Bài viết muốn giới thiệu một tiêu chuẩn chứng thực người dùng để giải quyết vấn đề bảo mật trên cơ sở hạ tầng mạng LAN và WLAN (Wireless LAN). Tiêu chuẩn 802.1X được định nghĩa bởi IEEE, hỗ trợ việc điều khiển truy cập phương tiện truyền dẫn, khả năng cho phép hay cấm sự kết nối mạng, điều khiển truy cập VLAN và triển khai chính sách lưu lượng truyền dựa trên sự nhận dạng tài khoản người dùng hoặc xác định thiết bị.
4 Khoa học Công nghệ BẢO MẬT MẠNG LOCAL AREA NETWORK DỰA TRÊN TIÊU CHUẨN 802.1X Nguyễn Bá Nhiệm * Tóm tắt Ngày ứng dụng, dịch vụ hệ thống mạng gia tăng với nhiều phức tạp rủi ro cho người quản trị hệ thống mạng Do đó, cần thực hiện, triển khai biện pháp bảo mật tốt hơn, tiêu chuẩn 802.1X mà viết muốn giới thiệu, tiêu chuẩn chứng thực người dùng để giải vấn đề bảo mật sở hạ tầng mạng LAN WLAN (Wireless LAN) Tiêu chuẩn 802.1X định nghĩa IEEE, hỗ trợ việc điều khiển truy cập phương tiện truyền dẫn, khả cho phép hay cấm kết nối mạng, điều khiển truy cập VLAN triển khai sách lưu lượng truyền dựa nhận dạng tài khoản người dùng xác định thiết bị Chuẩn 802.1X thực theo giao thức chứng thực EAP (Extensible Authentication Protocol) định dạng theo khung Ethernet mạng LAN với tên gọi EAPOL (Extensible Authentication Protocol Over LAN) đồng thời hỗ trợ nhiều phương pháp chứng thực khác PPP, MD5, TLS, CHAP RADIUS triển khai hệ thống mạng LAN WLAN Bài viết trình bày chi tiết tiêu chuẩn 802.1X, EAP EAPOL để cung cấp thêm kiến thức giải vấn đề bảo mật cho việc thiết kế triển khai hệ thống mạng Từ khóa: tiêu chuẩn 802.1x, EAP, EAPoL, giao thức chứng thực mở rộng, gia tăng bảo mật mạng LAN với tiêu chuẩn 802.1x Abstract Today, the increasing of applications and services on the network system has brought network administrators plenty of difficulties and risks Therefore, the designing network security should be effectively implemented by network administrators One of security standards is 802.1X which is a user authentication standard to address security issues on LAN and WLAN (Wireless LAN) infrastructure.The 802.1X standard, is defined by IEEE, supports access control for transmission medium, the ability to allow or prohibit network connection, VLAN access control and implementation of transmission policies based on identity user accounts or devices determined The 802.1X standard is done by Extensible Authentication Protocol (EAP) and has the Ethernet frame format on the LAN called Extensible Authentication Protocol Over LAN (EAPOL), and supports various authentication methods such as PPP, MD5, TLS , CHAP and RADIUS which can be deployed on a LAN system, even WLAN The paper will discuss in detail about the 802.1X standard, EAP and EAPOL to provide more knowledge to solve security issues for the design and implementation of a network system Keywords: The standard 802.1x, EAP, EAPOL, Extensible Authentication Protocol, The enhanced security of LAN with 802.1x standard Giới thiệu 802.1X, EAP EAPOL IEEE 802.1X chuẩn điều khiển truy cập mạng dựa cổng (port), nghĩa chứng thực tầng mơ hình OSI Nó triển khai cổng mạng Ethernet (IEEE 802) Phần lớn việc triển khai truy cập mạng dựa cổng truy cập đến mạng khơng dây (WLAN) truy cập mạng có dây (LAN) dựa nhóm thiết bị Switch Mặc nhiên cổng trạng thái “đóng”, nghĩa truy cập không cho phép luồng liệu ngang qua, kết nối vật lý thiết lập Sau người dùng (user) thiết bị truy cập yêu cầu * chứng thực thân nó, trạng thái cổng thay đổi “mở”, nghĩa luồng liệu thông thường phép ngang qua cổng IEEE 802.1X hạn chế máy trạm (clients) không xác thực kết nối đến hạ tầng mạng LAN WLAN dùng điều khiển truy cập dựa máy chủ (Server) máy trạm với giao thức chứng thực Chuẩn 802.1X định nghĩa ba thành phần tham gia mơ hình điều khiển truy cập sau: Thạc sĩ, Khoa Kỹ thuật & Công nghệ - Trường Đại học Trà Vinh Số 10, tháng 9/2013 Khoa học Công nghệ - Client Supplicant: Thiết bị cần truy cập hay yêu cầu truy cập hạ tầng mạng LAN/WLAN dịch vụ thiết bị thuộc tầng Các thiết bị hỗ trợ phần mềm 802.1X phục vụ cho máy trạm để trả lời yêu cầu từ thiết bị thuộc tầng chứng thực thực hồi đáp lại máy chủ chứng thực đến máy trạm - Authentication Server: Thiết bị đảm nhận việc thực chứng thực cho phép Authenticator phục vụ hay từ chối phục vụ cho máy trạm Máy chủ chứng thực phê chuẩn thông tin nhận dạng máy trạm thông báo cho thiết bị mạng thuộc tầng hoạt động Authenticator chuyển tiếp thông tin đến máy trạm - Authenticator: Nhiệm vụ thiết bị chuyển tiếp thông tin máy chủ chứng thực máy trạm (Supplicant) Authenticator thiết bị mạng thuộc tầng hoạt động điểm trung gian proxy máy trạm máy chủ chứng thực thực yêu cầu xác nhận thông tin từ máy trạm, kiểm tra thông tin với máy chủ Trong Hình đưa mơ hình mạng dựa kết nối khác Workstation Switch Client/Supplicant Authenticator Authentication Server Access Point Laptop Hình Sự kết nối triển khai thiết bị sử dụng chuẩn 802.1X Các thành phần Hình cung cấp khái niệm chung kiến trúc chuẩn 802.1X đưa Supplicant, Authenticator, Authentication Server mạng LAN WLAN dùng chuẩn 802.1X yêu cầu cổng Authenticator cổng điều khiển cho phép hay không cho phép luồng liệu qua AAA 802.1X RADIUS Switch PC Server Hệ thống máy trạm Máy trạm với cổng truy cập (PAE) Hệ thống máy chủ chứng thực Hệ thống chứng thực Các dịch vụ phục vụ hệ thống Authenticator Cổng điều khiển Authenticator với PAE Cổng không phép truy cập dịch vụ Truyền giao thức EAP chuyển tiếp giao thức tầng cao Máy chủ chứng thực Hạ tầng mạng LAN/WLAN Hình Sơ đồ kiến trúc chuẩn 802.1X Số 10, tháng 9/2013 Khoa học Công nghệ PAE (Port Access Entity) trình bày Hình dùng cho thiết bị mạng thực thuật toán chuẩn 802.1X hoạt động giao thức Một cổng điểm độc lập kết nối đến sở hạ tầng mạng LAN Trong trường hợp mạng LAN, Switch quản lý cổng logic Mỗi cổng logic giao tiếp với cổng máy trạm RADIUS (remote access dial in user service) chuẩn cung cấp dịch vụ Authentication, Authorization, Accounting (AAA) cho hệ thống mạng Mặc dù giao thức RADIUS hỗ trợ tùy chọn IEEE 802.1X Nhiều Authenticator sử dụng chuẩn 802.1X đóng vai trò máy trạm RADIUS EAP (Extensible Authentication Protocol) giao thức sử dụng kiểm tra thông tin chứng thực máy trạm máy chủ chứng thực IEEE 802.1X định nghĩa đóng khung EAP dựa IEEE 802 biết đến EAP sử dụng mạng LAN (EAP over LANs hay EAPOL) EAPOL thiết kế cho mạng Ethernet phát triển thêm để phù hợp cho việc triển khai mơ hình mạng khác mạng Wireless, mạng FDDI (Fiber Distribution Data Interface) EAP giao thức chứng thực, định bắt buộc chứng thực hệ thống, cung cấp vài chức chung lựa chọn phương pháp chứng thực gọi phương pháp EAP (EAP methods) Các phương pháp EAP hỗ trợ nhiều loại chứng thực khác thẻ (token card), chứng nhận (certificates), mật (passwords) chứng thực khóa cơng cộng (public key authentication) phương pháp chứng thực khác hay phương pháp chứng thực máy trạm (client/supplicant) máy chủ chứng thực thực vài hay tất phương pháp chứng thực Ngày nay, có nhiều phương pháp chứng thực phương pháp chứng thực sử dụng thực tế, số phương pháp định nghĩa IETF RFCs EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS phương pháp khác nhà sản xuất thiết bị định PEAP, LEAP, EAP-TTLS EAP định bốn thông điệp truyền mạng: - Request (0x01): Được dùng để gửi thông điệp từ Authenticator đến máy trạm (Supplicant) - Response (0x02): Được dùng để gửi thông điệp từ máy trạm đến Authenticator - Success (0x03): Được gửi Authenticator định truy cập chấp thuận - Failure (0x04): Được gửi Authenticator định truy cập bị từ chối Hình minh họa định dạng thông điệp EAP liệt kê, mô tả thành phần thông điệp Code Identifier Length Data Hình Định dạng thơng điệp EAP Bài viết trình bày hai giao thức EAP EAPOL để hiểu tốt chúng trước triển khai chúng hệ thống mạng thực tế - Code: Trường Code chiếm byte loại thông điệp (Request, Response, Success, Failure) Giao thức chứng thực mở rộng (Extensible Authentication Protocol -EAP) - Identifier: Trường Identifier chiếm byte chứa đựng số nguyên dương dùng để kiểm tra trùng khớp thông điệp request với thông điệp response Mỗi thông điệp request sử dụng số identifier EAP tảng chứng thực cho thiết bị hệ thống mạng mà hỗ trợ nhiều phương pháp chứng thực Về bản, EAP cho phép hai thực thể hệ thống mạng trao đổi thông tin định phương pháp chứng thực, thực thể muốn sử dụng Nội dung chứng thực định phương pháp không định nghĩa EAP Đây giao thức đem lại nhiều thuận lợi đưa kiến trúc EAP mang tính chất mềm dẻo Authenticator không cần cập nhật để hỗ trợ - Length: Hai byte cho trường Length tổng số byte tồn gói tin (packet) - Data: Giá trị biến Length (bao gồm byte 0) trường Data định nghĩa cách làm để trường Data thơng dịch liệu Định dạng thơng điệp EAP trình bày Hình sử dụng để gửi Số 10, tháng 9/2013 Khoa học Công nghệ Giao thức chứng thực mở rộng cho mạng LAN (Extensible Authentication Protocol Over LAN - EAPOL) - EAP request - EAP response - EAP success - EAP failure Thêm trường giới thiệu trường Type thể Hình Trường dùng byte để định nghĩa loại thông điệp EAP request EAP response Chỉ trường Type sử dụng gói tin Type hồi đáp trùng khớp với yêu cầu Code Identifier Length Type Request/Response Data Hình Thơng điệp Request/Response EAP Các thông điệp EAP Success EAP Failure thể trường Data byte cấu trúc trì Hình Trước bắt đầu thực hiện, thông điệp EAP Request EAP Response chia nhỏ dùng trường EAP Type Có vài loại EAP chung sau đây: - Identity (1) - Notification (2) - NAK (3) - MD5-Challenge (4) - One-Time Password (OTP) (5) - Generic Token Card (6) - LEAP (17) - EAP-TTLS (21) - PEAP (25) - EAP-FAST (43) Phần quan trọng định nghĩa trước trường Type Identity (Type = 1) điều sử dụng phần việc phân tích thơng điệp EAP: - EAP-Request/Identity (Code = 1, Type = 1): gửi Authenticator đến Supplicant - EAP-Response/Identity (Code = 2, Type = 1): hồi đáp đến EAP-Resquest/Identity, Supplicant phản hồi với thông điệp chứa đựng tài khoản người dùng (username) vài thông tin xác nhận khác mà hiểu máy chủ chứng thực Để tìm hiểu chi tiết loại EAP khác, vui lòng tham khảo tài liệu EAP RFC (RFC 2284) EAP RFC không rõ làm thông điệp trao đổi với Vậy để trao đổi thông điệp EAP, cần tìm hiểu cách trao đổi định dạng chúng Để giải thích vấn đề này, IEEE 802.1X định nghĩa giao thức gọi EAPOL (EAP over LAN) để giúp hiểu thông điệp EAP trao đổi máy trạm (Supplicant) Authenticator EAPOL thiết kế trước tiên cho Ethernet mở rộng phù hợp cho chuẩn mạng khác Hình mơ tả định dạng khung EAPOL Ethernet MAC Header Protocol Version Packet Type Paket Body Length Packet Body Hình Định dạng khung EAPOL Có năm loại thơng điệp EAPOL sau: - EAP-Packet (0): chứa đựng khung EAP định dạng - EAP-Start (1): Một máy trạm (Supplicant) gửi khung EAP-Start thay chờ đợi thách thức từ Authenticator (EAP-Packet [EAP-Identity/Resquest]) - EAP-Logoff (2): Dùng để trả trạng thái cổng không phép truy cập máy trạm kết thúc sử dụng mạng - EAP-Key (3): Dùng trao đổi thơng tin khóa bảo mật - EAP-Encapsulatated-ASF-Alert (4): Cung cấp phương pháp cho phép ASF (Alert Standards Forum) ý chuyển tiếp qua cổng mà trạng thái khơng phép truy cập Sự trao đổi thông điệp 802.1X Chuẩn 802.1X gồm ba thực thể tham gia hoạt động hệ thống mạng: máy trạm (Client/ Supplicant), Authenticator máy chủ chứng thực (Authentication Server) Các thông điệp trao đổi với số ba thực thể Chuẩn 802.1X sử dụng EAP cụ thể EAPOL trao đổi thơng điệp Supplicant Authenticator, Authenticator Authentication Server sử dụng giao thức RADIUS định dạng EAP RADIUS Có thể tham khảo thêm tài liệu EAP over RADIUS Số 10, tháng 9/2013 Khoa học Công nghệ Hình mơ tả đặc tính trao đổi thơng điệp EAPOL/802.1X EAPoL RADIUS Authenticator Supplicant Authentiction Server Bước 1: EAPoL-Start Bước 2: EAP-Request/Identity Bước 3a: EAP-Response/Identity Bước 3b: RADIUS-Access-Resquest Bước 4a: RADIUS-Access-Challenge Bước 2: EAP-Request Bước 5a: EAP-Response Bước 5b: RADIUS-Access-Resquest Bước 6a: RADIUS-Access-Accept Bước 6b: EAP-Success Bước 7: Exchange Cho phép truy cập trao đổi liệu Bước 8: EAPoL-Logoff Cấm truy cập Hình Trao đổi thơng điệp EAPOL/802.1X Mơ tả trình hoạt động 802.1X sau: - Bước 1: Authenticator gửi thông điệp nhận dạng EAP-Request đến Supplicant để hỏi nhận dạng Supplicant Supplicant bắt đầu q trình yêu cầu cách gửi thông điệp EAPOL-Start - Bước 2: Nếu Supplicant gửi thông điệp EAPStart, Authenticator yêu cầu nhận dạng Supplicant cách gửi thông điệp EAP-Request/ Identity - Bước 3: Trong hồi đáp lại, máy trạm gửi thơng tin khung EAP-Response/Identity Authenticator giải mã thông tin từ khung EAPOL chuyển thông tin EAP khung đến máy chủ chứng thực giao thức RADIUS RADIUSAccess- Request - Bước 4: Máy chủ RADIUS thương lượng với Supplicant cách gửi RADIUS-Access-Challenge đến Authenticator, Authenticator đóng gói thơng tin EAP khung EAPOL chuyển đến Supplicant EAP-Request - Bước 5: Sự hồi đáp EAP-Request, Supplicant gửi lại EAP-Response đến Authenticator, Authenticator giải mã thông tin EAP gửi đến máy chủ chứng thực RADIUS-AccessResquest - Bước 6: Có vài trao đổi EAP-Response/ RADIUS-Access-Request RADIUSAccess-Challenge/ EAP-Request trước kết thúc máy chủ RADIUS gửi RADIUS-AccessAccept có nghĩa người dùng chứng thực Khi hồi đáp nhận Authenticator, Authenticator giải mã thông tin EAP gửi đến Supplicant EAP-Success Tại đây, cổng phép truy cập Supplicant phép giao tiếp - Bước 7: Tại thời điểm này, Supplicant bắt đầu trao đổi liệu - Bước 8: Sau trao đổi liệu kết thúc Supplicant ngừng làm việc cổng truy cập, gửi EAP-Logoff đến Authenticator để thơng báo ngừng làm việc cổng trả lại trạng thái cấm trạng thái không phép truy cập Số 10, tháng 9/2013 Khoa học Công nghệ Các loại EAP Phần trước giải thích khung EAP-Resquest/ Response có trường gọi Type Trường có nhiều giá trị khác nhau, giúp việc định phương pháp chứng thực EAP sử dụng sau thương lượng Supplicant máy chủ chứng thực Có số loại chứng thực EAP khác sử dụng như: - EAP- MD5: Thách thức EAP- MD5 (Message Digest) loại chứng thực EAP định nghĩa RFC 3748 Nó đưa phương pháp bảo mật kém, khơng khuyến khích sử dụng cho phép mật người dùng dễ bị phát hiện, MD5 dùng thuật tốn băm (Hash) bảo mật dùng phương pháp công Dictionary attack Trong loại chứng thực EAP này, có chứng thực chiều; khơng có chứng thực lẫn EAP yêu cầu EAP máy chủ Bởi cung cấp chứng thực bên EAP yêu cầu đến EAP máy chủ không cung cấp chứng thực máy chủ EAP, phương pháp chứng thực EAP dễ bị công theo phương pháp công man-in-the-middle - EAP: LEAP (Lightweight Extensible Authentication Protocol) loại chứng thực EAP phát triển Cisco System LEAP sử dụng mạng WLAN Cisco Giao thức phân phối qua Cisco Certified Extension (CCX) phần thiết lập 802.1X gia tăng bảo mật cho phương pháp bảo mật WEP (Wire Equivalent Privacy) mạng Wireless LEAP mã hóa liệu truyền dùng phương pháp phát sinh động khóa bảo mật WEP hỗ trợ chứng thực lẫn Mặc dù LEAP hỗ trợ chứng thực tương tác lẫn nhau, thông tin người dùng dễ dàng bị lấy cắp Do để gia tăng khả bảo mật cho LEAP, thiết lập mật phức tạp cho người dùng - PEAP: PEAP (Protected Extensible Authentication Protocol) tham gia phát triển Cisco System, Microsoft, RSA Security Phương pháp chứng thực EAP cho phép vận chuyển an toàn liệu chứng thực, phương pháp cung cấp bảo mật tốt Đây phương pháp phức tạp tạo đường riêng biệt máy trạm PEAP máy chủ chứng thực.Trong PEAP, bên máy chủ tạo chứng nhận PKI (Public Key Infrastructure) yêu cầu tạo đường bảo mật riêng TLS (Transport Layer Security) để bảo vệ chứng thực người dùng Sự yêu cầu thực bên máy chủ tạo chứng nhận làm đơn giản hóa việc hoạt động quản trị bảo mật mạng LAN/WLAN - EAP-TLS: EAP-TLS (Transport Layer Security) định nghĩa RFC 5216 Trong đó, TLS giao thức mã hóa, cung cấp bảo mật tầng TCP giao thức tầng cao (HTTP, SMTP, NNTP) vận chuyển kênh bảo mật Bảo mật đưa giao thức TLS phương pháp mạnh cung cấp dựa việc cấp chứng nhận chứng thực tương tác lẫn Nó sử dụng PKI để bảo mật giao tiếp đến máy chủ chứng thực Trái ngược với PEAP, EAP-TLS có nhiều khó khăn việc quản trị yêu cầu tạo chứng nhận bên máy trạm với tạo chứng nhận bên máy chủ để thực chứng thực Lý EAP-TLS xem loại bảo mật chứng thực EAP tốt nhất, mà chí mật bị lấy cắp, khơng đủ phá vỡ cấu trúc EAP-TLS chạy hệ thống, hacker cần có khóa riêng máy trạm Bảo mật cung cấp EAP-TLS làm gia tăng việc bảo mật có thẻ thơng minh thẻ thơng minh có khóa bảo mật riêng biệt - EAP-FAST: EAP-FAST (Flexible Authentication via Security Tunneling) định nghĩa RFC 4851 phát triển Cisco System Giao thức thiết kế cho bảo mật yếu LEAP việc triển khai thực mức độ an toàn thấp Thay sử dụng nhận dạng, chứng thực tương tác lẫn dùng phương pháp PAC (Protected Access Credential) Một tập tin PAC phát sinh người dùng, mà quản lý động máy chủ chứng thực EAP-FAST sử dụng PAC để thiết lập kênh truyền TLS riêng, máy trạm kiểm tra độ tin cậy PAC cung cấp tập tin đến máy trạm thao tác thủ công hay tự động Sự cung cấp thủ công phân phát đến máy trạm đĩa cứng phương pháp phân phối bảo mật mạng Sự cung cấp tự động phân phối theo nhóm EAP-FAST có ba bước thực hiện: - Giai đoạn 0: Giai đoạn tùy chọn PAC cung cấp thủ cơng hay tự động Số 10, tháng 9/2013 10 Khoa học Công nghệ - Giai đoạn 1: Trong giai đoạn này, máy trạm máy chủ chứng thực sử dụng PAC để thiết lập kết nối kênh truyền TLS riêng - Giai đoạn 2: Trong giai đoạn này, thông tin máy trạm trao đổi bên kênh truyền mã hóa EAP-FAST khơng sử dụng tập tin PAC mà sử dụng dựa nhận dạng chứng thực tương tác lẫn TLS Kết luận 6.1 So sánh loại chứng thực EAP Bảng so sánh thể đặc điểm loại chứng thực EAP trình bày viết Bảng so sánh loại chứng thực EAP Các thuộc tính chứng thực Yêu cầu nhận dạng máy trạm MD5 Chứng thực chiều Không LEAP Chứng thực lẫn Không PEAP Chứng thực lẫn Không Yêu cầu nhận dạng máy chủ Không Khơng Có Sự khó khăn việc triển khai Dễ dàng Mức độ vừa phải Mức độ vừa phải Kém Tốt (nhưng đặt mật phải phức tạp) Tốt Tính bảo mật FAST TLS Chứng Chứng thực lẫn thực lẫn nhau Khơng, Có có tập tin PAC Khơng, Có có tập tin PAC Mức độ Khó khăn (Cần vừa phải yêu cầu việc triển khai nhận dạng máy trạm ) Tốt Tốt 6.2 Kết luận Chuẩn 802.1.X thiết kế nguyên cho việc triển khai mạng có dây hay mạng LAN Ngày nay, chuẩn 802.1.X trở nên thông dụng quan trọng không tăng cường bảo mật cho mạng LAN mà sử dụng rộng rãi cho việc triển khai mạng Wireless (802.11) yêu cầu bảo mật tốt cho mạng Wireless Bảo mật yêu cầu suốt trình hoạt động hệ thống mạng, nhiều nhà sản xuất thiết bị mạng bắt đầu sử dụng hỗ trợ chuẩn 802.1X sản phẩm họ Những người thiết kế quản trị mạng cần biết tiêu chuẩn triển khai thực tế đồng thời qua viết, tác giả mong muốn mang đến cho độc giả hiểu biết hoạt động chuẩn 802.1X loại phương pháp chứng thực EAP khác làm việc để làm gia tăng mức độ bảo mật cho toàn hệ thống mạng Tài liệu tham khảo Arunesh Mishra and William A Arbaugh 2002 An Initial SecurityAnalysis of the IEEE 802.1X Standard http://www.cs.umd edu/~waa/1x.pdf IEEE Standard 802.1x-2001 – Standard for Port based Network Access Control Vivek Santuka, Premdeep Banga, Brandon J Carroll 2011 AAA Identity Management Security Cisco Press Yusuf Bhaiji – CCIE 2008 CCIE Professional Development Series Network Security Technologies and Solutions Cisco Press Số 10, tháng 9/2013 10 ... triển khai mạng Wireless (802.11) yêu cầu bảo mật tốt cho mạng Wireless Bảo mật yêu cầu suốt trình hoạt động hệ thống mạng, nhiều nhà sản xuất thiết bị mạng bắt đầu sử dụng hỗ trợ chuẩn 802.1X sản... LEAP sử dụng mạng WLAN Cisco Giao thức phân phối qua Cisco Certified Extension (CCX) phần thiết lập 802.1X gia tăng bảo mật cho phương pháp bảo mật WEP (Wire Equivalent Privacy) mạng Wireless... TLS giao thức mã hóa, cung cấp bảo mật tầng TCP giao thức tầng cao (HTTP, SMTP, NNTP) vận chuyển kênh bảo mật Bảo mật đưa giao thức TLS phương pháp mạnh cung cấp dựa việc cấp chứng nhận chứng