ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐỖ NHƯ LONG GIAO THỨC BẢO MẬT H.235 SỬ DỤNG TRONG HỆ THỐNG VOIP LUẬN VĂN THẠC SỸ Hà Nội 2011 ĐẠI HỌC QUỐC GIA HÀ NỘI ĐẠI HỌC CÔNG NGHỆ ĐỖ NHƯ LONG GIAO THỨC BẢO MẬT H.235 SỬ DỤNG TRONG HỆ THỐNG VOIP Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SỸ Người hướng dẫn: PGS.TS Nguyễn Văn Tam Hà Nội 2011 MỤC LỤC MỞ ĐẦU CHƢƠNG I TỔNG QUAN VOIP 1.1 Giới thiệu VoIP 1.2 Cấu hình chuẩn VoIP 1.3 Mơ hình kết nối VoIP 1.4 Đặc điểm điện thoại VoIP 1.5 Các ứng dụng VoIP 1.6 Các nguy công vào hệ thống VoIP 1.6.1 DoS 1.6.2 Call Hijacking and Interception 1.6.3 Man-in-the-middle 1.6.4 Tấn công vào lỗ hổng mạng môi trƣờng .10 1.6.4.1 DNS(Domain name system) 10 1.6.4.2 ARP 10 1.6.5 Spam VoIP 12 1.7 Một số công nghệ bảo mật sử dụng VoIP .12 1.7.1 Mã hóa đối xứng .12 1.7.2 Mã hóa bất đối xứng .13 1.7.3 Chứng điện tử 14 1.7.3.1 Chữ ký điện tử 14 1.7.3.2 Chứng điện tử .16 1.7.4 Một số thuật toán tiếng .17 1.7.4.1 Thuật tốn mã hóa đối xứng AES 17 1.7.4.2 Thuật tốn mã hóa bất đối xứng Diffie-Hellman .22 1.7.5 Hàm Hash .24 CHƢƠNG BẢO MẬT H.235 26 2.1 Giao thức báo hiệu gọi H323 26 2.1.1 Giới thiệu 26 2.1.2 Các thành phần hệ thống H.323 .26 2.1.3 Các thành phần giao thức H.323 29 2.1.4 Các thủ tục báo hiệu mạng H.323 31 2.2 Bảo mật H.235 34 2.2.1 Giới thiệu 34 2.2.2 Giới thiệu hệ thống sử dụng H.235 34 2.2.2.1 Authentication 34 2.2.2.2 Call establishment security 35 2.2.2.3 Call control security 35 2.2.2.4 Media stream privacy .36 2.2.2.5 Trust Elements 36 2.2.3 Các thủ tục bảo mật gọi sử dụng H.235 37 2.2.3.1 Thủ tục thiết lập kết nối 37 2.2.3.2 Thủ tục báo hiệu H.245 .40 2.2.3.3 Thủ tục kết nối đa điểm 42 2.2.3.4 Thủ tục mã hóa luồng liệu kênh truyền thông 42 2.2.4 Các thủ tục xác thực gọi sử dụng H.235 49 2.2.4.1 Cơ chế xác thực Baseline security profile 49 2.2.4.2 Cơ chế xác thực Signature security profile 54 CHƢƠNG THỰC NGHIỆM .58 3.1 Giới thiệu phần mềm Xcall .58 3.1.1 Tổng quan hệ thống 58 3.1.2 Thiết kế chƣơng trình 58 3.1.3 Class Diagram 59 3.1.4 Giao diện chƣơng trình .60 3.2 Giới thiệu chƣơng trình Wireshark 61 3.3 Khảo sát gọi VoIP thực tế 62 3.3.1 Đối với gọi không sử dụng giao thức bảo mật H.235 62 3.3.2 Trƣờng hợp sử dụng H.235 .63 KẾT LUẬN BẢNG KÝ HIỆU CÁC CHỨ VIẾT TẮT 3DES Triple DES A AES Advanced Encryption Standard ASN.1 ATM Abstract Syntax Notation Number Asynchronous Transfer Mode C Certificate authority Cipher Block Chaining CA CBC D DES Data Encryption Standard DoS DH Denial-of-Service Diffie Hellman E EP End Point EOFB Enhanced OFB mode ETSI European Telecommunications Standards Institute G GK GateKeeper H HMAC Hashed MAC I IP IPSEC ISP Internet Protocol Internet Protocol Secutiry Internet Service Provider ITSP ITU Internet Telephony Service Provider International Telecommunication Union L LAN Local Area Network M MAC MCU MD5 Medium Access Control Multipoint control unit Message Digest N NIST National Institude of Standards and Technology P PSTN Public Switched Telephone Network Q QoS Quality of Service R RAS Remote Access Services RC4 RC5 RFC Rivest Cipher Rivest Cipher Request For Comment RSA RTP RTCP Rivest,Shamir and Adleman Real Time Transport Protocol RTP Control Protocol S SHA Secure Hash Algorithm T TCP TLS Transmission Control Protocol Transport Layer Security U UDP User Datagram Protocol V VoIP Voice over IP W WAN Wide Area Network DANH MỤC BẢNG Bảng 1.1 ARP cache A Bảng 1.2 Các tham số AES Bảng 1.3 S-Box Bảng 2.1 OID anti-spamming Bảng 2.2 Baseline security profile Bảng 2.3 Signature security profile 11 19 20 48 49 54 DANH MỤC HÌNH VẼ Hình 1.1 Mạng chuyển mạch kênh Hình 1.2 Mạng chuyển mạch gói Hình 1.3 Cấu hình VoIP Hình 1.4 Mơ hình kết nối VoIP Hình 1.5 Tấn cơng từ chối dịch vụ phân tán Hình 1.6 Tấn cơng từ chối dịch vụ nội Hình 1.7 ARP Spoofing Hình 1.8 ARP redirection Hình 1.9 Mã hóa đối xứng Hình 1.0 Mã hóa bất đối xứng Hình 1.11 Khóa riêng ký toàn văn Hình 1.12 Khóa riêng ký vào hàm Hash Hình 1.13 Dùng khóa cơng khai để bên nhận mã hóa thơng báo Hình 1.14 Q trình mã hóa giải mã AES Hình 1.15 SubBytes Hình 1.16 ShiftRows Hình 1.17 MixColumns Hình 1.18 AddRoundKey Hình 1.19 Mơ hình Diffie Hellman Hình 1.20 Hoạt động hàm băm Hình 1.21 Hàm băm HMAC-SHA1 Hình 2.1 Các thành phần H.323 Hình 2.2 Cấu trúc đầu cuối H.323 Hình 2.3 Kết nối điểm cuối H.323 điểm cuối khơng phải H.323 Hình 2.4 Kiến trúc phân tầng H.323 Hình 2.5 Cuộc gọi H.323 Hình 2.6 Thiết lập gọi H.323 Hình 2.7 Thủ tục H.235 Hình 2.8 Thành phần ClearToken Hình 2.9 Trường EncytionSync Hình 2.10 Mã hóa luồng liệu Hình 2.11 Giải mã luồng liệu Hình 2.12 Cập nhật khóa Hình 2.13 Mã hóa CBC Hình 2.14 Giải mã CBC Hình 2.15 Kĩ thuật Ciphertext Stealing Hình 2.16 Định dạng gói RTP dành cho anti spamming Hình 2.17 Q trình tính tốn xác thực bên gửi Hình 2.18 Quá trình xác thực bên nhận Hình 2.19 Q trình tính tốn giá trị xác thực bên gửi, sử dụng chữ ký điện tử Hình 2.20 Quá trình xác thực bên nhận Hình 3.1 Tổng quan hệ thống 10 11 12 14 15 15 15 18 19 20 21 22 23 24 25 26 27 28 30 31 32 37 39 42 43 43 44 45 45 46 47 51 53 55 57 58 Hình 3.2 Tương tác module Hình 3.3 Class Diagram Hình 3.4 Biểu đồ sequence huỷ gọi Hình 3.5 Giao diện chương trình Xcall Hình 3.6 Chương trình Wireshark Hình 3.7 Bản tin Setup Hình 3.8 Giải nén gói tin RTP Hình 3.9 Bản tin Setup H.235 Hình 3.10 Bản tin Connect H.235 Hình 3.11 Bản OpenLogicalChannel H.235 Hình 3.12 Giải nén gói tin RTP H.235 58 59 60 60 61 62 63 63 64 64 65 CHƢƠNG TỔNG QUAN VOIP 1 Giới thiệu VoIP [1], [12], [16] Định nghĩa VOIP: VoIP (viết tắt Voice over Internet Protocol, nghĩa Truyền giọng nói giao thức IP) cơng nghệ truyền tiếng nói người (thoại) qua mạng thông tin sử dụng giao thức TCP/IP Nó sử dụng gói liệu IP (trên mạng LAN, WAN, Internet) với thông tin truyền tải mã hoá âm – Theo wikipedia Các hệ thống VoIP ngày sử dụng giao thức báo hiệu chủ yếu H323 SIP Trong phạm vi nghiên cứu luận văn đề cập tới giao thức báo hiệu H323 H.323 chuẩn quốc tế hội thoại mạng đưa hiệp hội viễn thơng quốc tế ITU (International Telecommunication Union) Nó qui định thành phần, giao thức sử dụng, thủ tục cho phép truyền liệu đa phương tiện (âm thanh, hình ảnh) số liệu thời gian thực thông qua mạng IP mà không quan tâm tới chất lượng dịch vụ (QoS) Các đầu cuối hãng khác giao tiếp với đầu cuối tuân theo chuẩn H.323 SIP (Session Initiation Protocol) Giao thức Khởi tạo Phiên: giao thức tín hiệu điện thoại IP dùng để thiết lập, sửa đổi kết thúc gọi điện thoại VOIP SIP phát triển IETF(Internet Engineering Task Force- lực lượng chuyên trách kỹ thuật liên mạng) Một ví dụ chương trình VoIP miễn phí thơng dụng cho phép người sử dụng nói chuyện với qua Internet PC chức Voice Chat phần mềm Yahoo Messenger Trong dịch vụ VoIP có tham gia loại đối tượng cung cấp dịch vụ sau: - Đơn vị cung cấp Internet ISP - Đơn vị cung cấp dịch vụ điện thoại Internet ITSP - Đơn vị cung cấp dịch vụ mạng chuyển mạch kênh Người sử dụng đầu cuối muốn sử dụng dịch vụ điện thoại IP, họ phải sử dụng kết hợp mạng Internet chương trình ứng dụng cho điện thoại IP Các đơn vị cung cấp dịch vụ Internet cung cấp việc sử dụng Internet cho khách hàng họ đơn vị cung cấp dịch vụ điện thoại ITSP cung cấp dịch vụ điện thoại IP cho khách hàng cách sử dụng chương trình ứng dụng dùng cho điện thoại IP Chỉ có dịch vụ truy cập Internet cung cấp đơn vị ISP chưa đầy đủ để cung cấp dịch vụ điện thoại IP Người sử dụng đầu cuối phải đăng nhập vào đơn vị cung cấp dịch vụ điện thoại IP sử dụng điện thoại IP Việc liên lạc thông qua dịch vụ điện thoại IP không thực người sử dụng truy nhập vào mạng Internet Để phục vụ cho việc đàm thoại người sử dụng máy tính đầu cuối mạng Internet, công ty phần mềm cung cấp trương trình ứng dụng dùng cho điện thoại IP thực vai trò ITSP Đối với người sử dụng mạng chuyển mạch kênh, họ truy nhập vào ISP ITSP thông qua điểm truy nhập mạng chuyển mạch kênh 59 Chương trình bao gồm module tương tác với nhau: - XCall: module ứng dụng bao gồm giao diện phần mềm xử lý nghiệp vụ phần mềm, XCall giao tiếp với OpenH.323 thông qua đối tượng H323Endpoint - OpenH.323: module lõi hệ thống thực chức như: Quản lý gọi H.323, trao đổi khóa bảo mật sử dụng giao thức H.235, thu, phát, mã hóa giải mã tín hiệu âm Module bao gồm module như: Module thu tín hiệu âm (Recorder), module phát tín hiệu âm (Player), module mã hóa giải mã (Codecs) module thực chức vận chuyển tín hiệu đầu cuối (RTP) - Recorder: Giao tiếp với thiết bị microphone để thu tín hiệu âm chuyển cho khối mã hóa - Codecs: Thực chức mã hóa tín hiệu âm trước truyền giải mã sau nhận - Player: Phát âm loa 3.1.3 Class diagram H323EndPoint CDialog +OnAnswerCall() +MakeCall() +ClearCall() +AnsweringCall() XCallEndPoint CXCallDlg -m_pParent -m_bUsingH235 -m_pEndPoint +OnBnClickedBtcall() +OnBnClickedBtendcall() +OnBnClickedUseh235() +OnBnClickedButtonAnswer() +OnBnClickedButtonRefuse() +OnIpnFieldchangedDestaddr() +Initialize() +SetH235Flag() +isUsingH235() +OnAnswerCall() +OnConnectionEstablished() +OnConnectionCleared() +CreateConnection() Hình 3.3 Class Diagram 60 Hình 3.4 Biểu đồ sequence huỷ gọi 3.1.4 Giao diện chƣơng trình Hình 3.5 Giao diện chương trình Xcall 61 3.2 Giới thiệu chƣơng trình Wireshark Wireshark chương trình bắt gói tin mạng Nó cố gắng bắt tất gói tin hiển thị thơng tin chi tiết Mục đích việc sử dụng Wireshark là: - Quản trị mạng: kiểm tra lỗi mạng - Bảo mật hệ thống: kiểm tra lỗi bảo mật - Phát triển hệ thống: gỡ rối hoạt động giao thức - Các đối tượng khác: học giao thức nội mạng Hình 3.6 Chương trình Wireshark Wireshark có số ưu điểm sau: - Có thể chạy hệ thống UNIX Windows - Bắt tin trực tuyến card mạng - Hiện gói tin với thơng tin giao thức - Có thể mở lưu lại liệu bắt - Import and Export gói tin từ nhiều chương trình khác - Lọc gói tin với nhiều tiêu chí khác - Tìm kiếm gói tin với nhiều tiêu chí - Hiển thị gói tin với màu bật dựa lọc - Tạo nhiều thống kê 62 3.3 Khảo sát gọi VoIP thực tế Cuộc gọi tiến hành thực tế gọi mạng LAN PC sử dụng phần mềm Xcall hỗ trợ G711 gọi trực tiếp cho Phần mềm wireshark chạy máy bị gọi bắt tin trao đổi máy 3.3.1 Đối với gọi không sử dụng giao thức bảo mật H.235 Hai máy trao đổi tin H.225 mà khơng kèm theo trường Token chứa khóa Hình 3.7 Bản tin Setup Sau trao đổi xong tin điều khiển mở kênh truyền thơng, gói tin RTP mang thông tin thoại truyền PC Wireshark bắt gói tin có khả giải nén nghe lại Như vậy, không sử dụng H.235, thông tin truyền khơng mã hóa bị nghe 63 Hình 3.8 Giải nén gói tin RTP 3.3.2 Trƣờng hợp sử dụng H.235 Máy gọi gửi cho máy nhận tin Setup có thơng số DH trường token Hình 3.9 Bản tin Setup H.235 64 Máy bị gọi nhận tin Setup chọn thơng số DH phù hợp gửi lại cho bên gọi Hình 3.10 Bản tin Connect H.235 3.Hai bên sau trao đổi tin H.245 thông số audio, video CODEC, master/slave Sau đó, điểm cuối master gửi tin mở kênh có kèm theo khóa phiên ( mã hóa khóa chung DH) trường encrytionSync Hình 3.11 Bản OpenLogicalChannel H.235 Sau mở kênh thoại, gói tin sau mã hóa khóa thuật tốn trao đổi trước Khi Wireshark bắt tin trao đổi PC Tuy nhiên giải nén gói tin RTP nhận tín hiệu vơ nghĩa 65 Hình 3.12 Giải nén gói tin RTP H.235 66 KẾT LUẬN Những kết luận văn đạt đƣợc Luận văn tìm hiểu tổng quan VoIP Kiến trúc, cấu trúc kết nối, ưu nhược điểm hệ thống VoIP Tìm hiểu số nguy cơng vào mạng VoIP, cơng nghệ thuật tốn bảo mật sử dụng mạng VoIP Tìm hiểu giao thức báo hiệu H.323, bước thiết lập gọi sử dụng giao thức báo hiệu H.323 Đặc biệt nghiên cứu kỹ giao thức bảo mật H.235 sử dụng giao thức báo hiệu H.323 cho hệ thống VoIP Xây dựng phần mềm VoIP Xcall dựa mã nguồn mở OpenH323 Phần mềm Xcall có hỗ trợ giao thức bảo mật H.235 sử dụng giao thức báo hiệu H.323 Phƣơng hƣớng nghiên cứu Nghiên cứu cải tiến phần mềm Xcall để có chất lượng thoại tốt Có thể cài đặt mơi trường Internet, hội nghị đa điểm Nghiên cứu giao thức báo hiệu khác VoIP SIP hỗ trợ bảo mật áp dụng cho giao thức báo hiệu Tuy cố gắng trình nghiên cứu thực đề tài thời gian kiến thức hạn chế, luận văn tơi khơng tránh khỏi sai xót Một lần cho phép xin gửi lời cảm ơn chân thành tới PGS.TS Nguyễn Văn Tam, thầy cô giáo khoa Công nghệ thông tin trường Đại học Công nghệ - Đại học Quốc gia Hà Nội, bạn bè đồng nghiệp tận tình giúp đỡ động viên tơi để tơi hồn thành luận văn TÀI LIỆU THAM KHẢO Tiếng Việt Ths Nguyễn Trọng Minh (2010), Giáo trình Kỹ thuật chuyển mạch 1, Trường Học viện Cơng nghệ bưu viễn thơng, tr.10-40 TS Nguyễn Đại Thọ(2007), Bài giảng mơn học An tồn mạng, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội Tiếng Anh IETF(1996), RFC 1889 A Transport Protocol for Real-Time Applications(RTP), Lawrence Berkeley National Laboratory, Internet Engineering Task Force - IETF, pp.1039 IETF(2002), RFC 3280 - Internet X.509 Public Key Infrastructure, Certificate and Certificate Revocation List (CRL) Profile, Internet Engineering Task Force - IETF, pp.2446, 50-53 ITU-T (2009), Recommendation H.225.0, Call signalling protocols and media stream packetization for packet-based multimedia communication systems, International Telecommunication Union, pp.8-47 ITU-T(2000), Recommendation H.235 - Security and encryption for H-series (H.323 and other H.245-based) multimedia terminals, International Telecommunication Union,pp.5-21, 32-45, 48-73 ITU-T(2005), Recommendation H235.0 - H.323 security: Framework for security in Hseries (H.323 and other H.245-based) multimedia systems, International Telecommunication Union, pp.9-24 ITU-T(2005), Recommendation H235.1 – H323 security : Baseline security profile, International Telecommunication Union, pp.5-17 ITU-T(2005), Recommendation H235.2 – H323 security : Signature security profile, International Telecommunication Union, pp.7-19 10 ITU-T(2009), Reconmendation H.323 Visual telephone systems and equipment for local area networks which provide a non-guaranteend quality of service, International Telecommunication Union, pp.14-47, 51-70, 81-129, 11 ITU-T(2009), Recommendation H.245 Control protocol for multimedia communication, International Telecommunication Union, pp.8-10, 79-122 12 P Mehta and S Udani(2001), “Overview of Voice over IP”, Technical Report MSCIS-01-31, Department of Computer Information Science, University of Pennsylvania, pp.5-8, 26-28 13 NIST(2001), Advanced Encryption Standard, National Institute of Standards and Technology, Information Technology Laboratory (ITL), pp.7-23 14 E.Rescola(1999), RFC 2631 Diffie-Hellman Key Agreement Method, Network Working Group, ITEF, pp.2-13 15 D Richard Kuhn, Thomas J Walsh, Steffen Fries (2005), Security Considerations for Voice Over IP Systems, National Institute of Standards and Technology(NIST), pp.19-37, 52-68 16 Rosemary Lewis (2003), Operational benefit of implementing VoIP in a tactical enviroment, Naval Postgraduate School, Monterey California, pp.15-18 17 Thomas Porter(2006), Practical VoIP Security, Syngress Publishing, Inc, Canada, pp.123-143, 239-261 18 William Stallings(2005), Cryptography and Network Security Principles and Practices- Fourth Edition, Prentice Hall, pp.28-35, 62-90, 134-165, 289-313, 334-344, 377-393, Phụ lục Cấu trúc H.235 ASN.1 ... xứng sử dụng để mã hóa liệu, thuật toán bất đối xứng dùng để mã hóa chìa dùng để mã hóa liệu 1.7.3 Chứng điện tử Chứng điện tử kết hợp chữ ký điện tử (chữ ký số) thông tin chủ sở hữu thông tin quan... Internet Điện thoại VoIP ứng dụng cho người sử dụng máy tính người sử dụng điện thoại thơng thường quay vào gateway Mạng máy tính tích hợp phát triển bên cạnh mạng điện thoại Các mạng máy tính mạng điện. .. địi hỏi phải có vài thơng tin khác chứng nhận điện tử Ví dụ, chứng nhận điện tử thông thường bao gồm ID nhà cung cấp dịch vụ với biểu mẫu thông tin tài khoản người sử dụng quy định nhà cung cấp