Mở rộng xác thực đƣợc thực hiện giữa hai bên truyền thông (MN-FA, FA- HA, HA-MN). Các mở rộng xác thực đƣợc chèn vào trong thông điệp đăng ký giúp cho hai bên kiểm tra tính xác thực.
Có tất cả ba mở rộng xác thực đƣợc định nghĩa cho Mobile IP cơ bản, tất cả đều cho phép đƣa thêm vào cơ chế xác thực khác trong quá trình đăng ký:
- Mở rộng xác thực MN-HA. - Mở rộng xác thực MN-FA. - Mở rộng xác thực FA-HA.
Mỗi mở rộng bao gồm một SPI chỉ ra liên kết an ninh di động, liên kết an ninh này chứa các thông tin bí mật cần thiết để tính xác thực có trong mở rộng. Ngoài ra cần lƣu ý rằng chỉ có duy nhất một trƣờng mở rộng cho hai thực thể bất kỳ trong số MN, HA, FA.
Để xây dựng đƣợc các mở rộng xác thực này mỗi đối tƣợng: MN, FA, HA đƣợc yêu cầu có khả năng hỗ trợ một liên kết an ninh di động (mobility security association) đối với các thực thể di động, liên kết này đƣợc đánh chỉ số bởi Chỉ số tham số an ninh (security parameters index - viết tắt là SPI) và địa chỉ IP.
Tính toán các giá trị mở rộng xác thực:
Việc tính toán dựa trên SPI thoả thuận giứa hai đối tác cần xác thực. SIP trong bất kỳ các mở rộng xác thực nào cũng định nghĩa cơ chế an ninh đƣợc sử dụng để tính toán giá trị xác thực và đƣợc sử dụng bởi bên nhận để kiểm tra giá trị này. Cụ thể, SIP sẽ lựa chọn giải thuật, chế độ và khoá xác thực đƣợc sử dụng để tính giá trị xác thực. Để đảm bảo sự phối hợp giữa các thể hiện khác nhau của giao thức Mobile IP, mỗi thể hiện đƣợc yêu cầu liên kết bất kỳ giá trị SPI nào lớn hơn 255 với các thuật toán và chế độ xác thực sẽ thực hiện.
Thuật toán xác thực mặc định đƣợc sử dụng trong Mobile IP là MD5 (Message Digest 5) với chế độ prefix+suffix, nghĩa là “bí mật”đƣợc chèn vào trƣớc và sau dữ liệu mà nó xác thực. Kết quả của tính toán mặc định là 128bit MD của thông điệp đăng ký, và kết quả này là việc tính toán dựa theo giải thuật MD5 với đầu vào là các dữ liệu sau:
(1) Thông tin mật đƣợc định nghĩa bởi liên kết an ninh di động giữa các node và bởi giá trị SPI đƣợc chỉ ra trong mở rộng xác thực.
(2) Các trƣờng header của thông điệp yêu cầu đăng ký và trả lời đăng ký. (3) Các mở rộng đứng trƣớc đó.
(4) Kiểu, độ dài và SPI có trong bản thân các mở rộng. (5) Thông tin bí mật
Chú ý rằng bản thân trƣờng xác thực, UDP header, IP header không đƣợc đƣa vào tính toán giá trị xác thực. Giá trị xác thực này sẽ đƣợc chèn vào mở rộng xác thực, khi nhận đƣợc thông điệp, phía nhận sẽ căn cứ vào SPI, tính toán lại giá trị này và so sánh: nếu nhận, ngƣợc lại sẽ loại bỏ.
Khuôn dạng của một trƣờng mở rộng nhƣ sau:
Type: 32 Mở rộng xác thực MN-HA 33 Mở rộng xác thực MN-FA 34 Mở rộng xác thực FA-HA
Length: 4 cộng với độ dài của giá trị xác thực (authenticator) SPI: 4 byte.
Authenticator: Độ dài biến đổi phụ thuộc vào thuật toán SPI quy định. 3.3.2 Xác thực thông qua trƣờng Identification
Nếu trên mạng có một tác tử giả mạo trong suốt quá trình đăng ký, tác tử đó có thể thu thập mọi thông tin cần thiết cho đăng ký đó, bao gồm cả dữ liệu xác thực. dữ liệu xác thực này có thể đƣợc sử dụng lại trong một lần nào đó, vì vậy cần có một trƣờng dữ liệu mà giá trị thay đổi ngẫu nhiên giứa các lần nào đó, vì vậy cần có một trƣờng dữ liệu mà giá trị thay đổi ngẫu nhiên giữa các lần gửi thông điệp, đó chính là trƣờng Identification. Sử dụng trƣờng Identification HA sẽ biết đƣợc chắc chắn rằng yêu cầu mà nó nhận đƣợc là một yêu cầu mới, không phải là yêu cầu đƣợc kẻ tấn công sử dụng lại. Việc xác định Identification phụ thuộc vào việc lựa chọn chiến lƣợc Bảo vệ chống sử dụng lại (replay protection), có hai chiến lƣợc:
- Chiến lƣợc sử dụng Time stamps:
Nền tảng của chiến lƣợc này là việc, các node sẽ chèn dữ liệu về thời gian hiện tại vào trong thông điệp, và khi bên nhận đƣợc thông điệp sẽ kiểm tra xem thời gian có trong thông điệp có gần với thời gian hiện tại ở bên nhận hay
không. Vì vậy, hai bên cần phải đồng bộ đồng hồ, việc này đƣợc thực hiện theo một cơ chế có xác thực đƣợc định nghĩa bởi cơ chế an ninh giữa hai bên.
Nếu timestamp đƣợc sử dụng, trƣờng identification sẽ có kích thƣớc 64bit có khuôn dạng đƣợc quy định theo giao thức NTP (Network Time Protocol)32bit thấp là thời gian thời gian chèn vào, 32 bit còn lại đƣợc sinh ngẫu nhiên.Tuy nhiên, 64 bit này phải có giá trị lớn phù hợpn thì sẽ gây khó khăn trong việc cập nhật thông tin di động.
Identification đƣợc cho là hợp lệ: nếu thời gian trong 32 bit thấp gần với đồng hồ của HA và lớn hơn tất cả timestamp đã đƣợc gửi trƣớc đó. Sau đó, khi trả lời, HA sẽ sao trƣờng identification này vào thông điệp trả lời. Tuy nhiên, nếu sai: chỉ có 32 bit thấp đƣợc sao, còn 32 bit cao là thời gian theo đồng hồ cảu HA giúp cho MN đồng bộ lại đồng hồ (chú ý: MN chỉ đồng bộ lại khi mà 32 bit thấp của thông điệp trả lời trùng với 32 bit thấp của thông điệp yêu cầu mà MN đã gửi đi)
Phƣơng pháp bảo vệ chống phát lại (replay protection) dựa trên timestamp là phƣơng pháp hay đƣợc sử dụng. Ngoài ra những Node này cũng có thể sử dụng phƣơng thức bảo vệ dựa trên Nonce.
Bảo vệ chống phát lại (replay protection) đƣợc sử dụng giữa Mobile Node và trạm gốc của Node là một phần của liên kết bảo mật di động MSA (Mobile Security Association). Mobile Node và trạm gốc của Node phải thống nhất phƣơng pháp bảo vệ chống phát lại (replay protection), thông thƣờng là dùng trƣờng nhận dạng (Identification), cấu trúc của trƣờng nhận dạng phụ thuộc vào phƣơng pháp sử dụng trong bảo vệ chống phát lại.
Bất kể sử dụng phƣơng pháp nào thì các bit có thứ tự thấp hơn 32 của trƣờng nhận dạng của trả lời đăng ký đều mang cùng một giá trị giống nhƣ trong yêu cầu đăng ký. Trạm ngoài sử dụng các bit này và địa chỉ gốc của Mobile Node có các trả lời tƣơng ứng với các yêu cầu của đăng ký. Mobile Node sẽ kiểm tra xem các bit có thứ tự thấp hơn 32 của trả lời đăng ký giống với các bit mà Node gửi tới yêu cầu đăng ký hay không, nếu không đúng thì trả lời này bị huỷ bỏ.
Giá trị trƣờng nhận dạng trong yêu cầu đăng ký mới không đƣợc giống nhƣ trong yêu cầu đăng ký có ngay trƣớc đó và tránh không nên lặp lại trong khi Mobile Node và trạm gốc cùng sử dụng cùng một phạm vi bảo vệ.
Nguyên tắc cơ bản cách thức bảo vệ dùng timestamp là Node tạo bản tin sẽ chèn thêm thời gian hiện tại của ngày và Node nhận bản tin sẽ kiểm tra độ chính xác của timestamp này với thời gian của chính nó. Rõ ràng hai Node về thời gian phải đƣợc đồng bộ một cách tƣơng ứng. Nhƣ với bất kỳ bản tin nào, bản tin
đồng bộ thời gian có thể đƣợc cơ chế nhận thực xác nhận bảo vệ tránh khỏi sự xáo trộn. Cơ chế này do phạm vi bảo mật giữa hai Node quyết định.
Nếu sử dụng timestamp, Mobile Node sẽ dùng trƣờng nhận dạng tới 64 bit, các giá trị có cấu trúc nhƣ đƣợc đề cập trong NTP (Network Time Protocol, RFC 1035). Tuy nhiên nên lƣu ý rằng khi sử dụng timestamp, trƣờng nhận dạng 64 bit đƣợc sử dụng trong yêu cầu đăng ký từ Mobile Node bắt buộc phải có giá trị lớn hơn giá trị trƣờng nhận dạng trong bất kỳ yêu cầu đăng ký trƣớc đó vì trạm gốc cũng sử dụng trƣờng này nhƣ trƣờng thứ tự tuần tự. Khi không có số thứ tự tuần tự nhƣ vậy, Mobile Node có khả năng làm bản sao của yêu cầu đăng ký trƣớc đó đến trạm gốc bị chậm (trong thời gian đồng bộ thời gian trạm gốc yêu cầu) và nhƣ vậy yêu cầu này sẽ yêu cầu không đúng lúc và do vậy làm thay đổi địa chỉ động đã đăng ký hiện thời của Mobile Node.
Khi nhận yêu cầu đăng ký với mở rộng có xác nhận Mobile Home, trạm gốc bắt buộc phải kiểm tra tính hợp lệ của trƣờng nhận dạng. Để hợp lệ, timestamp trong trƣờng nhận dạng phải đủ gần đúng với thời gian của trạm gốc và timestamp này phải lớn hơn tất cả các timestamp đƣợc chấp nhận trƣớc đó dành cho các Mobile Node yêu cầu đăng ký.
Nếu timestamp hợp lệ, trạm gốc sẽ copy toàn bộ trƣờng nhận dạng vào trả lời đăng ký mà nó sẽ gửi lại Mobile Node. Nếu timestamp không hợp lệ trạm gốc chỉ copy 32 bit thấp và cung cấp các bit có số thứ tự lớn hơn 32 có từ thời gian ngày của chính nó. Trong trƣờng hợp này trạm gốc sẽ loại bỏ đăng ký này bằng cách đáp lại với mã số 133 trong trả lời đăng ký.
Mobile Node sẽ kiểm tra xem các bit có số thứ tự thấp hơn 32 của trƣờng nhận dạng trong trả lời đăng ký giống với trƣờng nhận dạng trong đăng ký bị loại bỏ, trƣớc khi sử dụng các bit có số thứ tự cao hơn để đồng bộ lại đồng hồ.
- Chiến lƣợc sử dụng Nonce:
Nguyên tác cơ bản của việc sử dụng Nonce để bảo mật trả lời là trong mỗi bản tin gửi tới Node B, Node A kèm theo một con số ngẫu nhiên và Node A kiểm tra xem trong bản tin tiếp sau tới Node A, Node B có gửi lại con số tƣơng tự hay không. Cả hai bản tin đều sử dụng một mã số xác nhận để tránh sự biến đổi do kẻ tấn công gây ra. Cùng lúc đó Node B có thể gửi Nonce của chính nó trong tất các các bản tin tới Node A (Node A sẽ lặp lại nhƣ vậy), do đó Node B có thể xác minh là nó đang nhận bản tin mới.
Trạm gốc có thể có cách để tính các số ngẫu nhiên có ích nhƣ các nonce. Trạm gốc cài một nonce mới nhƣ các bit có số thứ tự dƣới 32 của trƣờng nhận dạng trong mỗi trả lời đăng ký. Trạm gốc copy 32 bit thấp nhất của trƣờng nhận dạng trong bản tin yêu cầu đăng ký vào các bit tƣơng tƣ của trƣờng nhận dạng trong trả lời đăng ký. Khi Mobile Node nhận trả lời đăng ký đã đƣợc xác nhận từ
trạm gốc, Node lƣu các bit có số thứ tự lớn hơn 32 của yêu cầu đăng ký tiếp theo.
Mobile Node chịu trách nhiệm tạo các 32 bit thấp của trƣờng nhận dạng trong mỗi yêu cầu đăng ký. Các Node cần tạo nonces của chính nó . Tuy nhiên Node có thể sử dụng bất kỳ biện pháp thích hợp, kể cả nhân đôi giá trị ngẫu nhiên mà trạm gốc gửi.
Phƣơng pháp chọn nonce do Mobile Node quyết định, bởi vì nó là Node kiểm tra giá trị hợp lệ đó trong trả lời đăng ký. Các bit cao và các bit thấp hơn 32 của trƣờng xác nhận đƣợc chọn phải khác với các giá trị trƣớc đó của chúng. Trạm gốc sử dụng 32 bit cao và Mobile Node sử dụng giá trị mới cho 32 bit thấp cho mỗi bản đăng ký. Trạm ngoài sử dụng giá trị có số thứ tự thấp hơn và địa chỉ gốc của Mobile Node để các trả lời đăng ký phù hợp với các yêu cầu chƣa hoàn thành.
Nếu bản tin đăng ký bị từ chối vì một nonce không hợp lệ, trả lời đăng ký luôn luôn cung cấp cho Mobile Node một Nonce mới để sử dụng trong đăng ký tiếp theo, do vậy thủ tục nonce tự nó đồng bộ.
Trong các bản tin trao đổi (bản tin yêu cầu và bản tin trả lời) giữa một cáp Node Mobile IP sử dụng các giá trị an toan bảo mật di động MSA có cấu trúc nhƣ sau:
- Type
- Length = 4 cộng với số lƣợng các bytes trong chỉ số xác nhận. - SPI : chỉ số tham số bảo mật (Security Parameter Index) 4 bytes. - Authenticator : Độ dài biến đổi
Trong đó các giá trị của Type nhƣ sau:
Type= 32 là chỉ phần mở rộng cần xác nhận MSA Mobile - Home Type= 33 là chỉ phần mở rộng cần xác nhận MSA Mobile - Foreign Type= 34 là chỉ phần mở rộng cần xác nhận MSA Foreign - Home
Đối với trƣờng xác nhận dùng để thực hiện việc xác nhận các bản tin. Thuật toán để mã hoá sử dụng tại đây là thuật toán mã hoá MD5 với kích thƣớc là 128 bit.
Phƣơng thức mã hoá là mã phần trƣớc hoặc phần sau số liệu sẽ bị xáo trộn bởi từ mã 128 bit có nghĩa là MD5 đƣợc sử dụng theo phƣơng thức tiền tố + hậu tố.
Trạm nào cũng đƣợc hỗ trợ phƣơng pháp xác nhận sử dụng MD5 và cỡ từ mã là 128 bit hoặc lớn hơn, với sự phân bổ mã từ theo quy định cụ thể. Nhiều thuật toán xác nhận, phƣơng thức phân bổ từ mã và kích thƣớc từ mã, kiểu từ mã nhƣ dùng mã Random cũng đƣợc sử dụng để hỗ trợ.
KẾT LUẬN
Với mục đích bƣớc đầu tìm hiểu về mạng thông tin di động 4G, và một số kỹ thuật sử dụng trong mạng, cũng nhƣ cơ chế xác thực để đảm bảo an toàn cho mạng, luận văn đã nghiên cứu một số vấn đề sau:
- Giao thức Mobile IP, tìm hiểu các loại bản ghi trong giao thức, cách giao tiếp sử dụng các loại bản ghi này để thực hiện các chức năng của giao thức, tìm hiểu thông qua phiên bản Mobile Ipv4, đánh giá ƣu nhƣợc điểm của Mobile Ipv4.
- Nghiên cứu về mạng di động 4G, về kiến trúc tổng quan, về các dịch vụ chủ yếu có thể hƣớng tới của mạng 4G, các mô hình đƣợc khuyến nghị cho 4G.
- Tìm hiểu cơ chế xác thực trong quá trình đăng ký của Mobile IP.
Tuy nhiên luận văn vẫn còn nhiều vấn đề cần đƣợc nghiên cứu tiếp để hoàn thiện hơn nhƣ:
- Nghiên cứu chi tiết về việc quản lý tính di động trong Mobile IP để có thể áp dụng đối với mạng 4G.
- Tìm hiểu các phƣơng thức mà mạng 4G có thể bị tấn công khi việc truyền thông đa phƣơng tiện đƣợc đáp ứng với tốc độ ngày càng cao mọi lúc, mọi nơi để qua đó có thể tìm hiểu các giải pháp ngăn chặn.
TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Nguyễn Phạm Anh Dũng (2002), Thông tin di động thế hệ ba, Học viên Công nghệ Bƣu chính Viễn thông.
Tiếng Anh
2. Charles E.Perkins (1997), Mobile IP Design Principles and Practices, Prentince Hall PTR.
3. C. Perkins (2002), Rfc 3344: IP Mobility Support for Ipv4, IETF.
4. D.Johnson, C.Perkins and J.Arkko (2004), Rfc3375: Mobility Support in Ipv6, IETF.
5. Dave Wisley, Philip Eard Ley and Louise (2002), IP for 3G Networking Technologies for Mobile Communications, John Wiley & Sons.
6. Harri Holma and Anti Toskala (2000), W-CDMA for UMTS, John Wiley & Sons.
7. Luis Correia (2006), Mobile Broadband Multimedia Networks, Elsevier. 8. Michael A.Gallo and William M.Hancock (2001), Computer
Comunications and Networking Technologies, Course Technology.
9. Ramjee Prasad and Marina Ruggieri (2003), Technology Trends in Wireless Communication, Artech House Publishers.
10. Savo G.Glisic (2006), Advance Wireless Networks 4G Technologies, John Wiley & Sons.
11. Shinsuke Hara and Ramjee Prasad (2003), Multicarrier Techniques for 4G Mobile Communications, Artech House.
12. S.Gundavelli, K.Leung, V.Devarapalli, K.Chowdhury and B.Patil (2008),
Rfc5213: Proxy Mobile Ipv6, IETF.
13. Vijay K.Gary (2007), Wireless Communications and Networking, Elsevier. 14. William C.Y.Lee (1996), Mobile Communication Design Fundamental,
John Wiley & Sons.
15. 4G Mobile Communications Committee (2005), Towards the 4G Mobile Communications Systems..
16. 4G Mobile Communications Committee (2006), 4G Technical Survey Report – System Infrastructure.
17. 4G Mobile Communications Committee (2006), 4G Technical Survey Report – Service Platform.