« Home « Kết quả tìm kiếm

Chương 4: Nhận thực và an ninh trong IP di dộng

Tóm tắt Xem thử

- CH ƯƠ NG 4: NH N TH C VÀ AN NINH TRONG IP DI Đ NG Ậ Ự Ộ (Mobile IP).
- T ng quan v Mobile IP ổ ề.
- Trong ki n trúc Internet hi n th i, giao th c Internet Version 4 ho c IPv4, ế ệ ờ ứ ặ Mobile IP là m t tuỳ ch n.
- Trong t ầ ổ ươ ng lai, IP Version 6 s h tr tính di đ ng ẽ ỗ ợ ộ nh m t ph n c a các giao th c Internet chung v i s th a nh n truy nh p ư ộ ầ ủ ứ ớ ự ừ ậ ậ Internet có dây cũng tr nên r t quan tr ng.
- 4.1.1 Các thành ph n logic c a Mobile IP ầ ủ.
- Các ph n t c a ki n trúc Mobile IP r t g n v i các khái ni m quen thu c ầ ử ủ ế ấ ầ ớ ệ ộ hi n nay trong m ng t ong s .
- Trên m ng nhà này, trong th gi i Mobile IP là m t h ộ ạ ạ ế ớ ộ ệ th ng ph n m m đ ố ầ ề ượ c g i là “Home Agent” (Tác nhân nhà) ch y trên m t node ọ ạ ộ m ng.
- H n n a, m i Mobile Host d ơ ữ ỗ ướ i Mobile IP có m t đ a ch logic c đ nh - ộ ị ỉ ố ị đ a ch giao th c Internet (hay đ a ch IP) c a nó trên m ng nhà – tuy r ng m i ị ỉ ứ ị ỉ ủ ạ ằ ỗ.
- D ướ i giao th c Mobile IP, khi Mobile Host chuy n vùng ra ngoài mi n ứ ể ề đi u khi n c a m ng nhà (dĩ nhiên nó có th t ề ể ủ ạ ể ươ ng tác v i m ng nhà c a nó ớ ạ ủ nh ng tr ư ườ ng h p này không quan tâm), nó có th thi t l p m t k t n i Internet ợ ể ế ậ ộ ế ố thông qua m ng con Internet khác có cung c p h tr IP.
- M t thành ph n khác trong s đ c a Mobile IP là máy đ i tác (CA: ộ ầ ơ ồ ủ ố Corresponding Host).
- Ki n trúc chung c a Mobile IP đ ế ủ ượ c minh ho trong ạ hình 4.1..
- Chú ý r ng các m ng bao g m HA và FA c n thi t ph i th c hi n Mobile ằ ạ ồ ầ ế ả ự ệ IP và có kh năng h tr di đ ng.
- Tuy nhiên, m t khía c nh then ch t c a Mobile ả ỗ ợ ộ ộ ạ ố ủ IP là CA và các thành ph n khác c a n n t ng Internet đ ầ ủ ề ả ượ c gi i thi u b i đám ớ ệ ở mây Internet trong s đ m ng không c n bi t gì v giao th c này.
- đ ườ ng h m ầ.
- D li u đ ữ ệ ượ c đ nh tuy n b ng cách ị ế ằ s d ng đ a ch m ng nhà ử ụ ị ỉ ạ.
- Hình 4.1: S đ minh ho các thành ph n then ch t c a ki n trúc Mobile IP.
- 4.1.2 Mobile IP – Nguy c v an ninh ơ ề.
- Nh m t s m r ng đ i v i giao th c Internet thông th ư ộ ự ở ộ ố ớ ứ ườ ng (IPv4), Mobile IP, nh m cung c p s h tr di đ ng cho chuy n vùng host, phát sinh các ằ ấ ự ỗ ợ ộ ể nguy c v an ninh.
- Trong th c t h u h t các nhà phân tích đ ng ý r ng nh ng ơ ề ự ế ầ ế ồ ằ ữ nguy c l n nh t mà Mobile IP g p ph i n m trong mi n an ninh.
- Nh trong ơ ớ ấ ặ ả ằ ề ư tr ườ ng h p m ng t ong s , các đo n n i vô tuy n gi a Mobile Host và FA d ợ ạ ổ ố ạ ố ế ữ ễ.
- John Zao và Matt Condell c a BBN xác đ nh hai lĩnh v c an ninh c th ủ ị ự ụ ể trong Mobile IP:.
- Các giao th c nh n th c ng ứ ậ ự ườ ử ụ i s d ng đ ượ c th o lu n trong ch ả ậ ươ ng này đ u quan tâm đ n hai nguy c an ninh này nh ng th c hi n theo các ph ề ế ơ ư ự ệ ươ ng pháp khác nhau..
- Các ph n t n n t ng môi tr ầ ử ề ả ườ ng nh n th c và an ninh ậ ự c a Mobile IP ủ.
- Giao th c Mobile IP xác đ nh vi c s d ng Các mã nh n th c b n tin ứ ị ệ ử ụ ậ ự ả (MAC.
- đ ượ c g i là “authenticator” (b nh n th c) theo cách nói đ c t nh n ọ ộ ậ ự ặ ả ậ th c Mobile IP - đ nh n th c và cung c p tính toàn v n d li u cho các b n tin ự ể ậ ự ấ ẹ ữ ệ ả đi u khi n đ ề ể ượ c trao đ i gi a Home Agent và Mobile Node.
- Trong khi MAC ổ ữ không đ ượ c u nhi m trong đ c t Mobile IP thì ph ỷ ệ ặ ả ươ ng pháp MAC có th cũng ể đ ượ c áp d ng cho các b n tin đ ụ ả ượ c trao đ i v i các đ u vào khác ch ng h n nh ổ ớ ầ ẳ ạ ư FA.
- ồ ả ả ế ậ ể ạ ộ ợ Giao th c Mobile IP xác đ nh MD5, theo mode ti n t thêm h u t (nghĩa là mã ứ ị ề ố ậ ố MAC đ ượ c g n vào c tr ắ ả ướ c và sau n i dung b n tin) nh là thu t toán t o MAC ộ ả ư ậ ạ m c đ nh.
- 4.2.1 An ninh IPSec.
- M t khái ni m n n t ng then ch t trong nh n th c và an ninh cho Mobile ộ ệ ề ả ố ậ ự IP và khái ni m v liên k t an ninh (SA: Security Association).
- Trong ậ ụ ố tr ườ ng h p truy n thông song h ợ ề ướ ng có th t n t i hai liên k t an ninh nh th ể ồ ạ ế ư ế v i m i liên k t đ nh nghĩa m t h ớ ỗ ế ị ộ ướ ng truy n thông.
- Các SA đ nh nghĩa t p các ề ị ậ d ch v IPSec nào (An ninh giao th c Internet) đ ị ụ ứ ượ c đ a vào t ng IP hay t ng ư ầ ầ m ng (Layer 3) trong ngăn x p giao th c Internet.
- B nh n d ng giao th c an ninh, nó xác đ nh liên k t an ninh áp d ng cho ộ ậ ạ ứ ị ế ụ Authentication Header (AD) hay đ i v i Encapsulating Security Payload (ESP).
- cho phép các thành ph n – Mobile Host, Home Agent, Foreign Agent và trong m t ầ ộ s tr ố ườ ng h p c Corresponding Host – trong m t phiên truy n thông Mobile IP ợ ả ộ ề ch n ch đ an ninh thích h p.
- 4.2.2 S cung c p các khoá đăng ký d ự ấ ướ i Mobile IP.
- Vì m t c s h t ng nh Mobile IP phát tri n r t nhanh nên không th ộ ơ ở ạ ầ ư ể ấ ể gi s r ng m t Mobile Host (MH) đang chuy n vùng s có b t kỳ liên k t tr ả ử ằ ộ ể ẽ ấ ế ướ c nào v i FA trên các m ng mà nó t m trú.
- Toàn b các h ộ ướ ng đi trong s phát tri n Mobile IP là đ hoàn thành b ự ể ể ướ c này thông qua c s h t ng khoá công c ng có th truy nh p toàn c u (PKI: ơ ở ạ ầ ộ ể ậ ầ Public-Key Infrastructure), nh ng vì ki n trúc này ch a có tính kh d ng r ng rãi ư ế ư ả ụ ộ nên vài b ướ c trung gian ph i đ ả ượ c th c hi n nh là m t gi i pháp chuy n ti p.
- FA và MH có th s d ng m t giao th c trao đ i khoá Diffie-Helman đ ể ử ụ ộ ự ổ ể thi t l p m t khoá đăng ký chung.
- Giao th c đăng ký Mobile IP c s ứ ơ ở.
- Giao th c đăng ký này c u ể ủ ề ị ệ ờ ủ ứ ấ thành m t thành ph n nh n th c quan tr ng trong th gi i Mobile IP.
- Giao th c đăng ký Mobile IP cung c p hai c ch đ ch ng l i các cu c ứ ấ ơ ế ể ố ạ ộ t n công l p l i (replay): c các tem th i gian và các nonce đ u đ ấ ặ ạ ả ờ ề ượ c h tr , và ỗ ơ các principal trong phiên truy n thông có th ch n gi a hai bi n th c a giao ề ể ọ ữ ế ể ủ th c này ph thu c vào cái nào chúng mu n s d ng.
- Trong mô t các ph n ứ ụ ộ ố ử ụ ả ở ầ nh d ỏ ướ i đây, chúng ta s phác th o giao th c đăng ký Mobile IP v i các tem th i ẽ ả ứ ớ ờ gian..
- 4.3.1 Các ph n t d li u và thu t toán trong giao th c đăng ký Mobile ầ ử ữ ệ ậ ứ IP.
- Các ph n t d li u then ch t và các thu t toán trong giao th c đăng ký ầ ử ữ ệ ố ậ ứ đ ượ c đ nh nghĩa b i đ c t Mobile IP nh sau: ị ở ặ ả ư.
- Trong h u h t các tr ạ ầ ế ườ ng h p, đi u này s t ợ ề ẽ ươ ng ng v i ứ ớ đ a ch IP c a FA.
- 4.3.2 Ho t đ ng c a Giao th c đăng ký Mobile IP ạ ộ ủ ứ.
- Các b ướ c chính khi th c thi giao th c đăng ký Mobile IP ti n hành nh ự ứ ế ư sau:.
- ử ụ ể ậ ữ ệ ề Hình 4.2 minh ho s trao đ i các b n tin trong Giao th c đăng ký Mobile IP.
- Hình 4.2: S đ phác th o s trao đ i các b n tin trong Giao th c đăng ơ ồ ả ự ổ ả ứ ký Mobile IP.
- H u h t giao th c Mobile IP t p trung vào truy n thông gi a ầ ế ứ ậ ề ữ Corresponding Host (CS) và Mobile Host v i m t gi đ nh ng m r ng CH n m ớ ộ ả ị ầ ằ ằ ở m t v trí c đ nh trong Internet.
- V n đ trong truy n thông gi a hai MH theo giao th c Mobile IP là v n ấ ề ề ữ ứ ấ đ “đ nh tuy n tay ba” (triangular routing) phát tri n nhanh.
- t ươ ng ng c a chúng.
- Theo s đ truy n thông MH-to-MH này, các c ch an ninh b o v ơ ồ ề ơ ế ả ệ ch ng l i c các MH gian l n l n các th c th mà n c danh c s h t ng m ng ố ạ ả ậ ẫ ự ể ặ ơ ở ạ ầ ạ nh m s p x p các đ ằ ắ ế ườ ng h m an toàn gi a các FA.
- Giao th c này yêu c u vài ả ế ơ ử ổ ị ứ ầ m c đ ng b th i gian gi a các agent, đ ứ ồ ộ ờ ữ ượ c th c hi n thông qua vi c s ự ệ ệ ử d ng RFC 1305 NTP.
- Nên chú ý r ng trong ph n này quan tâm ch y u đ n an ninh và nh n ằ ầ ủ ế ế ậ th c vì nó áp d ng cho s t ự ụ ự ươ ng tác gi a các HA, FA và External Agent trong ữ t ươ ng tác Mobile IP.
- Ph ươ ng pháp lai cho nh n th c theo giao th c Mobile IP ậ ự ứ.
- Nh n th c theo giao th c đăng ký c s trong Mobile IP đ ậ ự ứ ơ ở ượ c trình bày ở trên c n thi t ph i gi l i m t ph ầ ế ả ữ ạ ộ ươ ng pháp d a trên khoá công c ng.
- Trong m t tài li u năm ả ở ổ ứ ộ ệ 1999, Sufatrio và Kwok Yan Lam đã đ xu t m t khoá riêng lai, m t ph ề ấ ộ ộ ươ ng pháp khoá công c ng cho nh n th c theo Mobile IP đ ộ ậ ự ượ c thi t k đ gi i quy t ế ế ể ả ế v n đ tính m r ng mà không ph i thay đ i căn b n s trao đ i b n tin trong ấ ề ở ộ ả ổ ả ự ổ ả giao th c đăng ký Mobile IP.
- 4.5.1 Các ph n t d li u trong Giao th c nh n th c Sufatrio/Lam ầ ử ữ ệ ứ ậ ự Các ph n t d li u chính đ ầ ử ữ ệ ượ c s d ng trong Giao th c nh n ử ụ ứ ậ Sufatrio/Lam nh sau: ư.
- Cert HA , Cert FA (Certificates: Các ch ng nh n): ứ ậ Các ch ng nh n s c a HA ứ ậ ố ủ và FA t ươ ng ng.
- 4.5.2 Ho t đ ng c a giao th c nh n th c Sufatrio/Lam ạ ộ ủ ứ ậ ự.
- Giao th c nh n th c d a trên khoá công c ng t i thi u có liên quan đ n s ứ ậ ự ự ộ ố ể ế ự trao đ i b n tin d ổ ả ướ i đây gi a MH, FA và HA.
- MH s d ng khoá bí m t KS ử ụ ậ MH-HA đ đánh giá tính h p l ch ký trên b n tin ể ợ ệ ữ ả M4 (Đi u này làm cho giao th c Sufatrio/Lam tr thành m t thi t k lai khoá ề ứ ở ộ ế ế.
- S đ ho t đ ng c a giao th c ế ụ ề ủ ơ ồ ạ ộ ủ ứ Sufatrio/Lam xem hình 4.3..
- Theo giao th c Sufatrio/Lam, MH không ph i th c hi n đánh ớ ứ ả ự ệ giá ch ng nh n ho c ki m tra các revocation list, vì v y gi m gánh n ng x lý và ứ ậ ặ ể ậ ả ặ ử truy n thông trên kh i di đ ng.
- H th ng MoIPS: Mobile IP v i m t c s h t ng khoá ệ ố ớ ộ ơ ở ạ ầ công c ng đ y đ ộ ầ ủ.
- Khi truy nh p Internet phát tri n ngày càng m nh và khi có thêm nhi u t ậ ể ạ ề ổ ch c v n hành m ng mà ch a các MH ho c mu n cung c p các d ch v thông tin ứ ậ ạ ứ ặ ố ấ ị ụ qua c s h t ng Mobile IP thì c s h t ng khoá công c ng (PKI) tr nên h p ơ ở ạ ầ ơ ở ạ ầ ộ ở ấ d n h n.
- Đăng ký Mobile IP.
- Hình 4.3: S đ minh ho ho t đ ng c a giao th c Sufatrio/Lam cho ơ ồ ạ ạ ộ ủ ứ nh n th c trong môi tr ậ ự ườ ng Mobile IP.
- H th ng MoIPS có các d ch v an ninh phân ph i sau: (1) nh n th c các ệ ố ị ụ ố ậ ự b n tin đi u khi n Mobile IP trong c p nh t v trí, (2) áp d ng đi u khi n truy ả ề ể ậ ậ ị ụ ề ể nh p qua các MH mu n s d ng các tài nguyên trong m ng khách, và (3) cung ậ ố ử ụ ạ c p các đ ấ ườ ng h m an ninh cho các gói tin IP đ ầ ượ c đ nh h ị ướ ng l i.
- Nh n th c trong quá trình c p nh t v trí: ậ ự ậ ậ ị MoIPS h tr c giao th c ỗ ợ ả ứ Mobile IP c b n l n cái đ ơ ả ẫ ượ c g i là Mobile IP đ nh tuy n t i u hoá.
- Theo ọ ị ế ố ư Mobile IP đ nh tuy n t i u hoá, CS mà cung c p h tr di đ ng có th ị ế ố ư ấ ỗ ợ ộ ể.
- Theo MoIPS, m i đăng ký Mobile IP và c p nh t ư ệ ờ ỗ ậ ậ ràng bu c (là s thay đ i c a b n tin v trí đ ộ ự ổ ủ ả ị ượ c chuy n đ n CH) bao g m ể ế ồ m t đuôi nh n d ng 64-bit (identification tag) đ ngăn ch n các cu c t n ộ ậ ạ ể ặ ộ ấ công và m t ho c nhi u ph n m r ng nh n th c (authentication extension) ộ ặ ề ầ ở ộ ậ ự cung c p tính toàn v n d li u và nh n th c ban đ u thông qua vi c s ấ ẹ ữ ệ ậ ự ầ ệ ử d ng MAC đ ụ ượ ạ c t o b i hàm băm.
- Đ ườ ng h m an ninh các gói tin IP (Secure Tunneling of IP Packets): ầ Trong th gi i Mobile IP, các gói d li u di chuy n gi a các Mobile Node, ế ớ ữ ệ ể ữ FA, HA và CS (mà nh chúng ta th y có th là MH) đi qua Internet r ng l n ư ấ ể ộ ớ.
- MoIPS xác đ nh vi c s d ng ki u xuyên đ ệ ị ệ ử ụ ể ườ ng h m giao th c an ầ ứ ninh đóng gói (ESP: Encapsulation Security Protocol) c a IPSec nh là ủ ư ph ươ ng pháp đ th c hi n các m c tiêu an ninh này.
- So v i các giao th c nh n th c chúng ta đã nghiên c u trong các ch ớ ứ ậ ự ứ ươ ng tr ướ c cho các m ng t ong s thì MoIPS có s kh i đ u rõ ràng h n trong th ạ ổ ố ự ở ầ ơ ế gi i giao th c Internet ng ớ ứ ượ c v i các giao th c đ c quy n c a các m ng truy n ớ ứ ộ ề ủ ạ ề thông t ong.
- MoIPS cung c p m t ví d t t nh t v ph ấ ộ ụ ố ấ ề ươ ng pháp khoá công c ng ộ chúng ta g p ph i đ i v i an ninh và nh n th c trong môi tr ặ ả ố ớ ậ ự ườ ng Mobile IP.
- Nh chúng ta đã th y, t i m c giao th c Internet, MoIPS áp d ng bi n th ư ấ ạ ứ ứ ụ ế ể ESP c a IPSec và ISAKMP cùng v i Mobile IP.
- Các m r ng đ nh tuy n ủ ớ ở ộ ị ế t i u t i Mobile IP đ ố ư ớ ượ c tr giúp.
- Đ i v i các ch ng nh n s khoá công c ng, MoIPS s d ng đ c t X.509 ố ớ ứ ậ ố ộ ử ụ ặ ả Version 3 v i danh sách ch ng nh n revocation Version 2 (CRL: Certificate ớ ứ ậ Revocation List).
- Đ i v i kho ch a ch ng nh n, nh ng ng ố ớ ứ ứ ậ ữ ườ i thi t k c a ế ế ủ MoIPS s d ng h th ng tên mi n (DNS: Domain Name System) Internet ử ụ ệ ố ề chu n.
- Các CA m c th p h n ch u trách nhi m v m t kh i các đ a ch k ơ ứ ấ ơ ị ệ ề ộ ố ị ỉ ề nhau và phát hành các ch ng nh n MoIPS t i các th c th Mobile IP mà có ứ ậ ớ ự ể các đ a ch IP r i vào ph m vi đó (ch ng h n, t t c các node trên m t ị ỉ ơ ạ ẳ ạ ấ ả ộ m ng cho tr ạ ướ c s có kh năng đ ẽ ả ượ c ph c v b i cùng m t CA).
- Các ch ng nh n cho các CH ch là m t yêu c u ị ứ ậ ỉ ộ ầ khi MoIPS tr giúp Mobile IP đ nh tuy n t i u hoá an toàn.
- Trong các ch ng nh n MoIPS, đ a ch IP c a th c th đ ứ ậ ị ỉ ủ ự ể ượ ử ụ c s d ng nh ư tr ườ ng tên ch đ ch ng nh n cho các MH, FA, HA và các CH.
- MoIPS s d ng thu t toán băm SHA-1 đ t o các ch ký s trên các ử ụ ậ ể ạ ữ ố ch ng nh n X.509.
- Đ u ra ứ ầ sau đó đ ượ c s d ng trong quá trình nh n th c các b n tin đi u khi n ử ụ ậ ự ả ề ể Mobile IP b ng cách tr l i chu i đ u ra và b n tin đi u khi n thông qua ằ ả ạ ỗ ầ ả ề ể hàm HMAC..
- MoIPS s d ng các tr ử ụ ườ ng m r ng chính sách khoá trong các ch ng nh n ở ộ ứ ậ đ truy n thông tin c n cho đi u khi n truy nh p theo Mobile IP.
- Ngoài ra, ngoài t m nh h ế ừ ớ ừ ớ ầ ả ưở ng c a MoIPS/Mobile IP có th thi t l p m t đ ủ ể ế ậ ộ ườ ng h m an ninh gi a MH ầ ữ.
- ằ ấ ậ ầ ố ế ầ ố Các th c th Mobile IP ho t đ ng trong môi tr ự ể ạ ộ ườ ng MoIPS có th yêu c u ể ầ thi t l p các đ ế ậ ườ ng h m IPSec b ng cách thêm m t tr ầ ằ ộ ườ ng m r ng ch n ở ộ ọ đ ườ ng h m IPSec vào các b n tin Kh n nài tác nhân Mobile IP (Mobile IP ầ ả ẩ Agent Solicitation), Qu ng cáo tác nhân, và yêu c u đăng kí chu n.
- (3) kh năng nh n th c các b n tin đăng kí Mobile IP đ ề ả ậ ự ả ượ c c u t o ấ ạ theo đ c t IETF thông qua các khoá phiên đ ặ ả ượ ạ c t o ra b i thu t toán khoá công ở ậ c ng đã đ ộ ượ c mô t trên.
- và (4) vi c tích h p MH t i các đ ả ở ệ ợ ớ ườ ng h m CH ầ IPSec v i vi c đ nh h ớ ệ ị ướ ng l i các gói tin Mobile IP.
- Module Mobile IP.
- Module giao th c phát ứ hi n ch ng ệ ứ.
- Module giao th c ứ qu n lý khoá ả &.
- Hình 4.4: S đ kh i c a nguyên m u môi tr ơ ồ ố ủ ẫ ườ ng MoIPS.
- Các ng d ng m c tiêu cho các phiên b n tăng c ứ ụ ụ ả ườ ng c a MoIPS g m ủ ồ vi c th c hi n m r ng các h tr IPSec và Mobile IP đ nh tuy n t i u hoá cho ệ ự ệ ở ộ ỗ ợ ị ế ố ư các m ng riêng o ch a các MH.
- 4.7 T ng k t ch ổ ế ươ ng 4.
- Ch ươ ng này đã nghiên c u m t ph m vi r ng các ph ứ ộ ạ ộ ươ ng pháp cho an ninh và nh n th c ng ậ ự ườ ử ụ i s d ng trong môi tr ườ ng Mobile IP.
- Nh đ ư ượ c thi t ế l p v i Giao th c đăng kí Mobile IP, các ph ậ ớ ứ ươ ng pháp khoá công c ng đ i x ng ộ ố ứ có th đ ể ượ ử ụ c s d ng theo Mobile IPCũng đ ượ c nghiên c u trong ch ứ ươ ng này là Giao th c Sufatrio/Lam đ a ra m t ph ứ ư ộ ươ ng pháp “light-weight” cho nh n th c ậ ự ng ườ ử ụ i s d ng b ng cách s d ng vi c lai ghép hai k thu t m t mã đ i x ng và ằ ử ụ ệ ỹ ậ ậ ố ứ.
- MoIPS vì v y không th th y s phát tri n c a nó trong các h th ng d a ứ ậ ể ấ ự ể ủ ệ ố ự trên Mobile IP th h th nh t.
- Tuy nhiên, s liên k t ch t ch m t mã khoá ế ệ ứ ấ ự ế ặ ẽ ậ công c ng và m t PKI hoàn ch nh v i Mobile IP s đ a ra m t h ộ ộ ỉ ớ ẽ ư ộ ướ ng trong t ươ ng lai gi i quy t các v n đ l n v tính m r ng

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt