ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
-------ZY-------

ĐƯỜNG TẤT TOÀN

NGHIÊN CỨU GIAO THỨC MOBILE IP
VÀ GIẢI PHÁP BẢO MẬT

LUẬN VĂN THẠC SĨ

Hà Nội - 2006


ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
-------ZY-------

ĐƯỜNG TẤT TOÀN

NGHIÊN CỨU GIAO THỨC MOBILE IP
VÀ GIẢI PHÁP BẢO MẬT

LUẬN VĂN THẠC SĨ

Ngành: Công nghệ thông tin
Mã số: 1.01.10

NGƯỜI HƯỚNG DẪN KHOA HỌC

PGS. TS. NGUYỄN VĂN TAM

Hà Nội - 2006


1
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT .......................................................................................4
DANH MỤC CÁC HÌNH VẼ ...............................................................................................5
MỞ ĐẦU ............................................................................................................................7
Chương 1 TỔNG QUAN.......................................................................................................9
1.1. Tình hình phát triển của truyền thông không dây.............................................9
1.1.1. Sự phát triển của mạng thông tin di động...................................................9
1.1.2. Mạng LAN không dây ...............................................................................11
1.1.3. Mạng riêng không dây và mạng Ad hoc ...................................................12
1.1.4. Nhận xét ....................................................................................................12

1.2. Phân loại đặc tính di động của nút..................................................................13
1.3. Các vấn đề trong kết nối khi di động..............................................................13
1.3.1. Gián đoạn kết nối......................................................................................14
1.3.2. Băng thông thấp........................................................................................14
1.3.3. Sự biến đổi băng thông .............................................................................14
1.3.4. Các mạng không thuần nhất .....................................................................15
1.3.5. Các nguy cơ an ninh .................................................................................15

1.4. Hạn chế của mạng IP truyền thống.................................................................16
1.4.1. Giao thức TCP/IP .....................................................................................16

1.4.2. Giao thức IPv4..........................................................................................19
1.4.3. Giao thức IPv6..........................................................................................23
1.4.4. Nhận xét ....................................................................................................26

1.5. Giao thức hỗ trợ di động macro Mobile IP.....................................................27
1.6. Các giao thức hỗ trợ di động micro ................................................................28
1.6.1. Hierachical Mobile IP ..............................................................................29
1.6.2. Fast Handoff .............................................................................................30
1.6.3. Proactive Handoff.....................................................................................30
1.6.4. TeleMIP ....................................................................................................31
1.6.5. Cellular IP ................................................................................................31
1.6.6. HAWAII.....................................................................................................31
1.6.7. EMA ..........................................................................................................32

1.7. Kết luận chương..............................................................................................32

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


2
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

Chương 2 GIAO THỨC MOBILE IP .................................................................................33
2.1. Tổng quan về Mobile IP .................................................................................33
2.1.1. Giới thiệu ..................................................................................................33
2.1.2. Các thành phần cơ bản của một mạng mobile IP.....................................34
2.1.3. Phương thức hoạt động của Mobile IP.....................................................36

2.2. Quá trình phát hiện trạm.................................................................................40
2.2.1. Quảng bá của trạm ...................................................................................40

2.2.2. Yêu cầu quảng bá......................................................................................44
2.2.3. Cơ chế phát hiên sự di chuyển ..................................................................44

2.3. Quá trình đăng ký địa chỉ ...............................................................................45
2.3.1. Bản tin yêu cầu đăng ký ............................................................................45
2.3.2. Cấu trúc bản tin trả lời đăng ký................................................................48

2.4. Quá trình trao đổi thông tin ............................................................................49
2.5. Quá trình huỷ bỏ đăng ký địa chỉ ...................................................................51
2.6. Tối ưu hoá định tuyến.....................................................................................51
2.6.1. Bảng địa chỉ trong bộ nhớ đệm của nút chuyển tiếp.................................52
2.6.2. Cơ chế tạo Binding Cache ........................................................................52
2.6.3. Điều khiển chuyển giao mềm giữa các Foreign Agent .............................54

2.7. Một số lưu ý trong Mobile IP .........................................................................60
2.7.1. Một số vấn đề cần lưu ý với Mobile Node ................................................60
2.7.2. Những điểm cần lưu ý với Foreign Agent .................................................61
2.7.3. Những điều cần lưu ý với Home Agent .....................................................63
2.7.4. Một số vấn đề định tuyến trong Mobile IP................................................65
2.7.5. Một số phương pháp đóng gói trong Mobile IP .......................................66

2.8. Kết luận chương..............................................................................................72
Chương 3 GIẢI PHÁP BẢO MẬT CHO MOBILE IP .......................................................73
3.1. Nguy cơ an ninh và bảo mật trong Mobile IP ................................................73
3.1.1. Các yêu cầu bảo mật thông tin trên mạng ................................................73
3.1.2. Các nguy cơ với bảo mật của Mobile IP...................................................73
3.1.3. Các giải pháp bảo mật cho Mobile IP ......................................................75

3.2. Chống tấn công replay trong Mobile IP .........................................................76
3.2.1. Chống tấn công replay bằng nhãn thời gian ............................................77

3.2.2. Chống tấn công bằng Nonces ...................................................................78

3.3. Giải pháp xác thực cho Mobile IP ..................................................................79

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


3
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

3.3.1. Chuẩn xác thực thông điệp trong Mobile IP.............................................79
3.3.2. Xác thực theo cơ chế yêu cầu/đáp ứng .....................................................82
3.3.3. Xác thực theo cơ chế khóa công khai PKA ...............................................85
3.3.4. Xác thực với khóa công khai tối thiểu.......................................................88

3.4. Giải pháp với kiến trúc AAA..........................................................................89
3.4.1. Xác thực, kiểm soát và tính phí với AAA...................................................89
3.4.2. Phân phối khóa với hạ tầng AAA.............................................................91

3.5. Giải pháp với Hệ thống tường lửa ..................................................................92
3.5.1. Tránh xung đột với lọc đầu vào bằng đường hầm nghịch ........................92
3.5.2. Bổ sung tính năng cho firewall .................................................................94

3.6. Giải pháp mã hóa dữ liệu với IPSec ...............................................................95
3.6.1. IPSec .........................................................................................................95
3.6.2. Giải pháp IPSec trong Mobile IP .............................................................97
3.6.3. Cải tiến trao đổi khóa cho IPSec trong Mobile IP .................................100

3.7. Kết luận chương............................................................................................103
Chương 4 ỨNG DỤNG MOBILE IP TRONG MẠNG CCFSCnet..................................104

4.1. Giới thiệu mạng thông tin quản lý thiên tai CCFSCnet................................104
4.1.1. Sự ra đời của hệ thống thư điện tử WAFFLE (1994)..............................104
4.1.2. Sự ra đời của mạng DMUnet (1998) ......................................................104
4.1.3. Mạng CCFSCnet hiện tại........................................................................105

4.2. Khả năng ứng dụng Mobile IP......................................................................108
4.3. Giải pháp Cisco Mobile VPN .......................................................................109
4.3.1. Giới thiệu ................................................................................................109
4.3.2. Kiến trúc Cisco Mobile VPN...................................................................110
4.3.3. Cơ chế tương hỗ giữa IPsec và Mobile IP..............................................112
4.3.4. Một số lưu ý khi triển khai Cisco Mobile VPN .......................................113

4.4. Triển khai tại mạng CCFSCnet ....................................................................114
4.5. Kết luận chương............................................................................................115
KẾT LUẬN........................................................................................................................116
TÀI LIỆU THAM KHẢO .................................................................................................118

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


4
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

DANH MỤC CÁC TỪ VIẾT TẮT
CMC

Cisco Mobile Client

CN


Correspondent Node

COA

Care-of Address

FA

Foreign Agent

GFA

Gateway Foreign Agent

HA

Home Agent

IP

Internet Protocol

MN

Mobile Node

POA

Point of Attachement


SA

Security Association

SPI

Security Parameter Index

TCP

Transmission Control Protocol

VPN

Virtual Private Network

WGAN

Wireless Global Area Network

WLAN

Wireless Local Area Network

WPAN

Wireless Personal Area Network

WWAN


Wireless Wide Area Network

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


5
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

DANH MỤC CÁC HÌNH VẼ
Hình 1: Sự phát triển của mạng di động từ 2G lên 3G ..........................................9
Hình 2: Giao thức TCP/IP và mô hình OSI.........................................................16
Hình 3: Các trường trong IP Header ..................................................................19
Hình 4: Lưu đồ quá trình định tuyến ..................................................................23
Hình 5: Các trường trong Header IPv6 ..............................................................24
Hình 6: Cơ chế hoạt động cơ bản của Mobile IP.................................................27
Hình 7: Bảng quản lý địa chỉ tại Home Agent ....................................................37
Hình 8: Bảng quản lý địa chỉ tại Foreign Agent .................................................38
Hình 9: Quá trình định tuyến trong Mobile IP.....................................................39
Hình 10: Cấu trúc bản tin ICMP..........................................................................41
Hình 11: Phần mở rộng của bản tin ICMP .........................................................42
Hình 12: Phần mở rộng của Prefix-Length .........................................................43
Hình 13: Cấu trúc của bản tin yêu cầu đăng ký ...................................................46
Hình 14: Cấu trúc của phần mở rộng bản tin yêu cầu đăng ký ...........................47
Hình 15: Cấu trúc của bản tin trả lời đăng ký .....................................................48
Hình 16: Quá trình chuyển gói tin tới MN ..........................................................50
Hình 17: Quá trình định tuyến gói tin trong mạng...............................................51
Hình 18: Quá trình tạo các Binding Cache..........................................................53
Hình 19 Quá trình cập nhật địa chỉ.....................................................................54
Hình 20: Quá trình chuyển giao mềm ..................................................................55
Hình 21: Cấu trúc bản tin cảnh báo địa chỉ.........................................................56

Hình 22: Cấu trúc bản tin yêu cầu địa chỉ ...........................................................57
Hình 23: Cấu trúc bản tin cập nhật địa chỉ..........................................................58
Hình 24: Cấu trúc bản tin trả lời cập nhật địa chỉ...............................................59
Hình 25: Quá trình trao đổi các bản tin để phát hiện và cập nhật địa chỉ mới ...60
Hình 26: Đóng gói IP trong IP............................................................................67
Hình 27: Đóng gói Minimal Encapsulation for IP..............................................68
Hình 28: Minimal Encapsulation Header ............................................................69
Hình 29: Khuôn dạng thông điệp mở rộng xác thực MN và HA..........................81

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


6
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

Hình 30: Khuôn dạng thông điệp mở rộng xác thực MN và FA ..........................82
Hình 31: Khuôn dạng thông điệp mở rộng xác thực MA và FA...........................82
Hình 32 Hạ tầng kiểm tra .....................................................................................83
Hình 33 Mở rộng challenge..................................................................................83
Hình 34 Mở rộng Challenge MN-FA....................................................................85
Hình 35 Mở rộng quảng bá Agent........................................................................86
Hình 36 Thông điệp yêu cầu đăng ký nhận bởi FA ..............................................86
Hình 37 Thông điệp yêu cầu đăng ký gửi tới HA .................................................87
Hình 38 Thông điệp trả lời đăng ký từ FA ...........................................................87
Hình 39 Thông điệp trả lời đăng ký MN nhận được ...........................................88
Hình 40: Mô hình Mobile IP/AAA cơ bản .............................................................90
Hình 41: Các thiết lập bảo mật trong mô hình Mobile IP/AAA ...........................90
Hình 42: Gói tin quảng bá của Agent...................................................................93
Hình 43: Gói tin IP được bảo vệ bởi IPSec trong chế độ giao vận và chế độ
đường hầm ..........................................................................................96

Hình 44: Mở rộng quảng bá IPSec tại FA ...........................................................99
Hình 45: Mở rộng yêu cầu IPSec tại MN .............................................................99
Hình 46: Tiêu đề thông điệp ISAKMP................................................................101
Hình 47: Tải dữ liệu “Cập nhật địa chỉ IP” (IP Address Update) ....................102
Hình 48: Hệ thống mạng CCFSCnet..................................................................106
Hình 49: Kiến trúc mạng riêng ảo (Cisco VPN) ................................................110
Hình 50: Một topo ví dụ cho kiến trúc Mobile VPN............................................111
Hình 51: Tương hỗ giữa Mobile IP Tunnel và IPsec Tunnel ..............................113
Hình 52: Mạng CCFSCnet được bổ sung thêm...................................................115

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


7
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

MỞ ĐẦU
Internet và truyền thông di động và không dây đang phát triển một cách
nhanh chóng. Trong đó, các thông tin và dịch vụ được triển khai thông qua giao
thức IP chiếm ưu thế. Nhu cầu duy trì liên tục các kết nối IP của các thiết bị di động
trở nên hết sức cần thiết. Giao thức Mobile IP đã ra đời và được đưa vào ứng dụng
để đáp ứng nhu cầu này.
Mục tiêu của Mobile IP là hỗ trợ khả năng kết nối IP khi các thiết bị di
chuyển trong liên mạng với kết nối không dây nên vấn đề bảo mật dữ liệu là rất
quan trọng.
Luận văn sẽ đi vào nghiên cứu Mobile IP như là sự hỗ trợ cho kết nối IP
của các thiết bị không cố định và vấn đề bảo mật dữ liệu gắn liền với giao thức này
Luận văn được chia thành bốn chương chính:
Chương 1 – Tổng quan. Giới thiệu một cách tổng quan về tình hình phát
triển, thách thức và xu hướng của truyền thông không dây. Qua đó, thấy rằng nhu

cầu tính toán, kết nối và chạy các ứng dụng mạng của người dùng trong khi không ở
tại văn phòng là tất yếu. Chương 1 cũng nêu ra các vấn đề mà người dùng sẽ gặp
phải trong quá trình kết nối khi di động. Từ những vấn đề nảy sinh trong qúa trình
di động, chương 1 cũng sẽ đưa ra các hạn chế của họ giao thức TCP/IP. Từ đó, thấy
được sự cần thiết của việc bổ sung thêm các tính năng cho phép người dùng có thể
thiết lập, duy trì kết nối, duy trì các ứng dụng trong khi di chuyển.
Chương 2 – Giao thức Mobile IP. Chương này sẽ đi sâu phân tích các đặc
tính kỹ thuật của Mobile IP: các thành phần cơ bản của Mobile IP, phương thức
hoạt động của Mobile IP cũng như các vấn đề cần lưu ý trong Mobile IP.
Chương 3 – Giải pháp bảo mật cho Mobile IP. Trong chương này, các
vấn đề về nguy cơ an ninh đặc thù của Mobile IP được phân tích. Do đặc điểm của
người dùng khi di động là sử dụng các kết nối không dây, do đó các nguy cơ về an

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


8
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

ninh sẽ liên quan tới đặc tính là dữ liệu được truyền qua sóng vô tuyến. Mặt khác,
do đặc tính của quá trình thiết lập kết nối trong Mobile IP, nguy cơ bị tấn công an
ninh cũng cần được phân tích. Qua các phân tích về nguy cơ bản mật, chương này
trình bày một số giải pháp về an ninh và bảo mật cho Mobile IP.
Chương 4 – Ứng dụng Mobile IP trong mạng CCFSCnet. Chương này
sẽ trình bày hiện trạng mạng thông tin quản lý thiên tai của Văn phòng Ban chỉ đạo
Phòng chống Lụt bão Trung Ương. Bên cạnh, giải pháp kết hợp Mobile IP với khả
năng bảo mật Cisco Mobile VPN được phân tích. Qua đó, một đề xuất ứng dụng
giải pháp Cisco Mobile VPN cho mạng CCFSCnet được đưa ra.
Phần Kết luận trình bày các đánh giá rút ra qua quá trình thực hiện luận
văn, khả năng ứng dụng và phương hướng nghiên cứu tiếp theo về các nội dung của

luận văn.
Tuy học viên đã cố gắng thu thập và nghiên cứu tài liệu nhưng chưa có điều
kiện để có thể thực hiện các thử nghiệm thực tế. Do đó luận văn sẽ không tránh khỏi
có những thiếu sót. Rất mong được sự đóng góp ý kiến, nhận xét để học viên có thể
hoàn thiện được kết quả làm việc của mình.

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


118
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

TÀI LIỆU THAM KHẢO
Tiếng Việt
[1]

Nguyễn Tiến Lân (2003), Mobile IP trong thông tin di động, Luận văn
thạc sỹ, Khoa Điện tử - Viễn thông, Đại học Bách khoa Hà Nội

Tiếng Anh
[2]

C. Kaufman, Ed. (2005), RFC4306: Internet Key Exchange (IKEv2)
Protocol, Internet Engeering Task Force (IETF).

[3]

Charles E. Perkins (2002), RFC3344: IP Mobility Support for IPv4 ,
IETF.


[4]

Charles E. Perkins (2004), “Mobile IP at IETF”, Mobile Computing
and Communication Review, Volume 7, Number 4.

[5]

Charles E. Perkins, P. Calhoun (2000), RFC3012: Mobile IPv4
Challenge/Response Extensions, IETF.

[6]

Charles E. Perkins, “Mobile IP Joins Forces with AAA,” IEEE
Personal Communications,Aug. 2000.

[7]

Charles E. Perkins, P. Calhoun (2005), RFC3957: Authentication,
Authorization, and Accounting (AAA) for Mobile IPv4 , IETF.

[8]

Cisco (2005), Cisco Mobile VPN – Enabling Cisco End-Device Based
IP Mobility, Cisco White Paper.

[9]

D. Maughan, M. Schertler, M. Schneider, J. Turner (1998),
RFC2408: Internet Security Association and Key Management
Protocol (ISAKMP), IETF


[10] Fabio Moioli (2000), Security in Public Access Wireless LAN
Network, M.Sc. Thesis, Department of Teleinformatics, Royal
Institute of Technology, Stockholm.
[11] G. Montenegro (2001), RFC3024: Reverse Tunneling for Mobile IP,
IETF.
[12] G. Montenegro, V. Gupta (1998), RFC2356: Sun’s SKIP Firewall
Traversal for Mobile IP, IETF.

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN


119
Nghiên cứu giao thức Mobile IP và giải pháp bảo mật

[13] George H. Forman, John Zahorjan (1994), “The challenge of Mobile
Computing”, Computer Science and Engineering, University of
Warshington.
[14] Jacobs (2000), “Mobile IP Public Key Based Authentication”, Internet
Draft <draft-jacobs-mobileip-pki-auth-00.txt>, IETF.
[15] Kent, S., R. Atkinson (Nov. 1998), RFC 2402: IP Authentication
Header.
[16] Matthew G. Naugle (1999), Illustrated TCP/IP: A Graphic Guide to
the Protocol Suite , Wiley Computer Publishing, John Wiley & Sons
Inc.
[17] Naganand Doraswamy, Dan Harkins (2003), IPSec: The New Security
Standard for the Internet, Intranets, and Virtual Private Networks,
Second Edition, Prentice Hall PTR, ISBN:0-13-046189-X.
[18] Pierre Reinbold, Oliver Bonaventure (2003), “IP micro-mobility
protocols”, University of Namur.

[19] Ramjee Prasad, Marina Ruggieri ( 2003), Technology Trends in
Wireless Communications, Artech House.
[20] S. Glass, T. Hiller, C. Perkins (2000), RFC2977: Mobile IP
Authentication, Authorization, and Accounting Requirements, IETF.
[21] Salem Itani (2001), “Use of IPsec in Mobile IP”, Department of
Electrical and Computer Engineering, Faculty of Engineering and
Architecture, The American University of Beirut.
[22] Sufatrio, K. Y. L., “Mobile IP Registration Protocol: A Security
Attack and New Secure Minimal Public-Key Based Authentication”,
International Symposium on Parallel Architectures, Algorithms and
Networks (ISPAN '99), June 1999, pp. 364–369.
[23] Thayer, R., N. Doraswamy, và R. Glenn (Nov 1988), RFC 2411: IP
Security Document Roadmap.
[24] William Stallings (2001) ,”Mobile IP”, The Internet Protocol Journal,
Volume 4, Number 2, June 2001.

Đường Tất Toàn – Luận văn cao học – Trường Đại học Công nghệ - ĐHQG HN