ĐẠI HỌC QUỐC GIA TP.HCM
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN




Trần Ngọc Bảo




MỘT SỐ MÔ HÌNH AN TOÀN DỮ LIỆU VÀ AN NINH MẠNG,
BƯỚC ĐẦU ĐỀ XUẤT LÝ THUYẾT CHO MẠNG KHÔNG DÂY


Chuyên ngành: KHOA HỌC MÁY TÍNH
Mã số chuyên ngành: 62.48.01.01



Phản biện 1: TS. Trịnh Ngọc Minh
Phản biện 2: PGS.TS. Dương Anh Đức
Phản biện 3: TS. Võ Văn Khang
Phản biện độc lập 1: PGS.TS. Đặng Trần Khánh
Phản biện độc lập 2: TS. Hoàng Lê Minh

NGƯỜI HƯỚNG DẪN KHOA HỌC:
1. PGS.TS. Nguyễn Đình Thúc
2. PGS.TS. Trần Đan Thư





Tp. Hồ Chí Minh – 2011
6
DANH MỤC CÁC TỪ VIẾT TẮT
ABGI Authentication Based on Graph Isomorphism
AMIMA Against Man-In-Middle Attack
AES Advanced Encrytion Standard
DoS Denial of Service
EAP Extensible Authentication Protocol
EAP-SRP EAP-Secure Remote Password
EAP-TLS EAP- Transport Layer Security
ECC Elliptic Curve Cryptography
GI_S-Box Graph Isomorphism S-Box
GPS Global Positioning System
IEEE Instutite of Electrical and Electronics Engineers
IPSec Internet Protocol Security
IV Initialization Vector
LAN Local Area Network
LEAP Lightweight Extensible Authentication Protocol
OSI Open Systems Interconnection
PDA Personal Digital Assistant
PIN Personal Identification Number
PKI Public Key Infrastructure

RADIUS Remote Authentication Dial – In User Service
SAC Strict Avalanche Criterion
S-Box Subsitution box
SMGI Subsitution Matrix Cipher based on Graph Isomorphism
SSM Scalable Subsitution Matrix
7
SSH Secure Shell
SSID Service Set Identifier
SSL Secure Sockets Layer
TCP Transmission Control Protocol
TKIP Temporal Key Integrity Protocol
TLS Transport Layer Security
VPN Virtual Private Network
WAP Wireless Application Protocol
WEP Wired Equivalent Privacy
Wi-Fi Wireless Fidelity
WLAN Wireless Local Area Network
WTP Wireless Transaction Protocol
WWAN Wireless Wide Area Network
WPAN Wireless Personal Area Network
WPA Wi-Fi Protected Access


8
DANH MỤC HÌNH VẼ
Hình 1.1. Qui trình mã hóa và giải mã trong WEP [48] 19
Hình 1.2. Kiến trúc VPN 21
Hình 1.3. Biểu diễn dạng ma trận của trạng thái (Nb=6) và mã khóa (Nk=4) 24
Hình 1.4. Một chu kỳ mã hóa của phương pháp Rijndael (với Nb=4) 25
Hình 1.5. Phép thay thế phi tuyến trong SSM và SMGI 34

Hình 1.6. Phép mã hóa ma trận trong SSM và SMGI 34
Hình 1.7. Đồ thị 1 đẳng cấu với đồ thị 2 56
Hình 2.1 Quy trình chứng thực mở [48]. 61
Hình 2.2 Quy trình xác nhận của hệ thống dùng cho doanh nghiệp [70]. 62
Hình 2.3 Mô hình mạng doanh nghiệp của hệ thống AMIMA. 67
Hình 2.4 Định tuyến các thông điệp trong hệ thống AMIMA. 68
Hình 2.5 Bảo vệ thông điệp trong AMIMA. 68
Hình 2.6 Quy trình xử lý kiểm soát truy cập hệ thống. 74
Hình 2.7 Quy trình cấp tài khoản trong ABGI. 80
Hình 2.8 Quy trình thực hiện chứng thực trong ABGI 82
Hình 2.9 Ví dụ minh họa đồ thị G
c
đẳng cấu với đồ thị G
s
85
Hình 2.10 Ví dụ minh họa đồ con H
c
là đồ thị con của đồ thị G
c
88
Hình 2.11 Ví dụ minh họa đồ con H
s
là đồ thị con của đồ thị G
s
89
Hình 2.12 Ví dụ minh họa đồ con H
s
đẳng cấu với đồ thị H
c
90

Hình 3.1. Sơ đồ chứng thực ABGI. 95
Hình 3.2. Mô hình hệ thống 96
Hình 3.3. Định tuyến thông điệp trong hệ thống đề xuất. 97
Hình 3.4. Dịch vụ kiểm soát truy cập. 97
Hình 3.5. Dịch vụ bảo mật thông tin. 98
Hình 3.6. Đồ thị công khai G
s
. 100
9
Hình 3.7. Đồ thị con G
c
đẳng cấu với đồ thị H. 101
Hình 3.8. Quá trình truy cập WLAN 104
Hình 3.9. Quá trình kết nối WLAN 106


10
DANH MỤC BẢNG BIỂU
Bảng 1.1 Bảng so sánh các đặc điểm mã hóa của WEP, WPA và WPA2 20
Bảng 1.2 Giá trị số vị trí dịch chuyển w
i
26
Bảng 1.3 Bảng mô tả các hệ số trong biểu diễn đại số của S-Box minh họa 49
Bảng 1.4 Bảng thay thế S-Box cho giá trị  ở dạng thập lục phân 50
Bảng 1.5 Bảng thay thế nghịch đảo của S-Box cho giá trị {xy} dạng thập lục phân 51
Bảng 1.6 Thống kê số lượng S-box (theo số hệ số khác không trong biểu diễn đại số) 52
Bảng 1.7 Thống kê khả năng phát sinh S-box có bi
ểu diễn đại số với số hệ số khác không đạt ngưỡng
tối đa. 52
Bảng 1.8 Bảng so sánh S-Box đề xuất với AES, Gray S-Box,… 53

Bảng 1.9 Bảng so sánh GI_S-Box với AES, Gray S-Box,… 58
Bảng 2.1 Phương pháp chứng thực Goldreich [60] 72
Bảng 2.2 Tóm tắt giai đoạn chứng thực trong ABGI 90
Bảng 3.1 Quy trình cấp tài khoản trong ABGI 99
Bảng 3.2 Quy trình chứng thực trong ABGI 101


111
DANH MỤC CÔNG TRÌNH CỦA TÁC GIẢ
Các bài báo khoa học công bố tại các Hội nghị và tạp chí khoa học trong nước:
[CT1]
Trần Ngọc Bảo, Nguyễn Công Phú, “Giải pháp phòng chống tấn công qua
người trung gian vào mạng cục bộ không dây”, Tạp chí Phát triển Khoa học và
Công nghệ - ĐHQG-HCM, T.12, S.11 (2009), ISSN 1859-0128, trang 39-48.

[CT2]
Trần Minh Triết, Trần Ngọc Bảo, Đặng Hải Vân, “Về Tính dễ Mở rộng của các
Thuật toán Mã hóa khối Phổ biến”, Tuyển tập Công trình Nghiên cứu Công
nghệ thông tin và Truyền thông 2008, Nhà xuất bản Khoa học và Kỹ thuật,
tháng 11/2008, trang 16-24.

[CT3]
Đỗ Đình Thái, Trần Ngọc Bảo, Nguyễn Đình Thúc, “Chứng thực hai chiều
ngưỡng K sử dụng K nút ngẫu nhiên trong mạng Ad hoc di động”, Kỷ yếu Hội
thảo Quốc gia lần thứ 10: Một số vấn đề chọn lọc của Công nghệ thông tin và
truyền thông, Đại Lải, 14-15 tháng 09 năm 2007, Nhà xuất bản Khoa học Tự
nhiên và Công nghệ, Hà Nội 2007, trang 40-51.
Các bài báo khoa học công bố tại các Hội nghị và tạp chí khoa học quốc tế:
[CT4]
Bao Ngoc TRAN, Thuc Dinh NGUYEN, Thu Dan TRAN , “A New S-Box

Structure Based on Graph Isomorphism”, 2009 International Conference on
Computational Intelligence and Security (CIS 2009), IEEE Computer Society
Press, December 11-14, 2009, Beijing, China, ISBN 978-1-4244-5411-2, pp.
463-467.
[CT5]
Bao Ngoc TRAN, Thuc Dinh NGUYEN, Thu Dan TRAN, “A New S-Box
Structure to Increase Complexity of Algebraic Expression for Block Cipher
Cryptosystems”, International Conference on Information Theory and
Engineering (ICITE 2009), IEEE Computer Society Press, November 13-15,
2009, Kota Kinabalu, Malaysia, ISBN 978-1-4244-5255-2 , pp. 212-216.
[CT6]
Dang Hai Van, Nguyen Thanh Binh, Tran Minh Triet, Tran Ngoc Bao, Nguyen
Ho Minh Duc, “SSM: Scalable Substitution Matrix Cipher”, Journal of Science
112
and Technology, Vol 46, Number 5A, Special Issue on Theories and
Applications of Computer Science (ICTACS 2009), Nha Trang, Vietnam, pp.
165-178.

[CT7]
Tran Ngoc Bao, Nguyen Dinh Thuc, Tran Dan Thu, “An Improvement of
Graph Isomorphism Based Authentication Protocol using Modular Matrix
Cipher”, VNU Journal of Science, Natural Science and Technology, Vol 24,
No. 3S (2008), Special Issue on ICT Research and Development (HANOIICT
2008), HaNoi, Vietnam, pp. 108-115.
[CT8]
Bao Ngoc TRAN, “On Generating Key-matrix for Matrix Cipher and
Applications”, Proceedings of Addendum Contributions to the 2008 IEEE
International Conference on Research, Innovation & Vision for the Future
(RIVF 2008), July 13-17, 2008, Ho Chi Minh City, Vietnam, pp.196-199.
[CT9]

Bao Ngoc TRAN, Dinh Thuc NGUYEN, “An Efficient Algorithm for
Isomorphic Problem on Generic Simple Graphs”, Proceedings of The Second
International Conference on Modelling & Simulation (AMS 2008), IEEE
Computer Society Press, May 13-15, 2008, Kuala Lumpur, Malaysia, ISBN
978-1-4244-3194-6, pp.824-829.
[CT10]
Thuc D. Nguyen, Bao N. Tran, Duc H. M. Nguyen, “A Lightweight Solution
for Wireless LAN: Letter-Envelop Protocol”, Proceedings of The Third IEEE
International Conference on Communications and Networking in China
(CHINACOM 2008). August 25-27, 2008, Hangzhou, China, ISBN: 978-1-
4244-2373-6, pp.17-21.
[CT11]
Bao Ngoc TRAN, Dinh Thuc NGUYEN, “A Graph Isomorphism Based
Authentication Protocol for Access Control in WLAN”, Proceedings of The
IEEE 22
nd
International Conference in Advanced Information Networking and
Applications – Workshops (AINAW 2008), IEEE Computer Society Press,
March 25-28, 2008, Ginowan, Okinawa, Japan, ISBN 978-1-4244-4233-1,
pp.229-234.
11
GIỚI THIỆU
Tóm tắt:
Mạng cục bộ không dây, bên cạnh những ưu điểm về tính linh động, dễ triển
khai,…thì nó cũng phải đối mặt với nhiều thách thức về an ninh và bảo mật mạng.
Trước tiên, mạng cục bộ không dây đối diện với tất cả những vấn đề về an ninh
như mạng có dây truyền thống; hơn nữa do kết nối không dây cũng như đặc tính
dữ liệu có thể luân chuyển trong không khí qua sóng vô tuyến, mạng cục bộ không
dây còn phải đối diện với các thách thức mới mà mạng có dây không gặp phải.
Phần này giới thiệu mục tiêu chính mà luận án giải quyết sao cho một mạng

không dây ít nhất cũng an toàn như một mạng có dây truyền thống. Mục tiêu
nghiên cứu sẽ được trình bày và cụ thể hóa qua động cơ nghiên cứu, các vấn đề
khoa học đặt ra (cho an ninh mạng cụ
c bộ không dây) và nội dung nghiên cứu của
luận án. Kết quả luận án và bố cục chi tiết của luận án sẽ được giới thiệu ở cuối
phần này.
Mở đầu
Trong thời đại công nghệ thông tin và Internet toàn cầu hiện nay, hầu như việc
liên lạc trao đổi thông tin trong mọi lĩnh vực (xã hội, kinh doanh, giáo dục, thông tin,
văn hóa, thể thao, ) đều thông qua phương tiện Internet và hệ thống mạng.
Đặc biệt là trong những năm gần đây, với sự ra đời và phát triển mạnh mẽ của
công nghệ không dây giúp cho người dùng linh động hơn trong việc liên lạc trao đổi
thông tin. Một trong những điểm thuận l
ợi của mạng không dây so với hệ thống
mạng truyền thống là việc triển khai hệ thống mạng không dây thực hiện dễ dàng
hơn so với cài đặt một hệ thống mạng có dây truyền thống, nhất là đối với các tòa
nhà cao tầng, rất khó khăn trong việc lắp đặt hệ thống dây.
Ngày nay, người dùng có xu hướng sử dụng mạng không dây, nhất là những
người làm kinh doanh. Với chiếc máy tính xách tay hoặc các thi
ết bị hỗ trợ không
dây khác như PDA, Mobile phone, ở bất kỳ nơi nào có cung cấp dịch vụ truy cập
không dây họ đều có thể truy cập Internet hoặc truy cập vào hệ thống mạng riêng
của công ty để trao đổi thông tin giữa các máy tính trong hệ thống mạng nội bộ.
12
Mạng cục bộ không dây (Wireless Local Area Network), từ đây về sau sẽ
viết tắt là WLAN, là hệ thống mạng máy tính cho phép người dùng kết nối với hệ
thống mạng dây truyền thống thông qua một kết nối không dây. Mạng cục bộ không
dây linh động và dễ di chuyển hơn mạng dây truyền thống, các máy tính, các thành
phần mạng kết nối với nhau thông qua một thiết bị gọi là điểm truy cậ
p (Access

Point). Access Point bao gồm angten dùng để truyền nhận các tín hiệu thông tin (ở
dạng sóng vô tuyến) đến các thiết bị không dây (như Laptop, PDA, …) và cổng RJ-
45 để giao tiếp với mạng dây truyền thống. Phạm vi phủ sóng trung bình của một
Access Point là 300 feet (gần 100m). Phạm vi phủ sóng này được gọi là một ô-Cell
hay Range. Người dùng có thể di chuyển tự do trong cell mà vẫn không mất kết nối
với hệ thống mạng thông qua Access Point. Công nghệ không dây được thiết kế phù
hợp với nhiều chuẩn và hỗ trợ nhiều mức độ an toàn bảo mật khác nhau. Thuận lợi
chính của các chuẩn là được hầu hết các công ty áp dụng vào các dòng sản phẩm của
họ, và cho phép dễ dàng kết hợp với các sản phẩm của các công ty khác nhau. Hai
chuẩn hiện tại được công nhận phổ biến là IEEE 802.11 và Bluetooth. Trong đó,
mạng cục bộ không dây sử dụng chuẩn 802.11. Chuẩn 802.11 được Viện Kỹ thuật
Đi
ện - Điện tử Hoa Kỳ (IEEE) phát triển năm 1997. Chuẩn này hỗ trợ kết nối trong
phạm vi trung bình, và có các ứng dụng truyền nhận dữ liệu với tốc độ cao.
Lý do thực hiện và mục tiêu đề tài
Bên cạnh những thuận lợi trên, mạng cục bộ không dây cũng chứa đựng rất
nhiều rủi ro và nguy cơ tấn công của tin tặc (hacker). Trước hết, mạng cục bộ không
dây đối mặt với mọi vấn đề về an ninh tương tự như mạng có dây truyền thống. Hơn
nữa, do không còn lệ thuộc vào kết nối vật lý, nhiều vấn đề mới về an ninh mạng
n
ảy sinh buộc các nhà nghiên cứu cũng như các hãng sản xuất phải giải quyết để
đảm bảo tối thiểu cũng an toàn như một mạng cục bộ có dây (LAN).
Việc bảo vệ hệ thống mạng cục bộ không dây thường dựa trên các giải pháp và
đã trở thành tiêu chí chính sau: kiểm soát truy cập (Access Control) – xác nhận
quyền truy cập của người dùng, bảo mật thông tin (Confidentiality) - đảm bảo
thông tin được giữ bí m
ật, bảo toàn thông tin (Integrity) - đảm bảo thông tin đến
người nhận không bị sửa đổi, và tính sẵn sàng (Availability) - đảm bảo hệ thống
13
luôn sẵn sàng đáp ứng những dịch vụ mà nó cung cấp.

Các bài toán này đã và đang được rất nhiều viện nghiên cứu, các cơ quan, công
ty về bảo mật trên thế giới cũng như những nhà sản xuất thiết bị không dây quan
tâm. Đây là một hướng nghiên cứu mở cho những những người muốn nghiên cứu
vấn đề an toàn trong hệ thống mạng không dây, đặc biệt là mạng cục bộ không dây.
Do
đó, chúng tôi nghiên cứu và giải quyết vấn đề này.
Luận án tập trung nghiên cứu và đề xuất giải pháp cho hai bài toán bảo vệ
mạng cục bộ không dây, cụ thể:
• Kiểm soát truy cập (Access Control): dịch vụ này thực hiện xác nhận quyền
truy cập của người dùng thông qua thiết bị hỗ trợ kết nối không dây theo chuẩn
802.11 được gọi là máy khách (Client), hay còn gọi là máy trạm
(Workstation). Chỉ những Client được c
ấp quyền mới được phép truy cập vào
hệ thống mạng không dây cũng như hệ thống mạng có dây được kết nối với
mạng không dây thông qua Access Point.
• Bảo mật thông tin (Confidentiality): hệ thống đảm bảo thông tin được giữ bí
mật, dữ liệu được mã hóa trước khi truyền từ người gởi và sẽ được giải mã nơi
người nhận.
Ngoài ra luận án cũng nghiên cứu giải pháp liên quan đến kh
ả năng sẵn sàng của
hệ thống.
Tình hình nghiên cứu trong và ngoài nước
Xét về mặt công nghệ chuẩn 802.11 là chuẩn được sử dụng đầu tiên trên WLAN
với tốc độ truyền nhận dữ liệu từ 1 Mbps đến 2 Mbps. Chuẩn này sử dụng giao thức
WEP (Wired Equivalent Protocol) [48] để kiểm soát truy cập và bảo vệ thông tin
(dùng thuật toán RC4 để mã hóa dữ liệu) trong quá trình truyền nhận giữa Client và
Access Point với mong muốn đáp ứng được yêu cầu bảo vệ dữ liệu truyền trên mạng
không dây giống như
đang truyền trên mạng dây. Tuy nhiên, trong quá trình sử dụng,
người ta đã phát hiện ra những điểm yếu [2] của WEP mà dựa vào đó các tin tặc có thể

lấy được nội dung của dữ liệu truyền trên mạng không dây. Cụ thể đầu năm 2000,
nhiều kết quả nghiên cứu về an toàn thông tin mạng không dây cho thấy giao thức
14
WEP có nhiều yếu điểm không đảm bảo được tính an toàn của hệ thống trước nguy cơ
tấn công của tin tặc [2], [3], [40], [54]. Năm 2003, tổ chức Wi-Fi Alliance giới thiệu
giao thức Wi-Fi Protected Access gọi tắt là WPA như là giải pháp tạm thời khắc phục
một số yếu điểm của WEP. Giao thức WPA được trích từ một phần trong chuẩn IEEE
802.11i [4], [5], WPA cung cấp một số tính năng nhằm tăng mứ
c độ an toàn dữ liệu và
an ninh mạng cục bộ không dây. Vì là giải pháp tạm thời vá những lỗ hổng của WEP,
WPA chỉ mang tính nhất thời, và vẫn dùng thuật toán RC4 để mã hóa dữ liệu, chỉ bổ
sung thêm TKIP và Michael để tăng độ an toàn, khắc phục được một số nhược điểm
của WEP, hạn chế khả năng tấn công của tin tặc.
Mặt khác, các hệ thống mạng không dây công cộng thườ
ng được gọi là Hotspot
như khách sạn, sân bay, dịch vụ internet café…thường triển khai theo mô hình hệ
thống mở (open system) không cài đặt cơ chế kiểm soát truy cập, cũng như bảo mật
cho Access Point để giúp người dùng dễ dàng truy cập internet, mặc dù thiết bị đó có
hỗ trợ các giao thức bảo vệ thông tin theo WEP, WPA hoặc cao hơn. Hiện tại có một
số công ty cung cấp giải pháp triển khai Hotspot an ninh như: Hotspot Express[80],
xPossible[81], DOCOMO Inter-Touch[82],….nhưng hầu hết các giải pháp này t
ập
trung chủ yếu vào bài toán kiểm soát truy cập internet (kiểm tra đăng nhập hệ thống,
quản lý thời gian truy cập và dung lượng truy xuất), chưa quan tâm nhiều (hoặc không
quan tâm) đến vấn đề bảo mật thông tin của người dùng trong các hệ thống này. Do
đó, vấn đề đặt ra là làm thế nào để bảo vệ người dùng truy cập từ dịch vụ công cộng
này; hạn chế tin tặc nghe lén thông tin nhằm xâm nhập hệ thống mạ
ng riêng của cơ
quan để lấy thông tin; đảm bảo rằng thông tin trao đổi giữa máy tính của người dùng
và hệ thống mạng của cơ quan không bị đánh cắp.

Xét về phương diện nghiên cứu, hầu như các kết quả đề xuất trong thời gian qua
chủ yếu tập trung nghiên cứu giải pháp cho bài toán kiểm soát truy cập, như giao thức
chứng thực dựa trên mật mã và đường cong Elliptic [1], giao thức chứng thực dự
a trên
đường cong Elliptic và giao thức Kerberos [53], giải pháp dựa trên mobile agent [64].
Bên cạnh đó, một số đề xuất liên quan đến bài toán tính sẵn sàng của hệ thống cũng
được đề cập trong [45], [56], [71], [72], Vấn đề bảo mật thông tin ít được quan tâm
trong các đề xuất nghiên cứu mà chủ yếu tập trung ở giải pháp công nghệ, ứng dụng
các hệ mã phổ biến vào các giải pháp công nghệ như RC4 trong WEP, AES trong
15
WPA2 và một số hệ mã khác như sử dụng RSA, DES,…. được áp dụng trong giải
pháp VPN.
Như đã nêu trước, luận án tập trung nghiên cứu hai bài toán chính liên quan đến
vấn đề an ninh mạng cục bộ không dây: bảo mật thông tin và kiểm soát truy cập.
Chúng tôi sẽ trình bày chi tiết các nghiên cứu quan đến bài toán bảo mật thông tin và
đề xuất của luận án trong chương 1. Các nghiên cứu liên quan đến bài toán kiểm soát
truy cập và giải pháp đề xuất của lu
ận án cũng sẽ được trình bày chi tiết trong chương
2.
Nội dung nghiên cứu của luận án
Nội dung nghiên cứu của luận án tập trung vào:
• Nghiên cứu các giao thức, các phương pháp mã hoá và giải mã thông tin
đang được dùng trong các chuẩn IEEE 802.11. Phân tích những yếu điểm
trong các chuẩn trên, từ đó đề xuất những phương pháp thay đổi hoặc cải
tiến (về mặt giao thức, hoặc thay thuật toán được dùng trong các giao thức)
để tăng khả năng an toàn dữ liệu và an ninh trong hệ thống mạng không
dây.
• Nghiên cứu nhữ
ng hình thức tấn công và phương pháp phòng chống trên hệ
thống mạng không dây.

- Tin tặc sẽ dựa vào những điểm yếu nào để thực hiện tấn công trong hệ
thống mạng không dây?
- Làm thế nào để hạn chế/khắc phục được khả năng tấn công của tin tặc ?
- Làm thế nào để phòng chống tấn công từ phía tin tặc ?
• Nghiên cứu một số mô hình an toàn thông tin trong hệ th
ống mạng không
dây của một số công ty
- Giải pháp phần cứng
- Giải pháp phần mềm
- Giải pháp kết hợp giữa phần cứng và phần mềm
16
- Phân tích ưu/nhược điểm của các giải pháp hiện có. Trên cơ sở đó mở
rộng phát triển các giải pháp khắc phục được những nhược điểm được đề
cập trong phần trên.
Những đóng góp chính của luận án
Các đóng góp chính của luận án bao gồm:
• Đối với bài toán bảo mật thông tin:
¾ Đề xuất một số kết quả lý thuyết và áp dụng xây dựng kiến trúc thành
phần phi tuyến S-Box trong các hệ mã khối.
¾ Đề xuất kiến trúc S-Box dựa trên phép biến đổi tuyến tính. Kiến trúc đề
xuất có thể được sử dụng làm thành phần phi tuyến trong các hệ mã
khối như AES [27], XAES [68], SSM [CT6],…. S-Box đề xuất có biểu
diễn
đại số gồm nhiều đơn thức có hệ số khác 0 hạn chế khả năng tấn
công đại số [46] và tấn công nội suy [20] mà vẫn bảo toàn các tính chất
mật mã ưu điểm tương tự như S-Box trong AES, kết quả được trình bày
trong các công trình [CT5].
¾ Đề xuất một thuật toán/hệ mã khối SMGI theo kiến trúc SPN [47]. Kết
quả được trình bày trong các công trình [CT2], [CT6].


• Đối với bài toán kiểm soát truy cập:
¾
Đề xuất một giải pháp phòng chống tấn công qua người trung gian, giải
pháp chống tấn công ngắt kết nối vào mạng cục bộ không dây, kết quả
được trình bày trong các công trình [CT1], [CT10].

¾ Đề xuất một số kết quả lý thuyết liên quan đến chứng thực, phát sinh
khóa cho các hệ mã Hill [63], SSM [CT6]. Kết quả đề xuất được trình
bày trong công trình [CT8].

¾ Đề xuất phương pháp chứng thực hai chiều dựa trên tính chất khó của
bài toán đẳng cấu đồ thị, chu trình Hamilton, kết quả đề xuất được trình
bày trong các công trình [CT7], [CT11].

• Đề xuất một giải pháp an toàn cho mạng cục bộ không dây được áp dụng
đối với các thiết bị hạn chế về mặt lưu trữ cũng như khả năng tính toán kết
hợp phương pháp chứng thực hai chiều và thuật toán mã khối SMGI dựa
17
trên bài toán đẳng cấu đồ thị. Kết quả được trình bày trong công trình
[CT4], [CT6], [CT10], [CT11].

Bố cục luận án
Nội dung của luận án được trình bày gồm:
• Phần giới thiệu trình bày tổng quan về mạng cục bộ không dây, vấn đề an
toàn trong mạng không dây, mục tiêu nghiên cứu của luận án và những
đóng góp cũng như cấu trúc trình bày của luận án.

• Chương 1 trình bày tổng quan về bài toán mã hóa thông tin trong hệ thống
mạng cục bộ không dây; trình bày chi tiết hệ mã SMGI và thành phần phi
tuyến S-Box sử dụng trong các hệ mã AES, XAES, SSM cũng như cho

chính hệ mã đề xuất SMGI.

• Chương 2 trình bày tổng quan về bài toán quản lý truy cập trong hệ thống
mạng cục bộ không dây; trình bày chi tiết phương pháp chứng thực hai
chiều sử dụng tính chất khó của bài toán đẳng cấu đồ thị được đề xuất cho
vấn đề kiểm soát truy cập trong mạng cục bộ không dây.

• Chương 3 trình bày một giải pháp an toàn cho mạng cục bộ không dây,
giải pháp bao gồm hai phần chính liên quan đến bài toàn quản lý truy cập
và vấn đề mã hóa thông tin đã được trình bày trong chương 1 và chương 2.

•
Phần kết luận và hướng phát triển của đề tài.

3
MỤC LỤC

DANH MỤC CÁC TỪ VIẾT TẮT 6
DANH MỤC HÌNH VẼ 8
DANH MỤC BẢNG BIỂU 10
GIỚI THIỆU 11
Mở đầu 11
Lý do thực hiện và mục tiêu đề tài 12
Tình hình nghiên cứu trong và ngoài nước 13
Nội dung nghiên cứu của luận án 15
Những đóng góp chính của luận án 16
Bố cục luận án 17
CHƯƠNG 1. MÃ HÓA THÔNG TIN TRONG MẠNG KHÔNG DÂY 18
1.1 Mã hóa thông tin trong mạng cục bộ không dây 18
1.1.1 Giới thiệu 18

1.1.2 Các nghiên cứu liên quan 19
1.2 Mã khối SMGI 22
1.2.1 Hệ mã khối 22
1.2.1.1. Các kiến trúc mã hóa khối và “chiến lược vết rộng” 22
1.2.1.2. Hệ mã AES và XAES 24
1.2.2 Mã tuyến tính 27
1.2.3 Phương pháp V.U.K Sastry 28
1.2.3.1. Một số ký hiệu 28
1.2.3.2. Quy trình mã hóa 29
1.2.3.3. Quy trình giải mã 30
1.2.3.4. Mã hóa với khối dữ liệu có kích thước lớn 30
1.2.4 Hệ mã SSM và SMGI 31
1.2.4.1. Kiến trúc hệ mã SSM 32
1.2.4.2. Kiến trúc hệ mã SMGI 33
1.2.4.3. Tính an toàn của SSM và SMGI đối với phương pháp phân tích mã sai phân và
phân tích mã tuyến tính 35
1.3. Thành phần phi tuyến trong SMGI 37
1.3.1 Cơ sở toán học 37
1.3.2 Kiến trúc S-Box sử dụng phép biến đổi tuyến tính 44
4
1.3.2.1. Kiến trúc S-Box đề xuất 44
1.3.2.2. Ví dụ minh họa xây dựng S-Box đề xuất cho AES 46
1.3.2.3. Thực nghiệm thống kê khả năng phát sinh S-box có biểu diễn đại số đạt nguỡng
tối ưu. 52
1.3.2.4. So sánh S-Box trong AES với S-Box đề xuất 53
1.3.3 S-Box sử dụng đẳng cấu đồ thị 53
1.4 Kết luận 58
CHƯƠNG 2. KIỂM SOÁT TRUY CẬP TRONG MẠNG KHÔNG DÂY 60
2.1 Kiểm soát truy cập 60
2.1.1 Giới thiệu 60

2.1.2 Các nghiên cứu liên quan 62
2.1.2.1. Giải pháp công nghệ 62
2.1.2.2. Các giải pháp khác 64
2.1.2.3. Giải pháp chống tấn công qua người trung gian AMIMA 66
2.1.2.4. Giải pháp chống tấn công ngắt kết nối Letter-Envelop 69
2.2 Chứng thực sử dụng tính chất khó của đẳng cấu đồ thị 71
2.2.1 Cơ sở toán học 74
2.2.2 Giao thức chứng thực ABGI 78
2.2.2.1. Thông tin tài khoản 79
2.2.2.2. Giai đoạn cấp tài khoản 79
2.2.2.3. Giai đoạn chứng thực 81
2.2.3 Ví dụ minh họa hoạt động của giao thức đề xuất 85
2.2.4 Phân tích giao thức chứng thực 90
2.3 Kết luận 92
CHƯƠNG 3. GIẢI PHÁP AN TOÀN CHO MẠNG CỤC BỘ KHÔNG DÂY 94
3.1 Giới thiệu 94
3.2 Mô hình hệ thống và quy trình hoạt động 96
3.3 Dịch vụ kiểm soát truy cập 98
3.3.1 Giai đoạn cấp tài khoản 98
3.3.2 Giai đoạn chứng thực 101
3.3.3 Chống tấn công ngắt kết nối 103
3.4 Kết luận 107
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 109
Kết luận 109
5
Hướng phát triển 110

DANH MỤC CÔNG TRÌNH CỦA TÁC GIẢ 111
TÀI LIỆU THAM KHẢO 113
PHỤ LỤC. MÃ NGUỒN CHƯƠNG TRÌNH VÀ TẬP MẪU DỮ LIỆU THỬ

NGHIỆM PHÁT SINH S-BOX 121

Mã nguồn chương trình 121
Bước 1: Phát sinh ngẫu nhiên phép biến đổi tuyến tính 121
Bước 2: Xác định biểu diễn đại số của phép biến đổi tuyến tính 123
Bước 3: Xác định biểu diễn đại số của S-Box được xây dựng từ phép biến đổi
tuyến tính 126

Tập mẫu dữ liệu thử nghiệm 129

121
PHỤ LỤC. MÃ NGUỒN CHƯƠNG TRÌNH VÀ TẬP MẪU DỮ
LIỆU THỬ NGHIỆM PHÁT SINH S-BOX
Trong phần này, chúng tôi trình bày mã nguồn chương trình và tập mẫu dữ liệu thử
nghiệm với =8 theo các bước sau:
- Bước 1
: Phát sinh ngẫu nhiên    1,2

) phép biến đổi tuyến tính 
theo định lý 1.5;
- Bước 2
: Xác định biểu diễn đại số của các phép biến đổi tuyến tính được
phát sinh trong bước 1;
- Bước 3
: Xác định biểu diễn đại số của S-box được xây dựng từ phép biến đổi
tuyến tính  (theo định nghĩa 1.2).
Mã nguồn chương trình
Bước 1: Phát sinh ngẫu nhiên phép biến đổi tuyến tính
- Môi trường cài đặt: Visual C++ 6.0
- Dữ liệu nhập:

o tenfile: tập tin kết quả;
o tmin 1,2

: phép biến đổi tuyến tính đầu tiên trong dãy phát
sinh ngẫu nhiên;
o tmax 1,2

: phép biến đổi tuyến tính  cuối cùng trong dãy phát
sinh ngẫu nhiên.
- Dữ liệu xuất: tập tin chứa  phép biến đổi tuyến tính 
được phát sinh ngẫu nhiên theo định lý 1.5. Mỗi dòng chứa một phép biến
đổi tuyến tính 

2


,

2


,

2


, ,2




122
- Mã nguồn chương trình:
























int SBox(char tenfile[], int tmin, int tmax)
{
int F[100]; int n = 8; int C[100];int t = 0;
for(int i = 0;i<n;i++) F[i] = 0;

for(i = 0;i<=n;i++) C[i] = int(pow(2,i));
FILE *f = fopen(tenfile,"wt");
if (f == NULL) return 0;
for(int i0 = C[0];i0<C[1];i0++){
F[0] = i0;
for(int i1 = C[1];i1<C[2];i1++)
{
F[1] = i1;
for(int i2 = C[2];i2<C[3];i2++)
{
F[2] = i2;
for(int i3 = C[3];i3<C[4];i3++)
{
F[3] = i3;
for(int i4 = C[4];i4<C[5];i4++)
{
F[4] = i4;
for(int i5 = C[5];i5<C[6];i5++)
{
F[5] = i5;
for(int i6 = C[6];i6<C[7];i6++)
{
F[6] = i6;
for(int i7 = C[7];i7<C[8];i7++)
{
F[7] = i7;
t++;
if (t>tmax)
{
fclose(f);

return 0;
}
else
{
if (t>=tmin)
{
for(i = 0;i<n;i++)
fprintf(f,"%d ",F[i]);
fprintf(f,"\r\n");
}
}
}
}
}
}
}
}
}
}
fclose(f);
return 0;
}
123
Bước 2: Xác định biểu diễn đại số của phép biến đổi tuyến tính
- Môi trường cài đặt: Maple
- Dữ liệu nhập:
o Phép biến đổi tuyến tính  

2



,

2


,

2


, ,2

được
phát sinh trong bước 1.
- Dữ liệu xuất:
o Các hệ số trong biểu diễn đại số của phép biến đổi tuyến tính trong
trường Galois 2

 được xác định bởi đa thức bất khả quy











1 của Rijndael trong AES.
- Mã nguồn chương trình:


124



125





126
Bước 3: Xác định biểu diễn đại số của S-Box được xây dựng từ phép biến
đổi tuyến tính
- Môi trường cài đặt: Maple
- Dữ liệu nhập:
o Thư mục gồm nhiều tập tin được tính ở bước 2 (mỗi tập tin chứa các
hệ số trong biểu diễn đại số của phép biến đổi tuyến tính 


2


,

2



,

2


, ,2

 trong trường Galois 2

 được
xác định bởi đa thức bất khả quy 









1 của
Rijndael trong AES).
- Dữ liệu xuất:
o Thư mục gồm nhiều tập tin chứa các hệ số trong biểu diễn đại số của
S-box được xây dựng từ phép biến đổi tuyến tính
 

2



,

2


,

2


, ,2

 trong trường Galois 2


được xác định bởi đa thức bất khả quy 









1
của Rijndael trong AES.
o Thư mục gồm nhiều tập tin, mỗi tập tin chứa số lượng hệ số khác
không tương ứng với các S-box trên.

- Mã nguồn chương trình:

127