Giải pháp kỹ thuật ngăn chặn tấn công manet

Mục tiêu của cuộc tấn công chính là việc tạo ra một hình thức tấn công man – in – the – middle nghe lén hoặc phá hủy quá trình hoạt động của AODV trong eMANET, bằng cách quảng bá các tu

VĂN CAO TRUNG

GIẢI PHÁP KỸ THUẬT NGĂN CHẶN

TẤN CÔNG MANET

LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Đà Nẵng – Năm 2016

VĂN CAO TRUNG

GIẢI PHÁP KỸ THUẬT NGĂN CHẶN

TẤN CÔNG MANET

Chuyên ngành : HỆ THỐNG THÔNG TIN

Mã số : 60.48.01.04

LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Người hướng dẫn khoa học: PGS.TS LÊ VĂN SƠN

Đà Nẵng - Năm 2016

Tôi xin cam đoan luận văn “Giải pháp giải pháp kỹ thuật ngăn chặn tấn công MANET” là do tôi tự nghiên cứu và hoàn thành dưới sự hướng dẫn của PGS.TS Lê Văn Sơn

Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan này

Tác giả luận văn

VĂN CAO TRUNG

MỞ ĐẦU 1

1 Lý do chon đề tài 1

2 Mục tiêu nghiên cứu 2

3 Đối tượng và phạm vi nghiên cứu 2

4 Phương pháp nghiên cứu 2

5 Ý nghĩa khoa học và thực tiễn của đề tài 3

6 Bố cục luận văn 3

CHƯƠNG 1 TỔNG QUAN 4

1.1 GIỚI THIỆU MANET 4

1.1.1 Giới thiệu chung 4

1.1.2 Định Tuyến trong MANET 4

1.2 TỔNG QUAN MỘT SỐ VẤN ĐỀ AN NINH TRONG MANET 9

1.2.1 Tiêu chí an toàn trong MANET 9

1.2.2 Thách thức an ninh trong MANET 9

1.2.3 Các mối đe dọa an ninh trong MANET 11

1.2.4 Một số giải pháp tăng cường an ninh trong MANET 16

1.3 CÔNG CỤ NGHIÊN CỨU CHÍNH NS-2 18

1.3.1 Giới thiệu về NS-2 18

1.3.2 Kiến trúc của NS-2 18

1.4 KẾT LUẬN 20

CHƯƠNG 2 GIẢI PHÁP KỸ THUẬT NGĂN CHẶN TẤN CÔNG MANET 21

2.1 TỔNG QUAN CHUẨN MÃ DỮ LIỆU AES 22

2.1.1 Giới thiệu về chuẩn mã dữ liệu tiên tiến AES 22

2.1.2 Quy trình mã hóa AES 23

2.1.6 Ý nghĩa 27

2.1.7 Ứng dụng của AES 27

2.2 GIAO THỨC THỎA THUẬN KHÓA DIFFIE HELLMAN (DH) 27

2.2.1 Khái niệm thỏa thuận khóa 29

2.2.2 Giao thức thỏa thuận khóa Diffie - Hellman 29

2.2.3 Cách thiết lập giao thức thỏa thuận khóa Diffie - Hellman 29

2.2.5 Ví dụ bằng số minh họa 31

2.3 GIẢI PHÁP XÁC THỰC THÔNG TIN ĐỊNH TUYẾN – GIAO THỨC AODVNEW 35

2.3 MỨC ĐỘ AN NINH CỦA GIAO THỨC ĐỊNH TUYẾN AODVNEW 42 2.3.1 Đối với kiểu tấn công sửa đổi (Attack using Modification) 43

2.3.2 Đối với kiểu tấn công đóng giả (Attacks using Impersonation) 43

2.3.3 Đối với kiểu tấn công chế tạo (Attacks using Fabrication) 43

2.3.4 Đối với kiểu tấn công lỗ đen (Worm attack) 43

2.3.5 Đối với kiểu tấn công grayhole 44

2.3.6 Đối với kiểu tấn công flooding 44

CHƯƠNG 3 CÀI ĐẶT MÔ PHỎNG, ĐÁNH GIÁ HIỆU SUẤT CỦA GIAO THỨC AODVNEW 45

3.1 PHÂN TÍCH THIẾT KẾ 45

3.1.1 Phân tích thư viện dùng để mô phỏng 45

3.1.2 Công cụ phân tích và biểu diễn kết quả mô phỏng 45

3.1.3 Các tham số hiệu suất cần được đánh giá giao thức AODVNEW 46

3.1.4 Cách thức phân tích tệp vết 47

3.2 CHƯƠNG TRÌNH MÔ PHỎNG 49

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 60 TÀI LIỆU THAM KHẢO

QUYẾT ĐỊNH GIAO ĐỀ TÀI LUẬN VĂN (Bản sao)

ARAN Authenticated Routing for Adhoc Networks

AODV-WADR AODV Worm attack detection reaction

CA Certificate authority

DOS Denial of Service

DSDV Destination-Sequenced Distance Vector

DDOS Distributed Denial of Service

EDRI Extended Data Routing Information

IEEE Institute of Electrical and Electronics Engineers

MANET Mobile Adhoc NETwork

NS-2 Network Simulator 2

NS-2 Network Simulator 2

RREQ Route Request

RREP Route Reply

RERR Route error

SAODV Secure Adhoc On-demand Distance Vector

3.6 Kết quả Tỉ lệ phân phát gói tin thành công 55 3.7 Kết quả độ trễ trung bình của các gói tin CBR 56

DANH MỤC CÁC HÌNH

Số hiệu

1.1 Phân loại các giao thức định tuyến trong MANET 6

1.3 Phân loại tấn công trong giao thức định tuyến MANET 13

1.9 Luồng các sự kiện cho file Tcl chạy trong NS 20

2.2 Thao tác SubBytes tác động trên từng byte của trạng thái 25 2.3 Thao tác ShiftRows tác động trên từng dòng của trạng thái 25 2.4 Sơ đồ giao thức thỏa thuận khóa Diffie – Hellman 31

3.1 Cấu trúc của tệp vết mạng không dây trong NS2 47 3.2 Biểu đồ thể hiện tỉ lệ phân phát gói tin của giao thức 53 3.3 Biểu đồ thể hiện thời gian trung bình phản ứng 53

3.5 Biểu đồ thể hiện số gói tin bị mất trong giao thức 55 3.6 Biểu đồ thể hiện tỉ lệ phân phát gói tin thành công 56 3.7 Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR 56

MỞ ĐẦU

1 Lý do chon đề tài

MANET là một hệ thống mạng bao gồm các node mạng không dây, chẳng hạn như laptop, điện thoại di động Chúng có khả năng tự vận hành trong một mô hình mạng động Sự khác nhau giữa MANET và các hệ thống mạng không dây di động truyền thống chính là việc chúng không phụ thuộc vào bất kỳ hạ tầng cố định nào Thực chất, các node mạng di động phụ thuộc lẫn nhau trong việc giữ kết nối trong mạng MANET Đặc tính này giúp chúng trở thành một giải pháp hữu dụng trong việc cung cấp dịch vụ truyền thông trong các tình huống khẩn cấp, khi mà việc triển khai một hệ thống hạ tầng mạng một cách nhanh chóng và hiệu quả là bất khả thi

Tác giả sử dụng cụm từ eMANET để miêu tả các MANET được triển khai trong các trường hợp đặc biệt nguy cấp Trong các trường hợp thảm họa, ngay cả khi không có bất kỳ một kết nối truyền thông nào khác, các điểm truy cập không dây như điện thoại hay laptop vẫn có thể kết nối lẫn nhau để thiết lập một eMANET nhằm cung cấp một giải pháp truyền thông đa phương tiện

an toàn cho các dịch vụ khẩn cấp Trong các trường hợp này, eMANET bao gồm tính năng tự bảo vệ Những node di động có trách nhiệm phối hợp với nhau để hoàn thành nhiệm vụ Yếu tố an ninh trong MANETs tồn tại nhiều thử thách hơn trong các hệ thống mạng có dây Nguyên nhân đến từ tính chất phát sóng quảng bá của các thiết bị không dây cũng như việc thường xuyên thay đổi mô hình mạng Hơn nữa, do các yếu tố như thiếu hạ tầng, mô hình mạng động, và mối quan hệ tin tưởng giữa các node là không chặt chẽ, dẫn đến việc các giao thức đã được đề xuất trước đó cho MANET còn nhiều lỏng lẻo và không chắc chắn đối với một số loại tấn công

Ngoài ra, trong MANET các node hình thành một hệ thống mạng thông

qua các giao thức định tuyến phổ biến như AODV, DSR hay OLSR Tuy nhiên, trong môi trường di động thì việc phát hiện kẻ xâm nhập sẽ trở nên khó khăn hơn Trong luận văn này sẽ xem xét một cuộc tấn công worm, cuộc tấn công này diễn ra khi 2 kẻ tấn công cách xa nhau về mặt địa lý đã tạo một

đường hầm (tunnel) worm tunnel Mục tiêu của cuộc tấn công chính là việc

tạo ra một hình thức tấn công man – in – the – middle (nghe lén) hoặc phá hủy quá trình hoạt động của AODV trong eMANET, bằng cách quảng bá các tuyến định tuyến ngắn hơn để tới đích và việc nghiên cứu giải pháp ngăn chặn tấn công trong MANET trở nên cấp thiết, đây cũng chính là lý do chon đề tài

“Giải pháp kỹ thuật ngăn chặn tấn công MANET” Cụ thể là bổ sung cơ

chế an ninh cho giao thức định tuyến AODV tạm đặt là giao thức AODVNEW

2 Mục tiêu nghiên cứu

Mục tiêu của đề tài là áp dụng chuẩn mã dữ liệu tiên tiến AES và Giao thức thỏa thuận khóa Diffie – Hellman áp dụng vào phát hiện ra tấn công worm và sẽ không bao giờ cập nhật bản định tuyến của chúng với đường định tuyến được liệt kê trong danh sách đen của chúng

3 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu của đề tài gồm: Công nghệ chuẩn mã dữ liệu tiên tiến AES, Giao thức thỏa thuận khóa Diffie – Hellman để, Các kỹ thuật liên quan đến công nghệ mã hóa, Một số bài báo được công báo

4 Phương pháp nghiên cứu

Trong quá trình thực hiện đề tài, tôi đã sử dụng một số phương pháp như sau: Phương pháp tài liệu: tìm hiểu phân tích các tài liệu liên quan đến đề tài, nghiên cứu tài liệu, lựa chọn hướng giải quyết vấn đề, viết chương trình kiểm nghiệm kết quả, nhận xét và đánh giá kết quả; Phương pháp thực

nghiệm: Chương trình mô phỏng Network Simulator (NS2), kiểm tra, thực nghiệm chương trình và đánh giá kết quả

5 Ý nghĩa khoa học và thực tiễn của đề tài

Về khoa học: Là một tài liệu đáng tin cậy đê tham khảo cho những nguời muốn tìn hiểu về mạng MANET và các vấn để bảo mật trên mạng MANET, đồng thồi đây cũng là một tài liệu tham khảo cho những người trong linh vực truyền thông trong mạng máy tính

Về thực tiễn: Sử dụng giao thức AODV để định tuyến và bằng cách áp dụng chuẩn mã dữ liệu tiên tiến AES và Giao thức thỏa thuận khóa Diffie – Hellman áp dụng vào phát hiện ra tấn công worm

Chương 2: Giải pháp chống tấn công trong MANET

Các vấn đề mật mã liên quan đến luận văn, đưa ra giải pháp xác thực thông tin định tuyến, giao thức AODVNEW, giải pháp giám sát chống tấn công worm – giao thức AODVNEW

Chương 3: Cài đặt mô phỏng, đánh giá hiệu suất của giao thức AODVNEW

Cài đặt mô phỏng giao thức AODVNEW, xây dựng các kịch bản mô phỏng các tham số hiệu suất cho giao thức AODVNEW, so sánh hiệu suất với giao thức AODV qua biểu đồ

CHƯƠNG 1 TỔNG QUAN

1.1 GIỚI THIỆU MANET

1.1.1 Giới thiệu chung

Với sự phát triển của công nghệ truyền thông không dây Internet được truy cập bất cứ bất cứ lúc nào, bất cứ nơi nào MANET là mạng dựa trên mô hình độc lập Ad hoc, các nút trong mô hình này giao tiếp trực tiếp với nhau

mà không sử dụng một điểm truy cập nào Do việc kết hợp giữa tính di động với mạng Ad hoc nên người ta thường gọi là MANET (Mobile Ad-hoc-Network)

MANET có các đặc điểm chính sau:

- Cấu hình mạng động: Các nút có thể tự do di chuyển theo mọi hướng

và không thể đoán trước được

- Băng thông hạn chế: Các liên kết không dây có băng thông thấp hơn

so với đường truyền cáp và chúng còn chịu ảnh hưởng của nhiễu, suy giảm tín hiệu vì thế mà thường nhỏ hơn tốc độ truyền lớn nhất của sóng vô tuyến

- Năng lượng hạn chế: Một số hoặc tất cả các nút trong MANET hoạt động phụ thuộc vào pin nên chúng bị hạn chế về khả năng xử lý và bộ nhớ

- Bảo mật kém: Do đặc điểm của MANET là truyền sóng vô tuyến nên

cơ chế bảo mật của mạng là kém hơn so với các mạng truyền cáp Chúng tiềm

ẩn nhiều nghi cơ bị tấn công đặc biệt là nghe nén, giả mạo hay tấn công DDOS…

1.1.2 Định Tuyến trong MANET

Các yêu cầu quan trọng đối với giao thức định tuyến trong MANET:

- Thích ứng nhanh khi tô-pô thay đổi: Do các nút trong mạng di chuyển liên tục, nhanh và không thể đoán trước nên phải tốn nhiều thời gian

để có thể tìm ra tuyến đường đi, dẫn tới việc phải phát lại các gói tin tìm đường

- Thuật toán tìm đường thông minh, tránh tình trạng lặp định tuyến

- Đảm bảo cơ chế duy trì tuyến mạng trong điều kiện bình thường

- Bảo mật: Do truyền tín hiệu trong không khí và dễ bị tấn công theo các phương thức nghe lén, giả mạo và DDOS, nên các giao thức định tuyến cần phải được bổ sung cơ chế phát hiện, ngăn chặn và chống lại các kiểu tấn công

Các giao thức định tuyến chính trong MANET: Một trong những phương pháp phổ biến để phân loại các giao thức định tuyến cho MANET là dựa trên cách thức trao đổi thông tin định tuyến giữa các nút trong mạng Theo phương pháp này thì giao thức định tuyến trong MANET được chia thành các loại sau: Các giao thức định tuyến theo yêu cầu, định tuyến theo bảng và định tuyến lai ghép

- Các giao thức định tuyến theo yêu cầu (on-demand) Quá trình khám phá tuyến bắt đầu khi có yêu cầu và kết thúc khi có tuyến đường được tìm ra hoặc không tìm ra được tuyến do sự di chuyển của nút Việc duy trì tuyến là một hoạt động quan trọng của định tuyến theo yêu cầu So với định tuyến theo bảng, ít tiêu đề định tuyến là ưu điểm của định tuyến theo yêu cầu nhưng việc phải bắt đầu lại quá trình khám phá tuyến trước khi truyền dữ liệu gây trễ trong mạng Các giao thức chính dạng này như: Giao thức định tuyến vector khoảng cách theo yêu cầu AODV (Ad hoc On-demand Distance Vector Routing) và giao thức định tuyến định tuyến nguồn động DSR (Dynamic Source Routing), giao thức định tuyến theo thứ tự tạm thời TORA (Temporally Ordered Routing Algorithm)

- Các giao thức định tuyến theo bảng Mỗi nút luôn lưu trữ một bảng

định tuyến chứa các tuyến đường tới các nút khác trong mạng Định kỳ mỗi

nút đánh giá các tuyến tới các nút trong mạng để duy trì trạng thái kết nối Khi có sự thay đổi cấu hình, các thông báo được truyền quảng bá trong toàn

mạng để thông báo cho các nút cập nhật lại bảng định tuyến của mình Với việc lưu trữ sẵn có tuyến đường làm cho tốc độ hội tụ mạng nhanh, tuy nhiên

cơ chế định kỳ phát quảng bá thông tin tuyến làm tăng tải trong mạng Các giao thức định tuyến theo bảng: Giao thức định tuyến không dây WRP (Wireless Routing Protocol), giao thức định tuyến vector khoảng cách tuần tự đích DSDV (Dynamic Destination-Sequenced Distance-Vector Routing), giao thức định tuyến trạng thái liên kết tối ưu OLSR (Optimized Link State Routing)

- Các giao thức định tuyến lai ghép (hybrid) để kết hợp ưu điểm của hai loại giao thức trên và khắc phục các nhược điểm của chúng

Hình 1.1 Phân loại các giao thức định tuyến trong MANET

Giao thức định tuyến AODV : Là giao thức dựa trên thuật toán vector khoảng cách Giao thức AODV tối thiểu hoá số bản tin quảng bá cần thiết bằng cách tạo ra các tuyến trên cơ sở theo yêu cầu

Hình 1.2 Quá trình tìm đường trong AODV

Quá trình tìm đường được khởi tạo bất cứ khi nào một nút cần truyền tin với một nút khác trong mạng mà không tìm thấy tuyến đường liên kết tới đích trong bảng định tuyến Nó phát quảng bá một gói yêu cầu tìm đường (RREQ) đến các nút lân cận Các nút lân cận này sau đó sẽ chuyển tiếp gói yêu cầu đến nút lân cận khác của chúng Quá trình cứ tiếp tục như thế cho đến khi có một nút trung gian nào đó xác định được một tuyến “đủ mới” để đạt đến đích hoặc gói tin tìm đường được tìm đến đích AODV sử dụng số thứ tự đích để đảm bảo rằng tất cả các tuyến không bị lặp và chứa hầu hết thông tin tuyến hiện tại Mỗi nút duy trì số tuần tự của nó cùng với ID quảng bá ID quảng bá được tăng lên mỗi khi nút khởi đầu một RREQ và cùng với địa chỉ

IP của nút, xác định duy nhất một RREQ Cùng với số tuần tự và ID quảng

bá, nút nguồn bao gồm trong RREQ hầu hết số tuần tự hiện tại của đích mà nó

có Các nút trung gian trả lời RREQ chỉ khi chúng có một tuyến đến đích mà

số tuần tự đích lớn hơn hoặc bằng số tuần tự chứa trong RREQ

Trong quá trình chuyển tiếp RREQ, các nút trung gian ghi vào Bảng định tuyến của chúng địa chỉ của các nút lân cận khi nhận được bản sao đầu tiên của gói quảng bá, từ đó thiết lập được một đường dẫn theo thời gian Nếu các bản sao của cùng một RREQ được nhận sau đó, các gói tin này sẽ bị huỷ Khi RREQ đã đạt đến đích hay một nút trung gian với tuyến “đủ tươi”, nút đích (hoặc nút trung gian) đáp ứng lại bằng cách phát unicast một gói tin trả

lời (RREP) ngược trở về nút lân cận mà tư đó nó nhận được RREQ Khi RREP được định tuyến ngược theo đường dẫn, các nút trên đường dẫn đó thiết lập các thực thể tuyến chuyển tiếp trong Bảng định tuyến của chỉ nút mà

nó nhận được RREP Các thực thể tuyến chuyển tiếp này chỉ thị tuyến chuyển tiếp Cùng với mỗi thực thể tuyến là một bộ định tuyến có nhiệm vụ xoá các thực thể nếu nó không được sử dụng trong một thời hạn xác định

Giao thức AODV sử dụng bản tin HELLO được phát quảng bá định kỳ bởi một nút để thông báo cho tất cả các nút khác về những nút lân cận của nó Các bản tin HELLO được sử dụng để duy trì khả năng kết nối cục bộ của một nút Tuy nhiên, việc sử dụng bản tin HELLO là không cần thiết Các nút lắng nghe việc truyền lại gói dữ liệu để đảm bảo rằng vẫn đạt đến chặng kế tiếp Nếu không nghe được việc truyền lại như thế, nút có thể sử dụng một trong số các kỹ thuật, kể cả việc tiếp nhận bản tin HELLO Các bản tin HELLO có thể liệt kê các nút khác mà tư đó nút di động đã nghe tin báo, do đó tạo ra khả năng liên kết lớn hơn cho mạng

Giao thức AODV không hỗ trợ bất kỳ cơ chế an ninh nào để chống lại các cuộc tấn công Điểm yếu chính của giao thức AODV :

- Kẻ tấn công có thể đóng giả một nút nguồn S bằng cách phát quảng

bá gói RREQ với địa chỉ IP như là địa chỉ của nút nguồn S

- Kẻ tấn công có thể giả làm nút đích D bằng cách phát quảng bá gói RREP với địa chỉ như là địa chỉ của nút đích D

- Kẻ tấn công có thể giảm giá trị trường hop count trong RREQ và RREP để các nút nguồn cho rằng nó có tuyến đường đi ngắn nhất tới đích

- Kẻ tấn công có thể tăng giá trị trường sequence number trong RREQ và RREP làm các nút nguồn cho rằng nó có tuyến đường đi mới nhất đi tới đích

- Kẻ tấn công có thể phát ra gói tin thông báo tuyến đường bị lỗi làm sai lệch thông tin bảng định tuyến trong mạng

Như vậy giao thức AODV cần thiết ít nhất hai cơ chế: Chứng thực dữ liệu tại mỗi nút nhận và đảm bảo tính toàn vẹn của thông điệp định tuyến

1.2 TỔNG QUAN MỘT SỐ VẤN ĐỀ AN NINH TRONG MANET

1.2.1 Tiêu chí an toàn trong MANET

Tính sẵn sàng: Đảm bảo cho mạng và các dich vụ trong mạng luôn hoạt động kể cả khi bị tấn công tư chối dịch vụ Tại tầng vật lý và liên kết dữ liệu

kẻ tấn công có thể sử dụng các kỹ thuật gây nhiễu, gây trở ngại cho giao tiếp Trên tầng mạng, kẻ tấn công có thể phá vỡ các giao thức định tuyến…

Tính toàn vẹn: Đảm bảo dữ liệu truyền thông không bị sửa đổi tư nguồn đến đích

Tính bí mật: Đảm bảo thông tin chỉ được biết bởi những người được phép, không bị tiết lộ cho các tổ chức trái phép

Tính xác thực: Đảm bảo một nút phải xác định được danh tính rõ ràng của một nút khác trong quá trình truyền dữ liệu với nó Nếu không có tính xác thực một kẻ tấn công có thể mạo danh một nút, do đó đạt được quyền truy cập trái phép vào tài nguyên, thông tin nhạy cảm và ảnh hưởng đến hoạt động của các nút khác

Tính không chối bỏ: Đảm bảo một nút khi nhận được một thông điệp

có thể biết chắc rằng thông điệp đó được gửi tư một nút nguồn nào đó Và cũng đảm bảo nút nguồn không thể phủ nhận thông điệp mà nó đã gửi hay hành động mà nó đã thực hiện

1.2.2 Thách thức an ninh trong MANET

Những điểm yếu cơ bản của MANET [4] đến tư kiến trúc mở peer- peer Không giống như mạng có dây là nó có các routers, mỗi nút trong mạng

to-ad hoc có chức năng như một router và chuyển tiếp gói tin cho những nút

khác Việc truyền tin trong không khí là nguy cơ của việc nghe nén thông tin Khó kiểm soát việc một nút bên ngoài tham gia vào mạng Không có cơ sở hạ tầng để có thể triển khai một giải pháp an ninh Những kẻ tấn công có thể xâm nhập vào mạng thông qua việc tấn công các nút, tư đó làm tê liệt hoạt động của mạng Việc giới hạn về tài nguyên trong MANET cũng là một thách thức cho việc thiết kế bảo mật Giới hạn băng thông của kênh truyền không dây và chia sẻ qua nhiều thực thể mạng Khả năng tính toán của một nút cũng bị giới hạn

Các thiết bị không dây di chuyển nhiều hơn so với các thiết bị có dây Hình trạng mạng thay đổi liên tục do sự di chuyển, tham gia hay rời khỏi mạng của các nút Ngoài ra còn có nhiễu trong các kênh không dây làm ảnh hưởng tới băng thông và độ trễ Do các nút di chuyển liên tục nên đòi hỏi các giải pháp an ninh cũng phải đáp ứng tại bất kỳ đâu, bất kỳ lúc nào khi chúng

di chuyển tư chỗ này đến chỗ khác

Những đặc điểm trên của MANET chỉ ra phải xây dựng lên giải pháp

an ninh mà đáp ứng cả về an ninh và hiệu suất của mạng

- Giải pháp an ninh nên được cài đặt ở nhiều thực thể nút để cho hỗ trợ bảo vệ toàn mạng Trong đó phải đáp ứng khả năng tính toán liên quan tới việc tiết kiệm năng lượng, bộ nhớ cũng như hiệu năng truyền thông của mỗi nút

- Giải pháp an ninh cần phải hỗ trợ ở nhiều tầng giao thức, mỗi tầng cung cấp một một tuyến phòng thủ Không có giải pháp ở một tầng duy nhất

có khả năng ngăn chặn tất cả các nguy cơ tấn công

- Giải pháp an ninh cần phải ngăn chặn những nguy cơ tấn công tư bên ngoài và tư bên trong mạng

- Giải pháp an ninh cần phải có khả năng ngăn chặn, phát hiện và chống lại cuộc tấn công

- Cuối cùng, giải pháp an ninh cần phải phù hợp với thực tiễn và chi phí thấp

1.2.3 Các mối đe dọa an ninh trong MANET

Do những đặc điểm của MANET nên chúng có những điểm yếu cố hữu

và tiềm ẩn các nguy cơ đe dọa an ninh tư các cuộc tấn công Các cuộc tấn công trong MANET thường được chia thành hai nhóm

Các cuộc tấn công tư bên trong mạng:

- Chủ động: Kẻ tấn công chủ động tham gia tấn công vào hoạt động bình thường của dịch vụ mạng, có thể là hủy gói tin, chỉnh sửa gói tin, phát lại gói tin, giả mạo gói tin, hay giả một nút nào đó để thực hiện gửi gói tin…

- Bị động: Kẻ tấn công không làm tê liệt hoạt động của mạng mà chỉ thực hiện các hành vi nghe trộm các thông tin trên đường truyền Kiểu tấn công này rất khó phát hiện vì không có bất cứ việc chỉnh sửa hay làm thay đổi hoạt động bình thường của mạng

Các cuộc tấn công tư bên ngoài mạng: Mục đích thường nhắm đến

của các cuộc tấn công tư bên ngoài có thể là gây ùn tắc, làm sai lệch thông tin định tuyến, ngăn chặn các dịch vụ hoặc làm tê liệt chúng Các cuộc tấn công

tư bên ngoài có thể được ngăn ngưa bằng cách sử dụng các giải pháp mã hóa, IDS, IPS, firewall…

Ảnh hưởng của các cuộc tấn công tư bên trong thường lớn hơn so với các cuộc tấn công diễn ra tư bên ngoài mạng Vì giả sử một nút độc hại khi đã tham gia vào bên trong mạng thì nó sẽ có đầy các quyền tham gia vào dịch vụ mạng, cũng như các chính sách an ninh bên trong mạng Nên việc tấn công như nghe lén, sửa đổi, hủy bỏ hay chỉnh sửa thông tin mạng là rất dễ dàng

Bảng 1.1 Các kiểu tấn công cơ bản trong MANETtrên các tầng khác nhau

Tầng ứng dụng Repudiation, data corruption

Tầng giao vận Session hijacking, SYN flooding

Tầng mạng

Spoofing, fabrication, worm, modification, Denial of Service, sinkholes, sybil,

Eavesdropping, traffic analysis, monitoring

Tầng liên kết dữ liệu Traffic analysis, monitoring, disruption MAC

(802.11), WEP weakness Tầng vật lý Jamming, interceptions, eavesdropping

Nhƣ bảng 1.1, chúng ta thấy các cuộc tấn công trong MANET có thể diễn ra ở bất kỳ tầng nào và mỗi tầng với những hình thức khác nhau có thể là tấn công chủ động hoặc tấn công bị động Trong khuôn khổ luận văn, tác giả

sẽ tập trung nghiên cứu các hình thức tấn công trong tầng mạng, cụ thể là các cuộc tấn công trong giao thức định tuyến MANET Từ đó đƣa ra giải pháp cụ thể để có thể ngăn ngƣa, hạn chế và chống lại các cuộc tấn công

Sau đây là một số kiểu tấn công cơ bản vào giao thức định tuyến MANET

Hình 1.3 Phân loại tấn công trong giao thức định tuyến MANET

a Tấn công sửa đổi (Attack using Modification)

Trong kiểu tấn công này một số trường trong bản tin của giao thức bị sửa đổi và sau đó thông điệp được forward qua nhiều nút Điều này trở thành nguyên nhân phá vỡ tuyến đường, cũng như chuyển hướng tuyến hay gây ra một cuộc tấn công tư chối dịch vụ (Denial of Service attacks) Một vài kiểu tấn công thuộc kiểu này:

Tấn công sửa đổi sequence numbers (Route sequence numbers

modification)

Kiểu tấn công này thể hiện rõ ràng nhất ở giao thức AODV Trong kiểu tấn công này kẻ tấn công thực hiện sửa đổi số sequence number trong gói tin RREQ hoặc RREP đi qua chúng để tạo ra tuyến đường mới có hiệu lực nhất Tư

đó có thể tham gia được vào tuyến đường truyền dữ liệu tư nguồn tới đích

Tấn công sửa đổi trường Hop count

Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức AODV Trong

MANET routing Attack

- Redirection

by spoofing

Attack using Fabrication

Route Cache poisoning Falsifying route error

Special attacks

Worm hole Black hole Gray hole

kiểu tấn công này, kẻ tấn công thực hiện sửa đổi trường hop count trong gói tin RREQ, RREP, dẫn tới nút nguồn tưởng rằng đó là tuyến đường ngắn nhất và thực hiện truyền dữ liệu qua nó

Tấn công sửa đổi nguồn (Source route modification attack)

Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức đinh tuyến nguồn DSR Kẻ tấn công chặn thông điệp sửa đổi danh sách các nguồn trước khi gửi tới nút đích trong quá trình truyền Ví dụ: Trong hình bên dưới, tuyến đường ngắn nhất giữa nút nguồn S và đích X là (S – A – B – C – D – X) S và X không thể truyền dữ liệu trực tiếp cho nhau và kịch bản như sau: Nút M là nút độc hại

cố gắng thực hiện tấn công tư chối dịch vụ Giả sử nút nguồn S cố gắng gửi dữ liệu tới nút X nhưng nút M chặn gói tin và bỏ đi nút D trong danh sách và gói tin được chuyển tiếp đến nút C, nút C cố gắng gửi gói tin đến nút X nhưng không thể vì nút C không thể truyền tin trực tiếp tới nút X Dẫn tới nút M thực hiện thành công cuộc tấn công DDOS trên X

Hình1.4 Mô tả tấn công sửa đổi nguồn

b Tấn công đóng giả (Attacks using Impersonation)

Trong kiểu tấn công này kẻ tấn công tấn công vào tính xác thực và tính bí mật của mạng Kẻ tấn công đóng giả địa chỉ của một nút khác để thay đổi hình trạng của mạng

B C

Hình1.5 Mô tả tấn công giả mạo

Theo hình 1.5 nút S muốn gửi dữ liệu tới nút X và trước khi gửi dữ liệu tới nút X, nó khởi động quá trình tìm đường tới X Nút M là nút độc hại, khi nút

M nhận được gói tin tìm đường tới X, M thực hiện sửa đổi địa chỉ của nó thành địa chỉ của X, đóng giả nó thành nút X’ Sau đó nó gửi gói tin trả lời rằng nó chính là X tới nút nguồn S Khi S nhận được gói tin trả lời từ M, nó không chứng thực và chấp nhận tuyến đường và gửi dữ liệu tới nút độc hại Kiểu tấn công này cũng được gọi là tấn công lặp định tuyến trong mạng

c.Tấn công chế tạo (Attacks using Fabrication)

Trong kiểu tấn công này, kẻ tấn công chèn vào mạng những thông điệp giả mạo hoặc gói tin định tuyến sai (fake routing packet) để đánh sập quá trình định tuyến Kiểu tấn công giả mạo này rất khó phát hiện trong MANET Ví dụ:

Hình 1.6 Mô tả tấn công chế tạo

Theo hình trên, nút nguồn S muốn gửi dữ liệu tới nút X, nó khởi động quá trình tìm đường tới X Nút M là nút độc hại cố gắng chỉnh sửa tuyến đường

và trả gửi gói tin trả lời tới nút S Hơn nữa, một nút độc hại có thể giả mạo gói RERR để thông báo sự tuyến đường hỏng

B C

B C

X’

Att

d Tấn công đặc biệt

Tấn công worm: Kẻ tấn công nhận những gói tin tại một nút trong mạng,

thực hiện “tunnels” những gói tin này tới một nút khác trong mạng và sau đó phát lại chúng vào mạng Bởi vì khoảng cách “tunneled” dài hơn khoảng cách một chặng bình thường nên kẻ tấn công có thể “tunneled” gói tin đạt metric tốt hơn những tuyến đường khác VD:

Hình 1.7 Mô tả tấn công worm

Nút X và nút Y là hai đầu của kiểu tấn công worm Nút X phát lại mọi gói tin trong vùng A mà nút Y nhận được trong vùng B và ngược lại Dẫn tới việc tất cả các nút trong vùng A cho rằng là hàng xóm của các nút trong vùng B

và ngước lại Kết quả là, nút X và nút Y dễ dàng tham gia vào tuyến đường truyền dữ liệu Khi đó chúng chỉ việc hủy bỏ mọi gói tin truyền qua chúng và như thế chúng đánh sập mạng

1.2.4 Một số giải pháp tăng cường an ninh trong MANET

An ninh trong MANET là khái niệm liên quan tới việc đảm bảo cho việc giao tiếp an toàn giữa các thực thể tham gia trong mạng Ở tầng mạng nó đảm bảo cho các chức năng như định tuyến và chuyển tiếp gói tin Hoạt động mạng

có thể dễ dàng bị nguy hại nếu không có một biện pháp phòng chống được nhúng vào trong các chức năng cơ bản của mạng khi thiết kế Kể tư đó đã xuất hiện nhiều các kỹ thuật được phát triển để chống lại các cuộc tấn công Có hai

kỹ thuật chính để chống lại các cuộc tấn công:

- Kỹ thuật ngăn ngừa: Trong kỹ thuật ngăn ngừa, các giải pháp như

chứng thực, điều khiển truy nhập, mã hóa và chữ ký số được sử dụng hỗ trợ bảo

vệ Một số giải pháp như tokens hay thẻ thông minh để truy nhập thông qua mã PIN hay nhận dạng sinh trắc học cũng được sử dụng

- Kỹ thuật phản ứng: Trong kỹ thuật phản ứng, giải pháp sử dụng như

IDS để phát hiện các hành vi bất hợp pháp hoặc không bình thường

Trong khuôn khổ của luận văn, tác giả sẽ tập trung vào các giải pháp chống tấn công cho tầng mạng, cụ thể là các giải pháp tăng cường an ninh trong giao thức định tuyến

Trong tất cả các tầng thì tầng mạng là tồn tại nhiều điểm yếu bị tấn công hơn cả trong MANET Nhiều giải pháp đã được nghiên cứu giúp tăng cường an ninh cho tầng mạng Đầu tiên là giải pháp hỗ trợ bảo mật giao thức định tuyến Các kiểu tấn công chủ động như chỉnh sửa thông tin định tuyến có thể được ngăn chặn bằng cách sử dụng các kỹ thuật xác thực nguồn và xác thực thông điệp Ví dụ như chữ ký số, mã xác thực thông điệp (MAC), hashed MAC (HMAC) IPSec được sử dụng phổ biến trong tầng mạng có thể được sử dụng trong MANET để hỗ trợ tính bí mật của thông tin trên đường truyền Giao thức định tuyến viết tắt là ARAN có thể chống lại nhiều kiểu tấn công khác nhau như chỉnh sửa sequence numbers, chỉnh sửa hopcount, chỉnh sửa nguồn, lừa gạt, bịa đặt… Những đơn vị không thể thay đổi được như thời gian trễ, vị trí điạ lý có thể được sử dụng để phát hiện tấn công worm, giải pháp không cho phép nút trung gian gửi gói tin trả lời về tuyến đường nút nguồn yêu cầu

Một vài giải pháp được đề xuất bởi các nhà nghiên cứu nhằm bổ sung các

cơ chế an ninh cho giao thức định tuyến dựa trên các giao thức định tuyến như DSR, DSDV và AODV Có thể phân loại chúng ba loại:

 Giải pháp dựa trên mật mã đối xứng

 Secure Efficient Ad hoc Distance Vector (SEAD)

 Secure Routing Protocol (SRP)

 Ariadne

 Giải pháp dựa trên mật mã bất đối xứng

 Authenticate routing for ad hoc network ( ARAN)

 SAR

 Giải pháp lai

 Secure Ad hoc On-demand Distance Vector ( SAODV)

1.3 CÔNG CỤ NGHIÊN CỨU CHÍNH NS-2

1.3.1 Giới thiệu về NS-2

NS (phiên bản) là phần mềm mô phỏng mạng điều khiển sự kiện riêng rẽ hướng đối tượng, được phát triển tại UC Berkely, viết bằng ngôn ngữ C++ và OTcl NS rất hữu ích cho việc mô phỏng mạng diện rộng (WAN) và mạng local (LAN) Bốn lợi ích lớn nhất của NS-2 phải kể đến đầu tiên là:

- Khả năng kiểm tra tính ổn định của các giao thức mạng đang tồn tại

- Khả năng đánh giá các giao thức mạng mới trước khi đưa vào sử dụng

- Khả năng thực thi những mô hình mạng lớn mà gần như ta không thể thực thi được trong thực tế

- Khả năng mô phỏng nhiều loại mạng khác nhau

1.3.2 Kiến trúc của NS-2

Hình 1.8 Tổng quan về NS-2 dưới góc độ người dùng

 OTcl Script Kịch bản OTcl

 Simulation Program Chương trình Mô phòng

 OTcl Bộ biên dịch Tcl mở rộng hướng đối tượng

 NS Simulation Library Thư viện Mô phỏng NS

 Event Scheduler Objects Các đối tượng Bộ lập lịch Sự kiện

 Network Component Objects Các đối tượng Thành phần Mạng

 Network Setup Helping Modules Các mô đun Trợ giúp Thiết lập Mạng

 Plumbling Modules Các mô đun Plumbling

 Simulation Results Các kết quả Mô phỏng

 Analysis Phân tích

 NAM Network Animator Minh họa Mạng NAM

Trong hình trên, NS là Bộ biên dịch Tcl mở rộng hướng đối tượng; bao gồm các đối tượng Bộ lập lịch Sự kiện, các đối tượng Thành phần Mạng và các

mô đun Trợ giúp Thiết lập Mạng (hay các mô đun Plumbing)

Để sử dụng NS-2, user lập trình bằng ngôn ngữ kịch bản OTcl User có thể thêm các mã nguồn Otcl vào NS-2 bằng cách viết các lớp đối tượng mới trong OTcl Những lớp này khi đó sẽ được biên dịch cùng với mã nguồn gốc Kịch bản OTcl có thể thực hiện những việc sau:

- Khởi tạo Bộ lập lịch Sự kiện

- Thiết lập Mô hình mạng dùng các đối tượng Thành phần Mạng

- Báo cho nguồn traffic khi nào bắt đầu truyền và ngưng truyền packet trong Bộ lập lịch Sự kiện

Phụ thuộc vào mục đích của người dùng đối với kịch bản mô phỏng OTcl

mà kết quả mô phỏng có thể được lưu trữ như file trace Định dạng file trace sẽ được tải vào trong các ứng dụng khác để thực hiện phân tích:

- File nam trace (file.nam) được dùng cho công cụ Minh họa mạng NAM

- File Trace (file.tr) được dùng cho công cụ Lần vết và Giám sát

Mô phỏng XGRAPH hay TRACEGRAPH

Hình 1.9 Luồng các sự kiện cho file Tcl chạy trong NS

 Tracing and Monitoring Simulation Mô phỏng Lần vết và Giám sát

1.4 KẾT LUẬN

Ở chương 1 đã nêu tổng quan các đặc điểm về MANET, các vấn đề an ninh trong MANET, bao gồm: Các thách thức khi xây dựng một giải pháp an ninh; Các mối đe dọa an ninh, trong đó tập trung chủ yếu vào việc phân tích các hình thức tấn công trong tầng mạng, cụ thể là các cuộc tấn công trong giao thức định tuyến; Chỉ ra một số giải pháp tăng cường an ninh trong giao thức định tuyến MANET Dựa trên việc phân tích, đánh giá các ưu nhược điểm của các giải pháp có sẵn, tác giả lựa chọn xây dựng một giải pháp tăng cường an ninh cho giao thức định tuyến AODV, một giao thức hoạt động rất hiệu quả trong MANET Chi tiết về giải pháp được trình bày chi tiết trong chương 2 của luận văn

CHƯƠNG 2 GIẢI PHÁP KỸ THUẬT NGĂN CHẶN TẤN CÔNG MANET

Đã có rất nhiều nghiên cứu nhằm bổ sung các cơ chế an ninh cho giao thức AODV để chống lại các kiểu tấn công Có những giải pháp mang tính tổng quát chống lại được nhiều kiểu tấn công như SAODV, ARAN…, cũng có những giải pháp cải tiến để chống lại từng kiểu tấn công dựa trên đặc điểm của chúng

Các giải pháp tổng thể như SAODV, ARAN…, chống được nhiều kiểu tấn công Tuy nhiên:

Đối với SAODV: Do mỗi nút khi tham gia vào mạng, tự nó tạo ra cặp

khóa bí mật, công khai có liên hệ với địa chỉ IP nên có thể bị tấn công theo kiểu tấn công giả mạo – impersonation attacks (Nút độc hại có thể tạo cho nó nhiều cặp khóa công khai bí mật, tương ứng với nhiều địa chỉ IP để tham gia vào mạng) Ngoài ra chi phí cho việc sử dụng chữ ký số lớn dẫn đến việc dễ bị tấn công theo kiểu phát tràn gói tin RREQ, tiêu hủy hiệu năng của mạng do SAODV không có cơ chế phát hiện, chống lại kiểu tấn công này

Đỗi với ARAN: Yêu cầu có một trung tâm chứng thực T, mỗi nút khi

tham gia vào mạng thì phải gửi yêu cầu để được cấp chứng chỉ, nhược điểm là phải có thêm cơ sở hạ tầng cho việc triển khai trung tâm chứng thực riêng Hơn nữa, trong quá trình định tuyến, mỗi nút đều thực hiện quá trình xác thực và ký dẫn tới chi phí cực lớn, gây trễ lớn Trong ARAN cũng không có cơ chế theo dõi lượng gói tin RREQ gửi bởi một nút nên cũng có khả năng bị tấn công phát tràn RREQ

Các giải pháp cải tiến giao thức dựa trên đặc điểm của từng loại tấn công, không sử dụng xác thực nên dễ bị tấn công theo kiểu giả mạo, hoặc bị kẻ tấn công nghiên cứu lại hoạt động của giao thức để vượt qua

Việc nghiên cứu một giải pháp toàn diện đòi hỏi đáp ứng cả vấn đề an ninh lẫn phù hợp với điều kiện thực tế, đáp ứng hiệu năng trong MANET thực

sự là một thách thức lớn hiện nay Trong khuôn khổ luận văn, tôi có đưa ra một

số cải tiến nhỏ, tạm gọi là giao thức AODVNEW như sau:

Các cuộc tấn công worm có thể đánh cắp gói tin tại lớp ứng dụng đánh cắp gói tin thông qua việc sử dụng các bộ truyền dẫn công suất cao, và đánh cắp gói tin thông qua một hạ tầng có dây ngoại vi Trong bài này tôi tiến hành nghiên cứu trường hợp

Tôi đã lợi dụng lý thuyết an ten có hướng nhằm ngăn cản các cuộc tấn công worm, trong khi đó đề xuất một giao thức hoàn toàn mới có tên là lập với các giao thức định tuyến được sử dụng Giao thức Delphi tập trung vào độ trễ gây ra bởi các đường định tuyến khác nhau đến đầu thu Tôi sử dụng thông tin kết nối để kiểm tra các node tấn công trong mô hình mạng nhằm phát hiện ra một cuộc tấn công worm

Tôi đề xuất một lý thuyết gọi là dây xích gói tin Phương pháp này giúp phát hiện và ngăn chặn các cuộc tấn công worm Hơn nữa, họ phân loại các dây xích gói tin này theo tiêu chí địa lý và thời gian Phương pháp này tương tự với cách tiếp cận của chúng tôi, ngoại trừ một khác biệt lớn, đó là tất cả các node cần phải được đồng bộ thời gian một cách chặt chẽ, thông qua việc sử dụng phần cứng thích hợp Một khác biệt khác chính là việc chúng tôi dựa vào bộ phát để phát hiện tấn công, trong khi sử dụng bộ thu

2.1 TỔNG QUAN CHUẨN MÃ DỮ LIỆU AES

2.1.1 Giới thiệu về chuẩn mã dữ liệu tiên tiến AES

Chuẩn mã hóa dữ liệu tiên tiến AES (Advanced Encryption Standard) là một hệ mã khóa bí mật có tên là Rijdael (do hai nhà mật mã học người Bỉ là Joan Daemen và Vincent Rijmen đưa ra và trở thành chuẩn từ năm 2002) cho phép xử lý các khối dữ liệu input có kích thước 128 bit sử dụng các khóa có độ

dài 128, 192 hoặc 256 bit Hệ mã Rijdael được thiết kế để có thể làm việc với các khóa và các khối dữ liệu có độ dài lớn hơn tuy nhiên khi được chọn là một chuẩn do Ủy ban tiêu chuẩn của Hoa Kỳ đưa ra năm 2001, nó được qui định chỉ làm việc với các khối dữ liệu 128 bit và các khóa có độ dài 128, 192 hoặc 256 bit (do đó còn đặt cho các tên AES-128, AES-192, AES-256 tương ứng với độ dài khóa sử dụng)

Cơ sở toán học của AES Trong AES các phép toán cộng và nhân được thực hiện trên các byte trong trường hữu hạn

Phép cộng

Phép nhân

2.1.2 Quy trình mã hóa AES

Quy trình mã hóa sử dụng bốn phép biến đổi chính:

1 AddRoundKey: Cộng mã khóa của chu kỳ vào trạng thái hiện hành

Độ dài của mã khóa của chu kỳ bằng với kích thước của trạng thái

2 SubBytes: Thay thế phi tuyến mỗi byte trong trạng thái hiện hành thông qua bảng thay thế (S-box)

3 MixColumns: Trộn thông tin của từng cột trong trạng thái hiện hành Mỗi cột được xử lý độc lập

4 ShiftRows: Dịch chuyển xoay vòng từng dòng của trạng thái hiện hành với di số khác nhau

Quy trình mã hóa được tóm tắt lại như sau:

1 Thực hiện thao tác AddRoundKey đầu tiên trước khi thực hiện các chu

Hình 2.1 Quy trình mã hóa và giải mã AES

2.1.3 Phép biến đổi SubBytes

Các byte được thế thông qua bảng tra S-box Đây chính là quá trình phi tuyến của thuật toán Hộp S-box này được tạo ra từ một phép biến đổi khả nghịch trong trường hữu hạn GF (28) có tính chất phi tuyến Để chống lại các tấn công dựa trên các đặc tính đại số, hộp S-box này được tạo nên bằng cách kết hợp phép nghịch đảo với một phép biến đổi affine khả nghịch Hộp S-box này cũng được chọn để tránh các điểm bất động (fixed point)

Hình 2.2 Thao tác SubBytes tác động trên từng byte của trạng thái

2.1.4 Phép biến đổi ShiftRows

Các hàng được dịch vòng một số bước nhất định Đối với AES, hàng đầu được giữ nguyên Mỗi byte của hàng thứ 2 được dịch vòng trái một vị trí Tương tự, các hàng thứ 3 và 4 được dịch vòng 2 và 3 vị trí Do vậy, mỗi cột khối đầu ra của bước này sẽ bao gồm các byte ở đủ 4 cột khối đầu vào Đối với Rijndael với độ dài khối khác nhau thì số vị trí dịch chuyển cũng khác nhau

Hình 2.3 Thao tác ShiftRows tác động trên từng dòng của trạng thái

2.1.5 Quy trình giải mã

Quy trình giải mã được thực hiện qua các giai đoạn sau:

1 Thực hiện thao tác AddRoundKey đầu tiên trước khi thực hiện các chu

2.1.6 Ý nghĩa

Phạm vi chính thức của một chuẩn FIPS là tương đối hạn chế: FIPS chỉ

áp dụng cho hành chính liên bang Hơn thế nữa, AES mới chỉ được sử dụng cho các tài liệu chứa thông tin nhạy cảm nhưng không mật AES từ khi được chấp nhận đã được sử dụng như một chuẩn mật mã ngầm định trên toàn thếgiới Việc chấp nhận Rijndael như một chuẩn chính phủ đã đem đến cho nó một bố sự chứng thực về chất lượng

Các nhân tố chính làm cho sự chấp nhận nhanh chóng đối với Rijndael là

sự kiện nó không có bản quyền, nó có thể được cài đặt một cách dễ dàng

2.1.7 Ứng dụng của AES

- Hiện nay, AES được sử dụng phổ biến trên toàn thế giới để bảo vệ dữ liệu ở các tổ chức ngân hàng, tài chính, chính phủ, thương mại điện tử, chữ ký điện tử…

- Mã hóa AES được ứng dụng nhanh đối với cả phần cứng và phần mềm,

và chỉ yêu cầu một không gian lưu trữ nhỏ, lý tưởng để sử dụng cho việc mã hóa những thiết bị cầm tay nhỏ như ổ USB flash, ổ đĩa CD.…

- Sử dụng như một hàm băm

- Xây dựng các hàm băm Hàm băm Whilrpool là một ví dụ điển hình

2.2 GIAO THỨC THỎA THUẬN KHÓA DIFFIE HELLMAN (DH)

Đây là một phương pháp hoàn toàn mới về cách thức phân phối các khóa mật mã Là hệ thống đầu tiên sử dụng "public-key" hoặc các khóa mật mã

"không đối xứng", và nó được gọi là trao đổi khóa Diffie-Hellman Hellman key exchange) Bài viết còn kích thích sự phát triển gần nhất tức thời của một lớp các thuật toán mật mã hóa mới, các thuật toán chìa khóa bất đối xứng (asymmetric key algorithms)

(Diffie-Trước đây hầu hết các thuật toán mật mã hóa hiện đại đều là những thuật toán khó đối xứng (symmetric key gorithms), trong đó cả người gửi và người