Nghiên cứu tăng cường an ninh cho hệ thống VOIP

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Vũ Hải Dương

NGHIÊN CỨU TĂNG CƯỜNG AN NINH

Chuyên ngành: Kỹ thuật viễn thông

Mã số: 60.52.02.08

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DAN KHOA HỌC: PGS.TS NGUYEN TIEN BAN

HA NỘI - 2015

Luận văn được hoàn thành tại:

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG

Người hướng dẫn khoa học: PGS.TS NGUYÊN TIỀN BAN

Phản biện 1:Phản biện 2:

Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học

viện Công nghệ Bưu chính Viễn thông

Vào lúc: ĐIỜ ngày tháng năm

Có thê tìm hiéu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MO DAU

Thoại qua Internet (VoIP) là công nghệ cho phép thực hiện các cuộc thoại

qua mạng truyền thông số liệu Hiện nay, VoIP dang trở nên ngày càng phô biến VoIP giúp cho các tổ chức và doanh nghiệp giảm chi phí và nâng cao hiệu quả hoạt động Công nghệ này còn cho phép mở rộng dịch vụ thoại tới các vùng sâu vùng xa, tạo nhiều cơ hội hơn cho các dịch vụ Bên cạnh những ưu điểm, VoIP cũng đối mặt với nhiều van đề liên quan tới bảo mật, an ninh cần phải giải quyết Van dé này đã và đang nhận được sự quan tâm nghiên cứu và triển khai thực hiện trên thế giới cũng như tại Việt Nam dé dịch vụ VoIP ngày càng đáp ứng được các yêu cầu của người sử dụng, đặc biệt với các tô chức yêu cầu cao về tính bảo mật như Quân đội,

Công an.

MỤC TIÊU NGHIÊN CỨU

Luận văn này tập trung nghiên cứu các vấn đề an ninh của các hệ thống VoIP Trước hết, luận văn tổng quan về các giao thức VoIP Tiếp theo, luận văn

thảo luận về van dé an ninh của các giao thức VoIP hiện nay Thông qua các nguy cơ rủi ro trong bảo mật VOIP, luận văn sẽ chỉ ra những điểm yếu và các hình thức

tấn công có thé xảy ra đối với hệ thống VoIP Luận văn sẽ đánh giá, nêu ra các chính sách, giải pháp tăng cường an ninh cho hệ thống VoIP Cuối cùng, luận văn sẽ trình bày thử nghiệm giải pháp tăng cường an ninh trên mang VoIP gia định va phân tích các kết quả đạt được.

Luận văn được bố cục thành 3 chương:

Chương 1: Tổng quan về các giao thức VoIP

Trình bày tông quan, ngắn gọn về các chuẩn, giao thức VoIP Giới thiệu các

đặc điểm, tính năng của các giao thức được sử dụng phô biến trong VoIP.

Chương 2: An ninh của các giao thức VoIP hiện nay

Trinh bày cơ chế, van dé an ninh của các giao thức VoIP hiện nay Các van dé an ninh của các giao thức RTP, H.323, SIP, MGCP.

Chương 3: Đề xuất các giải pháp tăng cường an ninh cho hệ thông VoIP hiện nay.

Đánh giá, đề xuất các giải pháp tăng cường an ninh cho hệ thống VoIP và cho các giao thức VoIP gồm: RTP, H.323, SIP, MGCP, tường lửa, IPSec.

CHƯƠNG 1: TONG QUAN VE CÁC GIAO THỨC VOIP

1.1 TONG QUAN VE VoIP

Nguyên lý của VoIP là số hoá tín hiệu giọng nói, nén tín hiệu đã số hoá, chia

tín hiệu thành các gói tin đữ liệu và truyền tải những gói dit liệu này trên nền IP Tại

dau thu, các gói dữ liệu được ghép lại, giải mã ra tín hiệu tương tự (analog) dé khối phục thành tín hiệu âm thanh audio VoIP dựa trên sự kết hợp của mạng chuyển mạch kênh và chuyên mạch gói là mang IP Khác với mạng chuyền mạch kênh, trên mạng chuyên mạch gói (Packet Switching Network) thông tin được chia thành các gói, mỗi gói được thêm các thông tin điều khiến cần thiết cho quá trình truyền như

là địa chỉ nơi gửi, địa chỉ nơi nhận Các gói thông tin đến nút mạng được xử lý và

lưu trữ trong một thời gian nhất định rồi mới được truyền đến nút tiếp theo sao cho việc sử dụng kênh có hiệu quả cao nhất Ưu điểm nỗi bật của VoIP là: Hiệu quả, chi

phí thấp, độ tin cậy cao hơn, hỗ trợ đổi mới Các giao thức được tập trung phát triển

dé thuc thi Voice over IP gom: RTP, H.323, SIP, MGCP.

1.2 Tổng quan về các tiêu chuẩn va giao thức VoIP

1.2.1 Tổng quan về tiêu chuẩn VoIP

Không có tiêu chuẩn cụ thé cho VoIP, các sản phẩm từ những nhà cung cấp khác nhau sẽ không tương thích với nhau Với sự phát triển của VoIP, các yêu cầu

mới sẽ được phát triển, như cung cấp kết nối giữa PC dựa trên điện thoại mềm (soft

phone) va 1 điện thoại truyền thống trên PSTN, hay các yêu cầu bổ sung cho tiêu chuẩn của một hệ thống điện thoại IP.

1.2.2 Tổng quan về các giao thức VoIP

Có nhiều giao thức được cung cấp cho dịch vụ VoIP Tuy nhiên, ta chỉ tập trung vào những giao thức phố biến nhất đang được sử dụng gồm: Giao thức RTP (giao thức truyền tải thời gian thực - Real Time Transport Protocol), H.323, SIP

(giao thức khởi tạo phiên - Session Initiation Protocol) và giao thức điều khiển

gateway đa phương tiện MGCP (Multimedia Gateway Control Protocol).

Mối quan hệ giữa các giao thức VoIP va các giao thức mạng khác được thé

hiện theo hình sau:

Giao thức truyền tải thời gian thực RTP là một giao thức tiêu chuẩn internet,

dùng dé vận chuyền dữ liệu thời gian thực như âm thanh va video RTP bao gồm 2 thành phan: Dữ liệu và điều khiển Phần điều khiển được gọi là giao thức điều khiển thời gian thực RTCP.

- Giao thức thời gian thực RTP: Mang theo dir liệu thời gian thực Hỗ trợ

những ứng dụng thời gian thực, bao gồm khôi phục định thời, phát hiện mat gói, an

ninh và nhận dạng các nội dung.

- Giao thức điều khién truyền tải thời gian thực RTCP: Mang theo thông tin điều khiển Có khả năng hỗ trợ cho những ứng dụng như hội nghị thời gian thực.

b Đặc trưng của RTP

RTP không bao gồm vấn đề về dự phòng tài nguyên, nó dựa trên các giao

thức dự phòng tai nguyên, như giao thức dự phòng RSVP.

Cấu trúc dữ liệu RTP được thé hiện như sau:

Hình 1.2: Cấu trúc dữ liệu RTP

Dịch vụ cung cấp bởi RTP bao gồm:

- Xác định loại tai trọng payload: Xác định loại nội dung được truyền tải.

- Đánh số thứ tự: Là đánh số đơn vị gói đữ liệu.

- Đánh dấu thời gian: Chức năng tương tự như đánh số thứ tự - Giám sát vận chuyên.

c Hoạt động của giao thức RTP

Các gói tin được gửi trên mạng có thê có trễ, với các ứng dụng đa phương tiện thì trễ truyền dẫn là quan trọng, do đó RTP cung cấp nhãn thời gian và đánh số thứ tự dé dam bảo dữ liệu được truyền trong giới han thời gian chấp nhận được.

1.2.2.2 Giao thức RTCP

RTCP là giao thức điều khiển hoạt động cùng với giao thức RTP, được gửi đi một cách định kỳ dé nhận thông tin phản hồi về chất lượng truyền dẫn, qua đó giám sát chất lượng dữ liệu phân phối Có năm kiểu gói tin điều khiên RTCP sau:

- SR (báo cáo gửi): Tạo ra bởi người gửi để đồng bộ các gói tin và tính toán các bộ đếm gói tin, số lượng các byte đã gửi.

- RR (báo cáo nhận): Tạo ra bởi bên thu dé báo cáo chất lượng truyền dẫn - SDES: Chứa thông tin để mô tả nguồn tin, gồm CNAME;

- BYE: Được sử dụng dé chỉ thi sự kết thúc việc tham gia RTP;

- APP: Các chức năng ứng dụng điển hình.

1.2.2.3 Giao thức H.323

a Giới thiệu về H.323

La giao thức báo hiệu được sử dụng rộng rãi nhất trong VoIP Có thé quản lý

hoàn hảo tài nguyên sẵn có thông qua các gate keeper Gate keeper H.323 được sử

dụng để cung cấp các dịch vụ cơ bản đến các đầu cuối, bao gồm:

- Dịch địa chỉ: Đặt bí danh cho mạng được dịch địa chỉ.

- Điều khiến thu dựa trên băng thông sẵn có, giới hạn cuộc gọi.

- Quản lý băng thông.

- Các gateway giao tiếp với gate keeper bang RAS.

Bốn thành phần quan trọng trong H.323 đó là: Thiết bị đầu cuối (terminals), gateways, gate keepers, khối điều khiển đa điểm MCU (Multipoint Control Units).

b Cách thức hoạt động của H.323

Truyền thông với H.323 bao gồm: audio, video, dữ liệu và điều khiến trao đôi báo hiệu H.323 hỗ trợ các giao thức sau:

- Chức năng điều khién: Bao gồm: Báo hiệu thiết lập cuộc gọi, năng lực trao đối, bản tin mô tả các kênh logic Điều khiển toàn bộ hệ thống bởi 3 kênh báo hiệu sau: H.245 Control signal channel, Q.931 Call Signaling channel, RAS channel.

- Âm thanh: Tín hiệu âm thanh là giọng nói được số hóa H.323 có một số thuật toán nén, G.711 là thuật toán mặc định.

- Video: Tinh năng này 1a tùy chon.

Dữ liệu: H.323 hỗ trợ dữ liệu hội nghị, dùng cho dữ liệu hội nghị điểm -điểm và đa -điểm, tương tác ở lớp ứng dụng, lớp mạng và lớp truyền tải.

1.2.2.4 Giao thức khởi tạo phiên (SIP)

a Giới thiệu về SIP

Giao thức khởi tạo phiên SIP là chuẩn IETF cho hội nghị đa phương tiện qua

IP SIP là một giao thức điều khiển lớp ứng dụng, có thé được dùng dé thiết lập,

duy trì và hủy bỏ cuộc gọi giữa 2 hoặc nhiều thiết bị đầu cuối SIP cung cấp dịch vụ báo hiệu và quan lý phiên qua gói tin Các dịch vụ được cung cấp bởi SIP là:

- Xác định vị trí các thiết bị đầu cuối đích.

- Xác định khả năng truyền thông của các thiết bị đầu cuối đích - Thiết lập phiên làm việc giữa hai thiết bị đầu cuối.

- Xử lý chuyền tiếp và kết thúc cuộc gọi b Kiến trúc của SIP

SIP bao gồm 2 loại thực thé: Người sử dụng (UA), các máy chủ mạng.

- User Agents (UA): Người sử dung UA gồm 2 chức năng: UAC và UAS.

- Máy chu: registration server, location server, proxy server, redirect server. SIP có 2 loại bản tin: Yêu cau va hồi đáp.

- Bản tin yêu cầu: Gửi từ máy khách đến máy chủ

+ INVITE: Đề khởi tạo một cuộc gọi và thay đôi thông số cuộc gol.

+ ACK: Dé xác nhận hồi đáp cho một INVITE + BYE: Dé hủy cuộc gọi.

+ CANCEL: Dé hủy tìm kiếm và rung chuông (ringing) + OPTIONS: Dé truy van khả năng của những bên khác + REGISTER: Dé ghi vị tri, đăng ký với máy chủ.

+ INFO: Dé gửi thông tin giữa phiên mà không thay đôi trạng thái phiên.

- Bản tin hồi đáp: Gửi từ máy chủ đến máy khách Có 2 loại hồi đáp và 6 lớp + Hồi đáp gồm 2 loại: Tạm thời (1xx) và cudi cùng (2xx, 3xx, 4xx, 5xx, 6xx)

1.2.2.5 Giao thức điều khiến công phương tiện (MGCP)

Giao thức điều khiển cổng phương tiện MGCP được thiết kế để kết nối bộ

điều khiển cổng phương tiện và các cổng phương tiện Giao thức này dựa trên văn bản (text) Bộ điều khiển cổng phương tiện được gọi là call agent trong MGCP.

MGCP là một giao thức chủ - tớ, nó dùng các giao thức khác đề lấp đầy các

chức năng của nó, như dùng giao thức mô tả phiên SDP để miêu tả các thông số

khác nhau khi thiết lập kết nối giữa các điểm đầu cuối.

Thành phan quan trọng trong MGCP là cổng phương tiện MG (Media Gateway), nó chịu trách nhiệm về các thông tin chuyển mạch giữa 1 gói tin trên mạng IP và một mạng chuyền mạch kênh, nó cũng bắt tay với các luồng media RTP qua mạng IP Có một vài loại cổng gateway trong VoIP, chúng là cổng gateway

trung kế, công gateway nội bộ, công gateway truy cập, máy chủ truy cập mạng

1.3 Kết luận chương 1

Mạng Internet cùng giao thức TCP/IP đã trở thành một động lực thúc đây các

công nghệ mới trong đó có các dịch vụ thoại thời gian thực qua các mạng IP Mạng

VoIP ngày nay đã dần phổ biến và dự báo sẽ phát triển bùng nỗ trong những năm

tới cùng xu thế phát triển mạng hội tụ (Converged network) cho phép tích hợp các

ứng dụng và dịch vu voice, video, audio, data trên cùng một cơ sở hạ tầng mạng.

Trước nhu cầu phát triển và mở rộng các dịch vụ thoại thời gian thực VoIP của các

doanh nghiệp và người dùng, một trong những yêu cầu cấp thiết được đặt ra đó là cần nghiên cứu và đề xuất các giải pháp nhằm hoàn thiện và tăng cường an ninh cho các giao thức thoại VoIP.

CHƯƠNG 2

AN NINH CỦA CÁC HỆ THÓNG VOIP HIỆN NAY

2.1 Tính tin cậy, tính toàn vẹn và tính sẵn sàng

Tính tin cậy, toàn vẹn và sẵn sang CIA (Confidentiality, Integrity,

Availability) được sử dụng dé đánh giá an ninh hệ thống, trọng tâm của việc đánh

giá là tính tin cậy, tính toàn vẹn và tính sẵn sàng, chúng là những yêu cầu chính của an ninh thông tin.

Tinh tin cậy: Là sự bảo vệ các thông tin mà chỉ có thể được chia sẻ giữa những người dùng hợp pháp Điều này có nghĩa là bảo vệ sự riêng tư của dữ liệu,

ngăn chặn truy cập trái phép vào dữ liệu, tài nguyên hoặc dịch vụ Chỉ những người

có thâm quyền mới có thé truy cập dữ liệu, dich vụ hoặc tài nguyên.

Tính toàn vẹn: Tính toàn vẹn có nghĩa là giữ cho dữ liệu đó ở nguyên dạng ban đầu của nó mà không có bất kỳ sự sửa đổi nào Có ba mục tiêu sau:

- Đảm bảo các thông tin đó trong định dạng gốc - Ngăn ngừa những sự thay đổi trái phép.

- Ngăn ngừa sự thay đồi không chính xác do tai nạn.

Tinh san sàng: Điều này có nghĩa là các thông tin, dịch vu, tài nguyên hoặc thiết bị được yêu cầu sẽ luôn sẵn sàng khi người dùng hợp pháp thực thi các hoạt động trên mạng.

2.1.1 Tấn công vào an ninh thông tin

- Tiết lộ thông tin: Các hoạt động rình mò, Trojan Horses.

- Lừa dối, giả mạo: Phá hủy sự nhận dạng của an ninh, kẻ tấn công tạo ra sự chỉnh sửa có tính độc hại núp dưới tên của một người dùng khác.

- Gây gián đoạn: Nhằm vào tính toàn vẹn và tính sẵn sàng của thông tin, dịch vụ hoặc tài nguyên Dẫn đến các máy chủ quan trọng trên mạng bị sập vv

Mục tiêu của an ninh thông tin là ngăn chặn những kẻ tan công phá hủy các

chính sách bảo mật, phát hiện các cuộc tan công vào chính sách bao mật và ngăn

chặn các cuộc tấn công đó, sửa chữa các hư hỏng và tiếp tục duy trì các chức năng đó Có một sô cơ chê đê tăng cường an ninh thông tin như sau:

- Tính bảo mật có thể được thực thi bởi sự kiểm soát truy cập và xác thực

người dùng Chăng hạn như tạo ra một danh sách kiểm soát truy cap (access control

list) cho phép những người được ủy quyền tiếp cận dữ liệu, dich vụ hoặc tài nguyên, xác minh danh tính của người dùng trước khi tiếp cận thông tin trên hệ thống.

- Tính toàn vẹn có thé được thực thi bởi sự kiểm soát truy cập và mã hóa Sử dụng mã hóa đề bảo vệ dữ liệu khi chúng được chuyền giao giữa các hệ thống Có các thuật toán mã hóa khác nhau, chăng hạn như sử dung hàm bam (Hash function)

dé mã hóa dữ liệu, dit liệu được mã hóa đó sẽ trở nên vô dụng với các hacker.

- Tính san sàng có thể thực thi bởi cơ chế phục hồi, phát hiện xâm nhập.

2.1.2 Các giao thức mã hóa

VoIP có nhiều lỗ hong cần được bảo vệ, công cụ bảo vệ chuan hóa là khóa mã hóa, nhưng đòi hỏi sự trao đổi khóa phải an toàn Mã hóa là một quá trình xáo

trộn bản tin được truyền, người nhận cần phải sử dụng một khóa key dé nhận được

những thông tin nguyên bản Trong khi truyền tải, cho dù các thông tin đó bị đánh

cắp nhưng nếu không có khóa mã, các thông tin đó vẫn là vô nghĩa với hacker.

Mã hóa dữ liệu rất quan trọng trong VoIP, nhưng mã hóa không thé ngăn chặn việc nghe trộm tại các thiết bị đầu cuối, để ngăn chặn kiểu nghe trộm này thì

sự xác thực authentication là cần thiết Có một số thuật toán mã hóa phổ biến trong

VoIP: Thuật toán DES, thuật toán Triple DES, Diffie-Hellman, Message Digest 5

(MDS), thuật toán mã hóa sử dụng ham bam Secure Hash Algorithm! (SHA-1),Rivest, Shamir va Adelman Signatures (RSA), Advanced Encryption (AES ) wv

DES được sử dụng để mã hóa và giải mã dữ liệu gói tin, nó biến văn bản rõ clear text thành văn ban mật cipher text bằng cách sử dụng mã hóa Sự giải mã ở

phía bên kia có thể khôi phục lại các văn bản rõ từ các văn bản mật Các khóa mật được chia sẻ cho phép mã hóa và giải mã dit liệu, DES sử dụng khóa 56 bit dé mã hóa cho văn bản rõ bit, độ dài khóa này là không đủ dài để cung cấp an ninh 64-bit văn bản rõ clear text được mã hóa khóa DES 56-64-bit, sẽ tạo ra văn ban mật 64-64-bit.

* Triple DES (3DES): Triple DES là một DES tiên tiễn, nó phân dữ liệu

thành các khối 64 bit, và sau đó mã hóa mỗi khối ba lần, mỗi lần với một khóa mã

độc lập 192 bit 3DES cung cấp dịch vụ bảo mật cao hơn, nhưng thời gian tính toán là quá dài, vì vậy nó không thích hợp cho dữ liệu thời gian thực.

* Diffie-Hellman: Diffie-Hellman sử dụng khóa mã công khai dé mã hóa dữ liệu Nó cho phép hai bên thiết lập một khóa mật được chia sẻ dé mã hóa dữ liệu mà

được truyền qua các kênh không bảo đảm Trong IKE, Diffie-Hellman được dùng

dé thiết lập khóa phiên session key.

Người dùng A: Người dùng B:

Khóa riêng, cá nhân XA Khóa riêng, cá nhân XBKhóa công khai Ya Khóa công khai Ys

* Message Digest 5 (MDS5): Message Digest 5 là một thuật toán mã hóa sử dụng hàm băm, nó được sử dụng để xác thực các gói tin Hàm băm Hash là một thuật toán mã hóa một chiều, nó sử dụng một bản tin có độ dài ngẫu nhiên như là giá tri đầu vào và tạo ra một bản tin đầu ra với chiều dài cố định IKE, AH, ESP có thé sử dụng MD5 dé xác thực.

* Bao Hash Algorithm (SHA-1): Là một ham băm, thường được sử dụng

trên Internet để xác minh tính toàn vẹn của dữ liệu được truyền, sử dụng cho ứng

dụng chữ ký số.

* Rivest, Shamir và Adelman Signatures (RSA): RSA là một hệ thong mat mã khóa công khai, nó được sử dung trong xác thực authentication.

* Advanced Encryption Standard (AES): Sử dụng khóa 128 bit, nó cung cấp

dịch vụ bảo mật cao hơn so với DES, nhưng thời gian tính toán của AES là ít hơn

3DES từ 3 đến 10 lần, AES là thích hợp cho việc mã hóa dữ liệu thời gian thực.

2.1.3 Phương thức trao doi khóa mật

Giao thức mã hóa thường sử dụng sự trao đổi khóa, các phương pháp trao đổi khóa phô biến là: Đối xứng, công khai, hybrid, và Diffie-Hellman (DH).

- Khóa đối xứng (Symmetric Key): Cơ chế nay chỉ sử dụng một khóa cho mã hóa và giải mã Cả hai đầu cuối của giao tiếp truyền thông sử dụng cùng một khóa.

Khóa này có thể được tạo ra bởi một đầu cuối và cung cấp cho đầu cuối còn lại, hoặc nó có thê được gán bởi một máy chủ và cung cấp tới tất cả các bên.

- Khóa công khai (Public Key): Phương pháp nay sử dụng hai khóa, khóa công khai và khóa riêng Các khóa công khai được sử dụng dé mã hóa bản tin được truyền đi, khóa riêng được sử dụng để giải mã bản tin nhận được Phương pháp này có khả năng mở rộng, nhưng nó cần một năng lực tính toán cao.

- Khóa lai (Hybrid Key): Sử dụng khóa công khai để mã hóa khóa đối xứng,

và một khi thu được khóa đối xứng đó, nó sẽ được sử dụng dé giai ma ban tin.

- Diffie-Helman Keys (DH): Hai bên phải thoả thuận về một mật khẩu dé

thiết lập truyền thông giữa các đầu cuối.

2.2 Các nguy cơ an ninh của VoIP

Các mối đe dọa nhằm vào mang VoIP là rất phức tạp, tuy nhiên VoIP ước

lượng (đánh giá) được các lỗ hồng mới từ thiết bị đầu cuối người dùng, chang han

như thiết lập cấu hình điện thoại IP, soft phone, truyền thông không dây, báo hiệu tới các thiết bị, chăng hạn như H.323 gatekeeper, máy chủ SIP proxy.

2.3 An ninh của các giao thức RTP

2.3.1 Các yêu cau an ninh đối với RTP

Tính bí mật: Tính bí mật có nghĩa là chỉ người dùng hợp pháp mới có thể đọc được các thông tin, đối với những người dùng khác, những thông tin đó là không thé truy cập, hoặc thậm chí mặc dù họ có thé truy cập thông tin đó thì thông

tin đó cũng là vô giá trị đối với ho RTP sử dụng mã hóa dé bảo vệ tính bí mật.

Sự xác thực và tính toàn ven: RTP sử dung Broadcast dé truyền thông tin

nên tiện lợi trong việc xác minh tính toàn vẹn của thông tin, và đảm bảo nguồn gốc của thông tin RTP không cung cấp dịch vụ bảo mật tính toàn vẹn và xác thực, bởi

vì các dịch vụ này là không khả thi nếu không có cơ sở hạ tầng quản lý khóa mật.

2.3.2 Dịch vụ an ninh của RTP

2.3.2.1 Tính tin cậy

RTP sử dụng mã hóa dé thực thi dịch vụ an ninh tin cậy Hồ sơ RTP cũng

giới thiệu một vài thuật toán mã hóa mà có thé được dùng dé mã hóa RTP payload Thuật toán mã hóa mặc định trong RTP là tiêu chuẩn mã hóa dữ liệu DES (Data

Encryption Standard) trong chế độ liên kết khối mã CBC (Cipher Block Chaining).

Một thuật toán mã hóa mạnh hơn, như Triple-DES, có thé được dùng dé thay thế thuật toán mã hóa mặc định Triple-DES là thuật toán mã hóa 3 mức, nó sử dụng thuật toán DES trên mỗi mức Vì Triple-DES mã hóa 3 lần, vậy nên nó tốn nhiều thời gian xử lý của CPU và chậm hơn nhiều.

2.3.2.2 Tính xác thực

Xác thực được sử dụng dé xác minh nhận dạng (danh tinh) của các thực thể (Peer) ngang hàng RTP không cung cấp bat cứ dịch vụ xác thực nào, tuy nhiên các hồ sơ RTP cung cấp một số phương pháp xác thực.

- MD5 (Message Digest algorithm 5): Hồ sơ RTP này sử dụng thuật toán

hàm băm MDS như thuật toán mã hóa, nó khôi phục lại khóa xác thực từ mật khẩu

xác thực, độ dài khóa này là 128 bit.

- Thuật toán bảo mật bằng hàm băm SHA: SRTP khuyến nghị sử dụng SHA-1 để mã hóa luồng SRTP Độ dài khóa xác thực phiên mặc định là SHA-160 bịt, độ dài thêm vào xác thực mặc định (thêm vào trong gói tin) là 80 bit.

2.4 An ninh của giao thức H.323

Các yêu cầu an ninh đối với H.235

Có 3 kiểu hồ sơ an ninh cho H.235.

1) Hồ sơ an ninh dựa trên mật khâu don giản.

2) Hồ sơ sử dụng chứng nhận số và dựa trên cơ sở hạ tầng khóa công khai 3) Những hồ sơ tích hợp cả 2 hồ sơ trên.

- Kênh báo hiệu cuộc gọi có thể được bảo mật bằng an ninh lớp vận chuyển

TLS (Transport Layer Security) hoặc IPSec.

- Người dùng có thé được xác thực trong khi thiết lập cuộc gọi hoặc khi xử ly kênh bảo mật H.245 hoặc trao đồi các chứng chi certificates trên kênh H.245.

- Thuật toán mã hóa trên kênh media xác định bởi năng lực cơ chế đàm phán.

- Sự phân phối ban đầu của khóa mã được thực hiện bởi các lệnh H.245 Ví

dụ như OpenLogicalChannel hay OpenLogicalChannelA ck.

- Sự phân phối khóa có thể được bảo vệ bằng cách sử dụng kênh H.245 như một kênh riêng hoặc bởi sự bảo vệ khóa mã.

Bản tin H.245 và báo hiệu H.225 có thể được bảo đảm bằng cách sử dụng TLS trên lớp truyền tải, hoặc IPSec trên lớp mạng, gói tin voice được truyền bởi RTP có thé được bảo vệ bởi mã hóa và xác thực.

2.5 An ninh của giao thức SIP2.5.1 An ninh của SIP

Co cau an ninh trong SIP được mô tả trong hình dưới:

SIP dùng HTTP phân loại xác thực để xác thực danh tính của khách hàng Khi một khách hàng cố gắng thiết lập kết nối với một máy chủ, máy chủ đó gửi lại một thách thức cho khách hàng, khi khách hàng nhận được thách thức từ máy chủ, nó đệ trình yêu cầu đó một lần nữa với trường mào đầu cho phép trong yêu cầu đó.

2.5.1.2 Dùng S/MIME

S/MIME là 1 phương pháp được khuyến nghị S/MIME là 1 phiên bản của giao thức MIME, nó hỗ trợ mã hóa bản tin Phần thân MIME được chèn vào bản tin SIP, MIME xác định cơ chế bảo vệ tính toàn vẹn và mã hóa của nội dung MIME.

SIP có thé dùng S/MIME dé cho phép cơ chế giống như phân phối khóa công khai,

xác thực và bảo vệ tính toàn vẹn, tính tin cậy cua dữ liệu báo hiệu SIP S/MIME yêu cầu các chứng nhận và các khóa cá nhân, sự chứng nhận đây có thê được đưa ra bởi bên thứ ba đáng tin cậy Nó không cung cấp sự xác thực người dùng thực sự nhưng

cung cấp sự bảo vệ tính toàn vẹn được giới hạn.

2.5.1.3 Tính tin cậy của dữ liệu media

SIP không cung cấp mã hóa cho dữ liệu media, nó dùng RTP để mã hóa dữ liệu media một cách tin cậy Một lựa chọn khác cho tính tin cậy của luồng media là