LUẬN VĂN TỐT NGHIỆP NHẬN THỰC VÀ AN NINH TRONG IP DI ĐỘNG Nguyễn Lê Trường - Lớp D2001VT i MỤC LỤC THUẬT NGỮ VIẾT TẮT i LỜI NÓI ĐẦU CHƯƠNG 1: NHẬN THỰC TRONG MÔI TRƯỜNG LIÊN MẠNG VÔ TUYẾN 1.1 Vai trò nhận thực kiến trúc an ninh 1.2 Vị trí nhận thực dịch vụ an ninh 1.3 Các khái niệm tảng nhận thực 1.3.1 Trung tâm nhận thực (Authentication Center) .6 1.3.2 Nhận thực thuê bao (Subscriber Authentication) 1.3.3 Nhận thực tương hỗ (Mutual Authentication) .7 1.3.4 Giao thức yêu cầu/đáp ứng (Challenge/Response Protocol) .7 1.3.5 Tạo khoá phiên (Session Key Generation) 1.4 Mật mã khoá riêng (Private-key) so với khố cơng cộng (Public-key) 1.5 Những thách thức môi trường liên mạng vô tuyến 10 1.5.1 Vùng trở ngại 1: Các đoạn nối mạng vô tuyến 11 1.5.2 Vùng trở ngại 2: Tính di động người sử dụng .12 1.5.3 Vùng trở ngại 3: Tính di động thiết bị 14 CHƯƠNG 2: NHỮNG ỨNG DỤNG TIỀM NĂNG CỦA CÁC PHƯƠNG PHÁP KHỐ CƠNG CỘNG TRONG MƠI TRƯỜNG LIÊN MẠNG VÔ TUYẾN 16 2.1 Thuật tốn khóa cơng cộng “Light-Weight” cho mạng vơ tuyến 16 2.1.1 Thuật toán MSR 16 2.1.2 Mật mã đường cong elíp (ECC: Elliptic Curve Cryptography) 17 2.2 Beller, Chang Yacobi: Mật mã khóa cơng cộng gặp phải vấn đề khó khăn .18 2.2.1 Các phần tử liệu giao thức MSN cải tiến 19 2.2.2 Giao MSR+DH 21 2.2.3 Beller, Chang Yacobi: Phân tích hiệu 22 2.3 Carlsen: Public-light – Thuật toán Beller, Chang Yacobi duyệt lại 22 Nguyễn Lê Trường - Lớp D2001VT i 2.4 Aziz Diffie: Một phương pháp khố cơng cộng hỗ trợ nhiều thuật tốn mật mã 24 2.4.1 Các phần tử liệu giao thức Aziz-Diffie .24 2.4.2 Hoạt động giao thức Aziz-Diffie 25 2.5 Bình luận đánh giá giao thức Aziz-Diffie 28 2.6 Tổng kết mật mã khố cơng cộng mạng vô tuyến 29 CHƯƠNG 3: NHẬN THỰC VÀ AN NINH TRONG UMTS .30 3.1 Giới thiệu UMTS 30 3.2 Nguyên lý an ninh UMTS .31 3.2.1 Nguyên lý an ninh UMTS hệ 32 3.2.2 Ưu điểm nhược điểm GSM từ quan điểm UMTS 33 3.2.3 Các lĩnh vực tăng cường an ninh cho UMTS 35 3.3 Các lĩnh vực an ninh UMTS 36 3.3.1 An ninh truy nhập mạng (Network Access Security) 36 3.3.2 An ninh miền mạng (Network Domain Security) 37 3.3.3 An ninh miền người sử dụng (User Domain Security) 37 3.3.4 An ninh miền ứng dụng (Application Domain Security) 38 3.4.5 Tính cấu hình tính rõ ràng an ninh (Visibility and Configurability) 38 3.4 Nhận thực thuê bao UMTS pha nghiên cứu 40 3.4.1 Mơ tả giao thức khố cơng cộng Siemens cho UMTS 41 3.4.2 Các điều kiện tiên để thực giao thức Siemens 42 3.4.3 Hoạt động Sub-protocol C Siemens .43 3.4.4 Đánh giá giao thức nhận thực Siemens .46 3.5 Nhận thực thuê bao việc thực UMTS 47 3.6 Tổng kết nhận thực UMTS .51 CHƯƠNG 4: NHẬN THỰC VÀ AN NINH TRONG IP DI ĐỘNG 52 (Mobile IP) 52 4.1 Tổng quan Mobile IP 53 4.1.1 Các thành phần logic Mobile IP 53 4.1.2 Mobile IP – Nguy an ninh 55 4.2 Các phần tử tảng môi trường nhận thực an ninh Mobile IP 56 4.2.1 An ninh IPSec 57 Nguyễn Lê Trường - Lớp D2001VT ii 4.2.2 Sự cung cấp khoá đăng ký Mobile IP 57 4.3 Giao thức đăng ký Mobile IP sở .59 4.3.1 Các phần tử liệu thuật toán giao thức đăng ký Mobile IP 60 4.3.2 Hoạt động Giao thức đăng ký Mobile IP 61 4.4 Mối quan tâm an ninh Mobile Host - Truyền thông Mobile Host 63 4.5.1 Các phần tử liệu Giao thức nhận thực Sufatrio/Lam 66 4.5.2 Hoạt động giao thức nhận thực Sufatrio/Lam .67 4.6 Hệ thống MoIPS: Mobile IP với sở hạ tầng khố cơng cộng đầy đủ 69 4.6.1 Tổng quan hệ thống MoIPS 70 4.6.2 Các đặc tính kiến trúc an ninh MoIPS .72 4.7 Tổng kết an ninh nhận thực cho Mobile IP 75 KẾT LUẬN 77 TÀI LIỆU THAM KHẢO .78 Nguyễn Lê Trường - Lớp D2001VT iii THUẬT NGỮ VIẾT TẮT 3GPP AH AMF DES DH DNS DSP EA ECC ECDSA 3rd Generation Partnership Project Authentication Header Authentication and Key Management Field Authentication Center Authentication Token Authentication Vector Certification Authority Cryptographic Application Program Interface Consultative Committee for International Telephony and Telegraphy Corresponding Host Care of Address Certificate Revocation List Certificate Server Defense Advanced Research Projects Agency Data Encryption Standard Diffie-Hellman Domain Name System Digital Signal Processor External Agent Elliptic Curve Cryptographic Elliptic Curve Digital Signature Algorithm EC-EKE Elliptic Curve-Encrypted Key Exchange ESP FA GSM Encapsulating Security Protocol Foreign Agent Global Systems for Mobile Communications Home Agent International Data Encryption Algorithm AuC AUTN AV CA CAPI CCITT CH COA CRL CS DARPA HA IDEA IEEE Institute of Electrical and Electronic Engineers Nguyễn Lê Trường - Lớp D2001VT Đề án đối tác hệ ba Mào đầu nhận thực Trường quản lý khoá nhận thực Trung tâm nhận thực Thẻ nhận thực Véc tơ nhận thực Chính quyền chứng nhận Giao diện chương trình ứng dụng Uỷ ban tư vấn điện báo điện thoại quốc tê Máy đối tác Chăm sóc địa Danh sách thu hồi chứng nhận Server chứng nhận Cơ quan dự án nghiên cứu tiên tiến quốc phòng Chuẩn mật mã liệu Hệ thống tên miền Bộ xử lý tín hiệu số Tác nhân ngồi Mật mã đường cong Elíp Thuật tốn chữ ký số đường cong Elíp Trao đổi khố mật mã đường cong Elíp Giao thức an ninh đóng gói Tác nhân khách Hệ thống thơng tin di động tồn cầu Tác nhân nhà Thuật tốn mật mã số liệu quốc tế Viện kỹ thuật điện điện tử i IMEI International Mobile Equipment Identifier IMSR Improved Modular Square Root IMT-2000 International Mobile Telecomunications2000 IMUI International Mobile User Identifier IPSec ISAKMP ITU KDC LAN MAC MH MoIPS MSR PDA PKI RAND RCE RFC Internet Protocol Security Internet Security Association and Key Management Protocol International Telecommunications Union Key Distribution Center Local Area Network Message Authentication Code Mobile Host Mobile IP Security Modular Square Root Personal Digital Assistant Public-Key Infrastructure Random number Radio Control Equipment Request For Comments RPC SN SNBS SPD Remote Procedure Call Serving Node Serving Network Base Station Security Policy Database SPI UMTS USIM Security Parameters Index Universal Mobile Telecommunications System UMTS Subscriber Identity Module RSA Rivest, Shamir and Adleman Nguyễn Lê Trường - Lớp D2001VT Bộ nhận dạng thiết bị di động quốc tế Modul bậc cải tiến Viễn thông di động giới2000 Bộ nhận dạng người sử dụng di động giới An ninh giao thực Internet Giao thức quản lý khoá liên kết an ninh Internet Liên minh viễn thơng quốc tế Trung tâm phân phối khố Mạng nội Mã nhận thực tin Máy di động An ninh an ninh di động Modul bậc hai Trợ giúp số cá nhân Cơ sở hạ tầng khố cơng cộng Số ngẫu nhiên Thiết bị điều khiển vô tuyến Yêu cầu phê bình Cuộc gọi thủ tục xa Node phục vụ Trạm gốc mạng phục vụ Cơ sở liệu sách an ninh Chỉ mục tham số an ninh Hệ thống viễn thơng di động tồn cầu Modul nhận dạng thuê bao UMTS ii LỜI NÓI ĐẦU Công nghệ thông tin vô tuyến tạo thay đổi sâu sắc theo cách mà người tương tác với trao đổi thông tin xã hội Một thập kỷ qua, mơ hình thịnh hành cho hệ thống điện thoại mạng máy tính mơ hình mà người sử dụng tiếp cận mạng – tổ hợp điện thoại trạm máy tính nối dây tới sở hạ tầng liên mạng rộng Ngày nay, mơ hình dịch chuyển đến mơ hình nơi mà mạng tiếp cận người sử dụng họ xuất sử dụng chúng Khả liên lạc thông qua máy điện thoại tổ ong di chuyển thực hệ thống cho truy nhập Internet không dây ngày phổ biến Tiềm cung cấp độ mềm dẻo khả thông tin vô tuyến cho người sử dụng tổ chức rõ ràng Cùng thời điểm đó, việc cung cấp sở hạ tầng rộng khắp cho thông tin vô tuyến tính tốn di động giới thiệu nguy mới, đặc biệt lĩnh vực an ninh Thông tin vô tuyến liên quan đến việc truyền thông tin qua mơi trường khơng khí, điển hình sóng vơ tuyến thơng qua mơi trường dây dẫn khiến cho việc chặn nghe gọi người sử dụng thông tin với trở nên dễ dàng Ngồi ra, thơng tin vơ tuyến khơng thể sử dụng vị trí kết nối mạng người sử dụng phần tử để đánh giá nhận dạng chúng Để khai thác tiềm công nghệ người phải chuyển vùng tự với sản phẩm thông tin di động từ quan điểm sở hạ tầng mạng người xuất tự vị trí Trong đặc tính cung cấp cho người sử dụng tiện ích nhà cung cấp dịch vụ nhà quản trị hệ thống phải đối mặt với thách thức an ninh chưa có tiền lệ Luận văn tìm hiểu đề tài nhận thực th bao liên quan đến mơi trường mạng vô tuyến Theo ngữ cảnh “thuê bao” người sử dụng: chẳng hạn khách hàng dịch vụ điện thoại tổ ong người sử dụng dịch vụ truy nhập Internet không dây Nhận thực thuê bao thành phần then chốt an ninh thông tin môi trường mạng nào, người sử dụng di động nhận thực đảm nhận thành phần Những nghiên cứu tìm hiểu chế để nhận thực thuê bao hai môi trường liên mạng Đầu tiên mạng tổ ong số hỗ trợ truyền thông máy điện thoại tổ ong Mạng trải qua phát triển từ công nghệ hệ thứ hai sang hệ thứ phương pháp nhận thực thuê bao kèm theo thay đổi Môi trường mạng thứ hai Giao thức Internet di động (Mobile IP), giao thức phát triển năm 90 kỷ 20 cho phép Internet hỗ trợ tính tốn di động Điều quan trọng nhận hai môi trường có nguồn gốc khác Mơi trường tổ ong số trình bày nghiên cứu chẳng hạn UMTS bắt nguồn từ mạng điện thoại Về mặt lịch sử nhiệm vụ mạng hỗ trợ hội thoại phương pháp thiết lập “mạch” cung cấp kết nối liên tục điểm đầu cuối Giao thức Internet di động mở rộng kiến trúc liên mạng Internet có tập trung vào việc hỗ trợ cho truyền thơng máy tính kiểu lưu lượng số liệu thoại Trong giới Internet, nhiệm vụ quan trọng định tuyến phân phối gói liệu thiết lập kênh tạm thời điểm-điểm Ngoài khác theo nguồn gốc mạng tổ ong số mơi trường Internet Mobile IP hoạt động gặp phải khác phương pháp thực nhận thực an ninh Tuy nhiên quan trọng hiểu tất công nghệ truyền thông công nghệ hỗ trợ hội thoại lẫn công nghệ hỗ trợ truyền số liệu ngày sử dụng cơng nghệ số Vì vậy, tầng ngăn xếp giao thức truyền thông, chúng sử dụng chế tương tự để truyền nhận thông tin Hơn nữa, truy nhập Internet không dây phát triển quan trọng không máy tính mà cịn máy điện thoại tế bào thách thức mà hai mơi trường liên mạng phải đối mặt lĩnh vực an ninh có khuynh hướng hợp Trong tương lai, điện thoại tế bào trở thành loại đầu cuối truy nhập Internet kết có tính khả thi lâu dài khác biệt công nghệ truyền thông tổ ong công nghệ Internet khơng cịn rõ ràng Chủ đề quan tâm thực lĩnh vực máy tính, truyền thơng an ninh thơng tin bị ảnh hưởng liên mạng vơ tuyến tính tốn di động Tuy nhiên lĩnh vực khổng lồ phức tạp Nhận thực thuê bao chủ đề hẹp thích hợp cho phạm vi luận văn Tuy nhiên, dự định luận văn sử dụng khám phá nhận thực thuê bao mạng tổ ong số theo giao thức Mobile IP ống kính cho phép nhận thức rõ ràng khuynh hướng rộng an ninh cho môi trường liên mạng vô tuyến Chương giới thiệu nhận thực liên quan đến lĩnh vực lớn máy tính, truyền thơng bảo mật thơng tin mạng vô tuyến cung cấp số đặc tính cụ thể mơi trường mạng vơ tuyến gây trở ngại cho người thiết kế hệ thống an ninh Chương 2, trọng tâm chuyển đến việc nghiên cứu từ năm 1990 khẳng định tồn phương pháp cho hệ thống mật mã khố cơng cộng với tiềm lớn cho môi trường thông tin vô tuyến Chương 3, trọng tâm chuyển đến xem xét giao thức cho mạng truyền thông tổ ong băng tần cao hệ thứ gọi UMTS (Universal Mobile Telecommunications System) Chương khảo sát nhận thực đề xuất cho ứng dụng miền truy nhập Internet không dây gọi Mobile IP (Mobile Internet Protocol) Cuối em xin gửi lời cảm ơn chân thành sâu sắc đến thầy TS Nguyễn Phạm Anh Dũng, thầy Nguyễn Viết Đảm cô Phạm Thị Th Hiền nhiệt tình giúp đỡ em hồn thành đề tài Hà Nội – 2005 Nguyễn Lê Trường CHƯƠNG 1: NHẬN THỰC TRONG MÔI TRƯỜNG LIÊN MẠNG VÔ TUYẾN Từ điển New International Webster, phiên năm 1925 định nghĩa “nhận thực” nghĩa là: “Hành động nhận thực trạng thái nhận thực; trao cho quyền thẻ tín nhiệm thủ tục, xác nhận cần thiết” Động từ “authenticate” định nghĩa chặt chẽ hơn: “(1) để đưa tính xác thực, để trao quyền chứng, chứng nhận thủ tục yêu cầu luật cần thiết để dán tên cho thẻ tín nhiệm giống văn xác nhận dấu (2) để chứng minh tính xác thực; để xác định rõ tính chân chính, có thực tính thống xác nhận chân dung” 75 năm qua theo ngữ cảnh truyền thơng máy tính số, định nghĩa cịn có giá trị 1.1 Vai trò nhận thực kiến trúc an ninh Trong giới an ninh thông tin, nhận thực nghĩa hành động trình chứng minh cá thể thực thể chúng Theo Burrows, Abadi Needham: “Mục đích nhận thực phát biểu đơn giản khơng hình thức khơng xác Sau nhận thực, hai thành phần (con người, máy tính, dịch vụ) phải trao quyền để tin chúng liên lạc với mà liên lạc với kẻ xâm nhập” Vì vậy, sở hạ tầng IT hợp muốn nhận thực thực tế người sử dụng hệ thống sở liệu công ty giám đốc nguồn nhân lực trước cho phép quyền truy nhập vào liệu nhân cơng nhạy cảm (có lẽ phương tiện mật thẻ thông minh người dùng) Hoặc nhà cung cấp hệ thống thông tin tổ ong muốn nhận thực máy điện thoại tổ ong truy nhập vào hệ thống vô tuyến họ để thiết lập máy cầm tay thuộc người sử dụng có tài khoản máy điện thoại không thông báo bị đánh cắp