ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -ZY - ĐƯỜNG TẤT TOÀN NGHIÊN CỨU GIAO THỨC MOBILE IP VÀ GIẢI PHÁP BẢO MẬT LUẬN VĂN THẠC SĨ Hà Nội - 2006 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -ZY - ĐƯỜNG TẤT TOÀN NGHIÊN CỨU GIAO THỨC MOBILE IP VÀ GIẢI PHÁP BẢO MẬT LUẬN VĂN THẠC SĨ Ngành: Công nghệ thông tin Mã số: 1.01.10 NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS NGUYỄN VĂN TAM Hà Nội - 2006 Nghiên cứu giao thức Mobile IP giải pháp bảo mật MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT .4 DANH MỤC CÁC HÌNH VẼ .5 MỞ ĐẦU Chương TỔNG QUAN .9 1.1 Tình hình phát triển truyền thông không dây 1.1.1 Sự phát triển mạng thông tin di động 1.1.2 Mạng LAN không dây .11 1.1.3 Mạng riêng không dây mạng Ad hoc 12 1.1.4 Nhận xét 12 1.2 Phân loại đặc tính di động nút 13 1.3 Các vấn đề kết nối di động 13 1.3.1 Gián đoạn kết nối 14 1.3.2 Băng thông thấp 14 1.3.3 Sự biến đổi băng thông .14 1.3.4 Các mạng không .15 1.3.5 Các nguy an ninh 15 1.4 Hạn chế mạng IP truyền thống .16 1.4.1 Giao thức TCP/IP .16 1.4.2 Giao thức IPv4 19 1.4.3 Giao thức IPv6 23 1.4.4 Nhận xét 26 1.5 Giao thức hỗ trợ di động macro Mobile IP 27 1.6 Các giao thức hỗ trợ di động micro 28 1.6.1 Hierachical Mobile IP 29 1.6.2 Fast Handoff .30 1.6.3 Proactive Handoff 30 1.6.4 TeleMIP 31 1.6.5 Cellular IP 31 1.6.6 HAWAII 31 1.6.7 EMA 32 1.7 Kết luận chương 32 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN Nghiên cứu giao thức Mobile IP giải pháp bảo mật Chương GIAO THỨC MOBILE IP 33 2.1 Tổng quan Mobile IP 33 2.1.1 Giới thiệu 33 2.1.2 Các thành phần mạng mobile IP 34 2.1.3 Phương thức hoạt động Mobile IP 36 2.2 Quá trình phát trạm .40 2.2.1 Quảng bá trạm 40 2.2.2 Yêu cầu quảng bá 44 2.2.3 Cơ chế phát hiên di chuyển 44 2.3 Quá trình đăng ký địa .45 2.3.1 Bản tin yêu cầu đăng ký 45 2.3.2 Cấu trúc tin trả lời đăng ký 48 2.4 Quá trình trao đổi thông tin 49 2.5 Quá trình huỷ bỏ đăng ký địa 51 2.6 Tối ưu hoá định tuyến 51 2.6.1 Bảng địa nhớ đệm nút chuyển tiếp .52 2.6.2 Cơ chế tạo Binding Cache 52 2.6.3 Điều khiển chuyển giao mềm Foreign Agent .54 2.7 Một số lưu ý Mobile IP 60 2.7.1 Một số vấn đề cần lưu ý với Mobile Node 60 2.7.2 Những điểm cần lưu ý với Foreign Agent 61 2.7.3 Những điều cần lưu ý với Home Agent .63 2.7.4 Một số vấn đề định tuyến Mobile IP 65 2.7.5 Một số phương pháp đóng gói Mobile IP .66 2.8 Kết luận chương 72 Chương GIẢI PHÁP BẢO MẬT CHO MOBILE IP .73 3.1 Nguy an ninh bảo mật Mobile IP 73 3.1.1 Các yêu cầu bảo mật thông tin mạng 73 3.1.2 Các nguy với bảo mật Mobile IP 73 3.1.3 Các giải pháp bảo mật cho Mobile IP 75 3.2 Chống công replay Mobile IP 76 3.2.1 Chống công replay nhãn thời gian 77 3.2.2 Chống công Nonces 78 3.3 Giải pháp xác thực cho Mobile IP 79 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN Nghiên cứu giao thức Mobile IP giải pháp bảo mật 3.3.1 Chuẩn xác thực thông điệp Mobile IP 79 3.3.2 Xác thực theo chế yêu cầu/đáp ứng .82 3.3.3 Xác thực theo chế khóa công khai PKA .85 3.3.4 Xác thực với khóa công khai tối thiểu .88 3.4 Giải pháp với kiến trúc AAA 89 3.4.1 Xác thực, kiểm soát tính phí với AAA 89 3.4.2 Phân phối khóa với hạ tầng AAA 91 3.5 Giải pháp với Hệ thống tường lửa 92 3.5.1 Tránh xung đột với lọc đầu vào đường hầm nghịch 92 3.5.2 Bổ sung tính cho firewall 94 3.6 Giải pháp mã hóa liệu với IPSec .95 3.6.1 IPSec 95 3.6.2 Giải pháp IPSec Mobile IP .97 3.6.3 Cải tiến trao đổi khóa cho IPSec Mobile IP 100 3.7 Kết luận chương 103 Chương ỨNG DỤNG MOBILE IP TRONG MẠNG CCFSCnet 104 4.1 Giới thiệu mạng thông tin quản lý thiên tai CCFSCnet 104 4.1.1 Sự đời hệ thống thư điện tử WAFFLE (1994) 104 4.1.2 Sự đời mạng DMUnet (1998) 104 4.1.3 Mạng CCFSCnet 105 4.2 Khả ứng dụng Mobile IP 108 4.3 Giải pháp Cisco Mobile VPN .109 4.3.1 Giới thiệu 109 4.3.2 Kiến trúc Cisco Mobile VPN 110 4.3.3 Cơ chế tương hỗ IPsec Mobile IP 112 4.3.4 Một số lưu ý triển khai Cisco Mobile VPN .113 4.4 Triển khai mạng CCFSCnet 114 4.5 Kết luận chương 115 KẾT LUẬN 116 TÀI LIỆU THAM KHẢO 118 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN Nghiên cứu giao thức Mobile IP giải pháp bảo mật DANH MỤC CÁC TỪ VIẾT TẮT CMC Cisco Mobile Client CN Correspondent Node COA Care-of Address FA Foreign Agent GFA Gateway Foreign Agent HA Home Agent IP Internet Protocol MN Mobile Node POA Point of Attachement SA Security Association SPI Security Parameter Index TCP Transmission Control Protocol VPN Virtual Private Network WGAN Wireless Global Area Network WLAN Wireless Local Area Network WPAN Wireless Personal Area Network WWAN Wireless Wide Area Network Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN Nghiên cứu giao thức Mobile IP giải pháp bảo mật DANH MỤC CÁC HÌNH VẼ Hình 1: Sự phát triển mạng di động từ 2G lên 3G Hình 2: Giao thức TCP/IP mô hình OSI .16 Hình 3: Các trường IP Header 19 Hình 4: Lưu đồ trình định tuyến 23 Hình 5: Các trường Header IPv6 24 Hình 6: Cơ chế hoạt động Mobile IP .27 Hình 7: Bảng quản lý địa Home Agent 37 Hình 8: Bảng quản lý địa Foreign Agent 38 Hình 9: Quá trình định tuyến Mobile IP 39 Hình 10: Cấu trúc tin ICMP 41 Hình 11: Phần mở rộng tin ICMP 42 Hình 12: Phần mở rộng Prefix-Length 43 Hình 13: Cấu trúc tin yêu cầu đăng ký 46 Hình 14: Cấu trúc phần mở rộng tin yêu cầu đăng ký 47 Hình 15: Cấu trúc tin trả lời đăng ký .48 Hình 16: Quá trình chuyển gói tin tới MN 50 Hình 17: Quá trình định tuyến gói tin mạng .51 Hình 18: Quá trình tạo Binding Cache 53 Hình 19 Quá trình cập nhật địa 54 Hình 20: Quá trình chuyển giao mềm 55 Hình 21: Cấu trúc tin cảnh báo địa .56 Hình 22: Cấu trúc tin yêu cầu địa 57 Hình 23: Cấu trúc tin cập nhật địa 58 Hình 24: Cấu trúc tin trả lời cập nhật địa .59 Hình 25: Quá trình trao đổi tin để phát cập nhật địa 60 Hình 26: Đóng gói IP IP 67 Hình 27: Đóng gói Minimal Encapsulation for IP 68 Hình 28: Minimal Encapsulation Header 69 Hình 29: Khuôn dạng thông điệp mở rộng xác thực MN HA 81 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN Nghiên cứu giao thức Mobile IP giải pháp bảo mật Hình 30: Khuôn dạng thông điệp mở rộng xác thực MN FA 82 Hình 31: Khuôn dạng thông điệp mở rộng xác thực MA FA 82 Hình 32 Hạ tầng kiểm tra .83 Hình 33 Mở rộng challenge 83 Hình 34 Mở rộng Challenge MN-FA 85 Hình 35 Mở rộng quảng bá Agent 86 Hình 36 Thông điệp yêu cầu đăng ký nhận FA 86 Hình 37 Thông điệp yêu cầu đăng ký gửi tới HA 87 Hình 38 Thông điệp trả lời đăng ký từ FA 87 Hình 39 Thông điệp trả lời đăng ký MN nhận 88 Hình 40: Mô hình Mobile IP/AAA .90 Hình 41: Các thiết lập bảo mật mô hình Mobile IP/AAA 90 Hình 42: Gói tin quảng bá Agent 93 Hình 43: Gói tin IP bảo vệ IPSec chế độ giao vận chế độ đường hầm 96 Hình 44: Mở rộng quảng bá IPSec FA 99 Hình 45: Mở rộng yêu cầu IPSec MN .99 Hình 46: Tiêu đề thông điệp ISAKMP 101 Hình 47: Tải liệu “Cập nhật địa IP” (IP Address Update) 102 Hình 48: Hệ thống mạng CCFSCnet 106 Hình 49: Kiến trúc mạng riêng ảo (Cisco VPN) 110 Hình 50: Một topo ví dụ cho kiến trúc Mobile VPN 111 Hình 51: Tương hỗ Mobile IP Tunnel IPsec Tunnel 113 Hình 52: Mạng CCFSCnet bổ sung thêm 115 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN Nghiên cứu giao thức Mobile IP giải pháp bảo mật MỞ ĐẦU Internet truyền thông di động không dây phát triển cách nhanh chóng Trong đó, thông tin dịch vụ triển khai thông qua giao thức IP chiếm ưu Nhu cầu trì liên tục kết nối IP thiết bị di động trở nên cần thiết Giao thức Mobile IP đời đưa vào ứng dụng để đáp ứng nhu cầu Mục tiêu Mobile IP hỗ trợ khả kết nối IP thiết bị di chuyển liên mạng với kết nối không dây nên vấn đề bảo mật liệu quan trọng Luận văn vào nghiên cứu Mobile IP hỗ trợ cho kết nối IP thiết bị không cố định vấn đề bảo mật liệu gắn liền với giao thức Luận văn chia thành bốn chương chính: Chương – Tổng quan Giới thiệu cách tổng quan tình hình phát triển, thách thức xu hướng truyền thông không dây Qua đó, thấy nhu cầu tính toán, kết nối chạy ứng dụng mạng người dùng không văn phòng tất yếu Chương nêu vấn đề mà người dùng gặp phải trình kết nối di động Từ vấn đề nảy sinh qúa trình di động, chương đưa hạn chế họ giao thức TCP/IP Từ đó, thấy cần thiết việc bổ sung thêm tính cho phép người dùng thiết lập, trì kết nối, trì ứng dụng di chuyển Chương – Giao thức Mobile IP Chương sâu phân tích đặc tính kỹ thuật Mobile IP: thành phần Mobile IP, phương thức hoạt động Mobile IP vấn đề cần lưu ý Mobile IP Chương – Giải pháp bảo mật cho Mobile IP Trong chương này, vấn đề nguy an ninh đặc thù Mobile IP phân tích Do đặc điểm người dùng di động sử dụng kết nối không dây, nguy an Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN Nghiên cứu giao thức Mobile IP giải pháp bảo mật ninh liên quan tới đặc tính liệu truyền qua sóng vô tuyến Mặt khác, đặc tính trình thiết lập kết nối Mobile IP, nguy bị công an ninh cần phân tích Qua phân tích nguy mật, chương trình bày số giải pháp an ninh bảo mật cho Mobile IP Chương – Ứng dụng Mobile IP mạng CCFSCnet Chương trình bày trạng mạng thông tin quản lý thiên tai Văn phòng Ban đạo Phòng chống Lụt bão Trung Ương Bên cạnh, giải pháp kết hợp Mobile IP với khả bảo mật Cisco Mobile VPN phân tích Qua đó, đề xuất ứng dụng giải pháp Cisco Mobile VPN cho mạng CCFSCnet đưa Phần Kết luận trình bày đánh giá rút qua trình thực luận văn, khả ứng dụng phương hướng nghiên cứu nội dung luận văn Tuy học viên cố gắng thu thập nghiên cứu tài liệu chưa có điều kiện để thực thử nghiệm thực tế Do luận văn không tránh khỏi có thiếu sót Rất mong đóng góp ý kiến, nhận xét để học viên hoàn thiện kết làm việc Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN 118 Nghiên cứu giao thức Mobile IP giải pháp bảo mật TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Tiến Lân (2003), Mobile IP thông tin di động, Luận văn thạc sỹ, Khoa Điện tử - Viễn thông, Đại học Bách khoa Hà Nội Tiếng Anh [2] C Kaufman, Ed (2005), RFC4306: Internet Key Exchange (IKEv2) Protocol, Internet Engeering Task Force (IETF) [3] Charles E Perkins (2002), RFC3344: IP Mobility Support for IPv4 , IETF [4] Charles E Perkins (2004), “Mobile IP at IETF”, Mobile Computing and Communication Review, Volume 7, Number [5] Charles E Perkins, P Calhoun (2000), RFC3012: Mobile IPv4 Challenge/Response Extensions, IETF [6] Charles E Perkins, “Mobile IP Joins Forces with AAA,” IEEE Personal Communications,Aug 2000 [7] Charles E Perkins, P Calhoun (2005), RFC3957: Authentication, Authorization, and Accounting (AAA) for Mobile IPv4 , IETF [8] Cisco (2005), Cisco Mobile VPN – Enabling Cisco End-Device Based IP Mobility, Cisco White Paper [9] D Maughan, M Schertler, M Schneider, J Turner (1998), RFC2408: Internet Security Association and Key Management Protocol (ISAKMP), IETF [10] Fabio Moioli (2000), Security in Public Access Wireless LAN Network, M.Sc Thesis, Department of Teleinformatics, Royal Institute of Technology, Stockholm [11] G Montenegro (2001), RFC3024: Reverse Tunneling for Mobile IP, IETF [12] G Montenegro, V Gupta (1998), RFC2356: Sun’s SKIP Firewall Traversal for Mobile IP, IETF Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN 119 Nghiên cứu giao thức Mobile IP giải pháp bảo mật [13] George H Forman, John Zahorjan (1994), “The challenge of Mobile Computing”, Computer Science and Engineering, University of Warshington [14] Jacobs (2000), “Mobile IP Public Key Based Authentication”, Internet Draft , IETF [15] Kent, S., R Atkinson (Nov 1998), RFC 2402: IP Authentication Header [16] Matthew G Naugle (1999), Illustrated TCP/IP: A Graphic Guide to the Protocol Suite , Wiley Computer Publishing, John Wiley & Sons Inc [17] Naganand Doraswamy, Dan Harkins (2003), IPSec: The New Security Standard for the Internet, Intranets, and Virtual Private Networks, Second Edition, Prentice Hall PTR, ISBN:0-13-046189-X [18] Pierre Reinbold, Oliver Bonaventure (2003), “IP micro-mobility protocols”, University of Namur [19] Ramjee Prasad, Marina Ruggieri ( 2003), Technology Trends in Wireless Communications, Artech House [20] S Glass, T Hiller, C Perkins (2000), RFC2977: Mobile IP Authentication, Authorization, and Accounting Requirements, IETF [21] Salem Itani (2001), “Use of IPsec in Mobile IP”, Department of Electrical and Computer Engineering, Faculty of Engineering and Architecture, The American University of Beirut [22] Sufatrio, K Y L., “Mobile IP Registration Protocol: A Security Attack and New Secure Minimal Public-Key Based Authentication”, International Symposium on Parallel Architectures, Algorithms and Networks (ISPAN '99), June 1999, pp 364–369 [23] Thayer, R., N Doraswamy, R Glenn (Nov 1988), RFC 2411: IP Security Document Roadmap [24] William Stallings (2001) ,”Mobile IP”, The Internet Protocol Journal, Volume 4, Number 2, June 2001 Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN