BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI _ HOÀNG THỊ TÁM NGHIÊN CỨU XÂY DỰNG HỆ THỐNG GIÁM SÁT MẠNG CỦA TRƯỜNG ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI Chuyên ngành: KỸ THUẬT PHẦN MỀM Mã số: 60.48.01.03 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hướng dẫn khoa học: TS TRẦN CẢNH DƯƠNG HÀ NỘI, NĂM 2017 LỜI CAM ĐOAN Tôi xin cam đoan: Những kết nghiên cứu trình bày luận văn hồn tồn trung thực, tơi, khơng vi phạm điều luật sở hữu trí tuệ pháp luật Việt Nam Nếu sai, tơi hoàn toàn chịu trách nhiệm trước pháp luật TÁC GIẢ LUẬN VĂN Hoàng Thị Tám MỤC LỤC LỜI CAM ĐOAN BẢNG CÁC TỪ VIẾT TẮT DANH MỤC CÁC BẢNG, HÌNH VẼ MỞ ĐẦU .1 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG WLAN 1.1 Tìm hiểu mạng WLAN 1.1.1 Giới thiệu 1.1.2 Ưu điểm mạng WLAN 1.1.3 Hoạt động mạng WLAN 1.1.4 Các mơ hình mạng WLAN 1.2 Chuẩn IEEE 802.11 cho mạng LAN 1.2.1 Giới thiệu 1.2.2 Nhóm lớp vật lý PHY .7 1.2.3 Nhóm lớp liên kết liệu MAC .9 1.3 Các q trình diễn mơ hình BSS .11 1.3.1 Beacon 12 1.3.2 Thăm dò 12 1.3.3 Kết nối với AP .13 1.3.4 Roaming .13 1.3.5 Trao đổi liệu 13 1.4 Kết luận chương 13 CHƯƠNG 2: MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH AN TỒN CHO MẠNG KHƠNG DÂY 15 2.1 Thực trạng an ninh an tồn mạng khơng dây .15 2.1.1 Khái niệm an ninh an tồn thơng tin 15 2.1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống 16 2.1.3 Các nguy an ninh an tồn mạng khơng dây 18 2.2 Cơ sở khoa học mật mã ứng dụng việc đảm bảo an toàn bảo mật mạng không dây 25 2.2.1 Giới thiệu chung 25 2.2.2 Hệ mật mã khóa đối xứng 26 2.2.3 Hệ mật mã khóa cơng khai 27 2.3 Nghiên cứu số giải pháp đảm bảo an ninh an toàn cho mạng WLAN .30 2.3.1 Phương pháp bảo mật dựa WEP 30 2.3.2 Phương pháp bảo mật dựa TKIP 37 2.3.3 Phương pháp bảo mật dựa AES-CCMP 49 2.3.4 Nghiên cứu thuật tốn mã hóa đối xứng RSA 63 2.4 Kết luận chương 66 CHƯƠNG 3: XÂY DỰNG PHẦN MỀM BẢO MẬT MẠNG KHÔNG DÂY WLAN SỬ DỤNG USB ETOKEN 68 3.1 Phân tích yêu cầu, đề xuất giải pháp 68 3.1.1 Bài toán đặt .68 3.1.2 Sơ đồ ứng dụng 69 3.1.3 Môi trường hệ thống .71 3.1.4 Thiết kế sở liệu 73 3.1.5 USB Token 74 3.2 Xây dựng ứng dụng 75 3.2.1 Giới thiệu chung ứng dụng 75 3.2.2 Server 76 3.2.3 Client 78 KẾT LUẬN 82 TÀI LIỆU THAM KHẢO 84 BẢNG CÁC TỪ VIẾT TẮT Từ viết tắt Từ gốc Nghĩa tiếng việt AES Advanced Encryption Standard Chuẩn mã hóa tiên tiến AMPS Advanced Mobile Phone System AP Access Point Điểm truy cập BS Base Station Trạm sở BSS Basic Service Set Tập dịch vụ CCM Counter Mode - CBC MAC Mode mã hóa CBC CCMP Counter Mode - CBC MAC Protocol Hệ thống điện thoại di động Giao thức mã hóa CCM Đa truy nhập phân chia CDMA Code Division Multiple Access CRC Cyclic Redundancy Check Kiểm tra dư thừa vòng DOS Denial Of Service Từ chối dịch vụ DSSS Direct Sequence Spread Spectrum Trải phổ dãy trực tiếp ESS Extended Service Set Tập dịch vụ mở rộng FHSS FHSS Frequency Hopping Spread Spectrum theo Trải phổ nhảy tần GSM Group Special Mobile Nhóm đặc biệt di động IBSS Independent Basic Service Set Tập dịch vụ độc lập ICV IEEE IETF IMTS Integrity Check Value Giá trị kiểm tra tính tồn vẹn Institute of Electrical and Viện Công nghệ điện Electronics điện tử Internet Engineering Task Force Hiệp hội kỹ sư tham gia phát triển internet Improved Mobile Telephone Hệ thống điện thoại di System động cải tiến MAC Message Authentication Code Mã chứng thực gói tin (cryptographic community use) MIC Message Integrity Code MPDU MAC Protocol Data Unit MSC Mobile Switching Center MSDU MAC Service Data Unit MTS Mobile Telephone System NMT Nordic Mobile Telephony Mã tồn vẹn gói tin Đơn vị liệu giao thức MAC Trung tâm chuyển mạch di động Đơn vị liệu dịch vụ MAC Hệ thống điện thoại di động Hệ thống điện thoại di động Bắc Âu Orthogonal Frequency Division Ghép kênh phân chia theo Multiplexing tần số trực giao PAN Personal Area Network Mạng vùng cá nhân PBX Private Brach Exchange Tổng đài nhánh riêng PHS Personal Handy-phone System OFDM Hệ thống điện thoại cầm tay cá nhân Packet Switched Telephone Mạng điện thoại chuyển Network mạch gói RF Radio Frequency Tần số sóng vơ tuyến SMS Short Message Service Dịch vụ nhắn tin ngắn STA Wireless Station PSTN TACS TDMA Thiết bị có hỗ trợ mạng không dây Total Access Communication Hệ thống truyền thơng truy System cập hồn tồn Time Division Multiple Access Đa truy nhập phân chia theo thời gian TKIP Temporal Key Integrity Protocol WEP Wired Equivalent Privacy WLAN Wireless Local Area Network WPA Wi-Fi Protected Access Giao thức toàn vẹn khóa thời gian Bảo mật tương đường mạng hữu tuyến Mạng cục không dây Truy cập mạng Wifi an toàn DANH MỤC CÁC BẢNG Bảng 2.1: Những điểm yếu WEP .38 Bảng 2.2: Cách khắc phục điểm yếu WEP 38 DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mơ hình mạng Ad - hoc (mạng ngang hàng) Hình 1.2: Mơ hình mạng sở Hình 1.3: Mơ hình mạng mở rộng .6 Hình 2.1: Phần mềm bắt gói tin Ethereal 20 Hình 2.2: Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler 20 Hình 2.3: Mơ tả q trình cơng DOS tầng liên kết liệu 23 Hình 2.4: Mơ tả q trình cơng theo kiểu chèn ép 24 Hình 2.5: Mơ tả q trình cơng theo kiểu thu hút .25 Hình 2.6: Mơ hình hệ mật mã khóa đối xứng 27 Hình 2.7: Mơ hình hệ mật mã khóa cơng khai 28 Hình 2.8: Quá trình chứng thực diễn WEP 31 Hình 2.9: Định dạng gói tin chứng thực .32 Hình 2.10: Mã hóa chuỗi 33 Hình 2.11: Sự kết hợp IV với khóa .34 Hình 2.12: Thêm ICV 36 Hình 2.13: Thêm IV KeyID 36 Hình 2.14: Tạo so sánh giá trị MAC (hoặc MIC) 40 Hình 2.15: Q trình tạo khóa để mã 43 Hình 2.16: Quá trình xử lý bên phát 46 Hình 2.17: Quá trình xử lý bên thu 48 Hình 2.18: Quá trình hoạt động ECB Mode .51 Hình 2.19: Ví dụ Counter Mode 52 Hình 2.20: Quá trình xử lý gói tin CCMP .55 Hình 2.21: Trình tự xử lý MPDU .56 Hình 2.22: Phần đầu CCMP 57 Hình 2.23: Mã hóa giải mã 58 Hình 2.24: Bên khối mã hóa CCMP 59 Hình 2.25: MPDU sau trình mã (CH=CCMP Header) .59 Hình 2.26: Định dạng khối để đưa vào CBC-MAC 60 Hình 2.27: Thành phần khối để đưa vào CBC-MAC 61 Hình 2.28: Kết hợp số đếm Ctr CCMP AES Counter Mode 62 Hình 2.29 RSA – Tạo khóa 65 Hình 2.30 RSA – Mã hóa 65 Hình 2.31 RSA – Giải mã 65 Hình 3.1 Sơ đồ đăng kí token đăng kí tài khoản .69 Hình 3.2 Đăng nhập 69 Hình 3.3 Trao đổi Client A Client B 70 Hình 3.4 Trao đổi Server – Client 70 Hình 3.5 Usecase chức người quản trị Server 72 Hình 3.6 Usecase Quản lý thơng tin tài khoản 72 Hình 3.7 Usecase giao tiếp với Client .72 Hình 3.8 Chức người dùng Client 73 Hình 3.9 Usecase Client giao tiếp với Server 73 Hình 3.10 USB Token Viettel 74 Hình 3.11 Đặc tính kĩ thuật USB eToken 75 Hình 3.12 Mơ hình ứng dụng 76 Hình 3.13 Màn hình Server 77 Hình 3.14 Màn hình quản lý tài khoản .77 Hình 3.15 Màn hình thêm tài khoản 78 Hình 3.16 Màn hình đăng nhập 79 Hình 3.17 Màn hình Client 79 Hình 3.18 Màn hình chọn file 80 Hình 3.19 Màn hình lưu file .80 Hình 3.20 Màn hình cảnh báo khơng thấy token .80 3.1.2.3.Trao đổi Client Client Hình 3.3 Trao đổi Client A Client B Ở ta xét trường hợp tin tổng quát Chat hay gửi file Client với qua socket quy thành “gói” Server quản lý tất Public Key Client online Client A lấy khóa cơng khai Client B mã hóa gói tin cần gửi Client B nhận gói tin, lấy khóa bí mật để giải mã gói tin Như mã hóa gói tin muốn giải mã giải mã khóa bí mật, nằm token người nhận 3.1.2.4 Trao đổi Server – Client Hình 3.4 Trao đổi Server – Client 71 Về vấn đề trao đổi file Server Client có đơi chút khác biệt trao đổi file Client Client Ở trao đổi file, ta không mã hóa token hai lý sau: - Do Server bật liên tục nhất, không cần phải sử dụng eToken - Muốn tự viết phần mã hóa RSA trình bày Với lý đó, trao đổi Server Client, em sử dụng file key.dat có lưu trữ giá trị e, p, q để phục vụ cho thuật toán RSA tự viết Việc sử dụng key.dat hay token tương đương Tùy theo nhu cầu công ty mà ta chuyển việc dùng token hay dùng key.dat 3.1.3 Môi trường hệ thống 3.1.3.1 Các tác nhân hệ thống - Quản trị Server: Là người quản lý server, khởi động, tắt Server Quản lý thêm sửa xóa tài khoản người sử dụng Có thể chat gửi file đồng thời tới Client online - Người dùng: Mỗi người dùng client, tham gia sử dụng phần mềm, họ phải đăng nhập token để sử dụng phần mềm Có thể chat, gửi file tới Server Client khác online 3.1.3.2 Đặc tả Usecase: Các chức cho người quản trị Server 72 Hình 3.5 Usecase chức người quản trị Server Usecase Quản lý thông tin tài khoản Hình 3.6 Usecase Quản lý thơng tin tài khoản Usecase Giao tiếp với Client Hình 3.7 Usecase giao tiếp với Client 73 Các chức cho người dùng Client Hình 3.8 Chức người dùng Client Usecase giao tiếp với Server Hình 3.9 Usecase Client giao tiếp với Server 3.1.4 Thiết kế sở liệu Với mục đích sử dụng cho cơng ty chính, sở liệu chương trình đơn giản, lưu trữ tài khoản, mật khẩu, tên nhân viên, khóa cơng khai nhân viên thêm thắt thơng tin khác tùy ý Ở hướng phần mềm demo luận văn, em thêm trường ngày tháng, khơng có ý nghĩa với chương trình, mang tính demo Bảng sở liệu bảng Client Server có nên khơng có đăng nhập quản lý sở liệu 74 3.1.5 USB Token 3.1.5.1 Đơi nét USB Token Hình 3.10 USB Token Viettel eToken Pro USB sản phẩm thuộc dòng sản phẩm eTokenTM Aladdin Knowledge Systems Ltd., Israel eToken Pro USB thiết bị bảo mật cao, giao tiếp với máy tính qua cổng USB, sử dụng tiện lợi, an toàn, dễ mở rộng eToken Pro USB hỗ trợ tất hạ tầng khóa cơng khai eToken PKI xác thực người dùng, quản lý mật khẩu, bảo mật chữ ký số bảo mật liệu Ngoài ra, eToken Pro USB hỗ trợ giao diện hệ thống bảo mật theo tiêu chuẩn công nghiệp, nên eToken Pro USB cịn đảm bảo việc tích hợp dễ dàng với hạ tầng sách bảo mật Đặc tính kỹ thuật eToken Pro USB thể bảng đây: 75 Hình 3.11 Đặc tính kĩ thuật USB eToken Dựa tiêu chí đánh giá, eToken có tính trội khả hỗ trợ hệ điều hành, hỗ trợ ứng dụng PKI, hỗ trợ chuẩn bảo mật khả tích hợp 3.2 Xây dựng ứng dụng 3.2.1 Giới thiệu chung ứng dụng Ứng dụng hệ thống Server – Client chạy mạng LAN nội bộ, mạng có dây khơng dây Do hướng luận văn bảo mật mạng khơng dây, phần mềm thiết kế để mã hóa gói tin, hạn chế người dùng…chống lại cơng nghe trộm, bắt gói tin, đảm bảo mức độ bảo mật công ty Hệ thống sử dụng ngơn ngữ lập trình Java quản trị sở liệu SQL Server Các chức chương trình chat gửi 76 file người dùng mạng Các gói tin đểu mã hóa trước gửi giải mã nhận Sau sơ đồ ứng dụng: Hình 3.12 Mơ hình ứng dụng 3.2.2 Server Server hệ thống nơi khởi tạo kết nối Các chức Server: Khởi tạo kết nối, làm điểm truy nhập Client Lưu giữ PublicKey Client kết nối Đăng kí mới, sửa, xóa eToken đăng kí tài khoản Chat với Client Gửi file cho Client Trước tiên, người dùng vào hình chương trình Do lần sử mạng WLAN khác nhau, máy làm Server cấp địa IP khác Trên thực tế dự án triển khai thực Server nằm cố định máy kết nối với mạng WLAN cố định, ta không cần quan tâm tới giải IP Server Để vào mục quản lý tài khoản, ta ấn nút Account Manager, để bắt đầu Server Ta ấn nút Start Các Client sau kết nối tới Server hiển thị ô bên trái màu vàng 77 Hình 3.13 Màn hình Server Dưới hình quản lý tài khoản, sở liệu hệ thống Lưu trữ lại thơng tin với khóa cơng khai Hình 3.14 Màn hình quản lý tài khoản Với mục tiêu hạn chế quản lý người dùng Những muốn sử dụng phần mềm phải có token phải mang token Server để đăng kí sử dụng 78 Hình 3.15 Màn hình thêm tài khoản Sau thêm tài khoản, người quản trị Server sửa đổi thơng tin tài khoản đó, trừ tên đăng nhập 3.2.3 Client Client hệ thống người sử dụng mạng nội Họ bắt buộc phải có token, đóng vai trị chìa khóa để sử dụng phần mềm Nếu trình sử dụng, rút token, Client kết thúc Các chức Client: Chat với Server, Client Gửi file tới Server, Client Hiển thị danh sách Client sử dụng phần mềm Trước tiên, người dùng cần cắm token vào máy tính chạy Client, sau chạy phần mềm để đăng nhập: 79 Hình 3.16 Màn hình đăng nhập Nếu đăng nhập thành cơng, ta vào giao diện Client Đây hình xem danh sách Client online nơi giao tiếp trực tiếp với Server Hình 3.17 Màn hình Client Với giao diện ta chat gửi file tới Server Client khác Do kết nối socket không ổn định mã hóa RSA làm giảm tốc độ nên bạn khơng gửi file lớn Để đảm bảo tính ổn định chương trình, bạn nên gửi file cung cấp thư mục “test” có thư mục chương trình 80 Hình 3.18 Màn hình chọn file Khi nhận file, có thơng báo nhận file Hình 3.19 Màn hình lưu file Tất Client phải cắm token sử dụng, trình sử dụng, lý khơng tìm thấy token, chương trình cảnh báo khỏi chương trình Hình 3.20 Màn hình cảnh báo khơng thấy token 81 Ứng dụng hướng đến đối tượng sử dụng công ty trường học, cần trao đổi thông tin nội bộ, bảo mật kiểm soát người dùng USB eToken chìa khóa để sử dụng phần mềm nội Mạng WLAN bật, người truy cập vào mạng, để trao đổi với phải có token Tin tặc bắt gói tin khơng có USB eToken, khơng thể giải mã gói tin khơng có PrivateKey Đây hình ảnh file mã hóa, file mà tin tặc bắt giải mã: Hình 3.21 So sánh file mã hóa gốc Phần mềm giải vấn đề: Quản lý người dùng cách cấp phát token Quản lý tài khoản token để định có cho phép truy cập hay khơng, kể có token Người dùng chat trao đổi file Mã hóa giải mã gói tin trao đổi mạng nội Những điều phần mềm chưa giải được: Chưa có chứng thực gói tin (kí kiểm tra chữ kí) Do sử dụng thuật tốn để mã hóa đường truyền socket không ổn định nên chưa thể gửi file có dung lượng lớn 82 KẾT LUẬN Với phổ biến mạng WLAN nay, vừa mang lại lợi ích hiểm họa Với mạng khơng dây, bạn giảm bớt gánh nặng thiết kế mạng WLAN, khơng cịn phải thấy đường dây mạng chằng chịt Đồng nghĩa với việc thông tin “trơi nổi” khơng khí “tóm” gói tin bạn Các kĩ thuật công ngày tinh vi, thực diện rộng nhiều cách khác Kết hợp với phương thức bảo mật sẵn có mạng WLAN WPA, WPA2…việc mã hóa gói tin hướng giải tốt Thỏa mãn hai vấn đề: bảo mật đường truyền bảo mật mức độ gói tin Luận văn lần đóng góp vấn đề sau đây: Trình bày tổng quan phát triển mạng không dây, công nghệ ứng dụng mạng khơng dây Tìm hiểu cách khái qt chế hoạt động mạng WLAN, ưu điểm, nhược điểm mơ hình hoạt động mạng WLAN Tìm hiểu chuẩn 802.11 cho mạng WLAN, nắm diễn trình thiết lập kết nối với hệ thống WLAN đơn giản Trình bày thực trạng an ninh an toàn mạng không dây, kiểu công mạng không dây, kỹ thuật mật mã ứng dụng để bảo mật mạng không dây số giải pháp cho việc đảm bảo an ninh an tồn cho mạng khơng dây mà cụ thể mạng WLAN như: phương pháp mã hóa đối xứng, mã hóa cơng khai, bảo mật đường truyền WEP, WPA, WPA2… Nghiên cứu đề xuất giải pháp mã hóa gói tin kết hợp mã hóa đường truyền sẵn có để xây dựng phần mềm ứng dụng eToken, bảo mật mạng WLAN nội Một ứng dụng hồn tồn thiết thực cho cơng ty, trường học, quân sự… Đóng góp phần mềm: Đã tích hợp thiết bị eToken việc sử dụng tồn hệ thống,thiết bị lưu trữ khóa bí mật, đảm bảo người dùng đã đăng kí có khả truy cập vào hệ thống 83 Áp dụng việc dụng mật mã khóa đối xứng việc mã hóa gói tin Chống công sniffing, passive…Việc trao đổi thông tin mạng nội quy thành “gói tin” Mỗi gói tin mã hóa trước gửi giải mã trước nhận Kết hợp với phương pháp bảo mật đường truyền có sẵn WEP, WPA, WPA2… thách thức không nhỏ với tin tặc Dù có tóm gói tin giải mã Hạn chế ứng dụng: Ứng dụng hoạt động Windows Application, muốn sử dụng phải cài phần mềm vào máy Mã hóa truyền gói tin cịn chậm, khơng truyền file lớn Chưa tích hợp khả kí để xác thực gói tin Giao diện có sơ sài, chưa bắt mắt Do tích hợp eToken nên việc nhập mã PIN sai lần khóa eToken lại, gây phiên phức cho người dùng mang tính bảo mật cao, yêu cầu phải thực Hướng phát triển tiếp theo: Chuyển phần mềm thành ứng dụng webbase Có thể sử dụng khơng cần cài đặt, sử dụng thiết bị di động Cải tiến khả truyền tải file người dùng với Tích hợp khả kí xác thực Cải tiến giao diện, tích hợp vào cổng thông tin điện tử 84 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phạm Huy Điển, Hà Huy Khoái, (2003), Mã hóa thơng tin sở tốn học ứng dụng, Nhà xuất Đại học Quốc gia Hà Nội [2] Phan Đình Diệu, (1999), Lý thuyết mật mã an tồn thơng tin, Đại học Quốc Gia Hà Nội, Hà Nội [3] Trịnh Nhật Tiến, (2004), Bài giảng: “Một số vấn đề an toàn liệu” [4] Nguyễn Thúy Vân, (1999), Lý thuyết mã, Nhà xuất Khoa học kỹ thuật Tiếng Anh [5] Aaron E Earle, (2006), Wireless Security Handbook, Auerbach Publications Taylor & Francis Group, New York [6] Cyrus Peikari, Seth Fogie, (2002), Maximum Wireless Security, Sams Publishing, USA [7] Jahanzeb Khan, Anis Khwaja, (2003), Building Secure Wireless Networks with 802.11, Wiley Publishing, Indianapolis, Indiana [8] Jon Edney, William A Arbaugh, (2003), Real 802.11 Security: WiFi Protected Access and 802.11i, Addison Wesley, Boston [9] Lee Barken, (2003), How Secure Is Your Wireless Network? Safeguarding Your Wi-Fi LAN, Prentice Hall PTR, New Jersey [10] William Stallings (2005), Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall 85 ... ây dựng hệ thống giám sát mạng trường đại học kinh doanh công nghệ hà nội? ?? làm luận văn tốt nghiệp với mong muốn có th```````ể tìm hiểu, nghiên cứu ứng dụng giải pháp để đảm bảo an ninh cho mạng. .. động người dùng Cơng nghệ bắt nguồn từ số chuẩn công nghiệp IEEE 802.11 [7] tạo số giải pháp khơng dây có tính khả thi kinh doanh, công nghệ chế tạo, trường đại học? ??khi mà mạng hữu tuyến khơng... an toàn hệ thống nhỏ Thực chất ANATTT không cơng cụ mà q trình bao gồm sách liên quan đến tổ chức, người, môi trường bảo mật, mối quan hệ cơng nghệ để đảm bảo an tồn hệ thống mạng Hệ thống có