Mục tiêu của Mobile IP là hỗ trợ khả năng kết nối IP khi các thiết bị di chuyển trong liên mạng với kết nối không dây nên vấn đề bảo mật dữ liệu là rất quan trọng.. Luận văn sẽ đi vào ng
Trang 1ĐƯỜNG TẤT TOÀN
NGHIÊN CỨU GIAO THỨC MOBILE IP
VÀ GIẢI PHÁP BẢO MẬT
LUẬN VĂN THẠC SĨ
Trang 2ĐƯỜNG TẤT TOÀN
NGHIÊN CỨU GIAO THỨC MOBILE IP
VÀ GIẢI PHÁP BẢO MẬT
LUẬN VĂN THẠC SĨ
Ngành: Công nghệ thông tin
Mã số: 1.01.10
NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS TS NGUYỄN VĂN TAM
Trang 3MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT 4
DANH MỤC CÁC HÌNH VẼ 5
MỞ ĐẦU 7
Chương 1 TỔNG QUAN 9
1.1 Tình hình phát triển của truyền thông không dây 9
1.1.1 Sự phát triển của mạng thông tin di động 9
1.1.2 Mạng LAN không dây 11
1.1.3 Mạng riêng không dây và mạng Ad hoc 12
1.1.4 Nhận xét 12
1.2 Phân loại đặc tính di động của nút 13
1.3 Các vấn đề trong kết nối khi di động 13
1.3.1 Gián đoạn kết nối 14
1.3.2 Băng thông thấp 14
1.3.3 Sự biến đổi băng thông 14
1.3.4 Các mạng không thuần nhất 15
1.3.5 Các nguy cơ an ninh 15
1.4 Hạn chế của mạng IP truyền thống 16
1.4.1 Giao thức TCP/IP 16
1.4.2 Giao thức IPv4 19
1.4.3 Giao thức IPv6 23
1.4.4 Nhận xét 26
1.5 Giao thức hỗ trợ di động macro Mobile IP 27
1.6 Các giao thức hỗ trợ di động micro 28
1.6.1 Hierachical Mobile IP 29
1.6.2 Fast Handoff 30
1.6.3 Proactive Handoff 30
1.6.4 TeleMIP 31
1.6.5 Cellular IP 31
1.6.6 HAWAII 31
1.6.7 EMA 32
1.7 Kết luận chương 32
Trang 4Chương 2 GIAO THỨC MOBILE IP 33
2.1 Tổng quan về Mobile IP 33
2.1.1 Giới thiệu 33
2.1.2 Các thành phần cơ bản của một mạng mobile IP 34
2.1.3 Phương thức hoạt động của Mobile IP 36
2.2 Quá trình phát hiện trạm 40
2.2.1 Quảng bá của trạm 40
2.2.2 Yêu cầu quảng bá 44
2.2.3 Cơ chế phát hiên sự di chuyển 44
2.3 Quá trình đăng ký địa chỉ 45
2.3.1 Bản tin yêu cầu đăng ký 45
2.3.2 Cấu trúc bản tin trả lời đăng ký 48
2.4 Quá trình trao đổi thông tin 49
2.5 Quá trình huỷ bỏ đăng ký địa chỉ 51
2.6 Tối ưu hoá định tuyến 51
2.6.1 Bảng địa chỉ trong bộ nhớ đệm của nút chuyển tiếp 52
2.6.2 Cơ chế tạo Binding Cache 52
2.6.3 Điều khiển chuyển giao mềm giữa các Foreign Agent 54
2.7 Một số lưu ý trong Mobile IP 60
2.7.1 Một số vấn đề cần lưu ý với Mobile Node 60
2.7.2 Những điểm cần lưu ý với Foreign Agent 61
2.7.3 Những điều cần lưu ý với Home Agent 63
2.7.4 Một số vấn đề định tuyến trong Mobile IP 65
2.7.5 Một số phương pháp đóng gói trong Mobile IP 66
2.8 Kết luận chương 72
Chương 3 GIẢI PHÁP BẢO MẬT CHO MOBILE IP 73
3.1 Nguy cơ an ninh và bảo mật trong Mobile IP 73
3.1.1 Các yêu cầu bảo mật thông tin trên mạng 73
3.1.2 Các nguy cơ với bảo mật của Mobile IP 73
3.1.3 Các giải pháp bảo mật cho Mobile IP 75
3.2 Chống tấn công replay trong Mobile IP 76
3.2.1 Chống tấn công replay bằng nhãn thời gian 77
3.2.2 Chống tấn công bằng Nonces 78
3.3 Giải pháp xác thực cho Mobile IP 79
Trang 53.3.1 Chuẩn xác thực thông điệp trong Mobile IP 79
3.3.2 Xác thực theo cơ chế yêu cầu/đáp ứng 82
3.3.3 Xác thực theo cơ chế khóa công khai PKA 85
3.3.4 Xác thực với khóa công khai tối thiểu 88
3.4 Giải pháp với kiến trúc AAA 89
3.4.1 Xác thực, kiểm soát và tính phí với AAA 89
3.4.2 Phân phối khóa với hạ tầng AAA 91
3.5 Giải pháp với Hệ thống tường lửa 92
3.5.1 Tránh xung đột với lọc đầu vào bằng đường hầm nghịch 92
3.5.2 Bổ sung tính năng cho firewall 94
3.6 Giải pháp mã hóa dữ liệu với IPSec 95
3.6.1 IPSec 95
3.6.2 Giải pháp IPSec trong Mobile IP 97
3.6.3 Cải tiến trao đổi khóa cho IPSec trong Mobile IP 100
3.7 Kết luận chương 103
Chương 4 ỨNG DỤNG MOBILE IP TRONG MẠNG CCFSCnet 104
4.1 Giới thiệu mạng thông tin quản lý thiên tai CCFSCnet 104
4.1.1 Sự ra đời của hệ thống thư điện tử WAFFLE (1994) 104
4.1.2 Sự ra đời của mạng DMUnet (1998) 104
4.1.3 Mạng CCFSCnet hiện tại 105
4.2 Khả năng ứng dụng Mobile IP 108
4.3 Giải pháp Cisco Mobile VPN 109
4.3.1 Giới thiệu 109
4.3.2 Kiến trúc Cisco Mobile VPN 110
4.3.3 Cơ chế tương hỗ giữa IPsec và Mobile IP 112
4.3.4 Một số lưu ý khi triển khai Cisco Mobile VPN 113
4.4 Triển khai tại mạng CCFSCnet 114
4.5 Kết luận chương 115
KẾT LUẬN 116
TÀI LIỆU THAM KHẢO 118
Trang 6DANH MỤC CÁC TỪ VIẾT TẮT
Trang 7DANH MỤC CÁC HÌNH VẼ
Hình 1: Sự phát triển của mạng di động từ 2G lên 3G 9
Hình 2: Giao thức TCP/IP và mô hình OSI 16
Hình 3: Các trường trong IP Header 19
Hình 4: Lưu đồ quá trình định tuyến 23
Hình 5: Các trường trong Header IPv6 24
Hình 6: Cơ chế hoạt động cơ bản của Mobile IP 27
Hình 7: Bảng quản lý địa chỉ tại Home Agent 37
Hình 8: Bảng quản lý địa chỉ tại Foreign Agent 38
Hình 9: Quá trình định tuyến trong Mobile IP 39
Hình 10: Cấu trúc bản tin ICMP 41
Hình 11: Phần mở rộng của bản tin ICMP 42
Hình 12: Phần mở rộng của Prefix-Length 43
Hình 13: Cấu trúc của bản tin yêu cầu đăng ký 46
Hình 14: Cấu trúc của phần mở rộng bản tin yêu cầu đăng ký 47
Hình 15: Cấu trúc của bản tin trả lời đăng ký 48
Hình 16: Quá trình chuyển gói tin tới MN 50
Hình 17: Quá trình định tuyến gói tin trong mạng 51
Hình 18: Quá trình tạo các Binding Cache 53
Hình 19 Quá trình cập nhật địa chỉ 54
Hình 20: Quá trình chuyển giao mềm 55
Hình 21: Cấu trúc bản tin cảnh báo địa chỉ 56
Hình 22: Cấu trúc bản tin yêu cầu địa chỉ 57
Hình 23: Cấu trúc bản tin cập nhật địa chỉ 58
Hình 24: Cấu trúc bản tin trả lời cập nhật địa chỉ 59
Hình 25: Quá trình trao đổi các bản tin để phát hiện và cập nhật địa chỉ mới 60
Hình 26: Đóng gói IP trong IP 67
Hình 27: Đóng gói Minimal Encapsulation for IP 68
Hình 28: Minimal Encapsulation Header 69
Hình 29: Khuôn dạng thông điệp mở rộng xác thực MN và HA 81
Trang 8Hình 30: Khuôn dạng thông điệp mở rộng xác thực MN và FA 82
Hình 31: Khuôn dạng thông điệp mở rộng xác thực MA và FA 82
Hình 32 Hạ tầng kiểm tra 83
Hình 33 Mở rộng challenge 83
Hình 34 Mở rộng Challenge MN-FA 85
Hình 35 Mở rộng quảng bá Agent 86
Hình 36 Thông điệp yêu cầu đăng ký nhận bởi FA 86
Hình 37 Thông điệp yêu cầu đăng ký gửi tới HA 87
Hình 38 Thông điệp trả lời đăng ký từ FA 87
Hình 39 Thông điệp trả lời đăng ký MN nhận được 88
Hình 40: Mô hình Mobile IP/AAA cơ bản 90
Hình 41: Các thiết lập bảo mật trong mô hình Mobile IP/AAA 90
Hình 42: Gói tin quảng bá của Agent 93
Hình 43: Gói tin IP được bảo vệ bởi IPSec trong chế độ giao vận và chế độ đường hầm 96
Hình 44: Mở rộng quảng bá IPSec tại FA 99
Hình 45: Mở rộng yêu cầu IPSec tại MN 99
Hình 46: Tiêu đề thông điệp ISAKMP 101
Hình 47: Tải dữ liệu “Cập nhật địa chỉ IP” (IP Address Update) 102
Hình 48: Hệ thống mạng CCFSCnet 106
Hình 49: Kiến trúc mạng riêng ảo (Cisco VPN) 110
Hình 50: Một topo ví dụ cho kiến trúc Mobile VPN 111
Hình 51: Tương hỗ giữa Mobile IP Tunnel và IPsec Tunnel 113
Hình 52: Mạng CCFSCnet được bổ sung thêm 115
Trang 9MỞ ĐẦU
Internet và truyền thông di động và không dây đang phát triển một cách nhanh chóng Trong đó, các thông tin và dịch vụ được triển khai thông qua giao thức IP chiếm ưu thế Nhu cầu duy trì liên tục các kết nối IP của các thiết bị di động trở nên hết sức cần thiết Giao thức Mobile IP đã ra đời và được đưa vào ứng dụng
để đáp ứng nhu cầu này
Mục tiêu của Mobile IP là hỗ trợ khả năng kết nối IP khi các thiết bị di chuyển trong liên mạng với kết nối không dây nên vấn đề bảo mật dữ liệu là rất quan trọng
Luận văn sẽ đi vào nghiên cứu Mobile IP như là sự hỗ trợ cho kết nối IP của các thiết bị không cố định và vấn đề bảo mật dữ liệu gắn liền với giao thức này
Luận văn được chia thành bốn chương chính:
Chương 1 – Tổng quan Giới thiệu một cách tổng quan về tình hình phát
triển, thách thức và xu hướng của truyền thông không dây Qua đó, thấy rằng nhu cầu tính toán, kết nối và chạy các ứng dụng mạng của người dùng trong khi không ở tại văn phòng là tất yếu Chương 1 cũng nêu ra các vấn đề mà người dùng sẽ gặp phải trong quá trình kết nối khi di động Từ những vấn đề nảy sinh trong qúa trình
di động, chương 1 cũng sẽ đưa ra các hạn chế của họ giao thức TCP/IP Từ đó, thấy được sự cần thiết của việc bổ sung thêm các tính năng cho phép người dùng có thể thiết lập, duy trì kết nối, duy trì các ứng dụng trong khi di chuyển
Chương 2 – Giao thức Mobile IP Chương này sẽ đi sâu phân tích các đặc
tính kỹ thuật của Mobile IP: các thành phần cơ bản của Mobile IP, phương thức hoạt động của Mobile IP cũng như các vấn đề cần lưu ý trong Mobile IP
Chương 3 – Giải pháp bảo mật cho Mobile IP Trong chương này, các
vấn đề về nguy cơ an ninh đặc thù của Mobile IP được phân tích Do đặc điểm của người dùng khi di động là sử dụng các kết nối không dây, do đó các nguy cơ về an
Trang 10ninh sẽ liên quan tới đặc tính là dữ liệu được truyền qua sóng vô tuyến Mặt khác,
do đặc tính của quá trình thiết lập kết nối trong Mobile IP, nguy cơ bị tấn công an ninh cũng cần được phân tích Qua các phân tích về nguy cơ bản mật, chương này trình bày một số giải pháp về an ninh và bảo mật cho Mobile IP
Chương 4 – Ứng dụng Mobile IP trong mạng CCFSCnet Chương này
sẽ trình bày hiện trạng mạng thông tin quản lý thiên tai của Văn phòng Ban chỉ đạo Phòng chống Lụt bão Trung Ương Bên cạnh, giải pháp kết hợp Mobile IP với khả năng bảo mật Cisco Mobile VPN được phân tích Qua đó, một đề xuất ứng dụng giải pháp Cisco Mobile VPN cho mạng CCFSCnet được đưa ra
Phần Kết luận trình bày các đánh giá rút ra qua quá trình thực hiện luận
văn, khả năng ứng dụng và phương hướng nghiên cứu tiếp theo về các nội dung của luận văn
Tuy học viên đã cố gắng thu thập và nghiên cứu tài liệu nhưng chưa có điều kiện để có thể thực hiện các thử nghiệm thực tế Do đó luận văn sẽ không tránh khỏi
có những thiếu sót Rất mong được sự đóng góp ý kiến, nhận xét để học viên có thể
hoàn thiện được kết quả làm việc của mình
Trang 11TÀI LIỆU THAM KHẢO
Tiếng Việt
[1] Nguyễn Tiến Lân (2003), Mobile IP trong thông tin di động, Luận văn
thạc sỹ, Khoa Điện tử - Viễn thông, Đại học Bách khoa Hà Nội
Tiếng Anh
[2] C Kaufman, Ed (2005), RFC4306: Internet Key Exchange (IKEv2) Protocol, Internet Engeering Task Force (IETF)
[3] Charles E Perkins (2002), RFC3344: IP Mobility Support for IPv4 ,
IETF
[4] Charles E Perkins (2004), “Mobile IP at IETF”, Mobile Computing and Communication Review, Volume 7, Number 4
[5] Charles E Perkins, P Calhoun (2000), RFC3012: Mobile IPv4
Challenge/Response Extensions, IETF
[6] Charles E Perkins, “Mobile IP Joins Forces with AAA,” IEEE
Personal Communications,Aug 2000
[7] Charles E Perkins, P Calhoun (2005), RFC3957: Authentication, Authorization, and Accounting (AAA) for Mobile IPv4 , IETF
[8] Cisco (2005), Cisco Mobile VPN – Enabling Cisco End-Device Based
IP Mobility, Cisco White Paper
[9] D Maughan, M Schertler, M Schneider, J Turner (1998),
RFC2408: Internet Security Association and Key Management Protocol (ISAKMP), IETF
[10] Fabio Moioli (2000), Security in Public Access Wireless LAN
Network, M.Sc Thesis, Department of Teleinformatics, Royal
Institute of Technology, Stockholm
[11] G Montenegro (2001), RFC3024: Reverse Tunneling for Mobile IP,
IETF
[12] G Montenegro, V Gupta (1998), RFC2356: Sun’s SKIP Firewall Traversal for Mobile IP, IETF
Trang 12[13] George H Forman, John Zahorjan (1994), “The challenge of Mobile Computing”, Computer Science and Engineering, University of Warshington
[14] Jacobs (2000), “Mobile IP Public Key Based Authentication”, Internet Draft <draft-jacobs-mobileip-pki-auth-00.txt>, IETF
[15] Kent, S., R Atkinson (Nov 1998), RFC 2402: IP Authentication Header
[16] Matthew G Naugle (1999), Illustrated TCP/IP: A Graphic Guide to the Protocol Suite , Wiley Computer Publishing, John Wiley & Sons
Inc
[17] Naganand Doraswamy, Dan Harkins (2003), IPSec: The New Security Standard for the Internet, Intranets, and Virtual Private Networks, Second Edition, Prentice Hall PTR, ISBN:0-13-046189-X
[18] Pierre Reinbold, Oliver Bonaventure (2003), “IP micro-mobility protocols”, University of Namur
[19] Ramjee Prasad, Marina Ruggieri ( 2003), Technology Trends in Wireless Communications, Artech House
[20] S Glass, T Hiller, C Perkins (2000), RFC2977: Mobile IP
Authentication, Authorization, and Accounting Requirements, IETF
[21] Salem Itani (2001), “Use of IPsec in Mobile IP”, Department of Electrical and Computer Engineering, Faculty of Engineering and Architecture, The American University of Beirut
[22] Sufatrio, K Y L., “Mobile IP Registration Protocol: A Security Attack and New Secure Minimal Public-Key Based Authentication”,
International Symposium on Parallel Architectures, Algorithms and Networks (ISPAN '99), June 1999, pp 364–369
[23] Thayer, R., N Doraswamy, và R Glenn (Nov 1988), RFC 2411: IP Security Document Roadmap
[24] William Stallings (2001) ,”Mobile IP”, The Internet Protocol Journal,
Volume 4, Number 2, June 2001