- CH ƯƠ NG 4: NH N TH C VÀ AN NINH TRONG IP DI Đ NG Ậ Ự Ộ (Mobile IP). - T ng quan v Mobile IP ổ ề. - Trong ki n trúc Internet hi n th i, giao th c Internet Version 4 ho c IPv4, ế ệ ờ ứ ặ Mobile IP là m t tuỳ ch n. - Trong t ầ ổ ươ ng lai, IP Version 6 s h tr tính di đ ng ẽ ỗ ợ ộ nh m t ph n c a các giao th c Internet chung v i s th a nh n truy nh p ư ộ ầ ủ ứ ớ ự ừ ậ ậ Internet có dây cũng tr nên r t quan tr ng. - 4.1.1 Các thành ph n logic c a Mobile IP ầ ủ. - Các ph n t c a ki n trúc Mobile IP r t g n v i các khái ni m quen thu c ầ ử ủ ế ấ ầ ớ ệ ộ hi n nay trong m ng t ong s . - Trên m ng nhà này, trong th gi i Mobile IP là m t h ộ ạ ạ ế ớ ộ ệ th ng ph n m m đ ố ầ ề ượ c g i là “Home Agent” (Tác nhân nhà) ch y trên m t node ọ ạ ộ m ng. - H n n a, m i Mobile Host d ơ ữ ỗ ướ i Mobile IP có m t đ a ch logic c đ nh - ộ ị ỉ ố ị đ a ch giao th c Internet (hay đ a ch IP) c a nó trên m ng nhà – tuy r ng m i ị ỉ ứ ị ỉ ủ ạ ằ ỗ. - D ướ i giao th c Mobile IP, khi Mobile Host chuy n vùng ra ngoài mi n ứ ể ề đi u khi n c a m ng nhà (dĩ nhiên nó có th t ề ể ủ ạ ể ươ ng tác v i m ng nhà c a nó ớ ạ ủ nh ng tr ư ườ ng h p này không quan tâm), nó có th thi t l p m t k t n i Internet ợ ể ế ậ ộ ế ố thông qua m ng con Internet khác có cung c p h tr IP. - M t thành ph n khác trong s đ c a Mobile IP là máy đ i tác (CA: ộ ầ ơ ồ ủ ố Corresponding Host). - Ki n trúc chung c a Mobile IP đ ế ủ ượ c minh ho trong ạ hình 4.1.. - Chú ý r ng các m ng bao g m HA và FA c n thi t ph i th c hi n Mobile ằ ạ ồ ầ ế ả ự ệ IP và có kh năng h tr di đ ng. - Tuy nhiên, m t khía c nh then ch t c a Mobile ả ỗ ợ ộ ộ ạ ố ủ IP là CA và các thành ph n khác c a n n t ng Internet đ ầ ủ ề ả ượ c gi i thi u b i đám ớ ệ ở mây Internet trong s đ m ng không c n bi t gì v giao th c này. - đ ườ ng h m ầ. - D li u đ ữ ệ ượ c đ nh tuy n b ng cách ị ế ằ s d ng đ a ch m ng nhà ử ụ ị ỉ ạ. - Hình 4.1: S đ minh ho các thành ph n then ch t c a ki n trúc Mobile IP. - 4.1.2 Mobile IP – Nguy c v an ninh ơ ề. - Nh m t s m r ng đ i v i giao th c Internet thông th ư ộ ự ở ộ ố ớ ứ ườ ng (IPv4), Mobile IP, nh m cung c p s h tr di đ ng cho chuy n vùng host, phát sinh các ằ ấ ự ỗ ợ ộ ể nguy c v an ninh. - Trong th c t h u h t các nhà phân tích đ ng ý r ng nh ng ơ ề ự ế ầ ế ồ ằ ữ nguy c l n nh t mà Mobile IP g p ph i n m trong mi n an ninh. - Nh trong ơ ớ ấ ặ ả ằ ề ư tr ườ ng h p m ng t ong s , các đo n n i vô tuy n gi a Mobile Host và FA d ợ ạ ổ ố ạ ố ế ữ ễ. - John Zao và Matt Condell c a BBN xác đ nh hai lĩnh v c an ninh c th ủ ị ự ụ ể trong Mobile IP:. - Các giao th c nh n th c ng ứ ậ ự ườ ử ụ i s d ng đ ượ c th o lu n trong ch ả ậ ươ ng này đ u quan tâm đ n hai nguy c an ninh này nh ng th c hi n theo các ph ề ế ơ ư ự ệ ươ ng pháp khác nhau.. - Các ph n t n n t ng môi tr ầ ử ề ả ườ ng nh n th c và an ninh ậ ự c a Mobile IP ủ. - Giao th c Mobile IP xác đ nh vi c s d ng Các mã nh n th c b n tin ứ ị ệ ử ụ ậ ự ả (MAC. - đ ượ c g i là “authenticator” (b nh n th c) theo cách nói đ c t nh n ọ ộ ậ ự ặ ả ậ th c Mobile IP - đ nh n th c và cung c p tính toàn v n d li u cho các b n tin ự ể ậ ự ấ ẹ ữ ệ ả đi u khi n đ ề ể ượ c trao đ i gi a Home Agent và Mobile Node. - Trong khi MAC ổ ữ không đ ượ c u nhi m trong đ c t Mobile IP thì ph ỷ ệ ặ ả ươ ng pháp MAC có th cũng ể đ ượ c áp d ng cho các b n tin đ ụ ả ượ c trao đ i v i các đ u vào khác ch ng h n nh ổ ớ ầ ẳ ạ ư FA. - ồ ả ả ế ậ ể ạ ộ ợ Giao th c Mobile IP xác đ nh MD5, theo mode ti n t thêm h u t (nghĩa là mã ứ ị ề ố ậ ố MAC đ ượ c g n vào c tr ắ ả ướ c và sau n i dung b n tin) nh là thu t toán t o MAC ộ ả ư ậ ạ m c đ nh. - 4.2.1 An ninh IPSec. - M t khái ni m n n t ng then ch t trong nh n th c và an ninh cho Mobile ộ ệ ề ả ố ậ ự IP và khái ni m v liên k t an ninh (SA: Security Association). - Trong ậ ụ ố tr ườ ng h p truy n thông song h ợ ề ướ ng có th t n t i hai liên k t an ninh nh th ể ồ ạ ế ư ế v i m i liên k t đ nh nghĩa m t h ớ ỗ ế ị ộ ướ ng truy n thông. - Các SA đ nh nghĩa t p các ề ị ậ d ch v IPSec nào (An ninh giao th c Internet) đ ị ụ ứ ượ c đ a vào t ng IP hay t ng ư ầ ầ m ng (Layer 3) trong ngăn x p giao th c Internet. - B nh n d ng giao th c an ninh, nó xác đ nh liên k t an ninh áp d ng cho ộ ậ ạ ứ ị ế ụ Authentication Header (AD) hay đ i v i Encapsulating Security Payload (ESP). - cho phép các thành ph n – Mobile Host, Home Agent, Foreign Agent và trong m t ầ ộ s tr ố ườ ng h p c Corresponding Host – trong m t phiên truy n thông Mobile IP ợ ả ộ ề ch n ch đ an ninh thích h p. - 4.2.2 S cung c p các khoá đăng ký d ự ấ ướ i Mobile IP. - Vì m t c s h t ng nh Mobile IP phát tri n r t nhanh nên không th ộ ơ ở ạ ầ ư ể ấ ể gi s r ng m t Mobile Host (MH) đang chuy n vùng s có b t kỳ liên k t tr ả ử ằ ộ ể ẽ ấ ế ướ c nào v i FA trên các m ng mà nó t m trú. - Toàn b các h ộ ướ ng đi trong s phát tri n Mobile IP là đ hoàn thành b ự ể ể ướ c này thông qua c s h t ng khoá công c ng có th truy nh p toàn c u (PKI: ơ ở ạ ầ ộ ể ậ ầ Public-Key Infrastructure), nh ng vì ki n trúc này ch a có tính kh d ng r ng rãi ư ế ư ả ụ ộ nên vài b ướ c trung gian ph i đ ả ượ c th c hi n nh là m t gi i pháp chuy n ti p. - FA và MH có th s d ng m t giao th c trao đ i khoá Diffie-Helman đ ể ử ụ ộ ự ổ ể thi t l p m t khoá đăng ký chung. - Giao th c đăng ký Mobile IP c s ứ ơ ở. - Giao th c đăng ký này c u ể ủ ề ị ệ ờ ủ ứ ấ thành m t thành ph n nh n th c quan tr ng trong th gi i Mobile IP. - Giao th c đăng ký Mobile IP cung c p hai c ch đ ch ng l i các cu c ứ ấ ơ ế ể ố ạ ộ t n công l p l i (replay): c các tem th i gian và các nonce đ u đ ấ ặ ạ ả ờ ề ượ c h tr , và ỗ ơ các principal trong phiên truy n thông có th ch n gi a hai bi n th c a giao ề ể ọ ữ ế ể ủ th c này ph thu c vào cái nào chúng mu n s d ng. - Trong mô t các ph n ứ ụ ộ ố ử ụ ả ở ầ nh d ỏ ướ i đây, chúng ta s phác th o giao th c đăng ký Mobile IP v i các tem th i ẽ ả ứ ớ ờ gian.. - 4.3.1 Các ph n t d li u và thu t toán trong giao th c đăng ký Mobile ầ ử ữ ệ ậ ứ IP. - Các ph n t d li u then ch t và các thu t toán trong giao th c đăng ký ầ ử ữ ệ ố ậ ứ đ ượ c đ nh nghĩa b i đ c t Mobile IP nh sau: ị ở ặ ả ư. - Trong h u h t các tr ạ ầ ế ườ ng h p, đi u này s t ợ ề ẽ ươ ng ng v i ứ ớ đ a ch IP c a FA. - 4.3.2 Ho t đ ng c a Giao th c đăng ký Mobile IP ạ ộ ủ ứ. - Các b ướ c chính khi th c thi giao th c đăng ký Mobile IP ti n hành nh ự ứ ế ư sau:. - ử ụ ể ậ ữ ệ ề Hình 4.2 minh ho s trao đ i các b n tin trong Giao th c đăng ký Mobile IP. - Hình 4.2: S đ phác th o s trao đ i các b n tin trong Giao th c đăng ơ ồ ả ự ổ ả ứ ký Mobile IP. - H u h t giao th c Mobile IP t p trung vào truy n thông gi a ầ ế ứ ậ ề ữ Corresponding Host (CS) và Mobile Host v i m t gi đ nh ng m r ng CH n m ớ ộ ả ị ầ ằ ằ ở m t v trí c đ nh trong Internet. - V n đ trong truy n thông gi a hai MH theo giao th c Mobile IP là v n ấ ề ề ữ ứ ấ đ “đ nh tuy n tay ba” (triangular routing) phát tri n nhanh. - t ươ ng ng c a chúng. - Theo s đ truy n thông MH-to-MH này, các c ch an ninh b o v ơ ồ ề ơ ế ả ệ ch ng l i c các MH gian l n l n các th c th mà n c danh c s h t ng m ng ố ạ ả ậ ẫ ự ể ặ ơ ở ạ ầ ạ nh m s p x p các đ ằ ắ ế ườ ng h m an toàn gi a các FA. - Giao th c này yêu c u vài ả ế ơ ử ổ ị ứ ầ m c đ ng b th i gian gi a các agent, đ ứ ồ ộ ờ ữ ượ c th c hi n thông qua vi c s ự ệ ệ ử d ng RFC 1305 NTP. - Nên chú ý r ng trong ph n này quan tâm ch y u đ n an ninh và nh n ằ ầ ủ ế ế ậ th c vì nó áp d ng cho s t ự ụ ự ươ ng tác gi a các HA, FA và External Agent trong ữ t ươ ng tác Mobile IP. - Ph ươ ng pháp lai cho nh n th c theo giao th c Mobile IP ậ ự ứ. - Nh n th c theo giao th c đăng ký c s trong Mobile IP đ ậ ự ứ ơ ở ượ c trình bày ở trên c n thi t ph i gi l i m t ph ầ ế ả ữ ạ ộ ươ ng pháp d a trên khoá công c ng. - Trong m t tài li u năm ả ở ổ ứ ộ ệ 1999, Sufatrio và Kwok Yan Lam đã đ xu t m t khoá riêng lai, m t ph ề ấ ộ ộ ươ ng pháp khoá công c ng cho nh n th c theo Mobile IP đ ộ ậ ự ượ c thi t k đ gi i quy t ế ế ể ả ế v n đ tính m r ng mà không ph i thay đ i căn b n s trao đ i b n tin trong ấ ề ở ộ ả ổ ả ự ổ ả giao th c đăng ký Mobile IP. - 4.5.1 Các ph n t d li u trong Giao th c nh n th c Sufatrio/Lam ầ ử ữ ệ ứ ậ ự Các ph n t d li u chính đ ầ ử ữ ệ ượ c s d ng trong Giao th c nh n ử ụ ứ ậ Sufatrio/Lam nh sau: ư. - Cert HA , Cert FA (Certificates: Các ch ng nh n): ứ ậ Các ch ng nh n s c a HA ứ ậ ố ủ và FA t ươ ng ng. - 4.5.2 Ho t đ ng c a giao th c nh n th c Sufatrio/Lam ạ ộ ủ ứ ậ ự. - Giao th c nh n th c d a trên khoá công c ng t i thi u có liên quan đ n s ứ ậ ự ự ộ ố ể ế ự trao đ i b n tin d ổ ả ướ i đây gi a MH, FA và HA. - MH s d ng khoá bí m t KS ử ụ ậ MH-HA đ đánh giá tính h p l ch ký trên b n tin ể ợ ệ ữ ả M4 (Đi u này làm cho giao th c Sufatrio/Lam tr thành m t thi t k lai khoá ề ứ ở ộ ế ế. - S đ ho t đ ng c a giao th c ế ụ ề ủ ơ ồ ạ ộ ủ ứ Sufatrio/Lam xem hình 4.3.. - Theo giao th c Sufatrio/Lam, MH không ph i th c hi n đánh ớ ứ ả ự ệ giá ch ng nh n ho c ki m tra các revocation list, vì v y gi m gánh n ng x lý và ứ ậ ặ ể ậ ả ặ ử truy n thông trên kh i di đ ng. - H th ng MoIPS: Mobile IP v i m t c s h t ng khoá ệ ố ớ ộ ơ ở ạ ầ công c ng đ y đ ộ ầ ủ. - Khi truy nh p Internet phát tri n ngày càng m nh và khi có thêm nhi u t ậ ể ạ ề ổ ch c v n hành m ng mà ch a các MH ho c mu n cung c p các d ch v thông tin ứ ậ ạ ứ ặ ố ấ ị ụ qua c s h t ng Mobile IP thì c s h t ng khoá công c ng (PKI) tr nên h p ơ ở ạ ầ ơ ở ạ ầ ộ ở ấ d n h n. - Đăng ký Mobile IP. - Hình 4.3: S đ minh ho ho t đ ng c a giao th c Sufatrio/Lam cho ơ ồ ạ ạ ộ ủ ứ nh n th c trong môi tr ậ ự ườ ng Mobile IP. - H th ng MoIPS có các d ch v an ninh phân ph i sau: (1) nh n th c các ệ ố ị ụ ố ậ ự b n tin đi u khi n Mobile IP trong c p nh t v trí, (2) áp d ng đi u khi n truy ả ề ể ậ ậ ị ụ ề ể nh p qua các MH mu n s d ng các tài nguyên trong m ng khách, và (3) cung ậ ố ử ụ ạ c p các đ ấ ườ ng h m an ninh cho các gói tin IP đ ầ ượ c đ nh h ị ướ ng l i. - Nh n th c trong quá trình c p nh t v trí: ậ ự ậ ậ ị MoIPS h tr c giao th c ỗ ợ ả ứ Mobile IP c b n l n cái đ ơ ả ẫ ượ c g i là Mobile IP đ nh tuy n t i u hoá. - Theo ọ ị ế ố ư Mobile IP đ nh tuy n t i u hoá, CS mà cung c p h tr di đ ng có th ị ế ố ư ấ ỗ ợ ộ ể. - Theo MoIPS, m i đăng ký Mobile IP và c p nh t ư ệ ờ ỗ ậ ậ ràng bu c (là s thay đ i c a b n tin v trí đ ộ ự ổ ủ ả ị ượ c chuy n đ n CH) bao g m ể ế ồ m t đuôi nh n d ng 64-bit (identification tag) đ ngăn ch n các cu c t n ộ ậ ạ ể ặ ộ ấ công và m t ho c nhi u ph n m r ng nh n th c (authentication extension) ộ ặ ề ầ ở ộ ậ ự cung c p tính toàn v n d li u và nh n th c ban đ u thông qua vi c s ấ ẹ ữ ệ ậ ự ầ ệ ử d ng MAC đ ụ ượ ạ c t o b i hàm băm. - Đ ườ ng h m an ninh các gói tin IP (Secure Tunneling of IP Packets): ầ Trong th gi i Mobile IP, các gói d li u di chuy n gi a các Mobile Node, ế ớ ữ ệ ể ữ FA, HA và CS (mà nh chúng ta th y có th là MH) đi qua Internet r ng l n ư ấ ể ộ ớ. - MoIPS xác đ nh vi c s d ng ki u xuyên đ ệ ị ệ ử ụ ể ườ ng h m giao th c an ầ ứ ninh đóng gói (ESP: Encapsulation Security Protocol) c a IPSec nh là ủ ư ph ươ ng pháp đ th c hi n các m c tiêu an ninh này. - So v i các giao th c nh n th c chúng ta đã nghiên c u trong các ch ớ ứ ậ ự ứ ươ ng tr ướ c cho các m ng t ong s thì MoIPS có s kh i đ u rõ ràng h n trong th ạ ổ ố ự ở ầ ơ ế gi i giao th c Internet ng ớ ứ ượ c v i các giao th c đ c quy n c a các m ng truy n ớ ứ ộ ề ủ ạ ề thông t ong. - MoIPS cung c p m t ví d t t nh t v ph ấ ộ ụ ố ấ ề ươ ng pháp khoá công c ng ộ chúng ta g p ph i đ i v i an ninh và nh n th c trong môi tr ặ ả ố ớ ậ ự ườ ng Mobile IP. - Nh chúng ta đã th y, t i m c giao th c Internet, MoIPS áp d ng bi n th ư ấ ạ ứ ứ ụ ế ể ESP c a IPSec và ISAKMP cùng v i Mobile IP. - Các m r ng đ nh tuy n ủ ớ ở ộ ị ế t i u t i Mobile IP đ ố ư ớ ượ c tr giúp. - Đ i v i các ch ng nh n s khoá công c ng, MoIPS s d ng đ c t X.509 ố ớ ứ ậ ố ộ ử ụ ặ ả Version 3 v i danh sách ch ng nh n revocation Version 2 (CRL: Certificate ớ ứ ậ Revocation List). - Đ i v i kho ch a ch ng nh n, nh ng ng ố ớ ứ ứ ậ ữ ườ i thi t k c a ế ế ủ MoIPS s d ng h th ng tên mi n (DNS: Domain Name System) Internet ử ụ ệ ố ề chu n. - Các CA m c th p h n ch u trách nhi m v m t kh i các đ a ch k ơ ứ ấ ơ ị ệ ề ộ ố ị ỉ ề nhau và phát hành các ch ng nh n MoIPS t i các th c th Mobile IP mà có ứ ậ ớ ự ể các đ a ch IP r i vào ph m vi đó (ch ng h n, t t c các node trên m t ị ỉ ơ ạ ẳ ạ ấ ả ộ m ng cho tr ạ ướ c s có kh năng đ ẽ ả ượ c ph c v b i cùng m t CA). - Các ch ng nh n cho các CH ch là m t yêu c u ị ứ ậ ỉ ộ ầ khi MoIPS tr giúp Mobile IP đ nh tuy n t i u hoá an toàn. - Trong các ch ng nh n MoIPS, đ a ch IP c a th c th đ ứ ậ ị ỉ ủ ự ể ượ ử ụ c s d ng nh ư tr ườ ng tên ch đ ch ng nh n cho các MH, FA, HA và các CH. - MoIPS s d ng thu t toán băm SHA-1 đ t o các ch ký s trên các ử ụ ậ ể ạ ữ ố ch ng nh n X.509. - Đ u ra ứ ầ sau đó đ ượ c s d ng trong quá trình nh n th c các b n tin đi u khi n ử ụ ậ ự ả ề ể Mobile IP b ng cách tr l i chu i đ u ra và b n tin đi u khi n thông qua ằ ả ạ ỗ ầ ả ề ể hàm HMAC.. - MoIPS s d ng các tr ử ụ ườ ng m r ng chính sách khoá trong các ch ng nh n ở ộ ứ ậ đ truy n thông tin c n cho đi u khi n truy nh p theo Mobile IP. - Ngoài ra, ngoài t m nh h ế ừ ớ ừ ớ ầ ả ưở ng c a MoIPS/Mobile IP có th thi t l p m t đ ủ ể ế ậ ộ ườ ng h m an ninh gi a MH ầ ữ. - ằ ấ ậ ầ ố ế ầ ố Các th c th Mobile IP ho t đ ng trong môi tr ự ể ạ ộ ườ ng MoIPS có th yêu c u ể ầ thi t l p các đ ế ậ ườ ng h m IPSec b ng cách thêm m t tr ầ ằ ộ ườ ng m r ng ch n ở ộ ọ đ ườ ng h m IPSec vào các b n tin Kh n nài tác nhân Mobile IP (Mobile IP ầ ả ẩ Agent Solicitation), Qu ng cáo tác nhân, và yêu c u đăng kí chu n. - (3) kh năng nh n th c các b n tin đăng kí Mobile IP đ ề ả ậ ự ả ượ c c u t o ấ ạ theo đ c t IETF thông qua các khoá phiên đ ặ ả ượ ạ c t o ra b i thu t toán khoá công ở ậ c ng đã đ ộ ượ c mô t trên. - và (4) vi c tích h p MH t i các đ ả ở ệ ợ ớ ườ ng h m CH ầ IPSec v i vi c đ nh h ớ ệ ị ướ ng l i các gói tin Mobile IP. - Module Mobile IP. - Module giao th c phát ứ hi n ch ng ệ ứ. - Module giao th c ứ qu n lý khoá ả &. - Hình 4.4: S đ kh i c a nguyên m u môi tr ơ ồ ố ủ ẫ ườ ng MoIPS. - Các ng d ng m c tiêu cho các phiên b n tăng c ứ ụ ụ ả ườ ng c a MoIPS g m ủ ồ vi c th c hi n m r ng các h tr IPSec và Mobile IP đ nh tuy n t i u hoá cho ệ ự ệ ở ộ ỗ ợ ị ế ố ư các m ng riêng o ch a các MH. - 4.7 T ng k t ch ổ ế ươ ng 4. - Ch ươ ng này đã nghiên c u m t ph m vi r ng các ph ứ ộ ạ ộ ươ ng pháp cho an ninh và nh n th c ng ậ ự ườ ử ụ i s d ng trong môi tr ườ ng Mobile IP. - Nh đ ư ượ c thi t ế l p v i Giao th c đăng kí Mobile IP, các ph ậ ớ ứ ươ ng pháp khoá công c ng đ i x ng ộ ố ứ có th đ ể ượ ử ụ c s d ng theo Mobile IPCũng đ ượ c nghiên c u trong ch ứ ươ ng này là Giao th c Sufatrio/Lam đ a ra m t ph ứ ư ộ ươ ng pháp “light-weight” cho nh n th c ậ ự ng ườ ử ụ i s d ng b ng cách s d ng vi c lai ghép hai k thu t m t mã đ i x ng và ằ ử ụ ệ ỹ ậ ậ ố ứ. - MoIPS vì v y không th th y s phát tri n c a nó trong các h th ng d a ứ ậ ể ấ ự ể ủ ệ ố ự trên Mobile IP th h th nh t. - Tuy nhiên, s liên k t ch t ch m t mã khoá ế ệ ứ ấ ự ế ặ ẽ ậ công c ng và m t PKI hoàn ch nh v i Mobile IP s đ a ra m t h ộ ộ ỉ ớ ẽ ư ộ ướ ng trong t ươ ng lai gi i quy t các v n đ l n v tính m r ng
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt