Hệ thống MoIPS cú cỏc dịch vụ an ninh phõn phối sau: (1) nhận thực cỏc bản tin điều khiển Mobile IP trong cập nhật vị trớ, (2) ỏp dụng điều khiển truy nhập qua cỏc MH muốn sử dụng cỏc tài nguyờn trong mạng khỏch, và (3) cung cấp cỏc đường hầm an ninh cho cỏc gúi tin IP được định hướng lại.
87
• Nhận thực trong quỏ trỡnh cập nhật vị trớ: MoIPS hỗ trợ cả giao thức Mobile IP cơ bản lẫn cỏi được gọi là Mobile IP định tuyến tối ưu hoỏ. Theo Mobile IP định tuyến tối ưu hoỏ, CS mà cung cấp hỗ trợ di động cú thể được thụng bỏo về vị trớ hiện thời của MH mà chỳng muốn truyền thụng, vỡ vậy loại bỏ sự quanh co của định tuyến tay bao thụng qua mạng nhà. Nguy cơ an ninh là cỏc cuộc tấn cụng định hướng lại lưu lượng xa, trong đú một kẻ mạo danh chỉ dẫn CH chuyển tiếp cỏc gúi tin tới một vị trớ khỏc vị trớ mà MH đang cư trỳ hiện thời. Theo MoIPS, mỗi đăng ký Mobile IP và cập nhật ràng buộc (là sự thay đổi của bản tin vị trớ được chuyển đến CH) bao gồm một đuụi nhận dạng 64-bit (identification tag) để ngăn chặn cỏc cuộc tấn cụng và một hoặc nhiều phần mở rộng nhận thực (authentication extension) cung cấp tớnh toàn vẹn dữ liệu và nhận thực ban đầu thụng qua việc sử dụng MAC được tạo bởi hàm băm. MoIPS cũng cung cấp cỏc cặp khoỏ mật mó cho việc sử dụng giữa MH và FA, giữa FA và HA, và giữa MH và Corresponding Agent.
•Điều khiển truy nhập cho cỏc Mobile Host: Theo kiến trỳc MoIPS, cả cỏc node đầu cuối (như MH và CH) và cỏc tỏc nhõn hỗ trợ di động (HA và FA) giữ cỏc chứng nhận X.509 chứa cỏc tham số khoỏ cụng cộng cũng như cỏc thụng tin về nhận dạng và sự sỏp nhập cỏc thực thể. Cỏc chứng nhận được phỏt hành thụng qua cỏc phõn cấp CA theo cỏch bị ràng buộc bởi chuẩn X.509. Một FA cú thể sử dụng chứng nhận của một MH để nhận thực MH, và thành cụng của quỏ trỡnh nhận thực được bao hàm khi FA chuyển tiếp một yờu cầu đăng ký từ MH đến HA. Tuy nhiờn quyền sử dụng tài nguyờn mạng liờn quan đến việc kiểm tra cỏc trạng thỏi của MH mà xảy ra trong quỏ trỡnh nhận thực (chẳng hạn, kiểm tra liệu người sở hữu MH cú phải đang trả hoỏ đơn khụng). Chỉ cú HA tiến hành kiểm tra trạng thỏi này. Một sự kiểm tra thành cụng và vỡ vậy quyền sử dụng cỏc tài nguyờn mạng được yờu cầu là được phộp nếu HA gửi lại trả lời tới FA.
• Đường hầm an ninh cỏc gúi tin IP (Secure Tunneling of IP Packets): Trong thế giới Mobile IP, cỏc gúi dữ liệu di chuyển giữa cỏc Mobile Node, FA, HA và CS (mà như chỳng ta thấy cú thể là MH) đi qua Internet rộng lớn và khụng được bảo vệ, và ớt nhất một phần truyền dẫn của chỳng đi qua một đoạn nối vụ tuyến. Cỏc bước phải được thực hiện để bảo vệ cỏc gúi tin chống lại cỏc cuộc nghe trộm và sự sửa đổi cỏc gúi tin. Kiến trỳc hệ thống MoIPS xỏc định rằng HA và FA chịu trỏch nhiệm về việc đảm bảo rằng tất cả việc truyền thụng với MH sử dụng cỏc đường hầm an ninh cho tớnh toàn
88 vẹn dữ liệu, nhận thực khởi đầu và khi cần cú cả tớnh tin cậy dữ liệu. MoIPS xỏc định việc sử dụng kiểu xuyờn đường hầm giao thức an ninh đúng gúi (ESP: Encapsulation Security Protocol) của IPSec như là phương phỏp để thực hiện cỏc mục tiờu an ninh này. Cỏc bờn truyền thụng đàm phỏn cỏc cơ chế bảo mật và mật mó được sử dụng trong cơ cấu tổ chức ESP, nhưng tất cả cỏc gúi sẽđược đúng gúi trong một header IPSec và một header IP mở rộng mà nhận dạng cỏc điểm đầu cuối của đường hầm. Để thực hiện điều này, MoIPS chứa một module hệ thống hỗ trợ IPSec và ISAKMP (Internet Security Association and Key Management Protocol).
So với cỏc giao thức nhận thực chỳng ta đó nghiờn cứu trong cỏc chương trước cho cỏc mạng tổ ong số thỡ MoIPS cú sự khởi đầu rừ ràng hơn trong thế giới giao thức Internet ngược với cỏc giao thức độc quyền của cỏc mạng truyền thụng tổ ong. Cũng rừ ràng hơn là sự phụ thuộc vào mật mó khoỏ cụng cộng và cỏc phần tử của PKA, bao gồm cỏc chứng nhận số và một tập cỏc CA liờn quan với nhau.