Tài liệu Nghiên cứu giải pháp cấp chứng chỉ số trong mạng không dây di động manet

LỜI CẢM ƠN Lời đầu tiên tôi xin gửi lời cảm ơn chân thành và lòng biết ơn sâu sắc PGS.TS Nguyễn Văn Tam, người đã chỉ bảo và hướng dẫn tận tình cho tôi và đóng góp ý kiến quý báu trong suốt quá trình học tập, nghiên cứu và thực hiện luận văn này. Tôi xin trân trọng cảm ơn Ban giám hiệu trường đại học công nghệ thông tin và truyền thông, Đại học Thái nguyên, khoa CNTT đã giúp đỡ và tạo các điều kiện cho chúng tôi được học tập và làm khóa luận một cách thuận lợi. Và cuối cùng tôi xin gửi lời cảm ơn đến gia đình, người thân và bạn bè – những người luôn bên tôi và là chỗ dựa giúp cho tôi vượt qua những khó khăn nhất. Họ luôn động viên tôi khuyến khích và giúp đỡ tôi trong cuộc sống và công việc cho tôi quyết tâm hoàn thành luận văn này. Tuy nhiên do thời gian có hạn, mặc dù đã nỗ lực cố gắng hết mình nhưng chắc rằng luận văn khó tránh khỏi những thiếu sót. Rất mong được sự chỉ bảo, góp ý tận tình của Quý thầy cô và các bạn. Tôi xin chân thành cảm ơn! 1 LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu giải pháp cấp chứng chỉ số trong mạng không dây di động MANET” là do tôi tự tham khảo, nghiên cứu và hoàn thành dưới sự hướng dẫn của PGS.TS Nguyễn Văn Tam. Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan này. Hà Nội, ngày 01 tháng 10 năm 2015 LƯU XUÂN HÀ 2 MỤC LỤC LỜI CẢM ƠN ................................................................................................................................................1 LỜI CAM ĐOAN ...........................................................................................................................................2 MỤC LỤC ......................................................................................................................................................3 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT.....................................................................................5 DANH MỤC CÁC BẢNG .............................................................................................................................6 DANH MỤC HÌNH VẼ .................................................................................................................................7 I. NỘI DUNG ............................................................................................................................................9 CHƯƠNG I: MẠNG KHÔNG DÂY MANET VÀ NHỮNG VẤN ĐỀ AN NINH TRONG MẠNG KHÔNG DÂY MANET. ................................................................................................................................9 1.1. Giới thiệu mạng MANET ...............................................................................................................9 1.1.1. Giới thiệu chung .....................................................................................................................9 1.1.2. Định tuyến trong mạng MANET ............................................................................................9 1.2. Tổng quan một số vấn đề an ninh trong mạng MANET ..............................................................13 1.2.1. Tiêu chí an toàn trong mạng MANET ..................................................................................13 1.2.2. Thách thức an ninh trong mạng MANET .............................................................................14 1.2.3. Các mối đe dọa an ninh trong mạng MANET ......................................................................15 CHƯƠNG II: GIẢI PHÁP CẤP CHỨNG CHỈ SỐ TRONG MẠNG KHÔNG DÂY MANET ................21 2.1. Chữ ký số - Chứng chỉ số .............................................................................................................21 2.1.1. Chữ ký số ..............................................................................................................................21 2.1.2. Chứng chỉ số .........................................................................................................................24 2.2. Hệ thống cấp chứng chỉ số (Certification Authority – CA)..........................................................33 2.2.1. Mô hình CA đơn .........................................................................................................................33 2.2.2. Mô hình phân cấp .......................................................................................................................34 2.2.3. Mô hình mắt lưới (xác thực chéo) ..............................................................................................36 2.4.4 Mô hình Hub và Spoke (Bridge CA) ...........................................................................................38 2.2.5. Mô hình Web (Trust Lists) .........................................................................................................39 2.2.6 Mô hình người sử dụng trung tâm (User Centric Model)............................................................40 2.3. Giải pháp cấp chứng chỉ số xác thực thông tin định tuyến cho giao thức AODV........................41 2.3.1. Giải pháp an ninh cho giao thức AODV ...................................................................................41 2.3.2. Định dạng gói tin trong giao thức xác thực AODVLV ..............................................................46 2.3.3. Những thay đổi trong hoạt động của giao thức AODVLV so với giao thức AODV .................50 2.2.4. Mức độ an ninh của giao thức định tuyến AODVLV.................................................................52 3 CHƯƠNG III: CÀI ĐẶT MÔ PHỎNG, ĐÁNH GIÁ HIỆU SUẤT CỦA GIAO THỨC AODVLV SO VỚI GIAO THỨC AODV ...........................................................................................................................54 3.1. 3.1.1. Giới thiệu về NS-2 ................................................................................................................54 3.1.2. Kiến trúc của NS-2 ...............................................................................................................54 3.2. Phân tích thiết kế ..........................................................................................................................56 3.2.1. Phân tích hoạt động của phương thức tấn công blackhole ...................................................56 3.2.2. Phân tích thư viện dùng để mô phỏng ..................................................................................57 3.2.3. Công cụ phân tích và biểu diễn kết quả mô phỏng ...............................................................57 3.2.4. Các tham số hiệu suất cần được đánh giá giao thức AODVLV ...........................................58 3.2.5. Cách thức phân tích tệp vết ..................................................................................................58 3.3. III. Công cụ nghiên cứu chính NS-2...................................................................................................54 Chương trình mô phỏng ...............................................................................................................60 3.3.1. Thiết lập mạng mô phỏng giao thức .....................................................................................60 3.3.2. Đánh giá ảnh hưởng của giải pháp nghiên cứu đến hiệu suất của giao thức định tuyến ......70 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ........................................................................................73 1. Các kết quả của luận văn ..................................................................................................................73 2. Hướng phát triển của đề tài ..............................................................................................................74 IV. V. DANH MỤC CÁC TÀI LIỆU THAM KHẢO ................................................................................75 PHỤ LỤC .............................................................................................................................................77 1. Cài đặt mô phỏng tấn công blackhole ..............................................................................................77 2. Cài đặt cơ chế xác thực bằng chữ ký số trong giao thức AODVLV ................................................77 4 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT AODV Adhoc On-demand Distance IEEE Vector Institute of Electrical and Electronics Engineers ARAN Authenticated Routing for Adhoc Networks MANET Mobile Adhoc NETwork DDOS Distributed Denial of Service NS-2 Network Simulator 2 DOS Denial of Service RREP Route Reply DSDV Destination-Sequenced Distance Vector RERR Route error DSR Dynamic Source Routing RREQ Route Request CA Certificate authority SSL Secure socket layer EDRI Extended Data Routing Information SAODV Secure Adhoc Ondemand Distance Vector 5 DANH MỤC CÁC BẢNG Bảng 1.1: Các kiểu tấn công cơ bản trong MANET trên các tầng khác nhau ................... 15 Bảng 1.2: Khuôn dạng chứng chỉ X509............................................................................. 27 Bảng 3.1: Bảng các tham số cấu hình chung cho việc mô phỏng...................................... 62 Bảng 3.2: Kết quả tỉ lệ phân phát gói tin của giao thức AODV và giao thức AODVLV theo tốc độ di chuyển ......................................................................................................... 63 Bảng 3.3: Kết quả thời gian trung bình phản ứng của giao thức AODV và giao thức AODVLV theo tốc độ di chuyển ....................................................................................... 64 Bảng 3.4: Kết quả độ trễ trung bình của giao thức AODV và giao thức AODVLV theo tốc độ di chuyển ....................................................................................................................... 65 Bảng 3.5: Kết quả số gói tin bị mất của giao thức AODV và giao thức AODVLV theo tốc độ di chuyển ....................................................................................................................... 66 Bảng 3.6: Kết quả Tỉ lệ phân phát gói tin thành công của giao thức AODV và giao thức AODVLV theo số nút blackhole........................................................................................ 67 Bảng 3.7: Kết quả độ trễ trung bình của các gói tin CBR của giao thức AODV và giao thức AODVLV theo số nút blackhole ............................................................................... 68 Bảng 3.8: Kết quả số gói tin bị mất của giao thức AODV và giao thức AODVLV theo số nút blackhole ...................................................................................................................... 69 6 DANH MỤC HÌNH VẼ Hình 1.1: Phân loại các giao thức định tuyến trong mạng MANET ................................. 11 Hình 1.2: quá trình tìm đường trong AODV ..................................................................... 11 Hình 1.3: Phân loại tấn công trong giao thức định tuyến mạng MANET ......................... 16 Hình 1.4: Mô tả tấn công sửa đổi nguồn ............................................................................ 17 Hình 1.5: Mô tả tấn công giả mạo...................................................................................... 18 Hình 1.6: Mô tả tấn công chế tạo ...................................................................................... 18 Hình 1.7: Mô tả tấn công wormhole .................................................................................. 19 Hình 1.8: Mô tả tấn công black hole .................................................................................. 20 Hình 1.9: Nội dung của một chứng chỉ .............................................................................. 31 Hình 1.10: Nội dung của một chứng chỉ ............................................................................ 32 Hình 2.1: Mô hình CA đơn ............................................................................................... 34 Hình 2.2. Mô hình phân cấp............................................................................................... 35 Hình 2.3: Mô hình mắt lưới .............................................................................................. 37 Hình 2.4: Mô hình Hub và Spoke (Bridge CA) ................................................................ 39 Hình 2.1: Cách tính hàm băm khi bắt đầu phát sinh RREQ hay RREP ............................ 44 Hình 2.2: Định dạng gói RREQ trong giao thức AODVLV.............................................. 47 Hình 2.3: Định dạng gói RREP trong giao thức AODVLV .............................................. 48 Hình 2.4: Định dạng gói RERR trong giao thức AODVLV .............................................. 49 Hình 3.1: Tổng quan về NS-2 dưới góc độ người dùng .................................................... 54 Hình 3.2: Luồng các sự kiện cho file Tcl chạy trong NS .................................................. 56 Hình 3.3: Hoạt động của blackhole khi nhận một gói RREQ............................................ 57 Hình 3.4: Cấu trúc của tệp vết mạng không dây trong NS2 .............................................. 59 Hình 3.5: Biểu đồ thể hiện tỉ lệ phân phát gói tin của giao thức AODV so với AODVLV theo tốc độ di chuyển ......................................................................................................... 64 Hình 3.6: Biểu đồ thể hiện thời gian trung bình phản ứng của giao thức AODV so với AODVLV theo tốc độ di chuyển ....................................................................................... 65 Hình 3.7: Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR trong giao thức AODV so với AODVLV theo tốc độ di chuyển ............................................................................ 66 Hình 3.8: Biểu đồ thể hiện số gói tin bị mất trong giao thức AODV so với AODVLV theo tốc độ di chuyển ......................................................................................................... 67 Hình 3.9: Biểu đồ thể hiện tỉ lệ phân phát gói tin thành công trong giao thức AODV so với AODVLV theo số nút blackhole ................................................................................. 68 Hình 3.10: Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR của giao thức AODV và giao thức AODVLV theo số nút blackhole ................................................................... 69 Hình 3.11: Biểu đồ thể hiện số gói tin bị mất của giao thức AODV và giao thức AODVLV theo số nút blackhole........................................................................................ 70 7 MỞ ĐẦU Ngày nay với sự phát triển mạnh mẽ của các thiết bị di động cá nhân như: điện thoại thông minh, máy tính xách tay, máy tính bảng,… thì nhu cầu kết nối giữa các thiết bị này ngày càng đòi hỏi cao hơn trong tốc độ, khả năng di chuyển trong kết nối. Mạng MANET (Mobile Ad-hoc Network) là một công nghệ vượt trội đáp ứng nhu cầu kết nối nhờ khả năng hoạt động không phụ thuộc cơ sở hạ tầng, triển khai nhanh, linh hoạt ở nhiều địa hình khác nhau. Mạng MANET ngày càng đóng góp vị trí quan trọng. Nó có thể ứng dụng vào nhiều lĩnh vực trong cuộc sống như lĩnh vực quân sự, truyền thông trong điều kiện thiên tai,… Tuy nhiên chính vì hoạt động không phụ thuộc cơ sở hạ tầng, truyền thông trong không khí,… đã làm cho mạng MANET bộc lộ nhiều điểm yếu và dễ bị tấn công. Nghiên cứu xây dựng hệ thống thông tin an toàn và có tính bảo mật cao đang là nhu cầu cấp bách hiện nay. Thuật toán mật mã khóa công khai, đặc biệt là thuật toán RSA cho phép mã hóa, thực hiện chữ ký số để bảo đảm tính mật, tính xác thực, tính toàn vẹn thông tin khi truyền trên mạng. Chính vì vậy học viên chọn đề tài: “Nghiên cứu giải pháp cấp chứng chỉ số trong mạng không dây di động MANET”. Trong khuôn khổ luận văn, tác giả tập trung chủ yếu vào việc nghiên cứu bổ sung một cơ chế an ninh cho giao thức định tuyến. Cụ thể là bổ sung cơ chế an ninh cho giao thức định tuyến AODV tạm đặt là giao thức AODVLV. Bố cục của luận văn chia làm ba phần: Chương 1: MẠNG KHÔNG DÂY MANET VÀ NHỮNG VẤN ĐỀ AN NINH TRONG MẠNG KHÔNG DÂY MANET. Giới thiệu mạng MANET, các thách thức an ninh, các mối đe dọa an ninh. Chương 2: GIẢI PHÁP CẤP CHỨNG CHỈ SỐ TRONG MẠNG KHÔNG DÂY MANET Các vấn đề mật mã liên quan đến luận văn, đưa ra giải pháp xác thực thông tin định tuyến sử dụng chữ ký số - giao thức AODVLV. Chương 3: CÀI ĐẶT MÔ PHỎNG, ĐÁNH GIÁ HIỆU SUẤT CỦA GIAO THỨC AODVLV SO VỚI GIAO THỨC AODV Cài đặt mô phỏng giao thức AODVLV, xây dựng các kịch bản mô phỏng các tham số hiệu suất cho giao thức AODVLV, so sánh hiệu suất với giao thức AODV qua biểu đồ. 8 I. NỘI DUNG CHƯƠNG I: MẠNG KHÔNG DÂY MANET VÀ NHỮNG VẤN ĐỀ AN NINH TRONG MẠNG KHÔNG DÂY MANET. 1.1. Giới thiệu mạng MANET 1.1.1. Giới thiệu chung MANET Là mạng dựa trên mô hình độc lập ad hoc, các nút trong mô hình này giao tiếp trực tiếp với nhau mà không sử dụng một điểm truy cập nào. Do việc kết hợp giữa tính di động với mạng Ad hoc nên người ta thường gọi là mạng MANET (Mobile Ad-hoc-Network). Mạng MANET có các đặc điểm chính sau: - Cấu hình mạng động: Các nút có thể tự do di chuyển theo mọi hướng và không thể đoán trước được. - Băng thông hạn chế: Các liên kết không dây có băng thông thấp hơn so với đường truyền cáp và chúng còn chịu ảnh hưởng của nhiễu, suy giảm tín hiệu vì thế mà thường nhỏ hơn tốc độ truyền lớn nhất của sóng vô tuyến. - Năng lượng hạn chế: Một số hoặc tất cả các nút trong mạng MANET hoạt động phụ thuộc vào pin nên chúng bị hạn chế về khả năng xử lý và bộ nhớ. - Bảo mật kém: Do đặc điểm của mạng MANET là truyền sóng vô tuyến nên cơ chế bảo mật của mạng là kém hơn so với các mạng truyền cáp. Chúng tiềm ẩn nhiều nghi cơ bị tấn công đặc biệt là nghe nén, giả mạo hay tấn công DDOS, … 1.1.2. Định tuyến trong mạng MANET Các yêu cầu quan trọng đối với giao thức định tuyến trong mạng MANET: - Thích ứng nhanh khi tô-pô thay đổi: Do các nút trong mạng di chuyển liên tục, nhanh và không thể đoán trước nên phải tốn nhiều thời gian để có thể tìm ra tuyến đường đi, dẫn tới việc phải phát lại các gói tin tìm đường. - Thuật toán tìm đường thông minh, tránh tình trạng lặp định tuyến. - Đảm bảo cơ chế duy trì tuyến mạng trong điều kiện bình thường. - Bảo mật: do truyền tín hiệu trong không khí và dễ bị tấn công theo các phương thức nghe lén, giả mạo và ddos, ... nên các giao thức định tuyến cần phải được bổ sung cơ chế phát hiện, ngăn chặn và chống lại các kiểu tấn công. Các giao thức định tuyến chính trong mạng MANET: Một trong những phương pháp phổ biến để phân loại các giao thức định tuyến cho mạng MANET là dựa trên cách thức trao đổi thông tin định tuyến giữa các nút trong mạng. Theo 9 phương pháp này thì giao thức định tuyến trong mạng MANET được chia thành các loại sau: Các giao thức định tuyến theo yêu cầu, định tuyến theo bảng, và định tuyến lai ghép. - Các giao thức định tuyến theo yêu cầu (on-demand). Quá trình khám phá tuyến bắt đầu khi có yêu cầu và kết thúc khi có tuyến đường được tìm ra hoặc không tìm ra được tuyến do sự di chuyển của nút. Việc duy trì tuyến là một hoạt động quan trọng của định tuyến theo yêu cầu. So với định tuyến theo bảng, ít tiêu đề định tuyến là ưu điểm của định tuyến theo yêu cầu nhưng việc phải bắt đầu lại quá trình khám phá tuyến trước khi truyền dữ liệu gây trễ trong mạng. Các giao thức chính dạng này như: giao thức định tuyến vector khoảng cách theo yêu cầu AODV (Ad hoc On-demand Distance Vector Routing) và giao thức định tuyến định tuyến nguồn động DSR (Dynamic Source Routing), giao thức định tuyến theo thứ tự tạm thời TORA (Temporally Ordered Routing Algorithm). - Các giao thức định tuyến theo bảng (table-driven). Mỗi nút luôn lưu trữ một bảng định tuyến chứa các tuyến đường tới các nút khác trong mạng. Định kỳ mỗi nút đánh giá các tuyến tới các nút trong mạng để duy trì trạng thái kết nối. Khi có sự thay đổi cấu hình, các thông báo được truyền quảng bá trong toàn mạng để thông báo cho các nút cập nhật lại bảng định tuyến của mình. Với việc lưu trữ sẵn có tuyến đường làm cho tốc độ hội tụ mạng nhanh, tuy nhiên cơ chế định kỳ phát quảng bá thông tin tuyến làm tăng tải trong mạng. Các giao thức định tuyến theo bảng: giao thức định tuyến không dây WRP (Wireless Routing Protocol), giao thức định tuyến vector khoảng cách tuần tự đích DSDV (Dynamic DestinationSequenced Distance-Vector Routing), giao thức định tuyến trạng thái liên kết tối ưu OLSR (Optimized Link State Routing). - Các giao thức định tuyến lai ghép (hybrid) để kết hợp ưu điểm của hai loại giao thức trên và khắc phục các nhược điểm của chúng. 10 Hình 1.1: Phân loại các giao thức định tuyến trong mạng MANET Giao thức định tuyến AODV: là giao thức dựa trên thuật toán vector khoảng cách. Giao thức AODV tối thiểu hoá số bản tin quảng bá cần thiết bằng cách tạo ra các tuyến trên cơ sở theo yêu cầu. Hình 1.2: quá trình tìm đường trong AODV Quá trình tìm đường được khởi tạo bất cứ khi nào một nút cần truyền tin với một nút khác trong mạng mà không tìm thấy tuyến đường liên kết tới đích trong bảng định tuyến. Nó phát quảng bá một gói yêu cầu tìm đường (RREQ) đến các nút lân cận. Các nút lân cận này sau đó sẽ chuyển tiếp gói yêu cầu đến nút lân cận khác của chúng. Quá trình cứ tiếp tục như thế cho đến khi có một nút trung gian nào đó xác định được một tuyến “đủ tươi” để đạt đến đích hoặc gói tin tìm đường được tìm đến đích. AODV sử dụng số thứ tự đích để đảm bảo rằng tất cả các tuyến không bị lặp và chứa hầu hết thông tin tuyến hiện tại. Mỗi nút duy trì số tuần tự của nó cùng với ID quảng bá. ID quảng bá được tăng lên mỗi khi nút khởi đầu một RREQ và cùng với địa chỉ IP của nút, xác định duy nhất một RREQ. Cùng với số tuần tự và ID quảng bá, nút nguồn bao gồm trong RREQ hầu hết số tuần tự hiện tại của đích 11 mà nó có. Các nút trung gian trả lời RREQ chỉ khi chúng có một tuyến đến đích mà số tuần tự đích lớn hơn hoặc bằng số tuần tự chứa trong RREQ. Trong quá trình chuyển tiếp RREQ, các nút trung gian ghi vào Bảng định tuyến của chúng địa chỉ của các nút lân cận khi nhận được bản sao đầu tiên của gói quảng bá, từ đó thiết lập được một đường dẫn theo thời gian. Nếu các bản sao của cùng một RREQ được nhận sau đó, các gói tin này sẽ bị huỷ. Khi RREQ đã đạt đến đích hay một nút trung gian với tuyến “đủ tươi”, nút đích (hoặc nút trung gian) đáp ứng lại bằng cách phát unicast một gói tin trả lời (RREP) ngược trở về nút lân cận mà từ đó nó nhận được RREQ. Khi RREP được định tuyến ngược theo đường dẫn, các nút trên đường dẫn đó thiết lập các thực thể tuyến chuyển tiếp trong Bảng định tuyến của chỉ nút mà nó nhận được RREP. Các thực thể tuyến chuyển tiếp này chỉ thị tuyến chuyển tiếp. Cùng với mỗi thực thể tuyến là một bộ định thời tuyến có nhiệm vụ xoá các thực thể nếu nó không được sử dụng trong một thời hạn xác định. Trong giao thức AODV, các tuyến được duy trì với điều kiện như sau: Nếu một nút nguồn chuyển động, nó phải khởi động lại giao thức tìm đường để tìm ra một tuyến mới đến đích. Nếu một nút trên tuyến chuyển động, nút lân cận luồng lên của nó chú ý đến chuyển động đó và truyền một bản tin “Khai báo sự cố đường thông” đến mỗi nút lân cận tích cực luồng lên để thông báo cho các nút này xoá phần tuyến đó. Các nút này thực chất truyền một “Thông báo sự cố đường thông” đến các nút lân cận luồng lên. Quá trình cứ tiếp tục như vậy cho đến khi đạt đến nút nguồn. Nút nguồn sau đó có thể chọn khởi động lại một quá trình tìm đường tới đích đó nếu một tuyến vẫn cần thiết. Giao thức AODV sử dụng bản tin HELLO được phát quảng bá định kỳ bởi một nút để thông báo cho tất cả các nút khác về những nút lân cận của nó. Các bản tin HELLO được sử dụng để duy trì khả năng kết nối cục bộ của một nút. Tuy nhiên, việc sử dụng bản tin HELLO là không cần thiết. Các nút lắng nghe việc truyền lại gói dữ liệu để đảm bảo rằng vẫn đạt đến chặng kế tiếp. Nếu không nghe được việc truyền lại như thế, nút có thể sử dụng một trong số các kỹ thuật, kể cả việc tiếp nhận bản tin HELLO. Các bản tin HELLO có thể liệt kê các nút khác mà từ đó nút di động đã nghe tin báo, do đó tạo ra khả năng liên kết lớn hơn cho mạng. Giao thức AODV không hỗ trợ bất kỳ cơ chế an ninh nào để chống lại các cuộc tấn công. Điểm yếu chính của giao thức AODV là [6]: 12 - Kẻ tấn công có thể đóng giả một nút nguồn S bằng cách phát quảng bá gói RREQ với địa chỉ IP như là địa chỉ của nút nguồn S. - Kẻ tấn công có thể giả làm nút đích D bằng cách phát quảng bá gói RREP với địa chỉ như là địa chỉ của nút đích D. - Kẻ tấn công có thể giảm giá trị trường hop count trong RREQ và RREP để các nút nguồn cho rằng nó có tuyến đường đi ngắn nhất tới đích. - Kẻ tấn công có thể tăng giá trị trường sequence number trong RREQ và RREP làm các nút nguồn cho rằng nó có tuyến đường đi mới nhất đi tới đích. - Kẻ tấn công có thể phát ra gói tin thông báo tuyến đường bị lỗi làm sai lệch thông tin bảng định tuyến trong mạng. Như vậy giao thức AODV cần thiết ít nhất hai cơ chế: Chứng thực dữ liệu tại mỗi nút nhận và đảm bảo tính toàn vẹn của thông điệp định tuyến. 1.2. Tổng quan một số vấn đề an ninh trong mạng MANET 1.2.1. Tiêu chí an toàn trong mạng MANET Tính sẵn sàng: Đảm bảo cho mạng và các dich vụ trong mạng luôn hoạt động kể cả khi bị tấn công từ chối dịch vụ. Tại tầng vật lý và liên kết dữ liệu kẻ tấn công có thể sử dụng các kỹ thuật gây nhiễu, gây trở ngại cho giao tiếp. Trên tầng mạng, kẻ tấn công có thể phá vỡ các giao thức định tuyến… Tính toàn vẹn: Đảm bảo dữ liệu truyền thông không bị sửa đổi từ nguồn đến đích. Tính bí mật: Đảm bảo thông tin chỉ được biết bởi những người được phép, không bị tiết lộ cho các tổ chức trái phép. Tính xác thực: Đảm bảo một nút phải xác định được danh tính rõ ràng của một nút khác trong quá trình truyền dữ liệu với nó. Nếu không có tính xác thực một kẻ tấn công có thể mạo danh một nút, do đó đạt được quyền truy cập trái phép vào tài nguyên, thông tin nhạy cảm và ảnh hưởng đến hoạt động của các nút khác. Tính không chối bỏ: Đảm bảo một nút khi nhận được một thông điệp có thể biết chắc rằng thông điệp đó được gửi từ một nút nguồn nào đó. Và cũng đảm bảo nút nguồn không thể phủ nhận thông điệp mà nó đã gửi hay hành động mà nó đã thực hiện. 13 1.2.2. Thách thức an ninh trong mạng MANET Những điểm yếu cơ bản của mạng MANET [4] đến từ kiến trúc mở peer-topeer. Không giống như mạng có dây là nó có các routers, mỗi nút trong mạng ad hoc có chức năng như một router và chuyển tiếp gói tin cho những nút khác. Việc truyền tin trong không khí là nguy cơ của việc nghe nén thông tin. Khó kiểm soát việc một nút bên ngoài tham gia vào mạng. Không có cơ sở hạ tầng để có thể triển khai một giải pháp an ninh. Những kẻ tấn công có thể xâm nhập vào mạng thông qua việc tấn công các nút, từ đó làm tê liệt hoạt động của mạng. Việc giới hạn về tài nguyên trong mạng MANET cũng là một thách thức cho việc thiết kế bảo mật. Giới hạn băng thông của kênh truyền không dây và chia sẻ qua nhiều thực thể mạng. Khả năng tính toán của một nút cũng bị giới hạn. Các thiết bị không dây di chuyển nhiều hơn so với các thiết bị có dây. Hình trạng mạng thay đổi liên tục do sự di chuyển, tham gia hay rời khỏi mạng của các nút. Ngoài ra còn có nhiễu trong các kênh không dây làm ảnh hưởng tới băng thông và độ trễ. Do các nút di chuyển liên tục nên đòi hỏi các giải pháp an ninh cũng phải đáp ứng tại bất kỳ đâu, bất kỳ lúc nào khi chúng di chuyển từ chỗ này đến chỗ khác. Những đặc điểm trên của mạng MANET chỉ ra phải xây dựng lên giải pháp an ninh mà đáp ứng cả về an ninh và hiệu suất của mạng. - Giải pháp an ninh nên được cài đặt ở nhiều thực thể nút để cho hỗ trợ bảo vệ toàn mạng. Trong đó phải đáp ứng khả năng tính toán liên quan tới việc tiết kiệm năng lượng, bộ nhớ cũng như hiệu năng truyền thông của mỗi nút. - Giải pháp an ninh cần phải hỗ trợ ở nhiều tầng giao thức, mỗi tầng cung cấp một một tuyến phòng thủ. Không có giải pháp ở một tầng duy nhất có khả năng ngăn chặn tất cả các nguy cơ tấn công. - Giải pháp an ninh cần phải ngăn chặn những nguy cơ tấn công từ bên ngoài và từ bên trong mạng. - Giải pháp an ninh cần phải có khả năng ngăn chặn, phát hiện và chống lại cuộc tấn công. - Cuối cùng, giải pháp an ninh cần phải phù hợp với thực tiễn và chi phí thấp. 14 1.2.3. Các mối đe dọa an ninh trong mạng MANET Do những đặc điểm của mạng MANET nên chúng có những điểm yếu cố hữu và tiềm ẩn các nguy cơ đe dọa an ninh từ các cuộc tấn công. Các cuộc tấn công trong mạng MANET thường được chia thành hai nhóm. Các cuộc tấn công từ bên trong mạng: - Chủ động: Kẻ tấn công chủ động tham gia tấn công vào hoạt động bình thường của dịch vụ mạng, có thể là hủy gói tin, chỉnh sửa gói tin, phát lại gói tin, giả mạo gói tin, hay giả một nút nào đó để thực hiện gửi gói tin,… - Bị động: Kẻ tấn công không làm tê liệt hoạt động của mạng mà chỉ thực hiện các hành vi nghe trộm các thông tin trên đường truyền. Kiểu tấn công này rất khó phát hiện vì không có bất cứ việc chỉnh sửa hay làm thay đổi hoạt động bình thường của mạng. Các cuộc tấn công từ bên ngoài mạng: Mục đích thường nhắm đến của các cuộc tấn công từ bên ngoài có thể là gây ùn tắc, làm sai lệch thông tin định tuyến, ngăn chặn các dịch vụ hoặc làm tê liệt chúng. Các cuộc tấn công từ bên ngoài có thể được ngăn ngừa bằng cách sử dụng các giải pháp mã hóa, ids, firewall,… Ảnh hưởng của các cuộc tấn công từ bên trong thường lớn hơn so với các cuộc tấn công diễn ra từ bên ngoài mạng. Vì giả sử một nút độc hại khi đã tham gia vào bên trong mạng thì nó sẽ có đầy đủ các quyền tham gia vào dịch vụ mạng, cũng như các chính sách an ninh bên trong mạng. Nên việc tấn công như nghe lén, sửa đổi, hủy bỏ hay chỉnh sửa thông tin mạng là rất dễ dàng. Bảng 1.1: Các kiểu tấn công cơ bản trong MANET trên các tầng khác nhau Tầng Tấn công Tầng ứng dụng Repudiation, data corruption Tầng giao vận Session hijacking, SYN flooding Tầng mạng Spoofing, Fabrication, Wormhole, Blackhole, Modification, Denial of Service, Sinkholes, Sybil,Eavesdropping, traffic analysis, monitoring 15 Tầng liên kết dữ liệu Traffic analysis, monitoring, disruption MAC (802.11), WEP weakness Tầng vật lý Jamming, interceptions, eavesdropping Như bảng 1.1[7], chúng ta thấy các cuộc tấn công trong MANET có thể diễn ra ở bất kỳ tầng nào và mỗi tầng với những hình thức khác nhau có thể là tấn công chủ động hoặc tấn công bị động. Trong khuôn khổ luận văn, tác giả sẽ tập trung nghiên cứu các hình thức tấn công trong tầng mạng, cụ thể là các cuộc tấn công trong giao thức định tuyến mạng MANET. Từ đó đưa ra giải pháp cụ thể để có thể ngăn ngừa, hạn chế và chống lại các cuộc tấn công. Sau đây là một số kiểu tấn công cơ bản vào giao thức định tuyến mạng MANET [9]. MANET routing Attack Attack using Modification Attack using Impersonation Attack using Fabrication - Redirection by modified route sequence no’s - Redirection by spoofing - Route Cache poisoning - Redirection by modified hop count - Falsifying route error Special attacks - Worm hole - Black hole - Gray hole - Redirection by modified source Hình 1.3: Phân loại tấn công trong giao thức định tuyến mạng MANET 1.2.3.1. Tấn công sửa đổi (Attack using Modification) Trong kiểu tấn công này một số trường trong bản tin của giao thức bị sửa đổi và sau đó thông điệp được forward qua nhiều nút. Điều này trở thành nguyên nhân 16 phá vỡ tuyến đường, cũng như chuyển hướng tuyến hay gây ra một cuộc tấn công từ chối dịch vụ (Denial of Service attacks). Một vài kiểu tấn công thuộc kiểu này: Tấn công sửa đổi sequence numbers (Route sequence numbers modification) Kiểu tấn công này thể hiện rõ ràng nhất ở giao thức AODV. Trong kiểu tấn công này kẻ tấn công thực hiện sửa đổi số sequence number trong gói tin RREQ hoặc RREP đi qua chúng để tạo ra tuyến đường mới có hiệu lực nhất. Từ đó có thể tham gia được vào tuyến đường truyền dữ liệu từ nguồn tới đích. Tấn công sửa đổi trường Hop count Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức AODV. Trong kiểu tấn công này, kẻ tấn công thực hiện sửa đổi trường hop count trong gói tin RREQ, RREP, dẫn tới nút nguồn tưởng rằng đó là tuyến đường ngắn nhất và thực hiện truyền dữ liệu qua nó. Tấn công sửa đổi nguồn (Source route modification attack) Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức đinh tuyến nguồn DSR. Kẻ tấn công chặn thông điệp sửa đổi danh sách các nguồn trước khi gửi tới nút đích trong quá trình truyền. Ví dụ: Trong hình bên dưới, tuyến đường ngắn nhất giữa nút nguồn S và đích X là (S – A – B – C – D – X). S và X không thể truyền dữ liệu trực tiếp cho nhau và kịch bản như sau: nút M là nút độc hại cố gắng thực hiện tấn công từ chối dịch vụ. Giả sử nút nguồn S cố gắng gửi dữ liệu tới nút X nhưng nút M chặn gói tin và bỏ đi nút D trong danh sách và gói tin được chuyển tiếp đến nút C, nút C cố gắng gửi gói tin đến nút X nhưng không thể vì nút C không thể truyền tin trực tiếp tới nút X. Dẫn tới nút M thực hiện thành công cuộc tấn công DDOS trên X. S A B C D X M S A B M C D X Hình 1.4: Mô tả tấn công sửa đổi nguồn 17 1.2.3.2. Tấn công đóng giả (Attack using Impersonation) Trong kiểu tấn công này kẻ tấn công tấn công vào tính xác thực và tính bí mật của mạng. Kẻ tấn công đóng giả địa chỉ của một nút khác để thay đổi hình trạng của mạng. S A B C M D X X’’ Hình 1.5: Mô tả tấn công giả mạo Theo hình 1.4, nút S muốn gửi dữ liệu tới nút X và trước khi gửi dữ liệu tới nút X, nó khởi động quá trình tìm đường tới X. Nút M là nút độc hại, khi nút M nhận được gói tin tìm đường tới X, M thực hiện sửa đổi địa chỉ của nó thành địa chỉ của X, đóng giả nó thành nút X’. Sau đó nó gửi gói tin trả lời rằng nó chính là X tới nút nguồn S. Khi S nhận được gói tin trả lời từ M, nó không chứng thực và chấp nhận tuyến đường và gửi dữ liệu tới nút độc hại. Kiểu tấn công này cũng được gọi là tấn công lặp định tuyến trong mạng. 1.2.3.3. Tấn công chế tạo (Attack using Fabrication) Trong kiểu tấn công này, kẻ tấn công chèn vào mạng những thông điệp giả mạo hoặc gói tin định tuyến sai (fake routing packet) để đánh sập quá trình định tuyến. Kiểu tấn công giả mạo này rất khó phát hiện trong mạng MANET. Ví dụ: S A B C D X M Hình 1.6: Mô tả tấn công chế tạo Theo hình trên, nút nguồn S muốn gửi dữ liệu tới nút X, nó khởi động quá trình tìm đường tới X. Nút M là nút độc hại cố gắng chỉnh sửa tuyến đường và trả gửi gói tin trả lời tới nút S. Hơn nữa, một nút độc hại có thể giả mạo gói RERR để thông báo sự cố tuyến đường hỏng. 18 1.2.3.4. Tấn công đặc biệt Tấn công wormhole: Kẻ tấn công nhận những gói tin tại một nút trong mạng, thực hiện “tunnels” những gói tin này tới một nút khác trong mạng và sau đó phát lại chúng vào mạng. Bởi vì khoảng cách “tunneled” dài hơn khoảng cách một chặng bình thường nên kẻ tấn công có thể “tunneled” gói tin đạt metric tốt hơn những tuyến đường khác. VD: Hình 1.7: Mô tả tấn công wormhole Nút X và nút Y là hai đầu của kiểu tấn công wormhole. Nút X phát lại mọi gói tin trong vùng A mà nút Y nhận được trong vùng B và ngược lại. Dẫn tới việc tất cả các nút trong vùng A cho rằng là hàng xóm của các nút trong vùng B và ngước lại. Kết quả là, nút X và nút Y dễ dàng tham gia vào tuyến đường truyền dữ liệu. Khi đó chúng chỉ việc hủy bỏ mọi gói tin truyền qua chúng và như thế chúng đánh sập mạng. Tấn công blackhole: Trong kiểu tấn công này kẻ tấn công bất cứ khi nào nhận được gói tin tìm đường, ngay lập tức gửi gói tin trả lời rằng nó có tuyến đường mới nhất đi tới đích. Nút nguồn khi nhận được gói tin trả lời sẽ cập nhật vào bảng định tuyến đường đi tới đích và đi qua nút độc hại. Khi đó nút độc hại chỉ việc hủy tất cả các gói tin đi qua chúng và đánh sập mạng. Kiểu tấn công này rất thường gặp trong giao thức AODV. 19 Hình 1.8: Mô tả tấn công black hole Theo hình trên, nút nguồn S muốn truyền dữ liệu tới nút đích D. S tìm trong bảng định tuyến của nó và không tìm thấy đường đi tới nút D. Nút S bắt đầu phát quảng bá gói tin tìm đường tới nút D. Nút B là nút độc hại thực hiện tấn công blackhole. Gói tin tìm đường được phát quảng bá tới tất cả các nút hàng xóm của nút S trong đó có nút B. Ngay lập tức nút B gửi gói tin trả lời tới nút S rằng nó có tuyến đường mới nhất tới nút đích D với số sequence number lớn. Nút S nhận được gói tín trả lời đầu tiên từ B nên nó chấp nhận tuyến đường đi qua nút B để tới đích là nút D. Dữ liệu bắt đầu được truyền từ S tới D qua nút B. Nút B thực hiện hủy tất cả gói tin qua nó và cứ như vậy nó đánh sập mạng. Ở chương 1 này tác giả đã nêu tổng quan các đặc điểm về mạng MANET, các vấn đề an ninh trong mạng MANET, bao gồm: Các thách thức khi xây dựng một giải pháp an ninh; Các mối đe dọa an ninh, trong đó, tập trung chủ yếu vào việc phân tích các hình thức tấn công trong tầng mạng, cụ thể là các cuộc tấn công trong giao thức định tuyến; Chỉ ra một số giải pháp tăng cường an ninh trong giao thức định tuyến mạng MANET. Dựa trên việc phân tích, đánh giá các ưu nhược điểm của các giải pháp có sẵn, tác giả lựa chọn xây dựng một giải pháp tăng cường an ninh cho giao thức định tuyến AODV, một giao thức hoạt động rất hiệu quả trong mạng MANET. Chi tiết về giải pháp được trình bày chi tiết trong chương 2 của luận văn. 20