3.6. Giải pháp mã hóa dữ liệu với IPSec
3.6.3. Cải tiến trao đổi khóa cho IPSec trong MobileIP
Với họ giao thức IPSec được đưa vào các kết nối cho MN sẽđem lại cho dữ
liệu tính bí mật, tính toàn vẹn, xác thực. Tuy nhiên, với giao thức Mobile IP, các thiết lập bảo mật SA sẽ phải được thương lượng lại mỗi khi MN di chuyển do có các thay đổi về địa chỉ như địa chỉ IP của FA, địa chỉ COA. Trong khi đó, phần nhiều các thiết bị di động (MN) lại là các thiết bị có khả năng tính toán hạn chế hơn so với các thiết bị cốđịnh. Vì vậy, IPSec có thể gây ra những sự trễ quá lớn trong sự
chuyển tiếp của Mobile IP do IPsec đòi hỏi tính toán lại SA.
Để khắc phục điểm này, một giải pháp đã được đề xuất trong [10] đưa ra một cấu trúc dữ liệu mới cho giao thức ISAKMP (Internet Security Association and Key Mangement Protocol – hiện nay đã được hợp nhất vào giao thức IKEv2, hay IKE phiên bản 2 tức Internet Key Exchange Protocol).
Phương pháp này mở rộng cách sử dụng một số thông điệp trong ISAKMP (nay là các thông điệp IKEv2) để hỗ trợ Mobile IP mà không làm giảm hiệu năng mạng. Với phương pháp mới này, MN có thể cập nhật các thiết lập bảo mật SA bằng cách gửi đi một thông điệp ISAKMP kiểu “trao đổi thông tin” (Informational Exchange Messenge – một kiểu thông điệp được định nghĩa trong chuẩn IKEv2). Thông điệp này tuy được gửi không mã hóa, nhưng một dữ liệu băm (ISAKMP Hash payload) xác thực xuất xứ của thông điệp và tính toàn vẹn của dữ liệu. Do đó, không có chi phí tính toán nào cần tới và các thông tin quan trọng không bị lộ.
- MN di chuyển tới một mạng mới và có một địa chỉ COA mới (thủ tục xác thực MN-HA có thểđã hoàn thành)
- MN gửi một thông điệp ISAKMP (không mã hóa) tới HA. Thông điệp ISAKMP này (Hình 46) sẽ chứa địa chỉ IP cũ trong một vùng dữ liệu (payload – gọi là “IP Address Update” - Hình 47) của thông điệp ISAKMP. Một vùng dữ liệu băm (Hash Payload) cũng được gửi cùng để đảm bảo tính toàn vẹn dữ liệu.
- HA sử dụng khóa bí mật gắn với địa chỉ cũ IP của MN ( nằm trong tải dữ liệu “IP Address Update” vừa nhận được) để xác thực tải dữ liệu băm. Nếu xác thực thành công, Mọi thiết lập bảo mật SA cho địa chỉ IP cũ trong cơ sở dữ liệu được cập nhật với địa chỉ IP mới.
- HA gửi trả lời MN bằng một thông điệp xác nhận các thiết lập bảo mật SA mới.
- MN có thể sử dụng các thiết lập bảo mật mới SA để tiếp tục giao tiếp mà không cần trao đổi các thông điệp ISAKMP/IKE mới.
Thông điệp được đề xuất sử dụng ở đây dựa trên chế độ “Trao đổi thông tin” (Information Exchange) được định nghĩa trong ISAKMP ([9] ) và IKE ([2] ).
Hình 46: Tiêu đề thông điệp ISAKMP
Trong đó:
- Initiator Cookie (8 octet): tham số của thực thể khởi phát quá trình trao
đổi/cập nhật thông tin
- Responder Cookie (8 octet): tham số của thực thểđáp ứng quá trình trao
- Next Payload (1 octet): chỉ ra kiểu tải dữ liệu trong thông điệp
- Major Version (4 bit), Minor Version (4 bit): chỉ ra số hiệu chính và phụ
của phiên bản giao thức ISAKMP.
- Exchange Type (1 octet): biểu thị kiểu trao đổi/cập nhật được sử dụng.
Ở đề xuất này, giá trị 5 được dùng để biểu thị chếđộ “Trao đôi/cập nhật thông tin”.
- Flags (1 octet): biểu thị các tùy chọn về mã hóa, xác nhận.
- Message ID (4 octet): giá trịđịnh danh thông điệp một cách duy nhất. - Length (4 octet):độ dài tổng của thông điệp.
Hình 47: Tải dữ liệu “Cập nhật địa chỉ IP” (IP Address Update)
- Next Payload (1 octet): kiểu của tải dữ liệu tiếp theo - RESERVERD (1 octet): không sử dụng, thiết lập giá trị 0.
- Payload Length (2 octet): độ dài theo octet của tải dữ liệu hiện tại, bao gồm cả phần tiêu đề ISAKMP.
- Type: Kiểu địa chỉ IP trong trường “Old IP Addresss” (thiết lập giá trị 0 cho IPv4, 1 cho IPv6)
- Counter: số lần một thiết lập bảo mật ISAKMP SA được thiết lập lại với một địa chỉ IP khác.
3.7. Kết luận chương
Như vậy, với Mobile IP, việc bảo mật và an toàn thông tin là hết sức cần thiết. Do vậy, Mobile IP đã có cơ chế mở rộng để có thể xác thực thông tin trong quá trình thiết lập kết nối và gửi/nhận dữ liệu. Để hệ thống đảm bảo tính sẵn sàng và hoạt động đúng đắn, Mobile IP cũng có các biện pháp chống tấn công kiểu replay.
Tuy nhiên, các giải pháp xác thực và bảo vệ của Mobile đã được chứng minh là chưa hoàn toàn bảo vệđược dữ liệu và sự truyền thông trên mạng. Do đó có nhiều giải pháp xác thực, mã hóa dữ liệu đã được các tác giảđưa ra .
Qua phân tích các giải pháp trên, giải pháp kết hợp kiến trúc AAA vào quá trình xác thực, phân phối khóa và IPsec (có cải tiến) vào mã hóa để có thể sử dụng các chuẩn mới về bảo mật là ưu việt hơn cả. Các chuẩn mới bảo mật (AAA với DIAMETER, IKEv2, IPsec) cho phép Mobile IP có thể đảm bảo được bảo mật dữ
Chương 4 ỨNG DỤNG MOBILE IP TRONG MẠNG CCFSCnet