HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - CAO THỊ MỸ HẠNH NGHIÊN CỨU CẢI THIỆN HIỆU NĂNG GIẢI THUẬT TẠO CRYTOGRAPHICALLY GENERATED ADDRESSES TRONG IPV6 Chuyên ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 ĐỀ ÁN TỐT NGHIỆP THẠC SĨ KỸ THUẬT (KỸ THUẬT VIỄN THÔNG) (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC TS VŨ THỊ THÚY HÀ HÀ NỘI - NĂM 2023 i LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu đề án tốt nghiệp trung thực chưa cơng bố cơng trình khác Tác giả đề án tốt nghiệp ký ghi rõ họ tên Cao Thị Mỹ Hạnh ii LỜI CẢM ƠN Sau thời gian tập trung nghiên cứu, học viên đạt kết định nghiên cứu Những kết đạt khơng từ cố gắng, nỗ lực học viên, mà cịn có hỗ trợ giúp đỡ Cơ hướng dẫn Học viên xin bày tỏ lịng biết ơn sâu sắc đến TS Vũ Thị Thúy Hà tận tình hướng dẫn, trang bị phương án nghiên cứu, kiến thức khoa học để học viên hoàn thành nội dung đề án Học viên trân trọng cảm ơn Thầy, Cô giáo Khoa Viễn thông 1, Khoa Sau đại học Lãnh đạo Học viện Cơng nghệ Bưu Viễn thơng động viên tạo điều kiện thuận lợi cho học viên thời gian làm đề án Cuối cùng, học viên chân thành cảm ơn gia đình ln hậu phương, hỗ trợ khích lệ tinh thần cho học viên hồn thành mục tiêu nghiên cứu Hà Nội, tháng 05 năm 2023 iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN .ii DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT .vi DANH MỤC CÁC BẢNG vii DANH MỤC CÁC HÌNH viii MỞ ĐẦU Chương - CÁC VẤN ĐỀ BẢO MẬT IPV6 1.1 Tổng quan IPv6 1.1.1 Các ưu điểm IPv6 1.1.2 Cấu trúc IPv6 1.1.3 Các tính IPv6 1.2 Bảo mật IPv6 1.3 Giao thức SEND .10 1.3.1 Điều kiện tiên IPv6 SEND 15 1.3.2 Thông tin IPv6 SEND 16 1.3.3 Cài đặt SEND .20 1.4 Kỹ thuật CGA IPv6 .21 1.4.1 Định dạng tham số CGA 23 1.4.2 Tham số CGA giá trị băm 24 1.5 Khảo sát số nghiên cứu cải thiện hiệu giải thuật tạo CGA 26 1.6 Kết luận 29 Chương - NGHIÊN CỨU GIẢI THUẬT TẠO CGA TRONG IPV6 31 iv 2.1 Giới thiệu chương 31 2.2 Quá trình xác thực tạo CGA 32 2.2.1 Các bước để tạo địa IPv6 sử dụng CGA .32 2.2.2 Quá trình xác thực CGA .33 2.3 Các kiểu công vào CGA 35 2.3.1 Một kẻ công cố gắng phá vỡ khả chống hàm băm trước 36 2.3.2 Phát khóa riêng nút nạn nhân (Victim Node’s Private Key) 36 2.3.3 Cuộc cơng TMTO tồn cầu 36 2.3.4 Cuộc công DoS chống lại tiến trình xác thực CGA .36 2.4 Cài đặt CGA 37 2.5 Kết luận chương .39 Chương - ĐỀ XUẤT GIẢI PHÁP CẢI THIỆN HIỆU NĂNG CỦA GIẢI THUẬT TẠO CGA 40 3.1 Giới thiệu chương 40 3.2 Phân tích vấn đề ảnh hưởng tới hiệu IPv6 triển khai CGA .40 3.3 Cải thiện hiệu giải thuật tạo CGA ứng dụng cho mạng IPv6 di động (Mobile IPv6 Networks) 40 3.3.1 Giải thuật tạo CGA tiêu chuẩn 40 3.3.2 Phân tích số vấn đề triển khai CGA tiêu chuẩn 43 3.3.3 Đề xuất giải pháp tạo CGA thích ứng theo thời gian 44 3.4 Kết luận chương .50 KẾT LUẬN 51 v TÀI LIỆU THAM KHẢO 54 PHỤ LỤC 57 vi DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt AH Authentication Header Tiêu đề xác thực CC Collision Count Số lần va chạm CGA Cryptographically Generated Address Địa tạo mật mã CPF Certificate Path Flows Luồng đường dẫn chứng DAD Duplicate Address Detection Phát địa trùng lặp DoS Denial of Service Tấn công từ chối dịch vụ EPS Encapsulating Security Payload Đóng gói tải trọng bảo mật ID Identity Nhận dạng IID Interface ID Bộ định danh giao diện IoT Internet of Thing Internet vạn vật IP Internet Protocol Giao thức Internet IP sec IP security Giao thức bảo mật IP IPV4 Internet Protocol version Giao thức IPv4 IPv6 Internet Protocol version Giao thức IPv6 m/M Modifier Bộ thay đổi NDP Neighbor Discovery Protocol QoS Quality of Service Giao thức khám phá nút mạng lân cận Chất lượng dịch vụ RSA Ron Rivest, Adi Shamir, Leonard Adleman Sec Hệ mã hóa bất đối xứng Secure Neighbor Discovery Giao thức khám phá nút lân cận an tồn Tự động cấu hình địa khơng trạng thái Tiền tố mạng Sec SEND SLAAC SP Stateless Address Autoconfiguration Subnet Prefix Tham số bảo mật vii DANH MỤC CÁC BẢNG Bảng 1.1 Các ký hiệu tạo mã CGA 22 Bảng 1.2 Yếu tố ảnh hưởng đến hiệu suất thuật toán tạo CGA cải tiến 28 Bảng 3.1 Thời gian tạo CGA với Sec=0 chạy với tốc độ CPU khác 47 Bảng 3.2 Thời gian tạo CGA với Sec=1 chạy với tốc độ CPU khác 47 Bảng 3.3 So sánh hiệu giải thuật tạo CGA cải tiến CGA tiêu chuẩn 49 viii DANH MỤC CÁC HÌNH Hình 1.1 Thực bảo mật kết nối hai mạng IPv4 Hình 1.2 Thực bảo mật kết nối từ thiết bị gửi đến thiết bị nhận IPv6 Hình 1.3 Kết nối Unicast Hình 1.4 Kết nối Multicast Hình 1.5 Mơ hình triển khai Host - Host 17 Hình 1.6 Neighbor Solicitation Flow 18 Hình 1.7 Mơ hình triển khai Host-Device 18 Hình 1.8 RAs CPF 19 Hình 1.9 Mơ hình triển khai CA đơn 20 Hình 1.10 Định dạng cấu trúc liệu tham số CGA 24 Hình 2.1 Lưu đồ thuật tốn tạo CGA 32 Hình 3.1 Thuật tốn tạo CGA tiêu chuẩn 43 Hình 3.2 Thuật tốn tạo CGA chỉnh sửa 46 Hình 3.3 Thời gian tìm Modifier tốt với thuật toán CGA chỉnh sửa 48 MỞ ĐẦU Giao thức IPv6 (Internet Protocol version 6) có cải tiến đáng kể, giải nhiều vấn đề tồn mặt bảo mật giao thức IPv4 (Internet Protocol version 4) cũ Việc tích hợp giao thức bảo mật IP (IP security - IP sec) bắt buộc IPv6, trở nên an tồn so với IPv4 Bên cạnh tính mềm dẻo, IPv6 đặt số vấn đề liên quan tới bảo mật Giao thức IP di động (Mobile IP) xây dựng giao thức IPv6 giải pháp cho vấn đề bảo mật giao thức nghiên cứu phát triển Hơn nữa, tính mềm dẻo việc cấu hình động gây vấn đề bảo mật nghiêm trọng thiết lập cấu hình khơng Mặc dù mặt tổng quan, giao thức IPv6 tăng cường bảo mật cho toàn hệ thống mạng dựa TCP/IP kẻ cơng có khả khai thác phần khác giao thức Địa IPv6 (Internet protocol version 6) hệ địa Internet phiên thiết kế để thay cho phiên IPv4 hoạt động Internet Địa IPv4 có chiều dài 32bit, biểu diễn dạng cụm số thập phân phân cách dấu chấm, ví dụ: 203.119.9.0 IPv4 phiên địa Internet đầu tiên, đồng hành với việc phát triển vũ bão hoạt động Internet hai thập kỷ qua Với 32 bit chiều dài, không gian IPv4 gồm khoảng tỉ địa cho hoạt động mạng toàn cầu Do phát triển vũ bão mạng dịch vụ Internet, nguồn IPv4 dần cạn kiệt, đồng thời bộc lộ hạn chế việc phát triển loại hình dịch vụ đại Internet Phiên địa Internet IPv6 thiết kế để thay cho phiên IPv4, với hai mục đích bản: Thay cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet Khắc phục nhược điểm thiết kế địa IPv4 Địa IPv6 có chiều dài 128bit, biểu diễn dạng cụm hexa phân cách dấu ::, ví dụ: 2001:0DC8::1005:2F43:0BCD:FFFF Với 128 bit chiều dài, không gian địa IPv6 gồm 2128 địa chỉ, cung cấp lượng địa khổng lồ cho hoạt động Internet 56 [20] T Rajendran and K V Sreenaath, "Hash optimization for cryptographically generated address," in Proceedings of the 3rd International Conference on Communication Systems Software and Middleware and Workshops (COMSWARE'08), pp 365-369, Bangalore, India, Jan 2008 [21] V Ahmed, Amjed Sid, et al "IPv6 cryptographically generated address: Analysis, optimization and protection," Computers, Materials and Continua 68.1 (2021) 57 PHỤ LỤC Các bước cài đặt SEND: B1 Cấu hình Certificate Servers để kích hoạt SEND Host devices phải cấu hình cặp khóa RSA chuỗi chứng tương ứng trước định cấu hình tham số SEND Thực tác vụ sau để định cấu hình Certificate Servers để cấp chứng Sau Certificate Servers định cấu hình, tham số khác cho Certificate Servers định cấu hình Các bước cấu hình Certificate Servers: enable configure terminal ip http server crypto pki trustpoint name ip-extension [multicast | unicast] | prefix ipaddress | range min-ipaddress max-ipaddress} revocation-check {crl | none | ocsp} exit crypto pki server name grant auto 10 cdp-url url-name 11 no shutdown B2: Cấu hình Host để kích hoạt SEND: gồm 17 bước: enable configure terminal {inherit [ipv4 | ipv6] 58 crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:] [on devicename:] ipv6 cga modifier rsakeypair key-label sec-level {0 | 1} crypto pki trustpoint name enrollment [mode] [retry period minutes] [retry count number] url url [pem] revocation-check {crl | none | ocsp} exit crypto pki authenticate name 10 ipv6 nd secured sec-level minimum value 11 interface type number 12 ipv6 cga rsakeypair key-label 13 ipv6 address ipv6-address / prefix-length link-local cga 14 ipv6 nd secured trustanchor trustanchor-name 15 ipv6 nd secured timestamp {delta value | fuzz value} 16 exit 17 ipv6 nd secured full-secure B3: Cấu hình Device để kích hoạt SEND: gồm 19 bước enable configure terminal crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:] [on devicename:] ipv6 cga modifier rsakeypair key-label sec-level {0 | 1} crypto pki trustpoint name subject-name [attr tag] [eq | ne | co | nc] string rsakeypair key-label revocation-check {crl | none | ocsp} exit 59 10 crypto pki authenticate name 11 crypto pki enroll name 12 ipv6 nd secured sec-level minimum value 13 interface type number 14 ipv6 cga rsakeypair key-label 15 ipv6 address ipv6-address link-local cga 16 ipv6 nd secured trustanchor trustpoint-name 17 ipv6 nd secured timestamp {delta value | fuzz value} 18 exit 19 ipv6 nd secured full-secure B4: Tạo cặp khóa RSA cơng cụ sửa đổi CGA cho cặp khóa: enable configure terminal crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:] [on devicename:] ipv6 cga modifier rsakeypair key-label sec-level {0 | 1} B5: Cấu hình Certificate Enrollment cho PKI: Certificate enrollment, trình lấy chứng từ CA, xảy host cuối yêu cầu chứng CA Mỗi máy ngang hàng tham gia vào PKI phải đăng ký với CA Trong IPv6, bạn đăng ký tự động đăng ký chứng thiết bị theo cách thủ công enable configure terminal crypto pki trustpoint name subject-name x.500-name enrollment [mode] [retry period minutes] [retry count number] url url [pem] 60 serial-number [none] auto-enroll [percent] [regenerate] password string rsakeypair key-label [key-size [encryption-key-size]] 10 fingerprint ca-fingerprint 11 ip-extension [multicast | unicast] {inherit [ipv4 | ipv6] | prefix ipaddress | range min-ipaddress max-ipaddress} 12 exit 13 crypto pki authenticate name 14 exit B6: Cấu hình CGA ❖ Cấu hình tham số CGA chung: enable configure terminal ipv6 nd secured sec-level [minimum value] ipv6 nd secured key-length [[minimum | maximum] value] ❖ Cấu hình tạo địa CGA giao diện: enable configure terminal interface type number ipv6 cga rsakeypair key-label ipv6 address {ipv6-address/prefix-length [cga] | prefix-name subbits/prefix-length [cga]} B7: Cấu hình tham số SEND: ❖ Cấu hình SEND Trustpoint: enable configure terminal 61 crypto key generate rsa [general-keys | usage-keys | signature | encryption] [label key-label] [exportable] [modulus modulus-size] [storage devicename:] [on devicename:] ipv6 cga modifier rsakeypair key-label sec-level {0 | 1} crypto pki trustpoint name subject-name [x.500-name] rsakeypair key-label [ key-size [encryption-key-size]] enrollment terminal [pem] ip-extension [multicast | unicast] {inherit [ipv4 | ipv6] | prefix ipaddress | range min-ipaddress max-ipaddress} 10 exit 11 crypto pki authenticate name 12 crypto pki enroll name 13 crypto pki import name certificate 14 interface type number 15 ipv6 nd secured trustpoint trustpoint-name ❖ Cấu hình SEND Trust Anchors giao diện: enable configure terminal crypto pki trustpoint name enrollment terminal [pem] exit crypto pki authenticate name interface type number ipv6 nd secured trustanchor trustanchor-name ❖ Cấu hình Secured Nonsecured Neighbor Discovery Message Coexistence Mode: Trong trình chuyển đổi sang giao diện bảo mật SEND, nhà khai thác mạng muốn chạy giao diện cụ thể với kết hợp nút chấp nhận thơng báo khám phá hàng xóm bảo 62 mật không bảo mật Thực tác vụ để định cấu hình chế độ tồn cho thơng báo ND an tồn khơng an tồn giao diện Các bước cấu hình: enable configure terminal interface type number ipv6 nd secured trustpoint trustpoint-name no ipv6 nd secured full-secure ❖ Tùy chỉnh thông số SEND: enable configure terminal ipv6 nd secured key-length [[minimum | maximum] value] ipv6 nd secured sec-level minimum value ❖ Cấu hình SEND Time Stamp: enable configure terminal interface type number ipv6 nd secured timestamp {delta value | fuzz value} Cấu hình IPv6 SEND (Secure Neighbor Discovery) -CGA thiết bị Cisco IOS IPv6 ❖ Cấu hình Certificate Servers crypto pki server CA issuer-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=CA0 lifetime ca-certi ficate 700 ! crypto pki trustpoint CA ip-extension prefix 2001::/16 revocation-check crl rsakeypair CA 63 no shutdown Để hiển thị máy chủ chứng với phần mở rộng IP, sử dụng lệnh "show crypto pki certificates verbose" Device# show crypto pki certificates verbose CA Certificate Status: Available Version: Certificate Serial Number (hex): 01 Certificate Usage: Signature Issuer: c=FR st=fr l=example o=cisco ou=nsstg cn=CA0 Subject: c=FR st=fr l=example o=cisco ou=nsstg cn=CA0 Validity Date: start date: 09:50:52 GMT Feb 2009 end date: 09:50:52 GMT Jan 2011 Subject Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Signature Algorithm: MD5 with RSA Encryption Fingerprint MD5: 87DB764F 29367A65 D05CEE3D C12E0AC3 Fingerprint SHA1: 04A06602 86AA72E9 43F2DB33 4A7D40A2 E2ED3325 X509v3 extensions: 64 X509v3 Key Usage: 86000000 Digital Signature Key Cert Sign CRL Signature X509v3 Subject Key ID: 75B477C6 B2CA7BBE C7866657 57C84A32 90CEFB5A X509v3 Basic Constraints: CA: TRUE X509v3 Authority Key ID: 75B477C6 B2CA7BBE C7866657 57C84A32 90CEFB5A Authority Info Access: X509v3 IP Extension: IPv6: 2001::/16 Associated Trustpoints: CA ❖ Cấu hình Host kết nối tới SEND crypto key generate rsa label SEND modulus 1024 The name for the keys will be: SEND % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable [OK] ipv6 cga modifier rsakeypair SEND sec-level crypto pki trustpoint SEND enrollment url http://10.165.200.254 revocation-check none exit crypto pki authenticate SEND Certificate has the following attributes: Fingerprint MD5: FC99580D 0A280EB4 2EB9E72B 941E9BDA Fingerprint SHA1: 22B10EF0 9A519177 145EA4F6 73667837 3A154C53 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted ipv6 nd secured sec-level minimum interface fastethernet 0/0 ipv6 cga rsakeypair SEND ipv6 address FE80::260:3EFF:FE11:6770 link-local cga 65 ipv6 nd secured trustanchor SEND ipv6 nd secured timestamp delta 300 exit ipv6 nd secured full-secure "show running-config" để xác minh cấu hình Device# show running-config Building configuration [snip] crypto pki trustpoint SEND enrollment url http://10.165.200.225 revocation-check none ! interface Ethernet1/0 ip address 10.165.202.129 255.255.255.0 duplex half ipv6 cga rsakeypair SEND ipv6 address 2001:100::/64 cga ❖ Cấu hình thiết bị kết nối tới SEND crypto key generate rsa label SEND modulus 1024 ipv6 cga modifier rsakeypair SEND sec-level crypto pki trustpoint SEND subject-name C=FR, ST=PACA, L=Example, O=Cisco, OU=NSSTG, CN=device rsakeypair SEND revocation-check none exit crypto pki authenticate key1 Certificate has the following attributes: Fingerprint MD5: FC99580D 0A280EB4 2EB9E72B 941E9BDA Fingerprint SHA1: 22B10EF0 9A519177 145EA4F6 73667837 3A154C53 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted 66 crypto pki enroll SEND % Start certificate enrollment % Create a challenge password You will need to verbally provide this password to the CA Administrator in order to revoke your certificate For security reasons your password will not be saved in the configuration Please make a note of it Password: Re-enter password: % The subject name in the certificate will include: C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=device % The subject name in the certificate will include: Device % Include the device serial nu mber in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: Request certificate from CA? [yes/no]: yes % Certificate request sent to Certificate Authority % The 'show crypto pki certificate SEND verbose' commandwill show the fi ngerprint *Feb 09:40:37.171: CRYPTO_PKI: Certificate Request Fingerprint MD5: A6892F9F 23561949 4CE96BB8 CBC85 E64 *Feb 09:40:37.175: CRYPTO_PKI: Certificate Request Fingerprint SHA1: 30832A66 E6EB37DF E578911D 383F 96A0 B30152E7 *Feb 09:40:39.843: %PKI-6-CERTRET: Certificate received from Certificate Authorit y interface fastethernet 0/0 ipv6 nd secured sec-level minimum ipv6 cga rsakeypair SEND ipv6 address fe80:: link-local cga ipv6 nd secured trustanchor SEND ipv6 nd secured timestamp delta 300 exit ipv6 nd secured full-secure Để xác minh chứng tạo ra, sử dụng lệnh "show crypto pki certificates" Device# show crypto pki certificates Certificate Status: Available 67 Certificate Serial Number: 0x15 Certificate Usage: General Purpose Issuer: cn=CA Subject: Name: Device hostname=Device c=FR st=fr l=example o=cisco ou=nsstg cn=device Validity Date: start date: 09:40:38 UTC Feb 2009 end date: 09:40:38 UTC Feb 2010 Associated Trustpoints: SEND CA Certificate Status: Available Certificate Serial Number: 0x1 Certificate Usage: Signature Issuer: cn=CA Subject: cn=CA Validity Date: start date: 10:54:53 UTC Jun 20 2008 end date: 10:54:53 UTC Jun 20 2011 Associated Trustpoints: SEND Để xác minh cấu hình, sử dụng lệnh "show running-config" Device# show running-config Building configuration [snip] 68 crypto pki trustpoint SEND enrollment url http://209.165.201.1 subject-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=device revocation-check none rsakeypair SEND ! interface Ethernet1/0 ip address 209.165.200.225 255.255.255.0 duplex half ipv6 cga rsakeypair SEND ipv6 address FE80:: link-local cga ipv6 address 2001:100::/64 cga ❖ Cấu hình tới SEND Trustpoint crypto key generate rsa label SEND Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys Choosing a key modulus greater than 512 may take a few minutes How many bits in the modulus [512]: 778 % Generating 778 bit RSA keys, keys will be non-exportable [OK] ipv6 cga modifier rsakeypair SEND sec-level crypto pki trustpoint trustpoint1 subject-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=sa14-72b rsakeypair SEND enrollment terminal ip-extension unicast prefix 2001:100:1://48 exit crypto pki authenticate trustpoint1 crypto pki enroll trustpoint1 crypto pki import trustpoint1 certificate interface Ethernet 0/0 ipv6 nd secured trustpoint trustpoint1 ❖ Cấu hình SEND Trust Anchors ! Configure the location of the CS we trust ! crypto pki trustpoint B1 enrollment terminal 69 crypto pki authenticate anchor1 exit ! Only Query a certificate signed by the CS at B2 on this interface ! interface Ethernet 0/0 ip address 204.209.1.54 255.255.255.0 ipv6 cga rsakeypair SEND ipv6 address 2001:100::/64 cga ipv6 nd secured trustanchor anchor1 ❖ Cấu hình tạo địa CGA giao diện enable configure terminal interface fastEthernet 0/0 ipv6 cga rsakeypair SEND ipv6 address 2001:100::/64 cga exit BẢN CAM ĐOAN Tôi cam đoan thực kiểm tra mức độ tương đồng nội dung đề án qua phần mềm https://kiemtratailieu.vn cách trung thực đạt kết mức độ tương đồng % toàn nội dung đề án Bản đề án kiểm tra qua phần mềm cứng đề án nộp để bảo vệ trước hội đồng Nếu sai tơi xin chịu hình thức kỷ luật theo quy định hành Học viện Học viên Người hướng dẫn khoa học (Ký ghi rõ họ tên) (Ký ghi rõ họ tên) Cao Thị Mỹ Hạnh Vũ Thị Thúy Hà