CHƯƠNG 2 BẢO MẬT H
2.2.4.Các thủ tục xác thực trong cuộc gọi sử dụng H.235 1 Cơ chế xác thực Baseline security profile
2.2.4.1. Cơ chế xác thực Baseline security profile
Bảng 2.2 Baseline security profile
Đối với cơ chế xác thực này, người sử dụng sẽ dùng mật khẩu chung hay khóa bí mật, nó sẽ được sử dụng trong hàm băm để áp dụng băm tất cả các trường trong bản tin H.225 RAS và báo hiệu nhằm mục đích đảm bảo sự toàn vẹn cho bản tin.
Đối với tùy chọn bảo mật thoại, lược đồ trên đề xuất sử dụng các thuật toán AES-128, RC2-compatible , DES hay triple-DES dựa trên sự trao đổi về chế độ và yêu cầu diễn ra trước đó.
Các cách thức điều khiển truy cập được áp dụng dựa trên thông tin truyền tải nhận được trong các trường báo hiệu H.235 ( ClearToken, CrytoToken ).
Các thực thể truyền thông liên quan có thể quyết định chế độ xác thực thông qua thông qua các trường tokenOID và algorithmOID trong các bản tin.
Có 2 dịch vụ được cung cấp trong Baseline security profile :
o Authentication and integriy : Nó kết hợp sự hỗ trợ về toàn vẹn thông tin với xác thực người sử dụng. Có thể chắc chắn về sự xác thực này bằng cách áp dụng đúng thủ tục trao đổi khóa chung (share secret). o Authenticaton-only : Đây là 1 tùy chọn cung cấp sự xác thực cho 1 vài
trường được lựa chọn chứ không phải toàn bộ bản tin. Nó được áp dụng cho các bản tin báo hiệu đi qua các thiết bị NAT hay tường lửa.
Người sử dụng có thể chắc chắn về sự xác thực này bằng cách áp dụng đúng thủ tục trao đổi share secret.
Thủ tục xác thực :
Bên gửi bản tin xác thực sẽ tính toán như sau :
- Thiết lập giá trị băm có độ dài là 96 bit. - ASN.1- mã hóa toàn bộ bản tin.
- Xác định và ghi lên trường chứa giá trị băm 96 bit 0 trong bản tin đã được mã hóa bằng ASN.1.
- Tính giá trị băm dựa trên bản tin được mã hóa bởi ASN.1 sử dụng HMAC-SHA1- 96.
Hình 2.17 Quá trình tính toán xác thực ở bên gửi.
Bên nhận bản tin sẽ xử lý như sau :
- ASN.1 – giải mã bản tin.
- Tìm và xác định vị trị trí của giá trị RV trong bản tin chưa được giải mã. Ghi chồng lên giá trị đó 96 bit 0.
- Tính lại giá trị băm đối với bản tin chưa được giải mã đó sử dụng HMAC- SHA1-96.
- So sánh RV với giá trị băm vừa tính được. Bản tin được xem như là toàn vẹn nếu 2 giá trị này bằng nhau, khi đó việc xác nhận thành công và thủ tục được kết thúc.
- Nếu 2 giá trị không bằng nhau thì việc xác thực thất bại và bản tin đã bị sửa đổi (do lỗi đường truyền hay cố ý) trong quá trình truyền.
Hình 2.18 Quá trình xác thực bên nhận
Tóm lại:
Denial-of-service attacks : Kiểm tra nhanh các giá trị băm có thể tránh được
dạng tấn công này.
Man-in-the-middle attacks : sử dụng authentication and integrity. Replay attacks : Sử dụng sequence và timestamp.
Spoofing(Giả mạo) : Sử dụng cơ chế xác nhận.
Connection hijacking : sử dụng authentication and integrity. 2.2.4.2. Cơ chế xác thực Signature security profile
Signature security profile được đề xuất như là 1 tùy chọn, thường được áp dụng trong trường hợp có nhiểu điểm cuối mà việc sử dụng mật khẩu/khóa chung là không khả thi. Nó cung cấp thêm dịch vụ bảo mật không thể chối bỏ với chữ ký điện tử và chứng chỉ điện tử. Chữ ký điện tử sử dụng hàm băm SHA1 hoặc MD5 cho việc xác thực và toàn vẹn bản tin.
Bảng 2.3 Signature security profile (adsbygoogle = window.adsbygoogle || []).push({});
Bên gửi bản tin sẽ tính toán chữ ký điện tử như sau :
- Giá trị của trường chứa chữ ký điện tử sẽ được thiết lập thành 1 giá trị cố định (có thể là 1024 bit). Bước này nhằm dành ra 1 khoảng trống cho độ dài tối đa của chữ ký điện tử.
- ASN.1 mã hóa toàn bộ bản tin.
- Xác định đoạn đã được dành ra trong bản tin mã hóa và chồng lên những bit 0.
- Tính toán chữ ký điện tử trên bản tin được mã hóa ASN.1 - Thay thế các bit 0 bằng chữ ký điện tử.
Bên nhận sẽ xác thực như sau :
- ASN.1 giải mã bản tin.
- Tách chữ ký điện tử nhận được và lưu nó vào trong biến cục bộ SV. - Tìm và xác định vị trí của giá trị RV trong bản tin mã hóa.
- Ghi đè lên vị trí đó các bit 0.
- Tính toán lại chữ ký điện tử trên bản tin mã hóa dựa và phương thức chỉ ra bởi algorithmOID.
- So sánh SV với giá trị vừa tính được. Bản tin được coi là không bị sửa đổi nếu 2 giá trị này bằng nhau, khi đó việc xác thực thành công và thủ tục dừng lại.
Hình 2.20 Quá trình xác thực ở bên nhận.
Tóm lại:
Sử dụng cơ chế xác thực này, đầu cuối không chỉ chống lại được các nguy cơ tấn công được trình bày trong Baseline security profile mà còn cung cấp khả năng xác thực người dùng bên kia nhờ các thông tin chỉ ra trong chứng chỉ điện tử.