NGHIÊN CỨU THUẬT TOÁN AEGIS ỨNG DỤNG BẢO MẬT TRONG VIDEO CALL Hiện nay, cùng với sự bùng nổ mạnh mẽ của mạng Internet, các nhu cầu về truyền thông, giải trí, liên lạc thu, chat, thoại... trên các nền tảng tài nguyên hạn chế cũng diễn ra hết sức phổ biến, cùng với đó là công nghệ VoIP nói chung và dịch vụ thoại có hình (video call) nói riêng cũng ngày càng phát triển. Đặc biệt trong bối cảnh bùng phát đại dịch COVID19 buộc phải duy trì bảo đảm khoảng cách xa thì dịch vụ video call ở các ứng dụng Zalo, Face Time, Zoom, Google Meet,... càng thể hiện tính hiệu quả cao, đặc biệt trong bối cảnh, học tập và làm việc online tại nhà, đòi hỏi nhu cầu sử dụng các dịch vụ đáp ứng các yêu cầu về trao đổi thông tin thời gian thực. Video call phát triển đã đem lại không ít lợi ích cho nguời sử dụng, nhu tiết kiệm thời gian, thuận tiện, kết nối mọi nguời với nhau nhanh chóng, kịp thời. Tuy nhiên, khi nhu cầu dùng Internet và số nguời dùng dịch vụ tăng lên thì luôn tiềm ẩn các nguy cơ mất an toàn trong mạng. Đã có nhiều số liệu công bố về các tấn công trên môi truờng mạng Internet làm mất mát thông tin, gây ra nhiều hậu quả nghiêm trọng cho cá nhân và tổ chức. Để giảm thiểu các nguy cơ mất an toàn cho các thiết bị có tài nguyên hạn chế (các thiết bị IoT, các điện thoại thông minh,.) thì việc sử dụng các thuật toán mật mã hạng nhẹ để xử lý đồng thời cả mã hóa và xác thực dữ liệu thời gian thực trở thành một xu thế tất yếu. Truớc những lợi ích mà video call đem lại và các nguy cơ mất an toàn dịch vụ đòi hỏi phải có biện pháp đảm bảo an toàn cho ứng dụng này. Đây cũng là lý do em chọn đề tài “NGHIÊN CỨU THUẬT TOÁN AEGIS ỨNG DỤNG BẢO MẬT TRONG VIDEO CALL” với mục đích nghiên cứu, biên dịch và thử nghiệm ứng dụng chạy trên nền android giúp nguời dùng bảo mật nội dung thông tin video call qua môi truờng mạng IP. về mặt lý thuyết, đề tài trình bày được các nội dung sau: Tìm hiểu về tổng quan về VoIP, các giao thức sử dụng trong mạng VoIP. Tìm hiểu về điểm yếu của hệ thống VoIP, các nguy cơ mất an toàn và các tấn công thuờng gặp trên hệ thống. Tìm hiểu về giao thức bảo mật SRTP, thuật toán sử dụng trong quản lý trao đổi khóa và xác thực cho giao thức SRTP. Tìm hiểu, nghiên cứu một số tấn công lên giao thức bảo mật SRTP, bảo mật dịch vụ VoIP với SRTP. Về mặt thực nghiệm, đề tài đã thu được những kết quả sau: Biên dịch và tùy biến đuợc bộ thu viện mật mã của giao thức SRTP đã thay thế thuật toán mật mã Aegis128 vào trong giao thức. Triển khai thử nghiệm thành công hệ thống Linphone ứng dụng VoIP có bảo mật dữ liệu video call trong giao thức SRTP.
ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ NGHIÊN CỨU THUẬT TOÁN AEGIS ỨNG DỤNG BẢO MẬT TRONG VIDEO CALL Nguyen Thanh Long Hà Nội - 2023 MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC KỸ HIỆU, CÁC CHỮ VIẾT TẮT v DANH MỤC CÁC HÌNH VẼ vii DANH MỤC CÁC BẢNG BIỂU ix LỜI MỞ ĐẦU x CHƯƠNG TỔNG QUAN VỀ VIDEO CALL TRONG MẠNG VOIP 1.1 Tổng quan mạng VoIP, nguy an toàn dịch vụ 1.1.1 Tổng quan mạng VoIP 1.1.2 Các nguy an toàn dịch vụ video call 1.2 Các giao thức phổ biến dịch vụ video call 1.2.1 Giao thức khởi tạo phiên SIP 1.2.2 Giao thức truyền tải thời gian thực RTP 1.3 Phân tích giao thức SRTP 11 1.3.1 Giới thiệu 11 1.3.2 Kiến trúc giao thức SRTP 11 1.3.3 Trao đổi khóa trongSRTP 17 1.4 Kết luận chuơng 26 CHƯƠNG PHÂN TÍCH THUẬT TỐN MÃ HĨA CĨ XÁC THỰC AEGIS 27 2.1 Phân tích thuật tốn AEGIS 27 2.1.1 Các hàm đuợc sử dụng thuật toán 28 2.1.2 Luu đồ hoạt động thuật toán AEGIS 38 2.2 Đánh giá an tồn thuật tốn AEGIS 39 2.2.1 Bảo mật trình khởi tạo 40 2.2.2 Tính bảo mật q trình mã hóa 40 2.2.3 Bảo mật xác thực tin nhắn 41 2.3 Kết luận chuơng 44 CHƯƠNG NHÚNG THUẬT TOÁN AEGIS VÀO ỨNG DỤNG LINPHONE 45 3.1 Giới thiệu ứng dụng LinPhone 45 3.1.1 Thư viện LIBLINPHONE 46 3.2 Tích hợp thuật tốn Aegis vào dự án linphone 48 3.2.1 Cài đặt môi trường 48 3.2.2 Tích hợp thuật toán vào thư viện Liblinphone 52 3.3 Triển khai hệ thống 57 3.3.1 Mơ hình triển khai 57 3.3.2 Biên dịch mã nguồn 58 3.3.3 Triển khai thử nghiệm hệ thống 61 3.4 Phân tích kết đề xuất ứng dụng 65 3.5 Kết luận chương 66 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 68 DANH MỤC KỸ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt AD Dữ liệu liên kết Associate Data CSRC Contributing source Nguồn đóng góp DoS Denial of Service Từ chối dịch vụ EKT Encrypted Key Transport Truyền tải khóa mã hóa ICM Integer Counter Mode Chế độ đếm số nguyên IETF Internet Engineering IHA Implicit Header Authentication Xác thực tiêu đề ngầm định IP Internet Protocol Giao thức Internet ISDN Intergrated Services Digital Network Mạng dịch vụ tích hợp kỹ thuật số ITU International Union Liên minh Viễn thông Quốc tế IV Initialization Vector Vector khởi tạo MAC Message Authentication Code Mã xác thực thông báo MCU Multipoint Control Units Thiết bị điều khiển đa điểm MiT M Man-in-the-Middle Attack Tấn công xen OFB Output FeedBack Chế độ phản hồi đầu PKI Telecommunications Public Key Infrastructure Task Force Lực lượng Đặc nhiệm Kỹ thuật Internet Cơ sở hạ tầng khóa cơng khai PRF Pseudorandom Function Hàm giả ngẫu nhiên PSTN Public Switching Telephone Network Mạng thoại chuyển mạch công cộng RAS Registration Admission Status Trạng thái tiếp nhận đăng ký Giao thức điều khiển truyền tải thời RTCP Real-time Transport Control Protocol gian thực RTP Real-time Transport Protocol Giao thức truyền tải thời gian thực SCN Switching Circuit Network Chuyển mạch mạng Session Description Protocol Security Phiên mô tả giao thức Mô tả bảo Descriptions mật SIP Session Initiation Protocol Giao thức bắt đầu phiên SPIT Spam through Internet Telephony Thư rác qua điện thoại Internet SRTP Secure Real-time Transport Protocol an toàn VoIP voice over internet protocol Âm truyền qua giao thức internet SDES Giao thức truyền tải thời gian thực DANH MỤC CÁC HÌNH VẼ Hình 1.1: Lưu lượng thoại VoIP Hình 1.2: Các giao tiếp mạng IP thông qua Gateway Hình 1.3: Các thành phần SIP Hình 1.4: Cuộc gọi thiết lập trực tiếp Hình 1.5: Thiết lập gọi thông qua Proxyserver Hình 1.6: Thiết lập gọi thơng qua Redirectserver Hình 1.7: Định dạng gói tin SRTP 12 Hình 1.8: Định dạng gói SRTCP 15 Hình 1.9: Định dạng EKT 21 Hình 1.10: Key Data sub-Payload củaMIKEY 26 Hình 2.1: Nguyên lý hoạt động hàm cậpnhật trạng thái 29 Hình 2.2: Hoạt động khởi tạo 30 Hình 2.3: Hoạt động xử lý liệu liên kết 32 Hình 2.4: Hoạt động củahàm mã hóa 34 Hình 2.5: Hoạt động củahàm tạo nhãn xácthực 36 Hình 2.6: Hoạt động củahàm giải mã xácminh nhãn xác thực 37 Hình 2.7: Sơ đồ khối thuật toán AEGIS 39 Hình 3.1: Kiến trúc ứng dụng Linphone 46 Hình 3.2: Vị trí thư viện kiến trúc củaứng dụng 47 Hình 3.3: File Android NDK sai giải nén 49 Hình 3.4: Giao diện ứng dụng Android Studio 50 Hình 3.5: Chọn cài đặt Android SDK 50 Hình 3.6: Một phần nội dung file bashrc 51 Hình 3.7: Một phần nội dung file srtp.c 52 Hình 3.8: Profile mặc định giao thức SRTP 53 Hình 3.9: Các thuật tốn mật mã sử dụng giao thức SRTP 53 Hình 3.10: Thay thuật toán bảo mật mặc định giao thức SRTP 54 Hình 3.11: Chỉnh sửa thuật toán mặc định file srtp.h 54 Hình 3.12: Loại bỏ nội dung hàm mã hóa, giải mã file aes_gcm_ossl.c 55 Hình 3.13: Loại bỏ nội dung hàm mã hóa, giải mã file aes_gcm_nss.c 55 Hình 3.14: Loại bỏ nội dung hàm mã hóa, giải mã file aes_gcm_mbedtls.c 56 Hình 3.15: Chỉnh sửa nội dung hàm mã hóa, giải mã fìel aes_gcm_mbedlts.c 56 Hình 3.16: Chỉnh sửa nội dung hàm mã hóa, giải mã fìel aes_gcm_nss.c 57 Hình 3.17: Chỉnh sửa nội dung hàm mã hóa, giải mã fìel aes_gcm_ossl.c 57 Hình 3.18: Mơ hình cài đặt 58 Hình 3.19: Biên dịch thư viện Liblinphone 59 Hình 3.20: Chỉnh sửa tệp settings.gradle 60 Hình 3.21: Build ứng dụng thành cơng 60 Hình 3.22: Vị trí file apk sau biên dịch thành cơng 61 Hình 3.23: Giao diện đăng nhập ứng dụng 62 Hình 3.24: Chọn giao thức bảo mật SRTP 62 Hình 3.25: Chặn bắt gói tin trường hợp loại bỏ thuật toán mật mã SRTP 63 Hình 3.26: Phân tích gói tin chặn bắt Wireshark 63 Hình 3.27: Các thơng số QoS phiên liên lạc 64 Hình 3.28: Chặn bắt gói tin trường hợp thay thuật toán bảo mật SRTP 64 Hình 3.29: Phân tích gói tin chặn bắt wireshark 65 Hình 3.30: Các thông số QoS đo 65 Hình 3.31: Các phiên Android hỗ trợ 66 DANH MỤC CÁC BẢNG BIỂU Bảng 1.1: Các thuật toán mặc định SRTP 17 LỜI MỞ ĐẦU Hiện nay, với bùng nổ mạnh mẽ mạng Internet, nhu cầu truyền thơng, giải trí, liên lạc thu, chat, thoại tảng tài nguyên hạn chế diễn phổ biến, với cơng nghệ VoIP nói chung dịch vụ thoại có hình (video call) nói riêng ngày phát triển Đặc biệt bối cảnh bùng phát đại dịch COVID-19 buộc phải trì bảo đảm khoảng cách xa dịch vụ video call ứng dụng Zalo, Face Time, Zoom, Google Meet, thể tính hiệu cao, đặc biệt bối cảnh, học tập làm việc online nhà, đòi hỏi nhu cầu sử dụng dịch vụ đáp ứng yêu cầu trao đổi thông tin thời gian thực Video call phát triển đem lại khơng lợi ích cho nguời sử dụng, nhu tiết kiệm thời gian, thuận tiện, kết nối nguời với nhanh chóng, kịp thời Tuy nhiên, nhu cầu dùng Internet số nguời dùng dịch vụ tăng lên ln tiềm ẩn nguy an toàn mạng Đã có nhiều số liệu cơng bố công môi truờng mạng Internet làm mát thông tin, gây nhiều hậu nghiêm trọng cho cá nhân tổ chức Để giảm thiểu nguy an tồn cho thiết bị có tài ngun hạn chế (các thiết bị IoT, điện thoại thông minh,.) việc sử dụng thuật tốn mật mã hạng nhẹ để xử lý đồng thời mã hóa xác thực liệu thời gian thực trở thành xu tất yếu Truớc lợi ích mà video call đem lại nguy an tồn dịch vụ địi hỏi phải có biện pháp đảm bảo an toàn cho ứng dụng Đây lý em chọn đề tài “NGHIÊN CỨU THUẬT TOÁN AEGIS ỨNG DỤNG BẢO MẬT TRONG VIDEO CALL” với mục đích nghiên cứu, biên dịch thử nghiệm ứng dụng chạy android giúp nguời dùng bảo mật nội dung thông tin video call qua môi truờng mạng IP CHƯƠNG TỔNG QUAN VỀ VIDEO CALL TRONG MẠNG VOIP 1.1 Tổng quan mạng VoIP, nguy an toàn dịch vụ 1.1.1 Tổng quan mạng VoIP Trong phát triển ngành viễn thông năm gần đây, dịch vụ thoại IP đánh giá bước tiến quan trọng công nghệ Hiện điện thoại IP mối quan tâm lớn bối cảnh phát triển mạnh mẽ ngành viễn thông Dịch vụ thoại IP xây dựng công nghệ VoIP Đây công nghệ thu hút nhiều quan tâm nhà khai thác nhà sản xuất VoIP đánh giá bước đột phá công nghệ, tảng xây dựng nên mạng tích hợp thực thoại số liệu Với ưu điểm giá thành rẻ có nhiều dịch vụ cho phép mở rộng, thoại IP tạo thị trường rộng lớn gồm đối tượng sử dụng từ thuê bao đơn lẻ đến doanh nghiệp, tổ chức quan nhà nước Điển hình kiểu mạng chuyển mạch kênh SCN (Switching Circuit Network) phát triển lên từ mạng analog, nghĩa để thiết lập gọi, cần phải có kênh truyền riêng trì kênh truyền chừng nói chuyện kết thúc Kiểu truyền thống khơng tận dụng cách có hiệu băng thơng sẵn có với thơng lượng giới hạn 64kbit/s/kênh Hình 1.1: Lưu lượng thoại VoIP Khắc phục hạn chế trên, tiếng nói thay truyền qua mạng chuyển mạch kênh, lại truyền qua mạng chuyển mạch gói, mạng IP ngày Tiếng nói liên tục số hố, đóng gói, truyền gói tin thơng thường qua mạng IP Hạ tầng mạng IP hỗ trợ tất thông tin chia sẻ băng thơng sử dụng có hiệu mà khơng cần phải cung cấp cho kênh riêng lẻ Android 61 línphoneandroíddebug4.7.ũ-alpha 21ữí-3d773 3c86.apk outputmetadata json Hình 3.22: Vị trí file apk sau biên dịch thành công 3.3.3 Triển khai thử nghiệm hệ thống Mục tiêu: client client giao tiếp với qua giao thức bảo mật SRTP Để kiểm chứng mã hóa thơng tin thoại VoIP sử dụng SRTP, ta có trường hợp đặt sau: 62 - Sử dụng thư viện loại bỏ chương trình mã hóa giải mã thuật toán AES; - Sử dụng thư viện thay thuật toán AES thuật toán AEGIS 63 USE SIP ACCOUNT USE SIP ACCOUNT Please enter your username and password with your SIP domain Please enter your username and password with your SIP domain Username Username camdung28 dung28 Password Password Domain Domain sip.linphone.org sip.linphone.org Display name (optional) Display name (optional) TRANSPORT o UDP o TCP (•) TLS TRANSPORT o UDP o TCP (•) TLS LOGIN LOGIN Hình 3.23: Giao diện đăng nhập ứng dụng Vào Setting->Call->Media encryption chọn SRTP — o Connected