Đề tài Bảo mật mạng wlan và internet

MỤC LỤC THUẬT NGỮ VIẾT TẮT ACK ACKnowledgment Bản tin xác nhận AID Association Chỉ số liên lạc AP Access Point Điểm truy nhập BSA Basic Service Area Vùng dịch vụ cơ sở BSS Basic Service Set Nhóm dịch vụ cơ sở BSSID Basic Service Set Identification Nhận dạng nhóm dịch vụ cơ sở CCA Clear Chanel Assessment Cơ chế xác định kênh rỗi CF Contention Free Chế độ không tranh chấp CFP Contention – Free Period Khoảng thời gian không tranh chấp CID Connection Identifier Chỉ số kết nối CP Contention Period Khoảng thời gian tranh chấp CRC Cyclic Redundancy Code Mã dư vòng CS Carrier Sence Cảm nhận sóng mang CTS Clear To Send Bản tin sẵn sàng nhận CW Contention Window Cửa sổ tranh chấp DA Destination Address Địa chỉ đích DBPSK Differential Binary Phase Shift Keying Khoá dịch pha nhị phân vi phân DCE Data Communication Equipment Thiết bị liên lạc dữ liệu DCF Distributed Coordination Fuction Cơ chế truy nhập kênh chức năng phối hợp phân phối DIFS Distributed Interframe Sapce Khoảng trống liên khung phân phối DLL Data Link Layer Tầng liên kết dữ liệu DQPSK Differential Quadrature Phase Shift Keying Khoá dịch pha cầu phương vi phân DS Distribution System Hệ thống phân phối DSAP Destination Service Access Ponit Điểm truy nhập dịch vụ đích DSM Distribution System Medium Môi trường hệ thống phân phối DSS Distribution System Sevice Dịch vụ hệ thống phân phối DSSS Direct Sequence Spread Spectrum Trải phổ chuỗi trực tiếp DTIM Delivery Traffic Indication Message Bản tin chỉ thị lưu lượng phát EIFS Extended Interframe Space Không gian liên khung mở rộng EAP Extensible Authentication Protocol Giao thức nhận thực có thể mở rộng ESS Extended Sevice Set Tập dịch vụ mở rộng FC Frame Control Điều khiển khung FCS Frame Check Sequence Chuỗi kiểm tra khung FER Frame Error Ratio Tỷ lệ lỗi khung FH Frequency Hopping Nhảy tần FHSS Frequency – Hopping Spread Spectrum Trải phổ nhảy tần IBSS Indipendent Basic Service Set Tập dịch vụ cơ sở độc lập ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn IDU Interface Data Unit Đơn vị dữ liệu giao diện khung IFS InterFrame Sapce Không gian liên khung IR InfRared Hồng ngoại IV Initialization Vector Vector khởi tạo I&A Indentity & Authentication Nhận dạng và Nhận thực LAN Local Area Network Mạng cục bộ LLC Logical Link Control Điều khiển liên kết logic LME Layer Managent Entity Thực thể quản lý tầng LRC Long Retry Count Đếm số lần gửi lại với kích thước khung dài lsb Least significant bit Bit trọng số thấp nhất MAC Medium Access Control Điều khiển truy nhập môi trường MDF Managent – Defined Field Trường định nghĩa kiểu bản tin quản lý MIB Manage Information Base Cơ sở thông tin quản lý MLME MAC sublayer Management Entity Thực thể quản lý phân lớp MAC MMPDU MAC Management Protocol Data Unit Đơn vị dữ liệu dịch vụ MAC Msb Most sisnificant bit Bit trọng số lớn nhất MSDU MAC Service Data Unit Đơn vị dữ liệu dịch vụ MAC NAV Network Allocation Vector Vector cấp phát mạng PC Point Coordinator Bộ phối hợp điểm PCF Point Coordination Fuction Chức năng phối hợp điểm PDU Protocol Data Unit Đơn vị dữ liệu giao thức PHY PHYsical (Layer) Lớp vật lý PHY-SAP PHYsical Service Access Point Điểm truy nhập dịch vụ lớp vật lý PIFS Point (coording fuction) Interframe Space Không gian liên khung điểm PLCP Physical Layer Convergence Protocol Giao thức hội tụ lớp vật lý PLME Physical Layer Management Entity Thực thể quản lý tần vật lý PMD Physical Medium Dependent Phụ thuộc môi trường vật lý PMD – SAP Physical Medium Dependent Service Acess Point Điểm truy nhập phụ thuộc môi trường vật lý PPDU PLCP Protocol Data Unit Đơn vị dữ liệu giao thức PLCP PPM Pulse Position Modulation Điều chế vị trí xung PRNG Pseudo – Random Number Generator Bộ phát số giả ngẫu nhiên PS Power Save Chế độ tiết kiệm nguồn PSDU PLCP SDU Đơn vị dữ liệu dịch vụ PLCP RA Receiver Adress Địa chỉ phía thu RF Radio Frequency Tần số vô tuyến RTS Request To Sent Yêu cầu gửi Rx Receive or Receiver Phía thu SA Source Address Địa chỉ nguồn SAP Service Access Point Điểm truy nhập dịch vụ SDU Service Data Unit Đơn vị dữ liệu dịch vụ SSID Service Set ID Tập dịch vụ ID SFD Start Frame Delimiter Trường ranh giới bắt đầu khung TKIP Temporary Key Indentity Protocol Giao thức nhận dạng khoá tạm thời WEP Wireless Equivalency Privacy Bảo mật tương đương hữu tuyến LỜI NÓI ĐẦU Ngày nay cuộc cách mạng công nghệ thông tin và viễn thông đã phát triển vô cùng mạnh mẽ, những thành tựu của nó đã có những ứng dụng to lớn, và trở thành một phần quan trọng trong cuộc sống của chúng ta. Mạng viễn thông mà tiêu biểu là Internet đã kết nối mọi người trên toàn thế giới, cung cấp đa dịch vụ từ Chat, e – mail, VoIP, hội nghị truyền hình, các thông tin khoa học kinh tế, giáo dục… Truy cập Internet trở thành nhu cầu quen thuộc đối với mọi người. Tuy nhiên, để có thể kết nối Internet người sử dụng phải truy nhập Internet từ một vị trí cố định thông qua một máy tính kết nối vào mạng. Điều này đôi khi gây ra rất nhiều khó khăn cho những người sử dụng khi đang di chuyển hoặc đến một nơi không có điều kiện kết nối vào mạng. Xuất phát từ yêu cầu mở rộng Internet để thân thiện hơn với người sử dụng. WLAN đã được nghiên cứu và triển khai ứng dụng trong thực tế, với những tính năng hỗ trợ đáp ứng được băng thông, triển khai lắp đặt dễ dàng, và đáp ứng được các yêu cầu kĩ thuật, kinh tế. Khi nghiên cứu và triển khai ứng dụng công nghệ WLAN, người ta đặc biệt quan tâm tới tính bảo mật an toàn thông tin của nó. Do môi trường truyền dẫn vô tuyến nên WLAN rất dễ bị rò rỉ thông tin do tác động của môi trường và đặc biệt là sự tấn công của các Hacker. Do đó, đi đôi với phát triển WLAN phải phát triển các khả năng bảo mật WLAN an toàn, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng. Từ những yêu cầu đó đề tài đã hướng tới nghiên cứu về bảo mật cho WLAN, nội dung của đề tài gồm ba chương như sau : Chương I : Tổng quan về WLAN Chương II : Bảo mật mạng và Internet. Chương III : Bảo mật WLAN CHƯƠNG I TỔNG QUAN VỀ WLAN 1.1 Giới thiệu Với sự phát triển nhanh chóng của khoa học và công nghệ thông tin, viễn thông ngày nay các thiết bị di động công nghệ cao như máy tính xách tay laptop, máy tính bỏ túi palm top, điện thoại di động, máy nhắn tin… không còn xa lạ và ngày càng được sử dụng rộng rãi trong những năm gần đây. Nhu cầu truyền thông một cách dễ dàng và tự phát giữa các thiết bị này dẫn đến sự phát triển của một lớp mạng di động không dây mới, đó là mạng WLAN. WLAN cho phép duy trì các kết nối mạng không dây, người sử dụng duy trì các kết nối mạng trong phạm vi phủ sóng của các điểm kết nối trung tâm. Phương thức kết nối mới này thực sự đã mở ra cho người dử dụng một sự lựa chọn tối ưu, bổ xung cho các phương thức kết nối dùng dây. WLAN là một hệ thống truyền thông dữ liệu linh hoạt được thực hiện như một sự mở rộng, hay sự thay đổi của mạng LAN hữu tuyến. Mạng WLAN là mạng dữ liệu, có thể thay thế hoặc mở rộng mạng cáp đồng, sử dụng các công nghệ tần số vô tuyến RF hay hồng ngoại để truyền và nhận số liệu qua không gian, tối thiểu hoá nhu cầu kết nối hữu tuyến. WLAN cung cấp tất cả các chức năng và ưu điểm của một mạng LAN truyền thống như Ethernet hay Ring mà không bị giới hạn bởi cáp. Vì vậy, WLAN kết hợp được việc kết nối truyền số liệu với tính di động của người sử dụng. WLAN khác với các mạng diện rộng vô tuyến W-WAN truyền thông tin số qua hệ thống các tế bào hoặc gói vô tuyến. Các hệ thống WAN vô tuyến phủ sóng với khoảng cách lớn và chi phí lớn bao gồm các cơ sở hạ tầng, cung cấp các tốc độ dữ liệu thấp và yêu cầu khách hàng phải trả tiền băng tần truyền dẫn theo thời gian sử dụng hoặc theo việc sử dụng. Các mạng WLAN cung cấp truy nhập không dây với tốc độ lớn hơn 1 Mbps cho cả môi trường trong nhà và ngoài trời. Các WLAN cũng cho phép thực hiện dễ dàng các dịch vụ quảng bá và đa địa chỉ cho dù các dịch vụ này phải được bảo vệ tránh các truy nhập không được phép. Trong khi chi phí cho việc triển khai mạng LAN truyền thống chủ yếu là ở các thiết bị kết nối mà đôi khi chi phí này vượt quá chi phí phần cứng và phần mềm của máy tính thì việc triển khai WLAN loại bỏ được các chi phí nhân công và thiết bị dây cáp. Đồng thời, WLAN cũng linh hoạt hơn trong xây dựng lại cấu hình hoặc mở rộng các nút mạng, do đó chi phí cho tương lai sẽ không nhiều và dễ dàng triển khai hơn. Sự phát triển ngày càng tăng nhanh của các máy tính xách tay nhỏ gọn hơn, hiện đại hơn.và rẻ hơn đã thúc đẩy sự tăng trưởng rất lớn trong công nghiệp WLAN những năm gần đây. Ứng dụng lớn nhất của WLAN là việc áp dụng WLAN như một giải pháp tối ưu cho việc sử dụng Internet. Mạng WLAN được coi như một thế hệ mạng truyền số liệu mới cho tốc độ cao được hình thành từ hoạt động tương hỗ của cả mạng hữu tuyến hiện có và mạng vô tuyến. Mục tiêu của việc triển khai mạng WLAN cho việc sử dụng internet là để cung cấp các dịch vụ số liệu vô tuyến tốc độ cao và tạo nên sự hình thành của “mạng toàn IP”. 1.2 Kiến trúc WLAN Kiến trúc WLAN bao gồm một số thành phần tương tác với nhau để cung cấp WLAN hỗ trợ khả năng di động của các trạm một cách trong suốt với các lớp cao hơn. Nhóm dịch vụ cơ bản BSS là một khối xây dựng cơ bản của WLAN. Hình 1-1 biểu diễn hai BSS, mỗi BSS có hai trạm là các thành phần của BSS. Có thể xem như hình oval sử dụng để minh họa một BSS là một vùng bao phủ trong đó các trạm thành phần của BSS có thể duy trì liên lạc. Nếu một trạm di chuyển ra ngoài BSS của nó, nó sẽ không liên lạc trực tiếp được với các thành viên khác của BSS. Hình 1-1 Các dịch vụ cơ sở BSS 1.2.1 Một BSS độc lập là một mạng adhoc Một BSS độc lập là loại cơ bản nhất của WLAN. Cấu hình WLAN nhỏ nhất có thể chỉ gồm 2 trạm. Hình 1-1 biểu diễn hai trạm BSS độc lập (IBSS). Có thể hoạt động ở chế độ này khi các trạm WLAN có thể liên lạc trực tiếp. Bởi vì loại WLAN này thường được xây dựng mà không có kế hoạch trước. Loại này thường được xem là mạng adhoc. Liên lạc giữa một STA và một BSS là hoàn toàn động, các STA có thể bật máy, tắt máy, chạy trong một khoảng nào đó hoặc chạy ra ngoài vung phục vụ. Để trở thành một thành viên của một BSS cơ sở, một trạm sẽ được đưa vào trạng thái “liên lạc” (“associated”). Các trạng thái “liên lạc” này là động và liên quan tới việc sử dụng các dịch vụ hệ thống phân phối (DSS). 1.2.2 Khái niệm hệ thống phân phối Thành phần kiến trúc sử dụng để kết nối các BSS với nhau là Hệ thống phân phối (DS – Distribution System). WLAN phân tách một cách logic môi trường vô tuyến (WM) với môi trường hệ thống phân phối (DSM). Mỗi môi trường logic được sử dụng cho các mục đích khác nhau bởi một thành phần kiến trúc khác nhau. WLAN không đòi hỏi các môi trường này là phải giống nhau hay khác nhau. Nhận biết được các môi trường khác biệt một cách logic là vấn đề chính để hiểu được sự linh hoạt của kiến trúc. Kiến trúc WLAN là hoàn toàn độc lập với các tính chất vật lý của lớp vật lý triển khai. Một DS cho phép hỗ trợ các thiết bị di động bằng cách cung cấp các dịch vụ logic cần thiết giám sát địa chỉ để chuyển đổi đích và tích hợp nhiều BSS. Hình 1-2 : Các hệ thống phân phối DS và các điểm truy nhập AP Một điểm truy nhập (AP-Access Point) là một STA cung cấp khả năng truy nhập tới DS bằng cách cung cấp các dịch vụ bổ sung để nó hoạt động như một STA. Hình 1-2 bổ sung các thành phần hệ thống phân phối DS và điểm truy nhập AP. Dữ liệu di chuyển giữa một BSS và DS qua một AP. Chú ý rằng tất cả các AP cũng là các STA; do vậy chúng là các thực thể có thể đánh địa chỉ. Các địa chỉ được AP sử dụng để trao đổi thông tin trên môi trường vô tuyến WM và trên môi trường hệ thống phân phối DSM không nhất thiết phải giống nhau. 1.2.3 Khái niệm vùng Với lớp vật lý PHY vô tuyến, các vùng bao phủ không tồn tại. Các tính chất lan truyền là động và không dự đoán trước được. Những thay đổi nhỏ về mặt vị trí và hướng đi có thể gây ra sự khác biệt lớn về cường độ tín hiệu. Các ảnh hưởng tương tự xảy ra khi STA là một trạm cố định hoặc di động (một thực thể có thể tác động tới độ lan truyền từ trạm này đến trạm khác khi di chuyển ). Trong khi các khái niệm nhóm trạm là chính xác thì để thuận tiện thì người ta hay gọi chúng là các “vùng”. 1.2.4 Tích hợp LAN hữu tuyến Để tích hợp WLAN với LAN hữu tuyến truyền thống, một thành phần kiến trúc logic được đưa ra là thành phần cổng. Cổng là một điểm logic tại đó các MSDU từ một mạng tích hợp không phải là WLAN đi vào hệ thống phân phối DS của WLAN. Ví dụ, một cổng được biểu diễn trên Hình 1-3 kết nối tới một mạng LAN hữu tuyến. Tất cả các dữ liệu từ một mạng LAN truyền thống đi vào kiến trúc mạng WLAN qua thiết bị cổng. Cổng cung cấp khả năng tích hợp logic giữa một kiến trúc WLAN và các mạng LAN truyền thống đã có. Có thể một thiết bị cung cấp cả hai chức năng AP và cổng; điều này xảy ra trong trường hợp khi một DS được thực thi từ các thành phần của mạng LAN 802. Trong IEEE802.11, kiến trúc ESS (các AP và DS) cung cấp phân đoạn lưu lượng và mở rộng khoảng cách. Các kết nối logic giữa WLAN và các mạng LAN khác qua cổng. Các cổng kết nối giữa môi trường hệ thống phân phối DSM và môi trường LAN được tích hợp với nhau. Hình 1-3 Kết nối với các mạng LAN khác 1.2.5 Cấu hình mạng WLAN 1.2.5.1 Cấu hình WLAN độc lập Về cơ bản, hai máy tính được trang bị thêm Card adapter vô tuyến có thể hình thành một mạng độc lập khi chúng ở trong dải tần của nhau. Với các hệ điều hành dùng đang được sử dụng rộng rãi như Windows 95, Windows NT có thể cài đặt cấu hình mạng này một cách dề dàng. Đây là cấu hình mạng ngang cấp hay còn gọi là mạng ad hoc. Các mạng hình thành theo nhu cầu như vậy không cần thiết phải quản lý hay thiết lập cấu hình từ trước. Nút di động có thể truy cập vào các tài nguyên của các máy khác mà không phải qua một máy chủ trung tâm. Cấu hình mạng độc lập được mô tả như Hình 1.4 Cấu hình độc lập này cung cấp kết nối đồng mức, trong đó các nút di động trao đổi thông tin trực tiếp với nhau thông qua các bộ biến đổi vô tuyến. Vì các mạng ad-hoc này có thể thực hiện nhanh và dễ dàng nên chúng thường được thiết lập mà không cần một công cụ hay kỹ năng đặc biệt nào. Cấu hình mạng này cũng không cần phải quản trị mạng. Các cấu hình như vậy rất thích hợp sử dụng trong các hội nghị thương mại hoặc trong các nhóm làm việc tạm thời. Tuy nhiên chúng có thể có những nhược điểm về vùng phủ sóng bị giới hạn, mọi người sử dụng đều nghe được lẫn nhau. Hình 1-4 Cấu hình mạng WLAN độc lập 1.2.5.2 Cấu hình WLAN cơ sở Một điểm truy nhập có thể mở rộng khoảng cách giữa hai WLAN độc lập khi nó hoạt động như một bộ lặp làm tăng hai lần cự ly giữa các nút di động. Các điểm truy nhập AP sẽ gắn với mạng đường trục hữu tuyến và giao tiếp với các thiết bị di động trong vùng phủ sóng của một ô. AP đóng vai trò điều khiển cell và điều khiển lưu lượng tới mạng (Hình 1.5). Hình 1-5 Cấu hình WLAN cơ sở Trong cấu hình WLAN cơ sở, các thiết bị di động không giao tiếp trực tiếp với nhau mà giao tiếp với các điểm truy nhập. Như vậy, cấu hình WLAN cơ sở sẽ bao gồm các nút di động được nối vào mạng hữu tuyến, chuyển dịch từ thông tin vô tuyến sang thông tin hữu tuyến thông qua một điểm truy nhập. Điểm truy nhập AP có thể là trạm gốc (đối với cơ sở hạ tầng hữu tuyến) hoặc cầu vô tuyến đối với cơ sở hạ tầng vô tuyến. Các cell có thể chồng lấn lên nhau khoảng 10-15 % cho phép các trạm di động có thể di chuyển mà không bị mất kết nối vô tuyến và cung cấp vùng phủ sóng với chi phí thấp nhất. Các máy trạm sẽ chọn AP tốt nhất để kết nối. Việc thiết kế WLAN sẽ tương đối đơn giản nếu thông tin về mạng và quản lý cùng nằm trong một vùng. Một điểm truy nhập nằm ở trung tâm có thể điều khiển và phân phối truy nhập cho các nút tranh chấp, cung cấp truy nhập phù hợp với mạng đường trục, ấn định các địa chỉ và các mức ưu tiên, giám sát lưu lượng mạng, quản lý chuyển đi các gói và duy trì theo dõi cấu hình mạng. Tuy nhiên giao thức đa truy nhập tập trung không cho phép các nút di động truyền trực tiếp tới nút khác nằm trong cùng vùng với điểm truy nhập như trong cấu hình mạng WLAN độc lập. Trong trường hợp này, mỗi gói sẽ phải được phát đi 2 lần (từ nút phát gốc và sau đó là điểm truy nhập) trước khi nó tới nút đích, quá trình này sẽ làm giảm hiệu quả truyền dẫn và tăng trễ truyền dẫn. Tuy nhiên các hệ thống như vậy thường cung cấp các thông lượng dữ liệu cao hơn, vùng phủ sóng rộng hơn và có thể phục vụ các lưu lượng video, thoại với thời gian thực. Ngoài ra một điểm truy nhập nằm ở vị trí thích hợp có thể giảm tối thiểu được công suất phát và giải quyết được các vấn đề của nút ẩn một cách hiệu quả. Vì một số WLAN sử dụng các giao thức đa truy nhập phân tán như CSMA nên có thể các nút trong mạng cơ sở yêu cầu chỉ truyền gói tới điểm truy nhập. Sau đó điểm truy nhập sẽ chuyển tiếp các gói tới đúng địa chỉ đích. Các bộ lặp có thể được sử dụng để tăng khoảng cách vùng phủ sóng trong trường hợp kết nối đến mạng đường trục khó thực hiện. Việc này yêu cầu chồng lấn 50% của AP trên mạng đường trục và bộ lặp. Tốc độ dữ liệu sẽ giảm do thời gian thu và phát lại(hình 1.6). Hình 1-6 Cấu hình WLAN dùng bộ lặp 1.2.5.3 Cấu hình WLAN hoàn chỉnh Hình 1-7 Cấu hình WLAN hoàn chỉnh 1.3 Các thành phần cấu thành một hệ thống WLAN 1.3.1 Card giao diện vô tuyến Giống như các Card biến đổi thích ứng Card giao diện vô tuyến trao đổi thông tin với hệ thống điều hành mạng thông qua một bộ điều khiển chuyên dụng, qua đó cho phép các ứng dụng sử dụng mạng vô tuyến để truyền dữ liệu. Tuy nhiên nó khác với Card biến đổi thích ứng là không cần bất kỳ dây cáp nào nối chúng với mạng và cho phép đặt lại các nút mạng mà không cần thay đổi cáp mạng hoặc thay đổi các kết nối tới các hub. 1.3.2 Các điểm truy nhập vô tuyến Các vùng phủ sóng được tạo ra xung quanh các điểm truy nhập, các vùng này liên kết giữa các nút di động và cơ sở hạ tầng hữu tuyến. Nó làm cho WLAN biến thành một phần mở rộng của mạng hữu tuyến. Vì các điểm truy nhập cho phép mở rộng các vùng phủ sóng nên WLAN rất ổn định và các điểm truy nhập bổ xung có thể triển khai ngay trong cả tòa nhà hay khuôn viên trường đại học để tạo ra các vùng truy nhập vô tuyến rộng lớn. Ngoài chức năng trao đổi thông tin với các mạng không dây còn lọc lưu lượng và thực hiện các chức năng cầu nối tiêu chuẩn. Do băng thông ghép đôi giữa hữu tuyến và vô tuyến không đối xứng nên điểm truy nhập cần phải có bộ đệm thích hợp và các tài nguyên của bộ nhớ. Các bộ đệm cũng chủ yếu dùng để lưu các gói dữ liệu ở điểm truy nhập khi một nút di động cố gắng di chuyển khỏi vùng phủ sóng hoặc khi một nut di động đang ở chế độ công suất thấp. Các điểm truy nhập trao đổi với nhau qua mạng hữu tuyến để quản lý các nút di động. Vì các điểm truy nhập được kết nối với mạng hữu tuyến nên mỗi nút di động sẽ truy nhập vào các tài nguyên của máy chủ cũng như các nút di động khác. Mỗi điểm truy nhập có thể phục vụ nhiều nút di động, số lượng cụ thể phụ thuộc và số lượng và bản chất của truyền dẫn. Nhiều ứng dụng thực tế bao gồm một điểm truy nhập đơn và 15 – 50 nút di động. Một điểm truy nhập không cần điều khiển truy nhập từ nhiều nút di động (có nghĩa là nó có thể hoạt động với một giao thức truy nhập ngẫu nhiên phân tán như là CSMA). Tuy nhiên một giao thức đa truy nhập tập trung được điều khiển bởi một điểm truy nhập sẽ có nhiều thuận lợi. Các lựa chọn giao diện mạng hữu tuyến chung tới điểm truy nhập gồm có 10 base2, 10 baseT, modem cáp và modem ADSL, ISDN. Một số Card giao diện mạng vô tuyến có thể sử dụng kết hợp với các điểm truy nhập vô tuyến. Hình 1-8 Điểm truy nhập AP 1.3.3 Cầu nối vô tuyến từ xa Các cầu vô tuyến từ xa tương tự như các điểm truy nhập trừ trường hợp chúng được sử dụng cho các kênh bên ngoài. Phụ thuộc vào khoảng cách và vùng mà có thể cần tới các anten ngoài. Các cầu này được thiết kế để kết nối các mạng với nhau, đặc biệt trong các toà nhà và xa khoảng 32km. Chúng cung cấp mét lùa chọn nhanh chóng và rẻ tiền so với lắp đặt cáp hoặc đường điện thoại thuê riêng, và thường được sử dụng khi các kết nối truyền thống không khả thi (ví dụ qua các sông, vướng địa hình, các khu vực riêng, đường cao tốc, minh hoạ trong hình 1.3). Khác với các liên kết cáp và các mạch điện thoại chuyên dụng các cầu vô tuyến có thể lọc lưu lượng và đảm bảo rằng các mạng được kết nối không mất các lưu lượng cần thiết. Hình 1-9 : Cầu nối vô tuyến 1.4 Mô hình tham chiếu WLAN IEEE 802.11 Hệ thống bao gồm hai phần chính Phân lớp MAC của lớp liên kết dữ liệu Lớp vật lý PHY Những lớp này tương ứng với các lớp thấp nhất trong mô hình tham chiếu cơ bản ISO/ IEC của OSI. Hình 1-10 : Mô hình tham chiếu cơ bản IEEE 802.11 1.4.1 Phân lớp MAC 1.4.1.1 Các dịch vụ MAC Dịch vụ dữ liệu MAC không đồng bộ: Dịch vụ này cung cấp cho các thực thể điều khiển liên kết logic LLC ngang cấp khả năng trao đổi các đơn vị dữ liệu dịch vụ MAC (MSDU). Để hỗ trợ dịch vụ này, MAC cục bộ sử dụng các dịch vụ lớp vật lý PHY phía dưới để truyền một bản tin MSDU tới một thực thể MAC ngang cấp, tại đây nó sẽ được phân phát lên LLC ngang cấp. Chuyển tải MSDU không đồng bộ được thực hiện trên cở sở phi kết nối. Không có gì đảm bảo rằng MSDU chấp nhận được phát thành công. Chuyển tải quảng bá và điểm – đa điểm là một phần của dịch vụ dữ liệu không đồng bộ do dịch vụ MAC cung cấp. Do các đặc tính của môi trường vô tuyến WM, các đơn vị dịch vụ dữ liệu MAC MSDU kiểu quảng bá và điểm đa điểm có thể nhận được một mức chất lượng dịch vụ thấp hơn so với MSDU điểm - điểm. Tất cả các trạm STA đều hỗ trợ các dịch vụ dữ liệu không đồng bộ. Bởi vì hoạt động của các chức năng lớp MAC có thể dẫn đến phải sắp xếp lại trật tự một vài MSDU. Bằng việc lựa chọn lớp dịch vụ mong muốn, mỗi thực thể LLC khởi tạo truyền các MSDU có thể được điều khiển xem liệu các thực thể MAC có được phép sắp xếp lại trật tự của các MSDU này. Dịch vụ bảo mật Các dịch vụ bảo mật trong WLAN được dịch vụ nhận thực và cơ chế mã hoá WEP cung cấp. Phạm vi mà dịch vụ bảo mật cung cấp chỉ giới hạn trong phạm vi trao đổi thông tin giữa trạm tới trạm. Dịch vụ bảo mật mà WLAN WEP cung cấp là mã hoá các MSDU. Triển khai dịch vụ WEP trên thực tế là hoàn toàn trong suốt đối với LLC và các lớp khác phía trên phân lớp MAC. Các dịch vụ bảo mật được WEP cung cấp trong WLAN bao gồm : Bảo mật Nhận thực Điều khiển truy nhập cùng với quản lý lớp. 1.4.1.2 Khuôn dạng khung tổng quát Khuôn dạng khung MAC bao gồm tập hợp các trường ở một trật tự cố định trong tất cả các khung. Hình 1-11 mô tả một khuôn dạng khung MAC tổng quát. Trong đó các trường địa chỉ 2, trường địa chỉ 3, trường điều khiển trật tự khung, trường địa chỉ 4 và trường thân khung chỉ có trong một số loại khung nhất định Hình 1-11 Khuôn dạng khung MAC Trường điều khiển khung Trường điều khiển khung bao gồm các trường con sau đây : Protocol Version (Phiên bản giao thức), Type (Loại trường), Subtype, to DS, From DS, More Fragment, Retry, Power management, More Data, Wired Equipvalent Privacy (WEP) và trường Order. Khuôn dạng của trường điều khiển khung được biểu diễn trong Hình 1-12. Protocol version Type Sub type To DS From DS More frag Retry Pwr mng More data WEP Order Hình 1-12 Trường điều khiển khung Trường phiên bản giao thức (Protocol Version) Trường protocol version có độ dài 2 bit có kích thước không thay đổi. Với tiêu chuẩn IEEE 802.11 giá trị trường bằng 0, các giá trị khác để dự phòng cho các phiên bản WLAN sau. Giá trị của trường sẽ của trường sẽ tăng dần khi xuất hiện sự thay đổi cơ bản giữa phiên bản đã sửa đổi với phiên bản trước đó. Trường Type và Subtype Trường Type có độ dài 2 bit và Subtype có độ dài 4 bit. Các trường Type và Subtype đều dùng để xác định chức năng của khung. Có 3 loại khung : khung điều khiển, khung dữ liệu và khung quản lý. Mỗi loại khung này đều có một số trường Subtype được định nghĩa trước. Bảng 1-1 biểu diễn sự kết hợp giữa và Subtype. Bảng 1-1 Kết hợp giữa trường TYPE và SUBTYPE Giá trị trường Type Loại trường Type Giá trị trường Subtype Loại trường Subtype 00 Quản lý 0000 Yêu cầu liên kết 00 Quản lý 0001 Trả lời liên kết 00 Quản lý 0010 Yêu cầu tái liên kết 00 Quản lý 0011 Trả lời tái liên kết 00 Quản lý 0100 Yêu cầu Probe 00 Quản lý 0101 Trả lời Probe 00 Quản lý 0110 – 0111 Dự phòng 00 Quản lý 1000 Beacon 00 Quản lý 1001 Bản tin chỉ thị lưu lượng thông báo (ATIM) 00 Quản lý 1010 Ngừng liên kết 00 Quản lý 1011 Nhận thực 00 Quản lý 1100 Ngừng nhận thực 00 Quản lý 1101-1111 Dự phòng 01 Điều khiển 0000-1001 Dự phòng 01 Điều khiển 1010 Power Save (PS) – poll 01 Điều khiển 1011 Yêu cầu gửi (RTS) 01 Điều khiển 1100 Sẵn sàng gửi (CTS) 01 Điều khiển 1101 ACK 01 Điều khiển 1110 Contention – free(CF) – End 01 Điều khiển 1111 CF – end +CF-ACK 10 Dữ liệu 0000 Dữ liệu 10 Dữ liệu 0001 Dữ liệu +CF-ACK 10 Dữ liệu 0010 Dữ liệu + CF –poll 10 Dữ liệu 0011 Dữ liệu +CF – Ack+CF-poll 10 Dữ liệu 0100 NULL(không có dữ liệu) 10 Dữ liệu 0101 CF – Ack (không có dữ liệu) 10 Dữ liệu 0110 CF – poll (không có dữ liệu) 10 Dữ liệu 0111 CF–Ack +CF- poll(không có dữ liệu) 10 Dữ liệu 1000-1111 Dự phòng 10 Dự phòng 0000-1111 Dự phòng Trường To DS Trường To DS có chiều dài 1 bit và được thiết lập giá trị là 1 trong các khung dữ liệu gửi tới cho DS, bao gồm tất cả các loại khung dữ liệu được gửi bởi các trạm STA liên kết với AP. Trường To DS được thiết lập giá trị là 0 trong tất cả các khung khác. Trường From DS Trường From DS có chiều 1 bit và được thiết lập giá trị là 1 trong tất cả các khung dữ liệu tồn tại trong DS. Và trường này sẽ có giá trị là 0 trong tất cả các khung còn lại. Trường More Fragment (phân mảnh thêm) Trường phân mảnh thêm có chiều dài một bit và được thiết lập giá trị bằng 1 trong tất cả các khung dữ liệu hoặc trong các khung quản lý có một khung phân đoạn gửi tiếp theo nằm trong một MSDU hoặc MMPDU. Trường Retry Có độ dài một bit và được thiết lập gí trị bằng 1 trong tất cả các khung dữ liệu hoặc khung quản lý nào phát lại. Và thiết lập giá trị bằng 0 trong tất cả các khung còn lại. Phía thu sẽ sử dụng chỉ thị này để loại bỏ những khung giống nhau. Trường power management (quản lý nguồn) Có độ dài một bit và được sử dụng để chỉ thị chế độ quản lý nguồn STA. Giá trị của trường này không thay đổi trong các khung xuất phát từ một STA trong một trật tự trao đổi khung. Giá trị của trường power management là 0 chỉ ra rằng STA ở trạng thái tiết kiệm năng lượng, giá trị 0 chỉ ra rằng STA sẽ ở chế độ kích hoạt. Trường này luôn được thiết lập giá trị 0 trong các khung do AP truyền đi. Trường More Data (thêm dữ liệu) Có độ dài một bit, thông báo cho STA đang ở chế độ tiết kiệm năng lượng biết là có một hay nhiều MSDU, MMPDU gửi tới STA đó đang nằm trong bộ đệm của AP. Trường WEP Có độ dài 1 bit. Nó được thiết lập giá trị 1 nếu trường Frame body chứa thông tin được xử lý bởi thuật toán WEP. Trường WEP chỉ được thiết lập giá trị 1 trong các khung quản lý và khung dữ liệu có phân loại Subtype và Nhận thực. Trường WEP được thiết lập giá trị 0 trong tất cả các khung còn lại. Nếu bit WEP có giá trị 1, khi đó trường Frame Body được giải nén theo thuật toán WEP. Trường Order Trường Order có độ dài 1 bit và được thiết lập giá trị 1 trong bất kì khung dữ liệu nào chứa MSDU, hoặc thành phần của MSDU, được truyền ở lớp dịch vụ Strictly Ordered. Trường thời gian/ ID Trường thời gian/ID có độ dài 16 bit. Nội dung của trường này như sau: Trong các khung điều khiển có Subtype loại Power Save (PS) – poll, trường thời gian / ID mang chỉ số nhận dạng liên lạc (AID) của trạm gửi khung trong 14 bit trọng số thấp nhất (lsb) và 2 bit trọng số cao nhất (msb) đều được thiết lập giá trị 1. Giá trị của AID nằm trong khoảng 1 – 2007. Trong tất cả các khung khác, trường thời gian/ID chứa giá trị thời gian được chỉ định cho mỗi loại khung. Đối với các khung được truyền trong khoảng thời gian contention – free (CEP), trường thời gian/ID được thiết lập giá trị là 32768. Bất kỳ khi nào nội dung của trường thời gian/ID cũng có giá trị nhỏ hơn 32768, giá trị của trường được sử dụng để cập nhật vecto phân phối mạng(NAV). Trường Address Có 4 loại trường địa chỉ trong khuôn dạng khung MAC. Các trường đó được sử dụng để chỉ thị BSSID, địa chỉ nguồn, địa chỉ đích, địa chỉ trạm gửi và địa chỉ trạm nhận. Việc sử dụng của 4 trường Address trong mỗi loại khung được biểu diễn bằng các chữ viết tắt BSSID, DA, SA, RA và TA, tương ứng với địa chỉ nhận dạng BSS, địa chỉ đích, địa chỉ nguồn, địa chỉ trạm nhận và địa chỉ trạm phát. Có thể có khung không chứa một số trường Address. Việc sử dụng trường Address được qui định bởi vị trí tương đối của các trường Address (1 - 4 ) trong mào đầu MAC, không phụ thuộc vào loại địa chỉ hiện tại trong trường đó. Ví dụ, địa chỉ trạm nhận luôn nằm trong trường Address 1 trong các khung nhận được và địa chỉ trạm nhận của các khung CTS và ACK luôn nằm trong trường Address 2. Mỗi trường Address chứa một địa chỉ dài 48 bit. Phân loại địa chỉ Địa chỉ con MAC là một trong hai loại sau đây: Địa chỉ cá nhân: Là địa chỉ liên kết với từng trạm cụ thể trên mạng. Địa chỉ nhóm : Là địa chỉ đa đích, liên kết với một hoặc nhiều trạm trên mạng Có hai loại địa chỉ nhóm như sau: Địa chỉ nhóm Multicast : Là địa chỉ của một nhóm các trạm liên quan về mặt logic được kết hợp với nhau bởi qui ước mức cao hơn. Địa chỉ Broadcast: Là một đĩa chỉ đa điểm riêng biệt được định nghĩa trước mà luôn để chỉ tất cả các trạm trong mạng LAN đang xét. Khi trường địa chỉ đích có tất cả mang giá trị 1, nó được hiểu là địa chỉ Broadcast. Nhóm địa chỉ này được định nghĩa trước trong từng môi trường để tất cả các trạm hoạt động được kết nối với môi trường đó. Tất cả các trạm đó có thể nhận dạng được địa chỉ Broadcast. Không nhất thiết một trạm phải có khả năng phát địa chỉ Broadcast. Không gian địa chỉ cũng được phân tách thành không gian địa chỉ quản lý cục bộ và không gian địa chỉ quản lý toàn cầu. Trường BSSID Trường BSSID có độ dài 48 bit và có khuôn dạng giống như địa chỉ LAN MAC. Trường này được ấn định duy nhất cho từng BSS. Giá trị của trường này trong một BSS là địa chỉ MAC của trạm STA thực hiện chức năng điểm truy nhập AP của BSS. Giá trị của trường này trong IBSS nằm trong không gian địa chỉ MAC quản lý cục bộ và được tạo thành từ 46 bit đánh số ngẫu nhiên. Giá trị bit Inđiviual/ Group của trường địa chỉ được thiết lập bằng 0. Giá trị bit Global/ local của trường địa chỉ được thiết lập bằng 1. Cơ chế này được sử dụng để cung cấp khả năng có thể xảy ra cao trong việc lựa chọn một BSSID duy nhất. Nếu trường này có tất cả các bit nhận giá trị 1 thì nó được xem là trường BSSID Broadcast. Trường BSSID Broadcast chỉ có thể được sử dụng trong trường BSSID đối với các khung quản lý có trường Subtype là “Yêu cầu kiểm tra”. Trường địa chỉ đích (DA) Trường địa chỉ đích (DA) chứa địa chỉ MAC cá nhân hoặc địa chỉ nhóm để nhận dạng thực thể hoặc các thực thể là trạm nhận cuối cùng của MSDU (hoặc thành phần của MSDU) chứa trong trường Frame Body. Trường địa chỉ nguồn (SA) Trường SA chứa địa chỉ IEEE MAC để nhận dạng thực thể MAC phát MSDU (hoặc thành phần của MSDU) chứa trong trường Frame Body. Bit Individual / Group luôn luôn nhận giá trị 0 trong địa chỉ nguồn. Trường địa chỉ trạm nhận (RA) Trường RA chứa địa chỉ IEEE MAC cá nhân hoặc địa chỉ nhóm để nhận dạng các trạm STA trung gian, trong môi trường vô tuyến WM, nhận thông tin chứa trong trường Frame Body. Trường địa chỉ trạm phát (TA) Trường TA chứa địa chỉ IEEE MAC cá nhân để nhận dạng trạm STA phát MPDU chứa trong trường Frame Body. Bit Individual/ Group luôn nhận giá trị 0 trong trường TA. Trường Sequence Control Trường điều khiển trình tự (Sequence Control) có độ dài 16 bit và bao gồm 2 trường con là Fragment Number (Số phân đoạn ) và Sequence Number. Khuôn dạng của trường điều khiển trình tự được biểu diễn trong Hình 1-13 dưới đây Số phân đoạn Số trình tự 4 bit 12 bit Hình 1-13 Trường điều khiển trình tự Trường Sequence Number - Số trình tự Trường số trình tự là trường có chiều dài 12 bit dùng để hiển thị số trình tự của MSDU hoặc MMPDU. Mỗi MSDU hoặc MMPDU do STA truyền đi đều được ấn định một số trình tự. Các số trình tự được ấn định từ một bộ đệm mod đơn 4096, bắt đầu từ giá trị 0 và cộng tăng dần thêm 1 cho mỗi MSDU và MMPDU. Mỗi Số phân đoạn của giá trị 0 và cộng tăng dần thêm 1 cho mỗi MSDU và MMPDU. Mỗi Số phân đoạn của MSDU và MMPDU đều chứa số trình tự được ấn định. Số trình tự sẽ không thay đổi giá trị trong tất cả các trường hợp truyền lại MSDU, MMPDU hoặc các thành phần của chúng. Trường Fragment Number- số phân đoạn Có chiều dài 4 bit dùng để hiển thị số phân đoạn của MSDU hoặc MMPDU. Số phân đoạn có giá tri 0 cho phân đoạn đầu tiên hoặc phân đoạn duy nhất của MSDU và MMPDU, và số phân đoạn được cộng thêm 1 cho mỗi phân đoạn kế tiếp. Số phân đoạn được giữ nguyên giá trị khi truyền lại các phân đoạn. Frame Body Là trường có chiều dài biến đổi chức năng thông tin chỉ thị cho từng loại khung (Type) và Subtype riêng biệt. FCS Trường FCS là trường có độ dài 32 bit chứa 32 bit CRC. Trường FCS được tính toán dựa trên tất cả các trường mào đầu MAC và trường Frame Body. Vì vậy trường này được coi như là một trường tính toán. Trường FCS sử dụng đa thức sinh bậc 32 dưới đây: G(x) = x32+x26+x23+x22+x16+x12+x11+x10+x8+x7+x5+x4+x2+x+1 1.4.1.3 Chức năng phân lớp MAC Kiến trúc MAC Kiến trúc MAC được mô tả trong Hình 1-14, nó cung cấp các dịch vụ của DCF. Hình 1-14 Mô hình phân lớp MAC Chức năng phối hợp phân tán (DCF) Phương thức truy nhập cơ bản của MAC WLAN IEEE 802.11 là DCF được biết với dưới tên đa truy nhập cảm nhận sóng mang với cơ chế tránh xung đột. DCF có thể được áp dụng ở tất cả các STA, sử dụng cho cả cấu hình IBSS lẫn cấu hình mạng hạ tầng. Khi một STA muốn truyền tín hiệu, nó sẽ nghe môi trường để xác định xem liệu có một STA khác đang truyền hay không. Nếu môi trường được xác định là không bận, quá trình chuyển đổi có thể diễn ra. Thuật toán phân tán CSMA/CA bắt buộc phải có một khe thời gian tối thiểu tồn tại giữa các khung truyền đi liên tục. Một STA đang truyền phải đảm bảo rằng môi trường đang rỗi trong khoảng thời gian này trước khi truyền. Nếu môi trường được xác định là bận, STA sẽ chờ cho kết thúc quá trình truyền hiện tại. Sau khi chờ, hoặc trước khi cố gắng truyền lại ngay lập tức sau một lần truyền thành công, STA sẽ chọn một khoảng thời gian ngừng (backoff) ngẫu nhiên và sẽ giảm bộ đếm thời gian ngừng. Giao thức truy nhập môi trường cơ sở là DCF, nó cho phép chia sẻ phương tiện tự động giữa các PHY tương thích thông qua sử dụng cơ chế CSMA/CA và một thời gian ngưng ngẫu nhiên sau một trang thái môi trường bận. Thêm vào đó tất cả các lưu lượng trực tiếp sử dụng xác nhận (khung ACK) tích cực mà tại đó việc truyền dẫn lại được lên kế hoạch bởi bên gửi nếu không nhận được ACK nào. Giao thức CSMA/CA được thiết kế để giảm xác suất xung đột giữa nhiều STA cùng truy nhập một môi trường, tại thời điểm xung đột có khả năng xảy ra lớn. Chỉ ngay sau khi phương tiện chuyển sang rỗi là thời điểm mà xác suất xảy ra xung đột lớn nhất. Điều này xảy ra là do có nhiều STA đang chờ môi trường trở lại. Đây là tình huống đòi hỏi thủ tục ngưng ngẫu nhiên để giải quyết các xung đột môi trường. Phát hiện sóng mang có thể thực hiện bằng cơ chế vật lý hoặc cơ chế ảo. Cơ chế phát hiện sóng mang ảo đạt được bằng cách phân tán thông tin yêu cầu giữ trước, thông tin này thông báo về sử dụng sắp tới của môi trường. Trao đổi các khung RTS và CTS trước khung dữ liệu thực sự là cách để phân tán thông tin dữ trước môi trường. Các khung RTS và CTS chứa một trường thời gian/ID định nghĩa khoảng thời gian mà môi trường sẽ được giữ trước để truyền khung giữ liệu thực và trả về khung ACK. Tất cả các trạm STA nằm trong phạm vi nhận của STA nguồn (truyền RTS) hoặc STA đích (truyền CTS) sẽ biết được yêu cầu giữ môi trường . Do đó một STA có thể không phải là đích nhận dữ liệu của STA nguồn vẫn có thể biết được về sự sưe dụng môi trường trước mắt. Một cách khác để phân tán thông tin giành trước môi trường là trường thời gian/ ID trong khung trực tiếp. Trường này đưa ra thời gian mà môi trường sẽ bị chiếm, hoặc là tới thời điểm kết thúc của ACK tiếp theo, hoặc trong trường hợp chuỗi phân đoạn là thời điểm kết thúc của ACK tiếp sau phân đoạn kế tiếp. Việc trao đổi RTS/CTS thực hiện theo kiểu xem xét xung đột nhanh và kiểm tra đường truyền dẫn. Nếu STA phát RTS không nhận được CTS, STA nguồn có thể lặp lại qua trình nếu khung dữ liệu dài được truyền đi và không nhận được ACK. Một lợi điểm khác nữa của cơ chế RTS/CTS là khi nhiều BSS tận dụng cùng một kênh xếp chồng. Cơ chế giữ trước môi trường làm việc qua các ranh giới BSA. Cơ chế RTS/CTS cũng có thể tăng cường khả năng hoạt động trong một điều kiện đặc thù khi tất cả các STA đều có thể nhận từ AP, nhưng không thể nhận từ các STA khác trong BSA. Chức năng phối hợp điểm (PCF) MAC cũng có thể phối hợp được phương pháp truy nhập tuỳ chọn là PCF, nó chỉ có thể sử dụng được trên những cấu hình mạng hạ tầng. Phương pháp truy nhập này sử dụng một bộ phối hợp điểm (PC), nó sẽ hoạt động tại điểm truy nhập của BSS, để xác định STA nào đang có quyền truyền. Hoạt động về cơ bản giống với việc thăm dò, trong đó PC đóng vai trò của bộ phận điểu khiển thăm dò. Hoạt động của PCF có thể yêu cầu phối hợp thêm để cho phép hoạt động hiệu quả trong trường hợp tại đó có nhiều BSS phối hợp điểm đang hoạt động trên cùng một kênh, trong không gian vật lý phủ chồng. PCF sử dụng một cơ chế phát hiện sóng mang ảo được hỗ trợ bởi một cơ chế ưu tiên truy nhập. PCF sẽ phân tán thông tin trong các khung quản lý Beacon để thu được quyền điều khiển môi trường bằng vector phân phối mạng (NAV) trong các STA. Thêm vào đó tất cả các truyền dẫn khung dưới sự điều khiển của PCF có thể sử dụng không gian liên khung IFS nhỏ hơn không gian IFS cho các khung được truyền đi thông qua DCF. Việc sử dụng IFS nhỏ hơn có nghĩa là lưu lượng phối hợp điểm sẽ có quyền ưu tiên truy nhập phương tiện truyền thông lớn hơn các STA trong chế độ hoạt động BSS gối chồng dưới phương pháp truy nhập DCF. Ưu tiên truy nhập PCF cung cấp có thể được tận dụng để tạo nên một phương pháp truy nhập không tranh chấp (CF – Contention - free). PC điều khiển truyền dẫn khung của các STA để loại bỏ tranh chấp trong một khoảng thời gian giới hạn. PCF cung cấp khả năng truyền không xung đột. PC sẽ nằm trong AP. Việc AP có trở thành PC hay không là tùy chọn. Tất cả cá STA cơ bản phải tuân theo các nguyên tắc truy nhập môi trường, bởi vì những nguyên tắc này dựa trên DCF và các trạm STA này đặt vector NAV của chúng tại đầu mỗi CFP. Các đặc tính hoạt động này của PCF giúp cho tất cả các STA có thể hoạt động một cách phù hợp cùng với sự hiện diện của một BSS trong đó có một PC đang hoạt động và nếu được kết hợp với một BSS khác các trạm có thể nhận tất cả các khung được gửi đi dưới sự điều khiển của PCF. Việc STA trả lời lại một thăm dò không tranh chấp (CF-poll) nhận được từ một PC là tùy chọn. Một STA mà có thể trả lời lại các CF-Poll được gọi là trạm CF- Pollable và có thể yêu cầu được thăm dò bởi một PC tích cực. Các trạm CF – Pollable và PC không sử dụng RTS/CTS trong CFP. Khi được thăm dò bởi PC, CF – Pollable STA có thể truyền chỉ một MPDU, nó có thể đến bất cứ đích nào (không chỉ đến PC) và có thể thích hợp cả báo nhận ACK của một khung nhận được từ PC sử dụng các phân loại khung dữ liệu đặc thù. Nếu khung dữ liệu sau đó không được báo nhận, CF - Pollable STA sẽ không truyển lại khung trừ khi nó được thăm dò lại bởi PC, hoặc nó quyết định truyền lại trong khoảng thời gian tranh chấp CP. Nếu bên nhận của truyền dẫn không tranh chấp không phải là CF – Pollable, STA này báo nhận truyền dẫn sử dụng các qui tắc báo nhận DCF thông thường và PC tiếp tục điều khiển môi trường. Một PC có thể chỉ sử dụng cơ chế truyền khung không tranh chấp để chuyển giao các khung đến các STA và không bao giờ thăm dò các trạm không phải là CF – Pollable. Một PC có thể thực hiện thủ tục ngưng khi truyền lại khung không được báo nhận trong CEP. PC duy trì một danh sách đang thăm dò có thể truyền lại khung không được báo nhận ở thời điểm kế tiếp khi mà AID tương đương ứng với khung đó nằm ở vị trí trên cùng trong danh sách thăm dò. PC có thể truyền lại khung không được báo nhận trong suốt CEP sau một thời gian PIES. Khi có hơn một BSS kết hợp điểm đang hoạt động trên cùng một kênh vật lý PHY trong không gian gối chồng, có khả năng tồn tại xung đột giữa các hoạt động truyền PCF bởi các PC độc lập. 1.4.2 Phân lớp PHY 1.4.2.1 Các chức năng lớp vật lý Mô hình tham chiếu giao thức WLAN thể hiện trong Hình 1-10. Hầu hết các lớp vật lý PHY đều gồm ba thực thể chức năng sau đây : Chức năng PMD Chức năng hội tụ lớp vật lý Chức năng quản lý lớp Chức năng của hệ thống PMD định nghĩa các đặc tính và phương thức phát và thu dữ liệu thông qua môi trường truyền thông vô tuyến (WM) giữa hai hay nhiều STA. Mỗi phân lớp PMD đòi hỏi một PLCP duy nhất. Nếu phân lớp PMD đã cung cấp các dịch vụ PHY, chức năng hội tụ lớp vật lý có thể là NULL. Chức năng hội tụ lớp vật lý là chức năng thích ứng các khả năng của hệ thống phụ thuộc môi trường vật lý (PMD) với dịch vụ PHY. Chức năng này được hỗ trợ bởi thủ tục hội tụ lớp vật lý (PLCP), thủ tục này định nghĩa phương thức sắp xếp các đơn vị dữ liệu giao thức phân lớp MAC (MPDU) IEEE 802.11 vào trong khuôn dạng khung phù hợp với việc gửi và nhận dữ liệu người dùng và quản lý thông tin giữa hai hay nhiều STA sử dụng hệ thống PMD liên kết. Dịch vụ lớp vật lý PHY cung cấp cho thực thể lớp MAC tại mỗi STA thông qua điểm truy nhập dịch vụ SAP gọi là PHY – SAP, như biểu diễn trong Hình 1-10. 1.4.2.2 Dịch vụ Chức năng PHY như được biểu diễn trong Hình1-10 được chia thành 2 phân lớp : phân lớp PLCP và phân lớp PMD. Chức năng của phân lớp PLCP là cung cấp cơ chế phát các MPDU giữa hai hay nhiều STA trên phân lớp PMD. Các tiền tố liên quan đến hoạt động truyền thông giữa phân lớp MAC và PHY được chia thành hai loại cơ bản : Các tiền tố hỗ trợ các hoạt động trao đổi ngang cấp (peer – to - peer) MAC. Các tiền tố dịch vụ có ý nghĩa nội bộ và hỗ trợ trao đổi phân lớp đến phân lớp (sublayer – to - sublayer). 1.4.2.3 Lớp vật lý trải phổ nhảy tấn FHSS PHY Phân lớp vật lý FHSS PHY gồm hai chức năng cơ bản sau: Chức năng hội tụ lớp vật lý : chức năng này sắp xếp thích ứng các khả năng của hệ thống phụ thuộc môi trường vật lý (PMD) vào dịch vụ lớp vật lý PHY. Chức năng này được hỗ trợ bởi thủ tục hội tụ lớp vật lý (PLCP), thủ tục này định nghĩa phương pháp sắp xếp các đơn vị dữ liệu giao thức phân lớp MAC(MPDU) vào định dạng khung phù hợp cho việc gửi và nhận dữ liệu người sử dụng và thông tin quản lý giữa các STA sử dụng hệ thống PMD kết hợp. Chức năng hệ thống PMD định nghĩa các đặc tính và phương pháp thức truyền phát dữ liệu qua môi trường vô tuyến (WM) giữa hai hay nhiều STA Kiến trúc 2,4GHz FHSS PHY gồm ba thực thể chức năng : chức năng PMD, chức năng hội tụ lớp vật lý (PLCP) và chức năng quản lý lớp vật lý(PLME). PLCP : để phân lớp IEEE802.11 MAC hoạt động phụ thuộc tối thiểu vào phân lớp PMD, người ta định nghĩa phân lớp hội tụ vật lý. Chức năng này làm đơn giản việc cung cấp giao diện dịch vụ vật lý tới các dịch vụ lớp MAC. PLME : PLME thực hiện quản lý các chức năng lớp vật lý kết hợp với các thực thể quản lý MAC. PMD : Phân lớp PMD cung cấp giao diện truyền dẫn được sử dụng để gửi và nhận dữ liệu giữa hai hay nhiều STA. 1.4.2.4 Lớp vật lý trải phổ chuỗi trực tiếp Hệ thống DSSS cung cấp cho mạng LAN vô tuyến khả năng truyền thông tải tin ở cả hai tốc độ 1Mb/s và 2Mb/s. Theo các qui tắc của FCC, thì hệ thống DSSS sẽ cung cấp được khả năng xử lý ít nhất là 10dB. Điều này sẽ được thực hiện bằng cách nhận tín hiệu băng gốc ở tần số 11Mhz với mã giả ngẫu nhiên PN 11 Chip. Hệ thống DSSS sử dụng các phương pháp điều chế băng cơ sở DBIT/SK và DQPSK để cung cấp tốc độ dữ liệu 1Mb/s và 2 Mb/s tương ứng. Phân lớp DSSS PLCP Phân lớp này cung cấp các thủ tục trong đó các MPDU được biến đổi thành các PPDU và ngược lại. Trong suốt quá trình truyền dẫn, MPDU sẽ được gắn với tiền tố PLCP, và PCP Header để tạo thành PPDU. Tại phía thu, tiền tố PLCP và PLCP Header được xử lý để trợ giúp việc giải điều chế và phân phối MPDU. Hình 1-15 biểu diễn khuôn dạng khuxng của PPDU bao gồm cả DSSS tiền tố PLCP, DSSS PLCP Header và MPDU. Tiền tố PLCP chứa các trường sau đây : Trường đồng bộ(Sync) và Phân định thời điểm đầu khung (SFD). PLCP Header chứa các trường : Báo hiệu IEEE 802.11 (Signal). Dịch vụ IEEE 802.11 (Service), chiều dài (Length) và CCITT CRC – 16. Hình 1-15 Khuôn dạng khung PLCP 1.4.2.5 Lớp vật lý hồng ngoại IR PHY sử dụng hồng ngoại trong dải 850nm tới 950 nm cho báo hiệu. Dải phổ này tương tự dải phổ sử dụng cho các thiết bị khách hàng thông thường như các bộ điều khiển hồng ngoại từ xa và các thiết bị truyền thông dữ liệu khác, như các thiết bị liên kết dữ liệu hông ngoại (IrDA). Tuy nhiên, không giống như các thiết bị hồng ngoại khác, IR PHY không trực tiếp. Nghĩa là bộ thu và phát không phải để đối diện trực tiếp và không cần tầm nhìn thẳng rõ ràng. Điều này cho phép xây dựng hệ thống LAN phù hợp. Một cặp hồng ngoại có khả năng giao tiếp trong một môi trường đặc trưng khoảng 10m. WLAN cho phép các thiết bị phù hợp có nhiều bộ thu nhạy và cũng có thể tăng dải hoạt động lên 20m. IR PHY dựa vào cả năng lượng hồng ngoại phản xạ và năng lượng hồng ngoại đường ngắm để truyền thông. Việc dựa vào năng lượng phản xạ gọi là sự phát hồng ngoại khuyếch tán. IEEE 802.11 chỉ rõ bộ phát và bộ thu được thiết kế thích hợp sẽ hoạt động tốt trong hầu hết các môi trường không có tầm nhìn thẳng từ bộ phát tới bộ thu. Tuy nhiên, trong môi trường có ít hoặc không có bề mặt phản xạ và không có tầm nhìn thẳng, thì hệ thống IR PHY giảm phạm vi hoạt động. IR PHY chỉ hoạt động trong các môi trường trong nhà. Sự bức xạ hồng ngoại không thể xuyên qua các bức tường và suy hao đáng kể qua hầu hết các cửa sổ ngoài. Phân lớp hội tụ IR PLCP Thủ tục hôi tụ cung cấp quá trình biến đổi từ MPDU thành PLCPDU và ngược lại. Trong quá trình truyền, MPDU sẽ kết hợp với tiêu đề PLCP và tiền tố PLCP để tạo thành PLCPDU. Tại phía thu, tiền tố PLCP được xử lý và các trường dữ liệu nội bộ cũng được xử lý để hỗ trợ quá trình giải điều chế và phân phát MPDU (PSDU). Hình 1-16 chỉ ra định dạng khung cho PLCPDU bao gồm tiền tố PLCP, tiêu đề PLCP và PSDU. Tiền tố PLCP gồm hai trường : trường đồng bộ (SYNC) và trường điểm phân cách bắt đầu khung (SFD). Tiêu đề PLCP gồm các trường : tốc độ dữ liệu (DR), điều chỉnh mức một chiều (DCLA), LENGTH, kiểm tra CRC. Tiền tố PLCP Tiêu đề PLCP PSDU DR DCLA LENGTH SFD CRC SYNC 57-73 slot 4 slot 3 slot 32 slot 16bit 16bit độ dài biến đổi Hình 1-16 : Khuôn dạng khung PLCP Phân lớp IR PMD Phân lớp IR PMD không định nghĩa các điểm truy nhập SAP. Cơ chế liên lạc giữa hai phân lớp PLCP và PMD, cũng như sự khác biệt giữa hai phân lớp này, là phụ thuộc vào các nhà sản xuất. Cụ thể là, có thể thiết kế và sản xuất, theo một cách chuẩn, một phân lớp mà có cả chức năng PLCP và PMD, chỉ đưa ra PHY-SAP. Các đặc tính hoạt động của IR PMD gồm : Điều chế và các tốc độ dữ liệu, Phân chia octet và thủ tục tạo tín hiệu PPM Phân lớp PLME : thực hiện quản lý các chức năng của lớp PHY kết hợp với thực thể quản lý lớp MAC. 1.4.2.6 Lớp vật lý ghép kênh theo tần số trực giao Hệ thống OFDM cung cấp LAN vô tuyến cung cấp với tốc độ truyền dữ liệu là 6,9,12,18,24,36,48 và 54 Mb/s. Khả năng hỗ trợ truyền và nhận dữ liệu với tốc độ 6, 12 và 24 Mb/s là bắt buộc. Hệ thống sử dụng 52 sóng mang phụ được điều chế sử dụng khoá dịch pha nhị phân hoặc khoá dịch pha cầu phương (BIT/SK/QPSK), điều chế biên độ cầu phương 16 hoặc 64. Sau này sử dụng thêm mã sửa sai (mã xoắn) với tốc độ mã hoá 1/2, 2/3, hoặc 3/4. Lớp OFDM PHY gồm hai chức năng giao thức sau: Chức năng hôi tụ PHY, là chức năng thích ứng các khả năng của hệ thống phụ thuộc môi trường vật lý (PMD) cho các dịch vụ PHY. Chức năng này được hỗ trợ bằng thủ tục hội tụ lớp vật lý, đó là thủ tục xác định phương pháp chuyển đổi khối dữ liệu dịch vụ phân lớp PHY (PSDU) IEEE802.11 thành dạng khung phù hợp cho việc gửi, nhận dữ liệu và thông tin quản lý giữa hai trạm sử dụng hệ thống PMD kết hợp. Một hệ thống PMD có chức năng xác định đặc tính và phương pháp phát và nhận dữ liệu thông qua một thiết bị vô tuyến giữa hai hay nhiều trạm có sử dụng hệ thống OFDM. Phân lớp OFDM PLCP Hình 1-17 : Khuôn dạng PPDU Khuôn dạng khung PPDU bao gồm phần đầu khung OFDM PLCP, mào đầu OFDM PLCP, PSDU, các bit Đuôi (Tail) và các bit đệm (Pad). Mào đầu PLCP bao gồm các trường sau : LENGTH, RATE, bit dự phòng , bit chẵn lẻ và trường SERVICE. Theo quan điểm điều chế, LENGTH, RATE, bit dự phòng và bit chẵn lẻ (có 6 bit Đuôi bằng 0 cuối cùng) tạo thành một tín hiệu OFDM đơn riêng biệt, được gọi là SIGNAL, được phát với điều chế BIT/SK và tốc độ mã hoá R=1/2. Trường SERVICE của mào đầu PLCP và PSDU (có 6 bit đuôi bằng 0 và các bit đệm), ký hiệu là DATA, được phát với tốc độ chỉ thị trong trường RATE và tạo thành các tín hiệu OFDM phức. Bit đuôi (Tail) trong tín hiệu SIGNAL cho phép giả mã các trường RATE và LENGTH được yêu cầu để giải mã phần DATA của gói. Ngoài ra, cơ chế CCA có thể được cải thiện bằng cách dự báo khoảng thời gian một gói tin nhờ thông tin từ nội dung của các trường RATE và LENGTH, thậm chí ngay cả khi các tốc độ dữ liệu không được trạm hỗ trợ. 1.5 Tổng kết Sự ra đời của các cầu nối WLAN đã đem lại nhiều lợi ích về khả năng di động và khai thác mạng linh hoạt. Với mạng WLAN, người dùng có thể truy cập các thông tin dùng chung mà không cần tìm chỗ cắm thiết bị và các nhà quản lý mạng có thể thiết lập hoặc làm tăng thêm mạng lưới mà không cần lắp đặt hoặc di chuyển hệ thống dây. WLAN còn cho năng suất lưu lượng tăng, sự thuận tiện, lợi thế về chi phí so với các hệ thống mạng hữu tuyến truyền thống. Mạng WLAN có các ưu điểm sau: Tính di động làm tăng hiệu quả và dịch vụ: Các hệ thống WLAN di động có thể cung cấp cho những người dùng LAN khả năng truy cập thông tin thời gian thực ở mọi nơi trong vùng hoạt động của hệ thống như ở các khu trung tâm, khuôn viên các trường đại học, các phòng chờ của sân bay, nhà ga, các khách sạn lớn... Khách hàng có thể di chuyển giữa các vùng vật lý trong LAN mà không bị mất kết nối. Tính di động này làm tăng năng suất khi hoạt động ở môi trường đa người sử dụng và tăng hiệu quả các dịch vụ mà mạng LAN hữu tuyến không thể cung cấp được. Đơn giản và nhanh chóng trong lắp đặt: Việc lắp đặt một hệ thống WLAN nhanh và đơn giản, không cần kéo cáp qua tường và trần nhà, thời gian lắp đặt ngắn cho phép khả năng linh hoạt khi định lại cấu hình hoặc thêm vào các nút mạng, đặc biệt thích hợp cho trường hợp mạng cần thiết lập nhanh hoặc cho nhu cầu sử dụng mạng tạm thời (các triển lãm, các địa điểm làm việc khẩn cấp…). Giảm giá thành khi vận hành: Mặc dù đầu tư ban đầu cho phần cứng của WLAN có thể cao hơn so với LAN nhưng tổng chi phí lắp đặt và vận hành trong cả chu kỳ sống lại thấp hơn nhiều. Lợi ích về chi phí dài hạn là lớn nhất trong các môi trường linh hoạt yêu cầu việc thay đổi, di chuyển, thêm các nút mạng thường xuyên. Khả năng nâng cấp: Hệ thống WLAN có thể được định hình theo một số cấu hình để đáp ứng nhu cầu của các ứng dụng và lắp đặt cụ thể. Các cấu hình có thể dễ dàng thay đổi và đa dạng từ các mạng ngang cấp thích hợp với số lượng người dùng nhỏ đến các mạng cơ sở đầy đủ với hàng ngàn người dùng cho phép chuyển vùng trong một khu vực rộng. Với các ưu điểm và lợi ích như trên mạng WLAN và các thiết bị WLAN sẽ tăng lên và được sử dụng rộng rãi sau khi các tiêu chuẩn cho WLAN được hoàn thành. Tuy nhiên WLAN cũng tồn tại những nhược điểm và khó khăn rất lớn trong quá trình thực hiện triển khai mạng. Có hai loại công nghệ chính để xây dựng WLAN là công nghệ vô tuyến và công nghệ hồng ngoại. Tuy nhiên, các nhà sản xuất sử dụng một trong hai công nghệ này đều gặp phải những khó khăn khi triển khai một giải pháp WLAN. Các giao thức đa truy nhập cho phép các thiết bị chia sẻ phương tiện như Ethernet đã được hình thành và hiểu rõ. Nhưng bản chất của phương tiện vô tuyến khiến cho các phương pháp truyền thống để chia sẻ một kết nối khó khăn hơn rất nhiều. Việc phát hiện xung đột gây ra rất nhiều vấn đề trong hoạt động mạng, đặc biệt là với các mạng vô tuyến. Xung đột xảy ra khi hai hoặc nhiều nút mạng đang dùng chung một phương tiện truyền thông cùng phát dữ liệu tại một thời điểm, hai tín hiệu sẽ bị sai lẫn nhau và dữ liệu thu được vô nghĩa hay không thích hợp. Đây luôn là một vấn đề đối với các mạng máy tính và ngay cả giao thức đơn giản nhất cũng không khắc phục được vấn đề này. Các giao thức phức tạp hơn thường kiểm tra kênh trước khi phát dữ liệu. Việc này rất đơn giản với Ethernet vì nó chỉ liên quan đến việc kiểm tra cường độ điện áp trên đường dây trước khi phát. Tuy nhiên quá trình khó hơn nhiều đối với các hệ thống vô tuyến. Phải mất ít nhất 30 đến 50s để xác định kênh rỗi hay bận, khoảng thời gian này cũng gần bằng thời gian cần thiết để truyền một gói tin. Một số vấn đề nữa tồn tại cùng với việc phát hiện xung đột là vấn đề thiết bị đầu cuối bị che khuất. Trong các mạng dùng chung phương tiện truyền thống, nếu nút A có thể nghe được nút B và nút B có thể nghe thấy nút C thì nút A có thể nghe thấy nút C. Nhưng với môi trường vô tuyến thì đây không phải là giả thiết luôn đúng. Các vật cản và khoảng cách giữa A và C có thể khiến nút C bị che khuất đối với A bởi việc phát hiện va chạm khi đang phát tới B, làm mạng kém hiệu tin cậy hơn . Giải pháp cho vấn đề này bao gồm việc gửi một gói tin yêu cầu gửi RTS cho một người nhận đã dự định trước để nhắc nó gửi một gói tin xoá để gửi CTS. Quá trình này sẽ thông báo cho các trạm gần đó biết số liệu sắp được gửi đi, để các nút này không phát và gây ra va chạm. Trong gói tin RTS và CTS đều chứa độ dài số liệu sắp gửi nên các trạm khác nghe được một trong hai gói tin này đều biết việc truyền dẫn sẽ diễn ra bao lâu và khi nào các trạm này có thể bắt đầu gửi các bản tin của chúng. Cảm ứng sóng mang được dùng để giúp ngăn chặn việc các trạm phát các gói RTS trong cùng thời gian. CHƯƠNG II BẢO MẬT MẠNG VÀ INTERNET 2.1 Tổng quan về các mô hình mạng 2.1.1 Mô hình TCP/IP Mạng Internet ngày nay là một mạng truyền thông không thể thiếu được trong xã hội hiện đại. Mạng Internet cho phép kết nối mọi máy tính trên toàn cầu Mạng Internet dựa trên bộ giao thức TCP/IP. TCP/IP là bộ giao thức cho phép máy tính và người dùng có thể liên lạc với nhau trên mạng. Ưu điểm của Internet là có thể kết nối mọi máy tính có kích cỡ và với mọi phương tiện khác nhau miễn máy tính đó cài đặt bộ giao thức TCP/IP. TCP/IP là một giao thức kết hợp giao thức TCP và giao thức IP nhằm quản lý và điều khiển việc trao đổi thông tin giữa các mạng đảm bảo thông tin từ hệ thống đầu cuối này đến hệ thống đầu cuối kia chính xác. Ta đã biết rằng Internet là liên kết các mạng máy tính lại với nhau, là mạng của tất cả các mạng. TCP/IP là một tiêu chuẩn sử dụng trên phạm vi toàn cầu cho Internet. Hình 2.1 : Giao thức TCP/IP nối hai máy tính với nhau qua hai Router TCP là giao thức end-to- end định ra nguyên tắc và thể lệ trao đổi thông tin giữa các đối tác ở các hệ thống đầu cuối, đảm bảo giao và nhận dữ liệu chính xác. IP là giao thức định ra nguyên tắc và thể lệ để đảm bảo cho dữ liệu di chuyển giữa các mạng được an toàn, nói cách khác là định tuyến giữa các mạng để dữ liệu chuyển đến chính xác địa chỉ theo một đường ngắn nhất. Nhiệm vụ định tuyến do các router (bộ định tuyến) thực hiện, vì vậy router thực hiện giao thức IP. Ngoài ra giao thức TCP/IP còn dùng để kết nối giữa LAN và WAN hay đóng vai trò là một giao thức cho mạng LAN. Kiến trúc phân lớp của TCP/IP TCP/IP có kiến trúc phân tầng, bao gồm 4 tầng sau: 1) Lớp liên kết dữ liệu (DataLink): Định nghĩa kết nối vật lý đến các phương tiện cụ thể và định dạng các khung thông tin gửi và nhận lại từ các phương tiện truyền dẫn. 2) Lớp giao thức Internet (Internet Protocol): Chuyển tiếp các gói tin từ nguồn tới đích. Mỗi gói tin có chứa địa chỉ đích và IP sử dụng thông tin này để hướng gói tin tới đích của nó. IP được chạy trên tất cả các máy chủ cũng như trong các thiết bị chuyển mạch chuyển tiếp gọi là các Router. Lớp IP là không có hướng kết nối (connectionless) nghĩa là không cần phải thiết lập một đường dẫn trước khi truyền dữ liệu. IP không đảm bảo rằng tất cả các gói tin được phát đi ở đích sẽ đến cùng một thứ tự như việc phát đi ở nguồn nên người ta bổ sung thêm vào các cơ chế kiểm soát lỗi và kiểm soát luồng. Việc đánh địa chỉ IP hiện nay theo kiểu IPv4 nhưng trong tương lai sẽ thay bằng kiểu IPv6. 3) Lớp TCP/IP: Tầng này chạy trên đỉnh của lớp IP và bao gồm hai giao thức là TCP và IP. TCP cung cấp phương thức hướng kết nối cung cấp các dịch vụ tin cậy còn UDP sử dụng phương thức hướng không kết nối cung cấp các dịch vụ kém tin cậy hơn. 4) Lớp ứng dụng (Applications): Là giao diện giữa người dùng và mạng Internet. Ví dụ như các dịch vụ Telnet, FTP, HTTP... 2.1.2 Mô hình OSI Mô hình OSI bao gồm bảy lớp, mỗi lớp thực hiện một chức năng riêng, những chức năng này được định nghĩa bởi OSI đó là : Lớp ứng dụng : Lớp ứng dụng cung cấp những dịch vụ mạng cho ứng dụng của user. Lớp trình diễn : Lớp này cung cấp việc trình bày dữ liệu và định dạng mã. Nó đảm bảo dữ liệu đến từ mạng có thể sử dụng được bởi lớp ứng dụng, và đảm bảo rằng thông tin được gửi bởi lớp ứng dụng được truyền lên mạng. Lớp phiên : Thiết lập, duy trỳ, quản lý, các phiên truyền thông giữa các ứng dụng. Lớp vận chuyển : Lớp này phân đoạn và tái thiết dữ liệu thành dòng chảy dữ liệu. TCP là một trong các giao thức thuộc lớp vận chuyển được dùng với IP. Lớp mạng : Xác định con đường tốt nhất để dịch chuyển dữ liệu từ nơi này sang nơi khác. Router hoạt động ở lớp này. Lớp liên kết dữ liệu : Chuẩn bị gói dữ liệu cho hoạt động truyền mang tín hiệu vật lý xuyên môi trường. Nó xử lý các thông báo lỗi, topo mạng, điều khiển luồng dữ liệu. Lớp này sử dụng những địa chỉ truy xuất môi trường ( MAC addresses). Lớp vật lý : Cung cấp các phương tiện điện, cơ, thủ tục, hàm để kích hoạt và duy trì mối liên kết vật lý giữa các hệ thống. Nó sử dụng môi trường truyền vật lý như cáp xoắn đôi, cáp đồng trục và cáp sợi quang. 2.1.3 Các thiết bị kết nối sử dụng trong mạng 2.1.3.1 Chuyển mạch Một mạng chuyển mạch bao gồm một dãy các trường chuyển mạch kết nối với nhau. Trường chuyển mạch bao gồm các thiết bị phần mềm/phần cứng có khả năng tạo các kết nối tạm thời giữa hai hay nhiều thiết bị tới chuyển mạch. Các chuyển mạch nói chung được phân loại thành phương thức : Chuyển mạch kênh, chuyển mạch gói, và chuyển mạch bản tin. Hình 2-2 Các thiết bị kết nối mạng 2.3.1.2 Bộ lặp Một bộ lặp là một thiết bị điện tử chỉ hoạt động trên tầng vật lý của mô hình OSI. Bộ lặp thực hiện tăng thế cho tín hiệu truyền dẫn từ một phân đoạn và duy trì tín hiệu tới phân đoạn khác của mạng. Vì vậy bộ lặp cho phép mở rộng chiều dài vật lý của mạng. Các tín hiệu mang thông tin có thể đi qua một khoảng cách lớn trước khi giảm tính toàn vẹn dữ liệu do nhiễu. Một bộ lặp thu tín hiệu bị suy hao, thực hiện khôi phục lại tín hiệu ban đầu và tạo ra một bản sao tín hiệu đưa trở lại đường truyền. 2.3.1.3 Cầu nối Các cầu hoạt động trong cả tầng vật lý và tầng liên kết dữ liệu của mô hình OSI. Một cầu nối đơn kết nối các loại mạng khác nhau và làm tăng mức kết nối liên mạng. Các cầu nối chia một mạng lớn thành các phân đoạn nhỏ hơn. Các cầu có thể phân tách các lưu lượng cho mỗi phân đoạn. Cầu nối có thể truy nhập địa chỉ vật lý của tất cả các trạm kết nối với nó . Khi một khung được nhập vào cầu nối, nó thực hiện phục hồi dữ liệu và kiểm tra địa chỉ của nó và chuyển tiếp tới phân đoạn gần với địa chỉ dữ liệu hơn. 2.3.1.4 Router Router hoạt động trong các tầng vật lý, tầng liên kết dã liệu, và tầng mạng của mô hình OSI. Mạng Internet là một sự kết hợp các kết nối các mạng bằng các Router. Khi một Datagram đi từ một nguồn tới một đích, có thể nó sẽ đi qua nhiều Router cho đến khi nó tìm router thấy gắn với mạng đích. Các router quyết định đường dẫn cho gói tin, sắp xếp các gói tin vào một liên kết nối mạng. Router sử dụng địa chỉ đích trên một Datagram để lựa chọn một next-hop chuyển tiếp datagram. 2.3.1.5 Gateway Gateway hoạt động trên tất cả các tầng của mô hình OSI. Một gateway là một bộ chuyển đổi giao thức kết nối hai hay nhiều hệ thống khác nhau và thông dịch cho mỗi thành viên. Vì thế, gateway gắn với một thiết bị thực hiện việc thông dịch giao thức giữa các thiết bị. Một gateway có thể nhận một khuôn dạng gói tin từ một giao thức và chuyển đổi nó thành khuôn dạng gói tin giao thức khác trước khi chuyển tiếp. 2.2 Những nguy hiểm từ môi trường ngoài tới hoạt động của mạng Trong quá trình hoạt động, mạng luôn phải chịu sự tác động mạnh mẽ từ môi trường ngoài với những hành động truy nhập trái phép để can thiệp vào các tài nguyên trong mạng. Những đe dọa về an ninh mạng có thể do một cá nhân, đối tượng nào đó khi thực hiện có thể làm hỏng LAN, như cố ý sửa đổi thông tin, gây ra lỗi trong tính toán, hay có thể ngẫu nhiên xóa bỏ các tệp tin trong mạng…Những nguy hiểm có thể cũng xảy ra do các hoạt động trong tự nhiên… Những hành động can thiệp vào một mạng LAN có thể liệt kê như sau: Truy nhập LAN trái phép : Được thực hiện do một cá nhân trái phép tìm được cách truy nhập LAN Không thích hợp truy nhập tài nguyên LAN : Do cá nhân được phép hoặc không được phép truy nhập LAN gây ra. Cố tình truy nhập tài nguyên LAN trong các trường hợp không được phép. Làm lộ dữ liệu : Do một các nhân đọc thông tin và có thể để lộ thông tin, do vô tình hoặc có chủ ý. Thay đổi trái phép dữ liệu và phần mềm : Là hành động sửa đổi, xóa hay phá hủy dữ liệu LAN và phần mềm trong trường hợp trái phép hoặc do ngẫu nhiên. Làm lộ lưu lượng LAN Giả mạo lưu lượng : Xuất hiện một bản tin và được gửi một cách hợp phát, tên người gửi, trong đó thực tế bản tin đã không được thực hiện Phá hỏng các chức năng LAN 2.3 Bảo mật mạng Trước những nguy cơ mà một mạng gặp phải, đã đặt ra yêu cầu bảo mật mạng. Bảo mật mạng là nhân tố vô cùng quan trọng trong hoạt động mạng. Yêu cầu cho các hoạt động bảo mật mạng là bất kỳ bản tin nào được gửi cũng phải đến đúng địa chỉ đích. Thực hiện điều khiển truy nhập trên toàn mạng, tất cả các thiết bị kết nối như các đầu cuối, chuyển mạch, modem, gateway, cầu nối, router… Bảo vệ thông tin được phát, cảnh báo hoặc loại bỏ các cá nhân hoặc thiết bị trái phép. Mọi vi phạm bảo mật xuất hiện trên mạng phải được phát hiện, báo cáo và nhận trả lời thích hợp. Có kế hoạch khôi phục lại kênh liên lạc ban đầu cho người sử dụng khi gặp phải sự cố an ninh mạng. Bảo mật mạng được xem xét theo các khía cạnh sau. 2.3.1 Chính sách bảo mật Một chính sách bảo mật là một thông báo rõ ràng các nguyên tắc mà theo nó người được truy nhập tới công nghệ của một tổ chức và các tài sản thông tin phải tuân theo. Mục đích chính của chính sách bảo mật là dành cho người sử dụng, các nhân viên, và các nhà quản lý với những nhu cầu bắt buộc cần bảo vệ công nghệ và các tài sản thông tin. Chính sách bảo mật chỉ rõ các cơ chế mà qua đó phù hợp với yêu cầu. Một mục đích khác là cung cấp một đường cơ sở từ đó định cấu hình và đánh giá các hệ thống máy tính và các mạng tuân thủ chính sách. Một chính sách sử dụng thích hợp (AUP) cũng có thể là một phần của chính sách bảo mật. Nó giải thích rõ ràng những gì mà người sử dụng sẽ và không được làm đối với các thành phần khác nhau của hệ thống, bao gồm loại lưu lượng đã cho phép trên mạng. AUP phải trình bày đơn giản, rõ ràng tránh sự tối nghĩa hay hiểu lầm. Đặc trưng của một chính sách bảo mật hiệu quả là: Nó phải được thực hiện qua các thủ tục quản lý hệ thống, công bố sử dụng Các nguyên tắc, hoặc các phương thức phù hợp khác. Nó phải được thi hành với các công cụ bảo mật. Nó phải định nghĩa rõ ràng trách nhiệm người sử dụng, nhà quản trị, và các nhà quản lý. Các thành phần của một chính sách bảo mật hiệu quả bao gồm : Các nguyên tắc lựa chọn công nghệ máy tính : Chỉ rõ nhu cầu, ưu tiên, các đặc trưng bảo mật. Bổ sung các các chính sách lựa chọn hiện có và các nguyên tắc. Một chính chính sách bảo mật xác định hợp lý những nhu cầu bảo mật như tạo ra cơ chế quản lý thư điện tử, đăng nhập nhấn phím, và truy nhập các tệp tin người sử dụng. Một chính sách truy nhập định nghĩa các quyền truy nhập và các đặc quyền để bảo vệ khỏi mất hoặc bị lộ bằng việc chấp nhận sử dụng các nguyên tắc cho người sử dụng, các nhân viên vận hành và các nhà quản lý. Nó có thể cung cấp các nguyên tắc cho các kết nối bên ngoài, truyền thông số liệu, kết nối các thiết bị tới mạng, bổ xung các phần mềm mới cho hệ thống. Vì vậy, nó phải chỉ rõ mọi thông điệp khai báo. (các thông điệp kết nối phải cung cấp hoặc ủy quyền sử dụng và quản lý tuyến, và không nói đơn giản là “Welcome”). Một chính sách giải trình (Accountability Policy) định nghĩa trách nhiệm của người sử dụng, các nhân viên hoạt động, và các nhà quản lý. Nó chỉ rõ khả năng đánh giá, và cung cấp các nguyên tắc xử lý các việc xảy ra. (phải làm gì và tiếp xúc ai khi việc xâm nhập có thể được phát hiện). Một chính sách nhận thực thiết lập sự tin cậy thông qua một chính sách mật khẩu có hiệu lực, và bằng việc tạo các nguyên tắc cho nhận thực vị trí từ xa và sử dụng các thiết bị nhận thực (các mật khẩu và các thiết bị tạo ra chúng). Một khai báo có hiệu lực sắp xếp các nhu cầu của người sử dụng cho tính sẵn sàng của tài nguyên. Nó nên đánh địa chỉ dư và khôi phục phát hành, cũng như chỉ rõ thời gian hoạt động, khoảng thời gian ngừng hoạt động để bảo dưỡng. Nó cũng bao gồm thông tin tương tác để báo cáo tình trạng xấu của mạng và hệ thống. Một chính sách bảo dưỡng mạng và hệ thống công nghệ thông tin mô tả cách bảo trì cho cả bên trong và bên ngoài cho những người được phép thao tác và truy nhập công nghệ. Một chủ đề quan trọng là đánh địa chỉ ở đây là bảo trì từ xa được cho phép và truy nhập được điều khiển. Chính sách thông báo vi phạm phải chỉ ra loại vi phạm, phải báo cáo và tới người nào. Thông tin hỗ trợ cung cấp cho người sử dụng, nhân viên, và nhà quản lý cùng với thông tin tương tác cho mỗi loại vi phạm chính sách các nguyên tắc dựa trên hướng dẫn thao tác các truy vấn bến ngoàn vể một xâm phạm an ninh. 2.3.1 Các cơ chế và dịch vụ bảo mật Một dịch vụ bảo mật là tập hợp các cơ chế, thủ tục và các điều khiển khác được thi hành để giúp giảm bớt những rủi ro và những mối nguy hiểm có thể xảy ra. Ví dụ, dịch vụ nhận dạng và nhận thực giúp giảm bớt sự nguy hiểm đối với người sử dụng trái phép. Một số dịch vụ cung cấp sự bảo vệ tránh khỏi những đe dọa, đôi khi các dịch vụ khác cung cấp việc dò tìm các sự kiện dẫn tới nguy hiểm. Nhận dạng và nhận thực : là dịch vụ bảo mật giúp đảm bảo rằng mạng LAN chỉ được truy nhập bởi những người được trao quyền. Điều khiển truy nhập : là dịch vụ bảo mật giúp đảm bảo rằng cá tài nguyên LAN được sử dụng theo một loại ủy quyền. Độ tin cậy bản tin thông điệp và dữ liệu : là một dịch vụ bảo mật giúp đảm bảo rằng dữ liệu LAN, phần mềm và các message không bị lộ cho các tổ chức không được trao quyền. Tính toàn vẹn bản tin và dữ liệu : Là dịch vụ bảo mật giúp đảm bảo rằng dữ liệu LAN, phần mềm và các message không bị sửa đổi bởi các tổ chức trái phép. Không được phủ nhận : Là dịch vụ đảm bảo rằng các thực thể liên quan trong một truyền thông không thể phủ nhận đã tham gia. Cụ thể là thực thể phát không thể phủ nhận đã gửi bản tin và thực thể nhận không thể phủ nhận đã nhận một bản tin. Đăng nhập và giám sát : Là dịch vụ bảo mật bằng việc sử dụng các tài nguyên LAN, có thể dò tìm trên toàn LAN. Quyết định các điều khiển thích hợp và các thủ tục sử dụng trong bất kỳ môi trường LAN nào. 2.3.2 Bảo mật môi trường vật lý Các điều khiển bảo mật vật lý và môi trường bao gồm ba phạm vi lớn như sau: Môi trường vật lý thường là tòa nhà, cấu trúc khác hay nơi để xe cộ, hệ thống và các thành phần mạng. Các hệ thống có thể được mô tả, dựa trên vị trí hoạt động, như là tĩnh, di động, hay linh động. Các hệ thống tĩnh được lắp đặt trong các cấu trúc ở những vị trí cố định. Các hệ thống di động được lắp đặt trong các xe cộ thực hiện chức năng của một cấu trúc, nhưng nó không ở một vị trí cố định. Các hệ thống linh động không được lắp đặt trong các vị trí hoạt động cố định. Chúng có thể hoạt động trong nhiều vị trí khác nhau, bao gồm tòa nhà, xe cộ… Những đặc trưng vật lý của cấu trúc này quyết định mức độ đe dọa vật lý như cháy, truy nhập trái phép…. Các điều khiển bảo mật môi trường và vật lý được thi hành để bảo vệ hiệu quả các tài nguyên hệ thống, và sử dụng hiệu quả các tài nguyên để hỗ trợ cho hoạt động của chúng. Vị trí địa lý quyết định các đặc trưng của các mới đe dọa từ tự nhiên, bao gồm động đất, ngập lụt… những đe dọa từ phía con người như trộm cắp, mất an ninh, hoặc các việc ngăn chặn truyền thông và các hoạt động gây thiệt hại, bao gồm việc đổ các chất độc hóa học, cháy nổ và nhiễu điện từ do các rada… Để hỗ trợ hiệu quả các dịch vụ này (cả về mặt kỹ thuật và con người) củng cố hoạt động hệ thống. Quá trình hoạt động của hệ thống thường phụ thuộc vào khả năng hỗ trợ từ các thành phần như nguồn điện, điều kiện không khí và nhiệt độ, và môi trường viễn thông. Việc phải hoạt động trong điều kiện dưới mức bình thường có thể dẫn tới ngưng hoạt động của hệ thống và có thể dẫn tới phá hủy phần cứng hệ thống và cơ sở dữ liệu. Gián đoạn trong việc cung cấp các dịch vụ máy tính: Một đe dọa từ xa có thể làm gián đoạn chương trình hoạt động của hệ thống. Mức độ nghiêm trọng thời gian tồn tại và định thời của ngắt dịch vụ và các đặc trưng hoạt động cuối cùng của người sử dụng. Làm hỏng vật lý : Nếu phần cứng hệ thống bị làm hỏng hay bị phá hủy, thông thường nó phải được sửa chữa và thay thế. Dữ liệu có thể bị phá hủy do một hành động phá hoại bằng một tấn công vật lý lên phương tiện lưu trữ dữ liệu. Do đó dữ liệu phải được lưu trữ dự phòng trong một hệ thống luôn sẵn sàng hoạt động khi hệ thống hoạt động bị phá hủy. Dữ liệu sẽ được khôi phục từ các bản sao của nó. Làm lộ thông tin trái phép : Môi trường vật lý có thể phải chập nhận một kẻ đột nhập truy nhập cả từ phương tiện ngoài tới phần cứng hệ thống và tới các phương tiện bên trong các thành phần hệ thống, các đường truyền dẫn hay các màn hình hiển thị. Tất cả điều này dẫn đến tổn thất thông tin. Tổn thất điều khiển đối với tính toàn vẹn hệ thống: Nếu người truy nhập được vào khối xử lý trung tâm, nó có thể thực hiện khởi động lại hệ thống bỏ qua các điều khiển truy nhập logic. Điều này có thể dẫn đến lộ thông tin, gian lận, thay các phần mềm hệ thống và ứng dụng, như là chương trình con ngựa thành toroa. Bảy loại điều khiển bảo mật môi trường và vật lý cơ bản: Các điều khiển khiển truy nhập vật lý An toàn cháy nổ Hỗ trợ các tiện ích Giảm cấu trúc plumbing leaks Ngăn chặn dữ liệu Các hệ thống di động và linh động Các điều khiển truy nhập vật lý Các điều khiển truy nhập vật lý giới hạn việc nhập và thoát của các thiết bị (thường là các thiết bị và phương tiện) từ mộ khu vực, như một tòa nhà văn phòng, trung tâm dữ liệu, hoặc các phòng có server LAN. Các điều khiển dựa trên truy nhập vật lý tới các phần tử của hệ thống có thể bao gồm điều khiển các khu vực, các chướng ngại vật ngăn cách mỗi khu vực. Thêm vào đó các nhân viên làm việc trong khu vực giới hạn phục vụ một nhiệm vụ quan trọng trong việc cung cấp bảo mật vật lý. Các điều khiển truy nhập vật lý không nên chỉ đánh địa chỉ khu vực bao gồm phần cứng hệ thống, nhưng ngoài ra cả các địa điểm được sử dụng kết nối các phần tử của hệ thống, dịch vụ năng lượng điện tử, điều hòa không khí, điện thoại và các tuyến dữ liệu, sao chép dự phòng các tài liệu nguồn và phương tiện. Điều này nghĩa là tất cả các khu vực trong một kiến trúc bao gồm các phần tử hệ thống phải được nhận dạng. Một điều cũng rất quan trọng là việc xem xet lại hiệu quả hoạt động của các điều khiển vật lý trong mỗi khu vực, cả thời gian tồn tại hoạt động bình thường và ở mỗi thời điểm khác nhau khi một khu vực có thể không bị chiếm. Hiệu quả hoạt động phục thuộc vào cả các đặc trưng của các thiết bị điều khiển đã sử dụng và sự thi hành và hoạt động. Tính khả thi của sự đăng nhập gian lận cũng cần được nghiên cứu. Tạo thêm một chướng ngại vật để giảm sự rủi ro cho các khu vực sau chướng ngại vật. Tăng cường màn chắn ATM ở một điểm nhập có thể giảm một số sự xâm nhập. 2.3.3 Nhận dạng và nhận thực Bước đầu tiên hướng tới bảo mật tài nguyên LAN là là khả năng kiểm tra việc nhận dạng người sử dụng. Quá trình kiểm tra một nhận dạng người sử dụng được đề cập là nhận thực. Nhận thực cung cấp cơ sở cho năng lực của các điều khiển sử dụng trên LAN. Ví dụ, cơ chế logging cung cấp cách sử dụng thông tin dựa trên ID người sử dụng. Cơ chế điều khiển truy nhập cho phép truy nhập tài nguyên LAN dựa trên ID người sử dụng. Cả hai điều khiển này chỉ hiệu quả khi chắc chắn rằng người sử dụng được gán ID rõ ràng và hợp lý. Nhận dạng yêu cầu người sử dụng phải được LAN nhận biết theo một vài cách. Thông thường, điều này dựa trên việc gán ID người sử dụng. Tuy nhiên LAN không thể tin cậy hoàn toàn vào người sử dụng trong thực tế. Nhận thực được thực hiện bằng việc cung cấp cho người sử dụng cái gì đó mà chỉ người sử dụng có như một thẻ, hoặc chỉ người sử dụng biết, như là một mật khẩu, hoặc tạo ra một cái duy nhất chỉ liên quan đến người sử dụng như là một dấu vân tay. Những điều này sẽ giảm thiểu những nguy hiểm khi một ai đó giả mạo là người sử dụng hợp pháp. Một thủ tục chỉ rõ sự cần thiết của nhận thực nên tồn tại trong hầu hết các chính sách LAN. Thủ tục có thể được hướng dẫn hoàn toàn trong một chính sách mức chương trình nhấn mạnh sự cần thiết điều khiển truy nhập thông tin và tài nguyên LAN một cách hiệu quả, hoặc có thể thông báo rõ ràng trong một LAN chỉ rõ chính sách mà các thông báo nói rõ với tất cả người sử dụng được nhận dạng và nhận thực một cách duy nhất. Trong hầu hết các LAN, cơ chế nhận dạng và nhận thực là sự sắp xếp theo hệ thống userID/mật khẩu. Thật ra hệ thống mật khẩu chỉ hiệu quả nếu quản lý đúng đắn, nhưng thường ít được như vậy. Nhận thực chỉ dựa trên mật khẩu thường gặp thất bại trong việc cung cấp bảo vệ thỏa đáng cho hệ thống vì một số lý do. Những người sử dụng luôn nghĩ tới việc tạo một mật khẩu dễ nhớ và vì thế dễ đoán. Mặt khác khi mà người sử dụng phải sử dụng các mật khẩu đã tạo ra từ các kí tự ngẫu nhiên, sẽ khó khăn để đoán và cũng khó khăn để nhớ lại. Lựa chọn một mật khẩu đúng đắn (tạo cân bằng giữa dễ nhớ cho người sử dụng nhưng khó khăn để đoán đối với những người khác ) luôn luôn là một vấn đề. Cơ chế mật khẩu duy nhất, đặc biệt là cơ chế này truyền mật khẩu đơn giản (trong điều kiện không mã hóa) nên dễ bị giám sát và đánh cắp. Điều này trở nên nghiêm trọng nếu LAN cho phép mọi kết nối từ ngoài mạng. Do cơ chế mật khẩu duy nhất vẫn tồn tại khả năng bị xâm phạm, nên có thêm các cơ chế có thể sử dụng. Một cơ chế sử dụng Card thông minh hoặc sử dụng thẻ bài yêu cầu một người sử dụng phải có thẻ (token) và có thể yêu cầu thêm việc biết một PIN hoặc mật khẩu. Các thiết bị này thực hiện một cơ chế nhận thực Yêu cầu/Trả lời sử dụng các tham số thời gian thực. Sử dụng các tham số thời gian thực giúp ngăn chặn một người đột nhập truy nhập lại trái phép qua việc phát lại phiên đăng nhập. Các thiết bị này cũng có thể mã hóa phiên nhận thực, ngăn chặn việc ảnh hưởng tới thông tin nhận thực qua việc theo dõi và bắt giữ. Các cơ chế khóa cho các thiết bị LAN, các trạm làm việc, hoặc các PC yêu cầu nhận thực người sử dụng để mở khóa có thể có ích cho người sử dụng phải rời khỏi nơi khu vực làm việc thường xuyên. Các khóa này cho phép người sử dụng duy trì đăng nhập vào LAN và rời khỏi phạm vi làm việc của họ mà không lộ mục nhập điểm vào LAN. Các modem cung cấp truy nhập LAN cho người sử dụng có thể yêu cầu thêm sự bảo vệ. Bởi vì kẻ xâm nhập có thể truy nhập modem và thành công trong việc đoán mật khẩu người sử dung. Tính sẵn sàng của modem sử dụng cho những người sử dụng hợp pháp cũng có thể trở thành một vấn đề nếu một kẻ đột nhập được cho phép tiếp tục truy nhập vào modem. Các cơ chế cung cấp cho người sử dụng với thông tin sử dụng tài khoản của anh ta (cô ta) có thể cảnh báo người sử dụng rằng tài khoản đã được sử dụng trong một trường hợp không bình thường (nhiều đăng nhập lỗi). Các cơ chế này bao gồm thông báo như ngày, thời gian, và vị trí lần cuối cùng đăng nhập thành công, và số lần đăng nhập thất bại ngay trước đó. Loại cơ chế bảo mật có thể được thi hành để cung cấp các dịch vụ nhận dạng và nhận thực được liệt kê như sau: Cơ chế sử dụng mật khẩu Cơ chế sử dụng smartCard/ thẻ bài thông minh Cơ chế sử dụng sinh trắc học Tạo mật khẩu Khóa khóa mật khẩu Khóa bàn phím Khoá PC hoặc trạm Kết thúc kết nối sau khi nhiêu đăng nhập thất bại Sử dụng thông báo “đăng nhập thành công lần cuối cùng” và “số lần đăng nhập thất bại” Cơ chế xác minh người sử dụng thời gian thực Mật mã với các khóa người sử dụng duy nhất. 2.3.3.1 I& A dựa trên những gì người sử dụng biết Hầu hết mẫu chung của của I&A là một ID người sử dụng kết hợp với một mật khẩu. Kĩ thuật này chỉ đơn thuần dựa trên những gì biết về người sử dụng. ngoài ra còn có các kĩ thuật khác, như nhận biết một khóa mật mã. Mật khẩu Nói chung, phương thức làm việc của các hệ thống mật khẩu là yêu cầu người sử dụng nhập một ID người sử dụng và mật khẩu (hoặc cụmg từ hay số nhận dạng cá nhân). Hệ thống so sánh mật khẩu với mật khẩu lưu trữ trước đó. Nếu trùng khớp, người sử dụng được nhận thực và được phép truy nhập mạng Lợi ích của các mật khẩu :Các mật khẩu đã thành công trong việc cung cấp bảo mật cho các hệ thống máy tính trong một thời gian dài. Chúng được tích hợp vào trong nhiều hệ điều hành, người sử dụng và các nhà quản lý mạng đã quen thuộc với chúng. Những khó với các mật khẩu : An toàn của một hệ thống mật khẩu bị phụ thuộc vào việc bảo vệ các mật khẩu. Đáng tiếc là nhiều phương pháp bảo mật đã bị lộ. Do đó cần phải cải tiến bảo mật cho mật khẩu. Tuy nhiên, không có gì vững chắc cho vấn đề kiểm tra điện tử, ngoại trừ sử dụng nhận thực cao cấp hơn (có thể sử dụng các kĩ thuật mật mã hoặc các thẻ bài). Đoán hoặc tìm mật khẩu : Nếu người sử dụng lựa chon mật khẩu cho mình, mọi người muốn có một mật khẩu dễ nhớ. Như thế nó lại thường dễ đoán ra. Như là tên một đứa trẻ, vật nuôi quen thuộc, hay đội bóng yêu thích thường là những ví dụ phổ biến… nếu thực hiện theo cách khác, có thể gặp khó khăn khi nhớ ra mật khẩu. Cho các mật khẩu : Các người sử dụng có thể dùng chung các mật khẩu của họ. Họ có thể cho mật khẩu của mình để dùng chung các tệp tin. Thêm vào đó người ta có thể bị lừa gạt để lộ mất mật khẩu của mình. Kiểm tra điện tử : Khi các mật khẩu được phát tới một hệ thống máy tính, nó có thể chịu sự giám sát điện tử. Điều này có thể xảy ra trên mạng đã phát mật khẩu hoặc trên bản thân hệ thống máy tính. Đơn giản vì mật mã của một mật khẩu sẽ được sử dụng lại bởi vì mật mã mật khẩu giống nhau sẽ tạo ra văn bản mật mã giống nhau; văn bản đã được mật mã trở thành mật khẩu. Truy nhập tệp tin mật khẩu : nếu như tệp tin mật khẩu không được bảo vệ bởi các điều khiển truy nhập mạnh, tệp tin có thể bị download. Các tệp tin mật khẩu thường được bảo vệ với một phương pháp mật mã không sẵn có cho các nhà quản lý hệ thống hay các hacker. Thậm chí nếu các tệp tin được mật mã, brute force (đây là phương pháp giải bài toán khó bằng cách lặp đi lặp lại nhiều lần) có thể được sử dụng để học các mật khẩu nếu tệp tin bị downloaded Sử dụng các mật khẩu như điều khiển truy nhập : Một số hệ điều hành máy tính lớn và nhiều ứng dụng PC sử dụng các mật khẩu như một phương tiện hạn chế truy nhập tài nguyên trong một hệ thống. Thay vì sử dụng các cơ chế như là điều khiển truy nhập, truy nhập có thể được thực hiện bằng cách nhập một mật khẩu. Kết quả là sự ra tăng nhanh chóng các mật khẩu có thể giảm bớt khả năng bảo mật của hệ thống. Khi sử dụng mật khẩu như một phương tiện điều khiển truy nhập là phổ biến, nó có thể là một phương pháp không tối ưu và hiệu quả kinh tế không cao. 2.3.3.2. I&A dựa trên sở hữu của người sử dụng Các thẻ nhớ : Hầu hết dạng phổ biến của thẻ nhớ là một Card mã vạch, trong đó một vạch mỏng chất từ được dán vào mặt thẻ. Một ứng dụng phổ biến của thẻ nhớ là các thẻ ATM (Automatic teller machine). Một số công nghệ nhận thực hệ thống máy tính chỉ đơn thuần dựa trên việc sở hữu thẻ. Các hệ thống chỉ dùng thẻ thích hợp hơn cho sử dụng trong các ứng dụng khác, như là truy cập vật lý. Những thuận lợi của hệ thống thẻ nhớ : Các thẻ nhớ khi sử dụng với các PIN cung cấp khả năng bảo mật cao hơn các mật khẩu. Hơn nữa, các Card rất rẻ khi sản xuất. Một hacker muốn truy nhập mạng trái phép phải có đồng thời cả thẻ nhớ và PIN tương ứng. Điều này khó khăn hơn rất nhiều việc có mật khẩu hợp lệ và ID người sử dụng. Các vấn đề đối với thẻ nhớ: Mặc dù vậy tấn cống với kĩ thuật tinh vi có thể chống lại các hệ thống thẻ nhớ, các vấn đền về giá cả, mất thẻ, quản lý thẻ, sự không bằng lòng của người sử dụng… . Hầu hết các kĩ thuật làm tăng tính bảo mật của các hệ thống thẻ nhớ đều liên quan đến bảo vệ các PIN. Các yêu cầu bộ đọc đặc biệt : Sự cần thiết có một bộ đọc đặc biệt làm tăng chi phí cho việc sử dụng các thẻ nhớ. Bộ đọc sử dụng các thẻ nhớ phải bao gồm khối vật lý để đọc Card và một bộ xử lý để xác định tính hợp lệ của Card hoặc PIN nhập vào. Nếu các PIN hoặc thẻ được xác nhận bằng một bộ xử lý mà không được định vị vật lý bằng bộ đọc, thì khi đó dữ liệu nhận thực là dễ bị tấn công do kiểm tra điện tử (mặc dù mật mã có thể được sử dụng để giải quyết vấn đề này). Sự mất thẻ : Việc mất thẻ có thể ngăn cản người sử dụng nhập mạng cho đến khi được cung cấp thẻ thay thế. Điều này có thể làm tăng chi phí quản lý. Một ai đó có thể tìm thấy thẻ và nhập mạng lấy cắp tài nguyên. Sự không hài lòng của người sử dụng: Nói chung người sử dụng muốn các máy tính phải dễ sử dụng. Nhiều người sử dụng cảm thấy bất tiện khi mang và xuất trình thẻ. Tuy nhiên, sự không hài lòng của họ có thể giảm đi nếu họ thấy sự cần thiết phải bảo mật. Thẻ bài thông minh Một thẻ bài thông minh mở rộng chức năng của thẻ nhớ bằng việc kết hợp với một hay nhiều các vi mạch tích hợp trong thẻ nhớ. Khi sử dụng để nhận thực, một thẻ thông minh dựa trên những thuộc tính sở hữu của người sử dụng. Một loại thẻ thông minh yêu cầu một người sử dụng cung cấp cái gì mà người người sử dụng biết (ví dụ PIN hoặc mật khẩu) Có nhiều loại thẻ thông minh khác nhau. Nói chung, các thẻ thông minh có thể được phân chia ba loại khác nhau dựa trên các đặc trưng vật lý, giao diện, và giao thức sử dụng. Các đặc trưng vật lý : Các thẻ thông minh có thể được phân chia thành hai nhóm : Các Card thông minh và các loại thẻ khác. Một Card thông minh nhìn giống như một thẻ tín dụng, nhưng nó được kết hợp với một bộ vi xử lý. Các Card thông minh được định nghĩa như một tiểu chuẩn ISO. Nhóm thẻ bài thông minh còn lại nhìn giống các máy tính bỏ túi, khóa, hoặc các đối tượng có khả năng di động nhỏ. Giao diện : các thẻ bài thông minh hoặc có một giao diện nhân công hoặc có một giao diện điện tử. Giao diện nhân công hoặc giao diện người dùng có phần hiển thị hoặc vùng phím số cho phép người dùng giao tiếp với Card. Các thẻ bài thông minh với giao diện điện tử phải được đọc bởi bộ đọc/bộ ghi đặc biệt. Các thẻ bài thông minh nhìn giống máy tính bỏ túi thường có một giao diện hướng dẫn. Giao thức : nhiều loại giao thức có thể được sử dụng để nhận thực. Nói chung, chúng có thể được phân chia thành ba loại : trao đổi mật khẩu tĩnh, các bộ tạo mật khẩu động, và yêu cầu – trả lời. Các thẻ bài tĩnh làm việc giống như các thẻ bài nhớ, ngoài ra người sử dụng phải nhận thực họ với thẻ bài và sau đó thẻ bài nhận thực người sử dụng với máy tính. Một thẻ bài sử dụng một giao thức tạo mật khẩu động để tạo một giá trị duy nhất, ví dụ, một số 8 chữ số, và thay đổi định kỳ. Nếu thẻ bài có một giao diện hướng dẫn, người sử dụng đọc giá trị và sau đó nhập nó vào trong hệ thống máy tính để nhận thực. Nếu thẻ bài có một giao diện điện tử, truyền phát được thực hiện tự động. Nếu giá trị đúng được cung cấp, đăng nhập được chấp nhận, và người sử dụng được phép truy nhập hệ thống. Các thẻ bài sử dụng một giao thức challenge-response dùng máy tính phát một challenge, là một chuỗi số ngẫu nhiên. Khi đó, thẻ bài thông minh sẽ phát một respone dựa trên challenge đã nhận. Thông báo này gửi lại máy tính, máy tính nhận thực người sử dụng dựa trên respone. Giao thức challenge-response dựa trên mật mã. Các thẻ bài challenge-response có thể sử dụng các giao diện điện tử hoặc các giao diện nhân công. Có ba loại giao thức khác nhau, một số phức tạp hơn và một số đơn giản hơn. Ba loai giao thức đã mô tả trên là là phổ biến nhất. Những thuận lợi của các thẻ bài thông minh : Các thẻ bài thông minh có tính linh động cao và có thể được sử dụng để giải quyết những khó khăn nhận thực. Những thuận lợi của các thẻ bài thông minh rất đa dạng, tùy thuộc vào loại sử dụng. Nói chung, nó có thể cung cấp bảo mật lớn hơn các Card nhớ. Các thẻ bài thông minh có thể giải quyết các vấn đề kiểm tra điện tử thậm chí nếu nhận thực được thực hiện qua một mạng mở bằng sử dụng các mật khẩu một lần. Các mật khẩu một lần : Các thẻ bài thông minh sử dụng tạo mật khẩu động hoặc sử dụng các giao thức challenge-response có thể tạo các mật khẩu một lần. Kiểm tra điện tử không còn là vấn đề đối với các mật khẩu sử dụng một lần bởi vì mỗi lần người sử dụng được nhận thực với máy tính, một mật khẩu khác được sử dụng. (một hacker có thể học được mật khẩu một lần qua kiểm tra điện tử nhưng se không có giá trị). Giảm bớt nguy hiểm do giả mạo : nói chung, bộ nhớ trên một thẻ bài thông minh là không thể đọc trừ khi PIN được nhập. Thêm vào đó, các thẻ bài phức tạp hơn và khó làm giả hơn. Đa ứng dụng: Các thẻ bài thông minh với các giao diện điện tử, như là các Card thông minh, cung cấp một phương pháp cho những người sử dụng truy cập vào nhiều máy tính sử dụng nhiều mạng chỉ với một log – in. Thêm vào đó, một Card thông minh đơn có thể được sử dụng đa chức năng, như truy nhập vật lý hoặc Card ghi. Những khó khăn đối với thẻ bài thông minh: Cũng như các thẻ bài nhớ, hầu hết các vấn đề với thẻ bài thông minh liên quan tới hao phí của nó, quản lý hệ thống, và sự không hài lòng của người sử dụng. Nói chung các thẻ bài thông minh ít bị nguy hiểm hơn khi thỏa hiệp với các PIN bởi vì nhận thực thường được thực hiện trên Card. Các thẻ bài thông minh chi phí cao hơn các Card nhớ bởi vì chúng phúc tạp hơn, các tính toán challenge – respone riêng biệt. Sự cần thiết bộ đọc/bộ ghi hoặc sự can thiệp của con người : Các thẻ bài thông minh có thể sử dụng hoặc giao diện điện tử hoặc giao diện người dùng. Một giao diện điện tử yêu cầu một bộ đọc. Giao diện người dùng yêu cầu nhiều hoạt động hơn từ phía người sử dụng. Điều này đặc biệt đúng với các thẻ bài challenge – response với một giao diện nhân công, giao diện này yêu cầu người sử dụng nhập challenge vào thẻ bài thông minh và reponse vào máy tính. Điều này có thể làm tăng sự khó chịu của người sử dụng. Quản lý thực sự : Các thẻ bài thông minh, cũng như các mật khẩu và các thẻ nhớ, yêu cầu sự quản lý chắc chắn. Đối với các thẻ bài sử dụng mật mã, điều này bao gồm quản lý khóa 2.3.3.3 I&A dựa trên việc xác định cái gì thuộc về người sử dụng Các công nghệ nhận thực trắc nghiệm sinh học sử dụng các đặc trưng duy nhất (thuộc tính) của một cá nhân để nhận thực. Những đặc trưng này bao gồm các thuộc tính sinh lý học (như dấu vân tay, hình bàn tay, hình dạng võng mạc) hoặc các thuộc tính khác như giọng nói, chữ kí …Các công nghệ trắc nghiệm sinh học đã được phát triển cho các ứng dụng đăng nhập máy tính. Nhận thực trắc nghiệm sinh học là kĩ thuật phức tạp, và người sử dụng có thể rất khó khăn khi chấp nhận nó. Tuy nhiên, những ưu điểm của nó làm cho công nghệ này được tin tưởng hơn, ít chi phí và thân thiện với người sử dung. Các hệ thống trắc nghiệm sinh học có khả năng cung cấp mức độ bảo mật cao cho các hệ thống máy tính, nhưng công nghệ này lại không hoàn thiện hơn thẻ nhớ và thẻ bài thông minh. Sự không hoàn hảo trong các thiết bị nhận thực xuất hiện từ những khó khăn kỹ thuật gặp phải khi thực hiện đo lường và định hình các thuộc tính vật lý. Vì những điều này có thể thay đổi tùy thuộc vào những hoàn cảnh khác nhau. Ví dụ như mẫu thoại của một người có thể thay đổi theo do điều kiện căng thẳng hoặc khi bị đau cổ do viêm họng hoặc bị thương. Các hệ thống trắc nghiệm sinh học là loại sử dụng nhiều phương pháp nhận thực khác nhau trong các môi trường đòi hỏi bảo mật cao. Sự thực thi các hệ thống I&A Một số thực thi quan trọng đưa ra cho các hệ thống I&A bao gồm quản lý, duy trì nhận thực, và đăng nhập riêng lẻ. Quản lý : Quản lí dữ liệu nhận thực là một yếu tố then chốt cho tất cả các loại hệ thống nhận thực. Các hệ thống I&A cần tạo, phân phối, và lưu trữ dữ liệu nhận thực. Đối với các mật khẩu, điều này bao gồm việc tạo các mật khẩu, phân phát chúng làm dấu hiệu người sử dụng, và duy trì một file mật khẩu. Các hệ thống thẻ bài bao gồm việc tạo và phân phối các Thẻ bài/PIN và dữ liệu để thông báo với máy tính các Thẻ bài/PIN như nào gọi là hợp lệ. Đối với các hệ thống trắc nghiệm sinh học, điều này bao gồm việc tạo và lưu trữ những mô tả sơ lược. Các tác vụ tạo và phân phối dữ liệu nhận thực và các thẻ bài có thể rất quan trọng. Dữ liệu nhận thực phải được ổn định ở trạng thái hiện thời bằng việc bổ sung những người sử dụng mới và xóa bỏ những người sử dụng cũ. Nếu việc phân phối các mật khẩu và các thẻ bài không được điều khiển, các nhà quản lý hệ thống sẽ không biết nếu họ đã định sẵn một ai đó không phải người sử dụng hợp pháp. Các hệ thống nhận thực phải đảm bảo rằng dữ liệu nhận thực phải được liên kết vững chắc với một cá nhân nhât định. Hơn nữa, các tác vụ quản lý I&A nên đánh địa chỉ các mật khẩu hoặc các thẻ bài đã mất hoặc bị đánh cắp. Thông thường, điều này là cần thiết để các hệ thống kiểm tra tìm kiếm dễ dàng hoặc chia sẻ các trường mục Dữ liệu nhận thực cần phải được lưu trữ cẩn thận. Giá trị của dữ liệu nhận thực là không trung thực trong độ tin cậy, tính toàn vẹn và tính hiệu lực của dữ liệu. Nếu độ tin cậy bị thỏa hiệp, một người nào đó có thể sử dụng thông tin để giả mạo một người sử dụng hợp pháp. Nếu các nhà quản lý hệ thống có thể đọc các tệp tin nhận thực, họ có thể giả mạo một người sử dụng khác. Nhiều hệ thống sử dụng mật mã để dấu dữ liệu nhận thực với các nhà quản lý hệ thống. Nếu tính toàn vẹn bị thỏa hiệp, dữ liệu nhận thực có thể bị thêm vào hoặc hệ thống có thể bị phá vỡ. Nếu tính hiệu lực bị thỏa hiệp, hệ thống không thể nhận thực người sử dụng, và người sử dụng không thể thực hiện công việc. Duy trì nhận thực : Đến bây giờ, chương này chỉ đề cập đến nhận thực ban đầu. Rất có thể một người nào đó sau khi nhận thực sử dụng một tài khoản hợp pháp của ai đó. Nhiều hệ thống máy tính sử lý vấn đề này bằng cách trục xuất một người sử hoặc khóa phần hiển thị hoặc phiên làm việc sau một khoảng thời gian ngừng hoạt động cố đinh. Tuy nhiên, các phương thức này có thể ảnh hưởng tới hiệu quả và làm cho máy tính kém thân thiệt với người sử dụng. Đăng nhập đơn lẻ : Xét từ góc độ hiệu quả, những người sử dụng mong muốn việc nhận thực họ chỉ thực hiện một lần và sau đó có thể truy nhập vào một phạm vi rộng lớn các ứng dụng khác nhau và dữ liệu sẵn có trong các hệ thống nội hạt và các hệ thống xa, thậm chí nếu các hệ thống này yêu cầu sử dụng thẻ bài nhận thực họ. Việc này được gọi là đăng nhập riêng lẻ. Nếu truy nhập đi qua nhiều lớp, khi đó tạo ra nhiều phức tạp. Có ba kĩ thuật chính có thể cung cấp đăng nhập riêng lẻ qua nhiều máy tính : Nhận thực Host – tới – Host, Nhận thực Server, và Nhận thực người sử dụng – tới - Host Nhận thực Host – tới - Host : Theo phương pháp này, người sử dụng nhận thực bản thân họ tới một máy tính một lần. Sau đó, máy tính này nhận thực nó tới các máy khác và xác nhận người sử dụng cụ thể. Nhận thực Host – tới – Host có thể được thực hiện bằng cách thông qua một thông tin nhận dạng, một mật khẩu, hoặc bằng cơ chế challenge – response hoặc cơ chế mật khẩu một lần. Theo phương pháp này điều cần thiết cho các máy tính là công nhận và tin cậy lẫn nhau. Nhận thực Server: Khi sử dụng nhận thực server, người sử dụng nhận thực họ tới một máy chủ đặc biệt (nhận thực server). Sau đó, máy tính này nhận thực tới các máy chủ khác mà người sử dụng muốn truy nhập. Theo phương pháp này, điều cần thiết là các máy tính phải tin tưởng Server nhận thực (server nhận thực không cần phải là một máy tính riêng biệt, mặc dù trong một số môi trường điều này có thể mang lại hiệu quả làm tăng tính bảo mật của server). Các server nhận thực có thể được phân phối theo địa lý hoặc logic nếu cần thiết, để giảm khối lượng công việc. User – tới – Host : một phương pháp nhận thực User – tới – Host yêu cầu người sử dụng đăng nhập tới mỗi máy chủ. Tuy nhiên, một thẻ bài thông minh (như là một Card thông minh) có thể bao gồm toàn bộ dữ liệu nhận thực và thực hiện dịch vụ cho người sử dụng. Đối với người sử dụng, điều đó xem như là họ chỉ phải nhận thực một lần. Sự phụ thuộc lẫn nhau giữa I&A Có nhiều sự phụ thuộc lẫn nhau giữa I&A và các điều khiển khác bao gồm: Các điều khiển truy nhập logic : Các điều khiển truy nhập được cần đến để bảo vệ cơ sở dữ liệu nhận thực. I&A thường là cơ sở cho các điều khiển truy nhập. Các modem Dial-back và các tường lửa, có thể giúp ngăn chặn các hacker cố gắng đăng nhập. Kiểm định : Kiểm định I&A là cần thiết nếu một bản ghi kiểm định sẽ được sử dụng cho giải trình cá nhân. Mật mã : Mật mã cung cấp hai dịch vụ cơ bản cho I&A : Nó bảo vệ độ tin cậy của dữ liệu nhận thực, và nó cung cấp các giao thức cho việc cung cấp kiến thức và sở hữu thẻ bài không phải truyền dữ liệu mà có thể thực hiện lại việc truy nhập hệ thống máy tính. Kerber và SPX là các ví dụ về các giao thức Server nhận thực mạng. Cả hai giao thức sử dụng mật mã để nhận thực người sử dụng tới các máy tính trên các mạng. 2.3.3.4 Nhận thực Nhận dạng là phương thức mà một người sử dụng đưa ra một khẳng định (cliamed) để nhận dạng tới hệ thống. Hầu hết dạng phổ biến của nhận dạng là ID của người sử dụng. Nhận thực là phương thức thiết lập tính hợp lệ của khẳng định này. Có ba phương thức nhận thực một nhận dạng của người sử dụng, chúng có thể được sử dụng một mình hoặc kết hợp: Những gì mà cá nhân biết (một điều bí mật, một mật khẩu, số nhận dạng cá nhân (PIN), hay khóa mật mã ) Những gì thuộc sở hữu cá nhân (một thẻ bài, một ATM Card, hay một Card thông minh). Những gì chỉ cá nhân có (trắc sinh học, các đặc trưng như mẫu thoại, chữ kí, hoặc in dấu vân tay.) Các mật khẩu chỉ dùng một lần Như đã đề cập, trong các môi trường mạng hiện đại khuyến nghị rằng các vị trí liên quan đến bảo mật, tính toàn vẹn của hệ thống và các mạng nên loại bỏ tính qui tắc và các mật khẩu dùng lại. Đã có nhiều chương trình Trojan (đây là một chương trình thực hiện một chức năng có ích, nhưng đồng thời có chứa các mã hoặc các lệnh ẩn có khả năng gây hại cho hệ thống - ví dụ như telnet và rlogin ) và các chương trình sniffer (tên chương trình phân tích mạng) - một chương trình dò tìm. Các chương trình này đánh cắp tên Host/Tên tài khoản/ Mật khẩu. Những kẻ đột nhập có thể sử dụng các thông tin đánh cắp để truy nhập các Host và tài khoản này. Điều này là có thể vì : Mật khẩu được dùng lại nhiều lần. Mật khẩu đi qua mạng ở dạng văn bản không mật mã. Một vài kĩ thuật nhận thực đã được phát triển để giải quyết vấn đề này. Tiêu biểu là các công nghệ challenge – response cung cấp các mật khẩu chỉ được sử dụng một lần (gọi chung là các mật khẩu một lần). Có một số sản phẩm có thể xem xét để sử dụng ở một số nơi. Quyết định sử dụng sản phẩm nào nên phù hợp với mỗi cách thức tổ chức. Kerberos Kerberos là một hệ thống bảo mật mạng phân phối, nó cung cấp nhận thực qua các mạng không an toàn. Nếu yêu cầu từ phía ứng dụng, tính toàn vẹn và mã hóa có thể cũng được cung cấp Kerberos. Kerberos được phát triển tại viện công nghệ Massachusetts (MIT) vào giữa những năm 1980. Có hai phiên bản của Kerberos, version 4 và 5, dành cho những ứng dụng khác nhau. Kerberos dựa trên cơ sở dữ liệu khóa động sử dụng một trung tâm phân phối khóa (KDC) gọi là Kerberos sever. Người sử dụng hay dịch vụ nhận được “vé điện tử” sau khi liên lạc đúng cách với KDC. Vé này được sự dụng cho nhận thực giữa người sử dụng hoặc giữa các dịch vụ với nhau. Các vé điện tử có một Tem thời gian giới hạn thời gian tồn tại đảm bảo tính hợp lệ cho các vé đó. Vì vậy, các máy khách và các server Kerberos phải có một gốc thời gian an toàn và giữ cho thời gian chính xác. Khía cạnh thực tế của Kerberos là sự tích hợp nó với mức ứng dụng. Những ứng dụng điển hình như FTP, telnet, POP và NFS đã được tích hợp với các hệ thống Kerberos. Có một sự đa dạng trong các cách thực hiện với nhiều mức tích hợp. Chọn lựa và bảo vệ bí mật cho các thẻ bài và PIN Cần phải thận trọng khi lựa chọn các mã bí mật cũng như các mật khẩu. Yêu cầu đặt ra là chúng phải có khả năng chống lại các chương trình dò tìm mật khả năng. Trong một lựa chọn, việc bảo vệ các mã bí mật rất quan trọng. Một số được sử dụng như là PIN cho các thiết bị phần cứng (giống mã thẻ) và các mã này không nên được viết hoặc đặt cùng vị trí cũng như một thiết bị. Cũng như khóa bí mật PGP, nên được bảo vệ tránh truy nhập trái phép. Tóm lại, khi sử dụng sản phẩm mật mã, cũng như PGP phải xác định chiều dài khóa cho phù hợp và đảm bảo rằng người sử dụng phải biết điều này. Với sự tiến bộ công nghệ, chiều dài khóa an toàn tối thiểu ngày càng được rút ngắn. Sự đảm bảo của mật khẩu Khi cần thiết loại trừ việc sử dụng tiêu chuẩn, các mật khẩu dùng lại vẫn không nên để lộ, phải tin rằng một vài tổ chức có thể vẫn sử dụng chúng. Mặc dù có những khuyến cáo là các tổ chức chuyển sang sử dụng các công nghệ tiên tiến hơn. Những hướng dẫn sau đây giúp lựa chọn và duy trì các mật khẩu truyền thống. Điều quan trọng của các mật khẩu an toàn - Trong nhiều trường hợp ( Nếu không phải hầu hết ) xâm nhập hệ thống, kẻ đột nhập cần phải lấy được quyền truy nhập tới một tài khoản trong hệ thống. Một phương pháp mà mục đích là thực hiện việc đoán chính xác mật khẩu của một người sử dụng hợp pháp. Việc này thường hoàn thành bằng cách chạy một chương trình Cracking mật khẩu tự động, chương trình này sử dụng một từ điển lớn chống lại tệp tin mật khẩu của hệ thống. Chỉ có duy nhất một phương pháp bảo vệ khỏi bị lộ mật khẩu trong trường hợp này bằng cách lựa chọn cẩn thận các mật khẩu không thể đoán nhận dễ dàng ( Ví dụ kết hợp các số, kí tự và các kí tự trống.. ) Các mật khẩu nên dài bằng độ dài mật khẩu hệ thống cho phép mà người dùng có thể chấp nhận được. Thay đổi mật khẩu mặc định - Nhiều hệ điều hành và các chương trình ứng dụng đã được cài đặt với các tài khoản và mật khẩu mặc định. Chúng phải được thay đổi ngay sao cho nó không thể bị đoán hay Crack. Hạn chế truy nhập tới các tệp tin mật khẩu – Mật khẩu đã mã hóa trong tệp tin rất khó khăn đối với những kẻ đột nhập muốn có nó để Crack. Một kỹ thuật hiệu quả là dùng các mật khẩu bóng (shadow), ở đây trường mật khẩu của tệp tin tiêu chuẩn bao gồm một “bù nhìn” hoặc mật khẩu giả. Còn tệp tin chứa mật khẩu hợp lệ được bảo vệ ở chỗ khác trong hệ thống. Chặn tài khoản/mật khẩu – Một vài vị trí có thể hữu ích khi không cho phép đăng nhập tài khoản nếu sau khi một số lần định trước việc thử mật khẩu thất bại. Sau khi từ chối, ngay cả khi mật khẩu hợp lệ được đưa ra thì thông báo đăng nhập lỗi vẫn hiển thị. Sự thực thi cơ chế này sẽ yêu cầu người sử dụng hợp pháp liên lạc với nhà quản lý hệ thống để yêu cầu tài khoản của họ được hoạt động trở lại. Độ tin cậy Các hệ điều hành thường có sẵn các cơ chế bảo vệ tệp tin, nó cho phép nhà quản lý điều khiển ai trong hệ thống có thể truy nhập hoặc “xem” nội dung trong các tệp tin định sẵn. Một phương pháp mạnh hơn cung cấp độ tin cậy là thông qua sự mã hóa. Mã hóa được thực hiện bằng cách xáo trộn dự liệu vì thế rất khó khăn và mất nhiều thời gian cho bất kì ai khác ngoại trừ người được ủy quyền hoặc là người sở hữu văn bản chưa mã hóa. Người được ủy quyền và chủ sở hữu thông tin sẽ xử lý việc giải mã các khóa. Nó cho phép họ dẽ