ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -ZY - ĐƯỜNG TẤT TOÀN NGHIÊN CỨU GIAO THỨC MOBILE IP VÀ GIẢI PHÁP BẢO MẬT LUẬN VĂN THẠC SĨ Hà Nội - 2006 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -ZY - ĐƯỜNG TẤT TOÀN NGHIÊN CỨU GIAO THỨC MOBILE IP VÀ GIẢI PHÁP BẢO MẬT LUẬN VĂN THẠC SĨ Ngành: Công nghệ thông tin Mã số: 1.01.10 NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS NGUYỄN VĂN TAM Hà Nội - 2006 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT .4 DANH MỤC CÁC HÌNH VẼ .5 MỞ ĐẦU Chương TỔNG QUAN .9 1.1 Tình hình phát triển truyền thông không dây 1.1.1 Sự phát triển mạng thông tin di động 1.1.2 Mạng LAN không dây .11 1.1.3 Mạng riêng không dây mạng Ad hoc 12 1.1.4 Nhận xét 12 1.2 Phân loại đặc tính di động nút 13 1.3 Các vấn đề kết nối di động 13 1.3.1 Gián đoạn kết nối 14 1.3.2 Băng thông thấp 14 1.3.3 Sự biến đổi băng thông .14 1.3.4 Các mạng không .15 1.3.5 Các nguy an ninh 15 1.4 Hạn chế mạng IP truyền thống .16 1.4.1 Giao thức TCP/IP .16 1.4.2 Giao thức IPv4 19 1.4.3 Giao thức IPv6 23 1.4.4 Nhận xét 26 1.5 Giao thức hỗ trợ di động macro Mobile IP 27 1.6 Các giao thức hỗ trợ di động micro 28 1.6.1 Hierachical Mobile IP 29 1.6.2 Fast Handoff .30 1.6.3 Proactive Handoff 30 1.6.4 TeleMIP 31 1.6.5 Cellular IP 31 1.6.6 HAWAII 31 1.6.7 EMA 32 1.7 Kết luận chương 32 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật Chương GIAO THỨC MOBILE IP 33 2.1 Tổng quan Mobile IP 33 2.1.1 Giới thiệu 33 2.1.2 Các thành phần mạng mobile IP 34 2.1.3 Phương thức hoạt động Mobile IP 36 2.2 Quá trình phát trạm .40 2.2.1 Quảng bá trạm 40 2.2.2 Yêu cầu quảng bá 44 2.2.3 Cơ chế phát hiên di chuyển 44 2.3 Quá trình đăng ký địa .45 2.3.1 Bản tin yêu cầu đăng ký 45 2.3.2 Cấu trúc tin trả lời đăng ký 48 2.4 Q trình trao đổi thơng tin 49 2.5 Quá trình huỷ bỏ đăng ký địa 51 2.6 Tối ưu hoá định tuyến 51 2.6.1 Bảng địa nhớ đệm nút chuyển tiếp .52 2.6.2 Cơ chế tạo Binding Cache 52 2.6.3 Điều khiển chuyển giao mềm Foreign Agent .54 2.7 Một số lưu ý Mobile IP 60 2.7.1 Một số vấn đề cần lưu ý với Mobile Node 60 2.7.2 Những điểm cần lưu ý với Foreign Agent 61 2.7.3 Những điều cần lưu ý với Home Agent .63 2.7.4 Một số vấn đề định tuyến Mobile IP 65 2.7.5 Một số phương pháp đóng gói Mobile IP .66 2.8 Kết luận chương 72 Chương GIẢI PHÁP BẢO MẬT CHO MOBILE IP .73 3.1 Nguy an ninh bảo mật Mobile IP 73 3.1.1 Các yêu cầu bảo mật thông tin mạng 73 3.1.2 Các nguy với bảo mật Mobile IP 73 3.1.3 Các giải pháp bảo mật cho Mobile IP 75 3.2 Chống công replay Mobile IP 76 3.2.1 Chống công replay nhãn thời gian 77 3.2.2 Chống công Nonces 78 3.3 Giải pháp xác thực cho Mobile IP 79 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật 3.3.1 Chuẩn xác thực thông điệp Mobile IP 79 3.3.2 Xác thực theo chế yêu cầu/đáp ứng .82 3.3.3 Xác thực theo chế khóa cơng khai PKA .85 3.3.4 Xác thực với khóa công khai tối thiểu .88 3.4 Giải pháp với kiến trúc AAA 89 3.4.1 Xác thực, kiểm sốt tính phí với AAA 89 3.4.2 Phân phối khóa với hạ tầng AAA 91 3.5 Giải pháp với Hệ thống tường lửa 92 3.5.1 Tránh xung đột với lọc đầu vào đường hầm nghịch 92 3.5.2 Bổ sung tính cho firewall 94 3.6 Giải pháp mã hóa liệu với IPSec .95 3.6.1 IPSec 95 3.6.2 Giải pháp IPSec Mobile IP .97 3.6.3 Cải tiến trao đổi khóa cho IPSec Mobile IP 100 3.7 Kết luận chương 103 Chương ỨNG DỤNG MOBILE IP TRONG MẠNG CCFSCnet 104 4.1 Giới thiệu mạng thông tin quản lý thiên tai CCFSCnet 104 4.1.1 Sự đời hệ thống thư điện tử WAFFLE (1994) 104 4.1.2 Sự đời mạng DMUnet (1998) 104 4.1.3 Mạng CCFSCnet 105 4.2 Khả ứng dụng Mobile IP 108 4.3 Giải pháp Cisco Mobile VPN .109 4.3.1 Giới thiệu 109 4.3.2 Kiến trúc Cisco Mobile VPN 110 4.3.3 Cơ chế tương hỗ IPsec Mobile IP 112 4.3.4 Một số lưu ý triển khai Cisco Mobile VPN .113 4.4 Triển khai mạng CCFSCnet 114 4.5 Kết luận chương 115 KẾT LUẬN 116 TÀI LIỆU THAM KHẢO 118 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật DANH MỤC CÁC TỪ VIẾT TẮT CMC Cisco Mobile Client CN Correspondent Node COA Care-of Address FA Foreign Agent GFA Gateway Foreign Agent HA Home Agent IP Internet Protocol MN Mobile Node POA Point of Attachement SA Security Association SPI Security Parameter Index TCP Transmission Control Protocol VPN Virtual Private Network WGAN Wireless Global Area Network WLAN Wireless Local Area Network WPAN Wireless Personal Area Network WWAN Wireless Wide Area Network Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật DANH MỤC CÁC HÌNH VẼ Hình 1: Sự phát triển mạng di động từ 2G lên 3G Hình 2: Giao thức TCP/IP mơ hình OSI .16 Hình 3: Các trường IP Header 19 Hình 4: Lưu đồ trình định tuyến 23 Hình 5: Các trường Header IPv6 24 Hình 6: Cơ chế hoạt động Mobile IP .27 Hình 7: Bảng quản lý địa Home Agent 37 Hình 8: Bảng quản lý địa Foreign Agent 38 Hình 9: Quá trình định tuyến Mobile IP 39 Hình 10: Cấu trúc tin ICMP 41 Hình 11: Phần mở rộng tin ICMP 42 Hình 12: Phần mở rộng Prefix-Length 43 Hình 13: Cấu trúc tin yêu cầu đăng ký 46 Hình 14: Cấu trúc phần mở rộng tin yêu cầu đăng ký 47 Hình 15: Cấu trúc tin trả lời đăng ký .48 Hình 16: Quá trình chuyển gói tin tới MN 50 Hình 17: Q trình định tuyến gói tin mạng .51 Hình 18: Quá trình tạo Binding Cache 53 Hình 19 Quá trình cập nhật địa 54 Hình 20: Quá trình chuyển giao mềm 55 Hình 21: Cấu trúc tin cảnh báo địa .56 Hình 22: Cấu trúc tin yêu cầu địa 57 Hình 23: Cấu trúc tin cập nhật địa 58 Hình 24: Cấu trúc tin trả lời cập nhật địa .59 Hình 25: Quá trình trao đổi tin để phát cập nhật địa 60 Hình 26: Đóng gói IP IP 67 Hình 27: Đóng gói Minimal Encapsulation for IP 68 Hình 28: Minimal Encapsulation Header 69 Hình 29: Khn dạng thơng điệp mở rộng xác thực MN HA 81 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật Hình 30: Khn dạng thông điệp mở rộng xác thực MN FA 82 Hình 31: Khn dạng thơng điệp mở rộng xác thực MA FA 82 Hình 32 Hạ tầng kiểm tra .83 Hình 33 Mở rộng challenge 83 Hình 34 Mở rộng Challenge MN-FA 85 Hình 35 Mở rộng quảng bá Agent 86 Hình 36 Thơng điệp u cầu đăng ký nhận FA 86 Hình 37 Thơng điệp u cầu đăng ký gửi tới HA 87 Hình 38 Thông điệp trả lời đăng ký từ FA 87 Hình 39 Thơng điệp trả lời đăng ký MN nhận 88 Hình 40: Mơ hình Mobile IP/AAA .90 Hình 41: Các thiết lập bảo mật mơ hình Mobile IP/AAA 90 Hình 42: Gói tin quảng bá Agent 93 Hình 43: Gói tin IP bảo vệ IPSec chế độ giao vận chế độ đường hầm 96 Hình 44: Mở rộng quảng bá IPSec FA 99 Hình 45: Mở rộng yêu cầu IPSec MN .99 Hình 46: Tiêu đề thông điệp ISAKMP 101 Hình 47: Tải liệu “Cập nhật địa IP” (IP Address Update) 102 Hình 48: Hệ thống mạng CCFSCnet 106 Hình 49: Kiến trúc mạng riêng ảo (Cisco VPN) 110 Hình 50: Một topo ví dụ cho kiến trúc Mobile VPN 111 Hình 51: Tương hỗ Mobile IP Tunnel IPsec Tunnel 113 Hình 52: Mạng CCFSCnet bổ sung thêm 115 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật MỞ ĐẦU Internet truyền thông di động không dây phát triển cách nhanh chóng Trong đó, thơng tin dịch vụ triển khai thông qua giao thức IP chiếm ưu Nhu cầu trì liên tục kết nối IP thiết bị di động trở nên cần thiết Giao thức Mobile IP đời đưa vào ứng dụng để đáp ứng nhu cầu Mục tiêu Mobile IP hỗ trợ khả kết nối IP thiết bị di chuyển liên mạng với kết nối không dây nên vấn đề bảo mật liệu quan trọng Luận văn vào nghiên cứu Mobile IP hỗ trợ cho kết nối IP thiết bị không cố định vấn đề bảo mật liệu gắn liền với giao thức Luận văn chia thành bốn chương chính: Chương – Tổng quan Giới thiệu cách tổng quan tình hình phát triển, thách thức xu hướng truyền thơng khơng dây Qua đó, thấy nhu cầu tính toán, kết nối chạy ứng dụng mạng người dùng khơng văn phịng tất yếu Chương nêu vấn đề mà người dùng gặp phải trình kết nối di động Từ vấn đề nảy sinh qúa trình di động, chương đưa hạn chế họ giao thức TCP/IP Từ đó, thấy cần thiết việc bổ sung thêm tính cho phép người dùng thiết lập, trì kết nối, trì ứng dụng di chuyển Chương – Giao thức Mobile IP Chương sâu phân tích đặc tính kỹ thuật Mobile IP: thành phần Mobile IP, phương thức hoạt động Mobile IP vấn đề cần lưu ý Mobile IP Chương – Giải pháp bảo mật cho Mobile IP Trong chương này, vấn đề nguy an ninh đặc thù Mobile IP phân tích Do đặc điểm người dùng di động sử dụng kết nối không dây, nguy an Đường Tất Tồn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật ninh liên quan tới đặc tính liệu truyền qua sóng vơ tuyến Mặt khác, đặc tính q trình thiết lập kết nối Mobile IP, nguy bị công an ninh cần phân tích Qua phân tích nguy mật, chương trình bày số giải pháp an ninh bảo mật cho Mobile IP Chương – Ứng dụng Mobile IP mạng CCFSCnet Chương trình bày trạng mạng thơng tin quản lý thiên tai Văn phịng Ban đạo Phòng chống Lụt bão Trung Ương Bên cạnh, giải pháp kết hợp Mobile IP với khả bảo mật Cisco Mobile VPN phân tích Qua đó, đề xuất ứng dụng giải pháp Cisco Mobile VPN cho mạng CCFSCnet đưa Phần Kết luận trình bày đánh giá rút qua trình thực luận văn, khả ứng dụng phương hướng nghiên cứu nội dung luận văn Tuy học viên cố gắng thu thập nghiên cứu tài liệu chưa có điều kiện để thực thử nghiệm thực tế Do luận văn khơng tránh khỏi có thiếu sót Rất mong đóng góp ý kiến, nhận xét để học viên hồn thiện kết làm việc Đường Tất Tồn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 105 Nghiên cứu giao thức Mobile IP giải pháp bảo mật Phòng chống Lụt bão Trung Ương với văn phòng Ban huy phòng chống lụt bão tỉnh, thành phố số Văn phòng Ban huy chống lụt bão bộ, nghành Trung Ương Với công nghệ mới, mạng DMUnet cung cấp cho người dùng khả trao đổi thông tin mạng với ứng dụng thư điện tử dễ dùng hơn, với giao diện đồ hoạ, tiếng Việt, dựa trình duyệt Internet phổ biến Internet Explorer, Netscape Navigator cho phép người dùng dễ dàng kết nối qua mạng điện thoại cơng cộng vào mạng DMUnet Bên cạnh đó, dự án VIE/97/002 hỗ trợ xây dựng website tiếng Anh website tiếng Việt Các web site cung cấp thơng tin quản lý phịng chống thiên tai Việt Nam mà nội dung phịng chống lụt bão Các thông tin DMUweb bao gồm thông tin khái quát thiên tai, kiện thiên tai, văn bản, tài liệu quản lý thiên tai, thông tin tham khảo, thông tin thiệt hại, cứu trợ, tài trợ Các tin tức thiên tai, tình hình thiên tai, cơng điện đạo cập nhật DMUweb Website tiếng Anh tiếng Việt đặt Web server DMUnet cho phép văn phòng Cục tỉnh, quan liên quan (đã đăng ký vào mạng) truy nhập để cập nhật thơng tin tìm kiếm thơng tin lưu từ trước Trang Web tiếng Anh đưa lên Internet nơi mà thơng tin thức thiên tai từ Văn phòng Ban đạo Phòng chống Lụt bão Trung Ương công bố với giới, tổ chức nước quốc tế ln truy cập để tìm kiếm thơng tin liên quan đến thiên tai Việt Nam 4.1.3 Mạng CCFSCnet Do phát triển nhanh chóng cơng nghệ thông tin, đồng thời hạ tầng viễn thông có nhiều thay đổi, giá cước Internet giảm nhiều, hoạt động mạng DMUnet DMUweb có nhược điểm Mạng DMUnet nâng cấp thành mạng CCFSCnet để ứng dụng lợi sở hạ Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 106 Nghiên cứu giao thức Mobile IP giải pháp bảo mật tầng viễn thông Internet Việt Nam nâng cao hiệu trao đổi thông tin liệu hệ thống quản lý thiên tai Việt Nam Hình 48: Hệ thống mạng CCFSCnet Mạng CCFSCnet cấu thành từ thành phần sau - Hệ thống kết nối cung cấp truy nhập - Trang thông tin CCFSCweb - Hệ thống thư điện tử CCFSCmail - Hệ thống chia sẻ liệu CCFSCdata - Hệ thống thông tin địa lý GIS online (đang thử nghiệm) f) Hệ thống kết nối cung cấp truy nhập Mạng CCFSCnet có đường truyền riêng kết nối 24/24h với Trung tâm Dự báo Khí tượng Thuỷ văn Quốc gia – Bộ Tài Nguyên Môi trường Mọi liệu phục vụ công tác PCLB Văn phòng BCĐ (ảnh mây vệ tinh, số liệu thuỷ, số Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 107 Nghiên cứu giao thức Mobile IP giải pháp bảo mật liệu khí tượng ) cập nhật liên tục từ Trung tâm Dự báo KTTV TW sang Văn phòng BCĐ PCLBTW Mạng CCFSCnet trang bị hệ thống kết nối trực tiếp với Internet qua đường truyền Internet tốc độ cao (Leased Line) Bên cạnh đó, mạng CCFSCnet trì khả cung cấp kết nối dial-up cho người dùng Về khả bảo mật, mạng CCFSCnet có hệ thống tường lửa (firewall) ngăn chặn truy nhập trái phép phá hoại từ bên ngồi g) Trang thơng tin CCFSCweb DMUweb xây dựng với công nghệ Web tĩnh từ năm 1998 Website nâng cấp với công nghệ Web động cho phép liệu cập nhật quản lý linh hoạt h) Hệ thống thư điện tử CCFSCmail Hệ thống thư điện tử CCFSCmail cung cấp giao diện gửi/nhận thư thông qua chương trình gửi nhận thư thơng dụng sử dụng giao thức POP3/SMTP Hệ thống thư điện tử CCFSCmail cung cấp giao diện gửi nhận thư dựa web – cho phép gửi/nhận thư điện tử việc truy cập Website i) Hệ thống chia sẻ liệu CCFSCdata Với hệ thống kết nối mới, người dùng tham gia vào mạng CCFSCnet có khả chia sẻ file liệu đặt máy chủ Các liệu bảo vệ người dùng nội mạng cấp quyền truy cập có khả tiếp cận j) Hệ thống thông tin địa lý GIS Hệ thống thông tin địa lý online thử nghiệm Hệ thống có khả cho phép người dùng truy cập online thông tin từ sở liệu đồ số, đồ nguy ngập lụt Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 108 Nghiên cứu giao thức Mobile IP giải pháp bảo mật Hiện tại, ứng dụng online thử nghiệm (như hệ thống thu thập thông tin thiệt hại, khảo sát thực địa trực tuyến) đặt nhiều khả phát triển ứng dụng tương lai 4.2 Khả ứng dụng Mobile IP Với phát triển nhanh chóng gần mạng thơng tin di động khả kết nối di động thực Hiện mạng di động GSM Việt Nam cho phép thiết bị kết nối Internet di động thông qua dịch vụ GPRS Nhưng khả di động hỗ trợ lớp lớp IP khơng phải IP Để đưa Mobile IP vào ứng dụng rộng rãi, cần có hạ tầng mạng không dây rộng rãi từ WPAN, WLAN, tới WWAN, chí WGAN Chỉ có hạ tầng với hỗ trợ từ nhà cung cấp dịch vụ di động, Internet để đưa vào Mobile IP chuẩn bảo mật, quản lý khóa, roaming, Mobile IP thực phát huy tác dụng đem tới khả tính tốn kết nối nơi, lúc Mạng CCFSCnet hoạt động hiệu để phục vụ yêu cầu trao đổi thơng tin cơng tác phịng chống thiên tai Tuy nhiên, nhu cầu di động bảo mật thơng tin phục vụ phịng chống thiên tai nhận thấy: - Trong thiên tai bão, lũ, việc kết nối thông qua phương tiện không dây hữu ích chúng có nguy bị cố thấp phương tiện kết nối truyền thống khác Khi đó, việc tiếp cận thiết bị hữu tuyến trở nên khó khăn - Trong sử dụng ứng dụng trực tuyến (như hệ thống GIS trực tuyến, thu thập cập nhật trực tuyến thông tin thiên tai, thông tin thiệt hại…), người dùng có nhu cầu trì phiên kết nối đảm bảo tính liên tục hoạt động Cơng việc trở nên nhanh, tiết kiệm thời gian công sức cho việc cập nhật truyền liệu hệ thống trung tâm Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 109 Nghiên cứu giao thức Mobile IP giải pháp bảo mật - Các thông tin thiên tai (nhất số liệu thiệt hại) thông tin nhạy cảm Bộ Công an xếp số liệu liên quan đến thiên tai chưa cơng bố thức vào danh mục thơng tin “mật” Do đó, bảo mật thông tin truyền qua mạng yêu cầu cần đáp ứng Do đặc thù hạ tầng mạng Việt Nam chưa hỗ trợ Mobile IP rộng rãi, mong đợi tồn FA mạng ngồi khơng khả thi Đo đó, để ứng dụng Mobile IP, MN cần làm việc với Mobile IP chế độ địa COA tự quản (Co-located Care-of-Address), nghĩa chưa có hỗ trợ FA kiến trúc mạng Trong phần tiếp theo, giải pháp Cisco Mobile VPN trình bày đề xuất giải pháp khả thi cho mạng riêng lẻ mong muốn có hỗ trợ Mobile IP đảm bảo tính bảo mật 4.3 Giải pháp Cisco Mobile VPN 4.3.1 Giới thiệu Cisco Mobile VPN [8] bổ sung Cisco vào giải pháp hỗ trợ di động hệ điều hành mạng Cisco (Cisco IOS IP Mobility) Cisco Mobile VPN cung cấp khả di động bảo mật cho thiết bị di động đầu cuối máy tính xách tay, tablet PC, PDA Giải pháp cho phép người dùng sử dụng nhiều cơng nghệ có dây khơng dây khác nhau(WiFi, cellular data wireless, Ethernet, v.v.) để truy cập từ xa mạng Intranet đâu, lúc cách bảo mật Giải pháp Cisco Mobile VPN kết hợp công nghệ bảo mật Cisco VPN với công nghệ Cisco IOS IP Mobility a) Công nghệ Cisco IP Mobility Cisco IP Mobility giải pháp bao gồm Cisco IOS Home Agent Cisco Mobile Client Cisco Mobile Client (CMC) phần giải pháp di động từ Cisco CMC có khả quản lý thiết lập mạng (network profile), từ có khả Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 110 Nghiên cứu giao thức Mobile IP giải pháp bảo mật lựa chọn giao diện mạng, tương tác với công cụ quản lý mạng CMC có tính chủ động khả cung cấp kết nối liên tục Ví dụ, cường độ tín hiệu WLAN giảm ngưỡng, kết nối PPP tự động thiết lập để phòng tín hiệu WLAN tiếp tục giảm Nếu tín hiệu WLAN giảm tới ngướng tiếp theo, CMC chuyển sang kết nối PPP thiết lập dự phòng Với Cisco IP Mobility, HA IOS router mạng thường trú đóng vai trị HA Mobile IP HA chuyển tiếp gói tin từ nút CN (Correspondent Node) tới CMC b) Nhu cầu di động người dùng VPN Giải pháp công nghệ Cisco VPN bao gồm Cisco VPN client, Cisco IOS VPN gateway, Cisco VPN concentrator dựa IPsec Đây giải pháp tồn diện đảm bảo tính bảo mật cho liệu hệ thống Tuy nhiên, người dùng VPN di chuyển, địa IP thay đổi dẫn tới ngắt quãng kênh (tunnel) thông tin bảo mật Người dùng phải thiết lập lại kết nối, điều khơng đảm bảo tính liên tục 4.3.2 Kiến trúc Cisco Mobile VPN Kiến trúc Cisco Mobile VPN giải pháp kết hợp Mobile IP IPsec VPN Kiến trúc xây dựng dựa kiến trúc Cisco VPN (Hình 49), đưa vào khả hỗ trợ di động (Hình 50) Hình 49: Kiến trúc mạng riêng ảo (Cisco VPN) Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 111 Nghiên cứu giao thức Mobile IP giải pháp bảo mật a) Kiến trúc Cisco VPN Trong Hình 49 mạng Internet WLAN xem mạng bên mà thiết bị Mobile VPN di chuyển tới Khi nút Mobile VPN mạng ngồi, có nhu cầu truy nhập mạng bên (internal network) IPsec VPN Thiết bị IPsec VPN Gateway đóng vai trị điểm kết nối IPsec VPN với nút Mobile VPN Để xây dựng mạng theo kiến trúc này, VPN Gateway thiết bị tập trung dòng sản phẩm Cisco VPN3000 (VPN3000 series Concentrator) định tuyến VPN dựa Cisco IOS (Cisco IOS Software based VPN router) VPN Client phần mềm Cisco VPN Client Software, sử dụng nút Mobile VPN để khởi tạo kết nối IPsec VPN với VPN Gateway Thêm vào đó, định tuyến biên BR (Border Router) sử dụng để giao tiếp với Internet Bộ đinh tuyến BR có khả cung cấp chức dịch địa NAT (Network Address Translation) b) Kiến trúc Cisco Mobile VPN Hình 50: Một topo ví dụ cho kiến trúc Mobile VPN Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 112 Nghiên cứu giao thức Mobile IP giải pháp bảo mật Để hỗ trợ người dùng Mobile IP, kiến trúc Cisco VPN cần bổ sung hai thành phần sau để tạo nên kiến trúc Cisco Mobile VPN: - Bộ định tuyến HA Router (Home Agent Router) - Phần mềm Mobile IP Client cho nút Mobile VPN Để xây dựng mạng thực tế theo kiến trúc này, thiết bị định tuyến Cisco từ dòng thiết bị định tuyến Cisco 1700 Series tới dòng thiết bị Cisco 7200 series giữ vai trị HA router Phần mềm hệ điều hành mạng Cisco IOS dòng sản phầm (Cisco IOS Release 12.4) hỗ trợ Mobile IP Do đó, dịng thiết bị định tuyến sử dụng làm HA Bộ phận Mobile IP Client nút di động – người dùng Mobile IP – sử dụng phần mềm Cisco Mobile Client Thành phần HA đóng vai trò “điểm neo” cho nút Mobile VPN (từ đây, tài liệu gọi ngắn gọn MN) Cho dù MN nằm đâu, phần lại mạng xem MN mạng thường trú Do gói tin hướng tới MN chuyển tới HA Tiếp đó, HA chuyển tiếp gói tin tới vị trí thực tế MN thông qua tunnel Mobile IP thân HA MN Thành phần phần mềm Mobile IP Client làm nhiệm vụ thiết lập tunnel Mobile IP Khi phần mềm khởi động, kết nối tới HA để đăng ký vị trí MN Quá trình đăng ký tạo nên tunnel Mobile IP HA MN Hai đầu tunnel địa IP HA địa CCOA (Care-of-Address) MN Khi HA nhận thấy gói tin gửi tới MN, HA bổ sung vào gói tin tiêu đề thích hợp chuyển tới đầu bên tunnel 4.3.3 Cơ chế tương hỗ IPsec Mobile IP Về mặt logic, MN xem mạng thường trú Khi MN khởi tạo IPsec tunnel, mặt logic, tunnel tạo địa thường trú MN IPsec VPN Gateway MN Bởi HA biết MN Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 113 Nghiên cứu giao thức Mobile IP giải pháp bảo mật thực đầu Mobile IP tunnel, HA cần mở rộng IPsec tunnel thông qua Mobile IP tunnel tới MN Hình 51: Tương hỗ Mobile IP Tunnel IPsec Tunnel Khi MN di chuyển tới mạng khác, thành phần Mobile IP Client đăng ký với HA để cập nhật địa Khi đó, Mobile IP tunnel thiết lập HA địa CCOA MN, Mobile IP tunnel cũ bị hủy bỏ Hệ HA dịch chuyển IPsec tunnel tới Mobile IP tunnel Việc dịch chuyển MN suốt IPsec VPN Gateway Từ góc nhìn VPN gateway, MN luôn mạng thường trú Điểm cuối IPsec tunnel không thay đổi, tunnel không bị đứt quãng dịch chuyển MN Điều cho phép MN di động mà trì kết nối bảo mật VPN 4.3.4 Một số lưu ý triển khai Cisco Mobile VPN Khi triển khai giải pháp Mobile VPN dựa topo Hình 50, cần lưu ý số điểm sau: - Địa HA ln truy cập từ mạng ngồi.:Điều bắt buộc để MN thiết lập Mobile IP tunnel - IPsec VPN Gateway phải “mở” cổng UDP 1645 HA cần truy xuất thiết lập bảo mật (Mobile IP Security Association) với MN từ AAA server Tuy nhiên, điều khơng cần thiết thiết lập Đường Tất Tồn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 114 Nghiên cứu giao thức Mobile IP giải pháp bảo mật bảo mật thực HA AAA server nằm VPN Gateway - Mobile IP phải hoạt động chế độ Reverse Tunnelling Điều cần thiết để bỏ qua kiểm tra RPF (Reverse Path Forwarding) mạng - Một lưu ý quang trọng qúa trình hoạt động: MN cần kích hoạt Mobile IP trước, sau kích hoạt IPsec 4.4 Triển khai mạng CCFSCnet Để triển khai Cisco Mobile VPN vào mạng CCFSCnet cần có số thiết bị mạng Cisco thay bổ sung vào mạng tại: - Một thiết bị VPN Gateway đóng vai trị “cửa có khóa bảo mật” song song với hệ thống tường lửa SonicWall tai: sử dụng thiết bị dòng sản phầm Cisco VPN3000 series Concentrator - Một thiết bị đóng vai trị HA: sử dụng thiết bị định tuyến dòng thiết bị định tuyến Cisco 1700 Series tới Cisco 7200 series nâng cấp phần mềm IOS thiết bị router (IOS Release 12.0) - Các phần mềm Cisco VPN Client, Cisco Mobile IP Client để cài đặt cho máy tính xách tay người dùng - Ngoài ra, để tăng cường quản lý người dùng tính bảo mật, quản lý khóa, bổ sung thêm AAA server vào vùng DMZ AAA server máy chủ cài đặt TACACS+ RADIUS Kết hợp lại, ta có sơ đồ mạng CCFSCnet bổ sung khả hỗ trợ Mobile VPN Hình 52 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 115 Nghiên cứu giao thức Mobile IP giải pháp bảo mật Hình 52: Mạng CCFSCnet bổ sung thêm 4.5 Kết luận chương Giải pháp Cisco Mobile VPN giải pháp khả thi tình hình mạng CCFSCnet mạng có quy mơ khác Nó tăng thêm khả hỗ trợ Mobile IP đồng thời đảm bảo khả bảo mật thơng tin Tuy nhiên, cững nhận thấy với việc sử dụng phần mềm nút di động (Cisco Mobile IP Client Cisco VPN Client), địi hỏi khả tính tốn thiết bị di động Do vậy, thích hợp cài đặt máy tính xách tay Thực tế, phần mềm Cisco viết cho hệ điều hành Windows Do vậy, thiết bị khác có lực tính tốn hạn chế ( PDA) hoạt động môi trường hệ điều hành khác chưa thể tham gia Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 116 Nghiên cứu giao thức Mobile IP giải pháp bảo mật KẾT LUẬN Trong thời đại mạng thông tin di động 3G phát triển, mạng 4G bắt đầu thử nghiệm khả tính tốn di động (mobile computing) trở thành thực Nội dung luận văn cho thấy, Mobile IP giải pháp đời phát triển để đáp ứng yêu cầu di động Tuy hạn chế định hoạt động bảo mật phiên 4, phát triển Mobile IPv6 tương lai loại bỏ nhược điểm Khi mạng không dây thực phát triển triển khai rộng rãi, với xu hướng hội tụ máy tính, viễn thơng nội dung đa phương tiện dựa IP, Mobile IP phát huy tối đa hiệu Các giải pháp bảo mật cho Mobile IP luận văn đề xuất cần thử nghiệm điều kiện thực tế Nhũng thử nghiệm thực tế cần thiết để đánh giá lựa chọn giải pháp phù hợp tối ưu Đề xuất ứng dụng giải pháp cụ thể (Cisco Mobile VPN) luận văn khả thi phù hợp với trạng mạng nơi học viên công tác Tuy nhiên, hạn chế chưa có kết đánh giá triển khai thực tế chư thể đầu tư mặt thiết bị HƯỚNG NGHIÊN CỨU TIẾP THEO Mobile IPv4 cịn đang tiếp tục hồn thiện Do đó, vấn đề cịn mở dành cho nghiên cứu cụ thể sâu như: - Đánh giá Mobile IP môi trường di động với tốc độ khác nhau: Mobile IP thiết kế với giả thiết dịch chuyển có tốc độ khơng q lớn (không thay đổi POA giây) Nghiên cứu đưa giải pháp cải tiến Mobile IP để hoạt động mơi trường mạng di động nhanh thách thức (Một số đề xuất mục [1.6]) Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 117 Nghiên cứu giao thức Mobile IP giải pháp bảo mật - Đánh giá tính hiệu giải pháp cho qúa trình đăng ký MN Trong trình thay đổi POA, việc MN liên tục phải cập nhật tham số với HA đánh giá chưa hiệu quả; Tương tự, MN thay đổi POA, việc hủy bỏ thông tin đăng ký FA đánh giá chưa hiệu [19] - Nghiên cứu sâu, thử nghiệm đánh giá giải pháp bảo mật cụ thể đề cập Chương Mobile IPv4 mở rộng IPv4 phát triển sau IPv4 (Mobility Support for IPv4) Tuy nhiên, IPv6 đời, IPv6 thiết kế để hỗ trợ khả di động thông qua chế mở rộng IPv4 (Mobility Support in IPv6) IPv6 xem thay IPv4 tương lai Khi đó, Mobile IPv6 thay Mobile IPv4 Hiện nay, Mobile IPv6 được kiến nghị IETF với tư tưởng dựa tư tưởng Mobile IPv4 Tuy nhiên, IPv6 có đặc thù ưu việt riêng khả hỗ trợ trực tiếp Mobile IPv6 Để nắm bắt có đóng góp cho phát triển Mobile IP nói chung, nghiên cứu đề xuất Mobile IPv6 cần thiết Từ nghiên cứu rút định hướng công nghệ mạng Điều cần thiết thiết kế mạng máy tính truyền thông Cùng với nghiên cứu giải pháp phát triển Mobile IPv6, việc nghiên cứu bảo mật Mobile IPv6 cần tiến hành Trong môi trường mạng với nhiều nguy cơ, công nghệ mạng hoạt động hiệu cần có biện pháp an tồn bảo mật để bảo vệ liệu, thông tin hoạt động mạng khỏi nguy Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 118 Nghiên cứu giao thức Mobile IP giải pháp bảo mật TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Tiến Lân (2003), Mobile IP thông tin di động, Luận văn thạc sỹ, Khoa Điện tử - Viễn thông, Đại học Bách khoa Hà Nội Tiếng Anh [2] C Kaufman, Ed (2005), RFC4306: Internet Key Exchange (IKEv2) Protocol, Internet Engeering Task Force (IETF) [3] Charles E Perkins (2002), RFC3344: IP Mobility Support for IPv4 , IETF [4] Charles E Perkins (2004), “Mobile IP at IETF”, Mobile Computing and Communication Review, Volume 7, Number [5] Charles E Perkins, P Calhoun (2000), RFC3012: Mobile IPv4 Challenge/Response Extensions, IETF [6] Charles E Perkins, “Mobile IP Joins Forces with AAA,” IEEE Personal Communications,Aug 2000 [7] Charles E Perkins, P Calhoun (2005), RFC3957: Authentication, Authorization, and Accounting (AAA) for Mobile IPv4 , IETF [8] Cisco (2005), Cisco Mobile VPN – Enabling Cisco End-Device Based IP Mobility, Cisco White Paper [9] D Maughan, M Schertler, M Schneider, J Turner (1998), RFC2408: Internet Security Association and Key Management Protocol (ISAKMP), IETF [10] Fabio Moioli (2000), Security in Public Access Wireless LAN Network, M.Sc Thesis, Department of Teleinformatics, Royal Institute of Technology, Stockholm [11] G Montenegro (2001), RFC3024: Reverse Tunneling for Mobile IP, IETF [12] G Montenegro, V Gupta (1998), RFC2356: Sun’s SKIP Firewall Traversal for Mobile IP, IETF Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 119 Nghiên cứu giao thức Mobile IP giải pháp bảo mật [13] George H Forman, John Zahorjan (1994), “The challenge of Mobile Computing”, Computer Science and Engineering, University of Warshington [14] Jacobs (2000), “Mobile IP Public Key Based Authentication”, Internet Draft , IETF [15] Kent, S., R Atkinson (Nov 1998), RFC 2402: IP Authentication Header [16] Matthew G Naugle (1999), Illustrated TCP/IP: A Graphic Guide to the Protocol Suite , Wiley Computer Publishing, John Wiley & Sons Inc [17] Naganand Doraswamy, Dan Harkins (2003), IPSec: The New Security Standard for the Internet, Intranets, and Virtual Private Networks, Second Edition, Prentice Hall PTR, ISBN:0-13-046189-X [18] Pierre Reinbold, Oliver Bonaventure (2003), “IP micro-mobility protocols”, University of Namur [19] Ramjee Prasad, Marina Ruggieri ( 2003), Technology Trends in Wireless Communications, Artech House [20] S Glass, T Hiller, C Perkins (2000), RFC2977: Mobile IP Authentication, Authorization, and Accounting Requirements, IETF [21] Salem Itani (2001), “Use of IPsec in Mobile IP”, Department of Electrical and Computer Engineering, Faculty of Engineering and Architecture, The American University of Beirut [22] Sufatrio, K Y L., “Mobile IP Registration Protocol: A Security Attack and New Secure Minimal Public-Key Based Authentication”, International Symposium on Parallel Architectures, Algorithms and Networks (ISPAN '99), June 1999, pp 364–369 [23] Thayer, R., N Doraswamy, R Glenn (Nov 1988), RFC 2411: IP Security Document Roadmap [24] William Stallings (2001) ,”Mobile IP”, The Internet Protocol Journal, Volume 4, Number 2, June 2001 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... luanvanchat@agmail.com Nghiên cứu giao thức Mobile IP giải pháp bảo mật Chương GIAO THỨC MOBILE IP 33 2.1 Tổng quan Mobile IP 33 2.1.1 Giới thiệu 33 2.1.2 Các thành phần mạng mobile. .. thuật Mobile IP: thành phần Mobile IP, phương thức hoạt động Mobile IP vấn đề cần lưu ý Mobile IP Chương – Giải pháp bảo mật cho Mobile IP Trong chương này, vấn đề nguy an ninh đặc thù Mobile IP. .. 18 Nghiên cứu giao thức Mobile IP giải pháp bảo mật b) Giao thức IP Giao thức IP tương ứng với tầng mạng mơ hình tham chiếu OSI thiết kế để tương tác với mạng truyền thơng chuyển mạch gói IP