1. Trang chủ
  2. Giáo Dục - Đào Tạo

AN NINH TRONG THÔNG TIN DI ĐỘNG

83 2 0
AN NINH TRONG THÔNG TIN DI ĐỘNG

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

LUẬN VĂN AN NINH TRONG THONG TIN DI ĐỘNG Nguyễn Lê Trường - Lớp D2001VT i LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Công nghệ thông tin vô tuyến tạo thay đổi sâu sắc theo cách mà người tương tác với trao đổi thông tin xã hội Một thập kỷ qua, mơ hình thịnh hành cho hệ thống điện thoại mạng máy tính mơ hình mà người sử dụng tiếp cận mạng – tổ hợp điện thoại trạm máy tính nối dây tới sở hạ tầng liên mạng rộng Ngày nay, mơ hình dịch chuyển đến mơ hình nơi mà mạng tiếp cận người sử dụng họ xuất sử dụng chúng Khả liên lạc thông qua máy điện thoại tổ ong di chuyển thực hệ thống cho truy nhập Internet không dây ngày phổ biến Tiềm cung cấp độ mềm dẻo khả thông tin vô tuyến cho người sử dụng tổ chức rõ ràng Cùng thời điểm đó, việc cung cấp sở hạ tầng rộng khắp cho thơng tin vơ tuyến tính tốn di động giới thiệu nguy mới, đặc biệt lĩnh vực an ninh Thông tin vô tuyến liên quan đến việc truyền thơng tin qua mơi trường khơng khí, điển hình sóng vơ tuyến thông qua môi trường dây dẫn khiến cho việc chặn nghe gọi người sử dụng thơng tin với trở nên dễ dàng Ngồi ra, thơng tin vơ tuyến khơng thể sử dụng vị trí kết nối mạng người sử dụng phần tử để đánh giá nhận dạng chúng Để khai thác tiềm công nghệ người phải chuyển vùng tự với sản phẩm thông tin di động từ quan điểm sở hạ tầng mạng người xuất tự vị trí Trong đặc tính cung cấp cho người sử dụng tiện ích nhà cung cấp dịch vụ nhà quản trị hệ thống phải đối mặt với thách thức an ninh chưa có tiền lệ Luận văn tìm hiểu đề tài nhận thực th bao liên quan đến môi trường mạng vô tuyến Theo ngữ cảnh “thuê bao” người sử dụng: chẳng hạn khách hàng dịch vụ điện thoại tổ ong người sử dụng dịch vụ truy nhập Internet không dây Nhận thực thuê bao thành phần then chốt an ninh thông tin môi trường mạng nào, người sử dụng di động nhận thực đảm nhận thành phần Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Những nghiên cứu tìm hiểu chế để nhận thực thuê bao hai môi trường liên mạng Đầu tiên mạng tổ ong số hỗ trợ truyền thông máy điện thoại tổ ong Mạng trải qua phát triển từ công nghệ hệ thứ hai sang hệ thứ phương pháp nhận thực thuê bao kèm theo thay đổi Môi trường mạng thứ hai Giao thức Internet di động (Mobile IP), giao thức phát triển năm 90 kỷ 20 cho phép Internet hỗ trợ tính tốn di động Điều quan trọng nhận hai môi trường có nguồn gốc khác Mơi trường tổ ong số trình bày nghiên cứu chẳng hạn UMTS bắt nguồn từ mạng điện thoại Về mặt lịch sử nhiệm vụ mạng hỗ trợ hội thoại phương pháp thiết lập “mạch” cung cấp kết nối liên tục điểm đầu cuối Giao thức Internet di động mở rộng kiến trúc liên mạng Internet có tập trung vào việc hỗ trợ cho truyền thơng máy tính kiểu lưu lượng số liệu thoại Trong giới Internet, nhiệm vụ quan trọng định tuyến phân phối gói liệu thiết lập kênh tạm thời điểm-điểm Ngoài khác theo nguồn gốc mạng tổ ong số mơi trường Internet Mobile IP hoạt động gặp phải khác phương pháp thực nhận thực an ninh Tuy nhiên quan trọng hiểu tất công nghệ truyền thông công nghệ hỗ trợ hội thoại lẫn công nghệ hỗ trợ truyền số liệu ngày sử dụng cơng nghệ số Vì vậy, tầng ngăn xếp giao thức truyền thông, chúng sử dụng chế tương tự để truyền nhận thông tin Hơn nữa, truy nhập Internet không dây phát triển quan trọng không máy tính mà cịn máy điện thoại tế bào thách thức mà hai mơi trường liên mạng phải đối mặt lĩnh vực an ninh có khuynh hướng hợp Trong tương lai, điện thoại tế bào trở thành loại đầu cuối truy nhập Internet kết có tính khả thi lâu dài khác biệt công nghệ truyền thông tổ ong công nghệ Internet khơng cịn rõ ràng Chủ đề quan tâm thực lĩnh vực máy tính, truyền thơng an ninh thơng tin bị ảnh hưởng liên mạng vơ tuyến tính tốn di động Tuy nhiên lĩnh Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com vực khổng lồ phức tạp Nhận thực thuê bao chủ đề hẹp thích hợp cho phạm vi luận văn Tuy nhiên, dự định luận văn sử dụng khám phá nhận thực thuê bao mạng tổ ong số theo giao thức Mobile IP ống kính cho phép nhận thức rõ ràng khuynh hướng rộng an ninh cho môi trường liên mạng vô tuyến Chương giới thiệu nhận thực liên quan đến lĩnh vực lớn máy tính, truyền thơng bảo mật thông tin mạng vô tuyến cung cấp số đặc tính cụ thể mơi trường mạng vô tuyến gây trở ngại cho người thiết kế hệ thống an ninh Chương 2, trọng tâm chuyển đến việc nghiên cứu từ năm 1990 khẳng định tồn phương pháp cho hệ thống mật mã khoá công cộng với tiềm lớn cho môi trường thông tin vô tuyến Chương 3, trọng tâm chuyển đến xem xét giao thức cho mạng truyền thông tổ ong băng tần cao hệ thứ gọi UMTS (Universal Mobile Telecommunications System) Chương khảo sát nhận thực đề xuất cho ứng dụng miền truy nhập Internet không dây gọi Mobile IP (Mobile Internet Protocol) Cuối em xin gửi lời cảm ơn chân thành sâu sắc đến thầy TS Nguyễn Phạm Anh Dũng, thầy Nguyễn Viết Đảm Phạm Thị Th Hiền nhiệt tình giúp đỡ em hoàn thành đề tài Hà Nội – 2005 Nguyễn Lê Trường Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: Nhận thực môi trường liên mạng vô tuyến CHƯƠNG 1: NHẬN THỰC TRONG MÔI TRƯỜNG LIÊN MẠNG VÔ TUYẾN Từ điển New International Webster, phiên năm 1925 định nghĩa “nhận thực” nghĩa là: “Hành động nhận thực trạng thái nhận thực; trao cho quyền thẻ tín nhiệm thủ tục, xác nhận cần thiết” Động từ “authenticate” định nghĩa chặt chẽ hơn: “(1) để đưa tính xác thực, để trao quyền chứng, chứng nhận thủ tục yêu cầu luật cần thiết để dán tên cho thẻ tín nhiệm giống văn xác nhận dấu (2) để chứng minh tính xác thực; để xác định rõ tính chân chính, có thực tính thống xác nhận chân dung” 75 năm qua theo ngữ cảnh truyền thơng máy tính số, định nghĩa cịn có giá trị 1.1 Vai trò nhận thực kiến trúc an ninh Trong giới an ninh thông tin, nhận thực nghĩa hành động trình chứng minh cá thể thực thể chúng Theo Burrows, Abadi Needham: “Mục đích nhận thực phát biểu đơn giản khơng hình thức khơng xác Sau nhận thực, hai thành phần (con người, máy tính, dịch vụ) phải trao quyền để tin chúng liên lạc với mà liên lạc với kẻ xâm nhập” Vì vậy, sở hạ tầng IT hợp muốn nhận thực thực tế người sử dụng hệ thống sở liệu công ty giám đốc nguồn nhân lực trước cho phép quyền truy nhập vào liệu nhân cơng nhạy cảm (có lẽ phương tiện mật thẻ thông minh người dùng) Hoặc nhà cung cấp hệ thống thông tin tổ ong muốn nhận thực máy điện thoại tổ ong truy nhập vào hệ thống vô tuyến họ để thiết lập máy cầm tay thuộc người sử dụng có tài khoản máy điện thoại không thông báo bị đánh cắp Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: Nhận thực môi trường liên mạng vô tuyến 1.2 Vị trí nhận thực dịch vụ an ninh Nhận thực thành phần thuộc tập hợp dịch vụ cấu thành nên phân hệ an ninh sở hạ tầng thông tin tính tốn đại Các dịch vụ cụ thể cấu thành nên tập hợp đầy đủ khác phụ thuộc vào mục đích, nội dung thơng tin mức độ quan trọng hệ thống cha William Stallings, sách ông Cryptography and Network Security (Mật mã an ninh mạng) cung cấp dịch vụ bảo mật lõi có giá trị tham khảo lâu dài để đặt nhận thực ngữ cảnh hệ thống xác: Tính tin cậy (Confidentiality): Đảm bảo thơng tin hệ thống máy tính thơng tin truyền truy nhập để đọc bên có thẩm quyền.[….] Nhận thực (Authentication): Đảm bảo khởi nguồn tin văn điện tử nhận dạng xác đảm bảo việc nhận dạng không bị lỗi Tính tồn vẹn (Integrity): Đảm bảo bên có thẩm quyền sửa đổi tài nguyên hệ thống máy tính thơng tin truyền [….] Khơng thối thác (Non-repudiation): u cầu bên nhận lẫn bên gửi không từ chối truyền dẫn Điều khiển truy nhập (Access Control): Yêu cầu truy nhập tới tài ngun thơng tin điều khiển cho hệ thống quan trọng Tính sẵn sàng (Availability): Yêu cầu tài nguyên hệ thống máy tính khả dụng bên có thẩm quyền cần thiết Mô tả Stallings đề xuất chức bảo mật hệ thống cho ngưởi sử dụng hệ thống Như thích Burrows, Abadi Needham, quan trọng để hiểu điều chân thực chức áp dụng cho thiết bị vật lý (nhận thực máy điện thoại tổ ong) áp dụng với hệ thống máy tính (nhận thực server mạng không dây) Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: Nhận thực môi trường liên mạng vô tuyến Nhận thực mạng hữu tuyến thông thường thu hút cơng trình nghiên cứu nỗ lực thực suốt hai thập kỷ qua Trở lại năm 1980, số giao thức nhận thực tiếng cho hệ thống máy tính phân tán Kerberos (đầu tiên phát triển MIT phần dự án Athena), giao thức bắt tay RPC (Remote Procedure Call) Andrew, giao thức khố cơng cộng NeedhamSchroeder giao thức X.509 CCITT Thảo luận chi tiết giao thức nhận thực cho môi trường liên mạng vô tuyến phạm vi đề tài Đối với việc thảo luận sâu sắc giao thức Kerberos, CCITT X.509 khía cạnh nhận thực tổng quát người đọc xem tài liệu Stallings Đối với việc phân tích hình thức thủ tục tương ứng, đảm bảo yếu của bốn giao thức vừa đề cập tài liệu Burrows, Abai, Needham hữu dụng 1.3 Các khái niệm tảng nhận thực Trong luận văn tránh tìm hiểu chi tiết nhận thực mạng di động thông thường hệ thống phân tán vài khái niệm nhận thực quan trọng việc thảo luận chương Đó là: 1.3.1 Trung tâm nhận thực (Authentication Center) Trong giao thức liên quan đến việc sử dụng khố bí mật dành cho nhận thực, khố bí mật phải lưu trữ nhà cung cấp dịch vụ với thông tin cá nhân người sử dụng thuê bao mơi trường bảo mật cao Nói riêng giới điện thoại tổ ong hệ thống thường gọi Trung tâm nhận thực 1.3.2 Nhận thực thuê bao (Subscriber Authentication) Nhiều thảo luận liên quan đến nhận thực mạng tổ ong số bao gồm nhận thực thuê bao Điều nói tới nhận thực người sử dụng dịch vụ điện thoại tổ ong xảy cách điển hình người sử dụng thử thiết lập gọi, đăng ký yêu cầu với trạm gốc mạng cho việc cung cấp dịch vụ Nên ý “Nhận thực thuê bao” thường nói tới nhận thực tổ hợp điện thoại tổ ong thông tin Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: Nhận thực môi trường liên mạng vô tuyến thẻ thơng minh tổ hợp việc nhận thực người sử dụng thực người (mặc dù việc nhận thực dĩ nhiên mục tiêu cuối cùng) 1.3.3 Nhận thực tương hỗ (Mutual Authentication) Hầu hết giao thức nhận thực liên quan đến hai “thành phần (principals)” có bên thứ ba tin cậy ví dụ Certification Authority phụ thuộc vào giao thức Trong nhận thực tương hỗ, hai principal nhận thực lẫn Một ý quan trọng nhận thực không cần phải tương hỗ, chiều Chẳng hạn thảo luận nhận thực mạng điện thoại tổ ong hệ thứ ba, gặp phải trường hợp mạng nhận thực máy điện thoại tổ ong tìm sử dụng dịch vụ trạm gốc mạng không nhận thực tới máy điện thoại 1.3.4 Giao thức yêu cầu/đáp ứng (Challenge/Response Protocol) Một số giao thức tìm hiểu luận văn sử dụng chế Challenge/Response sở cho nhận thực Trong kịch Challenge/Response, bên thứ (first principal) muốn để thực nhận thực principal thứ hai tạo số ngẫu nhiên gửi đến principal thứ hai Trong nhiều giao thức, số ngẫu nhiên truyền tới Trung tâm nhận thực Principal thứ hai tổ hợp số nhẫu nhiên với khố bí mật theo thuật toán thoả thuận chung Chuỗi bit kết cuối xác định tổ hợp Challenge ngẫu nhiên với khố bí mật principal thứ hai truyền trở lại principal thứ Trong đó, Trung tâm nhận thực phía thứ ba tin cậy tương tự - mà có quyền truy nhập tới khố bí mật principal, thực tính tốn chuyển kết trở lại principal thứ Principal thứ so sánh hai giá trị chúng nhận thực principal thứ hai Chú ý chế Challenge/Response không yêu cầu principal thứ biết khố bí mật principal thứ hai ngược lại 1.3.5 Tạo khoá phiên (Session Key Generation) Mặc dù việc tạo khố phiên khơng cần thiết phần nhận thực thuê bao theo nghĩa hẹp nhất, thường xảy q trình thảo Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: Nhận thực môi trường liên mạng vô tuyến luận chương sau Một khoá phiên khố số sử dụng q trình mật mã tin trao đổi phiên thông tin đơn hai principal Vì khố phiên phân biệt với khố cơng cộng khố riêng người sử dụng hệ thống, khố điển hình có thời gian tồn dài Các hệ thống thông tin thường tạo khoá phiên với thuật toán chạy song song với thuật toán thực giao thức Challenge/Response (xem trên) với thuật tốn có đầu vào Khi thuật ngữ xuất chương luận văn này, chúng mang ý nghĩa định nghĩa 1.4 Mật mã khố riêng (Private-key) so với khố cơng cộng (Publickey) Khái niệm tảng khác thảo luận chương phân biệt mật mã khố cơng cộng mật mã khố riêng Nói chung, với mật mã khoá riêng (cũng gọi mật mã khoá đối xứng) hai bên muốn trao đổi tin mật dùng chung khố bí mật “secret key” (thường chuỗi bit ngẫu nhiên có độ dài thoả thuận trước) Những khoá đối xứng chức theo nghĩa principal A sử dụng khố bí mật thuật tốn mật mã để tạo văn mật mã (một tin mã hoá) từ văn tuý (bản tin ban đầu) Dựa việc nhận tin mật mã này, principal B tháo gỡ trình cách sử dụng khố bí mật cho đầu vào thuật toán lần thực ngược lại – theo mode giải mật mã Kết phép toán tin văn tuý ban đầu (“bản tin” nên hiểu theo nghĩa rộng – khơng phải văn đọc mà chuỗi bit hội thoại mã hoá số byte file hình ảnh số) Những ví dụ phổ biến hệ thống mật mã khoá riêng đối xứng gồm DES (Data Encryption Standard: Chuẩn mật mã số liệu) IDEA (International Data Encryption Algorithm: Thuật toán mật mã số liệu quốc tế) RC5 Với công nghệ mật mã khố cơng cộng, khơng có khố bí mật dùng chung Mỗi principal muốn trao đổi tin mật với principal sở hữu khoá bí mật riêng chúng Khố khơng chia sẻ với principal khác Ngoài ra, Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 1: Nhận thực môi trường liên mạng vô tuyến principal làm cho “public key” trở nên cơng cộng (khơng cần phải che giấu khố thực tế, hoạt động hệ thống mật mã khoá cơng cộng u cầu principal khác dễ dàng truy nhập thơng tin này) Mật mã khố cơng cộng sử dụng thuật toán mật mã bất đối xứng Nghĩa principal A tìm cách để gửi tin an toàn tới principal B, A mật mã tin văn tuý cách sử dụng khố cơng cộng tin ban đầu B đầu vào cho thuật tốn Điều khơng u cầu B có hành động đặc biệt khố cơng cộng B ln khả dụng cho A Principal A sau truyền tin tới principal B Thuật tốn mật mã khố cơng cộng hoạt động theo cách thức tin mật mã với khoá cơng cộng B giải mật mã với khố riêng B Khi B khơng chia sẻ khố riêng với có B giải mật mã tin RSA (được đặt tên theo Ron Rivest, Adi Shamir Len Adleman) có lẽ ví dụ tiếng hệ thống mật mã khố cơng cộng Thêm nữa, việc tìm hiểu chi tiết cơng nghệ mật mã khố riêng mật mã khố cơng cộng phạm vi luận văn Người đọc xem tài liệu Stallings để thảo luận rộng sâu Một tài liệu năm 1992 Beller, Chang Yacobi cung cấp thảo luận chi tiết việc phân biệt hệ thống khố riêng khố cơng cộng trường hợp cụ thể mạng di động Trong mạng tổ ong hệ thứ hai GSM (Global Systems Mobile), việc sử dụng cơng nghệ mật mã khố riêng trở nên tồn cầu Một giả định chung liên quan đến cơng nghệ khố cơng cộng chúng địi hỏi nhiều tính tốn đến mức khơng thể đưa vào thực tế môi trường liên mạng vô tuyến Như thấy chương 3, việc nghiên cứu tiến hành đầu năm 1990 thuật tốn mật mã khố cơng cộng “processor-light” tối ưu cho mạng vô tuyến đặt nghi vấn cho thông minh Cuộc tranh luận diễn giá trị phương pháp khố cơng cộng khố riêng nhận thực an ninh sơ đồ khoá cho việc nghiên cứu liên quan đến hoạt động mạng vô tuyến sẽ đóng vai trị định việc thiết kế phát triển hệ thống thập kỷ tới Nguyễn Lê Trường - Lớp D2001VT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng cộng vào tin M1  MH trả lời cách gửi trở lại FA chuỗi tin M2 M2 bao gồm mã thị yêu cầu dịch vụ, địa IP FA, địa IP HA MH, địa nhà MH, COD HM (vừa nhận từ FA), nonce tạo HA, nonce tạo MH, phiên tin M1 nhận bước trước MH ký tin với khố bí mật KSMH-HM, khoá sử dụng chung với HA  FA nhận tin M2 chuyển tiếp tới HA MH, gắn nonce riêng  HA đánh giá tính hợp lệ chữ ký tin M2, cách sử dụng phiên khố bí mật dùng chung KSMH-HA HA xác nhận địa IP cho FA xác định trùng khớp tin M1 tin M2 sau đánh giá tính hợp lệ chứng nhận FA thơng qua khả trung tâm nhận thực khố cơng cộng HA sau đánh giá tính hợp lệ chữ ký số FA tin M1, lấy khố cơng cộng KUFA từ chứng nhận FA  HA gửi trở lại FA chứng nhận nó, CertHA với chuỗi tin M4 M4 chứa mã thị reply đăng ký, mã chị kết yêu cầu đăng ký, địa IP FA, địa IP HA, địa nhà MH, nonce tạo HA, nonce tạo trước MH Một chữ ký số tạo với khố bí mật dùng chung HA MH gắn vào chuỗi M4, nonce gửi FA sau gắn vào chuỗi này, cấu thành tin M3 Đến lượt HA ký M3 cách sử dụng khoá riêng từ cặp khố riêng/khố cơng cộng  Khi nhận tin từ HA, FA đảm nhận bước đây: (1) đánh giá tính hợp lệ phiên nonce NFA nhận từ HA; (2) đánh giá tính hợp lệ chữ ký số tin M3, cách sử dụng khố cơng cộng HA; (3) Nguyễn Lê Trường - Lớp D2001VT 68 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng tạo đầu vào ghi với tin mà sau đóng vai trị chứng cung cấp dịch vụ tới MH FA lấy tin M4, mô tả bước từ toàn trình truyền dẫn nhận từ HA  FA sau chuyển tin M4 tới MH qua đoạn nối vơ tuyến  MH sử dụng khố bí mật KSMH-HA để đánh giá tính hợp lệ chữ ký tin M4 (Điều làm cho giao thức Sufatrio/Lam trở thành thiết kế lai khoá riêng khố cơng cộng) Ba thực thể HA, FA MH nhận thực tới tiếp tục phiên truyền thông chúng Sơ đồ hoạt động giao thức Sufatrio/Lam xem hình 4.3 Thực tế, MH không nhận thực FA cách trực tiếp đảm bảo HA làm nhận tin M4 đánh giá tính hợp lệ chữ ký tin Chữ ký lấy từ bí mật mà MH dùng chung với HA Theo giao thức Sufatrio/Lam, MH thực đánh giá chứng nhận kiểm tra revocation list, giảm gánh nặng xử lý truyền thông khối di động 4.6 Hệ thống MoIPS: Mobile IP với sở hạ tầng khố cơng cộng đầy đủ Khi truy nhập Internet phát triển ngày mạnh có thêm nhiều tổ chức vận hành mạng mà chứa MH muốn cung cấp dịch vụ thông tin qua sở hạ tầng Mobile IP sở hạ tầng khố cơng cộng (PKI) trở nên hấp dẫn Việc tạo sở hạ tầng PKI cho tính tốn di động trở ngại khó vượt qua Tuy nhiên nghiên cứu tiến hành John Zao đồng nghiệp BBN Technology tổ chức cộng tác thiết kế thực hệ thống MoIPS (Mobile IP Security) cung cấp kiến trúc mẫu cho sở hạ tầng mở an ninh Mobile IP thực tương lai Nguyễn Lê Trường - Lớp D2001VT 69 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng Hình 4.3: Sơ đồ minh hoạ hoạt động giao thức Sufatrio/Lam cho nhận thực môi trường Mobile IP [Lấy từ Sufatrio Lam] 4.6.1 Tổng quan hệ thống MoIPS Như thiết kế Zao người khác, mục tiêu nó, hệ thống MoIPS có dịch vụ an ninh phân phối sau: (1) nhận thực tin điều khiển Mobile IP cập nhật vị trí, (2) áp dụng điều khiển truy nhập qua MH muốn sử dụng tài nguyên mạng khách, (3) cung cấp đường hầm an ninh cho gói tin IP định hướng lại  Nhận thực q trình cập nhật vị trí: MoIPS hỗ trợ giao thức Mobile IP lẫn gọi Mobile IP định tuyến tối ưu hoá Theo Mobile IP định tuyến tối ưu hoá, CS mà cung cấp hỗ trợ di động thơng báo vị trí thời MH mà chúng muốn truyền thơng, loại bỏ quanh co định Nguyễn Lê Trường - Lớp D2001VT 70 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng tuyến tay bao thông qua mạng nhà Nguy an ninh công định hướng lại lưu lượng xa, kẻ mạo danh dẫn CH chuyển tiếp gói tin tới vị trí khác vị trí mà MH cư trú thời Theo MoIPS, đăng ký Mobile IP cập nhật ràng buộc (là thay đổi tin vị trí chuyển đến CH) bao gồm đuôi nhận dạng 64-bit (identification tag) để ngăn chặn công nhiều phần mở rộng nhận thực (authentication extension) cung cấp tính tồn vẹn liệu nhận thực ban đầu thông qua việc sử dụng MAC tạo hàm băm MoIPS cung cấp cặp khoá mật mã cho việc sử dụng MH FA, FA HA, MH Corresponding Agent  Điều khiển truy nhập cho Mobile Host: Theo kiến trúc MoIPS, node đầu cuối (như MH CH) tác nhân hỗ trợ di động (HA FA) giữ chứng nhận X.509 chứa tham số khố cơng cộng thơng tin nhận dạng sáp nhập thực thể Các chứng nhận phát hành thông qua phân cấp CA theo cách bị ràng buộc chuẩn X.509 Một FA sử dụng chứng nhận MH để nhận thực MH, thành cơng q trình nhận thực bao hàm FA chuyển tiếp yêu cầu đăng ký từ MH đến HA Tuy nhiên quyền sử dụng tài nguyên mạng liên quan đến việc kiểm tra trạng thái MH mà xảy trình nhận thực (chẳng hạn, kiểm tra liệu người sở hữu MH có phải trả hố đơn khơng) Chỉ có HA tiến hành kiểm tra trạng thái Một kiểm tra thành cơng quyền sử dụng tài nguyên mạng yêu cầu phép HA gửi lại trả lời tới FA  Đường hầm an ninh gói tin IP (Secure Tunneling of IP Packets): Trong giới Mobile IP, gói liệu di chuyển Mobile Node, FA, HA CS (mà thấy MH) qua Internet rộng lớn không bảo vệ, phần truyền dẫn chúng qua đoạn nối vô tuyến Các bước phải thực để bảo vệ gói tin chống lại nghe trộm sửa đổi gói tin Kiến trúc hệ thống MoIPS xác định HA FA chịu trách nhiệm việc đảm bảo tất việc truyền thông với MH sử dụng đường hầm an ninh cho Nguyễn Lê Trường - Lớp D2001VT 71 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng tính tồn vẹn liệu, nhận thực khởi đầu cần có tính tin cậy liệu MoIPS xác định việc sử dụng kiểu xuyên đường hầm giao thức an ninh đóng gói (ESP: Encapsulation Security Protocol) IPSec phương pháp để thực mục tiêu an ninh Các bên truyền thông đàm phán chế bảo mật mật mã sử dụng cấu tổ chức ESP, tất gói đóng gói header IPSec header IP mở rộng mà nhận dạng điểm đầu cuối đường hầm Để thực điều này, MoIPS chứa module hệ thống hỗ trợ IPSec ISAKMP (Internet Security Association and Key Management Protocol) So với giao thức nhận thực nghiên cứu chương trước cho mạng tổ ong số MoIPS có khởi đầu rõ ràng giới giao thức Internet ngược với giao thức độc quyền mạng truyền thông tổ ong Cũng rõ ràng phụ thuộc vào mật mã khố cơng cộng phần tử PKA, bao gồm chứng nhận số tập CA liên quan với 4.6.2 Các đặc tính kiến trúc an ninh MoIPS MoIPS cung cấp ví dụ tốt phương pháp khố cơng cộng gặp phải an ninh nhận thực môi trường Mobile IP Vì cần xác định vài thành phần then chốt kiến trúc an ninh Như thấy, mức giao thức Internet, MoIPS áp dụng biến thể ESP IPSec ISAKMP với Mobile IP Các mở rộng định tuyến tối ưu tới Mobile IP trợ giúp Đối với chứng nhận số khố cơng cộng, MoIPS sử dụng đặc tả X.509 Version với danh sách chứng nhận revocation Version (CRL: Certificate Revocation List) Đối với kho chứa chứng nhận, người thiết kế MoIPS sử dụng hệ thống tên miền (DNS: Domain Name System) Internet chuẩn Theo tác giả, phương pháp có vài ưu điểm: (1) sử dụng hệ thống DNS biết rõ sử dụng rộng rãi giúp giải vấn đề phát server; (2) chứng nhận công cộng loại bỏ yêu cầu truyền dẫn thời gian thực khố, cần thiết với sở hạ tầng trung tâm phân phối khoá (KDC: Key Distribution Center), có Nguyễn Lê Trường - Lớp D2001VT 72 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng thể thực với Kerberos; (3) yêu cầu phương pháp có tính mở rộng cao: “chúng ta phải có cơng nghệ thiết lập bí mật chia sẻ số lớn node trải rộng nhiều miền Internet” Phân cấp CA theo MoIPS giả định kiến trúc nhiều Mỗi cấu trúc có CA đỉnh (TLCA: Top-Level CA), CA mức (MLCA: Middle-Level CA) mức 0, tầng CA mức thấp Các CA mức thấp chịu trách nhiệm khối địa kề phát hành chứng nhận MoIPS tới thực thể Mobile IP mà có địa IP rơi vào phạm vi (chẳng hạn, tất node mạng cho trước có khả phục vụ CA) Việc xác nhận chéo cho phép TLCA MLCA Việc tham gia vào MoIPS yêu cầu việc sở hữu chứng nhận Mỗi thực thể muốn tham gia vào phiên truyền thông môi trường MoIPS – dù MH, FA, HA hay CH có khả nhận biết tính di động - phải đảm bảo an toàn chứng nhận X.509 V3 với profile cụ thể xác định cho MoIPS Các chứng nhận cho CH yêu cầu MoIPS trợ giúp Mobile IP định tuyến tối ưu hố an tồn Trong chứng nhận MoIPS, địa IP thực thể sử dụng trường tên chủ đề chứng nhận cho MH, FA, HA CH Khi điều có nghĩa chứng nhận phải phát hành lại có thay đổi địa IP thực thể cho phép hệ thống máy tính hoạt động, chẳng hạn HA FA nằm giao diện khác Ngược lại trường hợp CA, tên miền theo qui tắc tiêu chuẩn sử dụng tên chủ đề chứng nhận, loại bỏ yêu cầu tra tên miền trường hợp MoIPS sử dụng thuật toán băm SHA-1 để tạo chữ ký số chứng nhận X.509 MoIPS sử dụng kĩ thuật giống Diffie-Helman (DH) để tạo khoá mật mã, khoá phiên Mỗi chứng nhận MoIPS chứa giá trị công cộng DH cần thiết để hỗ trợ trao đổi tạo khoá Diffie-Helman Bí mật Diffie-Helman Nguyễn Lê Trường - Lớp D2001VT 73 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng lặp lại số nhận dạng bảo vệ chống công đưa vào hàm HMAC (MoIPS sử dụng hàm HMAC-MD5) thành phần “khoá” “bản tin” tương ứng Đầu sau sử dụng trình nhận thực tin điều khiển Mobile IP cách trả lại chuỗi đầu tin điều khiển thông qua hàm HMAC MoIPS sử dụng RSA CryptoKi CAPI (Cryptographic Application Program Interface: Giao diện lập trình ứng dụng mật mã) chế qua truy nhập engine mật mã Cũng trợ giúp PF Key CAPI dành cho quản lý khoá ngắn hạn (như khoá phiên) liên kết an ninh Những người thiết kế MoIPS tạo API thứ ba, gọi Cert_API, nhằm cung cấp tuyến module quản lý khoá xác nhận chứng nhận hệ thống MoIPS sử dụng trường mở rộng sách khố chứng nhận để truyền thơng tin cần cho điều khiển truy nhập theo Mobile IP Theo Mobile IP, đường hầm IPSec an tồn thiết lập từ MH đến FA, từ MH tới HA, từ FA tới HA Ngoài ra, tầm ảnh hưởng MoIPS/Mobile IP thiết lập đường hầm an ninh MH CH nhằm cung cấp mật mã đầu cuối đến đầu cuối an toàn thông tin Các thực thể Mobile IP hoạt động mơi trường MoIPS u cầu thiết lập đường hầm IPSec cách thêm trường mở rộng chọn đường hầm IPSec vào tin Khẩn nài tác nhân Mobile IP (Mobile IP Agent Solicitation), Quảng cáo tác nhân, yêu cầu đăng kí chuẩn Chi tiết đường hầm thiết lập sau đàm phán thực thể thông qua ISAKMP Một nguyên mẫu ban đầu môi trường MoIPS, phát triển nhà nghiên cứu BBC việc tái sử dụng module hệ thống sớm phát triển CMU đại học State Porland hoàn thành vào năm 1997 Những điểm then chốt là: (1) khả nhận chứng nhận X.509 danh sách thu hồi từ server DNS ghi tài nguyên X509CCRRL; (2) khả xác nhận chứng nhận X.509 CRL cách theo phân cấp CA nhiều cây; (3) khả nhận thực tin Nguyễn Lê Trường - Lớp D2001VT 74 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng đăng kí Mobile IP cấu tạo theo đặc tả IETF thông qua khoá phiên tạo thuật toán khố cơng cộng mơ tả trên; (4) việc tích hợp MH tới đường hầm CH IPSec với việc định hướng lại gói tin Mobile IP Sơ đồ khối minh hoạ CryptoKi CAPI Cert API PF-Key API module hệ thống nguyên mẫu MoIPS xem hình 4.4 Hình 4.4: Sơ đồ khối nguyên mẫu môi trường MoIPS (Lấy từ Zao et al) Các ứng dụng mục tiêu cho phiên tăng cường MoIPS gồm việc thực mở rộng hỗ trợ IPSec Mobile IP định tuyến tối ưu hoá cho mạng riêng ảo chứa MH Các tác giả xác định yêu cầu cho việc điều tra việc quản lí vị trí nhanh quản lí tinh vi liên kết an ninh 4.7 Tổng kết an ninh nhận thực cho Mobile IP Chương nghiên cứu phạm vi rộng phương pháp cho an ninh nhận thực người sử dụng môi trường Mobile IP Như thiết lập với Giao thức đăng kí Mobile IP, phương pháp khố cơng cộng đối xứng sử dụng theo Nguyễn Lê Trường - Lớp D2001VT 75 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 4: Nhận thực an ninh IP di dộng Mobile IP Tuy nhiên, chúng hiệu tổ chức quản lí khố điều khiển mơi trường tính tốn di động, tập người tham gia đàm phán trước mối quan hệ qua lại, tình thoả thuận chuyển vùng nhà cung cấp dịch vụ tổ ong Những ví dụ trường hợp chứa tập đồn với nhiều địa điểm cung cấp hỗ trợ tính tốn di động tới nhân viên nó, nhà cung cấp dịch vụ truyền thông vô tuyến tạo dịch vụ truy nhập Internet không dây khả dụng thông qua sở hạ tầng xác định khơng phải tồn cầu Đây ví dụ quan trọng mục tiêu cuối Mobile IP cho kịch hệ thống hàng nghìn nhà cung cấp dịch vụ thông tin qua mạng hàng trăm nhà cung cấp dịch vụ truy nhập Internet không dây Giao thức đăng kí Mobile IP sở khơng thể mở rộng mức Cũng nghiên cứu chương Giao thức Sufatrio/Lam đưa phương pháp “light-weight” cho nhận thực người sử dụng cách sử dụng việc lai ghép hai kỹ thuật mật mã đối xứng không đối xứng cách khiến HA thực nhiệm vụ gấp đôi Trung tâm phân phối khoá Cuối cùng, khám phá hệ thống MoIPS John Zao đồng nghiệp anh thông qua chiến lược khố cơng cộng đối xứng phát triển mạnh dựa chứng nhận X.509 sở hạ tầng khố cơng cộng hồn chỉnh Nhiều phần tử kiến trúc tiến tới trạng thái mà chúng sử dụng tảng cho thực thương mại trái với nguyên mẫu nghiên cứu MoIPS khơng thể thấy phát triển hệ thống dựa Mobile IP hệ thứ Tuy nhiên, liên kết chặt chẽ mật mã khố cơng cộng PKI hoàn chỉnh với Mobile IP đưa hướng tương lai giải vấn đề lớn tính mở rộng Nguyễn Lê Trường - Lớp D2001VT 76 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com KẾT LUẬN Luận văn chủ yếu xem lại tài liệu khảo sát có khuynh hướng đại then chốt nghiên cứu nhận thực thuê bao cho mạng tổ ong số Internet không dây Điều xác định việc thực then chốt vài nghiên cứu chủ đạo lĩnh nực cung cấp phác thảo cho công việc thời, cố gắng để làm bật vấn đề, khuynh hướng quan trọng đưa dự án cho việc đầu tư tương lai Tuy nhiên quan trọng để nhận thấy toàn lĩnh vực nhận thực an ninh cho môi trường liên mạng vô tuyến công việc phát triển Nhiều vấn đề cạnh tranh diễn công nghệ khố mật mã khố cơng cộng (public key) khố riêng (private key) chưa giải quyết, đồng thời tảng tính tốn truyền thơng sở phát triển không ngừng Công nghệ an ninh cho thông tin vô tuyến tiếp tục thay đổi nhanh chóng thập kỷ tới tiềm thực cơng nghệ tính chất đe doạ tới an ninh phát triển theo thời gian Từ nghiên cứu luận văn dự đốn số thành phần lộ trình phát triển Các phần tử cịn lại chắn cịn bí ẩn Điều khơng mong muốn thúc đẩy hướng tới lịch sử Internet cách thường xuyên có lẽ tiếp tục với tần số ngày tăng lịch sử Internet khơng dây mở Nguyễn Lê Trường - Lớp D2001VT 77 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO Giáo trình thơng tin di động GSM Biên soạn: TS Nguyễn Phạm Anh Dũng Giáo trình thơng tin di động hệ ba Biên soạn: TS: Nguyễn Phạm Anh Dũng 3G Wireless Networks: Clint Smith and Daniel Collins and others McGraw-Hill, 2002 Subscriber Authentication and Security in Digital Cellular Network Howard Wolfe Curtis, PDF File Nguyễn Lê Trường - Lớp D2001VT 78 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nguyễn Lê Trường - Lớp D2001VT 79 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nguyễn Lê Trường - Lớp D2001VT 80 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nguyễn Lê Trường - Lớp D2001VT 81 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nguyễn Lê Trường - Lớp D2001VT 82 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... định đặc điểm an ninh hoạt động điểm theo thời gian mức độ an ninh Nguyễn Lê Trường - Lớp D2001VT 38 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 3: Nhận thực an ninh UMTS ... với trạm di động thơng qua, khác hủy bỏ phiên truyền thông Trạm di động chọn số ngẫu nhiên gọi RANDX có chức khóa phiên Ks Trạm di động sau tính giá trị gọi a, a  RANDX2 mod NBS Trạm di động sau... D2001VT 29 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 3: Nhận thực an ninh UMTS CHƯƠNG 3: NHẬN THỰC VÀ AN NINH TRONG UMTS 3.1 Giới thiệu UMTS Hệ thống viễn thơng di động tồn

Ngày đăng: 02/11/2022, 10:14

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan