Kiểm soát quyền truy nhập bảo vệ cho hệ thống không dây khỏi các mối đe dọa bằng cách xác định cái gì có thể đi vào và đi ra khỏi mạng. Việc kiểm soát truy nhập sẽ xác định trên mọi dịch vụ và ứng dụng cơ bản hoạt động trên hệ thống.
2.4.2.2 Kiểm soát sự xác thực người dùng (Authentication)
Kiểm soát sự xác thực người sử dụng là bước tiếp theo sau khi được truy nhập vào mạng. Người sử dụng muốn truy nhập vào các tài nguyên của mạng thì sẽ phải được xác nhận bởi hệ thống bảo mật. Có thể có mấy cách kiểm soát sự xác thực người sử dụng:
Xác thực người sử dụng: cung cấp quyền sử dụng các dịch vụ cho mỗi người dùng. Mỗi khi muốn sử dụng một tài nguyên hay dịch vụ của hệ thống, anh ta sẽ
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
phải được xác thực bởi một máy chủ xác thực người sử dụng và kiểm tra xem có quyền sử dụng dịch vụ hay tài nguyên của hệ thống không.
Xác thực trạm làm việc: Cho phép người sử dụng có quyền truy nhập tại những máy có địa chỉ xác định. Ngược lại với việc xác thực người sử dụng, xác thực trạm làm việc không giới hạn với các dịch vụ.
Xác thực phiên làm việc: Cho phép người sử dụng phải xác thực để sử dụng từng dịch vụ trong mỗi phiên làm việc.
Có nhiều công cụ dùng cho việc xác thực, ví dụ như:
+ TACACS dùng cho việc truy nhập từ xa thông qua Cisco Router. + RADIUS khá phổ biến cho việc truy nhập từ xa (Remote Access). + Firewall cũng là một công cụ mạnh cho phép xác thực cả 3 loại ở trên.
2.4.2.3 Tăng cường nhận thức người dùng
Một khía cạnh khác rất cần thiết đối với bật kỳ chính sách bảo mật nào là đào tạo sự nhận thức về bảo mật cho người sử dụng. Việc đào tạo này sẽ chú trọng vào cách sử dụng đúng cách thức và sử dụng các thiết bị điện tử cá nhân để giảm ảnh hưởng của việc mất hoặc bị lấy trộm các thiết bị này. Một nhân tố bảo mật đáng ghi nhận khác được gắn với việc sử dụng đúng cách công nghệ không dây là sự nhận thức của người sử dụng rằng các thiết bị điện tử cá nhân này trên thực tế có khả năng hoạt động như một máy tính cá nhân hoặc một trạm làm việc (workstation). Củng cố việc đào tạo về các tiêu chuẩn bảo mật thông tin, cùng với
các chính sách về không dây của công ty, có thể giúp người dùng tăng cường nhận thức của mình về sự rủi ro của hệ thống này.
2.4.3 Vấn đề bảo mật trong lớp PHY và lớp MAC 2.4.3.1 Những vấn đề ở lớp PHY 2.4.3.1 Những vấn đề ở lớp PHY
Hai tín hiệu gây nhiễu chính ở lớp PHY là jamming và scrambling. Jamming có được khi nhiễu mạnh nhiều hơn so với công suất kênh WiMax. Các thông tin và thiết bị cần để thực hiện gây nhiễu dễ dàng có được. Khả năng phục hồi tín hiệu khi bị Jamming được tăng lên bằng cách tăng công suất tín hiệu hay làm tăng băng thông của tín hiệu thông qua các kĩ thuật truyền như nhảy tần hoặc trải phổ chuỗi
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
trực tiếp. Trên thực tế, người ta chọn một máy phát có công suất lớn, anten phát có độ lợi cao, hoặc anten thu có độ lợi cao. Tín hiệu jamming rất dễ dò thu phát bởi thiết bị nhận. Luật cưỡng chế cũng giúp ngăn chặn thiết bị làm nhiễu. Jamming dễ dàng phát hiện và dò địa chỉ, do đó nó không gây ra một tác động đáng kể lên cả người dùng WiMax và hệ thống.
Scrambling thường bị kích hoạt trong khoảng thời gian ngắn và mục tiêu là các frames hoặc các phần frames của WiMax. Scrambling có thể được loại bỏ bằng bộ lọc điều khiển Scrambling hoặc gói tin quản lý với mục đích là thao tác mạng bình thường. Những khe của luồng dữ liệu nhắm đến SSs có thể chọn lọc scrambling, ép nó phát lại. Attacker, giả làm một SS qua đó làm giảm băng thông của người bị tấn công. Tức là, khác SSs và tăng tốc độ xử lý dữ liệu của chính họ bằng cách chọn lọc Scrambling bởi những những đường uplink của SSs khác. Không giống như trạng thái ngẫu nhiên của WiMax jammer, scrambler cần thông tin điều khiển phiên dịch WiMax đúng và để phát sinh nhiễu đúng khoản thời gian. Tấn công từ scrambling là làm gián đoạn, và làm tăng dữ liệu dò tìm. Theo dõi sự bất thường ở xa theo định dạng là dò tìm scrambling and scramblers.
2.4.3.2 Những vấn đề ở lớp MAC
MPDU là dữ liệu được truyền trong lớp WiMax MAC. MPDU sử dụng những mẫu khác nhau để mang những thông tin khác nhau. Mẫu chung của MPDU nằm ở MAC header, service data, và CRC (cyclic redundancy check). Không có trở ngại chung ở cấu trúc chứa MAC header chứa thông tin mã. Mã hóa là đặt vào MAC PDU payload.
Tất cả các thông báo quản lý MAC được gởi mà không cần mã hóa để tạo điều kiện cho cài đặt, sắp xếp, và thao tác MAC. Các gói tin quản lý mang theo MPDU. WiMax sẽ không mã hóa MAC headers và gói tin quản lý MAC, nhằm mục đích là thao tác với những hệ thống khác nhau ở lớp MAC. Bởi vậy, hacker có thể nghe lén kênh WiMax, và khôi phục lại các thông tin từ những gói tin quản lý MAC không được mã hóa. Nghe trộm những gói tin không được quản lý này giúp tin tặc biết được topo mạng, tấn công SSs cũng như hệ thống WiMax. WiMax cần sự
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
chứng thực cao hơn. Ý tưởng là sử dụng thiết bị RSA (Rivest-Shamir- Adleman)/X.509 chứng nhận số. Chứng nhận số được sử dụng cho xác thực và dò tìm quản lý. Thiết bị không nhận thực khóa nghe trộm từ mạng.
Ăn trộm căn cước đe dọa đến những dịch vụ của WiMax. Thiết bị giả có thể sử dụng địa chỉ phần cứng giả để đăng kí thiết bị bằng cách chia những gói tin quản lý ra ngoài. Một lần thành công hacker có thả giả làm BS, làm cho SSs liên hệ đến BS giả cuối cùng các dịch vụ được cung cấp bởi BS giả, kết quả chất lượng dịch vụ bị giảm sút hay không thể đáp ứng được dịch vụ.
WiMax sử dụng đa truy cập phân chia theo thời gian (TDMA). Để trộm căn cước attacker phải truyền trong khi BS thật là phát. Tín hiệu của attacker phải nhắm đến đúng SSs và phải mạnh hơn tín hiệu BS thật trong giải nền. Từ đó dữ liệu truyền được chia ra những time slots, attacker đóng vai trò là một phiên dịch time slots được cấp phát đến hợp pháp hóa BS một cách thành công, và dò tín hiệu BS chính xác. Xác thực lẫn nhau làm giảm khả năng ăn trộm căn cước.
2.4.4 Lớp con bảo mật
Mạng WiMax sử dụng một lớp con bảo mật riêng, lớp con này nằm ở lớp MAC, ngay sát lớp vật lý. Lớp này thực hiện mã hoá trước khi truyền đi và giải mã dữ liệu nhận được từ lớp vật lý. Lớp con bảo mật cũng thực hiện nhận thực và trao đổi khóa bảo mật. Có 2 giao thức hoạt động chính trong lớp con bảo mật:
+ Giao thức mã hoá dữ liệu thông qua mạng băng rộng không dây;
+ Giao thức quản lý khoá và bảo mật (PKM) đảm bảo an toàn cho quá trình phân phối khoá từ BS tới SS. Nó cũng cho phép BS đặt điều khiển truy nhập cho các dịch vụ mạng.
* Giao thức PKM sử dụng:
- Thuật toán khoá công khai RSA - Chứng thực số X.509
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
* Liên kết bảo mật SA
SA chứa các thông tin về bảo mật của một kết nối: tức là các khoá và các thuật toán mã hoá được lựa chọn. Các kết nối quản lý cơ sở và sơ cấp không có SA, Tuy vậy tính nguyên vẹn của bản tin quản lý vẫn được đảm bảo. Quản lý thứ cấp có thể có SA. Các kết nối vận chuyển luôn chứa SA. SA là một hệ thống thông tin bảo mật một BS và một hoặc nhiều hơn các SS khách chia sẻ để hỗ trợ đảm bảo sự truyền thông trong mạng 802.16. Ba loại SA được định nghĩa: Sơ cấp, tĩnh và động. Mỗi SS thiết lập một liên kết bảo mật sơ cấp trong suốt quá trình khởi tạo SS. Các SA tĩnh được cung cấp cho BS. Các SA động được thiết lập và loại bỏ khi bắt đầu và kết thúc các luồng dịch vụ xác định. Cả SA tĩnh và SA động đều có thể được chia sẻ bởi nhiều SS.
Thông tin được chia sẻ của SA sẽ bao gồm bộ mã hóa trong SA. Thông tin được chia sẻ có thể bao gồm các TEK và các vecto khởi tạo. Nội dung thêm vào của SA phụ thuộc vào bộ mã hóa.
Các SA được nhận dạng sử dụng SAID
Mỗi SS sẽ thiết lập một SA ban đầu dành riêng với BS của nó. SAID của bất kỳ SA ban đầu của SS sẽ có thể bằng CID cơ bản của SS đó. Sử dụng giao thức PKM, một SS yêu cầu từ BS của nó một khóa cần thiết của SA. BS sẽ đảm bảo rằng mỗi khoách SS chỉ truy cập tới SA mà nó được phép truy cập.
Có 2 SA: DSA (Data SA- Liên kết bảo mật dữ liệu) và ASA (Liên kết bảo mật chứng thực)
* Liên kết bảo mật dữ liệu DSA:
+ 16 bit nhận dạng SA, thông tin phương thức mã hoá nhằm bảo vệ dữ liệu khi truyền chúng trên kênh truyền.
+ 2 khoá bảo mật lưu lượng TEK để mã hoá dữ liệu: một TEK đang hoạt động và một khoá dự phòng. Mỗi TEK nằm trong khoảng 30 phút tới 7 ngày.
Có 3 loại DSA:
+ Primary SA được sử dụng trong quá trình khởi tạo liên kết. Được chia sẻ giữa MS và BS đang phục vụ nó;
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
+ Static SA đã được cấu hình trên B;
+ Dynamic SA được sử dụng cho các kết nối vận chuyển khi cần.
Static SA và Dynamic SA có thể được một vài MS chia sẻ trong hoạt động Multicast.
Khi thực hiện một kết nối, đầu tiên SA khởi tạo một DSA bằmg cách sử dụng chức năng yêu cầu kết nối.
Một SS thông thường có 2 hoặc 3 SA: - Một cho kết nối quản lý thứ cấp
- Một cho kết nối cho cả đường lên và đường xuống, hoặc sử dụng các SA tách biệt cho kênh đường lên và đường xuống.
BS đảm bảo rằng mỗi SS chỉ có thể truy nhập bằng SA mà nó cấp riêng cho SS.
* ASA ( SA chứng thực)
SA chứng thực bao gồm một khoá cấp phép dài 60 bit (AK) và 4 bit nhận dạng AK. Thời gian sử dụng của AK thay đổi từ 1 tới 70 ngày. Khoá mã hoá khoá KEK sử dụng thuật toán 3 DES 112 bit cho các TEK phân phối và một danh sách các DSA cấp phép.
Khoá HMAC đường xuống DL và đường lên UL được sử dụng để nhận thực dữ liệu trong bản tin phân phối khoá từ BS tới SS và SS tới BS. Trạng thái của một SA chứng thực được chia sẻ giữa một BS và một SS thực tế. Các BS sử dụng SA chứng thực để cấu hình các DSA trên SS.
2.4.5 Giao thức quản lý khóa PKM
Một SS sử dụng giao thức PKM để thu được sự nhận thực thiết bị và mã hóa lưu lượng cần thiết từ BS và để hỗ trợ nhận thực lại định kỳ và làm tươi khóa. Giao thức quản lý khóa sử dụng chứng chỉ số X.509 và thuật toán đối xứng mạnh để thực hiện việc trao đổi khóa giữa SS và BS.
Giao thức PKM gắn với một mô hình khách/chủ, trong đó SS một PKM “khách” yêu cầu khóa cần thiết, và BS một PKM “chủ” trả lời các yêu cầu đó, đảm bảo rằng các khách SS riêng lẻ chỉ nhận khóa cần thiết mà chúng được cấp phép.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Giao thức PKM sử dụng thông điệp quản lý MAC, tức là PKM-REQ và thông điệp PKM-RSP.
Giao thức PKM sử dụng mật mã khóa công khai để thiết lập sự bí mật được chia sẻ (tức là AK) giữa SS và BS. Sự bảo mật được chia sẻ sau đó được sử dụng để đảm bảo sự trao đổi PKM trình tự con của các TEK. Kỹ thuật hai tầng này để phân bổ khóa làm tươi các TEK không xâm nhập vượt quá sự hoạt động của khóa công khai.
Một BS nhận thực một SS khách trong suốt sự trao đổi chứng thực ban đầu. Mỗi SS có một chứng chỉ số X.509 duy nhất, và sau đó được sử dụng bởi nhà sản xuất của SS. Chứng chỉ số bao gồm một khóa công khai của SS và địa chỉ SS MAC. Khi yêu cầu một AK, một SS đưa ra chứng chỉ số của nó tới BS. BS kiểm lại chứng chỉ số và sau đó khóa công khai được kiểm lại để mã hóa một AK mà sau đó BS gửi lại yêu cầu tới SS.
BS kết hợp một sự nhận dạng nhận thực của SS tới trạm tới một trạm con, và để loại bỏ các dịch vụ dữ liệu mà trạm thêu bao được cấp phép truy cập. Vì vậy với sự trao đổi AK, BS thiết lập một sự nhận dạng được nhận thức của SS khách và các dịch vụ mà SS được cấp phép truy cập.
Sau khi BS nhận thực SS, nó có thể bảo vệ ngược lại một kẻ tấn công bắt trước SS, giả mạo như là một SS của trạm thuê bao hợp pháp. Sử dụng các chứng chỉ X.509 ngăn cản các SS nhái từ những tài liệu hợp pháp tới BS.
Tất cả các SS sẽ có sự cài đặt của hãng cặp khóa riêng/công khai RSA hoặc cung cập một thuật toán trong để sinh ra cặp khóa động. Nếu một SS dựa vào một thuật toán trong để sinh ra cặp khóa RSA, SS sẽ sinh ra cặp khóa để trao đổi AK đầu tiên. Tất cả các SS với sự cài đặt cặp khóa RSA của hãng cũng sẽ có sự cài đặt chứng chỉ X.509 của hãng. Tất cả các SS dựa vào thuật toán trong để sinh cặp khóa RSA sẽ hỗ trợ một kỹ thuật để cài đặt một chứng chỉ X.509 được sử dụng bởi nhà sản xuất theo sau sự sinh khóa.
PKM hỗ trợ 2 cơ chế giao thức nhận thực riêng biệt: - Giao thức RSA (hỗ trợ bắt buộc trong PKMv1)
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Giao thức nhận thực mở rộng (tùy chọn trừ khi yêu cầu được xác định ) Giao thức quản lý khóa có hai phiên bản:
* PKMv1 - Nhận thực - Trao đổi khóa - Mã hóa dữ liệu
* PKMv2
- Quy trình cấp phép lẫn nhau - Trao đổi khóa với RSA - Trao đổi khóa với EAP
2.4.5.1 PKMv1
Mục đích của phần này là cung cấp cho người đọc hiểu một cách tổng quan về giao thức PKM cơ bản hay còn gọi là PKM phiên bản thứ nhất. Một SS xác định phải qua quá trình tiếp cận và khởi tạo trước khi nó có thể được truy cập các dịch vụ của mạng. Quá trình này bao gồm một số bước, một trong các bước đó là BS sử dụng giao thức PKM xác thực cho SS. Giao thức này thuộc các chỉ tiêu kĩ thuật của DOCSISBPI+ cho cable modem trong hệ thông CableLabs. Các SS yêu cầu phải có chứng nhận thiết bị đuợc gán trong quá trình sản xuất để phục vụ cho xác thực và cấp quyền nhưng BS lại không yêu cầu các chứng nhận tượng tự. Do đó quá trình xác thực chỉ diễn ra một phía. Tín hiệu cấp quyền thành công cho SS là BS gửi một bản tin chứa một khóa AK, khóa này sẽ sử dụng để bảo vệ cho quá trình phân phát khóa TEK từ BS cho SS. Cả hai khóa AK và TEK được quản lí bởi thiết bị trạng thái riêng biệt và khóa cũ sẽ được làm mới một cách định kì bởi một khóa mới sau quá trình thay đổi khóa.
Giao thức PKM sử dụng để một SS có thể nhận được khóa lưu lượng và được cấp quyền bởi BS. PKM còn hỗ trợ việc tái xác thực và làm mới khóa. Giao thức PKM sử dụng chứng nhận số X.509 và two-key triple DES để bảo đảm an toàn cho khóa trao đổi giữa SS và BS theo mô hình client-server. Khi đó SS là một client yêu cầu khóa trong khi BS là server đáp ứng các yêu cầu đó, bảo đảm client SS cá