Host
Hầu hết giao thức Mobile IP tập trung vào truyền thụng giữa Corresponding Host (CS) và Mobile Host với một giả định ngầm rằng CH nằm ở một vị trớ cố định trong Internet. Dĩ nhiờn, truy nhập Internet khụng dõy phỏt triển, kịch bản mà trong đú hai MH, cả hai chuyển vựng tự do, cố gắng truyền thụng đang trở nờn ngày một quan trọng.
Vấn đề trong truyền thụng giữa hai MH theo giao thức Mobile IP là vấn đề “định tuyến tay ba” (triangular routing) phỏt triển nhanh. Trong trường hợp mà CH cố định cố gắng thụng tin với một MH đang chuyển vựng, đầu tiờn nú sẽ gửi cỏc gúi tin của nú tới tới mạng nhà của MH, nơi mà chỳng bị chặn bởi HA. HA sau đú chuyển tiếp cỏc gúi tin này tới vị trớ hiện thời MH (sự giỏn tiếp này được gọi là định tuyến tay ba). Cỏc gúi tin đó được truyền theo hướng khỏc, mặc dự đầu tiờn chỳng phải được gửi qua đoạn nối vụ tuyến từ MH tới FA, cú thể di chuyển trực tiếp tới CH (CH cú địa chỉ IP cố định). Tuy nhiờn với hai MH cỏc gúi di chuyển theo hai hướng đầu tiờn được gửi tới cỏc mạng nhà của cỏc MH tương ứng đểđịnh tuyến tay ba trở thành định tuyến hai hướng.
Để giải quyết vấn đề định tuyến tay ba này, cần sử dụng tỏc nhõn ngoài (EA: External Agent). EA cho biết về vị trớ hiện thời của hai MH và cỏc FA
81 tương ứng của chỳng. Một đường hầm an toàn sau đú cú thể được thiết lập nờn cỏc tuyến giữa hai FA này, vỡ vậy loại bỏđược định tuyến tay ba hai hướng.
Theo sơ đồ truyền thụng MH-to-MH này, cỏc cơ chế an ninh bảo vệ chống lại cả cỏc MH gian lận lẫn cỏc thực thể mà nặc danh cơ sở hạ tầng mạng nhằm sắp xếp cỏc đường hầm an toàn giữa cỏc FA. Cỏc tỏc giả đó đề xuất một chếđộ an ninh bao gồm năm phần tử hay cỏc mức độ như sau:
1. Tớch hợp địa chỉ IP và địa chỉ MAC: Khi tiến hành nhận thực cỏc MH thụng qua HA, một địa chỉ được tạo ra là sự tớch hợp của địa chỉ IP và địa chỉ MAC (Media Access Control) của MH được sử dụng hơn là chỉ sử dụng chỉ địa IP. Vỡ địa chỉ MAC là một chuỗi bớt duy nhất được nhỳng trong phần cứng hoặc phần sụn nờn nú khú sửa đổi và bắt chước hơn địa chỉ IP dựa trờn phần mềm. Vỡ vậy HA duy trỡ một bộ nhớ cache chứa cặp địa chỉ IP/MAC được sử dụng trong nhận thực cỏc MH.
2. Hashing cỏc địa chỉ MAC: Để đảm bảo hơn nữa việc chống lại việc chặn cỏc thụng tin địa chỉ, FA ỏp dụng cỏc hàm băm một chiều tới địa chỉ MAC của MH và gửi đi giỏ trị này hơn là chớnh địa chỉ MAC tới HA cựng với địa chỉ IP của MH. HA sau đú cú thể sử dụng địa chỉ IP mà nú nhận được để tham chiếu bảng cỏc cặp địa chỉ IP/MAC của nú, lấy ra địa chỉ MAC mong muốn, và ỏp dụng thuật toỏn băm đối với MAC này. Nếu giỏ trị kết quả trựng với giỏ trị băm nhận được từ FA thỡ MH được nhận thực.
3. Sở hữu khoỏ cụng cộng dựng chung: Khỏi niệm ở đõy là tất cả cỏc hệ thống tỏc nhõn trong cộng đồng xỏc định dựng chung một khoỏ bớ mật. Khi truyền dẫn cỏc bản tin giữa cỏc agent, một hàm băm được ỏp dụng tới tổ hợp bản tin này, hoặc một phần của bản tin và một khoỏ bớ mật. Agent nhận sau đú cú thể tạo giỏ trị băm riờng của nú và xỏc nhận rằng bản tin khởi đầu từ một node sở hữu khoỏ bớ mật này.
4. Sử dụng cỏc tem thời gian: Để ngăn chặn cỏc cuộc tấn cụng, cỏc nhón thời gian được chứa trong bản tin điều khiển dự bản tin được nhận thực hay khụng. Hệ thống nhận đỏnh giỏ nhón thời gian trong bản tin và tiếp nhận cỏc bản tin này nếu tem này rơi vào cửa sổ xỏc định. Giao thức này yờu cầu vài mức đồng bộ thời gian giữa cỏc agent, được thực hiện thụng qua việc sử dụng RFC 1305 NTP.
82
5. Sử dụng mó khoỏ thụng điệp: Theo giao thức con này, khoỏ bớ mật dựng chung cú thể được sử dụng để mật mó cỏc bản tin điều khiển trong trạng thỏi toàn vẹn và một mó khoỏ thụng điệp sau đú được tạo ra được gắn vào bản tin. Điều này giỳp đảm bảo cả tớnh tin cậy và toàn vẹn cỏc bản tin được trao đổi giữa cỏc hệ thống agent.
Nờn chỳ ý rằng trong phần này quan tõm chủ yếu đến an ninh và nhận thực vỡ nú ỏp dụng cho sự tương tỏc giữa cỏc HA, FA và External Agent trong tương tỏc Mobile IP. Cũng quan trọng để thực hiện cỏc bước bảo vệ đoạn nối thụng tin vụ tuyến giữa MH và FA.
4.5. Phương phỏp lai cho nhận thực theo giao thức Mobile IP
Nhận thực theo giao thức đăng ký cơ sở trong Mobile IP được trỡnh bày ở trờn cần thiết phải giữ lại một phương phỏp dựa trờn khoỏ cụng cộng. Nú đó bị phờ bỡnh là khụng cú tớnh mở rộng đối với những mụi trường trong đú nhiều tổ chức quản lý muốn tương tỏc và muốn cỏc MH của họ tận dụng cỏc dịch vụ thụng qua cỏc mạng được quản lý bởi cỏc tổ chức khỏc. Trong một tài liệu năm 1999, Sufatrio và Kwok Yan Lam đó đề xuất một khoỏ riờng lai, một phương phỏp khoỏ cụng cộng cho nhận thực theo Mobile IP được thiết kế để giải quyết vấn đề tớnh mở rộng mà khụng phải thay đổi căn bản sự trao đổi bản tin trong giao thức đăng ký Mobile IP. Điều này được thực hiện bằng cỏch cho phộp HA đúng vai trũ cả agent nhận thực khoỏ cụng cộng và Trung tõm phõn phối khoỏ (KDC) cho cỏc khoỏ phiờn. Sufatrio và Lam chứng minh rằng đõy là sự lựa chọn cú ý nghĩa cho cơ sở hạ tầng khoỏ cụng cộng (PKI) đang phỏt triển mạnh, trong đú MH và HA điển hỡnh thuộc về cựng một tổ chức.
4.5.1 Cỏc phần tử dữ liệu trong Giao thức nhận thực Sufatrio/Lam
Cỏc phần tử dữ liệu chớnh được sử dụng trong Giao thức nhận Sufatrio/Lam như sau:
83
• CA (Certification Authority: Chớnh quyền chứng nhận): CA chịu trỏch nhiệm về việc phỏt hành cỏc chứng nhận (certificate) trong cơ sở hạ tầng khoỏ cụng cộng được đề xuất (PKI).
• HAID, FAID (Cỏc bộ nhận dạng của HA và FA): HA và FA được nhận dạng bởi cỏc địa chỉ IP tương ứng của chỳng.
• MHHM (Địa chỉ nhà của MH): Địa chỉ nhà của MH bao gồm địa chỉ IP trờn mạng nhà của nú.
• MHCOA (Care-of-Address của MH): Chăm súc địa chỉ hiện thời của MH được tạo thành bởi địa chỉ mạng của FA.
• NMH, NHA, NFA (Nonces): Cỏc Nonce được phỏt hành bởi MH, HA, và FA tương ứng.
• TMH, THA (Time Stamps): Cỏc tem thời gian được tạo bởi MH và HA tương ứng.
• KSHA-MH (Symmetric Private Key: Khoỏ riờng đối xứng): Một khoỏ đối xứng được dựng chung giữa HA và MH.
• KRHA, KRFA, KRCA (Private Keys: Cỏc khoỏ riờng): Cỏc khoỏ riờng
trong cỏc cặp khoỏ riờng/khoỏ cụng cộng thuộc cỏc cặp khoỏ khụng đối xứng của HA, FA và CA tương ứng.
• KUHA, KUFA, KUCA (Public Keys: Cỏc khoỏ cụng cộng): Cỏc khoỏ
cụng cộng trong cỏc cặp khoỏ riờng/khoỏ cụng cộng thuộc cỏc cặp khoỏ bất đối xứng của HA, FA và CA tương ứng.
• CertHA, CertFA (Certificates: Cỏc chứng nhận): Cỏc chứng nhận số của HA và FA tương ứng.
• Request, Reply, Advert (Message-Type Codes: Mó kiểu bản tin):
Chuỗi bớt chỉ thị cỏc kiểu bản tin yờu cầu, trả lời và quảng cỏo tương ứng.
• Sig (K, Mx) (Digital Signature: Chữ ký số): Một chữ ký số được tạo bằng cỏch ỏp dụng khoỏ K đối với bản tin Mx.
• MAC(K, Mx) (Message Authentication Code: Mó nhận thực bản tin): Một MAC được tạo bằng cỏch ỏp dụng khoỏ K tới bản tin Mx.
84
4.5.2 Hoạt động của giao thức nhận thực Sufatrio/Lam
Giao thức nhận thực dựa trờn khoỏ cụng cộng tối thiểu cú liờn quan đến sự trao đổi bản tin dưới đõy giữa MH, FA và HA.
• FA làm cho MH biết được sự khả dụng của nú thụng qua việc truyền dẫn bản tin “quảng cỏo agen.” Quảng cỏo agent bao gồm chứng nhận của FA và một chuỗi bản tin M1 bao gồm một mó chỉ thị rằng đõy là một bản tin quảng cỏo agent, địa chỉ IP của FA, và Care-of-Address mà sẽ được gỏn cho MH. FA cũng gắn một chữ ký sốđược tạo ra bằng cỏch ỏp dụng khoỏ riờng KRFA của cặp khoỏ riờng/khoỏ cụng cộng của nú vào bản tin M1.
• MH trả lời bằng cỏch gửi trở lại FA chuỗi bản tin M2. M2 bao gồm một mó chỉ thị một yờu cầu dịch vụ, địa chỉ IP của FA, địa chỉ IP của HA của MH, địa chỉ nhà của MH, COD của HM (vừa nhận được từ FA), một nonce được tạo bởi HA, một nonce được tạo bởi MH, và một phiờn bản của bản tin M1 nhận được trong bước trước. MH ký bản tin này với khoỏ bớ mật KSMH-HM, khoỏ này được sử dụng chung với HA của nú.
• FA nhận bản tin M2 và chuyển tiếp nú tới HA của MH, gắn một nonce của riờng nú.
• HA đầu tiờn đỏnh giỏ tớnh hợp lệ của chữ ký trờn bản tin M2, bằng cỏch sử dụng phiờn bản của khoỏ bớ mật dựng chung của nú KSMH-HA. HA xỏc nhận rằng cỏc địa chỉ IP cho cỏc FA được xỏc định trong sự trựng khớp bản tin M1 và bản tin M2 và sau đú đỏnh giỏ tớnh hợp lệ của chứng nhận của FA thụng qua khả năng của nú như một trung tõm nhận thực khoỏ cụng cộng. HA sau đú cũng cú thểđỏnh giỏ tớnh hợp lệ của chữ ký số của FA trờn bản tin M1, đó lấy ra khoỏ cụng cộng KUFA từ chứng nhận của FA.
• HA gửi trở lại FA chứng nhận của nú, CertHA cựng với một chuỗi bản tin M4. M4 chứa một mó chỉ thị rằng đõy là một reply đăng ký, một mó chỉ chị kết quả yờu cầu đăng ký, địa chỉ IP của FA, địa chỉ IP của HA, địa chỉ nhà của MH, một nonce được tạo bởi HA, và một nonce được tạo trước bởi MH. Một chữ ký số được tạo với khoỏ bớ mật được dựng chung bởi HA và MH được gắn vào chuỗi M4, và nonce được gửi bởi FA sau đú được gắn vào chuỗi này, cấu thành bản tin M3. Đến lượt HA ký M3 bằng cỏch sử dụng khoỏ riờng từ cặp khoỏ riờng/khoỏ cụng cộng của nú.
85
• Khi nhận được bản tin này từ HA, FA đảm nhận cỏc bước dưới đõy: (1) đỏnh giỏ tớnh hợp lệ phiờn bản nonce của nú NFA nhận được từ HA; (2) đỏnh giỏ tớnh hợp lệ của chữ ký số trờn bản tin M3, bằng cỏch sử dụng khoỏ cụng cộng của HA; và (3) tạo một đầu vào bản ghi với bản tin này mà sau đú đúng vai trũ như một bằng chứng rằng nú đó cung cấp dịch vụ tới MH. FA cũng lấy ra bản tin M4, như được mụ tả trong bước 5 ở trờn từ toàn bộ quỏ trỡnh truyền dẫn nú đó nhận được từ HA.
• FA sau đú chuyển bản tin M4 tới MH qua đoạn nối vụ tuyến.
• MH sử dụng khoỏ bớ mật KSMH-HAđểđỏnh giỏ tớnh hợp lệ chữ ký trờn bản tin M4 (Điều này làm cho giao thức Sufatrio/Lam trở thành một thiết kế lai khoỏ riờng và khoỏ cụng cộng).
Ba thực thể HA, FA và MH bõy giờ được nhận thực tới nhau và cú thể tiếp tục phiờn truyền thụng của chỳng. Sơ đồ hoạt động của giao thức Sufatrio/Lam xem hỡnh 4.3.
Thực tế, MH khụng nhận thực FA một cỏch trực tiếp nhưng cú thể đảm bảo rằng HA đó làm như vậy khi nú nhận được bản tin M4 và đỏnh giỏ tớnh hợp lệ của chữ ký trờn bản tin này. Chữ ký này lấy từ một bớ mật mà chỉ này MH dựng chung với HA. Theo giao thức Sufatrio/Lam, MH khụng phải thực hiện đỏnh giỏ chứng nhận hoặc kiểm tra cỏc revocation list, vỡ vậy giảm gỏnh nặng xử lý và truyền thụng trờn khối di động.
4.6. Hệ thống MoIPS: Mobile IP với một cơ sở hạ tầng khoỏ cụng cộng đầy
đủ
Khi truy nhập Internet phỏt triển ngày càng mạnh và khi cú thờm nhiều tổ chức vận hành mạng mà chứa cỏc MH hoặc muốn cung cấp cỏc dịch vụ thụng tin qua cơ sở hạ tầng Mobile IP thỡ cơ sở hạ tầng khoỏ cụng cộng (PKI) trở nờn hấp dẫn hơn. Việc tạo ra một cơ sở hạ tầng PKI như thế cho tớnh toỏn di động là một trở ngại khú vượt qua.
86
Hỡnh 4.3: Sơđồ minh hoạ hoạt động của giao thức Sufatrio/Lam cho nhận thực trong mụi trường Mobile IP. [Lấy từ Sufatrio và Lam]
4.6.1 Tổng quan về hệ thống MoIPS
Hệ thống MoIPS cú cỏc dịch vụ an ninh phõn phối sau: (1) nhận thực cỏc bản tin điều khiển Mobile IP trong cập nhật vị trớ, (2) ỏp dụng điều khiển truy nhập qua cỏc MH muốn sử dụng cỏc tài nguyờn trong mạng khỏch, và (3) cung cấp cỏc đường hầm an ninh cho cỏc gúi tin IP được định hướng lại.
87
• Nhận thực trong quỏ trỡnh cập nhật vị trớ: MoIPS hỗ trợ cả giao thức Mobile IP cơ bản lẫn cỏi được gọi là Mobile IP định tuyến tối ưu hoỏ. Theo Mobile IP định tuyến tối ưu hoỏ, CS mà cung cấp hỗ trợ di động cú thể được thụng bỏo về vị trớ hiện thời của MH mà chỳng muốn truyền thụng, vỡ vậy loại bỏ sự quanh co của định tuyến tay bao thụng qua mạng nhà. Nguy cơ an ninh là cỏc cuộc tấn cụng định hướng lại lưu lượng xa, trong đú một kẻ mạo danh chỉ dẫn CH chuyển tiếp cỏc gúi tin tới một vị trớ khỏc vị trớ mà MH đang cư trỳ hiện thời. Theo MoIPS, mỗi đăng ký Mobile IP và cập nhật ràng buộc (là sự thay đổi của bản tin vị trớ được chuyển đến CH) bao gồm một đuụi nhận dạng 64-bit (identification tag) để ngăn chặn cỏc cuộc tấn cụng và một hoặc nhiều phần mở rộng nhận thực (authentication extension) cung cấp tớnh toàn vẹn dữ liệu và nhận thực ban đầu thụng qua việc sử dụng MAC được tạo bởi hàm băm. MoIPS cũng cung cấp cỏc cặp khoỏ mật mó cho việc sử dụng giữa MH và FA, giữa FA và HA, và giữa MH và Corresponding Agent.
•Điều khiển truy nhập cho cỏc Mobile Host: Theo kiến trỳc MoIPS, cả cỏc node đầu cuối (như MH và CH) và cỏc tỏc nhõn hỗ trợ di động (HA và FA) giữ cỏc chứng nhận X.509 chứa cỏc tham số khoỏ cụng cộng cũng như cỏc thụng tin về nhận dạng và sự sỏp nhập cỏc thực thể. Cỏc chứng nhận được phỏt hành thụng qua cỏc phõn cấp CA theo cỏch bị ràng buộc bởi chuẩn X.509. Một FA cú thể sử dụng chứng nhận của một MH để nhận thực MH, và thành cụng của quỏ trỡnh nhận thực được bao hàm khi FA chuyển tiếp một yờu cầu đăng ký từ MH đến HA. Tuy nhiờn quyền sử dụng tài nguyờn mạng liờn quan đến việc kiểm tra cỏc trạng thỏi của MH mà xảy ra trong quỏ trỡnh nhận thực (chẳng hạn, kiểm tra liệu người sở hữu MH cú phải đang trả hoỏ đơn khụng). Chỉ cú HA tiến hành kiểm tra trạng thỏi này. Một sự kiểm tra thành cụng và vỡ vậy quyền sử dụng cỏc tài nguyờn mạng được yờu cầu là được phộp nếu HA gửi lại trả lời tới FA.
• Đường hầm an ninh cỏc gúi tin IP (Secure Tunneling of IP Packets): Trong thế giới Mobile IP, cỏc gúi dữ liệu di chuyển giữa cỏc Mobile Node, FA, HA và CS (mà như chỳng ta thấy cú thể là MH) đi qua Internet rộng lớn và khụng được bảo vệ, và ớt nhất một phần truyền dẫn của chỳng đi qua một đoạn nối vụ tuyến. Cỏc bước phải được thực hiện để bảo vệ cỏc gúi tin chống lại cỏc cuộc nghe trộm và sự sửa đổi cỏc gúi tin. Kiến trỳc hệ thống MoIPS xỏc định rằng HA và FA chịu trỏch nhiệm về việc đảm bảo rằng tất cả việc truyền thụng với MH sử dụng cỏc đường hầm an ninh cho tớnh toàn
88 vẹn dữ liệu, nhận thực khởi đầu và khi cần cú cả tớnh tin cậy dữ liệu. MoIPS xỏc định việc sử dụng kiểu xuyờn đường hầm giao thức an ninh đúng gúi (ESP: Encapsulation Security Protocol) của IPSec như là phương phỏp để thực hiện cỏc mục tiờu an ninh này. Cỏc bờn truyền thụng đàm phỏn cỏc cơ chế bảo mật và mật mó được sử dụng trong cơ cấu tổ chức ESP, nhưng tất cả cỏc gúi sẽđược đúng gúi trong một header IPSec và một