IPSec là một giao thức được thiết kế để bảo vệ các gói dữ liệu khi chúng truyền tải trong mạng bằng cách sử dụng mã hoá khoá chung.. Do đó tôi đã tìm hiểu và nghiên cứu đề tài luận văn G
Trang 1-
NGUYỄN ĐỨC THỌ
GIAO THỨC LIÊN MẠNG MÁY TÍNH AN TOÀN IPSEC
VÀ CÁC GIAO THỨC TRAO ĐỔI KHÓA ỨNG DỤNG TRONG BẢO MẬT THÔNG TIN KINH TẾ XÃ HỘI
Chuyên ngành: Kỹ thuật Điện tử
Mã số: 60.52.70
Hà Nội 2012
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TS Lê Mỹ Tú
Phản biện 1:
……… Phản biện 2:
………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3LỜI NÓI ĐẦU
Những biện pháp đảm bảo an toàn thông tin đưa ra
đều nhằm đáp ứng 4 yêu cầu: bảo mật thông tin, chống quá
trình replay trong các phiên bảo mật, xác thực thông tin và toàn vẹn thông tin trên đường truyền Khác với các giao
thức bảo mật khác trên Internet như SSL, TLS, và SSH, làm việc từ tầng Transport trở lên, còn IPSec lại làm việc ở lớp 3 Network layer IPSec là một giao thức được thiết kế
để bảo vệ các gói dữ liệu khi chúng truyền tải trong mạng bằng cách sử dụng mã hoá khoá chung Về bản chất, máy nguồn sẽ gói địa chỉ IP chuẩn bên trong một gói IPSec đã được mã hoá.Sau đó gói dữ liệu này sẽ được duy trì ở trạng thái mã hoá cho tới khi nó đến được đích.Ngoài tính năng
kể trên, bên cạnh việc mã hoá, IPSec có thể hoạt động với một cơ chế giống như tường lửa Do đó tôi đã tìm hiểu và
nghiên cứu đề tài luận văn Giao thức liên mạng máy tính
an toàn IPSec và các giao thức trao đổi khoá ứng dụng trong bảo mật thông tin kinh tế xã hội Luận văn gồm 3
chương: Chương 1 tìm hiểu về giao thức liên mạng máy tính an toàn IPSec, phân tích cấu trúc, hoạt động của giao thức này Chương 2 nghiên cứu sâu về 2 giao thức trao đổi khoá IKEv1 và IKEv2 Chương 3 đưa ra các ưu điểm nội trội của giao thức trao đổi khoá IKEv2, từ đó đề xuất ứng dụng trong bảo mật thông tin kinh tế xã hội
Trang 4CHƯƠNG 1: GIAO THỨC LIÊN MẠNG MÁY
TÍNH AN TOÀN 1.1 Tổng quan về giao thức bảo mật IPSec
Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security Giao thức IPSec được phát triển bởi tổ chức Internet Engineering Task Force (IETF) Mục đích chính của việc phát triển IPSec là cung cấp một cơ chế bảo mật ở tầng 3 (Network layer) trong mô hình OSI, hình 1.1:
Hình 1.1 Vị trí IPSec trong OSI
Trang 51.1.1 Các tổ hợp an toàn IPSec (IPSec Security
Associations – IPSec SAs)
Các tổ hợp an toàn (SAs) là một khái niệm cơ bản của bộ giao thức IPSec SA là một tập các thuộc tính bảo mật duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec: như các giao thức xác thực, các khóa, và các thuật toán mật
mã, các khóa, thuật toán xác thực, mã hóa, được dùng bởi các giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của giao thức IPSec
Hình 1.2 IPSec SA
Một IPSec SA gồm có 3 trường :
SPI (Security Parameter Index) Đây là một trường
32 bit dùng nhận dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng SPI được xem như là một phần đầu của giao thức bảo mật
và thường được chọn bởi hệ thống đến trong suốt quá trình thỏa thuận của SA
Destination IP address Đây là địa chỉ IP của điểm
đến Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast
Trang 6Security protocol Phần này mô tả giao thức bảo mật
IPSec, có thể là AH hoặc ESP
1.1.2 Chức năng của giao thức IPSec
Giao thức IPSec cung cấp ba chức năng chính:
Tính xác thực và toàn vẹn dữ liệu (Authentication and data integrity) IPSec cung cấp một cơ chế mạnh để
xác thực người gửi và kiểm chứng bất kỳ sự thay đổi của nội dung gói dữ liệu bởi người nhận Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, nghe trộm và từ chối dịch vụ
Tính bí mật (Confidentiality) Các giao thức IPSec
mã hóa dữ liệu bằng cách sử dụng kỹ thuật mật mã, giúp ngăn chặn việc truy cập dữ liệu trái phép trên đường truyền IPSec cũng dùng cơ chế tạo đường hầm để ẩn địa chỉ IP nguồn (người gửi) và đích (người nhận) từ những kẻ nghe trộm
Quản lý khóa (Key management) IPSec dùng một
giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các khóa trong suốt phiên giao dịch
1.2 Phân tích chi tiết giao thức IPSec
Như trên đã đề cập giao thức IPSec hoạt động dựa vào các thành phần chính [1, 2]:
[AH + ESP]: Bảo vệ truyền thông IP, dựa vào SA (khóa, địa chỉ, các thuật toán mật mã)
IKE: Để thiết lập các SA (SA – Security Association) cho AH hoặc ESP, và duy trì/quản lí các kết nối
Trang 71.2.1 Các chế độ hoạt động [1, 2]
1.2.1.1 Chế độ vận chuyển (transport mode)
1.2.1.2 Chế độ đường hầm (tunnel mode)
Thêm phần header mới nằm sau IP header và trước phần dữ liệu của gói tin IP
Thêm phần dữ liệu thêm (trailer) vào phần cuối gói tin
Giao thức ESP trong chế độ đường hầm (tunnel
Trang 8Hình 1.11 AH trong chế độ đường hầm
Trang 91.3 Vai trò của các giao thức trao đổi khoá trong
các ứng dụng IPSec
Xác thực người tham gia phiên liên lạc (gồm ba phương pháp: dùng chữ ký số, dùng mật mã khóa công khai và dùng khóa bí mật chia sẻ trước)
Thiết lập khóa dùng cho phiên liên lạc (gồm có 07 khóa: hai khóa dùng cho mã hóa các thông điệp trao đổi khóa, hai khóa dùng cho MAC, hai khóa dùng cho việc xác thực, và một khóa dùng làm mầm khóa cho việc bảo mật
dữ liệu của phiên liên lạc)
Làm tươi khóa trong cùng một phiên liên lạc (hay còn gọi là thỏa thuận lại khóa)
CHƯƠNG 2: CÁC PHIÊN BẢN GIAO THỨC TRAO ĐỔI KHÓA IKEV1 VÀ IKEV2
2.1 Giao thức trao đổi khoá IKEv1 [6]
ISAKMP ([7]) cung cấp một cơ cấu để xác thực và trao đổi khóa nhưng không xác định các khóa này ISAKMP được thiết kế dùng để trao đổi khóa độc lập do đó có thể nói nó được thiết kế để hỗ trợ cho nhiều phương pháp trao đổi khóa khác nhau
Oakley ([8]) mô tả một loạt chế độ trong các giao thức
và chi tiết các dịch vụ được cung cấp bởi chính các yếu
tố của nó (chuyển tiếp hoàn hảo các khóa, bảo vệ danh tính, và xác thực)
Trang 10 SKEME ([9]) mô tả một kỹ thuật trao đôi khóa linh hoạt giúp cung cấp chức năng ẩn danh, repudiability, và thảo thuận lại khóa nhanh
HDR*, IDii, [ CERT, ] SIG_I >
< HDR*, IDir, [ CERT, ] SIG_R Chế độ Aggressive với chữ ký kết hợp với ISAKMP được mô tả như sau:
Initiator Responder
- -
HDR, SA, KE, Ni, IDii >
< HDR, SA, KE, Nr, IDir,
[ CERT, ] SIG_R
HDR, [ CERT, ] SIG_I >
Trang 112.1.4 Phase 1 xác thực với mã hóa khóa công khai
Để thực hiện mã hóa công khai, bản tin khởi tạo đã phải có khóa công khai của bản tin đáp ứng Trong trường hợp bản tin đáp ứng có nhiều khóa công khai, một băm xác nhận bản tin khởi tạo được sử dụng để mã hóa các thông tin phụ trợ được thông qua như một phần của bản tin thứ ba Bằng các này bản tin đáp ứng có thể xác định khóa riêng tương ứng để sử dụng giải mã các tải tin đã mã hóa và nhận dạng bảo vệ được giữ lại
Khi sử dụng mã hóa để nhận thực, mode chính được quy đinh như sau:
Trang 12HDR, HASH_I >
Lưu ý rằng, không giống như các phương pháp mã hóa xác thực khác, xác thực với mã hóa khóa công khai cho phép bảo vệ danh tính với chế độ tích cực Aggressive Mode
2.1.5 Phase 1 xác thực với chế độ cải tiến sử dụng
mã hóa khóa công khai
Trong chế độ này, các nonce vẫn mã hóa bằng cách
sử dụng các khóa công khai của các bên Tuy nhiên các đặc điểm của các bên (và các xác nhận nếu nó được gửi) được
mã hóa bằng cách sử dụng các thuật toán mã hóa thỏa thuận đối xứng (từ các tải tin SA) với một khóa bắt nguồn
từ nonce
Các khóa mã hóa đối xứng được bắt nguồn từ các nonce giải mã như sau Đầu tiên là giá trị Ne_i và Ne_r được tính:
Ne_i = prf(Ni_b, CKY-I)
Ne_r = prf(Nr_b, CKY-R)
2.1.6 Phase 1 xác thực với khóa chia sẻ trước
Khi thực hiện xác thực với khóa được chia sẻ trước, chế độ chính (main mode) được quy định như sau:
Trang 13Chế độ tích cực (Aggressive mode) với khóa được chia sẻ trước được mô tả như sau:
Initiator Responder
- -
HDR, SA, KE, Ni, IDii >
< HDR, SA, KE, Nr, IDir,
HASH_R
HDR, HASH_I >
2.1.7 Phase 2 - Quick Mode
Quick Mode không phải là một trao đổi đầy đủ (trong đó
nó là ràng buộc để trao đổi phase 1), nhưng được sử dụng như là một phần của quá trình thỏa thuận SA (giai đoạn 2)
để lấy được dữ liệu tạo khóa và thỏa thuận chính sách chia
sẻ không ISAKMP SA
Các thông tin trao đổi cùng với chế độ nhanh (quick mode) phải được bảo vệ bởi ISAKMP SA, tức là tất cả các tải tin ngoại trừ tiêu đề ISAKMP được mã hóa Chế độ nhanh (quick mode), mộ tải tin HASH ngay lập tức phải thực hiện theo các tiêu đề ISAKMP và tải tin SA ngay lập tức phải thực hiện theo các HASH
Chế độ nhanh được định nghĩa như sau:
Trang 14Các hàm băm để trao đổi ở trên là:
HASH(1) = prf(SKEYID_a, M-ID | SA | Ni [ | KE ] [ | IDci | IDcr )
HASH(2) = prf(SKEYID_a, M-ID | Ni_b | SA | Nr [ | KE] [ | IDci | IDcr )
HASH(3) = prf(SKEYID_a, 0 | M-ID | Ni_b | Nr_b)
Sử dụng Chế độ nhanh, nhiều SA và khóa có thể được thỏa thuận với một trao đổi như sau:
2.1.8 New Group Mode
New group mode không phải được sử dụng trước khi thiết lập một ISAKMP SA Các mô tả của một nhóm mới chỉ phải tuân theo thỏa thuận phase 1 (Mặc dù, nó không phải là một trao đổi phase 2)
Initiator Responder
- -
Trang 15Mọi truyền thông trong IKE gồm các cặp thông báo: một thông báo yêu cầu (request) và một thông báo trả lời (response) Cặp thông báo này gọi là một “trao đổi - exchange” Trong IKEv2 có các kiểu trao đổi là: IKE_SA_INIT, IKE_AUTH, CREATE_CHILD_SA và INFORMATION Ta gọi các thông báo đầu tiên để thiết lập một IKE_SA là trao đổi IKE_SA_INIT và IKE_AUTH Nhìn chung, sẽ có một trao đổi IKE_SA_INIT và một trao đổi IKE_AUTH để tạo ra một IKE_SA và CHILD_SA đầu tiên (tổng là 4 thông báo)
Hai kiểu trao đổi tiếp theo là CREATE_CHILD_SA (để tạo một CHILD_SA) và INFORMATION (để xóa một
SA, thông báo lỗi, hoặc để duy trì) Một yêu cầu
INFORMATION mà không có nội dung (payload) (khác với yêu cầu mà có payload rỗng được mã hóa) được sử dụng để kiểm tra khả năng sống của các bên tham gia
(peer) Các trao đổi tiếp theo không được sử dụng đến khi các trao đổi khởi đầu được hoàn thành
Trang 162.2.2 Phase I: Trao đổi khởi tạo (IKE_SA_INIT và IKE_AUTH)
2.2.2.1 Trao đổi IKE_SA_INIT
Initiator Responder
- -
HDR, SAi1, KEi, Ni >
< HDR, SAr1, KEr, Nr, [CERTREQ]
2.2.2.2 Trao đổi IKE_AUTH
Khi hoàn thành trao đổi IKE_SA_INIT, mỗi bên có thể sinh ra SKEYSEED, từ đó tất cả các khóa sẽ được sinh
ra cho IKE_SA Mọi phần nội dung từ phần đầu của tất cả các thông báo tiếp theo sẽ được mã hóa và được bảo vệ tính toàn vẹn
Xác thực đối với IKE_SA
Khi không sử dụng cơ chế xác thực mở rộng, các bên tham gia trao đổi khóa xác thực lẫn nhau bằng cách mỗi bên kí vào một khối dữ liệu (hoặc sử dụng MAC với khóa chia sẻ trước)
Trường hợp sử dụng chữ kí số:
Trang 17Đối với bên trả lời, sẽ kí lên các byte: từ byte đầu tiên của trường SPI trong phần đầu (HDR) đến byte cuối cùng trong phần nội dung của thông báo thứ 2 Nối với các byte này là số Nonce của bên khởi tạo Ni (chỉ giá trị của số nonce, không phải toàn bộ phần nội dung chứa tham số nonce), và giá trị prf(SK_pr, IDr’), trong đó IDr’ là phần nội dung ID của bên trả lời không bao gồm phần đầu
2.2.3 Phase II: Trao đổi CREATE_CHILD_SA
Trao đổi này gồm một cặp yêu cầu/trả lời, và nó được xem là tương ứng với giai đoạn 2 trong giao thức IKEv1 Trao đổi này có thể được khởi tạo từ cả hai bên khi IKE_SA hết hiệu lực sau khi các trao đổi khởi tạo được hoàn thành Yêu cầu của trao đổi CREATE_CHILD_SA như sau:
Initiator Responder
- -
HDR, SK {[N], SA, Ni, [KEi],
[TSi, TSr]} >
< HDR, SK {SA, Nr, [KEr], [TSi, TSr]}
2.2.4 Sinh tài liệu khóa
Tài liệu khóa sẽ luôn được lấy từ đầu ra của thuật toán prf Do kích thước của tài liệu khóa cần dùng có thể lớn hơn kích thước đầu ra của thuật toán prf, nên sẽ phải sử dụng prf lặp lại Thuật ngữ prf+ dùng để mô tả hàm để tạo
ra một dãy giả ngẫu nhiên dựa trên đầu vào của prf như sau: (kí hiệu | chỉ ra phép nối)
Trang 182.2.4.1 Sinh tài liệu khóa cho IKE_SA
2.2.4.2 Sinh tài liệu khóa cho CHILD_SAs
2.2.4.3 Thay đổi khóa của IKE_SAs bằng một trao đổi CREATE_CHILD_SA
2.3 Một số so sánh về hai giao thức trao đổi khoá IKEv1 và IKEv2
CHƯƠNG 3: ĐỀ XUẤT ỨNG DỤNG IKEv2 TRONG BẢO MẬT THÔNG TIN KINH TẾ XÃ
HỘI 3.1 Một số tính năng an toàn của giao thức trao đổi khoá IKEv2 so với các giao thức trao đổi khoá khác
Cơ sở mật mã cho giao thức Trao đổi khóa IKE2 là giao thức SIGMA được đưa ra trong [11] Chính xác hơn, SIGMA là cơ sở cho việc trao đổi khóa có xác thực dựa trên chữ ký trong IKE nói chung – kiểu xác thực khóa công khai thường được sử dụng nhất trong IKE, và là cơ sở cho kiểu xác thực khóa công khai duy nhất trong IKEv2
Đặc tính quan trong nhất của giao thức IKEv2 so với các phiên bản giao thức trao đổi khóa khác là việc bảo vệ định danh của các thực thể tham gia trong một phiên liên lạc Để thấy rõ điều này chúng ta xem xét việc so sánh giữa giao thức này với các giao thức khác trong các phần tiếp theo dưới đây
Trang 193.1.1 Vấn đề bảo vệ định danh
Các giao thức trao đổi khóa đòi hỏi sự xác thực lẫn nhau mạnh và do đó chúng phải được thiết kế đẻ truyền định danh của mỗi người tham gia trong giao thức tới đối tác phiên của nó Điều này kéo theo các định danh phải được truyền như là một phần của giao thức
3.1.2.2 Giao thức STS cơ bản
Sau khi đã phát hiện ra tấn công gắn nhầm trên giao thức DH được xác thực “tự nhiên” BADH, Diffie cùng các cộng sự [12] đã thiết kế giao thức STS với ý định giải quyết vấn đề này Giao thức STS cơ bản là:
3.1.2.3 Hai biến thể của STS: Các chữ ký đã MAC và Photuris
Cụ thể, trong biến thể STS này mỗi người tham gia giao thức áp dụng chữ ký của họ trên các giá trị DH thêm vào việc nối chữ ký đó với giá trị MAC áp dụng trên chữ
Trang 20Từ các ví dụ trên ta thấy rằng thất bại trước tấn công
gắn nhầm về bản chất liên quan đến việc thiếu sự liên kết
khóa DH với các chữ ký Một sự liên kết như vậy (ví dụ, qua một giá trị MAC được tính trên chữ ký) cung cấp bằng
chứng là ai đó biết khóa phiên, nhưng không chứng thực
người đó là ai Như chúng ta sẽ thấy ở phần sau, sự liên kết
thiết yếu cần đến ở đây được thực hiện giữa chữ ký và định danh của người nhận (giao thức ISO), hoặc giữa khóa DH
và định danh của người gửi (giao thức IKEv2)
Giống như các biến thể đã trình bày trước, biến thể này cũng là một sự minh họa về những điểm tinh vi trong việc thiết kế một giao thức KE tốt Biến thể này không cần đến việc sử dụng hàm mã hóa hoặc hàm MAC; thay vào đó
nó cố gắng liên kết khóa DH với các chữ ký bằng việc bao gồm khóa DH g xy dưới chữ ký
3.1.3 Giao thức ISO
Hạn chế của giao thức ISO trong việc cung cấp sự bảo vệ định danh nảy sinh từ thực tế là trong giao thức mỗi người tham gia cần biết định danh của đối tác trước khi đưa
ra chữ ký của mình Điều này có nghĩa là không có người
tham gia giao thức nào (kể cả A hoặc B) có thể xác thực
người tham gia kia trước khi tiết lộ tên của chính họ cho
người tham gia đó biết Điều này khiến cho cả hai định
danh đều mở đối với các tấn công chủ động
3.1.4 Kết luận
Trong giao thức IKEv2 đã được trình bày trong
