Đăng ký Đăng nhập
Trang chủ Giáo án - Bài giảng Bài giảng điện tử An_ninh_mvt...

Tài liệu An_ninh_mvt

.PDF
182
331
59
nguyenthuhien1013928
Tải xuống 59
/ 182 trang
Tải xuống 59

Mô tả:

tài liệu cá nhân
ĐẠI HỌC THÔNG TIN LIÊN LẠC —————————————– CHU TIẾN DŨNG AN NINH MẠNG VIỄN THÔNG TẬP BÀI GIẢNG NHA TRANG - 2017 MỤC LỤC MỤC LỤC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i DANH MỤC HÌNH VẼ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v MỞ ĐẦU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Chương 1. TỔNG QUAN AN NINH CÁC HỆ THỐNG THÔNG TIN . . . . . . . . . . . . 2 1.1. Giới thiệu chung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1. Các yếu tố cần được bảo vệ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.2. Yêu cầu của một hệ thống thông tin an toàn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.3. Tính bí mật . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.4. Toàn vẹn số liệu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.5. Tính khả dụng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 3 4 5 6 1.2. Các 1.2.1. 1.2.2. 1.2.3. đe dọa an ninh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Đóng giả . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Giám sát . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Làm giả . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7 7 7 1.2.4. Ăn cắp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.3. Các 1.3.1. 1.3.2. 1.3.3. 1.3.4. loại hình tấn công . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Xem trộm thông tin (Release of Message Content). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Thay đổi thông điệp (Modification of Message) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mạo danh (Masquerade) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Phát lại thông điệp (Replay) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 8 9 9 9 1.4. Các 1.4.1. 1.4.2. 1.4.3. công nghệ an ninh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mật mã hóa số liệu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Các giao thức (protocol) thực hiện bảo mật.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Trao đổi khóa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 10 15 25 1.5. Các 1.5.1. 1.5.2. 1.5.3. 1.5.4. 1.5.5. biện pháp an ninh khác . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tường lửa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mạng riêng ảo - VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nhận thực hai nhân tố . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Đo sinh học . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chính sách an ninh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 30 41 59 59 60 Chương 2. CÔNG NGHỆ AN NINH TRONG GSM VÀ GPRS . . . . . . . . . . . . . . . . . . 61 2.1. Giới thiệu chung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 2.2. Cấu trúc hệ thống GSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1. MS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2. Mạng cố định . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.3. SIM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.4. Các đặc điểm nhận diện. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 62 62 63 64 i ii 2.3. Cấu trúc hệ thống GPRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 2.4. An ninh trong GSM và GPRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1. Tính bảo mật Nhận diện thuê bao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2. Các trường hợp cập nhật vùng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.3. Tính bảo mật Xác nhận User GPRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.4. Xác thực Nhận diện thuê bao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 66 67 67 68 2.5. KẾT LUẬN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Chương 3. CÔNG NGHỆ AN NINH TRONG 3G UMTS . . . . . . . . . . . . . . . . . . . . . . . . 72 3.1. Mô hình kiến trúc an ninh UMTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1. Kiến trúc UMTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.2. Mô hình kiến trúc an ninh 3G UMTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 72 76 3.2. Mô hình an ninh ở giao diện vô tuyến 3G UMTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1. Mạng nhận thực người sử dụng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2. USIM nhận thực mạng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.3. Mật mã hóa UTRAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.4. Bảo vệ toàn vẹn báo hiệu RRC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 78 78 79 80 3.3. Các kĩ thuật chủ yếu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 3.4. Các 3.4.1. 3.4.2. 3.4.3. vấn đề an ninh cuả 3G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Các phần tử an ninh 2G vẫn được giữ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Các điểm yếu của an ninh 2G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Các tính năng an ninh và các dịch vụ mới . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 81 81 82 Chương 4. CÔNG NGHỆ AN NINH TRONG Mobile IP . . . . . . . . . . . . . . . . . . . . . . . . . 83 4.1. Tổng quan về Mobile IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1. Các thành phần logic của Mobile IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.2. Mobile IP – Nguy cơ về an ninh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 83 84 4.2. Các phần tử nền tảng môi trường nhận thực và an ninh của Mobile IP . . . . . . . . . . . . . . . . . . 4.2.1. An ninh IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.2. Sự cung cấp các khoá đăng ký dưới Mobile IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 86 87 4.3. Giao thức đăng ký Mobile IP cơ sở . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.1. Các phần tử dữ liệu và thuật toán trong giao thức đăng ký Mobile IP . . . . . . . . . . . . . . 4.3.2. Hoạt động của Giao thức đăng ký Mobile IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 88 89 4.4. Mối quan tâm về an ninh trong Mobile Host - Truyền thông Mobile Host . . . . . . . . . . . . . . . 90 4.5. Phương pháp lai cho nhận thực theo giao thức Mobile IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.1. Các phần tử dữ liệu trong Giao thức nhận thực Sufatrio/Lam . . . . . . . . . . . . . . . . . . . . . . 4.5.2. Hoạt động của giao thức nhận thực Sufatrio/Lam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.3. Tổng quan về hệ thống MoIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.4. Các đặc tính chính của kiến trúc an ninh MoIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 93 94 95 97 4.6. KẾT LUẬN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Chương 5. AN NINH TRONG WIRELESS LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1. Tổng quan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.1. Giới thiệu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.2. Kiến trúc cơ bản của một WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 101 101 102 iii 5.2. Các 5.2.1. 5.2.2. 5.2.3. mô hình WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mô hình mạng AD HOC (Independent Basic Service sets (BSSs)) . . . . . . . . . . . . . . . . . Mô hình mạng cơ sở (Basic service sets (BSSs)) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mô hình mạng mở rộng (Extend service sets (ESSs)) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 103 103 104 5.3. Các 5.3.1. 5.3.2. 5.3.3. 5.3.4. 5.3.5. chuẩn mạng thông dụng của WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IEEE 802.11b . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IEEE 802.11a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IEEE 802.11g . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IEEE 802.11n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 105 105 106 106 107 5.4. Cách thức truyền thông trên WLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.1. Mô hình TCP/IP cho mạng không dây . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.2. Mô hình truyền tin giữa các thiết bị trong WLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.3. Thông tin cấu trúc header của 802.11 MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.4. Thông tin bắt buộc của 802.11 MAC header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.5. Thông tin chi tiết về Frame Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.6. Thông tin chi tiết về kiểu Frame. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.7. Tiến trình thăm dò . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.8. Tiến trình xác thực . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.9. Tiến trình kết nối . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.10. Các phương thức xác thực . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.11. Hệ thống dùng cho doanh nghiệp (Enterprise System) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.12. Các giao thức xác thực nổi bật. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 108 109 110 110 110 111 113 114 115 116 117 118 5.5. Các 5.5.1. 5.5.2. 5.5.3. 5.5.4. 5.5.5. 5.5.6. 5.5.7. 5.5.8. 5.5.9. 122 122 123 124 125 125 126 126 127 127 giải pháp bảo mật trên WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Các mức bảo vệ an toàn mạng . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wired Equivalent Privacy (WEP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kỹ thuật chìa khóa nhảy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Những giải pháp dựa trên AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wireless Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Xác nhận thông điệp (message authentication) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mã hóa thông điệp (data encryption) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . WPA - Wi-fi Protected Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6. KẾT LUẬN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chương 6. AN NINH TRONG WIMAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 131 6.1. Giới thiệu mạng WiMAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1. Định nghĩa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.2. Đặc điểm công nghệ WiMAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.3. Các khái niệm WiMAX cơ bản . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.4. Băng tần của WiMAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.5. Các cấu hình hoạt động . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 131 132 134 135 135 6.2. An ninh và bảo mật trong mạng WiMAX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.1. Liên kết an ninh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2. Xác thực. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.3. quản lý khóa và bảo mật . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.4. Mã hóa dữ liệu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 137 140 141 144 iv 6.3. quản lý khóa bảo mật . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.1. Giao thức quản lý khóa bảo mật phiên bản 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.2. Giao thức quản lý khóa bảo mật phiên bản 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.3. Cải tiến các vấn đề an ninh trong WiMAX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 148 154 157 6.4. Các lỗ hổng và mối đe dọa trong an ninh WiMAX và các giải pháp khắc phục . . . . . . . . . 158 6.4.1. Các mối đe dọa trong mạng WiMAX di động . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 6.4.2. Phân tích các vấn đề bảo mật và các giải pháp khắc phục các lỗ hổng, các mối đe dọa an ninh WiMAX di động . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 6.5. KẾT LUẬN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 DANH MỤC HÌNH VẼ 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 1.13 1.14 1.15 1.16 1.17 1.18 1.19 1.20 1.21 1.22 1.23 1.24 1.25 1.26 1.27 1.28 1.29 1.30 1.31 1.32 1.33 1.34 1.35 1.36 1.37 1.38 1.39 1.40 1.41 1.42 1.43 1.44 1.45 Các yêu cầu của một hệ thống thông tin an toàn . . . . . . . . . . . . . . Xem trộm thông điệp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sửa thông điệp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mạo danh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Phát lại thông điệp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cấu trúc một hệ thống mật mã quy ước . . . . . . . . . . . . . . . . . . . Quan hệ giữa độ dài khoá và thời gian dò khoá . . . . . . . . . . . . . . . Trao đổi khoá trong mật mã đối xứng . . . . . . . . . . . . . . . . . . . . Cấu trúc hệ thống mật mã bất đối xứng . . . . . . . . . . . . . . . . . . . Thủ tục xác thực Kerberos 4 . . . . . . . . . . . . . . . . . . . . . . . . . Xác thực giữa hai lãnh địa Kerberos . . . . . . . . . . . . . . . . . . . . . Cấu trúc SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hoạt động của giao thức truyền dữ liệu SSL . . . . . . . . . . . . . . . . . Cấu trúc gói SSL record . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mô hình trao đổi khóa bí mật . . . . . . . . . . . . . . . . . . . . . . . . . Mô hình trao đổi khóa bí mật sử dụng KDC . . . . . . . . . . . . . . . . . Các bước trao đổi khóa bí mật dùng KDC . . . . . . . . . . . . . . . . . . Trao đổi khóa công khai tự phát . . . . . . . . . . . . . . . . . . . . . . . Trao đổi khóa công khai dùng trung tâm chứng thực . . . . . . . . . . . . Thiết lập khóa phiên bí mật bằng mã hóa khóa công . . . . . . . . . . . . Tường lửa với các cấu hình khác nhau . . . . . . . . . . . . . . . . . . . . Sơ đồ kiến trúc Dual–homed Host . . . . . . . . . . . . . . . . . . . . . . Sơ đồ kiến trúc Screened Host . . . . . . . . . . . . . . . . . . . . . . . . . Sơ đồ kiến trúc Screened Subnet Host . . . . . . . . . . . . . . . . . . . . Sơ đồ kiến trúc sử dụng 2 Bastion Host . . . . . . . . . . . . . . . . . . . Sơ đồ kiến trúc ghép chung . . . . . . . . . . . . . . . . . . . . . . . . . . Sơ đồ kiến trúc ghép chung Bastion Host và Router ngoài . . . . . . . . . Kiểu VPN điển hình . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sáu khối xây dựng một VPN . . . . . . . . . . . . . . . . . . . . . . . . . Cấu hình VPN điển hình . . . . . . . . . . . . . . . . . . . . . . . . . . . Kiến trúc của VPN phụ thuộc . . . . . . . . . . . . . . . . . . . . . . . . . Kiến trúc của VPN phụ thuộc . . . . . . . . . . . . . . . . . . . . . . . . . Kiến trúc của VPN hỗn hợp, được điều khiển bởi tổ chức và nhà cung cấp Kiến trúc VPN hỗn hợp điều khiển bởi nhiều nhà cung cấp dịch vụ . . . . VPN dựa trên đường hầm router đến router . . . . . . . . . . . . . . . . . VPN dựa trên đường hầm đa giao thức router đến router . . . . . . . . . Phiên mật mã VPN dựa trên yêu cầu giữa 2 router . . . . . . . . . . . . . VPN dựa trên đường hầm tường lửa đến tường lửa . . . . . . . . . . . . . VPN dựa trên đường hầm tường lửa đến tường lửa . . . . . . . . . . . . . Kiến trúc VPN khách hàng đến tường lửa . . . . . . . . . . . . . . . . . . Kiến trúc VPN khách hàng đến server . . . . . . . . . . . . . . . . . . . . Kiến trúc VPN trực tiếp . . . . . . . . . . . . . . . . . . . . . . . . . . . . Khung giao thức được sử dụng trong IPSec . . . . . . . . . . . . . . . . . 5 bước hoạt động của IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . Kiến trúc của PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dịch vụ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 8 9 9 10 11 13 14 16 18 21 23 24 25 26 26 27 28 29 29 30 32 33 34 36 37 38 42 43 45 47 47 48 48 49 49 50 50 51 51 52 53 54 55 56 vi 1.46 Đường hầm bắt buộc và đường hầm tự nguyện . . . . . . . . . . . . . . . . . . . . . . . . 57 1.47 Kiến trúc của L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 2.1 2.2 2.3 2.4 2.5 Cấu trúc hệ thống GSM . . . . Cấu trúc hệ thống GPRS . . . Cập nhật vùng trong một MSC Thủ tục xác thực nói chung . . Quá trình xác nhận GPRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . mới, trong cùng vùng VLR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 3.2 3.3 3.4 Nhận thực người sử dụng tại VLR/SGSN Nhận thực mạng tại UMSI . . . . . . . . Bộ mật mã luồng UMTS . . . . . . . . . . Nhận thực toàn vẹn bản tin . . . . . . . . 4.1 4.2 4.3 4.4 Sơ đồ minh hoạ các thành phần then chốt của kiến trúc Mobile IP . . . . . . . . . . . Sơ đồ phác thảo sự trao đổi các bản tin trong Giao thức đăng ký Mobile IP . . . . . . Sơ đồ minh hoạ hoạt động của giao thức Sufatrio/Lam cho nhận thực trong môi trường Mobile IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sơ đồ khối của nguyên mẫu môi trường MoIPS . . . . . . . . . . . . . . . . . . . . . . . . 96 . . 100 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 Sơ đồ minh hoạ các thành phần then chốt của kiến trúc Mobile Mô hình mạng AD HOC . . . . . . . . . . . . . . . . . . . . . . Mô hình mạng cơ sở . . . . . . . . . . . . . . . . . . . . . . . . Mô hình mạng mở rộng . . . . . . . . . . . . . . . . . . . . . . Mô hình TCP/IP áp dụng cho WLAN . . . . . . . . . . . . . . Chi tiết lớp Communication Network . . . . . . . . . . . . . . . Mô hình chuyển đổi chuẩn mạng . . . . . . . . . . . . . . . . . Cấu trúc thông tin của Frame Control . . . . . . . . . . . . . . Quy trình xác nhận của hệ thống mở . . . . . . . . . . . . . . . Chứng thực trong hệ thống mở . . . . . . . . . . . . . . . . . . Quy trình xác nhận của hệ thống dùng khóa chia sẻ . . . . . . Quy trình xác nhận của hệ thống dùng cho doanh nghiệp . . . Quá trình chứng thực 802.1x-EAP . . . . . . . . . . . . . . . . Wireless VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . Các mức độ bảo vệ mạng . . . . . . . . . . . . . . . . . . . . . Mã hóa thông điệp . . . . . . . . . . . . . . . . . . . . . . . . . IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 103 103 104 108 108 109 110 116 116 117 118 119 121 122 127 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 6.10 6.11 6.12 6.13 6.14 6.15 6.16 6.17 6.18 6.19 Mô hình mạng WiMAX . . . . . . . . . . . . . . . . . Đặc điểm công nghệ WiMAX . . . . . . . . . . . . . . Cấu hình P2P . . . . . . . . . . . . . . . . . . . . . . . Cấu hình PMP . . . . . . . . . . . . . . . . . . . . . . Cấu hình đa bước . . . . . . . . . . . . . . . . . . . . . Cấu hình di động . . . . . . . . . . . . . . . . . . . . . Sự tạo thành HMAC . . . . . . . . . . . . . . . . . . . Cấp phép PKM . . . . . . . . . . . . . . . . . . . . . . Trao đổi PKM TEK . . . . . . . . . . . . . . . . . . . Quá trình mã hóa TEK . . . . . . . . . . . . . . . . . Mã hóa DES-CBC . . . . . . . . . . . . . . . . . . . . CCM nonce . . . . . . . . . . . . . . . . . . . . . . . . Khối CCM CBC . . . . . . . . . . . . . . . . . . . . . Khối đếm CCM . . . . . . . . . . . . . . . . . . . . . . Mã hóa và sự tạo thành xác thực tin nhắn AES-CCM Mã hóa tải AES-CCM . . . . . . . . . . . . . . . . . . Cấu trúc ngăn xếp giao thức của lớp con an ninh . . . Xử lý an ninh WiMAX . . . . . . . . . . . . . . . . . . Quá trình xác thực . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 132 136 137 138 139 142 143 144 144 145 146 146 146 147 148 149 150 151 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 65 68 69 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 79 80 81 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 . . 90 vii 6.20 6.21 6.22 6.23 6.24 6.25 6.26 6.27 6.28 6.29 6.30 6.31 6.32 Quá trình đưa ra khóa . . . . . . . . . . . . . . . . . . . . . Quá trình trao đổi TEK . . . . . . . . . . . . . . . . . . . . Quá trình mã hóa WiMAX MPDU . . . . . . . . . . . . . . Quá trình cấp phép lẫn nhau giữa SS và BS . . . . . . . . . Sự tạo thành AK trong cấp phép dựa vào RSA . . . . . . . Quá trình tạo thành AK trong cấp phép EAP . . . . . . . . thủ tục PKMv2 trong quá trình gia nhập mạng ban đầu . . Gia nhập mạng ban đầu với thỏa thuận khóa D-H . . . . . req/resp xác thực với time stamps . . . . . . . . . . . . . . Gia nhập mạng và xác thực của một nút mới . . . . . . . . Yêu cầu/ đáp ứng cấp phép với time stamp . . . . . . . . . Các giải pháp có thể để truyền GTEK trong một con đường Tránh tấn công khóa bằng chuỗi băm GTEK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bảo mật . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 152 153 155 156 157 162 163 164 166 166 172 173 MỞ ĐẦU Từ khi ra đời đến nay, hệ thống mạng viễn thông đã phát triển một cách mạnh mẽ, và trở thành một phần quan trọng không thể thiếu trong cuộc sống. Sự hội tụ về công nghệ thông tin và điện tử viễn thông đã nâng cao tốc độ truyền dẫn thông tin. Nhu cầu trao đổi thông tin trong hệ thống viễn thông được đáp ứng, đi cùng với sự trao đổi thông tin là sự cần thiết bảo mật thông tin của người dùng. Để có được cái nhìn tổng quan về an ninh mạng viễn thông nói chung, nắm bắt những kiến thức cơ bản về viễn thông và cũng nằm trong chương trình đào tạo hệ Đại học của Đại Học Thông Tin Liên Lạc, tập bài giảng “An Ninh Mạng Viễn Thông” được các giảng viên Bộ môn Mạng Viễn thông, Khoa Kỹ Thuật Viễn Thông biên soạn. Tập bài giảng gồm 8 chương, trình bày những kiến thức cơ bản về an ninh mạng viễn thông, đặc biệt là các vấn đề về an ninh của các hệ thống thông tin vô tuyến. • Chương 1: TỔNG QUAN AN NINH CÁC HỆ THỐNG THÔNG TIN. • Chương 2: CÔNG NGHỆ AN NINH TRONG GSM VÀ GPRS. • Chương 3: CÔNG NGHỆ AN NINH TRONG 3G UMTS. • Chương 4: CÔNG NGHỆ AN NINH TRONG MIP. • Chương 5: AN NINH TRONG WIRELESS LAN. • Chương 6: AN NINH TRONG WIMAX. Trong quá trìng biên soạn tác giả cũng đã tham khảo các tài liệu của các nhà trường, trung tâm nghiên cứu trong và ngoài quân đội và đặc biệt là từ kinh nghiệm thực tế giảng dạy, sự đóng góp nhiệt tình của tập thể giáo viên bộ môn Mạng viễn thông khoa Kỹ thuật viễn thông. 1 Chương 1 TỔNG QUAN AN NINH CÁC HỆ THỐNG THÔNG TIN 1.1. Giới thiệu chung Mạng viễn thông là một hệ thống rộng lớn bao gồm rất nhiều các thiết bị, các giao thức truyền thông để giúp truyền tải thông tin từ nơi này đến nơi khác. Nhiệm vụ của việc truyền thông tin này là nhanh chóng, chính xác, chất lượng cao và bảo mật tốt. Với sự bùng nổ về sự phát triển công nghệ thông tin như hiện nay thì việc đảm bảo an ninh cho mạng viễn thông luôn được các tổ chức viễn thông và các nhà sản xuất lớn giành sự quan tâm đặc biệt. Mạng viễn thông là một tổng thể bao gồm rất nhiều thành phần và theo xu thế chung thì sẽ ngày càng có thêm nhiều mạng mới, dịch vụ mới được tích hợp thành một hệ thống hoàn chỉnh. Mạng máy tính chỉ là một phần trong hệ thống mạng viễn thông, tuy vậy cơ sở nền tảng của mạng viễn thông căn bản dựa trên mạng máy tính, vì các thiết bị thông tin hiện nay đa phần đều được thiết kế trên nền tảng kết nối với mạng máy tính, các công tác quản lý, điều hành, lưu trữ, bảo mật. . . đều phải thông qua hệ thống máy tính. An ninh mạng viễn thông nghĩa là bảo vệ hệ thống khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình. An ninh mạng cung cấp giải pháp, chính sách, bảo vệ hệ thống nhằm không cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng. Khi xét về an ninh mạng viễn thông, trước hết ta phải nắm được những kiến thức tổng quan về mạng viễn thông. Nắm được các thành phần cơ bản trong mạng và nguyên lý hoạt động của mạng mới có thể biết được đâu là điểm mạnh, điểm yếu, đâu là nơi cần phải bảo vệ trong một mạng viễn thông. 1.1.1. Các yếu tố cần được bảo vệ Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời. Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin 2 3 lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin không được giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó. Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tím mật khẩu để tấn công vào hệ thống mạng. Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong đơn vị là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của cá nhân, cơ quan. . . 1.1.2. Yêu cầu của một hệ thống thông tin an toàn An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những lỗi và sự tác động không mong đợi. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm. Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các yêu cầu cần để đảm bảo an toàn thông tin như sau: Hình 1.1: Các yêu cầu của một hệ thống thông tin an toàn • Tính bảo mật (Confidentiality): Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng. • Tính toàn vẹn (Integrity): Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn. 4 • Tính sẵn sàng (Availibility): Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách. • Tính chính xác (Accountability): Thông tin phải chính xác, tin cậy. • Tính xác thực (Authenticity): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin. Để đảm bảo truyền thông an ninh trong mạng viễn thông cần phải đảm bảo an ninh trên cơ sở sử dụng các công nghệ an ninh. Để đảm bảo an ninh đầu cuối ta cần xét toàn bộ môi trường an ninh, bao gồm: truy nhập mạng, các phần tử trung gian, các ứng dụng máy khách. . . Trong phần này, chúng ta xét 5 mục tiêu quan trọng liên quan đến việc tạo lập môi trường an ninh. 1.1.3. Tính bí mật Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi chúng không phổ biến cho các đối tượng khác. Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware,. . . Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau. Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất. Các thông tin khác như thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân, đặc biệt của những người nổi tiếng, thông tin cấu hình hệ thống của các mạng cung cấp dịch vụ, v.v. . . đều có nhu cầu được giữ bí mật ở từng mức độ. Để đảm bảo tính bí mật của thông tin, ngoài các cơ chế và phương tiện vật lý như nhà xưởng, thiết bị lưu trữ, dịch vụ bảo vệ,. . . thì kỹ thuật mật mã hoá (Cryptography) được xem là công cụ bảo mật thông tin hữu hiệu nhất trong môi trường máy tính. Ngoài ra, kỹ thuật quản lý truy xuất (Access Control) cũng được thiết lập để bảo đảm chỉ có những đối tượng được cho phép mới có thể truy xuất thông tin. Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự tồn tại của thông tin và nội dung của thông tin đó. Đôi khi, tiết lộ sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó. Ví dụ: chiến lược kinh doanh bí mật mang tính sống còn của một công ty đã bị tiết lộ cho một công ty đối thủ khác. Việc nhận thức được rằng có điều đó tồn tại sẽ quan trọng hơn nhiều so với việc biết cụ thể về nội dung thông tin, chẳng hạn như ai đã tiết lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin gì,. . . Cũng vì lý do này, trong một số hệ thống xác thực người dùng (user authentication) ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vào hộp thư điện tử 5 hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên người dùng (user-name) sai, thay vì thông báo rằng user-name này không tồn tại, thì một số hệ thống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác chỉ thông báo chung chung là “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ). Dụng ý đằng sau câu thông báo không rõ ràng này là việc từ chối xác nhận việc tồn tại hay không tồn tại một user-name như thế trong hệ thống. Điều này làm tăng sự khó khăn cho những người muốn đăng nhập vào hệ thống một cách bất hợp pháp bằng cách thử ngẫu nhiên. 1.1.4. Toàn vẹn số liệu Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. Tính toàn vẹn được xét trên 2 khía cạnh: • Tính nguyên vẹn của nội dung thông tin. • Tính xác thực của nguồn gốc của thông tin. Nói một cách khác, tính toàn vẹn của thông tin phải được đánh giá trên hai mặt: toàn vẹn về nội dung và toàn vẹn về nguồn gốc. Ví dụ: một ngân hàng nhận được lệnh thanh toán của một người tự xưng là chủ tài khoản với đầy đủ những thông tin cần thiết. Nội dung thông tin được bảo toàn vì ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng như người xưng là chủ tài khoản gởi đi). Tuy nhiên, nếu lệnh thanh toán này không phải cho chính chủ tài khoản đưa ra mà do một người nào khác nhờ biết được thông tin bí mật về tài khoản đã mạo danh chủ tài khoản để đưa ra, ta nói nguồn gốc của thông tin đã không được bảo toàn. Một ví dụ khác, một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quan quan trọng của chính phủ, có ghi chú rằng nguồn tin từ người phát ngôn của cơ quan đó. Tuy nhiên, nếu tin đó thật sự không phải do người phát ngôn công bố mà được lấy từ một kênh thông tin khác, không xét đến việc nội dung thông tin có đúng hay không, ta nói rằng nguồn gốc thông tin đã không được bảo toàn. Sự tòan vẹn về nguồn gốc thông tin trong một số ngữ cảnh có ý nghĩa tương đương với sự đảm bảo tính không thể chối cãi (non-repudiation) của hệ thống thông tin. Các cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành 2 loại: các cơ chế ngăn chặn (Prevention mechanisms) và các cơ chế phát hiện (Detection mechanisms). Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi nội dung và nguồn gốc của thông tin. Các hành vi này bao gồm 2 nhóm: hành vi cố gắng 6 thay đổi thông tin khi không được phép truy xuất đến thông tin và hành vi thay đổi thông tin theo cách khác với cách đã được cho phép. Ví dụ: một người ngoài công ty cố gắng truy xuất đến cơ sở dữ liệu kế toán của một công ty và thay đổi dữ liệu trong đó. Đây là hành vi thuộc nhóm thứ nhất. Trường hợp một nhân viên kế toán được trao quyền quản lý cơ sở dữ liệu kế toán của công ty, và đã dùng quyền truy xuất của mình để thay đổi thông tin nhằm biển thủ ngân quỹ, đây là hành vi thuộc nhóm thứ hai. Nhóm các cơ chế phát hiện chỉ thực hiện chức năng giám sát và thông báo khi có các thay đổi diễn ra trên thông tin bằng cách phân tích các sự kiện diễn ra trên hệ thống mà không thực hiện chức năng ngăn chặn các hành vi truy xuất trái phép đến thông tin. Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị tiết lộ hay không, thì tính toàn vẹn của thông tin vừa quan tâm tới tính chính xác của thông tin và cả mức độ tin cậy của thông tin. Các yếu tố như nguồn gốc thông tin, cách thức bảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định độ tin cậy của thông tin và do đó ảnh hưởng đến tính toàn vẹn của thông tin. Nói chung, việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phức tạp. 1.1.5. Tính khả dụng Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy xuất hợp lệ. Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ hay thay đổi. Tuy nhiên, khi người quản lý cần những thông tin này thì lại không truy xuất được vì lỗi hệ thống. Khi đó, thông tin hoàn toàn không sử dụng được và ta nói tính khả dụng của thông tin không được đảm bảo. Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ thống thông tin nào. Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra. Trong thực tế, tính khả dụng được xem là nền tảng của một hệ thống bảo mật, bởi vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật và toàn vẹn) sẽ trở nên vô nghĩa. Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và DDoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với sự an 7 toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có giải pháp ngăn chặn hữu hiệu. Các hình thức tấn công này đều nhắm vào tính khả dụng của hệ thống. Một số hướng nghiên cứu đang đưa ra các mô hình mới cho việc mô tả các hệ thống an toàn. Theo đó, mô hình CIA không mô tả được đầy đủ các yêu cầu an toàn của hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính của thông tin cần được đảm bảo như: • Tính khả dụng (Availability) • Tính tiện ích (Utility) • Tính toàn vẹn (Integrity) • Tính xác thực (Authenticity) • Tính bảo mật (Confidentiality) • Tính sở hữu (Possession) 1.2. Các đe dọa an ninh Để có giải pháp an ninh cần nhận biết được các đe dọa tiềm ẩn: Có 4 đe dọa an ninh tiềm ẩn: đóng giả, giám sát, làm giả, ăn trộm. 1.2.1. Đóng giả Là ý định của kẻ tìm cách truy nhập trái phép vào hệ thống bằng cách đóng giả người khác. Nếu truy nhập thành công, họ trả lời các bản tin để đạt được hiểu biết sâu hơn và truy nhập vào bộ phận khác 1.2.2. Giám sát Là kỹ thuật sử dụng để giám sát dòng số liệu trên mạng. Thực chất của giám sát là nghe trộm điện tử. Bằng cách nghe số liệu mạng. 1.2.3. Làm giả Làm thay đổi số liệu so với ban đầu. Thường là quá trình này liên quan đến chặn truyền dẫn số liệu, mặc dù nó vẫn xảy ra đối với số liệu được lưu trên server hay client. Số liệu bị thay đổi sau đó được truyền đi như bản gốc. 8 1.2.4. Ăn cắp Ăn cắp thiết bị là vấn đề thường xảy ra đối với thông tin di động. Điều này đặc biệt nghiêm trọng đối với các ứng dụng client thông minh vì chúng thường chứa số liệu không đổi và bí mật. • Khóa các thiết bị bằng tổ hợp tên người sử dụng/ mật khẩu để chống truy nhập dể dàng; • Yêu cầu nhận thực khi truy nhập ; • Không lưu các mật khẩu trên thiết bị; • Mật mã tất cả các phương tiện lưu cố định; • Áp dụng các chính sách an ninh đối với nhũung người sử dụng di động. 1.3. Các loại hình tấn công Để xem xét những vấn đề bảo mật liên quan đến truyền thông trên mạng, chúng ta hãy lấy một bối cảnh sau: có ba nhân vật tên là Alice, Bob và Trudy, trong đó Alice và Bob thực hiện trao đổi thông tin với nhau, còn Trudy là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa Alice và Bob. Sau đây là các loại hành động tấn công của Trudy mà ảnh hưởng đến quá trình truyền tin giữa Alice và Bob: 1.3.1. Xem trộm thông tin (Release of Message Content) Trong trường hợp này Trudy chặn các thông điệp Alice gửi cho Bob, và xem được nội dung của thông điệp. Hình 1.2: Xem trộm thông điệp 9 1.3.2. Thay đổi thông điệp (Modification of Message) Trudy chặn các thông điệp Alice gửi cho Bob và ngăn không cho các thông điệp này đến đích. Sau đó Trudy thay đổi nội dung của thông điệp và gửi tiếp cho Bob. Bob nghĩ rằng nhận được thông điệp nguyên bản ban đầu của Alice mà không biết rằng chúng đã bị sửa đổi. Hình 1.3: Sửa thông điệp 1.3.3. Mạo danh (Masquerade) Trong trường hợp này Trudy giả là Alice gửi thông điệp cho Bob. Bob không biết điều này và nghĩ rằng thông điệp là của Alice. Hình 1.4: Mạo danh 1.3.4. Phát lại thông điệp (Replay) Trudy sao chép lại thông điệp Alice gửi cho Bob. Sau đó một thời gian Trudy gửi bản sao chép này cho Bob. Bob tin rằng thông điệp thứ hai vẫn là từ Alice, nội dung hai thông điệp là giống nhau. Thoạt đầu có thể nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong nhiều trường hợp cũng gây ra tác hại không kém so với việc giả mạo thông điệp. Xét tình huống sau: giả sử Bob là ngân hàng còn Alice là một khách hàng. 10 Alice gửi thông điệp đề nghị Bob chuyển cho Trudy 1000$. Alice có áp dụng các biện pháp như chữ ký điện tử với mục đích không cho Trudy mạo danh cũng như sửa thông điệp. Tuy nhiên nếu Trudy sao chép và phát lại thông điệp thì các biện pháp bảo vệ này không có ý nghĩa. Bob tin rằng Alice gửi tiếp một thông điệp mới để chuyển thêm cho Trudy 1000$ nữa. Hình 1.5: Phát lại thông điệp 1.4. Các công nghệ an ninh 1.4.1. Mật mã hóa số liệu Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật thông tin. Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới hiểu được. Một thực thể hợp lệ có thể là một người, một máy tính hay một phần mềm nào đó được phép nhận thông tin. Để có thể giải mã được thông tin mật, thực thể đó cần phải biết cách giải mã (tức là biết được thuật tóan giải mã) và các thông tin cộng thêm (khóa bí mật). Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào đó được gọi là quá trình mã hoá (encryption). Quá trình biến đổi thông tin mật về dạng thông tin gốc ban đầu gọi là quá trình giải mã (decryption). Đây là hai quá trình không thể tách rời của một kỹ thuật mật mã bởi vì mật mã (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) được thông tin đó. Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã hóa và giải mã. Kỹ thuật mã hoá được chia thành hai loại: mã hoá dùng khoá đối xứng (symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key encryption) như sẽ trình bày trong các phần tiếp theo. 11 1.4.1.1. Các thành phần của một hệ thống mã hoá Hình 1.6 mô tả nguyên tắc chung của một hệ thống mật mã quy ước. Các thành phần trong một hệ thống mật mã điển hình bao gồm: • Plaintext: là thông tin gốc cần truyền đi giữa các hệ thống thông tin. • Encryption algorithm: thuật tóan mã hóa, đây là cách thức tạo ra thông tin mật từ thông tin gốc. • Key: khóa mật mã, gọi tắt là khóa. Đây là thông tin cộng thêm mà thuật tóan mã hóa sử dụng để trộn với thông tin gốc tạo thành thông tin mật. • Ciphertext: thông tin đã mã hóa (thông tin mật). Đây là kết quả của thuật toán mã hóa. • Decryption algorithm: Thuật tóan giải mã. Đầu vào của thuật tóan này là thông tin đã mã hóa (ciphertext) cùng với khóa mật mã. Đầu ra của thuật tóan là thông tin gốc (plaintext) ban đầu. Hình 1.6: Cấu trúc một hệ thống mật mã quy ước 1.4.1.2. Các tiêu chí đặc trưng của một hệ thống mã hoá Một hệ thống mã hóa bất kỳ được đặc trưng bởi 3 tiêu chí sau đây: • Phương pháp mã (operation): có hai phương pháp mật mã bao gồm thay thế (substitution) và chuyển vị (transposition). Trong phương pháp mã thay thế, các đơn vị thông tin (bit, ký tự, byte hoặc khối) trong thông tin gốc được thay thế bằng các đơn vị thông tin khác theo một quan hệ nào đó. Trong phương pháp mã chuyển vị, các đơn vị thông tin trong thông gốc được đổi chỗ cho nhau để tạo thành thông tin mã hóa. Các hệ thống mã hoá hiện đại thường kết hợp cả hai phương pháp thay thế và chuyển vị. 12 • Số khóa sử dụng (number of keys): nếu phía mã hóa (phía gởi) và phía giải mã (phía nhận) sử dụng chung một khóa, ta có hệ thống mã dùng khoá đối xứng (symmetric key) - gọi tắt là mã đối xứng hay còn có các tên gọi khác như mã một khóa (single-key), mã khóa bí mật (secret key) hoặc mã quy ước (conventional cryptosystem). Nếu phía mã hóa và phía giải mã dùng 2 khóa khác nhau, hệ thống này được gọi là mã bất đối xứng (asymmetric key), mã hai khóa (two key) họăc mã khóa công khai (public key). • Cách xử lý thông tin gốc (mode of cipher): thông tin gốc có thể được xử lý liên tục theo từng phần tử , khi đó ta có hệ thống mã dòng (stream cipher). Ngược lại, nếu thông tin gốc được xử lý theo từng khối, ta có hệ thống mã khối (block cipher). Các hệ thống mã dòng thường phức tạp và không được phổ biến công khai, do đó chỉ được dùng trong một số ứng dụng nhất định (ví dụ trong thông tin di động GSM). Các thuật tóan mật mã được giới thiệu trong tài liệu này chỉ tập trung vào cơ chế mã khối. 1.4.1.3. Tấn công một hệ thống mật mã Tấn công (attack) hay bẻ khoá (crack) một hệ thống mật mã là quá trình thực hiện việc giải mã thông tin mật một cách trái phép. Thuật ngữ cryptanalysis được dùng để chỉ hành vi bẻ khoá và người thực hiện bẻ khoá được gọi là cryptanalyst. Thông thường, đây là hành vi của một kẻ tấn công khi muốn xâm nhập vào một hệ thống đã được bảo vệ bằng mật mã. Theo nguyên tắc mật mã, để lấy được thông tin gốc, thì tác nhân giải mã phải có được 3 thành phần: thông tin mật (ciphertext), khóa (secret key) và thuật tóan giải mã (decryption algorithm). Kẻ tấn công thường không có đầy đủ 3 thông tin này, do đó, thường cố gắng để giải mã thông tin bằng hai phương pháp sau: • Phương pháp phân tích mã (cryptanalysis): dựa vào bản chất của thuật tóan mã hóa, cùng với một đọan thông tin gốc hoặc thông tin mật có được, kẻ tấn công tìm cách phân tích để tìm ra tòan bộ thông tin gốc hoặc tìm ra khóa, rồi sau đó thực hiện việc giải mã toàn bộ thông tin mật. • Phương pháp thử tuần tự (brute-force): bằng cách thử tất cả các khóa có thể, kẻ tấn công có khả năng tìm được khóa đúng và do đó giải mã được thông tin mật. Thông thường, để tìm được khóa đúng thì cần phải thử một số lượng khóa bằng khỏang một nửa số khóa có thể có của hệ thống mã. Ví dụ, nếu khoá có chiều dài là 8 bit thì sẽ có tất cả 28 = 256 khoá khác nhau. Để chọn được khoá đúng thì kẻ tấn công phải thử trung bình khoảng 256/2 = 128 lần. Việc thử này thường được trợ giúp bởi
- Xem thêm -
ads ads ads

Tài liệu liên quan

thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
thumb
ads ads ads

Tài liệu vừa đăng

Tài liệu xem nhiều nhất