HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÁO CÁO CHUYÊN ĐỀ BỘ MÔN : THÔNG TIN VÔ TUYẾN CHUYÊN ĐỀ: CÔNG NGHỆ AN NINH TRONG MIP Giáo viên hướng dẫn : Nguyễn Viết Minh Nhóm sinh viên : Mai Công Đại Nguyễn Quang Trung Lê Tuấn Tiến HÀ NỘI - 2010 Mục Lục Mục lục 1 Lời mở đầu 2 1. TỔNG QUAN VỀ MIP (Mai Công Đại) 3 1.1. Khái niệm chung về MIP 3 1.2. Các thực thể của MIP 4 1.3. Tổng quan giao thức 6 1.4. Các phần tử logic của MIP 7 II. NGUY CƠ AN NINH VỚI MIP (Nguyễn Quang Trung ) 7 2.1. Các đe doa an ninh trong sơ đồ MIP 7 III. GIẢI PHÁP AN NINH TRONG MIP (Lê Tuấn Tiến ) 7 3.1. Môi trường an ninh của MIP 7 3.1.1. Liên kết an ninh IPSec 8 3.1.2. Trang bị các khóa đăng ký trong MIP 8 3.2. Giao thức đăng ký MIP cơ sở 9 3.2.1. Các phần tử số liệu và các giải thuật trong giao thức MIP 9 3.2.2. Hoạt động của giao thức đăng ký MIP 11 IV.KỊCH BẢN AN NINH TRONG MỘT SỐ TRƯỜNG HỢP (Nguyễn Quang Trung) 14 4.An ninh trong thông tin MN đến MN 14 Kết luận 15 LỜI MỞ ĐẦU Thông tin di động đang phát triển như vũ bão trên phạm vi toàn cầu. Tốc độ phát triển có thể được ghi nhận thông qua số lượng điện thoại di động tiêu thụ liên tục tăng và việc ra đời nhiều dịch vụ và ứng dụng mới. Các giao dịch kinh doanh cũng được thực hiện qua mạng di động ngày một nhiều vì thời gian xử lý công việc nhanh chóng hơn. Và để đảm bảo cho công việc kinh doanh thì vấn đề an ninh cần phải đặt lên hàng đầu. Cần phải có các biện pháp an ninh để giảm thiểu các rủi ro huỷ hoại dịch vụ, tránh thất thoát lợi nhuận và duy trì mức độ thoả mãn cho khách hàng sử dụng. Các hệ thống thông tin di động thế hệ hai chủ yếu được thiết kế cho thông tin thoại dựa trên chuyển mạch kênh. Các hệ thống thông tin di động thế hệ ba được thiết kế để đáp ứng nhu cầu truyền số liệu không ngừng tăng. Trong giai đoạn đầu cả chuyển mạch kênh và chuyển mạch gói đều được sử dụng. Tuy nhiên trong quá trình phát triển chuyển mạch gói dần thay thế chuyển mạch kênh. Mục đích cuối cùng của các hệ thống thông tin di động thế hệ ba là tiến tới một hệ thống thông tin di động “toàn IP”. Di động IP đòi hỏi máy di động đầu cuối phải có địa chỉ IP thay đổi tương ứng để xác định vị trí hiện thời của nó. Giao thức internet di động ( MIP: Mobile Internet Protocol) được thiết kế để đáp ứng đòi hỏi này. I.TỔNG QUAN VỀ MIP Đề suất tốt nhất để xử lý chuyển giao di động vĩ mô la MIP. MIP đã được phát triển nhiều năm tai IETF, đầu tiên là V4 (Version 4: phiên bản 4) và hiện nay là V6 (Version 6:phiên bản 6). Trong MIP không phu thuộc vào điểm nối mạng hiên thời, máy di động luôn luôn được nhận dạng địa chỉ nhà của nó. Khi ra khỏi mạng nhà, máy di động nhận được một địa chỉ khác được gọi la CoA (Care Of Address: Chăm sóc địa chỉ) liên quan đến vị trí hiện thời của máy di động.MIP giải quyết vấn đề di động bằng cách lưu giữ một chuyển đổi động giữa nhận dạng cố định và CoA của máy di động. 1.1. Khái niệm chung về MIP MIP là sự cải tiến của IP cho phép tiếp tục thu các bó số liệu ở mọi nơi mà các bó số liệu này nhập mạng. Nó bao gồm một số các bản tin điều khiển bổ sung cho phép các nút IP liên quan quản lý tin vậy các bảng định tuyến IP của chúng. Năm đặc trưng sau là các yêu cầu chủ đạo mà mọi giao thức MIP phải thỏa mãn: - Một nút di động phải có khả năng liên lạc với các nút khác sau khi thay đổi điểm nhập Internet ở lớp liên kết của nó. - Nút di đông phải có khả năng liên lạc với các nút khác không áp dụng MIP.không cần thêm bất cứ giao thức nào ở các máy đầu cuối hoặc các router nếu như chúng không thực hiện các chức năng của một hay nhiều thực thể có kiến trúc moi. - Tất cả các bản tin về vị trí được sử dụng để phát đến các nút khacsphair được nhận thực để bảo vệ chống lại các tấn công làm lệch hướng. - Liên kết để nút di động nhập mạng thường là liên kết vô tuyến. Liên kết này có thể có độ rộng băng nhỏ hơn và tỉ lệ nỗi cao hơn các mạng hữu tuyến thong thường. Ngoài ra nút di động sử dụng nguồn acqui nên việc tối thiểu hóa tiêu thụ công suất là rất quan trọng. Vì thế các bản tin quản trị được phát trên liên kết mà ở đó nút di động trực tiếp nhập mạng phải được tối thiểu hóa và kích cỡ của bản tin này phải càng nhỏ càng tốt. - MIP không gây ra các han chế cho việc bổ sung cho việc ấn định các địa chỉ IP. Nghĩa là tổ chức sở hữu nút di động có thể ấn định địa chỉ IP cho nó và bằng mọi bộ máy giao thức do tổ chức này quản lý Mục đích của MIP là để cho phép nut chuyển động từ một mạng con IP này đến một mạng côn IP khác. Nó phù hợp cho việc di động qua các môi trường không đồng nhất lẫn các môi trường đồng nhất. Nghĩa là MIP tạo điều kiện cho việc di động từ một đoạn Enthernet này đến đoạn Ethernet khác cũng như cho phép di động từ một đoạn Ethernet này đến LAN vô tuyến trong khi vẫn giữ nguyên địa chỉ IP của nút sau khi chuyển dịch. Ta có thể coi rằng MIP là một giải pháp cho vấn đề quản lý tính di động vĩ mô. Khi không có sự chuyển dịch giữa các điểm nhập các mạng con khác nhau, cơ chế lớp liên kết đối với di động (chẳng hạn chuyển giao ở lớp liên kết) có thể cung cấp nhiều giải pháp khác nhau với các ưu nhược điểm kỹ thuật khác nhau so với MIP. Chẳng hạn IEEE đã tiêu chuẩn hoá một giải pháp cho di động vô tuyến trong tiểu ban IEEE 802.11 của mình (1994). Lưu ý rằng MIP không đưa ra bất cứ một yêu cầu nào đối với hoạt động của lớp 2 (lớp liên kết) tại nút di động. Điều này có nghĩa là có thể quản lý tính di động của một nút không phụ thuộc vào bản chất vật lý của liên kết nút này đến Internet. MIP làm việc tốt cho các nút di chuyển từ một Ethernet này đến Ethernet khác cũng như khi nút này di chuyển từ một BTS này đến BTS khác sử dụng kết nốt vô tuyến chừng nào các liên kết này được thiết lập tốt như nhau. Một số giao thức lớp 2 xử lý tính di động nút theo cách hạn chế. MIP có thể vẫn làm việc với các giao thức lớp 2 này để đảm bảo tính di động ở vùng phủ rộng hơn, vì các lớp 2 rất khó cung cấp tính di động trên các mạng con IP. 1.2. các thực thể của MIP MIP dựa vào các thực thể chức năng sau: MN (Mobile Node: Nut di động) là máy hay router thay đổi điểm nhập mạng từ một mạng hay một mạng con này đến một mạng con khác. Nút di động có thể thay đổi vị trí của mình mà không thay đổi vị trí của nó. Nó có thể duy trì liên lạc với các nút Internet khác tại mọi vị trí khi vẫn giữ nguyên địa chỉ Internet của mình với giả thiết rằng vẫn có kết nối lớp liên kết đến điểm nhập mạng. CN (Correspondent Node: Nút đối tác) là máy di động hoặc cố định với máy di động MN được xét. HA (Home Agrent: Tác nhân nhà) là một router ở mạng nhà của nút di động có nhiệm vụ truyền đường hầm (Tunnel) các bó số liệu đếm nút di động khi nút này ra khỏi mạng nhf và duy trì thông tin vị trí cho nút di động. FA (Foreign Agent: Tác nhân ngoài) là một router tại mạnh ngoài để định tuyến các dịch vụ đến nút di động nơi nút này đăng ký tạm trú. Tác nhân ngoài gử trả lời theo đường hầm và chuyển các bó ssoos liệu được chuyển đường hầm từ tác nhân nhà của các nút di động đến nút di động. Mỗi nút di động được gán một địa chỉ IP dài hạn tại mạng nhà. Địa chỉ nhà này được xử lý theo cách hành chính như một địa chỉ IP cố định được cung cấp cho máy đầu cuối cố định. Khi đi khỏi mạng nhà của mình, một COA (Care of Address: chăm sóc địa chỉ) được liên kết với nút di động để phản ảnh điểm nhập mạng hiện thời của nút di động. Nút di động sử dụng địa chỉ nhà của mình làm địa chỉ nguồn cho tất cả các bó số liệu IP do nó gửi đi trừ phi khi nó đang đăng ký (nếu xẩy ra) để bắt một địa chỉ mới. Tổng quan các thực thể của MIP và một số mạng nhà và ngoài được cho ở hình 4.1. Trên sơ đồ có hai mạng ngoài: B và C với hai tác nhân ngoài, hai mạng nhà: A và D với hai tác nhân nhà và các nút MIP có thể nhập các mạng ngoài khác nhau bằng vô tuyến hoặc hồng ngoại. Các đường hầm đi từ các tác nhân nhà qua Internet toàn cầu và cuối cùng đến các tác nhân ngoài để chuyển bó số liệu. Tổng quan các thưc thể của MIP và một số mạng nhà và ngoài được cho ở hình : Vị trí của máy di động(MN) Mạng ( mạng con ) nhà Đóng bao IP trong IP Mạng(mạng con) ngoài Tác nhân ngoài (AF) Máy di động (MN) Tác nhân nhà (HA) Bỏ số liệu từ máy đối tác chuyển sang tác nhân nhà Máy đối tác (CH) Bỏ số liệu từ máy di động được truyền trực tiếp đến đối tác, định tuyến IP bình thường Hình 1: (a) Đăng ký tam giác và định tuyến (b) Đóng bao gói (c) Tối ưu Trên hình 1.1 có hai mạng ngoài B và C với hai tác nhân ngoài, hai mạng nhà A và D với hai tác nhân nhà và các nút MIP có thể nhập các mạng ngoài khác nhau bằng vô tuyến hoặc hồng ngoại. 1.3. Tổng quan giao thức Về bản chất MIP là một phương thức để thực hiện ba chưc năng tương đối cách biệt: - phát hiện tác nhân: các HA và FA có thể quảng cáo khả năng sẵn sàng của mình trên các liên kết mà chúng phục vụ. Một nút di động mới đến có thể phát một mời chào trên đường này để biết được xem có tác nhân trển vọng nào không. - Đăng ký: khi một MN ròi khỏi mạng nhà nó đăng ký CoA vói HA. Phụ thuộc vào phương pháp nhập mạng của mình, MN có thể đăng ký trực tiếp với HA của mình hay thông qua FA, tác nhân này nhận nhiệm vụ chuyển đăng ký của nó đến tác nhân nhà. Tiêu đề mới: Địa chỉ nguồn= địa chỉ HA Địa chỉ nơi nhận: CoA của FA Giao thức= IP trong IP Tiêu đề gốc: Địa chỉ nguồn = địa chỉ máy đối tác (CH) Địa chỉ nơi nhận= địa chỉ nhà của máy di động (MN) Tải tin gói gốc IP Tải tin gói IP mới chứa Toàn bộ gói IP gốc Vị trí của máy di động (MN) Mạng ( mạng con ) nhà Mạng(mạng con) ngoài Máy di động (MN) Tác nhân nhà (HA) Cập nhật ràng buộc tối ưu cho định tuyến (v4) Máy đối tác (CH) Bỏ số liệu được định tuyến trực tiếp từ CH đến MN Đóng bao IP trong IP Cập nhật ràng buộc tối ưu cho định tuyến (v6) - Truyền đường hầm (Tunneling): để chuyển bó số liệu đến nút di động khi nút này ra khỏi mạng nhà, tác nhân nhà phải truyền đường hầm các bó số liệu đến CoA Các hoạt động của một giao thức MIP : - Các tác nhân di động (các FA hay HA) quang cáo sự tồn tại của chúng thông qua các bản tin quảng cáo cá nhân. Nút di động có thể mời chào để đón nhận một bản tin quảng cáo tác nhân từ một tác nhân di động địa phương bằng cách sử dụng bản tin mòi chào tác nhân. - Nút di động thu nhận quảng cáo tác nhân và xác định xem đây là quảng cáo ở mạng nhà của nó hay mạng ngoài - Khi MIP phát hiện rằng nó đang ở mạng nhà, nó sẽ hoạt động không cần các dịch vụ di động. Nếu khi trở về amngj nhà từ một nơi đăng ký khác, nút di động đăng ký với tác nhân mạng nhà của mình thông qua quá trình đăng ký bình thường. - Khi nút di động phát hiện rằng nó đã chuyển đến một mạng ngoài, nó nhận CoA ở mạng ngoài này. CoA có thể hoặc là FA . - Nút di động hoạt động ở ngoài mạng nhà khi này đăng ký CoA mới với HA thông qua trao đổi yêu cầu dăng ký và bản tin trả lời đăng ký. - HA nhận các bó số liệu được phát đến địa chỉ nhà của nút di động, chuyển chúng theo đường hầm đến CoA của nut di động, ở đầu cuối tunnel bó số liệu được thu lại. Nếu điểm cuối này là FA thì chúng chuyển tiếp đến nút di động. Hinh 1 (a) minh họa định tuyến các bó số liệu đến và đi từ MN khi nó đã đăng ký với HA của mình 1.4.Các phần tử logic của MIP Nguồn gốc của IPv4 và các mạng thông tin tổ ong số rất khác nhau. Tuy nhiên tại mức logic, các phần tử của kiến trúc MIP rất phù hợp với các khái niệm quen thuộc từ các mạng tổ ong số. Chẳng hạn dưới sự điều khiển của MIP mỗi thiết bị máy tính di động có một mạng nhà giống như một máy thoại di động trong GSM có mạng nhà. Trong mạng nhà này ở MIP hệ thống phần mềm vớ tên gọi là HA được sử dụng trong một nút mạng. Chức năng đầu tiên của HA là lưu giữ các thông tin bao gồm cả các khóa mật mã cho các máy tính di động (các MN) trực thuộc mạng nhà.HA cũng theo dõi vị trí hiện thòi của MN mà nó chịu trách nhiệm. Ngoài ra mỗi MS trong MIP đều có một địa chỉ logic cố định địa chỉ IP của mình trong mạng nhà, chúng giống như mỗi máy di động GSM co địa chỉ duy nhất lạp trong SIM. Dưới sự điều khiển của giao thức IP khi MN nằm nhoài miền điều khiển của mạng nhà, nó có thể thiết lập kết nối Internet tyhoong qua một mạng con Internet khác để hỗ trợ di động. Mạng con này sẽ có các cổng vô tuyến (các bộ phát thu) để trao đổi tín hiệu với MN. Mỗi mạng con này có một hệ thống FA. II. NGUY CƠ AN NINH VỚI MIP 2.1. Các đe dọa an ninh trong MIP Thực tế các thách thức lớn nhất là đối mặt coi giả mạo MIP. Giống như trường hợp mạng tổ ong, đường thuyền vô tuyến giữa MN và FA bị để lộ cho kẻ nghe trộm và có thể bị tấn công và giả mạo. Tuy nhiên không giông như các mạng tổ ong , truyền thông trong Internet hữu tuyến không diễn ra trong mạng riêng của một hay nhiều nnhaf cung cấp dịch vụ thông tin vô tuyến riêng mà trên chính Internet. Vì thế đe dọa an ninh trong phần hữu tuyến lớn hơ so với trường hợp tổ ong số. Có hai vùng để lộ trong MIP: - khả năng một nút thù địch giả mạo nhận dnagj một nút di động và chuyển hướng các gói đến nút di động này sang các vị trí mạng khác. - Khả năng các nút thù địch (từ các miền nhà khai thác khác nhau) phát động tấn công lẫn nhau khi các nút này sử dụng các tài nguyên mạng và các dịch vụ chung do mạng con hỗ trợ di động cung cấp. III. GIẢI PHÁP AN NINH TRONG MIP 3.1.Môi trường an ninh của MIP Giao thức MIP quy định sử dụng MAC (Message Authentication Code: Mã nhận thực bản tin) được goi là ” các bộ nhận thực“ để nhận thực và đảm bảo toàn vẹn số liệu cho các bản tin điều khiển trao đổi giữa HA và MN. Phương pháp MAC cũng có thể được áp dụng bản tin trao đổi với các phần tử khác, chẳng hạn FA. Giải thuật MAC nhận bản tin cần truyền và một khóa bí mật lám đầu vào và tạo đầu ra là một xâu bít có độ dài cố định. Nếu máy phát và máy thu có một mã bí mật, máy thu có thể tự tạo ra MAC từ bản tin thu được. Sau đó máy thu so sánh xâu bít được tạo ra này với MAC nhận được từ bản tin. Nếu hai xâu bít chùng nhau, nó khẳng định rằng không ai lam thay đổi bản tin khi nó được truyền và nguồn phát bản tin chính la nguồn mà phía đối tác chờ đợi (với điều kiện là nguồn phát bản tin phải biết khóa bí mật này để tạo ra MAC tương ứng). 3.1.1.Liên kết an ninh IPSec SA (Security Assocation: Liên kết an ninh) là khái niệm an ninh và nhận thực cơ bản trong MIP. Một liên kết an ninh được định nghĩa trước là quan hệ một chiều giữa máy phát và máy thu. Quan hệ này định nghĩa các phương pháp an ninh Internet nào sẽ được sử dụng trong thông tin giữa máy phát và máy thu và các thông số nào được áp dụng. Trong trường hợp thông tin hai chiều, phải có liên kết an ninh, mỗi liên kết dùng cho một hướng. Các SA được sử dụng để định nghĩa tập các dịch vụ IPSec (Internet Protocol Security: An ninh giao thức Internet) được sử dụng trong IP, lớp mạng trong ngăn xếp giao thức Internet. Trong một gói IP ba thông số được sử dụng đồng thời để xác định một liên kết. Ba thông số này là: địa chỉ nhận IP( IP Distination Address), số nhận dạng giao thức an ninh (SPI: Security Protocol Identifier), để chỉ ra rằng liên kết an ninh áp dụng cho AH (tiêu đề nhận thực) hay ESP (đóng bao tải tin an ninh) và một xâu bít gọi là chỉ số các thông số an ninh( SPI: Security parameters Index) được liên kết duy nhất với liên kết an ninh này. Trong router hay trong phần tử tương ứng khác của hạ tầng nối mạng, có một file được gọi là SPD (Security Policy Database: Cơ sở dữ liệu) để định nghĩa các quy tắc dựa trên nội dung của các trường nói trên trong các gói IP. Tùy thuộc và các cài đặt trong trường SPI, vị trí máy thu, các mức và các kiểu an ninh khác nhau được áp dụng cho các gói. Điều này cho phép các phần tử chính như: MN, HA, FA và đôi khi cả CH trong phiên thông tin MIP lựa chọn chế độ an ninh phù hợp. 3.1.2.Trang bị các khóa đăng ký trong MIP Khi hạ tầng MIP phát triển rộng khắp, sẽ không thể coi rằng MN di động có liên kết trước đó với các FA trong các mạng mà nó làm khách. Một vấn đề phát sinh là làm cách nào cung cấp cho MN và FA một khóa đăng ký chung một cách an ninh tại khởi đầu phiên thông tin. Hướng giải quyết tổng thể nhất phù hợp với sự phát triển của MIP là giải quyết vấn đề này thông qua một PKI cho phép truy nhập toàn cầu, nhưng hạ tầng này chưa rộng khắp, vì thế một số giải pháp trung gian được đề xuất. Chẳng hạn Charles Perkins đề xuất áp dụng năm kỹ thuật sau: - Nếu FA và MN đã có chung một liên kết an ninh hay có thể thiết lập liên an ninh thông qua ISAKMP hoặc SKIP, FA sẽ tiến hành chon khóa đăng ký. - Nếu FA và HA của MN có cùng một liên kết an ninh, HA có thể tạo ra khóa đăng kysvaf thông báo nó cho FA. - Nếu FA có khóa công cộng của chính mình, nó có thể yêu cầu HA của MN tạo ra một khóa đăng ký và thông báo nó đến FA với mật mã hóa bằng khóa công cộng. - Nếu MN có khóa công cộng, nó có thể đưa khóa này vào yêu cầu đăng ký để FA tạo ra khóa đăng ký và thông báo cho nó với mật mã hóa bằng mã công cộng. - FA và MN có thể sử dụng giao thức trao đổi khóa Diffie–Helman để thiết lập một khóa đăng ký chung. Giải pháp Diffie-Helman được coi rằng có ưu tiên thấp nhất vì tính toán phức tạp của nó có thể làm nặng tải MN dẫn đến trễ. Trong năm giải pháp của perkins, MN và FA chia sẻ chung một liên kết an ninh là được ưu tiên nhất. Nếu HA và FA chia sẻ đủ thông tin để HA có thể chuyển khóa bí mật đến FA, HA có thể hoạt động như một chung tâm phân phối khóa giả(KDC: Key Distribution Center). Nếu HA và FA chia sẻ chung một khóa bí mật thông qua liên kết an ninh giữa chúng, kỹ thuật sử dụng MD5 sau đây có thể sử dụng để phát khóa đăng ký hay khóa phiên từ HA đến FA. HA gửi xâu sau đây đến FA: String1=MD5(secret||regrep||secret)⊗Kr [...]... trước hết để nhằm đến an ninh và nhận thực để áp dụng cho tương tác giữa HA, FA và EA trong MIP Vẫn cần phải có các biện pháp để bảo vệ đường truyền vô tuyến giữa MN và FA KẾT LUẬN Các nội dung trên đã nghiên cứu đa dạng về các phương pháp nhận thực và an ninh trong môi trường MIP Dựa trên giao thức đăng ký MIP đơn giản, ta có thể áp dụng các phương pháp khóa riêng đối xứng trong MIP Tuy nhiên các phương... Trao đổi bản tin trong giao thức đăng ký MIP Lưu ý rằng việc thiết lập khóa đăng ký không được để lộ khóa bí mật chia sẻ với FA vì điều này sẽ dẫn đến lỗ hổng an ninh nghiêm trọng Cũng cần lưu ý rằng mặc dù có thể thiết lập khóa đăng ký bằng cách sử dụng các khóa công cộng nếu có cơ sở khóa công cộng, cũng có các phương pháp cho phép thiết lập khóa này mà không cần PKI IV.KỊCH BẢN AN NINH TRONG MỘT SỐ... trợ di động cho Internet đầu tiên Trong tương lai có thể nó không cần nữa nếu hạ tầng khóa công cộng đã rộng khắp 3.2.2.Hoạt động của giao thức đăng ký MIP Các bước chính trong quá trình thực hiện giao thức đăng ký MIP như sau: - MN chiếm nhãn thời gian nhận được trước đó từ HA trong mạng nhà của nó Nhãn này hỗ trợ quá trình đồng bộ nhãn thời gian của MN với nhãn thời gian của HA - MN phát bản tin yêu... xét trường hợp tổng quát hơn trong đó MN chuyển vào mạng ngoài và một FA tham gia vào giao dịch Giao thức đăng ký MIP cung cấp hai cơ chế để chống lại các tấn công phát lại: nhãn thời gian và nonce (nhận dạng thời điểm phát bản tin) được sử dụng Duới đây ta sẽ xét giao thức đăng ký MIP sử dụng nhãn thời gian 3.2.1.Các phần tử số liệu và các giải thuật trong giao thức đăng ký MIP Dưới đây là các phần tử... TRƯỜNG HỢP 4 .An ninh Trong thông tin MN đến MN Phần lớn các nghiên cứu giao thức MIP tập trung lên thông tin giữa CH và MN với giả thiết CH là cố định trong mạng Internet Tuy nhiên đối với truy nhập Internet vo tuyến, kịch bản trong đó các MN chuyển động tự do thông tin với nhau ngày càng trở lên quan trọng Vấn đề nẩy sinh khi hai MN thông tin với nhau dưới sự điều hình của giao thức MIP là việc định... thời gian Để chống lại các tấn công phát lặp, các nhãn thời gian được đưa vào các bản tin điều khiển, dù bản tin có được mật mã hay không Hệ thống thu sẽ đánh giá nhãn thời gian trong bản tin và tiếp nhận bản tin nếu nhãn này nằm trong một cửa sổ quy định Giao thức này đòi hỏi đồng bộ thời gian giữa các tác nhân (có thể sử dụng RFC 1350 NTP cho vấn đề này) - Sử dụng các tóm tắt bản tin, MD Trong giao... dụng cách tương tự nếu FA có thể cung cấp khóa công cộng cho HA 3.2.Giao thức đăng ký MIP cơ sở Trong MIP, khi MN tìm được một miền mạng mới, nó phải thiết lập giao tiếp với FA của mạng này và khởi đầu chuỗi giao thức đăng ký để thông báo cho HA về vị trí hiện thời của nó Giao thức đăng ký này tạo nên một phần tử quan trọng của nhận thực trong MIP Nếu MN nằm trong vùng địa lý được điều khiển bởi HA, FA... MN thành công và nội dung của bản tin yêu cầu không bị thay đổi - Bây giờ HA tạo ra bản tin trả lời gồm các phần tử sau: chỉ định trả lời, mã kết quả, nhận dạng PA (địa chỉ IP cuả FA), nhận dạng HA, địa chỉ nhà của MN, nhãn thời gian (T) Nhãn thời gian này bằng với nhãn thời gian do MN cấp (T MN), nếu giá trị này nằm trong cửa sổ thời gian được HA chấp thuận Ngược lại, HA đặt lại nhãn thời gian (THA)... thức đăng ký MIP Dưới đây là các phần tử số liệu các giải thuật chính trong giao thức đăng ký được định nghĩa bởi giao thức MIP: - HADMN (Địa chỉ nhà của MN): Địa chỉ IP của MN trong mạng nhà của nó (lưu ý rằng địa chỉ này khác với CoA trong mạng của FA) - CoAMN (chăm sóc địa chỉ của MN): Địa chỉ IP của MN trong mạng mà nó làm khách Trong phần lớn các trường hợp, địa chỉ này tuơng ứng với địa chỉ của... tuyến tam giác, Giovanardi và Massini đề xuất xử dụng thêm một tác nhân: EA (External Agent: Tác nhân ngoài) để mở rộng hiểu biết vị trí của hai MN và các FA của chung Khi này có thể thiết lập một Tunnel an ninh giữa hai FA, nhờ vậy mà loại bỏ được định tuyến tam giác hai chiều Dựa trên sơ đồ thông tin MN – MN được đề xuất này, Giovanardi và Massini chỉ ra rằng cần có cơ chế an ninh để chống lại các . logic của MIP 7 II. NGUY CƠ AN NINH VỚI MIP (Nguyễn Quang Trung ) 7 2.1. Các đe doa an ninh trong sơ đồ MIP 7 III. GIẢI PHÁP AN NINH TRONG MIP (Lê Tuấn Tiến ) 7 3.1. Môi trường an ninh của MIP 7 3.1.1 ứng). 3.1.1.Liên kết an ninh IPSec SA (Security Assocation: Liên kết an ninh) là khái niệm an ninh và nhận thực cơ bản trong MIP. Một liên kết an ninh được định nghĩa trước là quan hệ một chiều. giao thức đăng ký MIP 11 IV.KỊCH BẢN AN NINH TRONG MỘT SỐ TRƯỜNG HỢP (Nguyễn Quang Trung) 14 4 .An ninh trong thông tin MN đến MN 14 Kết luận 15 LỜI MỞ ĐẦU Thông tin di động đang phát triển như