5. Dòng lệnh chế độ bảo mật (UIAs, IK, UEAs,
2.2.1.1Các nguyên lý tổng quát của MAPsec
MAPsec bảo vệ các phần tử mạng NE có khả năng MAP. Nghĩa là khi tăng phần tử mạng NE lên thì sẽ có các phần tử mạng hỗ trợ MAP, trong khi đó lại có những phần tử mạng không hỗ trợ MAP. Nếu các phần tử hỗ trợ MAP phải truyền thông với các phần tử khơng hỗ trợ MAP thì kẻ tấn cơng chủ động sẽ có cơ hội để giả mạo nhƣ là một phần tử mạng NE mà không cần MAPsec. Bảo vệ chống lại các kẻ tấn công chủ động sẽ tiếp tục bị hạn chế đáng kể cho đến khi tất cả đều đƣợc hỗ trợ MAPsec. Nếu truyền thơng đƣợc mật mã hóa thì kẻ tấn cơng bị động sẽ khó tác động vào các bản tin. Bảo vệ chống lại các tấn công bị động không tăng theo tỷ lệ tuyến tính với số lƣợng tăng lên của NE có khả năng MAPsec. Trƣờng hợp sự chuyển dịch hƣớng tới truyền tải dựa trên IP chạy song song, thì việc sử dụng bảo vệ IPsec đối với lƣu lƣợng MAP có thể thay thể việc sử dụng MAPsec. Vì vậy lớp MAP phải chú ý chế độ bảo vệ IPsec có đƣợc sử dụng đồng thời hay khơng và các chính sách IPsec có đƣợc chấp nhận từ quan điểm của MAPsec hay không. Về nguyên tắc, vẫn xẩy ra trƣờng hợp lƣu lƣợng đƣợc bảo vệ bởi IPsec nhƣng vẫn còn
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
các phần tử thông tin không đƣợc chấp nhận ở lớp MAP. Điều này đƣợc giải quyết bằng cách thỏa hiệp giữa lớp MAP và lớp IP ở các node truyền thông.
2.2.1.2 Cấu trúc của các bản tin MAPsec
MAPsec có 3 chế độ hoạt động: Chế độ bảo vệ 0 (không bảo vệ dữ liệu); chế độ bảo vệ 1 (bảo vệ toàn vẹn dữ liệu); chế độ bảo vệ 2 (bảo vệ toàn vẹn dữ liệu và mật mã hóa). Việc sử dụng mật mã hóa mà không có bảo vệ toàn vẹn dữ liệu là không đƣợc thực hiện.
Ở cả 3 chế độ, bản tin đƣơc bảo vệ MAPsec bao gồm phần tiêu đề bảo mật và phần tải trọng bảo mật. Phần tiêu đề bảo mật luôn đƣợc gửi ở dạng cleartext bởi vì phần MAPsec cần phải đƣợc xử lý chính xác ở phía thu. Phần tải trọng đƣợc bảo vệ gồm phần tải trọng bản tin MAP gốc ở chế độ đƣợc bảo vệ. Ở chế độ 1, một mã nhận thực bản tin MAC đƣợc tính tốn từ phần tiêu đề bảo mật và phần tải trọng gốc, kết quả đƣợc bổ sung vào bản tin MAPsec. Ở chế độ 2, MAC đƣợc tính tốn từ phần tiêu đề bảo mật và phần tải trọng đã đƣợc mật mã hóa. Phần tiêu đề bảo mật gồm các phần tử dữ liệu nhƣ sau: Tiêu đề bảo mật = SPI||ID phần tử gốc||TVP||NE-
ID||Prop
(Ở chế độ 0, chỉ gồm 2 thành phần đầu tiên)
Trong đó: SPI là chỉ số tham số bảo mật, cùng với đặc tả mạng di động mặt đất cơng cộng PLMN đích, chỉ tới một MAPsec duy nhất. ID phần tử gốc là bản tin MAP gốc. TVP là tham số thời gian để cung cấp bảo vệ chống lại các tấn công phát lặp bản tin. NE-ID mô tả phần tử mạng gửi thông tin và Prop là trƣờng độc quyền, sử dụng khi tạo ra các vectơ khởi đầu cần thiết trong thuật toán MAC và các thuật toán mật mã hóa.
MAPsec cho phép sử dụng một thuật toán mật mã hóa, tuy nhiên cùng với thuật toán NULL; trƣớc phiên bản 5 là thuật toán MEA-1, thuật toán này tƣơng đƣơng với AES ở chế độ bộ đếm.