Tải bản đầy đủ

Luận văn nghiên cứu giải pháp nâng cao hiệu quả bảo mật thông tin trên mạng truyền số liệu đa dịch vụ

BỘ GIÁO DỤC VÀ ĐÀO TẠO

BỘ QUỐC PHÒNG

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

HOÀNG VĂN QUÂN

NGHIÊN CỨU GIẢI PHÁP NÂNG CAO HIỆU QUẢ
BẢO MẬT THÔNG TIN TRÊN MẠNG TRUYỀN SỐ LIỆU
ĐA DỊCH VỤ

LUẬN ÁN TIẾN SĨ KỸ THUẬT
HOÀNG VĂN QUÂN

HÀ NỘI 2016


BỘ GIÁO DỤC VÀ ĐÀO TẠO

BỘ QUỐC PHÒNG


VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

NGHIÊN CỨU GIẢI PHÁP NÂNG CAO HIỆU QUẢ
BẢO MẬT THÔNG TIN TRÊN MẠNG TRUYỀN SỐ LIỆU
ĐA DỊCH VỤ

Chuyên ngành:
Mã số:

Kỹ thuật điện tử
62 52 02 03

LUẬN ÁN TIẾN SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC:
1. TS LỀU ĐỨC TÂN
2. TS HOÀNG NGỌC MINH

HÀ NỘI 2016


3

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các nội dung,
số liệu và kết quả trình bày trong luận án là hoàn toàn trung thực và chưa có tác giả
nào công bố trong bất cứ một công trình nào khác, các dữ liệu tham khảo được trích
dẫn đầy đủ.
Người cam đoan

Hoàng Văn Quân


4

LỜI CÁM ƠN
Luận án được thực hiện tại Viện Khoa học và Công nghệ Quân sự - Bộ Quốc
phòng.

Tôi xin bày tỏ lòng biết ơn sâu sắc tới TS Lều Đức Tân và TS Hoàng Ngọc
Minh, các thầy đã tận tình giúp đỡ, trang bị phương pháp nghiên cứu, kinh nghiệm,
kiến thức khoa học và kiểm tra, đánh giá các kết quả trong suốt quá trình nghiên cứu
luận án.
Xin trân trọng cám ơn Viện Khoa học và Công nghệ Quân sự, Phòng Đào tạo,
Viện Điện tử là cơ sở đào tạo và đơn vị quản lý, các đồng chí lãnh đạo, chỉ huy Cục
Cơ yếu - Bộ Tổng Tham mưu - nơi tôi công tác đã tạo mọi điều kiện thuận lợi, hỗ trợ
và giúp đỡ tôi trong suốt quá trình học tập, nghiên cứu thực hiện luận án. Xin chân
thành cám ơn các thầy, cô của Viện Khoa học và Công nghệ Quân sự, Viện Điện tử,
các nhà khoa học, các đồng nghiệp thuộc Trung tâm Nghiên cứu Kỹ thuật Mật mã Cục Cơ yếu, Viện Khoa học Công nghệ Mật mã/Ban Cơ yếu Chính phủ đã giúp đỡ,
hỗ trợ tôi trong suốt thời gian qua.
Cuối cùng, tôi xin bày tỏ lòng thành kính và luôn ghi nhớ công ơn của cha mẹ,
gia đình, những người thân và xin dành lời cảm ơn đặc biệt tới vợ con, những người
đã luôn đồng hành, động viên và là chỗ dựa về mọi mặt giúp tôi vượt qua khó khăn để
có được những kết quả nghiên cứu ngày hôm nay.
Tác giả
MỤC LỤC
Trang


5


DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
E

Ký hiệu đường cong elliptic

O

Điểm vô cực của

G

Một điểm trên E sinh ra một nhóm cyclic cấp N

KA

Khóa bí mật A

đường cong elliptic

KB

Khóa bí mật B
~^p GF(p) Ký hiệu cho trường hữu hạn chứa p phần tử với p là số nguyên tố
#{(X,Y) Lực lượng của tập X, Y
#(a)

Lực lượng của a

#(b)

Lực lượng của b

x1 y1

Tọa độ điểm P trên đường cong E

x2 y2

Tọa độ điểm Q trên đường cong E

x3 y3

Tọa độ điểm R trên đường cong E

Rank(A)

Hạng của ma trận A

ATM1

An toàn mạng 1

ATM2

An toàn mạng 2

AES

Chuẩn mã hóa dữ liệu mở rộng (Advanc e d Encryption Standard)

AH
Giao thức tiêu đề xác thực (Authentication Header)
ASIC Mạch tích hợp cho các ứng dụng đặc biệt (Application Specific Integrated
Circuit)
ATM Phương thức truyền tải không đồng bộ (Asynchronous Transfer Mode)
DLP Bài toán logarith rời rạc (Discrete Logarithm Problem)
DoS Tấn công từ chối dịch vụ (Denial of Service )
DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service)
DTLS Bảo mật gói dữ liệu tầng giao vận (Datagram Transport Layer Security)
DH

Diffie-Hellman (Elliptic Curve)


EC
ECADD
ECC
ECDBL

Đường cong elliptic
Phép cộng hai điểm khác nhau (Elliptic Curve ADD)
Hệ mật Elliptic (Elliptic Curve Cryptosystem)

ECDH

Phép nhân đôi (phép cộng hai điểm giống nhau - EC Double)
Bài toán Diffie-Hellman trên Elliptic (Elliptic Curve Diffie- Hellman)

ECDLP

Bài toán logarith rời rạc trên đường cong elliptic (Elliptic Curve Discrete
Logarithm Problem)

ECDSA

Thuật toán chữ ký số Elliptic (Elliptic Curve Digital Signature
Algorithm)

ESP
FPGA
GCD
IP
IDPS

Encapsulating Security Payload
Mảng cổng lập trình dạng trường (Field Programmable Gate Array)
Tìm ước số chung lớn nhất (Gre atest Common Divisor)
Giao thức liên mạng (Internet Protocol)
Hệ thống phát hiện và ngăn chặn truy cập (Intrusion Detection
Pevention System)

IKE

Giao thức bảo mật (IP Security Protocol)
Trao đổi khóa (Internet Key Exchange)
Tổ chức Tiêu chuẩn quốc tế (International Organization for
Standardization)

ISO

Chuyển mạch nhãn đa giao thức (Multi Protocol Label Switching)

IPSec

Phân tách có khoảng cách cực đại (Maximum Distance Separable)
MPLS
MDS

Dạng không liền kề (Non Adjacent Form)
Mạng cục bộ (Local Area Network)
Tế bào logic (Logic Cell)

NAF

Phần tử logic (Logic Element)

LAN

Mã hóa điểm tới điểm (Microsoft Point to Point Encryption)

LC
LE
MPPE


OSI
SPN
RSA
VPN

Mô hình tương tác giữa các hệ thống mở (Open Systems Interconnection )
Mạng thay thế - hoán vị (Substitution Permutation Network)
Thuật toán mã khóa công khai của Rive st, s hamir và Adl eman

Mạng riêng ảo (Virtual Private Network)
VHDL Ngôn ngữ mô tả phần cứng (Verilog Hardware Description Language)


DANH MỤC CÁC BẢNG

DANH MỤC CÁC HÌNH VẼ


1
0
MỞ ĐẦU
1. Tính cấp thiết
Mạng truyền số liệu được sử dụng rộng rãi trong hầu hết các lĩnh vực đời
sống, kinh tế - xã hội, an ninh quốc phòng để đáp ứng nhu cầu trao đổi thông tin.
Việc xây dựng những mạng truyền thông tốc độ cao với khả năng bảo đảm chất
lượng, dịch vụ là tiền đề để xây dựng và phát triển một xã hội thông tin hiện đại. Tùy
the o tính chất nhiệm vụ và yêu cầu của từng ngành mà mạng truyền số liệu được
xây dựng và tổ chức thành các mạng riêng, độc lập. Tuy nhiên, các mạng vi n thông
hiện nay có xu hướng chung là hội tụ để có thể truyền được nhiều loại hình thông tin
trên một nền mạng duy nhất trong đó IP/MPL s [1], [2], [4], [12] là hai công nghệ
nền tảng để xây dựng những mạng hội tụ như vậy.
Bên cạnh việc phát triển của mạng truyền số liệu thì vấn đề đảm bảo an ninh,
an toàn, bảo mật cho một mạng thông tin là một trong những yếu tố hàng đầu quyết
định chất lượng cũng như tính khả dụng của mạng, bởi vì trên đó luôn tiềm ẩn rất
nhiều nguy cơ gây mất an toàn thông tin, gây hậu quả nghiêm trọng về kinh tế, chính
trị, quân sự, an ninh quốc gia. Đặc biệt đối với mạng thông tin của các cơ quan
Đảng, Nhà nước, Quân đội yêu cầu về an toàn và bảo mật thông tin, dữ liệu luôn là
đòi hỏi cần thiết và cấp bách.
Bài toán bảo mật thông tin trên mạng truyền số liệu đã và đang được nhiều
quốc gia trên thế giới đặc biệt quan tâm, đã có rất nhiều các nghiên cứu tạo ra các
chuẩn bảo mật, các hệ mật và giải pháp bảo mật cho mạng truyền số liệu đa dịch vụ.
Trong đó giao thức bảo mật IP s ec có thể được coi là giao thức tốt nhất cho việc
thực hiện mã hóa dữ liệu tại tầng IP [4], [9] trên nền tảng công nghệ của mạng
truyền số liệu đa dịch vụ. IPSec là một tập hợp các tiêu chuẩn mở, cung cấp các dịch
vụ bảo mật và điều khiển truy nhập tại tầng IP. Tuy nhiên, do hệ thống mạng truyền
số liệu là mạng truyền dẫn tốc độ cao và ngày càng phát triển nhanh chóng, truyền
tải nhiều loại hình dịch vụ thông tin, vì vậy đặt ra một số vấn đề đối với IP s e c để


1
1
phát triển và hướng tới hoàn thiện [1], [4]. Một trong các yếu tố cần thực hiện đó là
nâng cao hiệu năng, tốc độ tính toán của thiết bị mã hóa do IP s e c phải xử lý nhiều
giải thuật phức tạp và tiêu tốn tài nguyên, đặc biệt là các thuật toán mật mã sử dụng
trong giao thức mã hóa dữ liệu E SP hay giao thức trao đổi khóa IKE của IP s ec.
Trên thế giới đã có nhiều công trình nghiên cứu cải tiến nhằm cải thiện tốc
độ, nâng cao hiệu năng xử lý của IPSec, điển hình như công trình của các tác giả A.
Salman, M. Rogawski and J. Kaps [8] (năm 20 1 1 ); L.Wu, Yun Niu, X. Zhang
[40] (năm 20 13) đã nghiên cứu cứng hóa giao thức IP s e c trên nền công nghệ

FPGA và đạt được những thành công lớn về mặt tốc độ và hiệu năng xử lý, trong đó
về giải pháp mật mã các tác giả trên sử dụng thuật toán mã hóa chuẩn AE s cho E s P
và giao thức thỏa thuận khóa Diffie-Hellman với tham số RsA 1 024, 2048 bít cho
IKEv2. Về cứng hóa chuẩn mã hóa dữ liệu AES trên FPGA nhằm nâng cao hiệu
năng xử lý mật mã, điển hình có các nghiên cứu gần đây như công trình của các tác
giả Kaur A, Bhardwaj P and Naveen Kumar [37] (năm 20 1 3 ), Ashwini R. Tonde
and Akshay P. Dhande [10] (năm 20 14 ), hay kết quả khảo sát các công trình
nghiên cứu the o hướng này của các tác giả Shylashree.N, Nagarjun Bhat and V.
Shridhar [58] (năm 2012) cho thấy các kết quả đạt được là rất đáng kể nhờ việc tối
ưu và sử dụng các kỹ thuật tiên tiến (pipeline ) khi thực hiện trên phần cứng. Tuy
nhiên, các công trình nghiên cứu đề cập đến việc cài đặt trên phần cứng có liên quan
đến tối ưu hoặc cải tiến các thành phần mật mã còn rất hạn chế. Đối với giao thức
trao đổi khóa IKE, trong [17] đưa ra phương án có thể thay mật mã đường cong
elliptic (ECC) cho tham số Rs A trong giao thức thỏa thuận khóa Diffie - Hallman,
với ECC cũng có rất nhiều các nghiên cứu về lý thuyết và thực hành nhằm tăng hiệu
quả thực hiện phép nhân điểm (là phép tính cơ bản và quan trọng của ECC) để giúp
giảm thời gian trao đổi khóa giữa các thực thể trong mạng thông tin.
Dưới góc độ mật mã, hầu hết các quốc gia trên thế giới đều tổ chức xây dựng
hệ thống mật mã của riêng mình, nhằm giữ bí mật ở mức cao nhất các thông tin nhạy
cảm, đặc biệt đối với các hệ thống thông tin được sử dụng trong lĩnh vực an ninh


1
2
quốc phòng. Tại Việt Nam, Ban Cơ yếu Chính phủ là nơi đi đầu trong l nh vực
nghiên cứu, triển khai các giải pháp bảo mật cho các hệ thống thông tin. Các sản
phẩm bảo mật được phát triển dựa trên các chuẩn của thế giới như IP s ec [9],
SSL/TLS[7], OpenVPN[18], theo hướng cải tiến, chuyên dụng hóa các sản phẩm
mã nguồn mở như OpenSwan, StrongSwan, OpenVPN hay một số giải pháp triển
khai IP c dưới dạng thiết bị chuyên dụng [1] được nghiên cứu thiết kế và tích hợp kỹ
thuật mật mã của Việt Nam bao gồm các khâu xác thực, bảo mật và toàn vẹn dữ liệu
trong đó tốc độ mã hóa, giải mã đạt khoảng 30Mb/s đối với thiết bị mã tại lớp truy
nhập và khoảng 80Mb/s đối với trung tâm mã hóa. Các cơ sở nghiên cứu trong nước
như Viện Điện tử thuộc Viện Khoa học và Công nghệ quân sự đã tổ chức nghiên cứu
đề tài cấp nhà nước về thiết kế thiết bị mật mã hiệu năng cao [3]. Tuy nhiên, việc
nghiên cứu để cải tiến về thuật toán mật mã hay những phân tích chuyên sâu về tối
ưu cài đặt các giải pháp mật mã trên phần cứng nhằm đạt hiệu quả về tốc độ, tài
nguyên sử dụng ít được đề cập.
Xuất phát từ những lý do trên, nghiên cứu sinh chọn đề tài nghiên cứu
“Nghiên cứu giải pháp nâng cao hiệu quả bảo mật thông tin trên mạng truyền số
liệu đa dịch vụ”
Nhằm nghiên cứu cải tiến, tối ưu giải pháp mật mã, ứng dụng công nghệ để
cứng hóa, tối ưu cài đặt để nâng cao hiệu năng, tốc độ trao đổi khóa, mã hóa/giải mã
dữ liệu, giải quyết các yêu cầu ngày càng phát triển cao của mạng truyền số liệu tốc
độ cao, đa dịch vụ, thời gian thực. Đây là nội dung khoa học trọng yếu của công
trình nghiên cứu được trình bày chi tiết trong luận án.
2. Mục tiêu nghiên cứu
Nghiên cứu đề xuất giải pháp cụ thể để nâng cao hiệu quả thực hiện các thuật
toán mật mã đảm bảo hiệu quả về tốc độ tính toán, tài nguyên sử dụng, an toàn và
bảo mật nhằm nâng cao hiệu quả bảo mật thông tin trên mạng truyền số liệu đa dịch
vụ.


1
3
3. Đối tượng nghiên cứu
Mạng truyền số liệu đang được sử dụng trong các cơ quan đảng, chính phủ,
quân đội và giải pháp bảo mật mạng. Tập trung vào nghiên cứu các kỹ thuật mật mã
hiện đại như mật mã khóa công khai trên đường cong elhptic, các hệ mã khối khóa
bí mật để mã hóa dữ liệu và khả năng thực hiện cứng hóa các thuật toán mật mã trên
phần cứng FPGA.
4. Phạm vi nghiên cứu
-

Luận án tập trung nghiên cứu nâng cao hiệu quả thực hiện phép nhân điểm
trên đường cong elliptic phục vụ cho bài toán trao đổi khóa trong giao thức
trao đổi khóa IKE của giao thức bảo mật IP s e c.

-

Nghiên cứu, đề xuất giải pháp cải tiến nhằm nâng cao hiệu quả thực hiện
thuật toán mã hóa dữ liệu cho bài toán bảo mật.

-

Nghiên cứu cứng hóa các thuật toán mật mã trên phần cứng FPGA.

5. Phương pháp nghiên cứu
-

Trên cơ sở kiến trúc an ninh chung của mô hình O s I, giao thức bảo mật cho
mạng truyền số liệu đa dịch vụ, thông qua khảo sát, phân tích, đánh giá các
kết quả đã nghiên cứu từ đó đề xuất các vấn đề nghiên cứu nâng cao hiệu quả
bảo mật mạng.

-

Dựa trên phương pháp phân tích lý thuyết (sử dụng lý thuyết và kỹ thuật mật
mã hiện đại), tính toán giải tích, chứng minh bằng toán học và kiểm chứng
thông qua việc cứng hóa trên phần cứng FPGA thực hiện cài đặt, mô phỏng
để chứng minh tính đúng đắn của các kết quả nghiên cứu.

6. Nội dung nghiên cứu
-

Nghiên cứu giao thức bảo mật đang được sử dụng cho mạng truyền số liệu đa
dịch vụ, đánh giá một số tồn tại trong giao thức trước yêu cầu ngày càng cao
về độ rộng băng thông, yêu cầu về tốc độ tính toán và tính thời gian thực của
các dịch vụ hoạt động trên mạng.

-

ứng dụng mật mã đường cong elliptic cho bài toán trao đổi khóa trong giao


1
4
thức ; trong đó tập trung nghiên cứu nâng cao hiệu quả thực hiện phép nhân
điểm trong mật mã đường cong elliptic nhằm cải thiện về tốc độ tính toán và
hiệu quả sử dụng tài nguyên.
-

Nghiên cứu, đề xuất cải tiến thuật toán mã hóa nhằm nâng cao hiệu quả mã
hóa dữ liệu về tốc độ, tài nguyên sử dụng.

-

Khả năng cứng hóa các nguyên thủy mật mã và thực hiện cứng hóa giải pháp
mật mã đã đề xuất trên phần cứng.

7. Ý nghĩa khoa học và thực tiễn
-

Ý nghĩa khoa học: Quá trình nghiên cứu luận án sẽ cho thấy rõ cơ sở khoa
học và kỹ thuật của việc nghiên cứu, đề xuất cải tiến thuật toán và ứng dụng
một số nguyên thủy mật mã vào bài toán bảo mật thông tin.

-

Ý nghĩa thực tiễn: Cải tiến, nâng cao tốc độ tính toán, hiệu năng thực thi các
thuật toán mật mã trên phần cứng đảm bảo tính hiệu quả, giảm thời gian tính
toán và tài nguyên sử dụng của thiết bị mã hóa khi thiết bị này phải thực hiện
đồng thời nhiều kết nối bảo mật tại cùng một thời điểm nhằm nâng cao năng
lực, khả năng hoạt động của thiết bị mã hóa đáp ứng yêu cầu bảo mật ngày
càng cao cho mạng truyền số liệu đa dịch vụ hướng tới bảo mật cho mạng
truyền số liệu chuyên dùng.

8. Bố cục của luận án
Luận án gồm 0 3 chương, phần mở đầu, kết luận, danh mục các công trình,
bài báo khoa học đã được công bố của tác giả, tài liệu tham khảo và phần phụ lục.
Chương 1 : Tổng quan về an toàn và bảo mật trong mạng truyền số liệu đa
dịch vụ.
Tổng quan về mạng truyền số liệu ; an ninh, an toàn trong mạng và các yêu
cầu đặt ra đối với bảo mật mạng the o các cơ chế an ninh được định nghĩa theo tiêu
chuẩn I s O 7498-2, nghiên cứu về giao thức bảo mật IP s ec và các nội dung cần
nghiên cứu đề xuất nhằm nâng cao hiệu quả bảo mật cho mạng đa dịch vụ; đề xuất
ứng dụng hệ mật đường cong elliptic cho giao thức trao đổi khóa (Nội dung này


1
5
được đăng trên bài báo số 1); trong đó nghiên cứu về thuật toán nhân điểm của mật
mã đường cong elliptic nhằm nâng cao hiệu quả trao đổi khóa cho các ứng dụng đề
xuất cải tiến thuật toán mã hóa để nâng cao hiệu quả trong thực thi bài toán mật mã
bảo đảm tốc độ mã hóa/giải mã.
Chương 2: Nâng cao hiệu quả thực hiện phép nhân điếm của ECC cho giao
thức trao đổi khóa.
Nghiên cứu một số thuật toán nhân điểm trong mật mã đường cong elliptic,
phân tích, so sánh đánh giá và chọn thuật toán nhân điểm th o triển khai một số
nguyên dương the o thuật toán NAF (Non Adjacent Form) tính toán trực tiếp để thực
hiện cài đặt trên phần cứng FPGA nhằm cải thiện tốc độ tính toán và hiệu quả về tài
nguyên sử dụng (Nội dung này được đăng trên bài báo số 4).
Bằng phương pháp thống kê toán học và kỹ thuật điện tử, nghiên cứu xây
dựng công thức tính số xung nhịp trung bình cho phép cộng hai số nguyên khi thực
hiện trên phần cứng làm cơ sở cho việc đánh giá tính hiệu quả của một số thuật toán
nhân số lớn ứng dụng trong mật mã (Nội dung này
được đăng trên bài báo số 2).
Thực hiện cứng hóa thuật toán nhân điểm theo NAF tính toán trực tiếp sử
dụng công nghệ FPGA (Nội dung này được đăng trên bài báo số 3, số 4).
Chương 3: Nâng cao hiệu quả thực hiện thuật toán mã hóa dữ liệu trong
bảo mật m ng truy n số liệu.
Nghiên cứu đề xuất ma trận MD s mới có tính chất mật mã tốt và đạt
hiệu năng cao khi cài đặt trên phần cứng sử dụng cho tầng tuyến tính
của các mã pháp có cấu trúc PN nhằm đạt hiệu quả về tốc độ mã hóa và
tài nguyên sử dụng cho bảo mật mạng (Nội dung này được đăng trên bài báo
số 5). Thực hiện thiết kế, mô phỏng thuật toán AE chuẩn so với thuật toán
AE với ma trận MD s mới do luận án đề xuất sử dụng công nghệ FPGA để
so sánh, đánh giá kết quả giữa lý thuyết và thực tế.


CHƯƠNG 1
T ỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT
TRONG MẠNG TRUYỀN SỐ LIỆU ĐA DỊCH VỤ
1.1.

Đ ặc điểm mạng truyền số liệu đa dịch vụ

Mạng truyền số liệu đa dịch vụ là mạng truyền dẫn tốc độ cao, công nghệ hiện
đại, sử dụng phương thức truyền chuyển mạch nhãn đa giao thức (IP/MPL s ). Kết nối
mạng tại tất cả các đầu mối đều sử dụng cáp quang tốc độ 1 00/1 000Mbps, các kết
nối đều đảm bảo tính dùng riêng, an ninh, an toàn và tính dự phòng cao, cho phép
hoạt động thông suốt 24/7 [1], [2].
Trên cơ sở hạ tầng tiên tiến và đồng bộ, mạng truyền số liệu đa dịch vụ đáp ứng
cho rất nhiều dịch vụ như: Truyền hình hội nghị ; kết nối mạng riêng ảo ; truy nhập từ
xa (Remote Access IP VPN); trao đổi dữ liệu và các dịch vụ dữ liệu, thoại IP.
Mạng truyền số liệu đa dịch vụ sử dụng giao thức TCP/IP the o mô hình OSI,
tùy the o tính chất, nhiệm vụ của từng ngành mà mạng có thể được xây dựng riêng
mang tính tương đối độc lập cho một tổ chức hoặc cơ quan. Trong đó, các tài nguyên
mạng như thiết bị mạng, dịch vụ mạng và người dùng nằm phân tán trên một phạm vi
địa lý xác định và phục vụ cho một nhu cầu xác định. The o [1], [2], [4] mạng đa
dịch vụ gồm có 3 lớp chính:
-

Lớp lõi: Các thiết bị truyền dẫn đảm bảo hoạt động cho toàn mạng.

-

Lớp biên: Gồm các thiết bị truyền dẫn đảm bảo việc cung cấp hạ tầng mạng
cho các dịch vụ.

-

Lớp truy nhập: Gồm các thiết bị truyền dẫn đảm bảo việc truy nhập cho người
dùng trên toàn mạng.
Mạng trục là xương sống của toàn bộ mạng truyền số liệu, mạng tiềm ẩn nhiều

nguy cơ về an ninh, an toàn như các truy cập trái phép hay tấn công từ các mạng lớp
biên, lớp truy nhập, mạng ATM hiện tại hay từ các vùng mạng liên thông khác. Việc
bảo đảm an toàn, an ninh mạng là hết sức quan trọng [1], [2], [18], [45]


Hình 1.1. Cấu trúc mạng truyền số liệu đa dịch vụ
1.2.

An toàn và bảo mật trong mạng truyền số liệu đa dịch vụ

1.2.1.

Một số khái niệm

chung An ninh mạng
Mô hình O SI (Open Systems Interconnection) là mô hình tương tác giữa các
hệ thống mở được tổ chức Tiêu chuẩn quốc tế - ISO (the International Organization
for Standardization) đề xuất qua tiêu chuẩn I S O 7498 [29]. An ninh mạng là một
trong những vấn đề cơ bản của mạng, vì thế sau khi đưa ra mô hình O SI, I S O đã đề
xuất kiến trúc an ninh (security architecture) qua tiêu chuẩn I S O 7498-2 [30], trong
đó định nghĩa các thuật ngữ, khái niệm cơ bản trong an ninh mạng và kiến trúc an
ninh cho O s I. An ninh trong môi trường O s I là tổng hợp những biện pháp bảo toàn
tài nguyên và tài sản của hệ thống mạng trong quá trình tương tác giữa các hệ thống
mở. Th o đó đối tượng bảo vệ của hệ thống an ninh mạng gồm:
-

Thông tin và dữ liệu (bao gồm cả phần mềm và dữ liệu thụ động liên quan đến
biện pháp an ninh)

-

Các dịch vụ truyền thông và dịch vụ xử lý dữ liệu

-

Các thiết bị và phương tiện mạng


Nguy cơ là những sự cố tiềm tàng, có thể gây ra những tác động không mong
muốn đến hệ thống mạng truyền số liệu; Khả năng bị tấn công là bất kỳ điểm yếu nào
trên hệ thống có thể bị lợi dụng để tạo ra sự cố cho hệ thống mạng; Tấn công là hành
động cố ý tác động lên một hoặc nhiều thành phần của hệ thống nhằm buộc một nguy
cơ nào đó xảy ra.
1.2.1.2.

Các dịch vụ an ninh

Các dịch vụ an ninh là các dịch vụ bổ sung tính năng an toàn an ninh cho hệ
thống và được thiết kế để chống lại một số dạng tấn công xác định. Các dịch vụ này
thường được phân loại như sau [62]:
Xác thực: Đảm bảo một người dùng khi tham gia vào hệ thống phải là chính
họ, từ lúc khởi tạo cho đến khi kết thúc một phiên giao dịch.
Kiểm soát truy nhập: Bên cạnh dịch vụ xác thực, kiểm soát truy nhập là dịch
vụ kiểm soát/giới hạn các truy nhập vào một hệ thống hoặc một ứng dụng trên mạng.
An toàn dữ liệu: Dịch vụ này nhằm bảo vệ dữ liệu trước các tấn công thụ
động. Điều này không những chỉ đối với nội dung các gói tin mà còn bao gồm cả việc
giữ bí mật điểm đầu và điểm cuối của gói tin.
Toàn vẹn dữ liệu: Mục đích của dịch vụ này là để phát hiện các thay đổi dữ
liệu trong quá trình truyền thông.
Chống chối bỏ: Tính chất này nhằm giải quyết vấn đề một thực thể tham gia
truyền thông chối bỏ hành động gửi/nhận dữ liệu của mình, cả hai phía của một giao
dịch đều có thể chứng minh việc phía bên kia đã gửi/nhận dữ liệu.
Tính sẵn sàng: Các tài nguyên trên mạng cần phải luôn sẵn sàng với các truy
nhập hợp lệ. Kẻ tấn công sẽ không thể ngăn chặn hoặc làm gián đoạn truy nhập tới
các tài nguyên này.
1.2.2.

Các cơ chế an ninh dựa trên mật mã

Cơ chế an ninh là tổ hợp những thao tác kỹ thuật cụ thể, được sử dụng để tạo
ra dịch vụ an ninh [55]. Những cơ chế an ninh này được trình bày chi tiết ở nhiều tài
liệu, the o I s O 7498-2 chúng được mô tả sơ lược như sau:


1.2.2.1.

Cơ chế mã hóa (encryption mechanism)

Cơ chế mã hóa được sử dụng để bảo mật cho dữ liệu được truyền thông trên
kênh. Hai loại chính là mật mã đối xứng và không đối xứng.
-

Mật mã đối xứng, còn gọi là hệ mật khoá bí mật, là hệ mật mà trong đó có thể
tìm ra khoá được sử dụng để giải mã (khoá giải mã) từ khoá được sử dụng để
mã hoá (khoá mã) và ngược lại.

-

Mật mã không đối xứng, còn gọi là hệ mật khoá công khai, là hệ mật mà trong
đó không thể tìm ra khoá giải mã từ khoá mã và ngược lại. Khoá mã còn được
gọi là khoá công khai, khoá giải mã còn được gọi là khoá riêng.

1.2.2.2.

Cơ chế chữ ký điện tử (digital signature mechanism)

Bản chất của cơ chế chữ ký điện tử là chữ ký chỉ có thể được tạo ra từ những
thông tin riêng, đặc trưng của người ký. Khi kiểm tra chữ ký, có thể xác minh rằng chỉ
có người có thông tin riêng đó mới tạo ra được chữ ký, nói cách khác chữ ký điện tử
được sử dụng để khẳng định tính pháp lý của thông tin được gửi đi trên mạng.
Cơ chế chữ ký điện tử gồm có hai thuật toán là tạo chữ ký (là bí mật và duy
nhất chỉ có người ký mới có) và kiểm tra chữ ký (được phổ biến công khai). Trong thủ
tục ký vào thông điệp, người gửi thông điệp (đồng thời là người ký) sử dụng thuật
toán tạo chữ ký để tính toán ra chữ ký (thường là một chuỗi nhị phân có độ dài cố
định) từ thông điệp cần ký. Trong thủ tục kiểm tra chữ ký, người kiểm tra chữ ký
(thường đồng thời là người nhận thông điệp) sử dụng thuật toán kiểm tra chữ ký công
khai của người gửi để xác minh chữ ký gửi kèm thông điệp có đúng là đã được tạo ra
từ người gửi hay không.
1.2.2.3.

Cơ chế kiểm soát truy nhập (access control mechanism)

Loại cơ chế này sử dụng danh tính xác thực của một thực thể để xác định và áp
đặt các quyền truy nhập phù hợp cho thực thể đó. Nếu một thực thể tìm cách sử dụng
tài nguyên mà nó không có quyền truy nhập hoặc cách thức truy nhập của nó không
thích hợp thì chức năng kiểm soát truy nhập sẽ ngăn chặn truy nhập đó và có thể ghi
lại sự việc đã xảy ra như là một phần của bản ghi vết kiểm toán phục vụ cho hoạt


động kiểm tra sau này.
1.2.2.4.

Cơ chế toàn vẹn dữ liệu (data integrity mechanism)

Toàn vẹn dữ liệu có thể là sự toàn vẹn của một gói dữ liệu hoặc sự toàn vẹn
của một luồng dữ liệu. Việc xác định tính toàn vẹn của một gói dữ liệu được thực hiện
thông qua hai tiến trình, tại thực thể gửi và tại thực thể nhận. Thực thể gửi chắp vào
sau gói dữ liệu một giá trị được tính toán từ bản thân gói dữ liệu đó thông qua hàm
một chiều, giá trị này được gọi là giá trị tóm lược thông điệp - message digest. Thực
thể nhận, sau khi nhận được gói dữ liệu sẽ tách phần dữ liệu và giá trị tóm lược, thực
hiện tính toán giá trị tóm lược từ phần dữ liệu và so sánh nó với phần nhận được, tức
là giá trị tóm lược đã được thực thể gửi gắn vào gói dữ liệu, từ đó sẽ xác định được dữ
liệu có bị sửa trong quá trình truyền hay không.
Đối với toàn vẹn luồng dữ liệu, ngoài việc thực hiện bảo đảm tính toàn vẹn của
từng gói dữ liệu, người ta còn chắp thêm một số thông tin phụ trợ như số thứ tự của
gói tin, t em thời gian,... vào phần đầu của mỗi gói dữ liệu trước khi tính toán và chắp
giá trị tóm lược thông điệp. Nhờ vậy, luồng dữ liệu sẽ được xác minh là có toàn vẹn
hay không.
1.2.2.5.

Cơ chế trao đổi xác thực (authentication exchange mechanism)

Cơ chế trao đổi xác thực được đặt trong một tầng của mô hình mạng phân tầng
nhằm xác thực các thực thể liên kết. Nếu một thực thể không xác thực được, nó sẽ
không thể kết nối được đến thực thể đích và hệ thống trên trạm đích sẽ ghi lại quá
trình yêu cầu kết nối, cũng như các thao tác cụ thể mà nó đã thực hiện vào một bản
ghi vết kiểm toán nhằm phục vụ quá trình kiểm tra sau này. Có nhiều kỹ thuật được sử
dụng để tạo ra trao đổi xác thực, như mật khẩu, kỹ thuật mật mã., khi sử dụng kỹ thuật
mật mã kết hợp với giao thức bắt tay có thể chống lại được việc phát lặp lại các gói tin
trên kênh. Trao đổi xác thực cũng có thể được sử dụng cùng với dịch vụ chống thoái
thác nhằm chứng minh trách nhiệm gửi/nhận thông tin trên mạng .
1.2.2.6.

Cơ chế đệm truyền thông (traffic padding mechanism)

Cơ chế đệm truyền thông thực hiện chắp thêm các dữ liệu "bù" vào gói tin để


bảo đảm kích thước của tất cả các gói tin được truyền trên kênh là bằng nhau. Cơ chế
này phải được sử dụng kết hợp với cơ chế mật mã mới có hiệu quả, vì khi đó tất cả
các gói tin trên kênh đều có kích thước như nhau, đều được mã hoá, do vậy việc dò
tìm thông tin thông qua phân tích thông lượng kênh của đối phương sẽ khó thành
công.
1.2.2.7.

Cơ chế kiểm soát chọn đường (routing control mechanism)

Cơ chế kiểm soát chọn đường thực hiện việc phân tích và áp đặt tuyến đường
trên kênh cho luồng dữ liệu, tuyến đường đó có thể được chọn tự động (dynamic
routing) hoặc được xếp đặt trước (static routing) nhằm chọn ra tuyến đường an toàn
cho luồng dữ liệu. Việc chọn đường liên quan đến nhãn an ninh của dữ liệu, với mỗi
nhãn an ninh nhất định (xác định mức độ nhạy
cảm của dữ liệu) cần phải chọn ra tuyến đường có độ an toàn tương xứng. I.2.2.8. Cơ
chế kiểm chứng (notary mechanism)
Cơ chế kiểm chứng thực hiện xác minh các thuộc tính của dữ liệu truyền thông
giữa hai hay nhiều thực thể như tính toàn vẹn, thời gian truyền/nhận và đích của dữ
liệu. Lời bảo đảm này được một tổ chức công chứng trung gian mà các thực thể truyền
thông đều tin cậy và công nhận. Trên tuyến đường giữa cặp thực thể truyền thông có
nhiều đoạn, mỗi đoạn truyền thông có thể sử dụng chữ ký số, kỹ thuật mật mã và toàn
vẹn một cách thích hợp để tổ chức công chứng tại đó có thể xác minh. Khi cần kiểm
chứng, dữ liệu truyền giữa các thực thể sẽ được gửi tới công chứng viên để xác nhận.
1.2.3.

Vị trí đặt dịch vụ an ninh theo m ô hình mạng ph ân tầng

Trên thực tế, khi tiến hành xây dựng giải pháp bảo vệ an ninh trong mạng phân
tầng cần phải kết hợp nhiều dịch vụ an ninh để việc bảo vệ có hiệu quả cao nhất. I s O
7498-2 [30] đề ra những nguyên tắc xây dựng hệ thống an ninh như sau:
-

Hệ thống an ninh mạng được xây dựng bằng các dịch vụ an ninh ở nhiều tầng.

-

Chức năng được thêm vào theo yêu cầu an ninh không được giống hệt như
chức năng có sẵn của các tầng trong O s I.

-

Không vi phạm tính độc lập của các tầng và tối thiểu hoá số chức năng tin cậy.


-

Các chức năng an ninh thêm vào một tầng cần được định nghĩa sao cho chúng
phải được thực hiện như những modul e hoàn chỉnh.
Trên thực tế mô hình mạng phân tầng được sử dụng rộng rãi là TCP/IP với bốn

lớp mạng, Hình 1.2 thể hiện sự so sánh giữa mô hình O s I với
TCP/IP.

Hình 1.2. So sánh OSI và TCP/IP
Các dịch vụ an ninh trong TCP/IP được đặt tương ứng như sau:
-

Tại tầng Truy nhập mạng (network acc ess) có thể đặt dịch vụ bảo mật hướng
kết nối và bảo mật luồng truyền thông.

-

Tại tầng IP có thể đặt dịch vụ bảo mật phi kết nối và bảo mật luồng truyền
thông.

-

Tầng giao vận có thể đặt dịch vụ bảo mật hướng kết nối và phi kết nối.

-

Tại tầng ứng dụng có thể đặt tất cả các dịch vụ bảo mật. Riêng dịch vụ bảo mật
trường lựa chọn chỉ có thể đặt tại tầng ứng dụng.

1.2.4.

Ý nghĩa của việc sử dụng mật mã trong b ảo mật tại tầ ng IP [4]

TCP/IP là một giao thức chuẩn của Internet và được hầu hết các ứng dụng trên
mạng hỗ trợ. Các dịch vụ dùng giao thức TCP/IP như thư điện tử, cơ sở dữ liệu, dịch
vụ We b, truyền fil e, truyền hình ảnh, âm thanh,... dữ liệu của các ứng dụng này được
chứa trong các gói IP và được bảo vệ nhờ các dịch vụ an toàn tại tầng Network. Mỗi
mạng con chỉ cần có một thiết bị bảo vệ gói IP và là một Gateway để cho phép tất cả


các gói tin IP phải chuyển qua nó trước khi ra kênh công khai [9], [63].
Không phải can thiệp và sửa đổi các ứng dụng hiện có và trong suốt đối với
người dùng: Do được đặt tại tầng Network nên các dịch vụ an toàn không cần quan
tâm đến ứng dụng tạo ra dữ liệu chứa trong gói IP. Tất cả các gói IP của các dịch vụ
thông tin khác nhau đều được xử lý the o một cách chung. Chính vì vậy, chúng ta
không cần phải can thiệp và sửa đổi cấu trúc của ứng dụng cần bảo vệ. Toàn bộ các
thao tác bảo vệ gói IP được thực hiện một cách trong suốt với người sử dụng, người
dùng không cần phải can thiệp vào quá trình thực hiện các dịch vụ an toàn và cũng
không cần phải thực hiện các thao tác làm việc với ứng dụng.
Tăng cường khả năng của Fire wall: Chúng ta biết rằng có một số tấn công đối
với Fire wall lọc gói như soi gói, giả địa chỉ nguồn, chiếm kết nối,... Những tấn công
này không thể phát hiện ra nếu chỉ dùng các luật lọc gói. Khi cài đặt các dịch vụ an
toàn bằng kỹ thuật mật mã tại tầng Network, các tấn công trên sẽ bị ngăn chặn. Ngược
lại bảo vệ gói tin IP bằng kỹ thuật mật mã không thể ngăn chặn các gói bằng cách dựa
vào các luật lọc gói. Nếu kết hợp chức năng lọc gói và chức năng bảo vệ gói IP bằng
kỹ thuật mật mã chúng ta có thể tạo ra các Fire wall có độ an toàn cao.

Hình 1.3. Mô hình bảo mật tại tầng IP
Giảm số đầu mối can thiệp dịch vụ an toàn: Khi cài đặt dịch vụ an toàn tại mức
ứng dụng và mức vận tải, chúng ta chỉ có thể tạo ra một kênh an toàn giữa hai hệ
thống đầu cuối, ngh a là giữa hai thiết bị đầu cuối có thông tin cần trao đổi được bảo


vệ. Khi hệ thống đầu cuối trong mạng nội bộ được tăng lên, số đầu mối cần can thiệp
dịch vụ an toàn cũng sẽ tăng th o. Điều này dẫn đến những khó khăn về chi phí, quản
trị hệ thống, huấn luyện đào tạo sử dụng..., Do can thiệp mật mã tại tầng N twork, nên
chúng ta có thể tạo ra các Gat way có khả năng chặn bắt và bảo vệ gói IP của tất cả
các thiết bị trong mạng nội bộ và dịch vụ an toàn chỉ cần tích hợp tại Gate way này.
Cho phép bảo vệ dữ liệu của một số ứng dụng thời gian thực: Việc sử dụng
mật mã tại tầng khác trong mô hình I O không phải lúc nào cũng thực hiện được. Hơn
nữa các ứng dụng thời gian thực đòi hỏi các luồng dữ liệu phải được chuyển gần như
tức thời, không cho phép tr lâu (ví dụ thoại, truyền hình.). Với các ứng dụng như vậy,
việc cài đặt các dịch vụ an toàn tại tầng Network và tầng truy cập mạng là phù hợp.
Tuy nhiên việc can thiệp vào tầng truy cập mạng có hạn chế là phải dùng phương thức
mã th o tuyến, tại các nút trung gian dữ liệu phải giải mã để tìm ra thông tin định
tuyến sau đó được mã lại để đi tiếp, điều này rất phức tạp và làm tr gói tin rất lớn do
quá trình mã hóa, giải mã nhiều lần. Khi cài đặt tại tầng N twork chúng ta dùng
phương thức mã hóa từ mút tới mút [63], trong đó he ad e r truyền thông được để ở
dạng rõ và gói IP không cần phải giải mã, mã hóa tại các nút truyền thông trung gian.
Một số hạn chế của việc bảo vệ dữ liệu tại tầng IP:
-

Khó có khả năng cài đặt một số dịch vụ an toàn đặc biệt là dịch vụ xác thực
thực thể và chống chối bỏ.

-

Chỉ có một cơ chế bảo vệ cho tất cả các dữ liệu của các ứng dụng.

-

Khi các đầu mối trong mạng nội bộ tham gia lớn thì việc cùng lúc phải phục vụ
cho nhiều dịch vụ bảo mật và nhiều hướng kết nối nên đòi hỏi băng thông cao,
tốc độ xử lý mã hóa, giải mã phải lớn để đáp ứng các yêu cầu của thực tế. Đây
chính là vấn đề được luận án quan tâm nghiên cứu giải quyết.

-

Đòi hỏi người quản trị hệ thống phải có kiến thức tốt về công nghệ và quản trị
mạng.

-

Mạng nội bộ phía bên trong Gateway bảo vệ gói IP phải tự chủ động về khâu
bảo đảm an toàn, an ninh.


1.2.5.

Bảo mật trong mạng truyền số liệu đa dịch vụ

Các nghiên cứu về bảo mật đối với mạng truyền số liệu đa dịch vụ chủ yếu
được giải quyết tại lớp biên hoặc lớp truy cập, thiết bị bảo mật được đặt giữa vị trí
mạng nội bộ bên trong với mạng truyền số liệu diện rộng, hoặc là bảo mật đầu cuối đầu cuối, nền tảng công nghệ chính tại các lớp này đó là IP, vì vậy giải pháp bảo mật
chính là xử lý bảo mật tại tầng IP [1], [2], [7], [32]. Tại vị trí này, các thiết bị truyền
dẫn (thông thường là các route r hoặc gateway) sẽ được xây dựng sẵn hoặc tích hợp
các thiết bị cung cấp dịch vụ bảo mật sử dụng mật mã. Thực tế, giải pháp phổ biến và
hiệu quả nhất đó là tạo ra các mạng riêng ảo (VPN - Virtual Privat e Network). Mỗi
VPN sẽ tạo ra một ‘ ‘đường hầm’ ’ ảo kết nối giữa 2 điểm đầu cuối. Các dữ liệu trao
đổi bên trong đường hầm sẽ được mã hóa bằng kỹ thuật mật mã. Hình 1.4 là mô hình
giải pháp bảo mật dữ liệu trên đường truyền đặt giữa nút mạng nội bộ và mạng truyền
số liệu diện rộng th o công nghệ IP sử dụng giao thức bảo mật IPSec.
VPN cung cấp tính năng bảo mật bằng cách sử dụng các giao thức đường hầm
(tunneling protocol) và qua các thủ tục bảo mật như mã hóa. Mô hình bảo mật VPN
cung cấp:
-

Tính bí mật: Kể cả khi mạng bị chặn thu ở mức gói tin, kẻ tấn công chỉ thấy
được các dữ liệu đã mã hóa.

-

Xác thực người gửi: Ngăn người sử dụng truy cập trái phép VPN.
- Toàn vẹn thông điệp : Phát hiện các thông điệp giả mạo hay bị sửa đổi.
Các giao thức VPN an toàn phổ biến được phát triển bao gồm [7], [31], [32],

như IPSec (Internet Protocol Security), SSL/TLS (Secure Sockets Layer/Transport
Layer Security), DTLS (Datagram Transport Layer Security), MPPE (Microsoft
Point-to-Point Encryption), SSTP (Microsoft Secure Socket Tunneling Protocol), SSH
VPN (Secure Shell).
Trong đó giao thức IP s e c đáp ứng hầu hết các mục tiêu an ninh: Xác thực,
tính toàn vẹn và bảo mật, IP s e c mã hóa và đóng gói gói tin IP bên trong gói tin IP s
ec, giải mã các gói tin IP gốc ở cuối đường hầm và chuyển tiếp đến đích.


x

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×