Đang tải... (xem toàn văn)
Tài liệu tham khảo chuyên ngành viễn thông An ninh trong mạng thông tin di động thế hệ 3
Chương 1: Nhận thực môi trường liên mạng vô tuyến CHƯƠNG 1: NHẬN THỰC TRONG MÔI TRƯỜNG LIÊN MẠNG VƠ TUYẾN 1.1 Vai trị nhận thực kiến trúc an ninh vô tuyến Trong giới an ninh thông tin, nhận thực nghĩa hành động trình chứng minh cá thể thực thể chúng Theo Burrows, Abadi Needham: “Mục đích nhận thực phát biểu đơn giản khơng hình thức khơng xác Sau nhận thực, hai thành phần (con người, máy tính, dịch vụ) phải trao quyền để tin chúng liên lạc với mà liên lạc với kẻ xâm nhập” Vì vậy, sở hạ tầng IT hợp muốn nhận thực thực tế người sử dụng hệ thống sở liệu nhà cung cấp giám sát nguồn nhân lực trước cho phép quyền truy nhập vào liệu mạng (bằng phương tiện mật thẻ thông minh người dùng) Hoặc nhà cung cấp hệ thống thông tin tổ ong muốn nhận thực máy điện thoại tổ ong truy nhập vào hệ thống vô tuyến họ để thiết lập máy cầm tay thuộc người sử dụng có tài khoản máy điện thoại không thông báo bị đánh cắp 1.2 Vị trí nhận thực dịch vụ an ninh Nhận thực thành phần thuộc tập hợp dịch vụ cấu thành nên phân hệ an ninh sở hạ tầng thơng tin tính tốn đại Các dịch vụ cụ thể cấu thành nên tập hợp đầy đủ khác phụ thuộc vào mục đích, nội dung thơng tin mức độ quan trọng hệ thống trung tâm: Tính tin cậy (Confidentiality): Đảm bảo thông tin hệ thống máy tính thơng tin truyền truy nhập để đọc bên có thẩm quyền.[….] Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vô tuyến Nhận thực (Authentication): Đảm bảo khởi nguồn tin văn điện tử nhận dạng xác đảm bảo việc nhận dạng không bị lỗi Tính tồn vẹn (Integrity): Đảm bảo bên có thẩm quyền sửa đổi tài ngun hệ thống máy tính thơng tin truyền [….] Khơng thối thác (Non-repudiation): u cầu bên nhận lẫn bên gửi không từ chối truyền dẫn Điều khiển truy nhập (Access Control): Yêu cầu truy nhập tới tài ngun thơng tin điều khiển hệ thống quan trọng Tính sẵn sàng (Availability): Yêu cầu tài nguyên hệ thống máy tính khả dụng bên có thẩm quyền cần thiết 1.3 Các khái niệm tảng nhận thực 1.3.1 Trung tâm nhận thực (Authentication Center) Trong giao thức liên quan đến việc sử dụng khoá bí mật dành cho nhận thực, khố bí mật phải lưu trữ nhà cung cấp dịch vụ với thông tin cá nhân người sử dụng thuê bao môi trường bảo mật cao Nói riêng giới điện thoại tổ ong hệ thống thường gọi Trung tâm nhận thực 1.3.2 Nhận thực thuê bao (Subscriber Authentication) Nhận thực mạng tổ ong số bao gồm nhận thực thuê bao Điều nói tới nhận thực người sử dụng dịch vụ điện thoại tổ ong xảy cách điển hình người sử dụng thử thiết lập gọi, đăng ký yêu cầu với trạm gốc mạng cho việc cung cấp dịch vụ Nên ý “Nhận thực thuê bao” thường nói tới nhận thực tổ hợp điện thoại tổ ong thông tin thẻ thơng minh tổ hợp việc nhận thực người sử dụng thực người (mặc dù việc nhận thực dĩ nhiên mục tiêu cuối cùng) Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vô tuyến 1.3.3 Nhận thực tương hỗ (Mutual Authentication) Hầu hết giao thức nhận thực liên quan đến hai “thành phần (principals)” có bên thứ ba tin cậy Trong nhận thực tương hỗ, hai principal nhận thực lẫn Một ý quan trọng nhận thực không cần phải tương hỗ, chiều Chẳng hạn thảo luận nhận thực mạng điện thoại tổ ong hệ thứ ba, gặp phải trường hợp mạng nhận thực máy điện thoại tổ ong tìm sử dụng dịch vụ trạm gốc mạng khơng nhận thực tới máy điện thoại 1.3.4 Giao thức yêu cầu/đáp ứng (Challenge/Response Protocol) Một số giao thức tìm hiểu đồ án sử dụng chế Challenge/Response sở cho nhận thực Theo chế Challenge/Response, bên thứ (first principal) muốn để thực nhận thực principal thứ hai cách principal thứ tạo số ngẫu nhiên gửi đến principal thứ hai Trong nhiều giao thức, số ngẫu nhiên truyền tới Trung tâm nhận thực Principal thứ hai tổ hợp số nhẫu nhiên với khố bí mật theo thuật toán thoả thuận chung Chuỗi bit kết cuối xác định tổ hợp Challenge ngẫu nhiên với khố bí mật principal thứ hai truyền trở lại principal thứ Trong đó, Trung tâm nhận thực -hoặc phía thứ ba tin cậy tương tự - mà có quyền truy nhập tới khố bí mật principal, thực tính tốn chuyển kết trở lại principal thứ Principal thứ so sánh hai giá trị chúng nhận thực principal thứ hai Chú ý chế Challenge/Response không yêu cầu principal thứ biết khố bí mật principal thứ hai ngược lại 1.3.5 Tạo khoá phiên (Session Key Generation) Mặc dù việc tạo khố phiên khơng cần thiết phần nhận thực thuê bao theo nghĩa hẹp nhất, thường xảy trình Một khố phiên khố số sử dụng trình mật mã tin trao Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vô tuyến đổi phiên thơng tin đơn hai principal Vì khố phiên phân biệt với khố cơng cộng khoá riêng người sử dụng hệ thống, khoá điển hình có thời gian tồn dài Các hệ thống thơng tin thường tạo khố phiên với thuật toán chạy song song với thuật toán thực giao thức Challenge/Response (xem trên) với thuật tốn có đầu vào 1.4 Mật mã khố riêng (Private-key) so với khố cơng cộng (Public-key) Nói chung, với mật mã khoá riêng (cũng gọi mật mã khoá đối xứng) hai bên muốn trao đổi tin mật dùng chung khố bí mật “secret key” (thường chuỗi bit ngẫu nhiên có độ dài thoả thuận trước) Những khoá đối xứng chức theo nghĩa principal A sử dụng khố bí mật thuật tốn mật mã để tạo văn mật mã (một tin mã hoá) từ văn tuý (bản tin ban đầu) Dựa việc nhận tin mật mã này, principal B tháo gỡ trình cách sử dụng khố bí mật cho đầu vào thuật toán lần thực ngược lại – theo mode giải mật mã Kết phép toán tin văn tuý ban đầu (“bản tin” nên hiểu theo nghĩa rộng – khơng phải văn đọc mà chuỗi bit hội thoại mã hoá số byte file hình ảnh số) Những ví dụ phổ biến hệ thống mật mã khoá riêng đối xứng gồm DES (Data Encryption Standard: Chuẩn mật mã số liệu) IDEA (International Data Encryption Algorithm: Thuật toán mật mã số liệu quốc tế) RC5 Với công nghệ mật mã khố cơng cộng, khơng có khố bí mật dùng chung Mỗi principal muốn trao đổi tin mật với principal sở hữu khoá bí mật riêng chúng Khố khơng chia sẻ với principal khác Ngoài ra, principal làm cho “public key” trở nên công cộng (không cần phải che giấu khoá - thực tế, hoạt động hệ thống mật mã khố cơng cộng Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vơ tuyến u cầu principal khác dễ dàng truy nhập thông tin này) Mật mã khố cơng cộng sử dụng thuật tốn mật mã bất đối xứng Nghĩa principal A tìm cách để gửi tin an toàn tới principal B, A mật mã tin văn tuý cách sử dụng khố cơng cộng tin ban đầu B đầu vào cho thuật toán Điều khơng u cầu B có hành động đặc biệt khố cơng cộng B ln khả dụng cho A Principal A sau truyền tin tới principal B Thuật tốn mật mã khố cơng cộng hoạt động theo cách thức tin mật mã với khố cơng cộng B giải mật mã với khoá riêng B Khi B khơng chia sẻ khố riêng với có B giải mật mã tin 1.5 Những thách thức môi trường liên mạng vô tuyến Các mạng vô tuyến mở rộng phạm vi độ mềm dẻo thơng tin tính tốn cách mạnh mẽ Tuy nhiên, môi trường liên mạng vô tuyến môi trường động, mạnh mẽ bỏ ngỏ cho xâm nhập gian lận so với sở hạ tầng mặt đất cố định Những nhân tố đặt vấn đề cho nhận thực an ninh môi trường liên mạng vô tuyến Chúng đặt thách thức mà người thiết kế hệ thống kiến trúc an ninh phải vượt qua Thông tin vô tuyến mang đến điều kiện trở ngại mạng, truy nhập đến nguồn tài nguyên xa thường không ổn định thời khơng có sẵn Tính di động gây tính động thơng tin Tính di động đòi hỏi nguồn tài nguyên hữu hạn phải sẵn có để xử lý mơi trường tính tốn di động Trở ngại cho người thiết kế tính tốn di động cách để tương thích với thiết kế hệ thống hoạt động tốt cho hệ thống tính toán truyền thống Nên ý lĩnh vực an ninh, “việc thiết kế hoạt động tốt cho tính tốn truyền thống” chúng trạng thái thay đổi liên tục cộng thêm với độ bất định bổ sung tới cân Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vô tuyến 1.5.1 Vùng trở ngại 1: Các đoạn nối mạng vô tuyến Theo định nghĩa, mạng vô tuyến phụ thuôc vào đoạn nối thông tin vơ tuyến, điển hình sử dụng tín hiệu sóng vơ tuyến (radio) để thực truyền dẫn thơng tin qua phần đáng kể sở hạ tầng chúng Dĩ nhiên, sức mạnh to lớn cơng nghệ thơng tin vơ tuyến hỗ trợ việc truyền thơng diễn với thiết bị di động Tuy nhiên nhiều phương diện, việc sử dụng đoạn nối vô tuyến mạng đặt nhiều vấn đề so với mạng sử dụng dây đồng, cáp sợi quang tổ hợp sở hạ tầng cố định Băng tần thấp: Tốc độ mạng vơ tuyến hoạt động tăng công nghệ cải thiện Tuy nhiên, nói chung đoạn nối vơ tuyến hỗ trợ truyền số liệu thấp vài lần độ lớn so với mạng cố định Ví dụ, mạng điện thoại tổ ong hệ thứ hai truyền liệu kênh tốc độ xấp xỉ 10Kbits/s Tốc độ tăng lên 350Kbits/s chút đề cập đến mạng tổ ong hệ thứ ba Hiện thời, hệ thống LAN không dây sử dụng chuẩn 802.11b đạt tốc độ lên tới 11Mbits/s Tuy nhiên nên ý tốc độ cho tồn mạng, khơng phải cho kênh thơng tin máy đơn lẻ, hoạt động vùng nhỏ, ví dụ tầng nhà Trong mạng hữu tuyến, Fast Ethernet, hoạt động tốc độ 100Mbits/s trở thành chuẩn mạng nhà, kênh đường trục Internet cự ly dài hoạt động tốc độ nhiều Gigabits/s Suy hao số liệu thường xuyên: So với mạng hữu tuyến, liệu số thường xuyên bị suy hao sai hỏng truyền qua đoạn nối vô tuyến Các giao thức liên mạng sử dụng chế để kiểm tra tính tồn vẹn số liệu nhận dạng tình yêu cầu thông tin truyền, mà tác động tổ hợp hiệu ứng băng tân thấp Ngồi việc làm chậm tốc độ thơng tin truyền xác, suy hao liệu tăng tính thay đổi thời gian yêu cầu để truyền cấu trúc liệu cho trước để kết thúc chuyển giao Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vơ tuyến “Tính mở” sóng khơng gian: Các mạng hữu tuyến dù tạo thành từ dây đồng hay cáp sợi quang bị rẽ nhánh Tuy nhiên, điều có khuynh hướng thủ tục gây trở ngại mặt kỹ thuật việc xâm nhập thường xuyên phát thiết bị giám sát mạng Ngược lại, mạng vô tuyến gửi số liệu qua khí cách sử dụng tín hiệu sóng vơ tuyến (radio) nghe chí cách sử dụng thiết bị không đắt tiền Những xâm nhập tiêu cực khó phát Trường hợp đặt đe doạ an ninh cho mạng vô tuyến Như thấy chương sau, người thiết kế hệ thống tổ ong hệ thứ hai giải nguy rõ ràng đặt người đơn giản truyền liệu thoại liệu nhạy cảm qua đoạn nối vô tuyến cách sử dụng kỹ thuật mật mã 1.5.2 Vùng trở ngại 2: Tính di động người sử dụng Như đề cập, tiến vượt bậc công nghệ liên mạng vô tuyến người sử dụng di chuyển trì liên lạc với mạng Tuy nhiên, đặc điểm liên mạng vô tuyến làm yếu loại bỏ vài đoán mà giúp đảm bảo an ninh mạng hữu tuyến Ví dụ, mạng hữu tuyến điển hình văn phịng, máy tính để bàn người sử dụng ln kết nối đến cổng Hub mạng (hoặc phần tương đương thiết bị kết nối mạng) Hơn nữa, tập hợp máy tính, máy in, thiết bị mạng khác kết nối với mạng điểm theo thời gian nhà quản trị hệ thống biết điều khiển nhà quản trị Trong môi trường liên mạng vơ tuyến, đốn khơng cịn áp dụng Người sử dụng nhà quản trị hệ thống xác định “cổng (port)” mạng chí mạng họ kết nối tới với thiết bị di động họ Tương tự, tập thiết bị kết nối với mạng vô tuyến điểm theo thời gian phụ thuộc vào di chuyển hành động cá nhân người sử dụng, điều khiển người vận hành mạng Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vô tuyến Ngắt kết nối tái kết nối: người sử dụng mạng thơng tin vơ tuyến thường xun có nguy bị ngắt kết nối đột ngột từ mạng Điều xảy nhiều lý do: người sử dụng di chuyển thiết bị di động vùng phủ sóng trạm gốc mà chúng liên lạc với nó; di chuyển người sử dụng gây chướng ngại vật lý Cũng vậy, vận hành mạng thơng tin tổ ong, người sử dụng di chuyển từ vùng phủ sóng trạm gốc đến vùng khác nên mạng phải truyền điều khiển phiên truyền thông với “hand-off” (chuyển giao), gây trễ bị ngắt kết nối Kết nối mạng hỗn tạp: Trong mạng hữu tuyến điển hình, máy tính kết nối cố định với mạng nhà Đặc tính mạng số lượng biết trước thay đổi - tức hệ thống nâng cấp cho file server firewall hoạch định giám sát cách cẩn thận Tuy nhiên, mạng vô tuyến, trạm di động ví dụ máy điện thoại tổ ong PDA chuyển vùng thường xuyên mạng host khác Đặc tính mạng cách mà chúng tương tác với mạng nhà người sử dụng thay đổi đáng kể Cư trú địa chỉ: Trong mạng hữu tuyến thông thường, máy tính thiết bị khác kết nối với mạng gắn địa mạng (địa IP giới Internet) thời gian dài Nếu thiết bị di chuyển mạng, nhà quản trị mạng co thể cập nhật địa mạng Trong môi trường liên mạng vô tuyến, địa mạng - mạng mà chúng liên quan - phải quản lý nguy an ninh độ phức tạp nhiều nhiều Thơng tin phụ thuộc vị trí: Tình nói đến thơng tin vị trí song song với tình trường hợp cư trú địa Trong mạng hữu tuyến, vị trí thiết bị tính tốn tương đối tĩnh người quản trị biết trước Trong mơi trường vơ tuyến, vị trí thiết bị truyền thơng tính tốn thay đổi thường xun Cơ sở hạ tầng liên mạng vô tuyến bám trả lời thay đổi vị trí để cung cấp dịch vụ cho người sử dụng mà cịn Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vô tuyến phải cung cấp phân phối an toàn để bảo vệ thơng tin vị trí Trong mơi trường vơ tuyến, bảo vệ tính bảo mật người sử dụng dĩ nhiên gồm: bảo vệ nội dung tin hội thoại chống lại xâm nhập, yêu cầu hệ thống giữ tính riêng tư vị trí người sử dụng hệ thống 1.6 Thuật tốn khóa cơng cộng “Light-Weight” cho mạng vơ tuyến 1.6.1 Thuật tốn MSR Phương pháp thuật toán MSR dựa số học modul phụ thuộc vào phức tạp việc phân tích thừa số số lớn MSR hoạt động sau: Khóa cơng cộng modul, N, tích hai số nguyên tố lớn, p q (trong đó, thực thực tế, p q điển hình số nhị phân có độ dài từ 75 đến 100 bít) Tổ hợp p q tạo thành thành phần khóa riêng thuật tốn Nếu Principal A muốn chuyển tin tin cậy M tới Principal B, A tính CM2 mod N, C đoạn văn mật mã phát sinh M2 giá trị nhị phân tin M bình phương Chú ý phép tốn modul lấy giá trị phần dư modul N Khi nhận đoạn văn mã hóa C, principal B, người biết p q đảo ngược trình cách lấy modul bậc C để lấp M (nghĩa MSQRT(C) mod N) Đối với phía khơng có quyền truy nhập đến giá trị p q, thực giải pháp bị cản trở khó khăn thừa số N – khơng có thuật toán độ phức tạp đa thức MSR trợ giúp mật mã khóa riêng/khóa cơng cộng chế độ truyền tin, ngồi MSR có ưu điểm lớn thứ hai sử dụng cho mơi trường vơ tuyến Việc tải thuật tốn có sử dụng máy điện tốn bất đối xứng Tính modul bình phương cần cho mật mã u cầu tính tốn nhiều (chỉ phép nhân modul) so với lấy modul bậc để trở lại văn thường (điều u cầu phép tính số mũ) Vì vậy, chức mã hóa đặt trạm di Nguyễn Anh Tuấn ĐTVT K27 Chương 1: Nhận thực môi trường liên mạng vô tuyến động, chức giải mật mã trạm gốc, cách lý tưởng MSR đáp ứng hạn chế đặt máy điện thoại có xử lý chậm dự trữ nguồn giới hạn 1.6.2 Mật mã đường cong elíp (ECC: Elliptic Curve Cryptography) ECC sử dụng khóa 160 bít đưa xấp xỉ mức bảo mật RSA có khóa 1024 bít ECC chí có khóa 139 bít cung cấp mức bảo mật Sử dụng hai biến thể phương pháp ECC bản, EC-EKE (Elliptic Curve Encrypted Key Exchange: Trao đổi khóa mật mã đường cong elíp) SPECKE (Simple Password Elliptic Curve Key Exchange: Trao đổi khóa đường cong mật đơn giản) Cả hai biến thể yêu cầu Principal liên lạc thỏa thuận password, định nghĩa toán học đường cong elip cụ thể, điểm đường cong này, trước thiết lập phiên truyền thông (mặc dù không nghiên cứu phần này, trung tâm nhận thực cung cấp thơng tin cần thiết cho Principal trao đổi nhận thực) Khi thực thử thủ tục nhận thực cho môi trường vô tuyến sử dụng ECDSA (Elliptic Curve Digital Signature Algorithm: Thuật tốn chữ ký số đường cong elíp), Aydos, Yanik Koc sử dụng máy RISC 80MHz ARM7TDMI xử lý mục tiêu (ARM7TDMI sử dụng ứng dụng số sản phẩm di động thiết kế để liên lạc thơng qua mạng vơ tuyến) Bằng cách sử dụng khóa ECC độ dài 160 bit, việc tạo chữ ký ECDSA yêu cầu 46,4 ms, 92,4 ms cho xác minh chữ ký Với độ dài khóa 256 bít phải tới 153,5 ms cho việc tạo chữ ký 313,4 ms cho việc xác minh Cách tiếp cận ECDSA dựa ECC tới việc xác minh thuê bao lựa chọn thực tế cho môi trường vơ tuyến 1.7 Mật mã khóa cơng cộng gặp phải vấn đề khó khăn Nguyễn Anh Tuấn ĐTVT K27 10 Chương 1: Nhận thực môi trường liên mạng vô tuyến Các cách tiếp cận cho nhận thực mật mã liệu ứng dụng mạng vô tuyến dựa mật mã khóa cơng cộng Phương pháp gọi Giải pháp khóa cơng cộng MSR tối thiểu sử dụng phương pháp MSR quyền trung ương tin cậy lưu giữ modulus N thừa số cấu thành p q Khi thuê bao bắt đầu hợp đồng dịch vụ chúng, chứng nhận bí mật đưa vào tổ hợp điện thoại mà tổ hợp sử dụng modul N Giải pháp khóa cơng cộng MSN tối thiểu có yếu người mạo nhận cổng trạm gốc thành cơng sau mạo nhận người sử dụng Giao thức thứ hai ba giao thức này, giao thức MSR cải tiến (IMSR) giải điểm yếu cách thêm việc nhận thực mạng tới trạm di động Cuối cùng, giao thức thứ – Giao thức MSR+DH bổ sung trao đổi khóa Diffie-Hellman vào phương pháp Modul bậc sở Một số ý sau cung cấp cách mà giao thức MSR+DH bổ sung vào khả IMSR, với lời thích quan trọng giao thức Beller, Chang, Yacobi 1.7.1 Các phần tử liệu giao thức MSN cải tiến Trong giao thức IMSR, Trạm gốc mạng phục vụ (SNBS: Serving Network Base Station) lẫn Chính quyền chứng nhận (CA: Certification Authority) giữ khóa cơng cộng mơ tả thảo luận MSR, biểu diễn tích hai số nguyên tố lớn p q, mà tạo thành khóa riêng Mỗi trạm gốc mạng giữ chứng chỉ, nhận từ Chính quyền chứng nhận, áp dụng hàm băm h cho ID mạng trạm gốc mạng cho khóa cơng cộng Beller, Chang Yacobi sử dụng thuật ngữ “Thiết bị điều khiển vô tuyến (RCE: Radio Control Equipment)” để xác định thực thể chức điều khiển cổng truyền thông mạng vô tuyến Các phần tử chức liệu then chốt giao thức IMSR bao gồm: Nguyễn Anh Tuấn ĐTVT K27 11 Chương 1: Nhận thực môi trường liên mạng vô tuyến IDBS (Base Station Identifier): Bộ nhận dạng trạm gốc mạng vô tuyến (trong ngữ cảnh trạm gốc mạng phục vụ mạng khách) IDMS (Mobile Station Identifier): Bộ nhận dạng trạm di động Điều tương ứng với IMSI (International Mobile Subscriber Identity : Nhận dạng thuê bao di động quốc tế) giao thức nhận thực GSM NBS (Public Key of Base Station): NBS, khóa cơng cộng trạm gốc tích số nguyên tố lớn, p BS qBS, trạm gốc mạng Chính quyền chứng nhận (CA) biết NCA (Public Key of CA): NCA, khóa cơng cộng CA tương tự tích số nguyên tố lớn, pCA qCA, CA biết Ks (Session Key): Một khóa phiên cho mật mã liệu đến sau phiên truyền thông, đàm phán giao thức nhận thực RANDX (Random Number): Một số ngẫu nhiên chọn trạm di động xác định Ks h (Hash Function): h hàm băm chiều, tất Principal biết, hàm giảm đối số đầu vào tới cỡ modulus (nghĩa độ dài NBS NCA) Trạm gốc kiểm tra tính hợp lệ chứng nhận cách bình phương giá trị chứng nhận modul NCA, so sánh với giá trị h (IDBS, NBS) (được tính tốn cách độc lập) Nếu giá trị trùng khớp với trạm di động thơng qua, khác hủy bỏ phiên truyền thông Trạm di động chọn số ngẫu nhiên gọi RANDX có chức khóa phiên Ks Trạm di động sau tính giá trị gọi a, a RANDX2 mod NBS Trạm di động sau gửi a đến trạm gốc Nguyễn Anh Tuấn ĐTVT K27 12 Chương 1: Nhận thực môi trường liên mạng vô tuyến 10 Server mạng tính giá trị RANDX (trong thực tế khóa phiên Ks) cách tính RANDX sqrt(a) mod NBS Chú ý kẻ nghe trộm thực tính tốn kẻ nghe trộm không truy cập thừa số p q trạm gốc Cả trạm gốc lẫn trạm di động dùng chung khóa phiên Ks 11 Bây trạm di động sử dụng khóa phiên Ks, hàm f, chuỗi m để tính giá trị gọi b, b f(Ks, m) Chuỗi m móc nối IDMS CertMS với Trạm di động truyền b tới trạm gốc mạng 12 Trạm di động sử dụng hiểu biết khóa phiên Ks để giải mật mã b lấy m Từ chuỗi m, trạm gốc lấy chứng nhận cho trạm di động Cert MS, tính CertMS2 mod NCA Giá trị so sánh với g(ID MS) mod NCA Nếu kết trùng nhau, trạm di động thực tế khoá phiên xác nhận Hoạt động giao thức IMSR mơ tả theo sơ đồ hình 1.1 Chú ý rằng, hình vẽ mơ tả giao tiếp trạm di động trạm gốc mạng, quyền xác nhận phần quan trọng sở hạ tầng Tuy nhiên với giao thức IMSR cho trước, CA yêu cầu trạm gốc thiết lập thuê bao đăng ký dịch vụ trừ thời điểm phiên riêng Điều có ưu điểm giảm yêu cầu cho truyền thông khoảng cách xa từ mạng phục vụ đến mạng nhà thiết lập phiên truyền thông Nguyễn Anh Tuấn ĐTVT K27 13 Chương 1: Nhận thực môi trường liên mạng vô tuyến Trạm di động Trạm gốc mạng phục vụ Yêu cầu mở phiên Tính CertBS = SQRT(h(IDBS, NBS)) mod NCA [IDBS, NBS, CertBS] Kiểm tra xem h(IDBS, NBS) = CertBS2 mod NCA Chú ý: NBS NCA tương ứng khố cơng cộng trạm gốc mạng CA [a] Chọn RANDX; Tính a = RANDX2 mod NBS; Thiết lập khoá phiên Ks = RANDX [b] Tính RANDX = SQRT(a) mod NBS; Thiết lập khố phiên Ks = RANDX Thiết lập m = (IDMS, CertMS); Tính b = f(Ks, m) Lấy CK(i) IK(i) Chú ý: h hàm băm; g hàm chiều Cả hai hàm tạo giá trị với độ dài bít với khố cơng cộng Tính m = f1(Ks, b); Lấy CertBS từ m; Kiểm tra xem CertBS2 mod NCA = g(IDMS) mod NCA Hình 1.1: Biểu đồ minh hoạ hoạt động thuật toán IMSR 1.7.2 Giao thức MSR+DH Một yếu quan trọng giao thức IMSR trạm gốc mạng cung cấp với thơng tin đủ bí mật trạm di động mà trạm gốc chứng minh không tin cậy, tương lai đóng vai trò trạm gốc nhận dịch vụ cách gian lận Giải pháp đặt cho vấn đề bổ xung khoá chuyển đổi Diffie-Hellman vào giao thức IMSR Với tăng cường này, tiếp xúc bị hạn chế thành viên nội mà biết giá trị p q cho CA 1.8 Thuật toán Beller, Chang Yacobi duyệt lại Giao thức MSR đơn giản dễ bị công nơi bọn trộm giả mạo trạm gốc hợp pháp tạo số nguyên tố p q riêng nó, chuyển tích N tới trạm di Nguyễn Anh Tuấn ĐTVT K27 14 Chương 1: Nhận thực mơi trường liên mạng vơ tuyến động thể khố cơng cộng thực Những chứng nhận giao thức IMSR có yếu chúng khơng chứa liệu liên quan đến thời gian ví dụ liệu hết hạn Điều nghĩa IMSR dễ bị cơng phát lại chứng nhận cũ sử dụng lại bọn công sau khoá phiên tương ứng tiết lộ Giải pháp tiềm để giải vấn đề gồm việc thêm tem thời gian vào chứng nhận IMSR, làm cho CA hoạt động “online” thành phần tham gia tích cực giao thức, tạo phân phối “quyền thu hồi giấy phép” Do đó, có hai giao thức để tăng cường cho giao thức đưa BCY nhằm tăng cường việc đảm bảo an ninh giữ vài ưu điểm phương pháp khố cơng cộng Giao thức trả lời khố bí mật (Secret – Key Responder Protocol): Giao thức giới thiệu lại khố bí mật xử lý trạm di động server tin cậy (“trusted server”) mà riêng biệt với trạm di động trạm gốc mạng Trusted server biết khoá riêng trạm di động giải mật mã nonce mật mã trạm di động với khoá riêng trạm di động Nonce sử dụng để đảm bảo thời hạn trao đổi tin nhận thực; có mặt trusted server hình ảnh cho phép trạm di động khởi tạo phiên truyền thông mà quảng bá nhận dạng riêng cách rõ ràng Giao thức an ninh Đầu cuối-đến-Đầu cuối (End –to – End Security Protocol): Có nhiều sơ đồ bảo mật cho mạng vô tuyến đảm nhận an ninh mạng vô tuyến Tuy nhiên, điều giả thuyết tối ưu: “ Người sử dụng nghĩ dạng an ninh di động tin tưởng vào hiệu việc đo đạc độ an toàn điều khiển người vận hành Vì yêu cầu người sử dụng dịch vụ bảo mật end -to- end (các thành phần mạng điều khiển người vận hành can thiệp đến) nên cung cấp.” Một khía cạnh thú vị Giao thức bảo mật đầu cuối đến Nguyễn Anh Tuấn ĐTVT K27 15 Chương 1: Nhận thực môi trường liên mạng vô tuyến đầu cuối là, trước khoá phiên tạo trao đổi giao thức yêu cầu hai người nghe nhận thực ID cách nhận giọng nói xác nhận (Giao thức khơng hữu dụng tương tác với người nghe mà người sử dụng không quen biết) Do hiệu thời gian hạn chế, công nghệ khố cơng cộng thời khơng thích hợp cho việc cung cấp độ tin cậy nhận dạng đích giao thức responder Ngoài thấy ưu điểm cơng nghệ khố cơng cộng giảm server online trusted server yêu cầu Điều tối ưu cho việc sử dụng cơng nghệ khố cơng cộng giải pháp chung cho nhận thực tính riêng tư giao thức PCS (Personal Communications Services: Các dịch vụ thông tin cá nhân) độ tin cậy nhận dạng đích yêu cầu Vấn đề rõ ràng đặc biệt vùng đô thị, nơi mà số máy di động đặt đồng thời cổng vơ tuyến cụ thể lên đến hàng trăm 1.9 Một phương pháp khố cơng cộng hỗ trợ nhiều thuật toán mật mã 1.9.1 Các phần tử liệu giao thức Aziz-Diffie Các phần tử liệu quan trọng giao thức nhận thực đề xuất Aziz Diffie gồm: RCH1 (Random Chanllenge): RCH1 giá trị yêu cầu ngẫu nhiên tạo trạm di động pha khởi tạo giao thức nhận thực có độ dài 128 bít CertMS (Certificate of the Mobile Station): Certificate trạm gốc chứa phần tử liệu đây: Số Sêri (Serial number), thời gian hiệu lực, tên máy, khố cơng cộng máy tên CA Nội dung định dạng Cert Nguyễn Anh Tuấn ĐTVT K27 16 Chương 1: Nhận thực môi trường liên mạng vô tuyến tuân theo CCITT X.509 Cert kí với tin digest tạo với khoá riêng CA Nhận dạng chứa CA Cert cho phép Principal khác đảm bảo an tồn khố cơng cộng CA CertBS (Certificate of Base Station): CertBS có phần tử cấu trúc trạm di động KUMS (Public Key): Khố cơng cộng trạm di động KUBS (Public Key): Khố cơng cộng trạm gốc RAND1; RAND2 (Random Numbers): RAND1, tạo trạm gốc RAND2, mà trạm di động tạo sử dụng việc tạo khoá phiên Ks (Session Key): Khoá phiên tạo thông qua việc sử dụng RAND1 lẫn RAND2 SKCS (List of Encription Protocols): SKCS cung cấp danh sách giao thức mật mã liệu khố riêng mà trạm di động sử dụng cho việc mật mã liệu truyền dẫn phiên truyền thông Sig (Digital Signatures): Những chữ ký số giao thức Aziz-Diffie, tạo cách sử dụng khoá riêng đăng ký principal, áp dụng cách áp dụng khố cơng cộng người ký 1.9.2 Hoạt động giao thức Aziz-Diffie Chuỗi trao đổi tin trạm di động trạm gốc mạng giao thức Aziz-Diffie bao gồm: Trạm di động gửi tin “request-to-join” (yêu cầu tham gia) tới trạm gốc mạng vùng lân cận Bản tin request to join chứa ba phần tử chính: số tạo ngẫu nhiên đóng vai trị yêu cầu (challenge), RCH1; chứng nhận trạm di động, Cert MS; danh sách thuật toán mật mã liệu khoá riêng mà trạm di động hỗ trợ, SKCS Nguyễn Anh Tuấn ĐTVT K27 17 Chương 1: Nhận thực môi trường liên mạng vô tuyến Trạm di động xác nhận giá trị chữ ký chứng nhận trạm di động Chú ý điều chứng nhận chứng nhận điều xác nhận có giá trị mà chứng nhận nhận từ trạm di động trạm di động mà chứng nhận phát hành tới Nếu chứng nhận khơng có giá trị trạm gốc kết thúc phiên; khác tiếp tục Trạm gốc trả lời trạm di động cách gửi chứng nhận nó, Cert BS; số ngẫu nhiên, RAND1, mật mã cách sử dụng khố cơng cộng trạm di động; lựa chọn thuật toán mật mã khoá riêng từ thuật toán giới thiệu trạm di động Trạm gốc chọn từ giao tập thuật toán giới thiệu trạm di động tập thuật toán mà trạm gốc hỗ trợ thuật tốn mà xem đưa độ bảo mật cao Độ dài khoá đàm phán đến độ dài tối thiểu mà trạm di động có khả xử lý trạm gốc hỗ trợ Trạm gốc tính tốn chữ ký tin cách sử dụng khoá riêng tập giá trị mà chứa giá trị mật mã RAND1, thuật toán mật mã liệu chọn, challenge RCH1 ban đầu nhận từ trạm di động danh sách ban đầu thuật toán mật mã ứng cử Trạm di động xác nhận tính chất hợp lệ chứng nhận nhận từ trạm gốc Trạm di động xác nhận chữ ký trạm gốc cách giải mật mã tập giá trị nhận tin kí, cách sử dụng khố cơng cộng trạm gốc Nếu giá trị RCH1 giá trị thuật toán mật mã ứng cử nhận từ trạm gốc phù hợp với giá trị truyền ban đầu trạm di động nhận dạng trạm gốc xác nhận Nếu khác trạm di động kết thúc phiên truyền thông Trạm di động lấy giá trị RAND1 giải mật mã sử dụng khố riêng Trạm di động tạo giá trị ngẫu nhiên thứ hai, RAND2 có độ dài bít RAND1 làm phép toán logic XOR hai chuỗi Chuỗi tạo RAND1RAND2 cấu thành khoá phiên cho phiên truyền Nguyễn Anh Tuấn ĐTVT K27 18 Chương 1: Nhận thực môi trường liên mạng vô tuyến thông Trạm di động mật mã giá trị RAND2 theo khố cơng cộng trạm gốc Trạm di động gửi giá trị mật mã RAND2 tới trạm gốc Nó tính tốn chữ ký tập giá trị chứa giá trị mật mã RAND2, giá trị mật mã RAND1 mà nhận trước từ trạm gốc (Bởi giá trị mật mã RAND1 ký với khoá riêng trạm di động nên trạm gốc có chế để xác nhận việc nhận thực trạm di động) Trạm di động gửi phần tử liệu tới trạm gốc Trạm gốc xác nhận chữ ký tin vừa nhận từ trạm di động cách sử dụng khố cơng cộng trạm di động Nếu chữ ký xác nhận, trạm gốc chấp nhận trạm di động thuê bao hợp lệ Trạm gốc giải mật mã giá trị RAND2 cách sử dụng khố riêng Trạm gốc tạo RAND1RAND2, để nắm giữ khố phiên (Chú ý để đảm bảo an tồn khố phiên RAND1RAND2, kẻ xâm nhập cần truy nhập vào khoá riêng trạm gốc lẫn trạm di động có khả hai bị xâm nhập) Đáng ý chữ ký số thêm vào tin gửi trạm gốc bước có ba vai trò khác sau đây: (1) để nhận thực tin, (2) để cung cấp trả lời yêu cầu (Challenge) tới tin trạm di động, (3) để nhận thực tin nhận thông qua việc chứa danh sách ban đầu thuật toán ứng cử Cũng ý rằng, CA không liên quan trực tiếp đến chuỗi giao thức nhận thực CA ký xác nhận trạm gốc lẫn trạm di động bước ưu tiên Sự trao đổi tin giao thức Aziz-Diffie thể hình 1.2 Nguyễn Anh Tuấn ĐTVT K27 19 Chương 1: Nhận thực môi trường liên mạng vô tuyến Trạm di động Trạm gốc mạng phục vụ Bản tin Request-to-Join [RCH1, CertMS, SKCS] Chú ý: SKCS danh sách thuật toán mật mã liệu ứng cử Xác nhận tính hợp lệ CertBS; Xác nhận chữ ký BS [CertBS, RAND1, RCH1, SKCS chọn] Xác nhận tính hợp lệ CertMS Chú ý: Trong tin trên, RAND1 mật mã với khố cơng cộng MS, Một chuỗi chứa Enc(RAND1), SKCS chọn, RCH1, SKCS ký với khoá riêng trạm gốc Tạo RAND2; Thiết lập khoá phiên Ks = RAND1 XOR RAND2 RAND2 Chú ý: Trong tin trên, RAND2 mật mã với khố cơng cộng BS Một chuỗi chứa Enc(RAND2), Enc(RAND1) ký với khố riêng trạm di dộng Xác định tính hợp lệ chữ ký MS Giải mật mã RAND2; Thiết lập khố phiên Ks = RAND1 XOR RAND2 Hình 1.2: Sơ đồ minh hoạ chuỗi trao đổi tin giao thức AzizDiffie 1.10 Kết luận chương Từ quan điểm người thiết kế vận hành mạng thơng tin tổ ong, cơng trình mơ tả chương rõ ràng vượt thời đại Bằng cách tập trung vào phương pháp tính tốn vừa phải MSR mật mã đường cong elíp, việc nghiên cứu tìm kiếm mối quan tâm liên quan tới hiệu khả mở rộng Tuy nhiên giới mạng, chí lưu lượng thoại hướng tới chế dựa IP Internet trở thành mơ hình bật cho tất loại truyền thông liệu việc thay đổi Nguyễn Anh Tuấn ĐTVT K27 20 ... cộng ngư? ?i ký 1.9.2 Hoạt động giao thức Aziz-Diffie Chu? ?i trao đ? ?i tin trạm di động trạm gốc mạng giao thức Aziz-Diffie bao gồm: Trạm di động g? ?i tin “request-to-join” (yêu cầu tham gia) t? ?i trạm... đ? ?i phiên thông tin đơn hai principal Vì khố phiên phân biệt v? ?i khố cơng cộng khố riêng ngư? ?i sử dụng hệ thống, khố ? ?i? ??n hình có th? ?i gian tồn d? ?i Các hệ thống thông tin thường tạo khoá phiên... (port)” mạng chí mạng họ kết n? ?i t? ?i v? ?i thiết bị di động họ Tương tự, tập thiết bị kết n? ?i v? ?i mạng vơ tuyến ? ?i? ??m theo th? ?i gian phụ thuộc vào di chuyển hành động cá nhân ngư? ?i sử dụng, ? ?i? ??u khiển
