ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ZY







ĐƯỜNG TẤT TOÀN

NGHIÊN CỨU GIAO THỨC MOBILE IP
VÀ GIẢI PHÁP BẢO MẬT







LUẬN VĂN THẠC SĨ

Hà Nội - 2006
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ZY







ĐƯỜNG TẤT TOÀN

NGHIÊN CỨU GIAO THỨC MOBILE IP
VÀ GIẢI PHÁP BẢO MẬT





LUẬN VĂN THẠC SĨ



Ngành: Công nghệ thông tin
Mã số: 1.01.10



NGƯỜI HƯỚNG DẪN KHOA HỌC
PGS. TS. NGUYỄN VĂN TAM









Hà Nội - 2006

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
1

MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT 4
DANH MỤC CÁC HÌNH VẼ 5
MỞ ĐẦU
7
Chương 1 TỔNG QUAN 9

1.1. Tình hình phát triển của truyền thông không dây 9
1.1.1. Sự phát triển của mạng thông tin di động 9
1.1.2. Mạng LAN không dây 11
1.1.3. Mạng riêng không dây và mạng Ad hoc 12
1.1.4. Nhận xét 12
1.2. Phân loại đặc tính di động của nút 13
1.3. Các vấn đề trong kết nối khi di động 13
1.3.1. Gián đoạn kết nối 14
1.3.2. Băng thông thấp 14
1.3.3. Sự biến đổi băng thông 14
1.3.4. Các mạng không thuần nhất 15
1.3.5. Các nguy cơ an ninh 15
1.4. Hạn chế của mạng IP truyền thống 16
1.4.1. Giao thức TCP/IP 16
1.4.2. Giao thức IPv4 19
1.4.3. Giao thức IPv6 23
1.4.4. Nhận xét 26
1.5. Giao thức hỗ trợ di động macro Mobile IP 27
1.6. Các giao thức hỗ trợ di động micro 28
1.6.1. Hierachical Mobile IP 29
1.6.2. Fast Handoff 30
1.6.3. Proactive Handoff 30
1.6.4. TeleMIP 31
1.6.5. Cellular IP 31
1.6.6. HAWAII 31
1.6.7. EMA 32
1.7. Kết luận chương 32

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN

2
Chương 2 GIAO THỨC MOBILE IP 33
2.1. Tổng quan về Mobile IP 33
2.1.1. Giới thiệu 33
2.1.2. Các thành phần cơ bản của một mạng mobile IP 34
2.1.3. Phương thức hoạt động của Mobile IP 36
2.2. Quá trình phát hiện trạm 40
2.2.1. Quảng bá của trạm 40
2.2.2. Yêu cầu quảng bá 44
2.2.3. Cơ chế phát hiên sự di chuyển 44
2.3. Quá trình đăng ký địa chỉ 45
2.3.1. Bản tin yêu cầu đăng ký 45
2.3.2. Cấu trúc bản tin trả lời đăng ký 48
2.4. Quá trình trao đổi thông tin 49
2.5. Quá trình huỷ bỏ đăng ký địa chỉ 51
2.6. Tối ưu hoá định tuyến 51
2.6.1. Bảng địa chỉ trong bộ nhớ đệm của nút chuyển tiếp 52
2.6.2. Cơ chế tạo Binding Cache 52
2.6.3. Điều khiển chuyển giao mềm giữa các Foreign Agent 54
2.7. Một số lưu ý trong Mobile IP 60
2.7.1. Một số vấn đề cần lưu ý với Mobile Node 60
2.7.2. Những điểm cần lưu ý với Foreign Agent 61
2.7.3. Những điều cần lưu ý với Home Agent 63
2.7.4. Một số vấn đề định tuyến trong Mobile IP 65
2.7.5. Một số phương pháp đóng gói trong Mobile IP 66
2.8. Kết luận chương 72
Chương 3 GIẢI PHÁP BẢO MẬT CHO MOBILE IP 73
3.1. Nguy cơ an ninh và bảo mật trong Mobile IP 73
3.1.1. Các yêu cầu bảo mật thông tin trên mạng 73
3.1.2. Các nguy cơ với bảo mật của Mobile IP 73

3.1.3. Các giải pháp bảo mật cho Mobile IP 75
3.2. Chống tấn công replay trong Mobile IP 76
3.2.1. Chống tấn công replay bằng nhãn thời gian 77
3.2.2. Chống tấn công bằng Nonces 78
3.3. Giải pháp xác thực cho Mobile IP 79

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
3
3.3.1. Chuẩn xác thực thông điệp trong Mobile IP 79
3.3.2. Xác thực theo cơ chế yêu cầu/đáp ứng 82
3.3.3. Xác thực theo cơ chế khóa công khai PKA 85
3.3.4. Xác thực với khóa công khai tối thiểu 88
3.4. Giải pháp với kiến trúc AAA 89
3.4.1. Xác thực, kiểm soát và tính phí với AAA 89
3.4.2. Phân phối khóa với hạ tầng AAA 91
3.5. Giải pháp với Hệ thống tường lửa 92
3.5.1. Tránh xung đột với lọc đầu vào bằng đường hầm nghịch 92
3.5.2. Bổ sung tính năng cho firewall 94
3.6. Giải pháp mã hóa dữ liệu với IPSec 95
3.6.1. IPSec 95
3.6.2. Giải pháp IPSec trong Mobile IP 97
3.6.3. Cải tiến trao đổi khóa cho IPSec trong Mobile IP 100
3.7. Kết luận chương 103
Chương 4 ỨNG DỤNG MOBILE IP TRONG MẠNG CCFSCnet 104
4.1. Giới thiệu mạng thông tin quản lý thiên tai CCFSCnet 104
4.1.1. Sự ra đời của hệ thống thư điện tử WAFFLE (1994) 104
4.1.2. Sự ra đời của mạng DMUnet (1998) 104
4.1.3. Mạng CCFSCnet hiện tại 105
4.2. Khả năng ứng dụng Mobile IP 108

4.3. Giải pháp Cisco Mobile VPN 109
4.3.1. Giới thiệu 109
4.3.2. Kiến trúc Cisco Mobile VPN 110
4.3.3. Cơ chế tương hỗ giữa IPsec và Mobile IP 112
4.3.4. Một số lưu ý khi triển khai Cisco Mobile VPN 113
4.4. Triển khai tại mạng CCFSCnet 114
4.5. Kết luận chương 115
KẾT LUẬN 116
TÀI LIỆU THAM KHẢO 118

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
4

DANH MỤC CÁC TỪ VIẾT TẮT

CMC Cisco Mobile Client
CN Correspondent Node
COA Care-of Address
FA Foreign Agent
GFA Gateway Foreign Agent
HA Home Agent
IP Internet Protocol
MN Mobile Node
POA Point of Attachement
SA Security Association
SPI Security Parameter Index
TCP Transmission Control Protocol
VPN Virtual Private Network
WGAN Wireless Global Area Network

WLAN Wireless Local Area Network
WPAN Wireless Personal Area Network
WWAN Wireless Wide Area Network

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
5

DANH MỤC CÁC HÌNH VẼ

Hình 1: Sự phát triển của mạng di động từ 2G lên 3G 9
Hình 2: Giao thức TCP/IP và mô hình OSI 16
Hình 3: Các trường trong IP Header 19
Hình 4: Lưu đồ quá trình định tuyến 23
Hình 5: Các trường trong Header IPv6 24
Hình 6: Cơ chế hoạt động cơ bản của Mobile IP 27
Hình 7: Bảng quản lý địa chỉ tại Home Agent 37
Hình 8: Bảng quản lý địa chỉ tại Foreign Agent 38
Hình 9: Quá trình định tuyến trong Mobile IP 39
Hình 10: Cấu trúc bản tin ICMP 41
Hình 11: Phần mở rộng của bản tin ICMP 42
Hình 12: Ph
ần mở rộng của Prefix-Length 43
Hình 13: Cấu trúc của bản tin yêu cầu đăng ký 46
Hình 14: Cấu trúc của phần mở rộng bản tin yêu cầu đăng ký 47
Hình 15: Cấu trúc của bản tin trả lời đăng ký 48
Hình 16: Quá trình chuyển gói tin tới MN 50
Hình 17: Quá trình định tuyến gói tin trong mạng 51
Hình 18: Quá trình tạo các Binding Cache 53
Hình 19 Quá trình cập nhật địa chỉ 54

Hình 20: Quá trình chuyển giao mềm 55
Hình 21: Cấu trúc bản tin cảnh báo địa chỉ 56
Hình 22: Cấ
u trúc bản tin yêu cầu địa chỉ 57
Hình 23: Cấu trúc bản tin cập nhật địa chỉ 58
Hình 24: Cấu trúc bản tin trả lời cập nhật địa chỉ 59
Hình 25: Quá trình trao đổi các bản tin để phát hiện và cập nhật địa chỉ mới 60
Hình 26: Đóng gói IP trong IP 67
Hình 27: Đóng gói Minimal Encapsulation for IP 68
Hình 28: Minimal Encapsulation Header 69
Hình 29: Khuôn dạng thông điệp mở rộng xác thực MN và HA 81

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
6
Hình 30: Khuôn dạng thông điệp mở rộng xác thực MN và FA 82
Hình 31: Khuôn dạng thông điệp mở rộng xác thực MA và FA 82
Hình 32 Hạ tầng kiểm tra 83
Hình 33 Mở rộng challenge 83
Hình 34 Mở rộng Challenge MN-FA 85
Hình 35 Mở rộng quảng bá Agent 86
Hình 36 Thông điệp yêu cầu đăng ký nhận bởi FA 86
Hình 37 Thông điệp yêu cầu đăng ký gửi tới HA 87
Hình 38 Thông điệp trả lời đăng ký từ FA 87
Hình 39 Thông đi
ệp trả lời đăng ký MN nhận được 88
Hình 40: Mô hình Mobile IP/AAA cơ bản 90
Hình 41: Các thiết lập bảo mật trong mô hình Mobile IP/AAA 90
Hình 42: Gói tin quảng bá của Agent 93
Hình 43: Gói tin IP được bảo vệ bởi IPSec trong chế độ giao vận và chế độ

đường hầm 96
Hình 44: Mở rộng quảng bá IPSec tại FA 99
Hình 45: Mở rộng yêu cầu IPSec tại MN 99
Hình 46: Tiêu đề thông điệp ISAKMP 101
Hình 47: Tải dữ liệu “Cập nhật địa chỉ
IP” (IP Address Update) 102
Hình 48: Hệ thống mạng CCFSCnet 106
Hình 49: Kiến trúc mạng riêng ảo (Cisco VPN) 110
Hình 50: Một topo ví dụ cho kiến trúc Mobile VPN 111
Hình 51: Tương hỗ giữa Mobile IP Tunnel và IPsec Tunnel 113
Hình 52: Mạng CCFSCnet được bổ sung thêm 115


Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
7

MỞ ĐẦU

Internet và truyền thông di động và không dây đang phát triển một cách
nhanh chóng. Trong đó, các thông tin và dịch vụ được triển khai thông qua giao
thức IP chiếm ưu thế. Nhu cầu duy trì liên tục các kết nối IP của các thiết bị di động
trở nên hết sức cần thiết. Giao thức Mobile IP đã ra đời và được đưa vào ứng dụng
để đáp ứng nhu cầu này.
Mục tiêu của Mobile IP là hỗ trợ khả năng kết nối IP khi các thiết bị
di
chuyển trong liên mạng với kết nối không dây nên vấn đề bảo mật dữ liệu là rất
quan trọng.
Luận văn sẽ đi vào nghiên cứu Mobile IP như là sự hỗ trợ cho kết nối IP
của các thiết bị không cố định và vấn đề bảo mật dữ liệu gắn liền với giao thức này

Luận văn được chia thành bốn chương chính:
Chương 1 – Tổng quan. Giới thiệu một cách tổng quan về tình hình phát
triển, thách thức và xu hướng của truyền thông không dây. Qua đó, thấy rằng nhu
cầu tính toán, kết nối và chạy các ứng dụng mạng của người dùng trong khi không ở
tại văn phòng là tất yếu. Chương 1 cũng nêu ra các vấn đề mà người dùng sẽ gặp
phải trong quá trình kết nối khi di động. Từ những vấn đề nảy sinh trong qúa trình
di động, chương 1 cũng sẽ đưa ra các hạ
n chế của họ giao thức TCP/IP. Từ đó, thấy
được sự cần thiết của việc bổ sung thêm các tính năng cho phép người dùng có thể
thiết lập, duy trì kết nối, duy trì các ứng dụng trong khi di chuyển.
Chương 2 – Giao thức Mobile IP. Chương này sẽ đi sâu phân tích các đặc
tính kỹ thuật của Mobile IP: các thành phần cơ bản của Mobile IP, phương thức
hoạt động của Mobile IP cũng như các vấn đề cần lư
u ý trong Mobile IP.
Chương 3 – Giải pháp bảo mật cho Mobile IP. Trong chương này, các
vấn đề về nguy cơ an ninh đặc thù của Mobile IP được phân tích. Do đặc điểm của
người dùng khi di động là sử dụng các kết nối không dây, do đó các nguy cơ về an

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
8
ninh sẽ liên quan tới đặc tính là dữ liệu được truyền qua sóng vô tuyến. Mặt khác,
do đặc tính của quá trình thiết lập kết nối trong Mobile IP, nguy cơ bị tấn công an
ninh cũng cần được phân tích. Qua các phân tích về nguy cơ bản mật, chương này
trình bày một số giải pháp về an ninh và bảo mật cho Mobile IP.
Chương 4 – Ứng dụng Mobile IP trong mạng CCFSCnet. Chương này
sẽ trình bày hiện trạng mạng thông tin quản lý thiên tai của Văn phòng Ban chỉ đạo
Phòng chố
ng Lụt bão Trung Ương. Bên cạnh, giải pháp kết hợp Mobile IP với khả
năng bảo mật Cisco Mobile VPN được phân tích. Qua đó, một đề xuất ứng dụng

giải pháp Cisco Mobile VPN cho mạng CCFSCnet được đưa ra.
Phần Kết luận trình bày các đánh giá rút ra qua quá trình thực hiện luận
văn, khả năng ứng dụng và phương hướng nghiên cứu tiếp theo về các nội dung của
luận văn.
Tuy học viên đã cố gắ
ng thu thập và nghiên cứu tài liệu nhưng chưa có điều
kiện để có thể thực hiện các thử nghiệm thực tế. Do đó luận văn sẽ không tránh khỏi
có những thiếu sót. Rất mong được sự đóng góp ý kiến, nhận xét để học viên có thể
hoàn thiện được kết quả làm việc của mình.

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
9

Chương 1 TỔNG QUAN

1.1. Tình hình phát triển của truyền thông không dây
1.1.1. Sự phát triển của mạng thông tin di động
Trong những năm gần đây các hệ thống không dây và di động đã có rất
nhiều phát triển [19] . Các mạng thông tin đã chuyển từ mạng thế hệ thứ nhất (1G –
First Generation) sang thế hệ thứ hai (2G – Second Generation) và đang chuyền
sang mạng thế hệ thứ ba (3G – Third Generation).

Hình 1: Sự phát triển của mạng di động từ Analog lên 3G
Mạng thông tin di thế hệ thứ nhất là các mạng chuyển mạch tương tự truyền
thống đã chuyển sang mạng thế hệ hai với các khả năng thông tin di động với công
nghệ số. Một số mạng thông tin di động trải qua quá trình truyển tiếp thông qua thế

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN

10
hệ mạng 2,5G (digital evolved 2G). Mạng thông tin di động 3G đã được triển khai
tại một số nước trên thế giới và mạng 4G bắt đầu đang được thử nghiệm.
Trong các công nghệ của mạng thông tin di động, hệ thống thông tin di
động GSM giành được nhiều thành công nhất và được triển khai tại hơn 174 nước
trên thế giới và là hệ thống thông tin di động số duy nhất ở châu Âu. Trong khi đó,
khoảng 32% thuê bao di động tại Mỹ và Canada v
ẫn sử dụng hệ thống tương tự
AMPS (Advanced Mobile Phone Services). Các hệ thống di động 2G được sử dụng
chủ yếu cho thông tin thoại và có tốc độ dữ liệu thấp (9,6 – 14.4 Kbps). Các công
nghệ chuyển tiếp giữa 2G và 3G đã được khuyến nghị để sớm đạt được tốc độ dữ
liệu nhanh hơn với chi phí thấp hơn các hệ thống thế hệ 3G.
Trong các công nghệ 2G, HSCSD (High-Speed Circuit-Switched Data) xuất
hiện do nhu cầu khắc phục tốc độ thấp trong truyền dữ liệu của mạng GSM.
HSCSD được khuyến nghị bởi ETSI trong năm 1997. Tư tưởng chính của công
nghệ này là khai thác nhiều hơn một khe thời gian song song trong số tám khe thời
gian và cho khả năng tăng tương đối tốc độ dữ liệu.
Tại Nhật Bản, các dịch vụ i-mode giành được những thành công lớn. Các hệ
thống này được giớ
i thiệu vào đầu năm 1999. Các dịch vụ i-mode có sử dụng giao
thức HTML rút gọn tạo thuận lợi trong giao tiếp với mạng Internet. Các thuê bao có
thể gửi/nhận thư điện tử và truy cập nhiều dịch vụ cơ sở dữ liệu, giải trí, giao dịch,
duyệt web.
Dịch vụ GPRS (General Packet Radio Service) và EDGE (Enhanced Data
Rates for GSM Evolution) cũng đã được đưa ra như các công nghệ dữ liệu chuyển
tiếp cho việc phát triể
n của GSM. GPRS là một mở rộng GSM theo “mode” gói tin
– qua đó khai thác hạ tầng mạng hiện có. GPRS hiện đã được triển khai rộng rãi
trên các mạng thông tin di động GSM tại Việt Nam (Vinaphone, Mobifone, Viettel).
Mạng thông tin di động thế hệ ba (3G) được đặc trưng bởi sự dịch chuyền

trọng tâm từ “thoại” sang các dịch vụ đa phương tiện. Các hệ thống 3G có khả năng

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
11
cung cấp tốc độ truyền dữ liệu cao hơn và có khả năng cung cấp nhiều dịch vụ hơn
như:
• Các dịch vụ thoại nâng cao: hội thảo thoại, thư thoại;
• Các dịch vụ truyền dữ liệu tốc độ thấp: nhắn tin, thư điện tử, fax;
• Các dịch vụ truyền dữ liệu tốc độ trung bình như truyền t
ệp, truy
cập Internet
• Các dịch vụ truyền dữ liệu tốc độ cao để hỗ trợ truy cập các mạng
chuyển mạch và chuyển mạch gói tốc độ cao
• Các dịch vụ đa phương tiện: cung cấp đồng thời hình ảnh động, âm
thanh, dữ liệu để hỗ trợ các ứng dụng tương tác
• Hỗ trợ đa phương tiện và các mức chấ
t lượng dịch vụ khác nhau.
Mạng thông tin di động thế hệ thứ 4 (4G) đang được nghiên cứu, thử
nghiệm và hoàn thiện với một số đặc trưng như:
• Dựa trên nền mạng IP.
• Hỗ trợ tốt hơn tính năng di động
• Hỗ trợ nhiều công nghệ không dây khác nhau
• Hỗ trợ bảo mật End-to-End
1.1.2. Mạng LAN không dây
Một phần rất quan tr
ọng trong sự phát triển của các mạng không dây đó là
mạng cục bộ không dây (WLAN – Wireless Local Area Network) [19] .
Các hệ thống WLAN cho phép cung cấp các ứng dụng có tốc độ truyền dữ
liệu rất cao và rất thuận tiện cho việc xây dựng các mạng máy tính trong môi trường

mà việc lắp đặt các đường cáp là tốn kém hoặc không khả thi.

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
12
Ngày nay, chuẩn WLAN phổ biến nhất là IEEE 802.11b (còn có tên khác là
Wi-Fi). Ngoài ra, cũng có các chuẩn mạng WLAN khác như chuẩn mạng LAN
không dây HIPERLAN (High Performance LAN) được ứng dụng tại châu Âu.
1.1.3. Mạng riêng không dây và mạng Ad hoc
Các mạng WLAN ngày nay thường cần một mạng hạ tầng để cung cấp kết
nối tới các mạng khác. Các mạng không dây Ad hoc không cần một hạ tầng. Trong
các hệ thống tham gia mạng Ad hoc, các trạm di động có thể đóng vai trò là các
trạm trung gian trong quá trình truyền dữ li
ệu từ trạm nguồn tới trạm đích. Thách
thức trong thiết kế các mạng ad hoc đó là khả năng phát triển các giao thức định
tuyến động, sao cho có thể tìm đường một cách hiệu quả cho gói tin từ trạm nguồn
tới trạm đích.
Kiến trúc mạng WLAN không cần tới một hạ tầng với một phạm vi rất nhỏ
để kết nối các thiết bị nhỏ khác nhau gầ
n kề - có thể là một không gian của cá nhân
đang sử dụng các thiết bị đó – được gọi là mạng WPAN (Wireless Personal Area
Network). Một ví dụ của mạng WPAN là Bluetooth.
1.1.4. Nhận xét
Như vậy, các công nghệ kết nối không dây có thể được xếp thành ba loại cơ
bản dựa trên vùng phủ và các yêu cầu về đi động [19] :
• WWAN (Wireless Wide Area Network)
• WLAN (Wireless Local Area Network)
• WPAN (Wireless Personal Area Network)
Trong tương lai, các kết nối mạng thông qua vệ tinh tới các thiết b
ị của

người dùng cũng không phải xa vời. Khi đó, ta sẽ có mạng kết nối không dây toàn
cầu :
• WGAN (Wireless Global Area Network)

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
13
1.2. Phân loại đặc tính di động của nút
Dựa trên đặc tính dịch chuyển tương đối của các thiết bị di động trong
mạng – trong tài liệu này sẽ gọi là các nút di động (mobile node - MN), nhìn chung
đặc tính di động được phân thành bốn lớp:
- Di động pico (Picomobility) là sự dịch chuyển của MN trong phạm vi
một BS (Base Station) – ví dụ như một điểm kết kết nối không dây
WiFi. Không gian hoạt động của MN là không gian xung quanh người
dùng và thường trong bán kính 10m. Ở
đây sự di động đó được quản lý
ở tầng vật lý.
- Di động micro (Micromobility) là sự dịch chuyển của MN trong phạm vi
một BShoặc giữa các BS nhưng bên trong phạm vi của một subnet và
xảy ra rất nhanh. Quản lý sự đi động ở mức micro nên thuộc về lớp liên
kết (tầng 2) – vốn cũng đã được triển khai trong các mạng di động
(cellular) hiện tại.
- Di độ
ng macro (Macromobility) là sự dịch chuyển của MN giữa các
subnet trong phạm vi một miền hoặc vùng, thường xảy ra ít thường
xuyên. Giải pháp cho di động macro này là các giao thức di động liên
mạng (lớp 3) như Mobile IP.
- Di động toàn cục (Global mobility) là sự dịch chuyển của MN giữa các
miền quản lý hoặc giữa các vùng địa lý khác nhau. Giải pháp cho sự di
động này cũng là các kỹ thuật ở lớp 3 như Mobile IP.

1.3. Các vấn đề trong kết n
ối khi di động
Các máy trạm thường thì có thể kết nối hữu tuyến với mạng để có thể đạt
được kết nối chi phí thấp hơn và chất lượng cao hơn khi cố định, nhưng các máy
trạm đó cần các truy cập không dây để kết nối khi di động [13] .
Kết nối không dây thường khó khăn hơn nhiều nếu so sánh với kết nối hữu
tuyến bởi vì môi trường xung quanh tác động vớ
i tín hiệu, cản trở đường truyền của

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
14
tín hiệu, và gây ra nhiễu. Hậu quả là các kết nối không dây thường có chất lượng
thấp hơn kết nối hữu tuyến: băng thông thấp hơn, tỷ lệ lỗi lớn hơn và hay bị gián
đoạn hơn. Các yếu tố này sẽ làm tăng độ trễ trong truyền thông vì phải truyền lại
gói tin, trễ do chờ thời gian chờ truyền lại, xử lý các giao thức kiểm soát lỗi, và các
gián đoạ
n nhỏ.
Các kết nối không dây có thể bị gián đoạn hoặc bị suy giảm bởi sự di động.
Người dùng có thể di chuyển ra khỏi vùng phủ sóng hoặc di chuyển vào vùng nhiễu
cao. Không giống như các mạng hữu tuyến điển hình, số lượng các thiết bị trong
một vùng thay đổi thường xuyên và sự tập trung nhiều những trạm di động có thể
gây quá tải mạng.
1.3.1. Gián đoạn k
ết nối
Các hệ thống máy tính ngày nay vẫn phụ thuộc nhiều vào hệ thống mạng và
có thể ngừng hoạt động khi hệ thống mạng có sự cố. Sự cố mạng cần được chú ý
nhiều hơn trong các thiết kế hệ thống di động so với trong thiết kế các hệ thống
truyền thống vì truyền thông không dây dễ bị ảnh hưởng hơn về gián đoạn kế
t nối.

1.3.2. Băng thông thấp
Các thiết kế hệ thống di động cần chú ý về chi phí băng thông và các ràng
buộc nhiều hơn khi thiết kế các hệ thống cố định bởi vì các mạng không dây cung
cấp băng thông thấp hơn các mạng hữu tuyến. Băng thông mang được chia sẻ giữa
các người dùng trong cùng một tế bào. Băng thông thực tế của mỗi người dùng do
đó không phải là toàn bộ băng thông truyề
n dữ liệu. Để cải thiện năng lực của
mạng, các “tế bào vô tuyến” có thể được đưa vào thêm để tăng khả năng phục vụ
kết nối cho người dùng.
1.3.3. Sự biến đổi băng thông
Trong môi trường di động, băng thông có thể biến đổi vì các lý do khác
nhau. Băng thông có thể thay đổi như tăng lên hay giảm đi tại các vùng tín hiệu
khác nhau. Từ đó, các ứng dụng có th
ể tiếp cận sự thay đổi đó theo một trong ba

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
15
hướng: ứng dụng có thể chỉ hoạt động khi băng thông cao đạt được; ứng dụng có
thể giả thiết băng thông là thấp và không thay đổi khi đạt được băng thông cao hơn;
hoặc ứng dụng có thể thích nghi với băng thông biến đổi.
1.3.4. Các mạng không thuần nhất
Khác với hầu hết các mạng cố định trong đó các máy trạm kết nối cố định
với mộ
t mạng duy nhất, các máy trạm di động sẽ tiếp cận với nhiều kết nối mạng có
đặc tính khác nhau. Khi một máy trạm di chuyển nó sẽ gặp các kết nối có chất
lượng khác nhau. Ví dụ, trong một phòng họp có thể có lắp đặt các thiết bị kết nối
không dây có chất lượng tốt hơn so với ngoài sảnh. Thậm chí, có những nơi người
dùng có thể truy cập nhiều thiết bị thu phát ở nhữ
ng tần số khác nhau.

Một mặt khác, người dùng có thể cần phải chuyển đổi các giao diện kết nối
khi di chuyển từ trong phòng ra ngoài. Ví dụ, các giao diện kết nối hồng ngoại
không thể sử dụng ngoài trời vì ánh sáng mặt trời làm sai tín hiệu. Thậm chí nếu
việc kết nối sử dụng các tần số vô tuyến, người dùng có thể vẫn cần thay đổi giao
thức truy cập cho các mạng khác nhau.
Sự không thu
ần nhất làm cho kết nối các trạm di động thêm phức tạp so với
phương pháp kết nối truyền thống.
1.3.5. Các nguy cơ an ninh
Bởi việc tham gia một kết nối không dây là dễ dàng, an ninh trong truyền
thông không dây có thể bị tổn thương dễ dàng hơn sơ với truyền thông hữu tuyến,
đặc biệt nếu vùng truyền tín hiệu trải trên một khu vực lớn. Do đó, áp lực về đảm
bảo các bi
ện pháp bảo mật trong thiết kế mạng tính toán di động là rất lớn.
An ninh trong mạng không dây trở nên phức tạp hơn nếu người dùng được
phép dịch chuyển giữa các vùng bảo mật. Ví dụ, cho phép các máy tính di động
không tin cậy của các bệnh nhân trong bệnh viện truy cập các máy in xung quanh và
cấm truy cập tới các máy in ở xa và các tài nguyên khác dành riêng cho nhân viên
của bệnh viện

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
16
Các truyền thông bảo mật nằm trong các kênh không bảo mật được thực
hiện bằng biện pháp mã hóa. Việc mã hóa có thể được thực hiện bằng phần mềm
hay bằng các phần cứng chuyên dụng.
1.4. Hạn chế của mạng IP truyền thống
Các phiên bản hiện tại của giao thức IP (IPv4 và IPv6) không hỗ trợ khả
năng di động của các trạm (host) trong mạng. Khi giao thức IP này được thiết kế,
các tr

ạm di động không được tính đến: nghĩa là điểm kết nối vào mạng của một nút
mạng là cố định, không thay đổi, và một địa chỉ IP định danh một mạng cụ thể. Để
có thể hỗ trợ một trạm di động với các phương thức hiện tại thì bất cứ khi nào một
trạm di chuyển, các cấu hình cần được thiết lập lại cho trạm đó.
Đây là một giải
pháp không thể chấp nhận được đối với các trạm di động vì nó đòi hỏi thời gian và
dễ gây lỗi.
1.4.1. Giao thức TCP/IP


Hình 2: Giao thức TCP/IP và mô hình OSI


Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
17
Phần cơ bản của giao thức TCP/IP tương ứng ở tầng 3 và 4 của mô hình
tham chiếu 7 lớp OSI [16] . Các ứng dụng của TCP/IP (như FTP, thư điện tử, giả
lập đầu cuối…) tương ứng ở tầng phiên và tầng ứng dụng của mô hình OSI. TCP/IP
hoạt động độc lập với tầng liên kết dữ liệu và tầng vật lý. Tại các tầng này, TCP/IP
có thể hoạt động trên n
ền của Ethernet, Token Ring, FDDI… Giao thức TCP/IP
được thiết kế để hoạt động trên mọi phương tiện đường truyền từ đường truyền nối
tiếp (serial line), đồng bộ, hoặc phi đồng bộ, tốc độ thấp, hay mạng tốc độ cao như
FDDI, Ethernet, Toking Ring, ATM, cho tới các đường truyền không dây (Wireless
LAN, GPRS…).
Ngày nay, TCP/IP là giao thức được hỗ trợ và hoạt động trên nhiều nền hệ
điều hành và mạng khác nhau như UNIX, Novel NetWare, SNA, Apple, Windows.
Cho dù nhiều giao th
ức mạng khác (như IPX, AppleTalk) vẫn còn giữ vai trò quan

trọng và được sử dụng ở nhiều nơi, TCP/IP được xem là giao thức truyền dữ liệu cơ
bản cho tương lai. Một đặc điểm quan trọng của giao thức TCP/IP là tính khả mở.
a) Giao thức TCP
Giao thức TCP tương ứng với tầng giao vận của mô hình tham chiếu OSI.
Giao thức TCP cung cấp khả năng truy cập mạng cho các ứng dụng thông qua dị
ch
vụ tầng giao vận hướng kết nối tin cậy. TCP thiết lập các phiên giữa các tiến trinh
người dùng (user process) trên Internet, và đảm bảo truyền thông tin cậy giữa hai
hay nhiều tiến trình. TCP cung cấp các chức năng:
1. Lắng nghe các yêu cầu thiết lập phiên kết nối
2. Thiết lập phiên kết nối với một trạm khác trong mạng
3. Đảm bảo gửi và nhận dữ liệu một cách tin cậy bằ
ng số hiệu thứ tự
(sequence number) và báo nhận (acknowledge).
4. Kết thúc phiên kết nối

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
18
b) Giao thức IP
Giao thức IP tương ứng với tầng mạng của mô hình tham chiếu OSI và
được thiết kế để tương tác với các mạng truyền thông chuyển mạch gói. IP gửi các
“khối” dữ liệu – gọi là datagram – nhận được từ các tầng bên trên từ trạm nguồn tới
trạm đích. IP cung cấp bốn chức năng chính:
1. Quản lý các đơn vị cơ sở cho việc truyền dữ li
ệu
2. Xác định địa chỉ
3. Định tuyến
4. Tách/ghép dữ liệu
Trên thực tế, phiên bản hiện tại của giao thức IP (IPv4 – IP phiên bản 4)

đang được thay thế [16] . Giao thức IP phiên bản 6 (IPv6) hiện đang được triển khai
trên Internet. Tuy nhiên, phải mất nhiều năm nữa để IPv6 thay thế hoàn toàn IPv4.
Giao thức IP là một giao thức không liên kết (connectionless). IP có thể
nhận và chuyển dữ liệu (lên tầng giao vận tại trạ
m nhận) không theo thứ tự được
gửi hoặc có cả dữ liệu trùng lặp. Ta thấy rằng, các thủ tục khắc phục lỗi được dành
cho các tầng bên trên (tầng 4 hoặc cao hơn). IP là một phần của hệ thống mạng
“giao/nhận”: IP nhận dữ liệu từ tầng trên và định dạng để chuyển xuống tậng liên
kết dữ liệu (datalink). IP cũng nhận dữ liệu từ t
ầng dưới (datalink) và chuyển nó lên
cho tầng bên trên.
IP sẽ bổ sung các thông tin điều khiển vào phần tiêu đề (header) của gói tin
IP. Khi IP hoàn thành việc bổ sung thông tin điều khiển, nó sẽ thông báo tầng 2
(tầng liên kết dữ liệu) rằng có dữ liệu cần chuyển.
Hiện nay có ba phiên bản IP đang được sử dụng: 4, 5, và 6 [16] . Hầu hết
mọi người đều không cho rằng có IPv5 nhưng nó được biết tới với tên giao thức là
Streams 2. Phiên bản IPv4
đã được sử dụng từ lâu và sẽ sẽ được thay thế dần bởi
IPv6 trong tương lai.

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
19
1.4.2. Giao thức IPv4
a) Các tham số trong Header IPv4

Hình 3: Các trường trong phần tiêu đề của gói tin IP
Trong đó
Phiên bản (Vers)
(Version): Phiên bản. Trường này định nghĩa phiên bản của giao thức IP mà

máy trạm cài đặt.
Độ dài Header (Header Length)
Độ dài của phần Header (tất cả mọi trường, ngoại trừ trường dữ liệu). Độ
dài này có thể thay đổi và không phải tất cả các trường trong Header của gói dữ liệu
IP đều được sử dụng. Độ dài của các trường header được tính theo đơn vị là từ độ
dài 32bit. Header IP có độ dài ng
ắn nhất sẽ là 30 byte (tức 5 từ).
Loại dịch vụ (Service Type)

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
20
Trường loại dịch vụ rất ít khi được sử dụng và thường được gán giá trị 0.
Trường này cho phép các ứng dụng chỉ ra kiểu của đường dẫn định tuyến (routing
path) mà ứng dụng cần (như yêu cầu về độ trễ, thông lượng, độ tin cậy…)
Độ dài tổng (Total Length)
Trường độ dài tổng là tổng độ dài của toàn bộ gói dữ liệu IP (IP datagram)
tính theo đơn vị là byte. Như vậy m
ột gói dữ liệu IP có thể có kích thước tối đa là
65 535 byte (trường độ dài tổng có độ dài 16 bit).
Phân đoạn (Fragmentation)
Các phương tiện truyền dẫn khác nhau cho phép các gói dữ liệu có kích
thước khác nhau được gửi đi và nhận về. Việc phân đoạn cho phép một gói dữ liệu
có kích thước quá lớn để có thể gửi tiếp qua một phân đoạn mạng khác được phân
ra thành các đoạn dữ liệu nhỏ h
ơn và được ghép lại tại đích đến của gói dữ liệu đó.
Cho dù việc tách dữ liệu được thực hiện bởi các bộ định tuyến nhưng một bộ định
tuyến không thực hiện việc ghép các đoạn dữ liệu thành đơn vị dữ liệu trước đó đã
bị phân đoạn. Việc ghép các đoạn dữ liệu đó là công việc c
ủa trạm nhận dữ liệu

cuối.
Định danh (Identification)
Trường định danh này trong IP header chỉ ra đơn vị dữ liệu ban đầu mà
phân đoạn dữ liệu IP được phân ra từ đó. Tầng IP tại trạm nhận sẽ dựa vào trường
định danh và địa chỉ IP nguồn để xác định các phân đoạn dữ liệu của một đơn vị dữ
liệu.
Các cờ (Flags)
Các trườ
ng cờ này là chỉ thị cho biết các phân đoạn dữ liệu còn tiếp tục tới
hay không còn phân đoạn dữ liệu nào nữa cho đơn vị dữ liệu đó.
Độ lệch (Offset)

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
21
Trường Offset chỉ ra độ lệch (offset) của đoạn dữ liệu trong đơn vị dữ liệu.
theo đơn vị 64 bits. Vì các đoạn dữ liệu có thể tới đích không đúng thứ tự, trường
độ lệch cho phép các đơn vị dữ liệu được ghép lại theo đúng thứ tự ban đầu.
Thời gian sống (TTL – Time to Live)
Thời gian sống là một trường 8 bit. Nó quy định thời gian sống của
datagram trên mạng. Thời gian sống TTL có hai chức năng: để giới hạn thời gian
sống của một đoạn dữ liệu TCP (TCP segment), và để tránh các lặp định tuyến.
Giao thức (Protocol)
Trường protocol chỉ ra giao thức ở lớp trên.
Mã kiểm tra CRC
Dùng để kiểm tra tính toàn vẹn của IP header
Các trường tùy chọn (IP Options)
Các trường tùy chọn là không bắt buộc. Chúng được sử dụng để cung cấp
thêm các thông tin về định tuyến ngu
ồn, gán mã thời gian, các trường về bảo

mật…Người ta thấy rằng, các chức năng này ít được dùng hoặc được cài đặt trong
các giao thức khác tốt hơn.
Địa chỉ nguồn (Source) và địa chỉ đích (Destination)
Đây là địa chỉ của trạm nguồn và trạm đích.
b) Định tuyến trong IPv4
Các gói tin IP được định tuyến trên mạng dựa trên địa chỉ trong gói tin IP
[16] . Các bộ định tuyến đọc các thông tin địa chỉ này và xác định đường đi tốt nhất.
Một mạng chuyển mạch gói được xây dựng dựa trên trên các đơn vị thông tin
(thường được gọi là datagram) và khả năng định tuyến cho gói tin đó đi tới đích.
Datagram có thể được định tuyến trực tiếp (direct routing) hoặc thông qua các thiết
bị chuyển tiếp như các bộ định tuyến – định tuyến gián tiếp (indirect routing). Định
tuyến trực tiếp là khi datagram đượ
c chuyển tới trạm đích trong cùng một subnet

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
22
với trạm nguồn. Định tuyến gián tiếp là khi datagram được chuyển tới trạm đích
nằm khác subnet với trạm nguồn thông qua các thiết bị định tuyến.
Để chuyển tiếp dữ liệu tới các mạng khác thông qua các bộ định tuyến, các
giao thức định tuyến (routing protocol) được sử dụng để các bộ định tuyến xác định
các đường đi cần thiết trong quá trình định tuyến. Có hai họ giao thức đị
nh tuyến
được sử dụng: các giao thức định tuyến nội bộ (IGP – Internal Gateway Protocol)
và các giao thức định tuyến ngoại vi (EGP – Exterior Gateway Protocols).
Định tuyến trực tiếp: Một địa chỉ IP bao gồm phần định danh mạng và phần
định danh trạm. Trạm gửi sẽ so sánh phần định danh mạng của trạm đích với định
danh mạng của chính nó. Nếu định danh mạng trạm đích trùng với định danh m
ạng
trạm gửi, trạm sẽ được chuyển trực tiếp vào mạng LAN của trạm gửi mà không cần

sử dụng một bộ định tuyến. Gói tin sẽ được truyền tới trạm đích (với việc sử dụng
giao thức ARP nếu cần thiết).
Định tuyến gián tiếp: Nếu trạm nguồn và trạm đích thuộc các mạng khác
nhau, chúng phải sử dụng dịch v
ụ định tuyến gián tiếp của một bộ định tuyến. Trạm
nguồn sẽ gán địa chỉ vật lý (đích) của gói tin bằng địa chỉ vật lý của bộ định tuyến
(nó sử dụng giao thức ARP để xác định địa chỉ vật lý của bộ định tuyến nếu cần
thiết) và gửi gói tin tới bộ định tuyến. Bộ định tuyến sẽ có hai l
ựa chọn:
1. Nếu mạng đích được chỉ ra trong địa chỉ đích của gói tin IP có kết
nối trực tiếp với một trong các giao diện của bộ định tuyến, nó sẽ
chuyển gói tin IP trực tiếp tới trạm đích.
2. Nếu mạng đích được chỉ ra trong địa chỉ đích của gói tin IP không
kết nối trực tiếp với một trong các giao diện của c
ủa bộ định tuyến
hiện tại, bộ định tuyến sẽ lại sử dụng dịch vụ của một bộ định tuyến
khác để chuyển tiếp gói tin IP đi và để bộ định tuyến đó quyết định
đường đi tiếp theo trên mạng.

Nghiên cứu giao thức Mobile IP và giải pháp bảo mật
Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN
23

Hình 4: Lưu đồ quá trình định tuyến

1.4.3. Giao thức IPv6
Một trong những hạn chế của IPv4 là khả năng địa chỉ hóa 32bit. Mặt khác
do sự phân bổ địa chỉ trong các giai đoạn đoạn phát triển của Internet, nên khả năng
thiếu địa chỉ IP trong tương lai là hiện thực. Đó là nguyên nhân chính đưa tới sự ra
đời của IPv6 [16] .

IPv6 không phải là là một giao thức mạng mới mà là một sự phát triển của
IPv4. Với độ r
ộng địa chỉ 128bit, IPv6 đã mở rộng khả năng địa chỉ hóa lên rất lớn,
đảm bảo khả năng phát triển trong tương lai. IPv6 header có độ dài cố định 40 bytes
và bỏ bớt một số trường trong header của IPv4. IPv6 cũng có khả năng hỗ trợ tốt
hơn cho các mở rộng và các tùy chọn. Với IPv6, một khả năng mới được được thêm
vào cho phép “gán nhãn” các gói dữ liệu (packet). IPv6 cũng hỗ tr
ợ xác thực và các
khả năng về thông tin riêng tư.