CHƯƠNG 6 BẢO MẬT
6.2. Bảo mật nối mạng vệ tinh
Thách thức bảo mật trong mơi trường mạng vệ tinh được coi là một trong những trở ngại chính để triển khai và phổ biến rộng rãi của truyền đa điểm IP vệ tinh và các ứng dụng đa phương tiện nĩi chung. Vấn đề chính đĩ là nghe trộm và hoạt
động đột nhập ngày càng dễ dàng hơn trong mạng mặt đất cố định hoặc mạng di động do tính chất của vệ tinh là phát sĩng.
Thêm vào đĩ độ trễ lớn và tỷ lệ lỗi bit cao trong hệ thống vệ tinh là nguyên nhân gây nên mất đồng bộ bảo mật mạng vệ tinh. Đây là một yêu cầu cần xem xét cẩn thận hệ thống mã hố để ngăn chặn sự xuống cấp của QoS do xử lý mã hố. Một vấn đề nữa, đặc biệt là multicast (truyền đa điểm) là số lượng thành viên của nhĩm multicast cĩ thể sẽ rất lớn và cĩ thể thay đổi thường xuyên.
6.2.1. IP security (IPsec)
ở đây chúng ta chỉ thảo luận các vấn đề liên quan đến chũ đề bảo mật IP (IPSec).
Giao thức bảo mật IP được sử dụng để cung cấp cách mã hố tương thích dựa trên dịch vụ bảo mật (ví dụ như bảo mật, chứng thực và tính tồn vẹn) tại lớp IP.
Nĩ bao gồm giao thức chứng thực: chứng thực tiêu đề (AH), giao thức bảo mật:
đĩng gĩi bảo mật tải trọng (ESP) và nĩ cũng bao gồm việc thiết lập liên kết bảo mật internet và giao thức quản lý khố (ISAKMP).
IP AH và ESP cĩ thể được ứng dụng độc lập hoặc kết hơp với nhau. mỗi giao thức cĩ thể hoạt động trong một hoặc 2 chế độ: chế độ transport hoặc chế độ tunnel (hình 6.3).
Hình 6.3 Chếđộ transport trong IPv4
Cơ chế bảo mật của giao thức là chỉ thiết lập lên lớp dữ liệu và thơng tin liên quan tới sự hoạt động của lớp IP như nội dung trong tiêu đề của IP thì khơng bảo vệ. Trong chế độ tunnel thì cả phía trên lớpgiao thức dữ liệu và phần tiêu đề của gĩi IP
được bảo vệ hoặc đưa vào hầm thơng qua đĩng gĩi.
chế độ transport thì được dành cho bảo vệ end-to-end và chỉ cĩ thể được triển khai bởi nguồn và đích host của gĩi dữ liệu IP ban đầu. Chế độ tunnel cĩ thể được dùng giữa các tường lửa. Ipsec cho phép chúng ta xem xét bảo mật như là phát ra end-to-end, được quản lý bởi đối tượng sở hữu dữ liệu, điều này so sánh với bảo mật lớp liên kết dữ liệu mà được cung cấp bởi nhà điều hành vệ tinh hoặc nhà điều hành mạng.
Bộ lọc cũng cĩ thểđược thiết lập bên trong các tường lửa để chặn một số gĩi IP vào mạng dựa trên địa chỉ IP và số cổng. Nĩ cũng cĩ cơ chế bảo mật tại lớp transport như là secure socket layer (SSL) tại lớp liên kết hoặc lớp vật lý.
Hình 6.4 Chếđộ tunnelling(trong cả Ipv4 và Ipv6)
6.2.2. VPN vệ tinh (Satellite VPN)
Một tường lửa bao gồm 2 router cĩ khả năng lọc gĩi IP và cửa ngõ ứng dụng cho kiểm tra lớp cao như hình 6.5.
Hì nh 6.5 VPN trong vệ tinh
Một cái ởđầu vào dùng để kiểm tra các gĩi vào và một ở đầu ra để kiểm tra gĩi
đầu ra. Một cổng ứng dụng, giữa các router thực hiện thêm việc kiểm tra giao thức dữ
liệu lớp cao bao gồm TCP, UDP, email, WWW và các ứng dụng dữ liệu khác.
Đây là cấu hình nhằm đảm bảo khơng cĩ bất cứ gĩi nào vào hay ra mà khơng phải thơng qua cổng ứng dụng. Bộ lọc gĩi được điều khiển bằng bảng và kiểm tra các gĩi nguyên. Cổng ứng dụng kiểm tra nội dung, kích thước bản tin và tiêu đề. IPSec
được sử dụng để cung cấp sự bảo mật giữa các mạng cơng ty thơng qua mơi trường cơng cộng internet.
6.2.3. Bảo mật IP multicast
Trong bảo mật IP multicast, một trong những vấn đề chính là đảm bảo rằng khố dùng để mã hố lưu lượng tất cả các thành viên của nhĩm đều biết và chỉ cĩ những thành viên này, đây là vấn đề then chốt của việc phân phối và quản lý khố. Kích thước và trạng thái của nhĩm multicast cĩ ảnh hưởng rất lớn đến hệ thống phân phối và quản lý khố, đặc biệt là các nhĩm lớn. Cĩ một số cấu trúc cho quản lý khố mà đang được nghiên cứu gần đây.
Một mặt khác mà nghiên cứu cần đảm bảo rằng quản lý khố là cĩ khả năng thay đổi đối với một nhĩm quá lớn trong multicast vệ tinh; một trong những cơ chế
cĩ triển vọng nhất là phân cấp khố hợp lý. Những khố này cĩ thể dùng trong cấu trúc bảo mật như IPSec, nghiên cứu này đang được điều khiển chỉ đạo độc lập cho bất kỳ vệ tinh nào, nhưng kết quả dự kiến được áp dụng cho bảo mật hệ thống multicast IP vệ tinh.
Để giải quyết vấn đề phức tạp trong cập nhật khố (rekey) tại những vùng cĩ quy mơ lớn, khái niệm phân cấp khố hợp lý (LKH) cĩ thể được sử dụng như trong hình 6.6. Khố được tổ chức vào cấu trúc cây, mỗi người dùng thì được phân phối một chuỗi các khố cho phép một số trùng từ “lá” tới “gốc”. Người dùng cĩ thể được nhĩm lại dựa trên cây này đễ họ chia sẻ một số khố chung do đĩ một bản tin cĩ thể được phát quảng bá để cập nhật các khố của một nhĩm người dùng.
Ph ân c ấ p c ủ a kh ố Hình 6.6 Mơ hình của phân cấp khố hợp lý (LHK)
KẾT LUẬN
Liên kết mạng IP qua hệ thống vệ tinh thế hệ sau cho phép liên kết các mạng mặt đất với nhau thơng qua hệ thống vệ tinh. Với những ưu thế về tính linh động, phạm vi hoạt động bao phủ trên tồn thế giới, dễ dàng triển khai đối với các vùng hải
đảo xa xơi. Thêm vào đĩ do dựa trên cơng nghệ là IP sẵn cĩ điều đĩ làm tăng khả
năng bảo trì, quản lý, triển khai trên diện rộng, cơng nghệ ngày càng được cải tiến dẫn đến chất lượng của các dịch vụ do vệ tinh cung cấp ngày càng được cải tiến một cách đáng kể. Truyền thơng IP qua vệ tinh thực sự là một cơng nghệ đầy triển vọng phát triển trong tương lai.
Trong phạm vi đồ án đã tìm hiểu một cách sơ lược về hệ thống vệ tinh, các đặc
điểm cũng như cách thức hoạt động.
Sau đĩ đồ án đã tìm hiểu về cơng nghệ IP một đặc trưng của mạng mặt đất, cách thức đĩng gĩi, các giao thức dùng trong mạng vệ tinh như liên kết dữ liệu lớp cao (HDCL), giao thức điểm-điểm (PPP) và định tuyến trong mạng vệ tinh làm cho một gĩi tin cĩ thể đến được đúng đích mà nĩ cần chuyển đến.
Cuối cùng đồ án đề cập đến một vấn đề cĩ thể nĩi là một thách thức lớn đối với tất cả các mạng khơng chỉ riêng mạng IP qua hệ thống vệ tinh đĩ là bảo mật. Đặc
điểm của mạng vệ tinh chính là truyền bằng vơ tuyến cho nên khả năng nghe trộm dữ
liệu cũng như xâm nhập vào mạng bất hợp pháp là rất lớn dẫn đến một yêu cầu bức thiết là bảo vệ tính riêng tư cũng như tính tồn vẹn của dữ liệu được truyền đi.
Trong giai đoạn hiện nay, khi xu hướng của mạng viễn thơng là IP hĩa hay chuyển sang mạng thế hệ mới NGN. Một trong những ưu việt của NGN là tích hợp giữa cố định và di động. Vì vậy, trong tương lai IP-vệ tinh sẽ được ứng dụng cho điện thoại di động, các dịch vụ đa phương tiện. Khi đĩ, các dịch vụ viễn thơng sẽ rất linh hoạt, kết hợp giữa truyền hình ảnh, số liệu và thoại. Đây cũng chính là hướng phát triển tiếp theo của để tài.
Do kiến thức em cịn hạn chế mà các vấn đề liên quan tới mạng vệ tinh khá rộng nên trong phạm vi đề tài khơng thể đề cập hết được và khơng thể tránh khỏi sai sĩt, em mong nhận được sự đĩng gĩp ý kiến của các thầy và các bạn. Em chân thành cảm ơn.