đảm bảo an ninh sẽ do giao thức IPSec đảm nhiệm với ưu điểm là kiến trúc quản lý và phân phối khóa cho NDS/IP sẽ đơn giản và dễ hiểu hơn.

Nguyên lý hoạt động của kiến trúc NDS/IP là đảm bảo an ninh từng bước (hop-by-hop) để phù hợp với các cấu hình chained-tunnels và hub-and-spoke. Cơ chế đảm bảo an ninh từng bước sẽ giúp cho việc áp dụng các chính sách an ninh nội miền và liên miền được triển khai dễ dàng hơn.

Trong mạng NDS/IP chỉ có các SEG được sử dụng để trao đổi lưu lượng NDS/IP trực tiếp với các thực thể trong các miền khác. Các SEG sau đó tiến hành thiết lập và duy trì các SA ESP ở chế độ đường hầm nối giữa các miền (trong đó có ít nhất là một liên kết với một SEG phải luôn ở trạng thái sẵn sàng), đồng thời cũng duy trì các cơ sở dữ liệu SPD và SAD riêng biệt cho mỗi giao diện.





Hình 3. 12: Giao diện nội miền và giao diện liên miền.

Các thiết bị trong mạng đều có khả năng thiết lập và duy trì SA đến một SEG hay các thiết bị khác trong cùng miền nếu cần thiết. Tất cả lưu lượng NDS/IP gửi từ một thiết bị mạng trong miền này đến một thiết bị mạng trong miền khác sẽ được định tuyến qua một SEG và được xử lý an ninh từng bước trước khi được gửi đến đích.

Người điều hành có thể chỉ thiết lập một SA để truyền lưu lượng giữa hai miền an ninh khác nhau. Trong trường hợp này, SA được gọi là có đặc tính hạt thô. Ưu điểm của SA này là đảm bảo an ninh cho một số lớn lưu lượng, nhưng nhược điểm là không thể phân biệt được lưu lượng của một thực thể cụ thể nào đó. Tiếp theo, các SA có đặc tính hạt tinh sẽ được dùng để truyền và đảm bảo an ninh cho lưu lượng giữa các thực thể trong mạng.

3.3.3.2 Các giao diện



Sau đây là các giao diện được sử dụng để đảm bảo an ninh cho các giao thức trên nền IP:
          1. Giao diện Za

  • Za là giao diện giữa hai SEG và bao trùm lên tất cả các lưu lượng NDS/IP được truyền giữa hai SEG. Đối với giao diện Za thì cơ chế nhận thực và đảm bảo tính toàn vẹn là bắt buộc, còn cơ chế mã hóa chỉ mang tính chất khuyến nghị. Giao thức ESP sẽ được sử dụng để cung cấp các đặc tính an ninh này. Các SEG tiến hành thỏa thuận, thiết lập và duy trì đường hầm an ninh ESP giữa chúng thông qua giao thức IKE. Đường hầm này sau đó được dùng để truyền lưu lượng giữa hai miền an ninh (giả sử là hai miền A và B). Giữa các SEG có thể luôn tồn tại các đường hầm nối hoặc chỉ được thiết lập khi cần thiết.

  • Một SEG của miền này chỉ phải liên kết đến những miền nào có nhu cầu trao đổi lưu lượng nhằm giúp hạn chế số lượng SA cần phải duy trì giữa các miền.
          1. Giao diện Zb

  • Zb là giao diện giữa thiết bị mạng và SEG hay giữa các thiết bị mạng với nhau trong cùng miền an ninh. Việc sử dụng giao diện này để thực hiện xử lý IPSec chỉ có tính tùy chọn. Zb cũng dùng hai giao thức là ESP và IKE.

  • Trên giao diện Zb, ESP có chức năng cung cấp chức năng nhận thực và đảm bảo tính toàn vẹn cho dữ liệu, còn chức năng mã hóa chỉ có tính tùy chọn. Các lưu lượng cần được bảo vệ sẽ truyền trên SA ESP.

  • SA có thể được thiết lập trong trường hợp cần thiết hoặc theo yêu cầu của người điều hành để truyền lưu lượng NDS/IP giữa các thiết bị mạng khác nhau.

Chú ý:

  • Chính sách an ninh được thiết lập trên giao diện Za có thể phải tuân thủ theo các khuyến nghị về chuyển vùng. Nhưng đối với giao diện Zb thì lại khác, chính sách này do người quản lý quyết định.

  • Yêu cầu đảm bảo an ninh cho lưu lượng trao đổi giữa hai thiết bị của hai miền mạng khác nhau sẽ không ngăn cấm một thực thể vật lý có đồng thời các chức năng của thiết bị mạng và SEG. Do SEG có chức năng triển khai các chính sách an ninh đối với các miền đích bên ngoài nên thực thể tổng hợp trên cũng phải có chức năng tương tự. Cơ chế hoạt động của NDS/IP sẽ hỗ trợ chức năng đảm bảo an ninh trực tiếp cho lưu lượng giữa hai thiết bị mạng của hai miền khác nhau nếu cả hai thiết bị này đều có chức năng của SEG. Trong trường hợp thiết bị mạng và SEG được tích hợp vào trong một thực thể vật lý thì các thiết bị mạng khác sẽ không thể sử dụng chức năng của cổng này để truyền thông với các miền an ninh bên ngoài.


KẾT LUẬN


IMS nói riêng và NGN Release 1 nói chung là những vấn đề khá mới mẻ đối với lĩnh vực viễn thông ngày nay. Việc phát triển IMS hứa hẹn sẽ đem lại cho khách hàng một cơ sở hạ tầng viễn thông hiện đại hơn, cho phép các thiết bị đầu cuối hội tụ được nhiều chức năng, không những thế thời gian tạo lập dịch vụ cũng được rút ngắn đi rõ rệt. Bên cạnh đó, IMS còn cung cấp cho khách hàng các dịch vụ phong phú hơn với chất lượng ngày càng được nâng cao.

Sau thời gian nghiên cứu, đồ án của em đã hoàn thành được những nội dung như sau:



  • Giới thiệu tổng quan kiến trúc của IMS cùng các phần tử chức năng và các giao thức cơ bản được sử dụng.

  • Tìm hiểu giao thức Diameter và quá trình nhận thực phân quyền và thanh toán trong IMS sử dụng giao thức Diameter.

  • Tóm tắt được những thủ tục cần thiết để đảm bảo an ninh, quá trình nhận thực và mã hóa để đảm bảo tính bảo mật trong IMS.

Do hạn chế của bản thân và sự rộng lớn của vấn đề bảo mật Nên đồ án của em còn nhiều thiếu xót. Em rất mong sự thông cảm và đóng góp của các thầy cô để em có những hiểu biết đúng đắn và hoàn thiện hơn. Em xin chân thành cảm ơn.


TÀI LIỆU THAM KHẢO


    1. Gonzalo Camarillo and Miguel A. García – Martín, “The 3G IP Multimedia Subsystem (IMS)”, John Wiley & Sons Ltd, England, May 2006.

    2. 3GPP TS 23.228, “IP Multimedia Subsystem Release 8”, June, 2007.

    3. 3GPP TS 33.203, “3G Security; Access Security for IP-based services”, September 2007.

    4. 3GPP TS 33.210, “Network Domain Security; IP Networt Security”, December 2006.

    5. ETSI ES 287 007, “IP Multimedia Subsystem (IMS)”, June 2006.

    6. http://en.wikipedia.org/wiki/Wiki




Каталог: data -> file -> 2015 -> Thang02
Thang02 -> Những câu nói hay về tình yêu bằng Tiếng Anh I used to think that dreams do not come true, but this quickly changed the moment I laid my eyes on you
Thang02 -> Những bài thơ hay về ngày quốc tế phụ nữ 8-3
Thang02 -> Những từ tiếng Anh thường hay viết tắt
Thang02 -> VĂn khấN Đi chùa cầu bình an, may mắn và giải hạn năm mớI
Thang02 -> Exercise 1: Mark the letter A, B, c or d to indicate the correct answer to each of the following questions
Thang02 -> Maersk logistics quốc tế và Việt Nam (Đan Mạch)
Thang02 -> Tài Liệu Bồi Dưỡng Học Sinh Giỏi Lớp 7 Period 1 tenses summary (Tóm tắt)
Thang02 -> Vietnam National University, Hanoi College of foreign languages Post graduate Department o0o nguyễn phưƠng ngọc an Action research on the effects of Pre writing
Thang02 -> Chuyên đề tốt nghiệp Trường Học Viện Tài Chính

tải về 0.54 Mb.

Chia sẻ với bạn bè của bạn:
1   ...   4   5   6   7   8   9   10   11   12



Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý
    Quê hương
BÁO CÁO
Tài liệu