MoIPS cung cấp một ví dụ tốt nhất về phương pháp khoá công cộng chúng ta gặp phải đối với an ninh và nhận thực trong môi trường Mobile IP. Vì vậy cần xác định một vài thành phần then chốt của kiến trúc an ninh này.
1. Như chúng ta đã thấy, tại mức giao thức Internet, MoIPS áp dụng biến thể ESP của IPSec và ISAKMP cùng với Mobile IP. Các mở rộng định tuyến tối ưu tới Mobile IP được trợ giúp.
2. Đối với các chứng nhận số khoá công cộng, MoIPS sử dụng đặc tả X.509 Version 3 với danh sách chứng nhận revocation Version 2 (CRL: Certificate Revocation List). Đối với kho chứa chứng nhận, những người thiết kế của MoIPS sử dụng hệ thống tên miền (DNS: Domain Name System) Internet chuẩn. Theo các tác giả, phương pháp này có vài ưu điểm: (1) sử dụng hệ thống DNS được biết rõ và được sử dụng rộng rãi giúp giải quyết vấn đề phát hiện server; (2) các chứng nhận công cộng loại bỏ yêu cầu về truyền dẫn thời gian thực các khoá, vì sẽ cần thiết với một cơ sở hạ tầng của trung tâm phân phối khoá (KDC: Key Distribution Center), vì có thể thực hiện với Kerberos; và (3) yêu cầu về phương pháp có tính mở rộng cao: “chúng ta phải có một công nghệ có thể thiết lập các bí mật được chia sẻ giữa một số lớn các node trải rộng nhiều miền Internet”
3. Phân cấp CA theo MoIPS giả định một kiến trúc nhiều cây. Mỗi cây trong cấu trúc có một CA đỉnh (TLCA: Top-Level CA), các CA ở các mức giữa (MLCA: Middle-Level CA) hoặc mức 0, và một tầng các CA mức thấp hơn. Các CA mức thấp hơn chịu trách nhiệm về một khối các địa chỉ kề nhau và phát hành các chứng nhận MoIPS tới các thực thể Mobile IP mà có các địa chỉ IP rơi vào phạm vi đó (chẳng
hạn, tất cả các node trên một mạng cho trước sẽ có khả năng được phục vụ bởi cùng một CA). Việc xác nhận chéo được cho phép giữa các TLCA và các MLCA.
4. Việc tham gia vào MoIPS yêu cầu việc sở hữu một chứng nhận. Mỗi thực thể muốn tham gia vào trong các phiên truyền thông trong môi trường MoIPS - dù là MH, FA, HA hay CH có khả năng nhận biết tính di động - phải đảm bảo an toàn một chứng nhận X.509 V3 với một profile cụ thể được xác định cho MoIPS. Các chứng nhận cho các CH chỉ là một yêu cầu khi MoIPS trợ giúp Mobile IP định tuyến tối ưu hoá an toàn.
5. Trong các chứng nhận MoIPS, địa chỉ IP của thực thể được sử dụng như trường tên chủ đề chứng nhận cho các MH, FA, HA và các CH. Khi điều này có nghĩa là chứng nhận phải được phát hành lại khi có sự thay đổi địa chỉ IP bởi một thực thể thì nó cho phép một hệ thống máy tính hoạt động, chẳng hạn như cả HA và FA nằm trên các giao diện khác nhau. Ngược lại trong trường hợp CA, tên miền theo qui tắc tiêu chuẩn được sử dụng như là tên chủ đề trên chứng nhận, loại bỏ yêu cầu về tra tên miền trong trường hợp này.
6. MoIPS sử dụng thuật toán băm SHA-1 để tạo các chữ ký số trên các chứng nhận X.509. MoIPS sử dụng một kĩ thuật giống Diffie-Helman (DH) để tạo các khoá mật mã, như các khoá phiên. Mỗi chứng nhận MoIPS chứa các giá trị công cộng DH cần thiết để hỗ trợ trao đổi tạo khoá Diffie-Helman. Bí mật Diffie-Helman và sự lặp lại số nhận dạng bảo vệ chống tấn công được đưa vào hàm HMAC (MoIPS sử dụng hàm HMAC-MD5) như các thành phần “khoá” và “bản tin” tương ứng. Đầu ra sau đó được sử dụng trong quá trình nhận thực các bản tin điều khiển Mobile IP bằng cách trả lại chuỗi đầu ra và bản tin điều khiển thông qua hàm HMAC.
7. MoIPS sử dụng RSA CryptoKi CAPI (Cryptographic Application Program Interface: Giao diện lập trình ứng dụng mật mã) như một cơ chế qua đó truy nhập các engine mật mã. Cũng được trợ giúp là PF Key CAPI dành cho quản lý các khoá ngắn hạn (như các khoá phiên) và các liên kết an ninh. Những người thiết kế MoIPS đã tạo ra một API thứ ba, được gọi là Cert_API, nhằm cung cấp một tuyến giữa các module quản lý khoá và các bộ xác nhận chứng nhận của hệ thống.
8. MoIPS sử dụng các trường mở rộng chính sách khoá trong các chứng nhận để truyền thông tin cần cho điều khiển truy nhập theo Mobile IP.
9. Theo Mobile IP, đường hầm IPSec an toàn có thể được thiết lập từ MH đến FA, từ MH tới HA, và từ FA tới HA. Ngoài ra, ngoài tầm ảnh hưởng của MoIPS/Mobile IP có thể thiết lập một đường hầm an ninh giữa MH và CH nhằm cung cấp mật mã đầu cuối đến đầu cuối và an toàn thông tin. Các thực thể Mobile IP hoạt động trong môi trường MoIPS có thể yêu cầu thiết lập các đường hầm IPSec bằng cách thêm một trường mở rộng chọn đường hầm IPSec vào các bản tin Khẩn nài tác nhân Mobile IP (Mobile IP Agent Solicitation), Quảng cáo tác nhân, và yêu cầu đăng kí chuẩn. Chi tiết về đường hầm được thiết lập sau đó được đàm phán giữa các thực thể thông qua ISAKMP.
Một nguyên mẫu ban đầu của môi trường MoIPS, được phát triển bởi các nhà nghiên cứu BBC và việc tái sử dụng các module hệ thống sớm được phát triển tại CMU và đại học State Porland được hoàn thành vào năm 1997. Những điểm then chốt là: (1) khả năng nhận được các chứng nhận X.509 và các danh sách thu hồi từ các server DNS như là các bản ghi tài nguyên X509CCRRL; (2) khả năng xác nhận các chứng nhận X.509 và CRL bằng cách đi theo phân cấp CA nhiều cây; (3) khả năng nhận thực các bản tin đăng kí Mobile IP được cấu tạo theo đặc tả IETF thông qua các khoá phiên được tạo ra bởi thuật toán khoá công cộng đã được mô tả ở trên; và (4) việc tích hợp MH tới các đường hầm CH IPSec với việc định hướng lại các gói tin Mobile IP. Sơ đồ khối minh hoạ các module hệ thống của nguyên mẫu MoIPS xem hình 4.4.
Hình 4.4:Sơ đồ khối của nguyên mẫu môi trường MoIPS (Lấy từ Zao và et al)
Các ứng dụng mục tiêu cho các phiên bản tăng cường của MoIPS gồm việc thực hiện mở rộng các hỗ trợ IPSec và Mobile IP định tuyến tối ưu hoá cho các mạng riêng ảo chứa các MH. Các tác giả xác định một yêu cầu cho việc điều tra về việc quản lí vị trí nhanh và quản lí tinh vi hơn các liên kết an ninh.
4.7. Tổng kết chương 4
Chương này đã nghiên cứu một phạm vi rộng các phương pháp cho an ninh và nhận thực người sử dụng trong môi trường Mobile IP. Như được thiết lập với Giao thức đăng kí Mobile IP, các phương pháp khoá công cộng đối xứng có thể được sử dụng theo Mobile IPCũng được nghiên cứu trong chương này là Giao thức Sufatrio/Lam đưa ra một phương pháp “light-weight” cho nhận thực người sử dụng bằng cách sử dụng việc lai ghép hai kỹ thuật mật mã đối xứng và không đối xứng và bằng cách khiến HA thực hiện nhiệm vụ gấp đôi như một Trung tâm phân phối khoá. Cuối cùng, chúng ta đã nghiên cứu hệ thống MoIPS thông qua một chiến lược khoá
công cộng đối xứng đang phát triển mạnh dựa trên các chứng nhận X.509 và một cơ sở hạ tầng khoá công cộng hoàn chỉnh. Nhiều phần tử của kiến trúc này đã tiến tới trạng thái mà chúng có thể được sử dụng như một nền tảng cho thực hiện thương mại trái với nguyên mẫu nghiên cứu. MoIPS vì vậy không thể thấy sự phát triển của nó trong các hệ thống dựa trên Mobile IP thế hệ thứ nhất. Tuy nhiên, sự liên kết chặt chẽ mật mã khoá công cộng và một PKI hoàn chỉnh với Mobile IP sẽ đưa ra một hướng trong tương lai giải quyết các vấn đề lớn về tính mở rộng.
CHƯƠNG 5
TRIỂN VỌNG TƯƠNG LAI VÀ XU THẾ PHÁT TRIỂN 5.1. Các vấn đề triển khai
Các chương trước chúng ta đã xem xét một số giải pháp lập cấu hình một mạng dữ liệu di động. Các trường hợp triển khai khác nhau đã được giới thiệu - một số trường hợp với nhà khai thác di động cũng như cung cấp dịch vụ dữ liệu; một số trường hợp khác có sự phân cách giữa các dịch vụ dữ liệu và các nhà khai thác mạng di động. Trong phần này chúng ta sẽ đi sâu hơn vào các vấn đề nảy sinh trong một trường hợp triển khai cụ thể khi một tổ chức cố gắng mở rộng mạng thông tin nội bộ của nó. Tất nhiên,có một sự khác biệt lớn tại thời điểm này: chúng ta biết rằng IP di động đang là một giải pháp.
Để bắt đầu, hãy xem xét chi tiết hơn hai phương thức truy nhập GPRS: trong suốt và không trong suốt. Sự khác biệt cơ bản giữa chúng là ở cách thức mà chúng đảm bảo liên kết tới máy chủ tương ứng. Phương thức trong suốt kết thúc đường hầm GTP tại GGSN và sau đó chuyển tiếp các gói IP. Với chương trình không trong suốt, sau khi đường hầm GTP được kết thúc, dữ liệu người sử dụng được tự động chuyển vào đường hầm mới do GGSN tạo ra. Đường hầm mới này vượt qua Internet tới một điểm kết cuối (nghĩa là một mạng công ty hoặc một nhà cung cấp dịch vụ khác). Trước khi đường hầm thứ hai này được tạo ra,tên người sử dụng và mật khẩu được cấp cho thuê bao thường được xác thực và sau đó một địa chỉ IP được gán cho một thiết bị di động. Sự khác biệt này có tác động lớn tới toàn bộ mạng và dich vụ mà nó cung cấp. Bây giờ chúng ta hãy xem xét các vấn đề trong cả hai trường hợp trong suốt và không trong suốt.
5.1.1. Phương thức trong suốt
Hình 5.1 cho thấy các phần tử chính của một mạng GPRS theo phương thức trong suốt cùng với một số khu vực cần có các quyết định triển khai trọng yếu (các mũi tên). Để bắt đầu kiểm tra thiết lập này chúng ta xem xét một số điểm chung có thể áp dụng cho tất cả các hệ thống GPRS phương thức trong suốt và sau đó khởi động các mô hình kinh doanh cụ thể.
Nhu cầu đánh địa chỉ
Bất kỳ thiệt bị di đông nào muốn truy cập dịch vụ đều cần một địa chỉ IP có thể định tuyến được. Nghĩa là nó cần một địa chỉ để bất kỳ máy chủ nào tren Internet (như www.artechhouse.com) có thể đáp ứng lại nó. Nhà khai thác di động sẽ cần một địa chỉ cho mỗi thuê bao kết nối đồng thời. Một nhà khai thác có thể có không gian địa chỉ định tuyến được hoạt động của nó theo một trong hai cách.
Có lẽ cách dễ nhất là có một thỏa thuận mượn các địa chỉ IP của một nhà cung cấp dịch vụ Internet bán buôn hoặc đường trục (ISP). Bên cạnh việc thuê không gian địa chỉ nhà khai thác di động trong phạm vi khối địa chỉ đã được phân bổ,thỏa thuận này đảm bảo rằng có thể truy nhập tới các phần khác của internet. Có thể lựa chọn một hoặc hai nhà cung cấp kết nối internet hoặc địa chỉ IP.
Thứ hai, một nhà khai thác có thể xin không gian địa chỉ riêng cho mình từ Tổ chức quản lý địa chỉ và tên miền Internet (ICANN - Internet Corporation for Name and Numbers) hoặc từ Reseaux IP European (RIPE). Trong trường hợp này, nhà khai thác sẽ phải cân đối nhu cầu địa chỉ họ cần bởi vì việc phân bổ bị chịu tác động lớn của nhu cầu bảo quản các địa chỉ IP phiên bản 4 (do đó đơn xin phải chứng minh được tính hiệu quả). Nhà khai thác cũng sẽ phải xin một số hệ thống tự chủ và sau đó đàm phán kết nối internet với một hoặc nhiều ISP bán buôn hoặc nhà cung cấp dịch vụ kết nối Internet (chẳng hạn như LINX hoặc CIX).
Nếu các dải địa chỉ được yêu cầu là có sẵn thì chúng có thể được ấn định cho người sử dụng một số cách. Cách hiệu quả nhất là phân bổ chúng từ một máy chủ qua giao thức cấu hình máy chủ động (Dynamic Host Configuration Protocol) như đã trình bày. Kỹ năng thực là xác định xem cần thực sự bao nhiêu địa chỉ cho một số thuê bao đã định.
Tên miền
Ngoài dải địa chỉ để phân bổ tới các thiết bị di động và kết nối cấp cao lên mạng Internet toàn cầu ra,nhà khai thác trong một mạng GPRS truy nhập trong suốt cần cung cấp các dịch vụ giải quyết tên miền. Đây là dịch vụ biến đổi các tên dễ đọc (như www.artechhouse.com) thành địa chỉ IP thực của máy chủ Web. Điều này đòi hỏi chạy một máy chủ tên miền và lập cấu hình nó để chuyển tiếp chính xác các yêu
cầu giải quyết tên miền và lưu giử các trả lời. Một ISP cấp cao có thể có khả năng cung cấp dịch vụ này cho nhà khai thác di động.
Bảo vệ
Các tin tặc đã cho thấy rằng các nhà khai thác Internet di động đang phát triển gặp một thách thức rất thú vị. Mục tiêu có thể phù hợp nhất của họ là giao diện công cộng (Gi) tới Internet. Trong trường hợp này,các địa chỉ đích từ các gói tin đến từ giao diện công cộng được định tuyến qua một bảng đường hầm mở để các đường hầm GTP đi trực tiếp đến các máy di động được kết nối. Không có đường khác cho các gói tin từ giao diện công cộng (ví dụ: đi vào cơ sở hạ tầng của nhà khai thác đẻ tấn công hệ thống tính cước và khai thác các tài nguyên khác nằm phía trong riêng biệt của GGSN). Về phía của giao diện công cộng, các gói tin trông giống như bất cứ gói nào khác trên Internet.
Hình 5.1. Triển khai một GPRS trong suốt
Tính cước
Thông tin thu nhập được từ GGSN và SGSN bao gồm số byte và thời gian liên lạc - cũng giống như các ứng dụng Internet và truyền số liệu khác. Thông tin cơ bản này sau đó được chuyển thành số nhận dạng di động của người sử dụng (IMSI) chứ không phải các mô hình tên người sử dụng/mật khẩu quen thuộc đã được sử dụng cho các ứng dụng Internet. Do đó, các nhà khai thác đã có dịch vụ Internet với các tài
khoản dựa trên người sử dụng sẽ phải xem xét tổ chức thế nào cho tốt nhất các bản ghi về mức độ sử dụng mạng để lập hóa đơn tính cước cho các dịch vụ Internet vô tuyến.
Xác định số lượng mạch Internet
Nhà khai thác di động sẽ chịu trách nhiệm xác định số lượng mạch Internet kết nối tới ISP cung cấp đường lên. Để linh hoạt và cân bằng tải,một tập dự phòng các GGSN có thể được triển khai ở trạm kết nối Internet. Việc xác định số lượng mạch phụ thuộc vào kết quả phân tích và theo dõi. Việc phân tích yêu cầu dự tính tốc độ của máy di động cũng như đặc tính lưu lượng của khách hàng. Việc này thường được bổ trợ bằng việc phân tích xu hướng thường nhật về mức độ sử dụng mạch Gi. Sau khi nhà khai thác di động đã quan tâm tới tất cả các vấn đề trên với 1001 các nhiệm vụ triển khai không thể tránh khỏi khác, sẽ có một mạng tin cậy hoàn toàn để cung cấp một loạt các dịch vụ IP. Các chương trước cung cấp hầu hết các thong tin kỹ thuật (đánh địa chỉ,bảo mật thông tin…) mà nhà khai thác cần và triển vọng của IP di động cho phép khách hàng tự do chuyển vùng. Giải pháp triển khai này có thể, như ý nghĩa của nó,không phù hợp với một người sử dụng doanh nghiệp. Họ muốn sự bảo vệ cao hơn khi đi qua giao diện Gi và do đó chúng ta cần tiếp tục xét truy nhập theo phương thức không trong suốt.
5.1.2. Phương thức không trong suốt
Sự khác biệt cơ bản trong phương thức này là đường liên kết từ GGSN tới nút mạng tương ứng được bảo vệ bằng công nghệ đường hầm. Điều đó có nghĩa là các chức năng như xác thực và ấn định đặc tính có thể triển khai hợp lý trên cơ sở hạ tầng của nhà khai thác di động như minh họa trên hình 5.2.
Trong hình 5.2, một kết nối IPsec đơn giản được thấy giữa GGSN và điểm truy nhập tới mạng công ty. Máy chủ xác thực người sử dụng cũng có thể cung cấp