!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 136 http://www.ebook.edu.vn SVTH: Vũ Văn Trực CHƯƠNG 6. BẢO MẬT 6.1. Bảo mật mạng căn bản Bảo mật mạng nói chung là nhằm bảo vệ người dùng (bao gồm vị trí chính xác của người dùng) dữ liệu và lưu lượng truy cập đến từ các thành viên lưu lượng tín hiệu truy nhập và cũng là để bảo vệ các nhà điều hành mạng chống lại các thành viên sử dụng và đăng kí khơng thích hợp. Cơng cụ cơ bản trong bảo mật internet là sử dụ ng khố cơng khai và khố hệ thống cơ bản, hệ thống bảo vệ bằng tường lửa và mật khẩu. An ninh internet là rất quan trong và cực kỳ khó trong mạnh vệ tinh, nó bao gồm các tổ chức an ninh kinh tế chính tri khác nhau trên tồn thế giới. Và nó cũng bao gồm việc làm thế nào khi giao tiếp ra ngồi ( ví dụ như là máy tính người dùng và mạng) để làm được điều này thì cần hiểu rõ về các phần cứng và các giao thức trong mạng 6.1.1. Tiếp c ận bảo mật Mã hố bảo mật có thể được tiến hành bởi 2 phương pháp tiếp cận : • Tiếp cận layer to layer: Trong trường hợp này lớp máy tính (thường là lớp 3- lớp IP hoặc lớp 4 -lớp TCP và UDP)nhận một tập tin giải mã từ lớp trên, đóng gói tập tin trong một đơn vị giao thức dữ liệu (PDU), và mã hố tồn bộ khung trước khi gửi nó đến một phần khác, ở đó, lớp tương ứ ng của mỗi đối tượng sẽ giải mã PDU trước khi gửi chúng đến các lớp cao hơn. Tuy nhiên để làm được điều này thì các router trong mạng phải được cung cấp đầy đủ cách mã hố khung. • Tiếp cận end to end: Trong trường hợp này các tập tin sẽ được mã hố trực tiếp tại lớp ứng dụng bởi người dùng và tập tin đã được mã hố sẽ được gửi tới lớp thấp hơn. Đi ều đó có nghĩa là chỉ có phần tải trọng dữ liệu của khung sẽ được mã hố (khác với trường hợp trên là cả khung được mã hố) Ở trường hợp thứ 2, việc mã hố chỉ xảy ra một cách gián tiếp trên lưu lượng mạng, và điều này chỉ xảy ra khi mà thuật tốn mã hóa làm ảnh hưởng lên kích thước dữ liệu được truyền đi. Trường hợp này thì giống như thuật tốn băm hoặc RSA Trong trường hợp đầu thì loại mã hố này bao gồm cả phần mào đầu khung, vì vậy làm giảm hiệu quả truyền tải trọng dữ liệu. Đây là một loại cơ chế được bổ sung trong Ipv4 và Ipv6, nó khác với các cơ chế khác. Trong Ipv4 thì mã hố là một tuỳ chọn được kích hoạt trong trường “tuỳ chọn” của mào đầu (bit thứ 6 trong dãy 32 bit), trong Ipv6 nó bao gồm cả những phần tiêu đề mở rộng (từ trường tuỳ ch ọn được sử dụng trong Ipv6) của 64 bit. Một hệ quả khác có thể nảy sinh là khi mà thêm vào những tiêu đề và sự thay đổi kích thước khung làm xuất hiện các bản tin cho phiên trao đổi chìa khố và điều này thì khơng xảy ra trong điều kiện bình thường (ví dụ khơng có mã hố) !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 137 http://www.ebook.edu.vn SVTH: Vũ Văn Trực 6.1.2. Hàm băm đơn hướng Hàm Băm đơn hướng H(M) hoạt động trên bản tin M có độ dài tuỳ ý nó tạo ra một mã băm có độ dài cố định đầu ra h=H(M). Nhiều hàm làm thay đổi độ dài đầu vào và cho ngược trở lại đầu ra có độ dài cố định. • Cho M ta dễ dàng tính tốn ra h. • Cho h khó tìm ra được M • Cho M khó để tìm ra được bản tin M’ sao cho H(M)=H(M’) Sự khó khăn ở đây phụ thuộc vào mức độ bả o mật tại mỗi vị trí nhưng đa số các ứng dụng hiện nay xác định “độ khó” là cần 264 hoặc nhiều phép tính hơn nữa để giải. Các loại hàm hiện nay bao gồm MD4, MD5 và thuật tốn băm an tồn(SHA). Từ quan điểm mạng trên những thuật tốn này thường được sử dụng cho mục đích chứng thực. 6.1.3. Mật mã đối xứng(với khố bảo mật) Một thuật tốn mã hố v ới khố bí mật làm thay đổi bản tin M có độ dài tuỳ ý thành bản tin mã hố E k (M)=C có độ dài tương tự sử dụng khố k và biến đổi ngược lại (D k (M)) sử dụng cùng khố hình 6.1. Mã hóa Giải mã C Văn bản chuyển thành mã Mạng vệ tinh Bản tin M Khố bí mật K Bản tin M Khố bí mật K Hình 6.1 Hệ thống khố bí mật Thuật tốn này xác định những đặc tính sau: • D k (E k (M)) = M • Cho M và k dễ dàng tính tốn ra được C • Cho C và k dễ dàng tính tốn ra được M • Cho M và C thì khó tìm ra được k !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 138 http://www.ebook.edu.vn SVTH: Vũ Văn Trực Và tất nhiên trong trường hợp này rất khó khăn để tính tốn ra k vì với thuật tốn mã hố dữ liệu tiêu chuẩn (DES) k có độ dài 256bit và thuật tốn mã hố dữ liệu quốc tế (IDEA) thì k có độ dài 2128 bit. Những thuật tốn này thì được sử dụng cho mục đích “đóng gói bảo mật dữ liệu” trong mạng (ví dụ mã hố dữ liệu) và thường được sử dụng trong lĩnh vực thương mại điện tử. 6.1.4. Mật mã b ất đối xứng(với khố chung và riêng) Trái với trường hơp trước, những thuật tốn này sử dụng 2 khố khác nhau (hình 6.2) một khố e dùng để mã hố (gọi là khố cơng cộng) và một khố d dùng để giải mã (gọi là khố riêng). Hệ thống khố cơng cộng dành cho bảo mật Hệ thống khố cơng cộng dành cho chứng thực Hình 6.2 Hệ thống khố cơng cộng dành cho từng người và cho chứng thực Xác định C=E e (M) và M=D d (C) • D d (E e (M) =M • Cho M và e dễ dàng tính tốn được C !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 139 http://www.ebook.edu.vn SVTH: Vũ Văn Trực • Cho C và d dễ dàng tính tốn được M • Cho M và C khó tìm ra được e và d • Cho e khó tìm ra được d • Cho d khó tìm ra được e 2 khố này “độc lập” , khố mã hố có thể được biết rộng rãi đó là lý do vì sao nó được gọi là khố cơng khai, ngược lại khố riêng chỉ được biết để đối tượng giải mã bản tin . Thuật tốn phổ biến của loại này là RSA (được đặt tên của 3 nhà sáng lập là Rivest, Shamir and Adleman). những thuật tốn này được sử dụng phổ biến trong mã hố truyền (hình 6.2a) hoặ c dùng cho chứng thực (hình 6.2b) giữa 2 hoặc nhiều người muốn giao tiếp bằng phương pháp bảo mật. 6.2. Bảo mật nối mạng vệ tinh Thách thức bảo mật trong mơi trường mạng vệ tinh được coi là một trong những trở ngại chính để triển khai và phổ biến rộng rãi của truyền đa điểm IP vệ tinh và các ứng dụng đa phương tiện nói chung. Vấn đề chính đ ó là nghe trộm và hoạt động đột nhập ngày càng dễ dàng hơn trong mạng mặt đất cố định hoặc mạng di động do tính chất của vệ tinh là phát sóng. Thêm vào đó độ trễ lớn và tỷ lệ lỗi bit cao trong hệ thống vệ tinh là ngun nhân gây nên mất đồng bộ bảo mật mạng vệ tinh. Đây là một u cầu cần xem xét cẩn thận hệ thống mã hố để ngăn chặn sự xuống c ấp của QoS do xử lý mã hố. Một vấn đề nữa, đặc biệt là multicast (truyền đa điểm) là số lượng thành viên của nhóm multicast có thể sẽ rất lớn và có thể thay đổi thường xun. 6.2.1. IP security (IPsec) ở đây chúng ta chỉ thảo luận các vấn đề liên quan đến chũ đề bảo mật IP (IPSec). Giao thức bảo mật IP được sử dụng để cung cấp cách mã hố tương thích dựa trên dịch vụ bảo mật (ví dụ như bảo mật, chứng thực và tính tồn vẹn) tại lớp IP. Nó bao gồm giao thức chứng thực: chứng thực tiêu đề (AH), giao thức bảo mật: đóng gói bảo mật tải trọng (ESP) và nó cũng bao gồm việc thiết lập liên kết bảo mật internet và giao thức quản lý khố (ISAKMP). IP AH và ESP có thể được ứng dụng độc lập hoặc kết hơp với nhau. mỗi giao thức có th ể hoạt động trong một hoặc 2 chế độ: chế độ transport hoặc chế độ tunnel (hình 6.3). !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 140 http://www.ebook.edu.vn SVTH: Vũ Văn Trực Hình 6.3 Chế độ transport trong IPv4 Cơ chế bảo mật của giao thức là chỉ thiết lập lên lớp dữ liệu và thơng tin liên quan tới sự hoạt động của lớp IP như nội dung trong tiêu đề của IP thì khơng bảo vệ. Trong chế độ tunnel thì cả phía trên lớpgiao thức dữ liệu và phần tiêu đề của gói IP được bảo vệ hoặc đưa vào hầm thơng qua đóng gói. chế độ transport thì được dành cho bảo vệ end-to-end và chỉ có thể được triển khai bởi nguồn và đích host của gói dữ liệu IP ban đầu. Chế độ tunnel có thể được dùng giữa các tường lửa. Ipsec cho phép chúng ta xem xét bảo mật như là phát ra end-to-end, được quản lý bởi đối tượng sở hữu dữ liệu, điều này so sánh với bảo mật lớp liên kết dữ liệu mà được cung cấp bởi nhà điều hành vệ tinh hoặc nhà điều hành mạng. Bộ lọc cũng có thể được thiết lập bên trong các tường lửa để chặn một số gói IP vào mạng dựa trên địa chỉ IP và số cổng. Nó cũng có cơ chế bảo mật tại lớp transport như là secure socket layer (SSL) tại lớp liên kết hoặc lớp vật lý. Hình 6.4 Chế độ tunnelling(trong cả Ipv4 và Ipv6) 6.2.2. VPN vệ tinh (Satellite VPN) Một tường lửa bao gồm 2 router có khả năng lọc gói IP và cửa ngõ ứng dụng cho kiểm tra lớp cao như hình 6.5. !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 141 http://www.ebook.edu.vn SVTH: Vũ Văn Trực Hì nh 6.5 VPN trong vệ tinh Một cái ở đầu vào dùng để kiểm tra các gói vào và một ở đầu ra để kiểm tra gói đầu ra. Một cổng ứng dụng, giữa các router thực hiện thêm việc kiểm tra giao thức dữ liệu lớp cao bao gồm TCP, UDP, email, WWW và các ứng dụng dữ liệu khác. Đây là cấu hình nhằm đảm bảo khơng có bất cứ gói nào vào hay ra mà khơng phải thơng qua cổng ứng dụng. Bộ lọc gói được điều khiển bằng b ảng và kiểm tra các gói ngun. Cổng ứng dụng kiểm tra nội dung, kích thước bản tin và tiêu đề. IPSec được sử dụng để cung cấp sự bảo mật giữa các mạng cơng ty thơng qua mơi trường cơng cộng internet. 6.2.3. Bảo mật IP multicast Trong bảo mật IP multicast, một trong những vấn đề chính là đảm bảo rằng khố dùng để mã hố lưu lượng tất cả các thành viên của nhóm đều biết và chỉ có những thành viên này, đây là vấn đề then chố t của việc phân phối và quản lý khố. Kích thước và trạng thái của nhóm multicast có ảnh hưởng rất lớn đến hệ thống phân phối và quản lý khố, đặc biệt là các nhóm lớn. Có một số cấu trúc cho quản lý khố mà đang được nghiên cứu gần đây. Một mặt khác mà nghiên cứu cần đảm bảo rằng quản lý khố là có khả năng thay đổi đối với một nhóm q lớn trong multicast vệ tinh; một trong những cơ chế có triển vọng nhất là phân cấp khố hợp lý. Những khố này có thể dùng trong cấu trúc bảo mật như IPSec, nghiên cứu này đang được điều khiển chỉ đạo độc lập cho bất kỳ vệ tinh nào, nhưng kết quả dự kiến được áp dụng cho bảo mật hệ thống multicast IP vệ tinh. Để giải quyết vấn đề phức tạp trong cập nhật khố (rekey) tại những vùng có quy mơ lớ n, khái niệm phân cấp khố hợp lý (LKH) có thể được sử dụng như trong hình 6.6. Khố được tổ chức vào cấu trúc cây, mỗi người dùng thì được phân phối một chuỗi các khố cho phép một số trùng từ “lá” tới “gốc”. Người dùng có thể được nhóm lại dựa trên cây này đễ họ chia sẻ một số khố chung do đó một bản tin có thể được phát quảng bá để cập nhật các khố của một nhóm người dùng. !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 142 http://www.ebook.edu.vn SVTH: Vũ Văn Trực Phân cấp của khố Hình 6.6 Mơ hình của phân cấp khố hợp lý (LHK) !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 143 http://www.ebook.edu.vn SVTH: Vũ Văn Trực KẾT LUẬN Liên kết mạng IP qua hệ thống vệ tinh thế hệ sau cho phép liên kết các mạng mặt đất với nhau thơng qua hệ thống vệ tinh. Với những ưu thế về tính linh động, phạm vi hoạt động bao phủ trên tồn thế giới, dễ dàng triển khai đối với các vùng hải đảo xa xơi. Thêm vào đó do dựa trên cơng nghệ là IP sẵn có điều đó làm tăng khả năng bảo trì, quản lý, triển khai trên diện rộng, cơng nghệ ngày càng được cải tiến dẫn đến chất lượng của các dịch vụ do vệ tinh cung cấp ngày càng được cải tiến một cách đáng kể. Truyền thơng IP qua vệ tinh thực sự là một cơng nghệ đầy triển vọng phát triển trong tương lai. Trong phạm vi đồ án đã tìm hiểu một cách sơ lược về hệ thống vệ tinh, các đặc điểm cũng như cách thức hoạt động. Sau đó đồ án đã tìm hiểu về cơng nghệ IP một đặc trưng của mạng mặt đất, cách thức đóng gói, các giao thức dùng trong mạng vệ tinh như liên kết dữ liệu lớp cao (HDCL), giao thức điểm-điểm (PPP) và định tuyến trong mạng vệ tinh làm cho một gói tin có thể đến được đúng đích mà nó cần chuyển đến. Cuối cùng đồ án đề cập đến một vấn đề có thể nói là một thách thức lớn đối với tất cả các mạng khơng chỉ riêng mạng IP qua hệ thống vệ tinh đó là bảo mật. Đặc điểm của mạng vệ tinh chính là truyền bằng vơ tuyến cho nên khả năng nghe trộm dữ liệu cũng như xâm nhập vào mạng bất hợp pháp là rất lớn dẫn đến một u cầu bức thiết là bảo vệ tính riêng tư c ũng như tính tồn vẹn của dữ liệu được truyền đi. Trong giai đoạn hiện nay, khi xu hướng của mạng viễn thơng là IP hóa hay chuyển sang mạng thế hệ mới NGN. Một trong những ưu việt của NGN là tích hợp giữa cố định và di động. Vì vậy, trong tương lai IP-vệ tinh sẽ được ứng dụng cho điện thoại di động, các dịch vụ đa phương tiện. Khi đó, các dị ch vụ viễn thơng sẽ rất linh hoạt, kết hợp giữa truyền hình ảnh, số liệu và thoại. Đây cũng chính là hướng phát triển tiếp theo của để tài. Do kiến thức em còn hạn chế mà các vấn đề liên quan tới mạng vệ tinh khá rộng nên trong phạm vi đề tài khơng thể đề cập hết được và khơng thể tránh khỏi sai sót, em mong nhận được sự đóng góp ý kiến của các thầy và các bạn. Em chân thành c ảm ơn. !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 144 http://www.ebook.edu.vn SVTH: Vũ Văn Trực TÀI LIỆU THAM KHẢO [1].Zhili Sun, Satellite Networking: Principles and Protocols. [2].Linghang Fan, Haitham Cruickshank, Zhili Sun, IP Networking over Next- Generation Satellite Systems ,7-2007. [3].PGS.Ts. Nguyễn Bình, Lý Thuyết Thơng Tin, 2006. [4].Ths.Nguyễn Phạm Anh Dũng, Thơng Tin Vệ Tinh, 2007 [5].Nguyễn Quốc Tuấn, ISDN And Broadband ISDN With Frame Relay And ATM, 2002. [6].Website Tạp Chí Bưu Chính Viễn Thơng, www.tapchibcvt.gov.vn . . nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 143 http://www.ebook.edu.vn SVTH: Vũ Văn Trực KẾT LUẬN Liên kết mạng IP qua hệ thống vệ tinh thế hệ sau. án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 137 http://www.ebook.edu.vn SVTH: Vũ Văn Trực 6.1.2. Hàm băm đơn hướng Hàm Băm đơn hướng H(M) hoạt. !!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK! GVHD:Võ Trường Sơn 141 http://www.ebook.edu.vn SVTH: Vũ Văn Trực Hì nh 6.5 VPN trong vệ tinh Một cái ở đầu vào