công nghệ an ninh trong mip

Khi ra khỏi mạng nhà, máy di động nhận được một địa chỉ khác được gọi la CoA Care Of Address: Chăm sóc địa chỉ liên quan đến vị trí hiện thời của máy di động.MIP giải quyết vấn đề di độn

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO CHUYÊN ĐỀ

BỘ MÔN : THÔNG TIN VÔ TUYẾN CHUYÊN ĐỀ: CÔNG NGHỆ AN NINH TRONG MIP

Giáo viên hướng dẫn : Nguyễn Viết Minh

Nhóm sinh viên : Mai Công Đại

Nguyễn Quang Trung

Lê Tuấn Tiến

HÀ NỘI - 2010

Mục Lục

Mục lục 1

Lời mở đầu 2

1 TỔNG QUAN VỀ MIP (Mai Công Đại) 3

1.1 Khái niệm chung về MIP 3

1.2 Các thực thể của MIP 4

1.3 Tổng quan giao thức 6

1.4 Các phần tử logic của MIP 7

II NGUY CƠ AN NINH VỚI MIP (Nguyễn Quang Trung ) 7

2.1 Các đe doa an ninh trong sơ đồ MIP 7

III GIẢI PHÁP AN NINH TRONG MIP (Lê Tuấn Tiến ) 7

3.1 Môi trường an ninh của MIP 7

3.1.1 Liên kết an ninh IPSec 8

3.1.2 Trang bị các khóa đăng ký trong MIP 8

3.2 Giao thức đăng ký MIP cơ sở 9

3.2.1 Các phần tử số liệu và các giải thuật trong giao thức MIP .9

3.2.2 Hoạt động của giao thức đăng ký MIP 11

IV.KỊCH BẢN AN NINH TRONG MỘT SỐ TRƯỜNG HỢP (Nguyễn Quang Trung) 14

4.An ninh trong thông tin MN đến MN 14

Kết luận 15

LỜI MỞ ĐẦU

Thông tin di động đang phát triển như vũ bão trên phạm vi toàn cầu Tốc độ phát triển có thể được ghi nhận thông qua số lượng điện thoại di động tiêu thụ liên tục tăng và việc ra đời nhiều dịch vụ và ứng dụng mới Các giao dịch kinh doanh cũng được thực hiện qua mạng di động ngày một nhiều vì thời gian xử lý công việc nhanh chóng hơn Và để đảm bảo cho công việc kinh doanh thì vấn đề an ninh cần phải đặt lên hàng đầu Cần phải có các biện pháp an ninh để giảm thiểu các rủi ro huỷ hoại dịch vụ, tránh thất thoát lợi nhuận và duy trì mức độ thoả mãn cho khách hàng sử dụng

Các hệ thống thông tin di động thế hệ hai chủ yếu được thiết kế cho thông tin thoại dựa trên chuyển mạch kênh Các hệ thống thông tin di động thế hệ ba được thiết kế để đáp ứng nhu cầu truyền số liệu không ngừng tăng Trong giai đoạn đầu cả chuyển mạch kênh và chuyển mạch gói đều được sử dụng Tuy nhiên trong quá trình phát triển chuyển mạch gói dần thay thế chuyển mạch kênh Mục đích cuối cùng của các hệ thống thông tin di động thế hệ ba là tiến tới một hệ thống thông tin di động “toàn IP” Di động IP đòi hỏi máy di động đầu cuối phải có địa chỉ IP thay đổi tương ứng để xác định vị trí hiện thời của nó Giao thức internet di động ( MIP: Mobile Internet Protocol) được thiết kế để đáp ứng đòi hỏi này

I.TỔNG QUAN VỀ MIP

Đề suất tốt nhất để xử lý chuyển giao di động vĩ mô la MIP MIP đã được phát triển nhiều năm tai IETF, đầu tiên là V4 (Version 4: phiên bản 4) và hiện nay là V6 (Version 6:phiên bản 6) Trong MIP không phu thuộc vào điểm nối mạng hiên thời, máy di động luôn luôn được nhận dạng địa chỉ nhà của nó Khi ra khỏi mạng nhà, máy di động nhận được một địa chỉ khác được gọi la CoA (Care Of Address: Chăm sóc địa chỉ) liên quan đến vị trí hiện thời của máy di động.MIP giải quyết vấn đề di động bằng cách lưu giữ một chuyển đổi động giữa nhận dạng cố định và CoA của máy di động

1.1 Khái niệm chung về MIP

MIP là sự cải tiến của IP cho phép tiếp tục thu các bó số liệu ở mọi nơi mà các bó

số liệu này nhập mạng Nó bao gồm một số các bản tin điều khiển bổ sung cho phép các nút IP liên quan quản lý tin vậy các bảng định tuyến IP của chúng

Năm đặc trưng sau là các yêu cầu chủ đạo mà mọi giao thức MIP phải thỏa mãn:

- Một nút di động phải có khả năng liên lạc với các nút khác sau khi thay đổi điểm nhập Internet ở lớp liên kết của nó

- Nút di đông phải có khả năng liên lạc với các nút khác không áp dụng MIP.không cần thêm bất cứ giao thức nào ở các máy đầu cuối hoặc các router nếu như chúng không thực hiện các chức năng của một hay nhiều thực thể có kiến trúc moi

- Tất cả các bản tin về vị trí được sử dụng để phát đến các nút khacsphair được nhận thực để bảo vệ chống lại các tấn công làm lệch hướng

- Liên kết để nút di động nhập mạng thường là liên kết vô tuyến Liên kết này có thể có độ rộng băng nhỏ hơn và tỉ lệ nỗi cao hơn các mạng hữu tuyến thong thường Ngoài ra nút di động sử dụng nguồn acqui nên việc tối thiểu hóa tiêu thụ công suất là rất quan trọng Vì thế các bản tin quản trị được phát trên liên kết mà ở đó nút di động trực tiếp nhập mạng phải được tối thiểu hóa và kích cỡ của bản tin này phải càng nhỏ càng tốt

- MIP không gây ra các han chế cho việc bổ sung cho việc ấn định các địa chỉ IP Nghĩa là tổ chức sở hữu nút di động có thể ấn định địa chỉ IP cho nó và bằng mọi bộ máy giao thức do tổ chức này quản lý

Mục đích của MIP là để cho phép nut chuyển động từ một mạng con IP này đến một mạng côn IP khác Nó phù hợp cho việc di động qua các môi trường không đồng nhất lẫn các môi trường đồng nhất Nghĩa là MIP tạo điều kiện cho việc di động từ một đoạn Enthernet này đến đoạn Ethernet khác cũng như cho phép di động từ một đoạn Ethernet này đến LAN vô tuyến trong khi vẫn giữ nguyên địa chỉ

IP của nút sau khi chuyển dịch

Ta có thể coi rằng MIP là một giải pháp cho vấn đề quản lý tính di động vĩ

mô Khi không có sự chuyển dịch giữa các điểm nhập các mạng con khác nhau, cơ chế lớp liên kết đối với di động (chẳng hạn chuyển giao ở lớp liên kết) có thể cung cấp nhiều giải pháp khác nhau với các ưu nhược điểm kỹ thuật khác nhau so với MIP Chẳng hạn IEEE đã tiêu chuẩn hoá một giải pháp cho di động vô tuyến trong tiểu ban IEEE 802.11 của mình (1994)

Lưu ý rằng MIP không đưa ra bất cứ một yêu cầu nào đối với hoạt động của lớp 2 (lớp liên kết) tại nút di động Điều này có nghĩa là có thể quản lý tính di động của một nút không phụ thuộc vào bản chất vật lý của liên kết nút này đến Internet MIP làm việc tốt cho các nút di chuyển từ một Ethernet này đến Ethernet khác cũng như khi nút này di chuyển từ một BTS này đến BTS khác sử dụng kết nốt vô tuyến chừng nào các liên kết này được thiết lập tốt như nhau Một số giao thức lớp 2 xử

lý tính di động nút theo cách hạn chế MIP có thể vẫn làm việc với các giao thức lớp 2 này để đảm bảo tính di động ở vùng phủ rộng hơn, vì các lớp 2 rất khó cung cấp tính di động trên các mạng con IP

1.2 các thực thể của MIP

MIP dựa vào các thực thể chức năng sau:

MN (Mobile Node: Nut di động) là máy hay router thay đổi điểm nhập mạng từ một mạng hay một mạng con này đến một mạng con khác Nút di động có thể thay đổi vị trí của mình mà không thay đổi vị trí của nó Nó có thể duy trì liên lạc với các nút Internet khác tại mọi vị trí khi vẫn giữ nguyên địa chỉ Internet của mình với giả thiết rằng vẫn có kết nối lớp liên kết đến điểm nhập mạng

CN (Correspondent Node: Nút đối tác) là máy di động hoặc cố định với máy di

động MN được xét

HA (Home Agrent: Tác nhân nhà) là một router ở mạng nhà của nút di động có

nhiệm vụ truyền đường hầm (Tunnel) các bó số liệu đếm nút di động khi nút này ra khỏi mạng nhf và duy trì thông tin vị trí cho nút di động

FA (Foreign Agent: Tác nhân ngoài) là một router tại mạnh ngoài để định tuyến

các dịch vụ đến nút di động nơi nút này đăng ký tạm trú Tác nhân ngoài gử trả lời theo đường hầm và chuyển các bó ssoos liệu được chuyển đường hầm từ tác nhân nhà của các nút di động đến nút di động

Mỗi nút di động được gán một địa chỉ IP dài hạn tại mạng nhà Địa chỉ nhà này được xử lý theo cách hành chính như một địa chỉ IP cố định được cung cấp cho máy đầu cuối cố định Khi đi khỏi mạng nhà của mình, một COA (Care of

Address: chăm sóc địa chỉ) được liên kết với nút di động để phản ảnh điểm nhập mạng hiện thời của nút di động

Nút di động sử dụng địa chỉ nhà của mình làm địa chỉ nguồn cho tất cả các

bó số liệu IP do nó gửi đi trừ phi khi nó đang đăng ký (nếu xẩy ra) để bắt một địa chỉ mới

Tổng quan các thực thể của MIP và một số mạng nhà và ngoài được cho ở hình 4.1 Trên sơ đồ có hai mạng ngoài: B và C với hai tác nhân ngoài, hai mạng nhà: A và D với hai tác nhân nhà và các nút MIP có thể nhập các mạng ngoài khác nhau bằng vô tuyến hoặc

hồng ngoại Các đường hầm đi từ các tác nhân nhà qua Internet toàn cầu và cuối cùng đến các tác nhân ngoài để chuyển bó số liệu

Tổng quan các thưc thể của MIP và một số mạng nhà và ngoài được cho ở hình :

Vị trí của máy di động(MN) Mạng ( mạng con ) nhà Đóng bao IP trong IP

Mạng(mạng con) ngoài Tác nhân ngoài (AF) Máy di động (MN)

Tác nhân nhà (HA)

Bỏ số liệu từ máy đối

tác chuyển sang tác

nhân nhà

Máy đối tác (CH)

Bỏ số liệu từ máy di động được truyền trực

tiếp đến đối tác, định tuyến IP bình thường

Hình 1: (a) Đăng ký tam giác và định tuyến (b) Đóng bao gói (c) Tối ưu

Trên hình 1.1 có hai mạng ngoài B và C với hai tác nhân ngoài, hai mạng nhà A và

D với hai tác nhân nhà và các nút MIP có thể nhập các mạng ngoài khác nhau bằng

vô tuyến hoặc hồng ngoại

1.3 Tổng quan giao thức

Về bản chất MIP là một phương thức để thực hiện ba chưc năng tương đối cách biệt:

- phát hiện tác nhân: các HA và FA có thể quảng cáo khả năng sẵn sàng của

mình trên các liên kết mà chúng phục vụ Một nút di động mới đến có thể phát một mời chào trên đường này để biết được xem có tác nhân trển vọng nào không

- Đăng ký: khi một MN ròi khỏi mạng nhà nó đăng ký CoA vói HA Phụ thuộc

vào phương pháp nhập mạng của mình, MN có thể đăng ký trực tiếp với HA của mình hay thông qua FA, tác nhân này nhận nhiệm vụ chuyển đăng ký của

nó đến tác nhân nhà

Tiêu đề mới:

Địa chỉ nguồn= địa chỉ HA Địa chỉ nơi nhận: CoA của FA Giao thức= IP trong IP

Tiêu đề gốc:

Địa chỉ nguồn = địa chỉ máy đối tác (CH) Địa chỉ nơi nhận= địa chỉ nhà của máy di động (MN) Tải tin gói gốc IP

Tải tin gói IP mới chứa Toàn bộ gói IP gốc

Vị trí của máy di động (MN) Mạng ( mạng con ) nhà

Mạng(mạng con) ngoài

Máy di động (MN)

Tác nhân nhà (HA)

Cập nhật ràng buộc tối

ưu cho định tuyến (v4)

Máy đối tác (CH)

Bỏ số liệu được

định tuyến trực tiếp

từ CH đến MN

Đóng bao

IP trong IP

Cập nhật ràng buộc tối ưu cho định tuyến (v6)

- Truyền đường hầm (Tunneling): để chuyển bó số liệu đến nút di động khi nút

này ra khỏi mạng nhà, tác nhân nhà phải truyền đường hầm các bó số liệu đến CoA

Các hoạt động của một giao thức MIP :

- Các tác nhân di động (các FA hay HA) quang cáo sự tồn tại của chúng thông qua các bản tin quảng cáo cá nhân Nút di động có thể mời chào để đón nhận một bản tin quảng cáo tác nhân từ một tác nhân di động địa phương bằng cách

sử dụng bản tin mòi chào tác nhân

- Nút di động thu nhận quảng cáo tác nhân và xác định xem đây là quảng cáo ở mạng nhà của nó hay mạng ngoài

- Khi MIP phát hiện rằng nó đang ở mạng nhà, nó sẽ hoạt động không cần các dịch vụ di động Nếu khi trở về amngj nhà từ một nơi đăng ký khác, nút di động đăng ký với tác nhân mạng nhà của mình thông qua quá trình đăng ký bình thường

- Khi nút di động phát hiện rằng nó đã chuyển đến một mạng ngoài, nó nhận CoA

ở mạng ngoài này CoA có thể hoặc là FA

- Nút di động hoạt động ở ngoài mạng nhà khi này đăng ký CoA mới với HA thông qua trao đổi yêu cầu dăng ký và bản tin trả lời đăng ký

- HA nhận các bó số liệu được phát đến địa chỉ nhà của nút di động, chuyển chúng theo đường hầm đến CoA của nut di động, ở đầu cuối tunnel bó số liệu được thu lại Nếu điểm cuối này là FA thì chúng chuyển tiếp đến nút di động Hinh 1 (a) minh họa định tuyến các bó số liệu đến và đi từ MN khi nó đã đăng ký với HA của mình

1.4.Các phần tử logic của MIP

Nguồn gốc của IPv4 và các mạng thông tin tổ ong số rất khác nhau Tuy nhiên tại mức logic, các phần tử của kiến trúc MIP rất phù hợp với các khái niệm quen thuộc

từ các mạng tổ ong số Chẳng hạn dưới sự điều khiển của MIP mỗi thiết bị máy tính di động có một mạng nhà giống như một máy thoại di động trong GSM có mạng nhà Trong mạng nhà này ở MIP hệ thống phần mềm vớ tên gọi là HA được

sử dụng trong một nút mạng Chức năng đầu tiên của HA là lưu giữ các thông tin bao gồm cả các khóa mật mã cho các máy tính di động (các MN) trực thuộc mạng nhà.HA cũng theo dõi vị trí hiện thòi của MN mà nó chịu trách nhiệm Ngoài ra mỗi MS trong MIP đều có một địa chỉ logic cố định địa chỉ IP của mình trong mạng nhà, chúng giống như mỗi máy di động GSM co địa chỉ duy nhất lạp trong SIM

Dưới sự điều khiển của giao thức IP khi MN nằm nhoài miền điều khiển của mạng nhà, nó có thể thiết lập kết nối Internet tyhoong qua một mạng con Internet khác để

hỗ trợ di động Mạng con này sẽ có các cổng vô tuyến (các bộ phát thu) để trao đổi tín hiệu với MN Mỗi mạng con này

có một hệ thống FA

II NGUY CƠ AN NINH VỚI MIP

2.1 Các đe dọa an ninh trong MIP

Thực tế các thách thức lớn nhất là đối mặt coi giả mạo MIP Giống như trường hợp mạng tổ ong, đường thuyền vô tuyến giữa MN và FA bị để lộ cho kẻ nghe trộm và

có thể bị tấn công và giả mạo Tuy nhiên không giông như các mạng tổ ong , truyền thông trong Internet hữu tuyến không diễn ra trong mạng riêng của một hay nhiều nnhaf cung cấp dịch vụ thông tin vô tuyến riêng mà trên chính Internet Vì thế đe dọa an ninh trong phần hữu tuyến lớn hơ so với trường hợp tổ ong số Có hai vùng để lộ trong MIP:

- khả năng một nút thù địch giả mạo nhận dnagj một nút di động và chuyển hướng các gói đến nút di động này sang các vị trí mạng khác

- Khả năng các nút thù địch (từ các miền nhà khai thác khác nhau) phát động tấn công lẫn nhau khi các nút này sử dụng các tài nguyên mạng và các dịch vụ chung do mạng con hỗ trợ di động cung cấp

III GIẢI PHÁP AN NINH TRONG MIP

3.1.Môi trường an ninh của MIP

Giao thức MIP quy định sử dụng MAC (Message Authentication Code: Mã nhận thực bản tin) được goi là ” các bộ nhận thực“ để nhận thực và đảm bảo toàn vẹn số liệu cho các bản tin điều khiển trao đổi giữa HA và MN Phương pháp MAC cũng

có thể được áp dụng bản tin trao đổi với các phần tử khác, chẳng hạn FA Giải thuật MAC nhận bản tin cần truyền và một khóa bí mật lám đầu vào và tạo đầu ra

là một xâu bít có độ dài cố định Nếu máy phát và máy thu có một mã bí mật, máy thu có thể tự tạo ra MAC từ bản tin thu được Sau đó máy thu so sánh xâu bít được tạo ra này với MAC nhận được từ bản tin Nếu hai xâu bít chùng nhau, nó khẳng định rằng không ai lam thay đổi bản tin khi nó được truyền và nguồn phát bản tin chính la nguồn mà phía đối tác chờ đợi (với điều kiện là nguồn phát bản tin phải biết khóa bí mật này để tạo ra MAC tương ứng)

3.1.1.Liên kết an ninh IPSec

SA (Security Assocation: Liên kết an ninh) là khái niệm an ninh và nhận thực cơ bản trong MIP Một liên kết an ninh được định nghĩa trước là quan hệ một chiều giữa máy phát và máy thu Quan hệ này định nghĩa các phương pháp an ninh Internet nào sẽ được sử dụng trong thông tin giữa máy phát và máy thu và các thông số nào được áp dụng Trong trường hợp thông tin hai chiều, phải có liên kết

an ninh, mỗi liên kết dùng cho một hướng Các SA được sử dụng để định nghĩa tập các dịch vụ IPSec (Internet Protocol Security: An ninh giao thức Internet) được sử dụng trong IP, lớp mạng trong ngăn xếp giao thức Internet Trong một gói IP ba thông số được sử dụng đồng thời để xác định một liên kết Ba thông số này là: địa chỉ nhận IP( IP Distination Address), số nhận dạng giao thức an ninh (SPI:

Security Protocol Identifier), để chỉ ra rằng liên kết an ninh áp dụng cho AH (tiêu

đề nhận thực) hay ESP (đóng bao tải tin an ninh) và một xâu bít gọi là chỉ số các thông số an ninh( SPI: Security parameters Index) được liên kết duy nhất với liên kết an ninh này Trong router hay trong phần tử tương ứng khác của hạ tầng nối mạng, có một file được gọi là SPD (Security Policy Database: Cơ sở dữ liệu) để định nghĩa các quy tắc dựa trên nội dung của các trường nói trên trong các gói IP Tùy thuộc và các cài đặt trong trường SPI, vị trí máy thu, các mức và các kiểu an ninh khác nhau được áp dụng cho các gói Điều này cho phép các phần tử chính như: MN, HA, FA và đôi khi cả CH trong phiên thông tin MIP lựa chọn chế độ an ninh phù hợp

3.1.2.Trang bị các khóa đăng ký trong MIP

Khi hạ tầng MIP phát triển rộng khắp, sẽ không thể coi rằng MN di động có liên kết trước đó với các FA trong các mạng mà nó làm khách Một vấn đề phát sinh là làm cách nào cung cấp cho MN và FA một khóa đăng ký chung một cách

an ninh tại khởi đầu phiên thông tin Hướng giải quyết tổng thể nhất phù hợp với

sự phát triển của MIP là giải quyết vấn đề này thông qua một PKI cho phép truy nhập toàn cầu, nhưng hạ tầng này chưa rộng khắp, vì thế một số giải pháp trung gian được đề xuất Chẳng hạn Charles Perkins đề xuất áp dụng năm kỹ thuật sau:

- Nếu FA và MN đã có chung một liên kết an ninh hay có thể thiết lập liên an ninh thông qua ISAKMP hoặc SKIP, FA sẽ tiến hành chon khóa đăng ký

- Nếu FA và HA của MN có cùng một liên kết an ninh, HA có thể tạo ra khóa đăng kysvaf thông báo nó cho FA

- Nếu FA có khóa công cộng của chính mình, nó có thể yêu cầu HA của MN tạo

ra một khóa đăng ký và thông báo nó đến FA với mật mã hóa bằng khóa công cộng

- Nếu MN có khóa công cộng, nó có thể đưa khóa này vào yêu cầu đăng ký để

FA tạo ra khóa đăng ký và thông báo cho nó với mật mã hóa bằng mã công cộng

- FA và MN có thể sử dụng giao thức trao đổi khóa Diffie–Helman để thiết lập một khóa đăng ký chung

Giải pháp Diffie-Helman được coi rằng có ưu tiên thấp nhất vì tính toán phức tạp của nó có thể làm nặng tải MN dẫn đến trễ Trong năm giải pháp của perkins, MN và FA chia sẻ chung một liên kết an ninh là được ưu tiên nhất Nếu

HA và FA chia sẻ đủ thông tin để HA có thể chuyển khóa bí mật đến FA, HA có thể hoạt động như một chung tâm phân phối khóa giả(KDC: Key Distribution Center) Nếu HA và FA chia sẻ chung một khóa bí mật thông qua liên kết an ninh giữa chúng, kỹ thuật sử dụng MD5 sau đây có thể sử dụng để phát khóa đăng ký hay khóa phiên từ HA đến FA

HA gửi xâu sau đây đến FA:

String1=MD5(secret||regrep||secret)⊗Kr