ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
PHẠM THỊ VÂN
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT THOẠI
TRÊN MẠNG INTERNET
LUẬN VĂN THẠC SĨ
Hà Nội – 2011
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
PHẠM THỊ VÂN
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT THOẠI
TRÊN MẠNG INTERNET
LUẬN VĂN THẠC SĨ
Cán bộ hướng dẫn khoa học: PGS.TS. Nguyễn Hữu Ngự
Hà Nội – 2011
2
MỤC LỤC
LỜI CẢM ƠN ..................................................................................................................... 1
DANH MỤC VIẾT TẮT .................................................................................................... 5
DANH MỤC HÌNH ............................................................................................................ 6
MỞ ĐẦU .............................................................................................................................. 8
1. Lý do chọn đề tài......................................................................................................... 8
2. Mục tiêu nghiên cứu ................................................................................................... 9
3. Phƣơng pháp nghiên cứu ........................................................................................... 9
4. Cấu trúc luận văn ....................................................................................................... 9
CHƢƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ VoIP VÀ CÁC VẤN ĐỀ LIÊN
QUAN ................................................................................................................................ 10
1.1. Tổng quan về an toàn và bảo mật thông tin........................................................ 10
1.1.1. Các vấn đề chung về an toàn bảo mật thông tin ........................................... 10
1.1.2. Thực trạng của vấn đề bảo mật thoại trên mạng Internet ............................. 11
1.1.3. Tổng quan về lý thuyết mật mã .................................................................... 11
1.2. Giới thiệu về công nghệ VoIP ............................................................................... 17
1.2.1. Khái niệm về Voice over IP ......................................................................... 17
1.2.2. Lịch sử phát triển VoIP ................................................................................ 17
1.2.3. Các kiểu kết nối sử dụng VoIP ..................................................................... 18
1.2.4. Phương thức hoạt động của VoIP................................................................. 19
1.2.5. Đặc điểm của mạng VoIP ............................................................................. 20
1.2.6. Thành phần của VoIP ................................................................................... 22
1.2.7. Các giao thức VoIP sử dụng ......................................................................... 25
1.2.8. Các ứng dụng của VoIP ................................................................................ 27
1.2.9. Các vấn đề về chất lượng dịch vụ VoIP ....................................................... 29
1.3. Nghiên cứu về giao thức SIP ................................................................................. 30
1.3.1. Giới thiệu về giao thức SIP .......................................................................... 30
1.3.2. Các chức năng của SIP ................................................................................. 31
1.3.3. Các thành phần của hệ thống SIP ................................................................. 32
1.3.4. Khái quát về hoạt động của SIP ................................................................... 33
3
1.3.5. Quá trình thiết lập cuộc gọi . ........................................................................ 40
1.3.6. Đánh giá SIP ................................................................................................. 42
1.3.7. So sánh SIP và H.323 ................................................................................... 43
1.4. Kết luận .................................................................................................................. 44
CHƢƠNG 2: CÁC PHƢƠNG PHÁP VÀ KỸ THUẬT NÉN THOẠI TRONG VoIP
............................................................................................................................................ 45
2.1. Giới thiệu chung .................................................................................................... 45
2.2. Các phƣơng pháp nén âm thanh .......................................................................... 47
2.2.1. Phương pháp mã hóa dạng sóng ................................................................... 47
2.2.2. Phương pháp mã hóa theo nguồn âm ........................................................... 48
2.2.3. Phương pháp nén kiểu Haybrid .................................................................... 49
2.3. Các kỹ thuật nén thoại trong VoIP ...................................................................... 50
2.3.1.Nguyên lý chung của bộ nén CELP .............................................................. 50
2.3.2. Chuẩn PCM (Pulse Code Modulation)-G711 .............................................. 51
2.3.3. Chuẩn nén LD-CELP –G728 ....................................................................... 52
2.3.4. Chuẩn nén CS-ACELP G729 ...................................................................... 54
2.3.5: Chuẩn nén GSM 06.10 ................................................................................. 57
2.4. Kết luận .................................................................................................................. 57
CHƢƠNG 3: GIẢI PHÁP BẢO MẬT VoIP.................................................................. 59
3.1. Nhu cầu bảo mật .................................................................................................... 59
3.2. Các nguy cơ mất an toàn trong mạng VoIP ........................................................ 59
3.2.1. Tấn công từ chối dịch vụ (DoS) VoIP .......................................................... 59
3.2.2. Một số cách tấn công chặn và cướp cuộc gọi ............................................... 63
3.2.3. Các tấn công liên quan đến dịch vụ điện thoại ............................................. 66
3.2.4. Nguy cơ đối với SIP ..................................................................................... 67
3.3. Đề xuất giải pháp khắc phục ................................................................................ 69
3.3.1. Bảo vệ thiết bị Voice .................................................................................... 69
3.3.2. Kế hoạch và chính sách bảo mật .................................................................. 70
3.3.3. Mật khẩu và sự điều khiển truy cập.............................................................. 71
3.4 Các công nghệ bảo mật .......................................................................................... 71
4
3.4.1. Công nghệ khóa dùng chung ........................................................................ 71
3.4.2. Mật mã khóa công cộng ............................................................................... 71
3.4.3.Chữ ký số hóa ................................................................................................ 72
3.4.4. Chứng thực và căn cứ chứng thực ................................................................ 73
3.4.5. Những giao thức trên nền khóa công cộng ................................................... 73
3.5. Hỗ trợ bảo mật cho giao thức SIP ........................................................................ 73
3.5.1. Trao đổi khóa và bảo mật cho các gói tin báo hiệu. ..................................... 74
3.5.2. Bảo mật cho gói tin thoại/video SRTP ......................................................... 76
3.5.3. Bảo đảm sự tin cậy ....................................................................................... 77
3.5.4. Chống ghi lén ............................................................................................... 78
3.5.5. Chứng thực bản tin ....................................................................................... 78
3.6. Kết luận .................................................................................................................. 80
CHƢƠNG 4: XÂY DỰNG ỨNG DỤNG ........................................................................ 81
4.1. Mô tả bài toán thực tế ........................................................................................... 81
4.2. Xác định các yêu cầu ............................................................................................. 81
4.2.1. Các chức năng chính của Server và Client ................................................... 81
4.2.2. Sơ đồ chức năng hệ thống ............................................................................ 83
4.3. Chƣơng trình mã hóa sử dụng thuật toán AES .................................................. 86
4.4. Chƣơng trình X-lite. .............................................................................................. 86
4.5. Chƣơng trình VoIP ................................................................................................ 91
4.6. Khối mã hóa và giải mã AES ................................................................................ 96
4.7. Khối nén và giải nén âm thanh CELP ................................................................. 97
4.7. Kết luận .................................................................................................................. 98
KẾT LUẬN ....................................................................................................................... 99
TÀI LIỆU THAM KHẢO.............................................................................................. 101
PHỤ LỤC ........................................................................................................................ 102
5
DANH MỤC VIẾT TẮT
TỪ VIẾT
TẮT
ACK
AES
APP
Acknowledgment
Advanced Encryption Standard
Application
ATM
Asynchronous Transfer Mode
CELP
DNS
ID
IETF
IP
LAN
LPS
Codebook Excited Linear
Domain Name System
Identifier
Internet Engineering Task Force
Internet Protocol
Local Area Network
MGPC
Media Gateway Control Protocol
PBX
PC
QoS
SGW
SIP
SMTP
Private Branch Exchange
Personal Computer
Public Switched Telephone
Network
Quality of Service
Signalling Gateway
Session Initiation Protocol
Simple Mail Transfer Protocol
SSH
Secure Shell
TCP
TLS
UA
UDP
Tranmission Control Protocol
Transport Layer Security
User Agent
User Datagram Protocol
URL
Uniform Resource Indentifer
VoIP
WWW
Voice Over Internet Protocol
World Wire Web
PSTN
TÊN TIẾNG ANH
TÊN TIẾNG VIỆT
Cơ chế báo nhận
Chuẩn mã hóa cải tiến
Ứng dụng
Phương thức chuyển đổi không
đồng bộ
Dự báo tuyến kích thích
Hệ thống tên miền
Định danh
Lực lượng quản lý kĩ thuật
Giao thức Internet
Mạng nội bộ
Giao thức điều khiển cổng truyền
thông
Tổng đài nhánh riêng
Máy tính cá nhân
Mạng điện thoại chuyển mạch
công cộng
Chất lượng dịch vụ
Tín hiệu cổng vào
Giao thức khởi tạo phiên
Giao thức truyền thư đơn giản
Giao thức dùng để kết nối mạng
một cách bảo mật
Giao thức điều khiển giao vận
Bảo mật tần viễn thông
Tác nhân người sử dụng
Giao thức gói tin người dùng
Chuỗi định danh tài nguyên trên
mạng
Giao thức thoại qua mạng internet
Mạng toàn cầu
6
DANH MỤC HÌNH
Hình 1.1: Quy trình mã hóa và giải mã .............................................................................. 12
Hình 1.2: Hệ mật mã hóa khóa bí mật ................................................................................ 14
Hình 1.3: Mô hình trao đổi thông tin qua mạng theo cách thông thường ......................... 15
Hình 1.4: Mô hình trao đổi thông tin theo phương pháp mã hóa khóa công khai ............. 15
Hình 1.5: Kết nối PC to PC ................................................................................................ 18
Hình 1.6: Kết nối PC to Phone ........................................................................................... 19
Hình 1.7: Kết nối Phone to Phone ...................................................................................... 19
Hình 1.8: Quá trình xử lý dữ liệu thoại trong hệ thống VoIP ............................................ 20
Hình 1.9: Mô hình mạng VoIP ........................................................................................... 23
Hình 1.10: Cấu trúc đơn vị dữ liệu UDP ............................................................................ 26
Hình 1.11: Mô hình hoạt động của Fax qua IP .................................................................. 28
Hình 1.12: Quy trình cuộc gọi SIP ..................................................................................... 30
Hình 1.13: Các thành phần của SIP .................................................................................... 32
Hình 1.14: Cấu trúc bản tin SIP.......................................................................................... 38
Hình 1.15: Quy trình thiết lập cuộc gọi .............................................................................. 40
Hình 1.16: Thiết lập kiểu Proxy ......................................................................................... 41
Hình 1.17: Thiết lập kiểu redirect....................................................................................... 42
Hình 2.2.: Sơ đồ mã hóa và giải mã của bộ mã hóa nguồn âm .......................................... 48
Hình 2.3: Sơ đồ nguyên lý của phương pháp tổng hợp CELP ........................................... 50
Hình 2.4: Sơ đồ khối của bộ nén và giải nén LD - CELP .................................................. 54
Hình 2.5: Nén CS-ACELP ................................................................................................. 55
Hình 2.6: Sơ đồ nguyên lý của bộ giải nén CS-ACELP .................................................... 56
Hinh 3.1: Tấn công DoS ..................................................................................................... 60
Hình 3.2: tấn công Ping of Death ....................................................................................... 60
Hình 3.3: Tấn công SYN flood........................................................................................... 61
Hình 3.4: Tấn công Smurf .................................................................................................. 61
Hình 3.5: Tấn công DDoS .................................................................................................. 62
Hình 3.6: Tấn Công man in the middl ................................................................................ 64
Hình 3.7: Tấn công bằng bản tin đăng ký .......................................................................... 68
Hình 3.8: Giả dạng Proxy ................................................................................................... 68
Hình 3.9: Các lớp bảo mật hỗ trợ cho giao thức SIP.......................................................... 74
Hình 3.10: Quá trình bắt tay giữa client và server trong SSL ............................................ 75
Hình 3.11: Dữ liệu lớp trên đóng gói bởi TLS/SSL ........................................................... 76
Hình 3.12: Mã hóa trong SRTP .......................................................................................... 77
Hình 3.13: Chứng thực gói SRTP ...................................................................................... 77
Hình 3.14: Chống ghi lại bằng Sliding Window ................................................................ 78
7
Hình 3.15: Quá trình gửi bản tin của S/MIME ................................................................... 79
Hình 4.1: Màn hình đăng nhập tổng đài IP PBX................................................................ 87
Hình 4.2: Tạo mới một User ............................................................................................... 87
Hình 4.3: Giao diện phần mềm softphone X-lite ............................................................... 88
Hình 4.4: Thiết lập tài khoản người dùng .......................................................................... 89
Hình 4.5 : Quá trình thiết lập cuộc gọi ............................................................................... 90
Hình 4.6: Trạng thái truyền cuộc gọi.................................................................................. 91
Hình 4.7: Thiết lập tài khoản người dùng .......................................................................... 92
Hình 4.8: Giao diện chương trình ....................................................................................... 93
Hình 4.8: Cửa sổ kết nối ..................................................................................................... 93
Hình 4.9: Quá trình tạo kết nối thành công ........................................................................ 94
Hình 4.10: Sử dụng WireShark bắt gói tin ......................................................................... 94
Hình 4.11: Phân tích quá trình truyền thoại theo sơ đồ ...................................................... 95
8
MỞ ĐẦU
1. Lý do chọn đề tài
Chúng ta đang sống trong một thời đại mà sự bùng nổ thông tin đang ngày càng
lan rộng. Các ấn phẩm thi nhau ra đời, dữ liệu không ngừng được cập nhật từng phút,
từng giây trên mạng. Nếu ngày xưa chúng ta phải tốn quá nhiều thời gian để tìm kiếm dữ
liệu, thì giờ đây chúng ta lại phải tốn nhiều thời gian hơn thế nữa để thu nhận và phân tích
cả núi thông tin cho mỗi một vấn đề. Chiếc máy tính ra đời vừa góp phần vào sự bùng nổ
thông tin, vừa như một công cụ để giúp con người xử lý vấn nạn này.
Những chiếc máy tính đã tạo thành một hệ thống tinh xảo để nối kết toàn cầu vào
trong mạng lưới khổng lồ của những siêu xa lộ thông tin. Ngày nay việc sử dụng máy tính
và truyền thông tin qua mạng như một nhu cầu không thể thiếu trong cuộc sống hàng
ngày. Công nghệ thông tin ngày càng phát triển, đặc biệt là mạng Internet đang đem đến
sự bùng nổ thông tin một cách mạnh mẽ. Qua mạng Internet, con người có thể lưu trữ, xử
lý, tìm kiếm thông tin trên mọi lĩnh vực: từ việc tìm kiếm, trao đổi, lưu trữ, cập nhật các
thông tin mới nhất về mọi lĩnh vực khoa học công nghệ trên thế giới, đến thực hiện việc
mua bán các sản phẩm hay đặt các dịch vụ ngay tại nhà chỉ thông qua các thao tác đơn
giản trên bàn phím máy tính. Đặc biệt với sự phát triển vượt trội của Internet, con người
có thể trò chuyện với bạn bè từ khoảng cách hàng ngàn cây số.
Hiện nay tất cả các tính năng và ứng dụng thông tin liên lạc mới hiện đã có mặt trên
thế giới viễn thông đều hội tụ hỗ trợ nền tảng mạng IP, số lượng và chủng loại có ở các
giải pháp VoIP hiện nay ngày càng nhiều. Tất cả các tính năng này có sẵn mà không đòi
hỏi thêm bất kỳ chi phí đầu tư nào bởi chúng hoạt động trên nền IP và được vận chuyển
trên mạng máy tính như các ứng dụng máy tính thông thường khác.
Nhờ khả năng loại bỏ tận gốc những hệ thống thông tin trùng lặp và dư thừa, giảm
chi phí liên lạc; khả năng tích hợp dễ dàng các hệ thống dữ liệu, thoại và video… VoIP
đang là sự lựa chọn hàng đầu về vấn đề truyền thông qua mạng internet.
Tuy nhiên, bên cạnh những lợi ích mà VoIP mang lại, việc bảo mật thông tin khi sử
dụng dịch vụ VoIP còn rất nhiều bất cập. Theo tờ The New York Times cho biết các loại
sâu và virus tính đã làm tắc những máy chủ tại các chi nhánh của một hãng bảo hiểm lớn
và một ngân hàng tại Mỹ, khiến khoảng 1.500 đường điện thoại Internet mất khả năng
đàm thoại. Ông Danny Lai, giám đốc kế hoạch mạng tại MediaRing, một công ty chuyên
cung cấp dịch vụ VoIP của Singgapore, cho biết “Trong thế giới mạng, không có một
biên giới nào cả, nên việc tấn công xâm nhập vào các điện thoại trở nên dễ dàng hơn …”
Ông Charles Cousins, giám đốc quản lý của Sophos Anti-Virus Asia, cho biết: "Tôi tin
rằng các nguy cơ này sẽ xảy đến châu Á trong tương lai, nhưng tôi không dự đoán trước
rằng nó sẽ diễn ra với quy mô lớn cỡ nào. Mọi người cần phải được cảnh báo một cách
đúng đắn trước thời điểm đó".
9
Ngoài những cuộc tấn công của virus, điện thoại Internet cũng sẽ là mục tiêu của
nạn nghe lén. Không như các loại hình nghe lén trên đường điện thoại truyền thống, việc
xâm nhập vào các cuộc gọi Internet không yêu cầu cần có một thiết bị đặc biệt nào, và
cũng không cần phải mất nhiều nỗ lực cài đặt bố trí thiết bị.
Vì những lý do trên tôi chọn đề tài: “Nghiên cứu giải pháp bảo mật thoại trên
mạng Internet” mong góp phần vào việc nêu ra một số biện pháp làm tăng khả năng bảo
mật thoại trên mạng Internet.
2. Mục tiêu nghiên cứu
Tìm hiểu công nghệ VoIP
Nghiên cứu một số phương pháp nén thoại trong VoIP
Nêu các biện pháp bảo mật tín hiệu thoại nhằm nâng cao chất lượng dịch
mức độ bảo mật VoIP
Xây dựng ứng dụng bảo mật thoại trên mạng internet
3. Phƣơng pháp nghiên cứu
Phương pháp thu thập tài liệu: Các số liệu sử dụng trong luận văn được thu
thập từ các nguồn: Sách tham khảo, giáo trình, giáo án, các bài báo và số
liệu trên Internet.
Phương pháp phân tích: Dựa trên các tài liệu thu thập được, phân tích, đánh
giá và đưa ra kết luận.
4. Cấu trúc luận văn
Luận văn gồm :
- Mở đầu
- Chương 1: Tổng quan về công nghệ VoIP
- Chương 2: Các phương pháp và kỹ thuật nén trong VoIP
- Chương 3: Giải pháp bảo mật VoIP
- Chương 4: Xây dựng ứng dụng bảo mật thoại trên mạng Internet
- Kết luận
10
CHƢƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ VoIP VÀ CÁC VẤN ĐỀ LIÊN
QUAN
1.1. Tổng quan về an toàn và bảo mật thông tin
1.1.1. Các vấn đề chung về an toàn bảo mật thông tin
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để
nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo
vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là một chủ đề
rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp
được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương pháp bảo vệ an toàn
thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
Nhóm 1. Bảo vệ an toàn thông tin bằng các biện pháp hành chính.
Nhóm 2. Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng).
Nhóm 3. Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi trường khó bảo vệ an
toàn thông tin nhất đó là môi trường mạng và truyền tin và đây cũng là môi trường đối
phương rất dễ xâm nhập. Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên mạng
truyền tin và mạng máy tính là biện pháp thuật toán.
An toàn bảo mật thông tin nhằm đảm bảo các tính chất sau:
- Tính bí mật: Đảm bảo được sự đáo riêng tư của thông tin
- Tính toàn vẹn: Các thông tin không thể bị sửa đổi bởi những người không có thẩm
quyền
- Tính sẵn sàng: Thông tin phải được đảm bảo rằng luôn sẵn sàng đáp ứng nhu cầu
sử dụng của người có thẩm quyền.
Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy tính
có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả năng không
an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu được
lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng. Xác định càng chính xác
các nguy cơ nói trên thì càng quyết định được tốt các giải pháp để giảm thiểu các thiệt
hại.
Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi
phạm thụ động. Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông
tin (đánh cắp thông tin). Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể
dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần đầu
các gói tin. Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi. Vì vậy
vi pham thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu được trao
đổi. Vi phạm thụ động thường khó phát hiện nhưng có thể có những biện pháp ngăn
11
chặn hiệu quả. Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ,
làm trễ, sắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời
gian. Vi phạm chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội
dung thông tin trao đổi. Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì
khó khăn hơn nhiều.
Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an
toàn tuyệt đối. Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo
là an toàn tuyệt đối.
1.1.2. Thực trạng của vấn đề bảo mật thoại trên mạng Internet
Như chúng ta thấy, bảo mật là vấn đề luôn được quan tâm hàng đầu trong nghành
CNTT, nó quyết định tính sống còn của một sản phẩm và VoIP cũng không nằm ngoài
lĩnh vực này. Theo hãng bảo mật Scanit tình trạng bảo mật VoIP hiện nay là rất tồi tệ.
Thống kê cho thấy có tời 7/10 cuộc gọi VoIP là “mồi ngon” cho bọn tin tặc. Báo cáo
nghiên cứu mới nhất của Scanit khẳng định bằng cách "móc nối" vào hệ thống mạng điện
thoại VoIP bọn tin tặc có thể dễ dàng đánh cắp các dữ liệu các cuộc gọi. Không những thế
chúng còn có thể ăn cắp được số PIN truy cập các dịch vụ ngân hàng qua điện thoại từ các
tổng đài VoIP (call center).
Tình trạng này là hậu quả của việc các tổng đài VoIP đã không thể bảo mật hệ
thống mạng điện thoại Internet một cách đúng đắn và đầy đủ. Các chuyên gia bảo mật cho
rằng nguyên nhân gây ra tình trạng đó là do rất nhiều hãng triển khai dịch vụ mạng điện
thoại VoIP luôn nghĩ rằng nhà sản xuất thiết bị mạng VoIP đã tích hợp đầy đủ các giải
pháp bảo mật vào trong sản phẩm của họ. Điều này dẫn đến kết quả là không ít các nhà
cung cấp dịch vụ VoIP đã không thèm áp dụng thêm bất kỳ một giải pháp bảo mật nào
nữa cho hệ thống mạng của họ.
"Không những thế các nhà quản trị mạng VoIP còn thiếu những kỹ năng cần thiết
cũng như thiếu hiểu biết về các thiết lập cấu hình bảo mật mạng VoIP. Đa số họ hiện vẫn
đặt hết niềm tin vào nhà cung cấp thiết bị hoặc bộ tích hợp hệ thống để bảo mật mạng,"
Sheran Gunasekera - chuyên gia của Scanit - cho biết.
1.1.3. Tổng quan về lý thuyết mật mã
1.1.3.1. Định nghĩa mật mã là gì?
Mật mã học là một lĩnh vực liên quan với các kỹ thuật ngôn ngữ và toán học để
đảm bảo an toàn thông tin, cụ thể là trong thông tin liên lạc. Về phương diện lịch sử, mật
mã học gắn liền với quá trình mã hóa; điều này có nghĩa là nó gắn với các cách thức để
chuyển đổi thông tin từ dạng này sang dạng khác nhưng ở đây là từ dạng thông thường có
thể nhận thức được thành dạng không thể nhận thức được, làm cho thông tin trở thành
dạng không thể đọc được nếu như không có các kiến thức bí mật. Trong những năm gần
đây, lĩnh vực hoạt động của mật mã hóa đã được mở rộng, mật mã hóa hiện đại cung cấp
12
cơ chế cho nhiều hoạt động hơn là chỉ duy nhất việc giữ bí mật và có một loạt các ứng
dụng như: chứng thực khóa công khai, chữ ký số, bầu cử điện tử hay tiền điện tử. Ngoài
ra, những người không có nhu cầu thiết yếu đặc biệt về tính bí mật cũng sử dụng các công
nghệ mã hóa, thông thường được thiết kế và tạo lập sẵn trong các cơ sở hạ tầng của công
nghệ tính toán trong liên lạc viễn thông và trong an ninh máy tính và mạng.
Một hệ mật mã là một bộ 5 (P,C,K,E,D) thỏa mãn các điều kiện sau:
P là một tập hợp hữu hạn các bản rõ (Plain Text), nó được gọi là không gian bản rõ
C là tập hữu hạn các bản mã (Crypto), nó còn được gọi là không gian bản mã. Mỗi
phần tử của C có thể nhận được bằng cách áp dụng phép mã hóa Ek lên một phần
từ của P, với kK.
K là tập hữu hạn các khóa hay còn gọi là không gian khóa. Đối với mỗi phần tử k
của K được gọi là một khóa (Key). Số lượng của không gian khóa phải đủ lớn để
“kẻ địch” không có đủ thời gian để thử mọi khóa có thể (phương pháp vét cạn)
Đối với mỗi k thuộc K có một quy tắc mã eK: P C và một quy tắc giải mã tương
ứng dK D. Mỗi eK: P C và dK: C P là những hàm mà dK (eK(x)) = x với mọi
bản rõ xP
1.1.3.2. Vai trò của hệ mật mã
Các hệ mật mã phải thực hiện được các vai trò sau:
Hệ mật mã phải che dấu được nội dung của bản rõ (plain text) để đảm bảo sao cho
chỉ người chủ hợp pháp của thông tin mới có quyền truy cập thông tin, hay nói
cách khác là chống truy nhập không đúng quyền hạn
Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệ thống đến
người nhận hợp pháp là xác thực (Authenticity).
Tổ chức các sơ đồ chữ ký điện tử, đảm bảo không có hiện tượng giả mạo, mạo
danh để gửi thông tin trên mạng
Ưu điểm lớn nhất của bất kỳ hệ mật mã nào là có thể đánh giá được độ phức tạp tính
toán mà “kẻ địch” phải giải quyết bài toán để có thể lấy được thông tin của dữ liệu đã
được mã hóa. Tuy nhiên mỗi hệ mật mã có một số ưu và nhược điểm khác nhau, nhưng
nhờ đánh giá được độ phức tạp tính toán mà ta có thể áp dụng các thuật toán mã hóa khác
nhau cho từng ứng dụng cụ thể tùy theo yêu cầu về độ an toàn:
Bản rõ
Mã hóa
Bản mã
Giải mã
Khóa
Hình 1.1: Quy trình mã hóa và giải mã
Bản rõ
13
1.1.3.3. Phân loại hệ mật mã
Có nhiều cách để phân loại hệ mật mã đó là:
Cách 1: Phân loại hệ mật mã dựa vào cách truyền khóa, theo cách phân loại này hệ mật
mã có thể được chia thành hai loại như sau:
Hệ mật mã khóa bí mật: là những hệ mật mã dùng chung một khóa cả trong
quá trình mã hóa dữ liệu và giải mã dữ liệu. Do đó khóa phải được giữ bí mật
tuyệt đối
Hệ mật mã khóa công khai: các hệ này dùng một khóa để mã hóa sau đó dùng một
khóa khác để giải mã, nghĩa là khóa để mã hóa và khóa để giải mã là khác nhau.
Các khóa này tạo nên từng cặp chuyển đổi ngược nhau và không có khóa nào có
thể suy ra được từ khóa kia. Khóa dùng để mã hóa có thể công khai nhưng khóa
dùng đẻ giải mã phải giữ bí mật.
Cách 2: Phân loại hệ mật mã dựa vào thời gian đưa ra hệ mật mã, theo cách này hệ mật
mã được chia thành hai loại:
Mật mã cổ điển (là hệ mật mã ra đời trước năm 1970)
Mật mã hiện đại(ra đời sau năm 1970)
Cách 3: Phân loại hệ mật mã dựa vào cách thức tiến hành mã thì hệ mật mã được chia
thành hai loại:
Mã dòng (tính hành mã từng khối dữ liệu, mỗi khối lại dựa vào các khóa khác
nhau, các khóa này được sinh ra từ hàm sinh khóa, được gọi là dòng khóa)
Mã khối (tiến hành mã từng khối dữ liệu với khóa như nhau)
Trong khuôn khổ đề tài, tôi nghiên cứu theo hướng phân loại thứ nhất: hệ mật mã bao
gồm: Hệ mật mã khóa công khai và hệ mật mã khóa bí mật
1.1.3.4. Hệ mật mã khóa bí mật
Đây là kiểu mã hóa mà người gửi và người nhận sử dụng cùng một khóa và khóa
này phải được giữ bí mật, có nghĩa là trước khi truyền tín hiệu hai bên phải có kênh liên
lạc riêng để trao đổi khóa.
14
Thám mã
Người gửi A
X
Y
Mã hóa
K
Giải mã
Người nhận
Kênh an toàn
K
Nguồn khóa
Hình 1.2: Hệ mật mã hóa khóa bí mật
Tại nơi gửi: Một tập các bản rõ được tạo ra X = [X1, X2, X3,...., XN]
Nguồn khóa tạo ra một tập khóa K = [K1, K2, K3,...., KN]. Khi đó khóa được tạo ra từ nơi
gửi sẽ được truyền tới nơi nhận theo một kênh truyền riêng, an toàn.
Với bản rõ X và khóa bí mật K đầu vào, thuật toán mã hóa tạo ra được bản mã Y=[Y1, Y2,
Y3,...., YM] Ta có Y = Ek(X). Y được tạo ra bằng cách sử dụng thuật toán mã hóa E một
hàm của X và được xác định nhờ khóa K.
Nơi nhận, nhận lại thông tin nhờ bộ giải mã với hàm giải mã D: X = Dk(Y)
Các thuật toán dùng trong hệ mật mã khóa bí mật
Thuật toán DES
Thuật toán AES
Thuật toán IDEA
Thuật toán Blowfish
1.1.3.5. Hệ mật mã khóa công khai
Khi sự bùng nổ của thông tin qua mạng máy tính đang ngày một gia tăng thì vấn
đề bảo mật thông tin ngày càng trở lên cần thiết hơn bao giờ hết. Trên thực tế, chúng ta có
rất nhiều cách để bảo mật thông tin, nhưng chọn cách nào cho phù hợp và có tính an toàn
cao lại là một vấn đề cần xem xét. Phương pháp mã hóa công khai được xem là phương
pháp có độ an toàn khá cao. Như ta biết, thông thường thông tin được trao đổi qua mạng
theo cách:
15
Thông tin A cần
gửi đi
Mạng
B nhận thông tin từ
A
Hình 1.3: Mô hình trao đổi thông tin qua mạng theo cách thông thƣờng
Quá trình trao đổi thông tin giữa A và B được mô tả ở hình 1.3 được thực hiện qua các
bước sau:
Bước 1. A tạo thông tin cần gửi đi
Bước 2. A Gửi thông tin cho B
Bước 3. B nhận thông tin từ trên mạng xuống (không biết chính xác là thông tin
được gửi từ A có bị sửa chữa, thay thế hay đánh cắp không).
Theo cách này, chúng ta không thể quản lý được sự bí mật của thông tin. Vì vậy ta có thể
xây dựng một mô hình trao đổi thông tin như hình dưới đây
Thông tin A cần
gửi đi
B nhận thông tin
từ A
Mạng
Mã hóa thông
tin cần gửi
Giải mã thông tin
nhận được từ A
Hình 1.4: Mô hình trao đổi thông tin theo phƣơng pháp mã hóa khóa công khai
Phương pháp mã hóa khóa công khai sử dụng thuật toán RSA – có khả năng giải
quyết triệt để yêu cầu của mô hình trao đổi thông tin bảo mật trên.
*) Giới thiệu về hệ mật mã khóa công khai
Trong mô hình mật mã cổ điển, A (người gửi) và B (người nhận) bằng cách chọn
khóa bí mật K. Sau đó A dùng khóa K để mã hóa theo luật eK và B dùng khóa K để giải
mã theo luật dK. Trong hệ mật này, dK hoặc giống như eK hoặc dễ dàng nhận được từ nó
vì quá trình giải mã hoàn toàn tương tự như quá trình mã hóa, nhưng thủ tục khóa thì
ngược lại. Nhược điểm lớn của hệ mật này là nếu ta để lộ eK thì hệ thống sẽ mất an toàn,
chính vì vậy chúng ta phải tạo cho các hệ mật một kênh an toàn mà kinh phí để tạo một
kênh an toàn không phải là rẻ.
16
Ý tưởng xây dựng một hệ mật khóa công khai là tìm một hệ mật không có khả
năng tính toán để xác định dK nếu biết được eK. Nếu thực hiện được như vậy thì quy tắc
mã ek có thể được công khai bằng cách công bố nó trong danh bạ, và khi A (người gửi)
hoặc bất cứ một ai đó muốn gửi một bản tin cho B (người nhận) thì người đó không phải
thông tin trước với B về khoá mật, mà người gửi sẽ mã hóa bản tin bằng cách dùng luật
mã công khai eK. Khi bản tin này được chuyển cho B thì chỉ có duy nhất B mới có thể giải
được bản tin này bằng cách sử dụng luật giải mã bí mật dK.
Ý tưởng về hệ mật khóa công khai được Diffie và Heliman đưa ra vào năm 1976.
Còn việc thực hiện hệ mật khóa công khai thì lại được Rivest. Shamin và Adieman đưa ra
đầu tiên vào năm 1977. Họ đã tạo nên hệ mật RSA nổi tiếng. Kể từ đó có một số hệ mật
được công bố, độ mật của từng hệ dựa trên các bài tính toán khác nhau. Trong đó quan
trọng nhất là các hệ mật sau:
Hệ mật RSA: Độ bảo mật của hệ RSA dựa trên bộ khóa của việc phân tích ra thừa
số nguyên tố các số nguyên tố lớn.
Hệ mật xếp balo Merkle – Hellman: Hệ này và các hệ có liên quan dựa trên tính
khó giải của bài toán tổng các tập con.
Hệ mật McEliece: Hệ mật này dựa trên lý thuyết mã đại số và vẫn được coi là an
toàn. Hệ mật McEliece dựa trên bài toán giải mã cho các mã tuyến tính.
Hệ mật ElGamal: dựa trên tính khó giải của bài toán Logarit rời rạc trên các trường
hữu hạn.
Hệ mật Chor – Rivest: cũng được xem như một lại hệ mật xếp balo, tuy nhiên hệ
mật này vẫn được coi là hệ mật an toàn.
Hệ mật trên các đường cong Elliptic: Hệ mật này là biến tướng của các hệ mật
khác, chúng làm việc trên các đường cong Elliptic chứ không phải trên các trường
hữu hạn.
1.1.3.6. Các tiêu chuẩn đánh giá hệ mật mã
Để đánh giá một hệ mật mã người ta thường đánh giá thông qua các tính chất sau:
Độ an toàn: Một hệ mật mã được đưa vào sử dụng điều đầu tiên phải có độ an toàn
cao. Ưu điểm của mật mã là có thể đánh giá được độ an toàn thông qua độ an toàn tính
toán mà không cần phải cài đặt. Một hệ mật mã được coi là an toàn nếu để phá hệ mật mã
này phải dùng n phép toán, để giải quyết n phép toán cần một khoảng thời gian vô cùng
lớn, vì thế điều này là không thể chấp nhận được.
Một hệ mật mã được gọi là tốt khi nó đảm bảo được các tiêu chuẩn sau:
- Có phương pháp bảo vệ mà chỉ dựa trên sự bí mật của khóa công khai, công
khai thuật toán
17
Khi cho khóa công khai ek và bản rõ P thì chúng ta dễ dàng tính được ek(P) = C.
Ngược lại khi cho dk và bản mã C thì dễ dàng tìm được dk(M) = P. Khi không
tính y = f(x) với mọi xX là dễ còn tìm x khi biết y lại là vẫn đề khó.
- Bản mã C không được có đặc điểm gây chú ý, nghi ngờ
Tốc độ mã hóa và giải mã: Khi đánh giá hệ mật mã chúng ta phải chú ý đến tốc độ mã
hóa và giải mã, hệ mật mã tốt thì thời gian mã hóa và giải mã phải nhanh.
Phân phối khóa: Một hệ mật mã phụ thuộc vào khóa và việc khóa này được truyền
công khai hay truyền bí mật. Phân phối khóa bí mật mất chi phí cao hơn so với việc phân
phối khóa công khai, vì vậy đây cũng là một tiêu chí khi lựa chọn hệ mật mã.
-
1.2. Giới thiệu về công nghệ VoIP
1.2.1. Khái niệm về Voice over IP
VoIP (viết tắt bởi Voice over Internet Protocol – truyền giọng nói trên giao thức
IP) là công nghệ truyền tiếng nói của con người qua mạng sử dụng giao thức TCP/IP. Nó
sử dụng các gói dữ liệu IP trên mạng Lan, WAN và Internet với thông tin được truyền tải
là các dạng mã hóa của âm thanh.
VoIP có thể vừa thực hiện được các cuộc gọi như trên điện thoại kênh truyền
thống, đồng thời truyền dữ liệu trên cơ sở mạng truyền dữ liệu. Bản chất của công nghệ
này là dựa trên chuyển mạch gói, nhằm thay thế công nghệ truyền thoại cũ dùng chuyển
mạch kênh. Nó nén (ghép) nhiều kênh thoại trên một đường chuyền tín hiệu, và những tín
hiệu này được truyền qua mạng Internet.
VoIP là một công nghệ cho phép truyền âm thanh thời gian thực qua băng thông
Internet và các kết nối IP. Trong đó tín hiệu âm thanh (voice signal) sẽ được chuyển đổi
thành các gói tệp (data packets) thông qua môi trường mạng Internet trong môi trường
VoIP, sau lại được chuyển thành tín hiệu âm đến thiết bị người nhận.
Để thực hiện việc này, điện thoại IP thường được tích hợp sẵn các nghi thức báo
hiệu chuẩn như SIP hay H.323, kết nối tới một tổng đài IP (IP PBX) của doanh nghiệp
hay của nhà cung cấp dịch vụ. Điện thoại IP có thể ở dạng như một điện thoại thông
thường (chỉ khác là thay vì nối với mạng điện thoại qua đường dây giao tiếp thì điện thoại
IP nối trực tiếp vào mạng LAN qua cáp Ethernet) hoặc phần mềm thoại (soft-phone) cài
trên máy tính.
1.2.2. Lịch sử phát triển VoIP
Năm 1995 hãng Vocaltec đã thực hiện truyền thoại qua Internet, lúc đó kết nối chỉ
gồm một PC cá nhân với các trang thiết bị ngoại vi thông thường như card âm thanh,
headphone, mic, telephone line, modem... phần mềm này thực hiện nén tín hiệu thoại và
18
chuyển đổi thông tin thành các gói tin IP để truyền dẫn qua môi trường Internet. Mặc dù
chất lượng chưa được tốt nhưng chi phí thấp so với điện thông thường đã trở thành yếu tố
cạnh tranh và giúp nó tồn tại. Bắt đầu phát triển lớn mạnh và kéo theo việc ra đời của các
tổ chức chuẩn hoá liên quan như ITU có các chuẩn sau H.250.0, H.245, H.225 (Q.931)
cho quản lý; H.261, H.263 cho mã hoá video; các chuẩn G cho xử lý thoại…Có rất nhiều
chuẩn nhưng đang có xu hướng hội tụ thành hai chuẩn H.323 của ITU và SIP của IETF.
Voice over IP: được hiểu là công nghệ truyền thoại qua môi trường IP. Vì đặc
điểm của mạng gói là tận dụng tối đa việc sử dụng băng thông mà ít quan tâm tới thời
gian trễ lan truyền và xử lý trên mạng, trong khi tín hiệu thoại lại là một dạng thời gian
thực, cho nên người ta đã bổ sung vào mạng các phần tử mới và thiết kế các giao thức phù
hợp để có thể đảm bảo chất lượng dịch vụ cho người dùng. Nó không chỉ truyền thoại mà
còn truyền cho các dịnh vụ khác như truyền hình và dữ liệu.
Từ 1/7/2001 đến nay Tổng cục Bưu điện đã cho phép Vietel, VNPT, Saigon Postel
và Công ty điện lực Việt Nam chính thức khai thác điện thoại đường dài trong nước và
quốc tế qua giao thức IP, gọi tắt là VoIP. Sự xuất hiện VoIP ở Việt Nam đã cung cấp cho
xã hội một dịch vụ điện thoại đường dài có cước phí thấp hơn nhiều so với dịch vụ điện
thoại đường dài truyền thống với chất lượng mà người sử dụng có thể chấp nhận được.
Nó cũng phù hợp với xu hướng phát triển viễn thông trên thế giới và đặc biệt là ở khu vực
Châu á - Thái Bình Dương.
1.2.3. Các kiểu kết nối sử dụng VoIP
Computer to Computer: Với một kênh truyền Internet có sẵn, một dịch vụ miễn
phí được sử dụng rộng rãi khắp nơi trên thế giới. Chỉ cần người gọi (caller) và
người nhận (receiver) sử dụng chung một VoIP service (Skype, MSN, Yahoo
Messenger,…), 2 headphone + microphone, sound card . Cuộc hội thoại là không
giới
hạn.
Hình 1.5: Kết nối PC to PC
Computer to phone: Là một dịch vụ có phí. Bạn phải trả tiền để có một account
và software (VDC, Evoiz, Netnam,…). Với dịch vụ này một máy PC có kết nối tới
một máy điện thoại thông thường ở bất cứ đâu (tuỳ thuộc phạm vi cho phép trong
19
danh sách các quốc gia mà nhà cung cấp cho phép). Người gọi sẽ bị tính phí trên
lưu lượng cuộc gọi và khấu trừ vào tài khoản hiện có.
Hình 1.6: Kết nối PC to Phone
o Ưu điểm: đối với các cuộc hội thoại quốc tế, người sử dụng sẽ tốn ít phí hơn
một cuộc hội thoại thông qua hai máy điện thoại thông thường. Chi phí rẻ,
dễ lắp đặt
o Nhược điểm: chất lượng cuộc gọi phụ thuộc vào kết nối internet nhà cung
cấp dịch vụ
Phone to Phone: Là một dịch vụ có phí, bạn không cần kết nối Internet mà chỉ cần
một VoIP adapter kết nối với máy điện thoại, lúc này máy điện thoại trở thành một
IP phone.
Hình 1.7: Kết nối Phone to Phone
1.2.4. Phương thức hoạt động của VoIP
VoIP chuyển đổi tín hiệu giọng nói thông qua môi trường mạng (IP based network).
Do vậy, trước hết giọng nói (voice) sẽ phải được chuyển đổi thành các dãy bit kĩ thuật số
(digital bits) và được đóng gói thành các packet để sau đó được truyền tải qua mạng IP
network và cuối cùng sẽ được chuyển lại thành tín hiệu âm thanh đến người nghe.
Tiến trình hoạt động của VoIP thông qua 2 bước:
Call Setup: trong quá trình này, người gọi sẽ phải xác định vị trí (thông qua địa chỉ
của người nhận) và yêu cầu kết nối để liên lạc với người nhận. Khi địa chỉ người nhận
được xác định là tồn tại trên các proxy server thì các proxy server giữa 2 người sẽ thiết
lập 1 cuộc kết nối cho quá trình trao đổi dữ liệu voice.
- Xem thêm -