ĐẠI HỌC THÁI NGUYÊN ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN KHOA CÔNG NGHỆ THÔNG TIN   VŨ ANH TUẤN VŨ ANH TUẤN GIẢI PHÁP NÂNG CAO ĐỘ AN NINH THÔNG TIN TRONG MẠNG LAN KHÔNG DÂY CHUẨN IEEE 802.11i Nghành: Khoa học máy tính GIẢI PHÁP NÂNG CAO ĐỘ AN NINH THÔNG TIN Mã số: 60.48.01 TRONG MẠNG LAN KHÔNG DÂY CHUẨN IEEE 802.11i LUẬN VĂN THẠC SĨ LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Người hướng dẫn khoa học: PGS.TS NGUYỄN VĂN TAM Thái Nguyên - 2009 Thái Nguyên - 2009 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn iv v DANH MỤC CÁC TỪ, KÝ HIỆU VIẾT TẮT AAA Authentication Authorization Audit AES Advanced Encryption Standard AP Access point BSS Basic Service Set CA Certificate Authority CCK Complimentary Code Keying CDMA Code Division Multiple Access CMSA/CD Carrier Sense Multiple Access with Collision Detection CRC Cyclic redundancy check CSMA/CA Carrier Sense Multiple Access with Collision Avoidance CTS Clear To Send DES Data Encryption Standard DFS Dynamic Frequency Selection DHCP Dynamic Host Configuration Protocol DOS Denial of service DRDOS Distributed Reflection DOS EAP Extensible Authentication Protocol EAPOL EAP Over LAN EAPOW EAP Over Wireless ESS Extended Service Set FHSS Frequency Hopping Spread Spectrum GPS Global Positioning System ICMP Internet Control Message Protocol ICV Intergrity Check Value IEEE Institute of Electrical and Electronics Engineers IPSec Internet Protocol Security ISDN Integrated Services Digital Network ISP Internet Service Provider IV Initialization Vector Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn LAN Local Area Network LLC Logical Link Control MAC Media Access Control MAN Metropolitan Area Network MIC Message Integrity Check OFDM Orthogonal Frequency Division OSI Open Systems Interconnection PAN Person Area Network PDA Personal Digital Assistant PEAP Protected EAP Protocol PKI Public Key Infrastructure QoS Quality of Service RADIUS Remote Access Dial-In User Service RFC Request For Comment RTS Request To Send SSID Service Set ID SSL Secure Sockets Layer SWAP Standard Wireless Access Protocol TCP Transmission Control Protocol TKIP Temporal Key Integrity Protocol TLS Transport Layer Security TPC Transmission Power Control UDP User Datagram Protocol UNII Unlicensed National Information Infrastructure VLAN Virtual LAN WAN Wide Area Network WEP Wired Equivalent Protocol WLAN Wireless LAN WPA Wi-fi Protected Access Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn i ii MỤC LỤC 2.1.2.1 Mạo danh, truy cập trái phép 20 2.1.2.2 Tấn công từ chối dịch vụ - DOS 21 Trang phụ bìa 2.1.2.3 Tấn công cưỡng đoạt điều khiển sửa đổi thông tin - Hijacking and Modification 23 Lời cam đoan Mục lục i 2.1.2.4 Dò mật từ điển - Dictionary Attack 25 Danh mục ký hiệu, chữ viết tắt iv 2.1.3 Tấn công kiểu chèn ép - Jamming attacks 26 Danh mục hình (hình vẽ, ảnh chụp, đồ thị ) vi 2.1.4 Tấn công theo kiểu thu hút - Man in the middle attacks 26 MỞ ĐẦU 2.2 An ninh mạng máy tính không dây 27 Nền tảng mục đích 2.2.1 Giải pháp an ninh WEP 28 Cấu trúc luận văn 2.2.2.1 Phương thức chứng thực 28 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG LAN KHÔNG DÂY CHUẨN IEEE 802.11 2.2.2.2 Phương thức mã hóa 29 1.1 Giới thiệu 2.2.2 Giải pháp an ninh WPA, WPA2 34 1.1.1 Ưu điểm mạng máy tính không dây 2.2.1.1 WPA - Wi-fi Protected Access 34 2.2.2.3 Các ưu, nhược điểm WEP 32 1.1.2 Hoạt động mạng máy tính không dây 2.2.2.2 WPA2 - Wi-fi Protected Access 35 1.1.3 Các mô hình mạng máy tính không dây CHƯƠNG 3: AN NINH MẠNG LAN KHÔNG DÂY CHUẨN 802.11i 36 1.2 Kiến trúc mạng LAN chuẩn IEEE 802.11 3.1 Tổng quan chuẩn IEEE 802.11i 36 1.2.1 Tầng vật lý mạng LAN không dây 3.1.1 TKIP 36 1.2.2 Tầng điều khiển truy nhập CSMA/CA 3.1.1.1 Khác biệt TKIP WEP 36 1.3 Các chuẩn 802.11 10 3.1.1.2 Véc tơ khởi tạo 39 1.3.1 Nhóm lớp vật lý PHY 11 3.1.1.3 Quá trình trộn khóa 39 1.3.2 Nhóm lớp liên kết liệu MAC 12 3.1.1.4 Mã kiểm tra toàn vẹn Michael 40 1.4 Các kiến trúc chuẩn 802.11 13 3.1.2 CCMP 41 1.4.1 Trạm thu phát - STA 13 3.1.2.1 Chế độ đếm kết hợp CBC-MAC 41 1.4.2 Điểm truy cập - AP 14 3.1.2.2 Quá tình hoạt động CCMP 43 1.4.3 Trạm phục vụ - BSS 14 3.1.3 802.1x 37 1.4.4 BSS độc lập - IBSS 15 3.1.3.1 Nguyên lý RADIUS Server 45 1.4.5 Hệ thống phân tán - DS 15 3.1.3.2 Giao thức chứng thực mở rộng EAP 47 1.4.6 Hệ thống phục vụ mở rộng - ESS 15 3.2 Thuật toán mã hoá sử dụng chuẩn IEEE 802.11i 57 1.4.7 Mô hình thực tế 16 3.2.1 Giới thiệu 57 CHƯƠNG 2: AN NINH MẠNG LAN KHÔNG DÂY 17 3.2.2 Mô tả thuật toán 57 2.1 Các kiểu công mạng không dây 17 3.2.3 Tối ưu hóa 61 2.1.1 Tấn công bị động - Passive attacks 17 3.2.4 Khả an toàn 61 2.1.2 Tấn công chủ động - Active attacks 19 3.2.5 Kết luận 61 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn -1- iii 3.3 Triển khai an ninh mạng LAN không dây chuẩn 802.11i 63 3.3.1 Mô tả toán 63 MỞ ĐẦU 3.3.2 Thiết kế sơ đồ mạng 63 3.3.3 Cấu hình bảo mật 63 3.3.4 Thử nghiệm an ninh 66 Nền tảng mục đích KẾT LUẬN 67 Khi thiết kế yêu cầu kỹ thuật cho mạng không dây, chuẩn 802.11 TÀI LIỆU THAM KHẢO 68 IEEE có tính đến vấn đề bảo mật liệu đường truyền qua phương thức mã hóa Trong đó, phương thức WEP đa số nhà sản xuất thiết bị không dây hỗ trợ phương thức mặc định bảo mật không dây Tuy nhiên, phát gần điểm yếu chuẩn 802.11 WEP cho thấy WEP chế bảo mật toàn diện cho mạng WLAN Giải pháp khác Wi-Fi Alliance đưa gọi Wi-Fi Protected Access (WPA) Một cải tiến quan trọng WPA sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol) WPA sử dụng thuật toán RC4 WEP, mã hoá đầy đủ 128 bit Và đặc điểm khác WPA thay đổi khoá cho gói tin nên hacker không thu thập đủ liệu mẫu để tìm mật Tuy nhiên, WPA không hỗ trợ thiết bị cầm tay máy quét mã vạch Điều có nghĩa kĩ thuật TKIP WPA giải pháp tạm thời, chưa cung cấp phương thức bảo mật cao Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2 WPA2 hệ thứ hai WPA, tương thích ngược với sản phẩm hỗ trợ WPA Kiểu mã hoá bảo mật WPA2 sử dụng thuật toán mã hoá mạnh mẽ gọi Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, 192 bit 256 bit Sự chuyển đổi sang 802.11i mã hoá AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES (Digital Encryption Standard) Mục đích đề tài tìm hiểu chung an ninh chuẩn IEEE 802.11, Giải pháp sử dụng chuẩn mật mã AES bảo đảm tính mật tính toàn vẹn khung tin WLAN Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn -2- -3- Cấu trúc luận văn CHƢƠNG I: Ngoài phần mở đầu kết luận, nội dung luận văn bố cục sau: TỔNG QUAN VỀ MẠNG LAN KHÔNG DÂY Chương 1: Trình bày tổng quan mạng LAN không dây chuẩn 802.11i CHUẨN IEEE 802.11 Chương 2: Trình bày an ninh mạng LAN không dây, kiểu công an ninh mạng LAN không dây Chương 3: An ninh mạng LAN không dây chuẩn 802.11i, trình bày thuật toán mã hóa sử dụng chuẩn IEEE 802.11i triển khai 1.1 Giới thiệu Thuật ngữ “mạng máy tính không dây” nói đến công nghệ cho phép hai hay nhiều máy tính giao tiếp với dùng giao thức mạng chuẩn không Cuối tài liệu tham khảo cần dây cáp mạng Nó hệ thống mạng liệu linh hoạt thực mở rộng lựa chọn cho mạng máy tính hữu tuyến ( hay gọi mạng có dây) Các mạng máy tính không dây sử dụng sóng điện từ không gian (sóng vô tuyến sóng ánh sáng) thu, phát liệu qua không khí, giảm thiểu nhu cầu kết nối dây Vì vậy, mạng máy tính không dây kết hợp liên kết liệu với tính di động người sử dụng Công nghệ bắt nguồn từ số chuẩn công nghiệp IEEE 802.11 tạo số giải pháp không dây có tính khả thi kinh doanh, công nghệ chế tạo, trường đại học… mà mạng hữu tuyến thực Ngày nay, mạng máy tính không dây trở nên quen thuộc hơn, công nhận lựa chọn kết nối đa cho phạm vi lớn khách hàng kinh doanh 1.1.1 Ƣu điểm mạng máy tính không dây Mạng máy tính không dây nhanh chóng trở thành mạng cốt lõi mạng máy tính phát triển vượt trội Với công nghệ này, người sử dụng truy cập thông tin dùng chung mà tìm kiếm chỗ để nối dây mạng, mở rộng phạm vi mạng mà không cần lắp đặt di chuyển dây Các mạng máy tính không dây có ưu điểm hiệu suất, thuận lợi, cụ thể sau: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn -4- -5- - Tính di động : người sử dụng mạng máy tính không dây truy Trong cấu hình mạng máy tính không dây tiêu chuẩn, thiết bị thu/phát nhập nguồn thông tin nơi Tính di động tăng suất tính (bộ thu/phát) gọi điểm truy cập, nối với mạng hữu tuyến từ vị trí kịp thời thỏa mãn nhu cầu thông tin mà mạng hữu tuyến có cố định sử dụng cáp tiêu chuẩn Chức tối thiểu điểm truy cập thu, làm - Tính đơn giản: lắp đặt, thiết lập, kết nối mạng máy tính không dây dễ dàng, đơn giản tránh việc kéo cáp qua tường trần nhà - Tính linh hoạt : triển khai nơi mà mạng hữu tuyến triển khai đệm, phát liệu mạng máy tính không dây sở hạ tầng mạng hữu tuyến Một điểm truy cập đơn hỗ trợ nhóm nhỏ người sử dụng thực chức phạm vi từ trăm đến vài trăm feet Điểm truy cập (hoặc anten gắn vào điểm truy cập) thường đặt cao - Tiết kiệm chi phí lâu dài : Trong đầu tư cần thiết ban đầu phần cứng mạng máy tính không dây cao chi phí phần cứng đặt chỗ miễn đạt vùng phủ sóng mong muốn Những người sử dụng truy cập vào mạng máy tính không dây thông qua mạng hữu tuyến toàn phí tổn lắp đặt chi phí thời gian tồn có thích ứng máy tính không dây Card mạng không dây vi máy thể thấp đáng kể Chi phí dài hạn có lợi môi trường động cần tính, máy Palm, PDA Các thích ứng máy tính không dây cung cấp giao phải di chuyển thay đổi thường xuyên diện hệ thống điều hành mạng (NOS – Network Operation System) máy - Khả vô hướng : mạng máy tính không dây cấu hình theo topo khác để đáp ứng nhu cầu ứng dụng lắp đặt cụ thể Các khách sóng không gian qua anten Bản chất kết nối không dây suốt hệ điều hành mạng cấu hình dễ dàng thay đổi từ mạng ngang hàng thích hợp cho số lượng nhỏ người sử dụng đến mạng có sở hạ tầng đầy đủ dành cho hàng nghìn người sử dụng mà có khả di chuyển vùng rộng 1.1.3 Các mô hình mạng máy tính không dây a Kiểu Ad – hoc Mỗi máy tính mạng giao tiếp trực tiếp với thông qua thiết bị 1.1.2 Hoạt động mạng máy tính không dây Các mạng máy tính không dây sử dụng sóng điện từ không gian (vô tuyến ánh sáng) để truyền thông tin từ điểm tới điểm khác Các sóng vô tuyến card mạng không dây mà không dùng đến thiết bị định tuyến hay thu phát không dây thường xem sóng mang vô tuyến chúng thực chức cung cấp lượng cho máy thu xa Dữ liệu phát điều chế Wireless Station Wireless Station sóng mang vô tuyến (thường gọi điều chế sóng mang nhờ thông tin phát) cho khôi phục xác máy thu Nhiễu sóng mang vô tuyến tồn không gian, thời điểm mà không can nhiễu lẫn sóng vô tuyến phát tần số vô tuyến khác Để nhận lại liệu, máy thu vô tuyến thu tần số vô Wireless Station Wireless Station Hình 1.1: Mô hình mạng Ad - hoc ( hay mạng ngang hàng ) tuyến máy phát tương ứng b Kiểu Infrastructure Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn -6- -7- Các máy tính hệ thống mạng sử dụng nhiều thiết bị định kênh cụ thể thời điểm Trong máy thu nhẩy tần, mã giả ngẫu tuyến hay thiết bị thu phát để thực hoạt động trao đổi liệu với nhiên phát nội sử dụng để đồng tần số tức thời máy thu hoạt động khác với máy phát Tại thời điểm nào, tín hiệu nhẩy tần chiếm kênh đơn tương đối hẹp Nếu tốc độ thay đổi tần số sóng mang lớn nhiều so với 1.2 Kiến trúc mạng LAN chuẩn IEEE 802.11 tốc độ ký tự hệ thống coi hệ thống nhẩy tần nhanh Nếu kênh thay đổi tốc độ nhỏ tốc độ ký tự hệ thống gọi 1.2.1 Tầng vật lý mạng LAN không dây nhẩy tần chậm Hầu hết mạng LAN không dây sử dụng công nghệ trải phổ Điều chế trải phổ trải lượng tín hiệu độ rộng băng tần truyền dẫn lớn nhiều so với độ rộng băng tần cần thiết tối thiểu Điều trái với mong muốn bảo toàn độ rộng băng tần trình trải phổ làm cho tín hiệu bị nhiễu điện từ nhiều so với kỹ thuật điều chế vô tuyến thông thường Truyền dẫn khác nhiễu điện từ thường băng hẹp gây can nhiễu với phần nhỏ tín hiệu trải phổ, gây nhiễu lỗi nhiều máy thu giải điều chế tín hiệu Điều chế trải phổ không hiệu độ rộng băng tần sử dụng người sử dụng Tuy nhiên, nhiều người sử dụng dùng chung độ rộng băng tần phổ mà không can nhiễu với nhau, hệ thống trải phổ trở nên có hiệu độ rộng băng tần môi trường nhiều người sử dụng Điều chế trải phổ sử dụng hai phương pháp trải tín hiệu băng tần rộng hơn: trải phổ Hình 1.2: Mô hình nhảy tần CABED Một hệ thống nhẩy tần cung cấp mức bảo mật, đặc biệt sử dụng số lượng lớn kênh, máy thu vô tình chuỗi giả ngẫu nhiên chuỗi trực tiếp trải phổ nhẩy tần khe tần số phải dò lại nhanh chóng để tìm tín hiệu mà họ muốn nghe trộm Ngoài ra, a Trải phổ nhẩy tần FHSS – Frequency Hopping Spread Spectrum tín hiệu nhảy tần hạn chế fading, sử dụng mã hóa điều khiển lỗi Trong trải phổ nhẩy tần, tín hiệu liệu người sử dụng điều chế với xen kẽ để bảo vệ tín hiệu nhẩy tần khỏi suy giảm rõ rệt xảy tín hiệu sóng mang Các tần số sóng mang người sủ dụng riêng biệt trình nhẩy tần Việc mã hóa điều khiển lỗi xen kẽ được làm cho khác theo kiểu giả ngẫu nhiên kênh băng rộng Dữ kết hợp để tránh kênh xóa bỏ hai hay nhiều người sử dụng phát liệu số tách thành cụm liệu kích thước giống phát kênh thời điểm tần số sóng mang khác Độ rộng băng tần tức thời cụm truyền dẫn nhỏ nhiều so với toàn độ rộng băng tần trải phổ Mã giả ngẫu nhiên thay đổi tần số sóng mang người sử dụng, ngẫu nhiên hóa độ chiếm dụng kênh Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn -8- -9- b Trải phổ trực tiếp DSSS – Direct Sequence Spread Spectrum Trải phổ chuỗi trực tiếp kết hợp tín hiệu liệu trạm gửi với chuỗi c Kỹ thuật OFDM – Orthogonal Frequency Division Multiplexing OFDM công nghệ đời từ nhiều năm trước đây, từ năm bit tốc độ liệu cao nhiều, mà nhiều người xem chipping code (còn 1960, 1970 người ta nghiên cứu tượng nhiễu xẩy kênh, gọi gain xử lý) Một gain xử lý cao làm tăng khả chống nhiễu tín thực trở nên phổ biến năm gần nhờ phát triển hiệu Gain xử lý tuyến tính tối thiểu mà FCC – Federal Communications công nghệ xử lý tín hiệu số OFDM đưa vào áp dụng cho công nghệ Commission cho phép 10, hầu hết sản phẩm khai thác 20 Nhóm làm truyền thông không dây băng thông rộng nhằm khắc phục số nhược điểm việc Viện nghiên cứu điện-điện tử IEEE - Institute of Electrical and Electronics tăng khả băng thông cho công nghệ mạng không dây, áp dụng cho Engineers đặt gain xử lý tối thiểu cần thiết 802.11 11 chuẩn IEEE 802.11a chuẩn ETSI HiperLAN/2, áp dụng cho công nghệ phát thanh, truyền hình nước Châu Âu Hình 1.4: Phương thức điều chế OFDM OFDM phương thức điều chế đa sóng mang chia thành nhiều Hình 1.3: Hoạt động trải phổ chuỗi trực tiếp Hình cho thấy ví dụ hoạt động trải phổ chuỗi trực tiếp Một chipping code biểu thị bit liệu logic Khi luồng liệu phát, mã tương ứng gửi Ví dụ, truyền dẫn bit liệu dẫn đến chuỗi 00010011100 gửi Nhiều sản phẩm trải phổ chuỗi trực tiếp thị trường sử dụng nhiều luồng liệu với nhiều sóng mang khác (hay gọi kênh hẹp) truyền kênh chính, luồng chiếm tỷ lệ liệu nhỏ Sau bên thu nhận liệu, tổng hợp nhiều luồng để ghép lại tin ban đầu Nguyên lý hoạt động phương thức giống công nghệ CDMA 1.2.2 Tầng điều khiển truy nhập CSMA/CA kênh khu vực, nhiên số kênh khả dụng bị hạn chế Với chuỗi trực tiếp, nhều sản phẩm hoạt động kênh riêng biệt cách chia băng tần số thành kênh tần số không gối Điều cho phép số mạng riêng biệt a Cơ chế CSMA-CA Nguyên tắc truy cập chuẩn 802.11 sử dụng chế CSMA- hoạt động mà không can nhiễu lẫn Tuy nhiên, độ rộng băng tần phải đủ để CA viết tắt Carrier Sense Multiple Access Collision Avoidance – Đa truy cập điều tiết tốc độ liệu cao, có số kênh sử dụng sóng mang phòng tránh xung đột Nguyên tắc gần giống nguyên tắc CSMA-CD (Carrier Sense Multiple Access Collision Detect) chuẩn 802.3 (cho Ethernet) Điểm khác CSMA-CA truyền liệu bên Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 10 - - 11 - sẵn sàng nhận không truyền, nhận liệu khác lúc đó, gọi hội tụ quan trọng cho việc thiết kế cài đặt mạng LAN thời gian nguyên tắc LBT listening before talking – nghe trước nói qua Trước gói tin truyền đi, thiết bị không dây kiểm tra xem có thiết bị khác truyền tin không, truyền, đợi đến thiết bị truyền xong truyền Để kiểm tra việc thiết bị truyền xong chưa, “đợi” hỏi “thăm dò” đặn sau khoảng thời gian định 802.11 chuẩn họ IEEE 802.x bao gồm họ giao thức truyền tin qua mạng không dây Chuẩn 802.11 chủ yếu cho việc phân phát MSDU (đơn vị liệu dịch vụ MAC ) kết nối LLC (điều khiển liên kết logic ) Chuẩn 802.11 chia làm hai nhóm: nhóm lớp vật lý PHY nhóm lớp liên kết liệu MAC b Cơ chế RTS/CTS Để giảm thiểu nguy xung đột thiết bị truyền thời điểm, người ta sử dụng chế RTS/CTS – Request To Send/ Clear To Send Ví dụ AP muốn truyền liệu đến STA, gửi khung RTS đến STA, STA nhận tin gửi lại khung CTS, để thông báo sẵn sàng nhận liệu từ AP, đồng thời không thực truyền liệu với thiết bị khác AP truyền xong cho STA Lúc thiết bị khác nhận thông báo tạm ngừng việc truyền thông tin đến STA Cơ chế RTS/CTS đảm bảo tính sẵn sàng điểm truyền liệu ngăn chặn nguy xung đột truyền liệu c Cơ chế ACK 1.3.1 Nhóm lớp vật lý PHY a Chuẩn 802.11b 802.11b chuẩn đáp ứng đủ cho phần lớn ứng dụng mạng Với giải pháp hoàn thiên, 802.11b có nhiều đặc điểm thuận lợi so với chuẩn không dây khác Chuẩn 802.11b sử dụng kiểu trải phổ trực tiếp DSSS, hoạt động dải tần 2,4 GHz, tốc độ truyền liệu tối đa 11 Mbps kênh, tốc độ thực tế khoảng từ 4-5 Mbps Khoảng cách lên đến 500 mét môi trường mở rộng Khi dùng chuẩn tối đa có 32 người dùng / điểm truy cập Đây chuẩn chấp nhận rộng rãi giới trỉên khai ACK – Acknowledging chế thông báo lại kết truyền liệu Khi bên nhận nhận liệu, gửi thông báo ACK đến bên gửi báo nhận tin Trong tình bên gửi không nhận ACK coi bên mạnh công nghệ sử dụng dải tần đăng ký cấp phép phục vụ cho công nghiệp, dịch vụ, y tế Nhược điểm 802.11b họat động dải tần 2,4 GHz trùng với dải tần nhận chưa nhận tin gửi lại tin Cơ chế nhằm giảm bớt nhiều thiết bị gia đình lò vi sóng , điện thoại mẹ nên bị nguy bị liệu truyền điểm nhiễu b Chuẩn 802.11a 1.3 Các chuẩn 802.11 IEEE (Institute of Electrical and Electronic Engineers) tổ chức tiên phong lĩnh vực chuẩn hóa mạng LAN với đề án IEEE 802 tiếng bắt đầu triển khai từ năm 1980 kết hàng loạt chuẩn thuộc họ IEEE 802.x đời, tạo nên Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Chuẩn 802.11a phiên nâng cấp 802.11b, hoạt động dải tần GHz , dùng công nghệ trải phổ OFDM Tốc độ tối đa từ 25 Mbps đến 54 Mbps kênh, tốc độ thực tế xấp xỉ 27 Mbps, dùng chuẩn tối đa có 64 người dùng / điểm truy cập Đây chuẩn chấp nhận rộng rãi giới Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 12 - - 13 - c Chuẩn 802.11g Đây tài liệu khuyến nghị nhà sản xuất để Access Point Các thiết bị thuộc chuẩn hoạt động tần số với chuẩn 802.11b 2,4 nhà sản xuất khác làm việc với Điều quan trọng Ghz Tuy nhiên chúng hỗ trợ tốc độ truyền liệu nhanh gấp lần so với chuẩn quy mô mạng lưới đạt đến mức đáng kể Khi đáp ứng việc kết nối 802.11b với phạm vi phủ sóng, độ truyền liệu tối đa lên đến mạng không dây liên quan, liên xí nghiệp có nhiều khả không dùng 54 Mbps, tốc độ thực tế khoảng 7-16 Mbps Chuẩn 802.11g sử dụng phương chủng loại thiết bị pháp điều chế OFDM, CCK – Complementary Code Keying PBCC – Packet Binary Convolutional Coding Các thiết bị thuộc chuẩn 802.11b 802.11g hoàn toàn tương thích với Tuy nhiên cần lưu ý bạn trộn lẫn thiết bị hai chuẩn với thiết bị hoạt động theo chuẩn có tốc độ thấp Đây chuẩn hứa hẹn tương lai chưa chấp thuận rộng rãi giới d Chuẩn 802.11h Tiêu chuẩn bổ xung số tính cho lớp MAC nhằm đáp ứng quy định châu Âu dải tần 5GHz Châu Âu quy định sản phẩm dùng dải tần GHz phải có tính kiểm soát mức lượng truyền dẫn TPC Transmission Power Control khả tự động lựa chọn tần số DFS - Dynamic Frequency Selection Lựa chọn tần số Access Point giúp làm giảm đến mức tối 1.3.2 Nhóm lớp liên kết liệu MAC thiểu can nhiễu đến hệ thống radar đặc biệt khác a Chuẩn 802.11d e Chuẩn 802.11i Chuẩn 802.11d bổ xung số tính lớp MAC nhằm phổ biến Đây chuẩn bổ xung cho 802.11 a, b, g nhằm cải thiện mặt an ninh cho WLAN toàn giới Một số nước giới có quy định chặt chẽ tần mạng không dây An ninh cho mạng không dây giao thức có tên WEP, số mức lượng phát sóng 802.11d đời nhằm đáp ứng nhu cầu 802.11i cung cấp phương thức mã hóa thủ tục xác nhận, chứng Tuy nhiên, chuẩn 802.11d trình phát triển chưa chấp thực có tên 802.1x Chuẩn giai đoạn phát triển nhận rộng rãi chuẩn giới 1.4 Các kiến trúc chuẩn 802.11 b Chuẩn 802.11e Đây chuẩn áp dụng cho 802.11 a,b,g Mục tiêu chuẩn nhằm cung cấp chức chất lượng dịch vụ - QoS cho WLAN Về mặt kỹ thuật, 1.4.1 Trạm thu phát - STA STA – Station, trạm thu/phát sóng Thực chất thiết bị không dây 802.11e bổ xung số tính cho lớp MAC Nhờ tính này, kết nối vào mạng máy vi tính, máy Palm, máy PDA, điện thoại di động, vv WLAN 802.11 tương lại không xa cung cấp đầy đủ dịch vụ với vai trò phần tử mô hình mạng ngang hàng Pear to Pear Client voice, video, dịch vụ đòi hỏi QoS cao Chuẩn 802.11e mô hình Client/Server Trong phạm vi đồ án đề cập đến thiết bị không qua trình phát triển chưa thức áp dụng toàn giới dây máy vi tính (thường máy xách tay máy để bàn có card mạng kết nối không dây) Có trường hợp đồ án gọi thiết bị không dây STA, c Chuẩn 802.11f có lúc Client, có lúc gọi trực tiếp máy tính xách tay Thực cách gọi tên khác cho phù hợp với tình đề cập Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 40 - - 41 - Pha thứ hai trình trộn khóa thực việc tính toán cho khung tin countermeasure thực việc ngắt kết nối vòng 60 giây tiếp gửi Pha lấy giá trị sinh từ pha một, khóa phiên theo thời gian 16 bit cuối theo Việc ngắt kết nối khiến cho kẻ công thực véc tơ khởi tạo TKIP làm giá trị đầu vào Sau trình tính toán, khóa RC4 cách nhanh chóng Mạc dù 802.11 quy định thời gian phản ứng mã sinh có độ dài 128 bit Toàn khóa RC4 chuyển xuống cho WEP MIC sai 60 giây, số nhà sản xuất cho phép cấu hình lại thực việc mã hóa gửi khung tin khoảng thời gian  Các trạm xóa khóa nhớ yêu cầu khóa từ phía 3.1.1.4 Mã kiểm tra toàn vẹn Michael Để thay cho mã kiểm tra toàn vẹn CRC vốn dễ bị công, TKIP sử dụng phận xác thực Bộ phận xác thực sã thực việc sinh lại phân phối thuật toán Michael để tạo mã toàn vẹn cho thông điệp khóa cho bên Được phát triển Neils Ferguson với mục đích xây dựng thuật toán tạo Thuật toán Michael cung cấp mức độ an ninh 20 bit Theo đó, sau khoảng 219 mã kiểm tra toàn vẹn phục vụ cho TKIP, thuật toán Michael sử dụng phép lần, kẻ công giả mạo giá trị MIC Với giá trị mạng toán bit tráo đổi, dịch chuyển loại trừ nên việc áp dụng không gây ảnh hưởng tới 802.11b có khả truyền 212 gói tin giây, kẻ công khoảng lực xử lý thấp phần cứng trước phút để thu giá trị MIC giả mạo hợp lệ Tuy nhiên, chế phản ứng MIC Thuật toán Michael thực việc tính toán tầng trước khung tin sai cho phép tối đa gói tin giả mạo phút, thời gian để kẻ chuyển cho tầng MAC Thuật toán sử dụng khóa có độ dài 64 bit, thực công tạo gói tin giả mạo có MIC hợp lệ 218 phút (tương đương tính toán khối 32 bit toàn nội dung thông điệp Trước thực hiện, tháng) Do chế phản ứng MIC sai gọi an toàn với kiểu công giả thuật toán nối byte có giá trị 0x5a từ đến byte có giá trị vào đuôi mạo thông điệp thông điệp để đảm bảo nội dung tính toán bội số Sau tính toán, mã MIC có độ dài byte, nối vào đuôi gói tin MSDU trước truyền liệu Dữ liệu truyền bị chia nhỏ, nhiên phía nhận, mã MIC Nhận không an toàn chuẩn WEP, nhóm chuẩn hóa lựa chọn thuật toán mã hóa cho chuẩn thay WEP Thuật toán mã hóa AES (Advance tính toán khung tin tập hợp lại Tuy nhiên nhận thấy mã kiểm tra MIC chưa đủ để chống chọi lại khả bị công, chuẩn 802.11i đưa thêm vào bước gọi Michael Countermeasure (tạm dịch Phản ứng mã MIC sai) Quy trình thực sau:  Mỗi phát mã MIC sai, giá trị đánh dấu ghi lại Tuy nhiên trước kiểm tra toàn vẹn, khung tin phải qua hai trình: kiểm tra toàn vẹn WEP kiểm tra chống công replay TKIP Do đó, lỗi MIC coi nghiêm trọng cần can thiệp quản trị viên hệ thống  Nếu 60 giây, hệ thống bắt gặp mã MIC sai lần thứ 2, Số hóa Trung tâm Học liệu – Đại học Thái Nguyên 3.1.2 CCMP http://www.lrc-tnu.edu.vn Encryption Standard) lựa chọn để áp dụng nhằm bảo vệ liệu Thuật toán AES thuật toán mã hóa khối hoạt động nhiều khóa khối có độ lớn khác Để tránh nhập nhằng, chuẩn 802.11i quy định kích thước khóa 128 bit độ lớn khối 128 bit Giao thức an ninh hoạt động tầng liên kết liệu sử dụng AES gọi CCMP (Giao thức chế độ đếm kết hợp CBC-MAC) CCMP chế độ hoạt động kết hợp khóa vừa sử dụng để mã hóa đảm bảo toàn vẹn cho liệu 3.1.2.1 Chế độ đếm kết hợp CBC-MAC Trong thuật toán mã hóa AES, thuật ngữ chế độ hoạt động (mode of operation) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 42 - - 43 - sử dụng để phương thức chia khối, mã hóa tập hợp lại thành thông điệp gốc Chế độ đếm (mode counter) hay gọi chế độ CTR hoạt động theo phương thức: sử dụng giá trị bình thường (gọi số đếm), thực mã hóa giá trị XOR với khối liệu để tạo liệu mã hóa Hình 3.6: CCMP CBC-MAC IV format Cách hoạt động CBC-MAC tương đối đơn giản:  Lấy khối thông điệp mã hóa (sử dụng AES)  XOR kết thu với khối thứ tiếp tục mã hóa kết thu Hình 3.5: CCMP CTR Format Với cách hoạt động vậy, phía mã hóa hay giải mã cần thực thi thuật toán mã hóa khối AES với số đếm đồng phía việc XOR hai lần  XOR kết thu với khối mã hóa Cứ tiếp tục hết giá trị toán hạng cho ta giá trị liệu ban đầu toán hạng lại Cách hoạt động CBC-MAC tương đối đơn giản song song thêm vào đó, liệu cần mã hóa có độ rộng không bội số kích thước khối, hóa chế độ đếm Với thông điệp mà độ lớn không bội số kích việc mã hóa đơn giản XOR giá trị mã hóa giá trị đếm với liệu, thước khối, CCMP đưa thêm bit vào cuối thông điệp để CBC-MAC hoạt kích thước khối liệu mã hóa với kích thước liệu trước mã động Ngoài ra, CBC-MAC cho phép đảm bảo tính toàn vẹn cho hóa liệu không mã hóa chẳng hạn địa MAC khung tin Mã hóa AES theo chế độ đếm sử dụng 20 năm đạt niềm tin an toàn Tuy phương pháp phục vụ cho mục đích mã hóa liệu, cần phương pháp đảm bảo tính toàn vẹn liệu Phương thức đảm bảo tính toàn vẹn liệu CCMP gọi phương thức chuỗi khối mã hóa (CBC) CBC sử dụng để tạo mã toàn vẹn (MIC) cho thông điệp gửi Trong cộng đồng bảo mật, MIC gọi mã xác thực thông điệp (MAC-Message Authentication Code) nên CBC gọi CBC-MAC 3.1.2.2 Quá tình hoạt động CCMP Tại phía gửi, thông điệp cần gửi chuyển xuống CCMP, trình diễn ra:  Mỗi thông điệp gán số thứ tự gói có độ lớn 48 bit Số thứ tự gói giống véc tơ khởi tạo TKIP, không sử dụng lại cho khóa phiên  Trường liệu xác thực bổ xung tạo chứa giá trị thông tin khung tin 802.11 cần kiểm tra tính toàn vẹn không mã hóa bao gồm phien giao thức, loại khung tin, bit hệ thống, số hiệu mảnh, bit thứ tự, địa MAC… Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 44 - - 45 -  Tiếp đó, giá trị CCMP nonce tạo Giá trị hình thành từ số thứ tự gói với địa nguồn để đảm bảo việc mã hóa thực Việc chứng thực 802.1x thực server riêng, server liệu Đây số đếm sử dụng chế độ đếm để mã hóa quản lý thông tin để xác thực người sử dụng tên đăng nhập (username), liệu mật (password), mã số thẻ, dấu vân tay, vv Khi người dùng gửi yêu cầu  Các giá trị với phần liệu thông điệp chuyển vào chứng thực, server tra cứu liệu để xem người dùng có hợp lệ không, CCM, phần thân thông điệp mã hóa AES sử dụng khóa phiên cấp quyền truy cập đến mức nào, vv Nguyên lý gọi RADIUS CCMP nonce, trường AAD liệu tạo mã kiểm tra toàn vẹn (Remote Authentication Dial−in User Service) Server – Máy chủ cung cấp dịch vụ byte MIC nhờ CBC-MAC sử dụng khóa phiên chứng thực người dùng từ xa thông qua phương thức quay số Phương thức quay số Tại phía nhận, nhận khung tin, trình giải mã kiểm tra mã diễn ra:  Khung tin nhận tầng MAC kiểm tra giá trị FSC trước chuyển xuống cho CCMP xử lý  3.1.3.1 Nguyên lý RADIUS Server xuất từ ban đầu với mục đích thực qua đường điện thoại, ngày không thực qua quay số mà thực đường truyền khác người ta vấn giữ tên RADIUS xưa Trường AAD tạo từ khung tin nhận  Giá trị CCMP nonce tính toán  Phía Nhận giải mã liệu sử dụng khóa phiên CCMP nonce  Giá trị MIC tính toán trường AAD liệu giải mã so sánh với giá trị MIC khung tin nhận Nếu hai giá trị khác nhau, trình xử lý dừng  Giá trị số thứ tự gói kiểm tra để chống lại hình thức công replay Khung tin nguyên thủy hình thành 3.1 802.1x 802.1x thiết kế phép có chứng thực tính hợp pháp AP với Client Mục đích đưa để khẳng định người dùng kết nối với Hình 3.7: Mô hình chứng thực sử dụng RADIUS Server mạng “đúng” Ở mạng hữu tuyến, việc kết nối tới mạng đơn giản Các trình liên kết xác thực tiến hành mô tả hình trên, theo đường dây dẫn Truy nhập theo đường dây dẫn giúp cho người dùng nhận biết thực theo bước sau: mạng “đúng” Nhưng mạng không dây, đường truyền vật lý không tồn tại, phải có số cấu khác thiết kế cho mạng để chứng thực mạng với người dùng Chuẩn chứng thực 802.1x đời nhằm thu thập thông tin chứng thực từ người dùng chấp nhận hay từ chối truy cập dựa thông tin Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 46 - - 47 - Để nâng cao tính bảo mật, RADIUS Server tạo khóa dùng chung khác cho máy khác phiên làm việc (session) khác nhau, Access Point Client Laptop RADIUS Server chí có chế thay đổi mã khóa thường xuyên theo định kỳ Khái niệm khóa dùng chung lúc để việc dùng chung máy tính Client mà để việc dùng chung Client AP 3.1.3.2 Giao thức chứng thực mở rộng EAP Để đảm bảo an toàn trình trao đổi tin chứng thực Client AP không bị giải mã trộm, sửa đổi, người ta đưa EAP (Extensible Authentication Protocol) – giao thức chứng thực mở rộng tảng 802.1x Giao thức chứng thực mở rộng EAP giao thức hỗ trợ, đảm bảo an ninh trao đổi tin chứng thực bên phương thức mã hóa thông tin chứng thực EAP hỗ trợ, kết hợp với nhiều phương thức chứng thực hãng khác nhau, loại hình chứng thực khác ví dụ user/password chứng thực đặc điểm sinh học, thẻ chip, thẻ từ, khóa công khai, vv Kiến trúc EAP hình đây, thiết kế để vận hành lớp đường dẫn dùng phương pháp chứng thực Máy tính Client gửi yêu cầu kết nối đến AP AP thu thập yêu cầu Client gửi đến RADIUS server RADIUS server gửi đến Client yêu cầu nhập user/password Client gửi user/password đến RADIUS Server RADIUS server kiểm tra user/password có không, Hình 3.8: Kiến trúc EAP a Bản tin EAP RADIUS server gửi cho Client mã khóa chung Đồng thời RADIUS server gửi cho AP mã khóa đồng thời thông báo với AP quyền phạm vi phép truy cập Client Client AP thực trao đổi thông tin với theo mã khóa cấp Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Một tin EAP thể hình Các trường tin EAP : Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 48 - - 49 - - Code: trường tin, byte dài xác định loại tin EAP Nó thường dùng để thể trường liệu tin - Identifier: byte dài Nó bao gồm số nguyên không dấu Nơi tiếp nhận chứng thực thường dùng loại Identity yêu cầu thiết lập Sau đó, việc xác định người dùng bước trong chứng thực Trường Type – Data bao gồm chuỗi để nhắc người dùng, chiều dài chuỗi dùng để xác định tin yêu cầu trả lời Khi truyền lại tin tính từ trường Length gói EAP số identifier đó, việc truyền dùng số identifier Loại code 2: Notification ( Thông báo ) - Length: có giá trị byte dài Nó chiều dài toàn tin bao gồm trường Code, Identifier, Length, Data Nơi tiếp nhận chứng thực dùng loại thông báo để gửi tin tới người dùng Sau hệ thống người dùng hiển thị tin Bản tin thông báo - Data: trường cuối có độ dài thay đổi Phụ thuộc vào loại tin, dùng để cung cấp tin tới người dùng từ hệ thống chứng thực, trường liệu byte không Cách thể trường liệu dựa password việc hết quyền sử dụng Các tin đáp ứng phải gửi để trả lời giá trị trường Code yêu cầu thông báo Tuy nhiên, chúng thường phản hồi đơn giản, b Các tin yêu cầu trả lời EAP (EAP Requests and Responses) trường Type – Data có chiều dài Trao đổi chứng thực mở rộng EAP bao gồm tin yêu cầu trả lời Nơi tiếp nhận chứng thực (Authenticator) gửi yêu cầu tới hệ thống tìm kiếm truy cập, dựa tin trả lời , truy cập chấp nhận từ chối Bản tin yêu cầu trả lời minh họa hình đây: Loại code 3: NAK Các NAK dùng để đưa phương thức chứng thực Nơi tiếp nhận chứng thực đưa chuỗi mời kết nối, mã hóa loại mã Các loại chứng thực đánh số thứ tự Nếu hệ thống người dùng không phù hợp với loai chứng thực chuỗi này, đưa NAK Các tin NAK trường trường Type – Data bao gồm byte đơn tương ứng với loại chứng thực Hình 3.8: Cấu trúc khung tin yêu cầu trả lời - Code: có giá trị tin yêu cầu có giá trị tin trả lời Trường Data chứa liệu dùng tin yêu cầu trả lời Mỗi trường Data mang loại liệu khác nhau, phân loại mã xác định liên kết liệu sau: - Type: trường byte loại tin yêu cầu hay trả lời Chỉ có byte dùng gói tin Khi tin yêu cầu không chấp nhận, gửi NAK để đề nghị thay đổi loại, có loại MD – Challenge thường sử dụng EAP tương tự giao thức CHAP, đưa RFC 1994 Đây yêu cầu bảo mật mà EAP sử dụng gồm có Tên đăng nhập mật MD – bảo vệ gói tin cách tạo dấu hiệu đặc trưng riêng ( chữ ký điện tử ) lưu gói tin MD -5 giao thức đơn giản, chạy nhanh, dễ bổ xung Nó không sử dụng chứng thực PKI, mức độ mã hóa chưa cao, có khả bị công kiểu thu hút Loại code 5: One – time password (OPT ) phương pháp chứng thực - Type– Data: trường thay đổi để làm rõ nguyên lý loại Hệ thống one – time password dùng EAP định nghĩa RFC 1938 Bản tin yêu cầu đưa tới người dùng bao gồm chuỗi mời kết nối OPT Loại code 1: Identity Số hóa Trung tâm Học liệu – Đại học Thái Nguyên Loại code 4: Chuỗi MD – (MD – Challenge) Trong tin đáp ứng OPT (loại 5), trường Type – Data gồm có từ từ http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 50 - - 51 - điển OPT RFC 1938 Giống tất loại chứng thực, tin trả lời NAK (loại 3) Loại code 6: Đặc điểm thẻ Token (Generic Token Card ) Các thẻ Token SecurID RSA Safeword Secure Computing phổ biến với nhiều nơi chúng đưa bảo mật “ngẫu nhiên” one – time password mà phức tạp OPT Các tin yêu cầu chứa đựng thông tin đặc điểm thẻ Token cần thiết cho chứng thực Trường TypeData yêu cầu phải có chiều dài lớn byte Trong tin đáp ứng, trường Type – Data dùng để mang thông tin chép từ thẻ Token người dùng Trong tin yêu cầu trả lời, trường chiều dài gói EAP tính chiều dài tin yêu cầu Type – Data Hình 3.9: Cấu trúc khung EAP thành công không thành công d Chứng thực cổng Chứng thực tới thiết bị mạng lớp đường dẫn không Chứng thực cổng mạng biết đến từ trước Hầu hết đời có phát triển sở hạ tầng rộng để phù hợp chứng thực người dùng, nguyên lý RADIUS servers, LDAP directories Khái niệm Port: để việc đóng mở cổng tương ứng với việc chấp nhận hay từ chối kết nối Authenticator Ngoài có thêm port cho tuyến qua mà không liên quan đến trình chứng thực Loại code 13: TLS RFC đưa việc dùng Transport Layer Security (TLS) chứng thực TLS phiên nâng cấp triển khai cách rộng rãi Secure Socket Layer (SSL) chứng thực TLS kế thừa số đặc điểm từ SSL TLS phương thức mã hóa mạnh, chứng thực song phương có nghĩa không Server chứng thực Client mà Client chứng thực lại Server, chống lại việc nghe trộm, bắt gói tin Nhược điểm yêu cầu chứng thực PKI phía làm cho trình chứng thực phức tạp, phù hợp với hệ thống có sẵn chứng thực PKI Các loại mã khác Hình 3.10: Cấu trúc cổng Đáng ý khái niệm chứng thực Kerberos chứng thực cell – phone (thẻ SIM dựa mạng hệ thứ AKA dựa mạng hệ thứ 3) e Kiến trúc thuật ngữ chứng thực EAP Trong trình chứng thực sử dụng EAP, có bên tham gia : - Máy Client/Máy xin chứng thực - Client/Supplicant: phần tử có nhu c Các khung EAP cầu cần chứng thực để thiết lập kết nối Khi trao đổi EAP kết thúc, người dùng chứng thực thành công - Tiếp nhận chứng thực – Authenticator: phần tử trung gian tiếp nhận không thành công Khi nơi tiếp nhận chứng thực xác định việc trao đổi hoàn tất nhu cầu chứng thực trao đổi tin qua lại Client Server chứng thực đưa khung thành công (Code 3) không thành công (Code 4) để kết thúc trao Phương thức trao đổi Authenticator Client gọi EAPOL (EAP Over LAN) đổi EAP Nó cho phép gửi nhiều tin yêu cầu trước chứng thực không thành EAPOW (EAP Over Wireless) công phép người dùng nhận thông tin chứng thực Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 52 - - 53 - - Server chứng thực - Authentication Server: phần tử xử lý yêu cầu chứng thực gửi đến, cấp phép hay từ chối Nó không xử lý yêu cầu chứng thực Client mà gửi đến Client yêu cầu chứng thực thân Server chứng thực theo mô hình RADIUS Server hay Active Directory Server f Dạng khung cách đánh địa EAPOL Dạng khung Dạng khung EAPOL đưa hình đây: Hình 3.11: Cấu trúc khung EAPOL Bao gồm trường sau: - MAC header: gồm có địa đích địa nguồn MAC - Ethernet Type: gồm có byte để đánh địa mã 88 – 8e - Version: cho biết số thứ tự phiên - Packet Type: EAPOL mở rộng EAP Bảng sau số loại tin miêu tả chúng: Loại Miêu tả Tên tin 00000000 EAP - Packet Bao gồm khung EAP Phần lớn khung EAP – Packet 00000001 EAPOL - Start Thay cho việc đợi chuỗi mời kết nối từ Authenticator, Supplicant đưa khung EAPOL – Start Trong tin trả lời, Authenticator gửi khung EAP – Request / Identity 00000010 EAPOL – Logoff Khi hệ thống hoàn tất việc sử dụng mạng, đưa khung EAPOL – Logoff để đưa cổng trạng thái tắt 00000011 EAPOL – Key EAPOL dùng để trao đổi thông tin khóa mã hóa Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 54 - - 55 - - Packet Body Length: chiều dài byte Nó thiết lập packet body tồn Supplicant gửi tin EAPOL – Start tới Authenticator Authenticator ( chuyển mạch mạng ) gửi lại khung EAP – Request / - Packet Body: trường có chiều dài thay đổi được, có tất dạng khung EAPOL trừ tin EAPOL – Start EAPOL – Logoff Identity tới Supplicant Supplicant trả lời khung EAP – Reponse / Identity Sau Authenticator gửi đến RADIUS server tin Radius – Access – Request Đánh địa RADIUS server trả lời tin Radius – Access – Challenge Sau Trong môi trường chia sẻ mạng LAN Ethernet, Supplicants gửi tin EAPOL tới nhóm địa 01:C2:00:00:03 Trong mạng 802.11, cổng không tồn tại, EAPOL tiếp tục sau trình liên kết cho phép hai bên Supplicant ( STA không dây di động ) authenticator ( AP ) để trao đổi địa MAC Trong môi trường 802.11, EAPOL yêu cầu dùng địa STA Authenticator gửi đến Supplicant tin EAP – Request cho chứng thực hợp lệ chứa thông tin liên quan Supplicant tập hợp thông tin trả lời từ người dùng gửi EAP – Reponse tới Authenticator Tại thông tin xử lý thành tin Radius – Access – Request gửi tới RADIUS RADIUS server gửi tin Radius – Access – Accept cho phép truy cập g Một ví dụ trao đổi thông tin chứng thực EAP Vì vậy, Authenticator gửi khung EAP – Success tới Supplicant Khi cổng mở người dùng bắt đầu truy cập vào mạng Khi Supplicant hoàn tất việc truy cập mạng, gửi tin EAPOL – Logoff để đóng cổng Tóm lại nguyên lý bên giống nguyên lý bên chứng thực đề cập phần giới thiệu RADIUS server, có điều khác hoạt động trao đổi tin qua lại thông qua EAP để đảm bảo an ninh Các bước trao đổi theo thứ tự sau: Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 56 - - 57 - AP thu thập yêu cầu Client gửi đến RADIUS server RADIUS server gửi đến Client yêu cầu nhập user/password Client gửi user/password đến RADIUS Server RADIUS server kiểm tra user/password có không, RADIUS server gửi cho Client mã khóa chung Đồng thời RADIUS server gửi cho AP mã khóa đồng thời thông báo với AP quyền phạm vi phép truy cập Client Client AP thực trao đổi thông tin với theo mã khóa cấp Để nâng cao tính bảo mật, RADIUS Server tạo khóa dùng chung khác cho máy khác phiên làm việc (session) khác nhau, chí có chế thay đổi mã khóa thường xuyên theo định kỳ Khái Hình 3.12: Mô hình chứng thực sử dụng RADIUS Server Các trình liên kết xác thực tiến hành mô tả hình trên, thực theo bước sau: niệm khóa dùng chung lúc để việc dùng chung máy tính Client mà để việc dùng chung Client AP 3.2 Thuật toán mã hoá sử dụng chuẩn IEEE 802.11i 3.2.1 Giới thiệu Access Point Client Laptop AES (Advanced Encryption Standard - chuẩn mã hóa nâng cao) thuật RADIUS Server toán mã hóa khối phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa Giống tiêu chuẩn tiền nhiệm DES, AES kỳ vọng áp dụng phạm vi giới nghiên cứu kỹ lưỡng AES chấp thuận làm tiêu chuẩn liên bang Viện tiêu chuẩn công nghệ quốc gia Hoa kỳ (NIST) sau trình tiêu chuẩn hóa kéo dài năm Thuật toán thiết kế hai nhà mật mã học người Bỉ: Joan Daemen Vincent Rijmen (lấy tên chung "Rijndael" tham gia thi thiết kế AES) 3.2.2 Mô tả thuật toán Mặc dù tên AES Rijndael thường gọi thay cho thực tế thuật toán không hoàn toàn giống AES làm việc với khối Máy tính Client gửi yêu cầu kết nối đến AP Số hóa Trung tâm Học liệu – Đại học Thái Nguyên liệu 128 bít khóa có độ dài 128, 192 256 bít Rijndael http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 58 - - 59 - làm việc với liệu khóa có độ dài bội số 32 bít nằm khoảng từ 128 tới 256 bít Các khóa sử dụng chu trình tạo trình tạo khóa Rijndael Hầu hết phép toán thuật toán AES thực trường hữu hạn AES làm việc với khối liệu 4×4 byte (tiếng Anh: state, khối Rijndael có thêm cột) Quá trình mã hóa bao gồm bước: AddRoundKey - byte khối kết hợp với khóa con, khóa Hình 3.13: Tạo khóa sử dụng phép toán XOR tạo từ trình tạo khóa Rijndael SubBytes - phép (phi tuyến) byte b SubBytes byte khác theo bảng tra (Rijndael S-box) ShiftRows - đổi chỗ, hàng khối dịch vòng MixColumns - trình trộn làm việc theo cột khối theo phép Các byte thông qua bảng tra S-box Đây trình phi tuyến thuật toán Hộp S-box tạo từ phép nghịch đảo trường hữu hạn GF (28) có tính chất phi tuyến Để chống lại công dựa đặc tính biến đổi tuyến tính đại số, hộp S-box tạo nên cách kết hợp phép nghịch đảo với Tại chu trình cuối bước MixColumns thay bước AddRoundKey phép biến đổi affine khả nghịch Hộp S-box chọn để tránh điểm bất động (fixed point) a AddRoundKey Tại bước này, khóa kết hợp với khối Khóa chu trình tạo từ khóa với trình tạo khóa Rijndael; khóa có độ dài giống khối Quá trình kết hợp thực cách XOR bít khóa với khối liệu Quá trình thay Byte c ShiftRows Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 60 - - 61 - Các hàng dịch vòng số vị trí định Đối với AES, hàng đầu giữ nguyên Mỗi byte hàng thứ dịch trái vị trí Tương tự, hàng thứ dịch vị trí Do vậy, cột khối đầu bước bao gồm byte đủ cột khối đầu vào Đối với Rijndael với độ dài khối khác số vị trí dịch chuyển khác 3.2.3 Tối ƣu hóa Đối với hệ thống 32 bít lớn hơn, ta tăng tốc độ thực thuật toán cách sát nhập bước SubBytes, ShiftRows, MixColumns chuyển chúng thành dạng bảng Có thảy bảng với 256 mục, mục từ 32 bít, bảng chiếm 4096 byte nhớ Khi đó, chu trình bao gồm 16 lần tra bảng 12 lần thực phép XOR 32 bít với phép XOR bước AddRoundKey Trong trường hợp kích thước bảng lớn so với thiết bị thực dùng bảng tra bảng kết hợp với hoán vị vòng quanh 3.2.4 Khả an toàn Hình 3.14: Bước dịch hàng Việc sử dụng số khác ứng với chu kỳ giúp hạn chế khả tính đối xứng thuật toán Sự khác cấu trúc việc mã hóa d MixColumns giải mã hạn chế khóa “yếu” (weak key) phương pháp DES Bốn byte cột kết hợp lại theo phép biến đổi tuyến tính Ngoài ra, thông thường điểm yếu liên quan đến mã khóa xuất phát từ khả nghịch Mỗi khối byte đầu vào cho khối byte đầu với tính chất phụ thuộc vào giá trị cụ thể mã khóa thao tác phi tuyến byte đầu vào ảnh hưởng tới byte đầu Cùng với bước ShiftRows, phương pháp IDEA (International Data Encryption Algorithm) Trong phiên MixColumns tạo tính chất khuyếch tán cho thuật toán Mỗi cột xem mở rộng, khóa sử dụng thông qua thao tác XOR tất thao đa thức trường hữu hạn nhân với đa thức c(x) = 3x3 + x2 + x + tác phi tuyến cố định sẵn S-box mà không phụ thuộc vào giá trị cụ (modulo x4 + 1) Vì thế, bước xem phép nhân ma trận thể mã khóa Tính chất phi tuyến khả khuếch tán thông tin trường hữu hạn (diffusion) việc tạo bảng mã khóa mở rộng làm cho việc phân tích mật mã dựa vào khóa tương đương hay khóa có liên quan trở nên không khả thi Đối với phương pháp vi phân rút gọn, việc phân tích chủ yếu khai thác đặc tính tập trung thành vùng (cluster) vết vi phân số phương pháp mã hóa Trong trường hợp thuật toán Rijndael với số lượng chu kỳ lớn 6, không tồn phương pháp công phá mật mã hiệu phương pháp thử sai Tính chất phức tạp biểu thức S-box GF(28) với hiệu ứng khuếch tán giúp cho thuật toán bị phân tích phương pháp nội suy Hình 3.15: Quá trình biến đổi tuyến tính cột Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 3.2.5 Kết luận Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 62 - - 63 - Phương pháp Rijndael thích hợp cho việc triển khai nhiều hệ thống khác nhau, không máy tính cá nhân mà điển hình sử dụng chip Pentium, mà hệ thống thẻ thông minh Trên máy tính cá nhân, thuật toán AES thực việc xử lý nhanh so với phương pháp mã hóa khác Trên hệ thống thẻ thông minh, phương pháp phát huy ưu điểm không nhờ vào tốc độ xử lý cao mà nhờ vào mã chương trình ngắn gọn, thao tác xử lý sử dụng nhớ Ngoài ra, tất bước xử lý việc mã hóa giải mã thiết kế thích hợp với chế xử lý song song nên phương pháp Rijndael chứng tỏ mạnh hệ thống thiết bị Do đặc tính việc xử lý thao tác byte liệu nên khác biệt đặt triển khai hệ thống big-endian hay little-endian Xuyên suốt phương pháp AES, 3.3 Triển khai an ninh mạng LAN không dây chuẩn 802.11i 3.3.1 Mô tả toán Xây dựng mạng không dây kết nối Internet phục vụ cho máy trạm hoạt động đồng thời Sau thiết kế lắp đặt xong tiến hành cài đặt cấu hình bảo mật cho hệ thống Tiếp thử nghiệm an ninh nhằm minh chứng an toàn mạng với giao thức mã hóa WAP2 3.3.2 Thiết kế sơ đồ mạng Sơ đồ mạng mô phỏng: yêu cầu đơn giản việc thiết kế tính linh hoạt xử lý đặt đáp ứng Độ lớn khối liệu mã khóa tùy biến linh hoạt từ 128 đến 256-bit với điều kiện chia hết cho 32 Số lượng chu kỳ thay đổi tùy thuộc vào yêu cầu riêng đặt cho ứng dụng hệ thống cụ thể Tuy nhiên, tồn số hạn chế mà hầu hết liên quan đến trình giải mã Mã chương trình thời gian xử lý việc giải mã tương đối lớn việc mã hóa, thời gian nhanh đáng kể so với số phương pháp khác Khi cài đặt chương trình, trình mã hóa giải mã không giống nên tận dụng lại toàn đoạn chương trình mã hóa bảng tra cứu cho việc giải mã Khi cài đặt phần cứng, việc giải mã sử dụng lại phần mạch điện tử sử dụng việc mã hóa với trình tự sử dụng khác Hình 3.16: Mạng không dây sau thiết kế lắp đặt 3.3.3 Cấu hình bảo mật a Cấu hình thiết bị Access Point (Ở minh họa với thiết bị Access Point Linksys WRK45G) Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 64 - - 65 - Để tiến hành cấu hình cần truy cập vào mức cấu hành thiết bị Từ trình duyệt web browser gõ http://192.168.1.1 Khi bảng nhập user pass để truy cập Hình 3.18: Cấu hình WEP Access Point b Cấu hình bảo mật WEP máy trạm - Chọn kiểu mã hóa WEP ô Data Encryption - Nhập khóa WEP ô Network key Confirm network key - Chọn chế độ xác thực Shared ô Network Authentication Hình 3.17: Nhập User name Password để cấu hình Sau nhập user name Password truy cập vào phần cấu hình có giao diện dạng web Tiến hành cấu hình WEP: - Chọn tab Wireless mục wireless security - Chọn cấu hình WEP Security Mode - Chọn mức độ dài khóa 128 bit phần WEP Encryption - Nhập khóa bí mật vào mục Passphase nhấn Generate Sau nhấn hệ thống sinh khóa WEP Lựa chọn khóa wep sử dụng, chọn khóa sử dụng khóa để cấu hình WEP máy trạm - Chọn Save để lưu cấu hình sau hoàn tất việc cài đặt WEP Hình 3.19: Cấu hình WEP máy PC Tiến hành cấu hình WAP2: Khi tiến hành cấu hình bảo mật WAP2 ta thực bước tương tự 3.3.4 Thử nghiệm an ninh Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 66 - - 67 - a Kiểm tra hiệu với chuẩn bảo mật WEP KẾT LUẬN Sử dụng máy tính có khả kết nối mạng không dây có cài chương trình phân tích gói tin mạnh Wireshark Tiến hành “bắt” gói tin AP phát An toàn liệu máy tính vấn đề quan tâm, đặc biệt vấn đề - Đầu tiên chế độ thiết đặt chuẩn bảo mật WEP an toàn liệu mạng mà mạng máy tính giai đoạn phát triển mạnh mẽ Mạng LAN không dây 802.11 sử dụng môi trường truyền dẫn không dây điện từ với đặc điểm riêng cần có giải pháp an ninh riêng bên cạnh giải pháp an ninh truyền thống cho mạng hữu tuyến Việc tập trung nghiên cứu, đánh giá mức độ an ninh mạng ý nghĩa riêng lĩnh vực quân sự, kỹ thuật mà tất lĩnh vực áp dụng Do luận văn trước hết thực việc tìm hiểu, phân tích giải pháp an ninh rủi ro từ mạng 802.11 dựa tiêu chí đảm bảo: tính an toàn, tính xác thực, tính toàn vẹn Qua thấy chuẩn an ninh 802.11i với mục tiêu cung cấp giải pháp an ninh cho mạng 802.11 đủ khả để mang lại mã hóa an toàn cho liệu Theo hướng tìm hiểu cho thấy phương pháp Rijndael thích hợp cho việc triển khai nhiều hệ thống khác nhau, Ngoài ra, tất bước xử lý việc mã hóa giải mã thiết kế thích hợp với chế xử lý song song nên phương pháp Rijndael chứng tỏ mạnh hệ thống thiết bị Mặc dù vậy, hạn chế mặt thời gian, điều kiện thiết bị, cộng với trình độ có hạn, luận văn chưa tiến hành mặt thực nghiệm mô hình lý thuyết đề Hình 3.20: Phân tích gói tin mã hóa WEP Wireshark xuất Do có đánh giá bước đầu lĩnh vực tìm hiểu Từ hình ta thấy, sau “bắt” gói tin ta biết Phương pháp Rijndael với mức độ an toàn cao ưu điểm đáng thông tin gói tin Từ SSID, địa nguồn, địa đích, kênh truyền… ý khác chắn nhanh chóng áp dụng rộng rãi nhiều ứng dụng đặc biệt nội dung liệu gói tin hệ thống khác Do đó, tương lai, việc tiếp tục nghiên cứu phương b Kiểm tra hiệu bảo mật với chuẩn bảo mật WAP2 pháp mã hóa vấn đề cần quan tâm mặt lý thuyết lẫn áp dụng ……… hệ thống thực tiễn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - 68 - TÀI LIỆU THAM KHẢO [1] Aaron E Earle, “Wireless Security Handbook”, Auerbach 2006 [2] Bruce E Alexander, “802.11 Wireless Network Site Surveying and Installation”, Cisco Press 2004 [3] Danny Briere - Walter R Bruce III - Pat Hurley, “Wireless Home Networking for Dummies”, Wiley Publishing 2003 [4] Douglas Stinson, “Cryptography: Theory And Practice”, CRC Press 1995 [5] Eric Geier, “Wi-Fi Hotspots”, Cisco Press 2006 [6] Jame Kempf, “Wireless Internet Security - Architecture and Protocols”, Cambridge University Press 2008 [7] Jim Geier, “Implementing 802.1X Security Solutions for Wired and Wireless Networks”, Wiley Publishing 2005 [8] Jim Geier, “Wireless Networking Handbook”, New Riders 2002 [9] Matthew Gast, “802.11 Wireless Networks - Definitive Guide”, O'Reilly 2002, pp 1-464 [10] Pablo Brenner, “A Technical Tutorial on IEEE 802.11 Protocol”, Breeze, 1997 Andrew S Tanenbaum, “Computer Networks”, fourth edition, PrenticeHall US 2003, pp 292-299,311-316 [11] Pejman Roshan - Jonathan Leary, “802.11 Wireless LAN Fundamentals”, Cisco Press 2003 [12] Russell Dean Vines, “Wireless Security Essentials”, Wiley Publishing 2002 [13] Scott Empson, “CCNA Portable Command Guide”, Cisco Press 2007 [14] Toby J Velte - Ph.D., Anthony T Velte, “Cisco 802.11 Wireless Networking Quick Reference”, Cisco Press – 2005 William Stallings, “Cryptography and Network Security Principles and Practices, Fourth Edition”, Prentice Hall 2005 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn