Bảo mật mạng căn bản Bảo mật mạng nói chung là nhằm bảo vệ người dùng bao gồm vị trí chính xác của người dùng dữ liệu và lưu lượng truy cập đến từ các thành viên lưu lượng tín hiệu truy
Trang 1CHƯƠNG 6 BẢO MẬT
6.1 Bảo mật mạng căn bản
Bảo mật mạng nói chung là nhằm bảo vệ người dùng (bao gồm vị trí chính xác của người dùng) dữ liệu và lưu lượng truy cập đến từ các thành viên lưu lượng tín hiệu truy nhập và cũng là để bảo vệ các nhà điều hành mạng chống lại các thành viên
sử dụng và đăng kí không thích hợp Công cụ cơ bản trong bảo mật internet là sử dụng khoá công khai và khoá hệ thống cơ bản, hệ thống bảo vệ bằng tường lửa và mật khẩu
An ninh internet là rất quan trong và cực kỳ khó trong mạnh vệ tinh, nó bao gồm các tổ chức an ninh kinh tế chính tri khác nhau trên toàn thế giới Và nó cũng bao gồm việc làm thế nào khi giao tiếp ra ngoài ( ví dụ như là máy tính người dùng
và mạng) để làm được điều này thì cần hiểu rõ về các phần cứng và các giao thức trong mạng
6.1.1 Tiếp cận bảo mật
Mã hoá bảo mật có thể được tiến hành bởi 2 phương pháp tiếp cận :
• Tiếp cận layer to layer: Trong trường hợp này lớp máy tính (thường là lớp 3- lớp IP hoặc lớp 4 -lớp TCP và UDP)nhận một tập tin giải mã từ lớp trên, đóng gói tập tin trong một đơn vị giao thức dữ liệu (PDU), và mã hoá toàn
bộ khung trước khi gửi nó đến một phần khác, ở đó, lớp tương ứng của mỗi đối tượng sẽ giải mã PDU trước khi gửi chúng đến các lớp cao hơn Tuy nhiên để làm được điều này thì các router trong mạng phải được cung cấp đầy đủ cách mã hoá khung
• Tiếp cận end to end: Trong trường hợp này các tập tin sẽ được mã hoá trực tiếp tại lớp ứng dụng bởi người dùng và tập tin đã được mã hoá sẽ được gửi tới lớp thấp hơn Điều đó có nghĩa là chỉ có phần tải trọng dữ liệu của khung
sẽ được mã hoá (khác với trường hợp trên là cả khung được mã hoá)
Ở trường hợp thứ 2, việc mã hoá chỉ xảy ra một cách gián tiếp trên lưu lượng mạng, và điều này chỉ xảy ra khi mà thuật toán mã hóa làm ảnh hưởng lên kích thước
dữ liệu được truyền đi Trường hợp này thì giống như thuật toán băm hoặc RSA
Trong trường hợp đầu thì loại mã hoá này bao gồm cả phần mào đầu khung, vì vậy làm giảm hiệu quả truyền tải trọng dữ liệu Đây là một loại cơ chế được bổ sung trong Ipv4 và Ipv6, nó khác với các cơ chế khác Trong Ipv4 thì mã hoá là một tuỳ chọn được kích hoạt trong trường “tuỳ chọn” của mào đầu (bit thứ 6 trong dãy 32 bit), trong Ipv6 nó bao gồm cả những phần tiêu đề mở rộng (từ trường tuỳ chọn được
sử dụng trong Ipv6) của 64 bit Một hệ quả khác có thể nảy sinh là khi mà thêm vào những tiêu đề và sự thay đổi kích thước khung làm xuất hiện các bản tin cho phiên
Trang 26.1.2 Hàm băm đơn hướng
Hàm Băm đơn hướng H(M) hoạt động trên bản tin M có độ dài tuỳ ý nó tạo ra một mã băm có độ dài cố định đầu ra h=H(M)
Nhiều hàm làm thay đổi độ dài đầu vào và cho ngược trở lại đầu ra có độ dài cố định
• Cho M ta dễ dàng tính toán ra h
• Cho h khó tìm ra được M
• Cho M khó để tìm ra được bản tin M’ sao cho H(M)=H(M’)
Sự khó khăn ở đây phụ thuộc vào mức độ bảo mật tại mỗi vị trí nhưng đa số các ứng dụng hiện nay xác định “độ khó” là cần 264 hoặc nhiều phép tính hơn nữa để giải Các loại hàm hiện nay bao gồm MD4, MD5 và thuật toán băm an toàn(SHA)
Từ quan điểm mạng trên những thuật toán này thường được sử dụng cho mục đích chứng thực
6.1.3 Mật mã đối xứng(với khoá bảo mật)
Một thuật toán mã hoá với khoá bí mật làm thay đổi bản tin M có độ dài tuỳ ý
lại (Dk(M)) sử dụng cùng khoá hình 6.1
C Văn bản chuyển thành mã
Mạng vệ tinh
Bản tin M
Khoá bí mật
K
Bản tin M
Khoá bí mật K
Hình 6.1 Hệ thống khoá bí mật
Thuật toán này xác định những đặc tính sau:
• Dk(Ek(M)) = M
• Cho M và k dễ dàng tính toán ra được C
• Cho C và k dễ dàng tính toán ra được M
• Cho M và C thì khó tìm ra được k
Trang 3Và tất nhiên trong trường hợp này rất khó khăn để tính toán ra k vì với thuật toán mã hoá dữ liệu tiêu chuẩn (DES) k có độ dài 256bit và thuật toán mã hoá dữ liệu quốc tế (IDEA) thì k có độ dài 2128 bit
Những thuật toán này thì được sử dụng cho mục đích “đóng gói bảo mật dữ liệu” trong mạng (ví dụ mã hoá dữ liệu) và thường được sử dụng trong lĩnh vực thương mại điện tử
6.1.4 Mật mã bất đối xứng(với khoá chung và riêng)
Trái với trường hơp trước, những thuật toán này sử dụng 2 khoá khác nhau (hình 6.2) một khoá e dùng để mã hoá (gọi là khoá công cộng) và một khoá d dùng để giải mã (gọi là khoá riêng)
Hệ thống khoá công cộng dành cho bảo mật
Hệ thống khoá công cộng dành cho chứng thực Hình 6.2 Hệ thống khoá công cộng dành cho từng người và cho chứng thực
Xác định C=Ee(M) và M=Dd(C)
Trang 4• Cho C và d dễ dàng tính toán được M
• Cho M và C khó tìm ra được e và d
• Cho e khó tìm ra được d
• Cho d khó tìm ra được e
2 khoá này “độc lập” , khoá mã hoá có thể được biết rộng rãi đó là lý do vì sao
nó được gọi là khoá công khai, ngược lại khoá riêng chỉ được biết để đối tượng giải
mã bản tin
Thuật toán phổ biến của loại này là RSA (được đặt tên của 3 nhà sáng lập là Rivest, Shamir and Adleman) những thuật toán này được sử dụng phổ biến trong
mã hoá truyền (hình 6.2a) hoặc dùng cho chứng thực (hình 6.2b) giữa 2 hoặc nhiều người muốn giao tiếp bằng phương pháp bảo mật
6.2 Bảo mật nối mạng vệ tinh
Thách thức bảo mật trong môi trường mạng vệ tinh được coi là một trong những trở ngại chính để triển khai và phổ biến rộng rãi của truyền đa điểm IP vệ tinh
và các ứng dụng đa phương tiện nói chung Vấn đề chính đó là nghe trộm và hoạt động đột nhập ngày càng dễ dàng hơn trong mạng mặt đất cố định hoặc mạng di động
do tính chất của vệ tinh là phát sóng
Thêm vào đó độ trễ lớn và tỷ lệ lỗi bit cao trong hệ thống vệ tinh là nguyên nhân gây nên mất đồng bộ bảo mật mạng vệ tinh Đây là một yêu cầu cần xem xét cẩn thận hệ thống mã hoá để ngăn chặn sự xuống cấp của QoS do xử lý mã hoá Một vấn đề nữa, đặc biệt là multicast (truyền đa điểm) là số lượng thành viên của nhóm multicast có thể sẽ rất lớn và có thể thay đổi thường xuyên
6.2.1 IP security (IPsec)
ở đây chúng ta chỉ thảo luận các vấn đề liên quan đến chũ đề bảo mật IP (IPSec)
Giao thức bảo mật IP được sử dụng để cung cấp cách mã hoá tương thích dựa trên dịch vụ bảo mật (ví dụ như bảo mật, chứng thực và tính toàn vẹn) tại lớp IP
Nó bao gồm giao thức chứng thực: chứng thực tiêu đề (AH), giao thức bảo mật: đóng gói bảo mật tải trọng (ESP) và nó cũng bao gồm việc thiết lập liên kết bảo mật internet và giao thức quản lý khoá (ISAKMP)
IP AH và ESP có thể được ứng dụng độc lập hoặc kết hơp với nhau mỗi giao thức có thể hoạt động trong một hoặc 2 chế độ: chế độ transport hoặc chế độ tunnel (hình 6.3)
Trang 5Hình 6.3 Chế độ transport trong IPv4
Cơ chế bảo mật của giao thức là chỉ thiết lập lên lớp dữ liệu và thông tin liên quan tới sự hoạt động của lớp IP như nội dung trong tiêu đề của IP thì không bảo vệ Trong chế độ tunnel thì cả phía trên lớpgiao thức dữ liệu và phần tiêu đề của gói IP được bảo vệ hoặc đưa vào hầm thông qua đóng gói
chế độ transport thì được dành cho bảo vệ end-to-end và chỉ có thể được triển khai bởi nguồn và đích host của gói dữ liệu IP ban đầu Chế độ tunnel có thể được dùng giữa các tường lửa Ipsec cho phép chúng ta xem xét bảo mật như là phát ra end-to-end, được quản lý bởi đối tượng sở hữu dữ liệu, điều này so sánh với bảo mật lớp liên kết dữ liệu mà được cung cấp bởi nhà điều hành vệ tinh hoặc nhà điều hành mạng
Bộ lọc cũng có thể được thiết lập bên trong các tường lửa để chặn một số gói IP vào mạng dựa trên địa chỉ IP và số cổng Nó cũng có cơ chế bảo mật tại lớp transport như là secure socket layer (SSL) tại lớp liên kết hoặc lớp vật lý
Hình 6.4 Chế độ tunnelling(trong cả Ipv4 và Ipv6)
6.2.2 VPN vệ tinh (Satellite VPN)
Một tường lửa bao gồm 2 router có khả năng lọc gói IP và cửa ngõ ứng dụng cho kiểm tra lớp cao như hình 6.5
Trang 6nh 6.5 VPN trong vệ tinh
Một cái ở đầu vào dùng để kiểm tra các gói vào và một ở đầu ra để kiểm tra gói đầu ra Một cổng ứng dụng, giữa các router thực hiện thêm việc kiểm tra giao thức dữ liệu lớp cao bao gồm TCP, UDP, email, WWW và các ứng dụng dữ liệu khác
Đây là cấu hình nhằm đảm bảo không có bất cứ gói nào vào hay ra mà không phải thông qua cổng ứng dụng Bộ lọc gói được điều khiển bằng bảng và kiểm tra các gói nguyên Cổng ứng dụng kiểm tra nội dung, kích thước bản tin và tiêu đề IPSec được sử dụng để cung cấp sự bảo mật giữa các mạng công ty thông qua môi trường công cộng internet
6.2.3 Bảo mật IP multicast
Trong bảo mật IP multicast, một trong những vấn đề chính là đảm bảo rằng khoá dùng để mã hoá lưu lượng tất cả các thành viên của nhóm đều biết và chỉ có những thành viên này, đây là vấn đề then chốt của việc phân phối và quản lý khoá Kích thước và trạng thái của nhóm multicast có ảnh hưởng rất lớn đến hệ thống phân phối và quản lý khoá, đặc biệt là các nhóm lớn Có một số cấu trúc cho quản lý khoá
mà đang được nghiên cứu gần đây
Một mặt khác mà nghiên cứu cần đảm bảo rằng quản lý khoá là có khả năng thay đổi đối với một nhóm quá lớn trong multicast vệ tinh; một trong những cơ chế
có triển vọng nhất là phân cấp khoá hợp lý Những khoá này có thể dùng trong cấu trúc bảo mật như IPSec, nghiên cứu này đang được điều khiển chỉ đạo độc lập cho bất kỳ vệ tinh nào, nhưng kết quả dự kiến được áp dụng cho bảo mật hệ thống multicast IP vệ tinh
Để giải quyết vấn đề phức tạp trong cập nhật khoá (rekey) tại những vùng có quy mô lớn, khái niệm phân cấp khoá hợp lý (LKH) có thể được sử dụng như trong hình 6.6 Khoá được tổ chức vào cấu trúc cây, mỗi người dùng thì được phân phối một chuỗi các khoá cho phép một số trùng từ “lá” tới “gốc” Người dùng có thể được nhóm lại dựa trên cây này đễ họ chia sẻ một số khoá chung do đó một bản tin có thể được phát quảng bá để cập nhật các khoá của một nhóm người dùng
Trang 7Hình 6.6 Mô hình của phân cấp khoá hợp lý (LHK)
Trang 8KẾT LUẬN
Liên kết mạng IP qua hệ thống vệ tinh thế hệ sau cho phép liên kết các mạng mặt đất với nhau thông qua hệ thống vệ tinh Với những ưu thế về tính linh động, phạm vi hoạt động bao phủ trên toàn thế giới, dễ dàng triển khai đối với các vùng hải đảo xa xôi Thêm vào đó do dựa trên công nghệ là IP sẵn có điều đó làm tăng khả năng bảo trì, quản lý, triển khai trên diện rộng, công nghệ ngày càng được cải tiến dẫn đến chất lượng của các dịch vụ do vệ tinh cung cấp ngày càng được cải tiến một cách đáng kể Truyền thông IP qua vệ tinh thực sự là một công nghệ đầy triển vọng phát triển trong tương lai
Trong phạm vi đồ án đã tìm hiểu một cách sơ lược về hệ thống vệ tinh, các đặc điểm cũng như cách thức hoạt động
Sau đó đồ án đã tìm hiểu về công nghệ IP một đặc trưng của mạng mặt đất, cách thức đóng gói, các giao thức dùng trong mạng vệ tinh như liên kết dữ liệu lớp cao (HDCL), giao thức điểm-điểm (PPP) và định tuyến trong mạng vệ tinh làm cho một gói tin có thể đến được đúng đích mà nó cần chuyển đến
Cuối cùng đồ án đề cập đến một vấn đề có thể nói là một thách thức lớn đối với tất cả các mạng không chỉ riêng mạng IP qua hệ thống vệ tinh đó là bảo mật Đặc điểm của mạng vệ tinh chính là truyền bằng vô tuyến cho nên khả năng nghe trộm dữ liệu cũng như xâm nhập vào mạng bất hợp pháp là rất lớn dẫn đến một yêu cầu bức thiết là bảo vệ tính riêng tư cũng như tính toàn vẹn của dữ liệu được truyền đi
Trong giai đoạn hiện nay, khi xu hướng của mạng viễn thông là IP hóa hay chuyển sang mạng thế hệ mới NGN Một trong những ưu việt của NGN là tích hợp giữa cố định và di động Vì vậy, trong tương lai IP-vệ tinh sẽ được ứng dụng cho điện thoại di động, các dịch vụ đa phương tiện Khi đó, các dịch vụ viễn thông sẽ rất linh hoạt, kết hợp giữa truyền hình ảnh, số liệu và thoại Đây cũng chính là hướng phát triển tiếp theo của để tài
Do kiến thức em còn hạn chế mà các vấn đề liên quan tới mạng vệ tinh khá rộng nên trong phạm vi đề tài không thể đề cập hết được và không thể tránh khỏi sai sót, em mong nhận được sự đóng góp ý kiến của các thầy và các bạn Em chân thành cảm ơn
Trang 9TÀI LIỆU THAM KHẢO
[1].Zhili Sun, Satellite Networking: Principles and Protocols
[2].Linghang Fan, Haitham Cruickshank, Zhili Sun, IP Networking over Next-Generation Satellite Systems ,7-2007
[3].PGS.Ts Nguyễn Bình, Lý Thuyết Thông Tin, 2006
[4].Ths.Nguyễn Phạm Anh Dũng, Thông Tin Vệ Tinh, 2007
[5].Nguyễn Quốc Tuấn, ISDN And Broadband ISDN With Frame Relay And ATM, 2002
