Cải tiến kỹ thuật xác thực phòng chống tấn công trong mạng không dây di động
Công nghệ mạng di động băng thông rộng còn khá mới mẻ đối với nước ta,
một đất nước có nền công nghệ thông tin mới ở mức đang phát triển so với mặt bằng
chung của thế giới trong thời điểm hiện tại. Nhưng với tốc độ phát triển nhanh chóng của
công nghệ mạng không dây, cũng như ngành học cần tới sự tiên phong tìm hiểu công
nghệ mới, bài báo đã lựa chọn tìm hiểu và nghiên cứu về vấn đề tìm hiểu điểm yếu bảo
mật và giải pháp đảm bảo an ninh cho mạng di động băng thông rộng này.
Bạn đang xem tài liệu "Cải tiến kỹ thuật xác thực phòng chống tấn công trong mạng không dây di động", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Cải tiến kỹ thuật xác thực phòng chống tấn công trong mạng không dây di động
20 TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ CẢI TIẾN KỸ THUẬT XÁC THỰC PHÒNG CHỐNG TẤN CÔNG TRONG MẠNG KHÔNG DÂY DI ĐỘNG ThS. Lê Đức Huy Đại học Công nghệ và Quản lý Hữu Nghị leduchuy2307@gmail.com Tóm tắt: Công nghệ mạng di động băng thông rộng còn khá mới mẻ đối với nước ta, một đất nước có nền công nghệ thông tin mới ở mức đang phát triển so với mặt bằng chung của thế giới trong thời điểm hiện tại. Nhưng với tốc độ phát triển nhanh chóng của công nghệ mạng không dây, cũng như ngành học cần tới sự tiên phong tìm hiểu công nghệ mới, bài báo đã lựa chọn tìm hiểu và nghiên cứu về vấn đề tìm hiểu điểm yếu bảo mật và giải pháp đảm bảo an ninh cho mạng di động băng thông rộng này. Từ khóa: RSA cải tiến, Xác thực, Mạng không dây, An toàn bào mật ... 1. Vấn đề an ninh trong mạng không dây a, Một số các cách tấn công trong mạng không dây Vấn đề này được thực hiện trong mọi dạng cấu hình di động băng rộng, bao gồm các dạng truyền dẫn khác nhau và xử lý các nguy cơ sau đây: - Từ chối dịch vụ: Nguy cơ này tấn công vào các thành phần mạng truyền dẫn bằng cách liên tục đưa dồn dập dữ liệu làm cho khách hàng khác không thể sử dụng tài nguyên mạng. - Nghe trộm: Nguy cơ này ảnh hưởng đến tính riêng tư của các cuộc nói chuyện bằng cách chặn giữa đường truyền giữa người gửi và người nhận. - Giả dạng: Thủ phạm sử dụng một mặt nạ để tạo ra các đặc tính giả, ví dụ anh ta có thế thu được một đặc tính giả bằng cách theo dõi mật mã và ID của khách hàng bằng cách thao tác khỏi tạo tin nhắn hay thao tác địa chỉ vào/ ra của mạng. - Truy nhập trái phép: Truy nhập vào các thực thể mạng phải được hạn chế và phủ hợp với chính sách bảo mật.Nếu kẻ tấn công truy nhập trái phép vào các thực thể mạng thì các dạng tấn công khác từ chối dịch vụ, nghe trộm hay giả dang cũng có thể xảy ra. Truy nhập trái phép cũng là kết quả của nguy cơ kể trên. - Sửa đổi thông tin: Dữ liệu bị phá hỏng 21TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ hay làm cho không thể sử dụng được do thao tác của hacker. Một hậu quả của hành động này là khách hàng hợp pháp không truy xuất được vào tài nguyên mạng được.Trên nguyên tắc không thể ngăn chặn khách hàng thao tác trên dữ liệu hay phá hủy một cơ sở dữ liệu trong phạm vi truy nhập cho phép của họ. - Từ chối khách hàng: Một hay nhiều khách hàng trong mạng có thể bị từ chối tham gia vào một phần hay toàn bộ mạng với các khách hàng/ dịch vụ/ server khác. Phương pháp tấn công có thể là tác động lên đường truyền, truy nhập dữ liệu hay sửa đổi dữ liệu. Dạng tấn công này gây hậu quả là mất niềm tin ở khách hàng dấn đến mất doanh thu. b, Vấn đề an toàn bảo mật trong MẠNG KHÔNG DÂY Mạng không dây là một công nghệ không dây đang nhận được nhiều sự quan tâm hiện nay. Tuy nhiên, cũng giống như các mạng không dây khác, nhược điểm lớn nhất của Mạng không dây là tính bảo mật do sự chia sẻ môi trường truyền dẫn và những lỗ hổng tại cơ sở hạ tầng vật lý. Mặc dù vấn đề bảo mật được coi là một trong những vấn đề chính trong quá trình xây dựng giao thức mạng của IEEE nhưng kỹ thuật bảo mật mà IEEE qui định trong IEEE 802.16 (Mạng không dây) vẫn tồn tại nhiều nhược điểm. Nhận thực Nhận thực để xác nhận nhận dạng của một thực thể.Một nút muốn nhận thực đến một người nào đó phải trình diện số nhận dạng của mình. Quá trình này có thể được thực hiện bằng cách chỉ ra sự hiểu biết về một bí mật mà chỉ hai nút liên quan mới biết hoặc một nút thứ ba được cả hai nút tin tưởng, để xác nhận các số nhận dạng của chúng. Nhận thực trong di động băng thông rộng được chia làm hai phần: mạng nhận thực người sử dụng và người sử dụng nhận thực mạng. Cả hai thủ tục này đều xảy ra trong cùng một trao đổi bản tin giữa mạng và người sử dụng, thủ tục này gọi là “nhận thực một lần gửi” để giảm các bản tin cần truyền. Sau các thủ tục này, người sử dụng sẽ tin tưởng rằng mạng mà nó nối đến được tin tưởng, để phục vụ thay cho mạng nhà của nó. Đồng thời, mạng cũng tin tưởng nhận dạng của người sử dụng là hợp lệ. Mạng lõi rất cần biết số nhận dạng thực sự của người sử dụng để tin tưởng rằng người sử dụng này sẽ trả tiền cho các dịch vụ mà nó cung cấp. Mặt khác người sử dụng cũng muốn nhận thực để tin tưởng rằng các dịch vụ mà nó trả tiền sẽ được cung cấp Bảo mật Bảo mật để đảm bảo an ninh thông tin, đối phó với các cuộc tấn công của những kẻ không được phép. Khi số lượng thuê bao không ngừng tăng cho cả các cuộc gọi cá nhân lẫn kinh doanh (ví dụ các dịch vụ trực tuyến như trao đổi ngân hàng) thì nhu cầu bảo mật thông tin ngày càng trở nên bức thiết. Bảo mật trong UMTS đạt được bằng cách mật mã hóa các cuộc truyền thông giữa thuê bao và mạng bằng cách sử dụng nhận dạng tạm thời (địa phương) thay cho sử dụng nhận dạng toàn cầu, IMSI.Mật mã hóa được thực hiện giữa thuê bao (USIM) và RNC và bảo mật người sử dụng được thực hiện giữa thuê bao và VLR/SGSN. Các thuộc tính cần bảo mật là: - Nhận dạng thuê bao - Vị trí hiện thời của thuê bao - Số liệu người sử dụng (cả truyền thoại lẫn số liệu đều được giữ bí mật) - Số liệu báo hiệu Toàn Vẹn Đôi khi ta cần kiểm tra bản tin gốc, mặc dù bản tin này có thể được nhận từ một phía 22 TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ đã được nhận thực, xong nó vẫn có thể bị giả mạo. Để khắc phục vấn đề này cần có bảo vệ toàn vẹn, không chỉ bảo mật bản tin mà cần phải đảm bảo rằng đây là bản tin chính thống. Phương pháp để bảo vệ toàn vẹn trong mạng di động băng thông rộng là tạo ra các con dấu bổ sung cho các bản tin. Các con dấu này có thể được tạo ra tại các nút biết được các khóa, được rút ra từ một khóa chủ biết trước (K). Các khóa này được lưu trong USIM và AuC.Bảo vệ toàn vẹn đặc biệt cần thiết, vì mạng phục vụ thường được khai thác bởi một nhà khai thác khác với nhà khai thác của thuê bao. Thuộc tính cần được bảo vệ toàn vẹn là các bản tin báo hiệu. Cần lưu ý rằng tại lớp vật lý, các bit được kiểm tra tính toàn vẹn bằng cách kiểm tra tổng CRC ¬_ Cyclic Redundancy Check (kiểm tra vòng dư). Xong các biện pháp này chỉ được thực hiện để đạt được các cuộc truyền thông số liệu không mắc lỗi trên giao diện vô tuyến, chứ không giống như toàn vẹn mức truyền tải. Trong Mạng không dây ngay cả khi thực hiện cuộc gọi khẩn cũng cần thực hiện thủ tục nhận thực.Nhưng nếu nhận thực bị sự cố (do không có USIM hoặc do không có thỏa thuận chuyển mạng) kết nối vẫn sẽ được thiết lập. Cuộc gọi sẽ chỉ bị hủy nếu tính bảo mật và toàn vẹn thất bại. 2. Đề xuất một số giải pháp an ninh trong Mạng không dây Như đã đề cập, hệ thống mạng di động ngày càng phát triển kéo theo vấn đề an toàn an ninh mạng đang là vấn đề cấp bách. Việc tấn công vào hệ thống mạng ngày càng gia tăng. Nó cho thấy, chúng ta vẫn chưa thực sự mạnh trong việc bảo mật an toàn thông tin. Một khi các hacker đánh vào hệ thống có thông tin, cơ sở dữ liệu sẽ gây thiệt hại nặng về kinh tế, chính trị và các lợi ích khác hậu quả nặng nề hơn. Sau đây là các biện pháp tiêu biểu: ¤ Nhận thực ¤ Chữ ký số ¤ Điều khiển truy nhập ¤ Phát hiện xâm nhập ¤ Ghi nhật ký và kiểm toán ¤ Mã hóa Trong luận văn này , sinh viên tập trung tìm hiểu 2 vấn đề chính đó là nhận thực và mã hóa. Bao gồm các thuật toán : mã hóa khóa công khai , mã hóa dựa trên định danh (IBE) , mã hóa dữ liệu AES, DES. Trong đó điển hình là thuật toán mã hóa khóa công khai (RSA) , thuật toán đang được sử dụng rất rộng rãi và phổ biến ở rất nhiều các hệ thống trong nước và thế giới. Tuy vẫn còn nhiều yếu điểm , nhưng đối với các hệ thống vừa và nhỏ nó vẫn rất hữu ích bởi rất nhiều ưu điểm mà chúng ta còn còn có thể tiếp tục khai thác. 3. Thuật toán xác thực a, Giới thiệu thuật toán Thuật toán RSA có hai khóa: khóa công khai (hay khóa công cộng) và khóa bí mật (hay khóa cá nhân). Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã.Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa.Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng.Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân (bí mật) mới có thể giải mã được. Ta có thể mô phỏng trực quan một hệ mật mã khoá công khai như sau: Bob muốn gửi cho Alice một thông tin mật mà Bob muốn duy nhất Alice có thể đọc được. Để làm được điều này, Alice gửi cho Bob một chiếc hộp có 23TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ khóa đã mở sẵn và giữ lại chìa khóa. Bob nhận chiếc hộp, cho vào đó một tờ giấy viết thư bình thường và khóa lại (như loại khoá thông thường chỉ cần sập chốt lại, sau khi sập chốt khóa ngay cả Bob cũng không thể mở lại được-không đọc lại hay sửa thông tin trong thư được nữa). Sau đó Bob gửi chiếc hộp lại cho Alice. Alice mở hộp với chìa khóa của mình và đọc thông tin trong thư. Trong ví dụ này, chiếc hộp với khóa mở đóng vai trò khóa công khai, chiếc chìa khóa chính là khóa bí mật. b, Thuật toán Giả sử Alice và Bob cần trao đổi thông tin bí mật thông qua một kênh không an toàn (ví dụ như Internet). Với thuật toán RSA, Alice đầu tiên cần tạo ra cho mình cặp khóa gồm khóa công khai và khóa bí mật theo các bước sau: 1. Chọn 2 số nguyên tố lớn và với , lựa chọn ngẫu nhiên và độc lập. 2. Tính: 3. Tính: giá trị hàm số Ơle 4. Chọn một số tự nhiên sao cho và là số nguyên tố cùng nhau với . 5. Tính: sao cho . Một số lưu ý: • Các số nguyên tố thường được chọn bằng phương pháp thử xác suất. • Các bước 4 và 5 có thể được thực hiện bằng giải thuật Euclid mở rộng (xem thêm: số học môđun). • Bước 5 có thể viết cách khác: Tìm số tự nhiên sao cho cũng là số tự nhiên. Khi đó sử dụng giá trị . • Từ bước 3, PKCS#1 v2.1 sử dụng thay cho . Khóa công khai bao gồm: • n, môđun, và • e, số mũ công khai (cũng gọi là số mũ mã hóa). Khóa bí mật bao gồm: • n, môđun, xuất hiện cả trong khóa công khai và khóa bí mật. • d, số mũ bí mật (cũng gọi là số mũ giải mã). Một dạng khác của khóa bí mật bao gồm: • p và q, hai số nguyên tố chọn ban đầu, • d mod (p-1) và d mod (q-1) (thường được gọi là dmp1 và dmq1), • (1/q) mod p (thường được gọi là iqmp) 4. Thuật toán xác thực cải tiến a, Mô tả thuật toán Trong phiên truyền dẫn, một SS sẽ khởi đầu phiên.Nó gửi các định danh, các khả năng và các yêu cầu khác của mình đến BS.Sau khi kiểm tra các tài liệu đó, BS gửi trả lời cấp phép cho SS. Thông tin trả lời này phải được kiểm tra cho dù đó là từ các BS hợp pháp hoặc BS giả mạo.Bên trong của SS đã chứa một cơ sở dữ liệu bao gồm các code series 24 TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ của toàn bộ các BS trong hệ thống . Cơ sở dữ liệu này sẽ được update liên tục từ máy chủ xác thực ( AS) . Nếu BS không phải là gỉa mạo , SS sẽ kết nối đến BS đó và nhận IP, Port b, Xác thực SS Quá trình xác thực sẽ diễn ra tại BS dựa vào cơ sở dữ liệu đã được cập nhật từ máy chủ AS. SS sẽ gửi thông tin đăng nhập đã được mã hóa bằng RSA tới BS. BS giải mã thực hiện quá trình nhận truyền dữ liệu qua mạng. Các bước của thuật toán được hiển thị ở trong hình dưới đây: thông tin bằng khóa riêng bí mật. Nếu đúng tài khoản , mật khẩu thì cho phép kết nối và gửi thông tin cấu hình , mã BS tới cho SS. Nếu không đúng thì không cho phép kết nối. Sơ đồ xác thực SS: (1/q) mod p (thường được gọi là iqmp) 4. Thuật toán xác thực cải tiến a, Mô tả thuật toán Trong phiên truyền dẫn, một SS sẽ khởi đầu phiên.Nó gửi các định danh, các khả năng và các yêu cầu khác của mình đến BS.Sau khi kiểm tra các tài liệu đó, BS gửi trả lời cấp phép cho SS. Thông tin trả lời này phải được kiểm tra cho dù đó là từ các BS hợp pháp hoặc BS giả mạo.Bên trong của SS đã chứa một cơ sở dữ liệu bao gồm các code series của toàn bộ các BS trong hệ thống . Cơ sở dữ liệu này sẽ được update liên tục từ máy chủ xác thực ( AS) . Nếu BS không phải là gỉa mạo , SS sẽ kết nối đến BS đó và nhận IP, Port thực hiện quá trình nhận truyền dữ liệu qua mạng. Các bước của thuật toán được hiển thị ở trong hình dưới đây: Bước 1: Bước 2: Bước 3: Hình 1. Các bước xác thực trong mạng không dây b, Xác thực SS Quá trình xác thực sẽ diễn ra tại BS dựa vào cơ sở dữ liệu đã được cập nhật từ máy chủ AS. SS sẽ gửi thông tin đăng nhập đã được mã hóa bằng RSA tới BS. BS giải mã thông tin bằng khóa riêng bí mật. Nếu đúng tài khoản , mật khẩu thì cho phép kết nối và gửi thông tin cấu hình , mã BS tới cho SS. Nếu không đúng thì không cho phép kết nối. Sơ đồ xác thực SS: SS BS SS BS SS BS Login – RSA (ID,Password) Information-RSA (IP,Port,Series) Connect 25TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ Đúng Sai Đã nhận được KpubSS (ID+Port+Serie Giải mã KprvSS (KpubSS (ID+Port+Serie)) Thoát User KpubBS (ID+Pass) ID+Pass CA Certificate_BS Gửi KpubBS (ID+Pass) cho BS Kiểm tra (ID+Port+Serie ) Đúng Cấu hình (ID+Port+Serie) Sai Bắt đầu Thông báo lỗi Hình 2: Lưu đồ thuật toán SS 26 TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ c, Xác thực BS Quá trình xác thực sẽ diễn ra tại SS dựa vào cơ sở dữ liệu đã được cập nhật từ máy chủ AS. SS sẽ nhận thông tin cấu hình để kết nối từ phía AS bao gồm : địa chỉ IP, thông tin cổng ( Port) và một đoạn code BS. Toàn bộ thông tin này sẽ được mã hóa bởi RSA. Khi SS nhận được , nó sẽ chưa kết nối tới BS mà sẽ kiểm tra đoạn code BS bằng cách so sánh với một cơ sở dữ liệu chứa toàn bộ các đoạn code BS – được cập nhật thường xuyên từ máy chủ AS. Nếu đoạn code giải mã ra mà đúng , tức là BS không phải là giả mạo, lúc nào SS sẽ cấu hình theo thông tin mà BS gửi , kết nối và thực hiện quá trình truyền dữ liệu. c, Xác thực BS Quá trình xác thực sẽ diễn ra tại SS dựa vào cơ sở dữ liệu đã được cập nhật từ máy chủ AS. SS sẽ nhận thông tin cấu hình để kết nối từ phía AS bao gồm : địa chỉ IP, thông tin cổng ( Port) và một đoạn code BS. Toàn bộ thông tin này sẽ được mã hóa bởi RSA. Khi SS nhận được , nó sẽ chưa kết nối tới BS mà sẽ kiểm tra đoạn code BS bằng cách so sánh với một cơ sở dữ liệu chứa toàn bộ các đoạn code BS – được cập nhật thường xuyên từ máy chủ AS. Nếu đoạn code giải mã ra mà đúng , tức là BS không phải là giả mạo, lúc nà SS sẽ cấu hình theo thông ti mà BS gửi , kết nối và thực hiện quá trình truyền dữ liệu. Hình 3: Lưu đồ thuật toán BS Đúng Sai Kiểm tra Mã hóa Thoát SS BS giải mã KprvBS (KpubBS (ID+Pass)) KpubBS (ID+Pass) CA Certificate_SS Nhận được xác thực SS Đúng Kết nối Sai Bắt đầu Thông báo lỗi Gửi KprvSS (ID+Port+Serie) cho SS 27TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ d, Truyền thông SS và BS BS khi sản xuất ra luôn tồn tại BS_series và được cập nhật ngay vào AS . Một AS chỉ cho phép BS hợp pháp hoạt động và không có các phần tử đáng lo ngại khác. SS cập nhật dữ liệu từ AS, vì thế nó có thể xác minh BS từ các dữ liệu có trong AS đáng tin cậy. Hình 3.2 cho thấy sơ đồ thông điệp tổng thể của một phiên truyền thông xác thực thành công giữa một SS và BS, nơi mà cả hai có được sự giúp đỡ từ bên thứ ba đáng tin cậy là AS (Authentication Server). Tất cả các thông điệp được mô tả trong sơ đồ trao đổi thông điệp dưới đây. Message 1: SS bắt đầu phiên truyền thông xuất trình chứng nhận và các thông tin của nó có đánh dấu thời gian (time stamp) cho BS Message 2: BS mã hóa các thông tin riêng của mình bằng khóa công khaicủa SS rồi gửi lại cho SS. Message 3: SS xác thực BS và phiên truyền thông an toàn của SSđược bắt đầu. d, Truyền thông SS và BS BS khi sản xuất ra luôn tồn tại BS_series và được cập nhật ngay vào AS . Một AS chỉ cho phép BS hợp pháp hoạt động và không có các phần tử đáng lo ngại khác. SS cập nhật dữ liệu từ AS, vì thế nó có thể xác minh BS từ các dữ liệu có trong AS đáng tin cậy. Hình 3.2 cho thấy sơ đồ thông điệp tổng thể của một phiên truyền thông xá thực thành công giữa một SS và BS, nơi mà cả hai có được sự giúp đỡ từ bên thứ ba đáng tin cậy là AS (Authentication Server). Tất cả các thông điệp được mô tả trong sơ đồ trao đổi thông điệp dưới đây. Hình 4: Quy trình truyền thông tổng thể. Message 1: SS bắt đầu phiên truyền thông xuất trình hứng hậ và các thông tin của nó có đánh dấu thời gian (time stamp) cho BS Message 2: BS mã hóa các thông tin riêng của mình bằng khóa công khaicủa SS rồi gửi lại cho SS. Message 3: SS xác thực BS và phiên truyền thông an toàn của SSđược bắt đầu. 5. Đánh giá hiệu quả của giải pháp cải tiến a. Phòng chống tấn công Replay Khi SS gửi ID và các thông tin ban đầu của nó cho BS, kẻ tấn công có thể có được các thông tin này và sau đó liên tục gửi đến BS. BS xem xét tính hợp pháp của SS, phát hiện ra sự giả dối và từ chối. Khi SS hợp pháp cố gắng để kết nối sau đó, các BS có thể chặn nó vĩnh viễn. Đây là cuộc tấn công replay trong đó kẻ tấn công mặc dù không thể đọc dữ liệu của SS hợp pháp nhưng có thể khiến cho SS bị vô hiệu. Một dấu thời gian (time stamp) được sử dụng ở đây là rất cần thiết cho nó.Time stamp chỉ đơn giản là xác định thời điểm hành động, khi thông điệp hoặc truyền tải diễn ra.Time stamp thường có chiều dài khoảng thời gian cố định. Một chữ ký trên một số dữ liệu (trong chứng nhận hay thông điệp) bao gồm một thời hạn (chiều dài có thể là trong mili giây), được gọi là một dấu thời gian time stramp. Bất kỳ một sự chuyển giao hay truyền thông sau khoảng thời gian này hệ thống sẽ không cho hoạt Message 1: SS BS: SSID Message 2: BS SS: | BSID | BS_SERIES Message 3: SS BS: (Tiếp tục truyền thông) 5. Đánh giá hiệu quả của giải pháp cải tiến a. Phòng chống tấn công Replay Khi SS gửi ID và các thông tin ban đầu của nó cho BS, kẻ tấn công có thể có được các thông tin này và sau đó liên tục gửi đến BS. BS xem xét tính hợp pháp của SS, p át hiện ra sự giả dối và từ chối. Khi SS hợp pháp cố gắng để kết nối sau đó, các BS có thể chặn nó vĩnh viễn. Đây là cuộc tấn công replay trong đó kẻ tấn công mặc dù không thể đọc dữ liệu của SS hợ pháp nhưng có thể khiến cho SS bị vô hiệu. Một dấu thời gian (time stamp) được sử dụng ở đây là rất cần thiết cho nó.Time stamp chỉ đơn giản là xác định thời điểm hành động, khi thông điệp hoặc truyền tải diễn ra.Time stamp t ường có chiều dài khoảng thời gian cố định. Một chữ ký trên một số dữ liệu (trong chứng nhận hay thông điệp) bao gồm một thời hạn (chiều dài có thể là trong mili giây), được gọi là một dấu thời gian time stramp. Bất kỳ một sự chuyển giao hay truyền thông sau khoảng thời gian này hệ thống sẽ không cho hoạt động,và điều này làm cho hệ thống an toàn đối với các cuộc tấn công từ bên ngoài vì những kẻ tấn công sẽ cố gắng để đạt được mục đích khi thời gian đã hết hạn (chẳng hạn như kẻ tấn công cần có thời gian để xử lý và truyền lại). Điều này sẽ thông báo cho BS về thời gian và một kẻ tấn công sẽ không thu được thành công trong động cơ xấu của mình. Thủ tục này có thể được hiển thị trong hình 3. Trong hình này, nó cho thấy một SS liên lạc với BS bằng cách sử dụng một time stamp. động,và điều này làm cho hệ thống a toàn đối với các cuộc tấn công từ bên ngoài vì những kẻ tấn công sẽ cố ắng để đạt được mục đích khi thời gian đã hết hạn (chẳng hạn như kẻ tấn công cần có thời gian để xử lý và truyền lại). Điều này sẽ thông báo cho BS về thời gian và một kẻ tấn công sẽ không thu được thành công trong động cơ xấu của mình. Thủ tục này có thể được hiển thị trong hình 3. Trong hình này, nó cho thấy một SS liên lạc với BS bằng cách sử dụng một time stamp. Hình 3: Phòng chống tấn công phát lại bằng cách sử dụng Timestamp b. Phòng chống tấn công Man in Middle Attack và Denial of Service Với kịch bản trên, cả hai cuộc tấn công này đều được phòng tránh. Chúng ta có thể xem lại các cuộc tấn công có thể xảy ra như thế nào cho các thuê bao. Khi kẻ tấn công có được các dữ liệu ban đầu mà một thuê bao gửi đến BS lần đầu tiên, kẻ tấn công có thể có được một bản sao của nó và cố gắng để gửi dữ liệu đó đến BS nhiều lần. BS sau đó xem xét SS ban đầu như là một một SS giả mạo và từ chối dịch vụ. Tuy nhiên, trong kịch bản đề xuất này, những kẻ tấn công không thể gửi dữ liệu đó đến BS có sử dụng một dấu thời gian (time stamp). 6. Kết luận Bài báo đã đề cập đến những khái niệm cơ bản về mạng di động băng thông rộng, cũng như đã nêu ra được một số nhược điểm về bảo mật và đề xuất giải pháp khắc phục. Trong các giải pháp đó, đề tài cũng tìm hiểu, đánh giá một số kỹ thuật để đảm bảo an ninh cho mạng không dây , đồng thời chọn demo minh họa một vài công cụ tiêu biểu. Tài liệu tham khảo [1]. PHẠM HUY ĐIỀN, HÀ HUY KHOÁI, Mã hoá thông tin cơ sở toán học và ứng dụng, Viện toán học,2014. [2]. NGUYỄN NAM HẢI, PHẠM NGỌC THUÝ, ĐÀO THỊ HỒNG VÂN, Chứng thực trong thương mại điện tử, Nhà xuất bản khoa học và kỹ thuật, 2014. [3]. PHAN ĐÌNH DIỆU, Giáo trình lý thuyết mật mã và an toàn thông tin, Nhà xuất bản Đại học Quốc Gia Hà nội, 2013. Message 1: SS BS: Cert (SS) (Auth Req message) | Capabilities | SSID | TS Message 2: BS SS: KUSS (AK) | SeqNo | Lifetime | SAIDList | BSID | BS_Code 28 TẠP CHÍ KHOA HỌC QUẢN LÝ VÀ CÔNG NGHỆ b. Phòng chống tấn công Man in Middle Attack và Denial of Service Với kịch bản trên, cả hai cuộc tấn công này đều được phòng tránh. Chúng ta có thể xem lại các cuộc tấn công có thể xảy ra như thế nào cho các thuê bao. Khi kẻ tấn công có được các dữ liệu ban đầu mà một thuê bao gửi đến BS lần đầu tiên, kẻ tấn công có thể có được một bản sao của nó và cố gắng để gửi dữ liệu đó đến BS nhiều lần. BS sau đó xem xét SS ban đầu như là một một SS giả mạo và từ chối dịch vụ. Tuy nhiên, trong kịch bản đề xuất này, những kẻ tấn công không thể gửi dữ liệu đó đến BS có sử dụng một dấu thời gian (time stamp). 6. Kết luận Bài báo đã đề cập đến những khái niệm cơ bản về mạng di động băng thông rộng, cũng như đã nêu ra được một số nhược điểm về bảo mật và đề xuất giải pháp khắc phục. Trong các giải pháp đó, đề tài cũng tìm hiểu, đánh giá một số kỹ thuật để đảm bảo an ninh cho mạng không dây , đồng thời chọn demo minh họa một vài công cụ tiêu biểu. TÀI LIỆU THAM KHẢO [1]. PHẠM HUY ĐIỀN, HÀ HUY KHOÁI, Mã hoá thông tin cơ sở toán học và ứng dụng, Viện toán học,2014. [2]. NGUYỄN NAM HẢI, PHẠM NGỌC THUÝ, ĐÀO THỊ HỒNG VÂN, Chứng thực trong thương mại điện tử, Nhà xuất bản khoa học và kỹ thuật, 2014. [3]. PHAN ĐÌNH DIỆU, Giáo trình lý thuyết mật mã và an toàn thông tin, Nhà xuất bản Đại học Quốc Gia Hà nội, 2013.
File đính kèm:
- cai_tien_ky_thuat_xac_thuc_phong_chong_tan_cong_trong_mang_k.pdf