ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ZY
ĐƯỜNG TẤT TOÀN
NGHIÊN CỨU GIAO THỨC MOBILE IP
VÀ GIẢI PHÁP BẢO MẬT
LUẬN VĂN THẠC SĨ
Ngành: Công nghệ thông tin
Mã số: 1.01.10
NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS. TS. NGUYỄN VĂN TAM
Hà Nội - 2006
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
1
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT 4
DANH MỤC CÁC HÌNH VẼ 5
MỞ ĐẦU
7
Chương 1 TỔNG QUAN 9
2
Chương 2 GIAO THỨC MOBILE IP 33
2.1. Tổng quan về Mobile IP 33
2.1.1. Giới thiệu 33
2.1.2. Các thành phần cơ bản của một mạng mobile IP 34
2.1.3. Phương thức hoạt động của Mobile IP 36
2.2. Quá trình phát hiện trạm 40
2.2.1. Quảng bá của trạm 40
2.2.2. Yêu cầu quảng bá 44
2.2.3. Cơ chế phát hiên sự di chuyển 44
2.3. Quá trình đăng ký địa chỉ 45
2.3.1. Bản tin yêu cầu đăng ký 45
2.3.2. Cấu trúc bản tin trả lời đăng ký 48
2.4. Quá trình trao đổi thông tin 49
2.5. Quá trình huỷ bỏ đăng ký địa chỉ 51
2.6. Tối ưu hoá định tuyến 51
2.6.1. Bảng địa chỉ trong bộ nhớ đệm của nút chuyển tiếp 52
2.6.2. Cơ chế tạo Binding Cache 52
2.6.3. Điều khiển chuyển giao mềm giữa các Foreign Agent 54
2.7. Một số lưu ý trong Mobile IP 60
2.7.1. Một số vấn đề cần lưu ý với Mobile Node 60
2.7.2. Những điểm cần lưu ý với Foreign Agent 61
2.7.3. Những điều cần lưu ý với Home Agent 63
2.7.4. Một số vấn đề định tuyến trong Mobile IP 65
2.7.5. Một số phương pháp đóng gói trong Mobile IP 66
2.8. Kết luận chương 72
Chương 3 GIẢI PHÁP BẢO MẬT CHO MOBILE IP 73
3.1. Nguy cơ an ninh và bảo mật trong Mobile IP 73
3.1.1. Các yêu cầu bảo mật thông tin trên mạng 73
3.1.2. Các nguy cơ với bảo mật của Mobile IP 73
4.3. Giải pháp Cisco Mobile VPN 109
4.3.1. Giới thiệu 109
4.3.2. Kiến trúc Cisco Mobile VPN 110
4.3.3. Cơ chế tương hỗ giữa IPsec và Mobile IP 112
4.3.4. Một số lưu ý khi triển khai Cisco Mobile VPN 113
4.4. Triển khai tại mạng CCFSCnet 114
4.5. Kết luận chương 115
KẾT LUẬN 116
TÀI LIỆU THAM KHẢO 118
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
4
DANH MỤC CÁC TỪ VIẾT TẮT
CMC Cisco Mobile Client
CN Correspondent Node
COA Care-of Address
FA Foreign Agent
GFA Gateway Foreign Agent
HA Home Agent
IP Internet Protocol
MN Mobile Node
POA Point of Attachement
SA Security Association
SPI Security Parameter Index
TCP Transmission Control Protocol
VPN Virtual Private Network
WGAN Wireless Global Area Network
Hình 20: Quá trình chuyển giao mềm 55
Hình 21: Cấu trúc bản tin cảnh báo địa chỉ 56
Hình 22: Cấ
u trúc bản tin yêu cầu địa chỉ 57
Hình 23: Cấu trúc bản tin cập nhật địa chỉ 58
Hình 24: Cấu trúc bản tin trả lời cập nhật địa chỉ 59
Hình 25: Quá trình trao đổi các bản tin để phát hiện và cập nhật địa chỉ mới 60
Hình 26: Đóng gói IP trong IP 67
Hình 27: Đóng gói Minimal Encapsulation for IP 68
Hình 28: Minimal Encapsulation Header 69
Hình 29: Khuôn dạng thông điệp mở rộng xác thực MN và HA 81
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
6
Hình 30: Khuôn dạng thông điệp mở rộng xác thực MN và FA 82
Hình 31: Khuôn dạng thông điệp mở rộng xác thực MA và FA 82
Hình 32 Hạ tầng kiểm tra 83
Hình 33 Mở rộng challenge 83
Hình 34 Mở rộng Challenge MN-FA 85
Hình 35 Mở rộng quảng bá Agent 86
Hình 36 Thông điệp yêu cầu đăng ký nhận bởi FA 86
Hình 37 Thông điệp yêu cầu đăng ký gửi tới HA 87
Hình 38 Thông điệp trả lời đăng ký từ FA 87
Hình 39 Thông đi
ệp trả lời đăng ký MN nhận được 88
Hình 40: Mô hình Mobile IP/AAA cơ bản 90
Hình 41: Các thiết lập bảo mật trong mô hình Mobile IP/AAA 90
Hình 42: Gói tin quảng bá của Agent 93
Hình 43: Gói tin IP được bảo vệ bởi IPSec trong chế độ giao vận và chế độ
Luận văn được chia thành bốn chương chính:
Chương 1 – Tổng quan. Giới thiệu một cách tổng quan về tình hình phát
triển, thách thức và xu hướng của truyền thông không dây. Qua đó, thấy rằng nhu
cầu tính toán, kết nối và chạy các ứng dụng mạng của người dùng trong khi không ở
tại văn phòng là tất yếu. Chương 1 cũng nêu ra các vấn đề mà người dùng sẽ gặp
phải trong quá trình kết nối khi di động. Từ những vấn đề nảy sinh trong qúa trình
di động, chương 1 cũng sẽ đưa ra các hạ
n chế của họ giao thức TCP/IP. Từ đó, thấy
được sự cần thiết của việc bổ sung thêm các tính năng cho phép người dùng có thể
thiết lập, duy trì kết nối, duy trì các ứng dụng trong khi di chuyển.
Chương 2 – Giao thức Mobile IP. Chương này sẽ đi sâu phân tích các đặc
tính kỹ thuật của Mobile IP: các thành phần cơ bản của Mobile IP, phương thức
hoạt động của Mobile IP cũng như các vấn đề cần lư
u ý trong Mobile IP.
Chương 3 – Giải pháp bảo mật cho Mobile IP. Trong chương này, các
vấn đề về nguy cơ an ninh đặc thù của Mobile IP được phân tích. Do đặc điểm của
người dùng khi di động là sử dụng các kết nối không dây, do đó các nguy cơ về an
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
8
ninh sẽ liên quan tới đặc tính là dữ liệu được truyền qua sóng vô tuyến. Mặt khác,
do đặc tính của quá trình thiết lập kết nối trong Mobile IP, nguy cơ bị tấn công an
ninh cũng cần được phân tích. Qua các phân tích về nguy cơ bản mật, chương này
trình bày một số giải pháp về an ninh và bảo mật cho Mobile IP.
Chương 4 – Ứng dụng Mobile IP trong mạng CCFSCnet. Chương này
sẽ trình bày hiện trạng mạng thông tin quản lý thiên tai của Văn phòng Ban chỉ đạo
Phòng chố
ng Lụt bão Trung Ương. Bên cạnh, giải pháp kết hợp Mobile IP với khả
năng bảo mật Cisco Mobile VPN được phân tích. Qua đó, một đề xuất ứng dụng
10
hệ mạng 2,5G (digital evolved 2G). Mạng thông tin di động 3G đã được triển khai
tại một số nước trên thế giới và mạng 4G bắt đầu đang được thử nghiệm.
Trong các công nghệ của mạng thông tin di động, hệ thống thông tin di
động GSM giành được nhiều thành công nhất và được triển khai tại hơn 174 nước
trên thế giới và là hệ thống thông tin di động số duy nhất ở châu Âu. Trong khi đó,
khoảng 32% thuê bao di động tại Mỹ và Canada v
ẫn sử dụng hệ thống tương tự
AMPS (Advanced Mobile Phone Services). Các hệ thống di động 2G được sử dụng
chủ yếu cho thông tin thoại và có tốc độ dữ liệu thấp (9,6 – 14.4 Kbps). Các công
nghệ chuyển tiếp giữa 2G và 3G đã được khuyến nghị để sớm đạt được tốc độ dữ
liệu nhanh hơn với chi phí thấp hơn các hệ thống thế hệ 3G.
Trong các công nghệ 2G, HSCSD (High-Speed Circuit-Switched Data) xuất
hiện do nhu cầu khắc phục tốc độ thấp trong truyền dữ liệu của mạng GSM.
HSCSD được khuyến nghị bởi ETSI trong năm 1997. Tư tưởng chính của công
nghệ này là khai thác nhiều hơn một khe thời gian song song trong số tám khe thời
gian và cho khả năng tăng tương đối tốc độ dữ liệu.
Tại Nhật Bản, các dịch vụ i-mode giành được những thành công lớn. Các hệ
thống này được giớ
i thiệu vào đầu năm 1999. Các dịch vụ i-mode có sử dụng giao
thức HTML rút gọn tạo thuận lợi trong giao tiếp với mạng Internet. Các thuê bao có
thể gửi/nhận thư điện tử và truy cập nhiều dịch vụ cơ sở dữ liệu, giải trí, giao dịch,
duyệt web.
Dịch vụ GPRS (General Packet Radio Service) và EDGE (Enhanced Data
Rates for GSM Evolution) cũng đã được đưa ra như các công nghệ dữ liệu chuyển
tiếp cho việc phát triể
n của GSM. GPRS là một mở rộng GSM theo “mode” gói tin
– qua đó khai thác hạ tầng mạng hiện có. GPRS hiện đã được triển khai rộng rãi
trên các mạng thông tin di động GSM tại Việt Nam (Vinaphone, Mobifone, Viettel).
Mạng thông tin di động thế hệ ba (3G) được đặc trưng bởi sự dịch chuyền
mà việc lắp đặt các đường cáp là tốn kém hoặc không khả thi.
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
12
Ngày nay, chuẩn WLAN phổ biến nhất là IEEE 802.11b (còn có tên khác là
Wi-Fi). Ngoài ra, cũng có các chuẩn mạng WLAN khác như chuẩn mạng LAN
không dây HIPERLAN (High Performance LAN) được ứng dụng tại châu Âu.
1.1.3. Mạng riêng không dây và mạng Ad hoc
Các mạng WLAN ngày nay thường cần một mạng hạ tầng để cung cấp kết
nối tới các mạng khác. Các mạng không dây Ad hoc không cần một hạ tầng. Trong
các hệ thống tham gia mạng Ad hoc, các trạm di động có thể đóng vai trò là các
trạm trung gian trong quá trình truyền dữ li
ệu từ trạm nguồn tới trạm đích. Thách
thức trong thiết kế các mạng ad hoc đó là khả năng phát triển các giao thức định
tuyến động, sao cho có thể tìm đường một cách hiệu quả cho gói tin từ trạm nguồn
tới trạm đích.
Kiến trúc mạng WLAN không cần tới một hạ tầng với một phạm vi rất nhỏ
để kết nối các thiết bị nhỏ khác nhau gầ
n kề - có thể là một không gian của cá nhân
đang sử dụng các thiết bị đó – được gọi là mạng WPAN (Wireless Personal Area
Network). Một ví dụ của mạng WPAN là Bluetooth.
1.1.4. Nhận xét
Như vậy, các công nghệ kết nối không dây có thể được xếp thành ba loại cơ
bản dựa trên vùng phủ và các yêu cầu về đi động [19] :
• WWAN (Wireless Wide Area Network)
• WLAN (Wireless Local Area Network)
• WPAN (Wireless Personal Area Network)
Trong tương lai, các kết nối mạng thông qua vệ tinh tới các thiết b
ị của
1.3. Các vấn đề trong kết n
ối khi di động
Các máy trạm thường thì có thể kết nối hữu tuyến với mạng để có thể đạt
được kết nối chi phí thấp hơn và chất lượng cao hơn khi cố định, nhưng các máy
trạm đó cần các truy cập không dây để kết nối khi di động [13] .
Kết nối không dây thường khó khăn hơn nhiều nếu so sánh với kết nối hữu
tuyến bởi vì môi trường xung quanh tác động vớ
i tín hiệu, cản trở đường truyền của
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
14
tín hiệu, và gây ra nhiễu. Hậu quả là các kết nối không dây thường có chất lượng
thấp hơn kết nối hữu tuyến: băng thông thấp hơn, tỷ lệ lỗi lớn hơn và hay bị gián
đoạn hơn. Các yếu tố này sẽ làm tăng độ trễ trong truyền thông vì phải truyền lại
gói tin, trễ do chờ thời gian chờ truyền lại, xử lý các giao thức kiểm soát lỗi, và các
gián đoạ
n nhỏ.
Các kết nối không dây có thể bị gián đoạn hoặc bị suy giảm bởi sự di động.
Người dùng có thể di chuyển ra khỏi vùng phủ sóng hoặc di chuyển vào vùng nhiễu
cao. Không giống như các mạng hữu tuyến điển hình, số lượng các thiết bị trong
một vùng thay đổi thường xuyên và sự tập trung nhiều những trạm di động có thể
gây quá tải mạng.
1.3.1. Gián đoạn k
ết nối
Các hệ thống máy tính ngày nay vẫn phụ thuộc nhiều vào hệ thống mạng và
có thể ngừng hoạt động khi hệ thống mạng có sự cố. Sự cố mạng cần được chú ý
nhiều hơn trong các thiết kế hệ thống di động so với trong thiết kế các hệ thống
truyền thống vì truyền thông không dây dễ bị ảnh hưởng hơn về gián đoạn kế
t nối.
Một mặt khác, người dùng có thể cần phải chuyển đổi các giao diện kết nối
khi di chuyển từ trong phòng ra ngoài. Ví dụ, các giao diện kết nối hồng ngoại
không thể sử dụng ngoài trời vì ánh sáng mặt trời làm sai tín hiệu. Thậm chí nếu
việc kết nối sử dụng các tần số vô tuyến, người dùng có thể vẫn cần thay đổi giao
thức truy cập cho các mạng khác nhau.
Sự không thu
ần nhất làm cho kết nối các trạm di động thêm phức tạp so với
phương pháp kết nối truyền thống.
1.3.5. Các nguy cơ an ninh
Bởi việc tham gia một kết nối không dây là dễ dàng, an ninh trong truyền
thông không dây có thể bị tổn thương dễ dàng hơn sơ với truyền thông hữu tuyến,
đặc biệt nếu vùng truyền tín hiệu trải trên một khu vực lớn. Do đó, áp lực về đảm
bảo các bi
ện pháp bảo mật trong thiết kế mạng tính toán di động là rất lớn.
An ninh trong mạng không dây trở nên phức tạp hơn nếu người dùng được
phép dịch chuyển giữa các vùng bảo mật. Ví dụ, cho phép các máy tính di động
không tin cậy của các bệnh nhân trong bệnh viện truy cập các máy in xung quanh và
cấm truy cập tới các máy in ở xa và các tài nguyên khác dành riêng cho nhân viên
của bệnh viện
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
16
Các truyền thông bảo mật nằm trong các kênh không bảo mật được thực
hiện bằng biện pháp mã hóa. Việc mã hóa có thể được thực hiện bằng phần mềm
hay bằng các phần cứng chuyên dụng.
1.4. Hạn chế của mạng IP truyền thống
Các phiên bản hiện tại của giao thức IP (IPv4 và IPv6) không hỗ trợ khả
năng di động của các trạm (host) trong mạng. Khi giao thức IP này được thiết kế,
các tr
trọng và được sử dụng ở nhiều nơi, TCP/IP được xem là giao thức truyền dữ liệu cơ
bản cho tương lai. Một đặc điểm quan trọng của giao thức TCP/IP là tính khả mở.
a) Giao thức TCP
Giao thức TCP tương ứng với tầng giao vận của mô hình tham chiếu OSI.
Giao thức TCP cung cấp khả năng truy cập mạng cho các ứng dụng thông qua dị
ch
vụ tầng giao vận hướng kết nối tin cậy. TCP thiết lập các phiên giữa các tiến trinh
người dùng (user process) trên Internet, và đảm bảo truyền thông tin cậy giữa hai
hay nhiều tiến trình. TCP cung cấp các chức năng:
1. Lắng nghe các yêu cầu thiết lập phiên kết nối
2. Thiết lập phiên kết nối với một trạm khác trong mạng
3. Đảm bảo gửi và nhận dữ liệu một cách tin cậy bằ
ng số hiệu thứ tự
(sequence number) và báo nhận (acknowledge).
4. Kết thúc phiên kết nối
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
18
b) Giao thức IP
Giao thức IP tương ứng với tầng mạng của mô hình tham chiếu OSI và
được thiết kế để tương tác với các mạng truyền thông chuyển mạch gói. IP gửi các
“khối” dữ liệu – gọi là datagram – nhận được từ các tầng bên trên từ trạm nguồn tới
trạm đích. IP cung cấp bốn chức năng chính:
1. Quản lý các đơn vị cơ sở cho việc truyền dữ li
ệu
2. Xác định địa chỉ
3. Định tuyến
4. Tách/ghép dữ liệu
Trên thực tế, phiên bản hiện tại của giao thức IP (IPv4 – IP phiên bản 4)
máy trạm cài đặt.
Độ dài Header (Header Length)
Độ dài của phần Header (tất cả mọi trường, ngoại trừ trường dữ liệu). Độ
dài này có thể thay đổi và không phải tất cả các trường trong Header của gói dữ liệu
IP đều được sử dụng. Độ dài của các trường header được tính theo đơn vị là từ độ
dài 32bit. Header IP có độ dài ng
ắn nhất sẽ là 30 byte (tức 5 từ).
Loại dịch vụ (Service Type)
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
20
Trường loại dịch vụ rất ít khi được sử dụng và thường được gán giá trị 0.
Trường này cho phép các ứng dụng chỉ ra kiểu của đường dẫn định tuyến (routing
path) mà ứng dụng cần (như yêu cầu về độ trễ, thông lượng, độ tin cậy…)
Độ dài tổng (Total Length)
Trường độ dài tổng là tổng độ dài của toàn bộ gói dữ liệu IP (IP datagram)
tính theo đơn vị là byte. Như vậy m
ột gói dữ liệu IP có thể có kích thước tối đa là
65 535 byte (trường độ dài tổng có độ dài 16 bit).
Phân đoạn (Fragmentation)
Các phương tiện truyền dẫn khác nhau cho phép các gói dữ liệu có kích
thước khác nhau được gửi đi và nhận về. Việc phân đoạn cho phép một gói dữ liệu
có kích thước quá lớn để có thể gửi tiếp qua một phân đoạn mạng khác được phân
ra thành các đoạn dữ liệu nhỏ h
ơn và được ghép lại tại đích đến của gói dữ liệu đó.
Cho dù việc tách dữ liệu được thực hiện bởi các bộ định tuyến nhưng một bộ định
tuyến không thực hiện việc ghép các đoạn dữ liệu thành đơn vị dữ liệu trước đó đã
bị phân đoạn. Việc ghép các đoạn dữ liệu đó là công việc c
ủa trạm nhận dữ liệu
mật…Người ta thấy rằng, các chức năng này ít được dùng hoặc được cài đặt trong
các giao thức khác tốt hơn.
Địa chỉ nguồn (Source) và địa chỉ đích (Destination)
Đây là địa chỉ của trạm nguồn và trạm đích.
b) Định tuyến trong IPv4
Các gói tin IP được định tuyến trên mạng dựa trên địa chỉ trong gói tin IP
[16] . Các bộ định tuyến đọc các thông tin địa chỉ này và xác định đường đi tốt nhất.
Một mạng chuyển mạch gói được xây dựng dựa trên trên các đơn vị thông tin
(thường được gọi là datagram) và khả năng định tuyến cho gói tin đó đi tới đích.
Datagram có thể được định tuyến trực tiếp (direct routing) hoặc thông qua các thiết
bị chuyển tiếp như các bộ định tuyến – định tuyến gián tiếp (indirect routing). Định
tuyến trực tiếp là khi datagram đượ
c chuyển tới trạm đích trong cùng một subnet
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
22
với trạm nguồn. Định tuyến gián tiếp là khi datagram được chuyển tới trạm đích
nằm khác subnet với trạm nguồn thông qua các thiết bị định tuyến.
Để chuyển tiếp dữ liệu tới các mạng khác thông qua các bộ định tuyến, các
giao thức định tuyến (routing protocol) được sử dụng để các bộ định tuyến xác định
các đường đi cần thiết trong quá trình định tuyến. Có hai họ giao thức đị
nh tuyến
được sử dụng: các giao thức định tuyến nội bộ (IGP – Internal Gateway Protocol)
và các giao thức định tuyến ngoại vi (EGP – Exterior Gateway Protocols).
Định tuyến trực tiếp: Một địa chỉ IP bao gồm phần định danh mạng và phần
định danh trạm. Trạm gửi sẽ so sánh phần định danh mạng của trạm đích với định
danh mạng của chính nó. Nếu định danh mạng trạm đích trùng với định danh m
ạng
trạm gửi, trạm sẽ được chuyển trực tiếp vào mạng LAN của trạm gửi mà không cần
IPv6 không phải là là một giao thức mạng mới mà là một sự phát triển của
IPv4. Với độ r
ộng địa chỉ 128bit, IPv6 đã mở rộng khả năng địa chỉ hóa lên rất lớn,
đảm bảo khả năng phát triển trong tương lai. IPv6 header có độ dài cố định 40 bytes
và bỏ bớt một số trường trong header của IPv4. IPv6 cũng có khả năng hỗ trợ tốt
hơn cho các mở rộng và các tùy chọn. Với IPv6, một khả năng mới được được thêm
vào cho phép “gán nhãn” các gói dữ liệu (packet). IPv6 cũng hỗ tr
ợ xác thực và các
khả năng về thông tin riêng tư.
Copyright: Tài liệu đại học ©