BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG HỌC VIỆN KỸ THUẬT QUÂN SỰ HỌC VIỆN KỸ THUẬT QUÂN SỰ PHAN THÀNH VINH PHAN THÀNH VINH NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY Chuyên ngành: Khoa Học Máy Tính NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG KHÔNG DÂY Chuyên ngành: Khoa Học Máy Tính Mã số: 60 48 01 01 LUẬN VĂN THẠC SĨ KỸ THUẬT LUẬN VĂN THẠC SĨ KỸ THUẬT Hà Nội - Năm 2014 Hà Nội - Năm 2014 CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI HỌC VIỆN KỸ THUẬT QUÂN SỰ Tôi xin cam đoan: Những kết nghiên cứu trình bày luận văn hoàn toàn trung thực, tôi, không vi phạm điều luật sở hữu trí tuệ Cán hướng dẫn chính: TS Hồ Văn Hương pháp luật Việt Nam Nếu sai, hoàn toàn chịu trách nhiệm trước pháp luật Cán hướng dẫn phụ (nếu có): TÁC GIẢ LUẬN VĂN Cán chấm phản biện 1: Cán chấm phản biện 2: Phan Thành Vinh Luận văn thạc sĩ bảo vệ tại: HỘI ĐỒNG CHẤM LUẬN VĂN THẠC SĨ HỌC VIỆN KỸ THUẬT QUÂN SỰ Ngày tháng năm 2014 1.3.5 Trao đổi liệu 14 1.4 Kết chương 15 MỤC LỤC Chương Trang Trang phụ bìa Bản cam đoan Mục lục Tóm tắt luận văn Bảng từ viết tắt Danh mục bảng Danh mục hình vẽ MỞ ĐẦU Chương TỔNG QUAN VỀ MẠNG WLAN 1.1 Tìm hiểu mạng WLAN 1.1.1 Giới thiệu 1.1.2 Ưu điểm mạng WLAN 1.1.3 Hoạt động mạng WLAN 1.1.4 Các mô hình mạng WLAN 1.2 Chuẩn IEEE 802.11 cho mạng LAN 1.2.1 Giới thiệu 1.2.2 Nhóm lớp vật lý PHY 1.2.3 Nhóm lớp liên kết liệu MAC 10 1.3 Các trình diễn mô hình BSS 11 1.3.1 Beacon 13 1.3.2 Thăm dò 13 1.3.3 Kết nối với AP 14 1.3.4 Roaming 14 MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN CHO MẠNG KHÔNG DÂY 2.1 Thực trạng an ninh an toàn mạng không dây 16 2.1.1 Khái niệm an ninh an toàn thông tin 16 2.1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống 17 2.1.3 Các nguy an ninh an toàn mạng không dây 20 Hình 2.1: Phần mềm bắt gói tin Ethereal 21 2.2 Cơ sở khoa học mật mã ứng dụng việc đảm bảo an toàn bảo mật mạng không dây 27 2.2.1 Giới thiệu chung 27 2.2.2 Hệ mật mã khóa đối xứng 28 2.2.3 Hệ mật mã khóa công khai 30 2.3 Nghiên cứu số giải pháp đảm bảo an ninh an toàn cho mạng WLAN 32 2.3.1 Phương pháp bảo mật dựa WEP 32 2.3.2 Phương pháp bảo mật dựa TKIP 40 2.3.3 Phương pháp bảo mật dựa AES-CCMP 52 2.3.4 Nghiên cứu thuật toán mã hóa đối xứng RSA 68 2.4 Kết chương 71 Chương XÂY DỰNG PHẦN MỀM BẢO MẬT MẠNG KHÔNG DÂY WLAN SỬ DỤNG USB ETOKEN 3.1 Phân tích yêu cầu, đề xuất giải pháp 73 3.1.1 Bài toán đặt 73 3.1.2 Sơ đồ ứng dụng 74 3.1.3 Môi trường hệ thống 76 3.1.4 Thiết kế sở liệu 79 Tóm tắt luận văn: 3.1.5 USB Token 79 3.2 Xây dựng ứng dụng 81 3.2.1 Giới thiệu chung ứng dụng 81 + Họ tên học viên: Phan Thành Vinh 3.2.2 Server 81 + Chuyên ngành: Khoa học Máy tính Khoá: 24 3.2.3 Client 84 KẾT LUẬN TÀI LIỆU THAM KHẢO 90 + Cán hướng dẫn: TS Hồ Văn Hương + Tên đề tài: Nghiên cứu giải pháp bảo mật mạng không dây Tóm tắt: Nghiên cứu, tìm hiểu mạng LAN không dây, nguy an ninh, an toàn mạng LAN, sỡ khoa học, lý thuyết mật mã Nghiên cứu đề xuất giải pháp mã hóa gói tin kết hợp mã hóa đường truyền sẵn có để xây dựng phần mềm ứng dụng sử dụng eToken, bảo mật mạng WLAN nội Một ứng dụng hoàn toàn thiết thực cho công ty, trường học, quân sự…, luận văn em trình bày xây dựng phần mềm bảo mật mạng không dậy WLAN MSDU MAC Service Data Unit Đơn vị liệu dịch vụ MAC Nghĩa tiếng việt Chuẩn mã hóa tiên tiến Hệ thống điện thoại di động Điểm truy cập Trạm sở MTS Mobile Telephone System Hệ thống điện thoại di động NMT Nordic Mobile Telephony Hệ thống điện thoại di động Bắc Âu Tập dịch vụ Mode mã hóa CBC OFDM Orthogonal Frequency Division Multiplexing Ghép kênh phân chia theo tần số trực giao PAN PBX Personal Area Network Private Brach Exchange PHS Personal Handy-phone System Mạng vùng cá nhân Tổng đài nhánh riêng Hệ thống điện thoại cầm tay cá nhân PSTN Packet Switched Telephone Network Mạng điện thoại chuyển mạch gói RF SMS Radio Frequency Short Message Service STA Wireless Station Tần số sóng vô tuyến Dịch vụ nhắn tin ngắn Thiết bị có hỗ trợ mạng không dây TACS Total Access Communication System Hệ thống truyền thông truy cập hoàn toàn TDMA Time Division Multiple Access Đa truy nhập phân chia theo thời gian TKIP Temporal Key Integrity Protocol Giao thức toàn vẹn khóa thời gian WEP Wired Equivalent Privacy Bảo mật tương đường mạng hữu tuyến Mạng cục không dây Truy cập mạng Wifi an toàn BẢNG CÁC TỪ VIẾT TẮT Từ viết tắt AES AMPS Từ gốc Advanced Encryption Standard Advanced Mobile Phone System AP BS Access Point Base Station BSS CCM Basic Service Set Counter Mode - CBC MAC Counter Mode - CBC MAC Protocol Code Division Multiple Access Cyclic Redundancy Check Denial Of Service Direct Sequence Spread Spectrum Extended Service Set Frequency Hopping Spread Group Special Mobile Independent Basic Service Set Integrity Check Value Institute of Electrical and Electronics CCMP CDMA CRC DOS DSSS ESS FHSS GSM IBSS ICV IEEE Giao thức mã hóa CCM Đa truy nhập phân chia Kiểm tra dư thừa vòng Từ chối dịch vụ Trải phổ dãy trực tiếp Tập dịch vụ mở rộng FHSS Trải phổ nhảy tần Nhóm đặc biệt di động Tập dịch vụ độc lập Giá trị kiểm tra tính toàn Viện Công nghệ điện điện tử Hiệp hội kỹ sư tham gia phát triển internet IETF Internet Engineering Task Force IMTS Hệ thống điện thoại di Improved Mobile Telephone System động cải tiến MAC Message Authentication Code (cryptographic community use) Mã chứng thực gói tin MIC Message Integrity Code Mã toàn vẹn gói tin WLAN Wireless Local Area Network MPDU MAC Protocol Data Unit Đơn vị liệu giao thức MAC WPA Wi-Fi Protected Access MSC Mobile Switching Center Trung tâm chuyển mạch di động DANH MỤC CÁC BẢNG Trang Bảng 2.1: Những điểm yếu WEP………………………………………41 Bảng 2.2: Cách khắc phục điểm yếu WEP…………………………… 41 DANH MỤC CÁC HÌNH VẼ Trang Hình 1.1: Mô hình mạng Ad - hoc (mạng ngang hàng) …………………… Hình 1.2: Mô hình mạng sở………………………………………………6 Hình 1.3: Mô hình mạng mở rộng………………………………………… Hình 1.4: Thông số 802.11n……………………………………………10 Hình 2.1: Phần mềm bắt gói tin Ethereal…………………………… 21 Hình 2.2: Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler……………………………………………………………… 22 Hình 2.3: Mô tả trình công DOS tầng liên kết liệu…………… 25 Hình 2.4: Mô tả trình công theo kiểu chèn ép…………………… 27 Hình 2.5: Mô tả trình công theo kiểu thu hút…………………….…27 Hình 2.6: Mô hình hệ mật mã khóa đối xứng…………………………….…29 Hình 2.7: Mô hình hệ mật mã khóa công khai…………………………… 31 Hình 2.8: Quá trình chứng thực diễn WEP…………………… 34 Hình 2.9: Định dạng gói tin chứng thực……………………………… 35 Hình 2.10: Mã hóa chuỗi………………………………………………… 36 Hình 2.11: Sự kết hợp IV với khóa………………………………… 37 Hình 2.12: Thêm ICV……………………………………………………….39 Hình 2.13: Thêm IV KeyID…………………………………………… 40 Hình 2.14: Tạo so sánh giá trị MAC (hoặc MIC) …………………… …43 Hình 2.15: Quá trình tạo khóa để mã……………………………………… 46 Hình 2.16: Quá trình xử lý bên phát………………………………………50 Hình 2.17: Quá trình xử lý bên thu……………………………………….51 Hình 3.9 Usecase Client giao tiếp với Server………………………………79 Hình 2.18: Quá trình hoạt động ECB Mode……………………………54 Hình 3.10 USB Token Viettel………………………………………….79 Hình 2.19: Ví dụ Counter Mode…………………………………………55 Hình 3.11 Đặc tính kĩ thuật USB eToken………………………………81 Hình 2.20: Quá trình xử lý gói tin CCMP………………………….…59 Hình 3.12 Mô hình ứng dụng…………………………………………… 81 Hình 2.21: Trình tự xử lý MPDU………………………………………61 Hình 3.13 Màn hình Server……………………………………82 Hình 2.22: Phần đầu CCMP……………………………………………… 61 Hình 3.14 Màn hình quản lý tài khoản………………………………… 83 Hình 2.23: Mã hóa giải mã………………………………………………62 Hình 3.15 Màn hình thêm tài khoản…………………………………… 83 Hình 2.24: Bên khối mã hóa CCMP……………………………… 63 Hình 3.16 Màn hình đăng nhập………………………………………… 84 Hình 2.25: MPDU sau trình mã (CH=CCMP Header)…………………63 Hình 3.17 Màn hình Client…………………………………….85 Hình 2.26: Định dạng khối để đưa vào CBC-MAC………… 64 Hình 3.18 Màn hình chọn file………………………………………………85 Hình 2.27: Thành phần khối để đưa vào CBC-MAC………….65 Hình 3.19 Màn hình lưu fie……………………………………………… 86 Hình 2.28: Kết hợp số đếm Ctr CCMP AES Counter Mode…………66 Hình 3.20 Màn hình cảnh báo không thấy token………………………… 86 Hình 2.29 RSA – Tạo khóa…………………………………………………69 Hình 3.21 So sánh file mã hóa gốc……………………………………87 Hình 2.30 RSA – Mã hóa………………………………………………… 69 Hình 2.31 RSA – Giải mã………………………………………………… 70 Hình 3.1 Sơ đồ đăng kí token - đăng kí tài khoản………………………… 74 Hình 3.2 Đăng nhập……………………………………………………… 75 Hình 3.3 Trao đổi Client A Client B……………………………….75 Hình 3.4 Trao đổi Server – Client…………………………………….76 Hình 3.5 Usecase chức người quản trị Server……………………… 77 Hình 3.6 Usecase Quản lý thông tin tài khoản…………………………… 78 Hình 3.7 Usecase giao tiếp với Client…………………………………78 Hình 3.8 Chức người dùng Client…………………………………….78 pháp để đảm bảo an ninh cho mạng không dây Mục tiêu đóng góp MỞ ĐẦU Cùng với công nghệ thúc đẩy phát triển mạng Internet mạng không dây có chuyển biến mạnh mẽ, có mạng WLAN Các thiết bị mạng kết nối với luận văn hoàn thiện phần mềm trao đổi thông tin nội cách bảo mật hoàn toàn mới, chưa có ứng dụng phát triển Toàn luận văn chia làm chương: Chương 1: Tổng quan mạng không dây phương tiện truyền dẫn hữu tuyến mà sóng vô tuyến Ích lợi mà mạng Trình bày tổng quan loại mạng không dây kỹ thuật mang lại khả thiết lập kết nối tới thiết bị không phụ thuộc vào ứng dụng mạng không dây, sau tập trung trình bày mạng hạ tầng dây dẫn Cũng nhờ vào đặc điểm mạng không dây mà chi phí cho WLAN chuẩn mạng WLAN diễn việc lắp đặt, trì, bảo dưỡng hay thay đổi đường dây giảm trình thiết lập kết nối với hệ thống WLAN đơn giản (chưa có chứng thực nhiều, đồng thời, tính linh hoạt áp dụng cách hiệu quả, mã hóa) đâu phạm vi phủ sóng thiết bị, ta kết nối vào mạng Trong năm gần đây, giới công nghệ thông tin chứng kiến Chương 2: Một số giải pháp đảm bảo an ninh an toàn cho mạng không dây bùng nổ công nghiệp mạng không dây Khả liên lạc không dây Trình bày thực trạng an ninh an toàn mạng không dây, gần tất yếu thiết bị cầm tay, máy tính xách tay, điện thoại di kiểu công mạng không dây, giao thức bảo mật mạng động thiết bị số khác không dây, kỹ thuật mật mã ứng dụng để bảo mật mạng không dây Với tính ưu việt vùng phục vụ kết nối linh động, khả số giải pháp cho việc đảm bảo an ninh an toàn cho mạng WLAN triển khai nhanh chóng, giá thành ngày giảm, mạng WLAN trở thành Chương 3: Xây dựng phần mềm bảo mật mạng không dây giải pháp cạnh tranh thay mạng Ethernet LAN WLAN sử dụng USB ETOKEN truyền thống Tuy nhiên, tiện lợi mạng không dây đặt thử Nội dung luận văn sử dụng USB eToken kết hợp thuật thách lớn bảo đảm an toàn an ninh cho mạng không dây nhà toán mã hóa bất đối xứng RSA để bảo mật mạng không dây WLAN USB quản trị mạng Ưu tiện lợi kết nối không dây bị giảm sút Token thiết bị phần cứng dùng để tạo cặp khóa bí mật, công khai lưu trữ khó khăn nảy sinh bảo mật mạng khóa bí mật, thiết bị nhà cung cấp dịch vụ chữ ký số giao cho Vấn đề ngày trở nên cấp thiết cần nhận quan khách hàng để khách hàng tạo cặp khóa ký lên liệu cần ký tâm từ nhiều phía Vì lý với niềm đam mê thực Trong luận văn trình bày xây dựng phần mềm bảo mật mạng tiện lợi mà mạng không dây mang lại khiến em định chọn đề không dây WLAN tài: “Nghiên cứu giải pháp bảo mật mạng không dây WLAN” làm luận văn tốt nghiệp với mong muốn tìm hiểu, nghiên cứu ứng dụng giải Chương TỔNG QUAN VỀ MẠNG WLAN 1.1 Tìm hiểu mạng WLAN 1.1.1 Giới thiệu Thuật ngữ “mạng máy tính không dây” hay gọi mạng WLAN nói đến công nghệ cho phép hai hay nhiều máy tính giao tiếp với dùng giao thức mạng chuẩn không cần dây cáp mạng Các mạng máy tính không dây sử dụng sóng điện từ không gian (sóng vô tuyến sóng ánh sáng) để thu, phát liệu qua không khí, giảm thiểu nhu cầu kết nối dây Vì vậy, mạng WLAN kết hợp liên kết liệu với tính di động người dùng Công nghệ bắt nguồn từ số chuẩn công nghiệp IEEE 802.11 [7] tạo số giải pháp không dây có tính khả thi kinh doanh, công nghệ chế tạo, trường đại học…khi mà mạng hữu tuyến thực Ngày nay, mạng WLAN trở nên quen thuộc hơn, công nhận lựa chọn kết nối đa cho phạm vi lớn khách hàng kinh doanh 1.1.2 Ưu điểm mạng WLAN - Tính di động: Những người sử dụng mạng WLAN truy cập nguồn thông tin nơi Tính di động tăng suất tính kịp thời, thỏa mãn nhu cầu thông tin mà mạng hữu tuyến không Tính đơn giản: Việc lắp đặt, thiết lập, kết nối mạng WLAN dễ dàng, đơn giản tránh việc kéo cáp qua tường Tiết kiệm chi phí lâu dài: Trong đầu tư cần thiết ban đầu phần cứng mạng máy tinh không dây cao chi phí phần cứng mạng hữu tuyến toàn chi phí lắp đặt chi phí thời gian tồn thấp đáng kể Chi phí dài hạn có lợi môi trường động cần phải di chuyển thay đổi thường xuyên - Khả vô hướng: Các mạng WLAN cấu hình theo cách khác để đáp ứng nhu cầu ứng dụng lắp đặt cụ thể Các cấu hình dễ dàng thay đổi từ mạng ngang hàng thích hợp cho số lượng nhỏ người sử dụng đến mạng có sở hạ tầng đầy đủ dành cho hàng nghìn người sử dụng mà có khả di chuyển vùng rộng 1.1.3 Hoạt động mạng WLAN Các mạng WLAN sử dụng sóng điện tử không gian (vô tuyến ánh sáng) để truyền thông tin từ điểm tới điểm khác Các sóng vô tuyến thường xem sóng mang vô tuyến chúng thực chức cung cấp lượng cho máy thu xa Dữ liệu phát điều chế sóng mang vô tuyến (thường gọi điều chế sóng mang nhờ thông tin phát) cho khôi phục xác máy thu Trong cấu hình mạng WLAN tiêu chuẩn, thiết bị thu/phát (bộ thu/phát) gọi điểm truy cập, nối với mạng hữu tuyến từ vị trí cố định sử dụng cáp tiêu chuẩn Chức tối thiểu điểm truy cập thu, làm đệm phát liệu mạng WLAN sở hạ tầng dụng thực chức phạm vi từ trăm với vài trăm feet Điểm truy cập (hoặc anten gắn vào điểm truy cập) thường đặt cao đặt chỗ miễn đạt trần nhà - - mạng hữu tuyến Một điểm truy cập đơn hỗ trợ nhóm nhỏ người sử thể có - Tinh linh hoạt: Có thể triển khai mạng WLAN nơi mà mạng hữu tuyến triển khai khó triển khai vùng phủ sóng mong muốn Những người sử dụng truy cập mạng WLAN thông qua thích ứng máy tính không dây Card mạng không dây máy tính, máy Palm, PDA Các thích ứng máy tính không dây cung cấp giao diện hệ thống điều hành mạng (NOS – - Khuyết điểm: Khoảng cách máy trạm bị giới hạn, số lượng người dùng bị giới hạn, không tích hợp vào mạng có dây sẵn có Network Operation System) máy khách sóng không gian qua anten Bản chất kết nối không dây suốt hệ điều hành 1.1.4.2.Mô hình mạng sở BSS mạng Trong mô mạng sở, Client muốn liên lạc với phải thông 1.1.4 Các mô hình mạng WLAN Access Point (AP) AP điểm trung tâm quản lý giao tiếp 1.1.4.1 Mô hình mạng độc lập IBSS (Ad-hoc) mạng, Client liên lạc trực tiếp với mạng IBSS Các trạm(máy tính có hỗ trợ card mạng không dây) tập trung lại Để giao tiếp với Client phải gửi Frame liệu đến AP, sau không gian nhỏ để hình thành nên kết nối ngang cấp (peer-to-peer) AP gửi đến máy nhận chúng Các nút di động có card mạng wireless chúng trao đổi thông tin trực tiếp với nhau, không cần phải quản trị mạng Vì mạng ad-hoc thực nhanh dễ dàng nên chúng thường thiết lập mà không cần công cụ hay kỹ đặc biệt thích hợp để sử dụng hội nghị thương mại nhóm làm việc tạm thời Tuy nhiên chúng có nhược điểm vùng phủ sóng bị giới hạn, người sử dụng phải nghe lẫn Hình 1.2: Mô hình mạng sở - Ưu điểm: Các máy trạm không kết nối trực tiếp với nhau, máy trạm mạng không dây kết nối với hệ thống mạng có dây - Khuyết điểm: Giá thành cao, cài đặt cấu hình phức tạp mô hình Ad- Hoc 1.1.4.3 Mô hình mạng mở rộng ESS Hình 1.1: Mô hình mạng Ad - hoc (mạng ngang hàng) - Ưu điểm: Kết nối Peer-to-Peer không cần dùng Access Point, chi phí thấp, cấu hình cài đặt đơn giản Nhiều mô hình BSS kết hợp với gọi mô hình mạng ESS Là mô hình sử dụng từ AP trở lên để kết nối mạng Khi AP kết nối với thành mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi đáp ứng tốt cho Client di động Đảm bảo hoạt động tất Client 63 64 Trước bắt đầu việc mã hóa, cần phải chuẩn bị tất cần thiết MPDU để thực thứ tự Bắt đầu với phần: MAC header, CCMP header liệu rõ Các trường thay đổi MAC header thiết lập toàn CCMP header gán giá trị PN bit KeyID Lưu ý điều PN tăng MPDU Phần liệu phần chứa liệu chưa mã Phần MAC header CCMP header không mã lại cần trình tạo số MIC Hai header nhóm lại tạo liệu Hình 2.24: Bên khối mã hóa CCMP Có hai giai đoạn tính toán: tính số MIC để gắn vào MPDU, sau MPDU bao gồm MIC mã hóa Một MPDU mã lại có thêm hai trường nữa, CCMP header MIC Trường MIC (64 bit) nửa kích thước khối AES đủ lớn để giảm khả giả số MIC xuống 10 19 Thứ tự trường MPDU mã mô tả hình 2.25 chứng thực Việc sau ghép nối phần lại với tính toán MIC Việc tính số MIC thực cách sử dụng CBC-MAC, mã khối đầu tiên, XOR kết với khối lại mã, trình lặp lại hết Kết cuối số MIC 128 bit, cần có 64 bit CCMP nên 64 bit thấp bị loại bỏ Đối với CCMP khối trình tính CBC-MAC lấy từ MPDU mà số nonce Định dạng khối (hình 2.26) bao gồm số nonce hai trường: Flag Dlen Hình 2.26: Định dạng khối để đưa vào CBC-MAC Số nonce ứng với trạng thái thời đảm bảo liệu mã hóa không giống sau mã Ta cho cần sử Hình 2.25: MPDU sau trình mã (CH=CCMP Header) Các bước mã hóa MPDU: dụng số PN đủ gói có giá trị PN khác nhau, nhiên, cần nhớ khóa dùng cho bên thu bên phát (có thể nhiều khóa nhóm), bên vào thời điểm đó, sử dụng số PN 65 66 dùng nơi khác, vi phạm quy tắc khóa dùng Ngay MIC tính gắn vào liệu rõ trình mã lần Để tránh vấn đề này, số nonce tạo kết hợp PN với địa bắt đầu thực Việc mã hóa sử dụng counter mode bắt đầu MAC bên gửi Không có vậy, trường thứ nonce trường với liệu theo sau CCMP header Nhớ phải chèn thêm bit Priority (trường ưu tiên) Trường dự trữ dùng sau có nhiều trình tính MIC, khối mã tương ứng với khối trình luồng liệu khác cần độ ưu tiên khác (ví dụ: audio, video tính MIC Phần liệu mã thay toàn liệu ban đầu số …) Trong trường hợp đó, nên tách PN ứng với loại liệu khác MIC, tạo MPDU hoàn chỉnh sẵn sàng đợi để truyền Không phải hiệu Cả trường kết hợp lại tạo số nonce 104 bit (hình 2.27) thêm bit trình mã counter mode cho phép loại bỏ bit thừa khối cuối Một bước quan trọng counter mode thiết lập giá trị đếm theo cách không tạo hai số giống Vì mà đếm tạo nên từ số nonce theo cách gần giống với việc tạo số MIC, bao gồm số thứ tự, địa MAC nguồn trường ưu tiên Sau kết Hình 2.27: Thành phần khối để đưa vào CBC-MAC hợp với hai trường Flag Counter (“Ctr”) (hình 2.28) Hai trường lại Flag Dlen với số nonce tạo nên khối để tính CBC-MAC Trường flag có giá trị cố định 01011001 số MIC 64 bit Trong ứng dụng CCM khác RSN flag có giá trị khác không đề cập đến Trường cuối cùng, Dlen độ dài liệu chưa mã Khi khối sẵn sàng, số MIC tính dựa liệu chứng thực liệu cần mã Một đặc điểm CBC-MAC làm việc với kích thước khối quy định Nếu liệu chia không đủ khối phải thêm bit cho đủ Đối với IEEE 802.11, chắn liệu chứng thực liệu chưa mã không vừa đủ khối bit thêm vào Vì nhiều lúc số MIC tính bao gồm khối đầu tiên, liệu chứng thực, liệu ban đầu byte toàn Các byte thêm vào dùng để tính số MIC không thêm vào MPDU Hình 2.28: Kết hợp số đếm Ctr CCMP AES Counter Mode Ctr tăng dần lên, số nonce giá trị trường ctr có độ lớn 16 bit nên ta đảm bảo chắn giá trị đếm tất gói tin 65536 khối Điều dễ dàng xác định số MPDU lớn IEEE 802.11 Như trình mã hóa gần hoàn tất Ta cần phải đặt lại tất trường MAC header vào vị trí Cho dù trường không dùng cho MIC chúng quan trọng 67 68 Khi đếm thiết lập, trình mã hóa thực nói khác biệt so với lúc gửi đi, cộng với khóa xác, ta thu lại kết phần counter mode phần trước Mỗi giá trị counter mã hóa mong muốn Giá trị MIC so sánh, trùng khớp, kết khóa sau XOR với liệu để tạo liệu mã thu hợp lệ Nếu không, gói tin bị cho kẻ công Giải mã MPDU: bị hủy Khi MPDU mã đưa tới bên thu, công việc chọn Khi MPDU giải mã, số MIC CCMP header loại bỏ, khóa để giải mã Khóa dùng để giải mã chọn dựa vào địa phần liệu lại với phần liệu giải mã MPDU khác sau MAC nguồn MAC header Bên thu phải thực loạt bước để kết hợp lại, tái tạo lại thành MSDU Như trình thực có liệu ban đầu kiểm tra hợp lệ liệu với CCMP cho thấy độ an toàn cao, chống lại kiểu công giả Số PN gắn vào phần CCMP header nên không mã hóa Khi nhận gói tin, việc bên thu kiểm tra số PN mạo, nghe hay dùng lại gói tin 2.3.4 Nghiên cứu thuật toán mã hóa đối xứng RSA so sánh với khung nhận trước đó, nhỏ Ở phần nghiên cứu phương pháp mã hóa đối khung bị hủy bên thu tạm dừng xử lý với MPDU Giả sử xứng Ứng dụng luận văn này, phối hợp sử dụng token key, em áp số PN hợp lệ, bước trình giải mã AES/counter mode dụng thuật toán mã hóa RSA, mã hóa gói tin với khóa công khai khóa Yêu cầu đặt giá trị đếm phải trùng khớp với giá trị sau bí mật nằm token Client giải mã Tất thông tin cần thiết nhận đầy đủ Số thứ tự 2.3.4.1 Mô tả sơ lược kết hợp với địa MAC nguồn giá trị ưu tiên tạo nên số nonce Sau giá Thuật toán RSA có hai khóa: khóa công khai (hay khóa công cộng) trị flag ctr thêm vào để tạo số ban đầu cho đếm Lưu ý khóa bí mật (hay khóa cá nhân) Mỗi khóa số cố định sử dụng chẳng có tý bảo mật cả, tính giá trị trình mã hóa giải mã Khóa công khai công bố rộng rãi cho Tuy nhiên, chẳng có nghĩa lý khóa Quá trình giải người dùng để mã hóa Những thông tin mã hóa khóa mã dùng giống trình mã Các giá trị đếm công khai giải mã khóa bí mật tương ứng Nói cách giải mã XOR với MPDU nhận được, kết thu MPDU rõ khác, người mã hóa có người biết khóa cá nhân (bí với số MIC mật) giải mã Bước kiểm tra lại xem liệu số MIC có hay không Ta mô trực quan hệ mật mã khoá công khai sau: MIC tính lại với liệu vừa giải mã (bao gồm phần padding) Bob muốn gửi cho Alice thông tin mật mà Bob muốn Alice có giống bên gửi Các trường thay đổi phần header thể đọc Để làm điều này, Alice gửi cho Bob hộp có không tính đến việc tính toán thực toàn khóa mở sẵn giữ lại chìa khóa Bob nhận hộp, cho vào tờ MPDU, đương nhiên không tính phần MIC Nếu liệu giấy viết thư bình thường khóa lại (như loại khoá thông thường cần sập 69 70 chốt lại, sau sập chốt khóa Bob mở lại Giải mã không đọc lại hay sửa thông tin thư nữa) Sau Bob gửi hộp lại cho Alice Alice mở hộp với chìa khóa đọc thông tin thư Trong ví dụ này, hộp với khóa mở đóng vai trò khóa công khai, chìa khóa khóa bí mật 2.3.4.2 Nguyên tắc thuật toán Tạo khóa Hình 2.31 RSA – Giải mã Ví dụ Sau ví dụ với số cụ thể Ở sử dụng số nhỏ để tiện tính toán thực tế phải dùng số có giá trị đủ lớn Lấy: p = 61— số nguyên tố thứ (giữ bí mật hủy sau tạo khóa) q = 53— số nguyên tố thứ hai (giữ bí mật hủy sau tạo khóa) Hình 2.29 RSA – Tạo khóa Mã hóa n = p*q = 3233— môđun (công bố công khai) e = 17 — số mũ công khai d = 2753— số mũ bí mật Khóa công khai cặp (e, n) Khóa bí mật d Hàm mã hóa là: encrypt(m) = m^e mod n = m^17 mod 3233 với m văn rõ Hàm giải mã là: decrypt(c) = c^d mod n = c^2753 mod 3233 với c văn mã Để mã hóa văn có giá trị 123, ta thực phép tính: Hình 2.30 RSA – Mã hóa encrypt(123) = 12317 mod 3233 = 855 71 72 Để giải mã văn có giá trị 855, ta thực phép tính: toán mã hóa dùng theo nhiều cách khác để tạo giao thức bảo decrypt(855) = 8552753 mod 3233 = 123 mật Cả hai phép tính thực hiệu nhờ thuật toán Phần nghiên cứu, xây dựng mô hình, đề xuất giải pháp, bình phương nhân phát triển thử nghiệm ứng dụng nhằm đảm bảo an ninh an toàn cho mạng 2.4 Kết chương WLAN Chương trình bày thực trạng an ninh an toàn mạng không dây, kỹ thuật mật mã ứng dụng để bảo mật mạng không dây số giải pháp cho việc đảm bảo an ninh an toàn cho mạng không dây mà cụ thể mạng WLAN Giải thích hoạt động WEP lý không nên sử dụng Khi chuẩn IEEE 802.11 công bố công chúng kèm với WEP, biện pháp bảo mật mạng không dây Phần cho ta thấy điểm yếu WEP, lỗ hổng mà thiết kế nhà chuyên gia bảo mật quan tâm đến Tuy nhiên, qua đó, ta hiểu thêm phương pháp bảo mật sau lại đảm bảo an toàn Các nhà thiết kế tìm cách khắc phục hạn chế WEP tạo giao thức bảo mật phù hợp với TKIP biện pháp quan trọng cung cấp chế độ bảo mật thực mà WEP có Mọi điểm yếu WEP khắc phục, bao gồm công vào khóa yếu, nghe lén, gửi lại gói tin điểm yếu khác Thêm vào đó, TKIP thiết kế chuyên gia cao cấp lĩnh vực bảo mật đảm bảo tính toàn vẹn liệu cho người sử dụng Một lượng lớn hệ thống WLAN giới triển khai với thức bảo mật dựa thuật toán RC4 Các hệ thống sử dụng WEP TKIP Tuy nhiên, ủy IEEE 802.11 tìm kiếm giải pháp bảo mật muốn xây dựng từ đầu họ lựa chọn AES AES thuật 73 Chương XÂY DỰNG PHẦN MỀM BẢO MẬT MẠNG KHÔNG DÂY WLAN SỬ DỤNG USB ETOKEN 74 3.1.2 Sơ đồ ứng dụng 3.1.2.1 Đăng kí 3.1 Phân tích yêu cầu, đề xuất giải pháp 3.1.1 Bài toán đặt Với người dùng nay, mạng Wifi trở nên phổ biến thay mạng không dây Ở nơi mạng LAN khó triển khai bệnh viện, trường học, quán cafe, công ty… mạng WLAN cứu cánh tuyệt vời, giảm thiểu tối đa thiết bị cứng đường dây, switch… Song hành với lợi ích mang lại hiểm họa lộ thông tin, xâm nhập trái phép… Do mạng không dây vô tuyến, bắt mạng Hình 3.1 Sơ đồ đăng kí token đăng kí tài khoản “có thể” xâm nhập vào mạng Với công ty điều Người dùng muốn đăng kí phải cầm token lên Server để đăng kí, nguy hiểm, hoàn toàn bị đánh cắp, gây rò rỉ thông tin Các phương thức Database Server quản lý lưu trữ tên đăng nhập, mật khóa công bảo mật áp dụng thường thấy đặt pass wifi WPA khai token Sau đăng kí thành công, người dùng WPA2, mạng internet ta dễ dàng tìm thấy video, tut mang token client sử dụng phần mềm Điều hướng tới chia sẻ cách “hack WPA2” sử dụng linux Bài toán đặt làm cách mục đích đăng kí token cách tập trung phòng công nào, thông tin chia sẻ mạng WLAN bảo vệ, mã hóa, quản lý ty, chuyển quản lý token (tức quản lý người dùng, tránh người dùng tự đăng số người truy cập mạng LAN cách cẩn thận tới đơn vị sử dụng mà kí client) có linh động di chuyển Để giải yêu cầu trên, em xây dựng phần mềm bảo mật mạng không dây WLAN sử dụng USB eToken để quản lý đăng nhập mã hóa gói tin di chuyển WLAN Mục đích đặt ra: muốn sử dụng phần mềm phải có eToken, gói tin client giao tiếp với mã hóa đảm bảo dù có bị nghe trộm hay bắt gói tin, eToken giải mã gói tin nhận Nâng cao bảo mật an toàn, phù hợp với công ty có nhu cầu bảo mật, hạn chế số người sử dụng phần mềm cách phát cho nhân viên USB eToken 3.1.2.2 Đăng nhập 75 76 mã hóa gói tin cần gửi Client B nhận gói tin, lấy khóa bí mật để giải mã gói tin Như mã hóa gói tin muốn giải mã giải mã khóa bí mật, nằm token người nhận 3.1.2.4 Trao đổi Server – Client Hình 3.2 Đăng nhập 3.1.2.3.Trao đổi Client Client Hình 3.4 Trao đổi Server – Client Về vấn đề trao đổi file Server Client có đôi chút khác biệt trao đổi file Client Client Ở trao đổi file, ta không mã hóa token hai lý sau: - Do Server bật liên tục nhất, không cần phải sử dụng eToken - Muốn tự viết phần mã hóa RSA trình bày Với lý đó, trao đổi Server Client, em sử dụng file key.dat có lưu trữ giá trị e, p, q để phục vụ cho thuật toán RSA tự viết Việc sử dụng key.dat hay token tương đương Tùy theo nhu cầu công ty mà ta chuyển việc dùng token hay dùng key.dat Hình 3.3 Trao đổi Client A Client B Ở ta xét trường hợp tin tổng quát Chat hay gửi file Client với qua socket quy thành “gói” Server quản lý tất Public Key Client online Client A lấy khóa công khai Client B 3.1.3 Môi trường hệ thống 3.1.3.1 Các tác nhân hệ thống 77 78 - Quản trị Server: Là người quản lý server, khởi động, tắt Server Quản lý thêm sửa xóa tài khoản người sử dụng Có thể chat gửi file đồng thời tới Client online Hình 3.6 Usecase Quản lý thông tin tài khoản Usecase Giao tiếp với Client - Người dùng: Mỗi người dùng client, tham gia sử dụng phần mềm, họ phải đăng nhập token để sử dụng phần mềm Có thể chat, gửi file tới Server Client khác online 3.1.3.2 Đặc tả Usecase: Các chức cho người quản trị Server Hình 3.7 Usecase giao tiếp với Client Các chức cho người dùng Client Hình 3.5 Usecase chức người quản trị Server Usecase Quản lý thông tin tài khoản Hình 3.8 Chức người dùng Client Usecase giao tiếp với Server 79 80 eToken Pro USB sản phẩm thuộc dòng sản phẩm eTokenTM Aladdin Knowledge Systems Ltd., Israel eToken Pro USB thiết bị bảo mật cao, giao tiếp với máy tính qua cổng USB, sử dụng tiện lợi, an toàn, dễ mở rộng eToken Pro USB hỗ trợ tất hạ tầng khóa công khai eToken PKI xác thực người dùng, quản lý mật khẩu, bảo mật chữ ký số bảo mật liệu Ngoài ra, eToken Pro USB hỗ trợ giao diện hệ thống bảo mật theo tiêu chuẩn công nghiệp, nên eToken Pro USB đảm bảo việc tích hợp Hình 3.9 Usecase Client giao tiếp với Server dễ dàng với hạ tầng sách bảo mật 3.1.4 Thiết kế sở liệu Với mục đích sử dụng cho công ty chính, sở liệu chương trình đơn giản, lưu trữ tài khoản, mật khẩu, tên nhân viên, khóa công khai nhân viên thêm thắt thông tin khác tùy ý Ở hướng phần mềm demo luận văn, em thêm trường ngày tháng, ý nghĩa với chương trình, mang tính demo Bảng sở liệu bảng Client Server có nên đăng nhập quản lý sở liệu 3.1.5 USB Token 3.1.5.1 Đôi nét USB Token Hình 3.10 USB Token Viettel Đặc tính kỹ thuật eToken Pro USB thể bảng đây: 81 Hình 3.11 Đặc tính kĩ thuật USB eToken Dựa tiêu chí đánh giá, eToken có tính trội khả 82 Khởi tạo kết nối, làm điểm truy nhập Client Lưu giữ PublicKey Client kết nối hỗ trợ hệ điều hành, hỗ trợ ứng dụng PKI, hỗ trợ chuẩn bảo mật Đăng kí mới, sửa, xóa eToken đăng kí tài khoản khả tích hợp Chat với Client 3.2 Xây dựng ứng dụng Gửi file cho Client 3.2.1 Giới thiệu chung ứng dụng Trước tiên, người dùng vào hình chương trình Do Ứng dụng hệ thống Server – Client chạy mạng LAN nội lần sử mạng WLAN khác nhau, máy làm Server cấp bộ, mạng có dây không dây Do hướng luận văn bảo mật địa IP khác Trên thực tế dự án triển khai thực mạng không dây, phần mềm thiết kế để mã hóa gói tin, hạn Server nằm cố định máy kết nối với mạng WLAN cố chế người dùng…chống lại công nghe trộm, bắt gói tin, đảm bảo định, ta không cần quan tâm tới giải IP Server Để vào mục mức độ bảo mật công ty Hệ thống sử dụng ngôn ngữ lập trình quản lý tài khoản, ta ấn nút Account Manager, để bắt đầu Server Ta ấn Java quản trị sở liệu SQL Server Các chức chương nút Start Các Client sau kết nối tới Server hiển thị ô bên trái trình chat gửi file người dùng mạng Các gói tin màu vàng mã hóa trước gửi giải mã nhận Sau sơ đồ ứng dụng: Hình 3.12 Mô hình ứng dụng 3.2.2 Server Server hệ thống nơi khởi tạo kết nối Các chức Server: Hình 3.13 Màn hình Server Dưới hình quản lý tài khoản, sở liệu hệ thống Lưu trữ lại thông tin với khóa công khai 83 84 Sau thêm tài khoản, người quản trị Server sửa đổi thông tin tài khoản đó, trừ tên đăng nhập 3.2.3 Client Client hệ thống người sử dụng mạng nội Họ bắt buộc phải có token, đóng vai trò chìa khóa để sử dụng phần mềm Nếu trình sử dụng, rút token, Client kết thúc Các chức Client: Chat với Server, Client Gửi file tới Server, Client Hiển thị danh sách Client sử dụng phần mềm Hình 3.14 Màn hình quản lý tài khoản Với mục tiêu hạn chế quản lý người dùng Những muốn sử Trước tiên, người dùng cần cắm token vào máy tính chạy Client, sau chạy phần mềm để đăng nhập: dụng phần mềm phải có token phải mang token Server để đăng kí sử dụng Hình 3.16 Màn hình đăng nhập Nếu đăng nhập thành công, ta vào giao diện Client Đây hình xem danh sách Client online nơi giao tiếp trực tiếp với Server Hình 3.15 Màn hình thêm tài khoản 85 86 Khi nhận file, có thông báo nhận file Hình 3.19 Màn hình lưu file Tất Client phải cắm token sử dụng, trình sử Hình 3.17 Màn hình Client dụng, lý không tìm thấy token, chương trình cảnh báo thoát khỏi chương trình Với giao diện ta chat gửi file tới Server Client khác Do kết nối socket không ổn định mã hóa RSA làm giảm tốc độ nên bạn không gửi file lớn Để đảm bảo tính ổn định chương trình, bạn nên gửi file cung cấp thư mục “test” có thư mục chương trình Hình 3.20 Màn hình cảnh báo không thấy token Ứng dụng hướng đến đối tượng sử dụng công ty trường học, cần trao đổi thông tin nội bộ, bảo mật kiểm soát người dùng USB eToken chìa khóa để sử dụng phần mềm nội Mạng WLAN bật, người truy cập vào mạng, để trao đổi với phải có token Tin tặc bắt gói tin USB eToken, giải mã gói tin PrivateKey Đây hình ảnh file mã hóa, file mà tin tặc bắt giải mã: Hình 3.18 Màn hình chọn file 87 88 KẾT LUẬN Với phổ biến mạng WLAN nay, vừa mang lại lợi ích hiểm họa Với mạng không dây, bạn giảm bớt gánh nặng thiết kế mạng WLAN, thấy đường dây mạng chằng chịt Đồng nghĩa với việc thông tin “trôi nổi” không khí “tóm” gói tin bạn Các kĩ thuật công ngày tinh vi, thực diện rộng nhiều cách khác Kết hợp với phương thức bảo mật sẵn có mạng WLAN WPA, WPA2…việc mã hóa gói tin hướng giải tốt Thỏa mãn hai vấn đề: bảo mật đường truyền bảo mật mức độ gói tin Luận văn lần đóng góp vấn đề sau đây: Trình bày tổng quan phát triển mạng không dây, công nghệ ứng dụng mạng không dây Tìm hiểu cách khái quát chế Hình 3.21 So sánh file mã hóa gốc Phần mềm giải vấn đề: Quản lý người dùng cách cấp phát token Quản lý tài khoản token để định có cho phép truy cập hay không, kể có token Người dùng chat trao đổi file Mã hóa giải mã gói tin trao đổi mạng nội Những điều phần mềm chưa giải được: Chưa có chứng thực gói tin (kí kiểm tra chữ kí) Do sử dụng thuật toán để mã hóa đường truyền socket không ổn định nên chưa thể gửi file có dung lượng lớn hoạt động mạng WLAN, ưu điểm, nhược điểm mô hình hoạt động mạng WLAN Tìm hiểu chuẩn 802.11 cho mạng WLAN, nắm diễn trình thiết lập kết nối với hệ thống WLAN đơn giản Trình bày thực trạng an ninh an toàn mạng không dây, kiểu công mạng không dây, kỹ thuật mật mã ứng dụng để bảo mật mạng không dây số giải pháp cho việc đảm bảo an ninh an toàn cho mạng không dây mà cụ thể mạng WLAN như: phương pháp mã hóa đối xứng, mã hóa công khai, bảo mật đường truyền WEP, WPA, WPA2… Nghiên cứu đề xuất giải pháp mã hóa gói tin kết hợp mã hóa đường truyền sẵn có để xây dựng phần mềm ứng dụng eToken, bảo mật mạng WLAN nội Một ứng dụng hoàn toàn thiết thực cho công ty, trường học, quân sự… Đóng góp phần mềm: 89 90 Đã tích hợp thiết bị eToken việc sử dụng toàn hệ TÀI LIỆU THAM KHẢO thống,thiết bị lưu trữ khóa bí mật, đảm bảo người dùng đăng kí có khả Tiếng Việt truy cập vào hệ thống [1] Phạm Huy Điển, Hà Huy Khoái, (2003), Mã hóa thông tin sở Áp dụng việc dụng mật mã khóa đối xứng việc mã hóa toán học ứng dụng, Nhà xuất Đại học Quốc gia Hà Nội gói tin [2] Phan Đình Diệu, (1999), Lý thuyết mật mã an toàn thông tin, Chống công sniffing, passive…Việc trao đổi Đại học Quốc Gia Hà Nội, Hà Nội thông tin mạng nội quy thành “gói tin” Mỗi gói tin mã hóa trước gửi giải mã trước nhận Kết hợp với phương pháp bảo mật đường truyền có sẵn WEP, WPA, WPA2… thách thức không nhỏ với tin tặc Dù có tóm gói tin giải mã [3] Trịnh Nhật Tiến, (2004), Bài giảng: “Một số vấn đề an toàn liệu” [4] Nguyễn Thúy Vân, (1999), Lý thuyết mã, Nhà xuất Khoa học kỹ thuật Tiếng Anh Hạn chế ứng dụng: Ứng dụng hoạt động Windows Application, muốn sử dụng phải cài phần mềm vào máy Mã hóa truyền gói tin chậm, không truyền file lớn Chưa tích hợp khả kí để xác thực gói tin Giao diện có sơ sài, chưa bắt mắt Do tích hợp eToken nên việc nhập mã PIN sai lần khóa eToken lại, gây phiên phức cho người dùng mang tính bảo mật cao, yêu cầu phải thực Hướng phát triển tiếp theo: Chuyển phần mềm thành ứng dụng webbase Có thể sử dụng không cần cài đặt, sử dụng thiết bị di động Cải tiến khả truyền tải file người dùng với Tích hợp khả kí xác thực Cải tiến giao diện, tích hợp vào cổng thông tin điện tử [5] Aaron E Earle, (2006), Wireless Security Handbook, Auerbach Publications Taylor & Francis Group, New York [6] Cyrus Peikari, Seth Fogie, (2002), Maximum Wireless Security, Sams Publishing, USA [7] Jahanzeb Khan, Anis Khwaja, (2003), Building Secure Wireless Networks with 802.11, Wiley Publishing, Indianapolis, Indiana [8] Jon Edney, William A Arbaugh, (2003), Real 802.11 Security: Wi-Fi Protected Access and 802.11i, Addison Wesley, Boston [9] Lee Barken, (2003), How Secure Is Your Wireless Network? Safeguarding Your Wi-Fi LAN, Prentice Hall PTR, New Jersey [10] William Stallings (2005), Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall 91 LÝ LỊCH TRÍCH NGANG Họ tên: Phan Thành Vinh Ngày tháng năm sinh: 21/10/1981 Nơi sinh: Thanh Hoá Địa liên lạc: Thôn Cầu - Bãi Trành – Như Xuân – Thanh Hóa Quá trình đào tạo: - 2000 - 2005: Học CNTT Đại Học Vinh - 2012 - 2014: Học Cao học CNTT Học viện Kỹ thuật Quân Quá trình công tác: - 2006 - 2012: Giáo viên Trường THPT Như Xuân - 2012 - 2014: Giảng Viên Trường Đại Học Kinh Doanh Và Công Nghệ Hà Nội XÁC NHẬN QUYỂN LUẬN VĂN ĐỦ ĐIỀU KIỆN NỘP LƯU CHUYỂN CHỦ NHIỆM KHOA (BỘ MÔN) CÁN BỘ HƯỚNG DẪN QUẢN LÝ CHUYÊN NGÀNH (Ký ghi rõ họ tên) (Ký ghi rõ họ tên)