LỜI CẢM ƠN
Lời đầu tiên tôi xin gửi lời cảm ơn chân thành và lòng biết ơn sâu sắc PGS.TS
Nguyễn Văn Tam, người đã chỉ bảo và hướng dẫn tận tình cho tôi và đóng góp ý
kiến quý báu trong suốt quá trình học tập, nghiên cứu và thực hiện luận văn này.
Tôi xin trân trọng cảm ơn Ban giám hiệu trường đại học công nghệ thông tin
và truyền thông, Đại học Thái nguyên, khoa CNTT đã giúp đỡ và tạo các điều kiện
cho chúng tôi được học tập và làm khóa luận một cách thuận lợi.
Và cuối cùng tôi xin gửi lời cảm ơn đến gia đình, người thân và bạn bè –
những người luôn bên tôi và là chỗ dựa giúp cho tôi vượt qua những khó khăn nhất.
Họ luôn động viên tôi khuyến khích và giúp đỡ tôi trong cuộc sống và công việc
cho tôi quyết tâm hoàn thành luận văn này.
Tuy nhiên do thời gian có hạn, mặc dù đã nỗ lực cố gắng hết mình nhưng chắc
rằng luận văn khó tránh khỏi những thiếu sót. Rất mong được sự chỉ bảo, góp ý tận
tình của Quý thầy cô và các bạn.
Tôi xin chân thành cảm ơn!
1
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn “Nghiên cứu giải pháp cấp chứng chỉ số trong
mạng không dây di động MANET” là do tôi tự tham khảo, nghiên cứu và hoàn
thành dưới sự hướng dẫn của PGS.TS Nguyễn Văn Tam.
Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan này.
Hà Nội, ngày 01 tháng 10 năm 2015
LƯU XUÂN HÀ
2
MỤC LỤC
LỜI CẢM ƠN ................................................................................................................................................1
LỜI CAM ĐOAN ...........................................................................................................................................2
MỤC LỤC ......................................................................................................................................................3
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT.....................................................................................5
DANH MỤC CÁC BẢNG .............................................................................................................................6
DANH MỤC HÌNH VẼ .................................................................................................................................7
I.
NỘI DUNG ............................................................................................................................................9
CHƯƠNG I: MẠNG KHÔNG DÂY MANET VÀ NHỮNG VẤN ĐỀ AN NINH TRONG MẠNG
KHÔNG DÂY MANET. ................................................................................................................................9
1.1.
Giới thiệu mạng MANET ...............................................................................................................9
1.1.1.
Giới thiệu chung .....................................................................................................................9
1.1.2.
Định tuyến trong mạng MANET ............................................................................................9
1.2.
Tổng quan một số vấn đề an ninh trong mạng MANET ..............................................................13
1.2.1.
Tiêu chí an toàn trong mạng MANET ..................................................................................13
1.2.2.
Thách thức an ninh trong mạng MANET .............................................................................14
1.2.3.
Các mối đe dọa an ninh trong mạng MANET ......................................................................15
CHƯƠNG II: GIẢI PHÁP CẤP CHỨNG CHỈ SỐ TRONG MẠNG KHÔNG DÂY MANET ................21
2.1.
Chữ ký số - Chứng chỉ số .............................................................................................................21
2.1.1.
Chữ ký số ..............................................................................................................................21
2.1.2.
Chứng chỉ số .........................................................................................................................24
2.2.
Hệ thống cấp chứng chỉ số (Certification Authority – CA)..........................................................33
2.2.1. Mô hình CA đơn .........................................................................................................................33
2.2.2. Mô hình phân cấp .......................................................................................................................34
2.2.3. Mô hình mắt lưới (xác thực chéo) ..............................................................................................36
2.4.4 Mô hình Hub và Spoke (Bridge CA) ...........................................................................................38
2.2.5. Mô hình Web (Trust Lists) .........................................................................................................39
2.2.6 Mô hình người sử dụng trung tâm (User Centric Model)............................................................40
2.3.
Giải pháp cấp chứng chỉ số xác thực thông tin định tuyến cho giao thức AODV........................41
2.3.1. Giải pháp an ninh cho giao thức AODV ...................................................................................41
2.3.2. Định dạng gói tin trong giao thức xác thực AODVLV ..............................................................46
2.3.3. Những thay đổi trong hoạt động của giao thức AODVLV so với giao thức AODV .................50
2.2.4. Mức độ an ninh của giao thức định tuyến AODVLV.................................................................52
3
CHƯƠNG III: CÀI ĐẶT MÔ PHỎNG, ĐÁNH GIÁ HIỆU SUẤT CỦA GIAO THỨC AODVLV SO
VỚI GIAO THỨC AODV ...........................................................................................................................54
3.1.
3.1.1.
Giới thiệu về NS-2 ................................................................................................................54
3.1.2.
Kiến trúc của NS-2 ...............................................................................................................54
3.2.
Phân tích thiết kế ..........................................................................................................................56
3.2.1.
Phân tích hoạt động của phương thức tấn công blackhole ...................................................56
3.2.2.
Phân tích thư viện dùng để mô phỏng ..................................................................................57
3.2.3.
Công cụ phân tích và biểu diễn kết quả mô phỏng ...............................................................57
3.2.4.
Các tham số hiệu suất cần được đánh giá giao thức AODVLV ...........................................58
3.2.5.
Cách thức phân tích tệp vết ..................................................................................................58
3.3.
III.
Công cụ nghiên cứu chính NS-2...................................................................................................54
Chương trình mô phỏng ...............................................................................................................60
3.3.1.
Thiết lập mạng mô phỏng giao thức .....................................................................................60
3.3.2.
Đánh giá ảnh hưởng của giải pháp nghiên cứu đến hiệu suất của giao thức định tuyến ......70
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ........................................................................................73
1.
Các kết quả của luận văn ..................................................................................................................73
2.
Hướng phát triển của đề tài ..............................................................................................................74
IV.
V.
DANH MỤC CÁC TÀI LIỆU THAM KHẢO ................................................................................75
PHỤ LỤC .............................................................................................................................................77
1.
Cài đặt mô phỏng tấn công blackhole ..............................................................................................77
2.
Cài đặt cơ chế xác thực bằng chữ ký số trong giao thức AODVLV ................................................77
4
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
AODV Adhoc On-demand Distance IEEE
Vector
Institute of Electrical and
Electronics Engineers
ARAN Authenticated Routing for
Adhoc Networks
MANET
Mobile Adhoc NETwork
DDOS
Distributed Denial of
Service
NS-2
Network Simulator 2
DOS
Denial of Service
RREP
Route Reply
DSDV
Destination-Sequenced
Distance Vector
RERR
Route error
DSR
Dynamic Source Routing
RREQ
Route Request
CA
Certificate authority
SSL
Secure socket layer
EDRI
Extended Data Routing
Information
SAODV
Secure Adhoc Ondemand Distance Vector
5
DANH MỤC CÁC BẢNG
Bảng 1.1: Các kiểu tấn công cơ bản trong MANET trên các tầng khác nhau ................... 15
Bảng 1.2: Khuôn dạng chứng chỉ X509............................................................................. 27
Bảng 3.1: Bảng các tham số cấu hình chung cho việc mô phỏng...................................... 62
Bảng 3.2: Kết quả tỉ lệ phân phát gói tin của giao thức AODV và giao thức AODVLV
theo tốc độ di chuyển ......................................................................................................... 63
Bảng 3.3: Kết quả thời gian trung bình phản ứng của giao thức AODV và giao thức
AODVLV theo tốc độ di chuyển ....................................................................................... 64
Bảng 3.4: Kết quả độ trễ trung bình của giao thức AODV và giao thức AODVLV theo tốc
độ di chuyển ....................................................................................................................... 65
Bảng 3.5: Kết quả số gói tin bị mất của giao thức AODV và giao thức AODVLV theo tốc
độ di chuyển ....................................................................................................................... 66
Bảng 3.6: Kết quả Tỉ lệ phân phát gói tin thành công của giao thức AODV và giao thức
AODVLV theo số nút blackhole........................................................................................ 67
Bảng 3.7: Kết quả độ trễ trung bình của các gói tin CBR của giao thức AODV và giao
thức AODVLV theo số nút blackhole ............................................................................... 68
Bảng 3.8: Kết quả số gói tin bị mất của giao thức AODV và giao thức AODVLV theo số
nút blackhole ...................................................................................................................... 69
6
DANH MỤC HÌNH VẼ
Hình 1.1: Phân loại các giao thức định tuyến trong mạng MANET ................................. 11
Hình 1.2: quá trình tìm đường trong AODV ..................................................................... 11
Hình 1.3: Phân loại tấn công trong giao thức định tuyến mạng MANET ......................... 16
Hình 1.4: Mô tả tấn công sửa đổi nguồn ............................................................................ 17
Hình 1.5: Mô tả tấn công giả mạo...................................................................................... 18
Hình 1.6: Mô tả tấn công chế tạo ...................................................................................... 18
Hình 1.7: Mô tả tấn công wormhole .................................................................................. 19
Hình 1.8: Mô tả tấn công black hole .................................................................................. 20
Hình 1.9: Nội dung của một chứng chỉ .............................................................................. 31
Hình 1.10: Nội dung của một chứng chỉ ............................................................................ 32
Hình 2.1: Mô hình CA đơn ............................................................................................... 34
Hình 2.2. Mô hình phân cấp............................................................................................... 35
Hình 2.3: Mô hình mắt lưới .............................................................................................. 37
Hình 2.4: Mô hình Hub và Spoke (Bridge CA) ................................................................ 39
Hình 2.1: Cách tính hàm băm khi bắt đầu phát sinh RREQ hay RREP ............................ 44
Hình 2.2: Định dạng gói RREQ trong giao thức AODVLV.............................................. 47
Hình 2.3: Định dạng gói RREP trong giao thức AODVLV .............................................. 48
Hình 2.4: Định dạng gói RERR trong giao thức AODVLV .............................................. 49
Hình 3.1: Tổng quan về NS-2 dưới góc độ người dùng .................................................... 54
Hình 3.2: Luồng các sự kiện cho file Tcl chạy trong NS .................................................. 56
Hình 3.3: Hoạt động của blackhole khi nhận một gói RREQ............................................ 57
Hình 3.4: Cấu trúc của tệp vết mạng không dây trong NS2 .............................................. 59
Hình 3.5: Biểu đồ thể hiện tỉ lệ phân phát gói tin của giao thức AODV so với AODVLV
theo tốc độ di chuyển ......................................................................................................... 64
Hình 3.6: Biểu đồ thể hiện thời gian trung bình phản ứng của giao thức AODV so với
AODVLV theo tốc độ di chuyển ....................................................................................... 65
Hình 3.7: Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR trong giao thức AODV
so với AODVLV theo tốc độ di chuyển ............................................................................ 66
Hình 3.8: Biểu đồ thể hiện số gói tin bị mất trong giao thức AODV so với AODVLV
theo tốc độ di chuyển ......................................................................................................... 67
Hình 3.9: Biểu đồ thể hiện tỉ lệ phân phát gói tin thành công trong giao thức AODV so
với AODVLV theo số nút blackhole ................................................................................. 68
Hình 3.10: Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR của giao thức AODV
và giao thức AODVLV theo số nút blackhole ................................................................... 69
Hình 3.11: Biểu đồ thể hiện số gói tin bị mất của giao thức AODV và giao thức
AODVLV theo số nút blackhole........................................................................................ 70
7
MỞ ĐẦU
Ngày nay với sự phát triển mạnh mẽ của các thiết bị di động cá nhân như:
điện thoại thông minh, máy tính xách tay, máy tính bảng,… thì nhu cầu kết nối giữa
các thiết bị này ngày càng đòi hỏi cao hơn trong tốc độ, khả năng di chuyển trong
kết nối. Mạng MANET (Mobile Ad-hoc Network) là một công nghệ vượt trội đáp
ứng nhu cầu kết nối nhờ khả năng hoạt động không phụ thuộc cơ sở hạ tầng, triển
khai nhanh, linh hoạt ở nhiều địa hình khác nhau. Mạng MANET ngày càng đóng
góp vị trí quan trọng. Nó có thể ứng dụng vào nhiều lĩnh vực trong cuộc sống như
lĩnh vực quân sự, truyền thông trong điều kiện thiên tai,… Tuy nhiên chính vì hoạt
động không phụ thuộc cơ sở hạ tầng, truyền thông trong không khí,… đã làm cho
mạng MANET bộc lộ nhiều điểm yếu và dễ bị tấn công.
Nghiên cứu xây dựng hệ thống thông tin an toàn và có tính bảo mật cao đang
là nhu cầu cấp bách hiện nay. Thuật toán mật mã khóa công khai, đặc biệt là thuật
toán RSA cho phép mã hóa, thực hiện chữ ký số để bảo đảm tính mật, tính xác
thực, tính toàn vẹn thông tin khi truyền trên mạng. Chính vì vậy học viên chọn đề
tài: “Nghiên cứu giải pháp cấp chứng chỉ số trong mạng không dây di động
MANET”. Trong khuôn khổ luận văn, tác giả tập trung chủ yếu vào việc nghiên
cứu bổ sung một cơ chế an ninh cho giao thức định tuyến. Cụ thể là bổ sung cơ chế
an ninh cho giao thức định tuyến AODV tạm đặt là giao thức AODVLV.
Bố cục của luận văn chia làm ba phần:
Chương 1: MẠNG KHÔNG DÂY MANET VÀ NHỮNG VẤN ĐỀ AN NINH
TRONG MẠNG KHÔNG DÂY MANET.
Giới thiệu mạng MANET, các thách thức an ninh, các mối đe dọa an ninh.
Chương 2: GIẢI PHÁP CẤP CHỨNG CHỈ SỐ TRONG MẠNG KHÔNG
DÂY MANET
Các vấn đề mật mã liên quan đến luận văn, đưa ra giải pháp xác thực thông
tin định tuyến sử dụng chữ ký số - giao thức AODVLV.
Chương 3: CÀI ĐẶT MÔ PHỎNG, ĐÁNH GIÁ HIỆU SUẤT CỦA GIAO
THỨC AODVLV SO VỚI GIAO THỨC AODV
Cài đặt mô phỏng giao thức AODVLV, xây dựng các kịch bản mô phỏng các tham
số hiệu suất cho giao thức AODVLV, so sánh hiệu suất với giao thức AODV qua
biểu đồ.
8
I. NỘI DUNG
CHƯƠNG I: MẠNG KHÔNG DÂY MANET VÀ NHỮNG VẤN ĐỀ AN
NINH TRONG MẠNG KHÔNG DÂY MANET.
1.1. Giới thiệu mạng MANET
1.1.1. Giới thiệu chung
MANET Là mạng dựa trên mô hình độc lập ad hoc, các nút trong mô hình
này giao tiếp trực tiếp với nhau mà không sử dụng một điểm truy cập nào. Do việc
kết hợp giữa tính di động với mạng Ad hoc nên người ta thường gọi là mạng
MANET (Mobile Ad-hoc-Network).
Mạng MANET có các đặc điểm chính sau:
- Cấu hình mạng động: Các nút có thể tự do di chuyển theo mọi hướng và
không thể đoán trước được.
- Băng thông hạn chế: Các liên kết không dây có băng thông thấp hơn so với
đường truyền cáp và chúng còn chịu ảnh hưởng của nhiễu, suy giảm tín hiệu vì thế
mà thường nhỏ hơn tốc độ truyền lớn nhất của sóng vô tuyến.
- Năng lượng hạn chế: Một số hoặc tất cả các nút trong mạng MANET hoạt
động phụ thuộc vào pin nên chúng bị hạn chế về khả năng xử lý và bộ nhớ.
- Bảo mật kém: Do đặc điểm của mạng MANET là truyền sóng vô tuyến nên
cơ chế bảo mật của mạng là kém hơn so với các mạng truyền cáp. Chúng tiềm ẩn
nhiều nghi cơ bị tấn công đặc biệt là nghe nén, giả mạo hay tấn công DDOS, …
1.1.2. Định tuyến trong mạng MANET
Các yêu cầu quan trọng đối với giao thức định tuyến trong mạng MANET:
- Thích ứng nhanh khi tô-pô thay đổi: Do các nút trong mạng di chuyển liên
tục, nhanh và không thể đoán trước nên phải tốn nhiều thời gian để có thể tìm ra
tuyến đường đi, dẫn tới việc phải phát lại các gói tin tìm đường.
- Thuật toán tìm đường thông minh, tránh tình trạng lặp định tuyến.
- Đảm bảo cơ chế duy trì tuyến mạng trong điều kiện bình thường.
- Bảo mật: do truyền tín hiệu trong không khí và dễ bị tấn công theo các
phương thức nghe lén, giả mạo và ddos, ... nên các giao thức định tuyến cần phải
được bổ sung cơ chế phát hiện, ngăn chặn và chống lại các kiểu tấn công.
Các giao thức định tuyến chính trong mạng MANET: Một trong những
phương pháp phổ biến để phân loại các giao thức định tuyến cho mạng MANET là
dựa trên cách thức trao đổi thông tin định tuyến giữa các nút trong mạng. Theo
9
phương pháp này thì giao thức định tuyến trong mạng MANET được chia thành các
loại sau: Các giao thức định tuyến theo yêu cầu, định tuyến theo bảng, và định
tuyến lai ghép.
- Các giao thức định tuyến theo yêu cầu (on-demand). Quá trình khám phá
tuyến bắt đầu khi có yêu cầu và kết thúc khi có tuyến đường được tìm ra hoặc
không tìm ra được tuyến do sự di chuyển của nút. Việc duy trì tuyến là một hoạt
động quan trọng của định tuyến theo yêu cầu. So với định tuyến theo bảng, ít tiêu
đề định tuyến là ưu điểm của định tuyến theo yêu cầu nhưng việc phải bắt đầu lại
quá trình khám phá tuyến trước khi truyền dữ liệu gây trễ trong mạng. Các giao
thức chính dạng này như: giao thức định tuyến vector khoảng cách theo yêu cầu
AODV (Ad hoc On-demand Distance Vector Routing) và giao thức định tuyến định
tuyến nguồn động DSR (Dynamic Source Routing), giao thức định tuyến theo thứ
tự tạm thời TORA (Temporally Ordered Routing Algorithm).
- Các giao thức định tuyến theo bảng (table-driven). Mỗi nút luôn lưu trữ một
bảng định tuyến chứa các tuyến đường tới các nút khác trong mạng. Định kỳ mỗi
nút đánh giá các tuyến tới các nút trong mạng để duy trì trạng thái kết nối. Khi có
sự thay đổi cấu hình, các thông báo được truyền quảng bá trong toàn mạng để thông
báo cho các nút cập nhật lại bảng định tuyến của mình. Với việc lưu trữ sẵn có
tuyến đường làm cho tốc độ hội tụ mạng nhanh, tuy nhiên cơ chế định kỳ phát
quảng bá thông tin tuyến làm tăng tải trong mạng. Các giao thức định tuyến theo
bảng: giao thức định tuyến không dây WRP (Wireless Routing Protocol), giao thức
định tuyến vector khoảng cách tuần tự đích DSDV (Dynamic DestinationSequenced Distance-Vector Routing), giao thức định tuyến trạng thái liên kết tối ưu
OLSR (Optimized Link State Routing).
- Các giao thức định tuyến lai ghép (hybrid) để kết hợp ưu điểm của hai loại
giao thức trên và khắc phục các nhược điểm của chúng.
10
Hình 1.1: Phân loại các giao thức định tuyến trong mạng MANET
Giao thức định tuyến AODV: là giao thức dựa trên thuật toán vector
khoảng cách. Giao thức AODV tối thiểu hoá số bản tin quảng bá cần thiết bằng
cách tạo ra các tuyến trên cơ sở theo yêu cầu.
Hình 1.2: quá trình tìm đường trong AODV
Quá trình tìm đường được khởi tạo bất cứ khi nào một nút cần truyền tin với
một nút khác trong mạng mà không tìm thấy tuyến đường liên kết tới đích trong
bảng định tuyến. Nó phát quảng bá một gói yêu cầu tìm đường (RREQ) đến các nút
lân cận. Các nút lân cận này sau đó sẽ chuyển tiếp gói yêu cầu đến nút lân cận khác
của chúng. Quá trình cứ tiếp tục như thế cho đến khi có một nút trung gian nào đó
xác định được một tuyến “đủ tươi” để đạt đến đích hoặc gói tin tìm đường được tìm
đến đích. AODV sử dụng số thứ tự đích để đảm bảo rằng tất cả các tuyến không bị
lặp và chứa hầu hết thông tin tuyến hiện tại. Mỗi nút duy trì số tuần tự của nó cùng
với ID quảng bá. ID quảng bá được tăng lên mỗi khi nút khởi đầu một RREQ và
cùng với địa chỉ IP của nút, xác định duy nhất một RREQ. Cùng với số tuần tự và
ID quảng bá, nút nguồn bao gồm trong RREQ hầu hết số tuần tự hiện tại của đích
11
mà nó có. Các nút trung gian trả lời RREQ chỉ khi chúng có một tuyến đến đích mà
số tuần tự đích lớn hơn hoặc bằng số tuần tự chứa trong RREQ.
Trong quá trình chuyển tiếp RREQ, các nút trung gian ghi vào Bảng định
tuyến của chúng địa chỉ của các nút lân cận khi nhận được bản sao đầu tiên của gói
quảng bá, từ đó thiết lập được một đường dẫn theo thời gian. Nếu các bản sao của
cùng một RREQ được nhận sau đó, các gói tin này sẽ bị huỷ. Khi RREQ đã đạt đến
đích hay một nút trung gian với tuyến “đủ tươi”, nút đích (hoặc nút trung gian) đáp
ứng lại bằng cách phát unicast một gói tin trả lời (RREP) ngược trở về nút lân cận
mà từ đó nó nhận được RREQ. Khi RREP được định tuyến ngược theo đường dẫn,
các nút trên đường dẫn đó thiết lập các thực thể tuyến chuyển tiếp trong Bảng định
tuyến của chỉ nút mà nó nhận được RREP. Các thực thể tuyến chuyển tiếp này chỉ
thị tuyến chuyển tiếp. Cùng với mỗi thực thể tuyến là một bộ định thời tuyến có
nhiệm vụ xoá các thực thể nếu nó không được sử dụng trong một thời hạn xác định.
Trong giao thức AODV, các tuyến được duy trì với điều kiện như sau: Nếu
một nút nguồn chuyển động, nó phải khởi động lại giao thức tìm đường để tìm ra
một tuyến mới đến đích. Nếu một nút trên tuyến chuyển động, nút lân cận luồng lên
của nó chú ý đến chuyển động đó và truyền một bản tin “Khai báo sự cố đường
thông” đến mỗi nút lân cận tích cực luồng lên để thông báo cho các nút này xoá
phần tuyến đó. Các nút này thực chất truyền một “Thông báo sự cố đường thông”
đến các nút lân cận luồng lên. Quá trình cứ tiếp tục như vậy cho đến khi đạt đến nút
nguồn. Nút nguồn sau đó có thể chọn khởi động lại một quá trình tìm đường tới
đích đó nếu một tuyến vẫn cần thiết.
Giao thức AODV sử dụng bản tin HELLO được phát quảng bá định kỳ bởi
một nút để thông báo cho tất cả các nút khác về những nút lân cận của nó. Các bản
tin HELLO được sử dụng để duy trì khả năng kết nối cục bộ của một nút. Tuy
nhiên, việc sử dụng bản tin HELLO là không cần thiết. Các nút lắng nghe việc
truyền lại gói dữ liệu để đảm bảo rằng vẫn đạt đến chặng kế tiếp. Nếu không nghe
được việc truyền lại như thế, nút có thể sử dụng một trong số các kỹ thuật, kể cả
việc tiếp nhận bản tin HELLO. Các bản tin HELLO có thể liệt kê các nút khác mà
từ đó nút di động đã nghe tin báo, do đó tạo ra khả năng liên kết lớn hơn cho mạng.
Giao thức AODV không hỗ trợ bất kỳ cơ chế an ninh nào để chống lại các
cuộc tấn công. Điểm yếu chính của giao thức AODV là [6]:
12
- Kẻ tấn công có thể đóng giả một nút nguồn S bằng cách phát quảng bá gói
RREQ với địa chỉ IP như là địa chỉ của nút nguồn S.
- Kẻ tấn công có thể giả làm nút đích D bằng cách phát quảng bá gói RREP
với địa chỉ như là địa chỉ của nút đích D.
- Kẻ tấn công có thể giảm giá trị trường hop count trong RREQ và RREP để
các nút nguồn cho rằng nó có tuyến đường đi ngắn nhất tới đích.
- Kẻ tấn công có thể tăng giá trị trường sequence number trong RREQ và
RREP làm các nút nguồn cho rằng nó có tuyến đường đi mới nhất đi tới đích.
- Kẻ tấn công có thể phát ra gói tin thông báo tuyến đường bị lỗi làm sai lệch
thông tin bảng định tuyến trong mạng.
Như vậy giao thức AODV cần thiết ít nhất hai cơ chế: Chứng thực dữ liệu tại mỗi
nút nhận và đảm bảo tính toàn vẹn của thông điệp định tuyến.
1.2. Tổng quan một số vấn đề an ninh trong mạng MANET
1.2.1. Tiêu chí an toàn trong mạng MANET
Tính sẵn sàng: Đảm bảo cho mạng và các dich vụ trong mạng luôn hoạt
động kể cả khi bị tấn công từ chối dịch vụ. Tại tầng vật lý và liên kết dữ liệu kẻ tấn
công có thể sử dụng các kỹ thuật gây nhiễu, gây trở ngại cho giao tiếp. Trên tầng
mạng, kẻ tấn công có thể phá vỡ các giao thức định tuyến…
Tính toàn vẹn: Đảm bảo dữ liệu truyền thông không bị sửa đổi từ nguồn đến
đích.
Tính bí mật: Đảm bảo thông tin chỉ được biết bởi những người được
phép, không bị tiết lộ cho các tổ chức trái phép.
Tính xác thực: Đảm bảo một nút phải xác định được danh tính rõ ràng của
một nút khác trong quá trình truyền dữ liệu với nó. Nếu không có tính xác thực một
kẻ tấn công có thể mạo danh một nút, do đó đạt được quyền truy cập trái phép vào
tài nguyên, thông tin nhạy cảm và ảnh hưởng đến hoạt động của các nút khác.
Tính không chối bỏ: Đảm bảo một nút khi nhận được một thông điệp có thể
biết chắc rằng thông điệp đó được gửi từ một nút nguồn nào đó. Và cũng đảm bảo
nút nguồn không thể phủ nhận thông điệp mà nó đã gửi hay hành động mà nó đã
thực hiện.
13
1.2.2. Thách thức an ninh trong mạng MANET
Những điểm yếu cơ bản của mạng MANET [4] đến từ kiến trúc mở peer-topeer. Không giống như mạng có dây là nó có các routers, mỗi nút trong mạng ad
hoc có chức năng như một router và chuyển tiếp gói tin cho những nút khác. Việc
truyền tin trong không khí là nguy cơ của việc nghe nén thông tin. Khó kiểm soát
việc một nút bên ngoài tham gia vào mạng. Không có cơ sở hạ tầng để có thể triển
khai một giải pháp an ninh. Những kẻ tấn công có thể xâm nhập vào mạng thông
qua việc tấn công các nút, từ đó làm tê liệt hoạt động của mạng. Việc giới hạn về
tài nguyên trong mạng MANET cũng là một thách thức cho việc thiết kế bảo mật.
Giới hạn băng thông của kênh truyền không dây và chia sẻ qua nhiều thực thể
mạng. Khả năng tính toán của một nút cũng bị giới hạn.
Các thiết bị không dây di chuyển nhiều hơn so với các thiết bị có dây. Hình
trạng mạng thay đổi liên tục do sự di chuyển, tham gia hay rời khỏi mạng của các
nút. Ngoài ra còn có nhiễu trong các kênh không dây làm ảnh hưởng tới băng thông
và độ trễ. Do các nút di chuyển liên tục nên đòi hỏi các giải pháp an ninh cũng phải
đáp ứng tại bất kỳ đâu, bất kỳ lúc nào khi chúng di chuyển từ chỗ này đến chỗ
khác.
Những đặc điểm trên của mạng MANET chỉ ra phải xây dựng lên giải pháp
an ninh mà đáp ứng cả về an ninh và hiệu suất của mạng.
- Giải pháp an ninh nên được cài đặt ở nhiều thực thể nút để cho hỗ trợ bảo
vệ toàn mạng. Trong đó phải đáp ứng khả năng tính toán liên quan tới việc tiết
kiệm năng lượng, bộ nhớ cũng như hiệu năng truyền thông của mỗi nút.
- Giải pháp an ninh cần phải hỗ trợ ở nhiều tầng giao thức, mỗi tầng cung cấp
một một tuyến phòng thủ. Không có giải pháp ở một tầng duy nhất có khả năng
ngăn chặn tất cả các nguy cơ tấn công.
- Giải pháp an ninh cần phải ngăn chặn những nguy cơ tấn công từ bên ngoài
và từ bên trong mạng.
- Giải pháp an ninh cần phải có khả năng ngăn chặn, phát hiện và chống lại
cuộc tấn công.
- Cuối cùng, giải pháp an ninh cần phải phù hợp với thực tiễn và chi phí thấp.
14
1.2.3. Các mối đe dọa an ninh trong mạng MANET
Do những đặc điểm của mạng MANET nên chúng có những điểm yếu cố
hữu và tiềm ẩn các nguy cơ đe dọa an ninh từ các cuộc tấn công. Các cuộc tấn công
trong mạng MANET thường được chia thành hai nhóm.
Các cuộc tấn công từ bên trong mạng:
- Chủ động: Kẻ tấn công chủ động tham gia tấn công vào hoạt động bình
thường của dịch vụ mạng, có thể là hủy gói tin, chỉnh sửa gói tin, phát lại gói tin,
giả mạo gói tin, hay giả một nút nào đó để thực hiện gửi gói tin,…
- Bị động: Kẻ tấn công không làm tê liệt hoạt động của mạng mà chỉ thực
hiện các hành vi nghe trộm các thông tin trên đường truyền. Kiểu tấn công này rất
khó phát hiện vì không có bất cứ việc chỉnh sửa hay làm thay đổi hoạt động bình
thường của mạng.
Các cuộc tấn công từ bên ngoài mạng: Mục đích thường nhắm đến của các
cuộc tấn công từ bên ngoài có thể là gây ùn tắc, làm sai lệch thông tin định tuyến,
ngăn chặn các dịch vụ hoặc làm tê liệt chúng. Các cuộc tấn công từ bên ngoài có
thể được ngăn ngừa bằng cách sử dụng các giải pháp mã hóa, ids, firewall,…
Ảnh hưởng của các cuộc tấn công từ bên trong thường lớn hơn so với các
cuộc tấn công diễn ra từ bên ngoài mạng. Vì giả sử một nút độc hại khi đã tham gia
vào bên trong mạng thì nó sẽ có đầy đủ các quyền tham gia vào dịch vụ mạng, cũng
như các chính sách an ninh bên trong mạng. Nên việc tấn công như nghe lén, sửa
đổi, hủy bỏ hay chỉnh sửa thông tin mạng là rất dễ dàng.
Bảng 1.1: Các kiểu tấn công cơ bản trong MANET trên các tầng khác nhau
Tầng
Tấn công
Tầng ứng dụng
Repudiation, data corruption
Tầng giao vận
Session hijacking, SYN flooding
Tầng mạng
Spoofing, Fabrication,
Wormhole, Blackhole,
Modification, Denial of Service,
Sinkholes, Sybil,Eavesdropping,
traffic analysis, monitoring
15
Tầng liên kết dữ liệu
Traffic analysis, monitoring,
disruption MAC (802.11), WEP
weakness
Tầng vật lý
Jamming, interceptions,
eavesdropping
Như bảng 1.1[7], chúng ta thấy các cuộc tấn công trong MANET có thể diễn
ra ở bất kỳ tầng nào và mỗi tầng với những hình thức khác nhau có thể là tấn công
chủ động hoặc tấn công bị động. Trong khuôn khổ luận văn, tác giả sẽ tập trung
nghiên cứu các hình thức tấn công trong tầng mạng, cụ thể là các cuộc tấn công
trong giao thức định tuyến mạng MANET. Từ đó đưa ra giải pháp cụ thể để có thể
ngăn ngừa, hạn chế và chống lại các cuộc tấn công.
Sau đây là một số kiểu tấn công cơ bản vào giao thức định tuyến mạng
MANET [9].
MANET routing Attack
Attack using
Modification
Attack using
Impersonation
Attack using
Fabrication
- Redirection by
modified route
sequence no’s
- Redirection by
spoofing
- Route Cache
poisoning
- Redirection by
modified hop
count
- Falsifying
route error
Special attacks
- Worm hole
- Black hole
- Gray hole
- Redirection by
modified source
Hình 1.3: Phân loại tấn công trong giao thức định tuyến mạng MANET
1.2.3.1. Tấn công sửa đổi (Attack using Modification)
Trong kiểu tấn công này một số trường trong bản tin của giao thức bị sửa đổi
và sau đó thông điệp được forward qua nhiều nút. Điều này trở thành nguyên nhân
16
phá vỡ tuyến đường, cũng như chuyển hướng tuyến hay gây ra một cuộc tấn công
từ chối dịch vụ (Denial of Service attacks). Một vài kiểu tấn công thuộc kiểu này:
Tấn công sửa đổi sequence numbers (Route sequence numbers
modification)
Kiểu tấn công này thể hiện rõ ràng nhất ở giao thức AODV. Trong kiểu tấn
công này kẻ tấn công thực hiện sửa đổi số sequence number trong gói tin RREQ
hoặc RREP đi qua chúng để tạo ra tuyến đường mới có hiệu lực nhất. Từ đó có thể
tham gia được vào tuyến đường truyền dữ liệu từ nguồn tới đích.
Tấn công sửa đổi trường Hop count
Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức AODV. Trong kiểu
tấn công này, kẻ tấn công thực hiện sửa đổi trường hop count trong gói tin RREQ,
RREP, dẫn tới nút nguồn tưởng rằng đó là tuyến đường ngắn nhất và thực hiện
truyền dữ liệu qua nó.
Tấn công sửa đổi nguồn (Source route modification attack)
Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức đinh tuyến nguồn
DSR. Kẻ tấn công chặn thông điệp sửa đổi danh sách các nguồn trước khi gửi tới
nút đích trong quá trình truyền. Ví dụ: Trong hình bên dưới, tuyến đường ngắn nhất
giữa nút nguồn S và đích X là (S – A – B – C – D – X). S và X không thể truyền
dữ liệu trực tiếp cho nhau và kịch bản như sau: nút M là nút độc hại cố gắng thực
hiện tấn công từ chối dịch vụ. Giả sử nút nguồn S cố gắng gửi dữ liệu tới nút X
nhưng nút M chặn gói tin và bỏ đi nút D trong danh sách và gói tin được chuyển
tiếp đến nút C, nút C cố gắng gửi gói tin đến nút X nhưng không thể vì nút C không
thể truyền tin trực tiếp tới nút X. Dẫn tới nút M thực hiện thành công cuộc tấn công
DDOS trên X.
S
A
B
C
D
X
M
S
A
B
M
C
D
X
Hình 1.4: Mô tả tấn công sửa đổi nguồn
17
1.2.3.2. Tấn công đóng giả (Attack using Impersonation)
Trong kiểu tấn công này kẻ tấn công tấn công vào tính xác thực và tính bí
mật của mạng. Kẻ tấn công đóng giả địa chỉ của một nút khác để thay đổi hình
trạng của mạng.
S
A
B
C
M
D
X
X’’
Hình 1.5: Mô tả tấn công giả mạo
Theo hình 1.4, nút S muốn gửi dữ liệu tới nút X và trước khi gửi dữ liệu tới nút X,
nó khởi động quá trình tìm đường tới X. Nút M là nút độc hại, khi nút M nhận được
gói tin tìm đường tới X, M thực hiện sửa đổi địa chỉ của nó thành địa chỉ của X,
đóng giả nó thành nút X’. Sau đó nó gửi gói tin trả lời rằng nó chính là X tới nút
nguồn S. Khi S nhận được gói tin trả lời từ M, nó không chứng thực và chấp nhận
tuyến đường và gửi dữ liệu tới nút độc hại. Kiểu tấn công này cũng được gọi là tấn
công lặp định tuyến trong mạng.
1.2.3.3. Tấn công chế tạo (Attack using Fabrication)
Trong kiểu tấn công này, kẻ tấn công chèn vào mạng những thông điệp giả
mạo hoặc gói tin định tuyến sai (fake routing packet) để đánh sập quá trình định
tuyến. Kiểu tấn công giả mạo này rất khó phát hiện trong mạng MANET. Ví dụ:
S
A
B
C
D
X
M
Hình 1.6: Mô tả tấn công chế tạo
Theo hình trên, nút nguồn S muốn gửi dữ liệu tới nút X, nó khởi động quá trình tìm
đường tới X. Nút M là nút độc hại cố gắng chỉnh sửa tuyến đường và trả gửi gói tin
trả lời tới nút S. Hơn nữa, một nút độc hại có thể giả mạo gói RERR để thông báo
sự cố tuyến đường hỏng.
18
1.2.3.4. Tấn công đặc biệt
Tấn công wormhole: Kẻ tấn công nhận những gói tin tại một nút trong
mạng, thực hiện “tunnels” những gói tin này tới một nút khác trong mạng và sau đó
phát lại chúng vào mạng. Bởi vì khoảng cách “tunneled” dài hơn khoảng cách một
chặng bình thường nên kẻ tấn công có thể “tunneled” gói tin đạt metric tốt hơn
những tuyến đường khác. VD:
Hình 1.7: Mô tả tấn công wormhole
Nút X và nút Y là hai đầu của kiểu tấn công wormhole. Nút X phát lại mọi
gói tin trong vùng A mà nút Y nhận được trong vùng B và ngược lại. Dẫn tới việc
tất cả các nút trong vùng A cho rằng là hàng xóm của các nút trong vùng B và
ngước lại. Kết quả là, nút X và nút Y dễ dàng tham gia vào tuyến đường truyền dữ
liệu. Khi đó chúng chỉ việc hủy bỏ mọi gói tin truyền qua chúng và như thế chúng
đánh sập mạng.
Tấn công blackhole: Trong kiểu tấn công này kẻ tấn công bất cứ khi nào
nhận được gói tin tìm đường, ngay lập tức gửi gói tin trả lời rằng nó có tuyến
đường mới nhất đi tới đích. Nút nguồn khi nhận được gói tin trả lời sẽ cập nhật vào
bảng định tuyến đường đi tới đích và đi qua nút độc hại. Khi đó nút độc hại chỉ việc
hủy tất cả các gói tin đi qua chúng và đánh sập mạng. Kiểu tấn công này rất thường
gặp trong giao thức AODV.
19
Hình 1.8: Mô tả tấn công black hole
Theo hình trên, nút nguồn S muốn truyền dữ liệu tới nút đích D. S tìm trong bảng
định tuyến của nó và không tìm thấy đường đi tới nút D. Nút S bắt đầu phát quảng
bá gói tin tìm đường tới nút D. Nút B là nút độc hại thực hiện tấn công blackhole.
Gói tin tìm đường được phát quảng bá tới tất cả các nút hàng xóm của nút S trong
đó có nút B. Ngay lập tức nút B gửi gói tin trả lời tới nút S rằng nó có tuyến đường
mới nhất tới nút đích D với số sequence number lớn. Nút S nhận được gói tín trả lời
đầu tiên từ B nên nó chấp nhận tuyến đường đi qua nút B để tới đích là nút D. Dữ
liệu bắt đầu được truyền từ S tới D qua nút B. Nút B thực hiện hủy tất cả gói tin qua
nó và cứ như vậy nó đánh sập mạng.
Ở chương 1 này tác giả đã nêu tổng quan các đặc điểm về mạng MANET,
các vấn đề an ninh trong mạng MANET, bao gồm: Các thách thức khi xây dựng
một giải pháp an ninh; Các mối đe dọa an ninh, trong đó, tập trung chủ yếu vào
việc phân tích các hình thức tấn công trong tầng mạng, cụ thể là các cuộc tấn công
trong giao thức định tuyến; Chỉ ra một số giải pháp tăng cường an ninh trong giao
thức định tuyến mạng MANET.
Dựa trên việc phân tích, đánh giá các ưu nhược điểm của các giải pháp có
sẵn, tác giả lựa chọn xây dựng một giải pháp tăng cường an ninh cho giao thức định
tuyến AODV, một giao thức hoạt động rất hiệu quả trong mạng MANET. Chi tiết
về giải pháp được trình bày chi tiết trong chương 2 của luận văn.
20
- Xem thêm -