Tài liệu Mobile ip và ứng dụng trong ngành cơ yếu công an tỉnh quảng ninh

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- Đoàn Xuân Thanh MOBILE IP VÀ ỨNG DỤNG TRONG NGÀNH CƠ YẾU CÔNG AN TỈNH QUẢNG NINH Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS Phạm Thế Quế Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………….. Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ............... Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỤC LỤC MỤC LỤC.............................................................................................................................1 MỞ ĐẦU ...............................................................................................................................4 1.1 Lý do chọn đề tài ............................................................................................................4 1.2 Mục đích nghiên cứu ......................................................................................................4 1.3 Đối tượng và phạm vi nghiên cứu .................................................................................5 1.4 Phương pháp nghiên cứu ...............................................................................................5 CHƯƠNG 1 - TỔNG QUAN MOBILE IP ........................................................................6 1.1 Giới thiệu chung mobile ip ............................................................................................6 1.1.1 Giới thiệu ............................................................................................................6 1.1.2 Cơ chế hoạt động cơ bản của Mobile IP ...........................................................6 1.1.3 Hoạt động thông báo và tìm kiếm mạng điều khiển ........................................8 1.1.4 Hoạt động đăng ký .............................................................................................8 1.1.5 Hoạt động truyền số liệu và mã hoá ..................................................................8 1.1.6 Một số vấn đề của Mobile Ipv4 .........................................................................8 1.1.7 Một số giải pháp cho Mobile Ipv4 ....................................................................8 1.1.8 Mobile IPv6 ........................................................................................................8 1.2 Định tuyến gói tin Mobile IP .........................................................................................8 1.2.1 Định tuyến các gói tin unicast ...........................................................................8 1.2.2 Định tuyến các gói tin broadcast .......................................................................9 1.2.3 Định tuyến gói tin đơn phương .........................................................................9 1.2.4 Định tuyến tối ưu................................................................................................9 1.3 Kết luận chương .............................................................................................................9 CHƯƠNG 2 - BẢO MẬT VỚI MOBILE IP ...................................................................10 2.1 Giới thiệu ......................................................................................................................10 2.2 Bảo mật với mobile ip ..................................................................................................10 2.2.1 Từ chối dịch vụ DoS ........................................................................................10 2.2.2 Bị nghe lén ........................................................................................................11 2 2.2.3 Tấn công phản hồi. ...........................................................................................11 2.2.4 Ăn cắp đoạn ......................................................................................................11 2.2.5 Đường hầm ảo ..................................................................................................12 2.2.6 Tấn công từ chối dịch vụ phân tán DDoS.......................................................12 2.3 Mô hình bảo mật...........................................................................................................12 2.3.1 Tiếp cận bảo mật yếu .......................................................................................12 2.3.2 Tiếp cận bảo mật mạnh ....................................................................................12 2.4 Môi trường bảo mật của Mobile IP .............................................................................12 2.4.1 Sử dụng đường hầm đảm bảo cho định tuyến ................................................12 2.4.2 Bỏ tối ưu hóa đường đi ....................................................................................12 2.4.3 Sử dụng tường lửa ............................................................................................13 2.4.4 Sử dụng Ipsec như là giải pháp đảm bảo cho mobile ip ................................13 2.5 Kết luận chương ...........................................................................................................13 CHƯƠNG III - ỨNG DỤNG PHẦN MỀM BẢO MẬT, SỬ DỤNG CHỮ KÝ ĐIỆN TỬ TRONG NGHIỆP VỤ CƠ YẾU CÔNG AN TỈNH QUẢNG NINH .............................14 3.1 Thực trạng ngành cơ yếu .............................................................................................14 3.1.1 Tổng quan .........................................................................................................14 3.1.2 Những mặt tồn tại trong quá trình hoạt động .................................................14 3.1.3 Đề xuất giải pháp..............................................................................................15 3.2 Chứng chỉ số .................................................................................................................15 3.2.1 Khái niệm chứng chỉ số ...................................................................................15 3.2.2 Tại sao cần dùng chứng chỉ số ........................................................................15 3.2.3 Ứng dụng chứng chỉ số ....................................................................................15 3.3 Xác thực ........................................................................................................................15 3.3.1 Khái niệm xác thực ..........................................................................................15 3.3.2 Kiểm tra và tạo chữ ký điện tử như thế nào ..................................................15 3.4 Vấn đề về mã hóa .........................................................................................................16 3.4.1 Giới thiệu hàm băm..........................................................................................16 3 3.4.2 Một số loại hàm băm........................................................................................16 3.4.3 Khái niệm về mã hóa .......................................................................................16 3.4.5 Hệ mã hoá khóa công khai ..............................................................................16 3.5 Cài đặt thử nghiệm .......................................................................................................16 3.5.1 Cài đặt thử nghiệm ...........................................................................................16 3.5.2 Demo chương trình ..........................................................................................16 3.6 Kết luận chương ...........................................................................................................19 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ........................................................................21 4 MỞ ĐẦU 1.1 Lý do chọn đề tài Internet đang trở thành phương tiện truyền thông của tương lai. Không lâu nữa sự liên lạc giữa người - người, người - máy, máy - máy sẽ được thực hiện thông qua các gói IP. Các dịch vụ như mạng riêng ảo cho xí nghiệp, thương mại điện tử, thoại qua IP,... đều dựa trên nền IP này. Tuy hiện nay việc truy nhập Internet chủ yếu ở dạng có dây, nhưng chắc chắn trong một tương lai gần Internet sẽ được truy nhập phổ biến ở dạng không dây. Nói cách khác, không chỉ riêng điện thoại di động mà mọi hình thức truyền thông đều sẽ có chung một giao thức IP và một giao tiếp mạng không dây. Mạng thông tin di động thế hệ sau với công nghệ IP là bước phát triển đột phá từ mạng di động thế hệ 2G và 3G. Điều này đặt ra cho các nhà nghiên cứu cần tìm ra và hoàn thiện hạ tầng IP trong môi trường truyền dẫn không dây, để tích hợp cung cấp tất cả các loại hình dịch vụ băng hẹp và băng rộng, nhu cầu di chuyển kết nối liên tục tới người dùng. Việc hỗ trợ khả năng di động cho các thiết bị Internet trở nên rất quan trọng, do điện toán động (mobile computing) ngày càng phát triển rộng rãi. Số lượng máy tính dự kiến sẽ tăng lên nhanh chóng. Hơn thế nữa, đã có những sản phẩm về điện thoại Cellular hỗ trợ các dịch vụ IP dựa trên WAP hay GPRS, và số lượng của chúng ngày càng tăng trong thời gian tới. Các thết bị Cellular của thế hệ 3G sẽ là các thiết bị chuyển mạch gói , thay vì chuyển mạch kênh như trước đây. Do đó các dịch vụ IP sẽ trở thành một bộ phận tích hợp trên các thiết bị Cellular 3G. Năm 1996, IETF đưa ra phiên bản RFC 2002 tên là Mobile IP. Giao thức Mobile IP hay IPv4 lúc đầu (IP version4) nay là IPv6, được phát triển dựa trên giao thức IP quen thuộc định nghĩa tại RFC 791. Xuất phát từ các yêu cầu thực tiễn nêu trên, việc tìm hiểu về Mobile IP và ứng dụng bảo mật trong ngành cơ yếu công an tỉnh Quảng Ninh là thật sự cần thiết, đặc biệt khi xu hướng công nghệ đang tiến đến All-IP. 1.2 Mục đích nghiên cứu Nghiên cứu tổng quan các khái niệm về Mobile IP Ứng dụng của Mobile IP trong ngày cơ yếu công an tỉnh Quảng Ninh 5 1.3 Đối tượng và phạm vi nghiên cứu - Về lý thuyết: Tìm hiểu lý thuyết về định tuyến, quản lý tính di động trong Mobile IP Các giải pháp bảo mật trong Mobile IP - Về thực nghiệm: Ứng dụng bảo mật, sử dụng chữ ký điện tử trong nghiệp vụ cơ yếu Công An Quảng Ninh. 1.4 Phương pháp nghiên cứu - Thu thập, tìm hiểu các tài liệu liên quan tới: Các khái niệm về Mobile IP Định tuyến các gói tin và quản lý tính đi động trong Mobile IP 4G Bảo mật trong Mobile IP Ứng dụng bảo mật, sử dụng chữ ký điện tử trong nghiệp vụ cơ yếu Công An Quảng Ninh. - Tiến hành cài đặt và thử nghiệm 6 CHƯƠNG 1 - TỔNG QUAN MOBILE IP 1.1 Giới thiệu chung mobile ip 1.1.1 Giới thiệu Mạng thông tin di động thế hệ sau với công nghệ IP là bước phát triển đột phá từ mạng di động thế hệ 2G và 3G. Điều này đặt ra cho các nhà nghiên cứu cần tìm ra và hoàn thiện hạ tầng IP trong môi trường truyền dẫn không dây, để tích hợp cung cấp tất cả các loại hình dịch vụ băng hẹp và băng rộng, nhu cầu di chuyển kết nối liên tục tới người dùng. Năm 1996, IETF đưa ra phiên bản RFC 2002 tên là Mobile IP. Giao thức Mobile IP hay IPv4 lúc đầu (IP version 4) nay là IPv6, được phát triển dựa trên giao thức IP quen thuộc định nghĩa trong RFC 791, để giải quyết vấn đề quản lý di động thuê bao Internet. Mobile IP hỗ trợ khả năng di động cho các đầu cuối trong khi vẫn sử dụng các dịch vụ như ở mạng IP cố định. Một tiêu chuẩn mới không thể yêu cầu thay đổi ứng dụng hoặc giao thức mạng đang sử dụng. Vì thế Mobile IP cần phải được tích hợp vào trong hạ tầng mạng hiện có hoặc chí ít cũng phải hoạt động được cùng với chúng. Hơn nữa nó phải đảm bảo tính tương thích với tất cả các lớp dưới không sử dụng giao thức Mobile IP, có nghĩa nó không thể yêu cầu phương tiện đặc biệt hoặc các giao thức MAC/LLC. Vì thế Mobile IP phải sử dụng cùng giao tiếp và cơ chế truy nhập với các lớp dưới như IP thực hiện. Cuối cùng, các hệ thống được nâng cấp với Mobile IP vẫn phải đảm bảo có thể kết nối tới các hệ thống cố định không dùng Mobile IP, người dùng vẫn có thể truy cập tới mọi hệ thống trên Internet theo cách họ thường dùng ở mạng cố định. Chức năng di động của Mobile IP phải đảm bảo che giấu cho các ứng dụng và giao thức lớp trên. Bên cạnh việc có thể thông báo sự gián đoạn về dịch vụ, thì các lớp cao hơn cần tiếp tục hoạt động kể cả khi đầu cuối di động thay đổi vùng truy nhập mạng. Khi nâng cấp tính di động cho IP (khi đó sẽ có thêm nhiều bản tin trao đổi trên mạng) phải đảm bảo không ảnh hưởng tới hiệu suất mạng. Phải phòng ngừa khả năng nghẽn mạch cục bộ khi có quá nhiều đầu cuối di động hoạt động tại một vùng. 1.1.2 Cơ chế hoạt động cơ bản của Mobile IP Một số định nghĩa trong Mobile IP:  Nút di động (Mobile Node - MN): Là đầu cuối di động IP, có thể thay đổi vị trí truy nhập mạng, nó duy trì liên tục địa chỉ IP và kết nối trên Internet. 7  Nút tương ứng (Correspondant Node - CN): Có thể là đầu cuối di động hoặc cố định sẽ kết nối với MN.  Mạng nhà hay mạng gốc (Home network - HN): Là mạng quản lý trực tiếp địa chỉ IP của MN, tính di động của MN không có ý nghĩa trong mạng này.  Mạng ngoài (Foreign Network - FN): Là mạng MN di chuyển tới và không quản lý trực tiếp MN.  Địa chỉ quản lý (Care-Of-Address - COA): Là một địa chỉ IP của FA, nó định nghĩa vị trí hiện tại của MN. Các gói IP không được chuyển trực tiếp tới địa chỉ IP của MN mà phải chuyển tiếp qua FA .  Trạm ngoài (Foreign Agent - FA): Thuộc mạng FN, cung cấp các dịch vụ cho MN khi nó chuyển vùng tới. FA có thể là bộ định tuyến cho MN và có COA nên nó hoạt động như là điểm cuối và chuyển tiếp các gói số liệu tới MN. FA lưu một danh sách các MN khách bao gồm các thông tin MN. Bảng 1.1: Foreign Agent - Trạm ngoài Home Address Home Agent Address Media Address Lifetime (in sec) 10.206.18.10 10.206.18.1 00 – 60 – 08 – 95 – 66 – E1 150 10.206.16.25 10.206.16.25 00 – 60 – 48 – 25 – 61 – 31 150 10.206.18.33 10.206.18.3 00 – 60 – 48 – 35 – 61 – 51 150 Trạm nhà hay trạm gốc (Home Agent - HA): là hệ thống để MN đăng ký sử dụng dịch vụ, nó thuộc mạng HN và có thể là Router được chỉ định trong mạng lưu trữ liên kết di động trong một bảng liên kết di động và mỗi đầu vào gồm ba thành phần là : Home Address, COA, Life time như bảng . Tất cả các gói số liệu truyền tới MN đều xuất phát từ đây. HA sẽ biết vị trí hiện tại của MN thông qua COA, nó duy trì số liệu đăng ký chuyển vùng cho các MN: 8 Bảng 1.2: Home Agent – Trạm nhà Home Address Care of Address Lifetime (in sec) 10.206.18.10 192.168.10.20 200 10.206.18.25 192.168.18.10 150 10.206.18.33 128.172.23.12 150 Foreign Agent 2 3 Home Agent Internet Foreign Network Home Network 4 1 Mobile Node ` Correspondent Node Hình 1.1: Kiến trúc mạng Mobile đơn giản MN đang ở mạng FN và trao đổi số liệu IP với Node CN. Do yêu cầu che dấu tính di động của đầu cuối ở Mobile IP, nên CN không cần biết vị trí hiện tại của MN mà chỉ việc gửi số liệu tới địa chỉ IP của nó. 1.1.3 Hoạt động thông báo và tìm kiếm mạng điều khiển 1.1.4 Hoạt động đăng ký 1.1.5 Hoạt động truyền số liệu và mã hoá 1.1.6 Một số vấn đề của Mobile Ipv4 1.1.7 Một số giải pháp cho Mobile Ipv4 1.1.8 Mobile IPv6 1.2 Định tuyến gói tin Mobile IP 1.2.1 Định tuyến các gói tin unicast 9 1.2.2 Định tuyến các gói tin broadcast 1.2.3 Định tuyến gói tin đơn phương 1.2.4 Định tuyến tối ưu 1.3 Kết luận chương Mobile IP ra đời đã góp phần giải quyết vấn đề quản lý di động của các thiết bị di động. Cơ chế của Mobile IP sử dụng các địa chỉ tạm thời để hỗ trợ việc quản lý. Ban đầu, với giao thức Mobile Ipv4 đã giải quyết được vấn đề này xong nó còn tồn tại một số vấn đề khác như chuyển giao, bảo mật,…Các vấn đề này cũng đã dần được giải quyết bởi giao thức Mobile Ipv6 và một số phương pháp cải tiến khác. Mobile IP đã được ứng dụng tốt trong mạng 3G và hiện nay, công nghệ mạng đã phát triển lên 4G. Trong tương lai dựa trên hướng phát triển trên giao thức Mobile IP chúng ta hy vọng rằng công nghệ IP di động sẽ sớm ứng dụng trong mạng di động 4G, mạng sẽ có nhiều tiện lợi, tương thích tốt với các mạng hiện có, đảm bảo chất lượng dịch vụ, tính xác thực và bảo mật cao trong việc trao đổi thông tin. 10 CHƯƠNG 2 - BẢO MẬT VỚI MOBILE IP 2.1 Giới thiệu 2.2 Bảo mật với mobile ip Trong bất kỳ biện pháp phòng ngừa môi trường mạng nên được thực hiện để ngăn chặn những cái được gọi là ‘ tấn công nội bộ ‘. Đây là cuộc tấn công được cho là từ các nhân viên công ty đáng tin cậy và liên quan tới việc truy cập trái phép vào các thông tin nhạy cảm cho các mục đích xấu. Hình 2.8: Mô hình mạng dành cho Mobile IP trong mạng nội bộ Mỹ 2.2.1 Từ chối dịch vụ DoS Một cụm định nghĩa phổ biến dành cho tấn công từ chối dịch vụ “ một kẻ xấu ngăn chặn một chàng trai tốt từ công việc thường xuyên được thực hiện”. Đối với các mạng máy tính nói chung, một cuộc tấn công từ chối dịch vụ có thể có hai dạng: một lũ người xấu một hots với một gói tin( theo cách đó ngăn ngừa host từ việc xử lý các gói tin là hữu ích) hoặc bằng cách nào đó những lũ xấu đó ngăn chặn dòng dòng gói tin hữu ích tới một nút nào đó. Trong trường hợp một mạng Mobile IP bị một cuộc tấn công từ chối dịch vụ xảy ra khi một kẻ xấu đăng ký một địa chỉ ( Care 0f Address) mới không có thật dành cho một nút mobile riêng biệt. Một hình thức đăng ký không có thật như vậy đưa đến hai vấn đề: Nút mobile của người sử dụng tốt không còn được kết nối. Kẻ xấu nhìn thất tất cả lưu lượng truy cập node di động ban đầu. Tấn công từ chối dịch vụ bằng cách đăng ký không có thật được minh họa trong hình dưới: 11 Hình 2.9: Tấn công từ chối dịch vụ tới mạng Mobile IP 2.2.2 Bị nghe lén Nghe lén là một hình thức ăn cắp thông tin, một cuộc tấn công nghe lén xảy ra khi một kẻ xấu quản lý lưu lượng nghe gọi trao đổi giữa một nút di động và tại nhà. Điều này xảy ra một kẻ tấn công cần truy cập lưu lượng, điều này xảy ra trong những cách sau đây. 2.2.3 Tấn công phản hồi. Sử dụng xác thực, một thiết bị di động có thể ngăn chặn các cuộc tấn công từ chối dịch vụ như đã đề cập trong phần trước. Tuy nhiên nó không thể bảo vệ các thiết bị di động từ cuộc tấn công ngược, bởi vì những kẻ tấn công có thể có một bản sao các thông điệp yêu cầu đăng ký có giá trị, lưu trên bộ nhớ đệm. Và sau đó trả lời lại bằng cách đăng ký một địa chỉ care - of – address dành cho thiết bị di động. Để ngăn chặn cuộc tấn công này, các thiết bị di động chung tạo ra một giá trị duy nhất để xác thực các trường với mỗi một đăng ký thành công. Như vậy, thông điệp yêu cầu đăng ký được lưu trữ bởi kẻ tấn công sẽ được định nghĩa hết hạn từ tác nhân tương tự. 2.2.4 Ăn cắp đoạn Ăn cắp đoạn là một là một hình thức hoạt động của hành vi ăn cắp thông tin, nó liên quan đến một kể xấu thực hiện theo các bước sau đây: Kẻ xấu chờ đợi một nút di động để đăng ký với tác nhân tại nhà. Kẻ xấu nghe lén để xem khi nào đến thông tin thú vị Sau đó, kẻ xấu núp dưới nút điện thoại không có thật, các gói tin và do đó đặt nó bên ngoài hành động. 12 2.2.5 Đường hầm ảo Đường hầm với mạng gia đình hoặc ngoài mạng có thể được sử dụng để ẩn các gói tin độc hại và nhận được chúng để vượt qua tường lửa. Phương pháp đăng ký là một vài trò quan trọng của IP di động, mobile IP có một số giải pháp bảo mật cơ bản. Mobile IP yêu cầu xác thực cho phương pháp đăng ký giữa các thiết bị di động và các đại lý. Hơn nữa điện thoại đi động IP sử dụng trường nhận dạng và dấu thời gian để bảo vệ đăng ký từ bất cuộc tấn công. 2.2.6 Tấn công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị "ngập" bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ. Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS. 2.3 Mô hình bảo mật 2.3.1 Tiếp cận bảo mật yếu 2.3.2 Tiếp cận bảo mật mạnh 2.4 Môi trường bảo mật của Mobile IP 2.4.1 Sử dụng đường hầm đảm bảo cho định tuyến Mục đích chính của việc sử dụng kỹ thuật đường hầm thay vì định tuyến nguồn là vì đường hầm liên quan đến ít các mối đe dạo, bảo mật cao hơn. Kẻ tấn công có thể sử dụng một địa chỉ care – of – address thao tác như là đích trong một tuyến nguồn không chặt chẽ. Điều này làm cho các nút tương ứng đảo ngược đường và gửi thông điệp thao tác tới địa chỉ care – of – address. 2.4.2 Bỏ tối ưu hóa đường đi Khi một thiết bị di động kết nối với nút từ mạng ngoài, tất cả các gói dữ liệu phải được chuyển tiếp thông qua đại lý. Điều này được gọi là định tuyến tam giác mà kết quả có thể làm giảm đáng kể kết quả về hiệu xuất. 13 Định tuyến tối ưu để Mobile IP được đề xuất gần nhất, cho phép các đại lý thông báo cho các nút tương ứng với địa chỉ thiết bị di động care – of – address. Do đó các nút đó có thể truyền thông trực tiếp tới các thiết bị di động mà không cần thông qua các đại lý. Mà kết quả trọng sự trì hoãn và tiêu thị ít tài nguyên. Tuy nhiên vấn đề chính với tối ưu hóa đường truyền là an ninh. Một quản trị mạng cấu hình một khóa bí mật để xác thực các thiết bị di động, nhưng với số lượng lớn các thiết bị di động, nó không phải là thực tế để cấu hình khóa giữa các nút di động và mọi nút khác. Trong trường hợp tam giác định tuyến, nó cấu hình một khóa giữa giữa nút di động và đại lý. 2.4.3 Sử dụng tường lửa Một bức tường lửa là được sử dụng để ngăn chặn truy cập không mong muốn tới dịch vụ mạng, các bức tường lửa giám sát lưu lượng truy cập thông qua mạng và các thiết bị trên cơ sở các quy tắc xác định các gói tin nhất định được phép thông qua hay không. Bằng cách này, nó sẽ cố gắng ngăn chặn truy cập trái phép. Thông thường, một bức tường lửa không thể ngăn chặn việc khai thác các lỗ hổng trong các dịch vụ mạng nếu các đối tác truyền thông có thể truy cập vào nó. Có nhiều loại tường lửa, chủ yếu là ba loại sau đây: Tổng kết, chúng ta có thể kết luận tường lửa cung cấp cơ chế bảo mật tốt và tính linh hoạt cho Mobile IP bằng cách sử dụng các loại tường lửa được mô tả ở trên. 2.4.4 Sử dụng Ipsec như là giải pháp đảm bảo cho mobile ip Ipsec ( giao thức bảo mật internet) là được định nghĩa bởi IETF như là một framework theo tiểu chuẩn mở để đảm bảo tryền thông tin qua mạng IP được bảo vệ bởi việc sử dụng các dịch vụ mật mã. 2.5 Kết luận chương Trong lĩnh vực máy tính di động có nhiều điểm khác với máy tính thông thường. Trong nhiều trường hợp máy tính di động thường được kết nối với mạng qua liên kết không dây. Liên kết không dây này, là liên kết đặc biệt rất dễ bị nghe trộm và bị tấm công từ bên ngoài và các kiểu truy nhập khác. Giao thức Mobile IP được xây dựng trên nền là giao thức TCP/IP do vậy nó cũng sử dụng tất cả các biện pháp bảo mật dữ liệu như giao thức TCP/IP và ngoài ra sử dụng những biện pháp trên cũng đóng vai trò tăng tính bảo mật của Mobile IP. 14 CHƯƠNG III - ỨNG DỤNG PHẦN MỀM BẢO MẬT, SỬ DỤNG CHỮ KÝ ĐIỆN TỬ TRONG NGHIỆP VỤ CƠ YẾU CÔNG AN TỈNH QUẢNG NINH 3.1 Thực trạng ngành cơ yếu 3.1.1 Tổng quan Đặc thù của ngành cơ yếu là một ngành hoạt động hết sức bí mật, tất cả các hoạt động nghiệp vụ, con người và tài nguyên sử dụng đều được bảo mật và quản lý chặt chẽ. Thực hiện công tác cải cách thủ tục hành chính và mục tiêu xây dựng chính quyền điện tử, lực lượng công an nhân dân thực hiện công tác quản lý nhà nước về an ninh trật tự. Vừa có các hoạt động thủ tục hành chính nhưng đăng ký phương tiện, cấp giấy phép lái xe, quản lý cấp phát chứng minh thư nhân dân, hộ khẩu, hộ chiếu. Cấp giấy phép cho một số ngành nghề kinh doanh đặc biệt có liên quan tới an ninh trật tự, phòng chống cháy nổ … Một số hoạt động cần tính bảo mật cao như các văn bản, điện chỉ đạo liên quan tới công tác đấu tranh và phòng chống tội phạm như lệnh bắt, khám xét, quản lý trao đổi thông tin, các phương án kế hoạch đấu tranh phòng chống tội phạm… Các văn bản có độ bảo mật khác nhau, bao gồm các mức:  Mật  Tuyệt mật  Tối mật Trong đó công tác cơ yếu bảo mật có vị trí rất quan trọng đối với lực lượng công an nhân dân, công tác cơ yếu đảm bảo việc trao đổi thông tin liên lạc thường xuyên để phục vụ công tác, yêu cầu thông tin phải nhanh chóng, chính xác, bảo mật mới đáp ứng đủ. 3.1.2 Những mặt tồn tại trong quá trình hoạt động Hệ thống văn bản và tài liệu khi lưu chuyển nội bộ từ đơn vị này sang đơn vị khác gặp phải những vấn đề sau:  Mất thời gian và tốn công sức trong quá trình lưu chuyển.  Khối lượng văn bản hiện nay khi cần ký vẫn dừng ở mức truyền thống là ký tay trực tiếp như vậy sẽ rất mất thời gian, đặc biệt khi khoảng cách địa lý là xa thì quá trình ký văn bản sẽ rất mất thời gian. 15 Một văn bản hiện tại ngoài những yêu cầu bảo mật chung thì quá trình trao đổi thông tin trên mạng vẫn có thể xảy ra nguy cơ thông tin bị đánh cắp hoặc nội dung bị thay đổi. 3.1.3 Đề xuất giải pháp Giống như chữ ký truyền thống trên các tài liệu thì chữ ký điện tử cũng có một ý nghĩa tương tự, đó là dùng chữ ký điện tử để ký lên một e-mail hoặc dữ liệu điện tử. Chữ ký điện tử được tạo ra và được chứng thực do việc dùng chứng chỉ số. Ngày nay, trên thế giới đã có nhiều quốc gia đã ban hành những điều luật công nhận chữ ký điện tử có giá trị pháp lý như những chữ ký trên các văn bản, giấy tờ trước đây vẫn dùng. Để ký, để tạo nên một giao dịch an toàn thì chứng chỉ số của bạn là duy nhất. Chữ ký điện tử giải quyết được nhiều vấn đề quan trọng: • Tính xác thực. • An toàn và toàn vẹn dữ liệu. • Không chối cãi nguồn gốc. Trước thực trạng đó ngành cơ yếu công an tỉnh Quảng Ninh với đặc thù riêng về công việc thì vấn đề bảo mật an toàn mạng và an toàn thông tin là rất quan trọng. 3.2 Chứng chỉ số 3.2.1 Khái niệm chứng chỉ số Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khoá công khai (public key). 3.2.2 Tại sao cần dùng chứng chỉ số 3.2.3 Ứng dụng chứng chỉ số 3.3 Xác thực 3.3.1 Khái niệm xác thực Xác thực là việc xác minh, kiểm tra một thông tin hay một thực thể để công nhận hoặc bác bỏ tính hợp lệ của thông tin hay thực thể đó. Xác thực luôn là yêu cầu quan trọng trong các giao tiếp cần có sự tin cậy. Để đơn giản ta xét mô hình giao tiếp gồm 2 thực thể trao đổi thông tin A và B, họ cùng mục đích trao đổi một thông tin X nào đó. 3.3.2 Kiểm tra và tạo chữ ký điện tử như thế nào 16 Để tạo một chữ ký điện tử, người ký tạo một dữ liệu “băm” là duy nhất và rút ngắn lại so với dữ liệu gốc, sau đó dùng private key để mã hoá dữ liệu đã được “băm” nói trên. Vậy thì chữ ký điện tử chính là dạng băm của dữ liệu đã được mã hoá bằng private key của người ký. Nếu thông điệp bị thay đổi thì dẫn đến kết quả “băm” của thông điệp đã bị thay đổi khác so với kết quả “băm” của thông điệp khi chưa bị thay đổi. Với các thông điệp khác nhau và với một private key dùng để ký thì chữ ký điện tử là duy nhất, bởi vậy không thể giả mạo được chữ ký điện tử. 3.4 Vấn đề về mã hóa 3.4.1 Giới thiệu hàm băm 3.4.2 Một số loại hàm băm 3.4.3 Khái niệm về mã hóa 3.4.5 Hệ mã hoá khóa công khai 3.5 Cài đặt thử nghiệm 3.5.1 Cài đặt thử nghiệm Để đảm bảo được các yêu cầu chức năng hệ thống, cũng như thời gian hoàn thành em chọn Visual Studio 2008, ngôn ngữ C# (C Sharp) làm môi trường để phát triển ứng dụng. Chương trình cũng có sử dụng một số tool hỗ trợ tạo chứng chỉ số là X509, có đặc điểm sau:  Là mô hình tập trung: Sử dụng các CA để tạo, chứng thực và quản lí chứng thư.  Mô hình tín nhiệm dựa vào các CA, người dùng phải khai báo với CA. Người dùng khác chỉ tin tưởng sử dụng chứng thư do người dùng đã được CA chứng thực phát hành. 3.5.2 Demo chương trình Chương trình Demo chữ ký điện tử gồm các bước sau: Bước 1: Sử dụng phần mềm X509 Certificate Generator để tạo file pfx, đây là phần mềm tạo ra chứng thực có khóa. Giúp chèn chữ ký vào file PDF 17 Hình 3.2: Tạo file pfx Bước 2: Chèn tài liệu pdf Hình 3.3: Chèn tài liệu pdf Bước 3: Chèn chữ ký 18 Hình 3.4: Chèn chữ ký Bước 4: Mã hóa Hình 3.5: Mã hóa Bước 5: Tiến trình