Xác thực thông qua trường Identification

Một phần của tài liệu luận văn mobile ip & 4g (Trang 71 - 76)

Nếu trên mạng có một tác tử giả mạo trong suốt quá trình đăng ký, tác tử đó có thể thu thập mọi thông tin cần thiết cho đăng ký đó, bao gồm cả dữ liệu xác thực. dữ liệu xác thực này có thể được sử dụng lại trong một lần nào đó, vì vậy cần có một trường dữ liệu mà giá trị thay đổi ngẫu nhiên giứa các lần nào đó, vì vậy cần có một trường dữ liệu mà giá trị thay đổi ngẫu nhiên giữa các lần gửi thông điệp, đó chính là trường Identification. Sử dụng trường Identification HA sẽ biết được chắc chắn rằng yêu cầu mà nó nhận được là một yêu cầu mới, không phải là yêu cầu được kẻ tấn công sử dụng lại. Việc xác định Identification phụ thuộc vào việc lựa chọn chiến lược Bảo vệ chống sử dụng lại (replay protection), có hai chiến lược:

- Chiến lược sử dụng Time stamps:

Nền tảng của chiến lược này là việc, các node sẽ chèn dữ liệu về thời gian hiện tại vào trong thông điệp, và khi bên nhận được thông điệp sẽ kiểm tra xem thời gian có trong thông điệp có gần với thời gian hiện tại ở bên nhận hay

không. Vì vậy, hai bên cần phải đồng bộ đồng hồ, việc này được thực hiện theo một cơ chế có xác thực được định nghĩa bởi cơ chế an ninh giữa hai bên.

Nếu timestamp được sử dụng, trường identification sẽ có kích thước 64bit có khuôn dạng được quy định theo giao thức NTP (Network Time Protocol)32bit thấp là thời gian thời gian chèn vào, 32 bit còn lại được sinh ngẫu nhiên.Tuy nhiên, 64 bit này phải có giá trị lớn phù hợpn thì sẽ gây khó khăn trong việc cập nhật thông tin di động.

Identification được cho là hợp lệ: nếu thời gian trong 32 bit thấp gần với đồng hồ của HA và lớn hơn tất cả timestamp đã được gửi trước đó. Sau đó, khi trả lời, HA sẽ sao trường identification này vào thông điệp trả lời. Tuy nhiên, nếu sai: chỉ có 32 bit thấp được sao, còn 32 bit cao là thời gian theo đồng hồ cảu HA giúp cho MN đồng bộ lại đồng hồ (chú ý: MN chỉ đồng bộ lại khi mà 32 bit thấp của thông điệp trả lời trùng với 32 bit thấp của thông điệp yêu cầu mà MN đã gửi đi)

Phương pháp bảo vệ chống phát lại (replay protection) dựa trên timestamp là phương pháp hay được sử dụng. Ngoài ra những Node này cũng có thể sử dụng phương thức bảo vệ dựa trên Nonce.

Bảo vệ chống phát lại (replay protection) được sử dụng giữa Mobile Node và trạm gốc của Node là một phần của liên kết bảo mật di động MSA (Mobile Security Association). Mobile Node và trạm gốc của Node phải thống nhất phương pháp bảo vệ chống phát lại (replay protection), thông thường là dùng trường nhận dạng (Identification), cấu trúc của trường nhận dạng phụ thuộc vào phương pháp sử dụng trong bảo vệ chống phát lại.

Bất kể sử dụng phương pháp nào thì các bit có thứ tự thấp hơn 32 của trường nhận dạng của trả lời đăng ký đều mang cùng một giá trị giống như trong yêu cầu đăng ký. Trạm ngoài sử dụng các bit này và địa chỉ gốc của Mobile Node có các trả lời tương ứng với các yêu cầu của đăng ký. Mobile Node sẽ kiểm tra xem các bit có thứ tự thấp hơn 32 của trả lời đăng ký giống với các bit mà Node gửi tới yêu cầu đăng ký hay không, nếu không đúng thì trả lời này bị huỷ bỏ.

Giá trị trường nhận dạng trong yêu cầu đăng ký mới không được giống như trong yêu cầu đăng ký có ngay trước đó và tránh không nên lặp lại trong khi Mobile Node và trạm gốc cùng sử dụng cùng một phạm vi bảo vệ.

Nguyên tắc cơ bản cách thức bảo vệ dùng timestamp là Node tạo bản tin sẽ chèn thêm thời gian hiện tại của ngày và Node nhận bản tin sẽ kiểm tra độ chính xác của timestamp này với thời gian của chính nó. Rõ ràng hai Node về thời gian phải được đồng bộ một cách tương ứng. Như với bất kỳ bản tin nào, bản tin

đồng bộ thời gian có thể được cơ chế nhận thực xác nhận bảo vệ tránh khỏi sự xáo trộn. Cơ chế này do phạm vi bảo mật giữa hai Node quyết định.

Nếu sử dụng timestamp, Mobile Node sẽ dùng trường nhận dạng tới 64 bit, các giá trị có cấu trúc như được đề cập trong NTP (Network Time Protocol, RFC 1035). Tuy nhiên nên lưu ý rằng khi sử dụng timestamp, trường nhận dạng 64 bit được sử dụng trong yêu cầu đăng ký từ Mobile Node bắt buộc phải có giá trị lớn hơn giá trị trường nhận dạng trong bất kỳ yêu cầu đăng ký trước đó vì trạm gốc cũng sử dụng trường này như trường thứ tự tuần tự. Khi không có số thứ tự tuần tự như vậy, Mobile Node có khả năng làm bản sao của yêu cầu đăng ký trước đó đến trạm gốc bị chậm (trong thời gian đồng bộ thời gian trạm gốc yêu cầu) và như vậy yêu cầu này sẽ yêu cầu không đúng lúc và do vậy làm thay đổi địa chỉ động đã đăng ký hiện thời của Mobile Node.

Khi nhận yêu cầu đăng ký với mở rộng có xác nhận Mobile Home, trạm gốc bắt buộc phải kiểm tra tính hợp lệ của trường nhận dạng. Để hợp lệ, timestamp trong trường nhận dạng phải đủ gần đúng với thời gian của trạm gốc và timestamp này phải lớn hơn tất cả các timestamp được chấp nhận trước đó dành cho các Mobile Node yêu cầu đăng ký.

Nếu timestamp hợp lệ, trạm gốc sẽ copy toàn bộ trường nhận dạng vào trả lời đăng ký mà nó sẽ gửi lại Mobile Node. Nếu timestamp không hợp lệ trạm gốc chỉ copy 32 bit thấp và cung cấp các bit có số thứ tự lớn hơn 32 có từ thời gian ngày của chính nó. Trong trường hợp này trạm gốc sẽ loại bỏ đăng ký này bằng cách đáp lại với mã số 133 trong trả lời đăng ký.

Mobile Node sẽ kiểm tra xem các bit có số thứ tự thấp hơn 32 của trường nhận dạng trong trả lời đăng ký giống với trường nhận dạng trong đăng ký bị loại bỏ, trước khi sử dụng các bit có số thứ tự cao hơn để đồng bộ lại đồng hồ.

- Chiến lược sử dụng Nonce:

Nguyên tác cơ bản của việc sử dụng Nonce để bảo mật trả lời là trong mỗi bản tin gửi tới Node B, Node A kèm theo một con số ngẫu nhiên và Node A kiểm tra xem trong bản tin tiếp sau tới Node A, Node B có gửi lại con số tương tự hay không. Cả hai bản tin đều sử dụng một mã số xác nhận để tránh sự biến đổi do kẻ tấn công gây ra. Cùng lúc đó Node B có thể gửi Nonce của chính nó trong tất các các bản tin tới Node A (Node A sẽ lặp lại như vậy), do đó Node B có thể xác minh là nó đang nhận bản tin mới.

Trạm gốc có thể có cách để tính các số ngẫu nhiên có ích như các nonce. Trạm gốc cài một nonce mới như các bit có số thứ tự dưới 32 của trường nhận dạng trong mỗi trả lời đăng ký. Trạm gốc copy 32 bit thấp nhất của trường nhận dạng trong bản tin yêu cầu đăng ký vào các bit tương tư của trường nhận dạng trong trả lời đăng ký. Khi Mobile Node nhận trả lời đăng ký đã được xác nhận từ

trạm gốc, Node lưu các bit có số thứ tự lớn hơn 32 của yêu cầu đăng ký tiếp theo.

Mobile Node chịu trách nhiệm tạo các 32 bit thấp của trường nhận dạng trong mỗi yêu cầu đăng ký. Các Node cần tạo nonces của chính nó . Tuy nhiên Node có thể sử dụng bất kỳ biện pháp thích hợp, kể cả nhân đôi giá trị ngẫu nhiên mà trạm gốc gửi.

Phương pháp chọn nonce do Mobile Node quyết định, bởi vì nó là Node kiểm tra giá trị hợp lệ đó trong trả lời đăng ký. Các bit cao và các bit thấp hơn 32 của trường xác nhận được chọn phải khác với các giá trị trước đó của chúng. Trạm gốc sử dụng 32 bit cao và Mobile Node sử dụng giá trị mới cho 32 bit thấp cho mỗi bản đăng ký. Trạm ngoài sử dụng giá trị có số thứ tự thấp hơn và địa chỉ gốc của Mobile Node để các trả lời đăng ký phù hợp với các yêu cầu chưa hoàn thành.

Nếu bản tin đăng ký bị từ chối vì một nonce không hợp lệ, trả lời đăng ký luôn luôn cung cấp cho Mobile Node một Nonce mới để sử dụng trong đăng ký tiếp theo, do vậy thủ tục nonce tự nó đồng bộ.

Trong các bản tin trao đổi (bản tin yêu cầu và bản tin trả lời) giữa một cáp Node Mobile IP sử dụng các giá trị an toan bảo mật di động MSA có cấu trúc như sau:

- Type

- Length = 4 cộng với số lượng các bytes trong chỉ số xác nhận. - SPI : chỉ số tham số bảo mật (Security Parameter Index) 4 bytes. - Authenticator : Độ dài biến đổi

Trong đó các giá trị của Type như sau:

Type= 32 là chỉ phần mở rộng cần xác nhận MSA Mobile - Home Type= 33 là chỉ phần mở rộng cần xác nhận MSA Mobile - Foreign Type= 34 là chỉ phần mở rộng cần xác nhận MSA Foreign - Home

Đối với trường xác nhận dùng để thực hiện việc xác nhận các bản tin. Thuật toán để mã hoá sử dụng tại đây là thuật toán mã hoá MD5 với kích thước là 128 bit.

Phương thức mã hoá là mã phần trước hoặc phần sau số liệu sẽ bị xáo trộn bởi từ mã 128 bit có nghĩa là MD5 được sử dụng theo phương thức tiền tố + hậu tố.

Trạm nào cũng được hỗ trợ phương pháp xác nhận sử dụng MD5 và cỡ từ mã là 128 bit hoặc lớn hơn, với sự phân bổ mã từ theo quy định cụ thể. Nhiều thuật toán xác nhận, phương thức phân bổ từ mã và kích thước từ mã, kiểu từ mã như dùng mã Random cũng được sử dụng để hỗ trợ.

KẾT LUẬN

Với mục đích bước đầu tìm hiểu về mạng thông tin di động 4G, và một số kỹ thuật sử dụng trong mạng, cũng như cơ chế xác thực để đảm bảo an toàn cho mạng, luận văn đã nghiên cứu một số vấn đề sau:

- Giao thức Mobile IP, tìm hiểu các loại bản ghi trong giao thức, cách giao tiếp sử dụng các loại bản ghi này để thực hiện các chức năng của giao thức, tìm hiểu thông qua phiên bản Mobile Ipv4, đánh giá ưu nhược điểm của Mobile Ipv4.

- Nghiên cứu về mạng di động 4G, về kiến trúc tổng quan, về các dịch vụ chủ yếu có thể hướng tới của mạng 4G, các mô hình được khuyến nghị cho 4G.

- Tìm hiểu cơ chế xác thực trong quá trình đăng ký của Mobile IP.

Tuy nhiên luận văn vẫn còn nhiều vấn đề cần được nghiên cứu tiếp để hoàn thiện hơn như:

- Nghiên cứu chi tiết về việc quản lý tính di động trong Mobile IP để có thể áp dụng đối với mạng 4G.

- Tìm hiểu các phương thức mà mạng 4G có thể bị tấn công khi việc truyền thông đa phương tiện được đáp ứng với tốc độ ngày càng cao mọi lúc, mọi nơi để qua đó có thể tìm hiểu các giải pháp ngăn chặn.

TÀI LIỆU THAM KHẢO

Tiếng Việt

1. Nguyễn Phạm Anh Dũng (2002), Thông tin di động thế hệ ba, Học viên Công nghệ Bưu chính Viễn thông.

Tiếng Anh

2. Charles E.Perkins (1997), Mobile IP Design Principles and Practices, Prentince Hall PTR.

3. C. Perkins (2002), Rfc 3344: IP Mobility Support for Ipv4, IETF.

4. D.Johnson, C.Perkins and J.Arkko (2004), Rfc3375: Mobility Support in Ipv6, IETF.

5. Dave Wisley, Philip Eard Ley and Louise (2002), IP for 3G Networking

Technologies for Mobile Communications, John Wiley & Sons.

6. Harri Holma and Anti Toskala (2000), W-CDMA for UMTS, John Wiley & Sons.

7. Luis Correia (2006), Mobile Broadband Multimedia Networks, Elsevier. 8. Michael A.Gallo and William M.Hancock (2001), Computer

Comunications and Networking Technologies, Course Technology.

9. Ramjee Prasad and Marina Ruggieri (2003), Technology Trends in

Wireless Communication, Artech House Publishers.

10. Savo G.Glisic (2006), Advance Wireless Networks 4G Technologies, John Wiley & Sons.

11. Shinsuke Hara and Ramjee Prasad (2003), Multicarrier Techniques for 4G

Mobile Communications, Artech House.

12. S.Gundavelli, K.Leung, V.Devarapalli, K.Chowdhury and B.Patil (2008),

Rfc5213: Proxy Mobile Ipv6, IETF.

13. Vijay K.Gary (2007), Wireless Communications and Networking, Elsevier. 14. William C.Y.Lee (1996), Mobile Communication Design Fundamental,

John Wiley & Sons.

15. 4G Mobile Communications Committee (2005), Towards the 4G Mobile

Communications Systems..

16. 4G Mobile Communications Committee (2006), 4G Technical Survey

Report – System Infrastructure.

17. 4G Mobile Communications Committee (2006), 4G Technical Survey

Một phần của tài liệu luận văn mobile ip & 4g (Trang 71 - 76)

Tải bản đầy đủ (PDF)

(76 trang)