!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
136


SVTH: Vũ Văn Trực
CHƯƠNG 6. BẢO MẬT

6.1. Bảo mật mạng căn bản
Bảo mật mạng nói chung là nhằm bảo vệ người dùng (bao gồm vị trí chính xác
của người dùng) dữ liệu và lưu lượng truy cập đến từ các thành viên lưu lượng tín
hiệu truy nhập và cũng là để bảo vệ các nhà điều hành mạng chống lại các thành viên
sử dụng và đăng kí khơng thích hợp. Cơng cụ cơ bản trong bảo mật internet là sử
dụ
ng khố cơng khai và khố hệ thống cơ bản, hệ thống bảo vệ bằng tường lửa và
mật khẩu.
An ninh internet là rất quan trong và cực kỳ khó trong mạnh vệ tinh, nó bao
gồm các tổ chức an ninh kinh tế chính tri khác nhau trên tồn thế giới. Và nó cũng
bao gồm việc làm thế nào khi giao tiếp ra ngồi ( ví dụ như là máy tính người dùng
và mạng) để làm được điều này thì cần hiểu rõ về các phần cứng và các giao thức
trong mạng
6.1.1. Tiếp c
ận bảo mật
Mã hố bảo mật có thể được tiến hành bởi 2 phương pháp tiếp cận :
• Tiếp cận layer to layer: Trong trường hợp này lớp máy tính (thường là lớp 3-
lớp IP hoặc lớp 4 -lớp TCP và UDP)nhận một tập tin giải mã từ lớp trên,
đóng gói tập tin trong một đơn vị giao thức dữ liệu (PDU), và mã hố tồn
bộ khung trước khi gửi nó đến một phần khác, ở đó, lớp tương ứ
ng của mỗi

đối tượng sẽ giải mã PDU trước khi gửi chúng đến các lớp cao hơn. Tuy
nhiên để làm được điều này thì các router trong mạng phải được cung cấp
đầy đủ cách mã hố khung.
• Tiếp cận end to end: Trong trường hợp này các tập tin sẽ được mã hố trực
tiếp tại lớp ứng dụng bởi người dùng và tập tin đã được mã hố sẽ được gửi
tới lớp thấp hơn. Đi
ều đó có nghĩa là chỉ có phần tải trọng dữ liệu của khung
sẽ được mã hố (khác với trường hợp trên là cả khung được mã hố)
Ở trường hợp thứ 2, việc mã hố chỉ xảy ra một cách gián tiếp trên lưu lượng
mạng, và điều này chỉ xảy ra khi mà thuật tốn mã hóa làm ảnh hưởng lên kích thước
dữ liệu được truyền đi. Trường hợp này thì giống như thuật tốn băm hoặc RSA
Trong trường hợp đầu thì loại mã hố này bao gồm cả phần mào đầu khung, vì
vậy làm giảm hiệu quả truyền tải trọng dữ liệu. Đây là một loại cơ chế được bổ sung
trong Ipv4 và Ipv6, nó khác với các cơ chế khác. Trong Ipv4 thì mã hố là một tuỳ
chọn được kích hoạt trong trường “tuỳ chọn” của mào đầu (bit thứ 6 trong dãy 32
bit), trong Ipv6 nó bao gồm cả những phần tiêu đề mở rộng (từ trường tuỳ ch
ọn được
sử dụng trong Ipv6) của 64 bit. Một hệ quả khác có thể nảy sinh là khi mà thêm vào
những tiêu đề và sự thay đổi kích thước khung làm xuất hiện các bản tin cho phiên
trao đổi chìa khố và điều này thì khơng xảy ra trong điều kiện bình thường (ví dụ
khơng có mã hố)
!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
137


SVTH: Vũ Văn Trực
6.1.2. Hàm băm đơn hướng

Hàm Băm đơn hướng H(M) hoạt động trên bản tin M có độ dài tuỳ ý nó tạo ra
một mã băm có độ dài cố định đầu ra h=H(M).
Nhiều hàm làm thay đổi độ dài đầu vào và cho ngược trở lại đầu ra có độ dài cố
định.
• Cho M ta dễ dàng tính tốn ra h.
• Cho h khó tìm ra được M
• Cho M khó để tìm ra được bản tin M’ sao cho H(M)=H(M’)
Sự khó khăn ở đây phụ thuộc vào mức độ bả
o mật tại mỗi vị trí nhưng đa số
các ứng dụng hiện nay xác định “độ khó” là cần 264 hoặc nhiều phép tính hơn nữa để
giải. Các loại hàm hiện nay bao gồm MD4, MD5 và thuật tốn băm an tồn(SHA).
Từ quan điểm mạng trên những thuật tốn này thường được sử dụng cho mục đích
chứng thực.
6.1.3. Mật mã đối xứng(với khố bảo mật)
Một thuật tốn mã hố v
ới khố bí mật làm thay đổi bản tin M có độ dài tuỳ ý
thành bản tin mã hố E
k
(M)=C có độ dài tương tự sử dụng khố k và biến đổi ngược
lại (D
k
(M)) sử dụng cùng khố hình 6.1.
Mã hóa Giải mã
C
Văn bản chuyển
thành mã
Mạng vệ
tinh
Bản tin M
Khố bí mật

K
Bản tin M
Khố bí mật
K

Hình 6.1 Hệ thống khố bí mật
Thuật tốn này xác định những đặc tính sau:
• D
k
(E
k
(M)) = M
• Cho M và k dễ dàng tính tốn ra được C
• Cho C và k dễ dàng tính tốn ra được M
• Cho M và C thì khó tìm ra được k
!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
138


SVTH: Vũ Văn Trực
Và tất nhiên trong trường hợp này rất khó khăn để tính tốn ra k vì với thuật
tốn mã hố dữ liệu tiêu chuẩn (DES) k có độ dài 256bit và thuật tốn mã hố dữ liệu
quốc tế (IDEA) thì k có độ dài 2128 bit.
Những thuật tốn này thì được sử dụng cho mục đích “đóng gói bảo mật dữ
liệu” trong mạng (ví dụ mã hố dữ liệu) và thường được sử dụng trong lĩnh vực
thương mại điện tử.
6.1.4. Mật mã b

ất đối xứng(với khố chung và riêng)
Trái với trường hơp trước, những thuật tốn này sử dụng 2 khố khác nhau
(hình 6.2) một khố e dùng để mã hố (gọi là khố cơng cộng) và một khố d dùng để
giải mã (gọi là khố riêng).

Hệ thống khố cơng cộng dành cho bảo mật

Hệ thống khố cơng cộng dành cho chứng thực
Hình 6.2 Hệ thống khố cơng cộng dành cho từng người và cho chứng thực
Xác định C=E
e
(M) và M=D
d
(C)
• D
d
(E
e
(M) =M
• Cho M và e dễ dàng tính tốn được C
!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
139


SVTH: Vũ Văn Trực
• Cho C và d dễ dàng tính tốn được M
• Cho M và C khó tìm ra được e và d

• Cho e khó tìm ra được d
• Cho d khó tìm ra được e
2 khố này “độc lập” , khố mã hố có thể được biết rộng rãi đó là lý do vì sao
nó được gọi là khố cơng khai, ngược lại khố riêng chỉ được biết để đối tượng giải
mã bản tin .
Thuật tốn phổ biến của loại này là RSA (được đặt tên của 3 nhà sáng lập là
Rivest, Shamir and Adleman). những thuật tốn này được sử dụng phổ biến trong
mã hố truyền (hình 6.2a) hoặ
c dùng cho chứng thực (hình 6.2b) giữa 2 hoặc nhiều
người muốn giao tiếp bằng phương pháp bảo mật.
6.2. Bảo mật nối mạng vệ tinh
Thách thức bảo mật trong mơi trường mạng vệ tinh được coi là một trong
những trở ngại chính để triển khai và phổ biến rộng rãi của truyền đa điểm IP vệ tinh
và các ứng dụng đa phương tiện nói chung. Vấn đề chính đ
ó là nghe trộm và hoạt
động đột nhập ngày càng dễ dàng hơn trong mạng mặt đất cố định hoặc mạng di động
do tính chất của vệ tinh là phát sóng.
Thêm vào đó độ trễ lớn và tỷ lệ lỗi bit cao trong hệ thống vệ tinh là ngun
nhân gây nên mất đồng bộ bảo mật mạng vệ tinh. Đây là một u cầu cần xem xét
cẩn thận hệ thống mã hố để ngăn chặn sự xuống c
ấp của QoS do xử lý mã hố. Một
vấn đề nữa, đặc biệt là multicast (truyền đa điểm) là số lượng thành viên của nhóm
multicast có thể sẽ rất lớn và có thể thay đổi thường xun.
6.2.1. IP security (IPsec)
ở đây chúng ta chỉ thảo luận các vấn đề liên quan đến chũ đề bảo mật IP
(IPSec).
Giao thức bảo mật IP được sử dụng để cung cấp cách mã hố tương thích dựa
trên dịch vụ
bảo mật (ví dụ như bảo mật, chứng thực và tính tồn vẹn) tại lớp IP.
Nó bao gồm giao thức chứng thực: chứng thực tiêu đề (AH), giao thức bảo mật:

đóng gói bảo mật tải trọng (ESP) và nó cũng bao gồm việc thiết lập liên kết bảo mật
internet và giao thức quản lý khố (ISAKMP).
IP AH và ESP có thể được ứng dụng độc lập hoặc kết hơp với nhau. mỗi giao
thức có th
ể hoạt động trong một hoặc 2 chế độ: chế độ transport hoặc chế độ tunnel
(hình 6.3).
!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
140


SVTH: Vũ Văn Trực

Hình 6.3 Chế độ transport trong IPv4
Cơ chế bảo mật của giao thức là chỉ thiết lập lên lớp dữ liệu và thơng tin liên
quan tới sự hoạt động của lớp IP như nội dung trong tiêu đề của IP thì khơng bảo vệ.
Trong chế độ tunnel thì cả phía trên lớpgiao thức dữ liệu và phần tiêu đề của gói IP
được bảo vệ hoặc đưa vào hầm thơng qua đóng gói.
chế độ transport thì được dành cho bảo vệ
end-to-end và chỉ có thể được triển
khai bởi nguồn và đích host của gói dữ liệu IP ban đầu. Chế độ tunnel có thể được
dùng giữa các tường lửa. Ipsec cho phép chúng ta xem xét bảo mật như là phát ra
end-to-end, được quản lý bởi đối tượng sở hữu dữ liệu, điều này so sánh với bảo mật
lớp liên kết dữ liệu mà được cung cấp bởi nhà điều hành vệ tinh hoặc nhà điều hành
mạng.
Bộ lọc cũng có thể được thiết lập bên trong các tường lửa để chặn một số gói IP
vào mạng dựa trên địa chỉ IP và số cổng. Nó cũng có cơ chế bảo mật tại lớp transport
như là secure socket layer (SSL) tại lớp liên kết hoặc lớp vật lý.


Hình 6.4 Chế độ tunnelling(trong cả Ipv4 và Ipv6)
6.2.2. VPN vệ tinh (Satellite VPN)
Một tường lửa bao gồm 2 router có khả năng lọc gói IP và cửa ngõ ứng dụng
cho kiểm tra lớp cao như hình 6.5.
!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
141


SVTH: Vũ Văn Trực
Hì
nh 6.5 VPN trong vệ tinh
Một cái ở đầu vào dùng để kiểm tra các gói vào và một ở đầu ra để kiểm tra gói
đầu ra. Một cổng ứng dụng, giữa các router thực hiện thêm việc kiểm tra giao thức dữ
liệu lớp cao bao gồm TCP, UDP, email, WWW và các ứng dụng dữ liệu khác.
Đây là cấu hình nhằm đảm bảo khơng có bất cứ gói nào vào hay ra mà khơng
phải thơng qua cổng ứng dụng. Bộ lọc gói được điều khiển bằng b
ảng và kiểm tra các
gói ngun. Cổng ứng dụng kiểm tra nội dung, kích thước bản tin và tiêu đề. IPSec
được sử dụng để cung cấp sự bảo mật giữa các mạng cơng ty thơng qua mơi trường
cơng cộng internet.
6.2.3. Bảo mật IP multicast
Trong bảo mật IP multicast, một trong những vấn đề chính là đảm bảo rằng
khố dùng để mã hố lưu lượng tất cả các thành viên của nhóm đều biết và chỉ có
những thành viên này, đây là vấn đề then chố
t của việc phân phối và quản lý khố.
Kích thước và trạng thái của nhóm multicast có ảnh hưởng rất lớn đến hệ thống phân

phối và quản lý khố, đặc biệt là các nhóm lớn. Có một số cấu trúc cho quản lý khố
mà đang được nghiên cứu gần đây.
Một mặt khác mà nghiên cứu cần đảm bảo rằng quản lý khố là có khả năng
thay đổi đối với một nhóm q lớn trong multicast vệ tinh; một trong những cơ chế

có triển vọng nhất là phân cấp khố hợp lý. Những khố này có thể dùng trong cấu
trúc bảo mật như IPSec, nghiên cứu này đang được điều khiển chỉ đạo độc lập cho
bất kỳ vệ tinh nào, nhưng kết quả dự kiến được áp dụng cho bảo mật hệ thống
multicast IP vệ tinh.
Để giải quyết vấn đề phức tạp trong cập nhật khố (rekey) tại những vùng có
quy mơ lớ
n, khái niệm phân cấp khố hợp lý (LKH) có thể được sử dụng như trong
hình 6.6. Khố được tổ chức vào cấu trúc cây, mỗi người dùng thì được phân phối
một chuỗi các khố cho phép một số trùng từ “lá” tới “gốc”. Người dùng có thể được
nhóm lại dựa trên cây này đễ họ chia sẻ một số khố chung do đó một bản tin có thể
được phát quảng bá để cập nhật các khố của một nhóm người dùng.
!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
142


SVTH: Vũ Văn Trực
Phân cấp của khố

Hình 6.6 Mơ hình của phân cấp khố hợp lý (LHK)
























!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
143


SVTH: Vũ Văn Trực
KẾT LUẬN
Liên kết mạng IP qua hệ thống vệ tinh thế hệ sau cho phép liên kết các mạng

mặt đất với nhau thơng qua hệ thống vệ tinh. Với những ưu thế về tính linh động,
phạm vi hoạt động bao phủ trên tồn thế giới, dễ dàng triển khai đối với các vùng hải
đảo xa xơi. Thêm vào đó do dựa trên cơng nghệ là IP sẵn có điều đó làm tăng khả
năng bảo trì, quản lý, triển khai trên diện rộng, cơng nghệ
ngày càng được cải tiến
dẫn đến chất lượng của các dịch vụ do vệ tinh cung cấp ngày càng được cải tiến một
cách đáng kể. Truyền thơng IP qua vệ tinh thực sự là một cơng nghệ đầy triển vọng
phát triển trong tương lai.
Trong phạm vi đồ án đã tìm hiểu một cách sơ lược về hệ thống vệ tinh, các đặc
điểm cũng như cách thức hoạt động.
Sau đó đồ án đã tìm hiểu về cơng nghệ IP một đặc trưng của mạng mặt đất,
cách thức đóng gói, các giao thức dùng trong mạng vệ tinh như liên kết dữ liệu lớp
cao (HDCL), giao thức điểm-điểm (PPP) và định tuyến trong mạng vệ tinh làm cho
một gói tin có thể đến được đúng đích mà nó cần chuyển đến.
Cuối cùng đồ án đề cập đến một vấn
đề có thể nói là một thách thức lớn đối với
tất cả các mạng khơng chỉ riêng mạng IP qua hệ thống vệ tinh đó là bảo mật. Đặc
điểm của mạng vệ tinh chính là truyền bằng vơ tuyến cho nên khả năng nghe trộm dữ
liệu cũng như xâm nhập vào mạng bất hợp pháp là rất lớn dẫn đến một u cầu bức
thiết là bảo vệ tính riêng tư c
ũng như tính tồn vẹn của dữ liệu được truyền đi.
Trong giai đoạn hiện nay, khi xu hướng của mạng viễn thơng là IP hóa hay
chuyển sang mạng thế hệ mới NGN. Một trong những ưu việt của NGN là tích hợp
giữa cố định và di động. Vì vậy, trong tương lai IP-vệ tinh sẽ được ứng dụng cho điện
thoại di động, các dịch vụ đa phương tiện. Khi đó, các dị
ch vụ viễn thơng sẽ rất linh
hoạt, kết hợp giữa truyền hình ảnh, số liệu và thoại. Đây cũng chính là hướng phát
triển tiếp theo của để tài.
Do kiến thức em còn hạn chế mà các vấn đề liên quan tới mạng vệ tinh khá
rộng nên trong phạm vi đề tài khơng thể đề cập hết được và khơng thể tránh khỏi sai

sót, em mong nhận được sự đóng góp ý kiến của các thầy và các bạn. Em chân thành
c
ảm ơn.








!!K Đồ án tốt nghiệp Liên kết mạng IP qua hệ thống vệ tinh thế hệ sauK!


GVHD:Võ Trường Sơn
144


SVTH: Vũ Văn Trực
TÀI LIỆU THAM KHẢO
[1].Zhili Sun, Satellite Networking: Principles and Protocols.
[2].Linghang Fan, Haitham Cruickshank, Zhili Sun, IP Networking over Next-
Generation Satellite Systems ,7-2007.
[3].PGS.Ts. Nguyễn Bình, Lý Thuyết Thơng Tin, 2006.
[4].Ths.Nguyễn Phạm Anh Dũng, Thơng Tin Vệ Tinh, 2007
[5].Nguyễn Quốc Tuấn, ISDN And Broadband ISDN With Frame Relay And
ATM, 2002.
[6].Website Tạp Chí Bưu Chính Viễn Thơng, www.tapchibcvt.gov.vn
.