ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ NHƯ LONG GIAO THỨC BẢO MẬT H.235 SỬ DỤNG TRONG HỆ THỐNG VOIP LUẬN VĂN THẠC SỸ Hà Nội 2011 ĐẠI HỌC QUỐC GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ ĐỖ NHƯ LONG GIAO THỨC BẢO MẬT H.235 SỬ DỤNG TRONG HỆ THỐNG VOIP Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SỸ Người hướng dẫn: PGS.TS Nguyễn Văn Tam Hà Nội 2011 MỤC LỤC MỞ ĐẦU CHƢƠNG I TỔNG QUAN VOIP 1.1 Giới thiệu VoIP 1.2 Cấu hình chuẩn VoIP 1.3 Mơ hình kết nối VoIP 1.4 Đặc điểm điện thoại VoIP 1.5 Các ứng dụng VoIP 1.6 Các nguy công vào hệ thống VoIP 1.6.1 DoS 1.6.2 Call Hijacking and Interception 1.6.3 Man-in-the-middle 1.6.4 Tấn công vào lỗ hổng mạng môi trƣờng 10 1.6.4.1 DNS(Domain name system) 10 1.6.4.2 ARP 10 1.6.5 Spam VoIP 12 1.7 Một số công nghệ bảo mật sử dụng VoIP 12 1.7.1 Mã hóa đối xứng 12 1.7.2 Mã hóa bất đối xứng 13 1.7.3 Chứng điện tử 14 1.7.3.1 Chữ ký điện tử 14 1.7.3.2 Chứng điện tử 16 1.7.4 Một số thuật toán tiếng 17 1.7.4.1 Thuật tốn mã hóa đối xứng AES 17 1.7.4.2 Thuật tốn mã hóa bất đối xứng Diffie-Hellman22 1.7.5 Hàm Hash 24 CHƢƠNG BẢO MẬT H.235 26 2.1 Giao thức báo hiệu gọi H323 26 2.1.1 Giới thiệu 26 2.1.2 Các thành phần hệ thống H.323 26 2.1.3 Các thành phần giao thức H.323 29 2.1.4 Các thủ tục báo hiệu mạng H.323 31 2.2 Bảo mật H.235 34 2.2.1 Giới thiệu 34 2.2.2 Giới thiệu hệ thống sử dụng H.235 34 2.2.2.1 Authentication 34 2.2.2.2 Call establishment security 35 2.2.2.3 Call control security 35 2.2.2.4 Media stream privacy 36 2.2.2.5 Trust Elements 36 2.2.3 Các thủ tục bảo mật gọi sử dụng H.235 37 2.2.3.1 Thủ tục thiết lập kết nối 37 2.2.3.2 Thủ tục báo hiệu H.245 40 2.2.3.3 Thủ tục kết nối đa điểm 42 2.2.3.4 Thủ tục mã hóa luồng liệu kênh truyền thông 42 2.2.4 Các thủ tục xác thực gọi sử dụng H.235 49 2.2.4.1 Cơ chế xác thực Baseline security profile 49 2.2.4.2 Cơ chế xác thực Signature security profile 54 CHƢƠNG THỰC NGHIỆM 58 3.1 Giới thiệu phần mềm Xcall 58 3.1.1 Tổng quan hệ thống 58 3.1.2 Thiết kế chƣơng trình 58 3.1.3 Class Diagram 59 3.1.4 Giao diện chƣơng trình 60 3.2 Giới thiệu chƣơng trình Wireshark 61 3.3 Khảo sát gọi VoIP thực tế 62 3.3.1 Đối với gọi không sử dụng giao thức bảo mật H.235 62 3.3.2 Trƣờng hợp sử dụng H.235 63 KẾT LUẬN BẢNG KÝ HIỆU CÁC CHỨ VIẾT TẮT Triple DES 3DES A AES Advanced Encryption Standard ASN.1 ATM Abstract Syntax Notation Number Asynchronous Transfer Mode C Certificate authority Cipher Block Chaining CA CBC D Data Encryption Standard DES DoS DH Denial-of-Service Diffie Hellman E EP End Point EOFB ETSI Enhanced OFB mode European Telecommunications Standards Institute G GateKeeper GK H Hashed MAC HMAC I Internet Protocol Internet Protocol Secutiry Internet Service Provider IP IPSEC ISP ITSP ITU Internet Telephony Service Provider International Telecommunication Union L Local Area Network LAN M MAC MCU MD5 Medium Access Control Multipoint control unit Message Digest N National Institude of Standards and Technology NIST P Public Switched Telephone Network PSTN Q Quality of Service QoS R RAS Remote Access Services RC4 RC5 Rivest Cipher Rivest Cipher RFC Request For Comment RSA RTP Rivest,Shamir and Adleman Real Time Transport Protocol RTP Control Protocol RTCP S Secure Hash Algorithm SHA T Transmission Control Protocol TCP TLS Transport Layer Security U User Datagram Protocol UDP V Voice over IP VoIP W WAN Wide Area Network DANH MỤC BẢNG Bảng 1.1 ARP cache A 11 Bảng 1.2 Các tham số AES 19 Bảng 1.3 S-Box 20 Bảng 2.1 OID anti-spamming 48 Bảng 2.2 Baseline security profile 49 Bảng 2.3 Signature security profile 54 DANH MỤC HÌNH VẼ Hình 1.1 Mạng chuyển mạch kênh Hình 1.2 Mạng chuyển mạch gói Hình 1.3 Cấu hình VoIP Hình 1.4 Mơ hình kết nối VoIP Hình 1.5 Tấn công từ chối dịch vụ phân tán Hình 1.6 Tấn công từ chối dịch vụ nội Hình 1.7 ARP Spoofing 10 Hình 1.8 ARP redirection 11 Hình 1.9 Mã hóa đối xứng 12 Hình 1.0 Mã hóa bất đối xứng 14 Hình 1.11 Khóa riêng ký toàn văn 15 Hình 1.12 Khóa riêng ký vào hàm Hash 15 Hình 1.13 Dùng khóa cơng khai để bên nhận mã hóa thơng báo 15 Hình 1.14 Q trình mã hóa giải mã AES 18 Hình 1.15 SubBytes 19 Hình 1.16 ShiftRows 20 Hình 1.17 MixColumns 21 Hình 1.18 AddRoundKey 22 Hình 1.19 Mơ hình Diffie Hellman 23 Hình 1.20 Hoạt động hàm băm 24 Hình 1.21 Hàm băm HMAC-SHA1 25 Hình 2.1 Các thành phần H.323 26 Hình 2.2 Cấu trúc đầu cuối H.323 27 Hình 2.3 Kết nối điểm cuối H.323 điểm cuối khơng phải H.323 28 Hình 2.4 Kiến trúc phân tầng H.323 30 Hình 2.5 Cuộc gọi H.323 31 Hình 2.6 Thiết lập gọi H.323 32 Hình 2.7 Thủ tục H.235 37 Hình 2.8 Thành phần ClearToken 39 Hình 2.9 Trường EncytionSync 42 Hình 2.10 Mã hóa luồng liệu 43 Hình 2.11 Giải mã luồng liệu 43 Hình 2.12 Cập nhật khóa 44 Hình 2.13 Mã hóa CBC 45 Hình 2.14 Giải mã CBC 45 Hình 2.15 Kĩ thuật Ciphertext Stealing 46 Hình 2.16 Định dạng gói RTP dành cho anti spamming 47 Hình 2.17 Quá trình tính tốn xác thực bên gửi 51 Hình 2.18 Quá trình xác thực bên nhận 53 Hình 2.19 Q trình tính tốn giá trị xác thực bên gửi, sử dụng chữ ký điện tử 55 Hình 2.20 Quá trình xác thực bên nhận 57 Hình 3.1 Tổng quan hệ thống 58 Hình 3.2 Tương tác module 58 Hình 3.3 Class Diagram 59 Hình 3.4 Biểu đồ sequence huỷ gọi 60 Hình 3.5 Giao diện chương trình Xcall 60 Hình 3.6 Chương trình Wireshark 61 Hình 3.7 Bản tin Setup 62 Hình 3.8 Giải nén gói tin RTP 63 Hình 3.9 Bản tin Setup H.235 63 Hình 3.10 Bản tin Connect H.235 64 Hình 3.11 Bản OpenLogicalChannel H.235 64 Hình 3.12 Giải nén gói tin RTP H.235 65 CHƢƠNG TỔNG QUAN VOIP 1 Giới thiệu VoIP [1], [12], [16] Định nghĩa VOIP: VoIP (viết tắt Voice over Internet Protocol, nghĩa Truyền giọng nói giao thức IP) cơng nghệ truyền tiếng nói người (thoại) qua mạng thơng tin sử dụng giao thức TCP/IP Nó sử dụng gói liệu IP (trên mạng LAN, WAN, Internet) với thông tin truyền tải mã hoá âm – Theo wikipedia Các hệ thống VoIP ngày sử dụng giao thức báo hiệu chủ yếu H323 SIP Trong phạm vi nghiên cứu luận văn đề cập tới giao thức báo hiệu H323 H.323 chuẩn quốc tế hội thoại mạng đưa hiệp hội viễn thông quốc tế ITU (International Telecommunication Union) Nó qui định thành phần, giao thức sử dụng, thủ tục cho phép truyền liệu đa phương tiện (âm thanh, hình ảnh) số liệu thời gian thực thông qua mạng IP mà không quan tâm tới chất lượng dịch vụ (QoS) Các đầu cuối hãng khác giao tiếp với đầu cuối tuân theo chuẩn H.323 SIP (Session Initiation Protocol) Giao thức Khởi tạo Phiên: giao thức tín hiệu điện thoại IP dùng để thiết lập, sửa đổi kết thúc gọi điện thoại VOIP SIP phát triển IETF(Internet Engineering Task Force- lực lượng chuyên trách kỹ thuật liên mạng) Một ví dụ chương trình VoIP miễn phí thơng dụng cho phép người sử dụng nói chuyện với qua Internet PC chức Voice Chat phần mềm Yahoo Messenger Trong dịch vụ VoIP có tham gia loại đối tượng cung cấp dịch vụ sau: - Đơn vị cung cấp Internet ISP - Đơn vị cung cấp dịch vụ điện thoại Internet ITSP - Đơn vị cung cấp dịch vụ mạng chuyển mạch kênh Người sử dụng đầu cuối muốn sử dụng dịch vụ điện thoại IP, họ phải sử dụng kết hợp mạng Internet chương trình ứng dụng cho điện thoại IP Các đơn vị cung cấp dịch vụ Internet cung cấp việc sử dụng Internet cho khách hàng họ đơn vị cung cấp dịch vụ điện thoại ITSP cung cấp dịch vụ điện thoại IP cho khách hàng cách sử dụng chương trình ứng dụng dùng cho điện thoại IP Chỉ có dịch vụ truy cập Internet cung cấp đơn vị ISP chưa đầy đủ để cung cấp dịch vụ điện thoại IP Người sử dụng đầu cuối phải đăng nhập vào đơn vị cung cấp dịch vụ điện thoại IP sử dụng điện thoại IP Việc liên lạc thông qua dịch vụ điện thoại IP không thực người sử dụng truy nhập vào mạng Internet Để phục vụ cho việc đàm thoại người sử dụng máy tính đầu cuối mạng Internet, công ty phần mềm cung cấp trương trình ứng dụng dùng cho điện thoại IP thực vai trò ITSP Đối với người sử dụng mạng chuyển mạch kênh, họ truy nhập vào ISP ITSP thông qua điểm truy nhập mạng chuyển mạch kênh +CreateConnection() Hình 3.3 Class Diagram 60 Hình 3.4 Biểu đồ sequence huỷ gọi 3.1.4 Giao diện chƣơng trình Hình 3.5 Giao diện chương trình Xcall 61 3.2 Giới thiệu chƣơng trình Wireshark Wireshark chương trình bắt gói tin mạng Nó cố gắng bắt tất gói tin hiển thị thơng tin chi tiết Mục đích việc sử dụng Wireshark là: - Quản trị mạng: kiểm tra lỗi mạng - Bảo mật hệ thống: kiểm tra lỗi bảo mật - Phát triển hệ thống: gỡ rối hoạt động giao thức - Các đối tượng khác: học giao thức nội mạng Hình 3.6 Chương trình Wireshark Wireshark có số ưu điểm sau: - Có thể chạy hệ thống UNIX Windows - Bắt tin trực tuyến card mạng - Hiện gói tin với thơng tin giao thức - Có thể mở lưu lại liệu bắt - Import and Export gói tin từ nhiều chương trình khác - Lọc gói tin với nhiều tiêu chí khác - Tìm kiếm gói tin với nhiều tiêu chí - Hiển thị gói tin với màu bật dựa lọc - Tạo nhiều thống kê 62 3.3 Khảo sát gọi VoIP thực tế Cuộc gọi tiến hành thực tế gọi mạng LAN PC sử dụng phần mềm Xcall hỗ trợ G711 gọi trực tiếp cho Phần mềm wireshark chạy máy bị gọi bắt tin trao đổi máy 3.3.1 Đối với gọi không sử dụng giao thức bảo mật H.235 Hai máy trao đổi tin H.225 mà không kèm theo trường Token chứa khóa Hình 3.7 Bản tin Setup Sau trao đổi xong tin điều khiển mở kênh truyền thơng, gói tin RTP mang thông tin thoại truyền PC Wireshark bắt gói tin có khả giải nén nghe lại Như vậy, không sử dụng H.235, thông tin truyền không mã hóa bị nghe 63 Hình 3.8 Giải nén gói tin RTP 3.3.2 Trƣờng hợp sử dụng H.235 Máy gọi gửi cho máy nhận tin Setup có thơng số DH trường token Hình 3.9 Bản tin Setup H.235 64 Máy bị gọi nhận tin Setup chọn thông số DH phù hợp gửi lại cho bên gọi Hình 3.10 Bản tin Connect H.235 3.Hai bên sau trao đổi tin H.245 thơng số audio, video CODEC, master/slave Sau đó, điểm cuối master gửi tin mở kênh có kèm theo khóa phiên ( mã hóa khóa chung DH) trường encrytionSync Hình 3.11 Bản OpenLogicalChannel H.235 Sau mở kênh thoại, gói tin sau mã hóa khóa thuật tốn trao đổi trước Khi Wireshark bắt tin trao đổi PC Tuy nhiên giải nén gói tin RTP nhận tín hiệu vơ nghĩa 65 Hình 3.12 Giải nén gói tin RTP H.235 66 KẾT LUẬN Những kết luận văn đạt đƣợc Luận văn tìm hiểu tổng quan VoIP Kiến trúc, cấu trúc kết nối, ưu nhược điểm hệ thống VoIP Tìm hiểu số nguy cơng vào mạng VoIP, cơng nghệ thuật tốn bảo mật sử dụng mạng VoIP Tìm hiểu giao thức báo hiệu H.323, bước thiết lập gọi sử dụng giao thức báo hiệu H.323 Đặc biệt nghiên cứu kỹ giao thức bảo mật H.235 sử dụng giao thức báo hiệu H.323 cho hệ thống VoIP Xây dựng phần mềm VoIP Xcall dựa mã nguồn mở OpenH323 Phần mềm Xcall có hỗ trợ giao thức bảo mật H.235 sử dụng giao thức báo hiệu H.323 Phƣơng hƣớng nghiên cứu Nghiên cứu cải tiến phần mềm Xcall để có chất lượng thoại tốt Có thể cài đặt môi trường Internet, hội nghị đa điểm Nghiên cứu giao thức báo hiệu khác VoIP SIP hỗ trợ bảo mật áp dụng cho giao thức báo hiệu Tuy cố gắng trình nghiên cứu thực đề tài thời gian kiến thức hạn chế, luận văn khơng tránh khỏi sai xót Một lần cho phép xin gửi lời cảm ơn chân thành tới PGS.TS Nguyễn Văn Tam, thầy cô giáo khoa Công nghệ thông tin trường Đại học Công nghệ - Đại học Quốc gia Hà Nội, bạn bè đồng nghiệp tận tình giúp đỡ động viên tơi để tơi hồn thành luận văn TÀI LIỆU THAM KHẢO Tiếng Việt Ths Nguyễn Trọng Minh (2010), Giáo trình Kỹ thuật chuyển mạch 1, Trường Học viện Cơng nghệ bưu viễn thơng, tr.10-40 TS Nguyễn Đại Thọ(2007), Bài giảng mơn học An tồn mạng, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội Tiếng Anh IETF(1996), RFC 1889 A Transport Protocol for Real-Time Applications(RTP), Lawrence Berkeley National Laboratory, Internet Engineering Task Force - IETF, pp.1039 IETF(2002), RFC 3280 - Internet X.509 Public Key Infrastructure, Certificate and Certificate Revocation List (CRL) Profile, Internet Engineering Task Force - IETF, pp.2446, 50-53 ITU-T (2009), Recommendation H.225.0, Call signalling protocols and media stream packetization for packet-based multimedia communication systems, International Telecommunication Union, pp.8-47 ITU-T(2000), Recommendation H.235 - Security and encryption for H-series (H.323 and other H.245-based) multimedia terminals, International Telecommunication Union,pp.5-21, 32-45, 48-73 ITU-T(2005), Recommendation H235.0 - H.323 security: Framework for security in H-series (H.323 and other H.245-based) multimedia systems, International Telecommunication Union, pp.9-24 ITU-T(2005), Recommendation H235.1 – H323 security : Baseline security profile, International Telecommunication Union, pp.5-17 ITU-T(2005), Recommendation H235.2 – H323 security : Signature security profile, International Telecommunication Union, pp.7-19 10 ITU-T(2009), Reconmendation H.323 Visual telephone systems and equipment for local area networks which provide a non-guaranteend quality of service, International Telecommunication Union, pp.14-47, 51-70, 81-129, 11 ITU-T(2009), Recommendation H.245 Control protocol for multimedia communication, International Telecommunication Union, pp.8-10, 79-122 12 P Mehta and S Udani(2001), “Overview of Voice over IP”, Technical Report MSCIS-01-31, Department of Computer Information Science, University of Pennsylvania, pp.5-8, 26-28 13 NIST(2001), Advanced Encryption Standard, National Institute of Standards and Technology, Information Technology Laboratory (ITL), pp.7-23 14 E.Rescola(1999), RFC 2631 Diffie-Hellman Key Agreement Method, Network Working Group, ITEF, pp.2-13 15 D Richard Kuhn, Thomas J Walsh, Steffen Fries (2005), Security Considerations for Voice Over IP Systems, National Institute of Standards and Technology(NIST), pp.19-37, 52-68 16 Rosemary Lewis (2003), Operational benefit of implementing VoIP in a tactical enviroment, Naval Postgraduate School, Monterey California, pp.15-18 17 Thomas Porter(2006), Practical VoIP Security, Syngress Publishing, Inc, Canada, pp.123-143, 239-261 18 William Stallings(2005), Cryptography and Network Security Principles and Practices- Fourth Edition, Prentice Hall, pp.28-35, 62-90, 134-165, 289-313, 334-344, 377-393, Phụ lục Cấu trúc H.235 ASN.1 ... hash thơng điệp trước sau gửi xem có bị thay đổi hay khơng • Tạo chìa khóa từ mật • Tạo chữ kí điện tử 25 SHA-1 MD5 hai h? ?m hash thông dụng sử dụng nhiều h? ?? thống bảo mật Trong bảo mật H. 235 sử. .. nghệ bảo mật vào h? ?? thống VoIP quan trọng để chống lại nguy công nêu phần Phần em xin giới thiệu số công nghệ bảo mật thuật toán bảo mật sử dụng cho h? ?? thống VoIP 1.7.1 Mã h? ?a đối xứng Mã h? ?a... Chứng nhận điện tử sử dụng để thiết lập kênh bảo mật (Báo hiệu gọi, điều khiển gọi) phải thích h? ??p với điều quy định giao thức thống bảo mật kênh truyền Chú ý sử dụng khóa cơng khai chứng nhận điện