Tài liệu Nghiên cứu giải pháp bảo mật thoại trên mạng Internet

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ********* PHẠM THỊ VÂN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT THOẠI TRÊN MẠNG INTERNET LUẬN VĂN THẠC SĨ Hà Nội – 2011 1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ********* PHẠM THỊ VÂN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT THOẠI TRÊN MẠNG INTERNET LUẬN VĂN THẠC SĨ Cán bộ hướng dẫn khoa học: PGS.TS. Nguyễn Hữu Ngự Hà Nội – 2011 2 MỤC LỤC LỜI CẢM ƠN ..................................................................................................................... 1 DANH MỤC VIẾT TẮT .................................................................................................... 5 DANH MỤC HÌNH ............................................................................................................ 6 MỞ ĐẦU .............................................................................................................................. 8 1. Lý do chọn đề tài......................................................................................................... 8 2. Mục tiêu nghiên cứu ................................................................................................... 9 3. Phƣơng pháp nghiên cứu ........................................................................................... 9 4. Cấu trúc luận văn ....................................................................................................... 9 CHƢƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ VoIP VÀ CÁC VẤN ĐỀ LIÊN QUAN ................................................................................................................................ 10 1.1. Tổng quan về an toàn và bảo mật thông tin........................................................ 10 1.1.1. Các vấn đề chung về an toàn bảo mật thông tin ........................................... 10 1.1.2. Thực trạng của vấn đề bảo mật thoại trên mạng Internet ............................. 11 1.1.3. Tổng quan về lý thuyết mật mã .................................................................... 11 1.2. Giới thiệu về công nghệ VoIP ............................................................................... 17 1.2.1. Khái niệm về Voice over IP ......................................................................... 17 1.2.2. Lịch sử phát triển VoIP ................................................................................ 17 1.2.3. Các kiểu kết nối sử dụng VoIP ..................................................................... 18 1.2.4. Phương thức hoạt động của VoIP................................................................. 19 1.2.5. Đặc điểm của mạng VoIP ............................................................................. 20 1.2.6. Thành phần của VoIP ................................................................................... 22 1.2.7. Các giao thức VoIP sử dụng ......................................................................... 25 1.2.8. Các ứng dụng của VoIP ................................................................................ 27 1.2.9. Các vấn đề về chất lượng dịch vụ VoIP ....................................................... 29 1.3. Nghiên cứu về giao thức SIP ................................................................................. 30 1.3.1. Giới thiệu về giao thức SIP .......................................................................... 30 1.3.2. Các chức năng của SIP ................................................................................. 31 1.3.3. Các thành phần của hệ thống SIP ................................................................. 32 1.3.4. Khái quát về hoạt động của SIP ................................................................... 33 3 1.3.5. Quá trình thiết lập cuộc gọi . ........................................................................ 40 1.3.6. Đánh giá SIP ................................................................................................. 42 1.3.7. So sánh SIP và H.323 ................................................................................... 43 1.4. Kết luận .................................................................................................................. 44 CHƢƠNG 2: CÁC PHƢƠNG PHÁP VÀ KỸ THUẬT NÉN THOẠI TRONG VoIP ............................................................................................................................................ 45 2.1. Giới thiệu chung .................................................................................................... 45 2.2. Các phƣơng pháp nén âm thanh .......................................................................... 47 2.2.1. Phương pháp mã hóa dạng sóng ................................................................... 47 2.2.2. Phương pháp mã hóa theo nguồn âm ........................................................... 48 2.2.3. Phương pháp nén kiểu Haybrid .................................................................... 49 2.3. Các kỹ thuật nén thoại trong VoIP ...................................................................... 50 2.3.1.Nguyên lý chung của bộ nén CELP .............................................................. 50 2.3.2. Chuẩn PCM (Pulse Code Modulation)-G711 .............................................. 51 2.3.3. Chuẩn nén LD-CELP –G728 ....................................................................... 52 2.3.4. Chuẩn nén CS-ACELP G729 ...................................................................... 54 2.3.5: Chuẩn nén GSM 06.10 ................................................................................. 57 2.4. Kết luận .................................................................................................................. 57 CHƢƠNG 3: GIẢI PHÁP BẢO MẬT VoIP.................................................................. 59 3.1. Nhu cầu bảo mật .................................................................................................... 59 3.2. Các nguy cơ mất an toàn trong mạng VoIP ........................................................ 59 3.2.1. Tấn công từ chối dịch vụ (DoS) VoIP .......................................................... 59 3.2.2. Một số cách tấn công chặn và cướp cuộc gọi ............................................... 63 3.2.3. Các tấn công liên quan đến dịch vụ điện thoại ............................................. 66 3.2.4. Nguy cơ đối với SIP ..................................................................................... 67 3.3. Đề xuất giải pháp khắc phục ................................................................................ 69 3.3.1. Bảo vệ thiết bị Voice .................................................................................... 69 3.3.2. Kế hoạch và chính sách bảo mật .................................................................. 70 3.3.3. Mật khẩu và sự điều khiển truy cập.............................................................. 71 3.4 Các công nghệ bảo mật .......................................................................................... 71 4 3.4.1. Công nghệ khóa dùng chung ........................................................................ 71 3.4.2. Mật mã khóa công cộng ............................................................................... 71 3.4.3.Chữ ký số hóa ................................................................................................ 72 3.4.4. Chứng thực và căn cứ chứng thực ................................................................ 73 3.4.5. Những giao thức trên nền khóa công cộng ................................................... 73 3.5. Hỗ trợ bảo mật cho giao thức SIP ........................................................................ 73 3.5.1. Trao đổi khóa và bảo mật cho các gói tin báo hiệu. ..................................... 74 3.5.2. Bảo mật cho gói tin thoại/video SRTP ......................................................... 76 3.5.3. Bảo đảm sự tin cậy ....................................................................................... 77 3.5.4. Chống ghi lén ............................................................................................... 78 3.5.5. Chứng thực bản tin ....................................................................................... 78 3.6. Kết luận .................................................................................................................. 80 CHƢƠNG 4: XÂY DỰNG ỨNG DỤNG ........................................................................ 81 4.1. Mô tả bài toán thực tế ........................................................................................... 81 4.2. Xác định các yêu cầu ............................................................................................. 81 4.2.1. Các chức năng chính của Server và Client ................................................... 81 4.2.2. Sơ đồ chức năng hệ thống ............................................................................ 83 4.3. Chƣơng trình mã hóa sử dụng thuật toán AES .................................................. 86 4.4. Chƣơng trình X-lite. .............................................................................................. 86 4.5. Chƣơng trình VoIP ................................................................................................ 91 4.6. Khối mã hóa và giải mã AES ................................................................................ 96 4.7. Khối nén và giải nén âm thanh CELP ................................................................. 97 4.7. Kết luận .................................................................................................................. 98 KẾT LUẬN ....................................................................................................................... 99 TÀI LIỆU THAM KHẢO.............................................................................................. 101 PHỤ LỤC ........................................................................................................................ 102 5 DANH MỤC VIẾT TẮT TỪ VIẾT TẮT ACK AES APP Acknowledgment Advanced Encryption Standard Application ATM Asynchronous Transfer Mode CELP DNS ID IETF IP LAN LPS Codebook Excited Linear Domain Name System Identifier Internet Engineering Task Force Internet Protocol Local Area Network MGPC Media Gateway Control Protocol PBX PC QoS SGW SIP SMTP Private Branch Exchange Personal Computer Public Switched Telephone Network Quality of Service Signalling Gateway Session Initiation Protocol Simple Mail Transfer Protocol SSH Secure Shell TCP TLS UA UDP Tranmission Control Protocol Transport Layer Security User Agent User Datagram Protocol URL Uniform Resource Indentifer VoIP WWW Voice Over Internet Protocol World Wire Web PSTN TÊN TIẾNG ANH TÊN TIẾNG VIỆT Cơ chế báo nhận Chuẩn mã hóa cải tiến Ứng dụng Phương thức chuyển đổi không đồng bộ Dự báo tuyến kích thích Hệ thống tên miền Định danh Lực lượng quản lý kĩ thuật Giao thức Internet Mạng nội bộ Giao thức điều khiển cổng truyền thông Tổng đài nhánh riêng Máy tính cá nhân Mạng điện thoại chuyển mạch công cộng Chất lượng dịch vụ Tín hiệu cổng vào Giao thức khởi tạo phiên Giao thức truyền thư đơn giản Giao thức dùng để kết nối mạng một cách bảo mật Giao thức điều khiển giao vận Bảo mật tần viễn thông Tác nhân người sử dụng Giao thức gói tin người dùng Chuỗi định danh tài nguyên trên mạng Giao thức thoại qua mạng internet Mạng toàn cầu 6 DANH MỤC HÌNH Hình 1.1: Quy trình mã hóa và giải mã .............................................................................. 12 Hình 1.2: Hệ mật mã hóa khóa bí mật ................................................................................ 14 Hình 1.3: Mô hình trao đổi thông tin qua mạng theo cách thông thường ......................... 15 Hình 1.4: Mô hình trao đổi thông tin theo phương pháp mã hóa khóa công khai ............. 15 Hình 1.5: Kết nối PC to PC ................................................................................................ 18 Hình 1.6: Kết nối PC to Phone ........................................................................................... 19 Hình 1.7: Kết nối Phone to Phone ...................................................................................... 19 Hình 1.8: Quá trình xử lý dữ liệu thoại trong hệ thống VoIP ............................................ 20 Hình 1.9: Mô hình mạng VoIP ........................................................................................... 23 Hình 1.10: Cấu trúc đơn vị dữ liệu UDP ............................................................................ 26 Hình 1.11: Mô hình hoạt động của Fax qua IP .................................................................. 28 Hình 1.12: Quy trình cuộc gọi SIP ..................................................................................... 30 Hình 1.13: Các thành phần của SIP .................................................................................... 32 Hình 1.14: Cấu trúc bản tin SIP.......................................................................................... 38 Hình 1.15: Quy trình thiết lập cuộc gọi .............................................................................. 40 Hình 1.16: Thiết lập kiểu Proxy ......................................................................................... 41 Hình 1.17: Thiết lập kiểu redirect....................................................................................... 42 Hình 2.2.: Sơ đồ mã hóa và giải mã của bộ mã hóa nguồn âm .......................................... 48 Hình 2.3: Sơ đồ nguyên lý của phương pháp tổng hợp CELP ........................................... 50 Hình 2.4: Sơ đồ khối của bộ nén và giải nén LD - CELP .................................................. 54 Hình 2.5: Nén CS-ACELP ................................................................................................. 55 Hình 2.6: Sơ đồ nguyên lý của bộ giải nén CS-ACELP .................................................... 56 Hinh 3.1: Tấn công DoS ..................................................................................................... 60 Hình 3.2: tấn công Ping of Death ....................................................................................... 60 Hình 3.3: Tấn công SYN flood........................................................................................... 61 Hình 3.4: Tấn công Smurf .................................................................................................. 61 Hình 3.5: Tấn công DDoS .................................................................................................. 62 Hình 3.6: Tấn Công man in the middl ................................................................................ 64 Hình 3.7: Tấn công bằng bản tin đăng ký .......................................................................... 68 Hình 3.8: Giả dạng Proxy ................................................................................................... 68 Hình 3.9: Các lớp bảo mật hỗ trợ cho giao thức SIP.......................................................... 74 Hình 3.10: Quá trình bắt tay giữa client và server trong SSL ............................................ 75 Hình 3.11: Dữ liệu lớp trên đóng gói bởi TLS/SSL ........................................................... 76 Hình 3.12: Mã hóa trong SRTP .......................................................................................... 77 Hình 3.13: Chứng thực gói SRTP ...................................................................................... 77 Hình 3.14: Chống ghi lại bằng Sliding Window ................................................................ 78 7 Hình 3.15: Quá trình gửi bản tin của S/MIME ................................................................... 79 Hình 4.1: Màn hình đăng nhập tổng đài IP PBX................................................................ 87 Hình 4.2: Tạo mới một User ............................................................................................... 87 Hình 4.3: Giao diện phần mềm softphone X-lite ............................................................... 88 Hình 4.4: Thiết lập tài khoản người dùng .......................................................................... 89 Hình 4.5 : Quá trình thiết lập cuộc gọi ............................................................................... 90 Hình 4.6: Trạng thái truyền cuộc gọi.................................................................................. 91 Hình 4.7: Thiết lập tài khoản người dùng .......................................................................... 92 Hình 4.8: Giao diện chương trình ....................................................................................... 93 Hình 4.8: Cửa sổ kết nối ..................................................................................................... 93 Hình 4.9: Quá trình tạo kết nối thành công ........................................................................ 94 Hình 4.10: Sử dụng WireShark bắt gói tin ......................................................................... 94 Hình 4.11: Phân tích quá trình truyền thoại theo sơ đồ ...................................................... 95 8 MỞ ĐẦU 1. Lý do chọn đề tài Chúng ta đang sống trong một thời đại mà sự bùng nổ thông tin đang ngày càng lan rộng. Các ấn phẩm thi nhau ra đời, dữ liệu không ngừng được cập nhật từng phút, từng giây trên mạng. Nếu ngày xưa chúng ta phải tốn quá nhiều thời gian để tìm kiếm dữ liệu, thì giờ đây chúng ta lại phải tốn nhiều thời gian hơn thế nữa để thu nhận và phân tích cả núi thông tin cho mỗi một vấn đề. Chiếc máy tính ra đời vừa góp phần vào sự bùng nổ thông tin, vừa như một công cụ để giúp con người xử lý vấn nạn này. Những chiếc máy tính đã tạo thành một hệ thống tinh xảo để nối kết toàn cầu vào trong mạng lưới khổng lồ của những siêu xa lộ thông tin. Ngày nay việc sử dụng máy tính và truyền thông tin qua mạng như một nhu cầu không thể thiếu trong cuộc sống hàng ngày. Công nghệ thông tin ngày càng phát triển, đặc biệt là mạng Internet đang đem đến sự bùng nổ thông tin một cách mạnh mẽ. Qua mạng Internet, con người có thể lưu trữ, xử lý, tìm kiếm thông tin trên mọi lĩnh vực: từ việc tìm kiếm, trao đổi, lưu trữ, cập nhật các thông tin mới nhất về mọi lĩnh vực khoa học công nghệ trên thế giới, đến thực hiện việc mua bán các sản phẩm hay đặt các dịch vụ ngay tại nhà chỉ thông qua các thao tác đơn giản trên bàn phím máy tính. Đặc biệt với sự phát triển vượt trội của Internet, con người có thể trò chuyện với bạn bè từ khoảng cách hàng ngàn cây số. Hiện nay tất cả các tính năng và ứng dụng thông tin liên lạc mới hiện đã có mặt trên thế giới viễn thông đều hội tụ hỗ trợ nền tảng mạng IP, số lượng và chủng loại có ở các giải pháp VoIP hiện nay ngày càng nhiều. Tất cả các tính năng này có sẵn mà không đòi hỏi thêm bất kỳ chi phí đầu tư nào bởi chúng hoạt động trên nền IP và được vận chuyển trên mạng máy tính như các ứng dụng máy tính thông thường khác. Nhờ khả năng loại bỏ tận gốc những hệ thống thông tin trùng lặp và dư thừa, giảm chi phí liên lạc; khả năng tích hợp dễ dàng các hệ thống dữ liệu, thoại và video… VoIP đang là sự lựa chọn hàng đầu về vấn đề truyền thông qua mạng internet. Tuy nhiên, bên cạnh những lợi ích mà VoIP mang lại, việc bảo mật thông tin khi sử dụng dịch vụ VoIP còn rất nhiều bất cập. Theo tờ The New York Times cho biết các loại sâu và virus tính đã làm tắc những máy chủ tại các chi nhánh của một hãng bảo hiểm lớn và một ngân hàng tại Mỹ, khiến khoảng 1.500 đường điện thoại Internet mất khả năng đàm thoại. Ông Danny Lai, giám đốc kế hoạch mạng tại MediaRing, một công ty chuyên cung cấp dịch vụ VoIP của Singgapore, cho biết “Trong thế giới mạng, không có một biên giới nào cả, nên việc tấn công xâm nhập vào các điện thoại trở nên dễ dàng hơn …” Ông Charles Cousins, giám đốc quản lý của Sophos Anti-Virus Asia, cho biết: "Tôi tin rằng các nguy cơ này sẽ xảy đến châu Á trong tương lai, nhưng tôi không dự đoán trước rằng nó sẽ diễn ra với quy mô lớn cỡ nào. Mọi người cần phải được cảnh báo một cách đúng đắn trước thời điểm đó". 9 Ngoài những cuộc tấn công của virus, điện thoại Internet cũng sẽ là mục tiêu của nạn nghe lén. Không như các loại hình nghe lén trên đường điện thoại truyền thống, việc xâm nhập vào các cuộc gọi Internet không yêu cầu cần có một thiết bị đặc biệt nào, và cũng không cần phải mất nhiều nỗ lực cài đặt bố trí thiết bị. Vì những lý do trên tôi chọn đề tài: “Nghiên cứu giải pháp bảo mật thoại trên mạng Internet” mong góp phần vào việc nêu ra một số biện pháp làm tăng khả năng bảo mật thoại trên mạng Internet. 2. Mục tiêu nghiên cứu  Tìm hiểu công nghệ VoIP  Nghiên cứu một số phương pháp nén thoại trong VoIP  Nêu các biện pháp bảo mật tín hiệu thoại nhằm nâng cao chất lượng dịch mức độ bảo mật VoIP  Xây dựng ứng dụng bảo mật thoại trên mạng internet 3. Phƣơng pháp nghiên cứu  Phương pháp thu thập tài liệu: Các số liệu sử dụng trong luận văn được thu thập từ các nguồn: Sách tham khảo, giáo trình, giáo án, các bài báo và số liệu trên Internet.  Phương pháp phân tích: Dựa trên các tài liệu thu thập được, phân tích, đánh giá và đưa ra kết luận. 4. Cấu trúc luận văn Luận văn gồm : - Mở đầu - Chương 1: Tổng quan về công nghệ VoIP - Chương 2: Các phương pháp và kỹ thuật nén trong VoIP - Chương 3: Giải pháp bảo mật VoIP - Chương 4: Xây dựng ứng dụng bảo mật thoại trên mạng Internet - Kết luận 10 CHƢƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ VoIP VÀ CÁC VẤN ĐỀ LIÊN QUAN 1.1. Tổng quan về an toàn và bảo mật thông tin 1.1.1. Các vấn đề chung về an toàn bảo mật thông tin Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau: Nhóm 1. Bảo vệ an toàn thông tin bằng các biện pháp hành chính. Nhóm 2. Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng). Nhóm 3. Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm). Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi trường khó bảo vệ an toàn thông tin nhất đó là môi trường mạng và truyền tin và đây cũng là môi trường đối phương rất dễ xâm nhập. Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán. An toàn bảo mật thông tin nhằm đảm bảo các tính chất sau: - Tính bí mật: Đảm bảo được sự đáo riêng tư của thông tin - Tính toàn vẹn: Các thông tin không thể bị sửa đổi bởi những người không có thẩm quyền - Tính sẵn sàng: Thông tin phải được đảm bảo rằng luôn sẵn sàng đáp ứng nhu cầu sử dụng của người có thẩm quyền. Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy tính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả năng không an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng. Xác định càng chính xác các nguy cơ nói trên thì càng quyết định được tốt các giải pháp để giảm thiểu các thiệt hại. Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và vi phạm thụ động. Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin (đánh cắp thông tin). Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần đầu các gói tin. Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi. Vì vậy vi pham thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu được trao đổi. Vi phạm thụ động thường khó phát hiện nhưng có thể có những biện pháp ngăn 11 chặn hiệu quả. Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làm trễ, sắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian. Vi phạm chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung thông tin trao đổi. Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều. Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an toàn tuyệt đối. Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. 1.1.2. Thực trạng của vấn đề bảo mật thoại trên mạng Internet Như chúng ta thấy, bảo mật là vấn đề luôn được quan tâm hàng đầu trong nghành CNTT, nó quyết định tính sống còn của một sản phẩm và VoIP cũng không nằm ngoài lĩnh vực này. Theo hãng bảo mật Scanit tình trạng bảo mật VoIP hiện nay là rất tồi tệ. Thống kê cho thấy có tời 7/10 cuộc gọi VoIP là “mồi ngon” cho bọn tin tặc. Báo cáo nghiên cứu mới nhất của Scanit khẳng định bằng cách "móc nối" vào hệ thống mạng điện thoại VoIP bọn tin tặc có thể dễ dàng đánh cắp các dữ liệu các cuộc gọi. Không những thế chúng còn có thể ăn cắp được số PIN truy cập các dịch vụ ngân hàng qua điện thoại từ các tổng đài VoIP (call center). Tình trạng này là hậu quả của việc các tổng đài VoIP đã không thể bảo mật hệ thống mạng điện thoại Internet một cách đúng đắn và đầy đủ. Các chuyên gia bảo mật cho rằng nguyên nhân gây ra tình trạng đó là do rất nhiều hãng triển khai dịch vụ mạng điện thoại VoIP luôn nghĩ rằng nhà sản xuất thiết bị mạng VoIP đã tích hợp đầy đủ các giải pháp bảo mật vào trong sản phẩm của họ. Điều này dẫn đến kết quả là không ít các nhà cung cấp dịch vụ VoIP đã không thèm áp dụng thêm bất kỳ một giải pháp bảo mật nào nữa cho hệ thống mạng của họ. "Không những thế các nhà quản trị mạng VoIP còn thiếu những kỹ năng cần thiết cũng như thiếu hiểu biết về các thiết lập cấu hình bảo mật mạng VoIP. Đa số họ hiện vẫn đặt hết niềm tin vào nhà cung cấp thiết bị hoặc bộ tích hợp hệ thống để bảo mật mạng," Sheran Gunasekera - chuyên gia của Scanit - cho biết. 1.1.3. Tổng quan về lý thuyết mật mã 1.1.3.1. Định nghĩa mật mã là gì? Mật mã học là một lĩnh vực liên quan với các kỹ thuật ngôn ngữ và toán học để đảm bảo an toàn thông tin, cụ thể là trong thông tin liên lạc. Về phương diện lịch sử, mật mã học gắn liền với quá trình mã hóa; điều này có nghĩa là nó gắn với các cách thức để chuyển đổi thông tin từ dạng này sang dạng khác nhưng ở đây là từ dạng thông thường có thể nhận thức được thành dạng không thể nhận thức được, làm cho thông tin trở thành dạng không thể đọc được nếu như không có các kiến thức bí mật. Trong những năm gần đây, lĩnh vực hoạt động của mật mã hóa đã được mở rộng, mật mã hóa hiện đại cung cấp 12 cơ chế cho nhiều hoạt động hơn là chỉ duy nhất việc giữ bí mật và có một loạt các ứng dụng như: chứng thực khóa công khai, chữ ký số, bầu cử điện tử hay tiền điện tử. Ngoài ra, những người không có nhu cầu thiết yếu đặc biệt về tính bí mật cũng sử dụng các công nghệ mã hóa, thông thường được thiết kế và tạo lập sẵn trong các cơ sở hạ tầng của công nghệ tính toán trong liên lạc viễn thông và trong an ninh máy tính và mạng. Một hệ mật mã là một bộ 5 (P,C,K,E,D) thỏa mãn các điều kiện sau:  P là một tập hợp hữu hạn các bản rõ (Plain Text), nó được gọi là không gian bản rõ  C là tập hữu hạn các bản mã (Crypto), nó còn được gọi là không gian bản mã. Mỗi phần tử của C có thể nhận được bằng cách áp dụng phép mã hóa Ek lên một phần từ của P, với kK.  K là tập hữu hạn các khóa hay còn gọi là không gian khóa. Đối với mỗi phần tử k của K được gọi là một khóa (Key). Số lượng của không gian khóa phải đủ lớn để “kẻ địch” không có đủ thời gian để thử mọi khóa có thể (phương pháp vét cạn)  Đối với mỗi k thuộc K có một quy tắc mã eK: P C và một quy tắc giải mã tương ứng dK  D. Mỗi eK: P C và dK: C P là những hàm mà dK (eK(x)) = x với mọi bản rõ xP 1.1.3.2. Vai trò của hệ mật mã Các hệ mật mã phải thực hiện được các vai trò sau:  Hệ mật mã phải che dấu được nội dung của bản rõ (plain text) để đảm bảo sao cho chỉ người chủ hợp pháp của thông tin mới có quyền truy cập thông tin, hay nói cách khác là chống truy nhập không đúng quyền hạn  Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệ thống đến người nhận hợp pháp là xác thực (Authenticity).  Tổ chức các sơ đồ chữ ký điện tử, đảm bảo không có hiện tượng giả mạo, mạo danh để gửi thông tin trên mạng Ưu điểm lớn nhất của bất kỳ hệ mật mã nào là có thể đánh giá được độ phức tạp tính toán mà “kẻ địch” phải giải quyết bài toán để có thể lấy được thông tin của dữ liệu đã được mã hóa. Tuy nhiên mỗi hệ mật mã có một số ưu và nhược điểm khác nhau, nhưng nhờ đánh giá được độ phức tạp tính toán mà ta có thể áp dụng các thuật toán mã hóa khác nhau cho từng ứng dụng cụ thể tùy theo yêu cầu về độ an toàn: Bản rõ Mã hóa Bản mã Giải mã Khóa Hình 1.1: Quy trình mã hóa và giải mã Bản rõ 13 1.1.3.3. Phân loại hệ mật mã Có nhiều cách để phân loại hệ mật mã đó là: Cách 1: Phân loại hệ mật mã dựa vào cách truyền khóa, theo cách phân loại này hệ mật mã có thể được chia thành hai loại như sau:  Hệ mật mã khóa bí mật: là những hệ mật mã dùng chung một khóa cả trong  quá trình mã hóa dữ liệu và giải mã dữ liệu. Do đó khóa phải được giữ bí mật tuyệt đối  Hệ mật mã khóa công khai: các hệ này dùng một khóa để mã hóa sau đó dùng một khóa khác để giải mã, nghĩa là khóa để mã hóa và khóa để giải mã là khác nhau. Các khóa này tạo nên từng cặp chuyển đổi ngược nhau và không có khóa nào có thể suy ra được từ khóa kia. Khóa dùng để mã hóa có thể công khai nhưng khóa dùng đẻ giải mã phải giữ bí mật. Cách 2: Phân loại hệ mật mã dựa vào thời gian đưa ra hệ mật mã, theo cách này hệ mật mã được chia thành hai loại:  Mật mã cổ điển (là hệ mật mã ra đời trước năm 1970)  Mật mã hiện đại(ra đời sau năm 1970) Cách 3: Phân loại hệ mật mã dựa vào cách thức tiến hành mã thì hệ mật mã được chia thành hai loại:  Mã dòng (tính hành mã từng khối dữ liệu, mỗi khối lại dựa vào các khóa khác nhau, các khóa này được sinh ra từ hàm sinh khóa, được gọi là dòng khóa)  Mã khối (tiến hành mã từng khối dữ liệu với khóa như nhau) Trong khuôn khổ đề tài, tôi nghiên cứu theo hướng phân loại thứ nhất: hệ mật mã bao gồm: Hệ mật mã khóa công khai và hệ mật mã khóa bí mật 1.1.3.4. Hệ mật mã khóa bí mật Đây là kiểu mã hóa mà người gửi và người nhận sử dụng cùng một khóa và khóa này phải được giữ bí mật, có nghĩa là trước khi truyền tín hiệu hai bên phải có kênh liên lạc riêng để trao đổi khóa. 14 Thám mã Người gửi A X Y Mã hóa K Giải mã Người nhận Kênh an toàn K Nguồn khóa Hình 1.2: Hệ mật mã hóa khóa bí mật  Tại nơi gửi: Một tập các bản rõ được tạo ra X = [X1, X2, X3,...., XN] Nguồn khóa tạo ra một tập khóa K = [K1, K2, K3,...., KN]. Khi đó khóa được tạo ra từ nơi gửi sẽ được truyền tới nơi nhận theo một kênh truyền riêng, an toàn. Với bản rõ X và khóa bí mật K đầu vào, thuật toán mã hóa tạo ra được bản mã Y=[Y1, Y2, Y3,...., YM] Ta có Y = Ek(X). Y được tạo ra bằng cách sử dụng thuật toán mã hóa E một hàm của X và được xác định nhờ khóa K.  Nơi nhận, nhận lại thông tin nhờ bộ giải mã với hàm giải mã D: X = Dk(Y) Các thuật toán dùng trong hệ mật mã khóa bí mật  Thuật toán DES  Thuật toán AES  Thuật toán IDEA  Thuật toán Blowfish 1.1.3.5. Hệ mật mã khóa công khai Khi sự bùng nổ của thông tin qua mạng máy tính đang ngày một gia tăng thì vấn đề bảo mật thông tin ngày càng trở lên cần thiết hơn bao giờ hết. Trên thực tế, chúng ta có rất nhiều cách để bảo mật thông tin, nhưng chọn cách nào cho phù hợp và có tính an toàn cao lại là một vấn đề cần xem xét. Phương pháp mã hóa công khai được xem là phương pháp có độ an toàn khá cao. Như ta biết, thông thường thông tin được trao đổi qua mạng theo cách: 15 Thông tin A cần gửi đi Mạng B nhận thông tin từ A Hình 1.3: Mô hình trao đổi thông tin qua mạng theo cách thông thƣờng Quá trình trao đổi thông tin giữa A và B được mô tả ở hình 1.3 được thực hiện qua các bước sau: Bước 1. A tạo thông tin cần gửi đi Bước 2. A Gửi thông tin cho B Bước 3. B nhận thông tin từ trên mạng xuống (không biết chính xác là thông tin được gửi từ A có bị sửa chữa, thay thế hay đánh cắp không). Theo cách này, chúng ta không thể quản lý được sự bí mật của thông tin. Vì vậy ta có thể xây dựng một mô hình trao đổi thông tin như hình dưới đây Thông tin A cần gửi đi B nhận thông tin từ A Mạng Mã hóa thông tin cần gửi Giải mã thông tin nhận được từ A Hình 1.4: Mô hình trao đổi thông tin theo phƣơng pháp mã hóa khóa công khai Phương pháp mã hóa khóa công khai sử dụng thuật toán RSA – có khả năng giải quyết triệt để yêu cầu của mô hình trao đổi thông tin bảo mật trên. *) Giới thiệu về hệ mật mã khóa công khai Trong mô hình mật mã cổ điển, A (người gửi) và B (người nhận) bằng cách chọn khóa bí mật K. Sau đó A dùng khóa K để mã hóa theo luật eK và B dùng khóa K để giải mã theo luật dK. Trong hệ mật này, dK hoặc giống như eK hoặc dễ dàng nhận được từ nó vì quá trình giải mã hoàn toàn tương tự như quá trình mã hóa, nhưng thủ tục khóa thì ngược lại. Nhược điểm lớn của hệ mật này là nếu ta để lộ eK thì hệ thống sẽ mất an toàn, chính vì vậy chúng ta phải tạo cho các hệ mật một kênh an toàn mà kinh phí để tạo một kênh an toàn không phải là rẻ. 16 Ý tưởng xây dựng một hệ mật khóa công khai là tìm một hệ mật không có khả năng tính toán để xác định dK nếu biết được eK. Nếu thực hiện được như vậy thì quy tắc mã ek có thể được công khai bằng cách công bố nó trong danh bạ, và khi A (người gửi) hoặc bất cứ một ai đó muốn gửi một bản tin cho B (người nhận) thì người đó không phải thông tin trước với B về khoá mật, mà người gửi sẽ mã hóa bản tin bằng cách dùng luật mã công khai eK. Khi bản tin này được chuyển cho B thì chỉ có duy nhất B mới có thể giải được bản tin này bằng cách sử dụng luật giải mã bí mật dK. Ý tưởng về hệ mật khóa công khai được Diffie và Heliman đưa ra vào năm 1976. Còn việc thực hiện hệ mật khóa công khai thì lại được Rivest. Shamin và Adieman đưa ra đầu tiên vào năm 1977. Họ đã tạo nên hệ mật RSA nổi tiếng. Kể từ đó có một số hệ mật được công bố, độ mật của từng hệ dựa trên các bài tính toán khác nhau. Trong đó quan trọng nhất là các hệ mật sau:  Hệ mật RSA: Độ bảo mật của hệ RSA dựa trên bộ khóa của việc phân tích ra thừa số nguyên tố các số nguyên tố lớn.  Hệ mật xếp balo Merkle – Hellman: Hệ này và các hệ có liên quan dựa trên tính khó giải của bài toán tổng các tập con.  Hệ mật McEliece: Hệ mật này dựa trên lý thuyết mã đại số và vẫn được coi là an toàn. Hệ mật McEliece dựa trên bài toán giải mã cho các mã tuyến tính.  Hệ mật ElGamal: dựa trên tính khó giải của bài toán Logarit rời rạc trên các trường hữu hạn.  Hệ mật Chor – Rivest: cũng được xem như một lại hệ mật xếp balo, tuy nhiên hệ mật này vẫn được coi là hệ mật an toàn.  Hệ mật trên các đường cong Elliptic: Hệ mật này là biến tướng của các hệ mật khác, chúng làm việc trên các đường cong Elliptic chứ không phải trên các trường hữu hạn. 1.1.3.6. Các tiêu chuẩn đánh giá hệ mật mã Để đánh giá một hệ mật mã người ta thường đánh giá thông qua các tính chất sau: Độ an toàn: Một hệ mật mã được đưa vào sử dụng điều đầu tiên phải có độ an toàn cao. Ưu điểm của mật mã là có thể đánh giá được độ an toàn thông qua độ an toàn tính toán mà không cần phải cài đặt. Một hệ mật mã được coi là an toàn nếu để phá hệ mật mã này phải dùng n phép toán, để giải quyết n phép toán cần một khoảng thời gian vô cùng lớn, vì thế điều này là không thể chấp nhận được. Một hệ mật mã được gọi là tốt khi nó đảm bảo được các tiêu chuẩn sau: - Có phương pháp bảo vệ mà chỉ dựa trên sự bí mật của khóa công khai, công khai thuật toán 17 Khi cho khóa công khai ek và bản rõ P thì chúng ta dễ dàng tính được ek(P) = C. Ngược lại khi cho dk và bản mã C thì dễ dàng tìm được dk(M) = P. Khi không tính y = f(x) với mọi xX là dễ còn tìm x khi biết y lại là vẫn đề khó. - Bản mã C không được có đặc điểm gây chú ý, nghi ngờ Tốc độ mã hóa và giải mã: Khi đánh giá hệ mật mã chúng ta phải chú ý đến tốc độ mã hóa và giải mã, hệ mật mã tốt thì thời gian mã hóa và giải mã phải nhanh. Phân phối khóa: Một hệ mật mã phụ thuộc vào khóa và việc khóa này được truyền công khai hay truyền bí mật. Phân phối khóa bí mật mất chi phí cao hơn so với việc phân phối khóa công khai, vì vậy đây cũng là một tiêu chí khi lựa chọn hệ mật mã. - 1.2. Giới thiệu về công nghệ VoIP 1.2.1. Khái niệm về Voice over IP VoIP (viết tắt bởi Voice over Internet Protocol – truyền giọng nói trên giao thức IP) là công nghệ truyền tiếng nói của con người qua mạng sử dụng giao thức TCP/IP. Nó sử dụng các gói dữ liệu IP trên mạng Lan, WAN và Internet với thông tin được truyền tải là các dạng mã hóa của âm thanh. VoIP có thể vừa thực hiện được các cuộc gọi như trên điện thoại kênh truyền thống, đồng thời truyền dữ liệu trên cơ sở mạng truyền dữ liệu. Bản chất của công nghệ này là dựa trên chuyển mạch gói, nhằm thay thế công nghệ truyền thoại cũ dùng chuyển mạch kênh. Nó nén (ghép) nhiều kênh thoại trên một đường chuyền tín hiệu, và những tín hiệu này được truyền qua mạng Internet. VoIP là một công nghệ cho phép truyền âm thanh thời gian thực qua băng thông Internet và các kết nối IP. Trong đó tín hiệu âm thanh (voice signal) sẽ được chuyển đổi thành các gói tệp (data packets) thông qua môi trường mạng Internet trong môi trường VoIP, sau lại được chuyển thành tín hiệu âm đến thiết bị người nhận. Để thực hiện việc này, điện thoại IP thường được tích hợp sẵn các nghi thức báo hiệu chuẩn như SIP hay H.323, kết nối tới một tổng đài IP (IP PBX) của doanh nghiệp hay của nhà cung cấp dịch vụ. Điện thoại IP có thể ở dạng như một điện thoại thông thường (chỉ khác là thay vì nối với mạng điện thoại qua đường dây giao tiếp thì điện thoại IP nối trực tiếp vào mạng LAN qua cáp Ethernet) hoặc phần mềm thoại (soft-phone) cài trên máy tính. 1.2.2. Lịch sử phát triển VoIP Năm 1995 hãng Vocaltec đã thực hiện truyền thoại qua Internet, lúc đó kết nối chỉ gồm một PC cá nhân với các trang thiết bị ngoại vi thông thường như card âm thanh, headphone, mic, telephone line, modem... phần mềm này thực hiện nén tín hiệu thoại và 18 chuyển đổi thông tin thành các gói tin IP để truyền dẫn qua môi trường Internet. Mặc dù chất lượng chưa được tốt nhưng chi phí thấp so với điện thông thường đã trở thành yếu tố cạnh tranh và giúp nó tồn tại. Bắt đầu phát triển lớn mạnh và kéo theo việc ra đời của các tổ chức chuẩn hoá liên quan như ITU có các chuẩn sau H.250.0, H.245, H.225 (Q.931) cho quản lý; H.261, H.263 cho mã hoá video; các chuẩn G cho xử lý thoại…Có rất nhiều chuẩn nhưng đang có xu hướng hội tụ thành hai chuẩn H.323 của ITU và SIP của IETF. Voice over IP: được hiểu là công nghệ truyền thoại qua môi trường IP. Vì đặc điểm của mạng gói là tận dụng tối đa việc sử dụng băng thông mà ít quan tâm tới thời gian trễ lan truyền và xử lý trên mạng, trong khi tín hiệu thoại lại là một dạng thời gian thực, cho nên người ta đã bổ sung vào mạng các phần tử mới và thiết kế các giao thức phù hợp để có thể đảm bảo chất lượng dịch vụ cho người dùng. Nó không chỉ truyền thoại mà còn truyền cho các dịnh vụ khác như truyền hình và dữ liệu. Từ 1/7/2001 đến nay Tổng cục Bưu điện đã cho phép Vietel, VNPT, Saigon Postel và Công ty điện lực Việt Nam chính thức khai thác điện thoại đường dài trong nước và quốc tế qua giao thức IP, gọi tắt là VoIP. Sự xuất hiện VoIP ở Việt Nam đã cung cấp cho xã hội một dịch vụ điện thoại đường dài có cước phí thấp hơn nhiều so với dịch vụ điện thoại đường dài truyền thống với chất lượng mà người sử dụng có thể chấp nhận được. Nó cũng phù hợp với xu hướng phát triển viễn thông trên thế giới và đặc biệt là ở khu vực Châu á - Thái Bình Dương. 1.2.3. Các kiểu kết nối sử dụng VoIP  Computer to Computer: Với một kênh truyền Internet có sẵn, một dịch vụ miễn phí được sử dụng rộng rãi khắp nơi trên thế giới. Chỉ cần người gọi (caller) và người nhận (receiver) sử dụng chung một VoIP service (Skype, MSN, Yahoo Messenger,…), 2 headphone + microphone, sound card . Cuộc hội thoại là không giới hạn. Hình 1.5: Kết nối PC to PC  Computer to phone: Là một dịch vụ có phí. Bạn phải trả tiền để có một account và software (VDC, Evoiz, Netnam,…). Với dịch vụ này một máy PC có kết nối tới một máy điện thoại thông thường ở bất cứ đâu (tuỳ thuộc phạm vi cho phép trong 19 danh sách các quốc gia mà nhà cung cấp cho phép). Người gọi sẽ bị tính phí trên lưu lượng cuộc gọi và khấu trừ vào tài khoản hiện có. Hình 1.6: Kết nối PC to Phone o Ưu điểm: đối với các cuộc hội thoại quốc tế, người sử dụng sẽ tốn ít phí hơn một cuộc hội thoại thông qua hai máy điện thoại thông thường. Chi phí rẻ, dễ lắp đặt o Nhược điểm: chất lượng cuộc gọi phụ thuộc vào kết nối internet nhà cung cấp dịch vụ  Phone to Phone: Là một dịch vụ có phí, bạn không cần kết nối Internet mà chỉ cần một VoIP adapter kết nối với máy điện thoại, lúc này máy điện thoại trở thành một IP phone. Hình 1.7: Kết nối Phone to Phone 1.2.4. Phương thức hoạt động của VoIP VoIP chuyển đổi tín hiệu giọng nói thông qua môi trường mạng (IP based network). Do vậy, trước hết giọng nói (voice) sẽ phải được chuyển đổi thành các dãy bit kĩ thuật số (digital bits) và được đóng gói thành các packet để sau đó được truyền tải qua mạng IP network và cuối cùng sẽ được chuyển lại thành tín hiệu âm thanh đến người nghe. Tiến trình hoạt động của VoIP thông qua 2 bước: Call Setup: trong quá trình này, người gọi sẽ phải xác định vị trí (thông qua địa chỉ của người nhận) và yêu cầu kết nối để liên lạc với người nhận. Khi địa chỉ người nhận được xác định là tồn tại trên các proxy server thì các proxy server giữa 2 người sẽ thiết lập 1 cuộc kết nối cho quá trình trao đổi dữ liệu voice.