Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)

Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)Nghiên cứu công nghệ đường hầm IPV6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự (Luận văn thạc sĩ)

NGHIÊN CỨU CÔNG NGHỆ ĐƯỜNG HẦM IPV6

VÀ ỨNG DỤNG CHO BẢO MẬT TRONG TRUYỀN HÌNH

-

ĐẶNG TIẾN SỸ

NGHIÊN CỨU CÔNG NGHỆ ĐƯỜNG HẦM IPV6

VÀ ỨNG DỤNG CHO BẢO MẬT TRONG TRUYỀN HÌNH

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi Nội dung của luận văn có tham khảo và sử dụng các tài liệu, thông tin được đăng tải trên những tạp chí

và các trang web theo danh mục tài liệu tham khảo Tất cả các tài liệu tham khảo đều

LỜI CẢM ƠN

Luận văn Thạc sĩ kỹ thuật này được thực hiện tại Học viện Công nghệ Bưu chính Viễn thông Trước hết, tôi xin bày tỏ lòng biết ơn chân thành đến thầy giáo hướng dẫn TS Ngô Đức Thiện, đã định hướng và tạo điều kiện trong suốt quá trình nghiên cứu

Tôi cũng xin cảm ơn Ban lãnh đạo Học viện Công nghệ Bưu chính Viễn thông, Khoa Quốc tế và Đào tạo sau đại học, cũng như các đồng nghiệp đã tạo điều kiện và giúp đỡ tôi hoàn thành được đề tài nghiên cứu của mình

Cuối cùng là sự biết ơn tới gia đình, bạn bè đã thông cảm, động viên giúp đỡ cho tôi trong suốt quá trình học tập và thực hiện luận văn

Hà Nội, tháng 11 năm 2017

ĐẶNG TIẾN SỸ

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN ii

MỤC LỤC iii

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v

DANH SÁCH BẢNG x

DANH SÁCH HÌNH VẼ xi

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ TRUYỀN HÌNH HỘI NGHỊ VÀ CÁC VẤN ĐỀ VỀ BẢO MẬT TRUYỀN HÌNH HỘI NGHỊ 2

1.1 Truyền hình hội nghị 2

1.1.1 Lịch sử phát triển 2

1.1.2 Công nghệ 2

1.1.3 Lợi ích mang lại 6

1.2 Hệ thống truyền hình hội nghị trong quân sự 6

1.2.1 Cấu trúc và các thành phần của hệ thống H.323 6

1.2.2 Bộ giao thức H.323 10

1.2.3 Mô hình hệ thống truyền hình hội nghị quân sự 12

1.3 Các phương pháp bảo mật truyền hình hội nghị 13

1.3.1 Yếu tố bảo mật, an toàn thông tin và phân loại lỗ hổng bảo mật 13

1.3.2 Giao thức bảo mật trong truyền hình hội nghị chuẩn H.323 14

1.3.3 Các giải pháp bảo mật truyền hình hội nghị hiện nay 16

1.4 Kết luận chương 17

CHƯƠNG 2 CÔNG NGHỆ ĐƯỜNG HẦM IPV6 – GIẢI PHÁP BẢO MẬT ĐƯỜNG TRUYỀN 18

2.1 Đặt vấn đề 18

2.2 Công nghệ đường hầm 20

2.2.1 Khái niệm công nghệ đường hầm 20

2.2.2 Địa chỉ IPv6 22

2.2.3 Giao thức bảo mật IPSec 32

2.3 Kết luận chương 48

CHƯƠNG 3: MÔ PHỎNG THỬ NGHIỆM CÔNG NGHỆ ĐƯỜNG HẦM IPV6 ỨNG DỤNG CHO TRUYỀN HÌNH HỘI NGHỊ QUÂN SỰ 49

3.1 Phần mềm mô phỏng 49

3.1.1 Phần mềm GNS3 49

3.1.2 Phần mềm tạo máy ảo VMware 49

3.1.3 Phần mềm bắt gói tin Wireshark 50

3.1.4 Phần mềm Polycom PVX 51

3.2 Mô hình thử nghiệm 52

3.2.1 Xây dựng mô hình thử nghiệm trên GNS3 52

3.2.2 Cấu hình các thiết bị trong mô hình 53

3.2.3 Các bước thực hiện mô phỏng 58

3.3 Kết quả thử nghiệm 62

KẾT LUẬN VÀ KIẾN NGHỊ 69

DANH MỤC TÀI LIỆU THAM KHẢO 70

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến

AH Authentication Header Giao thức Xác thực tiêu đề

APNIC Asia-Pacific Network Information

AVC Advanced Video Coding Mã hóa video cao cấp

CA Certificate Authority Cơ quan chứng nhận

CIDR Classless Inter-Domain Routing Phương pháp phân bổ địa chỉ

IP và định tuyến

CIF Common Intermediate Format Một tiêu chuẩn cho kích

thước video và hình ảnh CSN Circuit Switching Network Mạng chuyển mạch kênh DES Data Encryption Standard Tiêu chuẩn mã hóa dữ liệu

Diffie-Hellman

DHCP Dynamic Host Configuration

Protocol

Giao thức cấu hình động máy chủ

ESP Encapsulating Security Payload Giao thức đóng gói tải tin an

Viết tắt Tiếng Anh Tiếng Việt

HMAC Hash-based Message

Authentication Code

Mã xác thực tin nhắn dựa trên hàm băm

HTTPS Hypertext Transfer Protocol

Secure

Giao thức kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS

IANA Internet Assigned Numbers

Authority

Tổ chức cấp phát số hiệu Internet

IBM International Business Machines tập đoàn công nghệ máy tính

đa quốc gia

ICMP Internet Control Message Protocol Một giao thức của gói

Internet Protocol phiên bản 4

ICMPv6 Internet Control Message Protocol

version 6

Một giao thức của gói Internet Protocol phiên bản 6 ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn

IKE Internet Exchange Key Trao đổi khóa mạng

IPSec IP Security Protocol Giao thức bảo mật IP

IPv4 Internet Protocol version 4 Giao thức Internet phiên bản 4 IPv6 Internet Protocol version 6 Giao thức Internet phiên bản 6

IPX Internetwork Packet exchange Giao thức trao đổi gói liên

mạng

ISAKMP Internet Security Association and

Key Management Protocol

Liên kết bảo mật mạng và giao thức quản lý khóa

Viết tắt Tiếng Anh Tiếng Việt

ISDN Integrated Services Digital

ISP Internet Service Provider Nhà cung cấp dịch vụ

Tiêu chuẩn viễn thông - thuộc Tổ chức Viễn thông quốc tế

LCN Logical Channel Number Số kênh logic

LD-CELP Low Delay - Code Excited Linear

Prediction

Trễ thấp - Dự đoán tuyến tính kích thích mã

MC Multipoint Controller Bộ điều khiển đa điểm MCU Mutipoint Control Unit Bộ điều khiển đa điểm MD5 Message Digest algorithm 5 Giải thuật tiêu hóa tin 5

MGC Media Gateway Controller Điều khiển cổng truyền

thông

MLD Multicast Listener Discovery Một thành phần của bộ giao

thức TCP/IP phiên bản IPv6

MP Multipoint Processor Bộ xử lý đa điểm

MPEG Moving Picture Experts Group Tiêu chuẩn truyền tải âm

thanh và hình ảnh NAT Network Address Translation Biên dịch địa chỉ mạng

NSAP National Social Assistance

Programme

Chương trình hỗ trợ xã hội quốc gia

Viết tắt Tiếng Anh Tiếng Việt

OSI Open Systems Interconnection

Reference Model

Mô hình tham chiếu kết nối các hệ thống mở

PCM Pulse Code Modulation Điều chế xung mã

PFS Perfect Forward Secrecy Toàn vẹn – Chuyển tiếp – Bí

RAS Registation/Admission/Status Đăng ký/Nhận/Trạng thái

RC2 Ron’s Code/Rivest Cipher Thuật toán mã hóa khối

được thiết kế bởi Ron Rivest

RFC Request for Comments Tài liệu đề nghị duyệt thảo

và bình luận

RIPE NCC RIPE Network Coordination

RTCP Real Time Control Protocol Giao thức điều khiển thời

gian thực

RTP Real Time Protocol Giao thức truyền dẫn thời

gian thực

SA Security Association Liên kết bảo mật

SCN Switch Circuit Network Mạng chuyển mạch

SDU Service Data Unit Đơn vị dịch vụ dữ liệu

SHA Secure Hash Algorithm Thuật toán giải băm an toàn SIP Session Initiation Protocol Giao thức khởi tạo phiên

Viết tắt Tiếng Anh Tiếng Việt

SPI Security Parameters Index Mục lục tham số bảo vệ

giao thức mạng dùng để thiết lập kết nối mạng một cách bảo mật

TCP Transmission Control Protocol Giao thức điều khiển truyền

TLA Top Level Aggregation Hệ thống các nhà cung cấp

dịch vụ

UDP User Datagram Protocol Giao thức gói dữ liệu người

dùng VCEG Video Coding Experts Group Tiêu chuẩn mã hóa hình ảnh

VoIP Voice over Internet Protocol Truyền giọng nói trên giao

thức IP VPN Virtual Private Network Mạng riêng ảo

DANH SÁCH BẢNG

Bảng 1.1 Các tiêu chuẩn khuyến nghị cho THHN 3

Bảng 2.1 Điểm khác biệt cơ bản giữa IPv4 và IPv6 19

Bảng 2.2 Phân bố các địa chỉ IPv6 25

Bảng 2.3 Global Routing Prefixes 28

Bảng 2.4 Các giá trị của trường Next Header 30

Bảng 2.5 So sánh giữa AH và ESP 43

Bảng 3.1 Cấu hình IPSec-Tunnel trên các router trong mô hình thử nghiệm IPv4 54

Bảng 3.2 Cấu hình đường hầm IPv6 qua mạng IPv4 trong mô hình thử nghiệm IPv6 56

DANH SÁCH HÌNH VẼ

Hình 1.1 Cấu trúc và các thành phần H.323 7

Hình 1.2 Các thành phần chức năng của một thiết bị đầu cuối H.323 Terminal 7

Hình 1.3 Cấu tạo của Multipoint Control Unit 10

Hình 1.4 Các lớp của bộ giao thức H.323 10

Hình 1.5 Quá trình thiết lập cuộc gọi H.323 11

Hình 1.6 Mô hình kết nối hệ thống truyền hình hội nghị 12

Hình 2.1 Mô tả công nghệ đường hầm 21

Hình 2.2 Địa chỉ IP phiên bản 6 24

Hình 2.3 Cấu trúc khung của IPv6 tại lớp 2 trong mạng LAN 25

Hình 2.4 Cấu trúc khung truyền dẫn IPv6 trong mạng Ethernet II 25

Hình 2.5 Cấu trúc địa chỉ IPv6 dạng Global Unicast 27

Hình 2.6 Cấu trúc gói tin IPv6 29

Hình 2.7 Định dạng gói tin IPv6 30

Hình 2.8 Mào đầu mở rộng của địa chỉ IPv6 31

Hình 2.9 Định dạng của Extension Header 32

Hình 2.10 IPSec trong mô hình OSI 33

Hình 2.11 IPSec ở chế độ Transport mode 36

Hình 2.12 IPSec ở chế độ Tunnel mode 36

Hình 2.13 IPSec trong chế độ Transport 37

Hình 2.14 IPSec trong chế độ Tunnel 37

Hình 2.15 Định dạng mào đầu IPSec AH 38

Hình 2.16 Hai chế độ xác thực của AH 39

Hình 2.17 Mào đầu được xác thực trong chế độ IPv6 AH Transport 39

Hình 2.18 Mào đầu được xác thực trong chế độ IPv6 AH Tunnel 40

Hình 2.19 Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu 40

Hình 2.20 Định dạng mào đầu IPSec ESP 41

Hình 2.21 Mào đầu được mã hóa trong chế độ IPv6 ESP Transport 42

Hình 2.22 Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel 42

Hình 2.23 Nguyên tắc hoạt động của ESP Header 43

Hình 2.24 Hai giai đoạn tạo phiên làm việc IKE 44

Hình 2.25 Chế độ chính Main-mode 46

Hình 2.26 Chế độ linh hoạt – Aggressive mode 47

Hình 2.27 Chế độ nhanh – Quick mode 47

Hình 2.28 Chế độ nhóm mới – New group mode 48

Hình 3.1 Giao diện của phần mềm GNS3 49

Hình 3.2 Giao diện của phần mềm VMware 50

Hình 3.3 Giao diện phần mềm Wireshark 50

Hình 3.4 Ví dụ về một quá trình bắt gói tin bằng Wireshark 51

Hình 3.5 Minh họa cuộc gọi thông qua phần mềm PVX 51

Hình 3.6 Sơ đồ kết nối thử nghiệm đường hầm IPv4 trên GNS3 52

Hình 3.7 Sơ đồ kết nối thử nghiệm đường hầm IPv6 qua mạng IPv4 trên GNS3 53

Hình 3.8 Cấu hình và cài đặt máy ảo 59

Hình 3.9 Kiểm tra kết nối từ máy thật đến máy ảo với mô hình IPv4 59

Hình 3.10 Kiểm tra kết nối từ máy thật đến máy ảo với mô hình IPv6 60

Hình 3.11 Thiết lập cuộc gọi từ máy tính thật đến máy ảo 60

Hình 3.12 Thông báo cuộc gọi đến 61

Hình 3.13 Cuộc gọi thành công 61

Hình 3.14 Kiểm tra cấu hình ISAKMP mô hình IPv4 62

Hình 3.15 Kiểm tra cấu hình Tunnel mô hình IPv4 63

Hình 3.16 Bắt gói tin cuộc gọi từ máy thật tới máy ảo IPv4 64

Hình 3.17 Đồ thị I/O của giao thức truyền gói tin UDP IPv4 64

Hình 3.18 Kiểm tra hoạt động của IPSec mô hình IPv4 65

Hình 3.19 Trao đổi gói tin khi thực hiện cuộc gọi với mô hình IPv4 66

Hình 3.20 Kiểm tra cấu hình Tunnel mô hình IPv6 66

Hình 3.21 Kiểm tra cấu hình ISAKMP mô hình IPv6 67

Hình 3.22 Bắt gói tin truyền từ máy thật tới máy ảo mô hình IPv6 67

Hình 3.23 Trao đổi gói tin từ máy thật đến máy ảo IPv6 68

Với mục đích nghiên cứu và ứng dụng phương pháp bảo mật thông tin vào công việc hiện tại đang công tác trong lĩnh vực công nghệ truyền hình hội nghị nói chung và cho hệ thống truyền hình hội nghị quân sự nói riêng, cùng với sự thúc đẩy triển khai sử dụng công nghệ IPv6 năm 2017 của Ban Công tác thúc đẩy phát triển IPv6 quốc gia

Đó cũng chính là lý do học viên chọn đề tài “Nghiên cứu công nghệ đường hầm IPv6 và ứng dụng cho bảo mật trong truyền hình hội nghị quân sự” làm đề tài Luận văn Thạc sĩ Luận văn bao gồm 3 chương:

Chương 1: Tổng quan về truyền hình hội nghị và các vấn đề về bảo mật truyền hình hội nghị

Chương 2: Công nghệ đường hầm IPv6 - giải pháp bảo mật đường truyền Chương 3: Mô phỏng thử nghiệm công nghệ đường hầm IPv6 ứng dụng cho truyền hình hội nghị quân sự

Xin chân thành cảm ơn các thầy giáo, cô giáo Học viện Công nghệ BCVT Đặc biệt cảm ơn Thầy giáo, TS Ngô Đức Thiện đã hướng dẫn, giúp đỡ em hoàn thành luận văn này./

CHƯƠNG 1: TỔNG QUAN VỀ TRUYỀN HÌNH HỘI NGHỊ

VÀ CÁC VẤN ĐỀ VỀ BẢO MẬT TRUYỀN HÌNH HỘI NGHỊ 1.1 Truyền hình hội nghị

Hội nghị truyền hình [1] (tiếng Anh: VideoConferencing) là hệ thống thiết bị

(bao gồm cả phần cứng và phần mềm) truyền tải hình ảnh và âm thanh giữa hai hoặc nhiều địa điểm từ xa kết nối qua đường truyền mạng Internet, WAN hay LAN, để đưa tín hiệu âm thanh và hình ảnh của các phòng họp đến với nhau như đang ngồi họp cùng một phòng họp

1.1.1 Lịch sử phát triển

Lịch sử phát triển của truyền hình hội nghị [14] được khái quát qua 4 thế hệ:

- Thế hệ đầu tiên: được thực hiện qua mạng kỹ thuật số đa dịch vụ ISDN dựa trên tiêu chuẩn H.230 của tổ chức ITU

- Thế hệ thứ hai: vẫn dựa trên mạng kỹ thuật số đa dịch vụ ISDN, sử dụng các thiết bị mã hóa/giải mã và nén/giải nén (CODEC), ứng dụng cho máy tính cá nhân và công nghệ thông tin

- Thế hệ thứ ba: phát triển trên mạng LAN với tốc độ nhanh và phạm vi rộng khắp thế giới

- Thế hệ thứ tư: sự ra đời của hệ thống truyền hình hội nghị chuyên dụng với các thiết bị phần cứng tích hợp các công nghệ hiện đại hiện nay đáp ứng được hầu hết các nhu cầu của con người trong các lĩnh vực công nghệ thông tin, y học v.v

1.1.2 Công nghệ

Hệ thống thiết bị hội nghị truyền hình là một hệ thống thiết bị điện tử (bao gồm

cả phần cứng và phần mềm) sử dụng công nghệ kỹ thuật số, nén (coder/decoder) âm thanh và video trong thời gian thực Giải pháp hội nghị truyền hình dựa trên công nghệ

IP với sự hỗ trợ nhiều giao thức (H.320, H.323, SIP ) cho phép triển khai hệ thống Hội nghị truyền hình tiên tiến nhưng vẫn tận dụng được cơ sở hạ tầng có sẵn

Các thiết bị cần thiết cho một hệ thống hội nghị truyền hình

 Các thiết bị cơ bản bao gồm:

- Camera: thu tín hiệu hình ảnh

- Micro: thu tín hiệu âm thanh

- CODEC: xử lý mã hóa nhận và truyền tín hiệu âm thanh và hình ảnh

- Màn hình hiển thị: hiển thị hình ảnh của các phòng họp từ xa

- Loa: phát tín hiệu âm thanh của các phòng họp từ xa

- MCU: thiết bị quản lý và xử lý đa điểm

- Lưu Trữ: ghi lại nội dung cuộc họp

- Show Present: thường là phần mềm có chức năng trình chiếu tài liệu tại một máy tính lên hình ảnh của hội nghị

Tùy theo từng hãng sản xuất sử dụng công nghệ khác nhau nhưng đều đi qua một số chuẩn giao thức bắt tay nhau như H.323, H.264 nên các sản phẩm của các hãng khác nhau vẫn bắt tay được với nhau

 Các mô hình truyền hình hội nghị [1] gồm:

- Mô hình sử dụng cho cá nhân (Desktop-Personal System): thường có chất lượng không cao tuy nhiên kết hợp nhiều tính năng thuận tiện, sử dụng nhanh, đơn giản trong môi trường cộng tác cá nhân

- Mô hình sử dụng các thiết bị đầu cuối chuyên dụng kết hợp cùng MCU: sử dụng các thiết bị chuyên nghiệp cho các phòng họp lớn tới vài chục người cùng tham dự

- Mô hình sử dụng Web videoconferencing

Các chuẩn giao thức sử dụng trong truyền hình hội nghị

Các chuẩn giao thức trong truyền hình hội nghị [15] được mô tả trong bảng 1.1

Bảng 1.1 Các tiêu chuẩn khuyến nghị cho THHN

Các tiêu chuẩn theo khuyến nghị của ITU

Chuẩn truyền thông

- H.320: được khuyến nghị cho các mạng chuyển mạch kênh như ISDN hoặc kênh riêng (leased-line) hỗ trợ cho cả liên lạc điểm-điểm và đa điểm

- H.323: được xây dựng dựa trên các đặc tả sẵn có của H.320,

có bổ xung thêm các đặc tính nhằm hỗ trợ cho truyền thông đa

phương tiện thời gian thực (Real Time Multimedia) trên các mạng chuyển mạch gói như LAN, WAN, Internet…

- SIP: Giao thức khởi tạo phiên, là một giao thức báo hiệu được

sử dụng để thiết lập các phiên trong mạng IP

Chuẩn mã hóa hình

ảnh (Video)

- H.261: được thiết kế cho dữ liệu ở các tốc độ bằng cấp số nhân của 64Kbit/s, hỗ trợ cho hai độ phân giải là QCIF và CIF

- H.263: được sử dụng để thay thế cho H.261, hỗ trợ cho năm

độ phân giải QCIF, CIF, SQCIF, 4CIF và 16CIF

- H.264: còn có tên là MPEG-4 Part 10 hoặc AVC,nó cung cấp hình ảnh video rất rõ nét ở băng thông thấp

Chuẩn mã hóa âm

thanh (Audio)

- G.711 - Điều biến mã Pulse các tần số thoại (PCM) trong đó tín hiệu audio 3.1 kHz analogue được mã thành các luồng 48,

56 hoặc 64 kbps stream

- G.722 – Mã hóa audio 7 kHz thành các luồng 48/56/64 kbps

- G.722.1 – Mã hóa audio 7 kHz ở 24 và 32 kbps với tỉ lệ mất khung thấp

- G.722.1 Annex C – Chuẩn ITU có nguồn gốc từ Siren 14 của Polycom – mã hóa audio 14 kHz

- G.722.2 – Mã hóa lời nói ở khoảng 16 kbps với 5 chế độ: 6.60, 8.85, 12.65, 15.85 và 23.85 kbps

- G.723.1 – Mã hóa 3.4 kHz cho viễn thông ở 5.3 kbps và 6.4 kbps

- G.728 – Mã hóa 3.4 kHz LD-CELP trong đó âm thanh 3.4 kHz analogue được mã thành luồng 16 kbps

- G.729 A/B – Mã hóa 3.4 kHz với âm thanh gần bằng chất lượng điện thoại cố định, âm thanh được mã thành luồng 8 kbps sử dụng phương pháp AS-CELP

Chuẩn cộng tác dữ

liệu

Bộ tiêu chuẩn cộng tác dữ liệu T.120, T.121, T.122, T.123 cho phép người sử dụng có thể trao đổi file, chia sẻ ứng dụng trong các cuộc THHN

Chuẩn điều khiển

- H.221 – định nghĩa cấu trúc khung truyền cho các ứng dụng

âm thanh hình ảnh trong các kênh từ 64 tới 1920 Kbps

- H.223 – xác dịnh giao thức phối kênh theo gói cho các giao dịch đa phương tiện tốc độ thấp

- H.224 – xác định giao thức điều khiển thời gian thực cho các ứng dụng đơn công sử dụng các kênh H.221

- H.225 – xác định các dạng truyền phối kênh để đóng gói và đồng bộ luồng thông tin trong mạng LAN không được đảm bảo QoS

- H.231 – xác định thiết bị MCU sử dụng để kết nối nhiều hơn

- H.235 – An ninh và mã hóa cho cầu đầu cuối H.323 và H.245

- H.239 – định nghĩa vai trò quản lý và các kênh cho các đầu cuối

- H.300 – Series có thể dữ liệu và cộng tác qua web thực hiện được đồng thời với hình ảnh video trong 1 hội nghị

- H.241 – định nghĩa các thủ tục video mở rộng và các tín hiệu điều khiển các đầu cuối H.300 – Series multimedia

- H.242 – định nghĩa các thủ tục điều khiển và giao thức để thiết lập liên lạc giữa các đầu cuối trên các kênh digital tới 2 Mbps; dùng cho H.320

1.1.3 Lợi ích mang lại

Hội nghị truyền hình là một bước phát triển đột phá của công nghệ thông tin,

nó cho phép những người tham dự tại nhiều địa điểm từ những quốc gia khác nhau

có thể nhìn thấy và trao đổi trực tiếp với nhau qua màn hình tivi như đang họp trong cùng một hội trường Công nghệ này đã được ứng dụng rộng rãi trong nhiều lĩnh vực, đặc biệt trong hội họp và hội thảo Ngoài ra, Hội nghị truyền hình còn được ứng dụng rộng rãi trong giáo dục đào tạo, an ninh quốc phòng, y tế và chăm sóc sức khỏe Các lợi ích mang lại như:

 Tiết kiệm thời gian di chuyển, tiết kiệm kinh phí;

 Thực hiện cuộc họp trực tuyến giữa nhiều địa điểm khác nhau, nhanh chóng

tổ chức cuộc họp;

 Lưu trữ toàn bộ nội dung cuộc họp;

 An toàn bảo mật;

 Chất lượng hội nghị ổn định, độ ổn định của hình ảnh và âm thanh cao;

 Các quyết định và nội dung trao đổi được đưa ra kịp thời và đúng lúc

1.2 Hệ thống truyền hình hội nghị trong quân sự

Hệ thống truyền hình hội nghị được sử dụng trong quân sự hiện nay là hệ thống truyền hình hội nghị theo chuẩn H.323

1.2.1 Cấu trúc và các thành phần của hệ thống H.323

H.323 [2] là chuẩn của ITU-T quy định về các thiết bị, giao thức và thủ tục để cung cấp các dịch vụ thông tin đa phương tiện thời gian thực trên các mạng chuyển mạch gói, bao gồm cả mạng IP H.323 là một tập hợp các khuyến nghị, bao gồm các chuẩn nén tiếng nói như G.729, G.723.1, chuẩn truyền dẫn thời gian thực như RTP, các chuẩn báo hiệu như H.225, H.245

Tuy nhiên, do H.323 là chuẩn của truyền thông tin đa phương tiện trên mạng chuyển mạch gói, cụ thể ban đầu là các mạng LAN, nên cần phải bổ sung một số điểm để phù hợp với mục đích truyền tin thoại thời gian thực trên mạng IP Vấn đề nén tiếng nói, các sản phẩm hiện nay trên thị trường thường dùng đồng thời các chuẩn G.729, G.711, G.724.1, …

Cấu trúc H.323 có thể được sử dụng một cách thông dụng ở mạng LAN hoặc mạng gói diện rộng Không những thế, các khả năng của H.323 có thể mở rộng cho mạng WAN nếu các kết nối được thiết lập giữa các thiết bị H.323 Hình bên dưới thể hiện rõ cấu trúc H.323 và các thành phần H.323

Hình 1.1 Cấu trúc và các thành phần H.323

Về mặt logic, hệ thống H.323 bao gồm các thành phần:

* Thiết bị đầu cuối H.323 (H.323 Terminal):

Là một trạm đầu cuối trong mạng LAN, đảm nhận việc cung cấp truyền thông hai chiều theo thời gian thực

Hình 1.2 Các thành phần chức năng của một thiết bị đầu cuối H.323 Terminal

Tất cả các thiết bị đầu cuối H.323 đều phải có một đơn vị điều khiển hệ thống, lớp đóng gói H.225.0, giao diện mạng và bộ codec (video/audio)

- Giao diện với mạng LAN (LAN Interface) phải cung cấp các dịch vụ sau cho lớp trên (lớp đóng gói dữ liệu multimedia H.225.0)

- Bộ Codec (video/audio): cung cấp cho thiết bị đầu cuối khả năng truyền video/audio, đảm nhận chức năng mã hóa và giải mã tín hiệu hình ảnh/thoại

- Trễ chiều thu bao gồm việc thêm vào dòng thông tin thời gian thực một độ trễ

để bảo đảm duy trì sự đồng bộ và bù độ jitter của các gói đến

- Kênh số liệu (Data Channel) là không bắt buộc, kênh dữ liệu có thể là đơn hướng hay hai hướng tùy thuộc vào ứng dụng Nền tảng của ứng dụng truyền số liệu trong thiết

bị đầu cuối H.323 là chuẩn T.120

- Chức năng điều khiển truyền thông multimedia (chuẩn H.245): Để truyền tải các thông điệp điều khiển hoạt động truyền thông đầu cuối tới đầu cuối bao gồm: trao đổi khả năng (Capabilities Exchange); đóng mở các kênh logic cho tín hiệu media (tín hiệu thời gian thực)

Các kênh logic mang thông tin thoại, video, số liệu hay thông tin điều khiển được thiết lập theo các thủ tục điều khiển mô tả trong khuyến nghị H.245 Các kênh logic hầu hết là đơn hướng và độc lập trên mỗi hướng truyền Ngoài ra các điểm cuối H.323 còn

sử dụng thêm hai kênh cho báo hiệu cuộc gọi và các chức năng liên quan đến gatekeeper (RAS) Số kênh logic LCN (khoảng từ 0 cho đến 65535) được bên phát chọn một cách tùy tiện ngoại trừ kênh logic 0 được dành riêng cho kênh điều khiển H.245 và giới hạn tốc độ bit của kênh logic

* H.323 Gateway:

GW là thành phần dùng để kết nối 2 mạng khác loại Một cổng H.323 dùng dể liên kết mạng H.323 với mạng không phải mạng chuẩn H.323

Cấu tạo của một GW bao gồm: MGC, MG và SG

Các đặc tính cơ bản của một GW:

- Một GW phải hỗ trợ các giao thức hoạt động trong mạng H.323 và mạng sử dụng chuyển mạch kênh CSN

- Về phía H.323, GW phải hỗ trợ báo hiệu điều khiển H.245 cho quá trình trao đổi khả năng hoạt động của terminal cũng như của GW, báo hiệu cuộc gọi H.225, báo hiệu RAS; Về phía CSN, GW phải hỗ trợ các giao thức hoạt động trong mạng chuyển mạch kênh (như SS7 sử dụng trong PSTN)

Các chức năng của GW: Chuyển đổi giữa các dạng khung truyền dẫn; chuyển đổi giữa các thủ tục giao tiếp; chuyển đổi giữa các dạng mã hóa khác nhau của các luồng tín hiệu hình ảnh cũng như âm thanh; thực hiện việc thiết lập và xóa cuộc gọi

ở cả phía mạng LAN cũng như phía mạng chuyển mạch CSN; có đặc điểm của một thiết bị đầu cuối H.323 hoặc một MCU trong mạng LAN

* Gatekeeper:

Một GK được xem là bộ não của mạng H.323, nó chính là điểm trung tâm cho mọi cuộc gọi trong mạng H.323 Mặc dù là thành phần tùy chọn nhưng GK cung cấp các dịch vụ quan trọng như việc dịch địa chỉ, sự ban quyền và nhận thực cho đầu cuối terminal và GW quản lý băng thông, thu thập số liệu và tính cước

Các chức năng cần thiết của một GK:

- Dịch địa chỉ (Address Translation)

- Quản lý việc thu nhận điểm cuối (Admission Control): GK sử dụng báo hiệu RAS để quản lý việc tham gia vào mạng H.323

- Điều khiến băng thông (Bandwidth Control)

- Quản lý vùng hoạt động (One management)

Các chức năng tùy chọn của GK: báo hiệu điều khiển cuộc gọi (Call Control Signaling); chấp nhận cuộc gọi (Call Authorixation); quản lý cuộc gọi (Call Management)

* MCU (Multipoint Control Unit):

MCU là thành phần hỗ trợ trong dịch vụ hội nghị đa điểm có sự tham gia của từ

2 terminal H.323 trở lên khi tham gia vào hội nghị đều phải thiết lập một kết nối với các MCU quản lý tài nguyên phục vụ hội nghị, đồng thời xử lý dòng thông tin truyền

Một MCU bao gồm 2 thành phần con (hình 1.3): Bộ điều khiển đa điểm MC

và thành phần tùy chọn bộ xử lý đa điểm MP

Hình 1.3 Cấu tạo của Multipoint Control Unit

MC có chức năng quản lý báo hiệu cuộc gọi Trong lúc đó, MP xử lý việc trộn

và chuyển mạch các dòng thông tin cũng như các quá trình xử lý thông tin khác Một vùng hoạt động H.323 là tập hợp tất cả các đầu cuối, các GW và các MCU chịu sự quản lý duy nhất của một GK Vùng hoạt động này độc lập với các topo của mạng thực tế và có thể bao gồm nhiều đoạn mạng (segment) nối với nhau qua router hay các thiết bị khác

1.2.2 Bộ giao thức H.323

Khuyến nghị H.323 đề ra những giao thức nằm trên tầng IP và các tầng vận tải (TCP hay UDP), những giao thức này được sử dụng một cách kết hợp bảo đảm cho việc thiết lập cuộc gọi thoại và truyền dòng tiếng nói tuân thủ tính thời gian thực qua mạng chuyển mạch gói

Hình 1.4 Các lớp của bộ giao thức H.323

Có thể phân chia thành 2 nhóm giao thức:

- Nhóm thứ nhất có vai trò thực hiện trao đổi tín hiệu giữa các thành phần của mạng H.323, nhóm này có thể coi như tập giao thức giúp các bên tham gia “bắt tay” được với nhau trước khi dòng tiếng nói thực sự được trao đổi qua lại bao gồm:

+ RAS (Registation/Admission/Status): giao thức trao đổi giữa endpoint với GK + Q.931: giao thức cho phép thiết lập và kết thúc cuộc gọi

+ H.245: giao thức cho phép thống nhất phương thức truyền thông giữa các endpoint và thiết lập kênh logic để dữ liệu tiếng nói truyền qua kênh này

- Nhóm thứ hai chịu trách nhiệm đảm bảo truyền dòng tiếng nói có tính thời gian thực qua mạng, cộng thêm một số thông tin trạng thái và điều khiển giúp cho việc nâng cao chất lượng cuộc thoại bao gồm: giao thức RTP đảm nhiệm việc truyền dòng tiếng nói thực sự tới phía nhận và giao thức RTCP hỗ trợ cung cấp các thông tin trạng thái và điều khiển chất lượng cuộc thoại tới các bên tham gia Hai giao thức này thường được mở trên hai cổng UDP riêng, sát cạnh nhau Việc thiết lập các cổng này là chức năng của giao thức H.245 (mở kênh logic)

* Thiết lập và giải phóng cuộc gọi cho H.323

Báo hiệu H.323 [3] là một quá trình phức tạp được mô tả như sau:

Hình 1.5 Quá trình thiết lập cuộc gọi H.323

Nếu xem xét một cuộc gọi giữa hai đầu cuối H.323 thì quá trình được thiết lập:

- Trước hết, cả hai đầu cuối H.323 phải được đăng ký tại các GK

- Đầu cuối A gửi yêu cầu tới GK đề nghị thiết lập cuộc gọi.GW gửi cho đầu cuối

A thông tin cần thiết về đầu cuối B Đầu cuối A gửi bản tin SETUP tới đầu cuối B

- Đầu cuối B trả lời bản tin Call Proceeding và đồng thời liên lạc với GK để xác nhận quyền thiết lập cuộc gọi Sau đó đầu cuối B gửi bản tin Alerting và Connect

- Hai đầu cuối trao đổi một số bản tin H.245 để xác định chủ tớ, khả năng xử

lý của đầu cuối và thiết lập kết nối RTP

Mô tả trên là trường hợp cuộc gọi điểm – điểm đơn giản nhất, khi báo hiệu cuộc gọi không định tuyến tới GK

1.2.3 Mô hình hệ thống truyền hình hội nghị quân sự

Hệ thống truyền hình hội nghị quân sự sử dụng các thiết bị chuyên dụng do hãng Polycom cung cấp cho truyền hình hội nghị như (Polycom HDX Series, Polycom Group Series, MCU RMX-2000 v.v.) thông qua mạng truyền hình và truyền số liệu quân sự do Binh chủng Thông tin liên lạc triển khai và điều hành

Hình 1.6 Mô hình kết nối hệ thống truyền hình hội nghị

Trong mô hình hệ thống truyền hình hội nghị hiện nay, các thiết bị chuyên dụng gồm thiết bị đầu cuối được sử dụng là các thết bị dòng Codec Polycom HDX-6000,

Codec Polycom HDX-8000, Codec Polycom Group 500 và thiết bị MCU RMX-2000

Hệ thống hiện đang hoạt động trên nền tảng công nghệ và hạ tầng mạng IPv4 quân sự

và có hạn chế các kết nối ra mạng ngoài (thông qua kết nối với hạ tầng mạng của Tập đoàn Viễn thông Quân đội Viettel)

Với số lượng lớn các cơ quan, đơn vị toàn quân nên việc xây dựng và đảm bảo

kỹ thuật, yếu tố bảo mật thông tin cho hệ thống truyền hình hội nghị quân sự luôn là vấn đề lớn cần khai thác, nghiên cứu

1.3 Các phương pháp bảo mật truyền hình hội nghị

1.3.1 Yếu tố bảo mật, an toàn thông tin và phân loại lỗ hổng bảo mật

* Một số yếu tố trong vấn đề bảo mật, an ninh mạng:

- Đối tượng tấn công mạng (Intruder): Hacker, Masquerader; Eavesdropping

- Các lỗ hổng bảo mật: là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp

- Chính sách bảo mật: là tập hợp các quy tắc áp dụng cho mọi đối tượng có tham gia quản lý và sử dụng các tài nguyên và dịch vụ mạng Một chính sách bảo mật được coi là hoàn hảo nếu nó xây dựng gồm các văn bản pháp quy, kèm theo các công

cụ bảo mật hữu hiệu và nhanh chóng giúp người quản trị phát hiện, ngăn chặn các xâm nhập trái phép

* Phân loại lỗ hổng bảo mật:

- Lỗ hổng loại C: Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ

- Lỗ hổng loại B: Mức độ nguy hiểm trung bình; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật

- Lỗ hổng loại A: Cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống

Bên cạnh đó, các hình thức phá hoại mạng ngày càng trở lên tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết

1.3.2 Giao thức bảo mật trong truyền hình hội nghị chuẩn H.323

Một hệ thống khi sử dụng bảo mật H.235 sẽ bao gồm các tính năng sau:

- Authentication (xác thực): Quá trình xác thực nhằm mục đích kiểm tra đối

tượng đang trao đổi thông tin là ai Quá trình này có thể được hoàn thành bằng cách trao đổi khóa công khai (public key) dựa trên chứng chỉ (certificate) hoặc là trao đổi

1 khóa chung (share secret) giữa các bên tham gia Nó có thể là mật khẩu (password) hoặc là 1 phần thông tin nào đó đã được trao đổi Đối với xác thực không sử dụng chứng chỉ điện tử, khuyến nghị H.235 cung cấp báo hiệu để hoàn thành những kịch bản khác nhau Phương pháp này phụ thuộc vào thứ tự liên lạc của các bên tham gia

để thu được khóa chung (share secret)

- Call establishment security (Bảo mật báo hiệu cuộc gọi – H.225): Có 2 lý do

thúc đẩy việc thiết lập kênh bảo mật Thứ nhất là xác thực đơn giản trước khi chấp nhận cuộc gọi Thứ 2 là để cấp phép cuộc gọi Nhiệm vụ của kênh H.225 trong trường hợp này là cung cấp các kỹ thuật bảo mật mà đầu cuối có thể đáp ứng, xác nhận các

kỹ thuật bảo mật đó và trao đổi chứng chỉ điện tử

- Call control security (Bảo mật kênh điều khiển cuộc gọi H.245): Kênh điều

khiển cuộc gọi cũng nên được bảo mật để cung cấp bảo đảm cho kênh truyền thông sau đó Kênh H.245 được bảo vệ sử dụng những kỹ thuật bảo mật đã được trao đổi trước đó Bản tin H.245 được sử dụng để báo hiệu thuật toán mã hóa và khóa đã được

mã hóa sử dụng trong kênh chia sẻ, kênh media Trong hội nghị đa điểm, nhiều khóa khác nhau được sử dụng cho nhiều luồng với mỗi điểm đầu cuối Nó đảm bảo an toàn đối với mỗi điểm đầu cuối trong hội nghị

- Media stream privacy (Bảo mật kênh truyền thông): Bảo mật truyền thông

cho luồng dữ liệu đa phương tiện truyền trên mạng chuyển mạch gói Bước đầu tiên trong việc đạt được bảo mật truyền thông là sự cung cấp có đảm bảo của 1 kênh điều khiển, dựa trên đó để đặt 1 khóa mã hóa và thiết lập những kênh logic sẽ mang những luồng dữ liệu truyền thông đã được mã hóa Vì vậy, khi hoạt động trong 1 hội nghị

có đảm bảo, các đầu cuối tham gia có thể sử dụng 1 kênh H.245 đã được mã hóa Theo cách đó, thuật toán mã hóa được lựa chọn và khóa mã hóa đưa vào trong bản tin H.245 OpenLogicalChannel được bảo vệ Dữ liệu đã được mã hóa được truyền trong các kênh logic phải nằm trong kiểu được đặc tả bởi OpenLogicalChannel Thông tin trong phần header gửi đi không được mã hóa Sự bảo mật của dữ liệu dựa trên cơ sở mã hóa end-to-end

- Trusted elements (Thành phần tin cậy): Cơ sở của việc xác thực và bảo mật

được định nghĩa bởi các đầu cuối của kênh liên lạc Đối với 1 kênh thiết lập cuộc gọi,

đó có thể là giữa người gọi và một thành phần máy chủ Ví dụ, một đầu cuối tin tưởng rằng mạng sẽ kết nối nó tới đúng đầu cuối khác có số mà nó đã gọi Vì vậy, thực thể nào giới hạn kênh điều khiển mã hóa H.245 và hay kiểu mã hóa dữ liệu của kênh logic sẽ được coi như là thành phần tin cậy của kết nối, nó có thể gồm các MCU hay

GW Kết quả của việc tin tưởng một thành phần là sự tin cậy để chia sẻ các kỹ thuật bảo mật (thuật toán hay khóa) cho thành phần này

* Thủ tục và báo hiệu H.245: Việc áp dụng thủ tục báo hiệu như đã đề cập ở

trên giúp chỉ ra chế độ hoạt động bảo mật, sự dàn xếp và xác thực sẽ xảy ra trên kênh điều khiển H.245 trước khi bất cứ bản tin H.245 nào được trao đổi Nếu đã dàn xếp, việc trao đổi chứng nhận điện tử sẽ sử dụng những kỹ thuật thích hợp với đầu cuối H-series Sau khi hoàn thành việc bảo mật cho kênh H.245, các đầu cuối sử dụng giao thức H.245 giống như cách mà nó sử dụng ở chế độ không bảo mật

* Thủ tục kết nối đa điểm: MCU sẽ là master đối với tất cả những lần trao đổi

khả năng, và nó sẽ cung cấp khóa mã hóa cho các bên tham gia của hội nghị đa điểm Khóa này có thể được sử dụng đối với tất cả các kênh truyền thông hay từng kênh riêng biệt Việc xác thực xảy ra giữa 1 đầu cuối và MCU giống với khi nó xảy ra trong

hội nghị điểm-điểm Ban đầu MCU sẽ được tin tưởng (trusted); những đầu cuối có mặt trong hội nghị có thể được giới hạn bởi mức độ xác thực được tận dụng bởi MCU Việc gửi các bản tin ConferenceRequest (yêu cầu)/ConferenceResponse (phản hồi) cho phép các đầu cuối thu được các chứng nhận điện tử của các bên tham gia từ MCU

* Thủ tục mã hóa luồng dữ liệu kênh truyền thông: Luồng dữ liệu truyền

thông sẽ được mã hóa bởi thuật toán và khóa được đưa ra trên kênh H.245 Chú ý rằng các header chỉ được gắn vào các đơn vị dữ liệu dịch vụ SDU sau khi các SDU này đã được mã hóa Đối với hội nghị đa điểm, MCU sẽ phân phối khóa mới đến tất

cả các đầu cuối trước khi đưa nó đến bộ phát tín hiệu

* Các thủ tục xác thực trong cuộc gọi sử dụng H.235: Cơ chế xác thực

Baseline security profile, đối với cơ chế xác thực này, người sử dụng sẽ dùng mật khẩu chung hay khóa bí mật, nó sẽ được sử dụng trong hàm băm để áp dụng băm tất

cả các trường trong bản tin H.235 RAS và báo hiệu nhằm mục đích đảm bảo sự toàn

vẹn cho bản tin Đối với các tùy chọn bảo mật, lược đồ trên đề xuất sử dụng các thuật

toán AES-128, RC2-compatible, DES hay triple-DES dựa trên sự trao đổi về chế độ

và yêu cầu diễn ra trước đó Người sử dụng có thể chắc chắn về sự xác thực này bằng

cách áp dụng đúng thủ tục trao đổi share secret

1.3.3 Các giải pháp bảo mật truyền hình hội nghị hiện nay

* Mã hóa thông tin giữa MCU và Endpoint:

Sử dụng thuật toán mã hóa đối xứng AES – Tiêu chuẩn mã hóa tiên tiến được công bố bởi viện tiêu chuẩn và công nghệ quốc gia Hoa Kỳ vào năm 2001 AES là một thuật toán mã hóa khối đối xứng được sử dụng để thay thế DES (Data Encryption Standard) Kích thước của khối là 128bit, kích thước khóa 128/192/256 bit Tên của giải thuật là Rijndael, tên của thuật toán được lấy từ tên của 2 nhà mật mã học người

Bỉ đã nghiên cứu và phát triển thuật toán trên là Vincent Rijmen và Joan Deamen Thuật toán Rijndeal có những đặc tính như: chống lại tất cả các cuộc tấn công, tốc độ

mã hóa nhanh và nhỏ gọn, thiết kế đơn giản

Trên các thiết bị đầu cuối truyền hình hội nghị chuyên nghiệp hiện nay cơ bản đều hỗ trợ tính năng mã hóa H.235 sử dụng mã hóa chuẩn AES 128bit Tùy thuộc

vào yêu cầu về mức độ bảo mật đối với các phiên THHN mà áp dụng hoặc không áp dụng các chế độ mã hóa

* Bảo mật hệ thống/thiết bị:

- Phân quyền cho đúng đối tượng điều khiển MCU hỗ trợ các mức truy cập khác nhau từ thấp đến cao, bao gồm: mức Operator, Administrator Việc cấp account cho điều khiển MCU cần hạn chế, đúng quyền hạn

- Việc bảo mật trên Endpoint là rất cần thiết, một số chế độ mặc định của hãng sản xuất thiết bị để giúp đỡ người sử dụng dễ tiếp cận và sử dụng cũng gây ra không

ít nguy cơ lộ lọt thông tin như: chế độ tự động trả lời (Auto Answer), chế độ điều khiển camera từ xa (Far end camera control), chế độ Streaming trên endpoint v.v

- Khi truy nhập vào hệ thống/thiết bị (MCU, Endpoint v.v ) phải đảm bảo các yêu cầu kỹ thuật như: thay đổi mật khẩu truy nhập MCU/Endpoint; áp dụng các giao thức truy nhập điều khiển an toàn (như HTTPS, SSH để cấu hình); định kỳ thay đổi các mật khẩu trên theo thời gian quy định v.v

* Bảo mật đường truyền thông tin: Mạng truyền dẫn, truyền tải IP là thành

phần có ảnh hưởng rất lớn đến chất lượng của Hệ thống truyền hình hội nghị, đòi hỏi các yêu cầu về đường truyền rất cao như: Băng thông lớn (Hệ thống Hội nghị cho độ phân giải Full HD đòi hỏi băng thông từ 2Mbps – 8Mbps); Độ trễ đường truyền nhỏ (<= 150 ms); Độ Jitter (Khi có ảnh hưởng qua lại các luồng dữ liệu trên đường truyền,

gây trễ đường truyền tín hiệu phải <= 30 ms); Tỷ lệ mất gói tin rất thấp (<= 1%) v.v

1.4 Kết luận chương

Chương này giới thiệu một cách tổng quan và đầy đủ về công nghệ truyền hình hội nghị và các thành phần của một hệ thống truyền hình hội nghị theo tiêu chuẩn H.323 Tổng hợp một số phương pháp bảo mật cho hệ thống truyền hình hội nghị đang được sử dụng phổ biến hiện nay dẫn đến việc lựa chọn phương pháp bảo mật

dữ liệu đường truyền với công nghệ đường hầm IPv6 được đề cập đến ở Chương sau

CHƯƠNG 2 CÔNG NGHỆ ĐƯỜNG HẦM IPV6 – GIẢI PHÁP BẢO

MẬT ĐƯỜNG TRUYỀN 2.1 Đặt vấn đề

Trong Chương 1 chúng ta đã đề cập một cách đầy đủ có hệ thống về hệ thống truyền hình hội nghị quân sự Việc bảo mật cho hệ thống này là rất cần thiết, luận văn này lựa chọn phương thức bảo mật ở lớp truyền dữ liệu với việc sử dụng địa chỉ IPv6

và các giao thức bảo mật gói tin IPSec và công nghệ đường hầm cho việc truyền tải gói tin

Giao thức Internet phiên bản 4 (viết tắt là IPv4, Internet Protocol version 4) là phiên bản thứ tư trong quá trình phát triển của các giao thức Internet Đây là phiên bản đầu tiên của IP được sử dụng rộng rãi và là nòng cốt của giao tiếp internet Hiện tại, IPv4 vẫn là giao thức được triển khai rộng rãi nhất trong bộ giao thức của lớp internet Giao thức này được công bố bởi IETF trong phiên bản RFC 791 (tháng 9 năm 1981), thay thế cho phiên bản RFC 760 (công bố vào tháng 1 năm 1980) Giao thức này cũng được chuẩn hóa bởi bộ quốc phòng Mỹ trong phiên bản MIL-STD-1777

Tuy nhiên với sự phát triển nhanh chóng của ngành công nghệ thông tin và số lượng trang, thiết bị hiện đại dẫn đến những hạn chế của IPv4 như:

+ Do IPv4 chỉ dùng 32 bit để đánh địa chỉ nên không gian địa chỉ IPv4 chỉ có

232 địa chỉ gây ra hai vấn đề lớn mà IPv4 đang phải đối mặt là việc thiếu hụt các địa chỉ

và việc phát triển về kích thước rất nguy hiểm của các bảng định tuyến trong Internet

+ Cấu trúc định tuyến không hiệu quả: Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp yêu cầu mỗi router phải duy trì bảng thông tin định tuyến, phải có dung lượng bộ nhớ lớn, phải can thiệp xử lý nhiều đối với gói tin IPv4

+ Hạn chế về tính bảo mật và kết nối đầu cuối - đầu cuối: Trong cấu trúc thiết

kế của địa chỉ IPv4 không có cách thức bảo mật nào đi kèm IPv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu

Từ những hạn chế trên của IPv4 dẫn đến sự ra đời của IPv6 để giải quyết các vấn đề được đặt ra với những ưu điểm nổi trội của IPv6 như: không gian địa chỉ lớn (128 bit địa chỉ); hỗ trợ end to end và loại bỏ hoàn toàn công nghệ NAT; có sẵn thành

phần bảo mật (built-in security); cấu hình đơn giản, cho phép các nút mạng sử dụng địa chỉ IP di động; tối ưu header do phần option được đưa ra sau, giúp việc mở rộng được dễ dàng hơn Với những ưu điểm đó là lí do việc IPv6 được triển khai rộng rãi trong hệ thống mạng trong tương lai Bảng 2.1 chỉ ra những điểm khác biệt cơ bản của IPv6 so với IPv4

Bảng 2.1 Điểm khác biệt cơ bản giữa IPv4 và IPv6

Không định dạng luồng dữ liệu Định dạng luồng dữ liệu nên hỗ trợ QoS

tốt hơn

Sự phân mảnh được thực hiện bởi các

host gửi gói tin và các router trên đường

đi của gói tin

Sự phân mảnh chỉ xảy ra tại host gửi mà không có sự tham gia của các router trên đường đi của gói tin

Có checksum header Không có checksum header

Header có phần tùy chọn Tất cả dữ liệu tùy chọn được chuyển vào

phần header mở rộng

Có địa chỉ Broadcast Địa chỉ multicast được sử dụng thay cho

địa chỉ broadcast IGMP được dùng để quản lý các thành

viên của mạng con cục bộ IGMP được thay thế bởi MLD

ICMP Router Discovery được dùng để

xác định địa chỉ của gateway mặc định

tốt nhất và là tùy chọn

ICMP Router Discovery được thay thế bởi ICMPv6

Sử dụng các mẫu tin (A) chứa tài nguyên

địa chỉ host trong DNS để ánh xạ tên

host thành địa chỉ IPv4

Sử dụng các mẫu tin AAAA trong DNS

để ánh xạ tên host thành địa chỉ IPv6 Thủ tục IPv6 phát triển khi IPv4 đã được sử dụng rộng rãi, mạng lưới IPv4 Internet hoàn thiện, hoạt động tốt Trong quá trình triển khai thế hệ địa chỉ IPv6 trên mạng Internet, không thể có một thời điểm nhất định mà tại đó, địa chỉ IPv4 được hủy bỏ, thay thế hoàn toàn bởi thế hệ địa chỉ mới IPv6 Hai thế hệ mạng IPv4, IPv6

sẽ cùng tồn tại trong một thời gian rất dài Trong quá trình phát triển, các kết nối IPv6

sẽ tận dụng cơ sở hạ tầng sẵn có của IPv4

Do vậy cần có những công nghệ phục vụ cho việc chuyển đổi từ địa chỉ IPv4 sang địa chỉ IPv6 và đảm bảo không phá vỡ cấu trúc Internet cũng như làm gián đoạn

hoạt động của mạng Internet Những công nghệ chuyển đổi này, cơ bản có thể phân thành ba loại như sau:

 Dual-stack: Cho phép IPv4 và IPv6 cùng tồn tại trong cùng một thiết bị mạng

 Công nghệ biên dịch: Thực chất là một dạng thức công nghệ NAT, cho phép thiết bị chỉ hỗ trợ IPv6 có thể giao tiếp với thiết bị chỉ hỗ trợ IPv4

 Công nghệ đường hầm (Tunnel): Công nghệ sử dụng cơ sở hạ tầng mạng IPv4 để truyền tải gói tin IPv6, phục vụ cho kết nối IPv6

2.2 Công nghệ đường hầm

Địa chỉ IPv6 phát triển khi Internet IPv4 đã sử dụng rộng rãi và có một mạng lưới toàn cầu Trong thời điểm rất dài ban đầu, các mạng IPv6 sẽ chỉ là những ốc đảo, thậm chí là những host riêng biệt trên cả một mạng lưới IPv4 rộng lớn Làm thế nào để những mạng IPv6, hay thậm chí những host IPv6 riêng biệt này có thể kết nối với nhau, hoặc kết nối với mạng Internet IPv6 khi chúng chỉ có đường kết nối IPv4 Sử dụng chính cơ sở hạ tầng mạng IPv4 để kết nối IPv6 là mục tiêu của công nghệ đường hầm được định nghĩa trong [6]

2.2.1 Khái niệm công nghệ đường hầm

Công nghệ đường hầm là một phương pháp sử dụng cơ sở hạ tầng sẵn có của mạng IPv4 để thực hiện các kết nối IPv6 bằng cách sử dụng các thiết bị mạng có khả năng hoạt động dual-stack tại hai điểm đầu và cuối nhất định

Các thiết bị này “bọc” gói tin IPv6 trong gói tin IPv4 và truyền tải đi trong mạng IPv4 tại điểm đầu và gỡ bỏ gói tin IPv4, nhận lại gói tin IPv6 ban đầu tại điểm đích cuối đường truyền IPv4

Nói chung, công nghệ đường hầm đã “gói” gói tin IPv6 trong gói tin IPv4 để truyền đi được trên cơ sở hạ tầng mạng IPv4 Tức thiết lập một đường kết nối ảo (một đường hầm) của IPv6 trên cơ sở hạ tầng mạng IPv4 [12]

Hình 2.1 Mô tả công nghệ đường hầm

* Phân loại công nghệ tạo đường hầm: Có thể phân loại công nghệ tạo đường

hầm [4] bao gồm:

 Đường hầm bằng tay (manual tunnel): được cấu hình bằng tay tại các thiết

bị điểm đầu và điểm cuối đường hầm, áp dụng với các mạng có ít phân mạng hoặc cho một số lượng hạn chế các kết nối từ xa Độ linh động và yêu cầu cấu hình nhân công là những hạn chế cơ bản cách thức này

 Đường hầm tự động (automatic tunnel): Điểm bắt đầu và điểm kết thúc

đường hầm được quyết định bởi cấu trúc định tuyến Công nghệ đường hầm tự động điển hình và sử dụng khá phổ biến là 6to4, sử dụng thủ tục 41 (protocol 41) Địa chỉ IPv4 của điểm bắt đầu và kết thúc đường hầm được suy ra từ địa chỉ nguồn và địa chỉ đích của gói tin IPv6

 Đường hầm cấu hình (configured tunnel): là công nghệ đường hầm trong

đó các điểm kết thúc đường hầm được thực hiện bằng một thiết bị gọi là Tunnel Broker Đường hầm cấu hình được khuyến nghị sử dụng cho những mạng lớn, quản trị tốt vì có độ tin cậy, tính ổn định tốt hơn đường hầm tự động

Các trạm và các router IPv6 thực hiện định đường hầm bằng cách gói các gói tin IPv6 trong gói tin IPv4, nếu phân loại đường hầm theo đầu cuối thì có 4 loại:

- Đường hầm từ router đến router

- Đường hầm từ trạm tới router

- Đường hầm từ trạm tới trạm

- Đường hầm từ router tới trạm

Các cách thực hiện đường hầm khác nhau ở vị trí của đường hầm trong tuyến đường giữa hai nút mạng Trong hai cách đầu, gói tin được định đường hầm tới một router trung gian sau đó router này chuyển tiếp gói tin đến đích Với hai cách sau, gói tin được định đường hầm thẳng tới đích

Để thực hiện đường hầm, hai điểm cầu đường hầm phải là các nút mạng hỗ trợ

cả hai giao thức, khi cần chuyển tiếp gói tin IPv6, điểm đầu đường hầm sẽ đóng gói gói tin IPv4 bằng cách thêm phần mở đầu mào đầu IPv4 phù hợp

Khi gói tin IPv4 đến điểm cuối đường hầm, gói tin IPv6 sẽ được tách ra để xử

lý tùy theo kiểu: Gói tin ban đầu (IPv6 header - Dữ liệu)  Gói tin đường hầm (IPv4 header - IPv6 header - Dữ liệu)  Gói tin ra khỏi đường hầm (IPv6 header - Dữ liệu)

2.2.2 Địa chỉ IPv6

Địa chỉ IPv6 [5] là thế hệ địa chỉ Internet phiên bản mới được thiết kế để thay thế cho phiên bản địa chỉ IPv4 trong hoạt động Internet Địa chỉ IPv4 có chiều dài 32 bít, biểu diễn dưới dạng các cụm số thập phân phân cách bởi dấu chấm, ví dụ 203.119.9.0 IPv4 là phiên bản địa chỉ Internet đầu tiên, đồng hành với việc phát triển như vũ bão của hoạt động Internet trong hơn hai thập kỷ vừa qua Với 32 bit chiều dài, không gian IPv4 gồm khoảng 4 tỉ địa chỉ cho hoạt động mạng toàn cầu

Do sự phát triển như vũ bão của mạng và dịch vụ Internet, nguồn IPv4 dần cạn kiệt, đồng thời bộc lộ các hạn chế đối với việc phát triển các loại hình dịch vụ hiện đại trên Internet Phiên bản địa chỉ Internet mới IPv6 được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản là thay thế cho nguồn IPv4 đang dần cạn kiệt để tiếp nối hoạt động Internet và khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4

IPv6 được thiết kế với những tham vọng và mục tiêu:

 Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ

 Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công nghệ NAT

 Quản trị TCP/IP dễ dàng hơn: DHCP được sử dụng trong IPv4 nhằm giảm cấu hình thủ công TCP/IP cho host IPv6 được thiết kế với khả năng tự động cấu hình mà không cần sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công

 Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp

 Hỗ trợ tốt hơn Multicast: Multicast là một tùy chọn của địa chỉ IPv4, tuy nhiên khả năng hỗ trợ và tính phổ dụng chưa cao

 Hỗ trợ bảo mật tốt hơn: IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết rõ nhau kết nối với nhau Do vậy bảo mật chưa phải là một vấn đề được quan tâm Song hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm hàng đầu

 Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết bị IP di động Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển, đòi hỏi cấu trúc giao thức Internet có sự hỗ trợ tốt hơn

Địa chỉ IPv6 được IETF, nhóm chuyên trách về kỹ thuật của Hiệp hội Internet

đề xuất dựa trên cấu trúc của IPv4 Địa chỉ IPv4 có cấu trúc 32 bit, trên lý thuyết có thể cung cấp không gian 232 = 4.294.967.296 địa chỉ Đối với IPv6, địa chỉ IPv6 có cấu trúc 128 bit, dài gấp 4 lần so với cấu trúc của địa chỉ IPv4 Trên lý thuyết, địa chỉ IPv6

mở ra không gian 2128 địa chỉ Số địa chỉ này nếu trãi đều trên diện tích 511.263 m2 của quả đất, mỗi m2 mặt đất sẽ được cấp 6.655.701.018 địa chỉ

Đây là một không gian địa chỉ cực kỳ lớn, với mục đích không chỉ cho Internet

mà còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm chí còn dành cho từng vật dụng trong gia đình Người ta nói rằng từng chiếc máy điều hòa, tủ lạnh… trong gia đình đều có thể mang một địa chỉ IPv6 và chủ nhân của nó có thể kết nối, ra lệnh từ xa Với nhu cầu hiện tại, chỉ có khoảng 15% không gian địa chỉ IPv6 được sử dụng, số còn lại dành để dự phòng trong tương lai

a Cấu trúc địa chỉ IPv6

Một địa chỉ gồm có 16 byte, đó là 128 bít độ dài Kiểu ký hiệu dấu 2 chấm trong hệ đếm 16 Để làm cho những địa chỉ trở nên có thể đọc được nhiều hơn, IPv6 trình bày rõ trong kiểu ký hiệu dấu 2 chấm trong hệ đếm 16 Trong kiểu ký hiệu này,

128 bít được chia thành 8 phần, mỗi phần rộng 2 byte 2 byte trong kiểu ký hiệu hệ đếm 16 yêu cầu 4 chữ số trong hệ đếm 16 này Vì thế cho nên địa chỉ gồm có 32 chữ

số trong hệ đếm 16 với mỗi 4 chữ số một lại có một dấu “:” như hình dưới

Hình 2.2 Địa chỉ IP phiên bản 6

* Biểu diễn địa chỉ IPv6:

Mặc dù là địa chỉ IP ngay cả khi ở trong định danh hệ số đếm 16, vẫn rất dài, nhiều chữ số 0 trong một địa chỉ Do đó cơ chế nén địa chỉ được dùng để biểu diễn dễ dàng hơn các loại địa chỉ dạng này (sự rút gọn địa chỉ Abbreviated Address) Ta không cần viết các số 0 ở đầu các nhóm, nhưng những số 0 bên trong thì không thể xóa Hơn nữa ta có thể sử dụng ký hiệu :: để chỉ một chuỗi các số 0 Tuy nhiên ký hiệu trên chỉ được sử dụng một lần trong một địa chỉ Địa chỉ IP có độ dài cố định, ta có thể tính được số các bit 0 mà ký hiệu đó biểu diễn Ta có thể áp dụng ở đầu hay ở cuối địa chỉ (Sự rút gọn địa chỉ có số 0 liên tiếp: Abbreviated Address with consecutive zeros) Cách viết này đặc biệt có lợi khi biểu diễn các địa chỉ multicast, loopback hay các địa chỉ chưa xác định

Thí dụ: 1080:0:0:0:8:800:200C:417A rút gọn thành 1080::8:800:200C:417A Việc khôi phục lại sự rút gọn địa chỉ là rất đơn giản: thêm số 0 vào cho đến khi nhận được địa chỉ nguyên bản (4 chữ sổ trong 1 phần , 32 chữ số trong một địa chỉ) IPv6 cho phép giảm lớn địa chỉ và được biểu diễn theo ký pháp CIDR Ví dụ biểu diễn mạng con có độ dài tiền tố 80 bít: 1080:0:0:0:8::/80 (địa chỉ CIDR: CIDR Address)

thay thế giao thức IPv4 hiện nay do đó nó gần như chỉ liên quan tới các lớp trên trong

mô hình OSI Đối với các lớp dưới như lớp datalink và lớp vật lý thì không bị ảnh hưởng Gói tin IPv6 được truyền trong mạng nội bộ LAN có cấu trúc như sau:

– Phần header và trailer: phần được đóng gói của gói tin IPv6 khi ở lớp 2 – IPv6 header: phần mào đầu của gói tin IPv6

– Payload (tải trong): mang thông tin của các lớp trên

Hình 2.3 Cấu trúc khung của IPv6 tại lớp 2 trong mạng LAN

Đóng gói kiểu Ethernet II: dạng khung truyền dẫn của IPv6 có dạng như hình

2 với giá tị của trường EtherType là 0x86DD ( của IPv4 là 0x800) Kích thước của gói tin IPv6 sử dụng kiểu đóng gói Ethernet II là từ 46 tới 1500 byte

Hình 2.4 Cấu trúc khung truyền dẫn IPv6 trong mạng Ethernet II

* Phân bổ địa chỉ IPv6:

Tương tự như IPv4 không gian địa chỉ IPv6 cũng được phân chia dựa theo giá trị của các bít đầu hay còn gọi là phương thức định dạng theo tiền tố FP Hiện tại không gian địa chỉ IPv6 được định dạng theo tiền tố như bảng 2.2 (theo RFC2373):

Bảng 2.2 Phân bố các địa chỉ IPv6

Phân bố Tiền tố Tỉ trọng không gian

Link-Local Unicast Address 1111 1111 10 1/1024

Site-Local Unicast Address 1111 1111 11 1/1024

Theo sự phân bố này, có một phần được dành cho địa chỉ NSAP, địa chỉ IPX

và địa chỉ trong các mạng riêng ảo VPN Phần còn lại của không gian địa chỉ chưa được gán sẽ được sử dụng trong tương lai Nhưng phần này có thể được sử dụng để

mở rộng những địa chỉ đang sử dụng (như thêm các nhà cung cấp địa chỉ) hay những người sử dụng mới (ví dụ những mạng cục bộ hay những người dùng đơn lẻ) Chú ý rằng nhóm địa chỉ Anycast không được chỉ ra ở trong bảng vì sự phân bố của chúng

đã được bao trùm bởi không gian địa chỉ loại Unicast.Theo dự đoán có khoảng 15% không gian địa chỉ sẽ được sử dụng vào giai đoạn đầu, còn lại khoảng 85% sẽ được

dự trữ cho tương lai

Để quản lý không gian địa chỉ hiệu quả và hợp lý, các nhà thiết kế giao thức IPv6 đã đưa ra hai cơ chể cấp phát địa chỉ như sau:

- Cơ chế cấp phát chung: các nhà thiết kế IPv6 đã xây dựng một cơ chế phân

bố địa chỉ hoàn toàn mới Phân loại địa chỉ IPv6 không phải chỉ để cung cấp đầy đủ các dạng khuôn mẫu và dạng tiền tố của các loại địa chỉ khác nhau Việc phân loại địa chỉ theo các dạng tiền tố một mặt cho phép các host nhận dạng ra các loại địa chỉ