HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN ĐỒ ÁN MÔN HỌC AN TOÀN INTERNET & THƯƠNG MẠI ĐIỆN TỬ Đề tài TÌM HIỂU HIỆU SUẤT COPS QUA TLS VÀ IPSEC Sinh viên thực hiện Giảng viên hướng dẫn Hà Nội, 202[.]
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỒ ÁN MƠN HỌC AN TỒN INTERNET & THƯƠNG MẠI ĐIỆN TỬ Đề tài: TÌM HIỂU HIỆU SUẤT COPS QUA TLS VÀ IPSEC Sinh viên thực hiện: Giảng viên hướng dẫn: Hà Nội, 2022 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỒ ÁN MƠN HỌC AN TOÀN INTERNET & THƯƠNG MẠI ĐIỆN TỬ Đề tài: TÌM HIỂU HIỆU SUẤT COPS QUA TLS VÀ IPSEC Sinh viên thực hiện: Giảng viên hướng dẫn: Hà Nội, 2022 MỤC LỤC MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG, HÌNH VẼ .6 LỜI NÓI ĐẦU CHƯƠNG I TỔNG QUAN VỀ GIAO THỨC IPSEC VÀ TLS 1.1 Tổng quan giao thức IPsec 1.1.1 Giới thiệu IPSec 1.1.2 Đánh giá IPSec 1.1.3 Ứng dụng IPSec 1.1.4 Kiến trúc IPSec 10 1.1.5 Tính IPSec .12 1.2 Tổng quan giao thức TLS 12 1.2.1 Giới thiệu giao thức TLS 12 1.2.2 Cấu trúc giao thức SSL/TLS 13 1.2.3 Chức hoạt động giao thức TLS 13 1.2.4 Ứng dụng giao thức TLS 14 CHƯƠNG II: TÌM HIỂU HIỆU SUẤT COPS QUA IPSEC VÀ TLS 16 2.1 Giới thiệu 16 2.2 Ba kịch để thực COPS 16 2.2.1 COPS túy 17 2.2.2 COPS qua TLS .17 2.2.3 COPS qua IPsec .18 2.2.4 TLS so với ipsec .19 CHƯƠNG III MÔ PHỎNG THỰC NGHIỆM .20 3.1 Mô phỏng,thực nghiệm 20 3.1.1 Môi trường hệ thống 20 3.1.2 Cấu hình bảo mật 20 3.2 Kết phân tích : 20 3.2.1 Thời gian kết nối 21 3.2.2 Thời gian để PEP hoàn thành hoạt động COPS 23 3.2.3 Thời gian để PDP hoàn thành hoạt động COPS .24 3.2.4 Chi phí bảo mật hoạt động COPS 26 3.3 Kết luận 26 3.3.1 Hiệu suất sử dụng thời gian 26 3.3.2 Triển khai COPS/IPSec 26 3.3.3 Triển khai COPS/TLS 27 TÀI LIỆU THAM KHẢO .28 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT IETF Internet Engineering Task Force Ipsec Internet Protocol Security ESP Encapsulating Security Payload DOI Domain of Interpretation IKE Internet Key Exchange COPS Common Open Policy Service PDP Policy Decision Point PEP Policy Enforcement Points TLS Transport Layer Security AH Authentication Header DANH MỤC CÁC BẢNG, HÌNH VẼ Hình 1.1 IPSec mơ hình OSI Hình 1.2: Ứng dụng IPSec 10 Hình 1.3 Kiến trúc IPSec 11 Hình 1.4 Cấu trúc TLS 13 Hình 2.1 Ngăn xếp giao thức 17 Hình 2.2 Bắt tay TLS hồn chỉnh PDP PEP COPS/TLS 18 Hình 2.3 Xác thực Giai đoạn Khóa chia sẻ trước (Chế độ chính) 19 Bảng 2.1 Thuật tốn bảo mật sử dụng TLS Ipsec .19 Hình 3.1 Mơ phiên ba kịch 21 Bảng 3.1 Thời gian kết nối (mili giây) 22 Hình 3.2 Thời gian để tạo ba thơng điệp bắt tay .23 Hình 3.3 Thời gian để PEP hoàn thành toàn phiên cho ba tình năm mơ 24 Hình 3.4 Thời gian để PDP hồn thành toàn phiên cho ba kịch năm mô 25 LỜI NÓI ĐẦU Trong bối cảnh nay, Internet phát triển rộng khắp mạnh mẽ, đại dịch xảy nhu cầu kết nối, chia sẻ, làm việc từ xa, trao đổi liệu mạng trở thành phần thiết yếu sống Để đáp ứng nhu cầu trên, nhà cung cấp dịch vụ không quan tâm đến phát triển dịch vụ mà phải xây dựng, củng cố tối ưu hóa hạ tầng lẫn dịch vụ Đảm bảo tính tồn vẹn, bí mật, xác thực, sẵn sàng,…cho hệ thống Hiểu điều chúng em chọn đề tài “Tìm hiểu hiệu suất COPS qua TLS IPsec” Nội dung đưa đánh giá hiệu suất COPS qua kết nối TLS IPsec an toàn Đối với liệu có kích thước lớn, áp dụng mã hóa xác thực, thơng lượng giảm so với thơng lượng có xác thực mã hóa COPS có chế bảo mật riêng, có hạn chế COPS không bao gồm quản lý tiêu chuẩn không bảo mật bước quyền riêng tư liệu Để triển khai, cần hỗ trợ mơ hình kiểm sốt truy cập Đề tài chúng em triển khai chia thành chương sau: Chương Tổng quan giao thức IPsec TLS Chương Tìm hiểu hiệu suất COPS qua TLS Ipsec Chương Mô thực nghiệm Do hạn chế thời gian kiến thức, tài liệu chắn có nhiều khuyết điểm sai sót, chúng em mong nhận ý kiến nhận xét sửa đổi cô bạn CHƯƠNG I TỔNG QUAN VỀ GIAO THỨC IPSEC VÀ TLS 1.1 Tổng quan giao thức IPsec 1.1.1 Giới thiệu IPSec Giao thức TCP/IP đóng vai trị quan trọng hệ thống Về nguyên tắc, có nhiều tùy chọn khác giao thức để triển khai hệ thống mạng TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP lựa chọn gần bắt buộc giao thức sử dụng làm giao thức tảng mạng Internet Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP không trang bị giao thức Cấu trúc gói liệu (IP, TCP,UDP giao thức ứng dụng) mô tả công khai, bắt gói IP mạng, phân tích gói để đọc phần liệu chứa bên trong, chưa kể nay, công cụ bắt phân tích gói xây dựng với tính mạnh phát hành rộng rãi Việc bổ sung chế bảo mật vào mơ hình TCP/IP, giao thức IP nhu cầu cấp bách IP Security (IPSec – Internet Protocol Security) giao thức chuẩn hoá IETF (Internet Engineering Task Force) từ năm 1998 nhằm mục đích nâng cấp chế mã hố xác thực thơng tin cho chuỗi thơng tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn liệu chứng thực liệu thiết bị mạng Hình 1.1 IPSec mơ hình OSI IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, tồn mạng bảo mật giao tiếp qua tầng (Network layer) mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc 1.1.2 Đánh giá IPSec 1.1.2.1 Ưu điểm Khi IPSec triển khai tường lửa định tuyến mạng riêng, tính an tồn IPSec áp dụng cho tồn vào mạng riêng mà thành phần khác khơng cần phải xử lý thêm công việc liên quan đến bảo mật IPSec thực bên lớp TCP UDP, đồng thời hoạt động suốt lớp Do không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec triển khai IPSec cấu hình để hoạt động cách suốt ứng dụng đầu cuối, điều giúp che giấu chi tiết cấu hình phức tạp mà người dùng phải thực kết nối đến mạng nội từ xa thông qua mạng Internet 1.1.2.2 Hạn chế Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật nghiên cứu chưa chuẩn hóa IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác Việc tính tốn nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu Việc phân phối phần cứng phần mềm mật mã bị hạn chế phủ số quốc gia 1.1.3 Ứng dụng IPSec Bảo vệ kết nối từ mạng chi nhánh đến mạng trung tâm thông qua Internet Bảo vệ kết nối truy cập từ xa (Remote Access) Thiết lập kết nối Intranet Extranet Nâng cao tính bảo mật giao dịch thương mại điện tử Hình 1.2: Ứng dụng IPSec 1.1.4 Kiến trúc IPSec IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec xây dựng dựa thành phần sau đây, thành phần định nghĩa tài liệu riêng tương ứng: 10 TLS thường triển khai TCP để mã hóa giao thức Lớp ứng dụng HTTP, FTP, SMTP IMAP, triển khai UDP, DCCP SCTP (ví dụ: ứng dụng dựa VPN SIP) 1.2.2 Cấu trúc giao thức SSL/TLS Do giao thức TLS phát triển dựa giao thức SSL nên tìm hiểu chút cấu trúc giao thức SSL trước Chúng ta xem hình minh hoạ Hình 1.4 Cấu trúc TLS Theo hình hoạ cấu trúc giao thức SSL đặt tầng vận chuyển (Transport Layer) tầng ứng dụng (Application Layer) Giao thức SSL cung cấp giao thức bảo mật truyền thơng có đặc điểm bật Các bên giao tiếp (nghĩa client server) xác thực cách sử dụng mật mã khóa chung o Sự bí mật lưu lượng liệu bảo vệ nối kết mã hóa suốt sau thiết lập quan hệ ban đầu thương lượng khóa session xảy o Tính xác thực tính tồn vẹn lưu lượng liệu bảo vệ thơng báo xác thực kiểm tra tính tồn vẹn cách suốt cách sử dụng MAC o 1.2.3 Chức hoạt động giao thức TLS Mục tiêu giao thức TLS cung cấp riêng tư toàn vẹn liệu hai ứng dụng môi trường mạng Cũng giao thức SSL giao thức TLS theo mơ hình client-server Trong mơ hình TCP/IP giao thức TLS gồm có hai lớp Record Layer Handshake Layer 13 Record layer là lớp thấp bao gồm TLS record protocol (trên tầng giao vận giao thức điều khiển truyền tải TCP, giao thức truyền vận không tin cậy UDP) Đặc tính kết nối riêng tư: mã hố đối xứng sử dụng để mã hoá liệu (mã hoá AES ) Các khoá để mã hoá đối xứng sinh cho lần kết nối thoả thuận bí mật giao thức khác (ví dụ TLS) Chính giao thức TLS sử dụng mà khơng cần mã hố Đặc tính kết nối đáng tin cậy: Một thơng điệp vận chuyển thơng báo bao gồm kiểm tra tính tồn vẹn (sử dụng hàm Băm ví dụ SHA-1) Ngồi giao thức TLS cịn sử dụng để phân mảnh, nén, đóng gói, mã hố liệu, cho phép máy chủ xác nhận thoả thuận thuật toán mã hoá o Giao thức bao gồm TLSPlaintext o TLSCompressed o TLSCiphertext o Mỗi cấu trúc liệu bao gồm trường thông tin Type o Version o Length o Fragment Handshake Layer: nằm lớp ghi Định danh điểm kết nối xác thực cách sử dụng mã hóa bất đối xứng khóa cơng khai (RSA) o o Q trình thỏa thuận khóa bí mật chia sẻ an tồn o Q trình thỏa thuận đáng tin cậy 1.2.4 Ứng dụng giao thức TLS TLS có khả ứng dụng rộng rãi nhiều lĩnh vực, bật sử dụng làm giao thức bảo mật cho HTTPS Cho dù độ phổ biến chưa cao SSL TLS cung cấp khả tương đương chí tốt số khía cạnh Điều khiến ngày người ta thường đặt chung SSL/TLS nói giao thức bảo mật HTTPS Ngồi HTTPS, TLS cịn ứng dụng nhiều giao thức khác FTP, SNMP, NNTP XMPP Ngay không hỗ trợ giao thức tiêu chuẩn người ta sử dụng khả mã hóa, xác thực TLS cho ứng dụng clientserver cần giao tiếp an tồn 14 15 CHƯƠNG II: TÌM HIỂU HIỆU SUẤT COPS QUA IPSEC VÀ TLS 2.1 Giới thiệu COPS (Common Open Policy Service) thiết kế để phân phối thông tin sách văn rõ ràng từ Điểm Quyết định Chính sách (PDP) tới tập hợp Điểm Thực thi Chính sách (PEP) Internet COPS cung cấp chế bảo mật riêng để bảo vệ per-hop sách triển khai Tuy nhiên, việc sử dụng COPS cho ứng dụng nhạy cảm chẳng hạn số loại phân phối sách bảo mật yêu cầu biện pháp bổ sung, chẳng hạn quyền riêng tư liệu Điều số tổ chức cần ẩn số tất sách bảo mật họ, ví dụ: việc phân phối sách cho thiết bị tảng di động vượt qua ranh giới miền COPS sử dụng lại giao thức có để bảo mật IPsec TLS xác thực bảo mật kênh PDP PEP TLS thiết kế để cung cấp bảo mật hướng kênh Nó cung cấp chế cho hai chiều xác thực, khóa phiên động, quyền riêng tư tính tồn vẹn luồng liệu IPsec tích hợp cung cấp dịch vụ bảo mật tương tự dịch vụ TLS Ngoài cịn có khác biệt sử dụng hai giao thức để bảo mật COPS Như biết, trình xử lý cần thiết cho chức bảo mật khơng nhẹ có xu hướng lớn Khi thực thi chức bảo mật (TLS Ipsec) yêu cầu sức mạnh xử lý lớn, thiếu thơng lượng cho nhiều ứng dụng Hoặc khơng, chúng tơi cần triển khai phần cứng đặc biệt để xử lý chức bảo mật 2.2 Ba kịch để thực COPS Dưới ba kịch để nghiên cứu hiệu suất COPS có khơng có tính bảo mật: COPS túy, COPS qua TLS COPS qua IPsec Ba kịch ngăn xếp giao thức hiển thị Hình 2.1 Phần mơ tả ngắn gọn ba kịch 16 Hình 2.1 Ngăn xếp giao thức 2.2.1 COPS túy COPS đặc tả giao thức theo dõi tiêu chuẩn từ IETF thiết kế để truyền đạt thơng tin sách hệ thống quản lý sách Đây mơ hình giao tiếp máy khách máy chủ bao gồm xác nhận gửi xử lý thành công tin nhắn Máy chủ COPS tập trung PDP đáp ứng yêu cầu máy khách COPS PEP COPS sử dụng TCP làm giao thức vận chuyển để trao đổi tin nhắn đáng tin cậy máy khách sách máy chủ Khi triển khai COPS mà khơng có tính bảo mật bổ sung, chúng tơi gọi tình COPS túy Các hoạt động Client-Open (OPN), Client-Close (CC), Client-Accept (CAT), Keep-Alive (KA), Request (REQ), Decision (DEC), Report State (RP), Delete Request State (DRQ), Synchronize State Request (SSQ) and Synchronize Complete (SSC) Các thông báo chứa mã lệnh hướng dẫn thao tác khác thực thể PIB dành riêng cho khách hàng Tính tồn vẹn đối tượng có thơng báo tính bảo mật gốc COPS sử dụng Nội dung Tính tồn vẹn 96-bit MD5 HMAC tính tốn dựa nội dung thơng báo số thứ tự Nhưng tất thơng tin sách phân phối rõ 2.2.2 COPS qua TLS Giao thức TLS thiết kế để thiết lập kết nối an toàn hai bên giao tiếp Để thiết lập kết nối an toàn vậy, TLS thực bắt tay hai bên giao tiếp để xác thực chúng đồng ý với tham số bảo mật Các tham số bảo mật thương lượng sử dụng để tính tốn khóa phiên chia sẻ HDR, SA nhằm bảo vệ việc truyền liệu hai bên 17 Hình 2.2 Bắt tay TLS hồn chỉnh PDP PEP COPS/TLS Việc triển khai COPS qua TLS mô tả IETF Internet Draft “COPS Over TLS” Khi triển khai COPS/TLS, TLS nằm TCP bên COPS ngăn xếp giao thức (Hình 2.1) Phiên COPS/TLS bắt đầu bắt tay TLS PDP PEP PDP PEP chịu trách nhiệm thiết lập kết nối TLS trước trao đổi tin COPS PDP PEP trao đổi thơng báo COPS OPN CAT sau kết nối TLS thiết lập Tất tin nhắn COPS trao đổi mã 2.2.3 COPS qua IPsec RFC 2401 mô tả khung kiến trúc IPsec Bộ giao thức IPsec cung cấp chức để trao đổi liệu an tồn đáng tin cậy qua Internet IPsec có hai chức sau: Xác thực Mã hóa IPsec định nghĩa AH (Tiêu đề xác thực, RFC 2402) để xác thực người dùng giao tiếp ngang hàng ESP (Đóng gói tải trọng bảo mật, RFC2403) để mã hóa đóng gói liệu người dùng gói IP Hình 2.3 cho biết thơng báo trao đổi thiết lập kết nối IPsec 18 Hình 2.3 Xác thực Giai đoạn Khóa chia sẻ trước (Chế độ chính) Khi chạy COPS IPsec, COPS IPsec không liền kề ngăn xếp giao thức (Hình 2.1) Do việc chạy COPS qua IPsec đơn giản Kết nối IPsec an toàn thiết lập hai máy chủ lưu trữ PDP PEP tương ứng Nó bảo vệ thơng báo COPS trao đổi PDP PEP cách bảo vệ tất lưu lượng TCP hai máy chủ PDP PEP không chịu trách nhiệm thiết lập kết nối IPsec Tất công việc mà PDP PEP thực IPsec hoàn toàn giống Pure COPS sau kết nối IPsec thiết lập Dịch vụ hỗ trợ TLS Ipsec Xác thực ngang hàng X.509 Certificate X.509 Certificate Preshared Key Kerberos Trao đổi khóa RSA, Diffie-Hellman RSA, Diffie-Hellman Thuật tốn mã hóa DES, 3DES, RC4 DES, 3DES Thuật toán MAC MD5, SHA-1 MD5, SHA-1 Bảng 2.1 Thuật toán bảo mật sử dụng TLS Ipsec 2.2.4 TLS so với ipsec TLS IPsec lớp khác ngăn xếp giao thức, chúng cung cấp dịch vụ bảo mật tương tự cách sử dụng thuật toán bảo mật tương tự Bảng 2.1 đưa nhìn thuật tốn mà TLS IPsec hỗ trợ tương ứng 19 CHƯƠNG III MÔ PHỎNG THỰC NGHIỆM 3.1 Mô phỏng, thực nghiệm Mô thực máy tính PC window 2000 3.1.1 Mơi trường hệ thống Khởi chạy SecureCops máy PC : - Bộ xử lý: Intel Pentium III 700 Hz - Bộ nhớ: 128MB - Hệ điều hành: Windows 2000 Professional - Trình mơ PDP PDPSimulator chạy máy tính, cịn PEP PEPSimulator chạy máy cịn lại - Sử dụng kết nối Hub (ASANTÉ FriendlyNet, 8-Port Ethernet) - Môi trường chạy Java™, phiên tiêu chuẩn (1.4.0-b92) 3.1.2 Cấu hình bảo mật Đối với COPS/TLS, tham số bảo mật phải định cấu hình SecureCops Ta đặt mật mã TLS thành TLS_RSA_WITH_3DES_EDE_CBC_SHA Do đó, sử dụng mã RSA để trao đổi khóa, sử dụng mã 3DES đẻ mã hóa SHA-1 cho MAC Chứng X.509 tự ký sử dụng để xác thực PDP PEP truyền khóa chung máy chủ Đối với COPS/IPsec, chúng tơi sử dụng triển khai IPsec tích hợp sẵn Windows 2000 Professional nên việc cấu hình thực hệ điều hành Trong cấu hình Windows 2000, chúng tơi cài đặt Authentication Method để xác thực khóa chia sẻ trước, IP Security Policy đến Máy chủ bảo mật (Yêu cầu bảo mật) Security Methods tới 3DES để bảo mật ESP SHA-1 cho tính tồn vẹn ESP 3.2 Kết phân tích: Để nghiên cứu hiệu suất ba kịch triển khai COPS, ta chia phiên COPS thành hai phần: quy trình kết nối hoạt động COPS Nghiên cứu hiệu suất ta dựa thời gian hai phần này: thời gian kết nối thời gian vận hành Ta chạy SecureCops để mô ba kịch Đối với trường hợp, ta lặp lại mô năm lần ghi lại thời gian kết nối thời gian hoạt động phía PDP (PDPSimulator) phía PEP (PEPSimulator) 20 ...HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỒ ÁN MƠN HỌC AN TỒN INTERNET & THƯƠNG MẠI ĐIỆN TỬ Đề tài: TÌM HIỂU HIỆU SUẤT COPS QUA TLS VÀ IPSEC Sinh viên thực hiện:... sàng,…cho hệ thống Hiểu điều chúng em chọn đề tài ? ?Tìm hiểu hiệu suất COPS qua TLS IPsec? ?? Nội dung đưa đánh giá hiệu suất COPS qua kết nối TLS IPsec an tồn Đối với liệu có kích thước lớn, áp dụng mã hóa... chia thành chương sau: Chương Tổng quan giao thức IPsec TLS Chương Tìm hiểu hiệu suất COPS qua TLS Ipsec Chương Mô thực nghiệm Do hạn chế thời gian kiến thức, tài liệu chắn có nhiều khuyết điểm