Mô hình phân cấp chức năng của hệ thống

Một phần của tài liệu Nghiên cứu giải pháp bảo mật mạng 3G (Trang 48)

Hệ thống bao gồm những chức năng chính sau (hình 3.6)

Hình 3.6. Mô hình phân cấp chức năng của hệ thống 3.5.4. Chức năng thiết lập kết nối.

Bảo mật thoại

Thiết lập kết nối Quản trị khóa Truyền nhận tín hiệu âm thanh

Mã hóa và giải mã dữ liệu

Tạo khóa công khai/bí mật

Trao đổi khóa công khai

Mỗi lần thực hiện cuộc gọi, các user đều phải thực đăng ký tới máy chủ SIP (hình 3.7) và sau đó SIP Server sẽ tạo phiên làm việc cho các user để thực hiện cuộc gọi (hình 3.8)

Hình 3.7. Quá trình user đăng ký tới máy chủ SIP

Hình 3.8. SIP Server tạo phiên làm việc cho các user 3.5.5. Chức năng quản trị khóa

Chức năng quản trị khóa đƣợc thực hiện qua 2 quá trình: quá trình tạo khóa và quá trình trao đổi khóa.

Mỗi lần thiết lập cuộc gọi, giữa hai bên thu nhận sẽ phải tạo ra cặp khóa bí mật/công khai của mình và thực hiện quá trình trao đổi khóa cho nhau. Vì thế ta cần xây dựng chức năng quản trị khóa với các quá trình sau:

Để mã hóa và giải mã, chúng ta xây dựng một đƣờng cong Elliptic trên trƣờng hữu hạn, đƣờng cong có dạng: (E) y2

= x3 + ax + b. Với các tham số a, b và điểm cơ sở P(x, y) E đƣợc lựa chọn từ trƣớc.

Ví dụ: Đƣờng cong Elliptic với khóa có kích thƣớc 256 bit

a = 115792089210356248762697446949407573530086143415290314195533631308867097853948 b = 41058363725152142129326129780047268409114441015993725554835256314039467401291 x = 48439561293906451759052585252797914202762949526041747995844080717082404635286 y = 36134250956749795798585127919587881956611106672985015071877198253568414405109

Khóa bí mật của ngƣời sử dụng đƣợc tạo ra một cách ngẫu nhiên sử dụng phƣơng thức tạo số ngẫu nhiên. Khóa công khai đƣợc tạo bằng cách bội k lần điểm cơ sở P(x, y) pk(x, y) = k * P(x, y) Ví dụ: Khóa có kích thƣớc 256 bit – sk, pk(x, y) sk = 111809679588281292028419865137726866135454716029273445329238669915148149018647 x = 107317504824797556370614387232103655718868186078211666892634154570499075964029 y = 19760838829061322597720907248771478187002657505342052311764641955791339620234

Quá trình trao đổi khóa

Quá trình trao đổi khóa công khai đƣợc minh họa nhƣ hình 3.9.

Hình 3.9. Minh họa quá trình trao đổi khóa công khai

Để trao đổi khóa giữa hai ngƣời dùng, ta sử dụng thuật toán trao đổi khóa cho mã hóa đƣờng cong elliptic dựa trên thuật toán RSA. Khóa công khai của ngƣời nhận sẽ đƣợc ngƣời gửi sử dụng để mã hóa dữ liệu, khi đó, ngƣời nhận sẽ sử dụng khóa bí mật của mình để giải mã dữ liệu nhận đƣợc từ ngƣời gửi.

Khi khởi tạo thành công cặp khóa, ngƣời dùng sẽ thực hiện đăng ký khóa bằng phƣơng pháp truy cập tới một tệp dữ liệu dùng chung. Dữ liệu đƣợc lƣu bao gồm tên ngƣời dùng và khóa công khai của ngƣời dùng đó. Ngƣời dùng thực hiện kết nối và truy cập tới tệp đó sử dụng giao thức FTP.

Việc sử dụng mỗi cặp khóa ngẫu nhiên trong mỗi phiên kết nối của cuộc gọi thoại đảm bảo dữ liệu đƣợc mã hóa một cách an toàn hơn khi sử dụng khóa cố định. Khi đó, trƣớc mỗi cuộc gọi đi, chƣơng trình sẽ thực hiện kết nối tới nơi lƣu trữ khóa công khai và nhận khóa công khai của ngƣời nhận cuộc gọi. Nếu thành công, chƣơng trình sẽ thiết lập kết nối cuộc gọi thoại tới ngƣời nhận. Đồng thời, mỗi khi nhận đƣợc

Ngƣời gọi A Máy chủ FTP Ngƣời gọi B

Kết nối, truy cập Kết nối, truy cập

yêu cầu kết nối, chƣơng trình sẽ thực hiện kết nối tới lƣu trữ khóa công khai và nhận khóa công khai của ngƣời gọi.

3.5.6. Chức năng mã hóa và giải mã dữ liệu

Chức năng này chúng ta sẽ đề cập đến việc mã hóa và giải mã dữ liệu âm thanh sử dụng hệ mật đƣờng cong elliptic, với việc mã hóa sử dụng khóa có kích thƣớc 112, 160, 256 bit.

Chức năng mã hóa đƣợc kích hoạt sau khi chức năng kết nối thiết lập thành công kết nối giữa ngƣời gọi tới SIP Server và giữa SIP Server với ngƣời nhận. Công việc của chức năng mã hóa là gọi tới các phƣơng thức mã hóa tiếng nói sử dụng phƣơng pháp mã hóa đƣờng cong elliptic (hình 3.10). Dữ liệu đƣợc chia thành các gói (RTP packet) sau khi mã hóa sẽ đƣợc gửi đi, sử dụng giao thức truyền nhận RTP (hình 3.11).

Hình 3.10. Lƣu đồ giải thuật chức năng mã hóa

Buffer

Running

Mã hóa sử dụng đƣờng cong Elliptic

Kết thúc

Lấy một gói dữ liệu từ buffer

Chép gói dữ liệu vào buffer

Sai

Hình 3.11. Lƣu đồ giải thuật truyền dữ liệu

Chức năng giải mã đƣợc kích hoạt đƣợc kích hoạt tƣơng tự nhƣ chức năng mã hóa. Chƣơng trình sẽ sử dụng giao thức RTP để nhận dữ liệu (hình 3.12). Sau đó chức năng giải mã sẽ xác định phƣơng pháp giải mã tƣơng ứng với phƣơng pháp mã hóa đƣợc sử dụng ở bên ngƣời gửi. Sau khi dữ liệu đƣợc giải mã, dữ liệu đƣợc chuyển vào buffer phát tiếng nói (hình 3.13)

Hình 3.12. Lƣu đồ giải thuật nhận dữ liệu

Bắt đầu

Có gói tin chƣa nhận

Dùng giao thức RTP

Lấy gói tin

Kích hoạt chức năng giải mã Kết thúc Sai Đúng Bắt đầu Buffer truyền có dữ liệu

Lấy một gói dữ liệu từ Buffer truyền

Kích hoạt chức năng mã hóa

Truyền theo giao thức RTP

Kết thúc

Sai

Hình 3.13. Lƣu đồ giải thuật chức năng mã hóa 3.5.7. Phát triển ứng dụng

Do nhu cầu sử dụng VoIP rất lớn nên hiện nay đã có nhiều nhà phát triển các ứng dụng để gọi điện thoại trên nền VoIP, nổi bật trong đó có Sipdroid của nhà phát triển i-p-tel GmbH, ngƣời sử dụng có thể tải ứng dụng về và cài đặt theo địa chỉ:

http://vi.4androidapps.net/developer/i-p-tel-gmbh

Tuy nhiên các cuộc trao đổi thoại qua ứng dụng này chƣa đảm bảo tính năng bảo mật, có thể dẫn đến nguy cơ mất an ninh an toàn thông tin khi các Sip phone thực hiện giao dịch với nhau.

Xuất phát từ nhiệm vụ của đề tài luận văn, tác giả đã vận dụng những kiến thức đã tìm hiểu, nghiên cứu trong quá trình làm đề tài để tích hợp thêm tính năng bảo mật cho ứng dụng.

Trƣớc hết chúng ta vào googlecode để tải mã nguồn của ứng dụng theo địa chỉ

http://sipdroid.googlecode.com/svn/trunk/ , để làm đƣợc điều này thì chúng ta phải check out bằng SVN (Subversion) thông qua bộ cài đặt TortoiseSVN.

Công việc còn lại là chúng ta đi xây dựng các package bao gồm các class đáp ứng các chức năng của hệ thống nhƣ đã trình bày ở mục 3.5.3.

Bảng 3.1. Mô tả các package và các class tƣơng ứng.

Buffer

Running

Giải mã sử dụng đƣờng cong Elliptic

Kết thúc

Lấy một gói dữ liệu từ buffer

Chép gói dữ liệu vào buffer

Sai

package class Ý nghĩa

taovb.ecc.elliptic

EllipticCurve Lớp định nghĩa đường cong Elliptic

CryptElliptic Lớp tạo khóa

ECkey Lớp tạo khóa private và public

taovb.ftp.client FTPUtils Lớp tương tác với Server

org.sipdroid.sipua.ui

sipdroid Lớp cập nhật khóa công khai lên ftp Server và nhận khóa công khai

EncryptElliptic Lớp thực hiện mã hóa

DecryptElliptic Lớp thực hiện giải mã

3.5.8. Cài đặt hệ thống

Để triển khai mô hình, hệ thống bao gồm các thành phần:

 Hai thiết bị di động (điện thoại) cài đặt chƣơng trình và một máy tính cài SIP server.

 Sử dụng một FTP Server để phân phối khóa công khai của ngƣời dùng.

 Kết nối vật lý LAN, Internet...

3.5.8.1. Cài đặt máy chủ SIP

Cài đặt máy chủ SIP sử dụng phần mềm OfficeSIP Server (tải về tại http://www.officesip.com), giao diện nhƣ hình . Khi có một kết nối thành công tới tài khoản SIP, biểu tƣợng kết nối sẽ đƣợc chuyển sang màu xanh.

Hình 3.14. Quản lý tài khoản SIP trong OfficeSIP

Chƣơng trình sử dụng một máy chủ FTP để lƣu trữ tệp khóa công khai dùng chung cho tất cả ngƣời dùng. Mỗi ngƣời dùng sẽ đƣợc cấp tài khoản mặc định và quyền đọc và ghi tệp trên máy chủ.

Tệp khóa công khai đƣợc xây dựng theo định dạng XML (Ngôn ngữ đánh dấu mở rộng), mỗi khi chƣơng trình khởi tạo khóa, sẽ thực hiện thêm (hoặc sửa) vào tệp.

Hình 3.15. Đăng nhập vào máy chủ FTP với tài khoản đƣợc cấp

3.5.8.3. Cài đặt chương trình

Chƣơng trình ứng dụng đƣợc cài đặt thử nghiệm trên Emulator của Android

 Khi chƣơng trình ứng dụng đƣợc mở, ngƣời sử dụng nhập thông tin tài khoản SIP trong phần cấu hình.

 Nếu tài khoản đúng, một kết nối sẽ đƣợc thực hiện tới máy chủ SIP, biểu tƣợng kết nối sẽ chuyển sang màu xanh.

Hình 3.17. Kết quả việc kết nối tài khoản với máy chủ SIP thành công

a) Chức năng trao đổi khóa

Khi kết nối thành công, ngƣời dùng có thể thực hiện cuộc gọi, khi kết nối đƣợc tới ngƣời nhận cuộc gọi, khóa công khai của ngƣời gọi và ngƣời nhận đƣợc trao đổi với nhau.

Ví dụ:

- Ngƣời gọi có số 5554 gọi sẽ thực hiện cuộc gọi tới ngƣời nhận số 5556 bằng cách nhập thông tin tài khoản ngƣời gọi.

Hình 3.18. Nhập thông tin tài khoản ngƣời nhận

- Tiến hành thực hiện cuộc gọi tới tài khoản 5556

Hình 3.19. Ngƣời có tài khoản 5554 thực hiện cuộc gọi

- Hai bên thực hiện cuộc gọi

Hình 3.20. Hai bên thực hiện cuộc gọi

- Nội dung cuộc gọi sẽ đƣợc mã hóa bằng khóa công khai của ngƣời đàm thoại với mình.

Hình 3.21. Hai bên sử dụng khóa công khai của nhau để mã hóa thông tin

- Truy cập vào máy chủ TFP với tài khoản đƣợc cấp ta có thể xem nội dung file

user.xml lƣu khóa công khai dùng chung cho tất cả ngƣời dùng.

Hình 3.22. Nội dung tệp user.xml lƣu khóa công khai của các tài khoản

b) Chức năng mã hóa, giải mã dữ liệu dạng văn bản (text)

Khi kết nối thành công, ngƣời gọi và ngƣời nhận có thể trao đổi với nhau dữ liệu dạng văn bản (text), dữ liệu ngƣời gửi đƣợc mã hóa và lƣu lên tệp 5554.txt. Ngƣời nhận thực hiện đọc dữ liệu từ tệp 5554.txt giải mã.

Hình 3.23. Minh họa việc mã hóa và giải mã dữ liệu dạng văn bản

- Xem nội dung file 5554.txt lƣu nội dung văn bản đã đƣợc mã hóa.

Hình 3.24. Nội dung văn bản đƣợc mã hóa trong tệp 5554.txt 3.6. Kết luận

Chƣơng 3 đã trình bày tổng quan về vấn đề bảo mật trong mạng di động 3G trên thế giới. Giới thiệu khái quát tình hình triển khai mạng 3G tại Việt Nam. Phân tích nguy cơ mất an ninh an toàn trong mạng và lựa chọn giải pháp bảo mật trên tầng ứng dụng trong mạng thông tin 3G. Phần cuối chƣơng 3, tác giả trình bày các chức năng chính của hệ thống bảo mật, các thuật toán tƣơng ứng và cách thức cài đặt hệ thống, minh họa các chức năng chính của phần mềm bảo mật thoại.

KẾT LUẬN

Trong quá trình thực hiện đề tài, tác giả đã tiếp thu đƣợc những kiến thức cơ bản về công nghệ 3G, các kiến thức liên quan đến vấn đề bảo mật thông tin, về các đe dọa, tấn công mạng, các hàm, thuật toán đƣợc sử dụng để mã hóa và toàn vẹn thông tin, đặc biệt là bảo mật trong mạng 3G. Chỉ ra đƣợc những nguy cơ gây mất an toàn thông tin di động sử dụng công nghệ 3G. Từ đó thấy rằng, việc thực hiện bảo mật thông tin mạng điện thoại di động 3G là rất cần thiết đặc biệt là nhu cầu bảo mật thông tin cá nhân ngƣời sử dụng.

+ Những điểm đạt đƣợc của luận văn là:

- Trình bày tổng quát về công nghệ 3G, kiến trúc mạng 3G. Tổng quát hóa những vấn đề chung về an toàn vào bảo mật thông tin trong mạng di động 3G.

- Tổng hợp các phƣơng pháp mã hóa thông tin, ƣu nhƣợc điểm khi sử dụng các phƣơng pháp mã hóa khác nhau. Đi sâu vào nghiên cứu lý thuyết hệ mật đƣờng cong Eliptic và ứng dụng ECC vào việc mã hóa dữ liệu, trao đổi khóa, là cơ sở cho việc lựa chọn phƣơng pháp mã hóa và bảo mật thông tin di động 3G.

- Nghiên cứu hiện trạng mạng thông tin 3G tại Việt Nam, thực trạng và nguy cơ mất an toàn trong mạng 3G, việc tác giả lựa chọn và nghiên cứu nền tảng công nghệ lập trình ứng dụng trên hệ điều hành Android là một khâu rất quan trọng trong việc xây dựng phần mềm bảo mật thoại.

+ Những điểm tồn tại của luận văn là:

- Phần thực hiện sản phẩm phần mềm mới dừng lại ở việc mô phỏng trên máy ảo quá trình trao đổi khóa giữa hai ngƣời gọi, quá trình mã hóa và giải mã thông tin khi hai ngƣời gọi liên lạc với nhau.

- Tuy nhiên các vấn đề mà luận văn đề cập trên lĩnh vực tƣơng đối rộng, mặc dù đã nỗ lực hết sức, cố gắng vận dụng kiến thức, mọi khả năng, mọi điều kiện, nội dung luận văn chắc chắn còn nhiều thiếu sót và hạn chế. Rất mong nhận đƣợc những góp ý quý báu của các thầy cô giáo, các đồng nghiệp để luận văn đƣợc hoàn thiện hơn.

HƢỚNG PHÁT TRIỂN ĐỀ TÀI

Triển khai nghiên cứu xây dựng ứng dụng bảo mật trên mạng di động 3G nhƣ call video, tích hợp PKI trên thiết bị di động, xây dựng ứng dụng trên một số hệ điều hành di động khác nhƣ Windows Phone...

Cần tiếp tục nghiên cứu để làm rõ hơn các giải pháp bảo đảm an toàn và bảo mật cho hệ thống thông tin di động 3G, trên cơ sở đó phát triển các hệ thống thực tế.

TÀI LIỆU THAM KHẢO Tiếng Việt

1. Trƣờng Đại học Hàng Hải (2008), Giáo trình An toàn và Bảo mật thông tin, Hải

Phòng, tr.4-5,

2. Nguyễn Tiến Ban (2007), Kỹ thuật viễn thông, Học viện công nghệ Bƣu chính viễn thông Hà Nội, tr.93-96.

3. Nguyễn Phạm Anh Dũng (2009), Bài giảng giới thiệu công nghệ 3G WCDMA UMTS, Học viện Công nghệ Bƣu chính Viễn thông Hà Nội, tr.7-10,11-17.

4. Trần Văn Dũng (2007), Giáo trình An toàn và Bảo mật thông tin, Đại học Giao

thông vận tải Hà Nội, tr.14-24, 77-79, 94-96.

5.Phan Thị Thu Hiền (2006), Hệ mật đƣờng cong elliptic, đồ án tốt nghiệp đại học, Trƣờng Đại học Dân lập Hải Phòng, tr.15-17.

6. Nguyễn Thị Tuyết Mai (2012), Nghiên cứu các giải pháp an toàn bảo mật cho hệ

thống mạng lõi của 3G và ứng dụng cho Vinaphone , luận văn thạc sĩ, Học viện

Công Nghệ BCVT, Hà Nội, tr.28-31.

7. Phạm Văn Quỳnh (2010), An ninh trong 3G UMTS, đồ án tốt nghiệp đại học, Học

viện công nghệ Bƣu chính viễn thông Hà Nội, tr.4.

8. Trần Minh Triết (2005), Thuật toán và mã hóa ứng dụng, Trƣờng Đại học Khoa học Tự nhiên, Đại học Quốc gia thành phố Hồ Chí Minh, tr16-17, 21-23, 198-200, 213- 216.

9. Vũ Anh Tuấn (2009), Giải pháp nâng cao độ an ninh thông tin trong mạng LAN không dây chuẩn IEEE 802.11ii, luận văn thạc sĩ, Đại học Thái Nguyên, tr.18-22, 25-26.

10. Nguyễn Khanh Văn (2000), Mật mã và An toàn Thông tin, Đại học Bách khoa Hà Nội, tr.7-12.

Tiếng Anh

11. Keiji Tachikwa (2002), W-CDMA Mobile Communications System, John Wiley & Sons LTD, pp.28-31, 245-250

12. Prentice Hall (1998), Cryptography and Network Security Principles and Practice, pp.165-170, 400-416.

13. Wiley(2005) UMTS Networks Architecture Mobility and Services, pp.22-27, 59- 63, 207-211,294-297.

14.http://vinaphone.com.vn/news/16625/-Thang-10-ra-mat-cac-dich-vu-dien- thoai-di-dong-3G-dau-tien-tai-Viet-Nam

15. http://xahoithongtin.com.vn/20090814085239480p0c112/mobifone-se-cung- cap-dich-vu-3g-vao-thang-122009.htm

16. http://vnn.vietnamnet.vn/cntt/2009/04/840952/ 17. http://mobifone3g.com.vn/index.aspx?s=NDETAIL&AID=155&pages=2 18.http://www.pcworld.com.vn/articles/kinh-doanh/an-toan-thong- tin/2010/09/1220868/bao-mat-tren-mang-3g/ 19. http://voer.edu.vn/module/khoa-hoc-va-cong-nghe/bo-giao-thuc-rtp/rtcp.html 20.http://sandbox.yoyogames.com/extras/user/cv/san2/170/326170/T%C3%AC m_hi%E1%BB%83u_v%E1%BB%81_giao_th%E1%BB%A9c_SIP.doc

PHỤ LỤC. MÃ NGUỒN MỘT SỐ MODULE CHÍNH TRONG CHƢƠNG TRÌNH

... Định nghĩa đường cong Eliptic ...

package taovb.ecc.elliptic;

import java.io.*;

import java.math.BigInteger;

publicclass EllipticCurve {

private BigInteger a, b, p, order; private ECPoint generator; private BigInteger ppodbf; privateint pointcmpsize; private String name;

publicstaticfinal BigInteger COEFA = new BigInteger("4"); publicstaticfinal BigInteger COEFB = new BigInteger("27"); publicstaticfinalintPRIMESECURITY = 500;

public EllipticCurve(BigInteger a, BigInteger b, BigInteger p) throws InsecureCurveException {

this.a = a;

this.b = b;

this.p = p;

if (!p.isProbablePrime(PRIMESECURITY)) { }

if (isSingular()) thrownew

InsecureCurveException(InsecureCurveException.SINGULAR, this);

byte[] pb = p.toByteArray();

if(pb[0] == 0) pointcmpsize = pb.length;

else pointcmpsize = pb.length + 1;

Một phần của tài liệu Nghiên cứu giải pháp bảo mật mạng 3G (Trang 48)

Tải bản đầy đủ (PDF)

(70 trang)