ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN Trần Ngọc Bảo MỘT SỐ MƠ HÌNH AN TOÀN DỮ LIỆU VÀ AN NINH MẠNG, BƯỚC ĐẦU ĐỀ XUẤT LÝ THUYẾT CHO MẠNG KHÔNG DÂY Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số chuyên ngành: 62.48.01.01 Phản biện 1: TS Trịnh Ngọc Minh Phản biện 2: PGS.TS Dương Anh Đức Phản biện 3: TS Võ Văn Khang Phản biện độc lập 1: PGS.TS Đặng Trần Khánh Phản biện độc lập 2: TS Hoàng Lê Minh NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Đình Thúc PGS.TS Trần Đan Thư Tp Hồ Chí Minh – 2011 DANH MỤC CÁC TỪ VIẾT TẮT ABGI Authentication Based on Graph Isomorphism AMIMA Against Man-In-Middle Attack AES Advanced Encrytion Standard DoS Denial of Service EAP Extensible Authentication Protocol EAP-SRP EAP-Secure Remote Password EAP-TLS EAP- Transport Layer Security ECC Elliptic Curve Cryptography GI_S-Box Graph Isomorphism S-Box GPS Global Positioning System IEEE Instutite of Electrical and Electronics Engineers IPSec Internet Protocol Security IV Initialization Vector LAN Local Area Network LEAP Lightweight Extensible Authentication Protocol OSI Open Systems Interconnection PDA Personal Digital Assistant PIN Personal Identification Number PKI Public Key Infrastructure RADIUS Remote Authentication Dial – In User Service SAC Strict Avalanche Criterion S-Box Subsitution box SMGI Subsitution Matrix Cipher based on Graph Isomorphism SSM Scalable Subsitution Matrix SSH Secure Shell SSID Service Set Identifier SSL Secure Sockets Layer TCP Transmission Control Protocol TKIP Temporal Key Integrity Protocol TLS Transport Layer Security VPN Virtual Private Network WAP Wireless Application Protocol WEP Wired Equivalent Privacy Wi-Fi Wireless Fidelity WLAN Wireless Local Area Network WTP Wireless Transaction Protocol WWAN Wireless Wide Area Network WPAN Wireless Personal Area Network WPA Wi-Fi Protected Access DANH MỤC HÌNH VẼ Hình 1.1 Qui trình mã hóa giải mã WEP [48] 19 Hình 1.2 Kiến trúc VPN 21 Hình 1.3 Biểu diễn dạng ma trận trạng thái (Nb=6) mã khóa (Nk=4) 24 Hình 1.4 Một chu kỳ mã hóa phương pháp Rijndael (với Nb=4) 25 Hình 1.5 Phép thay phi tuyến SSM SMGI 34 Hình 1.6 Phép mã hóa ma trận SSM SMGI 34 Hình 1.7 Đồ thị đẳng cấu với đồ thị 56 Hình 2.1 Quy trình chứng thực mở [48] 61 Hình 2.2 Quy trình xác nhận hệ thống dùng cho doanh nghiệp [70] 62 Hình 2.3 Mơ hình mạng doanh nghiệp hệ thống AMIMA 67 Hình 2.4 Định tuyến thông điệp hệ thống AMIMA 68 Hình 2.5 Bảo vệ thông điệp AMIMA 68 Hình 2.6 Quy trình xử lý kiểm sốt truy cập hệ thống 74 Hình 2.7 Quy trình cấp tài khoản ABGI 80 Hình 2.8 Quy trình thực chứng thực ABGI 82 Hình 2.9 Ví dụ minh họa đồ thị Gc đẳng cấu với đồ thị Gs 85 Hình 2.10 Ví dụ minh họa đồ Hc đồ thị đồ thị Gc 88 Hình 2.11 Ví dụ minh họa đồ Hs đồ thị đồ thị Gs 89 Hình 2.12 Ví dụ minh họa đồ Hs đẳng cấu với đồ thị Hc 90 Hình 3.1 Sơ đồ chứng thực ABGI 95 Hình 3.2 Mơ hình hệ thống 96 Hình 3.3 Định tuyến thơng điệp hệ thống đề xuất 97 Hình 3.4 Dịch vụ kiểm sốt truy cập 97 Hình 3.5 Dịch vụ bảo mật thơng tin 98 Hình 3.6 Đồ thị cơng khai Gs 100 Hình 3.7 Đồ thị Gc đẳng cấu với đồ thị H 101 Hình 3.8 Quá trình truy cập WLAN 104 Hình 3.9 Quá trình kết nối WLAN 106 DANH MỤC BẢNG BIỂU Bảng 1.1 Bảng so sánh đặc điểm mã hóa WEP, WPA WPA2 20 Bảng 1.2 Giá trị số vị trí dịch chuyển wi 26 Bảng 1.3 Bảng mô tả hệ số biểu diễn đại số S-Box minh họa 49 Bảng 1.4 Bảng thay S-Box cho giá trị dạng thập lục phân 50 Bảng 1.5 Bảng thay nghịch đảo S-Box cho giá trị {xy} dạng thập lục phân 51 Bảng 1.6 Thống kê số lượng S-box (theo số hệ số khác không biểu diễn đại số) 52 Bảng 1.7 Thống kê khả phát sinh S-box có biểu diễn đại số với số hệ số khác không đạt ngưỡng tối đa 52 Bảng 1.8 Bảng so sánh S-Box đề xuất với AES, Gray S-Box,… 53 Bảng 1.9 Bảng so sánh GI_S-Box với AES, Gray S-Box,… 58 Bảng 2.1 Phương pháp chứng thực Goldreich [60] 72 Bảng 2.2 Tóm tắt giai đoạn chứng thực ABGI 90 Bảng 3.1 Quy trình cấp tài khoản ABGI 99 Bảng 3.2 Quy trình chứng thực ABGI 101 10 DANH MỤC CÔNG TRÌNH CỦA TÁC GIẢ Các báo khoa học cơng bố Hội nghị tạp chí khoa học nước: [CT1] Trần Ngọc Bảo, Nguyễn Công Phú, “Giải pháp phịng chống cơng qua người trung gian vào mạng cục khơng dây”, Tạp chí Phát triển Khoa học Công nghệ - ĐHQG-HCM, T.12, S.11 (2009), ISSN 1859-0128, trang 39-48 [CT2] Trần Minh Triết, Trần Ngọc Bảo, Đặng Hải Vân, “Về Tính dễ Mở rộng Thuật tốn Mã hóa khối Phổ biến”, Tuyển tập Cơng trình Nghiên cứu Cơng nghệ thơng tin Truyền thơng 2008, Nhà xuất Khoa học Kỹ thuật, tháng 11/2008, trang 16-24 [CT3] Đỗ Đình Thái, Trần Ngọc Bảo, Nguyễn Đình Thúc, “Chứng thực hai chiều ngưỡng K sử dụng K nút ngẫu nhiên mạng Ad hoc di động”, Kỷ yếu Hội thảo Quốc gia lần thứ 10: Một số vấn đề chọn lọc Công nghệ thông tin truyền thông, Đại Lải, 14-15 tháng 09 năm 2007, Nhà xuất Khoa học Tự nhiên Công nghệ, Hà Nội 2007, trang 40-51 Các báo khoa học cơng bố Hội nghị tạp chí khoa học quốc tế: [CT4] Bao Ngoc TRAN, Thuc Dinh NGUYEN, Thu Dan TRAN , “A New S-Box Structure Based on Graph Isomorphism”, 2009 International Conference on Computational Intelligence and Security (CIS 2009), IEEE Computer Society Press, December 11-14, 2009, Beijing, China, ISBN 978-1-4244-5411-2, pp 463-467 [CT5] Bao Ngoc TRAN, Thuc Dinh NGUYEN, Thu Dan TRAN, “A New S-Box Structure to Increase Complexity of Algebraic Expression for Block Cipher Cryptosystems”, International Conference on Information Theory and Engineering (ICITE 2009), IEEE Computer Society Press, November 13-15, 2009, Kota Kinabalu, Malaysia, ISBN 978-1-4244-5255-2 , pp 212-216 [CT6] Dang Hai Van, Nguyen Thanh Binh, Tran Minh Triet, Tran Ngoc Bao, Nguyen Ho Minh Duc, “SSM: Scalable Substitution Matrix Cipher”, Journal of Science 111 and Technology, Vol 46, Number 5A, Special Issue on Theories and Applications of Computer Science (ICTACS 2009), Nha Trang, Vietnam, pp 165-178 [CT7] Tran Ngoc Bao, Nguyen Dinh Thuc, Tran Dan Thu, “An Improvement of Graph Isomorphism Based Authentication Protocol using Modular Matrix Cipher”, VNU Journal of Science, Natural Science and Technology, Vol 24, No 3S (2008), Special Issue on ICT Research and Development (HANOIICT 2008), HaNoi, Vietnam, pp 108-115 [CT8] Bao Ngoc TRAN, “On Generating Key-matrix for Matrix Cipher and Applications”, Proceedings of Addendum Contributions to the 2008 IEEE International Conference on Research, Innovation & Vision for the Future (RIVF 2008), July 13-17, 2008, Ho Chi Minh City, Vietnam, pp.196-199 [CT9] Bao Ngoc TRAN, Dinh Thuc NGUYEN, “An Efficient Algorithm for Isomorphic Problem on Generic Simple Graphs”, Proceedings of The Second International Conference on Modelling & Simulation (AMS 2008), IEEE Computer Society Press, May 13-15, 2008, Kuala Lumpur, Malaysia, ISBN 978-1-4244-3194-6, pp.824-829 [CT10] Thuc D Nguyen, Bao N Tran, Duc H M Nguyen, “A Lightweight Solution for Wireless LAN: Letter-Envelop Protocol”, Proceedings of The Third IEEE International Conference on Communications and Networking in China (CHINACOM 2008) August 25-27, 2008, Hangzhou, China, ISBN: 978-14244-2373-6, pp.17-21 [CT11] Bao Ngoc TRAN, Dinh Thuc NGUYEN, “A Graph Isomorphism Based Authentication Protocol for Access Control in WLAN”, Proceedings of The IEEE 22nd International Conference in Advanced Information Networking and Applications – Workshops (AINAW 2008), IEEE Computer Society Press, March 25-28, 2008, Ginowan, Okinawa, Japan, ISBN 978-1-4244-4233-1, pp.229-234 112 GIỚI THIỆU Tóm tắt: Mạng cục khơng dây, bên cạnh ưu điểm tính linh động, dễ triển khai,…thì phải đối mặt với nhiều thách thức an ninh bảo mật mạng Trước tiên, mạng cục không dây đối diện với tất vấn đề an ninh mạng có dây truyền thống; kết nối khơng dây đặc tính liệu ln chuyển khơng khí qua sóng vơ tuyến, mạng cục khơng dây cịn phải đối diện với thách thức mà mạng có dây khơng gặp phải Phần giới thiệu mục tiêu mà luận án giải cho mạng khơng dây an tồn mạng có dây truyền thống Mục tiêu nghiên cứu trình bày cụ thể hóa qua động nghiên cứu, vấn đề khoa học đặt (cho an ninh mạng cục không dây) nội dung nghiên cứu luận án Kết luận án bố cục chi tiết luận án giới thiệu cuối phần Mở đầu Trong thời đại công nghệ thông tin Internet toàn cầu nay, việc liên lạc trao đổi thông tin lĩnh vực (xã hội, kinh doanh, giáo dục, thơng tin, văn hóa, thể thao, ) thông qua phương tiện Internet hệ thống mạng Đặc biệt năm gần đây, với đời phát triển mạnh mẽ công nghệ không dây giúp cho người dùng linh động việc liên lạc trao đổi thông tin Một điểm thuận lợi mạng không dây so với hệ thống mạng truyền thống việc triển khai hệ thống mạng không dây thực dễ dàng so với cài đặt hệ thống mạng có dây truyền thống, tòa nhà cao tầng, khó khăn việc lắp đặt hệ thống dây Ngày nay, người dùng có xu hướng sử dụng mạng không dây, người làm kinh doanh Với máy tính xách tay thiết bị hỗ trợ không dây khác PDA, Mobile phone, nơi có cung cấp dịch vụ truy cập khơng dây họ truy cập Internet truy cập vào hệ thống mạng riêng công ty để trao đổi thơng tin máy tính hệ thống mạng nội 11 Mạng cục không dây (Wireless Local Area Network), từ sau viết tắt WLAN, hệ thống mạng máy tính cho phép người dùng kết nối với hệ thống mạng dây truyền thống thông qua kết nối không dây Mạng cục không dây linh động dễ di chuyển mạng dây truyền thống, máy tính, thành phần mạng kết nối với thông qua thiết bị gọi điểm truy cập (Access Point) Access Point bao gồm angten dùng để truyền nhận tín hiệu thơng tin (ở dạng sóng vơ tuyến) đến thiết bị không dây (như Laptop, PDA, …) cổng RJ45 để giao tiếp với mạng dây truyền thống Phạm vi phủ sóng trung bình Access Point 300 feet (gần 100m) Phạm vi phủ sóng gọi ơ-Cell hay Range Người dùng di chuyển tự cell mà không kết nối với hệ thống mạng thông qua Access Point Công nghệ không dây thiết kế phù hợp với nhiều chuẩn hỗ trợ nhiều mức độ an toàn bảo mật khác Thuận lợi chuẩn hầu hết công ty áp dụng vào dòng sản phẩm họ, cho phép dễ dàng kết hợp với sản phẩm công ty khác Hai chuẩn công nhận phổ biến IEEE 802.11 Bluetooth Trong đó, mạng cục không dây sử dụng chuẩn 802.11 Chuẩn 802.11 Viện Kỹ thuật Điện - Điện tử Hoa Kỳ (IEEE) phát triển năm 1997 Chuẩn hỗ trợ kết nối phạm vi trung bình, có ứng dụng truyền nhận liệu với tốc độ cao Lý thực mục tiêu đề tài Bên cạnh thuận lợi trên, mạng cục không dây chứa đựng nhiều rủi ro nguy công tin tặc (hacker) Trước hết, mạng cục không dây đối mặt với vấn đề an ninh tương tự mạng có dây truyền thống Hơn nữa, khơng cịn lệ thuộc vào kết nối vật lý, nhiều vấn đề an ninh mạng nảy sinh buộc nhà nghiên cứu hãng sản xuất phải giải để đảm bảo tối thiểu an tồn mạng cục có dây (LAN) Việc bảo vệ hệ thống mạng cục không dây thường dựa giải pháp trở thành tiêu chí sau: kiểm sốt truy cập (Access Control) – xác nhận quyền truy cập người dùng, bảo mật thông tin (Confidentiality) - đảm bảo thông tin giữ bí mật, bảo tồn thơng tin (Integrity) - đảm bảo thông tin đến người nhận không bị sửa đổi, tính sẵn sàng (Availability) - đảm bảo hệ thống 12 CHƯƠNG GIẢI PHÁP AN TOÀN CHO MẠNG CỤC BỘ KHƠNG DÂY Tóm tắt chương: Chương chương chúng tơi trình bày hai tốn quan trọng an ninh mạng cục khơng dây: kiểm sốt truy cập bảo mật thông tin Chương phát triển giải pháp hợp phương pháp chứng thực hai chiều thuật toán mã khối SMGI dựa toán đẳng cấu đồ thị Đối với toán kiểm soát truy cập, có thay đổi nhỏ so với đề xuất chương 2; thứ nhất, lưu trữ ánh xạ ánh xạ (được gọi hàm sinh) thay lưu trữ toàn ánh xạ đẳng cấu , từ ta phát sinh lại tồn ánh xạ đẳng cấu ; thứ hai, sử dụng mã SMGI để mã hóa liệu q trình chứng thực thay cho mã ma trận Đối với toán bảo mật thông tin, ta sử dụng mã SMGI đề xuất chương 3.1 Giới thiệu Trong hai chương trước, chúng tơi trình bày hai tốn quan trọng WLAN: kiểm sốt truy cập bảo mật thơng tin Từ kết lý thuyết đề xuất hai chương này, phát triển giải pháp hợp phương pháp chứng thực hai chiều thuật toán mã khối SMGI dựa toán đẳng cấu đồ thị Cụ thể, chương xem xét khía cạnh kỹ thuật nhằm thực hóa kết lý thuyết bao gồm: kiểm soát truy cập, bảo mật thông tin chống công ngắt kết nối (dis’sing attack) 94 Hình 3.1 minh họa sơ đồ chứng thực mở rộng Sơ đồ gồm phần chính: giai đoạn cấp tài khoản, giai đoạn chứng thực, phần mở rộng nhằm chống công ngắt kết nối Client ABGI Server Đăng ký tài khoản Phát sinh tài khoản Tài khoản Lưu tài khoản Client Tài khoản Nhận lưu tài khoản Gởi tài khoản cho Client Tài khoản Client Tài khoản Yêu cầu kết nối Lưu liệu phiên làm việc Chứng thực Thông tin phiên làm việc Thông báo kết xác nhận truy cập Dữ liệu phiên : Dữ liệu phiên : Yêu cầu ngắt kết nối Xác nhận ngắt kết nối Ngắt kết nối (C) Ngắt kết nối (S) Hình 3.1 Sơ đồ chứng thực ABGI 95 3.2 Mơ hình hệ thống quy trình hoạt động Wireless Clients ABGI Server Access Point Phạm vi bảo vệ Internet Mạng doanh nghiệp Hình 3.2 Mơ hình hệ thống Hệ thống mạng doanh nghiệp bao gồm máy tính cá nhân (PC), máy chủ thiết bị khác… kết nối với qua hệ thống dây cáp truyền thống máy tính (hay thiết bị) khơng dây kết nối vào hệ thống có dây thơng qua Access Point (hình 3.2) Hệ thống mạng không dây (Wireless LAN) - WLAN bao gồm máy tính khơng dây kết nối vào hệ thống mạng có dây (hoặc kết nối với nhau) thông qua Access Point CA (Certificate Authority) server Trong mơ hình này, server cài đặt giao thức ABGI gọi tắt ABGI server, dùng mơ hình chứng thực dựa đẳng cấu đồ thị trình bày chương trước Access Point nhận liệu truyền từ máy tính khơng dây chuyển qua ABGI server để xử lý, đồng thời chuyển liệu từ ABGI server đến máy tính khơng dây (hình 3.3) 96 10.0.0.15 Access Point ABGI Server 10.0.0.4 10.0.0.2 192.168.0.5 10.0.0.16 192.168.0.9 192.168.0.10 Hình 3.3 192.168.0.12 192.168.0.11 Định tuyến thông điệp hệ thống đề xuất ABGI server cung cấp dịch vụ sau: - Kiểm soát truy cập ABGI Server User chưa đăng nhập Access Point Yêu cầu truy cập hệ Có yêu cầu truy cập thống hệ thống Tiến hành trình xác nhận trao đổi khoá Cho phép từ chối truy Xác nhận thành công cập hệ thống thất bại Hình 3.4 Dịch vụ kiểm sốt truy cập 97 - VPN Gateway cung cấp dịch vụ bảo mật thông tin Access Point User hợp lệ ABGI Server Truyền, nhận liệu (Dùng SMGI để bảo vệ xác nhận thơng điệp) WEP/WPA Hình 3.5 Dịch vụ bảo mật thơng tin Access Point cấu hình cho phép dùng ABGI server cho q trình xác nhận truy cập thơng qua giao thức 802.11 kết hợp với giao thức chứng thực ABGI Wireless Client cài đặt phần mềm ABGI Client cấu hình tham số: cho Access Point (SSID, WEP key, kiểu Authentication…) cho ABGI server (địa ABGI server, khóa mã hóa, thuật tốn mã hóa…) ABGI server cài đặt phần mềm ABGI server cung cấp dịch vụ xác nhận truy cập hệ thống bảo vệ thông điệp truyền thông Wireless Client với hệ thống mạng có dây 3.3 Dịch vụ kiểm sốt truy cập Như trình bày chương 2, chứng thực lẫn (hai chiều) nhiệm vụ sống cho an ninh mạng không dây Ở chương trước, đề xuất giải pháp chứng thực hai chiều dựa đẳng cấu đồ thị Khi triển khai thực tiễn, bên cạnh nhiệm vụ kiểm sốt truy cập, chúng tơi xem xét đến khía cạnh dễ bị tổn thương mạng không dây công ngắt kết nối 3.3.1 Giai đoạn cấp tài khoản Bảng 3.1 mô tả qui trình cấp tài khoản cho người dùng 98 Bảng 3.1 Quy trình cấp tài khoản ABGI Bước Client ABGI Server Chọn đồ thị có kích thước lớn , ,| | Công bố Chọn UID định danh thành viên (client) cấp tài khoản truy cập hệ thống Chọn ngẫu nhiên ánh xạ tuyến tính10 với : Chọn ngẫu nhiên ∆ 0, Phát sinh ngẫu nhiên khóa ma trận khả nghịch xây dựng theo [CT8], sử dụng trình chứng thực mã hóa thơng tin Gởi thơng tin tài khoản cho thành , , viên gồm 0,1, ,∆ , , với thời điểm cấp tài khoản Nhận thông tin tài khoản gồm , , 0,1, , , ,∆ Lưu thông tin tài khoản thành viên 0,1, , , , 1, , ∆ Qui trình thực lần cho thành viên Sau giai đoạn cấp tài khoản, thành viên nhận thông tin tài khoản gồm 10 Ánh xạ tuyến tính theo định nghĩa 1.1 99 , , , 1, , ∆ 0,1, Tài khoản sử dụng để truy cập hệ thống Nhận xét: từ ánh xạ , với đồ thị , , đẳng cấu với đẳng cấu : , , , xây dựng đồ thị , ∆ (3.1) , Như vậy, thay phải lưu trữ đẳng cấu, ta cần lưu Ví dụ: , , Giả sử server 1, 2, 3, 4,5,6,7 , | | chọn đồ thị công khai sau: Hình 3.6 Đồ thị công khai Gs Thực cấp tài khoản cho thành viên baotn sau: - - Đặt UID = baotn Chọn 2, ánh xạ : 0, Chọn ngẫu nhiên ∆ Phát sinh ngẫu nhiên khóa giả sử thành phần 3, 2 , giả sử ∆ 0, , giả sử 0 Vậy tài khoản cấp cho thành viên baotn gồm thông tin sau (giả sử thời gian hệ thống "07/27/2009 12: 00: 00") 0,1, , ,∆ , , , , , 3,2 , "07/27/2009 12: 00: 00" , Nhận xét: ví dụ này, từ ánh xạ : 100 với 3, 2 , / theo công thức (3.1) ta xây dựng đẳng cấu sau: 1 1 2 1 3 1 1 Nghĩa là, thay phải lưu tử giá trị Khi đồ thị , với 1 2) phần tử ta phải lưu , đẳng cấu với đồ thị phần , , Hình 3.7 , Đồ thị Gc đẳng cấu với đồ thị H 3.3.2 Giai đoạn chứng thực Qui trình chứng thực người dùng đăng nhập hệ thống mơ tả tóm tắt bảng 3.2 sau: Bảng 3.2 Quy trình chứng thực ABGI Bước Client Phát sinh ngẫu nhiên , ABGI Server gởi , đến Server Kiểm tra tài khoản , không tồn thơng báo đề nghị đăng thành viên (theo qui trình cấp tài khoản) kết thúc quy trình chứng thực 101 Phát sinh ngẫu nhiên gồm Chọn ngẫu nhiên tập đỉnh từ tập đỉnh 1,2,3, … , , mã hóa đồ thị , 11 , Gởi Giải mã , , cho client : , Nếu , , , 1, cho thơng báo lỗi kết thúc quy trình chứng thực ), Gọi đẳng cấu mơ tả công thức (3.1) thực mã hóa , ,∆ , Gởi , cho server Giải mã : , ,∆ , Nếu ∆ hoặc ∆ ) thơng báo lỗi kết thúc quy trình chứng thực Thơng báo chứng thực thành 11 cơng Thay dùng mã ma trận đề xuất mơ hình lý thuyết chương 2, ta sử dụng hệ mã SMGI 102 Cập nhật lại ∆ theo 10 , Cập nhật lại ∆ theo , , , , , 3.3.3 Chống công ngắt kết nối Như trình bày chương trước, hạn chế lớn mạng không dây dễ bị công từ chối dịch vụ giao thức 802.11 quản lý truy cập gói tin quản lý (management frame), lại thiếu chế chứng thực management frame Do tin tặc mạo danh Access Point hay máy trạm để can thiệp vào trình quản lý truy cập này, hủy kết nối hành ngăn kết nối vào hệ thống [12] Tấn công ngắt kết nối “Dis’sing” hình thức cơng từ chối dịch vụ thuộc loại Có hai hình thức loại cơng này: Tấn cơng ngắt kết nối (Disassociation attack) công tái chứng thực (Deaunthentication attack) Farewell attack: [7], Aslam cộng mơ tả q trình thực giao tiếp Acesss point máy trạm (truy cập hệ thống WLAN máy trạm) tiến trình giai đoạn gồm có trạng thái: (i) Chưa chứng thực chưa kết nối (unauthenticated and unassociated) (ii) Đã chứng thực chưa kết nối (iii) Đã chứng thực kết nối (iv) Đã chứng thực kết nối chứng thực 802.1x Đầu tiên, Access Point máy trạm trạng thái (i) - Giai đoạn chứng thực (authentication): Để tham gia vào hệ thống, Acess Point máy trạm tiến hành chứng thực lẫn (bằng phương pháp chứng thực mở chứng thực chia sẻ khóa) [2] Khi đó, Access point máy trạm chuyển sang trạng thái (ii) - Giai đoạn kết nối (association): Sau hoàn thành giai đoạn chứng thực, Access point máy trạm tiếp tục giai đoạn kết nối, hai chuyển sang trạng thái (iii) Tuy nhiên, sử dụng giao thức mở rộng 103 802.1x sau giai đoạn kết nối, Acess point máy trạm tiếp tục tiến trình chứng thực 802.1x, sau hai chuyển sang trạng thái (iv) - Giai đoạn trao đổi liệu: Ở trạng thái (iii) (iv), máy trạm gởi/nhận gói tin đến/từ Access point Hình 3.8 mơ tả tiến trình thực giao tiếp máy trạm access point Access Point Máy trạm Giai đoạn chứng thực Giai đoạn kết nối Giai đoạn trao đổi liệu Hình 3.8 Quá trình truy cập WLAN Lưu ý: Khi nhận thông điệp yêu cầu ngắt kết nối (disassociation), máy trạm access point chuyển trạng thái (ii) Tương tự, nhận thông điệp tái chứng thực (deauthentication), hai chuyển trạng thái (i) Đây nguyên nhân tin mà tặc thực cơng hệ thống, gói tin ngắt kết nối tái chứng thực khơng chứng thực khơng mã hóa Cụ thể, để cơng vào q trình giao tiếp máy trạm access point, đơn giản tin tặc cần sử dụng số công cụ giả mạo địa MAC như: Spoof MAC, Airsnarf, MAC changer,…để gởi thông điệp ngắt kết nối tái chứng thực đến access point, access point thực hiện ngắt giao tiếp máy trạm Trong trường hợp tin tặc giả mạo địa MAC access point gởi thơng điệp ngắt kết nối tái chứng thực tất máy trạm bị ngắt giao tiếp khỏi hệ thống Hình thức cơng gọi lại Dis’ing attack hay Farewell attack Trong [13], Bellardo cộng khẳng định đơn giản để cài đặt thực công Farewell Trong [7], [13], [19], [50], tác giả tổng kết số giải pháp đề xuất để khắc phục hình thức cơng 104 Như trình bày phần 2.1.2.4, hướng giải có ưu khuyết điểm Với tiêu chí hiệu chi phí thấp triển khai thiết bị 802.11 có, chúng tơi đề xuất giải pháp chống lại công từ chối dịch vụ dạng Farewell phần mở rộng giao thức 802.11 hành Giảp pháp đề xuất tiếp cận theo hướng chứng thực management frame, đặt tên LetterEnvelop protocol Giao thức hoạt động dựa chế hàm chiều là, giả sử biết , việc tính tốn để xác định nhiên, cho , dễ dàng để tính : nghĩa khơng khả thi Tuy Letter-Envelop protocol: Giao thức thực theo bước sau: - Khởi tạo, máy trạm phát sinh ngẫu nhiên tính Access point phát sinh ngẫu nhiên - Tương tự, Trong trình chứng thực máy trạm Access Point, máy trạm gởi “phong bì-envelop” chứa cho Access point, ngược lại Access point gởi “phong bì” chứa - , tính cho máy trạm Khi muốn ngắt kết nối, máy trạm gởi thông điệp deauthentication disassociation frame (được gọi “bức thư-letter”) đến Access point Access point thực kiểm tra tính hợp lệ “bức thư”, với “phong bì” mà máy trạm gởi bước trước ( ) thơng điệp chấp nhận xử lý, ngược lại Access point từ chối xử lý thông điệp - Tương tự, trường hợp Access point muốn ngắt kết nối với máy trạm, access point gởi thông điệp deauthentication disassociation frame đến máy trạm Máy trạm thực ngắt kết nối Giao thức Letter-Envelop xảy bắt đầu giai đoạn kết nối access point máy trạm Hình 3.9 giai đoạn kết nối giải pháp đề xuất 105 Access Point Máy trạm Access Point Máy trạm Chứng thực Chứng thực Phát sinh ngẫu nhiên Kết nối Tính Phát sinh ngẫu nhiên Tính Trao đổi Trao đổi liệu liệu (Giải pháp đề xuất Letter-Envelop) (Giao thức IEEE 802.11) Hình 3.9 Quá trình kết nối WLAN Cài đặt thử nghiệm: Chúng cài đặt thử nghiệm hệ thống đơn giản gồm hai phân hệ: phân hệ dành cho Access point phân hệ dành cho máy trạm Phân hệ dành cho Access point có đầy đủ tính access thông dụng hoạt động chứng thực phương thức: chứng thực mở chứng thực chia sẻ khóa (khóa quy ước) Chúng tơi sử dụng máy tính có card mạng khơng dây để làm Access point (cài đặt phân hệ Access point), hoạt động Access point thông thường Hệ thống cài đặt thử nghiệm có đặc điểm sau: - Sử dụng Madwifi-0.9.3.3 (www.madwifi.org): trình điều khiển thiết bị mã nguồn mở dành cho card mạng không dây có chip Atheros chạy hệ điều hành Unix Bản thân mã nguồn mở, nhiên hoạt động phụ thuộc vào lớp Hardware Abstraction Layer (HAL) nhà sản xuất chip cung cấp dạng binary Chúng tơi lập trình lại trình điều khiển thành kernel module hoạt động AP theo giao thức 802.11 mở rộng đề xuất - Chúng tơi chọn hàm chiều hàm tích hai số ngun tố lớn, áp dụng tính chất khó tốn phân tích thừa số ngun tố, thể giao thức Letter-Envelop Nghĩa là, lần thực kết nối, máy trạm phát sinh số nguyên tố lớn , , tính , gởi “phong bì” cho Access point Tương tự, access point phát sinh số nguyên tố lớn , 106 tính, , gởi “phong bì” cho máy trạm Khi muốn ngắt kết nối, máy trạm gởi “bức thư” , , - đến access point Trong trường hợp ngược lại, access point gởi đến máy trạm LibTomMath 0.41(www.libtom.org): thư viện viết ngôn ngữ C dùng cho việc tính tốn số lớn, chạy độc lập với hệ điều hành Chúng sử dụng để phát sinh số giả nguyên tố, nhân chia số giả nguyên tố lớn Bộ thư viện chỉnh sửa để phù hợp cho việc chạy môi trường kernel hệ điều hành Unix biên dịch chung với Madwifi kernel module hoạt động với chức AP - Sử dụng công cụ CommView for WiFi để thực cơng Farewell (http://www.tamos.com/products/commwifi) Cấu hình hệ thống thử nghiệm công Farewell bao gồm: - Một máy tính (CPU Intel Celeron 3GHz, RAM 1GB, HDD 80GB) cài đặt trình điều khiển áp dụng giải pháp chứng thực management frame đề xuất hoạt động Access point - Một máy trạm (CPU Intel Celeron 1.73GHz, RAM 512MB, HDD 80GB) kết nối với AP trên, cài đặt phân hệ dành cho máy trạm Máy trạm sử dụng lệnh ping liên tục để kiểm tra kết nối với AP - Một máy trạm (CPU Intel Core Duo 1.6Ghz, RAM 512MB, HDD 80GB) chạy công cụ CommView for WiFi để công Kết thử nghiệm khẳng định giải pháp đề xuất không bị ảnh hưởng cơng Farewell Kết đề xuất trình bày [CT10] 3.4 Kết luận Từ nghiên cứu điểm yếu WEP trình bày chương chương 2, đề xuất giải pháp phần mềm cho phép bảo vệ tính bí mật thơng điệp qua hình thức cơng (kể hình thức cơng qua người trung gian) cho thiết bị phổ biến sử dụng WEP làm cơng cụ để bảo vệ tính bí mật thông điệp 107 Hệ thống đề xuất dựa phần cứng có sẵn, tăng cường thêm dịch vụ xác nhận truy cập, bảo vệ kết nối bảo vệ thông điệp đường truyền thông qua kỹ thuật mã hóa SMGI Hệ thống cài đặt phần mềm, đó, dễ dàng cài đặt cho thiết bị sử dụng mà không cần phải nâng cấp phần cứng Hệ thống đề xuất cung cấp dịch vụ đảm bảo an ninh cho mạng không dây bao gồm dịch vụ xác nhận truy cập dựa tính chất khó tốn đẳng cấu đồ thị, dịch vụ đảm bảo bí mật tồn vẹn thơng điệp thơng qua kỹ thuật mã hóa liệu SMGI 108 ... thị đề xuất cho vấn đề kiểm sốt truy cập mạng cục khơng dây • Chương trình bày giải pháp an tồn cho mạng cục không dây, giải pháp bao gồm hai phần liên quan đến tồn quản lý truy cập vấn đề mã... mà luận án giải cho mạng không dây an tồn mạng có dây truyền thống Mục tiêu nghiên cứu trình bày cụ thể hóa qua động nghiên cứu, vấn đề khoa học đặt (cho an ninh mạng cục không dây) nội dung nghiên... kiểm sốt truy cập: Đề xuất giải pháp phịng chống công qua người trung gian, giải pháp chống công ngắt kết nối vào mạng cục không dây, kết trình bày cơng trình [CT1], [CT10] Đề xuất số kết lý thuyết