MOBILE IP VÀ ỨNG DỤNG TRONG NGÀNH CƠ YẾU CÔNG AN TỈNH QUẢNG NINH

1.4 Phương pháp nghiên cứu - Thu thập, tìm hiểu các tài liệu liên quan tới: Các khái niệm về Mobile IP Định tuyến các gói tin và quản lý tính đi động trong Mobile IP 4G Bảo mật trong Mo

-

Đoàn Xuân Thanh

MOBILE IP VÀ ỨNG DỤNG TRONG NGÀNH CƠ YẾU

CÔNG AN TỈNH QUẢNG NINH

Chuyên ngành: Khoa học máy tính

Mã số: 60.48.01

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2013

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS Phạm Thế Quế

Phản biện 1: ………

Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỤC LỤC

MỤC LỤC 1

MỞ ĐẦU 4

1.1 Lý do chọn đề tài 4

1.2 Mục đích nghiên cứu 4

1.3 Đối tượng và phạm vi nghiên cứu 5

1.4 Phương pháp nghiên cứu 5

CHƯƠNG 1 - TỔNG QUAN MOBILE IP 6

1.1 Giới thiệu chung mobile ip 6

1.1.1 Giới thiệu 6

1.1.2 Cơ chế hoạt động cơ bản của Mobile IP 6

1.1.3 Hoạt động thông báo và tìm kiếm mạng điều khiển 8

1.1.4 Hoạt động đăng ký 8

1.1.5 Hoạt động truyền số liệu và mã hoá 8

1.1.6 Một số vấn đề của Mobile Ipv4 8

1.1.7 Một số giải pháp cho Mobile Ipv4 8

1.1.8 Mobile IPv6 8

1.2 Định tuyến gói tin Mobile IP 8

1.2.1 Định tuyến các gói tin unicast 8

1.2.2 Định tuyến các gói tin broadcast 9

1.2.3 Định tuyến gói tin đơn phương 9

1.2.4 Định tuyến tối ưu 9

1.3 Kết luận chương 9

CHƯƠNG 2 - BẢO MẬT VỚI MOBILE IP 10

2.1 Giới thiệu 10

2.2 Bảo mật với mobile ip 10

2.2.1 Từ chối dịch vụ DoS 10

2.2.2 Bị nghe lén 11

2.2.3 Tấn công phản hồi .11

2.2.4 Ăn cắp đoạn 11

2.2.5 Đường hầm ảo 12

2.2.6 Tấn công từ chối dịch vụ phân tán DDoS 12

2.3 Mô hình bảo mật 12

2.3.1 Tiếp cận bảo mật yếu 12

2.3.2 Tiếp cận bảo mật mạnh 12

2.4 Môi trường bảo mật của Mobile IP 12

2.4.1 Sử dụng đường hầm đảm bảo cho định tuyến 12

2.4.2 Bỏ tối ưu hóa đường đi 12

2.4.3 Sử dụng tường lửa 13

2.4.4 Sử dụng Ipsec như là giải pháp đảm bảo cho mobile ip 13

2.5 Kết luận chương 13

CHƯƠNG III - ỨNG DỤNG PHẦN MỀM BẢO MẬT, SỬ DỤNG CHỮ KÝ ĐIỆN TỬ TRONG NGHIỆP VỤ CƠ YẾU CÔNG AN TỈNH QUẢNG NINH 14

3.1 Thực trạng ngành cơ yếu 14

3.1.1 Tổng quan 14

3.1.2 Những mặt tồn tại trong quá trình hoạt động 14

3.1.3 Đề xuất giải pháp 15

3.2 Chứng chỉ số 15

3.2.1 Khái niệm chứng chỉ số 15

3.2.2 Tại sao cần dùng chứng chỉ số 15

3.2.3 Ứng dụng chứng chỉ số 15

3.3 Xác thực 15

3.3.1 Khái niệm xác thực 15

3.3.2 Kiểm tra và tạo chữ ký điện tử như thế nào 15

3.4 Vấn đề về mã hóa 16

3.4.1 Giới thiệu hàm băm 16

3.4.2 Một số loại hàm băm 16

3.4.3 Khái niệm về mã hóa 16

3.4.5 Hệ mã hoá khóa công khai 16

3.5 Cài đặt thử nghiệm 16

3.5.1 Cài đặt thử nghiệm 16

3.5.2 Demo chương trình 16

3.6 Kết luận chương 19

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 21

MỞ ĐẦU

1.1 Lý do chọn đề tài

Internet đang trở thành phương tiện truyền thông của tương lai Không lâu nữa sự liên lạc giữa người - người, người - máy, máy - máy sẽ được thực hiện thông qua các gói IP Các dịch vụ như mạng riêng ảo cho xí nghiệp, thương mại điện tử, thoại qua IP, đều dựa trên nền

IP này Tuy hiện nay việc truy nhập Internet chủ yếu ở dạng có dây, nhưng chắc chắn trong một tương lai gần Internet sẽ được truy nhập phổ biến ở dạng không dây Nói cách khác, không chỉ riêng điện thoại di động mà mọi hình thức truyền thông đều sẽ có chung một giao thức IP

và một giao tiếp mạng không dây

Mạng thông tin di động thế hệ sau với công nghệ IP là bước phát triển đột phá từ mạng

di động thế hệ 2G và 3G Điều này đặt ra cho các nhà nghiên cứu cần tìm ra và hoàn thiện hạ tầng IP trong môi trường truyền dẫn không dây, để tích hợp cung cấp tất cả các loại hình dịch

vụ băng hẹp và băng rộng, nhu cầu di chuyển kết nối liên tục tới người dùng

Việc hỗ trợ khả năng di động cho các thiết bị Internet trở nên rất quan trọng, do điện toán động (mobile computing) ngày càng phát triển rộng rãi Số lượng máy tính dự kiến sẽ tăng lên nhanh chóng Hơn thế nữa, đã có những sản phẩm về điện thoại Cellular hỗ trợ các dịch vụ

IP dựa trên WAP hay GPRS, và số lượng của chúng ngày càng tăng trong thời gian tới Các thết bị Cellular của thế hệ 3G sẽ là các thiết bị chuyển mạch gói , thay vì chuyển mạch kênh như trước đây Do đó các dịch vụ IP sẽ trở thành một bộ phận tích hợp trên các thiết bị Cellular 3G

Năm 1996, IETF đưa ra phiên bản RFC 2002 tên là Mobile IP Giao thức Mobile IP hay IPv4 lúc đầu (IP version4) nay là IPv6, được phát triển dựa trên giao thức IP quen thuộc định nghĩa tại RFC 791

Xuất phát từ các yêu cầu thực tiễn nêu trên, việc tìm hiểu về Mobile IP và ứng dụng bảo mật trong ngành cơ yếu công an tỉnh Quảng Ninh là thật sự cần thiết, đặc biệt khi xu hướng công nghệ đang tiến đến All-IP

1.2 Mục đích nghiên cứu

Nghiên cứu tổng quan các khái niệm về Mobile IP

Ứng dụng của Mobile IP trong ngày cơ yếu công an tỉnh Quảng Ninh

1.3 Đối tượng và phạm vi nghiên cứu

- Về lý thuyết:

Tìm hiểu lý thuyết về định tuyến, quản lý tính di động trong Mobile IP

Các giải pháp bảo mật trong Mobile IP

- Về thực nghiệm:

Ứng dụng bảo mật, sử dụng chữ ký điện tử trong nghiệp vụ cơ yếu Công An Quảng Ninh

1.4 Phương pháp nghiên cứu

- Thu thập, tìm hiểu các tài liệu liên quan tới:

Các khái niệm về Mobile IP

Định tuyến các gói tin và quản lý tính đi động trong Mobile IP 4G

Bảo mật trong Mobile IP

Ứng dụng bảo mật, sử dụng chữ ký điện tử trong nghiệp vụ cơ yếu Công An Quảng Ninh

- Tiến hành cài đặt và thử nghiệm

CHƯƠNG 1 - TỔNG QUAN MOBILE IP

1.1 Giới thiệu chung mobile ip

1.1.1 Giới thiệu

Mạng thông tin di động thế hệ sau với công nghệ IP là bước phát triển đột phá từ mạng

di động thế hệ 2G và 3G Điều này đặt ra cho các nhà nghiên cứu cần tìm ra và hoàn thiện hạ tầng IP trong môi trường truyền dẫn không dây, để tích hợp cung cấp tất cả các loại hình dịch

vụ băng hẹp và băng rộng, nhu cầu di chuyển kết nối liên tục tới người dùng

Năm 1996, IETF đưa ra phiên bản RFC 2002 tên là Mobile IP Giao thức Mobile IP hay IPv4 lúc đầu (IP version 4) nay là IPv6, được phát triển dựa trên giao thức IP quen thuộc định nghĩa trong RFC 791, để giải quyết vấn đề quản lý di động thuê bao Internet

Mobile IP hỗ trợ khả năng di động cho các đầu cuối trong khi vẫn sử dụng các dịch vụ như ở mạng IP cố định Một tiêu chuẩn mới không thể yêu cầu thay đổi ứng dụng hoặc giao thức mạng đang sử dụng Vì thế Mobile IP cần phải được tích hợp vào trong hạ tầng mạng hiện

có hoặc chí ít cũng phải hoạt động được cùng với chúng Hơn nữa nó phải đảm bảo tính tương thích với tất cả các lớp dưới không sử dụng giao thức Mobile IP, có nghĩa nó không thể yêu cầu phương tiện đặc biệt hoặc các giao thức MAC/LLC Vì thế Mobile IP phải sử dụng cùng giao tiếp và cơ chế truy nhập với các lớp dưới như IP thực hiện Cuối cùng, các hệ thống được nâng cấp với Mobile IP vẫn phải đảm bảo có thể kết nối tới các hệ thống cố định không dùng Mobile

IP, người dùng vẫn có thể truy cập tới mọi hệ thống trên Internet theo cách họ thường dùng ở mạng cố định

Chức năng di động của Mobile IP phải đảm bảo che giấu cho các ứng dụng và giao thức lớp trên Bên cạnh việc có thể thông báo sự gián đoạn về dịch vụ, thì các lớp cao hơn cần tiếp tục hoạt động kể cả khi đầu cuối di động thay đổi vùng truy nhập mạng Khi nâng cấp tính di động cho IP (khi đó sẽ có thêm nhiều bản tin trao đổi trên mạng) phải đảm bảo không ảnh hưởng tới hiệu suất mạng Phải phòng ngừa khả năng nghẽn mạch cục bộ khi có quá nhiều đầu cuối di động hoạt động tại một vùng

1.1.2 Cơ chế hoạt động cơ bản của Mobile IP

Một số định nghĩa trong Mobile IP:

 Nút di động (Mobile Node - MN): Là đầu cuối di động IP, có thể thay đổi vị trí truy nhập mạng, nó duy trì liên tục địa chỉ IP và kết nối trên Internet

 Nút tương ứng (Correspondant Node - CN): Có thể là đầu cuối di động hoặc cố định sẽ kết nối với MN

 Mạng nhà hay mạng gốc (Home network - HN): Là mạng quản lý trực tiếp địa chỉ IP của MN, tính di động của MN không có ý nghĩa trong mạng này

 Mạng ngoài (Foreign Network - FN): Là mạng MN di chuyển tới và không quản lý trực tiếp MN

 Địa chỉ quản lý (Care-Of-Address - COA): Là một địa chỉ IP của FA, nó định nghĩa vị trí hiện tại của MN Các gói IP không được chuyển trực tiếp tới địa chỉ IP của MN mà phải chuyển tiếp qua FA

 Trạm ngoài (Foreign Agent - FA): Thuộc mạng FN, cung cấp các dịch vụ cho MN khi

nó chuyển vùng tới FA có thể là bộ định tuyến cho MN và có COA nên nó hoạt động như là điểm cuối và chuyển tiếp các gói số liệu tới MN FA lưu một danh sách các MN khách bao gồm các thông tin MN

Bảng 1.1: Foreign Agent - Trạm ngoài

Home Address Home Agent Address Media Address Lifetime

(in sec) 10.206.18.10 10.206.18.1 00 – 60 – 08 – 95 – 66 – E1 150

10.206.16.25 10.206.16.25 00 – 60 – 48 – 25 – 61 – 31 150

10.206.18.33 10.206.18.3 00 – 60 – 48 – 35 – 61 – 51 150

Trạm nhà hay trạm gốc (Home Agent - HA): là hệ thống để MN đăng ký sử dụng dịch

vụ, nó thuộc mạng HN và có thể là Router được chỉ định trong mạng lưu trữ liên kết di động trong một bảng liên kết di động và mỗi đầu vào gồm ba thành phần là : Home Address, COA, Life time như bảng Tất cả các gói số liệu truyền tới MN đều xuất phát từ đây HA sẽ biết vị trí hiện tại của MN thông qua COA, nó duy trì số liệu đăng ký chuyển vùng cho các MN:

Hình 1.1: Kiến trúc mạng Mobile đơn giản

MN đang ở mạng FN và trao đổi số liệu IP với Node CN Do yêu cầu che dấu tính di động của đầu cuối ở Mobile IP, nên CN không cần biết vị trí hiện tại của MN mà chỉ việc gửi

số liệu tới địa chỉ IP của nó

1.1.3 Hoạt động thông báo và tìm kiếm mạng điều khiển

1.1.4 Hoạt động đăng ký

1.1.5 Hoạt động truyền số liệu và mã hoá

1.1.6 Một số vấn đề của Mobile Ipv4

1.1.7 Một số giải pháp cho Mobile Ipv4

1.1.8 Mobile IPv6

1.2 Định tuyến gói tin Mobile IP

1.2.1 Định tuyến các gói tin unicast

Internet

Mobile Node Foreign Agent

1.2.2 Định tuyến các gói tin broadcast

1.2.3 Định tuyến gói tin đơn phương

1.2.4 Định tuyến tối ưu

1.3 Kết luận chương

Mobile IP ra đời đã góp phần giải quyết vấn đề quản lý di động của các thiết bị di động

Cơ chế của Mobile IP sử dụng các địa chỉ tạm thời để hỗ trợ việc quản lý Ban đầu, với giao thức Mobile Ipv4 đã giải quyết được vấn đề này xong nó còn tồn tại một số vấn đề khác như chuyển giao, bảo mật,…Các vấn đề này cũng đã dần được giải quyết bởi giao thức Mobile Ipv6

và một số phương pháp cải tiến khác Mobile IP đã được ứng dụng tốt trong mạng 3G và hiện nay, công nghệ mạng đã phát triển lên 4G

Trong tương lai dựa trên hướng phát triển trên giao thức Mobile IP chúng ta hy vọng rằng công nghệ IP di động sẽ sớm ứng dụng trong mạng di động 4G, mạng sẽ có nhiều tiện lợi, tương thích tốt với các mạng hiện có, đảm bảo chất lượng dịch vụ, tính xác thực và bảo mật cao trong việc trao đổi thông tin

CHƯƠNG 2 - BẢO MẬT VỚI MOBILE IP

2.1 Giới thiệu

2.2 Bảo mật với mobile ip

Trong bất kỳ biện pháp phòng ngừa môi trường mạng nên được thực hiện để ngăn chặn những cái được gọi là ‘ tấn công nội bộ ‘ Đây là cuộc tấn công được cho là từ các nhân viên công ty đáng tin cậy và liên quan tới việc truy cập trái phép vào các thông tin nhạy cảm cho các mục đích xấu

Hình 2.8: Mô hình mạng dành cho Mobile IP trong mạng nội bộ Mỹ

2.2.1 Từ chối dịch vụ DoS

Một cụm định nghĩa phổ biến dành cho tấn công từ chối dịch vụ “ một kẻ xấu ngăn chặn một chàng trai tốt từ công việc thường xuyên được thực hiện” Đối với các mạng máy tính nói chung, một cuộc tấn công từ chối dịch vụ có thể có hai dạng: một lũ người xấu một hots với một gói tin( theo cách đó ngăn ngừa host từ việc xử lý các gói tin là hữu ích) hoặc bằng cách nào đó những lũ xấu đó ngăn chặn dòng dòng gói tin hữu ích tới một nút nào đó Trong trường hợp một mạng Mobile IP bị một cuộc tấn công từ chối dịch vụ xảy ra khi một kẻ xấu đăng ký một địa chỉ ( Care 0f Address) mới không có thật dành cho một nút mobile riêng biệt Một hình thức đăng ký không có thật như vậy đưa đến hai vấn đề:

Nút mobile của người sử dụng tốt không còn được kết nối

Kẻ xấu nhìn thất tất cả lưu lượng truy cập node di động ban đầu

Tấn công từ chối dịch vụ bằng cách đăng ký không có thật được minh họa trong hình dưới:

Hình 2.9: Tấn công từ chối dịch vụ tới mạng Mobile IP

2.2.2 Bị nghe lén

Nghe lén là một hình thức ăn cắp thông tin, một cuộc tấn công nghe lén xảy ra khi một

kẻ xấu quản lý lưu lượng nghe gọi trao đổi giữa một nút di động và tại nhà Điều này xảy ra một kẻ tấn công cần truy cập lưu lượng, điều này xảy ra trong những cách sau đây

2.2.3 Tấn công phản hồi

Sử dụng xác thực, một thiết bị di động có thể ngăn chặn các cuộc tấn công từ chối dịch

vụ như đã đề cập trong phần trước Tuy nhiên nó không thể bảo vệ các thiết bị di động từ cuộc tấn công ngược, bởi vì những kẻ tấn công có thể có một bản sao các thông điệp yêu cầu đăng

ký có giá trị, lưu trên bộ nhớ đệm Và sau đó trả lời lại bằng cách đăng ký một địa chỉ care - of – address dành cho thiết bị di động

Để ngăn chặn cuộc tấn công này, các thiết bị di động chung tạo ra một giá trị duy nhất

để xác thực các trường với mỗi một đăng ký thành công Như vậy, thông điệp yêu cầu đăng ký được lưu trữ bởi kẻ tấn công sẽ được định nghĩa hết hạn từ tác nhân tương tự

2.2.4 Ăn cắp đoạn

Ăn cắp đoạn là một là một hình thức hoạt động của hành vi ăn cắp thông tin, nó liên quan đến một kể xấu thực hiện theo các bước sau đây:

Kẻ xấu chờ đợi một nút di động để đăng ký với tác nhân tại nhà

Kẻ xấu nghe lén để xem khi nào đến thông tin thú vị

Sau đó, kẻ xấu núp dưới nút điện thoại không có thật, các gói tin và do đó đặt nó bên ngoài hành động

và các đại lý Hơn nữa điện thoại đi động IP sử dụng trường nhận dạng và dấu thời gian để bảo

vệ đăng ký từ bất cuộc tấn công

2.2.6 Tấn công từ chối dịch vụ phân tán DDoS

Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS

2.3 Mô hình bảo mật

2.3.1 Tiếp cận bảo mật yếu

2.3.2 Tiếp cận bảo mật mạnh

2.4 Môi trường bảo mật của Mobile IP

2.4.1 Sử dụng đường hầm đảm bảo cho định tuyến

Mục đích chính của việc sử dụng kỹ thuật đường hầm thay vì định tuyến nguồn là vì đường hầm liên quan đến ít các mối đe dạo, bảo mật cao hơn Kẻ tấn công có thể sử dụng một địa chỉ care – of – address thao tác như là đích trong một tuyến nguồn không chặt chẽ Điều này làm cho các nút tương ứng đảo ngược đường và gửi thông điệp thao tác tới địa chỉ care – of – address

2.4.2 Bỏ tối ưu hóa đường đi

Khi một thiết bị di động kết nối với nút từ mạng ngoài, tất cả các gói dữ liệu phải được chuyển tiếp thông qua đại lý Điều này được gọi là định tuyến tam giác mà kết quả có thể làm giảm đáng kể kết quả về hiệu xuất